Journal of the Korea Society of Computer and Information (한국컴퓨터정보학회논문지)

Korean Society of Computer Information (한국컴퓨터정보학회)
권호 표지
DOI QR코드

DOI QR Code

Security Improvements on the Remote User Authentication Scheme Using Smart Cards

스마트카드를 사용한 원격 사용자 인증 스킴의 시큐리티 개선에 관한 연구

  • 서정만 (국립한국재활복지대학 컴퓨터게임개발과) ;
  • 안영화 (강남대학교 컴퓨터미디어정보공학부)
  • Received : 2010.03.05
  • Accepted : 2010.03.16
  • Published : 2010.03.31
Download PDF
⟨ Previous Next ⟩

Abstract

Recently Hu-Niu-Yang proposed the user authentication scheme to improve Liu et al's scheme. But the Hu-Niu-Yang's scheme has not been satisfied security requirements considering in the user authentication scheme using the password based smart card. In this paper, we proved that Hu-Niu-Yang's scheme is vulnerable to the off-line password guessing attack in case that the attacker steals the user's smart card and extracts the information in the smart card. Also, the improved user authentication scheme solving the security vulnerability was introduced, thus preventing the attacks, such as password guessing attack, forgery attack impersonation attack, and replay attack. For preventing those attacks, the our proposed scheme need more hash functions and exclusive-OR operations than Hu-Niu-Yang's scheme.

최근 Hu-Niu-Yang은 Liu 등의 스킴을 개선한 사용자 인증 스킴을 제안하였다. 그러나 Hu-Niu-Yang의 스킴은 패스워드 기반 스마트카드를 이용한 사용자 인증 스킴에서 고려하는 보안 요구사항을 만족하지 못하고 있다. 본 논문에서는, 공격자가 사용자의 스마트카드를 훔치거나 일시적으로 접근할 수 있는 경우에 Hu-Niu-Yang의 스킴은 off-line 패스워드 추측공격에 취약하다는 것을 증명하였다. 또한 이와 같은 안전성 취약점들을 해결한 개선된 사용자 인증 스킴을 새로이 제안하였다. 제안된 사용자 인증 스킴은 패스워드 추측공격, 위조 및 위장공격, 그리고 재생 공격 등을 방지한 안전한 인증 스킴임을 알 수 있었고, 이와 같은 공격들을 방지하기 위하여 hash 및 exclusive-OR 연산이 상대적으로 Hu-Niu-Yang의 스킴보다 다수 필요함을 알 수 있었다.

Keywords

References

  1. J. Xu, W.T. Zhu, D.G. Feng, "An improved smart card based password authentication scheme with provable security," Computers Standards & Interfaces, 31, pp. 723-728, 2009. https://doi.org/10.1016/j.csi.2008.09.006
  2. P. Kocher, J. Jaffe, B. Jun, "Differential power analysis," Proceedings of Advances in Cryptology (CRYPTO 99), pp. 388–397, 1999.
  3. T.S. Messerges, E.A. Dabbish, R.H. Sloan, "Examining smart-card security under the threat of power analysis attacks, "IEEE Transactions on Computers, 51 (5), pp. 541–552, 2002. https://doi.org/10.1109/TC.2002.1004593
  4. L. Lamport, "Password authentication with insecure communication," Communications of the ACM, 24(11), pp. 770-772, 1981. https://doi.org/10.1145/358790.358797
  5. C.C. Chang, T.C. Wu, "Remote password authentication with smart card," IEEE Proceedings-E, 138(3), pp. 165-168, 1991. https://doi.org/10.1049/ip-d.1991.0023
  6. H.Y. Chien, J.K. Jan, Y.M. Tseng, "An efficient and practical solution to remote authentication using smart card," Computers & Security, 21 (4), pp. 372-375. 2002. https://doi.org/10.1016/S0167-4048(02)00415-7
  7. C.L. Hsu, "Security of two remote user authentication schemes using smart card," IEEE Transactions on Consumer Electronics, 49(4), pp. 1196-1198, 2003. https://doi.org/10.1109/TCE.2003.1261216
  8. J.Q. Liu, J. Sun, T.H. Li, "An enhanced remote login authentication with smart card," Proceedings of IEEE Workshop on Signal Processing Systems Design and Implementation, pp. 229-232, (11) 2005.
  9. L.L. Hu, X.X. Niu, Y.X. Yang, "Weakness and improvements of a remote user authentication scheme using smart cards," The journal of China univ. of posts and telecommunications, vol. 14, pp. 91-94, (9) 2007. https://doi.org/10.1016/S1005-8885(07)60155-1
  10. E.J. Yoon, E.K. Ryu, K.Y. Yoo, "Further improvements of an efficient password based remote user authentication scheme using smart cards," IEEE Transactions on Consumer Electronics, 50(2), pp. 612-614, 2004. https://doi.org/10.1109/TCE.2004.1309437
  11. X. Duan, J.W. Liu, Q. Zhang, "Security improvements on Chien et al.'s remote user authentication scheme using smart cards," IEEE International conference on Computational Intelligence and Security (CIS 2006), 2, pp. 1133-1135, 2006.
  12. C.W. Lin, C.S. Tsai, andM.S. Hwang, "ANewStrong-Password Authentication Scheme Using One-Way Hash Functions," Journal of Computer and Systems Sciences International, vol. 45, no. 4, pp. 623-626, 2006. https://doi.org/10.1134/S1064230706040137
  13. H.C Hsiang, W.K. Shih, "Weakness and improvements of the Yoon-Ryu-Yoo remote user authentication scheme using smart cards," Computer Communications, 32, pp. 649-652, 2009. https://doi.org/10.1016/j.comcom.2008.11.019
  14. 신광철, "서비스거부공격에안전한OTP 스마트카드인증 프로토콜," 한국컴퓨터정보학회 논문지, 제 12권, 제 6호, 201-206쪽, 2007년 12월.
  15. 안영화, 이강호, "스마트카드를 이용한 사용자 인증 스킴의안전성분석," 한국컴퓨터정보학회논문지, 제14권, 제3호, 133-138쪽, 2009년 3월.
  16. 이영숙, 원동호, "스마트카드를 이용한 사용자 인증 스킴의 안전성 분석 및개선," 한국컴퓨터정보학회 논문지, 제15권, 제 1호, 139-147쪽, 2010년 1월.
  17. 최병훈, 김상근, 배제민, "다중체계_인증을이용한중요시스템 보완 접근에 관한 연구," 한국컴퓨터정보학회 논문지, 제 14권, 제 7호, 73-80쪽, 2009년 7월.