Convergence Security Journal (융합보안논문지)

Korea convergence Security Association (한국융합보안학회)
권호 표지
DOI QR코드

DOI QR Code

Vulnerability Attack for Mutual Password Authentication Scheme with Session Key agreement

세션 키 동의를 제공하는 상호인증 패스워드 인증 스킴에 대한 취약점 공격

  • 서한나 (인제대학교 컴퓨터공학부 ) ;
  • 최윤성 (인제대학교 AI융합대학)
  • Received : 2022.06.22
  • Accepted : 2022.10.31
  • Published : 2022.10.31
Download PDF
⟨ Previous Next ⟩

Abstract

Password authentication schemes (PAS) are the most common mechanisms used to ensure secure communication in open networks. Mathematical-based cryptographic authentication schemes such as factorization and discrete logarithms have been proposed and provided strong security features, but they have the disadvantage of high computational and message transmission costs required to construct passwords. Fairuz et al. therefore argued for an improved cryptographic authentication scheme based on two difficult fixed issues related to session key consent using the smart card scheme. However, in this paper, we have made clear through security analysis that Fairuz et al.'s protocol has security holes for Privileged Insider Attack, Lack of Perfect Forward Secrecy, Lack of User Anonymity, DoS Attack, Off-line Password Guessing Attack.

패스워드 인증 체계 (PAS)는 개방형 네트워크에서 안전한 통신을 보장하는데 사용되는 가장 일반적인 메커니즘이다. 인수분해와 이산 로그 등의 수학적 기반의 암호 인증 체계가 제안되고 강력한 보안 기능을 제공하였으나, 암호를 구성하는데 필요한 계산 및 메시지 전송 비용이 높다는 단점을 가지고 있었다. Fairuz et al.은 스마트 카드 체계를 이용한 세션 키 동의와 관련하여 인수분해 및 이산 로그 문제를 기반으로 한 개선된 암호 인증 프로토콜을 제안했다. 하지만 본 논문에서는 취약성 분석을 통하여, Fairuz et al.의 프로토콜이 Privileged Insider Attack, Lack of Perfect Forward Secrecy, Lack of User Anonymity, DoS Attack, Off-line Password Guessing Attack에 관한 보안 취약점을 가지고 있다는 것을 확인하였다.

Keywords

Acknowledgement

본 논문 2022년도 교육부의 재원으로 한국연구재단의 지원을 받아 수행된 지자체-대학 협력기반 지역혁신 사업의 결과입니다.(재단 과제관리번호: 2021RIS-003)

References

  1. 김병훈, 신제철, 하옥현, "침입탐지시스템 탐지성능 향상 위한 해시기반 패턴 매칭 시스템," 융합보안논문지, 제9권, 제4호, pp.21-27, 2009. 
  2. 김성환, 김동성, 송영덕, 박종서, "유비쿼터스 컴퓨팅 보안을 위한 경량 블록 암호 구현," 융합보안논문지, 제5권, 제3호, pp.23-32, 2005. 
  3. 황득영, 김진묵 "공장 자동화를 위한 RFID 경량암호 프로토콜에 관한 연구," 융합보안논문지, 제16권, 제7호, pp.173-180, 2016. 
  4. 백용진, 홍석원, 김상복, "클라우드 환경에서 네트워크 가용성 개선을 위한 대칭키 암호화 기반 인증 모델," 융합보안논문지, 제19권, 제5호, pp.47-53, 2019. 
  5. 노시춘, "DES(Data Encryption Standard) 속성진단과 강화된 대칭키 암호 알고리즘 적용방법," 융합보안논문지, 제12권, 제4호, pp.85-90, 2012. 
  6. W.-H Yang and S.-P. Shieh, "Password authentication scheme with smart cards", Computers & Security, Vol. 18, No. 8, pp. 727-733, 1999.  https://doi.org/10.1016/S0167-4048(99)80136-9
  7. J.-J. Shen, C.-W. Lin, and M.-S. Hwang, "Security enhancement for the timestamp-based password authentication scheme using smart cards", Computers & Security, Vol. 22, No. 7, pp. 591-595, 2003.  https://doi.org/10.1016/S0167-4048(03)00709-0
  8. E.-J. Yoon, E.-K. Ryu, and K.-Y. Yoo, "Security of Shen et al.'s timestamp-based password authentication scheme," International Conference on Computational Science and Its Applications, Springer, pp. 665-671, 2004.. 
  9. C.-C. Yang and R.-C. Wang, "An improvement of security enhancement for the timestamp-based password authentication scheme using smartcards," ACM SIGOPS Operating Systems Review, Vol. 38, No. 3, pp.91-96, 2004. 
  10. X. Wang, J. Zhang, W. Zhang, and M. Khan, "Security improvement on the timestamp-based password authentication scheme using smart cards," in 2006 IEEE International Conference on Engineering of Intelligent Systems. IEEE, pp.1-3, 2006. 
  11. J.-Y. Liu, A.-M. Zhou, and M.-X. Gao, "A new mutual authentication scheme based on nonce and smart cards," Computer Communications, Vol. 31, No. 10, pp.2205-2209, 2008.  https://doi.org/10.1016/j.comcom.2008.02.002
  12. A. K. Awasthi, K. Srivastava, and R. Mittal, "An improved timestamp-based remote user authentication scheme," Computers & Electrical Engineering, Vol. 37, No. 6, pp.869-874, 2011.  https://doi.org/10.1016/j.compeleceng.2011.09.015
  13. T.-H. Chen, G. Horng, and K.-C. Wu, "A secure YS-like user authentication scheme," Informatica, Vol. 18, No. 1, pp.27-36, 2007.  https://doi.org/10.15388/Informatica.2007.160
  14. Y. An, "Security enhancements of an improved timestamp-based remote user authentication scheme," in Computer Applications for Security, Control and System Engineering. Springer, pp.54-61, 2012. 
  15. S. Kumari, M. K. Gupta, M. K. Khan, and X. Li, "An improved timestamp-based password authentication scheme: comments, cryptanalysis, and improvement," Security and Communication Networks, Vol. 7, No. 11, pp.1921-1932, 2014.  https://doi.org/10.1002/sec.906
  16. D. Dolev and A. Yao, "On the security of public key protocols," IEEE Transactions on Information Theory, Vol. 29, No. 2, pp.198-208, 1983.  https://doi.org/10.1109/TIT.1983.1056650
  17. J. Xu, W.-T. Zhu, and D.-G. Feng, "An improved smart card based password authentication scheme with provable security," Computer Standards & Interfaces, Vol. 31, No. 4, pp.723-728, 2009  https://doi.org/10.1016/j.csi.2008.09.006
  18. P. Kocher, J. Jaffe, and B. Jun, "Differential power analysis," in Annualinternational cryptology conference. Springer, pp. 388-397, 1999 
  19. T. S. Messerges, E. A. Dabbish, and R. H. Sloan, "Examining smart-cardsecurity under the threat of power analysis attacks," IEEE Transactionson Computers, Vol. 51, No. 5, pp.541-552, 2002.  https://doi.org/10.1109/TC.2002.1004593
  20. R. Amin, S. Islam, M. K. Khan, A. Karati, D. Giri, and S. Kumari, "A two-factor RSA-based robust authentication system for multiserverenvironments," Security and Communication Networks, Vol. 2017, 2017.