• 한국정보과학회논문지:시스템및이론
• /
• 제36권4호
• /
• pp.304-310
• /
• 2009

인터넷의 범용적인 사용으로 많은 사용자들이 분산된 컴퓨팅 환경에서 원격 서버에 접속하는 일이 빈번해 지고 있다. 하지만 인증된 보호시스템 없이 안전하지 않은 채널을 통한 데이터의 전송은 재생공격이나 오프라인 패스워드 공격 및 가장공격등과 같은 문제점들에 노출되어 있다. 이에 따라 악의적인 공격들을 막기 위해 스마트카드를 이용한 인증프로토콜들에 대해 활발히 연구되고 있다. 본 논문은 패스워드 기반 사용자 인증시스템의 취약성을 분석하고 이에 대해 개선된 사용자 인증 시스템을 제안한다.

• International Journal of Internet, Broadcasting and Communication
• /
• 제9권3호
• /
• pp.35-43
• /
• 2017

In 2013, Lee-Lie proposed secure smart card based authentication scheme of Zhu's authentication for TMIS which is secure against the various attacks and efficient password change. In this paper, we discuss the security of Lee-Lie's smart card-based authentication scheme, and we have shown that Lee-Lie's authentication scheme is still insecure against the various attacks. Also, we proposed the improved scheme to overcome these security problems of Lee-Lie's authentication scheme, even if the secret information stored in the smart card is revealed. As a result, we can see that the improved smart card based user authentication scheme for TMIS is secure against the insider attack, the password guessing attack, the user impersonation attack, the server masquerading attack, the session key generation attack and provides mutual authentication between the user and the telecare system.

• 디지털산업정보학회논문지
• /
• 제14권2호
• /
• pp.27-33
• /
• 2018

User authentication scheme is a method for controlling unauthorized users' access to securely share the services and resources provided by the server and for verifying users with access rights. Initial user authentication scheme was based on passwords. Nowadays, various authentication schemes such as ID based, smart-card based, and attribute based are being researched. The study of Lee et al. suggested a user authentication scheme that provides forward secrecy and protects anonymity of users. However, it is vulnerable to attacks by outsiders and attackers who have acquired smart-cards. In this paper, we propose a modified smart-card authentication scheme to complement the weakness of the previous studies. The proposed user authentication scheme provides the security for the ID guessing attack and the password guessing attacks of the attacker who obtained the login request message and the user's smart-card.

• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2007년도 추계종합학술대회
• /
• pp.713-716
• /
• 2007

본 논문은 Ad-hoc 네트워크의 무선 보안의 취약성과 현재 활용되고 있는 인증기법을 분석하여, Ad-hoc 기반 강력한 인증을 위해 검증자를 이용한 인증기법을 제안한다. 제안기법은 라우팅, 등록, 실행 단계로 구성하며, 라우팅 단계에서는 AODV 프로토콜을 이용하였다. 등록 및 실행 단계에서는 적법한 소스노드 인증을 위해 원타임 패스워드 S/key와 패스워드 기반 DH-EKE를 적용하였다. 제안 인증 기법의 안전한 패킷 데이터 전송과 데이터 암호화를 위한 세션키 설정시 H(pwd) 검증자로 암호화 하여 키교환을 수행하고, 원타임 패스워드는 소스노드의 패스워드 소유 검증과 효율성 향상을 위해 사용한다. EKE는 식별자를 해쉬함수에 모듈라 지수승 하는 DH-EKE 방식을 이용하여 단대단 세션키를 설정하고 키교환 단계에서는 H(pwd) 검증자로 암호화 함으로써 안전한 세션키 교환을 한다.

• 한국정보기술학회 영문논문지
• /
• 제8권2호
• /
• pp.41-46
• /
• 2018

As evidenced through rapidly growing digital devices and information, digital authentication is becoming ever more critical, especially considering the complex and prevalent digital accounts we are using every day. Also, digital authentication is apt to consistent digital security application. In this sense, digital security quality and usability can be enhanced by developing a mechanism for efficient digital authentication. In this paper, a mechanism of efficient digital authentication called T-TIME is introduced in order to alleviate issues dealing with secure and user friendly authentication across ever- growing digital devices and information. Touch Signal generation time difference is utilized for T-TIME as a mediation mechanism that enhances the security quality by confusing others unlike other graphical password mechanisms which are using spatial information. Hence, digital authentication by using T-TIME can be a good way of enhancing security quality and usability.

• Journal of information and communication convergence engineering
• /
• 제4권4호
• /
• pp.166-169
• /
• 2006

Almost all network systems provide an authentication mechanism based on user ID and password. In such system, it is easy to obtain the user password using a sniffer program with illegal eavesdropping. The one-time password and challenge-response method are useful authentication schemes that protect the user passwords against eavesdropping. In client/server environments, the one-time password scheme using time is especially useful because it solves the synchronization problem. In this paper, we present a new identification scheme: OPI(One Pass Identification). The security of OPI is based on the square root problem, and OPI is secure: against the well known attacks including pre-play attack, off-line dictionary attack and server comprise. A number of pass of OPI is one, and OPI processes the password and does not need the key. We think that OPI is excellent for the consuming time to verify the prover.

• Journal of the Optical Society of Korea
• /
• 제20권6호
• /
• pp.722-732
• /
• 2016

A new optical one-time password (OTP) authentication method using digital holography is proposed, which enhances security strength in the authentication system. A challenge-response optical OTP algorithm based on two-factor authentication is presented using two-step phase-shifting digital holography, and two-way authentication is also performed using challenge-response handshake in both directions. Identification (ID), password (PW), and OTP are encrypted with a shared key by applying phase-shifting digital holography, and these encrypted pieces of information are verified by each party by means of the shared key. The encrypted digital holograms are obtained by Fourier-transform holography and are recorded on a CCD with 256 quantized gray-level intensities. Because the intensity pattern of such an encrypted digital hologram is distributed randomly, it guards against a replay attack and results in higher security level. The proposed method has advantages, in that it does not require a time-synchronized OTP, and can be applied to various authentication applications. Computer experiments show that the proposed method is feasible for high-security OTP authentication.

• 디지털산업정보학회논문지
• /
• 제6권3호
• /
• pp.69-77
• /
• 2010

Authentication and key establishment are fundamental procedures to establish secure communications over public insecure network. A password-based scheme is common method to provide authentication. In 2008, Khan proposed an efficient password-based authentication scheme using smart cards to solve the problems inherent in Wu-Chieu's authentication scheme. As for security, Khan claimed that his scheme is secure and provides mutual authentication between legal users and a remote server. In this paper, we demonstrate Khan's scheme to be vulnerable to various attacks, i. e., password guessing attack, insider attack, reflection attack and forgery attack. Our study shows that Khan's scheme does not provide mutual authentication and is insecure for practical applications. This paper proposes an improved scheme to overcome these problems and to preserve user anonymity that is an issue in e-commerce applications.

• 한국정보전자통신기술학회논문지
• /
• 제4권3호
• /
• pp.182-188
• /
• 2011

최근 Yoon 등은 스마트카드를 이용하여 원격지에 있는 사용자를 인증할 수 있는 개선된 스킴을 제안하였다. Yoon 등은 인증 서버의 비밀키 유출과 도용 시에도 보안성이 있으며, 사용자와 인증서버 간 상호인증이 가능한 효율적인 사용자 인증 방법을 소개하였다. 그러나 패스워드 기반 스마트카드를 이용한 사용자 인증 스킴에서 고려하는 보안 요구사항을 완전히 만족하지 못하고 있다. 본 논문에서는, 허가받지 않은 침입자가 사용자의 스마트카드를 훔치거나 일시적으로 접근할 수 있는 경우에 Yoon 등의 스킴이 오프라인 패스워드 추측공격에 취약하다는 것을 밝혀낸다. 따라서 제안하는 사용자 인증 스킴은 이와 같은 보안 문제를 해결하기 위해 Hash 함수와 랜덤 nonce를 기반으로 패스워드 추측공격을 포함한 다양한 공격에 견딜 수 있는 개선안을 제시한다. 보안성을 위한 비교분석을 통해 제안하는 인증 스킴은 무시할 정도의 exclusive-OR 연산의 수행이 조금 더 요구되지만, Yoon 등의 인증 스킴보다 안전하고 효율적인 스킴임을 알 수 있다.

• 한국컴퓨터정보학회논문지
• /
• 제16권2호
• /
• pp.173-181
• /
• 2011

사용자 인증과 비밀키 교환은 암호학의 매우 중요한 응용 분야 가운데 하나로서, 사용자 인증의 경우 일반적으로 패스워드를 이용하고 있지만, 패스워드를 이용한 사용자 인증은 패스워드 추측 공격에 취약한 문제가 있다. 1992년 Bellovin과 Merritt은 패스워드 추측 공격에 안전하면서 비밀키 교환까지 할 수 있는 EKE(Encrypted Key Exchange) 프로토콜을 제안한 바 있으며, 이후 효율성과 안전성을 개선한 많은 논문이 제안되고 있다. 이 가운데 Lo는 Yeh 등이 제안한 패스워드 기반 인증키 교환 프로토콜의 취약점을 지적함과 동시에 개선된 프로토콜을 2006년에 제안하였다. 하지만, Lo의 프로토콜 역시 오프라인 패스워드 추측 공격에 취약함이 Cao와 Lin에 의해 지적되었다. 본 논문에서는 새로운 공격 방법으로 Lo의 프로토콜이 온라인 패스워드 추측공격에도 취약함을 보이고, 온라인 패스워드 추측 공격에도 안전한 개선된 프로토콜을 제안한다. 제안한 프로토콜은 비대칭 무선 네트워크 환경에서 패스워드 기반 인증키 교환 프로토콜로 사용될 수 있다.