• 디지털산업정보학회논문지
• /
• 제19권1호
• /
• pp.31-42
• /
• 2023

As computer performance is leveled upward, the use of IoT systems is gradually expanding. Although IoT systems are used in many fields, it is true that it is difficult to build a safe system due to performance limitations. To overcome these limitations, many researchers have proposed numerous protocols to improve security issues. Among them, Azrour et al. except. We proposed a new efficient and secure authentication protocol for remote healthcare systems in a cloud-based IoT environment, and claimed that the new protocol could solve the security vulnerabilities of the existing protocols and was more efficient. However, in this paper, through the security analysis of the remote healthcare system in the cloud-based IoT environment proposed by Azrour et al., the protocol of this system was found to be vulnerable to Masquerade attack, Lack of Perfect Forward Secrecy, Off-line password guessing attack, and Replay attack.

• 한국컴퓨터정보학회논문지
• /
• 제29권6호
• /
• pp.53-60
• /
• 2024

본 논문에서는 2023년에 제안된 Hwang et al.의 인증 스킴에 대하여 분석하고, 그에 대한 문제점을 개선한 새로운 인증 스킴을 제안한다. Hwang et al.은 자신들의 인증 스킴이 실용적이고 안전하다고 주장하였으나 본 논문에서 분석한 결과, 내부자 공격과 스마트카드 분실 공격으로 인하여 사용자의 패스워드/ID 추측 공격과 세션키 노출 공격 등이 가능하다. 또한, 사용자 익명성을 제공하는 Hwang et al.의 인증 스킴은 불안전한 설계로 인하여 사용자 추적 불가능성을 제공하지 못한다. 이러한 문제를 개선한 제안 인증 스킴은 사용자 추적 불가능성을 제공할 뿐만 아니라 스마트카드 분실 공격, 내부자 공격, 세션키 노출 공격, 재생 공격 등에 안전한 것으로 분석되었다. 또한, 한 번의 퍼지 추출 연산을 제외하면 관련된 인증 스킴들과 동일한 복잡도나 매우 비슷한 복잡도를 보인다. 그러므로 제안 인증 스킴은 안전성과 실용성을 갖춘 스킴이라고 할 수 있다.

• 한국컴퓨터정보학회논문지
• /
• 제28권5호
• /
• pp.67-74
• /
• 2023

본 논문에서는 2022년에 Hussain et al.이 제안한 DRM을 위한 인증 프로토콜에 대해 분석하고, 개선된 해결방법을 제시한다. Hussain et al.은 자신들의 인증 프로토콜이 중간자 공격과 재생 공격, 그리고 상호 인증을 보장한다고 주장하였다. 그러나 본 논문에서 Hussain et al.의 인증 프로토콜을 분석한 결과, Hussain et al.의 인증 프로토콜은 그들이 지적하였던 Yu et al.의 인증 프로토콜의 문제점인 내부자 공격 문제가 여전히 존재한다. 이로 인하여 내부 공격자가 모바일 기기의 정보를 획득할 경우 사용자 가장 공격 등도 가능하였다. 또한 사용자의 ID 형식 확인 부재의 문제와 서버와 사용자간의 디지털 컨텐츠의 비밀키 불일치의 문제점이 존재하였다. 그러므로 본 논문에서는 이러한 문제를 해결하기 위하여 개선된 해결방법을 제안한다. 개선된 해결방법을 본 논문에서 분석한 결과, 스마트카드 공격, 내부자 공격, 패스워드 추측 공격 등 여러 공격에 안전하여 DRM의 사용자를 안전하게 인증할 수 있다.

• 한국통신학회논문지
• /
• 제39B권4호
• /
• pp.207-215
• /
• 2014

많은 웹 서비스에서 편리성을 이유로 패스워드 기반 인증 시스템을 주로 사용한다. 패스워드 기반 인증 시스템은 패스워드 추측공격, 사전식 대입공격, 키 로깅 공격 등 다양한 공격에 취약한 것으로 알려져 왔다. 뿐만 아니라 대부분 웹 기반 인증 시스템은 서버가 사용자를 인증하는 단방향 인증만을 제공하므로 사용자는 현재 접속하여 비밀 정보를 남기고자하는 서버가 적합한지 검증 할 수 없다. 따라서 DNS 스푸핑 공격이나 피싱, 파밍과 같은 공격에 대응하기가 어렵다. 이러한 웹 서비스의 보안 취약점을 개선하기 위해 OTP를 사용하거나 패스워드 길이를 증가시키고, 특수기호를 포함하는 패스워드를 생성하게 하는 방안들이 적용되고 있다. 그러나 OTP 장치의 구입비용 발생, 복잡한 패스워드로 인한 사용자의 편리성 저하 등 실용성의 문제가 있다. 무엇보다 단방향 인증 기반에서는 여전히 취약점이 존재한다. 이를 해결하기 위해 본 논문에서는 QR-Code를 활용한 다중채널, 다중요소 인증시스템을 제안한다. 제안하는 시스템은 상호 인증을 제공하여 피싱이나 파밍과 같은 공격에 대응할 수 있다. 또한 휴대용 스마트 기기를 OTP 생성기로 활용하여 사용자의 편리성을 보장하면서 기존 패스워드 공격들에 대응할 수 있다.

• 한국컴퓨터정보학회논문지
• /
• 제28권10호
• /
• pp.93-101
• /
• 2023

본 논문에서는 2023년에 Chen-Chen이 제안한 ECC와 생체정보를 사용한 TMIS 인증 프로토콜을 분석한 결과, 사용자 가장 공격, 중간자 공격, 사용자 익명성 등의 안전성 문제가 있었다. 그러므로 본 논문에서는 이러한 문제를 해결하기 위하여 사용자 익명성을 제공하는 개선된 인증 프로토콜을 제안한다. 본 논문에서 제안한 프로토콜의 안전성 문제를 분석한 결과, 제안한 프로토콜은 오프라인 패스워드 추측 공격, 사용자 가장 공격, 스마트카드 분실 공격, 내부자 공격, 전방향 안전성, 재생 공격 등 여러 공격에 안전한 것으로 분석되었다. 또한 TMIS에서 반드시 보장해야 하는 사용자 익명성과 추적 불가능성도 함께 보장하여 사용자의 프라이버시를 보장하는 것으로 나타났다. 게다가 계산 복잡도에서도 크게 증가하지 않아 실행시간의 효율성도 달성하였다. 그러므로 본 논문에서 제안한 프로토콜은 TMIS에 적합한 사용자 인증 프로토콜이다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2013년도 추계학술발표대회
• /
• pp.691-694
• /
• 2013

최근 네트워크 기술의 급속한 발전과 함께 사람들은 인터넷을 통해 다양한 서비스를 이용할 수 있다. 이러한 인터넷 환경에서 이용되는 기존 패스워드 기반의 사용자 인증은 패스워드 테이블은 요구하게 되고 패스워드 테이블 노출로 발생할 수 있는 위협들이 존재한다. 원격 사용자 인증 방식은 원격 사용자 인증 방식은 사용자의 패스워드 테이블은 요구하지 않는 인증 방식으로 스마트카드를 이용한 원격 사용자 인증에 대한 다양한 연구들이 진행되었다. 하지만, 스마트카드를 이용한 원격 사용자 인증은 통신상의 위협뿐만이 아니라 스마트카드에 저장된 정보를 통해 패스워드 추측의 위협이 발생할 수 있다. 본 연구는 해시 기반의 검증 값을 이용하여 오프라인 상에서 스마트카드에 대한 패스워드 추측 공격으로부터 안전한 방식을 제안하였다.

• 한국인터넷방송통신학회논문지
• /
• 제12권1호
• /
• pp.231-237
• /
• 2012

2011년에 Das는 Li-Hwang의 스킴의 보안 문제점을 개선하면서 강력한 인증과 상호 인증을 제공할 수 있는 효율적인 생체인식 기반 원격사용자 스킴을 제안하였다. 본 논문에서는 Das의 인증 스킴이 여러 가지 공격들에 대해 안전하지 않으며 상호 인증도 제공하고 있지 않음을 증명하였다. 또한, 본 논문에서는 비록 스마트 카드에 저장되어 있는 비밀정보가 누출된다 하더라도 이와 같은 보안 문제점들을 해결할 수 있는 개선된 스킴을 제안하였다. 보안성 분석 결과, 개선된 스킴은 사용자 위장 공격, 서버 위장 공격, off-line 패스워드 추측 공격 그리고 내부자 공격에 안전하고 사용자와 서버 사이에 상호인증을 제공함을 알 수 있다.

• 정보보호학회논문지
• /
• 제26권6호
• /
• pp.1471-1481
• /
• 2016

최근 IoT에 대한 관심이 급증함에 따라 다양한 IoT 서비스들이 출시되고 있다. 그 중 스마트홈은 사용자의 주거공간에 IoT를 접목함으로써 우리의 생활과 매우 밀접하게 연관되어 있다. 그렇기 때문에, 정당하지 않은 사용자가 스마트홈 내부의 디바이스에 접근한다면, 일상생활과 매우 밀접한 만큼 사용자에게 더 큰 피해를 입힐 수 있다. 예를 들어 스마트홈 내부의 도어락에 인증되지 않은 공격자가 접근하여 명령을 수행할 수 있게 된다면, 주거 침입의 형태로 큰 재산 피해를 입을 수도 있다. 이를 방지하기 위해 본 논문에서는 패스워드 기반의 인증 및 키 교환(PAKE)을 이용하여 사용자와 디바이스가 홈 게이트웨이를 통해 인증과 키 교환을 할 수 있는 3자간 PAKE(3PAKE) 기법을 제안한다.

• 한국컴퓨터정보학회논문지
• /
• 제26권10호
• /
• pp.101-108
• /
• 2021

본 논문에서는 Shin이 제안한 TMIS를 위한 동적 ID 기반의 강력한 사용자 인증기법을 분석하고, Shin의 인증 기법이 스마트카드 분실 공격에 취약하여, 공격자가 사용자의 ID를 획득할 수 있고, 이로 인하여 사용자 가장 공격 등이 가능함을 보인다. 2019년에 Shin이 제안한 인증 기법은 ECC를 사용하여 강력한 난수 생성을 시도함으로써, 난수 ri를 모르면 ECC 알고리즘의 난이도에 의하여 난수 r'i를 계산해낼 수 없어서, 스마트카드를 분실하여도 안전하다고 주장하였다. 그러나 본 논문에서 Shin의 인증 기법을 분석한 결과, 전송 메시지와 스마트카드를 사용하면 난수 r'i를 쉽게 계산할 수 있고, 이로 인하여 공격자는 세션키 생성도 가능하였다. 또한 Shin의 인증 기법은 안전성 분석에 대한 취약점뿐만 아니라, 서버의 ID인 SID를 사용자들에게 전달하는 방식의 부재, 사용 시마다 약간씩 다른 템플릿을 가지는 생체정보의 특성을 고려하지 않은 점 등 다수의 설계상의 오류들이 존재하였고, 서버에서 사용자의 ID를 계산해내는 시간 복잡도가 다른 인증 기법들에 비하여 상당히 큰 오버헤드를 가진 것으로 분석되었다.

• 한국정보과학회논문지:정보통신
• /
• 제29권3호
• /
• pp.324-332
• /
• 2002

무선 인터넷을 위한 보안 프로토콜은 인증과 키 교환을 주목적으로 하며, 주로 WPKI(WAP Public Key Infrastructure)를 가정하고 인증서를 이용하여 설계되었다. 이 논문에서는 무선 인터넷 보안에서 중요한 역할을 하고 있는 두 가지 프로토콜, 즉 WTLS와 무선 PKI에서의 인증서 요청 프로토콜을 인증서 없이 패스워드만으로 동작하는 프로토콜로 설계해 본다. 패스워드의 충분하지 않은 랜덤성과 짧은 길이로 인해 인증 및 키 교환 프로토콜의 설계에 패스워드를 사용하는 것은 많은 주의를 요하며, 이를 위해 안전성 증명을 가지는 프로토콜 프레임웍을 이용하여 WTLS와 인증서 요청 프로토콜을 설계했다. 이 논문에서 설계한 보안 프로토콜들은 패스워드를 이용한 인증 및 키 교환을 어떻게 할 것인가에 대한 하나의 방법론을 보여주고 있으며, 이를 바탕으로 패스워드를 이용한 상호 인증 및 키 교환이 필요한 곳에서 새로운 보안 프로토콜을 설계할 수 있다.