• 정보보호학회논문지
• /
• 제16권2호
• /
• pp.121-127
• /
• 2006

최근에 Chang등$^[9]$은 Yeh등$^[8]$이 제안한 패스워드 기반의 인증된 키교환 프로토콜의 성능을 향상시키기 위하여 새로운 패스워드 기반의 키교환 프로토콜과 패스워드 변경 프로토콜을 제안하였다. 그러나 Wang등$^[10]$은 Chang등의 패스워드 변경 프로토콜이 사전공격과 서비스거부 공격에 취약함을 제시하였다. 본 논문에서는 Chang등의 패스워드 변경 프로토콜에 존재하는 문제점을 해결하기 위한 개선된 프로토콜을 제안한다. 본 논문에서 제안한 프로토콜에서는 주고받는 메시지에서 패스워드를 유추하고 유추된 패스워드를 검증하는 것이 불가능하도록 메시지의 형태를 변경한다. 제안한 프로토콜은 기존의 패스워드 기반의 프로토콜이 갖는 장점을 유지하면서 이 방식의 문제점들을 효율적으로 해결한다.

• 대한전자공학회논문지TC
• /
• 제42권2호
• /
• pp.33-38
• /
• 2005

본 논문에서는 안전하지 않은 통신상에서 사람이 기억할 수 있는 패스워드를 이용하여 클라이언트와 서버 간에 서로를 인증하고 세션키를 공유하기 위한 패스워드 기반의 인증된 키 교환 프로토콜을 제안한다. 제안된 프로토콜은 인증된 사용자가 자유롭게 자신의 패스워드를 변경할 수 있는 기능을 제공한다. 또한 다양한 공격들에 안전하고 완전한 전방향 보안성을 제공하도록 설계되었다. 더욱이 제안된 프로토콜은 같은 보안 요구 사항을 가지는 기존의 잘 알려진 패스워드 기반의 키 교환 프로토콜들과 비교하여 좋은 성능을 제공한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2019년도 춘계학술대회
• /
• pp.197-200
• /
• 2019

FTP(File Transfer Protocol)는 컴퓨터간의 파일을 전송하는 프로토콜로 암호화된 연결인 TLS를 이용한 FTPS, 이와 비슷한 SSH에 기반한 SFTP가 있다. ID와 Password 도용사례를 해결하기 위해 1회용 비밀번호인 OTP(One-Time Password)를 적용하려는 기조가 확산되었다. 본 논문에서는 클라이언트의 변화 없이 TLS Level에서 데이터 전송과 OTP를 이용한 신원 인증 모두 가능함을 확인 하였다.

• 한국산학기술학회논문지
• /
• 제10권10호
• /
• pp.2750-2759
• /
• 2009

본 논문은 2008년 Bindu 등이 제안한 프로토콜의 취약점을 분석하고, 이를 해결할 수 있는 향상된 프로토콜을 제안한다. 제안한 프로토콜은 안전성면에서 타임 스탬프를 사용하지 않고 랜덤 수를 사용하여 제한된 재전송 공격과 서비스 거부 공격을 방지할 수 있다. 이와 더불어 사용자의 ID 정보를 AES로 암호화하여 전송함으로써 사용자의 익명성을 제공하였다. 또한, 멱승 연산을 제거하고 사용자가 자유롭게 패스워드를 변경할 수 있는 패스워드 변경 단계를 추가하여 프로토콜의 효율성을 높였다. 논문에서는 제안한 프로토콜을 STM 스마트 카드에 직접 구현하고 인증 서버를 설치하여 그 동작이 정확하고 효율적임을 검증하였다.

• 한국통신학회논문지
• /
• 제27권11C호
• /
• pp.1074-1080
• /
• 2002

시간을 이용한 일회용 패스워드 방식은 별도 동기가 필요 없기 때문에 클라이언트/서버 환경 등에서 특히 유용하게 사용될 수 있다. 그러나 시간을 이용한 일회용 패스워드 방식에서는 시간편차에 의한 인증 실패가 발생할 수 있다. 이 논문에서는 시간편차에 의한 인증이 실패할 가능이 있는 기간을 표시하는 1비트 정보를 이용하여, 시간편차에 의한 인증 실패가 발생하지 않는 효율적인 일회용 패스워드 알고리즘을 제안하며, 아울러 제안된 일회용 패스워드 알고리즘에 부가정보 2 비트를 추가하여 시간교정을 겸할 수 있는 알고리즘 또한 제안한다.

• Journal of Information Processing Systems
• /
• 제6권3호
• /
• pp.335-346
• /
• 2010

The present study investigates the difficulty of solving the mathematical problem, namely the DLP (Discrete Logarithm Problem) for ephemeral keys. The DLP is the basis for many public key cryptosystems. The ephemeral keys are used in such systems to ensure security. The DLP defined on a prime field $Z^*_p of random prime is considered in the present study. The most effective method to solve the DLP is the ICM (Index Calculus Method). In the present study, an efficient way of computing the DLP for ephemeral keys by using a new variant of the ICM when the factors of p-1 are known and small is proposed. The ICM has two steps, a pre-computation and an individual logarithm computation. The pre-computation step is to compute the logarithms of a subset of a group and the individual logarithm step is to find the DLP using the precomputed logarithms. Since the ephemeral keys are dynamic and change for every session, once the logarithms of a subset of a group are known, the DLP for the ephemeral key can be obtained using the individual logarithm step. Therefore, an efficient way of solving the individual logarithm step based on the newly proposed precomputation method is presented and the performance is analyzed using a comprehensive set of experiments. The ephemeral keys are also solved by using other methods, which are efficient on random primes, such as the Pohlig-Hellman method, the Van Oorschot method and the traditional individual logarithm step. The results are compared with the newly proposed individual logarithm step of the ICM. Also, the DLP of ephemeral keys used in a popular password key exchange protocol known as Chang and Chang are computed and reported to launch key recovery attack.

• 한국컴퓨터정보학회논문지
• /
• 제12권6호
• /
• pp.201-206
• /
• 2007

정보통신기술의 발전은 인터넷뱅킹과 e-business의 활성화를 가져왔고 그 매체로써의 스마트카드는 전자서명 인증관리센터의 사용자인증용으로 전자화폐, 교통카드, 출입카드 등으로 널리 보급되어 보편화되고 있다. 정보통신 공중망을 이용하는 분야에서는 스마트카드에 대한 보안과 카드 소지자의 프라이버시 보호가 매우 중요하다. 스마트카드 보안의 핵심은 사용자 인증으로 스마트카드에 대한 안전한 사용이다. 프라이버시 보호를 위한 익명성 보장과 가용성을 위한 서비스거부공격에 대한 대책이 필요하다. 본 논문에서는 Hwang-Li's, Sun's, L-H-Y scheme을 분석한 다음 일회용 해시함수를 사용하여 세션마다 안전하게 패스워드 확인자를 변경하고 익명성과 서비스거부공격에 안전한 보다 효율적인 새로운 스마트카드 인증 프로토콜을 제안한다.

• 정보과학회 컴퓨팅의 실제 논문지
• /
• 제23권6호
• /
• pp.350-358
• /
• 2017

최근에 발생한 네이트와 옥션, 농협 등의 기업 및 대형 포털 웹 사이트에서의 도용된 ID와 패스워드를 이용한 개인 정보의 유출 사고는 개인 정보 보호의 중요성을 시사한다. 사용자 계정에 대한 접근을 실시간으로 관리하면, 사용자는 개인 정보 유출이 발생하기 전에 해당 접근을 차단할 수 있을 것이다. 따라서 본 논문에서는 포털 사이트로부터 인가 받은 ID와 패스워드를 타인이 사용하여 접속하는 경우에 발생 가능한 개인 정보의 유출 사고를 방지하기 위한 방안을 제시한다. 구체적으로는 사용자에게 로그인 상태 정보를 가시화하여 보여주고 필요에 따라 특정 IP(Internet Protocol)와 시간에 따른 정보를 확인할 수 있는 모바일 상태 제어 앱을 제안함으로써, 실시간으로 사용자 계정의 로그인 상태를 제어한다. 또한 IP 주소를 변경하며 접속하는 duplicated login을 탐지하고 차단하기 위한 방안을 제안한다.

• 전기학회논문지
• /
• 제63권11호
• /
• pp.1571-1574
• /
• 2014

In this paper, we propose a unidirectional transmission of critical information obtained by keyboard hacking or kernel and keyboard driver hacking even though the computer is not connected to the external network. We show the hacking can be attempted in the proposed method to show the way preventing such attempts in advance. Firewalls and other various methods are used to prevent the hacking from the external network but the hacking is also attempted in various ways to detour the firewall. One of the most effective way preventing from the hacking attack is physically disconnect the internal intranet systems from the external internet and most of the government systems, military systems and big corporate systems are using this way as on one of the protection method. In this paper, we show the feasibility of transmission of security codes, etc via the short message to the external network on the assumption that a hacking program such as Trojan Horse is installed on the computer systems separated from the external network. Previous studies showed that the letters on the monitor can be hijacked by electromagnetic analysis on the computer to obtain the information even though the system is not connected ti the network. Other studies showed that the security code hint can obtained by analyzing the power consumption distribution of CPU. In this paper, the power consumption distribution of externally accessible power line is analyzed to obtain the information and the information can be transmitted to the external network. Software controlling the CPU and GPU usage is designed to control the power supply of computer. The sensors such as the Rogowski coils can be used on the external power line to collect the data of power consumption change rates. To transmit the user password by short message, due to the capacitive components and the obstacle from other power supply, A very slow protocol are used.

• 한국컴퓨터정보학회논문지
• /
• 제15권12호
• /
• pp.85-92
• /
• 2010

다자간 화상상담에서 회의 참여자의 인증을 위해 참여자의 ID와 패스워드를 대칭키로 암호화하여 전송하는 방식은 비밀키의 수가 많아지게 되어 암호화와 복호화를 위한 키의 관리가 어렵다는 것과, 제3자가 대칭키를 스니핑 할 수 있어서 화상상담의 보안성이 떨어지는 문제점이 있다. 본 논문에서는 화상상담에서 보안성을 높이기 위해, 첫째, 다수의 회의 참여자를 PKI 기반의 X.509 인증서로 인증하고, 둘째, 영상통신에서 참여자의 개인키를 교환하여 세션공유키로 만들고 세션공유키의 조합을 통해 키를 만들어 참여자가 바뀔 때마다 키를 갱신하였다. 셋째, 화상회의시 전송되는 미디어 데이터의 RTP 페이로드를 암호화하여 전송함으로써 보안성을 높였다.