• International Journal of Internet, Broadcasting and Communication
• /
• 제9권3호
• /
• pp.35-43
• /
• 2017

In 2013, Lee-Lie proposed secure smart card based authentication scheme of Zhu's authentication for TMIS which is secure against the various attacks and efficient password change. In this paper, we discuss the security of Lee-Lie's smart card-based authentication scheme, and we have shown that Lee-Lie's authentication scheme is still insecure against the various attacks. Also, we proposed the improved scheme to overcome these security problems of Lee-Lie's authentication scheme, even if the secret information stored in the smart card is revealed. As a result, we can see that the improved smart card based user authentication scheme for TMIS is secure against the insider attack, the password guessing attack, the user impersonation attack, the server masquerading attack, the session key generation attack and provides mutual authentication between the user and the telecare system.

• 정보보호학회논문지
• /
• 제12권6호
• /
• pp.113-124
• /
• 2002

지금까지 연구된 패스워드 기반 인증 키 공유 프로토콜에 대한 제안은 대부분이 증명 가능한 안전성 논의에 초점이 맞추어져 있었다. 하지만 모바일(mobile) 환경과 같은 실제적인 환경에서는 안전성만큼이나 효율성은 매우 중요한 논의사항이다. 본 논문에서는 랜덤 오라클(random oracle) 모델에서 안전성이 증명된 $PAK^{[1]}$의 효율성에 대해 논의한다. PAK을 구성하는데 쓰이는 4개의 해쉬 함수 $H_i, (1\leq i\leq 4)$ 가운데 패스워드의 증명자를 생성하는 첫 번째 해쉬 함수는 PAK의 효율성에 가장 중요한 영향을 미친다. ［1］에서 제시된 $H_1$의 구성에 대한 두 가지 방법을 분석하고, 위수 q인 또 다른 생성원을 사용하는 $H_{1q}$ 방법이 효율성에 장점을 가짐을 보인다. ［2］에서 제안과는 다르게, 패스워드에 대한 해쉬 함수 출력 값을 타원곡선 위의 점 또는 XTR 부분군의 원소로 변환시키는 부가적인 절차를 요구하지 않는 PAK2-EC와 PAK2-XTR을 제시한다. 마지막으로, PAK2 프로토콜을 SPEKE, AMP 그리고 SRP와 같은 패스워드 기반 인증 키 공유 프로토콜들과 계산량을 비교한다.

• 한국컴퓨터정보학회논문지
• /
• 제16권2호
• /
• pp.183-191
• /
• 2011

최근 Wang-Li 등[6]은 자신이 선택한 패스워드와 스마트카드를 이용하여 원격지에 있는 사용자를 인증할 수 있는 스킴을 제안하였다. 그러나 Wang-Li 등에 의해 제안된 스킴은 패스워드 기반 스마트카드를 이용한 사용자 인증 스킴에서 고려하는 보안 요구사항을 만족하지 못하고 있다. 본 논문에서는, Wang-Li 및 Yoon 등[7]의 인증 스킴에 대해 기술하였고, 공격자가 사용자의 스마트카드를 훔치거나 일시적으로 접근할 수 있는 경우에 Wang-Li 등의 인증 스킴은 off-line 패스워드 추측공격 및 위장공격에 취약하다는 것을 증명하였다. 그리고 이와 같은 보안 취약점을 해결하기 위하여 hash 함수와 ElGamal 서명기반의 개선된 사용자 인증 스킴을 제안한다. 비교분석 결과, 제안한 사용자 인증 스킴은 패스워드 추측공격, 위장 공격, 재전송 공격 등 다양한 공격에 대응할 수 있고, 순방향 비밀성을 제공하는 스킴임을 알 수 있다. 또한 계산량은 비교 인증 스킴들과 유사하나 보안 취약점을 개선한 스킴으로서 비교할 때 상대적으로 효율적이라 할 수 있다. 따라서 제안한 인증 스킴은 Wang-Li 및 Yoon 등의 인증 스킴보다 상대적으로 안전하고 효율적인 스킴임을 알 수 있다.

• 정보보호학회논문지
• /
• 제19권5호
• /
• pp.175-188
• /
• 2009

패스워드는 그 자체만으로도 낮은 복잡도를 가지고 있을 뿐만 아니라, 안전하지 않은 환경에서 그대로 키보드와 같은 입력 장치를 통하여 입력하는 행위는 훔쳐보기와 같은 공격으로 쉽게 노출될 수 있다. 이러한 문제를 극복하고자 사용자 비밀의 형태를 다른 것으로 바꾸거나 복잡한 입력과정을 통하여 입력을 수행하는 방법들이 제안되어 왔으나, 보안성과 사용자 편의성에 있어서 적합한 타협점을 찾지 못하고 있다. 이 논문에서는 행렬 상에 문자들 사이에서의 연산을 통하여 기존 형태의 패스워드를 비밀로 사용하는 인증 기법에 대해서 소개한다. 다양한 각도에서의 분석을 통하여 기법이 갖는 안전성을 보이고, 사용자 실험을 통하여 사용자들이 실제로 느끼는 기법에 대한 어려움 등을 확인할 것이다.

• 실천공학교육논문지
• /
• 제15권3호
• /
• pp.641-647
• /
• 2023

핀테크 환경에서 스마트 폰을 이용한 금융거래가 안전하게 거래되기 위해서는 스마트 폰의 소유자에 대한 인증이 필수적이다. 스마트 폰을 이용한 인증기법은 패스워드 인증, 생체인증, SMS 인증 등이 있다. 사용자 인증에서 패스워드 입력을 통한 인증이 보편적이고 편리성이 높기 때문에 스마트 폰에서 많이 활용되고 있다. 손쉬운 인증이지만 키로깅 공격이나 엿보기 등의 공격에 취약점이 존재한다. 스마트 폰에서 패스워드 입력에서의 취약점을 해결하기 위한 보안 키패드가 제안되고 있다. 터치하는 위치로 입력하는 문자를 유추하는 공격에 강인한 그룹 키패드가 제안되었지만 사용 편리성 측면에 개선이 필요하다. 본 연구에서는 기존의 그룹 키패드에서 그룹핑된 키패드를 측면에 배치하고, 드래그를 활용하여 편리성을 제공하면서 엿보기나 레코딩 공격에 강한 새로운 방법을 제안하고자 한다. 제안 기법은 레코딩 공격을 차단하기 위해 마지막 문자확인 대신 키패드의 새로운 표시를 통해 사용자가 쉽게 확인하고, 터치하는 방법에서도 드래그를 사용하였다. 국내 사용자를 위한 다양한 배치 방법을 제시하여 패스워드 입력에서 기존 방식보다 입력의 효율성과 안전성을 제시하였다.

• 대한임베디드공학회논문지
• /
• 제11권3호
• /
• pp.135-141
• /
• 2016

Indoor zone-based services have continuously become popular by increased prevalence of smartphones. Bluetooth and ultrasound can be used for zone detection. However, bluetooth does not guarantee precise zone detection if the signal degrades due to the obstacles. Ultrasound can be easily forged by recording sound on the smartphone. For that reason, zone detection based on ultrasound has a security hole. To remedy each limitation, we propose an advanced zone detection method, that combines bluetooth and ultrasound. An authentication server issues a one-time password to the user over bluetooth. The user generates an ultrasound signal that encodes the password. In this manner, the proposed method ensures secure and accurate zone detection.

• 한국멀티미디어학회논문지
• /
• 제11권6호
• /
• pp.845-851
• /
• 2008

The ID/password method is the most classical method among authentication techniques on the internet, and is performed more easily and successfully than other methods. However, it is a vulnerable method against attacks such as eavesdropping or replay attack. To overcome this problem, OTP technique is used. The most popular OTP is HOTP algorithm, which is based on one-way hash function SHA-1. As recent researches show the weakness of the hash function, we need a new algorithm to replace HOTP. In this paper we propose a new OTP algorithm using the MAC(Message Authentication Code) based on AES. We also show that the new OTP outperforms HOTP experimentally.

• 인터넷정보학회논문지
• /
• 제20권1호
• /
• pp.25-37
• /
• 2019

심층 학습 및 온라인 생체 인식 기반 인증의 급속한 개발에 영감을 받아, 본 논문에서는 심층 학습을 기반으로 필체 인식 및 작성자 검증을 수행하는 수기 일회성 암호 인증 시스템을 제안한다. 본 논문에서는 수기로 작성된 숫자를 인식할 수 있는 합성곱 신경망과, 입력된 필체와 실제 사용자의 필체 사이 유사성을 계산할 수 있는 Siamese 신경망을 설계한다. 본 논문에서는 작성자 검증을 위한 NIST Speical Database 19 제 2판의 첫 번째 응용 사례를 제시한다. 본 논문이 제안하는 시스템은 네 장의 입력 이미지를 기반으로 한 숫자 인식 작업에서 98.58%, 작성자 검증 작업에서 93%의 정확도를 달성했다. 본 논문의 저자들은 제안한 필체 기반 생체 인식기술이 FIDO 프레임워크 기반의 다양한 온라인 인증 서비스에 활용될 수 있을 것이라 예상한다.

• 전자공학회논문지CI
• /
• 제49권3호
• /
• pp.56-61
• /
• 2012

사용자 인증은 인터넷 상의 많은 리소스를 인가된 사용자만 사용하도록 안전한 시스템 구축의 필수 요소이며 암호화 기법은 데이터 프라이버시를 제공하는 것을 목적으로 한다. 또한, 검색 가능한 암호화 기법은 데이터의 프라이버시와 함께 키워드를 이용한 검색으로 데이터의 효율적인 관리를 목적으로 한다. 공개키 기반의 검색 가능한 암호화 시스템은 사용자의 공개키에 대한 인증이 미리 이루어져야 하고 사용자 별 공개키/개인키에 대한 안전한 관리가 요구된다. 클라우드 환경에서는 다양한 디바이스를 통해 인터넷 클라우드 환경의 다양한 리소스를 사용가능하도록 하는 것이 목적이며 이에 반해서 다양한 디바이스들은 실제로 공개키/개인키에 대한 관리 및 인증서를 관리하기에는 리소스가 부족할 수 있으며 디바이스마다 이러한 클라이언트를 구현한다는 것은 쉽지 않다. 이러한 문제점들을 해결하기 위해서 H/W적인 안전성을 보장하는 temper-resistant한 device인 스마트 카드(smart card)를 이용한 암호화된 데이터에서의 패스워드 기반의 인증된 사용자의 검색 기술을 제안한다.

• 한국산업정보학회논문지
• /
• 제16권1호
• /
• pp.9-19
• /
• 2011

Secure and efficient authentication schemes over insecure networks have been a very important issue with the rapid development of networking technologies. Wang et al. proposed a remote user authentication scheme using smart cards. However, recently, Chen et al. pointed out that their scheme is vulnerable to the impersonation attack and the parallel session attack, and they proposed an enhanced authentication scheme. Chen et al. claimed that their scheme is secure against the various attacks. However, we have found that their scheme cannot resist the parallel attack and the stolen smart card attack. Therefore, in this paper, we show the security flaws in Chen et al.'s scheme and propose an improved remote user authentication scheme using tamper-resistant smart cards to solve the problem of Chen et al.'s scheme. We also analyze our scheme in terms of security and performance.