• 정보보호학회논문지
• /
• 제13권1호
• /
• pp.87-97
• /
• 2003

본 논문에서는 사용자가 서버를 신뢰하지 않아도 되는 인증프로토콜을 설계하기 위하여 인증서버에 위탁되는 인증정보에 대한 두 가지 안전성인 “계산 불가능 안전성”과 “분산 안전성”을 정의한다 또한 분산 안전성에 기반 하여 서버를 신뢰하지 않아도 되는 패스워드 기반 인증프로토콜인 MAP(Multiplex Server Authentication Protocol)을 제시하고, 이러한 MAP을 이용한 SSSO(Secure Single Sign On)가 서버를 신뢰하여야 하는 인증프로토콜을 이용한 SSO(Single Sign On)의 문제점을 해결함을 보인다.

• 디지털산업정보학회논문지
• /
• 제5권4호
• /
• pp.139-150
• /
• 2009

Authentication and key exchange are fundamental for establishing secure communication channels over public insecure networks. Password-based protocols for authenticated key exchange are designed to work even when user authentication is done via the use of passwords drawn from a small known set of values. There have been many protocols proposed over the years for password authenticated key exchange in the three-party scenario, in which two clients attempt to establish a secret key interacting with one same authentication server. However, little has been done for password authenticated key exchange in the more general and realistic four-party setting, where two clients trying to establish a secret key are registered with different authentication servers. In fact, the recent protocol by Yeh and Sun seems to be the only password authenticated key exchange protocol in the four-party setting. But, the Yeh-Sun protocol adopts the so called "hybrid model", in which each client needs not only to remember a password shared with the server but also to store and manage the server's public key. In some sense, this hybrid approach obviates the reason for considering password authenticated protocols in the first place; it is difficult for humans to securely manage long cryptographic keys. In this work, we introduce a key agreement protocol and a key distribution protocol, respectively, that requires each client only to remember a password shared with its authentication server.

• 한국통신학회논문지
• /
• 제34권9B호
• /
• pp.931-938
• /
• 2009

Recently, Holbl et al. proposed an improvement to Peyravian-Jeffries's password-based authentication protocol to overcome some security flaws. However, Munilla et al. showed that Holbl et al.'s improvement is still vulnerable to off-line password guessing attack. In this paper, we provide a secure password-based authentication protocol which gets rid of the security flaws of Holbl et al.'s protocol.

• 인터넷정보학회논문지
• /
• 제6권5호
• /
• pp.27-43
• /
• 2005

EAP(Extenwsible Authentication Protocol)는 IEEE Std 802.1x 무선 근거리 통신망 및 RADIUS/DIAMETER 프로토콜을 기반으로 각 개체에 대한 인증을 제공하며 인증의 수단으로 인증서, 패스워드, 이중방식(패스워드 및 토큰)등을 이용한다. 인증된 키교환을 위한 패스워드 기반 인증 방식은 특정 하드웨어 장치 없이도 암기하기 쉬운 간편성, 편리성, 이동성으로 인해 상당히 많이 이용되는 사용자 인증 방식이다. 본 논문에서는 개방형 네트워크를 통해서도 사용자를 인증하고 안전한 암호통신용 세션키 교환에 적합한 패스워드 기반 인증된 키교환 프로토콜 SPAKE(Split Password-based Authenticated Key Exchange)을 제안한다. 더불어 제안된 SPAKE를 토대로 안전한 EAP 인증 프레임워크 EAP-SPAKE를 제시한다.

• 한국항행학회논문지
• /
• 제14권3호
• /
• pp.415-425
• /
• 2010

개방형 네트워크에서 사용자 인증은 중요한 보안 기술이다. 특히, 패스워드 기반의 인증 방식은 분산된 환경에서 가장 널리 사용되고 있으며, 현재까지 많은 인증 방식들이 제안되고 있다. 그 중 하나인 SPMA 프로토콜은 NSPA 프로토콜에서 상호인증을 제고하지 않는 문제점으로 인하여 발생할 수 있는 취약성을 지적하며, 상호인증을 제공하는 강력한 패스워드 상호인증 프로토콜을 제안하였다. 하지만 SPMA 프로토콜은 재전송 공격에 대한 취약성을 가지고 있다. 따라서 본 논문에서는 SPMA 프로토콜의 재전송 공격에 대한 취약성을 분석하고, SPMA 프로토콜과 동일한 효율성을 제공하면서 재전송 공격에 안전한 개선된 강력한 패스워드 상호인증 프로토콜을 제안한다.

• 정보보호학회논문지
• /
• 제15권5호
• /
• pp.73-92
• /
• 2005

Joux의 3자 키 교환 프로토콜은 키 합의 분야에서 가장 뛰어난 업적 가운데 하나이다. 하지만 Joux 프로토콜은 인증 기능을 제공하지 않아 man-in-the-middle 공격에 취약하다. 비록 Joux 프로토콜에 대하여 인증서 기반 그리고 ID 기반 인증기법이 제안되었지만, 아직 1 라운드에 실행되는 안전성이 증명 가능한 패스워드 기반 3자 키 교환 프로토콜은 제안된 바 없다. 본 논문에서는 Joux 프로토콜에 EC-PAK의 패스워드 인증 기법을 적용하여 안전성이 증명 가능한 1 라운드 3자 키 교환 프로토콜을 제안하였다. 그리고 렌덤 오라클 모델을 사용하여 프로토콜의 안전성도 증명하였다.

• 한국산업정보학회논문지
• /
• 제10권2호
• /
• pp.59-66
• /
• 2005

최근에 Ku와 Chen(Ku-Chen)은 기존에 Chien등이 제안한 스마트카드를 이용한 효율적인 패스워드 기반의 원격 사용자 인증 프로토콜의 문제점을 보이고 해결책을 제시하였다. 본 논문에서는 Ku-Chen의 프로토콜 역시 재 전송 공격들에 문제점이 있음을 보이고, 이를 해결하기 위한 두 가지 프로토콜을 제안한다. 먼저, Ku-Chen의 프로토콜에서 존재하는 문제점을 해결하기 위하여 동기화된 타임스탬프(Timestamp)를 이용한 프로토콜을 제안한다. 그리고 타임스탬프에 기반 한 프로토콜이 갖는 궁극적인 문제점을 해결하기 위하여 난수에 기반 한 프로토콜을 제안한다. 본 논문에서 제안한 프로토콜들은 기존의 패스워드 기반의 인증 프로토콜의 장점을 유지하면서 이 방식의 문제점들을 효율적으로 해결한다.

• 정보보호학회논문지
• /
• 제21권6호
• /
• pp.133-140
• /
• 2011

패스워드 기반 인증은 2개의 개체가 사전에 패스워드를 공유하고 인증의 기초로 패스워드를 사용하는 프로토콜이다. 패스워드 인증 방식은 약한 패스워드 인증 방식과 강력한 패스워드 인증 방식이 있다. 강력한 패스워드 인증 방식 중, SPAS는 서비스 거부 공격에 안전한 프로토콜로 제안되었으나 재전송 공격에 대한 취약성을 가지고 있다. 따라서 본 논문에서는 SPAS에 대한 재전송 공격 취약성을 분석하고, 재전송 공격에 안전한 개선된 강력한 패스워드 인증 프로토콜을 제안한다.

• 한국정보과학회논문지:시스템및이론
• /
• 제29권5호
• /
• pp.291-298
• /
• 2002

키 교환 프로토콜에서 상호 인증은 필수 요소이며, 사용자에게 편리하고 비용이 적게 드는 패스워드 기반의 인증 방식이 널리 사용되고 있다. 패스워드 기반의 프로토콜은 패스워드가 가지는 제약으로 인한 공격에 대해서 안전해야 할 뿐 아니라, 사용자의 작업량을 줄이기 위한 효율성도 매우 중요한 요건 이다. 본 논문에서는 서버와 사용자간의 인증을 제공하고 세션키를 공유하기 위한 키 교환 프로토콜 OTP-EKE(One Time Password based Encrypted Key Exchange)를 제안하였다. 키 교환을 위한 사용자 인증방식으로 패스워드 방식을 채택하였다. 특히 서버 디렉토리에 대한 공격 등에 대해서 안전도를 높이기 위하여 원-타임-패스워드 확인자와 서버의 공개 패스워드를 이용하였다. 제안한 프로토콜은 모듈라지수승 계산 횟수와 메시지 전송 횟수를 줄임으로써 효율성 향상을 보인다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제7권2호
• /
• pp.41-48
• /
• 2018

지금까지 피싱에 대응하기 위한 여러 연구가 진행되어 왔다. 가장 대표적인 안티 피싱 방법은 피싱 사이트의 URL 정보를 미리 수집한 뒤, 사용자가 방문하는 사이트의 URL과 미리 저장된 정보를 비교하여 피싱을 탐지하는 방법이다. 하지만 이러한 블랙리스트 기반의 안티피싱 방법은 새로운 피싱 사이트를 탐지하지 못하는 한계를 갖는다. 이에 다양한 안티 피싱 인증 프로토콜이 제안되어 왔지만 대부분 인증과정에서 공개키와 비밀키를 필요로 한다. 이에 본 논문에서는 피싱 공격에 안전한 패스워드 기반 상호 인증 프로토콜을 제안한다. 제안된 프로토콜에서 클라이언트와 서버간의 상호 인증은 패스워드 정보가 포함된 인증 메시지를 통해 수행된다. 인증 과정에서 사용되는 인증 메시지에는 패스워드 원본이 아닌 패스워드의 해시 값이 포함되며, 인증 시 매번 다른 메시지가 사용되기 때문에 재생공격, 도청 공격에 안전하다. 또한, 상호 인증을 수행하기 때문에 중간자 공격에 안전하며, 인증을 위한 별도의 키 발급 과정이 필요없다.