• 정보보호학회논문지
• /
• 제18권5호
• /
• pp.17-30
• /
• 2008

본 논문에서는 두 사용자들 사이에 패스워드를 공유하고 있지 않은 환경에서 세션 키(session key)를 공유할 수 있는 패스워드 기반 키 교환 프로토콜을 제안한다. 제안 프로토콜에서 두 사용자들은 서버에 자신의 패스워드를 등록한 후, 서버의 도움을 밭아 동일한 세션 키를 공유하게 된다. 제안 프로토콜은 랜덤오라클(random oracle)을 사용하지 않고 전방향 안전성(forward secrecy)을 만족하는 프로토콜로써, 기존 랜덤오라클을 사용하는 프로토콜과 비교했을 때 효율성 면에서 큰 차이가 없다. 제안 프로토콜에서는 인간이 기억하기 쉬운 패스워드만을 사용하고 프로토콜을 수행하는데 필요한 다른 모든 정보는 공개된 정보이다.

• 정보보호학회논문지
• /
• 제32권5호
• /
• pp.827-835
• /
• 2022

온라인상에서 안전하게 금융서비스를 이용하기 위해서는 사용자를 인증하는 기술이 요구된다. 키보드를 사용한 비밀번호 입력 방식이 가장 일반적이나, 키보드 입력이 쉽게 유출될 수 있음이 알려짐에 따라 많은 인터넷 뱅킹 서비스 및 간편 결제 서비스에서는 가상키보드를 사용하고 있다. 하지만 안전할 것이라는 기대와 달리, 가상키보드 역시 키보드 입력이 유출될 위험성이 존재했다. 본 논문에서는 가상키보드의 비밀번호 유출 가능성을 분석하고, PC 환경에서 마우스 이벤트 후킹과 화면캡처를 활용한 비밀번호 유출 방안을 제시했다. 또한, 국내 유명 인터넷 뱅킹 웹사이트 및 간편결제 서비스에서 비밀번호 유출 공격 가능성을 직접 검사하였으며, 그 결과 PC 운영체제에서 수행되는 가상키보드를 통한 비밀번호 입력방식이 안전하지 않음을 검증하였다.

• 산업융합연구
• /
• 제21권9호
• /
• pp.49-56
• /
• 2023

개인별 서비스를 위한 ID 기반 인증으로 ID가 식별정보로 활용되고, 패스워드가 사용자 인증에 사용된다. 안전한 사용자 인증을 위해 패스워드는 클라이언트에서 해시값으로 생성하여 서버에 전달되고 서버에 저장된 정보와 해시값을 비교하며 인증을 수행한다. 하지만 패스워드의 해시값은 패스워드에서 한 개라도 틀리면 전혀 다른 해시값이 생성되어 사용자 인증에 실패하여 패스워드에 의한 다양한 기능을 적용할 수 없다. 본 연구에서는 입력된 패스워드의 해시값을 허수를 포함하여 여러 개 생성하고 서버에 전송해서 인증을 수행한다. 또한 제안 기법에서는 여러 권한을 가진 사용자가 하나의 계정으로 다양한 권한을 부여받을 수 있도록 패스워드에 따라 권한을 차등적으로 부여할 수 있다. 제안 기법을 통해 허수 패스워드를 생성함으로써 엿보기 공격을 차단하고, 패스워드 기반으로 권한을 부여하므로 다양한 권한을 가진 사용자에게 편리성을 제공할 수 있다.

• 한국정보과학회논문지:정보통신
• /
• 제30권1호
• /
• pp.75-81
• /
• 2003

인터넷과 같이 신뢰할 수 없는 네트워크를 통한 통신에서 비밀성과 무결성 뿐만 아니라 원거리 사용자 인증은 시스템의 보안에서 중요한 부분이다. 그러나 사용자 인증정보로서 인간이 기억할 수 있는 패스워드의 사용은 패스워드의 선택범위가 사용자의 기억에 제한 받는 낮은 비도(Entropy) 때문에 공격자의 오프라인 사전공격에 취약하다. 본 논문은 원거리 사용자 인증과 키 교환에 적합한 새로운 패스리드 인증 및 키 협상 프로토콜을 제안한다. 이 프로토콜은 오프라인 사전공격을 예방할 수 있으며 공격자에게 패스워드가 노출되더라도 이전 세션의 복호화나 이후 세션키의 손상에 영향을 미치지 않는 PFS(Perfect Forward Secrecy)를 제공한다. 또한 사용자의 패스워드가 서버의 패스리드 데이타베이스 파일에 순수하게 패스워드 자체로 저장되지 않기 때문에 공격자가 패스워드 데이타베이스를 획득하더라도 직접적으로 프로토콜의 안전성을 손상하지 않으며 직접 서버에 접근을 요청할 수 없다. 또한 PKI 및 키서버와 같은 제3의 신뢰기관을 이용하지 않기 때문에 단순인증에 적합하다. 따라서 이 프로토콜은 웹을 통한 홈뱅킹이나 사용자의 모바일 환경이 요구되는 셀룰러 폰, telnet이나 ftp와 같은 로긴 시스템, 기존 패스워드를 이용한 인증시스템 개선 등의 어플리케이션에 유용한 인증형태를 제공하며 인증정보가 장기간 저장될 필요성이 있어 위험하거나 실용적이지 못한 경우와 SSL(Secure-Sockets Layer), SET(Secure Electronic Transactions), IPSEC(Internet Protocol Security Protocol) 서비스에 추가될 수 있다.

• 한국항행학회논문지
• /
• 제14권3호
• /
• pp.415-425
• /
• 2010

개방형 네트워크에서 사용자 인증은 중요한 보안 기술이다. 특히, 패스워드 기반의 인증 방식은 분산된 환경에서 가장 널리 사용되고 있으며, 현재까지 많은 인증 방식들이 제안되고 있다. 그 중 하나인 SPMA 프로토콜은 NSPA 프로토콜에서 상호인증을 제고하지 않는 문제점으로 인하여 발생할 수 있는 취약성을 지적하며, 상호인증을 제공하는 강력한 패스워드 상호인증 프로토콜을 제안하였다. 하지만 SPMA 프로토콜은 재전송 공격에 대한 취약성을 가지고 있다. 따라서 본 논문에서는 SPMA 프로토콜의 재전송 공격에 대한 취약성을 분석하고, SPMA 프로토콜과 동일한 효율성을 제공하면서 재전송 공격에 안전한 개선된 강력한 패스워드 상호인증 프로토콜을 제안한다.

• 한국인터넷방송통신학회논문지
• /
• 제12권3호
• /
• pp.195-200
• /
• 2012

스마트폰은 사용자들에게 편리함을 제공하지만 분실과 악성코로 인한 보안적인 측면에서 문제점을 이슈가 되고 있다. 본 논문에서는 이중 보안 시스템 환경을 이용하여 기존에 사용되어지고 있는 스마트폰 뱅킹 환경에서의 문제점을 해결하고자 한다. 분실 또는 악성코드를 통해 개인정보 유출, 금전적인 피해를 줄이기 위해서는 스마트폰 뱅킹 서비스 환경에서 개인정보의 통제 및 보호가 보장되는 개인인증 방법을 제공할 필요가 있다. 이를 위해서 기존 ID/Password 방식과 더불어 공인인증서와 함께 스마트폰의 자이로센서를 이용한 이중 패스워드 인증 방식을 제안한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2010년도 추계학술대회
• /
• pp.227-228
• /
• 2010

일회용 암호는 동일한 암호를 반복해서 사용하는 방법에 비해 생성된 암호를 한번만 사용하는 특성을 가져 보다 안전하다. "휴대폰 상에서 특정 트랜잭션용 추가 인증을 제공하는 일회용 암호 생성기 설계 방안"에서는 챌린지 교환방식을 활용한 일회용 생성기를 제안하였다. 하지만 챌린지값 교환의 문제점과 기존과 동일한 암호비도 수준을 보인다. 본 논문에서는 제시된 일회용 암호 생성기 설계 방안에 대해 분석하고 해결방안과 새로운 방안을 제시하여 중간자 공격과 재사용 공격에 강화되면서 보다 높은 수준의 암호비도수준을 보여주는 방법을 제안한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제9권12호
• /
• pp.4987-5014
• /
• 2015

The bilinear pairing, also known as Weil pairing or Tate pairing, is widely used in cryptography and its properties help to construct cryptographic schemes for different applications in which the security of the transmitted data is a major concern. In remote login authentication schemes, there are two major requirements: i) proving the identity of a user and the server for legitimacy without exposing their private keys and ii) freedom for a user to choose and change his password (private key) efficiently. Most of the existing methods based on the bilinear property have some security breaches due to the lack of features and the design issues. In this paper, we develop a new scheme using the bilinear property of an elliptic point and the biometric characteristics. Our method provides many features along with three major goals. a) Checking the correctness of the password before sending the authentication message, which prevents the wastage of communication cost; b) Efficient password change phase in which the user is asked to give a new password after checking the correctness of the current password without involving the server; c) User anonymity - enforcing the suitability of our scheme for applications in which a user does not want to disclose his identity. We use BAN logic to ensure the mutual authentication and session key agreement properties. The paper provides informal security analysis to illustrate that our scheme resists all the security attacks. Furthermore, we use the AVISPA tool for formal security verification of our scheme.

• 한국정보과학회논문지:정보통신
• /
• 제31권3호
• /
• pp.252-258
• /
• 2004

본 논문에서는 사용자와 서버가 사전에 공유한 패스워드 정보를 이용하여 안전하게 세션키를 생성하는 인증 키 교환 프로토콜을 제안한다. 제안된 프로토콜은 디피헬만 스킴을 기반으로 하며, 인증 키 교환 프로토콜 설계 시 요구되는 여러 암호학적 안전성에 대한 요구조건을 만족한다. 제안된 프로토콜은 수동적 또는 능동적 공격자에 의한 오프라인 사전공격에 안전하고, 전방향 안전성을 가진다. 특히, 기존의 연구된 인증 키 교환 프로토콜들과는 달리 제안된 프로토콜은 서버의 패스워드 파일과 같은 사용자 인증파 일이 공격자에게 유출되었을 때 공격자의 사용자 또는 서버 위장공격에 안전하다는 장점이 있다. 또한, 제안된 프로토콜은 성능 면에서 기존의 주요 프로토콜들과 비교해서 보다 효율적이다.

• 정보처리학회논문지D
• /
• 제14D권4호
• /
• pp.363-372
• /
• 2007

100여 년 동안 사용자 확인의 한 축을 담당해오던 비밀번호가 비대면 거래가 활성화 되면서 점차 제 기능을 다하지 못하여 이제 바뀔 때가 되었으며, 그 한 방편으로써 간접패스워드인 브레인키를 패스워드시스템에 적용하면 사용자의 패스워드의 해킹 등 다양한 유출 경로가 없으므로, 보다 안전한 전자 상거래를 활성화시킬 수 있다. 비밀번호는 현대인에게 있어서 생활필수품이므로 이에 대한 독점적 지위와 시장선점은 중요한 의미를 갖는다. 또한 비밀번호에 대한 문제는 국내에 국한 되지 않으므로 국내의 상업성은 일개 기업에 국한되지 않고 국제표준화를 선도할 수 있으므로 국가적 이익에도 부합된다. 본 연구에서는 전자상거래에서 발생하는 보안 솔루션을 제시하고자 한다.