<30332E20BDC5BCF6BAB9B4D42E687770>

Size: px

Start display at page:

Download "<30332E20BDC5BCF6BAB9B4D42E687770>"

태곤 개
5 years ago
Views:

1 情報保護學會論文誌第 23 卷第 2 號, 무선네트워크환경에서모바일디바이스기반효율적인사용자인증기법 * 신수복, 1 예홍진, 1 김강석 2 1 아주대학교정보통신전문대학원, 2 아주대학교대학원지식정보공학과 An Efficient User Authentication Scheme with Mobile Device in Wireless Network Environment* Soobok Shin, 1 Hongjin Yeh, 1 Kangseok Kim 2 1 Graduate School of Information and Communications, Ajou University, 2 Department of Knowledge Information Engineering, Graduate School of Ajou University 요 약 최근스마트폰, 스마트패드와같은모바일디바이스의발전과무선네트워크및이동통신네트워크의발전으로모바일디바이스를이용하는서비스는증가하고있다. 그러나무선네트워크는유선네트워크에비해보안에취약하므로보다강한보안의적용이필요한반면배터리기반의모바일디바이스는낮은계산능력과메모리공간의제약및무선통신에사용되는비용이높기때문에보안의적용은효율적이어야한다. 따라서본논문에서는모바일디바이스를이용한서비스에서요구되는보안요구사항을충족시키고모바일환경에적합한티켓기반의인증기법을제안한다. ABSTRACT Recently, with rapid advances of mobile devices such as smart phone and wireless networking, a number of services using mobile device based wireless network have been explosively increasing. From the viewpoint of security, because wireless network is more vulnerable than wired network, strong security is required in wireless network. On the contrary, the security for mobile devices has to be efficient due to the restrictions of battery powered mobile device such as low computation, low memory space and high communication cost. Therefore, in this paper, we propose an efficient authentication scheme with mobile devices in wireless network environment. The proposed scheme satisfies security requirements for the service using mobile device and it is suitable in wireless network environment. Keywords: Authentication, Ticket, Mobile Device, Wireless Network I. 서론 접수일 (2012 년 9 월 28 일 ), 수정일 (2012 년 12 월 7 일 ), 게재확정일 (2013 년 1 월 22 일 ) * 본연구는지식경제부및한국인터넷진흥원의 고용계약형지식정보보안석사과정지원사업 의연구결과로수행되었음. 주저자, watermel@ajou.ac.kr 교신저자, kangskim@ajou.ac.kr 최근무선네트워크와이동통신네트워크를통해모바일디바이스를이용한많은서비스가생겨나고있다. 따라서안전한서비스를제공하기위해무선및이동통신네트워크환경에서의보안은매우중요한이슈이다. 그러나무선네트워크환경에서의서비스는

2 170 무선네트워크환경에서모바일디바이스기반효율적인사용자인증기법 유선네트워크환경에서의서비스보다무선네트워크환경의특성때문에강한보안이요구되는반면모바일디바이스자원의제약과무선네트워크의환경적제약을갖고있다. 따라서강한보안을위해연산오버헤드가높은공개키알고리즘을적용하거나서버와사용자간에많은통신을통해보안을강화할수없는실정이다. 특히서비스제공자는원활한서비스제공과서버에서제공하는서비스와자원의안전성을제공하기위해정상적인사용자만서비스를이용할수있도록사용자의인증메커니즘을제공해야한다. 즉이러한환경에실제적용가능한인증메커니즘은발생가능한공격으로부터안전해야하며효율적으로설계되어야한다. 본논문에서는모바일디바이스기반무선네트워크환경에서실제적용가능하도록티켓을이용한사용자인증기법을제안한다. 제안하는기법은배터리기반의모바일디바이스에서사용되는연산오버헤드와인증을위한통신을최소화하였다. 또한무선네트워크환경에서발생가능한공격으로부터안전하고사용자와 CA (Certificate Authority), 사용자와서버간에상호인증을제공하고인증완료후에사용자와서버는안전한통신을위한세션키를공유하게된다. 본논문의 2장에서무선네트워크환경에서의사용자인증에대한관련연구를살펴보고 3장에서이러한환경에서사용자인증의보안요구사항을살펴본다. 4 장에서보안요구사항을만족하는효율적인사용자인증기법을제안하고 5장에서는제안하는기법의안전성과효율성을분석한다. 마지막으로 6장에서결론과향후연구에대해기술한다. II. 관련연구사용자인증은네트워크를통해서버에접속하는사용자의정당성을검증하는메커니즘으로안전한서비스를제공하기위해필수적인보안요구사항이다. 따라서현재까지다양한환경을고려한많은사용자인증기법이제안되었다. 특히패스워드기반의인증기법은보편적으로사용되는기법이다. 기존의아이디 / 패스워드기반의사용자인증은등록단계에서사용자의아이디와패스워드를입력받아서버에저장한후사용자가서버로부터서비스를받고자할때사용자는아이디와패스워드를입력하여서버에전송하고서버는전송된아이디와패스워드를 저장된값과비교함으로사용자를인증하는기법이다. Lamport의연구 1 에서처음으로패스워드기반의인증기법을제안하였으나많은해쉬연산의오버헤드를갖고있으며또한패스워드의재설정이요구되는단점이존재한다. 또한많은아이디 / 패스워드기반의사용자인증기법은등록단계에서악의적인내부자의공격에취약하고사용자의인증을위한아이디와패스워드테이블을서버에저장하고있기때문에공격자의서버해킹, 관리자의관리소홀등으로인증테이블이노출되면전체인증메커니즘의붕괴를가져올수있다. 게다가사용자는편의를위해동일한아이디와패스워드를여러서비스의인증을위해사용하는경향이있으므로한곳에서노출된인증정보는사용자가가입한많은서비스에영향을미칠수있다. 다른많은연구 2-7 에서는스마트카드를이용한인증기법을제안하였다. 스마트카드를이용한인증기법은스마트카드에서의낮은계산능력과적은저장공간등의제약사항을고려하여 XOR (exclusive OR), 해쉬연산과같은적은연산을이용하여인증을수행하는기법이제안되었다. 더욱이이들연구에서는훔친검증자공격 (stolen-verifier attack) 의안전을위해사용자의아이디와패스워드테이블을유지하지않고사용자를인증하는기법을제안하였다. 다른연구 8-13 에서는모바일환경에서의사용자인증기법이제안되었다. 모바일환경에서사용자는언제어디서든서비스를제공하는서버에접속하여서비스를받을수있다. 따라서모바일환경에서로밍사용자는홈에이전트 (Home Agent) 에등록하고외부네트워크 (Foreign Network) 를통해서비스를받고자할때모바일사용자는외부에이전트 (Foreign Agent) 에게인증을위한정보를전송한다. 외부에이전트는사용자의인증정보를사용자의홈에이전트에게전송하여홈에이전트로부터사용자를인증한다. 이러한기법의장점은사용자는홈에이전트에한번만등록하고여러외부네트워크에접속하여서비스를제공받을수있다. 모바일환경에서의많은인증기법에서서비스를받는주체는모바일디바이스이므로모바일디바이스가갖는자원의제약을고려한효율적인사용자인증기법에초점을맞추었다. 다른연구 에서는모바일환경및이종네트워크환경에서티켓 (ticket) 기반의인증기법을제안하였다. Shin et al의연구 14 에서는유비쿼터스환경 ( 이종의디바이스와네트워크가공존하

3 情報保護學會論文誌 ( ) 171 는환경 ) 에서그룹통신을위한티켓기반의인증기법을제안하였다. 이기법은가상컨퍼런스환경에서사용자는참가하고자하는컨퍼런스의세션에참가하기위한티켓을발급받고각세션에티켓을제시함으로써사용자인증을받고세션에참여하게된다. 이기법은모바일디바이스에서연산을최소화하여효율적으로인증을수행하는반면이종의디바이스로이루어진그룹통신을위한인증기법으로그룹의관리자가모바일디바이스이고관리하는그룹의멤버가많을경우모바일디바이스에서의연산이보다많아질수있다. 또한이기법은내부자공격에취약하고상호인증과사용자의익명성을제공하지않는다. Moon et al의연구 12 에서는모바일통신환경에서홈에이전트로부터외부에이전트로의사용자로밍을지원하는아이디기반의티켓을이용한사용자인증기법을제안하였다. 이기법에서모바일사용자는등록한네트워크내의서비스제공자로부터서비스를제공받기위해등록을수행한네트워크의인증서버로부터발급받은티켓을전송하여서비스를제공받을수있지만외부네트워크의서비스제공자로부터서비스를제공받기위해서는외부에이전트로부터인증을받거나티켓을갱신해야하는단점이존재한다. 또한인증서버는사용자의아이디와패스워드를저장하고있다. 따라서내부자공격과훔친검증자공격에취약하고사용자가서버를인증하는메커니즘이없다. 즉상호인증을제공하지않는다. Park et al의연구 13 에서는유비쿼터스환경에서모바일디바이스에서의티켓기반인증기법을제안하였다. 이기법에서사용자는티켓발급을위해인증서버에등록과티켓발급과정을거쳐티켓을발급받는다. 발급받은하나의티켓을여러서비스서버에제출함으로서비스를제공받을수있다. 그러나이기법에서사용자인증메시지와티켓을안전하게전송하기위해공개키알고리즘을사용한다. 공개키알고리즘은모바일디바이스에서많은연산오버헤드를초래한다. III. 보안요구사항이번절에서모바일디바이스기반의무선네트워크환경의사용자인증에서발생할수있는공격과안전한인증을위한보안요구사항을살펴본다. 사용자의인증에는다음과같은공격이존재한다. 따라서인증기법은그러한공격으로부터안전하게설계되어야 하며보안의강화를위해상호인증과인증이후안전한통신을위한키를공유할수있어야한다. 1) 내부자공격 (Insider attack) 패스워드기반의인증기법에서내부자공격은사용자의등록메시지로부터악의적인내부자가사용자의아이디와패스워드를수집하여악의적으로사용하는공격이다. 대부분의사용자는가입한여러서비스의아이디와패스워드를다르게설정하였을경우아이디와패스워드의유지및관리가어렵기때문에사용의편의를위해동일한값을사용하는경향이있다. 따라서한번노출된아이디와패스워드는사용자가가입한여러사이트에영향을미칠수있다. 2) 재생공격 (Replay attack) 인증기법에서재생공격은이전에정상적인사용자가인증을위해전송한인증요청메시지를공격자가수집하여저장하고있다가이후의세션에수집한인증요청메시지를전송하여정상적인사용자로인증받는공격이다. 무선네트워크환경에서공격자는인증요청메시지를쉽게수집할수있다. 따라서공격자가정상적인사용자로인증되지않기위해인증기법은재생공격으로부터안전하게설계되어야한다. 3) 추측공격 (Guessing attack) 추측공격은공격자가인증을위한통신과정의메시지를저장한후그메시지에서아이디와패스워드를이용하는값으로부터사용자의아이디와패스워드를알아내는공격이다. 아이디 / 패스워드기반의인증기법에서정상적인사용자의아이디와패스워드는인증을위한중요한요소이기때문에인증을위한통신과정에서의메시지로부터아이디와패스워드를얻을수있는것은보안상큰위협이될수있다. 또한내부자공격에서설명하였듯이사용자는여러사이트에동일한아이디와패스워드를사용하기때문에그파장은더크다고볼수있다. 따라서안전한인증기법은추측공격으로부터안전해야한다. 게다가사용자는아이디와패스워드를기억하기쉽게하기위해본인혹은관련자의생일, 차량번호, 폰번호와같이본인과관련이깊은값을주로사용하기때문에공격자가직접추론할수도있다. 따라서아이디와패스워드가노출

4 172 무선네트워크환경에서모바일디바이스기반효율적인사용자인증기법 되었더라도공격자는인증받을수없는메커니즘이제공되어야한다. 4) 중간자공격 (Man in the middle attack) 중간자공격은사용자와인증서버의중간에서사용자와서버사이의모든메시지를가로채사용자또는인증서버로가장하는공격이다. 중간자공격은데이터를불법수정하여거짓데이터를생성하고그데이터를전송하므로서버혹은사용자에게심각한타격을줄수있는적극적인공격이다. 또한사용자와서버간에통신하는모든데이터를볼수있으므로사용자의프라이버시를위협할수있으며중요한데이터가공격자에게노출될수있다. 중간자공격을막기위해인증기법은공격자가통신상의메시지수집을통해사용자또는인증서버로가장할수없도록설계하여야한다. 5) 훔친검증자공격 (Stolen-verifier attack) 훔친검증자공격은서버혹은 CA(Certificate Authority) 에서사용자의인증을위해저장한사용자의아이디패스워드테이블과같이인증을위한중요한정보가악의적인내부자에의해유출되거나공격자의인증서버해킹으로정보가노출되어전반적인인증메커니즘의붕괴를일으키는공격이다. 특히아이디패스워드기반의인증메커니즘은훔친검증자공격으로부터안전하게설계되어야한다. [ 표 1] 제안하는기법에서사용되는표기법표기내용 CA 인증서버 AI 사용자의인증및권한정보 life-time 인증을위한티켓의만기시간 사용자의아이디 사용자의패스워드 * 에서생성한난수일방향해쉬함수배타적논리합연결연산자대칭키 로메시지 M의암호화대칭키 로메시지 M의복호화 Y의공개키로메시지 M의암호화 Y의비밀키로메시지 M의복호화메시지 M에대한 Z의서명 IV. 제안하는기법제안하는기법은등록, 티켓발급요청그리고티켓을이용한사용자인증의세단계로구분된다. 등록단계에서모바일단말기사용자는사전에인증서버 (CA) 에등록하고서비스를제공받고자할경우 CA 로부터티켓을발급받고서버에티켓을제출하여인증받는다. 제안하는기법의등록단계에서사용자는 CA의공개키를이용해등록을수행한다. 따라서등록단계에서안전한채널을이용해등록하거나사전에키를공유하고있다는가정을수반하지않는다. 그리고공개키알고리즘의이용은단지등록단계에서만수행된다. 서비스를제공받기위해모바일단말기사용자는발급받은티켓을서버에제출하여인증을받는다. [ 표 1] 은제안하는기법에서사용되는표기와그에대한설명이다. 4.1 등록단계모바일단말기사용자가서버로부터서비스를받기위해서는사전에 CA에등록을하여야한다. 사용자는아이디와패스워드를자유롭게선택하고 CA에게전송한다. CA는사용자로부터전송받은데이터를이용하여향후인증에사용될값들을생성하여사용자에게전송한다. 등록단계에서사용자는전송되는데이터를안전하게전송하기위하여 CA의공개키를이용한다. 모바일단말기에서공개키를이용한암호화는등록단계에서만수행한다. 등록은최초한번만수행한다. [ 그림 1] 은등록단계의절차를나타내고자세한등록과정은다음과같다. 1. 사용자는인증에사용될아이디 ( ) 와패스워드 ( ) 를선택한다. 2. 난수 ( ) 를생성한다. [ 그림 1] 등록절차

5 情報保護學會論文誌 ( ) 173 [ 그림 2] 티켓발급절차 3. 을계산하고 CA에게등록요청메시지와함께전송한다. 4. CA는사용자로부터받은메시지를비밀키를이용해복호화 한다. 5. 기존에등록한사용자인지확인을위해 값을확인한다. CA 는사용자의아이디와패스워드를저장하지않는다. 위의값은등록된사용자를구분하기위한값으로사용한다. 6. 등록되어있지않은사용자라면향후인증을위해 을생성한다. 여기서 는 CA 만알고있는비밀값이다. 7. 사용자에게인증정보를안전하게전달하기위한임시키 을생성한다. 여기서 는그룹 의생성원이고 는 300자리십진수 (1024비트) 에해당하는큰소수이다. 8. CA는임시키를이용해값을암호화 하여사용자에게전송한다. 9. 사용자는자신이생성한난수 ( ) 를이용하여임시키를생성한다. 10. CA로부터받은메시지를복호화하여인증에사용될 값을얻는다. 4.2 티켓발급단계티켓발급단계에서사용자는서비스를받고자하는서버로부터의인증을위한티켓을 CA에게요청한다. CA는사용자로부터받은메시지를이용해사용자를인증하고사용자에게티켓을발급한다. 이단계에서사용자는인증을위해필요한값과서비스를제공받기원하는서버의리스트를전송한다. CA는사용자에게티켓을전송하고사용자는전송받은티켓을이용하여여러서버로부터인증받을수있다. 모바일디바이스는서버와같은디바이스에비해계산능력, 메모리, 배터리전원등과같은자원의제약이있으므로제안하는기법에서는모바일디바이스에서수행되는계산을최소화하기위해비교적연산량이적은해쉬함수와배타적논리합과같은연산을사용한다. 이단계에서우리는 CA와서버간에는각각안전한전송을위한대칭키를공유하고있다고가정한다. [ 그림 2] 는티켓발급단계의절차를나타내고자세한티켓발급과정은다음과같다. 1. 사용자는등록단계에서의아이디 ( ) 와패스워드 ( ) 를입력한다. 2. 를계산한다. 3. 난수 ( ) 를생성한다. 난수는티켓을요청할때마다새로운수를생성한다.

6 174 무선네트워크환경에서모바일디바이스기반효율적인사용자인증기법 4. 과 를계산한다. 5. 서비스를받고자하는서버의리스트와함께티켓요청메시지를 CA에게전송한다. 6. CA는사용자로부터받은 값을확인하여등록된사용자인지확인한다. 7. 값에대응되는 값을이용해 를얻는다. 8. 를계산한다. 9. 사용자로부터전송받은 와 CA에서생성한 의값이같은지확인한다. 만약두값이일치하지않으면더이상이후의과정을수행하지않고, 일치하면티켓발급을위한다음과정을계속진행한다. 10. 티켓을안전하게전송하기위한키 ( ) 를생성한다. 11. 사용자가 CA를인증하기위한 를계산한다. 12. 티켓 을생성한다. 티켓은인증정보와티켓의만료기간, CA의서명을포함한다. 13. CA는난수 ( ) 를생성한다. 14. CA는 값, 난수 ( ) 와티켓을키 로암호화하여사용자에게전송하고난수 ( ), 와티켓을 CA와각서버간에공유하는대칭키로암호화하여사용자의서비스를받고자하는서버리스트의각서버에전송한다. 15. CA로부터메시지를받은사용자는메시지를복호화하고 를계산한다. 16. 사용자는 인지확인하고같으면 CA를인증한다. 17. CA로부터메시지를받은각서버는메시지를복호화하고티켓과그에해당하는 값과난수 을저장한다. 으며서비스도중세션이끊기거나접속을해지한후에도이전에접속하였던서버에기존의티켓을사용하여인증받을수있다. 즉티켓에명시되어있는티켓만료기간 (lifetime) 이유효하다면다시티켓을발급받지않고인증받을수있다. [ 그림 3] 은티켓인증단계의절차를나타내고자세한티켓인증과정은다음과같다. 1. 사용자는 CA로부터받은난수 를이용하여티켓을안전하게전송하기위한키를생성한다. 2. 생성한키를이용하여티켓을암호화하고서비스를받고자하는서버의식별자와 값과암호화된티켓을포함한인증요청메시지를전송한다. 인증요청메시지 3. 서버는사용자로부터인증요청메시지의 에해당하는난수 을이용하여티켓의복호화를위한키 을생성한다. 4. 서버는생성한키를이용복호화하여티켓 을얻는다. 5. 티켓의만료기간을확인하고 CA로부터받은티켓과사용자로부터받은티켓이동일한지확인한다. 6. 난수 를생성한다. 이난수는사용자와서버간의안전한통신을위한세션키를만드는데사용한다. 7. 사용자에게인증완료메시지와함께 값을전송한다. 8. 을얻고사용자와서버는각자세션키를생성한다. 4.3 티켓인증단계 사용자는 CA로부터받은티켓을이용하여서비스를받고자하는서버에티켓을제출하여인증을받음으로써서버로부터제공되는서비스에접근할수있다. 사용자는한번발급받은티켓을이용하여티켓발급요청메시지에포함된서버리스트에있는모든서버로부터하나의티켓을이용하여인증을받을수있 [ 그림 3] 티켓인증절차

7 情報保護學會論文誌 ( ) 175 [ 표 2] 보안비교 기법 S1 S2 S3 S4 S5 S6 S7 S8 제안기법 [12] [13] [14] S1 : 내부자공격 (Insider attack) S2 : 재생공격 (Replay attack) S3 : 추측공격 (Guessing attack) S4 : 중간자공격 (Man in the middle attack) : 보안제공, : 일부제공, : 보안제공안됨 S5 : 훔친검증자공격 (Stolen verifier attack) S6 : 상호인증 (Mutual authentication) S7 : 세션키동의 (Session key agreement) S8 : 사용자익명성 (User anonymity) V. 분석이절에서제안하는인증기법의보안분석과성능평가를한다. 무선통신환경기반의서비스는유선통신환경기반의서비스보다보안에취약하므로보다강력한보안이요구된다. 그러나무선환경에서서비스를제공받기위한디바이스는배터리전원기반의모바일디바이스로계산능력과메모리공간등의제약사항을갖고있다. 따라서제한된자원으로무선통신환경에서발생할수있는다양한공격을막을수있어야하며효율적이어야한다. 5.1 보안분석 3절에서모바일디바이스기번의무선네트워크환경에서안전한사용자인증을위한보안요구사항을살펴보았다. 여기서제안하는기법이이들보안요구사항을충족시킴을보이고추가적으로상호인증과세션키동의기능을제공함을보인다. [ 표 2] 는제안하는기법과 Moon et al의기법 [12], Park et al의기법 [13], Shin et al의기법 [14] 의보안성에대한비교를보여준다. 1) 내부자공격 (Insider attack) 등록단계에서사용자는자신의아이디와패스워드를직접보내지않고아이디와패스워드를해쉬한값 ( ) 을보낸다. 일방향해쉬함수로부터원래의값을알아낼수없기때문에악의적인내부자는등록요청메시지에포함된값으로부터사용자의아이디와패스워드를수집할수없다. 따라서제안하는기법은내부자공격으로부터안전하다. 2) 재생공격 (Replay attack) 제안하는기법에대한재생공격의안전성은티켓발급단계에서와티켓인증단계에서살펴보아야한다. 티켓발급단계에서공격자가 번째의티켓요청을 위한메시지 ( ) 를수집하고 번째의티켓요청메시지를가장하여 CA에게보냈다고가정하자. 이때 CA는메시지에대한검증을수행하고티켓을안전하게전송하기위해사용자로부터받은 을이용하여키 ( ) 를생성하고생성한키를이용하여티켓과 CA의난수를암호화 ( ) 하여전송한다. 그러나공격자는난수 을알지못하기때문에 CA로부터받은메시지로부터티켓을얻을수없다. 또한공격자는 를알지못하기때문에티켓요청메지시의 ( ) 로부터난수 를구할수없다. 티켓인증단계에서 번째의티켓인증을위한 메시지 ( ) 를수집하고 번째의티켓인증메시지를가장하여서버에게보냈다고가정하자. 이때서버는전송받은티켓에대한인증절차를마치고세션키생성을위한 로부터 와 를계산할수없기때문에세션키를생성할수없다. 따라서제안하는기법에서공격자는재생공격을성공할수없다. 3) 추측공격 (Guessing attack) 공격자가통신과정상의모든메시지를도청하였다고가정하자. 공격자는티켓요청단계에서의 (= ) 로부터사용자의아이디와패스워드를얻고자할것이다. 그러나사용자의아이디와패스워드는일방향해쉬함수에의해계산된값이기때문에

8 176 무선네트워크환경에서모바일디바이스기반효율적인사용자인증기법 로부터사용자의아이디와패스워드를구한다는것은불가능하다. 추가적으로공격자는추측혹은다른방식으로정상적인사용자의아이디 ( ) 와패스워드 ( ) 를알아냈다고가정하자. 공격자는알아낸 와 를이용하여 를계산하고이전에저장한 의값과계산한 와비교하여같다는것으로사용된등록에사용된아이디와패스워드를확인할수있다. 그러나제안하는기법에서공격자가정상적인사용자의아이디와패스워드를알아냈을지라도 값을알지못하기때문에정상적인사용자가생성할수있는티켓요청메시지의값 (= ) 를계산할수없다. 즉정상적인사용자의아이디와패스워드를알아낸공격자일지라도사용자의 값을알수없는한정상적인사용자의티켓요청메시지를생성할수없다. 따라서제안하는기법은추측공격으로부터안전하다. 게다가공격자가정상적인사용자의아이디와패스워드를알아냈을지라도공격자는정상적인사용자로인증받을수없다. 4) 중간자공격 (Man in the middle attack) 서버사이의안전한메시지전송을위한세션키를계산할수없다. 따라서제안하는기법은중간자공격으로부터안전하다. 5) 훔친검증자공격 (Stolen-verifier attack) 등록단계에서사용자는자신의아이디와패스워드를직접전송하지않고이를해쉬한값 을전송한다. 따라서 CA 조차도사용자의아이디와패스워드를알수없으며그값으로부터계산하여그값을구해낼수없다. 또한 CA는인증을위해사용자의아이디와패스워드테이블을저장하지않고사용자가등록당시전송한 와대응되는등록당시사용자의난수 로이루어진테이블만저장하고있다. 공격자에게이테이블이노출되었더라도공격자는 CA의비밀값 를알지못하기때문에인증을위한 를계산할수없다. 따라서공격자는인증요청메지지의 를생성할수없으므로정상적인티켓요청메시지를생성할수없다. 따라서제안하는기법에서비록사용자인증에사용되는테이블이노출되었을지라도전체적인인증메커니즘에영향을주지못한다. 티켓발급단계에서공격자는사용자가 CA에게전송하는메시지 을가로채고사용자로가장하기위해 값과공격자가생성한난수 를이용해 를생성하고 를포함하는메시지 티켓요청메시지 서버리스트 를보냈다고가정하자. 여기서공격자는사용자가생성한 는모르기때문에 값을수정할수없다. 공격자로부터 메시지를받은 CA는메시지를인증하기위해 를계산하고 를계산한다. 그러나 CA가생성한 와공격자가보낸 는일치하지않기때문에인증에실패한다. 따라서공격자는사용자로가장할수없으며공격자는사용자의난수 를모르기때문에메시지 에서티켓과 CA의난수 역시알아낼수없다. 따라서공격자는사용자와 CA간의모든메시지를수집했을지라도사용자와 CA로위장할수없으며중요한정보를보거나얻을수없다. 티켓인증단계에서공격자는사용자와서버간에주고받는메시지를모두수집하였더라도 CA의난수 와서버의난수 를알지못하기때문에사용자와 6) 상호인증 (Mutual authentication) 상호인증은사용자와 CA, 사용자와서버간에이루어져야한다. 티켓요청단계에서 CA는등록단계에서 CA에등록한정보 ( 사용자의 값과난수 ) 와모바일디바이스에저장한정보 ( ) 를바탕으로사용자를인증한다. 정상적인사용자만이정확한아이디와패스워드를입력할수있으므로 를생성할수있고 와함께전송할수있으므로 CA는제안된인증절차를거쳐정상적인사용자를인증할수있다. 또한사용자는 CA로부터인증이완료된이후 를 CA의인증을위해받는다. 값은 CA의비밀값 를알고있는정상적인 CA만이인증절차를거쳐 를알아낼수있으므로사용자는자신이생성한난수를이용해 를생성하고 CA로부터전송받은 와비교함으로써 CA를인증할수있다. 또한티켓인증단계에서사용자는 CA의난수 를이용해키를생성하고티켓을암호화해서버에전송한다. 서버역시 CA의난수 를이용해키를생성하고사용자로부터받은티켓과 CA로부터받은티켓을비

9 情報保護學會論文誌 ( ) 177 [ 표 3] 모바일디바이스에서의인증을위한연산비용비교 기법 티켓발급단계 티켓인증단계 제안기법 3H+1X+1SD 2E+1M+1SE [12] 1H+5E+2X+1M+1SE+1SD 3X+1SE [13] 1H+3E+1M+1AE+1AD 1AE+1AD [14] 1SD 1SE H : 해쉬연산 E : 지수연산 X : XOR 연산 M : 곱연산 SE : 대칭키암호화연산 SD : 대칭키복호화연산 AE : 비대칭키암호화연산 AD : 비대칭키복호화연산 교함으로사용자를인증한다. 여기서서버는암호화된키와티켓의일치를통해정상적인사용자임을인증할수있다. 이후서버는사용자에게세션키생성을위해서버의난수 와 CA의난수 의 XOR 값을전송한다. 사용자는이값에서서버의난수 를구하고세션키 를생성하여서버로부터암호화된메시지를생성한세션키로복호화함으로서버를인증할수있다. 이는정상적인서버라면동일한세션키를생성할수있기때문이다. 따라서제안하는기법은사용자와 CA, 사용자와서버간에상호인증을제공한다. 7) 세션키동의 (Session key agreement) 사용자와서버는세션키 를공유한다. 여기서세션키를생성할때필요한 CA의난수 는티켓요청단계에서 와 로암호화하여각각사용자와서버에서전송되므로네트워크상에서직접노출되지않는다. 서버는서버의난수 역시 CA의난수 와 XOR 연산값을사용자에게전송하므로 CA의난수 를알지못하는공격자는 를알아낼수없다. 따라서제안하는기법은인증단계에서사용자와서버의안전한세션키동의메커니즘을제공한다. 5.2 효율성분석 무선네트워크환경에서모바일디바이스를이용한서비스는모바일디바이스에서수행되는연산비용과통신비용이서비스의효율성및안정성에서중요한요소이다. 따라서실제서비스에적용하기위해사용자의인증메커니즘은모바일디바이스에서연산과통신의오버헤드를최소화한효율적인메커니즘으로설계되어야한다. 본논문에서는티켓을이용해사용자를인증하는기법을제안하였다. 티켓을이용한사용자인증기법은인증서버로부터하나의티켓을발급받고 여러서비스제공자에게티켓을제출하여인증받을수있기때문에다른서버에접속할때마다인증을수행하는기법보다는효율적이다. 따라서본논문에서효율성분석을위해제안하는기법과티켓을이용해사용자를인증하는최근의연구 Moon et al의기법 [12] 과 Park et al의기법 [13], Shin et al의기법 [14] 의인증기법과효율성을비교 / 분석한다. [ 표 3] 은제안하는기법과 Moon et al의기법 [12], Park et al의기법 [13], Shin et al의기법 [14] 의모바일디바이스에서의연산비용을티켓발급단계와티켓인증단계에서비교하였다. 또한모바일디바이스 ( 안드로이드기반의스마트폰 ) 에서의주요연산 ( 해쉬, 대칭키, 비대칭키연산 ) 에대한비용을측정하기위한실험을수행하였다. 실험결과해쉬연산 0.13, 대칭키연산 1.7/0.5( 암호화 / 복호화 ), 비대칭키연산 /52.8( 암호화 / 복호화 ) 의연산비용을보였다. 실험에서의비용은시간비용으로단위는밀리세컨드 (milliseconds) 이고각값은실험의평균값이다. Shin et al의기법 [14] 의기법은티켓발급단계와티켓인증단계에서대칭키암호화를한번만이용하다. 따라서가장효율적이나그기법에서제안하는환경은이종디바이스와네트워크에서티켓을이용한효율적인인증기법에초점을맞추었기때문에앞에서설명한몇가지의보안과기능에대한문제가존재한다. Moon et al의기법 [12] 의기법은사용자가외부네트워크의서비스제공자로부터서비스를받을경우외부네트워크의인증서버로부터인증을받고서비스제공자에접근해야하거나티켓갱신이필요하다. 따라서외부네트워크에접속하여서비스를제공받을때마다추가적인인증절차가필요하다. Park et al의기법 [13] 은인증을위한메시지의전송의안전을위해공개키를이용해암호화와복호화를한다. 이는자원이제약이있는모바일디바이스에서인증지연을발생시킨다. 공개키기반의알고리즘사용은보안성측면에서많은이점을제공하지만많은연산오버헤드를초래하므로모바일디바이스를이용하는실제서비스

10 178 무선네트워크환경에서모바일디바이스기반효율적인사용자인증기법 에적용에부적합하다. 제안하는기법은티켓발급단계와티켓인증단계에서안전한메시지전송을위해각각한번의대칭키연산을수행한다. 티켓발급단계에서한번의메시지복호화연산과티켓인증단계에서한번의메시지암호화연산만수행한다. 따라서 Moon et al의기법 [12], Park et al의기법 [13] 의인증기법보다제안하는인증기법은모바일디바이스에서적은연산오버헤드를갖는다. VI. 결론본논문에서모바일디바이스기반의무선네트워크환경에서티켓을이용한효율적인인증기법을제안하였다. 제안하는기법은보안성측면에서사용자의인증에서발생할수있는내부자공격, 재생공격, 추측공격, 중간자공격, 훔친검증자공격으로부터안전하다. 또한사용자와 CA, 사용자와서버간에상호인증할수있으며인증완료후에사용자와서버는안전하게세션키를공유할수있다. 효율성측면에서모바일디바이스의계산능력의한계와배터리전원소모의최소화를위해모바일디바이스에서의적은연산을수행하는기법을제안하였다. 제한기법에서사용자는 CA로부터티켓을발급받고서비스를받고자하는서버에티켓을제출하여인증을받을수있으며다른서버로부터서비스를받고자할때다시티켓을발급받지않고동일한티켓을제출하여다른서버로부터도인증받을수있다. 그러나제안하는기법에서는사용자의익명성과패스워드변경메커니즘을제공하지않는다. 이동이자유로운모바일환경에서사용자의익명성은사용자의프라이버시를위해매우중요한보안요구사항이며패스워드기반의인증기법에서안전한패스워드업데이트의제공은강화된보안의제공을위해중요한요구사항이므로향후연구로현재제안하는기법의보안을보다강화하기위해사용자의익명성과패스워드변경기법에대한추가연구를할것이다. 참고문헌 [1] L. Lamport, Password authentication with insecure communication, Communications of the ACM, vol. 24, no. 11, pp , Nov [2] C.H. Liao, H.C. Chen, C.T. Wang, An Exquisite Mutual Authentication Schemes with Key Agreement Using Smart Card, Informatica, vol. 33, no. 2, pp , May [3] W.S. Juang, Efficient password authenticated key agreement using smart cards, Computer & Security, vol. 23, no. 2, pp , Mar [4] S.W. Lee, H.S. Kim, K.Y. Yoo, Comment on A Remote User Authentication Scheme using Smart Cards with Forward Secrecy, In IEEE Transaction on Consumer Electronics, vol. 50, no. 2, pp , May [5] Y.P. Liao, S.S. Wang, A secure dynamic ID based remote user authentication scheme for multi-server environment, Computer Standards & Interface, vol. 31, no. 1, pp , Jan [6] C. Chen, D. He, S. Chan, J. Bu, Y. Gao, R. Fan, Lightweight and provably secure user authentication with anonymity for the global mobility network, International Journal of Communication Systems, vol. 24, no. 3, pp , Mar [7] S.B. Shin, H.J. Yeh, K.H. Kim, K.S. Kim, A Remote User Authentication Scheme with Anonymity for Mobile Devices, International Journal of Advanced Robotic Systems, vol. 9, pp. 1-7, Apr [8] D. He, S, Chan, C. Chen, J. Bu, R. Fan, Design and validation of an efficient authentication scheme with anonymity for roaming service in global mobility networks, Wireless Personal Communications, vol. 61, no. 2, pp , Nov [9] J. Xu, W.T. Zhu, D.G, Feng, An efficient mutual authentication and key agreement protocol preserving user anonymity in mobile networks, Computer Communications, vol. 34, no. 3, pp ,

情報保護學會論文誌 (2013. 4) 179 Mar. 2011. [10] Z.J. Tzeng, W.G. Tzeng, Authentication of mobile users in third generation mobile systems, Wireless Personal Communications, vol. 16, no. 1, pp. 35-50, Jan.

Lee, An AAA scheme using ID-based ticket with anonymity in future mobile communication, Computer Communications, vol 34, no 3, pp. 295-304, Mar. 2011. [13] J.H.

S. Kim, A Ticket based Authentication Scheme for Group Communication, In Proceedings of The 2012

11 情報保護學會論文誌 ( ) 179 Mar [10] Z.J. Tzeng, W.G. Tzeng, Authentication of mobile users in third generation mobile systems, Wireless Personal Communications, vol. 16, no. 1, pp , Jan [11] J. Zhu, J. Ma, A new authentication scheme with anonymity for wireless environments, IEEE Transactions on Consumer Electronics, vol. 50, no. 1, pp , Feb [12] J.S. Moon, I.Y. Lee, An AAA scheme using ID-based ticket with anonymity in future mobile communication, Computer Communications, vol 34, no 3, pp , Mar [13] J.H. Park, An authentication protocol offering service anonymity of mobile device in ubiquitous environment, The Journal of Supercomputing, vol 62, no 1, pp , Oct [14] S.B. Shin, H.J. Yeh, K.S. Kim, A Ticket based Authentication Scheme for Group Communication, In Proceedings of The 2012 International Conference on Information Security and Assurance, pp , Apr < 著者紹介 > 신수복 (Soobok Shin) 학생회원 2003 년 8 월 : 아주대학교수학, 정보컴퓨터공학학사 2006 년 8 월 : 아주대학교정보통신공학석사 2013 년 2 월 : 아주대학교정보통신공학박사 < 관심분야 > 네트워크, 사용자 / 디바이스인증, 네트워크보안 예홍진 (Hongjin Yeh) 종신회원 1986 년 2 월 : 서울대학교수학교육학사 1988 년 2 월 : 아주대학교전자계산석사 1993 년 6 월 : 리용 1 대학교전자계산박사 1993 년 8 월 ~ 현재 : 아주대학교정보컴퓨터공학부부교수 < 관심분야 > 정보보호, 모바일보안, 애플리케이션보안 김강석 (Kangseok Kim) 정회원 2007 년 11 월 : 인디애나대학교컴퓨터공학박사 2010 년 9 월 ~ 현재 : 아주대학교지식정보공학과연구교수 < 관심분야 > 모바일컴퓨팅, 유비쿼터스컴퓨팅, 스마트폰애플리케이션, 모바일보안, 데이터마이닝, 바이오인포메틱스

°í¼®ÁÖ Ãâ·Â

°í¼®ÁÖ Ãâ·Â Performance Optimization of SCTP in Wireless Internet Environments The existing works on Stream Control Transmission Protocol (SCTP) was focused on the fixed network environment. However, the number of