4-김명선KICS2013-02-103_Modified.hwp



Similar documents
DBPIA-NURIMEDIA

public key private key Encryption Algorithm Decryption Algorithm 1

Ⅰ. 들어가는 말 2005년 6월에 발생한 인터넷뱅킹 해킹 사건이 2005년 가장 기억에 남는 정보보호 뉴 스로 선정되었다고 한다. 해킹 등으로 인해 개인의 PC가 악의적인 해커에 의해 장악이 된 경우에는 어떤 보안시스템도 제 기능을 다하지 못함에도 불구하고, 해킹 사

°í¼®ÁÖ Ãâ·Â

DBPIA-NURIMEDIA

DBPIA-NURIMEDIA

< FC1A4BAB8B9FDC7D D325FC3D6C1BEBABB2E687770>

À±½Â¿í Ãâ·Â

09권오설_ok.hwp

¼º¿øÁø Ãâ·Â-1

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 10, Oct ,,. 0.5 %.., cm mm FR4 (ε r =4.4)

(JBE Vol. 21, No. 1, January 2016) (Regular Paper) 21 1, (JBE Vol. 21, No. 1, January 2016) ISSN 228

06_ÀÌÀçÈÆ¿Ü0926

<30362E20C6EDC1FD2DB0EDBFB5B4EBB4D420BCF6C1A42E687770>

3. 클라우드 컴퓨팅 상호 운용성 기반의 서비스 평가 방법론 개발.hwp

8-VSB (Vestigial Sideband Modulation)., (Carrier Phase Offset, CPO) (Timing Frequency Offset),. VSB, 8-PAM(pulse amplitude modulation,, ) DC 1.25V, [2

<353020B9DAC3E1BDC42DC5ACB6F3BFECB5E520C4C4C7BBC6C3BFA1BCADC0C720BAB8BEC820B0EDB7C1BBE7C7D7BFA120B0FCC7D120BFACB1B82E687770>

DBPIA-NURIMEDIA

歯3일_.PDF

DBPIA-NURIMEDIA

10 이지훈KICS hwp

½Éº´È¿ Ãâ·Â

0125_ 워크샵 발표자료_완성.key

09È«¼®¿µ 5~152s

2 : (JEM) QTBT (Yong-Uk Yoon et al.: A Fast Decision Method of Quadtree plus Binary Tree (QTBT) Depth in JEM) (Special Paper) 22 5, (JBE Vol. 2

±èÇö¿í Ãâ·Â

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Feb.; 29(2), IS

High Resolution Disparity Map Generation Using TOF Depth Camera In this paper, we propose a high-resolution disparity map generation method using a lo

록들 Hl, 53l f크 c>c> 동성정보릉선(주) 빼빼빼빼빼 廳 빼빼 :줬했 :~:::::::::::: 텔레뱅킹 ; 음성 쩔훌F 싼섣섣섣1 온앵서버 홈뱅 킹 PC 모덤 i..",.q));;,"ss-=- PC 뱅킹 폈 도듣] 스크린폰 ; 흠칭 ;될01 -

<3130BAB9BDC428BCF6C1A4292E687770>

슬라이드 1

TTA Journal No.157_서체변경.indd

Á¶Áø¼º Ãâ·Â-1

(JBE Vol. 20, No. 1, January 2015) (Regular Paper) 20 1, (JBE Vol. 20, No. 1, January 2015) ISSN 228

본 해설서는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (이하 법 이라 한다) 제28조제1항과 같은 법 시행령 제15조제6항에 근거한 개인정보의 기술적 관리적 보호조치 기준 이 개정 고시( )됨에 따라 - 동 기준의 각 조항별 주안점과 구체적인 사례를

jaeryomading review.pdf

<332EC0E5B3B2B0E62E687770>

<32382DC3BBB0A2C0E5BED6C0DA2E687770>

당신이 꿈꾸던 채널, CONTENTS 채널파워 데이터로 살펴보는 Buying Point 특별분석 : 빅데이터로 분석한 당신이 몰랐던 당신이 꿈꾸던 채널, - 채널파워 - 데이터로 살펴보는 Buying Point - 특별분석 : 빅데이터로 분석한 당신이 몰랐던 02 06

00내지1번2번

Microsoft Word - retail_ doc

<5B D B3E220C1A634B1C720C1A632C8A320B3EDB9AEC1F628C3D6C1BE292E687770>

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

±è¼ºÃ¶ Ãâ·Â-1

I

µðÇÃÇ¥Áö±¤°í´Ü¸é


Microsoft Word _0.doc

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Nov.; 26(11),

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Jul.; 27(7),

05( ) CPLV12-04.hwp

새로운 생태계

04 김영규.hwp

SchoolNet튜토리얼.PDF

08SW

<343320BFC0B5CEC8AF2D54504D20B8EDB7C9BEEE20C0CEB0A120C7C1B7CEC5E4C4DDBFA120B4EBC7D120B3BBBACEC0DA20B0F8B0DD20C3EBBEE0C1A120BAD0BCAE20B9D720B4EBC0C0C3A52E687770>

본문01

<35335FBCDBC7D1C1A42DB8E2B8AEBDBAC5CDC0C720C0FCB1E2C0FB20C6AFBCBA20BAD0BCAE2E687770>

hwp

Portal_9iAS.ppt [읽기 전용]

04-다시_고속철도61~80p

歯1.PDF

Journal of Educational Innovation Research 2017, Vol. 27, No. 2, pp DOI: : Researc

<31362DB1E8C7FDBFF82DC0FABFB9BBEA20B5B6B8B3BFB5C8ADC0C720B1B8C0FC20B8B6C4C9C6C32E687770>

#Ȳ¿ë¼®

<BCF6BDC D31385FB0EDBCD3B5B5B7CEC8DEB0D4C5B8BFEEB5B5C0D4B1B8BBF3BFACB1B85FB1C7BFB5C0CE2E687770>

ÀÌÀç¿ë Ãâ·Â

인문사회과학기술융합학회

Microsoft PowerPoint - G3-2-박재우.pptx

DBPIA-NURIMEDIA

04서종철fig.6(121~131)ok

내지4월최종

45-51 ¹Ú¼ø¸¸

<31325FB1E8B0E6BCBA2E687770>

장양수

공연영상

목 차

08김현휘_ok.hwp

6.24-9년 6월


30이지은.hwp

歯한국전자통신연구원정교일.PDF

Microsoft Word - EELOFQGFZNYO.doc

<353420B1C7B9CCB6F52DC1F5B0ADC7F6BDC7C0BB20C0CCBFEBC7D120BEC6B5BFB1B3C0B0C7C1B7CEB1D7B7A52E687770>

<BFA9BAD02DB0A1BBF3B1A4B0ED28C0CCBCF6B9FC2920B3BBC1F62E706466>

<38BFF920BFF8B0ED2DC8F1BFB5BEF6B8B620C6EDC1FDBABB2E687770>

<91E6308FCD5F96DA8E9F2E706466>

슬라이드 1

입장

1) 음운 체계상의 특징 음운이란 언어를 구조적으로 분석할 때, 가장 작은 언어 단위이다. 즉 의미분화 를 가져오는 최소의 단위인데, 일반적으로 자음, 모음, 반모음 등의 분절음과 음장 (소리의 길이), 성조(소리의 높낮이) 등의 비분절음들이 있다. 금산방언에서는 중앙

특집-5

Output file

DBPIA-NURIMEDIA

1. 서 론

- 2 -

歯연보00-5.PDF

<B1E2C8B9BEC828BFCFBCBAC1F7C0FC29322E687770>

14 경영관리연구 제6권 제1호 ( ) Ⅰ. 서론 2013년 1월 11일 미국의 유명한 경영전문 월간지 패스트 컴퍼니 가 2013년 글로벌 혁신 기업 50 을 발표했다. 가장 눈에 띄는 것은 2년 연속 혁신기업 1위를 차지했던 애플의 추락 이었다. 음성 인식

Journal of Educational Innovation Research 2018, Vol. 28, No. 3, pp DOI: NCS : * A Study on

DBPIA-NURIMEDIA

Transcription:

논문 13-38B-03-04 한국통신학회논문지 '13-03 Vol.38B No.03 http://dx.doi.org/10.7840/kics.2013.38b.3.190 다중서버 인증을 위한 스마트카드 기반 중재 인증 기법 연구 김 명 선 A Brokered Authentication Scheme Based on Smart-Card for Multi-Server Authentication Myungsun Kim 요 약 사용자가 원하는 서비스가 여러 개의 서버에 분산되어 있을 수 있기 때문에 다수의 서버가 존재하는 다중서버 환경을 위한 인증기법은 웹서비스를 이용할 때 반드시 필요하다. 일반적으로 Password를 사용하는 방법이 적용되 나 안전성 측면에서 취약하고 서버마다 다른 Identity(ID)와 Password를 사용하는 것은 불편하다. 그래서 사용자가 사용하는 여러 서버에 접속할 때 항상 동일한 ID를 사용하는 것이 허용되나, 다양한 공격에 노출될 수 있다. 본 논문에서는 서버가 여러 개 존재하는 환경에서 원격지에 있는 사용자는 하나의 스마트카드만 사용하여 다양한 서 비스를 편리하고 안전하게 받을 수 있는 인증기법을 제안한다. 추가로 제안한 기법의 안전성을 공격 유형별로 나 누어 분석하고, 기존 방법과 성능비교를 통하여 제안하는 기법이 효율적임을 보인다. Key Words : Brokered Authentication, Multi-server Authentication, Security Token, Smart-card ABSTRACT Since the facilities for the remote users tend to be deployed in distributed manner, authentication schemes for multi-server communication settings, which provide various web services, are required for real-world applications. A typical way to authenticate a remote user relies on password authentication mostly. However, this method is vulnerable to attacks and inconvenient as the system requires users to maintain different identities and corresponding passwords. On the other hand, the user can make use of a single password for all servers, but she may be exposed to variants of malicious attacks. In this paper, we propose an efficient and secure authentication scheme based on a brokered authentication along with smart-cards in multi-server environment. Further we show that our scheme is secure against possible attacks and analyze its performance with respect to communication and computational cost. Ⅰ. 서 론 프로세스의 성능 향상과 비용감소에 의해 스마트 카드가 폭넓게 사용되는 것이 가능해지고 있다. 예 를 들면 신분증과 결합되거나 다기능 교통카드가 대표적이다. 동시에 IT 기술의 발전으로 편리한 서 비스나 자원이 여러 개의 서버에 분산되어 존재하 는 추세이다. 사용자는 좀 더 효율적으로 분산된 자 원에 접근할 수 있게 되었으나, 여러 개의 서버에 접근해야 할 필요성이 있다. 이러한 상황에서 사용 자에게 편리성을 제공하기 위해 저렴한 스마트카드 를 사용하여 인증하는 방법이 도입되었다 [23,4,11]. 그 주저자:수원대학교 IT대학 정보보호학과, msunkim@suwon.ac.kr, 정회원 논문번호:2013-02-103, 접수일자:2013년 2월 26일, 최종논문접수일자:2013년 3월 12일 190

논문 / 다중서버 인증을 위한 스마트카드 기반 중재 인증 기법 연구 래서 사용자는 권한이 있는 서버가 발행한 한 장의 스마트카드를 사용해서 여러 개의 서버에 접속하여 다양한 서비스를 편리하게 받을 수 있을 것이다. 사용자 입장에서는 서버마다 별도의 스마트카드를 사용하는 대신 한 장의 스마트카드를 사용함으로써 얻는 경제적인 이점도 있다. 이러한 이유로 사용자는 여러 서버에 한 장의 스 마트카드를 사용할 때 각기 다른 서비스에 대하여 한 개의 패스워드만 사용하면 되므로 사용자는 매 우 편리하다. 그러나 원격지 사용자가, 여러 서버가 제공하는 상이한 네트워크 서비스를 한 장의 스마 트카드를 사용하여 이용하려는 경우에 해당 서비스 에 자신의 아이디와 패스워드를 먼저 등록해야 한 다. 즉 사용자가 여러 서비스를 사용하려면 매번 자 신의 아이디와 패스워드를 해당 서버에 제시해야한 다. 이러한 상황에서 개인의 비밀정보는 공격자의 추적에 노출되고 시스템의 개인정보가 해킹될 수 있다. 다양한 연구들이 이러한 보안문제를 다루기 위해 제안되었다 [16,6,15,25]. 그 후 Chang과 Lee [4], Juang [11] 는 기존 기법의 효율성 개선에 기여하였다. 이러한 기존 연구들의 공통 특징은 인증을 위하여 검증테 이블(Verification Table)을 서버가 저장해야 한다. 그러나 이들은 Stolen Verifier Attack이나 Insider Attack에 취약하다. 이 문제를 해결하기 위해 검증 테이블 대신 해시함수(Hash Function)을 사용하는 기법이 Tsai [22], Yoon과 Yoo [27] 에 의해 제안되었 다. 그러나 이들의 기법은 단순한 Replay Attack에 취약함이 밝혀졌다 [5]. 그래서 Timestamp를 이용하 여 [26,24] Replay Attack을 방지하는 방법들이 제안되 었다 [20,5]. 본 논문은 이러한 기존의 보안문제를 해결하기 위한 새로운 다중서버 인증기법을 제안한다. 좀 더 구체적으로 이야기하면 본 연구에서는 인증서버 (Authentication Server, AS)에 인증을 중재하는 기 능을 도입하여 사용자와 서버간의 직접 연결을 제 거한다. 인증이 중재되는 경우 이것을 중재인증 (Brokered Authentication, BA)이라 한다 [17]. 구체적 인 기술로는 보안 토큰 서비스(Security Token Service, STS)가 쓰인다. (STS가 편한 독자는 BA 대신 사용해도 무방하다.) 중재인증을 사용하여 얻 을 수 있는 또 다른 장점은 이기종 네트워크간의 사용자 인증이 용이하게 구현될 수 있다. 이 시스템 에서 AS는 사용자 인증에 사용될 보안 토큰을 발 행하고 접근제어 기능을 제공한다. 특히 본 연구에 서는 연산능력이 제한된 휴대용기기에서 사용하는 것이 가능하도록 연산량을 개선하였다. 또한 저장량 을 줄이면서 보안성을 유지하기 위해 타원곡선기반 의 기법을 사용한다. 본 논문의 구성은 다음과 같다. 2장에서는 본 연 구의 이해를 돕기 위한 배경지식을 기술하고 3장에 서 본 논문에서 제안하는 기법을 자세히 다룬다. 끝 으로 4장에서 안전성 및 성능의 분석을 제시하고 5 장의 맺음말로 정리한다. Ⅱ. 배경지식 및 정의 이번 장에서는 본 연구의 주요 도구인 타원곡선 기반의 암호 시스템, 제안한 인증 기법이 기반하는 암호학적 가정과 중재 인증에 대해서 좀 더 자세히 기술한다. 2.1. 타원곡선 암호 공개키 암호 알고리즘은 인수분해 [21] 또는 이산대 수 [9] 문제의 어려움에 기반을 두고 있다. (다음 장 에서 자세히 다룬다.) 이때 문제를 풀기 어려운 것 이지 불가능한 것이 아니므로, 주어진 수는 인수분 해나 또는 주어진 군(Group)에서 이산대수 문제를 풀기 어려울 정도의 크기이어야 한다. 예를 들면 RSA 암호 알고리즘은 현재 2048 비트 크기의 정 수를 키(Private Key)로 사용한다 [21]. 더구나 컴퓨터 의 연산능력이 점점 향상되기 때문에 점점 더 큰 정수나 위수(Order)가 더 큰 군을 사용하게 된다. 그러나 경우에 따라서는 이렇게 큰 정수를 저장하 거나 다루는데 문제가 되는 기기가 존재한다. 그래 서 동일한 안전성을 제공하면서 짧은 키를 사용하 는 타원곡선 암호 기법이 제안되었다 [18,13]. 타원곡선 암호 기법은 Weierstrass 방정식을 사용 하며 암호 알고리즘이 동작할 수 있는 유한순환군 (Finite Cyclic Group)을 만든다 [2]. 이렇게 만들어진 유한순환군이 큰 소수에 기반을 두어 만들어지는 군을 대체하는 것이다. 차이점은 타원곡선을 사용하 여 만들어진 유한순환군은 덧셈군(Additive Group) 이며 기존 유한순환군은 곱셈군이다. 타원곡선 암호 의 연산규칙, 안전성은 각각 [3,2]과 [7] 및 해당 논 문의 참고문헌을 참고하고 효율적 연산은 [12,8] 등 을 참고한다. 타원곡선 기반의 암호화(Encryption) 알고리즘은 표준 X9.63 [1] 에 구체적으로 제정되어 있으며 서명 과 키교환(Key Exchange) 및 키합의(Key 191

한국통신학회논문지 '13-03 Vol.38B No.03 Agreement) 기법은 표준 P1363 [10] 에 정의되어 있 다. 본 논문에서는 암호화 알고리즘으로 ECIES(Elliptic Curve Integrated Encryption Scheme), 키합의 기법으로 ECDH(Elliptic Curve Diffie-Hellman)을 사용한다 [1]. 2.2. 암호학적 가정 본 논문에서 제안하는 암호 알고리즘은 타원곡선 기반 Diffie-Hellman(DH) 문제의 어려움에 기반을 둔다. 이산대수 문제와도 밀첩하게 관련된 DH 문제 는 Diffie와 Hellman에 [9] 의해 설계된 공개키 암호 에 처음 적용된 것으로 다음과 같이 정의된다. 정의 1. (Diffie-Hellman 문제) 를 유한순환군 이라 하고 를 유한순환군 의 모든 원소를 생성 하는 생성자라 하고 라 표기하자. 이때 의 임의의 두 원소 와 가 주어졌을 때 를 계산하는 문제를 Diffie-Hellman 문제라 한다. 여기서 는 정수이다. 정의에서와 같이 군 의 원소 가 주어 졌을 때 이것들로부터 를 계산하기 어렵다는 것 이 Diffie-Hellman 가정이다. 현재 곱셈군 를 사 용하여 표기한 것을 덧셈군으로 표현하면, 지수 형 식은 상수 곱셈(Scalar Product)으로 표현하고 곱셈 형식은 덧셈으로 표현한다. 2.3. 중재 인증 이미 잘 알려진 바와 같이 보안 토큰 서비스 (Security Token Service, STS)는 분산 네트워크에 서 보안토큰을 발행하는 웹서비스(Web Service)이 다. 이러한 네트워크에 있는 사용자들 간의 신뢰할 수 있는 통신을 제공하기 위해 신뢰할 수 있는 개 체가 이기종 네트워크 내에 존재하는 사용자들에게 보안토큰을 발행한다. 이러한 기술을 일반적으로 중 재된 인증 또는 중재인증(Brokered Authentication, BA)라 부른다 [17]. BA는 인증중재자(Authentication Broker)에게 사용자의 신원을 증명하는 방법을 명시 하고 있으며, 실제로는 인증중재자가 보안토큰을 발 행한다. BA의 이점은 웹서비스에서 요구되는 인증, 권한 관리(Authorization)와 세션키(Session Key) 교환을 통합적으로 지원하는 시스템 구현이 가능하고 이기 종 플랫폼간의 상호호환성을 제공한다. BA에서 인증 시스템은 사용자, 서버, 인증중재자 및 신원저장소(Identity Store)로 구성된다. 그래서 사용자의 계정이나 ID를, 인가되지 않은 내부 관리 자가 수정하는 보안문제가 발생할 수 있다. 이런 보 안문제를 해결하기 위해 신원저장소 또는 검증테이 블(Verification Table)을 별도로 저장하지 않고 인 증 서버(Authentication Server)가 발행한 보안토큰 을 사용하는 방법을 이용한다. 본 논문에서는 이러한 중재인증의 개념을 다중서 버 인증에 도입하려는 것이며 이를 위해 다음과 같 은 개체를 재정의한다. - 사용자(User). 사용자는 웹서비스에 접근하여 웹서비스에서 요구하는 인증 정보를 제공한다. - 인증서버(Authentication Server, AS). AS는 사 용자가 입력한 로그인(Login) 정보를 검증하여 인증한다. 또한 인증에 성공한 사용자와 그가 접근하려는 서버를 위해 보안토큰을 발행한다. - 대상서버(Target Server, TS). TS는 사용자가 접근하려는 특정 웹서비스를 제공하는 웹서버 (Web Server)이다. 해당 웹서비스를 이용하기 위해 TS에 접근하려면 인증이 필요하다. 2.4. 다중서버 인증 기법 본 장에서는 다중서버 인증 기법을 좀 더 형식적 으로 정의하고자 한다. 먼저 다중서버 인증에 포함 된 TS의 수를 이라 하고, 웹서비스를 이용하려는 사용자의 수를 이라 하자. 다중서버인증 기법은 다음과 같이 5단계로 구성 된다. (i) 설정(Setup) 단계. 사용자, AS와 TS 간의 인 증을 수행하기 위해 필요한 시스템 매개변수 와 해시함수를 결정하는 단계이다. (ii) 등록(Registration) 단계. 모든 명의 사용자 와 개의 TS는 AS에 정당한 사용자 및 서 버로 등록을 한다. (iii) 로그인(Login) 단계. 임의의 사용자 가 TS 가 제공하는 웹서비스를 이용하기 위해서 로 그인 단계를 수행한다. (iv) 서버인증(TS-Authentication) 단계. 이 단계 에서 AS는 사용자가 서비스를 요청하는 TS 를 먼저 인증하고 보안토큰을 생성한다. (v) 상호인증(Mutual Authentication) 단계. AS로 부터 토큰을 받은 사용자 는 임의의 TS 와 상호인증을 수행한다. 192

논문 / 다중서버 인증을 위한 스마트카드 기반 중재 인증 기법 연구 Ⅲ. 제안하는 방법 3장에서는 본 논문에서 제안하는 기법을 자세히 설명한다. 이를 위해 먼저 표기법을 간략히 정리하 고 제안하는 기법을 구체적으로 설명한다. 3.1. 표기법 본 논문에서는 인증에 참여하는 개체 간에 인증 된 비밀키(Secret Key)인 세션키를 공유하는 것을 최종 목적으로 한다. 이를 위하여 타원곡선 기반 DH-키합의(Key Agreement) 기법을 이용한다. 먼저, 사용할 타원곡선과 관련된 표기법을 기술한다. 유한 체(Finite Field) F 위에서 정의된 타원곡선을 F 로 표기한다. 여기서 어떤 수, 소수 에 대하여 이다. 본 논문에서는 구현의 편의를 위해 를 사용하므로, F 위에서 정의되는 다음과 같은 타원곡선 를 사용한다: F 여기서 F 이며, 이다. 특히 안전성 을 만족하는 타원곡선을 사용해야 하며 [14] 본 논문 에서는 인 Koblitz 곡선을 사용한다. 추가 로 기본점(Base Point)을 로 표기하자. 각 사용자는, 각 TS는 로 표기한다. 또한 해시함수는 로 표기하고 를 각각 사용자 와 TS의 Timestamp라 하자. 사용자 의 ID는 UID, TS 의 ID는 SID, AS의 ID는 SID 로 표기한다. 2.4장에서 언급한 바와 같이, 사용자 의 수는, TS의 수는 이므로 본 논문 전체에서 사용하는 첨자는 이다. 3.2. 제안하는 인증 기법 본 장에서는 전술한 표기법을 사용하여 본 논문 에서 제안하는 인증기법을 자세히 설명한다. 3.2.1. 설정 단계 이 단계에서는 DH-키합의를 위해 필요한 타원곡 선의 매개변수 및 난수의 크기를 결정한다. 추가로 사용할 해시함수를 결정하는데 암호학적 해시함수를 선택하여 사용한다 (예, SHA1 [19] ). 타원곡선 암호의 매개변수가 결정되면, 각 사용 자와 TS는 ECIES [1] 에서 정의된 암호화 알고리즘을 위한 자신의 공개키와 개인키 쌍을 계산한다. 는 사용자 의 공개키/개인키 쌍이고, 는 TS의 공개키/개인키 쌍이다. AS도 공 개키와 개인키 쌍 을 생성하여 공개한다. 3.2.2. 등록 단계 이 단계에서는 AS에 접근하여 다중서버 네트워 크에 사용자와 TS가 유효한(Valid) 개체로 각각을 등록한다. 이를 위해서 사용자 는 자신의 UID 와 암호 를 안전한 채널을 통해서 AS에게 전송 한다. 사용자 가 AS의 공개키 를 사용하여 암 호화한 후 전송하는 것으로 안전한 채널을 만들 수 있다. DH 가정에 의해 이러한 암호화 알고리즘은 안전하다. AS는 를 사용하여 UID 를 복구한 후 와 UID 를 계산한다, 여기서 는 사용자용 난수이며 는 비트 XOR 연산을 의미한다. 이렇게 계산한 값만 스마트카드에 저장한 후, 이것을 사용자 에 게 발행한다. 단 AS는 를 저장하지 않는다. TS 가 등록하는 과정도 사용자가 등록하는 과 정과 유사하다. 그러나 TS는 유효개체로 등록만 하 면 되므로 Password를 사용할 필요는 없다. 그래서 가 공개된 채널로 SID 를 전송하면 AS는 TS용 난수 를 선택한 후, SID 을 계산한다. AS는 를 안전한 채널로 TS에게 전 송한다. 이때 TS 의 공개키 를 이용한다. TS 는 자신의 개인키 를 사용해 복호화한다. 3.2.3. 로그인 단계 이 단계에서는 사용자가 임의의 TS가 제공하는 웹서비스를 사용하려 하는 것으로 시작한다. 이를 위하여 사용자는 자신의 Password 를 스마트카 드에 제시하여 다음을 얻는다: 위에서 계산한 와 새로운 난수 를 이용해 UID 를 계산한다. TS 의 서비스를 사용하려면 AS에 193

한국통신학회논문지 '13-03 Vol.38B No.03 게 메시지 SID UID 를 전송한다. AS는 가 등록된 사용자인지 확인하기 위해 자 신이 저장하고 있는 의 UID 와 수신한 난 수 를 사용하여 UID 을 계산하고 을 만족하는지 검사한다. 만족 한다면 등록된 사용자로 판단하고 그렇지 않으면 실패메시지를 전송하고 종료한다. 등록된 사용자일 경우 AS는 UID SID 를 TS에게 전송하여 사용자의 접속요청을 알린다. TS는 AS로부터 요청을 받으면 난수 를 생성 한 후 SID 을 계산하여 를 로그인 승인 메시지로 사용 하도록 AS에게 전송한다. 3.2.4. 서버인증 단계 이 단계에서 AS는 TS를 인증한 후 성공하면 보 안토큰을 생성한다. 우선 AS는 다음을 계산하여 TS가 등록된 서버 인지 검증한다. 이때 AS가 저장한 SID 를 사용한다. SID 만약 을 만족하면 다음 식을 사용하여 임 시키(Ephemeral Key) 1) 를 생성한다: 와 SID UID 임시키 생성을 완료하면 보안토큰을 생성하기 위 해 와 를 계산한 다. AS는 사용자 의 보안토큰, TS 의 보안토큰, 을 계산하여 에게 를 전송하고 에게 를 전송한다. 3.2.5. 상호인증 단계 마지막으로 사용자 와 TS 간의 상호인증을 1) 임시키는 키합의 과정에서 임시로 만들어지는 비밀값을 의미 한다. 수행하는 단계를 설명한다. 우선 등록된 사용자 는 AS에게 받은 난수값 와 자신의 Password를 사용하여, 이번에 수신한 보안토큰이 유효한지 검사한다. 사용자 는 앞에서 계산한 를 이용하여 차례로 UID 와 을 계산한다. 여기서 은 에서 얻고 는 에서 얻는다. 그리고 를 계산하 여 에서 얻은 와 비교한다. 만약 같으면 다 음을 단계를 진행하고 이면 AS에게 통보 하고 종료한다. TS 도 비슷한 과정을 수행하여 자신이 수신한 보안토큰이 유효한지 검증한다. 이를 위해 AS가 전 송한 로부터 를 추출하여 와 SID 을 차례로 계산한다. 다음에 를 계산하고, 처럼 로부터 추출한 와 비교한 다. 만약 이면 AS에게 이 사실을 통보하 고 종료한다. 이제 상호인증을 위해 먼저 가 DH-키합의를 위한 준비를 한다. 이를 위해 먼저 DH-키합의를 위 한 공개값 를 계산한다, 여기서 는 사용자의 비밀값이며, 은 기본점 에 대한 상수배(Scalar Product) 연산을 의미한다. 추가로 UID i SID j r i 를 계산한다. 사용자 는 을 에 게 전송한다, 여기서 은 의 Timestamp이다. TS 가 이것을 수신하면 서버인증 단계에서 얻 은 UID i r i 를 이용하여 UID i SID j r i 을 계산하여, 을 만족하는지 검증한다. 만족하지 않으면 에게 통보하고 종료한다. 만족하 면 는 DH 키합의를 위해 난수 를 선택한 후 194

논문 / 다중서버 인증을 위한 스마트카드 기반 중재 인증 기법 연구 자신의 공개값 를 계산한다. 계산을 완료한 후, 자신의 Timestamp 를 생성하여 사용 자 에게 를 전송한다, 여기서 UID i SID j r j. 이것을 수신한 후, 사용자 는 먼저 를 추출 하여 를 계산한다. 만약 가 사전 에 정한 임계값(Threshold)보다 크면 에게 통보 하고 종료한다. 임계값보다 작으면 SID j r j 를 사용하여 UID i SID j r j 를 계산한다. 만약 인지 확인한 후 이것 을 만족하지 않으면 에게 통보하고 종료한다. 만 족한다면 사용자 는 TS 간의 세션키 를 다음과 같이 계산한다: 실제로 도 동일한 세션키 를 갖는다. 왜냐하면 이므로 동일한 값임을 알 수 있다. 이제 사용자 와 TS 는 정해진 Session 동안 세션키 를 사용하여 안전한 채널을 만들어 사용 할 수 있다. Ⅳ. 제안하는 방법 분석 본 장에서는 제안한 다중서버 인증기법의 안전성 과 성능을 분석한다. 안전성 분석을 위해 가능한 공 격들을 나열하고 제안한 기법이 공격을 어떻게 방 어하는지 기술한다. 성능 분석을 위해 각 단계별로 필요한 모든 연산의 횟수를 계산한다. 4.1. 안전성 분석 현재 다중서버 인증에 대한 안전성 증명은 엄밀 한 수학적 증명보다는 가능한 공격에 대한 안전성 을 보임으로써 이루어진다. 현재 다른 연구 결과의 접근법처럼, 다중서버 인증기법에 가능한 공격을 나 열하고 제안한 기법의 안전성을 비교하여 기술한다. Stolen Verifier Attack. 공격자는 TS에 저장된 Password의 해시값을 얻어내는 것이 가능하다. 그 러나 본 논문에서 제안한 기법은 AS나 TS에 어떠 한 Password도 저장하지 않는다. Insider Attack. 사용자 가 AS에게 자신의 UID 와 Password 를 안전한 채널로 전송하면, AS는 를 계산한 후, 만 에게 발행할 스마트카드에 저장한다. 그 후 사용자는 AS 나 TS가 접근할 수 없는 환경에서 Password를 스 마트카드에 제시한다. 그러므로 서버들은 의 Password를 얻어낼 수 없다. Replay Attack. 공격자는 전송 채널을 도청하여 송수신되는 메시지를 저장한 후 나중에 동일한 메 시지를 반복적으로 사용하여 사용자나 TS의 ID에 대응하는 Password를 알아낼 수 있다. 본 논문에서 는 이러한 Replay Attack을 방지하기 위해 Timestamp를 사용한다. 사용자와 TS간에 상호인증 을 수행할 때 Timestamp를 전송하도록 하고 수신 한 Timestamp 값 사이의 차이를 계산하여 임계값 의 범위를 초과하지 않는 경우에만 성공하도록 인 증기법을 설계하였다. Man-in-the-middle Attack. 공격자가 중간에서 송신자의 메시지를 가로챈 후 자신의 메시지로 대 체하여 지정된 수신자에게 재전송할 수 있다. 그러 나 본 논문에서 제안한 기법은 Diffie-Hellman 문제 가 어렵다는 가정 하에서 공격자가 세션키 를 알 아내는 것은 불가능하다. 그래서 공격자는 에 대 한 정보가 없기 때문에 사용자 의 메시지를 볼 수는 있으나 TS 가 정상적으로 복호화할 수 있 는 메시지를 만들 수 없다. 또한 모든 난수는 암호 학적 해시함수의 입력값으로 이용되므로 해시함수의 안전성에 의해 공격자는 난수값을 알 수 없다. Impersonation Attack. 공격자는 정상적인 사용 자로 가장하기 위해 로그인 단계에서 사용자가 전 송하는 정보를 수집할 수 있다. 그러나 제안한 기법 은 사용자가 로그인할 때 난수 를 사용하여 를 계산하였고 을 계산할 때 또 다른 난수 를 사 용한다. 공격자가 나 을 계산하려면 를 모두 알아내야 한다. 그러나 암호학적 해시 함수의 안전성에 의해 이것은 불가능하다. Password-guessing Attack. 공격자는 공개된 사용자의 ID UID 를 사용하여, 자신이 선택한 임 195

한국통신학회논문지 '13-03 Vol.38B No.03 의의 Password를 입력하여 로그인을 지속적으로 시 도할 수 있다. 그러나 본 논문에서 제안한 기법은 사용자가 AS에 로그인할 때 Password를 입력하지 않는다. 대신 등록 단계에서 사용한 난수 와 로 그인 단계에서 새롭게 생성한 난수 만 사용한다. 그러므로 Password를 추측으로 알아내는 공격을 시 도할 수 없다. Server-spoofing Attack. 공격자는 사용자가 등 록이나 로그인하려는 단계에서 AS를 가장하는 공격 을 할 수 있다. AS를 위장하기 위해서는 로그인 단 계에서 각 사용자에게 전송할 를 계산하는데 필요 한 유효한 를 알아야 한다. TS에 대해서도 공격자는 AS를 가장하는 것이 불가능하다. 왜냐하면 TS도 를 이용하여 AS를 인 증하므로 를 모르면 정당한 를 계산할 수 없다. Forward Secrecy. 공격자가 과거의 세션키를 알아내는 것이 가능해도 사용자 와 TS 는 매 번 DH 키합의 기법을 사용하여 새로운 Session마 다 새로운 세션키를 생성한다. 그래서 본 논문에서 제안한 기법은 Forward Secrecy를 제공한다. 4.2. 성능 분석 우선 각 단계별로 통신량을 분석한다. 먼저 사용 자와 TS가 사용하는 ID의 비트 길이는 128 비트이 다. 암호학적 해시 함수의 출력의 비트 길이는 160 비트이다. 모든 난수의 길이도 160 비트로 가정한 다. 설정 단계에서는 AS가 매개변수 및 공개키를 게시판에 공지하는 것이므로 계산에서 제외한다. ECIES가 사용하는 대칭키 암호기법은 128 비트, 해시 함수는 160 비트를 각각 사용한다. 그러므로 나머지 단계의 통신량을 계산하면 표 1과 같으며 전체 통신량은 4920 비트이다. 이번에는 제안한 기법에 의해서 요구되는 연산량 을 계산한다. 표기의 편의를 위해 타원곡선 암호화 및 복호화 연산을 각각 E와 D로 나타내고 암호학 적 해시 함수 연산을 H로 나타내자. 단계별 연산량 을 표 2로 나타내었다. 덧셈군에서 상수배 연산은 M으로 표기하고, 타원곡선이 사용하는 유한체에서 의 곱셈은 m으로 나타낸다. 표 1. 제안한 기법의 통신량 Steps Users Comm. Complexity Registration AS 774 bits AS 742 bits Log-in AS 576 bits AS 576 bits TS Auth. AS 640 bits AS 640 bits Mutual Auth. 972 bits 표 2. 제안한 기법의 연산량 Steps Total Computation Cost Setup 1H Registration 3H+2E+2D Log-in 4H TS Authentication 4H Mutual Authentication 6H+2M 끝으로 본 논문에서 제안한 인증기법과 기존 연 구 결과의 연산량을 기준으로 성능을 분석하면 다 음 표 3과 같다. 본 논문에서 제안하는 기법과 같 이 기존 다중서버 인증 기법은 안전한 채널 형성을 위해 공개키 연산을 사용자와 TS가 수행해야 하고, 마지막에 DH 키합의를 수행해야 한다. 그래서 공평 한 비교를 위해 공개키 연산과 상수배 연산을 제외 하고 비교한다. 표 3. 연산량 비교 Our Scheme [22] [27] Computational Complexity 18H 27H 26H Wang과 Ma가 제안한 기법은 [23] 공개키 연산을 수행하지 않기 때문에 위의 비교와 다르다. 그러나 본 논문에서 제안한 기법과 동일하게 타원곡선 연 산을 사용하기 때문에 암호화 및 복호화 회수를 계 산하는 대신 상수배 연산의 개수를 직접 세어 연산 량을 비교한다. 조금 더 구체적으로 이야기하면 ECIES는 암호화 하는데 2번의 상수배 곱셈, 복호화하는데 1번의 상 수배 연산을 요구한다. 제안한 기법은 2번의 암호화 와 복호화 연산과 2번의 상수배 곱셈을 요구하므로 총 8번의 상수배 연산을 요구한다. 그러나 나머지 196

논문 / 다중서버 인증을 위한 스마트카드 기반 중재 인증 기법 연구 모든 연산은 해시함수와 XOR 연산만으로 구성된 다. 더구나 본 논문에서 제안한 기법은 등록단계에 서 공개키 연산을 1회 수행하는데 반해, [23]에서 제안한 기법은 인증단계에서도 요구하는 문제가 있 다. 특히 [23]에서 제안한 기법은 유한체에서의 곱 셈 연산을 6번 요구하는데 비해, 본 논문에서 제안 한 기법은 유한체 곱셈 연산을 요구하지 않는다. 정 리하면 다음 표 4와 같다. 표 4. 연산량 비교 Our Scheme [23] Hash Function 18H 30H Scalar Product over F k 8M 5M Finite Field Multiplication 0 6m 위 결과로부터 본 논문에서 제안하는 기법은 1회 인증을 수행하는데 필요한 전체 통신량은 4830 비 트이다. 특히 기존 기법에 비하여 수행해야 하는 암 호학적 해시 함수의 연산량을 31% 개선한 것을 알 수 있다. Ⅴ. 결론 및 향후 연구내용 본 논문에서는 중재인증 기법을 사용하여 다중서 버를 인증하는 기법을 제안하였다. 특히 중재인증 기법의 하나인 보안토큰을 사용하여 다중서버 인증 기법을 구성하는 방법을 구체적으로 제시하였다. 본 논문에서 제안한 기법이 기존 보안 문제를 어떻게 해결하는지 분석하였고, 기존 기법과의 성능비교를 위해 필요한 통신량과 연산량을 제시하였다. 그러나 본 논문에서 제시한 인증기법이 안전하다 는 것을 수학적으로 엄밀하게 증명할 필요가 있고, 구체적인 구현을 통하여 실험적으로 성능을 분석할 필요가 있다. References [1] ANSI, Public-key Cryptography for the Financial Services Industry: Elliptic Curve Key Agreement and Key Transport Schemes, ANSI X.963, 1998. [2] R. Avanzi, C. Doche, T. Lange, K. Nguyen and F. Vercauteren, Handbook of Elliptic and Hiperelliptic Curve Cryptography, Chapman & Hall/CRC Press, 2006. [3] I. Blake, G. Seroussi and N. Smart, Elliptic Curve in Cryptography, Cambridge Press, 1999. [4] C. Chang and J. Lee, An efficient and secure multi-server password authentication scheme using smart cards, in Proc. 2004 Int. Conf. Cyberworlds (CW 04), pp. 417-422, Tokyo, Japan, Nov. 2004. [5] K. Chatterjee, A. De, and D. Gupta, Timestamp based authentication protocol for smart card using ECC, in Proc. Web Inform. Syst. Mining (WISM), pp. 368-375, Taiyuan, China, Sep. 2011. [6] Y. Chen, C. Huang and J. Chou. (2009, Apr 21). A novel multi-server authentication protocol [Online], retrieved (2013, January 11), available: http:// eprint.iacr.org/2009/176. [7] J. H. Cheon, H. Kim, S. G. Hahn, and C. Park, On the discrete logarithm of an elliptic curve, Korean Inst. Inform. Security (KIISC), vol. 8, no. 3, pp. 95-104, Sep. 1998. [8] S. M. Cho, S. C. Seo, T. H. Kim, Y. H. Park, and S. Hong, New efficient scalar multiplication algorithms based on Montgomery ladder method for elliptic curve cryptosystems, Korean Inst. Inform. Security (KIISC), vol. 19, no. 4, pp. 3-19, Aug. 2009. [9] W. Diffie and M. Hellman, New directions in cryptography, IEEE Tran. Inform. Theory, vol. 22, no. 6, pp. 644-654, Nov. 1976. [10] IEEE, Standard specifications for public-key cryptography, IEEE P1363, 1999. [11] W. Juang, Efficient multi-server password authenticated key agreement using smart cards, IEEE Trans. Comsum. Electron., vol. 50, no. 1, pp. 252-255, Feb. 2004. [12] Y. H. Kim, Y. H. Park, S. Lee, J. Y. Hwang, C. H. Kim, and J. Lim, An 197

한국통신학회논문지 '13-03 Vol.38B No.03 improved method of scalar multiplication on elliptic curve cryptosystems over small fields of odd characteristic, Korean Inst. Inform. Security (KIISC), vol. 12, no. 6, pp. 105-113, Dec. 2002. [13] N. Koblitz, Elliptic curve cryptosystems, Math. Comp., vol. 48, no. 177, pp. 203-209, Jan. 1987. [14] KISA (2009, Apr 21), Development of improved Korean digital signature algorithm and standard [Online], retrieved (2012, November 21), available: http://www.kisa.or.kr/. [15] Y. Lao and S. Wang, A secure dynamic ID based remote user authentication scheme for multi-server environment, Computer Standards and Interfaces, vol. 13, no. 1, pp. 24-29, Jan. 2009. [16] I. Lin, M. Hwang and L. Li, A new remote user authentication scheme for multi-server architecture, Future Generation Computer Systems, vol. 19, no. 1, pp. 13-22, Jan. 2003. [17] Microsoft Corporation (2005), Web service security: scenarios, patterns and implementation guidance for web service enhancement (WSE) [Online], retrieved (2012, Oct. 12), available: http://msdn.microsoft.com/en-us. [18] V. Miller, Use of elliptic curves in cryptography, in Proc. Advances Cryptology (CRYPTO 2005), pp. 417-426, L.A., U.S.A., Aug. 1985. [19] NIST, Secure hash standard, NIST FIPS 180-4, 2012. [20] A. Pathan and C. Hong, An improved timestamp-based password authentication scheme, The 9 th Int. Conf. Advanced Commun. Technol. (ICACT 2007), pp. 804-809, Gangwon, Korea, Feb. 2007. [21] R. Rivest, A. Shamir and L. Adleman, A method for obtaining digital signatures and public-key cryptosystems, Comm. ACM, vol. 21, no. 2, pp. 120-126, Feb. 1978. [22] J. Tsai, Efficient multi-server authentication scheme based on one-way hash function without verification table, Comput. Security, vol. 27, no 3-4. pp. 115-121, June 2008. [23] B. Wang and M. Ma, A smart card based efficient and secured multi-server authentication scheme, Wireless Pes. Commun., vol. 63, no. 3, pp. 361-378, Jan. 2013. [24] X. Wang, J. Zhang, W. Zhang, and M. Khan, Cryptanalysis and improvement on two efficient remote user authentication schemes using smart cards, Computer Standards and Interfaces, vol. 29, no. 52, pp. 507-512, July 2007. 김 명 선 (Myungsun Kim) 1994년 2월 서강대학교 전자 계산학과 졸업 2002년 8월 한국정보통신대학 교 정보통신공학과 석사 2012년 8월 서울대학교 수학과 박사 2012년 9월~현재 수원대학교 정보보호학과 조교수 <관심분야> 암호학, 다자간 연산 198