earticle

영어

A simple remote user authentication scheme is proposed and it does not require any password or verification tables in the remote server and any legal users could choose and change their passwords freely without the help of a remote server. This scheme is insecure if the secret key of the server is leaked or stolen and when the smart card is stolen, unauthorized users can easily change new password of the smart card. This scheme cannot resist the denial of service attack using stolen smart card and does not provide mutual authentication. An improved authentication scheme is proposed and it is vulnerable to a password guessing attack in case that the attacker steals the legal user's smart card and extracts the information from the smart card. Also an improved user authentication scheme based on the random nonce is proposed. This paper demonstrate that the random nonce based authentication scheme is insecure against forgery attack through replaying previous login and authentication message, and propose an improved scheme to resolve such problem. The proposed scheme using random nonce and timestamp is secure against various attacks.

한국어

원격지 서버에 패스워드 또는 검증 테이블이 필요 없으며 원격지 서버의 참여 없이 사용자가 자유롭게 패스워드를 선택 및 변경할 수 있는 사용자 인증 스킴이 제안되었다. 만약 서버의 비밀키가 유출 또는 도난 되면 이 스킴은 안전하지 않으며, 스마트카드가 도난 되면 정당하지 않은 사용자가 스마트카드의 패스워드를 쉽게 바꿀 수 있다. 또한 이 스킴은 절취한 스마트카드를 이용한 서비스 거부 공격에 취약하며 상호인증을 제공하지 못한다. 이러한 취약점을 개선한 인증 스킴이 제안되었으며, 이 스킴은 시스템의 비밀키 유출과 도용 시에 취약점을 가지며 사용자와 서버 간 상호인증이 가능한 스킴이 제안되었다. 최근에 이 스킴은 스마트카드 도난 및 일시적인 유출에 의해 스마트카드의 저장 내용이 공격자에게 노출되면 오프라인 패스워드 추측공격이 가능하며 이를 개선한 랜덤 넌스를 이용한 인증 스킴이 제안되었다. 본 논문은 랜덤 넌스 기반의 인증 스킴이 로그인 및 인증 메시지 재전송을 통한 위장 공격에 취약함을 지적하고 이러한 취약점에 강인한 랜덤 넌스와 타임스탬프를 이용한 새로운 인증 스킴을 제안한다. 제안한 랜덤 넌스와 타임스탬프를 사용한 스킴은 다양한 공격에 안전하다.