지금까지 피싱에 대응하기 위한 여러 연구가 진행되어 왔다. 가장 대표적인 안티 피싱 방법은 피싱 사이트의 URL 정보를 미리 수집한 뒤, 사용자가 방문하는 사이트의 URL과 미리 저장된 정보를 비교하여 피싱을 탐지하는 방법이다. 하지만 이러한 블랙리스트 기반의 안티피싱 방법은 새로운 피싱 사이트를 탐지하지 못하는 한계를 갖는다. 이에 다양한 안티 피싱 인증 프로토콜이 제안되어 왔지만 대부분 인증과정에서 공개키와 비밀키를 필요로 한다. 이에 본 논문에서는 피싱 공격에 안전한 패스워드 기반 상호 인증 프로토콜을 제안한다. 제안된 프로토콜에서 클라이언트와 서버간의 상호 인증은 패스워드 정보가 포함된 인증 메시지를 통해 수행된다. 인증 과정에서 사용되는 인증 메시지에는 패스워드 원본이 아닌 패스워드의 해시 값이 포함되며, 인증 시 매번 다른 메시지가 사용되기 때문에 재생공격, 도청 공격에 안전하다. 또한, 상호 인증을 수행하기 때문에 중간자 공격에 안전하며, 인증을 위한 별도의 키 발급 과정이 필요없다.
지금까지 피싱에 대응하기 위한 여러 연구가 진행되어 왔다. 가장 대표적인 안티 피싱 방법은 피싱 사이트의 URL 정보를 미리 수집한 뒤, 사용자가 방문하는 사이트의 URL과 미리 저장된 정보를 비교하여 피싱을 탐지하는 방법이다. 하지만 이러한 블랙리스트 기반의 안티피싱 방법은 새로운 피싱 사이트를 탐지하지 못하는 한계를 갖는다. 이에 다양한 안티 피싱 인증 프로토콜이 제안되어 왔지만 대부분 인증과정에서 공개키와 비밀키를 필요로 한다. 이에 본 논문에서는 피싱 공격에 안전한 패스워드 기반 상호 인증 프로토콜을 제안한다. 제안된 프로토콜에서 클라이언트와 서버간의 상호 인증은 패스워드 정보가 포함된 인증 메시지를 통해 수행된다. 인증 과정에서 사용되는 인증 메시지에는 패스워드 원본이 아닌 패스워드의 해시 값이 포함되며, 인증 시 매번 다른 메시지가 사용되기 때문에 재생공격, 도청 공격에 안전하다. 또한, 상호 인증을 수행하기 때문에 중간자 공격에 안전하며, 인증을 위한 별도의 키 발급 과정이 필요없다.
Until now, various studies on anti-phishing have been conducted. The most typical anti-phishing method is a method of collecting URL information of a phishing site in advance and then detecting phishing by comparing the URL of the visited site with the previously stored information. However, this bl...
Until now, various studies on anti-phishing have been conducted. The most typical anti-phishing method is a method of collecting URL information of a phishing site in advance and then detecting phishing by comparing the URL of the visited site with the previously stored information. However, this blacklist-based anti-phishing method can not detect new phishing sites. For this reason, various anti-phishing authentication protocols have been proposed. but these protocols require a public key and a private key. In this paper, we propose a password-based mutual authentication protocol that is safe for phishing attacks. In the proposed protocol, the mutual authentication between the client and the server is performed through the authentication message including the password information. The proposed protocol is safe to eavesdropping attack because the authentication message uses the hash value of the password, not the original password, And it is safe to replay attack because different messages are used every time of authentication. In addition, since mutual authentication is performed, it is safe for man-in-the-middle attack. Finally, the proposed protocol does not require a key issuance process for authentication.
Until now, various studies on anti-phishing have been conducted. The most typical anti-phishing method is a method of collecting URL information of a phishing site in advance and then detecting phishing by comparing the URL of the visited site with the previously stored information. However, this blacklist-based anti-phishing method can not detect new phishing sites. For this reason, various anti-phishing authentication protocols have been proposed. but these protocols require a public key and a private key. In this paper, we propose a password-based mutual authentication protocol that is safe for phishing attacks. In the proposed protocol, the mutual authentication between the client and the server is performed through the authentication message including the password information. The proposed protocol is safe to eavesdropping attack because the authentication message uses the hash value of the password, not the original password, And it is safe to replay attack because different messages are used every time of authentication. In addition, since mutual authentication is performed, it is safe for man-in-the-middle attack. Finally, the proposed protocol does not require a key issuance process for authentication.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 피싱 공격에 안전한 패스워드 기반의 상호 인증 프로토콜을 제안한다. 제안하는 상호 인증 프로토콜에서는 패스워드를 알고 있는 실제 사용자와 서버만이 인증에 성공할 수 있다.
가설 설정
따라서 인증 과정은 실패하게 된다. 만일 해커가 인증 6단계에서 MC 메시지를 획득했다고 가정하자. 해커가 클라이언트를 가장하여 메시지 재생 공격에 성공하기 위해서는 MC 메시지가 생성되었을 때 사용된 RC와 RS가 현재 인증과정에서 클라이언트 및 서버에 의해 생성되어야 한다.
서버는 SSL을 통해 데이터 암호화 기능을 제공하며, 서버 인증서를 통해 클라이언트에게 자신임을 증명한다. 이에 제안 프로토콜은 계정 등록 과정이 시작되기 전에 SSL 프로토콜이 시작된다고 가정한다. SSL 프로토콜의 진행 과정은 다음과 같다.
해커가 도청으로 클라이언트 및 서버 인증 4단계에서 MR2, MS, MK 메시지를 획득했다고 가정하자. 이후 클라이언트가 새로운 인증을 요청할 때 해커는 서버를 가장하여 클라이언트에게 미리 획득한 3개의 메시지를 전송한다.
제안 방법
만일 두 값이 같으면 클라이언트는 합법적인 서버임을 인증한다. 그리고 MK 메시지에 RS와 RC, H(PC)의 배타적 논리합 연산을 수행하여 세션키 SK를 추출한다. 또한 클라이언트 자신이 타당한 사용자임을 서버로부터 인증받기 위한 인증 메시지 MC를 생성한다.
그리고 H(PS)에 대해 배타적 논리합을 수행하여 최종적으로 MS가 생성된다. 또한 세션키 SK가 도청 및 재생 공격에 사용되는 것을 막기 위해 패스워드의 해시 값 H(PS)와 난수 RS, RC를 세션키 SK에 배타적 논리합을 수행하여 메시지 MK를 생성한다.
[1]에서는 피싱 사이트 블랙리스트 생성기를 제안하였는데, 특정 웹 페이지가 피싱 사이트의 웹 페이지인지 판단하기 위한 방법으로 구글 검색엔진을 사용한다. 블랙리스트 생성을 위한 알고리즘에서는 의심되는 웹 페이지의 도메인이 실제 합법적인 사이트의 구글 검색 결과 중 상위 10위 안에 포함되는 페이지의 도메인과 같은지 비교한다. 만일 도메인이 같은 페이지가 없을 경우 이를 피싱 사이트로 판단하여 블랙리스트에 추가한다.
이 장에서는 실시간으로 피싱 공격의 여부를 판단하고 피싱 공격에 의한 피해를 막을 수 있는 안티 피싱 프로토콜을 제안한다. 제안 프로토콜은 인증 과정에서 별도의 암호키를 요구하지 않는 경량의 인증 프로토콜이다.
난수 RS는 서버에 저장된 패스워드와 RC를 알고 있는 클라이언트에 의해서만 메시지 MR2로부터 추출될 수있다. 인증메시지 MS의 생성은 먼저 서버에 저장된 패스워드의 해시 값, 인증메시지를 받을 클라이언트의 IP 주소(ID를 전송한 클라이언트의 IP 주소), 난수 RS, RC를 모두 연접한 후, 해시 연산을 수행한다. 그리고 H(PS)에 대해 배타적 논리합을 수행하여 최종적으로 MS가 생성된다.
중간자 공격은 해커가 클라이언트와 서버 사이에서 송수신되는 인증 메시지를 중간에서 릴레이하면서 메시지를 변조하여 서버에게는 클라이언트로 위장하고 클라이언트에게는 서버로 위장하는 공격이다. 제안 프로토콜은 인증 메시지 안에 이 메시지를 수신하게 되는 목적지 IP 주소, 패스워드 해시 값, 난수를 연접한 후 해시된 결과를 저장한다. 만일 해커가 중간자 공격을 수행하는 상황이라고 가정하면, 클라이언트는 자신의 IP 주소와 해커로부터 수신한 인증 메시지에 포함된 IP 주소의 동일성을 확인한다.
해커는 불법적인 로그인을 수행하기 위해 클라이언트와 서버 사이에서 송수신되는 인증 메시지를 변조한다. 제안된 인증 프로토콜은 클라이언트와 서버사이에 전송되는 모든 인증 메시지를 단방향 해시 함수와 배타적 논리합 연산을 통해 생성한다. 따라서 해커는 인증 메시지에 포함되어 있는 원문 정보를 읽고 분석하는 것이 불가능하며, 수정을 통해 인증에 성공하기 위한 타당한 인증 메시지를 재생성하는 것이 불가능하다.
이메일을 수취한 클라이언트가 이메일에 포함된 피싱 유도 링크를 통해 로그인을 시도할 경우 위조 사이트로 연결이 되며, 클라이언트가 입력한 패스워드가 해커에게 그대로 노출된다. 제안된 프로토콜에서는 클라이언트가 ID와 MR1을 전송하며 서버가 인증 메시지를 보냄으로써 서버 인증이 먼저 수행되어야 한다. 하지만 피싱 공격이 수행될 경우 피싱 사이트는 클라이언트의 패스워드를 알지 못하기 때문에 인증 메시지 MS 생성이 불가능하다.
대상 데이터
[3]에서는 사용자가 피싱 사이트에 접속하는 경우, 피싱 사이트의 URL이 HTTP referer 헤더필드를 통해 합법적인 사이트로 유입되는 특성을 이용한 실시간 피싱 사이트 탐지 시스템을 제안하였다. 이 탐지 시스템을 특정 홈페이지를 가장한 피싱 사이트 탐지에 적용한 결과 6일 동안 40개의 피싱 사이트를 탐지하였다. 하지만 이 연구의 단점은 피싱사이트에 포함된 웹 페이지가 합법적인 사이트의 링크를 갖지 않는 경우 탐지가 불가능하다는 것이다.
해커가 도청 공격을 통해 메시지 MR1, MR2, MS, MK, MC를 수집했다고 하자. 해커가 MR1로부터 패스워드 해시 값을 추출하기 위해서는 난수 RC를 알아야 한다.
성능/효과
의 연접 결과에 해시 연산을 수행한다. 그리고 H(PS)에 대해 배타적 논리합을 수행한 후 이 값을 클라이언트로부터 받은 인증 메시지 MC의 값과 비교하여 만일 그값이 같으면 합법적인 클라이언트임을 인증한다.
본 논문에서는 피싱 공격에 안전한 패스워드 기반의 상호 인증 프로토콜을 제안하였으며, 다양한 해커의 공격에도 안전함을 증명하였다. 기존의 인증 프로토콜과는 달리 인증 과정에서 별도의 스마트 디바이스나 자신의 계정 및 공개키/비밀키 발급을 요구하지 않기 때문에 사용자들은 용이하게 서비스를 이용할 수 있다.
만일 도메인이 같은 페이지가 없을 경우 이를 피싱 사이트로 판단하여 블랙리스트에 추가한다. 이 연구 결과에 따르면 피싱 사이트 및 합법적 사이트의 탐지율은 각각 100%와 91% 탐지율을 보였다.
본 논문에서는 피싱 공격에 안전한 패스워드 기반의 상호 인증 프로토콜을 제안한다. 제안하는 상호 인증 프로토콜에서는 패스워드를 알고 있는 실제 사용자와 서버만이 인증에 성공할 수 있다. 제안 프로토콜에 의한 인증 과정에서는 사용자와 서버 상호간에 인증 메시지가 전송되는데, 인증 메시지에는 원본 패스워드와 인증에 필요한 추가적인 정보들이 함께 해시 연산되어 포함된다.
질의응답
핵심어
질문
논문에서 추출한 답변
SSL 프로토콜의 진행 과정은 어떠한가?
- 1단계: 클라이언트가 합법적인 서버의 계정 등록 페이지에 접속하면 해당 서버는 클라이언트에게 서버 인증서를 전송한다.
- 2단계: 클라이언트가 서버를 인증하게 되면 상호간에 전달되는 데이터를 암호화하기 위한 세션키를 생성한다.
- 3단계: 클라이언트는 생성된 세션키를 서버의 공개키로 암호화하여 서버에게 전송한다.
- 4단계: 서버는 개인키로 세션키를 복호화한다.
SSL/TLS 프로토콜은 어떤 프로토콜인가?
SSL/TLS 프로토콜은 응용 계층에 암호화 서비스를 제공하는 프로토콜로써 클라이언트가 방문하는 서버를 인증하기 위한 방법도 함께 제공한다. 서버 인증 방법은 신뢰할 수 있는 제 3의 기관이 서명한 서버 인증서를 웹 서버가 사용자에게 제시함으로써 신뢰 사이트임을 밝힌다.
SmartScreen Filter의 장단점은?
마이크로소프 트의 SmartScreen Filter는 인터넷 익스플로러에 탑재된 대표적인 안티피싱 프로그램으로 미리 수집된 피싱 사이트의 URL 정보를 블랙리스트 형태로 DB에 저장하며, 사용자가 방문한 서버의 URL 정보와 비교하여 피싱 사이트 방문 여부를 판단한다. SmartScreen Filter의 가장 큰 장점은 등록된 피싱 사이트로의 사용자 접근을 매우 효과적으로 차단할 수 있지만, DB에 등록되지 않은 신규 피싱 사이트는 탐지가 불가능하기 때문에 피싱 사고로부터 안전할 수 없다.
참고문헌 (21)
M. Sharifi and S. H. Siadati, "A phishing sites blacklist generator," in Proceedings of the 6th ACS/IEEE International Conference on Computer Systems and Applications, pp.840-843, 2008.
Y. Zhang, J. Hong, and L. Cranor, "CANTINA: A content-based approach to detecting phishing web sites," in Proceedings of the 16th International Conference on World Wide Web, Banff, pp.8-12, 2007.
J. H. Sa and S. J. Lee, "Real-time phishing site detection method," Journal of the KIISC, Vol.22, No.4, pp.819-825, 2012.
T. Li and Y. Wu, "Trust on web browser: attack vs. defense," in Proceedings of the International Conference on Applied Cryptography and Network Security, pp.241-253, 2003.
S. Kim, J. Kang, and Y. Kim, "Countermeasures against phishing/pharming via portal site for general users," The Journal of KICS, Vol.40, No.6, pp.1107-1113, 2015.
Y. S. Lee, N. H. Kim, H. T. Lim, H. K. Jo, and H. J. Lee, "Online banking authentication system using mobile-OTP with QR-code," in Proceedings of 5th International Conference on Computer Sciences and Convergence Information Technology, pp.644-648, 2010.
A. Gandhi, B. Salunke, S. Ithape, V. Gawade, and S. Chaudhari, "Advanced online banking authentication system using one time passwords embedded in Q-R code," International Journal of Computer Science and Information Technologies, Vol.5, No.2, pp.1327-1329, 2014.
J. Lee, H. You, C. Cho, and M. Jun, "A design secure QR-Login user authentication protocol and assurance methods for the safety of critical data using smart device," The Journal of KICS, Vol.37C, No.10, pp.949-964, 2012.
J. Park, J. Kim, M. Shin, and N. Kang, "QR-code based mutual authenctication system for web service," The Journal of KICS, Vol.39B, No.4, pp.207-215, 2014.
M. Sandirigama, A. Shimizu, and M. T. Noda, "Simple and secure password authentication protocol(SAS)," IEICE Transactions on Communications, Vol.E83-B, pp.1363-1365, 2000.
C. L. Lin, H. M. Sun, and T. Hwang, "Attacks and solutions on strong-password authentication," IEICE Transactions on Communications, Vol.E84-B, pp.2622-2627, 2001.
C. Y. Huang, S. P. Ma, and K. T. Chen, "Using one-time passwords to prevent password phishing attacks," Journal of Network and Computer Application, Vol.34, pp.1292-1301, 2011.
W. C. Kuo and Y. C. Lee, "Attack and improvement on the one-time password authentication protocol against theft attacks," in Proceedings of the 6th International Conference on Machine Learning and Cybernetics, pp.1918-1922, 2007.
M. Kim, B. Lee, S. Kim, and D. Won, "Weaknesses and improvements of a one-time password authentication scheme," International Journal of Future Generation Communication and Networking, Vol.2, pp.29-38, 2009.
M. Sharifi, A. Saberi, M. Vahidi, and M. Zorufi, "A zero knowledge password proof mutual authentication technique against real-time phishing attacks," in Proceedings of the 3rd International Conference on Information Systems Security, pp.254-258, 2007.
M. Saeed and H. S. Shahhoseini, "APPMA: An anti-phishing protocol with mutual authentication," in Proceedings of the 15th IEEE Symposium on Computers and Communications, pp.308-313, 2010.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.