[논문]Yang의 강력한 패스워드 인증 스킴에 대한 보안 취약점 분석

김준섭; 곽진

Yang의 강력한 패스워드 인증 스킴에 대한 보안 취약점 분석
Security Vulnerability Analysis for Yang's Strong Password Authentication Scheme 원문보기

김준섭 (순천향대학교 정보보호학과) , 곽진 (순천향대학교 정보보호학과)

현재까지 많은 강력한 패스워드 인증 프로토콜들이 제안되고 있으나 이 프로토콜들은 여러 보안 취약점이 존재한다. 2010년 Yang 등은 Ku가 제안한 프로토콜이 훔친 검증자 공격에 취약하다는 것을 지적하며 SPAS를 제안하였다. 하지만 SPAS는 Ku의 프로토콜과 마찬가지로 훔친 검증자 공격에 대한 취약성을 가지고 있다. 따라서 본 논문에서는 SPAS를 분석하고 SPAS가 훔친 검증자 공격에 안전하지 못함을 증명한다.

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

하지만 SPAS는 Ku의 프로토콜과 마찬가지로 훔친 검증자 공격에 대한 취약성을 가지고 있다. 따라서 본 논문에서는 SPAS가 훔친 검증자 공격에 안전하지 못함을 증명한다.

가설 설정

공격자 A는 사용자 U의 n-1번째 로그인 후에 패스워드 검증자 h²(S||P||N||T)를 훔쳤다고 가정한다. 사용자 U가 서버 S로부터 n번째 로그인을 하는 동안 공격자 A는 서버 S로부터 사용자 U에게 전송하는 메시지 {r, T}를 도청하고, 사용자 U로부터 서버 S에게 전송하는 메시지 {c₁, c₂, c₃}을 차단하고 복사한다.

이론/모형

본 논문에서는 Yang 등이 제안한 SPAS의 안전성을 분석하였다. 분석한 결과 SPAS는 Ku의 프로토콜과 마찬가지로 서버로부터 패스워드 검증자를 훔친 공격자가 인증 단계에서 합법적인 사용자로 위장하여 서버로부터 인증을 받을 수 있는 훔친 검증자 공격에 취약하다.

성능/효과

본 논문에서는 Yang 등이 제안한 SPAS의 안전성을 분석하였다. 분석한 결과 SPAS는 Ku의 프로토콜과 마찬가지로 서버로부터 패스워드 검증자를 훔친 공격자가 인증 단계에서 합법적인 사용자로 위장하여 서버로부터 인증을 받을 수 있는 훔친 검증자 공격에 취약하다.

핵심어

질문

논문에서 추출한 답변

사용자 인증이란?

사용자 인증은 개방형 네트워크에서 안전한 통신을 보장하기 위한 중요한 보안 기술이다. 클라이언트와 서버 간의 통신에서 공격자가 변경하거나 도청하더라도 인증 메시지에 대한 안전성과 기밀성을 보장할 수 있어야 한다.

CINON 방식의 단점은 무엇인가?

이러한 문제를 해결하기 위해 Shimizu는 CINON(chained one-way data verification method) 방식을 제안하였다[2, 3]. 하지만 CINON 방식은 난수를 메모리 장치 등에 저장하여 안전성을 제공하지만, 이는 휴대의 불편함과 하드웨어의 고비용에 대한 문제점이 발생하였다. 이후 Hailer는 Lamport 방식을 개선하여 효율적인 프로토콜인 S/KEY 방식[4]을 제안하였지만, Mitchell은 Hailer의 프로토콜이 재전송 공격에 취약하다는 것을 증명하였다[5].

클라이언트와 서버 간의 통신에서의 인증 방식으로는 무엇을 널리 사용하고 있는가?

클라이언트와 서버 간의 통신에서 공격자가 변경하거나 도청하더라도 인증 메시지에 대한 안전성과 기밀성을 보장할 수 있어야 한다. 이러한 인증 방식으로 패스워드 인증 프로토콜을 가장 널리 사용하고 있다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

Yang의 강력한 패스워드 인증 스킴에 대한 보안 취약점 분석
Security Vulnerability Analysis for Yang's Strong Password Authentication Scheme 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper

문제 정의

가설 설정

이론/모형

성능/효과

질의응답

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

Yang의 강력한 패스워드 인증 스킴에 대한 보안 취약점 분석 Security Vulnerability Analysis for Yang's Strong Password Authentication Scheme 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

가설 설정

이론/모형

성능/효과

질의응답

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

Yang의 강력한 패스워드 인증 스킴에 대한 보안 취약점 분석
Security Vulnerability Analysis for Yang's Strong Password Authentication Scheme 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper