Home | JKIIT Archives | About the JKIIT | E-SUBMISSON |
Sorry.
You are not permitted to access the full text of articles.
If you have any questions about permissions,
please contact the Society.
죄송합니다.
회원님은 논문 이용 권한이 없습니다.
권한 관련 문의는 학회로 부탁 드립니다.
[ Article ] | |
The Journal of Korean Institute of Information Technology - Vol. 19, No. 10, pp. 67-77 | |
Abbreviation: Journal of KIIT | |
ISSN: 1598-8619 (Print) 2093-7571 (Online) | |
Print publication date 31 Oct 2021 | |
Received 08 Sep 2021 Revised 19 Oct 2021 Accepted 22 Oct 2021 | |
DOI: https://doi.org/10.14801/jkiit.2021.19.10.67 | |
’스마트카드 기반의 사용자 인증에 관한 연구‘의 분석 및 개선된 인증 기법 | |
박미옥*
| |
*성결대학교 컴퓨터공학과 | |
Analysis and Improvement Authentication Scheme of ‘A Study on Smart-Card based User Authentication’ | |
Mi-Og Park*
| |
Correspondence to : Mi-Og Park Dept. of Computer Engineering, Sungkyul University, Anyang, Korea, Tel.: +82-31-467-8426, Email: mopark777@hanmail.net | |
본 논문에서는 Lee가 제안한 스마트카드 기반의 사용자 인증 기법을 분석하고, Lee의 인증 기법의 취약점을 해결하기 위하여 이를 개선한 새로운 three-factor 인증 기법을 제안한다. 본 논문에서 Lee의 인증 기법을 분석한 결과, 공격자는 사용자의 ID와 패스워드 추측 공격을 할 수 있고, 이로 인하여 Lee의 인증 기법은 안전한 사용자 익명성과 전방향 안전성을 제공하지 못한다. 본 논문에서 제안하는 새로운 인증 기법은 이러한 문제점을 개선하기 위하여, RGR의 데이터를 서버의 비밀 키로 사인하여 저장하고, 사용자의 생체정보를 사용하여 스마트카드 분실 공격에 안전하도록 개선하였다. 그래서 공격자는 사용자의 ID와 패스워드 추측 공격에 성공할 수 없고, 이로 인하여 본 논문에서 제안하는 새로운 인증 기법은 사용자 익명성과 전방향 안전성, 그리고 사용자 가장 공격과 재생 공격 등에 안전하다.
In this paper, we analyze Lee's proposed smart card-based user authentication scheme and propose a new three-factor authentication scheme that improves this to solve the Lee's weaknesses. As a result of analyzing Lee's authentication scheme in this paper, an attacker can do the user's ID and password guessing attack and due to this, Lee's authentication scheme does not provide safe user anonymity and forward secrecy. To improve this problem, the new authentication scheme proposed in this paper signs and stores RGR data with a server's secret key and uses user's biometric information to ensure safety against smart card loss attack. So, the attack cannot be successful the user's ID and password guessing attack and for this reason, the new authentication scheme proposed in this paper is secure for user anonymity, forward secrecy, and user impersonation attack and replay attack etc.
Keywords: insider attack, user anonymity, session key disclosure, smart-card, user authentication |
스마트카드 기반의 원격 사용자 인증 기법이란 스마트카드를 사용하여 원거리의 사용자를 인증하는 방식으로, 1981년 Lamport가 제시한 패스워드 기반의 인증 기법 [1]로부터 출발하여, 그 이후로 스마트카드를 이용한 다수의 원격 사용자 인증 기법들 [2]-[4]가 제안되었다. 스마트카드 기반의 사용자 인증 기법은 주로 사용자의 ID와 패스워드를 사용하여 원격 사용자를 인증하는 방식으로, 이러한 인증 기법을 two-factor 인증 기법이라고 한다. Two-factor 인증 기법은 three-factor 인증 기법으로 발전하여, 원격의료정보시스템(TMIS, Telecare Medical Information Systems)과 같은 의료 분야[5]-[11]에서도 활용되고 있다.
2013년에 Jiang 기법[5]는 TMIS 환경을 위한 two-factor 인증 기법을 제안하였고, 자신들의 인증 기법은 다양한 공격에 안전하다고 주장하였다. 그러나 Kumari 기법[6]은 Jiang 기법이 내부자 공격(Insider attack)과 스마트카드 분실 공격(Lost smart-card attack)에 취약하다고 분석하고, 이를 개선한 새로운 인증 기법을 제안하였다. Kumari 기법은 기존의 문제점을 해결하기 위해서 서버의 RGR(registration record)에 평문으로 저장했던 데이터를 서버의 비밀 키로 사인하여 저장하였다. 이로 인하여 내부 공격자가 서버의 비밀 키를 알아야 만이 사용자의 ID 획득이 가능하게 함으로써, 내부자 공격에 안전하다고 주장하였다.
또한 Kumari 기법은 TMIS 환경에서 중요한 사용자 익명성을 보장하기 위하여, 동적 ID AID를 사용하였고, 이 AID는 사용자의 ID와 새로운 난수 R*를 생성하여 Ex(ID‖R*)와 같이 대칭키로 암호화하였다. 그러나 2014년에 Kim-Lee 기법[7]은 Kumari 기법과 Das-Goswami 기법[8]이 모두 스마트카드 분실 공격에 취약하고 전방향 안전성(Forward secrecy)을 보장하지 못한다고 분석하였다.
2016년 Lee 등이 제안한 문헌[9]는 Kim-Lee 기법에서와 동일하게 Kumari 기법이 전방향 안전성과 스마트카드 분실 공격에 안전하지 않다고 분석하고, 이러한 문제점을 해결하기 위하여 대칭키 기반의 새로운 인증 기법을 제안하였다. Lee 등이 제안한 문헌[9]는 사용자의 익명성 기능도 보장한다고 주장하였다. 2017년 Moon 기법[10]은 문헌[9]에 대한 안전성을 분석하여, 문헌[9]의 인증 기법이 ID 추측 공격(Guessing attack)과 패스워드 추측 공격에 안전하지 않음을 보였다. 이로 인하여 공격자가 사용자와 서버의 세션 키 생성이 가능하다고 분석하였다.
또한 Moon 기법이 분석한 문제점 중의 하나는 서버에서 사용자를 검증하기 위해서 사용자의 ID를 계산해낼 수 있어야 하는데, 서버에서 사용자의 ID를 계산해낼 수 없는 문제가 존재한다고 분석하였다. Moon 기법은 이러한 문제들을 해결하기 위하여, 대칭 키 기반의 새로운 인증 기법을 제안하면서, 패스워드 추측 공격, 스마트카드 분실 공격, 그리고 내부자 공격에 안전하고, 사용자 익명성과 전방향 안전성 등을 보장한다고 주장하였다.
2018년 Lee 기법[11]은 문헌[9]에 대한 취약점을 언급하면서, 문헌[9]의 기법이 스마트카드를 분실하였을 경우, 공격자가 사용자의 ID와 패스워드를 쉽게 획득할 수 있다는 문제점을 언급하였다. Lee 기법은 이러한 문제점을 해결하기 위하여, 사용자의 ID와 패스워드를 하나의 식에 함께 사용하여, 사용자의 ID가 노출된다하더라도 사용자의 패스워드는 노출되지 않는다고 주장하였다. 또한 Lee 기법은 RGR에 저장하는 데이터를 {IDi⊕x, Ri, IDi||x}처럼 변경하여 저장하였다.
그러나 본 논문에서 Lee 기법을 분석한 결과, RGR의 변경된 {IDi||x} 형태가 Lee 기법의 안전성을 더욱 침해하였다. 이로 인하여 공격자가 RGR의 정보 획득에 성공할 경우, 사용자의 IDi와 함께 저장된 서버의 비밀 키까지도 손쉽게 획득 가능하였다. 또한 공격자가 사용자의 IDi를 획득할 경우, 스마트카드 분실 공격 등을 통해 패스워드 추측 공격과 가장 공격 등 다양한 공격에 취약하고, Lee 기법에서 강조한 사용자 익명성과 전방향 안전성도 제공하지 못하였다. 본 논문에서는 이러한 Lee 기법의 문제점을 해결하기 위해서, 사용자의 생체정보를 사용하는 새로운 three-factor 인증 기법을 제안한다. 제안한 인증 기법은 본 논문에서 분석한 결과, 스마트카드 분실공격에 안전하여 사용자의 ID와 패스워드 추측 공격, 사용자 가장 공격과 내부자 공격 등에도 안전하다. 또한, 본 논문에서 제안한 인증 기법은 동적 ID를 간단히 계산하도록 개선하여, Lee 기법의 사용자 ID 검색 오버헤드 문제를 해결하고 사용자에게 안전한 익명성을 제공한다.
본 논문의 구성은 먼저 2장에서 Lee가 제안한 인증 기법에 대해 살펴보고, 3장에서는 Lee의 인증 기법에 대해 분석한다. 그리고 4장에서는 Lee의 기법을 개선한 새로운 three-factor 인증 기법을 제안한다. 5장은 제안한 인증 기법에 대한 안전성을 분석하고, 6장에서 결론을 내리고 본 논문을 마친다.
본 절에서는 Lee가 제안한 인증 기법의 등록 단계와 로그인 단계, 그리고 서버의 인증 단계를 살펴본다. 표 1은 본 논문에서 사용한 기호들이다.
IDi | User Ui’s identity |
---|---|
S | Remote server |
PWi | Ui’s password |
RGR | Registration recode |
Ni | Number of times Ui register with the server |
ri | Random number of the user Ui |
x | Secret key of the server S |
b | Random number of the server S |
Ek, Dk | Encryption/Decryption with k |
h(.) | Secure one way hash function |
T | Time stamp |
⊕ | Exclusive-OR operation |
|| | Concatenation operation |
그림 1은 Lee 기법의 로그인 단계와 인증 단계를 나타낸 것이다.
본 논문에서는 Lee가 미분석한 내부자 공격의 분석을 통해, 사용자의 IDi 뿐만 아니라 서버의 비밀 키까지도 손쉽게 획득 가능함을 보인다. 이로 인하여 Lee 기법은 Lee가 강조한 사용자 익명성과 전방향 안전성을 보장하지 못하며, 가장 공격과 스마트카드 분실 공격 등에도 취약하다.
본 절에서는 Lee 기법에 존재하는 내용상의 오류와 서버에서 사용자 IDi를 검색하는 오버헤드 문제에 대하여 먼저 분석한다.
Lee 기법은 서버에서 사용자로부터 전송받은 메시지가 AIDi와 같은 값인지 비교하기 위하여, (IDi⊕x)⊕h(Yi*||b)를 계산한다. 그러나 RGR에 {IDi⊕x, Ni, IDi||x}만 저장되어 있기 때문에 난수 b를 알 수 없는 서버는 (IDi⊕x)⊕h(Yi*||b)를 계산할 수 없다. 그러므로 Lee 기법의 RGR에는 난수 b가 저장되어 있어야 한다.
Lee 기법은 동적 ID의 기능을 제공하기 위해서 AIDi를 구성하는 난수 b를 매 세션마다 새롭게 생성해야한다. 그러나 서버는 새로운 난수에 대한 언급이 없이, 난수 b를 사용한다고만 되어있다. 다른 인증 기법들[5][6]처럼 AIDi가 동적 기능을 제대로 하려면, 서버에서 새로운 난수를 생성해야 한다. 그렇지 않을 경우, 항상 동일한 AIDi로 인하여 사용자 익명성을 안전하게 보장할 수 없다.
Lee의 인증단계 5는 타임스탬프와 Cms의 두 조건이 만족하지 않을 경우, 세션을 종료한다. 그런데 Lee 기법은 설계오류가 없는 상태라면, AIDi가 매번 변하기 때문에 새로운 AIDi*를 이용하여 계산한 Cms 값은 사용자가 계산한 Cms 값과 매번 다르게 된다. 매번 Cms가 달라지기 때문에 인증단계 6에서 자신이 계산한 AIDi||Ci||Ts에서 Ci 값을 비교하여 사용자가 전송한 값과 서버에서 보내준 값이 일치하는지 비교하는 것이다. 이 값이 일치하면 서버를 인증하고 변경된 새로운 AIDi*를 이용하여 기존의 AIDi를 업데이트한다. 그러므로 Lee의 인증단계 5는 두 조건을 만족하지 않았을 경우, 세션을 종료하는 것이 아니라 타임스탬프가 조건을 만족하지 않을 경우에만 세션을 종료해야 한다. 그리고 타당한 타임스탬프일 경우에는 Cms의 복호화를 진행하는 것으로 수정되어야 인증단계 6을 실행할 수 있다. 이와 같은 설계오류는 본 논문에서 분석한 결과 문헌 [9]의 인증단계에도 동일하게 존재하였다.
문헌 [9]는 로그인 요청 메시지 AIDi와 서버에 저장된 값들로 사용자의 IDi를 계산해낼 수 없는 문제가 있으며, Lee 기법은 사용자로부터 전송받은 AIDi로부터 사용자의 IDi를 곧바로 계산해낼 수 없는 문제가 존재한다. Lee 기법의 인증 단계는 먼저 타임스탬프를 체크한 후에 곧바로 Yi*=h(RPWi||IDi⊕x)를 계산한다. RPWi는 로그인 요청 메시지이고, RGR에 저장된 여러 IDi⊕x 값들 중 어떤 값이 로그인 요청 메시지를 보낸 해당 사용자인지 알 수 없기 때문에 저장된 모든 IDi⊕x 값들과 전송받은 RPWi를 가지고 Yi*=h(RPWi||IDi⊕x)를 계산한다. 그런 다음 저장된 난수 b와 (IDi⊕x)⊕h(Yi*||b)를 계산한 후에, 이 값이 AIDi를 복호화 한 값과 동일한지 체크한 후에야 해당하는 IDi가 무엇인지 알 수 있다. 그러므로 XOR 연산과 같이 간단히 사용자의 IDi를 계산해내는 다른 인증 기법들과 달리, Lee 기법은 사용자의 IDi를 찾을 때까지의 계산 오버헤드가 상대적으로 큰 편이다.
표 2는 본 논문에서 Lee 기법과 관련성이 높은 다른 인증 기법들의 연산 횟수를 비교한 것으로, Ex와 Dx는 각각 비밀 키 x로 암・복호화의 횟수를 나타내는 것으로 결국 Ts와 동일한 연산을 나타낸다. Tid는 각 인증 방식에서 사용자의 IDi를 검색하는 시간으로, 인증 단계에서는 Tid로 단순히 표기하였으나 총 연산 횟수를 나타낼 때는 Tid를 실제 필요한 연산 횟수로 변경하여 표기하였다.
Phase and computation | Jiang [5] | Kumari [6] | Reference [9] | Lee [11] |
---|---|---|---|---|
Registration phase | 2Th+Ex | 4Th+Ex | 10Th+Ex | 8Th+Ex |
Login phase | 3Th+Ex | 3Th | 6Th | 5Th |
Authentication phase | 3Th+2Ex+Dx | 4Th+2Ex+2Dx | 6Th+2Ex+2Dx+Tid | 7Th+2Ex+2Dx+Tid |
Total computation | 8Th+5Ts | 11Th+5Ts | 12Th+5Ts+N*2Th | 12Th+5Ts+N*2Th |
그림 2는 사용자 수가 증가함에 따라 서버에서 사용자 ID 검색 시간의 증가를 간단히 비교한 것이다.
Lee 기법은 등록 단계에서 RGR에 {IDi⊕x, Ni, IDi||x}를 평문으로 저장한다. 만약 공격자가 RGR에 저장된 데이터 획득에 성공하였을 경우, 공격자는 사용자의 IDi 획득을 위해 다음 과정을 수행한다.
스마트카드를 획득한 공격자는 다음 시나리오에 따라 사용자의 IDi와 PWi를 추측 공격한다.
공격자가 정당한 사용자로 가장하려면 로그인 요청 메시지 {AIDi, Tia, RPWi, Cia}를 생성할 수 있어야한다. 앞에서 제시한 시나리오를 통해 공격자는 Lee 기법의 핵심인 Ji를 획득 가능하고, 로그인 요청 메시지의 Ci를 제외한 나머지는 모두 공공 채널 상에서 획득한 값을 사용하면 된다. 그러나 Ci의 계산도 Ji와 타임스탬프 Ti로 구성되기 때문에, 공격자는 새로운 타임스탬프 Tia와 Cia=h(Tia||Ji*)를 계산하여 새로운 로그인 요청 메시지 {AIDi, Tia, RPWi, Cia}를 서버에 보낼 수 있다. 또한 Lee 기법은 사용자의 IDi 뿐만 아니라 서버의 비밀 키 x를 획득할 수 있고, RGR에 저장된 데이터를 함께 사용할 경우, 정당한 서버로 가장할 수 있다.
Lee의 세션 키는 Sk=h(Ji||Ti||Ts)이고, Ti와 Ts는 타임스탬프로 쉽게 획득가능하고, Ji는 h(x||IDi⊕x||Ni)로 구성되기 때문에 서버의 비밀 키 x*를 안다고 가정할 경우, 사용자의 IDi는 서버의 비밀 키 x*와 한번의 XOR 연산에 의해 획득가능하다. Ni는 등록요청 횟수를 나타내므로 값을 증가시키는 반복을 통하여 추측할 수 있다. 그래서 공격자는 앞에서 획득한 타임스탬프와 Ji*를 사용해서 이전의 세션 키 h((Ji*||Ti||Ts)를 계산할 수 있다. 서버의 비밀 키를 모른다고 가정할 경우, 사용자측에서 Ji*의 계산은 Ai⊕h(IDi||x)*⊕h(b||x)*⊕h(RPWi*)⊕h(b||x)와 같고, 이 식은 Ji*=Ai⊕h(IDi||x)*⊕h(RPWi*)가 되기 때문에, 스마트카드 분실 공격에서 획득한 h(IDi||x)a를 h(IDi||x)* 대신에 사용하고, 스마트카드의 Ai와 RPWi를 사용하여 Ji*를 계산해 낼 수 있다. 그러므로 Lee의 기법은 세션 키 노출에 안전하지 않다.
본 장에서는 본 논문에서 분석한 Lee 기법에 대한 문제점을 해결하기 위하여, 개선된 새로운 three-factor 인증 기법을 제안한다. 그림 3은 제안 기법의 로그인 단계와 인증 단계를 나타낸 것이다.
본 장에서는 본 논문에서 제안한 새로운 three-factor 인증 기법에 대한 안전성 측면을 분석한다.
스마트카드 분실 공격은 전송 메시지들과 스마트카드에 저장된 정보들을 사용한다고 가정한다. 먼저 공격자가 사용자의 패스워드를 획득하려면 전송 메시지 RPWi로부터 패스워드를 획득하거나 스마트카드의 Ki를 이용하여 ri*를 획득해야한다. 그러나 RPWi는 h(ri||PWi)처럼 해시함수로 계산되어있고, ri 값을 알려면 ri=Ki⊕h(IDi||PWi||Bioi)를 계산해야한다. 그러나 공격자가 스마트카드에 저장된 Ki를 안다고 할지라도 사용자의 생체정보 Bioi가 높은 엔트로피의 특징을 가지므로, 사용자의 IDi와 PWi를 계산하기 힘들다. 그로 인하여 공격자는 ri를 계산해 낼 수 없다. 그러므로 제안한 인증 기법은 스마트카드 분실 공격에 안전하다.
공격자가 사용자를 가장하기 위해서는 사용자의 IDi와 패스워드 PWi, 그리고 생체정보 Bioi를 알아야한다. 본 논문에서 제안한 인증 기법은 스마트카드 분실 공격 절에서 분석한 바와 같이, 로그인 요청 메시지와 분실된 스마트카드를 공격자가 획득한다 할지라도 사용자 가장 공격에 필요한 정보들을 획득할 수 없다. 또한 전송 메시지 RPWi는 난수 ri와 함께 해시연산 되어 있으므로, 높은 엔트로피의 난수 특성으로 인하여 패스워드 추측 공격에 안전하다. 사용자의 ID 추측 공격은 전송 메시지 Mi와 RPWi를 사용할 수 있으나, Mi의 구성 요소인 Ji는 스마트카드 분실 공격에 안전하다. 그러므로 기존의 Ji가 노출되었던 Lee 기법의 문제점을 해결하여 사용자의 IDi가 노출되는 것을 해결하였다. 또한 Mi의 구성 요소들을 기존의 연결 연산자 대신에, XOR 연산하여 공격에 더 안전하도록 구성하였다.
제안한 인증 기법은 h(ri||PWi)를 등록 서버에 보내기 때문에 내부자 공격에 안전하다. 또한 제안한 인증 기법은 서버의 비밀 키를 사용하여 RGR의 데이터를 저장하기 때문에, 공격자가 서버의 비밀 키를 획득하기 전까지는 RGR의 데이터는 안전하다. 그러므로 제안한 인증 기법은 저장 데이터 측면에서도 내부 공격에 안전하다.
제안한 인증 기법에서 공격자가 세션 키를 알려면 Ji, Ti, Ts, 그리고 사용자의 IDi를 알아야 한다. 공격자는 타임스탬프 Ti와 Ts를 획득할 수 있지만, Ji와 IDi는 스마트카드 분실 공격과 ID 추측 공격에 안전하여 이 값을 획득하기 어렵다. 그러므로 제안한 인증 기법은 세션 키 노출 없이 안전하다.
제안한 인증 기법은 전송 메시지들에 서버와 사용자가 각각 생성한 타임스탬프 Ti와 Ts를 사용한다. 그리고 서버와 사용자는 메시지를 주고받을 때마다 타임스탬프의 임계값을 체크하여 타임스탬프의 타당성을 조사한다. 그러므로 제안한 인증 기법은 재생 공격에 안전하다.
표 3은 본 논문에서 제안한 인증 기법과 다른 인증기법들을 비교 분석한 결과로, 0은 해당 항목에 대한 안전성 기능을 제공하거나 해당 공격에 안전하다는 것을 나타낸다.
Type of attack | Kumari [6] |
Reference [9] |
Lee [11] |
Proposed scheme |
---|---|---|---|---|
Insider attack | O | O | X | O |
Session key disclosure | X | X | X | O |
User anonymity | X | X | X | O |
User impersonation attack | O | X | X | O |
Server impersonation attack | O | O | X | O |
Stolen smart card attack | X | X | X | O |
ID guessing attack | O | X | X | O |
Password guessing attack | O | X | X | O |
Mutual authentication | O | O | X | O |
Replay attack | O | O | O | O |
Efficient ID search time | O | X | X | O |
본 논문에서는 Lee 기법의 문제점을 분석하고, 이 문제점을 해결하기 위하여 개선된 three-factor 인증 기법을 제안하였다. 본 논문에서 분석한 Lee 기법의 문제점들 중 사용자 ID 검색 오버헤드 문제를, 제안한 인증 기법에서는 서버가 복호화만 실행하면 사용자의 ID를 곧바로 추출해 낼 수 있도록 개선하였다. 또한 RGR의 데이터를 서버의 비밀 키로 사인하여 저장하고, RGR의 저장 데이터 형태도 안전하게 변경하였다. 이로 인하여 제안한 인증 기법은 사용자의 ID와 서버의 비밀 키가 손쉽게 노출되는 기존의 문제점도 해결하였다.
또한 본 논문의 제안 기법은 스마트카드분실 공격에 안전하고, 이로 인하여 사용자 가장 공격, 재생 공격, 세션 키 노출 등의 위험에도 안전한 것으로 분석되었다. 그리고 항상 동일한 동적 ID 값을 가졌던 Lee 기법의 문제점을 해결하여, 제안한 인증 기법은 사용자에게 안전한 익명성을 제공한다. 그러므로 제안한 인증 기법은 사용자의 프라이버시(Privacy)와 중요한 의료정보를 다루는 TMIS 환경에서 안전한 사용자 익명성을 보장하는 개선된 인증 기법이라고 할 수 있다.
1. | L. Lamport, "Password Authentication with Insecure Communication", Communications of the ACM, Vol. 24, No. 11, pp. 770-772, Nov. 1981. |
2. | B. M.. Suh and Y. S. Lee, "An Improved User Authentication Scheme Based on Random Nonce and Timestamp", Journal of Korean Institute of Next Generation Computing, Vol. 8, No. 6, pp. 69-76, Dec. 2012. https://www.earticle.net/Article/A189845. |
3. | M. O. Park, "Vulnerability Analysis of ‘A Remote User Authentication Scheme with Anonymity for Mobile Devices", Journal of Korean Institute of Next Generation Computing, Vol. 10, No. 6, pp. 6-13, Dec. 2014. |
4. | H. J. Park and Y. H. Lee, "Survey on Privacy-preserving Techniques for Biometric Authentication", Journal of Korean Institute of Information Technology, Vol. 16, No. 4, pp. 109-122, Apr. 2018. |
5. | Q. Jiang, J. Ma, Z. Ma, and G. Li, "A Privacy Enhanced Authentication Scheme for Telecare Medical Information Systems", Journal of Medical Systems, Vol. 37, No. 1, pp. 1-18, Jan. 2013. |
6. | S. Kumari, M.K. Khan, and R. Kumar, "Cryptanalysis and Improvement of ‘A Privacy Enhanced Scheme for Telecare Medical Information System’", Journal of Medical Systems, Vol. 37, No. 4, pp. 1-11, Aug. 2013. |
7. | K. W. Kim and J. D. Lee, "On the Security of Two Remote User Authentication Schemes for Telecare Medical Information Systems", Journal of Computer Communications, Vol. 38, No. 5, pp. 1-11, Apr. 2014. |
8. | A. K. Das and A. Goswami, "A secure efficient uniqueness-and-anonymity-preserving remote user authentication scheme for connected health care", Journal of Medical Systems, Vol. 37, No. 3, Jun. 2013. |
9. | S. Y. Lee, K. S. Park, Y. H. Park, and Y. H. Park, "Symmetric Key-Based Remote User Authentication Scheme With Forward Secrecy", Journal of Korea Multimedia Society, Vol. 19, No. 3, pp. 585-594, Mar. 2016. |
10. | J. H. Moon and D. H. Won, "An Enhanced Symmetric Key-Based Remote User Authentication Scheme with Forward Secrecy", Journal of Korea Multimedia Society, Vol. 20, No. 3, pp. 500-510, Mar. 2017. |
11. | J. Y. Lee, "A Study on Smart-Card Based User Authentication", Journal of the Korea Society of Digital Industry and Information Management, Vol. 14, No. 2, pp. 27-33, Jun. 2018. |
12. | S. Qiu, G. Xu, H. Ahmad, G. Xu, X. Qiu, and H. Xu, "An Improved Lightweight Two-Factor Authentication and Key Agreement Protocol with Dynamic Identity Based on Elliptic Curve Cryptography", KSII Transactions on Internet and Information Systems, Vol. 13, No. 2, pp. 978-1002, Feb. 2019. |
13. | D. Wang, Z. Zhang, and P. Wang, "Targeted online password guessing: An underestimated threat", in Proc. of ACM CCS, Vienna Austria, Vol. 16, pp. 1242–1254, Oct. 2016. |
1993년 2월 : 숭실대학교 컴퓨터학과(공학석사)
2004년 8월 : 숭실대학교 컴퓨터학과(공학박사)
2005년 ~ 현재 : 성결대학교 컴퓨터공학과
관심분야 : 모바일 보안/시큐리티 프로토콜, IoT 보안