Home

이 단계에서는 사용자/환자(이하 사용자)들과 의료서버(이하 서버)들이 등록센터에 등록하는 절차(그림 1)이다.

Fig. 1. 
Summary of registration process

사용자가 서버에 로그인과 인증, 키 동의 과정을 수행하는 단계(그림 2)이다.

Fig. 2. 
Summary of login and authentication process

1단계: 사용자는 스마트카드 SC_i를 삽입하고 PID_i, 생체정보 BIO’_i, PWD_i를 입력한다. 스마트카드의 정보복구를 위해 퍼지추출기 Rep(Bio’_i, τ_i)를 통해서 정상적인 σ’_i를 생성해 낸다. 입력된 정보를 사용하여 h(PID_i∥PWD_i∥σ’_i)을 계산하고 A_i와 비교한다. 비교하여 A_i와 일치하면 자신의 소유자 인증이 확인되었으므로 로그인정보 생성을 위해 임의의 수 R_rand2와 타임스탬프 T1을 선택한다. 사용자만의 패스워드와 생체정보로 SC_i에 대치되었던 파라미터들을 R_i=R’_i⊕h(PWD_i∥σ’_i), K_i=K’_i⊕h(PWD_i∥σ’_i), TPID_i=TPID’_i⊕h(PWD_i∥σ’_i)로 계산하여 복구한다. 다음은 로그인 정보의 생성과정 식 (1)이다.

이와 같이 생성된 로그인 정보 Msg1=( R_i, SID_j, R’_rand2, W_i, TPID”_i, T’1 )을 공개채널을 통해서 등록센터로 전송된다.

2단계: 등록센터는 Msg1을 수신하여 정상적인 등록자인지를 확인하기 위해 등록센터의 비밀키로 R_i를 복호화하고 다음 식 (2)를 진행한다.

이와 같이 메시지의 적시성으로 |T1 −Tc|≤△T을 체크하여 조건이 만족하면 다음과 같이 정당한 사용자인지를 확인(식 (3))한다.

서버로 전송될 로그인정보를 위해 TPID_i, R_rand2를 복구한 다음 타임스탬프 T2를 선택한다.

등록센터는 다음과 같이 대칭키 K_j와 세션키 정보를 계산하여 G_RC, SID_j를 서버로 전송한다.

3단계: 서버는 등록센터로부터 G_RC, SID_j를 수신하고 공유비밀키를 사용하여 G_RC를 복호화한다. 등록센터를 인증할 정보와 세션키 생성정보, 서버를 인증할 수 있는 파라미터를 계산하는 과정은 식 (6)과 같다.

메시지의 적시성을 |T2-Tc|≤△T로 확인하고 만족하면 등록센터를 인증하기 위해 아래와 같이 비교한다. 일치하면 다음단계를 진행하고 그렇지 않으면 종료시킨다.

서버는 타임스탬프 T3를 선택하여 세션키와 인증정보를 계산(식 (8))한다.

서버는 사용자에게 W_Sj, T3, TPID_i을 전송한다.

4단계: 사용자는 W_Sj, T3, TPID_i을 수신하고 메시지의 적시성 |T3−Tc |≤△T를 확인하여 조건이 맞으면 다음을 진행하고 다르면 종료시킨다.

사용자는 Y_i를 계산하고 세션키(SK’_ij)를 생성한다.

다음 등록센터와 서버를 인증하기 위해 아래와 같이 해시값을 W_Sj와 비교하여 일치하면 성공적으로 로그인과 인증 및 세션키 생성이 종료된다.

공격자는 비밀리에 도청하거나 이동하는 트래픽을 가로채서 수정, 파괴, 통신방해를 일으킨다. Ali et al’.s스킴은 공격자가 올바른 로그인 요청 메시지를 비밀 매개 변수 {HID_i, R_rand2, K_i}와 함께 {R_i, SID_j, R’_rand2, W_i, TPID”_i, T’1}를 계산할 수 없기 때문에 스킴이 중간자 공격을 견딜 수 있다고 주장했다. 그러나 공격자는 h(PWD_i∥σ’_i)=R_i⊕R’_i, K_i=K’_i⊕h(PWD_i∥σ’_i),TPID_i=TPID’_i⊕h(PWD_i∥σ’_i), HID’_i=TPID”_i⊕TPID_i, R_rand2=R_rand2⊕HID’_i, T’1=T1⊕HID’_i를 성공적으로 계산한다. 따라서 Ali et al’.s 스킴은 중간자 공격에 안전하지 않다.

또한 참조하여 공격자가 합법적인 사용자를 가장하고 다음과 같이 세션 키 SK_MA=h(Y_MA∥SID_j∥T3)를 계산할 수 있음을 보여준다.

중간 공격자는 SC_i에 저장된 비밀 매개 변수를 추출하고 공용 채널을 통해 사용자, 등록센터 및 서버 간에 전송 된 데이터를 가로챌 수 있다.

그렇다면 공격자는 h(PWD_i∥σ_i)=R’_i⊕R_i, TPID_i=TPID’_i⊕h(PWD_i∥σ_i), HID’_i=TPID_i⊕TPID”_i, R_rand2=R_rand2⊕HID’_i, T1=T’1⊕HID’_i을 계산하고 의료서버로부터 W_MA, T3, TPID_i 메시지를 받은 후 공격자는 Y_i=h(SID_j∥HID’_i∥R_rand2∥T1) 및 SK_ij=h(Y_i∥SID_j∥T3)를 성공적으로 계산한다. 그 결과 공격자가 사용자와 의료서버 사이에 세션키 SK_ij를 생성할 수 있으므로 Ali et al’.s 스킴은 세션 키 노출 공격에 취약하다.

Ali et al’.s 스킴은 획득한 매개 변수에 대한 지식만으로는 악의적인 공격자가 합법적인 사용자를 가장하는 데 유용한 정보를 얻을 수 없어야 한다고 주장했다. 그러나 공격자는 합법적인 사용자로 가장하고 올바른 세션 키 SK_ij=h(Y_i∥SID_j∥T3)를 생성 할 수 있다. 따라서 Ali et al’.s 스킴은 스마트카드 도난공격에 대해 안전하지 않다. 스마트카드 도난시 로그인 생성정보 W_i=h(HID’_i∥K_i∥T1)는 무력화된다.

Ali et al’.s 스킴은 합법적인 공격자라 하더라도 엔티티 K_i와 PID_i를 알고 있어야 식 (11)을 계산할 수 있다고 주장하고 있다.

공격자는 로그인과 인증정보를 도청하여 아래와 같이 HID_i, R_rand2, TPID_i를 계산할 수 있다.

또한 스마트카드 도난 시에는 식 (13)을 계산함으로써 위장공격에 취약하다.

상호인증은 두 실체가 서로의 신분을 확인시켜 주는 양방향 인증 방법으로 Ali et al’.s 스킴에서는 사용자, 등록센터, 의료서버 간의 상호인증이 이루어진다고 주장했다. 그러나 3.1절, 3.2절에서와 같이 공격자는 정확한 로그인 요청 메시지 R_i, SID_j, R’_rand2, W_i, TPID”_i, T’1과 인증 응답 메시지 W_Sj, T3, TPID_i를 성공적으로 계산할 수 있다. 따라서 Ali et al’.s 스킴은 안전한 상호 인증을 제공하지 못한다.

등록센터는 의료서버의 아이디 SID_j를 안전한 채널로 수신하여 등록센터의 비밀키가 포함된 해시값 S_privj=h(SID_j||K_RC)를 계산하여 S_j로 전송하고 자신의 데이터베이스에 저장한다. 멀티서버 환경에서 다수의 서버 비밀키를 데이터베이스에 저장하고 있으나 로그인 정보는 사용자로부터 Msg1=(R_i, SID_j, R’_rand2, W_i, TPID”_i, T’1)에 의해 서버의 아이디 SID_j가 포함되어 K_j=h(SID_j∥K_RC)를 계산할 때 서버의 아이디와 등록센터의 비밀키를 사용하므로 데이터베이스 사용이 불필요하다. 즉 서버의 아이디를 사용자로부터 수신을 받기 때문에 데이터베이스에 저장되어있는 각 서버와의 비밀키 저장은 무의미하다.

등록프로세스는 사용자/환자(이하 U)들과 의료서버(이하 S)들이 등록센터(이하 RC)에 등록(그림 3, 4)하는 절차이다.

Fig. 3. 
Registration process

Fig. 4. 
User registration process

U_i가 S_j에 로그인하기 위해 수행하는 단계(그림 5)이다.

Fig. 5. 
Login and key agreement process

1단계: U_i는 스마트카드 SC_i를 삽입하고 PID_i, PWD_i을 입력한다. 그 후 생체정보 BIO’_i를 스캔하여 Rep(BiO’_i, τ_i)=σ’_i와 h(PID_i∥PWD_i∥σ’_i)를 계산하고 Ui의 스마트카드에 저장되어 있는 Ai와 비교(A_i=?h(PID_i∥PWD_i∥σ’_i))한다. 만약 두 값이 일치하지 않으면 로그인절차를 중단한다. U_i의 자체인증이 성공하면 RC 메인페이지에 접속(QR_code 요청)한다. RC는 U_i의 IP주소를 통해서 데이터베이스에 등록된 스마트기기 번호를 확인한 후 사용자의 식별자 TPID_i를 선택하여 데이터베이스에 저장하고 QR_code로 인코딩(Encode(TPID_i))하여 사용자에게 전송한다. 사용자는 스마트기기로 웹브라우저에 출력된 QR_code를 촬영하여 디코딩(Decode(TPID_i))한 후 자신의 IP_i와 TPID_i를 RC로 전송한다. RC는 수신한 IP_i와 TPID_i, P^#_i를 통해 U_i를 확인하고 임의의 수 Nonce를 생성하여 사용자의 스마트기기로 전송한다. 사용자의 스마트기기는 로그인 정보를 암호화할 비밀키를 생성(K_i=h(TPID_i⊕Nonce)⊕HID_i)한다.

2단계: U_i는 R_rand2, T1을 선택하여 식 (15)를 계산하여 RC에 Msg1, T1, R_i를 전송한다.

3단계: RC는 Msg1, T1, R_i를 수신하여 타임스탬프 조건 |T1 −Tc|≤△T을 체크하고 참이면 다음을 진행한다. RC의 비밀키로 Ri를 복호화(D_KRC[R_i] =[Auth_i, R_rand1, HID_i])하여 정상적인 등록자 확인을 위해 Authi, R_rand1, HID_i를 획득하고 h(K_RC∥HID_i∥R_rand1)를 계산한다. 이 후 복호화된 파라미터 Auth_i와 비교(Auth_i=?h(K_RC∥HID_i∥R_rand1))하여 일치하지 않으면 세션을 중단하고 일치하면 정상적인 등록자이므로 Msg1을 복호화한다.

RC는 타임스탬프 T2를 선택하고 식 (17)을 계산한다.

RC는 S_j로 Msg2, T2를 전송한다. 이후 RC는 데이터베이스에 임시 저장한 TPID_i와 Nonce를 삭제한다.

4단계: S_j는 RC로부터 Msg2, T2를 수신하고 메시지 적시성을 위해 타임스탬프 조건 |T2-Tc|≤△T을 체크하여 참이면 식 (18)을 계산한다.

메시지의 적시성을 검증하고 W_RC=?h(S_privj∥T2)의 유효성 검사가 성공하면 S_j는 타임스탬프 T3을 선택하고 식 (19)를 계산한다.

S_j는 W_Sj와 T3를 U_i로 전송한다.

5단계: 사용자 U_i가 W_sj, T3를 수신하고 메시지의 |T3−Tc |≤△T의 유효성 검사가 성공하면 세션키 생성과 서버 S_j의 확인을 위해 다음을 계산한다.

W_Sj=?h(SK’_ij∥T1∥T3)이 참이면 서버인증과 세션키 생성이 성공되었다.

공격자는 이 공격을 이용하여 개인정보나 로그인 정보의 수집에 중점을 두는 공격으로 온라인 뱅킹의 경우 사용자의 계좌나 송금액을 변경할 수 있는 위협이다. Ali et al’.s 스킴에서 로그인 정보(Msg1=(R_i, SID_j, R’_rand2, W_i, TPID”_i, T’1))와 의료서버의 인증정보(W_Sj, T3, TPID_i))는 공개채널로 전송되어 공격자는 이 정보들을 도청. 캡쳐하여 인증을 확인받고 세션키를 생성해 내는 위험이 포함되어 있다.

제안 스킴에서는 2채널의 스마트기기를 사용하여 매개변수들을 교환하고 해시된 HIDi(PIDi와 PWDi)를 사용하여 암호키 K1=h(TPIDi⊕Nonce⊕HIDi)를 생성한다. 암호키 K1은 스마트기기에서 생성하고 웹브라우저에서 입력하여 암호문(Msg1)을 생성한다. 공개채널에서 Msg1, Msg2는 대칭키 암호문으로 공격자가 암호키 K1을 계산하기 위해서는 무선채널의 스마트기기 수신정보와 사용자의 아이디, 패스워드를 알고 있어야 한다. 또한 Ri와 Msg2는 등록센터의 비밀키를 알고 있어야 하므로 공격자는 이 공격을 사용할 수 없다.

사용자의 스마트카드가 분실, 도난 또는 복사되었다고 가정하면 공격자는 전력분석 방법[17]으로든지 스마트카드 메모리로부터 저장된 정보 {Ai, Ri, Gen(), Rep()}를 추출한다. Ai=h(PIDi∥PWDi∥σ’i)는 스마트카드 소유자임을 증명하는 인자로 로그인 메시지 작성에 참여하지 않으며 Ri=EKRC[Authi, Rrand1, HIDi]는 공개채널에 노출되어 전송되고 있으나 등록센터의 비밀키로 암호화되어 해독이 불가능하다. 공격자는 스마트카드를 획득한다 해도 로그인 메시지 생성에 도움이 되지 않는다.

공격자가 합법적 사용자로 위장하기 위해서는 정상적인 로그인 메시지를 생성할 수 있어야 한다. 정상적인 메시지를 생성하기 위해서는 파라미터 Ri, TPIDi, Nonce, HIDi가 필요하다. Ri는 스마트카드에 내장된 정보 또는 사용자의 로그인메시지를 도청하여 쉽게 얻을 수 있다. 그러나 TPIDi, Nonce는 이중채널의 스마트기기로 전송되는 파라미터로 획득이 어려우며 만일 획득했더라도 HIDi를 알아야 조작된 위장메시지를 생성할 수 있다.

비밀키 K1=h(TPIDi⊕Nonce⊕HIDi)은 해시 값으로 합법적 사용자가 아니면 생성할 수 없는 구조이다. 특히 HIDi=h(PIDi∥PWDi)는 사용자의 아이디와 패스워드를 해시값으로 계산되어 공격자는 알아낼 수 없으며 또 다른 방법으로 Ri를 해독하려면 등록센터의 비밀키를 알아야 하기 때문에 위장공격은 불가능하다.

세션키는 등록센터에서 정당한 사용자 확인 후 등록센터로부터 수신한 신뢰정보를 바탕으로 의료서버와 사용자간에 SKij를 생성한다. 세션키 생성을 위한 흐름은 Encoding된 QR_code의 TPIDi와 사용자의 임의의 수 Rrand2, 수신서버 SIDi, HIDi는 사용자와 등록센터간의 공통키인 비밀키 K1으로 암호화되었고 YRC 또한 등록센터와 의료서버의 공통키인 비밀키로 암호화되어 보호되고 있으며 TPIDi와 Rrand2, 타임스탬프 T3는 세션마다 값이 바뀌므로 이전의 세션키로 새로운 세션키를 유추할 수 없는 구조이다.

제안 스킴에서 등록센터는 다음 3가지 조건으로 사용자를 인증한다. 타임스탬프의 신선도(|T1-T’1|≤△T)를 체크하여 재전송여부를 확인하고 파라미터 Ri(=EKRC[Authi, Rrand1, HIDi])는 등록센터에서 발급한 것인지를 비밀키의 해독(DKRC[Ri]=[Authi, Rrand1, HIDi])으로 알 수 있으며 해독된 파라미터들과 등록센터의 비밀키를 해시한 값 Authi=?h(KRC∥HIDi∥Rrand1)를 계산하여 사용자를 확인한다.

또한 공통키 K1=h(TPIDi⊕Nonce⊕HIDi)을 계산할 수 있는 사용자는 정당하게 등록센터에 등록한 개체로 스마트기기로 전송된 정보와 사용자가 해시값으로 등록할 때의 아이디와 패스워드 소지자(HIDi=h(PIDi∥PWDi))만이 생성할 수 있다.

등록센터의 데이터베이스는 각 세션마다 새로운 TPIDi와 Nonce, timestamp가 생성되어 Reply 공격을 차단한다. 공격자가 Msg1을 재전송했을 때 RC의 데이터베이스에는 TPIDi와 Nonce가 삭제되어 Msg1을 해독할 수 없다.

도용된 검증자공격은 악의적인 사용자가 서버에 저장된 검증데이터인 암호 등을 훔치거나 수정하는 것을 의미한다. 제안된 방식에서 등록센터는 데이터베이스에 사용자의 패스워드, 생체인식 등 확인정보를 유지하지 않고 있다. IPi와 P#i는 이중채널을 사용하므로 동일한 스마트기기번호를 사용할 수 없으므로 무의미하고 TPIDi와 Nonce는 한 세션동안 만 사용되고 데이터베이스에서 0으로 다시 세트된다. 따라서 제안된 기법은 도용된 검증자공격에 안전하다.