Korean Institute of Information Technology
[ Article ]
The Journal of Korean Institute of Information Technology - Vol. 17, No. 2, pp.133-141
ISSN: 1598-8619 (Print) 2093-7571 (Online)
Print publication date 28 Feb 2019
Received 24 Oct 2018 Revised 18 Feb 2019 Accepted 21 Feb 2018
DOI: https://doi.org/10.14801/jkiit.2019.17.2.133

생체정보인식 기반의 원격 사용자 인증 스킴에 대한 보안분석

신광철*
*성결대학교 산업경영공학부
Cryptanalysis of Biometric-based to Remote User Authentication Scheme
Kwang-Cheul Shin*

Correspondence to: Kwang-Cheul Shin Department of Industrial Management Engineering, Sungkyul University, 53 Sungkyul University-ro Manan-gu, Anyang-si, Gyeonggi-do, 14097, Korea. Tel.: +82-2-820-0908, Email: skcskc12@sungkyul.ac.kr

초록

텔레케어 의료정보시스템(TMIS)은 사용자(환자)의 시간과 비용을 절약해 편리한 의료서비스를 제공한다. 그러므로 시스템은 사용자와 의료서버 간에 안전한 상호인증이 중요하며 민감한 의료정보는 제3자에게 노출되어서는 안 된다. 최근, Lu et al.' scheme은 Arshad et al.' scheme의 보안 취약점을 제시하고 타원 곡선 암호화 시스템을 사용하는 생체 인식 기반 인증 방법을 제안했다. 그들의 스킴을 분석한 결과 로긴 메시지의 도청에 의해 익명성, 메시지의 기밀성을 노출시키고 사용자와 서버의 합법적 위장공격에 취약함을 나타냈다. 이와 같이 본 논문에서는 Lu et al'.s 스킴의 취약성을 논리적으로 재분석하고 비교한다. 향후 인증스킴을 설계할 때 강력한 보안과 구현의 효율성을 제공하는데 기여하고자 한다.

Abstract

Telecare medical information systems(TMIS) provides convenient health care services for user(patients) in order to save the patients' time and expense. Therefore, the system is important for secure mutual authentication between the user and the healthcare server, and sensitive medical information should not be exposed to third parties. Recently, Lu et al.'s scheme is described by Arshad et al.'s scheme security vulnerability. They proposed a biometric-based authentication method that uses an elliptic curve encryption system. By analyzing their schemes, the eavesdropping of login message reveals anonymity, confidentiality of messages, and vulnerability to legitimate spoofing attacks by users and servers. In the future, this paper will contribute to providing strong security and implementation efficiency when designing an authentication scheme.

Keywords:

biometrics, mutual authentication, impersonation attack, session key agreement

Ⅰ. 서 론

원격 의료정보시스템(TMIS, Telecare Medical Information System)은 환자가 집에서 편리하게 의료서비스를 받을 수 있게 해 주는 시스템으로 환자의 사생활 보호가 핵심적인 문제이다.

TMIS는 환자가 TIMS서버에서 환자의 의료 정보를 액세스 및 업데이트 할 수 있고 인터넷을 통해 집에서 직접 의료 서비스를 제공함으로써 많은 시간과 비용을 절약 할 수 있다.

또한 환자의 사생활을 보호하기 위해 진단 전에 환자와 의료 서버 간의 안전한 상호 인증을 달성하는 것이 중요하며 민감한 의료정보는 제3자에게 유출되어서는 안 된다. 최근 스마트카드를 사용하는 많은 인증 기법이 데이터의 안전하고 인가 된 접근을 보장하기 위해 제시되었다[1]-[5].

문제는 신뢰할 수 없는 공개채널에 의해 환자의 민감한 정보가 제3자에 의해 도청 될 수 있다는 것이다. 그러므로 안전한 원격치료 의료정보시스템을 실현하기 위해서는 데이터 전송의 안전과 무결성을 보장하는 인증 메커니즘이 필수적이다.

2004년 Das et al.'s[6]가 사용자 익명성을 위해 동적ID기반 인증기술을 제안한 이래 멀티서버 환경이 구축되면서 개인의 생체정보와 동적 아이디를 이용한 스마트카드 기반의 패스워드 인증시스템이 집중으로 제안되었다[7]-[14].

Awasthi et al.'s[15]는 스마트 카드의 계산 비용을 줄이기 위해 Xor 연산과 해시 함수만을 사용하는 효율적인 생체 인식 기반 인증 체계를 제시하였으나 이 스킴은 반사공격과 사용자 익명성을 제공하지 못한다는 사실을 밝혀졌다.

Arshad et al.'s[16]은 서비스 거부(Denial of Service)공격 및 재생공격에 안전한 타원형 곡선 암호화 시스템(ECC)을 기반으로 한 스킴을 제시했다.

지금까지의 연구에서 공통으로 발견되는 취약성으로는 위장공격, 서비스 거부공격, 사용자익명성, 재생공격, 패스워드추측공격, 도청공격, 내부자공격, 중간자공격 등이다.

최근, Lu et al.'s scheme[17]은 Arshad et al.'s scheme의 보안 취약점을 제시하고 타원 곡선 암호화 시스템을 사용하는 생체 인식 기반 인증 방법을 제안했다. 또한 Qui et al.'s[18]는 익명성과 위장공격에 안전한 타원곡선암호를 사용한 상호인증 스킴을 제안하였고 Jiang et al.'s[19]는 3-factor 인증방식의 텔레케어 의료정보시스템을 제안하였다.

본 논문에서 Lu et al.'s scheme이 환자들의 익명성을 보호하지 못한다는 것을 입증한다. 또한 합법적인 사용자가 시스템의 모든 사용자를 가장하여 서버와 통신하고 사용자를 기만하는 합법적인 서버로 위장 할 수 있음을 보여준다.


Ⅱ. Lu et al.'s 스킴의 검토

Lu et al.'s scheme은 Arshad et al.'s scheme의 장점을 유지하면서 취약성을 보완하는 생체인식기반의 인증 및 키 동의 스킴을 제안했다. 이들 스킴은 등록, 로그인, 인증, 패스워드 변경의 4단계로 구성되며 이 절에서 각 단계에 대해 간략하게 검토한다. 본 논문에서 사용되는 표기는 표 1과 같다.

Notations used in this paper

2.1 등록단계

등록단계에서는 사용자(환자) Ui는 TMIS 서버 Sj에게 등록을 수행하고 서버는 스마트카드를 발행한다(그림 1).

Fig. 1.

Registration phase

(1) 사용자 Ui는 자신의 식별자 IDi, 패스워드 PWi를 선택하고 자신의 생체인식정보 Bi를 입력한다.

(2) 사용자는 MPi= PWi⊕H(Bi)를 계산하고 [IDi, MPi]를 등록을 위해 보안채널을 통해 서버 Sj로 전송한다.

(3) 등록 요구를 수신한 Sj는 개인 키 x를 사용하여 다음을 계산하고 [AIDi, Vi, h1(), h2(), H()]를 스마트카드(SCi)에 저장하여 Ui에게 안전한 채널로 보낸다.

  • ∙ Vi=h1(IDi∥MPi)
  • ∙ AIDi=IDi⊕h2(x)

2.2 로그인 단계

로그인 단계에서는 사용자 Ui가 로그인 메시지를 작성하여 서버 Sj로 전송하는 과정이다(그림 2).

Fig. 2.

Login and authentication phase

(1) Ui는 먼저 스마트카드 SCi를 삽입하고 IDi, 패스워드 PWi 및 생체인식정보 Bi를 입력하면 SCi는 h1(IDi∥PWi⊕H(Bi))=Vi가 일치하는지 여부를 확인한다.

(2) 일치되면 스마트카드 SCi는 시스템의 타임스탬프 T1과 임의의 수 du를 선택하고 cyclic group의 duP를 생성한 다음 아래와 같이 계산하여 로그인 요청메시지[M1, M2, AIDi, T1]를 Sj로 보낸다.

  • ∙ K=h1(IDi∥IDi⊕AIDi)
  • ∙ M1=K⊕duP
  • ∙ M1=h1(IDi∥duP∥T1)

2.3 인증단계

인증단계에서 서버 Sj는 인증 및 세션 키 합의를 달성하기 위해 다음의 단계들을 실행한다.

(1) 서버 Sj는 [M1, M1, AIDi, T1]을 수신 한 후 타임스탬프 Tc를 이용하여 ∣Tc-T1∣<△T인지 여부를 검사한다. 조건이 만족하면 Sj는 IDi를 추출하기 위해 자신의 개인키 x를 사용하여 다음과 같이 계산한 후 수신한 M2와 M'2를 비교한다.

  • ∙ IDi=AIDi⊕h2(x)
  • ∙ duP=h1(IDi∥h2(x))⊕M1
  • ∙ M'2=(h1(IDi∥duP∥T1))=?M2

(2) M2=M'2일 경우 Sj는 임의로 ds와 타임스탬프 T2를 선택하고 다음을 계산하여 [M3, M4, T22]를 Ui로 전송한다.

  • ∙ M3=K⊕dsP
  • ∙ SK=ds(duP)
  • ∙ M4=h1(K∥duP∥SK∥T2)

(3) [M3, M4, T2]를 수신하면 SCi는 T2의 유효성(∣Tc-T2∣<△T)을 검사한 다음 Ui는 다음과 같이 계산한 후 수신한 M4와 M'4를 비교한다.

  • ∙ dsP=M3⊕K
  • ∙ SK=du(dsP)
  • ∙ M'4=h1(K∥duP∥SK∥T2)=?M4

(4) M4와 M'4가 일치하면 스마트카드 SCi는 다음을 계산하고, 메시지 [M5, T3]을 Sj에 전송한다.

  • ∙ M5=h1(K∥dsP∥SK∥T3)

(5) Sj는 T3의 유효성(∣Tc-T3∣<△T)를 확인한 다음 만족하면 M'5=h1(K∥dsP∥SK∥T3)=?M5를 검증한다. 일치하면 Sj는 Ui를 인증하고 SK를 세션 키로 승인한다.

2.4 Password change phase

Ui가 자신의 이전 암호 PWi를 변경하려면 스마트카드를 장치에 삽입하고 IDi, PWi 및 Bi를 입력한다.

(1) SCi는 h1(IDi∥PWi⊕H(Bi))=Vi를 검증한다.

(2) 검증이 일치하면 Ui는 새로운 암호 PWinew를 입력하고 SCi는 Vinew=h1(IDi∥PWinew⊕H(Bi))을 계산한다.

(3) 마지막으로 Vinew에서 Vi로 대체된다.

2.5 Lu et al.‘s scheme의 분석토의

Lu et al'.s 스킴의 제안은 Arshad et al'.s 스킴의 오프라인 패스워드 추측공격이 쉽고 사용자 식별자의 취약함으로 위장공격에 노출되어 이를 방지하기 위해 생체인식 기반의 인증스킴을 제안하였다.

Lu et al'.s는 합법적 제3자가 사용자와 서버를 연결하는 전체 통신채널을 완전히 제어하여 공개채널을 통해 전송된 메시지를 도청, 수정, 삽입을 할 수 있다고 해도 표 2와 같이 익명성과 위장공격, 상호인증 등에 안전하다고 주장했다.

Discussion of Lu et al'.s scheme

그러나 합법적인 제3자는 로그인과정에서 메시지를 도청하여 사용자의 식별자를 알아내고 식별자를 이용하여 위장공격에 사용됨을 아래와 같이 증명한다.

① 등록과정에서의 오류

모든 사용자(IDn)들은 자신의 식별자(IDn)와 MPn을 안전한 채널로 서버 Sj에게 전송한다. 서버는 Vn과 AIDn을 계산하여 스마트카드에 저장하고 안전한 채널로 Un에게 전송한다.

  • ∙ Vn=h1(IDn∥MPn)
  • ∙ AIDn=IDn⊕h2(x)

사용자들은 자신의 식별자를 사용하여 서버 Sj의 해시값 h2(x)를 공통으로 보유하게 된다.

  • ∙ h2(x)=AIDn⊕IDn
② 로그인에서 사용자 식별자의 노출

모든 합법적 사용자들은 ①에서 h2(x)를 보유하고 있다. 합법적 사용자 Ui가 로그인을 위해 AIDi를 비보호채널로 서버 Sj로 전송할 때 합법적인 제3자(Uj)는 도청할 수 있다.

  • ∙ AIDi=IDi⊕h2(x)

Uj는 자신이 계산한 h2(x)와 AIDi를 이용하여 사용자 Ui의 식별자를 다음과 같이 유도하여 계산할 수 있다.

  • ∙ IDi=AIDi⊕h2(x)

위 2가지의 오류 및 노출문제를 가지고 다음과 같이 Lu et al.'s 스킴의 어떤 취약점이 있는지 시나리오를 통해 3장에서 분석한다.

이와 같이 비밀정보 h2(x)는 모든 사용자들에게 공통된 값을 보유하게 됨으로 합법적 사용자의 식별자(ID)를 쉽게 알아낼 수 있다. 이로 인해 합법적 사용자인 것처럼 서버에 접근할 수 있다.

특히 서버에서 사용자 식별자 인증부재로 Lu et al.'s 스킴은 로그인을 요청하는 사용자가 누구인지에 대한 사용자 식별자의 적절성 여부를 검증하지 않는다.

이러한 식별자의 검증부재는 어떠한 식별자가 로긴 요청을 했을 때 서버는 정해진 메커니즘을 수행하고 사용자 또한 합법적 서버와의 세션이 성립되어 있는지의 여부를 확인하지 않음으로써 위장공격과 동시로그인공격에 취약하다.


Ⅲ. Lu et al.'s 스킴의 보안 취약성

이 절에서는 Lu et al.'s scheme에서 주장한 보안의 목표를 달성하지 못한다는 것을 분석한다. 공격 모델에서 전력 소모를 모니터링 함으로써 사용자 Ui의 스마트카드에 저장된 값을 공격자가 얻을 수 있다고 가정을 하지 않아도 로긴 메시지를 도청하여 합법적 사용자의 모든 생성정보를 만들 수 있는 큰 취약점이 있다. 본 절에서는 시나리오를 통해 Lu et al.'s 스킴의 취약점을 분석한다.

3.1 합법적 사용자들에 의한 로긴 메시지 도청

합법적 사용자 Ui의 로긴 메시지[M1, M2, AIDi, T1]가 전송되는 과정에서 다른 합법적 사용자 Uj, Uk,....등에 의해 도청되었을 때 기밀성, 인증을 위반하는 심대한 상태에 빠질 수 있다.

  • ∙ 모든 합법적 사용자들 중 Uj는 AIDj=IDj⊕h2(x)로부터 h2(x)를 알고 있다.
  • ∙ 합법적 사용자 Ui는 Sj에게 로긴메시지 [M1, M2, AIDi, T1]를 전송할 때 합법적 다른 사용자 Uj는 로긴 메시지를 도청한다.
3.1.1 익명성 노출

합법적 다른 사용자 Uj는 획득한(도청) 사용자 Ui의 로긴 메시지에서 AIDi로부터 사용자의 식별자 IDi를 알아낸다. h2(x)는 서버 S가 등록하는 사용자들에게 일괄적으로 부여하여 모든 합법적 사용자는 공통으로 알 수 있는 파라미터로 다음과 같이 사용자의 식별자(IDi)를 쉽게 구할 수 있다.

  • ∙ IDi=AIDi⊕h2(x)
3.1.2 기밀성 노출

합법적 다른 사용자 Uj는 합법적 사용자 Ui의 K를 계산할 수 있다.

  • ∙ Uj는 도청한 AIDi와 3.1.1에서 알아낸 IDi로 다음과 같이 K'를 계산한다.
    K'=h1(IDi∥IDi⊕AIDi)
  • ∙ 그 다음 합법적 다른 사용자 Uj는 Ui의 M1을 이용하여 무작위 수 duP를 알아내고 duP와 K'를 이용하여 M'1을 계산할 수 있어서 세션키(SK)생성에 중요한 파라미터 duP가 노출되고 있다.
  • ∙ duP=K'⊕M1
  • ∙ M'1=duP⊕K'

이와 같이 합법적 다른 사용자 Uj는 3.1.1과 3.1.2에서 계산한 IDi와 duP를 사용하여 합법적 사용자 Ui의 M'2를 계산하고 전송된 M2와 비교하여 합법적인 제3자는 누구나 확인할 수 있다.

  • ∙ M'2=h1(IDi∥duP∥T1)=?M2

합법적 다른 사용자 Uj는 합법적 사용자 Ui의 로긴 메시지의 생성한 값 모두를 알아냄으로써 기밀, 인증에 심각한 훼손이 발생함을 알 수 있다.

3.2 사용자 위장공격

3.1절에서와 같이 합법적 다른 사용자들은 사용자 Ui의 로긴 메시지를 도청하여 IDi, K, M1, M2 모두 알아냈다. 합법적 다른 사용자 Uj는 사용자 Ui로 위장 공격하는 시나리오는 그림 3과 같다.

Fig. 3.

User impersonation attack

(1) Uj는 무작위 수 d'u, T1'을 선택하여 다음을 계산하여 서버 Sj로 로긴메시지 [M'1, M'2, AIDi, T1']을 전송한다.

  • ∙ K'=h1(IDi∥h2(x))
  • ∙ M'1=K'⊕d'uP
  • ∙ M'2=h1(IDi∥T1'∥d'uP)

(2) [M'1, M'2, AIDi, T1']을 수신한 Sj는 타임스탬프 ∣Tc-T1'∣<△T를 검증하여 타당하면 전송 주체인 사용자 아이디를 알아낸다.

  • ∙ IDi=AIDi⊕h2(x)

(3) Sj는 무작위 수 ds와 타임스탬프 T2를 선택하여 다음을 계산하고 Uj에게 [M3, M4, T2]를 전송한다.

  • ∙ M3=h1(IDi∥h2(x)⊕dsP)
  • ∙ SK=ds(duP)
  • ∙ M4=h1(K∥T2∥SK∥duP)

(4) [M3, M4, T2]를 수신한 Uj는 다음을 계산하고 서버 Sj에게 [M5, T3]를 전송한다.

  • ∙ dsP=K⊕M3
  • ∙ SK=dsP(d'u)
  • ∙ M4=h1(K∥T2∥SK∥duP)=?M'4
  • ∙ M5=h1(K∥T3∥SK∥dsP)

(5) Sj는 T3의 유효성을 체크한 다음 만족하면 M'5를 계산하여 Uj를 Ui로 인증하고 세션 키 SK를 승인한다.

  • ∙ M'5=h1(K∥T3∥SK∥dsP)=?M5

이와 같이 제3자인 Uj는 합법적 사용자 Ui로 위장할 수 있다.

3.3 서버 위장공격

Lu et al'.s 스킴은 합법적인 사용자가 합법적인 서버로 위장 할 수 있다. 합법적인 제3자 Uj가 TMIS 서버로 위장하는 시나리오는 그림 4와 같다.

Fig. 4.

Server impersonation attack

(1) Ui가 로그인 및 인증 과정을 수행하기 위해 [M1, M2, AIDi, T1]을 Sj로 전송하면 Uj는 로그인 메시지를 가로 챈다.

(2) Uj는 값 h2(x)를 사용하여 IDi의 식별을 검색하기 위해 AIDi⊕h2(x)를 계산한다. 이후 Uj는 난수 d's를 선택하고 다음을 계산하여 [M'3, M'4, T2]를 Ui로 전송한다.

  • ∙ M'3 = h1(IDi∥h2(x))⊕d'sP,
  • ∙ SK'=d's(duP),
  • ∙ M'4 = h1 (K∥duP∥SK'∥T2)

(3) Ui 타임스탬프 T2의 유효성을 확인하고 다음을 계산하여 메시지 M4를 검증한다.

  • ∙ K ⊕ M'3 = d'sP,
  • ∙ SK = du(d'sP),
  • ∙ M'4 =? h1 (K∥duP∥SK∥T2)

Ui는 검증이 정확하고 Uj를 합법적인 서버로 간주하기 때문에 세션 키 SK를 승인한다.

따라서 합법적인 환자는 다른 모든 사용자에게 합법적인 서버인지 시뮬레이션 할 수 있다.

3.4 동시 로그인 공격

Lu et al'.s 스킴은 로그인 요청메시지[M1, M2, AIDi, T1]를 Sj로 전송했을 때 타임스탬프 △T의 오차만 검사하고 메시지에 대한 신선성은 검사하지 않는다. 합법적 제3자는 사용자 Ui의 로긴 메시지를 도청하여 식별자를 찾아내고 h2(x)를 이용하여 위 3.2절의 사용자 위장공격에서처럼 [M'1, M'2, AIDi, T1']을 생성하고 n개의 로긴 메시지를 대량 복사하여 전송했을 경우의 시나리오이다.

(1) 제3자는 임의의 로긴 메시지 [M'1, M'2, AIDi, T1]를 생성하여 대량 복사 후 서버 j로 전송한다.

(2) 서버 j는 복사된 n개의 로긴 메시지[M'1n, M'2n, AIDin, T1n]를 수신한다. 수신한 메시지에 대해 Sj는 연속되는 수신메시지가 동일한 메시지인지 확인하는 과정이 없다.

(3) 서버 j는 아래의 연산을 n회 반복한다.

  • ∙ IDi=AIDi⊕h2(x)
  • ∙ duP=h1(IDi∥h2(x))⊕M1
  • ∙ M'2=(h1(IDi∥duP∥T1))=?M2
  • ∙ 임의 ds와 타임스탬프 T2를 선택하고 다음을 계산한다.
  • ∙ M3=K⊕dsP
  • ∙ SK=ds(duP)
  • ∙ M4=h1(K∥duP∥SK∥T2)

(4) [M3, M4, T2]를 Ui로 전송한다.

서버 j는 1회의 로긴 메시지에 대해 연산과정은 해시함수 4번 수행, ⊕연산 3번, 랜덤넘버 1회생성 이 포함되어 있다. 제3자가 가로챈(Intercept)메시지를 동시에 다수를 사용한다면 서버나 네트워크 자원을 사용할 수 없도록 만들기 위해 시도할 수 있다.

또한 사용자 Ui와 서버 Sj는 로긴과 인증메시지의 신선성을 검사하지 않는다. 제3자가 서버 j에 대해 가로챈 메시지를 보냈을 때 서버 j는 이 메시지가 과거데이터인지 현재 데이터인지 알 수가 없다.

3.5 상호인증 결여

Lu et al'.s 스킴은 서버 Sj에서 타임스탬프 Tc를 이용하여 ∣Tc-T1∣<△T인지 여부와 M'2=(h1(IDi∥duP∥T1))=?M2를 검사함으로써 상호인증에 성공했다고 주장한다. 그러나 서버 Sj가 사용자 Ui의 식별은 AIDi와 자신의 개인키 x를 사용하여 메커니즘적으로 확인(IDi=AIDi⊕h2(x))할 뿐이지 사용자에 대한 적합성여부는 검사하지 않는다. 또한 서버 Sj의 인증결과 메시지 [M3, M4, T2]를 수신하였더라도 사용자는 합법적인 서버 Sj의 식별자를 확인할 수 없다.


Ⅳ. 분석결과

Arshad et al.'s 스킴의 위장공격 취약점을 개선하기 위해 제안한 Lu et al'.s의 스킴은 자신들의 분석에서 인증세션에 참여한 사용자(환자)들에 대해 추적이 불가능하며 제3자가 사용자의 식별자(ID) 및 서버 Sj의 개인키 x를 찾아내지 못하므로 유효한 로그인 요청 메시지[M1, M2, AIDi, T1]을 생성할 수 없어서 위장공격에 안전하다고 주장했다. 또한 Sj는 타임스탬프 T1과 M'2=?M2가 유효한지 검사함으로써 사용자를 인증하고 사용자는 타임스탬프 T2와 M4=h1(K∥T2∥SK∥duP)=?M'4가 만족하면 서버 Sj를 믿을 수 있다고 주장했다.

그러나 분석한 결과 공격의 시나리오에서와 같이 합법적 제3자의 도청공격에 의하여 사용자 및 서버의 위장공격, 사용자 동시 로그인공격, 상호인증, 익명성 등에서 취약함이 드러났다.

표 3에서 Lu et al'.s의 스킴은 Arshad 등의 스킴의 위장공격에 대한 약점을 수정하여 효율적인 개선에 목표를 두고 제시하였다. 제안 된 기법에서는 오프라인 패스워드 추측 공격에 저항하기 위해 생체정보를 사용하고 이를 보호하기 위해 Bio hashing을 채택하여 높은 거부률에 대처하였다.

Reanalysis result of security properties

그러나 분석한 결과 각 사용자들의 식별자와 생체인식 정보를 등록하는 과정에서 서버의 비밀정보 h2(x)가 공통 파라미터로 모든 합법적인 사용자는 보유하게 되었고 이로 인해 다른 정당한 사용자의 로그인정보를 통해서 로그인하는 사용자의 식별자를 노출시켰다.

본 논문에서 Lu et al'.s 스킴을 재분석한 결과 모든 합법적 제3의 사용자는 도청공격으로 합법적 사용자의 식별자를 얻을 수 있으며 이로 인해 사용자 및 서버의 위장공격이 쉽게 성립됨을 보였다.

Lu et al'.s 스킴은 서버와 사용자의 인증 프로시저에서 duP와 duS가 이전의 값이 아니라는 신성성에 대한 체크항목이 없어서 대안이 될 수 없다. 이로 인해 동일한 메시지가 대량 복사되어 반복적으로 로그인을 했을 때 반복적인 인증처리로 프로세서에 부하가 발생하여 자원을 고갈 시킬 수 있다.

Lu et al'.s 스킴에서 로그인 메시지에 사용자의 식별자가 서버측에서 사용자에 대한 인증이 이루어지나 사용자측에서 서버의 인증메시지를 확인할 수 없어 상호인증이 결여되어 있다.

그러므로 세션 키에 대한 합의(△)도 사용자와 서버 간에 완전히 인증결과(사용자와 서버의 식별자 확인)에 동의하기 어렵다.


Ⅴ. 개선방안

첫째 도청에 의한 로긴 메시지 노출의 문제해결 방안으로 익명성과 기밀성을 위해 파라미터 AIDi를 사용자마다 다른 값을 유도하며 h2(x)는 노출되지 않도록 해시 값과 대칭키를 유도하는 파라미터를 생성하여 사용하는 방법이다. 즉 서버의 비밀키 x와 임의 난수를 사용하여 사용자 및 서버의 위장공격으로부터 안전하게 한다. 둘째, Lu et al'.s의 스킴에서 사용자 및 서버의 식별자를 검증하지 않으므로 상호인증에서 정확하지 않다. 로긴메시지와 인증메시지에 식별자검출을 위한 파라미터를 추가하여 검증하도록 한다. 셋째, 로긴메시지에서 전송한 사용자의 식별자 IDi가 확인되면 동시 로그인 공격(DoS)을 대비하여 임시저장소에 IDi, 검증값, 타임스탬프 Ti, 상태비트(0/1)를 일시 저장하여 세션이 끝나면 상태비트는 “0”으로 세팅한다. 즉 한 세션동안 동일한 식별자로 동시에 다량의 메시지를 보낼 때 Sj는 세션을 거절한다.


Ⅵ. 결 론

원격서버에 대한 사용자 인증 메커니즘들은 악의적인 또는 합법적인 제3자에 의해 데이터의 도청과 위변조 공격에 쉽게 노출될 수 있다. 따라서 등록단계에서 사용자정보를 보호할 수 있는 파라미터들을 사용한 인증기술이 필요하다.

본 논문에서 TMIS에 대한 Lu et al's 생체기반 인증스킴의 보안성을 분석하였다.

Lu et al.'s의 생체 인증기반 방식의 보안을 분석한 결과 사용자의 익명성이 쉽게 노출되고 합법적 제3자에 의한 도청공격에 대해 안전하지 않으므로 텔레 케어 서버가 제공하는 모든 서비스에 액세스 할 수 있는 합법적인 사용자와 서버로 위장 할 수 있다는 것을 보여주었다.

References

  • C. C. Chang, W. Y. Hsueh, and T. F. Cheng, "An advanced anonymous and biometrics-based multiserver authentication scheme using smart cards", International Journal of Network Security, 18(6), p1010-1021, (2016).
  • D. B. He, J. H. Chen, and R. Zhang, "A more secure authentication scheme for telecare medicine information systems", Journal of Medical Systems, 36(3), p1989-1995, Jun.), (2012. [https://doi.org/10.1007/s10916-011-9658-5]
  • J. Wei, X. Hu, and W. Liu, "An improved authentication scheme for telecare medicine information systems", Journal of Medical Systems, 36(6), p3597-3604, Dec.), (2012. [https://doi.org/10.1007/s10916-012-9835-1]
  • Z. Y. Wu, Y. C. Lee, F. Lee, H. C. Lee, and Y. Chung, "A secure authentication scheme for telecare medicine information systems", Journal of Medical Systems, 36(3), p1529-1535, Jun.), (2012. [https://doi.org/10.1007/s10916-010-9614-9]
  • H. Zhu, "Secure chaotic maps-based group key agreement scheme with privacy preserving", International Journal of Network Security, 18(6), p1001-1009, Nov.), (2016.
  • M. L Das, A. Saxena, and V. P Gulati, "A dynamic ID-based remote user authentication scheme", IEEE Transactions on Consumer Electronics, 50(2), p629-631, May), (2004. [https://doi.org/10.1109/TCE.2004.1309441]
  • M. C. Chuang, M. Chang Chen, "An anonymous multi-server authenticated key agreement scheme based on trust computing using smart cards and biometrics", Expert Systems with Applications, 41(4), p1411-1418, Mar.), (2014. [https://doi.org/10.1016/j.eswa.2013.08.040]
  • C. T. Li, and M. S. Hwang, "An efficient biometrics-based remote user authentication scheme using smart cards", Journal of Network and Computer Applications, 33(1), p1-5, Jan.), (2010. [https://doi.org/10.1016/j.jnca.2009.08.001]
  • E. J. Yoon, and K. Y. Yoo, "Robust biometrics based multi-server authentication with key agreement scheme for smart cards on elliptic curve cryptosystem", The Journal of Supercomputing, 63(1), p235-255, Jan.), (2013. [https://doi.org/10.1007/s11227-010-0512-1]
  • D. Yang, and B. Yang, "A biometric password based multi-server authentication scheme with smart card", In IEEE International Conference on computer design and applications(ICCDA), p554-559, Jun.), (2010.
  • D. Mishra, A. K. Das, and S. Mukhopadhyay, "A secure user anonymity-preserving biometric based multi-server authenticated key agreement scheme using smart cards", Expert Systems with Applications, 41(18), p8129-8143, Dec.), (2014. [https://doi.org/10.1016/j.eswa.2014.07.004]
  • C. T. Li, C. C. Lee, H. H. Chen, M. J. Syu, and C. C. Wang, "Cryptanalysis of an anonymous multi-server authenticated key agreement scheme using smart cards and biometrics", Information Networking (ICOIN), International Conference on, p498-502, Jan.), (2015. [https://doi.org/10.1109/ICOIN.2015.7057955]
  • K. C. Baruah, S. Banerjee, M. P. Dutta, and C. T. Bhunia, "An Improved Biometric-based multiserver Authentication Scheme Using Smart Card", International Journal of Security and Its Applications, 9(1), p397-408, Jan.), (2015. [https://doi.org/10.14257/ijsia.2015.9.1.38]
  • K. C. Shin, "Analysis and security improvements to Mishra et al'.s authentication", Journal of Security Engineering, 13(4), p261-278, Aug.), (2016. [https://doi.org/10.14257/jse.2016.08.01]
  • A. K. Awasthi, and K. Srivastava, "An enhanced biometric authentication scheme for telecare medicine information systems with nonce", Journal of Medical Systems, 37(12), p9964-9976, (2013). [https://doi.org/10.1007/s10916-013-9964-1]
  • H. Arshad, and M. Nikooghadam, "Three-factor anonymous authentication and key agreement scheme for telecare medicine information systems", J. Med. Syst., 38(12), p1-12, Dec.), (2014. [https://doi.org/10.1007/s10916-014-0136-8]
  • Y Lu, L. Li, H. Peng, and Y. Yang, "An enhanced biometric-based authentication scheme for telecare medicine information system using elliptic curve cryptosystem", Journal of Medical Systems, 39(3), p1-9, Mar.), (2015. [https://doi.org/10.1007/s10916-015-0221-7]
  • S. Qiu, G. Xu, H. Ahmad, and L. Wang, "A robust mutual authentication scheme based on elliptic curve cryptography for telecare medical information systems", IEEE access, 6, p7452-7463, Mar.), (2018. [https://doi.org/10.1109/ACCESS.2017.2780124]
  • Q. Jiang, Z. Chen, B. Li, J. Shen, L. Yang, and J. Ma, "Security analysis and improvement of bio-hashing based three-factor authentication scheme for telecare medical information systems", Journal of Ambient Intelligence and Humanized Computing, 9(4), p1061-1073, Aug.), (2018. [https://doi.org/10.1007/s12652-017-0516-2]
저자소개
신 광 철(Kwang-Cheul Shin)

1985년 : 서울과학기술대학교 (공학사)

1990년 : 국방대학원(공학석사)

2003년 : 성균관대학교(공학박사)

2004년 3월 ~ 현재 : 성결대학교 산업경영공학부 부교수

관심분야 : 네트워크보안, 정보보호론

Fig. 1.

Fig. 1.
Registration phase

Fig. 2.

Fig. 2.
Login and authentication phase

Fig. 3.

Fig. 3.
User impersonation attack

Fig. 4.

Fig. 4.
Server impersonation attack

Table 1.

Notations used in this paper

Symbol Definition
U, S The patient and the telecare server
IDi, PWi, Bi Identity, password, biometric of the patient
H() Bio_hash function
h1(), h2() Hash function h1 :{0, 1}*->{0, 1}n,
Hash function h2 :{0, 1}*->Z*p
x Private key selected by S
y Secret number selected by S
⊕, ∥ Exclusive-or operation and concatenation operation

Table 2.

Discussion of Lu et al'.s scheme

Subject Assertion of Lu et al'.s scheme Discussion
2.1 Eavesdropping attack ∙ not attention ∙ Analysis of login message[M1, M2, AIDi, T1]
2.2 Impersonation attack ∙ IDi and x unknown to the third party ∙ Legitimate user known the h2(x)
2.3 Anonymity ∙ Secret key of S, or random number of U and S ∙ Error in registration process
2.4 Simultaneous login attacks ∙ not attention ∙ New parameter check function
2.5 Mutual authentication ∙ M2=?M'2 ∙ M4=?M'4 ∙ Use of cyclic group duP, duS ∙ Server identifier not allowed

Table 3.

Reanalysis result of security properties

security
components
Mishra
et al.‘s
Awasthi
et al.‘s
Arshad
et al.‘s
Assertion of Lu
et al.‘s
Reanalysis result for Lu
et al'.s scheme
User anonymity x x x
Impersonation attack x x x
Replay attack x x
simultaneously login attack x x - x
Forward security x x
Mutual authentication x
Session key verification
Free password change x