등록단계에서는 새로운 사용자(환자) Ui는 개인용 스마트카드를 발급받기 위해 아래와 같은 절차로 서버 Sj에게 등록한다.

(1) 사용자 Ui는 자신의 식별자 IDi, 패스워드 PWi를 선택하고 생체인식정보 Bi를 입력한다.

(2) 사용자는 MPi= PWi.H(Bi)를 계산하고 [IDi, MPi]를 서버에 등록을 위해 안전한 채널을 통해 서버 Sj로 전송한다.

(3) 등록 요구를 수신한 Sj는 개인키 x를 사용하여 AIDi=IDi⊕h2(x)와 Vi=h1(IDi∥MPi)을 계산하고 [AIDi, Vi, h1(), h2(), H()]를 스마트카드(SCi)에 저장하여 Ui에게 안전한 채널로 전송한다.

로그인 단계에서는 사용자 Ui와 서버 Sj간에 상호인증과 세션 키 동의를 위해 다음의 과정을 수행한다.

(1) Ui는 스마트카드 SCi를 리더기에 삽입하고 아이디 IDi, 패스워드 PWi 및 생체인식정보 Bi를 입력하면 SCi는 h1(IDi∥PWi⊕H(Bi))=Vi가 일치하는지 여부를 확인한다.

(2) 일치하지 않으면 거절되고 일치하면 SCi는 랜덤의 수 du를 선택하고 cyclic group의 duP를 생성한 다음 K=h1(IDi∥IDi⊕AIDi), M1=K⊕duP, M2=h1(IDi∥duP∥T1)를 계산하여 로그인 메시지 [M1, M2, AIDi, T1]를 Sj로 전송한다.

서버 Sj는 인증 및 세션키 동의를 위해 다음 절차를 수행한다.

(1) [M1, M2, AIDi, T1]을 수신 한 후 Sj에서 생성한 타임스탬프 Tc를 이용하여 ｜Tc-T1｜<△T인지 여부를 검사한다. 델타 ΔT는 서버가 로그인 메시지를 수신했을 때의 타임스탬프이며 로그인 메시지 전송시간을 고려한 최소한의 인증시간이다. 조건이 만족하면 Sj는 IDi를 추출하기 위해 자신의 개인키 x를 사용하여 IDi를 추출(IDi=AIDi⊕h2(x))하고 duP=h1(IDi∥h2(x))⊕M1를 계산하여 M'2=(h1(IDi∥duP∥T1))과 M2의 일치여부를 비교한다.

(2) M2=M'2가 일치하지 않으면 거절되고 일치하면 Sj는 랜덤의 수 ds와 타임스탬프 T2를 생성하고 M3=K⊕dsP, SK=ds(duP), M4=h1(K∥duP∥SK∥T2)을 계산하여 [M3, M4, T2]를 Ui로 전송한다.

(3) [M3, M4, T2]를 수신하면 SCi는 T2의 유효성(｜Tc-T2｜<△T)을 검사하여 만족하면 dsP= M3⊕K, SK=du(dsP), M'4=h1(K∥duP∥SK∥T2)을 계산한 후 수신한 M4와 M'4를 비교한다.

(4) M4와 M'4가 일치하면 스마트카드 SCi는 T3을 생성하여 M5=h1(K∥dsP∥SK∥T3)을 계산하고 [M5, T3]을 Sj에 전송한다.

(5) Sj는 T3의 유효성(｜Tc-T3｜<△T)를 확인한 다음 만족하면 M'5=h1(K∥dsP∥SK∥T3)를 계산하여 수신한 M5와 일치여부를 검증한다. 일치하면 Sj는 Ui를 인증하고 SK를 세션 키로 승인한다.

Lu et al'.s의 주장은 합법적 제3자가 전체 통신 채널을 완전히 제어하여 메시지를 도청, 수정, 삽입을 할 수 있다고 가정해도 익명성과 위장공격, 상호인증 등에 안전하다고 주장했다. 그러나 Lu et al'.s의 주장이 다름을 아래와 같이 증명한다.

합법적 사용자 Ui의 로긴 메시지[M1, M2, AIDi, T1]가 전송되는 과정에서 다른 합법적 사용자 Uj, Uk,....등에 의해 도청되었을 때 기밀성, 인증, 무결성을 위반하는 중대한 이유는 다음과 같다.

(1) 모든 합법적 사용자들은 AID=ID⊕h2(x)로부터 h2(x)를 알고 있다.

(2) 모든 사용자의 로그인 메시지 [M1, M2, AID, T1]를 합법적 제3자는 도청한다.

서버 S는 등록하는 사용자들에게 일괄적으로 부여하여 모든 합법적 사용자는 공통 파라미터 h2(x)로부터 사용자의 식별자(IDi=AIDi⊕h2(x))를 쉽게 구할 수 있어 익명성이 보호되지 않는다. 합법적 제3자 Uj는 사용자 Ui의 K를 쉽게 계산할 수 있으므로 기밀성에 취약하다. Uj는 도청한 AIDi와 2.4.2에서 알아낸 IDi로 다음과 같이 K'=h1(IDi∥IDi.AIDi)를 계산한다. 그 다음 Uj는 Ui의 M1을 이용하여 랜덤의 수 duP를 알아내고 duP와 K'를 이용하여 M'1을 계산할 수 있어서 세션키(SK)생성에 중요한 파라미터 duP가 노출되고 있다.

3.1절에서와 같이 합법적 다른 사용자들은 사용자 Ui의 로긴 메시지를 도청하여 [IDi, K, M1, M2] 모두 알아냈다. 합법적 다른 사용자 Uj는 사용자 Ui로 위장 공격하는 시나리오는 다음과 같다.

(1) Ui는 로그인 메시지 [M1, M2, AIDi, T1]을 서버로 전송한다. Uj는 메시지를 가로챈다.

(2) Uj는 랜덤의 수 d'u, T1'을 생성하여 로긴메시지 [M'1, M'2, AIDi, T1']을 계산하고 서버 Sj로 전송한다.

[M'1, M'2, AIDi, T1']을 수신한 Sj는 타임스탬프｜Tc-T1'｜<△T를 검증하여 유효하면 전송 주체인 사용자 아이디(IDi=AIDi⊕h2(x))를 알아낸다.

(3) Sj는 랜덤의 수 ds와 타임스탬프 T2를 생성하여 아래를 계산하고 Uj에게 [M3, M4, T2]를 전송한다.

• K'=h1(IDi∥h2(x))

• M'1=K'⊕d'uP)

• M'2=h1(IDi∥T1'∥d'up)

• M3=h1(IDi∥h2(x)⊕dsP)

• SK=ds(duP)

• M4=h1(K∥T2∥SK∥duP)

(4) [M3, M4, T2]를 수신한 Uj는 아래를 계산하고 서버 Sj에게 [M5, T3]를 전송한다.

• dsP=K⊕M3

• SK=dsP(d'u)

• M4=h1(K∥T2∥SK∥duP)=?M'4

• M5=h1(K∥T3∥SK∥dsP)

(5) Sj는 T3의 유효성을 체크한 다음 만족하면 M'5를 계산하여 Uj를 Ui로 인증하고 세션 키 SK를 승인한다.

이와 같이 제3자인 Uj는 합법적 사용자 Ui로 위장할 수 있다.

Lu et al'.s 스킴은 합법적인 사용자가 합법적인 서버로 위장 할 수 있다. 합법적인 제3자 Uj가 TMIS 서버로 위장하는 시나리오는 다음과 같다.

(1) Ui가 로그인 및 인증 과정을 수행하기 위해 [M1, M2, AIDi, T1]을 Sj로 전송하면 Uj는 로그인 메시지를 가로 챈다.

(2) Uj는 h2(x)를 사용하여 3.2절의 (2)를 계산하여 Ui의 식별자 IDi를 알아내고 랜덤의 수 d's를 생성하여 아래 식을 계산하여 [M'3, M'4, T2]를 Ui로 전송한다.

• M'3 = h1(IDi∥h2(x))⊕d'sP,

• SK'=d's(duP),

• M'4 = h1 (K∥duP∥SK'∥T2)

(3) Ui는 타임스탬프 T2의 유효성을 확인하고 다음 식을 계산하여 메시지 M4를 검증한다.

• K ⊕ M'3 = d'sP,

• SK = du(d'sP),

• M'4 =? h1 (K∥duP∥SK∥T2)

Ui는 검증이 유효할 때 Uj를 합법적인 서버로 간주하여 세션키 SK를 승인한다.

Lu et al'.s 스킴은 서버 Sj에서 타임스탬프 Tc를 이용하여 ｜Tc-T1｜<△T인지 여부와 M'2=(h1(IDi∥duP∥T1))=?M2를 검사함으로써 상호인증에 성공했다고 주장한다. 그러나 서버 Sj가 사용자 Ui의 식별은 AIDi와 자신의 개인키 x를 사용하여 메커니즘적으로 확인(IDi=AIDi⊕h2(x))할 뿐이지 사용자에 대한 적합성여부는 검사하지 않는다. 또한 서버 Sj의 인증결과 메시지 [M3, M4, T2]를 수신하였더라도 사용자는 합법적인 서버 Sj의 식별자를 확인할 수 없다.

<그림 1>과 같이 새로운 사용자 Ui는 서버 S에 등록하고 다음 단계를 통해 스마트카드(SCi)를 받는다.

(1) 사용자 Ui는 자신의 식별자 IDi, 패스워드 PWi를 선택하고 자신의 생체정보 Bi를 입력한다. SCi는 MPi=h(PWi⊕Bi)를 계산하고 [IDi, MPi]를 보안채널을 통해 서버 Sj로 보낸다.

(2) 등록 요청을 수신한 Sj는 개인키 x, 비밀의 수 y를 이용하여 AIDi=h(IDi⊕h2(x)), Si=h(IDi⊕x)⊕MPi⊕h(y), Vi=MPi⊕h(AIDi), Ki=h(IDi⊕x)⊕h(x)를 계산하고 [Si, Vi, Ki, h()]를 SCi에 저장하여 Ui로 안전하게 보낸다.

사용자 Ui와 서버 Sj는 인증과 세션 키 일치를 얻기 위해 <그림 2>의 단계를 실행한다.

(1) Ui는 스마트카드 SCi를 삽입하고, 자신의 식별자 IDi, 패스워드 PWi 및 생체정보 Bi를 입력한다.

(2) SCi는 Vi를 이용하여 h(AIDi)를 추출해 내고 SCi의 Vi와 비교하여 일치하면 스마트카드 소유자임을 검증하고 다음단계를 실행한다.

(3) SCi는 랜덤의 수 du와 타임스탬프 T1을 생성하여 로긴 메시지를 계산한다.

• M1=h(AIDi)⊕duP, M2=h(duP∥T1∥IDi), M3=Si⊕MPi, R=M3⊕h(duP), K=Ki⊕h(duP),

L1=Ek[IDi, M1, M2]

(4) 사용자 Ui는 서버 Sj에게 로그인 요청메시지 [R, T1, L1]을 전송한다.

인증 및 세션키 동의 단계에서는 수신한 로그인 요청 메시지를 이용하여 사용자 Ui에 대한 검증을 수행한다.

(1) 로그인 메시지 [R, T1, L1]를 수신한 서버 Sj는 타임스탬프 Ts를 생성하여 ｜Ts-T1｜<△T를 검증하고 유효하면 다음단계를 수행한다.

(2) 서버 Sj는 비밀키 x와 비밀넘버 y를 사용하여 K를 도출(K=R⊕h(x)⊕h(y))한다. 이어서 L을 디코드(Dk[Ek[L1]])하여 IDi, M1, M2을 추출해 낸다.

(3) 서버 Sj는 로긴 메시지 M1을 사용하여 duP(=h(AIDi.M1))를 추출해 내고 M'2를 계산(=h(IDi∥duP∥T1))하여 수신된 M2와 비교하여 일치하면 다음 단계를 수행한다.

(4) Sj는 위 (3)에서 M2와 계산한 M'2가 일치되면 검증자(verifier:IDi⊕duP⊕h(y))를 작성하고 한 세션동안만 사용되는 로그인 상태비트를 “1”로 변환한다.

디코드 된 값 L에서 전송한 사용자의 식별자 IDi를 확인할 수 있고 이 때 다중사용자의 로그인 공격(DoS)을 대비하여 임시저장소에 IDi, 검증값, 타임스탬프 T1, 상태비트를 일시 저장[표 2]한다. 세션이 끝나면 상태비트는 “0”으로 세팅한다. 즉 한 세션동안 동일한 ID 식별자로 동시에 다량의 메시지를 보낼 때 Sj는 세션을 거절한다.

(5) 서버 Sj는 비밀의 수 ds와 타임스탬프 T2를 생성하여 세션키 SKji=h(duP∥ds∥T1∥T2)와 인증메시지 M4=dsP.h(duP), M5=h(SIDj∥dsP∥duP∥T2), L2=Ek[SIDj, M4, M5]를 계산한다.

(6) 서버 Sj는 사용자 Ui로 인증메시지 [L2, T2]를 전송한다.

(7) 사용자 Ui는 인증메시지를 수신하여 인증시간을 확인하고 L2를 디코드하여 다음을 계산한다.

• ｜Tc-T2｜≤ΔT

• Dk[Ek[SIDj, M4, M5]]

• dsP=M4⊕h(duP)

• M’ 5=h(SIDj∥dsP∥duP∥T2)=?M5

• SKij=h(du∥dsP∥T1∥T2)

(8) 사용자 Ui는 응답메시지 작성을 위해 타임스탬프 T3를 생성하여 M6=h(dsP∥SIDj∥T3)을 계산하고 M6를 서버 Sj로 전송한다.

(9) Sj는 T3의 신선성 (｜Tc-T3｜<△T)을 확인한 다음 조건이 만족하면 아래와 같이 M6을 계산하고 M'6와 비교하여 일치(M6=h(dsP∥SIDj∥T3)=?M6)하면 Sj는 Ui를 인증하고 SK를 세션 키로 승인한다.

Lu et al.'s 스킴의 가장 큰 취약점은 도청된 파라미터 값을 가지고 로그인정보를 합법적인 사용자인 것처럼 생성하여 위장할 수 있다는 것이 가장 큰 취약점이다. 이로 인해 익명의 노출, 사용자/서버 위장공격과 같은 연쇄적으로 취약점이 드러났다.

본 절에서는 로긴 메시지 노출의 문제해결방안으로 Lu et al's 스킴에서 취약한 파라미터 AIDi와 h2(x)를 노출되지 않도록 해시 값과 대칭키를 유도하는 파라미터(R, k)를 생성하여 메커니즘을 설계한 것이 가장 큰 차이이다.

제안스킴에 대한 분석은 K, R의 안전성과 응용서버의 비밀키 x, 비밀의 수 y에 의존하며 응용서버에서는 사용자정보와 관련하여 로그인 세션동안만 유지되는 사용자 ID와 검증값, 타임스템프 Ti, 상태비트를 임시테이블에 일시 저장하여 서비스거부공격과 재생공격에 효율적으로 대처하였다.

이 절에서는 TMIS에 대한 최근의 생체 인식 기반 인증 및 주요 계약 방식의 보안기능 및 계산성능을 비교한다. <표 4>에서는 제안스킴과 Arshad et al.'s, Lu et al.'s 스킴을 비교하여 보안요소에 대한 공격을 저지하거나 속성을 만족시키는 체계로 √를 표시하고 공격을 저지 못하거나 속성을 만족시키지 못하는 체계로 x를 표시한다. 이전의 대부분의 생체 인증 방식이 바람직한 보안 속성을 만족하지 않음을 알 수 있다.

2016년 K.C.Shin은 Mishra et al.'s 스킴이 등록센터가 등록하는 모든 서버들에게 공통으로 공유키(PSK)를 인자로 사용하므로 이를 제3자가 이용하여 위장공격과 서비스거부공격, 스마트카드 도난공격에 취약함을 나타냈고 Baruah et al.'s 스킴은 로그인 및 인증 메시지를 제3자가 도청하였을 때 세션키를 계산할 수 있어서 위장공격과 스마트카드 도난공격, 전방향보안의 취약성을 지적했다[17]. Arshad et al.’s 스킴은 오프라인 패스워드 추측공격과 합법적 제3자에 의해 식별자가 노출되어 익명성의 노출, 사용자 및 서버의 위장공격에 취약하다.

Lu et al.'s의 스킴은 전술한 바와 같이 등록과정에서의 오류로 식별자가 노출되고 이로 인해 익명성의 노출과 사용자/서버의 위장공격이 가능하다.

<표 5>의 제안스킴과 이전스킴의 연산비교에서 TH,:생체정보 해시함수(Biometric hash function)수행시간, Th : 해시함수 수행시간, Tsym : 대칭키(symmetric encryption /decryption) 암복호시간, TECC : 타원곡선암호(Elliptic curve point multiplication)시간비용을 나타내며 일반적인 비용(시간복잡도)는 TECC>Tsym>TH>Th와 같은 차이를 보이나 TECC, Tsym, TH, Th 모두 계산비용이 낮은 공통점이 있다. Mishra et al.'s[13], Baruah et al's[14]의 해시함수 계산은 타원 곡선 포인트 곱셈 비용을 갖는 Lu et al.'s의 스킴에 비해 계산 오버헤드가 적다.

제안스킴에서 대칭키암호 연산비용(AES 256 : 0.8microsecond/ operation)이 해시함수 연산비용(SHA-512 : 0.76microsecond/operation) 과 큰 차이가 없다고 볼 때 연산비용은 다소 높으나 기능적인 보안향상을 높였음을 알 수 있다.