ㆍ 제3자의 공개키도용을 고려하여 서버 S는 합법적인 신뢰된 사이트이다.

ㆍ 사용자와 서버 간에 상호인증은 각각 서로 다른 파라미터에 의해 이루어지고 키 동의가 제공되어야 한다.

ㆍ 인증스킴은 현실으로 발생할 수 있는 다양 한 공격을 방지할 수 있어야 한다.

ㆍ 제3자는 공개채널을 통해 메시지 내용을 도청, 삭제, 수정 및 재전송 할 수 있다.

ㆍ 제3자는 악성장치를 통해 스마트카드의 정보를 획득할 수 있다.

1) U_i는 <그림 3>과 같이 식별자 ID_i와 패스워드 pw_i를 입력하고 임의의 난수 r을 선택하여 pwr_i=h(pw_i∥r)를 계산한다. 자신의 생체정보 BIO_i를 장치를 통해 추출하여 해시값으로 만든 다음 안전한 매체를 통해 서버 S_j에 등록요구 메시지 {ID_i, h(BIO_i), pwr_i}를 전송한다.

2) 사용자 U_i로부터 요청 메시지 {ID_i, h(BIO_i), pwr_i}를 수신하면 S_j는 CIDi=hIDi⊕d⊕hBIOi, Yi=pwri⊕CIDi을 계산하여 새로운 카드 SC에 내용 {Y_i, e}를 저장하고 U_i로 보낸다. 서버 S_j는 신규 등록하는 사용자의 데이터베이스에 식별자 ID_i와 CID_i를 저장한다.

3) 사용자 Uᵢ는 {Yᵢ, e}를 수신하여 A=r⊕hIDi∥pwi와 CIDi=Yi⊕hpwri∥r를 구하고 B=hr∥CIDi∥hIDi∥pwi을 계산하여 SC_i에 A와 B, Y_i를 저장한다. 최초 임의의 난수 r은 U_i 자신을 증명하기 위해서만 사용하는 A와 CID_i를 계산하기 위해서 Y_i를 SC에 저장한다.

등록된 스마트카드를 소유한 합법적인 사용자는 로그인 메시지를 생성하여 서버 S_j로 전송하는 과정[그림 4]이다. 사용자와 서버는 서로 상호인증하고 세션 키를 설정한다.

1) S_j와의 세션을 시작하기 위해 U_i는 SC_i를 카드판독기에 삽입하고 ID_i 및 pw_i를 포함하여 로그인 세부 사항을 입력하면 r=A⊕hIDi∥pwi을 계산하고 SC_i 소유자임을 증명하기 위해 Yi⊕hpwi∥r을 이용하여 CID_i를 구한다. 그 다음 hr∥CIDi∥hIDi∥pwi을 계산하여 SC_i내의 B와 비교하여 값이 틀리면 세션을 종료시킨다. 그렇지 않으면 세션 키 생성을 위한 파라미터 random N₁, 타임스탬프 T_i을 선택하고 생체정보 BIO_i를 입력하여 Li=IDi∥N1∥hBIOie mod n을 계산한 다음 공개채널을 통해 {L_i, T_i}를 S_j로 전송한다.

2) U_i로부터 로그인 요구를 수신하면 S_j는 현재 타임스탬프 T_s에 대응하는 타임스탬프 Tᵢ를 검증(Ts-Ti≤△T)한다. 타임스탬프 Tᵢ가 유효하다면 다음 단계들을 계속 실행하고 그렇지 않으면 세션을 중단한다. 그 다음 S_j는 ID_i, N₁, h(BIO_i)를 얻기 위해 Lᵢ를 해독((L_i)^d mod n)하고 데이터베이스에서 사용자의 식별자 ID_i에 대응하는 CID_i를 검색한 후 h(d⊕ID_i⊕h(BIO_i)를 구하여 CID_i와 일치여부를 비교한다. CID_i-?h(d⊕ID_i⊕h(BIO_i))와 같이 일치하면 사용자가 정당함을 인증한다. 일치하지 않으면 세션은 거절된다.

3) 인증이 완료되면 S_j는 위장된 서버가 아님을 증명하기 위해 CID_i’=CID_i⊕h(BIO_i)를 계산한다. 타임스탬프 T_s'를 선택한 다음 세션키 SK_su=h(CID_i'∥N₁∥T_i∥T_s')를 생성하고 사용자에게 S_j가 합법적임을 증명하기 위해 Y=h(ID_i∥SK_su∥T_s')를 계산하여 U_i에게 {Y, T_s'}을 전송한다.

4) S_j로부터 응답 메시지를 받으면 SC_i는 T_s'의 유효성 검증(Ti'-Ts'≤△T)을 마친 후 SC_i는 약속된 세션키 SK_us=h(CID_i'∥N₁∥T_i∥T_s')를 생성한 다음 Y=?h(ID_i∥SK_us∥CID_i')를 비교하여 일치하면 U_i는 S_j가 정당함을 인증하고 세션이 성립된다.

S_j는 로긴 메시지의 해독 결과인 파라미터(ID_i, N₁, h(BIO_i))를 가지고 h(d⊕ID_i⊕h(BIO_i))를 계산하여 DB의 CID_i와 일치성 비교로 검증하고 사용자는 서버로부터의 검증파라미터 Y와 h(ID_i∥SK_us∥CID_i')의 일치여부로 서버가 합법적임을 인증하도록 설계되었다. 서버 S_j에 의한 사용자의 합법성여부는 서버의 비밀키 d에 의해 복호화된 인증파라미터 ID_i, N₁, h(BIO_i)에 의해 실현되며 서버 S_j의 DB에 저장된 CID_i와 비밀키 d가 포함된 해시값 h(d⊕ID_i⊕h(BIO_i))의 일치성으로 사용자를 인증하게 된다. 사용자가 정당한 서버인지를 인증하기 위해서는 CID_i'를 정확하게 계산할 수 있는지의 여부이다. CIDᵢ는 서버의 DB에 보유하며 정당한 서버만이 h(BIO_i)를 추출함을 의미한다. 서버에서 전송된 Y와 사용자가 생성한 h(ID_i∥SK_us∥CID_i')의 일치성으로 서버가 정당함을 인증한다.

제안스킴에서는 ID_i가 로그인과정에서 평문으로 전송되지 않고 {L_i, T_i}는 사용자의 식별자와 임의난수, 해시된 생체정보가 서버의 공개키로 암호화(ID_i∥N₁∥h(BIO_i))^e mod n )되어 있다. 제3자는 L_i로부터 식별자를 검색하지 못하며 SC_i도 사용자의 식별자를 보유하지 않으므로 로긴 메시지를 식별할 수 없다. 타임스탬프 T_i는 매번의 세션마다 시스템 시간이 다르므로 세션마다의 고유한 로그인 메시지가 보장된다. 제3자는 각 세션마다의 추적이 불가능하며 식별자 익명성이 보호된다.

다음과 같이 스마트카드 SC_i는 입력의 정확성을 식별 할 수 있다. 사용자가 패스워드(pw_i)와 식별자 (ID_i)중 어느 하나라도 잘못 입력했을 때 SC_i는 h(ID_i∥pw_i)의 값을 계산하고 r(=A⊕h(ID_i∥pw_i))를 추출하여 SC_i의 B(=?h(r∥CID_i∥h(ID_i∥pw_i)))와 비교한다. 비교한 값이 다르면 식별자 자신의 인증이 실패되어 세션을 종료시킴으로써 효율적인 로그인 단계를 갖는다.

스마트카드를 사용자가 분실했거나 제3자가 훔쳤을 때 정보의 유출로 인해 악의적인 공격이 있을 수 있다. 제3자는 차분공격이나 전력분석을 통해 스마트카드내 {Y_i, A, B}를 추출해 유용한 로그인 메시지의 생성을 시도할 수 있다. 그러나 유효한 로그인 메시지를 작성하려면 사용자의 식별자(ID_i)와 패스워드(pw_i), 생체정보(BIO_i)를 포함하는 CID_i(=h(ID_i⊕d⊕h(BIO_i)))를 계산할 수 있어야 한다. 제3자가 스마트카드 소유자의 식별자 ID_i를 알고 있다고 해도 생체정보 BIO_i를 알지 못하면 로긴 메시지 L_i를 생성할 수 없다. 만약 제3자가 임의의 BIO_i’로 위장했을 때 서버에서 생성하는 CID_i와 일치되지 않으므로 거절된다. 또한 스마트카드의 패스워드를 추측하기 위해 사전공격을 시도한다. 패스워드는 다음 값 Y_i=h(pw_i∥r)⊕CID_i, A=r⊕h(ID_i∥pw_i), B=h(r∥CID_i∥pw_i))들과 관련되어 있다.식 B를 사용하여 패스워드를 확인하려면 r과 CID_i를 알아야 하며 CID_i=Y_i⊕pwr_i에서 r을 알지 못하고는 패스워드를 확인할 수 없다.

r=A⊕h(ID_i∥pw_i)이므로 r을 검색하기 위해서는 사용자 식별자 ID_i와 pw_i가 필요하다. 스마트카드나 전송 된 메시지에는 사용자의 신원 정보가 포함되어 있지 않으므로 패스워드 추측 공격에 안전함을 보여준다. 무엇보다 제안된 스킴에서 패스워드는 3.1.3에서와 같이 정당한 SC의 소유자 인증에 한정되어 사용되기 때문에 중요한 파라미터는 아니며 위협을 하려면 합법적 사용자의 생체인식정보인 BIOᵢ 필요하다.

제3자는 재생공격으로 합법적 인 사용자로 위장하여 서버에 로그인 할 수 있다. 제3자는 임의의 값으로 유효한 로그인 메시지 {L_i', T_E}를 생성하려고 할 것이다. 랜덤 값 r_E, 타임스탬프 T_E 생성 후 L_i'=(ID_i∥r_E∥h(BIO_E'))^e mod n을 시도한다. 이와 같이 L_i'를 계산하려면 제3자가 합법적 사용자의 식별자 ID_i와 생체정보 h(BIO_i)를 알고 있어야 한다. 그러나 권한이 없는 사용자는 다음 사실 때문에 L_i'를 계산할 수 없다. 제3자가 L_i'를 계산하기 위해서 서버 DB의 사용자정보 CID_i를 해킹했다고 하더라도 사용자 ID_i와 서버의 비밀키 d, 사용자의 생체정보 BIO_i가 해시값으로 저장되어 합법적사용자의 생체정보를 도출해 낼 수 없다. 만약 제3자가 임의 BIO_E’를 선택하여 사용할 경우 서버의 검증과정 CID_i=?h(ID_i⊕d⊕h(BIO_E'))에서 일치하지 않으므로 거절된다. Y_i에서 CIDᵢ를 검색하려면 패스워드(pwr_i=h(pw_i∥r))가 필요하다. 패스워드와 임의의 수 r은 처음 등록할 때 사용된 이후 로그인 메시지 생성이나 인증정보를 생성할 때는 더 이상 사용되지 않으므로 제3자는 CID_i를 얻을 수 없다. 이는 제안된 스킴이 사용자 위장 공격에 강력함을 보여준다.

제3자가 서버로 위장하여 서버의 인증메시지 {Y, T_s}를 조작하거나 생성하여 인증메시지로 보내올 때 메시지의 확인과정에서 정당한 서버가 아님을 증명하는 시나리오이다.

사용자 U_i가 로그인 메시지 {L_i, T_i}를 서버에 전송하면 제3자는 메시지를 가로 채고 유효한 메시지로 응답을 시도할 수 있다. 그러나 제3자는 다음과 같이 정당화 된 유효한 사용자를 위장 할 수 없다.

첫째 제3자는 Y를 생성하기 전에 CID_i'를 계산하여야 하는데 서버의 데이터베이스로부터 사용자의 CID_i를 도용하였다 해도 사용자의 생체정보인 BIO_i를 생성할 수 없다. 즉 제3자의 서버 위장을 방지하기 위해 합법적인 서버만이 생성할 수 있도록 알고리즘에 CID_i'를 추가하였다. 정당한 서버만이 CID_i'를 합리적인 세션키 SK_su를 생성할 수 있고 응답메시지 Y를 계산할 수 있다.

둘째 제3자는 이전에 전송 된 메시지 {Y, T_s}를 사용자에게 응답하려고 시도 할 수 있다. 그러나 이전의 무작위수와 타임스탬프가 포함된 SK_su=h(CID_i'⊕N₁⊕T_i⊕T_s)와 Y=h(ID_i∥SK'_su∥T_s)가 해시값으로 계산되어 현재의 타임스탬프로 수정할 수가 없다. 이는 제안 된 스킴은 서버위장공격을 거부한다는 것을 나타낸다.

일반적으로 전방향 또는 순방향 기밀은 서버의 세션키가 노출되어도 다음 세션에서 안전성에 영향을 미칠 수 없어야 하는 성질로 RSA방식에서 제3자는 도청공격을 통해 트래픽을 가로채서 송수신 데이터를 찾아낼 수 없다. 사용자/서버의 해시된 출력인 SK=h(CID_i∥N₁∥T_i∥T_s)가 손실되어도 제3자가 추측할 수 없다. 더욱이 각 세션마다 키를 보장하기 위해 서로 다른 타임스탬프를 포함하므로 이전의 세션키가 손실되어도 다음의 세션키는 생성에 필요한 파라미터 N₁, T_i, T_s가 다시 생성되므로 안전함을 의미한다.