상호 인증

Mutual authentication

상호인증 또는 쌍방향인증(2단계 인증과 혼동하지 말 것)은 인증 프로토콜에서 동시에 서로 인증하는 두 당사자를 말합니다.일부 프로토콜(IKE, SSH)에서는 기본 인증 모드이고 다른 프로토콜(TLS)에서는 옵션 인증 모드입니다.

상호 인증은 데이터 [1][2][3]보안을 보장하기 위해 중요한 데이터를 전송하는 검증 체계에서 바람직한 특성입니다.상호 인증은 사용자 이름 비밀번호와 공용인증서라는 두 가지 유형의 자격 증명을 사용하여 수행할 수 있습니다.

상호인증은 사물인터넷(IoT)에서 사용되는 경우가 많습니다.IoT 시스템에서 효과적인 보안 체계를 작성하는 것은 어려울 수 있으며, 특히 시스템이 가볍고 계산 비용이 낮은 경우에 그렇습니다.상호 인증은 많은 적대적 [4]공격으로부터 방어할 수 있는 중요한 보안 단계입니다. 그렇지 않으면 IoT 시스템(e-Healthcare 서버 등)이 해킹될 경우 큰 결과를 초래할 수 있습니다.과거의 작업에 대한 체계 분석에서, 상호 인증의 부족은 데이터 전송 [5]체계에서 약점으로 여겨져 왔다.

프로세스 단계 및 검증

상호인증 스텝이 있는 스킴에서는 암호화, 통신 및 검증 방법이 다를 수 있지만 통신에 관련된 각 엔티티가 검증된다는 공통점이 있습니다.Alice가 Bob과 통신하는 경우, 데이터 또는 메시지가 전송되기 전에 상대방을 인증하고 통신 대상자가 누구인지 확인합니다.사용자 ID를 교환하는 상호 인증 프로세스는 [citation needed]다음과 같이 구현할 수 있습니다.

  1. Alice는 Alice가 유효한 사용자임을 보여주기 위해 암호화된 메시지를 Bob에게 보냅니다.
  2. Bob은 메시지를 확인합니다.
    1. 밥은 형식과 타임스탬프를 확인합니다.올바르지 않거나 비활성일 경우 세션이 중단됩니다.
    2. 그 후 메시지는 밥의 비밀키로 해독되어 앨리스의 ID를 알려준다.
      1. Bob은 메시지가 유효한 사용자와 일치하는지 확인합니다.그렇지 않으면 세션이 중단됩니다.
  3. 밥은 앨리스에게 밥이 유효한 사용자임을 나타내는 메시지를 반환합니다.
  4. Alice는 메시지를 확인합니다.
    1. Alice는 형식과 타임스탬프를 확인합니다.올바르지 않거나 비활성일 경우 세션이 중단됩니다.
    2. 그리고 나서, 메시지는 앨리스의 비밀 키로 해독되고 밥의 아이디를 알려준다.
      1. Alice는 메시지가 유효한 사용자와 일치하는지 확인합니다.그렇지 않으면 세션이 중단됩니다.
  5. 이 시점에서, 양 당사자는 자신이 주장하는 사람으로서 상대방이 통신하는 것이 안전한 것으로 검증됩니다.마지막으로 Alice와 Bob은 안전한 방법으로 통신을 계속할 수 있도록 공유 개인 키를 만듭니다.

Burrows-Abadi-Needham 로직(BAN 로직)은 신뢰할 수 있는 엔티티에서 메시지가 송신되었음을 검증하기 때문에 상호인증이 정상적으로 이루어졌음을 검증하기 위해 널리 받아들여지고 있는 방법입니다.BAN 로직은 우선 엔티티를 신뢰할 수 없다고 가정하고 그 합법성을 [1][2][6][7]확인합니다.

방어.

상호 인증은 제로 트러스트 네트워킹을 지원합니다.이는 특히 다음과 같은 적대적 [8]공격으로부터 통신을 보호할 수 있기 때문입니다.

중간자 공격
man-in-the-middle(MITM) 공격은 서드파티가 메시지를 도청 또는 대행 수신하려는 경우로, 수신자의 의도된 메시지를 변경하는 경우가 있습니다.양 당사자는 발신자를 확인하지 않고 공개적으로 메시지를 수신하기 때문에 상대가 통신 회선에 삽입된 것을 인식하지 않습니다.상호 인증은 송신자와 수신자 모두 메시지키를 송신하기 전에 서로를 검증하기 때문에 MITM 공격을 방지할 수 있습니다.따라서 당사자 중 한 명이 자신이 누구인지 검증되지 않으면 세션은 [9]종료됩니다.
리플레이 공격
재생 공격은 오래된 메시지가 컨텍스트에서 재생되어 서버를 속이는 MITM 공격과 비슷합니다.그러나 타임스탬프는 [11][12]프로토콜에 사용되는 검증 팩터이므로 상호 인증을[10] 사용하는 체계에서는 작동하지 않습니다.시간 변화가 최대 허용 시간 지연보다 클 경우 세션이 [12]중단됩니다.마찬가지로 메시지에는 메시지가 [11]발송된 시기를 추적하기 위해 무작위로 생성된 번호가 포함될 수 있습니다.
스푸핑 공격
스푸핑 공격은 서버에 액세스하거나 다른 사용자로 식별하기 위해 잘못된 데이터를 사용하여 다른 사용자로 위장합니다.상호 인증을 통해 스푸핑 공격을 방지할 수 있습니다.이는 서버가 사용자를 인증하고 사용자가 올바른 세션 키를 가지고 있는지 확인한 후 추가 통신 및 [12]액세스를 허용하기 때문입니다.
위장 공격
각 파티는 상대방을 인증할 때 상대방만이 스크램블 해제 방법을 알고 있는 증명서를 서로 전송하여 자신이 신뢰할 수 있는 소스임을 확인합니다.이렇게 하면 공격자가 상대방인 [6]것처럼 행동할 수 있는 올바른 인증서가 없기 때문에 가장 공격을 사용할 수 없습니다.

또한 상호 인증은 당사자가 올바른 소스임을 확인하면 수신된 정보도 [6]신뢰할 수 있기 때문에 정보의 무결성을 보장합니다.

mTLS

기본적으로는 TLS 프로토콜은 X.509 인증서를 사용하는 클라이언트에 대해서만 서버의 ID를 증명하며, 서버에 대한 클라이언트의 인증은 애플리케이션 계층에 맡겨집니다.또한 TLS는 클라이언트 측 X.509 [13]인증을 사용한 클라이언트 대 서버 인증도 제공합니다.증명서를 클라이언트에 프로비저닝해야 하고 사용자 친화성이 떨어지기 때문에 최종 사용자 애플리케이션에서는 거의 사용되지 않습니다.

상호 TLS 인증(mTLS)은 B2B(Business-to-Business) 애플리케이션에서 더 많이 사용됩니다.B2B 애플리케이션에서는 프로그램 및 동종 클라이언트가 특정 웹 서비스에 접속하고 있어 운영 부담이 제한되며 일반적으로 보안 요건이 사용자 환경에 비해 훨씬 높습니다.

mTLS는 Dapr 등의 런타임에 기반한 마이크로 서비스 기반 애플리케이션에서도 SPIFFE [8]의 시스템을 통해 사용됩니다.

경량 스킴과 보안 스킴의 비교

경량 체계와 보안 체계가 상호 배타적인 것은 아니지만, 데이터 전송 프로토콜에 상호 인증 단계를 추가하면 종종 성능 런타임 및 계산 [2]비용이 증가할 수 있습니다.이는 대량의 데이터를 처리할 수 없는 네트워크 시스템이나 새로운 실시간 데이터(예: 위치 추적, 실시간 상태 데이터)[2][10]를 위해 지속적으로 업데이트해야 하는 네트워크 시스템에서 문제가 될 수 있습니다.

따라서 많은 [4]데이터를 저장하는 시스템을 수용하기 위해 경량 속성(를 들어 메모리 설치 공간이 적음)을 갖는 것이 많은 상호 인증 스킴에서 바람직한 특성이 됩니다.많은 시스템이 클라우드 컴퓨팅을 구현하고 있어 대량의 데이터에 빠르게 액세스할 수 있지만 대량의 데이터로 인해 통신 속도가 느려질 수 있습니다.엣지 기반 클라우드 컴퓨팅에서는 서버와 [6]사용자 간의 근접성이 높아 일반 클라우드 컴퓨팅보다 고속이지만 경량 스킴을 사용하면 대량의 데이터를 보다 빠르게 관리할 수 있습니다.상호인증 프로세스 중에 스킴을 경량화하는 솔루션 중 하나는 [4]통신 중에 사용되는 비트 수를 제한하는 것입니다.

복수의 디바이스가 근접한 로컬에서 통신할 수 있는 Device-to-Device(D2D) 통신에만 의존하는 애플리케이션은 서드파티 네트워크를 삭제합니다.이것에 의해, 통신 시간이 [14]단축됩니다.그러나 인증은 여전히 안전하지 않은 채널을 통해 이루어지기 때문에 연구자들은 안전한 체계를 [14]유지하기 위해 상호 인증이 이루어지도록 하는 것이 여전히 중요하다고 생각합니다.

스킴을 사용하면 기밀 [2][12]데이터 보호에 우선순위를 두기 위해 상호 인증을 보장할 때 런타임 또는 스토리지 비용이 절감될 수 있습니다.

패스워드 기반 스킴

검증 프로세스의 일부로 사용자의 입력 암호가 필요한 상호 인증 체계에서는 암호가 컴퓨터가 생성한 인증서가 아니라 사람이 만든 것이기 때문에 해커에 대한 취약성이 더 높습니다.어플리케이션에서는 단순히 사용자가 컴퓨터로 생성된 비밀번호를 사용하도록 요구할 수 있지만, 사람들이 기억하기엔 불편하다.사용자가 만든 비밀번호와 비밀번호를 변경할 수 있는 기능은 어플리케이션을 사용하기 [15]쉽게 하기 위해 중요하기 때문에 많은 스킴이 그 특성을 수용하기 위해 기능합니다.연구자들은 메시지가 관련된 [16]두 당사자만 읽을 수 있기 때문에 사용자 ID와 비밀번호는 여전히 보호되기 때문에 상호 인증을 사용하는 비밀번호 기반 프로토콜이 중요하다고 지적합니다.

다만, 패스워드 베이스 인증의 단점은, 패스워드 테이블이 대량의 메모리 [15]공간을 차지할 가능성이 있다는 것입니다.패스워드 기반 인증 스킴에서 대량의 메모리를 사용하는 경우의1가지 방법은 One-Time Passwords(OTP; 원타임패스워드)를 실장하는 것입니다.OTP는 SMS 또는 이메일을 통해 사용자에게 송신되는 패스워드입니다.OTP는 시간의 영향을 받기 때문에 일정 시간이 지나면 기한이 만료되므로 메모리를 [17]저장할 필요가 없습니다.

멀티팩터 인증

최근에는 패스워드 기반 방식보다 더 높은 수준의 인증을 사용하는 방식이 많이 있습니다.패스워드 기반 인증은 싱글 팩터 인증으로 간주되지만 스마트 카드(2 팩터)[15] 또는 바이오메트릭 기반(3 팩터) 인증 방식이 도입되기 시작했습니다.스마트카드는 구현이 간단하고 인증이 용이하지만 [15]조작될 위험이 있습니다.바이오메트릭스는 바이오메트릭스를 [7]사용할 때 세션 키를 복사하거나 추측하는 것이 더 어렵지만 노이즈가 많은 [17]데이터를 암호화하는 것은 어려울 수 있기 때문에 패스워드 기반 방식보다 더 널리 사용되고 있습니다.이러한 보안 리스크와 제한으로 인해 [7]스킴에서는 추가되는 인증 팩터의 수에 관계없이 상호 인증을 사용할 수 있습니다.

증명서 기반 스킴 및 시스템 응용 프로그램

상호 인증은 종종 사물인터넷(IoT)에서 사용되는 스킴에서 볼 수 있습니다.이 스킴에서는 물리 오브젝트가 인터넷에 통합되어 IP 주소를 [11]통해 통신할 수 있습니다.인증 방식은 데이터 [14]전송과 관련된 여러 유형의 시스템에 적용할 수 있습니다.기계 시스템에서 인터넷의 존재감이 증가함에 따라 특히 가볍고 낮은 계산 비용을 필요로 하는 경우, 많은 사용자, 객체 및 서버에 대한 효과적인 보안 체계를 작성하는 것이 어려워질 수 있습니다.단말기는 패스워드 기반 인증 대신 증명서를 사용하여 서로의 ID를 확인합니다.

무선 네트워크

상호 인증은 [12][18]송신자와 수신자를 검증한 후 무선 주파수를 통한 데이터 전송이 안전한 무선 네트워크 방식에서 충족될 수 있습니다.

Radio Frequency Identification(RFID; 무선 주파수 식별) 태그는 일반적으로 객체 검출에 사용되며,[19] 많은 제조원이 자동화를 위해 창고 시스템에 구현하고 있습니다.이를 통해 인벤토리를 유지하고 개체를 추적할 수 있습니다.그러나 클라우드 서버에 데이터를 전송하는 RFID 태그를 사용하여 시스템 내의 항목을 추적하면 추적해야 하는 [19]디지털 요소가 많아지기 때문에 보안 위험이 증가할 가능성이 높아집니다.RFID 태그 데이터를 안전하게 유지하고 조작할 [19]수 없도록 하기 위해 RFID 태그, 태그 리더 및 이 데이터를 저장하는 클라우드 네트워크 간에 3가지 상호 인증을 수행할 수 있습니다.

마찬가지로, 태그에 지정된 판독기를 할당하는 대체 RFID 태그 및 리더 시스템이 추가 보안과 [20]낮은 메모리 비용을 위해 제안되었습니다.모든 태그 리더를 하나의 엔티티로 간주하지 않고 특정 태그만 읽을 수 있습니다.이 방법을 사용하면 리더가 침해되어도 시스템 전체에 영향을 주지 않습니다.개별 독서자는 상호 인증 중에 특정 태그와 통신합니다. 상호 인증은 독서자가 인증 프로세스에 동일한 개인 키를 사용하기 때문에 일정한 시간에 실행됩니다.

환자의 건강 데이터를 원격으로 모니터링하는 많은 e-Healthcare 시스템은 무선 [12]주파수를 통해 데이터를 전송하는 무선 신체 영역 네트워크(WBAN)를 사용합니다.이는 모니터링 중에 방해를 받아서는 안 되는 환자에게 유익하며 의료 종사자의 작업 부하를 줄이고 보다 실제 작업에 집중할 수 있도록 합니다.그러나 원격 의료 데이터 추적 사용에 대한 의료 제공업체와 환자의 큰 우려 사항은 민감한 환자 데이터가 보안되지 않은 [9]채널을 통해 전송되므로 의료 기관 영역 네트워크 사용자(환자), 의료 서비스 공급자(HSP) 및 신뢰할 수 있는 제3자 간에 인증이 이루어진다는 것입니다.

클라우드 기반 컴퓨팅

e-헬스케어 클라우드는 원격으로 [2]수집된 환자 데이터를 저장하는 또 다른 방법입니다.클라우드는 의료 정보와 같은 많은 양의 데이터를 저장하는 데 유용합니다. 이러한 데이터는 필요할 때마다 많은 장치에서 액세스할 수 있습니다.텔레케어 의료정보시스템(TMIS)은 의료환자가 원격으로 의료서비스를 받을 수 있는 중요한 방법입니다.상호인증시스템을통해데이터보안을확보할수있습니다.[14]블록체인은 메인 mediBchain 노드로 인증하고 환자의 [21]익명성을 유지함으로써 데이터베이스에 대해 사용자를 상호 인증하기 위해 제안된 방법 중 하나입니다.

포그 클라우드 컴퓨팅은 대량의 데이터를 처리할 수 있는 네트워킹 시스템이지만 컴퓨팅 비용과 메모리 [22]비용에 대해서는 여전히 한계가 있습니다.모바일 엣지 컴퓨팅(MEC)은 개량된 경량 안개 클라우드 컴퓨팅 네트워킹 시스템으로,[22] 위치 기반 데이터를 중심으로 하는 의료 기술에도 사용할 수 있습니다.위치 추적에 필요한 물리적 범위가 넓기 때문에 5G 네트워크는 데이터를 클라우드 가장자리에 전송하여 데이터를 저장할 수 있습니다.환자의 건강 데이터를 추적하는 스마트 워치와 같은 애플리케이션은 환자가 [6]바이탈에 부정적인 변화를 보일 경우 가장 가까운 병원에 전화하는 데 사용할 수 있습니다.

포그 노드 네트워크는 차량 자동화로 구현되어 차량과 주변 상태에 대한 데이터를 안전하게 유지할 수 있습니다.포그노드와 차량을 인증함으로써 차량 핸드오프가 안전한 프로세스가 되고 [10]해커로부터 차량 시스템이 안전해진다.

머신 대 머신 검증

시스템의 일부로서 인간 유저가 필요 없는 시스템의 상당수는, 당사자간에 상호 인증하는 프로토콜도 갖추고 있습니다.무인항공기(UAV) 시스템에서는 사용자 [2]인증이 아닌 플랫폼 인증이 이루어집니다.차량 통신 중 상호 인증은 한 차량의 시스템이 침해되는 것을 방지하며, 이는 전체 시스템에 부정적인 영향을 미칠 수 있습니다.예를 들어 농업 작업이나 화물 수송에 드론을 사용할 수 있지만, 드론이 한 대 뚫리면 시스템 전체가 [2]붕괴될 가능성이 있다.

참고 항목

외부 링크

레퍼런스

  1. ^ a b Chen, Yulei; Chen, Jianhua (2020). "A secure three-factor-based authentication with key agreement protocol for e-Health clouds". The Journal of Supercomputing. 77 (4): 3359–3380. doi:10.1007/s11227-020-03395-8. ISSN 0920-8542. S2CID 221146362.
  2. ^ a b c d e f g h Chen, Liquan; Qian, Sijie; Lim, Ming; Wang, Shihui (2018). "An enhanced direct anonymous attestation scheme with mutual authentication for network-connected UAV communication systems". China Communications. 15 (5): 61–76. doi:10.1109/CC.2018.8387987. S2CID 49333360.
  3. ^ Sannasiddappa, Thippeswamy H.; Costabile, Adele; Gibson, Glenn R.; Clarke, Simon R. (2011). "The Influence of Staphylococcus aureus on Gut Microbial Ecology in an in Vitro Continuous Culture Human Colonic Model System". PLOS ONE. 6 (8): e23227. Bibcode:2011PLoSO...623227S. doi:10.1371/journal.pone.0023227. PMC 3153491. PMID 21858036.
  4. ^ a b c Jan, Mian Ahmad; Khan, Fazlullah; Alam, Muhammad; Usman, Muhammad (2019). "A payload-based mutual authentication scheme for Internet of Things". Future Generation Computer Systems. 92: 1028–1039. doi:10.1016/j.future.2017.08.035. hdl:10453/117906. S2CID 57380203.
  5. ^ Amin, Ruhul; Islam, SK Hafizul; Vijayakumar, Pandi; Khan, Muhammad Khurram; Chang, Victor (2018). "A robust and efficient bilinear pairing based mutual authentication and session key verification over insecure communication". Multimedia Tools and Applications. 77 (9): 11041–11066. doi:10.1007/s11042-017-4996-z. S2CID 13674284.
  6. ^ a b c d e Chen, Chin-Ling; Chiang, Mao-Lun; Hsieh, Hui-Ching; Liu, Ching-Cheng; Deng, Yong-Yuan (2020). "A Lightweight Mutual Authentication with Wearable Device in Location-Based Mobile Edge Computing". Wireless Personal Communications. 113: 575–598. doi:10.1007/s11277-020-07240-2. S2CID 218934756.
  7. ^ a b c Sahoo, Shreeya Swagatika; Mohanty, Sujata; Majhi, Banshidhar (2020). "Improved Biometric-Based Mutual Authentication and Key Agreement Scheme Using ECC". Wireless Personal Communications. 111 (2): 991–1017. doi:10.1007/s11277-019-06897-8. S2CID 208125038.
  8. ^ a b "Mutual TLS: Securing Microservices in Service Mesh". The New Stack. 2021-02-01. Retrieved 2021-02-20.
  9. ^ a b Sasikaladevi, N.; Malathi, D. (2019). "Energy Efficient Lightweight Mutual Authentication Protocol (REAP) for MBAN Based on Genus-2 Hyper-Elliptic Curve". Wireless Personal Communications. 109 (4): 2471–2488. doi:10.1007/s11277-019-06693-4. S2CID 204084523.
  10. ^ a b c Dewanta, Favian; Mambo, Masahiro (2019). "A Mutual Authentication Scheme for Secure Fog Computing Service Handover in Vehicular Network Environment". IEEE Access. 7: 103095–103114. doi:10.1109/ACCESS.2019.2931217. S2CID 199509951.
  11. ^ a b c Melki, Reem; Noura, Hassan N.; Chehab, Ali (2020). "Lightweight multi-factor mutual authentication protocol for IoT devices". International Journal of Information Security. 19 (6): 679–694. doi:10.1007/s10207-019-00484-5. S2CID 209340123.
  12. ^ a b c d e f Narwal, Bhawna; Mohapatra, Amar Kumar (2020). "SEEMAKA: Secured Energy-Efficient Mutual Authentication and Key Agreement Scheme for Wireless Body Area Networks". Wireless Personal Communications. 113 (4): 1985–2008. doi:10.1007/s11277-020-07304-3. S2CID 216529906.
  13. ^ <tim@dierks.org>, Tim Dierks. "The Transport Layer Security (TLS) Protocol Version 1.2". tools.ietf.org. Retrieved 2016-04-22.
  14. ^ a b c d g. Lopes, Ana Paula; Gondim, Paulo R. L. (2020). "Mutual Authentication Protocol for D2D Communications in a Cloud-Based E-Health System". Sensors. 20 (7): 2072. Bibcode:2020Senso..20.2072G. doi:10.3390/s20072072. PMC 7181216. PMID 32272675.
  15. ^ a b c d Karuppiah, Marimuthu; Saravanan, R. (2015). "Cryptanalysis and an Improvement of New Remote Mutual Authentication Scheme using Smart Cards". Journal of Discrete Mathematical Sciences and Cryptography. 18 (5): 623–649. doi:10.1080/09720529.2015.1013693. S2CID 62591965.
  16. ^ Karuppiah, Marimuthu; Das, Ashok Kumar; Li, Xiong; Kumari, Saru; Wu, Fan; Chaudhry, Shehzad Ashraf; Niranchana, R. (2019). "Secure Remote User Mutual Authentication Scheme with Key Agreement for Cloud Environment". Mobile Networks and Applications. 24 (3): 1046–1062. doi:10.1007/s11036-018-1061-8. S2CID 64720667.
  17. ^ a b Sharma, Mohit Kr; Nene, Manisha J. (2020). "Two‐factor authentication using biometric based quantum operations". Security and Privacy. 3 (3). doi:10.1002/spy2.102.
  18. ^ Choudhary, Karanjeet; Gaba, Gurjot Singh; Butun, Ismail; Kumar, Pardeep (2020). "MAKE-IT—A Lightweight Mutual Authentication and Key Exchange Protocol for Industrial Internet of Things". Sensors. 20 (18): 5166. Bibcode:2020Senso..20.5166C. doi:10.3390/s20185166. PMC 7570918. PMID 32927788.
  19. ^ a b c Anandhi, S.; Anitha, R.; Sureshkumar, Venkatasamy (2020). "An Authentication Protocol to Track an Object with Multiple RFID Tags Using Cloud Computing Environment". Wireless Personal Communications. 113 (4): 2339–2361. doi:10.1007/s11277-020-07330-1. S2CID 219070999.
  20. ^ Guo, Fuchun; Mu, Yi; Susilo, Willy; Varadharajan, Vijay (2017). "Privacy-Preserving Mutual Authentication in RFID with Designated Readers". Wireless Personal Communications. 96 (3): 4819–4845. doi:10.1007/s11277-017-4430-x. S2CID 207264759.
  21. ^ Liu, Xiaoxue; Ma, Wenping; Cao, Hao (2019). "MBPA: A Medibchain-Based Privacy-Preserving Mutual Authentication in TMIS for Mobile Medical Cloud Architecture". IEEE Access. 7: 149282–149298. doi:10.1109/ACCESS.2019.2947313. S2CID 204863294.
  22. ^ a b Liu, Xiaoxue; Ma, Wenping; Cao, Hao (2019). "NPMA: A Novel Privacy-Preserving Mutual Authentication in TMIS for Mobile Edge-Cloud Architecture". Journal of Medical Systems. 43 (10): 318. doi:10.1007/s10916-019-1444-9. PMID 31522286. S2CID 202570185.