講演抄録/キーワード |
講演名 |
2006-01-20 14:55
ワンタイムパスワード認証方式の検討 辻 貴介・○清水明宏(高知工科大) |
抄録 |
(和) |
インターネットやモバイル通信が普及し,個人情報を用いたアプリケーションが開発されている.そのようなアプリケーションにおいて第三者によるなり済ましを防ぐためパスワード認証が必要である.インターネット上の通信情報は容易に盗聴され,再利用されうる.それゆえパスワード認証方式は再利用の脅威がある.ワンタイムパスワード認証方式は毎回認証情報を変えることでこの脅威を解決している.なかでもワンタイムパスワード認証方式SAS-2は安全で処理コストが低い.しかし,既存の方式は認証者側の認証情報を用いた攻撃 (stolen-verifier attack) の脅威にさらされている.本検討では,この攻撃を解決する方式の提案を行う.さらに,提案方式は認証者側に予め証明書を保存しておくことで通信情報の偽造を検出することができる. |
(英) |
Internet and mobile communication applications for managing personal information have been developing. Those application systems need password authentications to protect users' right from attacker. Communication data through the Internet can be intercepted and can be replayed. Password authentication schemes suffer from vulnerability to the replay attack, and one-time password authentication schemes that change the verifiers every session have been proposed. For mobile communications and internet protocols, a one-time password authentication protocol SAS-2(Simple And Secure password authentication protocol, version 2) has been proposed. However, the SAS-2 suffers from vulnerability to the stolen-verifier attack, in which the attacker steals user's verifier from the server and impersonates the user. Here, the stolen-verifier attack is discussed and an improved method is proposed. Moreover, the improved method solves forgery attack by using the stored certificate. |
キーワード |
(和) |
認証 / ワンタイムパスワード / stolen-verifier attack / 個人情報 / モバイル通信 / / / |
(英) |
authentication / one-time password / stolen-verifier attack / personal information / mobile communication / / / |
文献情報 |
信学技報, vol. 105, 2006年1月. |
資料番号 |
|
発行日 |
2006-01-13 (OIS) |
ISSN |
Print edition: ISSN 0913-5685 |
PDFダウンロード |
|