Authentication Method of Applying the Password Hashing based on the Speaker Identification in Mobile Device

Presenter Seongjin HwangHgoon@seoultech.ac.kr

Contents

• Introduce• Purpose• Related Research• Suggest Model• Conclusion

2

Introduce

Introduce

• 스마트폰 보급률• 스마트폰의 하드웨어 발전• 스마트폰의 음성인식 기술

4

Introduce

• 스마트폰 보급률• 스마트폰의 하드웨어 발전• 스마트폰의 음성인식 기술

2013년 10월 기준으로 국내 스마트폰 가입자가 3,679만 4,014명으로보급률이 70%에 근접.특히, 국내 LTE 가입자 비율은 전세계 1위에 달한다.

5

Introduce

• 스마트폰 보급률• 스마트폰의 하드웨어 발전• 스마트폰의 음성인식 기술

삼성 갤럭시S5

• 디스플레이 5.1인치• 해상도 1920x1080• 카메라 1600만 화소• CPU 2.5GHz 쿼드코어 등..

6

Introduce

• 스마트폰 보급률• 스마트폰의 하드웨어 발전• 스마트폰의 음성인식 기술

스마트폰에서 사용자의 편의를 위해 음성인식 기술을 제공하고 있다.아이폰에서는 시리(Siri), 구글에서는 나우(Now)를 대표적인 예로 들 수 있다.이 서비스들은 사용자의 목소리의 음성을 분석하여 사용자의 명령에 따라서 검색, 메모, 통화, 메시지 전송 등 스마트폰 내의 기능들을 수행하게 된다.

7

Purpose

따라서 본 연구의 목적으로

사용자에게 편의를 제공함과 동시에 스마트폰 내의 정보들을 안전하게보호할 수 있는 방법에 대해서 연구하였다.

8

Related Research

Related Research

• 화자인식기술(Speaker Identification)

음성인식과 화자인식의 차이는?

먼저 기본적으로 ‘사람의 목소리를 기반으로 하는 서비스’ 인점에 대해서는 두 기술의 공통점이다.

하지만 음성인식(Speech Recognition )이란 사람이 말하는 음성 언어를 컴퓨터가해석해 그 내용을 문자 데이터로 전화하는 처리를 말한다. 말 그대로 말하는 사람의 음성언어를 분석해서 그 내용을 파악하는 기술이다.

10

Related Research

• 화자인식기술(Speaker Identification)

반면 화자인식(Speaker Recognition)은 목소리의 특성을 이용하여누가 말하고 있는지를 식별하는 기술이다.

사람마다 음성기관에 따라서 목소리의 특징을 갖게 된다. 사람의 음성기관의 특성에 따라 목소리가 달라지고 또한 개개인의 발성 습관에 영향을받게 되어 목소리의 구분이 가능하게 된다.

Ex) 50쌍의 일란성 쌍둥이의 실험 결과11

Related Research

• 화자인식기술(Speaker Identification)

화자식별 화자검증 화자검출

12

Related Research

• 화자인식기술(Speaker Identification)

화자식별 화자검증 화자검출

다수의 후보들 중에서 한 명의 화자를 선택하는 것이다.즉, 주어진 음성이 등록된 화자들 중 한 명의 것이라고 가정한다.이 것은 전화 상에서 사용자 맞춤 서비스 등을 제공하고자 할 때에 적용될 수 있다.

13

Related Research

• 화자인식기술(Speaker Identification)

화자식별 화자검증 화자검출

주어진 음성이 자신이 주장하는 화자의 것인지를 검증하는 것이다. 간단히 설명하면 어딘가에 로그인 할 때에 ID와 비밀번호를 입력하는 것과 같이 ID는자신의 이름이 되고 비밀번호가 자신의 음성이 되는 것이다.

14

Related Research

• 화자인식기술(Speaker Identification)

화자식별 화자검증 화자검출

특정한 화자를 찾아내는 것이다.화자검증과 비슷하지만 여기서는 우리가 원하는 화자가 나올 경우를 찾아내게 된다. 화자검출은 장문의 음성이나 통화에서 우리가 원하는 화자가 얘기를 하는지 않하는지를 찾아낼 때 사용할 수 있다.

15

Related Research

• 화자인식기술(Speaker Identification)

텍스트-의존 텍스트-독립

16

Related Research

• 화자인식기술(Speaker Identification)

텍스트-의존 텍스트-독립

텍스트가 등록과 검증 과정에서 꼭 똑같아야 한다면 이는 텍스트-의존 인식 방법이라부른다. 텍스트-의존 시스템에서 프롬프트는 모든 화자에게 보편적인 단어일 수도 있고 유일한 단어일 수도 있다.

17

Related Research

• 화자인식기술(Speaker Identification)

텍스트-의존 텍스트-독립

화자와의 관계가 없다면 아주 적은 양의 과정을 필요로 하기 때문에 화자 식별에서 주로 사용된다. 텍스트-독립에서는 등록 과정과 테스트 과정에서의 텍스트는 서로 다르다.

18

Related Research

• 화자인식기술(Speaker Identification)

MFCC(Mel-frequency cepstral coefficient)

가장 기본적이고 음성인식에도 널리 사용되는 음성의 특성화자의 목소리를 주파수로 받아들여 그 값을 각 프레임으로 나누어 파워 스펙트럼에나타내어 계산한 뒤, mel-filterbank를 적용하고, DCT(Discrete Cosine Transform)로 계수 값을 구해서 델타 연산을 통해 화자를 인식하는 방법이다.

이 때 mel-scale을 가져올 때에는 20~40ms 의 프레임 크기의 시간 동안의 값만 가져와야지만 정확한화자 인식이 가능하다.

19

Related Research

• Password Hashing

일반적으로 패스워드는 단방향 해시함수(one-way hash function)의 다이제스트(digest)의 형태로 저장한다.

단방향 해시 함수는 수학적인 연산을 통해 원본 메시지를 변환하여 암호화된 메시지인 다이제스트를 생성한다.

원본 메시지를 알면 암호화된 메시지를 구하기는 쉽지만 암호화된 메시지로는 원본 메시지를 구할 수 없어여 하며 이를 '단방향성'이라고 한다.

20

Related Research

• Password Hashing

예를 들어 사용자의 패스워드가 "hunter2"라면 이 문자열을 흔히 사용하는 해시알고리즘인 SHA-256으로 인코딩하여 아래와 같은 값을 얻을 수 있다.

"hunter3"라는 값의 SHA-256 다이제스트는 아래와 같으며 위의 "hunter2"와는완전히 달라진 것을 확인할 수 있다.

이 특징을 avalanche 효과라고 하며, 사용자의 원본 패스워드를 추론하기 어렵게 만드는 중요한 요소이다.

F52fbd32b2b3b86ff88ef6c490628285f482af15ddcb29541f94bcf526a3f6c7

Fb8c2e2b85ca81eb4350199faddd983cb26af3064614e737ea9f479621cfa57a

21

Related Research

• Password Hashing

단방향 해시 함수의 문제점

대부분 웹 사이트에서는 SHA-256과 같은 해시 함수를 사용해 패스워들 암호화해 저장하고 값을 비교하는 것만으로 충분한 암호화 메커니즘을 적용했다고 생각하지만,실제로는 다음과 같은 두 가지 문제점이 있다.

인식 가능성(recognuzability)속도(speed)

22

Related Research

• Password Hashing

인식 가능성(recognuzability)

PW모음Hash 값모음

Hashing

동일한 메시지가 언제나 동일한 다이제스트를 갖는다면, 공격자가 전처리(pre-computing)된 다이제스트를 가능한 한 많이 확보한 다음 이를 탈취한다이제스트와 비교해 원본 메시지를 찾아내거나 동일한 효과의 메시지를 찾을 수 있다.

23

Related Research

• Password Hashing

속도(speed)

해시 함수는 암호학에서 널리 사용되지만 원래 패스워드를 저장하기 위해서 설계된 것이 아니라짧은 시간에 데이터를 검색하기 위해 설계된 것이다.

해시 함수의 빠른 처리 속도로 인해 공격자는 매우 빠른 속도로 임의의 문자열의 다이제스트와해킹할 대상의 다이제스트를 비교할 수 있다.이런 방식으로 패스워드를 추측하면 패스워드가 충분히 길거나 복잡하지 않은 경우에는 그리 긴시간이 걸리지 않는다.

24

Related Research

• Password Hashing

단방향 해시 함수 보완하기

솔팅(salting)키 스트레칭(key stretching)

25

Related Research

• Password Hashing

솔팅(salting)

솔트(salt)는 단방향 해시 함수에서 다이제스트를 생성할 때 추가되는

바이트 단위의 임의의 문자열이다. 그리고 이 원본 메시지에 문자열을 추가하여 다이제스트를 생성하는 것을 솔팅(salting)이라 한다.

26

Related Research

• Password Hashing

솔팅(salting)

예를 들어 다음과 같이 "redfl0wer"에 솔트인"8zff4fgflgfd93fgdl4fgdgf4mlf45p1"를 추가해 다이제스트를 생성할 수 있다.

이 방법을 사용하면, 공격자가 "redfl0wer"의 다이제스트를 알아내더라도솔팅 된 다이제스트를 대상으로 패스워드 일치 여부를 확인하기 어렵다.또한 사용자 별로 다른 솔트를 사용한다면 동일한 패스워드를 사용하는 사용자의 다이제스트가 다르게 생성되어 인식 가능성 문제가 크게 개선된다.

8zff4fgflgfd93fgdl4fgdgf4mlf45p1 redfl0wer DIGEST

Hash funtion

(PASSWORD)(SALT)

27

Related Research

• Password Hashing

키 스트레칭(key stretching)

입력한 패스워드의 다이제스트를 생성하고, 생성된 다이제스트를 입력 값으로 하여 다이제스트를 생성하고, 또 이를 반복하는 방법으로 다이제스트를 생성할 수도 있다. 이렇게 하면 입력한 패스워드를 동일한 횟수만큼 해시 해야만 입력한 패스워드의 일치 여부를확인할 수 있다. 이것이 기본적인 키 스트레칭 과정이다.

HASHFUNTION

SALT PASSWORD

HASH RESULT

N

28

Suggest Model

Suggest Model

화자인식 기반 패스워드 해싱을 적용한 인증 모델 프레임워크

30

Suggest Model

사용자 등록단계

1. 사용자 본인등록2. 임의의 소리 발성3. MFCC에 의한 특정값 분석(시퀀스 값 추출)4. (기기고유번호|특정값|Salt) 값을 해싱5. Salt 값과 해싱된 값을 데이터 베이스에 저장

사용자 인증단계

1. 사용자 인증2. 임의의 소리 발성3. MFCC에 의한 특정값 분석(시퀀스 값 추출) – 목소리 주파수 중 2부분 추출을 통해 2회 작업

4. (기기고유번호|특정값|Salt) 값을 해싱5. 기존에 저장되어 있던 해싱 값과 두 값을 비교6. 두 값중 하나이상 같으면 인증확인 및 엑세스 허용

31

Conclusion

Conclusion

화자 인증을 통해 사용자가 쉽고 정확한 인증이 가능하다. 패스워드 해싱을 통해 기존 스마트폰의 무차별 대입 공격에 대한 취약점을 보완하여 스마트폰 내의 정보를 안전하게 한다.

배경 소음으로 부터 화자인식을 위해 음성강화(speech enhancement)를 할 때발생하는 오차 범위에 감소를 위한 연구가 필요하다.

화자인식을 통한 정확한 인증과 안전성이 검증된다면 다양한 환경의 사용자 인증부분에서 활용되어 질 것으로 보인다.

33

Q & A

Thank you