Büşra ÖZDENİZCİ KÖSE, Onur BÜK, Hacı Ali MANTAR, Vedat COSKUN, Utku ERDEMİR

2016

Yeni Bir Güvenlik Katmanı Ekleyerek Mobil Hizmet Kullanıcısı Kimliğinin Güvenliğini Sağlama

Günümüzde, servis sağlayıcılar için operasyonel verimliliği artırmak ve kullanıcılar için web veya mobil servislerde daha kolay bir kimlik doğrulama yöntemi sağlamak için çeşitli ortak kimlik sistemleri (örn. Facebook Login, Google Connect, Apple ID) kullanılmaktadır. Tüm ortak kimlik sistemleri, servis sağlayıcıya kullanıcı kimliğini güvenli bir şekilde kanıtlarken kesintisiz ve sorunsuz kullanıcı deneyimi sunmaya odaklanır. Özellikle akıllı telefonlarda, yüksek güvenlik seviyesine sahip ortak kimlik sistemlerinin kullanılması daha önemli bir gereklilik haline gelmektedir. Bu bağlamda, MNO'lar (Mobil Şebeke Operatörleri), güçlü GSM yeteneklerine sahip oldukları için ortak kimlik hizmetleri sağlamada önemli bir aktör olarak kabul edilmektedir. Şu an, servis sağlayıcıların mobil uygulamalarında kimlik doğrulama için kullanılan ve MNO’lar tarafından sağlanan OpenID Connect ve Mobile Connect standartlarına dayalı birçok kimlik yönetimi çözümünü görmek mümkündür. Fakat mevcut çözümler genellikle düşük düzeyde güvence (LoA2 veya LoA3) sağlamaktadır. Katma değerli mobil hizmetlerdeki gelişmeler ve artan güvenlik gereksinimleri ile, servis sağlayıcılar ve kullanıcılar için daha yüksek düzeyde güvence (LoA4), güçlü kimlik doğrulama ve inkar etmeme hizmetleri sağlayacak ortak kimlik sistemlerine ihtiyaç vardır. Bu çalışma, Mobile Connect ve OpenID Connect standartlarına dayanan, mobil hizmetler için birçok faktörlü kimlik doğrulama yönteminin geliştirilmesini ve uygulanmasını sunmaktadır. Tasarlanan model, akıllı telefondaki hassas mobil hizmetlere erişmek için kullanıcının üç kimlik -bilgi, sahiplik, biyometrik- faktörünün kullanımını içerir. Fonksiyonel gereksinimlere göre sistem geliştirme ve test çalışmaları sistematik olarak sunulmuştur. MNO'lar tarafından önerilen modelin gerçekleştirilmesi ve hizmet sunulması, gelecekte yüksek düzeyde güvence gerektiren mobil hizmetlerin geliştirilmesinde önemli bir rol oynayabilir.
Anahtar Kelimeler:

OpenID Connect, Mobile Connect, Kimlik, LoA4, Çok Faktörlü Kimlik Doğrulama

Protecting Mobile Service User Identity by Adding Additional Security Layer

Today, various common identity systems (eg Facebook Login, Google Connect, Apple ID) are used to improvee operational efficiency for service providers and provide an easier authentication method in web or mobile services for users. Almost all common identity systems focus on delivering seamless user experience while proving user identity securely to the service provider. In particular, the use of common identity systems with a high security level is becoming a more important requirement on smartphones. In this context, MNOs (Mobile Network Operators) are considered as an important actor in providing common identity services, as they have strong GSM capabilities. Currently, it is possible to see many identity management solutions -based on OpenID Connect and Mobile Connect standards- from MNOs which are used for authentication in mobile applications of service providers. However, recent solutions generally provide low level of assurance (i.e., LoA2 or LoA3). With advancements in value-added mobile services and increasing security requirements; there is a need for common identity systems that provide higher levels of assurance (i.e., LoA4), strong authentication and non-repudiation services for service providers and users. This study presents the development and implementation of a multi-factor authentication method for mobile services based on Mobile Connect and OpenID Connect standards. The designed model includes the usage of three identity -knowledge, ownership, biometric- factors of the user in order to access sensitive mobile services on the smartphone. The system development and testing studies were systematically presented based on the functional requirements. The realization and deployment of the proposed model by MNOs could play an important role in the development of mobile services that require a high level of assurance in the future.
Keywords:

OpenID Connect, Mobile Connect, Identity, LoA4, Multi-Factor Authentication,

PDF

___

  • Apple Sign-In (2020). https://developer.apple.com/sign-in-with-apple/
  • Facebook Login (2020). https://developers.facebook.com/docs/facebook-login/
  • Turkcell (2020). Fast Login. https://hizligiris.turkcell.com.tr/en/fast-login/what-is-fast-login
  • Google Sign-In (2020). https://developers.google.com/identity
  • GSMA (2020). Mobile Connect, https://www.gsma.com/identity/mobile-connect.
  • Harini, N., & Padmanabhan, T. R. (2013). 2CAuth: A new two factor authentication scheme using QR-code. International Journal of Engineering and Technology, 5(2), 1087-1094.
  • ISO/IEC 29115 (2013). Information technology-Security techniques-Entity authentication assurance framework.
  • Ozdenizci Kose, B., Buk, O., Mantar, H. A., & Coskun, V. (2020, October). TrustedID: An Identity Management System based on OpenID Connect Protocol. In 2020 4th International Symposium on Multidisciplinary Studies and Innovative Technologies (ISMSIT) (pp. 1-6). IEEE.
  • Mobile Connect (2020). https://mobileconnect.io/
  • Hardt, D. (2012). The OAuth 2.0 authorization framework (p. 6749). RFC 6749, October.
  • Ometov, A., Bezzateev, S., Mäkitalo, N., Andreev, S., Mikkonen, T., & Koucheryavy, Y. (2018). Multi-factor authentication: A survey. Cryptography, 2(1), 1.
  • OpenID Connect (2014). http://openid.net/connect/
  • Orange Developer (2016). Mobile Connect Technical Guide, https://developer.orange.com/tech_guide/mobile-connect/
  • Orange Developer (2017). OpenID Connect Technical Guide, https://developer.orange.com/tech_guide/openid-connect-1-0/
  • Petsas, T., Tsirantonakis, G., Athanasopoulos, E., & Ioannidis, S. (2015, April). Two-factor authentication: is the world ready? Quantifying 2FA adoption. In Proceedings of the eighth european workshop on system security (pp. 1-7).
  • Schneier, B. (2005). Two-factor authentication: too little, too late. Communications of the ACM, 48(4), 136.
  • Wang, R., Chen, S., & Wang, X. (2012, May). Signing me onto your accounts through facebook and google: A traffic-guided security study of commercially deployed single-sign-on web services. In 2012 IEEE Symposium on Security and Privacy (pp. 365-379).
Avrupa Bilim ve Teknoloji Dergisi-Cover
  • Yayın Aralığı: Yılda 4 Sayı
  • Başlangıç: 2013
  • Yayıncı: Osman Sağdıç
Arşiv
Sayıdaki Diğer Makaleler

İş Sağlığı Ve Güvenliği Kanunu Ve İşyerlerinde Acil Durumlar Hakkında Yönetmelik Kapsamında İşverenin Yükümlülüğü

Mustafa Kağan İZMİRLİ, Zeynep Feride OLCAY, Ahmet Ebrar SAKALLI

Epilepsi EEG Verilerinin Makine Öğrenmesi Teknikleriyle Sınıflandırılması

Beyda ÇAĞLIYAN, Utku KÖSE

Klinik Kimya Laboratuvarında Acil Durum Testlerinde Plazma Tüpü Kullanımı

Gülçin ŞAHİNGÖZ ERDAL, Nilgün IŞIKSAÇAN, Pinar KASAPOĞLU, Asuman GEDİKBAŞI, Murat KOŞER

Betonarme Yapıların Güçlendirilmesinde Kullanılan FRP Kompozitin Yapısal Performansa Etkisi

Müslüm Murat MARAS

Termiyonik elektron tabancası tasarımı ve prototip üretimi

Hakan CETİNKAYA, Aydın ÖZBEY, Alperen YÜNCÜ

Türkiye’nin Orta Fırat Bölümü’nün Bulanık Mantık Yaklaşımı ve Aylık Aydeniz Metodu Kullanılarak Kuraklık Analizi

Emre TOPÇU

Su Bazlı Sondaj Sıvılarının Yapısal ve Isıl Kararlılığı Üzerine Deneysel Bir Çalışma

Ali ETTEHADİ

Naylon ve Polyester Kumaş Üzerine Sublimasyon Transfer Baskıda Sıcaklık ve Süre Değişkeninin Baskı Kalitesine Etkisi

Meral ÖZOMAY, Zafer ÖZOMAY

Bazı Tahıl Benzeri Ürünlerin Besin İçeriği ve Gıda Endüstrisinde Kullanımı

Esra DOGU BAYKUT

Geri Dönüştürülmüş Kauçuk Parçacıkları ve Çoğul Duvarlı Karbon Nanotüpler ile Modifiye Edilmiş E-cam/Epoksi’nin Karakterizasyonu

Ali BALBAY, Yasin YILMAZ, Şenay BALBAY