Mobil Kullanıcılar için Konum Tabanlı Rastlantısal Tek Kullanımlık Şifreler

Elektronik hesapların hızla arttığı günümüzde kimlik doğrulama en önemli güvenlik meselelerinden biri olarak ortaya çıkmıştır. Konu üzerinde pek çok çalışma yapılmış olup, çoğu etkinliği, yaygınlığı ve düşük maliyeti sebebiyle çözümlerinde mobil cihazların kullanıldığı kimlik doğrulama tasarımlarını tercih etmiştir. Şüphesiz, mobil cihazlar yaşamımızın vazgeçilmez bir parçası durumundadır. Sahip oldukları yetenekler her geçen gün artmaktadır. Şu an itibariyle piyasada yer alan mobil cihazların çoğu Küresel Konumlama Sistemi (GPS) ile donatılmış durumdadır. Bu teknoloji sayesinde mobil cihazın dünya üzerindeki konumu anlık olarak elde edilebilmektedir. Bu çalışmada, kimlik doğrulama zorunluluğu olan ve kullanıcısı için maddi ve manevi değer arz eden her türlü online hesaba erişirken kullanılabilecek konum tabanlı rastlantısal bir Tek Kullanımlık Şifre (TKŞ) tasarımı önerilmiş ve simülasyon ortamında bir uygulama örneği başarıyla gerçekleştirilmiştir. Önerilen tasarımda, biri hizmet alan GPS teknolojisine sahip kullanıcının mobil cihazı, diğeri hizmet veren sunucu donanımı üzerinde çalışan iki farklı yazılım modülü geliştirilmiştir. Bu tasarımla birlikte kullanıcı doğrulamasında konum bilgisi de bir parametre olarak kullanılmıştır. Kolayca her iki tarafa da kurulabilen yazılım modülleri sayesinde, kalıcı şifreler kullanan kimlik doğrulama tasarımlarının sebep olduğu güvenlik açıkları giderilmiştir. Kullanıcı konum bilgisinin bir etken olarak TKŞ üretimine dâhil edilmesi kimlik doğrulama sistemi için daha güvenli ve daha uygun bir özellik olarak tasarımda yerini almıştır.

– Recently, user authentication has emerged as one of the most important security issues as a result of the enormous growth of the electronic accounts.A lot of work has been made on the subject, and most of that work has preferred authentication scheme using mobile devices for their own solutions. No doubt, mobile devices have become an indispensable part of our daily lives. Their capabilities are increasing every day. As of now, most of mobile devices on the market is equipped with the Global Positioning System (GPS). The real-time location data of a mobile device can be obtained thanks to this technology. In this paper, a location-based random one time passwords scheme are proposed and an implementation was carried out successfully. When accessing the online accounts that require to be made authentication, proposed scheme will provide high reliability for authentication process. Two separate software modules have been developed. One of those runs over the user's mobile device that has GPS technology and other one runs over the authentication server.With this proposed scheme, location information has been used as a parameter in the process of user authentication.Thanks to software modules that can be installed easily on both sides, security vulnerabilities that are caused by permanent passwords have been fixed.User location information that is included as a factor in the production of OTP has taken part in the proposed scheme for authentication system as a safer and more convenient feature.

Keywords:

– One time password, SHA-1 Hash algorithm authentication, GPS,

PDF

___

[1] I. Getting, The global positioning system, IEEE Spectrum (1993) 36-47.
[2] K. Bıçakçı, Kullanışlı Güvenlik için Temel Prensipler. ISCTURKEY, pp.102-107, 2010.
[3] S. Wakid, Entity Authentication Using Public Key Cryptography. FIPS Pub 196, National Inst Of Standards And Technology Gaithersburg Md, 1997.
[4] D. Whitefield, M. Hellman, New directions in cryptography. IEEE Transactions on Information Theory, vol. 22, Issue 6, pp. 644-654, Nov. 1976.
[5] A. Cleeff, W. Pieters, R. Wieringa. Benefits of Location-Based Access Control: A Literature Study. IEEE Computer Society, 978-0- 7695-4331-4/10, 2010.
[6] L. Lamport, 1981, Password authentication with insecure communication. Communications of the ACM, 24 (11); sayfa: 770-772.
[7] H. Karacan, S. Özdemir İnternet Bankacılığı içim İmgesel BağılKonum-Tabanlı Tek-Kullanımlık Şifre Sistemi. ISCTURKEY, pp.194- 199, 2010.
[8] I. Lin, C. Chang. A countable and time-bound password-based user authentication scheme for the applications of electronic commerce. Information Sciences 2009;179:1269-1277.
[9] H. C. Kim, H. W. Lee, K. S. Lee, M. S. Jun. A Design of One-Time Password Mechanism using Public Key Infrastructure. Fourth International Conference on Networked Computing and Advanced Information Management. DOI 10.1109/NCM.2008. 77, 978-0-7695- 3322-3/08 © 2008 IEEE.
[10] Y. S. Lee, H. T. Lim, H. J. Lee. A Study on Efficient OTP Generation using Stream Cipher with Random Digit. Advanced Communication Technology (ICACT). 2010;2 pp: 1670-1675.
[11] J. S. Cho, S. S. Yeo, S. K. Kim. Securing against brute-force attack: A hash-based RFID mutual authentication protocol using a secret value. Computer Communications 2011; 34:391-397.
[12] S. Liao, Q. Zhang, C. Chen ve Y. Dai. A Unidirectional One-Time Password Authentication Scheme without Counter Desynchronization. ISECS International Colloquium on Computing, Communication, Control, and Management 2009. 978-1-4244-4246-1/09.
[13] R. Sandhu, E. Coyne, H. Feinstein, and C. Youman. Role-based access control models. IEEE Computer Society, 29(2):38-47, 1996.
[14] C. Bertolissi, M. Fernandez. Time and Location Based Services with Access Control. New Technologies, Mobility and Security, 2008. pp.1-6, 5-7 Nov. 2008 doi: 10.1109/NTMS.2008.ECP.98.
[15] M. L. Damiani, E. Bertino, B. Catania, and P. Perlasca. GEORBAC: A spatially Aware RBAC. ACM Transactions on Information and System Security (TISSEC), 10(1), 2007.
[16] M. L. Damiani, E. Bertino, C. Silvestri. An Approach to Supporting Continuity of Usage in Location-based Access Control. 12th IEEE International Workshop on Future Trends of Distributed Computing Systems, p.199-205, October 21-23, 2008.
[17] D. Berbecaru. LRAP: A Location-Based Remote Client Authentication Protocol for Mobile Environments. Parallel, Distributed and Network-Based Processing (PDP), 2011 19th Euromicro International Conference on. pp.141-145, 9-11 Feb. 2011 doi: 10.1109/PDP.2011.32.
[18] H. C. Liao, Y.H. Chao. A New Data Encryption Algorithm Based on the Location of Mobile Users. Information Technology Journal. 7(1) 63-69, 2008.
[19] L. Scott and D. Denning. Geo-encryption: using GPS to enhance data security. GPS World, 40-49, 2003.
[20] W. B. Hsieh, J. S. Leu. Design of a Time and Location Based OneTime Password Authentication Scheme. Wireless Communications and Mobile Computing Conference (IWCMC). pp.201-206, 4-8/07/2011 doi: 10.1109/IWCMC. 2011. 598241