Mobil telefonda üretilen tek kullanımlık şifre ile rastlantısal değişken ve konumsal bazlı kimlik doğrulama

Abstract

Bu çalışmada, kimlik doğrulama zorunluluğu olan ve kullanıcısı için maddi ve manevi değer arz eden her türlü online hesaba erişirken kullanılabilecek yeni bir kimlik doğrulama tasarımı önerilmiş ve bir uygulama örneği başarıyla gerçekleştirilmiştir. Tasarımda konum ve rastlantısal değişken tabanlı Tek Kullanımlık Şifreler (TKŞ) kullanılmıştır. Tasarımda, biri hizmet alan Küresel Konumlama Sistemi (KKS) teknolojisine sahip kullanıcının mobil cihazı, diğeri hizmet veren sunucu donanımı üzerinde çalışan iki farklı yazılım modülü geliştirilmiştir. Gerçekleştirilen tasarım, istemci ve sunucu yazılım modülleri arasında herhangi bir iletişim kanalına veya kurulum ve kullanım maliyetine ihtiyaç duymaksızın çalışabilmektedir. Ayrıca, eş zamanlı çalışma, şifreleme veya sertifika kullanımına bağlı herhangi bir ek yazılım ve donanım gerektirmez. Aynı zamanda, her iki taraf içinde yüksek bir güvenlik düzeyi sağlar. Önerilen tasarım, şifre iletim güvenliği, istemci ve sunucu arasında eş zamanlı çalışma gereksinimi, kullanıcı tarafından sunucu doğrulama ve yüksek maliyet gibi mevcut kullanıcı doğrulama mekanizmalarında karşılaşılan problemlere de çözüm sunmaktadır. Gerçekleştirilen tasarımda, kullanıcı doğrulaması işlemi için konum bilgisi de ilave bir parametre olarak kullanılmıştır. Ek olarak, önerilen kimlik doğrulama mekanizması istemci tarafı ve doğrulama sunucusu tarafı arasında karşılıklı bir kimlik doğrulamayı mümkün kılmaktadır. Kolayca her iki tarafa da kurulabilen yazılım modülleri sayesinde, kalıcı şifreler kullanan kimlik doğrulama tasarımlarının sebep olduğu güvenlik açıkları giderilmiştir. Kullanıcı konum bilgisinin bir parametre olarak TKŞ üretimine dâhil edilmesi kimlik doğrulama sisteminin güvenliğini artırmıştır. Tasarımın simülasyon ortamında testleri yapılmış ve başarılı sonuçlar alınmıştır.

In this paper, a new authentication scheme that will provide high reliability for authentication process when accessing the online accounts that require to be made authentication are proposed and an implementation was carried out successfully. The scheme includes location and random variables based One Time Passwords (OTP). Two separate software modules have been developed. One of those runs over the user?s mobile device that has Global Positioning System (GPS) technology and other one runs over the authentication server. This new authentication scheme can work without need for any link between client and server software modules, and with its any installation and usage costs. Also, it would not require any synchronized-work, encryption and additional software or hardware related to use of certification. At the same time, it provides a high-level security. The proposed scheme provides a solution to the problems of the available user authentication mechanisms such as the security of password transmission, synchronization between client and server, server verification by user and high cost. With this proposed scheme, location information has been used as a parameter in the process of user authentication. In addition, the proposed authentication mechanism allows a mutual authentication between the client side and the authentication server side. Thanks to software modules that can be installed easily on both sides, security vulnerabilities that are caused by permanent passwords have been fixed. User location information that is included as a parameter in the production of OTP has increased security level of proposed authentication system. This proposed authentication system has been tested in the simulation environment and successful results have been achieved.