Tez No |
İndirme |
Tez Künye |
Durumu |
744926
|
|
Development of secure e-commerce protocol / Güvenli e-ticaret protokolü geliştirilmesi
Yazar:SENA EFSUN CEBECİ
Danışman: DOÇ. DR. ENVER ÖZDEMİR
Yer Bilgisi: İstanbul Teknik Üniversitesi / Bilişim Enstitüsü / Bilişim Uygulamaları Ana Bilim Dalı / Bilgi Güvenliği Mühendisliği ve Kriptografi Bilim Dalı
Konu:Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol = Computer Engineering and Computer Science and Control ; Mühendislik Bilimleri = Engineering Sciences
Dizin:Elektronik ticaret = Electronic commerce ; Gizli anahtarlı kripto sistemler = Secret key crypto systems ; Güvenlik protokolleri = Security protocols ; Siber güvenlik = Cyber security ; Veri şifreleme = Data encryption ; Veri şifreleme yöntemleri = Data encryption methods
|
Onaylandı
Doktora
İngilizce
2022
91 s.
|
|
Son on yılda E-ticaretteki yaşanan güvenlik ihlalleri bu konuda E-ticaret şirketlerinin daha fazla önlem almasına yol açmaktadır. Daha çok kredi kartı dolandırıcılığı ve kullanıcı hesaplarının çalınması konularında ihlaller yaşanmakta ve bu durumun kaynağı kişisel verilerin güvenli saklanamaması olarak görülmektedir. Bu konuda E-ticaret şirketleri kullanıcı verilerini daha güvenli saklayabilmek için veri tabanı güvenliğine daha çok önem göstermekte ve buna yönelik yatırımlarda bulunmaktadır.
Ayrıca karşılaşılan bu güvenlik zafiyetleri ve veri sızıntıları güvenlik açısından geliştirilecek protokol ve yöntemlere olan ihtiyacın ne derece büyük olduğunu da gözler önüne sermektedir. E-ticaret güvenliği için sunulmuş mevcut metotlar yetersiz kalmakta, hesaplama ve iletişim masrafları açısından E-ticaret şirketlerine yük getirmektedir.
Benzer şekilde veri tabanı zafiyetleri, mobil ödeme sistemlerinde de mevcuttur ve bu konuda da çeşitli önlemler alınmalıdır. Genelde kullanıcı verileri veri tabanı sistemlerinde şifreli ve şifresiz tutulmakta, veri tabanı ele geçirildiğinde kullanıcı verilerine erişim sağlanabilmektedir.
Bu tezde E-ticaret ve mobil ödeme sistemlerinde var olan güvenlik açıklıklarına çözüm olacak yeni bir yaklaşımla güvenliği bir üst seviyeye taşıyan bir E-ticaret protokolü öneriyoruz. Ayrıca bu protokol sayesinde veri tabanı ele geçirilse bile kullanıcı verilerine ulaşılması mümkün olmamakta ve kullanıcıların mahremiyet konusundaki endişeleri ortadan kalkmaktadır.
Kullanıcılar kendi verileri üzerinde söz sahibi olabilmekte ve verinin kontrolünü sağlayabilmektedir. Bu üstün özellikleri gerçekleştirebilmek için kullanıcıların verileri matematiksel yöntemler kullanılarak değiştirilmekte, veri tabanında bu değiştirilen haliyle saklanmakta ve kullanıcının her çevrimiçi işlemde kişisel bilgilerini tekrar girmesi ihtiyacını ortadan kaldırmaktadır.
Bu protokol kişisel verilerin gizliliğini sağlarken, kullanıcı ve E-ticaret şirketi arasındaki alışveriş güvenliğini de sağlamakta ve çeşitli E-ticaret sistemlerine adapte edilebilmektedir. Sunulan yaklaşımla birlikte E-ticaret şirketlerine verilerin güvenli depolanması konusunda sorumluluk yüklememekte, bunun yerine güvenliğin banka ve kullanıcı tarafından sağlandığı daha güvenli bir çözüm getirmektedir.
Güvenli E-ticaret protokolü, kullanıcının E-ticaret sistemine kaydedilmesi ve satın almanın gerçekleşip onaylanması olarak iki aşamadan oluşmaktadır. İlk aşamada kullanıcının bir kereye özgü E-ticaret sistemine kaydı yapılmaktadır. Bu aşamada banka, kullanıcıdan gelen kişisel bilgilerle E-ticaret şirketinin sertifika bilgisini birleştirip değiştirilmiş veriyi oluşturmaktadır.
Değiştirilmiş verinin bu şekli, bankada bulunan bir simektrik anahtarla simetrik bir şifreleme algoritması kullanılarak şifrelenmekte ve kullanıcıya gönderilmektedir. Kullanıcı da kendisine gönderilen şifreli değişmiş veriyi depolanmak üzere E-ticaret şirketine iletmektedir. Böylece kullanıcının sisteme kayıt işlemi gerçekleştirilmiş olmaktadır. Kullanıcı sisteme kaydedildikten sonra yapacağı diğer alışveriş işlemlerinde kişisel verilerini tekrar tekrar sisteme işlemek zorunda kalmamaktadır.
Protokolün ikinci aşamasında ikinci ve daha sonraki alışverişlerin yapılıp onaylanması adımları gerçekleşmektedir. Kullanıcı ödeme kısmına geldiğinde ödeme tutar bilgisini kendi bankası ve sorumlu banka ile paylaşmaktadır. Banka her bir kullanıcı ödeme işlemi için işlemin gerçekleştiği zaman dilimine ait bir zaman değeri üretmektedir. Bankanın ürettiği bu değer o zaman dilimindeki işlem yapan bütün kullanıcıları kapsamaktadır ve aynı olmaktadır.
Bu aşamada banka tarafından ödeme tutar bilgisi, zaman değeri ve bankanın gizli anahtarı kullanılarak bir şifreli metin oluşturulmaktadır. Şifreli metin oluşturulurken modüler bir işlem gerçekleştirilmekte olup, ödeme tutar bilgisi ve zaman değerlerinin ayrık logaritma probleminin zor olduğu bir grup seçilerek gizlenmesi sağlanmaktadır. Oluşturulan şifreli metin banka tarafından kullanıcıya iletilmekte ve kullanıcı da bu bilgiyi E-ticaret şirketine göndermektedir.
Ödemenin onaylanma işleminin sağlıklı bir şekilde gerçekleşmesi için E-ticaret şirketi kendisinde var olan şifreli metin, şifreli değişmiş kullanıcı verisi (kullanıcı kaydı sırasında oluşturulan) ve ödeme tutar bilgisini bankaya iletmektedir. Satın almanın tamamlanması ve kullanıcının doğrulanması için bankadaki bilgilerle (şifreli metin, şifreli değişmiş kullanıcı verisi ve ödeme tutar bilgisi) sorumlu banka tarafındaki bilgilerin (hesap sahibi bilgisi ve ödeme tutar bilgisi) kontrolünün sağlanması gerekmektedir.
Protokolde gerçekleştirilen katkılar üç başlık altında toplanmaktadır. İlk katkı olarak E-ticaret şirketinin veri tabanı ele geçirilmesi halindeki durum incelenmektedir. Veriler değiştirilerek şifrelendiği için kullanıcıların hassas verilerine ulaşılması mümkün olmamaktadır.
E-ticaret şirketinin veri tabanında saklanan veriler açık veri halinde saklanmamakta ve verilerin şifreleme yöntemi biliniyor olsa bile veri manipüle edilerek depolandıgı için ele geçirilen veriden hassas veriye ulaşılabilecek bir yol bulunmamaktadır. Böylece E-ticaret veri tabanına erişimi bulunan sistem yöneticilerinin kişisel verileri kötü niyetli kullanması konusundaki endişe de ortadan kalkmaktadır.
Bir diğer katkı ise, kişisel verilerin üzerindeki söz sahibi kişinin kullanıcı olmasıdır. Kişisel verinin tüm kontrolü kullanıcı tarafından banka ile birlikte gerçekleştirilmekte ve E-ticaret şirketinde hassas verinin orijinal hali bulunmamaktadır. Bu sebeple E-ticaret şirketinin kişisel verilerin korunması ile ilgili güvenlik önlemleri almasına ve yatırım yapmasına da gerek kalmamaktadır. Böylelikle kullanıcı mahremiyeti güvenlik açısından üst düzeye taşınmaktadır.
Ayrıca bu protokolle kullanıcının kişisel verileri mobil veya web uygulamada manipülasyon metoduyla değiştirilmekte ve E-ticaret veri tabanında değişmiş veri şifrelenerek saklanmaktadır. Bu manipülasyon metodu, E-ticaret sistemlerinin güvenliğine yeni bir boyut getirmektedir ve protokolün sağladığı bir başka katkıyı oluşturmaktadır. Kullanıcı E-ticaret sistemine bir kere kayıt edildikten sonra kullanıcının kişisel verilerini bir sonraki alışveriş esnasında tekrar girmesine de gerek kalmamaktadır.
Son olarak, önerdiğimiz protokolü test ortamında gerçekleyerek doğrulandığını gösteren atak senaryoları tasarlanmış, bilinen diğer protokol ve algoritmalarla kıyaslanmıştır. Elde edilen analiz sonuçları önerilen protokolün işletim süreci açısından var olan diğer yöntemlerden (3D Secure ve SET) daha verimli olduğunu ortaya koymuştur.
|
|
Increased security breaches in e-commerce over the previous decade have prompted e-commerce enterprises to take more precautions. The inability to securely retain personal data has resulted in violations primarily involving credit card fraud and the theft of user accounts. In this context, e-commerce companies invest in increasing database security to more securely keep user data. Furthermore, these security flaws demonstrate the critical necessity for security protocols and solutions to be implemented.
Existing approaches are insufficient and place undue pressure on e-commerce businesses in terms of calculation and connectivity. Similar database flaws exist in mobile payment systems, and numerous safeguards should be included. In general, user data is maintained encrypted and unencrypted in database systems, and user data can be viewed when the database is compromised.
In this thesis, we propose an e-commerce protocol that takes security to the next level by employing a novel technique to address existing security flaws in e-commerce and mobile payment systems. Furthermore, even if the database is taken, this protocol prevents access to personal data, removing users' concerns about privacy. Users will have a right to claim how their data is used and will be able to regulate it. To accomplish these enhanced capabilities, users' data is transformed using mathematical procedures and stored in the database in this modified form.
Finally, we implemented the proposed protocol and designed attack scenarios to demonstrate that it has been validated and compared to other known protocols and algorithms. The analysis revealed that the suggested protocol outperforms the compared approaches in terms of execution time. |