Tez No İndirme Tez Künye Durumu
546360
Onay kodlu güvenli M-kupon algoritmasının geliştirilmesi ve biçimsel analizi / Development of a secure M-coupon scheme with confirmation code and formally analization of the scheme
Yazar:KERİM YILDIRIM
Danışman: PROF. DR. NEVCİHAN DURU
Yer Bilgisi: Kocaeli Üniversitesi / Fen Bilimleri Enstitüsü / Bilgisayar Mühendisliği Ana Bilim Dalı
Konu:Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol = Computer Engineering and Computer Science and Control
Dizin:
Onaylandı
Doktora
Türkçe
2019
105 s.
Günümüzde mobil cihazlar üzerlerinde barındırdıkları teknolojiler sayesinde günlük hayatın her alanına girmiş, günlük yaşantının bir parçası olmuşlardır. Bu uygulamalara örnek olarak yeni bir alan olan ve mobil cihazlarda kullanılan m-kupon uygulaması verilebilir. M-kupon, müşterilere özel indirimler vermek için kullanılan mobil bir kupondur. Mobil kupon kullanımının yaygınlaştırılabilmesi için gerekli olan önemli hususlardan birisi, kullanıcı güvenliğinin sağlanmasıdır. M-kuponun elde edilmesi ve kullanılması aşamasındaki güvenlik, sadece bilinen şifreleme algoritmaları kullanılarak sağlanamaz. Şifreleme algoritmaların olmazsa olmaz bir unsuru olmasına rağmen tek başına sadece şifreleme kullanılarak güvenlik garanti altına alınamaz. Bunlara ek olarak sürecin önemli bir parçası olan algoritmanın da güvenlik analizinin yapılması gerekmektedir. Bu kapsamda yapılan bu çalışmada, firmaların özel müşterilerine sağladığı özel indirimlerin müşterilerine ulaşabilmesi için kullanılan m-kupon algoritmalarının güvenlik analizini yapmak için, iki adet algoritma vaka analizi için seçildi. Hsueh ve Chen tarafından geliştirilen algoritmanın güvenlik analizi senaryolar üzerinden, Hsiang tarafından geliştirilen NFC tabanlı algoritmanın güvenlik analizi, oyun kuramı ve otomatik güvenlik algoritması doğrulama aracı Scyther kullanılarak yapıldı. Analiz çalışmasında saldırganın, iletişimi dinleyerek kuponların çoklu kullanımı, yeniden gönderme, müşterinin kimlik bilgilerinin çalınması, yetkisiz kupon kullanma/üretme, kuponun geçersiz hale getirilmesi, gizli anahtarın elde edilmesi saldırılarını yaparak, elde ettiği paketleri çözüp çözemediği, sistemi manipüle edip edemediği incelenmiştir. İnceleme sonucunda, Hsueh ve Chen tarafından geliştirilen algoritmanın, kuponun oluşturulması ve kuponun kullanılması aşamalarında, Hsiang tarafından geliştirilen algoritmanın, kuponun oluşturulması ve gizli anahtarın korunması aşamalarında güvenlik zafiyeti olduğu, bu açıklar kullanılarak saldırılar yapılabildiği tespit edilmiş ve tespit edilen açıklar için çözüm önerileri sunulmuştur. Elde edilen bilgi ve tecrübeler doğrultusunda tüm güvenlik kriterlerini sağlayan ve kullanıcıların haklarını ve verilerini koruyan yeni bir m-kupon algoritması tasarlanmıştır. Geliştirmiş olduğumuz algoritmanın saldırılara karşı ne kadar güçlü ve dayanıklı olduğunu görmek/göstermek için de Scyther aracı ile güvenlik analizi yapılmıştır.
Nowadays due to the technological development mobile devices equipped with new technologies have entered and become part of our lives. For instance, a novel issue used on mobile devices: m-coupon which is a special coupon and used to give special discount to the customers. One of the important things that mobile coupon usage needs to be widespread is ensuring of user security. M-coupon scheme can't be secured just using only known cryptographic algorithms. Although cryptographic algorithms are an essential part of the scheme, security cannot be guaranteed by using cryptographic algorithms alone. Additionally security analysis of the scheme which is the essential part of the process must be done thoroughly. In this context, to make security analysis of mobile coupon schemes which are used to deliver special discounts to the special customers, we have selected two schemes for case analysis. Security analysis of the scheme developed by Hsueh and Chen performed through scenarios; security analysis of the NFC-based scheme developed by Hsiang was performed using the game theory and formal security scheme validation tool Scyther. In the analysis, an attacker, by listening the established communication, established multiple cash-in attack, replay attack, impersonation attack, unauthorized coupon copying/generation, invalidation of the coupon attack and secret disclosure attack, then examined whether he can unpack the packages he obtained or can manipulate the system. The analysis showed that, Hsueh and Chen's scheme has weakness at the issuing and redemption phase, Hsiang's scheme has weakness at the issuing phase and securing the secret key, by using these vulnerabilities some attacks have been illustrated and solutions are proposed for these vulnerabilities. Then by using obtained knowledge and experience during these analysis, we have developed a new m-coupon scheme providing all security criteria to protect users' rights and data. To see/show how strong and durable the scheme, security analysis of the scheme is carried out with Scyther tool.