Hsiang m-kupon protokolünün güvenlik analizi

Kerim YILDIRIM, Gökhan DALKILIÇ, Nevcihan DURU
279 44

Öz


Günümüzde mobil cihazlar üzerlerinde barındırdıkları teknolojiler sayesinde günlük hayatın her alanına girmiş, günlük yaşantının bir parçası olmuşlardır. Bu uygulamalara örnek olarak yeni bir alan olan ve mobil cihazlarda kullanılan m-kupon uygulaması verilebilir. M-kupon, müşterilere özel indirimler vermek için kullanılan mobil bir kupondur. Mobil kupon kullanımının yaygınlaştırılabilmesi için gerekli olan önemli hususlardan birisi, kullanıcı güvenliğinin sağlanmasıdır. M-kuponun elde edilmesi ve kullanılması aşamasındaki güvenlik, sadece bilinen şifreleme algoritmaları kullanılarak sağlanamaz. Şifreleme algoritmaları protokolün olmazsa olmaz bir unsuru olmasına rağmen tek başına sadece şifreleme algoritmaları kullanılarak güvenlik garanti altına alınamaz. Bunlara ek olarak sürecin önemli bir parçası olan protokolün de güvenlik analizinin yapılması gerekmektedir. Bu kapsamda yaptığımız bu çalışmada, firmaların özel müşterilerine sağladığı özel indirimlerin müşterilere ulaştırılabilmesi için kullanılan m-kupon protokollerinden, Hsiang tarafından geliştirilen NFC tabanlı protokolün güvenlik analizi, oyun kuramı kullanılarak yapılmıştır. Protokolün doğal elemanları olan kupon sağlayıcı, müşteri ve kasiyer için birer oyuncu ve saldırgan için ayrı bir oyuncu olmak üzere oyun kuramı için dört oyuncu belirlenmiştir. Bu amaçla senaryolar oluşturulmuş ve senaryoların simülasyonu yapılmıştır. Simülasyonda saldırganın, iletişimi dinleyerek kuponların çoklu kullanımı, yeniden gönderme, müşterinin kimlik bilgilerinin çalınması, yetkisiz kupon kullanma/üretme, kuponun geçersiz hale getirilmesi, gizli anahtarın elde edilmesi saldırılarını yaparak, elde ettiği paketleri çözüp çözemediği, sistemi manipüle edip edemediği incelenmiştir. İnceleme sonucunda, kuponun oluşturulması aşamasında, güvenlik zafiyeti olduğu, bu açıklık kullanılarak saldırılar yapılabildiği tespit edilmiş ve tespit edilen açıklıklar için çözüm önerileri sunulmuştur.

Anahtar kelimeler


NFC; m-kupon; oyun kuramı; güvenlik analizi; gizlice dinleme

Tam metin:

PDF


Referanslar


Goggin G. Cell phone culture: Mobile technology in everyday life, Routledge, New York, A.B.D., 2012.

Krishna S., Boren S. A., Balas E. A., Healthcare via cell phones: a systematic review, Telemedicine and e-Health, 15 (3), 231-240, 2009.

Gregoski M. J., Mueller M., Vertegel A., Shaporev A., Jackson B. B., Frenzel R. M., Treiber, F. A., Development and validation of a smartphone heart rate acquisition application for health promotion and wellness telehealth applications, International journal of telemedicine and applications, 2012 (1), 1-7, 2012.

Kwapisz J. R., Weiss G. M., Moore S. A., Activity recognition using cell phone accelerometers, ACM SigKDD Explorations Newsletter, 12 (2), 74-82, 2011.

Yıldırım K., Uçar G., Keskin T., Kavak, A., Fall detection using smartphone-based application. International Journal of Applied Mathematics, Electronics and Computers, 4(4), 140-144, 2016.

Commission, I. O. (n.d.). ISO/IEC 18092:2013: Information technology --Telecommunications and information exchange between systems -- Near Field Communication -- Interface and Protocol (NFCIP-1)

Bailey K., Plug in credit card reader module for wireless cellular phone verifications, U.S. Patent Application No. 10/207,730.

Ooi, K. B., Tan, G. W. H., Mobile technology acceptance model: An investigation using mobile users to explore smartphone credit card, Expert Syst. Appl., 59, 33-46, 2016.

Schäfer, G., Kreisel, A., Rummler, D., Stopka, U. Development of a concept for evaluation user acceptance and requirements for NFC based e-ticketing in public transport. 19th International Conference on Human-Computer Interaction. Springer, Cham. Vancouver, Kanada, 522-533, 9-14 Temmuz, 2017.

Finžgar L., Trebar, M., Use of NFC and QR code identification in an electronic ticket system for public transport, 19th International Conference on Software, Telecommunications and Computer Networks - (SoftCOM 2011), Adriatic Islands Split, Hırvatistan, 1-5, 15-17 Eylül, 2011.

D'silva, G. M., Scariah, A. K., Pannapara, L. R., Joseph, J. J., Smart ticketing system for railways in smart cities using software as a service architecture. I-SMAC (IoT in Social, Mobile, Analytics and Cloud)(I-SMAC), 2017 International Conference on. IEEE, Coimbatore, Hindistan, 828-833, 10 Şubat, 2017.

Arslan, S., Demirel, V., Kuru, I. A public transport fare collection system with smart phone based NFC interface, International Journal of Electronics and Electrical Engineering, 4(3), 258-262, 2016.

Dominikus S., Aigner M., mCoupons: An application for near field communication (NFC). 21st International Conference on Advanced Information Networking and Applications Workshops, 2007, AINAW '07, Niagara Falls, Kanada, 421-428, 21-23 Mayıs, 2007.

Hsueh S.C., Chen J.M. Sharing secure m-coupons for peer-generated targeting via eWOM communications, Electronic Commerce Research and Applications, 9, 283–293, 2010.

Park S. W., Lee I. Y., Efficient mcoupon authentication scheme for smart poster environment based on low-cost NFC, International Journal of Security and Its Applications, 7 (5), 131-138, 2013.

Hsiang H. C., A Secure and efficient authentication scheme for M-Coupon systems, 8th International Conference on Future Generation Communication and Networking (FGCN), Hainan, Çin, 17-20, 20-23 Aralık, 2014.

Chen, Y. Y., Tsai, M. L., Chang, F. J., The design of secure mobile coupon mechanism with the implementation for NFC smartphones, Computers & Electrical Engineering, 59, 204-217, 2016.

Yim J., Design of a smart coupon system, Multimedia and Ubiquitous Engineering, 11 (3), 187-198, 2016.

Jiang, J., Zheng, Y., Yuan, X., Shi, Z., Gui, X., Wang, C., Yao, J., Towards secure and accurate targeted mobile coupon delivery, IEEE Access, 4, 8116-8126, 2016.

Mathews A. W., Yadron D., Health insurer anthem hit by hackers, The Wall Street Journal. http://www.wsj.com/articles/health-insurer-anthem-hit-by-hackers-1423103720, Yayın tarihi Şubat 4, 2015. Erişim tarihi Aralık 30, 2017.

Özcanhan M. H., Dalkılıç G., Utku S., Cryptographically supported NFC tags in medication for better inpatient safety, Journal of Medical Systems, 38 (61), 1-15, 2014.

GSM Association, Mobile NFC Technical Guidelines-V2, 2007.

Alshehri A., Briffa J. A., Schneide, S., Wesemeyer, S., Formal security analysis of NFC m-coupon protocols using Casper/FDR, 5th International Workshop on Near Field Communication (NFC), Zürih, İsviçre, 1-6, 5 Şubat 2013.

https://en.wikipedia.org/wiki/Game_theory, Erişim tarihi Aralık 30, 2017.

Hill S., Provost F., Volinsky F.C., Network-based marketing: Identifying likely adopters via consumer networks, Statistical Science, 21 (2), 256-276, 2006.

Haselsteiner E., Breitfuß K., Security in near field communication (NFC), Workshop on RFID Security, Malaga, İspanya, 3–13, 11-13 Temmuz, 2006.

Lady E. L. Chinese Remainder Theorem. https://en.wikipedia.org/wiki/Chinese_remainder_theorem, Erişim tarihi Aralık 30, 2017.

Haraniya, R., Sasmal, C., Bopaliya, B., Revar, A., Comparative study of distributed online abatement, International Journal of Computer Applications, 165 (11), 25-28, 2017.

Reinhart, L., Naatus, M. K., Groupon, m-commerce and mobile apps: Perceptions of small business owners and consumers, Business & Entrepreneurship Journal, 6(1), 27-38, 2017.

Chang C. C., Sun, C. Y., A secure and efficient authentication scheme for E-coupon systems, Wireless Personal Communications, 77 (4), 2981-2996, 2014.

Zhu H., Xia Y., Li H., An efficient and secure biometrics-based one-time identity-password authenticated scheme for e-coupon system towards mobile Internet, Journal of Information Hiding and Multimedia Signal Processing, 6 (3), 444-457, 2015.




Creative Commons License
This work is licensed under a Creative Commons Attribution 4.0 License.