Bulutta Güvenli Eleman Sistemi Secure Element on the Cloud System

Benzer belgeler
Yrd. Doç. Dr. Büşra ÖZDENİZCİ IŞIK Üniversitesi Enformasyon Teknolojileri Bölümü

Yrd. Doç. Dr. Kerem OK Işık Üniversitesi Fen-Edebiyat Fakültesi Enformasyon Teknolojileri Bölümü

Yrd. Doç. Dr. Büşra ÖZDENİZCİ IŞIK Üniversitesi Enformasyon Teknolojileri Bölümü

HASTA TAKİP SİSTEMLERİNDE RFID UYGULAMASI

BioAffix Ones Technology nin tescilli markasıdır.

Bulut Bilişim. Ege Üniversitesi Bilgisayar Mühendisliği Web Servisleri


Logsign Hotspot. Güvenli, izlenebilir, hızlı ve. bağlantısı için ihtiyacınız olan herşey Logsign Hotspot da!

BioAffix Ones Technology nin tescilli markasıdır.

Kullanım Kılavuzu BARKODES BİLGİSAYAR SİSTEMLERİ TTFSM RW-USB. TTFSM RW-USB MF ETHERNET CONVERTER Kullanma Kılavuzu

Doç. Dr. Cüneyt BAYILMIŞ

BioAffix Ones Technology nin tescilli markasıdır.

Metin KAPIDERE İnci Dürdane KURT

Tez adı: A Software Prototype for a Command, Control, Communication, and Intelligence Workstation (1990) Tez Danışmanı:(Luqi Luqi)

Nesnelerin İnternetinde 11 Bağlantı Protokolü

Mobil Ödeme Sistemlerinde NFC Kullanımı

Yakın Alan İletişimi Teknolojisi İncelemesi

Basit Mimari, Katmanlı Mimari ve doğrudan çalıştırma olarak üçe ayrılır.

BioAffix Ones Technology nin tescilli markasıdır.

Video Konferans ve Kurumsal İletişim Sistemi

Düzce Üniversitesi Bilim ve Teknoloji Dergisi

Mobil Cihazlardan Web Servis Sunumu

BİLGİ TEKNOLOJİSİ ALTYAPISI. Mustafa Çetinkaya

Bilgi Teknolojisi Altyapısı. Tarihi Gelişim. Tarihi Gelişim. Bulut Servis Sağlayıcı. Bulut Bilişim

BİLGİSAYAR AĞLARI VE İLETİŞİM

TÜBİTAK UEKAE ULUSAL ELEKTRONİK ve KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ

Windows Live ID ve parolanızı giriniz.

PAPERWORK TEKNİK MİMARİ

SANAL POSLAR VE GÜVENLİK POLİTİKALARI. Yunus Emre SEYHAN Web Yazılım Uzmanı

Lojistik Bilgi Teknolojileri ÖĞR. GÖR. MUSTAFA ÇETİNKAYA

TODAİE edevlet MERKEZİ UYGULAMALI E-İMZA SEMİNERİ KASIM E-imza Teknolojisi. TODAİE Sunumu

PINGPONG. Kurumsal Sunum / Aplikasyon Tanıtım

Hızlı ve Güvenli Vale Hizmeti

Bilgi Güvenliği Eğitim/Öğretimi

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER

Bulut Bilişimin Hayatımızdaki Yeri İnternet Haftası Etkinlikleri 17 Nisan Yard.Doç.Dr.Tuncay Ercan

IOT (Internet Of Things / Nesnelerin İnterneti)

BİLGİ TEKNOLOJİSİ ALTYAPISI. Mustafa Çetinkaya

XIX. Türkiye de Internet Konferansı (inet-tr 14) BULUT BİLİŞİM GÜVENLİĞİ HOMOMORFİK ŞİFRELEME Kasım, 2014, Yaşar Üniversitesi İÇİN

Farklı Mobil Platformlar Üzerinde Servis Tabanlı Mimari(SOA) Yaklaşımı: Elektronik Uçuş Çantası Vaka Çalışması

BEUN VPN Hizmeti. VPN Nedir?

Hızlı ve Güvenli Vale Hizmeti

Veritabanı Dersi. Teoriden Pratiğe. Çağıltay N.E., Tokdemir G. Veritabanı Sistemleri Dersi -Bölüm XXV: Web'den Erişim Çağıltay, N., Tokdemir, G.

Kepware Veritabanı Ürünleri. Teknolojiye Genel Bir Bakış

EKLER EK 12UY0106-5/A4-1:

BULUT BİLİŞİM VE BÜYÜK VERİ ARAŞTIRMA LABORATUVARI. Ekim 2017

Belirli bir kaynağı buluta taşımadan önce, bir kimse aşağıda belirtildiği gibi kaynak hakkında birkaç özelliği analiz etmesi gerekir.

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

WINDOWS SERVER 2008 R2-SERVER 2012 DE IP SANALLAŞTIRMA

COĞRAFİ BİLGİ SİSTEMLERİ SERVER MİMARİSİ SERVER UYGULAMA GELİŞTİRME EĞİTİMİ

UHeM ve Bulut Bilişim

Connection Manager Kullanım Kılavuzu

Yeni Ödeme Hizmetleri Yönergesi: PSD2

ELEKTRONİK İMZALI BAŞVURU ARAYÜZÜ TALİMATI

Demetleme Yönteminin Y 3-Katmanlı Mimari Yapı ile Gerçeklenmesi. eklenmesi. KalacakYer.com

Selahattin Esim CEO

Daha komplike uygulamalar elektronik ticaret, elektronik kimlik belgeleme, güvenli e-posta,

2. hafta Bulut Bilişime Giriş

ODTÜ Kampüs Izgara Hesaplama Uygulaması

IBM Güvenlik Sistemleri Yeni Nesil Güvenlik Bilgisi Toplama ve Olay Yönetimi

BÖLÜM 7. Telekomünikasyon, İnternet ve, Kablosuz Teknoloji. Doç. Dr. Serkan ADA

Wolvox Kapı Ekranı. AKINSOFT Wolvox Kapı Ekranı Yardım Dosyası. Doküman Versiyon :

Antalya Tıp Bilişim Kongresi Kasım Can AKSOY IT Network (CTO / STL)

AĞ TEMELLERİ 4.HAFTA CELAL BAYAR ÜNİVERSİTESİ AKHİSAR MESLEK YÜKSEKOKULU

O P C S T A N D A R D I

Doç. Dr. Cüneyt BAYILMIŞ

Altyapı & İletişim Sistemleri. Kurumsal Eğitim Kataloğu Son Kullanıcı Sistemleri Veri Merkezi & Operasyon

Sistem kullanıcısına hangi geçiş noktalarında hangi zaman aralıklarında geçebileceği gibi yetki atamaları tanımlanabilir.

Asp.Net Veritabanı İşlemleri

Sistem Nasıl Çalışıyor: Araç İzleme ve Filo Yönetim Sistemi

Film Arşiv Sistemi. Yazılım Tasarım Belgesi

Akademik Bilişim Şubat 2010 Muğla Üniversitesi

MOBIL UYGULAMA GELIŞTIRME

Devletin Kısayolu: e-devlet Kapısı Tuğan AVCIOĞLU e-devlet ve Bilgi Toplumu

Öğrenciler için Kablosuz İnternet Erişimi (Wi-Fi) Kullanım Kılavuzu

OG VE AG GENİŞBANT POWER LINE HABERLEŞME

Bilgi güvenliği konusunda farkındalık yaratmak. Mobil cihazlardaki riskleri anlatmak. Mobil uygulamaların bilgi güvenliği açısından incelemek 2

TELSİZ SİSTEM ÇÖZÜMLERİNDE RAKİPSİZ TEKNOLOJİ! SIMULCAST GENİŞ ALAN KAPLAMA TELSİZ SİSTEMİ

OG VE AG GENİŞBANT POWER LINE HABERLEŞME

Prof. Dr. Abdullah ÇAVUŞOĞLU Mehmet TÜMAY

DARÜŞŞAFAKA CEMİYETİ HOTSPOT İNTERNET ERİŞİMİ YAZILIM VE DONANIM ALTYAPISI KURULUMU VE BAKIM HİZMETİ TEKNİK ŞARTNAMESİ

Daha Fazlasını İsteyin

T.C. ÇALIŞMA VE SOSYAL GÜVENLİK BAKANLIĞI İŞ SAĞLIĞI VE GÜVENLİĞİ GENEL MÜDÜRLÜĞÜ. Kemal ÖZAT. İSG Uzman Yardımcısı İSG-KATİP Şubesi

Bankacılıkta Mobil Uygulamaların Geleceği ve Beraberindeki Riskler

Bulut ta güvenlikle nasıl mücadele edersiniz?

Nordic Edge ile kurumsal kimlik yöne4mi

Persono Dijital İK Yönetim Sistemi

Veritabanı Tasarımı. DML İşlemleri ve Görünümler

F3938 OTOBÜS MODEMİ KULLANIM KILAVUZU

COĞRAFİ BİLGİ SİSTEMLERİ ArcGIS SERVER A GİRİŞ EĞİTİMİ

HP kimlik doğrulamalı baskı çözümleri

Muhammet Fatih AKBAŞ, Enis KARAARSLAN, Cengiz GÜNGÖR

General Mobile DSTL1. Sürüm Güncelleme Notları

ARiL Veri Yönetim Platformu Gizlilik Politikası

KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Yüksek Öğretimde Mobil Eğitime Geçiş İçin Yol Haritası: Atılım Üniversitesi Örneği

Transkript:

Bulutta Güvenli Eleman Sistemi Secure Element on the Cloud System Mohammed Alsadi 1, Turgay Karlidere 2, Busra Ozdenizci 1, Vedat Coskun 1 1 NFC Lab @ İstanbul, Işık Üniversitesi, İstanbul, Türkiye busra.ozdenizci@isikun.edu.tr 2 KoçSistem Bilgi ve İletişim Hizmetleri A.Ş., İstanbul, Türkiye turgay.karlidere@kocsistem.com.tr Özet Akıllı Telefonların gelişmesi ve NFC teknolojisinin ortaya çıkması ile kredi kartı ödemesi, biletleme, sadakat kartları, kimlik kontrolü, kontrollü erişim gibi katma değerli servislerin akıllı telefonlar kullanılarak daha güvenli ve pratik şekilde gerçekleştirilmesinin önü açılmıştır. Bu kapsamda Akıllı Telefonlar üzerinde gizli bilgilerin saklanması amacıyla zaman içerisinde, birçok Güvenli Eleman alternatifi ortaya çıkmıştır; fakat söz konusu Güvenli Elemanlar NFC uygulamalarının gelişimine zorluklar getirmiştir. Daha bağımsız ve verimli Güvenli Eleman yönetim süreci sağlayan modellere ihtiyaç duyulmuştur. Bu çalışmada, HCE teknolojisinden ve Tokenization yönteminden faydalanarak tamamen yeni bir platformda, özgün bir iletişim modeline dayanan -İki Aşamalı Tokenization modeli- Bulutta Güvenli Eleman sistemi paylaşılmaktadır. Bu sistem ile Akıllı Telefon kullanıcıları, kendilerine ait tüm gizli ve hassas bilgilerini Bulut üzerinde güvenli bir yapıda saklayabilmesi sağlanmaktadır. Anahtar Kelimeler Yakın Alan İletişimi; NFC; Ana Sistem Kart Benzetimi; HCE; Bulut; Güvenli Eleman; Tokenization; Erişim Kontrolü. Abstract With the recent advances in Smartphones and introduction of NFC technology, diverse value-added services are realized such as mobile payment, ticketing, coupon, loyalty, identification, access control and so on. In this context, Secure Element (SE) is the important part of Smartphones for securing the private data. Up to now, several SE alternatives have introduced; however several technical and business limitations have already been observed; therefore providing an efficient SE platform for storing private data have become an important issue nowadays. By using advantages of Tokenization method and HCE technology, this study presents a novel SE on the cloud system based on a promising communication -Two Phased Tokenization- model. The proposed system enables Smartphone users to store their sensitive and private data securely on a remote server of Cloud. Keywords Near Field Communication; NFC; Host Card Emulation; HCE; Cloud; Secure Element; Tokenization; Access Control. I. GİRİŞ Akıllı Telefonların hızla gelişmesiyle Internet erişiminden mobile ödemeler hizmetlerine kadar birçok katma değerli servislerin önü açılmıştır. Mobil iletişim teknolojileri alanındaki en önemli gelişmelerden biri de Yakın Alan İletişimi (NFC, Near Field Communication) teknolojisidir. NFC teknolojisi, yüksek frekansta (13.56 MHz) ve düşük bant genişliğinde (en çok 424 kbps) güvenli bir arayüz üzerinden iki NFC uyumlu cihazın kolay, basit ve kısa mesafede (0-4 cm) güvenli haberleşmesini sağlayan Radyo Frekansı ile Tanımlama (RFID, Radio Frequency Identification) tabanlı bir kablosuz iletişim teknolojisidir [1]. NFC teknolojisi üç farklı çalışma modunda veri iletişimi gerçekleştirmektedir: Okuyucu/Yazıcı Modu, Birebir İletişim Modu ve Kart Benzetim Modu [1]. Okuyucu/yazıcı modu, ISO/IEC 14443 Temassız Akıllı Kart Teknolojileri standardı ile uyumlu olarak çalışmaktadır. NFC uyumlu Akıllı Telefonun NFC etiketine dokundurulmasıyla başlar ve bu aşamada Akıllı Telefon NFC etiketini okuyabilir, etikette depolanmış olan veriyi değiştirebilir ya da etikete yeni bir veri yazabilir. Birebir iletişim modu ise NFC uyumlu iki Akıllı Telefon arasında veri değişimini mümkün kılmaktadır. Kart benzetim modu ise NFC uyumlu Akıllı Telefonun, bir temassız Akıllı Kart gibi davranmasını sağlar ve bu modelde gerekli olacak (örneğin kredi kartı numarası, kimlik bilgileri, anahtarlar vb.) bilgiler Akıllı Telefon içinde saklanır. NFC okuyucunun yarattığı manyetik alan sayesinde Akıllı Telefonun dokundurulmasıyla, cihaz üzerindeki bilginin güvenli bir şekilde okuyucuya aktarımı gerçekleşir. NFC teknolojisinin her üç çalışma modu sayesinde, banka kartı ve kredi kartı ödemesi, biletleme, sadakat kartları, kimlik kontrolü, kontrollü erişim gibi katma değerli servislerin Akıllı Telefonlar kullanılarak daha güvenli ve daha pratik şekilde gerçekleştirilmesinin önü açılmıştır. Söz konusu katma değerli servislerin, Akıllı Telefonlar üzerinde güvenli bir ortamda gerçekleştirilmesi önemli bir konudur. 0

Bu kapsamda Akıllı Telefonlar üzerinde gizli bilgilerin güvenli ve kontrollü bir şekilde depolanması ve uygulamaların gerçekleştirilmesi amacıyla Güvenli Eleman (SE, Secure Element) konusu gündeme gelmiştir. Güvenli Eleman, belli güvenilir yetkililerce tanımlanmış kurallar ve güvenlik standartları çerçevesinde, uygulamaları ve ilgili uygulamaların gizli ve kriptografik verilerini güvenli bir şekilde barındıran bir platformdur [2]. NFC teknolojisinin ve ekosisteminin gelişmesiyle çeşitli Güvenli Eleman alternatifleri söz konusu olmuştur [3, 4, 5]. NFC uyumlu Akıllı Telefonlarda Abone Kimlik Modulü (SIM, Subscriber Identity Module), Dahili Güvenli Eleman, Güvenli Sayısal (SD, Secure Digital) kart tabanlı Güvenli Eleman (Şekil 1). Söz konusu Güvenli Eleman alternatiflerinin standartlaşma sürecinin yavaş olması, depolama ve işlem gücü açılarından düşük kapasiteli olması, Güvenli Elemanların sınırlı sayıda uygulamayı barındırmasına neden olmuştur. Zaman içerisinde, Güvenli Eleman yönetim sürecinin getirdiği birtakım maliyetler ve güçlükler, söz konusu Güvenli Elemanları gerektiren NFC uygulamalarının gelişimine de engeller getirmiştir. Bunlara ek olarak, Güvenli Eleman alternatifleri, NFC uygulamalarına bağlı olarak paydaşlar (Mobil Ağ Operatörleri, Bankalar, Servis Sağlayıcılar, Akıllı Telefon Üreticileri vb.) için farklı iş modelleri ve farklı aktörlere farklı kazanç yöntemleri getirmiştir; bu durum neticesinde NFC uygulamalarının gelişmesi sürecinde problemler oluşmuştur. Bu noktada tüm paydaşların ortak çalışabileceği, daha verimli ve bağımsız bir Güvenli Eleman yönetim süreci sağlayan, yeni bir Güvenli Eleman çözümüne ve modeline ihtiyaç vardır. Şekil 1. Donanım tabanlı güvenli eleman alternatifleri 2014 yılında Android 4.4 Kitkat mobil işletim sisteminde ortaya çıkan Ana Sistem Kart Benzetimi (HCE, Host Card Emulation) özelliği ile Akıllı Telefonlarda donanım tabanlı Güvenli Eleman gereksinimi tamamen ortadan kalkmıştır. HCE teknolojisi, Akıllı Telefonların, işlemcisinde veya ayrı bir platformda uygulama bilgilerinin depolanabilmesine ve yönetilebilmesine imkân sağlamaktadır. Böylece, NFC uygulamalarının gelişimi için yeni bir araştırma ve geliştirme ortamı doğmuştur. Bu çalışmada, mevcut donanım tabanlı Güvenli Eleman seçeneklerine tamamen yeni bir alternatif olarak ve HCE teknolojisinden faydalanarak yeni bir platformda, Bulutta Güvenli Eleman mimarisi ve özgün iletişim modeli paylaşılmaktadır. Akıllı Telefon kullanıcılarının, kendilerine ait tüm gizli ve hassas bilgilerini Bulut üzerinde güvenli, pratik ve bağımsız bir yapıda saklayabilmesi ve kart benzetim modunda çalışan NFC uygulamalarının gelişimi sağlanacaktır. Aynı zamanda, bu çalışmada, Bulutta Güvenli Eleman sisteminin tasarımı ile beraber toplantı odalarına girişleri ve çıkışları kontrol etme amacıyla gerçekleştirilen bir erişim kontrolü test çalışması paylaşılmaktadır. II. HCE TEKNOLOJİSİ HCE teknolojisi, Akıllı Telefonların temassız Akıllı Kart gibi davranmasını kolaylaştırarak yeni nesil Güvenli Eleman teknolojilerinin temelini oluşturmaktadır. HCE teknolojisinin çalışma prensibine göre, NFC kontrol birimi NFC okuyucusundan gelen Uygulama Kuralları Veri Birimi (APDU, Application Protocol Data Unit) mesajını aldıktan sonra Şekil 2 de gösterildiği üzere direk Akıllı Telefonun işlemcisine göndermektedir. HCE özelliğinin, mobil işletim sisteminde kendisine ait bir kütüphanesi ve Uygulama Programlama Arayüzü (API, Application Protocol Interface) bulunmaktadır; böylece APDU mesajlarını kolaylıkla işleyebilir ve değiştirebilmektedir [6, 7]. Böylece HCE destekli Akıllı Telefonlarda gizli bilgiler ve anahtarlar mobil uygulamanın kendisinde veya başka güvenli uygulama alanlarında - Bulut ortamında- saklanabilir hale gelmiştir. HCE mimarisi, Android işletim sistemi (Android KitKat 4.4 ve üstü) yanı sıra şu an BlackBerry 7 ve üzeri ve Windows 10 işletim sistemlerinde de bulunmaktadır [8]. HCE tabanlı kart benzetim modunun iki farklı gerçekleşme modeli bulunmaktadır: Tam Bulut tabanlı HCE modeli ile Tokenization tabanlı HCE modeli. Tam Bulut tabanlı HCE modelinde, kart benzetimi tam anlamıyla Bulut sistemi üzerinde gerçekleştirilmektedir [9]. Kullanıcı ile Bulut arasında oluşturulacak güvenli bir iletişim protokolü üzerinden NFC servisinin gerçekleşmesi sağlanmaktadır (Şekil 3). Akıllı Telefon üzerinde bulunan mobil uygulama, kullanıcıya yetki vererek Buluttaki gizli bilgilerine ulaşır. Her NFC işleminde, HCE destekli Akıllı Telefonun Buluttaki sunucu ile iletişime geçmesi gerekmektedir. Bu yöntemdeki en önemli nokta, Akıllı Telefon ile sunucu arasında hızlı ve güvenli bir veri transferi (4G veya daha üstü) gerekmektedir [8, 9, 10]. Bu durum Tam Bulut tabanlı HCE modeli için bir kısıtlama doğurmaktadır. 1

duyulmamaktadır [8, 9, 10]. Akıllı Telefonun ilgili NFC uygulamasına ait Token bilgisini saklıyor olması yeterlidir; NFC okuyucu tarafından bu bilginin alınması ile NFC servisi kolaylıkla gerçekleşmektedir. Şekil 2. HCE tabanlı kart benzetimi Şekil 4. Tokenization Tabanlı HCE Modeli Tokenization yönteminin özellikle ödeme sistemleri kapsamında geliştirilmesi amacıyla, Amerikan Ulusal Standartlar Enstitüsü (ANSI, American National Standards Institute) nün Akredite Standartları Komitesi (ASC, Accredited Standards Committee) X9, Ödeme Kart Endüstrisi (PCI, Payment Card Industry) ve EMV (Europay, MasterCard, Visa) organizasyonları çeşitli tanımlamalar ve standartlar oluşturmuşlardır. Şekil 3. Tam Bulut Tabanlı HCE Modeli Diğer bir gerçekleşme modeli ise Tokenization tabanlı HCE modelidir; kart benzetimi Akıllı Telefon üzerinde bulunan mobil uygulama tarafından, Tokenization yöntemi kullanılarak gerçekleştirilebilir [9]. Kullanıcının her bir gizli bilgisi için bir Token oluşturulması gerekmektedir ve Tokenization sistemi sağlayıcısı olarak Token Servis Sağlayıcısı (TSP, Token Service Provider) her gizli bilgi için bir Token değer oluşturur. Söz konusu Token bilgisi ve gerçek bilgi, TSP tarafından veritabanı sunucusunda saklanır; kullanıcı ise Akıllı Telefonunda sadece mobil uygulama ile ilgili Token değerini saklar. Bir NFC işlemi için gerçekleşeceği zaman Akıllı Telefon üzerinde bulunan mobil uygulama ilgili Token bilgisini NFC okuyucuya iletir (Şekil 4). Servis Sağlayıcısı elde ettiği kullanıcıya ait Token bilgisini, TSP ye ileterek bu bilginin çözümlenmesi için talepte bulunur. TSP ise ilgili Token bilgisini çözümler ve kullanıcıya ait gerçek gizli bilgiyi Servis Sağlayıcısı ile paylaşır, kullanıcının NFC işlemi için onay veya yetki verir. Bu yöntem, Akıllı Telefonun çevrimdışı olması durumunda da NFC işleminin gerçekleşmesine imkân sağlamaktadır; herhangi bir İnternet bağlantısına ihtiyaç III. PCI/DSS TOKENİZATİON YÖNERGELERİ PCI DSS Konseyi, ödeme sistemleri için Tokenization yönteminin önemli tanımlamalarını gerçekleştirmiştir ve 2011 yılında Tokenization Yönergeleri (Tokenization Guidelines) isimli en önemli Tokenization çalışması yayınlanmıştır. PCI DSS Tokenization Yönergeleri ne göre, Token değeri önemli bir bilgi olan Birincil Hesap Numarası (PAN, ) değeri yerine kullanılmaktadır ve Tokenization yöntemi PAN değerlerinin hassas olmayan Token değerleri ile değiştirilmesini amaçlamaktadır. Bir Token değeri, PAN değerinden bağımsız olarak çeşitli uzunluk ve yapıda olabilir [11]. Tokenization sistemlerinin güçlü güvenlik mekanizmaları ile korunması gerekmektedir ve temel dört bileşenden oluşması gerekmektedir [11]: Token Oluşturma: Token oluşturma sürecini tanımlamaktadır; oluşturulan Token değerinden, orijinal PAN değerinin tekrar hesaplanabilmesinin imkânsız olması gerekmektedir. PCI DSS Tokenization Yönergeleri ne göre çeşitli Token oluşturma yöntemleri olarak güçlü bir kriptografik algoritma veya tek yönlü fonksiyon 2

veya Rastgele Sayı Üretici (RNG, Random Number Generator) algoritması uygulanmalıdır. Token Eşleştirme: Token değerinin orijinal, gerçek PAN değeri ile eşleştirilebilmesi işlemidir. Söz konusu eşleştirme işleminin PCI DSS Tokenization Yönergeleri ne göre gerçekleştirilmesi gerekmektedir. Kart Veri Ambarı: Kart verilerinin yani PAN değerlerinin depolandığı merkezi bir veri ambarıdır ve Token eşleştirme işleminin gerçekleştiği yerdir. Gizli verilerin veritabanında şifreli bir şekilde saklanması gerekmektedir. Aynı zamanda bu veri ambarının PCI DSS Tokenization Yönergeleri ne göre yönetilmesi ve korunması gerekmektedir. Kriptografik Anahtar Yönetimi: Veri ambarında bulunan PAN değerlerinin, kart ve hesap bilgilerinin korunması için kullanılacak olan şifreleme anahtarlarının yönetilmesi işlemidir. IV. BULUTTA GÜVENLİ ELEMAN SİSTEMİ Bulutta Güvenli Eleman sistemi, Tokenization yöntemine dayanan özgün bir iletişim modeli -İki Aşamalı Tokenization modeli- sağlamaktadır. Bu kapsamda ödeme sistemleri için oluşturulan Tokenization çalışmalarından PCI DSS Tokenization Yönergeleri (Tokenization Guidelines) temel alınmıştır. Bulutta Güvenli Eleman sistemi, HCE tabanlı birçok NFC servisini (erişim kontrolü, kimlik, sadakat, üyelik vb.) destekleyecek şekilde tasarlanmıştır. Şekil 5 te gösterildiği üzere, sistem üç ana aktörden oluşmaktadır: Akıllı Telefon Kullanıcısı, Servis Sağlayıcısı ve Token Servis Sağlayıcısı. Şekil 5. Bulutta Güvenli Eleman Sistemi Aktörleri Akıllı Telefon Kullanıcısı, HCE teknolojisini destekleyen ve NFC uyumlu bir Akıllı Telefon kullanıcısıdır. Servis Sağlayıcısı, Akıllı Telefonlar için HCE destekli NFC mobil uygulama veya uygulamalar (erişim kontrolü, anahtar, kimlik, pasaport, sadakat, üyelik vb.) sağlayan firmadır. Token Servis Sağlayıcısı ise Bulut ortamında güvenli veri merkezi hizmetini ile Tokenization servisini sağlayacak olan ana aktördür. Kullanıcılara ait özel bilgilerin ve ilgili Token değerlerin güvenli bir şekilde Token Sunucusunda depolanması ve yönetilmesi işlemlerini gerçekleştirilecektir. Bulutta Güvenli Eleman ekosisteminde Servis Sağlayıcılar Token Servis Sağlayıcısı nın altyapısından faydalanarak güvenli bir şekilde HCE tabanlı NFC servisler sunabilecektir. Buna bağlı olarak bir Akıllı Telefon kullanıcısı da mevcut Servis Sağlayıcıların HCE tabanlı NFC servislerini kullanabileceklerdir. Söz konusu model ile Token Servis Sağlayıcısı na bağlı merkezileşmiş bir iletişim altyapısı oluşturulmuştur. Bulutta Güvenli Eleman sistemi, İki Aşamalı Tokenization modeli sağlamaktadır. Her NFC iletişimi sırasında hem kullanıcının hem de ilgili uygulamanın kimlik yönetiminin sağlanması amaçlanmaktadır ve buna bağlı olarak (güçlü bir kriptografik algoritma veya tek yönlü fonksiyon veya Rastgele Sayı Üretici algoritması vb. yöntem ile oluşturulmuş) iki Token değeri (usertoken ve apptoken) kullanılmaktadır. Kullanıcı kimlik tespitinin güvenli bir şekilde sağlanması için kimlik bilgilerine (adı, soyadı, kimlik numarası vb.) karşılık gelecek bir Token değeri (usertoken) kullanılmaktadır. usertoken değeri ile Akıllı Telefon kullanıcısının kimlik bilgileri ve diğer uygulamalara ait gizli bilgilerinin yetkisi olmayan aktörlerin eline geçmesi önlenmektedir. Bir Servis Sağlayıcısı nın da söz konusu model içerisinde birden fazla uygulaması olabilir. Bunları birbirinden ayırabilmek ve her uygulamanın kimliğini tanımlamak için bir Token değer (apptoken) kullanılmaktadır. apptoken değeri ile Servis Sağlayıcı uygulamasına ait kimlik bilgisinin yetkisi olmayan aktörlerin eline geçmesi önlenmektedir. Söz konusu usertoken ve apptoken değerleri, geliştirilecek iletişim altyapısında bir araya geldiğinde ilgili Akıllı Telefon kullanıcısının -Token Servis Sağlayıcısı nın sunucusu üzerinde- ilgili uygulamaya ait gizli bilgisini işaret edecektir. Şekil 6 da Bulutta Güvenli Eleman sisteminin -örnek bir erişim kontrolü uygulaması kapsamında- genel iletişim ve veri akış modeli gösterilmektedir. (1) Akıllı Telefon kullanıcısı, kayıtlı olduğu erişim kontrolü uygulamasının güvenli geçiş noktasında bulunan NFC okuyucuya dokunur. Akıllı Telefonda bulunan ve kullanıcıyı tanımlayan usertoken değeri, NFC okuyucuya gönderilir. 3

(2) NFC okuyucu aldığı usertoken değerini kendi sunucu uygulamasına gönderir ve yetkilendirme talebi işlemini başlatır. (3) NFC okuyucu sunucu uygulaması, aldığı usertoken değerine ilgili erişim kontrolü uygulamasının kimliğini tanımlayan apptoken değerini ekler ve Token Servis Sağlayıcısı na bu Token değerleri yetkilendirme talebi için gönderir. (4) Token Servis Sağlayıcısı gelen yetkilendirme talebi doğrultusunda Token değerleri kendi veritabanında eşleştirir. İlgili kullanıcının söz konusu uygulamaya ait gizli bilgisinin -yani kullanıcının erişim yetkisinin- olup olmadığını kontrol eder. (5) Token Servis Sağlayıcısı eşleştirme işlemi sonucunda elde ettiği yetkilendirme veya onay mesajı bilgisini NFC okuyucu sunucu uygulamasına geri gönderir. (6) NFC okuyucu sunucu uygulaması gelen yetkilendirme bilgisini aynı şekilde NFC okuyucuya ileterek kullanıcının güvenli geçiş noktasından erişim kontrolünü sağlar. (7) Son olarak, NFC okuyucu da kullanıcının Akıllı Telefonuna yetkilendirme bildirimi mesajı gönderir. veritabanı sistemidir. Token sunucu uygulaması ile Token veritabanı sistemi, Bulut ortamında (Windows Azure Pack ortamında) ayrı sunucularda geliştirilmiştir. Aynı zamanda güvenlik duvarı mekanizmaları ile ağ ve iletişim güvenliği sağlanmıştır. Şekil 6. Bulutta güvenli eleman sistemi iletişim modeli A. Sistem Mimarisi Bulutta Güvenli Eleman sistemi dört modüler uygulama parçasına ayrılarak Şekil 7 de gösterilen mimari kapsamında geliştirilmiştir; NFC okuyucu uygulaması, mobil uygulama, Token sunucu uygulaması ve Token Şekil 7. Sistem mimarisi B. Test Senaryosu Bulutta Güvenli Eleman sisteminin test çalışmaları kapsamında, toplantı odalarına girişleri ve çıkışları kontrol etmeyi sağlayan kurum içi erişim kontrolü senaryosu oluşturulmuştur. Kurumun ana girişte sağlayacağı erişim kontrolü uygulamasına ek olarak, kurum çalışanları kurumun toplantı odalarının girişinde bulunan NFC okuyucularına dokunarak toplantılara giriş ve çıkış anlarında erişim kontrolü uygulaması gerçekleştirecektir. Kurum içindeki her toplantı odası için -apptoken değerine benzer- ilgili toplantı odasını tanımlayan bir toplantı odası ID değeri bulunmaktadır. Söz konusu toplantı odası ID değerleri, kurumun apptoken değerine bağlıdır ve Token veritabanı buna uygun bir şekilde tasarlanmıştır. Toplantı odalarının girişinde bulunan NFC okuyucuların her birinde ilgili toplantı odasını tanımlayan toplantı odası ID bilgisi bulunmaktadır. Aynı zamanda tasarlanan kullanım senaryosu kapsamında, her kullanıcı (usertoken) için veritabanında belli roller (yöneticiler, çalışanlar vb.) tanımlanmıştır ve

rollere bağlı yetki mekanizmaları sağlanmaktadır. Mobil uygulama üzerinden yöneticilerin toplantı düzenlemesine, planlamasına ve katılımcıları ayarlamasına izin verilmektedir. Çalışanların sadece geçmiş toplantı katılımlarını ve gelecek toplantı davetlerini görüntüleyebilmesine izin verilmektedir. Şekil 7 de gerçekleştirilen kurum içi erişim kontrolü test senaryosu gösterilmektedir: (1) Yönetici önce kendi Akıllı Telefonu üzerindeki mobil uygulamaya girer ve ilgili kurumun erişim kontrolü servisine gider. Ardından yöneticinin gerçekleştirebileceği tüm işlemler mobil uygulama tarafından listelenir. Bu listeden toplantı planlama senaryosunu seçerek toplantı düzenler ve toplantı katılımcılarını belirler. Bu aşamada mobil uygulama ve Token Sunucusu arasında veri transferi, mobil İnternet veya WiFi bağlantısı ile gerçekleşir. Yöneticinin kendi usertoken bilgisi ile oluşturduğu toplantı bilgisi detayları Token veritabanına kayıt edilir. (2) Toplantıya davetli çalışanlardan biri toplantı vakti geldiğinde, toplantının gerçekleşeceği toplantı odasının girişinde bulunan NFC okuyucuya Akıllı Telefonu ile dokunur. (3) NFC okuyucu, kullanıcının Akıllı Telefonunda bulunan usertoken değerini alarak toplantı odası ID bilgisi ile beraber Token sunucusuna gönderir; kullanıcının ilgili toplantıya girme yetkisinin olup olmadığı sorgusunu gerçekleştirir. (4) Token sunucusu gelen Token değerlerinin - usertoken ve toplantı odası ID- veritabanında eşleştirmesini gerçekleştirir. Öncelikli olarak söz konusu toplantı odasında (toplantı odası ID), ilgili tarih ve saatte gerçekleşen bir toplantı olup olmadığını sorgular. Eğer bir toplantı mevcut ise, ilgili kullanıcının (usertoken) gerçekleşen toplantıda katılımcı olup olmadığı sorgulanır. Eğer bir toplantı mevcut değil ise, hata mesajı gönderir. (5) Token sunucusu eğer kullanıcının toplantıda katılımcı olduğunu belirlemiş ise, NFC okuyucuya giriş yetkisi bildirimi gönderir ve katılımcının toplantıya giriş zamanını veritabanına kayıt eder. Kullanıcının toplantıya katılım yetkisi ve giriş zamanı Akıllı Telefonunda bildirim olarak görünecektir (Şekil 8). Aksi durumda, söz konusu toplantıya giriş yetkisinin olmadığı bildirimi gönderilir. Kullanıcı toplantıdan ayrılırken yine NFC okuyucuya dokunarak toplantıdan çıkış bildirimini gerçekleştirir; Token Sunucusu katılımcının çıkış zamanını veritabanına kayıt eder. Şekil 8. Toplantı erişim kontrolü senaryosu Şekil 9. Toplantı giriş ve çıkış bildirimi V. BİLGİLENDİRME Bu çalışma 0726.STZ.2014 numaralı San-Tez projesi kapsamında Bilim, Sanayi ve Teknoloji Bakanlığı ile KoçSistem Bilgi ve İletişim Hizmetleri A.Ş. tarafından desteklenmektedir. KAYNAKÇA [1] Coskun, V., Ok, K., Ozdenizci, B., 2012, Near Field Communication (NFC): From Theory to Practice, John Wiley and Sons, London, UK. [2] GlobalPlatform, https://www.globalplatform.org/mediaguidese.asp [Ziyaret Tarihi: 15 Ağustos 2016]. [3] Coskun, V., Ozdenizci, B., Ok, K., 2015, The Survey on Near Field Communication, Sensors, 15, 13348-13405.

[4] Reveilhac, M., Pasquet, M., 2009, Promising Secure Element Alternatives for NFC Technology, First International Workshop on Near Field Communication, Hagenberg, Avusturya, 24 26 Şubat 2009, 75 80. [5] Kanniainen, L., 2010, Alternatives for Banks to Offer Secure Mobile Payments, International Journal of Bank Marketing, 28 (5), 433 444. [6] Alattar, M., Achemlal, M., 2014, Host-based Card Emulation: Development, Security and Ecosystem Impact Analysis, IEEE International Conference on High Performance Computing and Communications, 20-22 Ağustos 2014, Paris. [7] Prakash, N., 2015, Host Card Emulation, International Journal of Scientific and Research Publications, Ağustos, 5 (8), 1-3. [8] Smart Card Alliance Mobile and NFC Council, 2014. Host Card Emulation (HCE) 101, http://www.smartcardalliance.org/wpcontent/uploads/ HCE_Webinar_FINAL_061815.pdf [Ziyaret Tarihi: 15 Ağustos 2016]. [9] Mobey Forum, 2014, The Host Card Emulation in Payments: Options for Financial Institutions, http://www.mobeyforum.org/whitepaper/ the-host-card-emulationin-payments-options-for-financial-institutions/ [Ziyaret Tarihi: 15 Ağustos 2016]. [10] SmartCard Alliance, 2015, Host Card Emulation: An Emerging Architecture for NFC Applications, http://www.smartcardalliance.org/activities-events-host-cardemulation-an-emerging-architecture-for-nfc-applications/ [Ziyaret Tarihi: 15 Ağustos 2016]. [11] PCI DSS, 2011, Tokenization Guidelines Version 2.0, https://www.pcisecuritystandards.org/documents/tokenization_gui delines_info_supplement.pdf, [Ziyaret Tarihi: 15 Ağustos 2016]. 6

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim