Geri Dön

Development of secure e-commerce protocol

Güvenli e-ticaret protokolü geliştirilmesi

PDF İndir

  1. Tez No: 744926
  2. Yazar: SENA EFSUN CEBECİ
  3. Danışmanlar: DOÇ. DR. ENVER ÖZDEMİR
  4. Tez Türü: Doktora
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Mühendislik Bilimleri, Computer Engineering and Computer Science and Control, Engineering Sciences
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2022
  8. Dil: İngilizce
  9. Üniversite: İstanbul Teknik Üniversitesi
  10. Enstitü: Bilişim Enstitüsü
  11. Ana Bilim Dalı: Bilişim Uygulamaları Ana Bilim Dalı
  12. Bilim Dalı: Bilgi Güvenliği Mühendisliği ve Kriptografi Bilim Dalı
  13. Sayfa Sayısı: 91

Özet

Son on yılda E-ticaretteki yaşanan güvenlik ihlalleri bu konuda E-ticaret şirketlerinin daha fazla önlem almasına yol açmaktadır. Daha çok kredi kartı dolandırıcılığı ve kullanıcı hesaplarının çalınması konularında ihlaller yaşanmakta ve bu durumun kaynağı kişisel verilerin güvenli saklanamaması olarak görülmektedir. Bu konuda E-ticaret şirketleri kullanıcı verilerini daha güvenli saklayabilmek için veri tabanı güvenliğine daha çok önem göstermekte ve buna yönelik yatırımlarda bulunmaktadır. Ayrıca karşılaşılan bu güvenlik zafiyetleri ve veri sızıntıları güvenlik açısından geliştirilecek protokol ve yöntemlere olan ihtiyacın ne derece büyük olduğunu da gözler önüne sermektedir. E-ticaret güvenliği için sunulmuş mevcut metotlar yetersiz kalmakta, hesaplama ve iletişim masrafları açısından E-ticaret şirketlerine yük getirmektedir. Benzer şekilde veri tabanı zafiyetleri, mobil ödeme sistemlerinde de mevcuttur ve bu konuda da çeşitli önlemler alınmalıdır. Genelde kullanıcı verileri veri tabanı sistemlerinde şifreli ve şifresiz tutulmakta, veri tabanı ele geçirildiğinde kullanıcı verilerine erişim sağlanabilmektedir. Bu tezde E-ticaret ve mobil ödeme sistemlerinde var olan güvenlik açıklıklarına çözüm olacak yeni bir yaklaşımla güvenliği bir üst seviyeye taşıyan bir E-ticaret protokolü öneriyoruz. Ayrıca bu protokol sayesinde veri tabanı ele geçirilse bile kullanıcı verilerine ulaşılması mümkün olmamakta ve kullanıcıların mahremiyet konusundaki endişeleri ortadan kalkmaktadır. Kullanıcılar kendi verileri üzerinde söz sahibi olabilmekte ve verinin kontrolünü sağlayabilmektedir. Bu üstün özellikleri gerçekleştirebilmek için kullanıcıların verileri matematiksel yöntemler kullanılarak değiştirilmekte, veri tabanında bu değiştirilen haliyle saklanmakta ve kullanıcının her çevrimiçi işlemde kişisel bilgilerini tekrar girmesi ihtiyacını ortadan kaldırmaktadır. Bu protokol kişisel verilerin gizliliğini sağlarken, kullanıcı ve E-ticaret şirketi arasındaki alışveriş güvenliğini de sağlamakta ve çeşitli E-ticaret sistemlerine adapte edilebilmektedir. Sunulan yaklaşımla birlikte E-ticaret şirketlerine verilerin güvenli depolanması konusunda sorumluluk yüklememekte, bunun yerine güvenliğin banka ve kullanıcı tarafından sağlandığı daha güvenli bir çözüm getirmektedir. Güvenli E-ticaret protokolü, kullanıcının E-ticaret sistemine kaydedilmesi ve satın almanın gerçekleşip onaylanması olarak iki aşamadan oluşmaktadır. İlk aşamada kullanıcının bir kereye özgü E-ticaret sistemine kaydı yapılmaktadır. Bu aşamada banka, kullanıcıdan gelen kişisel bilgilerle E-ticaret şirketinin sertifika bilgisini birleştirip değiştirilmiş veriyi oluşturmaktadır. Değiştirilmiş verinin bu şekli, bankada bulunan bir simektrik anahtarla simetrik bir şifreleme algoritması kullanılarak şifrelenmekte ve kullanıcıya gönderilmektedir. Kullanıcı da kendisine gönderilen şifreli değişmiş veriyi depolanmak üzere E-ticaret şirketine iletmektedir. Böylece kullanıcının sisteme kayıt işlemi gerçekleştirilmiş olmaktadır. Kullanıcı sisteme kaydedildikten sonra yapacağı diğer alışveriş işlemlerinde kişisel verilerini tekrar tekrar sisteme işlemek zorunda kalmamaktadır. Protokolün ikinci aşamasında ikinci ve daha sonraki alışverişlerin yapılıp onaylanması adımları gerçekleşmektedir. Kullanıcı ödeme kısmına geldiğinde ödeme tutar bilgisini kendi bankası ve sorumlu banka ile paylaşmaktadır. Banka her bir kullanıcı ödeme işlemi için işlemin gerçekleştiği zaman dilimine ait bir zaman değeri üretmektedir. Bankanın ürettiği bu değer o zaman dilimindeki işlem yapan bütün kullanıcıları kapsamaktadır ve aynı olmaktadır. Bu aşamada banka tarafından ödeme tutar bilgisi, zaman değeri ve bankanın gizli anahtarı kullanılarak bir şifreli metin oluşturulmaktadır. Şifreli metin oluşturulurken modüler bir işlem gerçekleştirilmekte olup, ödeme tutar bilgisi ve zaman değerlerinin ayrık logaritma probleminin zor olduğu bir grup seçilerek gizlenmesi sağlanmaktadır. Oluşturulan şifreli metin banka tarafından kullanıcıya iletilmekte ve kullanıcı da bu bilgiyi E-ticaret şirketine göndermektedir. Ödemenin onaylanma işleminin sağlıklı bir şekilde gerçekleşmesi için E-ticaret şirketi kendisinde var olan şifreli metin, şifreli değişmiş kullanıcı verisi (kullanıcı kaydı sırasında oluşturulan) ve ödeme tutar bilgisini bankaya iletmektedir. Satın almanın tamamlanması ve kullanıcının doğrulanması için bankadaki bilgilerle (şifreli metin, şifreli değişmiş kullanıcı verisi ve ödeme tutar bilgisi) sorumlu banka tarafındaki bilgilerin (hesap sahibi bilgisi ve ödeme tutar bilgisi) kontrolünün sağlanması gerekmektedir. Protokolde gerçekleştirilen katkılar üç başlık altında toplanmaktadır. İlk katkı olarak E-ticaret şirketinin veri tabanı ele geçirilmesi halindeki durum incelenmektedir. Veriler değiştirilerek şifrelendiği için kullanıcıların hassas verilerine ulaşılması mümkün olmamaktadır. E-ticaret şirketinin veri tabanında saklanan veriler açık veri halinde saklanmamakta ve verilerin şifreleme yöntemi biliniyor olsa bile veri manipüle edilerek depolandıgı için ele geçirilen veriden hassas veriye ulaşılabilecek bir yol bulunmamaktadır. Böylece E-ticaret veri tabanına erişimi bulunan sistem yöneticilerinin kişisel verileri kötü niyetli kullanması konusundaki endişe de ortadan kalkmaktadır. Bir diğer katkı ise, kişisel verilerin üzerindeki söz sahibi kişinin kullanıcı olmasıdır. Kişisel verinin tüm kontrolü kullanıcı tarafından banka ile birlikte gerçekleştirilmekte ve E-ticaret şirketinde hassas verinin orijinal hali bulunmamaktadır. Bu sebeple E-ticaret şirketinin kişisel verilerin korunması ile ilgili güvenlik önlemleri almasına ve yatırım yapmasına da gerek kalmamaktadır. Böylelikle kullanıcı mahremiyeti güvenlik açısından üst düzeye taşınmaktadır. Ayrıca bu protokolle kullanıcının kişisel verileri mobil veya web uygulamada manipülasyon metoduyla değiştirilmekte ve E-ticaret veri tabanında değişmiş veri şifrelenerek saklanmaktadır. Bu manipülasyon metodu, E-ticaret sistemlerinin güvenliğine yeni bir boyut getirmektedir ve protokolün sağladığı bir başka katkıyı oluşturmaktadır. Kullanıcı E-ticaret sistemine bir kere kayıt edildikten sonra kullanıcının kişisel verilerini bir sonraki alışveriş esnasında tekrar girmesine de gerek kalmamaktadır. Son olarak, önerdiğimiz protokolü test ortamında gerçekleyerek doğrulandığını gösteren atak senaryoları tasarlanmış, bilinen diğer protokol ve algoritmalarla kıyaslanmıştır. Elde edilen analiz sonuçları önerilen protokolün işletim süreci açısından var olan diğer yöntemlerden (3D Secure ve SET) daha verimli olduğunu ortaya koymuştur.

Özet (Çeviri)

Increased security breaches in e-commerce over the previous decade have prompted e-commerce enterprises to take more precautions. The inability to securely retain personal data has resulted in violations primarily involving credit card fraud and the theft of user accounts. In this context, e-commerce companies invest in increasing database security to more securely keep user data. Furthermore, these security flaws demonstrate the critical necessity for security protocols and solutions to be implemented. Existing approaches are insufficient and place undue pressure on e-commerce businesses in terms of calculation and connectivity. Similar database flaws exist in mobile payment systems, and numerous safeguards should be included. In general, user data is maintained encrypted and unencrypted in database systems, and user data can be viewed when the database is compromised. In this thesis, we propose an e-commerce protocol that takes security to the next level by employing a novel technique to address existing security flaws in e-commerce and mobile payment systems. Furthermore, even if the database is taken, this protocol prevents access to personal data, removing users' concerns about privacy. Users will have a right to claim how their data is used and will be able to regulate it. To accomplish these enhanced capabilities, users' data is transformed using mathematical procedures and stored in the database in this modified form. Finally, we implemented the proposed protocol and designed attack scenarios to demonstrate that it has been validated and compared to other known protocols and algorithms. The analysis revealed that the suggested protocol outperforms the compared approaches in terms of execution time.

Benzer Tezler

  1. Tez No

    152834

    Design and development of cryptographic fair exchange protocois

    Başlık çevirisi yok

    ÇAĞIL CAN ÖNİZ

    Yüksek Lisans

    İngilizce

    İngilizce

    2004

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolSabancı Üniversitesi

    PROF. ERKAY SAVAŞ

  2. Tez No

    139400

    How cryptographic implementations affect mobile agent systems

    Şifreleme gerçekleştirmelerinin gezgin aracı internet sistemlerini nasıl etkilediği

    İSMAİL ULUKUŞ

    Yüksek Lisans

    İngilizce

    İngilizce

    2003

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolBoğaziçi Üniversitesi

    Sistem ve Kontrol Mühendisliği Ana Bilim Dalı

    PROF. DR. EMİN ANARIM

  3. Tez No

    349796

    FPGA tabanlı şifreli kablosuz haberleşme sistemi

    FPGA based encrypted wireless communication system

    ILGAZ AZ

    Yüksek Lisans

    Türkçe

    Türkçe

    2014

    Elektrik ve Elektronik Mühendisliğiİstanbul Teknik Üniversitesi

    Disiplinlerarası Ana Bilim Dalı

    DOÇ. DR. GÖKHAN İNALHAN

  4. Tez No

    875961

    Video konferans uygulamalarında güvenlik duvarı ve sanal özel ağ (VPN) kullanımının farklı ağlarda performans analizi

    Performance analysis of video conferencing applications with use of firewall and virtual private network (VPN) in different networks

    SERDAR ARPACI

    Yüksek Lisans

    Türkçe

    Türkçe

    2024

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolDüzce Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DOÇ. DR. ARAFAT ŞENTÜRK

  5. Tez No

    752118

    SSL test suit tasarlanması ve web tarayıcıların sertifika doğrulama davranışlarının test edilmesi

    Designing SSL test suite and testing certificate validation behavior of web browsers

    MERVE MELİS ŞİMŞEK

    Yüksek Lisans

    Türkçe

    Türkçe

    2022

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolGazi Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ HÜSEYİN TEMUÇİN

Geri Dön