Yeni Bir Güvenlik Katmanı Ekleyerek Mobil Hizmet Kullanıcısı Kimliğinin Güvenliğini Sağlama

Öz

Günümüzde, servis sağlayıcılar için operasyonel verimliliği artırmak ve kullanıcılar için web veya mobil servislerde daha kolay bir kimlik doğrulama yöntemi sağlamak için çeşitli ortak kimlik sistemleri (örn. Facebook Login, Google Connect, Apple ID) kullanılmaktadır. Tüm ortak kimlik sistemleri, servis sağlayıcıya kullanıcı kimliğini güvenli bir şekilde kanıtlarken kesintisiz ve sorunsuz kullanıcı deneyimi sunmaya odaklanır. Özellikle akıllı telefonlarda, yüksek güvenlik seviyesine sahip ortak kimlik sistemlerinin kullanılması daha önemli bir gereklilik haline gelmektedir. Bu bağlamda, MNO'lar (Mobil Şebeke Operatörleri), güçlü GSM yeteneklerine sahip oldukları için ortak kimlik hizmetleri sağlamada önemli bir aktör olarak kabul edilmektedir. Şu an, servis sağlayıcıların mobil uygulamalarında kimlik doğrulama için kullanılan ve MNO’lar tarafından sağlanan OpenID Connect ve Mobile Connect standartlarına dayalı birçok kimlik yönetimi çözümünü görmek mümkündür. Fakat mevcut çözümler genellikle düşük düzeyde güvence (LoA2 veya LoA3) sağlamaktadır. Katma değerli mobil hizmetlerdeki gelişmeler ve artan güvenlik gereksinimleri ile, servis sağlayıcılar ve kullanıcılar için daha yüksek düzeyde güvence (LoA4), güçlü kimlik doğrulama ve inkar etmeme hizmetleri sağlayacak ortak kimlik sistemlerine ihtiyaç vardır. Bu çalışma, Mobile Connect ve OpenID Connect standartlarına dayanan, mobil hizmetler için birçok faktörlü kimlik doğrulama yönteminin geliştirilmesini ve uygulanmasını sunmaktadır. Tasarlanan model, akıllı telefondaki hassas mobil hizmetlere erişmek için kullanıcının üç kimlik -bilgi, sahiplik, biyometrik- faktörünün kullanımını içerir. Fonksiyonel gereksinimlere göre sistem geliştirme ve test çalışmaları sistematik olarak sunulmuştur. MNO'lar tarafından önerilen modelin gerçekleştirilmesi ve hizmet sunulması, gelecekte yüksek düzeyde güvence gerektiren mobil hizmetlerin geliştirilmesinde önemli bir rol oynayabilir.

Anahtar Kelimeler

• OpenID Connect
• Mobile Connect
• Kimlik
• LoA4
• Çok Faktörlü Kimlik Doğrulama

Protecting Mobile Service User Identity by Adding Additional Security Layer

Abstract

Today, various common identity systems (eg Facebook Login, Google Connect, Apple ID) are used to improvee operational efficiency for service providers and provide an easier authentication method in web or mobile services for users. Almost all common identity systems focus on delivering seamless user experience while proving user identity securely to the service provider. In particular, the use of common identity systems with a high security level is becoming a more important requirement on smartphones. In this context, MNOs (Mobile Network Operators) are considered as an important actor in providing common identity services, as they have strong GSM capabilities. Currently, it is possible to see many identity management solutions -based on OpenID Connect and Mobile Connect standards- from MNOs which are used for authentication in mobile applications of service providers. However, recent solutions generally provide low level of assurance (i.e., LoA2 or LoA3). With advancements in value-added mobile services and increasing security requirements; there is a need for common identity systems that provide higher levels of assurance (i.e., LoA4), strong authentication and non-repudiation services for service providers and users. This study presents the development and implementation of a multi-factor authentication method for mobile services based on Mobile Connect and OpenID Connect standards. The designed model includes the usage of three identity -knowledge, ownership, biometric- factors of the user in order to access sensitive mobile services on the smartphone. The system development and testing studies were systematically presented based on the functional requirements. The realization and deployment of the proposed model by MNOs could play an important role in the development of mobile services that require a high level of assurance in the future.

Keywords

• OpenID Connect
• Mobile Connect
• Identity
• LoA4
• Multi-Factor Authentication

References

1. Apple Sign-In (2020). https://developer.apple.com/sign-in-with-apple/
2. Facebook Login (2020). https://developers.facebook.com/docs/facebook-login/
3. Turkcell (2020). Fast Login. https://hizligiris.turkcell.com.tr/en/fast-login/what-is-fast-login
4. Google Sign-In (2020). https://developers.google.com/identity
5. GSMA (2020). Mobile Connect, https://www.gsma.com/identity/mobile-connect.
6. Harini, N., & Padmanabhan, T. R. (2013). 2CAuth: A new two factor authentication scheme using QR-code. International Journal of Engineering and Technology, 5(2), 1087-1094.
7. ISO/IEC 29115 (2013). Information technology-Security techniques-Entity authentication assurance framework.
8. Ozdenizci Kose, B., Buk, O., Mantar, H. A., & Coskun, V. (2020, October). TrustedID: An Identity Management System based on OpenID Connect Protocol. In 2020 4th International Symposium on Multidisciplinary Studies and Innovative Technologies (ISMSIT) (pp. 1-6). IEEE.

9. Mobile Connect (2020). https://mobileconnect.io/
10. Hardt, D. (2012). The OAuth 2.0 authorization framework (p. 6749). RFC 6749, October.
11. Ometov, A., Bezzateev, S., Mäkitalo, N., Andreev, S., Mikkonen, T., & Koucheryavy, Y. (2018). Multi-factor authentication: A survey. Cryptography, 2(1), 1.
12. OpenID Connect (2014). http://openid.net/connect/
13. Orange Developer (2016). Mobile Connect Technical Guide, https://developer.orange.com/tech_guide/mobile-connect/
14. Orange Developer (2017). OpenID Connect Technical Guide, https://developer.orange.com/tech_guide/openid-connect-1-0/
15. Petsas, T., Tsirantonakis, G., Athanasopoulos, E., & Ioannidis, S. (2015, April). Two-factor authentication: is the world ready? Quantifying 2FA adoption. In Proceedings of the eighth european workshop on system security (pp. 1-7).
16. Schneier, B. (2005). Two-factor authentication: too little, too late. Communications of the ACM, 48(4), 136.
17. Wang, R., Chen, S., & Wang, X. (2012, May). Signing me onto your accounts through facebook and google: A traffic-guided security study of commercially deployed single-sign-on web services. In 2012 IEEE Symposium on Security and Privacy (pp. 365-379).