ÜNÜ
2241/A
SANAYİ ODAKLI LİSANS BİTİRME TEZİ DESTEKLEME PROGRAMI
SONUÇ RAPORU
PROJE BAŞLIĞI: Mobil ve Web Uygulamalarında Güvenlik Amaçlı Kimlik Doğrulama için Kare Kod Uygulaması
PROJE YÜRÜTÜCÜSÜNÜN ADI: Ece Çini
DANIŞMANININ ADI: Yrd. Doç. Dr. Mete Eminağaoğlu
GENEL BİLGİLER
PROJENİN KONUSU
Kare kod teknolojisini kullanarak güvenli ve iki faktörlü bir kimlik doğrulama sistemi geliştirip kısa mesajla cep telefonlarına gelen tek kullanımlık sayısal parolalar yerine kullanılmasını sağlamak.
PROJE YÜRÜTÜCÜSÜNÜN ADI Ece Çini
DANIŞMANIN ADI Yard. Doç. Dr. Mete Eminağaoğlu PROJE BAŞLANGIÇ VE BİTİŞ
TARİHLERİ
1 Ocak 2014 – 15 Temmuz 2014
1. Giriş
Projemizi, ülkemizdeki finans kurumlarının Internet bankacılığı uygulamalarında çevrim içi (online) kullandığı kimlik doğrulama sisteminden esinlenerek tasarladık ve geliştirdik. Son yıllarda yaygınlaşan kare kod (QR code) teknolojileri ve ilgili uygulamalarının da [1][4][6][11] kullanıcılara büyük bir kolaylık sağladığını gördük ve bu iki sistemi birleştirerek, güvenliği de sağlayacak bir şekilde bir proje geliştirmeye karar verdik. Bu proje ile, çeşitli Internet bağlantılı web uygulamalarında kullanıcıların çevrim içi kullandığı iki faktörlü kimlik doğrulama sistemlerinde kullanıcıların cep telefonlarına kısa mesaj (SMS) şeklinde gelen tek kullanımlık parolaya (çoğunlukla cep telefonuna kısa mesajla gelen 6 basamaklı sayılar) alternatif olacak daha güvenli ve kullanımı da daha hızlı, pratik ve kolay yenilikçi ve teknolojik bir çözüm sağlanacaktır. Bu çözümü de, kare kod teknolojisini kullanarak güvenli ve iki faktörlü bir kimlik doğrulama sistemi geliştirip kısa mesajla cep telefonlarına gelen tek kullanımlık sayısal parolalar yerine kullanılmasını sağlayarak gerçekleştirmeyi hedefledik.
Tasarladığımız ve kodlayarak uygulamasını geliştirdiğimiz sistem bilgisayar ve telefon arasında iletişim sağlayacak şekilde geliştirilecek ve güvenlik alternatifleri de sağlayacaktır. Kullanıcı tabanlı olan bu sistem iki aşamalı güvenlik doğrulaması içermektedir. İlk aşamada kullanıcıdan müşteri numarası ve şifre isteyecek, kullanıcının girdiği bilgiler onaylandığı anda otomatik olarak telefonuna e- mail ile kare kod gönderilmektedir. Kullanıcı aynı sayfa üzerinde bulunan kamera sistemine kare kodu tek kullanımlık parola yerine geçecek şekilde bilgisayar kamerasını kullanarak okutacak, okutulan bilgi ile sistemdeki kare kod karşılaştırıldığında, bilgiler tamamen aynı ise sisteme başarılı bir şekilde giriş
yapabilecektir. Eğer kare kod verilerinde farklılık var ise, kimlik doğrulama hatalı olacak, girişe izin verilmeyecek ve sistem kullanıcıdan tekrar giriş yapmasını isteyecektir. Kare kod tek kullanımlık rastsal oluşturulacak veri içermektedir. Yani, her kullanıcı için hem alfanümerik tipte verilerin bulunduğu rastsal bir değer üretilip kare kod içerisine atılacaktır. Kare kodun geçerlilik süresi maksimum beş dakika olacak, beş dakika sonra kare kod sistemden silinecektir. Eğer kullanıcı sisteme bu süre içinde giriş yapmadıysa, tekrar müşteri numarası/kullanıcı adı ve şifresini girip, yeni kare kod talebinde bulunması gerekecektir. Kare kodu, kullanıcı beş dakika içerisinde erişim yapacağı sisteme tanıtmak zorundadır; dolayısı ile uygulama sunucusu ve sistem tarafında rastsal olarak oluşturulmuş olan kare kod sadece beş dakika saklanacak ve ardından otomatik olarak sistemden silinmektedir. Üç defa yanlış şifre girilmesi durumunda sistem kilitlenmekte ve kullanıcıya bilgisayar ekranında çıkacak bir uyarı ile bildirilmektedir. Eğer kullanıcı sisteme kare kod ile kimlik doğrulamasını ve sonrasında da yetkisi dahilindeki sisteme girişi başarılı şekilde yaparsa son giriş tarihi ve saati kaydedilmektedir.
2. Rapor dönemlerinde yapılan çalışmalar 1. Dönem
• Kimlik doğrulama sistemlerinin araştırılması
• Kimlik doğrulama adımları ve QR kod kullanım alanlarının araştırılması
• Online banka giriş sayfaları ve kimlik doğrulama sistemlerinin araştırılması
• MMS gönderme sistemleri ve harici kullanabilecek sistemlerin araştırılması
• Kameradan kare kod okutma sistemleri ve uygulamarının araştırılması
2. Dönem
• Güvenli giriş sayfasının tasarımı
• Veri yapısının oluşturulması ve tasarlanması
• Kare kod oluşturmak için kodlama yapılması
• MMS sistemlerinin denenmesi ve maaliyetli olmasından dolayı e-mail sisteminin geliştirilmesi
• Kameradan kare kod okutma sisteminin uygulanması
• Güvenlik ve sistem testler
• Sistemin birleştirilmesi
3. Sonuç:
Projemizdeki öncelikli amaç ve hedeflerimizi başardığımızı elde ettiğimiz sonuçlar, testler ve verilerin ışığında söyleyebiliriz. Projemiz sonunda geliştirmeyi hedeflediğimiz bu çözüm çevrim içi banka sistemlerinde kullanılabileceği gibi, iki faktörlü kimlik doğrulama gerektiren güvenli erişim ve giriş gerektiren tüm sistemler ve uygulamalar için de kullanılabilecektir. Bu sistemler, mobil ve / veya web tabanlı uygulamalara entegre şekilde, şirketlere özel geliştirilmiş uygulamalar ya da genel kullanıma açık çevrim içi kullanılacak sistemler olabilir. Geliştirdiğimiz çözüm ve ilgili ürün, mevcutta ülkemizde ve dünyada kullanılan iki faktörlü kimlik doğrulamada tek kullanımlık elle girilmesi gereken verilerin (nümerik ya da alfanümerik) olduğu tüm teknolojik çözüm ve ürünlerden daha güvenli olduğu muhtemeldir.
Projemizde öncelikle bilgisayarlarda web tabanlı uygulamalar ve tarayıcılar üzerinden kullanıcıların kullanması ve e-mail(e-mail veya MMS) kanalları (gateway) aracılığıyla cep telefonuna mesaj gelecek şekilde çözüm üretilmesi planlanmıştır. Öte yandan; projemizin ilerideki yeni versiyonları için, ürün ve çözümümüzü diğer mobil platformlara da (Android, Iphone, Windows vb) uyumlu hala getirecek şekilde ek uygulamaları da programlamayı planlıyoruz.
Projede prototip olarak; QR code v.1 error correction level 40H ve 21 x 21 standardı için, alfanümerik ve / veya ikili sistem alternatifleri kullanılmıştır. İleride geliştirecek yeni sürümlerinde; MMS kapasitesi ve hız, vb performans kıstaslarına bağlı olarak, kare kodların 37 x 37, vb daha büyük ve yeni versiyonları da testler sonucu kullanım kapsamına alınabilir. Kullanıcı açısından da mevcuttaki SMS ile gelen bilginin kullanıcı tarafından manuel girilmesi zahmetini ortadan kaldıracağı ve bu sayede daha yenilikçi ve kolay bir çözüm olacağı için; ülkemiz genelinde şirketler, kamu kurumları ve kullanıcılar tarafından tercih edilmesi ve yaygınlaşarak kullanılması mümkün bir proje olacağını düşünmekteyiz.
4. Çıktılar Teknik Sunum
Bu bölümde, oluşturduğumuz ve kodlayarak ilgili uygulamasını geliştirdiğimiz sisteme ilişkin kullanıcı ara yüzü ve ilgili ekranlardan bazılarının örnek görüntüleri ilgili şekiller ve kısa açıklamalarla yer almaktadır. Ayrıca, uygulamada çeşitli programlama
dilleri ile kodlayarak geliştirdiğimiz modüller ve işlevlere ait kaynak kodların belli başlı kıısmları bu bölümdeki ilgili şekillerde gösterilmektedir.
Şekil 5. Sistemin giriş sayfası ekranı görüntüsü.
Hazırladığımız örnek web sitesine girildiğinde ilk açılan sayfa Şekil 5’te bulunan giriş sayfasıdır. Kullanıcı numarasını ve şifresini Customer Number ve Password alanlarına yazacaktır. Bilgileri doğrulanan kullanıcıya otomatik olarak kare kod yaratılıp, e-posta yolu ile kullanıcıya gönderilecektir.
Customer Number ve Password alanlarına 3 defa yanlış bilgi girilmesi sonucu kullanıcıyı bloklama işlemi güvenlik önlemi amacıyla yapılmaktadır (Şekil 6 ve Şekil 7).
Şekil 6. Şekil 7.
Giriş yapmaya çalışan kullanıcı Customer Number veya Password değerlerini yanlış girdiğinde Şekil 6’daki gibi uyarı mesajı gösterilir. 3 defa yanlış girilirse sistem
kullanıcıyı bloklar ve bir gün boyunca girişini engeller. Şekil 7’de bloklanan kullanıcının göreceği sayfa gösterilmektedir.
Şekil 8.
Şekil 8’de kullanıcıya e-posta ile gönderilmiş kare kod örneği gösterilmektedir.
Kullanıcıya e-posta ulaşmadığı durumda tekrar istekte bulunabilir. E-posta yollandıktan sonra kameranın bulunduğu panel otomatik olarak devreye girecek ve kamera aktif hale gelecektir.
Kameranın aktif olduğu sayfa ve kare kodun kamera tarafından algılandığı aşamanın örnek görüntüsü Şekil 9’da yer almaktadır.
Şekil 9.
Kameranın aktif olduğu sayfaya kare kod kullanıcı tarafından gösterildiğinde kamera tarafından otomatik olarak algılanacak ve kare koda gömülü olan numerik değer arka planda karşılaştırılacaktır. Bilgiler doğrulandıktan sonra kimlik doğrulama sistemi güvenli bir şekilde kullanıcının sisteme yönlendirilmesini sağlayacaktır.
Uygulamanın çeşitli aşamaları için ASP.Net, MS Visual C#, jQuery ve MS SQL programlama dilleriyle yazdığımız ve teste ettiğimiz kodların örnek görüntüleri Şekil 10, 11, 12, 13, 14, 15’te gösterilmektedir.
Şekil 10. Login butonuna basıldığında kullanıcının bloklanmış olup olmadığını kontrol eden kısma ait kaynak kod.
Şekil 11. Blok listesinde bulunmayan kullanıcının bilgilerini kontrol edip kullanıcıyı bulunca CreateQRCode() metodunu çalıştırıyor.
Şekil 12. Üç defa yanlış şifre giren kullanıcının girdiği şifreler, ip adresi ve bloklanma tarihi ile blok listesine kaydedildiği kaynak kodu.
Şekil 13. Alfanumerik karakterlerle kare kodun içine eklenecek kriptografik rastsal kod oluşturulan kısmın kaynak kodu.
Şekil 14. Kare kodun oluşturulduğu aşamanın kaynak kodu.
Şekil 15. Oluşturulan kare kod kullanıcının e-posta adresine gönderen kısım.
Şekil 16. Şekildeki jQuery script kodu, kamerayı açıp kare kodu okuma işlemini gerçekleştirmektedir.
5. Proje ile ilgili harcama kalemleri hakkında ayrıntılı bilgi Ön Bilgi / Açıklama:
İşbu rapordaki projemiz, TUBİTAK tarafından “2241-A Sanayi Odaklı Lisans Bitirme Tezi Destekleme Programı 2014/2” kapsamında onay almış olmasına rağmen, projenin bitmesi ve öğrencilerin Temmuz 2014’te bitirme projelerini teslim edip mezun olmalarına rağmen, tarafımıza (proje yürütücüsü veya danışmanına) herhangi bir ödeme bugüne kadar (10 Haziran 2015 itibariyle) yapılmamıştır.
Ödeme sorunuyla ilgili olarak, TUBİTAK’taki yetkililerle Haziran ve Temmuz 2014 tarihleri arasında çeşitli defalar telefonla ulaşılıp bilgi alınmaya çalışılmış, fakat ulaşılamamıştır. Ayrıca tarafımızca ödemenin yapılmamış olması hususunda TUBİTAK yetkililerine eposta ile yazılı da bilgi verilmiş fakat sonuç alınamamıştır. İlgili yazışmalar işbu raporun ekinde yer almaktadır.
Projenin onaylanan bütçesinde öngörülen aşağıdaki masraf kalemleri, yukarıda açıklanan nedenden ötürü, karşılanamamış ve bu nedenle proje kapsamında ilgili kısımlar zorunlu olarak kapsam dışı bırakılmıştır.
Tarafımıza herhangi bir ödeme yapılmaması nedeniyle, yapılamayan harcamalar ve proje kapsamı dışı tutulan kalemler:
1. Projedeki MMS mesajlarının testleri ve nihai sistemin oluşturulması için MMS gateway hizmeti alımı.
2. Projedeki testlerde kullanım amaçlı kamera, mobil aygıtlar ve ilgili diğer cihazların alımı ve kurulumu.
Kurumunuzdan, tarafımıza herhangi bir ödeme bugüne kadar yapılmadığı halde, kurumunuz yetkililerinin isteği doğrultusunda, proje boyunca yapılan ulaşım masraflarının toplam miktarı 1200 (bin iki yüz) Türk Lirası’dır.
Bu ulaşım masraflarına ait orijinal faturalar da işbu raporun ekinde yer almaktadır ve kargoyla tarafınıza iletilecektir.
Bilgilerinize önemle arz ederiz.
Saygılarımızla.
PROJE YÜRÜTÜCÜSÜNÜN ADI – SOYADI - İMZA
DANIŞMANIN ADI – SOYADI - İMZA
Ece Çini Yrd. Doç. Dr. Mete
Eminağaoğlu
Tarih : 10/06/2015
Ekler:
Ek1. Proje yürütücüsünün ödemenin yapılmamış olması hususunda TUBİTAK yetkililerine eposta ile yapılan yazışma.
Ek 2. Proje boyunca yapılan ulaşım masraflarının faturaları
Ek1. Proje yürütücüsünün ödemenin yapılmamış olması hususunda TUBİTAK yetkililerine eposta ile yapılan yazışma.
Şekil 1. TUBİTAK yetkilisi ile yapılan yazışma
From: Ece Çini [mailto:[email protected]]
Sent: Wednesday, August 6, 2014 12:10 AM To: [email protected]
Subject: 2241-A(2014/2) Öğrenci Destek Tutarı-Ece Çini
Merhaba Deyiş Hanım,
20 Şubat tarihinde başvuruda bulunmuş olduğumuz "2241-A Sanayi Odaklı Lisans Bitirme Tezi Destekleme Programı(2014-2)" programının sonuçlarının uzun süre önce açıklanmış olmasına rağmen hala destek tutarı banka hesaplarımıza ulaştırılmamıştır. Bu durumda biz mağdur olmaktayız. Tüm belgeler 20 Şubat
tarihinde BİDEB sistemine online olarak yüklenmiş olup, eksiksiz bir şekilde kargo ile iletilmiştir. Bununla ilgili bilgilendirme yapılırsa çok seviniriz.
Not: Değerlendirme sonuçlarında belirtilen başvuru no: 1139B411400367
Saygılarımla.
Ece Çini
Yaşar Üniversitesi Bilgisayar Mühendisliği
Ek 2. Proje boyunca yapılan ulaşım masraflarının faturaları
Şekil 1. Ulaşım masraflarının faturaları
Şekil 2. Ulaşım masraflarının faturalarının devamı
