RU2660604C2 - Agent for safe cloud service provision and device of security markers for safe cloud service - Google Patents
Agent for safe cloud service provision and device of security markers for safe cloud service Download PDFInfo
- Publication number
- RU2660604C2 RU2660604C2 RU2015120264A RU2015120264A RU2660604C2 RU 2660604 C2 RU2660604 C2 RU 2660604C2 RU 2015120264 A RU2015120264 A RU 2015120264A RU 2015120264 A RU2015120264 A RU 2015120264A RU 2660604 C2 RU2660604 C2 RU 2660604C2
- Authority
- RU
- Russia
- Prior art keywords
- header
- file
- cloud server
- agent
- security token
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/12—Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
Description
УРОВЕНЬ ТЕХНИКИ ИЗОБРЕТЕНИЯBACKGROUND OF THE INVENTION
1. Область техники изобретения1. The technical field of the invention
В целом, настоящее изобретение относится к агенту для обеспечения безопасного облачного сервиса и устройству маркеров безопасности для безопасного облачного сервиса. В частности, настоящее изобретение относится к технологии увеличения безопасности, согласно которой аутентификация пользователя и шифрование-дешифрование заголовков выполняются в файлах в аппаратном устройстве маркеров безопасности, которое может отсоединяться от пользовательского терминала, и впоследствии файлы хранятся на облачном сервере.In General, the present invention relates to an agent for providing a secure cloud service and the device security tokens for a secure cloud service. In particular, the present invention relates to a technology for increasing security, according to which user authentication and encryption-decryption of the headers are performed in files in the hardware device security tokens, which can be disconnected from the user terminal, and subsequently the files are stored on a cloud server.
2. Описание предшествующего уровня техники2. Description of the Related Art
В настоящее время, облачные вычислительные среды широко используются для эффективного распределения ИТ-ресурсов и безопасного хранения данных. В 1960-х годах специалист в области информатики Джон Маккарти предложил концепцию облачных вычислений. В последнее время, стремительный прогресс инфраструктуры связи и растущая потребность в эффективном распределении ресурсов вычислительной среды поспособствовали быстрому развитию облачных вычислений.Currently, cloud computing environments are widely used for efficient distribution of IT resources and secure data storage. In the 1960s, computer science specialist John McCarthy proposed the concept of cloud computing. Recently, the rapid progress of the communications infrastructure and the growing need for the efficient allocation of computing resources have contributed to the rapid development of cloud computing.
В облачной вычислительной среде капитальные затраты на ИТ-оборудование со стороны клиента можно снизить, так как пользователям не нужны высокотехнологичные терминалы, а ИТ-ресурсы можно эффективно распределять в зависимости от сред обработки услуг. Однако облачные вычисления имеют некоторые проблемы безопасности. Например, когда сервер облачных вычислений подвергается взлому, данные могут быть украдены или поставщики услуг могут намеренно раскрывать конфиденциальные пользовательские данные.In a cloud computing environment, the capital costs of IT equipment on the client side can be reduced, because users do not need high-tech terminals, and IT resources can be effectively allocated depending on the processing environments of services. However, cloud computing has some security concerns. For example, when a cloud computing server is hacked, data may be stolen or service providers may intentionally disclose sensitive user data.
Кроме того, поскольку облачные сервисы используются не только в ПК, но и в мобильных средах, таких как смартфоны и т.д., проблемы безопасности необходимо решить для того, чтобы защитить облачный сервер от взлома.In addition, since cloud services are used not only in PCs, but also in mobile environments such as smartphones, etc., security problems must be solved in order to protect the cloud server from hacking.
Соответственно, документы, в том числе заявка на патент Кореи 10-1107056, раскрывают метод шифрования синхронизируемого файла перед отправкой с клиентского терминала на облачный сервер и дешифрования файла на клиентском терминале после получения из облачного сервера.Accordingly, documents, including Korean Patent Application 10-1107056, disclose a method for encrypting a synchronized file before sending it from the client terminal to the cloud server and decrypting the file on the client terminal after receiving it from the cloud server.
В некоторых продуктах, использующих вышеописанный метод, шифрование выполняется модулями программно-реализованных алгоритмов, которые применяют ключи шифрования под управлением приложения-агента Windows, либо файлы шифруются в программном обеспечении с помощью ключей шифрования, хранящихся в аппаратном устройстве.In some products using the method described above, encryption is performed by modules of software-implemented algorithms that use encryption keys under the control of the Windows agent application, or files are encrypted in software using encryption keys stored in the hardware device.
Другими словами, так как существующие методы шифрования файлов для увеличения безопасности облачного сервиса выполняют шифрование в программном обеспечении, а управление ключами шифрования осуществляется с помощью программы Windows, ключи могут перехватываться программами контроля, которыми управляют взломщики. Из этого следует, обеспечение безопасности на предыдущем уровне техники является сложной задачей.In other words, since existing file encryption methods to increase the security of the cloud service perform encryption in the software, and the encryption keys are managed using the Windows program, the keys can be intercepted by control programs controlled by crackers. It follows that security in the prior art is a complex task.
Документы по предшествующему уровню техникиBackground Documents
(Патентный документ 1) KR10-1107056(Patent Document 1) KR10-1107056
СУЩНОСТЬ ИЗОБРЕТЕНИЯSUMMARY OF THE INVENTION
Таким образом, настоящее изобретение было создано с учетом вышеуказанных проблем, возникающих на предшествующем уровне техники, а цель настоящего изобретения заключается в том, чтобы произвольно генерировать заголовок, который является ключом шифрования файла, в устройстве маркеров безопасности, соединенном с пользовательским терминалом, а также шифровать файл в агенте, причем ключ защиты предохраняется от передачи, а объем переданных и полученных данных можно сократить, так как устройство маркеров безопасности шифрует и дешифрует только заголовок.Thus, the present invention was created taking into account the above problems arising in the prior art, and the aim of the present invention is to randomly generate a header, which is a file encryption key, in a security token device connected to the user terminal, and also to encrypt file in the agent, and the security key is protected from transmission, and the amount of transmitted and received data can be reduced, since the device of security tokens encrypts and decrypts only heading.
Помимо этого, чтобы увеличить безопасность, настоящее изобретение предусматривает шифрование и дешифрование облачного файла и синхронизирует его только в том случае, когда устройство маркеров безопасности соединено с пользовательским терминалом.In addition, in order to increase security, the present invention provides for the encryption and decryption of a cloud file and synchronizes it only when the security token device is connected to a user terminal.
Также, целью настоящего изобретения является генерирование сеансового ключа при помощи случайного значения, полученного из ключа пароля, когда устройство маркеров безопасности соединено с пользовательским терминалом в целях улучшения безопасности.It is also an object of the present invention to generate a session key using a random value obtained from a password key when the security token device is connected to a user terminal in order to improve security.
Чтобы достичь вышеуказанной цели, согласно варианту осуществления настоящего изобретения агент, установленный на пользовательском терминале для обеспечения безопасного облачного сервиса, может включать: генератор заголовков для генерирования заголовков, имеющих случайное значение для шифрования файла, загружаемого на облачный сервер, при получении этого файла с пользовательского терминала; генератор сеансовых ключей для генерирования сеансовых ключей, создающих сеанс с устройством маркеров безопасности при обнаружении устройства маркеров безопасности, отсоединяющегося от пользовательского терминала, устройство маркеров безопасности шифрует сгенерированный заголовок или дешифрует заголовок файла, загруженного с облачного сервера; и шифратор-дешифратор для шифрования файла, загружаемого на облачный сервер, использующий зашифрованный заголовок, когда он зашифрован устройством маркеров безопасности, и для дешифрования файла, загружаемого с облачного сервера с помощью дешифрованного заголовка, когда он дешифрован устройством маркеров безопасности.To achieve the above goal, according to an embodiment of the present invention, an agent installed on a user terminal for providing a secure cloud service may include: a header generator for generating headers having a random value for encrypting the file downloaded to the cloud server upon receipt of this file from the user terminal ; a session key generator for generating session keys that create a session with a security token device when it detects a security token device disconnected from the user terminal, the security token device encrypts the generated header or decrypts the header of the file downloaded from the cloud server; and a decryptor-decryptor for encrypting the file downloaded to the cloud server using the encrypted header when it is encrypted by the security token device, and to decrypt the file downloaded from the cloud server using the decrypted header when it is decrypted by the security token device.
Генератор заголовков может шифровать сгенерированный заголовок с помощью сеансового ключа и передавать зашифрованный заголовок на устройство маркеров безопасности.The header generator can encrypt the generated header with a session key and transmit the encrypted header to the security token device.
Генератор сеансовых ключей может получать пароль и запрашивать открытый ключ у устройства маркеров безопасности, когда обнаруживает его; генерировать данные аутентификатора, включающие случайное значение для аутентификации, шифровать данные с помощью открытого ключа и передавать их на устройство маркеров безопасности; а также генерировать сеансовый ключ с помощью случайного значения для аутентификации и отклика при приеме от устройства маркеров безопасности данных отклика, включающих случайное значение для него.The session key generator can receive a password and request a public key from the security token device when it detects it; generate authenticator data, including a random value for authentication, encrypt the data with the public key and transfer it to the device security tokens; and also generate a session key using a random value for authentication and response when receiving security tokens from the device response data, including a random value for it.
Для достижения вышеуказанной цели устройство маркеров безопасности для безопасного облачного сервиса согласно варианту осуществления настоящего изобретения может включать: интерфейсный блок, отсоединяющийся от пользовательского терминала, для обеспечения интерфейса с агентом, установленным на пользовательском терминале; запоминающее устройство для хранения зашифрованного заголовка, который является ключом шифрования, генерируемым со случайным значением для шифрования и дешифрования файла, выкладываемого на облачный сервер; контроллер поддержки конвертирования шифрования-дешифрования, шифрующий заголовок файла, загружаемого на облачный сервер, при получении этого заголовка сохраняет зашифрованный заголовок на запоминающем устройстве и передает его на агент; и сохраняет зашифрованный заголовок файла, загружаемого с облачного сервера на запоминающее устройство, при приеме этого заголовка дешифрует его и передает на агент.To achieve the above goal, the security token device for a secure cloud service according to an embodiment of the present invention may include: an interface unit disconnected from the user terminal to provide an interface with an agent installed on the user terminal; a storage device for storing the encrypted header, which is an encryption key generated with a random value for encrypting and decrypting the file uploaded to the cloud server; the encryption-decryption conversion support controller that encrypts the header of the file uploaded to the cloud server, upon receipt of this header, saves the encrypted header on the storage device and transfers it to the agent; and saves the encrypted header of the file downloaded from the cloud server to the storage device, upon receipt of this header decrypts it and transfers it to the agent.
Кроме того, устройство маркеров безопасности может дополнительно включать чип безопасной аутентификации, передающий открытый ключ по запросу агента и получающий данные аутентификатора, включая случайное значение для аутентификации; генерирует ответные данные, включающие случайное значение для отклика, и передает ответные данные на агент; и генерирует сеанс с агентом по получении от него сеансового ключа, с генерацией последнего агентом с помощью случайного значения для аутентификации и случайного значения для отклика.In addition, the security token device may further include a secure authentication chip that transmits a public key upon agent request and receives authenticator data, including a random value for authentication; generates response data including a random value for the response, and transmits response data to the agent; and generates a session with the agent upon receipt of a session key from it, with the last agent generating it using a random value for authentication and a random value for the response.
Чип безопасной аутентификации может шифровать шифрованный или дешифрованный заголовок с помощью сеансового ключа и передавать его на агент.The secure authentication chip can encrypt an encrypted or decrypted header using a session key and send it to the agent.
Согласно настоящему изобретению конфиденциальные данные для физических лиц и компаний не могут быть открыты при взломе облачного сервера и, поскольку заголовок файла (и ключ шифрования со случайным значением) шифруется и дешифруется в устройстве ключа маркера, утечки ключа шифрования можно избежать, даже если ПК взломан. Следовательно, безопасность можно существенно улучшить.According to the present invention, confidential data for individuals and companies cannot be opened when a cloud server is hacked and, since the file header (and the encryption key with a random value) is encrypted and decrypted in the token key device, encryption key leaks can be avoided even if the PC is hacked. Therefore, security can be significantly improved.
Также, сеансовый ключ генерируется с помощью случайного значения, полученного из ключа пароля при соединении устройства маркеров безопасности с пользовательским терминалом, а шифрованный или дешифрованный заголовок передается после шифрования сеансовым ключом, и тем самым можно улучшить безопасность.Also, the session key is generated using a random value obtained from the password key when the security token device is connected to the user terminal, and the encrypted or decrypted header is transmitted after encryption by the session key, and thereby security can be improved.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙBRIEF DESCRIPTION OF THE DRAWINGS
Вышеуказанные и другие цели, признаки и преимущества настоящего изобретения будут более понятны исходя из следующего подробного описания вместе с прилагаемыми чертежами, в которых:The above and other objectives, features and advantages of the present invention will be better understood on the basis of the following detailed description together with the accompanying drawings, in which:
РИС. 1 - схема конфигурации системы для обеспечения безопасного облачного сервиса согласно настоящему изобретению;FIG. 1 is a system configuration diagram for providing a secure cloud service according to the present invention;
РИС. 2 - блок-схема, показывающая подробную конфигурацию агента пользовательского терминала по РИС. 1;FIG. 2 is a block diagram showing a detailed configuration of a user terminal agent in FIG. one;
РИС. 3 - схема генерирования данных аутентификатора генератором сеансовых ключей по РИС. 2;FIG. 3 is a diagram for generating authenticator data by a session key generator in FIG. 2;
РИС. 4 - блок-схема, показывающая подробную конфигурацию устройства маркеров безопасности по РИС. 1;FIG. 4 is a block diagram showing a detailed configuration of a device of security tokens in FIG. one;
РИС. 5 - схема, объясняющая генерирование ответных данных чипом безопасной аутентификации по РИС. 4;FIG. 5 is a diagram explaining the generation of response data by a secure authentication chip in FIG. four;
РИС. 6 - схема последовательности операций, показывающая предварительный процесс для использования устройства маркеров безопасности в ПК-среде;FIG. 6 is a flowchart showing a preliminary process for using a security token device in a PC environment;
РИС. 7 - схема последовательности операций, показывающая процесс, в котором файл шифруется с помощью устройства маркеров безопасности и затем передается на облачный сервер;FIG. 7 is a flowchart showing a process in which a file is encrypted using a security token device and then transmitted to a cloud server;
РИС. 8 - схема последовательности операций, показывающая процесс, в котором файл дешифруется с помощью облачного сервиса в мобильной среде;FIG. 8 is a flowchart showing a process in which a file is decrypted using a cloud service in a mobile environment;
РИС. 9 - схема последовательности операций, показывающая процесс аутентификации пользователя при соединении устройства маркеров безопасности с пользовательским терминалом;FIG. 9 is a flowchart showing a user authentication process when connecting a security token device to a user terminal;
на РИС. 10 показан процесс шифрования заголовка файла в устройстве маркеров безопасности при загрузке файла;in FIG. 10 shows a process for encrypting a file header in a security token device when downloading a file;
на РИС. 11 показан процесс дешифрования заголовка файла в устройстве маркеров безопасности при загрузке файла.in FIG. 11 shows the process of decrypting a file header in a security token device when downloading a file.
ОПИСАНИЕ ПРЕДПОЧТИТЕЛЬНЫХ ВАРИАНТОВ ОСУЩЕСТВЛЕНИЯ ИЗОБРЕТЕНИЯDESCRIPTION OF THE PREFERRED EMBODIMENTS OF THE INVENTION
Настоящее изобретение будет описано подробно исходя из его аспектов (или вариантов). Тем не менее, изобретение может быть выполнено во множестве разных форм и не должно рассматриваться как ограниченное только вариантами, изложенными в настоящем документе, а должно предусматривать модификации, аналоги или альтернативы, подпадающие под замыслы и технический объем настоящего изобретения.The present invention will be described in detail based on its aspects (or variations). However, the invention can be implemented in many different forms and should not be construed as limited only by the options set forth herein, but should include modifications, analogs, or alternatives that fall within the scope and technical scope of the present invention.
Должны быть предусмотрены ссылки на чертежи, где одни и те же номера позиций используются на разных чертежах для обозначения одних и тех же или подобных компонентов. В данном описании, сведения о широко известных признаках и методах можно упустить, чтобы избежать ненужного запутывания представленных вариантов.Reference should be made to the drawings, where the same reference numbers are used in different drawings to refer to the same or similar components. In this description, information about well-known features and methods can be omitted to avoid unnecessarily confusing the presented options.
Подразумевается, что хотя термины первый, второй и т.д. могут использоваться в данном документе для описания разных элементов, эти элементы не должны быть ограничены указанными терминами. Они используются только для различения одного элемента от другого. Например, первый элемент может быть назван вторым, и, подобным образом, второй элемент может быть назван первым без отступления от объема настоящего изобретения.It is understood that although the terms are first, second, etc. can be used in this document to describe different elements, these elements should not be limited to these terms. They are used only to distinguish one element from another. For example, the first element may be called the second, and, likewise, the second element may be called the first without departing from the scope of the present invention.
В данном контексте, термин «и/или» включает все без исключения комбинации одного или нескольких связанных и перечисленных элементов.In this context, the term “and / or” includes all, without exception, combinations of one or more of the related and listed elements.
Следует понимать, что если элемент называют «подключенным» или «подсоединенным» к другому элементу, его можно прямо подключить или соединить с другим элементом, либо могут присутствовать промежуточные элементы. И наоборот, если элемент называется «прямо подключенным» или «прямо подсоединенным» к другому элементу, промежуточные элементы отсутствуют.It should be understood that if an element is called “connected” or “connected” to another element, it can be directly connected or connected to another element, or intermediate elements may be present. Conversely, if an element is called “directly connected” or “directly connected” to another element, there are no intermediate elements.
Терминология, использованная в настоящем документе, предназначена только для описания определенных вариантов осуществления изобретения и не должна его ограничивать. В данном контексте, формы единственного числа включают также формы множественного числа, если иное прямо не установлено контекстом. Также следует понимать, что термины «состоит», «состоящий», «включает» и/или «включающий» в этом контексте предполагают присутствие указанных признаков, чисел, этапов, операций, элементов и/или компонентов, но не исключают присутствие или добавление одного или нескольких других признаков, чисел, этапов, операций, элементов, компонентов и/или их групп.The terminology used in this document is intended only to describe certain embodiments of the invention and should not limit it. In this context, the singular also includes the plural, unless otherwise expressly stated by the context. It should also be understood that the terms “consisting”, “consisting”, “includes” and / or “including” in this context assume the presence of the indicated features, numbers, steps, operations, elements and / or components, but do not exclude the presence or addition of one or several other features, numbers, steps, operations, elements, components and / or groups thereof.
Если не указано иное, все термины (включая технические и научные), использующиеся в этом документе, имеют значение, главным образом понятное для среднего специалиста в данной области техники, к которой относится настоящее изобретение. Также подразумевается, что термины, определенные в общепринятых словарях, должны толковаться как имеющие значения, совпадающие с их значениями в контексте соответствующей области техники, и не будут истолкованы в идеализированном или слишком формальном смысле, если прямо не установлено иное.Unless otherwise indicated, all terms (including technical and scientific) used in this document have a meaning mainly understood by a person skilled in the art to which the present invention relates. It is also understood that the terms defined in generally accepted dictionaries should be interpreted as having meanings matching their meanings in the context of the relevant technical field, and will not be interpreted in an idealized or too formal sense, unless expressly stated otherwise.
На РИС. 1 представлена схема конфигурации системы для обеспечения безопасного облачного сервиса согласно настоящему изобретению; на РИС. 2 представлена блок-схема подробной конфигурации агента по РИС. 1; на РИС. 4 показана блок-схема подробной конфигурации устройства маркеров безопасности по РИС. 1.In FIG. 1 is a system configuration diagram for providing a secure cloud service according to the present invention; in FIG. 2 is a block diagram of a detailed configuration of a FIG agent. one; in FIG. 4 shows a block diagram of a detailed configuration of a device of security tokens in FIG. one.
Как показано на РИС. 1, система для обеспечения безопасного, облачного сервиса согласно настоящему изобретению включает пользовательский терминал 1, устройство маркеров безопасности 2 и облачный сервер 3. Пользовательский терминал 1 - это устройство, в котором хранятся файлы пользователя. Он включает различные типы терминалов, способных хранить и отображать файлы, и имеет доступ к сети Интернет, например ПК, переносные компьютеры, планшетные компьютеры, смартфоны и т.д. На РИС. 1, 1А обозначен ПК, 1В - планшетный ПК, 1С - смартфон.As shown in FIG. 1, a system for providing a secure, cloud service according to the present invention includes a
Кроме того, облачный сервер 3 является устройством для обеспечения облачного сервиса и публикации файлов пользователя, которое хранит контент пользователя в виде документов, контактов и медиафайлов, таких как фильмы, фото и музыка. Когда пользовательский терминал, включая ПК, смартфон и умное ТВ, запрашивает контент, пользовательский терминал может загружать контент, хранимый на сервере. В Корее, облачные сервисы представлены Naver NDrive, KТ ucloud, Daum Cloud и т.д., а также существуют такие глобальные облачные сервисы, как Dropbox, Box, Sugarsync, Google drive, Sky Drive и т.д.In addition, the
Как показано на РИС. 2, агент 100 устанавливается на пользовательском терминале 1 для обеспечения безопасного облачного сервиса согласно настоящему изобретению. Агент 100 может включать блок обнаружения событий 110, генератор сеансовых ключей 120, генератор заголовков 120 и шифратор-дешифратор файлов 140.As shown in FIG. 2,
Блок обнаружения событий 110 может обнаруживать появление события файла. В этом случае, событие указывает на создание, копирование, удаление и другие операции с загруженными или публикуемыми файлами.The
Создание, копирование и другие операции с публикуемыми файлами, которые требуют процесса шифрования, могут стать первым событием. И наоборот, создание, удаление и другие операции с загружаемыми файлами, которые требуют процесса дешифрования, могут стать вторым событием.Creating, copying and other operations with published files that require the encryption process may be the first event. Conversely, the creation, deletion and other operations with downloadable files that require a decryption process may be the second event.
При обнаружении первого события, включая загрузку на сервер и копирование файла, генератор заголовков 130 может генерировать заголовок со случайным значением и передавать его на устройство маркеров безопасности 2. В этом случае, заголовок является ключом для шифрования или дешифрования файла и может генерироваться со случайным значением с интервалом первого события.Upon detection of the first event, including downloading to the server and copying the file, the
Помимо этого, при обнаружении второго события, включая загрузку и удаление файла, генератор заголовков 130 может передавать заголовок файла, загруженного с облачного сервера 3, на устройство маркеров безопасности 2.In addition, when a second event is detected, including downloading and deleting a file, the
Когда пользователь загружает файл на облачный сервер 3 или копирует его, блок обнаружения событий 110 определяет, подключено ли устройство маркеров безопасности 2. Для увеличения безопасности, блок обнаружения событий 110 инициирует шифрование заголовка файла, загружаемого на сервер, на устройстве маркеров безопасности 2, только когда оно подключено.When a user uploads a file to or copies to a
Кроме того, когда пользователь загружает зашифрованный файл с облачного сервера и сохраняет либо удаляет его, блок обнаружения событий 110 определяет, подключено ли устройство маркеров безопасности 2 и может инициировать дешифрование заголовка зашифрованного файла на устройстве маркеров безопасности 2, когда оно подключено.In addition, when a user downloads an encrypted file from the cloud server and saves or deletes it, the
При обнаружении подключения устройства маркеров безопасности 2 генератор сеансовых ключей 120 может создавать сеанс для логического соединения с физически подключенным устройством маркеров безопасности 2 путем аутентификации пользователя.Upon detecting the connection of the security
Когда устройство маркеров безопасности 2 подключено к пользовательскому терминалу 1, генератор сеансовых ключей 120 создает сеансовый ключ путем передачи значения аутентификатора на устройство маркеров безопасности 2 и приема значения отклика на значение аутентификатора от устройства маркеров безопасности 2. Затем генератор сеансовых ключей 120 может создать сеанс с устройством маркеров безопасности 2 путем передачи на него сгенерированного сеансового ключа. Таким образом, значение аутентификатора получают шифрованием с помощью открытого ключа, случайного значения аутентификации, полученного из пароля.When the security
В частности, при обнаружении физического соединения с устройством маркеров безопасности 2 генератор сеансовых ключей 120 может принимать пароль от пользователя. Также, генератор сеансовых ключей 120 может запрашивать открытый ключ и получать его от устройства маркеров безопасности 2, когда введен пароль. Генерирование значения аутентификатора описано со ссылкой на РИС. 3.In particular, upon detecting a physical connection with the security
На РИС. 3 представлена схема генерирования данных аутентификатора генератором сеансовых ключей по РИС. 2.In FIG. 3 shows a diagram of generating authenticator data by a session key generator in FIG. 2.
Генератор сеансовых ключей 120 может генерировать случайное значение аутентификации, полученное из пароля. Случайное значение аутентификации может генерироваться с помощью алгоритма расширенного стандарта шифрования (AES) и шифроваться в режиме цепочки цифровых блоков (СВС).Session
Случайное значение аутентификации (ключ) может быть сгенерировано в виде 16-байтового ключа в режиме СВС по следующему уравнению:A random authentication value (key) can be generated as a 16-byte key in SHS mode according to the following equation:
Случайное значение аутентификации получают в следующем процессе. Сначала вектор инициализации (IV) обрабатывается XOR первым блоком открытого текста пароля и шифруется. Затем следующий блок открытого текста (SNO) обрабатывается XOR предыдущим зашифрованным блоком (SNO-1) и шифруется. Последний блок может быть заполненным блоком.A random authentication value is obtained in the following process. First, the initialization vector (IV) is processed by the XOR by the first block of plaintext password and is encrypted. Then the next block of clear text (SNO) is processed by XOR by the previous encrypted block (SNO-1) and encrypted. The last block may be a filled block.
Когда сгенерировано 16-байтовое случайное значение аутентификации, полученное из пароля, генератор сеансовых ключей 120 разделяет его на два блока: первый 8-байтовый блок (первое случайное значение) и второй 8-байтовый блок (второе случайное значение), а затем вставляет строку пароля 210 в начале каждого блока, чтобы создать первый и второй блок данных аутентификатора.When a 16-byte random authentication value is generated from the password, session
К примеру, когда пароль «SZTGBPWD», а случайное значение аутентификации, полученное по вышеуказанному уравнению, составляет 0×00 01 02 03 04 05 06 07 08 09 0A 0В 0С 0D 0Е 0F, первый блок становится «S Z Т G В Р W D 00 01 02 03 04 05 06 07», а второй - «S Z Т G В Р W D 08 09 0A 0В 0С 0D 0Е 0F». То есть, первый и второй блоки могут быть зашифрованы по криптографическому стандарту с общим ключом, PKCS#5.For example, when the password is “SZTGBPWD” and the random authentication value obtained by the above equation is 0 × 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F, the first block becomes “SZ T G B P WD 00 01 02 03 04 05 06 07 ”, and the second -“ SZ T G B P WD 08 09 0A 0B 0C 0D 0E 0F ”. That is, the first and second blocks can be encrypted using a cryptographic standard with a common key,
Как показано на РИС. 3, данные аутентификатора могут составлять 256 байтов и состоять из нескольких блоков с 16-байтовым столбцом.As shown in FIG. 3, authenticator data can be 256 bytes and consist of several blocks with a 16-byte column.
Первый блок может состоять из 8 байтов строки пароля 210 и 8 байтов первого случайного значения 220, полученного из пароля.The first block may consist of 8 bytes of the
Второй блок может состоять из 8 байтов строки пароля 210 и 8 байтов второго случайного значения 230, полученного из пароля.The second block may consist of 8 bytes of the
Также, третий блок может содержать 4 байта проверочного значения 240, которое указывает на результат проверки открытого ключа, полученного от устройства маркеров безопасности 2, а оставшиеся 12 байтов третьего блока могут быть заполнены. Другими словами, 220 байтов данных аутентификатора могут быть заполнены заполнителем 250.Also, the third block may contain 4 bytes of the
Генератор сеансовых ключей 120 может выполнять шифрование по методу RSA 256 байт данных аутентификатора по РИС. 3 с помощью открытого ключа, полученного от устройства маркеров безопасности 2, а затем может передавать их на него. Кроме того, в ответ на зашифрованные данные аутентификатора, генератор сеансовых ключей 120 принимает ответные данные, которые шифруются с помощью пароля от устройства маркеров безопасности 2, и генерирует сеансовый ключ. Затем генератор сеансовых ключей 120 может создать сеанс путем передачи сгенерированного сеансового ключа на устройство маркеров безопасности 2.Session
Генератор заголовков 130 создает заголовок для файла, в котором обнаружено первое событие, шифрует сгенерированный заголовок с помощью сеансового ключа, созданного генератором сеансовых ключей 120, и может передать его на устройство маркеров безопасности 2.The
Заголовок для публикуемого файла шифруется в устройстве маркеров безопасности 2 и может быть передан на шифратор-дешифратор файлов 140. Также, заголовок для загруженного файла дешифруется в устройстве маркеров безопасности 2 и может быть передан на шифратор-дешифратор файлов 140.The header for the published file is encrypted in the device of
Шифратор-дешифратор файлов 140 шифрует файл, в котором обнаружено первое событие, с помощью заголовка, зашифрованного в устройстве маркеров безопасности 2, и может загружать зашифрованный файл на облачный сервер 3.The
Помимо этого, шифратор-дешифратор файлов 140 дешифрует файл, в котором обнаружено второе событие, с помощью заголовка, зашифрованного устройством маркеров безопасности 2, чтобы файл мог запускаться на пользовательском терминале 1.In addition, the
Устройство маркеров безопасности 2 отсоединяется от пользовательского терминала 1 и работает, когда оно подключено к нему. Устройство маркеров безопасности 2 принимает заголовок файла, в котором блоком обнаружения событий 110 обнаружено появление любого события, от генератора заголовков 130; шифрует или дешифрует заголовок; и передает его на шифратор-дешифратор файлов 140.The
В частности, устройство маркеров безопасности 2 шифрует заголовок, полученный от генератора заголовков 130, и передает его на шифратор-дешифратор файлов 140 в процессе загрузки файла на сервер. И наоборот, во время загрузки файла, устройство маркеров безопасности 2 дешифрует заголовок зашифрованного файла, который загружается с облачного сервера 3 при приеме заголовка от генератора заголовков 130, и передает дешифрованный заголовок на шифратор-дешифратор файлов 140. Также, в случае такого события, как копирование, удаление и другая операция с файлом, устройство маркеров безопасности 2 может осуществлять процесс шифрования-дешифрования.In particular, the device of
С другой стороны, подробная конфигурация устройства маркеров безопасности 2 представлена на РИС. 4. Как показано на РИС. 4, устройство маркеров безопасности 2 включает интерфейсные блоки 10А и 10В, контроллер поддержки конвертирования шифрования-дешифрования 20, запоминающее устройство 30 и чип безопасной аутентификации 40.On the other hand, a detailed configuration of the
Интерфейсные блоки 10А и 10В являются разъемами, которые электрически соединяются с пользовательским терминалом 1. Как пример показаны USB-разъем 10А и микро-USB-разъем 10В, но могут использоваться различные типы интерфейсных устройств.The
Контроллер поддержки конвертирования шифрования-дешифрования 20 выполняет шифрование или дешифрование заголовка файла, в котором происходит событие, посредством ключа шифрования и блока шифрования, которые хранятся на контроллере, и осуществляет операцию управления для резервирования данных, когда устройство маркеров безопасности 2 по настоящему изобретению используется как резервная память.The encryption-decryption
Когда выполняется шифрование или дешифрование, объем передаваемых или принимаемых данных можно сократить, а скорость обработки данных можно увеличить путем шифрования или дешифрования только заголовка файла.When encryption or decryption is performed, the amount of data transmitted or received can be reduced, and the processing speed can be increased by encrypting or decrypting only the file header.
Также, контроллер поддержки конвертирования шифрования-дешифрования 20 выполняет аутентификацию пользователя посредством чипа безопасной аутентификации 40, когда устройство маркеров безопасности 2 подключено к пользовательскому терминалу 1, и осуществляет шифрование или дешифрование только в том случае, когда аутентификация пользователя завершена успешно. Аутентификация пользователя выполняется путем генерирования сеансового ключа с помощью значения аутентификатора, полученного шифрованием случайного значения из пароля, который введен пользователем, и используя значение отклика на значение аутентификатора.Also, the encryption-decryption
Запоминающее устройство 30 хранит зашифрованный заголовок. Кроме того, участок памяти запоминающего устройства 30 можно разделить таким образом, чтобы определенные части этого участка использовались для общей памяти, а остальные - для хранения зашифрованного заголовка. Запоминающее устройство 30 включает флэш-память, такую как широко используемая карта памяти USB или другие носители.The
Чип безопасной аутентификации 40 представляет собой чип для обеспечения функции защиты, выполняя аутентификацию пользователя, когда устройство маркеров безопасности 2 подключено к пользовательскому терминалу 1, и может хранить как минимум один пароль в качестве средства аутентификации пользователя, дактилоскопическую информацию пользователя и модуль генерирования OTP (одноразового пароля) для создания значения OTP.The
Парольная информация является личным идентификационным номером, который определен пользователем, и отличается от ключа шифрования. Кроме того, когда для аутентификации пользователя используется его дактилоскопическая информация, устройство считывания отпечатков пальцев должно быть установлено в устройстве маркеров безопасности или быть внешним устройством.Password information is a personal identification number that is defined by the user, and differs from the encryption key. In addition, when fingerprint information is used to authenticate the user, the fingerprint reader must be installed in the security token device or be an external device.
Модуль генерирования OTP использует шаг или время и случайное значение в качестве вводимых значений алгоритма шифрования для создания значения OTP и передает его серверу для аутентификации пользователя. Посредством такого сложного процесса аутентификации можно увеличить безопасность устройства маркеров безопасности. С другой стороны, сложный процесс аутентификации может улучшить безопасность устройства маркеров безопасности, но когда пользователь теряет его, он не может открыть зашифрованный файл, загруженный на облачный сервер 3. Эта проблема касается некоторых пользователей и сотрудников, следовательно, такие сложные продукты с одинаковым ключом шифрования можно продавать компаниям и группам, которые хотели бы использовать два или более устройства маркеров безопасности, чтобы избежать потерь.The OTP generation module uses a step or time and a random value as input values of the encryption algorithm to create an OTP value and passes it to the server for user authentication. Through such a complex authentication process, you can increase the security of the device security tokens. On the other hand, a complex authentication process can improve the security of the device of security tokens, but when the user loses it, he cannot open the encrypted file uploaded to the
При этом, чтобы управлять историей файла, который изменяют несколько человек, можно установить дополнительный сервис сервера. То есть, в сложных устройствах маркеров безопасности для нескольких сотрудников используется одинаковый ключ шифрования, но идентификационный номер присваивается каждому устройству маркеров безопасности для их различения, поэтому историей файла, который изменяют несколько человек, может управлять, к примеру, тот, кто последним изменил файл, при копировании файла и т.д.At the same time, in order to manage the history of a file that is changed by several people, you can install an additional server service. That is, in complex devices of security tokens for several employees the same encryption key is used, but an identification number is assigned to each device of security tokens to distinguish them, so the history of a file that is changed by several people can be controlled, for example, by the one who last changed the file, when copying a file, etc.
С другой стороны, в процессе аутентификации пользователя чип безопасной аутентификации 40 генерирует ответные данные на данные аутентификатора, полученные от генератора сеансовых ключей 120 агента 100, и передает их агенту 100. Затем чип безопасной идентификации 40 может создать сеанс с агентом 100, получив сеансовый ключ, сгенерированный агентом 100 с помощью ответных данных. Генерирование ответных данных конкретно описано со ссылкой на РИС. 5.On the other hand, in the process of user authentication, the
На РИС. 5 представлена схема, объясняющая генерирование ответных данных чипа безопасной аутентификации 40 по РИС. 4.In FIG. 5 is a diagram for explaining the generation of response data of the
При приеме данных аутентификатора от генератора сеансовых ключей 120 чип безопасной аутентификации 40 дешифрует данные аутентификатора с помощью пароля и может подтверждать его совпадение.When receiving authenticator data from the session
Если пароли совпадают, чип безопасной аутентификации 40 может генерировать случайное значение отклика на основе пароля. Случайное значение отклика может быть сгенерировано тем же алгоритмом, что используется для создания случайного значения аутентификации. Иначе говоря, его можно сгенерировать с помощью алгоритма расширенного стандарта шифрования и зашифровать в режиме цепочки цифровых блоков (СВС).If the passwords match, the
В данном случае, случайное значение отклика (ключ 1) может быть сгенерировано в виде 16-байтового ключа в режиме СВС по следующему уравнению:In this case, a random response value (key 1) can be generated as a 16-byte key in SHS mode according to the following equation:
Случайное значение отклика может быть получено в следующем процессе. Сначала вектор инициализации (IV) обрабатывается XOR первым блоком открытого текста пароля и шифруется. Затем следующий блок открытого текста (SNO) обрабатывается XOR предыдущим зашифрованным блоком (SNO-1) и шифруется.A random response value can be obtained in the following process. First, the initialization vector (IV) is processed by the XOR by the first block of plaintext password and encrypted. Then the next block of clear text (SNO) is processed by XOR by the previous encrypted block (SNO-1) and encrypted.
Когда генерируется 16-байтовое случайное значение, полученное из пароля, чип безопасной аутентификации 40 разделяет его на два блока: первый 8-байтовый блок 320 (третье случайное значение) и второй 8-байтовый блок 330 (четвертое случайное значение), а затем вставляет строку пароля 310 в начале каждого блока, чтобы создать первый и второй блок ответных данных 300.When a 16-byte random value is obtained from the password, the
Как показано на РИС. 5, ответные данные могут составлять 32 байта и состоять из первого и второго блока, каждый из которых имеет 16-байтовый столбец.As shown in FIG. 5, the response data may be 32 bytes and consist of the first and second blocks, each of which has a 16-byte column.
Первый блок может состоять из 8 байтов строки пароля 310 и 8 байтов третьего случайного значения 320, которое получено из пароля.The first block may consist of 8 bytes of the
Второй блок может состоять из 8 байтов строки пароля 310 и 8 байтов четвертого случайного значения 330, которое получено из пароля.The second block may consist of 8 bytes of the
Чип безопасной аутентификации 40 может зашифровать 32 байта ответных данных по РИС. 5 с помощью пароля и передать их на генератор сеансовых ключей 120.The
Чип безопасной аутентификации 40 может создавать сеанс при приеме сеансового ключа от генератора сеансовых ключей 120.The
Сеансовый ключ может быть создан генератором сеансовых ключей 120 с помощью случайного значения аутентификации, сгенерированного им, а также используя случайное значение отклика, которое включено в ответные данные, полученные генератором сеансовых ключей 120 от устройства маркеров безопасности 2.The session key can be created by the session
На РИС. 6 представлена схема последовательности операций, показывающая предварительный процесс для использования устройства маркеров безопасности в ПК-среде.In FIG. 6 is a flowchart showing a preliminary process for using a security token device in a PC environment.
Когда устройство маркеров безопасности 2 подключено к ПК пользователя на этапе S100, агент 100, загруженный на ПК пользователя, запускается на этом этапе. Агент 100 является программой для обеспечения безопасного облачного сервиса, связанной с устройством маркеров безопасности 2, и выполняет такие процессы, как: отправка заголовка целевого файла, созданного генератором заголовков 130, на устройство маркеров безопасности 2 для аппаратного шифрования заголовка, когда целевой шифруемый файл обнаруживается во время облачной синхронизации; дешифрование заголовка файла, который загружается с облачного сервера 3, посредством устройства маркеров безопасности 2; и выполнение автоматических операций шифрования и дешифрования в зависимости от того, подключено ли устройство маркеров безопасности 2.When the security
При запуске агента 100 пользователь перенаправляется на главную страницу производителя устройства маркеров безопасности 2, ему предлагается зарегистрироваться на главной странице и оформить подписку на этапе S120. Затем на этапе S130 выполняется аутентификация пользователя. Как описано выше, аутентификация пользователя осуществляется с помощью различных средств, таких как пароль, дактилоскопическая информация, OTP и т.д. Кроме того, безопасность можно дополнительно улучшить, создав сеансовый ключ с помощью случайного значения на основе пароля.When the
Затем агент 100 предлагает пользователю указать или создать папку локальной синхронизации на этапе S140, т.е. папку, которая будет синхронизироваться с облачным сервером 3. Папку локальной синхронизации можно передать на облачный сервер 3 после того, как все файлы, сохраненные в ней, зашифрованы при помощи зашифрованного заголовка, переданного от устройства маркеров безопасности 2.Then, the
Как вариант, папку локальной синхронизации можно разделить на папку общей синхронизации, из которой файлы передаются на облачный сервер 3 без шифрования, и папку безопасной синхронизации, из которой файлы загружаются на облачный сервер 3 после шифрования с помощью заголовка. В данном случае, агент может создавать папку безопасной синхронизации как подпапку в папке локальной синхронизации, а операция для безопасного облачного сервиса может выполняться только для файлов, сохраненных в папке безопасной синхронизации на этапе S150.Alternatively, the local synchronization folder can be divided into a shared synchronization folder, from which files are transferred to the
РИС. 7 - схема последовательности операций, показывающая процесс, в котором файл шифруется с помощью устройства маркеров безопасности, после чего передается на облачный сервер.FIG. 7 is a flowchart showing a process in which a file is encrypted using a security token device, and then transmitted to a cloud server.
Агент 100, загруженный на ПК пользователя, контролирует подключение устройства маркеров безопасности 2 к этому ПК на этапе S201 и может генерировать сеансовый ключ путем проведения аутентификации пользователя на этапе S202 при обнаружении подключения. Подробное описание аутентификации пользователя приведено на РИС. 9.
Агент 100 определяет первое событие, такое как создание или копирование файла, загружаемого на облачный сервер 3, на этапе S203 и может генерировать заголовок для соответствующего файла на этапе S204 при обнаружении первого события. Здесь заголовок является ключом шифрования для шифрования файла, в котором обнаружено первое событие, и его можно генерировать по случайному значению.
Далее сгенерированный заголовок шифруется с помощью сеансового ключа, сгенерированного на этапе S202, и передается на устройство маркеров безопасности на этапе S205. По завершении шифрования отправленного заголовка устройством маркеров безопасности 2 и отправки на агент 100 на этапе S206, с помощью шифрованного заголовка агент 100 может зашифровать файл, в котором обнаружено первое событие, на этапе S207.Next, the generated header is encrypted using the session key generated in step S202, and transmitted to the security token device in step S205. Upon completion of encryption of the sent header by the
При шифровании публикуемого файла агент 100 сохраняет зашифрованный файл в соответствующей папке на этапе S208. Зашифрованный файл хранится в папке локальной синхронизации или папке безопасной синхронизации, являющейся подпапкой папки локальной синхронизации в зависимости от объема шифрования, и файл, хранящийся в соответствующей папке, передается на облачный сервер 3 путем запуска облачного приложения.When encrypting the published file, the
Если во время автоматического шифрования на этапе S209 обнаружено удаление или, другими словами, отключение устройства маркеров безопасности 2, агент 100 отменяет автоматическое шифрование на этапе S210 и удаляет файлы в соответствующих папках во избежание синхронизации с облачным сервером 3.If during automatic encryption in step S209, deletion or, in other words, disconnection of the device of
РИС. 8 - схема последовательности операций, показывающая процесс, в котором файл дешифруется с помощью облачного сервиса в мобильной среде.FIG. 8 is a flowchart showing a process in which a file is decrypted using a cloud service in a mobile environment.
Сначала облачное приложение для обеспечения облачного сервиса запускается на этапе S301, и когда зашифрованный файл загружается с облачного сервера 3 на мобильный терминал, на этапе S302 определяется появление второго события.First, the cloud application for providing the cloud service is launched in step S301, and when the encrypted file is downloaded from the
По получении шифрованного файла агент 100 для безопасного облачного сервиса запускается и контролирует, подключено ли устройство маркеров безопасности 2.Upon receipt of the encrypted file,
При подключении устройства маркеров безопасности 2 к мобильному терминалу на этапе S303 посредством аутентификации пользователя генерируется сеансовый ключ и на этапе S304 создается сеанс с агентом 100. По завершении аутентификации пользователя, с помощью сеансового ключа, сгенерированного на этапе s304, агент шифрует заголовок шифрованного файла и может передавать его на устройство маркеров безопасности 2 на этапе S305.When the security
Когда заголовок дешифруется устройством маркеров безопасности 2 на этапе S306 и передается на терминал, с помощью дешифрованного заголовка агент 100 может дешифровать файл на этапе S307.When the header is decrypted by the security
Пользовательский терминал 1 может отображать дешифрованный файл на экране, запуская его.The
Если при загрузке файла на этапе S308 обнаружено удаление или, другими словами, отключение устройства маркеров безопасности 2, агент 100 отменяет автоматическое дешифрование и удаляет дешифрованные кэш-файлы в соответствующей папке для предотвращения их запуска на этапе S309.If when downloading the file in step S308, deletion or, in other words, disconnection of the device of
РИС. 9 - схема последовательности операций, показывающая процесс, в котором устройство маркеров безопасности соединяется с пользовательским терминалом. Касательно дешифрования по РИС. 9 см. РИС. 2-5.FIG. 9 is a flowchart showing a process in which a security token device is connected to a user terminal. Regarding decryption by FIG. 9 cm. FIG. 2-5.
При обнаружении терминалом 1, на который установлен агент 100, физического подключения устройства маркеров безопасности 2 агент 100 может получить пароль от пользователя на этапе S410.When the
Когда пользователем вводится пароль, агент 100 может запросить открытый ключ от устройства маркеров безопасности 2 на этапе S420. В ответ на запрос открытого ключа устройство маркеров безопасности 2 передает его на этапе S430 и агент 100 может получить и сохранить его на этапе S440.When a password is entered by the user, the
Далее генератор сеансовых ключей 120 агента 100 может сгенерировать случайное значение аутентификации на основе введенного пароля на этапе S450. На этом этапе случайное значение аутентификации может генерироваться с помощью алгоритма расширенного стандарта шифрования (AES) и шифроваться в режиме цепочки цифровых блоков (СВС).Next, the session
Случайное значение аутентификации 16-байтовое и его можно использовать для генерирования данных аутентификатора посредством разбивки на первые 8 байт в качестве первого случайного значения и других 8 байт в качестве второго.The random authentication value is 16 bytes and can be used to generate authenticator data by breaking into the first 8 bytes as the first random value and the other 8 bytes as the second.
Затем генератор сеансовых ключей 120 агента 100 генерирует данные аутентификатора с помощью сгенерированного случайного значения аутентификации, шифрует его с помощью открытого ключа, полученного от устройства маркеров безопасности 2 на этапе S460, и передает его на устройство маркеров безопасности 2.Then, the session
Данные аутентификации 256-байтовые и могут состоять из пароля, случайного значения аутентификации, проверочного значения открытого ключа, заполнения и т.д. Генерирование случайного значения аутентификации и данных аутентификатора описано выше на РИС. 3, поэтому в дальнейшем в этом документе описание этого будет опускаться.Authentication data is 256-byte and may consist of a password, a random authentication value, a public key verification value, padding, etc. The generation of a random authentication value and authenticator data is described above in FIG. 3, therefore, in the rest of this document, a description of this will be omitted.
Устройство маркеров безопасности 2 может подтвердить пароль путем дешифрования зашифрованных данных аутентификатора, полученных от агента 100, с помощью пароля на этапе S470.The security
Далее устройство маркеров безопасности 2 может сгенерировать случайное значение отклика, полученное из пароля на этапе S480. Случайное значение отклика может генерироваться с помощью алгоритма расширенного стандарта шифрования (AES) и шифроваться в режиме цепочки цифровых блоков (СВС).Next, the security
В таком случае, случайное значение отклика 16-байтовое и может использоваться для генерирования ответных данных путем его разделения на первые 8 байт (третье случайное значение) и другие 8 байт (четвертое случайное значение).In this case, the random response value is 16 bytes and can be used to generate response data by dividing it into the first 8 bytes (third random value) and the other 8 bytes (fourth random value).
Затем устройство маркеров безопасности 2 генерирует ответные данные с помощью случайного значения отклика, сгенерированного на этапе S490, шифрует его с помощью пароля на этапе S500 и может передавать его на агент 100.Then, the security
Далее на этапе S510 агент 100 генерирует сеансовый ключ с помощью случайного значения аутентификации, сгенерированного на этапе S450, и с помощью случайного значения отклика, входящего в ответные данные, полученные от устройства маркеров безопасности 2, и может передавать сгенерированный сеансовый ключ на устройство маркеров безопасности 2.Next, in step S510, the
Затем, по получении сеансового ключа, устройство маркеров безопасности 2 создает сеанс, логически связанный с агентом 100 для процедуры входа в систему на этапе S520.Then, upon receipt of the session key, the security
На РИС. 10 изображен процесс шифрования заголовка файла в устройстве маркеров безопасности при загрузке файла на сервер, а на РИС. 11 - процесс дешифрования заголовка файла в устройстве маркеров безопасности при загрузке файла с сервера. На РИС. 10 и 11 изображен пример, на котором пользовательский терминал 1 подключен к USB-разъему 10А.In FIG. 10 shows the process of encrypting the file header in the device of security tokens when uploading the file to the server, and to FIG. 11 is a process of decrypting a file header in a security token device when downloading a file from a server. In FIG. 10 and 11 illustrate an example in which the
Сначала, согласно РИС. 10, при загрузке файла поток данных от агента 100 к устройству маркеров безопасности 2 обозначается пунктирной стрелкой, а поток данных в обратном направлении обозначается стрелкой с точками.First, according to FIG. 10, when a file is downloaded, the data stream from
При вводе заголовка для шифрования публикуемого файла из агента 100 на этапе S1 контроллер поддержки конвертирования шифрования-дешифрования 20 шифрует полученный заголовок исходного файла на этапе S2, сохраняет его на запоминающем устройстве 30 на этапе S3 и отправляет шифрованный заголовок с запоминающего устройства 30 на агент 100 на этапе S4.When you enter a header to encrypt the published file from
Агент 100 принимает шифрованный заголовок, шифрует исходный публикуемый файл и может загружать этот файл на облачный сервер 3.
Впоследствии, согласно РИС. 11 при загрузке файла поток данных от агента 100 к устройству маркеров безопасности 2 обозначается пунктирной стрелкой, а поток данных в обратном направлении - стрелкой с точками. При вводе заголовка файла, загруженного с облачного сервера 3, с агента 100 на этапе S11 контроллер поддержки конвертирования шифрования-дешифрования 20 проходит через шифрованный заголовок и сохраняет его на запоминающем устройстве 30 на этапе S12, дешифрует его на этапе S13 и отправляет дешифрованный заголовок на агент 100 на этапе S14.Subsequently, according to FIG. 11, when downloading a file, the data stream from
Агент 100 принимает дешифрованный заголовок и дешифрует зашифрованный файл, загруженный с облачного сервера, для запуска на пользовательском терминале 1. С другой стороны, помимо создания файла путем его публикации или загрузки в зависимости от потока данных, описанного на РИС. 10 и 11, шифрование-дешифрование может осуществляться при появлении таких событий, как копирование, удаление файла и т.д.
Хотя предпочтительные варианты осуществления настоящего изобретения были раскрыты в целях наглядности, специалисты в данной области техники одобрят различные возможные изменения, дополнения и замены без отступления от объема и сущности настоящего изобретения, о чем говорится в прилагаемых пунктах формулы изобретения.Although preferred embodiments of the present invention have been disclosed for illustrative purposes, those skilled in the art will appreciate various possible changes, additions, and substitutions without departing from the scope and spirit of the present invention, as described in the appended claims.
Claims (14)
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140107544A KR101479290B1 (en) | 2014-08-19 | 2014-08-19 | Agent for providing security cloud service, security token device for security cloud service |
KRKR10-2014-0107544 | 2014-08-19 |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2015120264A RU2015120264A (en) | 2016-12-20 |
RU2660604C2 true RU2660604C2 (en) | 2018-07-06 |
Family
ID=52587914
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2015120264A RU2660604C2 (en) | 2014-08-19 | 2015-05-28 | Agent for safe cloud service provision and device of security markers for safe cloud service |
Country Status (7)
Country | Link |
---|---|
JP (1) | JP6172866B2 (en) |
KR (1) | KR101479290B1 (en) |
AU (1) | AU2015202697A1 (en) |
BR (1) | BR102015011937A2 (en) |
CA (1) | CA2891610C (en) |
RU (1) | RU2660604C2 (en) |
TW (1) | TWI563411B (en) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20170001486A (en) | 2015-06-26 | 2017-01-04 | 안희태 | Security cloud service |
KR101619286B1 (en) | 2015-11-19 | 2016-05-10 | (주)세이퍼존 | Cross-platform based security system |
KR101810165B1 (en) * | 2016-01-15 | 2018-01-25 | 단국대학교 산학협력단 | Electronic money terminal and method for providing elecronic money using the same |
KR101834522B1 (en) * | 2016-04-22 | 2018-03-06 | 단국대학교 산학협력단 | Apparatus for confirming data and method for confirming data using the same |
CN109873787B (en) * | 2017-12-01 | 2022-09-23 | 北京安云世纪科技有限公司 | Access authentication method, device and system |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050025091A1 (en) * | 2002-11-22 | 2005-02-03 | Cisco Technology, Inc. | Methods and apparatus for dynamic session key generation and rekeying in mobile IP |
RU2011150271A (en) * | 2009-06-12 | 2013-06-27 | Майкрософт Корпорейшн | PROTECTED AND CONFIDENTIAL STORAGE AND PROCESSING OF BACKUP FOR TRUSTED CALCULATION SERVICES AND DATA |
US20130227286A1 (en) * | 2006-04-25 | 2013-08-29 | Andre Jacques Brisson | Dynamic Identity Verification and Authentication, Dynamic Distributed Key Infrastructures, Dynamic Distributed Key Systems and Method for Identity Management, Authentication Servers, Data Security and Preventing Man-in-the-Middle Attacks, Side Channel Attacks, Botnet Attacks, and Credit Card and Financial Transaction Fraud, Mitigating Biometric False Positives and False Negatives, and Controlling Life of Accessible Data in the Cloud |
WO2013132462A1 (en) * | 2012-03-08 | 2013-09-12 | Oltio (Proprietary) Limited | A method of authenticating a device and encrypting data transmitted between the device and a server |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3119494B2 (en) * | 1991-04-03 | 2000-12-18 | 日本電信電話株式会社 | How to verify card ownership |
JP3073590B2 (en) * | 1992-03-16 | 2000-08-07 | 富士通株式会社 | Electronic data protection system, licensor's device and user's device |
DE19629856A1 (en) * | 1996-07-24 | 1998-01-29 | Ibm | Method and system for the secure transmission and storage of protectable information |
JPH10260903A (en) * | 1997-03-19 | 1998-09-29 | Hitachi Ltd | Group ciphering method and file ciphering system |
WO2003079608A1 (en) * | 2002-03-20 | 2003-09-25 | Koninklijke Philips Electronics N.V. | Encryption key hiding and recovering method and system |
JP4242682B2 (en) * | 2003-03-26 | 2009-03-25 | パナソニック株式会社 | Memory device |
JP2009015471A (en) * | 2007-07-03 | 2009-01-22 | Dainippon Printing Co Ltd | Usb storage device |
KR100988198B1 (en) * | 2010-05-31 | 2010-10-18 | 주식회사 아이넵 | Coding method |
US9210557B2 (en) * | 2011-04-12 | 2015-12-08 | Yahoo! Inc. | SMS-initiated mobile registration |
CN103488915B (en) * | 2013-09-24 | 2015-12-23 | 无锡德思普科技有限公司 | The resource encryption decryption method of the double secret key encryption that a kind of software and hardware combines |
-
2014
- 2014-08-19 KR KR1020140107544A patent/KR101479290B1/en active IP Right Grant
-
2015
- 2015-05-08 JP JP2015095843A patent/JP6172866B2/en active Active
- 2015-05-12 TW TW104115107A patent/TWI563411B/en active
- 2015-05-13 CA CA2891610A patent/CA2891610C/en active Active
- 2015-05-19 AU AU2015202697A patent/AU2015202697A1/en not_active Abandoned
- 2015-05-25 BR BR102015011937A patent/BR102015011937A2/en not_active Application Discontinuation
- 2015-05-28 RU RU2015120264A patent/RU2660604C2/en active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050025091A1 (en) * | 2002-11-22 | 2005-02-03 | Cisco Technology, Inc. | Methods and apparatus for dynamic session key generation and rekeying in mobile IP |
US20130227286A1 (en) * | 2006-04-25 | 2013-08-29 | Andre Jacques Brisson | Dynamic Identity Verification and Authentication, Dynamic Distributed Key Infrastructures, Dynamic Distributed Key Systems and Method for Identity Management, Authentication Servers, Data Security and Preventing Man-in-the-Middle Attacks, Side Channel Attacks, Botnet Attacks, and Credit Card and Financial Transaction Fraud, Mitigating Biometric False Positives and False Negatives, and Controlling Life of Accessible Data in the Cloud |
RU2011150271A (en) * | 2009-06-12 | 2013-06-27 | Майкрософт Корпорейшн | PROTECTED AND CONFIDENTIAL STORAGE AND PROCESSING OF BACKUP FOR TRUSTED CALCULATION SERVICES AND DATA |
WO2013132462A1 (en) * | 2012-03-08 | 2013-09-12 | Oltio (Proprietary) Limited | A method of authenticating a device and encrypting data transmitted between the device and a server |
Also Published As
Publication number | Publication date |
---|---|
AU2015202697A1 (en) | 2016-03-10 |
CA2891610A1 (en) | 2016-02-19 |
JP6172866B2 (en) | 2017-08-02 |
TWI563411B (en) | 2016-12-21 |
CA2891610C (en) | 2018-08-28 |
TW201608412A (en) | 2016-03-01 |
KR101479290B1 (en) | 2015-01-05 |
RU2015120264A (en) | 2016-12-20 |
BR102015011937A2 (en) | 2016-07-05 |
JP2016046799A (en) | 2016-04-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102328725B1 (en) | Method of using one device to unlock another device | |
TWI578749B (en) | Methods and apparatus for migrating keys | |
US9813247B2 (en) | Authenticator device facilitating file security | |
KR102330538B1 (en) | Roaming content wipe actions across devices | |
RU2589861C2 (en) | System and method of user data encryption | |
WO2019218919A1 (en) | Private key management method and apparatus in blockchain scenario, and system | |
RU2660604C2 (en) | Agent for safe cloud service provision and device of security markers for safe cloud service | |
US11943350B2 (en) | Systems and methods for re-using cold storage keys | |
WO2019199288A1 (en) | System and method for secure storage of electronic material | |
US20130230165A1 (en) | Scalable and Secure Key Management for Cryptographic Data Processing | |
US20180091487A1 (en) | Electronic device, server and communication system for securely transmitting information | |
US10289835B1 (en) | Token seed protection for multi-factor authentication systems | |
US9313185B1 (en) | Systems and methods for authenticating devices | |
JP2018534629A (en) | Method for performing keyed hash message authentication code (HMAC) using multi-party computation without Boolean gates | |
JP6756056B2 (en) | Cryptographic chip by identity verification | |
JP2022542095A (en) | Hardened secure encryption and decryption system | |
US20220247729A1 (en) | Message transmitting system with hardware security module | |
AU2018100503A4 (en) | Split data/split storage | |
TWM581231U (en) | Computer device for backing up data |