RU2660604C2

RU2660604C2 - Agent for safe cloud service provision and device of security markers for safe cloud service

Info

Publication number: RU2660604C2
Application number: RU2015120264A
Authority: RU
Inventors: Сик Чой Дзае; Сон Вон-Дзян; Квон ЧанХун
Original assignee: Сафер Зон Ко., Лтд
Priority date: 2014-08-19
Filing date: 2015-05-28
Publication date: 2018-07-06
Also published as: AU2015202697A1; CA2891610A1; JP6172866B2; TWI563411B; CA2891610C; TW201608412A; KR101479290B1; RU2015120264A; BR102015011937A2; JP2016046799A

Abstract

FIELD: calculating; counting.

SUBSTANCE: invention relates to the security of cloud services. Agent installed on a user terminal to provide a secure cloud service contains a header generator for generating headers having a random value for encrypting a file uploaded to a cloud server, upon receipt of this file from the user terminal, when the security detecting device detects the device, the session key generator is designed to generate session keys that create a session with a security token device that encrypts the generated header or decrypts the header of the file downloaded from the cloud server, and when the event detection unit determines that the security token is disabled during the specified session, automatic encryption or decryption is cancelled and files are deleted to avoid synchronization with the cloud server.

EFFECT: technical result is to improve the security of cloud services.

6 cl, 11 dwg

Description

УРОВЕНЬ ТЕХНИКИ ИЗОБРЕТЕНИЯBACKGROUND OF THE INVENTION

1. Область техники изобретения1. The technical field of the invention

В целом, настоящее изобретение относится к агенту для обеспечения безопасного облачного сервиса и устройству маркеров безопасности для безопасного облачного сервиса. В частности, настоящее изобретение относится к технологии увеличения безопасности, согласно которой аутентификация пользователя и шифрование-дешифрование заголовков выполняются в файлах в аппаратном устройстве маркеров безопасности, которое может отсоединяться от пользовательского терминала, и впоследствии файлы хранятся на облачном сервере.In General, the present invention relates to an agent for providing a secure cloud service and the device security tokens for a secure cloud service. In particular, the present invention relates to a technology for increasing security, according to which user authentication and encryption-decryption of the headers are performed in files in the hardware device security tokens, which can be disconnected from the user terminal, and subsequently the files are stored on a cloud server.

2. Описание предшествующего уровня техники2. Description of the Related Art

В настоящее время, облачные вычислительные среды широко используются для эффективного распределения ИТ-ресурсов и безопасного хранения данных. В 1960-х годах специалист в области информатики Джон Маккарти предложил концепцию облачных вычислений. В последнее время, стремительный прогресс инфраструктуры связи и растущая потребность в эффективном распределении ресурсов вычислительной среды поспособствовали быстрому развитию облачных вычислений.Currently, cloud computing environments are widely used for efficient distribution of IT resources and secure data storage. In the 1960s, computer science specialist John McCarthy proposed the concept of cloud computing. Recently, the rapid progress of the communications infrastructure and the growing need for the efficient allocation of computing resources have contributed to the rapid development of cloud computing.

В облачной вычислительной среде капитальные затраты на ИТ-оборудование со стороны клиента можно снизить, так как пользователям не нужны высокотехнологичные терминалы, а ИТ-ресурсы можно эффективно распределять в зависимости от сред обработки услуг. Однако облачные вычисления имеют некоторые проблемы безопасности. Например, когда сервер облачных вычислений подвергается взлому, данные могут быть украдены или поставщики услуг могут намеренно раскрывать конфиденциальные пользовательские данные.In a cloud computing environment, the capital costs of IT equipment on the client side can be reduced, because users do not need high-tech terminals, and IT resources can be effectively allocated depending on the processing environments of services. However, cloud computing has some security concerns. For example, when a cloud computing server is hacked, data may be stolen or service providers may intentionally disclose sensitive user data.

Кроме того, поскольку облачные сервисы используются не только в ПК, но и в мобильных средах, таких как смартфоны и т.д., проблемы безопасности необходимо решить для того, чтобы защитить облачный сервер от взлома.In addition, since cloud services are used not only in PCs, but also in mobile environments such as smartphones, etc., security problems must be solved in order to protect the cloud server from hacking.

Соответственно, документы, в том числе заявка на патент Кореи 10-1107056, раскрывают метод шифрования синхронизируемого файла перед отправкой с клиентского терминала на облачный сервер и дешифрования файла на клиентском терминале после получения из облачного сервера.Accordingly, documents, including Korean Patent Application 10-1107056, disclose a method for encrypting a synchronized file before sending it from the client terminal to the cloud server and decrypting the file on the client terminal after receiving it from the cloud server.

В некоторых продуктах, использующих вышеописанный метод, шифрование выполняется модулями программно-реализованных алгоритмов, которые применяют ключи шифрования под управлением приложения-агента Windows, либо файлы шифруются в программном обеспечении с помощью ключей шифрования, хранящихся в аппаратном устройстве.In some products using the method described above, encryption is performed by modules of software-implemented algorithms that use encryption keys under the control of the Windows agent application, or files are encrypted in software using encryption keys stored in the hardware device.

Другими словами, так как существующие методы шифрования файлов для увеличения безопасности облачного сервиса выполняют шифрование в программном обеспечении, а управление ключами шифрования осуществляется с помощью программы Windows, ключи могут перехватываться программами контроля, которыми управляют взломщики. Из этого следует, обеспечение безопасности на предыдущем уровне техники является сложной задачей.In other words, since existing file encryption methods to increase the security of the cloud service perform encryption in the software, and the encryption keys are managed using the Windows program, the keys can be intercepted by control programs controlled by crackers. It follows that security in the prior art is a complex task.

Документы по предшествующему уровню техникиBackground Documents

(Патентный документ 1) KR10-1107056(Patent Document 1) KR10-1107056

СУЩНОСТЬ ИЗОБРЕТЕНИЯSUMMARY OF THE INVENTION

Таким образом, настоящее изобретение было создано с учетом вышеуказанных проблем, возникающих на предшествующем уровне техники, а цель настоящего изобретения заключается в том, чтобы произвольно генерировать заголовок, который является ключом шифрования файла, в устройстве маркеров безопасности, соединенном с пользовательским терминалом, а также шифровать файл в агенте, причем ключ защиты предохраняется от передачи, а объем переданных и полученных данных можно сократить, так как устройство маркеров безопасности шифрует и дешифрует только заголовок.Thus, the present invention was created taking into account the above problems arising in the prior art, and the aim of the present invention is to randomly generate a header, which is a file encryption key, in a security token device connected to the user terminal, and also to encrypt file in the agent, and the security key is protected from transmission, and the amount of transmitted and received data can be reduced, since the device of security tokens encrypts and decrypts only heading.

Помимо этого, чтобы увеличить безопасность, настоящее изобретение предусматривает шифрование и дешифрование облачного файла и синхронизирует его только в том случае, когда устройство маркеров безопасности соединено с пользовательским терминалом.In addition, in order to increase security, the present invention provides for the encryption and decryption of a cloud file and synchronizes it only when the security token device is connected to a user terminal.

Также, целью настоящего изобретения является генерирование сеансового ключа при помощи случайного значения, полученного из ключа пароля, когда устройство маркеров безопасности соединено с пользовательским терминалом в целях улучшения безопасности.It is also an object of the present invention to generate a session key using a random value obtained from a password key when the security token device is connected to a user terminal in order to improve security.

Чтобы достичь вышеуказанной цели, согласно варианту осуществления настоящего изобретения агент, установленный на пользовательском терминале для обеспечения безопасного облачного сервиса, может включать: генератор заголовков для генерирования заголовков, имеющих случайное значение для шифрования файла, загружаемого на облачный сервер, при получении этого файла с пользовательского терминала; генератор сеансовых ключей для генерирования сеансовых ключей, создающих сеанс с устройством маркеров безопасности при обнаружении устройства маркеров безопасности, отсоединяющегося от пользовательского терминала, устройство маркеров безопасности шифрует сгенерированный заголовок или дешифрует заголовок файла, загруженного с облачного сервера; и шифратор-дешифратор для шифрования файла, загружаемого на облачный сервер, использующий зашифрованный заголовок, когда он зашифрован устройством маркеров безопасности, и для дешифрования файла, загружаемого с облачного сервера с помощью дешифрованного заголовка, когда он дешифрован устройством маркеров безопасности.To achieve the above goal, according to an embodiment of the present invention, an agent installed on a user terminal for providing a secure cloud service may include: a header generator for generating headers having a random value for encrypting the file downloaded to the cloud server upon receipt of this file from the user terminal ; a session key generator for generating session keys that create a session with a security token device when it detects a security token device disconnected from the user terminal, the security token device encrypts the generated header or decrypts the header of the file downloaded from the cloud server; and a decryptor-decryptor for encrypting the file downloaded to the cloud server using the encrypted header when it is encrypted by the security token device, and to decrypt the file downloaded from the cloud server using the decrypted header when it is decrypted by the security token device.

Генератор заголовков может шифровать сгенерированный заголовок с помощью сеансового ключа и передавать зашифрованный заголовок на устройство маркеров безопасности.The header generator can encrypt the generated header with a session key and transmit the encrypted header to the security token device.

Генератор сеансовых ключей может получать пароль и запрашивать открытый ключ у устройства маркеров безопасности, когда обнаруживает его; генерировать данные аутентификатора, включающие случайное значение для аутентификации, шифровать данные с помощью открытого ключа и передавать их на устройство маркеров безопасности; а также генерировать сеансовый ключ с помощью случайного значения для аутентификации и отклика при приеме от устройства маркеров безопасности данных отклика, включающих случайное значение для него.The session key generator can receive a password and request a public key from the security token device when it detects it; generate authenticator data, including a random value for authentication, encrypt the data with the public key and transfer it to the device security tokens; and also generate a session key using a random value for authentication and response when receiving security tokens from the device response data, including a random value for it.

Для достижения вышеуказанной цели устройство маркеров безопасности для безопасного облачного сервиса согласно варианту осуществления настоящего изобретения может включать: интерфейсный блок, отсоединяющийся от пользовательского терминала, для обеспечения интерфейса с агентом, установленным на пользовательском терминале; запоминающее устройство для хранения зашифрованного заголовка, который является ключом шифрования, генерируемым со случайным значением для шифрования и дешифрования файла, выкладываемого на облачный сервер; контроллер поддержки конвертирования шифрования-дешифрования, шифрующий заголовок файла, загружаемого на облачный сервер, при получении этого заголовка сохраняет зашифрованный заголовок на запоминающем устройстве и передает его на агент; и сохраняет зашифрованный заголовок файла, загружаемого с облачного сервера на запоминающее устройство, при приеме этого заголовка дешифрует его и передает на агент.To achieve the above goal, the security token device for a secure cloud service according to an embodiment of the present invention may include: an interface unit disconnected from the user terminal to provide an interface with an agent installed on the user terminal; a storage device for storing the encrypted header, which is an encryption key generated with a random value for encrypting and decrypting the file uploaded to the cloud server; the encryption-decryption conversion support controller that encrypts the header of the file uploaded to the cloud server, upon receipt of this header, saves the encrypted header on the storage device and transfers it to the agent; and saves the encrypted header of the file downloaded from the cloud server to the storage device, upon receipt of this header decrypts it and transfers it to the agent.

Кроме того, устройство маркеров безопасности может дополнительно включать чип безопасной аутентификации, передающий открытый ключ по запросу агента и получающий данные аутентификатора, включая случайное значение для аутентификации; генерирует ответные данные, включающие случайное значение для отклика, и передает ответные данные на агент; и генерирует сеанс с агентом по получении от него сеансового ключа, с генерацией последнего агентом с помощью случайного значения для аутентификации и случайного значения для отклика.In addition, the security token device may further include a secure authentication chip that transmits a public key upon agent request and receives authenticator data, including a random value for authentication; generates response data including a random value for the response, and transmits response data to the agent; and generates a session with the agent upon receipt of a session key from it, with the last agent generating it using a random value for authentication and a random value for the response.

Чип безопасной аутентификации может шифровать шифрованный или дешифрованный заголовок с помощью сеансового ключа и передавать его на агент.The secure authentication chip can encrypt an encrypted or decrypted header using a session key and send it to the agent.

Согласно настоящему изобретению конфиденциальные данные для физических лиц и компаний не могут быть открыты при взломе облачного сервера и, поскольку заголовок файла (и ключ шифрования со случайным значением) шифруется и дешифруется в устройстве ключа маркера, утечки ключа шифрования можно избежать, даже если ПК взломан. Следовательно, безопасность можно существенно улучшить.According to the present invention, confidential data for individuals and companies cannot be opened when a cloud server is hacked and, since the file header (and the encryption key with a random value) is encrypted and decrypted in the token key device, encryption key leaks can be avoided even if the PC is hacked. Therefore, security can be significantly improved.

Также, сеансовый ключ генерируется с помощью случайного значения, полученного из ключа пароля при соединении устройства маркеров безопасности с пользовательским терминалом, а шифрованный или дешифрованный заголовок передается после шифрования сеансовым ключом, и тем самым можно улучшить безопасность.Also, the session key is generated using a random value obtained from the password key when the security token device is connected to the user terminal, and the encrypted or decrypted header is transmitted after encryption by the session key, and thereby security can be improved.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙBRIEF DESCRIPTION OF THE DRAWINGS

Вышеуказанные и другие цели, признаки и преимущества настоящего изобретения будут более понятны исходя из следующего подробного описания вместе с прилагаемыми чертежами, в которых:The above and other objectives, features and advantages of the present invention will be better understood on the basis of the following detailed description together with the accompanying drawings, in which:

РИС. 1 - схема конфигурации системы для обеспечения безопасного облачного сервиса согласно настоящему изобретению;FIG. 1 is a system configuration diagram for providing a secure cloud service according to the present invention;

РИС. 2 - блок-схема, показывающая подробную конфигурацию агента пользовательского терминала по РИС. 1;FIG. 2 is a block diagram showing a detailed configuration of a user terminal agent in FIG. one;

РИС. 3 - схема генерирования данных аутентификатора генератором сеансовых ключей по РИС. 2;FIG. 3 is a diagram for generating authenticator data by a session key generator in FIG. 2;

РИС. 4 - блок-схема, показывающая подробную конфигурацию устройства маркеров безопасности по РИС. 1;FIG. 4 is a block diagram showing a detailed configuration of a device of security tokens in FIG. one;

РИС. 5 - схема, объясняющая генерирование ответных данных чипом безопасной аутентификации по РИС. 4;FIG. 5 is a diagram explaining the generation of response data by a secure authentication chip in FIG. four;

РИС. 6 - схема последовательности операций, показывающая предварительный процесс для использования устройства маркеров безопасности в ПК-среде;FIG. 6 is a flowchart showing a preliminary process for using a security token device in a PC environment;

РИС. 7 - схема последовательности операций, показывающая процесс, в котором файл шифруется с помощью устройства маркеров безопасности и затем передается на облачный сервер;FIG. 7 is a flowchart showing a process in which a file is encrypted using a security token device and then transmitted to a cloud server;

РИС. 8 - схема последовательности операций, показывающая процесс, в котором файл дешифруется с помощью облачного сервиса в мобильной среде;FIG. 8 is a flowchart showing a process in which a file is decrypted using a cloud service in a mobile environment;

РИС. 9 - схема последовательности операций, показывающая процесс аутентификации пользователя при соединении устройства маркеров безопасности с пользовательским терминалом;FIG. 9 is a flowchart showing a user authentication process when connecting a security token device to a user terminal;

на РИС. 10 показан процесс шифрования заголовка файла в устройстве маркеров безопасности при загрузке файла;in FIG. 10 shows a process for encrypting a file header in a security token device when downloading a file;

на РИС. 11 показан процесс дешифрования заголовка файла в устройстве маркеров безопасности при загрузке файла.in FIG. 11 shows the process of decrypting a file header in a security token device when downloading a file.

ОПИСАНИЕ ПРЕДПОЧТИТЕЛЬНЫХ ВАРИАНТОВ ОСУЩЕСТВЛЕНИЯ ИЗОБРЕТЕНИЯDESCRIPTION OF THE PREFERRED EMBODIMENTS OF THE INVENTION

Настоящее изобретение будет описано подробно исходя из его аспектов (или вариантов). Тем не менее, изобретение может быть выполнено во множестве разных форм и не должно рассматриваться как ограниченное только вариантами, изложенными в настоящем документе, а должно предусматривать модификации, аналоги или альтернативы, подпадающие под замыслы и технический объем настоящего изобретения.The present invention will be described in detail based on its aspects (or variations). However, the invention can be implemented in many different forms and should not be construed as limited only by the options set forth herein, but should include modifications, analogs, or alternatives that fall within the scope and technical scope of the present invention.

Должны быть предусмотрены ссылки на чертежи, где одни и те же номера позиций используются на разных чертежах для обозначения одних и тех же или подобных компонентов. В данном описании, сведения о широко известных признаках и методах можно упустить, чтобы избежать ненужного запутывания представленных вариантов.Reference should be made to the drawings, where the same reference numbers are used in different drawings to refer to the same or similar components. In this description, information about well-known features and methods can be omitted to avoid unnecessarily confusing the presented options.

Подразумевается, что хотя термины первый, второй и т.д. могут использоваться в данном документе для описания разных элементов, эти элементы не должны быть ограничены указанными терминами. Они используются только для различения одного элемента от другого. Например, первый элемент может быть назван вторым, и, подобным образом, второй элемент может быть назван первым без отступления от объема настоящего изобретения.It is understood that although the terms are first, second, etc. can be used in this document to describe different elements, these elements should not be limited to these terms. They are used only to distinguish one element from another. For example, the first element may be called the second, and, likewise, the second element may be called the first without departing from the scope of the present invention.

В данном контексте, термин «и/или» включает все без исключения комбинации одного или нескольких связанных и перечисленных элементов.In this context, the term “and / or” includes all, without exception, combinations of one or more of the related and listed elements.

Следует понимать, что если элемент называют «подключенным» или «подсоединенным» к другому элементу, его можно прямо подключить или соединить с другим элементом, либо могут присутствовать промежуточные элементы. И наоборот, если элемент называется «прямо подключенным» или «прямо подсоединенным» к другому элементу, промежуточные элементы отсутствуют.It should be understood that if an element is called “connected” or “connected” to another element, it can be directly connected or connected to another element, or intermediate elements may be present. Conversely, if an element is called “directly connected” or “directly connected” to another element, there are no intermediate elements.

Терминология, использованная в настоящем документе, предназначена только для описания определенных вариантов осуществления изобретения и не должна его ограничивать. В данном контексте, формы единственного числа включают также формы множественного числа, если иное прямо не установлено контекстом. Также следует понимать, что термины «состоит», «состоящий», «включает» и/или «включающий» в этом контексте предполагают присутствие указанных признаков, чисел, этапов, операций, элементов и/или компонентов, но не исключают присутствие или добавление одного или нескольких других признаков, чисел, этапов, операций, элементов, компонентов и/или их групп.The terminology used in this document is intended only to describe certain embodiments of the invention and should not limit it. In this context, the singular also includes the plural, unless otherwise expressly stated by the context. It should also be understood that the terms “consisting”, “consisting”, “includes” and / or “including” in this context assume the presence of the indicated features, numbers, steps, operations, elements and / or components, but do not exclude the presence or addition of one or several other features, numbers, steps, operations, elements, components and / or groups thereof.

Если не указано иное, все термины (включая технические и научные), использующиеся в этом документе, имеют значение, главным образом понятное для среднего специалиста в данной области техники, к которой относится настоящее изобретение. Также подразумевается, что термины, определенные в общепринятых словарях, должны толковаться как имеющие значения, совпадающие с их значениями в контексте соответствующей области техники, и не будут истолкованы в идеализированном или слишком формальном смысле, если прямо не установлено иное.Unless otherwise indicated, all terms (including technical and scientific) used in this document have a meaning mainly understood by a person skilled in the art to which the present invention relates. It is also understood that the terms defined in generally accepted dictionaries should be interpreted as having meanings matching their meanings in the context of the relevant technical field, and will not be interpreted in an idealized or too formal sense, unless expressly stated otherwise.

На РИС. 1 представлена схема конфигурации системы для обеспечения безопасного облачного сервиса согласно настоящему изобретению; на РИС. 2 представлена блок-схема подробной конфигурации агента по РИС. 1; на РИС. 4 показана блок-схема подробной конфигурации устройства маркеров безопасности по РИС. 1.In FIG. 1 is a system configuration diagram for providing a secure cloud service according to the present invention; in FIG. 2 is a block diagram of a detailed configuration of a FIG agent. one; in FIG. 4 shows a block diagram of a detailed configuration of a device of security tokens in FIG. one.

Как показано на РИС. 1, система для обеспечения безопасного, облачного сервиса согласно настоящему изобретению включает пользовательский терминал 1, устройство маркеров безопасности 2 и облачный сервер 3. Пользовательский терминал 1 - это устройство, в котором хранятся файлы пользователя. Он включает различные типы терминалов, способных хранить и отображать файлы, и имеет доступ к сети Интернет, например ПК, переносные компьютеры, планшетные компьютеры, смартфоны и т.д. На РИС. 1, 1А обозначен ПК, 1В - планшетный ПК, 1С - смартфон.As shown in FIG. 1, a system for providing a secure, cloud service according to the present invention includes a user terminal 1, a security token device 2, and a cloud server 3. A user terminal 1 is a device in which user files are stored. It includes various types of terminals capable of storing and displaying files, and has access to the Internet, such as PCs, laptops, tablets, smartphones, etc. In FIG. 1, 1A is a PC, 1B is a tablet, 1C is a smartphone.

Кроме того, облачный сервер 3 является устройством для обеспечения облачного сервиса и публикации файлов пользователя, которое хранит контент пользователя в виде документов, контактов и медиафайлов, таких как фильмы, фото и музыка. Когда пользовательский терминал, включая ПК, смартфон и умное ТВ, запрашивает контент, пользовательский терминал может загружать контент, хранимый на сервере. В Корее, облачные сервисы представлены Naver NDrive, KТ ucloud, Daum Cloud и т.д., а также существуют такие глобальные облачные сервисы, как Dropbox, Box, Sugarsync, Google drive, Sky Drive и т.д.In addition, the cloud server 3 is a device for providing a cloud service and publishing user files that stores user content in the form of documents, contacts and media files, such as movies, photos and music. When a user terminal, including a PC, a smartphone, and smart TV, requests content, the user terminal can download content stored on the server. In Korea, cloud services are provided by Naver NDrive, KT ucloud, Daum Cloud, etc., and there are also global cloud services such as Dropbox, Box, Sugarsync, Google drive, Sky Drive, etc.

Как показано на РИС. 2, агент 100 устанавливается на пользовательском терминале 1 для обеспечения безопасного облачного сервиса согласно настоящему изобретению. Агент 100 может включать блок обнаружения событий 110, генератор сеансовых ключей 120, генератор заголовков 120 и шифратор-дешифратор файлов 140.As shown in FIG. 2, agent 100 is installed on user terminal 1 to provide a secure cloud service according to the present invention. Agent 100 may include an event detection unit 110, a session key generator 120, a header generator 120, and a file decryptor 140.

Блок обнаружения событий 110 может обнаруживать появление события файла. В этом случае, событие указывает на создание, копирование, удаление и другие операции с загруженными или публикуемыми файлами.The event detection unit 110 may detect the occurrence of a file event. In this case, the event indicates the creation, copying, deletion and other operations with downloaded or published files.

Создание, копирование и другие операции с публикуемыми файлами, которые требуют процесса шифрования, могут стать первым событием. И наоборот, создание, удаление и другие операции с загружаемыми файлами, которые требуют процесса дешифрования, могут стать вторым событием.Creating, copying and other operations with published files that require the encryption process may be the first event. Conversely, the creation, deletion and other operations with downloadable files that require a decryption process may be the second event.

При обнаружении первого события, включая загрузку на сервер и копирование файла, генератор заголовков 130 может генерировать заголовок со случайным значением и передавать его на устройство маркеров безопасности 2. В этом случае, заголовок является ключом для шифрования или дешифрования файла и может генерироваться со случайным значением с интервалом первого события.Upon detection of the first event, including downloading to the server and copying the file, the header generator 130 may generate a header with a random value and transmit it to the device security tokens 2. In this case, the header is the key for encrypting or decrypting the file and can be generated with a random value with interval of the first event.

Помимо этого, при обнаружении второго события, включая загрузку и удаление файла, генератор заголовков 130 может передавать заголовок файла, загруженного с облачного сервера 3, на устройство маркеров безопасности 2.In addition, when a second event is detected, including downloading and deleting a file, the header generator 130 may transfer the header of the file downloaded from the cloud server 3 to the device of security tokens 2.

Когда пользователь загружает файл на облачный сервер 3 или копирует его, блок обнаружения событий 110 определяет, подключено ли устройство маркеров безопасности 2. Для увеличения безопасности, блок обнаружения событий 110 инициирует шифрование заголовка файла, загружаемого на сервер, на устройстве маркеров безопасности 2, только когда оно подключено.When a user uploads a file to or copies to a cloud server 3, the event detection unit 110 determines if the security token device 2 is connected. To increase security, the event detection unit 110 initiates encryption of the header of the file uploaded to the server on the security token device 2 only when it is connected.

Кроме того, когда пользователь загружает зашифрованный файл с облачного сервера и сохраняет либо удаляет его, блок обнаружения событий 110 определяет, подключено ли устройство маркеров безопасности 2 и может инициировать дешифрование заголовка зашифрованного файла на устройстве маркеров безопасности 2, когда оно подключено.In addition, when a user downloads an encrypted file from the cloud server and saves or deletes it, the event detection unit 110 determines whether the security token device 2 is connected and can initiate decryption of the encrypted file header on the security token device 2 when it is connected.

При обнаружении подключения устройства маркеров безопасности 2 генератор сеансовых ключей 120 может создавать сеанс для логического соединения с физически подключенным устройством маркеров безопасности 2 путем аутентификации пользователя.Upon detecting the connection of the security token device 2, the session key generator 120 may create a session to logically connect to the physically connected security token device 2 by user authentication.

Когда устройство маркеров безопасности 2 подключено к пользовательскому терминалу 1, генератор сеансовых ключей 120 создает сеансовый ключ путем передачи значения аутентификатора на устройство маркеров безопасности 2 и приема значения отклика на значение аутентификатора от устройства маркеров безопасности 2. Затем генератор сеансовых ключей 120 может создать сеанс с устройством маркеров безопасности 2 путем передачи на него сгенерированного сеансового ключа. Таким образом, значение аутентификатора получают шифрованием с помощью открытого ключа, случайного значения аутентификации, полученного из пароля.When the security token device 2 is connected to the user terminal 1, the session key generator 120 creates a session key by transmitting the authenticator value to the security token device 2 and receiving a response value to the authenticator value from the security token device 2. Then, the session key generator 120 can create a session with the device security tokens 2 by passing the generated session key to it. Thus, the authenticator value is obtained by encrypting with the public key, a random authentication value obtained from the password.

В частности, при обнаружении физического соединения с устройством маркеров безопасности 2 генератор сеансовых ключей 120 может принимать пароль от пользователя. Также, генератор сеансовых ключей 120 может запрашивать открытый ключ и получать его от устройства маркеров безопасности 2, когда введен пароль. Генерирование значения аутентификатора описано со ссылкой на РИС. 3.In particular, upon detecting a physical connection with the security token device 2, session key generator 120 may receive a password from the user. Also, session key generator 120 may request a public key and receive it from security token device 2 when a password is entered. The generation of the authenticator value is described with reference to FIG. 3.

На РИС. 3 представлена схема генерирования данных аутентификатора генератором сеансовых ключей по РИС. 2.In FIG. 3 shows a diagram of generating authenticator data by a session key generator in FIG. 2.

Генератор сеансовых ключей 120 может генерировать случайное значение аутентификации, полученное из пароля. Случайное значение аутентификации может генерироваться с помощью алгоритма расширенного стандарта шифрования (AES) и шифроваться в режиме цепочки цифровых блоков (СВС).Session key generator 120 may generate a random authentication value obtained from the password. A random authentication value can be generated using the Advanced Encryption Standard (AES) algorithm and encrypted in Digital Block Chain (CBC) mode.

Случайное значение аутентификации (ключ) может быть сгенерировано в виде 16-байтового ключа в режиме СВС по следующему уравнению:A random authentication value (key) can be generated as a 16-byte key in SHS mode according to the following equation:

Случайное значение аутентификации получают в следующем процессе. Сначала вектор инициализации (IV) обрабатывается XOR первым блоком открытого текста пароля и шифруется. Затем следующий блок открытого текста (SNO) обрабатывается XOR предыдущим зашифрованным блоком (SNO-1) и шифруется. Последний блок может быть заполненным блоком.A random authentication value is obtained in the following process. First, the initialization vector (IV) is processed by the XOR by the first block of plaintext password and is encrypted. Then the next block of clear text (SNO) is processed by XOR by the previous encrypted block (SNO-1) and encrypted. The last block may be a filled block.

Когда сгенерировано 16-байтовое случайное значение аутентификации, полученное из пароля, генератор сеансовых ключей 120 разделяет его на два блока: первый 8-байтовый блок (первое случайное значение) и второй 8-байтовый блок (второе случайное значение), а затем вставляет строку пароля 210 в начале каждого блока, чтобы создать первый и второй блок данных аутентификатора.When a 16-byte random authentication value is generated from the password, session key generator 120 splits it into two blocks: the first 8-byte block (first random value) and the second 8-byte block (second random value), and then inserts the password string 210 at the beginning of each block to create the first and second block of authenticator data.

К примеру, когда пароль «SZTGBPWD», а случайное значение аутентификации, полученное по вышеуказанному уравнению, составляет 0×00 01 02 03 04 05 06 07 08 09 0A 0В 0С 0D 0Е 0F, первый блок становится «S Z Т G В Р W D 00 01 02 03 04 05 06 07», а второй - «S Z Т G В Р W D 08 09 0A 0В 0С 0D 0Е 0F». То есть, первый и второй блоки могут быть зашифрованы по криптографическому стандарту с общим ключом, PKCS#5.For example, when the password is “SZTGBPWD” and the random authentication value obtained by the above equation is 0 × 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F, the first block becomes “SZ T G B P WD 00 01 02 03 04 05 06 07 ”, and the second -“ SZ T G B P WD 08 09 0A 0B 0C 0D 0E 0F ”. That is, the first and second blocks can be encrypted using a cryptographic standard with a common key, PKCS # 5.

Как показано на РИС. 3, данные аутентификатора могут составлять 256 байтов и состоять из нескольких блоков с 16-байтовым столбцом.As shown in FIG. 3, authenticator data can be 256 bytes and consist of several blocks with a 16-byte column.

Первый блок может состоять из 8 байтов строки пароля 210 и 8 байтов первого случайного значения 220, полученного из пароля.The first block may consist of 8 bytes of the password string 210 and 8 bytes of the first random value 220 obtained from the password.

Второй блок может состоять из 8 байтов строки пароля 210 и 8 байтов второго случайного значения 230, полученного из пароля.The second block may consist of 8 bytes of the password string 210 and 8 bytes of the second random value 230 obtained from the password.

Также, третий блок может содержать 4 байта проверочного значения 240, которое указывает на результат проверки открытого ключа, полученного от устройства маркеров безопасности 2, а оставшиеся 12 байтов третьего блока могут быть заполнены. Другими словами, 220 байтов данных аутентификатора могут быть заполнены заполнителем 250.Also, the third block may contain 4 bytes of the verification value 240, which indicates the result of the verification of the public key received from the device of security tokens 2, and the remaining 12 bytes of the third block can be filled. In other words, 220 bytes of authenticator data can be filled with placeholder 250.

Генератор сеансовых ключей 120 может выполнять шифрование по методу RSA 256 байт данных аутентификатора по РИС. 3 с помощью открытого ключа, полученного от устройства маркеров безопасности 2, а затем может передавать их на него. Кроме того, в ответ на зашифрованные данные аутентификатора, генератор сеансовых ключей 120 принимает ответные данные, которые шифруются с помощью пароля от устройства маркеров безопасности 2, и генерирует сеансовый ключ. Затем генератор сеансовых ключей 120 может создать сеанс путем передачи сгенерированного сеансового ключа на устройство маркеров безопасности 2.Session key generator 120 may perform RSA encryption of 256 bytes of authenticator data in FIG. 3 using the public key received from the device security tokens 2, and then can transfer them to it. In addition, in response to the encrypted authenticator data, the session key generator 120 receives response data, which is encrypted with a password from the security token device 2, and generates a session key. Then, the session key generator 120 can create a session by transferring the generated session key to the device security tokens 2.

Генератор заголовков 130 создает заголовок для файла, в котором обнаружено первое событие, шифрует сгенерированный заголовок с помощью сеансового ключа, созданного генератором сеансовых ключей 120, и может передать его на устройство маркеров безопасности 2.The header generator 130 creates a header for the file in which the first event is detected, encrypts the generated header with the session key created by the session key generator 120, and can transfer it to the security token device 2.

Заголовок для публикуемого файла шифруется в устройстве маркеров безопасности 2 и может быть передан на шифратор-дешифратор файлов 140. Также, заголовок для загруженного файла дешифруется в устройстве маркеров безопасности 2 и может быть передан на шифратор-дешифратор файлов 140.The header for the published file is encrypted in the device of security tokens 2 and can be transferred to the file decryptor-decoder 140. Also, the header for the downloaded file is decrypted in the device of the security tokens 2 and can be transferred to the file-decoder 140.

Шифратор-дешифратор файлов 140 шифрует файл, в котором обнаружено первое событие, с помощью заголовка, зашифрованного в устройстве маркеров безопасности 2, и может загружать зашифрованный файл на облачный сервер 3.The file decryptor 140 encrypts the file in which the first event is detected using the header encrypted in the security token device 2 and can upload the encrypted file to the cloud server 3.

Помимо этого, шифратор-дешифратор файлов 140 дешифрует файл, в котором обнаружено второе событие, с помощью заголовка, зашифрованного устройством маркеров безопасности 2, чтобы файл мог запускаться на пользовательском терминале 1.In addition, the file decryptor 140 decrypts the file in which the second event is detected using the header encrypted by the security token device 2 so that the file can be launched on the user terminal 1.

Устройство маркеров безопасности 2 отсоединяется от пользовательского терминала 1 и работает, когда оно подключено к нему. Устройство маркеров безопасности 2 принимает заголовок файла, в котором блоком обнаружения событий 110 обнаружено появление любого события, от генератора заголовков 130; шифрует или дешифрует заголовок; и передает его на шифратор-дешифратор файлов 140.The device security tokens 2 is disconnected from the user terminal 1 and works when it is connected to it. The security token device 2 receives a file header in which the event detection unit 110 detects the occurrence of any event from the header generator 130; encrypts or decrypts the header; and transfers it to the file decryptor 140.

В частности, устройство маркеров безопасности 2 шифрует заголовок, полученный от генератора заголовков 130, и передает его на шифратор-дешифратор файлов 140 в процессе загрузки файла на сервер. И наоборот, во время загрузки файла, устройство маркеров безопасности 2 дешифрует заголовок зашифрованного файла, который загружается с облачного сервера 3 при приеме заголовка от генератора заголовков 130, и передает дешифрованный заголовок на шифратор-дешифратор файлов 140. Также, в случае такого события, как копирование, удаление и другая операция с файлом, устройство маркеров безопасности 2 может осуществлять процесс шифрования-дешифрования.In particular, the device of security tokens 2 encrypts the header received from the header generator 130, and transfers it to the file decryptor 140 in the process of downloading the file to the server. Conversely, during file download, the security token device 2 decrypts the header of the encrypted file, which is downloaded from the cloud server 3 upon receipt of the header from the header generator 130, and transfers the decrypted header to the file decryptor 140. Also, in the case of an event such as copying, deleting and other file operations, the device security tokens 2 can carry out the encryption-decryption process.

С другой стороны, подробная конфигурация устройства маркеров безопасности 2 представлена на РИС. 4. Как показано на РИС. 4, устройство маркеров безопасности 2 включает интерфейсные блоки 10А и 10В, контроллер поддержки конвертирования шифрования-дешифрования 20, запоминающее устройство 30 и чип безопасной аутентификации 40.On the other hand, a detailed configuration of the device security tokens 2 is presented in FIG. 4. As shown in FIG. 4, the security token device 2 includes interface units 10A and 10B, an encryption-decryption conversion support controller 20, a storage device 30, and a secure authentication chip 40.

Интерфейсные блоки 10А и 10В являются разъемами, которые электрически соединяются с пользовательским терминалом 1. Как пример показаны USB-разъем 10А и микро-USB-разъем 10В, но могут использоваться различные типы интерфейсных устройств.The interface units 10A and 10B are connectors that are electrically connected to the user terminal 1. As an example, a USB connector 10A and a micro USB connector 10B are shown, but various types of interface devices may be used.

Контроллер поддержки конвертирования шифрования-дешифрования 20 выполняет шифрование или дешифрование заголовка файла, в котором происходит событие, посредством ключа шифрования и блока шифрования, которые хранятся на контроллере, и осуществляет операцию управления для резервирования данных, когда устройство маркеров безопасности 2 по настоящему изобретению используется как резервная память.The encryption-decryption conversion support controller 20 performs encryption or decryption of the header of the file in which the event occurs, using the encryption key and the encryption unit that are stored on the controller, and performs a control operation to back up data when the security token device 2 of the present invention is used as a backup memory.

Когда выполняется шифрование или дешифрование, объем передаваемых или принимаемых данных можно сократить, а скорость обработки данных можно увеличить путем шифрования или дешифрования только заголовка файла.When encryption or decryption is performed, the amount of data transmitted or received can be reduced, and the processing speed can be increased by encrypting or decrypting only the file header.

Также, контроллер поддержки конвертирования шифрования-дешифрования 20 выполняет аутентификацию пользователя посредством чипа безопасной аутентификации 40, когда устройство маркеров безопасности 2 подключено к пользовательскому терминалу 1, и осуществляет шифрование или дешифрование только в том случае, когда аутентификация пользователя завершена успешно. Аутентификация пользователя выполняется путем генерирования сеансового ключа с помощью значения аутентификатора, полученного шифрованием случайного значения из пароля, который введен пользователем, и используя значение отклика на значение аутентификатора.Also, the encryption-decryption conversion support controller 20 authenticates the user through the secure authentication chip 40 when the security token device 2 is connected to the user terminal 1, and only encrypts or decrypts when the user authentication is successful. User authentication is performed by generating a session key using the authenticator value obtained by encrypting a random value from the password that the user entered and using the response value to the authenticator value.

Запоминающее устройство 30 хранит зашифрованный заголовок. Кроме того, участок памяти запоминающего устройства 30 можно разделить таким образом, чтобы определенные части этого участка использовались для общей памяти, а остальные - для хранения зашифрованного заголовка. Запоминающее устройство 30 включает флэш-память, такую как широко используемая карта памяти USB или другие носители.The storage device 30 stores an encrypted header. In addition, the memory section of the storage device 30 can be divided so that certain parts of this section are used for shared memory, and the rest for storing the encrypted header. The storage device 30 includes flash memory, such as a commonly used USB memory stick or other storage media.

Чип безопасной аутентификации 40 представляет собой чип для обеспечения функции защиты, выполняя аутентификацию пользователя, когда устройство маркеров безопасности 2 подключено к пользовательскому терминалу 1, и может хранить как минимум один пароль в качестве средства аутентификации пользователя, дактилоскопическую информацию пользователя и модуль генерирования OTP (одноразового пароля) для создания значения OTP.The secure authentication chip 40 is a chip for providing a security function by performing user authentication when the security token device 2 is connected to the user terminal 1, and can store at least one password as a user authentication means, fingerprint information of the user, and an OTP (one-time password) generation module ) to create an OTP value.

Парольная информация является личным идентификационным номером, который определен пользователем, и отличается от ключа шифрования. Кроме того, когда для аутентификации пользователя используется его дактилоскопическая информация, устройство считывания отпечатков пальцев должно быть установлено в устройстве маркеров безопасности или быть внешним устройством.Password information is a personal identification number that is defined by the user, and differs from the encryption key. In addition, when fingerprint information is used to authenticate the user, the fingerprint reader must be installed in the security token device or be an external device.

Модуль генерирования OTP использует шаг или время и случайное значение в качестве вводимых значений алгоритма шифрования для создания значения OTP и передает его серверу для аутентификации пользователя. Посредством такого сложного процесса аутентификации можно увеличить безопасность устройства маркеров безопасности. С другой стороны, сложный процесс аутентификации может улучшить безопасность устройства маркеров безопасности, но когда пользователь теряет его, он не может открыть зашифрованный файл, загруженный на облачный сервер 3. Эта проблема касается некоторых пользователей и сотрудников, следовательно, такие сложные продукты с одинаковым ключом шифрования можно продавать компаниям и группам, которые хотели бы использовать два или более устройства маркеров безопасности, чтобы избежать потерь.The OTP generation module uses a step or time and a random value as input values of the encryption algorithm to create an OTP value and passes it to the server for user authentication. Through such a complex authentication process, you can increase the security of the device security tokens. On the other hand, a complex authentication process can improve the security of the device of security tokens, but when the user loses it, he cannot open the encrypted file uploaded to the cloud server 3. This problem affects some users and employees, therefore, such complex products with the same encryption key can be sold to companies and groups that would like to use two or more security token devices to avoid losses.

При этом, чтобы управлять историей файла, который изменяют несколько человек, можно установить дополнительный сервис сервера. То есть, в сложных устройствах маркеров безопасности для нескольких сотрудников используется одинаковый ключ шифрования, но идентификационный номер присваивается каждому устройству маркеров безопасности для их различения, поэтому историей файла, который изменяют несколько человек, может управлять, к примеру, тот, кто последним изменил файл, при копировании файла и т.д.At the same time, in order to manage the history of a file that is changed by several people, you can install an additional server service. That is, in complex devices of security tokens for several employees the same encryption key is used, but an identification number is assigned to each device of security tokens to distinguish them, so the history of a file that is changed by several people can be controlled, for example, by the one who last changed the file, when copying a file, etc.

С другой стороны, в процессе аутентификации пользователя чип безопасной аутентификации 40 генерирует ответные данные на данные аутентификатора, полученные от генератора сеансовых ключей 120 агента 100, и передает их агенту 100. Затем чип безопасной идентификации 40 может создать сеанс с агентом 100, получив сеансовый ключ, сгенерированный агентом 100 с помощью ответных данных. Генерирование ответных данных конкретно описано со ссылкой на РИС. 5.On the other hand, in the process of user authentication, the secure authentication chip 40 generates response data to the authenticator data received from the session key generator 120 of the agent 100, and transmits them to the agent 100. Then, the secure authentication chip 40 can create a session with the agent 100, having received the session key generated by agent 100 using response data. The generation of response data is specifically described with reference to FIG. 5.

На РИС. 5 представлена схема, объясняющая генерирование ответных данных чипа безопасной аутентификации 40 по РИС. 4.In FIG. 5 is a diagram for explaining the generation of response data of the secure authentication chip 40 in FIG. four.

При приеме данных аутентификатора от генератора сеансовых ключей 120 чип безопасной аутентификации 40 дешифрует данные аутентификатора с помощью пароля и может подтверждать его совпадение.When receiving authenticator data from the session key generator 120, the secure authentication chip 40 decrypts the authenticator data with a password and can confirm that it matches.

Если пароли совпадают, чип безопасной аутентификации 40 может генерировать случайное значение отклика на основе пароля. Случайное значение отклика может быть сгенерировано тем же алгоритмом, что используется для создания случайного значения аутентификации. Иначе говоря, его можно сгенерировать с помощью алгоритма расширенного стандарта шифрования и зашифровать в режиме цепочки цифровых блоков (СВС).If the passwords match, the secure authentication chip 40 may generate a random password response value. A random response value can be generated by the same algorithm that is used to create a random authentication value. In other words, it can be generated using the algorithm of the advanced encryption standard and encrypted in the mode of a chain of digital blocks (SHS).

В данном случае, случайное значение отклика (ключ 1) может быть сгенерировано в виде 16-байтового ключа в режиме СВС по следующему уравнению:In this case, a random response value (key 1) can be generated as a 16-byte key in SHS mode according to the following equation:

Случайное значение отклика может быть получено в следующем процессе. Сначала вектор инициализации (IV) обрабатывается XOR первым блоком открытого текста пароля и шифруется. Затем следующий блок открытого текста (SNO) обрабатывается XOR предыдущим зашифрованным блоком (SNO-1) и шифруется.A random response value can be obtained in the following process. First, the initialization vector (IV) is processed by the XOR by the first block of plaintext password and encrypted. Then the next block of clear text (SNO) is processed by XOR by the previous encrypted block (SNO-1) and encrypted.

Когда генерируется 16-байтовое случайное значение, полученное из пароля, чип безопасной аутентификации 40 разделяет его на два блока: первый 8-байтовый блок 320 (третье случайное значение) и второй 8-байтовый блок 330 (четвертое случайное значение), а затем вставляет строку пароля 310 в начале каждого блока, чтобы создать первый и второй блок ответных данных 300.When a 16-byte random value is obtained from the password, the secure authentication chip 40 splits it into two blocks: the first 8-byte block 320 (third random value) and the second 8-byte block 330 (fourth random value), and then inserts the line password 310 at the beginning of each block to create the first and second block of response data 300.

Как показано на РИС. 5, ответные данные могут составлять 32 байта и состоять из первого и второго блока, каждый из которых имеет 16-байтовый столбец.As shown in FIG. 5, the response data may be 32 bytes and consist of the first and second blocks, each of which has a 16-byte column.

Первый блок может состоять из 8 байтов строки пароля 310 и 8 байтов третьего случайного значения 320, которое получено из пароля.The first block may consist of 8 bytes of the password string 310 and 8 bytes of the third random value 320, which is obtained from the password.

Второй блок может состоять из 8 байтов строки пароля 310 и 8 байтов четвертого случайного значения 330, которое получено из пароля.The second block may consist of 8 bytes of the password string 310 and 8 bytes of the fourth random value 330, which is obtained from the password.

Чип безопасной аутентификации 40 может зашифровать 32 байта ответных данных по РИС. 5 с помощью пароля и передать их на генератор сеансовых ключей 120.The secure authentication chip 40 may encrypt 32 bytes of response data in FIG. 5 using a password and transfer them to the session key generator 120.

Чип безопасной аутентификации 40 может создавать сеанс при приеме сеансового ключа от генератора сеансовых ключей 120.The secure authentication chip 40 may create a session upon receipt of the session key from the session key generator 120.

Сеансовый ключ может быть создан генератором сеансовых ключей 120 с помощью случайного значения аутентификации, сгенерированного им, а также используя случайное значение отклика, которое включено в ответные данные, полученные генератором сеансовых ключей 120 от устройства маркеров безопасности 2.The session key can be created by the session key generator 120 using a random authentication value generated by it, as well as using a random response value that is included in the response data received by the session key generator 120 from the security token device 2.

На РИС. 6 представлена схема последовательности операций, показывающая предварительный процесс для использования устройства маркеров безопасности в ПК-среде.In FIG. 6 is a flowchart showing a preliminary process for using a security token device in a PC environment.

Когда устройство маркеров безопасности 2 подключено к ПК пользователя на этапе S100, агент 100, загруженный на ПК пользователя, запускается на этом этапе. Агент 100 является программой для обеспечения безопасного облачного сервиса, связанной с устройством маркеров безопасности 2, и выполняет такие процессы, как: отправка заголовка целевого файла, созданного генератором заголовков 130, на устройство маркеров безопасности 2 для аппаратного шифрования заголовка, когда целевой шифруемый файл обнаруживается во время облачной синхронизации; дешифрование заголовка файла, который загружается с облачного сервера 3, посредством устройства маркеров безопасности 2; и выполнение автоматических операций шифрования и дешифрования в зависимости от того, подключено ли устройство маркеров безопасности 2.When the security token device 2 is connected to the user PC in step S100, the agent 100 downloaded to the user PC starts at this step. Agent 100 is a program for providing a secure cloud service associated with the device of security tokens 2 and performs processes such as: sending the header of the target file created by the header generator 130 to the device of security tokens 2 for hardware encryption of the header when the target encrypted file is detected in Cloud sync time decryption of the header of the file that is downloaded from the cloud server 3, through the device security tokens 2; and performing automatic encryption and decryption operations depending on whether the security token device 2 is connected.

При запуске агента 100 пользователь перенаправляется на главную страницу производителя устройства маркеров безопасности 2, ему предлагается зарегистрироваться на главной странице и оформить подписку на этапе S120. Затем на этапе S130 выполняется аутентификация пользователя. Как описано выше, аутентификация пользователя осуществляется с помощью различных средств, таких как пароль, дактилоскопическая информация, OTP и т.д. Кроме того, безопасность можно дополнительно улучшить, создав сеансовый ключ с помощью случайного значения на основе пароля.When the agent 100 is started, the user is redirected to the main page of the manufacturer of the security token device 2, he is invited to register on the main page and subscribe at step S120. Then, in step S130, user authentication is performed. As described above, user authentication is carried out using various means, such as password, fingerprint information, OTP, etc. In addition, security can be further improved by creating a session key using a random password-based value.

Затем агент 100 предлагает пользователю указать или создать папку локальной синхронизации на этапе S140, т.е. папку, которая будет синхронизироваться с облачным сервером 3. Папку локальной синхронизации можно передать на облачный сервер 3 после того, как все файлы, сохраненные в ней, зашифрованы при помощи зашифрованного заголовка, переданного от устройства маркеров безопасности 2.Then, the agent 100 prompts the user to specify or create a local synchronization folder in step S140, i.e. the folder that will be synchronized with cloud server 3. The local synchronization folder can be transferred to cloud server 3 after all files stored in it are encrypted using the encrypted header sent from the security tokens device 2.

Как вариант, папку локальной синхронизации можно разделить на папку общей синхронизации, из которой файлы передаются на облачный сервер 3 без шифрования, и папку безопасной синхронизации, из которой файлы загружаются на облачный сервер 3 после шифрования с помощью заголовка. В данном случае, агент может создавать папку безопасной синхронизации как подпапку в папке локальной синхронизации, а операция для безопасного облачного сервиса может выполняться только для файлов, сохраненных в папке безопасной синхронизации на этапе S150.Alternatively, the local synchronization folder can be divided into a shared synchronization folder, from which files are transferred to the cloud server 3 without encryption, and a safe synchronization folder, from which files are downloaded to the cloud server 3 after encryption using the header. In this case, the agent can create the safe synchronization folder as a subfolder in the local synchronization folder, and the operation for the secure cloud service can be performed only for files stored in the safe synchronization folder in step S150.

РИС. 7 - схема последовательности операций, показывающая процесс, в котором файл шифруется с помощью устройства маркеров безопасности, после чего передается на облачный сервер.FIG. 7 is a flowchart showing a process in which a file is encrypted using a security token device, and then transmitted to a cloud server.

Агент 100, загруженный на ПК пользователя, контролирует подключение устройства маркеров безопасности 2 к этому ПК на этапе S201 и может генерировать сеансовый ключ путем проведения аутентификации пользователя на этапе S202 при обнаружении подключения. Подробное описание аутентификации пользователя приведено на РИС. 9.Agent 100, loaded on the user's PC, monitors the connection of the security token device 2 to this PC in step S201 and can generate a session key by authenticating the user in step S202 when a connection is detected. A detailed description of user authentication is provided in FIG. 9.

Агент 100 определяет первое событие, такое как создание или копирование файла, загружаемого на облачный сервер 3, на этапе S203 и может генерировать заголовок для соответствующего файла на этапе S204 при обнаружении первого события. Здесь заголовок является ключом шифрования для шифрования файла, в котором обнаружено первое событие, и его можно генерировать по случайному значению.Agent 100 determines a first event, such as the creation or copying of a file uploaded to the cloud server 3, in step S203, and may generate a header for the corresponding file in step S204 upon detection of the first event. Here, the header is the encryption key for encrypting the file in which the first event is detected, and it can be generated by a random value.

Далее сгенерированный заголовок шифруется с помощью сеансового ключа, сгенерированного на этапе S202, и передается на устройство маркеров безопасности на этапе S205. По завершении шифрования отправленного заголовка устройством маркеров безопасности 2 и отправки на агент 100 на этапе S206, с помощью шифрованного заголовка агент 100 может зашифровать файл, в котором обнаружено первое событие, на этапе S207.Next, the generated header is encrypted using the session key generated in step S202, and transmitted to the security token device in step S205. Upon completion of encryption of the sent header by the security token 2 device and sending to the agent 100 in step S206, using the encrypted header, the agent 100 may encrypt the file in which the first event is detected in step S207.

При шифровании публикуемого файла агент 100 сохраняет зашифрованный файл в соответствующей папке на этапе S208. Зашифрованный файл хранится в папке локальной синхронизации или папке безопасной синхронизации, являющейся подпапкой папки локальной синхронизации в зависимости от объема шифрования, и файл, хранящийся в соответствующей папке, передается на облачный сервер 3 путем запуска облачного приложения.When encrypting the published file, the agent 100 saves the encrypted file in a corresponding folder in step S208. The encrypted file is stored in the local synchronization folder or the secure synchronization folder, which is a subfolder of the local synchronization folder depending on the amount of encryption, and the file stored in the corresponding folder is transferred to the cloud server 3 by starting the cloud application.

Если во время автоматического шифрования на этапе S209 обнаружено удаление или, другими словами, отключение устройства маркеров безопасности 2, агент 100 отменяет автоматическое шифрование на этапе S210 и удаляет файлы в соответствующих папках во избежание синхронизации с облачным сервером 3.If during automatic encryption in step S209, deletion or, in other words, disconnection of the device of security tokens 2 is detected, the agent 100 cancels the automatic encryption in step S210 and deletes the files in the corresponding folders to avoid synchronization with the cloud server 3.

РИС. 8 - схема последовательности операций, показывающая процесс, в котором файл дешифруется с помощью облачного сервиса в мобильной среде.FIG. 8 is a flowchart showing a process in which a file is decrypted using a cloud service in a mobile environment.

Сначала облачное приложение для обеспечения облачного сервиса запускается на этапе S301, и когда зашифрованный файл загружается с облачного сервера 3 на мобильный терминал, на этапе S302 определяется появление второго события.First, the cloud application for providing the cloud service is launched in step S301, and when the encrypted file is downloaded from the cloud server 3 to the mobile terminal, the occurrence of the second event is determined in step S302.

По получении шифрованного файла агент 100 для безопасного облачного сервиса запускается и контролирует, подключено ли устройство маркеров безопасности 2.Upon receipt of the encrypted file, agent 100 for a secure cloud service starts up and monitors if the security token device 2 is connected.

При подключении устройства маркеров безопасности 2 к мобильному терминалу на этапе S303 посредством аутентификации пользователя генерируется сеансовый ключ и на этапе S304 создается сеанс с агентом 100. По завершении аутентификации пользователя, с помощью сеансового ключа, сгенерированного на этапе s304, агент шифрует заголовок шифрованного файла и может передавать его на устройство маркеров безопасности 2 на этапе S305.When the security token device 2 is connected to the mobile terminal in step S303, a session key is generated by user authentication and a session with agent 100 is created in step S304. After user authentication is completed, the agent encrypts the header of the encrypted file using the session key generated in step s304 and can transmit it to the security token device 2 in step S305.

Когда заголовок дешифруется устройством маркеров безопасности 2 на этапе S306 и передается на терминал, с помощью дешифрованного заголовка агент 100 может дешифровать файл на этапе S307.When the header is decrypted by the security token device 2 in step S306 and transmitted to the terminal, using the decrypted header, the agent 100 can decrypt the file in step S307.

Пользовательский терминал 1 может отображать дешифрованный файл на экране, запуская его.The user terminal 1 can display the decrypted file on the screen, launching it.

Если при загрузке файла на этапе S308 обнаружено удаление или, другими словами, отключение устройства маркеров безопасности 2, агент 100 отменяет автоматическое дешифрование и удаляет дешифрованные кэш-файлы в соответствующей папке для предотвращения их запуска на этапе S309.If when downloading the file in step S308, deletion or, in other words, disconnection of the device of security tokens 2 is detected, the agent 100 cancels the automatic decryption and deletes the decrypted cache files in the corresponding folder to prevent them from starting in step S309.

РИС. 9 - схема последовательности операций, показывающая процесс, в котором устройство маркеров безопасности соединяется с пользовательским терминалом. Касательно дешифрования по РИС. 9 см. РИС. 2-5.FIG. 9 is a flowchart showing a process in which a security token device is connected to a user terminal. Regarding decryption by FIG. 9 cm. FIG. 2-5.

При обнаружении терминалом 1, на который установлен агент 100, физического подключения устройства маркеров безопасности 2 агент 100 может получить пароль от пользователя на этапе S410.When the terminal 1, on which the agent 100 is installed, detects the physical connection of the security token device 2, the agent 100 can receive a password from the user in step S410.

Когда пользователем вводится пароль, агент 100 может запросить открытый ключ от устройства маркеров безопасности 2 на этапе S420. В ответ на запрос открытого ключа устройство маркеров безопасности 2 передает его на этапе S430 и агент 100 может получить и сохранить его на этапе S440.When a password is entered by the user, the agent 100 may request a public key from the security token device 2 in step S420. In response to the public key request, the security token device 2 transmits it in step S430 and the agent 100 can receive and store it in step S440.

Далее генератор сеансовых ключей 120 агента 100 может сгенерировать случайное значение аутентификации на основе введенного пароля на этапе S450. На этом этапе случайное значение аутентификации может генерироваться с помощью алгоритма расширенного стандарта шифрования (AES) и шифроваться в режиме цепочки цифровых блоков (СВС).Next, the session key generator 120 of the agent 100 may generate a random authentication value based on the entered password in step S450. At this point, a random authentication value can be generated using the Advanced Encryption Standard (AES) algorithm and encrypted in Digital Block Chain (CBC) mode.

Случайное значение аутентификации 16-байтовое и его можно использовать для генерирования данных аутентификатора посредством разбивки на первые 8 байт в качестве первого случайного значения и других 8 байт в качестве второго.The random authentication value is 16 bytes and can be used to generate authenticator data by breaking into the first 8 bytes as the first random value and the other 8 bytes as the second.

Затем генератор сеансовых ключей 120 агента 100 генерирует данные аутентификатора с помощью сгенерированного случайного значения аутентификации, шифрует его с помощью открытого ключа, полученного от устройства маркеров безопасности 2 на этапе S460, и передает его на устройство маркеров безопасности 2.Then, the session key generator 120 of the agent 100 generates authenticator data using the generated random authentication value, encrypts it using the public key received from the security token device 2 in step S460, and transfers it to the security token device 2.

Данные аутентификации 256-байтовые и могут состоять из пароля, случайного значения аутентификации, проверочного значения открытого ключа, заполнения и т.д. Генерирование случайного значения аутентификации и данных аутентификатора описано выше на РИС. 3, поэтому в дальнейшем в этом документе описание этого будет опускаться.Authentication data is 256-byte and may consist of a password, a random authentication value, a public key verification value, padding, etc. The generation of a random authentication value and authenticator data is described above in FIG. 3, therefore, in the rest of this document, a description of this will be omitted.

Устройство маркеров безопасности 2 может подтвердить пароль путем дешифрования зашифрованных данных аутентификатора, полученных от агента 100, с помощью пароля на этапе S470.The security token device 2 can confirm the password by decrypting the encrypted authenticator data received from the agent 100 with the password in step S470.

Далее устройство маркеров безопасности 2 может сгенерировать случайное значение отклика, полученное из пароля на этапе S480. Случайное значение отклика может генерироваться с помощью алгоритма расширенного стандарта шифрования (AES) и шифроваться в режиме цепочки цифровых блоков (СВС).Next, the security token device 2 may generate a random response value obtained from the password in step S480. A random response value can be generated using the Advanced Encryption Standard (AES) algorithm and encrypted in a Digital Block Chain (SHS) mode.

В таком случае, случайное значение отклика 16-байтовое и может использоваться для генерирования ответных данных путем его разделения на первые 8 байт (третье случайное значение) и другие 8 байт (четвертое случайное значение).In this case, the random response value is 16 bytes and can be used to generate response data by dividing it into the first 8 bytes (third random value) and the other 8 bytes (fourth random value).

Затем устройство маркеров безопасности 2 генерирует ответные данные с помощью случайного значения отклика, сгенерированного на этапе S490, шифрует его с помощью пароля на этапе S500 и может передавать его на агент 100.Then, the security token device 2 generates response data using a random response value generated in step S490, encrypts it with a password in step S500, and can transmit it to agent 100.

Далее на этапе S510 агент 100 генерирует сеансовый ключ с помощью случайного значения аутентификации, сгенерированного на этапе S450, и с помощью случайного значения отклика, входящего в ответные данные, полученные от устройства маркеров безопасности 2, и может передавать сгенерированный сеансовый ключ на устройство маркеров безопасности 2.Next, in step S510, the agent 100 generates a session key using the random authentication value generated in step S450, and using the random response value included in the response data received from the security token device 2, and can transmit the generated session key to the security token device 2 .

Затем, по получении сеансового ключа, устройство маркеров безопасности 2 создает сеанс, логически связанный с агентом 100 для процедуры входа в систему на этапе S520.Then, upon receipt of the session key, the security token device 2 creates a session logically connected to the agent 100 for the login procedure in step S520.

На РИС. 10 изображен процесс шифрования заголовка файла в устройстве маркеров безопасности при загрузке файла на сервер, а на РИС. 11 - процесс дешифрования заголовка файла в устройстве маркеров безопасности при загрузке файла с сервера. На РИС. 10 и 11 изображен пример, на котором пользовательский терминал 1 подключен к USB-разъему 10А.In FIG. 10 shows the process of encrypting the file header in the device of security tokens when uploading the file to the server, and to FIG. 11 is a process of decrypting a file header in a security token device when downloading a file from a server. In FIG. 10 and 11 illustrate an example in which the user terminal 1 is connected to the USB connector 10A.

Сначала, согласно РИС. 10, при загрузке файла поток данных от агента 100 к устройству маркеров безопасности 2 обозначается пунктирной стрелкой, а поток данных в обратном направлении обозначается стрелкой с точками.First, according to FIG. 10, when a file is downloaded, the data stream from agent 100 to the security token device 2 is indicated by a dashed arrow, and data flow in the opposite direction is indicated by a dotted arrow.

При вводе заголовка для шифрования публикуемого файла из агента 100 на этапе S1 контроллер поддержки конвертирования шифрования-дешифрования 20 шифрует полученный заголовок исходного файла на этапе S2, сохраняет его на запоминающем устройстве 30 на этапе S3 и отправляет шифрованный заголовок с запоминающего устройства 30 на агент 100 на этапе S4.When you enter a header to encrypt the published file from agent 100 in step S1, the encryption-decryption conversion support controller 20 encrypts the received header of the source file in step S2, stores it on the storage device 30 in step S3, and sends the encrypted header from the storage device 30 to agent 100 on step S4.

Агент 100 принимает шифрованный заголовок, шифрует исходный публикуемый файл и может загружать этот файл на облачный сервер 3.Agent 100 receives the encrypted header, encrypts the original published file, and can upload this file to the cloud server 3.

Впоследствии, согласно РИС. 11 при загрузке файла поток данных от агента 100 к устройству маркеров безопасности 2 обозначается пунктирной стрелкой, а поток данных в обратном направлении - стрелкой с точками. При вводе заголовка файла, загруженного с облачного сервера 3, с агента 100 на этапе S11 контроллер поддержки конвертирования шифрования-дешифрования 20 проходит через шифрованный заголовок и сохраняет его на запоминающем устройстве 30 на этапе S12, дешифрует его на этапе S13 и отправляет дешифрованный заголовок на агент 100 на этапе S14.Subsequently, according to FIG. 11, when downloading a file, the data stream from agent 100 to the device of security tokens 2 is indicated by a dashed arrow, and the data stream in the opposite direction is indicated by a dotted arrow. When you enter the header of the file downloaded from the cloud server 3 from the agent 100 in step S11, the encryption-decryption conversion support controller 20 passes through the encrypted header and stores it on the storage device 30 in step S12, decrypts it in step S13, and sends the decrypted header to the agent 100 in step S14.

Агент 100 принимает дешифрованный заголовок и дешифрует зашифрованный файл, загруженный с облачного сервера, для запуска на пользовательском терминале 1. С другой стороны, помимо создания файла путем его публикации или загрузки в зависимости от потока данных, описанного на РИС. 10 и 11, шифрование-дешифрование может осуществляться при появлении таких событий, как копирование, удаление файла и т.д.Agent 100 receives the decrypted header and decrypts the encrypted file downloaded from the cloud server to run on user terminal 1. On the other hand, in addition to creating the file by publishing or downloading it, depending on the data stream described in FIG. 10 and 11, encryption-decryption can occur when events such as copying, deleting a file, etc.

Хотя предпочтительные варианты осуществления настоящего изобретения были раскрыты в целях наглядности, специалисты в данной области техники одобрят различные возможные изменения, дополнения и замены без отступления от объема и сущности настоящего изобретения, о чем говорится в прилагаемых пунктах формулы изобретения.Although preferred embodiments of the present invention have been disclosed for illustrative purposes, those skilled in the art will appreciate various possible changes, additions, and substitutions without departing from the scope and spirit of the present invention, as described in the appended claims.

Claims

1. An agent installed on a user terminal to provide a secure cloud service, including:

a header generator for generating headers having a random value for encrypting a file uploaded to the cloud server upon receipt of this file from a user terminal;

when a security token device event detection unit detects a session key generator, it is used to generate session keys that create a session with a security token device that encrypts the generated header or decrypts the file header downloaded from the cloud server, and when the event detection unit determines that the security token device is disabled during the specified session, then cancel automatic encryption or decryption and delete files to avoid syn synchronization with a cloud server, a decryptor-decryptor is designed to encrypt a file downloaded to a cloud server using an encrypted header when it is encrypted by a security token device, and to decrypt a file downloaded from a cloud server using an encrypted header when it is decrypted by a security token device; and

a decryptor-decryptor for encrypting a file downloaded to a cloud server using an encrypted header when it is encrypted by a security token device, and decrypting a file downloaded from a cloud server using an encrypted header when it is decrypted by a security token device.

2. The agent according to claim 1, characterized in that the generator encrypts the header using a session key and transfers the encrypted header to the security token device.

3. The agent according to claim 1, characterized in that the session key generator receives a password and requests a public key from the security token device when it detects its connection; generates authenticator data, including a random authentication value, encrypts the data with the public key and transfers it to the device security tokens; and generates a session key using a random authentication value and a response when receiving security tokens from the device response data including a random response value.

4. The device security tokens for a secure cloud service, including:

an event detection unit, designed to determine whether the security token device is connected to the user terminal when encrypting or decrypting the header of a file uploaded to the cloud server or downloaded from the cloud server, and when it detects that the security token device is disabled, cancel automatic encryption or decryption and delete files to avoid synchronization with the cloud server;

an interface unit disconnected from the user terminal to provide an interface with an agent installed on the user terminal;

a storage device for storing the encrypted header, which is an encryption key generated with a random value for encrypting and decrypting the file uploaded to the cloud server; and

the encryption-decryption conversion support controller that encrypts the header of the file uploaded to the cloud server, upon receipt of this header, saves the encrypted header on the storage device and transfers it to the agent; and saves the encrypted header of the file downloaded from the cloud server to the storage device upon receipt of this header, decrypts it and transfers it to the agent.

5. The device security tokens according to claim 4, further comprising:

a secure authentication chip that transmits the public key at the request of the agent and receives authenticator data, including a random authentication value; generates response data including a random response value, and transmits response data to the agent; and generates a session with the agent upon receipt of a session key from it, with the generation of the latter by the agent using a random authentication value and using a random response value.

6. The device of security tokens according to claim 5, characterized in that, using the session key, the secure authentication chip encrypts the encrypted or decrypted header and sends it to the agent.