BR102015011937A2 - agente para fornecer serviço de segurança na nuvem e dispositivo token de segurança para serviço de segurança na nuvem - Google Patents
agente para fornecer serviço de segurança na nuvem e dispositivo token de segurança para serviço de segurança na nuvem Download PDFInfo
- Publication number
- BR102015011937A2 BR102015011937A2 BR102015011937A BR102015011937A BR102015011937A2 BR 102015011937 A2 BR102015011937 A2 BR 102015011937A2 BR 102015011937 A BR102015011937 A BR 102015011937A BR 102015011937 A BR102015011937 A BR 102015011937A BR 102015011937 A2 BR102015011937 A2 BR 102015011937A2
- Authority
- BR
- Brazil
- Prior art keywords
- header
- security token
- agent
- file
- token device
- Prior art date
Links
- 230000004044 response Effects 0.000 claims description 40
- 238000006243 chemical reaction Methods 0.000 claims description 7
- 239000003795 chemical substances by application Substances 0.000 description 56
- 238000000034 method Methods 0.000 description 28
- 230000008569 process Effects 0.000 description 24
- 238000010586 diagram Methods 0.000 description 11
- 238000001514 detection method Methods 0.000 description 6
- 238000012217 deletion Methods 0.000 description 4
- 230000037430 deletion Effects 0.000 description 4
- 238000007792 addition Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- VBMOHECZZWVLFJ-GXTUVTBFSA-N (2s)-2-[[(2s)-6-amino-2-[[(2s)-6-amino-2-[[(2s,3r)-2-[[(2s,3r)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-2-[[(2s)-2,6-diaminohexanoyl]amino]-5-(diaminomethylideneamino)pentanoyl]amino]propanoyl]amino]hexanoyl]amino]propanoyl]amino]hexan Chemical compound NC(N)=NCCC[C@@H](C(O)=O)NC(=O)[C@H](CCCCN)NC(=O)[C@H](CCCCN)NC(=O)[C@H]([C@@H](C)O)NC(=O)[C@H]([C@H](O)C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCN=C(N)N)NC(=O)[C@@H](N)CCCCN VBMOHECZZWVLFJ-GXTUVTBFSA-N 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 108010068904 lysyl-arginyl-alanyl-lysyl-alanyl-lysyl-threonyl-threonyl-lysyl-lysyl-arginine Proteins 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/12—Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
agente para fornecer serviço de segurança na nuvem e dispositivo token de segurança para serviço de segurança na nuvem. a presente invenção trata de um agente para fornecer um serviço de nuvem e um dispositivo token de segurança para um serviço na nuvem. de acordo com a presente invenção, os dados confidenciais de pessoas físicas ou jurídicas não podem ser abertos se um servidor de nuvem é hackeado, isto porque um cabeçalho do arquivo é criptografado e descriptografado em um dispositivo de chave de token, o vazamento da chave criptografia pode ser evitado, mesmo quando um pc é hackeado. além disso, uma chave de sessão é gerada usando um valor aleatório derivado de uma chave de senha quando o dispositivo token de segurança é conectado a um terminal do usuário, pelo qual a segurança pode ser notavelmente melhorada.
Description
"AGENTE PARA FORNECER SERVIÇO DE SEGURANÇA NA NUVEM E DISPOSITIVO TOKEN DE SEGURANÇA PARA SERVIÇO DE SEGURANÇA NA NUVEM" ANTECEDENTES DA INVENÇÃO 1. Campo técnico [0001] A presente invenção se refere de modo geral a um agente para fornecer um serviço de segurança na nuvem e um dispositivo token de segurança para um serviço de segurança na nuvem. Mais particularmente, a presente invenção se refere a uma tecnologia para melhorar a segurança, em que a autenticação do usuário e do cabeçalho de encriptação e desencriptação é realizada em arquivos no hardware do dispositivo token de segurança que pode ser removido de um terminal do usuário e, em seguida, os arquivos são armazenados em um servidor de nuvem. 2. Descricação da arte relacionada [0002] Nos dias atuais, ambientes de computação em nuvem são amplamente utilizados para a distribuição eficiente dos recursos de TI e armazenamento seguro de dados. Na década de 1960, o cientista da computação John McCarthy propôs o conceito de computação em nuvem. Recentemente, o rápido progresso na infraestrutura da comunicação e a crescente necessidade da distribuição eficiente de recursos em ambiente de computação têm contribuído para o rápido desenvolvimento da computação em nuvem.
[0003] Em um ambiente de computação em nuvem, os custos de investimento em equipamentos de TI por parte do cliente podem ser reduzidos porque os usuários não precisam de terminais de alto padrão e porque os recursos de TI podem ser distribuídos de forma eficiente dependendo dos ambientes de serviço. No entanto, computação em nuvem tem problemas de segurança. Por exemplo, quando um servidor de computação em nuvem é hackeado, os dados podem ser roubados, ou os provedores de serviços podem deliberadamente vazar dados confidenciais do usuário.
[0004] Além disso, como os serviços em nuvem não usam apenas ambientes PC, mas também ambientes móveis, como smartphones e similares, as questões de segurança devem ser resolvidas para proteger que um servidor de nuvem seja hackeado.
[0005] Deste modo, os documentos, incluindo o Pedido de Patente Coreano 10-1107056 descreve um método em que um arquivo é sincronizado e encriptado antes de ser transmitido de um terminal de cliente para um servidor de nuvem e um arquivo é desencriptado no terminal do cliente depois de ter sido recebido do servidor de nuvem.
[0006] Em alguns produtos que usam o método acima descrito, a criptografia é realizada por módulos de algoritmo de software usando chaves de criptografia geridas por um aplicativo de agente do Windows ou os arquivos são criptografados em software usando chaves de criptografia armazenadas em um dispositivo de hardware.
[0007] Em outras palavras, devido aos métodos de criptografia de arquivos existentes aumentarem a segurança dos serviços em nuvem realizando a criptografia de chaves em software e por as chaves de criptografia serem gerenciadas por um programa do Windows, as chaves podem ser expostas a programas de monitorização executados por hackers. Assim, é difícil garantir a segurança na técnica convencional.
Documento relacionado à arte [0008] Documento de Patente: KR10-1107056 SUMÁRIO DA INVENÇÃO
[0009] Por conseguinte, a presente invenção tem em mente os problemas acima referidos que ocorrem na técnica relacionada, e um objetivo da presente invenção é gerar aleatoriamente um cabeçalho, que é uma chave de encriptação de um arquivo em um dispositivo token de segurança conectado a um terminal do usuário, e encriptar o arquivo em um agente, no qual a chave de segurança pode ser impedida de ser vazada e a quantidade de dados transmitidos e recebidos pode ser reduzida, porque o dispositivo token de segurança encripta e desencripta apenas o cabeçalho.
[0010] Além disso, para aumentar a segurança, a presente invenção encripta e desencripta um arquivo de nuvem e sincroniza o arquivo somente quando um dispositivo token de segurança está conectado a um terminal do usuário.
[0011] Além disso, o objetivo da presente invenção é gerar uma chave de sessão utilizando um valor aleatório derivado de uma chave de senha quando um dispositivo token de segurança é conectado a um terminal do usuário, de modo a melhorar a segurança.
[0012] Para realizar o objetivo acima, de acordo com uma modalidade da presente invenção, um agente instalado em um terminal do usuário para fornecer um serviço de segurança na nuvem instalado em um terminal do usuário, pode compreender: uma unidade geradora de cabeçalho para gerar um cabeçalho que tem um valor aleatório para criptografar um arquivo a ser enviado para um servidor de nuvem quando o arquivo é recebido do terminal do usuário; uma unidade geradora de chave de sessão para gerar uma chave de sessão para criar uma sessão com um dispositivo token de segurança, quando a remoção do dispositivo token de segurança do terminal do usuário for detectada, o dispositivo token de segurança criptografa o cabeçalho gerado ou descriptografa um cabeçalho de um arquivo baixado do servidor de nuvem; e uma unidade de criptografia e descriptografia do arquivo para criptografar o arquivo a ser enviado para o servidor de nuvem, usando o cabeçalho criptografado quando o cabeçalho é criptografado pelo dispositivo token de segurança, e para descriptografar o arquivo baixado do servidor de nuvem usando o cabeçalho descriptografado quando o cabeçalho é descriptografado pelo dispositivo token de segurança.
[0013] A unidade geradora de cabeçalho pode encriptar o cabeçalho gerado utilizando a chave de sessão, e transmite o cabeçalho criptografado para o dispositivo token de segurança.
[0014] A unidade geradora de chave de sessão pode receber uma senha e solicitar uma chave pública do dispositivo token de segurança, quando detecta a ligação do dispositivo token de segurança; gerar dados do autenticador que inclui um valor aleatório para autenticação, encriptar os dados usando a chave pública, e transmitir os dados para o dispositivo token de segurança; e gerar uma chave de sessão usando o valor aleatório para autenticação e usar um valor aleatório para resposta quando recebe do dispositivo token de segurança, os dados de resposta, que incluem o valor aleatório para resposta.
[0015] Para realizar o objetivo acima, um dispositivo token de segurança para um serviço de segurança na nuvem de acordo com uma modalidade da presente invenção pode incluir: uma unidade de interface, destacável de um terminal do usuário, para proporcionar uma interface com um agente instalado no terminal do usuário; uma unidade de armazenamento para armazenar um cabeçalho criptografado, o cabeçalho sendo uma chave de encriptação que é gerada para um valor aleatório para criptografar e descriptografar um arquivo a ser compartilhado em um servidor de nuvem; e um controlador de suporte de conversão de criptografia e descriptografia, que criptografa um cabeçalho para um arquivo a ser enviado para o servidor de nuvem quando recebe o cabeçalho, armazena o cabeçalho criptografado na unidade de armazenamento, e transmite o cabeçalho para o agente; e armazena um cabeçalho criptografado para um arquivo baixado do servidor de nuvem na unidade de armazenamento ao receber o cabeçalho, descriptografa o cabeçalho criptografado, e transmite o cabeçalho para o agente.
[0016] Além disso, o dispositivo token de segurança pode ainda incluir um chip de autenticação de segurança, que transmite uma chave pública quando a chave pública é solicitada pelo agente e recebe dados do autenticador incluindo um valor aleatório para autenticação; gera dados de resposta incluindo um valor aleatório para resposta e transmite os dados de resposta para o agente; e gera uma sessão com o agente ao receber uma chave de sessão do agente, sendo que a chave de sessão gerada pelo agente usa o valor aleatório para autenticação e usa o valor aleatório para resposta.
[0017] O chip de autenticação de segurança pode encriptar o cabeçalho criptografado ou o cabeçalho desencriptado utilizando a chave de sessão; e transmitir o cabeçalho para o agente.
[0018] De acordo com a presente invenção, os dados confidenciais de empresas ou de pessoas físicas não podem ser abertos se um servidor de nuvem é hackeado, isto ocorre devido a um cabeçalho do arquivo (uma chave de encriptação com um valor aleatório) ser criptografado e descriptografado em um dispositivo token, o vazamento da chave de encriptação pode ser evitada, mesmo quando um PC é invadido. Por conseguinte, a segurança pode ser notavelmente melhorada.
[0019] Além disso, uma chave de sessão é gerada usando um valor aleatório derivado de uma chave de senha quando um dispositivo token de segurança é conectado a um terminal do usuário e um cabeçalho criptografado ou descriptografado é transmitido após ser encriptado pela chave de sessão, melhorando desta forma a segurança.
BREVE DESCRIÇÃO DOS DESENHOS
[0020] Os objetivos, características e outras vantagens da presente invenção acima mencionados serão mais claramente compreendidos a partir da descrição detalhada a seguir em conjunto com os desenhos anexos, nos quais: [0021] A figura 1 é um diagrama da configuração do sistema para a prestação de um serviço de segurança na nuvem de acordo com a presente invenção;
[0022] A figura 2 é um diagrama de blocos que ilustra uma configuração detalhada de um agente de um terminal do usuário da figura 1;
[0023] A figura 3 é uma vista que ilustra a geração de dados autenticadores por uma unidade geradora de chave de sessão da figura 2;
[0024] A figura 4 é um diagrama de blocos que ilustra uma configuração detalhada de um dispositivo token de segurança da figura 1;
[0025] A figura 5 é uma vista para explicar a geração de dados de resposta por um chip de autenticação de segurança da figura 4;
[0026] A figura 6 é um diagrama de fluxo que ilustra um processo anterior para a utilização de um dispositivo token de segurança em um ambiente de PC;
[0027] A figura 7 é um diagrama de fluxo que ilustra um processo em que um arquivo é encriptado usando um dispositivo token de segurança e, em seguida, transmitido para um servidor de nuvem;
[0028] A figura 8 é um diagrama de fluxo que ilustra um processo em que um arquivo é desencriptado usando um serviço de nuvem em um ambiente móvel;
[0029] A figura 9 é um diagrama de fluxo que ilustra um processo de autenticação do usuário, quando um dispositivo token de segurança está conectado a um terminal do usuário;
[0030] A figura 10 ilustra um processo de encriptação do cabeçalho do arquivo em um dispositivo token de segurança quando um arquivo é carregado; e [0031] A figura 11 ilustra um processo de desencriptação do cabeçalho do arquivo em um dispositivo token de segurança quando um arquivo é baixado.
DESCRIÇÃO DAS MODALIDADES PREFERIDAS
[0032] A presente invenção será agora descrita em detalhes com base nos aspectos (ou modalidades). A presente invenção pode, contudo, ser realizada de muitas formas diferentes e não deve ser interpretada como estando limitada apenas às modalidades aqui apresentadas, mas deve ser entendido que abrange as modificações, equivalentes ou alternativas que caem dentro das idéias e no âmbito técnico da presente invenção.
[0033] A referência deve ser feita agora aos desenhos, nos quais os mesmos números de referência são utilizados nos diferentes desenhos para designar os mesmos componentes ou similares. Na descrição, os detalhes das características e técnicas bem conhecidas podem ser omitidos para evitar desnecessariamente obscurecer as modalidades apresentadas.
[0034] Será entendido que, embora os termos primeiro, segundo, etc., podem ser aqui utilizados para descrever vários elementos, estes elementos não devem ser limitados por estes termos. Estes termos são utilizados somente para distinguir um elemento do outro. Por exemplo, um primeiro elemento pode ser denominado um segundo elemento, e, de modo semelhante, um segundo elemento pode ser denominado um primeiro elemento, sem fugir do escopo da presente invenção.
[0035] Tal como utilizado aqui, o termo "e/ou" inclui quaisquer e todas as combinações de um ou mais dos itens mencionados associados.
[0036] Deve entender-se que, quando um elemento é referido como sendo "conectado" ou "acoplado" a um outro elemento, que pode ser diretamente conectado ou acoplado a outro elemento ou elementos intervenientes podem estar presentes. Em contraste, quando um elemento é referido como sendo "diretamente conectado" ou "diretamente acoplado" a outro elemento, não existem elementos intervenientes presentes .
[0037] A terminologia aqui utilizada é para o propósito de descrever apenas modalidades particulares e não se destina a limitar a invenção. Tal como aqui utilizado, as formas singulares "um", "uma", "o" e "a" pretendem incluir as formas de plural, a não ser que o contexto indique claramente o contrário. Será ainda entendido que os termos "compreende", "compreendendo", "inclui" e/ou "incluindo", quando aqui utilizados, especificarem a presença de características indicadas, números inteiros, etapas, operações, elementos, e/ou componentes, mas não impedem a presença ou adição de uma ou mais outras características, números inteiros, etapas, operações, elementos, componentes e/ou grupos dos mesmos.
[0038] A menos que de outro modo definido, todos os termos (incluindo os termos técnicos e científicos aqui utilizados) têm o mesmo significado que o normalmente entendido por um perito na arte à qual esta invenção pertence. Deve entender-se ainda que os termos, tais como aqueles definidos normalmente nos dicionários devem ser interpretados como tendo um significado que é consistente com o seu significado no contexto da arte relevante e não devem ser interpretados em um sentido idealizado ou excessivamente formal, excepto se expressamente definido aqui .
[0039] A figura 1 é um diagrama da configuração do sistema para a prestação de um serviço de segurança na nuvem de acordo com a presente invenção; a figura 2 é um diagrama de blocos que ilustra uma configuração detalhada do agente da figura 1; e a figura 4 é um diagrama de blocos que ilustra uma configuração detalhada do dispositivo token de segurança da figura 1.
[0040] Tal como ilustrado na figura 1, o sistema para fornecer um serviço de segurança na nuvem de acordo com a presente invenção está configurado para incluir um terminal do usuário 1, um dispositivo token de segurança 2, e um servidor de nuvem 3. O terminal do usuário 1 é um dispositivo no qual os arquivos do usuário são armazenados, e inclui vários tipos de terminais capazes de armazenar e exibir arquivos e acessar à Internet, tais como PCs, laptops, tablet PCs, smartphones e similares. Na figura 1, IA representa um PC, 1B representa um tablet PC, e 1C representa um smartphone.
[0041] Além disso, o servidor de nuvem 3 é um dispositivo para prover um serviço de nuvem de compartilhamento de arquivos do usuário, e este armazena o conteúdo de um usuário, tais como documentos, contatos e arquivos de midia, incluindo filmes, fotos e músicas. Quando um terminal do usuário, incluindo um PC, um smart phone, e uma TV smart, solicita o conteúdo, o terminal do usuário pode baixar o conteúdo armazenado no servidor. Na Coréia, os serviços em nuvem são fornecidos pela Naver NDrive, KT ucloud, Daum Cloud, etc., e serviços de nuvem globais, como Dropbox, Box, SugarSync, Google Drive, Sky Drive, etc. também são fornecidos.
[0042] Tal como ilustrado na figura 2, um agente 100 é instalado no terminal do usuário 1 para proporcionar um serviço de segurança na nuvem de acordo com a presente invenção. O agente 100 pode incluir uma unidade de detecção de eventos 110, uma unidade geradora de chave de sessão 120, uma unidade geradora de cabeçalho 120, e uma unidade de encriptação e desencriptação de arquivo 140.
[0043] A unidade de detecção de eventos 110 pode detectar a ocorrência de um evento de arquivo. Neste caso, o evento indica a criação, cópia, exclusão, e formas semelhantes de arquivos baixados ou de arquivos a serem enviados.
[0044] Aqui, a criação, cópia, e semelhantes dos arquivos a serem carregados, que exigem um processo de encriptação, podem se tornar um primeiro evento. Por outro lado, a criação, exclusão, e semelhantes dos arquivos baixados, que exigem um processo de decriptação, podem se tornar um segundo evento.
[0045] Ao detectar o primeiro evento, incluindo o arquivo enviado e a cópia do arquivo, a unidade geradora de cabeçalho 130 pode gerar um cabeçalho com um valor aleatório, e transmitir o cabeçalho para o dispositivo token de segurança 2. Aqui, o cabeçalho é uma chave de encriptação para criptografar ou descriptografar um arquivo, e pode ser gerado para um valor aleatório em um intervalo do primeiro evento.
[0046] Além disso, ao detectar o segundo evento, incluindo o download do arquivo e a exclusão do arquivo, a unidade geradora de cabeçalho 130 pode transmitir para o dispositivo token de segurança 2, o cabeçalho do arquivo baixado do servidor de nuvem 3.
[0047] Quando um usuário envia um arquivo para o servidor de nuvem 3 ou copia um arquivo, a unidade de detecção de evento 110 determina se o dispositivo token de segurança 2 está conectado. Para aumentar a segurança, a unidade de detecção de eventos 110 inicia a criptografia no cabeçalho do arquivo a ser enviado para o servidor no dispositivo token de segurança 2, apenas quando o dispositivo token de segurança 2 está conectado.
[0048] Além disso, quando um usuário baixa e armazena um arquivo criptografado a partir do servidor de nuvem, ou quando o usuário exclui um arquivo, a unidade de detecção de evento 110 determina se o dispositivo token de segurança 2 está conectado, e pode dar inicio à desencriptação no cabeçalho do arquivo criptografado no dispositivo token de segurança 2, apenas quando o dispositivo token de segurança 2 está ligado.
[0049] Ao detectar a conexão do dispositivo token de segurança 2, a unidade geradora de chaves de sessão 120 pode criar uma sessão para uma conexão lógica com o dispositivo token de segurança 2 que está fisicamente conectado por meio de autenticação do usuário.
[0050] Quando o dispositivo token de segurança 2 está conectado ao terminal do usuário 1, a unidade geradora de chave de sessão 120 gera uma chave de sessão através da transmissão de um valor do autenticador para o dispositivo token de segurança 2 e pelo recebimento de um valor de resposta para o valor do autenticador do dispositivo token de segurança 2. Em seguida, a unidade geradora de chave de sessão 120 pode criar uma sessão com o dispositivo token de segurança 2, através da transmissão da chave de sessão gerada para o dispositivo token de segurança 2. Aqui, o valor do autenticador é obtido através da encriptaçâo com uma chave pública, um valor aleatório para autenticação derivado de uma senha.
[0051] Especificamente, ao detectar a conexão física com o dispositivo token de segurança 2, a unidade geradora de chaves de sessão 120 pode receber uma senha de um usuário. Além disso, a unidade geradora de chaves de sessão 120 pode solicitar uma chave pública e recebê-la do dispositivo token de segurança 2, quando a senha é inserida. A geração do valor do autenticador é descrita com referência à figura 3.
[0052] A figura 3 é uma vista que ilustra a geração de dados autenticadores pela unidade geradora de chaves de sessão da figura 2.
[0053] A unidade geradora de chaves de sessão 120 pode gerar um valor aleatório de autenticação derivado de uma senha. Aqui, valor aleatório de autenticação pode ser gerado usando o algoritmo da Advanced Encryption Standard (AES) , e pode ser criptografado usando o modo Cipher Block Chaining (CBC).
[0054] O valor aleatório de autenticação (chave) pode ser gerado para uma chave de 16 bytes no modo CBC, usando a seguinte equação: [0055] Tempkey = senha (20) Φ padding(12) [0056] Chave = E ((SNO Θ SNO-1), Tempkey) [0057] O valor aleatório de autenticação é obtido pelo seguinte processo. Em primeiro lugar, o Vetor de Inicialização (IV) é operado em XOR comum no primeiro bloco de uma senha de texto simples e, em seguida, criptografado. Repetidamente, o próximo bloco de texto simples (SNO) é operado em XOR com o bloco anterior encriptado (SNO-1) e, em seguida, criptografado. Aqui, o último bloco pode ser um bloco preenchido.
[0058] Quando o valor aleatório para autenticação de 16 bytes derivado da senha for gerado, a unidade geradora de chaves de sessão 120 divide-o em dois blocos, o primeiro bloco de 8 bytes 220(primeiro valor aleatório) e o próximo bloco de 8 bytes 230 (segundo valor aleatório), e em seguida, insere a cadeia de caracteres de senha 210 no inicio de cada um dos blocos para gerar o primeiro bloco e o segundo bloco de dados autenticadores.
[0059] Por exemplo, quando a senha é "SZTGBPWD" e o valor aleatório autenticação obtido pela equação acima descrita é 0x00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F, o primeiro bloco torna-se "S Z T G B P W D 00 01 02 03 04 05 06 07", e o segundo bloco torna-se "S Z T G B P W D 08 09 0A 0B 0C 0D 0E 0F". Aqui, o primeiro bloco e o segundo bloco podem ser criptografados de acordo com a Public Key Cryptography Standard, PKCS # 5.
[0060] Como mostrado na figura 3, os dados autenticadores podem ser 256 bytes, e podem ser constituído por vários blocos tendo uma coluna de 16 bytes.
[0061] O primeiro bloco pode consistir de 8 bytes da cadeia de caracteres de senha 210 e oito bytes do primeiro valor aleatório 220 que é derivado da senha.
[0062] O segundo bloco pode consistir de 8 bytes da cadeia de caracteres de senha 210 e oito bytes do segundo valor aleatório 230 que é derivado da senha.
[0063] Além disso, um terceiro bloco pode conter quatro bytes de um valor de verificação 240 que indica um resultado da verificação da chave pública recebida do dispositivo token de segurança 2, e 12 bytes restantes do terceiro bloco podem ser preenchidos. Em outras palavras, 220 bytes de dados do autenticador podem ser completados como preenchimento 250.
[0064] A unidade geradora de chaves de sessão 120 pode executar a criptografia RSA em 256 bytes dos dados autenticadores da figura 3, utilizando a chave pública recebida do dispositivo token de segurança 2, e, em seguida, pode transmiti-la para o dispositivo token de segurança 2. Além disso, em resposta aos dados autenticadores criptografados, a unidade geradora de chave de sessão 120 recebe dados de resposta que são encriptados utilizando a senha do dispositivo token de segurança 2, e gera uma chave de sessão. Em seguida, a unidade geradora de chaves de sessão 120 pode criar uma sessão transmitindo a chave de sessão gerada para o dispositivo token de segurança 2.
[0065] A unidade geradora de cabeçalho 130 gera um cabeçalho para o arquivo no qual o primeiro evento é detectado, criptografa o cabeçalho gerado utilizando a chave de sessão gerada pela unidade geradora de chaves de sessão 120, e pode transmiti-lo para o dispositivo token de segurança 2.
[0066] Aqui, o cabeçalho de um arquivo enviado é criptografado no dispositivo token de segurança 2, e pode ser transmitido para a unidade de encriptação e desencriptação de arquivo 140. Além disso, o cabeçalho para um arquivo baixado é descriptografado no dispositivo token de segurança 2, e podem ser transmitidos para a unidade de encriptação e desencriptação de arquivo 140.
[0067] A unidade de encriptação e desencriptação de arquivo 140 do arquivo 140 criptografa um arquivo no qual o primeiro evento é detectado, usando o cabeçalho criptografado no dispositivo token de segurança 2, e pode enviar o arquivo criptografado para o servidor de nuvem 3.
[0068] Além disso, a unidade de encriptação e desencriptação de arquivo 140 desencripta um arquivo no qual é detectado o segundo evento, usando o cabeçalho desencriptado no dispositivo token de segurança 2, de modo a tornar o arquivo executável no terminal do usuário 1.
[0069] O dispositivo token de segurança 2 é removível do terminal do usuário 1, e opera quando está conectado ao terminal do usuário 1. O dispositivo de segurança 2 recebe da unidade geradora de cabeçalho 130, o cabeçalho do arquivo em que a ocorrência do evento é detectada pela unidade de detecção de eventos 110; criptografa ou descriptografa o cabeçalho; e transmite o cabeçalho para a unidade de encriptação e desencriptação de arquivo 140.
[0070] Especificamente, o dispositivo token de segurança 2 criptografa o cabeçalho recebido da unidade geradora de cabeçalho 130 e transmite-o para a unidade de encriptação e desencriptação de arquivo 140, durante o processo de envio de arquivos. Por outro lado, durante o processo de baixar os arquivos, o dispositivo token de segurança 2 desencripta o cabeçalho do arquivo criptografado que é baixado do servidor de nuvem 3 ao receber o cabeçalho da unidade geradora de cabeçalho 130, e transmite o cabeçalho descriptografado na unidade de encriptação e desencriptação de arquivo 140. Além disso, quando ocorre um evento, como cópia, exclusão, e similares do arquivo, o dispositivo token de segurança 2 pode executar o processo de encriptação e desencriptação.
[0071] Por outro lado, a configuração detalhada do dispositivo token de segurança 2 é ilustrada na figura 4 . Como mostrado na figura 4, o dispositivo token de segurança 2 é configurado para incluir unidades de interface 10A e 10B, um controlador de suporte de conversão de encriptação e desencriptação 20, uma unidade de armazenamento 30, e um chip de autenticação de segurança 40.
[0072] As unidades de interface 10A e 10B são conectores para ser ligados eletricamente ao terminal do usuário 1. Como um exemplo, um conector USB 10A e 10B e um conector micro-USB são ilustrados, mas vários tipos de dispositivos de interface podem ser usados.
[0073] O controlador de suporte de conversão de encriptação e desencriptação 20 executa a criptografia ou descriptografia no cabeçalho do arquivo em que ocorre um evento, por meio de uma chave de encriptação e um bloco de motor de criptografia que são armazenados no controlador, e executa uma operação de controle para backup dos dados quando o dispositivo token de segurança 2 da presente invenção é usado como memória de backup.
[0074] Aqui, quando a encriptação ou desencriptação é efetuada, a quantidade de dados que é transmitida ou recebida pode ser reduzida e a velocidade de processamento de dados pode ser melhorada por encriptar ou desencriptar apenas o cabeçalho do arquivo.
[0075] Além disso, o controlador de suporte de conversão de encriptação e desencriptação 20 executa a autenticação do usuário através do chip de autenticação de segurança 40, quando o dispositivo token de segurança 2 está ligado ao terminal do usuário 1, e executa a criptografia ou descriptografia somente quando a autenticação do usuário é bem sucedida. Aqui, a autenticação do usuário pode ser realizada através da geração de uma chave de sessão, utilizando um valor do autenticador obtido através da encriptação de um valor aleatório derivado da senha que é introduzida pelo usuário, e utilizando um valor de resposta para o valor do autenticador.
[0076] A unidade de armazenamento 30 armazena o cabeçalho criptografado. Além disso, a área de armazenamento da unidade de armazenamento 30 pode ser dividida de modo que algumas partes da área podem ser usadas para uma área de armazenamento comum e as partes restantes podem ser utilizadas para armazenar o cabeçalho criptografado. A unidade de armazenamento 30 inclui memória flash, tal como a memória USB que é normalmente utilizada ou outros diferentes meios de armazenamento.
[0077] 0 chip de autenticação de segurança 40 é um chip para fornecimento de uma função de segurança através da realização de autenticação do usuário quando o dispositivo token de segurança 2 está ligado ao terminal do usuário 1, e pode armazenar pelo menos uma entre as informações de senha, tais como os meios de autenticação de um usuário, informações da impressão digital do usuário, e um módulo de geração OTP para gerar um valor OTP.
[0078] As informações de senha são um número de identificação pessoal, que foi predeterminado por um usuário, e difere de uma chave de encriptação. Além disso, quando as informações da impressão digital do usuário são usadas para a autenticação do usuário, um dispositivo de leitura de impressão digital deve ser instalado no dispositivo token de segurança ou instalado como um dispositivo externo.
[0079] O módulo de geração de OTP utiliza tanto o incremento quanto o tempo, bem como um valor aleatório, tais como os valores de entrada de um algoritmo de encriptação para gerar um valor OTP, e transmite o valor OTP para um servidor de autenticação para autenticar um usuário. Por meio de um processo de autenticação múltipla pode-se melhorar a segurança do dispositivo token de segurança. Por outro lado, o processo de autenticação múltipla pode melhorar a segurança do dispositivo token de segurança, mas quando um usuário perde o dispositivo token de segurança 2, o usuário não pode abrir o arquivo criptografado que foi carregado no servidor de nuvem 3 . Este problema preocupa alguns usuários e colaboradores, assim, vários produtos com a mesma chave de encriptação podem ser vendidos para empresas e grupos que querem utilizar dois ou mais dispositivos de token de segurança para casos de perda.
[0080] Além disso, para gerenciar o histórico de um arquivo que é alterado pelo trabalho colaborativo de várias pessoas, um agente servidor de serviço adicional pode ser interligado. Em outras palavras, vários dispositivos token de segurança para colegas de trabalho usam a mesma chave de encriptação única, mas um número de identificação é atribuído a cada um dos dispositivos token de segurança para distinguir os dispositivos, assim, o histórico do arquivo que foi alterado pelos colegas de trabalho pode ser gerenciado, por exemplo, que modificou o arquivo por último, quando o arquivo foi copiado, etc., [0081] Por outro lado, durante o processo de autenticação do usuário, o chip de autenticação de segurança 40 gera dados de resposta para os dados do autenticador recebidos da unidade geradora de chave de sessão 120 do agente 100 e transmite-o para o agente 100. Em seguida, o chip de autenticação de segurança 40 pode criar uma sessão com o agente 100 ao receber uma chave de sessão que é gerada pelo agente 100 utilizando os dados de resposta. A geração dos dados de resposta é especificamente descrita com referência à figura 5.
[0082] A figura 5 é uma vista que explica a geração dos dados de resposta do chip de autenticação de segurança 4 0 da figura 4.
[0083] Ao receber os dados do autenticador da unidade geradora de chaves de sessão 120, o chip de autenticação de segurança 40 desencripta os dados do autenticador usando uma senha e pode confirmar que a senha corresponde.
[0084] Quando a correspondência da senha for bem sucedida, o chip de autenticação de segurança 40 pode gerar um valor aleatório para resposta derivado da senha. Aqui, o valor aleatório para resposta pode ser gerado pelo mesmo algoritmo utilizado para a geração do valor aleatório de autenticação. Em outras palavras, ele pode ser gerado usando o algoritmo Advanced Encryption Standard (AES), e pode ser criptografado usando o modo Cipher Block Chaining (CBC) .
[0085] Neste caso, o valor aleatório para resposta (Keyl) pode ser gerado para uma chave de 16 bytes no modo CBC, usando a seguinte equação: Tempkey = senha (20) Θ padding (12) Key = E ( (SNO Θ SNO-1) , Tempkey) [0086] O valor aleatório de autenticação é obtido pelo seguinte processo. Em primeiro lugar, o Vetor de Inicialização (IV) é operado em XOR comum no primeiro bloco de uma senha de texto simples e, em seguida, criptografado. Repetidamente, o próximo bloco de texto simples (SNO) é operado em XOR com o bloco anterior encriptado (SNO-1) e, em seguida, criptografado.
[0087] Quando o valor aleatório de 16 bytes que é derivado da senha é gerado, o chip de autenticação de segurança 40 divide-o em dois blocos, o primeiro bloco de 8 bytes 320 (terceiro valor aleatório) e o próximo bloco de 8 bytes 330 (quarto valor aleatório), e em seguida insere a cadeia de caracteres de senha 310 no inicio de cada um dos blocos para gerar o primeiro bloco e o segundo bloco de dados de resposta 300.
[0088] Como mostrado na figura 5, os dados de resposta podem ser de 32 bytes, e podem ser constituídos pelo primeiro bloco e pelo segundo bloco, cada bloco tem uma coluna de 16 bytes.
[0089] 0 primeiro bloco pode consistir de 8 bytes da cadeia de caracteres de senha 310 e oito bytes do terceiro valor aleatório 320 que é derivado da senha.
[0090] O segundo bloco pode consistir de 8 bytes da cadeia de caracteres de senha 310 e oito bytes do quarto valor aleatório 330 que é derivado da senha.
[0091] O chip de autenticação de segurança 40 pode encriptar 32 bytes de dados de resposta da figura 5 usando a senha, e pode transmiti-la para a unidade geradora de chaves de sessão 120.
[0092] O chip de autenticação de segurança 40 pode criar uma sessão ao receber uma chave de sessão da unidade geradora de chaves de sessão 120.
[0093] Aqui, a chave de sessão pode ser gerada pela unidade geradora de chave de sessão 120, utilizando o valor aleatório de autenticação gerado pela unidade geradora de chave de sessão 120 e utilizando o valor aleatório para resposta que é incluido nos dados de resposta recebidos pela unidade geradora de chave de sessão 120 do dispositivo token de segurança 2.
[0094] A figura 6 é um diagrama de fluxo que ilustra um processo prévio para a utilização de um dispositivo token de segurança em um ambiente de PC.
[0095] Quando um dispositivo token de segurança 2 está ligado a um computador do usuário na etapa S100, um agente 100 carregado no PC do usuário é conduzido na etapa S110. O agente 100 é um programa para fornecer um serviço de segurança na nuvem ao ser interligado com o dispositivo token de segurança 2, e executa os processos tais como: envio de um cabeçalho do arquivo alvo, gerado por uma unidade geradora de cabeçalho 130, para o dispositivo token de segurança 2 executar a criptografia do hardware no cabeçalho quando o arquivo alvo a ser criptografado for detectado durante a sincronização da nuvem; descriptografar o cabeçalho de um arquivo que é baixado do servidor de nuvem 3, através do dispositivo token de segurança 2; e executar as operações de encriptação e desencriptação automáticas caso o dispositivo token de segurança 2 esteja conectado.
[0096] Quando o agente 100 é acionado, um usuário é conectado à página inicial do fabricante do dispositivo token de segurança 2 e é induzido a registrar-se na página inicial e inscrever-se como um membro na etapa S120. Em seguida, a autenticação do usuário é realizada na etapa S130. Como descrito acima, a autenticação do usuário é efetuada utilizando vários meios, tais como senha, informação da impressão digital, OTP, e semelhantes. Além disso, a segurança pode ser melhorada através da geração de uma chave de sessão, utilizando um valor aleatório derivado da senha.
[0097] Em seguida, o agente 100 leva o usuário a especificar ou criar uma pasta de sincronização local na etapa S140, isto é, uma pasta a ser sincronizada com o servidor de nuvem 3. Aqui, a pasta de sincronização local pode ser transmitida para o servidor de nuvem 3, após isto os arquivos armazenados na pasta de sincronização local são criptografados usando o cabeçalho criptografado transmitido do dispositivo token de segurança 2.
[0098] Como uma variação, a pasta de sincronização local pode ser dividida em uma pasta de sincronização comum da qual os arquivos são transmitidos para o servidor de nuvem 3 sem criptografia, e uma pasta de sincronização segura da qual os arquivos são enviados para o servidor de nuvem 3 após ser criptografado usando um cabeçalho. Neste caso, o agente pode criar a pasta de sincronização segura como uma pasta filha da pasta de sincronização local, e uma operação para o serviço de segurança na nuvem pode ser executada apenas para os arquivos armazenados na pasta de sincronização segura na etapa S150.
[0099] A figura 7 é um diagrama de fluxo que ilustra um processo em que um arquivo é criptografado usando um dispositivo token de segurança e, então, transmitido para um servidor de nuvem.
[00100] O agente 100 carregado em um PC do usuário controla a ligação de um dispositivo token de segurança 2 ao PC do usuário na etapa S201, e pode gerar uma chave de sessão através da realização de autenticação do usuário, na etapa S202, quando a ligação é detectada. A descrição detalhada da autenticação do usuário está descrita na figura 9.
[00101] O agente 100 detecta o primeiro evento, tal como a criação ou a cópia de um arquivo a ser enviado para o servidor de nuvem 3 na etapa S203, e pode gerar um cabeçalho para o arquivo correspondente na etapa S204, quando o primeiro evento é detectado. Aqui, o cabeçalho é uma chave de encriptação para encriptar o arquivo no qual é detectado o primeiro evento, e pode ser gerado para um valor aleatório.
[00102] Em seguida, o cabeçalho gerado é encriptado utilizando a chave de sessão gerada na etapa S202 e transmitida para o dispositivo token de segurança na etapa S205. Quando o cabeçalho é transmitido criptografado pelo dispositivo token de segurança 2 e transmitido para o agente 100 na etapa S206, o agente 100 pode encriptar o arquivo no qual o primeiro evento é detectado, utilizando o cabeçalho criptografado na etapa S207.
[00103] Quando o arquivo a ser enviado é criptografado, o agente 100 armazena o arquivo criptografado em uma pasta relevante na etapa S208. O arquivo criptografado é armazenado na pasta de sincronização local ou na pasta de sincronização segura, que é uma pasta filha da pasta de sincronização local, dependendo do escopo de criptografia, e o arquivo armazenado na pasta correspondente é transmitido para o servidor de nuvem 3 ao executar um aplicativo em nuvem.
[00104] Se, durante a operação de criptografia automática, ocorre a remoção do dispositivo token de segurança 2, em outras palavras, quando uma desconexão do dispositivo é detectada na etapa S209, o agente 100 cancela a encriptação automática na etapa S210 e elimina os arquivos na pasta correspondente para evitar a sincronização com o servidor de nuvem 3.
[00105] A figura 8 é um diagrama de fluxo que ilustra um processo em que um arquivo é descriptografado usando um serviço de nuvem em um ambiente móvel.
[00106] Primeiro, um aplicativo em nuvem para fornecer um serviço de nuvem é executado na etapa S301, e quando um arquivo criptografado é baixado do servidor de nuvem 3 para um terminal móvel, a ocorrência do segundo evento é detectada na etapa S302.
[00107] Quando o arquivo criptografado é recebido, o agente 100 para o serviço de segurança na nuvem é acionado e monitora se o dispositivo token de segurança 2 está conectado.
[00108] Quando o dispositivo token de segurança 2 é conectado ao terminal móvel na etapa S303, uma chave de sessão é gerada através da autenticação do usuário e uma sessão com o agente 100 é criada na etapa S304 . Quando a autenticação do usuário estiver concluída, o agente criptografa o cabeçalho do arquivo criptografado utilizando a chave de sessão gerada na etapa S304 pode transmiti-la para o dispositivo token de segurança 2 na etapa S305.
[00109] Quando o cabeçalho é descriptografado pelo dispositivo token de segurança 2 na etapa S306 é transmitido para o terminal, o agente 100 pode descriptografar o arquivo descriptografado usando o cabeçalho na etapa S307.
[00110] O terminal do usuário 1 pode exibir o arquivo descriptografado na tela, executando-o.
[00111] Se a remoção, em outras palavras, a desconexão do dispositivo token de segurança 2 é detectada durante a operação de baixar os arquivos na etapa S308, o agente 100 cancela a descriptografia automática e exclui os arquivos de cache descriptografados na pasta correspondente para evitar que os arquivos sejam executados na etapa S309.
[00112] A figura 9 é um diagrama de fluxo que ilustra um processo de autenticação do usuário, quando um dispositivo token de segurança é conectado a um terminal do usuário. Para a descrição da figura 9, as figuras de 2 a 5 podem ser tomadas como referência.
[00113] Quando a conexão fisica do dispositivo token de segurança 2 é detectada no terminal do usuário 1, em que o agente 100 é instalado, o agente 100 pode receber uma senha de um usuário na etapa S410.
[00114] Quando a senha é inserida pelo usuário, o agente 100 pode solicitar uma chave pública do dispositivo token de segurança 2, na etapa S420. Em resposta a solicitação da chave pública, o dispositivo token de segurança 2 transmite a chave pública na etapa S430 e o agente 100 pode recebe e armazenar a chave na etapa S440.
[00115] Em seguida, a unidade geradora de chaves de sessão 120 do agente 100 pode gerar um valor aleatório de autenticação derivado da senha inserida na etapa S450. Aqui, o valor aleatório de autenticação pode ser gerado usando o algoritmo Advanced Encryption Standard (AES), e pode ser criptografado usando o modo Cipher Block Chaining (CBC) .
[00116] Aqui, o valor aleatório de autenticação é de 16 bytes, e este pode ser utilizado para gerar os dados do autenticador, dividindo-o nos primeiros 8 bytes como o primeiro valor aleatório e os próximos 8 bytes como o segundo valor aleatório.
[00117] Em seguida, a unidade geradora de chaves de sessão 120 do agente 100 gera os dados do autenticador usando o valor aleatório de autenticação gerado, criptografa-o usando a chave pública recebida do dispositivo token de segurança 2 na etapa S460, e pode transmiti-lo ao dispositivo token de segurança 2.
[00118] Aqui, os dados de autenticação são de 256 bytes, e pode consistir da senha, o valor aleatório de autenticação, um valor de verificação para a chave pública, preenchimento (padding), e outros semelhantes. A geração do valor aleatório de autenticação e dos dados do autenticador é descrita acima na figura 3, portanto, essa descrição será omitida a seguir.
[00119] O dispositivo token de segurança 2 pode confirmar a senha ao descriptografar os dados criptografados do autenticador que são recebidos do agente 100, usando a senha na etapa S470.
[00120] Em seguida, o dispositivo token de segurança 2 pode gerar um valor aleatório para resposta derivada da senha na etapa S480. Aqui, o valor aleatório para resposta pode ser gerado usando o algoritmo Advanced Encryption Standard (AES), e pode ser criptografado usando o modo Cipher Block Chaining (CBC).
[00121] Neste caso, o valor aleatório para resposta é de 16 bytes, e pode ser utilizado para gerar os dados de resposta, dividindo-o nos primeiros 8 bytes (terceiro valor aleatório) e os próximos 8 bytes (quarto valor aleatório).
[00122] Em seguida, o dispositivo token de segurança 2 gera os dados de resposta utilizando o valor aleatório para resposta gerado na etapa S490, criptografa-o usando a senha na etapa S500, e pode transmiti-lo para o agente 100.
[00123] Em seguida, o agente 100 gera uma chave de sessão, na etapa S510, utilizando o valor aleatório de autenticação gerado na etapa S450 e utilizando o valor aleatório para resposta incluído nos dados de resposta que são recebidos do dispositivo token de segurança 2, e pode transmitir a chave de sessão gerada para o dispositivo token de segurança 2.
[00124] Em seguida, quando a chave de sessão é recebida, o dispositivo token de segurança 2 cria uma sessão que está logicamente ligada com o agente 100 para um processo de autenticação na etapa S520.
[00125] A figura 10 ilustra um processo de encriptação do cabeçalho do arquivo em um dispositivo token de segurança quando um arquivo é enviado, e a figura 11 ilustra um processo de desencriptação do cabeçalho do arquivo em um dispositivo token de segurança quando um arquivo é baixado. Na figura 10 e 11, um exemplo em que um terminal do usuário 1 está ligado a um conector USB 10A é ilustrado.
[00126] Primeiro, com referência à figura 10, quando um arquivo é enviado, o fluxo de dados do agente 100 para o dispositivo token de segurança 2 é representado pela seta tracejada, e o fluxo de dados na direção oposta é representado pela seta pontilhada.
[00127] Quando um cabeçalho para criptografar um arquivo original a ser enviado é a entrada do agente 100 na etapa Sl, o controlador de suporte de conversão de encriptação e desencriptação 20 criptografa o cabeçalho recebido do arquivo original na etapa S2, armazena o cabeçalho criptografado na unidade de armazenamento 30 na etapa S3, e entrega o cabeçalho criptografado armazenado na unidade de armazenamento 30 para o agente 100, na etapa S4 .
[00128] O agente 100 recebe o cabeçalho criptografado, criptografa o arquivo original a ser enviado, e pode enviar o arquivo para o servidor de nuvem 3 .
[00129] Posteriormente, com referência à figura 11, quando um arquivo é baixado, o fluxo de dados do agente 100 para o dispositivo token de segurança 2 é representado pela seta tracejada, e o fluxo de dados na direção oposta é representado pela seta pontilhada. Quando o cabeçalho do arquivo baixado do servidor de nuvem 3 é a entrada do agente 100 na etapa Sll, o controlador de suporte de conversão de encriptação e desencriptação 20 passa através do cabeçalho criptografado e armazena-o na unidade de armazenamento 30 na etapa S12, desencripta o cabeçalho criptografado armazenado na unidade de armazenamento 30 na etapa S13, e entrega o cabeçalho descriptografado ao agente 100 na etapa S14.
[00130] O agente 100 recebe o cabeçalho descriptografado, e desencripta o arquivo criptografado, que é baixado do servidor de nuvem, para ser executado no terminal do usuário 1. Por outro lado, além da criação de um arquivo por upload ou download do arquivo, quando ocorrem eventos, tais como cópia, exclusão, e algo semelhante ao arquivo, a encriptação e a descriptação podem ser realizadas de acordo com o fluxo de dados descrito nas figuras 10 e 11.
[00131] Embora as modalidades preferidas da presente invenção tenham sido reveladas para fins ilustrativos, os versados na arte apreciarão que várias modificações, adições e substituições são possíveis sem se afastar do âmbito e espírito da invenção como revelado nas reivindicações anexas.
REIVINDICAÇÕES
Claims (6)
1 . Agente para fornecer um serviço de segurança na nuvem instalado em um terminal do usuário, o agente sendo CARACTERIZADO por compreender: uma unidade geradora de cabeçalho para gerar um cabeçalho que tem um valor aleatório para criptografar um arquivo a ser enviado para um servidor de nuvem quando o arquivo é recebido do terminal do usuário; uma unidade geradora de chave de sessão gera uma chave de sessão para criar uma sessão com um dispositivo token de segurança quando a remoção do dispositivo token de segurança do terminal do usuário é detectada, o dispositivo token de segurança criptografa o cabeçalho gerado ou descriptografa um cabeçalho de um arquivo baixado do servidor de nuvem; e uma unidade de criptografia e descriptografia do arquivo para criptografar o arquivo a ser enviado para o servidor de nuvem, usando o cabeçalho criptografado quando o cabeçalho é criptografado pelo dispositivo token de segurança; e para descriptografar o arquivo baixado do servidor de nuvem usando o cabeçalho descriptografado quando o cabeçalho é descriptografado pelo dispositivo token de segurança.
2. Agente de acordo com a reivindicação 1, CARACTERIZADO pelo fato de que a unidade geradora de cabeçalho encripta o cabeçalho gerado utilizando a chave de sessão, e transmite o cabeçalho criptografado para o dispositivo token de segurança.
3. Agente de acordo com a reivindicação 1, CARACTERIZADO pelo fato de que a unidade geradora de chave de sessão recebe uma senha e solicita uma chave pública do dispositivo token de segurança, quando detecta a ligação do dispositivo token de segurança; gera dados do autenticador que inclui um valor aleatório para autenticação, encripta os dados usando a chave pública, e transmite os dados para o dispositivo token de segurança; e gera uma chave de sessão, usando o valor aleatório para autenticação e usa um valor aleatório para resposta quando recebe do dispositivo token de segurança, os dados de resposta que incluem o valor aleatório para resposta.
4. Dispositivo token de segurança para um serviço de segurança na nuvem, CARACTERIZADO por compreender: uma unidade de interface, destacável de um terminal do usuário, para proporcionar uma interface com um agente instalado no terminal do usuário; uma unidade de armazenamento para armazenar um cabeçalho criptografado, o cabeçalho sendo uma chave de encriptação que é gerada para um valor aleatório para criptografar e descriptografar um arquivo a ser compartilhado em um servidor de nuvem; e um controlador de suporte de conversão de criptografia e descriptografia, que criptografa um cabeçalho para um arquivo a ser enviado para o servidor de nuvem quando recebe o cabeçalho, armazena o cabeçalho criptografado na unidade de armazenamento, e transmite o cabeçalho para o agente; e armazena um cabeçalho criptografado para um arquivo baixado do servidor de nuvem na unidade de armazenamento ao receber o cabeçalho, descriptografa o cabeçalho criptografado, e transmite o cabeçalho para o agente.
5. Dispositivo token de segurança de acordo com a reivindicação 4, CARACTERIZADO por adicionalmente compreender: um chip de autenticação de segurança, que transmite uma chave pública quando a chave pública é solicitada pelo agente e recebe dados do autenticador incluindo um valor aleatório para autenticação; gera dados de resposta incluindo um valor aleatório para resposta e transmite os dados de resposta para o agente; e gera uma sessão com o agente ao receber uma chave de sessão do agente, sendo a chave de sessão gerada pelo agente que usa o valor aleatório para autenticação e que usa o valor aleatório para a resposta.
6. Dispositivo token de segurança de acordo com a reivindicação 5, CARACTERIZADO pelo fato de que o chip de autenticação de segurança encripta o cabeçalho criptografado ou o cabeçalho desencriptado utilizando a chave de sessão, e transmite o cabeçalho para o agente.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140107544A KR101479290B1 (ko) | 2014-08-19 | 2014-08-19 | 보안 클라우드 서비스를 제공하기 위한 에이전트 및 보안 클라우드 서비스를위한 보안키장치 |
Publications (1)
Publication Number | Publication Date |
---|---|
BR102015011937A2 true BR102015011937A2 (pt) | 2016-07-05 |
Family
ID=52587914
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
BR102015011937A BR102015011937A2 (pt) | 2014-08-19 | 2015-05-25 | agente para fornecer serviço de segurança na nuvem e dispositivo token de segurança para serviço de segurança na nuvem |
Country Status (7)
Country | Link |
---|---|
JP (1) | JP6172866B2 (pt) |
KR (1) | KR101479290B1 (pt) |
AU (1) | AU2015202697A1 (pt) |
BR (1) | BR102015011937A2 (pt) |
CA (1) | CA2891610C (pt) |
RU (1) | RU2660604C2 (pt) |
TW (1) | TWI563411B (pt) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20170001486A (ko) | 2015-06-26 | 2017-01-04 | 안희태 | 보안 클라우드 서비스 |
KR101619286B1 (ko) | 2015-11-19 | 2016-05-10 | (주)세이퍼존 | 크로스 플랫폼 기반의 보안시스템 |
KR101810165B1 (ko) * | 2016-01-15 | 2018-01-25 | 단국대학교 산학협력단 | 전자 화폐 단말 및 이를 이용하여 전자 화폐를 제공하는 방법 |
KR101834522B1 (ko) | 2016-04-22 | 2018-03-06 | 단국대학교 산학협력단 | 데이터 확인 장치 및 이를 이용하여 데이터를 확인하는 방법 |
CN109873787B (zh) * | 2017-12-01 | 2022-09-23 | 北京安云世纪科技有限公司 | 一种访问认证方法、装置、系统 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3119494B2 (ja) * | 1991-04-03 | 2000-12-18 | 日本電信電話株式会社 | カード類の所有者確認方法 |
JP3073590B2 (ja) * | 1992-03-16 | 2000-08-07 | 富士通株式会社 | 電子化データ保護システム、使用許諾者側装置および使用者側装置 |
DE19629856A1 (de) * | 1996-07-24 | 1998-01-29 | Ibm | Verfahren und System zum sicheren Übertragen und Speichern von schützbaren Informationen |
JPH10260903A (ja) * | 1997-03-19 | 1998-09-29 | Hitachi Ltd | グループ暗号方法、及びファイル暗号システム |
US20050129243A1 (en) * | 2002-03-20 | 2005-06-16 | Koninklijke Philips Electronics N.V. | Encryption key hiding and recovering method and system |
US7475241B2 (en) * | 2002-11-22 | 2009-01-06 | Cisco Technology, Inc. | Methods and apparatus for dynamic session key generation and rekeying in mobile IP |
JP4242682B2 (ja) * | 2003-03-26 | 2009-03-25 | パナソニック株式会社 | メモリデバイス |
US20130227286A1 (en) * | 2006-04-25 | 2013-08-29 | Andre Jacques Brisson | Dynamic Identity Verification and Authentication, Dynamic Distributed Key Infrastructures, Dynamic Distributed Key Systems and Method for Identity Management, Authentication Servers, Data Security and Preventing Man-in-the-Middle Attacks, Side Channel Attacks, Botnet Attacks, and Credit Card and Financial Transaction Fraud, Mitigating Biometric False Positives and False Negatives, and Controlling Life of Accessible Data in the Cloud |
JP2009015471A (ja) * | 2007-07-03 | 2009-01-22 | Dainippon Printing Co Ltd | Usbストレージデバイス |
US20100318782A1 (en) * | 2009-06-12 | 2010-12-16 | Microsoft Corporation | Secure and private backup storage and processing for trusted computing and data services |
KR100988198B1 (ko) * | 2010-05-31 | 2010-10-18 | 주식회사 아이넵 | 분산 컴퓨팅 기반 유틸리티 컴퓨팅 환경에서의 정보유출 방지를 위한 암호화 방법 및 이를 위한 시스템 |
US9210557B2 (en) * | 2011-04-12 | 2015-12-08 | Yahoo! Inc. | SMS-initiated mobile registration |
WO2013132462A1 (en) * | 2012-03-08 | 2013-09-12 | Oltio (Proprietary) Limited | A method of authenticating a device and encrypting data transmitted between the device and a server |
CN103488915B (zh) * | 2013-09-24 | 2015-12-23 | 无锡德思普科技有限公司 | 一种软硬件相结合的双重密钥加密的资源加密解密方法 |
-
2014
- 2014-08-19 KR KR1020140107544A patent/KR101479290B1/ko active IP Right Grant
-
2015
- 2015-05-08 JP JP2015095843A patent/JP6172866B2/ja active Active
- 2015-05-12 TW TW104115107A patent/TWI563411B/zh active
- 2015-05-13 CA CA2891610A patent/CA2891610C/en active Active
- 2015-05-19 AU AU2015202697A patent/AU2015202697A1/en not_active Abandoned
- 2015-05-25 BR BR102015011937A patent/BR102015011937A2/pt not_active Application Discontinuation
- 2015-05-28 RU RU2015120264A patent/RU2660604C2/ru active
Also Published As
Publication number | Publication date |
---|---|
TW201608412A (zh) | 2016-03-01 |
RU2015120264A (ru) | 2016-12-20 |
RU2660604C2 (ru) | 2018-07-06 |
CA2891610A1 (en) | 2016-02-19 |
CA2891610C (en) | 2018-08-28 |
AU2015202697A1 (en) | 2016-03-10 |
TWI563411B (en) | 2016-12-21 |
KR101479290B1 (ko) | 2015-01-05 |
JP2016046799A (ja) | 2016-04-04 |
JP6172866B2 (ja) | 2017-08-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113545006B (zh) | 远程授权访问锁定的数据存储设备 | |
US9722977B2 (en) | Secure host authentication using symmetric key crytography | |
US9813247B2 (en) | Authenticator device facilitating file security | |
US8863255B2 (en) | Security credential deployment in cloud environment | |
US20140082350A1 (en) | Security credential deployment in cloud environment | |
US11606206B2 (en) | Recovery key for unlocking a data storage device | |
US9529733B1 (en) | Systems and methods for securely accessing encrypted data stores | |
EP3449607B1 (en) | Systems and methods for managing encryption keys for single-sign-on applications | |
US11334677B2 (en) | Multi-role unlocking of a data storage device | |
US11831752B2 (en) | Initializing a data storage device with a manager device | |
US11366933B2 (en) | Multi-device unlocking of a data storage device | |
CA2891610C (en) | Agent for providing security cloud service and security token device for security cloud service | |
US11556665B2 (en) | Unlocking a data storage device | |
CN113545021B (zh) | 预先授权设备的注册 | |
WO2017137481A1 (en) | A removable security device and a method to prevent unauthorized exploitation and control access to files | |
US9270649B1 (en) | Secure software authenticator data transfer between processing devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
B03A | Publication of a patent application or of a certificate of addition of invention [chapter 3.1 patent gazette] | ||
B06F | Objections, documents and/or translations needed after an examination request according [chapter 6.6 patent gazette] | ||
B08E | Application fees: payment of additional fee required [chapter 8.5 patent gazette] |
Free format text: COMPLEMENTAR A RETRIBUICAO DA 3A E 4A ANUIDADES, DE ACORDO COM TABELA VIGENTE, REFERENTE AS GUIAS DE RECOLHIMENTO 0000221704632000 E 29409161809633418, RESPECTIVAMENTE. |
|
B08G | Application fees: restoration [chapter 8.7 patent gazette] | ||
B06U | Preliminary requirement: requests with searches performed by other patent offices: procedure suspended [chapter 6.21 patent gazette] | ||
B11B | Dismissal acc. art. 36, par 1 of ipl - no reply within 90 days to fullfil the necessary requirements |