CN116057893A - 用于安全加密和解密系统的多因素地理围栏系统 - Google Patents
用于安全加密和解密系统的多因素地理围栏系统 Download PDFInfo
- Publication number
- CN116057893A CN116057893A CN202180039299.XA CN202180039299A CN116057893A CN 116057893 A CN116057893 A CN 116057893A CN 202180039299 A CN202180039299 A CN 202180039299A CN 116057893 A CN116057893 A CN 116057893A
- Authority
- CN
- China
- Prior art keywords
- location information
- geographic location
- server
- data
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
- H04W12/64—Location-dependent; Proximity-dependent using geofenced areas
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/77—Graphical identity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Storage Device Security (AREA)
Abstract
一种方法包括登录入服务器,并由第一设备向服务器发送地理位置信息。第一设备请求解密安全数据文件的权利,作为响应,服务器向第一设备发送机器可读光学标签。第一设备显示机器可读光学标签。第二设备登录入服务器,并扫描由第一设备显示的机器可读光学标签,以创建扫描图像。第二设备对来自扫描图像的数据进行解码以形成解码数据。第二设备的地理位置信息和解码数据被提交给服务器。解码数据和地理位置信息由服务器验证,响应于成功验证地理位置信息,链接完成状态指示器被发送到第二设备,并将解密安全数据文件的信息发送到第一设备。
Description
技术领域
本公开一般涉及数据安全,更具体地涉及用于以高度安全方式交换和维护数据的方法和系统。
背景技术
最近,关于敏感用户信息的数据泄露和受损、窃取或“黑客”的报告已经变得很普遍。大多数漏洞来自于在公共网络上交换用户数据、向安全证书或密码可被猜到或自动模拟的用户授予远程访问权,以及在可受损系统上存储和检索数据。业界已经开发了用于以加密格式存储和传输数据的方法和算法,例如高级加密标准(AES),其定义了不同的块和密钥大小并为更大的块和密钥大小提供了更高水平的复杂性。被称为“AES-128”的常见AES标准理论上可以被发现或黑掉,尽管有很大的难度。虽然已经开发了具有更高计算复杂性的AES标准,但许多系统使用传统的AES-128加密或甚至更简单的加密,仍然容易受到攻击。
使用公钥加密(PKI)算法的典型系统使用公钥/私钥加密,其中公钥普遍可用并用于加密数据,但私钥保密并可解密数据。由于私钥存储在一个或多个设备上,如果计算机本身被攻破或黑客攻击(hacked)并且私钥被发现,破译PKI加密数据的计算复杂性就会被绕过,并且敏感的用户数据就会暴露。
在PKI系统中,被称为证书授权机构(CA)的实体有能力签发私钥,以使受信任的用户获得对数据的访问。然而,CA本身已被攻破、黑客攻击或被窃取,导致签发伪造证书并且用户数据被窃取。
附图说明
图1示出了根据本文实施方案的数据创建器可使用的流程图;
图2显示了根据本文实施方案的数据访问器将使用的流程图;
图3示出了根据本文所述的各种实施方案可实现图1和图2的TSKT流程的瞬时对称密钥技术(TSKT)系统的框图;
图4示出了当数据创建器请求创建安全容器时图3的TSKT系统的框图;
图5示出了图3的TSKT系统的框图,其显示了CCS响应于创建安全容器的请求的行动;
图6示出了图3的TSKT系统的框图,其显示了安全容器的创建;
图7示出了图3的TSKT系统的框图,其显示了由授权的数据访问器检索安全容器;
图8示出了图3的TSKT系统的框图,其显示了由授权的数据访问器提出的对安全容器进行解密的请求;以及
图9示出了当CCS响应由授权的数据访问器请求检索安全容器时图3的TSKT系统的框图;
图10示出了当数据访问器对安全容器进行解密时图3的TSKT系统的框图;
图11示出了根据本文公开的各种实施方案实施多因素认证的安全数据处理器系统的框图;以及
图12示出了可用于实现图11的第二计算设备的移动设备的框图。
在以下描述中,在不同的图中使用相同的附图标记表示类似或相同的项目。除非另外指出,否则“耦合”一词及其相关动词形式包括通过本领域已知的方式进行的直接连接和间接电连接两者,并且除非另外指出,否则直接连接的任何描述意味着也使用适当形式的间接电连接的替代实施方案。
具体实施方式
根据本文描述的技术进行加密和/或解密通过使加密和解密密钥在用户系统上短暂存在使得它们只存在一段太短的时间而不会使密钥暴露在任何重大黑客风险中,极大地改进了已知的公钥/私钥系统。该系统是对称的,因为加密和解密都是使用相同的进程。该系统为数据定义了实际上是不能被黑客攻击的安全“容器”。
总的来说,本发明人创建了一种瞬时的对称密钥方法,该方法允许按需生成密钥,并在加密和解密需要时仅在短时间段内存在。该方法采用利用新瞬时对称密钥技术(TSKT)的分布式、零信任、端对端加密架构。在不再需要密钥后,通过覆盖值对其进行数字销毁。
在增强的密钥管理过程中,通常会有三个独特的参与者:数据创建器、数据访问器,以及命令和控制服务器。数据创建器创建并加密数据。数据访问器拥有对加密数据的访问权。命令和控制服务器对所有创建器和访问器对加密数据的权利进行认证、验证和授权。
此外,存在两种类型的可用于加密数据的密钥:非对称和对称。非对称加密法,也被称为公钥基础设施(PKI),使用一对密钥(公钥和私钥)来加密和解密数据。传统上,网络用户从证书授权机构收到公钥和私钥对。任何其他想要发送加密信息的用户可以直接从收件人或公共目录中获得预定收件人的公钥。他们使用这个密钥对数据进行加密,并将其发送给收件人。当收件人得到信息时,他们用其他人不该访问到的自己的私钥进行解密。
然而,对于本文所述的分布式、零信任、端到端加密架构来说,情况并非如此。在本文描述的架构中,证书授权机构是不必要的。此外,TSKT消除了对服务器使用、存储和管理用户的公钥/私钥的需要。客户机根据需要在本地生成它们自己的公钥/私钥。在提出创建安全容器或访问现有安全容器的请求时,公钥由本地客户端发送给服务器。该公钥不存储在服务器上。
已知的对称加密法只利用一个密钥来加密和解密数据。虽然对称密钥系统通常更加简单和快速,但其主要缺点是试图进行通信的双方必须以某种方式安全地交换密钥。这就是TSKT发挥作用的地方,下面将介绍TSKT步骤。现在将用具体示例来描述根据一些实施方案的TKST系统。
示例性TSKT流程
图1显示了可由根据本文实施方案的数据创建器使用的流程图100。在图1所示的示例中,虚线表示使用基于TLS的协议在链接上的数据流。实线表示在特定节点内发生的处理步骤。黑色的密钥是用AES编码的密钥。灰色的密钥是用RSA或ECC编码的密钥。在其他实施方案中,也可以使用其他链接协议和密钥加密和解密标准。使用TKST方法,数据创建器/保护器执行以下步骤:
数据创建器/保护器
1.创建器(例如图1中的客户端1)拥有证书,并生成公钥和私钥(RSA或ECC);
2.创建器向命令&控制服务器(CCS)(以下称“服务器”)请求许可,以创建安全容器;
3.服务器对该请求进行认证和验证;
4.服务器经由伪随机数发生器(PRNG)生成种子A,并且服务器生成随机唯一公式;
5.服务器用创建器的公钥(例如ECC 521公钥),对种子A和公式的副本进行加密;
6.服务器加密并存储种子A和公式;
7.服务器经由SSL或如图1所示的TLS将加密的种子A和公式传递给客户端;
8.创建器使用私钥对种子A和公式进行解密;
9.创建器经由PRNG在本地设备上生成种子B;
10.创建器使用公式将种子A和B组合以创建种子C,也被称为数据种子;
11.创建器生成有效载荷;
12.创建器使用种子A来生成AES密钥1;
13.数据种子(C)用于生成AES密钥2;
14.创建器使用AES密钥2对有效载荷进行加密;
15.创建器使用AES密钥1来加密种子B;
16.创建器将AES密钥和种子销毁;
17.创建器将有效载荷、加密的种子B和其他数据组合到一个容器中;
18.创建器完成向CCS注册新安全容器;以及
19.容器准备用于输送或存储,例如云存储服务器。
如图1所示,在流程100中,在进程节点110处,数据创建器,也被称为客户端1,希望保护敏感数据并为其创建安全容器,因而它可以由客户端1希望授予访问权的其他人访问。客户端1拥有证书,并使用图1所示的示例中的ECC/521加密法生成公钥和私钥。替代地,公钥和私钥可以使用RSA进行创建。客户端1将其公钥发送到命令和控制服务器(CCS)。随后,当客户端1希望创建安全容器时,客户端1与CCS建立安全会话,并在请求允许创建安全容器之前,使用客户端1的公钥创建对称AES会话密钥。客户端1和CCS之间的通信使用诸如通过互联网连接的TLS/2048之类的安全进程来认证用户、验证请求并生成种子A。在进程节点120,CCS生成加密的种子A,该种子A用例如使用数据创建器的ECC 521公钥生成的AES会话密钥进行加密,并且如进程节点122所示将加密的种子A发送到客户端1。
在进程节点130,客户端1接收种子A并使用AES会话密钥对其进行解密。在进程节点132,客户端1使用AES密钥1来加密种子B。在进程节点140,客户端1使用PRNG生成种子B。在进程节点142,客户端1根据公式使用种子A和B制作种子C。在进程节点146,客户端1使用种子C生成密钥,即AES密钥2,并且在进程节点148,客户端1使用AES密钥2加密数据有效载荷,即它希望保护的敏感数据。
在进程节点150,客户端1将加密的种子B和加密的数据有效载荷以及各种元数据组合在一起,以创建安全容器。在进程节点160,客户端1在使用后销毁所有AES密钥和种子以及公式,包括其所有加密形式。在进程节点160,客户端1通过向CCS发送使用AES会话密钥加密的元数据,完成了向CCS注册新安全容器。最后在进程节点170,客户端1使用TLS/2048安全地将安全容器发送到存储服务器,例如图1所示的云存储服务器。
图2显示了根据本文的实施方案将由数据访问器使用的流程图200。使用TKST方法,数据访问器,也被称为客户端2,执行以下步骤:
数据访问器
1.数据访问器(以下称“访问器”)具有证书,并生成公钥和私钥(RSA或ECC);
2.访问器从云端或其他媒体接收安全容器;
3.访问器打开安全容器并开始请求访问加密数据的进程;
4.访问器经由SSL或TLS连接向CCS发送其公钥和容器元数据;
5.服务器授权该请求,并检索种子A和需要打开的容器的公式;
6.服务器使用访问器公钥对种子A和公式进行加密;
7.服务器经由SSL或TLS连接将加密的种子A和公式传递给访问器;
8.访问器使用其私钥对容器进行解密;
9.访问器使用种子A来生成AES密钥1;
10.访问器使用AES密钥1来解密种子B和公式;
11.访问器使用服务器提供的公式,将种子A和B组合以创建种子C;
12.访问器使用种子C来生成AES密钥2;
13.访问器使用AES密钥2来解密有效载荷,该有效载荷可由例如本地客户端安全查看器查看;以及
14.访问器销毁所有种子和AES密钥。
在流程图200中,在进程节点210,诸如云存储服务器之类的媒介存储先前由数据创建器创建并上传的安全容器,如图1所示。数据访问器,也被称为客户端2,希望访问安全容器中的数据。它使用TLS/2048与云存储服务器建立安全会话,并且云存储服务器使用TLS会话密钥安全地传输数据。在进程节点220,客户端2收到安全容器,但还不能对其进行解密。它创建或已创建公钥-私钥对,并且客户端2再次安全地使用至少一个AES会话密钥(如TLS/2048会话密钥)将访问它的请求连同其公钥和来自安全容器的元数据一起发送给CCS。在进程节点230,CCS认证该请求,将客户端2作为用户进行验证,并确定访问权限。在进程节点232,CCS检索与安全容器关联的种子A和公式,并使用AES会话密钥对其进行加密。在进程节点240,客户端2将种子A和公式接收并使用其相应的AES会话密钥解密。在进程节点242,客户端2从种子A生成称为AES密钥1的第一密钥,并在进程节点244使用AES密钥1从安全容器中的加密种子B解密种子B。在进程节点246,客户端1使用公式将种子A和B组合以创建种子C,即数据种子。在进程节点248,客户端2使用种子C来生成第二密钥,称为AES密钥2。在进程节点250,客户端2使用AES密钥2来解密有效载荷,即客户端1希望保护但也允许客户端2访问的敏感数据。在进程节点260,客户端2具有敏感数据访问权。在图2所示的示例中,客户端2具有查看的权利,但没有打印或保存的权利,所以对于客户端2来说可用的安全查看器允许客户端2查看敏感数据。在进程节点270,客户端2在使用后销毁所有密钥和种子以及公式,包括其所有加密形式。
使用TKST进程,CCS从未接收创建器敏感数据的副本,只有种子A和公式。当CCS发送种子A和公式时,它使用安全通信协议,例如使用对称AES会话密钥的协议,如TLS或SSL。此外,AES密钥1和AES密钥2只存在很短的时间段,大约是几微秒,而且创建它们的客户端,无论是客户端1还是客户端2,都可以在使用后安全地销毁它们。
示例性TSKT系统的细节
图3示出了TSKT系统300的框图,该系统可以根据本文所述的各种实施方案实现图1和2的TSKT流程。如上所解释的,TSKT系统定义了四个角色:数据创建器、命令和控制服务器(CCS)、存储服务器和数据访问器。在一些实施方案中,同一物理计算机系统可以用作CCS和存储服务器两者。
TSKT系统300包括标记为“客户端1”的客户端,其用作数据创建器310;文件服务器系统,其用作CCS 320、云存储服务器、企业服务器、其他文件服务器系统,或用作存储服务器330的其他存储介质;以及标记为“客户端2”的客户端,其用作数据访问器340。客户端1和客户端2中的每一个都可以与之相关联,例如,膝上型电脑、台式电脑、笔记本电脑、个人数字助理(PDA)、智能手机等,并且一般而言,它们中的每一个都可以是能够创建数字文件内容的任何数据处理器或数据处理系统,该数字文件内容将在用户的指示下保证其安全性并如所述的执行计算。
客户端1和客户端2使用现有的有线和/或无线计算机网络与包括CCS 320和存储服务器330的其他部件进行通信,并且TSKT系统300将这些通信路径显示为双向箭头。通常,这些通信路径将是使用AES会话密钥(TLS或SSL)来保证安全的实施TCP/IP协议安全形式的互联网连接。在一些实施方案中,可以使用SSL会话密钥来代替TLS会话密钥。
数据创建器310首先创建他或她希望授予数据访问器340访问权的文件312。该文件可以是例如文字处理文件、纯文本文件、电子表格文件、视觉演示文件、照片、音频记录、视频记录等。与数据创建器310关联的用户可能希望确保文件312安全,因为它包含信用卡证书、用户密码、个人健康信息、机密商业信息、公司商业秘密、律师工作成果或律师-客户特权通信,或其他敏感数据。文件312存储在与数据访问器310关联的计算机存储器中,如果通过公共网络(如互联网)发送到数据访问器340,将容易受到黑客攻击或窃取,如果存储在CCS 320或存储服务器330上,还可能另外受到黑客攻击或窃取。TSKT系统300假定来自计算机网络和操作CCS 320和存储服务器330的组织的信任为零。
图4示出了在数据创建器310请求创建安全容器时图3的TSKT系统300的框图400。为了根据本文描述的各种实施方案请求安全容器,数据创建器310首先创建公钥-私钥对,并且在请求创建安全容器之前将公钥发送给CCS 320。例如,数据创建器310可以通过在与其关联的计算机上运行的应用程序并在客户端310向CCS 320注册该应用程序时将其公钥发送给CCS 320。
随后,数据创建器310希望在存储服务器330上安全地存储数据,或使用其他方式将数据发送到数据访问器340。在这一点上,数据创建器310向CCS 320发送创建安全容器的请求。在一些实施方案中,用户使用驻留在客户端310的关联计算机上的软件创建请求。在一个示例中,该软件可以是在关联计算机的操作系统下运行的独立程序。在另一个示例中,该软件可以是插件、小程序,或与另一个程序(如电子邮件程序)紧密相连的小工具。在示例性实施方案中,该软件显示图形用户界面,其允许用户选择与创建安全容器关联的选项。该软件优选地在后台并以用户不可见的方式与CCS320互动,以创建更好的用户体验。
图5示出了图3的TSKT系统300的框图500,其显示了CCS320响应于创建安全容器的请求的行动。CCS 320首先在其数据库或文件系统中创建与安全容器关联的记录,使用标记为“C1”的标签将该请求识别为来自数据创建器310。CCS 320创建种子A(如上所述)和随机唯一公式,并将它们与其数据库中特定客户的安全容器请求相关联。然后,CCS 320使用例如AES会话密钥对种子A和随机唯一公式进行加密。因此,包含加密种子和加密公式的公共网络通信本身使用传统但非常强大的加密技术进行保护。
图6示出了图3的TSKT系统300的框图600,其显示了由数据创建器310(即客户端1)创建安全容器314。如上所述,在使用TLS会话密钥与CCS 320进行通信后,数据创建器310使用其相应的会话密钥对种子A和公式进行解密。数据创建器310使用伪随机数发生器(PRNG)在本地生成种子B。然后,数据创建器310使用解密的公式组合种子A和种子B以创建种子C,即数据种子。
数据创建器310还使用种子A来生成AES密钥1,并使用AES密钥1对种子B进行加密。数据创建器310使用数据种子(种子C)生成AES密钥2,并使用AES密钥2加密数据有效载荷,即需要保护的文件。然后,数据创建器310将加密的密钥2和加密的种子B与各种元数据组合以形成安全容器314,标记为“SC”。元数据包括各种数据权利管理(DRM)指标,例如复制、打印和/或保存权限,可以唯一地识别数据创建器340的用户的生物指标,例如指纹、面部特征等,用于地理围栏访问权的数据创建器340的地理信息,设备标识符(设备ID),以及访问权,例如指示何时允许或禁止访问的时间线。
在用于创建安全容器314后不久,数据创建器310销毁所有密钥和种子以及公式。在该系统中,数据创建器310使用数字粉碎机316销毁AES密钥1和AES密钥2两者,以及种子A、种子B、数据种子和公式,以及它们的任何加密版本。个人电脑操作系统的传统文件清除过程在文件被移到“回收站”或“垃圾桶”时并不销毁或覆盖数据,而只是删除了目录中的文件条目。最近删除的文件的数据实际上可能在计算机存储器中存在一段时间,使其受到黑客攻击和发现。此外,已经存储在固态虚拟存储器驱动器中的数据,如基于浮动栅存储器的数据,由于不完全擦除或浮动栅上的剩余电荷情况,即使在其名义上被擦除后,仍可能被发现。为了防止这些可能性,数据创建器310使用数字粉碎机316不仅通过移除其在文件目录中的标识,而且还通过充分地覆盖其中存储有数据的物理存储器来防止以后被发现而安全地移除数据。
通过使用具有足够大小的PRNG创建种子B,数据创建器310使得黑客实际上不可能使用随机数生成来复制种子B。此外,通过允许种子和密钥在它们被数字粉碎之前只存在一段短暂的时间,数据创建器310使得能够偷偷地远程访问数据创建器310的计算机的黑客很难迅速理解活动的意义以在它们存在时捕获必要的种子、公式和密钥,从而解密安全容器314。
图7示出了图3的TSKT系统300的框图700,其显示了由授权的数据访问器检索安全容器。在这个示例中,数据访问器340被推定为是授权的数据访问器。数据访问器340从存储服务器330取回安全容器。例如,安全容器可以在存储服务器330上的共享文件文件夹中变得可见,并且数据访问器340如同访问其操作系统下的任何其他文件一样访问该文件。例如,数据访问器340使用互联网和为会话创建安全会话密钥的TLS协议访问存储服务器330。在另一个示例中,数据创建器310可以将安全容器作为电子邮件(电子邮件)信息的附件发送给数据访问器340。在这种情况下,该消息被路由到数据访问器340的电子邮件服务器,并且该消息出现在数据访问器340的电子邮件收件箱中,可以从中将其获取。在另一个示例中,与数据创建器310相关联的用户使用可由数据访问器340的计算机访问的便携式介质(例如闪存“拇指”驱动器),将安全文件传输给与数据访问器340相关联的用户。
图8示出了图3的TSKT系统300的框图800,其显示了由授权的数据访问器340提出的解密安全容器的请求。与数据创建器310一样,数据访问器340最初创建公钥/私钥对,并将公钥发送至CCS 320。后来在接收到安全容器后,数据访问器340使用SSL或TLS连接打开与CCS 320的安全会话,并向CCS 320发送安全请求以解密安全容器以及SC元数据。
图9示出了图3的TSKT系统300的框图900,其显示了CCS320响应于安全容器的解密请求的行动。框图900中所示的动作假定CCS 320基于安全容器中的元数据认证传输,即CCS320能够使用生物指标将客户端340识别为授权的用户,与客户端340相关的计算机被允许根据地理围栏数据基于其位置对其进行访问,对于那些启用的元数据特征,满足访问数据的允许时间等等。假设所有的元数据允许这么做,则CCS 320使用数据访问器340的公钥对种子A进行加密,使用安全会话密钥将与安全容器关联的加密种子A和加密公式传递给数据访问器340。
图10示出了当数据访问器340解密安全容器时图3的TSKT系统300的框图。如上所述,数据访问器340使用AES会话密钥接收并解密安全容器。数据访问器340提取加密种子A和加密公式,并使用其相应的AES会话密钥对它们进行解密。然后,数据访问器340使用种子A来生成AES密钥1,并使用AES密钥1从安全容器中解密种子B。数据访问器340使用种子A和种子B以及公式来创建种子C,即数据种子。数据访问器340使用种子C来生成AES密钥2,并使用AES密钥2来解密有效载荷,即数据文件。该数据文件可使用安全软件查看,并且还可以基于由数据创建器310设置的数据权利管理属性进行保存和/或打印。
在用于创建密钥以将加密的种子B解密和创建AES密钥1和2之后不久,数据访问器340使用数字粉碎机342销毁所有密钥和种子以及公式,包括AES密钥1和AES密钥2两者,以及种子A、种子B、数据种子和公式,以及其加密形式。数字粉碎机342优选以与上文所述的图3的数字粉碎机316相同的一般方式操作,以稳健地销毁安全容器的内容或由此产生的密钥和种子的任何迹象。
多因素地理围栏
加密和/或解密可以使用传统的PKI算法,或使用增强的加密算法进行。一种增强的加密算法是上述的瞬时对称密钥技术(TSKT)算法。然而,即使使用TSKT算法,该算法由于密钥没有被存储,只是在很短的时间段内存在,因此可以抵御黑客攻击,本发明人已发现,值得增加额外的安全层。例如,一个人可能受到组织的信任并被授予安全证书,但后来却辜负了给予他或她的信任。例如,公司的雇员可获得该公司的一些机密,然后把它们卖给竞争对手。此外,一个人可能受雇于政府组织,但却试图利用自己的证书获取政府机密或通过将其交给第三方以供外国政府使用。另外,一个人可能在不知情的情况下将其TSKT证书存储在其计算机上的文件中,而该计算机被能够访问包括该证书的用户文件系统的黑客窃取。
通过这些技术中的任一种,非信任方可以获得使用TSKT保护的敏感数据。为了防止这种非信任的访问,可以使用被称为“地理围栏”的技术以基于访问设备的物理位置限制对数据的访问。然而,使用传统的地理围栏,识别物理位置的信息可以被偷偷插入数据流中,利用已知的黑客技术骗过数据服务器。为了进一步增加过程的安全性,本发明人已开发出比传统的地理围栏技术更难被黑客攻击的安全的多因素地理围栏技术和系统。
图11示出了根据本文公开的各种实施方案实现多因素认证的安全数据处理器系统1100的框图。数据处理系统1100操作以协助认证的用户1110访问他或她所拥有的安全数据文件,同时使用多因素认证保护系统的现有安全性。为此,数据处理系统1100还包括可供用户1110访问的第一计算设备1130和第二计算设备1140。第一计算设备1130可以是例如台式计算机、膝上型电脑、笔记本电脑、个人数字助理、移动电话,或用户可访问的存储安全数据文件并允许显示机器可读光学标签(如QR码)的任何其他类型的计算设备。第二计算设备1140是用户也可访问的计算设备,包括摄像头,并且可以是手持设备,例如笔记本电脑、个人数字助理、移动电话,或允许对计算设备1130上显示的机器可读光学标签进行光学捕捉并(例如通过使用计算设备1140中的GPS接收器使用GPS卫星系统1150)确定其地理位置的任何其他类型的计算设备。
概念化的地理围栏系统定义了由用户(授权用户1110)、用户1110可访问的标记为“设备A”(第一计算设备1130)和“设备B”(第二计算设备1140)的两个设备组成的四个角色,该用户1110希望从标记为“服务器”(服务器1120)的服务器获得证书以访问安全数据文件。设备A是例如台式计算机、膝上型电脑、笔记本电脑、瘦客户机终端等。设备B是例如手持设备,如智能手机、平板电脑等。在图2所示的具体示例中,设备B是智能手机,其包括集成摄像头和用于蜂窝三角测量或wi-fi三角测量的控制器,或直接从GPS卫星系统接收地面坐标的GPS控制器。在示例性的实施方案中,服务器是图1和图2中所示的用于TSKT处理的同一CCS。
操作的流程如下进行。在步骤1中,由第一计算设备1130和服务器1120之间的箭头1所示,设备A启动与服务器的通信。设备A的用户使用用户已知并在向服务器注册的证书登录到服务器,并将其地理位置信息与解密安全数据文件的权利请求一起发送给服务器。然后,服务器创建并返回安全令牌,例如,签名的JSON网络令牌。
在步骤2中,由第一计算设备1130和服务器1120之间的箭头2所示,用户通过GUI请求服务器对第一计算设备1130可访问的安全数据文件进行解密。然后,服务器将机器可读光学标签(例如QR码)返回给设备A,并且设备A在其屏幕上显示QR码的图像。
在步骤3中,由第二计算设备1140和服务器1120之间的箭头1所示,用户从设备B登录到服务器。服务器为设备B创建并返回安全令牌。
在步骤4中,由第二计算设备1140和第一计算设备1130之间的箭头4所示,用户使用设备B内置的摄像头扫描由设备A显示的QR码1132。设备B使用安全令牌对来自扫描的QR码的数据进行解码。
在步骤5中,由第二计算设备1140和服务器1120之间的箭头5所示,设备B提交来自扫描的QR码的解码数据和其地理位置信息。地理位置信息使用由客户端软件确定的几种方法之一来确定,例如通过接收来自GPS卫星1152和1154的信号来三角测量其位置而获得的GPS位置、互联网协议(IP)地址、无线网络协议(例如由WiFi联盟指定的称为“WiFi”的协议),以及蜂窝三角测量法。纬度和经度的地理位置格式以十进制格式(例如“12.34567,12.34567”)发送到服务器。如果服务器能够成功验证地理位置坐标,那么它就会在设备A安全令牌和设备B安全令牌之间创建并存储链接。然后,服务器向设备B返回链接完成状态。
在步骤6中,由服务器1120和第一计算设备1130之间的箭头6所示,服务器验证设备A和设备B的坐标对应于可接受的位置。例如,服务器可以验证设备B位于具体允许的地理位置坐标内。在另一个示例中,服务器可以验证设备B位于具体允许的地理位置坐标内,和/或可以确定设备B是否位于禁止的地理位置坐标内。一旦设备B的存在被发现在合适的位置,那么服务器230将请求的数据返回给设备A。
图12示出了可用于实现图11的第二计算设备1140的移动设备1200的框图。移动设备1200包括总线1210,其电性地连接几个部件,包括CPU 1220、存储器1230、摄像系统1240、显示器1250、触摸板1260、蜂窝无线电区段1270和GPS区段1280。CPU 1220双向连接到总线1210,用于启动对存储器和连接到总线1210的外围部件的读或写访问。存储器1230与总线1210双向连接,并且包含以下两者:用于存储软件应用程序、参数和用户数据(如音乐、数码照片和应用程序)的非易失性存储器,以及用于存储工作变量和也许是用于快速执行的软件部分的高速存储易失性存储器。该存储器还在存储器1232的一区域内存储用于实现本文所述的多因素认证技术的多因素认证软件。摄像系统1240包括控制器和内置在移动设备1200中的摄像头,该摄像头适合于获得足够高的分辨率的图像,以便在多因素认证软件的控制下操作的CPU 1220能够解码QR码或其他视觉图像。显示屏1250被用作输出接口设备,通常是高清晰度的屏幕,其面积可以是例如约5厘米(cm)x9cm。触摸板1260是与操作系统和各种应用程序互动的输入设备,这些应用程序在显示器1250上显示虚拟键盘、单选按钮等,并且通常被实现为与显示器1250一体的隐形膜,以获得直观的用户界面。蜂窝无线电区段1270包括用于与蜂窝或Wi-Fi网络接口的几个部件,包括数字基带处理器1272、模拟处理器1274、功率放大器1276和天线1278。GPS区段1280包括GPS处理器1282和天线1284。GPS处理器1282双向连接到总线1210,并通过天线1284接收来自卫星星座的周期性信号,这允许GPS处理器1282确定并向CPU 1220报告位置坐标,而CPU 1220又如上述将其提供给服务器1120。应该明显的是,移动设备1200只是一个示例,本讨论中省略的其他细节和功能通常会存在,例如连接到总线1210的单独的WiFi接口以及WiFi天线。
因此,上文所述的多因素地理位置认证系统提供了额外的安全级别,以防止例如由不良行为者窃取证书的访问。它使用多因素地理位置认证来击败泄露,所述泄露在黑客使用已知的黑客技术仅将位置数据插入数字数据通信中时可能发生。设备A和设备B处于允许的位置和/或不处于禁止的位置的地理位置验证是通过“气隙”进行的,该气隙限于计算设备1140可以捕获计算设备1130的显示屏上的视觉QR图像的距离。虽然在示例性实施方案中,服务器将位置坐标认证为十进制格式的纬度坐标和经度坐标,但其他格式也是可能的,包括对坐标进行编码和/或加密。多因素地理位置认证系统很适合与上文所述的TSKT加密系统一起使用,以防止不良行为者从通常可信的来源(如证书授权机构)窃取用户日期。
虽然已经描述了各种实施方案,但应该很明显,可以存在各种修改。例如,可以使用获得地理位置坐标的不同技术,例如使用GPS卫星1152和1154的GPS三角测量、IP地址、无线网络协议和蜂窝三角测量等。虽然示例性实施方案考虑使用QR码,但可用于验证设备1130和1140在彼此附近和可接受的位置上存在的其他机器可读光学标签是可能的。对全球坐标进行编码的各种方式也是可能的。另外,虽然可接受或禁止的地理位置坐标可以对应于国家,但它们也可以对应于较小或较大的地方。
因此,所附权利要求旨在涵盖落入所公开的实施方案范围内的所有修改。
术语表
以下术语在本文中使用并具有以下含义:
AES256/384:使用256位加密或384位加密的高级加密标准(AES)
CCS:命令和控制服务器
ECC-521:使用521位素数域的椭圆曲线加密法
PKI:公钥基础设施
PRNG:伪随机数发生器
RSA-2048:使用2048位密钥的Rivest-Shamir-Adleman(RSA)系统
SSL:安全套接层
TKST:瞬时对称密钥技术
TLS/2048:使用2048位密钥的传输层安全协议。
Claims (24)
1.一种用于允许访问安全数据文件的方法,所述方法包括:
通过第一设备登录进服务器以及将所述第一设备的地理位置信息发送到所述服务器;
由所述第一设备请求解密所述安全数据文件的权利,并响应于所述请求,从所述服务器向所述第一设备发送机器可读光学标签;
由所述第一设备显示所述机器可读光学标签;
从第二设备登录到所述服务器;
使用所述第二设备扫描由所述第一设备显示的所述机器可读光学标签以创建扫描图像,并使用所述第二设备解码来自所述扫描图像的数据以形成解码数据;
将所述第二设备的地理位置信息和所述解码数据提交给所述服务器;以及
由所述服务器验证所述解码数据和所述地理位置信息,并响应于成功验证所述地理位置信息,向所述第二设备发送链接完成状态指示器,并向所述第一设备发送信息以解密所述安全数据文件。
2.如权利要求1所述的方法,其还包括:
从所述安全数据文件中解密种子;以及
使用所述种子,使用瞬时对称密钥技术(TSKT)加密法从安全容器中解密数据。
3.如权利要求1所述的方法,其中:
所述方法还包括将允许的地理位置信息链接到所述安全数据文件;以及
由所述服务器验证所述地理位置信息还包括:将所述地理位置信息与所述允许的地理位置信息进行比较,并响应于所述地理位置信息与所述允许的地理位置信息之间的匹配而成功验证所述地理位置信息。
4.如权利要求3所述的方法,其中:
将所述允许的地理位置信息链接到所述安全数据文件包括:创建允许的位置列表;以及
响应于所述允许的位置列表,建立所述允许的地理位置信息。
5.如权利要求1所述的方法,其中:
所述方法还包括将禁止的地理位置信息链接到所述安全数据文件;以及
由所述服务器(1120)验证所述地理位置信息进一步包括:响应于所述地理位置信息和所述禁止的地理位置信息之间的不匹配而成功验证所述地理位置信息。
6.如权利要求5所述的方法,其中:
所述方法还包括将所述禁止的地理位置信息链接到所述安全数据文件;以及
由所述服务器验证所述地理位置信息还包括:将所述地理位置信息与所述禁止的地理位置信息进行比较,并响应于所述地理位置信息与所述禁止的地理位置信息之间的所述不匹配成功验证所述地理位置信息。
7.如权利要求1所述的方法,其中所述机器可读光学标签包括QR码。
8.如权利要求1所述的方法,其中所述地理位置信息包括纬度坐标和经度坐标。
9.如权利要求1所述的方法,其中:
从所述第二设备登录入所述服务器包括:从具有集成摄像头和用于确定所述地理位置信息的控制器的手持设备登录入所述服务器。
10.如权利要求9所述的方法,其中:
确定所述地理位置信息包括分析从GPS卫星系统(1150)接收的数据。
11.如权利要求9所述的方法,其中:
确定所述地理位置信息包括在蜂窝基站之间进行三角测量。
12.如权利要求1所述的方法,其中:
响应于由所述第一设备登录到所述服务器,从所述服务器向所述第一设备发送第一安全令牌;
响应于通过所述第二设备(1140)登录入所述服务器(1120),从所述服务器向所述第二设备(1140)发送第二安全令牌;以及
响应于验证所述扫描图像,链接所述第一安全令牌和第二安全令牌。
13.一种用于服务器验证访问安全数据文件请求的方法,所述方法包括:
接收来自第一设备的第一登录请求和第一登录证书,以及响应于所述第一登录证书和第一存储证书之间的匹配,将第一安全令牌返回给所述第一设备;
从所述第一设备接收解密所述安全数据文件和地理位置信息的请求,并响应于解密所述安全数据文件的所述请求,向所述第一设备发送机器可读光学标签;
从第二设备接收第二登录请求和第二登录证书,并响应于所述第二登录证书和第二存储证书之间的匹配,将第二安全令牌返回给所述第二设备;
从所述第二设备接收地理位置信息和扫描的机器可读光学标签的解码数据;以及
由所述服务器验证来自所述第一设备的所述地理位置信息和来自所述第二设备的所述地理位置信息,并响应于成功验证所述地理位置信息,链接所述第一安全令牌和第二安全令牌,向所述第二设备发送链接完成状态指示器,并向所述第一设备发送信息以解密所述安全数据文件。
14.如权利要求13所述的方法,其中所述地理位置信息包括纬度坐标和经度坐标。
15.如权利要求14所述的方法,其中所述纬度坐标和所述经度坐标中的每一个都是十进制格式。
16.如权利要求14所述的方法,其中所述服务器使用瞬时对称密钥技术(TSKT)加密法在所述安全数据文件中存储数据。
17.如权利要求14所述的方法,其中:
验证所述地理位置信息包括:通过所述服务器将所述地理位置信息和与所述安全数据文件相关联的可接受位置列表进行比较。
18.如权利要求13所述的方法,其中所述机器可读光学标签包括QR码。
19.如权利要求13所述的方法,其中:
从所述第二设备登录入所述服务器包括从具有集成摄像头和用于确定所述地理位置信息的控制器的手持设备登录入所述服务器。
20.如权利要求19所述的方法,其中:
确定所述地理位置信息包括分析从GPS卫星系统接收的数据。
21.如权利要求19所述的方法,其中:
确定所述地理位置信息包括在蜂窝基站之间进行三角测量。
22.一种用于多因素认证的移动设备,其包括:
内部总线;
数据处理器,其耦合到所述内部总线用于执行存储的程序指令;
耦合到所述内部总线的摄像系统;
耦合到所述内部总线的蜂窝无线电电路;
耦合到所述内部总线的全球定位系统(GPS)接收器;以及
通过所述内部总线耦合到所述数据处理器并存储多因素认证固件的存储器,该固件包括指令,所述指令在由所述数据处理器解码和执行时,使所述数据处理器:
使用所述蜂窝无线电线路向服务器发送登录证书;
使用所述摄像系统扫描由请求设备显示的机器可读光学标签,以获得扫描的图像;
使用所述移动设备对来自所述扫描图像的数据进行解码以形成解码数据;
使用所述GPS接收器确定所述移动设备的地理位置坐标;以及
使用所述蜂窝无线电线路将所述解码数据和所述地理位置坐标发送到所述服务器。
23.如权利要求22所述的移动设备,其中所述地理位置坐标包括纬度坐标和经度坐标。
24.如权利要求22所述的移动设备,其中所述机器可读光学标签是QR码。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US202063001854P | 2020-03-30 | 2020-03-30 | |
| US63/001,854 | 2020-03-30 | ||
| US17/214,507 US11876797B2 (en) | 2020-03-30 | 2021-03-26 | Multi-factor geofencing system for secure encryption and decryption system |
| US17/214,507 | 2021-03-26 | ||
| PCT/US2021/024598 WO2021202346A1 (en) | 2020-03-30 | 2021-03-29 | Multi-factor geofencing system for secure encryption and decryption system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116057893A true CN116057893A (zh) | 2023-05-02 |
Family
ID=77854782
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180039299.XA Pending CN116057893A (zh) | 2020-03-30 | 2021-03-29 | 用于安全加密和解密系统的多因素地理围栏系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11876797B2 (zh) |
| EP (1) | EP4115590A4 (zh) |
| CN (1) | CN116057893A (zh) |
| WO (1) | WO2021202346A1 (zh) |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6381696B1 (en) | 1998-09-22 | 2002-04-30 | Proofspace, Inc. | Method and system for transient key digital time stamps |
| US8447067B2 (en) * | 1999-05-19 | 2013-05-21 | Digimarc Corporation | Location-based arrangements employing mobile devices |
| US7697691B2 (en) | 2004-07-14 | 2010-04-13 | Intel Corporation | Method of delivering Direct Proof private keys to devices using an on-line service |
| US8194858B2 (en) | 2009-02-19 | 2012-06-05 | Physical Optics Corporation | Chaotic cipher system and method for secure communication |
| US9100186B2 (en) | 2011-03-07 | 2015-08-04 | Security First Corp. | Secure file sharing method and system |
| US8924712B2 (en) | 2011-11-14 | 2014-12-30 | Ca, Inc. | Using QR codes for authenticating users to ATMs and other secure machines for cardless transactions |
| US9413805B2 (en) | 2011-12-15 | 2016-08-09 | Geocomply Global Inc. | Geolocation engine |
| US9438575B2 (en) | 2011-12-22 | 2016-09-06 | Paypal, Inc. | Smart phone login using QR code |
| US8751794B2 (en) | 2011-12-28 | 2014-06-10 | Pitney Bowes Inc. | System and method for secure nework login |
| US8935777B2 (en) | 2012-02-17 | 2015-01-13 | Ebay Inc. | Login using QR code |
| AU2013200916B2 (en) | 2012-02-20 | 2014-09-11 | Kl Data Security Pty Ltd | Cryptographic Method and System |
| EP2850810B1 (en) * | 2012-05-14 | 2020-07-01 | The Boeing Company | Contextual-based virtual data boundaries |
| US9954832B2 (en) | 2015-04-24 | 2018-04-24 | Encryptics, Llc | System and method for enhanced data protection |
| US20170187527A1 (en) * | 2015-12-23 | 2017-06-29 | ThinAir Labs, Inc. | Obtaining A Decryption Key From a Mobile Device |
| WO2017135965A1 (en) * | 2016-02-05 | 2017-08-10 | Hewlett-Packard Development Company, L.P. | Optically readable format of encrypted data |
| WO2017147503A1 (en) | 2016-02-24 | 2017-08-31 | Whitewood Encryption Systems, Inc. | Techniques for confidential delivery of random data over a network |
| US20170323548A1 (en) * | 2016-05-03 | 2017-11-09 | The Boeing Company | Personal global positioning system (gps) security token |
-
2021
- 2021-03-26 US US17/214,507 patent/US11876797B2/en active Active
- 2021-03-29 CN CN202180039299.XA patent/CN116057893A/zh active Pending
- 2021-03-29 EP EP21779941.0A patent/EP4115590A4/en active Pending
- 2021-03-29 WO PCT/US2021/024598 patent/WO2021202346A1/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| EP4115590A4 (en) | 2024-03-13 |
| EP4115590A1 (en) | 2023-01-11 |
| WO2021202346A1 (en) | 2021-10-07 |
| US11876797B2 (en) | 2024-01-16 |
| US20210306328A1 (en) | 2021-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6678821B1 (en) | Method and system for restricting access to the private key of a user in a public key infrastructure | |
| US6842628B1 (en) | Method and system for event notification for wireless PDA devices | |
| US6229894B1 (en) | Method and apparatus for access to user-specific encryption information | |
| US11611539B2 (en) | Method, computer program product and apparatus for encrypting and decrypting data using multiple authority keys | |
| US20120317414A1 (en) | Method and system for securing documents on a remote shared storage resource | |
| CN104662870A (zh) | 数据安全管理系统 | |
| US10686764B2 (en) | Executable coded cipher keys | |
| US10158613B1 (en) | Combined hidden dynamic random-access devices utilizing selectable keys and key locators for communicating randomized data together with sub-channels and coded encryption keys | |
| US20030237005A1 (en) | Method and system for protecting digital objects distributed over a network by electronic mail | |
| CN114175580B (zh) | 增强的安全加密和解密系统 | |
| US20210392003A1 (en) | Decentralized computing systems and methods for performing actions using stored private data | |
| WO2023207975A1 (zh) | 数据传输方法、装置和电子设备 | |
| JPH09200194A (ja) | 安全保護の行われた通信を行うための装置および方法 | |
| US10623384B2 (en) | Combined hidden dynamic random-access devices utilizing selectable keys and key locators for communicating randomized data together with sub-channels and coded encryption keys | |
| US11876797B2 (en) | Multi-factor geofencing system for secure encryption and decryption system | |
| KR20140050257A (ko) | 디지털 정보 상속 방법 | |
| JP2005237037A (ja) | 認証用記録媒体を用いた認証システムおよび認証用記録媒体の作成方法 | |
| KR101644070B1 (ko) | 모바일 기기를 위한 이메일 서비스 방법 및 시스템 | |
| US20110314276A1 (en) | Communication verification system | |
| JP2016163198A (ja) | ファイル管理装置、ファイル管理システム、ファイル管理方法及びファイル管理プログラム | |
| EP3639176A1 (en) | Combined hidden dynamic random-access devices utilizing selectable keys and key locators for communicating randomized data together with sub-channels and coded encryption keys | |
| WO2018231765A1 (en) | Executable coded cipher keys | |
| Tijage et al. | Secured data transmission by LDT Encryption using Android Application with Data monitoring Tool | |
| CN116319059A (zh) | 一种端对端加密的多方同时鉴证机制 | |
| Weippl | Security, Trust, and Privacy on Mobile Devices and Multimedia Applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |