KR20210090635A - 개인 키 클라우드 스토리지 - Google Patents

개인 키 클라우드 스토리지 Download PDF

Info

Publication number
KR20210090635A
KR20210090635A KR1020217014969A KR20217014969A KR20210090635A KR 20210090635 A KR20210090635 A KR 20210090635A KR 1020217014969 A KR1020217014969 A KR 1020217014969A KR 20217014969 A KR20217014969 A KR 20217014969A KR 20210090635 A KR20210090635 A KR 20210090635A
Authority
KR
South Korea
Prior art keywords
private key
execution environment
network storage
secure
secure execution
Prior art date
Application number
KR1020217014969A
Other languages
English (en)
Inventor
에르베 레타우레아우
안토니 첼레티
Original Assignee
나그라비젼 에스에이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 나그라비젼 에스에이 filed Critical 나그라비젼 에스에이
Publication of KR20210090635A publication Critical patent/KR20210090635A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]

Abstract

디바이스(10) 및 네트워크 스토리지(30)를 포함하는 비대칭 암호 기법을 위한 시스템(1)으로서, 디바이스는 네트워크 스토리지에 통신 가능하게 연결되고, 네트워크 스토리지는 개인 키를 저장하도록 구성되며, 디바이스는 디바이스의 보안 실행 환경(12)에서 개인 키를 사용해서 암호 연산을 수행하기 위해 네트워크 스토리지로부터 개인 키를 검색하도록 구성되고, 보안 실행 환경은 암호 연산을 위해 개인 키를 임시로만 저장하도록 구성된다.

Description

개인 키 클라우드 스토리지
본 개시물은 비대칭 암호 기법을 위한 시스템, 비대칭 암호 기법을 위한 시스템에서 사용하기 위한 디바이스, 비대칭 암호 기법을 위한 시스템에서 사용하기 위한 네트워크 스토리지, 및 비대칭 암호 기법을 위한 컴퓨터 구현 방법에 관한 것이다.
비대칭 암호 시스템에 있어서, 개인 키는 일반적으로 TPM, 스마트카드, 보안 파일 시스템(iOS/Android 키 저장소), 신뢰할 수 있는 실행 환경 등과 같은 보안 실행 환경에서 저장 및 사용된다. 개인 키는 통상적으로 호스팅 디바이스에 바인딩되어, 암호 연산이 잠재적인 문제로 되기 쉽다. 예를 들어, 디바이스를 분실하거나 도난당한 경우, 디바이스의 보안 실행 환경에 저장된 바인딩된 모든 개인 키도 잃게 된다. 또한, 디바이스가 고장나면, 개인 키가 손실되거나 사용할 수 없게 되어, 예를 들어 문서/트랜잭션에 서명할 수 없거나 또는 은행 서비스와 같은 관련 서비스를 인증할 수 없게 된다.
기지의 시스템에 있어서, 디바이스를 분실하거나 도난당하면, 통상적으로 개인 키 분실 관리 및 폐기 절차, 예를 들어 신용 카드 폐기 및 교체의 관리, IT 인증 서비스 권한설정, 또는 교체 보안 실행 환경의 복구 및 재구성을 위한 높은 인프라 비용이 초래된다.
암호 화폐 시스템에서, 개인 키의 분실 또는 도난은 일반적으로 최종적인 금전 손실을 의미한다. 예를 들어, 비트코인 개인 키의 도난 또는 분실은 일반적으로 비트코인 크레딧 및 예금의 최종적인 손실을 초래한다.
비대칭 키 쌍에 기반하고 개인 키 연산을 보호하는 개선된 암호 메커니즘에 대한 필요성이 존재한다.
본 개시물은 개인 키 연산을 보호하는 혁신적인 방법을 달성하는 비대칭 키 쌍에 기초한 암호 메커니즘에 적용된다. 이는 혁신적인 네트워크 스토리지 사용을 기반으로 한다. 이는 블록체인 기술은 물론이고, FIDO(Fast IDentity Online(생체인증)) 및 사물 인터넷(IoT) 객체 관리와 같은 보안 인증 스킴에도 적용될 수 있지만, 이에 국한되지 않는다.
본 개시물의 양태에 따르면, 비대칭 암호 기법을 위한 시스템이 제안된다. 시스템은 디바이스 및 네트워크 스토리지를 포함할 수 있다. 디바이스는 네트워크 스토리지에 통신 가능하게 연결될 수 있다. 네트워크 스토리지는 개인 키를 저장하도록 구성될 수 있다. 디바이스는 네트워크 스토리지에서 개인 키를 검색하여 디바이스의 보안 실행 환경에서 개인 키를 사용해서 암호 연산을 수행하도록 구성될 수 있다. 보안 실행 환경은 암호 연산을 위해 개인 키를 임시로 저장하도록 구성될 수 있다. 예를 들어, 암호 기능이 완료되면 개인 키가 메모리에서 삭제될 수 있다.
실시형태에 있어서, 개인 키는 암호화된 개인 키로서 네트워크 스토리지에 저장될 수 있다. 암호화된 개인 키는 고객 비밀을 사용해서 암호화되는 개인 키를 포함할 수 있다. 디바이스는 네트워크 스토리지로부터 암호화된 개인 키를 검색하도록 구성될 수 있다. 디바이스는 고객 비밀을 취득하도록 구성될 수 있다. 보안 실행 환경은 암호화된 개인 키를 고객 비밀을 사용해서 복호하여 개인 키를 취득하도록 구성될 수 있다.
실시형태에 있어서, 디바이스는 디바이스에서 실행되는 소프트웨어 애플리케이션과 보안 실행 환경 사이에서 고객 비밀의 전송을 위한 제1 보안 링크를 설정하도록 구성될 수 있다.
실시형태에 있어서, 보안 실행 환경은 제1 보안 링크를 통해 소프트웨어 애플리케이션에 암호 연산의 결과를 제공하도록 구성될 수 있다.
실시형태에 있어서, 디바이스는 네트워크 스토리지와 보안 실행 환경 사이에서 개인 키의 전송을 위한 제2 보안 링크를 설정하도록 구성될 수 있다.
실시형태에 있어서, 보안 실행 환경은 개인 키를 포함하는 비대칭 키 쌍을 생성하도록 구성될 수 있다. 보안 실행 환경은 생성된 개인 키를 네트워크 스토리지에 저장될 때까지 임시로 저장하도록 구성될 수 있다. 디바이스는 생성된 개인 키를 네트워크 스토리지에 전송하여 개인 키를 저장하도록 구성될 수 있다.
실시형태에 있어서, 보안 실행 환경은 개인 키를 네트워크 스토리지에 전송하기 전에 고객 비밀을 사용해서 암호화하도록 구성될 수 있다.
본 개시물의 양태에 따르면, 전술한 특징들 중 하나 이상을 갖는 비대칭 암호 기법을 위한 시스템에서 사용하기 위한 디바이스가 제안된다. 디바이스는 개인 키를 저장하도록 구성되는 네트워크 스토리지에 통신 가능하게 연결될 수 있다. 디바이스는 네트워크 스토리지에서 개인 키를 검색하여 디바이스의 보안 실행 환경에서 개인 키를 사용해서 암호 연산을 수행하도록 구성될 수 있다. 보안 실행 환경은 암호 연산을 위해 개인 키를 임시로 저장하도록 구성될 수 있다. 예를 들어, 암호 기능이 완료되면 개인 키가 메모리에서 삭제될 수 있다.
본 발명의 양태에 따르면, 전술한 특징들 중 하나 이상을 갖는 비대칭 암호 기법을 위한 시스템에서 사용하기 위한 네트워크 스토리지가 제안된다. 네트워크 스토리지는 디바이스에 통신 가능하게 연결될 수 있다. 네트워크 스토리지는 개인 키를 저장하도록 구성될 수 있다. 네트워크 스토리지는 개인 키를 사용한 암호 연산을 위해 디바이스의 보안 실행 환경을 전송하도록 더 구성될 수 있다.
본 발명의 양태에 따르면, 전술한 특징들 중 하나 이상을 갖는 시스템에서 비대칭 암호 기법을 위한 컴퓨터 구현 방법이 제안된다. 시스템은 디바이스 및 네트워크 스토리지를 포함할 수 있다. 디바이스는 네트워크 스토리지에 통신 가능하게 연결될 수 있다. 네트워크 스토리지는 개인 키를 저장하도록 구성될 수 있다. 방법은 디바이스의 네트워크 스토리지로부터 개인 키를 검색하여 디바이스의 보안 실행 환경에서 개인 키를 사용해서 암호 연산을 수행하는 단계를 포함할 수 있다. 방법은 암호 연산을 위해 보안 실행 환경에 개인 키를 임시로 저장하는 단계를 더 포함할 수 있다. 예를 들어, 암호 기능이 완료되면 개인 키가 메모리에서 삭제될 수 있다.
실시형태에 있어서, 개인 키는 암호화된 개인 키로서 네트워크 스토리지에 저장 될 수 있으며, 여기서 암호화된 개인 키는 고객 비밀을 사용해서 암호화되는 개인 키를 포함한다. 방법은 디바이스의 네트워크 스토리지로부터 암호화된 개인 키를 검색하는 단계를 포함할 수 있다. 방법은 디바이스에서 고객 비밀을 취득하는 단계를 더 포함할 수 있다. 방법은 보안 실행 환경에서 암호화된 개인 키를 고객 비밀을 사용해서 복호하여 개인 키를 취득하는 단계를 더 포함할 수 있다.
실시형태에 있어서, 방법은, 디바이스에서 실행되는 소프트웨어 애플리케이션과 보안 실행 환경 사이에서 고객 비밀의 전송을 위해, 및/또는 보안 실행 환경으로부터 암호 연산의 결과를 소프트웨어 애플리케이션에 제공하기 위해, 디바이스에서 제1 보안 링크를 설정하는 단계를 더 포함할 수 있다.
실시형태에 있어서, 방법은 네트워크 스토리지와 보안 실행 환경 사이에서 개인 키의 전송을 위한 제2 보안 링크를 설정하는 단계를 더 포함할 수 있다.
실시형태에 있어서, 방법은 보안 실행 환경에서 개인 키를 포함하는 비대칭 키 쌍을 생성하는 단계를 더 포함할 수 있다. 방법은 개인 키가 네트워크 스토리지에 저장될 때까지 생성된 개인 키를 보안 실행 환경에 임시로 저장하는 단계를 더 포함할 수 있다. 방법은 개인 키를 저장하기 위해 생성된 개인 키를 디바이스로부터 네트워크 스토리지에 전송하는 단계를 더 포함할 수 있다.
실시형태에 있어서, 방법은 개인 키를 네트워크 스토리지에 전송하기 전에 보안 실행 환경에서 고객 비밀을 사용해서 암호화하는 단계를 더 포함할 수 있다.
유리하게는, 본 개시물은 개인적인 기밀 데이터의 손실을 방지한다. 실제로, 개인 키가 손상되는 일 없이, 디바이스의 보안 실행 환경― 예를 들어, TPM, 스마트카드, iOS/Android 키 저장소와 같은 보안 파일 시스템, 신뢰할 수 있는 실행 환경 등 ―이 분실 또는 도난당할 수 있다. 또한, 보안 실행 환경에는 개인 키가 저장되어 있지 않기 때문에, 폐기 또는 포괄적 설치를 할 필요없이 보안 실행 환경을 비교적 저렴한 마이그레이션 비용으로 교체할 수 있다. 임의의 암호 키, 예컨대 개인 키를 보안 실행 환경, 유리하게는 동일한 보안 실행 환경에 저장하지 않고, 예컨대 토큰이 다수의 또는 모든 사용자에 대하여 권한설정될 수 있다.
유리하게는, 개인 키 기밀성과 관련하여, 클라우드 스토리지 서비스(CSS)로서 구현될 수 있는 네트워크 스토리지는 개인 키 값에 직접 액세스할 필요가 없어 키 기밀성을 보장한다. 개인 키를 보호하는 암호 자산은 클라우드 서비스에 의해 관리될 필요가 없다.
유리하게는, 보안 실행 환경은 표준화되어 모든 용도에 대하여 동일할 수 있다. 보안 실행 환경에 저장되는 개인 키와 같은 어떠한 보안 실행 환경 특정 데이터도 필요하지 않다.
유리하게는, 보안 실행 환경의 인증 프로세스가 덜 복잡할 수 있다: 즉, 보안 실행 환경에 개인 키를 저장할 필요가 없으므로 보안 스토리지 관리 인증이 필요하지 않다.
유리하게는, 네트워크 스토리지가 임의의 키 액세스 및 사용을 확실하게 포착할 수 있기 때문에, 본 개시물에 의하면 신뢰할 수 있는 키 사용 모니터링 분석이 가능해진다.
이하, 본 개시물의 실시형태들을 보다 상세하게 설명한다. 그러나, 이들 실시형태는 본 개시물에 대한 보호 범위를 제한하는 것으로 해석되지 않을 수 있음을 이해해야 한다.
이제, 상응하는 참조 기호들이 상응하는 부분들을 나타내는 첨부된 개략적인 도면을 참조하여 실시형태들을 단지 예로서 설명한다:
도 1은 예시적인 실시형태의 시스템을 도시하고;
도 2는 예시적인 개인 키 생성 방법의 시간 시퀀스 다이어그램을 도시하고;
도 3은 예시적인 개인 키 사용 방법의 시간 시퀀스 다이어그램을 도시하고;
도 4는 컴퓨팅 디바이스의 일 구현예의 블록도를 도시한다.
도면은 단지 예시의 목적만을 위한 것이며, 청구항들에 의해 규정되는 범위 또는 보호를 제한하는 역할을 하지 않는다.
개인 키가 통상적으로 디바이스의 보안 실행 환경(SEE)에 저장되는 기지의 해법과 달리, 본 개시물에서는 개인 키를 네트워크 스토리지에 저장하고 필요에 따라 디바이스의 SEE에 필요한 개인 키를 제공함으로써 네트워크 스토리지가 개인 키 연산에 관여될 수 있다. SEE는 개인 키를 영구적으로 저장하지 않고 개인 키 연산 프로세싱을 보호하는 데 사용될 수 있다.
SEE의 예로는, TPM, 스마트카드, iOS/Android 키 저장소와 같은 보안 파일 시스템, 신뢰할 수 있는 실행 환경(TEE), SIM, eSIM, 비접촉 보안 토큰 등이 있다. SEE는 하드웨어 및/또는 소프트웨어로 구현될 수 있으며, 디바이스에 내장되거나, 디바이스에 분리 가능하게 연결되거나, 또는 디바이스에 통신 가능하게 연결될 수 있다.
네트워크 스토리지는 데이터 네트워크, 예컨대 로컬 에어리어 네트워크(LAN), 와이드 에어리어 네트워크(WAN), 인터넷 또는 이들의 조합을 통해 액세스 가능한 컴퓨터 데이터 스토리지 서버일 수 있다. 네트워크 스토리지는, 예컨대 클라우드 스토리지 서비스(CSS)로서 구현되는 클라우드 컴퓨팅 환경에서 구현될 수 있다.
개인 키는 고객 개인 자산에 기초한 보호를 적용함으로써 네트워크 스토리지에 안전하게 저장될 수 있다. 개인 키는 예를 들어 디바이스의 최종 사용자에게 알려지는 고객 비밀을 사용해서 암호화될 수 있다. 이후, 암호화된 개인 키가 네트워크 스토리지에 저장된다.
도 1은 예시적인 실시형태의 시스템(1)을 도시한다. 최종 사용자 또는 고객(20)에 의해 작동될 수 있는 고객 디바이스(10)가 도시된다. 디바이스(10)는 데이터 연결이 가능한 임의의 디바이스일 수 있으며, 통상적으로 스마트폰, 태블릿 디바이스, 노트북 디바이스, 또는 임의의 다른 휴대용 데이터 통신 디바이스 중 하나이다. 디바이스에는 임의의 애플리케이션(11)이 설치되어 있거나 설치될 수 있다. 애플리케이션(11)은 FIDO 준수 방식일 수 있거나 또는 암호 개인 키 연산을 수반하는 보안 데이터 연산을 위한 독점 소프트웨어 개발 키트(SDK)를 내장한 것일 수 있다. 애플리케이션(11)은 통상적으로 사용자(20) 및/또는 원하는 서비스와 상호 작용한다. SEE(12)는 주로 개인 키와 같은 암호 키를 임시로만 저장하도록 구성된다. SEE(12)는 키를 저장하지 않고 키에 대한 암호 연산을 수행하는 것이 바람직하다. 바람직하게는, 클라우드 스토리지 또는 클라우드 스토리지 서비스로서 구현되는 네트워크 스토리지(30)가 개인 키를 저장할 수 있다. 개인 키는 사용자(20)의 패스프레이즈(passphrase) 또는 지문과 같은 고객 비밀로 보호되어 저장되는 것이 바람직하다. 키의 보호된 저장은 네트워크 스토리지(30)가 손상될 경우에는 키를 획득 및 사용할 수 없도록 한다.
도 1의 시스템(1)에서는, 실시예로서, 고객(20)이 웹 서비스에 액세스하기를 원할 수 있고 클라우드 스토리지(30)에서 클라우드 스토리지 서비스(CSS) 계정을 소유한다. 고객(20)은 예를 들어 애플리케이션(11)과 함께 사용되는 애플리케이션 개인 키를 보호하는 지문, 패스프레이즈 또는 핀 코드와 같은 특정 크리덴셜(credential), 계정 크리덴셜 등으로 자산을 정의할 수 있다. 애플리케이션(11)은 고객(20)에 의해 액세스되며 개인 키 연산을 필요로 하는 웹 또는 로컬 서비스를 운영하는 임의의 애플리케이션일 수 있다.
고객의 디바이스(10)는 신뢰할 수 없는 디바이스일 수 있다. 디바이스(10)는 통상적으로 애플리케이션(11)을 호스팅하고 실행한다. 디바이스(10)는 SEE(12)와 로컬 보안 통신 채널을 설정하는 것이 바람직하다.
SEE는 개인 키 연산을 수행 및 보증할 수 있다. SEE는 고객의 개인 키 및/또는 공개 키를 저장하지 않는 것이 바람직하다. SEE는 클라우드 스토리지 서비스(30)와의 보안 연결 채널을 설정하기 위해 연관된 암호 스킴을 수행하도록 관련 키로 권한설정될 수 있다. SEE는 예를 들어 스마트카드, 무선 보안 토큰, TPM, 신뢰할 수 있는 실행 환경 등과 같은 모든 폼 팩터에 관련 보안성에 따라 배치될 수 있다.
클라우드 스토리지 서비스(CSS)(30)는 관련된 개인 키로 고객 계정을 호스팅할 수 있다. 개인 키는 예를 들어 특정 크리덴셜, 계정 크리덴셜, 지문 등과 같은 고객 자산을 사용하는 암호 스킴으로 보호될 수 있다. CSS 개인 키 스토리지는 임의의 특정 클라우드 보호 기능으로 과보호될 수 있다. CSS(30)는 SEE와의 보안 연결 채널을 설정하는 데 사용되는 관련 서비스 키를 보유할 수 있다. SEE(12)는, 예를 들어 TEE IP 인터페이스를 통한 또는 SEE(12)에서 이용 가능할 경우 IoT 네트워킹을 이용한 직접 연결로, 또는 디바이스 프록싱(proxying)을 통해 간접적으로 CSS(30)에 연결할 수 있다.
도 2 및 도 3은 예시적인 실시형태에서 개인 키를 연산하는 예시적인 작업 흐름을 도시한다. 수직선은 도 1의 시스템(1)의 요소를 나타낸다. 검은 색 점은 요소에서의 동작을 나타낸다. 화살표는 요소들 간의 데이터 교환을 나타낸다.
도 2는 개인 키를 생성하기 위한 하기의 예시적인 단계들을 도시한다. 단계(101)에서, 애플리케이션(11)은 디바이스(10)에서 키 페어링 동작을 트리거한다. 단계(102)에서, 보안 링크를 위한 디바이스-토큰이 디바이스(10)와 SEE(12) 사이에서 협의된다. 단계(103)에서, 보안 링크를 위한 클라우드-토큰이 SEE(12)와 클라우드 서버(30) 사이에서 협의된다. 단계(104)에서, 사용자(20)는 비밀번호, 핀 코드, 패스프레이즈, 지문 등과 같은 비밀, 및/또는 사용자 계정 정보를 요청받는다. SEE에 입력 기능이 있는 경우, 고객 비밀이 SEE(12)에서 직접 제공될 수 있다. 통상적으로 고객 비밀은 디바이스(10)를 통해 사용자(20)에 의해 제공된다. 단계(105)에서, 디바이스(10)는 제공된 고객 비밀 및/또는 사용자 계정 정보와 함께 키 쌍 생성 요청을 SEE(12)에 송신한다. 단계(106)에서, 키 쌍이 SEE(12)에서 생성된다. 단계(107)에서, 일반적으로 인증서 형태의 개인 및 공개 키가 클라우드 서버(30)의 계정으로 전송된다. 단계(108)에서, 개인 키를 암호화하기 위해 고객 비밀을 사용해서 개인 키가 클라우드 스토리지(30)에 안전하게 저장된다. 스토리지는, 가능하게는 사용자 계정에 따라 클라우드 서버(30)에서 추가적인 로컬 보호를 적용함으로써 과보호될 수 있다. 단계(109)에서, 키 쌍 및 특히 개인 키가 SEE(12)의 임시 메모리에서 지워지고, 즉 제거된다.
도 3은 개인 키를 사용하기 위한 하기의 예시적인 단계들을 도시한다. 단계(201)에서, 애플리케이션(11)이 디바이스(10)에서 개인 키 연산을 요구했다. 단계(202)에서, 보안 링크를 위한 디바이스-토큰이 디바이스(10)와 SEE(12) 사이에서 협의된다. 단계(203)에서, 보안 링크를 위한 클라우드-토큰이 SEE(12)와 클라우드 서버(30) 사이에서 협의된다. 단계(204)에서, 사용자(20)는 비밀번호, 핀 코드, 패스프레이즈, 지문 등과 같은 비밀, 및/또는 사용자 계정 정보를 요청받는다. SEE에 입력 기능이 있는 경우, 고객 비밀이 SEE(12)에서 직접 제공될 수 있다. 통상적으로 고객 비밀은 디바이스(10)를 통해 사용자(20)에 의해 제공된다. 단계(205)에서, 디바이스(10)는 제공된 고객 비밀 및/또는 사용자 계정 정보와 함께 개인 키 연산 요청을 SEE(12)에 송신한다. 단계(206)에서, 개인 및 공개 키가 클라우드 서버(30)로부터 SEE(12)에 의해 요청된다. 단계(207)에서, 클라우드 서버(30)의 개인 키에서 로컬 과보호가 제거된다. 단계(208)에서, 개인 키가 SEE(12)에서 수신되고 개인 키 연산이 SEE(12)에서 처리된다. 단계(209)에서, 연산 결과가, 통상적으로 공개 키 또는 인증서와 함께 애플리케이션(11)에서 사용하기 위해 SEE(12)로부터 디바이스(10)로 전송된다. 단계(210)에서, 키 쌍 및 특히 개인 키가 SEE(12)의 임시 메모리에서 지워지고, 즉 제거된다.
도 2 및 도 3의 실시예에서, 결국 키 쌍은 SEE(12)에서 안전하게 생성되고 CSS(30)에 제공될 수 있다. 개인 키는 사용자 자산에 의해 SEE(12) 내에서 보호되고 CSS-SEE 보안 채널을 통해 CSS(30)에 송신될 수 있다. 이 실시예에서는 개인 키가 SEE(12)에 저장되지 않으며 CSS(30)는 개인 키를 복호할 수 없다. CSS-SEE 보안 채널은 데이터 교환을 도청으로부터 보호한다.
도 2 및 도 3의 실시예에서, 개인 키를 연산하는 것은 CSS-SEE 보안 채널을 통한 CSS(30)로부터 SEE(12)로의 보호된 개인 키를 검색하는 것, 사용자(20)로부터 제공된 고객 자산으로 SEE(12)에서 로컬로 개인 키를 보호 해제하는 것, 및 SEE(12)에서 로컬로 개인 키 연산을 수행하는 것을 수반한다. 이 실시예에서, SEE 암호 스킴은 연산 완료 후 SEE(12)에 개인 키가 더 이상 존재하지 않도록 잔여 데이터가 남아 있지 않게 한다.
CSS-SEE 보안 채널을 위한 보안 채널 메커니즘은 견고한 표준화된 프로토콜에 의존할 수 있다. CSS-SEE 보안 채널은 독점 프로토콜을 구현할 수 있다. CSS-SEE 보안 채널은 하드웨어 실시 특징을 기반으로 할 수 있다.
사용자 인증은 다중 인자(multi-factor), 선택적 제한이 있는 위임(delegation) 등과 같은 임의의 고급 액세스 제어 정책 관리 시스템과 결합될 수 있다.
도 4는 컴퓨팅 디바이스로 하여금 본 명세서에서 논의된 방법론들 중 어느 하나 이상을 수행하게 하기 위한 명령어 집합이 실행될 수 있는 컴퓨팅 디바이스(300)의 일 구현예의 블록도를 예시한다. 컴퓨팅 디바이스(300)는 도 1에 도시된 시스템의 요소들에 사용될 수 있다.
대안적인 구현예에서, 컴퓨팅 디바이스는 로컬 에어리어 네트워크(LAN), 인트라넷, 엑스트라넷, 또는 인터넷에서 다른 기계에 연결(예컨대, 네트워킹)될 수 있다. 컴퓨팅 디바이스는 클라이언트 서버 네트워크 환경에서 서버 또는 클라이언트 기계로서, 또는 피어-투-피어 (또는 분산) 네트워크 환경에서 피어 기계로서 동작할 수 있다.
컴퓨팅 디바이스는 개인용 컴퓨터(PC), 태블릿 컴퓨터, 셋톱 박스(STB), 웨어러블 컴퓨팅 디바이스, PDA(Personal Digital Assistant), 휴대 전화, 웹 기기, 서버, 네트워크 라우터, 스위치 또는 브리지, 또는 해당 기계에 의해 수행될 동작을 지정하는 명령어 집합(순차적 또는 기타)을 실행할 수 있는 임의의 기계일 수 있다. 또한, 단일의 컴퓨팅 디바이스만이 예시되어 있지만, "컴퓨팅 디바이스(computing device)"라는 용어는 본 명세서에서 논의되는 방법론들 중 어느 하나 이상을 수행하기 위해 명령어 집합(또는 복수의 집합)을 개별적으로 또는 공동으로 실행하는 임의의 기계(예컨대, 컴퓨터) 모음을 포함하는 것으로 간주될 것이다.
예시적인 컴퓨팅 디바이스(300)는 버스(330)를 통해 서로 통신하는 프로세싱 디바이스(302), 메인 메모리(304)(예컨대, 리드-온리 메모리(ROM), 플래시 메모리, 동기식 DRAM(SDRAM) 또는 램버스 DRAM(RDRAM)과 같은 동적 랜덤 액세스 메모리(DRAM) 등), 정적 메모리(306)(예컨대, 플래시 메모리, 정적 랜덤 액세스 메모리(SRAM) 등), 및 보조 메모리(예컨대, 데이터 스토리지 디바이스(318))를 포함한다.
프로세싱 디바이스(302)는 마이크로프로세서, 중앙 처리 장치 등과 같은 하나 이상의 범용 프로세서를 나타낸다. 보다 구체적으로, 프로세싱 디바이스(302)는 복합 명령어 집합 컴퓨팅(CISC) 마이크로프로세서, 축소 명령어 집합 컴퓨팅(RISC) 마이크로프로세서, 훨씬 긴 명령어(VLIW) 마이크로프로세서, 다른 명령어 집합들을 구현하는 프로세서, 또는 명령어 집합들의 조합을 구현하는 프로세서일 수 있다. 프로세싱 디바이스(302)는 또한 주문형 집적 회로(ASIC), 필드 프로그램 가능 게이트 어레이(FPGA), 디지털 신호 프로세서(DSP), 네트워크 프로세서 등과 같은 하나 이상의 특수 목적 프로세싱 디바이스일 수도 있다. 프로세싱 디바이스(302)는 본 명세서에서 논의되는 동작들 및 단계들을 수행하기 위한 프로세싱 로직(명령어(322))을 실행하도록 구성된다.
컴퓨팅 디바이스(300)는 네트워크 인터페이스 디바이스(308)를 더 포함할 수 있다. 컴퓨팅 디바이스(300)는 또한 비디오 디스플레이 유닛(310)(예컨대, 액정 디스플레이(LCD) 또는 음극선관(CRT)), 문자 숫자식 입력 디바이스(312)(예컨대, 키보드 또는 터치스크린), 커서 컨트롤 디바이스(314)(예컨대, 마우스 또는 터치스크린), 및 오디오 디바이스(316)(예컨대, 스피커)를 포함할 수 있다.
데이터 스토리지 디바이스(318)는 본 명세서에서 설명되는 방법론들 또는 기능들 중 어느 하나 이상을 구체화하는 명령어(322)들의 하나 이상의 집합이 저장된 하나 이상의 기계-판독 가능 저장 매체(또는 보다 구체적으로, 하나 이상의 비일시적인 컴퓨터-판독 가능 저장 매체(328))를 포함할 수 있다. 명령어(322)는 또한 컴퓨터-판독 가능 저장 매체를 구성하는 컴퓨팅 디바이스(300), 메인 메모리(304) 및 프로세싱 디바이스(302)에 의해 실행되는 동안 메인 메모리(304) 내에 및/또는 프로세싱 디바이스(302) 내에 완전히 또는 적어도 부분적으로 상주할 수도 있다.
전술한 다양한 방법은 컴퓨터 프로그램에 의해 구현될 수 있다. 컴퓨터 프로그램은 전술한 다양한 방법 중 하나 이상의 방법의 기능을 수행하라고 컴퓨터에 지시하도록 배치되는 컴퓨터 코드를 포함할 수 있다. 이러한 방법을 수행하기 위한 컴퓨터 프로그램 및/또는 코드는 하나 이상의 컴퓨터 판독 가능 매체, 또는 보다 일반적으로 컴퓨터 프로그램 제품 상에서 컴퓨터와 같은 장치에 제공될 수 있다. 컴퓨터 판독 가능 매체는 일시적 매체이거나 비일시적 매체일 수 있다. 하나 이상의 컴퓨터 판독 가능 매체는, 예를 들어 전자, 자기, 광학, 전자기, 적외선, 또는 반도체 시스템일 수 있거나, 또는 예를 들어 인터넷을 통해 코드를 다운로드하기 위한 데이터 전송을 위한 전파 매체일 수 있다. 대안으로서, 하나 이상의 컴퓨터 판독 가능 매체는 반도체 또는 고체 상태 메모리, 자기 테이프, 이동식 컴퓨터 디스켓, 랜덤 액세스 메모리(RAM), 리드-온리 메모리(ROM), 리지드 자기 디스크, 및 CD-ROM, CD-R/W 또는 DVD와 같은 광학 디스크와 같은 하나 이상의 물리적 컴퓨터 판독 가능 매체의 형태를 취할 수 있다.
구현예에 있어서, 본 명세서에서 설명되는 모듈, 컴포넌트 및 기타 특징(예를 들어, 도 4와 관련하여 제어 유닛(310))은 개별 컴포넌트로서 구현될 수 있거나, 또는 개별화 서버의 일부로서 ASICS, FPGA, DSP 또는 유사한 디바이스와 같은 하드웨어 컴포넌트의 기능에 통합될 수 있다.
"하드웨어 컴포넌트(hardware component)"는 특정 동작을 수행할 수 있는 유형의 (예컨대, 비일시적) 물리적 컴포넌트(예컨대, 하나 이상의 프로세서들의 세트)이며, 특정 물리적 방식으로 구성 또는 배치될 수 있다. 하드웨어 컴포넌트는 특정 동작을 수행하도록 영구적으로 구성된 전용 회로 또는 로직을 포함할 수 있다. 하드웨어 컴포넌트는 필드 프로그램 가능 게이트 어레이(FPGA) 또는 ASIC와 같은 특수 목적 프로세서일 수 있거나 또는 이를 포함할 수 있다. 하드웨어 컴포넌트는 또한 특정 동작을 수행하기 위해 일시적으로 소프트웨어에 의해 구성된 프로그램 가능 논리 또는 회로를 포함할 수도 있다.
따라서, "하드웨어 컴포넌트"라는 문구는 특정 방식으로 동작하도록 또는 본 명세서에서 설명되는 특정 동작을 수행하도록 물리적으로 구성되거나, 영구적으로 구성(예컨대, 하드와이어드)되거나, 또는 일시적으로 구성(예컨대, 프로그래밍)될 수 있는 유형의 엔티티를 포함하는 것으로 이해되어야 한다.
또한, 모듈 및 컴포넌트는 하드웨어 디바이스 내에서 펌웨어 또는 기능 회로로 구현될 수 있다. 또한, 모듈 및 컴포넌트는 하드웨어 디바이스 및 소프트웨어 컴포넌트의 임의의 조합으로 구현되거나 또는 소프트웨어(예컨대, 기계-판독 가능 매체 또는 전송 매체에 저장되거나 달리 구체화되는 코드)로만 구현될 수 있다.
보안 환경에서의 개인 키의 스토리지를 네트워크 스토리지로 대체하고, 개인 키 연산 프로세싱의 보호만을 위한 보안 실행 환경을 갖추게 되면, 개인 및 기밀 데이터의 손실을 방지할 수 있다. 개인 키는 클라우드에 저장되고 최종 사용자 개인 자산에 의해서만 보호된다. 임의의 보안 실행 환경, 보안 파일 시스템 등은 관련 최종 사용자 및 시스템의 문제 없이 분실 또는 도난당할 수 있다. 단지 새로운 SEE를 이용할 수 있으면 되고, 폐기, 설치 또는 마이그레이션 부담은 없다. 개인 키 기밀성은 손상되지 않는다: 즉, CSS는 키 기밀성을 보장하는 개인 키 값에 직접 액세스할 수 없으며, 이는 개인 키를 보호하는 암호 자산이 클라우드 서비스에 의해 관리되지 않는다는 것을 의미한다.

Claims (21)

  1. 시스템(1)으로서,
    네트워크 스토리지(30)에 통신 가능하게 연결된 디바이스(10)를 포함― 상기 네트워크 스토리지는 고객 비밀을 사용해서 암호화된 개인 키를 포함하는 암호화된 개인 키를 저장하도록 구성됨 ―하고,
    상기 디바이스는,
    하나 이상의 프로세서, 및
    상기 하나 이상의 프로세서에 액세스 가능한 메모리를 포함하고, 상기 메모리는 상기 하나 이상의 프로세서에 의한 실행시에 상기 하나 이상의 프로세서로 하여금 동작들을 수행하게 하는 명령어들을 저장하고, 상기 동작들은,
    상기 네트워크 스토리지로부터 상기 암호화된 개인 키를 검색하는 동작,
    고객 비밀을 취득하는 동작,
    상기 고객 비밀을 사용해서 상기 암호화된 개인 키를 복호하여 상기 개인 키를 취득하는 동작,
    암호 연산에서 사용하기 위해 상기 개인 키를 임시로 저장하는 동작,
    상기 개인 키를 사용해서 상기 암호 연산을 수행하는 동작, 및
    상기 암호 연산의 결과를 제공하는 동작을 포함하는 시스템.
  2. 제1항에 있어서, 상기 디바이스는 보안 실행 환경을 포함하고, 상기 보안 실행 환경은,
    상기 고객 비밀을 사용해서 상기 암호화된 개인 키를 복호하여 상기 개인 키를 취득하고,
    상기 암호 연산에서 사용하기 위해 상기 개인 키를 임시로 저장하고,
    상기 개인 키를 사용해서 상기 암호 연산을 수행하도록 구성되는 시스템.
  3. 제2항에 있어서, 상기 명령어들은 상기 하나 이상의 프로세서에 의한 실행시에 상기 하나 이상의 프로세서로 하여금,
    상기 디바이스의 보안 실행 환경과 상기 디바이스에서 실행되는 애플리케이션 사이에서 제1 보안 링크를 설정하는 동작, 및
    상기 제1 보안 링크를 통해 상기 고객 비밀을 취득하는 동작을 더 수행하게 하고,
    상기 보안 실행 환경은 상기 암호 연산의 결과를 상기 제1 보안 링크를 통해 상기 애플리케이션에 제공하도록 구성되는 시스템.
  4. 제2항에 있어서, 상기 명령어들은 상기 하나 이상의 프로세서에 의한 실행시에 상기 하나 이상의 프로세서로 하여금,
    상기 네트워크 스토리지와 상기 디바이스 사이에서 상기 암호화된 개인 키의 전송을 위한 제2 보안 링크를 설정하는 동작을 더 수행하게 하는 시스템.
  5. 제4항에 있어서, 상기 보안 실행 환경은,
    상기 개인 키를 포함하는 비대칭 키 쌍을 생성하고,
    상기 생성된 개인 키를 상기 네트워크 스토리지에 저장될 때까지 임시로 저장하고,
    상기 개인 키를 상기 네트워크 스토리지에 전송하기 전에 상기 고객 비밀을 사용해서 암호화하도록 더 구성되고,
    상기 디바이스는,
    상기 암호화된 개인 키를 상기 네트워크 스토리지에 전송하도록 더 구성되는 시스템.
  6. 디바이스(10)로서,
    하나 이상의 프로세서, 및
    상기 하나 이상의 프로세서에 액세스 가능한 메모리를 포함하고, 상기 메모리는 상기 하나 이상의 프로세서에 의한 실행시에 상기 하나 이상의 프로세서로 하여금 동작들을 수행하게 하는 명령어들을 저장하고, 상기 동작들은,
    네트워크 스토리지로부터 암호화된 개인 키를 검색하는 동작,
    고객 비밀을 취득하는 동작,
    상기 고객 비밀을 사용해서 상기 암호화된 개인 키를 복호하여 상기 개인 키를 취득하는 동작,
    암호 연산에서 사용하기 위해 상기 개인 키를 임시로 저장하는 동작,
    상기 개인 키를 사용해서 상기 암호 연산을 수행하는 동작, 및
    상기 암호 연산의 결과를 제공하는 동작을 포함하는 디바이스.
  7. 제6항에 있어서, 상기 디바이스는 보안 실행 환경을 포함하고, 상기 보안 실행 환경은,
    상기 고객 비밀을 사용해서 상기 암호화된 개인 키를 복호하여 상기 개인 키를 취득하고,
    상기 암호 연산에서 사용하기 위해 상기 개인 키를 임시로 저장하고,
    상기 개인 키를 사용해서 상기 암호 연산을 수행하도록 구성되는 디바이스.
  8. 제7항에 있어서, 상기 명령어들은 상기 하나 이상의 프로세서에 의한 실행시에 상기 하나 이상의 프로세서로 하여금,
    상기 디바이스의 보안 실행 환경과 상기 디바이스에서 실행되는 애플리케이션 사이에서 제1 보안 링크를 설정하는 동작, 및
    상기 제1 보안 링크를 통해 상기 고객 비밀을 취득하는 동작을 더 수행하게 하고,
    상기 보안 실행 환경은 상기 암호 연산의 결과를 상기 제1 보안 링크를 통해 상기 애플리케이션에 제공하도록 구성되는 디바이스.
  9. 컴퓨터 구현 방법으로서,
    암호화된 개인 키를 네트워크 스토리지에 저장― 상기 암호화된 개인 키는 고객 비밀을 사용해서 암호화된 개인 키를 포함함 ―하는 단계,
    디바이스에서 상기 네트워크 스토리지로부터 상기 암호화된 개인 키를 검색하는 단계,
    상기 고객 비밀을 사용해서 상기 디바이스에서 상기 암호화된 개인 키를 복호하여 상기 개인 키를 취득하는 단계,
    상기 개인 키를 암호 연산에서 사용하기 위해 상기 디바이스에 임시로 저장하는 단계,
    상기 개인 키를 사용해서 상기 디바이스에서 상기 암호 연산을 수행하는 단계, 및
    상기 암호 연산의 결과를 제공하는 단계를 포함하는 방법.
  10. 제9항에 있어서, 상기 복호, 상기 임시 저장 및 상기 결과의 제공은 상기 디바이스의 보안 실행 환경에 의해 수행되는 방법.
  11. 제10항에 있어서,
    상기 디바이스의 보안 실행 환경과 상기 디바이스에서 실행되는 애플리케이션 사이에서 제1 보안 링크를 설정하는 단계, 및
    상기 보안 실행 환경에서 상기 제1 보안 링크를 통해 상기 고객 비밀을 취득하는 단계를 더 포함하고,
    상기 암호 연산의 결과를 상기 제1 보안 링크를 통해 상기 애플리케이션에 제공하는 방법.
  12. 제9항에 있어서,
    상기 네트워크 스토리지와 상기 보안 실행 환경 사이에서 상기 개인 키의 전송을 위해 제2 보안 링크를 설정하는 단계를 더 포함하는 방법.
  13. 제10항에 있어서,
    상기 보안 실행 환경에서 상기 개인 키를 포함하는 비대칭 키 쌍을 생성하는 단계,
    상기 생성된 개인 키를 상기 네트워크 스토리지에 저장될 때까지 상기 보안 실행 환경에 임시로 저장하는 단계,
    상기 개인 키를 상기 네트워크 스토리지에 전송하기 전에 상기 고객 비밀을 사용해서 상기 보안 실행 환경에서 암호화하는 단계, 및
    상기 암호화된 개인 키를 상기 디바이스로부터 상기 네트워크 스토리지로 전송하는 단계를 더 포함하는 방법.
  14. 컴퓨터 구현 방법으로서,
    디바이스에서 네트워크 스토리지로부터 암호화된 개인 키를 검색하는 단계,
    상기 디바이스에서 고객 비밀을 취득하는 단계,
    상기 고객 비밀을 사용해서 상기 디바이스에서 상기 암호화된 개인 키를 복호하여 상기 개인 키를 취득하는 단계,
    상기 개인 키를 암호 연산에서 사용하기 위해 상기 디바이스에 임시로 저장하는 단계,
    상기 개인 키를 사용해서 상기 디바이스에서 상기 암호 연산을 수행하는 단계, 및
    상기 암호 연산의 결과를 제공하는 단계를 포함하는 방법.
  15. 제14항에 있어서, 상기 복호, 상기 임시 저장 및 상기 결과의 제공은 상기 디바이스의 보안 실행 환경에 의해 수행되는 방법.
  16. 제15항에 있어서,
    상기 디바이스의 보안 실행 환경과 상기 디바이스에서 실행되는 애플리케이션 사이에서 제1 보안 링크를 설정하는 단계, 및
    상기 보안 실행 환경에서 상기 제1 보안 링크를 통해 상기 고객 비밀을 취득하는 단계를 더 포함하고,
    상기 암호 연산의 결과를 상기 제1 보안 링크를 통해 상기 애플리케이션에 제공하는 방법.
  17. 제15항에 있어서,
    상기 보안 실행 환경에서 상기 개인 키를 포함하는 비대칭 키 쌍을 생성하는 단계,
    상기 생성된 개인 키를 상기 네트워크 스토리지에 저장될 때까지 상기 보안 실행 환경에 임시로 저장하는 단계,
    상기 개인 키를 상기 네트워크 스토리지에 전송하기 전에 상기 고객 비밀을 사용해서 상기 보안 실행 환경에서 암호화하는 단계, 및
    상기 암호화된 개인 키를 상기 디바이스로부터 상기 네트워크 스토리지로 전송하는 단계를 더 포함하는 방법.
  18. 컴퓨터 판독 가능한 비일시적 저장 매체 상에 구현되는 컴퓨터 프로그램 제품으로서, 상기 컴퓨터 프로그램 제품은, 프로세서에 의한 실행시에, 상기 프로세서로 하여금 제9항에 기재된 방법의 단계들을 수행하게 하는 컴퓨터 실행 가능 명령어들을 포함하는 컴퓨터 프로그램 제품.
  19. 컴퓨터 판독 가능한 비일시적 저장 매체 상에 구현되는 컴퓨터 프로그램 제품으로서, 상기 컴퓨터 프로그램 제품은, 프로세서에 의한 실행시에, 상기 프로세서로 하여금 제14항에 기재된 방법의 단계들을 수행하게 하는 컴퓨터 실행 가능 명령어들을 포함하는 컴퓨터 프로그램 제품.
  20. 프로세서에 의한 실행시에, 상기 프로세서로 하여금 제9항에 기재된 방법의 단계들을 수행하게 하는 컴퓨터 실행 가능 명령어들을 포함하는 컴퓨터 판독 가능한 비일시적 저장 매체.
  21. 프로세서에 의한 실행시에, 상기 프로세서로 하여금 제14항에 기재된 방법의 단계들을 수행하게 하는 컴퓨터 실행 가능 명령어들을 포함하는 컴퓨터 판독 가능한 비일시적 저장 매체.
KR1020217014969A 2018-11-23 2019-11-22 개인 키 클라우드 스토리지 KR20210090635A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP18208108.3A EP3657751A1 (en) 2018-11-23 2018-11-23 Private key cloud storage
EP18208108.3 2018-11-23
PCT/EP2019/082309 WO2020104686A1 (en) 2018-11-23 2019-11-22 Private key cloud storage

Publications (1)

Publication Number Publication Date
KR20210090635A true KR20210090635A (ko) 2021-07-20

Family

ID=64476944

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020217014969A KR20210090635A (ko) 2018-11-23 2019-11-22 개인 키 클라우드 스토리지

Country Status (5)

Country Link
US (1) US20220014358A1 (ko)
EP (2) EP3657751A1 (ko)
KR (1) KR20210090635A (ko)
CN (1) CN113261254A (ko)
WO (1) WO2020104686A1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220103358A1 (en) * 2021-12-08 2022-03-31 Intel Corporation Cloud key access mechanism

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101470789A (zh) * 2007-12-28 2009-07-01 中国长城计算机深圳股份有限公司 一种计算机的加解密方法及装置
US9026805B2 (en) * 2010-12-30 2015-05-05 Microsoft Technology Licensing, Llc Key management using trusted platform modules
US9350536B2 (en) * 2012-08-16 2016-05-24 Digicert, Inc. Cloud key management system
US10013565B2 (en) * 2014-08-18 2018-07-03 Dell Products, Lp System and method for secure transport of data from an operating system to a pre-operating system environment
KR102530888B1 (ko) * 2015-09-01 2023-05-11 삼성전자주식회사 결제 거래를 수행하는 방법 및 장치
TWI608361B (zh) * 2016-09-23 2017-12-11 群暉科技股份有限公司 電子裝置、伺服器、通訊系統及通訊方法
US10972265B2 (en) * 2017-01-26 2021-04-06 Microsoft Technology Licensing, Llc Addressing a trusted execution environment
US10938560B2 (en) * 2017-06-21 2021-03-02 Microsoft Technology Licensing, Llc Authorization key escrow
US10157290B1 (en) * 2017-10-11 2018-12-18 Symantec Corporation Systems and methods for encrypting files

Also Published As

Publication number Publication date
US20220014358A1 (en) 2022-01-13
WO2020104686A1 (en) 2020-05-28
EP3657751A1 (en) 2020-05-27
CN113261254A (zh) 2021-08-13
EP3884638A1 (en) 2021-09-29

Similar Documents

Publication Publication Date Title
US10554420B2 (en) Wireless connections to a wireless access point
EP3255832B1 (en) Dynamic encryption method, terminal and server
US20220014524A1 (en) Secure Communication Using Device-Identity Information Linked To Cloud-Based Certificates
US11102191B2 (en) Enabling single sign-on authentication for accessing protected network services
JP2020523806A (ja) モノのインターネット(iot)デバイスの管理
US11818120B2 (en) Non-custodial tool for building decentralized computer applications
US20200280550A1 (en) System and method for endorsing a new authenticator
KR20170043520A (ko) 비대칭 암호화를 이용하여 otp를 구현하기 위한 시스템 및 방법
US10601590B1 (en) Secure secrets in hardware security module for use by protected function in trusted execution environment
US8397281B2 (en) Service assisted secret provisioning
US11394543B2 (en) System and method for secure sensitive data storage and recovery
TW201926943A (zh) 資料傳輸方法及系統
CN116097615B (zh) 使用密钥协商的认证
CN109960935B (zh) 确定tpm可信状态的方法、装置及存储介质
KR20210090635A (ko) 개인 키 클라우드 스토리지
US9270649B1 (en) Secure software authenticator data transfer between processing devices
CN108154037B (zh) 进程间的数据传输方法和装置
CN115801232A (zh) 一种私钥保护方法、装置、设备及存储介质
US11251943B2 (en) Sharing a secret between an isolated device and a network connected device
US20240146721A1 (en) Non-custodial tool for building decentralized computer applications
WO2024086858A1 (en) Ledger environment threat detection protocol system and method
CN113225336A (zh) 信息加密传输方法、加解密装置、可读介质以及电子设备
US20170012973A1 (en) Trust framework for secured digital interactions between entities

Legal Events

Date Code Title Description
A201 Request for examination