ホーム > 特許ランキング > 長茂科技股▲ふん▼有限公司
知財求人 - 知財ポータルサイト「IP Force」
特開2024-110939マルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティ方法及びシステム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024110939
(43)【公開日】2024-08-16
(54)【発明の名称】マルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティ方法及びシステム
(51)【国際特許分類】
H04L 9/32 20060101AFI20240808BHJP
G06F 21/33 20130101ALI20240808BHJP
【FI】
H04L9/32 200B
H04L9/32 200F
G06F21/33
【審査請求】有
【請求項の数】3
【出願形態】OL
(21)【出願番号】P 2024009987
(22)【出願日】2024-01-26
(31)【優先権主張番号】112104021
(32)【優先日】2023-02-04
(33)【優先権主張国・地域又は機関】TW
(71)【出願人】
【識別番号】508056626
【氏名又は名称】長茂科技股▲ふん▼有限公司
(74)【代理人】
【識別番号】100183564
【弁理士】
【氏名又は名称】西村 伸也
(72)【発明者】
【氏名】姜佳佑
(72)【発明者】
【氏名】黄武雄
(72)【発明者】
【氏名】翁祖彬
(72)【発明者】
【氏名】陳原生
(72)【発明者】
【氏名】湖上 峯市
(72)【発明者】
【氏名】ウ マイケル メンセン
(72)【発明者】
【氏名】呉淵博
(57)【要約】 (修正有)
【課題】マルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティ方法及びシステムを提供する。
【解決手段】方法は、ユーザ設備において、認証情報の入力に応じて一時的な復号化キーをランダムに生成し、一時的な復号化キーをセキュリティサーバに送信してトークンインデックスを取得し、一時的な復号化キーの一部に基づいて電子デジタル署名を生成及び暗号化して認証トークンを形成し、認証情報、トークンインデックス及び認証トークンを組み合わせて一時的な文字列を形成し、一時的な文字列をネットワークアプリケーションサーバ装置に送信し、前記サーバ装置において、一時的な文字列を解読して認証情報、トークンインデックス及び認証トークンを取得し、トークンインデックスに基づいてセキュリティサーバ設備から一時的な復号化キーを受信し、一時的な復号化キーに基づいて認証トークンを復号化して電子デジタル署名を取得及び検証する。
【選択図】図6
【解決手段】方法は、ユーザ設備において、認証情報の入力に応じて一時的な復号化キーをランダムに生成し、一時的な復号化キーをセキュリティサーバに送信してトークンインデックスを取得し、一時的な復号化キーの一部に基づいて電子デジタル署名を生成及び暗号化して認証トークンを形成し、認証情報、トークンインデックス及び認証トークンを組み合わせて一時的な文字列を形成し、一時的な文字列をネットワークアプリケーションサーバ装置に送信し、前記サーバ装置において、一時的な文字列を解読して認証情報、トークンインデックス及び認証トークンを取得し、トークンインデックスに基づいてセキュリティサーバ設備から一時的な復号化キーを受信し、一時的な復号化キーに基づいて認証トークンを復号化して電子デジタル署名を取得及び検証する。
【選択図】図6
【特許請求の範囲】
【請求項1】
第1の装置において、
認証情報の入力に応じて、一時的復号化キーを生成する工程と、
前記一時的復号化キーを第3の装置に送信するとともに、前記第3の装置からトークンインデックスを取得する工程と、
前記一時的復号化キーの一部に基づき、身分認証情報を暗号化して、電子デジタル署名を生成するとともに、前記電子デジタル署名に基づき、認証トークンを生成する工程と、
前記認証情報、前記身分認証情報、前記トークンインデックス及び前記認証トークンを組み合わせて、一時的文字列を生成するとともに、前記一時的文字列を第2の装置に送信する工程と、
前記第2の装置において、
前記一時的文字列を解読し、前記認証情報、前記身分認証情報、前記トークンインデックス及び前記認証トークンを取得するとともに、前記トークンインデックスに基づき、前記第3の装置から前記一時的復号化キーを取得する工程と、
前記一時的復号化キーに基づき前記認証トークンを復号化し、前記電子デジタル署名の取得および検証を行う工程と、を含むことを特徴とするサイバーセキュリティ方法。
認証情報の入力に応じて、一時的復号化キーを生成する工程と、
前記一時的復号化キーを第3の装置に送信するとともに、前記第3の装置からトークンインデックスを取得する工程と、
前記一時的復号化キーの一部に基づき、身分認証情報を暗号化して、電子デジタル署名を生成するとともに、前記電子デジタル署名に基づき、認証トークンを生成する工程と、
前記認証情報、前記身分認証情報、前記トークンインデックス及び前記認証トークンを組み合わせて、一時的文字列を生成するとともに、前記一時的文字列を第2の装置に送信する工程と、
前記第2の装置において、
前記一時的文字列を解読し、前記認証情報、前記身分認証情報、前記トークンインデックス及び前記認証トークンを取得するとともに、前記トークンインデックスに基づき、前記第3の装置から前記一時的復号化キーを取得する工程と、
前記一時的復号化キーに基づき前記認証トークンを復号化し、前記電子デジタル署名の取得および検証を行う工程と、を含むことを特徴とするサイバーセキュリティ方法。
【請求項2】
前記認証情報はアカウント及びパスワードを含むものであり、
前記パスコードは、一桁数字(digit)、数字(number)、文字、キャラクタ(characters)、アルファベット(alphabets)、記号(symbols)、パターン、秘密鍵、組み合わせコード、二次元画像コード、IDコード、PINコード及びその組み合わせのうちの一つを含むものであり、
前記認証情報の入力に応じて、選択的に前記パスコードを入力するように要求するとともに、第1の一時的復号化キーをランダムに生成する工程と、
前記第1の一時的復号化キーの一部に基づき、第2の一時的復号化キーを生成するとともに、前記第2の一時的復号化キーに基づき、スクランブル化工程された前記電子デジタル署名を暗号化し前記認証トークンを生成する工程と、
前記第1の一時的復号化キーとともに前記第2の一時的復号化キーを前記第3の装置に送信する工程と、をさらに含むことを特徴とする請求項1に記載されたサイバーセキュリティ方法。
前記パスコードは、一桁数字(digit)、数字(number)、文字、キャラクタ(characters)、アルファベット(alphabets)、記号(symbols)、パターン、秘密鍵、組み合わせコード、二次元画像コード、IDコード、PINコード及びその組み合わせのうちの一つを含むものであり、
前記認証情報の入力に応じて、選択的に前記パスコードを入力するように要求するとともに、第1の一時的復号化キーをランダムに生成する工程と、
前記第1の一時的復号化キーの一部に基づき、第2の一時的復号化キーを生成するとともに、前記第2の一時的復号化キーに基づき、スクランブル化工程された前記電子デジタル署名を暗号化し前記認証トークンを生成する工程と、
前記第1の一時的復号化キーとともに前記第2の一時的復号化キーを前記第3の装置に送信する工程と、をさらに含むことを特徴とする請求項1に記載されたサイバーセキュリティ方法。
【請求項3】
前記第1の一時的復号化キーをランダムに生成する工程が、前記認証情報又は前記パスコードに基づく、第1の暗号学アルゴリズムの実行によるものであり、
前記電子デジタル署名が、前記第1の一時的復号化キーに基づき、第2の暗号学アルゴリズムを実行し、前記身分識別情報を暗号化して生成されるものであり、
前記認証トークンが、前記第2の一時的復号化キーに基づき第3の暗号学アルゴリズムを実行し、前記電子デジタル署名を暗号化して生成されるものであり、
前記第3の装置において、前記第1の一時的復号化キー及び前記第2の一時的復号化キーに基づき前記トークンインデックスを生成する工程をさらに含むことを特徴とする請求項2に記載されたサイバーセキュリティ方法。
前記電子デジタル署名が、前記第1の一時的復号化キーに基づき、第2の暗号学アルゴリズムを実行し、前記身分識別情報を暗号化して生成されるものであり、
前記認証トークンが、前記第2の一時的復号化キーに基づき第3の暗号学アルゴリズムを実行し、前記電子デジタル署名を暗号化して生成されるものであり、
前記第3の装置において、前記第1の一時的復号化キー及び前記第2の一時的復号化キーに基づき前記トークンインデックスを生成する工程をさらに含むことを特徴とする請求項2に記載されたサイバーセキュリティ方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、サイバーセキュリティ方法及びシステムに関し、特に、マルチパーティ及び多要素動的強力暗号化認証技術に基づくサイバーセキュリティ方法及びシステムに関する。
【背景技術】
【0002】
従来から、情報通信技術(ICT)が急速に進歩する一方で、サイバーセキュリティの脅威(cybersecurity threats)も同様のスピードで進化している。今日のインターネットの世界では、いつ新たなタイプのサイバーセキュリティの脅威が出現してもおかしくなく、今日の情報通信分野では、セキュリティに対して非常に多くの脅威に直面している。
【0003】
これらのサイバーセキュリティ脅威としては、収益のために、ユーザのネットワークサービスのアカウントとパスワードを盗むものがある。特に金融ネットワークサービスに侵入することを目的としていることが多く、このカテゴリのサイバーセキュリティ脅威には、以下のいくつかの一般的なタイプが含まれる。
【0004】
最も一般的なものには、フィッシングテキストメッセージやフィッシングメールを通じてユーザのアカウントとパスワードを詐取することが含まれる。フィッシングテキストメッセージや詐欺は頻繁に発生し、多くの人々が預金を失っている。また、ネットワークサービスインフラにおいて、大規模な分散型サービス妨害(DDoS)攻撃を受けることもあり、金融・保険、貿易・販売、情報通信、製造業などが攻撃対象となっており、ランサムウェアは企業運営にとって大きな脅威となっている。
【0005】
他にも、ハッカーがユーザの設備やインターネットサービスプロバイダーサーバー(ASP server)に直接侵入してユーザのアカウント、パスワードを盗む、高速コンピューティング能力を使用してブルートフォース攻撃でアカウント、パスワードを解読する攻撃を繰り返す、無料のオンライン広告ソフトウェアを通じてさまざまなトロイの木馬プログラムをユーザの設備に埋め込み、ユーザのアカウントパスワードを盗むなどの方法がある。サイバーセキュリティの分野では、従来のアカウント、パスワードベースのログイン認証モードはすでに安全ではなく、ユーザアカウント、パスワードが盗まれるのは珍しくないことになりつつある。
【0006】
このような複雑で多様な脅威に直面した際、公開鍵基盤(PKI)、SSL/TLSベースのhttps、キー配布センター(KDC)、多要素認証(MFA)、シングルサインオン(SSO)メカニズムなど、多くの従来のサイバーセキュリティ防御手段は、これらサイバーセキュリティの脅威に対処するには十分ではなくなっている。
【0007】
このため、新たな種類のサイバーセキュリティの脅威に対処するには、より革新的なサイバーセキュリティ方法とシステムが必要である。この観点から、発明者は慎重な試みと研究を重ね、最終的に本願の「マルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティ方法およびシステム」を考案することで、上記の欠点を克服することができた。以下に本発明について簡単に説明する。
【発明の概要】
【0008】
本発明は、サイバーセキュリティ方法及びシステムに関し、特に、マルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティ方法及びシステムに関する。
【0009】
本発明は、以下のサイバーセキュリティ方法を提供する。このサイバーセキュリティ方法は、ユーザ設備において、認証情報の入力に応じて識別子の入力を選択的に要求し、一時的な復号化キーをランダムに生成するステップ、前記一時的な復号化キーをセキュリティサーバ設備に送信し、前記セキュリティサーバ設備からトークンインデックスを取得するステップ、前記一時的な復号化キーの一部に基づいて電子デジタル署名を生成および暗号化し、認証トークンを形成するステップ、前記認証情報、前記トークンインデックス、および前記認証トークンを組み合わせて一時的な文字列を形成し、前記一時的な文字列をネットワークアプリケーションサーバ装置に送信するステップを含む。また、前記ネットワークアプリケーションサーバ装置において、前記一時的な文字列を解読して前記認証情報、前記トークンインデックス、および前記認証トークンを取得し、前記トークンインデックスに基づいて前記セキュリティサーバ設備から前記一時的な復号化キーを受信するステップ、前記一時的な復号化キーに基づいて前記認証トークンを復号化して、前記電子デジタル署名を取得および検証するステップを含む。
【0010】
本発明はさらに、サイバーセキュリティ方法を提供する。このサイバーセキュリティ方法は、第1の装置において、認証情報の入力に応じて一時的な復号化キーをランダムに生成するステップ、前記一時的な復号化キーを第4の装置に含まれる第3の装置プログラミングモジュールに送信し、前記第3の装置プログラミングモジュールからトークンインデックスを取得するステップ、前記一時的な復号化キーの一部に基づいて電子デジタル署名を生成および暗号化し、認証トークンを形成するステップ、前記認証情報、前記トークンインデックス、および前記認証トークンを組み合わせて一時的な文字列を形成する。そして、前記一時的な文字列を前記第4の装置に含まれる第2の装置プログラミングモジュールに送信するステップ、前記第2の装置プログラミングモジュールを実行して、前記一時的な文字列を解読して前記認証情報、前記トークンインデックス、および前記認証トークンを取得し、前記トークンインデックスに基づいて前記第3の装置プログラミングモジュールから前記一時的な復号化キーを受信するステップ、前記一時的な復号化キーに基づいて前記認証トークンを復号化して、前記電子デジタル署名を取得および検証するステップを含む。
【0011】
本発明はさらに、サイバーセキュリティシステムを提供する。このサイバーセキュリティシステムは、セキュリティサーバ設備、ユーザ設備、ネットワークアプリケーションサーバ装置を含む。前記ユーザ設備において、認証情報の入力に応じて識別子の入力を選択的に要求し、一時的な復号化キーをランダムに生成するステップと、前記一時的な復号化キーをセキュリティサーバ設備に送信し、前記セキュリティサーバ設備からトークンインデックスを取得するステップ、前記一時的な復号化キーの一部に基づいて電子デジタル署名を生成する。そして、前記電子デジタル署名を暗号化し、認証トークンを形成するステップと、前記認証情報、前記トークンインデックス、および前記認証トークンを組み合わせて一時的な文字列を形成し、前記一時的な文字列をネットワークアプリケーションサーバ装置に送信するステップを実行する。また、前記ネットワークアプリケーションサーバ装置において、前記一時的な文字列を解読して前記認証情報、前記トークンインデックス、および前記認証トークンを取得し、前記トークンインデックスに基づいて前記セキュリティサーバ設備から前記一時的な復号化キーを受信するステップと、前記一時的な復号化キーに基づいて前記認証トークンを復号化して、前記電子デジタル署名を取得および検証するステップを実行する。
【0012】
本発明はさらに、サイバーセキュリティシステムを提供する。このサイバーセキュリティシステムは、第2の装置プログラミングモジュールと第3の装置プログラミングモジュールを含む第4の装置、及び前記第4の装置と通信接続する第1の装置を含む。前記第1の装置において、認証情報の入力に応じて一時的な復号化キーをランダムに生成するステップと、前記一時的な復号化キーを前記第3の装置プログラミングモジュールに送信する。また、前記第3の装置プログラミングモジュールからトークンインデックスを取得するステップと、前記一時的な復号化キーの一部に基づいて電子デジタル署名を生成および暗号化し、認証トークンを形成するステップ、前記認証情報、前記トークンインデックス、および前記認証トークンを組み合わせて一時的な文字列を形成する。そして、前記一時的な文字列を前記第2の装置プログラミングモジュールに送信するステップと、前記第2の装置プログラミングモジュールにより前記一時的な文字列を解読して前記認証情報、前記トークンインデックス、および前記認証トークンを取得する。さらに、前記トークンインデックスに基づいて前記第3の装置プログラミングモジュールから前記一時的な復号化キーを受信するステップと、前記一時的な復号化キーに基づいて前記認証トークンを復号化して、前記電子デジタル署名を取得および検証するステップを実行する。
【0013】
上記の発明内容は、読者が本発明の基本的な理解を可能にするために、本発明の簡略化された概要を提供することを意図したものであり、本発明の完全な説明を開示することを意図したものではない。また、本発明の実施形態の重要な要素または構成要素を指摘し、本発明の範囲を定義するものではない。
【図面の簡単な説明】
【0014】
【図1】本発明に含まれるマルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティシステムの第1の実施形態のシステムアーキテクチャ概略図である。
【図2】本発明に含まれるマルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティシステムの第2の実施形態のシステムアーキテクチャの概略図である。
【図3】本発明に含まれるマルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティ方法の第3の実施形態の実行フローのシーケンス図である。
【図4】本発明に含まれるマルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティシステムの第4の実施形態のシステムアーキテクチャ概略図である。
【図5】本発明に含まれるマルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティの第5の実施形態のシステムアーキテクチャの概略図である。
【図6】本発明に含まれるマルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティ方法の実行ステップフローチャートである。
【発明を実施するための形態】
【0015】
図1は、本発明に含まれるマルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティシステムの第1の実施形態のシステムアーキテクチャ概略図である。本発明に含まれるマルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティシステム10は、マルチパーティ装置及び設備により共同して行われ、少なくとも、ユーザによって操作されるユーザ設備(第1の装置)100、ネットワークアプリケーションサーバ装置(第2の装置)200及びセキュリティサーバ設備(第3の装置)300を含み、3つの装置は、インターネットを介して相互に通信リンク(communication link)を確立し、メッセージ及び情報の交換等をおこなう。
【0016】
ユーザ設備100は、デスクトップコンピュータ、ノートブックコンピュータ、スマートフォンまたはタブレットデバイスなどの、現在一般消費者によって通常使用される端末デバイスであることが好ましいが、これらには制限されない。セキュリティサーバ設備300は、セキュリティ仲介サーバー及びクラウドサーバーのうちの一つから選択される。
【0017】
ネットワークアプリケーションサーバ装置200は、2つのタイプの装置を含むことが好ましく、第1のタイプは、インターネットアプリケーション(Internet application)を提供するインターネットアプリケーションサーバー(Internet application server)であり、例えば、アプリケーションサービスプロバイダサーバー(ASP server)、インターネットコンテンツプロバイダサーバー(ICP server)、インターネットサービスプロバイダサーバー(ISP server)、仮想マシンサーバー(virtual machine server)、サーバレス関数(serverless Lambda function)装置、車両用CANバスメインノード(CAN bus main)又は生産工場内部メインノード(factory main)等を含むがこれらに制限されない。また、第2のタイプは、ネットワークを構築するかネットワークノード間に仲介ネットワーク装置(networking device)を提供するもので、例えば、小型基地局(small cell)、ルータ(router)、ハブ(hub)、交換器(switch)、ブリッジ(bridge)、ゲートウェイ(gateway)、ブルータ(brouter)、リレー(relay repeater)、エッジサーバー(edge server)、マイクロコントローラ(MCU)、現金自動預け払い機(ATM)、販売時点情報管理(POS)、PCワークステーション(PC-workstation)、工作機械(machine tool)、プログラマブルロジックコントローラ(PLC)、ドローン(drone)、ネットワークカメラ(IP cam)、衛星電話(satellite phone)、車載CANバスノード(CAN bus node)及びIPアドレス変換装置(NAT)等を含むが、これらに制限されない。
【0018】
本実施形態において、ネットワークアプリケーションサーバ装置200は、第1のタイプのインターネットアプリケーションサーバー、例えば、インターネットコンテンツプロバイダサーバーであることが好ましい。ユーザ設備100は、他のネットワーク装置(networking device)を経由せずに、ローカルエリアネットワークまたはインターネットを含むネットワークの1つまたは複数のセグメントを介して直接、インターネットワークアプリケーションサーバ装置200との伝送接続P1を確立することが好ましい。第1の伝送接続P1、第2の伝送接続P2、および第3の伝送接続P3は、暗号化されていない、安全でない、または信頼できない接続(unsecure or untrusted connection)であることが許可されたものを使用することが好ましい。例えば、一実施形態として、第1の伝送接続P1は帯域外チャネル(out-of-band channel)を使用することが好ましい。
【0019】
図2は、本発明に含まれるマルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティシステムの第2の実施形態のシステムアーキテクチャの概略図である。第2の実施形態は、第1の実施形態に基づき、第1の実施形態の全部の技術特徴を含む。本実施形態において、ユーザ設備100及びインターネットアプリケーションサーバー210の間の接続は、他のネットワーク装置(networking device)を経由している。したがって、本実施形態において、ネットワークアプリケーションサーバ装置200は、第2のタイプのインターネット装置、例えば、家庭用ルータ(home router)又は5G小型基地局(5G small cell)であることが好ましい。また、ユーザ設備100は、ネットワークアプリケーションサーバ装置200、すなわちインターネット装置を介して、インターネットアプリケーションサーバー210と通信接続することが好ましい。第4の伝送接続P4、第5の伝送接続P5、第2の伝送接続P2及び第3の伝送接続P3は、安全でないまたは信頼できない接続であることが許可されたものを使用することが好ましい。第1の伝送接続P1は、第4の伝送接続P4及び第5の伝送接続P5を含み、例えば、一実施形態では、第4の伝送接続P4及び第5の伝送接続P5は帯域外チャネルを使用することが好ましい。
【0020】
第1の実施形態及び第2の実施形態において、ユーザがインターネットアプリケーション(Internet application)にログインする場合、まず、アカウントやパスワードを含む自分の認証情報(authentication information)を入力し、アカウントとパスワード認証を受ける必要がある。そのプロセスは以下のとおりである。
【0021】
ユーザは自分のユーザ設備100、例えばスマートフォン上で操作して、ネットワークアプリケーションサーバ装置200又はインターネットアプリケーションサーバー210がインターネットを介して提供するフロントエンドユーザインターフェース(frontend UI)をスマートフォン上に表示する。例えば、以下に制限されないが、PaaSまたはSaaS技術を介して、インターネットブラウザ(Internet browser)が提供するログインウェブページ(webpage)またはユーザ設備100にインストールされたフロントエンドアプリケーションプログラム(App)により、インターネットアプリケーションに入るログインインターフェースを開く。その後、ログインインターフェースが提供するアカウント、パスワード欄に正確なアカウント、パスワードを入力して、SSL/TLSプロトコルによって対称的に暗号化された後、ネットワークアプリケーションサーバ装置200にアップロードされ、検証及び照合されたのち、インターネットアプリケーションサービスへのログインが許可される。
【0022】
ログイン及び検証動作全体のプロセスは、サブネットワーク11及び12を構成するユーザ設備100及びネットワークアプリケーションサーバ装置200と、ユーザ設備100及びネットワークアプリケーションサーバ装置200を接続する第1の伝送接続P1または第4の伝送接続P4により行われる。
【0023】
一般的に、上記のアカウント、パスワードの検証を安全かつ効果的に保つために、ユーザは漏洩を避けるために自分のアカウント、パスワードを適切に保管する必要があるが、上記のアカウント、パスワードの検証工程の安全性は、少なくとも次の方法で破られる可能性がある。フィッシングテキストメッセージ又はフィッシングメールによって、ユーザのアカウント、パスワードを騙し取る。ハッカーが第1の伝送接続P1に侵入してユーザのアカウント、パスワードを傍受する。ハッカーが、ユーザ設備100またはネットワークアプリケーションサーバ装置200に侵入してユーザのアカウント、パスワードを盗み取る。ブルートフォース攻撃でアカウント、パスワードを解読する。または、フロントエンドインターフェースに埋め込まれたトロイの木馬プログラムにより、ユーザのアカウントパスワードを盗むなどの方法がある。
【0024】
本発明が提供するマルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティ方法は、マルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティシステム10のハードウェアアーキテクチャを基礎として実行される。第1の伝送接続P1、ユーザ設備100及びネットワークアプリケーションサーバ装置200において、サードパーティーのセキュリティサーバ設備300を更に増設し、ユーザ設備100及びセキュリティサーバ設備300を接続する第2の伝送接続P2及びネットワークアプリケーションサーバ装置200及びセキュリティサーバ設備300を接続する第3の伝送接続P3を追加する。
【0025】
一実施形態において、ユーザ設備100、ネットワークアプリケーションサーバ装置200及びセキュリティサーバ設備300上に、さらにセキュリティアプリケーションプログラミングモジュール(programming module)、セキュリティ代理プログラミングモジュール及びセキュリティ仲介プログラミングモジュールをそれぞれインストールして、本発明が提供するマルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティ方法を実行する。
【0026】
図3は、本発明に含まれるマルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティ方法の第3の実施形態の実行フローのシーケンス図である。本実施形態において、ユーザはまず、自分のユーザ設備100上で認証情報を入力する。例として、ユーザは、スマートフォンにインストールしたフロントエンドアプリケーションプログラム、例えば、スマートフォンアプリを操作して、スマートフォンアプリのログインインターフェースに入り、ログインインターフェースが提供するアカウントパスワード欄に自分のアカウント及びパスワード等を含む認証情報を入力する。ユーザが入力したアカウントパスワードは、伝送接続P1又は伝送接続P4を経て、ユーザ設備100からネットワークアプリケーションサーバ装置200へ送信される。
【0027】
上記ログイン操作が検出されると、上記認証情報の入力に応じて、ユーザ設備100に同様にインストールされたセキュリティアプリケーションプログラミングモジュールを呼び出し起動して、セキュリティアプリケーションプログラミングモジュールが実行されたのち、一実施形態において、選択的にユーザ設備100のタッチパネルディスプレイにパスコード入力インターフェースを表示し、パスコード入力欄を提供して、ユーザにさらにパスコード(passcode)を入力するように要求する。セキュリティアプリケーションプログラミングモジュールは、SDKファイル又は呼び出し可能なAPI実行ファイルの形式であることが好ましいい。
【0028】
一実施形態において、ユーザがパスコード入力欄に自分のパスコードを入力した後、セキュリティアプリケーションプログラミングモジュールは、パスコードの入力に応じて、ユーザが入力した認証情報、即ちアカウントとパスワード、パスワード又はパスコードをシード値として、ユーザ設備100において、第1の暗号学アルゴリズムを実行し、例えば、これに制限されないが、長さが32バイト(Bytes)の第1の一時的復号化キー(ephemeral decrypting key, EDK)一つを生成する。
【0029】
一実施形態において、ユーザがパスコード入力欄に自分のパスコードを入力した後、セキュリティアプリケーションプログラミングモジュールは、パスコードの入力に応じて、ユーザのアカウント、パスワードまたはパスコードと関連しない他の非固定ランダム値をシード値として、ユーザ設備100で第1の暗号学アルゴリズムを実行し、第1の一時的復号化キー(1ST EDK)一つをランダムに生成する。
【0030】
第1の暗号学アルゴリズムは、RSAアルゴリズム、DSAアルゴリズム、MD5アルゴリズム、MD4アルゴリズム、MD2アルゴリズム、SHA-1アルゴリズム、SHA-2アルゴリズム、SHA-3アルゴリズム、RIPEMD-160アルゴリズム、MDC-2アルゴリズム、GOST R 34.11-94アルゴリズム、BLAKE2アルゴリズム、Whirlpoolアルゴリズム、SM3アルゴリズム又はその組み合わせから選択されることが好ましい。第1の暗号学アルゴリズムは、一時的復号化キーを生成するために使用されることが好ましく、これはキー生成アルゴリズムまたは暗号化キー生成アルゴリズムとも呼ばれる。
【0031】
第1の一時的復号化キーは、ユーザ設備100で生成された後、引き続きユーザ設備100において、第1の一時的復号化キーに基づき第2の暗号学アルゴリズムが実行され、一つの身分識別情報(ID info)に対して、暗号化を行い、一つの電子デジタル署名を生成する。第2の暗号学アルゴリズムは、RSAアルゴリズム、DSAアルゴリズム、ECDSAアルゴリズム、ECCアルゴリズム、HMACアルゴリズム、MD5アルゴリズム、MD4アルゴリズム、MD2アルゴリズム、SHA-1アルゴリズム、SHA-2アルゴリズム、SHA-3アルゴリズム、RIPEMD-160アルゴリズム、MDC-2アルゴリズム、GOST R 34.11-94アルゴリズム、BLAKE2アルゴリズム、Whirlpoolアルゴリズム、SM3アルゴリズム及びその組み合わせの一つから選択されることが好ましい。第2の暗号学アルゴリズムは、電子デジタル署名を生成するために使用されることが好ましい。第1の暗号学アルゴリズムは、一時的復号化キーを生成するために使用されることが好ましく、ハッシュまたはハッシュ暗号化アルゴリズムとも呼ばれる。
【0032】
一実施形態において、身分識別情報は、開発者またはサプライヤーなどのセキュリティ・アプリケーション・プログラミング・モジュールの供給源によってセキュリティ・アプリケーション・プログラミング・モジュールに組み込まれた一つの識別情報であることが好ましい。一実施形態では、身分識別情報は、開発者またはサプライヤーなどのセキュリティ・アプリケーション・プログラミングの供給源によって、身分検証に合格したユーザに対して一つの識別情報がさらに発行され、そのユーザが正当な身分と使用権を有することを認識するために、一連の識別情報を発行して、ユーザがセキュリティ・アプリケーション・プログラミング・モジュールを使用および操作するための身元および権利を有することを正当に承認する。
【0033】
身分識別情報の内容は、一桁数字(digit)、数字(numbers)、文字(words)、キャラクタ(characters)、アルファベット(alphabets)、記号(symbols)、パターン又はそれらの組み合わせからなることが好ましい。一実施形態において、身分識別情報は、身分識別コード(PIN)であることが好ましく、Web 3.0によって定義される自己主権型ID(SSI)、即ちデジタルID(digital identify)とも統合されるか、これと同一であることができ、デジタルID又は身分識別コード(ID code)とも呼ばれる。
【0034】
電子デジタル署名は、ユーザ設備100で生成された後、引き続きユーザ設備100でスクランブル化(scrambled)工程が実行され、スクランブル化工程は、第1の一時的スクランブル化キーを基礎として、第1の一時的スクランブル化キーを変更した後、第2の一時的スクランブル化キーを生成する。
【0035】
第2の一時的スクランブル化キーがユーザ設備100で生成された後、引き続きユーザ設備100において、第2の一時的復号化キー(2ND EDK)に基づき、第3の暗号学アルゴリズムを実行し、さらに、電子デジタル署名を暗号化し、認証トークン(authentication token)を生成する。第3の暗号学アルゴリズムは、AESアルゴリズム、RSAアルゴリズム、DSAアルゴリズム、HMACアルゴリズム、MD5アルゴリズム、MD4アルゴリズム、MD2アルゴリズム、SHA-1アルゴリズム、SHA-2アルゴリズム、SHA-3アルゴリズム、Blowfishアルゴリズム、Camelliaアルゴリズム、Chacha20アルゴリズム、Poly1305アルゴリズム、SEEDアルゴリズム、CAST-128アルゴリズム、DESアルゴリズム、IDEAアルゴリズム、RC2アルゴリズム、RC4アルゴリズム、RC5アルゴリズム、SM4アルゴリズム、TDESアルゴリズム及びGOST 28147-89アルゴリズム又はその組み合わせから選択されることが好ましい。第3の暗号学アルゴリズムは、セキュリティ暗号化アルゴリズムとも呼ばれ、対称(symmetrical)暗号化アルゴリズムであることが好ましい。
【0036】
次いで、生成された第1の及び第2の一時的復号化キーがセキュリティサーバ設備300に配布され、セキュリティサーバ設備300上のセキュリティ仲介プログラミングモジュールが、第1の及び第2の一時的復号化キーに基づきトークンインデックス(token index)を生成する。トークンインデックスとは、第1の及び第2の一時的復号化キー情報を抽出するのに十分な最小のコンテンツ又は絶対的な小部分(strictly smaller portion)を指す。次に、ユーザ設備100は、セキュリティサーバ設備300に対応するトークンインデックスを要求して、トークンインデックスを取得する。第1の及び第2の一時的復号化キーの形式は限定されないが、256バイナリビット長の記号文字列または二次元画像コードの形式が好ましい。
【0037】
次いで、ユーザ設備100において、身分識別情報、ユーザが入力した認証情報、生成された認証トークン及び取得したトークンインデックスを組み合わせて、一つの一時的文字列(string)を形成する。その後、組み合わせた一時的文字列を、第1の伝送接続P1または第4の伝送接続P4を経由して、ユーザ設備100からネットワークアプリケーションサーバ装置200に配布する。
【0038】
ネットワークアプリケーションサーバ装置200において、ネットワークアプリケーションサーバ装置200にインストールされたセキュリティ代理プログラミングモジュールが一時的文字列を受信した後、一時的文字列を解読する。解読プロセスは、一時的文字列から身分識別情報、アカウントパスワードまたはパスコードを含む認証情報、トークンインデックス及び認証トークンを取得するために、暗号学の暗号化と復号化演算を必要としないことが好ましい。その後、取得されたトークンインデックスを暗号化モデルまたは非暗号化モデルを通じてセキュリティサーバ設備300に送信して、トークンインデックスに基づいて、セキュリティサーバ設備300に格納されている対応する第1の及び第2の一時的復号化キーをセキュリティサーバ設備300上から取得する。
【0039】
次いで、ネットワークアプリケーションサーバ装置200において、セキュリティ代理プログラミングモジュールは、取得した第2の一時的復号化キーに基づいて第3の暗号学アルゴリズムを実行し、認証トークンを電子デジタル署名に復号化するとともに、第1の一時的復号化キーにより署名検証工程を実行し、復号化された電子デジタル署名が改竄されたかを検証する。電子デジタル署名が改竄されていないことを確認すると、第1の一時的復号化キーにより第2の暗号学アルゴリズムを実行し、電子デジタル署名を身分識別情報に復号化する。
【0040】
同時に、ネットワークアプリケーションサーバ装置200において、セキュリティ代理プログラミングモジュールは取得された身分識別情報に対して身分識別情報検証工程を行い、身分識別情報がデータベースに記録された身分識別情報と正確に一致するかどうかを検証する。同時にネットワークアプリケーションサーバ装置200において、セキュリティ代理プログラミングモジュールが取得したアカウントとパスワードに対してアカウントとパスワード検証工程を実行して、このアカウントとパスワードの組が相互に正確に一致するかどうかを検証する。
【0041】
署名検証工程、身分識別情報検証工程及びアカウントとパスワード検証工程がすべて実行された後、ネットワークアプリケーションサーバ装置200は、検証結果をユーザ設備100に戻し、署名検証工程、身分識別情報検証工程及びアカウントとパスワード検証工程がすべて正確であったときだけ、ユーザはユーザ設備100を介してログインしてネットワークアプリケーションサーバ装置200のアプリケーションサービスにアクセスすることができる。そうでない場合、ユーザはアプリケーションサービスへのログインを拒否される。
【0042】
また、署名検証工程及びアカウントとパスワード検証工程がいずれも正確であれば、セキュリティ代理プログラミングモジュールは、選択的にユーザ設備100へ別の一つの認証コードを再送信して、受け取った認証コードをセキュリティ代理プログラミングモジュールに入力するようにユーザに要求することもでき、認証コードを入力した後にのみ、ユーザはユーザ設備100を介しログインしてネットワークアプリケーションサーバ装置200上のアプリケーションサービスにアクセスすることができる。
【0043】
全ての検証工程の実行が終了した後、セキュリティ代理プログラミングモジュールは、ユーザ設備100、ネットワークアプリケーションサーバ装置200及びセキュリティサーバ設備300に一時的に格納した第1の及び第2の一時的復号化キー、及びユーザ設備100及びネットワークアプリケーションサーバ装置200に一時的に保管したアカウントとパスワード、電子デジタル署名、認証トークン、一時的文字列及びトークンインデックスを自動的に破棄する。
【0044】
本実施形態において、第3の暗号学アルゴリズムはユーザ設備100及びネットワークアプリケーションサーバ装置200で実行され、セキュリティサーバ設備300では実行されない。エッジ運算(edge computing)の効果が実現できることが好ましい。第5の実施形態において、ネットワークアプリケーションサーバ装置200及びセキュリティサーバ設備300は同一のクラウドサーバー400に統合される。
【0045】
図4は、本発明に含まれるマルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティシステムの第4の実施形態のシステムアーキテクチャ概略図である。第4の実施形態は、第1の実施形態から第3の実施形態に基づき、第1の実施形態から第3の実施形態までのすべての技術特徴を含む。本実施形態において、本発明のマルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティシステム10は、既存のLDAP(エルダップ:Lightweight Directory Access Protocol)のアーキテクチャに統合し組み合わせられる。LDAPの現在の技術ではハッカーの進入を防ぐには十分ではない。大学などのキャンパスを例にすると、現時点のキャンパスサービスのほとんどは、単一のパスワード検証に頼っており、キャンパスが学生の成績、履修科目記録及び卒業証書などの学校データをインターネットにアップロードするのに伴い、学生個人データおよび学校データを保証するために高い安全性が求められる。
【0046】
本発明のマルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティシステム10にLDAPアーキテクチャを組み込んだ場合、マルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティシステム10は、少なくとも、ユーザにより操作される複数のスマートフォン111、112及び113と、ネットワークアプリケーションサーバ装置200とするLDAPクライアントサーバー(client server)201と、セキュリティサーバ設備300とを含み、3つの装置はインターネットを通じて相互に伝送接続を確立して、メッセージおよび情報交換などを行う。
【0047】
本実施形態において、ネットワークアプリケーションサーバ装置200は、例えば、インターネットコンテンツプロバイダサーバーのような第1のタイプのインターネットアプリケーションサーバーであることが好ましい。ユーザ設備100は、他のインターネット装置を経由せず、一層または多層のローカルネットワークまたはインターネットを含むネットワークに直接介してネットワークアプリケーションサーバ装置200と伝送接続P1を確立することが好ましく、第1の伝送接続P1、第2の伝送接続P2及び第3の伝送接続P3は、安全でないまたは信頼できない接続であることが許可される。
【0048】
マルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティシステム10は、サブネットワーク21を含み、サブネットワーク21は、LDAPクライアントサーバー201及びスマートフォン111、112及び113からなる。サブネットワーク21は即ち既存のLDAPアーキテクチャであり、本発明は、既存のLDAPアーキテクチャを容易に組み込むことができ、サブネットワーク21中に一つのサードパーティセキュリティサーバ設備300を増設すればよいだけである。
【0049】
LDAPアーキテクチャに、本発明が提供するマルチパーティ及び多要素身分認証技術を追加して、システムの情報セキュリティ保護が効果的に向上し、多要素身分認証技術によりユーザの身分を検証し、個人主導型アプローチの分散化と分散化応用を強化することができ、例えば、身分証明書(ID card)の仮想(仮想ID code)と現実(実体ID card)を組み合わせて、複数の認証で得られたユーザ情報を統合することができる。
【0050】
また、例えば、動的強力暗号化デジタル署名システム及びECDSA、SHA-256とAES256の暗号化技術のような対称暗号化技術に基づき、複数のスクランブル化が実行され、ワンタイム認証トークンを生成するとともに、ユーザ設備100、ネットワークアプリケーションサーバ装置200及びセキュリティサーバ設備300を含むサードパーティー装置による検証をパスしたのち、ユーザのデータに対し暗号化を行い送信して、ユーザデータの安全性を保障する。セキュリティサーバ設備300は、身分検証のみ実行し、ユーザプライバシーに関与しない。
【0051】
現在は、デジタルトランスフォーメーションの流れの下、ハッカーが蔓延しており、世界はサイバーセキュリティとプライバシー保護に注目し、ゼロトラスト(ZTA)ネットワークセキュリティ戦略を推進しているが、本発明が提案するサイバーセキュリティ方法は、如何なる既存のネットワークアーキテクチャに容易に組み込むことができ、サイバーセキュリティ保護対策を強化できる。
本発明が提案するサイバーセキュリティ方法は、ネットワークユーザのデータ伝送セキュリティを強化することができ、更に、中間者攻撃、フィッシング攻撃などの攻撃による損失を回避することができる。
本発明が提案するサイバーセキュリティ方法は、ネットワークユーザのデータ伝送セキュリティを強化することができ、更に、中間者攻撃、フィッシング攻撃などの攻撃による損失を回避することができる。
【0052】
本実施形態において、ユーザ設備100、ネットワークアプリケーションサーバ装置200及びセキュリティサーバ設備300の間のワークフローは大まかに下記のとおりである。
【0053】
ステップ311:ユーザは、自分のアカウントとパスワード(account & password)、及び秘密キー、QRコード(登録商標)、IDコード、またはPINコードなどのようなパスコードをユーザ装置100に入力する。次に、システム10は、ユーザ設備100上で一時的復号化キー及びシングルサインオントークン(SSO-token)を生成する。
【0054】
ステップ312:生成された一時的復号化キーをユーザ設備100からセキュリティサーバ設備300に送信する。
【0055】
ステップ313:ユーザによって入力されたアカウントとパスワード及び生成されたシングルサインオントークンをネットワークアプリケーションサーバ装置200に送信する。
【0056】
ステップ314:ネットワークアプリケーションサーバ装置200は、シングルサインオントークンの自己復号化および検証のために、セキュリティサーバ装置300から一時的復号キーを取得する。
【0057】
本発明で提案するサイバーセキュリティ方式は、SDKファイルまたは組込み呼び出しAPI実行ファイルとして作成し、AES-256暗号化、リアルタイム一時分割超高強度/高速動的認証技術を通じて、スマートフォン111~113を含むユーザ設備100、ネットワークアプリケーションサーバ装置200、またはセキュリティサーバ設備300にワンクリックでインストールすることができ、ユーザIDセキュリティ保護のための既存のサービスシステムに統合し導入することができる。
【0058】
本発明で提案するサイバーセキュリティ方法及びシステムは、多要素パスワードレス認証システム、または多要素パスワードレス動的強力暗号化認証サイバーセキュリティシステムであり、既存のあらゆる技術分野及び産業分野のネットワークアーキテクチャに直接統合して適合(compatible)させることができる量子レベルのサイバーセキュリティ技術プラットフォームを提供する。特に、ネットワークアーキテクチャを大幅に変更する必要がなく、製造業、情報通信産業(ICT)、電子産業、医療、介護など様々な分野に適用でき、また、既存の新旧様々な設備、特に古い設備(legacy equipment)に適用でき、サイバーセキュリティ対策を強化できる。また、以下のような利点がある。
【0059】
(1)PKI like AES256+ECC256独自特許/量子サイバーセキュリティ通信技術。
(2)従来のアカウントとパスワードシステムを量子レベルサイバーセキュリティ多要素アカウントパスワードシステムにアップグレードするので、アカウントとパスワードが盗まれても心配がない。
(3)他のIoTシステムと統合して、簡単にサイバーセキュリティの防護が強化できる。
(2)従来のアカウントとパスワードシステムを量子レベルサイバーセキュリティ多要素アカウントパスワードシステムにアップグレードするので、アカウントとパスワードが盗まれても心配がない。
(3)他のIoTシステムと統合して、簡単にサイバーセキュリティの防護が強化できる。
【0060】
本技術は、適切な身分識別に基づくサイバーセキュリティ方法であり、ユーザ設備において、ユーザのログイン操作に応じて、身分識別コードの入力を要求する工程と、前記身分識別コードの入力に応じて、暗号化された保管庫から身分情報を取り出し、一時的復号化キーをランダムに生成して、セキュリティサーバ設備に送信する工程と、前記一時的復号化キーに基づき、前記身分情報を暗号化してワンタイムログイン証明書を生成する。またそれとともに、前記ワンタイムログイン証明書をセキュリティサーバ設備に送信する工程と、ユーザ設備はさらに、ワンタイムログイン証明書をネットワークアプリケーションサーバ装置に送信し、ネットワークアプリケーションサーバ装置は、セキュリティサーバ設備にアクセスして必要情報を取得したのち、自身で身分確認を行い、三者認証のアーキテクチャが完成し、確認完了後のみ、ユーザ設備にその後のアクセス権限へのアクセスを許可する工程を含む。
【0061】
図5は、本発明に含まれるマルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティの第5の実施形態のシステムアーキテクチャの概略図である。第5の実施形態は、第1の実施形態から第4の実施形態に基づき、第1の実施形態から第4の実施形態の全ての技術特徴を含む。本実施形態において、ネットワークアプリケーションサーバ装置(第2の装置)及びセキュリティサーバ設備(第3の装置)は同一のクラウドサーバー中に統合される。
【0062】
本実施形態において、マルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティシステム10は、ユーザ設備100及びクラウドサーバー(第4の装置)400を含み、ユーザ設備100及びクラウドサーバー400は、第6の伝送接続P6を介して通信接続する。ネットワークアプリケーションサーバ装置(第2の装置)及びセキュリティサーバ設備(第3の装置)は、同一のクラウドサーバー400に統合され、クラウドサーバー400は相互に独立した第2の装置プログラミングモジュール420と第3の装置プログラミングモジュール430を含み、ネットワークアプリケーションサーバ装置とセキュリティサーバ設備の全ての機能をそれぞれシミュレートするとともに、このハードウェアアーキテクチャにより、マルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティ方法を実施する。
【0063】
図6は、本発明に含まれるマルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティ方法の実行ステップフローチャートである。要約すると、本発明に含まれるマルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティ方法500は、以下のステップを含むことが好ましいが、これに限定されるものではない。ユーザ設備において、認証情報の入力に応じて、一時的復号化キーをランダムに生成し(ステップ501)、前記一時的復号化キーをセキュリティサーバ設備に送信して、前記セキュリティサーバ設備からトークンインデックスを取得する(ステップ502)。前記一時的復号化キーの一部に基づき、身分認証情報を暗号化して電子デジタル署名を生成するとともに、これに基づき認証トークンを生成し(ステップ503)、前記認証情報、前記身分認証情報、前記トークンインデックス及び前記認証トークンを組み合わせて一時的文字列を生成し、前記一時的文字列をネットワークアプリケーションサーバ装置に送信する(ステップ504)。前記ネットワークアプリケーションサーバ装置において、前記一時的文字列を解読し、前記認証情報、前記身分認証情報、前記トークンインデックス及び前記認証トークンを取得するとともに、前記トークンインデックスに基づき前記セキュリティサーバ設備から前記一時的復号化キーを取得し(ステップ505)、前記一時的復号化キーに基づき、前記認証トークンを復号化して前記電子デジタル署名の取得および検証を行う(ステップ506)。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
