KR102432183B1 - Apparatus and method for network encryption service - Google Patents

Apparatus and method for network encryption service Download PDF

Info

Publication number
KR102432183B1
KR102432183B1 KR1020200084861A KR20200084861A KR102432183B1 KR 102432183 B1 KR102432183 B1 KR 102432183B1 KR 1020200084861 A KR1020200084861 A KR 1020200084861A KR 20200084861 A KR20200084861 A KR 20200084861A KR 102432183 B1 KR102432183 B1 KR 102432183B1
Authority
KR
South Korea
Prior art keywords
encryption
network
key
encryption key
external
Prior art date
Application number
KR1020200084861A
Other languages
Korean (ko)
Other versions
KR20220006885A (en
Inventor
정상민
문경학
진재환
Original Assignee
주식회사 엘지유플러스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘지유플러스 filed Critical 주식회사 엘지유플러스
Priority to KR1020200084861A priority Critical patent/KR102432183B1/en
Publication of KR20220006885A publication Critical patent/KR20220006885A/en
Application granted granted Critical
Publication of KR102432183B1 publication Critical patent/KR102432183B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 실시예는 대칭키 암호화 방식을 활용할 수 있는 네트워크 장비가 외부의 암호키 장비와 연동하여 다양한 암호 알고리즘을 능동적으로 활용할 수 있도록 하는 네트워크 암호화 서비스를 위한 장치에 관한 것으로, 대칭키를 기초로 데이터를 암호화 또는 복호화 하여 네트워크전송채널을 통해 송신 또는 수신하기 위한 암호화네트워크장비; 및 암호키 교환 알고리즘을 수행하여 생성된 대칭키를 대칭키교환인터페이스를 통해 상기 암호화네트워크장비로 제공하기 위한 외부암호키장비;를 포함하고, 송신측 외부암호키장비와 수신측 외부암호키장비는 각각 암호키 교환 알고리즘의 수행 시 서로 암호키 정보를 교환해서 상기 대칭키를 생성하되, 상기 암호키 정보는 외부암호키장비와 암호화네트워크장비 간에 정의된 정보교환인터페이스 및 상기 네트워크전송채널을 통해 교환될 수 있다.An embodiment of the present invention relates to an apparatus for a network encryption service that enables a network device capable of utilizing a symmetric key encryption method to actively utilize various encryption algorithms by interworking with an external encryption key device. Encryption network equipment for transmitting or receiving data through a network transmission channel by encrypting or decrypting data; and an external encryption key device for providing a symmetric key generated by performing an encryption key exchange algorithm to the encryption network device through a symmetric key exchange interface; When each encryption key exchange algorithm is performed, the symmetric key is generated by exchanging encryption key information with each other, wherein the encryption key information is exchanged through the information exchange interface and the network transmission channel defined between the external encryption key device and the encryption network device. can

Description

네트워크 암호화 서비스를 위한 장치 및 방법{Apparatus and method for network encryption service}Apparatus and method for network encryption service

본 발명은 네트워크 암호화 서비스 관련 기술에 관한 것으로, 보다 상세하게는 대칭키 암호화 방식을 활용할 수 있는 네트워크 장비가 외부의 암호키 (생성) 장비와 연동하여 다양한 암호 알고리즘을 능동적으로 활용할 수 있도록 하는, 네트워크 암호화 서비스를 위한 장치 및 방법에 관한 것이다.The present invention relates to a technology related to a network encryption service, and more particularly, a network device capable of utilizing a symmetric key encryption method to actively utilize various encryption algorithms by interworking with an external encryption key (generation) device. It relates to an apparatus and method for cryptographic services.

일반적으로, 암호화란 데이터(평문)를 원하는 상대방 외에는 알아볼 수 없는 데이터의 형태(암호문)로 바꾸어 데이터의 탈취와 복제/변조를 방지하는 보안 솔루션으로, 암호화된 데이터를 원래의 데이터로 바꾸는 과정은 복호화라고 한다.In general, encryption is a security solution that prevents data theft and duplication/falsification by changing data (plaintext) into a data form (ciphertext) that cannot be recognized by anyone other than the intended party. It is said

암호화를 통한 보안 서비스 제공을 위해서는 암/복호화 및 키교환이 필요하다.To provide security services through encryption, encryption/decryption and key exchange are required.

즉, 도 1과 같이 암/복호화는 평문의 데이터를 타인이 취득하지 못하도록 Encryptor를 통해 암호문으로 변환(암호화)하거나, 수신한 암호문에서 취득하고자 하는 평문을 구하기 위해 Decryptor를 통한 변환(복호화) 과정이 필요하다. 암/복호화를 위해서는 두 당사자간의 약속된 암호키가 필요하며 이 암호키를 안전하게 교환하기 위한 방법을 키교환이라고 한다. 암호키의 교환은 물리적, 논리적 방법으로 공유가 가능하며, 송신부와 수신부가 동일한 암호키를 활용하여 암/복호화를 수행하는 것을 대칭키 암호화 방식이라고 한다.That is, as shown in FIG. 1, in encryption/decryption, the plaintext data is converted (encrypted) into ciphertext through the Encryptor to prevent others from acquiring it, or the conversion (decryption) process is performed through the Decryptor to obtain the desired plaintext from the received ciphertext. need. For encryption/decryption, a promised encryption key between two parties is required, and the method for securely exchanging this encryption key is called key exchange. The exchange of encryption keys can be shared in both physical and logical ways, and a symmetric key encryption method in which the transmitter and the receiver use the same encryption key to perform encryption/decryption.

일반적인 암호화 네트워크 장비는 도 2에 도시된 바와 같이 장비 내에 암호키를 생성하고 이를 교환하기 위한 연산을 수행하는 암호화 기능처리부와 네트워크의 프로토콜에 따라 정보 전달을 수행하는 네트워크 기능 처리부를 포함한다. 일반적으로 암호화 네트워크 장비의 암호화 기능 처리부는 내장되어 있는 암/복호화 알고리즘과 암호키 교환 알고리즘을 수행한다.As shown in FIG. 2, a general encryption network device includes an encryption function processing unit that generates an encryption key in the device and performs an operation for exchanging it, and a network function processing unit that performs information transfer according to a protocol of the network. In general, the encryption function processing unit of the encryption network equipment performs a built-in encryption/decryption algorithm and an encryption key exchange algorithm.

도 2와 같은 암호화 네트워크 장비의 내장된 알고리즘은 H/W적, S/W적으로 구현되어 있으며 그 방식은 장비 제조사에 종속되어 있어, 사업자가 원하는 보안 기술(신규 암호알고리즘 등) 적용에 한계가 있다. The built-in algorithm of the encryption network equipment as shown in Fig. 2 is implemented in H/W and S/W, and the method is dependent on the equipment manufacturer, so there is a limit to the application of the security technology (new encryption algorithm, etc.) desired by the operator. have.

도 2와 같은 암호화 네트워크 장비의 한계를 극복하기 위하여, ETSI GS014 표준 등에서는 도 3에 도시된 바와 같이 양자암호키 교환장비와 암호화 네트워크 장비와의 연동을 위한 외부 암호키 연동 인터페이스(대칭키 교환 인터페이스)를 규정하고 있으나, 이 방식은 암호화에 필요한 암호키가 별도의 양자채널을 통해 교환되는 경우 활용 가능한 인터페이스로 양자암호키 교환 장비 없이 적용이 불가능하다.In order to overcome the limitations of encryption network equipment as shown in Fig. 2, in the ETSI GS014 standard, etc., as shown in Fig. 3, an external encryption key interworking interface (symmetric key exchange interface) for interworking between the quantum encryption key exchange equipment and the encryption network equipment. ), but this method cannot be applied without quantum encryption key exchange equipment as an interface that can be used when the encryption key required for encryption is exchanged through a separate quantum channel.

전술한 바와 같은 종래 기술의 문제점은 다음과 같다.The problems of the prior art as described above are as follows.

1) 암호화 기능을 제공하는 종래의 암호화 네트워크 장비는 네트워크 장비가 제공하는 암호 알고리즘을 통해서만 암호화 기능 제공이 가능하며 이종 장비 간의 암/복호화 기능 제공이 어렵고, 이에 따라 장비 제조사 별 의존성이 발생하는 단점이 있다. 1) Conventional encryption network equipment that provides an encryption function can provide encryption function only through the encryption algorithm provided by the network equipment, and it is difficult to provide encryption/decryption functions between different types of equipment. have.

2) 네트워크의 물리계층인 L1 계층에 대한 암호화는 새로운 암호 알고리즘을 적용하기 위해서는 암호키 교환 등을 위해 정보를 교환하기 위한 별도의 채널이 필요한 단점이 있다. 예를 들어, 광전송장비가 사용하는 OTN 프로토콜의 프레임 헤더에 암호키 교환을 위한 별도의 채널 할당이 필요한 단점이 있다. 2) Encryption for the L1 layer, which is the physical layer of the network, has a disadvantage in that a separate channel is required to exchange information for encryption key exchange, etc. in order to apply a new encryption algorithm. For example, there is a disadvantage that a separate channel allocation for encryption key exchange is required in the frame header of the OTN protocol used by optical transmission equipment.

3) 암호키 교환 알고리즘에 따라 암호키의 크기가 서로 다르거나 키 교환에 필요한 정보 전달 방법이 상이해 네트워크 장비 별로 별도 H/W 개발/개선이 필요한 단점이 있다. 3) Depending on the encryption key exchange algorithm, the size of the encryption key is different or the information delivery method required for key exchange is different, so separate H/W development/improvement is required for each network device.

공개특허공보 제10-2018-0104296호(2018.09.20.)Laid-open Patent Publication No. 10-2018-0104296 (2018.09.20.)

본 발명은 전술한 종래의 문제점을 해결하기 위한 것으로, 그 목적은 대칭키 암호화 방식을 활용할 수 있는 네트워크 장비가 외부의 암호키 (생성) 장비와 연동하여 다양한 암호 알고리즘을 능동적으로 활용할 수 있도록 하는, 네트워크 암호화 서비스를 위한 장치 및 방법을 제공하는 것이다.The present invention is to solve the above-mentioned conventional problems, and its object is to enable network equipment that can utilize a symmetric key encryption method to actively utilize various encryption algorithms by interworking with external encryption key (generation) equipment, It is to provide an apparatus and method for a network encryption service.

전술한 목적을 달성하기 위하여 본 발명의 일 측면에 따른 네트워크 암호화 서비스를 위한 장치는, 대칭키를 기초로 데이터를 암호화 또는 복호화 하여 네트워크전송채널을 통해 송신 또는 수신하기 위한 암호화네트워크장비; 및 암호키 교환 알고리즘을 수행하여 생성된 대칭키를 대칭키교환인터페이스를 통해 상기 암호화네트워크장비로 제공하기 위한 외부암호키장비;를 포함하고, 송신측 외부암호키장비와 수신측 외부암호키장비는 각각 암호키 교환 알고리즘의 수행 시 서로 암호키 정보를 교환해서 상기 대칭키를 생성하되, 상기 암호키 정보는 외부암호키장비와 암호화네트워크장비 간에 정의된 정보교환인터페이스 및 상기 네트워크전송채널을 통해 교환될 수 있다.In order to achieve the above object, an apparatus for a network encryption service according to an aspect of the present invention includes: an encryption network equipment for transmitting or receiving data through a network transmission channel by encrypting or decrypting data based on a symmetric key; and an external encryption key device for providing a symmetric key generated by performing an encryption key exchange algorithm to the encryption network device through a symmetric key exchange interface; When each encryption key exchange algorithm is performed, the symmetric key is generated by exchanging encryption key information with each other, wherein the encryption key information is exchanged through the information exchange interface and the network transmission channel defined between the external encryption key device and the encryption network device. can

상기 암호화네트워크장비는 암호화 또는 복호화를 수행하기 위한 암호화기능처리부와, 네트워크 프로토콜에 따라 네트워크전송채널을 통해 정보의 송신 및 수신을 수행하기 위한 네트워크기능처리부를 포함할 수 있다. The encryption network device may include an encryption function processing unit for performing encryption or decryption, and a network function processing unit for performing transmission and reception of information through a network transport channel according to a network protocol.

상기 정보교환인터페이스는 외부암호키장비와 암호화네트워크장비의 암호화기능처리부 간에 연결되거나, 외부암호키장비와 암호화네트워크장비의 네트워크기능처리부 간에 연결될 수 있으며, 또한 상기 정보교환인터페이스는 논리적 인터페이스 및 물리적 인터페이스 중 적어도 하나를 포함할 수 있다.The information exchange interface may be connected between the external encryption key device and the encryption function processing unit of the encryption network device, or between the external encryption key device and the network function processing unit of the encryption network device, and the information exchange interface may include a logical interface and a physical interface. It may include at least one.

전술한 목적을 달성하기 위하여 본 발명의 다른 측면에 따른 네트워크 암호화 서비스를 위한 방법은, (a) 암호화네트워크장비에서, 대칭키를 기초로 데이터를 암호화 또는 복호화 하여 네트워크전송채널을 통해 송신 또는 수신하기 위한 단계; (b) 외부암호키장비에서, 암호키 교환 알고리즘을 수행하여 생성된 대칭키를 대칭키교환인터페이스를 통해 상기 암호화네트워크장비로 제공하기 위한 단계; 및 (c) 송신측 외부암호키장비와 수신측 외부암호키장비에서 각각 암호키 교환 알고리즘의 수행 시 서로 암호키 정보를 교환해서 상기 대칭키를 생성하되, 외부암호키장비와 암호화네트워크장비 간에 정의된 정보교환인터페이스 및 상기 네트워크전송채널을 통해 상기 암호키 정보를 교환하는 단계;를 포함할 수 있다.In order to achieve the above object, a method for a network encryption service according to another aspect of the present invention includes: (a) encrypting or decrypting data based on a symmetric key in an encryption network device to transmit or receive data through a network transmission channel step for; (b) providing, in an external encryption key device, a symmetric key generated by performing an encryption key exchange algorithm to the encryption network device through a symmetric key exchange interface; and (c) generating the symmetric key by exchanging encryption key information with each other when performing encryption key exchange algorithms in the external encryption key device on the sending side and the external encryption key device on the receiving side, respectively, but defined between the external encryption key device and the encryption network device It may include; exchanging the encryption key information through an information exchange interface and the network transport channel.

상기 단계 (a)는 상기 암호화네트워크장비의 암호화기능처리부에서 암호화 또는 복호화를 수행하기 위한 단계와, 상기 암호화네트워크장비의 네트워크기능처리부에서 네트워크 프로토콜에 따라 네트워크전송채널을 통해 정보의 송신 및 수신을 수행하기 위한 단계를 포함할 수 있다.In the step (a), the encryption function processing unit of the encryption network equipment performs encryption or decryption, and the network function processing unit of the encryption network equipment transmits and receives information through a network transmission channel according to a network protocol. It may include steps for

상기 정보교환인터페이스는 일 예로 외부암호키장비와 암호화네트워크장비의 암호화기능처리부 간에 연결되거나, 다른 예로 외부암호키장비와 암호화네트워크장비의 네트워크기능처리부 간에 연결될 수 있다.The information exchange interface may be, for example, connected between the external encryption key device and the encryption function processing unit of the encryption network device, or, as another example, may be connected between the external encryption key device and the network function processing unit of the encryption network device.

상기 정보교환인터페이스는 논리적 인터페이스 및 물리적 인터페이스 중 적어도 하나를 포함할 수 있다.The information exchange interface may include at least one of a logical interface and a physical interface.

전술한 목적을 달성하기 위하여 본 발명의 또 다른 측면에 따르면 상기 네트워크 암호화 서비스를 위한 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록 매체를 제공할 수 있다.In order to achieve the above object, according to another aspect of the present invention, it is possible to provide a computer-readable recording medium in which a program for executing the method for the network encryption service in a computer is recorded.

전술한 목적을 달성하기 위하여 본 발명의 또 다른 측면에 따르면 상기 네트워크 암호화 서비스를 위한 방법을 하드웨어와 결합하여 실행시키기 위하여 컴퓨터로 읽을 수 있는 기록 매체에 저장된 애플리케이션을 제공할 수 있다.In order to achieve the above object, according to another aspect of the present invention, it is possible to provide an application stored in a computer-readable recording medium in order to execute the method for the network encryption service in combination with hardware.

전술한 목적을 달성하기 위하여 본 발명의 또 다른 측면에 따르면 상기 네트워크 암호화 서비스를 위한 방법을 컴퓨터에서 실행시키기 위하여 컴퓨터에서 읽을 수 있는 기록 매체에 저장된 컴퓨터 프로그램을 제공할 수 있다.In order to achieve the above object, according to another aspect of the present invention, it is possible to provide a computer program stored in a computer-readable recording medium in order to execute the method for the network encryption service in a computer.

이상에서 설명한 바와 같이 본 발명의 다양한 측면에 따르면, 대칭키 암호화 방식을 활용할 수 있는 네트워크 장비가 외부의 암호키 (생성) 장비와 연동하여 다양한 암호 알고리즘을 능동적으로 활용할 수 있다. As described above, according to various aspects of the present invention, a network device capable of utilizing a symmetric key encryption method can actively utilize various encryption algorithms by interworking with an external encryption key (generation) device.

즉, 네트워크 장비와 외부의 암호키 (생성) 장비 간에 별도의 정보 교환 인터페이스를 정의하고 그 정보교환 인터페이스와 네트워크(에 기 구축된)의 일반 데이터 전송채널을 통해 송신측 외부 암호키 장비와 수신측 외부 암호키 정보 간에 대칭키를 공유하기 위한 암호키 정보를 교환할 수 있도록 함으로써 좀더 유연하고 다양한 암호화 기술을 활용할 수 있다. That is, a separate information exchange interface is defined between the network equipment and the external encryption key (generating) equipment, and the external encryption key equipment on the sending side and the receiving side through the information exchange interface and the general data transmission channel of the network (pre-established) By enabling the exchange of encryption key information for sharing a symmetric key between external encryption key information, more flexible and diverse encryption techniques can be utilized.

따라서, 이종 네트워크 장비 간의 암/복호화 기능을 제공할 수 있어 장비 제조사 별 의존성을 배제할 수 있으므로, 서로 다른 제조사를 가진 네트워크 장비 간에도 암호화 통신이 가능하며 기존에 양자채널을 경유하는 것이 아닌 일반 전송채널을 통해서 키 공유가 가능해진 장점이 있다.Therefore, it is possible to provide encryption/decryption functions between heterogeneous network devices, thereby excluding dependence on each device manufacturer, enabling encrypted communication between network devices with different manufacturers and a general transmission channel rather than via the existing quantum channel. It has the advantage of enabling key sharing through .

또한, 정보교환인터페이스 및 네트워크전송채널을 통해 암호키 정보를 교환하므로 새로운 암호 알고리즘의 적용 시 암호키 정보의 교환 등을 위하여 별도로 채널 할당을 하지 않아도 된다. In addition, since encryption key information is exchanged through an information exchange interface and a network transmission channel, there is no need to separately allocate a channel for the exchange of encryption key information when a new encryption algorithm is applied.

또한, 암호키 교환 알고리즘에 따라 암호키의 크기가 서로 다르거나 키 교환에 필요한 정보 전달 방법이 상이하더라도 네트워크 장비 별로 별도 H/W 개발/개선이 불필요하다.In addition, even if the size of the encryption key is different according to the encryption key exchange algorithm or the information delivery method required for key exchange is different, it is not necessary to develop/improve separate H/W for each network device.

도 1 내지 도 3은 종래 암호 통신 기술을 설명하기 위한 도면,
도 4는 본 발명의 일 실시예에 따른 네트워크 암호화 서비스를 위한 장치의 구성도,
도 5는 본 발명의 다른 실시예에 따른 네트워크 암호화 서비스를 위한 장치의 구성도,
도 6은 본 발명의 예시적인 일 실시예에 따른 네트워크 암호화 서비스를 위한 방법의 흐름도,
도 7은 본 발명의 예시적인 다른 실시예에 따른 네트워크 암호화 서비스를 위한 방법의 흐름도,
도 8은 본 발명의 예시적인 또 다른 실시예에 따른 네트워크 암호화 서비스를 위한 방법의 흐름도이다.1 to 3 are diagrams for explaining a conventional cryptographic communication technology;
4 is a block diagram of an apparatus for a network encryption service according to an embodiment of the present invention;
5 is a block diagram of an apparatus for a network encryption service according to another embodiment of the present invention;
6 is a flowchart of a method for a network encryption service according to an exemplary embodiment of the present invention;
7 is a flowchart of a method for a network encryption service according to another exemplary embodiment of the present invention;
8 is a flowchart of a method for a network encryption service according to another exemplary embodiment of the present invention.

이하, 첨부도면을 참조하여 본 발명의 실시예에 대해 구체적으로 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 한다. 또한, 본 발명의 실시예에 대한 설명 시 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다. Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings. In adding reference numerals to the components of each drawing, the same components are to have the same reference numerals as much as possible even though they are indicated in different drawings. In addition, when it is determined that a detailed description of a known configuration or function related to the embodiment of the present invention may obscure the gist of the present invention, the detailed description thereof will be omitted.

도 4는 본 발명의 일 실시예에 따른 네트워크 암호화 서비스를 위한 장치의 구성도이고, 도 5는 본 발명의 다른 실시예에 따른 네트워크 암호화 서비스를 위한 장치의 구성도이다.4 is a configuration diagram of an apparatus for a network encryption service according to an embodiment of the present invention, and FIG. 5 is a configuration diagram of an apparatus for a network encryption service according to another embodiment of the present invention.

본 발명의 실시예에 따른 네트워크 암호화 서비스를 위한 장치는, 도 4-5에 도시된 바와 같이, 암호화네트워크장비(10) 및 외부암호키장비(30)를 포함할 수 있다.An apparatus for a network encryption service according to an embodiment of the present invention may include an encryption network device 10 and an external encryption key device 30 as shown in FIGS. 4-5 .

암호화네트워크장비(10)는 외부암호키장비(30)로부터 제공받은 대칭키를 기초로 데이터를 암호화 또는 복호화 하여 네트워크전송채널(90)을 통해 송신 또는 수신하기 위한 장비를 나타내는 것으로, 예를 들어, 네트워크전송채널(90)을 통해 서로 연결된 암호화네트워크장비 A(10A) 및 암호화네트워크장비 B(10B)를 포함할 수 있다.The encryption network equipment 10 represents equipment for transmitting or receiving data through the network transmission channel 90 by encrypting or decrypting data based on the symmetric key provided from the external encryption key equipment 30, for example, It may include an encryption network device A (10A) and an encryption network device B (10B) connected to each other through the network transmission channel 90 .

암호화네트워크장비 A, B(10A,10B)는 각각 암호화기능처리부(11a,11b) 및 네트워크기능처리부(13a,13b)를 포함할 수 있다.The encryption network devices A and B (10A, 10B) may include encryption function processing units 11a and 11b and network function processing units 13a and 13b, respectively.

암호화기능처리부(11a,11b)는 암호화 또는 복호화를 수행하기 위한 것이고, 네트워크기능처리부(13a,13b)는 네트워크 프로토콜에 따라 네트워크전송채널(90)을 통해 정보의 송신 및 수신을 수행하기 위한 것이다.The encryption function processing units 11a and 11b are for performing encryption or decryption, and the network function processing units 13a and 13b are for transmitting and receiving information through the network transmission channel 90 according to a network protocol.

본 발명의 실시예에서 암호화네트워크장비 A(10A) 및 암호화네트워크장비 B(10B)는 각각 송신(또는 수신) 측 암호화네트워크장비 및 수신(또는 송신) 측 암호화네트워크장비로 동작할 수 있다. In an embodiment of the present invention, the encryption network device A (10A) and the encryption network device B (10B) may operate as a transmission (or reception) side encryption network device and a reception (or transmission) side encryption network device, respectively.

외부암호키장비(30)는 암호키 교환 알고리즘을 수행하여 생성된 대칭키를 대칭키교환인터페이스(70)를 통해 암호화네트워크장비(10)로 제공하기 위한 장비를 나타내는 것으로, 예를 들어, 송신(또는 수신) 측 외부암호키장비 A(30A) 및 수신(또는 송신) 측 외부암호키장비 B(30b)를 포함할 수 있다.The external encryption key equipment 30 represents equipment for providing a symmetric key generated by performing an encryption key exchange algorithm to the encryption network equipment 10 through the symmetric key exchange interface 70, for example, transmission ( Alternatively, it may include a receiving) side external encryption key device A (30A) and a receiving (or transmitting) side external encryption key device B (30b).

외부암호키장비(30)와 암호화네트워크장비(10)는 정보교환인터페이스(50) 및 대칭키교환인터페이스(70)를 통해 서로 연결되는데, 예를 들어, 외부암호키장비 A(30A)와 암호화네트워크장비 A(10A)는 정보교환인터페이스(50A) 및 대칭키교환인터페이스(70A)를 통해 서로 연결되고, 외부암호키장비 B(30B)와 암호화네트워크장비 B(10B)는 정보교환인터페이스(50B) 및 대칭키교환인터페이스(70B)를 통해 서로 연결될 수 있다. The external encryption key device 30 and the encryption network device 10 are connected to each other through the information exchange interface 50 and the symmetric key exchange interface 70, for example, the external encryption key device A 30A and the encryption network The device A (10A) is connected to each other through the information exchange interface (50A) and the symmetric key exchange interface (70A), and the external encryption key device B (30B) and the encryption network device B (10B) are connected to the information exchange interface (50B) and They may be connected to each other through the symmetric key exchange interface 70B.

송신측 외부암호키장비 A(30A)와 수신측 외부암호키장비 B(30B)는 각각 암호키 교환 알고리즘의 수행 시 서로 암호키 정보를 교환해서 대칭키를 생성하되, 암호키 정보는 외부암호키장비(30,30A,30B)와 암호화네트워크장비(10,10A,10B) 간에 정의된 정보교환인터페이스(50,50A,50B) 및 암호화네트워크장비(10,10A,10B) 간에 정의된 네트워크전송채널(90)을 통해 교환될 수 있다.The external encryption key device A (30A) on the sending side and the external encryption key device B (30B) on the receiving side each exchange encryption key information with each other when performing the encryption key exchange algorithm to generate a symmetric key, but the encryption key information is the external encryption key The information exchange interface (50, 50A, 50B) defined between the devices (30, 30A, 30B) and the encryption network devices (10, 10A, 10B) and the network transport channels defined between the encryption network devices (10, 10A, 10B) ( 90) can be exchanged.

본 발명의 실시예에서 정보교환인터페이스(50,50A,50B)는 논리적 인터페이스 및 물리적 인터페이스 중 적어도 하나를 포함할 수 있다.In an embodiment of the present invention, the information exchange interfaces 50, 50A, and 50B may include at least one of a logical interface and a physical interface.

키교환을 위한 암호키 교환 알고리즘은 외부암호키장비(30,30A,30B)에 따라 다양한 방식의 알고리즘을 활용할 수 있다. 이 때, 외부암호키장비(30,30A,30B)는 암호키 교환 알고리즘의 연산을 수행하는 장비를 의미하며, 이 알고리즘은 S/W 및 ASIC 방식 등으로 구현할 수 있다.The encryption key exchange algorithm for key exchange may utilize various algorithms according to the external encryption key equipment 30, 30A, 30B. At this time, the external encryption key equipment 30, 30A, 30B means equipment for performing the operation of the encryption key exchange algorithm, and this algorithm can be implemented in S/W and ASIC methods.

외부암호키장비(30,30A,30B)에 내재된 암호키 교환 알고리즘의 종류에 따라, 서로 떨어져 있는 두 암호키장비 A(30A)와 B(30B) 간에 교환이 필요한 암호키 정보가 있을 수 있다. 암호키정보란 공개키, 암호화된 대칭키, 알고리즘에 따라 필요한 파라미터, 암호키 교환을 위해 필요한 추가적인 정보들 등을 의미할 수 있다.Depending on the type of encryption key exchange algorithm inherent in the external encryption key equipment (30, 30A, 30B), there may be encryption key information that needs to be exchanged between two encryption key equipment A (30A) and B (30B) that are separated from each other. . The encryption key information may mean a public key, an encrypted symmetric key, parameters required according to an algorithm, additional information required for encryption key exchange, and the like.

이때, 교환이 필요한 암호키 정보를 위하여 본 실시예에서는 별도의 정보교환인터페이스(50,50A,50B)를 정의하였다. 정보교환인터페이스(50,50A,50B)는 논리적/물리적 인터페이스를 포함할 수 있으며, 암호화네트워크장비(10,10A,10B)는 정보교환인터페이스(50,50A,50B)를 통해 외부암호키장비(30,30A,30B)로부터 전달받은 암호키 정보를 네트워크기능처리부(13a,13b)를 통해 전송채널(90)로 전달하고, 상대측 암호화네트워크장비(10,10A,10B)는 이를 받아 정보교환인터페이스(50,50A,50B)를 통해 외부암호키장비(30,30A,30B)로 전달한다. At this time, for encryption key information that needs to be exchanged, separate information exchange interfaces 50, 50A, and 50B are defined in this embodiment. The information exchange interface (50, 50A, 50B) may include a logical/physical interface, and the encryption network equipment (10, 10A, 10B) is an external encryption key equipment (30) through the information exchange interface (50, 50A, 50B) , 30A, 30B) transmits the encryption key information received through the network function processing unit (13a, 13b) to the transmission channel 90, the other side encryption network equipment (10, 10A, 10B) receives the information exchange interface (50) , 50A, 50B) through the external encryption key device (30, 30A, 30B).

본 실시예에 따르면 외부암호키장비(30,30A,30B) 간 교환이 필요한 암호키 정보를 서로 떨어져 있는 두 암호화네트워크장비(10,10A,10B)간의 일반 데이터 전송 채널인 네트워크전송채널(90)을 통해 주고받을 수 있다.According to the present embodiment, the encryption key information required to be exchanged between the external encryption key devices 30, 30A, and 30B is transferred to the network transmission channel 90, which is a general data transmission channel between the two encryption network devices 10, 10A, and 10B that are separated from each other. can be exchanged through

암호키 정보는 공개키/비밀키 방식의 암호화에서 사용하는 공개키 뿐 아니라 특수한 암호키 교환 알고리즘에서 활용하는 공개 가능한 정보를 포함할 수 있다. 이 과정을 통해 두 외부암호키장비(30,30A,30B)는 암호화기능처리부(11a,11b)에서 활용할 암호키를 교환한다. The encryption key information may include not only the public key used in public key/private key encryption, but also publicly available information used in a special encryption key exchange algorithm. Through this process, the two external encryption key devices 30, 30A, and 30B exchange encryption keys to be used by the encryption function processing units 11a and 11b.

외부암호키장비(30,30A,30B)와 암호화네트워크장비(10,10A,10B)간의 정보교환인터페이스(50,50A,50B)는, 일 예로 도 4에 도시된 바와 같이 암호화기능처리부(11a,11b)와 연결될 수도 있고, 다른 예로 도 5에 도시된 바와 같이 네트워크기능처리부(13a,13b)와 연결될 수 있다.The information exchange interface 50, 50A, 50B between the external encryption key device 30, 30A, 30B and the encryption network device 10, 10A, 10B is, for example, an encryption function processing unit 11a, 11b) or, as another example, may be connected to the network function processing units 13a and 13b as shown in FIG. 5 .

전술한 본 발명의 실시예에 따르면, 대칭키 암호화 방식을 활용하기 위해 외부암호키장비(30,30A,30B)가 서로 같은 암호키를 교환하기 위해 특정한 암호키 교환 알고리즘을 연산하고 이를 정보교환인터페이스(50,50A,50B) 및 네트워크전송채널(90)을 통해 서로 떨어진 두 외부암호키장비(30,30A,30B)가 암호키 정보를 교환하여 공통된 대칭키를 가지게 된다. 두 외부암호키장비(30,30A,30B)는 교환된 대칭키 암호키를 대칭키교환인터페이스(70,70A,70B)를 통해 암호화네트워크장비(10,10A,10B)에 전달한다. 암호화네트워크장비(10,10A,10B)는 암호화기능처리부(11a,11b)에서 해당 대칭키를 통해 평문을 암호화하거나 암호문을 평문으로 복호화 한다. According to the above-described embodiment of the present invention, in order to utilize the symmetric key encryption method, the external encryption key equipment 30, 30A, 30B calculates a specific encryption key exchange algorithm to exchange the same encryption key with each other, and uses this information exchange interface (50, 50A, 50B) and the two external encryption key devices (30, 30A, 30B) separated from each other through the network transmission channel 90 exchange encryption key information to have a common symmetric key. The two external encryption key devices 30, 30A, and 30B transmit the exchanged symmetric key encryption key to the encryption network devices 10, 10A, and 10B through the symmetric key exchange interface 70, 70A, and 70B. The encryption network devices 10, 10A, and 10B encrypt the plaintext or decrypt the ciphertext into the plaintext through the corresponding symmetric key in the encryption function processing units 11a and 11b.

도 6은 본 발명의 예시적인 일 실시예에 따른 네트워크 암호화 서비스를 위한 방법의 흐름도로서, 도 4-5의 장치에 적용되므로 해당 장치의 동작과 병행하여 설명한다.6 is a flowchart of a method for a network encryption service according to an exemplary embodiment of the present invention. Since it is applied to the apparatus of FIGS. 4-5, it will be described in parallel with the operation of the apparatus.

먼저, 송수신 측의 두 외부암호키장비 A(30A)와 B(30B)는 키교환을 위한 암호키 교환 알고리즘의 연산을 수행한다(S601, S603).First, two external encryption key devices A (30A) and B (30B) of the transmitting and receiving side perform the operation of the encryption key exchange algorithm for key exchange (S601, S603).

외부암호키장비 A(30A)와 B(30B)는 단계 S601 및 S603에서 각각 암호키 교환 알고리즘의 수행 시 서로 암호키 정보를 교환하는데, 암호키 정보의 교환 시 외부암호키장비 A(30A)로부터 외부암호키장비 B(30B)로의 암호키 정보의 전송 경로는 외부암호키장비 A(30A)로부터 정보교환인터페이스(50A)를 통해 암호화네트워크장비 A(10A)로 암호키 정보가 전달되고(S605), 암호화네트워크장비 A(10A)로부터 네트워크전송채널(90)을 통해 암호화네트워크장비 B(10B)로 암호키 정보가 전달되며(S607), 암호화네트워크장비 B(10B)로부터 정보교환인터페이스(50B)를 통해 외부암호키장비 B(30B)로 암호키 정보가 전달된다(S609).External encryption key equipment A (30A) and B (30B) exchange encryption key information with each other when performing encryption key exchange algorithms in steps S601 and S603, respectively. The transmission path of the encryption key information to the external encryption key device B (30B) is the encryption key information is transmitted from the external encryption key device A (30A) to the encryption network device A (10A) through the information exchange interface (50A) (S605) , the encryption key information is transmitted from the encryption network device A (10A) to the encryption network device B (10B) through the network transmission channel 90 (S607), and the information exchange interface 50B from the encryption network device B (10B) The encryption key information is transmitted to the external encryption key device B (30B) through (S609).

또한, 외부암호키장비 B(30B)로부터 외부암호키장비 A(30A)로의 암호키 정보의 전송 경로는 외부암호키장비 B(30B)로부터 정보교환인터페이스(50B)를 통해 암호화네트워크장비 B(10B)로 암호키 정보가 전달되고(S611), 암호화네트워크장비 B(10B)로부터 네트워크전송채널(90)을 통해 암호화네트워크장비 A(10A)로 암호키 정보가 전달되며(S613), 암호화네트워크장비 A(10A)로부터 정보교환인터페이스(50A)를 통해 외부암호키장비 A(30A)로 암호키 정보가 전달된다(S615).In addition, the transmission path of encryption key information from the external encryption key device B (30B) to the external encryption key device A (30A) is from the external encryption key device B (30B) through the information exchange interface (50B) to the encryption network device B (10B) ), the encryption key information is transmitted (S611), and the encryption key information is transmitted from the encryption network device B (10B) to the encryption network device A (10A) through the network transmission channel 90 (S613), and the encryption network device A The encryption key information is transmitted from 10A to the external encryption key device A 30A through the information exchange interface 50A (S615).

전술한 단계 S605 및 S615에서 정보교환인터페이스(50A)는, 일 예로 도 4에 도시된 바와 같이 암호화네트워크장비(10A)의 암호화기능처리부(11a)와 외부암호키장비(30A) 간에 연결되거나, 다른 예로 도 5에 도시된 바와 같이 암호화네트워크장비(10A)의 네트워크기능처리부(13a)와 외부암호키장비(30A) 간에 연결될 수 있다.In the aforementioned steps S605 and S615, the information exchange interface 50A is, for example, connected between the encryption function processing unit 11a of the encryption network device 10A and the external encryption key device 30A as shown in FIG. For example, as shown in FIG. 5 , it may be connected between the network function processing unit 13a of the encryption network device 10A and the external encryption key device 30A.

전술한 단계 S609 및 S611에서 정보교환인터페이스(50B)는, 일 예로 도 4에 도시된 바와 같이 암호화네트워크장비(10B)의 암호화기능처리부(11b)와 외부암호키장비(30B) 간에 연결되거나, 다른 예로 도 5에 도시된 바와 같이 암호화네트워크장비(10B)의 네트워크기능처리부(13b)와 외부암호키장비(30B) 간에 연결될 수 있다.In the above-described steps S609 and S611, the information exchange interface 50B is, for example, connected between the encryption function processing unit 11b of the encryption network device 10B and the external encryption key device 30B as shown in FIG. For example, as shown in FIG. 5 , it may be connected between the network function processing unit 13b of the encryption network device 10B and the external encryption key device 30B.

전술한 단계 S601-S615의 수행으로 송수신 측의 두 외부암호키장비 A(30A)와 B(30B)는 각각 서로 대응하는 대칭키를 생성하고(S617, S619), 송신 측의 외부암호키장비 A(30A)는 대칭키교환인터페이스(70A)를 통해 송신 측 암호화네트워크장비 A(10A)로 생성된 대칭키를 제공하며(S621), 수신 측의 외부암호키장비 B(30B)는 대칭키교환인터페이스(70B)를 통해 수신 측 암호화네트워크장비 B(10B)로 생성된 대칭키를 제공한다(S623).By performing the above steps S601-S615, the two external encryption key devices A (30A) and B (30B) on the transmitting and receiving side generate symmetric keys corresponding to each other (S617, S619), and the external encryption key device A on the transmitting side (30A) provides the symmetric key generated by the encryption network device A (10A) on the sending side through the symmetric key exchange interface (70A) (S621), and the external encryption key device B (30B) on the receiving side provides a symmetric key exchange interface The generated symmetric key is provided to the receiving-side encryption network device B (10B) through (70B) (S623).

암호화네트워크장비 A(10A)는 단계 S621에서 외부암호키장비 A(30A)로부터 받은 대칭키를 기초로 데이터의 암호화를 수행하고(S625), 해당 암호화 데이터를 네트워크전송채널(90)을 통해 암호화네트워크장비 B(10B)로 전송하며(S627), 암호화네트워크장비 B(10B)는 단계 S627에서 수신된 암호화 데이터를 단계 S623에서 외부암호키장비 B(30B)로부터 받은 대칭키를 기초로 복호화 한다(S629).The encryption network device A (10A) performs data encryption based on the symmetric key received from the external encryption key device A (30A) in step S621 (S625), and transmits the encrypted data through the network transmission channel 90 to the encryption network It is transmitted to the device B (10B) (S627), and the encryption network device B (10B) decrypts the encrypted data received in step S627 based on the symmetric key received from the external encryption key device B (30B) in step S623 (S629). ).

도 7은 본 발명의 예시적인 다른 실시예에 따른 네트워크 암호화 서비스를 위한 방법의 흐름도로서, 도 4-5의 장치에 적용되므로 해당 장치의 동작과 병행하여 설명한다.7 is a flowchart of a method for a network encryption service according to another exemplary embodiment of the present invention, which is applied to the apparatus of FIGS. 4-5 and will be described in parallel with the operation of the apparatus.

도 7의 실시예는 외부암호키장비 A(30A)와 외부암호키장비 B(30B) 간에 공유된 대칭키가 존재하는 경우를 일 예로 설명한다.The embodiment of FIG. 7 describes a case where a shared symmetric key exists between the external encryption key device A (30A) and the external encryption key device B (30B) as an example.

암호화네트워크장비 A(10A)는 암호화네트워크장비 B(10B)와 암호통신을 하기 위해 외부암호키장비 A(30A)에 암호화네트워크장비 B(10B)와의 통신을 위한 암호키를 요청한다(S701). The encryption network device A (10A) requests an encryption key for communication with the encryption network device B (10B) from the external encryption key device A (30A) in order to perform encryption communication with the encryption network device B (10B) (S701).

외부암호키장비 A(30A)는 외부암호키장비 B(30B)와 공유한 대칭키를 암호화네트워크장비 A(10A)에 내려주고(S703), 암호화네트워크장비 A(10A)는 단계 S703에서 외부암호키장비 A(30A)로부터 받은 대칭(암호화)키를 통해 평문을 암호화하여(S705)여 암호화된 데이터를 암호화네트워크장비 B(10B)에 전달한다(S707). The external encryption key device A (30A) sends the symmetric key shared with the external encryption key device B (30B) to the encryption network device A (10A) (S703), and the encryption network device A (10A) sends the external encryption key in step S703 The plaintext is encrypted using the symmetric (encryption) key received from the key device A (30A) (S705), and the encrypted data is transmitted to the encryption network device B (10B) (S707).

암호화네트워크장비 B(10B)는 외부암호키장비 B(30B)에 대칭(복호화)키를 요청하고(S709), 외부암호키장비 B(30B)는 외부암호키장비 A(30A)와 공유한 대칭키를 암호화네트워크장비 B(10B)에 내려주고(S711), 암호화네트워크장비 B(10B)는 단계 S711에서 외부암호키장비 B(30B)로부터 받은 대칭(복호화)키를 이용하여 단계 S707에서 암호화네트워크장비 A(10A)로부터 수신된 암호화 데이터(암호문)를 복호화 한다(S713).The encryption network device B (10B) requests a symmetric (decryption) key from the external encryption key device B (30B) (S709), and the external encryption key device B (30B) shares the symmetric with the external encryption key device A (30A). The key is given down to the encryption network device B (10B) (S711), and the encryption network device B (10B) uses the symmetric (decryption) key received from the external encryption key device B (30B) in step S711 to the encryption network in step S707. The encrypted data (cipher text) received from the device A (10A) is decrypted (S713).

도 8은 본 발명의 예시적인 또 다른 실시예에 따른 네트워크 암호화 서비스를 위한 방법의 흐름도로서, 도 4-5의 장치에 적용되므로 해당 장치의 동작과 병행하여 설명한다.8 is a flowchart of a method for a network encryption service according to another exemplary embodiment of the present invention. Since it is applied to the apparatus of FIGS. 4-5, it will be described in parallel with the operation of the apparatus.

도 8의 실시예는 외부암호키장비 A(30A)와 외부암호키장비 B(30B) 간에 공유된 대칭키가 존재하지 않는 경우를 일 예로 설명한다.The embodiment of FIG. 8 describes a case in which a symmetric key shared between the external encryption key device A (30A) and the external encryption key device B (30B) does not exist as an example.

암호화네트워크장비 A(10A)가 암호화네트워크장비 B(10B)와 암호통신을 위한 암호키를 외부암호키장비 A(30A)에 요청했을 때, 사전 공유된 암호키가 없다면 외부암호키장비 A(30A)는 먼저 외부암호키장비 B(30B)와의 대칭키 교환과정을 수행한다. 본 실시예에서 대칭키 교환은, 예를 들어, 외부암호키장비 A(30A)와 외부암호키장비 B(30B) 사이의 암호키 교환 알고리즘으로서의 공개키 암호화 알고리즘을 통해 대칭키를 암호화해서 공유하는 Key Encapsulation 방식을 활용한다. 일 예로 RLizard라는 양자내성 공개키 암호화 알고리즘을 활용하여 외부암호키장비 A(30A)와 외부암호키장비 B(30B)에서 AES-256 방식의 암호화를 수행하기 위한 대칭키를 서로 교환한다. 이때 Key Encapsulation을 통한 대칭키 교환과정은 다음과 같다.When encryption network device A (10A) requests an encryption key for encryption communication with encryption network device B (10B) from external encryption key device A (30A), if there is no pre-shared encryption key, external encryption key device A (30A) ) first performs a symmetric key exchange process with the external encryption key device B (30B). In this embodiment, the symmetric key exchange is, for example, encrypting and sharing a symmetric key through a public key encryption algorithm as an encryption key exchange algorithm between the external encryption key device A (30A) and the external encryption key device B (30B). Key encapsulation method is used. For example, using a quantum-resistant public key encryption algorithm called RLizard, external encryption key device A (30A) and external encryption key device B (30B) exchange symmetric keys for performing AES-256 encryption with each other. In this case, the symmetric key exchange process through Key Encapsulation is as follows.

먼저, 암호화네트워크장비 A(10A)는 암호화네트워크장비 B(10B)와 암호통신을 하기 위해 외부암호키장비 A(30A)에 암호화네트워크장비 B(10B)와의 통신을 위한 암호키를 요청한다(S801).First, the encryption network device A (10A) requests an encryption key for communication with the encryption network device B (10B) from the external encryption key device A (30A) in order to perform encryption communication with the encryption network device B (10B) (S801). ).

외부암호키장비 A(30A)는 외부암호키장비 B(30B)와 대칭키를 암호화하여 공유하기 위해, 암호키 교환 알고리즘을 수행하고(S803), 외부암호키장비 B(30B)의 공개(암호화)키를 암호화네트워크장비 A(10A)와 암호화네트워크장비 B(10B)를 통해 외부암호키장비 B(30B)에 요청한다(S805~S809).The external encryption key device A (30A) performs an encryption key exchange algorithm to encrypt and share the symmetric key with the external encryption key device B (30B) (S803), and discloses (encryption) the external encryption key device B (30B). ) A key is requested from the external encryption key device B (30B) through the encryption network device A (10A) and the encryption network device B (10B) (S805 to S809).

외부암호키장비 B(30B)는 암호키 교한 알고리즘으로서의 양자내성 알고리즘인 RLizard을 수행하여(S811) 생성된 공개(암호화)키를 암호화네트워크장비 B(10B)와 암호화네트워크장비 A(10A)를 통해 외부암호키장비 A(30A)에 전달하고, 이때 외부암호키장비 B(30B)는 공개(복호화)키를 보유한다(S813~S817).External encryption key device B (30B) performs RLizard, a quantum-resistant algorithm as an encryption key exchange algorithm (S811), and transmits the public (encryption) key generated through encryption network device B (10B) and encryption network device A (10A). It is transmitted to the external encryption key device A (30A), at this time the external encryption key device B (30B) holds the public (decryption) key (S813 ~ S817).

외부암호키장비 A(30A)는 암호화네트워크장비 A(10A)와 암호화네트워크장비 B(10B) 간의 암호화에 필요한 대칭키를 자체적으로 생성하고(S819), 전달받은 외부암호키장비 B(30B)의 공개(암호화)키를 이용하여 대칭키를 암호화한다(S821).External encryption key device A (30A) generates a symmetric key necessary for encryption between encryption network device A (10A) and encryption network device B (10B) by itself (S819), and The symmetric key is encrypted using the public (encryption) key (S821).

외부암호키장비 A(30A)는 암호화네트워크장비 A(10A)에 암호화된 대칭키를 전달하고(S823), 암호화네트워크장비 A(10A)는 암호화된 대칭키를 암호화네트워크장비 B(10B)를 통해 외부암호키장비 B(30B)에 전달한다(S825~S827).External encryption key device A (30A) transmits the encrypted symmetric key to encryption network device A (10A) (S823), and encryption network device A (10A) transmits the encrypted symmetric key to encryption network device B (10B). It is transmitted to the external encryption key device B (30B) (S825 ~ S827).

외부암호키장비 B(30B)는 자신이 보유한 공개(복호화)키를 이용하여 암호화된 대칭키를 복호화 한다(S829).The external encryption key device B (30B) decrypts the encrypted symmetric key using the public (decryption) key it owns (S829).

전술한 과정을 통해 외부암호키장비 A(30A)와 암호화네트워크장비 A(10A)는 대칭키를 공유하게 되고, 이후 암호화네트워크장비 A(10A)와 암호화네트워크장비 B(10B)는 데이터 암호화에 필요한 암호키(대칭키)를 각각 외부암호키장비 A(30A)와 암호화네트워크장비 A(10A)에 요청하여 암호화 통신을 수행하는데, 이러한 암호화네트워크장비 A(10A)와 암호화네트워크장비 B(10B) 간의 암호화 통신 과정은 도 7의 과정과 동일하므로 자세한 설명은 생략한다.Through the above process, the external encryption key device A (30A) and the encryption network device A (10A) share a symmetric key, and thereafter, the encryption network device A (10A) and the encryption network device B (10B) are required for data encryption. Encryption is performed by requesting an encryption key (symmetric key) from the external encryption key device A (30A) and the encryption network device A (10A), respectively. Since the encryption communication process is the same as that of FIG. 7 , a detailed description thereof will be omitted.

전술한 과정에서 단계 S805, 단계 S817, 및 단계 S823의 과정은 외부암호키장비 A(30A)와 암호화네트워크장비 A(10A) 간에 정의된 정보교환인터페이스(50A)를 통해 수행되고, 단계 S809, 단계 S813, 및 단계 S827의 과정은 외부암호키장비 B(30B)와 암호화네트워크장비 B(10B) 간에 정의된 정보교환인터페이스(50B)를 통해 수행되며, 단계 S807, 단계 S815, 및 S825의 과정은 암호화네트워크장비 A(10A)와 암호화네트워크장비 B(10B) 간의 네트워크전송채널(90)을 통해 수행된다.In the above process, the processes of steps S805, S817, and S823 are performed through the information exchange interface 50A defined between the external encryption key device A 30A and the encryption network device A 10A, and the steps S809, step S823 The processes of S813 and S827 are performed through the information exchange interface 50B defined between the external encryption key device B 30B and the encryption network device B 10B, and the processes of steps S807, S815, and S825 are encrypted It is performed through the network transmission channel 90 between the network device A (10A) and the encryption network device B (10B).

도 8의 전술한 과정에서 전달되는 암호화된 대칭키, 상대방의 공개키, 알고리즘에 따라 필요한 파라미터 등이 도 6의 실시예의 암호키 정보를 나타낸다. The encrypted symmetric key transmitted in the above-described process of FIG. 8, the public key of the counterpart, and parameters required according to the algorithm indicate the encryption key information of the embodiment of FIG.

한편, 전술한 본 발명의 다양한 실시예에 따른 네트워크 암호화 서비스를 위한 방법에 따르면 해당 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록 매체를 구현할 수 있다.Meanwhile, according to the method for a network encryption service according to various embodiments of the present invention described above, a computer-readable recording medium in which a program for executing the method in a computer is recorded can be implemented.

다른 한편, 전술한 본 발명의 다양한 실시예에 따른 네트워크 암호화 서비스를 위한 방법에 따르면 해당 방법을 하드웨어와 결합하여 실행시키기 위하여 컴퓨터에서 읽을 수 있는 기록 매체에 저장된 애플리케이션을 구현할 수 있다.On the other hand, according to the method for a network encryption service according to various embodiments of the present invention described above, an application stored in a computer-readable recording medium can be implemented in order to execute the method in combination with hardware.

또 다른 한편, 전술한 본 발명의 다양한 실시예에 따른 네트워크 암호화 서비스를 위한 방법에 따르면 해당 방법을 컴퓨터에서 실행시키기 위하여 컴퓨터에서 읽을 수 있는 기록 매체에 저장된 컴퓨터 프로그램을 구현할 수 있다.On the other hand, according to the method for a network encryption service according to various embodiments of the present invention described above, a computer program stored in a computer-readable recording medium can be implemented in order to execute the method in a computer.

예를 들어, 전술한 바와 같이 본 발명의 다양한 실시예에 따른 네트워크 암호화 서비스를 위한 방법은 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터 판독가능 기록 매체 또는 이러한 기록 매체에 저장된 애플리케이션으로 구현될 수 있다. 상기 컴퓨터 판독 가능 기록 매체는 프로그램 명령, 로컬 데이터 파일, 로컬 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 기록 매체는 본 발명의 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크와 같은 자기-광 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다.For example, as described above, the method for a network encryption service according to various embodiments of the present invention is a computer-readable recording medium including program instructions for performing various computer-implemented operations or an application stored in the recording medium. can be implemented as The computer-readable recording medium may include program instructions, local data files, local data structures, and the like alone or in combination. The recording medium may be specially designed and configured for the embodiment of the present invention, or may be known and used by a person skilled in the art of computer software. Examples of the computer-readable recording medium include hard disks, magnetic media such as floppy disks and magnetic tapes, optical recording media such as CD-ROMs and DVDs, magneto-optical media such as floppy disks, and ROMs, RAMs, flash memories, and the like. Hardware devices specially configured to store and execute the same program instructions are included. Examples of program instructions may include high-level language codes that can be executed by a computer using an interpreter or the like as well as machine language codes such as those generated by a compiler.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely illustrative of the technical spirit of the present invention, and various modifications and variations will be possible without departing from the essential characteristics of the present invention by those skilled in the art to which the present invention pertains. Therefore, the embodiments disclosed in the present invention are not intended to limit the technical spirit of the present invention, but to explain, and the scope of the technical spirit of the present invention is not limited by these embodiments. The protection scope of the present invention should be construed by the following claims, and all technical ideas within the equivalent range should be construed as being included in the scope of the present invention.

10,10A,10B: 암호화네트워크장비
11a,11b: 암호화기능처리부
13a,13b: 네트워크기능처리부
30,30A,30B: 외부암호키장비
50,50A,50B: 정보교환인터페이스
70,70A,70B: 대칭키교환인터페이스
90: 네트워크전송채널10, 10A, 10B: Encryption network equipment
11a, 11b: encryption function processing unit
13a, 13b: network function processing unit
30, 30A, 30B: External encryption key equipment
50, 50A, 50B: Information exchange interface
70, 70A, 70B: Symmetric key exchange interface
90: network transmission channel

Claims (13)

대칭키를 기초로 데이터를 암호화 또는 복호화 하여 네트워크전송채널을 통해 송신 또는 수신하기 위한 암호화네트워크장비; 및
암호키 교환 알고리즘을 수행하여 생성된 대칭키를 대칭키교환인터페이스를 통해 상기 암호화네트워크장비로 제공하기 위한 외부암호키장비;를 포함하고,
송신측 외부암호키장비와 수신측 외부암호키장비는 각각 암호키 교환 알고리즘의 수행 시 서로 암호키 정보를 교환해서 상기 대칭키를 생성하되, 상기 암호키 정보는 외부암호키장비와 암호화네트워크장비 간에 정의된 정보교환인터페이스 및 상기 네트워크전송채널을 통해 교환되고,
외부암호키장비와 암호화네트워크장비 간에는 대칭키 송수신을 위해 형성된 대칭키교환인터페이스와는 별도로 대칭키 생성에 필요한 암호키 정보를 송수신하기 위한 정보교환인터페이스가 추가로 형성된 것을 특징으로 하는 네트워크 암호화 서비스를 위한 장치.an encryption network device for transmitting or receiving data through a network transmission channel by encrypting or decrypting data based on a symmetric key; and
An external encryption key device for providing a symmetric key generated by performing an encryption key exchange algorithm to the encryption network device through a symmetric key exchange interface;
The external encryption key device on the sending side and the external encryption key device on the receiving side exchange encryption key information with each other when performing an encryption key exchange algorithm to generate the symmetric key, and the encryption key information is transmitted between the external encryption key device and the encryption network device. It is exchanged through a defined information exchange interface and the network transport channel,
For network encryption service, characterized in that between the external encryption key device and the encryption network device, an information exchange interface for transmitting and receiving encryption key information necessary for generating a symmetric key is additionally formed separately from the symmetric key exchange interface formed for transmitting and receiving a symmetric key. Device. 제1항에 있어서,
상기 암호화네트워크장비는 암호화 또는 복호화를 수행하기 위한 암호화기능처리부와, 네트워크 프로토콜에 따라 네트워크전송채널을 통해 정보의 송신 및 수신을 수행하기 위한 네트워크기능처리부를 포함하는 것을 특징으로 하는 네트워크 암호화 서비스를 위한 장치.According to claim 1,
The encryption network device includes an encryption function processing unit for performing encryption or decryption, and a network function processing unit for transmitting and receiving information through a network transport channel according to a network protocol. Device. 제2항에 있어서,
상기 정보교환인터페이스는 외부암호키장비와 암호화네트워크장비의 암호화기능처리부 간에 연결된 것을 특징으로 하는 네트워크 암호화 서비스를 위한 장치.3. The method of claim 2,
and the information exchange interface is connected between an external encryption key device and an encryption function processing unit of the encryption network device. 제2항에 있어서,
상기 정보교환인터페이스는 외부암호키장비와 암호화네트워크장비의 네트워크기능처리부 간에 연결된 것을 특징으로 하는 네트워크 암호화 서비스를 위한 장치.3. The method of claim 2,
and the information exchange interface is connected between an external encryption key device and a network function processing unit of the encryption network device. 제1항에 있어서,
상기 정보교환인터페이스는 논리적 인터페이스 및 물리적 인터페이스 중 적어도 하나를 포함하는 것을 특징으로 하는 네트워크 암호화 서비스를 위한 장치.According to claim 1,
The information exchange interface comprises at least one of a logical interface and a physical interface. (a) 송신측 외부암호키장비와 수신측 외부암호키장비에서 각각 암호키 교환 알고리즘의 수행 시 서로 암호키 정보를 교환해서 대칭키를 생성하되, 외부암호키장비와 암호화네트워크장비 간에 정의된 정보교환인터페이스 및 암호화네트워크장비 간에 정의된 네트워크전송채널을 통해 상기 암호키 정보를 교환하는 단계;
(b) 외부암호키장비에서, 상기 생성된 대칭키를 대칭키교환인터페이스를 통해 암호화네트워크장비로 제공하기 위한 단계; 및
(c) 암호화네트워크장비에서, 상기 제공받은 대칭키를 기초로 데이터를 암호화 또는 복호화 하여 네트워크전송채널을 통해 송신 또는 수신하기 위한 단계;를 포함하고,
외부암호키장비와 암호화네트워크장비 간에는 대칭키 송수신을 위해 형성된 대칭키교환인터페이스와는 별도로 대칭키 생성에 필요한 암호키 정보를 송수신하기 위한 정보교환인터페이스가 추가로 형성된 것을 특징으로 하는 네트워크 암호화 서비스를 위한 방법. (a) When performing encryption key exchange algorithms in the external encryption key device on the sending side and the external encryption key device on the receiving side, respectively, exchange encryption key information to generate a symmetric key, but information defined between the external encryption key device and the encryption network device exchanging the encryption key information through a network transport channel defined between an exchange interface and an encryption network device;
(b) in the external encryption key device, providing the generated symmetric key to the encryption network device through a symmetric key exchange interface; and
(c) in the encryption network equipment, encrypting or decrypting data based on the provided symmetric key to transmit or receive data through a network transmission channel;
For network encryption service, characterized in that between the external encryption key device and the encryption network device, an information exchange interface for transmitting and receiving encryption key information necessary for generating a symmetric key is additionally formed separately from the symmetric key exchange interface formed for transmitting and receiving a symmetric key. Way. 제6항에 있어서,
상기 단계 (c)는 상기 암호화네트워크장비의 암호화기능처리부에서 암호화 또는 복호화를 수행하기 위한 단계와, 상기 암호화네트워크장비의 네트워크기능처리부에서 네트워크 프로토콜에 따라 네트워크전송채널을 통해 정보의 송신 및 수신을 수행하기 위한 단계를 포함하는 것을 특징으로 하는 네트워크 암호화 서비스를 위한 방법.7. The method of claim 6,
In the step (c), the encryption function processing unit of the encryption network equipment performs encryption or decryption, and the network function processing unit of the encryption network equipment transmits and receives information through a network transmission channel according to a network protocol. A method for a network encryption service, comprising the steps of: 제7항에 있어서,
상기 정보교환인터페이스는 외부암호키장비와 암호화네트워크장비의 암호화기능처리부 간에 연결된 것을 특징으로 하는 네트워크 암호화 서비스를 위한 방법.8. The method of claim 7,
wherein the information exchange interface is connected between an external encryption key device and an encryption function processing unit of the encryption network device. 제7항에 있어서,
상기 정보교환인터페이스는 외부암호키장비와 암호화네트워크장비의 네트워크기능처리부 간에 연결된 것을 특징으로 하는 네트워크 암호화 서비스를 위한 방법.8. The method of claim 7,
The method for network encryption service, characterized in that the information exchange interface is connected between the external encryption key device and the network function processing unit of the encryption network device. 제6항에 있어서,
상기 정보교환인터페이스는 논리적 인터페이스 및 물리적 인터페이스 중 적어도 하나를 포함하는 것을 특징으로 하는 네트워크 암호화 서비스를 위한 방법.7. The method of claim 6,
wherein the information exchange interface comprises at least one of a logical interface and a physical interface. 제6항 내지 제10항 중 어느 한 항의 상기 네트워크 암호화 서비스를 위한 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록 매체.A computer-readable recording medium in which a program for executing the method for the network encryption service of any one of claims 6 to 10 in a computer is recorded. 제6항 내지 제10항 중 어느 한 항의 상기 네트워크 암호화 서비스를 위한 방법을 하드웨어와 결합하여 실행시키기 위하여 컴퓨터로 읽을 수 있는 기록 매체에 저장된 애플리케이션.An application stored in a computer-readable recording medium in order to execute the method for the network encryption service of any one of claims 6 to 10 in combination with hardware. 제6항 내지 제10항 중 어느 한 항의 상기 네트워크 암호화 서비스를 위한 방법을 컴퓨터에서 실행시키기 위하여 컴퓨터에서 읽을 수 있는 기록 매체에 저장된 컴퓨터 프로그램.A computer program stored in a computer-readable recording medium in order to execute the method for the network encryption service of any one of claims 6 to 10 in a computer.
KR1020200084861A 2020-07-09 2020-07-09 Apparatus and method for network encryption service KR102432183B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200084861A KR102432183B1 (en) 2020-07-09 2020-07-09 Apparatus and method for network encryption service

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200084861A KR102432183B1 (en) 2020-07-09 2020-07-09 Apparatus and method for network encryption service

Publications (2)

Publication Number Publication Date
KR20220006885A KR20220006885A (en) 2022-01-18
KR102432183B1 true KR102432183B1 (en) 2022-08-16

Family

ID=80052071

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200084861A KR102432183B1 (en) 2020-07-09 2020-07-09 Apparatus and method for network encryption service

Country Status (1)

Country Link
KR (1) KR102432183B1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070140449A1 (en) 2004-09-13 2007-06-21 Andrew Whitfield "Always-on" telemetry system and method

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120051344A (en) * 2010-11-12 2012-05-22 한국전자통신연구원 Portable integrated security memory device and service processing apparatus and method using the same
KR101357074B1 (en) * 2011-12-12 2014-02-05 고려대학교 산학협력단 Secure key establishment method using a key agreement mechanism based on PKI
KR20170035665A (en) * 2015-09-23 2017-03-31 삼성에스디에스 주식회사 Apparatus and method for exchanging encryption key
EP3185463B1 (en) 2015-12-21 2019-08-14 ID Quantique S.A. Apparatus and method for quantum key distribution with enhanced security and reduced trust requirements

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070140449A1 (en) 2004-09-13 2007-06-21 Andrew Whitfield "Always-on" telemetry system and method

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Anwar, Tausif, Abhishek Kumar, and Sanchita Paul. "DNA cryptography based on symmetric key exchange." International Journal of Engineering and Technology 7.3 (2015)
조창봉, 이상국, and 도경철. "일반망과 보안망을 연계한 네트워크 보안체계 설계." 한국군사과학기술학회지 12.5 (2009)

Also Published As

Publication number Publication date
KR20220006885A (en) 2022-01-18

Similar Documents

Publication Publication Date Title
JP5361920B2 (en) File server system
US9197410B2 (en) Key management system
US20170085543A1 (en) Apparatus and method for exchanging encryption key
WO2016136024A1 (en) Key replacement direction control system, and key replacement direction control method
JP3570327B2 (en) Proxy encryption communication system and method, and recording medium recording program
JP2000347566A (en) Contents administration device, contents user terminal, and computer-readable recording medium recording program thereon
US11314877B2 (en) Public key encrypted network printing
KR102432183B1 (en) Apparatus and method for network encryption service
KR101790948B1 (en) Apparatus and method for providing drm service, apparatus and method for playing contents using drm service
WO2002067100A1 (en) Encryption and decryption system for multiple node network
US20080045180A1 (en) Data transmitting method and apparatus applying wireless protected access to a wireless distribution system
WO2022143727A1 (en) Quantum-safe sim card-based communication system and method, quantum-safe sim card, and key service platform
JP5745493B2 (en) Key sharing system, key sharing method, program
KR101659912B1 (en) Apparatus and method for quantum message authentication
JP2005167635A (en) Apparatus, and data transmission reception method
CN105791301A (en) Key distribution management method with information and key separated for multiple user groups
JPH08139718A (en) Cipher device and inter-terminal communication method using the cipher device
US11956359B2 (en) Privacy preserving identity data exchange based on hybrid encryption
US20240137213A1 (en) Method for Arranging a Shared Cryptographic Key and Method for Encrypted Communication, Computer Program Product and Device
JP2018107625A (en) Data distribution system, data generation device, mediation device, data distribution method, and program
JP2018142922A (en) Data distribution system and data distribution method
US20240154944A1 (en) Encrypted data communication and gateway device for encrypted data communication
WO2023199436A1 (en) Encrypted text conversion system, encrypted text conversion method, and encrypted text conversion program
WO2023042618A1 (en) Wireless communication terminal device, authentication and key sharing method, program, and authentication and key sharing system
Parsovs Security of the proposed Mobile-ID document decryption feature

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant