KR102592873B1 - 양자 키 분배 노드 장치 및 그 장치에서의 양자키 분배 방법 - Google Patents

양자 키 분배 노드 장치 및 그 장치에서의 양자키 분배 방법 Download PDF

Info

Publication number
KR102592873B1
KR102592873B1 KR1020200082051A KR20200082051A KR102592873B1 KR 102592873 B1 KR102592873 B1 KR 102592873B1 KR 1020200082051 A KR1020200082051 A KR 1020200082051A KR 20200082051 A KR20200082051 A KR 20200082051A KR 102592873 B1 KR102592873 B1 KR 102592873B1
Authority
KR
South Korea
Prior art keywords
quantum key
key
quantum
master
distribution node
Prior art date
Application number
KR1020200082051A
Other languages
English (en)
Other versions
KR20220004877A (ko
Inventor
고행석
지세완
정연창
권오성
김석
김은지
홍창호
장진각
권대성
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020200082051A priority Critical patent/KR102592873B1/ko
Priority to US17/069,073 priority patent/US11316677B2/en
Publication of KR20220004877A publication Critical patent/KR20220004877A/ko
Application granted granted Critical
Publication of KR102592873B1 publication Critical patent/KR102592873B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • H04L9/0855Quantum cryptography involving additional nodes, e.g. quantum relays, repeaters, intermediate nodes or remote nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Optical Communication System (AREA)

Abstract

양자키 분배 노드 장치 및 그 장치에서의 양자키 분배 방법이 개시된다. 본 발명의 실시 예에 따른 양자키 분배 노드 장치는, 양자키 및 양자키 ID를 생성하는 양자키 분배부, 양자키 분배부에 의해 생성된 양자키 및 양자키 ID를 송신 양자키 및 수신 양자키로 분배 저장함과 아울러 양자키 분배 노드 장치와 송신 양자키 및 수신 양자키를 공유하는 양자키 동기 관리부 및 연결된 암호장치로부터 다른 암호장치의 ID와 함께 마스터 키가 요청됨에 따라, 난수로 생성된 마스터 키 및 마스터 키 ID를 암호 장치에 전달함과 아울러 다른 암호장치와 연결된 다른 양자키 분배 노드 장치와 공유하는 송신 양자키로 암호화한 마스터 키, 마스터 키 ID 및 양자키 ID를 포함하는 패킷을 다른 양자키 분배 노드 장치로 전달하는 양자키 통합부를 포함할 수 있다.

Description

양자 키 분배 노드 장치 및 그 장치에서의 양자키 분배 방법{Quantum Key Distribution Node Apparatus and Method for Quantum Key Distribution thereof}
기재된 실시 예는 양자 키 분배(Quantum Key Distribution, QKD) 기술에 관한 것이다.
두 암호장치들 간에 동일한 암호키를 나누어 갖는 키 분배는 전통적으로 어려운 문제이다. 키 분배의 안전성을 위한 방안으로, 사전 공유키(Pre-Shared Key, PSK)를 이용하는 방식과 암호와 복호를 서로 상이한 키로 이용하는 비대칭 암호인 공개키 암호 방식이 주로 사용되었다.
이중, 사전 공유키 방식에서는 공유키가 신뢰할 수 있는 전달자에 의해 암호장치에 전달되어야 하고, 신뢰할 수 있는 관리자에 의하여 저장 및 운영되어야 한다. 따라서, 공유키의 생성, 전달, 저장 등 공유키의 생명 주기 전 과정 동안 안전성을 보장해야 한다는 관리의 어려움이 따른다.
공개키 암호 방식에서 공개키와 비밀키 쌍으로 이루어진 공개키 암호는 큰 두 수의 곱으로 이루어진 숫자를 인수분해하는 어려움과 이산대수 문제를 기반으로 설계가 되었다. 양자컴퓨터 시대가 도래하면, 인수분해와 이산대수 문제를 계산하여 암호키를 해독할 수 있으므로 공개키 암호는 보안에 취약한 것으로 알려져 있다.
이에 따라 양자컴퓨터의 위협으로부터 안전하게 암호키를 분배하기 위하여 양자 내성 암호(Post Quantum Cryptographic, PQC)와 양자키 분배(Quantum Key Distribution, QKD)에 관한 많은 연구가 이루어졌다.
양자 내성 암호는 양자컴퓨터로 계산하더라도 암호키를 찾을 수 없는 수학적 난제를 이용한 안전한 공개키 암호이다. 양자키 분배는 양자 물리학의 복제 불가능성의 원리와 양자 상태의 측정 후 양자 상태가 붕괴하는 현상을 이용한다.
양자키 분배에서는 송신자가 전송한 양자 상태의 광자를 도청자가 먼저 측정하게 되면, 양자 비트 에러율(QBER; Quantum Bit Error Rate)이 증가하여 도청자의 존재 여부를 확인할 수 있다. 두 양자키 분배부는 안전하게 양자키를 공유할 수 있으며, 양자키 분배 프로토콜은 정보 이론적인 조건 없는 안전성을 보장할 수 있다.
그런데 양자키 분배 네트워크 시스템에 있어서 다음과 같은 문제점이 존재한다.
우선, 종래의 양자키 분배 네트워크 시스템의 일부로서 양자키 분배 노드에 연동되는 암호장치는 마스터 또는 슬래이브 역할을 사전에 결정하여 배치하여야 하고 마스터가 반드시 키 요청을 시작하여야 한다는 문제점이 있다. 이에 따라 종래의 양자키 분배 네트워크 시스템에서는 암호장치에 마스터 또는 슬래이브 역할을 설정하고, 암호통신이 가능한 상대 암호장치의 리스트를 관리해야 하는 문제가 있다.
다음으로, 종래의 양자키 분배 네트워크 시스템에서 복수의 암호장치가 동일한 양자키 분배 노드에 연동되는 경우, 양자키 분배 노드는 키 요청을 차례로 처리해야 하므로 현재 키 요청을 한 암호장치 이외에는 다른 암호장치의 키 요청을 차단하여야 하므로, 키 요청에 대한 서비스 효율이 저하된다.
실시 예는 양자키 분배 네트워크 시스템에서 암호장치의 송/수신자 역할을 미리 결정해야 하는 문제를 해결하는 데 그 목적이 있다.
또한, 실시 예는 양자키 분배 네트워크 시스템에서 복수의 암호장치들로부터의 키 요청 처리 성능 저하의 문제를 해결하는데 그 목적이 있다.
실시예에 따른 양자키 분배 노드 장치는, 양자키 및 양자키 ID를 생성하는 양자키 분배부, 양자키 분배부에 의해 생성된 양자키 및 양자키 ID를 송신 양자키 및 수신 양자키로 분배 저장함과 아울러 다른 양자키 분배 노드 장치와 송신 양자키 및 수신 양자키를 공유하는 양자키 동기 관리부 및 연결된 암호장치로부터 제2 암호장치의 ID와 함께 마스터 키가 요청됨에 따라, 난수로 생성된 마스터 키 및 마스터 키 ID를 암호 장치에 전달함과 아울러 다른 암호장치와 연결된 다른 양자키 분배 노드 장치와 공유하는 송신 양자키로 암호화한 마스터 키, 마스터 키 ID 및 양자키 ID를 포함하는 패킷을 다른 양자키 분배 노드 장치로 전달하는 양자키 통합부를 포함할 수 있다.
이때, 양자키 분배부 및 양자키 동기 관리부는, 동일한 개수로 일대일 연결되되, 개수는, 하나 이상일 수 있다.
이때, 양자키 통합부는, 내부의 라우팅 테이블을 기반으로 다른 암호장치의 ID에 상응하는 경로를 검색하고, 경로 상에 중계 역할을 하는 중계 양자키 분배 노드 장치가 존재할 경우, 중계 양자키 분배 노드 장치와 공유하는 송신 양자키로 암호화한 마스터 키, 마스터 키 ID, 경로 정보 및 양자키 ID를 포함하는 패킷을 중계 양자키 분배 노드 장치로 전달할 수 있다.
이때, 다른 암호장치가, 자신과 연결된 경우, 양자키 통합부는, 다른 암호 장치로부터 마스터 키 ID를 통한 키 요청에 따라 상응하는 마스터 키를 전달할 수 있다.
이때, 양자키 통합부는, 연결된 암호장치로부터 복수의 암호장치들의 ID를 매개로 그룹 키가 요청됨에 따라, 난수로 생성된 그룹 키 및 그룹 키 ID를 암호 장치에 전달함과 아울러 내부의 라우팅 테이블과 복수의 암호 장치들의 ID를 이용하여 그룹 키를 전달할 경로를 검색하고, 경로 상의 다음 양자키 분배 노드 장치와 공유하는 송신 양자키로 암호화한 그룹 키, 그룹 키 ID, 경로 정보, 복수의 암호 장치들의 ID 및 양자키 ID를 포함하는 패킷을 경로 상의 다음 양자키 분배 노드 장치로 전달할 수 있다.
이때, 양자키 통합부는, 연결된 암호장치로부터 대용량 마스터 키 요청됨에 따라, 대용량 마스터 키를 송신 양자키를 사용하여 부 암호로 암호화할 수 있다.
실시예에 따른 양자키 분배 노드 장치는, 양자키 및 양자키 ID를 생성하는 양자키 분배부, 양자키 분배부에 의해 생성된 양자키 및 양자키 ID를 송신 양자키 및 수신 양자키로 분배 저장함과 아울러 다른 양자키 분배 노드 장치와 송신 양자키 및 수신 양자키를 공유하는 양자키 동기 관리부 및 다른 양자키 분배 노드 장치로부터 암호화한 마스터 키, 마스터 키 ID 및 양자키 ID를 포함하는 패킷을 수신함에 따라, 패킷에 포함된 마스터 키를 다른 양자키 분배 노드 장치와 공유하는 수신 양자키로 복호화하고, 연결된 암호장치로부터 마스터 키 ID가 수신됨에 따라 상응하는 마스터 키를 해당 암호 장치로 전달하는 양자키 통합부를 포함할 수 있다.
이때, 양자키 분배부 및 양자키 동기 관리부는, 동일한 개수로 일대일 연결되되, 개수는, 하나 이상일 수 있다.
이때, 양자키 통합부는, 다른 양자키 분배 노드 장치로부터 패킷을 수신함에 따라, 패킷에 포함된 경로 정보를 기반으로 자신이 중계 역할임이 확인되면, 암호화된 마스터 키를 다른 양자키 분배 노드 장치와 연동되는 수신 양자키로 복호화하고, 복호화된 마스터 키를 다음 경로의 또 다른 양자키 분배 노드 장치와 공유하는 송신 양자키로 암호화하고, 암호화한 마스터 키, 경로정보, 마스터 키 ID 및 양자키 ID를 패킷으로 생성하여 또 다른 양자키 분배 노드에 전달할 수 있다.
이때, 양자키 통합부는, 패킷에 그룹 키 및 복수의 암호장치들의 ID가 포함되어 있을 경우, 복수의 암호 장치들의 ID 중 자신과 연결되는 암호장치에 상응하는 ID가 존재할 경우, 그룹 키와 그룹 키 ID를 저장하고, 패킷에서 자신이 포함된 경로 정보와 자신과 제1 암호 장치의 ID를 제거할 수 있다.
이때, 양자키 통합부는, 마스터 키가, 대용량 마스터 키일 경우, 부 암호로 복호화할 수 있다.
실시예에 따른 양자키 분배 방법은, 양자키 분배 노드 장치가 자신과 연결된 암호장치로부터 다른 암호장치와의 양자 암호 통신을 위한 마스터 키가 요청됨에 따라, 난수로 생성된 마스터 키 및 마스터 키 ID를 연결된 암호 장치에 전달하는 단계, 다른 암호장치가 자신과 연결된 암호장치일 경우, 양자키 분배 노드 장치는 다른 암호 장치로부터 마스터 키 ID를 통한 마스터 키 요청에 따라 상응하는 마스터 키를 전달하는 단계를 포함할 수 있다.
실시예에 따른 양자키 분배 방법은, 다른 암호장치가 자신과 연결된 암호장치가 아닐 경우, 양자키 분배 노드 장치가 다른 암호장치와 연결된 다른 양자키 분배 노드 장치와 공유하는 송신 양자키로 마스터 키를 암호화하고, 암호화된 마스터 키, 마스터 키 ID 및 양자키 ID를 포함하는 패킷을 다른 양자키 분배 노드 장치로 전달하는 단계를 더 포함할 수 있다.
실시예에 따른 양자키 분배 방법은, 다른 양자키 분배 노드 장치가 양자키 분배 노드 장치로부터 암호화한 마스터 키, 마스터 키 ID 및 양자키 ID를 포함하는 패킷을 수신함에 따라, 패킷에 포함된 마스터 키를 양자키 분배 노드 장치와 공유하는 수신 양자키로 복호화하여 저장하고, 연결된 암호장치로부터 마스터 키 ID를 통해 마스터 키 요청됨에 따라 마스터 키 ID에 상응하는 마스터 키를 암호장치로 전달하는 단계를 더 포함할 수 있다.
이때, 패킷을 다른 양자키 분배 노드 장치로 전달하는 단계는, 다른 암호장치가 자신과 존재하는 암호장치가 아닐 경우, 내부의 라우팅 테이블과 다른 암호장치 ID를 이용하여 라우팅 경로를 검색하는 단계, 및 라우팅 경로 상에 중계 양자키 분배 노드 장치가 존재할 경우, 중계 양자키 분배 노드 장치와 공유하는 송신 양자키로 암호화하고, 마스터 키, 마스터 키 ID, 경로 정보 및 양자키 ID를 포함하는 패킷을 중계 양자키 분배 노드 장치로 전달하는 단계를 포함할 수 있다.
실시예에 따른 양자키 분배 방법은, 중계 양자키 분배 노드 장치가 양자키 분배 노드 장치로부터 패킷을 수신함에 따라, 패킷에 포함된 경로 정보를 기반으로 자신이 중계 역할임이 확인되면, 암호화된 마스터 키를 다른 양자키 통합부와 연동되는 수신 양자키로 복호화하고, 복호화된 마스터 키를 다음 경로의 또 다른 양자키 분배 노드 장치와 공유하는 송신 양자키로 암호화하고, 암호화한 마스터 키, 경로정보, 마스터 키 ID 및 양자키 ID를 패킷으로 생성하여 다른 양자키 분배 노드 장치에 전달하는 단계를 더 포함할 수 있다.
실시예에 따른 양자키 분배 방법은, 다른 양자키 분배 노드 장치가 중계 양자키 분배 노드 장치로부터 패킷을 수신함에 따라, 패킷에 포함된 경로 정보를 기반으로 자신이 최종 목적지임이 확인되면, 암호화된 마스터 키를 중계 양자키 통합부와 연동되는 수신 양자키로 복호화하고, 연결된 암호장치로부터 마스터 키 ID를 통해 마스터 키 요청됨에 따라 마스터 키 ID에 상응하는 마스터 키를 암호장치로 전달하는 단계를 더 포함할 수 있다.
실시예에 따른 양자키 분배 방법은, 연결된 암호장치로부터 복수의 암호장치들의 ID를 매개로 그룹 키가 요청됨에 따라, 양자키 분배 노드 장치는 난수로 그룹 키를 생성하고, 생성된 그룹 키 ID를 암호 장치에 전달하는 단계 및 내부의 라우팅 테이블과 복수의 암호 장치들의 ID를 이용하여 그룹 키를 전달할 경로를 검색하고, 경로 상의 다음 양자키 분배 노드 장치와 공유하는 송신 양자키로 암호화한 그룹 키, 그룹 키 ID, 경로 정보, 복수의 암호장치들의 ID 및 양자키 ID를 포함하는 패킷을 경로 상의 다음 양자키 분배 노드 장치로 전달하는 단계를 더 포함할 수 있다.
실시예에 따른 양자키 분배 방법은, 경로 상의 다음 양자키 분배 노드 장치가 패킷에 그룹 키가 포함되어 있을 경우, 암호장치 ID 중 자신과 연결되는 암호장치가 존재할 경우, 그룹 키와 그룹 키 ID를 저장하고, 패킷에서 자신이 포함된 경로 정보와 자신과 연결된 암호 장치의 ID를 제거하는 단계를 더 포함할 있다.
이때, 마스터 키는, 대용량 마스터 키일 경우, 부 암호로 암호화 또는 복호화될 수 있다.
실시 예에 따라, 암호장치는 미리 마스터 또는 슬래이브 역할이 정할 필요가 없으므로, 양자키 분배 네트워크 시스템에 속한 모든 암호장치들은 키 요청을 먼저 시작할 수 있다. 따라서, 암호장치의 자연스러운 운용과 단순한 관리가 가능하다.
실시 예에 따라, 복수의 암호장치가 양자키 분배 노드에 연결되어 운영될 때, 양자키 분배 노드에서 하나의 암호 장치와의 키공유 트랜잭션을 처리 중에도 키 요청을 차단하지 않고 바로 다른 암호 장치와의 키공유 트랜잭션을 처리할 수 있어 키 요청 처리 성능을 향상시킬 수 있다.
실시 예에 따라, 키 중계 구현이 용이해질 수 있다. 암호장치로 양자키를 전달하지 않고 난수를 생성하여 마스터 키로 사용하고, 양자키는 마스터 키를 암호화하는 키로만 사용하기 때문에 양자키 분배 노드들 사이에 양자키의 동기를 유지하기 쉽다. 동일한 원리로 키를 중계하는 경우도 두 양자키 분배 노드 사이에 같은 양자키가 사용되고, 동기가 유지되므로 간단하게 키를 중계할 수 있다.
실시 예에 따라, 동일한 사이트 내의 암호장치들 간의 암호통신이 가능해진다. 동일한 사이트 내에 존재하는 암호장치들 사이의 암호통신을 하는 경우, 종래의 양자키 분배 네트워크 시스템에서는 양자키 분배부에서 생성한 양자키를 전달하여야 했기 때문에 양자키 동기를 유지하는 것은 매우 복잡하다. 그러나 실시예에 따라, 양자키 통합부에서 생성한 난수를 마스터 키로 사용하기 때문에 양자키의 소모가 없고 양자키 동기가 필요하지 않으므로 구현이 용이하다.
실시 예에 따라, 그룹 키를 이용한 그룹 암호통신을 구현할 수 있다. 양자키를 직접 그룹 키로 사용하지 않고, 난수로 그룹 키를 만들어서 공유하고, 양자키의 동기가 깨지지 않게 관리할 수 있으므로, 라우팅 테이블에 따라 경로를 설정하고, 중간 양자키 분배 노드에서 그룹 키를 전달하는 프로토콜로 그룹 키 암호통신을 할 수 있다.
실시 예에 따라, 대량의 마스터 키를 만들어서 암호장치로 전달할 수 있다. 양자키 통합부 내부의 암호화/복호화부를 부 암호로 사용하고, 양자키로 대량의 마스터 키를 암호화하여 공개채널로 전달할 수 있다. 양자키를 암호장치로 직접 전달하는 종래의 양자키 분배 네트워크 시스템에서는 대량의 마스터 키를 암호장치로 전달하려면 양자키의 생성속도가 느려서 매우 오랜 시간이 소모되었다. 그러나 실시예에 따르면, 마스터 키를 양자키로 사용하지 않으므로 양자키의 생성속도와 무관하게 대량의 마스터 키를 빠르게 공유할 수 있다.
도 1은 일반적인 양자키 분배 네트워크 시스템의 개략적인 블록 구성도이다.
도 2는 일 실시 예에 따른 양자키 분배 네트워크 시스템의 개략적인 구성도이다.
도 3은 실시 예에 따른 복수의 양자키 분배부 및 양자키 동기 관리부를 포함하는 양자키 분배 노드 장치의 개략적인 블록 구성도이다.
도 4는 실시 예에 따른 점대점 연결된 A 양자키 분배 사이트 및 B 양자키 분배 사이트에서의 암호 통신을 위한 마스터 키 및 마스터 키 ID 공유 방법을 설명하기 위한 신호 흐름도이다.
도 5는 다른 실시 예에 따른 양자키 분배 네트워크의 개략적인 구성도이다.
도 6 및 7은 실시 예에 따른 양자키 중계를 통한 암호 장치들 간의 암호 통신을 위한 마스터 키 및 마스터 키 ID 공유 방법을 설명하기 위한 신호 흐름도이다.
도 8은 실시 예에 따른 동일 양자키 분배 사이트 내에서 암호 장치들 간의 암호 통신을 위한 마스터 키 및 마스터 키 ID 공유 방법을 설명하기 위한 신호 흐름도이다.
도 9 및 10은 실시 예에 따른 양자키 분배 네트워크에서 암호장치들 암호 통신을 위한 그룹 키 및 그룹 키 ID 공유 방법을 설명하기 위한 신호 흐름도이다.
도 11은 실시 예에 따른 컴퓨터 시스템 구성을 나타낸 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
비록 "제1" 또는 "제2" 등이 다양한 구성요소를 서술하기 위해서 사용되나, 이러한 구성요소는 상기와 같은 용어에 의해 제한되지 않는다. 상기와 같은 용어는 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용될 수 있다. 따라서, 이하에서 언급되는 제1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있다.
본 명세서에서 사용된 용어는 실시 예를 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 또는 "포함하는(comprising)"은 언급된 구성요소 또는 단계가 하나 이상의 다른 구성요소 또는 단계의 존재 또는 추가를 배제하지 않는다는 의미를 내포한다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 해석될 수 있다. 또한, 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
이하에서는, 도 1 내지 도 11을 참조하여 실시 예에 따른 양자키 분배 네트워크 시스템에서의 양자키 분배 장치 및 방법이 상세히 설명된다.
도 1은 일반적인 양자키 분배 네트워크 시스템의 개략적인 블록 구성도이다.
도 1을 참조하면, 양자키 분배 네트워크 시스템은, 암호장치(Secure Application Entity, SAE)(10a, 10b, 10c) 및 양자키 분배 노드(Quantum Key Distribution Node, QKD Node)(20a, 20b, 20c)로 구성되어, 양자 암호 통신이 이루어진다.
양자키 분배 노드(20a, 20b, 20c)와 암호장치(10a, 10b, 10c)는 각각 안전하게 관리되는 양자키 분배 사이트, 예컨대, QKD SITE A, QKD SITE B 및 QKD SITE C에 존재하며, 양자키 분배 사이트들 간에 연결되어 양자키가 전달되는 양자키 분배 네트워크가 구성된다.
양자키 분배 노드(20a, 20b, 20c)는 양자키 분배부(QKD Entity, QKDE)(21a, 21b, 21c)와 키 관리 장치(Key Management Entity, KME)(22a, 22b, 22c)로 구성될 수 있다.
양자키 분배부(21a, 21b, 21c)는 양자키를 생성한다. 이때, 양자키 분배부(21a, 21b, 21c)는 양자키 분배 노드(20a, 20b, 20c)에 하나 또는 둘 이상일 수 있다. 예컨대, 도 1을 참조하면, 양자키 분배 노드(10b)에는 둘 이상의 양자키 분배부들(21b-1,..., 21b-N)을 포함할 수 있다.
이때, 둘 이상의 양자키 분배부들(21b-1,??., 21b-N) 각각은 동일한 양자키 분배 방식을 사용할 수도 있고, 상이한 양자키 분배 방식을 사용할 수도 있다.
이때, 상이한 사이트들에 포함된 양자키 분배부들(21a, 21b, 21c) 간에는 양자키 분배 링크(QKD LINK)로 연결될 수 있다.
이때, 양자키 분배 링크는 광자를 전달하는 양자채널(Quantum Channel)과 키를 추출하기 위한 정보를 전달하는 공개채널(Public Channel)로 구성될 수 있다.
여기서, 양자채널은 일반적으로 전용 광채널을 이용한다. 양자키 분배부는 양자 상태가 인코딩된 광자를 송신하는 송신장치와, 광자를 수신하고 양자 상태를 측정하는 수신장치를 포함하며, 송신장치 및 수신장치가 한 쌍으로 점대점(Point to Point, P2P) 연결된다.
키 관리 장치(22a, 22b, 22c)는 양자키를 저장하고, 암호장치(10a, 10b, 10c)의 요청에 따라 양자키를 암호장치(10a, 10b, 10c)로 전달한다. 이때, 키 관리 장치(22a, 22b, 222c)는 양자키 분배 노드(20a, 20b, 20c)에 포함되는 양자키 분배부(21a, 21b, 21c)의 개수에 상관없이 하나일 수 있다.
암호 장치(10a, 10b, 10c)는 양자키 분배 노드(20a, 20b, 20c) 각각에 대해 한 개 이상 연결될 수 있다. 이때, 암호장치(10a, 10b, 10c)는 마스터(송신자) 암호장치와 슬래이브(수신자) 암호장치로 역할(role)이 나누어진다. 이러한 마스터 또는 슬래이브의 역할은 암호 장치들의 초기 배치시에 결정되어 그 역할이 고정된다.
마스터 암호장치는 키 요청을 먼저 시작하고 슬래이브 암호장치는 마스터 암호장치가 전달한 키 ID를 이용하여 키를 요청하여, 두 암호장치는 각각의 양자키 분배 노드로부터 공급받은 같은 암호키를 이용하여 암호통신을 수행한다.
전술한 바와 같은 양자키 분배 네트워크 시스템에서의 동작을 설명하면 다음과 같다.
양자키 분배 네트워크 시스템의 송신장치에서 무작위로 기저와 난수를 부호화한 양자 상태의 광자를 양자채널로 전송하고, 양자키 분배 네트워크 시스템의 수신장치는 기저를 무작위로 선택하여 광자의 양자 상태를 측정한다. 이때 송신장치는 광자 수 나누기 공격(Photon Number Splitting Attack) 등의 양자 해킹을 대비하여 미끼(Decoy) 신호를 무작위로 섞어서 수신장치로 송신한다.
송신장치가 생성한 양자 상태와 수신장치가 측정한 양자 상태의 결과를 원(raw) 키로 저장하고, 공개채널로 송신장치가 전송한 디코이 정보, 송신장치와 수신장치가 선택한 기저정보 등을 교환하여 걸러진 키(Sifted Key)를 생성한다.
이 과정에서 양자 비트 에러율(Quantum Bit Error Rate, QBER)을 측정하면 도청 여부를 판단할 수 있다. 걸러진 키를 이용하여 오류정정 기법, 비밀증폭 기법 등을 이용하여 비밀키를 생성하면, 일대일 연결된 두 양자키 분배부는 동일한 양자키를 갖게 된다.
두 양자키 분배부에서 생성한 동일한 양자키들은 각각의 키 관리 장치로 전달된다.
키 관리 장치는 양자키 분배부로부터 양자키를 전달받아 양자키 버퍼에 저장, 키 중계, 암호장치와 연동 등의 역할을 한다. 그런데 일반적으로 양자키 분배부에서의 양자키 생성 속도가 느리고 일정하지 않다. 따라서, 키 관리 장치에서 양자키를 버퍼에 저장해두었다가 암호장치의 요청에 따라 버퍼에 저장해두었던 양자키를 전달하게 된다. 이때, 점대점으로 연결되지 않고 원거리 사이트 사이의 키공유를 위하여 한 개 이상의 사이트를 경유해야 하는 경우, 키 관리 장치는 키 중계 역할도 수행한다.
이때, 키 관리 장치가 키 중계하는 방식은 다양할 수 있는데, 점대점 사이트 사이의 양자키를 배타적 논리합으로 연산하여 전달하는 방식, 난수를 생성하여 난수를 점대점 사이트 사이의 양자키로 배타적 논리합으로 연산하여 전달하는 방식, 공개키를 점대점 사이트 사이의 양자키로 배타적 논리합으로 연산하여 전달하는 방식 등이 포함될 수 있다.
마스터 암호장치가 자신이 속한 키 관리 장치에게 키 요청(Get Key)을 하면 키 관리 장치는 양자키와 양자키에 해당하는 키 ID를 마스터 암호장치로 보내준다(STEP 1). 그런 후, 마스터 암호장치는 슬래이브 암호장치로 키 ID를 전송(STEP 2)하고, 키관리 장치로부터 받은 양자키로 암호통신을 준비한다.
슬래이브 암호장치는 마스터 암호장치로부터 키 ID를 받고, 자신이 속한 사이트의 키 관리 장치로 키 ID를 이용하여 키 요청(Get Key with Key ID)을 한다. 키 ID로 키 요청을 받은 키 관리 장치는 키 ID에 해당하는 양자키를 찾아서 슬래이브 암호장치로 보내준다(STEP3).
이러한 키공유 트랜잭션을 거쳐 마스터 암호장치와 슬래이브 암호장치는 동일한 양자키와 키 ID를 공유하게 되며, 공유한 양자키를 마스터 키로 사용하여 암호통신을 수행한다.
암호장치와 키 관리 장치 사이에는 일반적으로 TLS(Transport Layer Security)가 사용되어 통신 채널이 보호되며, 같은 사이트 내에서 하나의 서버 랙(Rack)에 장착되고 물리적 보안으로 안전하게 관리된다.
그런데 전술한 바와 같은 일반적인 양자키 분배 시스템은 다음과 같은 문제점이 존재한다.
우선, 전술한 바와 같이 암호 장치의 마스터 또는 슬래이브 역할이 고정될 경우 운용상에 부자연스러움 등의 문제점이 발생될 수 있다.
슬래이브 암호장치는 먼저 키 요청을 할 수 없으며, 마스터 암호장치는 키 ID를 사용하여 양자키를 획득할 수 없다. 양자키 분배 시스템에서 암호장치의 역할을 미리 결정하지 않고 암호통신을 수행하는 경우, 하나의 암호장치가 요청한 키공유 트랜잭션이 완료되기 전에 다른 암호장치가 키 요청 절차를 시작하게 되면, 요청한 양자키의 순서에 따라 양자키의 동기가 깨지게 되고, 경합 조건(Race Condition)이 발생하거나 교착상태(Deadlock)가 생길 수 있다. 이를 방지하기 위하여 양자키 분배 노드에 연결된 암호장치는 마스터 또는 슬래이브 역할을 고정적으로 설정하여 운영한다.
그런데 암호장치로 보안 화상 전화를 사용하는 경우를 가정하면, 종래의 방식에 따라 화상 전화를 요청하는 주체를 먼저 결정해야 한다. 즉, 화상 전화를 발신하는 암호장치와 화상 전화를 수신하는 암호장치의 역할이 식별되어야 하므로, 암호장치의 효용성이 크게 저하되고 운용이 부자연스러울 수 있다.
또한, 종래의 양자키 분배 네트워크 시스템에서 하나의 양자키 분배 노드에 다수의 암호장치를 연결하여 사용할 경우, 양자키 요청에 대한 처리 성능이 저하될 수 있다.
종래의 양자키 분배 노드의 주된 용도는 고속의 링크를 보호하는 링크용 암호장치에 사용하는 것을 고려하여 설계되었다. 일반적으로 하나의 링크용 암호장치에 하나의 양자키 분배 노드를 연결하여 사용하고, 마스터와 슬래이브 역할을 미리 결정하여 운영하면 문제가 없다. 양자키 분배 노드는 고가의 장비이기 때문에, 다수의 암호장치를 연결하여 사용하는 것이 바람직하다. 그러나 종래의 양자키 분배 노드에 다수의 암호장치를 연결하여 사용하면 처리 성능이 낮아진다.
예컨대, A 사이트 및 B 사이트 각각에 양자키 분배 노드를 설치하고, 각 사이트에 복수의 화상 전화를 설치하여 운영하는 상황을 가정해 보자.
A 사이트에서 암호장치가 양자키 분배 노드에 양자키를 요청하고, B 사이트에 있는 암호장치로 키 ID를 전송하여 암호통신을 하려고 할 때, 키공유 트랜잭션이 끝나기 전에 A 사이트에 있는 다른 암호장치가 양자키를 요청하게 되면, 양자키 분배 노드 내부에서 관리하는 양자키의 순서가 흐트러질 수 있다. 왜냐하면, 키공유 트랜잭션이 에러 또는 타임아웃 등으로 비정상 종료하게 되면, A 사이트의 키 ID와 B 사이트의 키 ID가 달라져서 키 동기가 깨질 수 있다. 왜냐하면, A 사이트에서는 키공유 트랜잭션이 종료되기 전에 요청한 암호장치로 이미 양자키를 제공한 상태가 된다. 이를 방지하기 위하여 하나의 암호장치가 키를 요청하게 되면, 키공유 트랜잭션이 종료될 때까지 다른 암호장치가 키 요청을 사용할 수 없도록 양자키 분배 노드는 키 요청을 차단(Blocking)한다. 이러한 차단으로 인하여 트랜잭션이 완료될 때까지 다른 암호장치는 양자키 분배 노드를 사용할 수 없으므로 양자키 분배 노드의 성능과 효율성이 저하될 수 있다.
따라서, 종래의 양자키 분배 네트워크 시스템의 보편적 활용성을 높이려면 양자키 분배 노드에 연동되는 암호장치는 마스터 또는 슬래이브 역할을 미리 정하지 않고 어떠한 암호장치도 먼저 키공유 트랜잭션을 시작할 수 있어야 한다.
또한, 다수의 암호장치가 양자키 분배 노드에 연결되는 환경에서 양자키 분배 노드가 키 요청을 지연 없이 처리하기 위하여, 키공유 트랜잭션이 처리 중이어도, 키 요청을 차단하지 않는 양자키 분배 노드의 구조 및 프로토콜이 요구된다.
따라서, 본 발명은 전술한 바와 같은 문제점을 해결하기 위한 양자키 분배 노드 장치 및 그 장치에서의 양자키 분배 방법을 제안한다.
전술한 바와 같이 종래의 양자키 분배 네트워크 시스템은 양자키를 양자키 분배부로부터 키 관리 장치를 거쳐 암호장치로 전달하는 구조를 적용하고 있다. 이 방식은 양자키가 생산에서 사용되는 과정에서 동일한 양자키를 양자키 분배부, 키 관리 장치, 암호장치가 같이 사용하기 때문에 키 동기를 유지하는 데 어려움이 있다. 따라서, 실시 예에 따른 양자키 분배 노드 장치의 구조와 방법은 송신용 및 수신용 양자키를 나누고, 양자키 통합부에서만 양자키를 사용하기 때문에 양자키의 동기를 쉽게 유지할 수 있도록 한다.
도 2는 실시 예에 따른 양자키 분배 네트워크 시스템의 개략적인 구성도이고, 도 3은 실시 예에 따른 복수의 양자키 분배부 및 양자키 동기 관리부를 포함하는 양자키 분배 노드 장치의 개략적인 블록 구성도이다.
도 2를 참조하면, 양자키 분배 네트워크 시스템은, 양자키 분배 노드(Quantum Key Distribution Node, QKD Node)(100a, 100b)와 암호장치(Secure Application)(10a, 10b)로 구성될 수 있다.
양자키 분배 노드(100a, 100b)와 암호장치들(200a, 200b) 각각은 안전하게 관리되는 양자키 분배 사이트들, 즉 QKD SITE A 및 QKD SITE B에 존재하며, 양자키 분배 사이트들 간에 연결되어 양자키가 전달되는 양자키 분배 네트워크가 구성될 수 있다.
A, B 두 양자키 분배 사이트에 양자키 분배 노드(100a, 100b)와 암호장치(10a, 10b)가 각각 연결되어 있다. 이때, 1개 이상의 암호장치가 양자키 분배 노드에 연결될 수 있다.
즉, 도 3을 참조하면, 하나의 양자키 노드(100)에는 하나 이상의 암호장치들(10-1, 10-2,..., 10-N)이 연결될 수 있다.
암호장치(10a, 10b)는 고유의 목적에 따라 링크용 암호장치, 화상 전화용 암호장치, VPN(Virtual Private Network) 등을 사용할 수 있으며, 양자키 분배 노드(100a, 100b)로부터 마스터 키를 획득하여 암호장치들(10a, 10b) 간에 암호통신을 수행할 수 있다.
즉, A 사이트의 암호장치(10a)는 양자키 통합부(130a)로부터 마스터 키 및 마스터 키 ID를 획득하여 공개채널을 통하여 B 사이트의 암호장치(10b)에 마스터 키 ID를 전달할 수 있고, B 사이트의 암호장치(10b)는 수신한 마스터 키 ID를 이용하여 B 사이트의 양자키 통합부(130b)에 키를 요청하여 마스터 키를 획득할 수 있다.
따라서, 두 암호 장치들(10a, 10b)은 동일한 마스터 키와 마스터 키 ID를 보유하게 되며, 마스터 키를 이용하여 생성된 세션 키를 이용하여 상호 간에 암호통신을 수행한다.
다시 도 2를 참조하면, 양자키 분배 노드(100a, 100b)는 양자키 분배부(QKD Module)(110a, 110b), 양자키 동기 관리부(Quantum Key Synchronization Management)(120a, 120b) 및 양자키 통합부(Quantum Key Orchestration)(130a, 130b)를 포함할 수 있다.
양자키 분배부들(110a, 110b)은, 상호 간에 양자키 분배 링크(QKD LINK)에 의해 연결될 수 있다. 이때, 양자키 분배 링크는, 양자 상태의 광자를 전송하는 양자채널과 미끼 정보 및 기저 정보 등을 전송하는 공개채널로 구성될 수 있다.
양자키 분배부들(110a, 110b)은, 각각 P2P로 송신자 역할과 수신자 역할을 하는 하나의 세트로 구성되어, 송신장치와 수신장치가 생성하고 측정한 무작위 값으로부터 Raw 키, Sifted 키, 비밀증폭 등을 거쳐 두 양자키 분배부들(110a, 110b)가 공유하는 양자키와 양자키 ID를 생성한다.
이때, 양자키 분배부(110a, 110b)는 BB-84 QKD, MDI QKD 등 다양한 양자키 분배 프로토콜을 사용할 수 있다.
양자키 분배부(110a, 110b)는 양자키 분배 프로토콜로 양자키와 양자키 ID를 양자키 동기 관리부(120a, 120b)에 전달한다.
이때, 양자키 분배 노드(100a, 100b)에는 각각 하나 이상의 양자키 분배부(110a, 110b)를 운용할 수 있다.
이때, 양자키 분배부(110a, 110b) 및 양자키 통합부(130a, 130b)는 각각 동일한 개수로 P2P 연결될 수 있다.
즉, 도 3에 도시된 바와 같이, 하나의 양자키 노드(100)에 하나의 양자키 통합부(130)가 구성되고, 복수의 양자키 분배부(110-1, 110-2,??. 110-M)와 동수의 양자키 동기 관리부(120-1, 120-2,????., 120-M)가 P2P 연동하도록 구성될 수 있다.
양자키 동기 관리부(120a, 120b)는 양자키 분배부들(110a, 110b)에 의해 제공된 양자키 및 양자키 ID를 송신 양자키 및 수신 양자키로 분배 저장한다.
상세하게는, 양자키 동기 관리부(120a, 120b)는, 입력 양자키 버퍼(Input Quantum Key Buffer)(121a, 121b), 양자키 버퍼 관리부(Quantum Key Buffer Management)(123a, 123b), 수신용 양자키 버퍼(Inbound Quantum Key Buffer)(125a, 125b) 및 송신용 양자키 버퍼(Outbound Quantum Key Buffer)(127a, 127b)를 포함할 수 있다.
입력 양자키 버퍼(121a, 121b)는 양자키 분배부(110a, 110b)로부터 전달된 양자키와 양자키 ID를 저장한다. 이는 양자키 분배부(110a, 110b)의 양자키 생성 속도가 일정하지 않기 때문에 버퍼링이 필요하기 때문이다.
양자키 버퍼 관리부(123a, 123b)는 입력 양자키 버퍼(121a, 121b)에 저장된 양자키와 양자키 ID를 수신용 양자키 버퍼(125a, 125b)와 송신용 양자키 버퍼(127a, 127b)에 저장한다. 수신용 양자키 버퍼(125a, 125b)와 송신용 양자키 버퍼(127a, 127b)는 양자키 통합부(130a, 130b)에 양자키를 전달하기 위하여 사용된다.
양자키 동기 관리부(120a, 120b)는 연동되는 양자키 분배부(110a, 110b)에 따라 양자키 분배부와 마찬가지로 송신자와 수신자 역할로 나누어진다.
예컨대, 도 2에 도시된 A 사이트 양자키 동기 관리부(120a)가 송신자 역할을 하고, B 사이트 양자키 동기 관리부(120b)가 수신자 역할을 할 수 있다.
송신자 역할의 양자키 동기 관리부(120a)는 입력 양자키 버퍼(121a)에서 양자키와 양자키 ID를 읽어서 송신용 양자키 버퍼(127a)와 수신용 양자키 버퍼(125a)가 비거나 넘치지 않도록 저장한다. 그리고 송신용 양자키 버퍼(125a)와 수신용 양자키 버퍼(127a)에 저장한 정보를 수신자 역할의 B 사이트의 양자키 동기 관리부(120b)로 전달한다. 그러면, 수신자 역할의 B 사이트 양자키 버퍼 관리부(123b)는 전달받은 정보를 이용하여 입력 양자키 버퍼(121b)에서 양자키와 양자키 ID를 읽어서 송신 양자키 버퍼(125b)와 수신 양자키 버퍼(127b)에 저장한다.
이로써, A 사이트의 송신 양자키 버퍼(125a)에 저장된 양자키 및 양자키 ID와 동일한 양자키와 양자키 ID가 B 사이트 수신 양자키 버퍼(127b)에 저장된다. 마찬가지로 A 사이트 수신용 양자키 버퍼(127b)에 저장된 양자키 및 양자키 ID와 같은 양자키 및 양자키 ID가 B 사이트 송신 양자키 버퍼(125a)에 저장된다.
양자키 동기 관리부(120a, 120b)의 송신용 양자키 버퍼(125a, 125b)와 수신 양자키 버퍼(127a, 127b)에 저장된 양자키와 양자키 ID는 상위의 양자키 통합부(130a, 130b)로 전달된다.
양자키 통합부(130a, 130b)는 각각에 연결된 암호장치(10a, 10b)로부터 마스터 키가 요청됨에 따라, 난수로 만든 마스터 키를 암호장치(10a, 10b)로 전달함과 아울러 생성한 마스터 키를 양자키로 암호화한 후 상대방 양자키 통합부로 전달한다. 이로써 두 양자키 통합부(130a, 130b)는 동일한 마스터 키를 공유할 수 있다.
상세하게는, 양자키 통합부(130a, 130b)는 마스터 키 관리(Master Key Management) 부(131a, 131b), 암호화(Encryption) 부(133a, 133b), 복호화(Decryption) 부(135a, 135b), 실 난수 발생기(True Random Number Generator)(137a, 137b), 암호장치 인터페이스(Secure Application Interface)(139a, 139b)를 포함할 수 있다.
암호화부(133a, 133b) 및 복호화부(135a, 135b)는 배타적 논리합 또는 부 암호를 사용한다.
여기서, 배타적 논리합은 양자키의 생성속도가 암호장치에서 요구하는 키의 양보다 크면 사용할 수 있으며, OTP(One Time Pad)로 사용하기 때문에 양자키의 정보 이론적 안전성을 보장할 수 있다.
또한, 부 암호를 사용하면 양자키 생성 속도보다 더 많은 마스터 키를 암호장치로 공급할 수도 있다.
실 난수 발생기(137a, 137b)는 양자 난수 발생기 등을 사용하여 예측 불가능한 난수를 생성하여, 암호장치(10a, 10b)로 전달할 마스터 키를 생성한다.
암호장치 인터페이스(139a, 139b)는 암호장치(10a, 10b)와의 물리적 및 논리적 인터페이스를 담당하고, 물리적 인터페이스를 통하여 전달된 논리적 인터페이스인 API(Application Program Interface) 명령을 받아 해석하고 처리하는 역할을 수행한다.
마스터 키 관리부(131a, 131b)는 각각 암호장치 인터페이스(133a, 133b), 암호화부(135a, 135b), 복호화부(137a, 137b) 및 실 난수 발생기(139a, 139b)를 제어하여, 암호장치(10a, 10b)에 마스터 키 및 마스터 키 ID를 제공함과 아울러 암호장치(10a, 10b)가 마스터 키를 공유하도록 하기 위하여 마스터 키 관리부(131a, 131b) 상호간에 암호화된 마스터 키를 송수신한다.
이를 위해, 마스터 키 관리부(131a, 131b)는 적어도 하나 이상의 양자키 동기 관리부(120a, 120b)로부터 송신용 양자키와 수신용 양자키와 그에 상응하는 양자키 ID를 각각 수신한다.
또한, 마스터 키 관리부(131a, 131b)는 암호장치 인터페이스(139a, 139b)에서 마스터 키 요청 API 명령을 수신함에 따라 해당 명령을 처리한다.
또한, 마스터 키 관리부(131a, 131b)는 점대점으로 연결된 상대 사이트의 마스터 키 관리부와 통신할 수 있다.
또한, 마스터 키 관리부(131a, 131b)는 각 사이트로 연결되는 라우팅 테이블을 관리할 수 있다.
또한, 마스터 키 관리부(131a, 131b)는 각 사이트에 연동되는 암호장치의 ID를 관리한다.
또한, 마스터 키 관리부(131a, 131b)는 보안관리자(Security Officer)의 접근 권한을 관리할 수 있다.
또한, 마스터 키 관리부(131a, 131b)는 암호장치와 보안 통신을 할 수 있다.
그러면, 전술한 바와 같은 도 2에 도시된 양자키 분배 네트워크 시스템에서의 암호 통신을 위한 마스터 키 공유 방법에 대해 살펴보기로 한다.
도 4는 실시 예에 따른 점대점 연결된 A 양자키 분배 사이트 및 B 양자키 분배 사이트에서의 암호 통신을 위한 마스터 키 및 마스터 키 ID 공유 방법을 설명하기 위한 신호 흐름도이다.
도 4를 참조하면, A 사이트의 암호장치(10a)는 B 사이트의 암호장치(10b)와 암호통신을 하기 위해 A 사이트의 양자키 통합부(130)에게 B 사이트의 암호장치(10b)의 ID를 매개변수로 사용하여 마스터 키를 요청한다(S201).
그러면, A 사이트의 양자키 통합부(130a)는 난수로 마스터 키를 생성하고, 생성된 마스터 키에 ID를 부여한다(S203). 즉, 양자키 관리 통합부(130)의 암호장치 인터페이스(139a)는 암호장치(10a)의 마스터 키 요청 명령을 수신하여 해석하고 관련 정보를 마스터 키 관리부(131a)로 전달한다. 그러면, 마스터 키 관리부(131a)는 실 난수 발생기(137a)를 이용하여 마스터 키로 사용할 난수를 생성한다.
그런 후, A 사이트의 양자키 통합부(130a)는 마스터 키 및 마스터 키 ID를 A 사이트의 암호장치(10a)에게 전달한다(S205). 즉, 마스터 키 관리부(131a)는 마스터 키와 마스터 키 ID를 암호장치 인터페이스(138a)로 전달하고, 암호장치 인터페이스(139a)는 암호장치(10a)의 마스터 키 요청 명령에 대한 응답으로 마스터 키와 마스터 키 ID를 암호장치(10a)로 전달한다.
그러면, A 사이트의 암호장치(10a)는 공개채널을 통하여 B 사이트의 암호장치(10b)에 마스터 키 ID를 전달한다(S207).
한편, A 사이트의 양자키 통합부(130a)는 내부의 라우팅 테이블과 암호장치 ID를 이용하여 라우팅 경로를 찾는다(S209). 이때, 라우팅 경로는 A 사이트에서 B 사이트일 수 있다.
따라서, A 사이트의 양자키 통합부(130a)는 마스터 키를 B 사이트와 연결된 송신용 양자키 버퍼에 저장된 송신 양자키로 암호화한다(S211).
그런 후, A 사이트의 양자키 통합부(130a)는 암호화한 마스터 키, 경로정보, 마스터 키 ID, 양자키 ID를 패킷으로 생성(S213)하고, 생성된 패킷을 B 사이트의 양자키 통합부(130b)로 전송한다(S215).
그러면, B 사이트 양자키 통합부(130b)는 수신된 패킷에서 양자키와 양자키 ID를 확인하고, A 사이트와 연결된 수신용 양자키 버퍼(127b)에 저장된 수신 양자키로 암호화된 마스터 키를 복호화하고, 복호화된 마스터 키는 마스터 키 ID와 함께 저장해둔다(S217).
한편, B 사이트의 암호장치(10b)는 암호장치(10a)로부터 전달된 마스터 키 ID를 매개변수로 사용하여 B 사이트의 양자키 통합부(130b)로 마스터 키를 요청한다(S219).
그러면, 암호키 통합부(130b)는 저장하고 있는 마스터 키를 암호장치(10b)로 전달한다(S221).
전술한 바와 같은 과정을 거쳐 A 사이트의 암호 장치(10a)와 B 사이트의 암호장치(10b)는 동일한 마스터 키와 마스터 키 ID를 공유할 수 있으며, 공유하는 마스터 키와 마스터 키 ID를 이용하여 암호통신을 수행할 수 있게 된다.
설명의 편의를 위해, 도 4에서는 A 사이트의 암호장치(10a)에서 마스터 키 요청을 시작하는 예를 들어 설명하였으나, 본 발명은 이에 한정되지 않는다. 즉, 실시 예에 따라, B 사이트의 암호장치(10b)에서 마스터 키 요청을 시작할 수 있더라도 동일한 절차에 의하여 마스터 키를 공유할 수 있다.
도 5는 실시 예에 따른 양자키 분배 네트워크의 개략적인 구성도이다.
도 5를 참조하면, 양자키 분배 네트워크 시스템은, 양자키 분배 사이트들이 도 2에 도시된 바와 같은 2개가 아닌 세 개 이상, 즉 QKD SITE A, QKD SITE B 및 QKD SITE C가 존재하고, 양자키 분배 사이트들 간에 연결되어 양자키가 전달되는 양자키 분배 네트워크가 구성될 수 있다.
도 5에 도시된 바와 같이 양자키 분배 네트워크를 구성하면, 2개 이상의 양자키 분배 부(110b-1,??., 110b-M)가 있는 양자키 분배 노드(100b)는 키 중계(Key Relay)를 할 수 있다, 이러한 양자키 분배 노드(100b)의 키 중계를 이용하여 A 사이트의 암호장치(10a)가 C 사이트의 암호장치(10c)와 암호통신을 할 수 있다.
그러면, 전술한 바와 같은 도 5에 도시된 양자키 분배 네트워크 시스템에서의 암호 통신을 위한 마스터 키 공유 방법에 대해 살펴보기로 한다.
도 6 및 7은 실시 예에 따른 양자키 중계를 통한 암호 장치들 간의 암호 통신을 위한 마스터 키 및 마스터 키 ID 공유 방법을 설명하기 위한 신호 흐름도이다.도 6을 참조하면, A 사이트의 암호장치(10a)는 C 사이트의 암호장치 ID를 매개변수로 A 사이트의 양자키 통합부(130a)로 마스터 키를 요청한다(S301).
A 사이트의 양자키 통합부(130a)는 실 난수 발생기를 이용하여 마스터 키를 생성하고, 생성된 마스터 키에 고유한 마스터 키 ID를 부여한다(S303).
그리고 A 사이트의 양자키 통합부(130a)는 마스터 키와 마스터 키 ID를 A 사이트의 암호장치(10a)에 제공한다. 그러면, A 사이트의 암호장치(10a)는 C 사이트의 암호장치(10c)로 마스터 키 ID를 전송한다(S307).
한편, A 사이트의 양자키 통합부(130a)는 암호장치의 ID를 이용하여 라우팅 테이블에서 마스터 키 패킷을 전달할 라우팅 정보를 읽는다(S309). 이때, 라우팅 정보를 읽어서 A 사이트의 양자키 통합부(130a)에서 C 사이트의 양자키 통합부(130c)로 마스터 키를 전달하려면 B 사이트를 거쳐야 하는 것을 확인한다.
따라서, A 사이트의 양자키 통합부(130a)는 B 사이트와 연동되는 송신 양자키로 마스터 키를 암호화한다(S311).
A 사이트의 양자키 통합부(130a)는 암호화한 마스터 키, 경로 정보(A-> B->C), 마스터 키 ID, 양자키 ID으로 패킷을 생성(S313)하고, 생성된 패킷을 B 사이트의 양자키 통합부(130b)로 전달한다(S315).
도 7을 참조하면, B 사이트의 양자키 통합부(130b)는 A 사이트에서 전달된 패킷 내부의 경로 정보를 추출하여 키 중계 역할을 확인한다(S315).
그러면, B 사이트의 양자키 통합부(130b)는 키 중계를 하기 위하여 암호화된 마스터 키를 A 사이트와 연동되는 수신 양자키로 복호화한다(S319).
그런 후, B 사이트의 양자키 통합부(130b)는 복호화된 마스터 키를 다시 C 사이트와 연결된 송신 양자키로 암호화한다(S321).
B 사이트의 양자키 통합부(130b)는 암호화한 마스터 키, 경로정보(A-> C), 마스터 키 ID, 양자키 ID를 패킷으로 생성(S323)하고, 생성된 패킷을 C 사이트의 양자키 통합부(130c)로 전달한다(S325).
C 사이트의 양자키 통합부(130c)는 수신한 패킷에서 경로 정보를 보고 C 사이트가 최종 목적지 임을 확인한다(S323).
그런 후, C 사이트의 양자키 통합부(130c)는 마스터 키를 B 사이트와 연동되는 수신 양자키로 복호화하고, 마스터 키와 마스터 키 ID를 저장한다(S325).
한편, C 사이트의 암호장치(10c)는 마스터 키 ID를 매개변수로 사용하여 C 사이트의 양자키 통합부(130c)로 키를 요청한다(S327). C 사이트의 양자키 통합부(130c)는 마스터 키와 마스터 키 ID를 암호장치(10c)로 전달한다(S329).
전술한 바와 같은 과정을 통해 A 사이트의 암호장치(10a)와 C 사이트의 암호장치(10c)는 동일한 마스터 키와 마스터 키 ID를 공유할 수 있고, 마스터 키와 마스터 키 ID를 이용하여 암호통신을 수행할 수 있다.
한편, 실시 예에 따라 양자키 분배 네트워크 시스템에서는 도 3에 도시된 바와 같은 동일한 사이트에 연동되는 암호장치들끼리 암호통신을 할 수 있다. 종래의 양자키 분배 네트워크 시스템에서는 양자키 분배부에서 생성한 양자키를 암호장치에 제공하고, 양자키의 동기를 유지해야 하므로 같은 양자키 분배 노드에 접속한 암호장치들 사이에서 암호통신을 할 수 없었다. 실시 예에 따라 난수를 마스터 키로 사용하는 방법은 부수적으로 같은 양자키 분배 노드에 연동되는 암호장치들 사이의 암호통신을 가능하게 한다.
도 8은 실시 예에 따른 동일 양자키 분배 사이트 내에서 암호 장치들 간의 암호 통신을 위한 마스터 키 및 마스터 키 ID 공유 방법을 설명하기 위한 신호 흐름도이다.
도 8을 참조하면, 암호장치 #1(10-1)이 동일한 양자키 분배 노드에 연동되는 암호장치 #2(10-2)와 암호통신을 하기 위하여 양자키 분배 노드의 양자키 통합부(130)로 암호장치 #2의 ID를 매개변수로 마스터 키를 요청한다(S401).
양자키 통합부(130)는 암호장치 ID를 확인하고, 동일한 양자키 분배 노드에 속한 것을 확인하고, 마스터 키를 난수로 생성하고, 마스터 키 ID를 부여한다(S403).
그런 후, 양자키 통합부(130)는 마스터 키 ID를 부여하여 암호장치 #1(10-1)로 전달한다(S405).
암호장치 #1(10-1)은 양자키 통합부(130)로부터 받은 마스터 키 ID를 암호장치 #2(10-2)로 전달한다(S407).
암호장치 #2(10-2)는 마스터 키 ID를 이용하여 양자키 통합부(130)로 키 요청을 한다(S409).
양자키 통합부(130)는 마스터 키 ID로 마스터 키를 검색하여 암호장치 #2(10-2)에게 전달한다(S409).
암호장치 #1(10-1)과 암호장치 #2(10-2)는 양자키 통합부(130)로부터 획득한 마스터 키와 마스터 키 ID를 이용하여 암호통신을 수행한다.
한편, 실시 예에 따라, 양자키 분배 네트워크 시스템에 속한 암호장치들 간에는 그룹 암호 통신이 수행될 수 있다. 종래의 양자키 분배 네트워크 시스템에서도 그룹 암호통신이 가능하나, 양자키 동기를 유지하기 위하여 매우 복잡한 구조와 프로토콜이 필요하다. 그러나 실시예에서는 양자키 통합부에서 양자키와 마스터 키의 동기를 분리하였기 때문에 단순한 프로토콜로 그룹 암호통신을 할 수 있다.
도 9 및 10은 실시 예에 따른 양자키 분배 네트워크에서 암호장치들 암호 통신을 위한 그룹 키 및 그룹 키 ID 공유 방법을 설명하기 위한 신호 흐름도이다.
도 9를 참조하면, A 사이트의 암호장치(10a)는 양자키 분배 네트워크에 속한 복수의 암호장치와 그룹 암호통신을 수행하기 위하여 그룹 암호통신 대상 암호장치의 ID를 매개변수로 사용하여 A 사이트의 양자키 통합부(130a)로 그룹 키를 요청한다(S501).
양자키 통합부(130a)는 그룹 키를 난수로 생성하고, 그룹 키 ID를 부여한(S503) 후, 암호장치(10a)로 그룹 키와 그룹 키 ID를 전달한다(S505).
첫 그룹 암호통신을 시작한 A 사이트의 암호장치(10a)는 모든 그룹 암호통신 대상 암호장치(10b, 10c)로 그룹 키 ID를 전송한다(S507).
양자키 통합부(130a)는 암호장치의 ID를 이용하여 그룹 키를 전달할 모든 경로를 탐색한다(S509).
A 사이트의 양자키 통합부(130a)는 B 사이트와 송신 양자키로 그룹 키를 암호화한다(S511).
그런 후, A 사이트의 양자키 통합부(130a)는 암호화된 그룹 키, 경로정보, 그룹 키 ID, 송신 양자키 ID, 그룹 암호장치 ID를 패킷으로 생성(S513)하고, 생성된 패킷을 B 사이트의 양자키 통합부(130b)로 전달한다(S515).
도 10을 참조하면, B 사이트의 양자키 통합부(130b)는 수신 양자키로 패킷의 그룹 키를 복호화한다(S517).
B 사이트의 양자키 통합부(130b)는 패킷에 그룹 암호장치 ID 중 B 사이트에 속한 암호장치가 있는지를 확인하고, B 사이트에 속한 암호장치가 있으면 그룹 키와 그룹 키 ID를 저장하고, 패킷에서 B 사이트의 경로 정보와 암호장치 ID를 제거한다(S519).
B 사이트의 양자키 통합부(130b)는 C 사이트로 전달이 필요하면 그룹 키를 C 사이트의 송신 양자키로 암호화한다(S521). 그런 후, B 사이트의 양자키 통합부(130b)는 암호화한 그룹 키, 전달경로, 그룹 키 ID, 양자키 ID, 그룹 암호장치 ID를 패킷으로 생성(S523)하여, C 사이트의 양자키 통합부(130c) 전달한다(S525).
C 사이트의 양자키 통합부(130c)는 패킷을 수신하면 수신 양자키로 그룹 키를 복호화하고, 복호화된 그룹 키와 그룹 키 ID를 저장한다(S527).
이로써, 그룹 통신에 참여하는 모든 암호장치가 연동하는 양자키 분배 통합부(130a, 130b, 130c)에는 동일한 그룹 키와 그룹 키 ID를 공유하게 된다.
따라서, 그룹 암호통신에 참여하는 암호장치들(10b, 10c)은 자신이 연동하는 양자키 통합부(130b, 130c)에게 그룹 키 ID를 매개변수로 그룹 키를 요청(S529, S533)하여, 그룹 키를 획득한다(S531, S535).
이때, 양자키 분배 네트워크의 구조에 따라 그룹 암호통신을 하려면 복수의 경로가 필요할 수 있다. 예를 들어, B 사이트에서 C 사이트 외의 다른 경로로 전달할 필요가 있으면, A 사이트의 양자키 통합장치에서는 복수의 경로를 모두 패킷으로 생성하여 B 사이트로 전달하고, B 사이트는 각 패킷에서 경로를 확인하고 해당 경로로 패킷을 전달한다.
한편, 일반적으로 양자키 분배부의 양자키 생성률이 수 ~ 수십 kbps 정도이기 때문에 양자키를 암호장치로 직접 제공하는 종래의 양자키 분배 네트워크 시스템에서는 대량의 마스터 키를 공유하려면 많은 시간이 소요된다. 예컨대, 양자키 생성률이 10 kbps인 양자키 분배 네트워크 시스템에서 1GB의 양자키를 공유하려면 233시간이 걸린다.
예컨대, 실시 예에 따라, 도 2, 도 3 및 도 5에 도시된 A 사이트의 암호장치(10a)가 양자키 통합부(130a)로 1GB의 마스터 키를 요청함에 따라, 양자키 통합부(130a)는 마스터 키로 사용할 난수 1GB를 생성하고, 마스터 키를 송신 양자키를 사용하여 부 암호로 암호화하고, B 사이트의 양자키 통합부(130b)로 전달할 수 있다.
그러면, B 사이트의 양자키 통합부(130b)에서는 수신 양자키를 사용하여 부 암호로 복호화할 수 있다.
A 사이트의 양자키 통합부(130a)와 B 사이트의 양자키 통합부(130b)는 각 암호장치에 대량의 마스터 키를 전달할 수 있다. 일반적으로 부 암호의 성능은 높고 공개채널을 통하여 1GB를 전달하는 데는 많은 시간이 소모되지 않는다.
도 11은 실시 예에 따른 컴퓨터 시스템 구성을 나타낸 도면이다.
실시 예에 따른 양자키 분배 노드 장치는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(1000)에서 구현될 수 있다.
컴퓨터 시스템(1000)은 버스(1020)를 통하여 서로 통신하는 하나 이상의 프로세서(1010), 메모리(1030), 사용자 인터페이스 입력 장치(1040), 사용자 인터페이스 출력 장치(1050) 및 스토리지(1060)를 포함할 수 있다. 또한, 컴퓨터 시스템(1000)은 네트워크(1080)에 연결되는 네트워크 인터페이스(1070)를 더 포함할 수 있다. 프로세서(1010)는 중앙 처리 장치 또는 메모리(1030)나 스토리지(1060)에 저장된 프로그램 또는 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(1030) 및 스토리지(1060)는 휘발성 매체, 비휘발성 매체, 분리형 매체, 비분리형 매체, 통신 매체, 또는 정보 전달 매체 중에서 적어도 하나 이상을 포함하는 저장 매체일 수 있다. 예를 들어, 메모리(1030)는 ROM(1031)이나 RAM(1032)을 포함할 수 있다.
이상에서 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시 예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
10a, 10b, 10c : 암호 장치
100a, 100b, 100c : 양자키 분배 노드 장치
110a, 110b, 110c : 양자키 분배부
120a, 120b, 120c : 양자키 동기 관리부
130a, 130b, 130c : 양자키 통합부

Claims (20)

  1. 양자키 및 양자키 ID를 생성하는 양자키 분배부;
    양자키 분배부에 의해 생성된 양자키 및 양자키 ID를 송신 양자키및 수신 양자키로 분배 저장함과 아울러 다른 양자키 분배 노드 장치와 송신 양자키 및 수신 양자키를 공유하는 양자키 동기 관리부; 및
    연결된 암호장치로부터 다른 암호장치의 ID와 함께 마스터 키가 요청됨에 따라, 난수로 생성된 마스터 키 및 마스터 키 ID를 암호 장치에 전달함과 아울러 다른 암호장치와 연결된 다른 양자키 분배 노드 장치에 전달하는 양자키 통합부를 포함하되,
    양자키 통합부는,
    마스터 키 및 마스터 키 ID를 다른 양자키 분배 노드 장치에 전달함에 있어, 마스터키를 다른 양자키 분배 노드 장치의 양자키 동기 관리부와 공유하는 송신 양자키로 암호화한 후, 암호화한 마스터 키, 마스터 키 ID 및 양자키 ID를 포함하는 패킷을 다른 양자키 분배 노드 장치로 전달하는, 양자키 분배 노드 장치.
  2. 제1항에 있어서, 양자키 분배부 및 양자키 동기 관리부는
    동일한 개수로 일대일 연결되되,
    개수는,
    하나 이상인, 양자키 분배 노드 장치.
  3. 제1항에 있어서, 양자키 통합부는,
    내부의 라우팅 테이블을 기반으로 다른 암호장치의 ID에 상응하는 경로를 검색하고, 경로 상에 중계 역할을 하는 중계 양자키 분배 노드 장치가 존재할 경우, 중계 양자키 분배 노드 장치와 공유하는 송신 양자키로 암호화한 마스터 키, 마스터 키 ID, 경로 정보 및 양자키 ID를 포함하는 패킷을 중계 양자키 분배 노드 장치로 전달하는, 양자키 분배 노드 장치.
  4. 제1항에 있어서, 다른 암호장치가,
    자신과 연결된 경우,
    양자키 통합부는,
    다른 암호 장치로부터 마스터 키 ID를 통한 키 요청에 따라 상응하는 마스터 키를 전달하는, 양자키 분배 노드 장치.
  5. 제1항에 있어서, 양자키 통합부는,
    연결된 암호장치로부터 복수의 암호장치들의 ID를 매개로 그룹 키가 요청됨에 따라, 난수로 생성된 그룹 키 및 그룹 키 ID를 암호 장치에 전달함과 아울러 내부의 라우팅 테이블과 복수의 암호 장치들의 ID를 이용하여 그룹 키를 전달할 경로를 검색하고, 경로 상의 다음 양자키 분배 노드 장치와 공유하는 송신 양자키로 암호화한 그룹 키, 그룹 키 ID, 경로 정보, 복수의 암호 장치들의 ID 및 양자키 ID를 포함하는 패킷을 경로 상의 다음 양자키 분배 노드 장치로 전달하는, 양자키 분배 노드 장치.
  6. 제1항에 있어서, 양자키 통합부는,
    연결된 암호장치로부터 대용량 마스터 키 요청됨에 따라, 대용량 마스터 키를 송신 양자키를 사용하여 부 암호로 암호화하는, 양자키 분배 노드 장치.
  7. 양자키 및 양자키 ID를 생성하는 양자키 분배부;
    양자키 분배부에 의해 생성된 양자키 및 양자키 ID를 송신 양자키 및 수신 양자키로 분배 저장함과 아울러 다른 양자키 분배 노드 장치와 송신 양자키 및 수신 양자키를 공유하는 양자키 동기 관리부: 및
    연결된 암호장치로부터 마스터 키 ID가 수신됨에 따라 상응하는 마스터 키를 해당 암호 장치로 전달하는 양자키 통합부를 포함하되,
    양자키 통합부는,
    다른 양자키 분배 노드 장치로부터 수신한 암호화한 마스터 키, 마스터 키 ID 및 양자키 ID를 포함하는 패킷에 포함된 마스터 키를 다른 양자키 분배 노드 장치의 양자키 동기 관리부와 공유하는 수신 양자키로 복호화한 후, 복호화한 마스터 키를 해당 암호 장치로 전달하는, 양자키 분배 노드 장치.
  8. 제7항에 있어서, 양자키 분배부 및 양자키 동기 관리부는
    동일한 개수로 일대일 연결되되,
    개수는,
    하나 이상인, 양자키 분배 노드 장치.
  9. 제7항에 있어서, 양자키 통합부는,
    다른 양자키 분배 노드 장치로부터 패킷을 수신함에 따라, 패킷에 포함된 경로 정보를 기반으로 자신이 중계 역할임이 확인되면, 암호화된 마스터 키를 다른 양자키 분배 노드 장치와 연동되는 수신 양자키로 복호화하고,
    복호화된 마스터 키를 다음 경로의 또 다른 양자키 분배 노드 장치와 공유하는 송신 양자키로 암호화하고, 암호화한 마스터 키, 경로정보, 마스터 키 ID 및 양자키 ID를 패킷으로 생성하여 또 다른 양자키 분배 노드에 전달하는, 양자키 분배 노드 장치.
  10. 제7항에 있어서, 양자키 통합부는,
    패킷에 그룹 키 및 복수의 암호장치들의 ID이 포함되어 있을 경우, 복수의 암호 장치들의 ID 중 자신과 연결되는 암호장치에 상응하는 ID가 존재할 경우, 그룹 키와 그룹 키 ID를 저장하고, 패킷에서 자신이 포함된 경로 정보와 자신과 제1 암호 장치의 ID를 제거하는, 양자키 분배 노드 장치.
  11. 제7항에 있어서, 양자키 통합부는,
    마스터 키가,
    대용량 마스터 키일 경우, 부 암호로 복호화하는, 양자키 분배 노드 장치.
  12. 삭제
  13. 양자키 분배 노드 장치가 연결된 암호장치로부터 다른 암호장치와의 양자 암호 통신을 위한 마스터 키가 요청됨에 따라, 난수로 생성된 마스터 키 및 마스터 키 ID를 연결된 암호 장치에 전달하는 단계;
    다른 암호장치가 자신과 연결된 암호장치일 경우, 양자키 분배 노드 장치가 다른 암호 장치로부터 마스터 키 ID를 통한 마스터 키 요청에 따라 상응하는 마스터 키를 전달하는 단계를 포함하되,
    다른 암호장치가 자신과 연결된 암호장치가 아닐 경우, 양자키 분배 노드 장치가 다른 암호장치와 연결된 다른 양자키 분배 노드 장치와 공유하는 송신 양자키로 마스터 키를 암호화하고, 암호화된 마스터 키, 마스터 키 ID 및 양자키 ID를 포함하는 패킷을 다른 양자키 분배 노드 장치로 전달하는 단계를 더 포함하는, 양자키 분배 방법.
  14. 제13항에 있어서,
    다른 양자키 분배 노드 장치가 양자키 분배 노드 장치로부터 암호화한 마스터 키, 마스터 키 ID 및 양자키 ID를 포함하는 패킷을 수신함에 따라, 패킷에 포함된 마스터 키를 양자키 분배 노드 장치와 공유하는 수신 양자키로 복호화하여 저장하고, 연결된 암호장치로부터 마스터 키 ID를 통해 마스터 키 요청됨에 따라 마스터 키 ID에 상응하는 마스터 키를 암호장치로 전달하는 단계를 더 포함하는, 양자키 분배 방법.
  15. 제13항에 있어서, 패킷을 다른 양자키 분배 노드 장치로 전달하는 단계는,
    다른 암호장치가 자신과 존재하는 암호장치가 아닐 경우, 내부의 라우팅 테이블과 다른 암호장치 ID를 이용하여 라우팅 경로를 검색하는 단계; 및
    라우팅 경로 상에 중계 양자키 분배 노드 장치가 존재할 경우, 중계 양자키 분배 노드 장치와 공유하는 송신 양자키로 암호화하고, 마스터 키, 마스터 키 ID, 경로 정보 및 양자키 ID를 포함하는 패킷을 중계 양자키 분배 노드 장치로 전달하는 단계를 포함하는, 양자키 분배 방법.
  16. 제15항에 있어서,
    중계 양자키 분배 노드 장치가 양자키 분배 노드 장치로부터 패킷을 수신함에 따라, 패킷에 포함된 경로 정보를 기반으로 자신이 중계 역할임이 확인되면, 암호화된 마스터 키를 다른 양자키 통합부와 연동되는 수신 양자키로 복호화하고, 복호화된 마스터 키를 다음 경로의 또 다른 양자키 분배 노드 장치와 공유하는 송신 양자키로 암호화하고, 암호화한 마스터 키, 경로정보, 마스터 키 ID 및 양자키 ID를 패킷으로 생성하여 다른 양자키 분배 노드 장치에 전달하는 단계를 더 포함하는, 양자키 분배 방법.
  17. 제16항에 있어서,
    다른 양자키 분배 노드 장치가 중계 양자키 분배 노드 장치로부터 패킷을 수신함에 따라, 패킷에 포함된 경로 정보를 기반으로 자신이 최종 목적지임이 확인되면, 암호화된 마스터 키를 중계 양자키 통합부와 연동되는 수신 양자키로 복호화하고, 연결된 암호장치로부터 마스터 키 ID를 통해 마스터 키 요청됨에 따라 마스터 키 ID에 상응하는 마스터 키를 암호장치로 전달하는 단계를 더 포함하는, 양자키 분배 방법.
  18. 제13항에 있어서,
    연결된 암호장치로부터 복수의 암호장치들의 ID를 매개로 그룹 키가 요청됨에 따라, 양자키 분배 노드 장치는 난수로 그룹 키를 생성하고, 생성된 그룹 키 ID를 암호 장치에 전달하는 단계; 및
    내부의 라우팅 테이블과 복수의 암호 장치들의 ID를 이용하여 그룹 키를 전달할 경로를 검색하고, 경로 상의 다음 양자키 분배 노드 장치와 공유하는 송신 양자키로 암호화한 그룹 키, 그룹 키 ID, 경로 정보, 복수의 암호 장치들의 ID 및 양자키 ID를 포함하는 패킷을 경로 상의 다음 양자키 분배 노드 장치로 전달하는 단계를 더 포함하는, 양자키 분배 방법.
  19. 제18항에 있어서,
    경로 상의 다음 양자키 분배 노드 장치는 패킷에 그룹 키가 포함되어 있을 경우, 복수의 암호 장치들의 ID 중 자신과 연결되는 암호장치가 존재할 경우, 그룹 키와 그룹 키 ID를 저장하고, 패킷에서 자신이 포함된 경로 정보와 자신과 연결된 암호 장치의 ID를 제거하는 단계를 더 포함하는, 양자키 분배 방법.
  20. 제14항에 있어서, 마스터 키는,
    대용량 마스터 키일 경우, 부 암호로 암호화 또는 복호화되는, 양자키 분배 방법.
KR1020200082051A 2020-07-03 2020-07-03 양자 키 분배 노드 장치 및 그 장치에서의 양자키 분배 방법 KR102592873B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020200082051A KR102592873B1 (ko) 2020-07-03 2020-07-03 양자 키 분배 노드 장치 및 그 장치에서의 양자키 분배 방법
US17/069,073 US11316677B2 (en) 2020-07-03 2020-10-13 Quantum key distribution node apparatus and method for quantum key distribution thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200082051A KR102592873B1 (ko) 2020-07-03 2020-07-03 양자 키 분배 노드 장치 및 그 장치에서의 양자키 분배 방법

Publications (2)

Publication Number Publication Date
KR20220004877A KR20220004877A (ko) 2022-01-12
KR102592873B1 true KR102592873B1 (ko) 2023-10-25

Family

ID=79167108

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200082051A KR102592873B1 (ko) 2020-07-03 2020-07-03 양자 키 분배 노드 장치 및 그 장치에서의 양자키 분배 방법

Country Status (2)

Country Link
US (1) US11316677B2 (ko)
KR (1) KR102592873B1 (ko)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102222080B1 (ko) * 2020-02-24 2021-03-04 한국전자통신연구원 양자 개체 인증 장치 및 방법
US11895233B2 (en) 2020-12-28 2024-02-06 Mellanox Technologies, Ltd. Quantum key distribution enabled intra-datacenter network
US11711210B2 (en) * 2020-12-28 2023-07-25 Mellanox Technologies, Ltd. Quantum key distribution-based key exchange orchestration service
US11848711B2 (en) 2022-02-18 2023-12-19 Mellanox Technologies, Ltd. Network interface card for quantum computing over classical and quantum communication channels
GB2617907A (en) * 2022-03-16 2023-10-25 Honeywell Ltd Honeywell Limitee Method and system for secure distribution of symmetric encryption keys using quantum key distribution (QKD)
JP2023139648A (ja) * 2022-03-22 2023-10-04 株式会社東芝 鍵管理装置、量子暗号通信システム及びプログラム
US11791994B1 (en) * 2022-03-31 2023-10-17 Juniper Networks, Inc. Quantum cryptography in an internet key exchange procedure
CN114531238B (zh) * 2022-04-24 2022-07-19 中电信量子科技有限公司 基于量子密钥分发的密钥安全充注方法及系统
GB2619913A (en) * 2022-06-14 2023-12-27 Arqit Ltd Group key sharing
KR102609406B1 (ko) * 2022-06-17 2023-12-04 한국과학기술정보연구원 Tls 프로토콜 기반 통신 장치 및 공유키 확장 방법
CN114844639B (zh) * 2022-07-04 2022-09-06 中国长江三峡集团有限公司 基于量子密钥的数据传输方法、系统及存储介质
US11949463B1 (en) 2022-12-08 2024-04-02 Mellanox Technologies, Ltd. Measurement based methods for accessing and characterizing quantum communication channels
CN116506119B (zh) * 2023-05-23 2024-01-26 中安网脉(北京)技术股份有限公司 一种基于路由寻址的密钥分发网络组建方法
CN116865966B (zh) * 2023-09-04 2023-12-05 中量科(南京)科技有限公司 基于量子密钥生成工作密钥的加密方法、装置及存储介质
CN117176345B (zh) * 2023-10-31 2024-01-09 中电信量子科技有限公司 量子密码网络密钥中继动态路由方法、装置及系统
CN117241267B (zh) * 2023-11-15 2024-01-12 合肥工业大学 一种基于区块链适用于v2i场景下量子组密钥分发方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101776137B1 (ko) 2014-10-30 2017-09-19 에스케이 텔레콤주식회사 양자 키 분배 시스템에서 복수의 장치에 키를 공급하는 장치 및 방법
CN106161402B (zh) * 2015-04-22 2019-07-16 阿里巴巴集团控股有限公司 基于云环境的加密机密钥注入系统、方法及装置
CN107086907B (zh) 2016-02-15 2020-07-07 阿里巴巴集团控股有限公司 用于量子密钥分发过程的密钥同步、封装传递方法及装置
JP2018033079A (ja) * 2016-08-26 2018-03-01 株式会社東芝 通信装置、通信システム及び通信方法
CN109787751A (zh) * 2017-11-14 2019-05-21 阿里巴巴集团控股有限公司 量子密钥的分发系统及其分发方法和数据处理方法
US11411722B2 (en) * 2019-05-03 2022-08-09 Quantumxchange, Inc. Method of operation of a quantum key controller
US11451383B2 (en) * 2019-09-12 2022-09-20 General Electric Company Communication systems and methods

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ETSI GS QKD 014 V1.1.1(2019.02.) 1부.*
KS X ISO/IEC 11770-2(2011.12.29.) 1부.*

Also Published As

Publication number Publication date
KR20220004877A (ko) 2022-01-12
US11316677B2 (en) 2022-04-26
US20220006627A1 (en) 2022-01-06

Similar Documents

Publication Publication Date Title
KR102592873B1 (ko) 양자 키 분배 노드 장치 및 그 장치에서의 양자키 분배 방법
CN106209739B (zh) 云存储方法及系统
Tysowski et al. The engineering of a scalable multi-site communications system utilizing quantum key distribution (QKD)
EP2924948B1 (en) External indexing and search for a secure cloud collaboration system
US9509510B2 (en) Communication device, communication method, and computer program product
JP2020010368A (ja) 航空機間通信向け暗号鍵を安全に確立するための方法およびシステム
US11469888B2 (en) Tamper detection in a quantum communications system
US20210044433A1 (en) Method of operation of a trusted node software in a quantum key distribution system
CN107094076B (zh) 基于量子真随机数的保密通信方法及通信系统
US11424913B2 (en) Key exchange system and key exchange method
CN107040378A (zh) 一种基于多用户远程通信的密钥分配系统与方法
WO2019062298A1 (zh) 基于密钥异地存储的加密数据存储系统及方法
CN101651539A (zh) 更新及分配加密密钥
CN102970299A (zh) 文件安全保护系统及其方法
CA2462448A1 (en) Access and control system for network-enabled devices
CN108199838A (zh) 一种数据保护方法及装置
CN111132143B (zh) 一体化多媒体智能设备安全保护系统及方法
CN110417706A (zh) 一种基于交换机的安全通信方法
CN111245618A (zh) 基于量子密钥的物联网保密通信系统及方法
WO2022211731A1 (en) Secure symmetric key distribution
CN106936870A (zh) 网络数据共享平台、共享方法和共享系统
CN109327452A (zh) 加密方法、装置、设备及存储介质
KR102558457B1 (ko) 양자 난수 기반의 가상 사설망을 구축하기 위한 장치 및 방법
Borisov et al. Adaptation of an authentication protocol based on asymmetric keys for use in UAV C2 link security systems
CN110086800B (zh) 一种保密通信的方法和装置

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant