KR20220006885A - 네트워크 암호화 서비스를 위한 장치 및 방법 - Google Patents

네트워크 암호화 서비스를 위한 장치 및 방법 Download PDF

Info

Publication number
KR20220006885A
KR20220006885A KR1020200084861A KR20200084861A KR20220006885A KR 20220006885 A KR20220006885 A KR 20220006885A KR 1020200084861 A KR1020200084861 A KR 1020200084861A KR 20200084861 A KR20200084861 A KR 20200084861A KR 20220006885 A KR20220006885 A KR 20220006885A
Authority
KR
South Korea
Prior art keywords
encryption
network
key
encryption key
external
Prior art date
Application number
KR1020200084861A
Other languages
English (en)
Other versions
KR102432183B1 (ko
Inventor
정상민
문경학
진재환
Original Assignee
주식회사 엘지유플러스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘지유플러스 filed Critical 주식회사 엘지유플러스
Priority to KR1020200084861A priority Critical patent/KR102432183B1/ko
Publication of KR20220006885A publication Critical patent/KR20220006885A/ko
Application granted granted Critical
Publication of KR102432183B1 publication Critical patent/KR102432183B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 실시예는 대칭키 암호화 방식을 활용할 수 있는 네트워크 장비가 외부의 암호키 장비와 연동하여 다양한 암호 알고리즘을 능동적으로 활용할 수 있도록 하는 네트워크 암호화 서비스를 위한 장치에 관한 것으로, 대칭키를 기초로 데이터를 암호화 또는 복호화 하여 네트워크전송채널을 통해 송신 또는 수신하기 위한 암호화네트워크장비; 및 암호키 교환 알고리즘을 수행하여 생성된 대칭키를 대칭키교환인터페이스를 통해 상기 암호화네트워크장비로 제공하기 위한 외부암호키장비;를 포함하고, 송신측 외부암호키장비와 수신측 외부암호키장비는 각각 암호키 교환 알고리즘의 수행 시 서로 암호키 정보를 교환해서 상기 대칭키를 생성하되, 상기 암호키 정보는 외부암호키장비와 암호화네트워크장비 간에 정의된 정보교환인터페이스 및 상기 네트워크전송채널을 통해 교환될 수 있다.

Description

네트워크 암호화 서비스를 위한 장치 및 방법{Apparatus and method for network encryption service}
본 발명은 네트워크 암호화 서비스 관련 기술에 관한 것으로, 보다 상세하게는 대칭키 암호화 방식을 활용할 수 있는 네트워크 장비가 외부의 암호키 (생성) 장비와 연동하여 다양한 암호 알고리즘을 능동적으로 활용할 수 있도록 하는, 네트워크 암호화 서비스를 위한 장치 및 방법에 관한 것이다.
일반적으로, 암호화란 데이터(평문)를 원하는 상대방 외에는 알아볼 수 없는 데이터의 형태(암호문)로 바꾸어 데이터의 탈취와 복제/변조를 방지하는 보안 솔루션으로, 암호화된 데이터를 원래의 데이터로 바꾸는 과정은 복호화라고 한다.
암호화를 통한 보안 서비스 제공을 위해서는 암/복호화 및 키교환이 필요하다.
즉, 도 1과 같이 암/복호화는 평문의 데이터를 타인이 취득하지 못하도록 Encryptor를 통해 암호문으로 변환(암호화)하거나, 수신한 암호문에서 취득하고자 하는 평문을 구하기 위해 Decryptor를 통한 변환(복호화) 과정이 필요하다. 암/복호화를 위해서는 두 당사자간의 약속된 암호키가 필요하며 이 암호키를 안전하게 교환하기 위한 방법을 키교환이라고 한다. 암호키의 교환은 물리적, 논리적 방법으로 공유가 가능하며, 송신부와 수신부가 동일한 암호키를 활용하여 암/복호화를 수행하는 것을 대칭키 암호화 방식이라고 한다.
일반적인 암호화 네트워크 장비는 도 2에 도시된 바와 같이 장비 내에 암호키를 생성하고 이를 교환하기 위한 연산을 수행하는 암호화 기능처리부와 네트워크의 프로토콜에 따라 정보 전달을 수행하는 네트워크 기능 처리부를 포함한다. 일반적으로 암호화 네트워크 장비의 암호화 기능 처리부는 내장되어 있는 암/복호화 알고리즘과 암호키 교환 알고리즘을 수행한다.
도 2와 같은 암호화 네트워크 장비의 내장된 알고리즘은 H/W적, S/W적으로 구현되어 있으며 그 방식은 장비 제조사에 종속되어 있어, 사업자가 원하는 보안 기술(신규 암호알고리즘 등) 적용에 한계가 있다.
도 2와 같은 암호화 네트워크 장비의 한계를 극복하기 위하여, ETSI GS014 표준 등에서는 도 3에 도시된 바와 같이 양자암호키 교환장비와 암호화 네트워크 장비와의 연동을 위한 외부 암호키 연동 인터페이스(대칭키 교환 인터페이스)를 규정하고 있으나, 이 방식은 암호화에 필요한 암호키가 별도의 양자채널을 통해 교환되는 경우 활용 가능한 인터페이스로 양자암호키 교환 장비 없이 적용이 불가능하다.
전술한 바와 같은 종래 기술의 문제점은 다음과 같다.
1) 암호화 기능을 제공하는 종래의 암호화 네트워크 장비는 네트워크 장비가 제공하는 암호 알고리즘을 통해서만 암호화 기능 제공이 가능하며 이종 장비 간의 암/복호화 기능 제공이 어렵고, 이에 따라 장비 제조사 별 의존성이 발생하는 단점이 있다.
2) 네트워크의 물리계층인 L1 계층에 대한 암호화는 새로운 암호 알고리즘을 적용하기 위해서는 암호키 교환 등을 위해 정보를 교환하기 위한 별도의 채널이 필요한 단점이 있다. 예를 들어, 광전송장비가 사용하는 OTN 프로토콜의 프레임 헤더에 암호키 교환을 위한 별도의 채널 할당이 필요한 단점이 있다.
3) 암호키 교환 알고리즘에 따라 암호키의 크기가 서로 다르거나 키 교환에 필요한 정보 전달 방법이 상이해 네트워크 장비 별로 별도 H/W 개발/개선이 필요한 단점이 있다.
공개특허공보 제10-2018-0104296호(2018.09.20.)
본 발명은 전술한 종래의 문제점을 해결하기 위한 것으로, 그 목적은 대칭키 암호화 방식을 활용할 수 있는 네트워크 장비가 외부의 암호키 (생성) 장비와 연동하여 다양한 암호 알고리즘을 능동적으로 활용할 수 있도록 하는, 네트워크 암호화 서비스를 위한 장치 및 방법을 제공하는 것이다.
전술한 목적을 달성하기 위하여 본 발명의 일 측면에 따른 네트워크 암호화 서비스를 위한 장치는, 대칭키를 기초로 데이터를 암호화 또는 복호화 하여 네트워크전송채널을 통해 송신 또는 수신하기 위한 암호화네트워크장비; 및 암호키 교환 알고리즘을 수행하여 생성된 대칭키를 대칭키교환인터페이스를 통해 상기 암호화네트워크장비로 제공하기 위한 외부암호키장비;를 포함하고, 송신측 외부암호키장비와 수신측 외부암호키장비는 각각 암호키 교환 알고리즘의 수행 시 서로 암호키 정보를 교환해서 상기 대칭키를 생성하되, 상기 암호키 정보는 외부암호키장비와 암호화네트워크장비 간에 정의된 정보교환인터페이스 및 상기 네트워크전송채널을 통해 교환될 수 있다.
상기 암호화네트워크장비는 암호화 또는 복호화를 수행하기 위한 암호화기능처리부와, 네트워크 프로토콜에 따라 네트워크전송채널을 통해 정보의 송신 및 수신을 수행하기 위한 네트워크기능처리부를 포함할 수 있다.
상기 정보교환인터페이스는 외부암호키장비와 암호화네트워크장비의 암호화기능처리부 간에 연결되거나, 외부암호키장비와 암호화네트워크장비의 네트워크기능처리부 간에 연결될 수 있으며, 또한 상기 정보교환인터페이스는 논리적 인터페이스 및 물리적 인터페이스 중 적어도 하나를 포함할 수 있다.
전술한 목적을 달성하기 위하여 본 발명의 다른 측면에 따른 네트워크 암호화 서비스를 위한 방법은, (a) 암호화네트워크장비에서, 대칭키를 기초로 데이터를 암호화 또는 복호화 하여 네트워크전송채널을 통해 송신 또는 수신하기 위한 단계; (b) 외부암호키장비에서, 암호키 교환 알고리즘을 수행하여 생성된 대칭키를 대칭키교환인터페이스를 통해 상기 암호화네트워크장비로 제공하기 위한 단계; 및 (c) 송신측 외부암호키장비와 수신측 외부암호키장비에서 각각 암호키 교환 알고리즘의 수행 시 서로 암호키 정보를 교환해서 상기 대칭키를 생성하되, 외부암호키장비와 암호화네트워크장비 간에 정의된 정보교환인터페이스 및 상기 네트워크전송채널을 통해 상기 암호키 정보를 교환하는 단계;를 포함할 수 있다.
상기 단계 (a)는 상기 암호화네트워크장비의 암호화기능처리부에서 암호화 또는 복호화를 수행하기 위한 단계와, 상기 암호화네트워크장비의 네트워크기능처리부에서 네트워크 프로토콜에 따라 네트워크전송채널을 통해 정보의 송신 및 수신을 수행하기 위한 단계를 포함할 수 있다.
상기 정보교환인터페이스는 일 예로 외부암호키장비와 암호화네트워크장비의 암호화기능처리부 간에 연결되거나, 다른 예로 외부암호키장비와 암호화네트워크장비의 네트워크기능처리부 간에 연결될 수 있다.
상기 정보교환인터페이스는 논리적 인터페이스 및 물리적 인터페이스 중 적어도 하나를 포함할 수 있다.
전술한 목적을 달성하기 위하여 본 발명의 또 다른 측면에 따르면 상기 네트워크 암호화 서비스를 위한 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록 매체를 제공할 수 있다.
전술한 목적을 달성하기 위하여 본 발명의 또 다른 측면에 따르면 상기 네트워크 암호화 서비스를 위한 방법을 하드웨어와 결합하여 실행시키기 위하여 컴퓨터로 읽을 수 있는 기록 매체에 저장된 애플리케이션을 제공할 수 있다.
전술한 목적을 달성하기 위하여 본 발명의 또 다른 측면에 따르면 상기 네트워크 암호화 서비스를 위한 방법을 컴퓨터에서 실행시키기 위하여 컴퓨터에서 읽을 수 있는 기록 매체에 저장된 컴퓨터 프로그램을 제공할 수 있다.
이상에서 설명한 바와 같이 본 발명의 다양한 측면에 따르면, 대칭키 암호화 방식을 활용할 수 있는 네트워크 장비가 외부의 암호키 (생성) 장비와 연동하여 다양한 암호 알고리즘을 능동적으로 활용할 수 있다.
즉, 네트워크 장비와 외부의 암호키 (생성) 장비 간에 별도의 정보 교환 인터페이스를 정의하고 그 정보교환 인터페이스와 네트워크(에 기 구축된)의 일반 데이터 전송채널을 통해 송신측 외부 암호키 장비와 수신측 외부 암호키 정보 간에 대칭키를 공유하기 위한 암호키 정보를 교환할 수 있도록 함으로써 좀더 유연하고 다양한 암호화 기술을 활용할 수 있다.
따라서, 이종 네트워크 장비 간의 암/복호화 기능을 제공할 수 있어 장비 제조사 별 의존성을 배제할 수 있으므로, 서로 다른 제조사를 가진 네트워크 장비 간에도 암호화 통신이 가능하며 기존에 양자채널을 경유하는 것이 아닌 일반 전송채널을 통해서 키 공유가 가능해진 장점이 있다.
또한, 정보교환인터페이스 및 네트워크전송채널을 통해 암호키 정보를 교환하므로 새로운 암호 알고리즘의 적용 시 암호키 정보의 교환 등을 위하여 별도로 채널 할당을 하지 않아도 된다.
또한, 암호키 교환 알고리즘에 따라 암호키의 크기가 서로 다르거나 키 교환에 필요한 정보 전달 방법이 상이하더라도 네트워크 장비 별로 별도 H/W 개발/개선이 불필요하다.
도 1 내지 도 3은 종래 암호 통신 기술을 설명하기 위한 도면,
도 4는 본 발명의 일 실시예에 따른 네트워크 암호화 서비스를 위한 장치의 구성도,
도 5는 본 발명의 다른 실시예에 따른 네트워크 암호화 서비스를 위한 장치의 구성도,
도 6은 본 발명의 예시적인 일 실시예에 따른 네트워크 암호화 서비스를 위한 방법의 흐름도,
도 7은 본 발명의 예시적인 다른 실시예에 따른 네트워크 암호화 서비스를 위한 방법의 흐름도,
도 8은 본 발명의 예시적인 또 다른 실시예에 따른 네트워크 암호화 서비스를 위한 방법의 흐름도이다.
이하, 첨부도면을 참조하여 본 발명의 실시예에 대해 구체적으로 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 한다. 또한, 본 발명의 실시예에 대한 설명 시 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
도 4는 본 발명의 일 실시예에 따른 네트워크 암호화 서비스를 위한 장치의 구성도이고, 도 5는 본 발명의 다른 실시예에 따른 네트워크 암호화 서비스를 위한 장치의 구성도이다.
본 발명의 실시예에 따른 네트워크 암호화 서비스를 위한 장치는, 도 4-5에 도시된 바와 같이, 암호화네트워크장비(10) 및 외부암호키장비(30)를 포함할 수 있다.
암호화네트워크장비(10)는 외부암호키장비(30)로부터 제공받은 대칭키를 기초로 데이터를 암호화 또는 복호화 하여 네트워크전송채널(90)을 통해 송신 또는 수신하기 위한 장비를 나타내는 것으로, 예를 들어, 네트워크전송채널(90)을 통해 서로 연결된 암호화네트워크장비 A(10A) 및 암호화네트워크장비 B(10B)를 포함할 수 있다.
암호화네트워크장비 A, B(10A,10B)는 각각 암호화기능처리부(11a,11b) 및 네트워크기능처리부(13a,13b)를 포함할 수 있다.
암호화기능처리부(11a,11b)는 암호화 또는 복호화를 수행하기 위한 것이고, 네트워크기능처리부(13a,13b)는 네트워크 프로토콜에 따라 네트워크전송채널(90)을 통해 정보의 송신 및 수신을 수행하기 위한 것이다.
본 발명의 실시예에서 암호화네트워크장비 A(10A) 및 암호화네트워크장비 B(10B)는 각각 송신(또는 수신) 측 암호화네트워크장비 및 수신(또는 송신) 측 암호화네트워크장비로 동작할 수 있다.
외부암호키장비(30)는 암호키 교환 알고리즘을 수행하여 생성된 대칭키를 대칭키교환인터페이스(70)를 통해 암호화네트워크장비(10)로 제공하기 위한 장비를 나타내는 것으로, 예를 들어, 송신(또는 수신) 측 외부암호키장비 A(30A) 및 수신(또는 송신) 측 외부암호키장비 B(30b)를 포함할 수 있다.
외부암호키장비(30)와 암호화네트워크장비(10)는 정보교환인터페이스(50) 및 대칭키교환인터페이스(70)를 통해 서로 연결되는데, 예를 들어, 외부암호키장비 A(30A)와 암호화네트워크장비 A(10A)는 정보교환인터페이스(50A) 및 대칭키교환인터페이스(70A)를 통해 서로 연결되고, 외부암호키장비 B(30B)와 암호화네트워크장비 B(10B)는 정보교환인터페이스(50B) 및 대칭키교환인터페이스(70B)를 통해 서로 연결될 수 있다.
송신측 외부암호키장비 A(30A)와 수신측 외부암호키장비 B(30B)는 각각 암호키 교환 알고리즘의 수행 시 서로 암호키 정보를 교환해서 대칭키를 생성하되, 암호키 정보는 외부암호키장비(30,30A,30B)와 암호화네트워크장비(10,10A,10B) 간에 정의된 정보교환인터페이스(50,50A,50B) 및 암호화네트워크장비(10,10A,10B) 간에 정의된 네트워크전송채널(90)을 통해 교환될 수 있다.
본 발명의 실시예에서 정보교환인터페이스(50,50A,50B)는 논리적 인터페이스 및 물리적 인터페이스 중 적어도 하나를 포함할 수 있다.
키교환을 위한 암호키 교환 알고리즘은 외부암호키장비(30,30A,30B)에 따라 다양한 방식의 알고리즘을 활용할 수 있다. 이 때, 외부암호키장비(30,30A,30B)는 암호키 교환 알고리즘의 연산을 수행하는 장비를 의미하며, 이 알고리즘은 S/W 및 ASIC 방식 등으로 구현할 수 있다.
외부암호키장비(30,30A,30B)에 내재된 암호키 교환 알고리즘의 종류에 따라, 서로 떨어져 있는 두 암호키장비 A(30A)와 B(30B) 간에 교환이 필요한 암호키 정보가 있을 수 있다. 암호키정보란 공개키, 암호화된 대칭키, 알고리즘에 따라 필요한 파라미터, 암호키 교환을 위해 필요한 추가적인 정보들 등을 의미할 수 있다.
이때, 교환이 필요한 암호키 정보를 위하여 본 실시예에서는 별도의 정보교환인터페이스(50,50A,50B)를 정의하였다. 정보교환인터페이스(50,50A,50B)는 논리적/물리적 인터페이스를 포함할 수 있으며, 암호화네트워크장비(10,10A,10B)는 정보교환인터페이스(50,50A,50B)를 통해 외부암호키장비(30,30A,30B)로부터 전달받은 암호키 정보를 네트워크기능처리부(13a,13b)를 통해 전송채널(90)로 전달하고, 상대측 암호화네트워크장비(10,10A,10B)는 이를 받아 정보교환인터페이스(50,50A,50B)를 통해 외부암호키장비(30,30A,30B)로 전달한다.
본 실시예에 따르면 외부암호키장비(30,30A,30B) 간 교환이 필요한 암호키 정보를 서로 떨어져 있는 두 암호화네트워크장비(10,10A,10B)간의 일반 데이터 전송 채널인 네트워크전송채널(90)을 통해 주고받을 수 있다.
암호키 정보는 공개키/비밀키 방식의 암호화에서 사용하는 공개키 뿐 아니라 특수한 암호키 교환 알고리즘에서 활용하는 공개 가능한 정보를 포함할 수 있다. 이 과정을 통해 두 외부암호키장비(30,30A,30B)는 암호화기능처리부(11a,11b)에서 활용할 암호키를 교환한다.
외부암호키장비(30,30A,30B)와 암호화네트워크장비(10,10A,10B)간의 정보교환인터페이스(50,50A,50B)는, 일 예로 도 4에 도시된 바와 같이 암호화기능처리부(11a,11b)와 연결될 수도 있고, 다른 예로 도 5에 도시된 바와 같이 네트워크기능처리부(13a,13b)와 연결될 수 있다.
전술한 본 발명의 실시예에 따르면, 대칭키 암호화 방식을 활용하기 위해 외부암호키장비(30,30A,30B)가 서로 같은 암호키를 교환하기 위해 특정한 암호키 교환 알고리즘을 연산하고 이를 정보교환인터페이스(50,50A,50B) 및 네트워크전송채널(90)을 통해 서로 떨어진 두 외부암호키장비(30,30A,30B)가 암호키 정보를 교환하여 공통된 대칭키를 가지게 된다. 두 외부암호키장비(30,30A,30B)는 교환된 대칭키 암호키를 대칭키교환인터페이스(70,70A,70B)를 통해 암호화네트워크장비(10,10A,10B)에 전달한다. 암호화네트워크장비(10,10A,10B)는 암호화기능처리부(11a,11b)에서 해당 대칭키를 통해 평문을 암호화하거나 암호문을 평문으로 복호화 한다.
도 6은 본 발명의 예시적인 일 실시예에 따른 네트워크 암호화 서비스를 위한 방법의 흐름도로서, 도 4-5의 장치에 적용되므로 해당 장치의 동작과 병행하여 설명한다.
먼저, 송수신 측의 두 외부암호키장비 A(30A)와 B(30B)는 키교환을 위한 암호키 교환 알고리즘의 연산을 수행한다(S601, S603).
외부암호키장비 A(30A)와 B(30B)는 단계 S601 및 S603에서 각각 암호키 교환 알고리즘의 수행 시 서로 암호키 정보를 교환하는데, 암호키 정보의 교환 시 외부암호키장비 A(30A)로부터 외부암호키장비 B(30B)로의 암호키 정보의 전송 경로는 외부암호키장비 A(30A)로부터 정보교환인터페이스(50A)를 통해 암호화네트워크장비 A(10A)로 암호키 정보가 전달되고(S605), 암호화네트워크장비 A(10A)로부터 네트워크전송채널(90)을 통해 암호화네트워크장비 B(10B)로 암호키 정보가 전달되며(S607), 암호화네트워크장비 B(10B)로부터 정보교환인터페이스(50B)를 통해 외부암호키장비 B(30B)로 암호키 정보가 전달된다(S609).
또한, 외부암호키장비 B(30B)로부터 외부암호키장비 A(30A)로의 암호키 정보의 전송 경로는 외부암호키장비 B(30B)로부터 정보교환인터페이스(50B)를 통해 암호화네트워크장비 B(10B)로 암호키 정보가 전달되고(S611), 암호화네트워크장비 B(10B)로부터 네트워크전송채널(90)을 통해 암호화네트워크장비 A(10A)로 암호키 정보가 전달되며(S613), 암호화네트워크장비 A(10A)로부터 정보교환인터페이스(50A)를 통해 외부암호키장비 A(30A)로 암호키 정보가 전달된다(S615).
전술한 단계 S605 및 S615에서 정보교환인터페이스(50A)는, 일 예로 도 4에 도시된 바와 같이 암호화네트워크장비(10A)의 암호화기능처리부(11a)와 외부암호키장비(30A) 간에 연결되거나, 다른 예로 도 5에 도시된 바와 같이 암호화네트워크장비(10A)의 네트워크기능처리부(13a)와 외부암호키장비(30A) 간에 연결될 수 있다.
전술한 단계 S609 및 S611에서 정보교환인터페이스(50B)는, 일 예로 도 4에 도시된 바와 같이 암호화네트워크장비(10B)의 암호화기능처리부(11b)와 외부암호키장비(30B) 간에 연결되거나, 다른 예로 도 5에 도시된 바와 같이 암호화네트워크장비(10B)의 네트워크기능처리부(13b)와 외부암호키장비(30B) 간에 연결될 수 있다.
전술한 단계 S601-S615의 수행으로 송수신 측의 두 외부암호키장비 A(30A)와 B(30B)는 각각 서로 대응하는 대칭키를 생성하고(S617, S619), 송신 측의 외부암호키장비 A(30A)는 대칭키교환인터페이스(70A)를 통해 송신 측 암호화네트워크장비 A(10A)로 생성된 대칭키를 제공하며(S621), 수신 측의 외부암호키장비 B(30B)는 대칭키교환인터페이스(70B)를 통해 수신 측 암호화네트워크장비 B(10B)로 생성된 대칭키를 제공한다(S623).
암호화네트워크장비 A(10A)는 단계 S621에서 외부암호키장비 A(30A)로부터 받은 대칭키를 기초로 데이터의 암호화를 수행하고(S625), 해당 암호화 데이터를 네트워크전송채널(90)을 통해 암호화네트워크장비 B(10B)로 전송하며(S627), 암호화네트워크장비 B(10B)는 단계 S627에서 수신된 암호화 데이터를 단계 S623에서 외부암호키장비 B(30B)로부터 받은 대칭키를 기초로 복호화 한다(S629).
도 7은 본 발명의 예시적인 다른 실시예에 따른 네트워크 암호화 서비스를 위한 방법의 흐름도로서, 도 4-5의 장치에 적용되므로 해당 장치의 동작과 병행하여 설명한다.
도 7의 실시예는 외부암호키장비 A(30A)와 외부암호키장비 B(30B) 간에 공유된 대칭키가 존재하는 경우를 일 예로 설명한다.
암호화네트워크장비 A(10A)는 암호화네트워크장비 B(10B)와 암호통신을 하기 위해 외부암호키장비 A(30A)에 암호화네트워크장비 B(10B)와의 통신을 위한 암호키를 요청한다(S701).
외부암호키장비 A(30A)는 외부암호키장비 B(30B)와 공유한 대칭키를 암호화네트워크장비 A(10A)에 내려주고(S703), 암호화네트워크장비 A(10A)는 단계 S703에서 외부암호키장비 A(30A)로부터 받은 대칭(암호화)키를 통해 평문을 암호화하여(S705)여 암호화된 데이터를 암호화네트워크장비 B(10B)에 전달한다(S707).
암호화네트워크장비 B(10B)는 외부암호키장비 B(30B)에 대칭(복호화)키를 요청하고(S709), 외부암호키장비 B(30B)는 외부암호키장비 A(30A)와 공유한 대칭키를 암호화네트워크장비 B(10B)에 내려주고(S711), 암호화네트워크장비 B(10B)는 단계 S711에서 외부암호키장비 B(30B)로부터 받은 대칭(복호화)키를 이용하여 단계 S707에서 암호화네트워크장비 A(10A)로부터 수신된 암호화 데이터(암호문)를 복호화 한다(S713).
도 8은 본 발명의 예시적인 또 다른 실시예에 따른 네트워크 암호화 서비스를 위한 방법의 흐름도로서, 도 4-5의 장치에 적용되므로 해당 장치의 동작과 병행하여 설명한다.
도 8의 실시예는 외부암호키장비 A(30A)와 외부암호키장비 B(30B) 간에 공유된 대칭키가 존재하지 않는 경우를 일 예로 설명한다.
암호화네트워크장비 A(10A)가 암호화네트워크장비 B(10B)와 암호통신을 위한 암호키를 외부암호키장비 A(30A)에 요청했을 때, 사전 공유된 암호키가 없다면 외부암호키장비 A(30A)는 먼저 외부암호키장비 B(30B)와의 대칭키 교환과정을 수행한다. 본 실시예에서 대칭키 교환은, 예를 들어, 외부암호키장비 A(30A)와 외부암호키장비 B(30B) 사이의 암호키 교환 알고리즘으로서의 공개키 암호화 알고리즘을 통해 대칭키를 암호화해서 공유하는 Key Encapsulation 방식을 활용한다. 일 예로 RLizard라는 양자내성 공개키 암호화 알고리즘을 활용하여 외부암호키장비 A(30A)와 외부암호키장비 B(30B)에서 AES-256 방식의 암호화를 수행하기 위한 대칭키를 서로 교환한다. 이때 Key Encapsulation을 통한 대칭키 교환과정은 다음과 같다.
먼저, 암호화네트워크장비 A(10A)는 암호화네트워크장비 B(10B)와 암호통신을 하기 위해 외부암호키장비 A(30A)에 암호화네트워크장비 B(10B)와의 통신을 위한 암호키를 요청한다(S801).
외부암호키장비 A(30A)는 외부암호키장비 B(30B)와 대칭키를 암호화하여 공유하기 위해, 암호키 교환 알고리즘을 수행하고(S803), 외부암호키장비 B(30B)의 공개(암호화)키를 암호화네트워크장비 A(10A)와 암호화네트워크장비 B(10B)를 통해 외부암호키장비 B(30B)에 요청한다(S805~S809).
외부암호키장비 B(30B)는 암호키 교한 알고리즘으로서의 양자내성 알고리즘인 RLizard을 수행하여(S811) 생성된 공개(암호화)키를 암호화네트워크장비 B(10B)와 암호화네트워크장비 A(10A)를 통해 외부암호키장비 A(30A)에 전달하고, 이때 외부암호키장비 B(30B)는 공개(복호화)키를 보유한다(S813~S817).
외부암호키장비 A(30A)는 암호화네트워크장비 A(10A)와 암호화네트워크장비 B(10B) 간의 암호화에 필요한 대칭키를 자체적으로 생성하고(S819), 전달받은 외부암호키장비 B(30B)의 공개(암호화)키를 이용하여 대칭키를 암호화한다(S821).
외부암호키장비 A(30A)는 암호화네트워크장비 A(10A)에 암호화된 대칭키를 전달하고(S823), 암호화네트워크장비 A(10A)는 암호화된 대칭키를 암호화네트워크장비 B(10B)를 통해 외부암호키장비 B(30B)에 전달한다(S825~S827).
외부암호키장비 B(30B)는 자신이 보유한 공개(복호화)키를 이용하여 암호화된 대칭키를 복호화 한다(S829).
전술한 과정을 통해 외부암호키장비 A(30A)와 암호화네트워크장비 A(10A)는 대칭키를 공유하게 되고, 이후 암호화네트워크장비 A(10A)와 암호화네트워크장비 B(10B)는 데이터 암호화에 필요한 암호키(대칭키)를 각각 외부암호키장비 A(30A)와 암호화네트워크장비 A(10A)에 요청하여 암호화 통신을 수행하는데, 이러한 암호화네트워크장비 A(10A)와 암호화네트워크장비 B(10B) 간의 암호화 통신 과정은 도 7의 과정과 동일하므로 자세한 설명은 생략한다.
전술한 과정에서 단계 S805, 단계 S817, 및 단계 S823의 과정은 외부암호키장비 A(30A)와 암호화네트워크장비 A(10A) 간에 정의된 정보교환인터페이스(50A)를 통해 수행되고, 단계 S809, 단계 S813, 및 단계 S827의 과정은 외부암호키장비 B(30B)와 암호화네트워크장비 B(10B) 간에 정의된 정보교환인터페이스(50B)를 통해 수행되며, 단계 S807, 단계 S815, 및 S825의 과정은 암호화네트워크장비 A(10A)와 암호화네트워크장비 B(10B) 간의 네트워크전송채널(90)을 통해 수행된다.
도 8의 전술한 과정에서 전달되는 암호화된 대칭키, 상대방의 공개키, 알고리즘에 따라 필요한 파라미터 등이 도 6의 실시예의 암호키 정보를 나타낸다.
한편, 전술한 본 발명의 다양한 실시예에 따른 네트워크 암호화 서비스를 위한 방법에 따르면 해당 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록 매체를 구현할 수 있다.
다른 한편, 전술한 본 발명의 다양한 실시예에 따른 네트워크 암호화 서비스를 위한 방법에 따르면 해당 방법을 하드웨어와 결합하여 실행시키기 위하여 컴퓨터에서 읽을 수 있는 기록 매체에 저장된 애플리케이션을 구현할 수 있다.
또 다른 한편, 전술한 본 발명의 다양한 실시예에 따른 네트워크 암호화 서비스를 위한 방법에 따르면 해당 방법을 컴퓨터에서 실행시키기 위하여 컴퓨터에서 읽을 수 있는 기록 매체에 저장된 컴퓨터 프로그램을 구현할 수 있다.
예를 들어, 전술한 바와 같이 본 발명의 다양한 실시예에 따른 네트워크 암호화 서비스를 위한 방법은 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터 판독가능 기록 매체 또는 이러한 기록 매체에 저장된 애플리케이션으로 구현될 수 있다. 상기 컴퓨터 판독 가능 기록 매체는 프로그램 명령, 로컬 데이터 파일, 로컬 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 기록 매체는 본 발명의 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크와 같은 자기-광 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
10,10A,10B: 암호화네트워크장비
11a,11b: 암호화기능처리부
13a,13b: 네트워크기능처리부
30,30A,30B: 외부암호키장비
50,50A,50B: 정보교환인터페이스
70,70A,70B: 대칭키교환인터페이스
90: 네트워크전송채널

Claims (13)

  1. 대칭키를 기초로 데이터를 암호화 또는 복호화 하여 네트워크전송채널을 통해 송신 또는 수신하기 위한 암호화네트워크장비; 및
    암호키 교환 알고리즘을 수행하여 생성된 대칭키를 대칭키교환인터페이스를 통해 상기 암호화네트워크장비로 제공하기 위한 외부암호키장비;를 포함하고,
    송신측 외부암호키장비와 수신측 외부암호키장비는 각각 암호키 교환 알고리즘의 수행 시 서로 암호키 정보를 교환해서 상기 대칭키를 생성하되, 상기 암호키 정보는 외부암호키장비와 암호화네트워크장비 간에 정의된 정보교환인터페이스 및 상기 네트워크전송채널을 통해 교환되는 것을 특징으로 하는 네트워크 암호화 서비스를 위한 장치.
  2. 제1항에 있어서,
    상기 암호화네트워크장비는 암호화 또는 복호화를 수행하기 위한 암호화기능처리부와, 네트워크 프로토콜에 따라 네트워크전송채널을 통해 정보의 송신 및 수신을 수행하기 위한 네트워크기능처리부를 포함하는 것을 특징으로 하는 네트워크 암호화 서비스를 위한 장치.
  3. 제2항에 있어서,
    상기 정보교환인터페이스는 외부암호키장비와 암호화네트워크장비의 암호화기능처리부 간에 연결된 것을 특징으로 하는 네트워크 암호화 서비스를 위한 장치.
  4. 제2항에 있어서,
    상기 정보교환인터페이스는 외부암호키장비와 암호화네트워크장비의 네트워크기능처리부 간에 연결된 것을 특징으로 하는 네트워크 암호화 서비스를 위한 장치.
  5. 제1항에 있어서,
    상기 정보교환인터페이스는 논리적 인터페이스 및 물리적 인터페이스 중 적어도 하나를 포함하는 것을 특징으로 하는 네트워크 암호화 서비스를 위한 장치.
  6. (a) 암호화네트워크장비에서, 대칭키를 기초로 데이터를 암호화 또는 복호화 하여 네트워크전송채널을 통해 송신 또는 수신하기 위한 단계;
    (b) 외부암호키장비에서, 암호키 교환 알고리즘을 수행하여 생성된 대칭키를 대칭키교환인터페이스를 통해 상기 암호화네트워크장비로 제공하기 위한 단계; 및
    (c) 송신측 외부암호키장비와 수신측 외부암호키장비에서 각각 암호키 교환 알고리즘의 수행 시 서로 암호키 정보를 교환해서 상기 대칭키를 생성하되, 외부암호키장비와 암호화네트워크장비 간에 정의된 정보교환인터페이스 및 상기 네트워크전송채널을 통해 상기 암호키 정보를 교환하는 단계;
    를 포함하는 네트워크 암호화 서비스를 위한 방법.
  7. 제6항에 있어서,
    상기 단계 (a)는 상기 암호화네트워크장비의 암호화기능처리부에서 암호화 또는 복호화를 수행하기 위한 단계와, 상기 암호화네트워크장비의 네트워크기능처리부에서 네트워크 프로토콜에 따라 네트워크전송채널을 통해 정보의 송신 및 수신을 수행하기 위한 단계를 포함하는 것을 특징으로 하는 네트워크 암호화 서비스를 위한 방법.
  8. 제7항에 있어서,
    상기 정보교환인터페이스는 외부암호키장비와 암호화네트워크장비의 암호화기능처리부 간에 연결된 것을 특징으로 하는 네트워크 암호화 서비스를 위한 방법.
  9. 제7항에 있어서,
    상기 정보교환인터페이스는 외부암호키장비와 암호화네트워크장비의 네트워크기능처리부 간에 연결된 것을 특징으로 하는 네트워크 암호화 서비스를 위한 방법.
  10. 제6항에 있어서,
    상기 정보교환인터페이스는 논리적 인터페이스 및 물리적 인터페이스 중 적어도 하나를 포함하는 것을 특징으로 하는 네트워크 암호화 서비스를 위한 방법.
  11. 제6항 내지 제10항 중 어느 한 항의 상기 네트워크 암호화 서비스를 위한 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록 매체.
  12. 제6항 내지 제10항 중 어느 한 항의 상기 네트워크 암호화 서비스를 위한 방법을 하드웨어와 결합하여 실행시키기 위하여 컴퓨터로 읽을 수 있는 기록 매체에 저장된 애플리케이션.
  13. 제6항 내지 제10항 중 어느 한 항의 상기 네트워크 암호화 서비스를 위한 방법을 컴퓨터에서 실행시키기 위하여 컴퓨터에서 읽을 수 있는 기록 매체에 저장된 컴퓨터 프로그램.
KR1020200084861A 2020-07-09 2020-07-09 네트워크 암호화 서비스를 위한 장치 및 방법 KR102432183B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200084861A KR102432183B1 (ko) 2020-07-09 2020-07-09 네트워크 암호화 서비스를 위한 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200084861A KR102432183B1 (ko) 2020-07-09 2020-07-09 네트워크 암호화 서비스를 위한 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20220006885A true KR20220006885A (ko) 2022-01-18
KR102432183B1 KR102432183B1 (ko) 2022-08-16

Family

ID=80052071

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200084861A KR102432183B1 (ko) 2020-07-09 2020-07-09 네트워크 암호화 서비스를 위한 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102432183B1 (ko)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070140449A1 (en) * 2004-09-13 2007-06-21 Andrew Whitfield "Always-on" telemetry system and method
KR20120051344A (ko) * 2010-11-12 2012-05-22 한국전자통신연구원 휴대형 통합 보안 저장장치와 이를 이용하는 서비스 처리 장치 및 방법
KR20130066024A (ko) * 2011-12-12 2013-06-20 고려대학교 산학협력단 공개키 기반의 키 공유 메커니즘을 이용한 보안 키 설정 방법
KR20170035665A (ko) * 2015-09-23 2017-03-31 삼성에스디에스 주식회사 키 교환 장치 및 방법
KR20180104296A (ko) 2015-12-21 2018-09-20 아이디 퀀티크 에스.에이. 강화된 보안성 및 감소된 신뢰 요건을 갖는 양자 키 분배 장치 및 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070140449A1 (en) * 2004-09-13 2007-06-21 Andrew Whitfield "Always-on" telemetry system and method
KR20120051344A (ko) * 2010-11-12 2012-05-22 한국전자통신연구원 휴대형 통합 보안 저장장치와 이를 이용하는 서비스 처리 장치 및 방법
KR20130066024A (ko) * 2011-12-12 2013-06-20 고려대학교 산학협력단 공개키 기반의 키 공유 메커니즘을 이용한 보안 키 설정 방법
KR20170035665A (ko) * 2015-09-23 2017-03-31 삼성에스디에스 주식회사 키 교환 장치 및 방법
KR20180104296A (ko) 2015-12-21 2018-09-20 아이디 퀀티크 에스.에이. 강화된 보안성 및 감소된 신뢰 요건을 갖는 양자 키 분배 장치 및 방법

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Anwar, Tausif, Abhishek Kumar, and Sanchita Paul. "DNA cryptography based on symmetric key exchange." International Journal of Engineering and Technology 7.3 (2015) *
조창봉, 이상국, and 도경철. "일반망과 보안망을 연계한 네트워크 보안체계 설계." 한국군사과학기술학회지 12.5 (2009) *

Also Published As

Publication number Publication date
KR102432183B1 (ko) 2022-08-16

Similar Documents

Publication Publication Date Title
JP5361920B2 (ja) ファイルサーバシステム
US9197410B2 (en) Key management system
WO2016136024A1 (ja) 鍵付替え方向制御システムおよび鍵付替え方向制御方法
JP3570327B2 (ja) プロキシ暗号通信システム及び方法並びにプログラムを記録した記録媒体
US11314877B2 (en) Public key encrypted network printing
KR102432183B1 (ko) 네트워크 암호화 서비스를 위한 장치 및 방법
WO2015050030A1 (ja) 暗号処理方法、暗号システム、およびサーバ
EP1360570A1 (en) Encryption and decryption system for multiple node network
WO2022143727A1 (zh) 基于量子安全sim卡的通信系统及方法、量子安全sim卡、密钥服务平台
CN115828310A (zh) 一种基于隐私计算的数据查询方法、装置及存储介质
JP5745493B2 (ja) 鍵共有システム、鍵共有方法、プログラム
KR101311310B1 (ko) 암호 시스템 및 그 방법
KR101659912B1 (ko) 양자 메시지 인증을 위한 장치 및 방법
JP2005167635A (ja) 装置、及び、データ送受信方法
CN105791301A (zh) 一种面向多用户组群信密分离的密钥分发管理方法
JPH08139718A (ja) 暗号装置およびそれを利用した端末間通信方法
US11956359B2 (en) Privacy preserving identity data exchange based on hybrid encryption
JP2018142922A (ja) データ流通システム及びデータ流通方法
US11743039B2 (en) System and method for data encryption using key derivation
JP2018107625A (ja) データ配信システム、データ生成装置、仲介装置、データ配信方法、及びプログラム
WO2023199436A1 (ja) 暗号文変換システム、暗号文変換方法、及び暗号文変換プログラム
EP4123956A1 (en) Method for securely transferring data elements values
Parsovs Security of the proposed Mobile-ID document decryption feature
US20240137213A1 (en) Method for Arranging a Shared Cryptographic Key and Method for Encrypted Communication, Computer Program Product and Device
US20230300120A1 (en) System and method for lattice-based cryptography

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant