KR101993882B1 - Puf-qrng 양자보안 시스템 - Google Patents

Puf-qrng 양자보안 시스템 Download PDF

Info

Publication number
KR101993882B1
KR101993882B1 KR1020180023802A KR20180023802A KR101993882B1 KR 101993882 B1 KR101993882 B1 KR 101993882B1 KR 1020180023802 A KR1020180023802 A KR 1020180023802A KR 20180023802 A KR20180023802 A KR 20180023802A KR 101993882 B1 KR101993882 B1 KR 101993882B1
Authority
KR
South Korea
Prior art keywords
alice
bob
quantum
security terminal
key
Prior art date
Application number
KR1020180023802A
Other languages
English (en)
Inventor
채령
Original Assignee
채령
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 채령 filed Critical 채령
Priority to KR1020180023802A priority Critical patent/KR101993882B1/ko
Application granted granted Critical
Publication of KR101993882B1 publication Critical patent/KR101993882B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3278Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N10/00Quantum computing, i.e. information processing based on quantum-mechanical phenomena
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/12Arrangements for remote connection or disconnection of substations or of equipment thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B82NANOTECHNOLOGY
    • B82YSPECIFIC USES OR APPLICATIONS OF NANOSTRUCTURES; MEASUREMENT OR ANALYSIS OF NANOSTRUCTURES; MANUFACTURE OR TREATMENT OF NANOSTRUCTURES
    • B82Y10/00Nanotechnology for information processing, storage or transmission, e.g. quantum computing or single electron logic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Condensed Matter Physics & Semiconductors (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Electromagnetism (AREA)
  • Mathematical Analysis (AREA)
  • Computational Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Optical Communication System (AREA)

Abstract

Alice MASTER SERVER와 Bob MASTER SERVER는 내부망에 연결되어, Alice MASTER SERVER는 Alice QRNG에서 발생하는 무작위 양자난수를 수신하여 QUANTUM KEY를 생성하여 Bob MASTER SERVER로 전송하고, 외부망에 연결되어 한 쌍의 양자보안 단말기를 통하여 상호 인증된 Alice MASTER SERVER는 Alice SLAVE SERVER로 QUANTUM KEY를 전송하고, 외부망에 연결된 한 쌍의 양자보안 단말기를 통하여 상호 인증된 Bob MASTER SERVER는 Bob SLAVE SERVER로 QUANTUM KEY를 전송하고, 외부망에 연결된 한 쌍의 양자보안 단말기를 통하여 상호 인증된 Alice SLAVE SERVER와 Bob SLAVE SERVER는 QUANTUM KEY로 데이터 암호화/복호화를 통해 데이터 통신하는 것을 특징으로 하는 PUF-QRNG 양자보안 시스템.

Description

PUF-QRNG 양자보안 시스템{The PUF-QRNG Quantum-security system}
양자통신(QUANTUM Communication)을 기반으로 하는 양자보안 시스템으로, 광케이블 전용선으로 통신하는 양자통신과 ISP(Internet Service Provider) 사업자(고정 IP, 유동 IP) 하이브리드 임대망을 운용하는 양자보안 시스템 관련이다.
자치단체 방범용 CCTV 자가망(전용선, 고정 IP, CC 인증받은 VPN을 적용한 유동 IP)을 활용한 LPWAN(Low Power Wide Area Network) 기반 LTE-M, NB-IoT, LoRA, Sigfox 네트워크망에 접속한 IoT(Internet of Things) 단말기에 서비스를 제공하기 위한 보안관련 기술이다.
초소형의 PUF(Phisycally Unclonable Function) Chip 및 TRNG(True Random Number Generator) Chip을 이용한 순수난수생성기(True Random Number Generator, TRNG) 보안키 생성 및 분배 관련으로 반도체 제조공정상 발생하는 공정편차를 통해 PUF Chip으로부터 하드웨어 PIN(Personal Identification Number) 연결상태 데이터를 추출하여 대칭키(복호키)를 생성하고, QRNG(Quantum Random Number Generator) 등을 이용한 순수난수생성기(True Random Number Generator, TRNG)를 통해 발생하는 무작위 난수로 대칭키를 암호화하여 비대칭키(암호키)를 생성/또는 역 방법을 적용한다.
LPWAN Modem을 탑재한 단말기와 네트워크망을 연결하는 LPWAN 중계기를 방범용 CCTV 자치단체 자가망에 연결하여 LPWAN 단말기를 운영하는 방범용 CCTV 및 양자통신을 기반으로 하는 보안 시스템 관련이다.
안전한 통신을 위해 양자 역학적 특성을 이용한 양자 암호(quantum cryptography) 및 양자 암호 키 분배(QKD: Quantum Key Distribution) 기술로 물리적 입자의 전달이 아닌 큐비트(qubit)를 전송(quantum teleportation)하는 기술로 양자 상태(quantum states)에 정보를 기록해 전송하여 공격자가 도청을 위해 양자 상태를 측정하는 순간 양자 상태 자체가 변화되어 도청이 불가능한 기술관련이다.
따라서 수신자는 데이터에 대한 도청 시도를 파악하고 수신된 정보를 폐기할 수 있고, 이에 따라 양자 상태에 기록된 정보는 근본적으로 도청이 불가능하다.
하드웨어 보안을 위해 식별키를 생성하는 장치 및 방법에 있어서, 반도체 제조중 공정 편차를 이용하여 PUF(Physically Unclonable Function)를 구현하여 식별키를 생성하는 장치 및 방법을 적용하여 물리적 개체인증을 수행하는 기술을 적용하여 보안성을 강화한다.
일반적으로 IP카메라도 소프트웨어적 보안이 가능하지만 소프트웨어적 방법은 하드웨어가 이미 형성된 이후에 부가하는 것이므로 변조될 가능성이 상존하였다.
그래서, 데이터 보안의 근본적인 해결을 위해서는 데이터를 처리할 하드웨어의 설계 시작시부터 데이터 보안을 고려한 설계가 되어야 한다.
본 발명은 하드웨어로 구현된 물리적 보안으로 메모리 부담이 없고 처리속도가 빠르다.
IC(Integrated Circuit) 칩의 생산 공정에서 발생하는 하드웨어 핀(PIN) 편차를 이용한 상기 PUF를 통해 PIN(Personal Identification Number)값을 생성한 후 공인인증 플랫폼에서 보관 후 단말기에 설치된 PUF의 PIN 값을 포함하는 인증요청 키가 공인인증 플랫폼에서 수신하여 PIN 값이 일치할 경우 인증절차를 수행한다.
상기 PUF가 물리적인 단말기를 하드웨어적으로 인증한다면, 상기 PUF의 PIN 값을 1회성 양자난수 OTP(One Time Password)를 생성한 인증요청 키(암호키/복호키)를 생성하는 것은 양자난수생성기를 통해서 생성하는 것을 특징으로 한다.
순수난수생성기는 난수소스발생기, 의사난수생성기를 포함하여 구성되어, 난수소스발생기는 예측 불가한 자연현상을 이용하여 발생한 무작위 난수소스로 암호키를 생성한다.
상기 예측불가 자연현상으로는 자연광, LED(Light Emitting Diode), LD(Laser Diode), 방사선, 열잡음, 노이즈 등을 이용해 양자난수(Quantum Random Number, QRN)를 발생한다.
상기 암호키를 한 쌍의 암호키로 상호 암호통신을 위한 대칭암호키를 생성한다.
상기와 같은 양자난수와 달리 의사난수생성기(pseudorandom number generator, PRNG)를 통해 OTP(One Time Password) 비대칭암호키를 암호화 생성한다.
본 발명의 순수난수생성기(True Random Number Generator, TRNG)는 양자난수(Quantum Random Number, QRN) 대칭암호키와 의사난수(pseudorandom number, PRN) 비대칭암호키를 생성하는 것으로, 한 쌍의 대칭암호키를 통해 양방향 통신 및 인증이 가능하다.
상기 양자난수 대칭암호키에 의사난수생성기를 통해 다시 암호화한 비대칭암호키를 생성하는 것으로, 대칭암호키를 통해 비대칭암호키를 복호화할 수 있는 것을 특징으로 한다.
생활 속 사물들을 유무선 네트워크로 연결해 정보를 공유하는 시스템인 사물인터넷(Internet of Thing)이 보편화 되고 있다.
사물인터넷이란, 인간과 사물, 서비스 세 가지 분산된 환경 요소에 대해 인간의 명시적 개입 없이 상호 협력적으로 센싱, 네트워킹, 정보 처리 등 지능적 관계를 형성하는 사물 공간 연결망이다.
사물인터넷의 보편화에 따라 보안위협도 높아지고 있으며, 사물인터넷 보안을 위해서는 사물인터넷 기기에서부터 시스템까지 전 구간에 대한 단절 없는 보안이 필요하다.
특히 다양한 기능과 프로토콜을 가진 기기들과 통신해야 하기 때문에 개방형 표준기술을 사용해야 하므로 보안 위협에 훨씬 노출되고 있다.
한편, 소프트웨어 기반의 난수 생성 기술은 리소스를 많이 사용할 뿐 아니라 고도화된 해킹 기술을 이용하면 난수 발생 패턴을 파악할 수 있는 문제점이 있다.
따라서, 사물인터넷 기기간의 보안을 위해 자연현상의 무작위성에서 난수를 추출하는 자연 난수 또는 진정 난수가 요청되고 있으며, 이는 특정한 패턴이 없고 예측이 불가능한 장점이 있지만, 크기가 크고 매우 비싸며 추출장치가 필요해 소형화 장치에 적용하기 어려운 문제가 있다.
인터넷 보안 프로토콜(IP Security Protocol : IPSec)은 네트워크 통신의 패킷 처리 계층에서의 보안을 위해 개발된 프로토콜로서, 가상 사설망(Virtual Private Network : VPN)을 통하여 송수신되는 데이터를 공중망 사용자들로부터 보호하기 위하여 이용되는 프로토콜이다.
로컬 기반의 IPSec VPN 서비스는, 다양한 통신 로컬들이 별도의 VPN 설정 없이, 공중망에 연결된 VPN 로컬에 접속하여 원격지의 사설망에 접속해 VPN 트래픽을 주고 받을 수 있는 가상 사설망 서비스이다.
상술한 바와 같은 가상 사설망 서비스를 이용하기 위해 VPN 로컬은, 공중망을 통해 가상사설망게이트웨이(VPN GateWay : VPN G/W)와 IPSec 터널 생성을 위한 인증 단계를 수행하며, IPSec에서는 상기 인증을 위한 키 교환 절차로 IKE 방식을 1단계(Main Mode or Aggressive Mode)와 2단계(Quick Mode)로 나누어 진행한다.
상기 IKE의 1단계는 보안성이 없는 공중망에서 암호화된 데이터를 주고받기 위한 ISAKMP(Internet Security Association and Key Management Protocol) 단계로서, VPN 로컬과 가상 사설망 게이트웨이(VPN G/W)가 서로 사전에 공유하여 가지고 있는 사전 공유키(Pre-Shared Key)와, ISAKMP의 암호화 방법 및 해시 함수 등에 대해 서로 협상하는 단계이다.
그리고, 2단계는 실제 IPSec 터널(Tunnel)을 통해 주고 받을 데이터의 암호화 방법 및 IPSec 터널을 통해 주고 받을 트래픽의 유형 등을 협상하는 단계이다.
이러한 로컬 기반의 IPsec VPN 서비스는 유선 기반과 무선 기반으로 나눌 수 있다.
유선 기반은 상술한 VPN 로컬이 유선 네트워크를 통해 가상 사설망 게이트(VPN G/W)에 접속하는 것이고, 무선 기반은 상술한 VPN 로컬이 무선 네트워크를 통해 가상 사설망 게이트웨이(VPN G/W)에 접속하는 것이다.
유선 기반의 VPN 서비스에서, VPN 로컬과 가상 사설망 게이트웨이(VPN G/W) 사이에서 IKE 1단계 인증을 위해, VPN 로컬에 고정 IP 주소를 할당하고, VPN 로컬과 가상 사설망 게이트웨이(VPN G/W)에 미리 설정된 사전 공유키(Pre-Shared Key)를 저장한 후, 가상 사설망 게이트웨이(VPN G/W)에서 해당 사전 공유키를 가지고 있는 VPN 로컬의 IP 주소가 상기 고정으로 할당된 IP 주소인지 여부를 확인하는 방식으로 인증을 수행한다.
이 경우, 가입자의 VPN 로컬 하위에 위치하는 실제 사용자 로컬은 별도의 인증 절차 없이 VPN 로컬을 통해 원격지의 사설망에 접속할 수 있다.
인터넷을 비롯한 유무선 통신의 사용이 급속히 확대됨에 따라 통신네트워크의 보안문제는 국가, 기업, 금융상의 중요기밀 보호 및 개인의 사생활 보호 측면에서 그 중요성이 점점 더 증대되고 있다.
1970년대에 개발되어 현재 인터넷 등 통신시스템에 널리 사용되고 있는 비대칭 공개키 암호체계는 해결하기 매우 어려운 수학적인 문제를 공개키로 사용하여 정보를 암호화하고 그 해를 비밀키로 사용하여 해독하는 방식으로서 원리적으로 수학적인 “계산 복잡성”에 기초하고 있다.
대표적으로 Rivest, Shamir, Adleman 등 세 사람이 개발한 RSA 공개키 암호체계는 매우 큰 수를 소인수분해하기가 매우 난해하다는 점을 이용한다.
즉, 수학적으로 소인수분해 문제는 문제의 크기가 증가함에 따라 계산시간이 지수함수적으로 증가하게 되며 따라서 송신자와 수신자가 충분히 큰 숫자의 소인수분해 문제를 공개키로 사용하면 도청자가 암호문을 해독하기는 현실적으로 불가능 할 것이라는 점을 이용한다.
그러나, 이러한 수학적인 계산복잡성에 기초한 암호체계는 보다 정교한 알고리즘의 발전에 따라 그 안전성에 의문이 제기되고 있으며, 또한 1994년 AT&T의 Peter Shor가 양자컴퓨터를 이용한 소인수분해 알고리즘을 개발함으로써 양자컴퓨터가 개발되면 RSA 암호체계는 근본적으로 해독이 가능한 것으로 판명되고 있다.
이러한 보안문제를 해결할 대안으로 등장한 양자암호통신(quantum cryptography) 기술은 그 안전성이 수학적인 계산 복잡성이 아닌 자연의 근본 법칙인 양자역학의 원리에 기초하므로 도청 및 감청이 매우 어려워, 최근 크게 주목 받고 있다.
즉, 양자암호통신 기술은 “양자 복제불가능성”과 같은 양자물리학의 법칙에 기초해서 송신자와 수신자 사이에 암호 키(일회용 난수표)를 절대적으로 안전하게 실시간으로 분배하는 기술로서 "양자 키 분배 기술(QKD)"로도 알려져 있다.
최초의 양자 암호 프로토콜은 1984년 IBM의 C.H. Bennett과 몬트리올 대학의 G. Brassard에 의해 발표되었다.
고안자들의 이름을 따서 BB84 프로토콜로 명명된 이 프로토콜은 두 개의 기저(basis)를 이루는 네 개의 양자 상태(예를 들면, 단일광자의 편광상태)를 이용한다.
그러나 위의 선행기술에 따르면 양자암호를 송수신하기 위해서는 통신용 영상로컬기와 서버간의 송수신 장치가 필요하며, 통신용 영상로컬기와 서버간의 송수신 장치에 대한 비용 부담이 커지는 한계가 있다.
사물지능통신 분야에서 PUF라는 새로운 기술에 의해 장치(Device)가 스스로 패스워드를 생성하여 이를 인증에 이용함으로써, 장치들 간에 서로 식별하고 정당한 개체인지 확인하기 위한 보안 인증을 신뢰할 수 있는 수준으로 수행하는 장치 및 방법이 제공된다.
특히, 광케이블로 연결된 전용선 상에서 양자 결맞음과 펄스 도착시간을 랜덤 선택 측정, Non empty 펄스 위치로 큐비트 구성되며 미끼펄스(decoi-PULSE DEBUGGER)로 결맞음 공격을 방어하는 특징의 양자통신과 양자통신 채널을 형성하지 않는 ISP(Internet Service Provider) 사업자 임대망에서 데이터의 양자인증을 통해 보안을 강화하는 양자통신 시스템이다.
암호화 복호화를 이용한 보안 통신이 사물지능통신을 수행하는 장치나 시스템들에 적용됨에 있어서, 장치의 보안 인증 시스템에 대한 물리적 공격이나 인가되지 않은 접근(access)에 강인한 보안 인증 장치 및 방법이 제공된다.
단순히 키(Key)를 공유하여 양방향 통신을 하거나, 로그인(Log-in) 하는 방식이 아닌 한방향으로만 데이터를 전송할 수 있는 특징을 갖는다.
LPWAN 중계기를 탑재한 자치단체 방범용 CCTV 자가망을 활용하여 LPWAN 자가망을 구축한다.
상기 LPWAN 자가망에 접속하는 LPWAN 단말기는 PUF Chip, QRANG Chip을 탑재하여 양자보안 플랫폼의 양자 인증과 QKD(Quantum Key Distribution) 보안플랫폼을 통해 양자키 보안제어를 받는다.
PUF(Phisycally Unclonable Function) Chip과 QRNG(Quantum Random Number Generator) Chip을 이용한 보안키 생성 및 분배 관련으로 반도체 제조공정상 발생하는 공정편차를 통해 PUF Chip으로 부터 PIN(Personal Identification Number) 데이터를 추출하여 대칭키(복호키)를 생성하고, QRNG를 통해 발생하는 무작위 양자난수를 통해 상기 대칭키(복호키)를 암호화하여 비대칭키(암호키)를 생성 및 반대의 과정도 가능한 키생성 및 분배기술을 바탕으로 PUF Chip를 탑재한 단말기의 통합 관리 운영하는 시스템으로 아래와 같은 특징을 갖는다.
1. 물리적 고유 상수(常數)키 : 복제 불가능한 물리적 유니크 칩인 PUF(Phisycally Unclonable Function) Chip에 의한 유니크 키(Unique Key)
2. 순수난수생성기 OTP 변수(變數)키 : 순수난수생성기 TRNG(True Random Number Generator)을 통해 생성한 OTP KEY(One Time Password Key)
3. LPWAN 모뎀 : LPWAN(Low Power Wide Area Network) 모뎀 칩을 탑재한 단말기
4. LPWAN 단말기 : 자치단체 방범용 CCTV 자가망에 접속한 LPWAN 중계기를 통하여 하나 이상의 PUF Chip를 탑재한 LPWAN 단말기 보안관리
5. SSL VPN : AES 256, AES 512, ARIA 등 SSL VPN 기반의 단말기
6. 양자 보안플랫폼 : 양자난수생성기 QRNG(Quantum Random Number Generator)와 양자 키분배기 QKD(Quantum Key Distribution)를 이용한 양자보안플랫폼(Quantum-Platform)
7. Security-PUF : 반도체 칩 생산 공정에서 발생하는 하드웨어 핀의 공정 편차를 통해 물리적으로 유니크한 PIN 데이터 추출 후 재추출이 물리적으로 불가능한 e-FUSE를 통해 고유의 유니크 ID 생성
8. USB-PUF : 3CH QRNG / 2CH QRNG
9. 양자통신 채널과 비양자통신 채널간의 상호인증 절차를 통한 양자보안 인증
광케이블로 연결된 양자통신 채널을 형성하기 위해서는 약 2억원 상당의 QKD 및 1억원 이상의 주변기기와 광케이블 전용선을 필요로하여, 현재 한 세트의 양자통신망을 구현하기 위해서는 수 억원의 비용이 발생한다.
본 발명은 양자인증 센터와 원격의 양자인증 서버간의 양자통신 채널을 기반으로 최소한의 비용으로 양자보안 시스템을 구현하기 위해 ISP(Internet Service Provider) 사업자 임대망(고정 IP, 유동 IP)과 결합한 하이브리드 양자통신망을 구축하여 효율성과 경제성을 높인 보안 시스템이다.
자치단체 방범용 CCTV 자가망에 접속한 LPWAN 중계기를 기지국으로 형성된 Low Power Wide Area Network 내부의 LPWAN 단말기는 PUF Chip, TRNG Chip, LPWAN Modem Chip를 탑재하여 IoT 단말기의 LPWAN 통신보안을 극대화 한다.
보안플랫폼은 QRNG과 QKD를 기반으로 하는 양자보안 시스템을 통해 최고의 보안성을 갖는다.
고유의 유니크 키를 갖는 PUF Chip 탑재 단말기는 자치단체에서 운영하는 CCTV, AMI, 배전반, 태양광 발전기, 방송장치, 자동제어반, 센서, 스마트 그리드 제어서버, 비상발전기, 누수탐지기, 위치추적 단말기 등에 적용 운영한다.
본 발명은 단순히 키를 생성하는 것이 아닌 단방향 전송키를 생성하여 보안성 있게 분배하여 운영하는 것으로, PUF의 복제불가 물리적 고유성(상수)과 양자난수생성기를 통한 1회용 양자난수로 해킹이 불가능한 OTP(변수)를 결합한 PUF Chip를 운영하는 시스템 온 칩(SoC Chip)으로 디버거 인터페이스, 네트워크망 스위치를 제어한다. / PUF(상수) + QRNG(변수)
특히, 운영서버의 PUF-TRNG 3채널 인증을 통해 IP를 교환하여 전세계 어디에서든 PUF-QRNG Chip 기반의 인터넷망 접속이 발생할 경우, 서로 고유의 PUF 단방향키를 통해 양방향 Quantum 보안통신이 가능한 것은 차별화된 신기술이다. / PUF(단방향) + Quantum(양방향)
전 세계 어느 곳에서도 인터넷에 접속하여 운영서버를 통해 상호 인증된 서버 또는 USB가 탑재된 서버의 경우 PUF 인증을 통해 양방향 통신이 가능하게 하는 시스템을 특징으로 한다.
한 쌍의 VPN을 통한 종래의 보안대책에 비해 복제 불가능한 물리적 PUF Chip의 단일 PIN 데이터와 양자난수생성기의 무작위 자연난수를 이용한 1회용 OTP 양자암호키를 통하여 단방향으로만 데이터를 전송하는 단방향 암호키 적용을 통해 보안대책을 강화하여 양자단말기와 통합제어서버 사이에만 양방향 터널링 데이터통신을 개통하는 것으로, 물리적 객체인증 PUF Chip과 자연난수를 발생하는 QRNG를 통해 생성한 OTP(One Time Password) 인증 보안은 양자컴퓨터로도 해킹이 불가능한 최고의 보안성을 갖는다.
최초 공장에서 생산한 PUF Chip의 PIN 데이터로 생성한 암호키가 유출되더라도 사용자가 양자난수생성기(QRNG) 단계를 거칠 경우, 최초 생산자도 암호키를 알 수 없으며, 의사난수생성기(PRNG)로 생성한 복수의 암호키는 해킹이 가능하나, 양자난수생성기 전단계의 암호키는 해킹이 불가능한 것을 특징으로 한다.
특히, 인터넷에 연결된 전 세계 어느 PC에서도 Alice PUF-QRNG TIWIN USB와 Bob PUF-QRNG TIWIN USB가 꽂힌 PC 사이에는 양자보안과 PUF 보안이 적용된 양방향 통신이 가능하다.
또한, 종래의 SSL VPN이 적용된 영상감시 시스템은 처리속도의 한계로 끊김 현상이 발생하며, IP 카메라의 특성상 보안에 취약하였다.
본 발명을 통하여 하드웨어(물리)적인 보안과 양자난수 암호를 통해 상기 문제를 해결한다.
도 1 ~ 도4는 본 발명의 이해를 위한 블록도
일 실시 예를 통해 이하 상세히 설명한다.
삭제
삭제
삭제
삭제
보안 단말기는 Alice 보안 단말기와 Bob 보안 단말기로 구분된다.
일 예로, USB 형태의 Alice 보안(PUF-QRNG TIWIN)USB 및 Bob 보안(PUF-QRNG TIWIN)USB로 명칭할 수 있다.
일 실시 예로, Bob 보안(PUF-QRNG TIWIN)USB 내부의 Bob 주제어부(MCU)는 Bob VPN을 통해 수신한 Alice 비대칭키로 (Bob PUF 메모리(PUF M/M)에 저장된 Alice PIN 데이터에 Bob e-FUSE ID(IDentity Address)와 결합하여) 암호화한 Bob KEY를 Bob VPN을 통해 Alice 보안(PUF-QRNG TIWIN)USB 내부의 Alice VPN으로 전송한다.
Alice 보안(PUF-QRNG TIWIN)USB 내부의 Alice 주제어부(MCU)는 Alice 비대칭키로 암호화된 Bob KEY를 Alice 대칭키로 복호화함에 있어서,
Alice 보안 CPU(Security CPU)는 Alice PIN 데이터에 Bob e-FUSE ID와 결합한 Alice 대칭키를 생성하였기 때문에 복호화가 가능한 것으로, Alice PIN 데이터 및 SOC 자체 Bob e-FUSE ID 중 어느 하나라도 일치하지 않을 경우 복호화가 불가능해 진다.

Alice 양자보안 단말기에 연결된 Alice MASTER SERVER와 Bob 양자보안 단말기에 연결된 Bob MASTER SERVER 사이에 Alice 양자보안 단말기와 Bob 양자보안 단말기 사이에 상호 인증될 경우,
Alice MASTER SERVER와 Bob MASTER SERVER 사이에 네트워크망 차단기를 ON접점 연결하여 로그인(Log IN) 네트워크망 접속한다.

일 실시 예로,
Alice 보안 단말기는 Alice 시스템 버스로 연결된 Alice 부트롬, Alice 주제어부, Alice 시스템 저장장치, Alice VPN, Alice 입출력장치, Alice 직렬주변장치 인터페이스, Alice 순수난수생성기, Alice 보안 CPU, Alice 보안 OTP 메모리, Alice PUF로 구성된다.
Alice 주제어부는 Alice 시스템 버스로 연결된 Alice 부트롬, Alice 시스템 저장장치, Alice VPN, Alice 입출력장치, Alice 직렬주변장치 인터페이스를 제어한다.
Alice 보안 CPU는 Alice 입출력장치, Alice 직렬주변장치 인터페이스, Alice 순수난수생성기, Alice 보안 OTP 메모리, Alice PUF를 제어한다.
Alice 시스템 저장장치는 Alice 주제어부에 필요한 프로그램과 데이터를 저장한다.
Alice 직렬주변장치 인터페이스는 Alice 입출력장치와 연결되어 Alice 주제어부의 제어명령에 따라 Alice 입출력장치를 제어하여 네트워크망 연결을 ON/OFF 제어한다.
Alice 부트롬은 Alice 주제어부의 부팅시 필요한 프로그램과 데이터를 저장한다.

Alice VPN은 네트워크망에 연결된 BoB 보안 단말기 내부의 Bob VPN 사이에 1:1 암호화통신을 한다.(Alice VPN을 포함하는 Alice 보안 단말기와 Bob VPN을 포함하는 Bob 보안 단말기 사이에 1:1 암호화통신을 한다.)
보안 단말기 내부의 VPN은 소프트웨어로 구현된 SSL VPN 또는 물리적인 IPSec VPN의 적용이 가능하다.
일 예로, 양자보안 단말기 내부의 VPN(Virtual Private Network)은 보안 소켓 계층(SSL: Secure Sockets Layer) 프로토콜 기반으로 한 소프트웨어 기반의 SSL VPN으로 MCU에 업로드된다.
일 예로, 양자보안 단말기 내부의 VPN(Virtual Private Network)은 SSL VPN에 한정하지 않고, IPSec VPN으로 도 1과 같이 단말기 내부에 하드웨어 형태로 칩셋화 되어 SYSTEM BUS로 MCU 및 Security CPU와 연결된다.

Alice 입출력장치는 네트워크망에 연결된 스위치로 네트워크망 ON/OFF 제어 및 네트워크망을 통해 수신한 데이터를 Alice 시스템 버스를 통해 Alice 주제어부로 전송한다.
Alice 보안 CPU는 Alice PUF에서 Alice PIN 데이터를 추출하여 Bob OTP 메모리에 저장한다.
Alice 보안 CPU는 Alice PIN 데이터를 Alice 주제어부로 전송한다.
Alice 보안 CPU는 상기 Alice PIN 데이터로 Alice 대칭키를 생성하여 Alice 보안 OTP 메모리에 저장한다.
Alice 보안 CPU는 Alice 순수난수생성기에서 발생하는 난수로 상기 Alice 대칭키를 암호화하여 Alice 비대칭키를 생성 후 Alice 주제어부로 전송한다.

Bob 보안 단말기는 Bob 시스템 버스로 연결된 Bob 부트롬, Bob 주제어부, Bob 시스템 저장장치, Bob VPN, Bob 입출력장치, Bob 직렬주변장치 인터페이스, Bob 순수난수생성기, Bob 보안 CPU, Bob 보안 OTP 메모리, Bob PUF로 구성된다.
Bob 주제어부는 Bob 시스템 버스로 연결된 Bob 부트롬, Bob 시스템 저장장치, Bob VPN, Bob 입출력장치, Bob 직렬주변장치 인터페이스를 제어한다.
Bob 보안 CPU는 Bob 입출력장치, Bob 직렬주변장치 인터페이스, Bob 순수난수생성기, Bob 보안 OTP 메모리, Bob PUF를 제어한다.
Bob 시스템 저장장치는 Bob 주제어부에 필요한 프로그램과 데이터를 저장한다.
Bob 직렬주변장치 인터페이스는 Bob 입출력장치와 연결되어 Bob 주제어부의 제어명령에 따라 Bob 입출력장치를 제어하여 네트워크망 연결을 ON/OFF 제어한다.
Bob 부트롬은 Bob 주제어부의 부팅시 필요한 프로그램과 데이터를 저장한다.

Bob VPN은 네트워크망에 연결된 Alice 보안 단말기 내부의 Alice VPN 사이에 1:1 암호화통신을 한다.
(앞서 'Alice VPN은 네트워크망에 연결된 BoB 보안 단말기 내부의 Bob VPN 사이에 1:1 암호화통신'을 한 것과 같이 Alice 보안 단말기 내부의 Alice VPN과 BoB 보안 단말기 내부의 Bob VPN 사이 통신 주체인 Alice 보안 단말기와 BoB 보안 단말기 사이에 암호화 통신을 한다.
즉, Alice VPN을 포함하는 Alice 보안 단말기와 Bob VPN을 포함하는 Bob 보안 단말기 사이에 1:1 암호화통신을 한다.)

Bob 입출력장치는 네트워크망에 연결된 스위치로 네트워크망 ON/OFF 제어 및 네트워크망을 통해 수신한 데이터를 Bob 시스템 버스를 통해 Bob 주제어부로 전송한다.
Bob 보안 CPU는 Bob PUF에서 Bob PIN 데이터를 추출하여 Alice OTP 메모리에 저장한다.
Bob 보안 CPU는 Bob PIN 데이터를 Bob 주제어부로 전송한다.
Bob 보안 CPU는 상기 Bob PIN 데이터로 Bob 대칭키를 생성하여 Bob 보안 OTP 메모리에 저장한다.
Bob 보안 CPU는 Bob 순수난수생성기에서 발생하는 난수로 상기 Bob 대칭키를 암호화하여 Bob 비대칭키를 생성 후 Bob 주제어부로 전송한다.

양자난수발생기는 무작위 양자난수를 발생하는 송신부의 Alice 양자난수발생기와 수신부의 Bob 양자난수발생기로 구성된다.
양자키분배기는 송신부의 Alice 양자키분배기와 수신부의 Bob 양자키분배기로 구성한다.
송신부 Alice 양자난수발생기에서 발생하는 무작위 양자난수는 Aliec 양자플랫폼으로 전송한다.
양자플랫폼은 양자난수로 QUANTUM KEY를 생성하여 Alice 양자키분배기를 통해 송신하는 Aliec 양자플랫폼과 Bob 양자키분배기를 통해 QUANTUM KEY를 수신하여 저장하는 Bob 양자플랫폼으로 구성된다.
Aliec 양자플랫폼은 양자난수를 수신하여 QUANTUM KEY를 생성하여 Alice 마스터서버 및 Alice 양자키분배기로 전송한다.
Alice 양자키분배기는 QUANTUM KEY를 양자통신 채널을 통해 Bob 양자키분배기로 전송한다.
수신부 Bob 양자키분배기는 상기 QUANTUM KEY를 수신하여 Bob 양자플랫폼에 저장 및 Bob 마스터서버로 전송한다.

Alice 보안 단말기와 Bob 보안 단말기는 양자통신 채널을 형성하지 않는 ISP 사업자 네트워크망에 연결된 경우,
Alice 보안 단말기 내부의 Alice 주제어부는 Alice 시스템 버스로 연결된 Alice 부트롬을 통해 부팅하고, Alice 시스템 저장장치에 저장된 프로그램에 따라 Alice 직렬주변장치 인터페이스를 제어하여 Alice 입출력장치를 통해 네트워크망 ON/OFF 제어하고, Alice 보안 CPU를 통해 수신한 Alice 비대칭키를 Alice VPN을 통해 Bob 보안 단말기 내부의 Bob VPN으로 전송한다.
Bob 보안 단말기 내부의 Bob 주제어부는 Bob 시스템 버스로 연결된 Bob 부트롬을 통해 부팅하고, Bob 시스템 저장장치에 저장된 프로그램에 따라 Bob 직렬주변장치 인터페이스를 제어하여 Bob 입출력장치를 통해 네트워크망 ON/OFF 제어하고, Bob 보안 CPU를 통해 수신한 Bob 비대칭키를 Bob VPN을 통해 Alice 보안 단말기 내부의 Alice VPN으로 전송한다.
Alice 보안 단말기 내부의 Alice 주제어부는 Alice VPN을 통해 수신한 Bob 비대칭키로 Alice 보안 OTP 메모리에 저장된 Bob PIN 데이터를 암호화한 Bob PIN KEY를 Alice VPN을 통해 Bob VPN으로 전송한다.
Bob 보안 단말기 내부의 Bob 주제어부는 Bob VPN을 통해 수신한 Alice 비대칭키로 Bob 보안 OTP 메모리에 저장된 Alice PIN 데이터를 암호화한 Alice PIN KEY를 Bob VPN을 통해 Alice VPN으로 전송한다.
Alice 보안 단말기 내부의 Alice 주제어부는 Alice 비대칭키로 암호화된 Alice PIN KEY을 Alice 대칭키로 복호화한 Alice PIN 데이터 및 Alice PUF에서 Alice PIN 데이터를 추출하여 상기 Alice PIN KEY을 Alice 대칭키로 복호화한 Alice PIN 데이터가 서로 일치하고, Bob 보안 단말기 내부의 Bob 주제어부는 Bob 비대칭키로 암호화된 Bob PIN KEY을 Bob 대칭키로 복호화한 Bob PIN 데이터 및 Bob PUF에서 Bob PIN 데이터를 추출하여 상기 Bob PIN KEY을 Bob 대칭키로 복호화한 Bob PIN 데이터가 서로 일치 할 경우, Alice 보안 단말기에 연결된 Alice 마스터서버와 Bob 보안 단말기에 연결된 Bob 마스터서버 사이에 로그인(LOG In) 네트워크망 접속 연결한다.

Alice 보안 단말기와 Bob 보안 단말기는 양자통신 채널을 형성하지 않는 ISP 사업자 네트워크망에 연결된 상태에서, Alice 마스터서버와 Bob 마스터서버 사이에 데이터 통신에 있어서,
Alice 마스터서버는 전송 데이터를 QUANTUM KEY로 암호화하여 Bob 마스터서버로 전송한다.
Bob 마스터서버는 Alice 마스터서버로부터 수신한 QUANTUM KEY로 암호화한 전송 데이터를 Bob 양자플랫폼으로부터 수신한 QUANTUM KEY로 전송 데이터를 복호화하고, 상기와 같은 원리로 한 쌍의 Alice 양자보안 단말기와 Bob 양자보안 단말기로 연결된 Alice 마스터서버와 Bob 마스터서버 사이에 데이터 통신하는 것을 특징으로 하는 양자보안 시스템이다.
삭제
일 실시 예로, 반도체 제조 공정상에서 발생하는 물리적으로 유일한 고유의 하드웨어 핀(PIN)을 추출한 PIN 데이터를 e-FUSE가 추출하여 프로그램하여 ID를 부여하고 재추출이 불가능하게 e-FUSE 핀을 차단(short circuit)하여 반도체 칩(System On Chip)의 유니크 ID를 부여한다.
PUF Chip은 반도체 제조 공정상에서 발생하는 물리적으로 유일한 고유의 하드웨어 핀(PIN)을 추출한 PIN 데이터를 추출할 수 있으며, PUF Chip을 복제할 경우 PUF 하드웨어 핀을 차단(short circuit)하는 것으로 정상적인 PIN 데이터의 재추출이 가능하다.
데이터의 암호화/복호화에 있어서,
Alice PUF 메모리에 저장된 Bob PIN 데이터에 Alice e-FUSE ID와 결합하여 암호화한 Alice KEY로 암호화된 데이터는 Bob 보안 CPU가 상기 Bob PIN 데이터에 Alice e-FUSE ID와 결합한 Bob 대칭키를 생성하여 Bob 보안 OTP 메모리에 저장된 Bob 대칭키로 복호화되며,
Bob PUF 메모리에 저장된 Alice PIN 데이터에 Bob e-FUSE ID와 결합하여 암호화한 Bob KEY로 암호화된 데이터는 Alice 보안 CPU가 상기 Alice PIN 데이터에 BoB e-FUSE ID와 결합한 Alice 대칭키를 생성하여 Alice 보안 OTP 메모리에 저장된 Alice 대칭키로 복호화된다.
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
마이크로프로세서란 TTL이나 CMOS IC들은 정해진 특성대로만 움직이지만 마이크로프로세서는 관리자가 프로세서내에 프로그램을 주입해서 자신이 원하는 동작 특성을 구현할 수 있는 것으로, 컴퓨터의 CPU처럼 명령을 내릴 수 있기도 하고 특정 명령을 받을 수 있는 것으로 정해진 프로세서 맵에 따라 자동제어되는 것으로 마이크로프로세서(또는 MCU(Micro Control Unit))를 탑재한 USB(Universal Serial Bus) 또는 PCI Board(Peripheral Component Interconnect Board) 형태로 제작되어 서버를 대체할 수 있다.
본 발명의 물리적 객체인증 PUF(Phisycally Unclonable Function) Chip과 자연난수를 발생하는 QRNG(Quantum Random Number Generator)를 통해 생성한 OTP(One Time Password) 인증 보안은 양자컴퓨터로도 해킹이 불가능한 최고의 보안성을 갖는다.
초소형의 PUF(Phisycally Unclonable Function) Chip과 QRNG(Quantum Random Number Generator) Chip을 이용한 보안키 생성 및 분배 관련으로 반도체 제조공정상 발생하는 공정편차를 통해 PUF Chip으로 부터 PIN(Personal Identification Number) 데이터를 추출하여 대칭키(복호키)를 생성하고, QRNG를 통해 발생하는 무작위 양자난수를 통해 상기 대칭키(복호키)를 암호화하여 비대칭키(암호키)를 생성한다.
Sensor에서 측정되는 데이터를 비대칭키(암호키)로 암호화 할 경우 대칭키(복호키)를 통해서 원래의 Sensor에서 측정되는 데이터를 복원할 수 있다.
일 예로, 장치 간에 사물지능통신을 수행함에 있어서 사물지능통신을 수행하는 장치 스스로가 안전한 PIN 또는 패스워드를 자체적으로 생성하여 보유하여, 지식 기반의 인증을 수행할 수도 있다.
이러한 지식 기반 인증을 위해, 장치에는 외부의 보안 공격에 강인하면서도, 무작위의 고유한 PIN을 생성하는 PUF(Physical unclonable Functions)가 포함될 수 있다.
일 실시 예에 따르면, PUF는 지식 기반 인증을 위한 인증 키로 사용될 수 있는 PIN을 생성한다. 이 PIN은 PUF 제조 공정 중 발생하는 공정 편차에 의해 생성되는 무작위의 디지털 값일 수 있다.
또한, 이 PIN은 한 번 생성된 이후 그 값이 주변 환경에 따라 변경되지 않는 시불변(Time-invariant)의 디지털 값일 수 있다. 이러한 PIN은 외부로 노출되지 않으므로, 일 실시 예에 따르면 장치의 인증 체계에 대한 보안 위협에 대한 방지가 가능하다.
장치가 통신 인터페이스를 통해 다른 장치와 사물지능통신을 수행하는 경우, 인증부는 PUF에 의해 자체적으로 생성되는 상기 PIN을 수신하여 지식 기반 인증을 수행할 수 있다.
일 실시 예에 따른 보안 인증에 있어서, 장치는 비밀키 모듈과 개인키 모듈을 포함할 수 있다. 여기서, 비밀키 모듈 및 개인키 모듈 중 적어도 하나는 PUF를 포함할 수 있다.
일 실시 예에 따르면, 비밀키 모듈 및 개인키 모듈 각각은 자신의 고유한 PUF를 가지며, 각각의 PUF는 물리적 특성 자체로부터 비밀키(secret key)와 개인키(private key)를 갖는다. 이하에서는 이러한 비밀키 및/또는 개인키를 PIN으로 표현하기도 하므로, PIN은 장치의 보안 인증을 위해 사용되는 비밀키, 개인키 등 어느 것도 배제하지 않고 포함하는 개념으로 이해될 수 있다.
PUF는 공정변이로 발생하는 특성 편차를 이용하여 동일 설계 도면으로 제작하더라도 서로 다른 함수 값을 발생하는 회로로서, 일부 실시 예들에서는 사물지능통신 장치의 PIN을 생성하여 제공한다. 엄밀히는 PUF의 물리적 특성에 의해 생성된 디지털 값 자체가 아니라 이를 이용하여 PIN이 생성되는 것으로 볼 수도 있다.
이를 테면, 외부의 신뢰할 수 있는 소스로부터 주어지는 값을 시드(Seed)로 하여, 상기 PUF가 생성한 오리지널 디지털 값을 암호화한 결과 값을 상기 PIN으로 할 수도 있다.
이러한 과정에서 일 실시 예에 따르면, PUF가 제공하는 디지털 값 VPUF를 상기 시드(Seed)와 해시 함수에 넣는 방식을 이용한다. 따라서, 최종적으로 사용되는 PIN 값은 Hash (VPUF|| Seed)일 수 있다.
이러한 실시 예에 따르면, 어떤 경로로든 개인키가 유출되는 경우 상기 시드 값만을 변경함으로써 PIN을 쉽게 변경할 수 있으므로, 안전성과 편의성이 개선될 수 있다.
다만, 이러한 PIN 값 생성은 일부 실시 예에 불과하며, 실시 예들은 PUF가 생성한 디지털 값 자체를 PIN으로 사용하는 경우와 상기 PUF를 별도로 처리한 값을 PIN으로 사용하는 경우를 모두 포함한다. 이하에서는 PUF가 생성한 디지털 값을 처리하여 새로운 PIN을 만들어 내는 과정에 대해서 일일이 언급하지 않더라도 이러한 실시 예들을 모두 포함하여 내용이 이해되어야 한다.
한편, PUF는 예측 불가능한 랜덤한 값을 갖기 때문에 장치의 PIN을 결정하는데 사용될 수 있으며, 이를 이용하면 외부에서 생성 주입하여 메모리에 저장할 때 발생할 수 있는 PIN의 사전 누출 문제를 방지할 수 있다.
또한, PUF는 물리적으로 복제가 불가능하다는 특징을 가지고 있기 때문에 장치의 PIN 번호가 사후적으로 유출 또는 복제될 가능성도 제거할 수 있다.
또한, PUF가 생성하는 PIN 값은 랜덤성이 뛰어나고 실시 예들에서는 한 번 생성한 값이 시간에 따라 변하지 않는 신뢰할 수 있는 것이다.
일 실시 예에 따르면, 시리얼번호 저장부에는 장치의 제조 공정에서 공장(Factory)가 제공하는 기기의 고유 값이 시리얼번호(Serial number)가 저장되며, 공장으로부터 장치의 고유한 시리얼번호가 I/O 인터페이스를 통해 장치에 입력되고, 최초 1회 - 정책에 따라 꼭 한 번일 필요는 없으나 보안 유지 상 한 번으로 지정될 수 있다 - 에 한해 비밀키 모듈로부터 비밀키가 공장 또는 관리 권한을 갖는 외부로 추출될 수 있다.
그리고, 일 실시 예에 따르면, PUF Chip은 SOC(System On Chip) 제조과정에서 발생하는 ENABLE 회로의 하드웨어핀 설정에 따른 단절신호를 추출하는 e-FUSE로 퓨즈부(e-FUSE)로 대체될 수 있다. 이러한 실시 예에서는, 상기한 최초 1회의 비밀키 추출 이후 퓨즈부가 비밀키 모듈과 I/O 인터페이스 사이의 연결을 물리적으로 차단하며, 이는 비가역적이다.
그러면 이제는 최초 1회 추출된 비밀키만 관리 권한이 있는 주체가 안전하게 관리하면 되고, 퓨즈부의 상기 차단 이후에 새롭게 장치의 비밀키가 추출되는 것은 불가능하다. 비밀키 모듈은 PUF에 의해 구현되어 물리적으로 복제 불가능하고, 전력분석 공격 등을 비롯한 다양한 역공학(Reverse engineering)에 의한 비밀키 추출이 불가능하거나 매우 어렵기 때문이다.
일 실시 예에 따르면 장치는 공개키 암호화/복호화 통신 방식에 사용될 개인키를 생성하는 개인키 모듈을 포함하며, 개인키 모듈은 상기 비밀키 모듈과는 별개의 PUF에 의해 개인키를 제공할 수 있다.
이 개인키 모듈이 생성 및 제공하는 개인키는 외부와는 물리적으로 고립되어 있으며, 장치 제조에서부터 유통 및 사용에 이르기까지 외부로 추출되지 않는다. 물론, 앞서 설명한 비밀키 모듈과 같은 이유에서 물리적 공격에 의한 인위적인 개인키 유출도 불가능하다.
따라서, 개인키 모듈이 제공한 개인키의 외부 유출은 발생하지 않아 사물지능통신(M2M)에서 장치 스스로 생성한 PIN을 통한 기기 인증이 가능하다.
일 실시 예에 따르면, 개인키 모듈이 생성한 개인키를 이용하여 공개키 생성부는 상기 공개키 암호/복호화 통신 방식에서 장치가 사용할 공개키(public key)를 생성하고, 이는 공개키 저장부에 저장된다. 공개키 저장부는 생성된 공개키를 저장하는 수단으로서 일 실시 예에 따르면 비휘발성(non volatile) 메모리일 수 있다.
물론, 공개키 저장부는 선택적으로 채용 가능한(employed optionally) 구성으로, 다른 실시 예에서는 공개키 저장부 없이 인증이 필요한 경우마다 공개키 생성부가 생성한 공개키를 읽는 것도 가능하다.
암복호화 프로세서는 통상적인 데이터 암호화와 복호화를 수행하는 Crypto-coprocessor 등으로 이해될 수 있으며, 실제 암호화된 데이터를 통신 네트워크에서 외부와 주고 받는 구성은 통신 인터페이스이다.
실시 예에 따르면, 상기 최초 1회 추출된 비밀키는 장치와 보안 통신을 수행할 정당한 권한이 있는 관리 주체인 인증 기관(Certification Authority, CA)과 공개키를 주고 받는 경우에 서로가 정당한 개체임을 확인하는 수단으로만 사용된다.
즉, 최초 1회이기는 하지만 이미 추출된 바 있는 비밀키가 직접 암복호화에 사용되는 것이 아니라, 비밀키는 비밀키 암호화 방식으로 공개키를 외부에 보내는 과정에서만 사용되어, 이중의 보안이 보장된다. 따라서 실제 기기 인증에 사용되는 개인키는 외부로 절대 노출되지 않는다.
이하에서는 공장에서 장치를 제조하는 과정, 장치가 유통 또는 배포되는 과정, 실제로 사용되면서 비밀키 통신 방식으로 공개키를 교환하는 과정, 실제로 장치가 CA나 다른 장치들과 서로의 정당성을 확인하여 통신을 수행하게 되는 과정에 대해 이하 구체적으로 설명한다.
먼저 PUF 구현에 대해 실시 예들에서 채택되는 차이점을 종래의 PUF 구현들과 비교하여 설명한 다음 구체적 구현의 일 예로 설명한다.
PUF(Physically Unclonable Function)는 예측 불가능한 (Unpredictable) 디지털 값을 제공할 수 있다. 개개의 PUF들은 정확한 제조 공정이 주어지고, 동일한 공정에서 제조되더라도, 상기 개개의 PUF들이 제공하는 디지털 값은 다르다.
따라서, PUF는 복제가 불가능한 POWF(Physical One-Way Function practically impossible to be duplicated)로 지칭될 수도 있고, 또한 PRF(Physical Random Function)으로 지칭될 수도 있다.
이러한 PUF는 보안 및/또는 인증을 위한 암호 키의 생성에 이용될 수 있다. 이를테면, 디바이스를 다른 디바이스와 구별하기 위한 유니크 키(Unique key to distinguish devices from one another)를 제공하기 위해 PUF가 이용될 수 있다.
종래에는 이러한 PUF를 구현하기 위해 IC의 최 상위 레이어(top layer)에 랜덤하게 도핑(doping)된 입자를 이용하여 코팅(Coating) PUF를 구현하기도 하였고, 래치(latch)와 같은 하드웨어 칩에 일반적으로 쓰이는 CMOS 소자 내부의 공정 변이를 이용하여 FPGA에서도 구현 가능한 최근의 버터플라이(butterfly) PUF 등이 구현되기도 하였다.
그런데, PUF를 PIN 생성에 활용하는 응용이 상용화될 수 있도록 신뢰 가능하려면 PUF 회로 자체의 물리적 복제 불가능성, 생성된 PIN 값의 랜덤성 및 한 번 생성된 PIN의 값이 시간의 흐름에 따라 변화하지 않는 시불변성이 모두 보장되어야 한다.
그러나 종래의 대부분의 PUF 회로들은 PUF 또는 PRF로서 충족시켜야 하는 랜덤성과 값의 시불변성 중 적어도 하나를 높은 수준으로 보장하지 못했기 때문에 상용화에 어려움이 있었다.
실시 예들에서 사용되는 PUF는 이러한 종래의 문제점을 해결하여 시불변성과 랜덤성을 굉장히 신뢰할 수 있는 수준으로 보장하면서도 반도체 제작 과정에서 매우 낮은 단가로 생성 가능하다.
일 실시 예에 따르면, PUF가 생성한 PIN의 랜덤성과 시불변성을 동시에 만족하기 위해 반도체 공정에서 존재하는 노드들 사이의 단락 여부 등에 의한 무작위성을 이용하여 랜덤값을 만들어 낸다.
일 실시 예에 따른 PUF는 반도체 칩 내의 전도성 레이어(metal) 사이를 전기적으로 연결하기 위해 사용되는 콘택(contact) 또는 비아(via)의 크기를 공정에서 연결 여부가 확실한 크기, 즉 디자인 룰 보다 작은 형태로 구현하여, 그 단락 여부가 랜덤하게 결정되게 한다. 즉, 의도적으로 디자인 룰을 위반하여 랜덤한 PIN 값을 생성하는 것이다.
이러한 새로운 PUF 회로는 매우 간단한 단락 회로로 구성되기 때문에 별도의 추가적인 회로나 공정 중의 과정이 없고, 특별한 측정 장치도 필요 없기 때문에, 쉽게 구현이 가능하다. 그리고 공정의 특성을 이용하기 때문에 값의 랜덤성을 유지하면서 안정성을 충족시킬 수 있다.
반도체 칩의 제조과정 특히, 본 발명의 SOC(System On Chip) 제조 과정에서 발생하는 비아(또는 이네이블(Enable)회로)는 e-FUSE의 하드웨어 핀 설정을 PIN 데이터로 추출하여 대칭키를 생성하고, 상기 대칭키를 무작위 난수(QRNG)로 암호화한 비대칭키는 대칭키(PIN 데이터)로 복호화가 된다.
본 발명의 SOC(System On Chip)을 특징으로 SOC 내의 하드웨어 핀 설정(via)에 따라서 생성하는 단절신호를 PIN 데이터로 추출하되 e-FUSE(electrical-FUSE)에 고유 ID를 부여하여 추출하는 것을 특징으로 한다.
PUF 자체는 위변조가 불가능하지만 PUF Chip을 분리한 후 타 보드(단말기)에 장착하여 PUF가 탑재된 단말기(보드)가 변조될 수 있어, e-FUSE와 PUF를 일체형으로 탑재한 Security ENABLE 회로부를 포함하는 SOC Chip 형태로 개발한 최초의 기술을 특징으로 한다.
특히, e-FUSE 탑재 SOC을 통해 부팅하는 SOC와 PUF가 분리되어 있어도, 서로 유일하게 PUF의 물리적 유니크한 인증이 위변조 되어도 e-FUSE 탑재 SOC의 부트롬(Boot-ROM) 프로그램 인증이 상호 인증되어야 시스템 부팅이 가능한 Security ENABLE 회로부를 특징으로 하는 보안 CPU(Security CPU) 및 OTP(One-Time Programmable) e-FUSE를 특징으로 한다.
도 3에서 도시된 바를 참조하여 실시 예에 따른 PUF 생성을 구체적으로 설명한다.
반도체 제조 공정에서 메탈 1 레이어(302)와 메탈 2 레이어(301) 사이에 비아들이 형성된 모습의 도시되었다.
비아 사이즈를 디자인 룰에 따라 충분히 크게 한 그룹(310)에서는 모든 비아가 메탈 1 레이어(302)와 메탈 2 레이어(301)을 단락시키고 있으며, 단락 여부를 디지털 값으로 표현하면 모두 0이 된다.
한편, 비아 사이즈를 너무 작게 한 그룹(330)에서는 모든 비아가 메탈 1 레이어(302)와 메탈 2 레이어(301)을 단락시키지 못하고 있다. 따라서 단락 여부를 디지털 값으로 표현하면 모두 1이 된다.
그리고, 비아 사이즈를 그룹(310)과 그룹(330) 사이로 한 그룹(320)에서는, 일부의 비아는 메탈 1 레이어(302)와 메탈 2 레이어(301)을 단락시키고, 다른 일부의 비아는 메탈 1 레이어(302)와 메탈 2 레이어(301)을 단락시키지 못하고 있다.
일 실시 예에 따른 식별키 생성부는, 그룹(320)와 같이, 일부의 비아는 메탈 1 레이어(302)와 메탈 2 레이어(301)을 단락시키고, 다른 일부의 비아는 메탈 1 레이어(302)와 메탈 2 레이어(301)을 단락시키지 못하도록 비아 사이즈를 설정하여 구성된다.
비아 사이즈에 대한 디자인 룰은 반도체 제조 공정에 따라 상이한데, 이를테면 0.18 미크론(um)의 CMOS(Complementary metal-oxide-semiconductor) 공정에서 비아의 디자인 룰이 0.25 미크론으로 설정된다고 하면, 상기 일 실시 예에 따른 식별키 생성부에서 비아 사이즈를 0.19 미크론으로 설정하여, 메탈 레이어들 사이의 단락 여부가 확률적으로 분포하도록 한다.
이러한 단락 여부의 확률 분포는 50%의 단락 확률을 갖도록 하는 것이 이상적이며, 일 실시 예에 따른 비밀키 모듈과 개인키 모듈은 상기 확률 분포가 최대한 50%에 가깝게 비아 사이즈를 설정하여 구성된다. 이러한 비아 사이즈 설정은, 구체적인 특정 반도체 공정에 따라 실험에 의하여 이루어질 수 있다.
이러한 실시 예에 의해 PUF가 비밀키 또는 개인키를 랜덤성과 시불변성이 보장되게 제공함으로써 물리적 공격에 대응하기 위한 탬퍼 저항(tamper-resistance)는 필요로 하지 않는다.
디패키징, 레이아웃 분석, 메모리 공격 등의 물리적 공격에 대응하기 위해 암호화 모듈에 주로 사용되는 tamper-resistance는 장치에 대한 해제 시도 시 기억 장치의 내용 소거 등을 통해 장치의 기능을 정상적으로 동작할 수 없도록 하여 내부의 내용을 보호한다. 그러나, 부가적인 보호 장치를 필요로 하거나 구현 수단이 복잡해지므로 비용이 증가할 뿐만 아니라 사용자의 실수 또는 고장에 의해 데이터 소거 등의 의도치 않은 장비 손상의 가능성을 가지고 있다. 그런데, 상기와 같이 도 3에서 설명된 원리에 의해 PUF를 구현하면 이러한 문제점이 없다.
또한, 실시 예에 의한 PUF는 내부의 각 셀을 분리하여 관찰하기가 매우 어렵기 때문에 수 만개 내지 수십 만개 게이트의 칩 내부에서 PUF 셀을 골라 그 값을 관찰한다는 것은 거의 불가능에 가깝다.
또한, 일부 PUF는 전원이 들어온 상태에서 동작할 때에만 값이 정해지기 때문에 물리적 공격을 위한 디패키징 등의 과정에서 칩의 일부가 손상될 경우 평소의 값과 다른 값을 갖게 되어 본래 값을 추측하기가 매우 어렵다.
따라서, 본 발명이 PUF를 사용하면 탬퍼 저항과 같은 추가 비용도 요구되지 않으면서, 물리적 공격에 강인한 구성을 가지면서 랜덤성과 시불변성이 유지되는 비밀키와 개인키를 제공할 수 있다.
본 발명은 보안 인증을 위한 인증 키로 사용될 수 있는 PIN을 생성하고, 이 PIN은 한 번 생성된 이후 그 값이 주변 환경에 따라 변경되지 않는 시불변(Time-invariant)의 디지털 값으로 이러한 PIN은 외부로 노출되지 않으므로, 장치(단말기)의 인증 체계에 대한 보안 위협에 대한 방지가 가능한 PUF를 기반으로 하는 보안에 양자보안 기술을 적용하여보다 안전한 로그(Log) 보안인증 및 3채널 양자보안 인증 기술을 적용한 차별성을 갖는다.
일 실시 예로,
PUF Chip은 시스템 온 칩(SoC; System On Chip)으로 구성되어 부트 ROM(Boot Read Only Memory), 메인 CPU(Central Processing Unit), 입출력 포트(I/O Port), 보안 MCU(Machine Control Unit), SoC 메모리, PUF 하드웨어 핀(H/W PIN), SPI(Serial Peripheral Interface) 컨트롤러로 구성된다.
종래에 메인 CPU가 부트 ROM를 부팅하면 디버거 인터페이스(Debug interface)도 동시에 입출력 포트를 통해 연결 상태로 디버깅 동작을 하게 되어 있다.
그래서 이 디버거 인터페이스를 통하여 외부에서 시스템 온 칩 내부 프로그램 및 데이터에 억세스 할 수 있었다.
이런 상태에서는 시스템 온 칩 내부 데이터를 보호할 수 있는 보안 대책이 없게 된다.
한편, 보안 MCU가 SoC 메모리에 저장된 보안키와 유니크한 PUF 하드웨어 핀으로부터의 보안키를 이용하여 데이터보안을 위한 동작을 한다.
하지만, 이들 SoC 메모리와 PUF 하드웨어 핀은 모두 PUF Chip 내부에 구비되어 있어서, 디버거 인터페이스를 통한 외부로부터의 접근에 의하여 그 동작이나 값이 변경될 수도 있고, 메인 CPU 또는 보안 MCU의 동작 자체가 정지될 여지도 있다.
따라서 디버거 인터페이스가 입출력 포트를 통해 연결 상태로 디버깅 동작되는 한, 실질적인 의미의 보안은 불가능하다는 문제가 있었다.
본 발명은 상기 종래기술의 문제를 해소하기 위한 것으로서, 보안기능을 가지는 시스템 온 칩 형태의 PUF Chip으로 데이터보안 강화를 위한 목적으로 PUF Chip 내부 SoC 메모리 억세스 제한, 메인 CPU, 보안 MCU의 프로그램 변조가 검출되는 경우에는 부트 ROM이 부팅을 못하도록 작동 제한하는 시스템 온 칩(SoC; System On Chip)의 보안방법을 제공하고자 하는 것이다.
또한, 시스템 온 칩(SoC; System On Chip)를 대체하여 USB(Universal Serial Bus) 또는 보드(Board) 타입으로도 구현한다.
일 예로, 메인 CPU에 보안 MCU를 추가로 더 포함할 경우, 보안 알고리즘을 구현하는 하드웨어로서, 메인 CPU의 컨트롤을 받아서 빠른 속도로 처리해야 하는 연산부분을 담당한다.
상기 메인 CPU는 양자난수(QRANG), 의사난수(PRANG) 유니크한 PUF의 PIN 데이터 등 난수로부터 생성된 대칭키 또는 비대칭키의 일치 여부를 판단하고, 일치하는 경우에만 부트 ROM이 부팅 되도록 한다.
본 발명에서는 어플리케이션 프로그램을 보호하는 장치를 마련하여, 해커가 디버거 인터페이스 또는 직렬인터페이스 버스(SPI; Serial Peripheral Interface Bus)를 통해 메인 CPU 어플리케이션 프로그램을 변경하는 경우, 입출력 포트를 차단 및 부트 ROM이 부팅을 못하도록 한다.
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
일 실시 예로,
Alice MASTER SERVER와 Bob MASTER SERVER는 내부망(전용선, 양자통신망)에 연결된다.
Alice MASTER SERVER는 Alice QRNG에서 발생하는 무작위 양자난수를 수신하여 (Alice)QUANTUM KEY를 생성하여 Bob MASTER SERVER로 전송한다.
Bob MASTER SERVER는 Bob QRNG에서 발생하는 무작위 양자난수를 수신하여 (Bob)QUANTUM KEY를 생성하여 Alice MASTER SERVER로 전송한다.
한 쌍의 양자보안 단말기를 통하여 외부망(ISP 사업자망, 인터넷망)에 연결된 Alice MASTER SERVER는 Alice SLAVE SERVER로 (Alice)QUANTUM KEY를 전송한다.(즉, Alice MASTER SERVER에 연결된 Alice MASTER SERVER 양자보안 단말기와 Alice SLAVE SERVER에 연결된 Alice SLAVE SERVER 양자보안단말기 한 쌍을 통하여 Alice MASTER SERVER는 Alice SLAVE SERVER로 (Alice)QUANTUM KEY를 전송한다.)
상기와 같은 원리로,
한 쌍의 양자보안 단말기를 통하여 외부망에 연결된 Bob MASTER SERVER는 Bob SLAVE SERVER로 (Bob)QUANTUM KEY를 전송한다.(즉, Bob MASTER SERVER에 연결된 Bob MASTER SERVER 양자보안 단말기와 Bob SLAVE SERVER에 연결된 Bob SLAVE SERVER 양자보안단말기 한 쌍을 통하여 Bob MASTER SERVER는 Bob SLAVE SERVER로 (Bob)QUANTUM KEY를 전송한다.)
상기와 같은 원리로,
한 쌍의 양자보안 단말기를 통하여 외부망에 연결된 Alice SLAVE SERVER는 Bob SLAVE SERVER로 (Alice)QUANTUM KEY를 전송하여 (Alice)QUANTUM KEY로 데이터를 암호화하여 전송하고 (Alice)QUANTUM KEY로 암호화된 데이터를 복호화한다.
또한, 반대로 한 쌍의 양자보안 단말기를 통하여 외부망에 연결된 Alice SLAVE SERVER는 Bob SLAVE SERVER로 (Bob)QUANTUM KEY를 전송하여 (Bob)QUANTUM KEY로 데이터를 암호화하여 전송하고 (Bob)QUANTUM KEY로 암호화된 데이터를 복호화할 수 있다.
또한, Alice SLAVE SERVER와 Bob SLAVE SERVER는 (Alice)QUANTUM KEY와 (Bob)QUANTUM KEY를 서로 교환하여 한방향으로만 데이터를 전송 및 복호화할 수 있다.
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
일 실시 예로,
Alice 보안 단말기는 Alice 시스템 버스로 연결된 Alice 부트롬, Alice 주제어부, Alice 시스템 저장장치, Alice VPN, Alice 디버거, Alice 입출력장치, Alice 직렬주변장치 인터페이스, Alice 순수난수생성기, Alice 보안 CPU, Alice 보안 OTP 메모리, Alice PUF 메모리, Alice e-FUSE로 구성된다.
Bob 보안 단말기는 Bob 시스템 버스로 연결된 Bob 부트롬, Bob 주제어부, Bob 시스템 저장장치, Bob VPN, Bob 디버거, Bob 입출력장치, Bob 직렬주변장치 인터페이스, Bob 순수난수생성기, Bob 보안 CPU, Bob 보안 OTP 메모리, Bob PUF 메모리, Bob e-FUSE로 구성된다.
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
일 실시 예로,
Alice QUANTUM SERVER와 Bob QUANTUM SERVER는 양자통신 채널을 형성한 네트워크망에 연결되어, Alice QUANTUM SERVER는 Alice QRNG에서 발생하는 무작위 양자난수를 수신하여 QUANTUM KEY를 생성하여 Alice QKD 및 Alice MASTER SERVER로 전송한다.
Alice QKD는 상기 QUANTUM KEY를 양자통신 채널을 통해 Bob QKD로 전송한다.
Bob QUANTUM SERVER는 Bob QKD로부터 QUANTUM KEY를 수신하여 Bob MASTER SERVER로 전송한다.
Alice MASTER SERVER와 Bob MASTER SERVER는 양자통신 채널을 형성하지 않는 네트워크망에 연결되어,
양자보안 단말기는 MCU, TRNG, PUF, VPN, 메모리, 네트워크망 차단기로 구성되어 Alice 양자보안 단말기, Bob 양자보안 단말기로 구별된다.
Alice 양자보안 단말기 내부의 Alice PUF로부터 Alice PIN 데이터를 추출하여 Bob 양자보안 단말기 내부의 Bob 메모리에 저장한다.
Bob 양자보안 단말기 내부의 Bob PUF로부터 Bob PIN 데이터를 추출하여 Alice 양자보안 단말기 내부의 Alice 메모리에 저장한다.
Alice 양자보안 단말기 내부의 Alice MCU는 Alice PUF에서 Alice PIN 데이터를 추출하여 Alice 대칭키를 생성한다.
Alice TRNG은 무작위 자연난수를 발생하여 Alice MCU로 전송한다.
Alice MCU는 상기 무작위 자연난수로 Alice 대칭키를 암호화하여 Alice 비대칭키를 생성한다.
Bob 양자보안 단말기 내부의 Bob MCU는 Bob PUF에서 Bob PIN 데이터를 추출하여 Bob 대칭키를 생성한다.
Bob TRNG은 무작위 자연난수를 발생하여 Bob MCU로 전송한다.
Bob MCU는 상기 무작위 자연난수로 Bob 대칭키를 암호화하여 Bob 비대칭키를 생성한다.
Alice 양자보안 단말기 내부의 Alice MCU는 Alice 비대칭키를 Alice VPN을 통해 Bob VPN으로 전송하면, Bob 양자보안 단말기 내부의 Bob MCU는 Bob VPN으로부터 Alice 비대칭키를 수신한다.
Bob 양자보안 단말기 내부의 Bob MCU는 Bob 비대칭키를 Bob VPN을 통해 Alice VPN으로 전송하면, Alice 양자보안 단말기 내부의 Alice MCU는 Alice VPN으로부터 Bob 비대칭키를 수신한다.
Alice 양자보안 단말기 내부의 Alice MCU는 Alice VPN을 통해 수신한 Bob 비대칭키로 Alice 메모리에 저장된 Bob PIN 데이터를 암호화하여 Alice VPN을 통해 Bob 양자보안 단말기 내부의 Bob VPN으로 전송한다.
Bob 양자보안 단말기 내부의 Bob MCU는 Bob VPN을 통해 수신한 Alice 비대칭키로 Bob 메모리에 저장된 Alice PIN 데이터를 암호화하여 Bob VPN을 통해 Alice 양자보안 단말기 내부의 Alice VPN으로 전송한다.
Alice 양자보안 단말기 내부의 Alice MCU는 Alice 비대칭키로 암호화된 Alice PIN 데이터를 Alice 대칭키로 복호화한 Alice PIN 데이터와 Alice PUF에서 Alice PIN 데이터를 추출한 Alice PIN 데이터가 일치 및 Bob 양자보안 단말기 내부의 Bob MCU는 Bob 비대칭키로 암호화된 Bob PIN 데이터를 Bob 대칭키로 복호화한 Bob PIN 데이터와 Bob PUF에서 추출한 Bob PIN 데이터가 일치 할 경우, Alice 양자보안 단말기에 연결된 Alice MASTER SERVER와 Bob 양자보안 단말기에 연결된 Bob MASTER SERVER 사이에 네트워크망 차단기를 통해 로그인(Log IN) 네트워크망 접속 연결한다.
Alice MASTER SERVER와 Bob MASTER SERVER 사이에 데이터 통신에 있어서,
삭제
Alice MASTER SERVER는 데이터를 QUANTUM KEY로 암호화하여 Bob MASTER SERVER로 전송한다.
Bob MASTER SERVER는 Alice MASTER SERVER로부터 수신한 QUANTUM KEY로 암호화한 데이터를 Bob QKD로부터 수신한 QUANTUM KEY로 복호화하는 것을 특징으로 한다.
일 실시 예로,
Alice MASTER SERVER와 Bob MASTER SERVER는 내부망에 연결되어, Alice MASTER SERVER는 Alice QRNG에서 발생하는 무작위 양자난수를 수신하여 QUANTUM KEY를 생성하여 Alice QKD 및 Alice SLAVE SERVER로 전송한다.
Alice QKD는 상기 QUANTUM KEY를 내부망을 통해 Bob QKD로 전송한다.
Bob MASTER SERVER는 Bob QKD로부터 QUANTUM KEY를 수신하여 Bob SLAVE SERVER로 전송한다.
Alice SLAVE SERVER와 Bob SLAVE SERVER는 ISP(Internet Service Provider) 사업자 외부망에 연결되어, 양자보안 단말기는 MCU, TRNG, PUF, VPN, 메모리, 네트워크망 차단기로 구성되어 Alice 양자보안 단말기, Bob 양자보안 단말기로 구별된다.
Alice 양자보안 단말기 내부의 Alice PUF로부터 Alice PIN 데이터를 추출하여 Bob 양자보안 단말기 내부의 Bob 메모리에 저장한다.
Bob 양자보안 단말기 내부의 Bob PUF로부터 Bob PIN 데이터를 추출하여 Alice 양자보안 단말기 내부의 Alice 메모리에 저장한다.
Alice 양자보안 단말기 내부의 Alice MCU는 Alice PUF에서 Alice PIN 데이터를 추출하여 Alice 대칭키를 생성한다.
Alice TRNG은 무작위 자연난수를 발생하여 Alice MCU로 전송한다.
Alice MCU는 상기 무작위 자연난수로 Alice 대칭키를 암호화하여 Alice 비대칭키를 생성한다.
Bob 양자보안 단말기 내부의 Bob MCU는 Bob PUF에서 Bob PIN 데이터를 추출하여 Bob 대칭키를 생성한다.
Bob TRNG은 무작위 자연난수를 발생하여 Bob MCU로 전송한다.
Bob MCU는 상기 무작위 자연난수로 Bob 대칭키를 암호화하여 Bob 비대칭키를 생성한다.
Alice 양자보안 단말기 내부의 Alice MCU는 Alice 비대칭키를 Alice VPN을 통해 Bob VPN으로 전송하면, Bob 양자보안 단말기 내부의 Bob MCU는 Bob VPN으로부터 Alice 비대칭키를 수신한다.
Bob 양자보안 단말기 내부의 Bob MCU는 Bob 비대칭키를 Bob VPN을 통해 Alice VPN으로 전송하면, Alice 양자보안 단말기 내부의 Alice MCU는 Alice VPN으로부터 Bob 비대칭키를 수신한다.
Alice 양자보안 단말기 내부의 Alice MCU는 Alice VPN을 통해 수신한 Bob 비대칭키로 Alice 메모리에 저장된 Bob PIN 데이터를 암호화하여 Alice VPN을 통해 Bob 양자보안 단말기 내부의 Bob VPN으로 전송한다.
Bob 양자보안 단말기 내부의 Bob MCU는 Bob VPN을 통해 수신한 Alice 비대칭키로 Bob 메모리에 저장된 Alice PIN 데이터를 암호화하여 Bob VPN을 통해 Alice 양자보안 단말기 내부의 Alice VPN으로 전송한다.
Alice 양자보안 단말기 내부의 Alice MCU는 Alice 비대칭키로 암호화된 Alice PIN 데이터를 Alice 대칭키로 복호화한 Alice PIN 데이터와 Alice PUF에서 Alice PIN 데이터를 추출한 Alice PIN 데이터가 일치 및 Bob 양자보안 단말기 내부의 Bob MCU는 Bob 비대칭키로 암호화된 Bob PIN 데이터를 Bob 대칭키로 복호화한 Bob PIN 데이터와 Bob PUF에서 추출한 Bob PIN 데이터가 일치 할 경우, Alice 양자보안 단말기에 연결된 Alice SLAVE SERVER와 Bob 양자보안 단말기에 연결된 Bob SLAVE SERVER 사이에 네트워크망 차단기를 ON접점 연결하여 로그인(Log IN) 네트워크망 접속 연결한다.
Alice SLAVE SERVER와 Bob SLAVE SERVER 사이에 데이터 통신에 있어서, Alice SLAVE SERVER는 데이터를 QUANTUM KEY로 암호화하여 Bob SLAVE SERVER로 전송한다.
Bob SLAVE SERVER는 Alice SLAVE SERVER로부터 수신한 QUANTUM KEY로 암호화한 데이터를 Bob QKD로부터 수신한 QUANTUM KEY로 복호화하는 것을 특징으로 한다.
일 실시 예로,
Alice MASTER SERVER와 Bob MASTER SERVER는 내부망에 연결되어, Alice MASTER SERVER는 Alice QRNG에서 발생하는 무작위 양자난수를 수신하여 QUANTUM KEY를 생성하여 Bob MASTER SERVER로 전송한다.
Bob MASTER SERVER는 Bob QRNG에서 발생하는 무작위 양자난수를 수신하여 QUANTUM KEY를 생성하여 Alice MASTER SERVER로 전송한다.
한 쌍의 양자보안 단말기를 통하여 외부망에 연결된 Alice MASTER SERVER는 Alice SLAVE SERVER로 QUANTUM KEY를 전송한다.
한 쌍의 양자보안 단말기를 통하여 외부망에 연결된 Bob MASTER SERVER는 Bob SLAVE SERVER로 QUANTUM KEY를 전송한다.
한 쌍의 양자보안 단말기를 통하여 외부망에 연결된 Alice SLAVE SERVER는 Bob SLAVE SERVER로 QUANTUM KEY를 전송하여 QUANTUM KEY로 데이터를 암호화하여 전송하고 QUANTUM KEY로 암호화된 데이터를 복호화는 것을 특징으로 한다.
일 실시 예로,
Alice MASTER SERVER와 Bob MASTER SERVER는 내부망에 연결되어, Alice MASTER SERVER는 Alice QRNG에서 발생하는 무작위 양자난수를 수신하여 QUANTUM KEY를 생성하여 Bob MASTER SERVER로 전송한다.
외부망에 연결되어 한 쌍의 양자보안 단말기를 통하여 상호 인증된 Alice MASTER SERVER는 Alice SLAVE SERVER로 Alice QUANTUM KEY를 전송한다.
외부망에 연결된 한 쌍의 양자보안 단말기를 통하여 상호 인증된 Bob MASTER SERVER는 Bob SLAVE SERVER로 Bob QUANTUM KEY를 전송한다.
외부망에 연결된 한 쌍의 양자보안 단말기를 통하여 상호 인증된 Alice SLAVE SERVER와 Bob SLAVE SERVER는 Alice QUANTUM KEY와 Bob QUANTUM KEY로 서로 교환하여 암호화/복호화를 통해 데이터 통신하는 것을 특징으로 한다.
일 실시 예로,
통합방범센터 내부의 통합제어서버에 연결된 Alice 보안 단말기는 Alice 시스템 버스로 연결된 Alice 부트롬, Alice 주제어부, Alice 시스템 저장장치, Alice VPN, Alice 입출력장치, Alice 직렬주변장치 인터페이스, Alice 순수난수생성기, Alice 보안 CPU, Alice 보안 OTP 메모리, Alice PUF 메모리, Alice e-FUSE로 구성된다.
Alice 주제어부는 Alice 시스템 버스로 연결된 Alice 부트롬, Alice 시스템 저장장치, Alice VPN, Alice 입출력장치, Alice 직렬주변장치 인터페이스를 제어한다.
Alice 보안 CPU는 Alice 입출력장치, Alice 직렬주변장치 인터페이스, Alice 순수난수생성기, Alice 보안 OTP 메모리, Alice PUF 메모리, Alice e-FUSE를 제어한다.
Alice 시스템 저장장치는 Alice 주제어부에 필요한 프로그램과 데이터를 저장한다.
Alice 직렬주변장치 인터페이스는 Alice 입출력장치와 연결되어 Alice 주제어부의 제어명령에 따라 Alice 입출력장치를 제어하여 네트워크망 연결을 ON/OFF 제어한다.
Alice 부트롬은 Alice 주제어부의 부팅시 필요한 프로그램과 데이터를 저장한다.
Alice VPN은 네트워크망에 연결된 BoB 보안 단말기 내부의 Bob VPN 사이에 1:1 암호화통신을 한다.
Alice 입출력장치는 네트워크망에 연결된 스위치로 네트워크망 ON/OFF 제어 및 네트워크망을 통해 수신한 데이터를 Alice 시스템 버스를 통해 Alice 주제어부로 전송한다.
Alice 보안 CPU는 Alice e-FUSE를 통해 추출한 하드웨어 PIN 데이터를 프로그램하여 ID(IDentity Address)를 부여하여 Bob PUF 메모리에 Alice ID(IDentity Address)를 저장한다.
Alice 보안 CPU는 Alice ID를 Alice 주제어부로 전송한다.
Alice 보안 CPU는 상기 Alice ID로 Alice 대칭키를 생성하여 Alice 보안 OTP 메모리에 저장한다.
Alice 보안 CPU는 Alice 순수난수생성기에서 발생하는 난수로 상기 Alice 대칭키를 암호화하여 Alice 비대칭키를 생성 후 Alice 주제어부로 전송한다.
방범용 CCTV에 연결된 Bob 보안 단말기는 Bob 시스템 버스로 연결된 Bob 부트롬, Bob 주제어부, Bob 시스템 저장장치, Bob VPN, Bob 입출력장치, Bob 직렬주변장치 인터페이스, Bob 순수난수생성기, Bob 보안 CPU, Bob 보안 OTP 메모리, Bob PUF 메모리, Bob e-FUSE로 구성된다.
Bob 주제어부는 Bob 시스템 버스로 연결된 Bob 부트롬, Bob 시스템 저장장치, Bob VPN, Bob 입출력장치, Bob 직렬주변장치 인터페이스를 제어한다.
Bob 보안 CPU는 Bob 입출력장치, Bob 직렬주변장치 인터페이스, Bob 순수난수생성기, Bob 보안 OTP 메모리, Bob PUF 메모리, Bob e-FUSE를 제어한다.
Bob 시스템 저장장치는 Bob 주제어부에 필요한 프로그램과 데이터를 저장한다.
Bob 직렬주변장치 인터페이스는 Bob 입출력장치와 연결되어 Bob 주제어부의 제어명령에 따라 Bob 입출력장치를 제어하여 네트워크망 연결을 ON/OFF 제어한다.
Bob 부트롬은 Bob 주제어부의 부팅시 필요한 프로그램과 데이터를 저장한다.
Bob VPN은 네트워크망에 연결된 Alice 보안 단말기 내부의 Alice VPN 사이에 1:1 암호화통신을 한다.
Bob 입출력장치는 네트워크망에 연결된 스위치로 네트워크망 ON/OFF 제어 및 네트워크망을 통해 수신한 데이터를 Bob 시스템 버스를 통해 Bob 주제어부로 전송한다.
Bob 보안 CPU는 Bob e-FUSE를 통해 추출한 하드웨어 PIN 데이터를 프로그램하여 ID(IDentity Address)를 부여하여 Alice PUF 메모리에 Bob ID(IDentity Address)를 저장한다.
Bob 보안 CPU는 Bob ID를 Bob 주제어부로 전송한다.
Bob 보안 CPU는 상기 Bob ID로 Bob 대칭키를 생성하여 Bob 보안 OTP 메모리에 저장하고, Bob 보안 CPU는 Bob 순수난수생성기에서 발생하는 난수로 상기 Bob 대칭키를 암호화하여 Bob 비대칭키를 생성 후 Bob 주제어부로 전송한다.
Alice 보안 단말기 내부의 Alice 주제어부는 Alice 시스템 버스로 연결된 Alice 부트롬을 통해 부팅하고, Alice 시스템 저장장치에 저장된 프로그램에 따라 Alice 직렬주변장치 인터페이스를 제어하여 Alice 입출력장치를 통해 네트워크망 ON/OFF 제어하고, Alice 보안 CPU를 통해 수신한 Alice 비대칭키를 Alice VPN을 통해 Bob 보안 단말기 내부의 Bob VPN으로 전송한다.
Bob 보안 단말기 내부의 Bob 주제어부는 Bob 시스템 버스로 연결된 Bob 부트롬을 통해 부팅하고, Bob 시스템 저장장치에 저장된 프로그램에 따라 Bob 직렬주변장치 인터페이스를 제어하여 Bob 입출력장치를 통해 네트워크망 ON/OFF 제어하고, Bob 보안 CPU를 통해 수신한 Bob 비대칭키를 Bob VPN을 통해 Alice 보안 단말기 내부의 Alice VPN으로 전송한다.
Alice 보안 단말기 내부의 Alice 주제어부는 Alice VPN을 통해 수신한 Bob 비대칭키로 Alice PUF 메모리에 저장된 Bob ID를 암호화한 Alice KEY를 Alice VPN을 통해 Bob 보안 단말기 내부의 Bob VPN으로 전송한다.
Bob 보안 단말기 내부의 Bob 주제어부는 Bob VPN을 통해 수신한 Alice 비대칭키로 Bob PUF 메모리에 저장된 Alice ID를 암호화한 Bob KEY를 Bob VPN을 통해 Alice 보안 단말기 내부의 Alice VPN으로 전송한다.
Alice 보안 단말기 내부의 Alice 주제어부는 Alice 비대칭키로 암호화된 Bob KEY를 Alice 대칭키로 복호화한 Alice ID와 Alice e-FUSE에서 추출한 Alice ID가 일치하고 Bob 보안 단말기 내부의 Bob 주제어부는 Bob 비대칭키로 암호화된 Alice KEY를 Bob 대칭키로 복호화한 Bob ID와 Bob e-FUSE에서 추출한 Bob ID가 일치할 경우, Alice 보안 단말기에 연결된 통합제어서버와 Bob 보안 단말기에 연결된 방범용 CCTV 사이에 네트워크망 연결하는 것을 특징으로 하는 방범용 CCTV PUF-QRNG 단말기.
일 실시 예로,
통합제어서버에 연결된 Alice 보안 단말기는 Alice 주제어부, Alice VPN, Alice 순수난수생성기, Alice 보안 OTP 메모리, Alice PUF로 구성되어 Alice 주제어부는 Alice VPN, Alice 순수난수생성기, Alice 보안 OTP 메모리, Alice PUF를 제어한다.
Alice VPN은 네트워크망에 연결된 BoB 보안 단말기 내부의 Bob VPN 사이에 1:1 암호화통신을 한다.
Alice 주제어부는 Alice PUF에서 Alice PIN 데이터를 추출하여 Bob OTP 메모리에 저장한다.
Alice 주제어부는 상기 Alice PIN 데이터로 Alice 대칭키를 생성하여 Alice 보안 OTP 메모리에 저장한다.
Alice 주제어부는 Alice 순수난수생성기에서 발생하는 난수로 상기 Alice 대칭키를 암호화하여 Alice 비대칭키를 생성한다.
방범용 CCTV에 연결된 Bob 보안 단말기는 Bob 주제어부, Bob VPN, Bob 순수난수생성기, Bob 보안 OTP 메모리, Bob PUF로 구성되어 Bob 주제어부는 Bob VPN, Bob 순수난수생성기, Bob 보안 OTP 메모리, Bob PUF를 제어한다.
Bob VPN은 네트워크망에 연결된 Alice 보안 단말기 내부의 Alice VPN 사이에 1:1 암호화통신을 한다.
Bob 주제어부는 Bob PUF에서 Bob PIN 데이터를 추출하여 Alice OTP 메모리에 저장한다.
Bob 주제어부는 상기 Bob PIN 데이터로 Bob 대칭키를 생성하여 Bob 보안 OTP 메모리에 저장한다.
Bob 주제어부는 Bob 순수난수생성기에서 발생하는 난수로 상기 Bob 대칭키를 암호화하여 Bob 비대칭키를 생성한다.
Alice 보안 단말기 내부의 Alice 주제어부는 Alice 비대칭키를 Alice VPN을 통해 Bob 보안 단말기 Bob VPN으로 전송한다.
Bob 보안 단말기 내부의 Bob 주제어부는 Bob 비대칭키를 Bob VPN을 통해 Alice 보안 단말기 Alice VPN으로 전송한다.
Alice 보안 단말기 내부의 Alice 주제어부는 Alice VPN을 통해 수신한 Bob 비대칭키로 Alice 보안 OTP 메모리에 저장된 Bob PIN 데이터를 암호화한 Bob PIN KEY를 Alice VPN을 통해 Bob VPN으로 전송한다.
Bob 보안 단말기 내부의 Bob 주제어부는 Bob VPN을 통해 수신한 Alice 비대칭키로 Bob 보안 OTP 메모리에 저장된 Alice PIN 데이터를 암호화한 Alice PIN KEY를 Bob VPN을 통해 Alice VPN으로 전송한다.
Alice 보안 단말기 내부의 Alice 주제어부는 Alice 비대칭키로 암호화된 Alice PIN KEY을 Alice 대칭키로 복호화한 Alice PIN 데이터 및 Alice PUF에서 Alice PIN 데이터를 추출하여 상기 Alice PIN KEY을 Alice 대칭키로 복호화한 Alice PIN 데이터가 서로 일치하고 Bob 보안 단말기 내부의 Bob 주제어부는 Bob 비대칭키로 암호화된 Bob PIN KEY을 Bob 대칭키로 복호화한 Bob PIN 데이터 및 Bob PUF에서 Bob PIN 데이터를 추출하여 상기 Bob PIN KEY을 Bob 대칭키로 복호화한 Bob PIN 데이터가 서로 일치 할 경우, Alice 보안 단말기에 연결된 통합제어서버와 Bob 보안 단말기에 연결된 방범용 CCTV 사이에 네트워크망 연결하는 것을 특징으로 하는 방범용 CCTV PUF-QRNG 단말기이다.
일 실시 예로,
통합제어서버에 연결된 Alice 보안 단말기는 Alice 주제어부, Alice VPN, Alice 순수난수생성기, Alice 보안 OTP 메모리, Alice e-FUSE로 구성되어 Alice 주제어부는 Alice VPN, Alice 순수난수생성기, Alice 보안 OTP 메모리, Alice e-FUSE를 제어한다.
Alice VPN은 네트워크망에 연결된 BoB 보안 단말기 내부의 Bob VPN 사이에 1:1 암호화통신을 한다.
Alice 주제어부는 Alice e-FUSE에서 Alice PIN 데이터를 추출하여 Bob OTP 메모리에 저장한다.
Alice 주제어부는 상기 Alice PIN 데이터로 Alice 대칭키를 생성하여 Alice 보안 OTP 메모리에 저장한다.
Alice 주제어부는 Alice 순수난수생성기에서 발생하는 난수로 상기 Alice 대칭키를 암호화하여 Alice 비대칭키를 생성한다.
방범용 CCTV에 연결된 Bob 보안 단말기는 Bob 주제어부, Bob VPN, Bob 순수난수생성기, Bob 보안 OTP 메모리, Bob e-FUSE로 구성되어,
Bob 주제어부는 Bob VPN, Bob 순수난수생성기, Bob 보안 OTP 메모리, Bob e-FUSE를 제어한다.
Bob VPN은 네트워크망에 연결된 Alice 보안 단말기 내부의 Alice VPN 사이에 1:1 암호화통신을 한다.
Bob 주제어부는 Bob e-FUSE에서 Bob PIN 데이터를 추출하여 Alice OTP 메모리에 저장한다.
Bob 주제어부는 상기 Bob PIN 데이터로 Bob 대칭키를 생성하여 Bob 보안 OTP 메모리에 저장한다.
Bob 주제어부는 Bob 순수난수생성기에서 발생하는 난수로 상기 Bob 대칭키를 암호화하여 Bob 비대칭키를 생성한다.
Alice 보안 단말기 내부의 Alice 주제어부는 Alice 비대칭키를 Alice VPN을 통해 Bob 보안 단말기 Bob VPN으로 전송한다.
Bob 보안 단말기 내부의 Bob 주제어부는 Bob 비대칭키를 Bob VPN을 통해 Alice 보안 단말기 Alice VPN으로 전송한다.
Alice 보안 단말기 내부의 Alice 주제어부는 Alice VPN을 통해 수신한 Bob 비대칭키로 Alice 보안 OTP 메모리에 저장된 Bob PIN 데이터를 암호화한 Bob PIN KEY를 Alice VPN을 통해 Bob VPN으로 전송한다.
Bob 보안 단말기 내부의 Bob 주제어부는 Bob VPN을 통해 수신한 Alice 비대칭키로 Bob 보안 OTP 메모리에 저장된 Alice PIN 데이터를 암호화한 Alice PIN KEY를 Bob VPN을 통해 Alice VPN으로 전송한다.
Alice 보안 단말기 내부의 Alice 주제어부는 Alice 비대칭키로 암호화된 Alice PIN KEY을 Alice 대칭키로 복호화한 Alice PIN 데이터 및 Alice e-FUSE에서 Alice PIN 데이터를 추출하여 상기 Alice PIN KEY을 Alice 대칭키로 복호화한 Alice PIN 데이터가 서로 일치하고, Bob 보안 단말기 내부의 Bob 주제어부는 Bob 비대칭키로 암호화된 Bob PIN KEY을 Bob 대칭키로 복호화한 Bob PIN 데이터 및 Bob e-FUSE에서 Bob PIN 데이터를 추출하여 상기 Bob PIN KEY을 Bob 대칭키로 복호화한 Bob PIN 데이터가 서로 일치 할 경우, Alice 보안 단말기에 연결된 통합제어서버와 Bob 보안 단말기에 연결된 방범용 CCTV 사이에 네트워크망 연결하는 것을 특징으로 하는 방범용 CCTV PUF-QRNG 단말기.
일 실시 예로,
PUF Chip은 SOC(System On Chip) 제조과정에서 발생하는 반도체 칩 내부 하드웨어 핀의 단절신호를 추출하는 e-FUSE를 통해 PIN 데이터를 추출하여 ID를 부여하는 것으로 대체되는 것을 특징으로 한다.
일 실시 예로,
e-FUSE는 PUF Chip의 제조과정에서 발생하는 반도체 칩 내부 하드웨어 핀의 단절신호를 추출하는 PIN 데이터로 대체되는 것을 특징으로 한다.

Claims (27)

  1. 삭제
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 삭제
  7. 삭제
  8. 삭제
  9. 삭제
  10. Alice QUANTUM SERVER와 Bob QUANTUM SERVER는 양자통신 채널을 형성한 네트워크망에 연결되어,
    Alice QUANTUM SERVER는 Alice QRNG에서 발생하는 무작위 양자난수를 수신하여 QUANTUM KEY를 생성하여 Alice QKD 및 Alice MASTER SERVER로 전송하며;
    Alice QKD는 상기 QUANTUM KEY를 양자통신 채널을 통해 Bob QKD로 전송하며;
    Bob QUANTUM SERVER는 Bob QKD로부터 QUANTUM KEY를 수신하여 Bob MASTER SERVER로 전송하며;

    Alice MASTER SERVER와 Bob MASTER SERVER는 양자통신 채널을 형성하지 않는 네트워크망에 연결되어,
    양자보안 단말기는 MCU, TRNG, PUF, VPN, 메모리, 네트워크망 차단기로 구성되어 Alice 양자보안 단말기, Bob 양자보안 단말기로 구별되며;

    Alice 양자보안 단말기 내부의 Alice PUF로부터 Alice PIN 데이터를 추출하여 Bob 양자보안 단말기 내부의 Bob 메모리에 저장하며;
    Bob 양자보안 단말기 내부의 Bob PUF로부터 Bob PIN 데이터를 추출하여 Alice 양자보안 단말기 내부의 Alice 메모리에 저장하며;

    Alice 양자보안 단말기 내부의 Alice MCU는 Alice PUF에서 Alice PIN 데이터를 추출하여 Alice 대칭키를 생성하며;
    Alice TRNG은 무작위 자연난수를 발생하여 Alice MCU로 전송하며;
    Alice MCU는 상기 무작위 자연난수로 Alice 대칭키를 암호화하여 Alice 비대칭키를 생성하며;

    Bob 양자보안 단말기 내부의 Bob MCU는 Bob PUF에서 Bob PIN 데이터를 추출하여 Bob 대칭키를 생성하며;
    Bob TRNG은 무작위 자연난수를 발생하여 Bob MCU로 전송하며;
    Bob MCU는 상기 무작위 자연난수로 Bob 대칭키를 암호화하여 Bob 비대칭키를 생성하며;

    Alice 양자보안 단말기 내부의 Alice MCU는 Alice 비대칭키를 Alice VPN을 통해 Bob VPN으로 전송하면, Bob 양자보안 단말기 내부의 Bob MCU는 Bob VPN으로부터 Alice 비대칭키를 수신하며;
    Bob 양자보안 단말기 내부의 Bob MCU는 Bob 비대칭키를 Bob VPN을 통해 Alice VPN으로 전송하면, Alice 양자보안 단말기 내부의 Alice MCU는 Alice VPN으로부터 Bob 비대칭키를 수신하며;

    Alice 양자보안 단말기 내부의 Alice MCU는 Alice VPN을 통해 수신한 Bob 비대칭키로 Alice 메모리에 저장된 Bob PIN 데이터를 암호화하여 Alice VPN을 통해 Bob 양자보안 단말기 내부의 Bob VPN으로 전송하며;
    Bob 양자보안 단말기 내부의 Bob MCU는 Bob VPN을 통해 수신한 Alice 비대칭키로 Bob 메모리에 저장된 Alice PIN 데이터를 암호화하여 Bob VPN을 통해 Alice 양자보안 단말기 내부의 Alice VPN으로 전송하며;

    Alice 양자보안 단말기 내부의 Alice MCU는 Alice 비대칭키로 암호화된 Alice PIN 데이터를 Alice 대칭키로 복호화한 Alice PIN 데이터와 Alice PUF에서 Alice PIN 데이터를 추출한 Alice PIN 데이터가 일치;및
    Bob 양자보안 단말기 내부의 Bob MCU는 Bob 비대칭키로 암호화된 Bob PIN 데이터를 Bob 대칭키로 복호화한 Bob PIN 데이터와 Bob PUF에서 추출한 Bob PIN 데이터가;일치 할 경우,
    Alice 양자보안 단말기에 연결된 Alice MASTER SERVER와 Bob 양자보안 단말기에 연결된 Bob MASTER SERVER 사이에 네트워크망 차단기를 로그인(LOG In) 연결하며;

    Alice MASTER SERVER와 Bob MASTER SERVER 사이에 데이터 통신에 있어서,
    Alice MASTER SERVER는 전송 데이터를 QUANTUM KEY로 암호화하여 Bob MASTER SERVER로 전송하며;
    Bob MASTER SERVER는 Alice MASTER SERVER로부터 수신한 QUANTUM KEY로 암호화한 전송 데이터를 Bob QKD로부터 수신한 QUANTUM KEY로 복호화하는 것을 특징으로 하는 양자보안 시스템.
  11. Alice QUANTUM SERVER와 Bob QUANTUM SERVER는 양자통신 채널을 형성한 네트워크망에 연결되어,
    Alice QUANTUM SERVER는 Alice QRNG에서 발생하는 무작위 양자난수를 수신하여 QUANTUM KEY를 생성하여 Alice QKD 및 Alice MASTER SERVER로 전송하며;
    Alice QKD는 상기 QUANTUM KEY를 양자통신 채널을 통해 Bob QKD로 전송하며;
    Bob QUANTUM SERVER는 Bob QKD로부터 QUANTUM KEY를 수신하여 Bob MASTER SERVER로 전송하며;

    Alice MASTER SERVER와 Bob MASTER SERVER는 양자통신 채널을 형성하지 않는 네트워크망에 연결되어,
    양자보안 단말기는 MCU, TRNG, e-FUSE, VPN, 메모리, 네트워크망 차단기로 구성되어 Alice 양자보안 단말기, Bob 양자보안 단말기로 구별되며;

    Alice 양자보안 단말기 내부의 Alice e-FUSE로부터 Alice PIN 데이터를 추출하여 Bob 양자보안 단말기 내부의 Bob 메모리에 저장하며;
    Bob 양자보안 단말기 내부의 Bob e-FUSE로부터 Bob PIN 데이터를 추출하여 Alice 양자보안 단말기 내부의 Alice 메모리에 저장하며;

    Alice 양자보안 단말기 내부의 Alice MCU는 Alice e-FUSE에서 Alice PIN 데이터를 추출하여 Alice 대칭키를 생성하며;
    Alice TRNG은 무작위 자연난수를 발생하여 Alice MCU로 전송하며;
    Alice MCU는 상기 무작위 자연난수로 Alice 대칭키를 암호화하여 Alice 비대칭키를 생성하며;

    Bob 양자보안 단말기 내부의 Bob MCU는 Bob e-FUSE에서 Bob PIN 데이터를 추출하여 Bob 대칭키를 생성하며;
    Bob TRNG은 무작위 자연난수를 발생하여 Bob MCU로 전송하며;
    Bob MCU는 상기 무작위 자연난수로 Bob 대칭키를 암호화하여 Bob 비대칭키를 생성하며;

    Alice 양자보안 단말기 내부의 Alice MCU는 Alice 비대칭키를 Alice VPN을 통해 Bob VPN으로 전송하면, Bob 양자보안 단말기 내부의 Bob MCU는 Bob VPN으로부터 Alice 비대칭키를 수신하며;
    Bob 양자보안 단말기 내부의 Bob MCU는 Bob 비대칭키를 Bob VPN을 통해 Alice VPN으로 전송하면, Alice 양자보안 단말기 내부의 Alice MCU는 Alice VPN으로부터 Bob 비대칭키를 수신하며;

    Alice 양자보안 단말기 내부의 Alice MCU는 Alice VPN을 통해 수신한 Bob 비대칭키로 Alice 메모리에 저장된 Bob PIN 데이터를 암호화하여 Alice VPN을 통해 Bob 양자보안 단말기 내부의 Bob VPN으로 전송하며;
    Bob 양자보안 단말기 내부의 Bob MCU는 Bob VPN을 통해 수신한 Alice 비대칭키로 Bob 메모리에 저장된 Alice PIN 데이터를 암호화하여 Bob VPN을 통해 Alice 양자보안 단말기 내부의 Alice VPN으로 전송하며;

    Alice 양자보안 단말기 내부의 Alice MCU는 Alice 비대칭키로 암호화된 Alice PIN 데이터를 Alice 대칭키로 복호화한 Alice PIN 데이터와 Alice e-FUSE에서 Alice PIN 데이터를 추출한 Alice PIN 데이터가 일치;및
    Bob 양자보안 단말기 내부의 Bob MCU는 Bob 비대칭키로 암호화된 Bob PIN 데이터를 Bob 대칭키로 복호화한 Bob PIN 데이터와 Bob e-FUSE에서 추출한 Bob PIN 데이터가;일치 할 경우,
    Alice 양자보안 단말기에 연결된 Alice MASTER SERVER와 Bob 양자보안 단말기에 연결된 Bob MASTER SERVER 사이에 네트워크망 차단기를 로그인(LOG In) 연결하며;

    Alice MASTER SERVER와 Bob MASTER SERVER 사이에 데이터 통신에 있어서,
    Alice MASTER SERVER는 전송 데이터를 QUANTUM KEY로 암호화하여 Bob MASTER SERVER로 전송하며;
    Bob MASTER SERVER는 Alice MASTER SERVER로부터 수신한 QUANTUM KEY로 암호화한 전송 데이터를 Bob QKD로부터 수신한 QUANTUM KEY로 복호화하는 것을 특징으로 하는 양자보안 시스템.
  12. Alice MASTER SERVER와 Bob MASTER SERVER는 내부망에 연결되어,
    Alice MASTER SERVER는 Alice QRNG에서 발생하는 무작위 양자난수를 수신하여 QUANTUM KEY를 생성하여 Alice QKD 및 Alice SLAVE SERVER로 전송하며;
    Alice QKD는 상기 QUANTUM KEY를 내부망을 통해 Bob QKD로 전송하며;
    Bob MASTER SERVER는 Bob QKD로부터 QUANTUM KEY를 수신하여 Bob SLAVE SERVER로 전송하며;

    Alice SLAVE SERVER와 Bob SLAVE SERVER는 ISP(Internet Service Provider) 사업자 외부망에 연결되어,
    양자보안 단말기는 MCU, TRNG, PUF, VPN, 메모리, 네트워크망 차단기로 구성되어 Alice 양자보안 단말기, Bob 양자보안 단말기로 구별되며;

    Alice 양자보안 단말기 내부의 Alice PUF로부터 Alice PIN 데이터를 추출하여 Bob 양자보안 단말기 내부의 Bob 메모리에 저장하며;
    Bob 양자보안 단말기 내부의 Bob PUF로부터 Bob PIN 데이터를 추출하여 Alice 양자보안 단말기 내부의 Alice 메모리에 저장하며;

    Alice 양자보안 단말기 내부의 Alice MCU는 Alice PUF에서 Alice PIN 데이터를 추출하여 Alice 대칭키를 생성하며;
    Alice TRNG은 무작위 자연난수를 발생하여 Alice MCU로 전송하며;
    Alice MCU는 상기 무작위 자연난수로 Alice 대칭키를 암호화하여 Alice 비대칭키를 생성하며;

    Bob 양자보안 단말기 내부의 Bob MCU는 Bob PUF에서 Bob PIN 데이터를 추출하여 Bob 대칭키를 생성하며;
    Bob TRNG은 무작위 자연난수를 발생하여 Bob MCU로 전송하며;
    Bob MCU는 상기 무작위 자연난수로 Bob 대칭키를 암호화하여 Bob 비대칭키를 생성하며;

    Alice 양자보안 단말기 내부의 Alice MCU는 Alice 비대칭키를 Alice VPN을 통해 Bob VPN으로 전송하면, Bob 양자보안 단말기 내부의 Bob MCU는 Bob VPN으로부터 Alice 비대칭키를 수신하며;
    Bob 양자보안 단말기 내부의 Bob MCU는 Bob 비대칭키를 Bob VPN을 통해 Alice VPN으로 전송하면, Alice 양자보안 단말기 내부의 Alice MCU는 Alice VPN으로부터 Bob 비대칭키를 수신하며;

    Alice 양자보안 단말기 내부의 Alice MCU는 Alice VPN을 통해 수신한 Bob 비대칭키로 Alice 메모리에 저장된 Bob PIN 데이터를 암호화하여 Alice VPN을 통해 Bob 양자보안 단말기 내부의 Bob VPN으로 전송하며;
    Bob 양자보안 단말기 내부의 Bob MCU는 Bob VPN을 통해 수신한 Alice 비대칭키로 Bob 메모리에 저장된 Alice PIN 데이터를 암호화하여 Bob VPN을 통해 Alice 양자보안 단말기 내부의 Alice VPN으로 전송하며;

    Alice 양자보안 단말기 내부의 Alice MCU는 Alice 비대칭키로 암호화된 Alice PIN 데이터를 Alice 대칭키로 복호화한 Alice PIN 데이터와 Alice PUF에서 Alice PIN 데이터를 추출한 Alice PIN 데이터가 일치;및
    Bob 양자보안 단말기 내부의 Bob MCU는 Bob 비대칭키로 암호화된 Bob PIN 데이터를 Bob 대칭키로 복호화한 Bob PIN 데이터와 Bob PUF에서 추출한 Bob PIN 데이터가;일치 할 경우,
    Alice 양자보안 단말기에 연결된 Alice SLAVE SERVER와 Bob 양자보안 단말기에 연결된 Bob SLAVE SERVER 사이에 네트워크망 차단기를 로그인(LOG In) 연결하며;

    Alice SLAVE SERVER와 Bob SLAVE SERVER 사이에 데이터 통신에 있어서,
    Alice SLAVE SERVER는 전송 데이터를 QUANTUM KEY로 암호화하여 Bob SLAVE SERVER로 전송하며;
    Bob SLAVE SERVER는 Alice SLAVE SERVER로부터 수신한 QUANTUM KEY로 암호화한 전송 데이터를 Bob QKD로부터 수신한 QUANTUM KEY로 복호화하는 것을 특징으로 하는 양자보안 시스템.
  13. 삭제
  14. Alice MASTER SERVER와 Bob MASTER SERVER는 내부망에 연결되어,
    Alice MASTER SERVER는 Alice QRNG에서 발생하는 무작위 양자난수를 수신하여 QUANTUM KEY를 생성하여 Bob MASTER SERVER 및 Alice SLAVE SERVER로 전송하며;
    Bob MASTER SERVER는 QUANTUM KEY를 수신하여 Bob SLAVE SERVER로 전송하며;

    Alice SLAVE SERVER와 Bob SLAVE SERVER는 외부망에 연결되며;
    양자보안 단말기는 MCU, TRNG, PUF, VPN, 메모리, 네트워크망 차단기로 구성되어 Alice 양자보안 단말기, Bob 양자보안 단말기로 구별된 한 쌍의 양자보안 단말기로,
    Alice 양자보안 단말기 내부의 Alice PUF로부터 Alice PIN 데이터를 추출하여 Bob 양자보안 단말기 내부의 Bob 메모리에 저장하며;
    Bob 양자보안 단말기 내부의 Bob PUF로부터 Bob PIN 데이터를 추출하여 Alice 양자보안 단말기 내부의 Alice 메모리에 저장하며;

    Alice 양자보안 단말기 내부의 Alice MCU는 Alice PUF에서 Alice PIN 데이터를 추출하여 Alice 대칭키를 생성하며;
    Alice TRNG은 무작위 자연난수를 발생하여 Alice MCU로 전송하며;
    Alice MCU는 상기 무작위 자연난수로 Alice 대칭키를 암호화하여 Alice 비대칭키를 생성하며;
    Bob 양자보안 단말기 내부의 Bob MCU는 Bob PUF에서 Bob PIN 데이터를 추출하여 Bob 대칭키를 생성하며;
    Bob TRNG은 무작위 자연난수를 발생하여 Bob MCU로 전송하며;
    Bob MCU는 상기 무작위 자연난수로 Bob 대칭키를 암호화하여 Bob 비대칭키를 생성하며;
    Alice 양자보안 단말기 내부의 Alice MCU는 Alice 비대칭키를 Alice VPN을 통해 Bob VPN으로 전송하면, Bob 양자보안 단말기 내부의 Bob MCU는 Bob VPN으로부터 Alice 비대칭키를 수신하며;
    Bob 양자보안 단말기 내부의 Bob MCU는 Bob 비대칭키를 Bob VPN을 통해 Alice VPN으로 전송하면, Alice 양자보안 단말기 내부의 Alice MCU는 Alice VPN으로부터 Bob 비대칭키를 수신하며;
    Alice 양자보안 단말기 내부의 Alice MCU는 Alice VPN을 통해 수신한 Bob 비대칭키로 Alice 메모리에 저장된 Bob PIN 데이터를 암호화하여 Alice VPN을 통해 Bob 양자보안 단말기 내부의 Bob VPN으로 전송하며;
    Bob 양자보안 단말기 내부의 Bob MCU는 Bob VPN을 통해 수신한 Alice 비대칭키로 Bob 메모리에 저장된 Alice PIN 데이터를 암호화하여 Bob VPN을 통해 Alice 양자보안 단말기 내부의 Alice VPN으로 전송하며;
    Alice 양자보안 단말기 내부의 Alice MCU는 Alice 비대칭키로 암호화된 Alice PIN 데이터를 Alice 대칭키로 복호화한 Alice PIN 데이터와 Alice PUF에서 Alice PIN 데이터를 추출한 Alice PIN 데이터가 일치;및
    Bob 양자보안 단말기 내부의 Bob MCU는 Bob 비대칭키로 암호화된 Bob PIN 데이터를 Bob 대칭키로 복호화한 Bob PIN 데이터와 Bob PUF에서 추출한 Bob PIN 데이터가;일치 할 경우,
    Alice 양자보안 단말기에 연결된 Alice SLAVE SERVER와 Bob 양자보안 단말기에 연결된 Bob SLAVE SERVER 사이에 네트워크망 차단기를 로그인(LOG In) 연결하며;
    Alice SLAVE SERVER와 Bob SLAVE SERVER 사이에 데이터 통신에 있어서,
    Alice SLAVE SERVER는 전송데이터를 QUANTUM KEY로 암호화하여 Bob SLAVE SERVER로 전송하며;
    Bob SLAVE SERVER는 Alice SLAVE SERVER로부터 수신한 QUANTUM KEY로 암호화한 전송데이터를 Bob MASTER SERVER로부터 수신한 QUANTUM KEY로 복호화하는 것을 특징으로 하는 양자보안 시스템.
  15. 삭제
  16. 삭제
  17. 삭제
  18. 삭제
  19. 삭제
  20. 삭제
  21. 삭제
  22. 삭제
  23. 삭제
  24. 삭제
  25. 삭제
  26. 제 10 항, 제 12 항, 제 14 항 중 어느 하나에 있어서,
    Alice PUF는 Alice e-FUSE로 대체 및 Bob PUF는 Bob e-FUSE로 대체되어,
    e-FUSE는 SOC(System On Chip) 제조과정에서 발생하는 반도체 칩 내부 하드웨어 핀의 단절신호를 추출하는 e-FUSE를 통해 PIN 데이터를 추출하여 ID를 부여하는 것으로 대체되는 것을 특징으로 하는 양자보안 시스템.
  27. 제 11 항에 있어서,
    e-FUSE는 PUF Chip의 제조과정에서 발생하는 반도체 칩 내부 하드웨어 핀의 단절신호를 추출하는 PIN 데이터로 대체되는 것을 특징으로 하는 양자보안 시스템.

KR1020180023802A 2018-02-27 2018-02-27 Puf-qrng 양자보안 시스템 KR101993882B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180023802A KR101993882B1 (ko) 2018-02-27 2018-02-27 Puf-qrng 양자보안 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180023802A KR101993882B1 (ko) 2018-02-27 2018-02-27 Puf-qrng 양자보안 시스템

Related Child Applications (3)

Application Number Title Priority Date Filing Date
KR1020180069359A Division KR20190102951A (ko) 2018-06-17 2018-06-17 방범용 CCTV PUF-TRNG TWIN 단말기 및 방범용 CCTV eFUSE-TRNG TWIN 단말기
KR1020180069358A Division KR20190102950A (ko) 2018-06-17 2018-06-17 방범용 CCTV PUF(eFUSE)-Q(T)RNG 단말기를 통한 통신방법
KR1020180139114A Division KR20190102972A (ko) 2018-11-13 2018-11-13 PUF(eFUSE)-TRNG 보안 시스템

Publications (1)

Publication Number Publication Date
KR101993882B1 true KR101993882B1 (ko) 2019-06-27

Family

ID=67057132

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180023802A KR101993882B1 (ko) 2018-02-27 2018-02-27 Puf-qrng 양자보안 시스템

Country Status (1)

Country Link
KR (1) KR101993882B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160022069A (ko) * 2014-08-19 2016-02-29 한국과학기술연구원 양자 암호 통신 장치 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160022069A (ko) * 2014-08-19 2016-02-29 한국과학기술연구원 양자 암호 통신 장치 및 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
A. Menezes 외 1명, Handbook of Applied Cryptograhy, Chapter.12, CRC Press (1996.) *

Similar Documents

Publication Publication Date Title
KR101888629B1 (ko) Puf-qrng 보안단말기 시스템
KR101952601B1 (ko) 사물지능통신에서 puf에 기반한 장치간 보안 인증 장치 및 방법
US11271730B2 (en) Systems and methods for deployment, management and use of dynamic cipher key systems
KR101993885B1 (ko) 양자 보안칩 탑재 누수-원격검침 lpwan 서비스 제공 양자보안 통신시스템
EP2356772B1 (en) Quantum key distribution
KR20190049006A (ko) Puf-qrng 원격검침 감시 단말기
WO2023151427A1 (zh) 量子密钥传输方法、装置及系统
KR102172693B1 (ko) 양자암호키 4차 행렬 해시함수 블럭체인 스마트 그리드 배전반 제어시스템 감시 cctv 방재 감시카메라
KR20210087000A (ko) One-way-ring/two-way-ring network qrn key 분배방법 및 하이브리드 양자통신 시스템 단말기 및 이종망 qrn key 분배 하이브리드 양자통신 폐쇄망 시스템
KR101891033B1 (ko) 양자 보안인증 시스템
Matischek et al. Application study of hardware-based security for future industrial IoT
KR20190102960A (ko) 감시카메라 자가망을 이용한 양자 보안칩 탑재 lpwan 서비스 제공 양자보안 통신시스템
KR101993882B1 (ko) Puf-qrng 양자보안 시스템
KR20190102950A (ko) 방범용 CCTV PUF(eFUSE)-Q(T)RNG 단말기를 통한 통신방법
KR20190049069A (ko) Puf-qrng 보안단말기 탑재 cctv 영상감시장치
KR20190049332A (ko) Puf-qrng 보안단말기 탑재 cctv 영상감시장치
KR20190102961A (ko) 양자 보안칩 탑재 배전반 lpwan 서비스 제공 양자보안 통신시스템
KR20190102972A (ko) PUF(eFUSE)-TRNG 보안 시스템
KR20190102951A (ko) 방범용 CCTV PUF-TRNG TWIN 단말기 및 방범용 CCTV eFUSE-TRNG TWIN 단말기
KR20190049333A (ko) Puf-qrng 원격검침 감시 단말기
KR20190102962A (ko) 양자 보안칩 탑재 방송장치 lpwan 서비스 제공 양자보안 통신시스템
KR102257607B1 (ko) 하이브리드 양자통신채널에 적용된 one-way-ring/two-way-ring network 제어방법 및 폐쇄자가망 시스템
US20060140407A1 (en) Optical machine locking method and system
KR20180136796A (ko) 퀀텀 반이중 3채널 보안인증 및 단말(배전반, 비상발전기, 네트웍장비, cctv, 방송장비, 자동제어)기 상태제어 크레들 스마트폰

Legal Events

Date Code Title Description
GRNT Written decision to grant