KR102411342B1 - 양자 암호 통신에 의한 망 분리 및 망간 자료 전송 장치 - Google Patents

양자 암호 통신에 의한 망 분리 및 망간 자료 전송 장치 Download PDF

Info

Publication number
KR102411342B1
KR102411342B1 KR1020220019635A KR20220019635A KR102411342B1 KR 102411342 B1 KR102411342 B1 KR 102411342B1 KR 1020220019635 A KR1020220019635 A KR 1020220019635A KR 20220019635 A KR20220019635 A KR 20220019635A KR 102411342 B1 KR102411342 B1 KR 102411342B1
Authority
KR
South Korea
Prior art keywords
network
encryption
internal
camera
quantum
Prior art date
Application number
KR1020220019635A
Other languages
English (en)
Inventor
최정국
Original Assignee
주식회사 티제이원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 티제이원 filed Critical 주식회사 티제이원
Priority to KR1020220019635A priority Critical patent/KR102411342B1/ko
Application granted granted Critical
Publication of KR102411342B1 publication Critical patent/KR102411342B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/30Peripheral units, e.g. input or output ports
    • H04L49/3063Pipelined operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/18Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
    • H04N7/181Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast for receiving images from a plurality of remote sources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 양자 암호화 터널을 통한 네트워크 망 분리 장치에 관한 기술로, 본 발명의 일 실시 예에 따르면, 양자 암호화 터널을 통한 네트워크 망분리 장치에 있어서, 유무선 네트워크를 통해 연결된 IP 카메라 및 상기 IP 카메라의 내외부 네트워크 정보를 등록하는 장비 등록부; 내외부 네트워크를 통해 검색된 기기에 대한 접근 권한, 상기 IP 카메라로부터 수신한 영상의 재생 권한, 및 상기 IP 카메라에 대한 제어 권한 중 적어도 하나 이상을 설정하는 기기 권한 설정부; 서로 다른 물리 계층을 가지는 내부 네트워크 망 및 외부 네트워크 망 사이의 터널링을 통해 상기 등록된 장비 및 상기 권한이 설정된 기기 사이의 일방향 또는 쌍방향의 데이터 통신을 제어하는 제어부; 및 상기 내부 네트워크 망 및 상기 외부 네트워크 망 사이의 터널링시, 데이터의 송수신을 위해 전송패킷을 양자 암호화하거나, 수신한 전송 패킷에 대해 상기 터널링을 통해 전달받은 대칭키를 이용하여 상기 양자 암호화된 전송 패킷을 복호화하는 적어도 한 쌍의 암복호화 모듈;을 포함하는, 장치가 개시된다.

Description

양자 암호 통신에 의한 망 분리 및 망간 자료 전송 장치 {APPRATUS FOR NETWORK SEPARATION AND INTER-NETWORK DATA TRANSMISSION BASED ON QUANTUM CRYPTOGRAPHY COMMUNICATION}
본 발명은 양자 암호 통신을 이용한 IP 카메라 보안 솔루션 및 네트워크 망분리 장치에 관한 기술이다.
양자정보통신은 보안, 연산 등 기존 정보 통신의 한계를 극복 할 수 있는차세대 정보통신 기술로, 정보 보안이 필수적인 기간 통신 분야를 비롯해 금융, 인프라, 의료, 제조 등 다양한 영역에 변화를 가져올 것으로 보인다. 양자정보통신기술은 4차 산업혁명의 요소 기술로써 인공지능(AI), 빅데이터와 같은 기술과 융합되었을때 큰 시너지를 낼 것으로 전망된다.
예를 들어, 최근 화상 회의, 재택 근무 등의 확산으로 인해 웹카메라 또는IP 카메라에 원격으로 접속하고 관리하는 사람들이 늘어나고 있다. 다만 이러한 원격 접속 시 IP 카메라는 각종 해킹 기술에 취약할 수 있으며, 해커가 영상을 가로채어 탈취하거나 다른 영상으로 교체 또는 촬영 동작의 중지와 같은 조작을 통해 카메라를 무력화 하는 등 여러 보안상의 취약점이 있을 수 있다. 특히, 네트워크를 외부망(예컨대 인터넷 등)과 내부망(예컨대 인트라넷 등)을 혼용하여 사용하는 경우 그 문제가 더 커질 수 있다. 이러한 문제점들을 해결하기 위한 방법으로, 최근 양자의 특성을 이용한 양자 암호화 기술을 통해 보다 신뢰성 있고 안전한 영상 보안 솔루션을 구현하고자 하는 시도들이 있다.
(특허문헌) 한국 공개특허공보 제10-2008-0025151호(2008.03.19)
본 개시는 양자 암호 통신을 이용한 IP 카메라 보안 솔루션 및 네트워크 망분리 장치를 제공하는데 있다.
그러나 본 발명의 목적들은 상기에 언급된 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
본 개시의 제1 측면은, 양자 암호화 터널을 통한 네트워크 망분리 장치에 있어서, 유무선 네트워크를 통해 연결된 IP 카메라 및 상기 IP 카메라의 내외부 네트워크 정보를 등록하는 장비 등록부; 제1 네트워크 망 또는 제2 네트워크 망을 통해 검색된 기기에 대한 접근 권한, 상기 IP 카메라로부터 수신한 영상의 재생 권한, 및 상기 IP 카메라에 대한 제어 권한 중 적어도 하나 이상을 설정하는 기기 권한 설정부; 서로 다른 물리 계층을 가지는 제1 네트워크 망 및 제2 네트워크 망 사이의 터널링을 통해 상기 등록된 장비 및 상기 권한이 설정된 기기 사이의 일방향 또는 쌍방향의 데이터 통신을 제어하는 제어부; 및 상기 제1 네트워크 망 및 제2 네트워크 망 사이의 터널링시, 데이터의 송수신을 위해 전송패킷을 양자 암호화하거나, 수신한 전송 패킷에 대해 상기 터널링을 통해 전달받은 대칭키를 이용하여 상기 양자 암호화된 전송 패킷을 복호화하는 적어도 한 쌍의 암복호화 모듈;을 포함할 수 있다.
또한, 상기 서로 다른 물리 계층을 가지는 제1 네트워크 망 및 제2 네트워크 망은, 적어도 두 개의 포트를 통해 상기 장치가 지원하는 내부 네트워크 망 및 외부 네트워크 망을 물리적으로 구분하는 것을 포함할 수 있다.
상기 암복호화 모듈은, 서로 다른 주파수 대역폭(band width)를 사용함으로써 복수의 채널로 암호화 또는 복호화를 지원하는 다채널 병렬 파이프라인을 지원할 수 있다.
상기 암복호화 모듈은, 소정의 SoC(System on Chip) 형태로 상기 장치에 탑재되고, 양자 난수를 발생시키는 양자 난수 발생기; 및 개인키, 상기 개인키에 상응하는 비밀키 및 공개키를 생성하고 관리하는암호화 키 관리부; 및 대칭키 알고리즘에 기반하여 양자 난수로 생성된 비밀키를 대칭키로 하여 압축된 영상을 암호화하는 영상 암호화부;를 포함할 수 있다.
상기 암복호화 모듈은, 상기 내부 네트워크 망 및 상기 외부 네트워크 망 사이 터널링을 통해 상기 암호화 키를 공유하고, 상기 내부 네트워크 망 또는 상기 외부 네트워크 망에서 상기 암호화한 영상을 송신하면, 상기 내부 네트워크 망 또는 상기 외부 네트워크 망의 타 단에서 상기 암호화한 영상을 수신하고 복호화하는, 것을 포함할 수 있다.
상기 제어부는, IP 카메라가 송신한 전송패킷에 포함된 출발지 및 목적지 정보와, 상기 기기 권한 설정부에 의해 상기 IP 카메라에 대한 접근 권한, 영상 재생 권한, 제어 권한 중 적어도 하나 이상이 승인된 클라이언트 단말의 요청에 상응하는 전송패킷 전송 루트를 설정할 수 있다.
상기 장비 등록부 또는 상기 기기 권한 설정부는, 상기 장비 등록 요청 또는 상기 기기의 권한 설정 요청시 양자 난수 발생기에서 생성한 양자 난수를 이용한 상호 인증을 하거나 NTP(Network Time Protocol)에 기반한 상기 일회용 암호(OTP)를 이용하여 상기 장비 등록 요청 또는 상기 기기의 권한 설정 요청을 인증할 수 있다.
이 외에도, 본 발명을 구현하기 위한 다른 방법, 다른 시스템 및 상기 방법을 실행하기 위한 컴퓨터 프로그램이 저장된 컴퓨터로 판독 가능한 기록매체가 더 제공될 수 있다.
본 발명의 일 실시 예에 따르면, 양자 암호 통신을 적용한 영상 보안 솔루션을 탑재한 IP 카메라를 구현함으로써 외부의 해킹을 통한 영상 데이터의 탈취가 불가능하여 영상 전송에 있어 신뢰성과 안정성을 담보할 수 있다. 여기서, IP 카메라 이외 다른 통신 프로토콜을 사용하는 영상 촬영 장치에도 본 발명이 적용 가능하다.
또한, 다른 측면에서 본 발명의 일 실시 예에 따르면 양자 난수를 생성함으로써 양자 컴퓨터를 이용해도 풀 수 없는 무결한 암호 생성이 가능하며, 양자 난수를 암호로 사용함으로써 처리해야 할 데이터의 크기를 획기적으로 줄일 수 있다.
또한, 다른 측면에서 본 발명의 일 실시 예에 따른 양자 암호 통신을 이용하는 네트워크 망 분리 장치는 양자 암호화된 영상을 복호화 및 재 암호화 함으로써 클라이언트 단말의 상태에 따라, 또는 내부망과 외부망의 연결 특성에 따라 다양한 버전으로 생성한 영상을 전송할 수 있다.
또한, 본 발명의 네트워크 망 분리 장치는 내부망과 외부망을 물리적으로 완전히 구분함에 따라 내부망과 외부망의 망간 사이를 해킹이나 복제 및 탈취가 불가능 하나 탈취가 이루어 지더라도 내부망은 유지가되며, 탈취된 데이터는 파괴되어 정보보호가 이루어질 수 있다.
도 1은 본 발명의 일 실시 예에 따른 IP 카메라 및 네트워크 망 분리 장치(1)를 이용하는 영상 보안 솔루션에 관한 개념도이다.
도 2는 본 발명의 일 실시 예에 따른 네트워크 망 분리 장치(100)의 구조에 관한 블록도이다.
도 3은 본 발명의 일 실시 예에 따른 프로세서(200)의 구조에 관한 블록도이다.
도 4 및 도 5는 본 발명의 일 실시 예에 따른 네트워크 망 분리 장치(100)에서의 데이터 처리에 관해 설명하는 예시적인 도면이다.
도 6을 참고하면, 일 예에 따라 IP 카메라와 네트워크 망 분리 장치(100)가 8채널로 연결된 것을 설명하는 예시도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 설명되는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 아래에서 제시되는 실시 예들로 한정되는 것이 아니라, 서로 다른 다양한 형태로 구현될 수 있고, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 아래에 제시되는 실시 예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
본 출원에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
본 개시의 일부 실시예는 기능적인 블록 구성들 및 다양한 처리 단계들로 나타내어질 수 있다. 이러한 기능 블록들의 일부 또는 전부는, 특정 기능들을 실행하는 다양한 개수의 하드웨어 및/또는 소프트웨어 구성들로 구현될 수 있다. 예를 들어, 본 개시의 기능 블록들은 하나 이상의 마이크로프로세서들에 의해 구현되거나, 소정의 기능을 위한 회로 구성들에 의해 구현될 수 있다. 또한, 예를 들어, 본 개시의 기능 블록들은 다양한 프로그래밍 또는 스크립팅 언어로 구현될 수 있다. 기능 블록들은 하나 이상의 프로세서들에서 실행되는 알고리즘으로 구현될 수 있다. 또한, 본 개시는 전자적인 환경 설정, 신호 처리, 및/또는 데이터 처리 등을 위하여 종래 기술을 채용할 수 있다.
또한, 도면에 도시된 구성 요소들 간의 연결 선 또는 연결 부재들은 기능적인 연결 및/또는 물리적 또는 회로적 연결들을 예시적으로 나타낸 것일 뿐이다. 실제 장치에서는 대체 가능하거나 추가된 다양한 기능적인 연결, 물리적인 연결, 또는 회로 연결들에 의해 구성 요소들 간의 연결이 나타내어질 수 있다.
본 발명의 일 실시 예에 따르면 양자 난수 발생기(Quantum Random Number Generator)를 활용한 양자 암호 통신 기술이 소개된다. 양자 역학은 약 10 나노미터(nm, 10억분의 1) 이하의 미시 세계에서 관측될 수 있는 불확실한 현상을 확률로서 예측하는 학문으로, 정보의 기본 단위를 단일 양자로 사용하는 경우 양자역학적 특성인 No Cloning Theorem(복제 불가능 정리)에 따라 해킹이 불가능하다고 여겨질 수 있어 이론적으로 해킹의 위험에서 무결한 양자 암호 통신을 구현할 수 있다. 한편, 난수는 예측 불가능성(Unperdictability) 과 반복불가능성(Irreproducibility)의 성질을 가지며, 양자 난수 발생기는 단일 광자의 물리적 성질을 이용하여 양자 난수를 생성할 수 있다.
본 발명의 일 실시 예에 따르면, 양자 암호 통신을 구현하는데 있어 대칭키 알고리즘이 사용될 수 있다. 대칭키 암호 알고리즘은 송신자 및 수신자 간 동일한 암호화 키를 공유함으로써 정해진 송신자와 수신자 사이에서만 해당 양자 암호를 암호화, 복호화 할 수 있다. 이때, 송신자 또는 수신자 별로 많은 암호화 키를 생성, 유지 및 관리해야 할 수 있다. 대표적인 블록 암호는 DES(Data Encryption Standard), AES(Advanced Encryption Standard), SEED, HIGHT(HIGh security and light weigHT), LEA(Lightweight Encryption Algorithm), ARIA 등이 있고, 대표적인 스트림 암호는 A5/1, A5/2, A5/3 등이 있을 수 있다.
이하 첨부된 도면을 참고하여 본 개시를 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시 예에 따른 IP 카메라 및 네트워크 망 분리 장치(1)를 이용하는 영상 보안 솔루션에 관한 개념도이다.
도 1을 참고하면, IP 카메라는 스위칭 허브(30)를 통해 네트워크 망분리 장치(1)의 일 포트(2)로 입력되고, IP 카메라로부터 전송된 촬영 영상은 네트워크 망 분리 장치(1)를 통해 내부 네트워크 망(20) 및 외부 네트워크 망(10)과 양방향 통신이 가능하며, 내부 네트워크 망(20)에 연결된 클라이언트 단말에 IP 카메라의 영상 데이터를 전송하고자 하는 경우, 네트워크 망 분리 장치(1)의 다른 포트(3)를 통해 물리적으로 연결이 분리된 영상 데이터 전송 흐름이 생성될 수 있다.
여기서, IP 카메라는 촬영한 영상을 고유의 IP 주소를 가지고 인터넷 프로토콜(IP, Internet protocol)을 통해 전송할 수 있는 카메라이다. 다만, 본 발명은 단지 IP 카메라를 일 예로 제시한 것일 뿐 CCTV(Closed circuit television), 웹 카메라(Web camera) 등 영상뿐 아니라 음성(오디오), 디지털 데이터 및 제어 신호를 TCP IP로 전송하는 매체에도 본 발명이 적용될 수 있음은 통상의 기술자에게 어렵지 않게 유추될 수 있을 것이다.
IP 카메라의 경우 독립된 IP 주소를 가지고 있으므로 외부 네트워크 망(10)을 통해서 촬영 영상을 전송할 수 있다. 여기서, 외부망은 대표적으로 인터넷을 들 수 있으나 이에 한정되는 것은 아니며, 근거리 통신망(Local Area Network; LAN), 광역통신망(Wide Area Network; WAN), 부가가치 통신망(Value Added Network;VAN), 개인 근거리 무선통신(Personal Area Network; PAN), 이동통신망(Mobile Radio Communication Network), Wibro(Wireless Broadband Internet), Mobile WiMAX, HSDPA(High Speed Downlink Packet Access), 또는 위성 통신망 등과 같은 여타 종류의 유/무선 네트워크가 될 수도 있다.
내부 네트워크 망(20)은 기업 내부에서 각 단말을 연결하기 위해 사용하는 인트라넷(intranet) 등으로 예시될 수 있다. 여기서, 네트워크 망 분리 장치(1)는 외부 네트워크 망(10) 또는 내부 네트워크 망(20)을 통해 영상 데이터를 전송하는데, 외부 네트워크 망(10)의 경우 외부 네트워크 망(10)에 연결된 모든 기기를 신뢰할 수 없기 때문에 영상 데이터에 대한 보안 솔루션이 필요하다.
네트워크 망 분리 장치(1)에 의해 내부 네트워크 망(20)으로 전송되는 영상 데이터는, 스위칭 허브(31)를 거쳐 다수의 클라이언트 단말에 연결될 수 있다. 일 예로, 도 1을 참고하면, 스위칭 허브(31)는 전송된 영상 데이터를 네트워크 비디오 레코드(NVR, Network Video Record, 26), 컴퓨터 서버(27), CMS 출력을 위한 모니터(28) 및 CCTV 통합 관제 시스템(25) 중 어느 하나 이상의 클라이언트 단말에 전송할 수 있다. CCTV 통합 관제 시스템(25)은 다수의 IP 카메라로부터 수신한 영상 데이터를 출력(21)함으로써 관리자로 하여금 복수의 IP 카메라를 일괄적으로 관리할 수 있게 할 수 있다.
한편, 도 1을 참고하면 IP 카메라가 약 4대 연결된 4-채널 통신 포트가 예시되고 있으나, IP 카메라는 8-채널, 16-채널 등으로 확장 연결될 수 있으며, 그 이상의 채널 연결도 가능한만큼 본 발명이 도 1에 기재된 실시 예에 한정되어 해석되어야 할 것은 아니다.
네트워크 망 분리 장치(1)는 IP 카메라로부터 수신한 영상 데이터를 외부 네트워크 망(10)인 인터넷 또는 내부 네트워크 망(20)인 인트라넷을 통해 클라이언트 단말에 제공할 수 있고, 바람직하게는, 클라이언트 단말의 요청에 응답하여 인증된 클라이언트 단말에만 해당 영상 데이터를 전송할 수 있다.
일 예에 따르면, 내부 네트워크 망(20)은 신뢰할 수 있는 별도의 서버에 의해 운용되는 네트워크 망이고, 상기 별도의 서버(미도시)는 상기 망 분리 장치를 통해 압축되거나 복호화된 영상을 전달받음으로써 상기 내외부 네트워크 망에서 검색된 기기에 대한 데이터를 통합적으로 처리하는 것을 포함할 수 있다.
다른 예로, 별도의 서버는 클라우드 서버이고, 상기 클라우드 서버는 플랫폼을 통한 데이터의 처리와, 상기 처리된 데이터를 공용 데이터로 활용하는 것을 포함할 수 있다.
도 2는 본 발명의 일 실시 예에 따른 네트워크 망 분리 장치(100)의 구조에 관한 블록도이다. 네트워크 망 분리 장치(100)는 SoC 01(110), SoC 02(120), 물리 계층 01(130), 물리 계층 02(140), 포트 01(135), 포트 02(145), 터널(150)을 포함할 수 있다. 한편, 도 2에 기재된 네트워크 망 분리 장치(100)의 실시 예에는 관련된 구성요소들만이 도시되어 있으나, 다른 범용적인 구성요소들이 더 포함되거나, 일부 구성이 생략될 수 있음은 관련된 기술분야에서 통상의 지식을 가진 자라면 이해할 수 있다.
도 2를 참고하면, 네트워크 망 분리 장치(100)는 내부 네트워크 망과 외부 네트워크 망을 분리하기 위해 각각 별도의 하드웨어적 구성을 포함할 수 있다.
예를 들어, 네트워크 망 분리 장치(100)는 제1 네트워크 망 내에서 SoC 01(110), 물리 계층 01(130), 포트 01(135)에 이르는 데이터 송수신 경로를 가질 수 있고, 다른 한편 제2 네트워크 망 내에서 SoC 02(120), 물리 계층 02(140), 포트 02(145)에 이르는 데이터 송수신 경로를 각각 별개의 패스(Path)로 지정할 수 있다.
네트워크 망 분리 장치(100)에서 상기 서로 다른 물리 계층을 가지는 제1 네트워크 망 및 제2 네트워크 망은, 적어도 두 개의 포트를 통해 상기 장치가 지원하는 내부 네트워크 망 및 외부 네트워크 망을 물리적으로 구분할 수 있다.
한편, 네트워크 망 분리 장치(100)는 서로 다른 물리 계층을 가지는 네트워크 망을 분리하되 소정의 경우에 한하여 상기 터널(150)을 통해 데이터를 송수신하는 경로를 설정할 수 있다. 이때, 제1 네트워크 망과 제2 네트워크 망 사이에 정보 전송을 위한 터널(150)은 입출력 장치 사이의 정보 전송을 광섬유 케이블에 의해 전송된 광신호로 실행하는 광 채널일 수 있다.
한편, 네트워크 망 분리 장치(100)는 프로세서(200)를 포함하는 적어도 한 쌍의 SoC를 포함할 수 있고, 이때, 각 SoC에 포함된 암복호화 모듈은 상호 암호화키를 공유하며 데이터 처리를 수행할 수 있다. 이하, 네트워크 망 분리 장치(100)에서 프로세서(200)를 통해 소정의 데이터 처리 과정 및 터널링을 통한 보안 솔루션을 적용하는 일 예를 설명한다.
도 3은 본 발명의 일 실시 예에 따른 프로세서(200)의 구조에 관한 블록도이다. 도 3을 참고하면, 프로세서(200)는 장비 등록부(210), 기기 권한 설정부(220), 암복호화 모듈(230), 제어부(240)를 포함할 수 있다. 한편, 프로세서(200)에는 다른 범용적인 구성요소들이 더 포함되거나, 일부 구성이 생략될 수 있음은 관련된 기술분야에서 통상의 지식을 가진 자라면 이해할 수 있다.
장비 등록부(210)는 유무선 네트워크를 통해 연결된 IP 카메라 및 상기 IP 카메라의 내외부 네트워크 정보를 등록할 수 있다. 일 예로, 장비 등록부(210)는 장비 검색 모드에서 주변의 IP를 검색하고 연결을 시도하는 장비에 대한 인증 후 장비를 등록할 수 있다. 이때, 장비 등록부(210)는 장비의 IP, 연결 상태 등의 정보와, 상기 장비가 접속하고 있는 네트워크 망에 대한 정보를 장비 관리자에 등록할 수 있다.
일 예로, 제1 네트워크 망을 이용하는 장비는, 제1 네트워크 망에 대한 정보로 IP 주소, 게이트웨이, 마스크, 인터페이스, 맥 주소, 시리얼 넘버 중 적어도 하나 이상을 등록할 수 있다.
다른 예로, 제2 네트워크 망을 이용하는 장비는, 제2 네트워크 망에 대한포함할 정보로 IP 주소, 게이트웨이, 인터페이스, 맥 주소 중 적어도 하나 이상을 등록할 수 있다. 한편, 전술한 실시 예 이외에 장비를 등록하는 다양한 방법이 있을 수 있으므로, 본 발명이 여기에 제한하여 해석되어야 하는 것은 아니다.
기기 권한 설정부(220)는 제1 네트워크 망 또는 제2 네트워크 망을 통해 검색된 기기에 대한 접근 권한, 상기 IP 카메라로부터 수신한 영상의 재생 권한, 및 상기 IP 카메라에 대한 제어 권한 중 적어도 하나 이상을 설정할 수 있다.
일 예로, 기기 권한 설정부(220)는 제1 네트워크 망 또는 제2 네트워크 망을 통해 검색된 기기의 IP, 접속 정보 및 상태 정보를 기초로 장비를 등록하면서, 등록된 장비들을 관리할 수 있다. 예를 들어, 기기 권한 설정부(220)는 각 장비 별 접속 정보 및 상태 정보가 소정의 절차에 따라 인증되고, 소정의 퍼미션(Permission)을 받은 장비들을 화이트리스트 및 암호호스트 목록에 등록, 관리할 수 있다.
다른 예로, 기기 권한 설정부(220)는 제1 네트워크 망 또는 제2 네트워크 망을 통해 기기에 대한 접근 권한, 재생 권한, 제어 권한 중 적어도 하나 이상을 요청하는 클라이언트 단말에 대한 소정의 인증 절차를 거쳐 화이트 리스트 및 암호호스트 목록에 리스트를 생성할 수 있다. 또한, 기기 권한 설정부(220)는 일반 사용자와 관리자의 권한을 구분하여 관리자 계정 보안을 설정할 수 있다.
다른 예로, 기기 권한 설정부(220)는 내외부 네트워크를 통해 검색된 기기에 대해 화이트 리스트 또는 암호호스트 리스트로 등록하고, 상기 화이트 리스트 또는 상기 암호호스트 리스트로 등록된 기기에만 상기 접근 권한, 상기 재생 권한, 상기 제어 권한 중 적어도 하나 이상을 설정할 수 있다.
또 다른 예로, 장비 등록부(210) 또는 기기 권한 설정부(220)는, 상기 장비 등록 요청 또는 상기 기기의 권한 설정 요청시 양자 난수 발생기에서 생성한 양자 난수를 이용한 상호 인증을 하거나 NTP(Network Time Protocol)에 기반한 일회용 암호(OTP)를 이용하여 상기 장비 등록 요청 또는 상기 기기의 권한 설정 요청을 인증할 수 있다.
한편, IP 카메라는 소정의 스트리밍 규격에 따라 영상을 압축하고, 영상에 관한 정보를 패킷화한 전송 패킷을 네트워크 망 분리 장치(100)에 전송할 수 있다. 여기서, 소정의 스트리밍 규격은 ITU(International Telecommunication Union)이 제정한 HDTV Studio Signal Interface 규격인 BT.1120 형식일 수 있다. 그 외, 소정의 스트리밍 규격은 UHDTV Studio Signal Interface 규격인 BT.2073/BT.2077 형식이나 여타의 형식으로 되어 있을 수도 있다. 영상 압축에 관한 대표적인 코덱으로 H264 표준 또는 MPEG 등이 있을 수 있으나, 본 발명에서는 이를 한정하여 기재하지 않으며 다양한 실시 예들이 있을 수 있다.
암복호화 모듈(230)은 상기 내부 네트워크 망 및 상기 외부 네트워크 망 사이의 터널링시, 데이터의 송수신을 위해 전송패킷을 양자 암호화하거나, 수신한 전송 패킷에 대해 상기 터널링을 통해 전달받은 대칭키를 이용하여 상기 양자 암호화된 전송 패킷을 복호화하는 적어도 한 쌍의 암복호화 모듈을 포함할 수 있다.
일 예로, 암복호화 모듈은(230)은 양자 난수 발생기(미도시), 암호화키 관리부(미도시), 영상 암호화부(미도시)를 포함할 수 있다. 암복호화 모듈은(230)은 반도체 칩(SoC, System on chip) 형태로 상기 프로세서(200) 내부에 구성될 수도 있고, 이외에 개별의 별도 칩으로써 탑재될 수 있다. 한편, 암복호화 모듈은(230)은 각 장치에 적응적으로 활용될 수 있는 소프트웨어(SW) 형태로 배포되거나, 암복호화 모듈은(230)을 제어하고 관리하기 위한 API(Application Programming Interface)를 호출하거나, 해당 SW 또는 API 를 저장한 기록 매체 등을 통해 구현될 수 있다.
암복호화 모듈은(230)은 대칭키 알고리즘(Symmetric-key algorithm)에 기반하여 양자 난수로 생성된 비밀키를 대칭키로 하여 압축된 영상을 암호화하고, 비밀키(Secret key)를 다른 암복호화 모듈과 공유할 수 있다. 이때, 암호화키 관리부(미도시)는 개인키, 상기 개인키에 상응하는 비밀키 및 공개키를 생성하고 관리할 수 있다.
일 예로, 대칭키 알고리즘은 국내 표준 알고리즘인 아리아(ARIA) 또는 국제 표준 알고리즘인 AES(Advanced Encryption Standard)를 실행하며, 256 비트(bit) 이상의 키 길이를 사용할 수 있다. 여기서, 대칭키 알고리즘(Symmetric-key algorithm)은 암호화와 복호화에 동일한 암호키를 사용하는 알고리즘을 의미한다. 일 예로, 대칭키는 SoC 01의 개인키와, 해당 영상 데이터를 전송받을 SoC 02의 공개키를 통해 연산에 의해 산출되는 비밀키(Secret key)일 수 있다.
암호화하는 측과 복호화하는 측이 같은 비밀키(Secret key)를 공유해야 하므로, 한 쌍의 암복호화 모듈은(230) 터널(150)을 통해 연결된 한 쌍의 SoC 01 및 SoC 02사이에서 비밀키를 공유할 수 있다.
선택적 실시 예로 바람직하게는, 암복호화 모듈(230)은 양자 난수를 이용해 비밀키를 생성, 관리할 수 있다. 여기서, 양자 난수는 양자 난수 발생기에 의해 생성된 광자를 임의의 난수로 배열한 것으로, 양자의 얽힘 특성을 가지고 있을 수 있다. 여기서, 양자의 얽힘 특성은 해당 양자가 0의 상태이거나 1의 상태를 가지고 있을 확률을 동시에 가지고 있다는 것을 의미하며, 해당 양자가 관측자에 의해 관측될 때 비로소 그 상태가 정해진다고 할 수 있다. 다른 실시 예로, 암복호화 모듈(230)은 기기간 상호 인증을 위해 개인키 값을 난수로 생성할 수 있다.
인증 모듈(미도시)은 IP 카메라에 유무선으로 연결된 클라이언트 단말을 일회용 암호(OTP, One-Time passward)에 기반하여 상호 인증함으로써 접근을 요청하는 클라이언트 단말을 인증할 수 있다.
일 예로 인증 모듈은, OTP 인증 방법으로 암호화된 인증 패킷이 클라이언트 단말로부터 수신되면, 상기 인증 패킷 생성 시점의 NTP(Network Time Protocol)를 확인하고 상기 NTP에 기반한 타임 바이어스를 산출함으로써 상기 인증 패킷의 유효성을 확인할 수 있다.
여기서, NTP는 네트워크 상에 연결된 장비와 장비 간의 시간 정보를 동기화하기 위한 프로토콜일 수 있다. 한편, NTP는 클라이언트 단말의 기준시 설정 방법에 따라 웹을 통한 NTP 서버에 접속하여 획득하거나, NVR, 스마트 폰 등 자체적으로 내장하고 있는 기준 시각과 동기를 맞추는 방법으로 획득될 수 있다.
선택적 실시 예로 바람직하게는, 인증 모듈은 양자 난수 발생기에서 생성한 양자 난수를 이용하여 일회용 암호(OTP)를 설정하고, NTP(Network Time Protocol)에 기반하여 상기 일회용 암호 생성 시점을 기록하고, 상기 IP 카메라에 접근을 요청하는 클라이언트 단말에 상기 일회용 암호를 전송하고, 소정의 절차에 따라 상기 클라이언트 단말에서 생성한 일회용 암호를 확인함으로써 상기 IP 카메라와 상기 클라이언트 단말을 상호 인증을 수행할 수 있다.
다른 예로, 인증 모듈은 양자 난수 발생기에서 생성한 비밀키를 이용하여, IP 카메라와 클라이언트 단말 간 비밀키 교환 방식에 대한 서명이 이루어지면 이를 통해 기기간 상호 인증을 수행할 수 있다. 일 예로, 인증 모듈(미도시)은 양자 난수 발생기에서 난수를 생성하면, 생성된 난수를 이용해서 ECDH(Elliptic Curve Diffie-Hellman) 방식으로 비밀키 공유를 유도할 수 있다.
제어부(240)는 서로 다른 물리 계층을 가지는 제1 네트워크 망 및 제2 네트워크 망 사이의 터널링을 통해 상기 등록된 장비 및 상기 권한이 설정된 기기 사이의 일방향 또는 쌍방향의 데이터 통신을 제어할 수 있다. 제어부(240)는 암호화 영상 및 비밀키를 소정의 통신 프로토콜에 상응하는 전송 패킷으로 가공하여 상기 클라이언트 단말에 전송할 수 있다.
일 예로, 제어부(240)는 IP 카메라 전반의 제어 동작을 담당할 수 있다. 제어부(240)는 컨트롤러(controller), ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), SoC(System on chip), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행 하고 응답할 수 있는 어떠한 하드웨어 장치로 설명될 수 있다.
한편, 제어부(240)는 엑세스 포인트를 가지는 중계기를 통해 전송 패킷을 클라이언트 단말에 전송할 수 있다. 여기서, 엑세스 포인트는 무선통신을 위하여 TCP/IP 혹은 RTSP(Real-Time Streaming Protocol)를 이용할 수 있다. 여기서, 근거리 통신은 와이파이 이외에 블루투스, 지그비, 적외선, UHF(Ultra High Frequency) 및 VHF(Very High Frequency)와 같은 RF(Radio Frequency) 및 초광대역 통신(UWB) 등의 다양한 규격으로 수행될 수 있다. 이에 따라 액세스포인트는 데이터 패킷의 위치를 추출하고, 추출된 위치에 대한 최상의 통신 경로를 지정하며, 지정된 통신 경로를 따라 데이터 패킷을 다음 장치, 예컨대 클라이언트 단말 등에 전달할 수 있다. 액세스포인트는 일반적인 네트워크 환경에서 여러 회선을 공유할 수있으며, 예컨대 라우터(router), 리피터(repeater) 및 중계기 등이 포함된다.
또한, 통신 모듈(미도시)은 제어 평면에서 디바이스 제어를 위해 SOAP 통신 프로토콜을 지원할 수 있다. 일 예로, SOAP은 분산 환경에서 정보를 교환할 목적으로 만들어진 프로토콜로써, HTTP, HTTS, 또는 SMTP(Simple Message Transfer Protocol) 등을 이용하여 XML(eXtensible Markup Language) 기반의 메시지를 네트워크 상에서 교환할 수 있다. 선택적 실시 예로 통신 모듈(미도시)은 네트워크 중계기 또는 라우터 등을 통해 간접적인 방식으로 주변 기기와 네트워크 통신을 수행할 수 있다.
한편, 사용자는 해당 IP 카메라(10)에 대해 접근 권한 및 제어 권한을 인증받기 위해, 로그인을 위한 인터페이스를 필요로 할 수 있고, 이를 위한 디스플레이 화면(미도시)은 아래와 같은 방식으로 사용자에게 제공될 수 있다.
일 예로, 사용자 인터페이스는 클라이언트 단말의 오픈 도메인 상에서 구할 수 있는 ODM(ONVIF Device Manager) 형태로 구현되거나, 다른 예로 클라이언트 단말에 별도의 매니저를 설치하지 않고도 웹 상에서 IP 카메라에 접속하여 해당 IP 카메라를 제어할 수 있는 웹 기반 뷰어 프로그램 형태로 구현될 수 있다.
또 다른 예로 사용자 인터페이스는 네트워크 영상 저장장치(NVR, Network Video Record), 또는 CMS(CCTV Management System)를 통해 구현될 수 있으며, 본 발명은 여기서 사용자 인터페이스 구현의 형태를 한정하지 않는다.
클라이언트 단말은 IP 카메라로부터 수신한 영상 데이터를 재생하는 단말이거나, IP 카메라에 대한 제어 권한을 요청하는 사용자 단말일 수 있다. 일 예로, 사용자 단말은 자신이 확인하고 싶은 IP 카메라, 바람직하게는 사용자 단말과 기기 등록을 통해 유무선으로 연결된 IP 카메라에 의해 취득되는 촬영 영상을 확인할 수 있다. 예를 들어, 매장에 IP 카메라를 설치한 경우 촬영 영상을 사용자 단말에서 실시간으로 확인하거나, 집에 IP 카메라를 설치하여 촬영한 영상을 소정의 스토리지에 저장할 수 있다.
한편, IP 카메라는 클라이언트 단말과 일대일로 연결될 수도 있지만, 스위칭 허브(30, 31)를 통해 여러 대의 클라이언트 단말과 연결될 수 있다. 본 발명의 일 실시 예에 따른 네트워크 망 분리 장치(100)는 영상 보안 솔루션에 최적화된 장치로 IP 카메라로부터 수신한 영상을 압축, 암호화하여 외부망 또는 내부망을 통해 암호화 영상을 전송할 수 있다.
도 4 및 도 5는 본 발명의 일 실시 예에 따른 네트워크 망 분리 장치(100)에서의 데이터 처리에 관해 설명하는 예시적인 도면이다. 이때, 네트워크 망 분리 장치(100)는 물리적으로 분리된 데이터 전송 경로를 가지나, 소정의 경우 터널을 통해 제1 네트워크 망 및 제2 네트워크 망 사이의 데이터 전송이 가능하다.
도 4를 참고하면, 포트 01(420)을 통해 입력된 압축된 영상(410)이 네트워크 망 분리 장치(100)를 통과하여 포트 02(480)를 통해 복호화된 영상(490)으로 출력되는 것을 설명하는 예시적인 도면이다.
일 예로, IP 카메라로부터 수신된 압축된 영상(410)이 포트 01(420)을 통해 입력되고, 포트 01(420)에 상응하는 물리 계층 01(430)과, 상기 물리 계층 01(430)을 통해 SoC 01(440)에 전달될 수 있다. 이때, 영상은 소정의 규약에 따라 전송패킷 형태로 압축되어 전송되고, SoC 01(440)은 전송패킷에 포함된 헤더 및 바디의 기재사항으로부터 해당 압축된 영상의 출발지, 목적지 정보를 추출할 수 있다. 이때, SoC 01(440)는 상기 IP 카메라에 접근을 요청하는 클라이언트 단말이 있는 경우 전송패킷의 목적지 정보를 고려하여 상기 압축된 영상의 전송 루트를 결정할 수 있다. 이때, SoC 01(440)은 외부의 네트워크 망으로부터 해당 전송패킷의 위, 변조, 탈취 등을 막기 위해 압축된 영상을 양자 암호화 하여 터널을 통해 해당 전송 패킷을 전송할 수 있다.
일 예로, SoC 01(440)는 암복호화 모듈을 통해 양자 난수로 생성된 비밀키를 사용하여 해당 전송 패킷을 양자 암호화할 수 있다. 그 다음, SoC 01(440)은 터널(450)을 통해 전송패킷을 터널링함으로써 전송패킷을 안전하게 다른 네트워크 망으로 전송할 수 있다. 예를 들어, 양자 암호화된 영상은 외부의 해킹, 전송 패킷 탈취 등에 있어 상당히 높은 보안성을 자랑하며, 전송패킷의 탈취가 거의 불가능하다고 볼 수 있다.
SoC 02(460)은 터널(450)을 통해 양자 암호화된 영상을 수신하면, 암복호화 모듈을 통해 상기 양자 암호화된 영상과 함께 또는 그 이전에 수신한 비밀키를 이용하여 복호화를 수행할 수 있다. 복호화된 영상(490)은 물리 계층 02(470) 및 포트 02(480)를 통해 제2 네트워크 망으로 전송될 수 있다.
도 5를 참고하면, 도 5는 도 4의 실시 예와 달리, 포트 02(520)을 통해 입력된 압축된 영상(510)이 네트워크 망 분리 장치(100)를 통과하여 포트 01(580)를 통해 복호화된 영상(590)으로 출력되는 것을 설명하는 예시적인 도면이다.
일 예로, IP 카메라로부터 수신된 압축된 영상(510)이 포트 02(520)을 통해 입력되고, 포트 02(520)에 상응하는 물리 계층 02(530)과, 상기 물리 계층 02(530)을 통해 SoC 02(540)에 전달될 수 있다. 이때, SoC 02(540)는 상기 IP 카메라에 접근을 요청하는 클라이언트 단말이 있는 경우 전송패킷의 목적지 정보를 고려하여 상기 압축된 영상의 전송 루트를 결정할 수 있다. 이때, SoC 02(540)은 외부의 네트워크 망으로부터 해당 전송패킷의 위, 변조, 탈취 등을 막기 위해 압축된 영상을 양자 암호화 하여 터널을 통해 해당 전송 패킷을 전송할 수 있다.
일 예로, SoC 02(540)는 암복호화 모듈을 통해 양자 난수로 생성된 비밀키를 사용하여 해당 전송 패킷을 양자 암호화할 수 있다. 그 다음, SoC 02(540)은 터널(550)을 통해 전송패킷을 터널링함으로써 전송패킷을 안전하게 다른 네트워크 망으로 전송할 수 있다. 예를 들어, 양자 암호화된 영상은 외부의 해킹, 전송 패킷 탈취 등에 있어 상당히 높은 보안성을 자랑하며, 전송패킷의 탈취가 거의 불가능하다고 볼 수 있다.
SoC 01(560)은 터널(550)을 통해 양자 암호화된 영상을 수신하면, 암복호화 모듈을 통해 상기 양자 암호화된 영상과 함께 또는 그 이전에 수신한 비밀키를 이용하여 복호화를 수행할 수 있다. 복호화된 영상(590)은 물리 계층 01(570) 및 포트 01(580)를 통해 제1 네트워크 망으로 전송될 수 있다.
이하, 도 4 및 도 5를 통해 네트워크 망 분리 장치(100)의 어느 포트를 통해서든 양방향 데이터 통신이 가능함을 살펴보았다. 게다가, 본 발명의 일 실시 예에 따르면, 암복호화 모듈은, 서로 다른 주파수 대역폭(band width)를 사용함으로써 복수의 채널을 암호화 또는 복호화를 지원하는 다채널 병렬 파이프라인을 지원할 수 있다. 선택적 실시 예로 바람직하게는, 암복호화 모듈은 4채널 이상의 다채널 병렬 파이프라인을 지원할 수 있다.
도 6을 참고하면, 일 예에 따라 IP 카메라와 네트워크 망 분리 장치(100)가 8채널로 연결된 것을 설명하는 예시도이다.
예를 들어, 본 발명의 일 실시 예에 따르면, 외부 네트워크 망(600)에서 복수개의 IP 카메라(601 내지 608)들이 소정의 허브를 통해서 연결될 수 있다. 이는 하나의 네트워크 망 분리 장치(100)가 지원하는 통신 포트 또는 허브의 개수에 따라 소정의 범위까지 확장될 수 있고, 예컨대 도 6의 실시예와 같이 8채널 뿐 아니라, 16채널, 32채널 그 이상의 IP 카메라 연결도 가능하다.
양자 암호 통신을 이용하는 영상 보안 솔루션의 경우, 송수신하는 데이터의 절대 양이 상당히 크게 감소하고, 이를 통해 하나의 네트워크 망 분리 장치(100)가 동시에 처리할 수 있는 연산의 양이 크게 증가할 수 있다.
이에 따르면, 본 발명의 일 실시 예는 양자의 이중적 특성을 이용하여 영상 보안 성능을 한 단계 업그레이드 하면서, 하나의 네트워크 망 분리 장치(100)에서 복수개의 IP 카메라를 연결할 수 있는 실질적이고 유용한 효과가 있다.
한편, 외부 네트워크 망(600)을 통해 IP 카메라(601 내지 608)뿐 아니라, 해당 IP 카메라에 대한 접근 및 제어 권한을 요청하는 클라이언트 단말이 있을 수 있다. 여기서 네트워크 망 분리 장치(100)는 클라이언트 단말에 따라 통신 형태 및 스트리밍 규격을 달리하는 영상을 생성할 수 있다. 예컨데 도 6을 통해 개시되는 바와 같이 스마트 폰(650)이 해당 IP 카메라에 대한 접근을 요청하는 경우, 해당 스마트 폰(650)이 양자 암호화 통신을 통해 수신한 암호화 영상을 복호화하기 위한 기능이 부족한 경우가 있을 수 있다. 이때, 네트워크 망 분리 장치(100)는 해당 스마트 폰(650)에서 영상을 재생할 수 있도록 소정의 스트리밍 규격에 따라 제2 영상을 생성하고, 양자 암호화 이외에 다른 암호화 방식을 통해 영상 데이터에 대한 전송패킷을 생성하여 해당 스마트폰(650)에 전송할 수 있다. 또한, 네트워크 망 분리 장치(100)는 다수의 디바이스 전송 데이터 정보를 통합 처리하기 위한 별도의 시스템 복호화 서버를 운용할 수 있다. 이때, 네트워크 망 분리 장치(100)는 다수의 디바이스 전송 데이터 정보를 클라우드와 연계함으로써 공용 데이터로 활용할 수 있다.
한편, 클라이언트 단말은 유무선 통신 환경에서 웹 서비스를 이용할 수 있는 통신 단말을 의미할 수 있다. 여기서, 사용자 단말은 사용자의 퍼스널 컴퓨터일 수도 있고, 또는 사용자의 휴대용 단말일 수도 있다. 도면에서는 휴대용 단말이 스마트폰으로 도시되었지만, 본 발명의 사상은 이에 제한되지 아니하며, 상술한 바와 같이 인터넷 통신이 가능한 애플리케이션을 탑재한 단말은 제한 없이 차용될 수 있다.
본 발명에 따른 실시 예는 컴퓨터 상에서 다양한 구성요소를 통하여 실행될 수 있는 컴퓨터 프로그램의 형태로 구현될 수 있으며, 이와 같은 컴퓨터 프로그램은 컴퓨터로 판독 가능한 매체에 기록될 수 있다. 이때, 매체는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical medium), 및 ROM, RAM, 플래시 메모리 등과 같은, 프로그램 명령어를 저장하고 실행하도록 특별히 구성된 하드웨어 장치를 포함할 수 있다.
한편, 상기 컴퓨터 프로그램은 본 발명을 위하여 특별히 설계되고 구성된 것이거나 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수 있다. 컴퓨터 프로그램의 예에는, 컴파일러에 의하여 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용하여 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함될 수 있다.
일 실시예에 따르면, 본 개시의 다양한 실시예들에 따른 방법은 컴퓨터 프로그램 제품(computer program product)에 포함되어 제공될 수 있다. 컴퓨터 프로그램 제품은 상품으로서 판매자 및 구매자 간에 거래될 수 있다. 컴퓨터 프로그램 제품은 기기로 읽을 수 있는 저장 매체(예: compact disc read only memory (CD-ROM))의 형태로 배포되거나, 또는 어플리케이션 스토어(예: 플레이 스토어TM)를 통해 또는 두 개의 사용자 장치들 간에 직접, 온라인으로 배포(예: 다운로드 또는 업로드)될 수 있다. 온라인 배포의 경우에, 컴퓨터 프로그램 제품의 적어도 일부는 제조사의 서버, 어플리케이션 스토어의 서버, 또는 중계 서버의 메모리와 같은 기기로 읽을 수 있는 저장 매체에 적어도 일시 저장되거나, 임시적으로 생성될 수 있다.
본 발명에 따른 방법을 구성하는 단계들에 대하여 명백하게 순서를 기재하거나 반하는 기재가 없다면, 상기 단계들은 적당한 순서로 행해질 수 있다. 반드시 상기 단계들의 기재 순서에 따라 본 발명이 한정되는 것은 아니다. 본 발명에서 모든 예들 또는 예시적인 용어(예들 들어, 등등)의 사용은 단순히 본 발명을 상세히 설명하기 위한 것으로서 특허청구범위에 의해 한정되지 않는 이상 상기 예들 또는 예시적인 용어로 인해 본 발명의 범위가 한정되는 것은 아니다. 또한, 당업자는 다양한 수정, 조합 및 변경이 부가된 특허청구범위 또는 그 균등물의 범주 내에서 설계 조건 및 팩터에 따라 구성될 수 있음을 알 수 있다.
따라서, 본 발명의 사상은 상기 설명된 실시 예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐만 아니라 특허청구범위와 균등한 또는 이로부터 등가적으로 변경된 모든 범위는 본 발명의 사상의 범주에 속한다고 할 것이다.
1, 100: 네트워크 망 분리 장치
10: 외부 네트워크 망
20: 내부 네트워크 망
110: SoC 01
120: SoC 02
130: 물리 계층 01
140: 물리 계층 02
145: 포트 01
155: 포트 02
150: 터널
200: 프로세서
210: 장비 등록부
220: 기기 권한 설정부
230; 암복호화 모듈
240: 제어부

Claims (10)

  1. 양자 암호화 터널을 통한 네트워크 망분리 장치에 있어서,
    유무선 네트워크를 통해 연결된 IP 카메라 및 상기 IP 카메라의 내외부 네트워크 정보를 등록하는 장비 등록부;
    내외부 네트워크를 통해 검색된 기기에 대한 접근 권한, 상기 IP 카메라로부터 수신한 영상의 재생 권한, 및 상기 IP 카메라에 대한 제어 권한 중 적어도 하나 이상을 설정하는 기기 권한 설정부;
    서로 다른 물리 계층을 가지는 내부 네트워크 망 및 외부 네트워크 망 사이의 터널링을 통해 상기 등록된 장비 및 상기 권한이 설정된 기기 사이의 일방향 또는 쌍방향의 데이터 통신을 제어하는 제어부; 및
    상기 내부 네트워크 망 및 상기 외부 네트워크 망 사이의 터널링시, 데이터의 송수신을 위해 전송패킷을 양자 암호화하거나, 수신한 전송 패킷에 대해 상기 터널링을 통해 전달받은 대칭키를 이용하여 상기 양자 암호화된 전송 패킷을 복호화하는 적어도 한 쌍의 암복호화 모듈;을 포함하고,
    상기 서로 다른 물리 계층을 가지는 내부 네트워크 망 및 외부 네트워크 망은,
    적어도 두 개의 포트를 통해서 상기 장치가 지원하는 내부 네트워크 망 및 외부 네트워크 망이 물리적으로 구분되고,
    상기 제어부는,
    상기 외부 네트워크 망에서 상기 장비 등록부에 등록된 IP 카메라의 영상을 외부 네트워크 망에 대응된 포트 및 물리 계층을 순차적으로 거쳐서 수신하여 상기 외부 네트워크 망에 대응된 암복호화모듈로 암호화시키고,
    상기 암호화된 전송 패킷을, 상기 외부 네트워크 망에서 상기 내부 네트워크 망으로 터널링을 통해 전송시킨 후, 상기 내부 네트워크 망에 대응된 암복호화모듈에서 복호화하여 상기 내부 네트워크 망에 대응된 물리계층 및 포트를 순차적으로 거쳐서, 상기 내부 네트워크 망의 특정 장치에 전송되도록 제어하는, 장치.
  2. 삭제
  3. 제1항에 있어서,
    상기 암복호화 모듈은,
    서로 다른 주파수 대역폭(band width)를 사용함으로써 적어도 4채널 이상의 암호화 또는 복호화를 지원하는 다채널 병렬 파이프라인을 지원하는, 장치.
  4. 제1항에 있어서,
    상기 암복호화 모듈은,
    소정의 SoC(System on Chip) 형태로 상기 장치에 탑재되고,
    양자 난수를 발생시키는 양자 난수 발생기; 및
    개인키, 상기 개인키에 상응하는 비밀키 및 공개키를 생성하고 관리하는 암호화 키 관리부; 및
    대칭키 알고리즘에 기반하여 양자 난수로 생성된 비밀키를 대칭키로 하여압축된 영상을 암호화하는 영상 암호화부;를 포함하는, 장치.
  5. 제4항에 있어서,
    상기 암복호화 모듈은,
    상기 내부 네트워크 망 및 상기 외부 네트워크 망 사이 터널링을 통해 상기 암호화 키를 공유하고,
    상기 내부 네트워크 망 또는 상기 외부 네트워크 망의 일단에서 상기 암호화한 영상을 송신하면,
    상기 내부 네트워크 망 또는 상기 외부 네트워크 망의 타 단에서 상기 암호화한 영상을 수신하고 복호화하는, 것을 포함하는 장치.
  6. 제1항에 있어서,
    상기 제어부는,
    IP 카메라가 송신한 전송패킷에 포함된 출발지 및 목적지 정보와,
    상기 기기 권한 설정부에 의해 상기 IP 카메라에 대한 접근 권한, 영상 재상 권한, 제어 권한 중 적어도 하나 이상이 승인된 클라이언트 단말의 요청에 상응하는 전송패킷 전송 루트를 설정하는, 장치.
  7. 삭제
  8. 제1항에 있어서,
    상기 기기 권한 설정부는,
    내외부 네트워크를 통해 검색된 기기에 대해 화이트 리스트 또는 암호호스트 리스트로 등록하고,
    상기 화이트 리스트 또는 상기 암호호스트 리스트로 등록된 기기에만 상기 접근 권한, 상기 재생 권한, 상기 제어 권한 중 적어도 하나 이상을 설정하는, 것을 포함하는 장치.
  9. 제1항에 있어서,
    내부 네트워크 망은 신뢰할 수 있는 별도의 서버에 의해 운용되는 네트워크 망이고,
    상기 별도의 서버는 상기 망 분리 장치를 통해 압축되거나 복호화된 영상을 전달받음으로써 상기 내외부 네트워크 망에서 검색된 기기에 대한 데이터를 통합적으로 처리하는, 것을 포함하는 장치.
  10. 제9항에 있어서,
    상기 별도의 서버는 클라우드 서버이고, 상기 클라우드 서버는 플랫폼을 통한 데이터의 처리와, 상기 처리된 데이터를 공용 데이터로 활용하는 것을 포함하는, 장치.
KR1020220019635A 2022-02-15 2022-02-15 양자 암호 통신에 의한 망 분리 및 망간 자료 전송 장치 KR102411342B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220019635A KR102411342B1 (ko) 2022-02-15 2022-02-15 양자 암호 통신에 의한 망 분리 및 망간 자료 전송 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220019635A KR102411342B1 (ko) 2022-02-15 2022-02-15 양자 암호 통신에 의한 망 분리 및 망간 자료 전송 장치

Publications (1)

Publication Number Publication Date
KR102411342B1 true KR102411342B1 (ko) 2022-06-22

Family

ID=82216666

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220019635A KR102411342B1 (ko) 2022-02-15 2022-02-15 양자 암호 통신에 의한 망 분리 및 망간 자료 전송 장치

Country Status (1)

Country Link
KR (1) KR102411342B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080025151A (ko) 2005-06-16 2008-03-19 더 차이니즈 유니버시티 오브 홍콩 양자 난수 발생기
KR20120071121A (ko) * 2010-12-22 2012-07-02 한국전자통신연구원 가상 터널 라우터와 ip 카메라 관리서버 및 위치 기반 ip 카메라 서비스 방법
KR20180136625A (ko) * 2017-06-15 2018-12-26 채서령 양자난수와 의사난수를 결합한 보안 인증 기술을 이용한 cctv 영상방범 시스템

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080025151A (ko) 2005-06-16 2008-03-19 더 차이니즈 유니버시티 오브 홍콩 양자 난수 발생기
KR20120071121A (ko) * 2010-12-22 2012-07-02 한국전자통신연구원 가상 터널 라우터와 ip 카메라 관리서버 및 위치 기반 ip 카메라 서비스 방법
KR20180136625A (ko) * 2017-06-15 2018-12-26 채서령 양자난수와 의사난수를 결합한 보안 인증 기술을 이용한 cctv 영상방범 시스템

Similar Documents

Publication Publication Date Title
US11671247B2 (en) Secure layered encryption of data streams
US11100197B1 (en) Secure web RTC real time communications service for audio and video streaming communications
US11316677B2 (en) Quantum key distribution node apparatus and method for quantum key distribution thereof
US8930688B2 (en) Apparatus and method for providing security service of user interface
US8694783B2 (en) Lightweight secure authentication channel
US11736304B2 (en) Secure authentication of remote equipment
EP2917867B1 (en) An improved implementation of robust and secure content protection in a system-on-a-chip apparatus
US11070531B2 (en) Data communication system and method
JP2008113172A (ja) コンテンツ送信装置、コンテンツ受信装置及びコンテンツ暗号化方法
KR20080103599A (ko) 디지털 저작권 보호를 위한 방법, 시스템, 사용자 장치 및 멀티미디어 서버
KR101837188B1 (ko) 비디오 보호 시스템
EP3691257B1 (en) Internet protocol camera security system allowing secure encryption information to be transmitted
US20160105279A1 (en) Data distributing over network to user devices
CN103004219A (zh) 用于防止传送的视频数据的篡改的系统和方法
US7886160B2 (en) Information processing apparatus and method, and computer program
KR101810904B1 (ko) 비디오 보호 시스템
US20060168292A1 (en) Apparatus and method for receiving or transmitting contents
KR102411342B1 (ko) 양자 암호 통신에 의한 망 분리 및 망간 자료 전송 장치
US8312166B2 (en) Proximity detection method
Baboolal et al. Preserving privacy of drone videos using proxy re-encryption technique: poster
US20220103535A1 (en) Selectively disclosing content of data center interconnect encrypted links
US10873773B2 (en) Countermeasure for cryptographic cribs
KR20200090397A (ko) 실시간으로 암호화 된 영상정보를 복호화하여 제공하는 시스템 및 방법
KR102097651B1 (ko) 멀티캐스트를 이용한 암호화 영상 전송 장치
WO2024001885A1 (zh) 数据传输方法、电子设备及计算机存储介质

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant