KR20170115055A - 신뢰 릴레이를 기반으로 한 양자 키 분배 시스템, 방법 및 장치 - Google Patents

신뢰 릴레이를 기반으로 한 양자 키 분배 시스템, 방법 및 장치 Download PDF

Info

Publication number
KR20170115055A
KR20170115055A KR1020177021952A KR20177021952A KR20170115055A KR 20170115055 A KR20170115055 A KR 20170115055A KR 1020177021952 A KR1020177021952 A KR 1020177021952A KR 20177021952 A KR20177021952 A KR 20177021952A KR 20170115055 A KR20170115055 A KR 20170115055A
Authority
KR
South Korea
Prior art keywords
quantum key
key distribution
quantum
distribution device
negotiation
Prior art date
Application number
KR1020177021952A
Other languages
English (en)
Inventor
잉팡 푸
슈안린 리우
야빈 가오
시우종 첸
Original Assignee
알리바바 그룹 홀딩 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알리바바 그룹 홀딩 리미티드 filed Critical 알리바바 그룹 홀딩 리미티드
Publication of KR20170115055A publication Critical patent/KR20170115055A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • H04L9/0858Details about key distillation or coding, e.g. reconciliation, error correction, privacy amplification, polarisation coding or phase coding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • H04L9/0855Quantum cryptography involving additional nodes, e.g. quantum relays, repeaters, intermediate nodes or remote nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

양자 키 분배 시스템이 제공된다. 양자 키 분배 시스템은 키를 릴레이하도록 구성되는 복수의 라우팅 장치 및 라우팅 장치와 연결되며 둘 이상의 상이한 경로를 사용하여 다른 양자 키 분배 장치와 대응하는 양자 키 협상을 수행하여 공유 키를 획득하도록 구성되는 양자 키 분배 장치를 포함한다. 둘 이상의 상이한 경로는 각각 하나 이상의 라우팅 장치를 포함한다.

Description

신뢰할 수 있는 릴레이 기반 양자 키 분배 시스템, 방법 및 기구
연관된 출원에 대한 상호참조
이 출원은 2015년 1월 8일에 출원된 중국 출원 제201510009615.5호에 기반하여 우선권의 이익을 주장하며, 그 전체 내용은 여기에서 참조로서 포함된다.
기술분야
본 출원은 양자 키 분배 분야에 관한 것이며, 구체적으로는 신뢰할 수 있는 릴레이에 기반한 양자 키 분배 시스템에 관한 것이다. 본 출원은 또한 신뢰할 수 있는 릴레이에 기반한 양자 키 분배 방법 및 신뢰할 수 있는 릴레이에 기반한 양자 키 분배 기구를 제공한다.
양자암호(Quantum cryptography)는 양자역학과 암호학의 교차 산물이다. 양자암호의 보안은 양자역학 원리에 의해 보장된다. 양자 키를 가로채거나 측정하려는 시도를 갖는 조작은 양자 상태를 변화시킬 것이다. 수신단은 양자 상태의 변화를 탐지함으로써 통신 과정에서 도청자의 존재 여부를 판단하여 키를 폐기할지 여부를 판단할 수 있으며, 이에 따라 통신에 대한 무조건적인 보안을 보장할 수 있다. 현재 사용되는 BB84와 같은 양자 키 협상 프로토콜은 종단간(end-to-end) 양자 키 분배(QKD)를 실현할 수 있다.
종단간 양자 키 분배 기술의 개발에 따라, 사람들은 QKD 네트워크에 더 많은 주의를 기울이기 시작하고, 몇몇 회사 및 연구 기관은 상이한 메커니즘으로 QKD 네트워크를 설립하기 시작했으며, 이는 광학 장치 기반 QKD 네트워크, 신뢰할 수 있는 릴레이 기반 QKD 네트워크 및 양자 릴레이 기반의 순수한 양자 네트워크를 포함한다. 신뢰할 수 있는 릴레이 기반 QKD 네트워크는 다중 사용자 및 장거리 전송의 요구 사항을 충족할 수 있으며, 이론적으로 글로벌 키 분배 네트워크를 제공할 수 있다. 현재의 기술 하에서, 이 네트워크는 구현하기 쉽고, 따라서 신뢰할 수 있는 릴레이 메커니즘은 대규모 QKD 네트워크 아키텍처를 실현하는 효과적인 수단이 된다. 예를 들면, 유럽에 설립된 SECOQC 양자 보안 통신망, 일본에 설립된 도쿄 고속 양자망 및 중국에 설립된 양자 정부 업무망은 모두 신뢰할 수 있는 릴레이 메커니즘을 사용한다.
도 1은 앨리스(Alice)와 밥(Bob)이 보안 통신을 가질 수 있는 신뢰할 수 있는 릴레이 양자 키 전송 모델의 개략도를 나타낸다. 둘 사이의 키 협상 경로에는 모두 3개의 신뢰할 수 있는 릴레이 노드가 있다. 먼저, 키 K1을 생성하기 위한 양자 키 협상을 수행하기 위하여 송신자 앨리스와 신뢰할 수 있는 릴레이 노드 1 사이에 키 분배 링크가 설정된다. 그 다음에 공유 키 K2를 생성하기 위한 양자 키 협상을 수행하기 위하여 신뢰할 수 있는 릴레이 노드 1과 신뢰할 수 있는 릴레이 노드 2 사이에 키 분배 링크가 설정되고, 키 K1은 키 K2를 이용하여 암호화되고 그 다음에 신뢰할 수 있는 릴레이 노드 2로 전송되는 등으로, 최종적으로 밥은 키 K4를 사용하여 암호화된 키 K1을 수신하고, 밥은 키 K4를 사용하여 키 K1을 해독하여 키 K1을 획득하여, 앨리스와 밥 사이에서 키 K1을 사용한 보안 통신이 수행될 수 있다.
키 릴레이 과정의 전술한 설명으로부터 알 수 있는 바와 같이, 신뢰할 수 있는 릴레이에 기반한 QKD 네트워크는 릴레이 노드가 안전해야 한다는 것을 요구한다. 릴레이 노드 중 하나라도 고장나면, 전체 경로가 안전하지 않게 되고, 데이터 통신의 보안 및 안정성이 크게 영향을 받는다. 상기 키 릴레이 메커니즘을 채용함으로써, 키 코드 생성량(즉, 키 분배량) 또한 상대적으로 낮고, 상대적으로 많은 양의 키를 사용하는 특정 응용 시나리오(예컨대 클라우드 컴퓨팅)의 요구조건을 충족할 수 없다.
본 개시의 일 양상은 양자 키 분배 시스템에 관한 것이다. 일부 실시예에 부합하여, 양자 키 분배 시스템은 키를 릴레이하도록 구성되는 복수의 라우팅 장치, 및 라우팅 장치와 연결되며 둘 이상의 상이한 경로를 사용하여 다른 양자 키 분배 장치와 대응하는 양자 키 협상을 수행하여 공유 키를 획득하도록 구성되는 양자 키 분배 장치를 포함한다. 둘 이상의 상이한 경로는 각각 하나 이상의 라우팅 장치를 포함한다. 일 실시예에 따르면, 둘 이상의 상이한 경로는 공통의 라우팅 장치를 공유하지 않는다. 둘 이상의 상이한 경로는 라우팅 장치의 부하 조절에 따라 선택될 수 있다.
일부 실시예에 부합하여, 양자 키 분배 장치는 새로운 공유 키를 생성하기 위하여 공유 키를 조합하도록 더 구성될 수 있다. 일 실시예에서, 양자 키 분배 장치는, 대응하는 양자 키 협상을 개시하기 전에, 양자 키 협상에 대한 경로 정보를 경로 내의 라우팅 장치 및 다른 양자 키 분배 장치로 송신하도록 더 구성될 수 있다. 다른 실시예에 따르면, 양자 키 분배 장치는 적어도 두 개의 라우팅 장치에 연결된다.
일부 실시예에 따르면, 양자 키 분배 장치는 데이터를 암호화하고 해독하도록 더 구성될 수 있다. 양자 키 분배 시스템은 이를 통해 양자 키 분배 장치가 데이터 장치로 연결되는 양자 게이트웨이 장치를 더 포함할 수 있으며, 양자 게이트웨이 장치는 양자 키 분배 장치에 의해 제공되는 양자 키를 사용하여 데이터를 암호화 및 해독하도록 구성된다.
양자 키 분배 장치는 파장 분할 다중화 및/또는 시분할 다중화를 사용하여 키 협상을 수행할 수 있다. 라우팅 장치는 광 분기결합(bifurcation) 다중화, 광 교차 상호연결, 및 광 패킷 스위칭 중 적어도 하나를 사용하여 양자 키로 암호화된 데이터를 전달할 수 있다. 양자 키 분배 시스템은 클라우드 컴퓨팅 데이터 센터 내에 배치될 수 있다. 양자 키 분배 장치는 클라우드 컴퓨팅 데이터 센터 내의 서버에 연결될 수 있다.
본 개시의 다른 양상은 양자 키 분배 방법에 관한 것이다. 일부 실시예에 부합하여, 방법은 각각 하나 이상의 라우팅 장치를 포함하는 둘 이상의 경로 선택 --상기 하나 이상의 라우팅 장치는 양자 키 분배 장치를 다른 양자 키 분배 장치와 연결함 --, 및 공유 키를 획득하기 위하여 둘 이상의 상이한 경로를 통해 양자 키 분배 장치에 의해 다른 양자 키 분배 장치와 키 협상 수행을 포함할 수 있다. 일부 실시예에서, 둘 이상의 상이한 경로는 공통의 라우팅 장치를 공유하지 않는다. 일부 다른 실시예에서, 둘 이상의 경로 선택은 홉-바이-홉(hop-by-hop) 동적 라우팅 메커니즘에 기반할 수 있다. 일부 다른 실시예에서, 둘 이상의 상이한 경로는 라우팅 장치의 부하 조절에 따라 선택된다.
양자 키 분배 방법은 새로운 공유 키를 생성하기 위하여 공유 키 조합을 더 포함할 수 있다. 공유 키를 조합하기 전에, 방법은, 양자 키 분배 장치에 의하여, 둘 이상의 경로 각각을 통한 키 협상 수행의 안정성 평가 결과 획득, 및 안정성 평가 결과에 기반하여 공유 키 조합이 필요한지 판단을 더 포함할 수 있다. 공유 키 조합이 필요하면, 양자 키 분배 장치는 키 조합 연산을 선택하고, 선택된 키 조합 연산을 고전 채널을 통해 다른 양자 키 분배 장치와 통신할 수 있다. 양자 키 분배 장치 및 다른 양자 키 분배 장치는 키 조합 연산으로 공유 키를 조합한다.
양자 키 분배 방법은, 양자 키 분배 장치에 의하여, 고전 채널을 통해, 각 선택된 경로의 경로 정보를 선택된 경로 내의 라우팅 장치로 송신을 더 포함할 수 있다. 라우팅 장치는 경로 정보를 이용하여 양자 키 분배 장치의 신원을 확인할 수 있다. 양자 키 분배 장치는 또한, 고전 채널을 통하여, 각 선택된 경로의 경로 정보를 다른 양자 키 분배 장치로 송신할 수 있으며, 다른 양자 키 분배 장치는 경로 정보를 이용하여 양자 키 분배 장치의 신원을 확인한다.
일부 다른 실시예에 부합하여, 양자 키 분배 방법은, 양자 키 분배 장치에 의하여, 고전 채널을 통해 다른 양자 키 분배 장치의 신원 확인을 더 포함할 수 있다. 양자 키 분배 장치는 전송될 데이터를 암호화하기 위하여 획득된 공유 키를 사용할 수 있다. 양자 키 분배 장치는 암호화된 데이터를 다른 양자 키 분배 장치로 전달할 수 있다. 다른 양자 키 분배 장치는 수신된 데이터를 해독하기 위하여 획득된 공유 키의 사본을 사용할 수 있다.
본 개시의 다른 양상은 양자 키 분배 장치에 관한 것이다. 양자 키 분배 장치는 둘 이상의 상이한 경로를 통해 다른 양자 키 분배 장치와 키 협상을 수행하도록 구성되는 다중경로 협상 유닛을 포함할 수 있다. 일부 실시예에서, 둘 이상의 상이한 경로 각각은 하나 이상의 라우팅 장치를 포함하며 둘 이상의 상이한 경로는 공통의 라우팅 장치를 공유하지 않는다. 장치는 키 협상을 통해 획득되는 공유 키에 대해 조합 연산이 수행될 필요가 있는지 판단하도록 구성되는 조합 판단 유닛, 및 키 협상 과정을 통해 획득되는 공유 키에 대해 조합 연산이 수행될 필요가 있으면, 새로운 공유 키를 생성하기 위하여 공유 키를 조합하도록 구성되는 조합 유닛을 더 포함할 수 있다. 장치는 양자 키 분배 장치를 포함하는 양자 키 분배 시스템에 대한 토폴로지 정보에 따라 다른 양자 키 분배 장치와 키 협상이 수행되는 둘 이상의 상이한 경로를 선택하도록 구성되는 경로 획득 유닛을 더 포함할 수 있다.
본 개시의 추가적인 특징 및 이점은 다음의 상세한 설명에서 부분적으로 제시될 것이고, 일부는 상세한 설명으로부터 명백해지거나, 본 개시의 실시에 의해 습득될 수 있다. 본 개시의 특징 및 이점은 첨부된 청구범위에서 특별히 지적된 요소 및 조합에 의해 실현되고 달성될 것이다.
전술한 일반적인 설명 및 다음의 상세한 설명은 단지 예시적이고 설명적인 것이며, 청구된 본 발명을 제한하지 않는다는 것을 이해하여야 한다.
도 1은 종래기술의 신뢰할 수 있는 릴레이 기반 양자 키 전송 모델의 개략도이다.
도 2는 본 개시의 일 실시예의 신뢰할 수 있는 릴레이 기반 양자 키 분배 시스템의 개략도이다.
도 3은 본 개시의 일 실시예에 따른 클라우드 사용자 접근 데이터 센터의 시스템 아키텍처의 개략도이다.
도 4는 본 개시의 일 실시예에 따른 분배 데이터 센터 및 클라우드 사용자 접근 데이터 센터의 시스템 아키텍처의 개략도이다.
도 5는 본 개시의 일 실시예에 따른 신뢰할 수 있는 릴레이 기반 양자 키 분배 방법의 흐름도이다.
도 6은 본 개시의 일 실시예에 따른 키 협상을 수행하는 다중 경로를 채택하는 처리 흐름도이다.
도 7은 본 개시의 일 실시예에 따른 신뢰할 수 있는 릴레이 기반 양자 키 분배 장치의 개략도이다.
이제 예시적인 실시예를 자세히 설명하며, 그 예들은 첨부된 도면에 예시되어 있다. 다음의 설명은 달리 표현되지 않는 한, 상이한 도면에서 동일한 도면 부호가 동일하거나 유사한 요소를 나타내는 첨부 된 도면을 참조한다. 예시적인 실시예의 다음 설명에 기재된 구현은 본 발명과 부합하는 모든 구현을 나타내지는 않는다. 대신, 이들은 첨부된 청구범위에 기재된 본 발명과 연관된 양상들에 부합하는 기구 및 방법의 예에 불과하다.
본 개시는 신뢰할 수 있는 릴레이 기반 양자 키 분배 시스템, 신뢰할 수 있는 릴레이 기반 양자 키 분배 방법 및 대응하는 기구를 제공한다. 자세한 설명이 다음의 실시예에서 이루어질 것이다.
도 2는 본 개시의 일 실시예에 따른 신뢰할 수 있는 릴레이 기반 양자 키 분배 시스템의 개략도를 나타낸다. 양자 키 분배 시스템은: 양자 키 분배 장치, 키를 릴레이하고 암호화된 데이터를 전달하는 라우팅 장치, 및 출발단 또는 목적단에서의 데이터 전송을 위한 데이터 장치를 포함한다. 각 양자 키 분배 장치는 적어도 하나의 라우팅 장치 및 적어도 하나의 데이터 장치와 연결될 수 있다. 라우팅 장치는 서로, 송신기 양자 및/또는 수신기 양자 분배 장치와 함께 연결되어 네트워크(토폴로지)를 형성한다. 양자 키 분배 장치는 반대단(opposite-end)(즉, 다른) 양자 키 분배 장치와 대응하는 키 협상을 수행하기 위하여 둘 이상의 상이한 경로를 사용하며, 협상에 의해 획득된 공유 키가 조합되어야 하는지 판단하기 위하여 사전 설정된 전략을 사용하고, 필요하면 대응하는 조합 연산을 실행한다. "반대단"은 송신자와 수신자 사이의 관계를 정의할 수 있다. 예를 들면, 양자 키 분배 수신자 장치의 반대단 양자 키 분배 장치는 양자 키 분배 송신자 장치일 수 있다. 둘 이상의 상이한 경로는 각각 하나 이상의 라우팅 장치를 포함할 수 있으며 공통 라우팅 장치를 공유하지 않을 수 있다.
신뢰할 수 있는 릴레이 기반의 기존 양자 키 분배 네트워크는 한편으로 릴레이 노드가 고장이면 키의 보안을 보장할 수 없고, 또한 다른 한편으로 상대적으로 낮은 키 분배량을 갖는다. 본 개시의 일부 실시예에 따르면, 라우팅 장치가 서로 연결되어 네트워크 토폴로지를 형성하는 것에 기반하여, 양자 키 분배 장치는 반대단 양자 키 분배 장치와 키 협상을 수행하기 위하여 둘 이상의 상이한 경로를 사용할 수 있다. 본 개시의 실시예에 따른 둘 이상의 상이한 경로는 임의의 두 경로에 포함되는 라우팅 장치가 모두 동일하지는 않은 것을 의미한다.
일부 실시예에 따르면, 양자 키 협상 수행을 위한 상이한 경로는 정적 라우팅(또한 지정 라우팅으로도 지칭됨)을 사용하여 선택될 수 있다. 양자 키 분배 장치는 네트워크 플러딩(network flooding)과 같은 메커니즘을 통해 전체 네트워크에 대한 토폴로지 정보를 유지할 수 있다. 양자 키 협상 과정을 개시하기 전에, 양자 키 분배 장치는 라우팅 장치의 부하 조건 및 네트워크 토폴로지 내의 링크의 점유 조건을 고려하여 부하 조절 전략을 구현할 수 있다. 상대적으로 유휴인(idle) 라우팅 장치 및 링크가 둘 이상의 상이한 경로를 선택하기 위하여 선택된다. 각 경로로 연결되는 각 라우팅 장치가 키 협상 및 경로를 따른 릴레이를 수행한다. 또는, 동적 라우팅 메커니즘이 사용될 수 있다. 양자 키 분배 장치와 라우팅 장치가 홉-바이-홉 동적 라우팅 메커니즘을 사용하며, 로컬 저장된 라우팅 테이블 정보에 따르고 부하 조절과 같은 전략에 기반하여, 반대단 양자 키 분배 장치에 이르는 다음 홉 라우팅을 선택한다.
일부 다른 실시예에서, 각 양자 키 분배 장치는 적어도 두 라우팅 장치에 연결된다. 라우팅 장치가 네트워크 토폴로지를 이용하여 서로 연결되어 있으므로, 양자 키 분배 장치는 키 협상을 수행할 때 전적으로 연관되지 않은 다중 경로를 사용할 수 있다. 일부 실시예에서, 임의의 두 경로가 공통 라우팅 장치를 전혀 갖지 않을 수 있다.
도 2에 나타난 바와 같이, 데이터 장치 A와 데이터 장치 B 사이에서 보안 데이터 전송이 수행되며, 양자 키 분배 장치 A1은 반대단 양자 키 분배 장치 B1와 키 협상을 수행하기 위하여 경로 1 및 경로 2를 사용한다. 경로 1은 라우팅 장치 R1, R2 및 R3를 포함하고, 경로 2는 라우팅 장치 R4 및 R5를 포함한다. 경로 1 및 경로 2가 동일한 라우팅 장치를 포함하지 않으므로, 이들은 두 개의 분리된 경로이다.
양자 키 분배 장치는 반대단 양자 키 분배 장치와 키 협상을 수행하기 위하여 둘 이상의 상이한 경로를 사용한다. 각 경로에서, 모든 두 인접 장치는 그 사이에 QKD 링크를 사용하여 키 전송, 데이터 스크리닝, 데이터 조정 및 프라이버시 증폭과 같은 2개의 통과 단계(through phase) 사이의 공유 키를 획득하고, 섹션별로 공유 키를 사용하여 송신자 양자 키 분배 장치에 의해 획득된 공유 키에 대한 "암호화-해독-암호화 ... 해독" 릴레이 전달 동작을 수행하고, 최종적으로, 수신자 양자 키 분배 장치 및 송신자 양자 키 분배 장치는 동일한 공유 키를 획득한다. 다중경로 협상이 사용되므로, 수신자와 송신자 양자가 다수의 공유 키를 획득할 수 있다. 예를 들면, 도 2에 나타난 예에서, 양자 키 분배 장치 A1 및 양자 키 분배 장치 B1은 두 경로 상의 키 협상 과정을 통해 두 개의 공유 키, 키 1 및 키 2를 획득한다.
획득된 둘 이상의 공유 키에 대하여, 수신자 및 송신자의 양자 키 협상 장치는 협상 과정을 통해 획득된 공유 키를 조합하여야 하는지 판단하기 위하여 사전 설정된 전략을 사용할 수 있으며, 필요하면 대응하는 조합 연산이 수행될 수 있다.
사전 설정된 전략은 키 협상 과정 동안의 비트 오류율 및/또는 위험 확률에 따른 안전성 관점으로부터 키 조합 연산이 요구되는지 판단하는 것을 포함할 수 있다. 릴레이에 의한 키 협상 과정 동안, 각 두 개의 인접한 장치는 키 협상의 비트 오류율을 추정할 수 있으며 다양한 잠재적인 공격(예컨대 증폭된 빛 은닉성 공격(amplified light blindness attack), 빔 분할 공격, 데드타임 공격 등)의 위험 확률을 더 계산할 수 있고, 각 경로의 릴레이 링크의 각 섹션에 대해 비트 오류율 추정치 및/또는 위험 확률을 수집할 수 있다. 어떤 경로의 상기 데이터가 사전 설정된 안전성 범위를 넘으면, 그 경로의 키 협상이 공격받을 위험이 있는 것으로 간주될 수 있고, 릴레이 노드(즉, 본 실시예에서 기술된 라우팅 장치)가 또한 고장인 안전성 위험을 갖는다. 이 경우, 협상을 통해 획득된 공유 키의 조합이 수행되어 릴레이 노드의 고장으로부터 기인하는 위험을 낮추고 양자 키 분배의 안전성을 강화할 수 있다.
키 협상 과정을 통해 획득된 공유 키의 상술한 조합은 다중경로 협상을 통해 획득된 복수의 공유 키를 처리하고 사전 설정된 알고리즘을 사용하여 새로운 키를 생성하는 과정을 가리킨다. 예를 들면, 복수의 공유 키에 대해 XOR 연산이 수행될 수 있거나, 또는 시프트 연산 이후에 XOR 연산이 수행될 수 있는 등이다. 이 분야의 기술자라면 많은 다른 조합 알고리즘이 사용될 수 있음을 이해할 것이다.
예를 들면, 도 2에 나타난 예에서, 양자 키 분배 장치 A1 및 B1이 경로 1의 협상을 통해 공유 키 1 및 경로 2의 협상을 통해 공유 키 2를 획득하고, 경로 1의 릴레이 링크의 각 섹션에 대해 비트 오류율 추정치 및 위험 확률을 수집한 후에 키 협상 과정의 안전성을 특징짓는 지표 값을 계산한다. 사전 설정된 안전성 범위를 넘는 지표 값은 경로 1을 통한 키 협상 과정이 공격될 수 있음을 나타내며, 각 릴레이 노드에 안전성 위험이 존재한다. 경로 2의 대응하는 지표 값이 안전성 범위를 넘지 않으면, 양자 키 분배 장치 A1 및 B1은 사전 설정된 XOR 알고리즘을 사용하여 키 1 및 키 2에 대해 조합 연산을 수행하고 새로운 키 3을 생성할 수 있다. 즉, 키 3 = 키 1 xor 키 2이며, 데이터 장치 A와 데이터 장치 B 사이에서 전송되는 데이터에 암호화 및 해독을 수행하기 위하여 키 3을 사용한다.
위의 예에서, 안전성 표지 값이 사전 설정된 안전성 범위를 넘지 않으면, 경로 1 및 경로 2에 기반한 키 협상 과정이 안전하고 각 릴레이 노드가 또한 안전한 것을 의미하며, 키 조합 연산이 수행되지 않을 수 있다. 양자 키 분배 장치 A1 및 B1은 협상을 통해 두 개의 공유 키를 획득하였으며 두 개의 키를 데이터 장치 A 및 B 사이의 보안 통신을 위해 사용할 수 있다.
위의 분석으로부터 알 수 있는 바와 같이, 본 개시의 실시예에 의해 제공되는 양자 키 분배 시스템에 대하여, 상대적으로 높은 네트워크 보안을 갖는 응용 시나리오 하에서, 키 협상을 위해 다중 경로가 사용되므로, 라우팅 장치 및 링크의 사용률을 개선함으로써 키 분배량이 증가한다. 상대적으로 낮은 네트워크 보안을 갖는 응용 시나리오 하에서, 임의의 경로 또는 복수의 경로의 릴레이 노드가 고장이고, 협상을 통해 획득된 대응하는 키가 더 이상 안전하지 않더라도, 경로 중 하나가 안전하기만 하면(즉, 모든 릴레이 노드가 공격받지는 않으면) 상이한 경로의 키에 대해 조합 연산을 수행함으로써 새로운 공유 키가 여전히 생성될 수 있어, 일부 릴레이 노드가 공격당하는 잠재적인 안성전 위험이 치유될 수 있으며, 전체 양자 키 분배 네트워크의 보안이 개선된다.
이 분야의 기술자는 상술한 것이 예시적인 실시예이며, 구체적인 구현에서 변경 또는 조정이 이루어질 수 있음을 이해하여야 한다. 예를 들면, 각 릴레이 링크의 비트 오류율 및 위험 확률을 수집하는 대신, 특정한 링크의 비트 오류율 및 위험 확률이 수집되고 지표 값을 계산하는 데 사용된다. 비트 오류율 및/또는 위험 확률이 또한 보안 평가 파라미터로 사용되지 않을 수 있으며, 다른 지수, 예컨대 릴레이 노드의 보안 감시를 통해 획득된 지수가 사용된다. 평가 파라미터 또는 지수에 따라 조합이 필요한지 판단하는 전략은 또한 실질적인 응용의 요구에 따라 조정될 수 있다. 특정한 조합 알고리즘이 또한 위의 예와 상이할 수 있다. 상기는 모두 본 개시의 핵심으로부터 벗어나지 않은 본 개시의 실시예의 변경이며, 모두 본 개시의 보호 범위에 포함된다.
또한, 양자 키 협상 과정에서 중간자(man-in-the-middle)로부터의 가능한 공격(중간자에 의한 가로채기 및 재전송에 의한 공격)에 대하여, 본 개시는 또한 경로 확인 기술을 제공한다. 예를 들면, 일부 실시예에서, 수신자와 송신자의 양자 키 분배 장치가 대응하는 키 협상을 수행하기 전에, 양자 키 협상을 개시하는 양자 키 분배 장치가 고전 채널을 통해 경로 내에 포함된 다양한 라우팅 노드 및 수신자의 양자 키 분배 장치로 키 협상에 대한 경로 정보를 송신한다. 각 경로가 섹션 단위 릴레이 링크로 구성되므로, 경로 정보는 경로 내의 링크의 각 섹션의 노드 정보를 포함하고, 따라서, 이는 또한 경로 링크 정보로 지칭된다.
라우팅 장치 및 수신자의 양자 키 분배 장치는 수신된 경로 링크 정보를 저장하고, 후속 양자 키 협상 과정에서, 경로 링크 정보에 따라, 키 협상을 수행하는 라우팅 장치 또는 양자 키 분배 장치의 신원 적법성을 확인(즉, 인증)한다. 신원이 경로 링크 정보와 일치하지 않으면, 이는 중간자 공격이 있을 수 있음을 나타내며, 이 양자 키 협상 과정이 종료될 수 있고, 양자 키 협상을 위해 다른 경로가 재선택될 수 있다.
일반적으로, 상술된 실시예는 정적 라우팅 메커니즘과 함께 사용된다. 양자 키 협상 과정을 시작하게 전에, 양자 키 협상 과장의 개시자는 이 협상의 전체 경로 링크 정보를 획득할 수 있으며, 따라서 경로 링크 정보를 미리 경로 내의 장치로 송신할 수 있다.
동적 라우팅 메커니즘이 사용되면, 네트워크 내부에서 감시 노드를 제공함에 의해 상기와 유사한 경로 링크 확인 기능이 또한 구현될 수 있다. 예를 들면, 감시 노드는 키 협상 과정을 감시함으로써 협상 과정이 통과하는 경로 내의 각 릴레이 노드에 대한 정보를 획득할 수 있으며, 정보에 대해 분석을 수행하여 비정상 중간 노드가 있는지 식별할 수 있어, 중간자로부터의 공격이 있는지 판단한다. 중간자로부터 공격이 있으면, 키 협상 과정에서 획득된 공유 키는 포기된다.
양자 키 협상 과정에서 각 노드의 신원의 적법성은 경로 링크 확인 기술을 이용하여 확인될 수 있으며, 중간자 공격을 피하고 양자 키 협상 과정의 보안을 더욱 보장한다.
상술한 다중경로 키 협상에 기반하고 일부 실시예에 따르면, 파장 분할 다중화(Wavelength Division Multiplex, WDM) 기술이 사용되어 다수의 양자 채널 사이에서 키 협상을 구현한다. WDM 기술은 단일 모드 광섬유의 저손실 영역의 거대한 대역폭 자원을 최대한 활용하기 위하여 광섬유의 저손실 윈도우를 각 채널의 광학 주파수(또는 파장)의 차이에 따라 다수의 채널로 분할한다. 각 정보는 상이한 파장으로 전송되며, 동일한 광섬유 상에서도 서로 간섭하지 않아, 광섬유의 통신 용량을 증가시킨다.
이 실시예에서, 상이한 광학 파장 협상 키는 양자 키 분배 장치와 릴레이 노드로서의 라우팅 장치 사이 및 라우팅 장치들 사이에서 양자 키 협상이 수행될 때 다중경로 키 협상을 수행하는 임의의 경로에서 동시에 사용될 수 있다.
유사하게, 시분할 다중화 기술이 또한 다채널 전송의 목적을 달성하고 분배되는 키의 양을 개선하기 위하여 상술한 키 협상 과정에 채용될 수 있다. 시분할 다중화 기술은 상이한 신호를 전송하기 위하여 동일한 물리적 연결의 상이한 구간을 채용하는 것을 포함한다. 파장 분할 다중화 및 시분할 다중화 양자는 모두 성숙한 기술로서, 여기에서 반복 설명되지 않는다.
일부 실시예에서, 양자 키 분배 장치는 다중경로 키 협상의 기능을 갖는 것에 추가하여, 데이터 장치 사이에서 전송되는 데이터에 대해 암호화 및 해독을 수행하는 데 또한 사용될 수 있다. 도 2에 나타난 예에서, 양자 키 분배 장치 A1는 B1과의 협상을 통해 획득된 공유 키를 사용하며, 데이터 장치 A에 의해 전송되는 데이터를 암호화한다; 암호화된 데이터는 각 라우팅 장치에 의해 양자 키 분배 장치 B1로 전달된다, B1 또한 A1과의 협상을 통해 획득한 공유 키를 채택하여 수신된 데이터를 해독하고, 해독된 데이터가 데이터 장치 B로 송신되어, 데이터 장치 A 및 데이터 장치 B 사이의 비밀 통신이 완료된다.
일부 다른 실시예에서, 데이터 암호화 및 해독 기능은 양자 키 분배 장치로부터 제거되어, 양자 게이트웨이에 의해 완료될 수 있다. 달리 말하자면, 상술한 양자 키 분배 시스템은 양자 게이트웨이 장치를 더 포함할 수 있으며, 양자 키 분배 장치는 양자 게이트웨이 장치를 통해 데이터 장치와 연결될 수 있다. 양자 키 분배 장치는 다중경로 키 협상 수행을 책임지고, 이와 연결된 양자 게이트웨이 장치로 협상을 통해 획득된 양자 키를 제공하며, 양자 게이트웨이 장치는 이어서 양자 키를 채택하여 데이터 장치 사이에서 전송되는 데이터에 대한 암호화 및 해독을 수행한다.
일 실시예에서, 실제 요구에 따라 상술한 두 종류의 암호화 및 해독 모드 중 하나가 선택될 수 있다. 암호화된 데이터는 라우팅 장치를 통해 전달되어, 반대단 양자 키 분배 장치로 최종 전달되고, 해독된 후에, 이 데이터 전송의 목적단인 데이터 장치로 송신된다. 라우팅 장치가 암호화된 데이터를 전달하는 과정에서, OADM, 광 분기결합 다중화(optical bifurcation multiplexing), 광 교차연결(optical cross connecting), 및 광 패킷 스위칭(optical packet switching) 중 하나 이상이 사용될 수 있다. 다중경로 키 협상 모드를 채택함으로써 분배되는 키의 양이 증진될 수 있으며, 따라서, 암호화된 데이터 전송 성능이 또한 효과적으로 개선된다. 상술한 광전송 기술은 다음을 포함할 수 있다:
1) 광 분기/결합 다중화(optical add/drop multiplex, OADM)는 광 필터 또는 역다중화기에 의하여 파장 분할 다중화 전송 링크로부터의 광신호를 삽입 또는 분리하는 것이다. WDM 시스템은 시스템은 원하는 상/하 비율, 형태 및 프로토콜 타입을 갖는 광 파장 신호를 선택하고, 즉 원하는 파장 신호만 노드에 분기/삽입하고, 다른 파장 신호는 이 노드를 광학적으로 투과시킨다;
2) 섬유 광학 네트워크 노드의 장치에서 사용되는 광 교차 상호연결(optically cross interconnection)은 광 신호의 교차 연결을 수행함에 의하여 광섬유 전송 네트워크를 효율적으로 유연하게 관리할 수 있으며, 이는 신뢰할 수 있는 네트워크 보호/회복 및 자동 배선 및 감시를 실현할 수 있는 중요한 수단이다; 및
3) 완전-광 패킷 스위칭(all-optical packet switching)을 포함하는 광 패킷 스위칭은 타임슬롯 및 비-타임슬롯의 두 범주로 구분될 수 있다. 타임슬롯 네트워크에서, 패킷 길이는 고정되며, 타임슬롯 내에서 전송한다. 패킷의 앞뒤로 보호 구간을 설정하기 위하여 타임슬롯의 길이는 패킷의 시간 제한보다 커야 한다. 비-타임슬롯 네트워크에서, 패킷의 크기는 가변이며, 스위칭 전에, 배열이 요구되지 않고, 각 패킷이 비동기식으로 자유롭게 스위칭된다.
일 실시예에서, 키 협상 또는 데이터 암호화 및 암호 해독 상호작용을 수행하는 과정에서, 양자 키 분배 시스템은 파장 분할 다중화, 시분할 다중화, 및 상술한 광전송 기술을 포괄적으로 이용하여 다중경로 키 협상을 달성할 수 있으며, 키 분배량 및 데이터 상호작용 수율을 개선한다.
상술한 일부 실시예에서, 다중경로 키 협상 메커니즘을 채택하여, 시스템은 키 분배량 증진 및 키 분배 안전성 개선의 유리한 효과를 얻을 수 있다.
일부 실시예에서, 클라우드 컴퓨팅 환경에서, 클라우드 백본 네트워크의 각 서버 사이의 데이터 상호작용, 클라우드 네트워크의 각 데이터 센터 내의 데이터 상호작용 및 원격 백업, 및 클라우드 자원에 접근하는 클라우드 사용자는 모두 키 보안을 요구한다. 고전 네트워크의 암호화 방법은 신뢰할 만한 보안을 제공할 수 없으며, 기존의 다양한 소형 양자 키 분배 네트워크는 역시 클라우드 키 보안 분배의 요구조건을 만족할 수 없다. 요구조건은, 예를 들면, 양자 키 분배 네트워크의 수율 및 코드-형성량, 키의 전송 거리, 다중-사용자 참여, 및 임의의 사용자가 클라우드 백본 네트워크와 통신하는 것을 보장하는 것 및 기존의 공용 네트워크와의 통합에 기반할 수 있다.
일부 실시예에서, 위에서 언급한 고려사항에 기반하여, 신뢰할 수 있는 릴레이 기반 양자 키 분배 시스템이 클라우드 네트워크 아키텍처에 적용될 수 있으며, 상술한 문제점을 해결할 수 있다. 일부 실시예에 따르면 클라우드 백본 네트워크(데이터 센터), 클라우드 사용자 접근 데이터 센터, 및 분산된 데이터 센터의 세 가지 양상이 이하에 기술된다.
(I) 클라우드 백본 시스템 아키텍처.
클라우드 운영자(즉, 데이터 센터)의 클라우드 백본 네트워크는 파일 서버 클러스터, 웹 서버 클러스터, 애플리케이션 서버 클러스터, 관리 서버 클러스터, 및 목록 서버 클러스터와 같은 다양한 서버 클러스터를 포함할 수 있다. 각 클러스터는 여러 서버를 포함하며, 그 사이에서 많은 양의 데이터가 전송되고, 전체 네트워크 중에서 키 분배량 및 데이터 전송에 대한 높은 요구를 갖는다.
일 실시예에 따른 신뢰할 수 있는 릴레이 기반 양자 키 분배 시스템은 상기 클라우드 컴퓨팅 데이터 센터 내에 배치되며, 출발단 또는 목적단에서의 데이터 전송을 위한 데이터 장치는 상기 다양한 서버이다. 각 양자 키 분배 장치와 연결된 다수의 서버는 동일한 기능의 서버(예컨대 파일 서버)일 수 있으며, 또한 서로 상이한 기능을 갖는 서버(예컨대 웹 서버 및 관리 서버 등)일 수도 있다.
일부 실시예에서, 기존의 클라우드 컴퓨팅 데이터 센터는 3계층 아키텍처를 채택할 수 있으며, 본 실시예에 의해 제공되는 양자 키 분배 시스템은 라우팅 장치에 기반한 평면 아키텍처를 채택할 수 있다. 기존의 3계층 아키텍처와 평면 아키텍처 사이에서 원활한 이행을 구현하고, 양자 키 분배 장치의 제한된 포트 수를 확장하여 더 많은 서버의 접근을 구현하기 위하여, 데이터 센터 네트워크 아키텍처 내에 광학 스위치가 도입될 수 있다. 라우팅 장치는 하나 이상의 광학 스위치와 연결될 수 있으며, 광학 스위치는 하나 이상의 양자 키 분배 장치와 연결된다.
일부 실시예에서, 본 실시예에 의해 제공되는 양자 키 분배 시스템은 클라우드 컴퓨팅 데이터 센터 내에 배치된다. 데이터 센터 서버 사이의 비밀 통신을 구현하기 위하여, 서버와 연결되는 양자 키 분배 장치는 키 협상 수행을 위한 둘 이상의 경로를 채택하고, 원하는 키 조합 연산을 수행하기 위하여 사전 설정된 전략을 채택한다. 또한, 경로 링크 확인, 파장 분할 다중화, 시분할 다중화 및 상술한 다른 광학 전송 기술이 데이터 센터에 적용되어 키 분배량, 데이터 상호작용 수율 증대, 및 키 분배 과정 보안 개선의 목적을 달성하고, 따라서 클라우드 컴퓨팅 데이터 센터의 요구조건을 만족한다.
(II) 클라우드 사용자 접근 데이터 센터의 시스템 아키텍처
양자 키 분배 시스템은 또한 양자 키 분배 장치를 갖는 클라우드 사용자 네트워크를 포함할 수 있다. 클라우드 사용자 네트워크의 양자 키 분배 장치는 클라우드 컴퓨팅 데이터 센터의 둘 이상의 양자 키 분배 장치에 연결된다.
도 3은 본 개시의 일 실시예에 의해 제공되는 클라우드 사용자 접근 데이터 센터의 시스템 아키텍처의 개략도이다. 이 예에서, 클라우드 컴퓨팅 데이터 센터 및 두 클라우드 사용자 네트워크(네트워크 A 및 네트워크 B)가 포함된다. 클라우드 사용자 네트워크 A는 그 양자 키 분배 장치를 사용하여 클라우드 컴퓨팅 데이터 센터의 3개의 양자 키 분배 장치와 들어오는 광섬유에 의해 연결된다. 클라우드 사용자 네트워크 B는 그 양자 키 분배 장치를 사용하여 클라우드 컴퓨팅 데이터 센터의 2개의 양자 키 분배 장치와 들어오는 광섬유에 의해 연결된다. 클라우드 사용자 네트워크는 일반적으로 또한 클라우드 컴퓨팅 데이터 센터에 접근하기 위한 이 개략도에서는 도시되지 않은 내부 게이트웨이 및 다수의 단말 장치를 포함한다.
일부 실시예에서, 클라우드 사용자 네트워크의 양자 키 분배 장치는 클라우드 컴퓨팅 데이터 센터의 반대단 양자 키 분배 장치와 둘 이상의 상이한 경로를 사용하여 키 협상을 수행하고, 협상에 의해 획득된 공유 키가 조합될 필요가 있는지 사전 설정된 전략을 사용하여 판단하고, 필요하면 대응하는 조합 연산을 실행할 수 있다. 다중경로 협상 메커니즘에 의하여, 양자 키 분배 과정의 보안 및 양자 키의 분배량이 증가한다. 임의의 경로 내에서 키 협상 과정 중에, 클라우드 사용자 네트워크의 양자 키 분배 장치는 파장 분할 다중화 기술 및/또는 시분할 다중화 기술에 의해 다중-양자 채널의 키 협상을 구현할 수 있어, 키 분배량을 더욱 증대할 수 있다. 또한, 상술한 경로 링크 확인, OADM 기술, 및 광 교차 상호연결 기술, 광 패킷 스위칭 기술이 클라우드 사용자 접근 데이터 센터의 시스템 아키텍처에 적용될 수 있어 키 분배량과 데이터 상호작용 수율을 개선한다.
일 실시예에서, 비즈니스 요구사항에 기반하여, 클라우드 사용자 네트워크는 둘 이상의 양자 키 분배 장치를 제공할 수 있으며, 각 양자 키 분배 장치가 클라우드 컴퓨팅 데이터 센터의 둘 이상의 양자 키 분배 장치와 연결된다.
(III) 분산 데이터 센터의 시스템 아키텍처
일부 실시예에서, 클라우드 서비스 제공자는 데이터 센터를 통해 클라우드 사용자에게 비즈니스 서비스를 제공하며, 일반적으로 백업 데이터 센터를 사용하여 데이터 백업을 수행한다. 또는, 클라우드 제공자가 클라우드 사용자에게 비즈니스 서비스를 제공하기 위하여 이중-활성 데이터 센터를 채택한다. 또한, 클라우드 컴퓨팅 기술의 개발에 따라, 단일 데이터 센터를 제공하는 클라우드 제공자는 클라우드 사용자의 요구조건을 만족하지 못할 수 있다. 다수의 데이터 센터는 통상 상이한 지역에 설치된다. 많은 데이터 센터에 기반하는 상기 분산 아키텍처 하에서, 키 분배량 및 키 보안에 대한 분산 클라우드 컴퓨팅의 요구조건이 양자 키 분배 네트워크의 배치에 의하여 만족될 수 있다.
예를 들면, 양자 키 분배 시스템은 분산 클라우드 컴퓨팅 네트워크의 다수의 데이터 센터에 각각 배치되고, 데이터 장치는 각 데이터 센터의 서버일 수 있으며, 다수의 데이터 센터는 양자 키 분배 장치를 통해 연결되어 네트워크 토폴로지를 형성한다.
도 4는 일부 실시예에 따른 분산 데이터 센터 및 클라우드 사용자 접근 데이터 센터의 시스템 아키텍처의 개략도이다. 일 예에서, 클라우드 공급자의 4개의 이중-활성 데이터 센터가 양자 키 분배 장치를 통해 연결되어 네트워크 토폴로지를 형성한다. 4개의 데이터 센터 상에서 데이터 백업 또는 데이터 전송이 수행될 때, 출발단으로서의 데이터 센터의 양자 키 분배 장치는 상이한 데이터 센터 내에 위치한 반대단 양자 키 분배 장치와 둘 이상의 상이한 경로를 채택하여 키 협상을 수행하고, 사전 설정된 전략을 채택하여 협상에 의해 획득된 공유 키가 조합될 필요가 있는지 판단하고, 필요하면 대응하는 조합 연산을 실행할 수 있다. 양자 키 분배 과정의 보안 및 양자 키의 분배량이 다중경로 협약 메커니즘에 의해 개선된다. 또한, 일부 실시예에서, 시스템은 또한 그 양자 키 분배 장치를 통해 둘 이상의 데이터 센터의 양자 키 분배 장치로 연결되는 양자 키 분배 장치를 갖는 클라우드 사용자 네트워크를 포함한다.
상술한 예에서, 두 클라우드 사용자 네트워크, 즉 네트워크 A 및 네트워크 B는 광섬유를 통해 두 데이터 센터의 양자 키 분배 장치와 각각 연결된다. 클라우드 사용자 네트워크는 일반적으로 클라우드 컴퓨팅 데이터 센터에 접근하기 위하여 또한 내부 게이트웨이 및 다수의 단말 장치를 포함할 수 있으며, 이는 이 개략도에는 도시되어 있지 않다. 클라우드 사용자 네트워크의 양자 키 분배 장치는 데이터 센터의 반대단 양자 키 분배 장치와 둘 이상의 상이한 경로를 채택하여 키 협상을 수행하고, 사전 설정된 전략을 채택하여 협상에 의해 획득된 공유 키가 조합될 필요가 있는지 판단하고, 필요하면 대응하는 조합 연산을 실행할 수 있다. 양자 키 분배 과정의 보안 및 양자 키의 분배량이 다중경로 협약 메커니즘에 의해 개선된다. 임의의 경로 내에서 키 협상 과정 중에, 클라우드 사용자 네트워크의 양자 키 분배 장치는 파장 분할 다중화 기술 및/또는 시분할 다중화 기술에 의해 다중-양자 채널의 키 협상을 구현할 수 있어, 키 분배량을 더욱 증대할 수 있다. 또한, 일부 예에서, 경로 링크 확인, OADM 기술, 광 교차 상호연결 기술, 및 광 패킷 스위칭 기술이 또한 분산 클라우드 컴퓨팅 데이터 센터 및 클라우드 사용자 접근 데이터 센터의 시스템 아키텍처에 적용될 수 있어 키 분배량과 데이터 상호작용 수율을 개선한다.
신뢰할 수 있는 릴레이 기반 양자 키 분배 시스템은 대응하는 양자 키 분배 방법을 구현할 수 있다. 도 5는 본 개시의 일부 실시예에 부합하여, 신뢰할 수 있는 릴레이 기반 양자 키 분배 방법(500)의 흐름도를 나타낸다.
방법은 다음의 단계를 포함한다:
단계 501: 송신자 양자 키 분배 장치는 둘 이상의 상이한 경로를 사용하여 수신자 양자 키 분배 장치와 대응하는 키 협상을 수행한다. 둘 이상의 상이한 경로 각각은 키를 릴레이하도록 구성되는 하나 이상의 라우팅 장치를 포함한다.
다중경로 양자 키 협상의 수행은 양자 키의 코드-형성량을 증대시키고 릴레이 노드(즉, 라우팅 장치)에 대한 공격을 방어할 수 있다. 양자 키 협상 과정의 보안을 더 개선하기 위하여, 일 실시예에서, 수신자와 송신자 모두가 신원 확인을 수행하고 키 협상 경로를 확인하며, 본 단계는 도 6을 참조하여 이하에서 더 자세히 설명된다.
단계 501-1: 송신자 및 수신자 양자 키 분배 장치는 고전 채널을 통해 파트너 장치에 대한 신원 확인을 수행한다.
예를 들면, 송신자 양자 키 분배 장치(A 장치로 지칭)가 먼저 고전 채널을 통해 수신자 양자 키 분배 장치(B 장치로 지칭)로 키 협상 요청을 송신한다. 요청은 적어도 A 장치에 대한 신원 정보(예를 들면, 계정 정보)를 포함한다. 요청은 다수의 라우팅 장치에 의해 B 장치로 전달되고, B 장치는 요청 내에 전달된 A 장치의 신원의 적법성을 확인한다. 신원이 적법하면, 응답이 A 장치로 송신되고, 동시에 B 장치에 대한 신원 정보가 응답 내에 전달될 수 있다. 유사하게, A 장치가 응답을 수신한 후에 B 장치의 신원을 확인한다. 상기 확인 과정 후에 A 장치 및 B 장치 양자가 서로가 적법함을 확인하면(즉 인증하면), 다음의 처리가 계속될 수 있으며, 그렇지 않으면 본 방법은 완료된다.
일부 실시예에서, 양자 키 협상을 수행하는 반대단 양자 키 분배 장치의 신원이 적법한지를 확인할 수 있기만 하면 디지털 인증서를 사용하는 메커니즘과 같은 다른 신원 확인 메커니즘이 사용될 수 있다.
단계 501-2: 송신자 양자 키 분배 장치는 양자 키 분배 시스템의 토폴로지 정보에 따라 수신자 양자 키 분배 장치와 키 협상을 수행할 둘 이상의 상이한 경로를 선택한다.
송신자 양자 키 분배 장치는 미리 획득된 네트워크 토폴로지 정보에 따라 둘 이상의 상이한 경로를 선택할 수 있다. 임의의 두 경로에 관여하는 라우팅 장치는 상이한 라우팅 장치일 수 있다. 상이한 경로는 공통 라우팅 장치를 전혀 공유하지 않을 수 있다. 송신자 양자 키 분배 장치가 라우팅 경로를 선택할 때, 송신자 양자 키 분배 장치는 부하 조절 전략을 사용할 수 있다.
단계 501-3: 송신자 양자 키 분배 장치는 고전 채널을 통해 경로 내의 하나 이상의 라우팅 장치 및 수신자 양자 키 분배 장치로 각 경로 정보를 송신한다.
경로 내의 각 노드의 연관된 정보가 경로 정보 내에 포함될 수 있으며, 라우팅 이후에, 송신자 양자 키 분배 장치는 각 경로의 경로 정보를 경로 내의 라우팅 장치 및 수신자 양자 키 분배 장치로 고전 채널을 통해 송신할 수 있다. 이들 장치는 단계 501-4를 참조하여 이하에서 서술될 바와 같이 양자 키의 릴레이 과정에서 서로의 신원을 확인할 수 있다.
단계 501-4: 수신기 및 송신기 양자의 양자 키 협상 장치 및 라우팅 장치가 둘 이상의 상이한 경로를 통해 키 협상을 수행하고, 이 과정에서 경로 확인을 수행한다.
일부 실시예에서, 장거리 전송의 요구조건을 만족하기 위하여, 신뢰할 수 있는 릴레이가 사용될 수 있다. 각 경로에서, 두 인접하는 장치마다 양자 채널의 키 협상 과정을 통해 공유 키를 획득하고, 키의 릴레이 전달을 구현하며, 최종적으로 수신자 및 송신자 양자의 양자 키 분배 장치가 동일한 공유 키를 획득하도록 한다. 일 예에서, 두 인접하는 장치마다 이들 사이의 공유 키는 상기 동적 협상을 채택하여 획득될 수 있고, 또한 공장 제조 동안 사전 설정된 초기 키 또는 양측에 의해 사전 협상된 공유 키를 채택할 수 있으며, 이는 상기 릴레이 기능을 유사하게 실현할 수 있다.
일부 실시예에서, 키 협상을 수행하는 다중 경로는 일반적으로 부하 조절 메커니즘을 채택하여 선택되고, 임의의 공통 라우팅 장치일 수 있다. 결과적으로, 라우팅 장치는 전달 동작만을 수행할 수 있고, 다양한 다중화 수단을 통해 조합 연산을 수행하여야 할 수 있거나, 또는 대응하는 역다중화 수단을 통해 각각을 분리하는 연산을 수행하여야 할 수 있으며, 최종적으로 다중 경로에서 종단간 양자 키 협상을 완료할 수 있다.
또한, 중간자로부터의 공격을 방지하기 위하여, 일부 실시예에서, 경로 확인 기술이 사용될 수 있다. 각 라우팅 장치 및 수신자 양자 키 분배 장치는 이웃 장치와 키 협상 및 대응하는 릴레이 동작을 수행하기 전에 수신된 경로 정보에 따라 먼저 이웃 장치의 신원에 대한 확인을 수행한다. 확인이 성공하면, 이웃 장치와 키 협상이 수행되고 현재 노드의 키 릴레이 동작이 완료되고, 그렇지 않으면, 송신자 양자 키 분배 장치에게 대응하는 경로의 키 협상을 중단하도록 통지된다.
일 실시예에서, 둘 이상의 상이한 경로를 통한 키 협상 수행을 실현하기 위하여 부하 조절 전략에 기반한 동적 라우팅이 라우팅 장치를 통해 또한 수행될 수 있다. 동적 라우팅 메커니즘이 사용되면, 경로 확인은 양자 키 협상 과정을 완료한 후에 수행될 수 있다. 즉, 송신자 또는 수신자 양자 키 분배 장치 또는 감시 노드가 현재 키 협상에 대한 경로 정보를 수집함으로써 각 경로 키 협상 과정에 참여하는 각 장치의 신원의 적법성을 확인한다. (중간자 공격이 존재할 수 있음을 나타내는) 불법적 장치가 탐지되면, 송신자 및 수신자 양자 키 분배 장치에게 대응하는 경로 협상을 통해 획득된 공유 키를 포기하도록 통지한다. 또한, 릴레이 노드에 대한 공격을 완전히 막기 위하여, 종단간 양자 키 협상을 수행하기 위하여 현재 단계에서 사용되는 경로가 전적으로 관계 없는 다중 경로일 수 있으며, 이는 임의의 한 릴레이 노드에 대한 공격이 하나의 경로의 보안에만 영향을 미치며 다른 경로에는 영향을 주지 않는 것을 의미한다.
단계 502: 송신자 또는 수신자 양자 키 분배 장치가 키 협상 과정을 통해 획득된 공유 키를 사전 설정된 전략에 따라 조합할지 판단한다. 그러하면, 단계 503이 수행된다.
수신자 및 송신자의 양자 키 분배 장치는 일반적으로 단계 501의 다중경로 협상을 통하여 (경로 수와 일치하는) 다수의 공유 키를 획득할 수 있으며, 조합 연산이 수행될 필요가 있는지에 대해 본 단계에서 사전 설정된 전략을 통해 판단한다.
송신자 또는 수신자 양자 키 분배 장치는 각 경로를 통한 키 협상 수행의 보안 평가 결과(비트 오류율, 패킷 손실률 등과 같은 평가)를 획득할 수 있다. 임의의 한 경로의 보안 평가 결과가 전략 내에 설정된 보안 범위를 넘으면, 그 경로 또는 릴레이 노드는 보안 위험을 가질 수 있으며, 다중경로에서 획득된 공유 키에 대해 대응하는 조합 연산을 수행할 것이 요구된다.
일 예에서, 다수의 키 조합 모드가 채택될 수 있다. 그러므로, 상기 판단을 내리는 양자 키 분배 장치는 키 조합 연산을 수행하기 위한 특정한 처리 모드를 선택하고, 반대단 양자 키 분배 장치와 협의하고, 고전 채널을 통해 특정한 처리 모드의 키 조합을 확인할 수 있다. 수신자 및 송신자의 양자 키 분배 장치는 공유 키에 대해 동일한 조합 처리를 단계 503에서 수행할 수 있으며, 따라서 양측이 새로운 공유 키를 획득할 수 있다.
단계 503: 송신자 및 수신자 양자 키 분배 장치 각각이 공유 키를 조합하여 새로운 공유 키를 생성한다.
조합 연산에서 채택되는 알고리즘은 위에서 설명되었다. 더 높은 네트워크 보안을 갖는 응용 시나리오에서, 수신자 및 송신자의 양자 키 분배 장치는 키 분배량을 증대하기 위하여 동시에 다수의 공유 키를 획득하도록 협상할 수 있다. 상대적으로 낮은 네트워크 보안의 상황에서는, 복수의 경로 또는 특정한 경로의 릴레이 노드가 고장이더라도, 하나의 경로가 안전하기만 하면 상이한 경로의 키에 대한 조합 연산에 의해 새로운 안전한 공유 키가 여전히 생성될 수 있으며, 이에 따라 전체 양자 키 분배 네트워크의 보안이 개선될 수 있다.
따라서, 송신자의 양자 키 분배 장치는 획득된 공유 키를 사용하여 전송될 데이터를 암호화하고, 라우팅 장치를 통해 수신자의 양자 키 분배 장치로 데이터를 전달한다. 수신자의 양자 키 분배 장치는 송신자의 것과 동일한 공유 키를 채택하여 수신된 데이터를 해독할 수 있다. 키 분배량의 증가로, 데이터 상호작용 수율이 또한 대응하여 증가될 수 있다.
또한, 상술한 양자 키 분배 방법은 클라우드 컴퓨팅 네트워크에 적용되어, 클라우드 키 보안, 코드 생성량, 전송 범위 및 데이터 전송과 같은 클라우드 컴퓨팅 네트워크의 다양한 양상에 대한 요구조건을 만족할 수 있다.
(I) 기술된 방법은 클라우드 백본 네트워크(데이터 센터)에 적용될 수 있다.
클라우드 컴퓨팅 데이터 센터 내의 임의의 두 서버 사이의 보안 데이터 전송을 달성하기 위하여, 서버와 각각 연결된 양자 키 분배 장치가 다중경로 키 협상을 수행하고, 획득된 공유 키를 사용하여 데이터 암호화 및 해독을 수행하여, 보안 데이터 전송을 달성할 수 있다.
(II) 방법은 클라우드 백본 네트워크(데이터 센터) 및 클라우드 사용자 네트워크로 구성된 시스템에 적용될 수 있다.
클라우드 사용자 네트워크와 클라우드 컴퓨팅 데이터 센터의 임의의 서버 사이의 보안 데이터 통신을 달성하기 위하여, 클라우드 사용자 네트워크의 양자 키 분배 장치와 서버와 연결된 양자 키 분배 장치가 다중경로 키 협상을 수행하고, 획득된 공유 키를 사용하여 데이터 암호화 및 해독을 수행하여, 보안 데이터 통신을 달성할 수 있다.
(III) 방법은 분산 클라우드 컴퓨팅 데이터 센터 및 클라우드 사용자 네트워크로 구성된 시스템에 적용될 수 있다.
상이한 클라우드 컴퓨팅 데이터 센터에 위치한 임의의 두 서버 사이의 보안 데이터 전송(데이터 백업 또는 데이터 접근)을 달성하기 위하여, 서버와 각각 연결된 양자 키 분배 장치가 다중경로 키 협상을 수행하고, 최종적으로 획득된 공유 키를 사용하여 데이터 암호화 및 해독을 수행하여, 보안 데이터 통신을 달성할 수 있다.
클라우드 사용자 네트워크와 분산 클라우드 컴퓨팅 데이터 센터의 임의의 한 서버 사이의 보안 데이터 통신을 달성하기 위하여, 클라우드 사용자 네트워크의 양자 키 분배 장치와, 서버와 연결된 양자 키 분배 장치가 다중경로 키 협상을 수행하고, 획득된 공유 키를 사용하여 데이터 암호화 및 해독을 수행하여, 보안 데이터 통신을 달성할 수 있다.
도 7은 본 개시의 일부 실시예에 부합하는 신뢰할 수 있는 릴레이 기반 양자 키 분배 장치(700)의 실시예의 개략도이다.
일부 실시예에 따르면 신뢰할 수 있는 릴레이 기반 양자 키 분배 (송신자) 장치는 다음을 포함한다:
라우팅 장치의 릴레이를 통해 둘 이상의 상이한 경로를 채택하여 수신자 양자 키 분배 장치와 키 협상을 수행하도록 구성되는 다중경로 협상 유닛(701) -- 여기에서 둘 이상의 상이한 경로 각각은 하나 이상의 라우팅 장치를 포함하며 둘 이상의 상이한 경로는 어떤 공통 라우팅 장치도 공유하지 않음 --;
송신자 양자 키 분배 장치 및 수신자 양자 키 분배 장치에 의한 키 협상에 의해 획득된 공유 키에 대해 조합 연산이 수행되어야 하는지 사전 설정된 전략에 따라 판단하도록 구성되는 조합 판단 유닛(702); 및
조합 판단 유닛의 출력이 "예"일 때 새로운 공유 키를 생성하기 위하여 송신자 양자 키 분배 장치 및 수신자 양자 키 분배 장치에 의해 각각 대응하는 키 조합 연산을 실행하도록 구성되는 조합 유닛(703).
선택적으로, 기구는 또한 다중경로 협상 유닛이 작동하도록 트리거링하기 전에 양자 키 분배 시스템의 토폴로지 정보에 따라 송신자 양자 키 분배 장치에 의하여 수신자 양자 키 분배 장치와 키 협상을 수행하는 둘 이상의 상이한 경로를 선택하도록 구성되는 경로 획득 유닛을 포함할 수 있다.
선택적으로, 기구는 다중경로 협상 유닛이 작동하도록 트리거링하기 전에 고전 채널을 통해 송신자 양자 키 분배 장치에 의하여 경로 내에 포함된 라우팅 장치 및 수신자 양자 키 분배 장치로 각 경로 정보를 송신하도록 구성되는 경로 분배 유닛을 더 포함할 수 있다.
대응하여, 기능을 달성하기 위한 바디 서브유닛 이외에, 다중경로 협상 유닛은 경로 확인 서브유닛을 더 포함할 수 있으며, 이는:
경로 내의 라우팅 장치 및 수신자 양자 키 분배 장치에 의하여, 수신된 경로 정보에 따라 키 협상을 수행하는 반대단 장치의 신원을 확인하고;
확인이 성공하면, 반대단 장치와 키 협상을 수행하고 노드의 키 릴레이 동작을 완료하며;
그렇지 않으면, 송신자 양자 키 분배 장치로 대응하는 경로의 키 협상 과정을 중단하도록 통지하도록 구성된다.
선택적으로, 다중경로 협상 유닛은 라우팅 장치의 동적 라우팅 기능에 의하여 둘 이상의 상이한 경로를 통해 키 협상을 수행하도록 구성될 수 있다.
선택적으로, 기구는 경로 확인 유닛을 포함할 수 있으며, 이는:
다중경로 협상 유닛의 구현 이후에 현재 키 협상의 경로 정보 획득을 통해 송신자 또는 수신자 양자 키 분배 장치에 의해 각 경로의 키 협상 과정에 참여하는 장치의 신원 적법성을 확인하고;
불법적인 장비가 탐지되면, 송신자 양자 키 분배 장치 및 수신자 양자 키 분배 장치가 대응하는 경로 협상에 의해 획득된 공유 키를 포기하도록 구성된다.
선택적으로, 기구는 다중경로 협상 유닛이 작동하도록 트리거링하기 전에 고전 채널을 통해 송신자 양자 키 분배 장치 및 수신자 양자 키 분배 장치에 의하여 반대단 장치에 대해 신원 확인을 수행하도록 구성되는 신원 확인 유닛을 더 포함할 수 있다. 반대단 장치가 신원 확인을 통과하지 못하면, 방법의 구현은 종료된다.
선택적으로, 조합 판단 유닛은 다음을 포함할 수 있다:
양자 키 분배 장치에 의해 각 경로를 통해 키 협상 수행의 안전성 평가 결과를 획득하도록 구성되는 안전성 평가 결과 획득 서브유닛;
사전 설정된 전략 및 안정성 평가 결과에 따라 양자 키 분배 장치에 의한 조합 연산의 구현을 판단하도록 구성되는 전략 판단 서브유닛; 및
양자 키 분배 장비에 의하여, 키 조합 연산을 실행하는 특정한 처리 방식을 선택하고, 고전 채널을 통해 반대단 양자 키 분배 장치와 협상하고, 키 조합 연산의 특정한 처리 방식을 확인하고, 병합 실행 유닛을 트리거링하도록 구성되는 선택 및 협상 서브유닛.
선택적으로, 기구는 다음을 더 포함할 수 있다:
획득된 공유 키를 사용하여 전송될 데이터를 암호화하고 라우팅 장치를 경유해 송신자 양자 키 분배 장치에 의해 수신자 양자 키 분배 장치로 데이터를 전달하도록 구성되는 데이터 암호화 전송 유닛; 및
송신자와 동일한 공유 키를 사용하여 수신자 양자 키 분배 장치에 의하여 수신된 데이터를 해독하도록 구성되는 데이터 해독 유닛.
명세서는 양자 키 분배를 위한 방법, 기구 및 시스템을 설명하였다. 예시된 단계들은 도시된 예시적인 실시예들을 설명하기 위해 제시되며, 진행중인 기술 개발이 특정 기능들이 수행되는 방식을 변화시킬 것을 예상하여야 한다. 따라서, 이들 실시예는 설명의 목적으로 여기에서 제시된 것이며, 제한하는 것이 아니다. 예를 들면, 개시된 실시예와 부합하여, 여기에서 개시된 단계 및 과정은 설명된 순서로 수행되는 것으로 제한되지 않고, 임의의 순서로 수행될 수 있으며, 일부 단계는 생략될 수 있다. 또한, 기능적 빌딩 블록의 경계는 설명의 편의를 위하여 여기에서 임의로 정의되었다. 지정된 기능과 그 관계가 적절하게 수행되는 한 대안적인 경계가 정의될 수 있다. 여기에서 포함된 교시에 기반하여 대안(여기에 기술된 것들의 균등물, 확장, 변형, 편차 등을 포함)이 이 분야의 기술자에게 명백할 것이다. 이러한 대안은 개시된 실시예의 범위 및 사상 내에 있다.
개시된 원리의 예 및 특징이 여기에서 설명되었지만, 개시된 실시예의 사상 및 범위를 벗어나지 않고 수정, 적응 및 다른 구현이 가능하다. 또한, "포함하는(comprising)", "갖는("having)", "포함하는(containing)" 및 "포함하는(including)" 및 다른 유사한 형태의 단어는 의미가 동등하며 이들 단어 중 어느 하나를 따르는 항목 또는 항목들이 그러한 항목 또는 항목들의 철저한 목록이거나, 나열된 항목 또는 항목들에만 한정되는 것을 의미하지 않는 열린 형태(open ended)인 것을 의도한다. 또한 본 명세서 및 첨부된 청구범위에서 사용되는 단수 형태 "하나의(a, an)" 및 "상기(the)"는 문맥상 명확하게 달리 지시하지 않는 한 복수의 참조를 포함하는 점을 유의하여야 한다.
또한, 하나 이상의 컴퓨터 판독가능 저장 매체가 본 개시에 부합하는 실시예의 구현에 사용될 수 있다. 컴퓨터 판독가능 저장 매체는 프로세서에 의해 판독될 수 있는 정보 또는 데이터가 저장된 임의의 유형의 물리적 메모리를 지칭한다. 따라서, 컴퓨터 판독가능 저장 매체는 여기에서 기술된 실시예에 부합하는 단계 또는 스테이지를 수행하도록 하는 명령을 포함하여 하나 이상의 프로세서에 의해 실행되는 명령을 저장할 수 있다. 용어 "컴퓨터 판독가능 저장 매체"는 유형의 물품을 포함하는 것으로 이해되어야 하며, 반송파 및 과도 신호를 제외하고, 즉 비 일시적이어야 한다. 예로는 RAM, ROM, 휘발성 메모리, 비휘발성 메모리, 하드 드라이브, CD ROM, DVD, 플래시 드라이브, 디스크 및 임의의 다른 공지의 물리적 저장 매체를 포함한다. 전술한 모듈/유닛은 소프트웨어, 하드웨어, 펌웨어 또는 소프트웨어, 하드웨어 및 펌웨어의 임의의 조합의 형태로 구현될 수 있다. 예를 들면, 모듈/유닛은 컴퓨터 판독 가능 메모리에 저장된 소프트웨어 명령을 실행하는 프로세서에 의해 구현될 수 있다.
본 발명은 위에서 설명되고 첨부된 도면에 도시된 정확한 구성에 한정되지 않으며, 다양한 수정 및 변경이 본 발명의 범위를 벗어나지 않고 이루어질 수 있음을 이해할 것이다. 발명의 범위는 첨부된 청구범위에 의해서만 제한되어야 하는 것으로 의도된다.

Claims (19)

  1. 키를 릴레이하도록 구성되는 복수의 라우팅 장치; 및
    상기 라우팅 장치와 연결되며 둘 이상의 상이한 경로를 사용하여 다른 양자 키 분배 장치와 대응하는 양자 키 협상을 수행하여 공유 키를 획득하도록 구성되는 양자 키 분배 장치를 포함하며, 상기 둘 이상의 상이한 경로는 각각 하나 이상의 상기 라우팅 장치를 포함하는 양자 키 분배 시스템.
  2. 제1항에 있어서,
    상기 양자 키 분배 장치는 새로운 공유 키를 생성하기 위하여 상기 공유 키를 조합하도록 더 구성되는 양자 키 분배 시스템.
  3. 제1항에 있어서,
    상기 양자 키 분배 장치는, 상기 대응하는 양자 키 협상을 개시하기 전에, 상기 양자 키 협상에 대한 경로 정보를 상기 경로 내의 라우팅 장치 또는 다른 양자 키 분배 장치로 송신하도록 더 구성되는 양자 키 분배 시스템.
  4. 제1항에 있어서,
    상기 시스템은 이를 통해 상기 양자 키 분배 장치가 데이터 장치로 연결되는 양자 게이트웨이 장치를 더 포함하고;
    상기 양자 게이트웨이 장치는 상기 양자 키 분배 장치에 의해 제공되는 양자 키를 사용하여 데이터를 암호화 및 해독하도록 구성되는 양자 키 분배 시스템.
  5. 제1항에 있어서,
    상기 양자 키 분배 시스템은 클라우드 컴퓨팅 데이터 센터 내에 배치되고;
    상기 시스템은 상기 양자 키 분배 장치에 연결되는 서버를 더 포함하는 양자 키 분배 시스템.
  6. 제5항에 있어서, 상기 시스템은 상기 다른 양자 키 분배 장치를 포함하는 클라우드 사용자 네트워크를 더 포함하는 양자 키 분배 시스템.
  7. 제1항에 있어서, 상기 양자 키 분배 장치는 분산 클라우드 컴퓨팅 네트워크의 데이터 센터 내에 있는 양자 키 분배 시스템.
  8. 각각 하나 이상의 라우팅 장치를 포함하는 둘 이상의 경로 선택 -- 상기 하나 이상의 라우팅 장치는 양자 키 분배 장치를 다른 양자 키 분배 장치와 연결함 --; 및
    공유 키를 획득하기 위하여 상기 둘 이상의 상이한 경로를 통해 상기 양자 키 분배 장치에 의해 상기 다른 양자 키 분배 장치와 키 협상 수행을 포함하는 양자 키 분배 방법.
  9. 제8항에 있어서,
    새로운 공유 키를 생성하기 위하여 상기 공유 키 조합을 더 포함하는 양자 키 분배 방법.
  10. 제9항에 있어서, 상기 공유 키 조합 이전에, 상기 방법은:
    상기 양자 키 분배 장치에 의하여, 상기 둘 이상의 경로 각각을 통한 키 협상 수행의 안정성 평가 결과 획득;
    상기 안정성 평가 결과에 기반하여 상기 공유 키 조합이 필요한지 판단을 더 포함하고;
    상기 공유 키 조합이 필요하면, 상기 방법은:
    키 조합 연산 선택;
    상기 선택된 키 조합 연산 작업을 상기 양자 키 분배 장치에 의하여 고전 채널을 통해 상기 다른 양자 키 분배 장치로 통신; 및
    상기 양자 키 분배 장치 및 상기 다른 양자 키 분배 장치에 의하여 상기 키 조합 연산으로 상기 공유 키 조합을 더 포함하는 양자 키 분배 방법.
  11. 제8항에 있어서,
    상기 양자 키 분배 장치에 의하여, 고전 채널을 통해, 각 선택된 경로의 경로 정보를 상기 각 선택된 경로 내의 상기 라우팅 장치로 송신; 및
    상기 라우팅 장치에 의하여, 상기 경로 정보를 이용하여 상기 양자 키 분배 장치의 신원 확인을 더 포함하는 양자 키 분배 방법.
  12. 제8항에 있어서,
    상기 양자 키 분배 장치에 의하여, 고전 채널을 통해, 각 선택된 경로의 경로 정보를 상기 다른 양자 키 분배 장치로 송신; 및
    상기 다른 양자 키 분배 장치에 의하여, 상기 경로 정보를 이용하여 상기 양자 키 분배 장치의 신원 확인을 더 포함하는 양자 키 분배 방법.
  13. 제8항에 있어서,
    상기 양자 키 분배 장치에 의하여, 고전 채널을 통해 상기 다른 양자 키 분배 장치의 신원 확인을 더 포함하는 양자 키 분배 방법.
  14. 제8항에 있어서,
    상기 양자 키 분배 장치에 의하여, 전송될 데이터를 암호화하기 위하여 획득된 공유 키 사용을 더 포함하는 양자 키 분배 방법.
  15. 제14항에 있어서,
    상기 양자 키 분배 장치에 의하여, 상기 암호화된 데이터를 상기 다른 양자 키 분배 장치로 전달; 및
    상기 다른 양자 키 분배 장치에 의하여, 상기 수신된 데이터를 해독하기 위하여 상기 획득된 공유 키의 사본 사용을 더 포함하는 양자 키 분배 방법.
  16. 제8항에 있어서,
    상기 양자 키 분배 장치 및 상기 다른 양자 키 분배 장치는 서버에 연결되는 양자 키 분배 방법.
  17. 둘 이상의 상이한 경로를 통해 다른 양자 키 분배 장치와 키 협상을 수행하도록 구성되는 다중경로 협상 유닛 -- 상기 둘 이상의 상이한 경로 각각은 하나 이상의 라우팅 장치를 포함함 -- ;
    상기 키 협상을 통해 획득되는 공유 키에 대해 조합 연산이 수행될 필요가 있는지 판단하도록 구성되는 조합 판단 유닛; 및
    상기 키 협상 과정을 통해 획득되는 상기 공유 키에 대해 상기 조합 연산이 수행될 필요가 있으면, 새로운 공유 키를 생성하기 위하여 상기 공유 키를 조합하도록 구성되는 조합 유닛을 포함하는 양자 키 분배 장치.
  18. 제17항에 있어서,
    상기 양자 키 분배 장치를 포함하는 양자 키 분배 시스템에 대한 토폴로지 정보에 따라 상기 다른 양자 키 분배 장치와 상기 키 협상이 수행되는 상기 둘 이상의 상이한 경로를 선택하도록 구성되는 경로 획득 유닛을 더 포함하는 양자 키 분배 장치.
  19. 제18항에 있어서,
    선택된 경로의 각 경로 정보를, 고전 채널을 통해, 상기 선택된 경로 내의 라우팅 장치 또는 상기 다른 양자 키 분배 장치로 송신하도록 구성되는 경로 분배 유닛을 더 포함하는 양자 키 분배 장치.
KR1020177021952A 2015-01-08 2016-01-06 신뢰 릴레이를 기반으로 한 양자 키 분배 시스템, 방법 및 장치 KR20170115055A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201510009615.5 2015-01-08
CN201510009615.5A CN105827397B (zh) 2015-01-08 2015-01-08 基于可信中继的量子密钥分发系统、方法及装置
PCT/US2016/012306 WO2016112086A1 (en) 2015-01-08 2016-01-06 Quantum key distribution system, method and apparatus based on trusted relay

Publications (1)

Publication Number Publication Date
KR20170115055A true KR20170115055A (ko) 2017-10-16

Family

ID=56356379

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177021952A KR20170115055A (ko) 2015-01-08 2016-01-06 신뢰 릴레이를 기반으로 한 양자 키 분배 시스템, 방법 및 장치

Country Status (7)

Country Link
US (1) US10348493B2 (ko)
EP (1) EP3243295B1 (ko)
JP (1) JP6783772B2 (ko)
KR (1) KR20170115055A (ko)
CN (1) CN105827397B (ko)
TW (1) TWI676384B (ko)
WO (1) WO2016112086A1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210032094A (ko) * 2019-09-16 2021-03-24 주식회사 케이티 양자 암호키 분배 방법, 장치 및 시스템
WO2023080344A1 (ko) * 2021-11-08 2023-05-11 한국과학기술정보연구원 양자키 관리장치 및 그 동작 방법

Families Citing this family (92)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106470345B (zh) 2015-08-21 2020-02-14 阿里巴巴集团控股有限公司 视频加密传输方法和解密方法、装置及系统
CN107086907B (zh) 2016-02-15 2020-07-07 阿里巴巴集团控股有限公司 用于量子密钥分发过程的密钥同步、封装传递方法及装置
CN107086908B (zh) 2016-02-15 2021-07-06 阿里巴巴集团控股有限公司 一种量子密钥分发方法及装置
CN107347058B (zh) 2016-05-06 2021-07-23 阿里巴巴集团控股有限公司 数据加密方法、数据解密方法、装置及系统
CN107370546B (zh) 2016-05-11 2020-06-26 阿里巴巴集团控股有限公司 窃听检测方法、数据发送方法、装置及系统
CN107404461B (zh) 2016-05-19 2021-01-26 阿里巴巴集团控股有限公司 数据安全传输方法、客户端及服务端方法、装置及系统
CN106230582B (zh) * 2016-07-17 2019-03-26 西安电子科技大学 量子保密通信网络中的随机路由方法
CN107959567B (zh) 2016-10-14 2021-07-27 阿里巴巴集团控股有限公司 数据存储方法、数据获取方法、装置及系统
CN107959656B (zh) * 2016-10-14 2021-08-31 阿里巴巴集团控股有限公司 数据安全保障系统及方法、装置
CN107959566A (zh) 2016-10-14 2018-04-24 阿里巴巴集团控股有限公司 量子数据密钥协商系统及量子数据密钥协商方法
CN108023725B (zh) * 2016-11-04 2020-10-09 华为技术有限公司 一种基于集中管理与控制网络的量子密钥中继方法和装置
US10164778B2 (en) 2016-12-15 2018-12-25 Alibaba Group Holding Limited Method and system for distributing attestation key and certificate in trusted computing
CN108206738B (zh) * 2016-12-16 2022-04-12 山东量子科学技术研究院有限公司 一种量子密钥输出方法及系统
CN108270557B (zh) * 2016-12-30 2021-02-19 科大国盾量子技术股份有限公司 一种基于量子通信的骨干网系统及其中继方法
CN106878006B (zh) * 2016-12-31 2019-11-05 北京邮电大学 基于光时分复用的量子密钥通道传输方法与系统
CN106888084B (zh) * 2017-01-04 2021-02-19 浙江神州量子网络科技有限公司 一种量子堡垒机系统及其认证方法
DE102017202239A1 (de) * 2017-02-13 2018-08-16 Robert Bosch Gmbh Verfahren und Vorrichtung zum Vereinbaren eines gemeinsamen Schlüssels zwischen einem ersten Knoten und einem zweiten Knoten eines Rechnernetzes
CN107124266B (zh) * 2017-03-07 2020-10-27 苏州科达科技股份有限公司 基于量子加密的视频通信系统以及方法
CN108667608B (zh) 2017-03-28 2021-07-27 阿里巴巴集团控股有限公司 数据密钥的保护方法、装置和系统
CN108667773B (zh) 2017-03-30 2021-03-12 阿里巴巴集团控股有限公司 网络防护系统、方法、装置及服务器
CN108736981A (zh) 2017-04-19 2018-11-02 阿里巴巴集团控股有限公司 一种无线投屏方法、装置及系统
CN109286489A (zh) * 2017-07-20 2019-01-29 中国科学技术大学 一种基于二次加密的量子通信方法及网络
CN109286443B (zh) * 2017-07-20 2020-05-12 中国科学技术大学 一种基于可信中继节点的量子通信方法及网络
CN107317681A (zh) * 2017-08-10 2017-11-03 国家电网公司 一种量子保密通信可信组网认证方法和系统
CN107453868B (zh) * 2017-09-01 2019-09-24 中国电子科技集团公司第三十研究所 一种安全高效的量子密钥服务方法
CN109995510B (zh) * 2017-12-29 2022-07-15 成都零光量子科技有限公司 一种量子密钥中继服务方法
CN108322464B (zh) * 2018-01-31 2020-11-17 中国联合网络通信集团有限公司 一种密钥验证方法及设备
CN110380844B (zh) * 2018-04-13 2021-01-29 华为技术有限公司 一种量子密钥分发方法、设备及存储介质
CN108537537A (zh) * 2018-04-16 2018-09-14 杭州网看科技有限公司 一种安全可信的数字货币钱包系统
CN108768629B (zh) * 2018-05-24 2021-03-30 中国科学院信息工程研究所 一种可信中继量子通信方法及系统
GB2574597B (en) 2018-06-08 2021-10-20 Toshiba Kk A Quantum communication network
CN109104428A (zh) * 2018-08-28 2018-12-28 南京航空航天大学 物联网数据量子加密传输设备及传输方法
CN109450620B (zh) 2018-10-12 2020-11-10 创新先进技术有限公司 一种移动终端中共享安全应用的方法及移动终端
CN109245887B (zh) * 2018-11-12 2024-01-30 中共中央办公厅电子科技学院 量子保密通信网络系统的中继装置以及包括该装置的通信网络系统
CN109257274B (zh) * 2018-11-12 2024-02-02 中共中央办公厅电子科技学院 量子保密通信网络系统的交换节点装置以及包括该装置的通信网络系统
CN111277549B (zh) * 2018-12-05 2022-05-03 杭州希戈科技有限公司 一种采用区块链的安全服务方法与系统
WO2020125967A1 (en) * 2018-12-19 2020-06-25 Telefonaktiebolaget Lm Ericsson (Publ) Quantum key distribution apparatus and method
CN111404672B (zh) * 2019-01-02 2023-05-09 中国移动通信有限公司研究院 量子密钥分发方法及装置
GB2581528B (en) * 2019-02-22 2022-05-18 Toshiba Kk A method, a communication network and a node for exchanging a cryptographic key
CN111865567B (zh) * 2019-04-29 2021-11-30 科大国盾量子技术股份有限公司 量子密钥的中继方法、装置、系统、设备及存储介质
US11469888B2 (en) 2019-05-03 2022-10-11 Quantumxchange, Inc. Tamper detection in a quantum communications system
US11411722B2 (en) * 2019-05-03 2022-08-09 Quantumxchange, Inc. Method of operation of a quantum key controller
US11424918B2 (en) * 2019-05-03 2022-08-23 Quantumxchange, Inc. Method of operation of a trusted node software in a quantum key distribution system
CN110224815B (zh) * 2019-05-08 2021-02-09 北京邮电大学 Qkd网络资源分配方法及系统
CN110247705B (zh) * 2019-06-21 2020-12-08 武汉邮电科学研究院有限公司 一种基于多芯光纤的光量子融合网络实现方法及系统
US11483140B2 (en) 2019-08-02 2022-10-25 Quantumxchange, Inc. Secure out-of-band symmetric encryption key delivery
US11436517B2 (en) 2019-08-26 2022-09-06 Bank Of America Corporation Quantum-tunneling-enabled device case
CN112367163B (zh) * 2019-09-01 2023-09-26 成都量安区块链科技有限公司 一种量子网络虚拟化方法与装置
CN110690928B (zh) * 2019-09-01 2020-10-16 成都量安区块链科技有限公司 一种量子中继链路虚拟化方法与装置
CN110690960B (zh) * 2019-09-01 2022-02-22 成都量安区块链科技有限公司 一种中继节点的路由服务方法与装置
CN110661620B (zh) * 2019-09-06 2022-04-01 成都量安区块链科技有限公司 一种基于虚拟量子链路的共享密钥协商方法
US11228431B2 (en) * 2019-09-20 2022-01-18 General Electric Company Communication systems and methods for authenticating data packets within network flow
CN110557253B (zh) * 2019-10-14 2023-06-06 成都量安区块链科技有限公司 一种中继路由采集方法、装置及应用系统
US11569989B2 (en) 2019-10-23 2023-01-31 Bank Of America Corporation Blockchain system for hardening quantum computing security
US10997521B1 (en) * 2019-10-23 2021-05-04 Bank Of America Corporation Quantum-resilient computer cluster
US11468356B2 (en) 2019-10-31 2022-10-11 Bank Of America Corporation Matrix-based quantum-resilient server-cluster
US11251946B2 (en) 2019-10-31 2022-02-15 Bank Of America Corporation Quantum key synchronization within a server-cluster
CN111181717B (zh) * 2019-11-11 2021-06-15 北京邮电大学 一种密钥分发方法及装置
CN110868290B (zh) * 2019-11-21 2022-05-31 成都量安区块链科技有限公司 一种无中心管控的密钥服务方法与装置
US11387991B2 (en) * 2019-12-06 2022-07-12 At&T Intellectual Property I, L.P. Quantum enabled hybrid fiber cable loop
US11429519B2 (en) 2019-12-23 2022-08-30 Alibaba Group Holding Limited System and method for facilitating reduction of latency and mitigation of write amplification in a multi-tenancy storage drive
CN111953487B (zh) * 2020-08-14 2022-04-22 苏州浪潮智能科技有限公司 一种密钥管理系统
CN114389798A (zh) * 2020-10-16 2022-04-22 中创为(成都)量子通信技术有限公司 量子云密钥协商方法、装置及系统、量子云服务器
CN114389797A (zh) * 2020-10-16 2022-04-22 中创为(成都)量子通信技术有限公司 基于量子云密钥协商的中继链路选路方法、装置及量子云服务器
JP7414688B2 (ja) 2020-10-26 2024-01-16 株式会社東芝 通信装置、通信方法、プログラムおよび通信システム
CN112422286B (zh) * 2020-11-30 2024-03-05 中通服咨询设计研究院有限公司 一种基于信任中心的量子密钥分发方法
NL2027091B1 (en) 2020-12-10 2022-07-08 Abn Amro Bank N V Orchestrated quantum key distribution
RU2752844C1 (ru) * 2020-12-10 2021-08-11 Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Система выработки и распределения ключей и способ распределенной выработки ключей с использованием квантового распределения ключей (варианты)
CN114679256A (zh) * 2020-12-24 2022-06-28 科大国盾量子技术股份有限公司 一种多路径密钥中继方法、装置及相关设备
CN114697002A (zh) * 2020-12-28 2022-07-01 科大国盾量子技术股份有限公司 一种分布式量子密码网络组密钥分发方法及系统
CN114697015A (zh) * 2020-12-31 2022-07-01 科大国盾量子技术股份有限公司 用于可信中继节点的密钥管理方法及密钥分发方法
CN114765543A (zh) * 2020-12-31 2022-07-19 科大国盾量子技术股份有限公司 一种量子密码网络扩展设备的加密通信方法及系统
JP2022116672A (ja) * 2021-01-29 2022-08-10 株式会社東芝 量子鍵配送サービスプラットフォーム
US11652619B2 (en) * 2021-03-15 2023-05-16 Evolutionq Inc. System and method for optimizing the routing of quantum key distribution (QKD) key material in a network
CN113179514B (zh) * 2021-03-25 2022-08-05 北京邮电大学 中继共存场景下的量子密钥分发方法及相关设备
CN112994883B (zh) * 2021-04-22 2021-08-13 浙江九州量子信息技术股份有限公司 基于量子密钥及真随机数源的对称密钥协商系统及方法
CN113472453B (zh) * 2021-06-29 2022-04-08 军事科学院系统工程研究院网络信息研究所 基于时分复用集中探测的分布式量子传感组网方法
CN113765665B (zh) * 2021-11-10 2022-02-08 济南量子技术研究院 基于量子密钥的区块链网络及数据安全传输方法
CN114362929A (zh) * 2021-11-23 2022-04-15 北京邮电大学 基于量子密钥分发网络的保护方法、装置和电子设备
CN114422122A (zh) * 2021-12-23 2022-04-29 山东工商学院 一种带半可信第三方的量子密钥协商方法及系统
CN114448620B (zh) * 2022-01-07 2023-10-03 南京邮电大学 多协议量子密钥分发网络的业务路径选择方法及相关设备
CN114124385B (zh) * 2022-01-26 2022-04-22 国网浙江省电力有限公司金华供电公司 应用于量子保密通信的备份链路系统
CN114268441B (zh) * 2022-03-03 2022-05-31 成都量安区块链科技有限公司 一种量子安全应用方法、客户端装置、服务器装置与系统
KR20230166281A (ko) 2022-05-30 2023-12-07 한국과학기술정보연구원 양자키분배 네트워크장치 및 양자키분배 네트워크 운용 방법
JP2024014248A (ja) * 2022-07-22 2024-02-01 株式会社東芝 Qkdシステム、監視装置、多重化装置及びプログラム
CN115276976B (zh) * 2022-07-25 2023-07-07 北京百度网讯科技有限公司 量子密钥分发方法、装置及电子设备
CN115811400A (zh) * 2023-02-03 2023-03-17 易迅通科技有限公司 一种手持设备密钥共享方法及系统
CN116506119B (zh) * 2023-05-23 2024-01-26 中安网脉(北京)技术股份有限公司 一种基于路由寻址的密钥分发网络组建方法
CN116506122B (zh) * 2023-06-26 2023-10-31 广东广宇科技发展有限公司 一种基于量子密钥分发的认证方法
CN116506121B (zh) * 2023-06-26 2023-10-31 广东广宇科技发展有限公司 一种量子密钥分发方法
CN117240354B (zh) * 2023-11-10 2024-01-12 武汉量子技术研究院 基于信标光强度变化的星地量子密钥分发成码量估算方法
CN117527239B (zh) * 2024-01-08 2024-03-29 中国科学技术大学 一种量子密钥分发网络中负载均衡的分布式路由方法及系统

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5812666A (en) 1995-03-31 1998-09-22 Pitney Bowes Inc. Cryptographic key management and validation system
US5953421A (en) 1995-08-16 1999-09-14 British Telecommunications Public Limited Company Quantum cryptography
US8677505B2 (en) * 2000-11-13 2014-03-18 Digital Doors, Inc. Security system with extraction, reconstruction and secure recovery and storage of data
AT412932B (de) 2002-11-22 2005-08-25 Arc Seibersdorf Res Gmbh Kommunikationssystem mit quantenkryptographie
US7236597B2 (en) * 2002-12-20 2007-06-26 Bbn Technologies Corp. Key transport in quantum cryptographic networks
US7392378B1 (en) * 2003-03-19 2008-06-24 Verizon Corporate Services Group Inc. Method and apparatus for routing data traffic in a cryptographically-protected network
US7512242B2 (en) 2003-03-21 2009-03-31 Bbn Technologies Corp. Systems and methods for quantum cryptographic key transport
US7706535B1 (en) * 2003-03-21 2010-04-27 Bbn Technologies Corp. Systems and methods for implementing routing protocols and algorithms for quantum cryptographic key transport
US7983422B2 (en) 2003-07-25 2011-07-19 Hewlett-Packard Development Company, L.P. Quantum cryptography
JP2005117511A (ja) * 2003-10-10 2005-04-28 Nec Corp 量子暗号通信システム及びそれに用いる量子暗号鍵配布方法
JP2005141654A (ja) * 2003-11-10 2005-06-02 Nippon Telegr & Teleph Corp <Ntt> 情報通過制御システム、情報通過制御装置、サービス提供装置、プログラム及び記録媒体
US7620182B2 (en) 2003-11-13 2009-11-17 Magiq Technologies, Inc. QKD with classical bit encryption
US20050286723A1 (en) * 2004-06-28 2005-12-29 Magiq Technologies, Inc. QKD system network
JP4888630B2 (ja) * 2005-07-08 2012-02-29 日本電気株式会社 通信システムおよびその監視制御方法
JP4662040B2 (ja) 2005-07-08 2011-03-30 日本電気株式会社 通信システムおよびその同期制御方法
US7248695B1 (en) 2006-02-10 2007-07-24 Magiq Technologies, Inc. Systems and methods for transmitting quantum and classical signals over an optical network
US20070248091A1 (en) 2006-04-24 2007-10-25 Mohamed Khalid Methods and apparatus for tunnel stitching in a network
US20130227286A1 (en) * 2006-04-25 2013-08-29 Andre Jacques Brisson Dynamic Identity Verification and Authentication, Dynamic Distributed Key Infrastructures, Dynamic Distributed Key Systems and Method for Identity Management, Authentication Servers, Data Security and Preventing Man-in-the-Middle Attacks, Side Channel Attacks, Botnet Attacks, and Credit Card and Financial Transaction Fraud, Mitigating Biometric False Positives and False Negatives, and Controlling Life of Accessible Data in the Cloud
JP4162687B2 (ja) * 2006-06-09 2008-10-08 株式会社東芝 量子情報通信システム、量子情報中継装置、量子情報通信方法およびプログラム
US8503453B2 (en) 2006-11-20 2013-08-06 Cisco Technology, Inc. Adaptive quality of service in an easy virtual private network environment
US20080137858A1 (en) 2006-12-06 2008-06-12 Magiq Technologies, Inc. Single-channel transmission of qubits and classical bits over an optical telecommunications network
US8050410B2 (en) * 2006-12-08 2011-11-01 Uti Limited Partnership Distributed encryption methods and systems
US20080144836A1 (en) 2006-12-13 2008-06-19 Barry Sanders Distributed encryption authentication methods and systems
GB0801395D0 (en) * 2008-01-25 2008-03-05 Qinetiq Ltd Network having quantum key distribution
GB0801408D0 (en) * 2008-01-25 2008-03-05 Qinetiq Ltd Multi-community network with quantum key distribution
GB0917060D0 (en) * 2009-09-29 2009-11-11 Qinetiq Ltd Methods and apparatus for use in quantum key distribution
JP5672425B2 (ja) * 2009-10-07 2015-02-18 日本電気株式会社 暗号通信システムおよび暗号通信方法
US8984589B2 (en) 2010-04-27 2015-03-17 Accenture Global Services Limited Cloud-based billing, credential, and data sharing management system
GB201020424D0 (en) * 2010-12-02 2011-01-19 Qinetiq Ltd Quantum key distribution
US8909918B2 (en) 2011-10-05 2014-12-09 Cisco Technology, Inc. Techniques to classify virtual private network traffic based on identity
US8862883B2 (en) * 2012-05-16 2014-10-14 Cisco Technology, Inc. System and method for secure cloud service delivery with prioritized services in a network environment
US9350550B2 (en) * 2013-09-10 2016-05-24 M2M And Iot Technologies, Llc Power management and security for wireless modules in “machine-to-machine” communications

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210032094A (ko) * 2019-09-16 2021-03-24 주식회사 케이티 양자 암호키 분배 방법, 장치 및 시스템
WO2021054693A1 (ko) * 2019-09-16 2021-03-25 주식회사 케이티 양자 암호키 분배 방법, 장치 및 시스템
US11689360B2 (en) 2019-09-16 2023-06-27 Kt Corporation Quantum key distribution method, device, and system
WO2023080344A1 (ko) * 2021-11-08 2023-05-11 한국과학기술정보연구원 양자키 관리장치 및 그 동작 방법

Also Published As

Publication number Publication date
EP3243295A4 (en) 2017-11-15
JP2018502514A (ja) 2018-01-25
WO2016112086A1 (en) 2016-07-14
JP6783772B2 (ja) 2020-11-11
US20160248581A1 (en) 2016-08-25
CN105827397B (zh) 2019-10-18
CN105827397A (zh) 2016-08-03
EP3243295A1 (en) 2017-11-15
TWI676384B (zh) 2019-11-01
US10348493B2 (en) 2019-07-09
EP3243295B1 (en) 2020-04-22
TW201633742A (zh) 2016-09-16

Similar Documents

Publication Publication Date Title
KR20170115055A (ko) 신뢰 릴레이를 기반으로 한 양자 키 분배 시스템, 방법 및 장치
Cao et al. KaaS: Key as a service over quantum key distribution integrated optical networks
US9838363B2 (en) Authentication and initial key exchange in ethernet passive optical network over coaxial network
JP5431365B2 (ja) 量子キー配送によるマルチコミュニティネットワーク
KR101370272B1 (ko) 광 네트워크 단말 관리 제어 인터페이스에 기초한 수동 광 네트워크 보안성 강화
JP6478749B2 (ja) 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法
JP5784612B2 (ja) 量子鍵配送で使用するための方法および装置
US20140254798A1 (en) Architecture for reconfigurable quantum key distribution networks based on entangled photons directed by a wavelength selective switch
US20050175183A1 (en) Method and architecture for secure transmission of data within optical switched networks
CA2883444A1 (en) System and method for quantum key distribution
CN114631049A (zh) 无源光网络中的量子密钥分发和管理
CN111277404A (zh) 一种用于实现量子通信服务区块链的方法
JP2022549047A (ja) 量子暗号キー分配方法、装置及びシステム
Guan et al. On deploying encryption solutions to provide secure transport-as-a-service (TaaS) in core and metro networks
US20160261363A1 (en) Optical reception apparatus, optical transmission apparatus, optical communication system, optical communication method, and storage medium storing program
CN114556862A (zh) 安全带外对称加密密钥传递
Zhao et al. Quantum key distribution (QKD) over software-defined optical networks
Brunner et al. Demonstration of a switched CV-QKD network
Ma et al. Equilibrium allocation approaches of quantum key resources with security levels in QKD-enabled optical data center networks
Savva et al. Network coding for security against eavesdropping attacks in elastic optical networks
EP3054645B1 (en) Apparatuses, system, methods and computer programs suitable for transmitting or receiving encrypted output data packets in an optical data transmission network
CN111030934B (zh) 一种基于分布式pce的多域光网络安全光树建立系统及方法
WANG et al. A Quantum Key Re-Transmission Mechanism for QKD-Based Optical Networks
KR100938603B1 (ko) Dwdm 기반의 ovpn에서 망의 생존성을 위한 lmp확장 방법
CN107231211A (zh) 应用于wdm业务疏导网络中的加密动态恢复方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E601 Decision to refuse application