KR20190049069A - Puf-qrng 보안단말기 탑재 cctv 영상감시장치 - Google Patents

Puf-qrng 보안단말기 탑재 cctv 영상감시장치 Download PDF

Info

Publication number
KR20190049069A
KR20190049069A KR1020170144512A KR20170144512A KR20190049069A KR 20190049069 A KR20190049069 A KR 20190049069A KR 1020170144512 A KR1020170144512 A KR 1020170144512A KR 20170144512 A KR20170144512 A KR 20170144512A KR 20190049069 A KR20190049069 A KR 20190049069A
Authority
KR
South Korea
Prior art keywords
local
remote
server
random number
encryption key
Prior art date
Application number
KR1020170144512A
Other languages
English (en)
Inventor
채령
Original Assignee
채령
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 채령 filed Critical 채령
Priority to KR1020170144512A priority Critical patent/KR20190049069A/ko
Publication of KR20190049069A publication Critical patent/KR20190049069A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3278Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • H04L9/0656Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
    • H04L9/0662Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher with particular pseudorandom sequence generator
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/18Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry

Abstract

PUF Chip의 제조공정 중 발생하는 물리적 공정편차를 이용해 PIN 데이터를 생성하여 대칭암호키를 생성한다.
양자난수생성기를 통해 발생하는 양자난수로 상기 대칭암호키를 암호화하여 비대칭암호키를 생성한다.
상기 비대칭암호키에 양자난수생성기 또는 의사난수생성기 중 어느 하나를 통해 다시 비대칭암호키를 생성하되, 의사난수생성기를 통해 생성되는 비대칭암호키는 난수발생 해시함수를 새로 생성되는 비대칭암호키에 포함하여 저장되는 것을 특징으로 한다.

Description

PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치 {The CCTV nonitor loaded the PUF-QRNG security monitor}
북한발 해외 프록시서버를 경유하는 북한 양자컴퓨터로부터의 파이어세일 해킹 차단 관련이다.
초소형의 PUF(Phisycally Unclonable Function) Chip과 QRNG(Quantum Random Number Generator) Chip을 이용한 보안키 생성 및 분배 관련으로 반도체 제조공정상 발생하는 공정편차를 통해 PUF Chip으로 부터 PIN(Personal Identification Number) 데이터를 추출하여 대칭키(복호키)를 생성하고, QRNG를 통해 발생하는 무작위 양자난수를 통해 상기 대칭키(복호키)를 암호화하여 비대칭키(암호키)를 생성한다.
Sensor에서 측정되는 데이터를 비대칭키(암호키)로 암호화할 경우 대칭키(복호키)를 통해서 원래의 Sensor에서 측정되는 데이터를 복원할 수 있다.
하드웨어 보안을 위해 식별키를 생성하는 장치 및 방법에 있어서, 반도체 제조중 공정 편차를 이용하여 PUF(Physically Unclonable Function)를 구현하여 식별키를 생성하는 장치 및 방법을 적용하여 물리적 개체인증을 수행하는 기술을 적용하여 보안성을 강화한다.
일반적으로 IP카메라도 소프트웨어적 보안이 가능하지만 소프트웨어적 방법은 하드웨어가 이미 형성된 이후에 부가하는 것이므로, 변조될 가능성이 상존하였다.
그래서, 데이터보안의 근본적인 해결을 위해서는, 데이터를 처리할 하드웨어의 설계 시작시부터 데이터보안을 고려한 설계가 되어야 한다.
본 발명은 하드웨어로 구현된 물리적 보안으로 메모리 부담이 없고 처리속도가 빠르다.
IC(Integrated Circuit) 칩의 생산 공정에서 발생하는 편차를 이용한 상기 PUF를 통해 PIN(Personal Identification Number)값을 생성한 후 공인인증 플랫폼에서 보관 후 단말기에 설치된 PUF의 PIN 값을 포함하는 인증요청 키가 공인인증 플랫폼에서 수신하여 PIN 값이 일치할 경우 인증절차를 수행한다.
상기 PUF가 물리적인 단말기를 하드웨어적으로 인증한다면, 상기 PUF의 PIN 값을 1회성 양자난수 OTP(One Time Password)를 생성한 인증요청 키(암호키/복호키)를 생성하는 것은 양자난수생성기를 통해서 생성하는 것을 특징으로 한다.
양자난수생성기는 난수소스발생기, 의사난수생성기를 포함하여 구성되어, 난수소스발생기는 예측 불가한 자연현상을 이용하여 발생한 무작위 난수소스로 암호키를 생성한다.
상기 예측불가 자연현상으로는 자연광, LED(Light Emitting Diode), LD(Laser Diode), 방사선, 열잡음, 노이즈 등을 이용해 양자난수(Quantum Random Number, QRN)를 발생한다.
상기 암호키를 한 쌍의 암호키로 상호 암호통신을 위한 대칭암호키를 생성한다.
상기와 같은 양자난수와 달리 의사난수생성기(pseudorandom number generator, PRNG)를 통해 OTP(One Time Password) 비대칭암호키를 암호화 생성한다.
본 발명의 양자난수생성기는 양자난수(Quantum Random Number, QRN) 대칭암호키와 의사난수(pseudorandom number, PRN) 비대칭암호키를 생성하는 것으로, 한 쌍의 대칭암호키를 통해 양방향 통신 및 인증이 가능하다.
상기 양자난수 대칭암호키에 의사난수생성기를 통해 다시 암호화한 비대칭암호키를 생성하는 것으로, 대칭암호키를 통해 비대칭암호키를 복호화할 수 있는 것을 특징으로 한다.
생활 속 사물들을 유무선 네트워크로 연결해 정보를 공유하는 시스템인 사물인터넷(Internet of Thing)이 보편화 되고 있다. 사물인터넷이란, 인간과 사물, 서비스 세 가지 분산된 환경 요소에 대해 인간의 명시적 개입 없이 상호 협력적으로 센싱, 네트워킹, 정보 처리 등 지능적 관계를 형성하는 사물 공간 연결망이다.
사물인터넷의 보편화에 따라 보안위협도 높아지고 있으며, 사물인터넷 보안을 위해서는 사물인터넷 기기에서부터 시스템까지 전 구간에 대한 단절 없는 보안이 필요하다. 특히 다양한 기능과 프로토콜을 가진 기기들과 통신해야 하기 때문에 개방형 표준기술을 사용해야 하므로 보안 위협에 훨씬 노출되고 있다.
한편, 소프트웨어 기반의 난수 생성 기술은 리소스를 많이 사용할 뿐 아니라 고도화된 해킹 기술을 이용하면 난수 발생 패턴을 파악할 수 있는 문제점이 있다.
따라서, 사물인터넷 기기간의 보안을 위해 자연현상의 무작위성에서 난수를 추출하는 자연 난수 또는 진정 난수가 요청되고 있으며, 이는 특정한 패턴이 없고 예측이 불가능한 장점이 있지만, 크기가 크고 매우 비싸며 추출장치가 필요해 소형화 장치에 적용하기 어려운 문제가 있다.
인터넷 보안 프로토콜(IP Security Protocol : IPSec)은 네트워크 통신의 패킷 처리 계층에서의 보안을 위해 개발된 프로토콜로서, 가상 사설망(Virtual Private Network : VPN)을 통하여 송수신되는 데이터를 공중망 사용자들로부터 보호하기 위하여 이용되는 프로토콜이다.
로컬 기반의 IPSec VPN 서비스는, 다양한 통신 로컬들이 별도의 VPN 설정 없이, 공중망에 연결된 VPN 로컬에 접속하여 원격지의 사설망에 접속해 VPN 트래픽을 주고 받을 수 있는 가상 사설망 서비스이다. 상술한 바와 같은 가상 사설망 서비스를 이용하기 위해 VPN 로컬은, 공중망을 통해 가상사설망게이트웨이(VPN GateWay : VPN G/W)와 IPSec 터널 생성을 위한 인증 단계를 수행하며, IPSec에서는 상기 인증을 위한 키 교환 절차로 IKE 방식을 1단계(Main Mode or Aggressive Mode)와 2단계(Quick Mode)로 나누어 진행한다. 상기 IKE의 1단계는 보안성이 없는 공중망에서 암호화된 데이터를 주고받기 위한 ISAKMP(Internet Security Association and Key Management Protocol) 단계로서, VPN 로컬과 가상 사설망 게이트웨이(VPN G/W)가 서로 사전에 공유하여 가지고 있는 사전 공유키(Pre-Shared Key)와, ISAKMP의 암호화 방법 및 해시 함수 등에 대해 서로 협상하는 단계이다. 그리고, 2단계는 실제 IPSec 터널(Tunnel)을 통해 주고 받을 데이터의 암호화 방법 및 IPSec 터널을 통해 주고 받을 트래픽의 유형 등을 협상하는 단계이다.
이러한 로컬 기반의 IPsec VPN 서비스는 유선 기반과 무선 기반으로 나눌 수 있다. 유선 기반은 상술한 VPN 로컬이 유선 네트워크를 통해 가상 사설망 게이트(VPN G/W)에 접속하는 것이고, 무선 기반은 상술한 VPN 로컬이 무선 네트워크를 통해 가상 사설망 게이트웨이(VPN G/W)에 접속하는 것이다. 유선 기반의 VPN 서비스에서, VPN 로컬과 가상 사설망 게이트웨이(VPN G/W) 사이에서 IKE 1단계 인증을 위해, VPN 로컬에 고정 IP 주소를 할당하고, VPN 로컬과 가상 사설망 게이트웨이(VPN G/W)에 미리 설정된 사전 공유키(Pre-Shared Key)를 저장한 후, 가상 사설망 게이트웨이(VPN G/W)에서 해당 사전 공유키를 가지고 있는 VPN 로컬의 IP 주소가 상기 고정으로 할당된 IP 주소인지 여부를 확인하는 방식으로 인증을 수행한다. 이 경우, 가입자의 VPN 로컬 하위에 위치하는 실제 사용자 로컬은 별도의 인증 절차 없이 VPN 로컬을 통해 원격지의 사설망에 접속할 수 있다.
인터넷을 비롯한 유무선 통신의 사용이 급속히 확대됨에 따라 통신네트워크의 보안문제는 국가, 기업, 금융상의 중요기밀 보호 및 개인의 사생활 보호 측면에서 그 중요성이 점점 더 증대되고 있다. 1970년대에 개발되어 현재 인터넷 등 통신시스템에 널리 사용되고 있는 비대칭 공개키 암호체계는 해결하기 매우 어려운 수학적인 문제를 공개키로 사용하여 정보를 암호화하고 그 해를 비밀키로 사용하여 해독하는 방식으로서 원리적으로 수학적인 “계산 복잡성”에 기초하고 있다.
대표적으로 Rivest, Shamir, Adleman 등 세 사람이 개발한 RSA 공개키 암호체계는 매우 큰 수를 소인수분해하기가 매우 난해하다는 점을 이용한다. 즉, 수학적으로 소인수분해 문제는 문제의 크기가 증가함에 따라 계산시간이 지수함수적으로 증가하게 되며 따라서 송신자와 수신자가 충분히 큰 숫자의 소인수분해 문제를 공개키로 사용하면 도청자가 암호문을 해독하기는 현실적으로 불가능 할 것이라는 점을 이용한다. 그러나, 이러한 수학적인 계산복잡성에 기초한 암호체계는 보다 정교한 알고리즘의 발전에 따라 그 안전성에 의문이 제기되고 있으며, 또한 1994년 AT&T의 Peter Shor가 양자컴퓨터를 이용한 소인수분해 알고리즘을 개발함으로써 양자컴퓨터가 개발되면 RSA 암호체계는 근본적으로 해독이 가능한 것으로 판명되고 있다.
이러한 보안문제를 해결할 대안으로 등장한 양자암호통신(quantum cryptography) 기술은 그 안전성이 수학적인 계산 복잡성이 아닌 자연의 근본 법칙인 양자역학의 원리에 기초하므로 도청 및 감청이 매우 어려워, 최근 크게 주목 받고 있다. 즉, 양자암호통신 기술은 “양자 복제불가능성”과 같은 양자물리학의 법칙에 기초해서 송신자와 수신자 사이에 암호 키(일회용 난수표)를 절대적으로 안전하게 실시간으로 분배하는 기술로서 "양자 키 분배 기술(QKD)"로도 알려져 있다.
최초의 양자 암호 프로토콜은 1984년 IBM의 C.H. Bennett과 몬트리올 대학의 G. Brassard에 의해 발표되었다.
고안자들의 이름을 따서 BB84 프로토콜로 명명된 이 프로토콜은 두 개의 기저(basis)를 이루는 네 개의 양자 상태(예를 들면, 단일광자의 편광상태)를 이용 한다.
그러나 위의 선행기술에 따르면 양자암호를 송수신하기 위해서는 통신용 영상로컬기와 서버간의 송수신 장치가 필요하며, 통신용 영상로컬기와 서버간의 송수신 장치에 대한 비용 부담이 커지는 한계가 있다.
사물지능통신 분야에서 PUF라는 새로운 기술에 의해 장치(Device)가 스스로 패스워드를 생성하여 이를 인증에 이용함으로써, 장치들 간에 서로를 식별하고 정당한 개체인지 확인하기 위한 보안 인증을 신뢰할 수 있는 수준으로 수행하는 장치 및 방법이 제공된다.
암호화 복호화를 이용한 보안 통신이 사물지능통신을 수행하는 장치나 시스템들에 적용됨에 있어서, 장치의 보안 인증 시스템에 대한 물리적 공격이나 인가되지 않은 접근(access)에 강인한 보안 인증 장치 및 방법이 제공된다.
1회성 양자난수 OTP(One Time Password)를 생성한 후 단방향으로만 데이터가 전송되는 키(Key) 방식은 세계 최초의 기술이다.
단순히 키(Key)를 공유하여 양방향 통신을 하거나, 로그인(Log-in) 하는 방식이 아닌 한방향으로만 데이터를 전송할 수 있는 특징을 갖는다.
인터넷에 연결된 전 세계 어느 PC에서도 리모트 USB와 로컬 USB가 꽂힌 PC 사이에는 양자보안과 PUF 보안이 적용된 P2P 양방향 통신이 가능하게 하는 것을 과제로 한다.
PUF(Phisycally Unclonable Function) Chip과 QRNG(Quantum Random Number Generator) Chip을 이용한 보안키 생성 및 분배 관련으로 반도체 제조공정상 발생하는 공정편차를 통해 PUF Chip으로 부터 PIN(Personal Identification Number) 데이터를 추출하여 대칭키(복호키)를 생성하고, QRNG를 통해 발생하는 무작위 양자난수를 통해 상기 대칭키(복호키)를 암호화하여 비대칭키(암호키)를 생성 및 반대의 과정도 가능하다.
한 쌍의 VPN를 통한 종래의 보안대책에 비해 복제 불가능한 물리적 PUF Chip의 단일 PIN 데이터와 양자난수생성기의 무작위 자연난수를 이용한 1회용 OTP 양자암호키를 통하여 단방향으로만 데이터를 전송하는 단방향 암호키 적용을 통해 보안대책을 강화하여 양자단말기와 통합제어서버 사이에만 양방향 터널링 데이터통신을 개통하는 것으로, 물리적 객체인증 PUF Chip과 자연난수를 발생하는 QRNG를 통해 생성한 OTP(One Time Password) 인증 보안은 양자컴퓨터로도 해킹이 불가능한 최고의 보안성을 갖는다.
최초 공장에서 생산한 PUF Chip의 PIN 데이터로 생성한 암호키가 유출되더라도 사용자가 양자난수생성기(QRNG) 단계를 거칠 경우, 최초 생산자도 암호키를 알 수 없으며, 의사난수생성기(PRNG)로 생성한 복수의 암호키는 해킹이 가능하나, 양자난수생성기 전단계의 암호키는 해킹이 불가능한 것을 특징으로 한다.
특히, 인터넷에 연결된 전 세계 어느 PC에서도 리모트 USB와 로컬 USB가 꽂힌 PC 사이에는 양자보안과 PUF 보안이 적용된 양방향 통신이 가능하다.
또한, 종래의 SSL VPN이 적용된 영상감시 시스템은 처리속도의 한계로 끊김 현상이 발생하며, IP 카메라의 특성상 보안에 취약하였다.
본 발명을 통하여 하드웨어(물리)적인 보안과 양자난수 암호를 통해 상기 문제를 해결한다.
도 1은 본 발명의 이해를 위한 블록도
도 2는 본 발명의 이해를 위한 일 실시 예
도 3은 예시적 PUF 구조를 설명하기 위한 개념도
도 4 ~ 6은 본 발명의 이해를 위한 블록도
마이크로프로세서란 TTL이나 CMOS IC들은 정해진 특성대로만 움직이지만 마이크로프로세서는 관리자가 프로세서내에 프로그램을 주입해서 자신이 원하는 동작 특성을 구현할 수 있는 것으로, 컴퓨터의 CPU처럼 명령을 내릴 수 있기도 하고 특정 명령을 받을 수 있는 것으로 정해진 프로세서 맵에 따라 자동제어되는 것으로 마이크로프로세서(또는 MCU(Micro Control Unit))를 탑재한 USB(Universal Serial Bus) 또는 PCI Board(Peripheral Component Interconnect Board) 형태로 제작되어 서버를 대체할 수 있다.
본 발명의 물리적 객체인증 PUF(Phisycally Unclonable Function) Chip과 자연난수를 발생하는 QRNG(Quantum Random Number Generator)를 통해 생성한 OTP(One Time Password) 인증 보안은 양자컴퓨터로도 해킹이 불가능한 최고의 보안성을 갖는다.
초소형의 PUF(Phisycally Unclonable Function) Chip과 QRNG(Quantum Random Number Generator) Chip을 이용한 보안키 생성 및 분배 관련으로 반도체 제조공정상 발생하는 공정편차를 통해 PUF Chip으로 부터 PIN(Personal Identification Number) 데이터를 추출하여 대칭키(복호키)를 생성하고, QRNG를 통해 발생하는 무작위 양자난수를 통해 상기 대칭키(복호키)를 암호화하여 비대칭키(암호키)를 생성한다.
Sensor에서 측정되는 데이터를 비대칭키(암호키)로 암호화 할 경우 대칭키(복호키)를 통해서 원래의 Sensor에서 측정되는 데이터를 복원할 수 있다.
장치 간에 사물지능통신을 수행함에 있어서 사물지능통신을 수행하는 장치 스스로가 안전한 PIN 또는 패스워드를 자체적으로 생성하여 보유하여, 지식 기반의 인증을 수행할 수 있다.
이러한 지식 기반 인증을 위해, 장치에는 외부의 보안 공격에 강인하면서도, 무작위의 고유한 PIN을 생성하는 PUF(Physical unclonable Functions)가 포함될 수 있다.
일실시예에 따르면, PUF는 지식 기반 인증을 위한 인증 키로 사용될 수 있는 PIN을 생성한다. 이 PIN은 PUF 제조 공정 중 발생하는 공정 편차에 의해 생성되는 무작위의 디지털 값일 수 있다.
또한, 이 PIN은 한 번 생성된 이후 그 값이 주변 환경에 따라 변경되지 않는 시불변(Time-invariant)의 디지털 값일 수 있다. 이러한 PIN은 외부로 노출되지 않으므로, 일실시예에 따르면 장치의 인증 체계에 대한 보안 위협에 대한 방지가 가능하다.
장치가 통신 인터페이스를 통해 다른 장치와 사물지능통신을 수행하는 경우, 인증부는 PUF에 의해 자체적으로 생성되는 상기 PIN을 수신하여 지식 기반 인증을 수행할 수 있다.
일실시예에 따른 보안 인증에 있어서, 장치는 비밀키 모듈과 개인키 모듈을 포함할 수 있다. 여기서, 비밀키 모듈 및 개인키 모듈 중 적어도 하나는 PUF를 포함할 수 있다.
일실시예에 따르면, 비밀키 모듈 및 개인키 모듈 각각은 자신의 고유한 PUF를 가지며, 각각의 PUF는 물리적 특성 자체로부터 비밀키(secret key)와 개인키(private key)를 갖는다. 이하에서는 이러한 비밀키 및/또는 개인키를 PIN으로 표현하기도 하므로, PIN은 장치의 보안 인증을 위해 사용되는 비밀키, 개인키 등 어느 것도 배제하지 않고 포함하는 개념으로 이해될 수 있다.
PUF는 공정변이로 발생하는 특성 편차를 이용하여 동일 설계 도면으로 제작하더라도 서로 다른 함수 값을 발생하는 회로로서, 일부 실시예들에서는 사물지능통신 장치의 PIN을 생성하여 제공한다. 엄밀히는 PUF의 물리적 특성에 의해 생성된 디지털 값 자체가 아니라 이를 이용하여 PIN이 생성되는 것으로 볼 수도 있다.
이를 테면, 외부의 신뢰할 수 있는 소스로부터 주어지는 값을 시드(Seed)로 하여, 상기 PUF가 생성한 오리지널 디지털 값을 암호화한 결과 값을 상기 PIN으로 할 수도 있다.
이러한 과정에서 일실시예에 따르면, PUF가 제공하는 디지털 값 VPUF를 상기 시드(Seed)와 해시 함수에 넣는 방식을 이용한다. 따라서, 최종적으로 사용되는 PIN 값은 Hash (VPUF|| Seed)일 수 있다.
이러한 실시예에 따르면, 어떤 경로로든 개인키가 유출되는 경우 상기 시드 값만을 변경함으로써 PIN을 쉽게 변경할 수 있으므로, 안전성과 편의성이 개선될 수 있다.
다만, 이러한 PIN 값 생성은 일부 실시예에 불과하며, 실시예들은 PUF가 생성한 디지털 값 자체를 PIN으로 사용하는 경우와 상기 PUF를 별도로 처리한 값을 PIN으로 사용하는 경우를 모두 포함한다. 이하에서는 PUF가 생성한 디지털 값을 처리하여 새로운 PIN을 만들어 내는 과정에 대해서 일일이 언급하지 않더라도 이러한 실시예들을 모두 포함하여 내용이 이해되어야 한다.
한편, PUF는 예측 불가능한 랜덤한 값을 갖기 때문에 장치의 PIN을 결정하는데 사용될 수 있으며, 이를 이용하면 외부에서 생성하여 주입하여 메모리에 저장할 때 발생할 수 있는 PIN의 사전 누출 문제를 방지할 수 있다.
또한, PUF는 물리적으로 복제가 불가능하다는 특징을 가지고 있기 때문에 장치의 PIN 번호가 사후적으로 유출 또는 복제될 가능성도 제거할 수 있다.
또한, PUF가 생성하는 PIN 값은 랜덤성이 뛰어나고 실시예들에서는 한 번 생성한 값이 시간에 따라 변하지 않는 신뢰할 수 있는 것이다.
일실시예에 따르면, 시리얼번호 저장부에는 장치의 제조 공정에서 공장(Factory)가 제공하는 기기의 고유 값이 시리얼번호(Serial number)가 저장되며, 공장으로부터 장치의 고유한 시리얼번호가 I/O 인터페이스를 통해 장치에 입력되고, 최초 1회 - 정책에 따라 꼭 한 번일 필요는 없으나 보안 유지 상 한 번으로 지정될 수 있다 - 에 한해 비밀키 모듈로부터 비밀키가 공장 또는 관리 권한을 갖는 외부로 추출될 수 있다.
그리고, 일실시예에 따르면, 장치는 퓨즈부를 포함할 수 있다. 이러한 실시예에서는, 상기한 최초 1회의 비밀키 추출 이후 퓨즈부가 비밀키 모듈과 I/O 인터페이스 사이의 연결을 물리적으로 차단하며, 이는 비가역적이다.
그러면 이제는 최초 1회 추출된 비밀키만 관리 권한이 있는 주체가 안전하게 관리하면 되고, 퓨즈부의 상기 차단 이후에 새롭게 장치의 비밀키가 추출되는 것은 불가능하다. 비밀키 모듈은 PUF에 의해 구현되어 물리적으로 복제 불가능하고, 전력분석 공격 등을 비롯한 다양한 역공학(Reverse engineering)에 의한 비밀키 추출이 불가능하거나 매우 어렵기 때문이다.
일실시예에 따르면 장치는 공개키 암호화/복호화 통신 방식에 사용될 개인키를 생성하는 개인키 모듈을 포함하며, 개인키 모듈은 상기 비밀키 모듈과는 별개의 PUF에 의해 개인키를 제공할 수 있다.
이 개인키 모듈이 생성 및 제공하는 개인키는 외부와는 물리적으로 고립되어 있으며, 장치 제조에서부터 유통 및 사용에 이르기까지 외부로 추출되지 않는다. 물론, 앞서 설명한 비밀키 모듈과 같은 이유에서 물리적 공격에 의한 인위적인 개인키 유출도 불가능하다.
따라서, 개인키 모듈이 제공한 개인키의 외부 유출은 발생하지 않아 사물지능통신(M2M)에서 장치 스스로 생성한 PIN을 통한 기기 인증이 가능하다.
일실시예에 따르면, 개인키 모듈이 생성한 개인키를 이용하여 공개키 생성부는 상기 공개키 암호/복호화 통신 방식에서 장치가 사용할 공개키(public key)를 생성하고, 이는 공개키 저장부에 저장된다. 공개키 저장부는 생성된 공개키를 저장하는 수단으로서 일실시예에 따르면 비휘발성(non volatile) 메모리일 수 있다.
물론, 공개키 저장부는 선택적으로 채용 가능한(employed optionally) 구성으로, 다른 실시예에서는 공개키 저장부 없이 인증이 필요한 경우 마다 공개키 생성부가 생성한 공개키를 읽는 것도 가능하다.
암복호화 프로세서는 통상적인 데이터 암호화와 복호화를 수행하는 Crypto-coprocessor 등으로 이해될 수 있으며, 실제 암호화된 데이터를 통신 네트워크에서 외부와 주고 받는 구성은 통신 인터페이스이다.
실시예에 따르면, 상기 최초 1회 추출된 비밀키는 장치와 보안 통신을 수행할 정당한 권한이 있는 관리 주체인 인증 기관(Certification Authority, CA)과 공개키를 주고 받는 경우에 서로가 정당한 개체임을 확인하는 수단으로만 사용된다.
즉, 최초 1회이기는 하지만 이미 추출된 바 있는 비밀키가 직접 암복호화에 사용되는 것이 아니라, 비밀키는 비밀키 암호화 방식으로 공개키를 외부에 보내는 과정에서만 사용되어, 이중의 보안이 보장된다. 따라서 실제 기기 인증에 사용되는 개인키는 외부로 절대 노출되지 않는다.
이하에서는 공장에서 장치를 제조하는 과정, 장치가 유통 또는 배포되는 과정, 실제로 사용되면서 비밀키 통신 방식으로 공개키를 교환하는 과정, 실제로 장치가 CA나 다른 장치들과 서로의 정당성을 확인하여 통신을 수행하게 되는 과정에 대해 이하 구체적으로 설명한다.
먼저 PUF 구현에 대해 실시예들에서 채택되는 차이점을 종래의 PUF 구현들과 비교하여 설명한 다음 구체적 구현의 일 예로 설명한다.
PUF (Physically Unclonable Function)는 예측 불가능한 (Unpredictable) 디지털 값을 제공할 수 있다. 개개의 PUF들은 정확한 제조 공정이 주어지고, 동일한 공정에서 제조되더라도, 상기 개개의 PUF들이 제공하는 디지털 값은 다르다.
따라서, PUF는 복제가 불가능한 POWF(Physical One-Way Function practically impossible to be duplicated)로 지칭될 수도 있고, 또한 PRF(Physical Random Function)으로 지칭될 수도 있다.
이러한 PUF는 보안 및/또는 인증을 위한 암호 키의 생성에 이용될 수 있다. 이를테면, 디바이스를 다른 디바이스와 구별하기 위한 유니크 키(Unique key to distinguish devices from one another)를 제공하기 위해 PUF가 이용될 수 있다.
종래에는 이러한 PUF를 구현하기 위해 IC의 최 상위 레이어(top layer)에 랜덤하게 도핑(doping)된 입자를 이용하여 코팅(Coating) PUF를 구현하기도 하였고, 래치(latch)와 같은 하드웨어 칩에 일반적으로 쓰이는 CMOS 소자 내부의 공정 변이를 이용하여 FPGA에서도 구현 가능한 최근의 버터플라이(butterfly) PUF 등이 구현되기도 하였다.
그런데, PUF를 PIN 생성에 활용하는 응용이 상용화될 수 있도록 신뢰 가능하려면 PUF 회로 자체의 물리적 복제 불가능성, 생성된 PIN 값의 랜덤성 및 한 번 생성된 PIN의 값이 시간의 흐름에 따라 변화하지 않는 시불변성이 모두 보장되어야 한다.
그러나 종래의 대부분의 PUF 회로들은 PUF 또는 PRF로서 충족시켜야 하는 랜덤성과 값의 시불변성 중 적어도 하나를 높은 수준으로 보장하지 못했기 때문에 상용화에 어려움이 있었다.
실시예들에서 사용되는 PUF는 이러한 종래의 문제점을 해결하여 시불변성과 랜덤성을 굉장히 신뢰할 수 있는 수준으로 보장하면서도 반도체 제작 과정에서 매우 낮은 단가로 생성 가능하다.
일실시예에 따르면, PUF가 생성한 PIN의 랜덤성과 시불변성을 동시에 만족하기 위해 반도체 공정에서 존재하는 노드들 사이의 단락 여부 등에 의한 무작위성을 이용하여 랜덤값을 만들어 낸다.
일실시예에 따른 PUF는 반도체 칩 내의 전도성 레이어(metal) 사이를 전기적으로 연결하기 위해 사용되는 콘택(contact) 또는 비아(via)의 크기를 공정에서 연결 여부가 확실한 크기, 즉 디자인 룰보다 작은 형태로 구현하여, 그 단락 여부가 랜덤하게 결정되게 한다. 즉, 의도적으로 디자인 룰을 위반하여 랜덤한 PIN 값을 생성하는 것이다.
이러한 새로운 PUF 회로는 매우 간단한 단락 회로로 구성되기 때문에 별도의 추가적인 회로나 공정 중의 과정이 없고, 특별한 측정 장치도 필요 없기 때문에, 쉽게 구현이 가능하다. 그리고 공정의 특성을 이용하기 때문에 값의 랜덤성을 유지하면서 안정성을 충족시킬 수 있다.
도 3에서 도시된 바를 참조하여 실시예에 따른 PUF 생성을 구체적으로 설명한다.
반도체 제조 공정에서 메탈 1 레이어(302)와 메탈 2 레이어(301) 사이에 비아들이 형성된 모습의 도시되었다.
비아 사이즈를 디자인 룰에 따라 충분히 크게 한 그룹(310)에서는 모든 비아가 메탈 1 레이어(302)와 메탈 2 레이어(301)을 단락시키고 있으며, 단락 여부를 디지털 값으로 표현하면 모두 0이 된다.
한편, 비아 사이즈를 너무 작게 한 그룹(330)에서는 모든 비아가 메탈 1 레이어(302)와 메탈 2 레이어(301)을 단락시키지 못하고 있다. 따라서 단락 여부를 디지털 값으로 표현하면 모두 1이 된다.
그리고, 비아 사이즈를 그룹(310)과 그룹(330) 사이로 한 그룹(320)에서는, 일부의 비아는 메탈 1 레이어(302)와 메탈 2 레이어(301)을 단락시키고, 다른 일부의 비아는 메탈 1 레이어(302)와 메탈 2 레이어(301)을 단락시키지 못하고 있다.
일실시예에 따른 식별키 생성부는, 그룹(320)와 같이, 일부의 비아는 메탈 1 레이어(302)와 메탈 2 레이어(301)을 단락시키고, 다른 일부의 비아는 메탈 1 레이어(302)와 메탈 2 레이어(301)을 단락시키지 못하도록 비아 사이즈를 설정하여 구성된다.
비아 사이즈에 대한 디자인 룰은 반도체 제조 공정에 따라 상이한데, 이를테면 0.18 미크론(um)의 CMOS(Complementary metal-oxide-semiconductor) 공정에서 비아의 디자인 룰이 0.25 미크론으로 설정된다고 하면, 상기 일실시예에 따른 식별키 생성부에서 비아 사이즈를 0.19 미크론으로 설정하여, 메탈 레이어들 사이의 단락 여부가 확률적으로 분포하도록 한다.
이러한 단락 여부의 확률 분포는 50%의 단락 확률을 갖도록 하는 것이 이상적이며, 일실시예에 따른 비밀키 모듈과 개인키 모듈은 상기 확률 분포가 최대한 50%에 가깝게 비아 사이즈를 설정하여 구성된다. 이러한 비아 사이즈 설정은, 구체적인 특정 반도체 공정에 따라 실험에 의하여 이루어질 수 있다.
이러한 실시예에 의해 PUF가 비밀키 또는 개인키를 랜덤성과 시불변성이 보장되게 제공함으로써 물리적 공격에 대응하기 위한 탬퍼 저항(tamper-resistance)는 필요로 하지 않는다.
디패키징, 레이아웃 분석, 메모리 공격 등의 물리적 공격에 대응하기 위해 암호화 모듈에 주로 사용되는 tamper-resistance는 장치에 대한 해제 시도 시 기억 장치의 내용 소거 등을 통해 장치의 기능을 정상적으로 동작할 수 없도록 하여 내부의 내용을 보호한다. 그러나, 부가적인 보호 장치를 필요로 하거나 구현 수단이 복잡해지므로 비용이 증가할 뿐만 아니라 사용자의 실수 또는 고장에 의해 데이터 소거 등의 의도치 않은 장비 손상의 가능성을 가지고 있다. 그런데, 상기와 같이 도 3에서 설명된 원리에 의해 PUF를 구현하면 이러한 문제점이 없다.
또한, 실시예에 의한 PUF는 내부의 각 셀을 분리하여 관찰하기가 매우 어렵기 때문에 수 만개 내지 수십 만개 게이트의 칩 내부에서 PUF 셀을 골라 그 값을 관찰한다는 것은 거의 불가능에 가깝다.
또한, 일부 PUF는 전원이 들어온 상태에서 동작할 때에만 값이 정해지기 때문에 물리적 공격을 위한 디패키징 등의 과정에서 칩의 일부가 손상될 경우 평소의 값과 다른 값을 갖게 되어 본래 값을 추측하기가 매우 어렵다.
따라서, 본 발명이 PUF를 사용하면 탬퍼 저항과 같은 추가 비용도 요구되지 않으면서, 물리적 공격에 강인한 구성을 가지면서 랜덤성과 시불변성이 유지되는 비밀키와 개인키를 제공할 수 있다.
본 발명은 보안 인증을 위한 인증 키로 사용될 수 있는 PIN을 생성하고, 이 PIN은 한 번 생성된 이후 그 값이 주변 환경에 따라 변경되지 않는 시불변(Time-invariant)의 디지털 값으로 이러한 PIN은 외부로 노출되지 않으므로, 장치(단말기)의 인증 체계에 대한 보안 위협에 대한 방지가 가능한,PUF를 기반으로 하는 보안에 양자보안 기술을 적용하여보다 안전한 로그(Log) 보안인증 및 3채널 양자보안 인증 기술을 적용한 차별성을 갖는다.
일 실시 예로,
PUF Chip은 시스템 온 칩(SoC; System On Chip)으로 구성되어 부트 ROM(Boot Read Only Memory), 메인 CPU(Central Processing Unit), 입출력 포트(I/O Port), 보안 MCU(Machine Control Unit), SoC 메모리, PUF 하드웨어 핀(H/W PIN), SPI(Serial Peripheral Interface) 컨트롤러로 구성된다.
종래에 메인 CPU가 부트 ROM를 부팅하면 디버거 인터페이스(Debug interface)도 동시에 입출력 포트를 통해 연결 상태로 디버깅 동작을 하게 되어 있다.
그래서 이 디버거 인터페이스를 통하여 외부에서 시스템 온 칩 내부 프로그램 및 데이터에 억세스 할 수 있었다.
이런 상태에서는 시스템 온 칩 내부 데이터를 보호할 수 있는 보안 대책이 없게 된다.
한편, 보안 MCU가 SoC 메모리에 저장된 보안키와 유니크한 PUF 하드웨어 핀으로부터의 보안키를 이용하여 데이터보안을 위한 동작을 한다.
하지만, 이들 SoC 메모리와 PUF 하드웨어 핀은 모두 PUF Chip 내부에 구비되어 있어서, 디버거 인터페이스를 통한 외부로부터의 접근에 의하여 그 동작이나 값이 변경될 수도 있고, 메인 CPU 또는 보안 MCU의 동작 자체가 정지될 여지도 있다.
따라서 디버거 인터페이스가 입출력 포트를 통해 연결 상태로 디버깅 동작되는 한, 실질적인 의미의 보안은 불가능하다는 문제가 있었다.
본 발명은 상기 종래기술의 문제를 해소하기 위한 것으로서, 보안기능을 가지는 시스템 온 칩 형태의 PUF Chip으로 데이터보안 강화를 위한 목적으로 PUF Chip 내부 SoC 메모리 억세스 제한, 메인 CPU, 보안 MCU의 프로그램 변조가 검출되는 경우에는 부트 ROM이 부팅을 못하도록 작동 제한하는 시스템 온 칩(SoC; System On Chip)의 보안방법을 제공하고자 하는 것이다.
또한, 시스템 온 칩(SoC; System On Chip)를 대체하여 USB(Universal Serial Bus) 또는 보드(Board) 타입으로도 구현한다.
도 6과 같이, 메인 CPU에 보안 MCU를 추가로 더 포함할 경우, 보안 알고리즘을 구현하는 하드웨어로서, 메인 CPU의 컨트롤을 받아서 빠른 속도로 처리해야 하는 연산부분을 담당한다.
상기 메인 CPU는 양자난수(QRANG), 의사난수(PRANG) 유니크한 PUF의 PIN 데이터 등 난수로부터 생성된 대칭키 또는 비대칭키의 일치 여부를 판단하고, 일치하는 경우에만 부트 ROM이 부팅 되도록 한다.
본 발명에서는 어플리케이션 프로그램을 보호하는 장치를 마련하여, 해커가 디버거 인터페이스 또는 직렬인터페이스 버스(SPI; Serial Peripheral Interface Bus)를 통해 메인 CPU 어플리케이션 프로그램을 변경하는 경우, 입출력 포트를 차단 및 부트 ROM이 부팅을 못하도록 한다.
일 실시 예로,
도 1을 참고하여 상세히 설명한다.
PUF Chip의 제조공정 중 발생하는 물리적 공정편차를 이용해 PIN 데이터를 생성하여 대칭키를 생성한다.
양자난수생성기를 통해 발생하는 양자난수로 상기 대칭키를 암호화하여 비대칭키를 생성한다.
상기 비대칭키에 양자난수생성기 또는 의사난수생성기 중 어느 하나를 통해 다시 비대칭키를 생성하되, 의사난수생성기를 통해 생성되는 비대칭키는 난수발생에 사용한 난수발생 해시(암호화)함수를 새로 생성되는 비대칭키에 포함하여 저장되는 것을 특징으로 한다.
도 1을 참고하면, PUF Chip의 PIN 데이터를 통해 대칭키 1을 생성한 후 양자난수발생기(QRANG)를 통해서 암호화하여 비대칭키 1을 생성한다.
상기 비대칭키 1을 통해 생성된 암호문은 대칭키 1을 통해서만 복호화되어 해독이 가능하다.
의사난수생성기(PRANG)에 해시함수 1을 넣어 의사난수 1을 발생하면 비대칭키 1을 의사난수 1로 다시 암호화하여 비대칭키 2를 생성하되 상기 해시함수 1을 포함하여 비대칭키 2에 저장한다.
상기 비대칭키 2을 통해 생성된 암호문은 비대칭키 1을 통해서만 복호화되어 해독이 가능하다.
의사난수생성기(PRANG)에 해시함수 2을 넣어 의사난수 2을 발생하면 비대칭키 2을 의사난수 2로 다시 암호화하여 비대칭키 3를 생성하되 상기 해시함수 2을 포함하여 비대칭키 3에 저장하여 최종적으로 비대칭키 3은 해시함수 1, 2를 저장하여 상기 비대칭키 3을 통해 생성된 암호문(암호화 데이터)은 비대칭키 1 또는 2을 통해서 복호화되어 해독이 가능한 것으로 상기 과정을 통해 제n 비대칭키를 생성하거나, 도 1과 같이 비대칭키 2에 양자난수생성기를(QRANG)를 통해 발생하는 양자난수로 암호화하여 비대칭키 3을 생성할 수 있다.
양자난수생성기 및 의사난수생기를 통해 하위 비대칭키를 생성함에 있어 복호화에 차별성이 발생한다.
도5 에서 PUF Chip 탑재 보안단말기는 비대칭키 1-3를 통해서 암호화된 데이터는 비대칭키 1-2 및 비대칭키 1-1 및 비대칭키 1 및 대칭키 1를 통해 복호화될 수 있다.
이 과정에서 의사난수생성기의 의사난수 발생 해시함수가 순서대로 저장되어 있어, 대칭키 1은 비대칭키 1, 1-1, 1-2, 1-3 각 각에서 만든 모든 암호문을 복호화할 수 있으나, 비대칭키 1은 1-1, 1-2, 1-3 각 각에서 만든 모든 암호문을 복호화할 수 있고, 같은 방법으로 비대칭키 1-1은 1-2, 1-3에서 만든 암호문만 복호화가 가능하다.
그러나, 도 1과 같이 PUF 탑재 보안단말기가 비대칭키 3-2를 보유하고 암호문을 만들 경우, 비대칭키 2 및 비대칭키 3 및 비대칭키 3-1은 비대칭키 3-2로 만든 암호문을 복호화할 수 있지만, 비대칭키 3는 양자난수로 암호화(의사난수 발생 해시함수가 아닌 무작위 양자난수로 암호화)되어, 비대칭키 3-2가 해킹될 경우 해시함수를 계속 디버거 해킹을 통해 비대칭키 3-1 및 비대칭키 3까지 해킹이 가능하나 양자난수발생기를 통해 생성된 비대칭키 2는 해킹이 불가능한 것을 특징으로 한다.
즉, 양자난수를 통해 생성된 비대칭키는 이후의 의사난수생성기로 생성한 하위 비대칭키를 복호화할 수 있으나, 양자난수를 통해 생성된 비대칭키 전에 비대칭키는 양자난수를 통해 생성한 비대칭키만 복호화가 되고 그 이상은 양자컴퓨터로도 해킹이 불가능하다.
즉 PUF를 통해 추출한 최초 PIN 데이터를 생성하는 제조 공장에서 조차도 양자난수 암호화 단계 이후로는 해킹이 불가능하다.
결론적으로, PUF 제조공장에서 추출한 최초 PIN 데이터가 해킹, 유출되더라도 구매자(사용자)가 중간에 양자난수를 통해 자체 암호화를 한 이후에는 해킹이 불가능하다.
예를 들어 도 1에서 비대칭키 3, 3-1, 3-1, 3-2, 3-3를 생성한 후 비대칭키 2를 폐기해 버리면 제조사와 무관하게 PUF Chip 탑재 보안단말기를 인증받을 수 있게 된다.
또한, 비대칭키 3과 3-1, 사이를 양자난수로 암호화하여 사용이 가능하다.
신규로 생성되는 순서대로 비대칭키가 하위 비대칭키 대비 대칭키가 된다.
일 실시 예로,
보안단말기는 양자난수생성기 및 PUF PIN 데이터 생성기로 구성되어, 양자난수생성기는 난수소스발생기, 양자검출 다이오드, 양자랜덤펄스 생성기, 양자난수 제어부로 구성되고, 상기 양자검출 다이오드는 양자입자를 방출하는 난수소스발생기로 부터 발생하는 양자입자를 검출하고, 상기 양자랜덤펄스 생성기는 상기 양자검출 다이오드로부터 양자입자 이벤트를 검출하여 양자입자의 검출에 상응하는 랜덤펄스를 발생하고, 상기 양자난수 제어부는 상기 양자랜덤펄스 생성기를 통해 발생하는 무작위 난수소스로 양자난수를 생성하여 대칭암호키를 생성하는 마이크로프로세서로 구성되고, PUF PIN 데이터 생성기는 PUF Chip 및 주제어부로 구성되어,
주제어부는 PUF Chip의 PIN 데이터로 상기 양자난수생성기에서 생성한 대칭암호키를 암호화하여 비대칭암호키를 암호화 생성한다.
일 실시 예로,
보안단말기는 양자난수생성기 및 PUF PIN 데이터 생성기로 구성되어, PUF PIN 데이터 생성기는 PUF Chip 및 주제어부로 구성되어, 상기 주제어부는 PUF Chip의 PIN 데이터로 대칭암호키를 생성하며; 양자난수생성기는 난수소스발생기, 양자검출 다이오드, 양자랜덤펄스 생성기, 양자난수 제어부로 구성되고, 상기 양자검출 다이오드는 양자입자를 방출하는 난수소스발생기로 부터 발생하는 양자입자를 검출하고, 상기 양자랜덤펄스 생성기는 상기 양자검출 다이오드로부터 양자입자 이벤트를 검출하여 양자입자의 검출에 상응하는 랜덤펄스를 발생하고, 상기 양자난수 제어부는 상기 양자랜덤펄스 생성기를 통해 발생하는 무작위 난수소스로 양자난수를 생성하며; 양자난수 제어부는 상기 양자난수로 상기 대칭암호키를 암호화하여 비대칭암호키를 암호화 생성한다.
일 실시 예로,
PUF Chip의 제조공정 중 발생하는 물리적 공정편차를 이용해 PIN 데이터를 생성하여 대칭암호키를 생성한다.
양자난수생성기를 통해 발생하는 양자난수로 상기 대칭암호키를 암호화하여 비대칭암호키를 생성한다.
상기 비대칭암호키에 양자난수생성기 또는 의사난수생성기 중 어느 하나를 통해 다시 비대칭암호키를 생성하되, 의사난수생성기를 통해 생성되는 비대칭암호키는 난수발생 해시함수를 새로 생성되는 비대칭암호키에 포함하여 저장되는 것을 특징으로 한다.
일 실시 예로,
PUF Chip의 제조공정 중 발생하는 물리적 공정편차를 이용해 PIN 데이터를 생성하여 대칭암호키를 생성한다.
양자난수생성기를 통해 발생하는 양자난수로 상기 대칭암호키를 암호화하여 비대칭암호키를 생성한다.
의사난수생성기는 난수발생 해시함수로 의사난수를 발생하여 새로운 의사난수를 생성한 후 상기 비대칭암호키를 암호화하여 새로운 비대칭암호키를 생성하되, 의사난수생성기를 통해 생성되는 새로운 비대칭암호키는 난수발생 해시함수를 새로 생성되는 비대칭암호키에 포함하여 저장되는 것을 특징으로 한다.
일 실시 예로,
PUF Chip의 제조공정 중 발생하는 물리적 공정편차를 이용해 PIN 데이터를 생성하여 제1 암호키를 생성하는 제 1 단계;
양자난수생성기를 통해 발생하는 양자난수로 상기 제1 암호키를 암호화하여 제2 암호키를 생성하는 제 2 단계;
상기 제2 칭암호키를 양자난수생성기 또는 의사난수생성기 중 어느 하나를 통해 생성된 난수로 암호화하여 제2 암호키를 생성하되,
의사난수생성기를 통해 생성된 난수는 난수발생 해시함수로 제2 암호키에 포함하여 저장하는 제 3 단계;
상기 제 2 단계 및 3 단계를 N회 반복하는 제 4 단계를 특징으로 하는 PUF-QRNG을 통한 암호키 생성 방법.
일 실시 예로,
PUF Chip의 제조공정 중 발생하는 물리적 공정편차를 이용해 PIN 데이터를 생성하여 제1 암호키를 생성하며;
양자난수생성기를 통해 발생하는 양자난수로 상기 제1 암호키를 암호화하여 제2 암호키를 생성하며;
의사난수생성기의 난수발생 해시함수로 발생된 난수로 상기 제1 암호키를 암호화하여 제2 암호키를 생성하되,
난수발생 해시함수를 제2 암호키에 포함하여 저장되는 것을 특징으로 하는 PUF-QRNG을 통한 암호키 생성 방법.
하위 암호키는 상위 암호키를 생성한 해쉬함수를 포함하므로, 상위 암호키의 복호화가 가능하며, 해킹 공격시 의사난수로 생성한 암호키는 하위 암호키에서 부터 상위 암호키로 디버거 해킹이 가능하나, 양자난수로 생성한 암호키는 디버깅 해킹이 불가능하다,
PUF Chip를 통해 추출한 PIN 데이터를 통해 생성한 대칭암호키는 상기 PUF Chip를 탑재한 보안단말기가 비대칭암호키로 인증 또는 로그인 요청이 있을 경우 인증 또는 로그인을 위해 사용된다.
일 실시 예로,
PUF Chip은 시스템 온 칩(SoC; System On Chip)으로 부트 ROM(Boot Read Only Memory), CPU(Central Processing Unit), 입출력 포트(I/O Port), 보안 MCU(Machine Control Unit), SoC 메모리, PUF 하드웨어 핀(H/W PIN), SPI(Serial Peripheral Interface) 컨트롤러로 구성된다.
CPU는 보안 MCU, 부트 ROM, SoC 메모리, 입출력 포트, PUF 하드웨어 핀, SPI 컨트롤러를 제어한다.
상기 CPU는 보안 MCU를 제어하여 PUF 하드웨어 핀에서 PIN(Personal Identification Number) 데이터를 추출하여 SoC 메모리 및 네트워크망에 연결된 보안플랫폼 내부 고속양자난수생성기의 플랫폼 메모리에 저장된다.
상기 CPU는 SPI 컨트롤러를 제어하여 저속단말 난수소스발생기를 통해 발생하는 양자난수를 수신하여 보안 MCU로 전송한다.
보안 MCU는 SoC 메모리에 PIN 데이터로 단말대칭암호키를 생성 후 상기 저속단말 난수소스발생기를 통해 생성한 양자난수로 단말대칭암호키를 암호화하여 단말비대칭암호키를 생성한다.
상기 CPU는 입출력 포트를 통해 수신하는 단말비대칭암호키로 암호화된 PIN 데이터가 수신될 경우, 단말대칭암호키로 복호화하여 SoC 메모리에 저장된 PIN 데이터로 일치할 경우 입출력포트를 통해 디버거 인터페이스를 연결 및 네트워크망 스위치를 로그인(Log-in) 연결하는 것으로,
양자단말기는 Modem Chip, 메인 MCU, Power Amp, 저속단말 양자난수생성기로 구성된다.
저속단말 양자난수생성기는 저속단말 난수소스발생기, PUF(Phisycally Unclonable Function) Chip을 포함하여 구성되어, PUF Chip 내부의 보안 MCU가 PUF 하드웨어 핀에서 추출한 PIN 데이터로 단말대칭암호키를 생성 후 상기 저속단말 난수소스발생기를 통해 생성한 양자난수로 단말대칭암호키를 암호화하여 단말비대칭암호키를 생성한, 단말대칭암호키 및 단말비대칭암호키를 상기 양자단말기 내부의 메인 MCU로 전송한다.
상기 메인 MCU(Micro Control Unit)는 상기 단말비대칭암호키 및 Modem Chip 또는 MCU의 MAC Address(Media Access Control Address) 데이터를 Power Amp에서 증폭하여 Modem Chip을 통해 보안플랫폼으로 전송하고, 상기 보안플랫폼은 상기 단말비대칭암호키 및 MAC Address 데이터를 클라우드서버로 전송하고, 보안플랫폼 내부의 고속양자난수생성기는 고속난수소스발생기, 플랫폼 메모리를 포함하여 구성된다.
플랫폼 메모리에 저장된 PIN 데이터를 통해 고속대칭암호키를 생성 후 고속난수소스발생기를 통해 고속대칭암호키를 암호화하여 고속비대칭암호키를 생성하여, 고속대칭암호키 및 고속비대칭암호키를 클라우드서버로 전송한다.
클라우드서버는 양자단말기 MAC Address의 Modem Chip으로 단말비대칭암호키로 고속비대칭암호키를 암호화하여 전송하고, 양자단말기는 단말대칭암호키를 통해 상기 단말비대칭암호키로 암호화한 고속비대칭암호키를 복호화하고, 양자단말기는 고속비대칭암호키로 암호화한 단말대칭암호키를 클라우드서버로 전송하면, 클라우드서버는 고속대칭암호키로 단말대칭암호키를 복호화하고, 클라우드서버는 단말비대칭암호키로 암호화한 고속대칭암호키를 양자단말기로 전송하면, 양자단말기는 단말대칭암호키로 고속대칭암호키를 복호화하고, 양자단말기에서 클라우드서버 단방향으로 데이터를 전송할 경우 고속대칭암호키로 암호화하여 전송하고, 클라우드서버에서 양자단말기 단방향으로 데이터를 전송할 경우 단말대칭암호키로 암호화하여 전송하는 고속 터널링 데이터통신을 한다.
상기 고속 터널링 데이터통신이 끊기면 양자난수발생기에 의해 생성된 단말대칭암호키와 고속대칭암호키는 소멸되나, 상기 고속 터널링 데이터통신이 끊겨 양자난수발생기에 의해 생성된 단말대칭암호키와 고속대칭암호키가 소멸되기 전에 고속 터널링 데이터통신에 있어서,
클라우드 로컬서버 내부의 저속로컬 양자난수생성기는 저속로컬 난수소스발생기, 저속로컬 의사난수생성기를 포함하여 구성되어, 저속로컬 난수소스발생기를 통해 로컬대칭암호키를 생성하고, 저속로컬 의사난수생성기를 통해 상기 로컬대칭암호키에서 로컬비대칭암호키를 생성하고, 클라우드 로컬서버는 로컬비대칭암호키를 클라우드서버로 전송 및 클라우드서버는 로컬비대칭암호키로 암호화한 고속비대칭암호키를 클라우드 로컬서버로 전송하고, 클라우드 로컬서버는 로컬비대칭암호키로 암호화한 고속비대칭암호키를 로컬대칭암호키로 고속비대칭암호키를 복호화하고, 클라우드 로컬서버는 고속비대칭암호키로 암호화한 로컬대칭암호키를 클라우드서버로 전송하며, 클라우드서버는 로컬비대칭암호키로 암호화한 고속대칭암호키 및 단말대칭암호키를 클라우드 로컬서버로 전송하고, 클라우드 로컬서버는 로컬대칭암호키로 고속대칭암호키 및 단말대칭암호키 를 복호화하고, 클라우드서버는 단말비대칭암호키로 암호화한 로컬대칭암호키를 양자단말기로 전송하면, 양자단말기는 단말대칭암호키를 통해 단말비대칭암호키로 암호화한 로컬대칭암호키를 복호화하고, 클라우드서버, 클라우드 로컬서버, 양자단말기는 고속대칭암호키, 로컬대칭암호키 및 단말대칭암호키를 서로 상호 공유하여 3채널 고속 터널링 데이터통신을 하고, 상기 3채널 고속 터널링 데이터통신 종료시 고속대칭암호키, 로컬대칭암호키, 단말대칭암호키, 고속비대칭암호키, 로컬비대칭암호키, 단말비대칭암호키가 모두 소멸되는 것을 특징으로 하는 PUF-QRNG 보안단말기 시스템이다.
일 실시 예로,
PUF Chip은 시스템 온 칩(SoC; System On Chip)으로 부트 ROM(Boot Read Only Memory), CPU(Central Processing Unit), 입출력 포트(I/O Port), 보안 MCU(Machine Control Unit), SoC 메모리, PUF 하드웨어 핀(H/W PIN), SPI(Serial Peripheral Interface) 컨트롤러로 구성된다.
CPU는 보안 MCU, 부트 ROM, SoC 메모리, 입출력 포트, PUF 하드웨어 핀, SPI 컨트롤러를 제어한다.
상기 CPU는 보안 MCU를 제어하여 PUF 하드웨어 핀에서 PIN(Personal Identification Number) 데이터를 추출하여 SoC 메모리 및 네트워크망에 연결된 보안플랫폼 내부 고속양자난수생성기의 플랫폼 메모리에 저장된다.
상기 CPU는 SPI 컨트롤러를 제어하여 양자난수생성기(QRNG)를 통해 발생하는 양자난수를 통해 생성한 대칭암호키를 수신하여 보안 MCU로 전송한다.
보안 MCU는 SoC 메모리에 PIN 데이터로 상기 양자난수생성기를 통해 생성한 대칭암호키를 암호화하여 비대칭암호키를 생성한다.
상기 CPU는 입출력 포트를 통해 수신하는 비대칭암호키로 암호화된 PIN 데이터가 수신될 경우, 대칭암호키로 복호화하여 SoC 메모리에 저장된 PIN 데이터로 일치할 경우 입출력포트를 통해 디버거 인터페이스를 연결 및 네트워크망 스위치를 로그인(Log-in) 연결한다.
일 실시 예로,
한 쌍의 VPN를 통한 종래의 보안대책에 비해 복제 불가능한 물리적 PUF Chip의 단일 PIN 데이터와 양자난수생성기의 무작위 자연난수를 이용한 1회용 OTP 양자암호키를 통하여 단방향으로만 데이터를 전송하는 단방향 암호키 적용을 통해 보안대책을 강화하여 양자단말기와 통합제어서버 사이에만 양방향 터널링 데이터통신을 개통하는 것으로, PUF Chip은 양자단말기에 장착되는 것으로, 양자단말기 내부의 MCU는 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 PIN 데이터를 생성하고, 상기 PIN 데이터는 통합제어서버 내부 플랫폼 메모리에 저장된다.
통합제어서버는 양자난수생성기, 플랫폼 메모리를 포함하여 구성된다.
양자난수생성기는 난수소스 발생기, 양자검출 다이오드, 양자랜덤펄스 생성기, 양자난수 제어부로 구성되어, 난수소스 발생기는 양자입자를 방출하고, 양자검출 다이오드는 상기 난수소스 발생기로부터 발생하는 양자입자를 검출하고, 양자랜덤펄스 생성기는 상기 양자검출 다이오드로부터 양자입자 이벤트를 검출하여 양자입자의 검출에 상응하는 랜덤펄스를 발생하고, 양자난수 제어부는 마이크로프로세서로 구성되어, 상기 양자랜덤펄스 생성기를 통해 발생하는 랜덤펄스 난수소스로 양자난수를 생성하여 대칭암호키를 생성하고, 플랫폼 메모리에 저장된 PIN 데이터로 상기 대칭암호키를 암호화하여 비대칭암호키를 생성한다.
통합제어서버는 양자단말기 Modem Chip의 MAC Address로 비대칭암호키를 전송하고, 양자단말기는 Modem Chip, MCU, Power Amp, PUF Chip을 포함하여 구성되고, MCU는 Modem Chip를 통해 비대칭암호키를 수신하여 Modem Chip의 MAC Address와 PUF Chip의 PIN 데이터를 비대칭암호키로 암호화한 데이터를 Power Amp에서 증폭하여 Modem Chip을 통해 통합제어서버로 전송하고, 통합제어서버는 비대칭암호키로 암호화한 데이터를 대칭암호키로 복호화한 PUF Chip의 PIN 데이터와 양자단말기 Modem Chip의 MAC Address와 일치하는 사용자일 경우, 통합제어서버와 양자단말기 사이에 사용자 로그인(Log-in) 양방향 터널링 데이터통신을 개통하는 것을 특징으로 한다.
일 실시 예로,
PUF Chip은 단말기에 장착되는 것으로, 단말기 내부의 MCU는 고유의 PIN 데이터를 생성하고, 상기 PIN 데이터는 제어서버 내부의 플랫폼 메모리에 저장된다.
제어서버는 난수생성기, 플랫폼 메모리를 포함하여 구성된다.
제어서버는 난수생성기를 통해 발생한 무작위 난수로 대칭암호키를 생성하고, 플랫폼 메모리에 저장된 PIN 데이터로 상기 대칭암호키를 암호화하여 비대칭암호키를 암호화 생성한다.
제어서버는 단말기로 상기 비대칭암호키를 전송하고, 단말기는 MCU 및 PUF Chip을 포함하여 구성되어, MCU는 상기 비대칭암호키를 수신하여 PUF Chip의 PIN 데이터를 비대칭암호키로 암호화한 데이터를 제어서버로 전송한다.
제어서버는 비대칭암호키로 암호화한 데이터를 대칭암호키로 복호화한 PUF Chip의 PIN 데이터와 플랫폼 메모리에 저장된 PIN 데이터가 일치할 경우, 제어서버와 양자단말기 사이에 사용자 로그인(Log-in) 양방향 터널링 데이터통신을 개통하는 것을 특징으로 한다.
일 실시 예로,
PUF Chip은 양자단말기에 장착되는 것으로, 양자단말기 내부의 MCU는 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 PIN 데이터를 생성하고, 상기 PIN 데이터는 제어서버 내부 플랫폼 메모리에 저장된다.
제어서버는 양자난수생성기, 플랫폼 메모리를 포함하여 구성된다.
양자난수생성기는 난수소스 발생기, 양자검출 다이오드, 양자랜덤펄스 생성기, 양자난수 제어부로 구성되어, 난수소스 발생기는 양자입자를 방출하고, 양자검출 다이오드는 상기 난수소스 발생기로부터 발생하는 양자입자를 검출하고, 양자랜덤펄스 생성기는 상기 양자검출 다이오드로부터 양자입자 이벤트를 검출하여 양자입자의 검출에 상응하는 랜덤펄스를 발생하여 무작위 난수소스를 생성하고, 양자난수 제어부는 마이크로프로세서로 구성되어, 플랫폼 메모리에 저장된 PIN 데이터를 통해 대칭암호키를 생성하고, 양자난수 제어부는 상기 양자랜덤펄스 생성기를 통해 생성한 무작위 난수소스로 양자난수를 생성하고, 양자난수 제어부는 상기 양자난수로 상기 대칭암호키를 암호화하여 비대칭암호키를 생성한다.
제어서버는 양자단말기 Modem Chip의 MAC Address로 비대칭암호키를 전송하고, 양자단말기는 Modem Chip, MCU, Power Amp, PUF Chip을 포함하여 구성되고, MCU는 Modem Chip를 통해 비대칭암호키를 수신하여 Modem Chip의 MAC Address와 PUF Chip의 PIN 데이터를 비대칭암호키로 암호화한 데이터를 Power Amp에서 증폭하여 Modem Chip을 통해 제어서버로 전송하고, 제어서버는 비대칭암호키로 암호화한 데이터를 대칭암호키로 복호화한 PUF Chip의 PIN 데이터와 양자단말기 Modem Chip의 MAC Address와 일치하는 사용자일 경우, 제어서버와 양자단말기 사이에 사용자 로그인(Log-in) 양방향 터널링 데이터통신을 개통하는 것을 특징으로 한다.
일 실시 예로,
PUF Chip은 단말기에 장착되는 것으로, 단말기 내부의 MCU는 고유의 PIN 데이터를 생성하고, 상기 PIN 데이터는 제어서버 내부의 플랫폼 메모리에 저장된다.
제어서버는 난수생성기, 플랫폼 메모리를 포함하여 구성된다.
제어서버는 난수생성기를 통해 무작위 난수를 생성하고, 제어서버는 플랫폼 메모리에 저장된 PIN 데이터로 대칭암호키를 생성하고, 상기 무작위 난수로 상기 대칭암호키를 암호화하여 비대칭암호키를 생성한다.
제어서버는 단말기로 상기 비대칭암호키를 전송한다.
단말기는 MCU 및 PUF Chip을 포함하여 구성되어, MCU는 상기 비대칭암호키를 수신하여 PUF Chip의 PIN 데이터를 비대칭암호키로 암호화한 데이터를 제어서버로 전송한다.
제어서버는 비대칭암호키로 암호화한 데이터를 대칭암호키로 복호화한 PUF Chip의 PIN 데이터와 플랫폼 메모리에 저장된 PIN 데이터가 일치할 경우, 제어서버와 양자단말기 사이에 사용자 로그인(Log-in) 양방향 터널링 데이터통신을 개통하는 것을 특징으로 한다.
일 실시 예로,
리모트서버는 리모트 PUF Chip, 리모트난수생성기, 리모트메모리, 리모트제어부를 포함하여 구성된다.
상기 리모트제어부는 리모트 PUF Chip의 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 리모트 PIN 데이터를 생성하여 리모트대칭암호키를 생성한다.
상기 리모트제어부는 상기 리모트난수생성기를 통해 무작위 난수를 발생하여, 상기 리모트대칭암호키를 암호화하여 리모트비대칭암호키를 생성한다.
상기 리모트대칭암호키는 로컬서버 내부 로컬메모리에 저장된다.
로컬서버는 로컬 PUF Chip, 로컬양자난수생성기, 로컬메모리, 로컬제어부를 포함하여 구성된다.
상기 로컬제어부는 로컬 PUF Chip의 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 로컬 PIN 데이터를 생성하여 로컬대칭암호키를 생성한다.
상기 로컬제어부는 상기 로컬양자난수생성기를 통해 무작위 난수를 발생하여, 상기 로컬대칭암호키를 암호화하여 로컬비대칭암호키를 생성한다.
상기 로컬대칭암호키는 리모트서버 내부 리모트메모리에 저장된다.
리모트서버가 로컬서버로 양방향 터널링 데이터통신 요청 로그인(Log-in)하면, 로컬서버는 리모트서버 IP Address로 로컬비대칭암호키를 전송한다.
리모트서버는 로컬비대칭암호키를 수신하여 로컬서버 IP Address로 리모트 대칭암호키를 로컬비대칭암호키로 암호화한 리모트암호키를 로컬서버로 전송한다.
로컬서버는 상기 리모트암호키를 로컬대칭암호키로 복호화한 리모트대칭암호키와 로컬메모리에 저장된 리모트대칭암호키가 일치할 경우, 로컬서버와 리모트서버 사이에 로그인(Log-in) 양방향 터널링 데이터통신을 개통한다.
로그아웃(Log-in)시 로컬비대칭암호키, 리모트암호키가 삭제된다.
로컬서버가 리모트서버로 양방향 터널링 데이터통신 요청 로그인(Log-in)할 경우, 리모트서버는 로컬서버 IP Address로 리모트비대칭암호키를 전송한다.
로컬서버는 리모트비대칭암호키를 수신하여 리모트서버 IP Address로 로컬 대칭암호키를 리모트비대칭암호키로 암호화한 로컬암호키를 리모트서버로 전송한다.
리모트서버는 상기 로컬암호키를 리모트대칭암호키로 복호화한 로컬대칭암호키와 리모트메모리에 저장된 로컬대칭암호키가 일치할 경우, 리모트서버와 로컬서버 사이에 로그인(Log-in) 양방향 터널링 데이터통신을 개통한다.
로그아웃(Log-in)시 리모트비대칭암호키, 로컬암호키가 삭제되는 것을 특징으로 한다.
일 실시 예로,
리모트서버는 리모트 PUF Chip, 리모트난수생성기, 리모트메모리, 리모트제어부를 포함하여 구성된다.
상기 리모트난수생성기는 리모트대칭암호키를 생성한다.
상기 리모트제어부는 리모트 PUF Chip의 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 리모트 PIN 데이터를 생성하여 상기 리모트대칭암호키를 암호화하여 리모트비대칭암호키를 생성한다.
상기 리모트대칭암호키는 로컬서버 내부 로컬메모리에 저장된다.
로컬서버는 로컬 PUF Chip, 로컬양자난수생성기, 로컬메모리, 로컬제어부를 포함하여 구성된다.
상기 로컬양자난수생성기는 로컬대칭암호키를 생성한다.
상기 로컬제어부는 로컬 PUF Chip의 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 로컬 PIN 데이터를 생성하여 상기 로컬대칭암호키를 암호화하여 로컬비대칭암호키를 생성한다.
상기 로컬대칭암호키는 리모트서버 내부 리모트메모리에 저장된다.
리모트서버가 로컬서버로 양방향 터널링 데이터통신 요청 로그인(Log-in)하면, 로컬서버는 리모트서버 IP Address로 로컬비대칭암호키를 전송한다.
리모트서버는 로컬비대칭암호키를 수신하여 로컬서버 IP Address로 리모트대칭암호키를 로컬비대칭암호키로 암호화한 리모트암호키를 로컬서버로 전송한다.
로컬서버는 상기 리모트암호키를 로컬대칭암호키로 복호화한 리모트대칭암호키와 로컬메모리에 저장된 리모트대칭암호키가 일치할 경우, 로컬서버와 리모트서버 사이에 로그인(Log-in) 양방향 터널링 데이터통신을 개통한다.
로그아웃(Log-in)시 로컬비대칭암호키, 리모트암호키가 삭제된다.
로컬서버가 리모트서버로 양방향 터널링 데이터통신 요청 로그인(Log-in)할 경우, 리모트서버는 로컬서버 IP Address로 리모트비대칭암호키를 전송한다.
로컬서버는 리모트비대칭암호키를 수신하여 리모트서버 IP Address로 로컬 대칭암호키를 리모트비대칭암호키로 암호화한 로컬암호키를 리모트서버로 전송한다.
리모트서버는 상기 로컬암호키를 리모트대칭암호키로 복호화한 로컬대칭암호키와 리모트메모리에 저장된 로컬대칭암호가 일치할 경우, 리모트서버와 로컬서버 사이에 로그인(Log-in) 양방향 터널링 데이터통신을 개통한다.
로그아웃(Log-in)시 리모트비대칭암호키, 로컬암호키가 삭제되는 것을 특징으로 한다.
일 실시 예로,
리모트 USB(Universal Serial Bus)는 리모트 PUF Chip, 리모트난수생성기, 리모트메모리, 리모트제어부를 포함하여 구성된다.
상기 리모트제어부는 리모트 PUF Chip의 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 리모트 PIN 데이터를 생성하여 리모트대칭암호키를 생성한다.
상기 리모트제어부는 상기 리모트난수생성기를 통해 무작위 난수를 발생하여, 상기 리모트대칭암호키를 암호화하여 리모트비대칭암호키를 생성한다.
상기 리모트대칭암호키는 로컬 USB 내부 로컬메모리에 저장된다.
로컬 USB(Universal Serial Bus)는 로컬 PUF Chip, 로컬양자난수생성기, 로컬메모리, 로컬제어부를 포함하여 구성된다.
상기 로컬제어부는 로컬 PUF Chip의 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 로컬 PIN 데이터를 생성하여 로컬대칭암호키를 생성한다.
상기 로컬제어부는 상기 로컬양자난수생성기를 통해 무작위 난수를 발생하여, 상기 로컬대칭암호키를 암호화하여 로컬비대칭암호키를 생성한다.
상기 로컬대칭암호키는 리모트 USB 내부 리모트메모리에 저장된다.
리모트 USB가 로컬 USB로 양방향 터널링 데이터통신 요청 로그인(Log-in)하면, 로컬 USB는 리모트 USB의 IP Address로 로컬비대칭암호키를 전송한다.
리모트 USB는 로컬비대칭암호키를 수신하여 로컬 USB의 IP Address로 리모트 대칭암호키를 로컬비대칭암호키로 암호화한 리모트암호키를 로컬 USB로 전송한다.
로컬 USB는 상기 리모트암호키를 로컬대칭암호키로 복호화한 리모트대칭암호키와 로컬메모리에 저장된 리모트대칭암호키가 일치할 경우, 로컬 USB와 리모트 USB 사이에 로그인(Log-in) 양방향 터널링 데이터통신을 개통한다.
로그아웃(Log-in)시 로컬비대칭암호키, 리모트암호키가 삭제된다.
로컬 USB가 리모트 USB로 양방향 터널링 데이터통신 요청 로그인(Log-in)할 경우, 리모트 USB는 로컬 USB의 IP Address로 리모트비대칭암호키를 전송한다.
로컬 USB는 리모트비대칭암호키를 수신하여 리모트 USB의 IP Address로 로컬 대칭암호키를 리모트비대칭암호키로 암호화한 로컬암호키를 리모트 USB로 전송한다.
리모트 USB는 상기 로컬암호키를 리모트대칭암호키로 복호화한 로컬대칭암호키와 리모트메모리에 저장된 로컬대칭암호키가 일치할 경우, 리모트 USB와 로컬 USB 사이에 로그인(Log-in) 양방향 터널링 데이터통신을 개통한다.
로그아웃(Log-in)시 리모트비대칭암호키, 로컬암호키가 삭제되는 것을 특징으로 한다.
일 실시 예로,
도 4를 참고로 설명한다. 양자난수 생성기는 난수소스발생기, 양자검출 다이오드, 양자랜덤펄스 생성기, 양자난수 제어부, 입출력부로 구성되고, 난수소스발생기는 LED(Light-Emitting Diode), LD(Laser Diode), 방사선 동위원소, 트랜지스터 노이즈, 열잡음 중 어느 하나 이상으로부터 양자입자를 방출하고, 상기 양자검출 다이오드는 상기 난수소스발생기로 부터 발생하는 양자입자를 검출하고, 상기 양자랜덤펄스 생성기는 상기 양자검출 다이오드로부터 양자입자 이벤트를 검출하여 양자입자의 검출에 상응하는 랜덤펄스를 발생하고, 상기 양자난수 제어부는 상기 양자랜덤펄스 생성기를 통해 발생하는 랜덤펄스 무작위 난수소스로 양자난수를 생성하여 대칭암호키를 생성하는 마이크로프로세서로 구성된다.
상기 입출력부는 전원포트, 입력데이터포트, 출력데이터포트, 접지포트를 포함하여 구성되어, PUF PIN 데이터 생성기(1)의 함몰형 입출력부와 결합하는 돌출형 입출력부를 플레이트(Plate)에 집적하여 PUF PIN 데이터 생성기의 함몰형 입출력부와 결합하는 하우징(Housing)으로 밀봉한 구조이고, 양자단말기의 함몰형 입출력부에 삽입하는 전원포트, 입력데이터포트, 출력데이터포트, 접지포트를 포함하는 돌출형 입출력부; 양자난수 생성기의 돌출형 입출력부가 삽입되는 반대편의 함몰형 전원포트, 입력데이터포트, 출력데이터포트, 접지포트를 포함하는 함몰형 입출력부; 및 PUF 제어부를 포함하여 일체형 하우징으로 구성되는 PUF PIN 데이터 생성기(1);로 구성된다.
PUF PIN 데이터 생성기의 돌출형 입출력부가 양자단말기의 함몰형 입출력부에 삽입되면, 양자단말기 내부의 전원포트 및 접지포트를 통해 전원공급을 받아 PUF 제어부가 구동되고, 상기 PUF PIN 데이터 생성기의 함몰형 입출력부에 양자난수 생성기의 돌출형 입출력부가 삽입되면, PUF PIN 데이터 생성기 내부의 전원포트, 접지포트를 통해 전원공급을 받아 양자난수 제어부가 구동되고, 상기 양자난수 제어부는 양자난수 생성기 내부의 난수소스발생기, 양자검출 다이오드, 양자랜덤펄스 생성기를 통해 생성된 양자난수를 통해 대칭암호키를 생성하여 상기 PUF PIN 데이터 생성기 내부의 PUF 제어부로 전송하고, 상기 PUF 제어부는 입력데이터포트 및 출력데이터포트를 통해 양자난수 생성기로부터 대칭암호키를 수신하면, PUF Chip의 PIN 데이터를 통해 상기 대칭암호키를 암호화하여 비대칭암호키를 암호화 생성하여 양자단말기로 전송하는 것을 특징으로 한다.
일 실시 예로,
상기 일 실시 예의 하드웨어 구성은 반대로 구성되어,
PUF 제어부는 PUF Chip의 PIN 데이터를 통해 대칭암호키를 생성하고,
양자난수 생성기는 양자난수로 상기 대칭암호키를 암호화하여 비대칭암호키를 생성 및 PUF PIN 데이터 생성기의 입출력부는 돌출형 입출력부로 구성되고,
양자난수 생성기의 입출력부는 돌출형 입출력부 및 함몰형 입출력부로 구성된다.
일 실시 예로,
VPN(Virtual Private Network)를 추가로 구성하여, VPN 사이에 1:1 암호화 데이터통신을 하는 것을 특징으로 한다.
일 실시 예로,
MAC Address(Media Access Control Address)는 IP Address(Internet Protocol Address)로 대체되는 것을 특징으로 한다.
일 실시 예로,
운영서버를 추가로 구성되어, 리모트서버는 네트워크망에 접속하면, 네트워크망에 연결된 운영서버로 리모트서버의 접속 IP Address를 전송하고, 로컬서버는 네트워크망에 접속하면, 네트워크망에 연결된 운영서버로 로컬서버의 접속 IP Address를 전송하면, 운영서버는 리모트서버로 로컬서버의 접속 IP Address를 전송 및 로컬서버로 리모트서버의 접속 IP Address를 전송하는 것을 특징으로 한다.
일 실시 예로,
운영서버를 추가로 구성 및 리모트서버는 리모트 USB로 대체되어 네트워크망에 접속하면, 운영서버로 리모트 USB의 접속 IP Address를 전송하고, 로컬서버는 로컬 USB로 대체되어 네트워크망에 접속하면, 운영서버로 로컬 USB의 접속 IP Address를 전송하면, 운영서버는 리모트 USB로 로컬 USB의 접속 IP Address를 전송 및 로컬 USB로 리모트 USB의 접속 IP Address를 전송하는 것을 특징으로 한다.
일 실시 예로,
운영서버를 추가로 구성되어, 리모트서버는 네트워크망에 접속하면, 네트워크망에 연결된 운영서버로 리모트서버의 접속 IP Address 및 리모트 PIN 데이터를 전송하고, 로컬서버는 네트워크망에 접속하면, 네트워크망에 연결된 운영서버로 로컬서버의 접속 IP Address 및 로컬 PIN 데이터를 전송하고, 운영서버는 리모트 PIN 데이터 및 로컬 PIN 데이터가 상호 사용자 인증된 경우, 리모트서버로 로컬서버의 접속 IP Address를 전송 및 로컬서버로 리모트서버의 접속 IP Address를 전송하는 것을 특징으로 한다.
일 실시 예로,
운영서버를 추가로 구성 및 리모트서버는 리모트 USB로 대체되어 네트워크망에 접속하면, 운영서버로 리모트 USB의 접속 IP Address 및 리모트 PIN 데이터를 전송하고, 로컬서버는 로컬 USB로 대체되어 네트워크망에 접속하면, 운영서버로 로컬 USB의 접속 IP Address 및 로컬 PIN 데이터를 전송하고, 운영서버는 리모트 PIN 데이터 및 로컬 PIN 데이터가 상호 사용자 인증된 경우, 리모트서버로 로컬서버의 접속 IP Address를 전송 및 로컬서버로 리모트서버의 접속 IP Address를 전송하는 것을 특징으로 한다.
일 실시 예로,
리모트서버는 리모트 VPN(Virtual Private Network)으로 대체 및 로컬서버는 로컬 VPN(Virtual Private Network)으로 대체되는 것을 특징으로 한다.
일 실시 예로,
리모트서버 및 로컬서버는 마이크로프로세서 MCU(Micro Control Unit)를 탑재한 USB(Universal Serial Bus)로, 리모트서버는 리모트 USB로 대체되고, 로컬서버는 로컬 USB로 대체되는 것을 특징으로 하는 것을 특징으로 한다.
일 실시 예로,
리모트서버 및 로컬서버는 마이크로프로세서 MCU(Micro Control Unit)를 탑재한 PCI Board(Peripheral Component Interconnect Board)로, 리모트서버는 리모트 PCI Board로 대체되고, 로컬서버는 로컬 PCI Board로 대체되는 것을 특징으로 한다.
일 실시 예로,
USB(Universal Serial Bus)는 PCI Board(Peripheral Component Interconnect Board)로 대체되는 것을 특징으로 한다.
일 실시 예로,
운영서버를 추가로 구성하여, 리모트 USB가 네트워크망에 접속하면, 운영서버로 리모트 USB의 접속 IP Address 및 리모트 PIN 데이터를 전송하고, 로컬 USB가 네트워크망에 접속하면, 운영서버로 로컬 USB의 접속 IP Address 및 로컬 PIN 데이터를 전송한다.
운영서버는 리모트 PIN 데이터 및 로컬 PIN 데이터가 상호 사용자 인증된 경우, 리모트 USB로 로컬 USB의 접속 IP Address를 전송 및 로컬 USB로 리모트 USB의 접속 IP Address를 전송하여 인터넷에 연결된 전 세계 어느 PC에서도 리모트 USB와 로컬 USB가 꽂힌 PC 사이에는 양자보안과 PUF 보안이 적용된 양방향 통신이 가능하다.
일 실시 예로,
한 쌍의 VPN를 통한 종래의 보안대책에 비해 복제 불가능한 물리적 PUF Chip의 단일 PIN 데이터와 양자난수생성기의 무작위 자연난수를 이용한 1회용 OTP 양자암호키를 통하여 단방향으로만 데이터를 전송하는 단방향 암호키 적용을 통해 보안대책을 강화하여 CCTV 영상감시장치와 통합제어서버 사이에만 양방향 터널링 데이터통신을 개통하는 것으로, PUF Chip은 CCTV 영상감시장치에 장착되는 것으로, CCTV 영상감시장치 내부의 MCU는 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 PIN 데이터를 생성하여 대칭암호키를 생성하고, 상기 PIN 데이터를 통해 생성한 대칭암호키는 통합제어서버 내부 플랫폼 메모리에 저장된다.
통합제어서버는 양자난수생성기, 플랫폼 메모리를 포함하여 구성되고, 양자난수생성기는 난수소스 발생기, 양자검출 다이오드, 양자랜덤펄스 생성기, 양자난수 제어부로 구성되어, 난수소스 발생기는 양자입자를 방출하고, 양자검출 다이오드는 상기 난수소스 발생기로부터 발생하는 양자입자를 검출하고, 양자랜덤펄스 생성기는 상기 양자검출 다이오드로부터 양자입자 이벤트를 검출하여 양자입자의 검출에 상응하는 랜덤펄스를 발생하고, 양자난수 제어부는 마이크로프로세서로 구성되어, 상기 양자랜덤펄스 생성기를 통해 발생하는 랜덤펄스 난수소스로 양자난수를 생성한다.
통합제어서버 내부 플랫폼 메모리에 저장된 상기 대칭암호키를 상기 양자난수로 암호화하여 비대칭암호키를 생성한다.
통합제어서버는 CCTV 영상감시장치 Modem Chip의 MAC Address로 비대칭암호키를 전송하고, CCTV 영상감시장치는 Modem Chip, MCU, Power Amp, PUF Chip, 감시카메라를 포함하여 구성되고, MCU는 Modem Chip를 통해 비대칭암호키를 수신하여 Modem Chip의 MAC Address와 PUF Chip의 PIN 데이터를 비대칭암호키로 암호화한 데이터를 Power Amp에서 증폭하여 Modem Chip을 통해 통합제어서버로 전송하고, 통합제어서버는 비대칭암호키로 암호화한 데이터를 대칭암호키로 복호화한 PUF Chip의 PIN 데이터와 CCTV 영상감시장치 Modem Chip의 MAC Address와 일치하는 사용자일 경우, 통합제어서버와 CCTV 영상감시장치 사이에 사용자 로그인(Log-in) 양방향 터널링 데이터통신을 개통하는 것을 특징으로 하는 PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치.
일 실시 예로,
한 쌍의 VPN를 통한 종래의 보안대책에 비해 복제 불가능한 물리적 PUF Chip의 단일 PIN 데이터와 양자난수생성기의 무작위 자연난수를 이용한 1회용 OTP 양자암호키를 통하여 단방향으로만 데이터를 전송하는 단방향 암호키 적용을 통해 보안대책을 강화하여 CCTV 영상감시장치와 통합제어서버 사이에만 양방향 터널링 데이터통신을 개통한다.
PUF Chip은 CCTV 영상감시장치에 장착되는 것으로, CCTV 영상감시장치 내부의 MCU는 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 PIN 데이터를 생성하고, 상기 PIN 데이터는 통합제어서버 내부 플랫폼 메모리에 저장된다.
통합제어서버는 양자난수생성기, 플랫폼 메모리를 포함하여 구성된다.
양자난수생성기는 난수소스 발생기, 양자검출 다이오드, 양자랜덤펄스 생성기, 양자난수 제어부로 구성된다.
난수소스 발생기는 양자입자를 방출하고, 양자검출 다이오드는 상기 난수소스 발생기로부터 발생하는 양자입자를 검출하고, 양자랜덤펄스 생성기는 상기 양자검출 다이오드로부터 양자입자 이벤트를 검출하여 양자입자의 검출에 상응하는 랜덤펄스를 발생하고, 양자난수 제어부는 마이크로프로세서로 구성되어, 상기 양자랜덤펄스 생성기를 통해 발생하는 랜덤펄스 난수소스로 양자난수를 생성하여 대칭암호키를 생성하고, 플랫폼 메모리에 저장된 PIN 데이터로 상기 대칭암호키를 암호화하여 비대칭암호키를 생성하며, 통합제어서버는 CCTV 영상감시장치 Modem Chip의 MAC Address로 비대칭암호키를 전송하고, CCTV 영상감시장치는 Modem Chip, MCU, Power Amp, PUF Chip, 감시카메라를 포함하여 구성되고, MCU는 Modem Chip를 통해 비대칭암호키를 수신하여 Modem Chip의 MAC Address와 PUF Chip의 PIN 데이터를 비대칭암호키로 암호화한 데이터를 Power Amp에서 증폭하여 Modem Chip을 통해 통합제어서버로 전송하고, 통합제어서버는 비대칭암호키로 암호화한 데이터를 대칭암호키로 복호화한 PUF Chip의 PIN 데이터와 CCTV 영상감시장치 Modem Chip의 MAC Address와 일치하는 사용자일 경우, 통합제어서버와 CCTV 영상감시장치 사이에 사용자 로그인(Log-in) 양방향 터널링 데이터통신을 개통하는 것을 특징으로 하는 PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치.
일 실시 예로,
리모트서버는 리모트 PUF Chip, 리모트난수생성기, 리모트메모리, 감시카메라, 리모트제어부를 포함하여 구성된다.
상기 리모트제어부는 리모트 PUF Chip의 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 리모트 PIN 데이터를 생성하여 리모트대칭암호키를 생성하고, 상기 리모트제어부는 상기 리모트난수생성기를 통해 무작위 난수를 발생하여, 상기 리모트대칭암호키를 암호화하여 리모트비대칭암호키를 생성한다.
상기 리모트 PIN 데이터는 로컬서버 내부 로컬메모리에 저장된다.
로컬서버는 로컬 PUF Chip, 로컬난수생성기, 로컬메모리, 로컬제어부를 포함하여 구성된다.
상기 로컬제어부는 로컬 PUF Chip의 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 로컬 PIN 데이터를 생성하여 로컬대칭암호키를 생성한다.
상기 로컬제어부는 상기 로컬난수생성기를 통해 무작위 난수를 발생하여, 상기 로컬대칭암호키를 암호화하여 로컬비대칭암호키를 생성한다.
상기 로컬 PIN 데이터는 리모트서버 내부 리모트메모리에 저장된다.
리모트서버가 로컬서버로 양방향 터널링 데이터통신 요청 로그인(Log-in)하면, 로컬서버는 리모트서버 IP Address로 로컬비대칭암호키를 전송한다.
리모트서버는 로컬비대칭암호키를 수신하여 로컬서버 IP Address로 리모트 PUF Chip의 리모트 PIN 데이터를 로컬비대칭암호키로 암호화한 리모트 PIN 데이터를 로컬서버로 전송한다.
로컬서버는 상기 로컬비대칭암호키로 암호화한 리모트 PIN 데이터를 로컬대칭암호키로 복호화한 리모트 PIN 데이터와 로컬메모리에 저장된 리모트 PIN 데이터가 일치할 경우, 로컬서버와 리모트서버 사이에 로그인(Log-in) 양방향 터널링 데이터통신을 개통한다.
로그아웃(Log-in)시 로컬비대칭암호키, 로컬비대칭암호키로 암호화한 리모트 PIN 데이터가 삭제된다.
로컬서버가 리모트서버로 양방향 터널링 데이터통신 요청 로그인(Log-in)할 경우, 리모트서버는 로컬서버 IP Address로 리모트비대칭암호키를 전송한다.
로컬서버는 리모트비대칭암호키를 수신하여 리모트서버 IP Address로 로컬 PUF Chip의 로컬 PIN 데이터를 리모트비대칭암호키로 암호화한 로컬 PIN 데이터를 리모트서버로 전송한다.
리모트서버는 상기 리모트비대칭암호키로 암호화한 로컬 PIN 데이터를 리모트대칭암호키로 복호화한 로컬 PIN 데이터와 리모트메모리에 저장된 로컬 PIN 데이터가 일치할 경우, 리모트서버와 로컬서버 사이에 로그인(Log-in) 양방향 터널링 데이터통신을 개통하여 영상데이터를 로컬서버로 전송한다.
로그아웃(Log-in)시 리모트비대칭암호키, 리모트비대칭암호키로 암호화한 로컬 PIN 데이터가 삭제되는 것을 특징으로 하는 PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치.
일 실시 예로,
리모트서버는 리모트 PUF Chip, 리모트난수생성기, 리모트메모리, 감시카메라, 리모트제어부를 포함하여 구성되어, 상기 리모트난수생성기는 리모트대칭암호키를 생성한다.
상기 리모트제어부는 리모트 PUF Chip의 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 리모트 PIN 데이터를 생성하여 상기 리모트대칭암호키를 암호화하여 리모트비대칭암호키를 생성한다.
상기 리모트대칭암호키는 로컬서버 내부 로컬메모리에 저장된다.
로컬서버는 로컬 PUF Chip, 로컬난수생성기, 로컬메모리, 로컬제어부를 포함하여 구성된다.
상기 로컬제어부는 로컬 PUF Chip의 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 로컬 PIN 데이터를 생성하여 상기 로컬대칭암호키를 암호화하여 로컬비대칭암호키를 생성한다.
상기 로컬대칭암호키는 리모트서버 내부 리모트메모리에 저장된다.
리모트서버가 로컬서버로 양방향 터널링 데이터통신 요청 로그인(Log-in)하면, 로컬서버는 리모트서버 IP Address로 로컬비대칭암호키를 전송한다.
리모트서버는 로컬비대칭암호키를 수신하여 로컬서버 IP Address로 리모트대칭암호키를 로컬비대칭암호키로 암호화한 리모트암호키를 로컬서버로 전송한다.
로컬서버는 상기 리모트암호키를 로컬대칭암호키로 복호화한 리모트대칭암호키와 로컬메모리에 저장된 리모트대칭암호키가 일치할 경우, 로컬서버와 리모트서버 사이에 로그인(Log-in) 양방향 터널링 데이터통신을 개통한다.
로그아웃(Log-in)시 로컬비대칭암호키, 리모트암호키가 삭제된다.
로컬서버가 리모트서버로 양방향 터널링 데이터통신 요청 로그인(Log-in)할 경우, 리모트서버는 로컬서버 IP Address로 리모트비대칭암호키를 전송한다.
로컬서버는 리모트비대칭암호키를 수신하여 리모트서버 IP Address로 로컬 대칭암호키를 리모트비대칭암호키로 암호화한 로컬암호키를 리모트서버로 전송한다.
리모트서버는 상기 로컬암호키를 리모트대칭암호키로 복호화한 로컬대칭암호키와 리모트메모리에 저장된 로컬대칭암호가 일치할 경우, 리모트서버와 로컬서버 사이에 로그인(Log-in) 양방향 터널링 데이터통신을 개통하여 데이터를 로컬서버로 전송한다.
로그아웃(Log-in)시 리모트비대칭암호키, 로컬암호키가 삭제되는 것을 특징으로 하는 PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치.
1 : PUF PIN 데이터 생성기
2 : 양자난수생성기

Claims (21)

  1. PUF-QRNG 보안단말기는 양자난수생성기 및 PUF Chip으로 구성되어, CCTV 영상감시장치에 장착되며;
    PUF Chip은 시스템 온 칩(SoC; System On Chip)으로 부트 ROM(Boot Read Only Memory), CPU(Central Processing Unit), 입출력 포트(I/O Port), 보안 MCU(Machine Control Unit), SoC 메모리, PUF 하드웨어 핀(H/W PIN), SPI(Serial Peripheral Interface) 컨트롤러로 구성되어,
    CPU는 보안 MCU, 부트 ROM, SoC 메모리, 입출력 포트, PUF 하드웨어 핀, SPI 컨트롤러를 제어하며;
    상기 CPU는 보안 MCU를 제어하여 PUF 하드웨어 핀에서 PIN(Personal Identification Number) 데이터를 추출하여 SoC 메모리에 저장되며;
    상기 CPU는 SPI 컨트롤러를 제어하여 양자난수생성기(QRNG)를 통해 발생하는 양자난수를 수신하여 보안 MCU로 전송하며;
    보안 MCU는 SoC 메모리에 PIN 데이터로 대칭암호키를 생성 후 상기 양자난수생성기를 통해 생성한 양자난수로 대칭암호키를 암호화하여 비대칭암호키를 생성하며;
    상기 CPU는 입출력 포트를 통해 수신하는 비대칭암호키로 암호화된 PIN 데이터가 수신될 경우, 대칭암호키로 복호화하여 SoC 메모리에 저장된 PIN 데이터로 일치할 경우 입출력포트를 통해 디버거 인터페이스를 연결 및 네트워크망 스위치를 로그인(Log-in) 연결하는 것을 특징으로 하는 PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치.
  2. PUF-QRNG 보안단말기는 양자난수생성기 및 PUF Chip으로 구성되어, CCTV 영상감시장치에 장착되며;
    PUF Chip은 시스템 온 칩(SoC; System On Chip)으로 부트 ROM(Boot Read Only Memory), CPU(Central Processing Unit), 입출력 포트(I/O Port), 보안 MCU(Machine Control Unit), SoC 메모리, PUF 하드웨어 핀(H/W PIN), SPI(Serial Peripheral Interface) 컨트롤러로 구성되어,
    CPU는 보안 MCU, 부트 ROM, SoC 메모리, 입출력 포트, PUF 하드웨어 핀, SPI 컨트롤러를 제어하며;
    상기 CPU는 보안 MCU를 제어하여 PUF 하드웨어 핀에서 PIN(Personal Identification Number) 데이터를 추출하여 SoC 메모리에 저장되며;
    상기 CPU는 SPI 컨트롤러를 제어하여 양자난수생성기(QRNG)를 통해 발생하는 양자난수를 통해 생성한 대칭암호키를 수신하여 보안 MCU로 전송하며;
    보안 MCU는 SoC 메모리에 PIN 데이터로 상기 양자난수생성기를 통해 생성한 대칭암호키를 암호화하여 비대칭암호키를 생성하며;
    상기 CPU는 입출력 포트를 통해 수신하는 비대칭암호키로 암호화된 PIN 데이터가 수신될 경우, 대칭암호키로 복호화하여 SoC 메모리에 저장된 PIN 데이터로 일치할 경우 입출력포트를 통해 디버거 인터페이스를 연결 및 네트워크망 스위치를 로그인(Log-in) 연결하는 것을 특징으로 하는 PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치.
  3. 한 쌍의 VPN를 통한 종래의 보안대책에 비해 복제 불가능한 물리적 PUF Chip의 단일 PIN 데이터와 양자난수생성기의 무작위 자연난수를 이용한 1회용 OTP 양자암호키를 통하여 단방향으로만 데이터를 전송하는 단방향 암호키 적용을 통해 보안대책을 강화하여 CCTV 영상감시장치와 통합제어서버 사이에만 양방향 터널링 데이터통신을 개통하는 것으로,

    PUF Chip은 CCTV 영상감시장치에 장착되는 것으로, CCTV 영상감시장치 내부의 MCU는 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 PIN 데이터를 생성하고, 상기 PIN 데이터는 통합제어서버 내부 플랫폼 메모리에 저장되며;

    통합제어서버는 양자난수생성기, 플랫폼 메모리를 포함하여 구성되며;
    양자난수생성기는 난수소스 발생기, 양자검출 다이오드, 양자랜덤펄스 생성기, 양자난수 제어부로 구성되어,
    난수소스 발생기는 양자입자를 방출하고,
    양자검출 다이오드는 상기 난수소스 발생기로부터 발생하는 양자입자를 검출하고,
    양자랜덤펄스 생성기는 상기 양자검출 다이오드로부터 양자입자 이벤트를 검출하여 양자입자의 검출에 상응하는 랜덤펄스를 발생하고,
    양자난수 제어부는 마이크로프로세서로 구성되어, 상기 양자랜덤펄스 생성기를 통해 발생하는 랜덤펄스 난수소스로 양자난수를 생성하여 대칭암호키를 생성하고, 플랫폼 메모리에 저장된 PIN 데이터로 상기 대칭암호키를 암호화하여 비대칭암호키를 생성하며,
    통합제어서버는 CCTV 영상감시장치 Modem Chip의 MAC Address로 비대칭암호키를 전송하고,
    CCTV 영상감시장치는 Modem Chip, MCU, Power Amp, PUF Chip, 감시카메라를 포함하여 구성되고, MCU는 Modem Chip를 통해 비대칭암호키를 수신하여 Modem Chip의 MAC Address와 PUF Chip의 PIN 데이터를 비대칭암호키로 암호화한 데이터를 Power Amp에서 증폭하여 Modem Chip을 통해 통합제어서버로 전송하고,
    통합제어서버는 비대칭암호키로 암호화한 데이터를 대칭암호키로 복호화한 PUF Chip의 PIN 데이터와 CCTV 영상감시장치 Modem Chip의 MAC Address와 일치하는 사용자일 경우, 통합제어서버와 CCTV 영상감시장치 사이에 사용자 로그인(Log-in) 양방향 터널링 데이터통신을 개통하는 것을 특징으로 하는 PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치.
  4. PUF Chip은 CCTV 영상감시장치에 장착되는 것으로, CCTV 영상감시장치 내부의 MCU는 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 PIN 데이터를 생성하고, 상기 PIN 데이터는 통합제어서버 내부 플랫폼 메모리에 저장되며;

    통합제어서버는 양자난수생성기 및 플랫폼 메모리를 포함하여 구성되어,
    통합제어서버는 양자난수생성기를 통해 대칭암호키를 생성하고, 플랫폼 메모리에 저장된 PIN 데이터로 상기 대칭암호키를 암호화하여 비대칭암호키를 암호화 생성하며,
    통합제어서버는 CCTV 영상감시장치 Modem Chip의 MAC Address로 비대칭암호키를 전송하고,
    CCTV 영상감시장치는 Modem Chip, MCU, Power Amp, PUF Chip, 감시카메라를 포함하여 구성되고, MCU는 Modem Chip를 통해 비대칭암호키를 수신하여 Modem Chip의 MAC Address와 PUF Chip의 PIN 데이터를 비대칭암호키로 암호화한 데이터를 Power Amp에서 증폭하여 Modem Chip을 통해 통합제어서버로 전송하고,
    통합제어서버는 비대칭암호키로 암호화한 데이터를 대칭암호키로 복호화한 PUF Chip의 PIN 데이터와 플랫폼 메모리에 저장된 PIN 데이터가 일치하고, CCTV 영상감시장치 Modem Chip의 MAC Address가 허가된 사용자로 일치할 경우, 통합제어서버와 CCTV 영상감시장치 사이에 사용자 로그인(Log-in) 양방향 터널링 데이터통신을 개통하는 것을 특징으로 하는 PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치.
  5. PUF Chip은 CCTV 영상감시장치에 장착되는 것으로, CCTV 영상감시장치 내부의 MCU는 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 PIN 데이터를 생성하고, 상기 PIN 데이터는 통합제어서버 내부의 플랫폼 메모리에 저장되며;

    통합제어서버는 양자난수생성기, 플랫폼 메모리를 포함하여 구성되어,
    양자난수생성기를 통해 대칭암호키를 생성하고, 플랫폼 메모리에 저장된 PIN 데이터로 상기 대칭암호키를 암호화하여 비대칭암호키를 암호화 생성하며;
    통합제어서버는 CCTV 영상감시장치로 상기 비대칭암호키를 전송하며;
    CCTV 영상감시장치는 MCU, PUF Chip, 감시카메라를 포함하여 구성되어, MCU는 상기 비대칭암호키를 수신하여 PUF Chip의 PIN 데이터를 비대칭암호키로 암호화한 데이터를 통합제어서버로 전송하며;
    통합제어서버는 비대칭암호키로 암호화한 데이터를 대칭암호키로 복호화한 PUF Chip의 PIN 데이터와 플랫폼 메모리에 저장된 PIN 데이터가 일치할 경우, 통합제어서버와 CCTV 영상감시장치 사이에 사용자 로그인(Log-in) 양방향 터널링 데이터통신을 개통하는 것을 특징으로 하는 PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치.
  6. PUF Chip은 CCTV 영상감시장치에 장착되는 것으로, CCTV 영상감시장치 내부의 MCU는 고유의 PIN 데이터를 생성하고, 상기 PIN 데이터는 제어서버 내부의 플랫폼 메모리에 저장되며;

    제어서버는 난수생성기, 플랫폼 메모리를 포함하여 구성되어,
    제어서버는 난수생성기를 통해 발생한 무작위 난수로 대칭암호키를 생성하고, 플랫폼 메모리에 저장된 PIN 데이터로 상기 대칭암호키를 암호화하여 비대칭암호키를 암호화 생성하며;
    제어서버는 CCTV 영상감시장치로 상기 비대칭암호키를 전송하며;
    CCTV 영상감시장치는 MCU, PUF Chip, 감시카메라를 포함하여 구성되어, MCU는 상기 비대칭암호키를 수신하여 PUF Chip의 PIN 데이터를 비대칭암호키로 암호화한 데이터를 제어서버로 전송하며;
    제어서버는 비대칭암호키로 암호화한 데이터를 대칭암호키로 복호화한 PUF Chip의 PIN 데이터와 플랫폼 메모리에 저장된 PIN 데이터가 일치할 경우, 제어서버와 CCTV 영상감시장치 사이에 사용자 로그인(Log-in) 양방향 터널링 데이터통신을 개통하는 것을 특징으로 하는 PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치.
  7. PUF Chip은 CCTV 영상감시장치에 장착되는 것으로, CCTV 영상감시장치 내부의 MCU는 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 PIN 데이터를 생성하고, 상기 PIN 데이터는 제어서버 내부 플랫폼 메모리에 저장되며;

    제어서버는 양자난수생성기, 플랫폼 메모리를 포함하여 구성되며;
    양자난수생성기는 난수소스 발생기, 양자검출 다이오드, 양자랜덤펄스 생성기, 양자난수 제어부로 구성되어,
    난수소스 발생기는 양자입자를 방출하고,
    양자검출 다이오드는 상기 난수소스 발생기로부터 발생하는 양자입자를 검출하고,
    양자랜덤펄스 생성기는 상기 양자검출 다이오드로부터 양자입자 이벤트를 검출하여 양자입자의 검출에 상응하는 랜덤펄스를 발생하여 무작위 난수소스를 생성하고,
    양자난수 제어부는 마이크로프로세서로 구성되어, 플랫폼 메모리에 저장된 PIN 데이터를 통해 대칭암호키를 생성하고,
    양자난수 제어부는 상기 양자랜덤펄스 생성기를 통해 생성한 무작위 난수소스로 양자난수를 생성하고,
    양자난수 제어부는 상기 양자난수로 상기 대칭암호키를 암호화하여 비대칭암호키를 생성하며;
    제어서버는 CCTV 영상감시장치 Modem Chip의 MAC Address로 비대칭암호키를 전송하고,
    CCTV 영상감시장치는 Modem Chip, MCU, Power Amp, PUF Chip, 감시카메라를 포함하여 구성되고, MCU는 Modem Chip를 통해 비대칭암호키를 수신하여 Modem Chip의 MAC Address와 PUF Chip의 PIN 데이터를 비대칭암호키로 암호화한 데이터를 Power Amp에서 증폭하여 Modem Chip을 통해 제어서버로 전송하고,
    제어서버는 비대칭암호키로 암호화한 데이터를 대칭암호키로 복호화한 PUF Chip의 PIN 데이터와 CCTV 영상감시장치 Modem Chip의 MAC Address와 일치하는 사용자일 경우, 제어서버와 CCTV 영상감시장치 사이에 사용자 로그인(Log-in) 양방향 터널링 데이터통신을 개통하는 것을 특징으로 하는 PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치.
  8. PUF Chip은 CCTV 영상감시장치에 장착되는 것으로, CCTV 영상감시장치 내부의 MCU는 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 PIN 데이터를 생성하고, 상기 PIN 데이터는 제어서버 내부 플랫폼 메모리에 저장되며;

    제어서버는 양자난수생성기 및 플랫폼 메모리를 포함하여 구성되어,
    제어서버는 플랫폼 메모리에 저장된 PIN 데이터로 대칭암호키를 생성하고, 상기 양자난수생성기를 통해 생성한 양자난수를 통해 상기 대칭암호키를 암호화하여 비대칭암호키를 생성하며;

    제어서버는 CCTV 영상감시장치 Modem Chip의 MAC Address로 비대칭암호키를 전송하고,
    CCTV 영상감시장치는 Modem Chip, MCU, Power Amp, PUF Chip, 감시카메라를 포함하여 구성되고, MCU는 Modem Chip를 통해 비대칭암호키를 수신하여 Modem Chip의 MAC Address와 PUF Chip의 PIN 데이터를 비대칭암호키로 암호화한 데이터를 Power Amp에서 증폭하여 Modem Chip을 통해 제어서버로 전송하고,
    제어서버는 비대칭암호키로 암호화한 데이터를 대칭암호키로 복호화한 PUF Chip의 PIN 데이터와 CCTV 영상감시장치 Modem Chip의 MAC Address와 일치하는 사용자일 경우, 제어서버와 CCTV 영상감시장치 사이에 사용자 로그인(Log-in) 양방향 터널링 데이터통신을 개통하는 것을 특징으로 하는 PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치.
  9. PUF Chip은 CCTV 영상감시장치에 장착되는 것으로, CCTV 영상감시장치 내부의 MCU는 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 PIN 데이터를 생성하고, 상기 PIN 데이터는 제어서버 내부의 플랫폼 메모리에 저장되며;

    제어서버는 양자난수생성기, 플랫폼 메모리를 포함하여 구성되어,
    제어서버는 플랫폼 메모리에 저장된 PIN 데이터로 대칭암호키를 생성하고,
    제어서버는 상기 양자난수생성기를 통해 발생하는 양자난수로 상기 대칭암호키를 암호화하여 비대칭암호키를 생성하며;
    제어서버는 CCTV 영상감시장치로 상기 비대칭암호키를 전송하며;
    CCTV 영상감시장치는 MCU, PUF Chip, 감시카메라를 포함하여 구성되어, MCU는 상기 비대칭암호키를 수신하여 PUF Chip의 PIN 데이터를 비대칭암호키로 암호화한 데이터를 제어서버로 전송하며;
    제어서버는 비대칭암호키로 암호화한 데이터를 대칭암호키로 복호화한 PUF Chip의 PIN 데이터와 플랫폼 메모리에 저장된 PIN 데이터가 일치할 경우, 제어서버와 CCTV 영상감시장치 사이에 사용자 로그인(Log-in) 양방향 터널링 데이터통신을 개통하는 것을 특징으로 하는 PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치.
  10. PUF Chip은 CCTV 영상감시장치에 장착되는 것으로, CCTV 영상감시장치 내부의 MCU는 고유의 PIN 데이터를 생성하고, 상기 PIN 데이터는 제어서버 내부의 플랫폼 메모리에 저장되며;

    제어서버는 난수생성기, 플랫폼 메모리를 포함하여 구성되어,
    제어서버는 난수생성기를 통해 무작위 난수를 생성하고,
    제어서버는 플랫폼 메모리에 저장된 PIN 데이터로 대칭암호키를 생성하고, 상기 무작위 난수로 상기 대칭암호키를 암호화하여 비대칭암호키를 생성하며;
    제어서버는 CCTV 영상감시장치로 상기 비대칭암호키를 전송하며;
    CCTV 영상감시장치는 MCU, PUF Chip, 감시카메라를 포함하여 구성되어, MCU는 상기 비대칭암호키를 수신하여 PUF Chip의 PIN 데이터를 비대칭암호키로 암호화한 데이터를 제어서버로 전송하며;
    제어서버는 비대칭암호키로 암호화한 데이터를 대칭암호키로 복호화한 PUF Chip의 PIN 데이터와 플랫폼 메모리에 저장된 PIN 데이터가 일치할 경우, 제어서버와 CCTV 영상감시장치 사이에 사용자 로그인(Log-in) 양방향 터널링 데이터통신을 개통하는 것을 특징으로 하는 PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치.
  11. 리모트서버는 리모트 PUF Chip, 리모트난수생성기, 리모트메모리, 감시카메라, 리모트제어부를 포함하여 구성되어,
    상기 리모트제어부는 리모트 PUF Chip의 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 리모트 PIN 데이터로 리모트대칭암호키를 생성하며;
    상기 리모트제어부는 상기 리모트난수생성기를 통해 무작위 난수를 발생하여, 상기 리모트대칭암호키를 암호화하여 리모트비대칭암호키를 생성하며;
    상기 리모트 PIN 데이터는 로컬서버 내부 로컬메모리에 저장되며;

    로컬서버는 로컬 PUF Chip, 로컬양자난수생성기, 로컬메모리, 로컬제어부를 포함하여 구성되어,
    상기 로컬제어부는 로컬 PUF Chip의 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 로컬 PIN 데이터를 생성하여 로컬대칭암호키를 생성하며;
    상기 로컬제어부는 상기 로컬양자난수생성기를 통해 무작위 난수를 발생하여, 상기 로컬대칭암호키를 암호화하여 로컬비대칭암호키를 생성하며;
    상기 로컬 PIN 데이터는 리모트서버 내부 리모트메모리에 저장되며;

    리모트서버가 로컬서버로 양방향 터널링 데이터통신 요청 로그인(Log-in)하면,
    로컬서버는 리모트서버 IP Address로 로컬비대칭암호키를 전송하며;
    리모트서버는 로컬비대칭암호키를 수신하여 로컬서버 IP Address로 리모트 PUF Chip의 리모트 PIN 데이터를 로컬비대칭암호키로 암호화한 리모트 PIN 데이터를 로컬서버로 전송하며;
    로컬서버는 상기 로컬비대칭암호키로 암호화한 리모트 PIN 데이터를 로컬대칭암호키로 복호화한 리모트 PIN 데이터와 로컬메모리에 저장된 리모트 PIN 데이터가 일치할 경우, 로컬서버와 리모트서버 사이에 로그인(Log-in) 양방향 터널링 데이터통신을 개통하며;
    로그아웃(Log-in)시 로컬비대칭암호키, 로컬비대칭암호키로 암호화한 리모트 PIN 데이터가 삭제되며;

    로컬서버가 리모트서버로 양방향 터널링 데이터통신 요청 로그인(Log-in)할 경우,
    리모트서버는 로컬서버 IP Address로 리모트비대칭암호키를 전송하며;
    로컬서버는 리모트비대칭암호키를 수신하여 리모트서버 IP Address로 로컬 PUF Chip의 로컬 PIN 데이터를 리모트비대칭암호키로 암호화한 로컬 PIN 데이터를 리모트서버로 전송하며;
    리모트서버는 상기 리모트비대칭암호키로 암호화한 로컬 PIN 데이터를 리모트대칭암호키로 복호화한 로컬 PIN 데이터와 리모트메모리에 저장된 로컬 PIN 데이터가 일치할 경우, 리모트서버와 로컬서버 사이에 로그인(Log-in) 양방향 터널링 데이터통신을 개통하여 감시카메라에서 촬영한 영상데이터를 로컬서버로 전송하며;
    로그아웃(Log-in)시 리모트비대칭암호키, 리모트비대칭암호키로 암호화한 로컬 PIN 데이터가 삭제되는 것을 특징으로 하는 PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치.
  12. 리모트서버는 리모트 PUF Chip, 리모트난수생성기, 리모트메모리, 감시카메라, 리모트제어부를 포함하여 구성되어,
    상기 리모트난수생성기는 리모트대칭암호키를 생성하며;
    상기 리모트제어부는 리모트 PUF Chip의 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 리모트 PIN 데이터를 생성한 후 상기 리모트대칭암호키를 암호화하여 리모트비대칭암호키를 생성하며;
    상기 리모트 PIN 데이터는 로컬서버 내부 로컬메모리에 저장되며;

    로컬서버는 로컬 PUF Chip, 로컬양자난수생성기, 로컬메모리, 로컬제어부를 포함하여 구성되어,
    상기 로컬양자난수생성기는 로컬대칭암호키를 생성하며;
    상기 로컬제어부는 로컬 PUF Chip의 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 로컬 PIN 데이터를 생성하여 상기 로컬대칭암호키를 암호화하여 로컬비대칭암호키를 생성하며;
    상기 로컬 PIN 데이터는 리모트서버 내부 리모트메모리에 저장되며;

    리모트서버가 로컬서버로 양방향 터널링 데이터통신 요청 로그인(Log-in)하면,
    로컬서버는 리모트서버 IP Address로 로컬비대칭암호키를 전송하며;
    리모트서버는 로컬비대칭암호키를 수신하여 로컬서버 IP Address로 리모트 PUF Chip의 리모트 PIN 데이터를 로컬비대칭암호키로 암호화한 리모트 PIN 데이터를 로컬서버로 전송하며;
    로컬서버는 상기 로컬비대칭암호키로 암호화한 리모트 PIN 데이터를 로컬대칭암호키로 복호화한 리모트 PIN 데이터와 로컬메모리에 저장된 리모트 PIN 데이터가 일치할 경우, 로컬서버와 리모트서버 사이에 로그인(Log-in) 양방향 터널링 데이터통신을 개통하며;
    로그아웃(Log-in)시 로컬비대칭암호키, 로컬비대칭암호키로 암호화한 리모트 PIN 데이터가 삭제되며;

    로컬서버가 리모트서버로 양방향 터널링 데이터통신 요청 로그인(Log-in)할 경우,
    리모트서버는 로컬서버 IP Address로 리모트비대칭암호키를 전송하며;
    로컬서버는 리모트비대칭암호키를 수신하여 리모트서버 IP Address로 로컬 PUF Chip의 로컬 PIN 데이터를 리모트비대칭암호키로 암호화한 로컬 PIN 데이터를 리모트서버로 전송하며;
    리모트서버는 상기 리모트비대칭암호키로 암호화한 로컬 PIN 데이터를 리모트대칭암호키로 복호화한 로컬 PIN 데이터와 리모트메모리에 저장된 로컬 PIN 데이터가 일치할 경우, 리모트서버와 로컬서버 사이에 로그인(Log-in) 양방향 터널링 데이터통신을 개통하여 감시카메라에서 촬영한 영상데이터를 로컬서버로 전송하며;
    로그아웃(Log-in)시 리모트비대칭암호키, 리모트비대칭암호키로 암호화한 로컬 PIN 데이터가 삭제되는 것을 특징으로 하는 PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치.
  13. 리모트서버는 리모트 PUF Chip, 리모트난수생성기, 리모트메모리, 감시카메라, 리모트제어부를 포함하여 구성되어,
    상기 리모트제어부는 리모트 PUF Chip의 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 리모트 PIN 데이터로 리모트대칭암호키를 생성하며;
    상기 리모트제어부는 상기 리모트난수생성기를 통해 무작위 난수를 발생하여, 상기 리모트대칭암호키를 암호화하여 리모트비대칭암호키를 생성하며;
    상기 리모트대칭암호키는 로컬서버 내부 로컬메모리에 저장되며;

    로컬서버는 로컬 PUF Chip, 로컬양자난수생성기, 로컬메모리, 로컬제어부를 포함하여 구성되어,
    상기 로컬제어부는 로컬 PUF Chip의 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 로컬 PIN 데이터를 생성하여 로컬대칭암호키를 생성하며;
    상기 로컬제어부는 상기 로컬양자난수생성기를 통해 무작위 난수를 발생하여, 상기 로컬대칭암호키를 암호화하여 로컬비대칭암호키를 생성하며;
    상기 로컬대칭암호키는 리모트서버 내부 리모트메모리에 저장되며;

    리모트서버가 로컬서버로 양방향 터널링 데이터통신 요청 로그인(Log-in)하면,
    로컬서버는 리모트서버 IP Address로 로컬비대칭암호키를 전송하며;
    리모트서버는 로컬비대칭암호키를 수신하여 로컬서버 IP Address로 리모트 대칭암호키를 로컬비대칭암호키로 암호화한 리모트암호키를 로컬서버로 전송하며;
    로컬서버는 상기 리모트암호키를 로컬대칭암호키로 복호화한 리모트대칭암호키와 로컬메모리에 저장된 리모트대칭암호키가 일치할 경우, 로컬서버와 리모트서버 사이에 로그인(Log-in) 양방향 터널링 데이터통신을 개통하며;
    로그아웃(Log-in)시 로컬비대칭암호키, 리모트암호키가 삭제되며;

    로컬서버가 리모트서버로 양방향 터널링 데이터통신 요청 로그인(Log-in)할 경우,
    리모트서버는 로컬서버 IP Address로 리모트비대칭암호키를 전송하며;
    로컬서버는 리모트비대칭암호키를 수신하여 리모트서버 IP Address로 로컬 대칭암호키를 리모트비대칭암호키로 암호화한 로컬암호키를 리모트서버로 전송하며;
    리모트서버는 상기 로컬암호키를 리모트대칭암호키로 복호화한 로컬대칭암호키와 리모트메모리에 저장된 로컬대칭암호키가 일치할 경우, 리모트서버와 로컬서버 사이에 로그인(Log-in) 양방향 터널링 데이터통신을 개통하여 감시카메라에서 촬영한 영상데이터를 로컬서버로 전송하며;
    로그아웃(Log-in)시 리모트비대칭암호키, 로컬암호키가 삭제되는 것을 특징으로 하는 PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치.
  14. 리모트서버는 리모트 PUF Chip, 리모트난수생성기, 리모트메모리, 감시카메라, 리모트제어부를 포함하여 구성되어,
    상기 리모트난수생성기는 리모트대칭암호키를 생성하며;
    상기 리모트제어부는 리모트 PUF Chip의 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 리모트 PIN 데이터를 생성하여 상기 리모트대칭암호키를 암호화하여 리모트비대칭암호키를 생성하며;
    상기 리모트대칭암호키는 로컬서버 내부 로컬메모리에 저장되며;

    로컬서버는 로컬 PUF Chip, 로컬양자난수생성기, 로컬메모리, 로컬제어부를 포함하여 구성되어,
    상기 로컬양자난수생성기는 로컬대칭암호키를 생성하며;
    상기 로컬제어부는 로컬 PUF Chip의 제조공정 중 발생하는 물리적 공정편차를 이용해 고유의 로컬 PIN 데이터를 생성하여 상기 로컬대칭암호키를 암호화하여 로컬비대칭암호키를 생성하며;
    상기 로컬대칭암호키는 리모트서버 내부 리모트메모리에 저장되며;

    리모트서버가 로컬서버로 양방향 터널링 데이터통신 요청 로그인(Log-in)하면,
    로컬서버는 리모트서버 IP Address로 로컬비대칭암호키를 전송하며;
    리모트서버는 로컬비대칭암호키를 수신하여 로컬서버 IP Address로 리모트대칭암호키를 로컬비대칭암호키로 암호화한 리모트암호키를 로컬서버로 전송하며;
    로컬서버는 상기 리모트암호키를 로컬대칭암호키로 복호화한 리모트대칭암호키와 로컬메모리에 저장된 리모트대칭암호키가 일치할 경우, 로컬서버와 리모트서버 사이에 로그인(Log-in) 양방향 터널링 데이터통신을 개통하며;
    로그아웃(Log-in)시 로컬비대칭암호키, 리모트암호키가 삭제되며;

    로컬서버가 리모트서버로 양방향 터널링 데이터통신 요청 로그인(Log-in)할 경우,
    리모트서버는 로컬서버 IP Address로 리모트비대칭암호키를 전송하며;
    로컬서버는 리모트비대칭암호키를 수신하여 리모트서버 IP Address로 로컬 대칭암호키를 리모트비대칭암호키로 암호화한 로컬암호키를 리모트서버로 전송하며;
    리모트서버는 상기 로컬암호키를 리모트대칭암호키로 복호화한 로컬대칭암호키와 리모트메모리에 저장된 로컬대칭암호가 일치할 경우, 리모트서버와 로컬서버 사이에 로그인(Log-in) 양방향 터널링 데이터통신을 개통하여 감시카메라에서 촬영한 영상데이터를 로컬서버로 전송하며;
    로그아웃(Log-in)시 리모트비대칭암호키, 로컬암호키가 삭제되는 것을 특징으로 하는 PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치.
  15. 제 1 항, 제 2 항, 제 3 항, 제 4 항, 제 5 항, 제 6 항, 제 7 항, 제 8 항, 제 9 항, 제 10 항, 제 11 항, 제 12 항, 제 13 항, 제 14 항 중 어느 하나에 있어서,
    통신방식은 유선네트워크망, LTE(Long Term Evolution), LoRA, LTE-M, NB-IoT, Sigfox, UNBWAN(Ultra Narrow Band Wide Area Network), LoRAWAN(LoRA Wide Area Network), WeightlessWAN, LTEWAN(Long Term Evolution Wide Area Network), LPWAN(Low Power Wide Area Network) 중 어느 하나 이상의 통신방식을 사용하는 것을 특징으로 하는 PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치.
  16. 제 1 항, 제 2 항, 제 3 항, 제 4 항, 제 5 항, 제 6 항, 제 7 항, 제 8 항, 제 9 항, 제 10 항, 제 11 항, 제 12 항, 제 13 항, 제 14 항 중 어느 하나에 있어서,
    통신모뎀을 추가로 구성하여,
    통신모뎀은 송신 로라모듈(TX-LoRA), 수신 로라모듈(RX-LoRA)로 구성되어 양방향 통신이 가능한 것을 특징으로 하는 PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치.
  17. 제 1 항, 제 2 항, 제 3 항, 제 4 항, 제 5 항, 제 6 항, 제 7 항, 제 8 항, 제 9 항, 제 10 항, 제 11 항, 제 12 항, 제 13 항, 제 14 항 중 어느 하나에 있어서,
    양자난수생성기(Quantum Random Number Generator, QRNG)는 순수난수생성기(True Random Number Generator, TRNG) 또는 의사난수생성기(Pseudo Random Number Generator, PRNG) 중 어느 하나로 대체되는 것을 특징으로 하는 PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치.
  18. 제 11 항, 제 12 항, 제 13 항, 제 14 항 중 어느 하나에 있어서,
    리모트서버는 리모트 VPN(Virtual Private Network)으로 대체 및 로컬서버는 로컬 VPN(Virtual Private Network)으로 대체되는 것을 특징으로 하는 PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치.
  19. 제 3 항, 제 4 항, 제 7 항, 제 8 항 중 어느 하나에 있어서,
    MAC Address(Media Access Control Address)는 IP Address(Internet Protocol Address)로 대체되는 것을 특징으로 하는 PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치.
  20. 제 1 항, 제 2 항, 제 3 항, 제 4 항, 제 5 항, 제 6 항, 제 7 항, 제 8 항, 제 9 항, 제 10 항, 제 11 항, 제 12 항, 제 13 항, 제 14 항 중 어느 하나에 있어서,
    감시카메라는 누수검지센서, 수도계량기, 열검침기, 가스검침기, 전력량검침기, 태양광 발전기, 신재생에너지 발전기, 배전반, 방송장치, 자동제어반, 자동제어 서버 중 어느 하나 이상으로부터 데이터를 수신하는 것을 특징으로 하는 PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치.
  21. 제 1 항, 제 2 항, 제 3 항, 제 4 항, 제 5 항, 제 6 항, 제 7 항, 제 8 항, 제 9 항, 제 10 항, 제 11 항, 제 12 항, 제 13 항, 제 14 항 중 어느 하나에 있어서,
    감시카메라는 누수검지센서, 수도계량기, 열검침기, 가스검침기, 전력량검침기, 태양광 발전기, 신재생에너지 발전기, 배전반, 방송장치, 자동제어반, 자동제어 서버 중 어느 하나로 대체되는 것을 특징으로 하는 PUF-QRNG 보안단말기 탑재 CCTV 영상감시장치.

KR1020170144512A 2017-11-01 2017-11-01 Puf-qrng 보안단말기 탑재 cctv 영상감시장치 KR20190049069A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170144512A KR20190049069A (ko) 2017-11-01 2017-11-01 Puf-qrng 보안단말기 탑재 cctv 영상감시장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170144512A KR20190049069A (ko) 2017-11-01 2017-11-01 Puf-qrng 보안단말기 탑재 cctv 영상감시장치

Publications (1)

Publication Number Publication Date
KR20190049069A true KR20190049069A (ko) 2019-05-09

Family

ID=66545646

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170144512A KR20190049069A (ko) 2017-11-01 2017-11-01 Puf-qrng 보안단말기 탑재 cctv 영상감시장치

Country Status (1)

Country Link
KR (1) KR20190049069A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11804971B2 (en) 2020-08-05 2023-10-31 Analog Devices, Inc. Correcting physical unclonable function errors based on short integers solutions to lattice problems

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11804971B2 (en) 2020-08-05 2023-10-31 Analog Devices, Inc. Correcting physical unclonable function errors based on short integers solutions to lattice problems

Similar Documents

Publication Publication Date Title
KR101888629B1 (ko) Puf-qrng 보안단말기 시스템
EP2747335B1 (en) Device and method for puf-based inter-device security authentication in machine-to-machine communication
US11277444B2 (en) System-on-chip for performing virtual private network function and system including the same
US20160156464A1 (en) Encrypting and storing data
BRPI0315450B1 (pt) circuito eletrônico à prova de violação para implementação em um dispositivo, dispositivo implementado com um circuito eletrônico à prova de violação, e, método de gerenciamento de dados de segurança para um dispositivo
EP3306970A1 (en) Lpwa communication system key management
KR101765207B1 (ko) 교통 신호 보안 시스템 및 방법
KR101993885B1 (ko) 양자 보안칩 탑재 누수-원격검침 lpwan 서비스 제공 양자보안 통신시스템
KR20190049006A (ko) Puf-qrng 원격검침 감시 단말기
KR102172693B1 (ko) 양자암호키 4차 행렬 해시함수 블럭체인 스마트 그리드 배전반 제어시스템 감시 cctv 방재 감시카메라
KR20210087000A (ko) One-way-ring/two-way-ring network qrn key 분배방법 및 하이브리드 양자통신 시스템 단말기 및 이종망 qrn key 분배 하이브리드 양자통신 폐쇄망 시스템
KR20210046615A (ko) 가상사설망을 통해 메시지를 전송하는 시스템
KR20190102960A (ko) 감시카메라 자가망을 이용한 양자 보안칩 탑재 lpwan 서비스 제공 양자보안 통신시스템
KR20190049069A (ko) Puf-qrng 보안단말기 탑재 cctv 영상감시장치
KR20190049332A (ko) Puf-qrng 보안단말기 탑재 cctv 영상감시장치
KR20190102950A (ko) 방범용 CCTV PUF(eFUSE)-Q(T)RNG 단말기를 통한 통신방법
KR101993882B1 (ko) Puf-qrng 양자보안 시스템
KR20190102961A (ko) 양자 보안칩 탑재 배전반 lpwan 서비스 제공 양자보안 통신시스템
KR101891033B1 (ko) 양자 보안인증 시스템
KR20190049333A (ko) Puf-qrng 원격검침 감시 단말기
KR20190102972A (ko) PUF(eFUSE)-TRNG 보안 시스템
KR20190102951A (ko) 방범용 CCTV PUF-TRNG TWIN 단말기 및 방범용 CCTV eFUSE-TRNG TWIN 단말기
KR20190102962A (ko) 양자 보안칩 탑재 방송장치 lpwan 서비스 제공 양자보안 통신시스템
KR20180109652A (ko) 양자난수와 의사난수를 결합한 보안 인증 cctv 영상방범 시스템
KR102257607B1 (ko) 하이브리드 양자통신채널에 적용된 one-way-ring/two-way-ring network 제어방법 및 폐쇄자가망 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application