KR20240112239A - Method, apparatus and system for connecting VPN secured session based on quantum technology - Google Patents

Method, apparatus and system for connecting VPN secured session based on quantum technology Download PDF

Info

Publication number
KR20240112239A
KR20240112239A KR1020240088616A KR20240088616A KR20240112239A KR 20240112239 A KR20240112239 A KR 20240112239A KR 1020240088616 A KR1020240088616 A KR 1020240088616A KR 20240088616 A KR20240088616 A KR 20240088616A KR 20240112239 A KR20240112239 A KR 20240112239A
Authority
KR
South Korea
Prior art keywords
quantum
client
server
session
random number
Prior art date
Application number
KR1020240088616A
Other languages
Korean (ko)
Inventor
강효성
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020240088616A priority Critical patent/KR20240112239A/en
Publication of KR20240112239A publication Critical patent/KR20240112239A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 양자 기술 기반 보안 세션 연결 방법, 장치 및 시스템에 관한 것으로서, 보다 구체적으로는 가상 사설망(VPN) 등의 통신망에서 양자 기술에 기반하여 SSL 등 보안 세션을 연결하여 보안을 강화할 수 있는 양자 기술 기반 보안 세션 연결 방법, 장치 및 시스템에 관한 것이다.
본 발명에서는, 서버가, 제1 양자키 분배 장치(QKD)에서 생성된 양자 데이터를 수신하는 양자 데이터 수신 단계; 클라이언트의 종류를 식별하는 클라이언트 식별 단계; 및 상기 클라이언트의 종류에 따라 서로 다른 세션키 생성 방식을 적용하여 상기 양자 데이터를 이용해 상기 클라이언트와의 보안 세션을 생성하기 위한 세션키를 생성하는 세션키 생성 단계;를 포함하는 것을 특징으로 하는 보안 세션 연결 방법을 개시한다.
The present invention relates to a method, device, and system for connecting a secure session based on quantum technology. More specifically, a quantum technology that can strengthen security by connecting a secure session such as SSL based on quantum technology in a communication network such as a virtual private network (VPN). It relates to based secure session connection methods, devices, and systems.
In the present invention, a quantum data reception step in which a server receives quantum data generated by a first quantum key distribution device (QKD); a client identification step of identifying the type of client; and a session key generation step of generating a session key for creating a secure session with the client using the quantum data by applying different session key generation methods depending on the type of the client. A connection method is disclosed.

Description

양자 기술 기반 가상 사설망의 보안 세션 연결 방법, 장치 및 시스템 {Method, apparatus and system for connecting VPN secured session based on quantum technology}{Method, apparatus and system for connecting VPN secured session based on quantum technology}

본 발명은 양자 기술 기반 보안 세션 연결 방법, 장치 및 시스템에 관한 것으로서, 보다 구체적으로는 가상 사설망(VPN) 등의 통신망에서 양자 기술에 기반하여 SSL 등 보안 세션을 연결하여 보안을 강화할 수 있는 양자 기술 기반 보안 세션 연결 방법, 장치 및 시스템에 관한 것이다.The present invention relates to a method, device, and system for connecting a secure session based on quantum technology. More specifically, a quantum technology that can strengthen security by connecting a secure session such as SSL based on quantum technology in a communication network such as a virtual private network (VPN). It relates to based secure session connection methods, devices, and systems.

가상 사설망(Virtual Private Network, VPN)은, 도 1에서 볼 수 있는 바와 같이, 서로 다른 네트워크에 속하는 호스트를 가상으로 묶어 동일한 네트워크에 속하는 것처럼 동작하는 환경을 제공하는 기술이다. As can be seen in Figure 1, a virtual private network (VPN) is a technology that provides an environment in which hosts belonging to different networks are virtually grouped together and operate as if they belong to the same network.

가상 사설망은 최근 재택 근무의 확산 등과 함께 다양한 기술 분야에서 폭넓게 활용되고 있다. 이때, 가상 사설망에서는 보안을 위하여 접속 호스트에 대한 인증 절차와 세션을 통해 전송되는 데이터에 암호화 과정을 적용하여 운용하게 된다.Virtual private networks have recently been widely used in various technological fields along with the spread of telecommuting. At this time, the virtual private network operates by applying an authentication process for the connecting host and an encryption process to the data transmitted through the session for security purposes.

또한, 최근 전자 상거래, 인터넷 뱅킹 등 다양한 서비스를 위하여 전송 계층의 암호화 표준 프로토콜인 SSL(Secure Socket Layer)을 이용해 정보의 기밀성 및 무결성을 보장하는 보안 기술이 폭넓게 쓰이고 있다.In addition, recently, security technology that guarantees confidentiality and integrity of information using SSL (Secure Socket Layer), a standard encryption protocol of the transport layer, has been widely used for various services such as e-commerce and internet banking.

이와 관련하여, 도 2에서는 가상 사설망(VPN)에서 서버와 클라이언트 간의 SSL(Secure Socket Layer) 인증 과정을 예시하고 있다. 도 2에서 볼 수 있는 바와 같이, 가상 사설망(VPN)에서 서버와 클라이언트는 각각 생성한 유사 난수(pseudo random number)를 서로 교환하며, 나아가 이를 이용해 세션키를 생성하여 암호화를 수행하게 된다.In this regard, Figure 2 illustrates the Secure Socket Layer (SSL) authentication process between a server and a client in a virtual private network (VPN). As can be seen in Figure 2, in a virtual private network (VPN), the server and the client exchange pseudo-random numbers they each generate, and further use them to generate a session key and perform encryption.

그런데, 상기 유사 난수(pseudo random number)는 근원적으로 수식 등을 활용하여 산출될 수 밖에 없어 예측이 불가능한 완전히 불확정한 값이라고 보기 어렵고, 초기값과 수식을 알 수 있는 경우 유추가 가능하여 보안상 위험이 따를 수 밖에 없다는 한계를 가진다.However, the pseudo random number cannot be regarded as a completely uncertain value that cannot be predicted because it can only be calculated using a formula, etc., and it can be inferred if the initial value and formula are known, which poses a security risk. There is a limit to which there is no choice but to follow this.

이에 대하여, 양자 난수(Quantum Random Number)는, 도 3에서 볼 수 있는 바와 같이, 방사성 동위 원소의 알파 입자의 시간격을 이용하여 난수를 생성하는 등 양자역학적으로 불확정성을 가지는 구조에 기반하여 예측이 불가하고 유사 난수의 보안상 위험을 극복할 수 있다는 장점을 가진다.In contrast, as can be seen in Figure 3, Quantum Random Number is predicted based on a structure with quantum mechanical uncertainty, such as generating random numbers using the time interval of alpha particles of radioactive isotopes. It has the advantage of being able to overcome the security risks of pseudo-random numbers.

이에 따라, 가상 사설망(VPN) 등에서 양자 난수 등과 같이 양자 기술에 기반하여 완전한 불확정성을 가지는 난수를 생성하고, 이에 기반해 SSL 등 보안 세션을 연결하여 보안을 강화할 수 있는 방안이 요구되고 있으나, 아직 이에 대한 적절한 해법이 제시되지 못하고 있다.Accordingly, there is a need for a method to strengthen security by generating random numbers with complete uncertainty based on quantum technology, such as quantum random numbers, in virtual private networks (VPNs) and connecting secure sessions such as SSL based on this, but this is not yet available. An appropriate solution has not been proposed.

대한민국 공개특허공보 제10-2018-0120053호(2018년 11월 5일 공개)Republic of Korea Patent Publication No. 10-2018-0120053 (published on November 5, 2018)

본 발명은 상기와 같은 종래 기술의 문제점을 해결하기 위해 창안된 것으로, 가상 사설망(VPN) 등의 통신망에서 양자 난수 생성기 등 양자 기술에 기반하여 완전한 불확정성을 가지는 난수를 생성하고, 이에 기반해 SSL 등 보안 세션을 연결하여 보안을 강화할 수 있도록 하는 양자 기술 기반 보안 세션 연결 방법, 장치 및 시스템을 제공하는 것을 목적으로 한다.The present invention was created to solve the problems of the prior art as described above, and generates a random number with complete uncertainty based on quantum technology such as a quantum random number generator in a communication network such as a virtual private network (VPN), and based on this, generates a random number with complete uncertainty, such as SSL, etc. The purpose is to provide a quantum technology-based secure session connection method, device, and system that can strengthen security by connecting secure sessions.

또한, 본 발명에서는 서버에서 복수 종류의 클라이언트를 식별하고 각 클라이언트에 대응하여 SSL 등 보안 세션을 연결할 수 있는 양자 기술 기반 보안 세션 연결 방법, 장치 및 시스템을 제공하는 것을 목적으로 한다.In addition, the purpose of the present invention is to provide a quantum technology-based secure session connection method, device, and system that can identify multiple types of clients in a server and connect a secure session such as SSL in response to each client.

나아가, 본 발명에서는 기존의 SSL 보안 프로토콜과의 호환성을 유지하면서 양자 기술에 기반하여 가상 사설망(VPN) 등의 통신망에서 보안 세션을 연결할 수 있는 양자 기술 기반 보안 세션 연결 방법, 장치 및 시스템을 제공하는 것을 목적으로 한다.Furthermore, the present invention provides a quantum technology-based secure session connection method, device, and system that can connect a secure session in a communication network such as a virtual private network (VPN) based on quantum technology while maintaining compatibility with the existing SSL security protocol. The purpose is to

그 외 본 발명의 세부적인 목적은 아래에 기재되는 구체적인 내용을 통하여 이 기술 분야의 전문가나 연구자에게 자명하게 파악되고 이해될 수 있을 것이다.In addition, the detailed purpose of the present invention can be clearly understood and understood by experts or researchers in this technical field through the specific contents described below.

상기 과제를 해결하기 위한 본 발명의 한 측면에 따른 보안 세션 연결 방법은, 서버에서 클라이언트와 보안 세션을 연결하는 방법에 있어서, 양자 데이터를 수신하는 양자 데이터 수신 단계; 보안 세션 연결 시에 상기 양자 데이터가 사용되는 방식에 따라 클라이언트의 종류를 식별하는 클라이언트 식별 단계; 및 상기 클라이언트의 종류에 따라 서로 다른 세션키 생성 방식을 적용하여 상기 양자 데이터를 이용해 상기 클라이언트와의 보안 세션을 생성하기 위한 세션키를 생성하는 세션키 생성 단계;를 포함하는 것을 특징으로 한다.A secure session connection method according to one aspect of the present invention for solving the above problem is a method of connecting a secure session with a client in a server, comprising: receiving quantum data; A client identification step of identifying a type of client according to the way the quantum data is used when connecting a secure session; and a session key generation step of generating a session key for creating a secure session with the client using the quantum data by applying different session key generation methods depending on the type of the client.

이때, 상기 클라이언트가 양자 난수 생성부를 구비하는 제1 유형 클라이언트인 경우, 상기 세션키 생성 단계에서는, 상기 양자 데이터와 상기 양자 난수 생성부에서 생성된 양자 난수를 함께 사용하여 상기 세션키를 산출할 수 있다.At this time, if the client is a first type client equipped with a quantum random number generator, in the session key generation step, the session key can be calculated using the quantum data and the quantum random number generated by the quantum random number generator. there is.

또한, 상기 서버는 상기 클라이언트로부터 상기 제1 유형을 식별할 수 있는 정보와 상기 양자 난수를 포함하는 메시지를 수신하여, 상기 양자 데이터와 상기 양자 난수를 사용해 상기 세션키를 산출할 수 있다.Additionally, the server may receive a message containing information identifying the first type and the quantum random number from the client, and calculate the session key using the quantum data and the quantum random number.

나아가, 상기 서버는 상기 클라이언트로 상기 양자 데이터를 포함하는 메시지를 회신하여, 상기 클라이언트가 상기 양자 데이터와 상기 양자 난수를 사용해 상기 세션키를 산출하도록 할 수 있다.Furthermore, the server may return a message containing the quantum data to the client, allowing the client to calculate the session key using the quantum data and the quantum random number.

또한, 상기 클라이언트가 유사 난수 생성부를 구비하는 제2 유형 클라이언트인 경우, 상기 세션키 생성 단계에서는, 상기 유사 난수 생성부에서 생성된 유사 난수를 사용하지 않고 상기 양자 데이터를 사용하여 상기 세션키를 산출할 수 있다.In addition, when the client is a second type client equipped with a pseudo-random number generator, in the session key generation step, the session key is calculated using the quantum data without using the pseudo-random number generated by the pseudo-random number generator. can do.

이때, 상기 서버는 상기 클라이언트로부터 상기 제2 유형을 식별할 수 있는 정보를 포함하는 메시지를 수신하여, 상기 양자 데이터를 사용하여 상기 세션키를 산출할 수 있다.At this time, the server can receive a message containing information that can identify the second type from the client and calculate the session key using the quantum data.

나아가, 상기 서버는 상기 클라이언트로 상기 양자 데이터를 포함하는 메시지를 회신하여, 상기 클라이언트가 상기 양자 데이터를 사용하여 상기 세션키를 산출하도록 할 수 있다.Furthermore, the server may return a message containing the quantum data to the client, allowing the client to calculate the session key using the quantum data.

또한, 상기 클라이언트가 상기 제1 양자키 분배 장치와 연동되는 제2 양자키 분배 장치(QKD)에서 생성된 양자 데이터를 제공받는 제3 유형 클라이언트인 경우, 상기 세션키 생성 단계에서는, 상기 제1 양자키 분배 장치가 상기 제2 양자키 분배 장치와 연동하여 생성한 양자 데이터를 이용하여 상기 세션키를 산출할 수 있다.In addition, when the client is a third type client that receives quantum data generated by a second quantum key distribution device (QKD) linked to the first quantum key distribution device, in the session key generation step, the first quantum key distribution device The key distribution device may calculate the session key using quantum data generated in conjunction with the second quantum key distribution device.

이때, 상기 서버는 상기 클라이언트로부터 상기 제3 유형을 식별할 수 있는 정보를 포함하는 메시지를 수신하여, 상기 제1 양자키 분배 장치가 상기 제2 양자키 분배 장치와 연동하여 생성한 양자 데이터를 이용하여 상기 세션키를 산출할 수 있다.At this time, the server receives a message containing information capable of identifying the third type from the client and uses quantum data generated by the first quantum key distribution device in conjunction with the second quantum key distribution device. Thus, the session key can be calculated.

나아가, 상기 서버는 상기 클라이언트로 메시지를 회신하여 상기 클라이언트가 상기 양자 데이터를 이용하여 상기 세션키를 산출하도록 할 수 있다.Furthermore, the server can reply a message to the client and allow the client to calculate the session key using the quantum data.

또한, 상기 보안 세션은 SSL(Secure Socket Layer) 프로토콜과 호환될 수 있다.Additionally, the secure session may be compatible with the Secure Socket Layer (SSL) protocol.

또한, 상기 서버는 가상 사설망(VPN) 서버이고, 상기 보안 세션을 통해 상기 클라이언트와 가상 사설망(VPN)을 형성할 수 있다.Additionally, the server is a virtual private network (VPN) server, and can form a virtual private network (VPN) with the client through the secure session.

또한, 본 발명의 다른 측면에 따른 서버는, 클라이언트와 보안 세션을 연결하는 서버에 있어서, 양자 데이터를 수신하는 양자 데이터 수신부; 보안 세션 연결 시에 상기 양자 데이터가 사용되는 방식에 따라 클라이언트의 종류를 식별하는 클라이언트 식별부; 및 상기 클라이언트의 종류에 따라 서로 다른 세션키 생성 방식을 적용하여 상기 양자 데이터를 이용해 상기 클라이언트와의 보안 세션을 생성하기 위한 세션키를 생성하는 세션키 생성부;를 포함하는 것을 특징으로 한다.Additionally, a server according to another aspect of the present invention includes a server that connects a client and a secure session, comprising: a quantum data receiving unit that receives quantum data; a client identification unit that identifies the type of client according to the way the quantum data is used when connecting a secure session; and a session key generator that generates a session key for creating a secure session with the client using the quantum data by applying different session key generation methods depending on the type of the client.

또한, 본 발명의 또 다른 측면에 따른 클라이언트는, 서버와 보안 세션을 연결하는 클라이언트에 있어서, 양자 난수를 생성하는 양자 난수 생성부; 상기 양자 난수와 상기 클라이언트의 유형을 식별할 수 있는 정보를 포함하는 메시지를 서버로 전송하는 메시지 전송부; 및 상기 서버로부터 전송받은 양자 데이터와 상기 양자 난수 생성부에서 생성된 양자 난수를 함께 사용하여 세션키를 산출하는 세션키 생성부;를 포함하는 것을 특징으로 한다.In addition, according to another aspect of the present invention, a client connecting a server and a secure session includes: a quantum random number generator that generates a quantum random number; a message transmission unit that transmits a message containing the quantum random number and information identifying the type of the client to a server; and a session key generator that calculates a session key using the quantum data transmitted from the server and the quantum random number generated by the quantum random number generator.

또한, 본 발명의 또 다른 측면에 따른 클라이언트는, 서버와 보안 세션을 연결하는 클라이언트에 있어서, 유사 난수를 생성하는 유사 난수 생성부; 상기 클라이언트의 유형을 식별할 수 있는 정보를 포함하는 메시지를 서버로 전송하는 메시지 전송부; 및 상기 서버로부터 전송받은 양자 데이터 중 제1 양자 데이터로 상기 유사 난수를 대체하고 제2 양자 데이터를 함께 사용하여 세션키를 산출하는 세션키 생성부;를 포함하는 것을 특징으로 한다.In addition, according to another aspect of the present invention, a client connecting a server and a secure session includes: a pseudo-random number generator that generates a pseudo-random number; a message transmission unit that transmits a message containing information identifying the type of the client to a server; and a session key generator that replaces the pseudo-random number with first quantum data among the quantum data transmitted from the server and calculates a session key using the second quantum data together.

또한, 본 발명의 또 다른 측면에 따른 클라이언트는, 서버와 보안 세션을 연결하는 클라이언트에 있어서, 서버로 양자키를 제공하는 제1 양자키 분배 장치(QKD)와 연동되는 제2 양자키 분배 장치(QKD)로부터 양자 데이터를 수신받는 양자 데이터 수신부; 및 상기 양자 데이터를 이용하여 세션키를 산출하는 세션키 생성부;를 포함하는 것을 특징으로 한다.In addition, a client according to another aspect of the present invention is a client that connects a secure session with a server, and a second quantum key distribution device ( A quantum data receiving unit that receives quantum data from QKD); and a session key generator that calculates a session key using the quantum data.

또한, 본 발명의 또 다른 측면에 따른 보안 세션 연결 방법은, 서버에서 클라이언트와 보안 세션을 연결하는 방법에 있어서, 클라이언트로부터 유사 난수를 포함하는 메시지를 수신하는 메시지 수신 단계; 제1 양자 데이터와 제2 양자 데이터를 포함하는 메시지를 상기 클라이언트로 전송하는 메시지 송신 단계; 및 상기 제1 양자 데이터를 이용해 상기 유사 난수를 대체하고, 제2 양자 데이터를 함께 사용하여 상기 클라이언트와의 보안 세션을 생성하기 위한 세션키를 생성하는 세션키 생성 단계;를 포함하는 것을 특징으로 한다.In addition, a secure session connection method according to another aspect of the present invention includes a method of connecting a secure session with a client in a server, comprising: receiving a message including a pseudo-random number from the client; A message transmission step of transmitting a message including first quantum data and second quantum data to the client; And a session key generation step of replacing the pseudo-random number using the first quantum data and generating a session key for creating a secure session with the client using the second quantum data together. .

이에 따라, 본 발명의 일 실시예에 따른 양자 기술 기반 보안 세션 연결 방법, 장치 및 시스템에서는, 가상 사설망(VPN) 등의 통신망에서 양자키 분배 장치(QKD), 양자 난수 생성기 등 양자 기술에 기반하여 완전한 불확정성을 가지는 난수를 생성하고, 이에 기반해 SSL 등 보안 세션을 연결하여 보안을 강화할 수 있게 된다.Accordingly, in the quantum technology-based secure session connection method, device, and system according to an embodiment of the present invention, based on quantum technology such as quantum key distribution device (QKD) and quantum random number generator in communication networks such as virtual private network (VPN), Security can be strengthened by generating a random number with complete uncertainty and connecting a secure session such as SSL based on this.

또한, 본 발명의 일 실시예에 따른 양자 기술 기반 보안 세션 연결 방법, 장치 및 시스템에서는, 서버에서 복수 종류의 클라이언트를 식별하고 각 클라이언트의 유형에 대응하여 SSL 등 보안 세션을 연결할 수 있게 된다.Additionally, in the quantum technology-based secure session connection method, device, and system according to an embodiment of the present invention, the server can identify multiple types of clients and connect a security session, such as SSL, corresponding to the type of each client.

나아가, 본 발명의 일 실시예에 따른 양자 기술 기반 보안 세션 연결 방법, 장치 및 시스템에서는, 기존의 SSL 보안 프로토콜과의 호환성을 유지하면서 양자 기술에 기반하여 가상 사설망(VPN) 등의 통신망에서 보안 세션을 연결할 수 있게 된다.Furthermore, in the quantum technology-based secure session connection method, device, and system according to an embodiment of the present invention, a secure session is established in a communication network such as a virtual private network (VPN) based on quantum technology while maintaining compatibility with the existing SSL security protocol. can be connected.

본 발명에 관한 이해를 돕기 위해 상세한 설명의 일부로 포함되는, 첨부도면은 본 발명에 대한 실시예를 제공하고, 상세한 설명과 함께 본 발명의 기술적 사상을 설명한다.
도 1은 종래 기술에 따른 가상 사설망(VPN)의 구조를 설명하는 도면이다.
도 2는 종래 기술에 따른 SSL 보안 인증 과정을 예시하는 도면이다.
도 3은 종래 기술에 따른 양자 난수 생성을 설명하는 도면이다.
도 4는 본 발명의 일 실시예에 따른 통신 시스템(100)의 구조를 예시하는 도면이다.
도 5 는 본 발명의 일 실시예에 따른 보안 세션 연결 방법에 대한 순서도이다.
도 6 내지 도 8은 본 발명의 일 실시예에 따른 제1 유형 클라이언트(120a)에 대한 보안 세션 연결을 설명하는 도면이다.
도 9 내지 도 11은 본 발명의 일 실시예에 따른 제2 유형 클라이언트(120b)에 대한 보안 세션 연결을 설명하는 도면이다.
도 12 내지 도 13은 본 발명의 일 실시예에 따른 제3 유형 클라이언트(120c)에 대한 보안 세션 연결을 설명하는 도면이다.
도 14는 본 발명의 일 실시예에 따른 제3 유형 클라이언트(120c)에서의 양자 데이터 수신을 예시하는 도면이다.
도 15는 본 발명의 일 실시예에 따른 가상 사설망(VPN)에서의 SSL 보안 세션 연결을 설명하는 순서도이다.
도 16은 본 발명의 일 실시예에 따른 서버(110)의 블록도를 예시하는 도면이다.
도 17은 본 발명의 일 실시예에 따른 제1 유형 클라이언트(120a)의 블록도를 예시하는 도면이다.
도 18은 본 발명의 일 실시예에 따른 제2 유형 클라이언트(120b)의 블록도를 예시하는 도면이다.
도 19는 본 발명의 일 실시예에 따른 제3 유형 클라이언트(120c)의 블록도를 예시하는 도면이다.
도 20은 본 발명의 다른 실시예에 따른 통신 시스템(100)의 구조를 예시하는 도면이다.
도 21은 본 발명의 다른 실시예에 따른 보안 세션 연결 방법에 대한 순서도이다.
The accompanying drawings, which are included as part of the detailed description to aid understanding of the present invention, provide embodiments of the present invention, and together with the detailed description, explain the technical idea of the present invention.
Figure 1 is a diagram explaining the structure of a virtual private network (VPN) according to the prior art.
Figure 2 is a diagram illustrating an SSL security authentication process according to the prior art.
Figure 3 is a diagram explaining quantum random number generation according to the prior art.
Figure 4 is a diagram illustrating the structure of a communication system 100 according to an embodiment of the present invention.
Figure 5 is a flowchart of a secure session connection method according to an embodiment of the present invention.
6 to 8 are diagrams illustrating a secure session connection to a first type client 120a according to an embodiment of the present invention.
9 to 11 are diagrams illustrating a secure session connection to a second type client 120b according to an embodiment of the present invention.
12 to 13 are diagrams illustrating a secure session connection to a third type client 120c according to an embodiment of the present invention.
FIG. 14 is a diagram illustrating quantum data reception in a third type client 120c according to an embodiment of the present invention.
Figure 15 is a flowchart explaining an SSL secure session connection in a virtual private network (VPN) according to an embodiment of the present invention.
Figure 16 is a diagram illustrating a block diagram of the server 110 according to an embodiment of the present invention.
Figure 17 is a diagram illustrating a block diagram of a first type client 120a according to an embodiment of the present invention.
Figure 18 is a diagram illustrating a block diagram of a second type client 120b according to an embodiment of the present invention.
Figure 19 is a diagram illustrating a block diagram of a third type client 120c according to an embodiment of the present invention.
Figure 20 is a diagram illustrating the structure of a communication system 100 according to another embodiment of the present invention.
Figure 21 is a flowchart of a secure session connection method according to another embodiment of the present invention.

본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 이하에서는 특정 실시예들을 첨부된 도면을 기초로 상세히 설명하고자 한다.The present invention can be modified in various ways and can have various embodiments. Hereinafter, specific embodiments will be described in detail based on the accompanying drawings.

이하의 실시예는 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.The following examples are provided to provide a comprehensive understanding of the methods, devices and/or systems described herein. However, this is only an example and the present invention is not limited thereto.

본 발명의 실시예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시 예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다. 명확하게 달리 사용되지 않는 한, 단수 형태의 표현은 복수 형태의 의미를 포함한다. 본 설명에서, "포함" 또는 "구비"와 같은 표현은 어떤 특성들, 숫자들, 단계들, 동작들, 요소들, 이들의 일부 또는 조합을 가리키기 위한 것이며, 기술된 것 이외에 하나 또는 그 이상의 다른 특성, 숫자, 단계, 동작, 요소, 이들의 일부 또는 조합의 존재 또는 가능성을 배제하도록 해석되어서는 안 된다. In describing the embodiments of the present invention, if it is determined that a detailed description of the known technology related to the present invention may unnecessarily obscure the gist of the present invention, the detailed description will be omitted. In addition, the terms described below are terms defined in consideration of functions in the present invention, and may vary depending on the intention or custom of the user or operator. Therefore, the definition should be made based on the contents throughout this specification. The terminology used in the detailed description is only for describing embodiments of the present invention and should in no way be limiting. Unless explicitly stated otherwise, singular forms include plural meanings. In this description, expressions such as "comprising" or "comprising" are intended to indicate certain features, numbers, steps, operations, elements, parts or combinations thereof, and one or more than those described. It should not be construed to exclude the existence or possibility of any other characteristic, number, step, operation, element, or part or combination thereof.

또한, 제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되는 것은 아니며, 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.In addition, terms such as first, second, etc. may be used to describe various components, but the components are not limited by the terms, and the terms are used for the purpose of distinguishing one component from another component. It is used only as

이하, 본 발명의 일 실시예에 따른 양자 기술 기반 보안 세션 연결 방법, 장치 및 시스템에 대한 예시적인 실시 형태들을 첨부된 도면을 참조하여 차례로 설명한다.Hereinafter, exemplary embodiments of a quantum technology-based secure session connection method, device, and system according to an embodiment of the present invention will be sequentially described with reference to the attached drawings.

먼저, 도 4에서는 본 발명의 일 실시예에 따른 양자 기술 기반에 기반하여 보안 세션 연결을 수행하는 통신 시스템(100)의 구성도가 예시되어 있다. 도 4에서 볼 수 있는 바와 같이, 본 발명의 일 실시예에 따른 통신 시스템(100)은 서버(110)와 클라이언트(120a, 120b, 120c) 및 통신 네트워크(130)를 포함하여 구성될 수 있다.First, Figure 4 illustrates a configuration diagram of a communication system 100 that performs a secure session connection based on quantum technology according to an embodiment of the present invention. As can be seen in FIG. 4, the communication system 100 according to an embodiment of the present invention may be configured to include a server 110, clients 120a, 120b, and 120c, and a communication network 130.

또한, 양자키 또는 양자 난수 등 양자 데이터를 생성하여 상기 서버(110)로 공급하는 제1 양자키 분배 장치(Quantum Key Distribution, QKD)(113) 및 제1 양자키 관리 장치(Key Management System, KMS)(114)가 구비될 수 있고, 상기 제1 양자키 분배 장치(113) 및 상기 제1 양자키 관리 장치(114)와 연동되어 양자키를 생성하거나 양자 난수를 생성하여 제3 유형 클라이언트(120c)로 공급하는 제2 양자키 분배 장치(124) 및 제2 양자키 관리 장치(125)가 구비될 수 있다.In addition, a first quantum key distribution device (Quantum Key Distribution, QKD) 113 and a first quantum key management device (Key Management System, KMS) that generate quantum data such as a quantum key or quantum random number and supply it to the server 110. ) 114 may be provided, and may be linked with the first quantum key distribution device 113 and the first quantum key management device 114 to generate a quantum key or generate a quantum random number to create a third type client (120c). ) may be provided with a second quantum key distribution device 124 and a second quantum key management device 125 that supply.

또한, 상기 통신 네트워크(130)는 유선 네트워크 또는 무선 네트워크를 포함할 수 있으며, 구체적으로, 근거리 통신망 (LAN: Local Area Network), 도시권 통신망 (MAN: Metropolitan Area Network), 광역 통신망 (WAN: Wide Area Network) 등의 다양한 통신망을 포함할 수 있다. 또한, 상기 통신 네트워크(130)는 공지의 월드 와이드 웹(WWW: World Wide Web)을 포함할 수도 있다. 그러나, 본 발명에 따른 통신 네트워크(130)는 상기 열거된 네트워크에 국한되지 않고, 공지의 무선 데이터 네트워크나 공지의 전화 네트워크 또는 공지의 유무선 텔레비전 네트워크를 적어도 일부로 포함할 수도 있다.Additionally, the communication network 130 may include a wired network or a wireless network, and specifically, a local area network (LAN), a metropolitan area network (MAN), and a wide area network (WAN). Network) may include various communication networks such as Additionally, the communication network 130 may include the known World Wide Web (WWW). However, the communication network 130 according to the present invention is not limited to the networks listed above, and may include at least some of a known wireless data network, a known telephone network, or a known wired or wireless television network.

이때, 상기 서버(110)는 상기 클라이언트(120)와 SSL(Secure Socket Layer) 보안 세션을 통해 연결되어 가상 사설망(Virtual Private Network, VPN)를 형성할 수 있으며, 이에 따라 상기 서버(110)는 VPN 서버를 구성하고 상기 클라이언트는 VPN 클라이언트를 구성하며, 상기 통신 네트워크(130)는 가상 사설망(VPN)을 구성할 수 있으나, 본 발명인 반드시 이에 한정되는 것은 아니다.At this time, the server 110 may be connected to the client 120 through a Secure Socket Layer (SSL) security session to form a virtual private network (VPN). Accordingly, the server 110 may be connected to the client 120 through a VPN. A server may be configured, the client may configure a VPN client, and the communication network 130 may configure a virtual private network (VPN), but the present invention is not necessarily limited thereto.

또한, 도 4에서 상기 제1 양자키 분배 장치(113)와 상기 제2 양자키 분배 장치(124)를 연결하는 양자 채널은 광섬유(optical fiber)를 이용하여 구성될 수 있겠으나, 본 발명이 반드시 이에 한정되는 것은 아니며 이외에도 광신호를 전달할 수 있는 매체라면 상기 양자 채널을 구성하는데 사용될 수 있다.In addition, in FIG. 4, the quantum channel connecting the first quantum key distribution device 113 and the second quantum key distribution device 124 may be constructed using optical fiber, but the present invention does not necessarily require It is not limited to this, and any medium capable of transmitting optical signals can be used to construct the quantum channel.

이에 따라, 상기 제1 양자키 분배 장치(113)와 상기 제2 양자키 분배 장치(124)는 BB84 프로토콜 등 다양한 프로토콜을 사용하여 상기 광신호의 위상, 편광 등을 이용해 양자키를 생성하는데 필요한 정보를 교환하고 양자 신호 스트림 등 양자 로데이터(raw data)를 생성하여 분배할 수 있다.Accordingly, the first quantum key distribution device 113 and the second quantum key distribution device 124 use various protocols such as the BB84 protocol to generate the information necessary to generate a quantum key using the phase, polarization, etc. of the optical signal. can be exchanged and quantum raw data such as quantum signal streams can be generated and distributed.

또한, 상기 제1 양자키 관리 장치(114)와 상기 제2 양자키 관리 장치(125)에서는 상기 제1 양자키 분배 장치(113)와 상기 제2 양자키 분배 장치(124)에서 생성하는 양자 로데이터(raw data)에서 분할하여 양자키를 생성하거나 양자 난수를 생성하여 상기 서버(110) 또는 제3 유형 클라이언트(120c)로 제공할 수 있다.In addition, the first quantum key management device 114 and the second quantum key management device 125 use a quantum row generated by the first quantum key distribution device 113 and the second quantum key distribution device 124. A quantum key can be generated by dividing data (raw data) or a quantum random number can be generated and provided to the server 110 or the third type client 120c.

이에 따라, 상기 서버(110)에서는, 상기 제1 양자키 분배 장치(113)에서 생성된 양자키 또는 양자 난수 등 양자 데이터를 수신하고, 연결하고자 하는 클라이언트(120)의 종류에 따라 서로 다른 세션키 생성 방식을 적용하여 상기 양자 데이터를 이용해 상기 클라이언트(120)와의 보안 세션을 생성하기 위한 세션키를 생성하여 보안 세션을 연결할 수 있다.Accordingly, the server 110 receives quantum data such as a quantum key or quantum random number generated by the first quantum key distribution device 113, and different session keys depending on the type of client 120 to be connected. By applying the generation method, a session key for creating a secure session with the client 120 can be created using the quantum data and a secure session can be connected.

이때, 상기 보안 세션은 SSL(Secure Socket Layer) 프로토콜과 호환될 수 있으나, 본 발명이 반드시 이에 한정되는 것은 아니다.At this time, the secure session may be compatible with the SSL (Secure Socket Layer) protocol, but the present invention is not necessarily limited thereto.

또한, 상기 서버(110)는 상기 SSL 등 보안 세션을 통해 상기 클라이언트(120)와 가상 사설망(VPN)을 형성할 수 있으나, 본 발명이 반드시 이에 한정되는 것은 아니다.Additionally, the server 110 may form a virtual private network (VPN) with the client 120 through a security session such as SSL, but the present invention is not necessarily limited thereto.

또한, 도 5에서는 본 발명의 일 실시예에 따른 양자 기술 기반 보안 세션 연결 방법의 순서도를 예시하고 있다.Additionally, Figure 5 illustrates a flowchart of a quantum technology-based secure session connection method according to an embodiment of the present invention.

이때, 도 5에서 볼 수 있는 바와 같이, 본 발명의 일 실시예에 따른 양자 기술 기반 보안 세션 연결 방법은, 서버(110)에서 클라이언트(120)와 보안 세션을 연결하는 방법에 있어서, 양자 데이터를 수신하는 양자 데이터 수신 단계(S110), 보안 세션 연결 시에 상기 양자 데이터가 사용되는 방식에 따라 클라이언트(120)의 종류를 식별하는 클라이언트 식별 단계(S120) 및 상기 클라이언트(120)의 종류에 따라 서로 다른 세션키 생성 방식을 적용하여 상기 양자 데이터를 이용해 상기 클라이언트(120)와의 보안 세션을 생성하기 위한 세션키를 생성하는 세션키 생성 단계(S130)를 포함할 수 있다.At this time, as can be seen in FIG. 5, the quantum technology-based secure session connection method according to an embodiment of the present invention is a method of connecting the server 110 to the client 120 and a secure session, using quantum data. A receiving quantum data receiving step (S110), a client identification step (S120) of identifying the type of the client 120 according to the way the quantum data is used when connecting a secure session, and a client identification step (S120) of identifying the type of the client 120. A session key generation step (S130) of generating a session key for creating a secure session with the client 120 using the quantum data by applying another session key generation method may be included.

이때, 상기 클라이언트(120)는 양자 난수 생성부(Quantum Random Number Generator, QRNG)(121a)를 구비하는 제1 유형 클라이언트(120a)이거나, 유사 난수 생성부(Pseudo Random Number Generator, PRNG)(121b)이거나, 상기 제1 양자키 분배 장치(113)와 연동되는 제2 양자키 분배 장치(124)로부터 양자 데이터를 제공받는 제3 유형 클라이언트(120c)일 수 있으나, 본 발명이 반드시 이에 한정되는 것은 아니며, 상기 유형 이외에 다른 유형이 더 포함되거나 일부 유형이 제외될 수도 있다.At this time, the client 120 is a first type client 120a including a quantum random number generator (QRNG) 121a, or a pseudo random number generator (PRNG) 121b. Alternatively, it may be a third type client 120c that receives quantum data from the second quantum key distribution device 124 linked to the first quantum key distribution device 113, but the present invention is not necessarily limited thereto. , In addition to the above types, other types may be included or some types may be excluded.

이하, 본 발명의 일 실시예에 따른 양자 기술 기반 보안 세션 연결 방법에 대하여, 각 클라이언트(120)의 유형별로 나누어 보다 보다 자세하게 살핀다.Hereinafter, the quantum technology-based secure session connection method according to an embodiment of the present invention will be examined in more detail by dividing it by type of each client 120.

이하, 상기 서버(110)와 클라이언트(120)가 SSL 프로토콜을 이용해 가상 사설망(VPN)을 형성하는 경우를 들어 설명하나, 본 발명이 이에 한정되는 것은 아니다.Hereinafter, a case where the server 110 and the client 120 form a virtual private network (VPN) using the SSL protocol will be described, but the present invention is not limited to this.

먼저, 상기 제1 유형 클라이언트(120a)의 경우에는, 상기 세션키 생성 단계(S130)에서 상기 서버(110)는 상기 제1 양자키 관리 장치(114)로부터 제공받은 상기 양자 데이터와 상기 제1 유형 클라이언트(120a)의 양자 난수 생성부(121a)에서 생성된 양자 난수를 전송받아, 상기 양자 데이터와 상기 양자 난수를 함께 사용하여 상기 세션키를 산출할 수 있다.First, in the case of the first type client 120a, in the session key generation step (S130), the server 110 uses the quantum data provided from the first quantum key management device 114 and the first type By receiving a quantum random number generated by the quantum random number generator 121a of the client 120a, the session key can be calculated by using the quantum data and the quantum random number together.

보다 구체적으로, 도 6에서 볼 수 있는 바와 같이, 제1 유형 클라이언트(120a)는 서버(110)로 상기 제1 유형을 식별할 수 있는 정보와 상기 양자 난수를 포함하는 메시지(도 6의 Client Hello 메시지)를 전송할 수 있다.More specifically, as can be seen in FIG. 6, the first type client 120a sends a message (Client Hello in FIG. 6) containing information for identifying the first type and the quantum random number to the server 110. message) can be transmitted.

이때, 상기 제1 유형을 식별할 수 있는 정보로서, 도 6에서 볼 수 있는 바와 같이, SSL Handshake 필드 내의 Extension 필드 renegotiation_info 값을 미리 정해진 값(예를 들어, 0x000b)으로 설정할 수 있다.At this time, as information that can identify the first type, as can be seen in FIG. 6, the extension field renegotiation_info value in the SSL Handshake field can be set to a predetermined value (for example, 0x000b).

또한, 상기 양자 난수는 상기 SSL Handshake 필드 내의 Random 필드에 저장할 수 있다.Additionally, the quantum random number can be stored in the Random field in the SSL Handshake field.

여기서, 상기 Extension 필드는 SSH Handshake 과정에서 주고받는 메시지에서 세션 수립에 필요한 부가적인 정보들이 포함되는 필드로서, 여기에 포함되는 renegotiation_info 값을 가상 사설망(VPN) 세션이 끊어졌을 때 재협상을 통한 세션 재수립시 활용하기 위해 이전 VPN 클라이언트의 세션 정보를 포함하게 되어, 최초 세션 연결 수립시에는 활용되지 않으므로, 본 발명에서는 상기 필드를 클라이언트의 유형을 식별할 수 있는 정보를 전달하기 위하여 사용할 수 있다.Here, the Extension field is a field that contains additional information necessary for session establishment in messages exchanged during the SSH Handshake process. The renegotiation_info value included here is used to re-establish the session through renegotiation when the virtual private network (VPN) session is disconnected. For use, session information of the previous VPN client is included and is not used when establishing an initial session connection. Therefore, in the present invention, the field can be used to convey information that can identify the type of client.

이에 따라, 상기 제1 유형 클라이언트(120a)로부터 상기 메시지를 전송받은 서버(110)는 상기 renegotiation_info 값을 확인하여 제1 유형 클라이언트(120a)를 확인하여, 이에 대응하는 프로세스에 따라 처리하여 세션키를 생성하게 된다.Accordingly, the server 110, which has received the message from the first type client 120a, checks the renegotiation_info value to identify the first type client 120a, processes it according to the corresponding process, and generates a session key. will be created.

보다 구체적으로, 상기 서버(110)에서는, 도 7에서 볼 수 있는 바와 같이, 제1 양자키 분배 장치(113)가 양자키 또는 양자 난수 등 양자 데이터를 발급하면(도 7의 ①), 상기 양자 데이터를 제1 양자키 관리 장치(114)를 통해 배포받아, 상기 양자 데이터를 포함하는 메시지(도 7의 Server Hello 메시지)를 회신하여(도 7의 ②), 상기 제1 유형 클라이언트(120a)가 상기 양자 데이터와 상기 양자 난수를 사용해 상기 세션키를 산출하도록 하게 된다.More specifically, in the server 110, as can be seen in FIG. 7, when the first quantum key distribution device 113 issues quantum data such as a quantum key or quantum random number (① in FIG. 7), the quantum Data is distributed through the first quantum key management device 114, and a message (Server Hello message in FIG. 7) containing the quantum data is returned (② in FIG. 7), and the first type client 120a The session key is calculated using the quantum data and the quantum random number.

이에 따라, 도 8에서 볼 수 있는 바와 같이, 상기 서버(110)와 상기 제1 유형 클라이언트(120a)는 SSL 프로토콜과 호환성을 유지하면서(도 8의 ①), 상기 제1 양자키 관리 장치(114)로부터 제공받은 상기 양자 데이터와 상기 제1 유형 클라이언트(120a)의 양자 난수 생성부(121a)에서 생성된 양자 난수를 함께 사용하여 세션키를 생성하여(도 8의 ②), 가상 사설망(VPN) 세션을 수립할 수 있게 된다(도 8의 ③).Accordingly, as can be seen in FIG. 8, the server 110 and the first type client 120a maintain compatibility with the SSL protocol (① in FIG. 8) and the first quantum key management device 114 ) is used together with the quantum data provided from the quantum random number generated by the quantum random number generator 121a of the first type client 120a to generate a session key (② in FIG. 8), and a virtual private network (VPN) A session can be established (③ in FIG. 8).

다음으로, 상기 제2 유형 클라이언트(120b)의 경우에는, 상기 세션키 생성 단계(S130)에서 상기 서버(110)는 상기 제2 유형 클라이언트(120b)의 유사 난수 생성부(121b)에서 생성된 유사 난수를 사용하지 않고, 상기 제1 양자키 관리 장치(114)로부터 제공받은 양자 데이터를 사용하여 상기 세션키를 산출하게 된다.Next, in the case of the second type client 120b, in the session key generation step (S130), the server 110 generates a pseudo-random number generator 121b of the second type client 120b. The session key is calculated using quantum data provided from the first quantum key management device 114, without using random numbers.

보다 구체적으로, 도 9에서 볼 수 있는 바와 같이, 제2 유형 클라이언트(120b)는 서버(110)로 상기 제2 유형을 식별할 수 있는 정보와 상기 유사 난수를 포함하는 메시지(도 9의 Client Hello 메시지)를 전송할 수 있다.More specifically, as can be seen in FIG. 9, the second type client 120b sends a message (Client Hello in FIG. 9) containing information identifying the second type and the pseudo-random number to the server 110. message) can be transmitted.

이때, 상기 제1 유형을 식별할 수 있는 정보로서, 도 9에서 볼 수 있는 바와 같이, SSL Handshake Protocol 필드 내의 Extension 필드 renegotiation_info 값을 미리 정해진 값(예를 들어, 0x000a)으로 설정할 수 있다.At this time, as information that can identify the first type, as can be seen in FIG. 9, the value of the extension field renegotiation_info in the SSL Handshake Protocol field can be set to a predetermined value (for example, 0x000a).

또한, 상기 유사 난수는 상기 SSL Handshake Protocol 필드 내의 Random 필드에 저장할 수 있다. 그러나, 본 발명이 반드시 이에 한정되는 것은 아니며, 상기 유사 난수는 상기 메시지에 포함되지 않을 수도 있다.Additionally, the pseudo-random number can be stored in the Random field within the SSL Handshake Protocol field. However, the present invention is not necessarily limited to this, and the pseudo-random number may not be included in the message.

여기서, 상기 Extension 필드는 SSH Handshake 과정에서 주고받는 메시지에서 세션 수립에 필요한 부가적인 정보들이 포함되는 필드로서, 여기에 포함되는 renegotiation_info 값을 가상 사설망(VPN) 세션이 끊어졌을 때 재협상을 통한 세션 재수립시 활용하기 위해 이전 VPN 클라이언트의 세션 정보를 포함하게 되어, 최초 세션 연결 수립시에는 활용되지 않으므로, 본 발명에서는 상기 필드를 클라이언트의 유형을 식별할 수 있는 정보를 전달하기 위하여 사용할 수 있다.Here, the Extension field is a field that contains additional information necessary for session establishment in messages exchanged during the SSH Handshake process. The renegotiation_info value included here is used to re-establish the session through renegotiation when the virtual private network (VPN) session is disconnected. For use, session information of the previous VPN client is included and is not used when establishing an initial session connection. Therefore, in the present invention, the field can be used to convey information that can identify the type of client.

이에 따라, 상기 제2 유형 클라이언트(120b)로부터 상기 메시지를 전송받은 서버(110)는 상기 renegotiation_info 값을 확인하여 제2 유형 클라이언트(120b)를 확인하여, 이에 대응하는 프로세스에 따라 처리하여 세션키를 생성하게 된다.Accordingly, the server 110, which received the message from the second type client 120b, checks the renegotiation_info value to identify the second type client 120b, processes it according to the corresponding process, and generates a session key. will be created.

보다 구체적으로, 상기 서버(110)에서는, 도 10에서 볼 수 있는 바와 같이, 제1 양자키 분배 장치(113)가 양자키 또는 양자 난수 등 양자 데이터를 2개 발급하면(도 10의 ①), 상기 2개의 양자 데이터를 제1 양자키 관리 장치(114)를 통해 배포받아, 상기 2개의 양자 데이터를 포함하는 메시지(도 10의 Server Hello 메시지)를 회신하여(도 10의 ②), 상기 제2 유형 클라이언트(120b)가 상기 2개의 양자 데이터를 사용해 상기 세션키를 산출하도록 하게 된다.More specifically, in the server 110, as can be seen in FIG. 10, when the first quantum key distribution device 113 issues two pieces of quantum data such as a quantum key or a quantum random number (① in FIG. 10), The two quantum data are distributed through the first quantum key management device 114, and a message (Server Hello message in FIG. 10) containing the two quantum data is returned (② in FIG. 10), and the second The type client 120b is caused to calculate the session key using the two quantum data.

이에 따라, 도 11에서 볼 수 있는 바와 같이, 상기 서버(110)와 상기 제2 유형 클라이언트(120b)는 SSL 프로토콜과 호환성을 유지하면서(도 11의 ①), 상기 제1 양자키 관리 장치(114)로부터 제공받은 2개의 양자 데이터를 사용하여 세션키를 생성하여(도 10의 ②), 가상 사설망(VPN) 세션을 수립할 수 있게 된다(도 10의 ③).Accordingly, as can be seen in FIG. 11, the server 110 and the second type client 120b maintain compatibility with the SSL protocol (① in FIG. 11) and the first quantum key management device 114 ) By using the two quantum data provided from ) to generate a session key (② in FIG. 10), a virtual private network (VPN) session can be established (③ in FIG. 10).

또한, 상기 제3 유형 클라이언트(120c)의 경우에는, 상기 세션키 생성 단계(S130)에서 상기 서버(110)는 상기 제1 양자키 분배 장치(113)가 상기 제2 양자키 분배 장치(124)와 연동하여 생성한 양자 데이터를 이용하여 상기 세션키를 산출하게 된다.In addition, in the case of the third type client 120c, in the session key generation step (S130), the server 110 sets the first quantum key distribution device 113 to the second quantum key distribution device 124. The session key is calculated using quantum data generated in conjunction with .

보다 구체적으로, 도 12에서 볼 수 있는 바와 같이, 제3 유형 클라이언트(120c)는 서버(110)로 상기 제3 유형을 식별할 수 있는 정보를 포함하는 메시지(도 12의 Client Hello 메시지)를 전송할 수 있다.More specifically, as can be seen in FIG. 12, the third type client 120c transmits a message (Client Hello message in FIG. 12) containing information that can identify the third type to the server 110. You can.

이때, 상기 제3 유형을 식별할 수 있는 정보로서, 도 12에서 볼 수 있는 바와 같이, 상기 SSL Handshake Protocol 필드 내의 Random 필드를 32바이트의 0xFF로 정의하여 저장할 수 있다. 그러나, 본 발명이 반드시 이에 한정되는 것은 아니다.At this time, as information that can identify the third type, as can be seen in FIG. 12, the Random field in the SSL Handshake Protocol field can be defined and stored as 32 bytes of 0xFF. However, the present invention is not necessarily limited thereto.

이에 따라, 상기 제3 유형 클라이언트(120c)로부터 상기 메시지를 전송받은 서버(110)는 상기 Random 필드를 확인하여 32바이트의 0xFF가 저장된 경우 제3 유형 클라이언트(120c)로 판단할 수 있다.Accordingly, the server 110 that received the message from the third type client 120c can check the Random field and determine that it is a third type client 120c if 32 bytes of 0xFF are stored.

이때, 상기 서버(110)는 동일한 양자암호 통신망에 연결된 제3 유형 클라이언트(120c)임을 파악하고, SSL Handshake를 통한 세션 연결이 불가하므로 도 13에서 볼 수 있는 바와 같이 SSL Handshake를 종료하는 메시지(도 13의 Server Finish 메시지)를 회신하게 된다(도 13의 ①).At this time, the server 110 recognizes that it is a third type client 120c connected to the same quantum cryptography communication network, and since session connection through SSL handshake is not possible, it sends a message terminating the SSL handshake as can be seen in FIG. 13 (FIG. 13, Server Finish message) is returned (① in Figure 13).

이어서, 상기 서버(110)와 상기 제3 유형 클라이언트(120c)는 각각 제1 양자키 분배 장치(113)와 제2 양자키 분배 장치(124)가 연동하여 생성한 양자키 등의 양자 데이터를 제공받아 세션키를 산출하게 된다(도 13의 ②).Subsequently, the server 110 and the third type client 120c provide quantum data such as a quantum key generated by linking the first quantum key distribution device 113 and the second quantum key distribution device 124, respectively. After receiving the session key, the session key is calculated (② in Figure 13).

이때, 도 14에서 볼 수 있는 바와 같이, 상기 양자 데이터는 양자키 분배 장치(QKD)에서 생성된 양자키일 수도 있으나(도 14의 (a)), 본 발명이 반드시 이에 한정되는 것은 아니며 상기 양자 데이터는 양자키 분배 장치(QKD)에서 생성된 양자 난수일 수도 있다.At this time, as can be seen in FIG. 14, the quantum data may be a quantum key generated by a quantum key distribution device (QKD) ((a) of FIG. 14), but the present invention is not necessarily limited thereto and the quantum data may be a quantum random number generated by a quantum key distribution device (QKD).

이에 따라, 도 13에서 볼 수 있는 바와 같이, 상기 서버(110)와 상기 제3 유형 클라이언트(120c)는 상기 제1 양자키 분배 장치(113)와 제2 양자키 분배 장치(124)가 연동하여 생성된 양자 데이터를 사용하여 세션키를 생성하여 가상 사설망(VPN) 세션을 수립할 수 있게 된다(도 13의 ③).Accordingly, as can be seen in FIG. 13, the server 110 and the third type client 120c are linked with the first quantum key distribution device 113 and the second quantum key distribution device 124. A virtual private network (VPN) session can be established by generating a session key using the generated quantum data (③ in FIG. 13).

또한, 도 15에서는 본 발명의 일 실시예에 따른 가상 사설망(VPN)에서의 SSL 보안 세션 연결을 설명하는 구체적인 순서도를 예시하고 있다.Additionally, Figure 15 illustrates a specific flowchart explaining an SSL secure session connection in a virtual private network (VPN) according to an embodiment of the present invention.

이하, 도 15를 참조하여 본 발명에서 SSL 보안 세션을 통해 가상 사설망(VPN)을 형성하는 과정을 보다 구체적으로 설명한다.Hereinafter, the process of forming a virtual private network (VPN) through an SSL security session in the present invention will be described in more detail with reference to FIG. 15.

먼저, 도 15에서 볼 수 있는 바와 같이, 상기 서버(110)는 클라이언트(120)가 SSL 세션 수립을 위해 송신한 메시지(Client Hello 메시지)를 수신한다(S210).First, as can be seen in FIG. 15, the server 110 receives a message (Client Hello message) sent by the client 120 to establish an SSL session (S210).

이어서, 상기 서버(110)는 상기 메시지의 SSL Handshake Protocol 필드에 포함된 Random 변수의 값이 32 바이트의 0xFF로 저장되어 있는지 확인한다(S220).Next, the server 110 checks whether the value of the Random variable included in the SSL Handshake Protocol field of the message is stored as 0xFF of 32 bytes (S220).

이때, 상기 Random 변수에 32 바이트의 0xFF가 저장되어 있는 경우, 상기 서버(110)는 상기 클라이언트(120)를 제3 유형 클라이언트(120c)로 판단하여(S230) 이에 대응하는 프로세스에 따라 처리하여 세션키를 생성하게 된다.At this time, if 32 bytes of 0xFF are stored in the Random variable, the server 110 determines the client 120 as a third type client 120c (S230) and processes it according to the corresponding process to establish a session. A key is created.

이에 따라, 상기 서버(110)는 상기 제3 유형 클라이언트(120c)로 Server Finish 메시지를 송신하여 SSH Handshake 과정을 종료한다(S232).Accordingly, the server 110 terminates the SSH Handshake process by sending a Server Finish message to the third type client 120c (S232).

이어서, 상기 서버(110)와 상기 제3 유형 클라이언트(120c)는 각각 제1 양자키 분배 장치(113)와 제2 양자키 분배 장치(124)에서 생성된 동일한 양자키를 제1 양자키 관리 장치(114)와 제2 양자키 관리 장치(125)를 통해 배포받고, SSL Handshake 과정없이 상기 양자키를 세션키로 대체한다(S234).Subsequently, the server 110 and the third type client 120c send the same quantum key generated by the first quantum key distribution device 113 and the second quantum key distribution device 124 to the first quantum key management device, respectively. It is distributed through (114) and the second quantum key management device (125), and the quantum key is replaced with a session key without an SSL handshake process (S234).

반면, 상기 Random 변수에 32 바이트의 0xFF가 저장되어 있지 않은 경우, 상기 서버(110)는 상기 SSL Handshake Protocal 필드 내의 Extension 필드 renegotiation_info 값을 확인하여(S240), 0x000a인 경우 제2 유형 클라이언트(120b)로 판단하고, 0x000b인 경우 제1 유형 클라이언트(120a)로 판단할 수 있다.On the other hand, if 32 bytes of 0xFF are not stored in the Random variable, the server 110 checks the extension field renegotiation_info value in the SSL Handshake Protocol field (S240), and if it is 0x000a, the second type client 120b If it is 0x000b, it can be determined as a first type client 120a.

이에 따라, 상기 제2 유형 클라이언트(120b)로 판단된 경우, 상기 서버(110)는 상기 메시지에 포함된 Random 필드의 값을 유사 난수로 판단하고(S250), 제1 양자키 분배 장치(113)에서 생성된 2개의 32바이트 양자 데이터를 제1 양자키 관리 장치(114)를 통해 제공받아 Server Hello 메시지의 Random 필드에 저장한다(S252).Accordingly, when determined to be the second type client 120b, the server 110 determines the value of the Random field included in the message to be a pseudo-random number (S250), and the first quantum key distribution device 113 Two pieces of 32-byte quantum data generated are provided through the first quantum key management device 114 and stored in the Random field of the Server Hello message (S252).

반면, 상기 제1 유형 클라이언트(120a)로 판단된 경우, 상기 서버(110)는 상기 메시지에 포함된 Random 필드의 값을 양자 난수로 판단하고(S260), 제1 양자키 분배 장치(113)에서 생성된 1개의 32바이트 양자 데이터를 제1 양자키 관리 장치(114)를 통해 제공받아 Server Hello 메시지의 Random 필드에 저장한다.On the other hand, if it is determined to be the first type client (120a), the server 110 determines the value of the Random field included in the message to be a quantum random number (S260), and the first quantum key distribution device 113 One 32-byte quantum data generated is provided through the first quantum key management device 114 and stored in the Random field of the Server Hello message.

이어서, 상기 서버(110)는 상기 Server Hello 메시지를 상기 클라이언트(120)로 전송하고, 이에 따라 상기 서버(110)와 상기 클라이언트(120)는 SSL Handshake 과정을 통해 양자 난수 기반의 세션키를 생성할 수 있게 된다(S270).Subsequently, the server 110 transmits the Server Hello message to the client 120, and accordingly, the server 110 and the client 120 generate a quantum random number-based session key through the SSL Handshake process. becomes possible (S270).

이에 따라, 상기 서버(110)와 상기 클라이언트(120)는 생성된 세션키를 활용하여 SSL 보안 세션을 통해 암호화 통신을 지원하는 가상 사설망(VPN)을 형성하게 된다(S280).Accordingly, the server 110 and the client 120 use the generated session key to form a virtual private network (VPN) that supports encrypted communication through an SSL security session (S280).

또한, 도 16에서는 본 발명의 일 실시예에 따른 서버(110)의 블록도를 예시하고 있다. Additionally, Figure 16 illustrates a block diagram of the server 110 according to an embodiment of the present invention.

도 16에서 볼 수 있는 바와 같이, 본 발명의 일 실시예에 따른 서버(110)는, 클라이언트(120)와 보안 연결을 위한 서버(110)로서, 양자 데이터 수신부(111), 클라이언트 식별부(112) 및 세션키 생성부(113)를 포함하여 구성될 수 있다.As can be seen in FIG. 16, the server 110 according to an embodiment of the present invention is a server 110 for a secure connection with a client 120, and includes a quantum data reception unit 111 and a client identification unit 112. ) and a session key generator 113.

상기 본 발명의 일 실시예에 따른 서버(110)에 대해서는 앞서 본 발명의 일 실시예에 따른 보안 세션 연결 방법 및 시스템(100)과 관련하여 자세하게 설명한 바, 아래에서는 본 발명의 일 실시예에 따른 서버(110)의 구체적인 구성에 대하여 요지를 중심으로 간략하게 설명한다.The server 110 according to an embodiment of the present invention has been previously described in detail in relation to the secure session connection method and system 100 according to an embodiment of the present invention. Below, the server 110 according to an embodiment of the present invention has been described in detail. The specific configuration of the server 110 will be briefly described focusing on the main points.

먼저, 상기 양자 데이터 수신부(111)에서는 제1 양자키 분배 장치(113)에서 생성된 양자 데이터를 수신할 수 있으나, 본 발명이 반드시 이에 한정되는 것은 아니며, 양자 난수 생성기 등 다른 장치로부터 상기 양자 데이터를 수신하는 것도 가능하다.First, the quantum data receiving unit 111 may receive quantum data generated in the first quantum key distribution device 113, but the present invention is not necessarily limited thereto, and the quantum data may be received from another device such as a quantum random number generator. It is also possible to receive.

또한, 상기 클라이언트 식별부(112)에서는 보안 세션 연결 시에 상기 양자 데이터가 사용되는 방식에 따라 클라이언트(120)의 종류를 식별하게 된다.Additionally, the client identification unit 112 identifies the type of client 120 according to the method in which the quantum data is used when connecting a secure session.

이에 따라, 상기 세션키 생성부(113)에서는, 상기 클라이언트(120)의 종류에 따라 서로 다른 세션키 생성 방식을 적용하여 상기 양자 데이터를 이용해 상기 클라이언트와의 보안 세션을 생성하기 위한 세션키를 생성하게 된다.Accordingly, the session key generator 113 applies different session key generation methods depending on the type of the client 120 to generate a session key for creating a secure session with the client using the quantum data. I do it.

이때, 상기 클라이언트(120)가 양자 난수 생성부(121a)를 구비하는 제1 유형 클라이언트(120a)인 경우, 상기 세션키 생성부(112)에서는, 상기 양자 데이터와 상기 양자 난수 생성부(121a)에서 생성된 양자 난수를 함께 사용하여 상기 세션키를 산출할 수 있다.At this time, when the client 120 is a first type client 120a equipped with a quantum random number generator 121a, the session key generator 112 generates the quantum data and the quantum random number generator 121a. The session key can be calculated by using the quantum random number generated in .

또한, 상기 클라이언트(120)가 유사 난수 생성부(121b)를 구비하는 제2 유형 클라이언트(120b)인 경우, 상기 세션키 생성부(112)에서는, 상기 유사 난수 생성부(121b)에서 생성된 유사 난수를 사용하지 않고 상기 양자 데이터를 사용하여 상기 세션키를 산출할 수 있다.In addition, when the client 120 is a second type client 120b equipped with a pseudo-random number generator 121b, the session key generator 112 generates a pseudo-random number generator 121b. The session key can be calculated using the quantum data without using random numbers.

또한, 상기 클라이언트(120)가 상기 제1 양자키 분배 장치(113)와 연동되는 제2 양자키 분배 장치(124)에서 생성된 양자 데이터를 제공받는 제3 유형 클라이언트(120c)인 경우, 상기 세션키 생성부(112)에서는 상기 제1 양자키 분배 장치(113)가 상기 제2 양자키 분배 장치(124)와 연동하여 생성한 양자 데이터를 이용하여 상기 세션키를 산출할 수 있다.In addition, when the client 120 is a third type client 120c that receives quantum data generated by the second quantum key distribution device 124 linked to the first quantum key distribution device 113, the session The key generator 112 may calculate the session key using quantum data generated by the first quantum key distribution device 113 in conjunction with the second quantum key distribution device 124.

또한, 도 17 내지 도 19에서는 본 발명의 일 실시예에 따른 각 유형의 클라이언트(120)의 블록도를 예시하고 있다.Additionally, Figures 17 to 19 illustrate block diagrams of each type of client 120 according to an embodiment of the present invention.

먼저, 도 17에서 볼 수 있는 바와 같이, 본 발명의 일 실시예에 따른 제1 유형 클라이언트(120a)는, 양자 난수를 생성하는 양자 난수 생성부(121a), 상기 양자 난수와 상기 클라이언트(120)의 유형을 식별할 수 있는 정보를 포함하는 메시지를 서버(110)로 전송하는 메시지 전송부(122) 및 상기 서버(110)로부터 전송받은 양자 데이터와 상기 양자 난수 생성부(120a)에서 생성된 양자 난수를 함께 사용하여 세션키를 산출하는 세션키 생성부(123)를 포함할 수 있다.First, as can be seen in FIG. 17, the first type client 120a according to an embodiment of the present invention includes a quantum random number generator 121a that generates a quantum random number, the quantum random number, and the client 120. A message transmitter 122 that transmits a message containing information that can identify the type of the device to the server 110, and quantum data transmitted from the server 110 and the quantum generated by the quantum random number generator 120a. It may include a session key generator 123 that calculates a session key using random numbers.

또한, 도 18에서 볼 수 있는 바와 같이, 본 발명의 일 실시예에 따른 제2 유형 클라이언트(120b)는, 유사 난수를 생성하는 유사 난수 생성부(121b), 상기 클라이언트(120)의 유형을 식별할 수 있는 정보를 포함하는 메시지를 서버(110)로 전송하는 메시지 전송부(122) 및 상기 서버(110)로부터 전송받은 양자 데이터 중 제1 양자 데이터로 상기 유사 난수를 대체하고 제2 양자 데이터와 함께 사용하여 세션키를 산출하는 세션키 생성부(123)를 포함할 수 있다.In addition, as can be seen in FIG. 18, the second type client 120b according to an embodiment of the present invention includes a pseudo-random number generator 121b that generates a pseudo-random number, and identifies the type of the client 120. A message transmitter 122 transmits a message containing information that can be used to transmit a message to the server 110, and replaces the pseudo-random number with first quantum data among the quantum data transmitted from the server 110 and replaces the pseudo-random number with second quantum data. It may include a session key generator 123 that calculates a session key by using it together.

또한, 도 19에서 볼 수 있는 바와 같이, 본 발명의 일 실시예에 따른 제3 유형 클라이언트(120c)는, 서버(110)로 양자키를 제공하는 제1 양자키 분배 장치(113)와 연동되는 제2 양자키 분배 장치(124)에서 생성된 양자 데이터를 수신받는 양자 데이터 수신부(121c) 및 상기 양자 데이터를 이용하여 세션키를 산출하는 세션키 생성부(123)를 포함할 수 있다.In addition, as can be seen in FIG. 19, the third type client 120c according to an embodiment of the present invention is linked to the first quantum key distribution device 113 that provides a quantum key to the server 110. It may include a quantum data receiver 121c that receives quantum data generated by the second quantum key distribution device 124, and a session key generator 123 that calculates a session key using the quantum data.

또한, 도 20에서는 본 발명의 다른 실시예에 따른 통신 시스템(100)의 구조를 예시하고 있다. 이에 대하여, 도 21에서는 본 발명의 다른 실시예에 따른 보안 세션 연결 방법의 순서도를 예시하고 있다.Additionally, Figure 20 illustrates the structure of a communication system 100 according to another embodiment of the present invention. In relation to this, Figure 21 illustrates a flowchart of a secure session connection method according to another embodiment of the present invention.

도 21에서 볼 수 있는 바와 같이, 본 발명의 다른 실시예에 따른 보안 세션 연결 방법에서는, 서버(110)에서 클라이언트(120)와 보안 세션을 연결하는 방법으로서, 클라이언트(120)로부터 유사 난수를 포함하는 메시지를 수신하는 메시지 수신 단계(S210), 제1 양자 데이터와 제2 양자 데이터를 포함하는 메시지를 상기 클라이언트(120)로 전송하는 메시지 송신 단계(S220) 및 상기 제1 양자 데이터를 이용해 상기 유사 난수를 대체하고, 제2 양자 데이터를 함께 사용하여 상기 클라이언트와의 보안 세션을 생성하기 위한 세션키를 생성하는 세션키 생성 단계(S230)를 포함하는 것을 특징으로 한다.As can be seen in FIG. 21, in the secure session connection method according to another embodiment of the present invention, the server 110 connects a secure session with the client 120, and includes a pseudo-random number from the client 120. A message receiving step (S210) of receiving a message, a message transmitting step (S220) of transmitting a message including first quantum data and second quantum data to the client 120, and the similar message using the first quantum data. It is characterized by including a session key generation step (S230) of replacing a random number and using second quantum data together to generate a session key for creating a secure session with the client.

이에 따라, 본 발명의 다른 실시예에 따른 통신 시스템(100)에서는 서버(110)가 종래 기술과 같이 유사 난수를 생성하는 제2 유형 클라이언트(120b)와 연동되는 경우, 클라이언트(120)의 종류를 식별하지 않고도 양자 난수를 생성해 상기 제2 유형 클라이언트(120b)로 전송하고, 상기 양자 난수 중 제1 양자 난수로 상기 유사 난수를 대체하고, 상기 제1 양자 난수와 제2 양자 난수를 함께 사용하여 세션키를 생성하여 보안 세션을 연결할 수도 있다.Accordingly, in the communication system 100 according to another embodiment of the present invention, when the server 110 is linked with a second type client 120b that generates pseudo-random numbers as in the prior art, the type of client 120 is determined. Generating a quantum random number without identification and transmitting it to the second type client 120b, replacing the pseudo-random number with a first quantum random number among the quantum random numbers, and using the first quantum random number and the second quantum random number together You can also connect a secure session by creating a session key.

이에 따라, 본 발명의 일 실시예에 따른 양자 기술 기반 보안 세션 연결 방법, 장치 및 시스템에서는, 가상 사설망(VPN) 등의 통신망에서 양자키 분배 장치(QKD), 양자 난수 생성기 등 양자 기술에 기반하여 완전한 불확정성을 가지는 난수를 생성하고, 이에 기반해 SSL 등 보안 세션을 연결하여 보안을 강화할 수 있게 된다.Accordingly, in the quantum technology-based secure session connection method, device, and system according to an embodiment of the present invention, based on quantum technology such as quantum key distribution device (QKD) and quantum random number generator in communication networks such as virtual private network (VPN), Security can be strengthened by generating a random number with complete uncertainty and connecting a secure session such as SSL based on this.

또한, 본 발명의 일 실시예에 따른 양자 기술 기반 보안 세션 연결 방법, 장치 및 시스템에서는, 서버(110)에서 복수 종류의 클라이언트(120)를 식별하고 각 클라이언트(120)의 유형에 대응하여 SSL 등 보안 세션을 연결할 수 있게 된다.In addition, in the quantum technology-based secure session connection method, device, and system according to an embodiment of the present invention, the server 110 identifies multiple types of clients 120 and responds to the type of each client 120, such as SSL, etc. A secure session can be established.

나아가, 본 발명의 일 실시예에 따른 양자 기술 기반 보안 세션 연결 방법, 장치 및 시스템에서는, 기존의 SSL 보안 프로토콜과의 호환성을 유지하면서 양자 기술에 기반하여 가상 사설망(VPN) 등의 통신망에서 보안 세션을 연결할 수 있게 된다.Furthermore, in the quantum technology-based secure session connection method, device, and system according to an embodiment of the present invention, a secure session is established in a communication network such as a virtual private network (VPN) based on quantum technology while maintaining compatibility with the existing SSL security protocol. can be connected.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서 본 발명에 기재된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의해서 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely an illustrative explanation of the technical idea of the present invention, and those skilled in the art will be able to make various modifications and variations without departing from the essential characteristics of the present invention. Accordingly, the embodiments described in the present invention are for illustrative purposes rather than limiting the technical idea of the present invention, and are not limited to these embodiments. The scope of protection of the present invention should be interpreted in accordance with the claims below, and all technical ideas within the equivalent scope should be interpreted as being included in the scope of rights of the present invention.

100 : 통신 시스템
110 : 서버
111 : 양자 데이터 수신부
112 : 세션키 생성부
113 : 제1 양자키 분배 장치
114 : 제1 양자키 관리 장치
120, 120a, 120b, 120c : 클라이언트
121a : 양자 난수 생성부
121b : 유사 난수 생성부
121c : 양자 데이터 수신부
122 : 메시지 전송부
123 : 세션키 생성부
124 : 제2 양자키 분배 장치
125 : 제2 양자키 관리 장치
130 : 통신 네트워크
100: communication system
110: server
111: Quantum data receiving unit
112: Session key generation unit
113: First quantum key distribution device
114: First quantum key management device
120, 120a, 120b, 120c: Client
121a: Quantum random number generator
121b: Pseudo-random number generator
121c: Quantum data receiving unit
122: message transmission unit
123: Session key generation unit
124: Second quantum key distribution device
125: Second quantum key management device
130: communication network

Claims (15)

서버에서 클라이언트와 보안 세션을 연결하는 방법에 있어서,
클라이언트로부터 유사 난수를 포함하는 메시지를 수신하는 메시지 수신 단계;
제1 양자 데이터와 제2 양자 데이터를 포함하는 메시지를 상기 클라이언트로 전송하는 메시지 송신 단계; 및
상기 제1 양자 데이터를 이용해 상기 유사 난수를 대체하고, 제2 양자 데이터를 함께 사용하여 상기 클라이언트와의 보안 세션을 생성하기 위한 세션키를 생성하는 세션키 생성 단계;
를 포함하는 것을 특징으로 하는 보안 세션 연결 방법.
In a method of connecting a secure session with a client on a server,
A message receiving step of receiving a message containing a pseudo-random number from a client;
A message transmission step of transmitting a message including first quantum data and second quantum data to the client; and
A session key generation step of replacing the pseudo-random number using the first quantum data and generating a session key for creating a secure session with the client using the second quantum data together;
A secure session connection method comprising:
제1항에 있어서,
상기 클라이언트가 양자 난수 생성부를 구비하는 제1 유형 클라이언트인 경우,
상기 세션키 생성 단계에서는,
상기 양자 데이터와 상기 양자 난수 생성부에서 생성된 양자 난수를 함께 사용하여 상기 세션키를 산출하는 것을 특징으로 하는 보안 세션 연결 방법.
According to paragraph 1,
If the client is a first type client having a quantum random number generator,
In the session key creation step,
A secure session connection method, characterized in that the session key is calculated using the quantum data and the quantum random number generated by the quantum random number generator.
제2항에 있어서,
상기 서버는 상기 클라이언트로부터 상기 제1 유형을 식별할 수 있는 정보와 상기 양자 난수를 포함하는 메시지를 수신하여,
상기 양자 데이터와 상기 양자 난수를 사용해 상기 세션키를 산출하는 것을 특징으로 하는 보안 세션 연결 방법.
According to paragraph 2,
The server receives a message containing information identifying the first type and the quantum random number from the client,
A secure session connection method, characterized in that the session key is calculated using the quantum data and the quantum random number.
제3항에 있어서,
상기 서버는 상기 클라이언트로 상기 양자 데이터를 포함하는 메시지를 회신하여,
상기 클라이언트가 상기 양자 데이터와 상기 양자 난수를 사용해 상기 세션키를 산출하도록 하는 것을 특징으로 하는 보안 세션 연결 방법.
According to paragraph 3,
The server returns a message containing the quantum data to the client,
A secure session connection method characterized by allowing the client to calculate the session key using the quantum data and the quantum random number.
제1항에 있어서,
상기 클라이언트가 유사 난수 생성부를 구비하는 제2 유형 클라이언트인 경우,
상기 세션키 생성 단계에서는,
상기 유사 난수 생성부에서 생성된 유사 난수를 사용하지 않고 상기 양자 데이터를 사용하여 상기 세션키를 산출하는 것을 특징으로 하는 보안 세션 연결 방법.
According to paragraph 1,
If the client is a second type client having a pseudo-random number generator,
In the session key creation step,
A secure session connection method, characterized in that the session key is calculated using the quantum data without using the pseudo-random number generated by the pseudo-random number generator.
제5항에 있어서,
상기 서버는 상기 클라이언트로부터 상기 제2 유형을 식별할 수 있는 정보를 포함하는 메시지를 수신하여,
상기 양자 데이터를 사용하여 상기 세션키를 산출하는 것을 특징으로 하는 보안 세션 연결 방법.
According to clause 5,
The server receives a message containing information capable of identifying the second type from the client,
A secure session connection method characterized by calculating the session key using the quantum data.
제6항에 있어서,
상기 서버는 상기 클라이언트로 상기 양자 데이터를 포함하는 메시지를 회신하여,
상기 클라이언트가 상기 양자 데이터를 사용하여 상기 세션키를 산출하도록 하는 것을 특징으로 하는 보안 세션 연결 방법.
According to clause 6,
The server returns a message containing the quantum data to the client,
A secure session connection method characterized by allowing the client to calculate the session key using the quantum data.
제1항에 있어서,
상기 클라이언트가 상기 제1 양자키 분배 장치와 연동되는 제2 양자키 분배 장치(QKD)에서 생성된 양자 데이터를 제공받는 제3 유형 클라이언트인 경우,
상기 세션키 생성 단계에서는,
상기 제1 양자키 분배 장치가 상기 제2 양자키 분배 장치와 연동하여 생성한 양자 데이터를 이용하여 상기 세션키를 산출하는 것을 특징으로 하는 보안 세션 연결 방법.
According to paragraph 1,
When the client is a third type client that receives quantum data generated by a second quantum key distribution device (QKD) linked to the first quantum key distribution device,
In the session key creation step,
A secure session connection method, wherein the first quantum key distribution device calculates the session key using quantum data generated in conjunction with the second quantum key distribution device.
제8항에 있어서,
상기 서버는 상기 클라이언트로부터 상기 제3 유형을 식별할 수 있는 정보를 포함하는 메시지를 수신하여,
상기 제1 양자키 분배 장치가 상기 제2 양자키 분배 장치와 연동하여 생성한 양자 데이터를 이용하여 상기 세션키를 산출하는 것을 특징으로 하는 보안 세션 연결 방법.
According to clause 8,
The server receives a message containing information that can identify the third type from the client,
A secure session connection method, wherein the first quantum key distribution device calculates the session key using quantum data generated in conjunction with the second quantum key distribution device.
제9항에 있어서,
상기 서버는 상기 클라이언트로 메시지를 회신하여 상기 클라이언트가 상기 양자 데이터를 이용하여 상기 세션키를 산출하도록 하는 것을 특징으로 하는 보안 세션 연결 방법.
According to clause 9,
A secure session connection method, wherein the server returns a message to the client and allows the client to calculate the session key using the quantum data.
제1항에 있어서,
상기 보안 세션은 SSL(Secure Socket Layer) 프로토콜과 호환되는 것을 특징으로 하는 보안 세션 연결 방법.
According to paragraph 1,
A secure session connection method, wherein the secure session is compatible with the SSL (Secure Socket Layer) protocol.
제1항에 있어서,
상기 서버는 가상 사설망(VPN) 서버이고,
상기 보안 세션을 통해 상기 클라이언트와 가상 사설망(VPN)을 형성하는 것을 특징으로 하는 보안 세션 연결 방법.
According to paragraph 1,
The server is a virtual private network (VPN) server,
A secure session connection method, characterized in that forming a virtual private network (VPN) with the client through the secure session.
서버와 보안 세션을 연결하는 클라이언트에 있어서,
양자 난수를 생성하는 양자 난수 생성부;
상기 양자 난수와 상기 클라이언트의 유형을 식별할 수 있는 정보를 포함하는 메시지를 서버로 전송하는 메시지 전송부; 및
상기 서버로부터 전송받은 양자 데이터와 상기 양자 난수 생성부에서 생성된 양자 난수를 함께 사용하여 세션키를 산출하는 세션키 생성부;
를 포함하는 것을 특징으로 하는 클라이언트.
For a client connecting a secure session with a server,
A quantum random number generator that generates quantum random numbers;
a message transmission unit that transmits a message containing the quantum random number and information identifying the type of the client to a server; and
a session key generator that calculates a session key using quantum data transmitted from the server and quantum random numbers generated by the quantum random number generator;
A client comprising:
서버와 보안 세션을 연결하는 클라이언트에 있어서,
유사 난수를 생성하는 유사 난수 생성부;
상기 클라이언트의 유형을 식별할 수 있는 정보를 포함하는 메시지를 서버로 전송하는 메시지 전송부; 및
상기 서버로부터 전송받은 양자 데이터 중 제1 양자 데이터로 상기 유사 난수를 대체하고 제2 양자 데이터와 함께 사용하여 세션키를 산출하는 세션키 생성부;
를 포함하는 것을 특징으로 하는 클라이언트.
For a client connecting a secure session with a server,
a pseudo-random number generator that generates pseudo-random numbers;
a message transmission unit that transmits a message containing information identifying the type of the client to a server; and
a session key generator that replaces the pseudo-random number with first quantum data among the quantum data received from the server and uses it together with second quantum data to calculate a session key;
A client comprising:
서버와 보안 세션을 연결하는 클라이언트에 있어서,
서버로 양자키를 제공하는 제1 양자키 분배 장치(QKD)와 연동되는 제2 양자키 분배 장치(QKD)에서 생성된 양자 데이터를 수신받는 양자 데이터 수신부; 및
상기 양자 데이터를 이용하여 세션키를 산출하는 세션키 생성부;
를 포함하는 것을 특징으로 하는 클라이언트.
For a client connecting a secure session with a server,
A quantum data receiving unit that receives quantum data generated by a second quantum key distribution device (QKD) linked to a first quantum key distribution device (QKD) that provides a quantum key to a server; and
A session key generator that calculates a session key using the quantum data;
A client comprising:
KR1020240088616A 2021-09-30 2024-07-05 Method, apparatus and system for connecting VPN secured session based on quantum technology KR20240112239A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020240088616A KR20240112239A (en) 2021-09-30 2024-07-05 Method, apparatus and system for connecting VPN secured session based on quantum technology

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020210130408A KR20230046865A (en) 2021-09-30 2021-09-30 Method, apparatus and system for connecting VPN secured session based on quantum technology
KR1020240088616A KR20240112239A (en) 2021-09-30 2024-07-05 Method, apparatus and system for connecting VPN secured session based on quantum technology

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020210130408A Division KR20230046865A (en) 2021-09-30 2021-09-30 Method, apparatus and system for connecting VPN secured session based on quantum technology

Publications (1)

Publication Number Publication Date
KR20240112239A true KR20240112239A (en) 2024-07-18

Family

ID=85917797

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020210130408A KR20230046865A (en) 2021-09-30 2021-09-30 Method, apparatus and system for connecting VPN secured session based on quantum technology
KR1020240088616A KR20240112239A (en) 2021-09-30 2024-07-05 Method, apparatus and system for connecting VPN secured session based on quantum technology

Family Applications Before (1)

Application Number Title Priority Date Filing Date
KR1020210130408A KR20230046865A (en) 2021-09-30 2021-09-30 Method, apparatus and system for connecting VPN secured session based on quantum technology

Country Status (1)

Country Link
KR (2) KR20230046865A (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118523961B (en) * 2024-07-23 2024-10-18 中电信量子科技有限公司 Quantum key-based national security SSL handshake communication method
CN118659881A (en) * 2024-08-15 2024-09-17 中电信量子信息科技集团有限公司 Quantum-resistant security enhancement method for secure shell protocol

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180120053A (en) 2017-07-24 2018-11-05 차보영 The monitor secured by quantum half-duplex three channel and the way to control a crime by CCTV

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180120053A (en) 2017-07-24 2018-11-05 차보영 The monitor secured by quantum half-duplex three channel and the way to control a crime by CCTV

Also Published As

Publication number Publication date
KR20230046865A (en) 2023-04-06

Similar Documents

Publication Publication Date Title
KR20240112239A (en) Method, apparatus and system for connecting VPN secured session based on quantum technology
CN109194477B (en) Access node device for quantum secret communication network system and communication network system comprising the same
CN107040378A (en) A kind of key dispatching system and method based on Multi-user Remote Communication
CN104660602A (en) Quantum key transmission control method and system
CN113612605A (en) Method, system and equipment for enhancing MQTT protocol identity authentication by using symmetric cryptographic technology
CN111756529B (en) Quantum session key distribution method and system
CN108111305A (en) The converged network access system and method for polymorphic type quantum terminal compatibility
CN107147492A (en) A kind of cipher key service System and method for communicated based on multiple terminals
CN113489586B (en) VPN network system compatible with quantum key negotiation
CN113037499A (en) Block chain encryption communication method and system
US20240072996A1 (en) System and method for key establishment
CN113518078A (en) Cross-network data sharing method, information demander, information provider and system
CN107493294B (en) Safe access and management control method of OCF (optical clock and frequency conversion) equipment based on asymmetric encryption algorithm
CN116886288A (en) Quantum session key distribution method and device
Takahashi et al. A high-speed key management method for quantum key distribution network
Dervisevic et al. Large-scale quantum key distribution network simulator
CN108206738B (en) Quantum key output method and system
KR20090002328A (en) Method for joining new device in wireless sensor network
CN109428709A (en) Quantum key distribution method, system and optical network system
CN115459913A (en) Quantum key cloud platform-based link transparent encryption method and system
CN116527259B (en) Cross-domain identity authentication method and system based on quantum key distribution network
Pattaranantakul et al. Efficient key management protocol for secure RTMP video streaming toward trusted quantum network
CN114362938B (en) Quantum communication key management dynamic route generation network architecture and method
US20240097892A1 (en) Orchestrated quantum key distribution
KR102708686B1 (en) Internet Key Exchange of Network Equipment

Legal Events

Date Code Title Description
A107 Divisional application of patent
A201 Request for examination