[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

KR102708686B1 - Internet Key Exchange of Network Equipment - Google Patents

Internet Key Exchange of Network Equipment Download PDF

Info

Publication number
KR102708686B1
KR102708686B1 KR1020230069747A KR20230069747A KR102708686B1 KR 102708686 B1 KR102708686 B1 KR 102708686B1 KR 1020230069747 A KR1020230069747 A KR 1020230069747A KR 20230069747 A KR20230069747 A KR 20230069747A KR 102708686 B1 KR102708686 B1 KR 102708686B1
Authority
KR
South Korea
Prior art keywords
key
qkms
ksa
service key
service
Prior art date
Application number
KR1020230069747A
Other languages
Korean (ko)
Inventor
김종오
이승우
이상주
Original Assignee
주식회사 에프아이시스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 에프아이시스 filed Critical 주식회사 에프아이시스
Priority to KR1020230069747A priority Critical patent/KR102708686B1/en
Application granted granted Critical
Publication of KR102708686B1 publication Critical patent/KR102708686B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

실시예는 네트워크 장비의 인터넷 키 교환 방법에 관한 것이다.
구체적으로는, 이러한 방법은 QKMS의 KSA를 이용하여 네트워크 장비에서 양자키를 이용한 서비스키를 요청하고 받아와, 인터넷 키 교환시 기존 DH 키 교환 대신 QKMS의 양자키를 이용한 서비스키로 진행한다.
따라서, 인터넷 키 교환 방법에 있어서, DH 키 분배 방법보다 더 안전한 양자키를 이용하여 만든 서비스키를 이용한 인터넷 키 교환 방식으로 키를 분배하기 위하여 계산 및 관리하는 많고 복잡한 부하를 줄인다.The embodiment relates to a method for exchanging Internet keys of network equipment.
Specifically, this method requests and receives a service key using a quantum key from network equipment using the KSA of QKMS, and proceeds with the service key using the quantum key of QKMS instead of the existing DH key exchange during Internet key exchange.
Therefore, in the Internet key exchange method, the large and complex load of calculation and management is reduced for distributing keys by using a service key created using a quantum key, which is more secure than the DH key distribution method.

Description

네트워크 장비의 인터넷 키 교환 방법{Internet Key Exchange of Network Equipment}{Internet Key Exchange of Network Equipment}

본 명세서에 개시된 내용은 네트워크 장비(NE)의 인터넷 키 교환(IKE : Internet Key Exchange) 방법에 관한 것이다.The subject matter disclosed in this specification relates to an Internet Key Exchange (IKE) method of network equipment (NE).

본 명세서에서 달리 표시되지 않는 한, 이 섹션에 설명되는 내용들은 이 출원의 청구항들에 대한 종래 기술이 아니며, 이 섹션에 포함된다고 하여 종래 기술이라고 인정되는 것은 아니다.Unless otherwise indicated herein, the materials described in this section are not prior art to the claims of this application and their inclusion in this section is not an admission that they are prior art.

일반적으로, 인터넷 키 교환(IKE)은 IPSEC(Internet Protocol Security)를 암호화하는 경우에 사용하고, 세션마다 임의의 암호 키를 생성, 실행한다. 동일한 암호 키를 오랫동안 사용하면 밝혀지기 쉬우므로, 송신 측에서 수신 측이 생성한 암호 키를 상대방에게 안전하게 송신하기 위한 방법으로, 디피 헬먼(Diffie-Hellman, 이하 'DH'로 약칭)법이 있다.In general, Internet Key Exchange (IKE) is used when encrypting IPSEC (Internet Protocol Security), and generates and executes a random encryption key for each session. Since it is easy to be discovered if the same encryption key is used for a long time, the Diffie-Hellman (hereinafter referred to as 'DH') method is used as a method for the sending side to safely transmit the encryption key generated by the receiving side to the other party.

참고로, 상기 IPSEC는 암호화 기술을 이용하여 IP 패킷 단위로 데이터 변조 방지 및 은닉 기능을 제공하는 프로토콜 모음이다. AH(Authentication Header)와 ESP(Encapsulated Security Payload)라는 2개의 프로토콜로 구성된다. AH는 인증 헤더 및 데이터 무결성 보장을 위해 동작하며, ESP는 캡슐화를 통한 데이터 암호화 서비스를 담당한다. AH, ESP와 함께 암호화 키를 관리하기 위해 IKE 프로토콜이 어플리케이션 계층에서 사용된다.For reference, the above IPSEC is a set of protocols that provide data tampering prevention and concealment functions in IP packet units using encryption technology. It consists of two protocols: AH (Authentication Header) and ESP (Encapsulated Security Payload). AH operates to ensure authentication header and data integrity, and ESP is responsible for data encryption services through encapsulation. The IKE protocol is used in the application layer to manage encryption keys along with AH and ESP.

이러한 IPSEC는 동일한 노드 간 통신에서도 프로토콜 및 포트 번호 등을 이용해 여러 암호화 기법과 키 보안 프로토콜을 사용할 수 있다. 이처럼 통신 양단 간에 공유하는 협약을 보안 연계(Security Association, 이하 'SA'로 약칭)라고 하고, 이는 송수신측 간에 보안성이 제공되어 수립된 논리적 통신 경로를 의미한다.This IPSEC can use various encryption techniques and key security protocols using protocols and port numbers, etc., even in communication between the same nodes. The agreement shared between both ends of the communication is called a Security Association (hereinafter referred to as 'SA'), which means a logical communication path established with security provided between the sending and receiving sides.

상기 SA는 전송자와 수신자간에 키, 인증 알고리즘, 암호 알고리즘 및 이러한 알고리즘에 필요한 부가적인 파라미터 집합들에 대한 협의가 필요하다. 여기서, 키, 인증 알고리즘 등은 이들 각각을 보호 속성이라 하며, 이러한 보호 속성들의 집합을 보안 연계라 한다.The above SA requires agreement between the sender and receiver on a key, authentication algorithm, encryption algorithm, and a set of additional parameters required for these algorithms. Here, the key, authentication algorithm, etc. are each called a protection attribute, and the set of these protection attributes is called a security association.

참고로, 상기 DH 키 분배 방법은 공개 키는 1개의 정수와 1개의 소수(素數)로 통신 직전에 통신 상대방과 공유하도록 해 두고, 다른 비밀 키 전용의 숫자를 통신 상대방 양쪽에서 각각 갖도록 해서 이들과 공개 키의 수치를 사용하여 공통 암호 키용 수치를 산출한다.For reference, the above DH key distribution method uses one integer and one prime number as the public key to be shared with the other party immediately before communication, and uses a number dedicated to a separate secret key for each party to calculate a common encryption key using these numbers and the public key numbers.

이러한 기존의 인터넷 키 교환 방법은 각 네트워크 장비(NE)에서 세션마다 키를 분배하기 위하여 비교적 복잡한 계산 및 관리를 수행한다. 그래서, 이러한 계산 및 관리에 따른 부담을 줄이기 위해 새로운 키 교환 방법이 있을 수 있다.These existing Internet key exchange methods perform relatively complex calculations and management to distribute keys for each session in each network equipment (NE). Therefore, there may be a new key exchange method to reduce the burden of these calculations and management.

한편, 양자 키 분배(QKD, Quantum Key Distribution) 기술은 양자 불확정성의 원리를 기반으로 안전한 데이터 통신을 위한 대칭 키 분배 기반 암호화 프로토콜을 구현 가능한 방안으로써 두각을 나타내고 있다.Meanwhile, quantum key distribution (QKD) technology is emerging as a possible way to implement a symmetric key distribution-based encryption protocol for secure data communication based on the principle of quantum uncertainty.

양자암호통신 기술은 임의의 두 노드 사이에 양자역학적 원리를 활용하여 기밀성을 보장하는 대칭 키를 생성 분배하는 양자 키 분배(QKD) 기술, 분배된 비밀 키에 기반한 데이터 암호화 및 복호화 기술, 암호화된 데이터를 안전하게 전송하기 위한 데이터 전송 기술을 통칭하여 일컫는다.Quantum cryptography technology is a general term for quantum key distribution (QKD) technology, which generates and distributes symmetric keys that ensure confidentiality between any two nodes by utilizing quantum mechanical principles; data encryption and decryption technology based on distributed secret keys; and data transmission technology for safely transmitting encrypted data.

그래서, 기존 인터넷 키 교환 방법에서 네트워크 장비가 세션마다 키를 분배하기 위하여 계산 및 관리하는 부담 또는 부하를 줄이도록 이러한 양자 키를 이용할 수 있을 것이다.Therefore, these quantum keys can be used to reduce the burden or load that network equipment must compute and manage to distribute keys for each session in existing Internet key exchange methods.

이러한 배경의 선행기술은 아래의 정도이다.The prior art in this context is as follows.

문헌 1 한국공개특허 제10-2023-0021565호Literature 1 Korean Patent Publication No. 10-2023-0021565 문헌 2 한국공개특허 제10-2004-0028329호Literature 2 Korean Publication Patent No. 10-2004-0028329 문헌 3 한국등록특허 제10-0412238호Document 3 Korean Patent No. 10-0412238 문헌 4 미국공개특허 제10-2018-0079324호Document 4 United States Patent Publication No. 10-2018-0079324

개시된 내용은, 인터넷 키 교환 방법에서 네트워크 장비가 세션마다 키를 분배하기 위하여 계산 및 관리하는 부하를 줄이도록 DH 키 분배 방법보다 더 안전한 양자키를 이용한 네트워크 장비의 인터넷 키 교환 방법을 제공하고자 한다.The disclosed content is intended to provide a method for exchanging Internet keys of network equipment using quantum keys, which is more secure than the DH key distribution method, to reduce the load of calculating and managing keys for each session in the Internet key exchange method.

실시예에 따른 네트워크 장비의 인터넷 키 교환 방법은,A method for exchanging Internet keys of network equipment according to an embodiment,

DH 키 분배 방법보다 더 안전한 양자키를 이용하여 만든 서비스키를 이용한 키 교환 방식이다.This is a key exchange method that uses a service key created using a quantum key that is more secure than the DH key distribution method.

QKMS(Quantum Key Management System)의 KSA(Key Supply Agent)를 이용하여 네트워크 장비에서 양자키를 이용한 서비스키를 요청하고 받아와, 인터넷 키 교환시 기존 DH 키 교환 대신 QKMS의 양자키를 이용한 서비스키로 진행한다.Using the KSA (Key Supply Agent) of QKMS (Quantum Key Management System), a service key using a quantum key is requested and received from network equipment, and when exchanging Internet keys, the service key using the quantum key of QKMS is used instead of the existing DH key exchange.

먼저 일반적인 인터넷 키 교환 방법은 적어도 두 개의 제 1네트워크 장비와 제 2네트워크 장비에서 수행하는데, 하나의 네트워크 장비에서 마스터와 슬레이브 또는 송신과 수신 기능을 모두 가지고 있어야 한다. 이를 위해, 하나의 네트워크 장비는 ISAKMP(Internet security association & key management protocol) SA 제안, 선택, 송신 측의 DH 키 교환, 수신 측의 DH 키 교환, 송신 측의 인증 및 수신 측의 인증 절차를 모두 수행할 수 있는 기능을 가진다.First, the general Internet key exchange method is performed by at least two primary network devices and secondary network devices, and one network device must have both master and slave or transmitting and receiving functions. To this end, one network device has the function of performing all of the ISAKMP (Internet security association & key management protocol) SA proposal, selection, transmitting-side DH key exchange, receiving-side DH key exchange, transmitting-side authentication, and receiving-side authentication procedures.

실시예는 이러한 DH 키 교환 대신, QKMS의 KSA를 이용한 키 교환을 수행하는 것을 특징으로 한다.The embodiment is characterized by performing key exchange using KSA of QKMS instead of such DH key exchange.

이러한 키 교환은 ISAKMP SA를 선택한 다음 하나의 네트워크 장비에서 마스터를 담당하는 경우 QKMS의 KSA로 양자키를 이용한 서비스키를 요청하여, 서비스키 아이디와 서비스키를 응답받는다. 그리고, 슬레이브를 담당하는 경우 상대방 마스터에서 전달받은 이 서비스키 아이디를 통해 해당 QKMS의 KSA로 서비스키를 요청하여 응답받는다. 그래서, 이 두 서비스키가 동일한 경우 키 교환을 성공으로 처리하고 상이한 경우 실패로 처리한다.This key exchange selects ISAKMP SA, and if one network device is in charge of the master, it requests a service key using a quantum key to the KSA of QKMS and receives a service key ID and service key in response. Then, if it is in charge of the slave, it requests a service key to the KSA of QKMS through the service key ID received from the other party's master and receives a response. Therefore, if these two service keys are the same, the key exchange is processed as successful, and if they are different, it is processed as failed.

실시예에 따르면, 인터넷 키 교환 방법에 있어서, DH 키 분배 방법보다 더 안전한 양자키를 이용하여 만든 서비스키를 이용한 인터넷 키 교환 방식으로 네트워크 장비가 세션마다 키를 분배하기 위하여 계산 및 관리하는 부하를 줄인다.According to an embodiment, in an Internet key exchange method, a service key created using a quantum key that is more secure than a DH key distribution method is used to exchange Internet keys, thereby reducing the load on network equipment for calculating and managing keys for each session.

도 1은 일실시예에 따른 네트워크 장비의 인터넷 키 교환 방법을 개념적으로 설명하기 위한 도면
도 2는 일실시예에 따른 네트워크 장비의 인터넷 키 교환 방법을 적용한 시스템을 도시한 도면
도 3은 일실시예에 따른 네트워크 장비의 인터넷 키 교환 방법을 적용한 인터넷 키 교환 모듈의 구성을 도시한 블록도
도 4는 일실시예에 따른 네트워크 장비의 인터넷 키 교환 방법을 적용한 QKMS의 구성을 도시한 블록도
도 5는 일실시예에 따른 네트워크 장비의 인터넷 키 교환 방법을 적용한 QKMS의 KSA 모듈 기능을 설명하기 위한 도면
도 6은 일실시예에 따른 네트워크 장비의 인터넷 키 교환 방법을 적용한 QKMS의 KSA의 초기화 동작을 설명하기 위한 도면
도 7과 도 8은 일실시예에 따른 네트워크 장비의 인터넷 키 교환 방법을 적용한 QKMS의 KSA의 서비스키 공급 동작을 설명하기 위한 도면
도 9는 일실시예에 따른 네트워크 장비의 인터넷 키 교환 방법을 순서대로 도시한 절차 흐름도Figure 1 is a drawing conceptually explaining an Internet key exchange method of network equipment according to one embodiment.
Figure 2 is a drawing illustrating a system that applies an Internet key exchange method of network equipment according to one embodiment.
Figure 3 is a block diagram illustrating the configuration of an Internet key exchange module that applies an Internet key exchange method of network equipment according to an embodiment.
Figure 4 is a block diagram illustrating the configuration of QKMS that applies the Internet key exchange method of network equipment according to one embodiment.
Figure 5 is a drawing for explaining the KSA module function of QKMS that applies the Internet key exchange method of network equipment according to one embodiment.
Figure 6 is a drawing for explaining the initialization operation of KSA of QKMS applying the Internet key exchange method of network equipment according to one embodiment.
Figures 7 and 8 are drawings for explaining the service key supply operation of KSA of QKMS applying the Internet key exchange method of network equipment according to one embodiment.
Figure 9 is a flow chart illustrating a method for exchanging Internet keys of network equipment in sequence according to an embodiment of the present invention.

도 1은 일실시예에 따른 네트워크 장비의 인터넷 키 교환 방법을 개념적으로 설명하기 위한 도면이다.FIG. 1 is a diagram conceptually explaining an Internet key exchange method of network equipment according to one embodiment.

도 1에 도시된 바와 같이, 일실시예의 인터넷 키 교환 방법은 DH 키 분배 방법보다 더 안전한 양자키를 이용하여 만든 서비스키를 이용한 키 교환 방식으로 네트워크 장비가 세션마다 키를 분배하기 위하여 계산 및 관리하는 부하를 줄인다.As illustrated in FIG. 1, an Internet key exchange method of one embodiment reduces the load on network equipment for calculating and managing keys for each session by exchanging keys using a service key created using a quantum key that is more secure than the DH key distribution method.

이러한 방법은 QKMS 환경에서 KSA를 이용한 키 교환 모듈을 이용한다. 기존 인터넷 키 교환의 DH 키 분배 방식 대신 QKMS에서 관리하는 양자키를 KSA를 통하여 네트워크 장비 양단(호스트 A<->호스트 B)간 키 교환을 한다. 네트워크 장비는 라우터일 수 있다.This method uses a key exchange module using KSA in a QKMS environment. Instead of the DH key distribution method of the existing Internet key exchange, the quantum key managed by QKMS is exchanged between network devices (Host A <-> Host B) through KSA. The network device can be a router.

상기 방법은 요약하면 DH 키 분배 방법보다 더 안전한 양자키를 이용하여 만든 서비스키를 이용한 키 교환 방식이다.In summary, the above method is a key exchange method that uses a service key created using a quantum key that is more secure than the DH key distribution method.

QKMS의 KSA를 이용하여 네트워크 장비에서 양자키를 이용한 서비스키를 요청하고 받아와, 인터넷 키 교환(IKE)시 기존 DH 키 교환 대신 QKMS의 양자키를 이용한 서비스키로 진행한다.Using the KSA of QKMS, a service key using a quantum key is requested and received from network equipment, and when exchanging Internet Keys (IKE), the service key using the quantum key of QKMS is used instead of the existing DH key exchange.

먼저 일반적인 인터넷 키 교환 방법은 전술한 바대로, 적어도 두 개의 제 1네트워크 장비와 제 2네트워크 장비에서 수행하는데, 하나의 네트워크 장비에서 마스터와 슬레이브 또는 송신과 수신 기능을 모두 가지고 있어야 한다. 이를 위해, 하나의 네트워크 장비는 ISAKMP SA 제안, 선택, 송신 측의 DH 키 교환, 수신 측의 DH 키 교환, 송신 측의 인증 및 수신 측의 인증 절차를 수행하는 기능을 가진다.First, the general Internet key exchange method is performed by at least two primary network devices and secondary network devices as described above, and one network device must have both master and slave or transmitting and receiving functions. To this end, one network device has the functions of performing ISAKMP SA proposal, selection, DH key exchange on the transmitting side, DH key exchange on the receiving side, authentication on the transmitting side, and authentication on the receiving side.

실시예는 이러한 DH 키 교환 대신, QKMS의 KSA를 이용한 키 교환을 수행한다.The embodiment performs key exchange using KSA of QKMS instead of such DH key exchange.

이러한 키 교환은 ISAKMP SA를 선택한 다음 하나의 네트워크 장비에서 마스터(도 1의 R1)를 담당하는 경우 QKMS의 KSA로 양자키를 이용한 서비스키를 요청하여, 서비스키 아이디와 서비스키를 응답받는다. 그리고, 슬레이브(도 1의 R2)를 담당하는 경우 상대방 마스터에서 전달받은 이 서비스키 아이디를 통해 해당 QKMS의 KSA로 서비스키를 요청하여 응답받는다. 그래서, 이 두 서비스키가 동일한 경우 키 교환을 성공으로 처리하고 상이한 경우 실패로 처리한다.This key exchange selects ISAKMP SA, and if one network device is in charge of the master (R1 in Fig. 1), it requests a service key using a quantum key to the KSA of QKMS and receives a service key ID and service key in response. Then, if it is in charge of the slave (R2 in Fig. 1), it requests a service key to the KSA of the corresponding QKMS through the service key ID received from the other party's master and receives a response. Therefore, if these two service keys are the same, the key exchange is processed as successful, and if they are different, it is processed as failed.

도 2는 일실시예에 따른 네트워크 장비의 인터넷 키 교환 방법을 적용한 시스템을 도시한 도면이다.FIG. 2 is a drawing illustrating a system that applies an Internet key exchange method of network equipment according to one embodiment.

도 2에 도시된 바와 같이, 일실시예에 따른 시스템은 크게 QKMS 코어(100)와 QKMS의 KSA 연동용 인터넷 키 교환(IKE) 모듈(200)을 포함한다.As illustrated in FIG. 2, a system according to an embodiment largely includes a QKMS core (100) and an Internet Key Exchange (IKE) module (200) for linking KSA of QKMS.

상기 QKMS 코어(100)는 양자 키 관리(KM) 계층 상에서 양자 키 분배(QKD) 도메인 내에 양자 키 분배 모듈들을 관리한다. 양자 암호 통신망의 예는 양자 키 분배(QKD) 계층, 양자 키 관리 계층 및 서비스 계층을 포함한다. 양자 키 분배 계층은 양자 키 분배 모듈과 연결된 양자 채널과 일반 채널을 통해 양자 키를 생성 및 분배한다. 양자 키 분배 계층에는 양자 키 분배 모듈이 양자 키를 생성하여 전달하는 양자 키 분배 도메인들을 포함할 수 있다. 양자 키 관리는 QKD 애플리케이션 및 서비스에 사용되기 위해 양자 계층으로부터 수명 주기 동안 키에 대해 수행되는 수신, 저장, 형식화, 중계, 동기화, 인증, 공급 및 삭제 또는 보존 등이다. 이러한 QKMS 코어(100)는 시스템 매니저와 QKMS 매니저, QKDE 매니저, 상태 에이전트, KMA, KSA, KRA, DB를 포함한다. 특히, QKMS 매니저는 QKDE와 네트워크 장비를 관리하고, KSA는 서비스키 생성과 공급을 수행한다.The above QKMS core (100) manages quantum key distribution modules within a quantum key distribution (QKD) domain on a quantum key management (KM) layer. An example of a quantum cryptographic network includes a quantum key distribution (QKD) layer, a quantum key management layer, and a service layer. The quantum key distribution layer generates and distributes quantum keys through quantum channels and general channels connected to a quantum key distribution module. The quantum key distribution layer may include quantum key distribution domains in which the quantum key distribution module generates and transmits quantum keys. Quantum key management includes receiving, storing, formatting, relaying, synchronizing, authenticating, supplying, and deleting or preserving keys from the quantum layer during their life cycle to be used for QKD applications and services. The QKMS core (100) includes a system manager, a QKMS manager, a QKDE manager, a state agent, a KMA, a KSA, a KRA, and a DB. In particular, the QKMS manager manages QKDE and network equipment, and the KSA performs service key generation and supply.

상기 인터넷 키 교환 모듈(200)은 QKMS의 KSA를 이용하여 네트워크 장비에서 양자키를 이용한 서비스키를 요청하고 받아와, 인터넷 키 교환시 기존 DH 키 교환 대신 QKMS의 양자키를 이용한 서비스키로 진행한다. 일실시예에서 서비스키를 요청 및 응답하는 부분 받아온 서비스키를 이용하여 인터넷 키 교환을 관리하는 부분을 추가로 구비한다. 이러한 키 교환 방식은 DH 키 분배 방법보다 더 안전한 양자키를 이용하여 만든 서비스키를 이용한 키 교환 방식으로, 네트워크 장비가 세션마다 키를 분배하기 위하여 계산 및 관리하는 많고 복잡한 부하를 줄인다.The above Internet key exchange module (200) requests and receives a service key using a quantum key from network equipment using the KSA of QKMS, and proceeds with a service key using the quantum key of QKMS instead of the existing DH key exchange when exchanging Internet keys. In one embodiment, a part for requesting and responding to a service key and a part for managing Internet key exchange using the received service key are additionally provided. This key exchange method is a key exchange method using a service key created using a quantum key that is more secure than the DH key distribution method, and reduces the large and complex load that the network equipment calculates and manages to distribute the key for each session.

도 3은 일실시예에 따른 네트워크 장비의 인터넷 키 교환 방법을 적용한 인터넷 키 교환 모듈의 구성을 도시한 블록도이다.FIG. 3 is a block diagram illustrating the configuration of an Internet key exchange module that applies an Internet key exchange method to network equipment according to one embodiment.

도 3에 도시된 바와 같이, 일실시예에 따른 인터넷 키 교환 모듈(100)은 크게, KSA 연동용 인터넷 키 교환부(101)와 KSA 서비스키 정보 송수신부(102) 및 소켓(103)을 포함한다,As shown in Fig. 3, the Internet key exchange module (100) according to one embodiment largely includes an Internet key exchange unit (101) for KSA linkage, a KSA service key information transmission/reception unit (102), and a socket (103).

추가적으로, 스케쥴러, 프로세서, 송신부, 수신부, 로거, 커널 인터페이스, IPsec 스택 등이 있다.Additionally, there are schedulers, processors, transmitters, receivers, loggers, kernel interfaces, IPsec stacks, etc.

상기 인터넷 키 교환부(101)는 ISAKMP SA의 제안과 선택, QKMS의 KSA를 이용한 키 교환, 인증 절차를 수행한다. 특히, 상기 키 교환은 일실시예에 따라 ISAKMP SA를 선택한 다음 하나의 네트워크 장비에서 마스터를 담당하는 경우 QKMS의 KSA로 양자키를 이용한 서비스키를 요청하여, 서비스키 아이디와 서비스키를 응답받는다. 그리고, 슬레이브를 담당하는 경우 상대방 마스터에서 전달받은 이 서비스키 아이디를 통해 해당 QKMS의 KSA로 서비스키를 요청하여 응답받는다. 그래서, 이 두 서비스키가 동일한 경우 키 교환을 성공으로 처리하고 상이한 경우 실패로 처리한다.The above Internet key exchange unit (101) performs the proposal and selection of ISAKMP SA, key exchange using KSA of QKMS, and authentication procedures. In particular, the key exchange selects ISAKMP SA according to an embodiment, and then, when one network device is in charge of the master, requests a service key using a quantum key with KSA of QKMS and receives a service key ID and service key in response. Then, when in charge of the slave, requests a service key with KSA of QKMS through this service key ID received from the other party's master and receives a response. Therefore, when these two service keys are the same, the key exchange is processed as successful, and when they are different, it is processed as failed.

상기 KSA 서비스키 정보 송수신부(102)는 상기 KSA와 연동하여 각종 키 교환을 위한 정보를 송수신 처리한다.The above KSA service key information transmission and reception unit (102) transmits and receives information for various key exchanges in conjunction with the above KSA.

상기 소켓(103)은 상기 송수신 처리한 정보를 해당 KSA로 전달하거나 전달받는다.The above socket (103) transmits or receives the processed transmission/reception information to or from the corresponding KSA.

도 4는 일실시예에 따른 네트워크 장비의 인터넷 키 교환 방법을 적용한 QKMS의 구성을 도시한 도면이다.FIG. 4 is a diagram illustrating the configuration of QKMS that applies an Internet key exchange method of network equipment according to one embodiment.

도 4에 도시된 바와 같이, 일실시예에 따른 QKMS는 크게 시스템 매니저와 QKMS 매니저, QKDE 매니저, 상태 에이전트, KMA, KSA, KRA, DB를 포함한다.As illustrated in FIG. 4, QKMS according to an embodiment largely includes a system manager, a QKMS manager, a QKDE manager, a status agent, a KMA, a KSA, a KRA, and a DB.

상기 시스템 매니저는 QKMS 제어와 블록 관리 및 라이브 업데이트를 관리한다. 예를 들어, 블록에는 KSA 블록이 있다.The above system manager manages QKMS control and block management and live updates. For example, a block has a KSA block.

상기 QKMS 매니저는 QKDE와 네트워크 장비 등의 구성요소를 관리하고, 토폴로지 설정과 조회, 운영정책의 설정과 조회를 관리한다.The above QKMS manager manages components such as QKDE and network equipment, manages topology settings and queries, and sets and queries operation policies.

상기 QKDE 매니저는 QKDE 제어와 성능관리 정보 설정 및 조회, 장애수집, 성능수집을 관리한다.The above QKDE manager manages QKDE control and performance management information settings and queries, fault collection, and performance collection.

상기 상태 매니저는 장애보고와 성능보고, 키상태보고 등을 관리한다.The above status manager manages fault reporting, performance reporting, key status reporting, etc.

상기 KMA는 양자키 생애주기 관리와 양자키 수신, 키 동기화 등을 수행한다.The above KMA performs quantum key life cycle management, quantum key reception, key synchronization, etc.

상기 KSA는 서비스키 생성과 공급, 서비스키 생애주기 관리를 수행한다.The above KSA performs service key generation and provision, and service key life cycle management.

상기 KRA는 키전달경로 설정과 조회 및 요청, 키 전달과 동기화 등을 수행한다.The above KRA performs key transmission path setup, inquiry and request, key transmission and synchronization, etc.

상기 DB는 생성한 양자 키 기반의 서비스키를 서비스키 아이디별로 대응하여 등록하고, 이외에 각종 키 교환을 위한 설정 정보나 등록 정보를 등록한다.The above DB registers the generated quantum key-based service key corresponding to each service key ID, and also registers setting information and registration information for various key exchanges.

도 5는 일실시예에 따른 네트워크 장비의 인터넷 키 교환 방법을 적용한 QKMS의 KSA 모듈 기능을 설명하기 위한 도면이다.FIG. 5 is a drawing for explaining the KSA module function of QKMS that applies the Internet key exchange method of network equipment according to one embodiment.

도 5에 도시된 바와 같이, 일실시예에 따른 KSA 모듈 기능은 먼저 KSA는 양자 키 분배 장비로, 양자 키 분배 장비를 통하여 분배된 키는 궁극적으로 서비스를 사용하는 응용서비스나 네트워크 장비에 전달한다. 그리고, KSA는 양자키를 요구사항에 맞게 할당하고 관리하는 기능을 제공한다.As illustrated in FIG. 5, the KSA module function according to one embodiment is as follows: First, KSA is a quantum key distribution device, and the key distributed through the quantum key distribution device is ultimately transmitted to the application service or network device that uses the service. In addition, KSA provides a function for allocating and managing quantum keys according to requirements.

이러한 KSA 모듈의 주요 기능은 초기화, 서비스키 생성, 서비스키 공급, 서비스키 상태 정보 제공, 서비스키 라이프 사이클 관리가 있다.The main functions of these KSA modules are initialization, service key generation, service key provision, service key status information provision, and service key life cycle management.

상기 초기화는 KSA 블록 초기화 기능을 수행한다. 상기 서비스키 생성은 양자 키를 사용해 네트워크 장비에 제공할 서비스키를 생성하고, 상기 서비스키 공급은 네트워크 장비의 요청에 따라 서비스키를 공급한다. 상기 서비스키 상태 정보 제공은 네트워크 장비의 요청에 따라 서비스키 상태 정보를 제공하고, 서비스키 라이프 사이클 관리는 서비스키에 대한 라이프 사이클을 관리한다.The above initialization performs the KSA block initialization function. The above service key generation generates a service key to be provided to network equipment using a quantum key, and the above service key provision supplies a service key at the request of the network equipment. The above service key status information provision provides service key status information at the request of the network equipment, and the service key life cycle management manages the life cycle for the service key.

도 6은 일실시예에 따른 네트워크 장비의 인터넷 키 교환 방법을 적용한 KSA의 초기화 동작을 설명하기 위한 도면이다.FIG. 6 is a drawing for explaining the initialization operation of KSA applying the Internet key exchange method of network equipment according to one embodiment.

도 6에 도시된 바와 같이, 일실시예에 따른 KSA의 초기화 동작은 양자 키 공급 모듈의 초기화 기능으로, 설정 파일에서 Q-KMS 이름을 가져와 아이디로 변환하고 KM 인터페이스, N-PAL 인터페이스에 레스트 API를 등록하는 기능이다. 초기화 절차는 KSA 블록에서 설정 파일을 로딩 한 후 KM 인터페이스와 N-PAL 인터페이스에 레스트 API를 전송한다.As illustrated in FIG. 6, the initialization operation of the KSA according to an embodiment is an initialization function of the quantum key supply module, which obtains the Q-KMS name from the configuration file, converts it into an ID, and registers the rest API to the KM interface and the N-PAL interface. The initialization procedure loads the configuration file from the KSA block and then transmits the rest API to the KM interface and the N-PAL interface.

도 7과 도 8은 일실시예에 따른 네트워크 장비의 인터넷 키 교환 방법을 적용한 KSA의 서비스키 공급 동작을 설명하기 위한 도면이다.FIGS. 7 and 8 are drawings for explaining the service key supply operation of KSA applying the Internet key exchange method of network equipment according to one embodiment.

구체적으로는, 도 7은 마스터 네트워크 장비에서의 서비스키 공급 동작이고, 도 8은 슬레이브 네트워크 장비의 서비스키 공급 동작이다.Specifically, Fig. 7 shows a service key supply operation in a master network device, and Fig. 8 shows a service key supply operation in a slave network device.

도 7과 도 8에 도시된 바와 같이, 일실시예에 따른 KSA의 서비스키 공급 동작을 설명하기 위해 먼저 서비스키 생성 동작을 설명한다.As shown in FIGS. 7 and 8, in order to explain the service key supply operation of KSA according to one embodiment, the service key generation operation is first explained.

상기 서비스키 생성 동작은 양자 키 공급 모듈의 주요 기능 중 하나로 네트워크 장비의 요청 및 QKMS에 설정된 서비스키 제공 항목에 따라 DB에 저장된 양자 키를 사용하여 서비스키를 생성한다. 생성된 서비스키는 서비스키 공급에 사용한다.The above service key generation operation is one of the main functions of the quantum key supply module, which generates a service key using a quantum key stored in the DB according to a request from a network device and a service key provision item set in QKMS. The generated service key is used to supply the service key.

그래서, 상기 서비스키 공급 동작은 네트워크 장비에서 서비스키 요청이 온 경우 서비스키를 제공하는 기능으로 마스터에서 요청하는 경우와 슬레이브에서 요청하는 경우가 존재한다.Therefore, the above service key supply operation is a function that provides a service key when a service key request comes from a network device. There are cases where the request is made from the master and cases where the request is made from the slave.

마스터에서 요청하는 경우, 도 7과 같이 마스터가 해당 QKMS의 N-PAL 인터페이스를 통해 서비스키 요청 메시지를 전달하고, KSA는 메시지를 수신 받으면 DB에서 키 프로파일 정보를 확인한다. 그리고,When requested by the master, the master transmits a service key request message through the N-PAL interface of the QKMS as shown in Fig. 7, and when the KSA receives the message, it checks the key profile information in the DB. And,

해당 KSA의 키 프로파일에 피어 QKMS의 존재 여부를 확인하여, 피어 QKMS 존재 시, 상기 피어 QKMS에 해당 네트워크 장비 정보의 존재 여부를 확인한다. 그래서, 네트워크 장비 정보 존재 시, 해당 피어 QKMS에게 응답하고, 해당 KSA에서 양자키로 서비스키 및 서비스키 아이디를 생성하여, 해당 네트워크 장비로 공급한다. 즉, KSA 블록에서는 서비스키 생성을 수행한 후 N-PAL 인터페이스를 통해 서비스키를 공급한다.Check whether peer QKMS exists in the key profile of the corresponding KSA, and if peer QKMS exists, check whether network device information exists in the peer QKMS. Therefore, if network device information exists, respond to the corresponding peer QKMS, and generate a service key and service key ID with a quantum key in the corresponding KSA, and supply them to the corresponding network device. In other words, the KSA block performs service key generation and then supplies the service key through the N-PAL interface.

이러한 점은 양자 키 분배 기술이 물리적인 거리상의 제약을 지닌 단-대-단 키 분배에 국한되며, 네트워크상의 다수의 노드들 사이에는 신뢰 노드를 통한 네트워크 단위의 양자 키 전달 방식이 있어야 하기 때문일 수 있다.This may be because quantum key distribution technology is limited to end-to-end key distribution with physical distance constraints, and there must be a network-level quantum key transmission method through trusted nodes between multiple nodes on the network.

한편, 슬레이브에서 서비스키를 요청하는 경우에는 도 8과 같이, 해당 QKMS의 N-PAL 인터페이스를 통해 서비스키를 요청하면 KSA 블록은 DB에서 저장된 서비스키를 가져와서 공급한다.Meanwhile, when requesting a service key from a slave, as shown in Fig. 8, when requesting a service key through the N-PAL interface of the QKMS, the KSA block retrieves the service key stored in the DB and supplies it.

추가적으로, 일실시예는 서비스키 정보 제공 기능을 가지고, 네트워크 장비에서 서비스 키 상태 정보 요청이 온 경우 서비스키 상태 및 생성에 사용되는 정보들을 제공한다.Additionally, one embodiment has a service key information provision function, and provides information used for service key status and generation when a request for service key status information comes from network equipment.

도 9는 일실시예에 따른 네트워크 장비의 인터넷 키 교환 방법을 순서대로 도시한 절차 흐름도이다.Figure 9 is a flow chart illustrating a method for exchanging Internet keys of network equipment according to an embodiment of the present invention in sequence.

도 9에 도시된 바와 같이, 일실시예에 따른 방법은 먼저 마스터 네트워크 장비(100-1)에서 인터넷 세션을 위해 슬레이브 네트워크 장비(100-2)로 ISKMP SA를 제안한다. 그리고, 슬레이브 네트워크 장비(100-2)는 마스터 네트워크 장비(100-1)로 ISAKMP SA를 선택한다.As illustrated in FIG. 9, a method according to an embodiment first proposes an ISKMP SA from a master network device (100-1) to a slave network device (100-2) for an Internet session. Then, the slave network device (100-2) selects an ISAKMP SA from the master network device (100-1).

이러한 상태에서, 일실시예에 따른 키 교환을 수행한다.In this state, key exchange is performed according to an embodiment.

먼저 마스터 네트워크 장비(100-1)는 등록 QKMS의 KSA로 양자키를 이용한 서비스키를 요청한다. 그리고, 이 요청에 따라 서비스키 아이디와 서비스키를 응답받는다. 그리고, 이 서비스 아이디를 슬레이브 네트워크 장비(100-2)로 전달한다.First, the master network device (100-1) requests a service key using a quantum key as the KSA of the registered QKMS. Then, it receives a service key ID and service key in response to this request. Then, it transmits this service ID to the slave network device (100-2).

예를 들어, 상기 서비스키 응답은 해당 KSA의 키 프로파일에 설정된 피어 QKMS에 해당 네크워크 장비 정보가 있는 경우 해당 QKMS에게 응답되고, KSA에서 양자키로 서비스키와 서비스키 아이디가 생성되어 공급된다. 이러한 서비스키는 각 아이디에 대응하여 저장한다.For example, the above service key response is responded to the QKMS if the peer QKMS set in the key profile of the corresponding KSA has the corresponding network equipment information, and the service key and service key ID are generated and supplied as quantum keys in the KSA. These service keys are stored corresponding to each ID.

이를 위해, 먼저 해당 파일의 Q-KMS 이름이 아이디로 변환되고 KM 인터페이스, N-PAL 인터페이스에 레스트 API가 등록되어 초기화된다. 그래서, 초기화된 N-PAL 인터페이스를 통해 상기 요청이 처리된다.To do this, first, the Q-KMS name of the file is converted into an ID, and the rest API is registered and initialized in the KM interface and N-PAL interface. Thus, the request is processed through the initialized N-PAL interface.

한편, 슬레이브 네트워크 장비(100-2)는 해당 서비스키 아이디를 통해 해당 QKMS의 KSA로 서비스키를 요청하여 해당 서비스키를 응답받는다.Meanwhile, the slave network equipment (100-2) requests a service key from the KSA of the QKMS through the service key ID and receives the service key in response.

그래서, 마스터 네트워크 장비(100-1)의 서비스키와 슬레이브 네트워크 장비(100-2)의 서비스키가 동일한 경우 키 교환을 성공으로 처리하고 상이한 경우 실패로 처리한다.Therefore, if the service key of the master network device (100-1) and the service key of the slave network device (100-2) are the same, the key exchange is processed as successful, and if they are different, it is processed as failed.

이렇게 처리된 키 교환에 따라 상호 간에 인증을 처리하여 해당 동작을 완료한다.The operation is completed by mutually authenticating each other based on the key exchange processed in this way.

이상과 같이, 일실시예는 QKMS의 KSA를 이용하여 네트워크 장비에서 양자키를 이용한 서비스키를 요청하고 받아와, 인터넷 키 교환시 기존 DH 키 교환 대신 QKMS의 양자키를 이용한 서비스키로 진행한다.As described above, one embodiment uses the KSA of QKMS to request and receive a service key using a quantum key from network equipment, and when exchanging Internet keys, proceeds with a service key using the quantum key of QKMS instead of the existing DH key exchange.

따라서, 일실시예는 인터넷 키 교환 방법에 있어서, DH 키 분배 방법보다 더 안전한 양자키를 이용하여 만든 서비스키를 이용한 인터넷 키 교환 방식으로 키를 분배하기 위하여 계산 및 관리하는 많고 복잡한 부하를 줄인다.Therefore, one embodiment reduces the large and complex load of calculation and management for distributing keys by using a service key created using a quantum key, which is more secure than the DH key distribution method, in an Internet key exchange method.

100 : 인터넷 키 교환 모듈
101 : 인터넷 키 교환부
102 : KSA 서비스키 정보 송수신부
103 : 소켓
200 : QKMS100 : Internet Key Exchange Module
101: Internet Key Exchange
102: KSA Service Key Information Transmitter and Receiver
103 : Socket
200 : QKMS

Claims (3)

마스터 NE와 슬레이브 NE 간의 네트워크 장비의 인터넷 키 교환 방법에 있어서,
상기 마스터 NE가 상기 슬레이브 NE에 인터넷 세션을 위해 ISAKMP SA를 제안하는 제 1단계;
상기 제 1단계에서 제안된 ISAKMP SA를 상기 슬레이브 NE가 선택하는 제 2단계;
상기 제 2단계에서 선택된 ISAKMP를 통해 상기 마스터 NE가 QKMS의 KSA로 양자키를 이용한 서비스키를 요청하는 제 3단계;
상기 제 3단계에서 요청된 서비스키와 서비스키 아이디를 상기 마스터 NE가 상기 QKMS의 KSA에서 응답받는 제 4단계;
상기 제 4단계에서 응답받은 서비스키 아이디를 상기 슬레이브 NE가 상기 마스터 NE에서 전달받아 해당 QKMS의 KSA로 서비스키를 요청하는 제 5단계;
상기 제 5단계에서 요청된 서비스키를 상기 슬레이브 NE가 응답받는 제 6단계;
상기 제 6단계에서 응답받은 서비스키를 상기 마스터 NE가 전달받아 상기 제 4단계에서 응답받은 서비스키와 일치하는 경우, 키 교환을 성공으로 처리하는 제 7단계; 및
상기 제 7단계에서 성공으로 처리된 키 교환에 따라 상기 마스터 NE와 상기 슬레이브 NE 간에 인증을 처리하는 제 8단계;를 포함하고,

상기 제 4단계는
상기 마스터 NE가 상기 QKMS의 KSA를 통해 해당 KSA의 키 프로파일에 피어 QKMS의 존재 여부를 확인하는 제 4-1단계;
상기 제 4-1단계에서 피어 QKMS 존재 시, 상기 피어 QKMS에 해당 네트워크 장비 정보의 존재 여부를 확인하는 제 4-2단계; 및
상기 제 4-2단계에서 네트워크 장비 정보 존재 시, 해당 피어 QKMS에게 응답하고, 해당 KSA에서 양자키로 서비스키 및 서비스키 아이디를 생성하여, 해당 마스터 NE로 공급하는 제 4-3단계;;를 포함하는 것을 특징으로 하는 네트워크 장비의 인터넷 키 교환 방법.In a method for exchanging Internet keys of network equipment between a master NE and a slave NE,
Step 1 where the above master NE proposes ISAKMP SA for Internet session to the above slave NE;
A second step in which the slave NE selects the ISAKMP SA proposed in the first step;
A third step in which the master NE requests a service key using a quantum key to the KSA of QKMS through the ISAKMP selected in the second step;
Step 4 where the master NE receives a response from the KSA of the QKMS for the service key and service key ID requested in the step 3;
Step 5 where the slave NE receives the service key ID received in response in Step 4 from the master NE and requests a service key using the KSA of the corresponding QKMS;
Step 6, where the slave NE responds with the service key requested in Step 5;
Step 7, in which the master NE receives the service key responded to in Step 6 and, if it matches the service key responded to in Step 4, processes the key exchange as successful; and
An 8th step of processing authentication between the master NE and the slave NE according to the key exchange processed successfully in the 7th step;

The above 4th step is
Step 4-1 where the above master NE checks whether a peer QKMS exists in the key profile of the KSA of the above QKMS through the KSA of the above QKMS;
Step 4-2 of checking whether the network equipment information exists in the peer QKMS when the peer QKMS exists in the step 4-1 above; and
A method for exchanging Internet keys of network equipment, characterized in that it includes a step 4-3;; of responding to the peer QKMS when network equipment information exists in the step 4-2 above, generating a service key and a service key ID with a quantum key in the corresponding KSA, and supplying them to the corresponding master NE. 삭제delete 청구항 1에 있어서,
상기 제 4-1단계는
해당 파일의 Q-KMS 이름을 아이디로 변환하고, KM 인터페이스, N-PAL 인터페이스에 레스트 API를 등록하여, 초기화하는 제 4-1-1단계; 및
상기 제 4-1-1단계에서 초기화된 N-PAL 인터페이스를 통해 상기 제 3단계의 요청을 처리하는 제 4-1-2단계;를 포함하는 것을 특징으로 하는 네트워크 장비의 인터넷 키 교환 방법.
In claim 1,
The above step 4-1
Step 4-1-1: Converting the Q-KMS name of the file to an ID, registering the rest API in the KM interface and N-PAL interface, and initializing it; and
A method for exchanging Internet keys in network equipment, characterized by including a step 4-1-2 for processing a request of the step 3 through the N-PAL interface initialized in the step 4-1-1.
KR1020230069747A 2023-05-31 2023-05-31 Internet Key Exchange of Network Equipment KR102708686B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020230069747A KR102708686B1 (en) 2023-05-31 2023-05-31 Internet Key Exchange of Network Equipment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020230069747A KR102708686B1 (en) 2023-05-31 2023-05-31 Internet Key Exchange of Network Equipment

Publications (1)

Publication Number Publication Date
KR102708686B1 true KR102708686B1 (en) 2024-09-24

Family

ID=92924009

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020230069747A KR102708686B1 (en) 2023-05-31 2023-05-31 Internet Key Exchange of Network Equipment

Country Status (1)

Country Link
KR (1) KR102708686B1 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100412238B1 (en) 2001-12-27 2003-12-24 한국전자통신연구원 The Management System and method of Internet Security Platform for IPsec
KR20040028329A (en) 2002-09-30 2004-04-03 주식회사 케이티 Method for supplying discriminative services in VPN
JP2006352500A (en) * 2005-06-16 2006-12-28 Matsushita Electric Ind Co Ltd Processor and method for automatic key replacement processing
KR20180079324A (en) 2015-11-03 2018-07-10 퀄컴 인코포레이티드 Internet Key Exchange (IKE) for security association between devices
KR102313482B1 (en) * 2013-12-03 2021-10-18 삼성전자주식회사 Method for protecting contents and electronic device for providing contents protection function
KR20230021565A (en) 2021-08-05 2023-02-14 한국과학기술정보연구원 Method of controlling Quantum Key management and apparatus thereof

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100412238B1 (en) 2001-12-27 2003-12-24 한국전자통신연구원 The Management System and method of Internet Security Platform for IPsec
KR20040028329A (en) 2002-09-30 2004-04-03 주식회사 케이티 Method for supplying discriminative services in VPN
JP2006352500A (en) * 2005-06-16 2006-12-28 Matsushita Electric Ind Co Ltd Processor and method for automatic key replacement processing
KR102313482B1 (en) * 2013-12-03 2021-10-18 삼성전자주식회사 Method for protecting contents and electronic device for providing contents protection function
KR20180079324A (en) 2015-11-03 2018-07-10 퀄컴 인코포레이티드 Internet Key Exchange (IKE) for security association between devices
KR20230021565A (en) 2021-08-05 2023-02-14 한국과학기술정보연구원 Method of controlling Quantum Key management and apparatus thereof

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
김용환 외 3명, "안정적인 양자암호통신망 서비스 제공을 위한 양자키 확장 구조 및 서비스키 관리 방안", 한국통신학회논문지 (2022.08.)* *

Similar Documents

Publication Publication Date Title
CN112039872B (en) Cross-domain anonymous authentication method and system based on block chain
TWI454112B (en) Key management for communication networks
KR100675836B1 (en) Authentication method for a link protection in EPON
US6092200A (en) Method and apparatus for providing a virtual private network
CN102318258A (en) Identity based authenticated key agreement protocol
CN102065016B (en) Message method of sending and receiving and device, message processing method and system
CN106878016A (en) Data is activation, method of reseptance and device
CN107124266B (en) Video communication system and method based on quantum encryption
WO2009143766A1 (en) Method, system for distributing key and method, system for online updating public key
CN111756529B (en) Quantum session key distribution method and system
CN103118363A (en) Method, system, terminal device and platform device of secret information transmission
CN110808829A (en) SSH authentication method based on key distribution center
CN110650009B (en) Mobile network and communication method
KR101704540B1 (en) A method of managing group keys for sharing data between multiple devices in M2M environment
KR20240112239A (en) Method, apparatus and system for connecting VPN secured session based on quantum technology
CN115567207A (en) Method and system for realizing multicast data encryption and decryption by quantum key distribution
CN112332986B (en) Private encryption communication method and system based on authority control
CN114826593B (en) Quantum security data transmission method and digital certificate authentication system
CN116886288A (en) Quantum session key distribution method and device
WO2009109133A1 (en) Method and apparatus for recovering the connection
CN115459912A (en) Communication encryption method and system based on quantum key centralized management
CN109995723B (en) Method, device and system for DNS information interaction of domain name resolution system
CN118381608B (en) Noise protocol implementation method and device based on out-of-band quantum key
KR102708686B1 (en) Internet Key Exchange of Network Equipment
CN113918971B (en) Block chain-based message transmission method, device, equipment and readable storage medium

Legal Events

Date Code Title Description
GRNT Written decision to grant