[go: up one dir, main page]

KR20170107047A - 양자 키 분배 방법, 기구 및 시스템 - Google Patents

양자 키 분배 방법, 기구 및 시스템 Download PDF

Info

Publication number
KR20170107047A
KR20170107047A KR1020177023424A KR20177023424A KR20170107047A KR 20170107047 A KR20170107047 A KR 20170107047A KR 1020177023424 A KR1020177023424 A KR 1020177023424A KR 20177023424 A KR20177023424 A KR 20177023424A KR 20170107047 A KR20170107047 A KR 20170107047A
Authority
KR
South Korea
Prior art keywords
quantum
key
sub
identifier
private
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
KR1020177023424A
Other languages
English (en)
Other versions
KR102738037B1 (ko
Inventor
잉팡 푸
슈안린 리우
야빈 가오
시우종 첸
Original Assignee
알리바바 그룹 홀딩 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알리바바 그룹 홀딩 리미티드 filed Critical 알리바바 그룹 홀딩 리미티드
Publication of KR20170107047A publication Critical patent/KR20170107047A/ko
Application granted granted Critical
Publication of KR102738037B1 publication Critical patent/KR102738037B1/ko
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • H04L9/0855Quantum cryptography involving additional nodes, e.g. quantum relays, repeaters, intermediate nodes or remote nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Optical Communication System (AREA)
  • Storage Device Security (AREA)
  • Lock And Its Accessories (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

양자 키 분배 시스템은 양자 보안 키 관리(QSKM) 장치, 복수의 양자 보안 키 분배(QSKD) 장치, 및 양자 보안 키 서비스(QSKS) 장치를 포함한다. QSKD 장치는 식별자-기반 시스템 개인 키를 복수의 시스템 서브-개인 키로 분할하고, 복수의 시스템 서브-개인 키를 대응하는 수의 QSKD 장치로 분배한다. QSKS 장치는 인증된 개인 키 획득 요청을 제1 QSKD 장치로부터 소정 수의 제2 QSKD 장치로 전달한다. 소정 수의 제2 QSKD 장치는 각각 시스템 서브-개인 키로부터 식별자-기반 인증된 서브-개인 키를 생성한다. 제1 QSKD 장치는, 소정 수의 제2 QSKD 장치로부터, 식별자-기반 인증된 서브-개인 키를 획득하고, 식별자-기반 인증된 서브-개인 키에 기반하여 식별자-기반 인증된 개인 키를 재구성한다.

Description

양자 키 분배 방법, 기구 및 시스템
연관된 출원에 대한 상호참조
본 출원은 2015년 1월 22일에 출원된 중국 출원 제201510033128.2호에 기반하고 우선권의 이익을 주장하며, 그 전체 내용은 여기에서 참조로서 포함된다.
기술분야
본 출원은 양자 키 기술에 관한 것이며, 구체적으로 양자 키 분배를 위한 방법, 기구 및 시스템에 관한 것이다.
컴퓨터 및 네트워크 기술의 발달에 따라, 예를 들면, 사용자를 위한 애플리케이션, 데이터 및 IT 서비스를 제공하는 클라우드 컴퓨팅 시스템을 포함하여, 사용자를 위한 다양한 서비스를 제공하는 시스템이 출현한다. 이러한 시스템에서, 저장된 정적 데이터 및 생성된 동적 데이터의 보안을 보장하기 위해서, 암호화 알고리즘을 사용하여 데이터를 암호화하는 것이 필수적이다. 예를 들면, 클라우드 컴퓨팅 환경에서는 인증서 인증을 기반으로 한 제1 암호화 모드 및 클라우드 컴퓨팅 키 관리를 기반으로 한 제2 암호화 모드의 두 가지 데이터 암호화 모드가 일반적으로 사용된다.
인증서-기반 암호화 인증 모드의 기본 원리는 다음과 같다. 시스템 내의 서버는 키들을 자체적으로 제어하고 저장한다. 정적 데이터를 암호화하고 저장할 때, 서버는 대칭 키를 사용하여 데이터를 암호화한 다음, 디지털 인증서를 사용하여 대칭 키를 암호화(즉, 공개 키를 사용하여 대칭 키를 암호화)하고 암호화된 데이터를 저장한다. 데이터를 판독할 때, 서버 또는 다른 서버는 먼저 개인 키를 사용하여 대칭 키를 해독한 다음 해독된 대칭 키를 사용하여 데이터를 해독한다.
인증서-기반 암호화 인증 모드에 비하여, 클라우드 컴퓨팅 키 관리 시스템을 사용하는 암호화 모드는 클라우드 컴퓨팅 환경에 더 널리 적용되고 있으며, 또한 클라우드 데이터 보안의 토대이다.
도 1은 예시적인 클라우드 컴퓨팅 키 관리 시스템이다. 클라우드 컴퓨팅 키 관리 시스템은 두 부분, 즉 클라우드 컴퓨팅 키 클라이언트 엔드(end) 및 클라우드 컴퓨팅 키 관리 서비스 엔드를 포함한다. 클라우드 컴퓨팅 키 클라이언트 엔드는 클라우드 컴퓨팅 서버에 상주하며 클라우드 컴퓨팅 서버 내의 클라우드 컴퓨팅 애플리케이션에 키 서비스를 제공한다. 클라우드 컴퓨팅 키 클라이언트 엔드는 표준 키 관리 프로토콜을 사용하여 키 생성, 키 복구 및 키 업데이트와 같은 관리 서비스를 클라우드 컴퓨팅 키 관리 서비스 엔드에 신청한다. 클라우드 컴퓨팅 키 관리 서비스 엔드는 대응하는 서비스를 서비스 애플리케이션 유형에 따라 대칭형 패스워드 관리 서버에 신청한 다음, 키 서비스 조작 결과를 클라우드 컴퓨팅 키 클라이언트 엔드로 반환하며, 또한 클라우드 컴퓨팅 키 클라이언트 엔드를 대신하여 대응하는 서비스를 디지털 인증서 센터에 신청할 수도 있다.
양자의 모드가 모두 계산상의 복잡성에 기반한 고전적 암호를 사용하기 때문에, 이들은 클라우드 컴퓨팅, 양자 컴퓨팅 및 다른 컴퓨팅 기술의 출현을 고려하면 잠재적으로 해독될(cracked) 수 있다. 또한, 제1 모드에서는, 암호화된 키가 안전하게 유지되어야 한다. 손실되거나 손상되면, 키 또는 데이터를 복구할 수 없다. 제2 모드에서는, 중앙 관리를 위해 시스템에 키를 넘겨 주면 보안이 향상되지만, 더 높은 조작 권한을 가진 키 관리 서버의 관리자는 사용자 데이터와 키에 접근할 수 있어, 키와 사용자 기밀 정보를 누설할 수 있다.
본 개시의 일 양상은 양자 키 분배 시스템에 관한 것이다. 양자 키 분배 시스템은 양자 보안 키 관리 장치, 양자 보안 키 관리 장치와 연결되는 복수의 양자 보안 키 분배 장치, 및 양자 보안 키 관리 장치 및 복수의 양자 보안 키 분배 장치와 연결되는 양자 보안 키 서비스 장치를 포함한다. 양자 보안 키 관리 장치는 식별자-기반 시스템 개인 키를 복수의 시스템 서브-개인 키로 분할하고, 복수의 시스템 서브-개인 키를 대응하는 수의 양자 보안 키 분배 장치로 분배한다. 양자 보안 키 서비스 장치는 복수의 양자 보안 키 분배 장치 중 제1 양자 보안 키 분배 장치로부터 양자 보안 키 분배 장치 중 소정 수의 제2 양자 보안 키 분배 장치로 인증된 개인 키 획득 요청을 전달한다. 소정 수의 제2 양자 보안 키 분배 장치 각각은 시스템 서브-개인 키로부터 식별자-기반 인증된 서브-개인 키를 생성한다. 제1 양자 보안 키 분배 장치는, 소정 수의 제2 양자 보안 키 분배 장치로부터, 식별자-기반 인증된 서브-개인 키를 획득하고, 식별자-기반 인증된 서브-개인 키에 기반하여 식별자-기반 인증된 개인 키를 재구성한다.
본 개시의 다른 양상은 양자 키 분배 방법에 관한 것이다. 양자 키 분배 방법은, 양자 보안 키 서비스 장치에 의하여, 요청자의 제1 양자 보안 키 분배 장치로부터 인증된 개인 키 획득 요청 수신--상기 요청은 적어도 요청자의 식별자 정보를 전달--; 양자 보안 키 서비스 장치에 의하여, 소정 수의 제2 양자 보안 키 분배 장치로 상기 요청 전달; 요청자의 식별자 정보 및 복수의 시스템 서브-개인 키에 기반하여, 소정 수의 제2 양자 보안 키 분배 장치에 의하여, 생성되는 복수의 인증된 서브-개인 키를, 요청자의 제1 양자 보안 키 분배 장치에 의하여, 수신; 및 요청자의 제1 양자 보안 키 분배 장치에 의하여, 인증된 서브-개인 키에 기반하여 식별자-기반 인증된 개인 키 재구성을 포함한다.
본 개시의 일부 실시예에 부합하여, 요청자의 제1 양자 보안 키 분배 장치에 의하여, 인증된 서브-개인 키에 기반하여 식별자-기반 인증된 개인 키 재구성은, 요청자의 제1 양자 보안 키 분배 장치에 의한 재구성을 포함하며, 식별자-기반 인증된 개인 키는 임계 비밀 공유 메커니즘을 사용하여 구현될 수 있다.
본 개시의 일부 실시예에 부합하여, 양자 키 분배 방법은, 양자 보안 키 서비스 장치에 의하여 요청 수신 이전에, 양자 보안 키 관리 장치에 의하여, 임계 비밀 공유 메커니즘을 사용하여 식별자-기반 시스템 개인 키를 복수의 시스템 서브-개인 키로 분할, 및 양자 보안 키 관리 장치에 의하여, 복수의 시스템 서브-개인 키를 대응하는 수의 양자 보안 키 분배 장치와 공유를 더 포함할 수 있다.
본 개시의 다른 양상은 다른 양자 키 분배 방법에 관한 것이다. 양자 키 분배 방법은, 양자 보안 키 관리 장치에 의하여, 식별자-기반 시스템 개인 키를 복수의 시스템 서브-개인 키로 분할; 양자 보안 키 관리 장치에 의하여, 복수의 시스템 서브-개인 키를 대응하는 수의 양자 보안 키 분배 장치로 분배; 양자 보안 키 서비스 장치에 의하여, 요청자의 제1 양자 보안 키 분배 장치로부터 인증된 개인 키 획득 요청 수신--상기 요청은 적어도 요청자의 식별자 정보를 전달--; 양자 보안 키 서비스 장치에 의하여, 대응하는 수의 양자 보안 키 분배 장치 중 소정 수의 제2 양자 보안 키 분배 장치로 상기 요청 전달; 요청자의 식별자 정보 및 복수의 시스템 서브-개인 키에 기반하여, 소정 수의 제2 양자 보안 키 분배 장치에 의하여, 생성되는 복수의 인증된 서브-개인 키를, 제1 양자 보안 키 분배 장치에 의하여, 수신; 및 요청자의 제1 양자 보안 키 분배 장치에 의하여, 인증된 서브-개인 키에 기반하여 식별자-기반 인증된 개인 키 재구성을 포함한다.
본 개시의 일부 실시예에 부합하여, 양자 키 분배 방법은, 양자 보안 키 관리 장치에 의하여, 양자 잡음원에 의해 생성되는 난수, 양자 키 분배 시스템의 식별자 정보, 및 타임스탬프 정보를 이용하여 시스템 개인 키 생성을 더 포함할 수 있다.
본 개시의 일부 실시예에 부합하여, 양자 보안 키 관리 장치에 의하여, 식별자-기반 시스템 개인 키를 복수의 시스템 서브-개인 키로 분할은 라그랑주 보간법(Lagrange interpolation)에 기반한 임계 비밀 공유 메커니즘을 사용하여 구현될 수 있다.
본 개시의 일부 실시예에 부합하여, 요청자의 제1 양자 보안 키 분배 장치에 의하여, 인증된 서브-개인 키에 기반하여 식별자-기반 인증된 개인 키 재구성은 라그랑주 보간법에 기반한 임계 비밀 공유 메커니즘을 사용하여 구현될 수 있다.
본 개시의 다른 양상은 양자 키 분배 기구에 관한 것이다. 기구는 요청자의 제1 양자 보안 키 분배 장치로부터 인증된 개인 키 획득 요청을 수신하는 개인 키 요청 수신기 유닛--상기 요청은 적어도 요청자의 식별자 정보를 전달--, 요청을 소정 수의 제2 양자 보안 키 분배 장치로 전달하는 개인 키 요청 전달 유닛, 요청자의 식별자 및 복수의 시스템 서브-개인 키에 기반하여 복수의 인증된 서브-개인 키를 생성하고 인증된 서브-개인 키를 요청자의 제1 양자 보안 키 분배 장치와 공유하는 인증된 서브-개인 키 공유 유닛, 및 인증된 서브-개인 키에 기반하여 식별자-기반 인증된 개인 키를 재구성하는 인증된 개인 키 재구성 유닛을 포함한다.
본 개시의 다른 양상은 하나 이상의 프로그램을 저장하는 비일시적 컴퓨터 판독가능 매체에 관한 것이다. 하나 이상의 프로그램은, 양자 보안 키 서비스 장치 및 제1 양자 보안 키 분배 장치를 포함하는 컴퓨터 시스템에 의해 실행될 때, 컴퓨터 시스템이 방법을 수행하도록 하는 명령을 포함하고, 방법은: 양자 보안 키 서비스 장치에 의하여, 요청자의 제1 양자 보안 키 분배 장치로부터 인증된 개인 키 획득 요청 수신--상기 요청은 적어도 요청자의 식별자 정보를 전달--; 양자 보안 키 서비스 장치에 의하여, 소정 수의 제2 양자 보안 키 분배 장치로 상기 요청 전달; 요청자의 식별자 정보 및 복수의 시스템 서브-개인 키에 기반하여, 소정 수의 제2 양자 보안 키 분배 장치에 의하여, 생성되는 복수의 인증된 서브-개인 키를, 요청자의 제1 양자 보안 키 분배 장치에 의하여, 수신; 및 요청자의 제1 양자 보안 키 분배 장치에 의하여, 인증된 서브-개인 키에 기반하여 식별자-기반 인증된 개인 키 재구성을 포함한다.
본 개시의 다른 양상은 하나 이상의 프로그램을 저장하는 비일시적 컴퓨터 판독가능 매체에 관한 것이다. 하나 이상의 프로그램은, 양자 보안 키 관리 장치, 양자 보안 키 서비스 장치, 및 제1 양자 보안 키 분배 장치를 포함하는 컴퓨터 시스템에 의해 실행될 때, 컴퓨터 시스템이 방법을 수행하도록 하는 명령을 포함하고, 방법은: 양자 보안 키 관리 장치에 의하여, 시스템 개인 키를 복수의 시스템 서브-개인 키로 분할; 양자 보안 키 관리 장치에 의하여, 복수의 시스템 서브-개인 키를 대응하는 수의 양자 보안 키 분배 장치로 분배; 양자 보안 키 서비스 장치에 의하여, 요청자의 제1 양자 보안 키 분배 장치로부터 인증된 개인 키 획득 요청 수신--상기 요청은 적어도 요청자의 식별자 정보를 전달--; 양자 보안 키 서비스 장치에 의하여, 대응하는 수의 양자 보안 키 분배 장치 중 소정 수의 제2 양자 보안 키 분배 장치로 상기 요청 전달; 요청자의 식별자 정보 및 복수의 시스템 서브-개인 키에 기반하여, 소정 수의 제2 양자 보안 키 분배 장치에 의하여, 생성되는 복수의 인증된 서브-개인 키를, 제1 양자 보안 키 분배 장치에 의하여, 수신; 및 요청자의 제1 양자 보안 키 분배 장치에 의하여, 인증된 서브-개인 키에 기반하여 식별자-기반 인증된 개인 키 재구성을 포함한다.
본 개시의 추가적인 특징 및 이점은 다음의 상세한 설명에서 부분적으로 제시될 것이고, 일부는 상세한 설명으로부터 명백해지거나, 본 개시의 실시에 의해 습득될 수 있다. 본 개시의 특징 및 이점은 첨부된 청구범위에서 특별히 지적된 요소 및 조합에 의해 실현되고 달성될 것이다.
전술한 일반적인 설명 및 다음의 상세한 설명은 단지 예시적이고 설명적인 것이며, 청구된 본 발명을 제한하지 않는다는 것을 이해하여야 한다.
본 명세서의 일부를 구성하는 첨부 도면은 여러 실시예를 도시하며, 설명과 함께 개시된 원리를 설명하는 역할을 한다.
도 1은 종래 기술의 예시적인 클라우드 컴퓨팅 보안 키 관리 시스템이다.
도 2는 예시적인 실시예에 따른 양자 키 분배 시스템의 그래픽 도시이다.
도 3은 다른 예시적인 실시예에 따른 다른 양자 키 분배 시스템의 그래픽 도시이다.
도 4는 다른 예시적인 실시예에 따른 양자 키 분배 시스템을 도시하는 블록도이다.
도 5는 예시적인 실시예에 따른 양자 키 분배 방법을 도시하는 흐름도이다.
도 6은 다른 예시적인 실시예에 따른 양자 키 분배 방법을 도시하는 흐름도이다.
도 7은 예시적인 실시예에 따른 양자 키 분배 기구를 도시하는 블록도이다.
이제, 예시적인 실시예를 상세히 참조하며, 그 예들은 첨부된 도면에 도시되어 있다. 다음의 설명은 달리 표현되지 않는 한, 상이한 도면에서 동일한 번호가 동일하거나 유사한 요소를 나타내는 첨부된 도면을 참조한다. 본 발명과 부합하는 예시적인 실시예에 대한 이하의 설명에서 제시된 구현은 본 발명과 부합하는 모든 구현을 나타내지는 않는다. 대신, 이들은 단지 첨부된 청구 범위에 열거된 본 발명과 관련된 양상과 일치하는 시스템 및 방법의 예일 뿐이다.
본 개시의 일부 실시예에 부합하여, 양자 키 분배 시스템이 제공된다. 이 예에서 제공되는 양자 키 분배 시스템은: 양자 보안 키 관리(quantum security key management, 이하 QSKM로 지칭) 장치, 복수의 양자 보안 키 분배(quantum security key distribution, 이하 QSKD로 지칭) 장치, 양자 보안 키 서비스(quantum security key service, 이하 QSKS로 지칭) 장치, 및 보안 데이터 전송의 출발지 엔드 및 목적지 엔드로서 사용되는 데이터 장치를 포함한다. QSKM 장치는 복수의 QSKD 장치 및 QSKS 장치와 연결되고, 각 QSKD 장치는 적어도 다수의 다른 QSKD 장치와 연결되고, 데이터 장치는 적어도 하나의 QSKD 장치와 연결된다. QSKM, QSKD 및 QSKS 장치는 하나 이상의 프로세서 및 메모리가 있는 컴퓨터 또는 서버에서 구현될 수 있다. 메모리는 명령을 저장하는 비일시적 컴퓨터 판독가능 저장 매체일 수 있으며, 프로세서에 의해 실행될 때, 후술하는 기능을 수행한다.
일부 실시예에서, 복수의 QSKD 장치 중 하나 이상은 QSKS 장치를 포함할 수 있다. 즉, QSKD 장치 및 QSKS 장치의 기능은 하나의 물리적 장치에 통합될 수 있으며, 각각 다른 물리적 장치에 의해 구현될 수도 있다.
또한, 양자 키의 원거리 전송 요건을 충족시키기 위하여, 양자 키 분배 시스템은 양자 키와 전달 데이터를 중계하도록 구성되는 라우팅 장치를 더 포함할 수 있어, QSKM 장치, QSKD 장치 및 QSKS 장치는 라우팅 장치를 통해 서로 연결될 수 있다.
도 2는 예시적인 실시예에 따른 양자 키 분배 시스템의 그래픽 도시이다. 이 실시예에서, 서로 대기하는 2개의 QSKM 장치가 포함되고, QSKD와 QSKS의 기능이 하나의 물리적 장치(QSKD/QSKS로 표시됨)에 통합되며, QSKM 장치와 QSKD/QSKS 장치가 라우팅 장치를 통해 서로 연결된다. QSKD 및 QSKS가 일부 예시적인 구현에서 하나의 물리적 장치에 통합되지만, QSKD 및 QSKS에 의해 구현되는 기능은 상이할 수 있다. QSKM 장치, QSKD 장치 및 QSKM 장치의 특정한 기능 및 서로의 협동은 기능적 분할의 관점에서 설명된다.
도 3은 예시적인 실시예에 따른 다른 양자 키 분배 시스템의 그래픽 도시이다. 이 실시예에서, 일부 QSKD 장치는 일부 클라우드 사용자에 의해 소유되고 일부 QSKD 장치는 일부 클라우드 사용자에 의해 임대된다.
도 4는 예시적인 실시예에 따른, 도 2 및 3에 나타난 양자 키 분배 시스템(100)을 도시하는 블록도이다. 시스템(100)은 다수의 구성 요소들을 포함하며, 그 중 일부는 선택적일 수 있다. 시스템(100)은 네트워크(106)를 통해 모두 연결된 QSKM 장치(101), 복수의 QSKD 장치(102), QSKS 장치(103), 데이터 장치(104) 및 라우팅 장치(105)를 포함한다. 복수의 QSKD 장치(102)는 제1 QSKD 장치(112) 및 복수의 제2 QSKD 장치(122)를 포함한다. 제1 QSKD 장치 및 복수의 제2 QSKD 장치는 구조적 및 기능적으로 유사하거나 동일한 장치일 수 있다. 이들 QSKD 장치의 그룹화/분류는 설명을 위한 것이다.
일부 실시예에서, QSKD 장치 및 QSKS 장치는 하나의 물리적 장치에 통합되고, QSKM 장치 및 QSKD/QSKS 장치는 라우팅 장치를 통해 서로 연결된다. 일부 실시예에서, 시스템(100)은 각각 서로의 백업인 2개의 QSKM 장치를 포함한다.
일부 실시예에서, QSKM 장치는 양자 키 분배 시스템의 관리자이고, 시스템은 데이터 동기화를 달성하고 시스템의 중앙 관리를 실현하기 위해 하나 이상의 QSKM 장치를 포함할 수 있다. QSKM 장치는 임계 비밀 공유 메커니즘에 따라 식별자-기반 시스템 개인 키를 복수의 시스템 서브-개인 키로 분할하고, 양자 키 협약에 따라 복수의 시스템 서브-개인 키를 대응하는 수의 QSKD 장치로 각각 분배한다.
일부 실시예에서, 식별자-기반 시스템 개인 키는 QSKM 장치에 사전 설정될 수 있거나, 다음과 같이 QSKM 장치에 의해 생성될 수 있다. 식별자-기반 시스템 개인 키는 양자 잡음원에 의해 생성된 난수, 시스템의 식별자 정보 및 타임스탬프 정보에 따라 생성된다. 양자 잡음원에 의해 생성되는 난수가 도입되는 이유는 양자 잡음의 임의 특성(random characteristics)을 이용하여 시스템 개인 키의 보안을 높이고자 하는 것이다. 예를 들면, 시스템 개인 키는 식 1을 통해 생성될 수 있다.
Figure pct00001
------ 식 1
여기에서, Sr은 양자 잡음원에 의해 생성된 난수, BNID 은 시스템의 식별자 정보, expire_time은 타임스탬프 정보, 그리고 S는 식별자-기반 시스템 개인 키이다. QSKM 장치는 QSKM 장치만 접근할 수 있는 시스템 키 데이터베이스에 시스템 개인 키(또한 시스템 키로도 지칭)를 저장할 수 있다.
일부 실시예에서, QSKM 장치는 상술한 바와 같이 생성되거나 사전 설정된 식별자-기반 시스템 개인 키를 임계 비밀 공유 메커니즘에 따라 복수의 시스템 서브-개인 키로 분할하고, 양자 키 협약에 따라 복수의 시스템 서브-개인 키를 대응하는 수의 QSKD 장치로 각각 분배한다
일부 실시예에서, 식별자-기반 시스템 개인 키를 복수의(적어도 두 개의) 식별자-기반 시스템 서브-개인 키로 분할하고 대응하는 수의 QSKD 장치로 분배하는 이유는 키의 분산 관리를 달성하고자 하는 것이며, 제1 QSKD 장치(또는 임의의 다른 QSKD 장치)가 인증된 개인 키를 획득하기 위해 신청할 때, 분산된 관리 하에 있는 소정 수의 서브-개인 키가 결합될 수 있다. 이 방식으로, 키 관리 권한의 과도한 중앙 집중화로 인한 권력 남용을 피할 수 있으며, 따라서 관리자가 사용자 데이터를 수집하여 악의적으로 누설할 가능성을 효과적으로 줄일 수 있다. 또한, 키가 손상된 경우, 소정 수의 서브-개인 키를 다시 획득하고 키를 재구성하는 것이 또한 가능하다.
일부 실시예에서, QSKM 장치는 임계 비밀 공유 메커니즘을 사용하여 시스템 개인 키를 복수의 식별자-기반 시스템 서브-개인 키로 분할한다. 임계 비밀 공유 메커니즘은 (n, t) 임계 비밀 공유 메커니즘으로 알려져 있으며, 그 메커니즘은 다음과 같이 정의된다. 비밀 S는 비밀 공유 알고리즘을 통해 공유하기 위해 n명의 구성원에게 분배되어, 각 구성원이 비밀 서브(비밀 S의 일부)를 보유하며, 다음의 두 가지 조건이 충족된다:
(1) t보다 작지 않은 임의의 수의 멤버는 그들이 보유하고 있는 비밀 서브로 비밀 S를 재구성할 수 있다; 및
(2) t보다 작은 임의의 수의 멤버는 그들이 보유한 비밀 서브로 비밀 S를 재구성할 수 없다.
전술한 비밀 공유 메커니즘을 실현하기 위한 많은 방법, 예를 들면, 라그랑주 보간법(Lagrange interpolation)에 기반한 임계 비밀 공유 방식 또는, 다차원 공간에 기반한 블래클리(Blakley) 임계 비밀 공유 방식이 있으며, 각 방식은 그 자체의 비밀 공유 알고리즘 및 대응하는 비밀 재구성 알고리즘을 갖는다. 이러한 방식은 또한 비밀 공유 메커니즘이라고도 한다.
일부 실시예에서, 시스템이 n개의 QSKD 장치를 포함하면, QSKM 장치는 사전 설정된 t 값에 따라 시스템 개인 키를 n개의 시스템 서브-개인 키로 분할할 수 있다.
일부 실시예에서, 라그랑주 보간법에 기반한 임계 비밀 공유 메커니즘이 사용된다. QSKM 장치는 식 2 및 식 3에 나타난 비밀 공유 알고리즘을 사용하여 식별자-기반 시스템 개인 키 S를 n개의 서브-개인 키 Si로 분할할 수 있으며, 식 2의 소수 φ는 개인 키 관리에 참여하는 QSKD 장치의 총 수 n보다 크고, 시스템 개인 키 S가 설정될 수 있는 최대 값 α0=h(0)=S보다 크며,
Figure pct00002
는 양자 잡음에 의해 생성되는 임의 계수이다. 모든 계수는 안전하게 유지되어야 하고 n 개의 서브 키 공유 Si가 생성된 후에 파괴된다.
Figure pct00003
------ 식 2
Figure pct00004
---- 식 3
이 예에서, 식별자-기반 시스템 개인 키는 QSKD 장치의 수 n에 따라 대응하는 수로 분할되며, 일부 실시예에서, 키의 분산 관리는 시스템 개인 키가 복수의 시스템 서브-개인 키로 분할되는 한 실현될 수 있다.
일부 실시예에서, QSKM 장치는, 분할 후, 복수의 시스템 서브-개인 키를 양자 키 협약에 따라 대응하는 수의 QSKD 장치로 각각 분배하도록 더 구성된다. QSKM이 분할을 통해 n개의 시스템 서브-개인 키 S1, S2,..., Sn을 얻으면, QSKM은 양자 키 협약, 예를 들면, BB84 프로토콜에 따라 S1, S2 ,. . . Sn을 QSKD1, QSKD2,..., QSKDn과 각각 공유한다.
일부 실시예에서, 광 손실과 비트 오류율을 고려하여, QSKM 장치와 QSKD 장치가 각 시스템 서브-개인 키를 올바르게 공유할 수 있도록 하기 위하여, S1, S2, ..., Sn이 키 협약을 위해 양자 상태로 변환될 때, 이중화 전송(redundancy transmission) 또는 주문형 재전송의 양자 키 협약이 사용될 수 있다.
이중화 전송은 동일 비트를 일정 비율로 전송, 즉 동일한 비트를 여러 번 전송하는 것을 말하며, 비율은 비트 오류율, 전송 거리, 손실률 및 다른 요소에 기반하여 결정될 수 있다. 주문형 재전송은 수신되지 않은 광자(예를 들어, 감쇠로 인해 효과적인 검출이 수행될 수 없음)가 있는지 여부를 동기화 메커니즘을 통해 수신기 장치가 알 수 있고, 고전적인 채널의 측정 기초를 비교하여 수신된 양자 상태 중 어느 것이 잘못되었는지를 판단할 수 있는 것을 말한다. 수신기 장치는 비수신 및 잘못된 양자 상태 정보를 QSKM 장치로 송신할 수 있어, QSKM 장치는 수신기 장치의 요구에 따라 특정 양자 상태를 한 번 이상 반복적으로 전송할 수 있다. 위의 두 가지 방법을 사용함으로써, 수신기 장치가 동일한 비트를 여러 번 성공적으로 수신할 수 있으며, 이 상황에서 1비트를 유지할 수 있다.
일부 실시예에서, QSKM 장치와 각 QSKD 장치가 각 시스템 서브-개인 키를 올바르게 공유하는 것을 보장할 수 있으면, 양자 키 협약을 위한 다른 방법을 사용하는 것 또한 가능하다.
일부 실시예에서, 시스템의 관리자로서, QSKM 장치는 필요한 관리 기능을 실현하기 위하여 시스템의 각 장치와 통신하여야 한다. 데이터 전송의 보안을 높이고 관리자의 신원에 대한 시스템 내의 장치의 확인을 용이하게 하기 위해, QSKM 장치는 양자 잡음원에 의해 생성된 난수, 식별자 정보 및 타임스탬프 정보를 사용하여 자신의 식별자-기반 개인 키 및 대응하는 서명 인증서를 생성하도록 더 구성될 수 있다. 인증서는 QSKM의 식별자 정보(예를 들면, QSKM 장치의 ID) 및 그 개인 키를 사용하는 서명 정보를 포함한다. 예를 들면, 시스템은 식 4를 사용하여 QSKM의 식별자-기반 개인 키를 생성할 수 있다.
Figure pct00005
---- 식 4
여기에서, QSKMID은 QSKM의 식별자 정보, QSKMr은 양자 잡음원을 사용하여 QSKM에 의해 생성된 난수, expire_time은 타임스탬프 정보, 및 QSKMPK은 QSKM의 식별자-기반 개인 키이다.
QSKM 장치는 식별자-기반 개인 키 및 대응하는 서명 인증서를 자신의 키/인증서 데이터베이스 내로 저장할 수 있다. 이 예가 식별자-기반 공개 키 암호화 기술을 사용하므로, 식별자 정보 (예를 들면, ID)와 인증서는 전체 네트워크를 통해 개방되는 한편, 식별자-기반 개인 키는 기밀이며 일반적으로 개인 키를 생성하거나 소유하는 장치 또는 사용자가 접근할 수 있고 인증된 장치가 접근할 수 있다.
또한, 관리를 용이하게 하고 보안 데이터 전송을 위한 식별자-기반 개인 키의 생성을 가능하게 하기 위하여, 양자 키 분배 시스템의 장치들은 다른 장치들과 구별할 수 있는 식별자 정보(예를 들면, ID)를 가질 수 있으며, 식별자 정보는 각 장치에 사전 설정될 수 있고 또한 시스템 내의 매니저 QSKM에 의해 균등하게 할당되고 관리될 수 있다. 일 실시예에서, QSKM 장치는, QSKD 장치 또는 QSKS 장치로부터 수신되는 등록 요청에 따라, QSKD 장치 또는 QSKS 장치에 대한 식별자 정보를 생성하고, 대응하는 장치로 식별자 정보를 발행하도록 더 구성된다. QSKD 장치와 QSKS 장치가 동일한 물리적 장치에 통합되면, QSKM은 QSKD 장치와 QSKS 장치에 대해 하나의 ID를 발급할 수 있으며 또한 QSKD 장치와 QSKS 장치에 각각 두 개의 ID를 발급할 수도 있다.
일부 실시예에서, 시스템 내에서 QSKS 장치의 주요 기능 중 하나는 인증된 개인 키 획득 요청을 전달하는 것이다. 시스템 내의 데이터 장치가 데이터 암호화 저장 또는 보안 데이터 전송을 수행하고자 할 때, 그에 연결된 QSKD 장치(예를 들면, 설명을 목적으로 이를 제1 QSKD 장치로 지칭)는 QSKS 장치로 인증된 개인 키 획득 요청을 송신할 수 있다. 요청은 제1 QSKD 장치의 식별자 정보(예를 들면, ID)를 전달할 수 있고, QSKS 장치는 요청을 소정 수의 QSKD 장치(예를 들면, 설명을 목적으로 제2 QSKD 장치로 지칭)로 전달한다. 예를 들면, (n, t) 임계 메커니즘을 사용하여, 시스템 개인 키가 n개의 QSKD 장치에 의해 공유되며, QSKS 장치는 인증된 개인 키 획득 요청을 n개의 QSKD 장치 중 임의의 t개에 전달한다. t개의 QSKD 장치(즉, 제 2 QSKD 장치) 및 요청자(즉, 제1 QSKD 장치)는 서로 직접 연결되거나 양자 키 중계 기능을 갖는 라우팅 장치를 통해 서로 연결된다.
일부 실시예에서, 제1 QSKD 장치는, t개의 제2 QSKD 장치로부터, 양자 키 협약에 따라 복수의 시스템 서브-개인 키에 따라 생성된 식별자-기반 인증된 서브-개인 키를 획득하고, 임계 비밀 공유 메커니즘을 사용하여 식별자-기반 인증된 개인 키를 재구성하도록 구성된다.
일부 실시예에서, QSKD 장치가 인증된 개인 키의 요청자가 아닐 때, QSKD 장치(즉, 제2 QSKD 장치)는 QSKS 장치에 의해 전달된 인증된 개인 키 획득 요청을 수신한 후에, 인증된 개인 키 요청자의 식별자 정보, 타임스탬프 정보 및 QSKM 장치가 분배한 시스템 서브-개인 키에 따라 식별자-기반 인증된 서브-개인 키를 생성한다. 예를 들면, 식별자-기반 인증된 서브-개인 키는 식 5를 사용하여 생성될 수 있으며,
Figure pct00006
(r의 값은 1-t의 범위)는 시스템 서브-개인 키, UID는 인증된 개인 키 요청자의 역할을 하는 제1 QSKD 장치의 식별자 정보, expire_time은 타임스탬프 정보, 및 Sur은 요청자의 식별자 정보에 기반한 식별자-기반 인증된 서브-개인 키이다.
Figure pct00007
----------- 식 5
일부 실시예에서, QSKD 장치가 인증된 개인 키의 요청자(즉, 제 1 QSKD 장치)일 때, QSKD 장치는, 다른 QSKD 장치로부터, 양자 키 협약에 따라 소정 수(예를 들면, t)의 식별자-기반 인증된 서브-개인 키를 획득하고, 임계 비밀 공유 메커니즘을 사용하여 식별자-기반 인증된 개인 키를 재구성하도록 구성된다. 요청자의 식별자 정보와 제1 QSKD 장치의 식별자 정보는 이 출원에서 상호 교환 가능하게 사용된다. 이들은 동일하거나 상이할 수 있다. 서로 다를 때, 이들은 이 출원의 목적을 위해 서로 교환될 수 있다.
일부 실시예에서, t개의 제2 QSKD 장치가 위에서 설명한 바와 같이 요청자의 식별자 기반으로 인증된 서브-개인 키를 생성한 후, 양자 키 협약에 따라 인증된 서브-개인 키를 요청자(즉 제1 QSKD 장치)와 각각 공유하여, 요청자가 t개의 식별자-기반 시스템 서브-개인 키를 획득한다. 또한, 제2 QSKD 장치가 생성된 인증된 서브-개인 키를 제1 QSKD 장치와 정확히 공유하도록 하기 위하여 이중화 전송 또는 주문형 재전송을 사용할 수도 있다.
일부 실시예에서, 제1 QSKD 장치가 식별자-기반 인증된 개인 키를 재구성할 때, QSKM 장치가 식별자-기반 인증된 개인 키를 분할하는 데 사용된 비밀 공유 알고리즘에 대응하는 비밀 재구성 알고리즘이 채택된다. 일 예에서, QSKM은 라그랑주 보간법에 기반한 임계 비밀 공유 메커니즘의 비밀 공유 알고리즘을 채택하고, 이에 대응하여, 요청자(즉, 제1 QSKD 장치)는 라그랑주 보간법에 기반한 임계 비밀 공유 메커니즘의 재구성 알고리즘을 채택하여 식별자-기반 인증된 개인 키를 재구성한다.
일부 실시예에서, t개의 제2 QSKD 장치로부터 획득된 t개의 Sur에 따라, 이는 임의의 t개의 점, 즉, (xi1, Su1), (xi2, Su2) ...(xit, Sut)를 아는 것과 동등하며, 대응하는 f(x)가 라그랑주 보간법 식을 사용하여 얻어질 수 있고, 재구성된 인증된 개인 키는 Su = f(0)이다. 전술한 원리에 기반하여, 재구성된 식별자-기반 인증된 개인 키 Su 는 식 6 및 식 7을 이용하여 얻어질 수 있다.
Figure pct00008
--- 식 6
Figure pct00009
Figure pct00010
------ 식 7
요청자(즉, 제1 QSKD 장치)는 재구성된 인증된 개인 키에 따라 식별자-기반 서명 인증서를 생성하여, 요청자가 식별자-기반 인증된 개인 키 및 인증서를 획득하도록 더 구성될 수 있다.
일부 실시예에서, QSKS 장치로서 QSKD 장치와 QSKM 장치는 시스템 내부의 관리 요구로 인해 서로 통신할 수 있으며, 통신 보안을 보장하기 위하여, QSKS 장치와 QSKD 장치는 자체의 식별자-기반 개인 키를 또한 생성할 수 있다.
일부 실시예에서, QSKD 장치들 및 QSKS 장치는 QSKM 장치로부터 양자 잡음원에 의해 생성된 난수 및 타임스탬프 정보를 양자 키 협약에 따라 획득하고, 상기 정보 및 자신의 식별자 정보에 따라 식별자-기반 개인 키를 생성하도록 더 구성된다. 예를 들면, QSKD 장치와 QSKS 장치는 식 8을 사용하여 자신의 고유한 식별자-기반 개인 키를 생성할 수 있으며, 여기에서 Ur는 QSKD 장치 또는 QSKS 장치를 위해 QSKM 장치에서 양자 잡음원을 사용하여 생성된 난수, expire_time은 타임스탬프 정보, UID는 QSKD 장치 또는 QSKS 장치의 식별자 정보(예를 들면, ID)로서, 식별자 정보는 사전 설정되거나 QSKM 장치에 의해 발행될 수 있다.
Figure pct00011
---------- 식 8
일 실시예에서, QSKM 장치는 또한 식 8을 사용하여 QSKD 장치 또는 QSKS 장치에 대한 UPk를 계산할 수 있으며, 또한 QSKM 장치가 보안 데이터 전송을 수행하기 위하여 QSKM 장치와 QSKD 장치 또는 QSKS 장치 사이에서 UPk를 공유 키로 사용할 수 있다.
일부 실시예에서, 양자 키 분배 시스템은 클라우드 백본 네트워크(데이터 센터)와 클라우드 사용자를 포함하는 클라우드 네트워크 아키텍처에 적용된다.
예를 들면, 양자 키 분배 시스템은 클라우드 백본 네트워크(예를 들면, 클라우드 컴퓨팅 데이터 센터) 내에 배치될 수 있으며, 데이터 장치는 클라우드 컴퓨팅 데이터 센터의 서버를 가리키고, 시스템 내부의 QSKM 장치는 시스템 내의 QSKD 장치로 복수의 시스템 서브-개인 키를 미리 분배할 수 있다. 클라우드 컴퓨팅 데이터 센터의 특정 서버가 데이터 저장 또는 전송 전에 식별자-기반 인증된 개인 키를 획득해야 할 때, 그와 연결된 QSKD 장치는 다른 QSKD 장치로부터 소정 수의 식별자-기반 인증된 서브-개인 키를 획득할 수 있으며, 임계 비밀 공유 메커니즘을 사용하여 식별자-기반 인증된 개인 키를 재구성하고 서명 인증서를 생성한다.
다른 예에서, 시스템은 시스템에 접근하는 클라우드 사용자를 더 포함하고, 클라우드 사용자는 자신의 QSKD 장치를 가질 수 있거나 또는 시스템에서 QSKD 장치를 임대할 수 있다.
QSKD 장치를 갖는 클라우드 사용자에 대해, 사용자의 QSKD 장치는 클라우드 컴퓨팅 데이터 센터의 하나의 라우팅 장치에 연결된다. 클라우드 사용자의 QSKD 장치는 클라우드 컴퓨팅 데이터 센터의 QSKS 장치로 인증된 개인 키 획득 요청을 전송하고, 양자 키 협약에 따라 클라우드 컴퓨팅의 QSKD 장치로부터 소정 수의 식별자-기반 인증된 서브-개인 키를 획득하고, 임계 비밀 공유 메커니즘을 사용하여 식별자-기반 인증된 개인 키를 재구성하고, 식별자-기반 서명 인증서를 생성하도록 구성된다.
클라우드 사용자의 QSKD 장치가 클라우드 컴퓨팅 데이터 센터의 QSKS 장치로 인증된 개인 키 획득 요청을 송신할 때, 요청은 QSKD 장치 및/또는, QSKD 장치를 사용하는 클라우드 사용자의 식별자 정보를 전달할 수 있다. 식별자 정보는 클라우드 컴퓨팅 데이터 센터의 QSKM 장치에 등록되거나 QSKM 장치에 의해 발행될 수 있다.
클라우드 컴퓨팅 데이터 센터의 QSKD 장치를 임대하는 클라우드 사용자에 대하여, 인증된 개인 키 획득 요청이 클라우드 컴퓨팅 데이터 센터의 QSKS 장치로 송신될 수 있다. QSKS 장치는 그에 연결된 소정 수의 QSKD 장치로 요청을 전달하도록 구성된다. QSKD 장치는 양자 키 협약에 따라 식별자-기반 인증된 서브-개인 키를 임대된 QSKD 장치와 공유한다. 그런 다음 임대된 QSKD 장치는 식별자-기반 인증된 개인 키를 재구성한다. QSKD 장치는 또한 식별자-기반 서명 인증서를 생성할 수 있다. QSKD 장치는 클라우드 사용자가 접근하여 사용할 수 있도록 키와 인증서를 로컬 저장할 수 있다. QSKD 장치를 갖는 클라우드 사용자와 유사하게, QSKD 장치를 임대하는 클라우드 사용자의 식별자 정보는 클라우드 컴퓨팅 데이터 센터의 QSKM 장치에 의해 발행될 수 있다.
일부 실시예에서, 양자 키 분배 기술과 임계 비밀 공유 메커니즘을 조합하여 제공되는 양자 키 분배 시스템은 고전적 암호화가 손상될 위험을 효과적으로 줄일 뿐만 아니라 키에 대한 분산 관리로 인해 관리 권한을 분산시켜, 관리자가 사용자 데이터를 획득하여 악의적으로 제공하는 가능성을 효과적으로 줄이고 사용자 데이터의 보안을 더욱 보장할 수 있다. 특히, 시스템이 클라우드 컴퓨팅 환경에 적용될 때, 사용자 개인 키가 분산 방식으로 클라우드 백본 네트워크에 의해 생성되고 최종적으로 사용자의 QSKD 장치 또는 사용자가 신뢰하는 QSKD 장치에 의해 합성되므로, 클라우드 공급자에 대한 클라우드 사용자의 신뢰 문제가 해결될 수 있으며, 사용자 데이터의 암호화된 키가 분실된 후에도, 클라우드 백본 네트워크로부터 키를 검색하여 사용자 데이터를 복구할 수 있다.
도 5는 예시적인 실시예에 따른 양자 키 분배 방법을 도시하는 흐름도이다. 일부 단계는 선택적일 수 있다.
단계 201에서, QSKS 장치는 인증된 개인 키 획득 요청을 요청자의 QSKD 장치(예를 들면, 설명을 위해 제1 QSKD 장치로 지칭)로부터 수신하고, 요청은 제1 QSKD 장치 또는 요청자(이 예에서는 요청자로 가정)의 식별자 정보를 전달한다.
단계 202에서, QSKS 장치는 요청을 소정 수의 QSKD 장치(예를 들면, 설명을 위해 제2 QSKD 장치로 지칭)로 전달한다.
단계 203에서, 소정 수의 제2 QSKD 장치는 요청자의 식별자 정보와 복수의 시스템 서브-개인 키를 기반으로 복수의 인증된 서브-개인 키를 생성한다.
일부 실시예에서, 제2 QSKD 장치가 QSKS 장치에 의해 전달된 요청을 수신한 후, 제2 QSKD 장치는 우선 QSKM 장치를 통해 요청자의 식별자의 유효성을 확인한다. 요청자가 식별자 확인을 통과하지 못하면 방법의 실행이 종료된다. 제2 QSKD 장치는 요청자의 식별자 정보, 사전 획득된 시스템 서브-개인 키 및 타임스탬프 정보에 따라 인증된 서브-개인 키를 생성한다. 예를 들면, 인증된 서브-개인 키는 다음 식을 사용하여 생성된다.
Figure pct00012
Figure pct00013
는 초기화 단계에서 QSKD 장치에 의해 획득된 시스템 서브-개인 키, UID는 요청자의 식별자 정보, expire_time은 타임스탬프 정보, 및 Sur는 요청자의 식별자 정보를 기반으로 한 식별자-기반 인증된 서브-개인 키이다.
단계 204에서, 소정 수의 제2 QSKD 장치는 양자 키 협약에 따라 요청자의 제1 QSKD 장치와 인증된 서브-개인 키를 공유한다. 양자 키 협약은 이중화 전송 또는 주문형 재전송 협약일 수 있다.
단계 205에서, 요청자의 제1 QSKD 장치는 획득된 인증된 서브-개인 키에 따라 임계 비밀 공유 메커니즘을 사용하여 식별자-기반 인증된 개인 키를 재구성한다.
예를 들면, 제1 QSKD 장치는 라그랑주 보간법에 기초한 임계 비밀 공유 메커니즘의 재구성 알고리즘을 사용하여 식별자-기반 인증된 개인 키를 재구성하고 식별자-기반 인증된 개인 키에 따라 식별자-기반 서명 인증서를 생성할 수 있다.
일부 실시예에서, 상기 예에서 설명한 양자 키 분배 방법을 클라우드 컴퓨팅 네트워크에 적용할 수 있어, 클라우드 컴퓨팅 환경에서의 키 보안 문제, 클라우드 제공자에 대한 클라우드 사용자의 신뢰 문제, 클라우드 내의 악의적인 관리자의 문제 및 손상되거나 분실된 키 문제를 해결할 수 있다. 방법은 클라우드 컴퓨팅 데이터 센터(즉, 클라우드 백본 네트워크)에 적용될 수 있다. 예를 들면, 인증된 개인 키 획득 요청은 클라우드 데이터 센터 서버에 연결된 QSKD 장치에 의해 개시될 수 있고, 요청은 QSKD 장치의 식별자 정보를 전달한다. QSKD 장치는 다른 QSKD 장치로부터 소정 수의 인증된 서브-개인 키를 획득하고, 임계 비밀 공유 메커니즘을 사용하여 식별자-기반 인증된 개인 키를 재구성한다.
일부 실시예에서, 시스템은 시스템에 접근하는 클라우드 사용자를 더 포함할 수 있으며, 클라우드 사용자는 자신의 QSKD 장치를 갖거나 시스템에서 QSKD 장치를 임대할 수 있다. QSKD 장치를 갖는 클라우드 사용자가 인증된 개인 키를 획득해야 할 때, 클라우드 사용자는 자신의 QSKD 장치를 통해 클라우드 컴퓨팅 데이터 센터의 QSKM 장치에 등록 요청을 보낼 수 있으며, QSKM 장치는 수신된 요청에 따라 QSKD 장치 또는 클라우드 사용자에 대한 대응하는 식별자 정보를 생성 및 분배한다. 그러면 클라우드 사용자는 데이터 암호화 요구에 따라 클라우드 사용자의 QSKD 장치를 통해 클라우드 컴퓨팅 데이터 센터로 인증된 개인 키 획득 요청을 개시할 수 있다. 요청은 전술한 획득된 식별자 정보를 전달할 수 있다. 클라우드 사용자의 QSKD 장치는 클라우드 컴퓨팅 데이터 센터의 QSKD 장치로부터 소정 수의 인증된 서브-개인 키를 수신하고, 임계 비밀 공유 메커니즘을 사용하여 식별자-기반 인증된 개인 키를 재구성할 수 있다. 클라우드 사용자의 QSKD 장치는 또한 식별자-기반 서명 인증서를 생성할 수 있다.
일부 실시예에서, 클라우드 컴퓨팅 데이터 센터의 QSKD 장치를 임대한 클라우드 사용자가 인증된 개인 키를 획득하여야 할 때, 클라우드 사용자는 먼저 클라우드 컴퓨팅 데이터 센터의 QSKM 장치로 등록 요청을 전송할 수 있으며, QSKM 장치는 대응하는 식별자 정보를 클라우드 사용자에게 생성 및 분배한다. 그러면 클라우드 사용자는 데이터 암호화 요구에 따라 클라우드 컴퓨팅 데이터 센터에 인증된 개인 키 획득 요청을 개시할 수 있다. 요청은 전술한 획득된 식별자 정보를 전달할 수 있다. 클라우드 사용자가 대여한 QSKD 장치는 클라우드 컴퓨팅 데이터 센터로부터 획득한 소정 수의 인증된 서브-개인 키에 따라, 클라우드 사용자의 식별자 정보를 기반으로 임계 비밀 공유 메커니즘을 사용하여 인증된 개인 키를 재구성하고, 대응하는 서명 인증서를 생성하고, 생성된 인증된 개인 키 및 서명 인증서를 로컬 저장하여, 세입자(tenant) 역할을 하는 클라우드 사용자가 접근하여 사용할 수 있게 한다.
도 6은 다른 예시적인 실시예에 따른 양자 키 분배 방법을 도시하는 흐름도이다. 일부 단계는 선택적일 수 있다. 방법(300)의 단계는 도 5의 단계 201 이전에 구현되어 단계 201로 이를 수 있다.
단계 301에서, QSKM 장치가 시스템 개인 키를 생성한다.
일부 실시예에서, 시스템 개인 키는 사전 설정될 수 있고, 또한 양자 잡음원에 의해 생성된 난수, 시스템의 식별자 정보 및 타임스탬프 정보에 따라 이 단계를 실행하는 QSKM 장치에 의해 생성될 수 있다. 예를 들면, QSKM 장치는 다음 식을 사용하여 시스템 개인 키를 생성 할 수 있다.
Figure pct00014
여기에서, Sr은 양자 잡음원에 의해 생성된 난수, BNID은 시스템의 식별자 정보, expire_time은 타임스탬프, 및 S는 식별자-기반 시스템 개인 키이다.
단계 302에서, QSKM 장치는 식별자-기반 시스템 개인 키를 복수의 시스템 서브-개인 키, 즉, 도 5의 단계 203에서의 복수의 시스템 서브-개인 키로 분할한다.
QSKM 장치는 임계 비밀 공유 메커니즘에 따라 식별자-기반 시스템 개인 키를 복수의 시스템 서브-개인 키로 분할한다. 예를 들면, 분할은 라그랑주 보간법에 기반한 임계 비밀 공유 메커니즘의 비밀 공유 알고리즘을 이용하여 수행된다.
단계 303에서, QSKM 장치는 복수의 시스템 서브-개인 키를 대응하는 수의 제2 QSKD 장치와 공유한다.
일부 실시예에서, 시스템 개인 키를 복수의 시스템 서브-개인 키로 분할한 후에, QSKM 장치가 양자 키 협약에 따라 복수의 시스템 서브-개인 키를 대응하는 수의 제2 QSKD 장치와 각각 공유한다. 일부 실시예에서, 양자 키 협약은 이중화 전송 또는 주문형 재전송 협약일 수 있다.
일부 실시예에서, 초기화 단계에서, 위의 기본 처리를 완료하는 것에 더하여, 시스템 내의 각 장치가 다음의 초기화 조작을 실행할 수 있다:
QSKM 장치에 의하여, 양자 잡음원에 의해 생성된 난수, QSKM 장치의 식별자 정보 및 타임스탬프 정보를 이용하여 식별자-기반 개인 키 및 대응하는 서명 인증서를 생성;
QSKM 장치에 의하여, 제1 QSKD 장치 또는 QSKS 장치로부터 등록 요청을 수신하고, 등록 요청을 시작하는 장치에 대한 대응하는 식별자 정보를 생성 및 분배; 및
QSKM 장치에 의하여, 양자 잡음원에 의해 생성된 난수 및 타임스탬프 정보를 양자 키 협약에 따라 등록 요청을 개시하는 제1 QSKD 장치 또는 QSKS 장치와 공유하고, 등록 요청을 개시하는 제1 QSKD 장치 또는 QSKS 장치에 의하여, 획득된 식별자 정보, 난수 및 타임스탬프 정보에 따라 식별자-기반 개인 키를 생성. 일부 실시예에서, 초기화 단계에서의 상술한 과정은 일부 다른 또는 모든 QSKD 및 QSKS 장치에 적용될 수 있다.
일부 실시예에서, 상술한 초기화 과정은 단 한 번만 실행되거나 보안을 위해 정기적으로 실행될 수 있다. 초기화 조작이 완료된 후, 식별자-기반 인증된 개인 키를 획득하여야 하는 요청자(예를 들면, 제1 QSKD 장치)는 상술한 방법으로 인증 된 개인 키를 획득할 수 있다. 이 단계에서, QSKS 장치는 인증된 개인 키 획득 요청을 수신하고, 요청은 적어도 요청자의 식별자 정보를 전달한다. 예를 들면, 요청이 제1 QSKD 장치에 의해 송신되는 경우, 요청은 제1 QSKD 장치의 ID를 전달한다.
도 7은 예시적인 실시예에 따른 양자 키 분배 기구(400)를 도시하는 블록도이다. 이 예의 양자 키 분배 기구는: 개인 키 획득 요청 수신기 유닛(401), 개인 키 획득 요청 전달 유닛(402), 하나 이상의 인증된 서브-개인 키 공유 유닛(403), 및 인증된 개인 키 재구성 유닛(404)을 포함한다.
개인 키 획득 요청 수신기 유닛(401)은 인증된 개인 키 획득 요청을 수신하도록 구성될 수 있다. 요청은 적어도 요청자의 식별자 정보를 전달할 수 있다. 개인 키 획득 요청 전달 유닛(402)은 요청을 소정 수의 양자 보안 키 분배 장치로 전달하도록 구성될 수 있다. 인증된 서브-개인 키 공유 유닛(403)은 사전-획득된 시스템 서브-개인 키에 따라 요청자의 식별자 정보에 기반하여 인증된 서브-개인 키를 생성하고, 인증된 서브-개인 키를 양자 키 협약에 따라 요청자의 양자 보안 키 분배 장치와 공유하도록 구성될 수 있다. 시스템 서브-개인 키는 임계 비밀 공유 메커니즘을 이용하여 시스템 개인 키를 분할하여 얻어질 수 있다. 인증된 개인 키 재구성 유닛(404)은 획득된 소정 수의 인증된 서브-개인 키에 따라 임계 비밀 공유 메커니즘을 사용하여 식별자-기반 인증된 개인 키를 재구성하도록 구성될 수 있다.
개인 키 획득 요청 수신기 유닛(401) 및 개인 키 획득 요청 전달 유닛(402)은 QSKS 장치에 속할 수 있다. 하나 이상의 인증된 서브-개인 키 공유 유닛(403)은 하나 이상의 QSKD 장치에 속할 수 있다. 인증된 개인 키 재구성 유닛(404)은 인증된 개인 키 요청자의 QSKD 장치에 속할 수 있다.
일부 실시예에서, 기구(400)는 또한 임계 비밀 공유 메커니즘에 따라 식별자-기반 시스템 개인 키를 복수의 시스템 서브-개인 키로 분할하도록 구성되는 시스템 서브-개인 키 분할 유닛을 포함할 수 있다. 기구(400)는 또한 양자 키 협약에 따라 복수의 시스템 서브-개인 키를 대응하는 수의 QSKD 장치와 공유하도록 구성되는 시스템 서브-개인 키 공유 유닛을 포함할 수 있다. 시스템 서브-개인 키 분할 유닛 및 시스템 서브-개인 키 공유 유닛은 QSKM 장치에 속할 수 있다.
일부 실시예에서, 인증된 서브-개인 키 공유 유닛 및 시스템 서브-개인 키 공유 유닛에 의해 채택되는 양자 키 협약은 이중화 전송 또는 주문형 재전송 양자 키 협약일 수 있다.
일부 실시예에서, 시스템 서브-개인 키 분할 유닛은, 양자 잡음원에 의해 생성된 난수, 시스템의 식별자 정보, 및 타임스탬프 정보에 따라 시스템 개인 키를 생성하도록 구성되는 시스템 개인 키 생성 서브유닛을 더 포함할 수 있다.
일부 실시예에서, 시스템 개인 키 생성 서브유닛은 다음 식을 사용하여 시스템 개인 키를 생성하도록 더 구성된다.
Figure pct00015
여기에서, Sr은 양자 잡음원에 의해 생성된 난수, BNID은 시스템의 식별자 정보, expire_time은 타임스탬프, 및 S는 식별자-기반 시스템 개인 키이다.
일부 실시예에서, 기구(400)는 개인 키 요청 수신기 유닛이 요청을 수신하기 전에, 양자 잡음원에 의해 생성된 난수, 식별자 정보, 및 타임스탬프 정보를 이용하여 식별자-기반 개인 키 및 대응하는 서명 인증서를 생성하는 개인 키 관리 유닛을 더 포함할 수 있다.
일부 실시예에서, 기구(400)는 QSKM 장치 내에 포함될 수 있는 다음의 유닛을 더 포함할 수 있다:
개인 키 획득 요청 수신기 유닛(401)이 트리거링되기 전에, QSKD 장치 또는 QSKS 장치로부터 등록 요청을 수신하도록 구성되는 등록 요청 수신 유닛,
등록 요청을 개시하는 장치에 대해 대응하는 식별자 정보를 생성하고 분배하도록 구성되는 식별자 정보 분배 유닛, 및
등록 요청을 개시하는 장치와, 양자 키 협약에 따라 양자 잡음원에 의해 생성된 난수 및 타임스탬프 정보를 공유하도록 구성되는 정보 공유 유닛.
일부 실시예에서, 예시적인 QSKD 장치는 요청을 개시할 수 있으며(즉, 요청자가 됨),
획득된 식별자 정보, 난수, 및 타임스탬프 정보에 따라 식별자-기반 개인 키를 생성하도록 형성되는 요청자 개인 키 생성 유닛을 포함할 수 있다.
일부 실시예에서, 기구(400)는:
인증된 서브-개인 키 공유 유닛이 트리거링되기 전에, QSKM 장치를 통해 요청자의 식별자의 유효성을 확인하도록 구성되는 식별자 확인 유닛을 더 포함할 수 있으며, 요청자가 식별자 확인을 통과하지 못하면 기구의 동작을 종료시킨다.
일부 실시예에서, 인증된 서브-개인 키 공유 유닛은 요청자의 식별자 정보, 사전-획득된 시스템 서브-개인 키, 및 타임스탬프 정보에 따라 요청자의 식별자에 기반하여 인증된 서브-개인 키를 생성하도록 더 구성될 수 있다.
일부 실시예에서, 인증된 서브-개인 키 공유 유닛은 요청자의 식별자에 기반하여 다음의 식을 사용하여 인증된 서브-개인 키를 생성하도록 더 구성될 수 있다.
Figure pct00016
여기에서
Figure pct00017
는 시스템 서브-개인 키, UID는 요청자의 식별자 정보, expire_time은 타임스탬프, 및 Sur는 요청자의 식별자를 기반으로 한 인증된 서브-개인 키이다.
일부 실시예에서, 시스템 서브-개인 키 분할 유닛은 라그랑주 보간법에 기반한 임계 비밀 공유 메커니즘의 비밀 공유 알고리즘을 사용하여 시스템 개인 키에 기반하여 획득된 시스템 서브-개인 키를 분할하도록 더 구성될 수 있으며, 대응하여, 인증된 개인 키 재구성 유닛은 라그랑주 보간법에 기반한 임계 비밀 공유 메커니즘의 재구성 알고리즘을 사용하여 식별자-기반 인증된 개인 키를 재구성하도록 더 구성될 수 있다.
일부 실시예에서, 기구(400)는 인증된 개인 키 재구성 유닛이 식별자-기반 인증된 개인 키를 재구성한 후에, 재구성된 식별자-기반 인증된 개인 키에 따라 식별자-기반 서명 인증서를 생성하도록 구성되는 서명 인증서 생성 유닛을 더 포함할 수 있다.
이 분야의 기술자에게 이해될 수 있는 바와 같이, 본 개시의 실시예는 방법, 시스템 또는 컴퓨터 프로그램 제품으로 구현될 수 있다. 따라서, 본 개시의 실시예는 전체 하드웨어 실시예, 전체 소프트웨어 실시예 또는 소프트웨어와 하드웨어를 결합한 실시예의 형태를 취할 수 있다. 또한, 본 개시의 실시예는 컴퓨터 사용가능 프로그램 코드를 담고 있는 하나 이상의 컴퓨터 사용가능 저장 매체(자기 디스크 메모리, CD-ROM, 광 메모리 등을 포함하지만 이에 제한되지 않음) 내에 구현되는 컴퓨터 프로그램 제품의 형태를 취할 수 있다.
본 개시의 실시예는 본 개시의 실시예에 따른 방법, 장치(시스템), 및 컴퓨터 프로그램 제품의 흐름도 및/또는 블록도를 참조하여 기술된다. 흐름도 및/또는 블록도의 각 흐름 및/또는 블록, 및 흐름도 및/또는 블록도 내의 흐름 및/또는 블록의 조합은, 컴퓨터 프로그램 명령에 의해 구현될 수 있음을 이해할 것이다. 이들 컴퓨터 프로그램 명령은 범용 컴퓨터의 프로세서, 특수 목적 컴퓨터, 내장형 프로세서, 또는 다른 프로그램 가능 데이터 처리 장치에 제공되어, 컴퓨터의 프로세서 또는 다른 프로그램 가능 데이터 처리 장치를 통해 실행되는 명령이 흐름도의 하나 이상의 흐름 및/또는 블록도의 하나 이상의 블록에서 지정된 기능을 구현하는 수단을 생성하는 기계를 생성하도록 한다.
이들 컴퓨터 프로그램 명령은 또한 컴퓨터 또는 다른 프로그램 가능한 데이터 처리 장치가 특정한 방식으로 기능하여, 컴퓨터 판독가능 메모리 내에 저장된 명령이 흐름도의 하나 이상의 흐름 및/또는 블록도의 하나 이상의 블록에서 지정된 기능을 구현하는 명령 수단을 포함하는 제조된 제품을 생성하도록 컴퓨터 또는 다른 프로그램 가능한 데이터 처리 장치에 명령할 수 있는 컴퓨터 판독가능 메모리 내에 저장될 수 있다.
이들 컴퓨터 프로그램 명령은 또한 컴퓨터 또는 다른 프로그램 가능한 데이터 처리 장치에 로딩되어 일련의 동작 단계가 컴퓨터 또는 다른 프로그램 가능한 장치 상에서 실행되어 컴퓨터에 의해 구현된 처리를 생성하여, 컴퓨터 또는 다른 프로그램 가능한 장치 상에서 실행되는 명령이 흐름도의 하나 이상의 흐름 및/또는 블록도의 하나 이상의 블록에서 지정된 기능을 구현하는 단계를 제공하도록 할 수 있다.
전형적인 구성에서, 컴퓨터 장치는 하나 이상의 중앙 처리 유닛(CPUs), 입력/출력 인터페이스, 네트워크 인터페이스 및 메모리를 포함한다. 메모리는 휘발성 메모리, 임의접근 메모리(RAM) 및/또는 비휘발성 메모리 등의 형태, 예컨대 컴퓨터 판독가능 매체 내의 읽기-전용 메모리(ROM) 또는 플래시 RAM을 포함할 수 있다. 메모리는 컴퓨터 판독가능 매체의 예이다.
컴퓨터 판독가능 매체는 프로세서에 의해 판독가능한 정보 또는 데이터가 저장될 수 있는 임의의 유형의 물리적 메모리를 가리킨다. 따라서, 컴퓨터 판독가능 저장 매체는 하나 이상의 프로세서에 의해 실행되는 명령을 저장할 수 있으며, 명령은 프로세서가 여기에서 기술된 실시예와 일치하는 단계 또는 스테이지를 수행하도록 하는 명령을 포함한다. 컴퓨터 판독가능 매체는 비-휘발성 및 휘발성 매체, 제거가능 및 비-제거가능 매체를 포함하며, 정보 저장은 임의의 방법 또는 기술로 구현될 수 있다. 정보는 컴퓨터 판독가능 명령의 모듈, 데이터 구조 및 프로그램 또는 다른 데이터일 수 있다. 컴퓨터 저장 매체의 예는 상변화 임의접근 메모리(PRAM), 정적 임의접근 메모리(SRAM), 동적 임의접근 메모리(DRAM), 다른 유형의 임의접근 메모리(RAMs), 읽기-전용 메모리(ROM), 전자적 삭제가능 프로그램가능 읽기-전용 메모리(EEPROM), 플래시 메모리 또는 다른 메모리 기술, 컴팩트 디스크 읽기-전용 메모리(CD-ROM), 디지털 다용도 디스크(DVD) 또는 다른 광 저장장치, 카세트 테이프, 테이프 또는 디스크 저장장치 또는 다른 자기 저장 장치 또는 컴퓨터 장치에 의해 접근될 수 있는 정보를 저장하는 데 사용되는 임의의 다른 비-전송 매체를 포함하되 이에 제한되지 않는다. 컴퓨터 판독가능 매체는 변조 데이터 신호 및 반송파와 같은 일시적 매체를 포함하지 않는다.
용어 "포함하는(comprises, comprising)" 또는 임의의 다른 변형은 비배타적인 포함을 커버하는 것으로 의도되어, 일련의 요소를 포함하는 과정, 방법, 물품 또는 장치가 이들 요소만을 포함하지 않고, 명시적으로 열거되지 않은 다른 요소들을 또한 포함하거나 또는 이러한 과정, 방법, 물품 또는 장치에 내재된 요소들을 포함하게 한다. 그러므로, 다른 제한이 없는 조건 하에서, 문장 "...을 포함하는"에 의해 정의되는 요소는 그 요소를 포함하는 과정, 방법, 물품 또는 장치에 다른 동등한 요소의 존재를 제외하지 않는다.
실시예가 소프트웨어에 의해 구현될 때, 소프트웨어는 상술한 컴퓨터 판독가능 매체에 저장될 수 있다. 소프트웨어는 프로세서에 의해 실행될 때 개시된 방법을 수행할 수 있다. 이 개시에서 설명된 컴퓨팅 유닛 및 다른 기능 유닛은 하드웨어 또는 소프트웨어, 또는 하드웨어 및 소프트웨어의 조합에 의해 구현될 수 있다. 이 분야의 기술자는 또한 상술한 모듈/유닛 중 다수가 하나의 모듈/유닛으로 결합될 수 있으며, 상술한 모듈/유닛 각각이 복수의 서브-모듈/서브-유닛으로 더 분할될 수 있음을 또한 이해할 것이다.
명세서는 양자 키 분배를 위한 방법, 기구 및 시스템을 설명하였다. 예시된 단계들은 도시된 예시적인 실시예들을 설명하기 위해 제시되며, 진행중인 기술 개발이 특정 기능들이 수행되는 방식을 변화시킬 것을 예상하여야 한다. 따라서, 이들 실시예는 설명의 목적으로 여기에서 제시된 것이며, 제한하는 것이 아니다. 예를 들면, 개시된 실시예와 일관되어, 여기에서 개시된 단계 및 과정은 설명된 순서로 수행되는 것으로 제한되지 않고, 임의의 순서로 수행될 수 있으며, 일부 단계는 생략될 수 있다. 또한, 기능적 빌딩 블록의 경계는 설명의 편의를 위하여 여기에서 임의로 정의되었다. 지정된 기능과 그 관계가 적절하게 수행되는 한 대안적인 경계가 정의될 수 있다. 여기에서 포함된 교시에 기반하여 대안(여기에 기술된 것들의 균등물, 확장, 변형, 편차 등을 포함)이 이 분야의 기술자에게 명백할 것이다. 이러한 대안은 개시된 실시예의 범위 및 사상 내에 있다.
개시된 원리의 예 및 특징이 여기에서 설명되었지만, 개시된 실시예의 사상 및 범위를 벗어나지 않고 수정, 적응 및 다른 구현이 가능하다. 또한, "포함하는(comprising)", "갖는("having)", "포함하는(containing)" 및 "포함하는(including)" 및 다른 유사한 형태의 단어는 의미가 동일하며 이들 단어 중 어느 하나를 따르는 항목 또는 항목들이 그러한 항목 또는 항목들의 철저한 목록이거나, 나열된 항목 또는 항목들에만 한정되는 것을 의미하지 않는 열린 형태(open ended)인 것을 의도한다. 또한 본 명세서 및 첨부된 청구범위에서 사용되는 단수 형태 "하나의(a, an)" 및 "상기(the)"는 문맥상 명확하게 달리 지시하지 않는 한 복수의 참조를 포함하는 점을 유의하여야 한다.
본 발명은 위에서 설명되고 첨부된 도면에 도시된 정확한 구성에 한정되지 않으며, 다양한 수정 및 변경이 본 발명의 범위를 벗어나지 않고 이루어질 수 있음을 이해할 것이다. 발명의 범위는 첨부된 청구범위에 의해서만 제한되어야 하는 것으로 의도된다.

Claims (41)

  1. 양자 보안 키 관리 장치;
    상기 양자 보안 키 관리 장치와 연결되는 복수의 양자 보안 키 분배 장치; 및
    상기 양자 보안 키 관리 장치 및 상기 복수의 양자 보안 키 분배 장치와 연결되는 양자 보안 키 서비스 장치를 포함하며,
    상기 양자 보안 키 관리 장치는 식별자-기반 시스템 개인 키를 복수의 시스템 서브-개인 키로 분할하고, 상기 복수의 시스템 서브-개인 키를 대응하는 수의 상기 양자 보안 키 분배 장치로 분배하며;
    상기 양자 보안 키 서비스 장치는 인증된 개인 키 획득 요청을 상기 복수의 양자 보안 키 분배 장치 중 제1 양자 보안 키 분배 장치로부터 양자 보안 키 분배 장치 중 소정 수의 제2 양자 보안 키 분배 장치로 전달하고;
    상기 소정 수의 제2 양자 보안 키 분배 장치 각각은 상기 시스템 서브-개인 키로부터 식별자-기반 인증된 서브-개인 키를 생성하고;
    상기 제1 양자 보안 키 분배 장치는, 상기 소정 수의 제2 양자 보안 키 분배 장치로부터 상기 식별자-기반 인증된 서브-개인 키를 획득하고, 상기 식별자-기반 인증된 서브-개인 키에 기반하여 식별자-기반 인증된 개인 키를 재구성하는 양자 키 분배 시스템.
  2. 제1항에 있어서, 상기 복수의 양자 보안 키 분배 장치 중 적어도 하나는 상기 양자 보안 키 서비스 장치를 포함하는 양자 키 분배 시스템.
  3. 제1항에 있어서, 상기 양자 보안 키 관리 장치는 임계 비밀 공유 메커니즘을 사용하여 상기 식별자-기반 시스템 개인 키를 분할하도록 더 구성되고 상기 제1 양자 보안 키 분배 장치는 상기 임계 비밀 공유 메커니즘을 사용하여 상기 식별자-기반 인증된 개인 키를 재구성하도록 더 구성되는 양자 키 분배 시스템.
  4. 제1항에 있어서, 상기 제1 양자 보안 키 분배 장치는 상기 재구성된 식별자-기반 인증된 개인 키에 따라 식별자-기반 서명 인증서를 생성하도록 더 구성되는 양자 키 분배 시스템.
  5. 제1항에 있어서, 상기 양자 보안 키 관리 장치는 상기 양자 키 분배 시스템의 식별자 정보, 양자 잡음원에 의해 생성된 난수, 및 타임스탬프 정보에 기반하여 상기 식별자-기반 시스템 개인 키를 생성하도록 더 구성되는 양자 키 분배 시스템.
  6. 제5항에 있어서, 상기 양자 보안 키 관리 장치는
    Figure pct00018

    식에 기반하여 상기 식별자-기반 시스템 개인 키를 생성하도록 더 구성되며,
    Sr은 상기 양자 잡음원에 의해 생성된 상기 난수, BNID은 상기 시스템의 상기 식별자 정보, expire_time은 타임스탬프 정보, 그리고 S는 상기 식별자-기반 시스템 개인 키인 양자 키 분배 시스템.
  7. 제1항에 있어서, 상기 양자 보안 키 관리 장치는 양자 잡음원에 의해 생성된 난수, 양자 보안 키 관리 장치의 식별자 정보, 및 타임스탬프 정보에 기반하여 상기 식별자-기반 시스템 개인 키를 생성하도록 더 구성되는 양자 키 분배 시스템.
  8. 제1항에 있어서, 상기 제2 양자 보안 키 분배 장치의 각각은 제1 양자 보안 키 분배 장치의 식별자 정보, 타임스탬프 정보, 및 시스템 서브-개인 키에 기반하여 상기 식별자-기반 인증된 서브-개인 키를 생성하도록 더 구성되는 양자 키 분배 시스템.
  9. 제8항에 있어서, 상기 제2 양자 보안 키 분배 장치의 각각은
    Figure pct00019

    식에 의하여 상기 식별자-기반 인증된 서브-개인 키를 생성하도록 더 구성되며,
    Figure pct00020
    은 상기 시스템 서브-개인 키, UID은 상기 제1 양자 보안 키 분배 장치의 상기 식별자 정보, expire_time은 상기 타임스탬프 정보, 및 Sur은 식별자-기반 인증된 서브-개인 키인 양자 키 분배 시스템.
  10. 제1항에 있어서,
    상기 양자 보안 키 관리 장치는 양자 보안 키 분배 장치 또는 양자 보안 키 서비스 장치로부터 수신되는 등록 요청에 따라 상기 양자 보안 분배 장치 또는 상기 양자 보안 키 서비스 장치의 식별자 정보를 생성하도록 더 구성되고;
    상기 양자 보안 키 분배 장치 및 상기 양자 보안 키 서비스 장치는:
    상기 양자 보안 키 관리 장치로부터 타임스탬프 정보 및 양자 잡음원에 의해 생성된 난수를 획득하고,
    상기 식별자 정보, 상기 난수 및 상기 타임스탬프 정보에 따라 식별자-기반 개인 키 또는 공유 키를 생성하도록 더 구성되는 양자 키 분배 시스템.
  11. 제1항에 있어서,
    상기 양자 보안 키 관리 장치는 라그랑주 보간법(Lagrange interpolation)에 기반한 임계 비밀 공유 메커니즘을 사용하여 상기 식별자-기반 시스템 개인 키를 복수의 시스템 서브-개인 키로 분할하도록 더 구성되고;
    상기 제1 양자 보안 키 분배 장치는 라그랑주 보간법에 기반한 상기 임계 비밀 공유 메커니즘을 사용하여 상기 식별자-기반 인증된 서브-개인 키에 기반하여 상기 식별자-기반 인증된 개인 키를 재구성하도록 구성되는 양자 키 분배 시스템.
  12. 제1항에 있어서,
    상기 양자 보안 키 관리 장치는 양자 키 협약에 따라 상기 복수의 시스템 서브-개인 키를 대응하는 수의 양자 보안 키 분배 장치로 분배하도록 더 구성되고;
    상기 제1 양자 보안 키 분배 장치는, 소정 수의 제2 양자 보안 키 분배 장치로부터 상기 양자 키 협약에 따라 상기 식별자-기반 인증된 서브-개인 키를 획득하도록 구성되며,
    상기 양자 키 협약은 이중화 전송 양자 키 협약 또는 주문형 재전송 양자 키 협약인 양자 키 분배 시스템.
  13. 양자 보안 키 서비스 장치에 의하여, 요청자의 제1 양자 보안 키 분배 장치로부터 인증된 개인 키 획득 요청 수신--상기 요청은 적어도 상기 요청자의 식별자 정보를 전달--;
    상기 양자 보안 키 서비스 장치에 의하여, 소정 수의 제2 양자 보안 키 분배 장치로 상기 요청 전달;
    상기 요청자의 상기 식별자 정보 및 복수의 시스템 서브-개인 키에 기반하여, 상기 소정 수의 제2 양자 보안 키 분배 장치에 의하여, 생성되는 복수의 인증된 서브-개인 키를, 상기 요청자의 상기 제1 양자 보안 키 분배 장치에 의하여, 수신; 및
    상기 요청자의 상기 제1 양자 보안 키 분배 장치에 의하여, 상기 인증된 서브-개인 키에 기반하여 식별자-기반 인증된 개인 키 재구성을 포함하는 양자 키 분배 방법.
  14. 제13항에 있어서, 상기 요청자의 상기 제1 양자 보안 키 분배 장치에 의하여, 상기 인증된 서브-개인 키에 기반하여 식별자-기반 인증된 개인 키 재구성은
    상기 요청자의 상기 제1 양자 보안 키 분배 장치에 의하여, 임계 비밀 공유 메커니즘을 사용하여 상기 식별자-기반 인증된 개인 키 재구성을 포함하는 양자 키 분배 방법.
  15. 제13항에 있어서, 상기 양자 보안 키 서비스 장치에 의하여, 상기 요청 수신 이전에, 상기 방법은:
    상기 양자 보안 키 관리 장치에 의하여, 임계 비밀 공유 메커니즘을 사용하여 식별자-기반 시스템 개인 키를 복수의 시스템 서브-개인 키로 분할; 및
    상기 양자 보안 키 관리 장치에 의하여, 상기 복수의 시스템 서브-개인 키를 대응하는 수의 양자 보안 키 분배 장치와 공유를 더 포함하는 양자 키 분배 방법.
  16. 제15항에 있어서,
    상기 복수의 시스템 서브-개인 키를 대응하는 수의 제2 양자 보안 키 분배 장치와 공유는 양자 키 협약에 따라 상기 복수의 시스템 서브-개인 키를 대응하는 수의 양자 보안 키 분배 장치와 공유를 포함하고,
    상기 양자 키 협약은 이중화 전송 양자 키 협약 또는 주문형 재전송 양자 키 협약인 양자 키 분배 방법.
  17. 제16항에 있어서, 상기 식별자-기반 시스템 개인 키는 양자 잡음원에 의해 생성된 난수, 상기 양자 키 분배 시스템의 식별자 정보, 및 타임스탬프 정보에 기반하여 생성되는 양자 키 분배 방법.
  18. 제17항에 있어서, 상기 양자 보안 키 관리 장치는
    Figure pct00021

    식에 기반하여 상기 식별자-기반 시스템 개인 키를 생성하며,
    Sr은 상기 양자 잡음원에 의해 생성된 상기 난수, BNID은 상기 양자 키 분배 시스템의 상기 식별자 정보, expire_time은 상기 타임스탬프 정보, 그리고 S는 상기 식별자-기반 시스템 개인 키인 양자 키 분배 방법.
  19. 제13항에 있어서, 상기 양자 보안 키 서비스 장치에 의하여, 상기 요청 수신 이전에, 상기 방법은:
    상기 양자 보안 키 관리 장치에 의하여, 양자 잡음원에 의해 생성된 난수, 상기 양자 키 분배 시스템의 식별자 정보, 및 타임스탬프 정보에 기반하여 식별자-기반 시스템 개인 키 생성; 및
    상기 양자 보안 키 관리 장치에 의하여, 상기 식별자-기반 시스템 개인 키를 임계 비밀 공유 메커니즘을 사용하여 복수의 시스템 서브-개인 키로 분할; 및
    상기 양자 보안 키 관리 장치에 의하여, 상기 복수의 시스템 서브-개인 키를 대응하는 수의 양자 보안 키 분배 장치와 공유를 더 포함하는 양자 키 분배 방법.
  20. 제13항에 있어서,
    상기 양자 보안 키 관리 장치에 의하여, 양자 보안 키 분배 장치 또는 양자 보안 키 서비스 장치로부터 등록 요청 수신;
    상기 양자 보안 키 관리 장치에 의하여, 상기 등록 요청을 개시하는 상기 장치에 대한 식별자 정보 생성 및 분배;
    상기 양자 보안 키 관리 장치에 의하여, 양자 잡음원에 의해 생성된 난수 및 타임스탬프 정보를 상기 등록 요청을 개시하는 상기 장치와 공유; 및
    상기 등록 요청을 개시하는 상기 장치에 의하여, 상기 식별자 정보, 상기 난수 및 상기 타임스탬프 정보에 따라 식별자-기반 개인 키 생성을 더 포함하는 양자 키 분배 방법.
  21. 제13항에 있어서,
    상기 양자 보안 키 관리 장치에 의하여 상기 요청자의 상기 식별자 정보의 유효성 확인을 더 포함하는 양자 키 분배 방법.
  22. 제13항에 있어서, 상기 복수의 인증된 서브-개인 키는 타임스탬프 정보에 더 기반하여 생성되는 양자 키 분배 방법.
  23. 제22항에 있어서, 상기 인증된 서브-개인 키는
    Figure pct00022

    식에 의해 생성되며,
    Figure pct00023
    은 시스템 서브-개인 키, UID은 상기 요청자의 상기 식별자 정보, expire_time은 상기 타임스탬프 정보, 및 Sur은 인증된 서브-개인 키인 양자 키 분배 방법.
  24. 제13항에 있어서,
    상기 복수의 시스템 서브-개인 키는 라그랑주 보간법에 기반한 임계 비밀 공유 메커니즘을 사용하여 시스템 개인 키를 분할함에 의하여 얻어지고;
    상기 요청자의 상기 제1 양자 보안 키 분배 장치에 의하여, 상기 인증된 서브-개인 키에 기반하여 식별자-기반 인증된 개인 키 재구성은, 상기 요청자의 상기 제1 양자 보안 키 분배 장치에 의하여, 라그랑주 보간법에 기반한 상기 임계 비밀 공유 메커니즘을 사용하여 상기 인증된 서브-개인 키에 기반하여 상기 식별자-기반 인증된 개인 키 재구성을 포함하는 양자 키 분배 방법.
  25. 제13항에 있어서, 상기 재구성된 식별자-기반 인증된 개인 키에 따라 식별자-기반 서명 인증서 생성을 더 포함하는 양자 키 분배 방법.
  26. 제13항에 있어서, 상기 인증된 개인키 획득 요청은 데이터 센터 서버와 연결된 양자 보안 키 분배 장치에 의해 개시되는 양자 키 분배 방법.
  27. 제13항에 있어서, 상기 인증된 개인키 획득 요청은 클라우드 사용자의 양자 보안 키 분배 장치에 의해 개시되며, 상기 요청은 상기 양자 보안 키 분배 장치의 식별자 정보 또는 상기 클라우드 사용자의 식별자 정보를 전달하는 양자 키 분배 방법.
  28. 양자 보안 키 관리 장치에 의하여, 시스템 개인 키를 복수의 시스템 서브-개인 키로 분할;
    상기 양자 보안 키 관리 장치에 의하여, 상기 복수의 시스템 서브-개인 키를 대응하는 수의 양자 보안 키 분배 장치로 분배;
    양자 보안 키 서비스 장치에 의하여, 요청자의 제1 양자 보안 키 분배 장치로부터 인증된 개인 키 획득 요청 수신--상기 요청은 적어도 상기 요청자의 식별자 정보를 전달--;
    상기 양자 보안 키 서비스 장치에 의하여, 상기 대응하는 수의 양자 보안 키 분배 장치 중 소정 수의 제2 양자 보안 키 분배 장치로 상기 요청 전달;
    상기 요청자의 상기 식별자 정보 및 복수의 시스템 서브-개인 키에 기반하여, 상기 소정 수의 제2 양자 보안 키 분배 장치에 의하여, 생성되는 복수의 인증된 서브-개인 키를, 상기 제1 양자 보안 키 분배 장치에 의하여, 수신; 및
    상기 요청자의 상기 제1 양자 보안 키 분배 장치에 의하여, 상기 인증된 서브-개인 키에 기반하여 식별자-기반 인증된 개인 키 재구성을 포함하는 양자 키 분배 방법.
  29. 제28항에 있어서, 상기 양자 보안 키 관리 장치에 의하여, 양자 잡음원에 의해 생성된 난수, 양자 키 분배 시스템의 식별자 정보, 및 타임스탬프 정보를 사용하여 상기 시스템 개인 키 생성을 더 포함하는 양자 키 분배 방법.
  30. 제28항에 있어서, 상기 양자 보안 키 관리 장치에 의하여, 상기 시스템 개인 키를 복수의 시스템 서브-개인 키로 분할은:
    양자 보안 키 관리 장치에 의하여, 라그랑주 보간법에 기반한 임계 비밀 공유 메커니즘을 사용하여 시스템 개인 키를 복수의 시스템 서브-개인 키로 분할을 포함하는 양자 키 분배 방법.
  31. 제28항에 있어서, 상기 요청자의 상기 제1 양자 보안 키 분배 장치에 의하여, 상기 인증된 서브-개인 키에 기반하여 식별자-기반 인증된 개인 키 재구성은:
    상기 요청자의 상기 제1 양자 보안 키 분배 장치에 의하여, 라그랑주 보간법에 기반한 임계 비밀 공유 메커니즘을 사용하여 상기 인증된 서브-개인 키에 기반하여 식별자-기반 인증된 개인 키 재구성을 포함하는 양자 키 분배 방법.
  32. 요청자의 제1 양자 보안 키 분배 장치로부터 인증된 개인 키 획득 요청을 수신하는 개인 키 요청 수신기 유닛--상기 요청은 적어도 상기 요청자의 식별자 정보를 전달--;
    상기 요청을 소정 수의 제2 양자 보안 키 분배 장치로 전달하는 개인 키 요청 전달 유닛;
    상기 요청자의 상기 식별자 및 복수의 시스템 서브-개인 키에 기반하여 복수의 인증된 서브-개인 키를 생성하고 상기 인증된 서브-개인 키를 상기 요청자의 상기 제1 양자 보안 키 분배 장치와 공유하는 인증된 서브-개인 키 공유 유닛; 및
    상기 인증된 서브-개인 키에 기반하여 식별자-기반 인증된 개인 키를 재구성하는 인증된 개인 키 재구성 유닛을 포함하는 양자 키 분배 기구.
  33. 제32항에 있어서,
    상기 개인 키 요청 수신기 유닛이 상기 요청을 수신하기 전에, 임계 키 공유 메커니즘을 사용하여 식별자-기반 시스템 개인 키를 상기 복수의 시스템 서브-개인 키로 분할하는 시스템 서브-개인 키 분할 유닛; 및
    상기 복수의 시스템 서브-개인 키를 대응하는 수의 제2 서브-양자 보안 키 분배 장치와 공유하는 시스템 서브-개인 키 공유 유닛을 더 포함하는 양자 키 분배 기구.
  34. 제33항에 있어서, 상기 인증된 서브-개인 키 공유 유닛은 이중화 전송 양자 키 협약 또는 주문형 재전송 양자 키 협약에 따라, 상기 요청자의 상기 제1 양자 보안 키 분배 장치와 상기 인증된 서브-개인 키를 공유하는 양자 키 분배 기구.
  35. 제33항에 있어서, 상기 시스템 서브-개인 키 분할 유닛은 양자 잡음원에 의해 생성된 난수, 상기 시스템의 식별자 정보, 및 타임스탬프 정보에 기반하여 상기 시스템 개인 키를 생성하는 시스템 개인 키 생성 유닛을 포함하는 양자 키 분배 기구.
  36. 제35항에 있어서, 상기 시스템 개인 키 생성 유닛은
    Figure pct00024

    식을 통해 상기 시스템 개인 키를 생성하며,
    Sr은 상기 양자 잡음원에 의해 생성된 상기 난수, BNID은 상기 양자 키 분배 시스템의 상기 식별자 정보, expire_time은 상기 타임스탬프 정보, S는 상기 식별자-기반 시스템 개인 키인 양자 키 분배 기구.
  37. 제33항에 있어서, 상기 시스템 서브-개인 키 분할 유닛은 상기 복수의 시스템 서브-개인 키를 얻기 위하여 라그랑주 보간법에 기반한 임계 비밀 공유 메커니즘의 비밀 공유 알고리즘을 사용하여 상기 시스템 개인 키를 분할하고;
    상기 인증된 개인 키 재구성 유닛은 라그랑주 보간법에 기반한 임계 비밀 공유 메커니즘의 재구성 알고리즘을 사용하여 상기 식별자-기반 인증된 개인 키를 재구성하는 양자 키 분배 기구.
  38. 제32항에 있어서, 상기 인증된 서브-개인 키 공유 유닛은 상기 요청자의 상기 식별자 정보, 상기 복수의 시스템 서브-개인 키, 및 타임스탬프 정보에 따라 상기 요청자의 상기 식별자에 기반하여 상기 인증된 서브-개인 키를 생성하는 양자 키 분배 기구.
  39. 제38항에 있어서, 상기 인증된 서브-개인 키 생성 유닛은
    Figure pct00025

    식을 통해 상기 요청자의 상기 식별자에 기반하여 상기 인증된 서브-개인 키를 생성하며,
    Figure pct00026
    은 상기 시스템 서브-개인 키, UID은 상기 요청자의 상기 식별자 정보, expire_time은 상기 타임스탬프 정보, 및 Sur은 상기 요청자의 상기 식별자에 기반한 상기 인증된 서브-개인 키인 양자 키 분배 기구.
  40. 하나 이상의 프로그램을 저장하는 비일시적 컴퓨터 판독가능 매체에 있어서, 상기 하나 이상의 프로그램은, 양자 보안 키 서비스 장치 및 제1 양자 보안 키 분배 장치를 포함하는 컴퓨터 시스템에 의해 실행될 때, 상기 컴퓨터 시스템이 방법을 수행하도록 하는 명령을 포함하고, 상기 방법은:
    상기 양자 보안 키 서비스 장치에 의하여, 요청자의 상기 제1 양자 보안 키 분배 장치로부터 인증된 개인 키 획득 요청 수신--상기 요청은 적어도 상기 요청자의 식별자 정보를 전달--;
    상기 양자 보안 키 서비스 장치에 의하여, 소정 수의 제2 양자 보안 키 분배 장치로 상기 요청 전달;
    상기 요청자의 상기 식별자 정보 및 복수의 시스템 서브-개인 키에 기반하여, 상기 소정 수의 제2 양자 보안 키 분배 장치에 의하여, 생성되는 복수의 인증된 서브-개인 키를, 상기 요청자의 상기 제1 양자 보안 키 분배 장치에 의하여, 수신; 및
    상기 요청자의 상기 제1 양자 보안 키 분배 장치에 의하여, 상기 인증된 서브-개인 키에 기반하여 식별자-기반 인증된 개인 키 재구성을 포함하는 비일시적 컴퓨터 판독가능 매체.
  41. 하나 이상의 프로그램을 저장하는 비일시적 컴퓨터 판독가능 매체에 있어서, 상기 하나 이상의 프로그램은, 양자 보안 키 관리 장치, 양자 보안 키 서비스 장치, 및 제1 양자 보안 키 분배 장치를 포함하는 컴퓨터 시스템에 의해 실행될 때, 상기 컴퓨터 시스템이 방법을 수행하도록 하는 명령을 포함하고, 상기 방법은:
    상기 양자 보안 키 관리 장치에 의하여, 시스템 개인 키를 복수의 시스템 서브-개인 키로 분할;
    상기 양자 보안 키 관리 장치에 의하여, 상기 복수의 시스템 서브-개인 키를 대응하는 수의 양자 보안 키 분배 장치로 분배;
    상기 양자 보안 키 서비스 장치에 의하여, 요청자의 상기 제1 양자 보안 키 분배 장치로부터 인증된 개인 키 획득 요청 수신--상기 요청은 적어도 상기 요청자의 식별자 정보를 전달--;
    상기 양자 보안 키 서비스 장치에 의하여, 상기 대응하는 수의 양자 보안 키 분배 장치 중 소정 수의 제2 양자 보안 키 분배 장치로 상기 요청 전달;
    상기 요청자의 상기 식별자 정보 및 복수의 시스템 서브-개인 키에 기반하여, 상기 소정 수의 제2 양자 보안 키 분배 장치에 의하여, 생성되는 복수의 인증된 서브-개인 키를, 상기 제1 양자 보안 키 분배 장치에 의하여, 수신; 및
    상기 요청자의 상기 제1 양자 보안 키 분배 장치에 의하여, 상기 인증된 서브-개인 키에 기반하여 식별자-기반 인증된 개인 키 재구성을 포함하는 비일시적 컴퓨터 판독가능 매체.
KR1020177023424A 2015-01-22 2016-01-12 양자 키 분배 방법, 기구 및 시스템 Active KR102738037B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201510033128.2 2015-01-22
CN201510033128.2A CN105871538B (zh) 2015-01-22 2015-01-22 量子密钥分发系统、量子密钥分发方法及装置
PCT/US2016/012988 WO2016118359A1 (en) 2015-01-22 2016-01-12 Method, apparatus, and system for quantum key distribution

Publications (2)

Publication Number Publication Date
KR20170107047A true KR20170107047A (ko) 2017-09-22
KR102738037B1 KR102738037B1 (ko) 2024-12-05

Family

ID=56417595

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177023424A Active KR102738037B1 (ko) 2015-01-22 2016-01-12 양자 키 분배 방법, 기구 및 시스템

Country Status (7)

Country Link
US (2) US10305873B2 (ko)
EP (1) EP3248310B1 (ko)
JP (2) JP6680791B2 (ko)
KR (1) KR102738037B1 (ko)
CN (1) CN105871538B (ko)
TW (1) TW201628369A (ko)
WO (1) WO2016118359A1 (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190138116A (ko) * 2018-06-04 2019-12-12 채령 양자난수 및 의사난수를 결합한 다차원 행렬 해시함수 블럭체인 스마트 블럭 배전반 제어시스템
KR20190138120A (ko) * 2018-06-04 2019-12-12 채령 양자암호키 4차 행렬 해시함수 블럭체인 스마트 그리드 배전반 제어시스템 감시 cctv 방재 감시카메라
KR20190143196A (ko) * 2018-06-20 2019-12-30 시옷랩주식회사 양자 난수열 기반의 암호 장치
KR102341801B1 (ko) * 2021-08-20 2021-12-21 국민대학교산학협력단 양자보안 통신장치 통합형 영상 감시 시스템 및 방법
KR102345419B1 (ko) * 2021-07-27 2021-12-30 대아티아이 (주) 양자암호통신기술을 적용한 철도관제 내부 통신 시스템 및 그 운영 방법
KR102356152B1 (ko) * 2021-08-20 2022-02-08 국민대학교산학협력단 양자보안 통신장치 통합형 지능형 교통신호 제어 시스템 및 방법
KR102499530B1 (ko) * 2021-08-20 2023-02-14 국민대학교산학협력단 양자보안 통신장치 통합형 원방감시 제어 시스템 및 방법

Families Citing this family (75)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106161402B (zh) * 2015-04-22 2019-07-16 阿里巴巴集团控股有限公司 基于云环境的加密机密钥注入系统、方法及装置
CN106470345B (zh) 2015-08-21 2020-02-14 阿里巴巴集团控股有限公司 视频加密传输方法和解密方法、装置及系统
CN107086907B (zh) 2016-02-15 2020-07-07 阿里巴巴集团控股有限公司 用于量子密钥分发过程的密钥同步、封装传递方法及装置
CN107086908B (zh) 2016-02-15 2021-07-06 阿里巴巴集团控股有限公司 一种量子密钥分发方法及装置
CN107347058B (zh) 2016-05-06 2021-07-23 阿里巴巴集团控股有限公司 数据加密方法、数据解密方法、装置及系统
CN107370546B (zh) 2016-05-11 2020-06-26 阿里巴巴集团控股有限公司 窃听检测方法、数据发送方法、装置及系统
CN107404461B (zh) 2016-05-19 2021-01-26 阿里巴巴集团控股有限公司 数据安全传输方法、客户端及服务端方法、装置及系统
US10476846B2 (en) * 2016-08-05 2019-11-12 The Boeing Company Data-at-rest (DAR) encryption for integrated storage media
CN106357396B (zh) * 2016-09-23 2019-11-12 浙江神州量子网络科技有限公司 数字签名方法和系统以及量子密钥卡
CN107959567B (zh) * 2016-10-14 2021-07-27 阿里巴巴集团控股有限公司 数据存储方法、数据获取方法、装置及系统
CN107959656B (zh) * 2016-10-14 2021-08-31 阿里巴巴集团控股有限公司 数据安全保障系统及方法、装置
CN107959566A (zh) * 2016-10-14 2018-04-24 阿里巴巴集团控股有限公司 量子数据密钥协商系统及量子数据密钥协商方法
CN108023725B (zh) 2016-11-04 2020-10-09 华为技术有限公司 一种基于集中管理与控制网络的量子密钥中继方法和装置
CN108123795B (zh) * 2016-11-28 2020-01-10 广东国盾量子科技有限公司 量子密钥芯片的发行方法、应用方法、发行平台及系统
US10164778B2 (en) 2016-12-15 2018-12-25 Alibaba Group Holding Limited Method and system for distributing attestation key and certificate in trusted computing
CN108270557B (zh) * 2016-12-30 2021-02-19 科大国盾量子技术股份有限公司 一种基于量子通信的骨干网系统及其中继方法
CN106656512B (zh) * 2017-01-17 2019-07-09 武汉理工大学 支持门限密码的sm2数字签名生成方法及系统
CN106886920A (zh) * 2017-02-16 2017-06-23 湖北大学 基于安全位置证明的共享单车安全计费方法
US10447472B2 (en) * 2017-02-21 2019-10-15 Bank Of America Corporation Block computing for information silo
US10454892B2 (en) 2017-02-21 2019-10-22 Bank Of America Corporation Determining security features for external quantum-level computing processing
US10824737B1 (en) 2017-02-22 2020-11-03 Assa Abloy Ab Protecting data from brute force attack
CN107066893B (zh) 2017-02-28 2018-11-09 腾讯科技(深圳)有限公司 区块链中账户信息的处理方法和装置
CN107086902A (zh) * 2017-03-22 2017-08-22 北京理工大学 一种基于动态门限密码支持三方审核与文件去重的云存储系统
CN108667608B (zh) 2017-03-28 2021-07-27 阿里巴巴集团控股有限公司 数据密钥的保护方法、装置和系统
CN108667773B (zh) 2017-03-30 2021-03-12 阿里巴巴集团控股有限公司 网络防护系统、方法、装置及服务器
CN108736981A (zh) 2017-04-19 2018-11-02 阿里巴巴集团控股有限公司 一种无线投屏方法、装置及系统
CN108133370B (zh) * 2017-06-23 2021-07-20 广东网金控股股份有限公司 一种基于量子密钥分配网络的安全支付方法及系统
GB201710176D0 (en) * 2017-06-26 2017-08-09 Nchain Holdings Ltd Computer-implemented system and method
CN107359994A (zh) * 2017-07-19 2017-11-17 国家电网公司 一种量子密码与经典密码相融合的一体化加密装置
CN107465505B (zh) 2017-08-28 2021-07-09 创新先进技术有限公司 一种密钥数据处理方法、装置及服务器
CN109561047B (zh) * 2017-09-26 2021-04-13 安徽问天量子科技股份有限公司 基于密钥异地存储的加密数据存储系统及方法
CN111600710B (zh) * 2017-10-27 2023-01-13 财付通支付科技有限公司 密钥存储方法、装置、终端、服务器及可读介质
CN109842485B (zh) * 2017-11-26 2021-07-20 成都零光量子科技有限公司 一种有中心的量子密钥服务网络系统
CN108023732B (zh) * 2017-12-15 2020-02-14 北京深思数盾科技股份有限公司 一种数据保护方法、装置、设备和存储介质
CN110290094B (zh) 2018-03-19 2022-03-11 华为技术有限公司 一种数据访问权限的控制方法和装置
CN109088725B (zh) * 2018-07-18 2021-04-09 北京理工大学 基于级联扰动计算成像的网络密钥分发方法、装置和系统
CN109218012B (zh) * 2018-09-11 2021-07-16 重庆邮电大学 一种具有集中器的分布式智能电表售电方法和系统
CN109299618B (zh) * 2018-09-20 2020-06-16 如般量子科技有限公司 基于量子密钥卡的抗量子计算云存储方法和系统
CN109450620B (zh) 2018-10-12 2020-11-10 创新先进技术有限公司 一种移动终端中共享安全应用的方法及移动终端
CN109614802B (zh) * 2018-10-31 2020-11-27 如般量子科技有限公司 抗量子计算的签章方法和签章系统
CN109543367B (zh) * 2018-11-14 2020-11-10 苏州科达科技股份有限公司 基于量子加密的软件授权方法、装置及存储介质
HK1254273A2 (zh) * 2018-12-03 2019-07-12 Foris Limited 安全的分布式密钥管理系统
CN109672537B (zh) * 2019-01-18 2021-08-10 如般量子科技有限公司 基于公钥池的抗量子证书获取系统及获取方法
US11177946B2 (en) * 2019-06-21 2021-11-16 Verizon Patent And Licensing Inc. Quantum entropy distributed via software defined perimeter connections
CN110190961B (zh) * 2019-07-02 2021-10-15 洛阳师范学院 一种可验证的量子秘密分享方法
CN112367163B (zh) * 2019-09-01 2023-09-26 成都量安区块链科技有限公司 一种量子网络虚拟化方法与装置
CN112367162A (zh) * 2019-09-01 2021-02-12 成都量安区块链科技有限公司 一种量子中继节点的应用方法与装置
CN110830242A (zh) * 2019-10-16 2020-02-21 聚好看科技股份有限公司 一种密钥生成、管理方法和服务器
GB2602208B (en) * 2019-11-08 2022-12-14 Arqit Ltd Quantum-safe networking
CN110932870B (zh) * 2019-12-12 2023-03-31 南京如般量子科技有限公司 一种量子通信服务站密钥协商系统和方法
US11429519B2 (en) 2019-12-23 2022-08-30 Alibaba Group Holding Limited System and method for facilitating reduction of latency and mitigation of write amplification in a multi-tenancy storage drive
CN111815816B (zh) * 2020-06-22 2022-07-05 合肥智辉空间科技有限责任公司 一种电子锁安全系统及其密钥分发方法
US11233636B1 (en) * 2020-07-24 2022-01-25 Salesforce.Com, Inc. Authentication using key agreement
CN111708721B (zh) * 2020-08-24 2020-12-01 东华理工大学 一种基于电子信息的分布式数据保密处理系统及装置
NL2027091B1 (en) * 2020-12-10 2022-07-08 Abn Amro Bank N V Orchestrated quantum key distribution
CN114362928B (zh) * 2021-03-23 2023-11-24 长春大学 一种用于多节点间加密的量子密钥分发与重构方法
US11695552B2 (en) 2021-03-25 2023-07-04 International Business Machines Corporation Quantum key distribution in a multi-cloud environment
CN113347009B (zh) * 2021-08-05 2022-01-07 成都飞机工业(集团)有限责任公司 基于椭圆曲线密码体制的无证书门限签密方法
US11895234B2 (en) 2021-09-30 2024-02-06 Juniper Networks, Inc. Delayed quantum key-distribution
CN114091064A (zh) * 2021-11-23 2022-02-25 奇安信科技集团股份有限公司 数据转移方法、装置、设备和存储介质
CN114244513B (zh) * 2021-12-31 2024-02-09 日晷科技(上海)有限公司 密钥协商方法、设备及存储介质
CN114095183B (zh) * 2022-01-23 2022-05-03 杭州字节信息技术有限公司 一种客户端双重认证方法、终端设备及存储介质
GB2616047A (en) * 2022-02-25 2023-08-30 Toshiba Kk A quantum network and a quantum authentication server
US12088704B1 (en) 2022-03-30 2024-09-10 Wells Fargo Bank, N.A. Systems and methods for quantum entangled random key exchange
CN114531238B (zh) * 2022-04-24 2022-07-19 中电信量子科技有限公司 基于量子密钥分发的密钥安全充注方法及系统
CN115378585B (zh) * 2022-08-22 2024-11-12 安徽省极光智能科技有限公司 一种量子密钥生命周期管理系统
CN115811395A (zh) * 2022-11-17 2023-03-17 北京天融信网络安全技术有限公司 共享密钥生成方法、装置、电子设备以及可读存储介质
CN115499125B (zh) * 2022-11-18 2023-03-24 北京安盟信息技术股份有限公司 云环境下多租户密钥安全分发的方法、系统、介质及设备
CN116469198B (zh) * 2023-04-20 2025-08-05 西安电子科技大学 一种基于nfc技术的物联网智能型酒店门禁系统
CN116996237B (zh) * 2023-09-29 2023-12-08 山东高速建设管理集团有限公司 一种基于量子门限签名的分布式管理方法及系统
CN117119449B (zh) * 2023-10-20 2024-01-19 长江量子(武汉)科技有限公司 车云安全通信方法及系统
CN118764200B (zh) * 2024-09-09 2024-12-31 国网上海能源互联网研究院有限公司 一种电力二次系统业务安全防护系统和方法
CN119519951A (zh) * 2024-11-08 2025-02-25 中国移动通信有限公司研究院 量子密钥分发方法、装置、相关设备、存储介质及计算机程序产品
CN119155042B (zh) * 2024-11-13 2025-02-07 易迅通科技有限公司 一种基于量子数字签名的流量计费信息验签方法及系统
CN119675856A (zh) * 2024-11-26 2025-03-21 北京计算机技术及应用研究所 一种基于门限思想的量子密钥分发方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130083926A1 (en) * 2011-09-30 2013-04-04 Los Alamos National Security, Llc Quantum key management
US20130251145A1 (en) * 2010-12-02 2013-09-26 Qinetiq Limited Quantum key distribution

Family Cites Families (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7246240B2 (en) 2001-04-26 2007-07-17 Massachusetts Institute Of Technology Quantum digital signatures
US20030112970A1 (en) * 2001-08-26 2003-06-19 Arindam Mitra How to generate unbreakable key through any communication channel
JP3908106B2 (ja) * 2002-06-27 2007-04-25 日本電信電話株式会社 量子情報分散生成方法、その装置
JP2005117511A (ja) 2003-10-10 2005-04-28 Nec Corp 量子暗号通信システム及びそれに用いる量子暗号鍵配布方法
US7181011B2 (en) * 2004-05-24 2007-02-20 Magiq Technologies, Inc. Key bank systems and methods for QKD
GB0512229D0 (en) 2005-06-16 2005-07-27 Hewlett Packard Development Co Quantum key distribution apparatus & method
JP2007060161A (ja) * 2005-08-23 2007-03-08 Ntt Docomo Inc 暗号システム、端末装置及び暗号化方法
US7889868B2 (en) 2005-09-30 2011-02-15 Verizon Business Global Llc Quantum key distribution system
US8082443B2 (en) 2006-01-09 2011-12-20 Bbnt Solutions Llc. Pedigrees for quantum cryptography
WO2007123869A2 (en) 2006-04-18 2007-11-01 Magiq Technologies, Inc. Key management and user authentication for quantum cryptography networks
CN101479984B (zh) 2006-04-25 2011-06-08 斯蒂芬·L.·博伦 用于身份管理、验证服务器、数据安全和防止中间人攻击的动态分发密钥系统和方法
WO2008015758A1 (en) 2006-08-04 2008-02-07 Mitsubishi Electric Corporation Quantum communication apparatus, quantum communication system and quantum communication method
US20080144836A1 (en) * 2006-12-13 2008-06-19 Barry Sanders Distributed encryption authentication methods and systems
JP2008250931A (ja) * 2007-03-30 2008-10-16 Toshiba Corp 分散情報復元システム、情報利用装置、および、検証装置
JP4316636B2 (ja) * 2007-06-06 2009-08-19 株式会社東芝 コンテンツ配信・閲覧システム、コンテンツ配信装置、コンテンツ閲覧装置及びプログラム
GB0801395D0 (en) 2008-01-25 2008-03-05 Qinetiq Ltd Network having quantum key distribution
GB0801408D0 (en) * 2008-01-25 2008-03-05 Qinetiq Ltd Multi-community network with quantum key distribution
GB0809038D0 (en) * 2008-05-19 2008-06-25 Qinetiq Ltd Quantum key device
CN102076525A (zh) * 2008-07-02 2011-05-25 美国埃隆国际有限公司 具有可延伸梁的无轮货物承载器
GB0819665D0 (en) 2008-10-27 2008-12-03 Qinetiq Ltd Quantum key dsitribution
CN101599826B (zh) * 2009-07-10 2011-08-24 陕西理工学院 可扩展多用户量子密钥分配网络系统及其密钥分配方法
CN201430596Y (zh) * 2009-07-10 2010-03-24 陕西理工学院 可扩展多用户量子密钥分配网络系统
GB0917060D0 (en) * 2009-09-29 2009-11-11 Qinetiq Ltd Methods and apparatus for use in quantum key distribution
US20140098955A1 (en) * 2009-12-15 2014-04-10 Los Alamos National Security, Llc Quantum enabled security for optical communications
TW201201556A (en) 2010-06-29 2012-01-01 Chunghwa Telecom Co Ltd Construction structure of quantum encryption service network
EP2518932A3 (en) 2010-10-05 2015-11-18 Brandenburgische Technische Universität Cottbus-Senftenberg A method of password-based authentication and session key agreement for secure data transmission, a method for securely transmitting data, and an electronic data transmission system
US9231943B2 (en) * 2011-02-16 2016-01-05 Novell, Inc. Client-based authentication
ES2509816T3 (es) 2011-08-05 2014-10-20 Selex Es S.P.A. Sistema para la distribución de claves criptográficas
JP2014022920A (ja) * 2012-07-18 2014-02-03 Nec Corp 電子署名システム、電子署名方法および電子署名プログラム
JP2014068313A (ja) * 2012-09-27 2014-04-17 Toshiba Corp 通信方法、アプリケーション装置、プログラム及び通信システム
US9197422B2 (en) 2013-01-24 2015-11-24 Raytheon Company System and method for differential encryption
CN103338448A (zh) * 2013-06-07 2013-10-02 国家电网公司 一种基于量子密钥分发的无线局域网安全通信方法
WO2015198098A1 (en) * 2014-06-26 2015-12-30 Telefonaktiebolaget L M Ericsson (Publ) Privacy-preserving querying mechanism on privately encrypted data on semi-trusted cloud
CN104219042A (zh) * 2014-07-24 2014-12-17 安徽问天量子科技股份有限公司 量子密钥分发中心控制装置及方法
CN105991285B (zh) * 2015-02-16 2019-06-11 阿里巴巴集团控股有限公司 用于量子密钥分发过程的身份认证方法、装置及系统
CN107086908B (zh) * 2016-02-15 2021-07-06 阿里巴巴集团控股有限公司 一种量子密钥分发方法及装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130251145A1 (en) * 2010-12-02 2013-09-26 Qinetiq Limited Quantum key distribution
US20130083926A1 (en) * 2011-09-30 2013-04-04 Los Alamos National Security, Llc Quantum key management

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Deng, Hongmei et al., "Threshold and identity-based key management and authentication for wireless ad hoc networks", ICIT: Coding and Computing, 2004, IEEE, 2004.(2004.08.24.) *
비특허문헌:(2012) *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190138116A (ko) * 2018-06-04 2019-12-12 채령 양자난수 및 의사난수를 결합한 다차원 행렬 해시함수 블럭체인 스마트 블럭 배전반 제어시스템
KR20190138120A (ko) * 2018-06-04 2019-12-12 채령 양자암호키 4차 행렬 해시함수 블럭체인 스마트 그리드 배전반 제어시스템 감시 cctv 방재 감시카메라
KR20190143196A (ko) * 2018-06-20 2019-12-30 시옷랩주식회사 양자 난수열 기반의 암호 장치
KR102345419B1 (ko) * 2021-07-27 2021-12-30 대아티아이 (주) 양자암호통신기술을 적용한 철도관제 내부 통신 시스템 및 그 운영 방법
KR102341801B1 (ko) * 2021-08-20 2021-12-21 국민대학교산학협력단 양자보안 통신장치 통합형 영상 감시 시스템 및 방법
KR102356152B1 (ko) * 2021-08-20 2022-02-08 국민대학교산학협력단 양자보안 통신장치 통합형 지능형 교통신호 제어 시스템 및 방법
KR102499530B1 (ko) * 2021-08-20 2023-02-14 국민대학교산학협력단 양자보안 통신장치 통합형 원방감시 제어 시스템 및 방법

Also Published As

Publication number Publication date
EP3248310A1 (en) 2017-11-29
EP3248310A4 (en) 2018-06-20
US10305873B2 (en) 2019-05-28
CN105871538A (zh) 2016-08-17
KR102738037B1 (ko) 2024-12-05
JP2020127206A (ja) 2020-08-20
JP6680791B2 (ja) 2020-04-15
CN105871538B (zh) 2019-04-12
JP6968223B2 (ja) 2021-11-17
JP2018503318A (ja) 2018-02-01
TW201628369A (zh) 2016-08-01
US20190281034A1 (en) 2019-09-12
US20160226846A1 (en) 2016-08-04
EP3248310B1 (en) 2022-07-20
US10757083B2 (en) 2020-08-25
WO2016118359A1 (en) 2016-07-28

Similar Documents

Publication Publication Date Title
US10757083B2 (en) Method, apparatus, and system for quantum key distribution
US20220006627A1 (en) Quantum key distribution node apparatus and method for quantum key distribution thereof
JP6799061B2 (ja) ウォレット管理システムと併せたブロックチェーンベースのシステムのための暗号鍵のセキュアなマルチパーティ損失耐性のある記憶及び転送
JP4709815B2 (ja) 認証方法および装置
US11044082B2 (en) Authenticating secure channel establishment messages based on shared-secret
KR20170139570A (ko) 클라우드 기반 암호화 기계 키 주입을 위한 방법, 장치 및 시스템
CN108809907B (zh) 一种证书请求消息发送方法、接收方法和装置
US10298551B1 (en) Privacy-preserving policy enforcement for messaging
CN104836784B (zh) 一种信息处理方法、客户端和服务器
US11818268B2 (en) Hub-based token generation and endpoint selection for secure channel establishment
US20210144002A1 (en) Secondary Channel Authentication of Public Keys
US11563566B2 (en) Key splitting
CN109981255A (zh) 密钥池的更新方法和系统
Harchol et al. Distributed SSH key management with proactive RSA threshold signatures
US11563575B2 (en) Communication node, method of operating thereof and collaborative system
US20210112039A1 (en) Sharing of encrypted files without decryption
CN112368974A (zh) 用于在分布式基础架构中确保数据交换安全的方法
CN118331787A (zh) 数据的备份方法、系统和电子设备及存储介质
Krishnan et al. Peer to peer file sharing by blockchain using IoT
EP4088438B1 (en) Provision of digital content via a communication network
HK1228128A1 (en) Method, apparatus, and system for quantum key distribution
HK1228128A (en) Method, apparatus, and system for quantum key distribution
CN120128320A (zh) 基于量子密钥分发和反向鉴权的群组密钥管理系统和方法
CN119203118A (zh) 一种基于量子密钥的国密Ceph块存储的加密方法与系统
HK1228128B (zh) 量子密钥分发系统、量子密钥分发方法及装置

Legal Events

Date Code Title Description
PA0105 International application

Patent event date: 20170822

Patent event code: PA01051R01D

Comment text: International Patent Application

PG1501 Laying open of application
A201 Request for examination
PA0201 Request for examination

Patent event code: PA02012R01D

Patent event date: 20210111

Comment text: Request for Examination of Application

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20231207

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20240829

PG1601 Publication of registration