秘匿通信システムおよび共有秘密情報の生成方法
【課題】 量子暗号鍵配布において更新鍵の安全性についてユーザの要求を反映することができる秘匿通信システムを提供する。
【解決手段】 送信器100と受信器200とが光ファイバ300で接続され、送信器100の量子送信器TX111と受信器の量子受信器RX211は、量子チャネル301を通してTX111が送信した鍵の素とRX211が受信した生鍵とに基づいて、基底照合および誤り訂正を実行する。誤り訂正後の鍵情報から、安全度制御部120、220の制御により、ユーザ要求の安全度に応じて決定される盗聴可能性を有する情報量を除去することで最終的に暗号鍵を生成する。こうして更新された暗号鍵を用いて暗号化/復号化部130、230により秘匿通信が行われる。
【解決手段】 送信器100と受信器200とが光ファイバ300で接続され、送信器100の量子送信器TX111と受信器の量子受信器RX211は、量子チャネル301を通してTX111が送信した鍵の素とRX211が受信した生鍵とに基づいて、基底照合および誤り訂正を実行する。誤り訂正後の鍵情報から、安全度制御部120、220の制御により、ユーザ要求の安全度に応じて決定される盗聴可能性を有する情報量を除去することで最終的に暗号鍵を生成する。こうして更新された暗号鍵を用いて暗号化/復号化部130、230により秘匿通信が行われる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は秘匿通信システムに係り、特に秘密情報を送信器および受信器の双方で共有する方法およびシステムに関する。
【背景技術】
【0002】
インターネットは様々なデータが行き交う経済社会インフラとなっており、それゆえにネット上を流れるデータを盗聴リスクから事前に守る予防策を整えることが重要な課題となっている。予防策の一つとして、通信するデータを暗号化する秘匿通信システムが挙げられる。暗号化の方法としては、共通鍵暗号と公開鍵暗号の二種類がある。
【0003】
共通鍵暗号は、AES(Advanced Encryption Standard)に代表されるように暗号化と復号化に共通の暗号化鍵を用いる方式で高速処理が可能である。そのため本方式はデータ本体の暗号化に用いられている。
【0004】
一方、公開鍵暗号はRSA暗号方式に代表されるように一方向性関数を用いた方式で、公開鍵によって暗号化を行い、秘密鍵によって復号化を行う。高速処理には適していないため、共通鍵方式の暗号鍵配送などに用いられている。
【0005】
データの暗号化によって秘匿性を確保する秘匿通信において、秘匿性を確保するために重要なことは、たとえ盗聴者によって暗号化データを盗聴されたとしても、その暗号化データを解読されないことである。そのため、暗号化に同じ暗号鍵を使い続けないことが必要である。それは、同じ暗号鍵を使い続けて暗号化していると、盗聴された多くのデータから暗号鍵を推測される可能性が高くなるからである。
【0006】
そこで送信側と受信側で共有している暗号化鍵を更新することが求められる。鍵更新時には更新する鍵を盗聴・解読されないことが必須であるので、(1)公開鍵暗号によって暗号化して送る方法、(2)予め鍵更新用に設定した共通鍵であるマスター鍵を用いて暗号化して送る方法、の大きく二通りがある。たとえば特開2002−344438号公報(特許文献1)および特開2002−300158号公報(特許文献2)を参照のこと。これらの方法における安全性は、解読するための計算量が膨大であることに依っている。
【0007】
一方、量子暗号鍵配布技術(QKD)は、通常の光通信とは異なり、1ビットあたりの光子数を1個として伝送することにより送信−受信間で暗号鍵を生成・共有する技術であり、量子力学によって盗聴が不可能であることが証明されている暗号鍵共有技術である(非特許文献1および2参照)。但し、完全な単一光子源が存在していないので、実際には、コヒーレント光を減衰させることで、1パルスあたりの平均光子数が1以下、すなわち1パルスに光子が2個以上存在する確率を小さくして用いている。
【0008】
非特許文献1を参照して、BB84プロトコルと呼ばれる最も代表的な量子暗号鍵配送アルゴリズムについて簡単に説明する。
【0009】
図8はBB84プロトコルによる量子暗号鍵配布方法の概念を示す模式図である。ここではAlice(送信器)141とBob(受信器)143とが光伝送路142で接続されているものとする。この方法では、Alice141が乱数源を2つ持ち、一方の乱数1を暗号鍵の素データ、他方の乱数2を基底とし、これらの組み合わせにより1つの光子に対して、0、π/2、π、3π/2の4通りの変調をランダムに施してBob143へ送信する。
【0010】
一方、Bob143では基底に対応する乱数源(乱数3)を持ち、Alice141より送られてきた光子に対して、乱数3の値が“0”である場合には位相0(+基底)の変調を、“1”である時には位相π/2(×基底)の変調を施す。これによって、Alice141とBob143の両者が施した変調の基底が同一である場合(乱数2=乱数3)、乱数1の値をBob143は正しく検出することができ(乱数1=乱数4)、異なる場合(乱数2≠乱数3)には乱数1の値に依らずBob143は乱数4として0/1の値をランダムに得る。乱数1/2/3は共に1ビット毎に変化する乱数であるから、基底が一致する確率と不一致である確率は共に50%となるが、後段の基底照合(Basis Reconciliation)によって基底が不一致となるビットを削除するから、Alice141とBob143は乱数1に対応する0/1ビット列を共有することができる。
【0011】
図9は、一般的な量子暗号鍵生成の流れを示すフローチャートである。上述したように、量子暗号鍵配布によりAliceおよびBobの間の変調位相深さの差によって0または1の出力(生鍵)が得られ、その後、基底の一部分を照合することにより基底が一致したビット列(選別鍵)を共有する(基底処理)。先行文献としては、特開2000−174747号公報(特許文献3)に量子チャネルと古典チャネルとを用いて送信側および受信側で選別鍵を共有する量子暗号装置が開示されている。
【0012】
しかしながら、上記のようにして共有したビット列には伝送路142や受信器に起因する誤りが含まれており、この誤りを訂正する誤り訂正処理(Error Correction)が必要となる。加えて伝送路途中に存在する盗聴者が光子情報を覗き見た場合にも共有ビット列に誤りが発生する。したがって、最終的に使用する暗号鍵を共有するためには、誤りを訂正する誤り訂正処理だけでなく、誤りの頻度(誤り率)に基づいて、盗聴されたと想定し得る情報量を削減する秘匿増強処理(Privacy Amplification)が必要となる。
【0013】
(誤り訂正)
誤り訂正処理としては、たとえば非特許文献3に示されたような方法がある。この方法では、送信器および受信器において選別鍵のビット列を複数のブロックに分割し、各ブロックのパリティを照合することによって誤りを含むブロックを特定し、当該ブロックに関してハミング符号を適用する等して誤り訂正を行う。加えて、1つのブロック内に偶数個の誤りを含む場合を想定し、ビット列をランダムに並び替えて再度パリティ照合並びに誤り訂正を行う。このような確認作業を複数回(V回)繰り返すことによって秘密ビット列の残留エラー検知を行う。たとえば、パリティ検査ビット数を選別鍵ビット数の約半数とすれば、パリティ照合をV回繰り返した場合、残留エラーが検知できない確率は1/2V以下となる。このようなパリティ公開によってVビットの情報量が第三者に漏れているので、Vビットの鍵を破棄する。この誤り訂正過程を経て、Gビットの鍵情報が残ったとする。
【0014】
(秘匿増強)
秘匿増強処理としては非特許文献4に示されたような方法がある。秘匿増強処理は、鍵配布中に漏洩した可能性のある情報量を除去し新たな乱数を生成する過程である。ここではGビットの鍵情報をFビット(F<G)に振るい落とす。具体的には、次のような手順となる。
【0015】
Aliceは内部で乱数(パリティ計算ビット)を生成し、自身の保有するGビットの鍵情報に対して上記乱数で指定されたビット位置のパリティを計算し、そのパリティを鍵の1ビット目とし、それら乱数(パリティ計算ビット)をBobに送信する。Bobは受け取った乱数に基づいて自身の保有するGビットの鍵情報のパリティを計算し、そのパリティを鍵の1ビット目とする。このような作業を繰り返し、伝送路において盗聴されたと考えうる分の情報量を破棄して、新たなFビットの最終鍵を作成する。盗聴者は、パリティ計算ビットの全てを知らないと秘匿増強後の新乱数(最終鍵)を知ることができない。
【0016】
誤り訂正後のGビット鍵情報に対して上記秘匿増強処理を実行し、Fビットの新規乱数を生成する場合、新規乱数のビット数Fは次式により表される。
【0017】
F=G−eG−V−S
ここで、eは量子通信を盗聴されて盗まれた情報の割合であり、eGビットの情報が盗聴者Eveにより所有されているものとみなされる。Vは残留エラー検知過程で開示されたビット数である。Sは秘匿増強におけるセキュリティパラメータであり、大きいほど完全秘匿に近づく。
【0018】
【特許文献1】特開2002−344438号公報
【特許文献2】特開2002−300158号公報
【特許文献3】特開2000−174747号公報
【非特許文献1】"QUANTUM CRYPTOGRAPHY: PUBLIC KEY DISTRIBUTION AND COIN TOSSING" C. H. Bennett and G. Brassard, IEEE Int. Conf. on Computers, Systems, and Signal Processing, Bangalore, India, December 10-12, 1984 pp.175-179
【非特許文献2】"Automated 'plug & play' quantum key distribution" G. Ribordy, J. Gauiter, N. Gisin, O. Guinnard and H. Zbinden, Electron. Lett., Vol. 34, No. 22 pp.2116-2117, (1998)
【非特許文献3】"Secret-key Reconciliation by Public Discussion" G. Brassard and L. Salvail, in Advances in Cryptology - EUROCRYPT'93 Proceedings, Lecture Notes in Computer Science, Vol.765, p410-423
【非特許文献4】"Generalized Privacy Amplification" C. H. Bennett, G. Brassard, C. Crepeau, and U. M. Maurer, IEEE Trans. Inf. Theory, Vol.41, No.6, p1915
【非特許文献5】A. Tanaka、A. Tomita、A. Tajima、T. Takeuchi、S. Takahashi、and Y. Nambu、 Proc. of ECOC 2004, Tu4.5.3 (2004)
【発明の開示】
【発明が解決しようとする課題】
【0019】
送信側と受信側で共有している暗号化鍵を更新する際、上述したように、更新鍵を公開鍵暗号によって暗号化して送る方法や予め更新用に設定した共通鍵を用いて暗号化して送る方法は、膨大な計算量が必要である点に安全性の根拠がある。このために、計算機の性能向上や暗号解読アルゴリズムの進化といった暗号解読技術の進化によって秘匿性が低下するという問題があった。例えば、共通鍵暗号であるDESの解読時間を競う56bit DES解読コンテストの解読日数は1997年に96日間であったものが、1999年には22時間に短縮されている。公開鍵暗号についても、RSA公開鍵暗号解読が1994年に鍵長429bitに対して8ヶ月要していたものが、2004年には鍵長576bitに対して約3ヶ月と解読技術が進化している。
【0020】
これに対して、量子暗号鍵配布技術(QKD)は、より安全性の高いシステムを実現することについて研究開発がなされてきたため、鍵の安全度については、どんな攻撃があっても理論上絶対に盗聴できないということにのみ着目していた。そのため、QKDでは1パルスあたりの平均光子数1.0個以下に固定されている。
【0021】
その際に想定される盗聴方法は、現時点で最強の盗聴方法と考えられているPhoton Number Splitting(PNS)攻撃である。PNS攻撃は、光子2個以上のパルスから1個を盗み、さらに光子1個のパルスからは光子を相関させて盗むという方法であるが、実現は困難であり非現実的でさえある。
【0022】
比較的実現性がある盗聴方法としては、偽BobとなってAliceから受信し、偽AliceとなってBobへ再送信するIntercept/Resend攻撃が知られている。この盗聴が存在すると誤り率は原理的に25%になる。また、光子2個以上のパルスから1個を盗む方法(Beam splitting攻撃1)も知られているが、この盗聴方法では、Bobに到達する光子数が減少するので盗聴検出が容易である。さらに、AliceとBobの途中の地点で光分岐させ、そこからBobまでを無損失伝送路に置換することで、Bobまでの伝送損失に相当する強度の光を分岐して盗む方法(Beam splitting攻撃2)もあるが、この方法は無損失伝送路が非現実的である。更に実現が困難なものとしては、光子を相関させて量子状態を少しコピーして盗むIndividual (Incoherent)攻撃も知られている。このIndividual (Incoherent)攻撃のみを適用した場合には、盗聴情報量は光子数に依存しなくなる。上述したPNS攻撃は、上記Beam splitting攻撃2とIndividual (Incoherent)攻撃とを組み合わせた盗聴法である。
【0023】
図10は量子暗号鍵配布システムにおける平均光子数と伝送可能距離との関係を盗聴方法別に概略的に示したグラフである。各盗聴方法に対応する曲線は、当該盗聴方法を想定した場合にAliceとBobとの間の共有情報量とEveの盗聴情報量とが等しくなる境界を意味しており、この場合の鍵生成速度は0となる。当該曲線より伝送距離が長くなると盗聴情報量の方が多くなって鍵生成不可能となり、当該曲線より短い伝送距離では共有情報量が多くなって鍵生成可能となり、短距離ほど鍵生成速度が高くなる。
【0024】
このグラフから分かるように、PNS対抗レベルの安全性を求める場合には1パルスあたりの平均光子数を1.0個よりかなり少なくすることが伝送距離の点で望ましいが、Beam splitting攻撃1に対抗するレベルの安全性であれば、平均光子数1.0〜4.0でも伝送距離をある程度維持することができる。
【0025】
言い換えれば、光パルスの光子数を1.0以下に設定するのはPNSクラスの攻撃に対抗するために必要であるが、常にこのような最高レベルの安全性が要求されるわけではない。ユーザによっては、安全度をある程度犠牲にしても伝送距離や鍵更新の速度あるいは鍵量を優先する場合もある。従来の量子暗号鍵配布システムでは、このような更新鍵の安全性についてユーザの要求を反映することができなかった。
【課題を解決するための手段】
【0026】
本発明は上記従来の課題を解決しようとするものである。本発明者等は次の点に着目した。
【0027】
(1)光パルスの光子数が多くなれば、送信できる情報量が増大する一方で第三者に盗聴される可能性も増大し(したがって安全度が低下し)、逆に光子数が減少すれば、送信できる情報量が減少し安全度が上昇すること、および
(2)秘匿増強処理において、上述したように、秘匿増強処理後の鍵量(新規乱数のビット数)Fは、誤り訂正後のGビット鍵情報から盗聴者Eveにより所有されているとみなされるeGビットの情報を差し引くことで求められること(F=G−eG−V−S)。ただし、Vは残留エラー検知過程で開示されたビット数、Sはセキュリティパラメータであるが、ユーザ要求を反映するのはパラメータとしては盗聴可能性の割合eを用いるのが望ましい。盗聴可能性の割合eおよびセキュリティパラメータSの両方を変化させることも可能である。
【0028】
すなわち、光パルスの平均光子数および/または秘匿増強処理における盗聴可能性の割合eまたはセキュリティパラメータSをユーザに要求に従って変更可能にすることで、ユーザの指定に従った鍵長/更新速度および安全度で暗号鍵を配布することが可能となる。
【0029】
本発明によれば、複数の通信チャネルにより接続された第1通信器と第2通信器との間で共有される共有秘密情報は、a)前記共有すべき秘密情報に対してユーザが要求する安全度を入力し、b)一の通信チャネルを通して前記第1通信器が送信した第1秘密情報と前記一の通信チャネルを通して前記第2通信器が受信した第2秘密情報とに基づいて、前記第1通信器と前記第2通信器との双方に第3秘密情報を生成し、c)前記第3秘密情報から、前記安全度に応じて決定される盗聴可能性を有する情報量を除去することで最終的に生成される。
【0030】
本発明の実施例として、前記共有秘密情報の更新は、前記a)〜c)あるいは前記b)およびc)を実行することにより行われる。また、前記共有秘密情報に要求された安全度に応じて、前記共有秘密情報を用いた通信に対して課金することも可能である。
本発明の他の側面によれば、複数の通信チャネルにより接続された第1通信器と第2通信器との間で秘匿通信に使用される共有秘密情報を共有する方法は、a)共有すべき秘密情報に対してユーザが要求する安全度を入力し、b)一の通信チャネルを通して前記第1通信器が送信した第1秘密情報と前記一の通信チャネルを通して前記第2通信器が受信した第2秘密情報とに基づいて、前記第1通信器と前記第2通信器との双方に第3秘密情報を生成し、c)前記第3秘密情報から、前記安全度に応じて決定される盗聴可能性を有する情報量を除去することで共有秘密情報を生成し、d)前記a)−c)を繰り返すことで複数の共有秘密情報を格納し、e)前記秘匿通信に使用される共有秘密情報を更新するときには前記格納された複数の共有秘密情報から1つを選択する、ことを特徴とする。一実施例として、前記複数の共有秘密情報は複数の安全度毎に格納されることが望ましい。
【0031】
本発明による秘匿通信システムにおける第1通信器および第2通信器の各々は、共有秘密情報に対する安全度を入力する安全度制御手段と、一の通信チャネルを通して前記第1通信器が送信した第1秘密情報と前記一の通信チャネルを通して前記第2通信器が受信した第2秘密情報とに基づいて、前記第1通信器と前記第2通信器との双方に第3秘密情報を生成する第1生成手段と、前記第3秘密情報から、前記安全度に応じて決定される盗聴可能性を有する情報量を除去することで最終的に前記共有秘密情報を生成する第2生成手段と、を有することを特徴とする。
【0032】
前記第1通信器および前記第2通信器の各々は、さらに、前記共有秘密情報を用いてユーザ信号の暗号化および復号化を行う秘匿通信手段を有する。
【0033】
本発明の実施形態によれば、予め生成された複数の共有秘密情報を格納する格納手段を更に有し、前記共有秘密情報を更新するときには前記格納された複数の共有秘密情報から1つを選択することができる。また、複数の安全度ごとに予め生成された複数の共有秘密情報を格納する格納手段を更に有し、前記共有秘密情報を更新するときには、入力された安全度に対応して前記格納された複数の共有秘密情報から1つを選択することができる。
【0034】
本発明の好ましい実施例によれば、前記複数の通信チャネルは光ファイバ伝送路に多重され、前記共通秘密情報は量子暗号鍵配布技術を用いて生成される。特に、前記第2生成手段は秘匿増強処理を実行し、前記安全度制御手段は、前記安全度に応じて前記秘匿増強処理における盗聴可能性を有する情報量の割合を変化させることが望ましい。
【0035】
前記第1通信器は、前記安全度制御手段の制御に従って、前記一の通信チャネルの光パルスの平均光子数を変化させる可変光減衰手段をさらに有することができる。
【発明の効果】
【0036】
本発明によれば、第1通信器と第2通信器との間で共有された第3秘密情報から、前記安全度に応じて決定される盗聴可能性を有する情報量を除去することで最終的に共有される共有秘密情報を生成するので、ユーザの要求に応じた安全性と情報量とを有する共有秘密情報(共通暗号鍵)を生成することができる。すなわち、更新する共通暗号鍵の安全度や鍵長/鍵更新速度をユーザの要求に従って設定することができ、さらにユーザの要求に応じた課金を行うこともできる。
【発明を実施するための最良の形態】
【0037】
1.PNSを想定したシミュレーション
以下、盗聴者EveがPNS攻撃を行うものと想定して本発明の基本的動作を説明する。他の盗聴方法を想定しても同様である。
【0038】
図1(A)はシミュレーションシステムを示すブロック図であり、(B)はそのシミュレーション結果を示すグラフである。ここでは、AliceとBobとの間にPNSを行う盗聴者Eveが介在し、伝送距離10km、伝送損失0.25dB/km、Bobの誤り率5%固定とする。ただし、図1(B)のグラフでは、平均光子数の増大にしたがって増大するBobの情報量を基準としている。
【0039】
図1(B)に示すように、Bobが受信する情報量に対して、Eveが盗聴したとみなされる情報量(安全でない鍵量)の割合は平均光子数が増大するに従って増大し、平均光子数1.0ではBobの情報量とEveの情報量とがほぼ等しくなる。言い換えれば、平均光子数が増大するに従って、PNSに対して安全な鍵量は減少し、平均光子数1.0になるとBobは安全な鍵情報を受信できなくなる。
【0040】
このようなPNSに対抗しようとすれば、平均光子数を1.0より小さく設定し、秘匿増強処理において、漏洩した可能性のある情報量eGを除去することで安全な最終鍵を得る必要がある。しかしながら、PNSクラスの攻撃に対抗する安全性が要求されない場合には、Eveの情報量eGを全て除去する必要はない。後述するように、平均光子数μと振り落とされる情報の割合eDとを変更することで、ユーザの要求に応じて安全性と鍵量(鍵生成速度)との間の調整を図ることができる。
【0041】
2.安全度/鍵量の制御
図2は平均光子数に対する秘匿増強後の鍵量および安全度の変化を示すグラフである。図2において、曲線10はPNSを想定した場合の完全秘匿増強後の鍵量の平均光子数に対する変化、曲線11は秘匿増強を行わない場合の鍵量の平均光子数に対する変化、曲線11aは0.5e秘匿増強後の鍵量の平均光子数に対する変化、曲線12は曲線11に対応する安全度の変化、曲線12aは曲線11aに対応する安全度の変化をそれぞれ示す。ただし、μは平均光子数、IBはBobの情報量(鍵量)、IEVEはEveの情報量(盗聴の可能性がある鍵量)である。
【0042】
完全秘匿増強後の鍵量(曲線10)はμ×(IB−IEVE)と表現でき、これはF=G−eGに対応する。すなわち、完全秘匿増強とは、Eveに盗まれた情報量を完全に排除する秘匿増強という。秘匿増強なしの鍵量(曲線11)はμ×IBと表現でき、これはF=Gに対応する。秘匿増強により除去される情報量をeD×Gとすれば、eDを0とeとの間で変化させることで曲線11と曲線10との間の任意の曲線で示される秘匿増強設定を選択することができる。図2の曲線11aは、eD=0.5とした場合の鍵量の変化を示す。eDを任意の値に設定することで、曲線10より更に鍵量を減少させ(安全性を上昇させ)、あるいは曲線11より更に鍵量を増大させる(安全性を低下させる)ことも可能である。
【0043】
ここで、安全度を(安全な鍵量)/(秘匿増強後の残留鍵量)と定義し、(安全な鍵量)=(1−e)G、(秘匿増強後の残留鍵量)=(1−eD)Gとすることで、安全度=(1−e)/(1−eD)を得る。Eveに盗まれた情報量を完全に排除する完全秘匿増強の場合には、eD=eとなり、安全度=1である。秘匿増強なしの場合には、eD=0であり、安全度=1−eとなる。このように安全度を定義すれば、eDを選択することで設定された鍵量曲線に対応する安全度の曲線を得ることができる。図2における曲線12aはeD=0.5とした場合の安全度の変化を示す。このように、ユーザの要求に応じた安全性で暗号鍵を更新できるように、秘匿増強処理での振り落とし情報量eD×Gおよび/または平均光子数μを決定することができる。なお、セキュリティパラメータSを変更することで秘匿増強設定を選択することもできる。以下、本発明を適用した通信システムについて具体的に説明する。
【0044】
3.第1実施形態
図3は本発明の第1実施形態による通信システムの概略的構成を示すブロック図である。本実施形態では送信器100と受信器200とが光ファイバ伝送路300を介して接続されている場合を例示する。
【0045】
送信器100は、量子暗号鍵配布(QKD)部110、安全度制御部120および暗号化/符号化部130を含んで構成される。QKD部110にはQKD送信器(TX)111および可変光減衰器(ATT)112が設けられている。受信器200は、量子暗号鍵配布(QKD)部210、安全度制御部220および暗号化/符号化部230を含んで構成される。QKD部210にはQKD受信器(RX)211が設けられている。
【0046】
安全度制御部120は、ユーザ要求に応じてTX111の秘匿増強設定およびATT112の減衰量を制御し、安全度制御部220は、RX211に対して、TX111と同様の秘匿増強処理制御を行う。
【0047】
送信器100のTX111は、既に述べたように、鍵の素となる乱数に従って光パルスを位相変調し、位相変調された光パルスがATT112によって減衰し、量子チャネル301を通して受信器200へ送信される。受信器200のRX211は、到達した光パルスを乱数によって位相変調し、干渉によって生鍵を検出する。続いて、TX111とRX211とは、古典チャネル302を通して鍵生成のためのシーケンス、すなわち上述した基底照合および誤り訂正処理が実行され、さらに本発明による安全度制御に従った秘匿増強処理が実行される。
【0048】
送信器100の安全度制御部120と受信器200の安全度制御部220とは古典チャネル303を通して通信可能である。送信器100の安全度制御部120は、ユーザの要求に応じてTX111の秘匿増強設定(eDの選択)を行い、更に必要に応じてATT112の減衰量を制御する。選択されたeDは古典チャネル303を通して受信側の安全度制御部220へ通知される。受信器200の安全度制御部220は、通知されたeDに従ってRX211における秘匿増強処理を制御する。
【0049】
こうしてTX111およびRX211により最終的な暗号鍵が生成されると、安全度制御部120および220はそれぞれ暗号化/復号化部130および230へ最終の暗号鍵を出力する。この暗号鍵を用いてユーザ信号の暗号化/復号化が行われる。このようにユーザの要求する安全性や鍵量あるいは鍵生成速度に従って暗号鍵を更新することができるために、状況に応じたユーザの判断を暗号鍵の生成に反映させることができ、適切な暗号鍵の更新が可能となる。
【0050】
なお、受信側のユーザが安全度制御部220にユーザ要求を与えてもよい。安全度制御部220は、安全度制御部120と同様に、ユーザの要求に応じてRX211の秘匿増強設定(eDの選択)を行い、選択されたeDを古典チャネル303を通して送信側の安全度制御部120へ通知する。送信器100の安全度制御部120は、通知されたeDに従ってRX111における秘匿増強処理を制御する。以下同様にして、TX111およびRX211により最終的な暗号鍵が生成されると、安全度制御部120および220はそれぞれ暗号化/復号化部130および230へ最終の暗号鍵を出力し、この暗号鍵を用いてユーザ信号の暗号化/復号化が行われる。
【0051】
なお、上述したところから、本発明は量子暗号鍵配布システム一般に適用可能であることは明白であり、後述する実施例で示されるPlug & Play方式に限定されるものではなく、単一伝送方式であっても同様に適用可能である。
【0052】
また、上述した、TX111およびRX211で実行される鍵生成プロセス、安全度制御部120および220の制御、および暗号化/復号化部130および230の動作は、プログラム制御プロセッサあるいはコンピュータ上で対応するプログラムを実行することにより実現することもできる。
【実施例1】
【0053】
本発明の第1実施例による秘匿通信システムとして、Plug & Play方式の量子暗号鍵配布(QKD)システムを説明する。
【0054】
図4(A)は送信側TX111の一例を示すブロック図、(B)は受信側RX211の一例を示すブロック図、(C)は送信側および受信側の暗号化/復号化部130および230の一例を示すブロック図である。
【0055】
まず受信側RX211において、ドライバ211−11により駆動されたレーザ光源211−10は光パルスPを出射し、偏光保存光サーキュレータ211−7を通して偏光保存光カプラ211−6により2分割される。分割された一方の光パルスP1は短いパスを通って直接PBS211−1へ送られ、分割された他方の光パルスP2は長いパスに設けられた位相変調器211−2を通してPBS211−1へ送られる。これら光パルスP1およびP2はPBS211−1で合波され、ダブルパルスとして波長合分波器(図示せず)および量子チャネル301を通して送信器100へ送信される。
【0056】
送信器100において、波長合分波器(図示せず)およびATT112を通して到来したダブルパルスP1およびP2は、ファラデーミラー111−1で偏光を90度回転させて折り返し、光パルスP2のみが位相変調器111−2によって変調されて受信器200へ送信される。位相変調器111−2はドライバ111−3によって駆動され、位相変調の深さは乱数発生部111−4で発生した乱数によって0、π/2、π、3/2 πの4位相のいずれかとなる。以下、位相変調された光パルスP2をP2*aと記す。
【0057】
受信側RX211のPBS211−1は、送信器100から受信した光パルスP1およびP2*aの偏光状態が90度回転していることから、これら受信パルスをそれぞれ送信時とは異なるパスへ導く。すなわち受信した光パルスP1は長いパスを通り、位相変調器211−2で位相変調され、位相変調された光パルスP1*bが光カプラ211−6に到達する。位相変調器211−2はドライバ211−3により駆動され、その際の位相変調の深さは乱数生成器211−4で発生した乱数によって0、π/2の2位相のいずれかとなる。他方、光パルスP2*aは送信時とは異なる短いパスを通って同じく光カプラ211−6に到達する。
【0058】
こうしてTX111で位相変調された光パルスP2*aとRX211で位相変調された光パルスP1*bとが干渉し、その結果が光子検出器APD211−8またはAPD211−9により検出される。それぞれの検出データは受信回路211−12に順次格納され、生鍵として鍵生成部211−5へ出力される。
【0059】
TX111の鍵生成部111−5とRX211の鍵生成部211−5とは、古典チャネル302を通して、既に述べたBB84プロトコルに従って基底照合および誤り訂正を実行し、さらに安全度制御部120および220からの制御信号(Cont.)に従って本実施例による秘匿増強処理を実行することで、ユーザ要求に応じた暗号鍵を共有する。こうして更新された暗号鍵が暗号化/復号化部130および230にそれぞれ出力される。
【0060】
更新された暗号鍵を用いて、暗号化/復号化部130はユーザ信号を暗号化し古典チャネル304を通じて受信器200へ伝送し、受信器200の暗号化/復号化部230は受信した暗号化信号を更新された暗号鍵を用いて復号化する。本実施例では、暗号化/復号化部130及び230は、図4(C)に示すようなAES(Advanced Encryption Standard)暗号に従い、鍵長はユーザ要求に応じて128/192/256ビットから選択される。また、本実施例では、暗号化通信は双方向通信であるので、暗号化/復号化部230で暗号化して伝送したユーザ信号を暗号化/復号化部130で復号化するという使い方もできる。このときユーザの更新する暗号鍵に対する要求は、安全度制御部220から古典チャネル303を通じて送信器100に含まれる安全度制御部120へ伝えられ、更新時にその要求が反映される。
【実施例2】
【0061】
本発明の第2実施例による秘匿通信システムとして、Vernam暗号およびPBSループを用いたPlug & Play方式の量子暗号鍵配布システムを説明する。
【0062】
図5(A)は送信側および受信側の暗号化/復号化部130および230の他の例を示すブロック図、(B)は送信側TX111の他の例を示すブロック図である。本実施例では、図5(A)に示すように、本実施例における暗号化/復号化部130および230は、Vernam暗号を用いている。Vernam暗号は、平文と暗号化の鍵が全く同じ長さの暗号であるために、通信速度は鍵の更新速度とほぼ等しくなる。暗号化/復号化部130および230は、安全度制御部120、220によって通知される鍵更新速度情報によってデータ通信の速度を制御してVernam暗号によって秘匿通信を行う。安全度制御部120、220は、ユーザの要求に基づいて更新する鍵の鍵更新速度を設定する。
【0063】
送信側TX111は、図5(B)に示すように、交互シフト位相変調型のQKD送信器である(非特許文献5参照)。上述したように、送信器100から到来したダブルパルスP1およびP2はPBS111−6でさらに分離され、時計回りのダブルパルスP1CWおよびP2CWと反時計回りのダブルパルスP1CCWおよびP2CCWの4つのパルス、すなわちカルテットパルスとなって位相変調器111−2をそれぞれ反対方向で通過し、それぞれ出射したポートとは反対のPBSポートへ入射する。
【0064】
位相変調器111−2は、時計回りのダブルパルスの後方のパルスP2CWを前方のパルスP1CWに対して位相変調するとともに、反時計回りのダブルパルスと時計回りのダブルパルスとの間にπの位相差を与える。位相変調器111−2は、乱数生成器111−4の乱数に従ってドライバ111−3により駆動され、カルテットパルスの各パルスに位相変調を施す。
【0065】
このように位相変調されたカルテットパルスはPBS111−6で合波され再びダブルパルスに戻る。上述したように後方のパルスのみが伝送情報により位相変調されたので出射ダブルパルスはP1およびP2*aとなる。このときPBSループ入射時に対して出射時は偏波が90°回転しているので、結果的にファラデーミラーと同等の効果が得られる。その他の構成および動作は第1実施例と同様であるから説明は省略する。
【0066】
4.第2実施形態
上述した第1実施形態では、ユーザ要求に応じた安全度や鍵量/鍵生成速度で最終的な暗号鍵が生成されるが、本発明の第2実施形態では、ユーザからの要求を予め受け付けておき、事前に固定長の暗号鍵を複数個生成して格納しておく。すなわち、予めユーザ要求に応じた安全度に対応する暗号鍵を複数個生成して厳重に格納しておき、暗号鍵を更新する際に、格納された複数の暗号鍵から1つを選択して暗号化/復号化部へ出力する。ただし、Vernam暗号の場合は鍵とデータとが同じ長さとなり鍵は固定長ではない。
【0067】
本発明の第2実施形態によれば、予め定められた安全度の暗号鍵を複数個上述したように生成しておき、安全度制御部120および220にはこれら複数の暗号鍵を格納する鍵ストレージが設けられている。安全度制御部120および220は、ユーザ要求に従って指定された安全度の暗号鍵を1つ選択して暗号化/復号化部130および230へそれぞれ出力する。予め暗号鍵が保管されているので、迅速な鍵更新が可能となる。なお鍵ストレージはタンパレジスタント対応である。その他安全度に応じた鍵の生成、秘匿通信方法については第1実施形態と同様である。
【0068】
5.第3実施形態
図6は本発明の第2実施形態による通信システムの概略的構成を示すブロック図である。本実施形態によるシステムは複数のユーザにそれぞれの要求に応じた安全度の秘匿通信を提供することができる。
【0069】
送信器101は、量子暗号鍵配布(QKD)部110、安全度制御部122、暗号化/符号化部132および鍵サーバ140を含んで構成される。QKD部110は第1実施形態と同様にQKD送信器(TX)111および可変光減衰器(ATT)112が設けられている。受信器201は、量子暗号鍵配布(QKD)部210、安全度制御部222、暗号化/符号化部232および鍵サーバ240を含んで構成される。QKD部210は第1実施形態と同様にQKD受信器(RX)211が設けられている。安全度制御部122および222と暗号化/復号化部133および233とは複数ユーザ1〜Mの秘匿通信に対応したものとなっている。
【0070】
鍵サーバ140および240には、予め定められた複数の安全度にそれぞれ対応した複数の暗号鍵が上述したように生成され、安全度毎に厳重に保存管理されている。これらの安全度は予め複数のユーザ1〜Mにより要求されたものであってもよい。暗号化/復号化部133および233は、ユーザからのユーザ信号を受信すると、対応するユーザの要求に従って暗号鍵を鍵サーバ140および240から選択し、選択された暗号鍵を用いてユーザ信号を暗号化/復号化する。
【0071】
図7は第3実施形態によるシステムの鍵サーバの構成を示すブロック図である。図7に示すように、鍵サーバ140および240は、それぞれ安全度に対応した複数の鍵ストレージ42、43を有し、安全度を指定された選択部41を通して暗号鍵が対応する鍵ストレージに登録され、安全度が選択された選択部44によって対応する鍵ストレージから暗号鍵が選択され出力される。当然のことながら、鍵ストレージ42、43はタンパレジスタント対応となっている。その他安全度に応じた鍵の生成、秘匿通信方法については第1実施形態と同様である。
【0072】
6.適用例
上述したように、ユーザ要求に応じた安全度や鍵量/鍵生成速度で最終的な暗号鍵が生成され、その暗号鍵を用いてユーザ信号の暗号化および復号化が行われる。本発明によるシステムでは、このような安全度や鍵量/鍵生成速度の指定に対して安全度や鍵量/鍵生成速度に応じた課金を行うことができる。
【0073】
システム構成としては、図3あるいは図6の送信器および受信器に課金機能を設けることができる。あるいは、図示されていないシステム管理装置に課金機能を設けてもよい。
【0074】
なお、上述した、TX111およびRX211で実行される鍵生成プロセス、安全度制御部122および222の制御、暗号化/復号化部132および232の動作および課金機能は、プログラム制御プロセッサあるいはコンピュータ上で対応するプログラムを実行することにより実現することもできる。
【産業上の利用可能性】
【0075】
量子暗号鍵配布技術に代表される共通暗号鍵配布技術を用いた秘匿情報通信に利用可能である。量子暗号鍵配布技術は、Plug & Play方式に限らず、単一方向型でも構わない。量子暗号鍵配布プロトコルは、BB84プロトコルに限らず、B92でもE91でも問題なく、上記実施例は本発明を限定するものではない。
【図面の簡単な説明】
【0076】
【図1】(A)はシミュレーションシステムを示すブロック図であり、(B)はそのシミュレーション結果を示すグラフである。
【図2】平均光子数に対する秘匿増強後の鍵量および安全度の変化を示すグラフである。
【図3】本発明の第1実施形態による通信システムの概略的構成を示すブロック図である。
【図4】(A)は送信側TX111の一例を示すブロック図、(B)は受信側RX211の一例を示すブロック図、(C)は送信側および受信側の暗号化/復号化部130および230の一例を示すブロック図である。
【図5】(A)は送信側および受信側の暗号化/復号化部130および230の他の例を示すブロック図、(B)は送信側TX111の他の例を示すブロック図である。
【図6】本発明の第2実施形態による通信システムの概略的構成を示すブロック図である。
【図7】第3実施形態によるシステムの鍵サーバの構成を示すブロック図である。
【図8】BB84プロトコルによる量子暗号鍵配布方法の概念を示す模式図である。
【図9】一般的な量子暗号鍵生成の流れを示すフローチャートである。
【図10】量子暗号鍵配布システムにおける平均光子数と伝送可能距離との関係を盗聴方法別に概略的に示したグラフである。
【符号の説明】
【0077】
100 送信器
200 受信器
110 210 量子暗号鍵配布(QKD)部
111 量子暗号鍵配布送信器(TX)
211 量子暗号鍵配布受信器(RX)
112 可変光減衰器(ATT)
120、220、121、221 安全度制御部
130、230、132、232 暗号化/復号化部
140、240 鍵サーバ
41 選択部
42、43 鍵ストレージ
44 選択部
300 光ファイバ伝送路
301 量子チャネル
302〜305 古典チャネル
【技術分野】
【0001】
本発明は秘匿通信システムに係り、特に秘密情報を送信器および受信器の双方で共有する方法およびシステムに関する。
【背景技術】
【0002】
インターネットは様々なデータが行き交う経済社会インフラとなっており、それゆえにネット上を流れるデータを盗聴リスクから事前に守る予防策を整えることが重要な課題となっている。予防策の一つとして、通信するデータを暗号化する秘匿通信システムが挙げられる。暗号化の方法としては、共通鍵暗号と公開鍵暗号の二種類がある。
【0003】
共通鍵暗号は、AES(Advanced Encryption Standard)に代表されるように暗号化と復号化に共通の暗号化鍵を用いる方式で高速処理が可能である。そのため本方式はデータ本体の暗号化に用いられている。
【0004】
一方、公開鍵暗号はRSA暗号方式に代表されるように一方向性関数を用いた方式で、公開鍵によって暗号化を行い、秘密鍵によって復号化を行う。高速処理には適していないため、共通鍵方式の暗号鍵配送などに用いられている。
【0005】
データの暗号化によって秘匿性を確保する秘匿通信において、秘匿性を確保するために重要なことは、たとえ盗聴者によって暗号化データを盗聴されたとしても、その暗号化データを解読されないことである。そのため、暗号化に同じ暗号鍵を使い続けないことが必要である。それは、同じ暗号鍵を使い続けて暗号化していると、盗聴された多くのデータから暗号鍵を推測される可能性が高くなるからである。
【0006】
そこで送信側と受信側で共有している暗号化鍵を更新することが求められる。鍵更新時には更新する鍵を盗聴・解読されないことが必須であるので、(1)公開鍵暗号によって暗号化して送る方法、(2)予め鍵更新用に設定した共通鍵であるマスター鍵を用いて暗号化して送る方法、の大きく二通りがある。たとえば特開2002−344438号公報(特許文献1)および特開2002−300158号公報(特許文献2)を参照のこと。これらの方法における安全性は、解読するための計算量が膨大であることに依っている。
【0007】
一方、量子暗号鍵配布技術(QKD)は、通常の光通信とは異なり、1ビットあたりの光子数を1個として伝送することにより送信−受信間で暗号鍵を生成・共有する技術であり、量子力学によって盗聴が不可能であることが証明されている暗号鍵共有技術である(非特許文献1および2参照)。但し、完全な単一光子源が存在していないので、実際には、コヒーレント光を減衰させることで、1パルスあたりの平均光子数が1以下、すなわち1パルスに光子が2個以上存在する確率を小さくして用いている。
【0008】
非特許文献1を参照して、BB84プロトコルと呼ばれる最も代表的な量子暗号鍵配送アルゴリズムについて簡単に説明する。
【0009】
図8はBB84プロトコルによる量子暗号鍵配布方法の概念を示す模式図である。ここではAlice(送信器)141とBob(受信器)143とが光伝送路142で接続されているものとする。この方法では、Alice141が乱数源を2つ持ち、一方の乱数1を暗号鍵の素データ、他方の乱数2を基底とし、これらの組み合わせにより1つの光子に対して、0、π/2、π、3π/2の4通りの変調をランダムに施してBob143へ送信する。
【0010】
一方、Bob143では基底に対応する乱数源(乱数3)を持ち、Alice141より送られてきた光子に対して、乱数3の値が“0”である場合には位相0(+基底)の変調を、“1”である時には位相π/2(×基底)の変調を施す。これによって、Alice141とBob143の両者が施した変調の基底が同一である場合(乱数2=乱数3)、乱数1の値をBob143は正しく検出することができ(乱数1=乱数4)、異なる場合(乱数2≠乱数3)には乱数1の値に依らずBob143は乱数4として0/1の値をランダムに得る。乱数1/2/3は共に1ビット毎に変化する乱数であるから、基底が一致する確率と不一致である確率は共に50%となるが、後段の基底照合(Basis Reconciliation)によって基底が不一致となるビットを削除するから、Alice141とBob143は乱数1に対応する0/1ビット列を共有することができる。
【0011】
図9は、一般的な量子暗号鍵生成の流れを示すフローチャートである。上述したように、量子暗号鍵配布によりAliceおよびBobの間の変調位相深さの差によって0または1の出力(生鍵)が得られ、その後、基底の一部分を照合することにより基底が一致したビット列(選別鍵)を共有する(基底処理)。先行文献としては、特開2000−174747号公報(特許文献3)に量子チャネルと古典チャネルとを用いて送信側および受信側で選別鍵を共有する量子暗号装置が開示されている。
【0012】
しかしながら、上記のようにして共有したビット列には伝送路142や受信器に起因する誤りが含まれており、この誤りを訂正する誤り訂正処理(Error Correction)が必要となる。加えて伝送路途中に存在する盗聴者が光子情報を覗き見た場合にも共有ビット列に誤りが発生する。したがって、最終的に使用する暗号鍵を共有するためには、誤りを訂正する誤り訂正処理だけでなく、誤りの頻度(誤り率)に基づいて、盗聴されたと想定し得る情報量を削減する秘匿増強処理(Privacy Amplification)が必要となる。
【0013】
(誤り訂正)
誤り訂正処理としては、たとえば非特許文献3に示されたような方法がある。この方法では、送信器および受信器において選別鍵のビット列を複数のブロックに分割し、各ブロックのパリティを照合することによって誤りを含むブロックを特定し、当該ブロックに関してハミング符号を適用する等して誤り訂正を行う。加えて、1つのブロック内に偶数個の誤りを含む場合を想定し、ビット列をランダムに並び替えて再度パリティ照合並びに誤り訂正を行う。このような確認作業を複数回(V回)繰り返すことによって秘密ビット列の残留エラー検知を行う。たとえば、パリティ検査ビット数を選別鍵ビット数の約半数とすれば、パリティ照合をV回繰り返した場合、残留エラーが検知できない確率は1/2V以下となる。このようなパリティ公開によってVビットの情報量が第三者に漏れているので、Vビットの鍵を破棄する。この誤り訂正過程を経て、Gビットの鍵情報が残ったとする。
【0014】
(秘匿増強)
秘匿増強処理としては非特許文献4に示されたような方法がある。秘匿増強処理は、鍵配布中に漏洩した可能性のある情報量を除去し新たな乱数を生成する過程である。ここではGビットの鍵情報をFビット(F<G)に振るい落とす。具体的には、次のような手順となる。
【0015】
Aliceは内部で乱数(パリティ計算ビット)を生成し、自身の保有するGビットの鍵情報に対して上記乱数で指定されたビット位置のパリティを計算し、そのパリティを鍵の1ビット目とし、それら乱数(パリティ計算ビット)をBobに送信する。Bobは受け取った乱数に基づいて自身の保有するGビットの鍵情報のパリティを計算し、そのパリティを鍵の1ビット目とする。このような作業を繰り返し、伝送路において盗聴されたと考えうる分の情報量を破棄して、新たなFビットの最終鍵を作成する。盗聴者は、パリティ計算ビットの全てを知らないと秘匿増強後の新乱数(最終鍵)を知ることができない。
【0016】
誤り訂正後のGビット鍵情報に対して上記秘匿増強処理を実行し、Fビットの新規乱数を生成する場合、新規乱数のビット数Fは次式により表される。
【0017】
F=G−eG−V−S
ここで、eは量子通信を盗聴されて盗まれた情報の割合であり、eGビットの情報が盗聴者Eveにより所有されているものとみなされる。Vは残留エラー検知過程で開示されたビット数である。Sは秘匿増強におけるセキュリティパラメータであり、大きいほど完全秘匿に近づく。
【0018】
【特許文献1】特開2002−344438号公報
【特許文献2】特開2002−300158号公報
【特許文献3】特開2000−174747号公報
【非特許文献1】"QUANTUM CRYPTOGRAPHY: PUBLIC KEY DISTRIBUTION AND COIN TOSSING" C. H. Bennett and G. Brassard, IEEE Int. Conf. on Computers, Systems, and Signal Processing, Bangalore, India, December 10-12, 1984 pp.175-179
【非特許文献2】"Automated 'plug & play' quantum key distribution" G. Ribordy, J. Gauiter, N. Gisin, O. Guinnard and H. Zbinden, Electron. Lett., Vol. 34, No. 22 pp.2116-2117, (1998)
【非特許文献3】"Secret-key Reconciliation by Public Discussion" G. Brassard and L. Salvail, in Advances in Cryptology - EUROCRYPT'93 Proceedings, Lecture Notes in Computer Science, Vol.765, p410-423
【非特許文献4】"Generalized Privacy Amplification" C. H. Bennett, G. Brassard, C. Crepeau, and U. M. Maurer, IEEE Trans. Inf. Theory, Vol.41, No.6, p1915
【非特許文献5】A. Tanaka、A. Tomita、A. Tajima、T. Takeuchi、S. Takahashi、and Y. Nambu、 Proc. of ECOC 2004, Tu4.5.3 (2004)
【発明の開示】
【発明が解決しようとする課題】
【0019】
送信側と受信側で共有している暗号化鍵を更新する際、上述したように、更新鍵を公開鍵暗号によって暗号化して送る方法や予め更新用に設定した共通鍵を用いて暗号化して送る方法は、膨大な計算量が必要である点に安全性の根拠がある。このために、計算機の性能向上や暗号解読アルゴリズムの進化といった暗号解読技術の進化によって秘匿性が低下するという問題があった。例えば、共通鍵暗号であるDESの解読時間を競う56bit DES解読コンテストの解読日数は1997年に96日間であったものが、1999年には22時間に短縮されている。公開鍵暗号についても、RSA公開鍵暗号解読が1994年に鍵長429bitに対して8ヶ月要していたものが、2004年には鍵長576bitに対して約3ヶ月と解読技術が進化している。
【0020】
これに対して、量子暗号鍵配布技術(QKD)は、より安全性の高いシステムを実現することについて研究開発がなされてきたため、鍵の安全度については、どんな攻撃があっても理論上絶対に盗聴できないということにのみ着目していた。そのため、QKDでは1パルスあたりの平均光子数1.0個以下に固定されている。
【0021】
その際に想定される盗聴方法は、現時点で最強の盗聴方法と考えられているPhoton Number Splitting(PNS)攻撃である。PNS攻撃は、光子2個以上のパルスから1個を盗み、さらに光子1個のパルスからは光子を相関させて盗むという方法であるが、実現は困難であり非現実的でさえある。
【0022】
比較的実現性がある盗聴方法としては、偽BobとなってAliceから受信し、偽AliceとなってBobへ再送信するIntercept/Resend攻撃が知られている。この盗聴が存在すると誤り率は原理的に25%になる。また、光子2個以上のパルスから1個を盗む方法(Beam splitting攻撃1)も知られているが、この盗聴方法では、Bobに到達する光子数が減少するので盗聴検出が容易である。さらに、AliceとBobの途中の地点で光分岐させ、そこからBobまでを無損失伝送路に置換することで、Bobまでの伝送損失に相当する強度の光を分岐して盗む方法(Beam splitting攻撃2)もあるが、この方法は無損失伝送路が非現実的である。更に実現が困難なものとしては、光子を相関させて量子状態を少しコピーして盗むIndividual (Incoherent)攻撃も知られている。このIndividual (Incoherent)攻撃のみを適用した場合には、盗聴情報量は光子数に依存しなくなる。上述したPNS攻撃は、上記Beam splitting攻撃2とIndividual (Incoherent)攻撃とを組み合わせた盗聴法である。
【0023】
図10は量子暗号鍵配布システムにおける平均光子数と伝送可能距離との関係を盗聴方法別に概略的に示したグラフである。各盗聴方法に対応する曲線は、当該盗聴方法を想定した場合にAliceとBobとの間の共有情報量とEveの盗聴情報量とが等しくなる境界を意味しており、この場合の鍵生成速度は0となる。当該曲線より伝送距離が長くなると盗聴情報量の方が多くなって鍵生成不可能となり、当該曲線より短い伝送距離では共有情報量が多くなって鍵生成可能となり、短距離ほど鍵生成速度が高くなる。
【0024】
このグラフから分かるように、PNS対抗レベルの安全性を求める場合には1パルスあたりの平均光子数を1.0個よりかなり少なくすることが伝送距離の点で望ましいが、Beam splitting攻撃1に対抗するレベルの安全性であれば、平均光子数1.0〜4.0でも伝送距離をある程度維持することができる。
【0025】
言い換えれば、光パルスの光子数を1.0以下に設定するのはPNSクラスの攻撃に対抗するために必要であるが、常にこのような最高レベルの安全性が要求されるわけではない。ユーザによっては、安全度をある程度犠牲にしても伝送距離や鍵更新の速度あるいは鍵量を優先する場合もある。従来の量子暗号鍵配布システムでは、このような更新鍵の安全性についてユーザの要求を反映することができなかった。
【課題を解決するための手段】
【0026】
本発明は上記従来の課題を解決しようとするものである。本発明者等は次の点に着目した。
【0027】
(1)光パルスの光子数が多くなれば、送信できる情報量が増大する一方で第三者に盗聴される可能性も増大し(したがって安全度が低下し)、逆に光子数が減少すれば、送信できる情報量が減少し安全度が上昇すること、および
(2)秘匿増強処理において、上述したように、秘匿増強処理後の鍵量(新規乱数のビット数)Fは、誤り訂正後のGビット鍵情報から盗聴者Eveにより所有されているとみなされるeGビットの情報を差し引くことで求められること(F=G−eG−V−S)。ただし、Vは残留エラー検知過程で開示されたビット数、Sはセキュリティパラメータであるが、ユーザ要求を反映するのはパラメータとしては盗聴可能性の割合eを用いるのが望ましい。盗聴可能性の割合eおよびセキュリティパラメータSの両方を変化させることも可能である。
【0028】
すなわち、光パルスの平均光子数および/または秘匿増強処理における盗聴可能性の割合eまたはセキュリティパラメータSをユーザに要求に従って変更可能にすることで、ユーザの指定に従った鍵長/更新速度および安全度で暗号鍵を配布することが可能となる。
【0029】
本発明によれば、複数の通信チャネルにより接続された第1通信器と第2通信器との間で共有される共有秘密情報は、a)前記共有すべき秘密情報に対してユーザが要求する安全度を入力し、b)一の通信チャネルを通して前記第1通信器が送信した第1秘密情報と前記一の通信チャネルを通して前記第2通信器が受信した第2秘密情報とに基づいて、前記第1通信器と前記第2通信器との双方に第3秘密情報を生成し、c)前記第3秘密情報から、前記安全度に応じて決定される盗聴可能性を有する情報量を除去することで最終的に生成される。
【0030】
本発明の実施例として、前記共有秘密情報の更新は、前記a)〜c)あるいは前記b)およびc)を実行することにより行われる。また、前記共有秘密情報に要求された安全度に応じて、前記共有秘密情報を用いた通信に対して課金することも可能である。
本発明の他の側面によれば、複数の通信チャネルにより接続された第1通信器と第2通信器との間で秘匿通信に使用される共有秘密情報を共有する方法は、a)共有すべき秘密情報に対してユーザが要求する安全度を入力し、b)一の通信チャネルを通して前記第1通信器が送信した第1秘密情報と前記一の通信チャネルを通して前記第2通信器が受信した第2秘密情報とに基づいて、前記第1通信器と前記第2通信器との双方に第3秘密情報を生成し、c)前記第3秘密情報から、前記安全度に応じて決定される盗聴可能性を有する情報量を除去することで共有秘密情報を生成し、d)前記a)−c)を繰り返すことで複数の共有秘密情報を格納し、e)前記秘匿通信に使用される共有秘密情報を更新するときには前記格納された複数の共有秘密情報から1つを選択する、ことを特徴とする。一実施例として、前記複数の共有秘密情報は複数の安全度毎に格納されることが望ましい。
【0031】
本発明による秘匿通信システムにおける第1通信器および第2通信器の各々は、共有秘密情報に対する安全度を入力する安全度制御手段と、一の通信チャネルを通して前記第1通信器が送信した第1秘密情報と前記一の通信チャネルを通して前記第2通信器が受信した第2秘密情報とに基づいて、前記第1通信器と前記第2通信器との双方に第3秘密情報を生成する第1生成手段と、前記第3秘密情報から、前記安全度に応じて決定される盗聴可能性を有する情報量を除去することで最終的に前記共有秘密情報を生成する第2生成手段と、を有することを特徴とする。
【0032】
前記第1通信器および前記第2通信器の各々は、さらに、前記共有秘密情報を用いてユーザ信号の暗号化および復号化を行う秘匿通信手段を有する。
【0033】
本発明の実施形態によれば、予め生成された複数の共有秘密情報を格納する格納手段を更に有し、前記共有秘密情報を更新するときには前記格納された複数の共有秘密情報から1つを選択することができる。また、複数の安全度ごとに予め生成された複数の共有秘密情報を格納する格納手段を更に有し、前記共有秘密情報を更新するときには、入力された安全度に対応して前記格納された複数の共有秘密情報から1つを選択することができる。
【0034】
本発明の好ましい実施例によれば、前記複数の通信チャネルは光ファイバ伝送路に多重され、前記共通秘密情報は量子暗号鍵配布技術を用いて生成される。特に、前記第2生成手段は秘匿増強処理を実行し、前記安全度制御手段は、前記安全度に応じて前記秘匿増強処理における盗聴可能性を有する情報量の割合を変化させることが望ましい。
【0035】
前記第1通信器は、前記安全度制御手段の制御に従って、前記一の通信チャネルの光パルスの平均光子数を変化させる可変光減衰手段をさらに有することができる。
【発明の効果】
【0036】
本発明によれば、第1通信器と第2通信器との間で共有された第3秘密情報から、前記安全度に応じて決定される盗聴可能性を有する情報量を除去することで最終的に共有される共有秘密情報を生成するので、ユーザの要求に応じた安全性と情報量とを有する共有秘密情報(共通暗号鍵)を生成することができる。すなわち、更新する共通暗号鍵の安全度や鍵長/鍵更新速度をユーザの要求に従って設定することができ、さらにユーザの要求に応じた課金を行うこともできる。
【発明を実施するための最良の形態】
【0037】
1.PNSを想定したシミュレーション
以下、盗聴者EveがPNS攻撃を行うものと想定して本発明の基本的動作を説明する。他の盗聴方法を想定しても同様である。
【0038】
図1(A)はシミュレーションシステムを示すブロック図であり、(B)はそのシミュレーション結果を示すグラフである。ここでは、AliceとBobとの間にPNSを行う盗聴者Eveが介在し、伝送距離10km、伝送損失0.25dB/km、Bobの誤り率5%固定とする。ただし、図1(B)のグラフでは、平均光子数の増大にしたがって増大するBobの情報量を基準としている。
【0039】
図1(B)に示すように、Bobが受信する情報量に対して、Eveが盗聴したとみなされる情報量(安全でない鍵量)の割合は平均光子数が増大するに従って増大し、平均光子数1.0ではBobの情報量とEveの情報量とがほぼ等しくなる。言い換えれば、平均光子数が増大するに従って、PNSに対して安全な鍵量は減少し、平均光子数1.0になるとBobは安全な鍵情報を受信できなくなる。
【0040】
このようなPNSに対抗しようとすれば、平均光子数を1.0より小さく設定し、秘匿増強処理において、漏洩した可能性のある情報量eGを除去することで安全な最終鍵を得る必要がある。しかしながら、PNSクラスの攻撃に対抗する安全性が要求されない場合には、Eveの情報量eGを全て除去する必要はない。後述するように、平均光子数μと振り落とされる情報の割合eDとを変更することで、ユーザの要求に応じて安全性と鍵量(鍵生成速度)との間の調整を図ることができる。
【0041】
2.安全度/鍵量の制御
図2は平均光子数に対する秘匿増強後の鍵量および安全度の変化を示すグラフである。図2において、曲線10はPNSを想定した場合の完全秘匿増強後の鍵量の平均光子数に対する変化、曲線11は秘匿増強を行わない場合の鍵量の平均光子数に対する変化、曲線11aは0.5e秘匿増強後の鍵量の平均光子数に対する変化、曲線12は曲線11に対応する安全度の変化、曲線12aは曲線11aに対応する安全度の変化をそれぞれ示す。ただし、μは平均光子数、IBはBobの情報量(鍵量)、IEVEはEveの情報量(盗聴の可能性がある鍵量)である。
【0042】
完全秘匿増強後の鍵量(曲線10)はμ×(IB−IEVE)と表現でき、これはF=G−eGに対応する。すなわち、完全秘匿増強とは、Eveに盗まれた情報量を完全に排除する秘匿増強という。秘匿増強なしの鍵量(曲線11)はμ×IBと表現でき、これはF=Gに対応する。秘匿増強により除去される情報量をeD×Gとすれば、eDを0とeとの間で変化させることで曲線11と曲線10との間の任意の曲線で示される秘匿増強設定を選択することができる。図2の曲線11aは、eD=0.5とした場合の鍵量の変化を示す。eDを任意の値に設定することで、曲線10より更に鍵量を減少させ(安全性を上昇させ)、あるいは曲線11より更に鍵量を増大させる(安全性を低下させる)ことも可能である。
【0043】
ここで、安全度を(安全な鍵量)/(秘匿増強後の残留鍵量)と定義し、(安全な鍵量)=(1−e)G、(秘匿増強後の残留鍵量)=(1−eD)Gとすることで、安全度=(1−e)/(1−eD)を得る。Eveに盗まれた情報量を完全に排除する完全秘匿増強の場合には、eD=eとなり、安全度=1である。秘匿増強なしの場合には、eD=0であり、安全度=1−eとなる。このように安全度を定義すれば、eDを選択することで設定された鍵量曲線に対応する安全度の曲線を得ることができる。図2における曲線12aはeD=0.5とした場合の安全度の変化を示す。このように、ユーザの要求に応じた安全性で暗号鍵を更新できるように、秘匿増強処理での振り落とし情報量eD×Gおよび/または平均光子数μを決定することができる。なお、セキュリティパラメータSを変更することで秘匿増強設定を選択することもできる。以下、本発明を適用した通信システムについて具体的に説明する。
【0044】
3.第1実施形態
図3は本発明の第1実施形態による通信システムの概略的構成を示すブロック図である。本実施形態では送信器100と受信器200とが光ファイバ伝送路300を介して接続されている場合を例示する。
【0045】
送信器100は、量子暗号鍵配布(QKD)部110、安全度制御部120および暗号化/符号化部130を含んで構成される。QKD部110にはQKD送信器(TX)111および可変光減衰器(ATT)112が設けられている。受信器200は、量子暗号鍵配布(QKD)部210、安全度制御部220および暗号化/符号化部230を含んで構成される。QKD部210にはQKD受信器(RX)211が設けられている。
【0046】
安全度制御部120は、ユーザ要求に応じてTX111の秘匿増強設定およびATT112の減衰量を制御し、安全度制御部220は、RX211に対して、TX111と同様の秘匿増強処理制御を行う。
【0047】
送信器100のTX111は、既に述べたように、鍵の素となる乱数に従って光パルスを位相変調し、位相変調された光パルスがATT112によって減衰し、量子チャネル301を通して受信器200へ送信される。受信器200のRX211は、到達した光パルスを乱数によって位相変調し、干渉によって生鍵を検出する。続いて、TX111とRX211とは、古典チャネル302を通して鍵生成のためのシーケンス、すなわち上述した基底照合および誤り訂正処理が実行され、さらに本発明による安全度制御に従った秘匿増強処理が実行される。
【0048】
送信器100の安全度制御部120と受信器200の安全度制御部220とは古典チャネル303を通して通信可能である。送信器100の安全度制御部120は、ユーザの要求に応じてTX111の秘匿増強設定(eDの選択)を行い、更に必要に応じてATT112の減衰量を制御する。選択されたeDは古典チャネル303を通して受信側の安全度制御部220へ通知される。受信器200の安全度制御部220は、通知されたeDに従ってRX211における秘匿増強処理を制御する。
【0049】
こうしてTX111およびRX211により最終的な暗号鍵が生成されると、安全度制御部120および220はそれぞれ暗号化/復号化部130および230へ最終の暗号鍵を出力する。この暗号鍵を用いてユーザ信号の暗号化/復号化が行われる。このようにユーザの要求する安全性や鍵量あるいは鍵生成速度に従って暗号鍵を更新することができるために、状況に応じたユーザの判断を暗号鍵の生成に反映させることができ、適切な暗号鍵の更新が可能となる。
【0050】
なお、受信側のユーザが安全度制御部220にユーザ要求を与えてもよい。安全度制御部220は、安全度制御部120と同様に、ユーザの要求に応じてRX211の秘匿増強設定(eDの選択)を行い、選択されたeDを古典チャネル303を通して送信側の安全度制御部120へ通知する。送信器100の安全度制御部120は、通知されたeDに従ってRX111における秘匿増強処理を制御する。以下同様にして、TX111およびRX211により最終的な暗号鍵が生成されると、安全度制御部120および220はそれぞれ暗号化/復号化部130および230へ最終の暗号鍵を出力し、この暗号鍵を用いてユーザ信号の暗号化/復号化が行われる。
【0051】
なお、上述したところから、本発明は量子暗号鍵配布システム一般に適用可能であることは明白であり、後述する実施例で示されるPlug & Play方式に限定されるものではなく、単一伝送方式であっても同様に適用可能である。
【0052】
また、上述した、TX111およびRX211で実行される鍵生成プロセス、安全度制御部120および220の制御、および暗号化/復号化部130および230の動作は、プログラム制御プロセッサあるいはコンピュータ上で対応するプログラムを実行することにより実現することもできる。
【実施例1】
【0053】
本発明の第1実施例による秘匿通信システムとして、Plug & Play方式の量子暗号鍵配布(QKD)システムを説明する。
【0054】
図4(A)は送信側TX111の一例を示すブロック図、(B)は受信側RX211の一例を示すブロック図、(C)は送信側および受信側の暗号化/復号化部130および230の一例を示すブロック図である。
【0055】
まず受信側RX211において、ドライバ211−11により駆動されたレーザ光源211−10は光パルスPを出射し、偏光保存光サーキュレータ211−7を通して偏光保存光カプラ211−6により2分割される。分割された一方の光パルスP1は短いパスを通って直接PBS211−1へ送られ、分割された他方の光パルスP2は長いパスに設けられた位相変調器211−2を通してPBS211−1へ送られる。これら光パルスP1およびP2はPBS211−1で合波され、ダブルパルスとして波長合分波器(図示せず)および量子チャネル301を通して送信器100へ送信される。
【0056】
送信器100において、波長合分波器(図示せず)およびATT112を通して到来したダブルパルスP1およびP2は、ファラデーミラー111−1で偏光を90度回転させて折り返し、光パルスP2のみが位相変調器111−2によって変調されて受信器200へ送信される。位相変調器111−2はドライバ111−3によって駆動され、位相変調の深さは乱数発生部111−4で発生した乱数によって0、π/2、π、3/2 πの4位相のいずれかとなる。以下、位相変調された光パルスP2をP2*aと記す。
【0057】
受信側RX211のPBS211−1は、送信器100から受信した光パルスP1およびP2*aの偏光状態が90度回転していることから、これら受信パルスをそれぞれ送信時とは異なるパスへ導く。すなわち受信した光パルスP1は長いパスを通り、位相変調器211−2で位相変調され、位相変調された光パルスP1*bが光カプラ211−6に到達する。位相変調器211−2はドライバ211−3により駆動され、その際の位相変調の深さは乱数生成器211−4で発生した乱数によって0、π/2の2位相のいずれかとなる。他方、光パルスP2*aは送信時とは異なる短いパスを通って同じく光カプラ211−6に到達する。
【0058】
こうしてTX111で位相変調された光パルスP2*aとRX211で位相変調された光パルスP1*bとが干渉し、その結果が光子検出器APD211−8またはAPD211−9により検出される。それぞれの検出データは受信回路211−12に順次格納され、生鍵として鍵生成部211−5へ出力される。
【0059】
TX111の鍵生成部111−5とRX211の鍵生成部211−5とは、古典チャネル302を通して、既に述べたBB84プロトコルに従って基底照合および誤り訂正を実行し、さらに安全度制御部120および220からの制御信号(Cont.)に従って本実施例による秘匿増強処理を実行することで、ユーザ要求に応じた暗号鍵を共有する。こうして更新された暗号鍵が暗号化/復号化部130および230にそれぞれ出力される。
【0060】
更新された暗号鍵を用いて、暗号化/復号化部130はユーザ信号を暗号化し古典チャネル304を通じて受信器200へ伝送し、受信器200の暗号化/復号化部230は受信した暗号化信号を更新された暗号鍵を用いて復号化する。本実施例では、暗号化/復号化部130及び230は、図4(C)に示すようなAES(Advanced Encryption Standard)暗号に従い、鍵長はユーザ要求に応じて128/192/256ビットから選択される。また、本実施例では、暗号化通信は双方向通信であるので、暗号化/復号化部230で暗号化して伝送したユーザ信号を暗号化/復号化部130で復号化するという使い方もできる。このときユーザの更新する暗号鍵に対する要求は、安全度制御部220から古典チャネル303を通じて送信器100に含まれる安全度制御部120へ伝えられ、更新時にその要求が反映される。
【実施例2】
【0061】
本発明の第2実施例による秘匿通信システムとして、Vernam暗号およびPBSループを用いたPlug & Play方式の量子暗号鍵配布システムを説明する。
【0062】
図5(A)は送信側および受信側の暗号化/復号化部130および230の他の例を示すブロック図、(B)は送信側TX111の他の例を示すブロック図である。本実施例では、図5(A)に示すように、本実施例における暗号化/復号化部130および230は、Vernam暗号を用いている。Vernam暗号は、平文と暗号化の鍵が全く同じ長さの暗号であるために、通信速度は鍵の更新速度とほぼ等しくなる。暗号化/復号化部130および230は、安全度制御部120、220によって通知される鍵更新速度情報によってデータ通信の速度を制御してVernam暗号によって秘匿通信を行う。安全度制御部120、220は、ユーザの要求に基づいて更新する鍵の鍵更新速度を設定する。
【0063】
送信側TX111は、図5(B)に示すように、交互シフト位相変調型のQKD送信器である(非特許文献5参照)。上述したように、送信器100から到来したダブルパルスP1およびP2はPBS111−6でさらに分離され、時計回りのダブルパルスP1CWおよびP2CWと反時計回りのダブルパルスP1CCWおよびP2CCWの4つのパルス、すなわちカルテットパルスとなって位相変調器111−2をそれぞれ反対方向で通過し、それぞれ出射したポートとは反対のPBSポートへ入射する。
【0064】
位相変調器111−2は、時計回りのダブルパルスの後方のパルスP2CWを前方のパルスP1CWに対して位相変調するとともに、反時計回りのダブルパルスと時計回りのダブルパルスとの間にπの位相差を与える。位相変調器111−2は、乱数生成器111−4の乱数に従ってドライバ111−3により駆動され、カルテットパルスの各パルスに位相変調を施す。
【0065】
このように位相変調されたカルテットパルスはPBS111−6で合波され再びダブルパルスに戻る。上述したように後方のパルスのみが伝送情報により位相変調されたので出射ダブルパルスはP1およびP2*aとなる。このときPBSループ入射時に対して出射時は偏波が90°回転しているので、結果的にファラデーミラーと同等の効果が得られる。その他の構成および動作は第1実施例と同様であるから説明は省略する。
【0066】
4.第2実施形態
上述した第1実施形態では、ユーザ要求に応じた安全度や鍵量/鍵生成速度で最終的な暗号鍵が生成されるが、本発明の第2実施形態では、ユーザからの要求を予め受け付けておき、事前に固定長の暗号鍵を複数個生成して格納しておく。すなわち、予めユーザ要求に応じた安全度に対応する暗号鍵を複数個生成して厳重に格納しておき、暗号鍵を更新する際に、格納された複数の暗号鍵から1つを選択して暗号化/復号化部へ出力する。ただし、Vernam暗号の場合は鍵とデータとが同じ長さとなり鍵は固定長ではない。
【0067】
本発明の第2実施形態によれば、予め定められた安全度の暗号鍵を複数個上述したように生成しておき、安全度制御部120および220にはこれら複数の暗号鍵を格納する鍵ストレージが設けられている。安全度制御部120および220は、ユーザ要求に従って指定された安全度の暗号鍵を1つ選択して暗号化/復号化部130および230へそれぞれ出力する。予め暗号鍵が保管されているので、迅速な鍵更新が可能となる。なお鍵ストレージはタンパレジスタント対応である。その他安全度に応じた鍵の生成、秘匿通信方法については第1実施形態と同様である。
【0068】
5.第3実施形態
図6は本発明の第2実施形態による通信システムの概略的構成を示すブロック図である。本実施形態によるシステムは複数のユーザにそれぞれの要求に応じた安全度の秘匿通信を提供することができる。
【0069】
送信器101は、量子暗号鍵配布(QKD)部110、安全度制御部122、暗号化/符号化部132および鍵サーバ140を含んで構成される。QKD部110は第1実施形態と同様にQKD送信器(TX)111および可変光減衰器(ATT)112が設けられている。受信器201は、量子暗号鍵配布(QKD)部210、安全度制御部222、暗号化/符号化部232および鍵サーバ240を含んで構成される。QKD部210は第1実施形態と同様にQKD受信器(RX)211が設けられている。安全度制御部122および222と暗号化/復号化部133および233とは複数ユーザ1〜Mの秘匿通信に対応したものとなっている。
【0070】
鍵サーバ140および240には、予め定められた複数の安全度にそれぞれ対応した複数の暗号鍵が上述したように生成され、安全度毎に厳重に保存管理されている。これらの安全度は予め複数のユーザ1〜Mにより要求されたものであってもよい。暗号化/復号化部133および233は、ユーザからのユーザ信号を受信すると、対応するユーザの要求に従って暗号鍵を鍵サーバ140および240から選択し、選択された暗号鍵を用いてユーザ信号を暗号化/復号化する。
【0071】
図7は第3実施形態によるシステムの鍵サーバの構成を示すブロック図である。図7に示すように、鍵サーバ140および240は、それぞれ安全度に対応した複数の鍵ストレージ42、43を有し、安全度を指定された選択部41を通して暗号鍵が対応する鍵ストレージに登録され、安全度が選択された選択部44によって対応する鍵ストレージから暗号鍵が選択され出力される。当然のことながら、鍵ストレージ42、43はタンパレジスタント対応となっている。その他安全度に応じた鍵の生成、秘匿通信方法については第1実施形態と同様である。
【0072】
6.適用例
上述したように、ユーザ要求に応じた安全度や鍵量/鍵生成速度で最終的な暗号鍵が生成され、その暗号鍵を用いてユーザ信号の暗号化および復号化が行われる。本発明によるシステムでは、このような安全度や鍵量/鍵生成速度の指定に対して安全度や鍵量/鍵生成速度に応じた課金を行うことができる。
【0073】
システム構成としては、図3あるいは図6の送信器および受信器に課金機能を設けることができる。あるいは、図示されていないシステム管理装置に課金機能を設けてもよい。
【0074】
なお、上述した、TX111およびRX211で実行される鍵生成プロセス、安全度制御部122および222の制御、暗号化/復号化部132および232の動作および課金機能は、プログラム制御プロセッサあるいはコンピュータ上で対応するプログラムを実行することにより実現することもできる。
【産業上の利用可能性】
【0075】
量子暗号鍵配布技術に代表される共通暗号鍵配布技術を用いた秘匿情報通信に利用可能である。量子暗号鍵配布技術は、Plug & Play方式に限らず、単一方向型でも構わない。量子暗号鍵配布プロトコルは、BB84プロトコルに限らず、B92でもE91でも問題なく、上記実施例は本発明を限定するものではない。
【図面の簡単な説明】
【0076】
【図1】(A)はシミュレーションシステムを示すブロック図であり、(B)はそのシミュレーション結果を示すグラフである。
【図2】平均光子数に対する秘匿増強後の鍵量および安全度の変化を示すグラフである。
【図3】本発明の第1実施形態による通信システムの概略的構成を示すブロック図である。
【図4】(A)は送信側TX111の一例を示すブロック図、(B)は受信側RX211の一例を示すブロック図、(C)は送信側および受信側の暗号化/復号化部130および230の一例を示すブロック図である。
【図5】(A)は送信側および受信側の暗号化/復号化部130および230の他の例を示すブロック図、(B)は送信側TX111の他の例を示すブロック図である。
【図6】本発明の第2実施形態による通信システムの概略的構成を示すブロック図である。
【図7】第3実施形態によるシステムの鍵サーバの構成を示すブロック図である。
【図8】BB84プロトコルによる量子暗号鍵配布方法の概念を示す模式図である。
【図9】一般的な量子暗号鍵生成の流れを示すフローチャートである。
【図10】量子暗号鍵配布システムにおける平均光子数と伝送可能距離との関係を盗聴方法別に概略的に示したグラフである。
【符号の説明】
【0077】
100 送信器
200 受信器
110 210 量子暗号鍵配布(QKD)部
111 量子暗号鍵配布送信器(TX)
211 量子暗号鍵配布受信器(RX)
112 可変光減衰器(ATT)
120、220、121、221 安全度制御部
130、230、132、232 暗号化/復号化部
140、240 鍵サーバ
41 選択部
42、43 鍵ストレージ
44 選択部
300 光ファイバ伝送路
301 量子チャネル
302〜305 古典チャネル
【特許請求の範囲】
【請求項1】
複数の通信チャネルにより接続された第1通信器と第2通信器との間で共有される共有秘密情報を生成する方法において、
a)前記共有すべき秘密情報に対してユーザが要求する安全度を入力し、
b)一の通信チャネルを通して前記第1通信器が送信した第1秘密情報と前記一の通信チャネルを通して前記第2通信器が受信した第2秘密情報とに基づいて、前記第1通信器と前記第2通信器との双方に第3秘密情報を生成し、
c)前記第3秘密情報から、前記安全度に応じて決定される盗聴可能性を有する情報量を除去することで最終的に前記共有秘密情報を生成する、
ことを特徴とする共有秘密情報の生成方法。
【請求項2】
前記共有秘密情報を更新するときには、前記b)およびc)を実行することを特徴とする請求項1に記載の共有秘密情報の生成方法。
【請求項3】
前記共有秘密情報を更新するときには、前記a)〜c)を実行することを特徴とする請求項1に記載の共有秘密情報の生成方法。
【請求項4】
前記共有秘密情報に要求された安全度に応じて、前記共有秘密情報を用いた通信に対して課金することを特徴とする請求項1−3のいずれかに記載の共有秘密情報の生成方法。
【請求項5】
複数の通信チャネルにより接続された第1通信器と第2通信器との間で秘匿通信に使用される共有秘密情報を共有する方法において、
a)共有すべき秘密情報に対してユーザが要求する安全度を入力し、
b)一の通信チャネルを通して前記第1通信器が送信した第1秘密情報と前記一の通信チャネルを通して前記第2通信器が受信した第2秘密情報とに基づいて、前記第1通信器と前記第2通信器との双方に第3秘密情報を生成し、
c)前記第3秘密情報から、前記安全度に応じて決定される盗聴可能性を有する情報量を除去することで共有秘密情報を生成し、
d)前記a)−c)を繰り返すことで複数の共有秘密情報を格納し、
e)前記秘匿通信に使用される共有秘密情報を更新するときには前記格納された複数の共有秘密情報から1つを選択する、
ことを特徴とする共有秘密情報を共有する方法。
【請求項6】
前記複数の共有秘密情報は複数の安全度毎に格納されることを特徴とする請求項5に記載の方法。
【請求項7】
複数の通信チャネルにより接続された第1通信器と第2通信器とを含む秘匿通信システムにおいて、
前記第1通信器および前記第2通信器の各々は、
共有秘密情報に対する安全度を入力する安全度制御手段と、
一の通信チャネルを通して前記第1通信器が送信した第1秘密情報と前記一の通信チャネルを通して前記第2通信器が受信した第2秘密情報とに基づいて、前記第1通信器と前記第2通信器との双方に第3秘密情報を生成する第1生成手段と、
前記第3秘密情報から、前記安全度に応じて決定される盗聴可能性を有する情報量を除去することで最終的に前記共有秘密情報を生成する第2生成手段と、
を有することを特徴とする秘匿通信システム。
【請求項8】
前記第1通信器および前記第2通信器の各々は、さらに、前記共有秘密情報を用いてユーザ信号の暗号化および復号化を行う秘匿通信手段を有することを特徴とする請求項7に記載の秘匿通信システム。
【請求項9】
予め生成された複数の共有秘密情報を格納する格納手段を更に有し、前記共有秘密情報を更新するときには前記格納された複数の共有秘密情報から1つを選択することを特徴とする請求項7に記載の秘匿通信システム。
【請求項10】
複数の安全度ごとに予め生成された複数の共有秘密情報を格納する格納手段を更に有し、前記共有秘密情報を更新するときには、入力された安全度に対応して前記格納された複数の共有秘密情報から1つを選択することを特徴とする請求項7に記載の秘匿通信システム。
【請求項11】
前記共有秘密情報に要求された安全度に応じて前記共有秘密情報を用いた秘匿通信に対して課金する課金手段を更に有することを特徴とする請求項7−10のいずれかに記載の秘匿通信システム。
【請求項12】
前記複数の通信チャネルは光ファイバ伝送路に多重され、前記共通秘密情報は量子暗号鍵配布技術を用いて生成されることを特徴とする請求項7に記載の秘匿通信システム。
【請求項13】
前記第2生成手段は秘匿増強処理を実行し、前記安全度制御手段は、前記安全度に応じて前記秘匿増強処理における盗聴可能性を有する情報量の割合を変化させることを特徴とする請求項12に記載の秘匿通信システム。
【請求項14】
前記第1通信器は、前記安全度制御手段の制御に従って、前記一の通信チャネルの光パルスの平均光子数を変化させる可変光減衰手段をさらに有することを特徴とする請求項12または13に記載の秘匿通信システム。
【請求項15】
前記第1通信器および前記第2通信器の各々は、さらに、前記共有秘密情報を用いてユーザ信号の暗号化および復号化を行う秘匿通信手段を有することを特徴とする請求項12に記載の秘匿通信システム。
【請求項16】
予め生成された複数の共有秘密情報を格納する格納手段を更に有し、前記共有秘密情報を更新するときには前記格納された複数の共有秘密情報から1つを選択することを特徴とする請求項12に記載の秘匿通信システム。
【請求項17】
複数の安全度ごとに予め生成された複数の共有秘密情報を格納する格納手段を更に有し、前記共有秘密情報を更新するときには、入力された安全度に対応して前記格納された複数の共有秘密情報から1つを選択することを特徴とする請求項12に記載の秘匿通信システム。
【請求項18】
前記共有秘密情報に要求された安全度に応じて前記共有秘密情報を用いた秘匿通信に対して課金する課金手段を更に有することを特徴とする請求項12−17のいずれかに記載の秘匿通信システム。
【請求項19】
複数の通信チャネルにより他の秘匿通信装置に接続された秘匿通信装置において、
共有秘密情報に対する安全度を入力する安全度制御手段と、
一の通信チャネルを通して前記他の秘匿通信装置へ送信した第1秘密情報と前記一の通信チャネルを通して前記他の秘匿通信装置が受信した第2秘密情報とに基づいて、前記他の秘匿通信装置との間で第3秘密情報を共有する第1生成手段と、
前記第3秘密情報から、前記安全度に応じて決定される盗聴可能性を有する情報量を除去することで最終的に前記共有秘密情報を生成する第2生成手段と、
を有することを特徴とする秘匿通信装置。
【請求項20】
複数の通信チャネルにより他の秘匿通信装置に接続された秘匿通信装置において、
共有秘密情報に対する安全度を入力する安全度制御手段と、
一の通信チャネルを通して前記他の秘匿通信装置が送信した第1秘密情報と前記一の通信チャネルを通して前記他の秘匿通信装置から受信した第2秘密情報とに基づいて、前記他の秘匿通信装置との間で第3秘密情報を共有する第1生成手段と、
前記第3秘密情報から、前記安全度に応じて決定される盗聴可能性を有する情報量を除去することで最終的に前記共有秘密情報を生成する第2生成手段と、
を有することを特徴とする秘匿通信装置。
【請求項21】
前記共有秘密情報を用いてユーザ信号の暗号化および復号化を行う秘匿通信手段をさらに有することを特徴とする請求項19または20に記載の秘匿通信装置。
【請求項22】
予め生成された複数の共有秘密情報を格納する格納手段を更に有し、前記共有秘密情報を更新するときには前記格納された複数の共有秘密情報から1つを選択することを特徴とする請求項19または20に記載の秘匿通信装置。
【請求項23】
複数の安全度ごとに予め生成された複数の共有秘密情報を格納する格納手段を更に有し、前記共有秘密情報を更新するときには、入力された安全度に対応して前記格納された複数の共有秘密情報から1つを選択することを特徴とする請求項19または20に記載の秘匿通信装置。
【請求項24】
前記共有秘密情報に要求された安全度に応じて前記共有秘密情報を用いた秘匿通信に対して課金する課金手段を更に有することを特徴とする請求項19−23のいずれかに記載の秘匿通信装置。
【請求項25】
コンピュータに、複数の通信チャネルにより接続された他の秘匿通信装置との間で共有される共有秘密情報を生成させるプログラムにおいて、
a)共有秘密情報に対する安全度を入力するステップと、
b)一の通信チャネルを通して前記他の秘匿通信装置へ送信した第1秘密情報と前記一の通信チャネルを通して前記他の秘匿通信装置が受信した第2秘密情報とに基づいて、前記他の秘匿通信装置との間で第3秘密情報を共有するステップと、
c)前記第3秘密情報から、前記安全度に応じて決定される盗聴可能性を有する情報量を除去することで最終的に前記共有秘密情報を生成するステップと、
を有することを特徴とするプログラム。
【請求項26】
コンピュータに、複数の通信チャネルにより接続された他の秘匿通信装置との間で共有される共有秘密情報を生成させるプログラムにおいて、
a)共有秘密情報に対する安全度を入力するステップと、
b)一の通信チャネルを通して前記他の秘匿通信装置が送信した第1秘密情報と前記一の通信チャネルを通して前記他の秘匿通信装置から受信した第2秘密情報とに基づいて、前記他の秘匿通信装置との間で第3秘密情報を共有するステップと、
c)前記第3秘密情報から、前記安全度に応じて決定される盗聴可能性を有する情報量を除去することで最終的に前記共有秘密情報を生成するステップと、
を有することを特徴とするプログラム。
【請求項27】
前記共有秘密情報を更新するときには、前記b)およびc)を実行することを特徴とする請求項25または26に記載のプログラム。
【請求項28】
前記共有秘密情報を更新するときには、前記a)〜c)を実行することを特徴とする請求項25または26に記載のプログラム。
【請求項29】
前記共有秘密情報に要求された安全度に応じて、前記共有秘密情報を用いた通信に対して課金することを特徴とする請求項25−28のいずれかに記載のプログラム。
【請求項1】
複数の通信チャネルにより接続された第1通信器と第2通信器との間で共有される共有秘密情報を生成する方法において、
a)前記共有すべき秘密情報に対してユーザが要求する安全度を入力し、
b)一の通信チャネルを通して前記第1通信器が送信した第1秘密情報と前記一の通信チャネルを通して前記第2通信器が受信した第2秘密情報とに基づいて、前記第1通信器と前記第2通信器との双方に第3秘密情報を生成し、
c)前記第3秘密情報から、前記安全度に応じて決定される盗聴可能性を有する情報量を除去することで最終的に前記共有秘密情報を生成する、
ことを特徴とする共有秘密情報の生成方法。
【請求項2】
前記共有秘密情報を更新するときには、前記b)およびc)を実行することを特徴とする請求項1に記載の共有秘密情報の生成方法。
【請求項3】
前記共有秘密情報を更新するときには、前記a)〜c)を実行することを特徴とする請求項1に記載の共有秘密情報の生成方法。
【請求項4】
前記共有秘密情報に要求された安全度に応じて、前記共有秘密情報を用いた通信に対して課金することを特徴とする請求項1−3のいずれかに記載の共有秘密情報の生成方法。
【請求項5】
複数の通信チャネルにより接続された第1通信器と第2通信器との間で秘匿通信に使用される共有秘密情報を共有する方法において、
a)共有すべき秘密情報に対してユーザが要求する安全度を入力し、
b)一の通信チャネルを通して前記第1通信器が送信した第1秘密情報と前記一の通信チャネルを通して前記第2通信器が受信した第2秘密情報とに基づいて、前記第1通信器と前記第2通信器との双方に第3秘密情報を生成し、
c)前記第3秘密情報から、前記安全度に応じて決定される盗聴可能性を有する情報量を除去することで共有秘密情報を生成し、
d)前記a)−c)を繰り返すことで複数の共有秘密情報を格納し、
e)前記秘匿通信に使用される共有秘密情報を更新するときには前記格納された複数の共有秘密情報から1つを選択する、
ことを特徴とする共有秘密情報を共有する方法。
【請求項6】
前記複数の共有秘密情報は複数の安全度毎に格納されることを特徴とする請求項5に記載の方法。
【請求項7】
複数の通信チャネルにより接続された第1通信器と第2通信器とを含む秘匿通信システムにおいて、
前記第1通信器および前記第2通信器の各々は、
共有秘密情報に対する安全度を入力する安全度制御手段と、
一の通信チャネルを通して前記第1通信器が送信した第1秘密情報と前記一の通信チャネルを通して前記第2通信器が受信した第2秘密情報とに基づいて、前記第1通信器と前記第2通信器との双方に第3秘密情報を生成する第1生成手段と、
前記第3秘密情報から、前記安全度に応じて決定される盗聴可能性を有する情報量を除去することで最終的に前記共有秘密情報を生成する第2生成手段と、
を有することを特徴とする秘匿通信システム。
【請求項8】
前記第1通信器および前記第2通信器の各々は、さらに、前記共有秘密情報を用いてユーザ信号の暗号化および復号化を行う秘匿通信手段を有することを特徴とする請求項7に記載の秘匿通信システム。
【請求項9】
予め生成された複数の共有秘密情報を格納する格納手段を更に有し、前記共有秘密情報を更新するときには前記格納された複数の共有秘密情報から1つを選択することを特徴とする請求項7に記載の秘匿通信システム。
【請求項10】
複数の安全度ごとに予め生成された複数の共有秘密情報を格納する格納手段を更に有し、前記共有秘密情報を更新するときには、入力された安全度に対応して前記格納された複数の共有秘密情報から1つを選択することを特徴とする請求項7に記載の秘匿通信システム。
【請求項11】
前記共有秘密情報に要求された安全度に応じて前記共有秘密情報を用いた秘匿通信に対して課金する課金手段を更に有することを特徴とする請求項7−10のいずれかに記載の秘匿通信システム。
【請求項12】
前記複数の通信チャネルは光ファイバ伝送路に多重され、前記共通秘密情報は量子暗号鍵配布技術を用いて生成されることを特徴とする請求項7に記載の秘匿通信システム。
【請求項13】
前記第2生成手段は秘匿増強処理を実行し、前記安全度制御手段は、前記安全度に応じて前記秘匿増強処理における盗聴可能性を有する情報量の割合を変化させることを特徴とする請求項12に記載の秘匿通信システム。
【請求項14】
前記第1通信器は、前記安全度制御手段の制御に従って、前記一の通信チャネルの光パルスの平均光子数を変化させる可変光減衰手段をさらに有することを特徴とする請求項12または13に記載の秘匿通信システム。
【請求項15】
前記第1通信器および前記第2通信器の各々は、さらに、前記共有秘密情報を用いてユーザ信号の暗号化および復号化を行う秘匿通信手段を有することを特徴とする請求項12に記載の秘匿通信システム。
【請求項16】
予め生成された複数の共有秘密情報を格納する格納手段を更に有し、前記共有秘密情報を更新するときには前記格納された複数の共有秘密情報から1つを選択することを特徴とする請求項12に記載の秘匿通信システム。
【請求項17】
複数の安全度ごとに予め生成された複数の共有秘密情報を格納する格納手段を更に有し、前記共有秘密情報を更新するときには、入力された安全度に対応して前記格納された複数の共有秘密情報から1つを選択することを特徴とする請求項12に記載の秘匿通信システム。
【請求項18】
前記共有秘密情報に要求された安全度に応じて前記共有秘密情報を用いた秘匿通信に対して課金する課金手段を更に有することを特徴とする請求項12−17のいずれかに記載の秘匿通信システム。
【請求項19】
複数の通信チャネルにより他の秘匿通信装置に接続された秘匿通信装置において、
共有秘密情報に対する安全度を入力する安全度制御手段と、
一の通信チャネルを通して前記他の秘匿通信装置へ送信した第1秘密情報と前記一の通信チャネルを通して前記他の秘匿通信装置が受信した第2秘密情報とに基づいて、前記他の秘匿通信装置との間で第3秘密情報を共有する第1生成手段と、
前記第3秘密情報から、前記安全度に応じて決定される盗聴可能性を有する情報量を除去することで最終的に前記共有秘密情報を生成する第2生成手段と、
を有することを特徴とする秘匿通信装置。
【請求項20】
複数の通信チャネルにより他の秘匿通信装置に接続された秘匿通信装置において、
共有秘密情報に対する安全度を入力する安全度制御手段と、
一の通信チャネルを通して前記他の秘匿通信装置が送信した第1秘密情報と前記一の通信チャネルを通して前記他の秘匿通信装置から受信した第2秘密情報とに基づいて、前記他の秘匿通信装置との間で第3秘密情報を共有する第1生成手段と、
前記第3秘密情報から、前記安全度に応じて決定される盗聴可能性を有する情報量を除去することで最終的に前記共有秘密情報を生成する第2生成手段と、
を有することを特徴とする秘匿通信装置。
【請求項21】
前記共有秘密情報を用いてユーザ信号の暗号化および復号化を行う秘匿通信手段をさらに有することを特徴とする請求項19または20に記載の秘匿通信装置。
【請求項22】
予め生成された複数の共有秘密情報を格納する格納手段を更に有し、前記共有秘密情報を更新するときには前記格納された複数の共有秘密情報から1つを選択することを特徴とする請求項19または20に記載の秘匿通信装置。
【請求項23】
複数の安全度ごとに予め生成された複数の共有秘密情報を格納する格納手段を更に有し、前記共有秘密情報を更新するときには、入力された安全度に対応して前記格納された複数の共有秘密情報から1つを選択することを特徴とする請求項19または20に記載の秘匿通信装置。
【請求項24】
前記共有秘密情報に要求された安全度に応じて前記共有秘密情報を用いた秘匿通信に対して課金する課金手段を更に有することを特徴とする請求項19−23のいずれかに記載の秘匿通信装置。
【請求項25】
コンピュータに、複数の通信チャネルにより接続された他の秘匿通信装置との間で共有される共有秘密情報を生成させるプログラムにおいて、
a)共有秘密情報に対する安全度を入力するステップと、
b)一の通信チャネルを通して前記他の秘匿通信装置へ送信した第1秘密情報と前記一の通信チャネルを通して前記他の秘匿通信装置が受信した第2秘密情報とに基づいて、前記他の秘匿通信装置との間で第3秘密情報を共有するステップと、
c)前記第3秘密情報から、前記安全度に応じて決定される盗聴可能性を有する情報量を除去することで最終的に前記共有秘密情報を生成するステップと、
を有することを特徴とするプログラム。
【請求項26】
コンピュータに、複数の通信チャネルにより接続された他の秘匿通信装置との間で共有される共有秘密情報を生成させるプログラムにおいて、
a)共有秘密情報に対する安全度を入力するステップと、
b)一の通信チャネルを通して前記他の秘匿通信装置が送信した第1秘密情報と前記一の通信チャネルを通して前記他の秘匿通信装置から受信した第2秘密情報とに基づいて、前記他の秘匿通信装置との間で第3秘密情報を共有するステップと、
c)前記第3秘密情報から、前記安全度に応じて決定される盗聴可能性を有する情報量を除去することで最終的に前記共有秘密情報を生成するステップと、
を有することを特徴とするプログラム。
【請求項27】
前記共有秘密情報を更新するときには、前記b)およびc)を実行することを特徴とする請求項25または26に記載のプログラム。
【請求項28】
前記共有秘密情報を更新するときには、前記a)〜c)を実行することを特徴とする請求項25または26に記載のプログラム。
【請求項29】
前記共有秘密情報に要求された安全度に応じて、前記共有秘密情報を用いた通信に対して課金することを特徴とする請求項25−28のいずれかに記載のプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2007−53590(P2007−53590A)
【公開日】平成19年3月1日(2007.3.1)
【国際特許分類】
【出願番号】特願2005−237284(P2005−237284)
【出願日】平成17年8月18日(2005.8.18)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成16年度、独立行政法人情報通信研究機構、「量子暗号技術の研究開発」委託研究、産業再生法第30条の適用を受ける特許出願
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成19年3月1日(2007.3.1)
【国際特許分類】
【出願日】平成17年8月18日(2005.8.18)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成16年度、独立行政法人情報通信研究機構、「量子暗号技術の研究開発」委託研究、産業再生法第30条の適用を受ける特許出願
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]