通信システム及び方法
【課題】
1つの送信装置と複数の受信装置を有するPONシステムに、光通信量子暗号通信を適用した通信システムを実現する。
【解決手段】
1つの送信装置と複数の受信装置を有するPONシステムにおいて、送信装置はY−00量子暗号を適用した複数の受信装置ごとに共通する暗号鍵を対応付けて管理する管理手段を有する。ある受信装置へデータを送信する場合、管理手段を用いて受信装置に対応付けられた暗号鍵を選択し、その選択した暗号鍵を用いてRunning鍵を発生し、Running鍵の値に応じて送信データの多値レベル信号を生成する。Y−00量子暗号を適用した受信装置は、送信装置で管理される共通の暗号鍵を用いて、受信用擬似乱数生成部でRunning鍵を生成し、そのRunning鍵の値に応じて、光電変換器で変換された受信データの多値レベル信号を生成する。
1つの送信装置と複数の受信装置を有するPONシステムに、光通信量子暗号通信を適用した通信システムを実現する。
【解決手段】
1つの送信装置と複数の受信装置を有するPONシステムにおいて、送信装置はY−00量子暗号を適用した複数の受信装置ごとに共通する暗号鍵を対応付けて管理する管理手段を有する。ある受信装置へデータを送信する場合、管理手段を用いて受信装置に対応付けられた暗号鍵を選択し、その選択した暗号鍵を用いてRunning鍵を発生し、Running鍵の値に応じて送信データの多値レベル信号を生成する。Y−00量子暗号を適用した受信装置は、送信装置で管理される共通の暗号鍵を用いて、受信用擬似乱数生成部でRunning鍵を生成し、そのRunning鍵の値に応じて、光電変換器で変換された受信データの多値レベル信号を生成する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信システム及び方法に係り、特に、光通信量子暗号(Y−00)を用いたPON(Passive Optical Network)システム及び通信方法に関する。
【背景技術】
【0002】
PON(Passive Optical Network) システム型のFTTH(Fiber to the Home)網を用いて、ブロードバンドのIP(Internet Protocol)通信を効率的に実現するイーサーネットPONシステムが実用化されている。EPON(Ethernet(登録商標) Passive Optical Network) システムは一般的に一つのOLT(Optical Line Terminal)から出力されるTDM方式の光信号を、光分配器で分配して複数のONU(Optical Network Unit)に提供する構成である。
【0003】
EPONシステムは下り方向にブロードキャスト特性を有するので、OLTから送出された下りフレームは全てのONUに伝達する。そのため、各ONUは自らに対して送信されたフレームのみを受信するようにフィルターされている。しかし、盗聴者(不正の加入者)はフレームのフィルターリング機能を変更し或いは偽造して他のONUになりすまし、他のONUに送信される重要な情報を簡単に見ることができてしまう。このようなEPON上の通信の安全性確保するために、例えば、特許文献1には、第1タイプのパケットを、第1のshortMACsecヘッダーと第1の所定のSAKで暗号化するステップと、第1タイプのパケットは、EPONを介してOLTから複数のONUの内の1つのONUに送信され、OLTからONUへ、第2のshortMACsecヘッダーを有する第2タイプのパケットを送信するステップと、第2タイプのパケットは、第2の所定のSAKで暗号化されている方法が開示されている。
【0004】
ところで、本出願人は、Yuen−2000量子暗号による光通信量子暗号(Y−00)通信を提唱している。この通信システムは、例えば特許文献2に開示されているように、光の量子ゆらぎ(量子ショット雑音)を変調によって拡散させ、盗聴者によって光信号を正確に受信できなくする通信技術であり、共通鍵量子暗号へ適用することが提唱されている。この共通鍵量子暗号は、2値の光信号を1つのセット(基底という)とし、この基底を複数M個用意し、何れの基底を使ってデータを送るかは暗号鍵に従う擬似乱数によって不規則に決める。現実的には光M値信号は量子ゆらぎによって識別ができないほど信号間距離が小さく設計されているので、盗聴者は受信信号からデータ情報を読みとることができず、盗聴を防ぐことができる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2010−158028公報
【特許文献2】特開2010−114662公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
上記のように、EPONシステムにはより安全性の高い情報の隠匿性が求められている。また、光通信量子暗号通信は盗聴防止の1つの手段として注目されているが、特許文献1及び2にはいずれも、1つの送信装置と複数の受信装置を持つEPONシステムへの光通信量子暗号通信の適用については示唆がない。
【0007】
本発明の目的は、1つの送信装置と複数の受信装置を有するシステムに、光通信量子暗号通信を適用した通信システムを実現することにある。
本発明は、より具体的には、光通信量子暗号通信を適用して、情報の隠匿性をより向上させることができるPONシステム及び送信方法を実現することにある。
【課題を解決するための手段】
【0008】
本発明に係る通信システムは、好ましくは、送信装置と、該送信装置に光伝送路を介して接続された複数mの受信装置を含む通信システムにおいて、
該送信装置は;
光通信量子暗号を適用した複数n(但しn≦m)の該受信装置ごとに共通する暗号鍵を対応付けて管理する管理手段と、ある受信装置へデータを送信する場合、該管理手段を用いて、該受信装置に対応付けられた該暗号鍵を選択する選択手段と、該選択手段によって選択された該暗号鍵を用いて、該受信装置へ送信するデータに対する多値レベルの光信号を制御する多値暗号処理部を有し、
該複数nの各受信装置は;光通信量子暗号を適用した装置であって、該送信装置から送信される光信号を受信して光電変換する光電変換器と、該送信装置で管理される共通の該暗号鍵を用いて、該光電変換器で変換された受信データを二値信号に復号する多値復号化処理部を有する、ことを特徴とする通信システムとして構成される。
【0009】
好ましい例において、前記送信装置の前記多値暗号処理部は、
前記選択手段によって選択された該暗号鍵を用いてRunning鍵を発生する送信用擬似乱数生成部と、送信するデータに対して、該送信用擬似乱数生成部で発生される該Running鍵の値に応じて多値光信号を生成する多値光生成部を有し、
前記受信装置の前記多値復号化処理部は、該送信装置で管理される共通の暗号鍵を用いてRunning鍵を生成する受信用擬似乱数生成部と、該受信用擬似乱数生成部によって発生されるRunning鍵の値に応じて、該光電変換器で変換された受信データの識別用多値閾値信号を生成する閾値生成部と、該閾値生成部で生成された該識別用多値閾値に従い多値信号を復号する復号処理部とを有する。
【0010】
また、好ましくは、上記通信システムにおいて、前記管理手段は、光通信量子暗号を適用した受信装置のタイプ(第1タイプ)と、光通信量子暗号を適用しない受信装置のタイプ(第2タイプ)を登録し、かつ、該第1タイプの受信装置について、それぞれの受信装置が用いる共通の暗号鍵を指定する情報を対応付けて登録する管理テーブルを有する。
【0011】
また、好ましくは、上記通信システムにおいて、前記管理テーブルに登録された前記受信装置のタイプに従って、前記多値暗号処理部からの出力である多値レベルの光信号を通す伝送ラインを選択するか、又は前記多値暗号処理部を通さない伝送ラインを選択するセレクタを有する。
【0012】
また、好ましくは、上記通信システムにおいて、前記通信システムはPONシステムであり、
前記送信装置はOLTであり、前記複数の受信装置は、該光伝送路に光分配器を介して接続されるONUである。
【0013】
本発明に係る通信方法は、好ましくは、送信装置から光伝送路を介して該複数mの受信装置へデータを送信する通信方法であって、
該送信装置において;
光通信量子暗号を適用した複数n(但しn≦m)の該受信装置ごとに共通する暗号鍵を対応付けて管理するステップと、
ある受信装置へデータを送信する場合、該受信装置に対応付けられた該暗号鍵を選択するステップと、
該選択された該暗号鍵を用いてRunning鍵を発生するステップと、
送信するデータに対して、該Running鍵の値に応じて多値レベル信号を生成するステップを有し、
光通信量子暗号を適用した該複数nの受信装置において;
該送信装置から送信される光信号の送信データを受信して光電変換するステップと、
該送信装置で管理される共通の暗号鍵を用いてRunning鍵を発生するステップと、
発生された該Running鍵の値に応じて、該光電変換された受信データの識別用多値閾値信号を生成するステップと、該識別用多値閾値に従い多値信号を復号するステップを有する、ことを特徴とする通信方法として構成される。
【発明の効果】
【0014】
本発明によれば、光通信量子暗号(Y−00)を適用することで情報の隠匿性を一層向上させた、1つの送信装置と複数の受信装置を持つPONシステムのような通信システムを実現することが可能である。
【図面の簡単な説明】
【0015】
【図1】一実施例によるPONシステムの概略を示す図。
【図2】一実施例によるY−00量子暗号を用いたPONシステムの構成を示す図。
【図3】一実施例のOLT11における多値暗号処理の構成を示すブロック図。
【図4】一実施例のOLTにおけるONUの管理テーブルの構成例を示す図。
【発明を実施するための形態】
【0016】
以下、図面を参照して本発明の一実施例について説明する。
まず、図1に示すPONシステムを参照して、本発明の原理について説明する。
このPONシステムは、1台のOLT(Optical Line Terminal)11と、複数のONU(Optical Network Unit)131〜13m(総じて13と示す)とを、光伝送路及び光分配器(光スプリッタ或いはスターカプラともいう)12を介して接続して構成される。
複数のONU13には、Y−00量子暗号を適用したもの(ここではY−00ONUという)と、それを適用していないもの(従来ONUという)が含まれる。例えば、ONU131,133、13mはY−00ONUであるが、ONU132は従来OUNである。これらは、OLT11が有する管理テーブル(図4参照)で管理される。
因みに、従来ONUはY−00量子暗号が適用されていないので、高度な情報の隠匿性が確保されない。従来ONUは、例えば論理レベルでの特別なアルゴリズムを用いた情報処理によるか、又は上記特許文献1に記載されたセキュリティの確保である。
【0017】
OLT11においてパケット(下りパケット)Pを送出する場合、そのパケットPは、対応するONU13との間でそれぞれ共有されたn個のいずれかの暗号鍵K(K1〜Kn)を用いて暗号化されて、光伝送路へ送出される。例えば、パケットP1、P2は暗号鍵K1、K2で暗号化されるが如きである。なお、いずれのY−00ONU宛てでもないパケットについては、これらの暗号鍵で暗号化されない。
【0018】
ONU13では、自身の付与された共通の暗号鍵Kiを用いて受信したパケットを復号化する。この時、自分のONU宛てでないパケットについては、共通暗号鍵Kiが一致しないので、送信データを正しく復号化することが出来ない。なお、上りパケットについても同様に、各ONUとOLT11との間で共有された共通暗号鍵を用いて暗号化して、OLT1へ送信することにより、情報の秘匿性を向上させことが出来る。
【0019】
図2は、Y−00量子暗号を用いたPONシステムにおける、主としてOLTとONUの多値暗号処理部の構成を示す。図1に示したONU132は従来ONUなので、図2には示されていない。図2の、光伝送路19を挟んで、左側は送信装置のOLT11、右側は受信装置の複数のY−00ONU13である。
【0020】
OLT11は、Y−00ONUの台数n分の暗号鍵Kを管理しており、暗号鍵Kの入力により擬似乱数を生成してRunning鍵を発生する送信用擬似乱数生成部112と、1または0の送信データを発生する送信データ発生部114と、送信データに対してRunning鍵の値に応じて多値レベルのアナログ信号(多値レベル信号)を生成する多値光生成部113を有して構成される。
【0021】
受信側のY−00ONU131,133は多値復号化処理部であり、光伝送路19及び光分配器12を通過した光信号を受信して光電変換する光電変換器1313、1333と、OLT11と共有された暗号鍵Kの入力により送信側擬似乱数生成部102と、同期がとられた同一のRunning鍵を発生する受信側の擬似乱数生成部1312、1332と、閾値生成部1314、1334を有して構成される。(なお、Y−00ONU131,133は同じ構成なので、以下、Y−00ONU131側の符号のみを引用する)。閾値生成部1314は、光電変換器1313で受信した光信号を擬似乱数生成部1312から生成されたRunning鍵を用いて多値信号判定用の受信閾値を生成する。復号処理部1315は受信閾値に従い、1と0との判定(弁別)を行って受信データを出力する。
【0022】
このような構成のPONシステムにおいて、OLT11の送信データ発生部114で発生した送信データは、多値光生成部113でRunning鍵の値に従って多値光信号として生成され、光伝送路19及び光分配器12を通って、全てのONU13へ送信される。
ONU123では、受信した光多値信号は光電変換器1313で光電変換される。更に、Y−00ONUのうち共通の暗号鍵K1を有するY−00ONU131では、OLT11で暗号化に用いられたものと同じ暗号鍵K1を用いて、擬似乱数生成部1312でRunning鍵を発生する。そのRunning鍵を用いて閾値生成部1314で受信閾値を生成し、復号処理部1315で受信データとして判別して、出力する。この場合、指定された暗号鍵Kを持たないONU、即ち他のY−00ONUや従来のNOUでは、OLT11側で使用した暗号鍵Kと一致しないので、光電変換されたデータは復号化されないので、送信データの秘匿性を向上させことが出来る。
【0023】
図3はOLTにおける多値暗号処理の構成ブロックを示す。
OLT11は、送信データに対する論理的な暗号処理を行う上位層101と、送信データの送信先アドレスや送信元アドレスの指定、フレーム化処理、アクセス管理などの処理を行うMAC(Media Access Control)102と、Y−00多値暗号処理を行う物理層103から構成される。上位層101における論理的な暗号処理は本発明には直接関係しないが、従来の暗号アルゴリズムを用いた処理が行われる。
【0024】
本発明の特徴の1つとして、各ONU13の暗号鍵の管理があげられる。そのために、MAC102は、図4に示すような、ONU管理テーブル40を有する。このONU管理テーブル40は、m台全てのONU13について、そのONUタイプとY−00暗号鍵を指定する番号を登録する。ONUタイプは、ONU13がY−00量子暗号対応のONU(Y−00ONU)か、又はそれ以外のONU(従前ONU)を表す。Y−00ONUには、暗号鍵を指定する番号が登録される。ここで、ONU番号#1〜#mは、各ONU13に固有のMACアドレスに関連付けられたものであるが、各ONUのMACアドレスが直接登録されてもよい。
【0025】
一方、各Y−00ONUは、ONU管理テーブル40に登録された暗号鍵を有し、その暗号鍵で生成されたRunning鍵を用いて、受信データの復号化処理を行う。
物理層103は、主に、多値暗号処理部104と、セレクタ105を有する。多値暗号処理部104は図2の符号11の部分に対応する。セレクタ105は、ONU管理テーブル40のONUタイプ選択の信号107に基づいて、MAC102からの送信データの伝送ライン108又は109のいずれかを選択する。
【0026】
さて、上位層101で作成された送信データは、MAC102に送られて、そこでフレーム化処理される。MAC102では更に、送信先アドレスを基にONU管理テーブル40が参照されて、送信先のONUのタイプが判別される。その結果、もし送信先が従来ONU(即ちOther)の場合、セレクタ105は、ONUタイプ選択信号107により伝送ライン109を選択して、送信データをそのまま送出する。
一方、送信先がY−00ONUの場合には、ONU管理テーブル40により送信先のONUに対応した暗号鍵Kiが選択されて、多値暗号処理部104で、図2に示したような、多値レベル信号が生成される。さらに、セレクタ105は、ONUタイプ選択信号107によって伝送ライン108を選択して、多値暗号処理部104から出力される多値レベル信号の送信データを送出する。
【0027】
本実施例によれば、1台のOLTに、複数のONU、とりわけY−00量子暗号を適用したY−00ONUと、それを適用していない従来ONUが混在したPONシステムにおいて、強固な情報の隠匿性を確保することができる。即ち、情報のセキュリティ確保のために従来から提唱されているような、OLT11における送信データの論理的な処理や、送信先の複数のONUのMACアドレスの管理に不具合があったとしても、Y−00量子暗号を適用したY−00ONUでは受信データの隠匿性を保つことが可能である。
【0028】
以上、光通信量子暗号を適用したPONシステムの例について説明したが、本発明はPONシステムに限らず、1つの送信装置と複数の受信装置が光通信路で接続される光通信量子暗号通信システムに適用可能である。また、時分割多重に限らず、波長多重方式においても、波長ごとに異なる鍵を用いるなどして、応用が可能である。
【符号の説明】
【0029】
11:OLT 12:光分配器 13、131、132、133〜13n:ONU
19:光伝送路 K1、K6、〜K19:暗号鍵 P1〜Pi:パケット
112:擬似乱数生成部 113:多値光生成部 114:送信データ発生部
1312、1332:擬似乱数生成部 1313、1333:光電変換器 1314,1334:閾値生成部 1315,1335:復号処理部
101:上位層 102:MAC 103:物理層 104:多値暗号処理部 105:セレクタ。
【技術分野】
【0001】
本発明は、通信システム及び方法に係り、特に、光通信量子暗号(Y−00)を用いたPON(Passive Optical Network)システム及び通信方法に関する。
【背景技術】
【0002】
PON(Passive Optical Network) システム型のFTTH(Fiber to the Home)網を用いて、ブロードバンドのIP(Internet Protocol)通信を効率的に実現するイーサーネットPONシステムが実用化されている。EPON(Ethernet(登録商標) Passive Optical Network) システムは一般的に一つのOLT(Optical Line Terminal)から出力されるTDM方式の光信号を、光分配器で分配して複数のONU(Optical Network Unit)に提供する構成である。
【0003】
EPONシステムは下り方向にブロードキャスト特性を有するので、OLTから送出された下りフレームは全てのONUに伝達する。そのため、各ONUは自らに対して送信されたフレームのみを受信するようにフィルターされている。しかし、盗聴者(不正の加入者)はフレームのフィルターリング機能を変更し或いは偽造して他のONUになりすまし、他のONUに送信される重要な情報を簡単に見ることができてしまう。このようなEPON上の通信の安全性確保するために、例えば、特許文献1には、第1タイプのパケットを、第1のshortMACsecヘッダーと第1の所定のSAKで暗号化するステップと、第1タイプのパケットは、EPONを介してOLTから複数のONUの内の1つのONUに送信され、OLTからONUへ、第2のshortMACsecヘッダーを有する第2タイプのパケットを送信するステップと、第2タイプのパケットは、第2の所定のSAKで暗号化されている方法が開示されている。
【0004】
ところで、本出願人は、Yuen−2000量子暗号による光通信量子暗号(Y−00)通信を提唱している。この通信システムは、例えば特許文献2に開示されているように、光の量子ゆらぎ(量子ショット雑音)を変調によって拡散させ、盗聴者によって光信号を正確に受信できなくする通信技術であり、共通鍵量子暗号へ適用することが提唱されている。この共通鍵量子暗号は、2値の光信号を1つのセット(基底という)とし、この基底を複数M個用意し、何れの基底を使ってデータを送るかは暗号鍵に従う擬似乱数によって不規則に決める。現実的には光M値信号は量子ゆらぎによって識別ができないほど信号間距離が小さく設計されているので、盗聴者は受信信号からデータ情報を読みとることができず、盗聴を防ぐことができる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2010−158028公報
【特許文献2】特開2010−114662公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
上記のように、EPONシステムにはより安全性の高い情報の隠匿性が求められている。また、光通信量子暗号通信は盗聴防止の1つの手段として注目されているが、特許文献1及び2にはいずれも、1つの送信装置と複数の受信装置を持つEPONシステムへの光通信量子暗号通信の適用については示唆がない。
【0007】
本発明の目的は、1つの送信装置と複数の受信装置を有するシステムに、光通信量子暗号通信を適用した通信システムを実現することにある。
本発明は、より具体的には、光通信量子暗号通信を適用して、情報の隠匿性をより向上させることができるPONシステム及び送信方法を実現することにある。
【課題を解決するための手段】
【0008】
本発明に係る通信システムは、好ましくは、送信装置と、該送信装置に光伝送路を介して接続された複数mの受信装置を含む通信システムにおいて、
該送信装置は;
光通信量子暗号を適用した複数n(但しn≦m)の該受信装置ごとに共通する暗号鍵を対応付けて管理する管理手段と、ある受信装置へデータを送信する場合、該管理手段を用いて、該受信装置に対応付けられた該暗号鍵を選択する選択手段と、該選択手段によって選択された該暗号鍵を用いて、該受信装置へ送信するデータに対する多値レベルの光信号を制御する多値暗号処理部を有し、
該複数nの各受信装置は;光通信量子暗号を適用した装置であって、該送信装置から送信される光信号を受信して光電変換する光電変換器と、該送信装置で管理される共通の該暗号鍵を用いて、該光電変換器で変換された受信データを二値信号に復号する多値復号化処理部を有する、ことを特徴とする通信システムとして構成される。
【0009】
好ましい例において、前記送信装置の前記多値暗号処理部は、
前記選択手段によって選択された該暗号鍵を用いてRunning鍵を発生する送信用擬似乱数生成部と、送信するデータに対して、該送信用擬似乱数生成部で発生される該Running鍵の値に応じて多値光信号を生成する多値光生成部を有し、
前記受信装置の前記多値復号化処理部は、該送信装置で管理される共通の暗号鍵を用いてRunning鍵を生成する受信用擬似乱数生成部と、該受信用擬似乱数生成部によって発生されるRunning鍵の値に応じて、該光電変換器で変換された受信データの識別用多値閾値信号を生成する閾値生成部と、該閾値生成部で生成された該識別用多値閾値に従い多値信号を復号する復号処理部とを有する。
【0010】
また、好ましくは、上記通信システムにおいて、前記管理手段は、光通信量子暗号を適用した受信装置のタイプ(第1タイプ)と、光通信量子暗号を適用しない受信装置のタイプ(第2タイプ)を登録し、かつ、該第1タイプの受信装置について、それぞれの受信装置が用いる共通の暗号鍵を指定する情報を対応付けて登録する管理テーブルを有する。
【0011】
また、好ましくは、上記通信システムにおいて、前記管理テーブルに登録された前記受信装置のタイプに従って、前記多値暗号処理部からの出力である多値レベルの光信号を通す伝送ラインを選択するか、又は前記多値暗号処理部を通さない伝送ラインを選択するセレクタを有する。
【0012】
また、好ましくは、上記通信システムにおいて、前記通信システムはPONシステムであり、
前記送信装置はOLTであり、前記複数の受信装置は、該光伝送路に光分配器を介して接続されるONUである。
【0013】
本発明に係る通信方法は、好ましくは、送信装置から光伝送路を介して該複数mの受信装置へデータを送信する通信方法であって、
該送信装置において;
光通信量子暗号を適用した複数n(但しn≦m)の該受信装置ごとに共通する暗号鍵を対応付けて管理するステップと、
ある受信装置へデータを送信する場合、該受信装置に対応付けられた該暗号鍵を選択するステップと、
該選択された該暗号鍵を用いてRunning鍵を発生するステップと、
送信するデータに対して、該Running鍵の値に応じて多値レベル信号を生成するステップを有し、
光通信量子暗号を適用した該複数nの受信装置において;
該送信装置から送信される光信号の送信データを受信して光電変換するステップと、
該送信装置で管理される共通の暗号鍵を用いてRunning鍵を発生するステップと、
発生された該Running鍵の値に応じて、該光電変換された受信データの識別用多値閾値信号を生成するステップと、該識別用多値閾値に従い多値信号を復号するステップを有する、ことを特徴とする通信方法として構成される。
【発明の効果】
【0014】
本発明によれば、光通信量子暗号(Y−00)を適用することで情報の隠匿性を一層向上させた、1つの送信装置と複数の受信装置を持つPONシステムのような通信システムを実現することが可能である。
【図面の簡単な説明】
【0015】
【図1】一実施例によるPONシステムの概略を示す図。
【図2】一実施例によるY−00量子暗号を用いたPONシステムの構成を示す図。
【図3】一実施例のOLT11における多値暗号処理の構成を示すブロック図。
【図4】一実施例のOLTにおけるONUの管理テーブルの構成例を示す図。
【発明を実施するための形態】
【0016】
以下、図面を参照して本発明の一実施例について説明する。
まず、図1に示すPONシステムを参照して、本発明の原理について説明する。
このPONシステムは、1台のOLT(Optical Line Terminal)11と、複数のONU(Optical Network Unit)131〜13m(総じて13と示す)とを、光伝送路及び光分配器(光スプリッタ或いはスターカプラともいう)12を介して接続して構成される。
複数のONU13には、Y−00量子暗号を適用したもの(ここではY−00ONUという)と、それを適用していないもの(従来ONUという)が含まれる。例えば、ONU131,133、13mはY−00ONUであるが、ONU132は従来OUNである。これらは、OLT11が有する管理テーブル(図4参照)で管理される。
因みに、従来ONUはY−00量子暗号が適用されていないので、高度な情報の隠匿性が確保されない。従来ONUは、例えば論理レベルでの特別なアルゴリズムを用いた情報処理によるか、又は上記特許文献1に記載されたセキュリティの確保である。
【0017】
OLT11においてパケット(下りパケット)Pを送出する場合、そのパケットPは、対応するONU13との間でそれぞれ共有されたn個のいずれかの暗号鍵K(K1〜Kn)を用いて暗号化されて、光伝送路へ送出される。例えば、パケットP1、P2は暗号鍵K1、K2で暗号化されるが如きである。なお、いずれのY−00ONU宛てでもないパケットについては、これらの暗号鍵で暗号化されない。
【0018】
ONU13では、自身の付与された共通の暗号鍵Kiを用いて受信したパケットを復号化する。この時、自分のONU宛てでないパケットについては、共通暗号鍵Kiが一致しないので、送信データを正しく復号化することが出来ない。なお、上りパケットについても同様に、各ONUとOLT11との間で共有された共通暗号鍵を用いて暗号化して、OLT1へ送信することにより、情報の秘匿性を向上させことが出来る。
【0019】
図2は、Y−00量子暗号を用いたPONシステムにおける、主としてOLTとONUの多値暗号処理部の構成を示す。図1に示したONU132は従来ONUなので、図2には示されていない。図2の、光伝送路19を挟んで、左側は送信装置のOLT11、右側は受信装置の複数のY−00ONU13である。
【0020】
OLT11は、Y−00ONUの台数n分の暗号鍵Kを管理しており、暗号鍵Kの入力により擬似乱数を生成してRunning鍵を発生する送信用擬似乱数生成部112と、1または0の送信データを発生する送信データ発生部114と、送信データに対してRunning鍵の値に応じて多値レベルのアナログ信号(多値レベル信号)を生成する多値光生成部113を有して構成される。
【0021】
受信側のY−00ONU131,133は多値復号化処理部であり、光伝送路19及び光分配器12を通過した光信号を受信して光電変換する光電変換器1313、1333と、OLT11と共有された暗号鍵Kの入力により送信側擬似乱数生成部102と、同期がとられた同一のRunning鍵を発生する受信側の擬似乱数生成部1312、1332と、閾値生成部1314、1334を有して構成される。(なお、Y−00ONU131,133は同じ構成なので、以下、Y−00ONU131側の符号のみを引用する)。閾値生成部1314は、光電変換器1313で受信した光信号を擬似乱数生成部1312から生成されたRunning鍵を用いて多値信号判定用の受信閾値を生成する。復号処理部1315は受信閾値に従い、1と0との判定(弁別)を行って受信データを出力する。
【0022】
このような構成のPONシステムにおいて、OLT11の送信データ発生部114で発生した送信データは、多値光生成部113でRunning鍵の値に従って多値光信号として生成され、光伝送路19及び光分配器12を通って、全てのONU13へ送信される。
ONU123では、受信した光多値信号は光電変換器1313で光電変換される。更に、Y−00ONUのうち共通の暗号鍵K1を有するY−00ONU131では、OLT11で暗号化に用いられたものと同じ暗号鍵K1を用いて、擬似乱数生成部1312でRunning鍵を発生する。そのRunning鍵を用いて閾値生成部1314で受信閾値を生成し、復号処理部1315で受信データとして判別して、出力する。この場合、指定された暗号鍵Kを持たないONU、即ち他のY−00ONUや従来のNOUでは、OLT11側で使用した暗号鍵Kと一致しないので、光電変換されたデータは復号化されないので、送信データの秘匿性を向上させことが出来る。
【0023】
図3はOLTにおける多値暗号処理の構成ブロックを示す。
OLT11は、送信データに対する論理的な暗号処理を行う上位層101と、送信データの送信先アドレスや送信元アドレスの指定、フレーム化処理、アクセス管理などの処理を行うMAC(Media Access Control)102と、Y−00多値暗号処理を行う物理層103から構成される。上位層101における論理的な暗号処理は本発明には直接関係しないが、従来の暗号アルゴリズムを用いた処理が行われる。
【0024】
本発明の特徴の1つとして、各ONU13の暗号鍵の管理があげられる。そのために、MAC102は、図4に示すような、ONU管理テーブル40を有する。このONU管理テーブル40は、m台全てのONU13について、そのONUタイプとY−00暗号鍵を指定する番号を登録する。ONUタイプは、ONU13がY−00量子暗号対応のONU(Y−00ONU)か、又はそれ以外のONU(従前ONU)を表す。Y−00ONUには、暗号鍵を指定する番号が登録される。ここで、ONU番号#1〜#mは、各ONU13に固有のMACアドレスに関連付けられたものであるが、各ONUのMACアドレスが直接登録されてもよい。
【0025】
一方、各Y−00ONUは、ONU管理テーブル40に登録された暗号鍵を有し、その暗号鍵で生成されたRunning鍵を用いて、受信データの復号化処理を行う。
物理層103は、主に、多値暗号処理部104と、セレクタ105を有する。多値暗号処理部104は図2の符号11の部分に対応する。セレクタ105は、ONU管理テーブル40のONUタイプ選択の信号107に基づいて、MAC102からの送信データの伝送ライン108又は109のいずれかを選択する。
【0026】
さて、上位層101で作成された送信データは、MAC102に送られて、そこでフレーム化処理される。MAC102では更に、送信先アドレスを基にONU管理テーブル40が参照されて、送信先のONUのタイプが判別される。その結果、もし送信先が従来ONU(即ちOther)の場合、セレクタ105は、ONUタイプ選択信号107により伝送ライン109を選択して、送信データをそのまま送出する。
一方、送信先がY−00ONUの場合には、ONU管理テーブル40により送信先のONUに対応した暗号鍵Kiが選択されて、多値暗号処理部104で、図2に示したような、多値レベル信号が生成される。さらに、セレクタ105は、ONUタイプ選択信号107によって伝送ライン108を選択して、多値暗号処理部104から出力される多値レベル信号の送信データを送出する。
【0027】
本実施例によれば、1台のOLTに、複数のONU、とりわけY−00量子暗号を適用したY−00ONUと、それを適用していない従来ONUが混在したPONシステムにおいて、強固な情報の隠匿性を確保することができる。即ち、情報のセキュリティ確保のために従来から提唱されているような、OLT11における送信データの論理的な処理や、送信先の複数のONUのMACアドレスの管理に不具合があったとしても、Y−00量子暗号を適用したY−00ONUでは受信データの隠匿性を保つことが可能である。
【0028】
以上、光通信量子暗号を適用したPONシステムの例について説明したが、本発明はPONシステムに限らず、1つの送信装置と複数の受信装置が光通信路で接続される光通信量子暗号通信システムに適用可能である。また、時分割多重に限らず、波長多重方式においても、波長ごとに異なる鍵を用いるなどして、応用が可能である。
【符号の説明】
【0029】
11:OLT 12:光分配器 13、131、132、133〜13n:ONU
19:光伝送路 K1、K6、〜K19:暗号鍵 P1〜Pi:パケット
112:擬似乱数生成部 113:多値光生成部 114:送信データ発生部
1312、1332:擬似乱数生成部 1313、1333:光電変換器 1314,1334:閾値生成部 1315,1335:復号処理部
101:上位層 102:MAC 103:物理層 104:多値暗号処理部 105:セレクタ。
【特許請求の範囲】
【請求項1】
送信装置と、該送信装置に光伝送路を介して接続された複数mの受信装置を含む通信システムにおいて、
該送信装置は;
光通信量子暗号を適用した複数n(但しn≦m)の該受信装置ごとに共通する暗号鍵を対応付けて管理する管理手段と、ある受信装置へデータを送信する場合、該管理手段を用いて、該受信装置に対応付けられた該暗号鍵を選択する選択手段と、該選択手段によって選択された該暗号鍵を用いて、該受信装置へ送信するデータに対する多値レベルの光信号を制御する多値暗号処理部を有し、
該複数nの各受信装置は;
光通信量子暗号を適用した装置であって、該送信装置から送信される光信号を受信して光電変換する光電変換器と、該送信装置で管理される共通の該暗号鍵を用いて、該光電変換器で変換された受信データの多値レベル信号を生成する多値復号化処理部を有する、
ことを特徴とする通信システム。
【請求項2】
前記送信装置の前記多値暗号処理部は、
前記選択手段によって選択された該暗号鍵を用いてRunning鍵を発生する送信用擬似乱数生成部と、送信するデータに対して、該送信用擬似乱数生成部で発生される該Running鍵の値に応じて多値レベル信号を生成する多値光生成部を有し、
前記受信装置の前記多値復号化処理部は、該送信装置で管理される共通の暗号鍵を用いてRunning鍵を生成する受信用擬似乱数生成部と、該受信用擬似乱数生成部によって発生されるRunning鍵の値に応じて、該光電変換器で変換された受信データの識別用多値閾値信号を生成する閾値生成部と、該閾値生成部で生成された該識別用多値閾値に従い多値信号を復号する復号処理部とを有する、ことを特徴とする請求項1の通信システム。
【請求項3】
前記管理手段は、光通信量子暗号を適用した受信装置のタイプ(第1タイプ)と、光通信量子暗号を適用しない受信装置のタイプ(第2タイプ)を登録し、かつ、該第1タイプの受信装置について、それぞれの受信装置が用いる共通の暗号鍵を指定する情報を対応付けて登録する管理テーブルを有する、
ことを特徴とする請求項1又は2の通信システム。
【請求項4】
前記管理テーブルに登録された前記受信装置のタイプに従って、前記多値暗号処理部からの出力である多値レベルの光信号を通す伝送ラインを選択するか、又は前記多値暗号処理部を通さない伝送ラインを選択するセレクタを有する、
ことを特徴とする請求項1乃至3のいずれかの項記載の通信システム。
【請求項5】
前記通信システムはPONシステムであり、
前記送信装置はOLTであり、
前記複数の受信装置は、該光伝送路に光分配器を介して接続されるONUである、
ことを特徴とする請求項1乃至4のいずれかの項記載の通信システム。
【請求項6】
送信装置から光伝送路を介して該複数mの受信装置へデータを送信する通信方法であって、該送信装置において;
光通信量子暗号を適用した複数n(但しn≦m)の該受信装置ごとに共通する暗号鍵を対応付けて管理するステップと、
ある受信装置へデータを送信する場合、該受信装置に対応付けられた該暗号鍵を選択するステップと、
該選択された該暗号鍵を用いてRunning鍵を発生するステップと、
送信するデータに対して、該Running鍵の値に応じて多値レベル信号を生成するステップを有し、
光通信量子暗号を適用した該複数nの受信装置において;
該送信装置から送信される光信号の送信データを受信して光電変換するステップと、
該送信装置で管理される共通の暗号鍵を用いてRunning鍵を発生するステップと、
発生された該Running鍵の値に応じて、該光電変換された受信データの識別用多値閾値信号を生成するステップと、該識別用多値閾値に従い多値信号を復号するステップを有する、ことを特徴とする通信方法。
【請求項1】
送信装置と、該送信装置に光伝送路を介して接続された複数mの受信装置を含む通信システムにおいて、
該送信装置は;
光通信量子暗号を適用した複数n(但しn≦m)の該受信装置ごとに共通する暗号鍵を対応付けて管理する管理手段と、ある受信装置へデータを送信する場合、該管理手段を用いて、該受信装置に対応付けられた該暗号鍵を選択する選択手段と、該選択手段によって選択された該暗号鍵を用いて、該受信装置へ送信するデータに対する多値レベルの光信号を制御する多値暗号処理部を有し、
該複数nの各受信装置は;
光通信量子暗号を適用した装置であって、該送信装置から送信される光信号を受信して光電変換する光電変換器と、該送信装置で管理される共通の該暗号鍵を用いて、該光電変換器で変換された受信データの多値レベル信号を生成する多値復号化処理部を有する、
ことを特徴とする通信システム。
【請求項2】
前記送信装置の前記多値暗号処理部は、
前記選択手段によって選択された該暗号鍵を用いてRunning鍵を発生する送信用擬似乱数生成部と、送信するデータに対して、該送信用擬似乱数生成部で発生される該Running鍵の値に応じて多値レベル信号を生成する多値光生成部を有し、
前記受信装置の前記多値復号化処理部は、該送信装置で管理される共通の暗号鍵を用いてRunning鍵を生成する受信用擬似乱数生成部と、該受信用擬似乱数生成部によって発生されるRunning鍵の値に応じて、該光電変換器で変換された受信データの識別用多値閾値信号を生成する閾値生成部と、該閾値生成部で生成された該識別用多値閾値に従い多値信号を復号する復号処理部とを有する、ことを特徴とする請求項1の通信システム。
【請求項3】
前記管理手段は、光通信量子暗号を適用した受信装置のタイプ(第1タイプ)と、光通信量子暗号を適用しない受信装置のタイプ(第2タイプ)を登録し、かつ、該第1タイプの受信装置について、それぞれの受信装置が用いる共通の暗号鍵を指定する情報を対応付けて登録する管理テーブルを有する、
ことを特徴とする請求項1又は2の通信システム。
【請求項4】
前記管理テーブルに登録された前記受信装置のタイプに従って、前記多値暗号処理部からの出力である多値レベルの光信号を通す伝送ラインを選択するか、又は前記多値暗号処理部を通さない伝送ラインを選択するセレクタを有する、
ことを特徴とする請求項1乃至3のいずれかの項記載の通信システム。
【請求項5】
前記通信システムはPONシステムであり、
前記送信装置はOLTであり、
前記複数の受信装置は、該光伝送路に光分配器を介して接続されるONUである、
ことを特徴とする請求項1乃至4のいずれかの項記載の通信システム。
【請求項6】
送信装置から光伝送路を介して該複数mの受信装置へデータを送信する通信方法であって、該送信装置において;
光通信量子暗号を適用した複数n(但しn≦m)の該受信装置ごとに共通する暗号鍵を対応付けて管理するステップと、
ある受信装置へデータを送信する場合、該受信装置に対応付けられた該暗号鍵を選択するステップと、
該選択された該暗号鍵を用いてRunning鍵を発生するステップと、
送信するデータに対して、該Running鍵の値に応じて多値レベル信号を生成するステップを有し、
光通信量子暗号を適用した該複数nの受信装置において;
該送信装置から送信される光信号の送信データを受信して光電変換するステップと、
該送信装置で管理される共通の暗号鍵を用いてRunning鍵を発生するステップと、
発生された該Running鍵の値に応じて、該光電変換された受信データの識別用多値閾値信号を生成するステップと、該識別用多値閾値に従い多値信号を復号するステップを有する、ことを特徴とする通信方法。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2012−80227(P2012−80227A)
【公開日】平成24年4月19日(2012.4.19)
【国際特許分類】
【出願番号】特願2010−221802(P2010−221802)
【出願日】平成22年9月30日(2010.9.30)
【出願人】(000233295)日立情報通信エンジニアリング株式会社 (195)
【Fターム(参考)】
【公開日】平成24年4月19日(2012.4.19)
【国際特許分類】
【出願日】平成22年9月30日(2010.9.30)
【出願人】(000233295)日立情報通信エンジニアリング株式会社 (195)
【Fターム(参考)】
[ Back to top ]