量子暗号通信システム及び方法
【課題】鍵管理数をエンティティの数程度に抑えることができ、また、各エンティティの保持する量子暗号通信装置を安価にすることができるとともに、トロイの木馬攻撃に対して秘匿性を保証することができ、さらに、計算量的に無条件な安全性と鍵管理局に対する秘匿性を保証することができる量子暗号通信システム及び方法を得る
【解決手段】ネットワークのノードとして単一の鍵管理局1と複数のエンティティ2を備えた量子暗号通信システムであって、鍵管理局1及び複数のエンティティ2が、量子暗号通信可能な量子通信路によって相互に1対1で接続され、かつ古典通信可能な古典通信網3にそれぞれ接続され、鍵管理局1を介して、任意のエンティティ間での量子暗号通信における古典通信の認証を行う。
【解決手段】ネットワークのノードとして単一の鍵管理局1と複数のエンティティ2を備えた量子暗号通信システムであって、鍵管理局1及び複数のエンティティ2が、量子暗号通信可能な量子通信路によって相互に1対1で接続され、かつ古典通信可能な古典通信網3にそれぞれ接続され、鍵管理局1を介して、任意のエンティティ間での量子暗号通信における古典通信の認証を行う。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、量子暗号を大規模ネットワークに適用する際に想定される鍵管理問題を、鍵管理局を設定することにより解決した量子暗号通信システム及び方法に関するものである。
【背景技術】
【0002】
従来の量子暗号は、計算量的に無条件な安全性をもたらすが、基本的にエンド・ツー・エンドの通信であり、必要な古典認証通信もエンド・ツー・エンドで行うため、ネットワーク規模が大きくなると、エンティティの数をNとして、認証用秘密鍵をN2個も管理しなければならない(鍵爆発)。また、各エンティティが高価な量子送信装置、量子受信装置を保有しなければならなかった(例えば、非特許文献1参照)。
【0003】
また、各エンティティが高価な量子暗号装置を持たなくてよい改良として、量子送受信装置をセンタに集約し、センタが量子受信結果を公開する量子暗号方式がある。この方式は量子暗号通信を行う2つのエンティティ双方を量子通信路が貫通するため、プローブ光を量子通信路の途中で挿入し、対象となるエンティティの内部を透過した後、プローブ光を測定することで盗聴を実現するトロイの木馬攻撃に対して、安全性が脆弱であるという問題点がある(例えば、特許文献1参照)。
【0004】
なお、トロイの木馬攻撃に対して、一方のエンティティだけを量子通信路が貫通する場合、量子源として十分強いコヒーレント光を用い、当該エンティティが分岐路と光検出器を用いて入力前の光を一部モニタし、アッテネータを用いて出力後の光強度を量子レベルまで低減する方式が、プローブ光が十分強いときはトロイの木馬攻撃を検知し、検知できないほど弱いプローブ光を使ったときは攻撃は無効化するという意味で、実用的な安全性を保っていることが知られている(例えば、非特許文献2参照)。
【0005】
また、古典暗号を用いた鍵管理方式においても、鍵管理数の爆発は回避する方式がいくつか知られているが、量子暗号と異なり計算量的な安全性しか保証できない。特に公開鍵暗号を用いた鍵管理方式では、量子コンピュータを用いることができれば容易に解読できることが知られており、長期的な視点での安全性は脆弱である。一方、共通鍵暗号を用いた鍵管理方式では、量子コンピュータによって、極端に計算量的安全性が低減するわけではないが、当該エンティティ間で共有できる秘密鍵の秘匿性が、鍵管理局に対しては理論上無いという問題点がある(例えば、非特許文献3参照)。
【0006】
【特許文献1】米国特許第5,764,765号明細書
【非特許文献1】Bennett and Brassard, “QUANTUM CRYPTOGRAPHY: PUBLIC KEY DISTRIBUTION AND COIN TOSSING” International Conference on Computers, Systems & Signal Processing Bangalore, India, Dec. 12-14,1984
【非特許文献2】Gisin, et. al., “Quantum Cryptography” Review of Modern Physics, 74 pp.189, 2002
【非特許文献3】Steiner, et. al., “Kerberos: An Authentication Service for Open Network Systems” Proc. of the Winter USENIX Conf. Feb. 1988
【非特許文献4】M. N. Wegman and J. L. Carter, “New Hash Functions and Their Use in Authentication and Set Equality” Journal of Computer and Systems Science 22, pp.265-279, 1981
【発明の開示】
【発明が解決しようとする課題】
【0007】
従来の量子暗号は、大規模ネットワークに適用すると、鍵管理数が爆発するという問題点があった。
【0008】
また、従来の量子暗号は、各エンティティが高価な量子暗号通信装置を保持しなければならず、安価な量子暗号通信装置にするとトロイの木馬攻撃に対して脆弱となるという問題点があった。
【0009】
さらに、従来の鍵管理局を持った古典暗号に基づく鍵管理方式では、安全性が計算量に依存しており、その上、鍵管理局に対してエンティティ間で共有される秘密鍵の秘匿性が保証されないという問題点があった。
【0010】
この発明は、上述のような課題を解決するためになされたもので、第1の目的は、鍵管理数をエンティティの数程度に抑えることができる量子暗号通信システム及び方法を得るものである。
【0011】
この発明は、上述のような課題を解決するためになされたもので、第2の目的は、各エンティティの保持する量子暗号通信装置を安価にすることができるとともに、トロイの木馬攻撃に対して秘匿性を保証することができる量子暗号通信システム及び方法を得るものである。
【0012】
この発明は、上述のような課題を解決するためになされたもので、第3の目的は、計算量的に無条件な安全性と鍵管理局に対する秘匿性を保証することができる量子暗号通信システム及び方法を得るものである。
【課題を解決するための手段】
【0013】
この発明に係る量子暗号通信システムは、ネットワークのノードとして単一の鍵管理局と複数のエンティティを備えた量子暗号通信システムであって、前記鍵管理局及び前記複数のエンティティが、量子暗号通信可能な量子通信路によって相互に1対1で接続され、かつ古典通信可能な古典通信網にそれぞれ接続され、前記鍵管理局を介して、任意のエンティティ間での量子暗号通信における古典通信の認証を行うものである。
【発明の効果】
【0014】
この発明に係る量子暗号通信システムは、鍵管理数をエンティティの数程度に抑えることができ、また、各エンティティの保持する量子暗号通信装置を安価にすることができるとともに、トロイの木馬攻撃に対して秘匿性を保証することができ、さらに、計算量的に無条件な安全性と鍵管理局に対する秘匿性を保証することができるという効果を奏する。
【発明を実施するための最良の形態】
【0015】
実施の形態1.
この発明の実施の形態1に係る量子暗号通信システムについて図1から図11までを参照しながら説明する。図1は、この発明の実施の形態1に係る量子暗号通信システムの構成を示す図である。なお、各図中、同一符号は同一又は相当部分を示す。
【0016】
図1において、この実施の形態1に係る量子暗号通信システムは、鍵管理局1と、複数のエンティティ2(A〜D)と、古典通信網3とが設けられている。
【0017】
この量子暗号通信システムのネットワークのノードは、単一の鍵管理局1と複数のエンティティ2から構成され、各エンティティ2、及び鍵管理局1は量子暗号通信可能な量子通信路で1対1に接続されている。また、古典通信網3にも接続されている。
【0018】
図2は、この発明の実施の形態1に係る量子暗号通信システムの鍵管理局の構成を示す図である。図2において、鍵管理局(KDC)1は、量子暗号通信を行うための、乱数生成手段11と、データ処理手段12と、量子送信手段13と、量子受信手段14とを有するとともに、また、古典認証通信を行うための、鍵管理手段15と、認証子生成手段16と、認証子照合手段17と、古典通信手段18とを持っている。
【0019】
図3は、この発明の実施の形態1に係る量子暗号通信システムのエンティティの構成を示す図である。図3において、各エンティティ2は、量子暗号通信を行うための、乱数生成手段21と、データ処理手段22と、量子送信手段23と、量子受信手段24とを有するとともに、また、古典認証通信を行うための、秘密鍵保持手段25と、認証子生成手段26と、認証子照合手段27と、古典通信手段28とを持っている。
【0020】
つぎに、この実施の形態1に係る量子暗号通信システムの動作について図面を参照しながら説明する。
【0021】
図4は、この発明の実施の形態1に係る量子暗号通信システムの初期設定から任意のエンティティA、B間での秘密鍵を共有するまでの動作を示すフローチャートである。図4において、鍵管理局(KDC)は、“信頼できる”第3者機関であるが、AB間の共有鍵に関する秘匿性はKDCに対しても成り立っている。
【0022】
図5は、この発明の実施の形態1に係る量子暗号通信システムの初期設定の様子を示す図である。図6及び図7は、この発明の実施の形態1に係る量子暗号通信システムの通信1(第1の通信)の様子を示す図である。
【0023】
まず、鍵管理局1は、図5のように、鍵管理手段15により、全てのエンティティ2の認証用初期鍵KA0、KB0、KC0、KD0を生成し、守秘性の保証された方法で各エンティティ2に配送する。鍵管理手段15は、この認証用初期鍵をどのエンティティ2にどれが対応するかをわかるように保持しておく。各エンティティ2は、秘密鍵保持手段25がこの配送された認証用初期鍵を保持しておく。
【0024】
任意のエンティティAと任意のエンティティBの間で秘密鍵を共有したいイベントが開始されると、図6、図7のように、エンティティA、エンティティBは、独立に鍵管理局1との間で量子暗号通信を実行し、秘密鍵の拡張を行う。
【0025】
ここで、鍵拡張とは、予め共有している認証用初期鍵を費消して、より長い鍵を共有することである。例えば、エンティティAと鍵管理局1との量子暗号通信では、エンティティAと鍵管理局1は独立にそれぞれの乱数生成手段21、11を用いて乱数を生成し、エンティティAは、生成した乱数に従い量子送信手段23をもちいて量子を生成・変調した後、量子通信路を通じて鍵管理局1に伝送する。鍵管理局1は、生成した乱数に従い量子受信手段14を調整して、伝送された量子を測定する。
【0026】
この量子伝送後、エンティティAと鍵管理局1は古典通信網3を用いて、量子暗号通信を完了させるための、一部の乱数情報や、誤り訂正情報等の情報交換を行う。この情報交換の過程で、エンティティAと鍵管理局1は各々のデータ処理手段22、12を用いて、盗聴者の有無、および鍵共有を実行する。上記古典通信は、エンティティAと鍵管理局1の備える古典通信手段28、18が古典通信網3を介して実行される。この通信の認証は、両者の備える認証子生成手段26、16、認証子照合手段27、17が上記認証用初期鍵KA0を費消して実行される。例えば、使い捨て鍵を用いたWegman Carterの認証子(非特許文献4、図8)を使って、図6、図7のようにおこなわれる。
【0027】
使用済みの認証用初期鍵は廃棄される。生成された共有鍵の一部が認証用初期鍵の更新にあてられ、エンティティAの秘密鍵保持手段25、鍵管理局1の鍵管理手段15が新たな認証用初期鍵KA0として保持する。残った共有鍵は、当該イベントの作業鍵WKAとして、エンティティAの秘密鍵保持手段25、鍵管理局1の鍵管理手段15が保持する。
【0028】
図9は、この発明の実施の形態1に係る量子暗号通信システムの通信2(第2の通信)の様子を示す図である。図10は、この発明の実施の形態1に係る量子暗号通信システムの通信3(第3の通信)の様子を示す図である。図11は、この発明の実施の形態1に係る量子暗号通信システムの古典通信の認証の様子を示す図である。
【0029】
つぎに、図9のように、エンティティAとエンティティBは相互に接続された量子通信路を使って量子通信を行う。例えば、エンティティAとエンティティBは、独立にそれぞれの乱数生成手段21を用いて乱数を生成し、エンティティAは、生成した乱数に従い量子送信手段23をもちいて量子を生成・変調した後、量子通信路を通じてエンティティBに伝送する。エンティティBは、生成した乱数に従い量子受信手段24を調整して、伝送された量子を測定する。
【0030】
最後に、図10のように、古典通信網3を使って、上記量子伝送に伴う量子暗号通信を完了するために、エンティティAとエンティティBは、一部の乱数情報や、誤り訂正情報等の情報交換に鍵管理局1を介して行う。この情報交換の過程で、エンティティAとエンティティBは、各々のデータ処理手段22を用いて、盗聴者の有無、および鍵共有を実行する。
【0031】
上記古典通信の認証は、図11のように、エンティティAと鍵管理局1が先の通信で共有した作業鍵WKAの一部を用いて、エンティティAと鍵管理局1の間で認証子生成手段26、16、認証子照合手段27、17により認証し、鍵管理局1はエンティティAとの認証に成功すると、エンティティBとの先の通信で共有した作業鍵WKBの一部を用いて、鍵管理局1とエンティティBの間で認証子生成手段16、26、認証子照合手段17、27が認証する。エンティティBは、鍵管理局1との認証に成功すると、同様な手順で、エンティティAへの認証通信も鍵管理局1を介して実行される。このとき、エンティティA、B間で生成された鍵がKABとして共有される。
【0032】
以上のように、任意のエンティティ間での量子暗号通信における古典通信の認証が鍵管理局1を介して行われるので、各エンティティ2は認証用初期鍵として鍵管理局1との鍵1個だけを保持すればよく、システム全体での管理すべき鍵の総数はシステムに参加するエンティティ2の総数程度で済む。また、鍵管理局1が古典暗号を使って鍵管理する方式と比して、量子暗号を使って鍵配送を行うため、計算量的に無条件な安全性が保証され、量子計算機の実現に際して解読されてしまう古典暗号として公開鍵暗号を使った方式よりもはるかに強度な安全性を実現できる。一方、古典暗号として共通鍵暗号を使った方式では、任意のエンティティ間で共有される秘密鍵の鍵管理局1に対する秘匿性が無いのであるが、当方式では、エンティティ間で最終的に共有される秘密鍵に関する秘密情報が鍵管理局1には全く流れないので、その秘匿性が鍵管理局1に対しても保証されている。このため鍵管理局1に要求される信頼度が緩和され、システム構築が容易になっている。
【0033】
実施の形態2.
この発明の実施の形態2に係る量子暗号通信システムについて図12から図20までを参照しながら説明する。図12は、この発明の実施の形態2に係る量子暗号通信システムの構成を示す図である。
【0034】
上記の実施の形態1では、各エンティティ2および鍵管理局1が相互に1対1の量子通信路で接続され、すべてのエンティティ2がそれぞれ量子送信手段23と量子受信手段24を保有しているが、この実施の形態2では、量子通信路がシステム全体で1本となり、その両端が鍵管理局1に接続され、各エンティティ2はこの量子通信路に貫通されている。鍵管理局1を除く各エンティティ2は、量子送信手段23、量子受信手段24の代わりに量子変調手段29dを保有すればよい。
【0035】
図12において、この実施の形態2に係る量子暗号通信システムは、鍵管理局1と、複数のエンティティ2(A〜D)と、古典通信網3とが設けられている。
【0036】
この量子暗号通信システムのネットワークのノードは、複数のエンティティ2と単一の鍵管理局1から構成され、鍵管理局1からでた量子通信路は再び鍵管理局1に戻るループ状の形態をとっている。各エンティティ2は、この量子通信路上に1次元的に配列されている。また、鍵管理局1および各エンティティ2は、古典通信網3にも接続されている。
【0037】
図13は、この発明の実施の形態2に係る量子暗号通信システムのエンティティの構成を示す図である。図13において、各エンティティ2は、量子暗号通信を行うための、乱数生成手段21と、データ処理手段22と、量子変調手段29dとを有するとともに、また、古典認証通信を行うための、秘密鍵保持手段25と、認証子生成手段26と、認証子照合手段27と、古典通信手段28とを持つ。更に、盗聴者がプローブ光を各エンティティ内部に入射し、量子変調手段29dの情報を直接盗み出そうとするトロイの木馬攻撃に備えて、量子通信路を流れる光信号の強度をモニタし、トロイの木馬攻撃を検知するために、光信号の一部を分岐光路へ導くビームスプリッタ29aと、分岐光路に導かれた光信号の強度を測定するモニタ用光検出手段29bと、量子通信路を流れる光信号がエンティティ内部を通過し出力されるときに、その光強度が量子レベルまでに減光する可変アッテネータ29cを有する。
【0038】
鍵管理局は、図2のように、量子暗号通信を行うための、乱数生成手段11と、データ処理手段12と、量子送信手段13と、量子受信手段14とを有するとともに、また、古典認証通信を行うための、鍵管理手段15と、認証子生成手段16と、認証子照合手段17と、古典通信手段18とを持っている。
【0039】
つぎに、この実施の形態2に係る量子暗号通信システムの動作について図面を参照しながら説明する。
【0040】
図14は、この発明の実施の形態2に係る量子暗号通信システムの初期設定から任意のエンティティA、B間での秘密鍵を共有するまでの動作を示すフローチャートである。図14において、鍵管理局(KDC)は、“信頼できる”第3者機関であるが、AB間の共有鍵に関する秘匿性はKDCに対しても成り立っている。
【0041】
図15及び図16は、この発明の実施の形態2に係る量子暗号通信システムの通信1(第1の通信)の様子を示す図である。図17は、この発明の実施の形態2に係る量子暗号通信システムの通信2(第2の通信)の様子を示す図である。
【0042】
まず、鍵管理局1は、図5のように、鍵管理手段15により、全てのエンティティ2の認証用初期鍵KA0、KB0、KC0、KD0を生成し、守秘性の保証された方法で各エンティティ2に配送する。鍵管理手段15は、この認証用初期鍵をどのエンティティ2にどれが対応するかをわかるように保持しておく。各エンティティ2は、秘密鍵保持手段25がこの配送された認証用初期鍵を保持しておく。
【0043】
任意のエンティティAと任意のエンティティBの間で秘密鍵を共有したいイベントが開始されると、まず、通信1(第1の通信)として、図15、図16のように、エンティティA、エンティティBは、独立に鍵管理局1との間で量子暗号通信を実行し、秘密鍵の拡張を行う。
【0044】
ここで、鍵拡張とは、予め共有している認証用初期鍵を費消して、より長い鍵を共有することである。例えば、エンティティAと鍵管理局1との量子暗号通信では、エンティティAと鍵管理局1は、独立にそれぞれの乱数生成手段21、11を用いて乱数を生成し、エンティティAは、生成した乱数に従い量子変調手段29dをもちいて、鍵管理局1の量子送信手段13が生成し、量子通信路を通って伝送されてきた量子を変調した後、量子通信路を通じて鍵管理局1に伝送する。鍵管理局1は、生成した乱数に従い量子受信手段14を調整して、伝送された量子を測定する。
【0045】
この量子伝送後、エンティティAと鍵管理局1は古典通信網3を用いて、量子暗号通信を完了させるための、一部の乱数情報や、誤り訂正情報等の情報交換を行う。この情報交換の過程で、エンティティAと鍵管理局1は、各々のデータ処理手段22、12を用いて、盗聴者の有無、および鍵共有を実行する。上記古典通信は、エンティティAと鍵管理局1の備える古典通信手段28、18が古典通信網3を介して実行される。この通信の認証は、両者の備える認証子生成手段26、16、認証子照合手段27、17が上記認証用初期鍵KA0を費消して実行される。例えば、使い捨て鍵を用いたWegman Carterの認証子を使っておこなわれる。
【0046】
使用済みの認証用初期鍵は廃棄される。生成された共有鍵の一部が認証用初期鍵の更新にあてられ、エンティティAの秘密鍵保持手段25、鍵管理局1の鍵管理手段15が新たな認証用初期鍵KA0として保持する。残った共有鍵は当該イベントの作業鍵WKAとして、エンティティAの秘密鍵保持手段25、鍵管理局1の鍵管理手段15が保持する。
【0047】
なお、鍵管理局1が出力する量子信号は十分な強度を持った光信号でもよく、エンティティAの内部にあるビームスプリッタ29aで1部分岐光路に導かれ、モニタ用光検出手段29bでその光強度がモニタされている。また、量子変調手段29dに導かれる光信号は可変アッテネータ29cにより、光信号中に光子が1個しかない光強度まで減光される。従って、エンティティAから出力される光信号は量子レベルの光強度になっている。
【0048】
このため、トロイの木馬攻撃が行われた場合、モニタ用光検出手段29bによりプローブ光の有無が検出され、攻撃検知ができる。また、可変アッテネータ29cにより、プローブ光が十分すぎるほど減光されるので、攻撃者は量子変調手段29dの内部情報を得ることができない。
【0049】
つぎに、通信2(第2の通信)として、図17のように、エンティティAとエンティティBは、鍵管理局1からループ状に敷設されている量子通信路を使って量子通信を行う。なお、量子通信路の上流側にあるエンティティをA、下流側にあるエンティティをBとする。例えば、エンティティAとエンティティBは、独立にそれぞれの乱数生成手段21を用いて乱数を生成し、エンティティAは、生成した乱数に従い、鍵管理局1の量子送信手段13が生成し、量子通信路を伝送されてきた量子に量子変調手段29dをもちいて変調した後、量子をエンティティBに伝送する。エンティティBは、生成した乱数に従い、エンティティAから伝送されてきた量子に量子変調手段29dをもちいて変調した後、鍵管理局1に伝送する。鍵管理局1は、量子受信手段14により伝送された量子を測定する。
【0050】
なお、鍵管理局1が出力する量子信号は十分な強度を持った光信号でもよい。エンティティAの内部にあるビームスプリッタ29aで1部分岐光路に導かれ、モニタ用光検出手段29bでその光強度がモニタされている。また、量子変調手段29dに導かれる光信号は可変アッテネータ29cにより、光信号中に光子が1個しかない光強度まで減光される。従って、エンティティAから出力される光信号は量子レベルの光強度になっている。エンティティBでも同様に、その内部にあるビームスプリッタ29aで1部分岐光路に導かれ、モニタ用光検出手段29bでその光強度がモニタされている。しかし、エンティティBに入力される光信号は既に量子レベルの強度なので、エンティティBの持つ可変アッテネータ29cは開放しておく。
【0051】
このため、トロイの木馬攻撃に対して、エンティティAの量子変調手段29dの内部情報は漏れることがないが、エンティティBの量子変調手段29dの内部情報は漏洩対策に関して若干脆弱となっている。以下に述べる通信5(第5の通信)はこの対策を施したものである。
【0052】
図18は、この発明の実施の形態2に係る量子暗号通信システムの通信3(第3の通信)〜通信5(第5の通信)の様子を示す図である。図19は、この発明の実施の形態2に係る量子暗号通信システムの公開検出BB84プロトコル(位相変調)を示す図である。図20は、この発明の実施の形態2に係る量子暗号通信システムの通信5(第5の通信)の様子を示す図である。
【0053】
通信3(第3の通信)として、図18のように、鍵管理局1は、通信2(第2の通信)で得た量子受信手段14の測定結果を、エンティティAとエンティティBに各古典通信手段28により古典通信網3を用いて公表する。
【0054】
このとき、古典通信の認証は、通信1(第1の通信)でエンティティA、Bと鍵管理局1が先の通信で共有したそれぞれの作業鍵WKA、WKBの一部を用いて、エンティティA、Bと鍵管理局1の間で認証子生成手段26、16、認証子照合手段27、17により認証することで実行される。
【0055】
通信4(第4の通信)として、図18のように、古典通信網3を使って、通信2(第2の通信)における量子伝送に伴う量子暗号通信を完了するために、エンティティAとエンティティBは、一部の乱数情報や、誤り訂正情報等の情報交換に鍵管理局1を介して行う。この情報交換の過程で、エンティティAとエンティティBは、各々のデータ処理手段22を用いて、盗聴者の有無、および鍵共有を実行する。この通信のプロトコルは、例えば、特許文献1記載のプロトコルと類似なものである。
【0056】
特に、図19は、エンティティAとエンティティBが1部の乱数情報を交換することで、鍵共有が実現可能であることを示している。ここで、エンティティA、Bは、通信2(第2の通信)でそれぞれ乱数2ビット((a1、a0)および(b1、b0))を用いて、1つの量子パルスに位相変調をかけている。この光子パルスを鍵管理局1が量子受信手段14で測定した結果が1ビット(d)である。通信3(第3の通信)により、鍵管理局1がエンティティA、Bにこの測定結果dを公表しているので、通信4(第4の通信)で、エンティティAが乱数の上位ビットa1、エンティティBが乱数の上位ビットb1を交換することで、エンティティA、Bは、相互の乱数上位ビットの一致不一致を知ることができ、一致した場合に、エンティティAは1ビットの秘密鍵kとして、k=a0を、エンティティBは秘密鍵kとして、k=b0 xor d xor b1を秘密に共有することができる。ここで、各下位1ビットは各エンティティのみしか知らない秘密情報なので秘匿性が保証されている。
【0057】
上記古典通信の認証は、図11のように、エンティティAと鍵管理局1が先の通信で共有した作業鍵WKAの一部を用いて、エンティティAと鍵管理局1の間で認証子生成手段26、16、認証子照合手段27、17により認証し、鍵管理局1は、エンティティAとの認証に成功すると、エンティティBとの先の通信で共有した作業鍵WKBの一部を用いて、鍵管理局1とエンティティBの間で認証子生成手段16、26、認証子照合手段17、27が認証する。エンティティBは、鍵管理局1との認証に成功すると、同様な手順で、エンティティAへの認証通信も鍵管理局1を介して実行される。
【0058】
このようにして、エンティティA、B間で生成された秘密鍵がKABとして共有される。但し、この秘密鍵KABは上述の通信2(第2の通信)がトロイの木馬攻撃に対して脆弱性を持っているため、安全性の保証された秘密鍵を得るために以下に述べる通信5(第5の通信)を行う。
【0059】
通信5(第5の通信)として、図18のように、古典通信網3を使い、エンティティAから鍵管理局1へ、鍵管理局1からエンティティBへと2重暗号通信を行う。
【0060】
例えば、図20のように、エンティティAは、乱数生成手段21を用いて新たに乱数Rを生成する。エンティティAは、通信4(第4の通信)で得られたエンティティBと共有されている秘密鍵KABを用いて、乱数Rを暗号化した後、通信1(第1の通信)で鍵管理局1と共有された作業鍵WKAの残りを用いて暗号化する。こうして2重暗号化された暗号文CA,KDC、例えば、CA,KDC=R xor KAB xor WKAは鍵管理局1へ、それぞれの古典通信手段28、18を用いて古典通信網3を通って伝送される。鍵管理局1は、受信した暗号文CA,KDCをエンティティAと共有された作業鍵WKAの残りで復号した後、通信1(第1の通信)でエンティティBと共有された作業鍵WKBの残りを用いて暗号化する。この暗号文CKDC,B、例えば、CKDC,B=CA,KDC xor WKA xor WKB=R xor KAB xor WKBはエンティティBへ、それぞれの古典通信手段18、28を用いて古典通信網3を通って伝送される。エンティティBは、受信した暗号文CKDC,Bを鍵管理局1と共有された作業鍵WKBの残りで復号した後、エンティティAと共有された秘密鍵KABを用いて暗号化する。
【0061】
こうして、エンティティA、Bで秘密に共有された乱数Rが、エンティティA、B間で最終的に共有される秘密鍵である。
【0062】
このため、仮に秘密鍵KABがトロイの木馬攻撃により盗聴者に漏洩されていても、トロイの木馬攻撃に対して安全な作業鍵WKA、WKBで暗号化したことにより、盗聴者への最終秘密鍵Rの漏洩はありえない。また、秘密鍵KABは鍵管理局1に対して秘匿性が保証されているので、Rの伝送途上での鍵管理局1へのRの漏洩もありえない。
【0063】
以上のように、上記実施の形態1と同様に、任意のエンティティ間での量子暗号通信における古典通信の認証が鍵管理局1を介して行われるので、各エンティティ2は認証用初期鍵として鍵管理局1との鍵1個だけを保持すればよく、システム全体での管理すべき鍵の総数はシステムに参加するエンティティ2の総数程度で済む。また、鍵管理局1が古典暗号を使って鍵管理する方式と比して、量子暗号を使って鍵配送を行うため、計算量的に無条件な安全性が保証され、量子計算機の実現に際して解読されてしまう古典暗号として公開鍵暗号を使った方式よりもはるかに強度な安全性を実現できる。その上、古典暗号として共通鍵暗号を使った方式では、任意のエンティティ間で共有される秘密鍵の鍵管理局1に対する秘匿性が無いのであるが、当方式では、エンティティ間で最終的に共有される秘密鍵の秘匿性が鍵管理局1に対しても保証されるため、鍵管理局1に要求される信頼度が緩和され、システム構築が容易になっている。
【0064】
なおかつ、当実施の形態2では、高価な量子送信手段13および量子受信手段14が鍵管理局1に集約され、各エンティティ2は安価な量子変調手段29dのみで済み、コスト削減が実現できる。また、このような鍵管理局1に高価な装置を集約した方式が持たざるおえないトロイの木馬攻撃に対する脆弱性が改善され、強固な安全性を有した量子暗号通信システムを提供することができる。
【0065】
実施の形態3.
この発明の実施の形態3に係る量子暗号通信システムについて図21を参照しながら説明する。図21は、この発明の実施の形態3に係る量子暗号通信システムの構成を示す図である。
【0066】
上記の実施形態2では、量子通信路がループ状の形態をとったものであるが、この実施の形態3では、量子通信路に関して、一端に鍵管理局1が設置され、他端にファラデーミラーのように量子を反射するミラー4を設けたバス型の形態をもつ。この量子通信路上に各エンティティ2が配置されている。
【0067】
図21において、この実施の形態3に係る量子暗号通信システムは、鍵管理局1と、複数のエンティティ2(A〜D)と、古典通信網3と、ミラー4とが設けられている。
【0068】
鍵管理局1、各エンティティ2の構成は、上記実施の形態2と同様である。さらに、各々の動作も、鍵管理局1を発した量子信号が他端のファラデーミラー4で反射されて鍵管理局1へもどるので、上記実施の形態2と同様である。
【図面の簡単な説明】
【0069】
【図1】この発明の実施の形態1に係る量子暗号通信システムの構成を示す図である。
【図2】この発明の実施の形態1に係る量子暗号通信システムの鍵管理局の構成を示す図である。
【図3】この発明の実施の形態1に係る量子暗号通信システムのエンティティの構成を示す図である。
【図4】この発明の実施の形態1に係る量子暗号通信システムの初期設定から任意のエンティティA、B間での秘密鍵を共有するまでの動作を示すフローチャートである。
【図5】この発明の実施の形態1に係る量子暗号通信システムの初期設定の様子を示す図である。
【図6】この発明の実施の形態1に係る量子暗号通信システムの通信1(第1の通信)の様子を示す図である。
【図7】この発明の実施の形態1に係る量子暗号通信システムの通信1(第1の通信)の様子を示す図である。
【図8】この発明の実施の形態1に係る量子暗号通信システムにおけるWegman Carterの認証子を示す図である。
【図9】この発明の実施の形態1に係る量子暗号通信システムの通信2(第2の通信)の様子を示す図である。
【図10】この発明の実施の形態1に係る量子暗号通信システムの通信3(第3の通信)の様子を示す図である。
【図11】この発明の実施の形態1に係る量子暗号通信システムの古典通信の認証の様子を示す図である。
【図12】この発明の実施の形態2に係る量子暗号通信システムの構成を示す図である。
【図13】この発明の実施の形態2に係る量子暗号通信システムのエンティティの構成を示す図である。
【図14】この発明の実施の形態2に係る量子暗号通信システムの初期設定から任意のエンティティA、B間での秘密鍵を共有するまでの動作を示すフローチャートである。
【図15】この発明の実施の形態2に係る量子暗号通信システムの通信1(第1の通信)の様子を示す図である。
【図16】この発明の実施の形態2に係る量子暗号通信システムの通信1(第1の通信)の様子を示す図である。
【図17】この発明の実施の形態2に係る量子暗号通信システムの通信2(第2の通信)の様子を示す図である。
【図18】この発明の実施の形態2に係る量子暗号通信システムの通信3(第3の通信)〜5の様子を示す図である。
【図19】この発明の実施の形態2に係る量子暗号通信システムの公開検出BB84プロトコル(位相変調)を示す図である。
【図20】この発明の実施の形態2に係る量子暗号通信システムの通信5(第5の通信)の様子を示す図である。
【図21】この発明の実施の形態3に係る量子暗号通信システムの構成を示す図である。
【符号の説明】
【0070】
1 鍵管理局、2 エンティティ、3 古典通信網、4 ミラー、11 乱数生成手段、12 データ処理手段、13 量子送信手段、14 量子受信手段、15 鍵管理手段、16 認証子生成手段、17 認証子照合手段、18 古典通信手段、21 乱数生成手段、22 データ処理手段、23 量子送信手段、24 量子受信手段、25 秘密鍵保持手段、26 認証子生成手段、27 認証子照合手段、28 古典通信手段、29a ビームスプリッタ、29b モニタ用光検出手段、29c 可変アッテネータ、29d 量子変調手段。
【技術分野】
【0001】
この発明は、量子暗号を大規模ネットワークに適用する際に想定される鍵管理問題を、鍵管理局を設定することにより解決した量子暗号通信システム及び方法に関するものである。
【背景技術】
【0002】
従来の量子暗号は、計算量的に無条件な安全性をもたらすが、基本的にエンド・ツー・エンドの通信であり、必要な古典認証通信もエンド・ツー・エンドで行うため、ネットワーク規模が大きくなると、エンティティの数をNとして、認証用秘密鍵をN2個も管理しなければならない(鍵爆発)。また、各エンティティが高価な量子送信装置、量子受信装置を保有しなければならなかった(例えば、非特許文献1参照)。
【0003】
また、各エンティティが高価な量子暗号装置を持たなくてよい改良として、量子送受信装置をセンタに集約し、センタが量子受信結果を公開する量子暗号方式がある。この方式は量子暗号通信を行う2つのエンティティ双方を量子通信路が貫通するため、プローブ光を量子通信路の途中で挿入し、対象となるエンティティの内部を透過した後、プローブ光を測定することで盗聴を実現するトロイの木馬攻撃に対して、安全性が脆弱であるという問題点がある(例えば、特許文献1参照)。
【0004】
なお、トロイの木馬攻撃に対して、一方のエンティティだけを量子通信路が貫通する場合、量子源として十分強いコヒーレント光を用い、当該エンティティが分岐路と光検出器を用いて入力前の光を一部モニタし、アッテネータを用いて出力後の光強度を量子レベルまで低減する方式が、プローブ光が十分強いときはトロイの木馬攻撃を検知し、検知できないほど弱いプローブ光を使ったときは攻撃は無効化するという意味で、実用的な安全性を保っていることが知られている(例えば、非特許文献2参照)。
【0005】
また、古典暗号を用いた鍵管理方式においても、鍵管理数の爆発は回避する方式がいくつか知られているが、量子暗号と異なり計算量的な安全性しか保証できない。特に公開鍵暗号を用いた鍵管理方式では、量子コンピュータを用いることができれば容易に解読できることが知られており、長期的な視点での安全性は脆弱である。一方、共通鍵暗号を用いた鍵管理方式では、量子コンピュータによって、極端に計算量的安全性が低減するわけではないが、当該エンティティ間で共有できる秘密鍵の秘匿性が、鍵管理局に対しては理論上無いという問題点がある(例えば、非特許文献3参照)。
【0006】
【特許文献1】米国特許第5,764,765号明細書
【非特許文献1】Bennett and Brassard, “QUANTUM CRYPTOGRAPHY: PUBLIC KEY DISTRIBUTION AND COIN TOSSING” International Conference on Computers, Systems & Signal Processing Bangalore, India, Dec. 12-14,1984
【非特許文献2】Gisin, et. al., “Quantum Cryptography” Review of Modern Physics, 74 pp.189, 2002
【非特許文献3】Steiner, et. al., “Kerberos: An Authentication Service for Open Network Systems” Proc. of the Winter USENIX Conf. Feb. 1988
【非特許文献4】M. N. Wegman and J. L. Carter, “New Hash Functions and Their Use in Authentication and Set Equality” Journal of Computer and Systems Science 22, pp.265-279, 1981
【発明の開示】
【発明が解決しようとする課題】
【0007】
従来の量子暗号は、大規模ネットワークに適用すると、鍵管理数が爆発するという問題点があった。
【0008】
また、従来の量子暗号は、各エンティティが高価な量子暗号通信装置を保持しなければならず、安価な量子暗号通信装置にするとトロイの木馬攻撃に対して脆弱となるという問題点があった。
【0009】
さらに、従来の鍵管理局を持った古典暗号に基づく鍵管理方式では、安全性が計算量に依存しており、その上、鍵管理局に対してエンティティ間で共有される秘密鍵の秘匿性が保証されないという問題点があった。
【0010】
この発明は、上述のような課題を解決するためになされたもので、第1の目的は、鍵管理数をエンティティの数程度に抑えることができる量子暗号通信システム及び方法を得るものである。
【0011】
この発明は、上述のような課題を解決するためになされたもので、第2の目的は、各エンティティの保持する量子暗号通信装置を安価にすることができるとともに、トロイの木馬攻撃に対して秘匿性を保証することができる量子暗号通信システム及び方法を得るものである。
【0012】
この発明は、上述のような課題を解決するためになされたもので、第3の目的は、計算量的に無条件な安全性と鍵管理局に対する秘匿性を保証することができる量子暗号通信システム及び方法を得るものである。
【課題を解決するための手段】
【0013】
この発明に係る量子暗号通信システムは、ネットワークのノードとして単一の鍵管理局と複数のエンティティを備えた量子暗号通信システムであって、前記鍵管理局及び前記複数のエンティティが、量子暗号通信可能な量子通信路によって相互に1対1で接続され、かつ古典通信可能な古典通信網にそれぞれ接続され、前記鍵管理局を介して、任意のエンティティ間での量子暗号通信における古典通信の認証を行うものである。
【発明の効果】
【0014】
この発明に係る量子暗号通信システムは、鍵管理数をエンティティの数程度に抑えることができ、また、各エンティティの保持する量子暗号通信装置を安価にすることができるとともに、トロイの木馬攻撃に対して秘匿性を保証することができ、さらに、計算量的に無条件な安全性と鍵管理局に対する秘匿性を保証することができるという効果を奏する。
【発明を実施するための最良の形態】
【0015】
実施の形態1.
この発明の実施の形態1に係る量子暗号通信システムについて図1から図11までを参照しながら説明する。図1は、この発明の実施の形態1に係る量子暗号通信システムの構成を示す図である。なお、各図中、同一符号は同一又は相当部分を示す。
【0016】
図1において、この実施の形態1に係る量子暗号通信システムは、鍵管理局1と、複数のエンティティ2(A〜D)と、古典通信網3とが設けられている。
【0017】
この量子暗号通信システムのネットワークのノードは、単一の鍵管理局1と複数のエンティティ2から構成され、各エンティティ2、及び鍵管理局1は量子暗号通信可能な量子通信路で1対1に接続されている。また、古典通信網3にも接続されている。
【0018】
図2は、この発明の実施の形態1に係る量子暗号通信システムの鍵管理局の構成を示す図である。図2において、鍵管理局(KDC)1は、量子暗号通信を行うための、乱数生成手段11と、データ処理手段12と、量子送信手段13と、量子受信手段14とを有するとともに、また、古典認証通信を行うための、鍵管理手段15と、認証子生成手段16と、認証子照合手段17と、古典通信手段18とを持っている。
【0019】
図3は、この発明の実施の形態1に係る量子暗号通信システムのエンティティの構成を示す図である。図3において、各エンティティ2は、量子暗号通信を行うための、乱数生成手段21と、データ処理手段22と、量子送信手段23と、量子受信手段24とを有するとともに、また、古典認証通信を行うための、秘密鍵保持手段25と、認証子生成手段26と、認証子照合手段27と、古典通信手段28とを持っている。
【0020】
つぎに、この実施の形態1に係る量子暗号通信システムの動作について図面を参照しながら説明する。
【0021】
図4は、この発明の実施の形態1に係る量子暗号通信システムの初期設定から任意のエンティティA、B間での秘密鍵を共有するまでの動作を示すフローチャートである。図4において、鍵管理局(KDC)は、“信頼できる”第3者機関であるが、AB間の共有鍵に関する秘匿性はKDCに対しても成り立っている。
【0022】
図5は、この発明の実施の形態1に係る量子暗号通信システムの初期設定の様子を示す図である。図6及び図7は、この発明の実施の形態1に係る量子暗号通信システムの通信1(第1の通信)の様子を示す図である。
【0023】
まず、鍵管理局1は、図5のように、鍵管理手段15により、全てのエンティティ2の認証用初期鍵KA0、KB0、KC0、KD0を生成し、守秘性の保証された方法で各エンティティ2に配送する。鍵管理手段15は、この認証用初期鍵をどのエンティティ2にどれが対応するかをわかるように保持しておく。各エンティティ2は、秘密鍵保持手段25がこの配送された認証用初期鍵を保持しておく。
【0024】
任意のエンティティAと任意のエンティティBの間で秘密鍵を共有したいイベントが開始されると、図6、図7のように、エンティティA、エンティティBは、独立に鍵管理局1との間で量子暗号通信を実行し、秘密鍵の拡張を行う。
【0025】
ここで、鍵拡張とは、予め共有している認証用初期鍵を費消して、より長い鍵を共有することである。例えば、エンティティAと鍵管理局1との量子暗号通信では、エンティティAと鍵管理局1は独立にそれぞれの乱数生成手段21、11を用いて乱数を生成し、エンティティAは、生成した乱数に従い量子送信手段23をもちいて量子を生成・変調した後、量子通信路を通じて鍵管理局1に伝送する。鍵管理局1は、生成した乱数に従い量子受信手段14を調整して、伝送された量子を測定する。
【0026】
この量子伝送後、エンティティAと鍵管理局1は古典通信網3を用いて、量子暗号通信を完了させるための、一部の乱数情報や、誤り訂正情報等の情報交換を行う。この情報交換の過程で、エンティティAと鍵管理局1は各々のデータ処理手段22、12を用いて、盗聴者の有無、および鍵共有を実行する。上記古典通信は、エンティティAと鍵管理局1の備える古典通信手段28、18が古典通信網3を介して実行される。この通信の認証は、両者の備える認証子生成手段26、16、認証子照合手段27、17が上記認証用初期鍵KA0を費消して実行される。例えば、使い捨て鍵を用いたWegman Carterの認証子(非特許文献4、図8)を使って、図6、図7のようにおこなわれる。
【0027】
使用済みの認証用初期鍵は廃棄される。生成された共有鍵の一部が認証用初期鍵の更新にあてられ、エンティティAの秘密鍵保持手段25、鍵管理局1の鍵管理手段15が新たな認証用初期鍵KA0として保持する。残った共有鍵は、当該イベントの作業鍵WKAとして、エンティティAの秘密鍵保持手段25、鍵管理局1の鍵管理手段15が保持する。
【0028】
図9は、この発明の実施の形態1に係る量子暗号通信システムの通信2(第2の通信)の様子を示す図である。図10は、この発明の実施の形態1に係る量子暗号通信システムの通信3(第3の通信)の様子を示す図である。図11は、この発明の実施の形態1に係る量子暗号通信システムの古典通信の認証の様子を示す図である。
【0029】
つぎに、図9のように、エンティティAとエンティティBは相互に接続された量子通信路を使って量子通信を行う。例えば、エンティティAとエンティティBは、独立にそれぞれの乱数生成手段21を用いて乱数を生成し、エンティティAは、生成した乱数に従い量子送信手段23をもちいて量子を生成・変調した後、量子通信路を通じてエンティティBに伝送する。エンティティBは、生成した乱数に従い量子受信手段24を調整して、伝送された量子を測定する。
【0030】
最後に、図10のように、古典通信網3を使って、上記量子伝送に伴う量子暗号通信を完了するために、エンティティAとエンティティBは、一部の乱数情報や、誤り訂正情報等の情報交換に鍵管理局1を介して行う。この情報交換の過程で、エンティティAとエンティティBは、各々のデータ処理手段22を用いて、盗聴者の有無、および鍵共有を実行する。
【0031】
上記古典通信の認証は、図11のように、エンティティAと鍵管理局1が先の通信で共有した作業鍵WKAの一部を用いて、エンティティAと鍵管理局1の間で認証子生成手段26、16、認証子照合手段27、17により認証し、鍵管理局1はエンティティAとの認証に成功すると、エンティティBとの先の通信で共有した作業鍵WKBの一部を用いて、鍵管理局1とエンティティBの間で認証子生成手段16、26、認証子照合手段17、27が認証する。エンティティBは、鍵管理局1との認証に成功すると、同様な手順で、エンティティAへの認証通信も鍵管理局1を介して実行される。このとき、エンティティA、B間で生成された鍵がKABとして共有される。
【0032】
以上のように、任意のエンティティ間での量子暗号通信における古典通信の認証が鍵管理局1を介して行われるので、各エンティティ2は認証用初期鍵として鍵管理局1との鍵1個だけを保持すればよく、システム全体での管理すべき鍵の総数はシステムに参加するエンティティ2の総数程度で済む。また、鍵管理局1が古典暗号を使って鍵管理する方式と比して、量子暗号を使って鍵配送を行うため、計算量的に無条件な安全性が保証され、量子計算機の実現に際して解読されてしまう古典暗号として公開鍵暗号を使った方式よりもはるかに強度な安全性を実現できる。一方、古典暗号として共通鍵暗号を使った方式では、任意のエンティティ間で共有される秘密鍵の鍵管理局1に対する秘匿性が無いのであるが、当方式では、エンティティ間で最終的に共有される秘密鍵に関する秘密情報が鍵管理局1には全く流れないので、その秘匿性が鍵管理局1に対しても保証されている。このため鍵管理局1に要求される信頼度が緩和され、システム構築が容易になっている。
【0033】
実施の形態2.
この発明の実施の形態2に係る量子暗号通信システムについて図12から図20までを参照しながら説明する。図12は、この発明の実施の形態2に係る量子暗号通信システムの構成を示す図である。
【0034】
上記の実施の形態1では、各エンティティ2および鍵管理局1が相互に1対1の量子通信路で接続され、すべてのエンティティ2がそれぞれ量子送信手段23と量子受信手段24を保有しているが、この実施の形態2では、量子通信路がシステム全体で1本となり、その両端が鍵管理局1に接続され、各エンティティ2はこの量子通信路に貫通されている。鍵管理局1を除く各エンティティ2は、量子送信手段23、量子受信手段24の代わりに量子変調手段29dを保有すればよい。
【0035】
図12において、この実施の形態2に係る量子暗号通信システムは、鍵管理局1と、複数のエンティティ2(A〜D)と、古典通信網3とが設けられている。
【0036】
この量子暗号通信システムのネットワークのノードは、複数のエンティティ2と単一の鍵管理局1から構成され、鍵管理局1からでた量子通信路は再び鍵管理局1に戻るループ状の形態をとっている。各エンティティ2は、この量子通信路上に1次元的に配列されている。また、鍵管理局1および各エンティティ2は、古典通信網3にも接続されている。
【0037】
図13は、この発明の実施の形態2に係る量子暗号通信システムのエンティティの構成を示す図である。図13において、各エンティティ2は、量子暗号通信を行うための、乱数生成手段21と、データ処理手段22と、量子変調手段29dとを有するとともに、また、古典認証通信を行うための、秘密鍵保持手段25と、認証子生成手段26と、認証子照合手段27と、古典通信手段28とを持つ。更に、盗聴者がプローブ光を各エンティティ内部に入射し、量子変調手段29dの情報を直接盗み出そうとするトロイの木馬攻撃に備えて、量子通信路を流れる光信号の強度をモニタし、トロイの木馬攻撃を検知するために、光信号の一部を分岐光路へ導くビームスプリッタ29aと、分岐光路に導かれた光信号の強度を測定するモニタ用光検出手段29bと、量子通信路を流れる光信号がエンティティ内部を通過し出力されるときに、その光強度が量子レベルまでに減光する可変アッテネータ29cを有する。
【0038】
鍵管理局は、図2のように、量子暗号通信を行うための、乱数生成手段11と、データ処理手段12と、量子送信手段13と、量子受信手段14とを有するとともに、また、古典認証通信を行うための、鍵管理手段15と、認証子生成手段16と、認証子照合手段17と、古典通信手段18とを持っている。
【0039】
つぎに、この実施の形態2に係る量子暗号通信システムの動作について図面を参照しながら説明する。
【0040】
図14は、この発明の実施の形態2に係る量子暗号通信システムの初期設定から任意のエンティティA、B間での秘密鍵を共有するまでの動作を示すフローチャートである。図14において、鍵管理局(KDC)は、“信頼できる”第3者機関であるが、AB間の共有鍵に関する秘匿性はKDCに対しても成り立っている。
【0041】
図15及び図16は、この発明の実施の形態2に係る量子暗号通信システムの通信1(第1の通信)の様子を示す図である。図17は、この発明の実施の形態2に係る量子暗号通信システムの通信2(第2の通信)の様子を示す図である。
【0042】
まず、鍵管理局1は、図5のように、鍵管理手段15により、全てのエンティティ2の認証用初期鍵KA0、KB0、KC0、KD0を生成し、守秘性の保証された方法で各エンティティ2に配送する。鍵管理手段15は、この認証用初期鍵をどのエンティティ2にどれが対応するかをわかるように保持しておく。各エンティティ2は、秘密鍵保持手段25がこの配送された認証用初期鍵を保持しておく。
【0043】
任意のエンティティAと任意のエンティティBの間で秘密鍵を共有したいイベントが開始されると、まず、通信1(第1の通信)として、図15、図16のように、エンティティA、エンティティBは、独立に鍵管理局1との間で量子暗号通信を実行し、秘密鍵の拡張を行う。
【0044】
ここで、鍵拡張とは、予め共有している認証用初期鍵を費消して、より長い鍵を共有することである。例えば、エンティティAと鍵管理局1との量子暗号通信では、エンティティAと鍵管理局1は、独立にそれぞれの乱数生成手段21、11を用いて乱数を生成し、エンティティAは、生成した乱数に従い量子変調手段29dをもちいて、鍵管理局1の量子送信手段13が生成し、量子通信路を通って伝送されてきた量子を変調した後、量子通信路を通じて鍵管理局1に伝送する。鍵管理局1は、生成した乱数に従い量子受信手段14を調整して、伝送された量子を測定する。
【0045】
この量子伝送後、エンティティAと鍵管理局1は古典通信網3を用いて、量子暗号通信を完了させるための、一部の乱数情報や、誤り訂正情報等の情報交換を行う。この情報交換の過程で、エンティティAと鍵管理局1は、各々のデータ処理手段22、12を用いて、盗聴者の有無、および鍵共有を実行する。上記古典通信は、エンティティAと鍵管理局1の備える古典通信手段28、18が古典通信網3を介して実行される。この通信の認証は、両者の備える認証子生成手段26、16、認証子照合手段27、17が上記認証用初期鍵KA0を費消して実行される。例えば、使い捨て鍵を用いたWegman Carterの認証子を使っておこなわれる。
【0046】
使用済みの認証用初期鍵は廃棄される。生成された共有鍵の一部が認証用初期鍵の更新にあてられ、エンティティAの秘密鍵保持手段25、鍵管理局1の鍵管理手段15が新たな認証用初期鍵KA0として保持する。残った共有鍵は当該イベントの作業鍵WKAとして、エンティティAの秘密鍵保持手段25、鍵管理局1の鍵管理手段15が保持する。
【0047】
なお、鍵管理局1が出力する量子信号は十分な強度を持った光信号でもよく、エンティティAの内部にあるビームスプリッタ29aで1部分岐光路に導かれ、モニタ用光検出手段29bでその光強度がモニタされている。また、量子変調手段29dに導かれる光信号は可変アッテネータ29cにより、光信号中に光子が1個しかない光強度まで減光される。従って、エンティティAから出力される光信号は量子レベルの光強度になっている。
【0048】
このため、トロイの木馬攻撃が行われた場合、モニタ用光検出手段29bによりプローブ光の有無が検出され、攻撃検知ができる。また、可変アッテネータ29cにより、プローブ光が十分すぎるほど減光されるので、攻撃者は量子変調手段29dの内部情報を得ることができない。
【0049】
つぎに、通信2(第2の通信)として、図17のように、エンティティAとエンティティBは、鍵管理局1からループ状に敷設されている量子通信路を使って量子通信を行う。なお、量子通信路の上流側にあるエンティティをA、下流側にあるエンティティをBとする。例えば、エンティティAとエンティティBは、独立にそれぞれの乱数生成手段21を用いて乱数を生成し、エンティティAは、生成した乱数に従い、鍵管理局1の量子送信手段13が生成し、量子通信路を伝送されてきた量子に量子変調手段29dをもちいて変調した後、量子をエンティティBに伝送する。エンティティBは、生成した乱数に従い、エンティティAから伝送されてきた量子に量子変調手段29dをもちいて変調した後、鍵管理局1に伝送する。鍵管理局1は、量子受信手段14により伝送された量子を測定する。
【0050】
なお、鍵管理局1が出力する量子信号は十分な強度を持った光信号でもよい。エンティティAの内部にあるビームスプリッタ29aで1部分岐光路に導かれ、モニタ用光検出手段29bでその光強度がモニタされている。また、量子変調手段29dに導かれる光信号は可変アッテネータ29cにより、光信号中に光子が1個しかない光強度まで減光される。従って、エンティティAから出力される光信号は量子レベルの光強度になっている。エンティティBでも同様に、その内部にあるビームスプリッタ29aで1部分岐光路に導かれ、モニタ用光検出手段29bでその光強度がモニタされている。しかし、エンティティBに入力される光信号は既に量子レベルの強度なので、エンティティBの持つ可変アッテネータ29cは開放しておく。
【0051】
このため、トロイの木馬攻撃に対して、エンティティAの量子変調手段29dの内部情報は漏れることがないが、エンティティBの量子変調手段29dの内部情報は漏洩対策に関して若干脆弱となっている。以下に述べる通信5(第5の通信)はこの対策を施したものである。
【0052】
図18は、この発明の実施の形態2に係る量子暗号通信システムの通信3(第3の通信)〜通信5(第5の通信)の様子を示す図である。図19は、この発明の実施の形態2に係る量子暗号通信システムの公開検出BB84プロトコル(位相変調)を示す図である。図20は、この発明の実施の形態2に係る量子暗号通信システムの通信5(第5の通信)の様子を示す図である。
【0053】
通信3(第3の通信)として、図18のように、鍵管理局1は、通信2(第2の通信)で得た量子受信手段14の測定結果を、エンティティAとエンティティBに各古典通信手段28により古典通信網3を用いて公表する。
【0054】
このとき、古典通信の認証は、通信1(第1の通信)でエンティティA、Bと鍵管理局1が先の通信で共有したそれぞれの作業鍵WKA、WKBの一部を用いて、エンティティA、Bと鍵管理局1の間で認証子生成手段26、16、認証子照合手段27、17により認証することで実行される。
【0055】
通信4(第4の通信)として、図18のように、古典通信網3を使って、通信2(第2の通信)における量子伝送に伴う量子暗号通信を完了するために、エンティティAとエンティティBは、一部の乱数情報や、誤り訂正情報等の情報交換に鍵管理局1を介して行う。この情報交換の過程で、エンティティAとエンティティBは、各々のデータ処理手段22を用いて、盗聴者の有無、および鍵共有を実行する。この通信のプロトコルは、例えば、特許文献1記載のプロトコルと類似なものである。
【0056】
特に、図19は、エンティティAとエンティティBが1部の乱数情報を交換することで、鍵共有が実現可能であることを示している。ここで、エンティティA、Bは、通信2(第2の通信)でそれぞれ乱数2ビット((a1、a0)および(b1、b0))を用いて、1つの量子パルスに位相変調をかけている。この光子パルスを鍵管理局1が量子受信手段14で測定した結果が1ビット(d)である。通信3(第3の通信)により、鍵管理局1がエンティティA、Bにこの測定結果dを公表しているので、通信4(第4の通信)で、エンティティAが乱数の上位ビットa1、エンティティBが乱数の上位ビットb1を交換することで、エンティティA、Bは、相互の乱数上位ビットの一致不一致を知ることができ、一致した場合に、エンティティAは1ビットの秘密鍵kとして、k=a0を、エンティティBは秘密鍵kとして、k=b0 xor d xor b1を秘密に共有することができる。ここで、各下位1ビットは各エンティティのみしか知らない秘密情報なので秘匿性が保証されている。
【0057】
上記古典通信の認証は、図11のように、エンティティAと鍵管理局1が先の通信で共有した作業鍵WKAの一部を用いて、エンティティAと鍵管理局1の間で認証子生成手段26、16、認証子照合手段27、17により認証し、鍵管理局1は、エンティティAとの認証に成功すると、エンティティBとの先の通信で共有した作業鍵WKBの一部を用いて、鍵管理局1とエンティティBの間で認証子生成手段16、26、認証子照合手段17、27が認証する。エンティティBは、鍵管理局1との認証に成功すると、同様な手順で、エンティティAへの認証通信も鍵管理局1を介して実行される。
【0058】
このようにして、エンティティA、B間で生成された秘密鍵がKABとして共有される。但し、この秘密鍵KABは上述の通信2(第2の通信)がトロイの木馬攻撃に対して脆弱性を持っているため、安全性の保証された秘密鍵を得るために以下に述べる通信5(第5の通信)を行う。
【0059】
通信5(第5の通信)として、図18のように、古典通信網3を使い、エンティティAから鍵管理局1へ、鍵管理局1からエンティティBへと2重暗号通信を行う。
【0060】
例えば、図20のように、エンティティAは、乱数生成手段21を用いて新たに乱数Rを生成する。エンティティAは、通信4(第4の通信)で得られたエンティティBと共有されている秘密鍵KABを用いて、乱数Rを暗号化した後、通信1(第1の通信)で鍵管理局1と共有された作業鍵WKAの残りを用いて暗号化する。こうして2重暗号化された暗号文CA,KDC、例えば、CA,KDC=R xor KAB xor WKAは鍵管理局1へ、それぞれの古典通信手段28、18を用いて古典通信網3を通って伝送される。鍵管理局1は、受信した暗号文CA,KDCをエンティティAと共有された作業鍵WKAの残りで復号した後、通信1(第1の通信)でエンティティBと共有された作業鍵WKBの残りを用いて暗号化する。この暗号文CKDC,B、例えば、CKDC,B=CA,KDC xor WKA xor WKB=R xor KAB xor WKBはエンティティBへ、それぞれの古典通信手段18、28を用いて古典通信網3を通って伝送される。エンティティBは、受信した暗号文CKDC,Bを鍵管理局1と共有された作業鍵WKBの残りで復号した後、エンティティAと共有された秘密鍵KABを用いて暗号化する。
【0061】
こうして、エンティティA、Bで秘密に共有された乱数Rが、エンティティA、B間で最終的に共有される秘密鍵である。
【0062】
このため、仮に秘密鍵KABがトロイの木馬攻撃により盗聴者に漏洩されていても、トロイの木馬攻撃に対して安全な作業鍵WKA、WKBで暗号化したことにより、盗聴者への最終秘密鍵Rの漏洩はありえない。また、秘密鍵KABは鍵管理局1に対して秘匿性が保証されているので、Rの伝送途上での鍵管理局1へのRの漏洩もありえない。
【0063】
以上のように、上記実施の形態1と同様に、任意のエンティティ間での量子暗号通信における古典通信の認証が鍵管理局1を介して行われるので、各エンティティ2は認証用初期鍵として鍵管理局1との鍵1個だけを保持すればよく、システム全体での管理すべき鍵の総数はシステムに参加するエンティティ2の総数程度で済む。また、鍵管理局1が古典暗号を使って鍵管理する方式と比して、量子暗号を使って鍵配送を行うため、計算量的に無条件な安全性が保証され、量子計算機の実現に際して解読されてしまう古典暗号として公開鍵暗号を使った方式よりもはるかに強度な安全性を実現できる。その上、古典暗号として共通鍵暗号を使った方式では、任意のエンティティ間で共有される秘密鍵の鍵管理局1に対する秘匿性が無いのであるが、当方式では、エンティティ間で最終的に共有される秘密鍵の秘匿性が鍵管理局1に対しても保証されるため、鍵管理局1に要求される信頼度が緩和され、システム構築が容易になっている。
【0064】
なおかつ、当実施の形態2では、高価な量子送信手段13および量子受信手段14が鍵管理局1に集約され、各エンティティ2は安価な量子変調手段29dのみで済み、コスト削減が実現できる。また、このような鍵管理局1に高価な装置を集約した方式が持たざるおえないトロイの木馬攻撃に対する脆弱性が改善され、強固な安全性を有した量子暗号通信システムを提供することができる。
【0065】
実施の形態3.
この発明の実施の形態3に係る量子暗号通信システムについて図21を参照しながら説明する。図21は、この発明の実施の形態3に係る量子暗号通信システムの構成を示す図である。
【0066】
上記の実施形態2では、量子通信路がループ状の形態をとったものであるが、この実施の形態3では、量子通信路に関して、一端に鍵管理局1が設置され、他端にファラデーミラーのように量子を反射するミラー4を設けたバス型の形態をもつ。この量子通信路上に各エンティティ2が配置されている。
【0067】
図21において、この実施の形態3に係る量子暗号通信システムは、鍵管理局1と、複数のエンティティ2(A〜D)と、古典通信網3と、ミラー4とが設けられている。
【0068】
鍵管理局1、各エンティティ2の構成は、上記実施の形態2と同様である。さらに、各々の動作も、鍵管理局1を発した量子信号が他端のファラデーミラー4で反射されて鍵管理局1へもどるので、上記実施の形態2と同様である。
【図面の簡単な説明】
【0069】
【図1】この発明の実施の形態1に係る量子暗号通信システムの構成を示す図である。
【図2】この発明の実施の形態1に係る量子暗号通信システムの鍵管理局の構成を示す図である。
【図3】この発明の実施の形態1に係る量子暗号通信システムのエンティティの構成を示す図である。
【図4】この発明の実施の形態1に係る量子暗号通信システムの初期設定から任意のエンティティA、B間での秘密鍵を共有するまでの動作を示すフローチャートである。
【図5】この発明の実施の形態1に係る量子暗号通信システムの初期設定の様子を示す図である。
【図6】この発明の実施の形態1に係る量子暗号通信システムの通信1(第1の通信)の様子を示す図である。
【図7】この発明の実施の形態1に係る量子暗号通信システムの通信1(第1の通信)の様子を示す図である。
【図8】この発明の実施の形態1に係る量子暗号通信システムにおけるWegman Carterの認証子を示す図である。
【図9】この発明の実施の形態1に係る量子暗号通信システムの通信2(第2の通信)の様子を示す図である。
【図10】この発明の実施の形態1に係る量子暗号通信システムの通信3(第3の通信)の様子を示す図である。
【図11】この発明の実施の形態1に係る量子暗号通信システムの古典通信の認証の様子を示す図である。
【図12】この発明の実施の形態2に係る量子暗号通信システムの構成を示す図である。
【図13】この発明の実施の形態2に係る量子暗号通信システムのエンティティの構成を示す図である。
【図14】この発明の実施の形態2に係る量子暗号通信システムの初期設定から任意のエンティティA、B間での秘密鍵を共有するまでの動作を示すフローチャートである。
【図15】この発明の実施の形態2に係る量子暗号通信システムの通信1(第1の通信)の様子を示す図である。
【図16】この発明の実施の形態2に係る量子暗号通信システムの通信1(第1の通信)の様子を示す図である。
【図17】この発明の実施の形態2に係る量子暗号通信システムの通信2(第2の通信)の様子を示す図である。
【図18】この発明の実施の形態2に係る量子暗号通信システムの通信3(第3の通信)〜5の様子を示す図である。
【図19】この発明の実施の形態2に係る量子暗号通信システムの公開検出BB84プロトコル(位相変調)を示す図である。
【図20】この発明の実施の形態2に係る量子暗号通信システムの通信5(第5の通信)の様子を示す図である。
【図21】この発明の実施の形態3に係る量子暗号通信システムの構成を示す図である。
【符号の説明】
【0070】
1 鍵管理局、2 エンティティ、3 古典通信網、4 ミラー、11 乱数生成手段、12 データ処理手段、13 量子送信手段、14 量子受信手段、15 鍵管理手段、16 認証子生成手段、17 認証子照合手段、18 古典通信手段、21 乱数生成手段、22 データ処理手段、23 量子送信手段、24 量子受信手段、25 秘密鍵保持手段、26 認証子生成手段、27 認証子照合手段、28 古典通信手段、29a ビームスプリッタ、29b モニタ用光検出手段、29c 可変アッテネータ、29d 量子変調手段。
【特許請求の範囲】
【請求項1】
ネットワークのノードとして単一の鍵管理局と複数のエンティティを備えた量子暗号通信システムであって、
前記鍵管理局及び前記複数のエンティティが、量子暗号通信可能な量子通信路によって相互に1対1で接続され、かつ古典通信可能な古典通信網にそれぞれ接続され、
前記鍵管理局を介して、任意のエンティティ間での量子暗号通信における古典通信の認証を行う
ことを特徴とする量子暗号通信システム。
【請求項2】
前記鍵管理局は、量子暗号通信を行うためであって、第1の乱数を生成する第1の乱数生成手段と、盗聴者の有無及び鍵共有を実行する第1のデータ処理手段と、生成した第1の乱数に従い量子を生成・変調して前記量子通信路へ伝送する第1の量子送信手段と、生成した第1の乱数に従い前記量子通信路へ伝送された量子を測定する第1の量子受信手段とを有するとともに、古典認証通信を行うためであって、全てのエンティティの認証用初期鍵を生成し、守秘性の保証された方法で各エンティティに配送する鍵管理手段と、認証子を生成する第1の認証子生成手段と、認証子を照合する第1の認証子照合手段と、前記古典通信網を介して古典通信を実行する第1の古典通信手段とを有し、
前記エンティティは、量子暗号通信を行うためであって、第2の乱数を生成する第2の乱数生成手段と、盗聴者の有無及び鍵共有を実行する第2のデータ処理手段と、生成した第2の乱数に従い量子を生成・変調して前記量子通信路へ伝送する第2の量子送信手段と、生成した第2の乱数に従い前記量子通信路へ伝送された量子を測定する第2の量子受信手段とを有するとともに、古典認証通信を行うためであって、配送された認証用初期鍵を保持する秘密鍵保持手段と、認証子を生成する第2の認証子生成手段と、認証子を照合する第2の認証子照合手段と、前記古典通信網を介して古典通信を実行する第2の古典通信手段とを有する
ことを特徴とする請求項1記載の量子暗号通信システム。
【請求項3】
鍵管理局及び複数のエンティティが、量子暗号通信可能な量子通信路によって相互に1対1で接続され、かつ古典通信可能な古典通信網にそれぞれ接続されている量子暗号通信システムにおいて、
前記鍵管理局が各エンティティと秘密に共有する認証用初期鍵を各エンティティに配布する初期設定ステップと、
任意の第1及び第2のエンティティが量子暗号通信において秘密鍵を共有しようとするときに、前記第1及び第2のエンティティが、各々独立に前記鍵管理局と量子暗号通信を行って秘密鍵の拡張を行い、前記第1及び第2のエンティティ及び前記鍵管理局は、このとき量子暗号通信で使用した前記認証用初期鍵を破棄し、鍵拡張された秘密鍵の一部を費消して次回の鍵管理局との量子暗号通信に備えて認証用秘密鍵として更新しておく第1の通信ステップと、
前記第1及び第2のエンティティ間で接続された量子通信路を用いて量子暗号通信のための量子伝送を行う第2の通信ステップと、
前記第1及び第2のエンティティが前記鍵管理局を介して、伝送された量子を用いた量子暗号通信を完了するための古典情報の伝送を行い、このとき前記第1の通信ステップで各エンティティと鍵管理局で鍵拡張された秘密鍵を費消して各エンティティと鍵管理局の間で認証通信を行う第3の通信ステップと
を含むことを特徴とする量子暗号通信方法。
【請求項4】
ネットワークのノードとして単一の鍵管理局と複数のエンティティを備えた量子暗号通信システムであって、
前記鍵管理局及び前記複数のエンティティが、量子暗号通信可能な1本の量子通信路によってループ状に前記鍵管理局を始点及び終点とし前記複数のエンティティを貫通するように接続され、かつ古典通信可能な古典通信網にそれぞれ接続され、
前記鍵管理局を介して、任意のエンティティ間での量子暗号通信における古典通信の認証を行う
ことを特徴とする量子暗号通信システム。
【請求項5】
前記鍵管理局は、量子暗号通信を行うためであって、第1の乱数を生成する第1の乱数生成手段と、盗聴者の有無及び鍵共有を実行する第1のデータ処理手段と、生成した第1の乱数に従い量子を生成・変調して前記量子通信路へ伝送する量子送信手段と、生成した第1の乱数に従い前記量子通信路へ伝送された量子を測定する量子受信手段とを有するとともに、古典認証通信を行うためであって、全てのエンティティの認証用初期鍵を生成し、守秘性の保証された方法で各エンティティに配送する鍵管理手段と、認証子を生成する第1の認証子生成手段と、認証子を照合する第1の認証子照合手段と、前記古典通信網を介して古典通信を実行する第1の古典通信手段とを有し、
前記エンティティは、量子暗号通信を行うためであって、第2の乱数を生成する第2の乱数生成手段と、盗聴者の有無及び鍵共有を実行する第2のデータ処理手段と、生成した第2の乱数に従い前記量子通信路を通って伝送されてきた量子を変調した後、前記量子通信路へ伝送する量子変調手段と、前記量子変調手段に入射する信号光を量子レベルまで減光する可変アッテネータと、前記量子通信路から信号光を一部分岐するビームスプリッタと、分岐された信号光をモニタするモニタ用光検出手段とを有するとともに、古典認証通信を行うためであって、配送された認証用初期鍵を保持する秘密鍵保持手段と、認証子を生成する第2の認証子生成手段と、認証子を照合する第2の認証子照合手段と、前記古典通信網を介して古典通信を実行する第2の古典通信手段とを有する
ことを特徴とする請求項4記載の量子暗号通信システム。
【請求項6】
鍵管理局及び複数のエンティティが、量子暗号通信可能な1本の量子通信路によってループ状に前記鍵管理局を始点及び終点とし前記複数のエンティティを貫通するように接続され、かつ古典通信可能な古典通信網にそれぞれ接続されている量子暗号通信システムにおいて、
前記鍵管理局が各エンティティと秘密に共有する認証用初期鍵を各エンティティに配布する初期設定ステップと、
任意の第1及び第2のエンティティが量子暗号通信において秘密鍵を共有しようとするときに、前記第1及び第2のエンティティが、各々独立に前記鍵管理局と量子暗号通信を行って秘密鍵の拡張を行い、前記第1及び第2のエンティティ及び前記鍵管理局は、このとき量子暗号通信で使用した前記認証用初期鍵を破棄し、鍵拡張された秘密鍵の一部を費消して次回の鍵管理局との量子暗号通信に備えて認証用秘密鍵として更新しておく第1の通信ステップと、
前記第1及び第2のエンティティは、前記鍵管理局から送信され、各エンティティを貫通する量子通信路を通り、前記鍵管理局により受信される量子に対して、各々で生成した乱数に従い、独立にランダムな量子変調をかける第2の通信ステップと、
前記鍵管理局は、前記第1及び第2のエンティティに量子受信結果を古典通信で公表する第3の通信ステップと、
前記第1及び第2のエンティティが前記鍵管理局を介して、伝送された量子を用いた量子暗号通信を完了するための古典情報の伝送を行い、このとき前記第1の通信ステップで各エンティティと鍵管理局で鍵拡張された秘密鍵を費消して各エンティティと鍵管理局の間で認証通信を行う第4の通信ステップと
前記第1のエンティティは、乱数を生成し、前記第1の通信ステップで前記鍵管理局との間で鍵拡張された秘密鍵の残りを費消して、ワンタイムパッドで暗号化し、この暗号文を、前記第2〜4の通信ステップで生成された前記第1及び第2のエンティティ間での秘密鍵を費消してワンタイムパッドで暗号化して前記古典通信網を使って前記鍵管理局に送信するとともに、
前記鍵管理局は、前記第1の通信ステップにおいて前記第1のエンティティとの間で鍵拡張された秘密鍵の残りを費消して、ワンタイムパッドを復号し、前記第1の通信ステップにおいて前記第2のエンティティとの間で鍵拡張された秘密鍵を費消して、ワンタイムパッドで暗号化して、前記古典通信網を使って前記第2のエンティティに送信し、
前記第2のエンティティは、前記第1の通信ステップにおいて前記鍵管理局との間で鍵拡張された秘密鍵の残りを費消して、ワンタイムパッドを復号し、前記第2〜4の通信ステップで生成された前記第1及び第2のエンティティ間での秘密鍵を費消してワンタイムパッドを復号することで前記第1のエンティティが生成した乱数を最終的な秘密鍵として共有する第5の通信ステップと
を含むことを特徴とする量子暗号通信方法。
【請求項7】
ネットワークのノードとして単一の鍵管理局と複数のエンティティを備えた量子暗号通信システムであって、
前記鍵管理局及び前記複数のエンティティが、量子暗号通信可能な1本の量子通信路によってバス型に前記鍵管理局を一端に設置し量子を反射するミラーを他端に設置し両者の間に設置された前記複数のエンティティを貫通するように接続され、かつ古典通信可能な古典通信網にそれぞれ接続され、
前記鍵管理局を介して、任意のエンティティ間での量子暗号通信における古典通信の認証を行う
ことを特徴とする量子暗号通信システム。
【請求項8】
前記鍵管理局は、量子暗号通信を行うためであって、第1の乱数を生成する第1の乱数生成手段と、盗聴者の有無及び鍵共有を実行する第1のデータ処理手段と、生成した第1の乱数に従い量子を生成・変調して前記量子通信路へ伝送する量子送信手段と、生成した第1の乱数に従い前記量子通信路へ伝送された量子を測定する量子受信手段とを有するとともに、古典認証通信を行うためであって、全てのエンティティの認証用初期鍵を生成し、守秘性の保証された方法で各エンティティに配送する鍵管理手段と、認証子を生成する第1の認証子生成手段と、認証子を照合する第1の認証子照合手段と、前記古典通信網を介して古典通信を実行する第1の古典通信手段とを有し、
前記エンティティは、量子暗号通信を行うためであって、第2の乱数を生成する第2の乱数生成手段と、盗聴者の有無及び鍵共有を実行する第2のデータ処理手段と、生成した第2の乱数に従い前記量子通信路を通って伝送されてきた量子を変調した後、前記量子通信路へ伝送する量子変調手段と、前記量子変調手段に入射する信号光を量子レベルまで減光する可変アッテネータと、前記量子通信路から信号光を一部分岐するビームスプリッタと、分岐された信号光をモニタするモニタ用光検出手段とを有するとともに、古典認証通信を行うためであって、配送された認証用初期鍵を保持する秘密鍵保持手段と、認証子を生成する第2の認証子生成手段と、認証子を照合する第2の認証子照合手段と、前記古典通信網を介して古典通信を実行する第2の古典通信手段とを有する
ことを特徴とする請求項7記載の量子暗号通信システム。
【請求項9】
鍵管理局及び複数のエンティティが、量子暗号通信可能な1本の量子通信路によってバス型に前記鍵管理局を一端に設置し量子を反射するミラーを他端に設置し両者の間に設置された前記複数のエンティティを貫通するように接続され、かつ古典通信可能な古典通信網にそれぞれ接続されている量子暗号通信システムにおいて、
前記鍵管理局が各エンティティと秘密に共有する認証用初期鍵を各エンティティに配布する初期設定ステップと、
任意の第1及び第2のエンティティが量子暗号通信において秘密鍵を共有しようとするときに、前記第1及び第2のエンティティが、各々独立に前記鍵管理局と量子暗号通信を行って秘密鍵の拡張を行い、前記第1及び第2のエンティティ及び前記鍵管理局は、このとき量子暗号通信で使用した前記認証用初期鍵を破棄し、鍵拡張された秘密鍵の一部を費消して次回の鍵管理局との量子暗号通信に備えて認証用秘密鍵として更新しておく第1の通信ステップと、
前記第1及び第2のエンティティは、前記鍵管理局から送信され、各エンティティを貫通する量子通信路を通り、前記鍵管理局により受信される量子に対して、各々で生成した乱数に従い、独立にランダムな量子変調をかける第2の通信ステップと、
前記鍵管理局は、前記第1及び第2のエンティティに量子受信結果を古典通信で公表する第3の通信ステップと、
前記第1及び第2のエンティティが前記鍵管理局を介して、伝送された量子を用いた量子暗号通信を完了するための古典情報の伝送を行い、このとき前記第1の通信ステップで各エンティティと鍵管理局で鍵拡張された秘密鍵を費消して各エンティティと鍵管理局の間で認証通信を行う第4の通信ステップと
前記第1のエンティティは、乱数を生成し、前記第1の通信ステップで前記鍵管理局との間で鍵拡張された秘密鍵の残りを費消して、ワンタイムパッドで暗号化し、この暗号文を、前記第2〜4の通信ステップで生成された前記第1及び第2のエンティティ間での秘密鍵を費消してワンタイムパッドで暗号化して前記古典通信網を使って前記鍵管理局に送信するとともに、
前記鍵管理局は、前記第1の通信ステップにおいて前記第1のエンティティとの間で鍵拡張された秘密鍵の残りを費消して、ワンタイムパッドを復号し、前記第1の通信ステップにおいて前記第2のエンティティとの間で鍵拡張された秘密鍵を費消して、ワンタイムパッドで暗号化して、前記古典通信網を使って前記第2のエンティティに送信し、
前記第2のエンティティは、前記第1の通信ステップにおいて前記鍵管理局との間で鍵拡張された秘密鍵の残りを費消して、ワンタイムパッドを復号し、前記第2〜4の通信ステップで生成された前記第1及び第2のエンティティ間での秘密鍵を費消してワンタイムパッドを復号することで前記第1のエンティティが生成した乱数を最終的な秘密鍵として共有する第5の通信ステップと
を含むことを特徴とする量子暗号通信方法。
【請求項1】
ネットワークのノードとして単一の鍵管理局と複数のエンティティを備えた量子暗号通信システムであって、
前記鍵管理局及び前記複数のエンティティが、量子暗号通信可能な量子通信路によって相互に1対1で接続され、かつ古典通信可能な古典通信網にそれぞれ接続され、
前記鍵管理局を介して、任意のエンティティ間での量子暗号通信における古典通信の認証を行う
ことを特徴とする量子暗号通信システム。
【請求項2】
前記鍵管理局は、量子暗号通信を行うためであって、第1の乱数を生成する第1の乱数生成手段と、盗聴者の有無及び鍵共有を実行する第1のデータ処理手段と、生成した第1の乱数に従い量子を生成・変調して前記量子通信路へ伝送する第1の量子送信手段と、生成した第1の乱数に従い前記量子通信路へ伝送された量子を測定する第1の量子受信手段とを有するとともに、古典認証通信を行うためであって、全てのエンティティの認証用初期鍵を生成し、守秘性の保証された方法で各エンティティに配送する鍵管理手段と、認証子を生成する第1の認証子生成手段と、認証子を照合する第1の認証子照合手段と、前記古典通信網を介して古典通信を実行する第1の古典通信手段とを有し、
前記エンティティは、量子暗号通信を行うためであって、第2の乱数を生成する第2の乱数生成手段と、盗聴者の有無及び鍵共有を実行する第2のデータ処理手段と、生成した第2の乱数に従い量子を生成・変調して前記量子通信路へ伝送する第2の量子送信手段と、生成した第2の乱数に従い前記量子通信路へ伝送された量子を測定する第2の量子受信手段とを有するとともに、古典認証通信を行うためであって、配送された認証用初期鍵を保持する秘密鍵保持手段と、認証子を生成する第2の認証子生成手段と、認証子を照合する第2の認証子照合手段と、前記古典通信網を介して古典通信を実行する第2の古典通信手段とを有する
ことを特徴とする請求項1記載の量子暗号通信システム。
【請求項3】
鍵管理局及び複数のエンティティが、量子暗号通信可能な量子通信路によって相互に1対1で接続され、かつ古典通信可能な古典通信網にそれぞれ接続されている量子暗号通信システムにおいて、
前記鍵管理局が各エンティティと秘密に共有する認証用初期鍵を各エンティティに配布する初期設定ステップと、
任意の第1及び第2のエンティティが量子暗号通信において秘密鍵を共有しようとするときに、前記第1及び第2のエンティティが、各々独立に前記鍵管理局と量子暗号通信を行って秘密鍵の拡張を行い、前記第1及び第2のエンティティ及び前記鍵管理局は、このとき量子暗号通信で使用した前記認証用初期鍵を破棄し、鍵拡張された秘密鍵の一部を費消して次回の鍵管理局との量子暗号通信に備えて認証用秘密鍵として更新しておく第1の通信ステップと、
前記第1及び第2のエンティティ間で接続された量子通信路を用いて量子暗号通信のための量子伝送を行う第2の通信ステップと、
前記第1及び第2のエンティティが前記鍵管理局を介して、伝送された量子を用いた量子暗号通信を完了するための古典情報の伝送を行い、このとき前記第1の通信ステップで各エンティティと鍵管理局で鍵拡張された秘密鍵を費消して各エンティティと鍵管理局の間で認証通信を行う第3の通信ステップと
を含むことを特徴とする量子暗号通信方法。
【請求項4】
ネットワークのノードとして単一の鍵管理局と複数のエンティティを備えた量子暗号通信システムであって、
前記鍵管理局及び前記複数のエンティティが、量子暗号通信可能な1本の量子通信路によってループ状に前記鍵管理局を始点及び終点とし前記複数のエンティティを貫通するように接続され、かつ古典通信可能な古典通信網にそれぞれ接続され、
前記鍵管理局を介して、任意のエンティティ間での量子暗号通信における古典通信の認証を行う
ことを特徴とする量子暗号通信システム。
【請求項5】
前記鍵管理局は、量子暗号通信を行うためであって、第1の乱数を生成する第1の乱数生成手段と、盗聴者の有無及び鍵共有を実行する第1のデータ処理手段と、生成した第1の乱数に従い量子を生成・変調して前記量子通信路へ伝送する量子送信手段と、生成した第1の乱数に従い前記量子通信路へ伝送された量子を測定する量子受信手段とを有するとともに、古典認証通信を行うためであって、全てのエンティティの認証用初期鍵を生成し、守秘性の保証された方法で各エンティティに配送する鍵管理手段と、認証子を生成する第1の認証子生成手段と、認証子を照合する第1の認証子照合手段と、前記古典通信網を介して古典通信を実行する第1の古典通信手段とを有し、
前記エンティティは、量子暗号通信を行うためであって、第2の乱数を生成する第2の乱数生成手段と、盗聴者の有無及び鍵共有を実行する第2のデータ処理手段と、生成した第2の乱数に従い前記量子通信路を通って伝送されてきた量子を変調した後、前記量子通信路へ伝送する量子変調手段と、前記量子変調手段に入射する信号光を量子レベルまで減光する可変アッテネータと、前記量子通信路から信号光を一部分岐するビームスプリッタと、分岐された信号光をモニタするモニタ用光検出手段とを有するとともに、古典認証通信を行うためであって、配送された認証用初期鍵を保持する秘密鍵保持手段と、認証子を生成する第2の認証子生成手段と、認証子を照合する第2の認証子照合手段と、前記古典通信網を介して古典通信を実行する第2の古典通信手段とを有する
ことを特徴とする請求項4記載の量子暗号通信システム。
【請求項6】
鍵管理局及び複数のエンティティが、量子暗号通信可能な1本の量子通信路によってループ状に前記鍵管理局を始点及び終点とし前記複数のエンティティを貫通するように接続され、かつ古典通信可能な古典通信網にそれぞれ接続されている量子暗号通信システムにおいて、
前記鍵管理局が各エンティティと秘密に共有する認証用初期鍵を各エンティティに配布する初期設定ステップと、
任意の第1及び第2のエンティティが量子暗号通信において秘密鍵を共有しようとするときに、前記第1及び第2のエンティティが、各々独立に前記鍵管理局と量子暗号通信を行って秘密鍵の拡張を行い、前記第1及び第2のエンティティ及び前記鍵管理局は、このとき量子暗号通信で使用した前記認証用初期鍵を破棄し、鍵拡張された秘密鍵の一部を費消して次回の鍵管理局との量子暗号通信に備えて認証用秘密鍵として更新しておく第1の通信ステップと、
前記第1及び第2のエンティティは、前記鍵管理局から送信され、各エンティティを貫通する量子通信路を通り、前記鍵管理局により受信される量子に対して、各々で生成した乱数に従い、独立にランダムな量子変調をかける第2の通信ステップと、
前記鍵管理局は、前記第1及び第2のエンティティに量子受信結果を古典通信で公表する第3の通信ステップと、
前記第1及び第2のエンティティが前記鍵管理局を介して、伝送された量子を用いた量子暗号通信を完了するための古典情報の伝送を行い、このとき前記第1の通信ステップで各エンティティと鍵管理局で鍵拡張された秘密鍵を費消して各エンティティと鍵管理局の間で認証通信を行う第4の通信ステップと
前記第1のエンティティは、乱数を生成し、前記第1の通信ステップで前記鍵管理局との間で鍵拡張された秘密鍵の残りを費消して、ワンタイムパッドで暗号化し、この暗号文を、前記第2〜4の通信ステップで生成された前記第1及び第2のエンティティ間での秘密鍵を費消してワンタイムパッドで暗号化して前記古典通信網を使って前記鍵管理局に送信するとともに、
前記鍵管理局は、前記第1の通信ステップにおいて前記第1のエンティティとの間で鍵拡張された秘密鍵の残りを費消して、ワンタイムパッドを復号し、前記第1の通信ステップにおいて前記第2のエンティティとの間で鍵拡張された秘密鍵を費消して、ワンタイムパッドで暗号化して、前記古典通信網を使って前記第2のエンティティに送信し、
前記第2のエンティティは、前記第1の通信ステップにおいて前記鍵管理局との間で鍵拡張された秘密鍵の残りを費消して、ワンタイムパッドを復号し、前記第2〜4の通信ステップで生成された前記第1及び第2のエンティティ間での秘密鍵を費消してワンタイムパッドを復号することで前記第1のエンティティが生成した乱数を最終的な秘密鍵として共有する第5の通信ステップと
を含むことを特徴とする量子暗号通信方法。
【請求項7】
ネットワークのノードとして単一の鍵管理局と複数のエンティティを備えた量子暗号通信システムであって、
前記鍵管理局及び前記複数のエンティティが、量子暗号通信可能な1本の量子通信路によってバス型に前記鍵管理局を一端に設置し量子を反射するミラーを他端に設置し両者の間に設置された前記複数のエンティティを貫通するように接続され、かつ古典通信可能な古典通信網にそれぞれ接続され、
前記鍵管理局を介して、任意のエンティティ間での量子暗号通信における古典通信の認証を行う
ことを特徴とする量子暗号通信システム。
【請求項8】
前記鍵管理局は、量子暗号通信を行うためであって、第1の乱数を生成する第1の乱数生成手段と、盗聴者の有無及び鍵共有を実行する第1のデータ処理手段と、生成した第1の乱数に従い量子を生成・変調して前記量子通信路へ伝送する量子送信手段と、生成した第1の乱数に従い前記量子通信路へ伝送された量子を測定する量子受信手段とを有するとともに、古典認証通信を行うためであって、全てのエンティティの認証用初期鍵を生成し、守秘性の保証された方法で各エンティティに配送する鍵管理手段と、認証子を生成する第1の認証子生成手段と、認証子を照合する第1の認証子照合手段と、前記古典通信網を介して古典通信を実行する第1の古典通信手段とを有し、
前記エンティティは、量子暗号通信を行うためであって、第2の乱数を生成する第2の乱数生成手段と、盗聴者の有無及び鍵共有を実行する第2のデータ処理手段と、生成した第2の乱数に従い前記量子通信路を通って伝送されてきた量子を変調した後、前記量子通信路へ伝送する量子変調手段と、前記量子変調手段に入射する信号光を量子レベルまで減光する可変アッテネータと、前記量子通信路から信号光を一部分岐するビームスプリッタと、分岐された信号光をモニタするモニタ用光検出手段とを有するとともに、古典認証通信を行うためであって、配送された認証用初期鍵を保持する秘密鍵保持手段と、認証子を生成する第2の認証子生成手段と、認証子を照合する第2の認証子照合手段と、前記古典通信網を介して古典通信を実行する第2の古典通信手段とを有する
ことを特徴とする請求項7記載の量子暗号通信システム。
【請求項9】
鍵管理局及び複数のエンティティが、量子暗号通信可能な1本の量子通信路によってバス型に前記鍵管理局を一端に設置し量子を反射するミラーを他端に設置し両者の間に設置された前記複数のエンティティを貫通するように接続され、かつ古典通信可能な古典通信網にそれぞれ接続されている量子暗号通信システムにおいて、
前記鍵管理局が各エンティティと秘密に共有する認証用初期鍵を各エンティティに配布する初期設定ステップと、
任意の第1及び第2のエンティティが量子暗号通信において秘密鍵を共有しようとするときに、前記第1及び第2のエンティティが、各々独立に前記鍵管理局と量子暗号通信を行って秘密鍵の拡張を行い、前記第1及び第2のエンティティ及び前記鍵管理局は、このとき量子暗号通信で使用した前記認証用初期鍵を破棄し、鍵拡張された秘密鍵の一部を費消して次回の鍵管理局との量子暗号通信に備えて認証用秘密鍵として更新しておく第1の通信ステップと、
前記第1及び第2のエンティティは、前記鍵管理局から送信され、各エンティティを貫通する量子通信路を通り、前記鍵管理局により受信される量子に対して、各々で生成した乱数に従い、独立にランダムな量子変調をかける第2の通信ステップと、
前記鍵管理局は、前記第1及び第2のエンティティに量子受信結果を古典通信で公表する第3の通信ステップと、
前記第1及び第2のエンティティが前記鍵管理局を介して、伝送された量子を用いた量子暗号通信を完了するための古典情報の伝送を行い、このとき前記第1の通信ステップで各エンティティと鍵管理局で鍵拡張された秘密鍵を費消して各エンティティと鍵管理局の間で認証通信を行う第4の通信ステップと
前記第1のエンティティは、乱数を生成し、前記第1の通信ステップで前記鍵管理局との間で鍵拡張された秘密鍵の残りを費消して、ワンタイムパッドで暗号化し、この暗号文を、前記第2〜4の通信ステップで生成された前記第1及び第2のエンティティ間での秘密鍵を費消してワンタイムパッドで暗号化して前記古典通信網を使って前記鍵管理局に送信するとともに、
前記鍵管理局は、前記第1の通信ステップにおいて前記第1のエンティティとの間で鍵拡張された秘密鍵の残りを費消して、ワンタイムパッドを復号し、前記第1の通信ステップにおいて前記第2のエンティティとの間で鍵拡張された秘密鍵を費消して、ワンタイムパッドで暗号化して、前記古典通信網を使って前記第2のエンティティに送信し、
前記第2のエンティティは、前記第1の通信ステップにおいて前記鍵管理局との間で鍵拡張された秘密鍵の残りを費消して、ワンタイムパッドを復号し、前記第2〜4の通信ステップで生成された前記第1及び第2のエンティティ間での秘密鍵を費消してワンタイムパッドを復号することで前記第1のエンティティが生成した乱数を最終的な秘密鍵として共有する第5の通信ステップと
を含むことを特徴とする量子暗号通信方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【公開番号】特開2006−203559(P2006−203559A)
【公開日】平成18年8月3日(2006.8.3)
【国際特許分類】
【出願番号】特願2005−13149(P2005−13149)
【出願日】平成17年1月20日(2005.1.20)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成16年度、独立行政法人情報通信研究機構、「量子暗号技術の研究開発」委託契約、産業活力再生特別措置法第30条の適用を受ける特許出願
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
【公開日】平成18年8月3日(2006.8.3)
【国際特許分類】
【出願日】平成17年1月20日(2005.1.20)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成16年度、独立行政法人情報通信研究機構、「量子暗号技術の研究開発」委託契約、産業活力再生特別措置法第30条の適用を受ける特許出願
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
[ Back to top ]