量子認証方法およびシステム
【課題】
量子通信によるネットワークにおいて、なりすましや情報漏えいやを防ぐために必要な量子認証装置を提供する。
【解決手段】
認証用の共有鍵とセッションごとに生成する乱数を用いて、認証用鍵を持たないものには正しく生成できず、また認証用鍵を持たないものには正しく測定できない量子系列を生成送信、受信し、その結果を古典通信路により送受信装置間で照合しあうことで安全な相互認証が可能となる。
量子通信によるネットワークにおいて、なりすましや情報漏えいやを防ぐために必要な量子認証装置を提供する。
【解決手段】
認証用の共有鍵とセッションごとに生成する乱数を用いて、認証用鍵を持たないものには正しく生成できず、また認証用鍵を持たないものには正しく測定できない量子系列を生成送信、受信し、その結果を古典通信路により送受信装置間で照合しあうことで安全な相互認証が可能となる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、量子通信装置を用いた相互認証の方法とシステムに関する。
【背景技術】
【0002】
量子暗号は、Heisenbergの不確定性原理に安全性の根拠を置いており、いくら強力な計算機を想定しても盗聴に対して安全である暗号として近年注目を浴びている。量子暗号の中でも、特に、二者間で鍵を共有するために使われる技術を量子鍵配送という。
【0003】
量子鍵配送を実現するプロトコルとしては、1984年にBennett, Brassardが提案したBB84プロトコル(非特許文献1参照)、1991年にEkertが提案したE91プロトコル(非特許文献2参照)、1992年にBennettが提案したB92プロトコル(非特許文献3参照)が代表的である。
【0004】
非特許文献1に記載されているBB84プロトコルに従えば、一対の装置間で行われる通信に対する盗聴行為を検知でき、盗聴者の盗聴成功確率は無限の計算力を駆使しても無視できる程度しかない。この意味で、量子鍵配送は、従来の、計算量に安全性の根拠をおく公開鍵暗号技術を用いた鍵共有方法に対して、それを真に上回る安全性を有する。
【0005】
【非特許文献1】C. H. Bennett, G. Brassard, "Quantum Cryptography: Public Key Distribution and Coin Tossing", Proc. of IEEE Int. Conf. On Comp. Sys. And Signal Proc., Bangalore, India, 175-179, 1984.
【非特許文献2】C. H. Bennett, "Quantum Cryptography Using Any Two Nonorthogonal States", Physical Review Letters, vol.68, no.21, 3121-3124, 1992.
【非特許文献3】A. K. Ekert, "Quantum Cryptography Based on Bell's Theorem", Physical Review Letter, vol.67, no.6, 661-663, 1991.
【非特許文献4】C. Crepeau and L. Salvail, "Quantum Oblivious Mutual Identification", EuroCrypto '95, Springer-Verlag, 133-146, 1996.
【発明の開示】
【発明が解決しようとする課題】
【0006】
非特許文献1、2、3が提案する量子鍵配送方法は、量子通信路の使用を前提とし、量子通信路の両端に接続された二つの量子通信可能な装置(量子通信装置という)の正当性を仮定した上で、安全な鍵配送が可能であることを主張するものである。しかしながら、将来予想される、複数の量子通信装置が混在するネットワーク環境においては、任意の2個の量子通信装置間で鍵を共有する前に、相手の正当性を相互に確かめる相互認証が、安全性を確保する上で不可欠である。
【0007】
従来の暗号技術を用いることにより相互認証を行うことは可能であるが、その安全性は計算量に依存したものであるから、量子鍵配送と組み合わせた場合、全体的な安全性は計算量的安全性に依存してしまい、量子鍵配送の存在価値が下がってしまう。非特許文献4は、量子通信装置の相互認証について述べているが、理論的な考察に留まっており、具体的な構成方法を開示していない。したがって、量子鍵配送と組み合わせても、全体的な安全性が計算量的安全性を真に上回る相互認証方法を構築することが必要となる。
【0008】
また、実際の量子通信路では、装置の性能が原因であったり、自然に発生したりする、不可避なノイズにより、送信した量子が、受信側に届かなかったり、また状態が変化するなど、理想的環境を構築することは困難である。そのため、量子通信装置や量子通信路の改良ではなく、ノイズの影響を受けない相互認証方法が望まれている。
【課題を解決するための手段】
【0009】
本発明は、計算量的安全性を真に上回る相互認証方法を構築するため、量子暗号、量子鍵配送に用いられている、量子原理に基づいた方法を採用する。特に、将来、量子鍵配送方式として主流になると考えられているBB84プロトコルで用いられている、二種類の二値物理量を利用した量子通信を相互認証のためにも用いることを特徴とする。これにより、相互認証とBB84プロトコルによる鍵配送とで用いる量子装置を変える必要がなくなる。
【0010】
前提として、相互に認証する装置が、あらかじめ安全な方法で、通信相手との認証用鍵Rと、認証用鍵Rのビット列から、上記二値物理量の種類の系列(以下、系統列という)を生成するための変換規則F(関数Fともいう)および、二種類の二値物理量における四つの状態とビット値との対応を示す対応表と、を共有する。なお、変換規則Fは、予め決定した、認証用鍵Rのビット値と本発明に用いる二値物理量の種類との対応を示すものとする。これらの共有は一回行うだけでよく、以降の相互認証実行時ではこの認証用鍵Rと変換規則Fと対応表を繰り返し用いることができる。
【0011】
上記前提の元で、相互認証する方法の概要を以下に述べる。
【0012】
前提として、相互に認証する装置が、あらかじめ安全な方法で、通信相手との認証用鍵Rと、量子の種類を示す量子種類と、それぞれの量子種類における前記二値物理量と、ビット値と、の対応を示す対応表と、入力ビット列から、対応する量子種類の系列(系統列ともいう)を生成する変換規則F(関数Fともいう)を共有する。これらの共有は一回行うだけでよく、以降の相互認証実行時ではこの認証用鍵Rと変換規則Fと対応表を繰り返し用いることができる。
【0013】
さらに、相互に認証する装置は、量子通信路と、古典通信路と、により接続されているものとする。本明細書において、量子通信とは、量子一つ一つに情報を乗せて送信または受信する通信を指し、古典通信とは、量子通信に対して、従来の通信全般を意味する。
【0014】
上記前提の元で、相互認証する方法の概要を以下に述べる。
【0015】
送信装置は、変換規則Fに従って、認証用鍵Rを入力として物理量の系列を生成し、
送信装置認証用情報生成規則に従って、認証の度に生成する乱数rから送信装置認証用ビット列を生成し、送信装置認証用ビット列と物理量の系列とから、対応表に従って、量子列を生成し、生成した量子列を、量子通信路を用いて、受信装置へ送信する。
【0016】
受信装置は、変換規則Fに従って、認証用鍵Rを入力とした、受信するはずの物理量の系列を生成し、生成した系列に対応する測定器により、量子列を測定する。 もし送信装置、受信装置が正当(両方とも正しい認証用鍵Rを持つ)であり、盗聴者が居なかった場合は、受信装置による測定結果は、送信された量子列と同じとなる。
さらに、受信装置は、対応表に従って、測定結果を送信装置認証用ビット列に変換し、送信装置認証用ビット列を、送信装置認証用規則に従って検査することにより、送信装置の正当性を検証する。
【0017】
より具体的な本発明の一態様は、量子の、二種類の二値物理量に対応した四種類の量子状態を利用して、送信装置と受信装置とが行う、量子通信における相互認証方法であって、
送信装置と受信装置は、認証用鍵Rと、二値物理量における二つの状態とビット値との対応を、二種類の二値物理量それぞれについて定めた対応表と、入力ビット列から、対応する物理量の種類の系列を生成する変換規則Fを共有し、送信装置は、変換規則Fに従って、認証用鍵Rを入力として物理量の種類の系列を生成し、乱数rを生成し、送信装置認証用量子列生成規則に従って、乱数rから送信装置認証用ビット列を生成し、送信装置認証用ビット列と物理量の種類の系列とから、対応表に従って、量子状態の系列である量子列を生成し、生成した量子列を、量子通信路を用いて、受信装置へ送信し、受信装置は、変換規則Fに従って、認証用鍵Rを入力として物理量の種類の系列を生成し、生成した系列が示す物理量の種類に対応する測定器により、量子列を測定し、対応表に従って、測定結果を送信装置認証用ビット列に変換し、送信装置認証用ビット列を、送信装置認証用規則に従って検査することにより、送信装置の正当性を検証し、送信装置を認証した場合に、送信装置認証用ビット列から、受信装置認証用ビット列生成規則に従って、受信装置認証用ビット列を生成し、受信装置認証用ビット列を、古典通信路を用いて、送信装置へ送信し、送信装置は、受信装置認証用ビット列を、受信装置認証用規則に従って検査することにより、送信装置を認証することを特徴とするものである。
【0018】
さらに、変換規則Fは、ビット0に対し物理量の種類Aを、ビット1に対し物理量の種類Bを対応させる関数であり、送信装置認証用量子列生成規則は、入力ビット列xを結合したx||xを送信装置認証用ビット列とし、送信装置認証用ビット列と物理量の種類の系列とから、対応表に従って、量子状態の系列である量子列を生成するものであり、送信装置認証用規則は、送信装置認証用ビット列の前半ビット列と後半ビット列が一致するならば、送信装置を認証するものであり、受信装置認証用ビット列生成規則は、送信装置認証用ビット列の前半ビット列または後半ビット列を、受信装置認証用ビット列とするものであり、受信装置認証用規則は、受信装置認証用ビット列が乱数rと一致するならば、受信装置を認証するものであってもよい。
【0019】
また、変換規則Fは、ビット0に対し物理量の種類Aを、ビット1に対し物理量の種類Bを対応させる関数であり、送信装置認証用量子列生成規則は、二つのビット列x、yと、物理量の系列Pが入力されたとき、yの結合(y||y)のi番目のビットに対し、それとxとP、およびiに依存した、固定長nの量子列を生成し、(y||y)のすべてのビットに対して生成された量子列を結合した量子列を出力するものであり、送信装置認証用規則は、請求項1に記載の受信装置が生成するビット列sに対して、sをnビットのブロックに分割し、各i番目のブロックに対し、xとP、およびiを用いて、ビット0、1を特定することによりビット列Yを生成し、Yの前半ビット列と後半ビット列が一致するならば送信装置を認証するものであり、受信装置認証用ビット列生成規則は、ビット列Yの前半ビット列または後半ビット列を、受信装置認証用ビット列とするものであってもよい。
【0020】
さらに、送信装置は、乱数rの代わりに、入力ビット列xを用い、受信装置は、送信装置認証用量子列生成規則と、送信装置認証用規則と、を用いて、送信装置を認証した場合に、ビット列Yの前半ビット列を送信された入力ビット列xとして出力することにより、送信装置と、入力ビット列xを共有してもよい。
【0021】
上記認証方法を用いれば、もし送信装置、受信装置が正当(両方とも正しい認証用鍵Rを持つ)であり、盗聴者が居る場合は、受信装置による測定結果は、送信された量子列と異なるものとなり、受信装置は送信装置が不正であるか、盗聴者が居るものと判断することができる。盗聴者の存在により認証に失敗する機能は、以降の通信の盗聴を防ぐことができるという、従来の認証方法にはない特徴を備えるもので、これにより通信の安全性を高めることができる。
【発明の効果】
【0022】
本発明により、量子暗号または量子暗号通信の装置が複数混在するネットワーク上の任意の2個の装置が、計算量的安全性を真に上回る安全性を持って、一回の量子通信により、相互認証することが可能となる。
【0023】
さらに、本発明と量子鍵配送と組み合わせた場合であっても、全体的な安全性が計算量的安全性を真に上回ることが可能となる。
【発明を実施するための最良の形態】
【0024】
本発明の量子認証方法では、BB84プロトコルと同様、二種の二値物理量を用いる。その一態様においては量子として、0度、45度、90度、135度の偏光という四種類の量子状態からなる光子を取り扱うこととし、光子の0度または90度の偏光を+系統の偏光と呼び、一つの種類の二値物理量として扱い、光子の45度または135度の偏光を×系統の偏光と呼び、もう一つの種類の二値物理量として扱う。
【0025】
また、Heisenbergの不確定性原理に依れば、これら4種類の偏光の全てを一度の測定で判別する測定器は存在しない。光子の0度または90度の偏光(+系統の偏光)を判別する測定器を+型測定器とし、光子の45度または135度の偏光(×系統の偏光)を判別する測定器を×型測定器と呼ぶ。+型測定器では+系統の偏光を正しく測定できるが、×系統の偏光を測定すると{45度、135度}の偏光を判別できないだけでなく、光子の状態が、{0度、90度}のどちらかの偏光になるような変化を与えてしまう。どちらの偏光になるかは全くランダムであり、予測不能である。
【0026】
同様に、×型測定器では×系統の偏光を正しく測定することができるが、+系統の偏光を測定すると偏光の状態を判別できない上に、偏光の状態を45度または135度の偏光にランダムに変化させる。
【0027】
量子として光子を取り扱う例においては、4種類の偏光各々にビット値を対応付けて、その内容を事前に共有する。例えば、図1の対応表に示すように、+系統の0度偏光には0を、90度偏光には1を割り当て、×系統の45度偏光には0を、135度偏光には1を割り当てる。
【0028】
また、二値物理量の種類(光子の場合は偏光の系統)そのものに対しても、ビット値を対応付けて、その対応づけを変換規則Fとして、量子通信に先立ち共有する。例えば、+系統にはビット0を、×系統にはビット1を割り当てる。
【0029】
これらの対応付けはこの限りではないし、秘密にする必要もない。さらに、共有に際しては、古典通信路を用いて行うことも可能である。
【0030】
また、以下に説明する各実施例では、光子の偏光に情報を対応させた量子通信を用いて説明するが、BB84プロトコルと同様、二種の二値物理量を用いるものであれば、任意の量子通信を用いて、本発明の相互認証を実施することができる。
【0031】
本発明の量子認証方法の実施例を図2、図3を用いて説明する。
【0032】
図2は量子通信路219と古典通信路220で接続された送信装置201と受信装置202が相互認証を行う手順を表したものである。送信装置201は乱数生成器を有しているとする。また、送信装置201と受信装置202は、予め、ビット列である、認証用鍵R(203)を秘密裏に共有しているものとする。
【0033】
秘密裏に共有するための方法としては、例えば、認証用鍵R(203)を記憶媒体に格納して一方が他方に持って行き、周知の方法で装置の正当性を確認した後、相手装置内に認証用鍵R(203)を移す方法などが挙げられる。
【0034】
相互認証を行う場合、送信装置201は認証用鍵R(203)から、後述する変換規則F(204)に従い、物理量の種類である光子の偏光(+系統または×系統)の系列(以下、光子系列という)を決定する(ステップ205、以下、ステップをSと略す)。
【0035】
次に乱数rを生成し(S206)、認証用鍵R(203)と乱数r、およびS205で決定した光子系列から、送信装置認証用情報生成規則として後述する、変換規則G(207)に従い、二値物理量の系列として光子列を決定する(S208)。
【0036】
受信装置202は、光子を受信する準備として、認証用鍵R(203)から、変換規則F(204)に従って、量子種類の系列として光子系列(受信装置202にとっては、+型、×型いずれの光子測定器を用いるかを示す測定器系列でもある)を決定する(S210)。
【0037】
送信装置201は、決定した光子列を量子通信路219を用いて受信装置202に送信する(S209)。
【0038】
受信装置202はS209で送信装置201から送信された光子列を測定して(S211)、測定結果と、S210で認証用鍵Rに基づき決定した測定器系列から、送信装置認証用規則としてのチェック規則Hによって、送信装置201の正当性をチェックする(S212)。チェック結果がNGならば通信を終了(S214)し、OKならば、受信装置202は送信装置201を正当であると判断する。
【0039】
ここまでのステップにより、受信装置202が送信装置201の正当性をチェックする片方向認証が可能となる。さらに相互認証を行う場合には、受信装置202は測定結果に関するデータxを、古典通信路220を用いて送信装置201に送信する(S213)。
【0040】
送信装置201は古典通信路220を用いて送信されたデータxを受信し(S215)、認証用鍵R(203)、S206で生成した乱数r、およびデータxを用いて、受信装置認証用規則に従って受信装置202の正当性をチェックする(S216)。チェック結果がNGならば通信を終了し(S218)、OKならば受信装置202を正当であると判断して相互認証手順を終了し(S217)、その後の通信に移行する。
【0041】
認証成功後に、上記構成をそのまま利用して、送信装置201から受信装置202への量子鍵配送(例えばBB84プロトコル)を行うことができる。逆の方向で量子鍵配送を行う場合には、送信装置201は、上記に加え、量子検出器を、受信装置202は、量子生成器と乱数生成器を用意すればよい。
【0042】
上記変換規則F(204)として、+系統にはビット0を、×系統にはビット1を割り当てる対応により、ビット列である認証用鍵R(203)、あるいはその一部から光子系統列、すなわち測定器系列を生成するものを選択してもよい。
【0043】
上記変換規則G(207)として、例えば、乱数rをビット列とみなし、送信装置認証用ビット列としてその結合(r||r)を作り、S205で決定した光子系統列と、図1に示す対応付けに基づき、上記(r||r)から光子列を生成する。上述の通り、図1に示す対応は一例であって、この限りではない。
【0044】
このように変換規則Gを決定した場合、チェック規則Hは、まず、S211で得た測定結果と、S210で決定した測定器系列(またはそれに対応する光子系統列)と、図1に示す対応表と、に基づき送信装置認証用ビット列になるはずのビット列sを復元するものとする。さらに、送信装置認証用ビット列の生成に用いた上記結合に対応して、sの前半ビット列と後半ビット列が一致する場合にOKを、しない場合にNGを出力するものとする。
【0045】
また、OKの場合、S213で送信するデータxはsの前半ビット列とする。
【0046】
S216の受信装置202の正当性チェックステップでは、s=rが成り立てばOKを、成り立たない場合はNGを出力するものとする。
【0047】
上記手順を具体例を用いて説明する。
【0048】
認証用鍵R(203)が長さ6のビット列「100110」の場合、例示した上記変換規則F(204)により、S205で生成される光子系統列は「×++××+」となる。
【0049】
S206で生成された乱数rが「101」であったとすると、例示した上記変換規則G(207)により、S208において、まず結合「101101」が作られ、図1の対応表に従い、「135度、0度、90度、135度、45度、90度」の光子列が決定される。
【0050】
S209で、送信装置201は上記光子列を量子通信路219を用いて受信装置202に送信する。
【0051】
受信装置202は認証用鍵R(203)「100110」から、上記変換規則F(204)により、S210で測定器系列「×++××+」を決定する。
【0052】
S211での受信装置202による測定結果は、送信装置201、受信装置202が正当(両方とも正しい認証用鍵R(203)を持つ)であり、盗聴者が居なかった場合は、送信した光子列と同じ「135度、0度、90度、135度、45度、90度」となる。
【0053】
受信装置202はこれをチェック規則Hに従い、まず、図1の対応表に従って、ビット列s「101101」に変換し、次にビット列sの前半ビット列「101」と後半ビット列「101」が一致することを確認し、ここまでのステップで送信装置201の正当性を確認する(S212)。
【0054】
さらにS213で、受信装置202はビット列sの前半ビット列(=後半ビット列)の「101」をデータxとして送信装置201に古典通信路220を用いて送信する(S213)。
【0055】
送信装置201は送られてきたデータx=「101」と、S206で生成した乱数r=「101」が一致することを確認し、受信装置202の正当性を受理する(S216)。
【0056】
上記具体例では、説明のため短い鍵長で説明したが、実際には鍵長は数百ビットであることが望ましい。
【0057】
量子通信路219において、ノイズが多く、送信した光子のいくつかが届かない場合や、偏光状態が変化してしまう場合には、変換規則Gとして、(r||r)のi番目のビットに対し、認証用鍵R(203)からある固定長の光子列を生成し、これらを結合して光子列を生成するもの(これをG’という)を選択してもよい。
【0058】
この変換規則G'は、(r||r)の各ビットを、より冗長な光子列に変換させる変換規則であり、いくつかの光子がノイズの影響を受けて、受信できなかったり、状態が変化したりしても、他の冗長部分から(r||r)の各ビットを復元できるよう工夫したものである。
【0059】
このように変換規則G'を決定した場合、チェック規則Hは、S211で得た測定結果と、S210で決定した測定器の型(またはそれに対応する光子系統)と、図1に示す対応表と、に基づき、ビット列sを生成し、これを固定長のブロックに分割して、i番目のブロックに対し、認証用鍵R(203)とiから、ビット0、または1を、Gの光子列の生成方法に依存した方法で決定し、これらを結合してビット列tを生成、tの前半ビット列と後半ビット列が一致する場合にOKを、しない場合にNGを出力するものとする。
【0060】
上記のノイズ対策用の変換規則G'において、具体的に、
(r||r)のi番目のビットbiと、認証用鍵R(203)に対して、
RはR=R11||R21||...||Ri1||Ri2||...のように分割されているとし、Ri1から変換規則F(204)によって光子系統列Piを決定し、
Ri2をハッシュ関数hに入力し、その出力ビット列hiに対し、biが0ならばh'i=hi、biが1ならばその反転ビット列をh'iとし、h'iと、Piから図1に示す対応により光子列を生成するも(これをG''という)のを選択することもできる。
【0061】
この変換規則G''を決定した場合、チェック規則Hは、S211で得た測定結果をブロック分割し、i番目のブロックに対し、変換規則G''の内部手順と同様に生成したハッシュ値hiとの比較で、一致箇所が不一致箇所より多い場合にはビット0を、そうでない場合にはビット1を生成し、これらを結合したビット列Yを生成、その前半ビット列と後半ビット列が一致するならばOKを、そうでないならNGを出力するものとする。
【0062】
S206で生成する乱数rの代わりに、送信装置201が任意に選択したビット列xを用い、受信装置202はS212のチェックでOKの場合、S213でデータを送信せず、そのデータから送信装置の送信したデータxを取り出して通信を終了することで、送信装置と受信装置の間でデータxを安全に送信する暗号通信が可能である。
【0063】
具体的には、ノイズ対策用の変換規則G''を用いた場合には、対応する変換規則Hによるチェック後、OKの場合に、生成したビット列Yの前半ビット列を送信装置201が送信したデータxであるとみなすことにより暗号通信が可能となる。
【0064】
図3は図2の手順を実施する場合の装置構成図である。
【0065】
図2に示す送信装置201は、光子生成送信装置(301)とそれに接続された計算装置(308)で構成され、図2に示す受信装置202は、光子受信測定装置(302)とそれに接続された計算装置(309)で構成される。
【0066】
光子生成送信装置(301)は光子生成器(304)と、コントローラ(305)を装備し、光子受信測定装置(302)は光子測定器(306)と、コントローラ(307)を装備している。
【0067】
光子生成送信装置(301)に接続された計算装置(308)は内部に、CPU(310)、記憶部(313)および、光子生成送信装置(301)とのインターフェース(311)、古典通信路(220)とのインターフェース(312)を装備し、記憶部(313)には量子認証用のプログラム(314)と、認証用鍵R(203)が記憶されている。さらに計算装置(308)は、乱数生成器(319)と接続されている。
【0068】
光子受信測定装置(302)に接続された計算装置(309)内部に、CPU(310)、記憶部(313)および、光子受信測定装置(302)とのインターフェース(311)、古典通信路(220)とのインターフェース(312)を装備し、記憶部(313)には量子認証用のプログラム(316)と、認証用鍵R(203)が記憶されている。
【0069】
本実施例による相互認証を、図2に示す手順で行う場合、光子生成送信装置(201)に接続された計算装置(308)の記憶部(313)に記憶されたプログラム(314)には上記変換規則G、および受信装置(202)の正当性チェック(216)を行うプログラムが含まれており、手順に応じて呼び出され、CPU(310)により実行される。
【0070】
光子受信測定装置(202)に接続された計算装置(309)の記憶部(313)に記憶されたプログラム(316)には上記チェック規則Hを行うプログラムが含まれており、手順に応じて呼び出され、CPU(310)により実行される。
【0071】
計算装置(308、309)の記憶部(313)は、記憶されている認証用鍵R(203)が第三者に漏洩しないよう、耐タンパ処理を施すことが望ましい。
【0072】
以上説明したように、本実施例によれば、複数の量子鍵配送装置が混在する状況で、鍵配送を行う前に本実施例による相互認証を行うことで、不正な送受信装置によるなりすましや、その後の暗号通信での通信内容漏洩を高い安全性で防ぐことができる。
【0073】
したがって、量子鍵配送と組み合わせても、全体的な安全性が計算量的安全性を真に上回ることが可能となる。
【図面の簡単な説明】
【0074】
【図1】ビット値、光子系統と光子偏光との対応表である。
【図2】送信装置と受信装置が相互認証を行う手順の一例である。
【図3】図2の手順を実施する場合の装置構成例である。
【符号の説明】
【0075】
201:送信装置、202:受信装置、301:光子生成送信装置、302:光子受信測定装置、303:量子通信路、308:計算装置、309:計算装置、317:古典通信路、319:乱数生成器。
【技術分野】
【0001】
本発明は、量子通信装置を用いた相互認証の方法とシステムに関する。
【背景技術】
【0002】
量子暗号は、Heisenbergの不確定性原理に安全性の根拠を置いており、いくら強力な計算機を想定しても盗聴に対して安全である暗号として近年注目を浴びている。量子暗号の中でも、特に、二者間で鍵を共有するために使われる技術を量子鍵配送という。
【0003】
量子鍵配送を実現するプロトコルとしては、1984年にBennett, Brassardが提案したBB84プロトコル(非特許文献1参照)、1991年にEkertが提案したE91プロトコル(非特許文献2参照)、1992年にBennettが提案したB92プロトコル(非特許文献3参照)が代表的である。
【0004】
非特許文献1に記載されているBB84プロトコルに従えば、一対の装置間で行われる通信に対する盗聴行為を検知でき、盗聴者の盗聴成功確率は無限の計算力を駆使しても無視できる程度しかない。この意味で、量子鍵配送は、従来の、計算量に安全性の根拠をおく公開鍵暗号技術を用いた鍵共有方法に対して、それを真に上回る安全性を有する。
【0005】
【非特許文献1】C. H. Bennett, G. Brassard, "Quantum Cryptography: Public Key Distribution and Coin Tossing", Proc. of IEEE Int. Conf. On Comp. Sys. And Signal Proc., Bangalore, India, 175-179, 1984.
【非特許文献2】C. H. Bennett, "Quantum Cryptography Using Any Two Nonorthogonal States", Physical Review Letters, vol.68, no.21, 3121-3124, 1992.
【非特許文献3】A. K. Ekert, "Quantum Cryptography Based on Bell's Theorem", Physical Review Letter, vol.67, no.6, 661-663, 1991.
【非特許文献4】C. Crepeau and L. Salvail, "Quantum Oblivious Mutual Identification", EuroCrypto '95, Springer-Verlag, 133-146, 1996.
【発明の開示】
【発明が解決しようとする課題】
【0006】
非特許文献1、2、3が提案する量子鍵配送方法は、量子通信路の使用を前提とし、量子通信路の両端に接続された二つの量子通信可能な装置(量子通信装置という)の正当性を仮定した上で、安全な鍵配送が可能であることを主張するものである。しかしながら、将来予想される、複数の量子通信装置が混在するネットワーク環境においては、任意の2個の量子通信装置間で鍵を共有する前に、相手の正当性を相互に確かめる相互認証が、安全性を確保する上で不可欠である。
【0007】
従来の暗号技術を用いることにより相互認証を行うことは可能であるが、その安全性は計算量に依存したものであるから、量子鍵配送と組み合わせた場合、全体的な安全性は計算量的安全性に依存してしまい、量子鍵配送の存在価値が下がってしまう。非特許文献4は、量子通信装置の相互認証について述べているが、理論的な考察に留まっており、具体的な構成方法を開示していない。したがって、量子鍵配送と組み合わせても、全体的な安全性が計算量的安全性を真に上回る相互認証方法を構築することが必要となる。
【0008】
また、実際の量子通信路では、装置の性能が原因であったり、自然に発生したりする、不可避なノイズにより、送信した量子が、受信側に届かなかったり、また状態が変化するなど、理想的環境を構築することは困難である。そのため、量子通信装置や量子通信路の改良ではなく、ノイズの影響を受けない相互認証方法が望まれている。
【課題を解決するための手段】
【0009】
本発明は、計算量的安全性を真に上回る相互認証方法を構築するため、量子暗号、量子鍵配送に用いられている、量子原理に基づいた方法を採用する。特に、将来、量子鍵配送方式として主流になると考えられているBB84プロトコルで用いられている、二種類の二値物理量を利用した量子通信を相互認証のためにも用いることを特徴とする。これにより、相互認証とBB84プロトコルによる鍵配送とで用いる量子装置を変える必要がなくなる。
【0010】
前提として、相互に認証する装置が、あらかじめ安全な方法で、通信相手との認証用鍵Rと、認証用鍵Rのビット列から、上記二値物理量の種類の系列(以下、系統列という)を生成するための変換規則F(関数Fともいう)および、二種類の二値物理量における四つの状態とビット値との対応を示す対応表と、を共有する。なお、変換規則Fは、予め決定した、認証用鍵Rのビット値と本発明に用いる二値物理量の種類との対応を示すものとする。これらの共有は一回行うだけでよく、以降の相互認証実行時ではこの認証用鍵Rと変換規則Fと対応表を繰り返し用いることができる。
【0011】
上記前提の元で、相互認証する方法の概要を以下に述べる。
【0012】
前提として、相互に認証する装置が、あらかじめ安全な方法で、通信相手との認証用鍵Rと、量子の種類を示す量子種類と、それぞれの量子種類における前記二値物理量と、ビット値と、の対応を示す対応表と、入力ビット列から、対応する量子種類の系列(系統列ともいう)を生成する変換規則F(関数Fともいう)を共有する。これらの共有は一回行うだけでよく、以降の相互認証実行時ではこの認証用鍵Rと変換規則Fと対応表を繰り返し用いることができる。
【0013】
さらに、相互に認証する装置は、量子通信路と、古典通信路と、により接続されているものとする。本明細書において、量子通信とは、量子一つ一つに情報を乗せて送信または受信する通信を指し、古典通信とは、量子通信に対して、従来の通信全般を意味する。
【0014】
上記前提の元で、相互認証する方法の概要を以下に述べる。
【0015】
送信装置は、変換規則Fに従って、認証用鍵Rを入力として物理量の系列を生成し、
送信装置認証用情報生成規則に従って、認証の度に生成する乱数rから送信装置認証用ビット列を生成し、送信装置認証用ビット列と物理量の系列とから、対応表に従って、量子列を生成し、生成した量子列を、量子通信路を用いて、受信装置へ送信する。
【0016】
受信装置は、変換規則Fに従って、認証用鍵Rを入力とした、受信するはずの物理量の系列を生成し、生成した系列に対応する測定器により、量子列を測定する。 もし送信装置、受信装置が正当(両方とも正しい認証用鍵Rを持つ)であり、盗聴者が居なかった場合は、受信装置による測定結果は、送信された量子列と同じとなる。
さらに、受信装置は、対応表に従って、測定結果を送信装置認証用ビット列に変換し、送信装置認証用ビット列を、送信装置認証用規則に従って検査することにより、送信装置の正当性を検証する。
【0017】
より具体的な本発明の一態様は、量子の、二種類の二値物理量に対応した四種類の量子状態を利用して、送信装置と受信装置とが行う、量子通信における相互認証方法であって、
送信装置と受信装置は、認証用鍵Rと、二値物理量における二つの状態とビット値との対応を、二種類の二値物理量それぞれについて定めた対応表と、入力ビット列から、対応する物理量の種類の系列を生成する変換規則Fを共有し、送信装置は、変換規則Fに従って、認証用鍵Rを入力として物理量の種類の系列を生成し、乱数rを生成し、送信装置認証用量子列生成規則に従って、乱数rから送信装置認証用ビット列を生成し、送信装置認証用ビット列と物理量の種類の系列とから、対応表に従って、量子状態の系列である量子列を生成し、生成した量子列を、量子通信路を用いて、受信装置へ送信し、受信装置は、変換規則Fに従って、認証用鍵Rを入力として物理量の種類の系列を生成し、生成した系列が示す物理量の種類に対応する測定器により、量子列を測定し、対応表に従って、測定結果を送信装置認証用ビット列に変換し、送信装置認証用ビット列を、送信装置認証用規則に従って検査することにより、送信装置の正当性を検証し、送信装置を認証した場合に、送信装置認証用ビット列から、受信装置認証用ビット列生成規則に従って、受信装置認証用ビット列を生成し、受信装置認証用ビット列を、古典通信路を用いて、送信装置へ送信し、送信装置は、受信装置認証用ビット列を、受信装置認証用規則に従って検査することにより、送信装置を認証することを特徴とするものである。
【0018】
さらに、変換規則Fは、ビット0に対し物理量の種類Aを、ビット1に対し物理量の種類Bを対応させる関数であり、送信装置認証用量子列生成規則は、入力ビット列xを結合したx||xを送信装置認証用ビット列とし、送信装置認証用ビット列と物理量の種類の系列とから、対応表に従って、量子状態の系列である量子列を生成するものであり、送信装置認証用規則は、送信装置認証用ビット列の前半ビット列と後半ビット列が一致するならば、送信装置を認証するものであり、受信装置認証用ビット列生成規則は、送信装置認証用ビット列の前半ビット列または後半ビット列を、受信装置認証用ビット列とするものであり、受信装置認証用規則は、受信装置認証用ビット列が乱数rと一致するならば、受信装置を認証するものであってもよい。
【0019】
また、変換規則Fは、ビット0に対し物理量の種類Aを、ビット1に対し物理量の種類Bを対応させる関数であり、送信装置認証用量子列生成規則は、二つのビット列x、yと、物理量の系列Pが入力されたとき、yの結合(y||y)のi番目のビットに対し、それとxとP、およびiに依存した、固定長nの量子列を生成し、(y||y)のすべてのビットに対して生成された量子列を結合した量子列を出力するものであり、送信装置認証用規則は、請求項1に記載の受信装置が生成するビット列sに対して、sをnビットのブロックに分割し、各i番目のブロックに対し、xとP、およびiを用いて、ビット0、1を特定することによりビット列Yを生成し、Yの前半ビット列と後半ビット列が一致するならば送信装置を認証するものであり、受信装置認証用ビット列生成規則は、ビット列Yの前半ビット列または後半ビット列を、受信装置認証用ビット列とするものであってもよい。
【0020】
さらに、送信装置は、乱数rの代わりに、入力ビット列xを用い、受信装置は、送信装置認証用量子列生成規則と、送信装置認証用規則と、を用いて、送信装置を認証した場合に、ビット列Yの前半ビット列を送信された入力ビット列xとして出力することにより、送信装置と、入力ビット列xを共有してもよい。
【0021】
上記認証方法を用いれば、もし送信装置、受信装置が正当(両方とも正しい認証用鍵Rを持つ)であり、盗聴者が居る場合は、受信装置による測定結果は、送信された量子列と異なるものとなり、受信装置は送信装置が不正であるか、盗聴者が居るものと判断することができる。盗聴者の存在により認証に失敗する機能は、以降の通信の盗聴を防ぐことができるという、従来の認証方法にはない特徴を備えるもので、これにより通信の安全性を高めることができる。
【発明の効果】
【0022】
本発明により、量子暗号または量子暗号通信の装置が複数混在するネットワーク上の任意の2個の装置が、計算量的安全性を真に上回る安全性を持って、一回の量子通信により、相互認証することが可能となる。
【0023】
さらに、本発明と量子鍵配送と組み合わせた場合であっても、全体的な安全性が計算量的安全性を真に上回ることが可能となる。
【発明を実施するための最良の形態】
【0024】
本発明の量子認証方法では、BB84プロトコルと同様、二種の二値物理量を用いる。その一態様においては量子として、0度、45度、90度、135度の偏光という四種類の量子状態からなる光子を取り扱うこととし、光子の0度または90度の偏光を+系統の偏光と呼び、一つの種類の二値物理量として扱い、光子の45度または135度の偏光を×系統の偏光と呼び、もう一つの種類の二値物理量として扱う。
【0025】
また、Heisenbergの不確定性原理に依れば、これら4種類の偏光の全てを一度の測定で判別する測定器は存在しない。光子の0度または90度の偏光(+系統の偏光)を判別する測定器を+型測定器とし、光子の45度または135度の偏光(×系統の偏光)を判別する測定器を×型測定器と呼ぶ。+型測定器では+系統の偏光を正しく測定できるが、×系統の偏光を測定すると{45度、135度}の偏光を判別できないだけでなく、光子の状態が、{0度、90度}のどちらかの偏光になるような変化を与えてしまう。どちらの偏光になるかは全くランダムであり、予測不能である。
【0026】
同様に、×型測定器では×系統の偏光を正しく測定することができるが、+系統の偏光を測定すると偏光の状態を判別できない上に、偏光の状態を45度または135度の偏光にランダムに変化させる。
【0027】
量子として光子を取り扱う例においては、4種類の偏光各々にビット値を対応付けて、その内容を事前に共有する。例えば、図1の対応表に示すように、+系統の0度偏光には0を、90度偏光には1を割り当て、×系統の45度偏光には0を、135度偏光には1を割り当てる。
【0028】
また、二値物理量の種類(光子の場合は偏光の系統)そのものに対しても、ビット値を対応付けて、その対応づけを変換規則Fとして、量子通信に先立ち共有する。例えば、+系統にはビット0を、×系統にはビット1を割り当てる。
【0029】
これらの対応付けはこの限りではないし、秘密にする必要もない。さらに、共有に際しては、古典通信路を用いて行うことも可能である。
【0030】
また、以下に説明する各実施例では、光子の偏光に情報を対応させた量子通信を用いて説明するが、BB84プロトコルと同様、二種の二値物理量を用いるものであれば、任意の量子通信を用いて、本発明の相互認証を実施することができる。
【0031】
本発明の量子認証方法の実施例を図2、図3を用いて説明する。
【0032】
図2は量子通信路219と古典通信路220で接続された送信装置201と受信装置202が相互認証を行う手順を表したものである。送信装置201は乱数生成器を有しているとする。また、送信装置201と受信装置202は、予め、ビット列である、認証用鍵R(203)を秘密裏に共有しているものとする。
【0033】
秘密裏に共有するための方法としては、例えば、認証用鍵R(203)を記憶媒体に格納して一方が他方に持って行き、周知の方法で装置の正当性を確認した後、相手装置内に認証用鍵R(203)を移す方法などが挙げられる。
【0034】
相互認証を行う場合、送信装置201は認証用鍵R(203)から、後述する変換規則F(204)に従い、物理量の種類である光子の偏光(+系統または×系統)の系列(以下、光子系列という)を決定する(ステップ205、以下、ステップをSと略す)。
【0035】
次に乱数rを生成し(S206)、認証用鍵R(203)と乱数r、およびS205で決定した光子系列から、送信装置認証用情報生成規則として後述する、変換規則G(207)に従い、二値物理量の系列として光子列を決定する(S208)。
【0036】
受信装置202は、光子を受信する準備として、認証用鍵R(203)から、変換規則F(204)に従って、量子種類の系列として光子系列(受信装置202にとっては、+型、×型いずれの光子測定器を用いるかを示す測定器系列でもある)を決定する(S210)。
【0037】
送信装置201は、決定した光子列を量子通信路219を用いて受信装置202に送信する(S209)。
【0038】
受信装置202はS209で送信装置201から送信された光子列を測定して(S211)、測定結果と、S210で認証用鍵Rに基づき決定した測定器系列から、送信装置認証用規則としてのチェック規則Hによって、送信装置201の正当性をチェックする(S212)。チェック結果がNGならば通信を終了(S214)し、OKならば、受信装置202は送信装置201を正当であると判断する。
【0039】
ここまでのステップにより、受信装置202が送信装置201の正当性をチェックする片方向認証が可能となる。さらに相互認証を行う場合には、受信装置202は測定結果に関するデータxを、古典通信路220を用いて送信装置201に送信する(S213)。
【0040】
送信装置201は古典通信路220を用いて送信されたデータxを受信し(S215)、認証用鍵R(203)、S206で生成した乱数r、およびデータxを用いて、受信装置認証用規則に従って受信装置202の正当性をチェックする(S216)。チェック結果がNGならば通信を終了し(S218)、OKならば受信装置202を正当であると判断して相互認証手順を終了し(S217)、その後の通信に移行する。
【0041】
認証成功後に、上記構成をそのまま利用して、送信装置201から受信装置202への量子鍵配送(例えばBB84プロトコル)を行うことができる。逆の方向で量子鍵配送を行う場合には、送信装置201は、上記に加え、量子検出器を、受信装置202は、量子生成器と乱数生成器を用意すればよい。
【0042】
上記変換規則F(204)として、+系統にはビット0を、×系統にはビット1を割り当てる対応により、ビット列である認証用鍵R(203)、あるいはその一部から光子系統列、すなわち測定器系列を生成するものを選択してもよい。
【0043】
上記変換規則G(207)として、例えば、乱数rをビット列とみなし、送信装置認証用ビット列としてその結合(r||r)を作り、S205で決定した光子系統列と、図1に示す対応付けに基づき、上記(r||r)から光子列を生成する。上述の通り、図1に示す対応は一例であって、この限りではない。
【0044】
このように変換規則Gを決定した場合、チェック規則Hは、まず、S211で得た測定結果と、S210で決定した測定器系列(またはそれに対応する光子系統列)と、図1に示す対応表と、に基づき送信装置認証用ビット列になるはずのビット列sを復元するものとする。さらに、送信装置認証用ビット列の生成に用いた上記結合に対応して、sの前半ビット列と後半ビット列が一致する場合にOKを、しない場合にNGを出力するものとする。
【0045】
また、OKの場合、S213で送信するデータxはsの前半ビット列とする。
【0046】
S216の受信装置202の正当性チェックステップでは、s=rが成り立てばOKを、成り立たない場合はNGを出力するものとする。
【0047】
上記手順を具体例を用いて説明する。
【0048】
認証用鍵R(203)が長さ6のビット列「100110」の場合、例示した上記変換規則F(204)により、S205で生成される光子系統列は「×++××+」となる。
【0049】
S206で生成された乱数rが「101」であったとすると、例示した上記変換規則G(207)により、S208において、まず結合「101101」が作られ、図1の対応表に従い、「135度、0度、90度、135度、45度、90度」の光子列が決定される。
【0050】
S209で、送信装置201は上記光子列を量子通信路219を用いて受信装置202に送信する。
【0051】
受信装置202は認証用鍵R(203)「100110」から、上記変換規則F(204)により、S210で測定器系列「×++××+」を決定する。
【0052】
S211での受信装置202による測定結果は、送信装置201、受信装置202が正当(両方とも正しい認証用鍵R(203)を持つ)であり、盗聴者が居なかった場合は、送信した光子列と同じ「135度、0度、90度、135度、45度、90度」となる。
【0053】
受信装置202はこれをチェック規則Hに従い、まず、図1の対応表に従って、ビット列s「101101」に変換し、次にビット列sの前半ビット列「101」と後半ビット列「101」が一致することを確認し、ここまでのステップで送信装置201の正当性を確認する(S212)。
【0054】
さらにS213で、受信装置202はビット列sの前半ビット列(=後半ビット列)の「101」をデータxとして送信装置201に古典通信路220を用いて送信する(S213)。
【0055】
送信装置201は送られてきたデータx=「101」と、S206で生成した乱数r=「101」が一致することを確認し、受信装置202の正当性を受理する(S216)。
【0056】
上記具体例では、説明のため短い鍵長で説明したが、実際には鍵長は数百ビットであることが望ましい。
【0057】
量子通信路219において、ノイズが多く、送信した光子のいくつかが届かない場合や、偏光状態が変化してしまう場合には、変換規則Gとして、(r||r)のi番目のビットに対し、認証用鍵R(203)からある固定長の光子列を生成し、これらを結合して光子列を生成するもの(これをG’という)を選択してもよい。
【0058】
この変換規則G'は、(r||r)の各ビットを、より冗長な光子列に変換させる変換規則であり、いくつかの光子がノイズの影響を受けて、受信できなかったり、状態が変化したりしても、他の冗長部分から(r||r)の各ビットを復元できるよう工夫したものである。
【0059】
このように変換規則G'を決定した場合、チェック規則Hは、S211で得た測定結果と、S210で決定した測定器の型(またはそれに対応する光子系統)と、図1に示す対応表と、に基づき、ビット列sを生成し、これを固定長のブロックに分割して、i番目のブロックに対し、認証用鍵R(203)とiから、ビット0、または1を、Gの光子列の生成方法に依存した方法で決定し、これらを結合してビット列tを生成、tの前半ビット列と後半ビット列が一致する場合にOKを、しない場合にNGを出力するものとする。
【0060】
上記のノイズ対策用の変換規則G'において、具体的に、
(r||r)のi番目のビットbiと、認証用鍵R(203)に対して、
RはR=R11||R21||...||Ri1||Ri2||...のように分割されているとし、Ri1から変換規則F(204)によって光子系統列Piを決定し、
Ri2をハッシュ関数hに入力し、その出力ビット列hiに対し、biが0ならばh'i=hi、biが1ならばその反転ビット列をh'iとし、h'iと、Piから図1に示す対応により光子列を生成するも(これをG''という)のを選択することもできる。
【0061】
この変換規則G''を決定した場合、チェック規則Hは、S211で得た測定結果をブロック分割し、i番目のブロックに対し、変換規則G''の内部手順と同様に生成したハッシュ値hiとの比較で、一致箇所が不一致箇所より多い場合にはビット0を、そうでない場合にはビット1を生成し、これらを結合したビット列Yを生成、その前半ビット列と後半ビット列が一致するならばOKを、そうでないならNGを出力するものとする。
【0062】
S206で生成する乱数rの代わりに、送信装置201が任意に選択したビット列xを用い、受信装置202はS212のチェックでOKの場合、S213でデータを送信せず、そのデータから送信装置の送信したデータxを取り出して通信を終了することで、送信装置と受信装置の間でデータxを安全に送信する暗号通信が可能である。
【0063】
具体的には、ノイズ対策用の変換規則G''を用いた場合には、対応する変換規則Hによるチェック後、OKの場合に、生成したビット列Yの前半ビット列を送信装置201が送信したデータxであるとみなすことにより暗号通信が可能となる。
【0064】
図3は図2の手順を実施する場合の装置構成図である。
【0065】
図2に示す送信装置201は、光子生成送信装置(301)とそれに接続された計算装置(308)で構成され、図2に示す受信装置202は、光子受信測定装置(302)とそれに接続された計算装置(309)で構成される。
【0066】
光子生成送信装置(301)は光子生成器(304)と、コントローラ(305)を装備し、光子受信測定装置(302)は光子測定器(306)と、コントローラ(307)を装備している。
【0067】
光子生成送信装置(301)に接続された計算装置(308)は内部に、CPU(310)、記憶部(313)および、光子生成送信装置(301)とのインターフェース(311)、古典通信路(220)とのインターフェース(312)を装備し、記憶部(313)には量子認証用のプログラム(314)と、認証用鍵R(203)が記憶されている。さらに計算装置(308)は、乱数生成器(319)と接続されている。
【0068】
光子受信測定装置(302)に接続された計算装置(309)内部に、CPU(310)、記憶部(313)および、光子受信測定装置(302)とのインターフェース(311)、古典通信路(220)とのインターフェース(312)を装備し、記憶部(313)には量子認証用のプログラム(316)と、認証用鍵R(203)が記憶されている。
【0069】
本実施例による相互認証を、図2に示す手順で行う場合、光子生成送信装置(201)に接続された計算装置(308)の記憶部(313)に記憶されたプログラム(314)には上記変換規則G、および受信装置(202)の正当性チェック(216)を行うプログラムが含まれており、手順に応じて呼び出され、CPU(310)により実行される。
【0070】
光子受信測定装置(202)に接続された計算装置(309)の記憶部(313)に記憶されたプログラム(316)には上記チェック規則Hを行うプログラムが含まれており、手順に応じて呼び出され、CPU(310)により実行される。
【0071】
計算装置(308、309)の記憶部(313)は、記憶されている認証用鍵R(203)が第三者に漏洩しないよう、耐タンパ処理を施すことが望ましい。
【0072】
以上説明したように、本実施例によれば、複数の量子鍵配送装置が混在する状況で、鍵配送を行う前に本実施例による相互認証を行うことで、不正な送受信装置によるなりすましや、その後の暗号通信での通信内容漏洩を高い安全性で防ぐことができる。
【0073】
したがって、量子鍵配送と組み合わせても、全体的な安全性が計算量的安全性を真に上回ることが可能となる。
【図面の簡単な説明】
【0074】
【図1】ビット値、光子系統と光子偏光との対応表である。
【図2】送信装置と受信装置が相互認証を行う手順の一例である。
【図3】図2の手順を実施する場合の装置構成例である。
【符号の説明】
【0075】
201:送信装置、202:受信装置、301:光子生成送信装置、302:光子受信測定装置、303:量子通信路、308:計算装置、309:計算装置、317:古典通信路、319:乱数生成器。
【特許請求の範囲】
【請求項1】
量子の、二種類の二値物理量に対応した四種類の量子状態を利用して、送信装置と受信装置とが行う、量子通信における相互認証方法であって、
前記送信装置と前記受信装置は、
認証用鍵Rと、
前記二値物理量における二つの状態とビット値との対応を、二種類の二値物理量それぞれについて定めた対応表と、
入力ビット列から、対応する前記物理量の種類の系列を生成する変換規則Fを共有し、
前記送信装置は、
前記変換規則Fに従って、前記認証用鍵Rを入力として前記物理量の種類の系列を生成し、
乱数rを生成し、
送信装置認証用量子列生成規則に従って、前記乱数rから送信装置認証用ビット列を生成し、前記送信装置認証用ビット列と前記物理量の種類の系列とから、前記対応表に従って、前記量子状態の系列である量子列を生成し、
生成した前記量子列を、量子通信路を用いて、前記受信装置へ送信し、
前記受信装置は、
前記変換規則Fに従って、前記認証用鍵Rを入力として前記物理量の種類の系列を生成し、
生成した前記系列が示す物理量の種類に対応する測定器により、前記量子列を測定し、
前記対応表に従って、前記測定結果を前記送信装置認証用ビット列に変換し、
前記送信装置認証用ビット列を、送信装置認証用規則に従って検査することにより、前記送信装置の正当性を検証し、
前記送信装置を認証した場合に、前記送信装置認証用ビット列から、受信装置認証用ビット列生成規則に従って、受信装置認証用ビット列を生成し、
前記受信装置認証用ビット列を、古典通信路を用いて、前記送信装置へ送信し、
前記送信装置は、前記受信装置認証用ビット列を、受信装置認証用規則に従って検査することにより、前記送信装置を認証する
ことを特徴とする量子通信を用いた相互認証方法。
【請求項2】
請求項1に記載の、量子通信を用いた相互認証方法において、
前記変換規則Fは、ビット0に対し前記物理量の種類Aを、ビット1に対し前記物理量の種類Bを対応させる関数であり、
前記送信装置認証用量子列生成規則は、入力ビット列xを結合したx||xを前記送信装置認証用ビット列とし、前記送信装置認証用ビット列と前記物理量の種類の系列とから、前記対応表に従って、前記量子状態の系列である量子列を生成するものであり、
前記送信装置認証用規則は、前記送信装置認証用ビット列の前半ビット列と後半ビット列が一致するならば、前記送信装置を認証するものであり、
前記受信装置認証用ビット列生成規則は、前記送信装置認証用ビット列の前半ビット列または後半ビット列を、前記受信装置認証用ビット列とするものであり、
前記受信装置認証用規則は、前記受信装置認証用ビット列が前記乱数rと一致するならば、前記受信装置を認証するものである
ことを特徴とする量子通信を用いた相互認証方法。
【請求項3】
請求項1に記載の量子通信を用いた相互認証方法において、
前記変換規則Fは、ビット0に対し前記物理量の種類Aを、ビット1に対し前記物理量の種類Bを対応させる関数であり、
前記送信装置認証用量子列生成規則は、二つのビット列x、yと、物理量の系列Pが入力されたとき、yの結合(y||y)のi番目のビットに対し、それとxとP、およびiに依存した、固定長nの量子列を生成し、(y||y)のすべてのビットに対して生成された量子列を結合した量子列を出力するものであり、
前記送信装置認証用規則は、請求項1に記載の受信装置が生成するビット列sに対して、sをnビットのブロックに分割し、各i番目のブロックに対し、xとP、およびiを用いて、ビット0、1を特定することによりビット列Yを生成し、Yの前半ビット列と後半ビット列が一致するならば前記送信装置を認証するものであり、
前記受信装置認証用ビット列生成規則は、前記ビット列Yの前半ビット列または後半ビット列を、前記受信装置認証用ビット列とするものである
ことを特徴とする量子通信を用いた相互認証方法。
【請求項4】
請求項3に記載の量子通信を用いた相互認証方法において、
前記送信装置は、前記乱数rの代わりに、前記入力ビット列xを用い、
前記受信装置は、前記送信装置認証用量子列生成規則と、前記送信装置認証用規則と、を用いて、前記送信装置を認証した場合に、前記ビット列Yの前半ビット列を送信された前記入力ビット列xとして出力することにより、前記送信装置と、前記入力ビット列xを共有する
ことを特徴とする量子通信を用いた相互認証方法。
【請求項5】
古典通信路と量子通信路とで接続された送信装置と受信装置とからなり、前記送信装置と前記受信装置とが、量子の、二種類の二値物理量に対応した四種類の量子状態を利用して相互認証を行う、量子通信を用いた相互認証システムであって、
前記送信装置と前記受信装置は、
認証用鍵Rと、
前記二値物理量における二つの状態とビット値との対応を、二種類の二値物理量それぞれについて定めた対応表と、
入力ビット列から、対応する前記物理量の種類の系列を生成する変換規則Fを共有し、
前記送信装置は、
前記変換規則Fに従って、前記認証用鍵Rを入力として前記物理量の種類の系列を生成する手段と、
乱数rを生成する手段と、
送信装置認証用量子列生成規則に従って、前記乱数rから送信装置認証用ビット列を生成し、前記送信装置認証用ビット列と前記物理量の種類の系列とから、前記対応表に従って、前記量子状態の系列である量子列を生成する手段と、
生成した前記量子列を、前記量子通信路を用いて、前記受信装置へ送信する手段と、を備え、
前記受信装置は、
前記変換規則Fに従って、前記認証用鍵Rを入力として前記物理量の種類の系列を生成する手段と、
生成した前記系列が示す物理量の種類に対応する測定器により、前記量子列を測定する手段と、
前記対応表に従って、前記測定結果を前記送信装置認証用ビット列に変換する手段と、
前記送信装置認証用ビット列を、送信装置認証用規則に従って検査することにより、前記送信装置の正当性を検証する手段と、
前記送信装置を認証した場合に、前記送信装置認証用ビット列から、受信装置認証用ビット列生成規則に従って、受信装置認証用ビット列を生成する手段と、
前記受信装置認証用ビット列を、前記古典通信路を用いて、前記送信装置へ送信する手段と、
前記送信装置は、前記受信装置認証用ビット列を、受信装置認証用規則に従って検査することにより、前記送信装置を認証する手段と、を備える
ことを特徴とする量子通信を用いた相互認証システム。
【請求項6】
請求項5に記載の、量子通信を用いた相互認証システムにおいて、
前記変換規則Fは、ビット0に対し前記物理量の種類Aを、ビット1に対し前記物理量の種類Bを対応させる関数であり、
前記送信装置認証用量子列生成規則は、入力ビット列xを結合したx||xを前記送信装置認証用ビット列とし、前記送信装置認証用ビット列と前記物理量の種類の系列とから、前記対応表に従って、前記量子状態の系列である量子列を生成するものであり、
前記送信装置認証用規則は、前記送信装置認証用ビット列の前半ビット列と後半ビット列が一致するならば、前記送信装置を認証するものであり、
前記受信装置認証用ビット列生成規則は、前記送信装置認証用ビット列の前半ビット列または後半ビット列を、前記受信装置認証用ビット列とするものであり、
前記受信装置認証用規則は、前記受信装置認証用ビット列が前記乱数rと一致するならば、前記受信装置を認証するものである
ことを特徴とする量子通信を用いた相互認証システム。
【請求項7】
請求項5に記載の量子通信を用いた相互認証システムにおいて、
前記変換規則Fは、ビット0に対し前記物理量の種類Aを、ビット1に対し前記物理量の種類Bを対応させる関数であり、
前記送信装置認証用量子列生成規則は、二つのビット列x、yと、物理量の系列Pが入力されたとき、yの結合(y||y)のi番目のビットに対し、それとxとP、およびiに依存した、固定長nの量子列を生成し、(y||y)のすべてのビットに対して生成された量子列を結合した量子列を出力するものであり、
前記送信装置認証用規則は、請求項1に記載の受信装置が生成するビット列sに対して、sをnビットのブロックに分割し、各i番目のブロックに対し、xとP、およびiを用いて、ビット0、1を特定することによりビット列Yを生成し、Yの前半ビット列と後半ビット列が一致するならば前記送信装置を認証するものであり、
前記受信装置認証用ビット列生成規則は、前記ビット列Yの前半ビット列または後半ビット列を、前記受信装置認証用ビット列とするものである
ことを特徴とする量子通信を用いた相互認証システム。
【請求項8】
請求項7に記載の量子通信を用いた相互認証システムにおいて、
前記送信装置は、前記乱数rの代わりに、前記入力ビット列xを用い、
前記受信装置は、前記送信装置認証用量子列生成規則と、前記送信装置認証用規則と、を用いて、前記送信装置を認証した場合に、前記ビット列Yの前半ビット列を送信された前記入力ビット列xとして出力することにより、前記送信装置と、前記入力ビット列xを共有する手段を備える
ことを特徴とする量子通信を用いた相互認証システム。
【請求項1】
量子の、二種類の二値物理量に対応した四種類の量子状態を利用して、送信装置と受信装置とが行う、量子通信における相互認証方法であって、
前記送信装置と前記受信装置は、
認証用鍵Rと、
前記二値物理量における二つの状態とビット値との対応を、二種類の二値物理量それぞれについて定めた対応表と、
入力ビット列から、対応する前記物理量の種類の系列を生成する変換規則Fを共有し、
前記送信装置は、
前記変換規則Fに従って、前記認証用鍵Rを入力として前記物理量の種類の系列を生成し、
乱数rを生成し、
送信装置認証用量子列生成規則に従って、前記乱数rから送信装置認証用ビット列を生成し、前記送信装置認証用ビット列と前記物理量の種類の系列とから、前記対応表に従って、前記量子状態の系列である量子列を生成し、
生成した前記量子列を、量子通信路を用いて、前記受信装置へ送信し、
前記受信装置は、
前記変換規則Fに従って、前記認証用鍵Rを入力として前記物理量の種類の系列を生成し、
生成した前記系列が示す物理量の種類に対応する測定器により、前記量子列を測定し、
前記対応表に従って、前記測定結果を前記送信装置認証用ビット列に変換し、
前記送信装置認証用ビット列を、送信装置認証用規則に従って検査することにより、前記送信装置の正当性を検証し、
前記送信装置を認証した場合に、前記送信装置認証用ビット列から、受信装置認証用ビット列生成規則に従って、受信装置認証用ビット列を生成し、
前記受信装置認証用ビット列を、古典通信路を用いて、前記送信装置へ送信し、
前記送信装置は、前記受信装置認証用ビット列を、受信装置認証用規則に従って検査することにより、前記送信装置を認証する
ことを特徴とする量子通信を用いた相互認証方法。
【請求項2】
請求項1に記載の、量子通信を用いた相互認証方法において、
前記変換規則Fは、ビット0に対し前記物理量の種類Aを、ビット1に対し前記物理量の種類Bを対応させる関数であり、
前記送信装置認証用量子列生成規則は、入力ビット列xを結合したx||xを前記送信装置認証用ビット列とし、前記送信装置認証用ビット列と前記物理量の種類の系列とから、前記対応表に従って、前記量子状態の系列である量子列を生成するものであり、
前記送信装置認証用規則は、前記送信装置認証用ビット列の前半ビット列と後半ビット列が一致するならば、前記送信装置を認証するものであり、
前記受信装置認証用ビット列生成規則は、前記送信装置認証用ビット列の前半ビット列または後半ビット列を、前記受信装置認証用ビット列とするものであり、
前記受信装置認証用規則は、前記受信装置認証用ビット列が前記乱数rと一致するならば、前記受信装置を認証するものである
ことを特徴とする量子通信を用いた相互認証方法。
【請求項3】
請求項1に記載の量子通信を用いた相互認証方法において、
前記変換規則Fは、ビット0に対し前記物理量の種類Aを、ビット1に対し前記物理量の種類Bを対応させる関数であり、
前記送信装置認証用量子列生成規則は、二つのビット列x、yと、物理量の系列Pが入力されたとき、yの結合(y||y)のi番目のビットに対し、それとxとP、およびiに依存した、固定長nの量子列を生成し、(y||y)のすべてのビットに対して生成された量子列を結合した量子列を出力するものであり、
前記送信装置認証用規則は、請求項1に記載の受信装置が生成するビット列sに対して、sをnビットのブロックに分割し、各i番目のブロックに対し、xとP、およびiを用いて、ビット0、1を特定することによりビット列Yを生成し、Yの前半ビット列と後半ビット列が一致するならば前記送信装置を認証するものであり、
前記受信装置認証用ビット列生成規則は、前記ビット列Yの前半ビット列または後半ビット列を、前記受信装置認証用ビット列とするものである
ことを特徴とする量子通信を用いた相互認証方法。
【請求項4】
請求項3に記載の量子通信を用いた相互認証方法において、
前記送信装置は、前記乱数rの代わりに、前記入力ビット列xを用い、
前記受信装置は、前記送信装置認証用量子列生成規則と、前記送信装置認証用規則と、を用いて、前記送信装置を認証した場合に、前記ビット列Yの前半ビット列を送信された前記入力ビット列xとして出力することにより、前記送信装置と、前記入力ビット列xを共有する
ことを特徴とする量子通信を用いた相互認証方法。
【請求項5】
古典通信路と量子通信路とで接続された送信装置と受信装置とからなり、前記送信装置と前記受信装置とが、量子の、二種類の二値物理量に対応した四種類の量子状態を利用して相互認証を行う、量子通信を用いた相互認証システムであって、
前記送信装置と前記受信装置は、
認証用鍵Rと、
前記二値物理量における二つの状態とビット値との対応を、二種類の二値物理量それぞれについて定めた対応表と、
入力ビット列から、対応する前記物理量の種類の系列を生成する変換規則Fを共有し、
前記送信装置は、
前記変換規則Fに従って、前記認証用鍵Rを入力として前記物理量の種類の系列を生成する手段と、
乱数rを生成する手段と、
送信装置認証用量子列生成規則に従って、前記乱数rから送信装置認証用ビット列を生成し、前記送信装置認証用ビット列と前記物理量の種類の系列とから、前記対応表に従って、前記量子状態の系列である量子列を生成する手段と、
生成した前記量子列を、前記量子通信路を用いて、前記受信装置へ送信する手段と、を備え、
前記受信装置は、
前記変換規則Fに従って、前記認証用鍵Rを入力として前記物理量の種類の系列を生成する手段と、
生成した前記系列が示す物理量の種類に対応する測定器により、前記量子列を測定する手段と、
前記対応表に従って、前記測定結果を前記送信装置認証用ビット列に変換する手段と、
前記送信装置認証用ビット列を、送信装置認証用規則に従って検査することにより、前記送信装置の正当性を検証する手段と、
前記送信装置を認証した場合に、前記送信装置認証用ビット列から、受信装置認証用ビット列生成規則に従って、受信装置認証用ビット列を生成する手段と、
前記受信装置認証用ビット列を、前記古典通信路を用いて、前記送信装置へ送信する手段と、
前記送信装置は、前記受信装置認証用ビット列を、受信装置認証用規則に従って検査することにより、前記送信装置を認証する手段と、を備える
ことを特徴とする量子通信を用いた相互認証システム。
【請求項6】
請求項5に記載の、量子通信を用いた相互認証システムにおいて、
前記変換規則Fは、ビット0に対し前記物理量の種類Aを、ビット1に対し前記物理量の種類Bを対応させる関数であり、
前記送信装置認証用量子列生成規則は、入力ビット列xを結合したx||xを前記送信装置認証用ビット列とし、前記送信装置認証用ビット列と前記物理量の種類の系列とから、前記対応表に従って、前記量子状態の系列である量子列を生成するものであり、
前記送信装置認証用規則は、前記送信装置認証用ビット列の前半ビット列と後半ビット列が一致するならば、前記送信装置を認証するものであり、
前記受信装置認証用ビット列生成規則は、前記送信装置認証用ビット列の前半ビット列または後半ビット列を、前記受信装置認証用ビット列とするものであり、
前記受信装置認証用規則は、前記受信装置認証用ビット列が前記乱数rと一致するならば、前記受信装置を認証するものである
ことを特徴とする量子通信を用いた相互認証システム。
【請求項7】
請求項5に記載の量子通信を用いた相互認証システムにおいて、
前記変換規則Fは、ビット0に対し前記物理量の種類Aを、ビット1に対し前記物理量の種類Bを対応させる関数であり、
前記送信装置認証用量子列生成規則は、二つのビット列x、yと、物理量の系列Pが入力されたとき、yの結合(y||y)のi番目のビットに対し、それとxとP、およびiに依存した、固定長nの量子列を生成し、(y||y)のすべてのビットに対して生成された量子列を結合した量子列を出力するものであり、
前記送信装置認証用規則は、請求項1に記載の受信装置が生成するビット列sに対して、sをnビットのブロックに分割し、各i番目のブロックに対し、xとP、およびiを用いて、ビット0、1を特定することによりビット列Yを生成し、Yの前半ビット列と後半ビット列が一致するならば前記送信装置を認証するものであり、
前記受信装置認証用ビット列生成規則は、前記ビット列Yの前半ビット列または後半ビット列を、前記受信装置認証用ビット列とするものである
ことを特徴とする量子通信を用いた相互認証システム。
【請求項8】
請求項7に記載の量子通信を用いた相互認証システムにおいて、
前記送信装置は、前記乱数rの代わりに、前記入力ビット列xを用い、
前記受信装置は、前記送信装置認証用量子列生成規則と、前記送信装置認証用規則と、を用いて、前記送信装置を認証した場合に、前記ビット列Yの前半ビット列を送信された前記入力ビット列xとして出力することにより、前記送信装置と、前記入力ビット列xを共有する手段を備える
ことを特徴とする量子通信を用いた相互認証システム。
【図1】
【図2】
【図3】
【図2】
【図3】
【公開番号】特開2007−116216(P2007−116216A)
【公開日】平成19年5月10日(2007.5.10)
【国際特許分類】
【出願番号】特願2005−302431(P2005−302431)
【出願日】平成17年10月18日(2005.10.18)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成19年5月10日(2007.5.10)
【国際特許分類】
【出願日】平成17年10月18日(2005.10.18)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]