説明

量子鍵配送を有するネットワーク

本発明は、ネットワークを介して、具体的には、少なくとも1つの中間ノード(204)を介して接続される第1のノード(202a)と宛先ノード(202b)との間で、量子鍵配送を行う方法に関する。方法は、まず第1のノード(202a)が、量子鍵を、すなわちQKDにより得られる暗号鍵を、任意の知られているQKD技法を使用して経路内の第1の中間ノード(204)と合意することを伴う。次に、中間ノード(204)は、たとえば一連の適切にランダムに変調された信号光子などの量子信号を経路内の次のノード(202b)(ターゲットノードと呼ばれる)と交換する。中間ノード(204)は、前に確立された量子鍵を使用して中間ノード(204)により送信または受信された量子信号の詳細を第1のノード(202a)と通信する。次に、第1のノードは、鍵合意ステップを実行して、量子鍵をターゲットノードと直接合意する。この方法では、第1のノードは、中間攻撃者を防止するために、認証ステップに関与する。量子鍵を現在のターゲットノードと確立し、方法は、宛先ノードが到達されるまで、ネットワーク経路内の次のノードをターゲットノードとすることを除いて繰り返されることができる。次に、宛先ノードと合意された最後の量子鍵が、ネットワークを介したこれらのノード間の通信を暗号化するために使用されることができる。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、量子暗号を実行するための装置および方法に関し、特にネットワークを介した量子鍵配送に関する。
【背景技術】
【0002】
暗号化は、一般に様々な媒体を介した、特に通信ネットワークおよび/またはデータネットワークを介した通信を保護するために使用される。暗号化は、一般に何らかの秘密値を共有して当事者の通信を保護することを望む当事者に基づく。この値は、通信を保護するために使用される暗号鍵を得るために使用されることができる。暗号化が高度になるほど、それだけ鍵なしで復号することが困難になる。現代のよく管理された暗号化方式を解読するには、従来のコンピューティング資源を大いに必要とすると一般に信じられている。しかしながら、異なる通信に同じ暗号鍵を繰り返して使用することは、扱う材料をより多く潜在的な暗号解読者に与え、かつ暗号化に脆弱性を持ち込む可能性があることはよく知られている。したがって、暗号鍵をしばしば変更することが望ましい。
【0003】
鍵の知識があれば盗聴者がすべての通信を復号することができるので、新しい鍵素材を安全に配送することが不可欠であることは明らかである。しかしながら、鍵配送はまた、効率的で使いやすくなければならず、たとえば、信頼できる急使などにより新しい鍵を物理的に配送することは、多くの状況で費用がかかり実用的でない。
【0004】
新しい鍵素材は、それを既存の鍵を使用して暗号化し、次に通常のデータトラフィックとして配送することにより配送されることができる。次に、新しい鍵素材は、その後の通信のために使用されることができ、ある時点で別の新しい鍵を含む。そのような方式は使いやすく、定期的な鍵の更新を可能にするが、暗号化がある時点で解読された場合、すなわち暗号化鍵が効果的に決定された場合、盗聴者は、新しい鍵を運ぶメッセージが配送されたときに、そのメッセージを傍受し復号することができるので、その暗号はその時点から破綻するという弱点がそのような方式にはある。
【0005】
量子鍵配送(QKD)は、安全な鍵配送の可能性を提供するよく知られた技術である。QKDは、基本的な量子的性質を信頼し、一般にアリス(Alice)およびボブ(Bob)と呼ばれる両者が値を交換し、かつ通常イブ(Eve)と呼ばれる盗聴者が値のことをほとんど知らなかったことを知ることができるようにする。QKDにより、必要に応じて鍵素材がアリスおよびボブにより安全に得られることができるようになり、このことが、鍵配送の別の方法に対して大きな利点を提供する。
【0006】
BennettおよびBrassardが、C.H.Bennett and G.Brassardによる「Quantum cryptography:『Public key distribution and coin tossing』」IEE Conf.Computers Systems Signal Processing、Bngalore India 1984で、BB84プロトコルとして知られるようになったQKDプロトコルを説明した。このプロトコルは、適切に符号化された一連の単一光子の伝送(量子交換)を使用して、任意の従来の通信媒体による公開の議論(鍵合意段階)が後に続き、アリスおよびボブが乱数の共有されたストリングを得ることができるようになる。量子交換で単一光子が使用されるので、イブがこの交換に関する任意の情報を得ることができる唯一の方法は、アリスにより送信された単一光子を傍受し、彼女自身で情報を測定することである。検出を防止するために、イブはまた、自分が傍受した元の光子を複製しようとする光子をボブに送信しなければならない。符号化のランダムな選択、および光子の量子的性質のために、イブは、正確に符号化された光子をボブに渡すのを保証することができず、このことが統計誤差を引き起こし、この誤差は、アリスおよびボブの通常の通信の間に彼らにより見つけ出される。
【0007】
したがって、QKDは、盗聴から保護する、新しい鍵素材を配送する安全な手段を提供する。しかしながら、最初に説明されたBB84プロトコルは、いわゆる中間攻撃者に対して脆弱な可能性がある。この場合、通常マロリ(Mallory)と呼ばれる攻撃者が、アリスとボブの間のすべてのデータ交換を傍受し停止させるように自身を置く。次に、マロリは、アリスと通信するが、アリスには自分がボブである振りをする。マロリはまた、ボブとも通信するが、そうする際にアリスである振りをする。したがって、アリスおよびボブそれぞれが、彼らは互いに話していると思うが、実際には、彼らは両方ともマロリと話をしている。このシナリオで、単純なQKDプロトコルが使用されていれば、アリスは量子鍵、すなわちQKDにより得られる鍵をマロリ(それがボブだと思っている)と合意する。同様に、ボブは、量子鍵をマロリと合意する。自分は量子鍵をボブと合意したと考えているアリスは、この鍵を使ってボブ宛のメッセージを暗号化する。マロリは、この通信を傍受し、それを復号し、メッセージから彼が得たいと思うどんな情報も得ることができる。発覚を防止するために、次に、マロリは、今回はボブと合意した量子鍵を使用してこのメッセージを再暗号化し、それをボブに送信することができる。したがって、ボブは、実際にアリスにより送信されたメッセージを受信し、そのメッセージは、ボブがアリスと合意したと思っている鍵を使用して暗号化されている。したがって、ボブは、何も間違っていないと認識する。ボブからアリスへの通信は、逆の順序で同じ原理に従う。
【0008】
中間攻撃者を克服するためには、通信の当事者が、アリスが実際にマロリとではなくボブと話をしていることを保証する認証ステップを始めるのが普通である。認証は、通常ボブおよびアリスにしか知られていないID鍵などの共有秘密を明らかにする、または使用することを伴う。ボブと通信するのを望むアリスは、ボブと連絡をとろうとして、量子鍵を設定する。そうする際、アリスは、ボブのID鍵に基づく認証を要求する。マロリはこれを知らず、したがって、うまくボブの振りをすることができない。同様に、アリスと称するだれかと量子鍵を設定する要求を受信するボブは、アリスのID鍵に基づく認証を要求する。認証には、QKDを開始する前にアリスおよびボブが少なくとも1つのID鍵の知識を実際に共有する必要があるが、この鍵は、システムの初期化時に一度供給されることができる。使用法については、その後で、ID鍵は、認証されたQKDセッションから得られた量子鍵を使用して更新されることができる。
【0009】
したがって、認証されたQKDは、安全な鍵配送を提供する。しかしながら、説明されたQKDは、アリスからボブへの量子チャネルの役割を果たす途切れのない光路を必要とする。これは自由空間中であってもよく、光ファイバケーブルなどの光導波路を介してもよい。いずれの場合も、特に単一光子を使用するために、距離が制約される。さらに、多数のユーザが接続されるネットワークでは、各ユーザが互いのユーザとの直接の光リンクを有することは実用的ではない。
【0010】
この制約を克服する1つの方法が、ノードからなるネットワークを有することである。アリスからボブに通信するために、ノードのチェーンが形成されることができ、各ノードは、QKDが適用されることができる光リンクにより次のノードに接続される。アリスはチェーンの最初のノードとなり、ボブが最後のノードとなる。次に、各ノードが、その隣接ノードとQKDにより量子鍵を確立することができる。次に、1対のノードにより確立された鍵が、これらのノード間を通過するデータトラフィックを暗号化するために使用される。この方法では、異なる鍵が各リンク上で使用されるが、チェーンに沿って通過するメッセージが、ノード間で暗号化される。これが、任意のリンク上で盗聴しようとするイブからの保護を提供する。しかしながら、ノード内ではデータが平文、すなわち暗号化されていないことは明らかであり、したがって、チェーン内のノードの振りをするマロリから保護する必要がある。これには、各ノードがチェーン内の隣接ノードを認証する必要がある。
【0011】
そのような配列は可能だが、それには、ノードがネットワークを通る正しい経路を確立し、正しく認証することをアリスおよびボブが期待する必要がある。また、それには、各ノードがそれ自体のID鍵、ならびにチェーン内の前のノードおよび次のノードのID鍵を知る必要がある。当業者は理解するが、ノードは、物理的に安全でなければならず、すなわち誤ったデータ漏洩に耐えなければならず、また、安全な場所にある、かつ/または改ざんの恐れがないものでなければならない。そのような装置の改ざん防止には、開放された場合、ノードに知られているすべての鍵を回復できないほどにノードに削除させる覆い隠されたコンテナ内に安全な場所を配置することをしばしば伴う。攻撃者がコンテナを開放しようとする場合だけでなく、コンテナが日常保守のために開放された場合にもこれが起こる。保守後、新しいID鍵がノードにロードされ、次に、ノードはそのID鍵を使用して、隣接ノードと通信する。しかしながら、これらのノードは、新しいID鍵を物理的に供給されなければそれを認識しない。ノードに対して行われるどんな保守も、またはチェーン内のノードのどんな取換えも、技術者がそのノードだけでなく特定のノードが通信し得るすべてのノードの場所を訪問する必要があることは明らかである。これは、できれば避けられなければならない追加の管理のオーバヘッドを表す。
【0012】
別の配列が、PearsonおよびElliotによる米国特許出願公開第2004/0184603号明細書で開示されている。この明細書では、ノードがネットワークから動的に選択されて、アリスからボブへのチェーンを形成し、QKDが各ノード間で使用されて、そのリンクのための量子鍵を生成する。しかしながら、上記の配列とは異なり、トラフィックデータは、各リンク上の異なる量子鍵で暗号化されるチェーンを通って送信されない。代わりに、チェーン内の各中間ノードが、共有する量子鍵をXOR関数により両側のノードと結合し、結果を従来の通信方法によりアリスに渡す。チェーン内の最後のノードであるボブは、トラフィック鍵を生成し、これを前のノードと確立された量子鍵と結合し、これをアリスに送信する。アリスは、チェーン内のノードそれぞれにより送信されたデータを、自分に隣接するノードと合意した量子鍵と共に結合して、トラフィック鍵を回復することができる。次に、トラフィック鍵は、アリスとボブの間のエンドツーエンド暗号化のために使用されることができる。事実上、各ノードが、前のリンクに対する鍵で暗号化された次のリンクに対する量子鍵をアリスに送信する。アリス自身は、最初のリンクに対する量子鍵を知っているので、これを使って、2番目のリンクに対する鍵を復号することができ、それが、3番目のリンクに対する鍵を復号するために使用されることができ、以下同様にして、最後に、アリスは、ボブがトラフィック鍵を暗号化するために使用した最後のリンクに対する量子鍵を知る。
【0013】
そのようなシステムでトラフィックをモニタするイブは、各ノードにより送信されたデータを結合して、XOR関数により最初のリンクに対する量子鍵と結合されたトラフィック鍵に等しい値を生成することができる。イブは、その量子鍵を知らないので、トラフィック鍵を知ることができず、したがってシステムは盗聴に対して安全である。データトラフィックは、端末間暗号化を使用して送信され、したがってどのノードでも平文で出現しないが、どのノードも、単にチェーン内の次のノードそれぞれにより従来の手段で送信されたメッセージをすべて収集し、それらをXOR関数で結合することによりトラフィック鍵を得ることができる。したがって、システムは、ノードの振りをするマロリに対して依然として脆弱であり、したがって、各ノードは、チェーン内の次のノードを認証して、安全性を維持しなければならない。ノードが互いに認証するこの必要性には、上記で説明されたのと同じ欠点がある。
【0014】
さらに、アリスは、正しいボブとリンクを確立するためにノードを信頼しなければならない。ノードのどれかが、たとえば一般に経路の確立に責任がある最初のノードが故障し、だれか他の人(正しくないボブ)への経路を確立した場合、その正しくないボブと鍵が確立される。次に、メッセージが、ネットワークを介して安全に送信されるが、誤った受信者に、彼らが読むことができる形式で到達する。
【0015】
別の技法が、Bechmann−PasquinucciおよびPasquinucciによる「Quantum key distribution with trusted quantum relay」と題する彼らの論文で開示されている。この論文では、エンドポイントノードにあるアリスおよびボブが、中間ノードであるトレント(Trent)を介して通信する。トレントには、アリスから量子信号を受信する量子受信機、およびボブに渡す量子信号を再生しようとする量子送信機がある。事実上、トレントは、自動中継器、または信号ブースタの役割を果たそうとする。しかしながら、トレントは、量子信号を正確に再生することを保証することができないので(これはQKDの安全性の基本である)、アリス、トレント、およびボブの3者すべてが、光子を生成し測定するために使用される基底を鍵合意段階で議論しなければならない。3者すべてが合意した場合にだけ、ビットが保持される。アルゴリズムは、明白な方法で、4つ以上のノードを有するチェーンに一般化される。
【0016】
トレントには、アリスおよびボブが確立する鍵を得るために必要なすべての情報があるので、トレントは信頼されなければならないことを論文は明らかにしている。論文は、中間攻撃者を排除する認証の必要性について説明していないが、アリスおよび/またはボブがトレントを認証しなければならないことは明白であり、そうでなければ、中間攻撃者であるマロリがトレントに取って代わることができる。
【先行技術文献】
【特許文献】
【0017】
【特許文献1】米国特許出願公開第2004/0184603号明細書
【特許文献2】国際公開第2007/123869号パンフレット
【特許文献3】米国特許第7,068,790号明細書
【特許文献4】米国特許第5,768,378号明細書
【非特許文献】
【0018】
【非特許文献1】C.H.Bennett and G.Brassardによる「Quantum cryptography:『Public key distribution and coin tossing』」IEE Conf.Computers Systems Signal Processing、Bngalore India 1984
【非特許文献2】Bechmann−PasquinucciおよびPasquinucciによる「Quantum key distribution with trusted quantum relay」
【発明の概要】
【発明が解決しようとする課題】
【0019】
この解決策の1つの欠点は、ボブおよび各トレントが、アリスにより使用される基底をすべて正確に推測しなければならないので、チェーン内のノードの数と共に損失が指数的に増加することである。この問題は、現在の量子送信機に付随する実用上の問題によりさらに悪化する。送信機は、単一光子源でなければならず、そうでなければ、イブは1つの光子を傍受し、別の観測されなかった光子を残してボブに渡すことができる。単一光子源を作る実際上の手段が、統計的に多数の光子を生成する確率が非常に低いが光子を全く生成しない確率がかなり高い低出力レーザを使用することである。したがって、量子送信機は、量子信号の大きな損失源となる。たとえば、アリスは、10Mビット/秒の速度で光子を送信しようとすることがあるが、実際には平均で毎秒1Mビットしか送信されない。トレントは、これらを受信し、単一光子源を使用してこれらを再送しなければならないので、実際には毎秒100kビットしか送信しない。このことが、鍵が確立されることができる速度を大きく低下させ、すぐに損失が非常に大きくなるので、もはや鍵を確立することが全く不可能となる。
【0020】
別の手法が、Magiqにより公開された国際公開第2007/123869号パンフレットに説明されている。この特許出願では、いくつかのユーザが、従来の通信リンクにより互いに接続されている。さらに、ユーザは量子リンクにより量子鍵認証局に接続されることができる。量子リンクは、認証局とユーザの間のQKD用に使用される。次に、通信することを望む2つのユーザがそれぞれ、確立されたそれぞれの量子鍵を使用して認証局により同じ鍵を送信される。しかしながら、この配列では、各ユーザが認証局への直接の量子リンクを有する必要があり、このことは、ある種のネットワーク実装形態では可能でないことも、実際的でないこともある。さらに、認証局は、通信することを望む2つのユーザを正確に識別して、それらに共通鍵を送信することを期待されなければならず、認証局はまた、認証について信頼されなければならない。
【0021】
BBN Technologiesの米国特許第7,068,790号明細書が、MEMSスイッチを組み込む光交換網が、ネットワークを介した交換可能光路を提供することができるようにされ得ることを教示している。この方法では、ネットワークを通る光路が確立されて、任意の2つのエンドポイント間のエンドツーエンドQKDを可能にする。しかしながらそのような交換配列が、実際にネットワークに複雑さをさらに持ち込み、QKD装置が、量子信号が送信されることができる実効距離を短縮する可能性が最も高い。
【0022】
したがって、上記で述べられた欠点のうちの少なくとも一部を緩和する、QKDを使用するネットワークを提供することが本発明の目的である。
【課題を解決するための手段】
【0023】
本発明によれば、少なくとも1つの中間ノードを含むネットワーク経路を介して光ネットワーク上の第1のノードと第2のノードの間の量子鍵配送の方法が提供され、量子鍵が第2のノードと合意されるまで、順次、第1のノードとネットワーク経路内の各次のノードの間で量子鍵を合意するステップを含み、量子鍵をターゲットノード(targeted node)と合意するステップは、ターゲットノードと、ネットワーク経路内の前のノードの間で量子信号を交換し、前記量子信号に基づき第1のノードとターゲットノードの間で鍵合意ステップを実行するステップを含み、第1のノード自体が前記量子交換に関与していない場合、第1のノードは、鍵合意ステップに必要なすべての情報を有するように、ターゲットノードの前の前記ノードと通信し、前記通信は、前記前のノードと確立された量子鍵を使用して暗号化される。
【0024】
したがって、第1のノードおよび第2のノードが、少なくとも1つの中間ノードを含むネットワーク経路によりリンクされ、したがって、それらの間の直接の光リンクを有し得ない場合でさえ、本発明により、光ネットワークの第1のノードおよび第2のノードが、量子鍵配送の原理を使用して量子鍵を直接合意することができるようになる。本発明は、経路内のソースノードとも呼ばれ得る第1のノードに、第2のノード、すなわち宛先ノードと鍵が合意されるまで、順に経路内の各ノードと別個の量子鍵を確立させることにより動作する。量子鍵が、宛先ノードと直接合意されると、ソースノードと宛先ノードの間の通信のエンドツーエンド暗号化のために使用されることができる。本明細書で使用されているように、ノードという用語は、量子鍵配送に適した量子信号を送信および/または受信することができる少なくとも1つの装置を有する光ネットワーク内の場所を意味することに留意されたい。ノードは、ネットワークのエンドポイントでもよく、ネットワークの中間部分でもよい。
【0025】
方法は、第1のノードに隣接するノードから始まり、順に経路内の各ノードと量子鍵を順次合意して動作する。あるノードと確立された各量子鍵はそれぞれ、経路内の次のノードと量子鍵を合意するステップで使用されるので、この方法はこのように動作する。本明細書で使用されるように、ターゲットノードという用語は、第1のノードが任意の特定のステップで鍵を合意しようとするノードを意味することに留意されたい。したがって、ネットワーク経路内の各中間ノードが順にターゲットノードとなり、その後、宛先ノードである第2のノードが最後の繰返しでターゲットノードとなることが明らかである。
【0026】
任意のターゲットノードと量子鍵を合意するステップは、QKDでは普通であるが、別のノードと量子信号を交換するそのターゲットノードを伴う。量子信号は、当業者に理解される量子鍵合意プロトコルの基底として使用されることができる任意の信号である。たとえば、量子信号は、一連の適切に変調された単一光子を含むことができる。当業者は、たとえば、BB84プロトコル、またはB92プロトコル、または6状態プロトコル、またはこれらの変形プロトコルのうちのどれかに基づく信号のように、制約なしに使用されることができる、様々な変調方式についてよく知っている。変調は、たとえば、位相変調または偏光変調を適用することができる。量子信号はまた、もつれ光子(entangled photon)を含むことができる。たとえば、もつれ光子源が、もつれ光子対を生成することができ、これらの光子のうちの一方が、適切なリンクを介して送信されることができる。したがって、量子信号の量子交換は、もつれ光子の転送を含むことができる。もつれ光子対源が、遠隔に配置され、各対からの一方がアリスおよびボブに供給されることが可能である。そのような配列では、アリスおよびボブそれぞれが、彼らのそれぞれの光子に対して測定を行うときに、量子信号交換が行われることが当業者には理解される。したがって、第三者がもつれ光子を生成できても、アリスとボブの間に依然として量子交換が存在する。
【0027】
単一の中間ノードによりリンクされるソースノード(第1のノード)と宛先ノード(第2のノード)の間のQKDに適用される方法について考えてみる。方法の最初の繰返しでは、中間ノードがターゲットノードである。方法は、ターゲットノードと、経路内の前のノード(この最初の繰返しではソースノードである)の間の量子交換を伴う。一般には、一方のノードが量子信号を送信し、したがって、アリスと呼ばれ、他方のノードが量子信号を受信し、ボブと呼ばれる。量子交換に続き、ソースノードとターゲットノードの間の鍵合意ステップがあり、このステップは、従来の通信を使用して実行される。したがって、この最初の繰返しでは、ソースノードは、ソースノードとターゲットノードの間で交換された量子信号について中間ノードと議論する、すなわち、アリスおよびボブは通常のQKDにおけるように議論に従事する。例として、量子信号交換が、BB84プロトコルで説明された量子交換の原理に従って実行されると、すなわち、量子信号が、それぞれが暗号化基底およびデータ値に関してランダムに変調されている一連の単一光子からなる場合、鍵合意ステップはまた、BB84の原理に従うことができる。すなわち、アリスおよびボブは、彼らが両方とも同じ符号化基底を使用した光子を識別し、そのような光子に対して測定されたデータ値を使用して、盗聴を検査し、次に量子鍵を合意する。BB84プロトコルは、単に例として使用されているだけであり、別のプロトコルが存在し、本発明に従って動作するように適合されることができることを当業者は当然理解する。
【0028】
したがって、ソースノード、すなわち第1のノードはまた、QKDでは一般的だが、中間ノードで認証することができる。
【0029】
したがって、最初の繰返しは、標準的QKD原理を使用してソースノードと中間ノードの間で第1の量子鍵を確立する。しかしながら、次の繰返しでは、ソースノードは、直接の光リンクがないことがある宛先ノードと新しい量子鍵(第2の量子鍵)を直接合意しようとする。
【0030】
この繰返しでは、宛先ノードであるターゲットノードと、経路内の前のノード(中間ノードである)の間で量子交換が行われる。好都合なことに、この量子交換は、前の繰返しで使用されたのと同じ種類の量子交換であり、すなわち、この場合も標準的QKDにおけるように一連の適切に変調された単一光子であり得る。しかしながら、この繰返しでは、従来のQKDとは異なり、量子交換に関与した中間ノードは、その後の鍵合意ステップに関与しない。代わりに、中間ノードは、ソースノードがその後の鍵合意ステップを始めることができるように、必要とされる量子信号に関する情報をすべて有するように、ソースノードと通信する。この場合もBB84プロトコルの例を使用して、第1のノードが、中間ノードにより送信および/または検出された光子ごとの適用された符号化基底およびデータ値を知るように、ソースノードは、この繰返しで量子交換に関与した中間ノードと通信する。したがって、ソースノードには、ターゲットノードと直接BB84プロトコルの鍵合意段階を始めるのに必要な情報がすべてある。
【0031】
したがって、ソースノードは、ソースノードと宛先ノードの間に直接の量子リンクがなくても中間ノードを使用することにより宛先ノードと第2の量子鍵を合意することができる。ソースノードが鍵合意ステップに関与するので、中間ノードではなくソースノードが、鍵交換の認証に関与する、すなわち、認証に使用されるのは、ソースノードと宛先ノードの間で共有されるID鍵であることに留意されたい。中間ノードは、宛先ノードとの量子交換部分を認証する必要がなく、したがって、宛先ノードに対するID鍵を必要としない。
【0032】
中間ノードにより送信または受信される量子信号に関する、ソースノードと宛先ノードの間の通信は、最初の繰返しでソースノードと中間ノードの間で確立された第1の量子鍵により保護される。したがって、この通信は、盗聴および中間攻撃者に対して安全である。
【0033】
第2の量子鍵が、ソースノードと宛先ノードの間で合意されると、その鍵は、エンドツーエンド暗号化配列にあるこれらのノード間の通信を暗号化するために使用されることができる。この暗号化された通信、しかもソースノードと中間ノードの間のこの暗号化された通信は、任意の従来の通信装置を使用して行われることができる。暗号化は、たとえばAES暗号化標準、またはワンタイムパッド暗号化などの対称暗号に基づく任意の標準的方法で通信に適用されることができる。好都合なことに、各ノードが、暗号ユニット、すなわち暗号鍵に基づき通信を暗号化および復号する装置を含む。この場合、この暗号鍵はソースノードと中間ノードの間の交換のための第1の量子鍵であり、次に、ソースノードと宛先ノードの間のエンドツーエンド暗号化のための第2の量子鍵に取って代わられる。
【0034】
上記の説明は、単一中間ノードだけを含むネットワーク経路について説明した。しかしながら、本発明は、より多くの中間ノードに適用できることは明らかである。たとえば、上記の例で説明された宛先ノードが、実際には第2の中間ノードであると考えてみる。この第2の中間ノードは、第3の中間ノードと量子交換を受けることができる。確立された第2の量子鍵により、ソースノードと、今では第2の中間ノードであるノードの間の安全な通信が可能となり、その結果、ソースノードは、この場合も第3の中間ノードとの量子鍵合意ステップを実行するのに必要な情報をすべて得て、第3の量子鍵を合意することができる。方法は、宛先ノードに到達するまで、必要とされる数の中間ノードについて繰り返されることができる。これにより、ネットワークを介してQKDが適用されるようになる。しかしながら、前の方式とは異なり、本発明の方法により、任意の数の中間ノードだけ、また任意の距離だけ引き離されていても、ソースノードおよび宛先ノードが、量子鍵を直接合意することができるようになる。必要なことは、QKDにより安全にされることができる中間ノード間のリンクだけである。
【0035】
異なる量子鍵を各リンク上で使用するノードの簡単なチェーンとは異なり、本発明の方法により、エンドツーエンド暗号化が適用できるようになる。さらに、チェーン内の中間ノードは、実際には中間ノード間で鍵合意ステップを実行しないので、中間ノード間の認証は必要ないことは明らかである。したがって、チェーン内のノードは、隣接ノードのID鍵を知る必要がない。
【0036】
認証は、第1のノード、すなわちソースノードと、チェーン内の各中間ノードとの間で依然として必要とされ、そうでなければ、中間攻撃者がノードの振りをして、そのノードと確立された量子鍵を知ることができる。1つの量子鍵を知ることにより、攻撃者は、その後の量子鍵を決定することができるようになる。しかしながら、各鍵合意ステップには第1のノードが伴うので、第1のノードは、鍵を合意する各中間ノードのIDを保持することができる。したがって、第1のノードは、中間ノードが正しく認証することを期待する必要はなく、ノードの取換えおよび保守には、新しいIDが第1のノードに提供される必要があるだけで、保守のオーバヘッドを低減する。
【0037】
第1のノードと第2のノードの間、すなわちソースノードと宛先ノードの間で相互認証もなければならないことは明らかである。しかしながら、この場合も、本発明の方法により、通信することを望む2つのノード間で直接認証が可能になる。
【0038】
第1のノードが順に各ノードとQKD鍵合意ステップを実行するので、鍵合意および認証の過程の一部が、これらのステップで確立された共有秘密値の一部を使用して、各ノードのID鍵を更新することを伴うことができることは明らかである。これは、各中間ノードおよび宛先ノードに適用される。したがって、本発明により、第1のノードに知られているID鍵が、QKDにより更新されることができるようになる。これは従来技術で説明される方法を使用して可能ではない。したがって、本発明の方法は、従来技術と比べて、認証鍵の認証および更新において安全性の利点を提供する。
【0039】
本発明の光ネットワークは、適切な量子信号の交換を可能にするどんな種類の知られている光ネットワークでもよい。ネットワークは、自由空間ネットワークを形成する自由空間送信機および自由空間受信機の配列によりなり得るが、好都合なことに、たとえば光ファイバといった、ノード間の導波路リンクを含むことができる。光ネットワークは、純粋にQKDの目的のために実装されることができる。すなわち、光ネットワークは、QKD信号だけを運ぶバックボーンであってもよく、次に、たとえば有線電気ネットワーク、無線ネットワーク、または別の光ネットワークといった、たとえば別のネットワークを介するなど、何らかの別の媒体を介して送信される、ノード間の従来の通信を暗号化するために使用されることができる、ノード間の量子鍵を確立する。しかしながら、好都合なことに、QKDが適用される光ネットワークはまた、従来の光通信用にも適合される。
【0040】
同じ光ネットワークが従来の信号および量子信号のために使用されるとき、光リンクを介して送信される量子信号は、従来の信号のどれとも異なる波長で送信されることが好ましい。これは、従来の信号が、低強度の量子信号を圧倒することなく同時に送信されることができることを意味する。量子信号は、周波数分割多重化装置により光リンクに結合され、そこから分離されることができる。また、光リンクを介して送信されることができる3種類の従来の通信がある。第1の種類が、送信または受信される量子信号に関する、第1のノードと、ターゲットノードの前のノードの間の暗号化された通信である。第2の種類の従来の通信は、第1のノードとターゲットノードの間の、鍵合意ステップ(暗号化されないことがある)としての古典的議論である。第3の種類の従来の通信が、確立された量子鍵を使用して暗号化されることができる、ネットワーク上の実際のデータトラフィックである。異なる種類の従来の通信はすべて、同じ方向で送信され、必要に応じて時分割多重を使用するとき、同じ波長で動作することができる。ある種の光ネットワークでは、一方向に送信される通信が、干渉を防止するためにもう一方の方向に進む通信と異なる波長で伝送されることを当業者は理解する。あるいは、一部の、またはすべての従来の通信が、混乱を避けWDMによる分離を可能にするために、同じ方向に異なる波長で行われることができる。
【0041】
ネットワークは、各ノード間で、たとえば光ファイバケーブルといった同じ種類のリンクを含むことができる。しかしながら、一部のリンクが、異なる媒体を含むことができる。たとえば、光ファイバケーブルは、別のリンクのために使用される、基板内の中空導波路などの別の種類の導波路を有するある種のリンク上で使用されることができる。リンクが自由空間であることがあり、一方、リンクがファイバおよび/または別の導波路材料であることもある。
【0042】
便宜上、および実用上、同じ種類のQKD信号が、ネットワーク経路内の各ノード間で交換されることができる。この場合、第1のノードとターゲットノードの間で量子鍵を合意するステップは、任意のターゲットノードに対して同じプロトコルを伴う。つまり、各量子信号交換は、たとえば、特定のQKDプロトコルに従って適切に変調された単一光子の交換、および第1のノードを伴うその後の鍵合意ステップを伴い、ターゲットノードは、前記プロトコルの関係する部分に従う。しかしながら、方法は、必要に応じて特定のノード間で異なる量子信号が交換されて動作されることができる。たとえば、プロトコルは、BB84型プロトコルとすることができるが、あるリンク上の量子交換が、偏光で変調された単一光子からなることができるのに対して、次のリンク上での量子交換が位相変調されることができる。鍵合意ステップの原理は同じなので、正しい種類の量子送信機および量子受信機が使用されていれば、方法は適切に動作する。あるいは、2状態偏光変調が、あるリンク上で適用され、鍵の合意で使用されることができるのに対して、6状態偏光が次のリンクで使用されることができ、この場合も異なる種類の量子送信機および量子受信機が適切に配列される。そのような配列における第1のノードは、交換される量子信号の種類を知り、該当するプロトコルに従うことができる必要があるのは明らかであるが、特定の量子ノードと量子鍵を確立するために、関係するプロトコルを使用し、そのプロトコルは、該当しなければ、再度使用される必要はない。異なるリンク上で異なる種類の量子信号を使用することは、あるリンクが別のリンクと異なる場合、たとえば、あるリンクが自由空間であるのに対して別のリンクがファイバベースの場合、有利なことがある。したがって、方法は、ネットワーク全体に配列されている様々な異なる種類の量子送信機および量子受信機に適用可能である。
【0043】
上記で説明されたように、量子送信機と量子受信機の間の各量子交換ステップは、知られているQKD技法を使用して実行されることができる。したがって、たとえばデコイ状態(decoy state)の使用などの、交換の効率および安全性を改善する知られている技法が、必要に応じて使用されることができる。交換される量子信号の必要な詳細すべてが第1のノードに提供されれば、第1のノードは、まるで自分で量子信号を送信および受信したかのように、鍵を合意し、追加のどんな安全性強化も適用することができる。
【0044】
ネットワークは、ネットワークを通る少なくとも1つのネットワーク経路を動的に形成するための能動スイッチを伴うことがある。すなわち、光リンクを介してあるノードから光通信データを受信する能動スイッチが、データを渡すための正しいリンク(複数可)を選択することができ、その結果、データがその宛先に到達する。そのようなスイッチは、動作が電気的であり得る。すなわち、スイッチで受信された光データ信号が、処理および正しいルーティングのために光領域から電気領域に変換され、次に、光領域の正しいリンク上に再送信されることができる。したがって、そのようなスイッチは、少なくとも1つの入力リンク、および少なくとも2つの出力リンクを有することができる。しかし好都合なことに、能動スイッチは、各リンクから光通信を受信し、それらを任意の別のリンク上に再送信することができることがある。明らかに、量子信号は、能動スイッチをうまく横断することができず、したがって、そのようなスイッチは、ネットワークノードを含み、スイッチへの各光リンク上で量子信号を送信または受信するための少なくとも1つのQKD装置を有する。
【0045】
本発明の方法は、能動スイッチを含むノードを介して上記で説明されたのと同じ方法で動作する。たとえば、ソースノードが、能動スイッチを含む中間ノードに接続されているとする。能動スイッチは、さらに第1のエンドポイントおよび第2のエンドポイントという2つのノードに接続され、これらのうちの第2のエンドポイントが宛先ノードである。使用法については、ソースノードは、上記で説明されたように中間ノードと第1の量子鍵を確立する。ソースノードはまた、第2のエンドポイントが宛先ノードであることを中間ノードに伝える(これは、QKDフェーズを開始する前の初期経路予約ステップで行われることができる)。したがって、中間ノードは、第2のエンドポイントと量子信号を交換し、上記で説明されたようにこの第1の量子鍵を使用してソースノードと通信し、その結果、ソースノードは、必要とするすべての情報を有して、次に、第2のエンドポイントと鍵合意ステップを始める。したがって、ソースノードは、第2のエンドポイントと認証し、第2の量子鍵を合意する。次に、この第2の量子鍵は、中間ノードの能動スイッチを介して第2のエンドポイントに送信される従来の光通信を暗号化するために使用される。このように、エンドツーエンド暗号化のための安全な鍵が確立される。
【0046】
本発明の方法はまた、交換装置またはルーティング装置の故障に対しても強い。中間ノードと正しく第1の量子鍵を確立し、次に、中間ノードが正しい宛先ノードを選択するのを誤る、すなわち、中間ノードが第2のエンドポイントではなく第1のエンドポイントと量子信号を交換する状況を考えてみる。知られているQKD方式では、この誤りは、検出され得ない。しかしながら本発明では、ソースノードは、中間ノードと通信し、次に、中間ノードとの量子交換に関与するエンドポイントと鍵を合意しようとする。ソースノードは、このエンドポイントが第2のエンドポイント、すなわち、意図された宛先であると期待し、したがって、第2のエンドポイントのID鍵に基づき認証を実施する。しかしながら、実際には、量子交換に関与したエンドポイントは、異なるID鍵を有する第1のエンドポイントであった。したがって、認証段階は失敗し、誤りは見つけ出され、第2の量子鍵が確立されることはない。
【0047】
誤りの別の可能性は、第1の量子鍵がソースノードと中間ノードの間で正しく確立され、かつ第2の量子鍵がソースコードと第2のエンドポイントの間で正しく確立されるが、その後、能動スイッチが、その後の通信を正しくルーティングできないということである。このシナリオでは、第1のエンドポイントが、ソースノードにより送信される通信を受信することができる。しかしながら、この通信は、第2の量子鍵により安全にされていることに留意されたい。第1のエンドポイントは、第2の量子鍵を知らず、したがって、通信が誤って第1のエンドポイントに送信されても、第1のエンドポイントは理解できないままである。
【0048】
したがって、本発明は、任意の中間ノードのルーティングまたは量子交換に頼らないようにする。
【0049】
ネットワークはまた、少なくとも1つの受動光スイッチを含むことができる。当業者は承知しているが、受動光スイッチは、最も簡単な形では、1:Nのチャネルスプリッタ/再結合器の役割を果たす。したがって、受動光スイッチは、上流ノードと呼ばれ得る一方のノードを、下流ノードと呼ばれ得る複数のもう一方のノードに接続する。どの下流ノードもさらに受動光スイッチを含まなければ、接続は、上流ノードから受動光スイッチへの共有リンク、および次に、スイッチから各下流ノードへの別個のリンクを含む。受動光スイッチを介して送信される、上流ノードからのどの光通信も、下流ノードへのすべてのリンクの間で均等に分割される。したがって、単一の上流ノードは、すべての下流ノードに同時にブロードキャストすることができ、すべての下流ノードは、同じ光信号を受信する。受動光スイッチに送信される、任意の下流ノードからの通信は、常に上流ノードに向けられる。したがって、下流ノードは、受動光スイッチを介して互いに直接通信することができない。したがって、下流ノードは、共有リンク上での干渉を防止するために、上流ノードとの自分の通信を時分割多重する。
【0050】
上流ノードが、1つの特定の下流ノードだけと通信したいとき、そのノードに向けるつもりのデータにラベルを付け、前記データを別の任意の下流ノードのためのデータと共に時分割多重し、すべてのデータをすべての下流ノードに送信することができ、次にこれらの下流ノードは自分宛のデータを読み出すことができる。
【0051】
したがって、受動光スイッチの使用は、上流ノードにより下流ノードに送信されるデータが、別の下流ノードすべてにより受信されることを実際に意味する。これはある種の状況では受け入れることができることがあり、簡単なラベルが、別の下流ノードに自分宛でないデータを無視するように伝えることができる。しかしながら、安全性のためには、単一の下流ノードに向けるつもりのどんなデータも、そのノードおよび送信者にだけ知られる鍵を使用して暗号化されることが好ましい。
【0052】
受動光スイッチでは、信号はスイッチを通過する間、光領域にとどまる。単一光子などの量子信号が、受動光スイッチを介して転送されることができることが知られている。British Telecomの米国特許第5,768,378号明細書が、QKDはまた、受動光ネットワークを介して単一送信者(アリス)と多数の受信者(複数のボブ)の間で鍵を配送するために使用され得ることを教示している。アリスの側から下流に送信された光が、1つ以上の受動光ネットワークスイッチに遭遇し、これらのスイッチが自分の出力間で光を配送する。QKDのための単一光子送信に関しては、各光子が、下流経路のうちの1つをランダムに横断し、最後には1つの特定のボブに至る。したがって、各ボブは、異なる一連の単一光子を受信し、次に、各ボブは、アリスと鍵合意ステップを始めて、そのボブに固有の量子鍵を確立することができる。
【0053】
したがって、受動光スイッチは、ネットワークのノードを含む必要がないが、複数の下流ノードを受動光スイッチから共通リンクを介して上流ノードへリンクするために使用されることができる。
【0054】
たとえば、ソースノードが、中間ノードに接続されることができる。次に、この中間ノードは、自分が上流ノードとなるように、受動光スイッチに接続されることができ、受動光スイッチは、第1のエンドポイントおよび第2のエンドポイントという2つの下流ノードに接続される。この場合も、ソースノードは、第1のエンドポイントではなく、第2のエンドポイントと通信することを望むと仮定する。本発明の第1の繰返しでは、ソースノードは、第1の量子鍵を中間ノードと合意する。次に、この中間ノードは、第2のエンドポイントと量子交換を始める。中間ノードが第2のエンドポイントとの量子交換の一部として光子を送信する場合、これらの光子それぞれは、第1のエンドポイントまたは第2のエンドポイントいずれかにランダムに向けられることに留意されたい。第2のエンドポイントに加えて第1のエンドポイントが光子を受信するということは、各エンドポイントが異なる光子を受信するので、方法の動作にとって重要でない。第2のエンドポイントが量子交換の一部として光子を送信する場合、これらの光子は、中間ノードによりすべて受信され、システムにおいて損失を受ける。
【0055】
次に、第1の量子鍵を使用して量子交換に関して中間ノードと通信したソースノードは、第2のエンドポイントと量子信号を議論して、量子鍵を合意することができる。中間ノードが量子送信機である場合、いずれのエンドポイントも、量子信号を受信したことがあるので、いずれのエンドポイントも、量子鍵をソースノードと合意できることがあり得ることに留意されたい。しかしながら、上記で説明されたように、ソースノードは、正しいID鍵を有するエンドポイント(この場合、第2のエンドポイントである)とだけ認証された鍵合意を完了する。したがって、第2のエンドポイントと第2の量子鍵を合意して、ソースノードは、次に、第2の量子鍵を使用して暗号化された通信データを送信することができる。中間ノードはこのデータを中継し、受動スイッチは、いずれのエンドポイントもデータを受信するように、各下流チャネルにデータを渡す。しかしながら、第2のエンドポイントだけが、第2の量子鍵を有しているので、メッセージをうまく復号することができる。
【0056】
当然、ネットワークは、受動光スイッチと同じ場所に配置されたノードを有する必要はないが、受動光スイッチと同じ場所に配置されたノードを有することが有利になる場合があり得る。たとえば、1:N(Nは大きな数である)の分岐を有する受動光スイッチが使用される場合、受動光スイッチを介して量子信号を下流に通さないことが有益であり得る。各単一光子が、異なる下流リンクにランダムに送信されるので、一般に、各ノードは、上流ノードから送信される光子のうちの1/Nしか受信せず、これらの光子は、平均で伝送速度の1/Nで受信される。大きな値のNでは、すなわち、多数の分岐では、各下流ノードで受信される光子の量、すなわち到達速度は、あまりにも低くなり得る。したがって、上流ノードへのリンク上の受動光スイッチに量子信号送信機および/または量子信号受信機を配置し、下流ノードへの各下流リンク上に別の量子信号送信機および/または量子信号受信機を有することが好ましいことがある。
【0057】
Mの上流入力のうちの任意の信号がNの下流出力それぞれに均等に渡され、かつ逆にNの下流入力のうちの1つから受信されるどの信号もMの上流出力それぞれに渡される光ネットワークで、M:N方向のスプリッタ/再結合器が使用されることができることを当業者は当然理解する。本発明の原理は、そのようなスプリッタ/再結合器に対して同じである。
【0058】
ネットワークは当然、様々な組み合わせで配列された任意の数の能動スイッチおよび/または受動スイッチを含むことができる。
【0059】
ネットワークはまた、光通信信号を単に検出し再送信することができる信号ブースタまたは信号中継器などの別の装置を含むことができる。したがって、そのような装置は、量子信号と干渉することができ、したがって、ネットワーク内にノードを含むことができる。
【0060】
さらに、ネットワークは、効果的QKDのために配置される少なくとも1つのノードを含むことができる。当業者は承知するが、現在のQKDシステムは長距離に及ぶことができるが、依然として距離の制約があり、一般に、量子信号により移動された距離と損失の間の相関がある。本発明が、中間ノードを有することにより安全性の欠点をこうむらないことを考えれば、ネットワークは、従来の通信信号に何の影響も及ぼさずにQKDの損失を低減させるように配置されたノードを含むことができる。
【0061】
上記で述べられたように、どのノードのID鍵も、第1のノードとの鍵合意ステップの一部として更新されることが好ましい。更新された鍵は、鍵合意に参加する両方のノードに知られ、したがって、これらのノードが通信を望む次回に使用されることができる。しかしながら、多くのエンドポイントがネットワークに接続されることができ、またどのエンドポイントも同じ中間ノードを介して他の任意のエンドポイントと通信することを望むことがあることは明らかである。したがって、各ノードは、量子鍵を合意する(または、将来、合意することを望むことがある)別のノードごとに別のID鍵を保持する必要があり得る。これは、本物のエンドポイントが互いになりすますために使用されることができないためだけでなく、特定のエンドポイントが量子鍵を中間ノードと合意するとき、両方のノードに対するID鍵が、更新されることが好ましいという理由からも必要とされ得る。しかしながら、中間ノードのID鍵が、すべてのエンドポイントに共通である場合、どのようにしてもすべてのエンドポイントを伴うことなく更新されることができない。
【0062】
上記で述べられたように、ソースノードと宛先ノードの間で確立された量子鍵は、それらの間の通信のエンドツーエンド暗号化のために使用されることができる。通信は、これらのノードが交換することを望むどんなデータとすることができ、たとえばトラフィック鍵などの暗号鍵として使用されるデータを含むことができる。次に、トラフィック鍵は、ネットワークを介するエンドツーエンド通信を暗号化するために使用されることができる。たとえば、ソースノードは、本発明の方法を使用してネットワーク全体に分散された、いくつかの異なるエンドポイントの各々と別の量子鍵を確立することができる。したがって、ソースノードは、安全なエンドツーエンド暗号化通信のために該当する量子鍵を使用して各エンドポイントと通信することができる。しかしながら、これらのエンドポイントのうちの1つが、これらのエンドポイントのうちの別の1つと、別の量子鍵をそのエンドポイントと合意することなく、またはソースノードを介してメッセージを送信することなく、安全に通信することはできない。これは、効果的でない場合がある。しかしながら、一実施形態では、ソースノードは、各エンドポイントと合意された別個の量子鍵を使用して、そのエンドポイントにトラフィック鍵を移送し、同じトラフィック鍵が各エンドポイントに送信される。したがって、各エンドポイントは、ソースノードを介してメッセージを送信する必要なしにエンドポイントのうちのどの間でも直接エンドツーエンド暗号化のために使用されることができる同じトラフィック鍵を受信する。
【0063】
したがって、方法は、ネットワーク内の1つ以上のノードが鍵管理者(key manager)または鍵送信者(key transmitter)の役割を果たすことを伴う。鍵管理者ノードは、自動的に、または要求に応じて、ネットワークを介した通信のために同じ鍵を異なるノードに提供するように動作することができる。たとえば、ネットワーク内の1つのノードが鍵管理者であるとする。自分と1つ以上の宛先ノードの間の通信を確立することを望む要求ノードである任意のノードが、鍵管理者と連絡をとって、トラフィック鍵を要求する。次に、鍵管理者ノードは、本発明の方法における第1のノードの役割を果たし、量子鍵を要求ノードと確立するまで、順次、量子鍵を各中間ノードと合意する。鍵管理者ノードはまた、宛先ノードごとに同じことを行う。次に、要求ノードおよび宛先ノード(複数可)それぞれは、その都度、該当する量子鍵を使用して、鍵管理者により同じトラフィック鍵を送信される。トラフィック鍵は、受信されると、要求ノードと宛先ノードの間の通信のために使用されることができる。
【0064】
ネットワークを介するすべての通信が、そのような鍵管理者により提供される鍵を使用して暗号化されると、その鍵管理者だけが、常に量子鍵をネットワーク内の別のノードと合意する必要がある。したがって、各別のノード、すなわち鍵管理者でないノードは、中間ノードであれエンドポイントであれ、鍵管理者と共有され、必要に応じて鍵管理者を使って更新される1つのID鍵だけを保持する必要がある。鍵管理者は、当然ネットワーク内の別のノードごとにID鍵を保持する必要があるが、鍵管理者ノードは、専用のノードとすることができる。したがって、この配列は、鍵管理者以外のノードごとに必要とされるID鍵の量を実際に減らす。たとえば、効率性または冗長性の理由のために、たとえ2つ以上の鍵管理者があっても、鍵管理者の数を制限し、かつ方法の第1のノードとしての鍵管理者ノードを使って本発明の方法が適用されることを保証するだけで、その結果、鍵管理者以外のノードにより必要とされるID鍵の数を効果的に制限する。
【0065】
しかしながら、このように1つ以上の鍵管理者を使用して方法を実装することは、鍵管理者を信頼することに実際に頼ることは明らかである。宛先ノードと通信を確立することを望む要求ノードは、鍵管理者が宛先を正しく識別し、適切に認証することに頼る。したがって、鍵管理者を使用することが、すべての応用で適切というわけではないことがあり得る。
【0066】
本発明は、ネットワーク上のユーザからなるコミュニティを提供するためのトラフィック鍵の移送のために使用されることができ、たとえば、あるコミュニティが、特定の組織のIT装置、ワークステーション、サーバ、データベースなどを含むことができる。このように効果的に暗号化を使用することは、ネットワークを介した通信が同じコミュニティ内のユーザだけに理解できることを意味する。したがって、ネットワーク基盤は共有されていても、各コミュニティが効果的に別の安全なネットワークを有する。異なるコミュニティが、異なる組織であってもよく、コミュニティは、同じ組織内で実装されてもよい。たとえば、第1のコミュニティが、一般の商用通信のための第1の効果的なネットワークを実装するように配列されることができ、第2のコミュニティが、より機密を扱う商用通信のための第2の効果的なネットワークを実装するように配列されることができる。
【0067】
ネットワーク上のユーザからなる異なるコミュニティがある場合、各コミュニティが、安全性を改善するためにそれ自体の鍵管理者を有することができる。たとえば、ネットワークが、第1のコミュニティに属する複数のエンドポイント、およびまた第2のコミュニティに属する複数のエンドポイントを含み、各エンドポイントは、一方または他方のコミュニティ内だけにあるが、共通の中間ノードを介してすべてがネットワークに接続されているとする(中間ノードは純粋なスイッチ、中継器または同種のものである)。第1の鍵管理者ノードが、第1のコミュニティのために提供されることができ、第2の鍵管理者ノードが第2のコミュニティのために提供されることができる。初期化時、第1の鍵管理者ノードには、ネットワーク内のすべての中間ノードごとのID鍵が提供され(しかしながら、一部の中間ノードが、第1のコミュニティ内のいずれかのエンドポイントへのいずれかのネットワーク経路にとって不適切な場合、すなわち、その中間ノードが、量子鍵を第1の鍵管理者と合意する必要が全くない場合、第1の鍵管理者がそれらのIDを知る必要はない)、同様に、各中間ノードには、第1の鍵管理者に対する対応するID鍵が提供されるとする。第1の鍵管理者はまた、ID鍵を第1のコミュニティ内の各エンドポイントと共有するように配列される。しかしながら、第1の鍵管理者には、第2のコミュニティ内のどのエンドポイントのID鍵も提供されない。また、第2のコミュニティ内のどのエンドポイントも、第1の鍵管理者に対するID鍵が提供されない。同様に、第2の鍵管理者は、量子鍵を合意するために通信する必要のあるすべての中間ノードごとのID鍵を有するように配列される。各中間ノードにはまた、第2の鍵管理者ノードに対する関係するID鍵が提供される。したがって、各中間ノードは、第1の鍵管理者および第2の鍵管理者ごとの別のID鍵を有する。最後に、第2の鍵管理者は、ID鍵を第2のコミュニティ内の各エンドポイントと共有する。
【0068】
動作については、第1のコミュニティ内の任意のエンドポイントが、第1のコミュニティ鍵管理者と連絡をとって、自分と、第1のコミュニティ内の別の任意のエンドポイントとの間の通信用トラフィック鍵を要求することができる。次に、第1の鍵管理者は、本発明の方法を適用し、関係する中間ノードを介して関係するエンドポイントと量子鍵を確立する。量子鍵が各中間ノードと合意されたとき、第1の鍵管理者に対する関係するID鍵が使用され、更新し、第2の鍵管理者に対するID鍵を変更されないままにしておく。次に、関係するエンドポイントと確立された量子鍵は、これらのエンドポイント間の通信を暗号化するためのトラフィック鍵を配送するために使用されることができる。
【0069】
第1のコミュニティ内のエンドポイントが、誤って第2の鍵管理者と連絡をとれば、第2の鍵管理者は、量子鍵をそのエンドポイントと確立しようとすることができるが、共有ID鍵がないので、努力は失敗する。さらに、第1の鍵管理者が、間違った宛先に到達し、第2のコミュニティ内のエンドポイントと鍵を合意しようとすれば、そのような努力はまた、認証がないので、失敗する。しかしながら、鍵管理者が、第1のコミュニティ内の正しくないエンドポイントと量子鍵を合意しようとする場合、成功し、鍵を誤ったエンドポイントに転送することができることが認められる。したがって、潜在的にメッセージが同じコミュニティ内で間違って配送される可能性があるが、配列は、理解できるコミュニティ外部への配送に対する安全性を提供する。
【0070】
第1のコミュニティ内の1つのエンドポイントが、ゲートウェイの役割を果たし、かつ別のネットワークへの通信リンク、または第2のコミュニティ内のゲートウェイの役割を果たすエンドポイントへの通信リンクを有すれば、2つのコミュニティは通信することができることに留意すべきである。ゲートウェイを通過するトラフィックに、コミュニティ内トラフィックには適用されない追加の制御および保護が適用されることができる。
【0071】
トラフィック鍵を要求する、第1のコミュニティ内のノードに関して説明されたが、鍵管理者は、所定の方法で、トラフィック鍵を関係するコミュニティ内のエンドポイントに自動的に配送するように配列されることができる。
【0072】
上記で説明されたように、本発明の方法は、第1のノードと、第2の宛先ノードの間の、ネットワーク経路内の各隣接ノード間の量子交換を伴う。したがって、経路内の各中間ノードは、前のノードへのリンクを介して、および別に次のノードへのリンクを介して量子信号を交換することができなければならない。したがって、最大の柔軟性を提供するために、各中間ノードは、自分をネットワークの別のノードにリンクする各リンク上で量子信号を交換するように配列され得ることが好ましい。しかしながら、ネットワーク配列、および限られた数のノードが方法の第1のノードの役割を果たすことができるかどうかに応じて、この完全な融通性は必要とされ得ない。エンドポイントであるどのノードも当然、自分が有する隣接ノードへのリンク上で量子信号を交換することができなければならない。
【0073】
したがって、各ノードは、少なくとも1つの量子信号送信機、および/または少なくとも1つの量子信号受信機を含む。標準的ポイントツーポイントQKDシステムでは、量子交換は片方向である。すなわち、一方のエンドポイントに量子信号送信機があり、もう一方のエンドポイントに量子信号受信機があり、本発明は、ノード間の所与の任意のリンクを介した片方向量子交換を利用することができる。
【0074】
しかしながら、たとえばデータ速度を増すために、単一リンクを介した双方向量子交換を行うことが可能であり、したがって、各エンドポイントが、同じリンクを介して動作するように配列された、量子信号送信機および量子信号受信機を有することができる。
【0075】
別の時間に各リンク上で量子信号を送信も受信もできるように各ノードを配列することが、都合がよいこともある。そのような配列により、ネットワークへのノードの配列が容易になり、ノードがより容易に追加、削除、または位置変更されることができるようになり得る。
【0076】
片方向量子交換が適用される場合、ネットワークは、量子信号が交換される必要があるノード間のリンクごとに、一方のノードが量子送信機を含み、他方のノードが量子受信機を含むように配列される。2つのノード間の各個別のリンクが、他方のノード内の量子送信機によりリンク上に送信される量子信号を受信するための量子受信機を一方のノード内に含む場合、様々なノードにわたる送信機および受信機の正確な配列は重要ではない。
【0077】
単一中間ノードを介した、第1のノードと第2のノードの間のQKDのための方法の動作について考えてみる。動作については、方法の第1の繰返しは、第1のノードと中間ノードの間の量子交換を伴う。第1のノードが、そのリンク用の量子送信機を含む場合、したがって、第1のノードが量子信号を送信し、それを中間ノードにある量子受信機が受信する。あるいは、第1のノードが量子受信機を含む場合、必要ならば中間ノードと通信でき、その結果、中間ノードはリンク上に量子信号を送信し、それを第1のノードが受信しようとする(ある種の実施形態では、中間ノードの量子送信機は、連続して、または一定の間隔で自動的に送信するように配列されることができる)。いずれの場合も、次に、第1のノードおよび中間ノードは、第1の量子鍵を正常として合意する。
【0078】
次の繰返しでは、中間ノードは、量子信号を第2のノードと交換する。中間ノードは、量子送信機を第2のノードへのリンク上に配置させることができ、したがって、量子信号の交換は、量子受信機が信号を受信するように配列された第2のノードへの適切な量子信号の送信を伴い得る。送信後、次に、中間ノードは、送信された量子信号に関する情報を第1のノードに伝えることができ、たとえば、BB84型プロトコルが使用された場合、中間ノードは、各光子に適用された符号化基底およびデータ値に関する情報を第1のノードに伝える。符号化基底およびデータ値が、一般に乱数発生器により生成された乱数に基づいていれば、通信は、使用された乱数だけを含むことができる。
【0079】
あるいは、中間ノードは、量子受信機を第2のノードとのリンク上に配列させることができ、第2のノードは、このリンク上に量子送信機を有する。その場合、量子交換は、第2のノードが量子信号を中間ノードに送信することを伴う。中間ノードは、量子信号を受信し、BB84型プロトコルを使用している場合、受信する各光子に符号化基底を適用し、前記基底を使用してデータ値を測定する。したがって、中間ノードは、第1の量子鍵を使用して、受信される光子ごとの適用された符号化基底およびデータ値に関する情報を第1のノードに伝えることができる。次に、第1のノードは、希望に応じて鍵合意ステップを第2のノードと始めることができる。
【0080】
したがって、2つのリンク上の量子送信機および量子受信機の配列がどうであれ、本発明の方法が適用されることが理解されることができる。
【0081】
しかしながら、中間ノードが量子送信機を含む場合、中間ノードが、どんな量子信号が送信されたかに関する詳細を第1のノードに実際に送信するように方法を実行することができるが、代わりに、第1のノードは、送信される量子信号が、送信される前にどうでなければならないかを中間ノードに伝える。たとえば、上記で述べられたように、量子信号に適用される変調は、乱数のストリングに基づくことができる。したがって、第1のノードは、それ自体の乱数を生成するように配列され、乱数を安全な通信ステップで中間ノードに伝えることができる。次に、中間ノードは、これらの数を量子信号に適用される変調のための基底として使用することができる。数を生成した第1のノードは、どんな変調が適用されたかを知っている。したがって、第1のノードは、中間ノードからさらに伝えられることなく、鍵合意ステップを第2のノードと実行し始めることができる。この配列は、中間ノードにある送信機がそれ自体の乱数発生器を有する必要性をなくすことができ、したがって、それにより中間ノードの構成要素を簡素化することができる。これにより、第1のノードが中間ノードの乱数発生器のランダムさを信頼しなければならないことを防止することもできる。
【0082】
したがって、ターゲットノードと前のノードの間の量子交換を実行するステップは、前のノードが量子信号をターゲットノードに送信することを伴うことがあり、第1のノードと、ターゲットノードの前のノードの間で量子信号に関する情報を伝えるステップは、第1のノードからターゲットノードの前のノードに、量子信号に適用された変調に関するデータを送信するステップを含むことができる。適用された変調に関する情報は、乱数のストリングであり得る。
【0083】
このように方法を実行することができるためには、第1のノードとなれるノードから第2のノードになれるある任意のノードに至るどの経路も、量子送信機が経路内の次のノードへのリンク上に配列されるノードを介して進むように、ネットワークが配列される必要があることは明らかである。一部の例では、この配列は、上記で説明されたように、鍵管理者を使用して、量子鍵を確立し、次にトラフィック鍵を配送するときなど、特に、第1のノードの役割を果たすように配列されるノードの数が制約される場合に、注意深いネットワーク配列により配列されることができる。第1のノードと第2のノードの間で量子鍵が確立されると、第2のノードは、それを通信のために使用する最初となり得り、したがって、第1のノードの役割を果たすように配列されるのではなく、第2のノードの役割を果たすことができる、第1のノードとの通信を開始することを望むノードは、関係する第1のノードに、量子鍵を設定するように指示することができることも覚えておくべきである。
【0084】
代替案として、少なくとも一部のノードが、同じリンク上で量子信号を送信または受信することができるようにそのリンク上に配列された量子送信機および量子受信機を含むことができる。特定のリンク上を片方向で送信される量子信号は、波長分割により送信および受信される信号の適切な結合および分離を可能にするために、リンクの別の方向に送信される量子信号と異なる波長で送信されることができる。あるいは、可動ミラーなどの光スイッチが、必要に応じて量子送信機および量子受信機を選択するために使用されることができる。
【0085】
しかしながら、一般に、本発明の方法は、任意の1つのリンク上の一方のノードに送信機がありもう一方のノードに受信機があれば、様々なリンク上の送信機および受信機のどんな配列でも動作する。
【0086】
第1のノードが、量子信号を送信しているノードと通信しているときに、第1のノードが、送信ノードに何を送信すべきかを伝えても、送信ノードが、第1のノードに何が送信されたかを伝えても、疑似乱数発生器の使用により送信されるデータの量を低減することが可能である。疑似乱数発生器はよく知られており、所定のアルゴリズムを使用して、シード(seed)のビット列に作用して、一定長にわたり乱数の性質を有するより長いビット列を生成する。しかしながら、同じシードが常に同じ出力を生成する。したがって、どのノードが変調用データを生成しようとも、比較的短い乱数の列が生成され、送信ノードと第1のノードの間で伝達されることができる。次に、両方のノードがこの短い乱数を疑似乱数発生器のシードとして使用して、より長いストリングを生成でき、このストリングは、両方のノードに知られており、量子信号を変調するために使用される。
【0087】
上記で述べられたように、本発明の方法は、中間ノードが、別の中間ノードと認証せず、また別の中間ノードと鍵合意ステップも実行せず、したがって、これらの機能を信頼される必要がないことを意味する。また、メッセージがエンドツーエンドで暗号化されるので、中間ノードは正しいルーティングについて信頼される必要がない。しかしながら、ノードにより受信および/または送信される量子信号、およびID鍵に関する任意のデータに関するデータは、通信の安全性を保証するために保護される必要がある。したがって、各ノードは、好ましくは、権限のない職員が近づくことができないように、かつ鍵データを曝露することができる発行を防ぐように設計される、または覆い隠されるように、物理的に安全にされるべきである。各ノードのQKD装置が、たとえば、改ざんの恐れのないおよび/または覆い隠された環境に配置される、ならびに/あるいは当業者に知られるような様々な改ざん検出装置を提供されるというように、物理的に安全にされることが好ましい。
【0088】
したがって、本発明の方法は、量子信号交換がネットワーク内の隣接ノード間で行われることができれば、任意の光ネットワーク環境を介するQKDに適用可能である。エンドツーエンド量子鍵合意を行う能力は、本発明の一態様である。したがって、本発明の別の態様では、複数のノードを含むネットワークを介した量子鍵配送の方法が提供され、方法は、2つのノード間に直接の光リンクを有さない2つのノード間で量子鍵合意ステップを実行するステップを含む。鍵合意ステップは、量子信号交換を議論するステップを伴う。
【0089】
次に、本発明は、以下の図面だけを参照する例によって説明される。
【図面の簡単な説明】
【0090】
【図1】単一の光リンク上に配列された標準的QKD送信機(アリス)および受信機(ボブ)の概略図である。
【図2】簡単なネットワークに適用された本発明を示す図である。
【図3】より一般的なネットワーク配列を示す図である。
【図4】図4に示される中間ノードのうちの1つの概略を示す図である。
【図5】ネットワークのための鍵管理者の役割を果たすように配列された限られた数のノードを有するネットワーク配列を示す図である。
【図6】簡単なネットワーク配列の別の実施形態を示す図である。
【図7】図6の中間サブシステムの概略を示す図である。
【発明を実施するための形態】
【0091】
図1を参照すると、標準的QKDシステムの基本構成が示されている。一般にアリスと呼ばれる量子送信機を含むユニット102が、一般にボブと呼ばれる量子受信機を含むユニット104に光学的にリンクされる。光リンクは、自由空間を介しても、任意の適切な導波路を介してもよいが、例示のために、本明細書では光ファイバリンクであるとして説明される。一般的なアリスユニットは、乱数発生器106と、量子送信機108と、制御論理回路110と、古典的トランシーバとを損なう。量子送信機108は、一連の単一光子を生成し、各光子は、乱数発生器により生成された値を使用してランダムに符号化される。いくつかの異なる知られている符号化プロトコルがあり、QKDのために使用されることができるいくつかの適切な送信機があることが当業者には容易に理解され、したがって、これらの態様がさらに説明されないものとする。この説明の目的のために、BB84型プロトコルが仮定され、2つの符号化基底のうちの1つが光子ごとにランダムに選択され、光子は、選択された符号化基底で1または0のデータ値でランダムに符号化される。光子ごとの適用された符号化基底およびデータ値に関連するデータが、アリス制御論理回路(logic)110に渡される。
【0092】
一連の符号化された単一光子が、光ファイバを介してボブユニット104に送信される。一般的なボブユニットは、光子を測定すべき符号化基底をランダムに選択し、次に、選択された基底で光子に対するデータ値を決定する量子受信機116を含む。検出された光子ごとの適用された符号化基底および測定された値を示す量子受信機116の出力が、ボブ制御論理回路118に渡される。
【0093】
次に、アリス制御論理回路110およびボブ制御論理回路118は、それぞれ古典的トランシーバ112および120を介して互いに通信して、よく知られるように共通の共有鍵を確立する。本明細書で使用されるように、論理回路という用語は、鍵合意プロトコルを実行するための任意の適切な装置配列を意味することに留意されたい。制御論理回路は、適切に設計されたASICでも、適切にプログラムされたFPGAでもよい。制御論理回路はまた、適切にプログラムされたマイクロプロセッサとすることもできる。
【0094】
共通の共有鍵を確立する際、アリス制御論理回路110およびボブ制御論理回路118は、中間攻撃者の可能性を排除するために、互いに相互に認証する。そのような認証は、よく知られた手順であり、たとえば、両者が、交換するメッセージにデジタル署名を適用することを伴う。デジタル署名は、リンクに対するID鍵と呼ばれる暗号鍵を使って生成され検証される。これは、ID鍵が両者にしか知られない秘密値である場合の対称暗号技法に基づくことができる。
【0095】
QKDを使用して新しい共有の共通鍵値を確立し、互いに認証し、アリス制御論理回路110およびボブ制御論理回路118は、一つには秘密ID鍵を更新するために、また一つにはこれらの制御論理回路間のその後の通信を保護するための暗号化鍵として、その値を使用する。
【0096】
図2は、本発明が簡単なネットワークにどのように実装され得るかを示す。図2に示されるネットワークは、3つのエンドポイントノード202a〜cからなり、それぞれ光ファイバリンク206を介して中間交換ノード204とリンクされる。交換ノード204は、任意のノードからリンク上の光データを受信し、そのデータを任意のノードに再送信することができる能動スイッチ(図示せず)を含む。
【0097】
ノード202aは、ファイバリンクを介して交換ノード204内のボブユニット104aと通信するように配列されるアリスユニット102aを含む。アリスユニットおよびボブユニットは、図1を参照して上記で説明されたのと同じものであり得る。交換ノードはまた、それぞれノード202b内のボブユニット104b、およびノード202c内のボブユニット104cと通信するように配列されるアリスユニット102bおよび102cを含む。
【0098】
使用法については、ノード202aがノード202bと通信することを望むが、通信を盗聴者から秘密に保ち、通信を誤ってノード202cに配送されるのを保護したいと思うとする。したがって、ノード202aは、第1の量子鍵をQKDにより交換ノード204と確立し、この量子鍵を交換ノード204と認証して、実際に交換ノードと通信していることを保証する。この認証は、ノード202aおよびノード204により共有されるID鍵に基づく。
【0099】
次に、ノード202aは、アリス102bからノード202bに一連の単一光子を送信し、量子通信が行われると、何が送られたかをノード202aに伝えるようにノード204に指示する。交換ノード204とノード202a間の通信は、第1の量子鍵を使用して暗号化されて、通信を盗聴から保護する。どんな量子信号が送信されたかを知ると、ノード202aは、明らかに交換ノード204を介してノード202bとオープンな古典的通信を始めて、上記で説明されたように量子鍵を確立する。さらにノード202aは、ノード202bだけに知られるID鍵に基づき鍵を認証する。この方法では、ノード202aは、ノード202bと話しており、交換ノード204を信頼する必要がないという確信がある。認証したので、合意された鍵の交換部分が、新しいID鍵として使用するために保存されることができ、残りの部分が、エンドツーエンド暗号化のために使用されることができる第2の量子鍵を形成することができる。
【0100】
交換ノードが、ノード202aがノード202cと話したいと誤って考えたとすれば、代わりに量子信号をアリスユニット102cからノード202cに送信し、その後、鍵合意ステップの一部であるノード202aの古典的通信をノード202cに向けることがあった。しかしながら、そのような事態では、ノード202cが正しいID鍵を有していないので、認証ステップは失敗する。
【0101】
したがって、本発明により、エンドポイントノードが、量子鍵を別の任意のエンドポイントノードと直接合意し、認証することがでるようになる。
【0102】
ノード202bがノード202aと通信することを望み、これらのノードが新しい鍵を必要とすれば、ノード202bは、単に手順を繰り返すようノード202aに依頼することができる。しかしながらノード202bは、事実上同じ手順を逆に実行することにより自分で鍵を確立することができる。すなわち、ノード202bは、交換ノード204と連絡をとって、ノード202と量子鍵を確立することを望むことを示す。第1段階として、交換ノードのアリスユニット102bは、これらのノードが量子鍵を合意することを議論する量子信号をノード202bに送信し、通常どおり認証する。今回、認証するのはノード202bであり、したがって、交換ノード204により保持される関係するID鍵は異なる。この鍵を確立すると、アリス102aは、量子信号を交換ノード内のボブ104aに送信するよう指示される。次に、交換ノードは、受信された各光子の詳細を、次に、その後の鍵合意ステップで交換ノードの役割を果たすノード202bに送信する。すべての順序が正しいと仮定すれば、ノード202bおよび202aがその後の通信用の新しい量子鍵を認証し、合意する。
【0103】
希望すれば、ノード202bがノード202cと鍵を合意することも可能である。第1の量子鍵が、上記で説明されたように交換ノード204と確立される。次に、アリスユニット102cが、ノード202c内のボブユニット104cに量子信号を送信し、その詳細が、第1の量子鍵を使用して交換ノードによりノード202bに送信される。次に、ノード202bがノード202cと鍵合意ステップを始めて、第2の量子鍵を認証し、合意する。
【0104】
本発明の方法は、図3に図示されるように、より一般的なネットワークに拡大される。ここでは、一連のエンドポイント302a〜gが接続される。通信ネットワークのエンドポイントは、任意の適切な通信装置に接続されることができる。たとえば、ネットワークが、コンピュータ間通信用ネットワークである場合、エンドポイントは、個別のワークステーション、サーバ、データベースなどに接続されることができる。
【0105】
エンドポイント302a〜gは、光ファイバリンク、ならびに中間ノード304a、304b、306、308、および310により接続される。中間ノード304aおよび304bはいずれも、エンドポイントおよび別の中間ノードに接続され、データトラフィックを適切にルーティングするための能動スイッチを含むことができる。中間ノード306は、別の中間ノードにしか接続されていないが、すべての点で事実上ノード304aおよび304bと同じとすることができ、この場合もデータトラフィックをルーティングするための能動スイッチを含むことができる。
【0106】
中間ノード308だけが、2つのノードにリンクされ、したがって、かならずしも何らかの交換能力を必要としない。この中間ノードは、光伝送が中断される、ネットワーク内の光信号ブースタまたは光信号中継器の場所に相当することができる。したがって、量子信号の中断のために、ノードが必要とされる。あるいは、ノードは、純粋に量子信号がノード間を移動する必要がある距離を縮めるために配置されることができ、たとえば、エンドポイント302fが中間ノード306から非常に遠い距離に配置された場合、間にある距離を越えて量子信号を効果的に送信する際に問題となり得る。本発明は、追加のノードを提供する際、安全性を低下させないので、中間ノード308がこの光リンク上に配置されて、効果的に機能することができる2つの別の量子リンクを提供することができる。
【0107】
エンドポイント302c〜eはすべて、受動光スイッチ312により中間ノード310に接続される。すなわち、中間ノード310と受動光スイッチ312の間に単一ファイバリンクがあるが、各エンドポイント302c〜eには、受動光スイッチ312へのそれ自体の別のリンクがある。中間ノード310から送信される任意のどんな光データトラフィックも、受動光スイッチ312により分離され、エンドポイント302c〜eそれぞれに渡される。任意のエンドポイント302c〜eからの光データも、当業者によく理解されるように、受動光スイッチ312を通って中間ノード310まで移動する。
【0108】
各ノードは、各光リンク上に配列されたアリスユニットAまたはボブユニットBのいずれかを有し、各光リンクは、一方の側にアリスを、他方の側にボブを有する。この配列では、任意のエンドポイントは、別の任意のエンドポイントと話すことができ、そのエンドポイントと直接、量子鍵を確立することができる。
【0109】
たとえば、エンドポイント302aがエンドポイント302fと話すことを望むとする。エンドポイント302aは、まずネットワークを通るネットワーク経路を確立することができる。この場合、エンドポイント302a−中間ノード304b−中間ノード310−中間ノード306−中間ノード308−エンドポイント302fという唯一の実体のある経路がある。しかしながら、多数の可能な経路があるネットワークもあり得、選択された経路が、特定のノードに乗り込むネットワークに依存することがあり得る。
【0110】
経路が確立されると、エンドポイント302aは、上記で説明されたように量子鍵を順に経路内の各ノードと確立する。すなわち、エンドポイント302aのアリスは、量子信号を中間ノード304bのボブに送信し、次に、これらのノードが議論して、第1の量子鍵を確立する。次に、中間ノード304bは、光子を中間ノード310のボブに送信し、エンドポイント302aに何が送信されたかの詳細を送信する。次に、エンドポイント302aは、中間ノード310と議論し、これらのノードは、第2の量子鍵を合意する。次に、中間ノード306は、量子信号を中間ノード310に送信し、中間ノード310は、第2の量子鍵を使用して検出された光子の詳細をエンドポイント302aに送信する。次に、エンドポイント302aは、第3の量子鍵を中間ノード306と合意し始める。
【0111】
この過程は、順に各ノードについて繰り返されてついに、最後の段階で、エンドポイント302fが量子信号を中間ノード308に送信し、中間ノード308が信号を受信し、第4の鍵となるものを使用して、検出された光子に関する詳細をエンドポイント302aに送信する。次に、エンドポイント302aおよび302は、第4の量子鍵を合意することができ、次に、その鍵はその後これらのエンドポイント間の通信を暗号化するために使用されることができる。
【0112】
エンドポイント302aがエンドポイント302hと通信することを望むならば、過程は、異なるルートを介して進むだけで、事実上同じである。
【0113】
エンドポイントがエンドポイント302dと通信することを望む場合、過程はまた事実上同じである。エンドポイント302aは、中間のノード310まで各ノードと順に別の量子鍵を確立する。次に、中間ノード310は、そのアリスユニットから受動光スイッチ312を介してエンドポイント302dに光子を送信する。受動光スイッチは、3つのエンドポイント302c、302d、および302eのうちの1つに各光子をランダムに向ける。したがって、エンドポイント302d内のボブは、中間ノード310のアリスにより送信される光子のうちのほぼ3分の1を受信する。
【0114】
次に中間ノード310は、関係する量子鍵を使用して送信されたすべての光子の詳細をエンドポイント302aに送信する(エンドポイント302aは、どの送信された光子が任意の特定のエンドポイントにより受信されたかを知らない)。次に、エンドポイント302aは、エンドポイント302dが実際にどの光子を受信したか、および符号化基底をエンドポイント302dと議論して、通常のQKDのように共有秘密値を確立する。鍵合意ステップには認証を伴うので、エンドポイント302aはエンドポイント302dと話していることを確信することができ、認証が伴わなければ、エンドポイント302aは、量子鍵を確立または使用することを拒否する。エンドポイント302cおよび302eは、受動光スイッチを介してエンドポイント302dに送信される従来の光通信をすべて受信するので、鍵合意段階の一部として、エンドポイント302aにより送信されるすべての古典的メッセージを受信することは当然留意されたい。しかしながら、エンドポイント302cおよび302eは、エンドポイント302dとは異なる光子を受信したので、上記のことによりエンドポイント302aおよび302dにより合意される量子鍵を決定することができるようにはならない。量子鍵は、合意されると、エンドポイント302aとエンドポイント302dの間の通信を暗号化するために使用されることができ、エンドポイント302dに送信されるすべての通信も受動光スイッチに接続されるその他のエンドポイントにより受信されるとしても、エンドポイント302dだけが、メッセージを復号するための正しい鍵を有する。
【0115】
中間ノード310内のアリスユニットがエンドポイント302c〜eそれぞれの中のボブユニットに送信するネットワークが示されていることを当業者は理解する。しかしながら、この配列は容易に逆にされ、これらのエンドポイントそれぞれの中のアリスが中間ノード310内のボブに送信することができる。受動光スイッチは、エンドポイント302c〜eにより送信されるどんな量子信号も中間ノード310にあるボブに渡し、したがって、通常のように量子交換が行われることができる。必要とされることは、受動光スイッチを通って上流に送信するエンドポイント間の時分割多重化だけである。
【0116】
エンドポイント302c〜eのうちのいずれもまた、本発明の方法を開始することができ、中間ノード310に量子信号を送信してもらうことにより簡単に開始し、その一部が、開始するエンドポイントにより受信され、第1のリンクに対する鍵を設定するために使用される。
【0117】
エンドポイント302c〜eはすべて、受動光スイッチに接続されるが、受動光スイッチはネットワークノードを含まず、したがって、エンドポイント302c〜eそれぞれが中間ノード310だけに接続されることは当然、留意されたい。したがって、これらのエンドポイントのうちの2つが通信することを望む場合、中間ノード310を通してそうしなければならない。
【0118】
図2および図3では、個別のボブユニットおよびアリスユニットを有するものとしてノードが示されているが、実際は、構成要素の中には一緒に共有されているものがある。図4は、一部の構成要素がどのように配列されることがあるかの例を示す。図4は、中間ノード304bの例示構造を示す。
【0119】
ノードには3つのファイバリンクがあり、これらのリンクはすべて能動電気スイッチ402に接続される。スイッチは、1つのチャネル上で光通信を受信し、通信の中に含まれるアドレス情報から、該当する出力を選び、同じ光信号を再送信する。
【0120】
波長分割多重化装置/波長分割逆多重化装置も、スイッチの前方の光チャネルから量子信号を分離する、またはスイッチの後方の光チャネルに量子信号を付加するように各ファイバ上に配列される。
【0121】
ノードは、エンドポイント302aから送信される量子信号のための受信機の役割を果たすように配列され、したがって、図1に関連して上記で説明されたのと同じでもよい量子受信機が量子信号を受信するように配列される。量子受信機は、制御論理回路406に接続され、検出された光子に関する情報を渡す。任意のエンドポイントとの鍵合意ステップの一部として、このノードは、そのエンドポイントと古典的議論を行うことができる必要がある。制御論理回路は、この実施形態では自分自身の従来のトランシーバをこの通信のために配列することができるが、代わりにスイッチ402に接続されているので、事実上スイッチ自体のトランシーバを利用することができる。したがって、鍵交換の一部としての古典的議論は、ネットワーク上のデータトラフィックと同じ波長で行われ、適切に時分割されなければならない。このノードと議論するエンドポイントが、通常のようにデータをスイッチに送信するが、ノードの制御論理回路のためにデータを効果的にアドレスする。
【0122】
任意のエンドポイントと量子鍵を確立し、次に、ノードが、次の順番のノードと交換される量子信号に関してノードと通信するための量子鍵を暗号ユニットにロードすることができるように、制御論理回路は、暗号ユニット404を介してスイッチに接続される。当業者は理解するが、暗号ユニット(または暗号部(crypto))は、通信を暗号化または復号するための装置である。暗号ユニットは、ASICまたはFPGAの形式で実装され、たとえばAES暗号化標準における鍵を使用するように配列されることもある。AESの適切なFPGAまたはASICの実装形態が、たとえばHelion Technology Limited、Cambridge、Englandから得られる。
【0123】
制御論理回路はまた、乱数発生器408に接続され、量子送信機108は、リンク上でWDM410を介してエンドポイント302bおよび中間ノード310に送信するように配列される。
【0124】
したがって、制御論理回路は、量子受信機および量子送信機それぞれを制御することができ、任意のエンドポイントと鍵合意ステップを実行する。その量子鍵を確立して、制御論理回路は、該当するリンク上の送信機または受信機を制御し、必要に応じて量子信号を送信または受信することができる。次に、制御論理回路は、暗号ユニットで量子鍵を使用し、量子交換に関するデータを該当するエンドポイントに送信することができる。
【0125】
そのような配列に伴う1つの問題が、中間ノードに2つの量子送信機があることであることに留意されたい。送信される乱数は、乱数発生器により生成される、または、ある種の実施形態では、送信のために使用される前方への接続も識別する暗号化されたメッセージの形で受信される。乱数を量子送信機に送信する電子回路は、正しい量子チャネルを選択することを期待される必要はないが、乱数を2つ以上の量子チャネルに送信してはいけない。そうでなければ、盗聴者が1つのチャネルを観測し、その他のチャネルを乱すことなく乱数に関する重大な情報を知ることができる。
【0126】
乱数が、たとえば三重モジュール冗長を使用して多数の伝送を停止させることにより、このように複製されるのを防ぐために電子回路が使用されることができるが、より容易に信頼できる技法が、受動光スプリッタを有する単一送信機を使用することである。この配列では、電子回路は、1つの送信機だけを駆動しなければならないので、はるかに簡単になる。光スプリッタは、量子信号をすべての出力間でランダムに分割するが、量子物理学の法則によれば、量子信号を構成する単一光子の忠実な複製を生成することができない。光スプリッタの効果は、所望の量子受信機に到達する信号の量を低減することであり、これにより、鍵が確立されることができる速度を低下させるが、鍵の確立を防がない。
【0127】
図3を参照して説明されたネットワークの実装形態では、エンドポイント302a〜hのうちのどれでも、量子鍵を別の任意のエンドポイントと合意する処理を開始することができる。したがって、各エンドポイント、および各中間ノードも、各エンドポイントを使って別に認証することができなければならない。これは、あらゆるノードが8つの別のID鍵を保持することを必要とする。ID鍵の数を減らす1つの方法が、量子鍵を合意する際にソースノードの役割を果たすことができるノードの数を制約することである。
【0128】
図5は、各ノードにより保持される必要があるIDの数を制約する一実施形態を図示する。この場合、いくつかの鍵管理センタ(Key Management Centre)が、エンドポイントのグループのための鍵生成に責任を負い、これらのグループ鍵をエンドポイントに安全に配送できなければならない。KMCは、本明細書で説明されたネットワークQKDソリューションを使用して、自分のグループ内のエンドポイントへの安全な認証されたチャネルを設定し、次にこれらのチャネルを使用して、グループ鍵を配送することができる。次に、QKDネットワークノードが、各エンドポイントのためでなく各KMCのためにもIDを処理する必要がある。
【0129】
図5に示される例には、KMCおよびKMCという2つの鍵管理センタがある。これらが、エンドポイントおよびエンドポイントからなるグループ1、ならびにエンドポイントおよびエンドポイントからなるグループ2という、エンドポイントからなる2つのグループのための鍵を管理する。
【0130】
各KMCは、ネットワークQKDを使用して、エンドポイント鍵をそのグループ内のエンドポイントと確立する。次に、KMCは、グループ鍵を生成し、グループ鍵を保護するためにエンドポイント暗号化鍵を使用してこれをエンドポイントに渡す。異なるKMCからそのエンドポイントへの経路が、ネットワークノードを通過する場合、そのノードには、KMCごとのIDがなければならない。例では、ノードおよびノードがこの場所にある。両方のKMCがこれらのノードを使用して、そのエンドポイントに到達するので、ノードはそれぞれに対して別のIDを保持する必要がある。
【0131】
1つのKMCからの経路上でしか出現しないノードは、1つのIDだけを保持する必要がある。図5のノードおよびノードがこの例である。KMCは、そのエンドポイントすべてのID、およびそれらに到達するために使用される任意のネットワークノードのIDを保持する必要がある。
【0132】
グループ内の各エンドポイントが、関係するグループ鍵を提供されると、そのグループ鍵は、各エンドポイント間の通信を暗号化するために使用されることができる。
【0133】
この実施形態では、KMCからエンドポイントへの経路内のより前のノードとより後のノードの間のリンクには、より後のノードに送信するように配列された、より前のノード内の量子送信機が常にあるようにネットワークを配列することが可能である。そのために、KMC1には、たとえば、量子送信機がノード2へのリンク上に配列される。ノード2には、量子送信機がノード3および4へのリンク上に配列される。ノード3および4には、量子送信機がそれぞれエンドポイント6およびエンドポイント9へのリンク上に配列され、また、ノード3にもノード4にも、ノード5へのリンク上に量子送信機がある。最後に、ノード5にはエンドポイント7およびエンドポイント8へのリンクそれぞれの上に量子送信機がある。
【0134】
この配列により、KMCは、量子交換ステップでどの量子信号が送信されるべきかを経路内のノードに伝えることができるようになる。すなわち、KMC1は、量子信号をノード2に送信し、従来のQKDのようにノード2と量子鍵を確立する。次に、KMC1はこの鍵を使用して、経路内の次のノード(たとえばノード3)への量子信号を変調するために使用される一部の乱数をノード2に移送する。その後、KMC1は、ノード3と量子鍵を合意し、この鍵を使用して、次のノードに送信される量子信号の変調のために使用される一部の乱数をノード3に移送する。
【0135】
図6は、ノード1およびノード2という2つの送信ノードがそれぞれ、ノード3およびノード4という2つの受信ノードのうちのいずれかと量子鍵を確立し、ノードが中間ノードにより接続されるネットワークからなる簡単な例を示す。
【0136】
ノード601には、アリスサブシステム611が装備され、ノード602には、アリスサブシステム612が装備され、ノード603には中間サブシステム613が装備され、ノードにはボブサブシステム614が装備され、ノードには、ボスサブシステム615が装備される。
【0137】
ノードは、量子チャネル621によりノードに接続される。ノードは、量子チャネル622によりノードに接続される。ノードは、量子チャネル623によりノードに接続される。ノードは、量子チャネル624によりノードに接続される。
【0138】
5つのノードはどれも、量子鍵配送のよく知られた原理に従って、様々なサブシステム間で、量子チャネル上の伝送の結果を議論するメッセージを運ぶ共通の古典的チャネル625に接続される。
【0139】
アリスサブシステム611は、QKDを使用して、中間サブシステム613と鍵を確立する。この過程は、量子チャネル621上に乱数を送信し、古典的チャネル625上で結果を議論することを伴う。次に、確立された鍵は、アリスサブシステムから中間サブシステムに渡される乱数を暗号化するために使用される。中間サブシステムは、これらの乱数を量子チャネル622上でボスサブシステム614に送信する。ここで、アリスサブシステムおよびボブサブシステムは、古典的チャネル上で結果を議論して、アリスサブシステムに知られる鍵値631、およびボブサブシステムに知られる鍵値632を確立する。ここで、この共有鍵値は、ノードとノードの間の通信を安全にするために使用されることができる。
【0140】
アリスサブシステム612は、同じ方法を使用して、ボブサブシステムと鍵を確立する。次に、この鍵は、ノードとノードの間の通信を安全にするために使用されることができる。
【0141】
アリスサブシステムおよびボブサブシステムはそれぞれ、古典的チャネル上で乱数を送信するための暗号ユニットをアリスユニット内に有するという追加機能を有する従来のアリスユニットおよびボブユニットとすることができる。
【0142】
中間サブシステム613は、図7により詳細に示される。量子チャネル621は量子受信機701に接続され、量子チャネル623は量子受信機702に接続される。これらの2つの量子受信機は、受信する信号をボブ制御論理回路703に渡す。ボブ制御論理回路は古典的チャネル625を使用して、量子信号を送信した該当するアリス論理回路と結果について議論する。
【0143】
ボブは、ID鍵を使用してアリスとの議論を認証する。ボブは、アリスサブシステムに対するID鍵をIDストアに記憶し、アリスサブシステムに対するID鍵をIDストアに記憶する。
【0144】
議論の結果は、アリスにもボブにも知られる値である。この値の一部が、ID鍵を置き換えるために使用され、その残りが、暗号部704にロードされる鍵として使用される。
【0145】
暗号部704が、生成された鍵と共にロードされると、ボブ制御論理回路は、暗号化された乱数をアリスから受信することができる。信号の宛先がノードの場合、これらの乱数は、量子送信機707に渡され、量子チャネル622上で送信され、信号の宛先がノードの場合、これらの乱数は量子送信機708に渡され、量子チャネル624上で送信される。ボブ制御論理回路は、スイッチ709を制御することにより使用されるべき量子送信機を選択する。

【特許請求の範囲】
【請求項1】
少なくとも1つの中間ノードを含むネットワーク経路を介する光ネットワーク上の第1のノードと第2のノードの間の量子鍵配送方法であって、量子鍵が第2のノードと合意されるまで順次、第1のノードと、ネットワーク経路内の各次のノードの間で量子鍵を合意するステップを含み、量子鍵をターゲットノードと合意するステップが、ターゲットノードと、ネットワーク経路内の前のノードの間で量子信号を交換するステップと、前記量子信号に基づいて第1のノードとターゲットノードの間で鍵合意ステップを実行するステップとを含み、第1のノード自体が前記量子交換に関与していない場合、第1のノードが、鍵合意ステップに必要なすべての情報を有するようにターゲットノードの前の前記ノードと通信し、前記通信が、前記前のノードと確立された量子鍵を使用して暗号化される、方法。
【請求項2】
ノードが量子鍵配送に適した量子信号を送信および/または受信することができる少なくとも1つの装置を有する、光ネットワーク内の場所を含む、請求項1に記載の方法。
【請求項3】
第1のノードが、鍵合意ステップの一部として、ターゲットノードと認証する、請求項1または2に記載の方法。
【請求項4】
第1のノードと第2のノードの間で合意された量子鍵を使用して、これらのノード間の通信を暗号化するステップをさらに含む、請求項1から3のいずれか一項に記載の方法。
【請求項5】
各ノードが暗号ユニットを含む、請求項1から4のいずれか一項に記載の方法。
【請求項6】
第1のノードと第2のノードの間の経路が、複数の中間ノードを含む、請求項1から5のいずれか一項に記載の方法。
【請求項7】
鍵合意を行うステップが、それらのステップで確立された共有秘密値の一部を使用して、第1のノードおよびターゲットノードにより共有される少なくとも1つのID鍵を更新するステップを含む、請求項1から6のいずれか一項に記載の方法。
【請求項8】
少なくとも中間ノードが、ネットワーク内のノードごとの別個のID鍵を記憶することができ、それを使って鍵合意ステップを始める、請求項1から7のいずれか一項に記載の方法。
【請求項9】
任意の中間ノードが任意の隣接中間ノードにより記憶されるID鍵を知らない、請求項7または8に記載の方法。
【請求項10】
量子交換が行われる光ネットワークがまた、従来の光通信に適合される、請求項1から9のいずれか一項に記載の方法。
【請求項11】
光ネットワーク上に送信される量子信号が、従来の信号のうちのどれとも異なる波長で送信される、請求項10に記載の方法。
【請求項12】
少なくとも1つの中間ノードが能動スイッチを含む、請求項1から11のいずれか一項に記載の方法。
【請求項13】
ネットワークが少なくとも1つの受動光スイッチを含む、請求項1から12のいずれか一項に記載の方法。
【請求項14】
少なくとも1つの中間ノードが、受動光スイッチと同じ場所に配置される、請求項13に記載の方法。
【請求項15】
ネットワークは、量子信号が隣接ノード間で交換されなければならない距離を縮めるように配置される少なくとも1つのノードを含む、請求項1から14のいずれか一項に記載の方法。
【請求項16】
第1のノードが、複数の異なる宛先ノードと量子鍵を合意し、宛先ノードごとに確立された量子鍵を使用して、各前記宛先ノードにトラフィック鍵を送信する、請求項1から15のいずれか一項に記載の方法。
【請求項17】
ネットワーク内の1つ以上のノードが鍵管理者の役割を果たす、請求項1から16のいずれか一項に記載の方法。
【請求項18】
1つ以上の鍵管理者が、自動的にまたは要求に応じて、ネットワークを介した通信のために異なるノードに同じトラフィック鍵を提供するように動作する、請求項17に記載の方法。
【請求項19】
ネットワークがノードからなる複数のコミュニティを含み、各コミュニティが、量子鍵配送によりそのコミュニティ内のノードにコミュニティ鍵を配送する関連づけられた鍵管理者を有する、請求項17または18に記載の方法。
【請求項20】
各ノードが、任意の光リンク上で別の時間に隣接ノードに量子信号を送信することも、受信することもできる、請求項1から19のいずれか一項に記載の方法。
【請求項21】
ターゲットノードと、経路内の前のノードの間の量子交換は、ターゲットノードが量子信号を前のノードに送信するステップを含む、請求項1から20のいずれか一項に記載の方法。
【請求項22】
第1のノードと、ターゲットノードの前のノードの間の通信は、ターゲットノードの前のノードが、受信された量子信号の詳細を第1のノードに送信するステップを含む、請求項21に記載の方法。
【請求項23】
ターゲットノードと、経路内の前のノードの間の量子交換は、ターゲットノードが、前のノードにより送信された量子信号を受信するステップを含む、請求項1から20のいずれか一項に記載の方法。
【請求項24】
第1のノードと、ターゲットノードの前のノードの間の通信は、ターゲットノードの前のノードが、送信された量子信号の詳細を第1のノードに送信するステップを含む、請求項23に記載の方法。
【請求項25】
第1のノードと、ターゲットノードの前のノードの間の通信は、ターゲットノードが、送信されるべき量子信号の詳細を第1のノードの前のノードに送信するステップを含む、請求項24に記載の方法。
【請求項26】
送信されるべき量子信号の前記詳細が、乱数のストリングを含む、請求項25に記載の方法。
【請求項27】
乱数のストリングが生成され、第1のノードと、ターゲットノードの前のノードの間で伝達され、第1のノードも、ターゲットノードの前のノードも、乱数の前記ストリングを疑似乱数発生器のシードとして使用して、より長いストリングを生成し、ターゲットノードの前のノードが、前記より長いストリングを量子信号の変調のために使用する、請求項24から26のいずれか一項に記載の方法。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate


【公表番号】特表2011−510581(P2011−510581A)
【公表日】平成23年3月31日(2011.3.31)
【国際特許分類】
【出願番号】特願2010−543565(P2010−543565)
【出願日】平成21年1月23日(2009.1.23)
【国際出願番号】PCT/GB2009/000186
【国際公開番号】WO2009/093034
【国際公開日】平成21年7月30日(2009.7.30)
【出願人】(501352882)キネテイツク・リミテツド (93)
【Fターム(参考)】