知財求人 - 知財ポータルサイト「IP Force」
▶ クァンタムシーテック カンパニー,リミテッドの特許一覧 ▶ シャンドン インスティテュート オブ クァンタム サイエンス アンド テクノロジー カンパニー,リミテッドの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6239700
(24)【登録日】2017年11月10日
(45)【発行日】2017年11月29日
(54)【発明の名称】量子キー配送ネットワークに基づくモバイル機密通信方法
(51)【国際特許分類】
H04L 9/12 20060101AFI20171120BHJP
H04L 9/08 20060101ALI20171120BHJP
【FI】
H04L9/00 631
H04L9/00 601C
【請求項の数】12
【全頁数】32
(21)【出願番号】特願2016-153958(P2016-153958)
(22)【出願日】2016年8月4日
(62)【分割の表示】特願2016-517151(P2016-517151)の分割
【原出願日】2014年6月6日
(65)【公開番号】特開2016-201845(P2016-201845A)
(43)【公開日】2016年12月1日
【審査請求日】2016年8月4日
(31)【優先権主張番号】201310228383.3
(32)【優先日】2013年6月8日
(33)【優先権主張国】CN
(73)【特許権者】
【識別番号】515341276
【氏名又は名称】クァンタムシーテック カンパニー,リミテッド
(73)【特許権者】
【識別番号】515341287
【氏名又は名称】シャンドン インスティテュート オブ クァンタム サイエンス アンド テクノロジー カンパニー,リミテッド
(74)【代理人】
【識別番号】110000338
【氏名又は名称】特許業務法人HARAKENZO WORLD PATENT & TRADEMARK
(72)【発明者】
【氏名】ツァオ,ヨン
(72)【発明者】
【氏名】リュウ,チュンファ
【審査官】
青木 重徳
(56)【参考文献】
【文献】
特開2009−265159(JP,A)
【文献】
特開2008−306633(JP,A)
【文献】
特開2012−213143(JP,A)
【文献】
特開2005−117511(JP,A)
【文献】
米国特許第7457416(US,B1)
【文献】
米国特許出願公開第2011/0317836(US,A1)
【文献】
中国特許出願公開第102196425(CN,A)
【文献】
中国特許出願公開第102227101(CN,A)
【文献】
中国特許出願公開第102130769(CN,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/12
H04L 9/08
(57)【特許請求の範囲】
【請求項1】
量子キー配送ネットワークに基づくモバイルセキュア通信方法であって、
(1)前記ネットワークにアクセスし、特有の量子特定番号を取得するためにモバイル端末を記録するステップと、
(2)各モバイル端末と前記量子キー配送ネットワークにおける中央制御ステーションとの間で紐付け関係のテーブルを設け、各モバイル端末と前記量子キー配送ネットワークにおける該紐付いた中央制御ステーションとの間のキーを共有するステップと、
(3)通信サービスの開始後、前記量子キー配送ネットワークからの前記通信のためのサービスキーを適用するために、前記量子キー配送ネットワークの紐付け関係の前記テーブルに基づいて、前記通信に関連する情報をモバイル端末によって提供するステップと、
(4)前記量子キー配送ネットワークの量子ネットワーク管理サーバによって、前記受信した情報に応じてサーチを行うことによって、呼出中央制御ステーション、被呼出中央制御ステーションおよび前記通信において前記サービスキーのリレーに関与する中央制御ステーションのアドレスを取得するステップと、
(5)前記量子ネットワーク管理サーバによって、前記通信における前記サービスキーの配送に関与する中央制御ステーションの現状のインジケータを集めて、前記集められた現状のインジケータに基づいて、前記通信についてのサービスキー生成のために最適な中央制御ステーションを決定し、サービスキー生成のために前記最適な中央制御ステーションに前記サービス情報パケットを送り、前記通信に必要な前記サービスキーを生成するようサービスキー生成のための前記最適な中央制御ステーションに要求するステップと、
(6)サービスキー生成のための前記中央制御ステーションによって、前記通信に必要な前記サービスキーを生成および暗号化し、サービスキー生成のための前記中央制御ステーションによって、前記通信に関与する前記モバイル端末に前記暗号化されたサービスキーを配布するステップと、
(7)前記モバイル端末に関連付けられた前記中央制御ステーションと共有されたキーを介してサービスキーを復号化および暗号化する前記モバイル端末によって、前記通信のための前記サービスキーを取得するために、前記モバイル端末に関連付けられた中央制御ステーションによって配布された前記暗号化されたサービスキーを取得および復号化するステップと、
(8)前記通信に関与する前記モバイル端末によって、前記通信サービスのオリジナルのデータリンクを介して、前記サービスキーを用いてセキュア通信を行うステップとを含む、モバイルセキュア通信方法。
(1)前記ネットワークにアクセスし、特有の量子特定番号を取得するためにモバイル端末を記録するステップと、
(2)各モバイル端末と前記量子キー配送ネットワークにおける中央制御ステーションとの間で紐付け関係のテーブルを設け、各モバイル端末と前記量子キー配送ネットワークにおける該紐付いた中央制御ステーションとの間のキーを共有するステップと、
(3)通信サービスの開始後、前記量子キー配送ネットワークからの前記通信のためのサービスキーを適用するために、前記量子キー配送ネットワークの紐付け関係の前記テーブルに基づいて、前記通信に関連する情報をモバイル端末によって提供するステップと、
(4)前記量子キー配送ネットワークの量子ネットワーク管理サーバによって、前記受信した情報に応じてサーチを行うことによって、呼出中央制御ステーション、被呼出中央制御ステーションおよび前記通信において前記サービスキーのリレーに関与する中央制御ステーションのアドレスを取得するステップと、
(5)前記量子ネットワーク管理サーバによって、前記通信における前記サービスキーの配送に関与する中央制御ステーションの現状のインジケータを集めて、前記集められた現状のインジケータに基づいて、前記通信についてのサービスキー生成のために最適な中央制御ステーションを決定し、サービスキー生成のために前記最適な中央制御ステーションに前記サービス情報パケットを送り、前記通信に必要な前記サービスキーを生成するようサービスキー生成のための前記最適な中央制御ステーションに要求するステップと、
(6)サービスキー生成のための前記中央制御ステーションによって、前記通信に必要な前記サービスキーを生成および暗号化し、サービスキー生成のための前記中央制御ステーションによって、前記通信に関与する前記モバイル端末に前記暗号化されたサービスキーを配布するステップと、
(7)前記モバイル端末に関連付けられた前記中央制御ステーションと共有されたキーを介してサービスキーを復号化および暗号化する前記モバイル端末によって、前記通信のための前記サービスキーを取得するために、前記モバイル端末に関連付けられた中央制御ステーションによって配布された前記暗号化されたサービスキーを取得および復号化するステップと、
(8)前記通信に関与する前記モバイル端末によって、前記通信サービスのオリジナルのデータリンクを介して、前記サービスキーを用いてセキュア通信を行うステップとを含む、モバイルセキュア通信方法。
【請求項2】
前記ステップ(2)における前記紐付け関係の前記テーブルについて、
(2−1)紐付け関係の前記テーブルは、前記モバイル端末の量子特定番号、認証パスワード、前記紐付けの中央制御ステーションのアドレスおよびサービスアカウントの識別子を含み、
(2−2)前記ネットワークにアクセスするよう記録されたモバイル端末は、前記量子キー配送ネットワークにおける特有の量子特定番号を有し、
(2−3)前記認証パスワードは、前記モバイル端末が前記量子キー配送ネットワークに接続されるとき、特定を決定するよう構成され、
(2−4)サービスアカウントの識別子は、前記モバイル端末および前記量子キー配送ネットワークによってサポートされたサービスのアカウントの集まりであり、1以上の異なるサービスのアカウントを含み、
(2−5)1つのモバイル端末は、前記同一期間に、複数の中央制御ステーションに関連付けることができず、
(2−6)前記同一期間に、1つの中央制御ステーションに0または1以上のモバイル端末を紐付けすることが可能であり、
(2−7)前記紐付け関係の前記テーブルは、前記量子キー配送ネットワークにおける前記量子ネットワーク管理サーバに登録され、
(2−8)モバイル端末と、該モバイル端末に関連づけられた中央制御ステーションはキーを共有する、という特徴を有する、請求項1に記載のモバイルセキュア通信方法。
(2−1)紐付け関係の前記テーブルは、前記モバイル端末の量子特定番号、認証パスワード、前記紐付けの中央制御ステーションのアドレスおよびサービスアカウントの識別子を含み、
(2−2)前記ネットワークにアクセスするよう記録されたモバイル端末は、前記量子キー配送ネットワークにおける特有の量子特定番号を有し、
(2−3)前記認証パスワードは、前記モバイル端末が前記量子キー配送ネットワークに接続されるとき、特定を決定するよう構成され、
(2−4)サービスアカウントの識別子は、前記モバイル端末および前記量子キー配送ネットワークによってサポートされたサービスのアカウントの集まりであり、1以上の異なるサービスのアカウントを含み、
(2−5)1つのモバイル端末は、前記同一期間に、複数の中央制御ステーションに関連付けることができず、
(2−6)前記同一期間に、1つの中央制御ステーションに0または1以上のモバイル端末を紐付けすることが可能であり、
(2−7)前記紐付け関係の前記テーブルは、前記量子キー配送ネットワークにおける前記量子ネットワーク管理サーバに登録され、
(2−8)モバイル端末と、該モバイル端末に関連づけられた中央制御ステーションはキーを共有する、という特徴を有する、請求項1に記載のモバイルセキュア通信方法。
【請求項3】
前記モバイル端末によって、ステップ(3)の前記量子キー配送ネットワークの紐付け関係の前記テーブルに基づいて、前記通信に関連する情報を提供するステップは、呼出モバイル端末および被呼出モバイル端末によって、サービス情報パケットおよび被呼出パーティの応答情報を前記量子キー配送ネットワークにおける前記量子ネットワーク管理サーバに送るステップを含み、
前記サービス情報パケットは、前記呼出モバイル端末によって生成され、前記呼出モバイル端末についての前記量子特定番号、認証情報、前記呼出モバイル端末の前記通信のサービスアカウント、前記通信に関連するいくつかのパラメータ情報を含み、
前記被呼出パーティの応答情報は、前記被呼出モバイル端末によって生成され、前記呼出モバイル端末および前記被呼出モバイル端末の前記通信のサービスアカントと、前記被呼出モバイル端末の前記認証情報と、前記通信のサービスタイプと、前記通信に関連するいくつかのパラメータ情報とを含む、請求項2に記載のモバイルセキュア通信方法。
前記サービス情報パケットは、前記呼出モバイル端末によって生成され、前記呼出モバイル端末についての前記量子特定番号、認証情報、前記呼出モバイル端末の前記通信のサービスアカウント、前記通信に関連するいくつかのパラメータ情報を含み、
前記被呼出パーティの応答情報は、前記被呼出モバイル端末によって生成され、前記呼出モバイル端末および前記被呼出モバイル端末の前記通信のサービスアカントと、前記被呼出モバイル端末の前記認証情報と、前記通信のサービスタイプと、前記通信に関連するいくつかのパラメータ情報とを含む、請求項2に記載のモバイルセキュア通信方法。
【請求項4】
前記量子キー配送ネットワークによって、前記通信における前記サービスキーの配送に関与する中央制御ステーションのアドレスを取得するステップにおいて、
前記量子ネットワーク管理サーバは、前記紐付け関係のテーブルと前記呼出モバイル端末および前記被呼出モバイル端末に関連した受信情報とに基づいて、前記通信における前記呼出中央制御ステーションおよび前記被呼出中央制御ステーションの前記アドレスを取得し、前記サービスキーのための登録されたリレールーティングテーブルに問い合わせ、前記通信における前記呼出中央制御ステーションと前記被呼出中央制御ステーションの間のリレー中央制御ステーションのアドレスを取得する、請求項1に記載のモバイルセキュア通信方法。
前記量子ネットワーク管理サーバは、前記紐付け関係のテーブルと前記呼出モバイル端末および前記被呼出モバイル端末に関連した受信情報とに基づいて、前記通信における前記呼出中央制御ステーションおよび前記被呼出中央制御ステーションの前記アドレスを取得し、前記サービスキーのための登録されたリレールーティングテーブルに問い合わせ、前記通信における前記呼出中央制御ステーションと前記被呼出中央制御ステーションの間のリレー中央制御ステーションのアドレスを取得する、請求項1に記載のモバイルセキュア通信方法。
【請求項5】
前記量子キー配送ネットワーク管理サーバによって、前記通信のサービスキー生成のための前記最適な中央制御ステーションを決定し、前記ステップ(5)における前記通信に必要な前記サービスキーを生成するよう、サービスキー生成のための中央制御ステーションに要求するステップにおいて、
(5−1)前記量子ネットワーク管理サーバは、前記通信に関連する、前記呼出中央制御ステーション、前記被呼出中央制御ステーションおよび前記呼出中央制御ステーションと前記被呼出中央制御ステーションとの間の前記リレー中央制御ステーションに、前記量子ネットワーク管理サーバに各現状のインジケータをアップロードするよう前記中央制御ステーションに要求するよう指示を送り、
(5−2)前記量子ネットワーク管理サーバは、前記中央制御ステーションの前記現状のインジケータを集め、該現状のインジケータに基づいて、前記通信において前記サービスキー生成のための前記最適な中央制御ステーションを決定し、
(5−3)前記量子ネットワーク管理サーバは、前記通信における前記呼出中央制御ステーションおよび被呼出中央制御ステーションの前記アドレスを、前記呼出モバイル端末から送られた前記サービス情報パケットに追加し、前記サービス情報パケットのコピーを生成し、前記2つのサービス情報パケットにおいて、前記呼出中央制御ステーションと前記被呼出中央制御ステーションを前記目標の中央制御ステーションとして明示し、前記通信に必要な前記サービスキーを生成するようサービスキー生成のための前記中央制御ステーションに要求するよう、前記2つのサービス情報パケットを、サービスキー生成のための前記最適な中央制御ステーションに送る、請求項3に記載のモバイルセキュア通信方法。
(5−1)前記量子ネットワーク管理サーバは、前記通信に関連する、前記呼出中央制御ステーション、前記被呼出中央制御ステーションおよび前記呼出中央制御ステーションと前記被呼出中央制御ステーションとの間の前記リレー中央制御ステーションに、前記量子ネットワーク管理サーバに各現状のインジケータをアップロードするよう前記中央制御ステーションに要求するよう指示を送り、
(5−2)前記量子ネットワーク管理サーバは、前記中央制御ステーションの前記現状のインジケータを集め、該現状のインジケータに基づいて、前記通信において前記サービスキー生成のための前記最適な中央制御ステーションを決定し、
(5−3)前記量子ネットワーク管理サーバは、前記通信における前記呼出中央制御ステーションおよび被呼出中央制御ステーションの前記アドレスを、前記呼出モバイル端末から送られた前記サービス情報パケットに追加し、前記サービス情報パケットのコピーを生成し、前記2つのサービス情報パケットにおいて、前記呼出中央制御ステーションと前記被呼出中央制御ステーションを前記目標の中央制御ステーションとして明示し、前記通信に必要な前記サービスキーを生成するようサービスキー生成のための前記中央制御ステーションに要求するよう、前記2つのサービス情報パケットを、サービスキー生成のための前記最適な中央制御ステーションに送る、請求項3に記載のモバイルセキュア通信方法。
【請求項6】
サービスキー生成のための前記中央制御ステーションによって、前記暗号化されたサービスキーを、前記ステップ(6)における通信に関与する前記モバイル端末に配送するステップにおいて、
(6−1)サービスキー生成のための前記中央制御ステーションは、前記量子ネットワーク管理サーバによって送られた前記2つのサービス情報パケットの内容を解析し、前記サービス情報パケットにおいて明示された前記目標の中央制御ステーションが前記中央制御ステーションである場合、前記中央制御ステーションと前記通信に関与している前記呼出モバイル端末または前記被呼出モバイル端末の間で共有されたキーを用いて前記サービスキーを暗号化し、前記呼出モバイル端末または前記被呼出モバイル端末に前記暗号化されたキーを送り、前記サービス情報パケットにおいて明示された前記目標の中央制御ステーションが前記中央制御ステーションでない場合、前記目標の中央制御ステーションに導くネクストホップの中央制御ステーションの前記サービスキーをリレールーティングテーブルにおいてサーチし、前記ネクストホップの中央制御ステーションと共有されたキーを用いて前記通信のための前記サービスキーを暗号化し、前記ネクストホップの中央制御ステーションに前記サービスキー情報パケットとともに前記暗号化されたサービスキーを送り、
(6−2)前記暗号化されたサービスキーとラストホップの中央制御ステーションからリレーされた前記サービス情報パケットを受信した後、中央制御ステーションは最初に前記ラストホップの中央制御ステーションと共有された前記キーを用いて前記受信されたサービスキーを復号化し、(6−1)に応じた処理を実行する、請求項5に記載のモバイルセキュア通信方法。
(6−1)サービスキー生成のための前記中央制御ステーションは、前記量子ネットワーク管理サーバによって送られた前記2つのサービス情報パケットの内容を解析し、前記サービス情報パケットにおいて明示された前記目標の中央制御ステーションが前記中央制御ステーションである場合、前記中央制御ステーションと前記通信に関与している前記呼出モバイル端末または前記被呼出モバイル端末の間で共有されたキーを用いて前記サービスキーを暗号化し、前記呼出モバイル端末または前記被呼出モバイル端末に前記暗号化されたキーを送り、前記サービス情報パケットにおいて明示された前記目標の中央制御ステーションが前記中央制御ステーションでない場合、前記目標の中央制御ステーションに導くネクストホップの中央制御ステーションの前記サービスキーをリレールーティングテーブルにおいてサーチし、前記ネクストホップの中央制御ステーションと共有されたキーを用いて前記通信のための前記サービスキーを暗号化し、前記ネクストホップの中央制御ステーションに前記サービスキー情報パケットとともに前記暗号化されたサービスキーを送り、
(6−2)前記暗号化されたサービスキーとラストホップの中央制御ステーションからリレーされた前記サービス情報パケットを受信した後、中央制御ステーションは最初に前記ラストホップの中央制御ステーションと共有された前記キーを用いて前記受信されたサービスキーを復号化し、(6−1)に応じた処理を実行する、請求項5に記載のモバイルセキュア通信方法。
【請求項7】
前記中央制御ステーションが前記ラストホップの中央制御ステーションからリレーされた前記キーを受信し、前記ネクストホップの中央制御ステーションまたはモバイル端末に
前記サービスキーを送るステップにおいて、
前記中央制御ステーションは、前記ラストホップの中央制御ステーションから前記通信のための前記サービスキーを完全に受信する後よりも、前記サービスキーの最初のフレームデータを受信および復号化の開始において、前記サービスキーを暗号化および転送し、或いは閾値が設定され、復号化されたサービスキーが前記閾値より大きいと、前記中央制御ステーションは前記サービスキーの暗号化および転送を開始し、暗号化および転送されたサービスキーの量のダイナミック上限値が現在受信および復号化されたサービスキーの量であり、前記同期間に、前記通信のための前記サービスキーは多くの中央制御ステーションにおいて同時リレーの状態にある、請求項6に記載のモバイルセキュア通信方法。
前記サービスキーを送るステップにおいて、
前記中央制御ステーションは、前記ラストホップの中央制御ステーションから前記通信のための前記サービスキーを完全に受信する後よりも、前記サービスキーの最初のフレームデータを受信および復号化の開始において、前記サービスキーを暗号化および転送し、或いは閾値が設定され、復号化されたサービスキーが前記閾値より大きいと、前記中央制御ステーションは前記サービスキーの暗号化および転送を開始し、暗号化および転送されたサービスキーの量のダイナミック上限値が現在受信および復号化されたサービスキーの量であり、前記同期間に、前記通信のための前記サービスキーは多くの中央制御ステーションにおいて同時リレーの状態にある、請求項6に記載のモバイルセキュア通信方法。
【請求項8】
前記サービスキーのための前記リレールーティングテーブルは、
(8−1)前記サービスキーのための前記リレールーティングテーブルは、レコードから成り、各レコードは、ローカルステーションのアドレス、目標のアドレス、ネクストホップのアドレスを含み、
(8−2)前記サービスキーのための各リレールーティングテーブルは、前記量子キー配送ネットワークにおける前記中央制御ステーションそれぞれに登録され、
(8−3)中央制御ステーションの前記サービスキーのための現リレールーティングテーブルは、前記量子ネットワーク管理サーバに登録され、
(8−4)前記サービスキーにための前記リレールーティングテーブルは、前記量子キー配送ネットワークのトポロジーの変化に応じてアップロードされる、という特徴を有する、請求項4または6に記載のモバイルセキュア通信方法。
(8−1)前記サービスキーのための前記リレールーティングテーブルは、レコードから成り、各レコードは、ローカルステーションのアドレス、目標のアドレス、ネクストホップのアドレスを含み、
(8−2)前記サービスキーのための各リレールーティングテーブルは、前記量子キー配送ネットワークにおける前記中央制御ステーションそれぞれに登録され、
(8−3)中央制御ステーションの前記サービスキーのための現リレールーティングテーブルは、前記量子ネットワーク管理サーバに登録され、
(8−4)前記サービスキーにための前記リレールーティングテーブルは、前記量子キー配送ネットワークのトポロジーの変化に応じてアップロードされる、という特徴を有する、請求項4または6に記載のモバイルセキュア通信方法。
【請求項9】
前記中央制御ステーションの前記現状インジケータについて、
(9−1)インジケータは、前記中央制御ステーションが負担を負っているサービスキー生成タスクについて困難な状態を表す量的なインジケータであって、
(9−1−1)前記中央制御ステーションの関連するサービスキー生成率と、
(9−1−2)前記中央制御ステーションが現在サービスキーを生成している前記セキュア通信サービスのグループの数と、
(9−1−3)前記中央制御ステーションによって現在生成されているサービスキーの量と、
(9−1−4)中央制御ステーションによって生成されるよう明示される各グループのサービスキーの実際の生成率と消費率と、
(9−1−5)前記中央制御ステーションによって生成されるよう明示される各グループの前記サービスキーについて、生成されるサービスキーの量と消費されるサービスキーの量と、を含み、
(9−2)前記量子キー配送ネットワークにおける前記中央制御ステーションの現在の位置状態を表す量的なインジケータは、
(9−2−1)前記中央制御ステーションが量子チャネルを共有し、それにより共有キーが生成される他の中央制御ステーションの数と、
(9−2−2)前記中央制御ステーションと他の中央制御ステーションとの間の数と、を含み、
(9−3)上述の7つの状態インジケータにおける1以上の項目の組合せとを含む、請求項1または5に記載のモバイルセキュア通信方法。
(9−1)インジケータは、前記中央制御ステーションが負担を負っているサービスキー生成タスクについて困難な状態を表す量的なインジケータであって、
(9−1−1)前記中央制御ステーションの関連するサービスキー生成率と、
(9−1−2)前記中央制御ステーションが現在サービスキーを生成している前記セキュア通信サービスのグループの数と、
(9−1−3)前記中央制御ステーションによって現在生成されているサービスキーの量と、
(9−1−4)中央制御ステーションによって生成されるよう明示される各グループのサービスキーの実際の生成率と消費率と、
(9−1−5)前記中央制御ステーションによって生成されるよう明示される各グループの前記サービスキーについて、生成されるサービスキーの量と消費されるサービスキーの量と、を含み、
(9−2)前記量子キー配送ネットワークにおける前記中央制御ステーションの現在の位置状態を表す量的なインジケータは、
(9−2−1)前記中央制御ステーションが量子チャネルを共有し、それにより共有キーが生成される他の中央制御ステーションの数と、
(9−2−2)前記中央制御ステーションと他の中央制御ステーションとの間の数と、を含み、
(9−3)上述の7つの状態インジケータにおける1以上の項目の組合せとを含む、請求項1または5に記載のモバイルセキュア通信方法。
【請求項10】
(10−1)前記紐付け関係のテーブルと、前記サービスキーのための前記リレールーティングテーブルとを登録、維持、問い合わせし、
(10−2)前記ネットワークにアクセスするよう新たに記録されるモバイル端末に、前記ネットワークにおける特有の量子特定番号を配布し、
(10−3)中央制御ステーションに対する典型的なネットワーク接続を維持し、
(10−4)前記モバイル端末と関連した受信情報に基づいてモバイル端末の適法性を判
断し、
(10−5)サービスキーに関与する中央制御ステーションの現状のインジケータを集め、サービスキーのための前記中央制御ステーションを判断および明示し、前記中央制御ステーションに対して新しいサービス情報パケットを生成および送信し、
(10−6)前記モバイル端末が位置する領域に位置する中央制御ステーションのアドレスを問い合せ、
(10−7)中央制御ステーションと通信し、該中央制御ステーションに指示を送る、請求項1〜7のいずれかに記載のモバイルセキュア通信方法。
(10−2)前記ネットワークにアクセスするよう新たに記録されるモバイル端末に、前記ネットワークにおける特有の量子特定番号を配布し、
(10−3)中央制御ステーションに対する典型的なネットワーク接続を維持し、
(10−4)前記モバイル端末と関連した受信情報に基づいてモバイル端末の適法性を判
断し、
(10−5)サービスキーに関与する中央制御ステーションの現状のインジケータを集め、サービスキーのための前記中央制御ステーションを判断および明示し、前記中央制御ステーションに対して新しいサービス情報パケットを生成および送信し、
(10−6)前記モバイル端末が位置する領域に位置する中央制御ステーションのアドレスを問い合せ、
(10−7)中央制御ステーションと通信し、該中央制御ステーションに指示を送る、請求項1〜7のいずれかに記載のモバイルセキュア通信方法。
【請求項11】
前記量子キー配送ネットワークは非リアルタイムの非双方向対話型通信サービスのためのサービスキーを配送し、
(11−1)前記呼出モバイル端末から前記サービスキーのためのアプリケーションを受信した後、前記中央制御ステーションの前記現状のインジケータを集める代わりに前記通信のためのサービスキー生成のための前記中央制御ステーションを直接明示し、前記通信に必要な前記サービスキーを生成するようサービスキーのための前記中央制御ステーションに要求し、前記呼出モバイル端末に前記サービスキーを配送し、前記被呼出中央制御ステーションに前記サービスキーをリレーし、
(11−2)前記量子キー配送ネットワークは、ある期間に前記呼出モバイル端末から送られた前記サービス情報パケットを保持し、被呼出モバイル端末に、前記呼出モバイル端末に配送されたものと同じ前記サービスキーを配送するために、前記被呼出モバイル端末から送られた被呼出パーティの応答情報パケットに前記サービス情報パケットを合わせ、閾値時間は前記期間に設定され、前記閾値時間になったときに被呼出パーティ応答情報パケットが受け取られていない場合、前記量子キー配送ネットワークは前記通信のために生成された前記サービスキーを放棄する、請求項3に記載のモバイルセキュア通信方法。
(11−1)前記呼出モバイル端末から前記サービスキーのためのアプリケーションを受信した後、前記中央制御ステーションの前記現状のインジケータを集める代わりに前記通信のためのサービスキー生成のための前記中央制御ステーションを直接明示し、前記通信に必要な前記サービスキーを生成するようサービスキーのための前記中央制御ステーションに要求し、前記呼出モバイル端末に前記サービスキーを配送し、前記被呼出中央制御ステーションに前記サービスキーをリレーし、
(11−2)前記量子キー配送ネットワークは、ある期間に前記呼出モバイル端末から送られた前記サービス情報パケットを保持し、被呼出モバイル端末に、前記呼出モバイル端末に配送されたものと同じ前記サービスキーを配送するために、前記被呼出モバイル端末から送られた被呼出パーティの応答情報パケットに前記サービス情報パケットを合わせ、閾値時間は前記期間に設定され、前記閾値時間になったときに被呼出パーティ応答情報パケットが受け取られていない場合、前記量子キー配送ネットワークは前記通信のために生成された前記サービスキーを放棄する、請求項3に記載のモバイルセキュア通信方法。
【請求項12】
モバイル端末の地理的位置は、
(12−1)前記紐付け関係のテーブルは、前記モバイル端末と該モバイル端末が位置する領域に位置する中央制御ステーションとの間で設けられ、
(12−2)前記モバイル端末と該モバイル端末に関連付けられたオリジナルの中央制御ステーションとの間の前記キーは、暗号化の後、該モバイル端末に関連づけられた新たな中央制御ステーションに転送され、前記モバイル端末に関連付けられた該新たな中央制御ステーションはキーを復号化した後、前記モバイル端末と前記キーを共有するように変更する、請求項1または2に記載のモバイルセキュア通信方法。
(12−1)前記紐付け関係のテーブルは、前記モバイル端末と該モバイル端末が位置する領域に位置する中央制御ステーションとの間で設けられ、
(12−2)前記モバイル端末と該モバイル端末に関連付けられたオリジナルの中央制御ステーションとの間の前記キーは、暗号化の後、該モバイル端末に関連づけられた新たな中央制御ステーションに転送され、前記モバイル端末に関連付けられた該新たな中央制御ステーションはキーを復号化した後、前記モバイル端末と前記キーを共有するように変更する、請求項1または2に記載のモバイルセキュア通信方法。
【発明の詳細な説明】
【発明の詳細な説明】
【0001】
〔技術分野〕本発明は、モバイル通信暗号の分野に関し、特に量子鍵配送ネットワークに基づくモバイルセキュア通信に関する。
【0002】
〔背景技術〕最近の暗号システムは、主に計算の単一指向性に基づいており、セキュリティは経験により達成される。将来の量子コンピュータは、高速素因数分解アルゴリズムを可能にし、それにより従来の暗号の基礎はもはや必要がなくなる。量子鍵配送技術は、近年出現した通信暗号の新しい手段であり、異なる位置に配置された量子信号送信機と量子信号受信機の間のランダムな数の任意の長さを配布するための情報をエンコードする単一光子量子状態を使用する。すなわち、多くのランダムキーを共有する。ランダムキーは、2つの位置の間で送信される情報を暗号化するよう使用される。単一光子と量子無しクローニングの不可分性によって、量子鍵配送は、物理的な原理によって傍受されることができず、現在最も高いセキュリティを有する。古典的情報がOTP(ワンタイムパッド)によって暗号化され、復号化される場合、情報送信のための無条件セキュリティは保証される。
【0003】
最近の技術において、光ファイバチャネルにおける単一光子および検出器の検出効率を考慮すると、2つの位置の間の距離がある範囲を超える場合、実用的なセキュア通信に利用可能な共有量子鍵を生成するのは困難である。したがって、量子セキュア通信のために、互いに離れた2つの位置の間に、信頼のある中継装置を導入することが必要である。
【0004】
量子鍵配送ネットワークに基づく、従来のモバイル暗号システムおよび通信方法によれば、モバイル端末(mobile terminal)は、ネットワークにアクセスするために記録され、量子端末(quantum terminal)に接続され、ある量を有する共有キーを量子端末に要求する。キーをダウンロードした後、モバイル端末は、特定の中央制御ステーションと関係を結び、量子中央制御ステーションを記録し、呼出中央制御ステーションとして量子中央制御ステーションを使用する。モバイル端末が通信するとき、モバイル端末は暗号文を呼出中央制御ステーションに転送する。呼出中央制御ステーションは、暗号文を再び暗号化し、被呼出中央制御ステーションに転送する。被呼出中央制御ステーションは、暗号文を再び暗号化し、被呼出ユーザに暗号文を転送する。被呼出ユーザは、暗号文をプレーンテキストに復号化し、通信が終了する。
【0005】
技術的解決は、モバイル通信において、上手く機能するが、すべてのモバイル通信の要求を満たすのは困難なため、限界がある。暗号文中継モバイルセキュア通信(ciphertextrelay mobile secure communication)は、上述の技術的解決において採用される。つまり、暗号文、すなわち暗号化された効率的な通信情報ロード(ショートメッセージや音声のようなプレーンテキスト情報)は、量子セキュア通信ネットワークにおける量子中央制御ステーションに転送される。暗号文データストリームの転送は、「呼出端末−呼出中央制御ステーション−リレー中央制御ステーション(番号0−n)−被呼出中央制御ステーション―被呼出端末」パスに従う。このパスは、SIPコールのような、いくつかの従来尾モバイル通信サービスにおけるデータストリームのそれとは異なる。そのコールの間、音声データストリームは、セキュア量子通信ネットワークを通ることなく、ポイント・ツー・ポイントの形式で、2つのモバイル端末装置の間で直接に転送される。他の例は、SMSショートメッセージである。携帯電話から送られたショートメッセージは、セキュア量子通信ネットワークを通ることなく、通信事業者(チャイナモバイル、チャイナテレコム、チャイナユニコム)の独自のネットワークを介して転送される。したがって、データストリームパスを有する上述の通信サービスについて、暗号文リレーは、少し面倒である。必要であれば、暗号文リレーは、2つの方法によって、これらサービスに採用される。第1の方法によれば、大幅な修正が従来のサービスリンクおよびロジックに対して行われ、量子セキュリティ機能が導入される。例えば、SMSショートメッセージが暗号文リレーを介して暗号化される必要がある場合、通信事業者のネットワークは、チャイナモバイルまたはチャイナユニコムのネットワークにおけるノードであって、ショートメッセージが通るノードを合わせた量子装置を含むよう変更されなければならず、全体のシステムを複雑にし、開発および構成コストを増加させる。
【0006】
第2の方法によれば、従来のサービスリンクは、廃止され、量子セキュアネットワークに独自のサービスリンクが設けられる。上述のSMSは、例として選ばれている。携帯電話によって送られるショートメッセージは、通信事業者のネットワークを通ることなく、ワイヤレスで量子セキュアネットワークに転送され、暗号文リレーを介して受信装置に送られる。このように、携帯端末は、カスタマイズされる必要があり、通信サービスは、量子セキュアネットワークにおいて実現される必要がある(例えば、暗号文リレーモバイルセキュア通信構造において、ショートメッセージを受信および送信するために、量子セキュアネットワークにおいてショートメッセージサーバを提供し、モバイル端末を修正する。したがって、ショートメッセージは、通信事業者のネットワークを通過することなく、独自のショートメッセ―ジサーバに直接送信される。)。そのコストは高く、実現が困難であり、生産が通信事業者の従来のネットワークと共存できず、普及促進に不利である。
【0007】
また、暗号文リレーモバイルセキュア通信の特徴は、以下の内容を決定する。2つの通信機の間の特定のサービスが設けられ、転送されるために必要なプレーンテキストが生成されるときのみ、暗号化および転送が開始される。転送パスにおいて多くのリレーノードが存在し、転送に時間がかかる場合、サービスリレーは、増加することになる。高いリアルタイム要求を有する通信サービスについて(SIP音声コール、ビデオコールなどのような)、ユーザの経験は乏しいかもしれない。
【0008】
したがって、キーリレーモバイルセキュア通信は、上述の問題を解決するための開示において採用される。つまり、中央制御ステーションの間で中継したデータは、暗号文に代えて、通信に必要なサービスキーである。量子キーの特徴によって、共有の量子キーの生成は、2つの位置の間の距離によって制限される。したがって、特定の物理的範囲を有する量子キー配送ネットワークが設けられる場合、実用的な通信サービスキーをリレーするために、新たに信頼のあるリレー装置が2つの位置の間に提供される必要がある。高いリアルタイム要求によるいくつかの通信サービスにおいて、キーリレーモバイルセキュア通信が採用される場合、多くの呼出、リレーノード、生成およびサービスキーのリレーに消費される長い時間によって生じるキーの到達の遅延の問題があり、サービスの質を低下させる。
【0009】
〔要約〕この観点において、量子キー配送ネットワークに基づくモバイルセキュア通信方法が提供される。キーリレーモバイルセキュア通信の改良の解決方法が採用され、暗号文リレーモバイルセキュア通信の技術が実用面で便利ではない、いくつかのモバイル通信サービス要求を満たすことができる。サービスキーおよびキーリレー、および多くの通信サービスが存在しているときのキーの到着の遅延によって生じる質の問題に関する現在の解決が改善され、リレーノードが改良される。
【0010】
上記目的を達成するために、以下の技術的解決が採用される。
【0011】
量子キー配送ネットワークに基づくモバイルセキュア通信方法が提供され、以下を含む。
【0012】
(1)前記ネットワークにアクセスし、特有の量子特定番号を取得するためにモバイル端末を記録するステップ。
【0013】
(2)各モバイル端末と前記量子キー配送ネットワークにおける中央制御ステーションとの間で紐付け関係を設け、キーを共有するステップ。
【0014】
(3)通信サービスの開始後、前記通信のためのサービスキーを適用するために、呼出モバイル端末および被呼出モバイル端末によって、サービス情報パケットおよび被呼出パーティの応答情報パケットを前記量子キー配送ネットワークにおける量子ネットワーク管理サーバに送るステップ。
【0015】
(4)前記量子キー配送ネットワークによって、呼出中央制御ステーション、被呼出中央制御ステーションおよび前記通信において前記サービスキーの中継に関与する中央制御ステーションのアドレスを取得するステップ。
【0016】
(5)前記量子キー配送ネットワークによって、前記通信における前記サービスキーの配送に関与する中央制御ステーションの現状のインジケータを集めて、前記通信におけるサービスキー生成のための中央制御ステーションを明示(指定)し、サービスキー生成のために前記中央制御ステーションに前記サービス情報パケットを送り、前記通信に必要な前記サービスキーを生成するようサービスキー生成のための前記中央制御ステーションに要求するステップ。
【0017】
(6)サービスキー生成のための前記中央制御ステーションによって、前記通信に必要な前記サービスキーを生成および暗号化し、サービスキー生成のための前記中央制御ステーションによって、前記通信に関与する前記モバイル端末に前記暗号化されたサービスキーを配布するステップ。
【0018】
(7)前記モバイル端末に関連付けられた前記中央制御ステーションと共有されたキーを介してサービスキーを復号化および暗号化する前記モバイル端末によって、前記通信のための前記サービスキーを取得するために、前記モバイル端末に関連付けられた中央制御ステーションによって配布された前記暗号化されたサービスキーを取得および復号化するステップ。
【0019】
(8)前記通信に関与する前記モバイル端末によって、前記通信サービスのオリジナルのデータリンクを介して、前記サービスキーを用いてセキュア通信を行うステップ。
【0020】
前記ステップ(2)における前記紐付け関係は、以下の特徴を有する。
【0021】
(2−1)前記ネットワークにアクセスするよう記録されたモバイル端末は、前記量子キー配送ネットワークにおける特有の量子特定番号を有する。
【0022】
(2−2)1つのモバイル端末は、前記同一期間に、複数の中央制御ステーションに関連付けることができない。
【0023】
(2−3)前記同一期間に、1つの中央制御ステーションに0または1以上のモバイル端末を紐付けすることが可能である。
【0024】
(2−4)モバイル端末と中央制御ステーションの間の前記紐付け関係は、前記量子キー配送ネットワークにおける前記量子ネットワーク管理サーバに登録される。
【0025】
(2−5)モバイル端末と、該モバイル端末に関連づけられた中央制御ステーションはキーを共有する。
【0026】
ステップ(4)において、前記通信における前記サービスキーの配送に関与する中央制御ステーションのアドレスを取得する前記量子キー配送ネットワークは、以下を含む。
【0027】
前記量子ネットワーク管理サーバは、前記受信した情報パケットおよび前記中央制御ステーションと前記モバイル端末との間の前記紐付け関係における前記呼出モバイル端末および前記被呼出モバイル端末に基づいて、前記通信における前記呼出中央制御ステーションおよび前記被呼出中央制御ステーションの前記アドレスを取得し、前記サービスキーのための登録されたリレールーティングテーブルに問い合わせ、前記通信における前記呼出制御ステーションと前記被呼出中央制御ステーションの間のリレー中央制御ステーションのアドレスを取得する。
【0028】
前記ステップ(5)において、前記量子キー配送ネットワークが前記通信におけるサービスキー生成のための前記中央制御ステーションを明示(指定)し、前記通信に必要な前記サービスキーを生成するよう、サービスキー生成のための中央制御ステーションに要求するステップは、以下を含む。
【0029】
(5−1)前記量子ネットワーク管理サーバは、前記通信に関連する、前記呼出中央制御ステーション、前記被呼出中央制御ステーションおよび前記呼出中央制御ステーションと前記被呼出中央制御ステーションとの間の前記リレー中央制御ステーションに、前記量子ネットワーク管理サーバに各現状のインジケータをアップロードするよう前記中央制御ステーションに要求するよう指示を送る。
【0030】
(5−2)前記量子ネットワーク管理サーバは、前記中央制御ステーションの前記現状のインジケータを集め、該現状のインジケータに基づいて、前記通信において前記サービスキー生成のための前記中央制御ステーションを明示(指定)する。
【0031】
(5−3)前記量子ネットワーク管理サーバは、前記通信における前記呼出中央制御ステーションおよび被呼出中央制御ステーションの前記アドレスを、前記呼出モバイル端末から送られた前記サービス情報パケットに追加し、前記サービス情報パケットのコピーを生成し、前記2つのサービス情報パケットにおいて、前記呼出中央制御ステーションと前記被呼出中央制御ステーションを前記目標の中央制御ステーションとして明示(指定)し、前記通信に必要な前記サービスキーを生成するようサービスキー生成のための前記中央制御ステーションに要求するよう、前記2つのサービス情報パケットを、サービスキー生成のための前記中央制御ステーションに送る。
【0032】
ステップ(5)において、前記中央制御ステーションの前記現状のインジケータは、以下を含む。
【0033】
<1>前記中央制御ステーションが負担しているサービスキー生成タスクについて困難な状態を示す量的なインジケータであって、以下を含む。
【0034】
<1−1>前記中央制御ステーションの関連するサービスキー生成率。
【0035】
<1−2>前記中央制御ステーションが現在サービスキーを生成している前記セキュア通信サービスのグループの数。
【0036】
<1−3>前記中央制御ステーションによって現在生成されているサービスキーの量。
【0037】
<1−4>中央制御ステーションによって生成されるよう明示される各グループのサービスキーの実際の生成率と消費率。
【0038】
<1−5>前記中央制御ステーションによって生成されるよう明示される各グループの前記サービスキーについて、生成されるサービスキーの量と消費されるサービスキーの量。
【0039】
<2>前記量子キー配送ネットワークにおける前記中央制御ステーションの現在の位置状態を表す量的なインジケータは、以下を含む。
【0040】
<2−1>前記中央制御ステーションが量子チャネルを共有し、それにより共有キーが生成される他の中央制御ステーションの数。
【0041】
<2−2>前記中央制御ステーションと他の中央制御ステーションとの間の数。
【0042】
<3>上述の7つの状態インジケータにおける1以上の項目の組合せ。
【0043】
さらに、ステップ(6)において、サービスキーのための前記中央制御ステーションが前記暗号化されたサービスキーを、通信に関与する前記モバイル端末に配送するステップは以下を含む。
【0044】
(6−1)サービスキー生成のための前記中央制御ステーションは、前記量子ネットワーク管理サーバによって送られた前記2つのサービス情報パケットの内容を解析し、前記サービス情報パケットにおいて明示された前記目標の中央制御ステーションが前記中央制御ステーションである場合、前記中央制御ステーションと前記通信に関与している前記呼出モバイル端末または前記被呼出モバイル端末の間で共有されたキーを用いて前記サービスキーを暗号化し、前記呼出モバイル端末または前記被呼出モバイル端末に前記暗号化されたキーを送り、前記サービス情報パケットにおいて明示された前記目標の中央制御ステーションが前記中央制御ステーションでない場合、前記目標の中央制御ステーションに導くネクストホップの中央制御ステーションの前記サービスキーをリレールーティングテーブルにおいてサーチし、前記ネクストホップの中央制御ステーションと共有されたキーとの前記通信のための前記サービスキーを暗号化し、前記ネクストホップの中央制御ステーションに前記サービスキー情報パケットとともに前記暗号化されたサービスキーを送る。
【0045】
(6−2)前記暗号化されたサービスキーとラストホップの中央制御ステーションからリレーされた前記サービス情報パケットを受信した後、中央制御ステーションは最初に前記ラストホップの中央制御ステーションと共有された前記キーを用いて前記受信されたサービスキーを復号化し、(6−1)に応じた処理を実行する。
【0046】
ステップ(6−1)および(6−2)において、前記中央制御ステーションが前記ラストホップの中央制御ステーションからリレーされた前記キーを受信し、前記ネクストホップの中央制御ステーションまたはモバイル端末に前記サービスキーを送るステップは、以下の特徴を有する。前記中央制御ステーションは、前記ラストホップの中央制御ステーションから前記通信のための前記サービスキーを完全に受信する後よりも、前記サービスキーの最初のフレームデータを受信および復号化の開始において、前記サービスキーを暗号化および転送し、閾値が設定され、復号化されたサービスキーが前記閾値より大きいと、前記中央制御ステーションは前記サービスキーの暗号化および転送を開始し、暗号化および転送されたサービスキーの量のダイナミック上限値が現在受信および復号化されたサービスキーの量であり、前記同期間に、前記通信のための前記サービスキーは多くの中央制御ステーションにおいて同時リレーの状態にある。
【0047】
前記サービスキーのための前記リレールーティングテーブルは、レコードから成り、各レコードは、ローカルステーションのアドレス、目標のアドレス、ネクストホップのアドレスを含む。前記サービスキーのための各リレールーティングテーブルは、前記量子キー配送ネットワークにおける前記中央制御ステーションそれぞれに登録され、中央制御ステーションの前記サービスキーのための現リレールーティングテーブルは、前記量子ネットワーク管理サーバに登録され、前記サービスキーにための前記リレールーティングテーブルは、前記量子キー配送ネットワークのトポロジーの変化に応じてアップロードされる。
【0048】
前記量子ネットワーク管理サーバの主な機能は、中央制御ステーションおよびモバイル端末と、前記サービスキーのための前記リレールーティングテーブルとの間における紐付け関係を登録、維持、問い合わせし、前記ネットワークにアクセスするよう記録されるモバイル端末に、前記ネットワークにおける特有の量子特定番号を配布し、中央制御ステーションに対する典型的なネットワーク接続を維持し、前記モバイル端末と関連した受信情報に基づいてモバイル端末の適法性を判断し、サービスキーに関与する中央制御ステーションの現状のインジケータを集め、サービスキーのための前記中央制御ステーションを判断および明示(指定)し、前記中央制御ステーションに対して新しいサービス情報パケットを生成および送信し、前記モバイル端末が位置する領域に位置する中央制御ステーションのアドレスを問い合せ、中央制御ステーションと通信し、該中央制御ステーションに指示を送る。
【0049】
<1>前記呼出モバイル端末から前記サービスキーのためのアプリケーションを受信した後、前記中央制御ステーションの前記現状のインジケータを集める代わりに前記通信のためのサービスキー生成のための前記中央制御ステーションを直接明示(指定)し、前記通信に必要な前記サービスキーを生成するようサービスキーのための前記中央制御ステーションに要求し、前記呼出モバイル端末に前記サービスキーを配送し、前記被呼出中央制御ステーションに前記サービスキーをリレーし、前記呼出モバイル端末は暗号文を取得するために、前記サービスキーを用いてプレーンテキストを暗号化し、前記被呼出モバイル端末に前記暗号文を送り、被呼出モバイル端末は前記サービスキーを前記量子キー配送ネットワークに要求し、前記暗号文の後、被呼出中央制御ステーションから前記サービスキーをダウンロードする。
【0050】
<2>前記量子キー配送ネットワークは、ある期間に前記呼出モバイル端末から送られた前記サービス情報パケットを保持し、被呼出モバイル端末に、前記呼出モバイル端末に配送されたものと同じ前記サービスキーを配送するために、前記被呼出モバイル端末から送られた被呼出パーティの応答情報パケットに前記サービス情報パケットを合わせ、閾値時間は前記期間に設定され、前記閾値時間になったときに被呼出パーティ応答情報パケットが受け取られていない場合、前記量子キー配送ネットワークは前記通信のために生成された前記サービスキーを放棄する。
【0051】
好ましくは、モバイル端末の地理的位置が変わると、紐付け関係は前記モバイル端末と該モバイル端末が位置する領域に位置する中央制御ステーションとの間で設けられ、前記モバイル端末と該モバイル端末に関連付けられたオリジナルの中央制御ステーションとの間で共有されたキーは、暗号化された後、前記モバイル端末に関連付けられた新たな中央制御ステーションに転送され、前記モバイル端末に関連付けられた新たな中央制御ステーションはキーを復号化した後、前記モバイル端末とキーを共有する。
【0052】
本開示の有利な効果。
【0053】
(1)呼出モバイル端末−量子キー配送ネットワークにおける中央制御ステーション−被呼出モバイル端末を介して、転送されるものは、暗号化されたサービス情報の暗号文ではなく、暗号化されたサービスキーである。暗号文は、特有のサービスのオリジナルなデータリンクを介して転送され、キーのためのパスとは異なるパスを介してモバイル端末に到達し、サービス情報のための暗号化および復号化は、モバイル端末において実行される。これは、既存の通信サービスと両立可能で、リレーモバイルセキュア通信と呼ばれる。データフロー送信パスを変更することなく、新しい量子キー配送ネットワークにオリジナルのモバイル通信端末のためのデータフロー送信パスを接続する必要があり、量子セキュアネットワークのアプリケーションの範囲は拡張される。実施は容易であり、変更コストは低く、構成期間は短い。
【0054】
(2)ボイルコールサービスのような高いリアルタイム要求を有する通信サービスについて、呼出の改良された量と軽減された遅延が達成される。SIPコールは例である。
【0055】
呼出端末がダイアルを回した後、被呼出端末はコールを受け取り、鳴り始める。コールの受け取りのための鳴り始めの開始から被呼出端末が応答キーを押すまでに、数秒の間隔があり、この間隔は通信に必要なサービスキーを転送し、ダウンロードするために使用される。このコールが完全に設けられると、サービスキーの一部は既にダウンロードされ、完全にダウンロードされてもよい。これは、暗号文リレーモバイルセキュア通信において達成できず、音声プレーンテキストは、2つのパーティの間のボイスコールが開始し、音声プレーンテキストが生成され、リレー送信が段階的に開始した後に、暗号化されてもよい。このように、通信における呼出モバイル端末と被呼出モバイル端末の間で転送するためのリアルタイム音声データの各フレームについて消費される時間は、中央制御ステーションにおけるリレー送信の遅延の蓄積である(各中央制御ステーションにおける暗号化および復号化を含む)。キーリレーモバイルセキュア通信において、通信の両パーティはサービスキー(サービスキーの少なくとも一部)を有し、それにより音声データプレーンテキストは、送信、暗号化および復号化の一巡によりオリジナルのサービスパスを介して目的位置に到達する。遅延は、短く、リレー中央制御ステーションの数が多くなればなるほど、相対的な利点がより明確になる。さらに、暗号文リレーモバイルセキュア通信は、通信の開始より全体の通信の間に、段階的に暗号化および復号化することによって生じる遅延の問題に直面する。キーリレーモバイルセキュア通信において、使用前にサービスキーはモバイル端末ダウンロードされ、それにより効率的な通信情報が通信における呼出モバイル端末と被呼出モバイル端末との間で常に転送され、暗号化および復号化される。
【0056】
(3)ある実施形態において、特に多くの同時通信および全体のネットワークにおけるサービスキー生成についての大きな負担があるとき、通信のためのサービスキー生成の中央制御ステーションとしてリンク内の中央制御ステーションを選択することは、サービスの質に関連する。通信リンクにおける中央制御ステーションのサービスキー生成および位置状態のリアルタイムな状態を完全に考慮に入れると、最も適切なものが通信のサービスキー生成のための中央制御ステーションとして選択され、サービスキー生成および送信によって生じる遅延を軽減し、量子キー配送ネットワークのキーリレー効率を改良し、サービスの質を高めるための利点がある。
【0057】
(4)モバイル端末の地理的位置が変化するとき、量子キー配送ネットワークは、モバイル端末に関連付けられた中央制御ステーションを割り当て、モバイル端末が近くの中央制御ステーションからサービスキーを取得することを可能にし、モバイル通信の特徴を採用する。
【0059】
図2は、量子キー配送ネットワークにおける様々な通信チャネルを示す図である。
【0060】
図3は、モバイルセキュア通信のフローチャートである。
【0061】
図4は、ネットワークにアクセスするための登録について、モバイル端末が量子キー配送ネットワークに要求することを示す図である。
【0062】
図5は、モバイル端末の地理的な位置が変化するとき、固定の中央制御ステーションを切り換えること示す図である。
【0063】
図6は、通信の間、量子キー配送ネットワークがサービスキーの配送に参加する中央制御ステーションのアドレスを決定することを示す図である。
【0064】
図7は、通信の間、量子ネットワーク管理サーバが、サービスキーの生成のために中央制御ステーションを決定することを示す図である。
【0067】
〔実施形態の詳細な説明〕本開示は、以下の図および実施形態に関連して記載される。
【0068】
量子キー配送ネットワークに基づくモバイルセキュア通信方法に関連した主なハードウェア装置は、(1)スマートフォン、タブレットコンピュータ、セットトップボックス、ノートブックコンピュータ、PDAまたは他のモバイル装置のようなモバイル端末を含み、通信サービスの提供側または受け手側である。モバイル端末は、中央制御ステーションと共有されたダウンロードキーを登録するための、フラッシュメモリチップのような永久的な記憶装置と、ダウンロードサービスキーを登録するための、メモリのような一時的な記憶装置と、ネットワークアクセスを支援することが可能で、従来のアップリンクまたはダウンリンクネットワークチャネルを介して、データの送受信が可能なハードウェアモジュール(様々なワイヤレスネットワークを含む)と、サービス情報を暗号化および復号化することが可能な十分な計算力を有するプロセッサとを含む。携帯端末は、量子キー配送ネットワークを有する情報を交換することが可能である。(2)量子キー配送ネットワークの主な部分であり、光マトリックススイッチ、量子キートランシーバ、真の乱数発生器、量子通信サーバなどからなる量子中央制御ステーション(量子中央制御ステーションとも呼ばれる)をさらに含む。量子装置または真の乱数発生器は、通信に必要なサービスキーを生成することができる。生成されたキーは、量子通信サーバに登録される。量子中央制御ステーションの主な役割は、キーの生成、登録、リレーを管理し、量子中央制御ステーションの様々な状態のインジケータの統計を生成し、量子ネットワーク管理サーバと相互にやり取りすることである。(3)量子端末をさらに含む。中央制御ステーションは、大容量で、それらの数は、ある領域内に制限される。したがって、ある数の量子端末は、ほとんどの場合、中央制御ステーションの延長として、必要とされる。量子端末は、キー一時ユニット、量子キー送信機および/または量子キー受信機などを含む。複数の量子端末は、1つの中央制御ステーションに接続されることができる。各量子端末は、接続された中央制御ステーションを用いて、共有量子キーを生成することができる。モバイル端末は、ネットワークへアクセスし、中央制御ステーションと共有されたキーをダウンロードするための登録のような動作を達成する接続のために、近くの量子端末を選択することができる。(4)量子キーネットワーク管理サーバは、量子キー配送ネットワーク管理プログラムがインストールされたコンピューターサーバであり、量子キー配送ネットワークの「ハウスキーパー」の役割を担う。量子ネットワーク管理サーバは、各中央制御ステーションと典型的なネットワーク接続を有し、リアルタイムで、計算のために、各中央制御ステーションの様々な状態の情報を取集し、各中央制御ステーションに対応する指示を与えることができる。
【0069】
本開示におけるキーは、(1)中央制御ステーション間で共有されたキーを含み、中央制御ステーションにおける量子キー配送装置によって生成され、中央制御ステーションに登録される。(2)中央制御ステーションとモバイル端末との間の共有キーは、中央制御ステーションおよび量子端末における量子配送装置によって生成され、有線方式で、ローカル永久記憶装置に、モバイル端末によってダウンロードされる。共有キーは、中央制御ステーションにも登録される。(3)各通信により必要となるサービスキーは、各通信におけるサービスキー生成について中央制御ステーションによって生成される。秘密レベルおよび適用シナリオに基づいて、サービスキーは、量子装置によって生成されてもよいし、真の乱数発生器によって生成されてもよい。サービスキーは、各通信について、モバイル端末の一時記憶装置(メモリ)にダウンロードされ、サービスキーが使用されるか否かに関係なく、通信が完了すると、使用または放棄される場合に、放棄される。
【0070】
暗号文リレーモバイルセキュア通信とは異なり、キーリレーモバイルセキュア通信は、本開示において採用される。呼出モバイル端末が被呼出モバイル端末にメッセージを送信する場合が例として挙げられ、2つの方法の異なりは、図1に示される。簡単に言えば、前者の状態(図1(a)に示される)において、プレーンテキストが呼出モバイル端末Aによって暗号化される場合、暗号文は、被呼出の中央制御ステーションSに送信され、復号化される段階で被呼出モバイル端末Bに送信される。後者の解決において、リンクにおける中央制御ステーションによって暗号化された後(図1(b)の例において、呼出中央制御ステーションSは、サービスキー生成のための中央制御ステーションとして、提供する。)、サービスキーは、段階ごとに2つのモバイル端末A,Bに送信され、モバイル端末Aは、サービスキーを用いてプレーンテキストを暗号化し、暗号文を復号化するモバイル端末Bに暗号文を送信する。
【0071】
本開示の解決において、図2に示されるハードウェアデバイスの間の複数の接続チャネルが存在する。量子ネットワーク管理サーバと中央制御ステーションとの間のチャネルは、典型的なネットワークチャネル(ワイヤレスネットワークまたは有線ネットワーク接続であってもよい)であり、その主な役割は、リアルタイムのデータを転送し、量子ネットワーク管理サーバと中央制御ステーションとの間の情報を制御することである。典型的なネットワークチャネルと量子チャネルの両方は、中央制御ステーションと量子端末との間と同様に、量子キー配送ネットワーク内の中央制御ステーションの間に存在する。典型的なネットワークは、有線または無線のネットワークであり、量子チャネルは、ファイバチャネル、自由空間における量子チャネルなどである。量子チャネルは、ネゴシエーション情報を転送するために典型的なチャネルの支援によって、量子キーを生成するよう構成される。同時に、典型的なチャネルは、中央制御ステーションの間のキーリレーのようなタスクを担っている。情報は、自由移動状態におけるモバイルターミナルと典型的なネットワーク、Wi−Fi技術または3G技術のような特に典型的なワイヤレスネットワーク技術を介した量子キー配送ネットワークを有する固定の中央制御ステーションの間で転送される。2つのモバイル端末の間のサービス通信は、例えばSMSショートメッセージ、テレコムオペレータの従来のショートメッセージリンクを介して移動するデータストリームのような環境データリンクを採用する。しかしながら、ショートメッセージの内容は、暗号化される。
【0072】
次の典型的なネットワークチャネルは、2つの装置の間で直接物理的接続であってもよいし、典型的なネットワークに2つの装置を接続することによって、設けられた論理接続であってもよい。
【0073】
本方法を実施する2つのモバイル端末の間のセキュア通信の達成のためにネットワークにアクセスするために設けられたモバイル端末の初期登録の工程は、例として挙げられ、本開示の特定の実施を例示する。全体の流れは、図3に示される。
【0074】
ステップ1において、モバイル端末は、ネットワークにアクセスするために登録され、特定の量子特定番号を取得する。
【0075】
モバイル端末ホルダーは、量子セキュア認証センターにおけるセキュア通信ネットワーク(以下、ネットワークにアクセスするという)にアクセスすることに関連した形式を通過すべきであり、量子セキュア認証センターは、ネットワークにアクセスするためのユーザアプリケーションを再調査することを担っている。もし、認証される場合、ネットワークで特有である量子特定番号は、量子ネットワーク管理サーバによって、ネットワークにアクセスするために適用されるモバイル端末に割り当てられる。量子特定番号は、ネットワークにアクセスするために適用するモバイル端末の永久記憶媒体(端末のSDカードまたはフラッシュメモリ)に記憶される。パスワードは、量子端末に接続するとき、認証のために設定される。量子特定番号を割り当てる一方、量子ネットワーク管理サーバは、中央制御ステーションとモバイル端末との間に紐付け関係の特有のテーブルに新しいレコードを追加し、そのレコードに量子特定番号およびパスワードを書き込む。一般的に、モバイル端末は、ネットワークにアクセスするよう適用する必要があり、ネットワークにアクセスするためのアプリケーションの認証後、ネットワークを使用する。
【0076】
ステップ2において、各モバイル端末と量子キー配送ネットワークの中央制御ステーションとの間の紐付け関係が設けられ、モバイル端末は中央制御ステーションとキーを共有する。
【0077】
図4に示されるように、モバイル端末Aは、量子配送ネットワークにおける信頼できる有線モード(USBデータケーブル接続)で任意の量子端末T11を選択する。認証パスワードは、促されると、入力される。モバイル端末Aの暗号化−保護を必要とする通信サービスのアカウントと同様に、モバイル端末Aの量子特定番号QID−A(この項目は、モバイル端末がネットワークにアクセスされない場合、ヌルである。)および認証パスワードは、量子端末T11に送られ、量子端末T11は、これら情報を、量子端末が属する中央制御ステーションS1に送る。そして、中央制御ステーションS1は、その情報を、中央制御ステーションS1のアドレスに加えて、量子ネットワーク管理サーバQMに送る。量子ネットワーク管理サーバQMは、中央制御ステーションとモバイル端末との間の紐付け関係について、登録されたテーブルのサーチを行い、サーチ結果は、以下の4つの場合を含む。
【0078】
<1>テーブルにおいて、モバイル端末Aによってアップロードされた量子特定番号QID−Aを見つけることができない場合、アップロードされた量子特定番号が無い場合、または、量子特定番号が認証パスワードに対応しない場合、接続が不法であり、システム認証を通過できないことを含む。可能性のある理由は、モバイル端末Aの量子特定番号QID−Aが偽装されているか記録されていない場合、量子特定番号を取得するためのモバイル端末Aが認証センターの形式を通過していない場合、モバイル端末Aの最新のホルダーがモバイル端末の適法なホルダーでない場合を含む。これら場合において、量子端末T11は、モバイル端末Aへの不法な接続について情報の促進を送り、モバイル端末Aとの論理的接続を中断する。
【0079】
<2>接続のためのシステム認証が通過する場合、中央制御ステーションと量子ネットワーク管理サーバQMにおけるモバイル端末との間の紐付け関係のテーブルにおいて、量子特定番号QID−Aに対応するレコードは、2つの項目を有する。つまり、量子特定番号および認証パスワード。モバイル端末は、認証センターの形式を通過し、任意の中央制御ステーションに紐付けされていないことを含む。量子ネットワーク管理サーバQMは、中央制御ステーションの受信したアドレスS1と(中央制御ステーションのアドレスS1および中央制御ステーションS1は、S1と呼び、他の中央制御ステーションの記載は類似している)、モバイル端末Aによって中央制御ステーションとモバイル端末との間の紐付け関係のテーブルの量子特定番号QID−Aに対応するレコードにアップロードされた通信サービスのアカウントとを書き込む。中央制御ステーションのアドレスS1を取得した後、モバイル端末Aは、モバイル端末Aの永久記録媒体にアドレスS1を記録し、中央制御ステーションS1を紐付けの中央制御ステーションとして取得する。これにより、モバイル端末Aと中央制御ステーションS1との間の紐付けが完了する。
【0080】
同一の共有キー(S1−A)が、中央制御ステーションと量子端末T11との間の量子キー配送機構を介して生成される。モバイル端末Aは、量子端末T11への信頼のある有線接続を介して共有キーをダウンロードし、モバイル端末Aの永久記録媒体において、共有キーを記録し、それによりモバイル端末A、および、その紐付けの中央制御ステーションS1は、同一の共有キーを有する。ダウンロードの後、モバイル端末Aは、量子端末T11に対する有線接続を中断し、自由移動の状態に戻る。
【0081】
<3>接続のシステム認証が通過すると、量子特定番号に対応する紐付けの中央制御ステーションのアドレスは、中央制御ステーションの受信したアドレスと同じである。これは、モバイル端末とモバイル端末に関連付けられた中央制御ステーションとの間の残りの共有キーがほとんどなく、モバイル端末に関連付けられた中央制御ステーションに属し、モバイル端末に関連付けられた中央制御ステーションと共有されたキーを追加するモバイル端末が量子端末に対する有線接続を再構築するときに生じる。例えば、図4に示されるように、モバイル端末Bは、予め量子端末T21を介してS2と共有されたキーをダウンロードし、量子端末T2nを介してS2と共有されたキーをダウンロードしてもよい。この場合において、中央制御ステーションS2と量子端末T2nとの間の共有キー(S2−B)は、量子配送機構を介して生成され、モバイル端末Bは量子端末T2nとの信頼のある有線接続を介して共有キーをダウンロードし、モバイル端末Bの永久記録媒体に共有キーを記録する。ダウンロードの後、モバイル端末Bは、量子端末T2nとの有線接続を中断し、自由移動状態に戻す。キーを使用するとき、予め残りの共有キーが最初に使用され、そして最後にダウンロードされた共有キーが使用される。
【0082】
<4>図4に示されるモバイル端末Cが接続のためにシステム認証を通過するが、量子特定番号に対応する紐付けの中央制御ステーションのアドレスS4が中央制御ステーションの受信アドレスS3と異なる場合、モバイル端末Cは、モバイル端末に関連付けられていない中央制御ステーションS3に属する量子端末に接続される。量子ネットワーク管理サーバQMは、モバイル端末Cのための紐付け中央制御ステーションを変更するかどうかを問うために、中央制御ステーションS3−量子端末T31−モバイル端末Cのリンクを介してプロンプトを送信する。モバイル端末Cのホルダーが変更に同意する場合、量子ネットワーク管理サーバQMは、中央制御ステーションとモバイル端末との間の紐付け関係のテーブルにおける量子特定番号QID−Cに関連付けられたレコードを変更する。すなわち、S4から中央制御ステーションの受信アドレスS3にレコードにおける紐付けの中央制御ステーションのアドレスを変更する。これにより、モバイル端末Cと新たな中央制御ステーションのアドレスS3との紐付けは完了し、メッセージがオリジナルの紐付けの中央制御ステーションのアドレスS4に送られ、モバイル端末Cと共有されたキーを放棄するよう指示する。量子ネットワーク管理サーバQMは、モバイル端末Cに新しい紐付け中央制御ステーションのアドレスS3を送り、モバイル端末Cは、アドレスS3の受信の後、オリジナルの紐付け中央制御ステーションの予め登録されたアドレスS4を上書きするために、新しい紐付け中央制御ステーションのアドレスS3を使用し、中央制御ステーションS3を紐付け中央制御ステーションとして採用する。新たな紐付け中央制御ステーションS3と量子端末T31の間の共有キー(S3−C)は、量子キー配送機構を介して生成され、モバイル端末Cは量子端末T31との信頼のある有線接続を介して共有キーをダウンロードし、モバイル端末Cの永久記録媒体に共有キーを登録する。したがって、モバイル端末Cと新たな紐付け中央制御ステーションS3は、同じ共有キー(S3−C)を有する。モバイル端末Cに登録されたオリジナルの紐付け中央制御ステーションS4と共有された残りのキーが存在する場合、残りの共有キーは放棄される。ダウンロードの後、モバイル端末Cは、量子端末T31との有線接続を中断し、自由移動状態に戻る。
【0083】
ステップSの<4>の場合において、モバイル端末の地理的位置が変化するとき、有線接続を介して紐付けの中央制御ステーションを切り換える解決法が記載される。また、モバイル端末に関連付けられる中央制御ステーションは、無線接続を介して切り換えられてもよい。図5に示されるように、モバイル端末Mの地理的な位置が、中央制御ステーションS1が中央制御ステーションS2の位置する位置から変わる。量子キー配送ネットワークは、地理的位置の変化を検知したとき、モバイル端末Mのための紐付け中央制御ステーションを変更するかどうかをモバイル端末Mに問い合わせる。このとき、モバイル端末Mのホルダーは、変更しないよう選択してもよいし、モバイル端末Mの各通信に必要なサービスキーは、地域間共通の紐付け中央制御ステーションS1に適用され、遅れ、費用増および不便といった問題を生じる。モバイル端末Mのホルダーが変更に同意する場合、量子キー配送ネットワークにおける量子ネットワーク管理サーバQMは、モバイル端末Mの新たな地理的位置に基づいて、地理的位置の領域に位置する対応する中央制御ステーションS2をサーチし、量子配送ネットワークは、Mが新たな紐付け中央制御ステーションとしてS2を使用するよう、モバイル端末Mに通知する。そして、量子ネットワーク管理サーバQMは、中央制御ステーションとモバイル端末の紐付け関係テーブルにおける量子特定番号QID−Mレコードを変更する。すなわち、オリジナルS1からS2へのレコードにおける紐付け中央制御ステーションのアドレスを変更する。次に、量子ネットワーク管理サーバQMは、モバイル端末Mのオリジナルな中央制御ステーションS1に、中央制御ステーションS1,S2の間で共有されたキー(S1−S2)を用いて、中央制御ステーションS1とモバイル端末Mの間で共有された登録キー(S2−M)を暗号化するよう指示し、暗号化されたキー(S1−M)(S1−S2)は、新たな紐付け中央制御ステーションS2に中継される。受信および復号化の後、新たな紐付けの中央制御ステーションS2は、モバイル端末Mと共有されたキー(S2−M)を有し、キー(S1−M)と同じであり、オリジナルの紐付け中央制御ステーションS1において登録されたキー(S1−M)はもう使用されない。
【0084】
S1からS2へのキー(S1−M)のリレープロセスについての解決法が存在してもよい。つまり、キーの一部だけ(短期間ビジネストリップの場合のような)が新たな中央制御ステーションにリレーされるよう選択されてもよい。この場合において、オリジナルの紐付け中央制御ステーションS1において登録されたキー(S1−M)について、S2にリレーされた一部が放棄され、他の一部が一時的に残される。また、S1とS2の間に他の中央制御ステーションが存在する場合、S1からS2へのキー(S1−M)をリレーするよう多数のリレーが必要となり、多数の中央制御ステーションによるリレーのコンセプトが以下に詳細に記載される。
【0085】
ステップ2の<4>の場合において、類似の以下の方法が使用されてもよい。モバイル端末Cと、そのオリジナルの紐付け中央制御ステーションS4の間で共有されたキーは、新たな紐付け中央制御ステーションS3にリレーされ、モバイル端末Cと、その新たな紐付け中央制御ステーションS3の間で共有されたキーとして提供する(共有キーは、新たな紐付け中央制御ステーションS3と量子端末T31の間の量子キー配送機構を介して生成されない。)。本方法は、以下である。モバイル端末Cに関連付けられたオリジナルの中央制御ステーションS4は、共有キー(S4−C)を暗号化し、それにより新たな紐付け中央制御ステーションS3は、暗号化の後にモバイル端末Cと共有されたキー(S3−C)を有し、以前のキー(S4−C)と同じである。この方法において、モバイル端末Cは、オリジナルのローカル共有キーを更新する必要がない。
【0086】
結論として、本方法に基づいて容易に考えられる他の変更は、本開示の保護範囲内である。
【0087】
ステップ2の<3>および<4>の場合において、中央制御ステーションとモバイル端末の間の紐付け関係のテーブルにおける通信サービスのアカウントがモバイル端末によって更新されたアカウントと一致しない場合、モバイル端末のホルダーは、保護される通信サービスのアカウント情報を更新するかどうかを決定するよう促される。YESの場合、中央制御ステーションと量子ネットワーク管理サーバにおけるモバイル端末との間の紐付け関係のテーブルにおいて、対応する量子特定番号の通信サービスのアカウントが更新される。ステップ1,2において、中央制御ステーションとモバイル端末の間の紐付け関係のテーブルは、レコードで構成される。各レコードは、フォーマットにより、ネットワークにアクセスするために記録されているモバイル端末の記録情報を示している。つまり、モバイル端末の量子特定番号、認証パスワード、紐付け中央制御ステーションのアドレスおよびサービスアカウントの識別子である。サービスアカウントの識別子は、モバイル端末および量子キー配送ネットワークによって支援されたサービスのアカウントの集まりであり、1以上の異なるサービスのアカウントを含んでも良い(例えば電話番号、SIPアカウント)。
【0088】
中央制御ステーションとモバイル端末との間の紐付け関係のテーブルのフォーマットの例は、以下のとおりである(S1,S2のようなシンボルは、ネットワークアドレスを示すために使用される。)。
【0089】
【表1】
【0090】
ステップ3−ステップ4の処理の実行は、図6に示されている。
【0091】
ステップ3において、呼出モバイル端末Aは、通常のサービスコール(ビデオおよびSIPコール)を被呼出モバイル端末Bに開始し、呼出モバイル端末Aに関連付けられた中央制御ステーションに適用する。すなわち、この通信についての呼出中央制御ステーションS、この通信についてのサービスキー(A−B)についてであり、呼出中央制御ステーションSへの通信のサービス情報パケットを送信する(中央制御ステーションは、サービス側にスレッドを設け、モバイル端末からの接続を待つ)。サービス情報パケットは、呼出モバイル端末によって生成され、呼出モバイル端末Aの量子特定番号および認証情報と、被呼出モバイル端末Bの通信サービスアカウントと、通信のサービスタイプと、通信に関連するパラメータ情報とを含む(例えば、スレッドは、暗号化または復号化のためのサービスキーに適用し、ビデオまたはSIPについて、サービス情報パケットは、コールに使用されるフォーマットを符号化するオーディオおよびビデオのような情報を含む必要があり、ショートメッセージについて、サービス情報パケットは、とても長いショートメッセージの連続番号のような情報やショートメッセージの参照値を含む必要がある。)。呼出モバイル端末Aからサービスコールを受信した後、被呼出モバイル端末Bは、被呼出パーティの通信の応答情報パケットを、被呼出モバイル端末Bに関連付けられた中央制御ステーションに送る。すなわち、通信の被呼出中央制御ステーションS’に送る。被呼出パーティの応答情報パケットは被呼出モバイル端末によって生成され、呼出モバイル端末Aおよび被呼出モバイル端末Bの通信サービスアカウント、被呼出モバイル端末Bの認証情報、通信のサービスタイプ、通信に関連したパラメータ情報を含む。
【0092】
ステップ4において、キーアプリケーションを受信したとき、呼出中央制御ステーションSは、すぐに量子ネットワーク管理サーバQMに報告し、受信したサービス情報パケットをQMに送る。同様に、キーアプリケーションを受信したとき、被呼出中央制御ステーションS’は、量子ネットワーク管理サーバQMにすぐに報告し、受信した被呼出パーティの応答情報パケットをQMに送信する。サービス情報パケットにおける呼出モバイル端末Aの量子特定番号QID−Aに基づいて、量子ネットワーク管理サーバQMは、中央制御ステーションとモバイル端末の間の紐付け関係のテーブルにおいてサーチを行い、QID−Aがテーブルにおける全紐付け関係において見つからない場合、呼出モバイル端末Aは、ネットワークにアクセスするのに適法なモバイル端末ではないと決定し(これは、量子配送ネットワークが、いくつかの理由によってネットワークに既にアクセスしているモバイル端末を除外する場合に生じ、モバイル端末Aは、モバイル端末Aに関連付けられた中央制御ステーションをSと考えるが、紐付け関係は、量子キー配送ネットワークによって認識されていない。)、それにより量子ネットワーク管理サーバQMは、モバイル端末Aにサービスキーを配布せず、中央制御ステーションSに通知メッセージを送る(この場合において、SとAの間に紐付け関係は存在せず、キーアプリケーションがAによって、Sを介してQMに送られるので、すなわちリンクがすでに設けられているので、通知メッセージが同じパスを介してAに送られる。)。中央制御ステーションSは、通信が保護されていないことを呼出モバイル端末Aに通知し、呼出モバイル端末Aが通信を終了し、ネットワークにアクセスするための資格を得るよう再度形式を通過することを提案する。呼出モバイル端末Aの量子特定番号QID−Aが紐付け関係テーブルにおいて見つけられ、認証情報が正しい場合、モバイル端末Aに関連付けられた中央制御ステーションSは、通信の呼出中央制御ステーションであるテーブル参照を介して取得される。サービス情報パケットにおける被呼出モバイル端末Bのサービスタイプおよび通信サービスアカウントに基づいて、量子ネットワーク管理サーバQMは、中央制御ステーションとモバイル端末の間の紐付け関係のテーブルにおいてサーチし、サービス情報パケットにおける被呼出モバイル端末Bの通信サービスアカウントが全紐付け関係において見つけられない場合、被呼出モバイル端末Bが任意の中央制御ステーションに関連付けられていないことを決定する。量子ネットワーク管理サーバQMは、被呼出モバイル端末Bにサービスキーを配布せず、モバイル端末Aの紐付け中央制御ステーションSに通知メッセージを送る。そして、中央制御ステーションSは、被呼出パーティが適法なセキュアモバイル端末でないことをモバイル端末Aに知らせ、呼出モバイル端末Aが通信を終了することを提案する。呼出モバイル端末Aのホルダーが通信を終了しない場合、両方のパーティは、一方のパーティによって暗号化および復号化動作が行われる一方で、他のパーティによって通常の動作が行われることによってノイズを聞くだろう(音声コールが例として挙げられる)。また、それによってリークは生じない。通常の状態において、紐付け関係がモバイル端末Bと量子キー配送ネットワークの中央制御ステーションSの間で設けられる場合、QMは、中央制御ステーションとモバイル端末の間の紐付け関係のテーブルにおいて、被呼出モバイル端末Bのサービスタイプおよび通信サービスアカウントをサーチすることによって、通信の被呼出制御ステーションがS’であることを予め知っていてもよい。そして、QMは、受信した被呼出パーティの応答情報パケットを再調査し、呼出端末Aと通信する被呼出端末から送られた被呼出パーティの応答情報をサーチし、中央制御ステーションとモバイル端末との間の紐付け関係のテーブルにおいて、パケットにおいて特定された被呼出モバイル端末Bの通信アカウントサービスを探す。通信サービスアカウントが見つけられ、認証情報が正しい場合、通信サービスアカウントに対応するモバイル端末Bに関連付けられた中央制御ステーションSのアドレスがテーブルルックアップを介して取得される場合、呼出端末Aと通信するモバイル端末Bに関連付けられた中央制御ステーションS’は、この通信のための被呼出中央制御ステーションとして決定される。そして、QMは、QMのルーティングテーブルライブラリから、呼出中央制御ステーションSのサービスキーについての現在のリレールーティングテーブルを呼び出し、QMは、SからS’にネクストホップ(next hop)の中央制御ステーションがS1であることを知る。その後、QMは、S1のサービスキーについて現在のリレールーティングテーブルを呼び出し、QMは、S1からS2にネクストホップの中央制御ステーションがS2であることを知る。同様に、通信に関連する中央制御ステーションのアドレスが得られる。
【0093】
サービスキーについてのリレールーティングテーブルのフォーマットは、以下に例示される。
【0094】
中央制御ステーションS(S,S’,S1のようなシンボルは、ネットワークアドレスに代えて使用される。)のサービスキーについてのリレールーティングテーブル
【0095】
【表2】
【0096】
中央制御ステーションS1(S,S’,S1のようなシンボルは、ネットワークアドレスの代わりに使用される)のサービスキーについてのリレールーティングテーブル
【0097】
【表3】
【0098】
各中央制御ステーションは、サービスキーについてのリレールーティングテーブルを有し、量子ネットワーク管理サーバQMは、ネットワークにおける中央制御ステーションサービスキーについての全ての現在のリレールーティングテーブルを有する。サービスキーについてのリレールーティングテーブルは、量子キー配送ネットワークのトポロジーの変化によって更新される。
【0099】
上述の中央制御ステーションとモバイル端末の間の紐付け関係のテーブルの内容、サービス情報パケットおよび被呼出パーティ応答情報は例示であり、多くの特別な実施があることに留意すべきである。例えば、モバイル端末の通信サービスアカウントは、中央制御ステーションとモバイル端末との間の紐付け関係の一部を形成するために、量子ネットワークサービスアカウントに必ずしもアップロードされる必要はない。通信の両パーティは、互いの量子特定番号を知り、モバイル端末における互いの通信サービスアカウントを登録している限り(例えば、通信機の量子特定番号に対応する通信サービスアカウントを有するアドレスブックがモバイル端末に登録される)、モバイル端末によってアップロードされた情報パケットが通信の両パーティの量子特定番号を含む場合、上述の中央制御ステーションの呼出、ハンドシェークおよび決定が達成される。したがって、ステップSにおいて記載された紐付け関係は以下の特徴を有する必要がある。
【0100】
<1>ネットワークにアクセスするよう記録されたモバイル端末は、量子キー配送ネットワークにおいて特有の量子特定番号を有する。
【0101】
<2>1つのモバイル端末は、同期間に複数の中央制御ステーションに関連付けられない。
【0102】
<3>同期間に1の中央制御ステーションに0または1以上のモバイル端末を紐付けることが可能である。
【0103】
<4>モバイル端末と中央制御ステーションの間の紐付け関係は、量子キーネット配送ワークにおける量子ネットワーク管理サーバに登録される。
【0104】
<5>モバイル端末とモバイル端末に関連付けられた中央制御ステーションは、共有キーを有する。
【0105】
ステップ5において、図7に示されるように、量子ネットワーク管理サーバQMは、呼出中央制御ステーションS、被呼出中央制御ステーションS’および中間中央制御ステーションS1,S2に指示を送り、QMに以下の状態インジケータを送るよう要求するために、通信に関連している。
【0106】
中央制御ステーションが負荷がかけられているサービスキー生成タスクについて多い(heavy)状態を表すインジケータは、量的インジケータであり、以下のような要因に基づいて取得される。
【0107】
(1)中央制御ステーションの関連キー生成率。各中央制御ステーションにおける特別なハードウェアモデルは互いに異なり、関連サービスキー生成率を異ならせる。すなわち、各中央制御ステーションのサービスキー生成能力が互いに異なる。中央制御ステーションが弱いサービスキー生成能力を有する場合、中央制御ステーションに多くのサービスキー生成タスクを配布することは適していない。
【0108】
(2)中央制御ステーションがサービスキーを生成しているセキュア通信サービスのグループの数。中央制御ステーションが多くのグループの通信サービスについてサービスキーを生成している場合、中央生制御ステーションが現在ビジーであり、他のサービスキーの生成タスクを中央制御ステーションに割り当てるのに適していない。
【0109】
(3)中央制御ステーションによって生成されるサービスキーの量。中央制御ステーションが、生成された多くのサービスキーを有する場合、中央制御ステーションは、多くのタスクを有するとある程度決定することができる。このインジケータは、インジケータ(2)を実施し、通信によって求められるサービスキーの量が大きく異なる(例えば、ショートメッセージの暗号化および復号化に必要となるサービスキーの量は少なく、音声コールまたはビデオコールの暗号化または復号化に必要となるサービスキーの量は多い)。したがって、生成されるサービスキーの量が多い場合、中央制御ステーションは多くのサービスキー生成タスクを有していると、ある程度決定する。
【0110】
(4)中央制御ステーションによって生成されるよう明示された各グループのサービスキーの実際の生成率および消費率。いくつかのサービスキーの消費率は速い(ビデオコール)。それにより、新しいサービスキー生成タスクが中央制御ステーションに割り当てられる場合、生成された速い消費率を有するいくつかのサービスキーの生成率は、大きく影響されることなく保証されなければならない。サービスキーのグループの実際の生成率は、サービスキーを生成するように設けられた時間にグループ内で生成されたサービスキーの量の率であり(例えば、最後の10秒)、サービスキーの消費率は(オーディオ/ビデオコールが例として挙げられる)、サービスタイプおよびサービス情報パケットにおいて提供されるサービスで採用されるオーディオ/ビデオの符号化/復号化形式に基づいて取得された固定値である。一般的に、サービスキーの実際の生成率は、消費率より大きい。中央制御ステーションによって生成されるサービスキーのグループの実際の生成率が、ある期間における消費率に近いか、消費率より低く始まるか、サービスキーのグループに対応する通信が終わらない場合、サービスキーのグループは、短期間の供給緊張(supply tension)に直面するかもしれないと決定する。したがって、中央制御ステーションに新しいサービスキー生成タスクを割り当てるのは適切ではない。
【0111】
<5>中央制御ステーションによって生成されるよう明示される各グループについて、生成されるサービスキーの量および消費されるサービスキーの量。このインジケータは、インジケータ(4)を実施し、サービスキーの消費量は、通信サービスの開始から現在までの期間に、インジケータ(4)時間におけるサービスキーの消費率の生成である。中央制御ステーションによって生成されるサービスキーのグループの生成量が消費量に近く、サービスキーのグループに対応する通信が終わらない場合、サービスキーのグループは緊迫している(tense)と決定する。それにより、中央制御ステーションに新しいサービスキー生成タスクを割り当てるのは注意すべきである。
【0112】
<2>量子キー配送ネットワークにおける中央制御ステーションの現在の位置状態を表すインジケータであって、量的インジケータであり、以下のいくつかの要因に基づいて得られる。
【0113】
(1)中央制御ステーションが量子チャネルを共有する他の中央制御ステーションの数(共有キーが生成される)。中央制御ステーションが転送ハブの位置にある場合、中央制御ステーションは、多くのタスクを有してもよく、サービスキー生成タスクを引き受ける優先度は、低く設定される。
【0114】
(2)中央制御ステーションと他の中央制御ステーションの間の動きの量。中央制御ステーションが通信リンクにおける呼出中央制御ステーションと被呼出中央制御ステーションの中間位置に近い場合、呼出中央制御ステーションまでと被呼出中央制御ステーションまでの動きの数の違いは小さく、中央制御ステーションがサービスキー生成タスクを引き受ける優先度は高く設定される。それは、キーが中間ノードから両側に送られるとき、両受信器によって送信の開始からキーの受信までの時間がとても短いためである。
【0115】
<3>上述の7つの状態のインジケータにおける1以上の項目の組合せ。
【0116】
量子ネットワーク管理サーバQMは、現状においてリンクの最適な中央制御ステーションを決定および取得するための中央制御ステーションの状態インジケータを集め(図7に示されるS2)、S2をサービスキー生成のための中央制御ステーションとして使用する。一方、QMは、通信における呼出中央制御ステーションSおよび被呼出中央制御ステーションS’のアドレスを、ステップ4の受信したサービス情報パケットに追加し、パケットのコピーを生成し、キーリレーについて、2つのパケットの呼出中央制御ステーションSおよび被呼出中央制御ステーションS’を目標の中央制御ステーションとして明示(指定)し、通信に必要とされるサービスキー(A−B)を生成するようS2に要求するために、サービスキー生成のために2つのサービス情報パケットを中央制御ステーションS2に送る。サービスキーの量は、サービス情報パケットに設けられたサービスタイプに依存している(例えば数百バイトのサービスキーは、SMSのとても長いショートメッセージが配送される必要があり、一方SIPコールサービスについて、最初の配送に必要なサービスキーは、1MBであり、サービスキーは、継続的に長いコールにおいてモバイル端末に配送される。ビデオコールに必要なサービスキーの量は、多くても良い。)。
【0117】
特に、通信が同じ中央制御ステーションに関連付けられた2つのモバイル端末の間である場合、例えばS2に関連付けられた2つのモバイル端末の間の通信である場合、S2は、この場合、呼出中央制御ステーションと被呼出中央制御ステーションの両方である。リレー中央制御ステーションは必要ない。したがって、最適な中央制御ステーションについての選択プロセスは、省略することができ、中央制御ステーションS2は、通信により必要なサービスキー(A−B)を生成するよう直接要求される。
【0118】
特に、ステップ4において、量子ネットワーク管理サーバが被呼出モバイル端末がネットワークにアクセスするモバイル端末でないことを知っている場合、適法な被呼出中央制御ステーションが存在しないため、通信におけるキーリレーリンクに関連した中央制御ステーションのアドレスは決定されない。ステップ5に記載されたインジケータ収集および決定のプロセスは、行われず、通信における呼出中央制御ステーションは、サービスキー生成のための中央制御ステーションとして直接明示(指定)され、呼出モバイル端末についての通信のサービスキーを生成する。
【0119】
ステップ6において、通信に必要なサービスキー(A−B)を生成した後、サービスキー生成のための中央制御ステーションは、以下の4つの状況に基づいてサービスキー配送を行う。
【0120】
<1>図8(a)に示されるように、サービスキー生成のための中央制御ステーションは、呼出中央制御ステーションSであるとする。2つのサービス情報パケットが解釈された後、パケットの1つに記載されているキーリレーのための目標の中央制御ステーションは、中央制御ステーションであることが知られ、リレーが必要ない。したがって、サービスキー(A−B)は、中央制御ステーションSと呼出モバイル端末Aの間で共有されたキー(S−A)を介して直接暗号化され、暗号化されたサービスキー(A−B)が無線ネットワークチャネルを介して呼出モバイル端末Aに送られる。他のパケットにおいて記載されるキーリレーについての目標の中央制御ステーション(被呼出中央制御ステーションS’)は、中央制御ステーションではなく、中央制御ステーションSは、被呼出中央制御ステーションに導くネクストホップの中央制御ステーションSを見つけるために、リレールーティングテーブルにおいて、サービスキーをサーチする。通信のためのサービスキー(A−B)は、中央制御ステーションSとネクストホップの中央制御ステーションS1との間で共有されるサービスキー(S−S1)を介して暗号化され、暗号化されたサービスキー(A−B)は、有線ネットワークチャネルを介して、サービス情報パケットとともに、ネクストホップの中央制御ステーションS1に送られる。
【0121】
<2>図8(b)に示されるように、サービスキー生成のための中央制御ステーションは、被呼出中央制御ステーションS’であることを想定する。2つのサービス情報が解釈される後、パケットのうちの1つに記載されるキーリレーのための目標の中央制御ステーション(被呼出中央制御ステーションS’)は、中央制御ステーションであることが知られ、リレーは必要とされない。したがって、サービスキー(A−B)は、中央制御ステーションS’と被呼出モバイル端末Bとの間で共有されたキー(S’−A)を介して直接暗号化され、暗号化されたサービスキー(A−B)は被呼出端末Bに送られる。他のパケットに記載されるキーリレーについての目標の中央制御ステーション(呼出中央制御ステーションS)は、中央制御ステーションではなく、中央制御ステーションS’は、呼出中央制御ステーションSに導くネクストホップの中央制御ステーションS2を見つけるために、リレールーティングテーブルにおいて、サービスキーをサーチする。通信のためのサービスキー(S−A)は、中央制御ステーションS’とネクストホップの中央制御ステーションS2の間で共有されるキー(S2−S’)を介して暗号化され、暗号化されたサービスキー(A−B)は、サービス情報パケットとともに、ネクストホップの中央制御ステーションS2に送られる。
【0122】
<3>図8(c)に示されるように、サービスキー生成のための中央制御ステーションは、呼出中央制御ステーションおよび被呼出中央制御ステーションではなく、呼出中央制御ステーションと被呼出中央制御ステーションとの間におけるリレー中央制御ステーション(図8(c)に示される中央制御ステーションS2)であることを想定している。2つのサービス情報パケットが解釈される後、2つのパケットに記載されるキーリレーについての目標の中央制御ステーションは、中央制御ステーションでないと知られる。S2は、リレールーティングテーブルにおいて、呼出中央制御ステーションSに導くネクストホップの中央制御ステーションS1を見つけるために、サービスキーをサーチする。通信のためのサービスキー(A−B)は、中央制御ステーションS2とネクストホップの中央制御ステーションS1との間で共有されたキー(S1−S2)を介して暗号化され、暗号化されたキー(A−B)は、呼出中央制御ステーションを目標の中央制御ステーションとして使用するサービスキー情報パケットとともに、ネクストホップの中央制御ステーションS1に送られる。一方、S2は、被呼出中央制御ステーションS’に導くネクストホップの中央制御ステーションS’を見つけるために、リレールーティングテーブルにおいて、サービスキーをサーチする。通信のためのサービスキー(A−B)は、中央制御ステーションS2とネクストホップの中央制御ステーションS’の間で共有されたキー(S2−S’)を介して暗号化され、暗号化されたサービスキー(A−B)は、被呼出中央制御ステーションS’を目標の中央制御ステーションとして使用するサービス情報パケットとともに、ネクストホップの中央制御ステーションS1に送られる。
【0123】
<4>図8(d)に示されるように、通信は、同一の中央制御ステーションに関連付けられた2つのモバイル端末A,B間であることを想定している。2つのサービス情報パケットが解釈される後、キーリレーについて、2つのパケットに記載される目標の中央制御ステーション(呼出中央制御ステーションと被呼出中央制御ステーション)の両方は、中央制御ステーションであることが知られ、リレーが必要ではない。したがって、中央制御ステーションSは、呼出モバイル端末Aと共有されたキー(S−A)を介して、サービスキー(A−B)を直接暗号化し、暗号化されたサービスキー(A−B)を呼出モバイル端末Aに送る。一方、中央制御ステーションSは、キー(S−A)を介して、被呼出モバイル端末Bと共有されたサービスキー(A−B)を暗号化し、暗号化されたサービスキー(A−B)を被呼出モバイル端末Bに送る。
【0124】
サービスキーと他の中央制御ステーションからリレーされたサービス情報パケットとを受信した後、中央制御ステーションは、サービス情報パケットにおいて設けられたキーリレーについて、目標の中央制御ステーションのアドレスを決定する。図8(a)におけるS’は、例として挙げられ、中央制御ステーションがキーリレーについて目標の中央制御ステーションである場合、暗号化されたサービスキー(A−B)(S2−S’)を受信し、復号化した後、S’は、復号化されたサービスキー(A−B)を、モバイル端末Bと共有されたキー(S’−A)を介して暗号化し、暗号化されたサービスキー(A−B)をモバイル端末Bに送る。図8(a)におけるS1は、例として挙げられ、中央制御ステーションはキーリレーについて目標の中央制御ステーションではない場合、S1は目標の中央制御ステーションS’に導くネクストホップの中央制御ステーションS2のアドレスを見つけるために、リレールーティングテーブルにおいて、S1に登録されたサービスキーをサーチする。暗号化されたサービスキー(A−B)(S−S1)を受信し、復号化した後、S1はS2と共有したキー(S1−S2)を介して、暗号化されたサービスキー(A−B)を暗号化し、サービス情報パケットとともに、暗号化されたサービスキー(A−B)をネクストホップの中央制御ステーションS2に送る。
【0125】
呼出中央制御ステーション、被呼出中央制御ステーションおよびリレー中央制御ステーションは、特別な中央制御ステーションの専用のものではない。全体の量子キー配送ネットワークの観点から、全ての中央制御ステーションは、固定の「呼出」、「被呼出」および「リレー」のような機能区別がなく、同一である。特別な通信サービスにおいて、呼出中央制御ステーション、被呼出中央制御ステーションおよびリレー中央制御ステーションは、両通信パーティのモバイル端末に関連付けられた異なる中央制御ステーションに基づく特別な通信のために意味を成す。特別な通信における特別な中央制御ステーションの役割は、呼出中央制御ステーションである一方、他の実施形態において、その役割は被呼出中央制御ステーションまたはリレー中央制御ステーションであってもよい。
【0126】
図9(a)および図9(b)は、例として挙げられる。ステップ6において、ラストホップの中央制御ステーションからリレーされたサービスキーを受信し、ネクストホップの中央制御ステーションまたはモバイル端末にサービスキーを送るプロセスにおいて、ラストホップの中央制御ステーションから通信のためのサービスキーを受信した後、サービスキーを送る代わりに、中央制御ステーションは、サービスキーの最初のフレームデータを受信し、復号化し始めに、暗号化とサービスキーのためのリレーを開始する(または、閾値が設定され、復号化されたサービスキーの実際の量が閾値より大きく、暗号化およびサービスキーのためのリレーが開始される。)。暗号化およびリレーされたサービスキーの量のダイナミック上限値は、現在受信および復号化されたサービスキーの量である。同じ期間に、通信のためのサービスキーは、複数の中央制御ステーションにおいてリレー状態にある。
【0127】
ステップ7において、キー(A−B)(S−A)を取得した後、呼出モバイル端末Aは、通信のためのサービスキー(A−B)を取得するために、ステップ2において取得された呼出中央制御ステーションSと共有されたキー(S−A)を用いてキー(A−B)(S−A)を復号化する。同様に、被呼出中央制御ステーションS’から送られたキー(A−B)(S’−B)を取得した後、被呼出モバイル端末Bは、通信のためのサービスキー(A−B)を取得するために、被呼出中央制御ステーションS’と共有されたキー(S’−B)を用いて、キー(A−B)(S’−B)を復号化する。
【0128】
ステップ8において、モバイル端末Aは、サービスキー(A−B)を用いてサービス情報を暗号化し、通信サービスのオリジナルデータリンクを介して、暗号文をモバイル端末Bに送る。モバイル端末Bは、暗号化されたサービス情報を取得し、プレーンテキストを取得するために、ステップ7において取得されたサービスキー(A−B)を用いて、暗号化されたサービス情報を復号化する。モバイル端末Bは、この方法で、モバイル端末Aにサービス情報を送ることができ、そのプロセスは類似している。
【0129】
特別な実施のための補足。
【0130】
1.リアルタイムの双方向対話型の通信サービス(VOIPコールのような)において、モバイル端末は、サービス情報を同時に送信および受信することができる。この場合において、各モバイル端末は、2つのスレッドを使用し、量子キー配送ネットワークに適用し、端末から送られたサービス情報を暗号化するために使用されるサービスキーと他方の端末から送られたサービス情報の暗号文を復号化するために使用されるサービスキーとをダウンロードする。非リアルタイムの非双方向対話型の通信サービス(SMSのショートメッセージのような)において、各モバイル端末は、サービスキーを量子キー配送ネットワークに要求するために、1つのスレッドを生成し、量子キー配送ネットワークは、2つのモバイル端末のために、1つのサービスキーを準備する必要がある。
【0131】
2.量子キー配送ネットワークにおいて、量子端末と量子端末が属する中央制御ステーションの間、中央制御ステーションと他の中央制御ステーションとの間、中央制御ステーションと量子ネットワーク管理サーバとの間において、両パーティが量子キー生成装置および共有量子チャネルを有する限り、共有キーは、それらの間のセキュア通信の使用によりいつでも生成することができる。
【0132】
3.異なる通信サービスの異なるリアルタイム要件によって、SIPコールおよびビデオコールのような、高いリアルタイムの要件および高いキー消費を用いたサービスについて、多くのリレーノード(図9(a)に示される)が存在する場合、音声コールおよびビデオコールにおいて問題が生じるかもしれない。すなわち、暗号文は、サービスパスを介して目的位置にすでに到達しているが、キーは段階ごとに暗号化および復号化されていて、時間および通信の遅れにより、暗号文を復号化できていない。
【0133】
高いキー消費を伴ういくつかのサービスにおいて、キーリレープロセスによって生じる通信遅れを軽減するためには、以下の方法が使用されてもよい。
【0134】
(1)中央制御ステーションの様々な段階でリレーキーについて上述したとき、ラストホップの中央制御ステーションからキーを完全に受信する(復号化プロセスを含む)ときにネクストホップの中央制御ステーションだけにキーを送ることを開始することができない。中央制御ステーションがキーを受信し始めると同時に、ネクストホップにキーを送ることができる。送られるサービスキーの量のダイナミック下限値は、現在受信されるサービスキーの量であり、通信について、中央制御ステーションによって現在受信されるサービスキーの量は、ネクストホップの中央制御ステーションに送られるサービスキーの最大量である。この場合において、同じ期間において、サービスキーは、複数の中央制御ステーションにおける現在リレーのパイプラインの状態であり、それによりリレー時間が大きく低減される。コール側の観点から、キーは、図9(a)および図9(b)に示されるように、送信が完了する前に使用することを開始している。
【0135】
通信についてのサービスキーがある程度消費されると、モバイル端末は、キーを再度ダウンロードするために、モバイル端末に関連付けられた中央制御ステーションに要求され、そのプロセスは最初にキーをダウンロードするのと同様である。オリジナルのサービスキーが完全に消費されると、新しいサービスキーがモバイル端末にダウンロードされる。したがって、コール側の観点から、オリジナルのキーが完全に消費されるときに新しいキーをダウンロードするのを待つプロセスは除外される。キーの連続のダウンロードが行われると、オリジナルのキーは、完全には消費されず、キーの連続のダウンロードが通信中に行われる。オリジナルのキーが完全に消費されるとき、新しいキーは、利用可能である。したがって、キーの連続のダウンロードのための時間の消費によって、実際の通信遅れが生じる。
【0136】
4.高いキー消費と長い継続期間とを有するいくつかのサービス(SIPコールやビデオコールのような)について、サービスキーは、通信において何度も配送されてもよい(配送から一度に得られるサービスキーは十分ではない)。各連続のキー配送において、ステップ3からステップ7のプロセスは、サービスキー配送に関連しており、再び実行される。キーダウンロードプロセスが同じセキュア通信に対応しているものの、モバイル端末について、キーに適用する各プロセスは、互いに独立しており、互いに関連していない。同様に、サービスキーアプリケーションが同じ通信に対応しているとしても、量子ネットワーク管理サーバがサービスキーアプリケーションを処理するとき、設けられたサービスキー生成サーバは、量子キー配送ネットワークの環境のリアルタイムの変化に応じて変化してもよい。
【0137】
5.量子ネットワーク管理サーバは、主に以下の特徴を有する。
【0138】
(1)中央制御ステーションとモバイル端末との間の紐付け関係とサービスキーについてのリレールーティングテーブルを登録、維持および問い合わせする。
【0139】
(2)ネットワークにアクセスするために新たに記録されるモバイル端末に、ネットワークにおける特有の量子特定番号を配送する。
【0140】
(3)中央制御ステーションに対する典型的なネットワーク接続を維持する。
【0141】
(4)モバイル端末に関連する受信情報に基づいてモバイル端末の適法性を判断する。
【0142】
(5)サービスキー配送に参加する中央制御ステーションの現在の状態インジケータを集め、サービスキー生成についての中央制御ステーションを決定および明示(指定)し、新たなサービス情報パケットを生成し、中央制御ステーションに送る。
【0143】
(6)モバイル端末の地理的位置に応じて、モバイル端末が位置している領域に位置する中央制御ステーションのアドレスを問い合わせる。
【0144】
(7)中央制御ステーションと通信し、中央制御ステーションに指示を送る。
【0145】
6.特定の実施形態において、技術的解決に基づく通信サービスの詳細の変更が技術的解決の保護範囲内において行われてもよい。例えば、SMSショートメッセージのような非リアルタイムの非双方向対話型通信サービスについて、以下の変更が特定の実施形態において行われてもよい。
【0146】
(1)呼出モバイル端末は、最初に量子キー配送ネットワークに、通信のためのサービスキーを要求し、その要求のあと、ショートメッセージを暗号化し、暗号化されたショートメッセージ(暗号文)を送る。暗号文を受け取ると、非呼出モバイル端末は、対応するサービスキーを、量子キー配送ネットワークに要求し、ショートメッセージを得るために、暗号文を復号化する。この処理は、VOIPのようなリアルタイムの双方向対話型サービスの処理とは以下の点で少し異なる。被呼出モバイル端末は、最初に他方から送られる暗号化されたショートメッセージを受信する必要があり、サービスキーを量子キー配送ネットワークに要求する必要があり、呼出モバイル端末が暗号化されたショートメッセージを送ることを前提とされている。すなわち、呼出モバイル端末は、被呼出モバイル端末が取得する前に、サービスキーを取得する。したがって、被呼出モバイル端末から送られる被呼出パーティの応答情報パケットを受信した後、量子キー配送ネットワークが呼出モバイル端末にサービスキーを配送するVoIPコールとは違い、量子キー配送ネットワークは、呼出モバイル端末から送られるサービス情報パケットに基づいて、呼出モバイル端末にサービスキーを直接配送する。
【0147】
(2)ショートメッセージサービスには、あまりサービスキーが必要にならず、暗号化された被呼出モバイル端末に必要な時間ので、量子キー配送ネットワークは、中央制御ステーションの現在の状態インジケータに代えて、通信のために必要なサービスキーの生成を担うために、単純な規則に基づいて、中央制御ステーションを明示(指定)する(例えば、一般的に、近い基準に基づく呼出中央制御ステーション)。インジケータを集める処理は、一方では除かれる。
【0148】
(3)呼出モバイル端末からサービスキーのためのアプリケーションを受け取った後、量子キー配送ネットワークは、被呼出中央制御ステーションにサービスキーをリレーし、呼出モバイル端末に同時にサービスキーを配送するために、サービスキー生成を中央制御ステーションに要求してもよい。このように、被呼出モバイル端末が暗号化されたショートメッセージを受信し、量子キー配送ネットワークにサービスキーを要求すると、サービスキーは、被呼出中央制御ステーションに到達していてもよい(またはリレーの方法で)。そして、被呼出モバイル端末は、被呼出中央制御ステーションから直接サービスキーをダウンロードしてもよく、それによりリレーの待ち時間が低減される。
【0149】
(4)非リアルタイムの非双方向対話型の特徴(例えば、ショートメッセージにおいて生じるテレコムオペレータのネットワークにおける混雑)により、被呼出モバイル端末が暗号化されたメッセージを受け取るのに長い時間がかかるかもしれない。したがって、量子キー配送ネットワークは、ある期間、呼出モバイル端末のサービスキーアプリケーション情報を保持する必要があり、呼出モバイル端末に配送された同じサービスキーを被呼出モバイル端末に配送するために、被呼出モバイル端末からの被呼出パーティの応答情報パケットの到達まで配送を行わない。しかしながら、無期限に待つことを避けるために、閾値は、この期間のために設定されるべきである。閾値が超えられると、量子キー配送ネットワークは、ショートメッセージの送信が失敗したと決定し、待つことなく、通信のために生成されるサービスキーを放棄するよう要求してもよい。
【0150】
(5)(1)〜(4)の記載に加えて、サービスキーを配送するための他の方法があってもよい。例えば、ショートメッセージ通信が初めて行われると、両パーティは、多くのサービスキーをダウンロードし、モバイル端末は長期間の使用のためにサービスキーを登録する。これらサービスキーは、数回、両パーティについて、ショートメッセージ通信において使用され、それによりショートメッセージの送信ごとにサービスキーをダウンロードする必要がない。つまり、多くの非リアルタイムの非双方向対話型通信は、延長期間において、リアルタイム双方向対話型通信と見なされ、それに基づいてサービスキーが配送される。本方法は、瞬時の通信サービスまたはアプリケーション(QQおよびMSNのような)の暗号化および副押下に適している。
【図面の簡単な説明】
【0151】
【図1(a)】キーリレーモバイルセキュア通信と暗号文リレーモバイルセキュア通信を比較するための図である。
【図1(b)】キーリレーモバイルセキュア通信と暗号文リレーモバイルセキュア通信を比較するための図である。
【図2】量子キー配送ネットワークにおける様々な通信チャネルを示す図である。
【図3】モバイルセキュア通信のフローチャートである。
【図4】ネットワークにアクセスするための登録について、モバイル端末が量子キー配送ネットワークを要求することを示す図である。
【図5】モバイル端末の地理的な位置が変化するとき、固定の中央制御ステーションを切り換えること示す図である。
【図6】通信の間、量子キー配送ネットワークがサービスキーの配送に参加する中央制御ステーションのアドレスを決定することを示す図である。
【図7】通信の間、量子ネットワーク管理サーバが、サービスキーの生成のために中央制御ステーションを決定することを示す図である。
【図8(a)】量子キー配送ネットワークにおいてキーリレーを有する様々な可能な配送を示す図である。
【図8(b)】量子キー配送ネットワークにおいてキーリレーを有する様々な可能な配送を示す図である。
【図8(c)】量子キー配送ネットワークにおいてキーリレーを有する様々な可能な配送を示す図である。
【図8(d)】量子キー配送ネットワークにおいてキーリレーを有する様々な可能な配送を示す図である。
【図9(a)】多数の中央制御ステーションを介してサービスキーを転送するための2つのリレー方法を比較することを示す図である。
【図9(b)】多数の中央制御ステーションを介してサービスキーを転送するための2つのリレー方法を比較することを示す図である。