知財求人 - 知財ポータルサイト「IP Force」
▶ 独立行政法人情報通信研究機構の特許一覧 ▶ 国立大学法人 東京大学の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023093938
(43)【公開日】2023-07-05
(54)【発明の名称】暗号鍵共有システム
(51)【国際特許分類】
H04L 9/12 20060101AFI20230628BHJP
H04B 10/70 20130101ALI20230628BHJP
H04B 10/112 20130101ALI20230628BHJP
【FI】
H04L9/12
H04B10/70
H04B10/112
【審査請求】未請求
【請求項の数】5
【出願形態】OL
(21)【出願番号】P 2021209085
(22)【出願日】2021-12-23
【国等の委託研究の成果に係る記載事項】(出願人による申告)令和3年度、総務省、情報通信技術の研究開発「衛星通信における量子暗号技術の研究開発」に係る委託研究、産業技術力強化法第17条の適用を受ける特許出願
(71)【出願人】
【識別番号】301022471
【氏名又は名称】国立研究開発法人情報通信研究機構
(71)【出願人】
【識別番号】504137912
【氏名又は名称】国立大学法人 東京大学
(74)【代理人】
【識別番号】110001807
【氏名又は名称】弁理士法人磯野国際特許商標事務所
(72)【発明者】
【氏名】遠藤 寛之
(72)【発明者】
【氏名】佐々木 雅英
(72)【発明者】
【氏名】藤原 幹生
(72)【発明者】
【氏名】武岡 正裕
(72)【発明者】
【氏名】小芦 雅斗
(72)【発明者】
【氏名】佐々木 寿彦
【テーマコード(参考)】
5K102
【Fターム(参考)】
5K102AA21
5K102AB07
5K102AB11
5K102AL23
5K102AL28
5K102PB01
(57)【要約】
【課題】情報理論的に安全な暗号鍵を共有できると共に、鍵生成速度及び伝送距離を向上させる。
【解決手段】送信者系2は、見通し通信路4を介して、符号化した光信号40を予め設定した強度で送信する送信光学部20と、認証付き公開通信路5を介した鍵蒸留処理により、送信光学部20の乱数ビット系列から暗号鍵を生成する鍵蒸留部21と、を備え、正規受信者系3は、見通し通信路4を介して、送信光学部20から光信号40を受信する受信光学部30と、認証付き公開通信路5を介した鍵蒸留処理により、受信光学部30の乱数ビット系列から暗号鍵を生成する鍵蒸留部31と、を備える。
【選択図】図2
【解決手段】送信者系2は、見通し通信路4を介して、符号化した光信号40を予め設定した強度で送信する送信光学部20と、認証付き公開通信路5を介した鍵蒸留処理により、送信光学部20の乱数ビット系列から暗号鍵を生成する鍵蒸留部21と、を備え、正規受信者系3は、見通し通信路4を介して、送信光学部20から光信号40を受信する受信光学部30と、認証付き公開通信路5を介した鍵蒸留処理により、受信光学部30の乱数ビット系列から暗号鍵を生成する鍵蒸留部31と、を備える。
【選択図】図2
【特許請求の範囲】
【請求項1】
見通し通信路を伝搬する光信号を利用して、差動位相変調量子鍵送信装置と差動位相変調量子鍵受信装置との間で暗号鍵を共有する暗号鍵共有システムであって、
前記差動位相変調量子鍵送信装置は、
差動位相変調により乱数ビットを前記光信号に符号化し、前記見通し通信路を介して、符号化した前記光信号を予め設定した強度で送信する送信光学部と、
認証付き公開通信路を介した鍵蒸留処理により、前記送信光学部の乱数ビット系列から暗号鍵を生成する第1鍵蒸留部と、を備え、
前記差動位相変調量子鍵受信装置は、
前記見通し通信路を介して、前記送信光学部から前記光信号を受信し、受信した前記光信号から前記乱数ビットを復号する受信光学部と、
前記認証付き公開通信路を介した鍵蒸留処理により、前記受信光学部の乱数ビット系列から暗号鍵を生成する第2鍵蒸留部と、
を備えることを特徴とする暗号鍵共有システム。
前記差動位相変調量子鍵送信装置は、
差動位相変調により乱数ビットを前記光信号に符号化し、前記見通し通信路を介して、符号化した前記光信号を予め設定した強度で送信する送信光学部と、
認証付き公開通信路を介した鍵蒸留処理により、前記送信光学部の乱数ビット系列から暗号鍵を生成する第1鍵蒸留部と、を備え、
前記差動位相変調量子鍵受信装置は、
前記見通し通信路を介して、前記送信光学部から前記光信号を受信し、受信した前記光信号から前記乱数ビットを復号する受信光学部と、
前記認証付き公開通信路を介した鍵蒸留処理により、前記受信光学部の乱数ビット系列から暗号鍵を生成する第2鍵蒸留部と、
を備えることを特徴とする暗号鍵共有システム。
【請求項2】
前記差動位相変調量子鍵送信装置は、
前記見通し通信路の大気ゆらぎを測定する第1通信路状態モニタリング部、をさらに備え、
前記差動位相変調量子鍵受信装置は、
前記見通し通信路の大気ゆらぎを測定する第2通信路状態モニタリング部と、
前記第1通信路状態モニタリング部及び前記第2通信路状態モニタリング部が測定した大気ゆらぎに基づいて、前記見通し通信路の外部に漏れた漏洩光の強度を推定する通信路状態推定部と、をさらに備え、
前記送信光学部は、前記通信路状態推定部が推定した漏洩光の強度に基づいて、送信する前記光信号の強度を設定し、
前記第1鍵蒸留部は、前記漏洩光の強度に基づいて、前記送信光学部の乱数ビット系列から暗号鍵を生成するときの圧縮率を調整し、
前記第2鍵蒸留部は、前記漏洩光の強度に基づいて、前記受信光学部の乱数ビット系列から暗号鍵を生成するときの圧縮率を調整することを特徴とする請求項1に記載の暗号鍵共有システム。
前記見通し通信路の大気ゆらぎを測定する第1通信路状態モニタリング部、をさらに備え、
前記差動位相変調量子鍵受信装置は、
前記見通し通信路の大気ゆらぎを測定する第2通信路状態モニタリング部と、
前記第1通信路状態モニタリング部及び前記第2通信路状態モニタリング部が測定した大気ゆらぎに基づいて、前記見通し通信路の外部に漏れた漏洩光の強度を推定する通信路状態推定部と、をさらに備え、
前記送信光学部は、前記通信路状態推定部が推定した漏洩光の強度に基づいて、送信する前記光信号の強度を設定し、
前記第1鍵蒸留部は、前記漏洩光の強度に基づいて、前記送信光学部の乱数ビット系列から暗号鍵を生成するときの圧縮率を調整し、
前記第2鍵蒸留部は、前記漏洩光の強度に基づいて、前記受信光学部の乱数ビット系列から暗号鍵を生成するときの圧縮率を調整することを特徴とする請求項1に記載の暗号鍵共有システム。
【請求項3】
前記送信光学部は、前記漏洩光の強度が大きい場合、送信する前記光信号の強度が弱くなるように設定し、前記漏洩光の強度が小さい場合、当該光信号の強度が強くなるように設定することを特徴とする請求項2に記載の暗号鍵共有システム。
【請求項4】
前記第1鍵蒸留部は、前記漏洩光の強度が大きい場合、前記送信光学部の乱数ビット系列から暗号鍵を生成するときの圧縮率が大きくなるように調整し、前記漏洩光の強度が小さい場合、当該暗号鍵の圧縮率が小さくなるように調整し、
前記第2鍵蒸留部は、前記漏洩光の強度が大きい場合、前記受信光学部の乱数ビット系列から暗号鍵を生成するときの圧縮率が大きくなるように調整し、前記漏洩光の強度が小さい場合、当該暗号鍵の圧縮率が小さくなるように調整することを特徴とする請求項2又は請求項3に記載の暗号鍵共有システム。
前記第2鍵蒸留部は、前記漏洩光の強度が大きい場合、前記受信光学部の乱数ビット系列から暗号鍵を生成するときの圧縮率が大きくなるように調整し、前記漏洩光の強度が小さい場合、当該暗号鍵の圧縮率が小さくなるように調整することを特徴とする請求項2又は請求項3に記載の暗号鍵共有システム。
【請求項5】
前記通信路状態推定部は、前記漏洩光の強度として、盗聴者が前記見通し通信路で前記光信号をタッピングできる比率であるタッピング率を推定することを特徴とする請求項2から請求項4の何れか一項に記載の暗号鍵共有システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、自由空間における見通し通信路を伝搬する光信号を利用した、情報理論的に安全な暗号鍵を共有する暗号鍵共有システムに関する。
【背景技術】
【0002】
従来の通信インフラでは、通信を秘匿化する暗号鍵を共有するために、公開鍵暗号方式が使用されている。しかし、公開鍵暗号の安全性は、解読者の計算能力への仮定の下で保証されたものであり、手間と時間を厭わなければ原理的には計算処理によって解読できる。
【0003】
それに対して、情報理論的に安全な暗号鍵を共有する技術として、見通し通信路を利用した物理レイヤ暗号、及び、量子鍵配送(QKD:Quantum Key Distribution)の研究が進められている。なお、情報理論的に安全とは、情報理論に基づいて、盗聴者が無限の計算能力を持っていると仮定した場合でも解読されないことが数学的に証明されていることを指す。
【0004】
物理レイヤ暗号は、自由空間における見通し通信路を伝搬する光を利用し、情報理論的に安全な暗号鍵を共有するものである(特許文献1、非特許文献1)。この物理レイヤ暗号は、量子鍵配送に比べて、暗号鍵の生成速度が速く、遠距離への暗号鍵の配送が可能という利点を有する。一方、量子鍵配送は、物理レイヤ暗号に比べて、盗聴のみならず、物理学的に許される様々な攻撃に対して、情報理論的に安全な暗号鍵を共有できるという利点を有する。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】国際公開第2019/139544号
【非特許文献】
【0006】
【非特許文献1】Z. Pan et al., “Secret-key distillation across a quantum wiretap channel under restricted eavesdropping,” Phys. Rev. Applied, vol. 14, no. 2, 024044, 2020.
【発明の概要】
【発明が解決しようとする課題】
【0007】
従来の物理レイヤ暗号では、盗聴者への通信路モデルを指定する必要があるので、通信路モデルの指定が可能な範囲に盗聴モデルが限定されてしまう。このため、物理レイヤ暗号では、将来的に量子技術が発展して盗聴者の能力が向上した場合、情報理論的に安全な暗号鍵を共有できなくなる可能性がある。
【0008】
また、従来の量子鍵配送は、その強力な安全性と引き換えに、鍵の生成速度及び伝送距離に厳しい制限が課せられている。情報理論的に安全な情報通信ネットワークを全地球的な規模に拡張するため、低軌道衛星-地上局間では高速な暗号鍵の生成を実現し、高高度の静止軌道衛星-地上局間では鍵共有を実現する必要がある。しかし、量子鍵配送では、鍵の生成速度及び伝送距離の制限により、その要求に応えることが困難である。
【0009】
そこで、本発明は、情報理論的に安全な暗号鍵を共有できると共に、鍵生成速度及び伝送距離を向上させる暗号鍵共有システムを提供することを課題とする。
【課題を解決するための手段】
【0010】
前記課題を解決するため、本発明に係る暗号鍵共有システムは、見通し通信路を伝搬する光信号を利用して、差動位相変調量子鍵送信装置と差動位相変調量子鍵受信装置との間で暗号鍵を共有する暗号鍵共有システムであって、前記差動位相変調量子鍵送信装置は、差動位相変調により乱数ビットを前記光信号に符号化し、前記見通し通信路を介して、符号化した前記光信号を予め設定した強度で送信する送信光学部と、認証付き公開通信路を介した鍵蒸留処理により、前記送信光学部の乱数ビット系列から暗号鍵を生成する第1鍵蒸留部と、を備え、前記差動位相変調量子鍵受信装置は、前記見通し通信路を介して、前記送信光学部から前記光信号を受信し、受信した前記光信号から前記乱数ビットを復号する受信光学部と、前記認証付き公開通信路を介した鍵蒸留処理により、前記受信光学部の乱数ビット系列から暗号鍵を生成する第2鍵蒸留部と、を備える構成とした。
【0011】
かかる構成によれば、暗号鍵共有システムは、差動位相変調量子鍵配送を見通し通信路に適用すると共に、光信号の強度を適切な値に設定できるので、鍵生成速度及び伝送距離を向上させることできる。さらに、暗号鍵共有システムは、見通し通信路の想定範囲内で盗聴行為に一切の制限を設けることなく、汎用的結合可能性を満足する暗号鍵を生成できるので、盗聴者の能力が向上した場合でも情報理論的に安全な暗号鍵を共有できる。
【0012】
なお、汎用的結合可能性とは、各プロトコル単体として保証された安全性がそれらのどのような結合の仕方や利用環境でも保持されるという性質である。一般的な量子鍵配送の安全性は理想的なプロトコルと実際に実装されたプロトコルを表す量子状態間のトレース距離によって測られ、トレース距離が任意の指定された小さな値ε以下に小さくできる場合にそのプロトコルがε-安全であると言う。例えば、汎用的結合可能性が満足されている場合、ε-安全なプロトコルとε´-安全なプロトコルとを組み合わせると、(ε+ε´)-安全なプロトコルとなる。暗号鍵共有システムの汎用的結合可能性については後記する。
【発明の効果】
【0013】
本発明によれば、情報理論的に安全な暗号鍵を共有できると共に、鍵生成速度及び伝送距離を向上させることができる。
【図面の簡単な説明】
【0014】
【図1】実施形態において、通信路モデルを説明する説明図である。
【図2】実施形態に係る暗号鍵共有システムの構成を示すブロック図である。
【図3】実施形態において、送信光学部の構成を示すブロック図である。
【図4】実施形態において、受信光学部の構成を示すブロック図である。
【図5】実施形態において、鍵蒸留処理を示すシーケンス図である。
【図6】実施形態において、暗号鍵の圧縮率の調整を説明する説明図である。
【図7】実施形態において、通信路状態モニタリング部の構成を示すブロック図である。
【図8】実施例において、漸近長での鍵生成レートを示すグラフである。
【図9】実施例において、有限長さでの鍵生成レートを示すグラフである。
【発明を実施するための形態】
【0015】
以下、実施形態について図面を参照して説明する。但し、以下に説明する実施形態は、本発明の技術思想を具体化するためのものであって、特定的な記載がない限り、本発明を以下のものに限定しない。また、同一の手段には同一の符号を付し、説明を省略する場合がある。
【0016】
[通信路モデル]
図1を参照し、実施形態に係る暗号鍵共有システム1(図2)の前提となる通信路モデルについて説明する。
大気ゆらぎが存する見通し通信路4(例えば、低軌道衛星-地上局間、高高度の静止軌道衛星-地上局間)にも適用可能な物理レイヤの暗号技術として、見通し通信量子鍵配送を採用した暗号鍵共有システム1(図2)を提案する。見通し通信量子鍵配送は、図1の通信路モデルと、その通信路モデルに対して、量子鍵配送の安全性証明技法の一つである、相補性アプローチを適用することで、安全性を証明できる。この相補性アプローチは、送信者Aと正規受信者Bとの間の見通し通信路4の特性と無関係に安全性を証明できる。
図1を参照し、実施形態に係る暗号鍵共有システム1(図2)の前提となる通信路モデルについて説明する。
大気ゆらぎが存する見通し通信路4(例えば、低軌道衛星-地上局間、高高度の静止軌道衛星-地上局間)にも適用可能な物理レイヤの暗号技術として、見通し通信量子鍵配送を採用した暗号鍵共有システム1(図2)を提案する。見通し通信量子鍵配送は、図1の通信路モデルと、その通信路モデルに対して、量子鍵配送の安全性証明技法の一つである、相補性アプローチを適用することで、安全性を証明できる。この相補性アプローチは、送信者Aと正規受信者Bとの間の見通し通信路4の特性と無関係に安全性を証明できる。
【0017】
図1に示すように、送信者Aは、レーザ光源200と、位相変調器202とを有し、乱数ビットを符号化する。このとき、変調方式は、前後の光パルスの相対位相によりビット値が定まる、差動位相変調方式とする。また、光パルスの平均光子数をμAで表す。なお、平均光子数μAの決め方については、後記する。
【0018】
送信者Aは、位相不敏感な見通し通信路4を介して、変調された光パルス列90を正規受信者Bに伝送する。なお、見通し通信路4を通過する光パルス列90には、大気ゆらぎに限らない、任意の物理現象が効果を及ぼすとしてもよい。ただし、唯一の条件として、見通し通信路4が各光パルスの絶対位相や光パルス間の相対位相に無依存であることが要求される。この条件を位相不敏感と呼ぶ。この位相不敏感の条件が破られるには、大気中の粒子の持つ双極子モーメントが光パルスの位相と共鳴し、さらに後続の光子に影響を与える、といった手段が見通し通信路4に設けられる必要がある。このため、双極子モーメントの緩和時間が光パルス間隔よりも長くなる、又は、モーメントの共鳴周波数の線幅がその間隔に対応する必要がある。現行の差動位相変調の変調速度(約1GHz)では、大気中の分子がそのような鋭い線幅を持つことは考えにくい。このため、差動位相変調であれば、この位相不敏感の条件を満足できると考えられる。
【0019】
図1に示すように、正規受信者Bは、1ビット遅延干渉計301と、その出力に配された2つの光子検出器302(3020,3021)とを有する。正規受信者Bは、送信者Aから送られた光パルスを復調する。
【0020】
光子検出器302は、光子の存在を感知すると光子数とは無関係にオン状態になる、オン―オフ型の光子検出器である。正規受信者Bは、1つ目の光子検出器3020に“0”、2つ目の光子検出器3021に“1”という番号を付しておき、ある時刻にオン状態となった光子検出器3020,3021の番号を記録する。このビット情報を時系列に並べたビット列を正規受信者Bの生鍵と呼ぶ。なお、オン―オフ型の光子検出器302は、光子が到来していないにも関わらず電気パルスを出力する暗計数という性質を持つ。また、遅延干渉計の不完全性により、光子が誤った出力ポートに漏れ出す可能性もある。これらの影響により2つの光子検出器3020,3021が同時にオン状態になった場合にも検出成功として扱い、“0”又は“1”の何れかを割り当てる。
【0021】
盗聴者Eの盗聴方法は、物理レイヤ暗号と同様、送信者A及び正規受信者Bに発見されないようにするため、様々な見通し外の位置(例えば、ビームフットプリントの端、正規受信者Bの後方)からの受動的な盗聴シナリオに限定される。見通し通信量子鍵配送では、これらの盗聴シナリオを、盗聴者Eが送信者Aの前段に置かれたビームスプリッタ91を通して盗聴を行うモデルに帰着させている。この盗聴モデルでは、盗聴者Eは、送信者Aが送信した光パルス強度のうち、ビームスプリッタ91の反射率(タッピング率)ηEに対応する光強度を窃取できるものとする。つまり、タッピング率ηEは、盗聴者Eが見通し通信路4で光信号40をタッピングできる比率を表す。一方、盗聴者Eは、量子暗号と同様、任意の復調方法を実装した受信装置で盗聴可能であり、盗聴した情報に対して任意の信号処理を施すことができるものとする。なお、タッピング率ηEの決め方については後記する。
【0022】
送信者A及び正規受信者Bのビット列、すなわち生鍵は、互いに異なっている上、部分的に盗聴者Eに漏れている可能性がある。この生鍵から相等しく安全なビット列、すなわち最終鍵を生成するために、鍵蒸留処理と呼ばれる信号処理を、認証付き公開通信路5で情報を交換しながら実施する。
【0023】
この見通し通信量子鍵配送の安全性は、一般的な量子鍵配送と同様、以下の式(1)に示すように、2つの量子状態ρ,σの間のトレース距離dTr(ρ,σ)によって算出できる。なお、Trはトレース演算子を表す。
【0024】
【数1】
【0025】
鍵蒸留処理が終了した時点における送信者Aの最終鍵の状態|κfin
A><κfin
A|と盗聴者Eが量子メモリに保持している量子状態ρE(κfin
A)にまたがる同時量子状態を以下の式(2)で表す。ここで、送信者Aの最終鍵のビット系列をκfin
Aで表す。
【0026】
【数2】
【0027】
また、理想的な鍵に対応する量子状態を以下の式(3)で表す。なお、|・|は系列の長さ、TrA(・)は送信者Aの系に着目した部分トレースを表す。これら2つの量子状態のトレース距離は、以下の式(4)で定義される。
【0028】
【数3】
【数4】
【0029】
この式(4)で定義される値を量子汎用的安全性基準と呼ぶ。見通し通信量子鍵配送では、この量子汎用的安全性基準で安全性を評価できるため、盗聴者Eが量子力学を用いた一般的な盗聴を行える場合も安全性を評価できる。さらに、量子汎用的安全性基準がいわゆる汎用的結合可能性を満足する安全性基準となっているため、他の汎用的結合可能性を満足するセキュリティ技術と互換性を持った安全性評価も可能となる。なお、式(4)の計算結果が予め設定した値εXよりも小さい場合、この見通し通信量子鍵配送プロトコルはεX-安全であるとする。
【0030】
見通し通信では、指向性の高いレーザ光が用いられるため、送信者A及び正規受信者Bから発見されることなく、盗聴者Eが光ビームの中心に盗聴装置を設置し、全ての光信号を盗聴後に何らかの処理を施して再送信するというような能動的な攻撃を行うことは、実質的に極めて困難である。このため、盗聴者Eは、送信者A及び正規受信者Bの視野に入らないように、大気ゆらぎ等によって見通し通信路4から漏れてくる光(漏洩光)を利用するより外はない。しかし、大気ゆらぎを含む自然環境の外乱は、盗聴者Eによって密かに意図的に制御され得るものではないことは明らかである。これらの理由によって、レーザ光を用いた見通し通信では、盗聴者Eは、漏れてくる光信号から情報をタッピングすることしかできないという通信路モデルを想定することが合理的であると考えられている。そして、見通し通信路4とその周囲の状態は様々な手段で直接に観測することが可能であり、盗聴モデルの妥当性を判断することが可能である。
【0031】
以上のように、見通し通信路4を想定した場合、見通し通信路4の外部に漏れる漏洩光は、タッピング率ηEで表すことができ、ビームスプリッタ91を用いて簡単にモデル化できる。この場合、盗聴者Eによる盗聴行為は、漏洩光に対しての測定を含む何らかの操作を行うことに限定される。この想定のもとであれば、量子鍵配送方式として差動位相変調方式を採用した場合、汎用的結合可能性を備えた暗号鍵を生成できる。
【0032】
[暗号鍵共有システムの構成]
図2を参照し、実施形態に係る暗号鍵共有システム1の構成について説明する。
暗号鍵共有システム1は、見通し通信路4を伝搬する光信号40を利用して、送信者系(差動位相変調量子鍵送信装置)2と正規受信者系(差動位相変調量子鍵受信装置)3との間で暗号鍵を共有するものである。図2に示すように、暗号鍵共有システム1は、送信者系2と、正規受信者系3と、見通し通信路4と、認証付き公開通信路5とを備える。なお、図2では、光信号40と、プローブ光41と、見通し通信路4の大気ゆらぎ42とを図示した。
図2を参照し、実施形態に係る暗号鍵共有システム1の構成について説明する。
暗号鍵共有システム1は、見通し通信路4を伝搬する光信号40を利用して、送信者系(差動位相変調量子鍵送信装置)2と正規受信者系(差動位相変調量子鍵受信装置)3との間で暗号鍵を共有するものである。図2に示すように、暗号鍵共有システム1は、送信者系2と、正規受信者系3と、見通し通信路4と、認証付き公開通信路5とを備える。なお、図2では、光信号40と、プローブ光41と、見通し通信路4の大気ゆらぎ42とを図示した。
【0033】
送信者系2は、見通し通信路4を介して、正規受信者系3に光信号40を送信するものであり、送信光学部20と、鍵蒸留部(第1鍵蒸留部)21と、通信路状態モニタリング部(第1通信路状態モニタリング部)22とを備える。
【0034】
送信光学部20は、差動位相変調により乱数ビットを光信号40に符号化し、見通し通信路4を介して、符号化した光信号40を予め設定した強度で送信するものである。
鍵蒸留部21は、認証付き公開通信路5を介した鍵蒸留処理により、送信光学部20の乱数ビット系列から暗号鍵を生成するものである。
鍵蒸留部21は、認証付き公開通信路5を介した鍵蒸留処理により、送信光学部20の乱数ビット系列から暗号鍵を生成するものである。
【0035】
通信路状態モニタリング部22は、見通し通信路4の状態(大気ゆらぎ42)を測定するものである。ここで、通信路状態モニタリング部22は、後記する通信路状態モニタリング部32が照射した十分な強度のレーザビーム(プローブ光41B)を観測することで、見通し通信路4の状態を測定する。また、通信路状態モニタリング部22は、プローブ光41Aを通信路状態モニタリング部32に照射する。
【0036】
正規受信者系3は、見通し通信路4を介して、送信者系2から光信号40を受信するものであり、受信光学部30と、鍵蒸留部(第2鍵蒸留部)31と、通信路状態モニタリング部(第2通信路状態モニタリング部)32とを備える。
【0037】
受信光学部30は、見通し通信路4を介して、送信光学部20から光信号40を受信し、受信した光信号40から乱数ビットを復号するものである。
鍵蒸留部31は、認証付き公開通信路5を介した鍵蒸留処理により、受信光学部30の乱数ビット系列から暗号鍵を生成するものである。
鍵蒸留部31は、認証付き公開通信路5を介した鍵蒸留処理により、受信光学部30の乱数ビット系列から暗号鍵を生成するものである。
【0038】
通信路状態モニタリング部32は、見通し通信路4の状態(大気ゆらぎ42)を測定するものである。ここで、通信路状態モニタリング部32は、通信路状態モニタリング部22が照射した十分な強度のレーザビーム(プローブ光41A)を観測することで、見通し通信路4の状態を測定する。また、通信路状態モニタリング部32は、プローブ光41Bを通信路状態モニタリング部22に照射する。
【0039】
見通し通信路4は、見通し通信を行うための通信路である。ここで、見通し通信とは、送信者及び受信者の間に遮蔽物がなく、互いに見通せる状態の通信のことである。例えば、見通し通信としては、低軌道衛星-地上局間光通信、高高度の静止軌道衛星-地上局間光通信などがあげられる。
認証付き公開通信路5は、認証付きの公開通信路である。例えば、認証付き公開通信路5は、鍵蒸留処理や見通し通信路4の状態を送受信するために利用する。
認証付き公開通信路5は、認証付きの公開通信路である。例えば、認証付き公開通信路5は、鍵蒸留処理や見通し通信路4の状態を送受信するために利用する。
【0040】
[送信光学部の構成]
図3を参照し、送信光学部20の構成について説明する。
図3に示すように、送信光学部20は、レーザ光源200と、物理乱数源201と、位相変調器202と、光強度調整器203と、送信用光学系204とを備える。
図3を参照し、送信光学部20の構成について説明する。
図3に示すように、送信光学部20は、レーザ光源200と、物理乱数源201と、位相変調器202と、光強度調整器203と、送信用光学系204とを備える。
【0041】
レーザ光源200は、光パルス列を発生させるレーザ光源である。
物理乱数源201は、乱数ビット系列を生成するものである。
位相変調器202は、物理乱数源201が生成した乱数ビット系列に基づいて、レーザ光源200が発生させた光パルス列を位相変調するものである。
物理乱数源201は、乱数ビット系列を生成するものである。
位相変調器202は、物理乱数源201が生成した乱数ビット系列に基づいて、レーザ光源200が発生させた光パルス列を位相変調するものである。
【0042】
光強度調整器203は、位相変調器202が変調した光パルス列の強度を適切なレベルで調整するものである。本実施形態では、光強度調整器203は、後記する通信路状態推定部324が推定したタッピング率ηEに基づいて、光パルス列の強度を調整する。ここで、光強度調整器203は、タッピング率ηEが大きい場合(つまり、漏洩光の強度が大きい場合)、光信号の強度が弱くなるように設定する。一方、光強度調整器203は、タッピング率ηEが小さい場合(つまり、漏洩光の強度が小さい場合)、光信号の強度が強くなるように設定する。
【0043】
送信用光学系204は、見通し通信路4を介して、光強度調整器203で強度が調整された光パルス列(光信号40)を送信する光学系である。例えば、送信用光学系204は、光を集光するための送信用望遠鏡、送信者系2と正規受信者系3との相対的な位置変化に追随して送信用望遠鏡の姿勢を変化させる粗追尾系、及び、大気揺らぎ42などにより生じるビーム位置の細かな変化を補正するための精追尾系で構成されている。
【0044】
以下、送信光学部20の動作について説明する。
レーザ光源200から出力された長さ(Ntot+1)の光パルス列は、位相変調器202に入力される。この光パルス列は、物理乱数源201から出力される伝送系列(x0,x1,…,xNtot)に基づいて、位相変調(任意のインデックスiについて、xi=0ならば0、xi=1ならばπ)が施される。なお、Ntotは、伝送した光パルスの総数を表す。
レーザ光源200から出力された長さ(Ntot+1)の光パルス列は、位相変調器202に入力される。この光パルス列は、物理乱数源201から出力される伝送系列(x0,x1,…,xNtot)に基づいて、位相変調(任意のインデックスiについて、xi=0ならば0、xi=1ならばπ)が施される。なお、Ntotは、伝送した光パルスの総数を表す。
【0045】
位相変調された光パルス列は、光強度調整器203に入力され、その強度が平均光子数μAになるまで調整(減光)される。ここで、平均光子数μAは、通信路状態推定部324から入力されるタッピング率ηEに基づいて、鍵生成速度を最大化するように設定される。減光された光パルス列は、送信用光学系204に入力された後、見通し通信路4に入力される。
【0046】
さらに、伝送系列に対して、あるビットxiと1つ前のビットxi―1との排他的論理和を計算する差動排他的論理和処理を施すことで、生鍵系列(a1,…,aNtot)を生成する。この生鍵系列(a1,…,aNtot)は、鍵蒸留部21に入力される。
【0047】
【0048】
受信用光学系300は、見通し通信路4を介して、送信光学部20から光パルス列(光信号40)を受信する光学系である。例えば、受信用光学系300は、光を受光するための受信用望遠鏡、送信者系2と正規受信者系3との相対的な位置変化に追随して受信用望遠鏡の姿勢を変化させる粗追尾系、及び、大気揺らぎ42などにより生じるビーム位置の細かな変化を補正するための精追尾系で構成されている。
【0049】
1ビット遅延干渉計301は、受信用光学系300が受信した光パルス列について、光パルスを1ビット遅延させて干渉させるものである。
光子検出器302は、オン―オフ型の光子検出器であり、2つの光子検出器3020,3021で構成されている。なお、光子検出器3020をD0、光子検出器3021をD1と記載する場合がある。
光子検出器302は、オン―オフ型の光子検出器であり、2つの光子検出器3020,3021で構成されている。なお、光子検出器3020をD0、光子検出器3021をD1と記載する場合がある。
【0050】
以下、受信光学部30の動作について説明する。
受信用光学系300で受信した光パルス列は、差動位相変調方式で復調するために1ビット遅延干渉計301に入力される。1ビット遅延干渉計301から出力された光パルスは、出力されたポートに応じて2つの光子検出器3020,3021の何れかに入力される。具体的には、一つ前の光パルスとの相対位相が0である光パルスは光子検出器3020に、その相対位相がπである光パルスは光子検出器3021に入力される。
受信用光学系300で受信した光パルス列は、差動位相変調方式で復調するために1ビット遅延干渉計301に入力される。1ビット遅延干渉計301から出力された光パルスは、出力されたポートに応じて2つの光子検出器3020,3021の何れかに入力される。具体的には、一つ前の光パルスとの相対位相が0である光パルスは光子検出器3020に、その相対位相がπである光パルスは光子検出器3021に入力される。
【0051】
そして、各タイムスロットにおいて、オン状態になった光子検出器302の出力を時系列で並べることで、生鍵系列(b1,…,bNtot)を生成する。この生鍵系列(b1,…,bNtot)は、鍵蒸留部31に入力される。
【0052】
表1には、生鍵系列(b1,…,bNtot)の決定ルールを示した。表1に示すように、光子検出器3020のみがオン状態になった場合にはbi=0とし、光子検出器3021のみがオン状態になった場合にはbi=1とする。また、光子検出器3020,3021の両方ともオン状態になった場合、bi=0又はbi=1をランダムで決定する。また、光子検出器3020,3021の両方ともオフ状態になった場合、光子が散逸されたとして、検出失敗を表すシンボルを設定する(bi=×)。
【0053】
【表1】
【0054】
[鍵蒸留処理]
図5を参照し、鍵蒸留部21,31が実行する鍵蒸留処理について説明する。
図5に示すように、鍵蒸留処理は、認証付き公開通信路5を介して行う処理であり、シフティングS1と、量子ビット誤り率推定S2と、情報整合S3と、秘匿性増強S4という4つの処理からなる。
図5を参照し、鍵蒸留部21,31が実行する鍵蒸留処理について説明する。
図5に示すように、鍵蒸留処理は、認証付き公開通信路5を介して行う処理であり、シフティングS1と、量子ビット誤り率推定S2と、情報整合S3と、秘匿性増強S4という4つの処理からなる。
【0055】
<シフティング>
シフティングS1では、正規受信者系3の鍵蒸留部31が、光子受信に成功したインデックス情報を送信者系2に公開する。このインデックス情報は、bi≠×となるインデックスiを表す。
シフティングS1では、正規受信者系3の鍵蒸留部31が、光子受信に成功したインデックス情報を送信者系2に公開する。このインデックス情報は、bi≠×となるインデックスiを表す。
【0056】
送信者系2の鍵蒸留部21は、送信者系2の生鍵系列(a1,…,aNtot)から、鍵蒸留部21が公開したインデックス情報に対応するビットを抜き出して時系列順に並べることで、シフティングを経たビット系列、すなわちシフト鍵系列を構築する。つまり、鍵蒸留部21は、正規受信者系3が受信できていないビットを生鍵系列(a1,…,aNtot)から除去する。
鍵蒸留部31は、鍵蒸留部21と同様、正規受信者系3の生鍵系列(b1,…,bNtot)からシフト鍵系列を構築する。
鍵蒸留部31は、鍵蒸留部21と同様、正規受信者系3の生鍵系列(b1,…,bNtot)からシフト鍵系列を構築する。
【0057】
<量子ビット誤り率推定>
量子ビット誤り率推定S2では、正規受信者系3の鍵蒸留部31が、シフト鍵系列の各ビットに対して、確率ptestのベルヌーイサンプリングを実施する。そして、鍵蒸留部31は、そのサンプリング結果に基づいて、ビット列を抜き出すことで、正規受信者系3のテストビット系列を長さNtestで構成する。さらに、鍵蒸留部31は、そのテストビット系列と、そのシフト鍵系列中のインデックス情報とを送信者系2に公開する。
量子ビット誤り率推定S2では、正規受信者系3の鍵蒸留部31が、シフト鍵系列の各ビットに対して、確率ptestのベルヌーイサンプリングを実施する。そして、鍵蒸留部31は、そのサンプリング結果に基づいて、ビット列を抜き出すことで、正規受信者系3のテストビット系列を長さNtestで構成する。さらに、鍵蒸留部31は、そのテストビット系列と、そのシフト鍵系列中のインデックス情報とを送信者系2に公開する。
【0058】
送信者系2の鍵蒸留部21は、正規受信者系3が公開したインデックス情報に基づいて、送信者系2のシフト鍵系列からビットを抜き出すことで、送信者系2のテストビット系列を構成する。そして、鍵蒸留部21は、送信者系2と正規受信者系3とのテストビット系列を比較することで、量子ビット誤り率を推定する。なお、テストビット系列を抜き出した後のシフト鍵系列の長さをNsiftとする。また、送信者系2のシフト鍵系列が(a1,…,aNsift)となり、正規受信者系3のシフト鍵系列が(b1,…,bNsift)となる。
【0059】
<情報整合>
情報整合S3では、送信者系2の鍵蒸留部21が、推定した量子ビット誤り率に基づいて、誤り訂正に必要な誤り訂正情報を算出する。この誤り訂正情報の長さをNIRとする。そして、鍵蒸留部21が、この誤り訂正情報を既に共有している鍵を1回だけ使用して、すなわちワンタイムパッドで暗号化した後、正規受信者系3に公開する。なお、送信者系2の訂正鍵系列(a1,…,aNsift)は、シフト鍵系列と同一である。
情報整合S3では、送信者系2の鍵蒸留部21が、推定した量子ビット誤り率に基づいて、誤り訂正に必要な誤り訂正情報を算出する。この誤り訂正情報の長さをNIRとする。そして、鍵蒸留部21が、この誤り訂正情報を既に共有している鍵を1回だけ使用して、すなわちワンタイムパッドで暗号化した後、正規受信者系3に公開する。なお、送信者系2の訂正鍵系列(a1,…,aNsift)は、シフト鍵系列と同一である。
【0060】
正規受信者系3の鍵蒸留部31は、送信者系2が公開した誤り訂正情報を用いて、正規受信者系3のシフト鍵系列から、送信者系2のシフト鍵系列と非常に高い確率で一致する、訂正鍵系列(a´1,…,a´Nsift)を構成する。
【0061】
<秘匿性増強>
秘匿性増強S4では、正規受信者系3の通信路状態推定部324が、測定された見通し通信路4の大気ゆらぎに基づいて、タッピング率ηEを推定する。そして、通信路状態推定部324は、推定したタッピング率ηEを送信者系2に公開する。なお、タッピング率ηEの推定手法は、その詳細を後記する。
秘匿性増強S4では、正規受信者系3の通信路状態推定部324が、測定された見通し通信路4の大気ゆらぎに基づいて、タッピング率ηEを推定する。そして、通信路状態推定部324は、推定したタッピング率ηEを送信者系2に公開する。なお、タッピング率ηEの推定手法は、その詳細を後記する。
【0062】
送信者系2の鍵蒸留部21は、後記するように、正規受信者系3が公開したタッピング率ηEに基づいて、送信光学部20の乱数ビット系列から暗号鍵を生成するときの圧縮率を調整する。これと同様、正規受信者系3の鍵蒸留部31は、タッピング率ηEに基づいて、受信光学部30の乱数ビット系列から暗号鍵を生成するときの圧縮率を調整する。なお、暗号鍵の圧縮率とは、秘匿性増強S4において、訂正鍵系列から最終鍵系列を生成したときの系列サイズの比率を表す。
【0063】
図6を参照し、暗号鍵の圧縮率の調整について説明する。
この図6では、ドットで図示したスロット60~62が、正規受信者系3が受信に成功したスロット(生鍵系列)を表す。また、丸印を付したスロット60が、Nsift個のシフト鍵系列を表す。また、三角印を付したスロット61が、Ntest個のテストビット系列を表す。また、三角印及び四角印の両方を付したスロット62が、シフト鍵の直前に位置するテストビット(Nsif-tes個)を表す。また、星印を付したスロット63が、シフト鍵の直前に位置する受信に失敗したスロット(Ncand個)を表す。
この図6では、ドットで図示したスロット60~62が、正規受信者系3が受信に成功したスロット(生鍵系列)を表す。また、丸印を付したスロット60が、Nsift個のシフト鍵系列を表す。また、三角印を付したスロット61が、Ntest個のテストビット系列を表す。また、三角印及び四角印の両方を付したスロット62が、シフト鍵の直前に位置するテストビット(Nsif-tes個)を表す。また、星印を付したスロット63が、シフト鍵の直前に位置する受信に失敗したスロット(Ncand個)を表す。
【0064】
正規受信者系3の鍵蒸留部31は、テストビット系列の個数Ntestと、シフト鍵の直前に位置しているテストビット(スロット62)の個数Nsif-tesと、受信に失敗したスロットの内、その直後のスロットがシフト鍵系列として採用されたビット(スロット63)の個数Ncandとを送信者系2に公開する。
【0065】
送信者系2の鍵蒸留部21は、正規受信者系3より受信したNtest、Nsif-tes及びNcandの情報から、以下の各式を用いて、秘密鍵長Nfinを算出する。そして、鍵蒸留部21は、Nsift×Nfinのサイズで二次元の圧縮行列を生成し、正規受信者系3に送信する。さらに、鍵蒸留部21は、その圧縮行列を訂正鍵系列(a1,…,aNsift)に乗算することで、最終鍵(k1,…,kG)を生成する。これと同様、正規受信者系3の鍵蒸留部31は、その圧縮行列を訂正鍵系列(a´1,…,a´Nsift)に乗算することで、最終鍵(k´1,…,k´G)を生成する。
【0066】
以上の鍵蒸留処理により生成される最終鍵の長さGは、以下の式(5)で表される。この式(5)の右辺のうち、誤り訂正情報の長さNIRは、情報整合S3で採用した誤り訂正技術に依存して定まる。また、最終鍵長Nfinは、以下の式(6)で表される。
【0067】
【数5】
【数6】
【0068】
ここで、関数h2(p)は、二次元エントロピーと呼ばれ、以下の式(7)によって定義される。また、kphは、以下の式(8)と式(9)の何れかを満足するNL
rec以下の正の整数である。また、関数DKL(p||q)は、Kullback-Leibler情報量と呼ばれ、以下の式(10)で定義される。任意に与えられたパラメータε,sに対して、このプロトコルは、{2(ε-2-s)}1/2-安全となる。
【0069】
【数7】
【0070】
pph(μ)は、位相誤り率と呼ばれる盗聴者Eへの漏洩情報量に関係するものであり、以下の式(11)で表される。
【0071】
【数8】
【0072】
NL
recは、量子ビット誤り率推定S2で公開されるテストビット系列に関係するビットを除外したビット系列の長さであり、以下の式(12)で表される。ここで、ktestは、以下の式(13)と式(14)の何れかを満足するNcand以下の正の整数である(なお、Ncand及びptestの定義は前記したとおりである)。
【0073】
【数9】
【0074】
[通信路状態モニタリング部の構成]
図7を参照し、通信路状態モニタリング部22,32の構成について説明する。なお、図7は、図2の暗号鍵共有システム1のうち、通信路状態モニタリング部22,32に関連する構成を抜き出したものである。
図7に示すように、送信者系2の通信路状態モニタリング部22は、プローブ光照射部220と、受信強度測定部221と、DIMM部222と、気象センサ223とを備える。
図7を参照し、通信路状態モニタリング部22,32の構成について説明する。なお、図7は、図2の暗号鍵共有システム1のうち、通信路状態モニタリング部22,32に関連する構成を抜き出したものである。
図7に示すように、送信者系2の通信路状態モニタリング部22は、プローブ光照射部220と、受信強度測定部221と、DIMM部222と、気象センサ223とを備える。
【0075】
正規受信者系3の通信路状態モニタリング部32は、プローブ光照射部320と、受信強度測定部321と、DIMM部322と、気象センサ323と、通信路状態推定部324と、記憶部325とを備える。なお、通信路状態モニタリング部32については、通信路状態モニタリング部22と異なる点を中心に説明する。
【0076】
プローブ光照射部220,320は、見通し通信路4を介して、プローブ光41を照射するレーザビーム光源である。本実施形態では、送信者系2のプローブ光照射部220は、送信用光学系204と同軸又は非常に近い位置から、正規受信者系3に向けてプローブ光41Aを照射する。また、正規受信者系3のプローブ光照射部320は、受信用光学系300と同軸又は非常に近い位置から、送信者系2に向けてプローブ光41Bを照射する。このとき、プローブ光照射部220,320は、光信号40に対して、プローブ光41の波長及び偏光方向を異なるものとし、光信号40とプローブ光41との混信を防止することが好ましい。
【0077】
受信強度測定部221,321は、見通し通信路4を介して、プローブ光41を受信し、見通し通信路4の状態(大気ゆらぎ42)として、プローブ光41からシンチレーションインデックスとビーム捕捉エラーとを測定するものである。本実施形態では、送信者系2の受信強度測定部221は、正規受信者系3のプローブ光照射部320が照射したプローブ光41Bから、シンチレーションインデックス及びビーム捕捉エラーを測定する。また、正規受信者系3の受信強度測定部321は、送信者系2のプローブ光照射部220が照射したプローブ光41Aから、シンチレーションインデックス及びビーム捕捉エラーを測定する。
【0078】
DIMM部222,322は、見通し通信路4の状態(大気ゆらぎ42)として、見通し通信路4に存在する大気の屈折率に関するFriedパラメータを測定するものである。なお、DIMMとは、Differential Image Motion Monitorの略称である。このDIMM部222,322は、離れた位置の開口を通過したプローブ光41がカメラセンサ上に形成した像の相対的な重心揺らぎを測定する。本実施形態では、DIMM部222が送信者系2側のFriedパラメータを測定し、DIMM部322が正規受信者系3側のFriedパラメータを測定する。
【0079】
気象センサ223,323は、見通し通信路の状態として、大気の風圧、湿度、気温、気圧などを測定するものである。また、気象センサ223が送信者系2側の気象パラメータを測定し、気象センサ323が正規受信者系3側の気象パラメータを測定する。
【0080】
なお、送信者系2の通信路状態モニタリング部22は、認証付き公開通信路5を介して、送信者側の見通し通信路の状態を正規受信者系3の通信路状態推定部324に送信する。
【0081】
通信路状態推定部324は、通信路状態モニタリング部22,32が測定した大気ゆらぎに基づいて、見通し通信路4の外部に漏れた漏洩光の強度(タッピング率ηE)を推定するものである(なお、衛星など送信側が宇宙空間にある場合には、この限りではない)。ここで、通信路状態推定部324は、タッピング率ηEを推定する際、記憶部325の履歴データを参照してもよい。
記憶部325は、見通し通信路4の状態の履歴データを記憶するメモリ、HDD(Hard Disk Drive)などの記憶装置である。
記憶部325は、見通し通信路4の状態の履歴データを記憶するメモリ、HDD(Hard Disk Drive)などの記憶装置である。
【0082】
以下、タッピングηEの推定手法の一例を説明する。
大気が十分に安定している場合(例えば、シチレーションインデックスが10-2以下の場合)、見通し通信路4の外部への光の漏洩の寄与が小さく、見通し通信路4の監視に用いる機器の精度も高くなるので、見通し通信路4の盗聴可能性が低いと考えられる。このような場合、通信路状態推定部324は、タッピング率ηEを低い設定値(例えば、10-6)で推定する。
大気が十分に安定している場合(例えば、シチレーションインデックスが10-2以下の場合)、見通し通信路4の外部への光の漏洩の寄与が小さく、見通し通信路4の監視に用いる機器の精度も高くなるので、見通し通信路4の盗聴可能性が低いと考えられる。このような場合、通信路状態推定部324は、タッピング率ηEを低い設定値(例えば、10-6)で推定する。
【0083】
大気が不安定な場合(例えば、シンチレーションインデックスが10-1以上の場合)、見通し通信路4の外部への光の漏洩の寄与が大きく、見通し通信路4の監視に用いる機器の精度も低くなるので、見通し通信路4の盗聴可能性が高いと考えられる。さらに、見通し通信路4の外部に漏れた光子が、全て盗聴されるという最悪なケースも考えられる。このような場合、通信路状態推定部324は、タッピング率ηEを高い設定値(例えば、1-(送信者-正規受信者間の損失率))で推定する。
【0084】
なお、本実施形態では、送信者系2及び正規受信者系3の両方でシンチレーションインデックスを測定している。そこで、見通し通信路4の送信者系2側について、送信者系2で測定したシンチレーションインデックスを適用し、見通し通信路4の正規受信者系3側について、正規受信者系3で測定したシンチレーションインデックスを適用してもよい。また、送信者系2及び正規受信者系3のシンチレーションインデックスから統計値(例えば、平均値)を求め、その統計値を利用してもよい。
また、タッピング率ηEを推定する際、シンチレーションインデックス以外の指標(ビーム捕捉エラー、Friedパラメータ、大気の風圧など)も利用してもよい。
また、タッピング率ηEを推定する際、シンチレーションインデックス以外の指標(ビーム捕捉エラー、Friedパラメータ、大気の風圧など)も利用してもよい。
【0085】
[作用・効果]
以上のように、実施形態に係る暗号鍵共有システム1は、差動位相変調量子鍵配送を見通し通信路4に適用すると共に、光信号の強度を適切な値に設定できるので、鍵生成速度及び伝送距離を向上させることできる。さらに、暗号鍵共有システム1は、見通し通信路4の想定範囲内で盗聴行為に一切の制限を設けることなく、汎用的結合可能性を満足する暗号鍵を生成できるので、盗聴者の能力が向上した場合でも情報理論的に安全な暗号鍵を共有できる。
以上のように、実施形態に係る暗号鍵共有システム1は、差動位相変調量子鍵配送を見通し通信路4に適用すると共に、光信号の強度を適切な値に設定できるので、鍵生成速度及び伝送距離を向上させることできる。さらに、暗号鍵共有システム1は、見通し通信路4の想定範囲内で盗聴行為に一切の制限を設けることなく、汎用的結合可能性を満足する暗号鍵を生成できるので、盗聴者の能力が向上した場合でも情報理論的に安全な暗号鍵を共有できる。
【0086】
すなわち、暗号鍵共有システム1は、自由空間における見通し通信路4に、差動位相変調方式にもとづく量子鍵配送方式を適用することによって、光信号に対する物理的な制約を緩和しても、安全な暗号鍵を効率的に生成できる。さらに、暗号鍵共有システム1は、見通し通信路4の状態を観測して、その測定結果に応じて、送出する光信号の強度や暗号鍵の圧縮率を適応的に調整することによって、見通し通信路4の状態の変化にかかわらず、安全な暗号鍵を生成するとともに、暗号鍵の生成量を最大にできる。
【0087】
また、暗号鍵共有システム1は、低軌道衛星-地上局間において、量子技術を駆使した高度な盗聴行為によっても破られることのない、情報理論的に安全な暗号鍵を、効率的に共有できる。さらに、暗号鍵共有システム1は、高高度の静止軌道衛星-地上局間において、非常な遠距離であるにも関わらず、量子技術を駆使した高度な盗聴行為によっても破られることのない、情報理論的に安全な暗号鍵の共有を実現できる。これにより、暗号鍵共有システム1は、情報理論的に安全な情報通信ネットワークを全地球的な規模に拡張できる。
【0088】
(変形例)
以上、実施形態を詳述してきたが、本発明は前記した実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
以上、実施形態を詳述してきたが、本発明は前記した実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
【0089】
前記した実施形態では、光強度調整器が、通信路状態推定部が推定したタッピング率ηEに基づいて、光信号の強度を調整することとして説明したが、これに限定されない。例えば、暗号鍵共有システムの管理者が、光信号の強度を予め設定してもよい。
【実施例0090】
実施例として、実施形態に係る暗号鍵共有システムの効果を示すために、従来の物理レイヤ暗号及び量子鍵配送との性能比較の結果について説明する。
【0091】
一般的に、各鍵共有技術の性能は、伝送した光パルスの総数Ntotに対する鍵の長さGの比で定義される鍵生成レートで評価できる。図8では、暗号鍵共有システムの鍵生成レートを実線で図示し、従来の物理レイヤ暗号の鍵生成レートを破線で図示し、従来の量子鍵配送の鍵生成レートを一点鎖線で図示した。
【0092】
図8では、漸近長と呼ばれる、光パルスの総数Ntotを無限大に設定できる理想的な環境において、各鍵共有技術の鍵生成レートを、送信者と正規受信者との間の損失に対して算出している。ここで、光パルスの繰返レートを1GHz、検出器の暗計数率を1kHz、誤り訂正符号のシャノン限界からの効率を1.1としている。また、見通し通信路が透過率(1-ηB)のビームスプリッタでモデル化できる線形損失通信路モデルを考えている。送信者と正規受信者との間の透過率は、(1-ηE)(1-ηB)で表される。なお、ηBは、見通し通信路の損失を表す。
【0093】
物理レイヤ暗号の変調方式及び通信路モデルとして、暗号鍵共有システムと同様のものを想定している。暗号鍵共有システムと物理レイヤ暗号の鍵生成レートの比較は、大(符号92L)、中(符号92M)、小(符号92S)と、3種類のタッピング率ηEについて行っている。それぞれの場合において、光パルスの平均光子数μAを数値的に最適化している。
【0094】
図8に示すように、従来の量子鍵配送の鍵生成レート(一点鎖線)は、3つの鍵共有技術の中でも最も低く、送信者と正規受信者との間の損失が50dBを超えると、急激に減少する。この損失値は、低軌道衛星-地上間光通信のリンクバジェットαと同等であるため、中軌道以遠の衛星と地上局の通信を行うためには、必然的に物理レイヤ暗号を使わざるを得ない。
【0095】
暗号鍵共有システムの鍵生成レート(実線)は、従来の量子鍵配送と同様、送信者と正規受信者との間の損失が小さくなると、急激に減少する。しかし、盗聴者のタッピング率ηEが小さくなるにつれて、より大きな損失でも鍵生成が可能になる。暗号鍵共有システムでは、タッピング率ηEが十分に小さい場合、静止軌道衛星-地上間光通信のリンクバジェットβに相当する損失でも、鍵を生成できる。そのため、暗号鍵共有システムでは、タッピング率ηEをある程度の確度で推定できる状況下では、従来の量子鍵配送では困難な、グローバル規模の安全な通信ネットワークを実現できる。
【0096】
等しいタッピング率で比較した場合、従来の物理レイヤ暗号(破線)の鍵生成レートは、暗号鍵共有システムに対して常にある一定の割合で上回っており、送信者と正規受信者との間の損失が大きくなっても、急激に減少しない。そのため、物理レイヤ暗号は、見通し通信量子鍵配送よりも高速又は遠距離通信に適している。ただし、盗聴者が量子力学的な技術を応用した盗聴方法を用いることが懸念される場合、安全性の観点から見通し通信量子鍵配送に基づいた暗号鍵共有システムを使わざるを得ない。
【0097】
装置実装の観点からは、光パルスの総数Ntotが有限長さである場合においても、漸近長における理論限界に近い性能が達成されることが好ましい。そこで、図9には、光パルスの総数Ntotを有限長さに設定した環境において、暗号鍵共有システムの鍵生成レートを図示した。
【0098】
図9に示すように、各タッピング率(符号92L,92M,92S)において、光パルスの総数Ntotが109個のとき、漸近長に非常に近い性能であることが分かる。伝送レートが1GHzのとき、この光パルスの総数Ntotの値が1秒分に相当しており、静止軌道衛星だけでなく、地球を比較的に高速度で公転する低軌道衛星と地上間光通信の限られた通信時間ウィンドウにおいても、十分な量の鍵を蓄積できることを意味している。また、鍵蒸留処理における計算機への負担も考慮される必要があるが、通信路における光子の散逸を考慮すると、現在実用レベルにある鍵蒸留処理のハードウェアでも十分処理できるほどの量のシフト鍵しか残らないと考えられる。そのため、現在の技術水準にあるハードウェアにより実現できる。
【符号の説明】
【0099】
1 暗号鍵共有システム
2 送信者系(差動位相変調量子鍵送信装置)
3 正規受信者系(差動位相変調量子鍵受信装置)
4 見通し通信路
5 認証付き公開通信路
20 送信光学部
21 鍵蒸留部(第1鍵蒸留部)
22 通信路状態モニタリング部(第1通信路状態モニタリング部)
30 受信光学部
31 鍵蒸留部(第2鍵蒸留部)
32 通信路状態モニタリング部(第2通信路状態モニタリング部)
324 通信路状態推定部
2 送信者系(差動位相変調量子鍵送信装置)
3 正規受信者系(差動位相変調量子鍵受信装置)
4 見通し通信路
5 認証付き公開通信路
20 送信光学部
21 鍵蒸留部(第1鍵蒸留部)
22 通信路状態モニタリング部(第1通信路状態モニタリング部)
30 受信光学部
31 鍵蒸留部(第2鍵蒸留部)
32 通信路状態モニタリング部(第2通信路状態モニタリング部)
324 通信路状態推定部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】