知財求人 - 知財ポータルサイト「IP Force」
▶ 独立行政法人情報通信研究機構の特許一覧 ▶ 株式会社シグリードの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024137410
(43)【公開日】2024-10-07
(54)【発明の名称】通信ネットワークの制御装置
(51)【国際特許分類】
H04L 9/12 20060101AFI20240927BHJP
G09C 1/00 20060101ALI20240927BHJP
【FI】
H04L9/12
G09C1/00 650Z
【審査請求】未請求
【請求項の数】6
【出願形態】OL
(21)【出願番号】P 2023048931
(22)【出願日】2023-03-24
【国等の委託研究の成果に係る記載事項】(出願人による申告)令和4年度 総務省、情報通信技術の研究開発「グローバル量子暗号通信網構築のための研究開発」に係る委託研究、産業技術力強化法第17条の適用を受ける特許出願
(71)【出願人】
【識別番号】301022471
【氏名又は名称】国立研究開発法人情報通信研究機構
(71)【出願人】
【識別番号】509241085
【氏名又は名称】株式会社シグリード
(74)【代理人】
【識別番号】100099623
【弁理士】
【氏名又は名称】奥山 尚一
(74)【代理人】
【識別番号】100125380
【弁理士】
【氏名又は名称】中村 綾子
(74)【代理人】
【識別番号】100142996
【弁理士】
【氏名又は名称】森本 聡二
(74)【代理人】
【識別番号】100166268
【弁理士】
【氏名又は名称】田中 祐
(72)【発明者】
【氏名】佐々木 雅英
(72)【発明者】
【氏名】江角 淳
(72)【発明者】
【氏名】李 凱
(57)【要約】
【課題】秘密情報のリレー伝送において盗聴の難易度を高める。
【解決手段】複数のノードと2つの前記ノードを接続するリンクとを有する通信ネットワークの制御装置100は、ソースノードとターミナルノードと前記ソースノードと前記ターミナルノードとを複数の中継ノードを介して接続する複数の経路とを設定する経路設定部110と、前記ソースノードに対し、秘密情報を秘密分散により得られる複数の秘密分散データを前記複数の経路でそれぞれ送るよう指示する送信指示部120と、各経路内の或るリンクと別のリンクとにおいて異なる乱数により前記秘密分散データがマスキングされて送られるように、かつ、前記複数の秘密分散データがターミナルノードにおいて結合されるとマスキングが数学的にキャンセルされるように、前記中継ノードに対しマスキングと乱数の送信とを指示するマスキング指示部130とを備える。
【選択図】図19
【解決手段】複数のノードと2つの前記ノードを接続するリンクとを有する通信ネットワークの制御装置100は、ソースノードとターミナルノードと前記ソースノードと前記ターミナルノードとを複数の中継ノードを介して接続する複数の経路とを設定する経路設定部110と、前記ソースノードに対し、秘密情報を秘密分散により得られる複数の秘密分散データを前記複数の経路でそれぞれ送るよう指示する送信指示部120と、各経路内の或るリンクと別のリンクとにおいて異なる乱数により前記秘密分散データがマスキングされて送られるように、かつ、前記複数の秘密分散データがターミナルノードにおいて結合されるとマスキングが数学的にキャンセルされるように、前記中継ノードに対しマスキングと乱数の送信とを指示するマスキング指示部130とを備える。
【選択図】図19
【特許請求の範囲】
【請求項1】
複数のノードと2つの前記ノードを接続するリンクとを有する通信ネットワークの制御装置であって、
前記通信ネットワークにおいて、秘密情報の送信元であるソースノードと、前記秘密情報の宛先であるターミナルノードと、前記ソースノードと前記ターミナルノードとを複数の中継ノードを介して接続する複数の経路とを設定する経路設定部と、
前記ソースノードに対し、前記秘密情報を秘密分散することにより得られる複数の秘密分散データを前記複数の経路でそれぞれ送るよう指示する送信指示部と、
各経路内の或るリンクと別のリンクとにおいて異なる乱数により前記秘密分散データがマスキングされて送られるように、かつ、前記マスキングがなされた前記複数の秘密分散データが前記ターミナルノードにおいて結合されると前記マスキングが数学的にキャンセルされて前記秘密情報が復元されるように、前記中継ノードに対し、前記乱数による前記秘密分散データのマスキングと、当該中継ノードと異なる前記経路に属する中継ノードへの前記乱数の送信とを指示するマスキング指示部と
を備える、通信ネットワークの制御装置。
前記通信ネットワークにおいて、秘密情報の送信元であるソースノードと、前記秘密情報の宛先であるターミナルノードと、前記ソースノードと前記ターミナルノードとを複数の中継ノードを介して接続する複数の経路とを設定する経路設定部と、
前記ソースノードに対し、前記秘密情報を秘密分散することにより得られる複数の秘密分散データを前記複数の経路でそれぞれ送るよう指示する送信指示部と、
各経路内の或るリンクと別のリンクとにおいて異なる乱数により前記秘密分散データがマスキングされて送られるように、かつ、前記マスキングがなされた前記複数の秘密分散データが前記ターミナルノードにおいて結合されると前記マスキングが数学的にキャンセルされて前記秘密情報が復元されるように、前記中継ノードに対し、前記乱数による前記秘密分散データのマスキングと、当該中継ノードと異なる前記経路に属する中継ノードへの前記乱数の送信とを指示するマスキング指示部と
を備える、通信ネットワークの制御装置。
【請求項2】
前記ターミナルノードに対し、前記複数の経路を通じて送られた前記複数の秘密分散データを結合し前記秘密情報を復元するよう指示する復元指示部をさらに備える請求項1に記載の通信ネットワークの制御装置。
【請求項3】
前記乱数がガロア体GF(qx)上の元であり、qは素数であり、xは正整数である、請求項1又は2に記載の通信ネットワークの制御装置。
【請求項4】
前記マスキング指示部は、前記ターミナルノードでの、前記マスキングがなされた前記複数の秘密分散データの結合において、前記乱数の四則演算によりマスキングがキャンセルされるように、マスキングの指示を行う、請求項3に記載の通信ネットワークの制御装置。
【請求項5】
前記通信ネットワークの各リンクにおいて暗号化が行われるように前記ソースノードと前記ターミナルノードと前記中継ノードとに指示を行う暗号化指示部をさらに備える請求項1又は2に記載の通信ネットワークの制御装置。
【請求項6】
請求項1又は2に記載の制御装置と、
前記複数のノードと、
2つの前記ノードを接続する前記リンクと
を有する通信ネットワークシステム。
前記複数のノードと、
2つの前記ノードを接続する前記リンクと
を有する通信ネットワークシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信ネットワークの制御装置に関する。
【背景技術】
【0002】
離れて位置する送信者と受信者が情報理論的に安全な方法で秘密の情報を共有するための方法として、古くからバーナム暗号が知られている。バーナム暗号によれば、送信者と受信者が当該の秘密情報と同じサイズの乱数列を予め共有し、当該乱数列を唯の1回に限って使用(ワンタイムパッド(One Time Pad(OTP))での使用)して前記秘密情報が暗号化される。この暗号化による暗号文をデータ伝送することによって、秘密の情報を二者が安全に共有することができる。このとき第三者は暗号文から前記秘密情報に関する情報を取得することは困難である。
【0003】
バーナム暗号では秘密の乱数列を予め共有しておく必要があるが、通常のデータ伝送技術を用いている限り情報理論的に安全な方法でこれを実行することは困難である。しかし、量子鍵配送などの物理学の法則に基づく鍵共有の方法を用いれば、距離に限界があるとはいえ、離れた送信者と受信者の間でバーナム暗号に使用可能な秘密の乱数列(すなわち鍵)を共有できる。
【0004】
このようにして、近年、量子鍵配送による秘密の乱数列の共有と、OTPによるバーナム暗号化データの伝送とを組み合わせることによって、秘密情報を情報理論的に安全に共有することが実際に行われている。
【0005】
ところが、上記の方法には距離の制限がある。これは量子鍵配送が可能な距離には物理的な限界があるためである。この限界は、量子状態にある光信号が光ファイバー中を伝搬中に被る散逸に起因する。通信波長帯では100km程度が限界である。
【0006】
そこで、秘密情報を共有できる距離を拡大するために、リレー伝送の方法が用いられている。図1に通信ネットワークNW1として示すように、送信者がいる始点(ソースノードSN)と受信者がいる終点(ターミナルノードTN)との間を、信頼できる複数の中継ノードN1~N4を経由して一本のデータ伝送用のリレー経路で結ぶ。前提として、中継ノードN1~N4は、信頼できる中継点すなわちトラステッドノードである。このリレー経路は、隣接する2つのノード間を接続する伝送リンクを5つ有する。すなわち、ソースノードSNと第1中継ノードN1とを接続する第1伝送リンクと、第1中継ノードN1と第2中継ノードN2とを接続する第2伝送リンクと、第2中継ノードN2と第3中継ノードN3とを接続する第3伝送リンクと、第3中継ノードN3と第4中継ノードN4とを接続する第4伝送リンクと、第4中継ノードN4とターミナルノードTNとを接続する第5伝送リンクとである。各伝送リンクの長さは、量子鍵配送が可能な長さである。
【0007】
各伝送リンクにより接続される2つのノードは、量子鍵配送を行うことによって、当該伝送リンクに固有の秘密乱数列を共有する。このようにして、リレー経路上の全ての伝送リンクにおいて秘密乱数列が準備される。
ソースノードSNは、秘密情報Kを第1伝送リンクの秘密乱数列k1を用いてOTPで秘匿化し、秘匿化されたデータ
を第1中継ノードN1に送る。
ソースノードSNは、秘密情報Kを第1伝送リンクの秘密乱数列k1を用いてOTPで秘匿化し、秘匿化されたデータ
【数1】
【0008】
第1中継ノードN1は、まず秘密乱数列k1を用いて、
から秘密情報Kを復号し、次に第2伝送リンクの秘密乱数列k2を用いて秘密情報KをOTPで再び秘匿化し、秘匿化されたデータ
を第2中継ノードN2にデータ伝送する。以下、順を追って中継ノード毎に復号及びOTP秘匿化が繰り返されることによって、ターミナルノードTにて秘密情報Kが復号される。このように、リレー経路上の全ての伝送リンクの各々を上記の物理乱数列のワンタイムパッドでの利用によって秘匿化した上で、ソースノードSNからターミナルノードTNまで秘密情報Kがリレー伝送される。
【数2】
【数3】
【0009】
各伝送リンクは、バーナム暗号に基づいて秘匿化されているため盗聴者に対して安全である。また、各伝送リンクにおいて送られる秘密分散データは、中継ノードに到着する度に完全に復号される一方、中継ノードはいずれも、局舎によって隔離されて信頼性が担保されたトラステッドノードである。以上から、秘密情報Kが不正に漏洩することはないとされる。
【0010】
しかし、中継ノードが盗聴によって危殆化してしまう可能性は皆無ではない。例えば、中継ノードの局舎が予期せぬ災害や障害等で一部のセキュリティ機能が棄損する確率はゼロではない。また、ネットワークが広域化し中継ノードの数が増えるに従い、すべての中継ノードを理想的なトラステッドノードとして運用することは実質的に困難になってくる。
【0011】
特に、ソースノードとターミナルノードを結ぶリレー経路が1本しかない場合には、盗聴者はリレー経路上にある任意の1つの中間ノードを偶々危殆化させるだけで秘密情報Kを取得できるという安全上の弱点がある。
【0012】
このような弱点を解消するために、複数のリレー経路を使用して秘密情報Kのリレー伝送を行う分散化リレー伝送の方法が特許文献1に記載されている。図2に示すように、分散化リレー伝送が行われる通信ネットワークNW2では、ソースノードSNとターミナルノードTNとの間にm本のリレー経路が設定される。各リレー経路にはn個の中継ノードが設けられる。図2の例では、m=7であり、n=7である。
【0013】
第1リレー経路は第1中継ノードN11~第7中継ノードN17を有し、第2リレー経路は第1中継ノードN21~第7中継ノードN27を有し、第3リレー経路は第1中継ノードN31~第7中継ノードN37を有し、第4リレー経路は第1中継ノードN41~第7中継ノードN47を有し、第5リレー経路は第1中継ノードN51~第7中継ノードN57を有し、第6リレー経路は第1中継ノードN61~第7中継ノードN67を有し、第7リレー経路は第1中継ノードN71~第7中継ノードN77を有する。通信ネットワークNW2内の各リレー経路において隣接する2つのノードを接続する伝送リンクの長さは、通信ネットワークNW1の場合と同様に、量子鍵配送が可能な長さである。
【0014】
ソースノードSNは、まず秘密情報Kと同じサイズをもつ(m-1)個の乱数u1、u2、u3、…、um-1を生成する。次にソースノードSNは、秘密情報Kと生成された全ての乱数との排他的論理和
を計算する。このようにして秘密情報Kは、m個の秘密分散データ(K1、K2=u1、K3=u2、…、及びKm=um-1)に秘密分散される。ソースノードSNは、m個の秘密分散データをm本のリレー経路にそれぞれ割り当てる。それぞれの秘密分散データは、リレー経路上でOTP秘匿化及び復号が繰り返されながら、ターミナルノードTNに送られる。ターミナルノードTNは、各リレー経路から受信したデータを復号して得られたm個の秘密分散データK1~Kmの排他的論理和を計算することにより秘密情報Kを復号する。
【数4】
【0015】
通信ネットワークNW2において、盗聴者はm本のリレー経路のそれぞれについていずれかの中間ノードを攻撃してm個の秘密分散データを取得しない限り、秘密情報Kを復号することはできない。このように、分散化リレー伝送では、リレー経路の本数を増やすことによって、盗聴者による攻撃の難易度を高め、システムの安全性を向上させている。
【先行技術文献】
【特許文献】
【0016】
【特許文献1】特表2018-502514号公報
【発明の概要】
【発明が解決しようとする課題】
【0017】
従来の分散化リレー伝送においては、任意の1つの中継ノードが盗聴しようとする者の攻撃により危殆化してしまうと、当該中継ノードを有するリレー経路の全体が危殆化してしまうという問題がある。
【0018】
本発明は、このような状況に鑑みてなされたものであって、秘密情報のリレー伝送において盗聴の難易度を高めることを目的とする。
【課題を解決するための手段】
【0019】
本発明の一実施形態によれば、複数のノードと2つの前記ノードを接続するリンクとを有する通信ネットワークの制御装置が提供される。この制御装置は、前記通信ネットワークにおいて、秘密情報の送信元であるソースノードと、前記秘密情報の宛先であるターミナルノードと、前記ソースノードと前記ターミナルノードとを複数の中継ノードを介して接続する複数の経路とを設定する経路設定部と、前記ソースノードに対し、前記秘密情報を秘密分散することにより得られる複数の秘密分散データを前記複数の経路でそれぞれ送るよう指示する送信指示部と、各経路内の或るリンクと別のリンクとにおいて異なる乱数により前記秘密分散データがマスキングされて送られるように、かつ、前記マスキングがなされた前記複数の秘密分散データが前記ターミナルノードにおいて結合されると前記マスキングが数学的にキャンセルされて前記秘密情報が復元されるように、前記中継ノードに対し、前記乱数による前記秘密分散データのマスキングと、当該中継ノードと異なる前記経路に属する中継ノードへの前記乱数の送信とを指示するマスキング指示部とを備える。
【発明の効果】
【0020】
本発明によれば、秘密情報のリレー伝送において盗聴の難易度を高めることができる。
【図面の簡単な説明】
【0021】
【図1】通信ネットワークの一例を示す説明図である。
【図2】通信ネットワークの別の例を示す説明図である。
【図3】攻撃ポイントの具体例を示す説明図である。
【図4】第1実施形態の概要を示す説明図である。
【図5】第1実施形態の例を示す説明図である。
【図6】第1実施形態の別の例を示す説明図である。
【図7】第1実施形態の効果を示す表である。
【図8A】攻撃ポイントの具体例を示す説明図である。
【図8B】攻撃ポイントの具体例を示す説明図である。
【図8C】攻撃ポイントの具体例を示す説明図である。
【図8D】攻撃ポイントの具体例を示す説明図である。
【図9A】攻撃ポイントの具体例を示す説明図である。
【図9B】攻撃ポイントの具体例を示す説明図である。
【図9C】攻撃ポイントの具体例を示す説明図である。
【図9D】攻撃ポイントの具体例を示す説明図である。
【図10】第2実施形態を示す説明図である。
【図11】第3実施形態を示す説明図である。
【図12A】攻撃ポイントの具体例を示す説明図である。
【図12B】攻撃ポイントの具体例を示す説明図である。
【図12C】攻撃ポイントの具体例を示す説明図である。
【図12D】攻撃ポイントの具体例を示す説明図である。
【図12E】攻撃ポイントの具体例を示す説明図である。
【図13】第4実施形態を示す説明図である。
【図14】第5実施形態を示す説明図である。
【図15】第5実施形態を示す説明図である。
【図16】第5実施形態の効果を示す表である。
【図17】攻撃ポイントの具体例を示す説明図である。
【図18】第6実施形態を示す説明図である。
【図19】通信ネットワークの制御装置のブロック図である。
【図20】ガロア体(51)における計算例を示す説明図である。
【図21】ガロア体(51)における別の計算例を示す説明図である。
【図22】制御装置のコンピュータハードウェア構成例を示す説明図である。
【発明を実施するための形態】
【0022】
以下、本発明を図示の実施の形態に基づいて説明する。ただし、本発明は、以下に説明する実施の形態によって限定されるものではない。
【0023】
まず、本発明の発明者は、従来の分散化リレー伝送について以下に述べるとおり鋭意検討を行った。
【0024】
図3に再び通信ネットワークNW2を示す。例えば、第1リレー経路において中継ノードN14が危殆化し、第2リレー経路において中継ノードN26が危殆化し、第3リレー経路において中継ノードN35が危殆化し、第4リレー経路において中継ノードN42が危殆化し、第5リレー経路において中継ノードN54が危殆化し、第6リレー経路において中継ノードN61が危殆化し、第7リレー経路において中継ノードN76が危殆化したとする。この場合、秘密分散データK1~K7が漏洩し、結果的に秘密情報Kが漏洩する。
【0025】
このように通信ネットワークNW2においては、各リレー経路において偶々危殆化されたに過ぎない中継ノードN14、N26、N35、N42、N54、N61及びN76の組み合わせにより、秘密情報Kが漏洩してしまうという問題がある。
【0026】
例えば、m本のリレー経路の各々にn個の中継ノードが設置されていた場合、盗聴者による攻撃ポイントの可能な組み合わせの総数はnmと大きな数になる。盗聴者はnm通りの組み合わせの中からどの組み合わせを選んでも、その組み合わせに係る中継ノードを危殆化させることで秘密情報Kを取得できる。このように、通信ネットワークの正規のユーザや運用者にとって、盗聴の難易度がさらに高まることが望ましい。
【0027】
そこで、盗聴者が各リレー経路に設置された複数の中継ノードの一つを任意に攻撃対象として選び危殆化させただけでは、秘密情報を取得しにくいような実施形態を以下に説明する。
【0028】
<第1実施形態>
図4に通信ネットワークNW11を示す。この通信ネットワークNW11は、通信ネットワークNW2と同様に、ソースノードSNとターミナルノードTNとを結ぶ7本のリレー経路(第1リレー経路~第7リレー経路)を有し、各リレー経路には7個の中継ノードが設けられている。この通信ネットワークにおいては、盗聴者が第1リレー経路において第3中継ノードN13を攻撃ポイントとして選んだ場合には、他の全てのリレー経路においても第3中継ノードN23、N33、N43、N53、N63及びN73を攻撃ポイントとして選ばない限り、盗聴者は秘密情報を取得できないようになっている。つまり、従来技術とは異なり、盗聴者が選んだ攻撃ポイントの組み合わせが特定の組み合わせに合致しない限り、秘密情報の漏洩は生じない。これにより、盗聴の難易度を大幅に高めることができる。
図4に通信ネットワークNW11を示す。この通信ネットワークNW11は、通信ネットワークNW2と同様に、ソースノードSNとターミナルノードTNとを結ぶ7本のリレー経路(第1リレー経路~第7リレー経路)を有し、各リレー経路には7個の中継ノードが設けられている。この通信ネットワークにおいては、盗聴者が第1リレー経路において第3中継ノードN13を攻撃ポイントとして選んだ場合には、他の全てのリレー経路においても第3中継ノードN23、N33、N43、N53、N63及びN73を攻撃ポイントとして選ばない限り、盗聴者は秘密情報を取得できないようになっている。つまり、従来技術とは異なり、盗聴者が選んだ攻撃ポイントの組み合わせが特定の組み合わせに合致しない限り、秘密情報の漏洩は生じない。これにより、盗聴の難易度を大幅に高めることができる。
【0029】
図4に示すように、ソースノードSNは、秘密情報Kを秘密分散データK1~K7へ秘密分散する。7個の秘密分散データは7本のリレー経路を通じてそれぞれソースノードSNからターミナルノードTNへ送られる。その際、秘密分散データは中継ノードによる中継の度に乱数によるマスク(暗号化)が行われる。
【0030】
具体的には、中継ノードN11は、中継ノードN12に対し、秘密分散データK1をそのまま送るのではなく、秘密分散データK1に乱数によるマスクが施されてなる秘密分散データK1’’を送る。中継ノードN12は、中継ノードN13に対し、秘密分散データK1’’をそのまま送るのではなく、秘密分散データK1’’に乱数によるマスクが施されてなる秘密分散データK1’’’を送る。以下同様である。中継ノードN17は、中継ノードN16から受信した秘密分散データK’’’’’’’をそのままターミナルノードTNへ送る。
【0031】
以上のように、秘密分散データK1は中継の度にマスクが施される。秘密分散データK2~K7も中継の度にマスクが施される。
【0032】
通信ネットワークNW12を示す図5を参照して具体的に説明する。リレー経路の本数を2とし、各リレー経路における中継ノードの数を4とする(m=2、n=4)。後述するように、リレー経路の本数や中継地点の数が変わっても基本的な考え方は変わらない。通信ネットワークNW12は、ソースノードSNとターミナルノードTNとを結ぶ第1リレー経路RP1と第2リレー経路RP2とを有する。第1リレー経路RP1には、第1中継ノードN11から第4中継ノードN14が設けられ、第2リレー経路RP2には、第1中継ノードN21から第4中継ノードN24が設けられている。
第1リレー経路RP1は、ソースノードSNと第1中継ノードN11とを接続する伝送リンクと、第1中継ノードN11と第2中継ノードN12とを接続する伝送リンクと、第2中継ノードN12と第3中継ノードN13とを接続する伝送リンクと、第3中継ノードN13と第4中継ノードN14とを接続する伝送リンクと、第4中継ノードN14とターミナルノードTNとを接続する伝送リンクとを有する。
第2リレー経路RP2は、ソースノードSNと第1中継ノードN21とを接続する伝送リンクと、第1中継ノードN21と第2中継ノードN22とを接続する伝送リンクと、第2中継ノードN22と第3中継ノードN23とを接続する伝送リンクと、第3中継ノードN23と第4中継ノードN24とを接続する伝送リンクと、第4中継ノードN24とターミナルノードTNとを接続する伝送リンクとを有する。
各伝送リンクにより接続される2つのノードは、当該伝送リンクを用いてOTP鍵の直接共有が可能である。
第1リレー経路RP1は、ソースノードSNと第1中継ノードN11とを接続する伝送リンクと、第1中継ノードN11と第2中継ノードN12とを接続する伝送リンクと、第2中継ノードN12と第3中継ノードN13とを接続する伝送リンクと、第3中継ノードN13と第4中継ノードN14とを接続する伝送リンクと、第4中継ノードN14とターミナルノードTNとを接続する伝送リンクとを有する。
第2リレー経路RP2は、ソースノードSNと第1中継ノードN21とを接続する伝送リンクと、第1中継ノードN21と第2中継ノードN22とを接続する伝送リンクと、第2中継ノードN22と第3中継ノードN23とを接続する伝送リンクと、第3中継ノードN23と第4中継ノードN24とを接続する伝送リンクと、第4中継ノードN24とターミナルノードTNとを接続する伝送リンクとを有する。
各伝送リンクにより接続される2つのノードは、当該伝送リンクを用いてOTP鍵の直接共有が可能である。
【0033】
各秘密分散データは、同数の中継ノードを経由して各リレー経路上をターミナルノードに向けてリレー伝送され、各リレー経路上の中継ノードの数を中継段数と呼ぶ。ソースノードから見て同じ順番の中間ノードは同じ段に属すると見なす。ある中継ノードから見て、ソースノード側の段を前段とし、ターミナルノード側の段を後段とする。
【0034】
ソースノードSNは、乱数r0を用いて秘密情報Kを秘密分散データK1と秘密分散データK2とに秘密分散する。すなわち、以下のとおりである。
【数5】
【0035】
秘密分散データK1を含んだパケットは、ソースノードSNから、第1リレー経路RP1上の中継ノードN11、N12、N13及びN14を順に経て、ターミナルノードTNへ伝送される。同様に、秘密分散データK2を含んだパケットは、ソースノードSNから、第2リレー経路RP2上の中継ノードN21、N22、N23及びN24を順に経て、ターミナルノードTNへ伝送される。
【0036】
さらに、異なるリレー経路に属する2つの中継ノードの間には公開のデータ通信路がリレー経路とは別に設けられる。ただし、これらのデータ通信路は、秘密分散データの伝送には使用されず、後述するマスク用の乱数を送受信するために使用される。
【0037】
以下、図5の例を参照して分散化リレー伝送の基本的な手順を説明する。
ソースノードSNは以下の処理を行う。
・乱数r0を生成し、乱数r0を用いて秘密情報Kを2つの秘密分散データK1及びK2に秘密分散する。
・秘密分散データK1をOTPによって秘匿化したデータを第1のリレー経路RP1上にある中継ノードN11に伝送する。
・同様に、ソースノードSNは、秘密分散データK2をOTPによって秘匿化したデータを第2のリレー経路RP2上にある中継ノードN21に伝送する。
ソースノードSNは以下の処理を行う。
・乱数r0を生成し、乱数r0を用いて秘密情報Kを2つの秘密分散データK1及びK2に秘密分散する。
・秘密分散データK1をOTPによって秘匿化したデータを第1のリレー経路RP1上にある中継ノードN11に伝送する。
・同様に、ソースノードSNは、秘密分散データK2をOTPによって秘匿化したデータを第2のリレー経路RP2上にある中継ノードN21に伝送する。
【0038】
第1のリレー経路上にある第1中継ノードN11は、以下の処理を行う。
・乱数r1を生成する。
・ソースノードから受信した秘匿化データから、秘密分散データK1を復号する。乱数r1によって秘密分散データK1をマスクして、
を得る。
・得られた結果をOTPによって秘匿化したデータを、同一リレー経路上にある後段の中継ノードN12に伝送する。
・第2のリレー経路RP2でも乱数r1を使用できるように、OTPによって秘匿化した乱数r1のデータを、第2のリレー経路RP2上にある後段の中継ノードN22に伝送する。
・乱数r1を生成する。
・ソースノードから受信した秘匿化データから、秘密分散データK1を復号する。乱数r1によって秘密分散データK1をマスクして、
【数6】
・得られた結果をOTPによって秘匿化したデータを、同一リレー経路上にある後段の中継ノードN12に伝送する。
・第2のリレー経路RP2でも乱数r1を使用できるように、OTPによって秘匿化した乱数r1のデータを、第2のリレー経路RP2上にある後段の中継ノードN22に伝送する。
【0039】
第2のリレー経路上にある第1中継ノードN21は、以下の処理を行う。
・乱数r2を生成する。
・ソースノードから受信した秘匿化データから、秘密分散データK2を復号する。乱数r2によって秘密分散データK2をマスクして、
を得る。
・得られた結果をOTPによって秘匿化したデータを、同一リレー経路上にある後段の中継ノードN22に伝送する。
・第1のリレー経路RP1でも乱数r2を使用できるように、OTPによって秘匿化した乱数r2のデータを、第1のリレー経路RP1上にある後段の中継ノードN12に伝送する。
・乱数r2を生成する。
・ソースノードから受信した秘匿化データから、秘密分散データK2を復号する。乱数r2によって秘密分散データK2をマスクして、
【数7】
・得られた結果をOTPによって秘匿化したデータを、同一リレー経路上にある後段の中継ノードN22に伝送する。
・第1のリレー経路RP1でも乱数r2を使用できるように、OTPによって秘匿化した乱数r2のデータを、第1のリレー経路RP1上にある後段の中継ノードN12に伝送する。
【0040】
第1のリレー経路上にある第2中継ノードN12は、以下の処理を行う。
・乱数r3を生成する。
・第2のリレー経路上にある前段の中間ノードN21から伝送された秘匿化データから、乱数r2を復号する。
・同一リレー経路上にある前段の中間ノードN11から伝送された秘匿化データから、
を復号する。
・乱数r3と提供された乱数r2とを用いて、マスクされた秘密分散データ
に対して更にマスクを施して、マスクされた秘密分散データ
を得る。このようにして第1のリレー経路でも乱数r2が使用される。
・得られた結果をOTPによって秘匿化したデータを、同一経路上にある後段の中間ノードN13に伝送する。
・さらに、第2のリレー経路でも乱数r3を使用できるように、OTPによって秘匿化した乱数r3のデータを、第2のリレー経路上にある後段の中間ノードN23に伝送する。
・乱数r3を生成する。
・第2のリレー経路上にある前段の中間ノードN21から伝送された秘匿化データから、乱数r2を復号する。
・同一リレー経路上にある前段の中間ノードN11から伝送された秘匿化データから、
【数8】
・乱数r3と提供された乱数r2とを用いて、マスクされた秘密分散データ
【数9】
【数10】
・得られた結果をOTPによって秘匿化したデータを、同一経路上にある後段の中間ノードN13に伝送する。
・さらに、第2のリレー経路でも乱数r3を使用できるように、OTPによって秘匿化した乱数r3のデータを、第2のリレー経路上にある後段の中間ノードN23に伝送する。
【0041】
第2のリレー経路上にある2番目の中間ノードN22は、以下の処理を行う。
・乱数r4を生成する。
・第1のリレー経路上にある前段の中間ノードN11から伝送された秘匿化データから、乱数r1を復号する。
・同一リレー経路上にある前段の中間ノードN21から伝送された秘匿化データから
を復号する。
・自ら生成した乱数r4と提供された乱数r1とを用いて、マスクされた秘密分散データ
に対して更にマスクを施して、マスクされた秘密分散データ
を得る。このようにして第2のリレー経路でも乱数r1が使用される。
・得られた結果をOTPによって秘匿化したデータを、同一経路上にある後段の中間ノードN23に伝送する。
・さらに、第1のリレー経路でも乱数r4を使用できるように、OTPによって秘匿化した乱数r4のデータを、第1のリレー経路上にある後段の中間ノードN13に伝送する。
・乱数r4を生成する。
・第1のリレー経路上にある前段の中間ノードN11から伝送された秘匿化データから、乱数r1を復号する。
・同一リレー経路上にある前段の中間ノードN21から伝送された秘匿化データから
【数11】
・自ら生成した乱数r4と提供された乱数r1とを用いて、マスクされた秘密分散データ
【数12】
【数13】
・得られた結果をOTPによって秘匿化したデータを、同一経路上にある後段の中間ノードN23に伝送する。
・さらに、第1のリレー経路でも乱数r4を使用できるように、OTPによって秘匿化した乱数r4のデータを、第1のリレー経路上にある後段の中間ノードN13に伝送する。
【0042】
第1のリレー経路上にある第3中継ノードN13は、以下の処理を行う。
・乱数r5を生成する。
・第2のリレー経路上にある前段の中間ノードN22から伝送された秘匿化データから、乱数r4を復号する。
・同一リレー経路上にある前段の中間ノードN12から伝送された秘匿化データから、
を復号する。
・自ら生成した乱数r5と提供された乱数r4とを用いて、マスクされた秘密分散データ
に対して更にマスクを施して、マスクされた秘密分散データ
を得る。このようにして第1のリレー経路でも乱数r4が使用される。
・得られた結果をOTPによって秘匿化したデータを、同一経路上にある後段の中間ノードN14に伝送する。
・さらに、第2のリレー経路でも乱数r5を使用できるように、OTPによって秘匿化した乱数r5のデータを、第2のリレー経路上にある後段の中間ノードN24に伝送する。
・乱数r5を生成する。
・第2のリレー経路上にある前段の中間ノードN22から伝送された秘匿化データから、乱数r4を復号する。
・同一リレー経路上にある前段の中間ノードN12から伝送された秘匿化データから、
【数14】
・自ら生成した乱数r5と提供された乱数r4とを用いて、マスクされた秘密分散データ
【数15】
【数16】
・得られた結果をOTPによって秘匿化したデータを、同一経路上にある後段の中間ノードN14に伝送する。
・さらに、第2のリレー経路でも乱数r5を使用できるように、OTPによって秘匿化した乱数r5のデータを、第2のリレー経路上にある後段の中間ノードN24に伝送する。
【0043】
第2のリレー経路上にある第3中継ノードN23は、以下の処理を行う。
・乱数r6を生成する。
・第1のリレー経路上にある前段の中間ノードN12から伝送された秘匿化データから、乱数r3を復号する。
・同一リレー経路上にある前段の中間ノードN22から伝送された秘匿化データから、
を復号する。
・自ら生成した乱数r6と提供された乱数r3とを用いて、マスクされた秘密分散データ
に対して更にマスクを施して、マスクされた秘密分散データ
を得る。このようにして第2のリレー経路でも乱数r3が使用される。
・得られた結果をOTPによって秘匿化したデータを、同一経路上にある後段の中間ノードN24に伝送する。
・さらに、第1のリレー経路でも乱数r6を使用できるように、OTPによって秘匿化した乱数r6のデータを、第1のリレー経路上にある後段の中間ノードN14に伝送する。
・乱数r6を生成する。
・第1のリレー経路上にある前段の中間ノードN12から伝送された秘匿化データから、乱数r3を復号する。
・同一リレー経路上にある前段の中間ノードN22から伝送された秘匿化データから、
【数17】
・自ら生成した乱数r6と提供された乱数r3とを用いて、マスクされた秘密分散データ
【数18】
【数19】
・得られた結果をOTPによって秘匿化したデータを、同一経路上にある後段の中間ノードN24に伝送する。
・さらに、第1のリレー経路でも乱数r6を使用できるように、OTPによって秘匿化した乱数r6のデータを、第1のリレー経路上にある後段の中間ノードN14に伝送する。
【0044】
第1のリレー経路上にある第4中継ノードN14は、後段のノードがターミナルノードTNであることから新たな乱数の生成は行わないが、以下の処理を行う。
・第2のリレー経路上にある前段の中間ノードN23から伝送された秘匿化データから、乱数r6を復号する。
・同一リレー経路上にある前段の中間ノードN13から伝送された秘匿化データから、
を復号する。
・提供された乱数r6を用いて、マスクされた秘密分散データ
に対して更にマスクを施して、マスクされた秘密分散データ
を得る。このようにして第1のリレー経路でも乱数r6が使用される。
・得られた結果をOTPによって秘匿化したデータを、ターミナルノードTNに伝送する。
・第2のリレー経路上にある前段の中間ノードN23から伝送された秘匿化データから、乱数r6を復号する。
・同一リレー経路上にある前段の中間ノードN13から伝送された秘匿化データから、
【数20】
・提供された乱数r6を用いて、マスクされた秘密分散データ
【数21】
【数22】
・得られた結果をOTPによって秘匿化したデータを、ターミナルノードTNに伝送する。
【0045】
第2のリレー経路上にある第4中継ノードN24は、後段のノードがターミナルノードTNであることから新たな乱数の生成は行わないが、以下の処理を行う。
・第1のリレー経路上にある前段の中間ノードN13から伝送された秘匿化データから、乱数r5を復号する。
・同一リレー経路上にある前段の中間ノードN23から伝送された秘匿化データから、
を復号する。
・提供された乱数r5を用いて、マスクされた秘密分散データ
に対して更にマスクを施して、マスクされた秘密分散データ
を得る。このようにして第2のリレー経路でも乱数r5が使用される。
・得られた結果をOTPによって秘匿化したデータを、ターミナルノードTNに伝送する。
・第1のリレー経路上にある前段の中間ノードN13から伝送された秘匿化データから、乱数r5を復号する。
・同一リレー経路上にある前段の中間ノードN23から伝送された秘匿化データから、
【数23】
・提供された乱数r5を用いて、マスクされた秘密分散データ
【数24】
【数25】
・得られた結果をOTPによって秘匿化したデータを、ターミナルノードTNに伝送する。
【0046】
ターミナルノードTは、以下の処理を行う。
・第1のリレー経路上の中間ノードN14から伝送された秘匿化データから、
を復号する。
・第2のリレー経路上の中間ノードN24から伝送された秘匿化データから、
を復号する。
・これら2つの復号されたデータに対して排他的論理和を計算することによって、秘密情報
を復元する。
・第1のリレー経路上の中間ノードN14から伝送された秘匿化データから、
【数26】
・第2のリレー経路上の中間ノードN24から伝送された秘匿化データから、
【数27】
・これら2つの復号されたデータに対して排他的論理和を計算することによって、秘密情報
【数28】
【0047】
<第1実施形態のポイント>
・第1のポイント: ターミナルノードにおける乱数マスクの自動解除
上記手順に従えば、1つのリレー経路上の中継ノードで生成されたマスク用の乱数r1~r6はリレー経路間での受け渡しによって、必ず2本のリレー経路で使用される。そのため、リレー経路を集約するターミナルノードTNでは、各々の乱数の相殺によってマスクの効果は必ず自動的に解除される。また、ターミナルノードTNは、マスク用の乱数r1~R6を知る必要はない。以上のように、ターミナルノードTNにおける秘密情報Kの復元が保証される。
・第1のポイント: ターミナルノードにおける乱数マスクの自動解除
上記手順に従えば、1つのリレー経路上の中継ノードで生成されたマスク用の乱数r1~r6はリレー経路間での受け渡しによって、必ず2本のリレー経路で使用される。そのため、リレー経路を集約するターミナルノードTNでは、各々の乱数の相殺によってマスクの効果は必ず自動的に解除される。また、ターミナルノードTNは、マスク用の乱数r1~R6を知る必要はない。以上のように、ターミナルノードTNにおける秘密情報Kの復元が保証される。
【0048】
・第2のポイント: 中継ノードにおける乱数マスキングと中継に伴うマスクの更新
従来の分散化リレー伝送では、ソースノードにおいてのみ秘密情報に対する乱数マスキングを行っていた。これに対し、本実施形態では、中継ノードも秘密分散データに対する乱数マスキングを行う。さらに、手順に従えば、秘密分散データが後段の中間ノードに中継される度に、新たな乱数が追加されて乱数マスクが更新される。その結果、秘密分散データは中継ノード毎に異なる乱数でマスクされる。また、盗聴者は、或る中継ノードの盗聴に成功したとしても、別のノードが生成した乱数によるマスクが施された秘密分散データを得ることができるだけであって、秘密分散データそのものを得ることはできない。例えば、盗聴者は、中継ノードN12(図5)の盗聴に成功したとしても、別のノードN11が生成した乱数r1によるマスクが施された秘密分散データを得ることができるだけであって、秘密分散データK1そのものを得ることはできない。
従来の分散化リレー伝送では、ソースノードにおいてのみ秘密情報に対する乱数マスキングを行っていた。これに対し、本実施形態では、中継ノードも秘密分散データに対する乱数マスキングを行う。さらに、手順に従えば、秘密分散データが後段の中間ノードに中継される度に、新たな乱数が追加されて乱数マスクが更新される。その結果、秘密分散データは中継ノード毎に異なる乱数でマスクされる。また、盗聴者は、或る中継ノードの盗聴に成功したとしても、別のノードが生成した乱数によるマスクが施された秘密分散データを得ることができるだけであって、秘密分散データそのものを得ることはできない。例えば、盗聴者は、中継ノードN12(図5)の盗聴に成功したとしても、別のノードN11が生成した乱数r1によるマスクが施された秘密分散データを得ることができるだけであって、秘密分散データK1そのものを得ることはできない。
【0049】
【0050】
その結果、従来に比べて盗聴の難易度は高くなる。すなわち、盗聴者は、各々のリレー経路から任意に1つの攻撃ポイントを選んで組み合わせるだけでは乱数マスクを解除できないため、秘密情報Kを復元することができない。
【0051】
・第3のポイント: 大規模なネットワークへの拡張性
以下に説明するように、中継ノードで行われる処理は、周辺のノードとの接続関係だけで決まる局所的な処理に限られており、分散化リレー伝送のネットワーク全体の規模とは無関係である。そのため、前述の発明の基本的な手順は、規模の大きなネットワークに対しても容易に拡張され得る。このことが発明の第3のポイントである。
以下に説明するように、中継ノードで行われる処理は、周辺のノードとの接続関係だけで決まる局所的な処理に限られており、分散化リレー伝送のネットワーク全体の規模とは無関係である。そのため、前述の発明の基本的な手順は、規模の大きなネットワークに対しても容易に拡張され得る。このことが発明の第3のポイントである。
【0052】
リレー伝送を行うにあたり、まずソースノードとターミナルノードが設定される。ソースノードは、秘密情報Kを複数個の秘密分散データに秘密分散する。ソースノードは、個々の秘密分散データ毎に、中継地点として経由すべき中間ノードとターミナルノードを順番に指定し、経路情報としてパケットのヘッダ部に書き込む。この経路情報によって当該の秘密分散データに固有のリレー経路がネットワーク上に設定される。パケットを受け取った中間ノードは経路情報に従って転送先となる次の中間ノードを選択する。このようにして、通信ネットワーク上に秘密分散データの数に等しい本数のリレー経路が構成される。
【0053】
中継ノードは以下の処理を行う。
S1: 同じリレー経路上にある前段のソースノード又は前段の中間ノードから秘密分散データの入力を受ける。
S2: 乱数を必要な数だけ生成する。乱数の総数は、当該中継ノードが乱数を1個ずつ提供する先となる他のリレー経路の本数L1に等しい。
S3: 他のリレー経路上にある前段の中間ノードから1個の乱数の提供を受ける。ここで受け取る乱数の総数は、当該中間ノードに乱数を提供する元となる他のリレー経路の本数L2に等しい。
S4: マスク用の乱数を生成する。ここで、上記ステップS2で生成したL1個の乱数の総和と、上記ステップS3で提供されたL2個の乱数の総和とを加算した乱数を、マスク用の乱数とする。
S5: 上記ステップS1で入力された秘密分散データに対して、上記ステップS4で計算したマスク用の乱数を更に乱数マスクに追加して秘密分散データを更新する。
S6: 同じリレー経路上にある後段の中間ノードもしくは後段のターミナルノードに対して、上記ステップS5で更新された秘密分散データを出力する。
S7: 1個の乱数を提供する先となる、他のリレー経路上にある後段の中間ノードに対して、上記ステップS2で生成したL1個の乱数をリレー経路毎に1個ずつ提供する。
S8: 秘密分散データの入力を受けた後段の中間ノードは上記ステップS1~S7の処理を逐次的に繰り返して、最終的に秘密分散データをターミナルノードに集約する。
L1およびL2はゼロ以上の整数である。
S1: 同じリレー経路上にある前段のソースノード又は前段の中間ノードから秘密分散データの入力を受ける。
S2: 乱数を必要な数だけ生成する。乱数の総数は、当該中継ノードが乱数を1個ずつ提供する先となる他のリレー経路の本数L1に等しい。
S3: 他のリレー経路上にある前段の中間ノードから1個の乱数の提供を受ける。ここで受け取る乱数の総数は、当該中間ノードに乱数を提供する元となる他のリレー経路の本数L2に等しい。
S4: マスク用の乱数を生成する。ここで、上記ステップS2で生成したL1個の乱数の総和と、上記ステップS3で提供されたL2個の乱数の総和とを加算した乱数を、マスク用の乱数とする。
S5: 上記ステップS1で入力された秘密分散データに対して、上記ステップS4で計算したマスク用の乱数を更に乱数マスクに追加して秘密分散データを更新する。
S6: 同じリレー経路上にある後段の中間ノードもしくは後段のターミナルノードに対して、上記ステップS5で更新された秘密分散データを出力する。
S7: 1個の乱数を提供する先となる、他のリレー経路上にある後段の中間ノードに対して、上記ステップS2で生成したL1個の乱数をリレー経路毎に1個ずつ提供する。
S8: 秘密分散データの入力を受けた後段の中間ノードは上記ステップS1~S7の処理を逐次的に繰り返して、最終的に秘密分散データをターミナルノードに集約する。
L1およびL2はゼロ以上の整数である。
【0054】
ターミナルノードは、各々のリレー経路上にある最後の中間ノードから秘密分散データの入力を受ける。そして全ての秘密分散データを集約して乱数によるマスクを解除し、秘密情報Kを復元する。
【0055】
上記ステップS4及びS5によれば、上記ステップS2で生成された乱数は、当該中継ノードが所属するリレー経路においてマスク用の乱数の一部として使用される。同時に、実際の順序に従って上記ステップS7、S3、S4及びS5によれば、上記ステップS2で生成された乱数は、上記ステップS7にて提供先として選ばれた1本のリレー経路においてもマスク用の乱数の一部として使用される。このように、あるリレー経路にある中継ノードで生成された乱数は、必ず2本のリレー経路上で使用される。その結果、ターミナルノードでリレー経路が集約されたときに乱数の効果が必ず相殺される。このようにして発明の第1のポイントが保証される。
【0056】
なお、上記ステップS7において、生成した1個の乱数を提供する先のリレー経路の本数を1本に限定せずに一般に奇数とすることもできる。この場合、1個の乱数が提供元のリレー経路も含めて偶数本のリレー経路で使用されることにより、ターミナルノードでリレー経路が集約されたときにやはり乱数が相殺される。
【0057】
上記ステップS5によれば、各々のリレー経路上では、秘密分散データが次の中継ノードに中継される度に、新しい乱数が追加されてマスクが更新される。これによって発明の第2のポイントが保証される。
【0058】
上記ステップS2に記載の本数L1と、上記ステップS3に記載の本数L2とは、ネットワークとリレー経路の設定状況に依存して中継ノード毎に予め決められる。
図5の例によれば、ソースノードに接続する中継ノードN11及びN21では(L1、L2)=(1、0)であり、中継ノードN12、N13、N22及びN23では(L1、L2)=(1、1)であり、ターミナルノードに接続する中継ノードN14及びN24では(L1、L2)=(0、1)である。
図5の例によれば、ソースノードに接続する中継ノードN11及びN21では(L1、L2)=(1、0)であり、中継ノードN12、N13、N22及びN23では(L1、L2)=(1、1)であり、ターミナルノードに接続する中継ノードN14及びN24では(L1、L2)=(0、1)である。
【0059】
上記ステップS1~S7が実行された結果、どのようにして発明の第1および第2のポイントが実現されるのかを、一般化された実例に則して説明する。
図6に通信ネットワークNW13を示す。この通信ネットワークNW13は、通信ネットワークNW12に対して、ソースノードSNとターミナルノードTNとを結ぶ第3リレー経路RP3がさらに設けられたものである。第3リレー経路RP3には、第1中継ノードN31から第4中継ノードN34が設けられている。
第3リレー経路RP3は、ソースノードSNと第1中継ノードN31とを接続する伝送リンクと、第1中継ノードN31と第2中継ノードN32とを接続する伝送リンクと、第2中継ノードN32と第3中継ノードN33とを接続する伝送リンクと、第3中継ノードN33と第4中継ノードN34とを接続する伝送リンクと、第4中継ノードN34とターミナルノードTNとを接続する伝送リンクとを有する。
図6に通信ネットワークNW13を示す。この通信ネットワークNW13は、通信ネットワークNW12に対して、ソースノードSNとターミナルノードTNとを結ぶ第3リレー経路RP3がさらに設けられたものである。第3リレー経路RP3には、第1中継ノードN31から第4中継ノードN34が設けられている。
第3リレー経路RP3は、ソースノードSNと第1中継ノードN31とを接続する伝送リンクと、第1中継ノードN31と第2中継ノードN32とを接続する伝送リンクと、第2中継ノードN32と第3中継ノードN33とを接続する伝送リンクと、第3中継ノードN33と第4中継ノードN34とを接続する伝送リンクと、第4中継ノードN34とターミナルノードTNとを接続する伝送リンクとを有する。
【0060】
通信ネットワークNW13では、1本のリレー経路と他の2本のリレー経路との間で乱数の受け渡しが行われる。ソースノードに接続する中継ノードN11、N21及びN31では(L1、L2)=(2、0)であり、ターミナルノードに接続する中継ノードN14、N24及びN34では(L1、L2)=(0、2)であり、その他の中継ノードN12、N13、N22、N23、N32及びN33では(L1、L2)=(2、2)である。
【0061】
上記ステップS1に従って第1のリレー経路上の中継ノードN11は秘密分散データK1の入力を受ける。中継ノードN11は次に、上記ステップS2に従って2個の乱数r1とr2を生成し、上記ステップS7に従ってそれぞれの乱数を第2および第3のリレー経路上の後段の中継ノードN22及びN32に提供する。上記ステップS4に従って中継ノードN11はマスク用の乱数
を得る。そして、上記ステップS5に従って秘密分散データK1にマスクを施して
に更新し、中継ノードN12へ伝送する。
【数30】
【数31】
【0062】
上記ステップS1に従って中継ノードN12は秘密分散データ
の入力を受ける。さらに上記ステップS3に従って第2および第3のリレー経路から、それぞれ乱数r3及びr5の提供を受ける。次に、上記ステップS2に従って乱数r7とr8を生成し、上記ステップS7に従ってそれぞれの乱数を第2および第3のリレー経路上の後段の中間ノードN23及びN33に提供する。上記ステップS4に従って中継ノード12はマスク用の乱数
を得る。そして、上記ステップS5に従って秘密分散データ
にマスクを施して
に更新し、中継ノードN13へ伝送する。
このようにして、中継された先の中継ノードでも基本的に同じ処理が繰り返される。その結果、第1のリレー経路にある中継ノードにより中継される度に、秘密分散データの乱数マスクが更新されていく。これは発明の第2のポイントである。
【数32】
【数33】
【数34】
【数35】
このようにして、中継された先の中継ノードでも基本的に同じ処理が繰り返される。その結果、第1のリレー経路にある中継ノードにより中継される度に、秘密分散データの乱数マスクが更新されていく。これは発明の第2のポイントである。
【0063】
図6に示すように、乱数{r1、r3、r7、r9、r13、r15}は、第1と第2のリレー経路にて使用され、ターミナルノードで相殺される。乱数{r2、r5、r8、r11、r14、r17}は、第1と第3のリレー経路にて使用され、ターミナルノードで相殺される。乱数{r4、r6、r10、r12、r16、r18}は、第2と第3のリレー経路の組で使用され、ターミナルノードで相殺される。このように、図6に示した3本のリレー経路の例は、図5に示した2本のリレー経路の例が3つ組み合わされたものとして理解できる。このようにしてリレー経路の本数が増えた場合でも、発明の第1のポイントが保証される。
【0064】
<効果>
本実施形態によれば、盗聴者は、秘密情報の分散化リレー伝送のネットワークに対し、危殆化させる攻撃ポイントの組み合わせを自由に選ぶだけでは、秘密情報を復元することが難しくなる。その一方で、仮に危殆化が生じてしまった場合、通信ネットワークの正規のユーザや運用者は、盗聴者による攻撃のパターンを特定することが可能になる。
本実施形態によれば、盗聴者は、秘密情報の分散化リレー伝送のネットワークに対し、危殆化させる攻撃ポイントの組み合わせを自由に選ぶだけでは、秘密情報を復元することが難しくなる。その一方で、仮に危殆化が生じてしまった場合、通信ネットワークの正規のユーザや運用者は、盗聴者による攻撃のパターンを特定することが可能になる。
【0065】
図5に示した通信ネットワークNW12に即して効果を説明する。上記第2のポイントによれば、中継ノードは、異なる乱数でマスクされた秘密分散データと、幾つかの乱数とを保持することになる。図7として示す表の第1行に、第1リレー経路上にある中継ノードN11~N14が保持する秘密分散データ及び乱数を示す。同様にこの表の第1列に、第2リレー経路上にある中継ノードN21~N24が保持する秘密分散データ及び乱数を示す。
【0066】
盗聴者が秘密情報
を復元するためには、第1リレー経路上にある中継ノードを盗聴して秘密分散データK1に関する情報を取得し、第2リレー経路上にある中継ノードを盗聴して秘密分散データK2に関する情報を取得した後、それらを合成する必要がある。このとき攻撃ポイントとなる2つの中間ノードの特定の組み合わせを選ぶ必要がある。図7として示す表に、攻撃ポイントの組み合わせと合成の結果、取得できる情報との対応関係を示す。秘密情報Kの復元に成功する攻撃ポイントの組み合わせは、(N11、N21)と、(N12、N22)と、(N13、N23)と、(N14、N24)との4通りに限定されることが分かる。これら4つのパターンを図8A~図8Dにもそれぞれ示す。
【数36】
【0067】
例えば、攻撃ポイントが(N13、N23)である場合、盗聴者は初めに中継ノードN13上の秘密分散データ
とN23上の秘密分散データ
との排他的論理和
を取得できる。次に中継ノードN23から取得した乱数r3と、中継ノードN13から取得した乱数r4とを用いて
からマスクを解除して秘密情報
を復元することができる。
【数37】
【数38】
【数39】
【数40】
【数41】
【0068】
攻撃ポイントが上記4つの組み合わせ以外の組み合わせの場合、盗聴者は秘密情報Kに施されたマスクを解除することができない。図5に示した2本のリレー経路の例では、図7に示したように、全てのリレー経路から同じ段に属する中間ノードを選んで一括して攻撃ポイントとしない限り、盗聴者は秘密情報Kを復元できない。反対に、正規のユーザや運用者は盗聴者にとって有効な攻撃ポイントの組み合わせを、図7に示した4つのパターンに限定することができる。
【0069】
このように、有効な攻撃ポイントの組み合わせは、従来はnm=24=16通りだったのが、本実施形態によれば4通りに減らすことができる。つまり、盗聴者にとって盗聴の難易度が高まる。
【0070】
図6に示した3つのリレー経路の例では、秘密情報Kの復元が可能となる3個の中間ノードの組み合わせは、(N11、N21、N31)と、(N12、N22、N32)と、(N13、N23、N33)と、(N14、N24、N34)とのいずれかに限定されることが分る。これら4つの組み合わせを図9A~図9Dにそれぞれ示す。これに対し、中継ノードが秘密分散データをそのまま中継するだけの従来の分散化リレー伝送では、可能な3個の中間ノードの組み合わせの総数は、nm=43=64である。上記実施形態によれば、盗聴者にとって有効な攻撃パターンの数を64から4に減らすことができる。
【0071】
<第2実施形態>
図10に通信ネットワークNW21を示す。通信ネットワークNW21においては、図6に示した通信ネットワークNW13と同様に、ソースノードSNとターミナルノードTNとの間に3本のリレー経路RP1~RP3が設けられ、各リレー経路には4つの中継ノードが設けられている。
図10に通信ネットワークNW21を示す。通信ネットワークNW21においては、図6に示した通信ネットワークNW13と同様に、ソースノードSNとターミナルノードTNとの間に3本のリレー経路RP1~RP3が設けられ、各リレー経路には4つの中継ノードが設けられている。
【0072】
通信ネットワークNW21において、第1と第2のリレー経路間で乱数{r1、r3、r7、r9、r13、r15}の受渡しがなされ、第2と第3のリレー経路間で乱数{r4、r6、r10、r12、r16、r18}の受渡しがなされる。通信ネットワークNW21では、乱数r2、r5、r8、r11、r14及びr17が使用されず、生成もされない点が図6の通信ネットワークNW13とは異なる。
【0073】
通信ネットワークNW21において、第1及び第3のリレー経路上にある中継ノードN12、N13、N32及びN33では、(L1、L2)=(1、1)である。第2のリレー経路上にある中継ノードN22及びN23では、(L1、L2)=(2、2)である。ソースノードに接続する中継ノードN11、N21及びN31では、それぞれ(L1、L2)=(1、0)、(L1、L2)=(2、0)及び(L1、L2)=(1、0)である。ターミナルノードに接続する中継ノードN14、N24及びN34では、それぞれ(L1、L2)=(0、1)、(L1、L2)=(0、2)及び(L1、L2)=(0、1)である。
【0074】
図6に示した通信ネットワークNW13と比べると、通信ネットワークNW21においてはペアを形成するリレー経路の組が3つから2つに減ったことにより、使用される乱数が6個少ない。通信ネットワークNW21は、図5に示した通信ネットワークNW12における2本のリレー経路の例が2つ組み合わされたものとして理解できる。秘密情報Kの復元を可能とする3個の中継ノードの組み合わせは、(N11、N21、N31)と、(N12、N22、N32)と、(N13、N23、N33)と、(N14、N24、N34)との4つに限定される。これは、図6に示した通信ネットワークNW13に関係する図9A~図9Dに示した特定の組み合わせと同じである。図6の通信ネットワークNW13のようにペアを形成するリレー経路について可能な3つの組み合わせの全てを利用する必要はなく、図10に示した通信ネットワークNW21のように、隣接するリレー経路に由来する2つの組み合わせを利用するだけでも同じ結果が得られることが分かる。
リレー経路の本数がさらに多い場合でも、図10の例のように、隣接する2つのリレー経路間でのみ乱数の受け渡しを行うだけで、同様の効果を得ることができる。
リレー経路の本数がさらに多い場合でも、図10の例のように、隣接する2つのリレー経路間でのみ乱数の受け渡しを行うだけで、同様の効果を得ることができる。
【0075】
<第3実施形態>
図11に通信ネットワークNW31を示す。図10に示した通信ネットワークNW21の第2リレー経路RP2が、図11の通信ネットワークNW31においては第2リレー経路RP2aに置き換えられている。この第2リレー経路RP2aは、3つの中継ノードすなわち第1中継ノードN21と第2中継ノードN22と第4中継ノードN24とを有する。第2リレー経路RP2aはまた、ソースノードSNと第1中継ノードN21とを接続する伝送リンクと、第1中継ノードN21と第2中継ノードN22とを接続する伝送リンクと、第2中継ノードN22と第4中継ノードN24とを接続する伝送リンクと、第4中継ノードN24とターミナルノードTNとを接続する伝送リンクとを有する。
図11に通信ネットワークNW31を示す。図10に示した通信ネットワークNW21の第2リレー経路RP2が、図11の通信ネットワークNW31においては第2リレー経路RP2aに置き換えられている。この第2リレー経路RP2aは、3つの中継ノードすなわち第1中継ノードN21と第2中継ノードN22と第4中継ノードN24とを有する。第2リレー経路RP2aはまた、ソースノードSNと第1中継ノードN21とを接続する伝送リンクと、第1中継ノードN21と第2中継ノードN22とを接続する伝送リンクと、第2中継ノードN22と第4中継ノードN24とを接続する伝送リンクと、第4中継ノードN24とターミナルノードTNとを接続する伝送リンクとを有する。
【0076】
このように、図11の通信ネットワークNW31においては、図10に示した通信ネットワークNW21と比べて、第2リレー経路上の中継ノードの数が1つ少ない。これを、第3段目の中継ノードN23が欠損したものと見なして取り扱う。また、図10の通信ネットワークNW21にて使用される乱数r7、r12、r15、r16が、図11の通信ネットワークNW31では使用されない。
【0077】
図12A~図12Eに示すように、本実施形態では、秘密情報Kの復元を可能とする3個の中間ノードの組み合わせは(N11、N21、N31)と、(N12、N22、N32)と、(N13、N22、N33)と、(N13、N24、N33)と、(N14、N24、N34)との5つに限定される。図10において中継ノードN23が果たしていた役割を、図11では同じリレー経路上にある前段の中継ノードN22又は後段の中継ノードN24が代わりに担っていることが分かる。以上のように、各リレー経路上の中継ノードの数が揃っていない場合でも同様の効果が得られる。
【0078】
<第4実施形態>
図13に通信ネットワークNW41を示す。通信ネットワークNW41は、ソースノードSNとターミナルノードTNとを接続する第1リレー経路RP1b及び第2リレー経路RP2bを有する。第1リレー経路RP1bを通じて秘密分散データK1が伝送され、第2リレー経路RP2bを通じて秘密分散データK2が伝送される。
図13に通信ネットワークNW41を示す。通信ネットワークNW41は、ソースノードSNとターミナルノードTNとを接続する第1リレー経路RP1b及び第2リレー経路RP2bを有する。第1リレー経路RP1bを通じて秘密分散データK1が伝送され、第2リレー経路RP2bを通じて秘密分散データK2が伝送される。
【0079】
第1リレー経路RP1bは、第1中継ノードN11と第2中継ノードN12と第3中継ノードN13と第4中継ノードN14と第5中継ノードN15とを有する。第1リレー経路RP1bはまた、
ソースノードSNと第1中継ノードN11とを接続する伝送リンクと、
第1中継ノードN11と第2中継ノードN12とを接続する伝送リンクと、
第2中継ノードN12と第3中継ノードN13とを接続する伝送リンクと、
第3中継ノードN13と第4中継ノードN14とを接続する伝送リンクと、
第4中継ノードN14と第5中継ノードN15とを接続する伝送リンクと、
第5中継ノードN15とターミナルノードTNとを接続する伝送リンクとを有する。
ソースノードSNと第1中継ノードN11とを接続する伝送リンクと、
第1中継ノードN11と第2中継ノードN12とを接続する伝送リンクと、
第2中継ノードN12と第3中継ノードN13とを接続する伝送リンクと、
第3中継ノードN13と第4中継ノードN14とを接続する伝送リンクと、
第4中継ノードN14と第5中継ノードN15とを接続する伝送リンクと、
第5中継ノードN15とターミナルノードTNとを接続する伝送リンクとを有する。
【0080】
第2リレー経路RP2bは、第1中継ノードN21と第2中継ノードN22と第3中継ノードN23と第4中継ノードN24と第5中継ノードN25とを有する。第2リレー経路RP2bはまた、
ソースノードSNと第1中継ノードN21とを接続する伝送リンクと、
第1中継ノードN21と第2中継ノードN22とを接続する伝送リンクと、
第2中継ノードN22と第3中継ノードN23とを接続する伝送リンクと、
第3中継ノードN23と第4中継ノードN24とを接続する伝送リンクと、
第4中継ノードN24と第5中継ノードN25とを接続する伝送リンクと、
第5中継ノードN25とターミナルノードTNとを接続する伝送リンクとを有する。
ソースノードSNと第1中継ノードN21とを接続する伝送リンクと、
第1中継ノードN21と第2中継ノードN22とを接続する伝送リンクと、
第2中継ノードN22と第3中継ノードN23とを接続する伝送リンクと、
第3中継ノードN23と第4中継ノードN24とを接続する伝送リンクと、
第4中継ノードN24と第5中継ノードN25とを接続する伝送リンクと、
第5中継ノードN25とターミナルノードTNとを接続する伝送リンクとを有する。
【0081】
本実施形態では中継地点の1つが第1リレー経路RP1bと第2リレー経路RP2bとによって共有されている。この中継地点を図13の符号P1により示す。中継地点P1は、秘密分散データK1に対しては中継ノードN13として機能し、秘密分散データK2に対しては中継ノードN23として機能する。
【0082】
第1リレー経路RP1b上にある第2中継ノードN12は、第2リレー経路RP2b上にある第4中継ノードN24に対し、乱数r3をOTPによって秘匿化して提供する。同様に、第2リレー経路RP2b上にある第2中継ノードN22は、第1リレー経路RP1b上にある第4中継ノードN14に対し、乱数r4をOTPによって秘匿化して提供する。
【0083】
中継地点P1における中継ノードN13及びN23は、乱数の生成や受け入れを行わない。中継ノードN13及びN23は、入力された秘密分散データを、乱数マスクの更新を行うことなく、次の中継ノードに向けて出力する。
【0084】
中継地点P1が危殆化した場合、盗聴者は
を取得できる。しかし、乱数r3及びr4が盗聴者にとっては不明であるため、マスクを解除して秘密情報Kを取得することはできない。
【数42】
【0085】
従来の分散化リレー伝送の方法では,異なる秘密分散データを含んだ全てのパケットが一箇所の中継地点で合流すると、秘密分散の効果が失われるという問題があった。これに対し、本実施形態では、秘密分散データK1及びK2をそれぞれ含む2つのパケットが中継地点P1に到着するが、秘密情報が盗聴者によって復元できないようになっている。
【0086】
このように、複数のリレー経路が共通の中継地点を含む場合でも有効である。
【0087】
<第5実施形態>
図14に通信ネットワークNW51を示す。この通信ネットワークNW51は、図5に示した通信ネットワーク12と同様に、ソースノードSNとターミナルノードTNとを結ぶ第1リレー経路RP1と第2リレー経路RP2とを有する。
図14に通信ネットワークNW51を示す。この通信ネットワークNW51は、図5に示した通信ネットワーク12と同様に、ソースノードSNとターミナルノードTNとを結ぶ第1リレー経路RP1と第2リレー経路RP2とを有する。
【0088】
ソースノードSNは、乱数r0を用いて秘密情報Kを秘密分散データK1及びK2に秘密分散する。秘密分散データK1を含んだパケットは、ソースノードSNから、経路情報に従って順番に中継ノードN11、N12、N13及びN14を経てターミナルノードTNへ送られる。同様に、秘密分散データK2を含んだパケットは、ソースノードSNから、中継ノードN21、N22、N23及びN24を経てターミナルノードTNへ送られる。
【0089】
さらに、異なるリレー経路に属する2つの中継ノードの間には公開のデータ通信路がリレー経路とは別に設けられる。ただし、これらのデータ通信路は、秘密分散データの伝送には使用されず、後述するマスク用の乱数を送受信するために使用される。
【0090】
まず第1段階として、図14に示すように、公開鍵kと非公開鍵k’のペアを予め準備しておく。このペアは、続く第2段階において、秘密分散データにマスクをかけるために用いる乱数を、異なるリレー経路に所属する2つのノード間で秘匿化して送受信するために使用される。
【0091】
第2段階では、図15に示すように、各リレー経路上の中継ノードは、自らマスク用乱数を生成するとともに、別のリレー経路に所属する前段の中継ノードからマスク用乱数の提供を受ける。これにより、秘密分散データに対する乱数マスクが中継区間毎に更新される。最後にターミナルノードにおいて、全てのマスク用乱数が相殺されることによって、秘密情報
が復元される。
【数43】
【0092】
図14及び図15を参照しながらさらに詳細に説明する。
<第1段階>
図14に、本実施形態の第1段階における公開鍵kと非公開鍵k´の準備の例を示す。中継ノードN22は、公開鍵暗号方式の一般的な手順に従って、公開鍵k22と非公開鍵k´22のペアを準備して公開鍵k22を公開する。同様に、中継ノードN13は公開鍵k13と非公開鍵k´13のペアを準備して公開鍵k13を公開する。中継ノードN14は公開鍵k14と非公開鍵k´14のペアを準備して公開鍵k14を公開する。中継ノードN24は公開鍵k24と非公開鍵k´24のペアを準備して公開鍵k24を公開する。ターミナルノードTNは、公開鍵kTと非公開鍵k´Tのペアを準備して公開鍵kTを公開する。
これにより、リレー経路上のノードは、ノード間の物理的な距離に制約されることなく、上記の各ノードへ各々対応する公開鍵を用いて情報を秘匿化して送信することができる。
<第1段階>
図14に、本実施形態の第1段階における公開鍵kと非公開鍵k´の準備の例を示す。中継ノードN22は、公開鍵暗号方式の一般的な手順に従って、公開鍵k22と非公開鍵k´22のペアを準備して公開鍵k22を公開する。同様に、中継ノードN13は公開鍵k13と非公開鍵k´13のペアを準備して公開鍵k13を公開する。中継ノードN14は公開鍵k14と非公開鍵k´14のペアを準備して公開鍵k14を公開する。中継ノードN24は公開鍵k24と非公開鍵k´24のペアを準備して公開鍵k24を公開する。ターミナルノードTNは、公開鍵kTと非公開鍵k´Tのペアを準備して公開鍵kTを公開する。
これにより、リレー経路上のノードは、ノード間の物理的な距離に制約されることなく、上記の各ノードへ各々対応する公開鍵を用いて情報を秘匿化して送信することができる。
【0093】
<第2段階>
図15に、本実施形態の第2段階を示す。
ソースノードSNは以下の処理を行う。
・乱数R0を生成する。
・乱数R0を用いて秘密情報Kを2つの秘密分散データK1及びK2に秘密分散する。
・秘密分散データK1をOTPによって秘匿化したデータを第1リレー経路上にある中継ノードN11に伝送する。
・秘密分散データK2をOTPによって秘匿化したデータを第2リレー経路上にある中継ノードN21に伝送する。
図15に、本実施形態の第2段階を示す。
ソースノードSNは以下の処理を行う。
・乱数R0を生成する。
・乱数R0を用いて秘密情報Kを2つの秘密分散データK1及びK2に秘密分散する。
【数44】
・秘密分散データK2をOTPによって秘匿化したデータを第2リレー経路上にある中継ノードN21に伝送する。
【0094】
第1リレー経路上にある第1中継ノードN11は以下の処理を行う。
・自ら乱数r1を生成する。
・ソースノードSNから受信した秘匿化データから、秘密分散データK1を復号する。
・乱数r1によって秘密分散データK1をマスクして
を得る。得られた結果をOTPによって秘匿化したデータを、同一リレー経路上にある後段の中継ノードN12に伝送する。
・第2リレー経路でも乱数r1を使用できるように、公開鍵k22によって秘匿化した乱数r1のデータを、第2リレー経路上にある後段の中継ノードN22に送信する。
・自ら乱数r1を生成する。
・ソースノードSNから受信した秘匿化データから、秘密分散データK1を復号する。
・乱数r1によって秘密分散データK1をマスクして
【数45】
・第2リレー経路でも乱数r1を使用できるように、公開鍵k22によって秘匿化した乱数r1のデータを、第2リレー経路上にある後段の中継ノードN22に送信する。
【0095】
第2リレー経路上にある第1中継ノードN21は以下の処理を行う。
・自ら乱数r2を生成する。
・ソースノードSNから受信した秘匿化データから、秘密分散データK2を復号する。
・乱数r2によって秘密分散データK2をマスクして
を得る。得られた結果をOTPによって秘匿化したデータを、同じリレー経路上にある後段の中継ノードN22に伝送する。
・第1リレー経路でも乱数r2を使用できるように、公開鍵k13によって秘匿化した乱数r2のデータを、第1リレー経路上にある後段の中継ノードN13に送信する。
・自ら乱数r2を生成する。
・ソースノードSNから受信した秘匿化データから、秘密分散データK2を復号する。
・乱数r2によって秘密分散データK2をマスクして
【数46】
・第1リレー経路でも乱数r2を使用できるように、公開鍵k13によって秘匿化した乱数r2のデータを、第1リレー経路上にある後段の中継ノードN13に送信する。
【0096】
第1リレー経路上にある第2中継ノードN12は以下の処理を行う。
・自ら乱数r3を生成する。
・同一リレー経路上にある前段の中継ノードN11から伝送された秘匿化データから
を復号する。
・自ら生成した乱数r3を用いて、マスクされた秘密分散データ
に対して更にマスクを施して、マスクされた秘密分散データ
を得る。得られた結果をOTPによって秘匿化したデータを、同一経路上にある後段の中継ノードN13に伝送する。
・第2リレー経路でも乱数r3を使用できるように、公開鍵k24によって秘匿化した乱数r3のデータを、第2のリレー経路上にある後段の中継ノードN24に送信する。
・自ら乱数r3を生成する。
・同一リレー経路上にある前段の中継ノードN11から伝送された秘匿化データから
【数47】
・自ら生成した乱数r3を用いて、マスクされた秘密分散データ
【数48】
【数49】
・第2リレー経路でも乱数r3を使用できるように、公開鍵k24によって秘匿化した乱数r3のデータを、第2のリレー経路上にある後段の中継ノードN24に送信する。
【0097】
第2リレー経路上にある第2中継ノードN22は以下の処理を行う。
・自ら乱数r4を生成する。
・第1リレー経路上にある前段の中継ノードN11から送信された秘匿化データから、非公開鍵k´22を用いて乱数r1を復号する。
・同一リレー経路上にある前段の中継ノードN21から伝送された秘匿化データから、
を復号する。
・自ら生成した乱数r4と提供された乱数r1とを用いて、マスクされた秘密分散データ
に対して更にマスクを施して、マスクされた秘密分散データ
を得る。このようにして第2のリレー経路でも乱数r1が使用される。得られた結果をOTPによって秘匿化したデータを、同一経路上にある後段の中継ノードN23に伝送する。
・第1のリレー経路でも乱数r4を使用できるように、公開鍵k13によって秘匿化した乱数r4のデータを、第1リレー経路上にある後段の中継ノードN13に送信する。
・自ら乱数r4を生成する。
・第1リレー経路上にある前段の中継ノードN11から送信された秘匿化データから、非公開鍵k´22を用いて乱数r1を復号する。
・同一リレー経路上にある前段の中継ノードN21から伝送された秘匿化データから、
【数50】
・自ら生成した乱数r4と提供された乱数r1とを用いて、マスクされた秘密分散データ
【数51】
【数52】
・第1のリレー経路でも乱数r4を使用できるように、公開鍵k13によって秘匿化した乱数r4のデータを、第1リレー経路上にある後段の中継ノードN13に送信する。
【0098】
第1リレー経路上にある第3中継ノードN13は以下の処理を行う。
・自ら乱数r5を生成する。
・第2リレー経路上にある前段の中継ノードN21から送信された秘匿化データから、非公開鍵k´13を用いて乱数r2を復号する。
・第2リレー経路上にある前段の中継ノードN22から送信された秘匿化データから、非公開鍵k´13を用いて乱数r4を復号する。
・同一リレー経路上にある前段の中継ノードN12から伝送された秘匿化データから、
を復号する。
・自ら生成した乱数r5と提供された乱数r2及びr4とを用いて、マスクされた秘密分散データ
に対して更にマスクを施して、マスクされた秘密分散データ
を得る。このようにして第1リレー経路でも乱数r2及びr4が使用される。得られた結果をOTPによって秘匿化したデータを、同一経路上にある後段の中間ノードN14に伝送する。
・公開鍵kTによって秘匿化した乱数r5のデータを、第2リレー経路の終点であるターミナルノードTに送信する。
・自ら乱数r5を生成する。
・第2リレー経路上にある前段の中継ノードN21から送信された秘匿化データから、非公開鍵k´13を用いて乱数r2を復号する。
・第2リレー経路上にある前段の中継ノードN22から送信された秘匿化データから、非公開鍵k´13を用いて乱数r4を復号する。
・同一リレー経路上にある前段の中継ノードN12から伝送された秘匿化データから、
【数53】
・自ら生成した乱数r5と提供された乱数r2及びr4とを用いて、マスクされた秘密分散データ
【数54】
【数55】
・公開鍵kTによって秘匿化した乱数r5のデータを、第2リレー経路の終点であるターミナルノードTに送信する。
【0099】
第2リレー経路上にある第3中継ノードN23は以下の処理を行う。
・自ら乱数r6を生成する。
・同一リレー経路上にある前段の中継ノードN22から伝送された秘匿化データから、
を復号する。
・自ら生成した乱数r6を用いて、マスクされた秘密分散データ
に対して更にマスクを施して、マスクされた秘密分散データ
を得る。得られた結果をOTPによって秘匿化したデータを、同一経路上にある後段の中間ノードN24に伝送する。
・第1のリレー経路でも乱数r6を使用できるように、公開鍵k14によって秘匿化した乱数r6のデータを、第1リレー経路上にある後段の中継ノードN14に送信する。
・自ら乱数r6を生成する。
・同一リレー経路上にある前段の中継ノードN22から伝送された秘匿化データから、
【数56】
・自ら生成した乱数r6を用いて、マスクされた秘密分散データ
【数57】
【数58】
・第1のリレー経路でも乱数r6を使用できるように、公開鍵k14によって秘匿化した乱数r6のデータを、第1リレー経路上にある後段の中継ノードN14に送信する。
【0100】
第1リレー経路上にある第4中継ノードN14は、後段のノードがターミナルノードTNであることから新たな乱数の生成は行わないが、以下の処理を行う。
・第2リレー経路上にある前段の中継ノードN23から送信された秘匿化データから、非公開鍵k´14を用いて乱数r6を復号する。
・同一リレー経路上にある前段の中継ノードN13から伝送された秘匿化データから、
を復号する。
・提供された乱数r6を用いて、マスクされた秘密分散データ
に対して更にマスクを施して、マスクされた秘密分散データ
を得る。このようにして第1のリレー経路でも乱数r6が使用される。得られた結果をOTPによって秘匿化したデータを、ターミナルノードTNに伝送する。
・第2リレー経路上にある前段の中継ノードN23から送信された秘匿化データから、非公開鍵k´14を用いて乱数r6を復号する。
・同一リレー経路上にある前段の中継ノードN13から伝送された秘匿化データから、
【数59】
・提供された乱数r6を用いて、マスクされた秘密分散データ
【数60】
【数61】
【0101】
第2リレー経路上にある第4中継ノードN24は、後段のノードがターミナルノードTNであることから新たな乱数の生成は行わないが、以下の処理を行う。
・第1リレー経路上にある前段の中継ノードN12から送信された秘匿化データから、非公開鍵k´24を用いて乱数r3を復号する。
・同一リレー経路上にある前段の中間ノードN23から伝送された秘匿化データから、
を復号する。提供された乱数r3を用いて、マスクされた秘密分散データ
に対して更にマスクを施して、マスクされた秘密分散データ
を得る。このようにして第2リレー経路でも乱数r3が使用される。
・得られた結果をOTPによって秘匿化したデータを、ターミナルノードTNに伝送する。
・第1リレー経路上にある前段の中継ノードN12から送信された秘匿化データから、非公開鍵k´24を用いて乱数r3を復号する。
・同一リレー経路上にある前段の中間ノードN23から伝送された秘匿化データから、
【数62】
【数63】
【数64】
・得られた結果をOTPによって秘匿化したデータを、ターミナルノードTNに伝送する。
【0102】
ターミナルノードTNは以下の処理を行う。
・第1リレー経路上の中継ノードN14から伝送された秘匿化データから、
を復号する。
・第1リレー経路上の前段の中継ノードN13から送信された秘匿化データから、非公開鍵k´Tを用いて乱数r5を復号する。これは、第2リレー経路の終端であるターミナルノードTNに乱数r5が提供されたと解釈できる。
・第2リレー経路上の中継ノードN24から伝送された秘匿化データから、
を復号する。
・上記3回の復号により得られた3つのデータの排他的論理和を計算することによって、秘密情報
を復元する。
・第1リレー経路上の中継ノードN14から伝送された秘匿化データから、
【数65】
・第1リレー経路上の前段の中継ノードN13から送信された秘匿化データから、非公開鍵k´Tを用いて乱数r5を復号する。これは、第2リレー経路の終端であるターミナルノードTNに乱数r5が提供されたと解釈できる。
・第2リレー経路上の中継ノードN24から伝送された秘匿化データから、
【数66】
・上記3回の復号により得られた3つのデータの排他的論理和を計算することによって、秘密情報
【数67】
【0103】
図16を参照して、本実施形態の効果を説明する。前述の第2のポイントによれば、異なる中間ノードには異なる乱数でマスクされた秘密分散データと幾つかの乱数が保持されることになる。図16として示す表の第1行に、第1リレー経路の上にある中間ノードN11~N14に保持された秘密分散データと乱数を示す。同様に、この表の第1列に、第2リレー経路の上にある中間ノードN21~N24に保持された秘密分散データと乱数を示す。
【0104】
秘密情報
を復元するためには、第1のリレー経路の上にある中間ノードを盗聴して秘密分散データK1に関する情報を、第2のリレー経路の上にある中間ノードを盗聴してK2に関する情報をそれぞれ取得した後、それらを合成する必要ある。このとき攻撃ポイントとなる2つの中間ノードの組み合わせを選ぶ必要がある。図16として示す表には、攻撃ポイントの組み合わせと合成の結果取得できる情報との対応関係をも示している。秘密情報Kの復元に成功する攻撃ポイントの組み合わせは(N11、N21)に限定されることが分かる。この組み合わせを図17にも示す。攻撃ポイントの組み合わせがを1通りに限定され、その他の組み合わせでは、盗聴者は秘密情報Kに施されたマスクを解除することができない。
このようにし、正規のユーザや運用者は分散化リレー伝送システムに対する攻撃ポイントの組み合わせのパターンを大幅に制限することができる。つまり、盗聴者から見た攻撃の難易度が高まる。
【数68】
このようにし、正規のユーザや運用者は分散化リレー伝送システムに対する攻撃ポイントの組み合わせのパターンを大幅に制限することができる。つまり、盗聴者から見た攻撃の難易度が高まる。
【0105】
<第6実施形態>
図18に通信ネットワークNW61を示す。この通信ネットワークNW61は、図14及び図15に示した通信ネットワークNW51と同様に、第1リレー経路RP1及びRP2を有する。さらに、異なるリレー経路に属する2つの中継ノードの間には公開のデータ通信路がリレー経路とは別に設けられる。ただし、これらのデータ通信路は、秘密分散データの伝送には使用されず、マスク用の乱数を送受信するために使用される。
図18に通信ネットワークNW61を示す。この通信ネットワークNW61は、図14及び図15に示した通信ネットワークNW51と同様に、第1リレー経路RP1及びRP2を有する。さらに、異なるリレー経路に属する2つの中継ノードの間には公開のデータ通信路がリレー経路とは別に設けられる。ただし、これらのデータ通信路は、秘密分散データの伝送には使用されず、マスク用の乱数を送受信するために使用される。
【0106】
本実施形態では、通信ネットワークNW51における前述の処理に加え、ソースノードSNが乱数r0を生成して秘密分散データK2をマスクして
を得る。ソースノードSNは、得られた結果を中継ノードN21に送る。
乱数r0を、中継ノードN12による公開鍵k12で秘匿化して中継ノードN12に送信する。
中継ノードN12は、非公開鍵k´12を用いて乱数r0を復号し、乱数r0をマスク用乱数の一部として用いる。
この場合、盗聴者は、攻撃ポイントの組み合わせとして(N11,N21)を選んだとしても、秘密情報Kを復元することはできない。盗聴者は乱数r0を知らないからである。盗聴者が秘密情報の復元を行うためには、3つ以上のノードを攻撃する必要がある。例えば、中継ノードN11及びN21に加え、乱数r0を得るために中継ノードN12も攻撃しなければならない。
このようにして、ソースノードSNから中継ノードへ乱数を直接に供給することで、盗聴の難易度を更に高めることができる。
【数69】
乱数r0を、中継ノードN12による公開鍵k12で秘匿化して中継ノードN12に送信する。
中継ノードN12は、非公開鍵k´12を用いて乱数r0を復号し、乱数r0をマスク用乱数の一部として用いる。
この場合、盗聴者は、攻撃ポイントの組み合わせとして(N11,N21)を選んだとしても、秘密情報Kを復元することはできない。盗聴者は乱数r0を知らないからである。盗聴者が秘密情報の復元を行うためには、3つ以上のノードを攻撃する必要がある。例えば、中継ノードN11及びN21に加え、乱数r0を得るために中継ノードN12も攻撃しなければならない。
このようにして、ソースノードSNから中継ノードへ乱数を直接に供給することで、盗聴の難易度を更に高めることができる。
【0107】
なお、乱数を秘匿化して送受信するための暗号方式として公開鍵暗号方式を挙げたが、これに限られない。AES(Advanced Encryption Standard)等の、他の算術的暗号方式を使用してもよい。
【0108】
図19に、複数のノードと2つの前記ノードを接続するリンクとを有する通信ネットワークを制御する制御装置100を示す。この制御装置100は、通信ネットワーク内の各ノードと通信可能に構成され、経路設定部110と送信指示部120とマスキング指示部130とを備えている。通信ネットワークと制御装置100とをまとめて通信ネットワークシステムと呼ぶことができる。
【0109】
経路設定部110は、秘密情報Kの送信元であるソースノードSNと、前記秘密情報の宛先であるターミナルノードTNと、前記ソースノードと前記ターミナルノードとを複数の中継ノードを介して接続する複数の経路とを設定する。
【0110】
送信指示部120は、前記ソースノードに対し、前記秘密情報を秘密分散することにより得られる複数の秘密分散データを前記複数の経路でそれぞれ送るよう指示する。
【0111】
マスキング指示部130は、中継ノードに対し、乱数による秘密分散データのマスキングと、当該中継ノードと異なる前記経路に属する中継ノードへの前記乱数の送信とを指示する。ここで、マスキングの指示と、乱数の送信の指示とは、(a)各経路内の或るリンクと別のリンクとにおいて異なる乱数により前記秘密分散データがマスキングされて送られるように、かつ、(b)前記マスキングがなされた前記複数の秘密分散データが前記ターミナルノードにおいて結合されると前記マスキングが数学的にキャンセルされて前記秘密情報が復元されるように、行われる。
これにより、ターミナルノードにおける秘密情報の復元の際に、マスキングが数学的にキャンセルされる。このキャンセルは、ターミナルノードがマスク用乱数を知ることなく自動的に行われる。
これにより、ターミナルノードにおける秘密情報の復元の際に、マスキングが数学的にキャンセルされる。このキャンセルは、ターミナルノードがマスク用乱数を知ることなく自動的に行われる。
【0112】
制御装置100は復元指示部140をさらに備えていてもよい。復元指示部140は、前記ターミナルノードに対し、前記複数の経路を通じて送られた前記複数の秘密分散データを結合し前記秘密情報を復元するよう指示する。
【0113】
前記乱数はガロア体GF(qx)上の元とすることができる。ただし、qは素数であり、xは正整数である。
【0114】
図示した実施形態は、ガロア体GF(2x)における乱数を用いている。そのため、ターミナルノードにおける復号の際に、ターミナルノードが受信する全てのマスキング済み秘密分散データに含まれる同じマスク用乱数の個数が2の倍数倍であれば、上記キャンセルの効果が得られる。ガロア体GF(2x)における或る乱数と、その乱数と同じ乱数とについては、両乱数の加法の結果と、両乱数の排他的論理和の結果が同じである。そして、このことは、ガロア体GF(qx)(ただし、qは素数)に一般化される。
【0115】
x1,x2をガロア体GF(2x)の元とすると、x1+x2の計算と、x1とx2のXOR(排他的論理和)の計算とは等価である。例えば、ガロア体GF(28)上で、x1=100(ビット表現では01100100)とし、x2=246(ビット表現では11110110)とする。ガロア体GF(28)上の加算でx1+x2=146となる。その一方で、x1とx2の各ビット間でXORを計算すると、10010010になる。このビット表現を十進数で表現すると146である。つまり、加算と排他的論理和は等価であることが分かる。よって、同じ元どうしを加算した場合(例えば、x1+x1)、各ビットは同じビットどうしの排他的論理和であるため、結果は0となる。つまりキャンセル(相殺)される。したがって、ガロア体GF(2x)上の偶数個(2の倍数個)の元を加算すると、0になる。
一般に、ガロア体GF(qx)において、q個の同じ元が加算されると0になる。
以上がガロア体の計算の特徴である。これまでに述べた実施形態は、このようなガロア体の計算の特徴を巧みに利用したものである。
一般に、ガロア体GF(qx)において、q個の同じ元が加算されると0になる。
以上がガロア体の計算の特徴である。これまでに述べた実施形態は、このようなガロア体の計算の特徴を巧みに利用したものである。
【0116】
q=2の場合、加算と減算は等価である。
q>2の場合、加算と減算は等価ではない。q>2の場合に、乱数によるマスキングをキャンセルするために、q個の同じ元の加算のみならず、減算も利用できる。この場合、一回の減算(2つの同じ元どうしの減算)で0になる。例えば、x1-x1=0である。
より一般的には、qが素数の場合、ターミナルノードでの結合においてマスキング用乱数の四則演算によりマスキングが数学的にキャンセルされるように、マスキングを行うことができる。
q>2の場合、加算と減算は等価ではない。q>2の場合に、乱数によるマスキングをキャンセルするために、q個の同じ元の加算のみならず、減算も利用できる。この場合、一回の減算(2つの同じ元どうしの減算)で0になる。例えば、x1-x1=0である。
より一般的には、qが素数の場合、ターミナルノードでの結合においてマスキング用乱数の四則演算によりマスキングが数学的にキャンセルされるように、マスキングを行うことができる。
【0117】
図20を参照する。ガロア体GF(51)において、K1、K2を秘密分散データとし、K=2*K1+3*K2として秘密分散したとする。r1、r2、r3及びr4は乱数である。図5を参照して述べた方法に準じた方法でデータのやり取りが行われる。
ネットワークNW71内のソースノードSNからターミナルノードTNまでの2つの経路のうち、第1の経路を通じて秘密分散データK1が送られ、第2の経路を通じて秘密分散データK2が送られる。
中継ノードN12~N14及びN22~N24において、乱数の加算による秘密分散データのマスキングが行われる。そして、ターミナルノードTNは、以下の2つのマスキング済み秘密分散データを受信する。
K1+r1+r2+r3+r4
K2+r2+r1+r4+r3
ターミナルノードは、秘密分散のルールに基づいた以下の計算を行い、秘密情報Kを復元する。
2*(K1+r1+r2+r3+r4)+3*(K2+r2+r1+r4+r3)
=(2*K1+3*K2)+(2*r1+3*r1)+(2*r2+3*r2)+(2*r3+3*r3)+(2*r4+3*r4)
=2*K1+3*K2
=K
このように、ターミナルノードでの結合において、q個の同じ乱数が加算されることでマスキングがキャンセルされる。
ネットワークNW71内のソースノードSNからターミナルノードTNまでの2つの経路のうち、第1の経路を通じて秘密分散データK1が送られ、第2の経路を通じて秘密分散データK2が送られる。
中継ノードN12~N14及びN22~N24において、乱数の加算による秘密分散データのマスキングが行われる。そして、ターミナルノードTNは、以下の2つのマスキング済み秘密分散データを受信する。
K1+r1+r2+r3+r4
K2+r2+r1+r4+r3
ターミナルノードは、秘密分散のルールに基づいた以下の計算を行い、秘密情報Kを復元する。
2*(K1+r1+r2+r3+r4)+3*(K2+r2+r1+r4+r3)
=(2*K1+3*K2)+(2*r1+3*r1)+(2*r2+3*r2)+(2*r3+3*r3)+(2*r4+3*r4)
=2*K1+3*K2
=K
このように、ターミナルノードでの結合において、q個の同じ乱数が加算されることでマスキングがキャンセルされる。
【0118】
図21を参照する。ガロア体GF(51)において、K1、K2を秘密分散データとし、K=2*K1+3*K2として秘密分散したとする。r1、r2、r3及びr4は乱数である。図5を参照して述べた方法に準じた方法でデータのやり取りが行われる。
ネットワークNW72内のソースノードSNからターミナルノードTNまでの2つの経路のうち、第1の経路を通じて秘密分散データK1が送られ、第2の経路を通じて秘密分散データK2が送られる。
中継ノードN12では以下に示すように減算によるマスキングが行われる。
2*K1-r1
中継ノードN22でも減算によるマスキングが行われる。
中継ノードN13では以下に示すように加算及び減算によるマスキングが行われる。
2*K1-r1+r2-r3
中継ノードN23でも加算及び減算によるマスキングが行われる。
中継ノードN14では以下に示すように加算によるマスキングが行われる。
2*K1-r1+r2-r3+r4
中継ノードN24でも加算によるマスキングが行われる。
ターミナルノードは、秘密分散のルールに基づいた以下の計算を行い、秘密情報Kを復元する。
(2*K1-r1+r2-r3+r4)+(3*K2-r2+r1-r4+r3)
=(2*K1+3*K2)+(r1-r1)+(r2-r2)+(r3-r3)+(r4-r4)
=2*K1+3*K2
=K
このように、ターミナルノードでの結合において、或る乱数から同じ乱数を引くことによりマスキングがキャンセルされる。
ネットワークNW72内のソースノードSNからターミナルノードTNまでの2つの経路のうち、第1の経路を通じて秘密分散データK1が送られ、第2の経路を通じて秘密分散データK2が送られる。
中継ノードN12では以下に示すように減算によるマスキングが行われる。
2*K1-r1
中継ノードN22でも減算によるマスキングが行われる。
中継ノードN13では以下に示すように加算及び減算によるマスキングが行われる。
2*K1-r1+r2-r3
中継ノードN23でも加算及び減算によるマスキングが行われる。
中継ノードN14では以下に示すように加算によるマスキングが行われる。
2*K1-r1+r2-r3+r4
中継ノードN24でも加算によるマスキングが行われる。
ターミナルノードは、秘密分散のルールに基づいた以下の計算を行い、秘密情報Kを復元する。
(2*K1-r1+r2-r3+r4)+(3*K2-r2+r1-r4+r3)
=(2*K1+3*K2)+(r1-r1)+(r2-r2)+(r3-r3)+(r4-r4)
=2*K1+3*K2
=K
このように、ターミナルノードでの結合において、或る乱数から同じ乱数を引くことによりマスキングがキャンセルされる。
【0119】
あるいは、図示はしないが、ソースノードにおいて以下のように秘密分散が行われてもよい。
K=2K1+5K2-3K3
そして、ソースノードとターミナルノードとを接続する3つの経路が設定される。第1の経路を通じて秘密分散データK1が送られ、第2の経路を通じて秘密分散データK2が送られ、第3の経路を通じて秘密分散データK3が送られる。各経路で乱数によるマスキングが行われる。
ターミナルノードは、ソースノードでの秘密分散のルールに従って、第1の経路を通じて受信したマスキング済み秘密分散データに2を乗じた結果と、第2の経路を通じて受信したマスキング済み秘密分散データに5を乗じた結果と、第3の経路を通じて受信したマスキング済み秘密分散データに3を乗じた結果とを加算する。この加算によりマスキングがキャンセルされるように、各経路で乱数によるマスキングが行われる。
K=2K1+5K2-3K3
そして、ソースノードとターミナルノードとを接続する3つの経路が設定される。第1の経路を通じて秘密分散データK1が送られ、第2の経路を通じて秘密分散データK2が送られ、第3の経路を通じて秘密分散データK3が送られる。各経路で乱数によるマスキングが行われる。
ターミナルノードは、ソースノードでの秘密分散のルールに従って、第1の経路を通じて受信したマスキング済み秘密分散データに2を乗じた結果と、第2の経路を通じて受信したマスキング済み秘密分散データに5を乗じた結果と、第3の経路を通じて受信したマスキング済み秘密分散データに3を乗じた結果とを加算する。この加算によりマスキングがキャンセルされるように、各経路で乱数によるマスキングが行われる。
【0120】
制御装置100は、前記通信ネットワークの各リンクにおいて暗号化が行われるようにソースノードとターミナルノードと中継ノードとに指示を行う暗号化指示部(不図示)を備えていてもよい。各リンクにおいて、OTP、AESなど、任意の暗号化を行うことができる。各リンクにおいて暗号化が行われることで、斯かる暗号化が行われない場合に比べて、盗聴の難易度を高めることができる。
【0121】
図22に、制御装置100のコンピュータハードウェア構成例を示す。制御装置100は、CPU351と、インタフェース装置352と、表示装置353と、入力装置354と、ドライブ装置355と、補助記憶装置356と、メモリ装置357とを備えており、これらがバス358により相互に接続されている。
【0122】
制御装置100の機能を実現するプログラムは、CD-ROM等の記録媒体359によって提供される。プログラムを記録した記録媒体359がドライブ装置355にセットされると、プログラムが記録媒体359からドライブ装置355を介して補助記憶装置356にインストールされる。あるいは、プログラムのインストールは必ずしも記録媒体359により行う必要はなく、ネットワーク経由で行うこともできる。補助記憶装置356は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
【0123】
メモリ装置357は、プログラムの起動指示があった場合に、補助記憶装置356からプログラムを読み出して格納する。CPU351は、メモリ装置357に格納されたプログラムにしたがって制御装置100の機能を実現する。インタフェース装置352は、ネットワークを通して他のコンピュータに接続するためのインタフェースとして用いられる。表示装置353はプログラムによるGUI(Graphical User Interface)等を表示する。入力装置354はキーボード及びマウス等である。
【0124】
なお、制御装置100と同様のコンピュータハードウェア構成を、通信ネットワーク内の各ノードも有する。
【0125】
これまでに説明した実施形態は、装置としての側面だけではなく、方法としての側面及びコンピュータプログラムとしての側面をも有している。
【0126】
これまでに説明した実施形態に関し、以下の付記を開示する。
[付記1]
複数のノードと2つの前記ノードを接続するリンクとを有する通信ネットワークの制御装置であって、
前記通信ネットワークにおいて、秘密情報の送信元であるソースノードと、前記秘密情報の宛先であるターミナルノードと、前記ソースノードと前記ターミナルノードとを複数の中継ノードを介して接続する複数の経路とを設定する経路設定部と、
前記ソースノードに対し、前記秘密情報を秘密分散することにより得られる複数の秘密分散データを前記複数の経路でそれぞれ送るよう指示する送信指示部と、
各経路内の或るリンクと別のリンクとにおいて異なる乱数により前記秘密分散データがマスキングされて送られるように、かつ、前記マスキングがなされた前記複数の秘密分散データが前記ターミナルノードにおいて結合されると前記マスキングが数学的にキャンセルされて前記秘密情報が復元されるように、前記中継ノードに対し、前記乱数による前記秘密分散データのマスキングと、当該中継ノードと異なる前記経路に属する中継ノードへの前記乱数の送信とを指示するマスキング指示部と
を備える、通信ネットワークの制御装置。
[付記2]
前記ターミナルノードに対し、前記複数の経路を通じて送られた前記複数の秘密分散データを結合し前記秘密情報を復元するよう指示する復元指示部をさらに備える付記1に記載の通信ネットワークの制御装置。
[付記3]
前記乱数がガロア体GF(qx)上の元であり、qは素数であり、xは正整数である、付記1又は2に記載の通信ネットワークの制御装置。
[付記4]
前記マスキング指示部は、前記ターミナルノードでの、前記マスキングがなされた前記複数の秘密分散データの結合において、前記乱数の四則演算によりマスキングがキャンセルされるように、マスキングの指示を行う、付記3に記載の通信ネットワークの制御装置。
[付記5]
前記通信ネットワークの各リンクにおいて暗号化が行われるように前記ソースノードと前記ターミナルノードと前記中継ノードとに指示を行う暗号化指示部をさらに備える付記1又は2に記載の通信ネットワークの制御装置。
[付記6]
付記1又は2に記載の制御装置と、
前記複数のノードと、
2つの前記ノードを接続する前記リンクと
を有する通信ネットワークシステム。
[付記1]
複数のノードと2つの前記ノードを接続するリンクとを有する通信ネットワークの制御装置であって、
前記通信ネットワークにおいて、秘密情報の送信元であるソースノードと、前記秘密情報の宛先であるターミナルノードと、前記ソースノードと前記ターミナルノードとを複数の中継ノードを介して接続する複数の経路とを設定する経路設定部と、
前記ソースノードに対し、前記秘密情報を秘密分散することにより得られる複数の秘密分散データを前記複数の経路でそれぞれ送るよう指示する送信指示部と、
各経路内の或るリンクと別のリンクとにおいて異なる乱数により前記秘密分散データがマスキングされて送られるように、かつ、前記マスキングがなされた前記複数の秘密分散データが前記ターミナルノードにおいて結合されると前記マスキングが数学的にキャンセルされて前記秘密情報が復元されるように、前記中継ノードに対し、前記乱数による前記秘密分散データのマスキングと、当該中継ノードと異なる前記経路に属する中継ノードへの前記乱数の送信とを指示するマスキング指示部と
を備える、通信ネットワークの制御装置。
[付記2]
前記ターミナルノードに対し、前記複数の経路を通じて送られた前記複数の秘密分散データを結合し前記秘密情報を復元するよう指示する復元指示部をさらに備える付記1に記載の通信ネットワークの制御装置。
[付記3]
前記乱数がガロア体GF(qx)上の元であり、qは素数であり、xは正整数である、付記1又は2に記載の通信ネットワークの制御装置。
[付記4]
前記マスキング指示部は、前記ターミナルノードでの、前記マスキングがなされた前記複数の秘密分散データの結合において、前記乱数の四則演算によりマスキングがキャンセルされるように、マスキングの指示を行う、付記3に記載の通信ネットワークの制御装置。
[付記5]
前記通信ネットワークの各リンクにおいて暗号化が行われるように前記ソースノードと前記ターミナルノードと前記中継ノードとに指示を行う暗号化指示部をさらに備える付記1又は2に記載の通信ネットワークの制御装置。
[付記6]
付記1又は2に記載の制御装置と、
前記複数のノードと、
2つの前記ノードを接続する前記リンクと
を有する通信ネットワークシステム。
【0127】
以上、本発明の実施の形態につき述べたが、本発明は既述の実施の形態に限定されるものではなく、本発明の技術的思想に基づいて各種の変形及び変更が可能である。
【符号の説明】
【0128】
NW1、NW2 通信ネットワーク
SN ソースノード
TN ターミナルノード
N11~N17 中継ノード
RP1、RP2、RP3 経路
K 秘密情報
100 制御装置
110 経路設定部
120 送信指示部
130 マスキング指示部
140 復元指示部
SN ソースノード
TN ターミナルノード
N11~N17 中継ノード
RP1、RP2、RP3 経路
K 秘密情報
100 制御装置
110 経路設定部
120 送信指示部
130 マスキング指示部
140 復元指示部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8A】
【図8B】
【図8C】
【図8D】
【図9A】
【図9B】
【図9C】
【図9D】
【図10】
【図11】
【図12A】
【図12B】
【図12C】
【図12D】
【図12E】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】