ホーム > 特許ランキング > 日本電信電話株式会社
知財求人 - 知財ポータルサイト「IP Force」
▶ 日本電信電話株式会社の特許一覧 ▶ 国立大学法人大阪大学の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024075947
(43)【公開日】2024-06-05
(54)【発明の名称】量子鍵配送システム及び量子鍵配送方法
(51)【国際特許分類】
H04L 9/12 20060101AFI20240529BHJP
【FI】
H04L9/12
【審査請求】未請求
【請求項の数】2
【出願形態】OL
(21)【出願番号】P 2022187232
(22)【出願日】2022-11-24
(71)【出願人】
【識別番号】000004226
【氏名又は名称】日本電信電話株式会社
(71)【出願人】
【識別番号】504176911
【氏名又は名称】国立大学法人大阪大学
(74)【代理人】
【識別番号】110001243
【氏名又は名称】弁理士法人谷・阿部特許事務所
(72)【発明者】
【氏名】本庄 利守
(72)【発明者】
【氏名】武居 弘樹
(72)【発明者】
【氏名】生田 拓也
(72)【発明者】
【氏名】井上 恭
(57)【要約】
【課題】TF-QKDの量子鍵配送システムにおいて、伝搬位相の制御やデコイ法を用いることなく、耐盗聴性の高い秘密鍵配送を可能とする量子鍵配送装置を提供する。
【解決手段】
コヒーレントパルス光源21、パルス光をフレーム化して搬送波位相を設定するPM22、パルス光のデータ位相を設定するPM23、パルス光の平均光子数を1未満まで減衰させる光減衰器25を含むアリス20及びボブ30と、アリス20及びボブ30から光信号を入力する遅延マッハツェンダー干渉計、光子を検出する光子検出器16、17を含むチャーリー10とを備え、チャーリーが光子検出情報をアリス及びボブに通知し、アリス及びボブは、光子検出情報に基づいて鍵ビット列を生成し、鍵ビット列の一部をチャーリーと交換して不一致率を見積り、不一致率に基づいて、鍵ビット列に誤り訂正処理を施し、鍵ビット列をデータ圧縮する。
【選択図】図2
【解決手段】
コヒーレントパルス光源21、パルス光をフレーム化して搬送波位相を設定するPM22、パルス光のデータ位相を設定するPM23、パルス光の平均光子数を1未満まで減衰させる光減衰器25を含むアリス20及びボブ30と、アリス20及びボブ30から光信号を入力する遅延マッハツェンダー干渉計、光子を検出する光子検出器16、17を含むチャーリー10とを備え、チャーリーが光子検出情報をアリス及びボブに通知し、アリス及びボブは、光子検出情報に基づいて鍵ビット列を生成し、鍵ビット列の一部をチャーリーと交換して不一致率を見積り、不一致率に基づいて、鍵ビット列に誤り訂正処理を施し、鍵ビット列をデータ圧縮する。
【選択図】図2
【特許請求の範囲】
【請求項1】
第1の光信号送受信装置と、
前記第1の光信号送受信装置を介して互いに通信する第2の光信号送受信装置及び第3の光信号送受信装置を含み、前記第2の光信号送受信装置と前記第3の光信号送受信装置に共通鍵暗号通信のための秘密鍵を配送する量子鍵配送システムであって、
前記第2の光信号送受信装置と前記第3の光信号送受信装置は、
時間間隔が2Tの連続するパルス光を含むパルス列を生成するパルス列生成部と、
前記パルス光をNパルス毎にフレーム化し、各フレームにランダムな搬送波位相を設定する搬送波位相設定部と、
前記パルス光の各々に、0またはπのデータ位相を設定して位相変調する位相変調部と、
位相変調された前記パルス光の1つ当たりの平均光子数を1未満まで減衰させて光信号を生成する光減衰器と、を含み、
前記第1の光信号送受信装置は、
前記第2の光信号送受信装置から受信した光信号と、前記第3の光信号送受信装置から受信した光信号とを、前記フレームの時間位置が一致し、かつ、各前記パルス光の時間位置が半周期ずれた状態で入力する、遅延時間が前記時間間隔の半分のTである遅延マッハツェンダー干渉計と、
前記遅延マッハツェンダー干渉計の出力端において、前記パルス光に含まれる光子を前記位相変調部によって設定されたデータ位相毎に検出する複数の光子検出器と、
複数の前記光子検出器のうちの光子を検出した前記光子検出器と、当該光子検出器によって光子が検出された時刻を含む光子検出情報を前記第2の光信号送受信装置及び前記第3の光信号送受信装置に通知する光子検出情報通知部と、を含み、
前記第2の光信号送受信装置及び前記第3の光信号送受信装置は、
前記光子検出情報と、前記位相変調部によって設定されたデータ位相とに基づいて鍵ビット列を生成する鍵ビット列生成部と、
前記鍵ビット列の一部をテストビットとして互いに交換し、前記テストビットの不一致率を見積もると共に、前記不一致率の見積りに利用された前記テストビットを廃棄する不一致率見積り部と、
前記不一致率に基づいて、前記フレーム毎の前記鍵ビット列に、誤り訂正処理を施す誤り訂正部と、
前記不一致率に基づいて前記誤り訂正がされた前記鍵ビット列を、前記フレーム毎にデータ圧縮するデータ圧縮部と、を含む、
量子鍵配送システム。
前記第1の光信号送受信装置を介して互いに通信する第2の光信号送受信装置及び第3の光信号送受信装置を含み、前記第2の光信号送受信装置と前記第3の光信号送受信装置に共通鍵暗号通信のための秘密鍵を配送する量子鍵配送システムであって、
前記第2の光信号送受信装置と前記第3の光信号送受信装置は、
時間間隔が2Tの連続するパルス光を含むパルス列を生成するパルス列生成部と、
前記パルス光をNパルス毎にフレーム化し、各フレームにランダムな搬送波位相を設定する搬送波位相設定部と、
前記パルス光の各々に、0またはπのデータ位相を設定して位相変調する位相変調部と、
位相変調された前記パルス光の1つ当たりの平均光子数を1未満まで減衰させて光信号を生成する光減衰器と、を含み、
前記第1の光信号送受信装置は、
前記第2の光信号送受信装置から受信した光信号と、前記第3の光信号送受信装置から受信した光信号とを、前記フレームの時間位置が一致し、かつ、各前記パルス光の時間位置が半周期ずれた状態で入力する、遅延時間が前記時間間隔の半分のTである遅延マッハツェンダー干渉計と、
前記遅延マッハツェンダー干渉計の出力端において、前記パルス光に含まれる光子を前記位相変調部によって設定されたデータ位相毎に検出する複数の光子検出器と、
複数の前記光子検出器のうちの光子を検出した前記光子検出器と、当該光子検出器によって光子が検出された時刻を含む光子検出情報を前記第2の光信号送受信装置及び前記第3の光信号送受信装置に通知する光子検出情報通知部と、を含み、
前記第2の光信号送受信装置及び前記第3の光信号送受信装置は、
前記光子検出情報と、前記位相変調部によって設定されたデータ位相とに基づいて鍵ビット列を生成する鍵ビット列生成部と、
前記鍵ビット列の一部をテストビットとして互いに交換し、前記テストビットの不一致率を見積もると共に、前記不一致率の見積りに利用された前記テストビットを廃棄する不一致率見積り部と、
前記不一致率に基づいて、前記フレーム毎の前記鍵ビット列に、誤り訂正処理を施す誤り訂正部と、
前記不一致率に基づいて前記誤り訂正がされた前記鍵ビット列を、前記フレーム毎にデータ圧縮するデータ圧縮部と、を含む、
量子鍵配送システム。
【請求項2】
第1の光信号送受信装置と、当該第1の光信号送受信装置を介して互いに通信する第2の光信号送受信装置及び第3の光信号送受信装置を含み、前記第2の光信号送受信装置と前記第3の光信号送受信装置に共通鍵暗号通信のための秘密鍵を配送する量子鍵配送システムにおいて行われる量子鍵配送方法であって、
前記第2の光信号送受信装置及び前記第3の光信号送受信装置において、時間間隔が2Tの連続するパルス光を含むパルス列を生成する工程と、前記パルス光をNパルス毎にフレーム化し、各フレームにランダムな搬送波位相を設定する工程と、前記パルス光の各々に、0またはπのデータ位相を設定して位相変調する工程と、位相変調された前記パルス光の1つ当たりの平均光子数を1未満まで減衰させて光信号を生成する工程と、
前記第1の光信号送受信装置において、前記第2の光信号送受信装置から受信した光信号と、前記第3の光信号送受信装置から受信した光信号とを、前記フレームの時間位置が一致し、かつ、各前記パルス光の時間位置が半周期ずれた状態で、遅延時間が前記時間間隔の半分のTである遅延マッハツェンダー干渉計に入力させる工程と、前記遅延マッハツェンダー干渉計の出力端において、前記パルス光に含まれる光子を設定されたデータ位相毎に複数の光子検出器によって検出する工程と、複数の前記光子検出器のうちの光子を検出した前記光子検出器と、当該光子検出器によって光子が検出された時刻を含む光子検出情報を前記第2の光信号送受信装置及び前記第3の光信号送受信装置に通知する工程と、
前記第2の光信号送受信装置及び前記第3の光信号送受信装置において、前記光子検出情報と、設定されたデータ位相とに基づいて鍵ビット列を生成する工程と、前記鍵ビット列の一部をテストビットとして互いに交換し、前記テストビットの不一致率を見積ると共に、前記不一致率の見積りに利用された前記テストビットを廃棄する工程と、前記不一致率に基づいて、前記フレーム毎の前記鍵ビット列に誤り訂正処理を施す工程と、前記不一致率に基づいて前記誤り訂正がされた前記鍵ビット列を前記フレーム毎にデータ圧縮する工程と、を含む、量子鍵配送方法。
前記第2の光信号送受信装置及び前記第3の光信号送受信装置において、時間間隔が2Tの連続するパルス光を含むパルス列を生成する工程と、前記パルス光をNパルス毎にフレーム化し、各フレームにランダムな搬送波位相を設定する工程と、前記パルス光の各々に、0またはπのデータ位相を設定して位相変調する工程と、位相変調された前記パルス光の1つ当たりの平均光子数を1未満まで減衰させて光信号を生成する工程と、
前記第1の光信号送受信装置において、前記第2の光信号送受信装置から受信した光信号と、前記第3の光信号送受信装置から受信した光信号とを、前記フレームの時間位置が一致し、かつ、各前記パルス光の時間位置が半周期ずれた状態で、遅延時間が前記時間間隔の半分のTである遅延マッハツェンダー干渉計に入力させる工程と、前記遅延マッハツェンダー干渉計の出力端において、前記パルス光に含まれる光子を設定されたデータ位相毎に複数の光子検出器によって検出する工程と、複数の前記光子検出器のうちの光子を検出した前記光子検出器と、当該光子検出器によって光子が検出された時刻を含む光子検出情報を前記第2の光信号送受信装置及び前記第3の光信号送受信装置に通知する工程と、
前記第2の光信号送受信装置及び前記第3の光信号送受信装置において、前記光子検出情報と、設定されたデータ位相とに基づいて鍵ビット列を生成する工程と、前記鍵ビット列の一部をテストビットとして互いに交換し、前記テストビットの不一致率を見積ると共に、前記不一致率の見積りに利用された前記テストビットを廃棄する工程と、前記不一致率に基づいて、前記フレーム毎の前記鍵ビット列に誤り訂正処理を施す工程と、前記不一致率に基づいて前記誤り訂正がされた前記鍵ビット列を前記フレーム毎にデータ圧縮する工程と、を含む、量子鍵配送方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、二つの光信号送受信装置と、この光信号送受信装置の間を仲介する光信号送受信装置を含む量子鍵配送システム及び、この量子鍵配送システムで実施される量子鍵配送方法に関する。
【背景技術】
【0002】
量子力学の原理に基づいて、共通鍵暗号通信のための秘密鍵を離れた二者に安全に供給する量子鍵配送(Quantum Key Distribution、以下、「QKD」とも記す。)の研究開発が進められている。複数の方式があるQKDのうち、送受信装置間の長距離化が可能な振幅場対QKD(Twin Field QKD、以下、「TF-QKD」とも記す)は、例えば、非特許文献1に記載されている。
【0003】
非特許文献1に記載のシステムは、秘密鍵を共有するアリス及びボブと、アリスとボブの中間点に位置して秘密鍵共有の仲立ちをする第三者であるチャーリーを含む。このようなシステムにおいて、アリスとボブはそれぞれチャーリーへパルス光の信号を送信し、チャーリーは送信されてきた光信号を受信し、合波して光子を検出する。そして、この検出では合波するパルス光の位相差に応じて検出器で光子が検出され、検出した検出器と、アリスとボブが送信した光信号の位相に基づいて秘密鍵が生成される。このシステムでは、チャーリーを介して通信するシステムのアリスとボブの物理的距離は、光子の伝送距離の2倍とすることができる。これによって、非特許文献1に記載のシステムは、アリスとボブが直接光子を送受信するQKDシステムよりも通信の長距離化が可能となる。
【先行技術文献】
【非特許文献】
【0004】
【非特許文献1】M. Lucamarini, Z. L. Yuan, J. F. Dynes, and A. J. Shields, "Overcoming the rate-distance limit of quantum key distribution without quantum repeaters," Nature, vol. 557, pp. 400-403 (2018).
【発明の概要】
【発明が解決しようとする課題】
【0005】
非特許文献1に記載の公知技術において、チャーリーは、アリスによって送信された光信号とボブによって送信された光信号とを、その位相差が保持された状態で合波する必要がある。このためには、アリス及び/またはボブ(以下、「アリス/ボブ」とも記す)からチャーリーまでの間を伝播する光信号の位相(以下、「伝搬位相」とも記す)をそれぞれ保持しなければならない。
【0006】
しかしながら、一般に伝送路として用いられる光ファイバは、温度等、周囲の環境により光学的距離が変動し、これに伴い伝搬位相が変動する。このため、非特許文献1に記載の構成の実装にあたっては、伝搬位相の変動を抑止するように制御する構成が必要である。伝搬位相が保持されるように制御する構成は、例えば、プローブ光を使って伝搬位相をモニタする等して実現することが可能である。ただし、伝搬位相のモニタには高度な技術が要求され、QKD装置の複雑化、高コスト化を招く。
【0007】
また、非特許文献1に記載の公知技術は、秘密鍵の秘匿性を保障すべく、光子数分岐攻撃対策としてデコイ法を用いている。デコイ法においては、アリス/ボブが光変調器によりパルスごとに平均光子数を無作為に変調している。また、アリス/ボブは、盗聴検知のため、検出光子数の統計的性質を解析するデータ処理を行っている。このような処理は、アリス/ボブとなる装置及びプロトコルを煩雑化する。また、デコイ法を用いる場合、秘密鍵生成効率が低くなるという問題もある。
【0008】
本発明は、上記の点に鑑みてなされたものであり、TF-QKDの量子鍵配送システムにおいて、伝搬位相の制御やデコイ法を用いることなく、耐盗聴性の高い秘密鍵配送を可能とする量子鍵配送装置及び量子鍵配送方法を提供することを目的とする。
【課題を解決するための手段】
【0009】
上記目的を達成するために本発明の一形態の量子鍵配送システムは、第1の光信号送受信装置と、第1の光信号送受信装置を介して互いに通信する第2の光信号送受信装置及び第3の光信号送受信装置を含み、第2の光信号送受信装置と第3の光信号送受信装置に共通鍵暗号通信のための秘密鍵を配送する量子鍵配送システムであって、第2の光信号送受信装置と第3の光信号送受信装置は、時間間隔が2Tの連続するパルス光を含むパルス列を生成するパルス列生成部と、パルス光をNパルス毎にフレーム化し、各フレームにランダムな搬送波位相を設定する搬送波位相設定部と、パルス光の各々に、0またはπのデータ位相を設定して位相変調する位相変調部と、位相変調されたパルス光の1つ当たりの平均光子数を1未満まで減衰させて光信号を生成する光減衰器と、を含み、第1の光信号送受信装置は、第2の光信号送受信装置から受信した光信号と、第3の光信号送受信装置から受信した光信号とを、フレームの時間位置が一致し、かつ、各パルス光の時間位置が半周期ずれた状態で入力する、遅延時間が前記時間間隔の半分のTである遅延マッハツェンダー干渉計と、遅延マッハツェンダー干渉計の出力端において、パルス光に含まれる光子を位相変調部によって設定されたデータ位相毎に検出する複数の光子検出器と、複数の光子検出器のうちの光子を検出した光子検出器と、当該光子検出器によって光子が検出された時刻を含む光子検出情報を第2の光信号送受信装置及び第3の光信号送受信装置に通知する光子検出情報通知部と、を含み、第2の光信号送受信装置及び第3の光信号送受信装置は、光子検出情報と、位相変調部によって設定されたデータ位相とに基づいて鍵ビット列を生成する鍵ビット列生成部と、鍵ビット列の一部をテストビットとして互いに交換し、テストビットの不一致率を見積ると共に、不一致率の見積りに利用されたテストビットを廃棄する不一致率見積り部と、前記不一致率に基づいて、前記フレーム毎の前記鍵ビット列に、誤り訂正処理を施す誤り訂正部と、不一致率に基づいて、前記誤り訂正がされた鍵ビット列をフレーム毎にデータ圧縮するデータ圧縮部と、を含む。
【0010】
また、本発明の一形態の量子鍵配送方法は、第1の光信号送受信装置と、当該第1の光信号送受信装置を介して互いに通信する第2の光信号送受信装置及び第3の光信号送受信装置を含み、第2の光信号送受信装置と第3の光信号送受信装置に共通鍵暗号通信のための秘密鍵を配送する量子鍵配送システムにおいて行われる量子鍵配送方法であって、第2の光信号送受信装置及び第3の光信号送受信装置において、時間間隔が2Tの連続するパルス光を含むパルス列を生成する工程と、パルス光をNパルス毎にフレーム化し、各フレームにランダムな搬送波位相を設定する工程と、パルス光の各々に、0またはπのデータ位相を設定して位相変調する工程と、位相変調されたパルス光の1つ当たりの平均光子数を1未満まで減衰させて光信号を生成する工程と、第1の光信号送受信装置において、第2の光信号送受信装置から受信した光信号と、第3の光信号送受信装置から受信した光信号とを、フレームの時間位置が一致し、かつ、各パルス光の時間位置が半周期ずれた状態で、遅延時間が前記時間間隔の半分のTである遅延マッハツェンダー干渉計に入力させる工程と、遅延マッハツェンダー干渉計の出力端において、パルス光に含まれる光子を設定されたデータ位相毎に複数の光子検出器によって検出する工程と、複数の光子検出器のうちの光子を検出した光子検出器と、当該光子検出器によって光子が検出された時刻を含む光子検出情報を第2の光信号送受信装置及び第3の光信号送受信装置に通知する工程と、第2の光信号送受信装置及び第3の光信号送受信装置において、光子検出情報と、設定されたデータ位相とに基づいて鍵ビット列を生成する工程と、鍵ビット列の一部をテストビットとして互いに交換し、テストビットの不一致率を見積ると共に、不一致率の見積りに利用されたテストビットを廃棄する工程と、不一致率に基づいて、フレーム毎の鍵ビット列に誤り訂正処理を施す工程と、不一致率に基づいて、フレーム毎に鍵ビット列をデータ圧縮する工程と、を含む。
【発明の効果】
【0011】
以上の形態によれば、TF-QKDの量子鍵配送システムにおいて、伝搬位相の制御やデコイ法による盗聴検知が不要な量子鍵配送装置及び量子鍵配送方法を提供することができる。
【図面の簡単な説明】
【0012】
【図1】本発明の一実施形態の比較例となる公知のTF-QKD装置を説明するための図である。
【図2】(a)、(b)及び(c)は、いずれも本実施形態の構成を説明するための模式図である。
【図6】(a)、(b)は、図5において送受信されるデータを使って行われるビット列の生成処理を説明するためのフローチャートであって、(a)はアリスにおいて実行される処理、(b)はボブにおいて実行される処理を示す。
【図8】アリスの光信号に対して成りすまし攻撃が行われた例を説明するための図である。
【図9】アリス及びボブの光信号に対して成りすまし攻撃が行われた例を説明するための図である。
【発明を実施するための形態】
【0013】
[概要]
以下、本発明の一実施形態の説明に先立って、本実施形態で利用する公知の量子鍵配送装置を比較例として説明する。なお、概要及び実施形態で示す図面は、いずれも本発明の構成の配置、動作、機能、目的、効果、技術思想等を説明する模式的な図であって、本実施形態の具体的な構成を限定するものではない。また、図面にあっては同様の部材に同様の符号を付し、その説明の一部を略す場合もある。
以下、本発明の一実施形態の説明に先立って、本実施形態で利用する公知の量子鍵配送装置を比較例として説明する。なお、概要及び実施形態で示す図面は、いずれも本発明の構成の配置、動作、機能、目的、効果、技術思想等を説明する模式的な図であって、本実施形態の具体的な構成を限定するものではない。また、図面にあっては同様の部材に同様の符号を付し、その説明の一部を略す場合もある。
【0014】
図1は、本実施形態の比較例となる公知のTF-QKD装置を説明するための図である。図1に示すTF-QKDシステムは、チャーリー100と、チャーリー100を介して通信するアリス200及びボブ300とを含んでいる。アリス200は、コヒーレント光源201、コヒーレント光源201の出力した光信号の強度を調整する強度変調器(Intensity Modulators;図中では「IM」と記す)202、バイアス位相の位相変調器(Phase Modulators;図中では「PM」と記す)203、データ位相の位相変調器204、可変式の光減衰器205を含む。また、ボブ300は、同様に、コヒーレント光源301、コヒーレント光源301の出力した光信号の強度を調整する強度変調器302、バイアス位相の位相変調器303、データ位相の位相変調器304及び光減衰器305を含む。チャーリー300は、光子検出器106、107及び、ビームスプリッタ108を含んでいる。アリス200、ボブ300及びチャーリー100は、通信における当事者を示すと共に、本実施形態においては光信号の送受信機能を有する通信ノード(光信号送受信装置)を示している。
【0015】
以下、上記のTF-QKD装置の動作を説明する。
アリス200とボブ300はそれぞれ、平均光子数が1程度の微弱なコヒーレントパルス光(以下、単に「パルス光」とも記す)をチャーリー100に送信する。パルス光の位相θは、バイアス位相θ0=πk/Mと、データ位相θd={0またはπ}の和となる。すなわち、以下の式(1)が成立する。
θ=θ0+θd ・・・式(1)
上記の式(1)において、Mは2以上の整数、kについては0≦k<Mが成立する。以下、説明の簡易化のため、Mを2として説明を行う。この場合、θ0は{0またはπ/2}となり、位相値θは0、π/2、π、3π/2のいずれかとなる。アリス200及びボブ300は、この4つの位相値のいずれかを無作為に選択し、パルス状のコヒーレント光に付与する。アリス200から送信される光信号をSy、ボブ300から送信される光信号をSxとして図1中に示す。光信号Sx、Syは、複数のパルス光を含むパルス列を形成する。
アリス200とボブ300はそれぞれ、平均光子数が1程度の微弱なコヒーレントパルス光(以下、単に「パルス光」とも記す)をチャーリー100に送信する。パルス光の位相θは、バイアス位相θ0=πk/Mと、データ位相θd={0またはπ}の和となる。すなわち、以下の式(1)が成立する。
θ=θ0+θd ・・・式(1)
上記の式(1)において、Mは2以上の整数、kについては0≦k<Mが成立する。以下、説明の簡易化のため、Mを2として説明を行う。この場合、θ0は{0またはπ/2}となり、位相値θは0、π/2、π、3π/2のいずれかとなる。アリス200及びボブ300は、この4つの位相値のいずれかを無作為に選択し、パルス状のコヒーレント光に付与する。アリス200から送信される光信号をSy、ボブ300から送信される光信号をSxとして図1中に示す。光信号Sx、Syは、複数のパルス光を含むパルス列を形成する。
【0016】
次にチャーリー100は、送られてきた光信号Sx、Syを2入力2出力のビームスプリッタ108で合波し、出力端に配置された光子検出器106、107においてそれぞれ光子検出する。アリス200及びボブ300から送信された光信号Sx、Syの光子は、ビームスプリッタ108において干渉し合い、両者の位相差に応じて光子検出器106、または光子検出器107で検出される。この際、光子は、アリス200から送信される光信号Syと、ボブ300から送信される光信号Sxとの位相差が0である場合に光子検出器106によって検出される。また、光子は、光信号Syと、光信号Sxとの位相差がπである場合に光子検出器107によって検出される。パルス光同士の位相差と光子を検出する光子検出器との対応は、アリス200からビームスプリッタ108までの伝搬位相、及びボブ300からビームスプリッタ108までの伝搬位相を調整することによって実現できる。
【0017】
光信号Sx、Syの位相差が{0,π}以外である場合、光子は、光信号Sx、Syの位相差で決まる確率にしたがって光子検出器106または光子検出器107によって検出される。なお、パルス光は、光減衰器205、305によって減衰されているために受信される際のパワーは微小である。このため、光子は、光子検出器106、107のいずれによっても検出されない場合がある。チャーリー100は、光子が検出された場合に、光子検出器106、107のいずれによって光子が検出されたかを記録する。
【0018】
上記したパルス光の送受信を複数回行った後、チャーリー100は、光子が検出されたパルス光と、光子を検出した光子検出器106、107のいずれかをアリス200及びボブ300に通知する。通知を受けたアリス200及びボブ300は、光子が検出されたパルス光に付与したバイアス位相を互いに通知し合う。以上の処理により、アリス200とボブ300は、光子が検出されたパルス光について、自身が付与しバイアス位相と、他方が付与したバイアス位相と、干渉後のパルス光の光子を検出した光子検出器の情報(以下、「光子検出情報」とも記す)を得ることができる。
【0019】
次に、アリス200及びボブ300は、光子検出情報と、自身が付与したデータ位相の値に基いてビット値を生成する。すなわち、アリス200及びボブ300は、自身が付与したバイアス位相と相手が付与したバイアス位相とが異なっている光子検出情報を除外する。そして、バイアス位相が同一の光子検出情報につき、アリス200及びボブ300は、光子検出器106が光子を検出した場合、データ位相が0であればビット0、データ位相がπならばビット1を生成する。また、光子検出器107が光子を検出した場合、アリス200は、データ位相が0であればビット0、データ位相がπならばビット1を生成する。このとき、ボブ300は、データ位相がπならばビット0、データ位相が0ならばビット1を生成する。このように生成されたビット値は、チャーリーのビームスプリッタにおける干渉条件より、アリス200とボブ300とで同一となる。TF-QKD装置においては、アリス200とボブ300が共有するビット値を秘密鍵とする。
【0020】
上記の秘密鍵の秘匿性は、次のように保障されている。先ず、チャーリー100は、光子検出結果からアリス200から送信された光信号Syと、ボブ300から送信された光信号Sxとの位相差を知り得るが、位相値自体を知ることはできない。このため、チャーリーが悪意のある第三者であったとしても、鍵ビットを生成することはできない。
【0021】
また、位相が0、π/2、π、3π/2のいずれかである微弱なコヒーレント光は、量子力学的非直交関係にある。このため、外部の盗聴者は、光信号Sy、Sxからアリス200/ボブ300がコヒーレント光に付与した位相値を知ろうとしても、位相値が4つの状態のうちのいずれであるかを100%正しく識別することはできない。したがって、盗聴者は、伝送経路上でパルス光を測定して鍵ビットを得ることはできない。
【0022】
ただし、光子数分岐攻撃と呼ばれる盗聴法は、アリス200とボブ300が共有する鍵ビットを知り得ることがある。すなわち、光子数分岐攻撃は、微弱なパワーのパルス光にも有限の確率で光子が2個以上存在し得ることを利用する。この際、盗聴者は、量子非破壊測定と呼ばれる測定法によって信号状態は変えず、パルス光の光子数を測定する。そして、盗聴者は、2個以上の光子を含むパルス光に対し、1個の光子を抜き出し、残った光子を無損失伝送路を介してチャーリー100に送信する。また、盗聴者は、光子を1個だけ含むパルス光を除去する。無損失伝送路を用いる理由は、光子抜き出し及びパルス除去による伝送光パワーの減少を補償するためである。すなわち、光伝送路には伝搬損失があり、伝送につれて伝送光パワーは減少する。盗聴者は、伝送路を無損失なものに置き換えて、本来の伝搬損失による減少分と盗聴による減少分を等しく設定すれば、盗聴行為を隠蔽することができる。
【0023】
次に盗聴者は、抜き出した光子をそのままの状態で量子メモリに保存する。そして、光信号送受信後に光子検出情報及びバイアス位相情報が明らかになった後、それらに基づいて、保存しておいた光子を測定する。バイアス位相が既知である場合、盗聴者は、位相差が0またはπのデータ位相が識別可能である。前述のように、光子数が1であるパルスは除外されているため、盗聴者はチャーリーに届く全ての光子と同一の光子を保有することになる。したがって、盗聴者は、チャーリー100の光子検出事象からアリス200/ボブ300が生成したビット値の全てを知ることが可能になる。
【0024】
光子数分岐攻撃に対処するための方法としては、デコイ法と呼ばれる方法がある。デコイ法は、パルス光の光強度(すなわち、平均光子数)をパルスごとにランダムに設定する。光強度の設定は、アリス200の強度変調器202、ボブ300の強度変調器302によって行われる。前述のように、光子数分岐攻撃においては、無損失伝送路を用いることにより、盗聴時でもチャーリー100の受信光子数に変化が無いように設定する。盗聴がない場合にチャーリー100が受信する光子数は、伝送路損失及びパルス光の平均光子数で決まり、盗聴者はこれに合わせてチャーリー100へ光子を送る必要がある。ところが、パルス光ごとに平均光子数が異なっている場合、盗聴者は、チャーリー100に送るべき光子数が分からない。そこでパルス送受信後に、アリス200は送信パルス光強度をチャーリー100に通知し、チャーリー100はそれに応じた光子検出がされているか検証することにより、光子数分岐攻撃を検知することが可能になる。
【0025】
以上説明したように、デコイ法は、光子数分岐攻撃を検知することができる。しかし、デコイ法においては、秘密鍵生成効率が低くなる。すなわち、デコイ法において、アリスとボブがランダムに光強度を設定すると、チャーリーのビームスプリッタに入力されるパルス光の強度が相違し、両者が完全には干渉せず、その光子検出結果から生成されたビットに誤りが生じ得る。そこで、アリスとボブは、光信号送受信後に、送信光強度を通知し合い、ビームスプリッタへ入力される光強度が同一である検出事象を抽出し、そこからビットを生成する。このような処理は、光子検出事象の一部を廃棄することになるので、鍵ビット生成効率を低下させる。
【0026】
以下で説明する本発明の実施形態は、上述の比較例のように伝搬位相制御やデコイ法の必要性がなく、耐盗聴性の高い秘密鍵配送を可能とするものである。
【0027】
[実施形態]
以下、本発明の一実施形態を説明する。図2(a)、図2(b)及び図2(c)は、本発明の一実施形態の構成を説明するための模式図である。本実施形態の量子鍵配送システムは、第1の光信号送受信装置であるチャーリー10と、チャーリー10を介して互いに通信する第2の光信号送受信装置であるアリス20及び第3の光信号送受信装置であるボブを含む。そして、量子鍵配送システムはアリス20とボブ30に秘密鍵を配送する。なお、チャーリー10、アリス20、ボブ30は、いずれも暗号通信の当事者を表すが、実体は光信号の送受信機能を有する光信号送受信装置であり、光信号送受信装置は、光通信において機能する光学素子、ハードウェア及びコンピュータプログラム等のソフトウェアを含む構成である。
以下、本発明の一実施形態を説明する。図2(a)、図2(b)及び図2(c)は、本発明の一実施形態の構成を説明するための模式図である。本実施形態の量子鍵配送システムは、第1の光信号送受信装置であるチャーリー10と、チャーリー10を介して互いに通信する第2の光信号送受信装置であるアリス20及び第3の光信号送受信装置であるボブを含む。そして、量子鍵配送システムはアリス20とボブ30に秘密鍵を配送する。なお、チャーリー10、アリス20、ボブ30は、いずれも暗号通信の当事者を表すが、実体は光信号の送受信機能を有する光信号送受信装置であり、光信号送受信装置は、光通信において機能する光学素子、ハードウェア及びコンピュータプログラム等のソフトウェアを含む構成である。
【0028】
図2(a)は、量子鍵配送システムの全体を示している。図2(b)は、図2(a)に示す量子鍵配送システムに含まれるアリス20及びボブ30それぞれを示している。図2(c)は、図2(a)に示す量子鍵配送システムに含まれるチャーリー10を示している。図2(a)に示すように、本実施形態の量子鍵配送システムは、上記比較例のTF-QKDシステムと同様に、チャーリー10と、チャーリー10を介して通信するアリス20及びボブ30を含む。以下、アリス20及びまたはボブ30を、アリス20/ボブ30とも記す。アリス20は、パルス光である光信号Saをチャーリー10に送信する。また、ボブ30は、光信号Sbをチャーリー10に送信する。チャーリー10は、光信号Sa、Sbを受信し、両者を合波する。
【0029】
アリス20/ボブ30は、図2(b)に示すように、コヒーレントパルス光源21、搬送波位相θcの位相変調器である位相変調器22、データ位相θdの位相変調器である位相変調器23及び光減衰器25を含む。コヒーレントパルス光源21は、連続するパルス光を含み、各パルス光の時間間隔が2Tであるパルス光列を発生する。位相変調器22は、パルス光に搬送波位相θcを付与する。位相変調器23は、パルス光に0、またはπのデータ位相θdを付与する。このような構成のうち、コヒーレントパルス光源21は、連続するパルス光を含むパルス列を構成する光信号を生成する光信号生成部として機能する。位相変調器22は、パルス光をNパルス毎にフレーム化し、各フレームにランダムな搬送波位相を設定する搬送波位相設定部として機能する。位相変調器23は、パルス光の各々に、データ位相を設定して位相変調する位相変調部として機能する。光減衰器25は、位相変調されたパルス光の1つ当たりの平均光子数を1未満まで減衰させて光信号を生成する光減衰器として機能する。
【0030】
チャーリー10は、図2(c)に示すように、ビームスプリッタ18、19、光信号検出部16、17を備えている。ビームスプリッタ18は、光信号Sa、Sbの一部を透過し、他の一部を反射する。ビームスプリッタ19は、ビームスプリッタ18を透過した光信号の一部を透過し、他の一部を反射する。このようなビームスプリッタ18、19は、遅延マッハツェンダー干渉計を構成する。遅延マッハツェンダー干渉計は、光信号Saと光信号Sbとを合波し、時間間隔が光信号Sa、Sbの時間間隔2Tの半分であるTのパルス列を生成する。光子検出器16、17は、遅延マッハツェンダー干渉計のそれぞれの出力から出力される光信号を検出する。
【0031】
ビームスプリッタ18、19で構成される遅延マッハツェンダー干渉計は、アリス20から受信した光信号Saと、ボブ30から受信した光信号Sbとを、フレームの時間位置が一致し、かつ、各パルス光の時間位置がずれた状態で入力する。光子検出器16、17は、遅延マッハツェンダー干渉計の出力端において、パルス光に含まれる光子を位相変調器23によって設定されたデータ位相毎に検出する。チャーリー10は、光子検出器16、17のうちの光子を検出したものを、この光子検出器によって光子が検出された時刻(時間スロット)を含む光子検出情報を、アリス20及びボブ30に通知する光子検出情報通知部(不図示)を含む。光子検出情報の生成は、チャーリー10の不図示の演算装置や記憶装置のハードウェア、またはハードウェア上で動作するプログラムやプログラムで実行されるプロトコルといったソフトウェアによって実行することができる。
【0032】
また、アリス20/ボブ30は、光子検出情報と、位相変調器23によって設定されたデータ位相とに基づいて鍵ビット列を生成する鍵ビット列生成部(不図示)と、鍵ビット列の一部をテストビットとして互いに交換し、テストビットの不一致率を見積る不一致率見積り部と、フレーム毎に、不一致率に基づいて鍵ビット列をデータ圧縮するデータ圧縮部(不図示)と、を含む。これら各部の構成は、上記ハードウェア、ソフトウェアが協働することによって実現することができる。
【0033】
図3は、位相変調器22による搬送波位相θcの付与について説明するための図である。図3の縦軸はパルス光の強度を示し、横軸は時間を示している。搬送波位相θcの付与は、図3に示すように、パルス光をN個ずつフレーム化して行われる。図3においては、3つのフレームf1、f2、f3を示す。1フレーム長(時間)は、アリス20/ボブ30からチャーリー10までの伝送路の伝搬位相揺らぎ時間より十分短いものとする。フレームf1、f2、f3の各々に付与される搬送波位相θcはランダムであり、フレームf1、f3には搬送波位相θc(k+1)が付与され、フレームf2には搬送波位相θc(k)が付与されている。位相変調器23は、パルス光ごとに0またはπのデータ位相θdを付与する。光減衰器25は、位相変調されたパルス光を平均1光子/パルス未満まで減衰させる。減衰後の光信号Sa、Sbは、アリス20及びボブ30からチャーリー10に送信される。
【0034】
図4は、チャーリー10における光信号Sa、Sbの動きを説明するための模式図である。なお、図4では、アリス20から受信した光信号Saとボブ30から受信した光信号Sbは、それらを構成するパルスで示され、また、それらの図における濃度によって区別して表されている。光信号Saを構成するパルス光は、光信号Sbを構成するパルス光よりも濃い濃度で表される。光信号Sa、Sbは、チャーリー10にそれぞれ入力される。この際、光信号Sa、Sbは、フレーム時間位置が同期し、かつ、その経路差によりパルスが半周期ずれた状態で入力される。経路差は、例えば、遅延マッハツェンダー干渉計の前段のファイバーディレイラインの長さを調整することによって実現することができる。ここで、本実施形態の「フレーム時間位置」は、1フレームの開始から終了までの時間範囲における、フレーム開始からの経過時間をいう。
【0035】
ビームスプリッタ18は、光信号Sa、Sbを合波し、一部を反射し、一部を透過する。反射されたパルス光を図4中にパルス光Sc、透過されたパルス光をパルス光Sdとする。パルス光Scは、その経路差によってパルス光Sdに対して半周期遅れるようにずれている。これにより、遅延マッハツェンダー干渉計の2つの経路上において、アリス20からのパルス光とボブ30からのパルス光が交互に並んだパルス列が伝搬する。このパルス列において、パルス光の時間間隔はTとなる。パルス光Sc、Sdは、ビームスプリッタ19において、経路差によって1パルスずれた状態で合波される。これにより、アリス20からのパルス光とボブ30からのパルス光とが重なり合う。
【0036】
遅延マッハツェンダー干渉計の出力端には光子検出器16、17が設けられている。ビームスプリッタ19で合波されたパルス光の光子は、アリス20から送信された光信号Saと、ボブ30から送信された光信号Sbとの位相差に応じて光子検出器16、17のいずれかで検出される。図4においては、光子検出器16によって光子が検出された光信号をSe、光子検出器17によって光子が検出された光信号をSfとして示す。
【0037】
光子検出器16、17によって光子が検出される確率は、次のようにして算出される。すなわち、遅延マッハツェンダー干渉計に入力される際の光信号Sa、Sbの位相をそれぞれθa、θbとする。光子検出器16、17が光子を検出する確率は、それぞれ
cos2[(θa-θb+π/2)/2]、sin2[(θa-θb+π/2)/2]に比例する。但し、光信号が含む光子は平均1光子/パルス未満であり、伝送損失を受けている。このため、光子が検出されることは、稀、かつランダムである。
cos2[(θa-θb+π/2)/2]、sin2[(θa-θb+π/2)/2]に比例する。但し、光信号が含む光子は平均1光子/パルス未満であり、伝送損失を受けている。このため、光子が検出されることは、稀、かつランダムである。
【0038】
図5は、図2(a)に示した鍵配送システムにおいて送受信されるデータを説明するためのシーケンス図である。図6(a)、図6(b)は、図5において送受信されるデータを使って行われるビット列の生成処理を説明するためのフローチャートであって、図6(a)はアリス20において行われる処理、図6(b)はボブ30において行われる処理を説明する。図7は、図5において送受信されるデータを使って行われる秘密鍵ビットの生成処理を説明するためのフローチャートである。図5に示すように、アリス20/ボブ30は、チャーリー10に向けて光信号Sa、Sbをそれぞれ送信する(501,502)。チャーリー10は、光子を検出した時間スロット及び光子検出器16、17を含む光子検出情報をアリス20/ボブ30に通知する(503,504)。図4に示すデータの送受信は、チャーリー10、アリス20/ボブ30が備える通信機能によって実行される。また、図5(a)、図5(b)及び図6のフローチャートが示す処理は、アリス20/ボブ30が備えるハードウェア、ソフトウェアが協働して実現する。
【0039】
光子検出情報を取得したアリス20は、光子を検出した光子検出器16、17と光子検出した時間スロットに対応する自身の光信号のパルスのデータ位相θdを参照し、ビットを生成する。具体的には、図6(a)に示すように、アリス20は、光子を検出した光子検出器が光子検出16であるか否か判断する(ステップS611)。光子検出器16において光子が検出された場合(ステップS611:Yes)、アリス20は、自身のデータ位相θdが0であれば(ステップS612:Yes)、ビット0を生成する(ステップS613)。また、ステップS612において、アリス20は、自身のデータ位相θdがπであれば(ステップS612:No)、ビット1を生成する(ステップS615)。
【0040】
ステップS611において、光子を検出した光子検出器が光子検出器16でないと判定された場合(ステップS611:No)、アリス20は、光子検出器17が光子を検出したとして、自身が送信した光信号Saのデータ位相θdを判断する(ステップS615)。そして、データ位相θdが0であると判断した場合(ステップS616:Yes)、アリス20は、ビット0を生成する。そして、データ位相θdが0でないと判断した場合(ステップS616:No)、アリス20は、データ位相θdがπであるとして、ビット1を生成する(ステップS618)。このような処理の後、アリス20は、取得した光子検出情報の全てについて処理が終了したか否かを判定する(ステップS614)。そして、処理が終了していない、すなわち、未だ処理すべき光子検出情報がある場合(ステップS614:No)、ステップS611に戻って次の光子検出情報の処理を行う(ステップS611)。
【0041】
また、ボブ30は、アリス20と同様に、光子検出情報から光子を検出した光子検出器が光子検出器16であるか否かを判定する(ステップS621)。そして、光子検出器16であると判断した場合(ステップS621:Yes)、ボブ30は、データ位相θdが0であるか判断する(ステップS622)。データ位相θdが0である場合(ステップS622:Yes)、ボブ30は、ビット0を生成する(ステップS623)。また、ボブ30は、ステップS622において、データ位相θdが0でないと判断した場合(ステップS622:No)、データ位相θdはπであるとしてビット1を生成する(ステップS625)。
【0042】
さらに、ボブ30は、ステップS621において、光子を検出した光子検出器が光子検出器16でないと判断した場合(ステップS621:No)、光子検出器17が光子を検出したとして、自身の送信した光信号のデータ位相θdが0であるか否か判断する(ステップS626)。データ位相θdが0である場合(ステップS626:Yes)、ボブ30は、アリスと反対に、ビット1を生成する(ステップS627)。そして、ボブ30は、データ位相θdが0でない場合(ステップS626:No)、データ位相θdがπであるとして、アリス20と反対に、ビット0を生成する(ステップS627)。ボブ30は、アリスと同様に、このような処理を全ての光子検出情報について行っている(ステップS624、621)。
【0043】
このようにして生成されたビット値がアリス20とボブ30とで一致する条件は、アリス20/ボブ30の光信号送受信装置が理想的であり、アリス20/ボブ30の搬送波位相θcが同一で、伝送経路に揺らぎがなく、盗聴されていないことである。しかしながら、このような条件の全てが満たされることは少なく、ある確率でアリス20によって生成されたビット列と、ボブ30によって生成されたビット率に不一致が生じる。このため、アリス20とボブ30は、生成されたビット率から以下に示す処理によってビット鍵を生成する。
【0044】
図7に示すフローチャートは、アリス20/ボブ30の各々において行われる。また、図7のステップS701からステップS706の処理は、いずれもフレーム毎に行われる。アリス20/ボブ30は、各々が所有するビット列の不一致率(ビット不一致率)eを見積る(ステップS701)。ステップS701の処理は、アリス20/ボブ30の各々が生成したビット列の一部をテストビットとして照合し合って行われる。なお、この際、アリス20/ボブ30は、見積もったビット不一致率eが50%以上のフレームについては、ビット値を反転し、そのフレームのビット不一致率を(1-e)として再定義する。なお、本実施形態のビット不一致率の基準は、50%に限定されるものではない。ビット不一致率の基準は、安全性理論に基づいて、伝送距離等に応じて変動する値である。その後、アリス20/ボブ30は、ビット値照合に用いたテストビットを廃棄する(ステップS702)。
【0045】
次に、アリス20/ボブ30は、見積もられたビット不一致率に基づいて、各フレームに公開チャンネルを通して誤り訂正プロトコルを実行し(ステップS703)、さらに秘匿性増強と呼ばれるデータ処理を各フレームに実行する(ステップS704)。秘匿性増強処理は、誤り訂正のために公開された情報量は漏洩したものとみなし、さらにビット不一致率を全て盗聴に起因するものとみなして盗聴量の上限を見積り、この上限が極力0に近づくように誤り訂正及び盗聴行為による漏洩情報量分を圧縮する処理である。アリス20/ボブ30は、これらのデータ処理後に残ったビット列を秘密鍵ビットとする(ステップS705)。なお、ビット不一致率が大きいフレームについては、秘密鍵を抽出することができない。本実施形態においては、このようなフレームを全て廃棄する。
【0046】
本実施形態のアリス20とボブ30との間で送受信される光信号は、平均光子数が1光子/パルス未満の微弱なコヒーレントパルス光の列である。このようなパルス列の各パルスの位相を正しく測定することはできず、従って、盗聴者は、アリス20/ボブ30の生成ビットの全てを知ることはできない。このことにより、本実施形態で生成された秘密鍵ビットの秘匿性が保障される。
【0047】
本実施形態の特徴は、光信号のパルス列をフレーム化し、フレーム毎に搬送波位相をランダムに設定し、フレームごとに誤り訂正、秘匿性増強を行う点にある。伝送路が揺らぐと、チャーリー10に到達時のアリス20とボブ30のパルス列の搬送波位相が揺らぐことになる。しかし、上記したように、伝送路揺らぎの時間変化は1フレームの時間に比べて十分遅く、1つのフレーム内の搬送波位相ずれは一定とみなせる。この位相ずれはテストビットの不一致率に反映され、フレーム毎に誤り訂正、秘匿性増強を行うことにより、位相ずれによるビット不一致は補償される。したがって、本実施形態は、例えば、非特許文献1に記載のように、伝送路の伝搬位相を制御する必要がない。
【0048】
以下、本実施形態の量子鍵配送システム、量子鍵配送方法の盗聴対策を、盗聴法毎に説明する。
【0049】
盗聴法としては、盗聴者が光信号の一部を分岐してパルスのデータ位相を測定する、ビームスプリッティング攻撃と呼ばれる盗聴法がある。本実施形態の量子鍵配送システムは、パルスに含まれる光子数が少ないため、一部のパルスのデータ位相しか測定できず、かつ、どのパルスのデータ位相が測定できるかは確率的である。したがって、ビームスプリッタ攻撃による盗聴は、アリス20/ボブ30が生成した光信号を特定してデータ位相を測定することができず、本実施形態で生成された秘密鍵ビットを知ることができない。
【0050】
また、他の盗聴法に、盗聴者がアリス20/ボブ30からチャーリー10に向かう光信号の伝送路に割り込んで偽装パルスをチャーリー10に送信する、成りすまし攻撃と呼ばれる盗聴法がある。成りすまし攻撃は、盗聴者が光信号の各パルスのデータ位相を測定し、測定できたパルスのみについて測定値を付与した偽装パルスをチャーリー10に送信する。成りすまし攻撃を使って本実施形態の量子鍵配送システムへの攻撃を試みた場合、チャーリー10は、孤立パルスの偽装パルスを受信することになる。このような偽装パルスを受信すると、チャーリーの遅延干渉計出力端子では、コヒーレントパルスと空パルスが重なり合うことが起こる。
【0051】
図8は、アリス20の光信号Saに対して成りすまし攻撃が行われた例を説明するための図である。図8において、破線で示すパルス光は、光信号Saのうち、盗聴の過程で測定されず、消失したことを示している。アリス20からの単独パルスとボブ30からの連続パルスが遅延マッハツェンダー干渉計に入力した場合、光子検出器16、17においてボブ30からのパルス光のみが入力される時間スロットが発生する。
【0052】
図9は、アリス20/ボブ30の両方の光信号Sa、Sbの両方に成りすまし攻撃がされた例を示している。このような場合、盗聴者は、光信号Sa、Sbの両方のパルス光を測定し、同じ時間スロットで位相の測定に成功したパルス光の対だけをチャーリー10に送信する。このとき、チャーリー10の遅延マッハツェンダー干渉計には、光信号Sa、Sbの単独パルスが同じタイミングで入力される。入力された単独パルスは、ビームスプリッタ108において合波され、伝搬時間が異なるパルス光Sc、Sdに分岐されるため、光子検出器16、17にはアリス20またはボブ30からのパルス光のみが入力される時間スロットが発生する。
【0053】
上記のように、アリス20/ボブ30の一方のパルス光のみが入力された時間スロットにおける光子検出事象は、アリス20/ボブ30の送信位相差とは全く無関係なものとなり、光子検出器16、17のいずれで光子検出されるかは全くランダムである。したがって、アリス20/ボブ30が上述の手順によってビット列を生成した場合、このような光子検出はビットの不一致と判定される。本実施形態のビット列の生成工程は、アリス20/ボブ30がビット不一致率から盗聴量の上限を見積り、その分をデータ圧縮する工程を含むので、成りすましによる盗聴は不成功となる。
【0054】
さらに、本実施形態の量子鍵配送システムは、光子数分岐攻撃に対しても耐性がある。光子数分岐攻撃は、1つのパルスに含まれている光子数を測定し、光子数が複数であるパルスから1光子だけ抜き出して残りの光子はそのままチャーリー10に送信し、光子数1であるパルスはブロックする盗聴法である。光子数分岐攻撃が行われると、チャーリー10は単独パルスを受信することになる。このような場合、上記した成りすまし攻撃時と同様に、アリス20/ボブ30のテストビットの一致、不一致の確率が所定の値以下とはならず、秘密鍵は生成されない。したがって、光子数分岐攻撃による盗聴は不成功となる。このような本実施形態によれば、非特許文献1に記載のように、パルスごとに平均光子数を無作為に変調するデコイ法で対抗することが不要になり、装置及びプロトコルの煩雑化を回避することができる。
【0055】
以上説明した本実施形態は、離れて設置された2つの光信号送受信装置の間に通信を仲介する光信号送受信装置を設置するシステム構成により長距離化を可能とするTF-QKDにおいて、伝搬位相の制御を必要とすることなく鍵ビットを生成し、またデコイ法を用いることなく光子数分岐攻撃を不成功とすることができ、それによって、装置構成が簡便な量子鍵配送システム、この量子鍵配送システムにおいて実施される量子鍵配送方法を提供することができる。
【符号の説明】
【0056】
10、100 チャーリー
16、17、106、107 光子検出器
18、19、108、109 ビームスプリッタ
20、200 アリス
21、201 コヒーレントパルス光源
22、23、203、204 位相変調器
25、205 光減衰器
30、300 ボブ
202 強度変調器
16、17、106、107 光子検出器
18、19、108、109 ビームスプリッタ
20、200 アリス
21、201 コヒーレントパルス光源
22、23、203、204 位相変調器
25、205 光減衰器
30、300 ボブ
202 強度変調器
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】