特許 7388700 秘密鍵共有方法及びシステム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2023-11-20

(45)【発行日】2023-11-29

(54)【発明の名称】秘密鍵共有方法及びシステム

(51)【国際特許分類】

   H04L 9/08 20060101AFI20231121BHJP

   H04B 10/112 20130101ALI20231121BHJP

   H04B 10/118 20130101ALI20231121BHJP

   H04B 10/85 20130101ALI20231121BHJP

   H04L 9/12 20060101ALI20231121BHJP

【ＦＩ】

H04L9/08 C

H04L9/08 E

H04B10/112

H04B10/118

H04B10/85

H04L9/12

【請求項の数】 5

(21)【出願番号】P 2019235286

(22)【出願日】2019-12-25

(65)【公開番号】P2021103870

(43)【公開日】2021-07-15

【審査請求日】2022-11-17

【新規性喪失の例外の表示】特許法第３０条第２項適用 （発行者） ＳＰＩＥ （刊行物名）ＰＲＯＣＥＥＤＩＮＧＳ ＯＦ ＳＰＩＥ Ｖｏｌ．１１１５３ （ＳＰＩＥ Ｒｅｍｏｔｅ Ｓｅｎｓｉｎｇ，２０１９，Ｓｔｒａｓｂｏｕｒｇ，Ｆｒａｎｃｅ） （発行日） 令和１年１０月９日

【国等の委託研究の成果に係る記載事項】（出願人による申告）令和元年度、総務省、情報通信技術の研究開発「衛星通信における量子暗号技術の研究開発」に係る委託研究、産業技術力強化法第１７条の適用を受ける特許出願

(73)【特許権者】

【識別番号】301022471

【氏名又は名称】国立研究開発法人情報通信研究機構

(74)【代理人】

【識別番号】100120868

【弁理士】

【氏名又は名称】安彦 元

(72)【発明者】

【氏名】遠藤 寛之

(72)【発明者】

【氏名】佐々木 雅英

【審査官】金沢 史明

(56)【参考文献】

【文献】特開２００８－０６６９８１（ＪＰ，Ａ）

【文献】国際公開第２０１８／０４７７１６（ＷＯ，Ａ１）

【文献】特開２０１７－１７５３２０（ＪＰ，Ａ）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｈ０４Ｌ ９／０８

Ｈ０４Ｂ １０／１１－１０／１１８

Ｈ０４Ｂ １０／８５

Ｈ０４Ｌ ９／１２

(57)【特許請求の範囲】

【請求項1】

送信機と受信機との間で秘密鍵を共有するための秘密鍵共有方法において、
上記送信機により乱数源から生成した乱数ビット列をレーザ光に重畳して送信し、上記レーザ光を受信した受信機によりこれに重畳された上記乱数ビット列を復調するとともに、当該レーザ光のビットｘ＝０に応じた受信強度の頻度分布及びビットｘ＝１に応じた受信強度の頻度分布と上記レーザ光の平均受信強度との時系列的傾向に基づいて、上記復調した復調乱数ビット列から排除対象ビットを判別する排除対象ビット判別ステップと、
上記受信機により、上記排除対象ビット判別ステップにおいて判別された排除対象ビットを上記復調乱数ビット列から排除するとともに、その排除対象ビットに関する排除対象ビット情報を上記送信機に送信し、上記送信機により、上記受信機から受信した上記排除対象ビット情報に基づいて上記乱数ビット列から排除対象ビットを排除するビット排除ステップと、
上記ビット排除ステップにおいてそれぞれ排除対象ビットが排除された上記乱数ビット列と上記復調乱数ビット列とに基づき、上記送信機と上記受信機との間で鍵蒸留を行うことにより、上記共有するための秘密鍵を生成する蒸留ステップとを有すること
を特徴とする秘密鍵共有方法。

【請求項2】

上記排除対象ビット判別ステップでは、上記レーザ光の受信強度における時系列的傾向から算出した平均受信強度が予め設定した閾値Ｔ_th未満である場合、その時刻における復調乱数ビット列を上記排除対象ビットとして判別すること
を特徴とする請求項１記載の秘密鍵共有方法。

【請求項3】

上記排除対象ビット判別ステップでは、上記レーザ光の受信強度が、当該レーザ光の受信強度における時系列的傾向から算出した平均受信強度を中心とした範囲σに含まれる場合、その時刻における復調乱数ビット列を上記排除対象ビットとして判別すること
を特徴とする請求項２記載の秘密鍵共有方法。

【請求項4】

上記各閾値Ｔ_th及び上記各範囲σに対する秘密鍵レート（ビット／入力）の関係を予め取得し、取得した上記関係から、秘密鍵レートがより高い閾値Ｔ_th及び範囲σを探索し、当該探索した閾値Ｔ_th及び範囲σに基づいて排除対象ビットを判別すること
を特徴とする請求項３記載の秘密鍵共有方法。

【請求項5】

送信機と受信機との間で秘密鍵を共有するための秘密鍵共有システムにおいて、
乱数源から生成した乱数ビット列をレーザ光に重畳して送信する上記送信機と、
上記送信機から上記レーザ光を受信し、これに重畳された上記乱数ビット列を復調するとともに、当該レーザ光のビットｘ＝０に応じた受信強度の頻度分布及びビットｘ＝１に応じた受信強度の頻度分布と上記レーザ光の平均受信強度との時系列的傾向に基づいて、上記復調した復調乱数ビット列から排除対象ビットを判別し、この判別した排除対象ビットを上記復調乱数ビット列から排除するとともに、その排除対象ビットに関する排除対象ビット情報を上記送信機に送信する受信機を備え、
上記送信機は、上記受信機から受信した上記排除対象ビット情報に基づいて上記乱数ビット列から排除対象ビットを排除し、
更に上記送信機及び上記受信機は、それぞれ排除対象ビットが排除された上記乱数ビット列と上記復調乱数ビット列とに基づき鍵蒸留を行うことにより、上記共有するための秘密鍵を生成すること
を特徴とする秘密鍵共有システム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、送信機と受信機との間で秘密鍵を共有する上で好適な秘密鍵共有方法及びシステムに関する。

【背景技術】

【0002】

光空間通信は、幅広い帯域を持つことから、使用可能周波数帯が枯渇しつつあるＲＦ帯通信を補い、高速な通信ネットワークを確立するための手法として注目を集めている。このような光空間通信により伝送される情報の中には機密性の高いものも含まれる。光空間通信は、送信機（アリス)と正規の受信機（ボブ）との間で、高い指向性のレーザ光を介して行われる。このため、盗聴者（イブ）は、アリスから発見されないようにビーム広がりの裾から盗聴を行わざるを得ない。このように光空間通信では、イブの攻撃方法が一部制限されている状況の下、特殊な信号処理や符号化により、容易に解読することができない秘匿メッセージ伝送や秘密鍵の共有を実現する上で好適である。このような手法を総称して物理レイヤ暗号というが、この暗号技術によって、近年急速に進歩しつつある衛星や無人航空機（ドローン）等の移動体間の光空間通信における安全性をより向上できることが期待されている。

【0003】

光空間通信は、秘匿通信を行う上で非常に多くの利点を持つが、ボブ側の受信光強度が大きく時間変化することが問題点として挙げられる。これは、大気中の屈折率が熱や風速の変化を受けることで時々刻々とゆらぎ、大気を伝搬しているレーザ光がその影響を受けるためである。特に、受信光強度が大きく減少する場合には、ビット誤り率が増加するため、秘密鍵共有のパフォーマンスが大きく劣化するという問題点がある。

【先行技術文献】

【非特許文献】

【0004】

【文献】M. Fujiwara et al., “Free-space optical wiretap channel and experimental secret key agreement in 7.8 km terrestrial link,” Opt. Express, 26(15), 19513-19523 (2018).

【文献】H. Endo et al., “Free space optical secret key agreement,” Opt. Express, 26(18), 23305-23332 (2018).

【発明の概要】

【発明が解決しようとする課題】

【0005】

非特許文献１、２の開示技術によれば、光空間通信における秘密鍵共有の実証実験を７．８ｋｍ離れたビル間にて行っている。また、秘密鍵共有のパフォーマンスに大気ゆらぎや気象条件が及ぼす効果についても検証している。しかしながら、このような大気ゆらぎ等に対する秘密鍵共有のパフォーマンスの低下を防ぐ具体的な方法については特段提案されていない。

【0006】

そこで本発明は、上述した問題点に鑑みて案出されたものであり、その目的とするところは、光空間通信における秘密鍵共有を行う上で、大気ゆらぎや気象条件によるパフォーマンスの低下を防ぎつつ、秘匿通信の伝送性能を改善することが可能な秘密鍵共有方法及びシステムを提供することにある。

【課題を解決するための手段】

【0007】

本発明者らは、上述した課題を解決するために、送信機により乱数ビット列をレーザ光に重畳して送信し、レーザ光を受信した受信機によりこれに重畳された乱数ビット列を復調するとともに、当該レーザ光の受信強度における時系列的傾向に基づいて、復調した復調乱数ビット列から排除対象ビットを判別し、受信機により判別された排除対象ビットを復調乱数ビット列から排除するとともに、その排除対象ビットに関する排除対象ビット情報を送信機に送信し、送信機により、受信機から受信した排除対象ビット情報に基づいて乱数ビット列から排除対象ビットを排除した後、送信機と受信機との間で鍵蒸留を行うことで、共有するための秘密鍵を生成する秘密鍵共有方法及びシステムを発明した。

【0008】

本発明を適用した秘密鍵共有方法は、送信機と受信機との間で秘密鍵を共有するための秘密鍵共有方法において、上記送信機により乱数源から生成した乱数ビット列をレーザ光に重畳して送信し、上記レーザ光を受信した受信機によりこれに重畳された上記乱数ビット列を復調するとともに、当該レーザ光のビットｘ＝０に応じた受信強度の頻度分布及びビットｘ＝１に応じた受信強度の頻度分布と上記レーザ光の平均受信強度との時系列的傾向に基づいて、上記復調した復調乱数ビット列から排除対象ビットを判別する排除対象ビット判別ステップと、上記受信機により、上記排除対象ビット判別ステップにおいて判別された排除対象ビットを上記復調乱数ビット列から排除するとともに、その排除対象ビットに関する排除対象ビット情報を上記送信機に送信し、上記送信機により、上記受信機から受信した上記排除対象ビット情報に基づいて上記乱数ビット列から排除対象ビットを排除するビット排除ステップと、上記ビット排除ステップにおいてそれぞれ排除対象ビットが排除された上記乱数ビット列と上記復調乱数ビット列とに基づき、上記送信機と上記受信機との間で鍵蒸留を行うことにより、上記共有するための秘密鍵を生成する蒸留ステップとを有することを特徴とする。

【0009】

本発明を適用した秘密鍵共有システムは、送信機と受信機との間で秘密鍵を共有するための秘密鍵共有システムにおいて、乱数源から生成した乱数ビット列をレーザ光に重畳して送信する上記送信機と、上記送信機から上記レーザ光を受信し、これに重畳された上記乱数ビット列を復調するとともに、当該レーザ光のビットｘ＝０に応じた受信強度の頻度分布及びビットｘ＝１に応じた受信強度の頻度分布と上記レーザ光の平均受信強度との時系列的傾向に基づいて、上記復調した復調乱数ビット列から排除対象ビットを判別し、この判別した排除対象ビットを上記復調乱数ビット列から排除するとともに、その排除対象ビットに関する排除対象ビット情報を上記送信機に送信する受信機を備え、上記送信機は、上記受信機から受信した上記排除対象ビット情報に基づいて上記乱数ビット列から排除対象ビットを排除し、更に上記送信機及び上記受信機は、それぞれ排除対象ビットが排除された上記乱数ビット列と上記復調乱数ビット列とに基づき鍵蒸留を行うことにより、上記共有するための秘密鍵を生成することを特徴とする。

【発明の効果】

【0010】

上述した構成からなる本発明によれば、レーザ光の大気ゆらぎ等による影響を除去した乱数列に基づいて鍵蒸留を行うことができ、光空間通信における秘密鍵共有において、大気のゆらぎの影響下でも、より多くの鍵を共有できるようになる。また、単に鍵生成速度が高速化されるだけでなく、誤り訂正への負担も低減されることから、無人航空機や人工衛星へ実装する上でも好適なものとなる。

【図面の簡単な説明】

【0011】

【図1】図１は、本発明を適用した秘密鍵共有システムの全体構成を示す図である。

【図2】図２は、送信機のシステム構成図である。

【図3】図３は、受信機のシステム構成図である。

【図4】図４は、本発明を適用した秘密鍵共有システムの動作について説明するための図である。

【図5】図５は、モニタリングしたレーザ光の受信強度における時系列的傾向の例を示す図である。

【図6】図６は、個々の信号s_Ｂ（ｉ）毎に（３）式を満たすか否か判断を行う場合について説明するための図である。

【図7】図７は、ステップＳ１１の詳細なフローについて説明するためのフローチャートである。

【図8】図８は、横軸を閾値Ｔ_ｔｈ、縦軸をσの大きさとしたとき、実際の秘密鍵レート（ビット／入力）の分布の例を示す図である。

【発明を実施するための形態】

【0012】

以下、本発明を適用した秘密鍵共有システムを実施するための形態について図面を参照しながら詳細に説明をする。

【0013】

図１は、本発明を適用した秘密鍵共有システム１の全体構成を示している。秘密鍵共有システム１は、送信機（アリス）２と、正規の受信機（ボブ）４とを備えている。送信機２と受信機４間で、互いに光空間通信を行う。

【0014】

このような送信機２と受信機４との間の光空間通信について、その指向性の高いレーザ光のビーム広がりの裾から盗聴を試みようとする盗聴機（イブ）３が出現する場合がある。本発明を適用した秘密鍵共有システム１は、このような盗聴機３による光空間通信の盗聴を防止し、通信の秘匿性を向上させるものである。このような盗聴機３に対して漏洩する漏洩情報を推定するために、本発明においては、盗聴機３に見立てた仮想的な漏洩情報推定機５（ｖ-イブ）を設ける。この漏洩情報推定機５は、受信機４の近傍に配置される。

【0015】

送信機２は、例えば人工衛星等に搭載される場合もあり、この人工衛星は、例えば、地上高度約３６０００ｋｍの地球自転周期と一致する軌道周期をもつ地球周回軌道としての対地同期軌道を約２４時間で周回する、あるいは地上高度２００００ｋｍの準同期軌道を約１２時間で周回する人工衛星である。

【0016】

図２は、送信機２のシステム構成を示している。送信機２は、乱数生成部２１と、乱数生成部２１に接続された光変調部２２ と、光変調部２２に接続された光空間通信部２３ 及び制御／演算部２４と、制御／演算部２４に接続された公開通信部２５とを備えている。

【0017】

乱数生成部２１は、暗号通信に必要となる秘密鍵としての乱数をランダムに生成する乱数源である。乱数生成部２１は、この乱数源による乱数をビット列にした乱数ビット列を構成する。この乱数生成部２１により生成される初期乱数を以下、乱数ビット列ｘ^ｎ+ｔという。乱数生成部２１は、生成した乱数ビット列ｘ^ｎ+ｔを光変調部２２へ出力する。

【0018】

光変調部２２は、乱数生成部２１から送られてきた乱数ビット列ｘ^ｎ+ｔに応じた変調を施し、これを光空間通信部２３へと送信する。

【0019】

光空間通信部２３は、光変調部２２から送られてきた乱数ビット列ｘ^ｎ+ｔをレーザ光に重畳させることで無線信号化し、これを受信機４に向けて送信する。

【0020】

制御／演算部２４は、送信機２における各構成の動作を制御する。制御／演算部２４は、受信機４との間で行う秘密鍵の鍵蒸留の処理動作も制御する。

【0021】

公開通信部２５は、受信機４との間で公開通信路を通じて情報を送受信するための通信部である。この公開通信部２５は、レーザ光からなる無線信号に限らず、電波による無線信号を送受信するものであってもよい。

【0022】

図３は、受信機４のシステム構成を示している。受信機４は、光空間通信部３１と、光空間通信部３１に接続された光信号復調部３２及びモニタリング部３３と、光信号復調部３２及びモニタリング部３３に接続された演算処理部３４と、演算処理部３４に接続された公開通信部３５とを備えている。

【0023】

光空間通信部３１は、送信機２から送られてくる、乱数ビット列ｘ^ｎ+ｔが重畳されたレーザ光からなる無線信号を受信し、これを光信号復調部３２へ送信する。

【0024】

光信号復調部３２は、光空間通信部３１から送信されてくる信号を復調した上で、これを演算処理部３４へ送信する。

【0025】

モニタリング部３３は、光空間通信部３１により受信したレーザ光の受信強度における時系列的傾向をモニタリングする。このモニタリング部３３は、実際にディスプレイ等でレーザ光の受信強度における時系列的傾向を表示することは必須ではなく、少なくとも当該時系列的傾向を検出、取得することができればよい。モニタリング部３３は、取得したレーザ光の受信強度における時系列的傾向を演算処理部３４へと通知する。

【0026】

演算処理部３４は、光信号復調部３２からの乱数列等の信号を解読するとともに、モニタリング部３３から通知された時系列的傾向に基づき、各種制御を施す。

【0027】

公開通信部３５は、送信機２における公開通信部２５との間で公開通信路を通じて情報を送受信するための通信部である。この公開通信部３５は、レーザ光からなる無線信号に限らず、電波による無線信号を送受信するものであってもよい。

【0028】

次に、本発明を適用した秘密鍵共有システム１の動作について説明をする。

【0029】

図４に示すように、先ずステップＳ１１では、以下に説明をする排除対象ビットの判別を行う。

【0030】

先ず送信機２（アリス）側において、乱数生成部２１により乱数源から長さｎ＋ｔビットの乱数ビット列ｘ^ｎ＋ｔを生成する。必要に応じて光変調部２２により、この乱数ビット列ｘ^ｎ＋ｔに応じた変調を施す。乱数ビット列ｘ^ｎ＋ｔは、光空間通信部２３によりレーザ光に重畳される。このレーザ光への重畳は、例えばレーザ光源をビット列の１又は０に応じて発振又は停止させ、いわゆるオン・オフ変調制御で行うようにしてもよいし、発振強度の強弱を変えることで変調を施すようにしてもよい。また、レーザ光への重畳は、BPSK(Binary Phase-shift Keying)のように、波の位相で符号化する方式に基づいて変調を施すようにしてもよい。このようにして乱数ビット列ｘ^ｎ＋ｔが重畳されたレーザ光は、送信機２から受信機４へと空間中を伝送することになる。

【0031】

レーザ光は、受信機４における光空間通信部３１を介して受信され、電気信号に復調され、光信号復調部３２へにおいて復号化されることで復調乱数ビット列ｙ^ｎ＋ｔとして抽出される。この復調乱数ビット列ｙ^ｎ＋ｔは、乱数ビット列ｘ^ｎ＋ｔと同一になっている場合もあるが、ビットの誤りにより必ずしも同一になっていない場合もある。

【0032】

また、盗聴機（イブ）３は、送信機（アリス）２と、受信機（ボブ）４から発見されないように、レーザ光のビーム広がりの裾から盗聴を試みることが想定される。この盗聴機３が盗聴することで得ようとする復調乱数ビット列ｚ^ｎ＋ｔも同様に見積もる。かかる場合には、仮想的に盗聴機３とみなした漏洩情報推定機５（ｖ－イブ）を受信機４の近傍に設置し、その測定値から漏洩情報量の推定値を見積もる。この盗聴機３とみなした漏洩情報推定機５（ｖ－イブ）は、受信機４と同様の構成要素からなり、受信機４と同様のプロセスで、復調乱数ビットｚ^ｎ＋ｔを抽出する。あるいは、より厳しい推定値を見積もるため、複数以上の値からなる、軟値判定を行っても良い。

【0033】

このような復調乱数ビット列ｙ^ｎ＋ｔの抽出と並行して、モニタリング部３３において光空間通信部３１により受信したレーザ光の受信強度における時系列的傾向をモニタリングする。図５は、このモニタリングしたレーザ光の受信強度における時系列的傾向の例を示している。

【0034】

各時間帯における受信強度は、ビットｘ＝０に応じた受信強度の分布と、ビットｘ＝１に応じた受信強度の分布が重なりあっている。図５における上段における縦軸の受信強度を横軸にし、各ビットｘ＝０、１毎にその頻度を計測したものが図５の下段である。

【0035】

時間帯Ａでは、各ビットｘ＝０、１が受信強度を介して互いに分離できている。このような時間帯Ａにおいては、平均受信強度を介してビットｘ＝０とビットｘ＝１とを互いに分離することができる。

【0036】

これに対して、大気ゆらぎや気象条件等により、レーザ光の受信強度に揺らぎが発生した場合には、例えば、時間帯Ｂ並びに時間帯Ｃに示すようにビットｘ＝０とビットｘ＝１とが互いに重なり合ってしまう。その結果、ビットｘ＝０とビットｘ＝１とを互いに分離して抽出することができなくなり、これを復調してしまうと、送信機２（アリス）側において生成した乱数ビット列ｘ^ｎ＋ｔと、受信機４側において復調した乱数ビット列ｙ^ｎ＋ｔとの間で乖離が生じてしまい、正確な通信が行えなくなる。

【0037】

このため、ステップＳ１１では、大気ゆらぎ等による乱数ビット列の誤りを無くすため、その誤っている可能性のあるビットを排除する。ここで、ある時刻ｉにおける受信信号ｓ_Ｂ（ｉ）の強度について、以下の（１）式を定義する。

【0038】

【数1】

・・・・・・・・・・・・（１）
ここで、ｘ（ｉ）は、時刻ｉにおける送信機２が送ったビットでｘ＝０かｘ＝１の値を取る。ａ_Ｂ（ｉ）は、時刻ｉにおける平均受信強度である。このａ_Ｂ（ｉ）は、ある時刻から前後Ｎビットの信号の移動平均により求めることができ、具体的には、下記（２）式により求めることができる。

【0039】

【数2】

・・・・・・・・・・・（２）
またｎ_Ｇ（ｉ）は、時刻ｉにおいて受信機４側に生じたノイズである。

【0040】

このようにして表現できる受信信号ｓ_Ｂ（ｉ）は、光空間通信においては大気ゆらぎ等の影響により、その平均受信強度ａ_Ｂ（ｉ）は、時系列的に変化する。図５に示すように、時間帯Ａにおいては、各ビットｘ＝０、１が互いに受信強度を介して明確に分離できているが、その理由はビットｘ＝１の受信強度がビットｘ＝０の受信強度と比べて明らかに高い領域に分布しており、その分において平均受信強度が高くなる。つまり、平均受信強度がより高いときには、ビットｘ＝０、１に対応する受信光強度の分布は十分に離れており、両者の信号は十分に識別できるほどに誤りが非常に小さい領域であることが分かる。

【0041】

これに対して、時間帯Ｂにおいては、各ビットｘ＝０、１が互いに重なり合っており、受信強度を介して明確に分離できていない。ビットｘ＝０の受信強度と比べて、ビットｘ＝１の受信強度がそれほど高くなく、その結果、平均受信強度が低くなっている。平均受信強度が非常に小さくなると、各ビットｘ＝０、１の頻度分布が重なってしまい、正確な通信が行えなくなる状態となっている。

【0042】

また時間帯Ｃも時間帯Ｂと同様に、各ビットｘ＝０、１の頻度分布が重なっているが、時間帯Ｂと比較してその頻度分布の重なり領域は少なくなっている。このため、各ビットｘ＝０、１の頻度分布のうち、一部の乱数ビットは正しく伝送できるものの、他の一部の乱数ビットは、誤りが存在することになり、エラーが発生する可能性のある領域といえる。

【0043】

これら時間帯Ａ～Ｃにおけるレーザ光の受信強度における時系列的傾向は、何れも大気ゆらぎ等による影響の度合に応じたものとなる。逆にこのような受信強度の時系列的傾向をモニタリングすることにより、大気ゆらぎ等による影響の度合を識別することができ、その影響の度合に応じて、誤っている排除対象ビットを判別することができ、その判別した排除対象ビットを排除することで誤りを訂正することができる。このような排除対象ビットの判別は、モニタリング部３３によりモニタリングされた受信強度の時系列的傾向に基づき、演算処理部３４を介して行う。

【0044】

モニタリングした受信光度の時系列的傾向から排除対象ビットを判別する際には、平均受信強度（平均ａ_Ｂ（ｉ））に基づいて判別するようにしてもよい。

【0045】

時刻ｉにおける平均受信強度ａ_Ｂ（ｉ）がある閾値Ｔ_ｔｈよりも下回った場合、すなわち、Ｔ_ｔｈ＞ａ_Ｂ（ｉ）を満たす場合に、その時刻におけるｓ_Ｂ（ｉ）を削除する。

【0046】

例えば図５の例の場合には、時間帯Ｂにおけるａ_Ｂ（ｉ）は、何れも閾値Ｔ_ｔｈを下回っている。このようなａ_Ｂ（ｉ）が閾値Ｔ_ｔｈ未満の領域については、その時間帯（時刻）における復調乱数ビット列を排除対象ビットとして判別する。時間帯Ｂは、ａ_Ｂ（ｉ）の全てが閾値Ｔ_ｔｈ未満であることから、この時間帯Ｂにおける復調乱数ビット列の全てが排除対象ビットとなる。

【0047】

また、モニタリングした受信光度の時系列的傾向から排除対象ビットを判別する際には、更に、平均受信強度を中心としたある範囲σに含まれるか否かに基づいて判別するようにしてもよい。かかる場合には、ある時刻ｉにおける信号ｓ_Ｂ（ｉ）が、平均受信強度（ａ_Ｂ（ｉ））を中心としたある範囲σに含まれる場合、すなわち、以下の（３）式の関係を満たす場合、その信号ｓ_Ｂ（ｉ）における復調乱数ビットを排除対象ビットとして割り当てる。

【0048】

ａ_Ｂ（ｉ）－σ≦ｓ_Ｂ（ｉ）≦ａ_Ｂ（ｉ）＋σ・・・・・・・・・・（３）

【0049】

図５の例では、時間帯Ｃにおけるａ_Ｂ（ｉ）は何れも閾値Ｔ_ｔｈを上回っているものの、信号ｓ_Ｂ（ｉ）はａ_Ｂ（ｉ）を中心としたある範囲σには含まれる。かかる場合には、上述した（３）式を満たすものであることから、この時間帯Ｃにおける復調乱数ビットを排除対象ビットとして割り当てる。ａ_Ｂ（ｉ）が閾値Ｔ_ｔｈのみの比較では、時間帯Ｃのような平均ａ_Ｂ（ｉ）が閾値Ｔ_ｔｈを上回るものの誤りの可能性の高い復調乱数ビットを判別することができないが、このような（３）式に基づく判別を行うことでこれを漏れなく検出することが可能となる。なお、この（３）式に基づく判別では、個々の信号ｓ_Ｂ（ｉ）毎に（３）式を満たすか否か判断を行う。その結果、（３）式を満たす場合には、その信号ｓ_Ｂ（ｉ）に対応するビットを排除対象ビットに含め、（３）式を満たさない場合には、その信号ｓ_Ｂ（ｉ）に対応するビットを排除対象ビットに含めない処理を行う。

【0050】

その結果、図６に示す斜線領域に示すように、（３）式の関係を満たさない、換言すれば、平均ａ_Ｂ（ｉ）＋σを超えるか、又は平均ａ_Ｂ（ｉ）－σ未満の受信強度からなる信号ｓ_Ｂ（ｉ）に対応する復調乱数ビットのみを残し、（３）式を満たす非斜線領域の信号ｓ_Ｂ（ｉ）に対応する復調乱数ビットは排除対象ビットとする。

【0051】

ちなみに、この排除対象ビットの判別においては、Ｔ_ｔｈ＞ａ_Ｂ（ｉ）、及び（３）式の双方に基づくものであってもよいし、いずれか一方のみの方法に基づくものであってもよい。またこの排除対象ビットの判別は、上述した例に限定されるものでは無く、レーザ光の受信強度における時系列的傾向に基づくものであれば、他のいかなる方法に基づくものであってもよい。

【0052】

演算処理部３４により、このような誤っている可能性が高い排除対象ビットを判別した後、受信機側において復調した復調乱数ビット列ｙ^ｎ＋ｔから排除対象ビットをｄビット削除する処理を行う。その結果、排除対象ビットが削除された復調乱数ビット列ｙ^{ｎ＋ｔ－ｄ}が生成されることなる。

【0053】

同様に、この盗聴機３とみなした漏洩情報推定機５において生成した復調乱数ビットｚ^ｎ＋ｔからも、排除対象ビットをｌビット削除する処理を行う。その結果、排除対象ビットが削除された復調乱数ビット列ｚ^{ｎ＋ｔ－ｄ}が生成されることなる。

【0054】

また受信機４における演算処理部３４は、排除対象ビットに関する排除対象ビット情報を新たに生成する。この排除対象ビット情報は、光信号復調部３２、光空間通信部３１を介して送信機２へ送信するようにしてもよいし、これ以外の電波による無線通信により送信するようにしてもよい。送信機２は、この排除対象ビット情報を光空間通信部２３を介して受信し、光変調部２２を経て制御／演算部２４に送られる。制御／演算部２４では、この排除対象ビット情報に基づいて乱数ビット列ｘ^ｎ＋ｔから排除対象ビットをｄビット削除する処理を行う。その結果、排除対象ビットが削除された乱数ビット列ｘ^{ｎ＋ｔ－ｄ}が生成されることなる。

【0055】

図７は、このステップＳ１１の詳細なフローを示している。ステップＳ２１において、送信機２では、長さｎ＋ｔビットの乱数ビット列ｘ^ｎ＋ｔを生成し、受信機４側ではこれを復調した復調乱数ビット列ｙ^ｎ＋ｔを抽出する（ステップＳ３１）。次にステップＳ３２へ移行し、排除パラメータを探索する。具体的には、上述した（１）～（３）式等に基づき、排除対象ビットを探索する。その結果、排除対象ビットが確定した場合（ステップＳ３３）、これを送信機２へ送信する。

【0056】

ステップＳ２２において、送信機２は排除対象ビットを受信した後、排除対象ビットを削除することで、復調乱数ビット列ｘ^{ｎ＋ｔ－ｄ}が生成されることなる（ステップＳ２３）。同様に受信機４側においても、ステップＳ３４において、排除対象ビットを削除することで復調乱数ビット列ｙ^{ｎ＋ｔ－ｄ}が生成されることになる（ステップＳ３５）。その後、後述するステップＳ１２以降の鍵蒸留処理に移行する。

【0057】

次にステップＳ１２へ移行し、ビット誤り率や漏洩情報量をテストビットを公開して推定する、パラメータ推定を行う。送信機２は、制御／演算部２４による制御の下、乱数ビット列ｘ^{ｎ＋ｔ－ｄ}のうち、ｔビットのテストビットをランダムに選択する。送信機２は、このテストビットと、これらのベースになっている乱数ビット列ｘ^{ｎ＋ｔ－ｄ}におけるインデックスを、受信機４と盗聴機３とみなした漏洩情報推定機５に公開通信路を通して公開する。

【0058】

受信機４は、この公開されたインデックスに基づいて、ｙ^{ｎ＋ｔ－ｄ}からｔビットのテストビットを構築する。そして、この構築したｔビットのテストビットを、送信機２により公開された上述のテストビットと比較することでビット誤り率を計算する。次にこのビット誤り率を送信機２に公開する。漏洩情報推定機５も同様に、公開されたインデックスに基づいて、ｚ^{ｎ＋ｔ－ｄ}からｔビットのテストビットを構築し、送信機２により公開された上述のテストビットと比較することでビット誤り率を計算し、漏えい情報量の推定値を計算する。送信機２、受信機４にその値を公開する。これにより送信機２、受信機４は、漏洩情報推定機５による漏えい情報量の推定値を得ることができる。ちなみに、これら公開されたテストビットは安全上の理由から全て廃棄する。

【0059】

次にステップＳ１３へ移行し、情報整合を行う。この情報整合は、送信機２側における乱数ビット列ｘ^{ｎ＋ｔ－ｄ}からｔビットのテストビットを除いた乱数ビット列ｘ^ｎ－ｄと、受信機４側における復調乱数ビット列ｙ^{ｎ＋ｔ－ｄ}からｔビットのテストビットを除いた復調乱数ビット列ｙ^ｎ－ｄとの間で行う。この情報整合においては、送信機２側における乱数ビット列ｘ^ｎ－ｄと、受信機４側における復調乱数ビット列ｙ^ｎ－ｄとの間に生じている誤りを、誤り訂正用の情報を公開通信路上で交換することによって訂正する。このとき、どれだけの情報を公開すべきかは、ステップＳ１２におけるパラメータ推定のステップで推定したビット誤り率によって決定される。例えば、受信機４から送信機２に誤り訂正用の情報を伝送する、後方情報整合を行うようにしてもよい。送信機２は自身の乱数ビット列ｘ^ｎ－ｄと受信機４が公開した情報とを用いて、受信機４の復調乱数ビット列ｙ^ｎ－ｄを再構成する。

【0060】

次にステップＳ１４に移行し、秘匿性をより増強する処理を行う。このステップの目的は、盗聴者に漏洩していると思われる情報量を削除することで、乱数列の安全性を高めることにある。例えば、送信機２と受信機４は情報整合のステップで共有した復調乱数ビット列ｙ^ｎ－ｄを、ユニバーサル２ハッシュ関数で圧縮してもよい。このハッシュ関数によりどれだけ圧縮するかは、ステップＳ１２におけるパラメータ推定のステップで推定した漏洩情報量と、ステップＳ１３における情報整合のステップで公開した誤り訂正用の情報によって決めるようにしてもよい。このようにして復調乱数ビット列ｙ^ｎ－ｄをハッシュ関数により圧縮することにより、秘密鍵を生成する。

【0061】

上述したステップＳ１３～Ｓ１４は、通常の鍵蒸留のステップであることから、これに限定されるものでは無く、他のいかなる鍵蒸留のステップを通じて秘密鍵が生成されるものであってもよい。

【0062】

上述した構成からなる本発明によれば、ステップＳ１１において、乱数源から生成した乱数ビット列ｘ^ｎ＋ｔを送信機２からレーザ光に重畳して送信し、このレーザ光を受信した受信機４によりこれに重畳された乱数ビット列を復調して復調乱数ビット列ｙ^ｎ＋ｔを得るとともに、当該レーザ光の受信強度における時系列的傾向に基づいて排除対象ビットを判別する。またステップＳ１１では、受信機４側において判別された排除対象ビットを復調乱数ビット列ｙ^ｎ＋ｔから排除するとともに、その排除対象ビットに関する排除対象ビット情報を送信機２に送信する。また送信機２により、受信機４から受信した排除対象ビット情報に基づいて乱数ビット列ｘ^ｎ＋ｔから排除対象ビットを排除する。そして、このように排除対象ビットが排除された乱数ビット列ｘ^{ｎ＋ｔ－ｄ}と復調乱数ビット列ｙ^{ｎ＋ｔ－ｄ}とに基づき、ステップＳ１２～１４を通じて鍵蒸留を行う。

【0063】

誤りの可能性が高い排除対象ビットが排除された乱数ビット列ｘ^{ｎ＋ｔ－ｄ}と復調乱数ビット列ｙ^{ｎ＋ｔ－ｄ}を最初のステップＳ１１を通じて抽出し、これらを通じてステップＳ１２～１４を通じて鍵蒸留を行うことができる。このため、レーザ光の大気ゆらぎ等による影響を除去した乱数列に基づいて鍵蒸留を行うことができ、光空間通信における秘密鍵共有において、大気のゆらぎの影響下でも、より多くの鍵を共有できるようになる。また、単に鍵生成速度が高速化されるだけでなく、誤り訂正への負担も低減されることから、無人航空機や人工衛星へ実装する上でも好適なものとなる。

【0064】

なお本発明は、上述した実施の形態に限定されるものでは無い。ステップＳ１１では、平均受信強度ａ_Ｂ（ｉ）と閾値Ｔ_ｔｈの関係と、時刻ｉにおける信号ｓ_Ｂ（ｉ）が、平均受信強度ａ_Ｂ（ｉ）を中心とした範囲σに含まれるか否かに基づいて、排除対象ビットを判別した。このステップＳ１１において判別の根拠となる閾値Ｔ_ｔｈと範囲σを設定することで、ビット誤り率と、秘密鍵レート（ビット／入力）は異なるものとなる。具体的には、閾値Ｔ_ｔｈと範囲σが大きくなるほど、ビット誤り率は減少する。一方、閾値Ｔ_ｔｈと範囲σが大きくなるほど、排除対象ビットの量ｄが増加することから、乱数ビット列ｘ^{ｎ＋ｔ－ｄ}や復調乱数ビット列ｙ^{ｎ＋ｔ－ｄ}の全体のビット長も減少するため、最終的に受信機４が復調できる乱数ビット列は短くなる。その結果、秘密鍵レート（ビット／入力）が減少してしまう。このため、閾値Ｔ_ｔｈと範囲σとは、ビット誤り率と秘密鍵レート（ビット／入力）との関係において、最適な値が存在する。

【0065】

図８は、横軸を閾値Ｔ_ｔｈ、縦軸をσの大きさとしたとき、実際の秘密鍵レート（ビット／入力）の分布の例を示している。閾値Ｔ_ｔｈと範囲σを極端に大きくすると、秘密鍵レート（ビット／入力）は、本発明を適用しない場合と比較して小さくなるか、あるいは大して変わらなくなる。これに対して、閾値Ｔ_ｔｈ、縦軸をσの大きさを互いに最適な範囲にすると、秘密鍵レート（ビット／入力）の分布が最も高い領域に行き着くことになる。このため、閾値Ｔ_ｔｈと範囲σを互いにずらしながら、秘密鍵レート（ビット／入力）の分布が最も高い領域を探索し、その最も高い領域にある閾値Ｔ_ｔｈと範囲σを、ステップＳ１１における判別に利用するようにしてもよい。かかる場合には、図８に示すような、各閾値Ｔ_ｔｈ及び上記各範囲σに対する秘密鍵レート（ビット／入力）の関係を予め取得しておく。そして、取得した関係から、秘密鍵レートがより高い閾値Ｔ_ｔｈ及び範囲σを探索する。次に当該探索した閾値Ｔ_ｔｈ及び範囲σに基づいてステップＳ１１における排除対象ビットの判別を行う。

【0066】

図８に示すような、各閾値Ｔ_ｔｈ及び上記各範囲σに対する秘密鍵レートＲ_ＰＳの関係を取得する上では、以下の式（４）に基づいて伝送シンボルあたりに生成できる鍵の量Ｒ_Ｋに排除したビットの比率（ｎ－ｄ）／ｎ＋ｔを生じることで求める。これにより、生成できる鍵の量をステップＳ１１において排除したビットの分ｌに応じて補正することができる。

【0067】

Ｉ_ＰＳ（Ｘ；Ｙ）＝（ｎ－ｄ）／（ｎ＋ｔ）×Ｒ_Ｋ ・・・・・・・・（４）

【0068】

ここで伝送シンボルあたりに生成できる鍵の量Ｒ_Ｋは、以下の（５）式で定義される。

【0069】

Ｒ_Ｋ＝Ｉ（Ｘ；Ｙ）－Ｉ（Ｙ；Ｚ） ・・・・・・・・・・（５）

【0070】

また、Ｒ_Ｋの第１項目は、以下の（６）式に示すように、ステップＳ１３の情報整合で共有できる情報量に基づいて計算することができる。

【0071】

【数5】

・・・・・・・・（６）

【0072】

また、Ｒ_Ｋの第２項目は、以下の（７）式に示すように、漏洩情報推定機５に漏洩している情報量に基づいて計算することができる。

【0073】

【数6】

・・・・・・・・（７）

【0074】

ｘは、送信機２におけるビットｘ＝０、１を示すものであり、ｙは、受信機４におけるビットｙ＝０、１を示すものであり、ｚは、漏洩情報推定機５におけるビットｚ＝０、１を示すものである。また、盗聴器3は、より厳しい漏洩情報量推定を行うために、zを複数の値から選択する、軟値判定を行っても良い。

【0075】

Ｐ_Ａ（ｘ）は、送信機２におけるビットｘ＝０とｘ＝１の割合を示している。Ｐ_Ｂ（ｙ）は、受信機４におけるビットｙ＝０とｙ＝１の割合を示している。Ｐ_ＡＢ（ｙ｜ｘ）は、送信機２から受信機４へビットの遷移確率を示している。つまり、送信機２からｘ＝１を送信しているのに対して、誤りの影響で受信機においてはｙ＝１を再現できているもの以外に、ｙ＝０を抽出している可能性があるが、その割合を示すものである。Ｐ_ＢＥ（ｚ｜ｙ）は、受信機４から漏洩情報推定機５へのビットの遷移確率を示している。つまり、受信機４がｙ＝１を受信しているのに対して、漏洩情報推定機５においてはｚ＝１を受信できているのか、或いはｚ＝０を受信しているのかについての割合を示すものである。

【0076】

上述した（４）～（７）式は、秘密鍵レートＲ_ＰＳの求め方の一例ではあるが、閾値Ｔ_ｔｈ及び各範囲σをそれぞれ少しずつシフトさせながら都度実験を行い、実験から得られた条件付確率から秘密鍵レートＲ_ＰＳを求める。そして、求めた秘密鍵レートを図８に示すように、横軸を閾値Ｔ_ｔｈ、縦軸をσの大きさとしたグラフ内にプロットすることで、各閾値Ｔ_ｔｈ及び上記各範囲σに対する秘密鍵レート（ビット／入力）の関係を予め取得することができる。

【0077】

なお、本発明は、各閾値Ｔ_ｔｈ及び各範囲σに対する秘密鍵レート（ビット／入力）の関係を取得する上では、上述した実施の形態に限定されるものでは無い。実際に各閾値Ｔ_ｔｈ及び各範囲σをそれぞれ設定した上で、送信機２から受信機４、漏洩情報推定機５に対して実際に乱数ビット列を送信し、そこから秘密鍵レートを直接的に実測する実験を行う。そして、実測した秘密鍵レートを図８に示すように、横軸を閾値Ｔ_ｔｈ、縦軸をσの大きさとしたグラフ内にプロットするようにしてもよいことは勿論である。

【0078】

また、上述した実施の形態では、光空間通信用の秘密鍵を共有する場合を例にとり説明をしたが、これに限定されるものでは無く、他のいかなる無線通信用の秘密鍵を共有する上でも適用可能であることは勿論である。

【符号の説明】

【0079】

１ 秘密鍵共有システム
２ 送信機
３ 盗聴機
４ 受信機
５ 漏洩情報推定機
２１ 乱数生成部
２２ 光変調部
２３ 光空間通信部
２４ 制御部
２５、３５ 公開通信部
３１ 光空間通信部
３２ 光信号復調部
３３ モニタリング部
３４ 演算処理部

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】

【図8】