(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-11-27
(45)【発行日】2023-12-05
(54)【発明の名称】量子ネットワークおよび認証方法
(51)【国際特許分類】
H04L 9/12 20060101AFI20231128BHJP
H04L 9/32 20060101ALI20231128BHJP
【FI】
H04L9/12
H04L9/32 200A
【請求項の数】
20
【外国語出願】
(21)【出願番号】P 2022136118
(22)【出願日】2022-08-29
(65)【公開番号】P2023124774
(43)【公開日】2023-09-06
【審査請求日】2022-08-31
(31)【優先権主張番号】2202650.4
(32)【優先日】2022-02-25
(33)【優先権主張国・地域又は機関】GB
(73)【特許権者】
【識別番号】000003078
【氏名又は名称】株式会社東芝
(74)【代理人】
【識別番号】110003708
【氏名又は名称】弁理士法人鈴榮特許綜合事務所
(72)【発明者】
【氏名】ロバート イアン ウッドワード
(72)【発明者】
【氏名】ベンジャミン マーシュ
(72)【発明者】
【氏名】ジェームス エフ ダインズ
(72)【発明者】
【氏名】ジリアン ユアン
(72)【発明者】
【氏名】アンドリュー ジェームス シールズ
【審査官】中里 裕正
(56)【参考文献】
【文献】特開2005-117511(JP,A)
【文献】特表2011-510581(JP,A)
【文献】特表2011-510582(JP,A)
【文献】特表2020-501413(JP,A)
【文献】米国特許出願公開第2004/0184603(US,A1)
【文献】米国特許出願公開第2007/0071245(US,A1)
【文献】米国特許出願公開第2020/0351086(US,A1)
【文献】中国特許出願公開第108566273(CN,A)
【文献】中国特許出願公開第108600152(CN,A)
【文献】中国特許出願公開第109787763(CN,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/12
H04L 9/32
JSTPlus/JMEDPlus/JST7580(JDreamIII)
IEEE Xplore
(57)【特許請求の範囲】
【請求項1】
第1のノード、第2のノード、および第3のノードを備える量子通信ネットワークにおける使用のための方法であって、前記方法は、前記第3のノードによって行われ、前記方法は、前記第1のノードから、前記第2のノードとの通信を認証するための認証鍵データを求める要求を受信することと、
前記要求に応答して、
第1の認証鍵データを生成することと、
前記第1のノードに、前記第1のノードと前記第2のノードとの間の通信を認証するための前記第1の認証鍵データを備える第1のメッセージを送信することと、ここにおいて、前記第1のメッセージは、前記第1のノードおよび前記第3のノード上に記憶された第2の認証鍵データを使用して認証され、前記第1のメッセージは、前記量子通信ネットワーク上で前記第1のノードと交換される第1の暗号鍵を使用して暗号化され、
前記第2のノードに、前記第1の認証鍵データを備える第2のメッセージを送信することと、ここにおいて、前記第2のメッセージは、前記第2のノードおよび前記第3のノード上に記憶された第3の認証鍵データを使用して認証され、前記第2のメッセージは、前記量子通信ネットワーク上で前記第2のノードと交換される第2の暗号鍵を使用して暗号化される、
を備える、方法。
【請求項2】
前記量子通信ネットワークは、1つまたは複数の信頼ノードをさらに備え、前記方法は、認証鍵データが前記第2のノードとの通信を認証するために利用可能ではないことを決定することと、
前記1つまたは複数の信頼ノードに、前記第2のノードとの通信を認証するための認証鍵データを要求することと、
前記1つまたは複数の信頼ノードのうちの第4のノードから、前記第3の認証鍵データを備える第3のメッセージを受信することと、ここにおいて、前記第3のメッセージは、前記第3のノードおよび前記第4のノード上に記憶された第4の認証鍵データを使用して認証され、前記第3のメッセージは、前記量子通信ネットワーク上で前記第4のノードと交換される第3の暗号鍵を使用して暗号化され、
前記第3の認証鍵データを記憶することと、
をさらに備える、請求項1に記載の方法。
【請求項3】
前記要求は、1つまたは複数のサービス品質基準を備え、前記1つまたは複数の信頼ノードは、前記1つまたは複数のサービス品質基準に基づいて複数の信頼ノードから選択される、請求項2に記載の方法。
【請求項4】
前記第1のメッセージは、前記第2のノードのアイデンティティが前記第4のノードを使用して認証されたことのインジケーションを備える、請求項2または3に記載の方法。
【請求項5】
第1のノード、第2のノード、および1つまたは複数の信頼ノードを備える量子通信ネットワークにおける使用のための方法であって、前記方法は、前記第1のノードによって行われ、前記方法は、前記1つまたは複数の信頼ノードに、前記第2のノードとの通信を認証するための認証鍵データを要求することと、
前記1つまたは複数の信頼ノードのうちの第3のノードから、前記第2のノードとの通信を認証するための第1の認証鍵データを備える第1のメッセージを受信することと、ここにおいて、前記第1のメッセージは、前記第1のノードおよび前記第3のノード上に記憶された第2の認証鍵データを使用して認証され、前記第1のメッセージは、前記量子通信ネットワーク上で前記第1のノードと前記第3のノードとの間で交換される第1の暗号鍵を使用して暗号化される、
を備える、方法。
【請求項6】
前記1つまたは複数の信頼ノードのうちの第4のノードから、前記第2のノードとの通信を認証するための第3の認証鍵データを備える第2のメッセージを受信することと、ここにおいて、前記第2のメッセージは、前記第1のノードおよび前記第4のノード上に記憶された第4の認証鍵データを使用して認証され、前記第2のメッセージは、前記量子通信ネットワーク上で前記第1のノードと前記第4のノードとの間で交換される第2の暗号鍵を使用して暗号化され、前記第1の認証鍵データおよび前記第3の認証鍵データに基づいて、前記第2のノードとの通信を認証するための第5の認証鍵データを導出することと、
をさらに備える、請求項5に記載の方法。
【請求項7】
前記第5の認証鍵データを導出することは、前記第1の認証鍵データおよび前記第3の認証鍵データに対して1つまたは複数のビット演算を行うことを備える、請求項6に記載の方法。
【請求項8】
前記1つまたは複数のビット演算はXOR演算を備える、請求項7に記載の方法。
【請求項9】
前記第3のノードが危険にさらされたことのインジケーションを受信することと、前記第1の認証鍵データおよび/または前記第1の認証鍵データから導出された認証鍵データを無効にすることと、
をさらに備える、請求項5に記載の方法。
【請求項10】
前記第1のメッセージは、前記1つまたは複数の信頼ノードのうちの前記第3のノードが、前記1つまたは複数の信頼ノード以外の第5のノードを使用して前記第2のノードのアイデンティティを認証したことのインジケーションを備える、請求項5に記載の方法。
【請求項11】
前記第5のノードが危険にさらされたことのインジケーションを受信することと、前記第1の認証鍵データおよび/または前記第1の認証鍵データから導出された認証鍵データを無効にすることと、
を備える、請求項10に記載の方法。
【請求項12】
前記1つまたは複数の信頼ノードに、前記第1のノードと前記第2のノードとの間の通信を認証するための認証鍵データを要求することは、前記1つまたは複数の信頼ノードの第1のサブセットに、前記第1のノードと前記第2のノードとの間の通信を認証するための認証鍵データを要求することと、
前記1つまたは複数の信頼ノードの前記第1のサブセットが前記認証鍵データを提供することができないことを推測することと、
前記推測に応答して、前記1つまたは複数の信頼ノードの第2のサブセットに、前記第1のノードと前記第2のノードとの間の通信を認証するための認証鍵データを要求することと、
を備え、
前記1つまたは複数の信頼ノードの前記第1のサブセットは、第1の基準を満たすノードであり、前記1つまたは複数の信頼ノードの前記第2のサブセットは、前記第3のノードを備える、
請求項5に記載の方法。
【請求項13】
前記1つまたは複数の信頼ノードに、前記第1のノードと前記第2のノードとの間の通信を認証するための認証鍵データを要求することは、前記1つまたは複数の信頼ノードのいずれかが前記第2のノードと通信するための認証鍵データを記憶しているかどうかを決定するために前記1つまたは複数の信頼ノードにクエリすることと、
前記1つまたは複数の信頼ノードのいずれも前記第2のノードと通信するための認証鍵データを記憶していないことを推測することと、
前記1つまたは複数の信頼ノードのいずれかが、前記第2のノードと通信するための認証鍵データを記憶する別のノードのための認証鍵データを記憶しているかどうかを決定するために前記1つまたは複数の信頼ノードにクエリすることと、
を備える、請求項5に記載の方法。
【請求項14】
第1のノード、第2のノード、および1つまたは複数の信頼ノードを備える量子通信ネットワークにおける使用のための第1のノードであって、前記第1のノードは、前記1つまたは複数の信頼ノードに、前記第2のノードとの通信を認証するための認証鍵データを要求することと、
前記1つまたは複数の信頼ノードのうちの第3のノードから、前記第2のノードとの通信を認証するための第1の認証鍵データを備える第1のメッセージを受信することと、ここにおいて、前記第1のメッセージは、前記第1のノードおよび前記第3のノード上に記憶された第2の認証鍵データを使用して認証され、前記第1のメッセージは、前記量子通信ネットワーク上で前記第3のノードと交換される第1の暗号鍵を使用して暗号化される、
を行うように構成される、第1のノード。
【請求項15】
前記第1のノードは、前記1つまたは複数の信頼ノードのうちの第4のノードから、前記1つまたは複数の信頼ノード以外の第5のノードが通信の開始を望んでいることのインジケーションを受信することと、
前記第4のノードから、前記第5のノードとの通信を認証するための第2の認証鍵データを備える第2のメッセージを受信することと、ここにおいて、前記第2のメッセージは、前記第1のノードおよび前記第4のノード上に記憶された第3の認証鍵データを使用して認証され、前記第2のメッセージは、前記量子通信ネットワーク上で前記第4のノードと交換される第2の暗号鍵を使用して暗号化される、
を行うようにさらに構成される、請求項14に記載の第1のノード。
【請求項16】
前記第1のノードは、前記1つまたは複数の信頼ノードのうちの第6のノードから、前記第5のノードとの通信を認証するための第4の認証鍵データを備える第3のメッセージを受信することと、ここにおいて、前記第3のメッセージは、前記第1のノードおよび前記第6のノード上に記憶された第5の認証鍵データを使用して認証され、前記第3のメッセージは、前記量子通信ネットワーク上で前記第6のノードと交換される第3の暗号鍵を使用して暗号化され、
記憶された前記第2の認証鍵データおよび前記第4の認証鍵データに基づいて、前記第6のノードとの通信を認証するための第6の認証鍵データを導出することと、
を行うようにさらに構成される、請求項15に記載の第1のノード。
【請求項17】
前記第1のノードは、前記1つまたは複数の信頼ノードのうちの第7のノードから、前記1つまたは複数の信頼ノードのうちの前記第7のノードと第8のノードとの間の通信を認証するための認証鍵データを求める要求を受信することと、
前記第7のノードに、前記第7のノードと前記第8のノードとの間の通信を認証するための第7の認証鍵データを備える第4のメッセージを送信することと、ここにおいて、前記第4のメッセージは、前記第1のノードおよび前記第7のノード上に記憶された第8の認証鍵データを使用して認証され、前記第1のメッセージは、前記量子通信ネットワーク上で前記第7のノードと交換される第4の暗号鍵を使用して暗号化され、
前記第8のノードに、前記第7の認証鍵データを備える第5のメッセージを送信することと、ここにおいて、前記第5のメッセージは、前記第1のノードおよび前記第8のノード上に記憶された第9の認証鍵データを使用して認証され、前記第5のメッセージは、前記量子通信ネットワーク上で前記第8のノードと交換される第5の暗号鍵を使用して暗号化される、
を行うようにさらに構成される、請求項14に記載の第1のノード。
【請求項18】
前記第1のノードは、認証鍵データが前記第8のノードとの通信を認証するために利用可能ではないことを決定することと、
前記1つまたは複数の信頼ノードに、前記第8のノードとの通信を認証するための認証鍵データを要求することと、
前記1つまたは複数の信頼ノードのうちの第9のノードから、前記第9の認証鍵データを備える第6のメッセージを受信することと、ここにおいて、前記第6のメッセージは、前記第1のノードおよび前記第9のノード上に記憶された第10の認証鍵データを使用して認証され、前記第6のメッセージは、前記量子通信ネットワーク上で前記第9のノードと交換される第6の暗号鍵を使用して暗号化され、
前記第9の認証鍵データを記憶することと、
を行うようにさらに構成される、請求項17に記載の第1のノード。
【請求項19】
前記第5のメッセージは、前記第8のノードのアイデンティティが前記第9のノードを使用して認証されたことのインジケーションを備える、請求項18に記載の第1のノード。
【請求項20】
請求項14乃至19のいずれか1項に記載の第1のノード、第2のノード、および1つまたは複数の信頼ノードを備える、量子通信ネットワーク。【発明の詳細な説明】
【技術分野】
【0001】
本明細書に記載の実施形態は、量子ネットワークおよび認証方法に関する。
【背景技術】
【0002】
量子鍵配送は、セキュア通信を確実にするためのデータ暗号化のために使用することができる完全にランダムな量子鍵を2つの遠隔のノードにおいて生成するための技術である。QKDの基本動作原理は、量子状態を符号化および測定し、続いて、認証された古典チャネルを介して2つのノード間で議論が行われることに依拠するものである。
【0003】
次に、実施形態について以下の図面を参照して説明する。
【図面の簡単な説明】
【0004】
【図1】一実施形態に係るネットワークの概略図である。
【図2A】信頼ノードと2つのユーザノードとの間で渡されるメッセージを示す概略図である。
【図2B】信頼ノードと2つのユーザノードとの間で渡されるメッセージを示す概略図である。
【図3】ユーザノードの概略図である。
【図4A】QKD送信機の概略図である。
【図4B】QKD受信機の概略図である。
【図5A】PSKを要求するときにユーザノードによって行われるステップを示すフローチャートである。
【図6】一実施形態に係るネットワークの概略図である。
【図7】2つの信頼ノードと2つのユーザノードとの間で渡されるメッセージを示す概略図である。
【図8】一実施形態に係る3つのサブネットワークを備える大規模ネットワークの概略図である。
【図9】2つのユーザノード間で共有される鍵が2つの信頼ノードからのPSKを備えるネットワークを示す概略図である。
【発明を実施するための形態】
【0005】
第1の実施形態では、量子通信ネットワークにおける使用のための方法が提供され、ネットワークは第1のノード、第2のノード、および第3のノードを備え、本方法は第3のノードによって行われ、本方法は、
第1のノードから、第2のノードとの通信を認証するための認証鍵データを求める要求を受信することと、
要求に応答して、
第1の認証鍵データを生成することと、
第1のノードに、第1のノードと第2のノードとの間の通信を認証するための第1の認証鍵データを備える第1のメッセージを送信することと、ここにおいて、第1のメッセージは、第1のノードおよび第3のノード上に記憶された第2の認証鍵データを使用して認証され、第1のメッセージは、量子通信ネットワーク上で第1のノードと交換される第1の暗号鍵を使用して暗号化され、
第2のノードに、第1の認証鍵データを備える第2のメッセージを送信することと、ここにおいて、第2のメッセージは、第2のノードおよび第3のノード上に記憶された第3の認証鍵データを使用して認証され、第2のメッセージは、量子通信ネットワーク上で第2のノードと交換される第2の暗号鍵を使用して暗号化される、
を備えるものである。
第1のノードから、第2のノードとの通信を認証するための認証鍵データを求める要求を受信することと、
要求に応答して、
第1の認証鍵データを生成することと、
第1のノードに、第1のノードと第2のノードとの間の通信を認証するための第1の認証鍵データを備える第1のメッセージを送信することと、ここにおいて、第1のメッセージは、第1のノードおよび第3のノード上に記憶された第2の認証鍵データを使用して認証され、第1のメッセージは、量子通信ネットワーク上で第1のノードと交換される第1の暗号鍵を使用して暗号化され、
第2のノードに、第1の認証鍵データを備える第2のメッセージを送信することと、ここにおいて、第2のメッセージは、第2のノードおよび第3のノード上に記憶された第3の認証鍵データを使用して認証され、第2のメッセージは、量子通信ネットワーク上で第2のノードと交換される第2の暗号鍵を使用して暗号化される、
を備えるものである。
【0006】
上記実施形態は、通信を望む二者が両者とも同じ秘密共有鍵へのアクセスを有する必要がある事前共有鍵(PSK)暗号化および認証された通信に関する。これは、セキュリティを確保するために、PSKの使用を望む二者間でPSKをインストールするセキュアな方法が必要であることを意味する。
【0007】
量子鍵配送(QKD)は、セキュア通信を確実にするためのデータ暗号化のために使用することができる完全にランダムな量子鍵を2つの遠隔のノードにおいて生成するための技術である。QKDの基本動作原理は、量子状態の符号化および測定に依拠するものである。これは次いで、認証された古典チャネルを介した2つのノード間での議論が続き、これにより盗聴者の存在を検出することが可能となる。議論の部分は、符号化基底と復号基底とが異なる測定を2つのノードが捨てる、ふるい分け(sifting)と呼ばれるプロセスである。
【0008】
したがって、QKDの要件は、2人のユーザが互いに認証することができることである。これは、2人が、受信した古典メッセージが相手によって送信されたものであり、送信中に改竄されていないことを間違いなく検証することができることを意味する。換言すれば、これは中間者攻撃を回避する。認証は、公開鍵暗号(例えば、RSA)を使用して行うことができるが、これは、量子コンピュータへのそのようなアプローチに欠点があることがわかっているため、好ましい解決手段ではない。代わりに、QKDシステムは事前共有対称鍵(PSK)を使用して互いに認証するほうが一般的である。
【0009】
QKDは新生の技術であるので、これまでのQKDシステムの大多数は、単一のポイントツーポイントリンクを介して動作する。よって、リンクをセットアップするときに製造業者によって事前共有鍵マテリアルがインストールされ、これは初期認証のために使用される(メッセージおよびユーザを認証するために事前共有鍵マテリアルを使用するためのアルゴリズムが多数存在する)。認証されたQKDが開始すると、追加のPSKマテリアルがユーザ間に構築され、後続の認証セッションのために記憶され得る。
【0010】
量子ネットワークは、複数のユーザ間での量子セキュア通信を可能にするために多数のQKDシステムが相互接続される、QKD技術にとっての不可欠な次段階である。これは、各ユーザがQKDシステムを所有し、ユーザ間の量子リンクが光スイッチングによって形成される、光スイッチングネットワーク(optically switched network)であってよい。ユーザ間のこれらの量子チャネルは、光ファイバであってよいし、または代替的に、自由空間リンクであってもよく、1000km離れたノード間の衛星を介する可能性さえもある。しかしながら、古典通信チャネルも確実にセキュアにされる必要がある。新たなQKDユーザをネットワーク内に導入するプロセスには、製造業者が他のQKDノードの各々を訪問し、新たなQKDシステムと共有される事前共有対称鍵を手動でインストールする必要があり得る。これは、起こり得る各QKDシステムのペアリングには別個のPSKがインストールされる必要があり、N個のノードからなるネットワークに対してはN(N-1)/2個のPSKが必要になるので、スケーラブルでない。
【0011】
上記方法により、QKDを使用してユーザノードにPSKをインストールすることが可能になる。QKDを介してPSKをインストールすることにより、セキュリティが維持されるが、物理的にPSKをインストールしにノードを訪問することによってPSKをインストールする必要が回避される。上述のピアツーピア方法により、PSKを生成し、ノードにセキュアに配送することが可能になり、2つのノードが互いに認証でき、よって古典チャネルを介して安全に通信することが可能になる。
【0012】
上述の方法により、ピアツーピア方式での信頼できる第三者を介した認証が可能となる。よって、新たなユーザが光スイッチングQKDネットワークに参加し、信頼できる第三者(すなわち、該ユーザが対称PSKを共有することによって既に独立して認証し合えているパーティ)として行動するネットワーク上の別のノードのアクションを通して、それまでは信頼していなかったノードと認証することが可能になる。情報理論的セキュリティ(ITS)は、認証プロシージャについて、PSKをITS暗号において使用する、またはITSメッセージ認証コードを(例えば、ウェグマン-カーターの方式で)使用することによって達成することができる。
【0013】
第3のノードが第1および第2のノードの両方とのPSKをまだ有していないという状況が生じる可能性がある。この状況において、本方法は、
認証鍵データが第2のノードとの通信を認証するために利用可能ではないことを決定することと、
1つまたは複数の信頼ノードに、第2のノードとの通信を認証するための認証鍵データを要求することと、
1つまたは複数の信頼ノードのうちの第4のノードから、第3の認証鍵データを備える第3のメッセージを受信することと、ここにおいて、第3のメッセージは、第3のノードおよび第4のノード上に記憶された第4の認証鍵データを使用して認証され、第3のメッセージは、量子通信ネットワーク上で第4のノードと交換される第3の暗号鍵を使用して暗号化され、
第3の認証鍵データを記憶することと、
をさらに備える。
認証鍵データが第2のノードとの通信を認証するために利用可能ではないことを決定することと、
1つまたは複数の信頼ノードに、第2のノードとの通信を認証するための認証鍵データを要求することと、
1つまたは複数の信頼ノードのうちの第4のノードから、第3の認証鍵データを備える第3のメッセージを受信することと、ここにおいて、第3のメッセージは、第3のノードおよび第4のノード上に記憶された第4の認証鍵データを使用して認証され、第3のメッセージは、量子通信ネットワーク上で第4のノードと交換される第3の暗号鍵を使用して暗号化され、
第3の認証鍵データを記憶することと、
をさらに備える。
【0014】
さらなる実施形態では、要求は、1つまたは複数のサービス品質基準を備え、1つまたは複数の信頼ノードは、1つまたは複数のサービス品質基準に基づいて複数の信頼ノードから選択される。サービス品質基準は、PSKキーストアのサイズ、ノード間のQKDセキュアビットレート、または製造業者の信頼レベル(例えば、現在の技術段階の所与のQKDは、QKDを正しく実装する製造業者に依拠するものであり、ネットワークオペレータは、あまり信頼できないベンダと比較して「より信頼できる」ベンダによってノードが作られている場合にノードを選択することを好む場合がある)を備え得る。「レイテンシ」が、リンクを選択するときに古典的通信に関してQoSパラメータであってもよい。
【0015】
第4のノードが使用された場合、第1のメッセージは、第2のノードのアイデンティティが第4のノードを使用して認証されたことのインジケーションを備え得る。
【0016】
さらなる実施形態では、量子通信ネットワークにおける使用のための方法が提供され、ネットワークは第1のノード、第2のノード、および1つまたは複数の信頼ノードを備え、本方法は第1のノードによって行われ、本方法は、
1つまたは複数の信頼ノードに、第2のノードとの通信を認証するための認証鍵データを要求することと、
1つまたは複数の信頼ノードのうちの第3のノードから、第2のノードとの通信を認証するための第1の認証鍵データを備える第1のメッセージを受信することと、ここにおいて、第1のメッセージは、第1のノードおよび第3のノード上に記憶された第2の認証鍵データを使用して認証され、第1のメッセージは、量子通信ネットワーク上で第1のノードと第3のノードとの間で交換される第1の暗号鍵を使用して暗号化される、
を備えるものである。
1つまたは複数の信頼ノードに、第2のノードとの通信を認証するための認証鍵データを要求することと、
1つまたは複数の信頼ノードのうちの第3のノードから、第2のノードとの通信を認証するための第1の認証鍵データを備える第1のメッセージを受信することと、ここにおいて、第1のメッセージは、第1のノードおよび第3のノード上に記憶された第2の認証鍵データを使用して認証され、第1のメッセージは、量子通信ネットワーク上で第1のノードと第3のノードとの間で交換される第1の暗号鍵を使用して暗号化される、
を備えるものである。
【0017】
本方法は、1つまたは複数の信頼ノードのうちの第4のノードから、第2のノードとの通信を認証するための第3の認証鍵データを備える第2のメッセージを受信することと、ここにおいて、第2のメッセージは、第1のノードおよび第4のノード上に記憶された第4の認証鍵データを使用して認証され、第2のメッセージは、量子通信ネットワーク上で第1のノードと第4のノードとの間で交換される第2の暗号鍵を使用して暗号化され、
第1の認証鍵データおよび第3の認証鍵データに基づいて、第2のノードとの通信を認証するための第5の認証鍵データを導出することと、
をさらに備え得る。
第1の認証鍵データおよび第3の認証鍵データに基づいて、第2のノードとの通信を認証するための第5の認証鍵データを導出することと、
をさらに備え得る。
【0018】
第5の認証鍵データを導出することは、第1の認証鍵データおよび第3の認証鍵データに対して1つまたは複数のビット演算を行うことを備え得る。1つまたは複数のビット演算はXOR演算を備え得る。
【0019】
さらなる実施形態において、第1のノードまたは第2のノードは、第3のノードが危険にさらされたことのインジケーションを受信することと、
第1の認証鍵データおよび/または第1の認証鍵データから導出された認証鍵データを無効にすることと、
を行うように構成される。
第1の認証鍵データおよび/または第1の認証鍵データから導出された認証鍵データを無効にすることと、
を行うように構成される。
【0020】
例えば、一実施形態では、ネットワーク内のノード「第1のノード」が、別のノード「第2のノード」が危険にさらされたことに気付いた場合、第2のノードが危険にさらされた旨のメッセージを第1のノードによって信頼されているすべてのノードに送ることができる。このメッセージは、PSKを使用して/使用されるときにPSKを補充するQKDで認証される(すなわち、有効な信頼できるソースから到来したものであると証明するために認証される)。「もう第2のノードを信頼しないこと」というメッセージを受信したノードは、次いで、有している第2のノードとのPSKマテリアルを削除するべきである。
【0021】
さらなる実施形態では、第1のノードは公に「第2のノードを信頼しないこと」とポストする。しかしながら、認証がないと、ネットワークは、悪意のあるパーティが1つまたは複数のノードを信頼するべきではないとポストすることによって危険にさらされる可能性がある。
【0022】
一実施形態では、第1のメッセージは、1つまたは複数の信頼ノードのうちの第3のノードが、1つまたは複数の信頼ノード以外の第5のノードを使用して第2のノードのアイデンティティを認証したことのインジケーションを備える。これにより、ノードが、PSKを提供する際に使用されたノードをわかっていることが可能となる。
【0023】
さらなる実施形態において、第1のノードまたは第2のノードは、第5のノードが危険にさらされたことのインジケーションを受信することと、
第1の認証鍵データおよび/または第1の認証鍵データから導出された認証鍵データを無効にすることと、
を行うように構成される。
第1の認証鍵データおよび/または第1の認証鍵データから導出された認証鍵データを無効にすることと、
を行うように構成される。
【0024】
さらなる実施形態では、1つまたは複数の信頼ノードに、第1のノードと第2のノードとの間の通信を認証するための認証鍵データを要求することは、
1つまたは複数の信頼ノードの第1のサブセットに、第1のノードと第2のノードとの間の通信を認証するための認証鍵データを要求することと、
1つまたは複数の信頼ノードの第1のサブセットが認証鍵データを提供することができないことを推測することと、
推測に応答して、1つまたは複数の信頼ノードの第2のサブセットに、第1のノードと第2のノードとの間の通信を認証するための認証鍵データを要求することと、
を備え、
1つまたは複数の信頼ノードの第1のサブセットは、第1の基準を満たすノードであり、1つまたは複数の信頼ノードの第2のサブセットは、第3のノードを備える。
1つまたは複数の信頼ノードの第1のサブセットに、第1のノードと第2のノードとの間の通信を認証するための認証鍵データを要求することと、
1つまたは複数の信頼ノードの第1のサブセットが認証鍵データを提供することができないことを推測することと、
推測に応答して、1つまたは複数の信頼ノードの第2のサブセットに、第1のノードと第2のノードとの間の通信を認証するための認証鍵データを要求することと、
を備え、
1つまたは複数の信頼ノードの第1のサブセットは、第1の基準を満たすノードであり、1つまたは複数の信頼ノードの第2のサブセットは、第3のノードを備える。
【0025】
例えば、第1の基準は、第1のサブセットにおけるノードが、1つまたは複数の信頼ノードの第2のサブセットよりも第1のノードに地理的に近いかどうかを示してよく、ここにおいて、1つまたは複数の信頼ノードの第2のサブセットは第3のノードを備える。基準の例としては他に、レイテンシ要件またはさらなるサービス品質パラメータがあり得る。
【0026】
さらなる実施形態では、1つまたは複数の信頼ノードに、第1のノードと第2のノードとの間の通信を認証するための認証鍵データを要求することは、
1つまたは複数の信頼ノードのいずれかが第2のノードと通信するための認証鍵データを記憶しているかどうかを決定するために1つまたは複数の信頼ノードにクエリすることと、
1つまたは複数の信頼ノードのいずれも第2のノードと通信するための認証鍵データを記憶していないことを推測することと、
1つまたは複数の信頼ノードのいずれかが第2のノードと通信するための認証鍵データを記憶する別のノードのための認証鍵データを記憶しているかどうかを決定するために1つまたは複数の信頼ノードにクエリすることと、
を備える。
1つまたは複数の信頼ノードのいずれかが第2のノードと通信するための認証鍵データを記憶しているかどうかを決定するために1つまたは複数の信頼ノードにクエリすることと、
1つまたは複数の信頼ノードのいずれも第2のノードと通信するための認証鍵データを記憶していないことを推測することと、
1つまたは複数の信頼ノードのいずれかが第2のノードと通信するための認証鍵データを記憶する別のノードのための認証鍵データを記憶しているかどうかを決定するために1つまたは複数の信頼ノードにクエリすることと、
を備える。
【0027】
さらなる実施形態では、第1のノード、第2のノード、および1つまたは複数の信頼ノードを備える量子通信ネットワークにおける使用のための第1のノードが提供され、本第1のノードは、
1つまたは複数の信頼ノードに、第2のノードとの通信を認証するための認証鍵データを要求することと、
1つまたは複数の信頼ノードのうちの第3のノードから、第2のノードとの通信を認証するための第1の認証鍵データを備える第1のメッセージを受信することと、ここにおいて、第1のメッセージは、第1のノードおよび第3のノード上に記憶された第2の認証鍵データを使用して認証され、第1のメッセージは、量子通信ネットワーク上で第3のノードと交換される第1の暗号鍵を使用して暗号化される、
を行うように構成される。
1つまたは複数の信頼ノードに、第2のノードとの通信を認証するための認証鍵データを要求することと、
1つまたは複数の信頼ノードのうちの第3のノードから、第2のノードとの通信を認証するための第1の認証鍵データを備える第1のメッセージを受信することと、ここにおいて、第1のメッセージは、第1のノードおよび第3のノード上に記憶された第2の認証鍵データを使用して認証され、第1のメッセージは、量子通信ネットワーク上で第3のノードと交換される第1の暗号鍵を使用して暗号化される、
を行うように構成される。
【0028】
一実施形態では、ユーザノードは、量子鍵配送ユニットを備え、量子鍵配送ユニットは、
エンコーダと、該エンコーダは、光の上に情報を符号化するように構成され、情報は、別のノードに送信するために1つの状態を複数の状態からランダムに選択することによって符号化され、光は、平均して1光子未満を含むパルスで該エンコーダを出て、
デコーダと、該デコーダは、平均して1光子未満を含む光パルスを受信し、該光パルスを測定することによって該光パルスからの情報を復号するように構成され、情報を符号化するために使用された状態の測定を可能にするために、測定のための測定基底が測定基底のセットからランダムに選択される、
のうちの少なくとも1つを備え、
量子鍵配送ユニットは、ユーザノードが符号化または復号のために使用した基底を、復号または符号化のために該別のノードによって使用された基底と比較することを可能にするように構成されたふるい分けユニットをさらに備え、量子鍵配送ユニットは、符号化基底と復号測定基底とが一致しなかったパルスからの情報を破棄するように構成される。
エンコーダと、該エンコーダは、光の上に情報を符号化するように構成され、情報は、別のノードに送信するために1つの状態を複数の状態からランダムに選択することによって符号化され、光は、平均して1光子未満を含むパルスで該エンコーダを出て、
デコーダと、該デコーダは、平均して1光子未満を含む光パルスを受信し、該光パルスを測定することによって該光パルスからの情報を復号するように構成され、情報を符号化するために使用された状態の測定を可能にするために、測定のための測定基底が測定基底のセットからランダムに選択される、
のうちの少なくとも1つを備え、
量子鍵配送ユニットは、ユーザノードが符号化または復号のために使用した基底を、復号または符号化のために該別のノードによって使用された基底と比較することを可能にするように構成されたふるい分けユニットをさらに備え、量子鍵配送ユニットは、符号化基底と復号測定基底とが一致しなかったパルスからの情報を破棄するように構成される。
【0029】
QKDユニットは、誤り訂正および秘匿性増強などのさらなるステップを行うように構成されてもよい。
【0030】
ノードにはエンコーダまたはデコーダが設けられてよく、デコーダまたはエンコーダを有する他のユーザノードとの通信が可能になる。さらなる実施形態では、ノードには、デコーダとエンコーダの両方が設けられてよく、エンコーダのみを有するまたはデコーダのみを有するノードとのQKDを行うことができるようになっている。エンコーダ/デコーダは、偏光または位相を使用してQKDを行うように構成され得る。
【0031】
さらなる実施形態では、第1のノードはさらに、
1つまたは複数の信頼ノードのうちの第4のノードから、1つまたは複数の信頼ノード以外の第5のノードが通信の開始を望んでいることのインジケーションを受信することと、
第4のノードから、第5のノードとの通信を認証するための第2の認証鍵データを備える第2のメッセージを受信することと、ここにおいて、第2のメッセージは、第1のノードおよび第4のノード上に記憶された第3の認証鍵データを使用して認証され、第2のメッセージは、量子通信ネットワーク上で第4のノードと交換される第2の暗号鍵を使用して暗号化される、
を行うように構成される。
1つまたは複数の信頼ノードのうちの第4のノードから、1つまたは複数の信頼ノード以外の第5のノードが通信の開始を望んでいることのインジケーションを受信することと、
第4のノードから、第5のノードとの通信を認証するための第2の認証鍵データを備える第2のメッセージを受信することと、ここにおいて、第2のメッセージは、第1のノードおよび第4のノード上に記憶された第3の認証鍵データを使用して認証され、第2のメッセージは、量子通信ネットワーク上で第4のノードと交換される第2の暗号鍵を使用して暗号化される、
を行うように構成される。
【0032】
本第1のノードは、さらに、
1つまたは複数の信頼ノードのうちの第6のノードから、第5のノードとの通信を認証するための第4の認証鍵データを備える第3のメッセージを受信することと、ここにおいて、第3のメッセージは、第1のノードおよび第6のノード上に記憶された第5の認証鍵データを使用して認証され、第3のメッセージは、量子通信ネットワーク上で第6のノードと交換される第3の暗号鍵を使用して暗号化され、
記憶された第2の認証鍵データおよび第4の認証鍵データに基づいて、第6のノードとの通信を認証するための第6の認証鍵データを導出することと、
を行うように構成され得る。
1つまたは複数の信頼ノードのうちの第6のノードから、第5のノードとの通信を認証するための第4の認証鍵データを備える第3のメッセージを受信することと、ここにおいて、第3のメッセージは、第1のノードおよび第6のノード上に記憶された第5の認証鍵データを使用して認証され、第3のメッセージは、量子通信ネットワーク上で第6のノードと交換される第3の暗号鍵を使用して暗号化され、
記憶された第2の認証鍵データおよび第4の認証鍵データに基づいて、第6のノードとの通信を認証するための第6の認証鍵データを導出することと、
を行うように構成され得る。
【0033】
本第1のノードは、さらに、
1つまたは複数の信頼ノードのうちの第7のノードから、1つまたは複数の信頼ノードのうちの第7のノードと第8のノードとの間の通信を認証するための認証鍵データを求める要求を受信することと、
第7のノードに、第7のノードと第8のノードとの間の通信を認証するための第7の認証鍵データを備える第4のメッセージを送信することと、ここにおいて、第4のメッセージは、第1のノードおよび第7のノード上に記憶された第8の認証鍵データを使用して認証され、第1のメッセージは、量子通信ネットワーク上で第7のノードと交換される第4の暗号鍵を使用して暗号化され、
第8のノードに、第7の認証鍵データを備える第5のメッセージを送信することと、ここにおいて、第5のメッセージは、第1のノードおよび第8のノード上に記憶された第9の認証鍵データを使用して認証され、第5のメッセージは、量子通信ネットワーク上で第8のノードと交換される第5の暗号鍵を使用して暗号化される、
を行うように構成され得る。
1つまたは複数の信頼ノードのうちの第7のノードから、1つまたは複数の信頼ノードのうちの第7のノードと第8のノードとの間の通信を認証するための認証鍵データを求める要求を受信することと、
第7のノードに、第7のノードと第8のノードとの間の通信を認証するための第7の認証鍵データを備える第4のメッセージを送信することと、ここにおいて、第4のメッセージは、第1のノードおよび第7のノード上に記憶された第8の認証鍵データを使用して認証され、第1のメッセージは、量子通信ネットワーク上で第7のノードと交換される第4の暗号鍵を使用して暗号化され、
第8のノードに、第7の認証鍵データを備える第5のメッセージを送信することと、ここにおいて、第5のメッセージは、第1のノードおよび第8のノード上に記憶された第9の認証鍵データを使用して認証され、第5のメッセージは、量子通信ネットワーク上で第8のノードと交換される第5の暗号鍵を使用して暗号化される、
を行うように構成され得る。
【0034】
本第1のノードは、さらに、
認証鍵データが第8のノードとの通信を認証するために利用可能ではないことを決定することと、
1つまたは複数の信頼ノードに、第8のノードとの通信を認証するための認証鍵データを要求することと、
1つまたは複数の信頼ノードのうちの第9のノードから、第9の認証鍵データを備える第6のメッセージを受信することと、ここにおいて、第6のメッセージは、第1のノードおよび第9のノード上に記憶された第10の認証鍵データを使用して認証され、第6のメッセージは、量子通信ネットワーク上で第9のノードと交換される第6の暗号鍵を使用して暗号化され、
第9の認証鍵データを記憶することと、
を行うように構成され得る。第5のメッセージは、第8のノードのアイデンティティが第9のノードを使用して認証されたことのインジケーションを備え得る。
認証鍵データが第8のノードとの通信を認証するために利用可能ではないことを決定することと、
1つまたは複数の信頼ノードに、第8のノードとの通信を認証するための認証鍵データを要求することと、
1つまたは複数の信頼ノードのうちの第9のノードから、第9の認証鍵データを備える第6のメッセージを受信することと、ここにおいて、第6のメッセージは、第1のノードおよび第9のノード上に記憶された第10の認証鍵データを使用して認証され、第6のメッセージは、量子通信ネットワーク上で第9のノードと交換される第6の暗号鍵を使用して暗号化され、
第9の認証鍵データを記憶することと、
を行うように構成され得る。第5のメッセージは、第8のノードのアイデンティティが第9のノードを使用して認証されたことのインジケーションを備え得る。
【0035】
さらなる実施形態では、上記ノードを備える量子通信ネットワークが提供される。
【0036】
一実施形態では、QKDネットワークのための認証システムが非集中型ピアツーピア認証に基づいて提供され、ここで、QKDユーザノードは、乱数を生成する信頼できる第三者として行動することができ、この乱数は、QKDセキュアリンクを介して該ノードが既に認証し合っているユーザに送信され、該ユーザは認証のための事前共有鍵(PSK)として使用する。
【0037】
一実施形態では、スケーラブルな情報理論的セキュア通信ネットワークがピアツーピア認証のためのPSKおよびデータ暗号化のために使用する鍵を増加させるためのQKDを使用して提供され、ここで、ユーザ間QKDのための最初のPSKは信頼できる第三者を通して取得される。
【0038】
一実施形態では、光スイッチングピアツーピアQKDネットワークが、ネットワーク上の別のユーザである信頼できる第三者とのネットワーク通信を通して提供される認証を用いて提供される。ネットワーク機能性および光スイッチングは、ソフトウェアによって、例えば、ソフトウェア定義ネットワーキング(SDN)を使用して制御され得る。
【0039】
一実施形態では、介在する信頼できる第三者に基づいて、2人のユーザ間でのQKD認証のための信頼できる第三者の所在を特定するためのシステムが提供される。
【0040】
一実施形態では、少なくとも2人の信頼できる第三者から2人のユーザ間のPSKを取得することによって認証を行う量子ネットワークが提供され、これにより、初めは信頼されていないユーザ間で使用されるPSK認証鍵が、2つの独立したPSK鍵に対してXOR演算を行うことによって取得され、危険にさらされる脅威を軽減する。
【0041】
一実施形態では、2つのユーザノード間での認証量子通信を可能にする認証システムが提供され、ここで、ユーザノードは、異なるベンダからのハードウェアを有しており、初期認証のためにベンダに依拠しない。
【0042】
図1は、一実施形態に係る量子ネットワークの概略図であり、該ネットワークは、第1のノード1(「アリス」という)と、第2のノード3(「ボブ」という)と、第3のノード5(「チャーリー」という)と、第4のノード7(「デイビッド」という)とを備える。
【0043】
アリス1、ボブ3、チャーリー5、およびデイビッド7であるノードの詳細については後述する。アリス1とボブ3はスイッチ9を介して互いに接続される。スイッチ9は、アリス1がボブ3または第2のスイッチ11のいずれかと選択的に通信することができるように構成される。第2のスイッチ11は、チャーリー5およびデイビッド7に接続され、チャーリー5とデイビッド7が直接互いに通信することが可能になる。第1のスイッチ9および第2のスイッチ11があることで、アリスまたはボブがチャーリー5またはデイビッド7のいずれかと選択的に通信することが可能になる。
【0044】
図1の例では、アリス1、ボブ3、チャーリー5、およびデイビッド7の4つのノードと、第1のスイッチ9と、第2のスイッチ11とは光ケーブルによってリンクされている。しかしながら、接続の1つまたは複数が自由空間によって提供されてもよい。また、この例では、最も簡単化した形態で概念を説明するために4つのノードと2つのスイッチが示されている。しかしながら、システムは、より多数またはより少数のノードおよび異なる数のスイッチを組み込むように構成されてよい。
【0045】
スイッチ9および11は、ノード1、3、5、および7間に直接的な光接続をもたらす。一実施形態では、各光スイッチは、能動的な再構成可能スイッチ(例えば、MEMSベースまたは液晶ベースのマトリクススイッチ)であってよいし、または代替的に、受動的な波長スイッチング/ルーティングを用いてもよい。またすべてのパーティが光ファイバによって完全にかつ独立して接続され、密な閉じたメッシュネットワークを形成することも可能である。さらに別のネットワーク設計では、ユーザノード間の光リンクを再構成するために光スイッチがユーザノードの各々に含まれていてもよい(例えば、米国特許出願公開第2019/0379463A1号)。
【0046】
一実施形態では、ネットワーク管理(例えば、リンクを再構成するように光スイッチにシグナリングすること)は、ノード間を移動する信号によって占有されるものと同じチャネルを使用して行われてよいし、または代替的に、別個の公衆通信チャネル(例えば、古典インターネット)を使用して行われてもよい。これは、従来のネットワークと同様にソフトウェア定義ネットワーキング(SDN)を用いる新たなネットワークアーキテクチャと共存できる。「チャネル」が論理チャネルを意味するために使われ、量子または古典のいずれでもデータ信号が、互いと同じ、そして制御信号とも同じ物理チャネル上で送信されることが可能であることに留意されたい。
【0047】
図1の配置構成を考える前に、量子通信の概要について説明する。
【0048】
ここで偏光を使用する基本的な量子通信プロトコルについて説明する。しかしながら、これは限定を意味するものではなく、例えば、位相またはエネルギー/時間などの他のプロトコルを使用してもよいことに留意されたい。また、特定の偏光プロトコルについて説明するが、他の偏光ベースのプロトコルを使用してもよい。
【0049】
プロトコルは2つの基底を使用し、ここにおいて、各基底は2つの直交状態によって表される。この例の場合、水平/垂直(H/V)および対角/反対角(D/A)の基底である。しかしながら、左円偏光/右円偏光(L/R)基底を選択してもよい。
【0050】
プロトコルにおける送信者が、H、V、D、またはA偏光のうちの1つを有する状態を準備する。換言すれば、準備された状態は、2つの基底H/VおよびD/Aのうちの一方における2つの直交状態(HとVまたはDとA)から選択される。2つの基底のうちの一方で0および1の信号を送信する、例えば、H/V基底ではH=0、V=1の信号を、D/A基底ではD=0、A=1の信号を送信すると考えることができる。パルスは、平均して1光子以下を備えるように減衰される。よって、パルスに対して測定が行われた場合、パルスは破壊される。またパルスを分離させることも不可能である。
【0051】
受信者は、H/V基底またはD/A基底から選択されたパルスの偏光に対して測定基底を使用する。測定基底の選択は、能動的または受動的であり得る。受動的選択では、基底は、ビームスプリッタなどの固定部品を使用して選択される。「能動的」基底選択では、受信者は、例えば、電気制御信号を用いる変調器を使用して、どの基底で測定すべきかの判定を行う。受信者においてパルスの測定のために使用された基底が、パルスの符号化に使用された基底と同じである場合、受信者のパルスの測定は正確である。しかしながら、受信者がパルスの測定に他方の基底を選択した場合、受信者によって測定された結果に50%誤りがあることになる。
【0052】
鍵を確立するために、送信者および受信者は、符号化および測定(復号)に使用された基底を比較する。一致した場合、結果は保たれ、一致しなかった場合、結果は破棄される。上記方法は非常にセキュアである。盗聴者がパルスを傍受し測定した場合、盗聴者は、受信者に送信するための別のパルスを準備する必要がある。しかしながら、盗聴者は、正しい測定基底がわからず、そのため、パルスの正しい測定の可能性は50%しかない。盗聴者によって再作成されたパルスがあると、盗聴者の存在を証明するために使用することができる、受信者に対する誤り率が大きくなる。送信者および受信者は、誤り率、ひいては盗聴者の存在を決定するために鍵の小部分を比較する。
【0053】
上記は偏光に関連付けて説明したが、これは例示である。位相、またはエネルギー/時間などの他の方式に基づく他のQKDプロトコルを使用してよい。
【0054】
上記QKDでは、平均して1光子以下を含むパルスの通信のために使用される「量子チャネル」と、基底の議論(「ふるい分け」)およびその後に続く後処理(「誤り訂正」および「秘匿性増強」)のために使用される古典チャネルの2つのチャネルが必要となる。また、鍵が量子チャネル上に一旦確立されたら、古典チャネルをさらなる通信のために使用することができる。ここで「チャネル」という語は論理チャネルであり、物理的に別個のチャネルである必要はない。量子チャネルおよび古典チャネルは同じ物理的なファイバを共有することが可能である。
【0055】
しかしながら、ふるい分けおよび後処理プロセスのために、古典チャネルも認証される必要がある。これは、アリスとボブとの間で通信された古典メッセージが相手によって送信されたものであり、送信中に改竄されていないことを間違いなく検証することができることを意味する。換言すれば、これは中間者攻撃を回避する。認証は、公開鍵暗号(例えば、RSA)を使用して行うことができる。しかしながら、一実施形態では、アリスとボブは、事前共有対称鍵(PSK)を使用して互いに認証する。
【0056】
完全を期すために、二者が秘密鍵を共有する場合、多くの異なる方法を使用して互いに認証することができることに留意されたい。1つの方法にはメッセージ認証コード(MAC)の使用を伴う。ここで、送信者(例えば、アリス)と受信者(例えば、ボブ)は鍵(PSK)を共有する。
【0057】
次いでアリスは、既知のMACアルゴリズムにメッセージとPSKを入力することによってMACを生成する。そして、生成されたMACおよびメッセージがボブに送信される。次いでボブは、既知のMACアルゴリズムにメッセージと自分のPSKを入力し、その出力をアリスによって送信されたMACと比較する。それらが一致すれば、ボブは、受信したメッセージおよびMACコードがアリスによって送信されたものであることがわかる。アリスは、ボブに異なるメッセージを使用し、新たに生成されたMACおよびメッセージをアリスに送り返すプロセスを繰り返すように求めることによってボブを認証することができる。次いでアリスは、新たなメッセージを自分の鍵と共に自分のアルゴリズムに入力し、自分の新たに生成されたMACコードがボブによって送信されたものと一致するかを確かめることができる。
【0058】
しかしながら、アリスと別のノードとがまだPSKを共有していない、または共有しているPSKが危険にさらされたことがわかったという状況が生じる可能性がある。
【0059】
【0060】
アリス1が既にボブ3およびチャーリー5を信頼している、すなわち、アリスがボブ3およびチャーリー5の両者とPSKを共有している状況を考える。これは製造中にインストールされていてよいし、または代替的に、PSKは現場を移動する信頼できるクーリエ(courier)によって手動でインストールされていてもよい。ここで、アリス1は、別のネットワークユーザであるデイビッド7との通信を望むが、アリス1とデイビッド7とはPSKを共有しておらず、そのため、QKDをセキュアに行うための認証ができない。しかしながら、チャーリーはデイビッドを(例えば、以前の認証または手動でインストールされたPSKに起因して)既に信頼している。
【0061】
本方法では、ステップS101において、アリス1は自分が信頼している(すなわち、彼女がPSKを共有しており認証し合うことができる)すべてのローカルユーザにメッセージをブロードキャストし、「誰がデイビッド7を信頼しているか?」を尋ねる。ボブ3は、このメッセージを受信し、自分のPSKのデータベースをチェックする。ボブはデイビッド7とのPSKを有していないので、さらにアクションをとることはしない。チャーリー5は、このメッセージを受信し、自分のPSKのデータベースをチェックする。チャーリーは、デイビッド7とのPSKを有しているので、ステップS103において、アリス1に返信し、自分がこのトランザクションのための信頼できる第三者として行動することを確定する。
【0062】
そしてチャーリーは、アリスとデイビッドとの間のPSK(KAD)として使用されることになる乱数を(例えば、内部QRNGを使用して)取得する。乱数は、アリス1から要求を受信したことに応答して、例えばQRNGを使用して生成されてよい。他の実施形態では、チャーリーは、乱数を予め記憶していてもよいし、または外部ソースからセキュアに乱数を取得することができてもよい。
【0063】
チャーリー5は、アリス1と共有しているPSKを既に有しており、これは次いで、アリス1とチャーリーが互いに認証し合い、QKDセッションを開始することを可能にするために使用される。
【0064】
次いでチャーリー5は、既知のQKDプロトコル、例えば上述の基本QKDプロトコルを使用してQKD鍵を生成するために自分とアリス1との間のQKDリンクを使用する。次いで、ふるい分けプロセスの部分として古典チャネルを介した通信がアリス1とチャーリー5によって行われ、ここで、アリス1とチャーリーとの間の古典的通信がアリスとチャーリーとの間のPSK(KAC)を使用して認証される。QKD鍵がアリス1とチャーリー5との間に確立されると、これは次いで、ステップS103においてアリスに送信するKADを暗号化するために使用される。
【0065】
ステップS105において、第2のスイッチ11は、チャーリー5とデイビッド7とを接続する。チャーリー5とデイビッド7は、以前に製造業者によってインストールされた、またはその他の方法でセキュアに共有された自分たちの事前共有PSK(KCD)を使用して認証する。次いで、チャーリー5とデイビッド7は、QKDを行い、チャーリー5とデイビッド7との間にQKD鍵を確立する。ふるい分けプロセスは、KCDを使用してチャーリー5とデイビッド7との間の認証された古典チャネルを使用して行われる。QKDが行われ、QKD鍵がチャーリー5とデイビッド7との間に確立されると、次いでPSK鍵(KAD)が量子鍵を使用して暗号化され、デイビッド7に送信される。
【0066】
こうしてアリス1とデイビッド7とは対称ランダム鍵(KAD)を共有する。最後に、ステップS107において、第1のスイッチ9および第2のスイッチ11は、光リンクを介してアリスとデイビッド7とを接続する。アリス1とデイビッド7は、これからKADを使用して、認証し、QKDを行い、セキュアに通信するようになる。
【0067】
アリス1とデイビッド7とは、今やPSK(KAD)を共有しており、認証し、QKDを開始することができ、データ暗号化、ひいては量子セキュア通信のために使用されるQKD鍵を生成することが可能となる。
【0068】
今やアリス1とデイビッド7は互いに信頼しているので、他のユーザが彼らのどちらかとの認証を望む場合に、将来のトランザクションのための信頼できる第三者として行動することができる。こうして、この実施形態により、少数の信頼関係から始まり、信頼が指数関数的に増加していくことが可能となる。これによりユーザを認証するための「量子的信頼の輪(quantum web of trust)」がつくられ、これは、公開鍵とその所有者との間に真正性を確立するための古典暗号で使用される「信頼の輪」の概念と類似している(PGPを参照)。実際上、このアプローチは、大規模な完全メッシュネットワークを、手動でインストールされた少数の事前共有鍵から任意のユーザ間での認証に伴って増大させるので、量子ネットワークにとって大きい利点である。
【0069】
上記実施形態では、すべての通信は、光スイッチングネットワーク内の光リンク上のユーザ間でのものであり、PSKおよびQKD鍵を使用して認証/暗号化され得る。古典通信メッセージ(例えば、誰が信頼できる第三者となるかを特定するための最初の議論)は、量子信号と多重化されてよく、よって、ネットワークは、光スイッチ間に単一の短信ファイバまたは複信ファイバ接続を備える。代替的には、量子信号と古典的信号のための別個のファイバを有する複数ファイバがユーザを接続してもよい。
【0070】
さらに別の実施形態では、古典メッセージは、公衆インターネットを介して送信され、光スイッチングネットワーク内のユーザ間の量子リンク上で生成されるQKD鍵を使用することによりセキュアに保たれる/認証される。これにより、高帯域幅の古典ネットワークリンクが利用可能な場合、光スイッチングネットワーク上で必要な伝送量が低減される。
【0071】
一実施形態では、PSK(KAC、KAD、およびKCD)は1回だけ使用される。例えば、ウェグマン-カーター方式のメッセージ認証コードを使用するITSセキュリティの場合、PSKは1回のみ使用されるべきである。そのため、一実施形態では、2人のユーザが認証し、QKDを実行し始めたら、彼らの間の以前のPSKを破棄する。そして彼らは、新しく生成された量子鍵の一部を、将来の認証セッションのための準備ができている状態で「PSKキーストア」に保持しておくことができる。よって、認証されたら、ユーザは、第3のノードからPSKを取得する必要なくQKDを使用してセキュアに通信することができる。換言すれば、QKDが使用されて鍵を確立するとき、鍵の一部は、送信されるメッセージを暗号化するために使用され、鍵の一部は、次回のQKDを行うための認証鍵となるように保持される。
【0072】
図3は、例えば、アリス1、ボブ3、チャーリー5、およびデイビッド7であるノードのうちの1つのノードの構成要素を詳細に示す。
【0073】
まず図3のノードをみると、ノード301は、量子鍵を生成するためのQKDハードウェア303を備える。QKDハードウェアは、量子送信機および量子受信機を備えることができる。
【0074】
可能な送信機の一例が図4Aに101として示される。送信機は、偏光符号化光子を放出することが可能な任意のタイプの量子送信機とすることができる。この特定の例では、送信機101は、水平に偏光された光を各々が放出する4つのレーザ105、107、109、および111を備える。レーザ105からの出力は、偏光合成光学素子139に向けて供給される。レーザ107からの出力は、水平に偏光された光を対角に偏光された光に変換するように構成された半波長板を介して偏光合成光学素子139に向けて供給される。レーザ109からの出力は、水平に偏光された光を垂直に偏光された光に変換するように構成された半波長板を介して偏光合成光学素子139に向けて供給される。レーザ111からの出力は、水平に偏光された光を反対角に偏光された光に変換するように構成された半波長板を介して偏光合成光学素子139に向けて供給される。
【0075】
偏光合成光学素子は、異なる偏光を、ランダムに異なった偏光を有するパルスの流れへと合成することを可能にする。これは、多くの異なる方法で達成することができる。例えば、レーザはパルスレーザであってよく、パルスをランダムに出力するようにレーザ105、107、109、および111からレーザをランダムに選択するためにコントローラ(図示せず)が設けられ、それにより一度に1つのパルスが偏光合成光学素子に到達するようになる。他の実施形態では、偏光合成光学素子またはさらなる構成部品は、1つのレーザからの出力をランダムに選択して、または3つのレーザからの出力をランダムに選択的にブロックして、パルス出力ストリームを与えるように構成されてよい。パルスはパルスレーザによって生成されてよいし、または出力をパルスへと刻む(chop)ためのさらなる構成部品と共にcwレーザが使用されてもよい。
【0076】
そして減衰器(図示せず)がパルスの出力を減衰させるために使用され、それにより、パルスは平均して1光子未満を含むようになる。代替的に、レーザ105、107、109、および111の代わりに単一光子エミッタを使用することができる。
【0077】
簡単化した形態の受信機が図4Bに示されている。受信機は、到来パルスを第1の測定チャネル207または第2の測定チャネル209のいずれかに沿って方向付ける50:50ビームスプリッタ205を備える。パルスは平均して1光子未満を含むので、50:50ビームスプリッタ205は、パルスをランダムに第1の測定チャネルまたは第2の測定チャネルの一方に沿って方向付ける。これにより、測定基底の選択の結果は、X(D/A)基底またはZ(H/V)基底となる。非偏光ビームスプリッタ205は、2つの基底のうちの一方のランダムな選択が可能となるように機能する。
【0078】
第1の測定チャネルは、D/A基底に対応するX基底のためのものである。ここで、2つの検出分岐、すなわち2つの測定基底XおよびZを与える2つの検出分岐間で22.5度だけ偏光を回転させるために、半波長板211が設けられる。次いで、半波長板211の出力は、偏光ビームスプリッタ213に向けて方向付けられる。偏光ビームスプリッタ213は、反対角偏光を有するパルスを反対角検出器215に向けて方向付け、対角偏光を有するパルスを対角検出器217に向けて方向付ける。検出器215および217は、例えばアバランシェフォトダイオードなどの、単一光子検出器である。
【0079】
第2の測定チャネルに沿って方向付けられたパルスは、水平であるのか垂直であるのかを決定するためにZ基底で測定される。ここで、第2の測定チャネル内に方向付けられたパルスは偏光ビームスプリッタ219に向けて方向付けられ、偏光ビームスプリッタ219は、垂直に偏光されたパルスを検出器221に向けて方向付け、水平に偏光されたパルスを検出器223に向けて方向付ける。ここでもまた、検出器221および223は、単一光子検出器である。
【0080】
D/A基底で偏光された光子が受信され、これがランダムに送信されて第2の測定チャネル209に沿ってZ基底で測定された場合、検出器221、223の一方がカウントを登録する可能性が高い。しかしながら、この結果は、偏光ビームスプリッタ219において受信された光子が、垂直検出器または水平検出器のいずれかに向けて方向付けられる可能性が五分五分であるので信用できない。
【0081】
一実施形態では、ノード301内のQKDハードウェア303は、ノードがQKDプロセス中に送信機として働くか受信機として働くかに依存する送信機および受信機の両方を備える。しかしながら、受信機を有するノードとのみQKDを行う場合はノードが送信機のみを含むことが可能であり、同様に、送信機を有するノードとのみQKDを行う場合、ノードは受信機のみを含んでよい。
【0082】
この実施形態では、QKDハードウェアに加えて、ユーザノード301は、量子乱数生成器304を備え、これは、測定/符号化基底を制御し、またチャーリー5に関連して図2および図3と関連させて説明した2つの信頼ノードと共有するためのPSKを生成するために使用され得る。
【0083】
ノード301はまた、鍵管理システム305も有する。鍵管理システムは、鍵の交換と記憶を管理する。図3Aの例では、鍵管理システム305は、通信を暗号化するために使用されることになるQKDを介して確立された鍵を記憶するQKDストア307と、認証のために使用することができ、ユーザが他のネットワークユーザと共有しているPSKを保存するために割り振られるPSKストレージ309とを備える。これらのPSKは、使用前にノードに予め記憶されていてよいものもあるし、信頼ノードから受信され得る(量子鍵により暗号化される)ものもあり、他のPSKは、QKDを使用して生成された鍵の保持しておいた部分であってもよい。
【0084】
ノード301はまた、鍵消費暗号器311も備える。データ暗号器は、データ通信を(例えば、ワンタイムパッドまたはAESなどの代替の暗号を使用して)暗号化/復号するためにQKD鍵を使用する。
【0085】
ノードはまた、認証中に使用される認証エージェント310も備え得る。これは、スタンドアロン構成要素であってよいし、またはユーザノード301のいずれかの他の構成要素の部分、例えば、鍵消費データ暗号器であってよい。
【0086】
図5Aおよび図5Bは、それぞれ、一実施形態に係る、PSKを有していないノードと通信したいと望むときにユーザノードによって行われる動作と、信頼できる第三者のノードによって行われるステップとを要約したフローチャートである。
【0087】
ユーザノード、例えばアリスが、図5Aの方法のステップを行う。ステップS351において、アリスは、アリスによって信頼されている(すなわち、アリスがPSKを共有している)すべてのノードにメッセージをブロードキャストし、新たなノード(デイビッド)との認証を要求するために、それらのうちのいずれかがターゲットノードを信頼しているかを確かめる。
【0088】
ステップS353において、アリスは、少なくとも1つの信頼ノードから、デイビッドを信頼していることを確定するメッセージを受信する。ステップS354において、1つより多くの信頼ノードが、ターゲットノードであるデイビッドを信頼していると示した場合、アリスは、ステップS354において、どの信頼ノードを使用すべきかを選択する。例えば、選択は、応答した最初のノードに基づいてもよいし、または先述した上記QoS基準などの選択基準が適用されてもよい。
【0089】
次いでアリスは、選択されたノードと認証する必要がある。上述の例を使用して、認証は、メッセージおよびPSK(選択された信頼ノードとアリスとの間で事前共有されている)を入力することによって生成されるMACコードを使用して行われる。ステップS355において、アリスは、認証MACを生成し、上述の対応するメッセージと共に、選択された信頼ノード(以下、チャーリーという)に送信する。
【0090】
独立して、ステップS356において、アリスはチャーリーからメッセージと共に認証MACを受信する。このフローチャートでは、ステップS356はステップS355の後に示されている。しかしながら、これらのステップは、逆の順序で行われてもよいし、または同時に行われてもよい。場合によっては、ステップのうちの1つまたは複数が、ステップS351においてメッセージを送信する前に行われてもよい。
【0091】
アリスがチャーリーを信頼するかどうかを決定するために、ステップS357において、アリスは、ステップS356において受信したメッセージおよび自分のPSK鍵を事前同意アルゴリズムに入力して自分の新たに生成されたMACコードが該MACコードと一致するかを確かめることによって、該メッセージを認証する。これは認証エージェント310において行うことができる。
【0092】
認証が行われ、アリスがチャーリーを信頼することができると分かったら(中間者攻撃がないことが確実になる)、アリスとチャーリーは上述のようにQKDを行う。この例では、アリスがQKD信号(すなわち、符号化された光パルス)を受信し、パルスがチャーリーから生成されるものとする。しかしながら逆の状況も起こり得る。
【0093】
次いで、ステップS361において、アリスは自分の測定基底を変えることによってQKD信号を復号する。この実施形態では、厳密に必要とされるよりも長い鍵がQKDプロトコルから抽出される。より長い鍵の部分はQKD鍵として使用され、共有鍵の別の部分はアリスとチャーリーのための新たなPSKとして保存されることになる。
【0094】
アリスとチャーリーがQKD鍵を共有したら、次いでアリスは、ステップS363において、QKD鍵によって暗号化された鍵を受信する。QKD鍵によって暗号化されたこの鍵は、これからアリスがターゲットノードであるデイビッドと認証するために使用することになるPSK KADである。次いでアリスは、ステップS365において、新たな鍵(KAD)を復号する。
【0095】
次いでアリスは、ターゲットノード(デイビッド)との認証を開始するためにKADを使用することができる。これの第1のステップがステップS367に示されており、アリスは、PSKを使用して新たな認証MACを生成し、それをデイビッドに送信する。
【0096】
図5Bは、ノード、チャーリーによって行われるステップを記載している。ステップS371において、チャーリーは、ターゲットノード(例えば、デイビッド)と認証するためのメッセージをアリスから受信する。ステップS372において、チャーリーは、自分がデイビッドとの共有PSKを有しているかをチェックする。共有している場合、チャーリーはアリスにメッセージを送り、デイビッドを信頼していることを伝える。
【0097】
ステップS373において、チャーリーは、アリスからデイビッドと共有すべきPSKが必要である旨のメッセージを受信する。ステップS375において、チャーリーは、アリスとデイビッドが使用するための新たなPSKを取得する。図3を参照して説明したように、チャーリーは、要求を受信したら、PSKを生成するために自分の乱数生成器(QRNG)を使用することができる。しかしながら、チャーリーは、PSKとしてすぐに使用できる乱数を予め記憶していてもよい。新たなPSKはKADと呼ばれる。
【0098】
ステップS377aにおいて、チャーリーは認証MACを生成して対応するメッセージと共にアリスに送信し、ステップS379aにおいて、チャーリーもまたアリスからメッセージと共に認証MACを受信する。ステップS377aおよびS379aを同時にまたは逆の順序で行うことができることに留意されたい。また、S377aおよびS379aの認証ステップが、ステップS371におけるメッセージの受信より前に行われる、または前述のステップのいずれかの前に行われることも可能である。
【0099】
チャーリーがメッセージと共に認証MACを受信したら、ステップS381aにおいて、チャーリーはこれを認証する。これを行うために、チャーリーは、受信したメッセージおよびアリスと共有しているPSKを入力し、生成されたMACをアリスから受信したものと比較する。
【0100】
これが完了すると、ステップS383aにおいて、チャーリーはアリスとのQKDの実行を開始する。この実施形態では、チャーリーがランダムな符号化された光パルスをアリスに送信する。チャーリーは、上述のようにランダムに変化する基底を用いて光パルスを準備することによって光パルスを符号化する。ステップS385aにおいて、チャーリーは、QKD鍵を生成するためにふるい分けを行う。ふるい分けは、アリスが使用した測定基底を示す情報をアリスから認証チャネルを介して受信することによって準備され得る。次いでチャーリーは、どの結果が正しい基底で測定されたかをアリスに知らせるために、古典チャネルを介してアリスに情報を送信する。そしてチャーリーは、QKD鍵を生成するための準備基底と一致した基底で測定されたパルスの結果のみを保持する。
【0101】
この例では、QKDに必要な分よりも長い鍵がふるい分けプロセスによって準備される。そして、チャーリーとアリスが次に認証する必要があるときに使用する新たなPSK KACを有することが可能となるように余分な鍵が1つまたは複数のPSKとして保存される。
【0102】
次いでチャーリーは、アリスとチャーリーとの間でQKDを行うことによって生成されたQKDキーマテリアルでKADを暗号化し、それをアリスに送信する。
【0103】
上記はアリスとの通信について説明している。しかしながら、チャーリーは、デイビッドとの通信にも同じステップを実行する。図5Bのフローチャートにおいて、ステップS377b、S379b、S381b、S383b、S385b、およびS387bは、それぞれ、ステップS377a、S379a、S381a、S383a、S385a、およびS387aに対応する。ただし、「a」の接尾文字が付いたステップは、チャーリーがアリスに対して行うステップに関連し、「b」の接尾文字が付いたステップは、チャーリーがデイビッドに対して行うステップに関連する。ステップS377b、S379b、S381b、S383b、S385b、およびS387bは、ステップS377a、S379a、S381a、S383a、S385a、およびS387aと同時に行ってもよいし、これらのステップを交互に行ってもよいし、またはそれらの前もしくは後に行ってもよい。
【0104】
アリスはステップS387aにおいてPSK KADを受信し、デイビッドはステップS387bにおいてPSK KADを受信し、これにより、アリスとデイビッドは自分たちの古典チャネルを認証することが可能になる。
【0105】
上記を拡張して、認証がマルチホップピアツーピアアプローチによって確立されることを可能にすることができる。図6は、アリス1、ボブ3、チャーリー5、デイビッド7、フェリシティー13、およびジョージ15という6つのノードを備える、より大規模なネットワークを示す。図2のように、アリスとボブは第1のスイッチ9を介して通信することができ、チャーリー5とデイビッド7は第2のスイッチ11を介して接続される。フェリシティー13とジョージ15は第3のスイッチ17を介して接続される。第1のスイッチ9は第2のスイッチ11に接続され、第2のスイッチ11は第3のスイッチ17に接続される。これにより、ユーザノードの任意のものが互いに通信することが可能になる。
【0106】
この実施形態では、現在アリス1がジョージ15との通信を望んでいるが、彼らはPSKを共有していない。実際にはジョージを信頼しているユーザはフェリシティー13のみである。フェリシティー13は、ボブ3を信頼している(すなわち、ボブとのPSKを有している)が、アリス1とフェリシティー13との間に信頼はない。メッセージフローが図7に示される。
【0107】
図2Aおよび図2Bの実施形態のように、ステップS251において、アリス1は、自分が信頼しているユーザノード(この場合、ボブ3およびチャーリー5)に「誰がジョージを信頼しているか?」をブロードキャストすることによって開始する。ボブもチャーリーもジョージとのPSKを有していないので返信しない。
【0108】
この実施形態において、このネットワーク上で認証を確立するための解決策は、ステップS253においてアリス1が「ジョージ15を信頼している信頼できる第三者を誰が見つけることができるか?」を尋ねるフォローアップ要求(最初のメッセージに誰も返信しなかったため)を(信頼できるユーザ、ボブ3およびチャーリー5に)ブロードキャストすることによって見つかる。
【0109】
ボブ3およびチャーリー5は、このメッセージを受信し、次いでステップS255において、彼ら自身が信頼しているユーザに「誰がジョージを信頼しているか?」をブロードキャストする。簡単化するために、この例では、ボブのブロードキャストのみを考える。また、ボブがチャーリー5およびフェリシティー13を信頼しているものとする。フェリシティー13は、ボブ3の信頼できるユーザであるので、このメッセージを受信し、彼女はジョージ15を信頼しているので、ステップS257において、「私はジョージを信頼しており、信頼できる第三者になることができる」と返信する。
【0110】
フェリシティー13は、ランダム鍵KBGを生成し、S257およびS259においてQKDセキュア認証リンクを介してこの鍵のコピーをボブ3およびジョージ15に送信するために、両者と共有しているPSKを使用する。QKDセキュア認証リンクは上述されており、量子鍵を生成するために使用されるものである。次いでPSK KBGは、量子鍵を使用して暗号化される。
【0111】
PSK KBGは、ボブ3とジョージ15との間に信頼(すなわち、認証する可能性)を確立する。今やボブ3はジョージ15を信頼しているので、ボブ3は、アリス1-ジョージ15間通信を認証するための信頼できる第三者として行動することができる。よってボブ3は、ランダム鍵KAGを生成し、ステップS261およびS263においてQKDセキュア認証リンクを介してこの鍵のコピーをアリスおよびジョージに送信するために、両者と共有しているPSKを使用する。これらのピアツーピア相互動作の結果、アリス1とジョージ15とは今やPSKを共有しており、ステップS265において、セキュアに認証しQKDを行うことができ、セキュア通信が可能となる。こうして、この実施形態はネットワーク認証のスケーラビリティを促進する。
【0112】
上述のピアツーピアQKD認証システムおよび方法は、多くのユーザに対してスケーラブルである。図8は、メトロネットワーク内のユーザのグループを接続する長距離バックボーンを備える大規模ネットワークを示す。
【0113】
図8に示される配置構成は、3つのローカルネットワーク813、815、および817とみなすことができる。3つのローカルネットワーク813、815、および817は、中央ネットワークスイッチ821を介して接続される。
【0114】
この実施形態では、第1のネットワーク813は、ノード811a~811fを相互接続する3つのスイッチ809a、809b、および809cを有する。
【0115】
中央ネットワークスイッチ821は、長距離QKDリンクを介して、第1のローカルネットワーク813、第2のローカルネットワーク815、および第3のローカルネットワーク817に接続される。長距離QKDリンクは、連続的な光ファイバであってよいし、または量子中継器を伴う光ファイバであってもよい。さらなる実施形態では、長距離QKDリンクの1つまたは複数は、衛星接続(図示せず)を介することができ、または他のタイプの長距離接続とすることができる。
【0116】
中央ネットワークスイッチ821は、各ローカルネットワーク813、815、および817のローカルスイッチ、例えば、スイッチ809bを介してローカルネットワークの各々に接続され得る。
【0117】
ユーザ、例えばユーザ811aが別のユーザとの認証を望むとき、アリスからの最初のブロードキャストメッセージ(ユーザが新たな信頼されていない接続を認証するための信頼できる第三者の所在を特定しようとする)を、アリスが信頼するすべてのユーザに一度に送信する必要はない。その理由はこれが多数のユーザになる可能性があるためである。
【0118】
一実施形態では、ユーザ811aは、地理的により近くにいる、例えばローカルネットワークおよび/または最も近いローカルネットワーク内にいるユーザにブロードキャストすることを開始し、次いで、最もローカルなノードにコンタクトしてから所与のタイムアウト期間内に好適な信頼できる第三者から返信が得られなかった場合に、より遠隔の他の信頼できるユーザにブロードキャストする。これにより、光スイッチングネットワーク内の再構成可能リンクをより効率的に利用することが可能となる。
【0119】
上述のピアツーピア認証プロセスは、高度な管理およびサービス品質(QoS)概念を受け入れやすい。例えば、鍵が手動でインストールされたものなのか、信頼できる第三者から到来したものなのか(そうである場合、その第三者が誰なのか)を示すメタデータが、PSKマテリアルと共に記憶され得る。これにより、信頼できる第三者が危険にさらされたと後に分かった場合の鍵の無効化が可能となり得る。同様に、信頼できる第三者を見つけるためにユーザの事前認証された近隣にブロードキャストするプロセスを、特定の基準を優先させるように管理することができる(例えば、最も近くのノードを見つけること、または、例えば、最低レイテンシ、最も混雑していないルート等、ネットワークを通した特定の光ルートに関連するものなどの他の基準を満たすノードを見つけることによって開始する)。
【0120】
上記図7と関連させて、マルチホップアプローチを用いる方法を説明する。いくつかの実施形態では、ユーザ811aは最初に、地理的により近くにいるユーザにブロードキャストし得るが、次いで、より大きいエリアにブロードキャストし得、および/または図7のマルチホップアプローチを可能にすることができるノードを探し得る。これらの状況では、地理的により遠い「シングルホップ」を選択すべきか否か、またはより近い「マルチホップ」を選択すべきか否かは複数の異なる基準を使用して決定することができ、この基準は、例えば、どのルートが最低レイテンシを有するか、好ましいベンダ機器を使用しているか、利用可能なより大きいキーストアを有しているか、ネットワークを通した好ましい光ルートを使用しているか、ネットワークを通した最も混雑していないルートを使用しているか等を見るものである。
【0121】
信頼できる第三者を通してピアツーピア方法で認証PSKを確立することによって、信頼できる第三者もPSKの値がわかることは注目すべきである。図9に示される量子ネットワークの場合を考える。この状況の場合、アリスおよびボブの両者はデイビッドおよびチャーリーとPSKを共有しているが、アリスとボブは互いに信頼していない。しかしながら彼らは通信したいと思っている。信頼できる第三者の認証を介してこれをどのように達成できるかについて図9を参照して説明する。
【0122】
チャーリーによって発行されたKABを使用してアリスとボブが認証する場合、ユーザはチャーリーが信頼できる者であると暗黙的に想定しなければならず、したがって、チャーリーがアリスとボブとの間のセキュア通信を読み取る中間者攻撃を行う可能性があり得る。
【0123】
図9のシステムでは、ネットワークにおいてピアツーピアシナリオで2人の信頼できる第三者を使用することによって、この想定を緩和させることができる。アリスおよびボブは(先に概説した方法に従って)現在チャーリーおよびデイビッドの各々からPSKを取得しており、これらのPSKは、それぞれ、チャーリーおよびデイビッドとのQKDから到来するPSK K1ABおよびK2ABとして示される。次いでアリスおよびボブは、これらの2つの鍵を使用してXOR演算を行うことによって、自分たちの実際のPSKを形成する。
【数1】
【0124】
これは、彼らが対称共有鍵を共有しているが、この鍵が今はもうチャーリーによってもデイビッドによっても共有されていないことを意味し、これらのサーバのいずれかが危険にさらされた場合に(中間者攻撃に対する)レジリエンスを提供する。
【0125】
上記認証概念は、製造業者がポイントツーポイントQKDリンクをインストールしたときに必要となる想定を緩和させることに関する。同じ製造業者がリンクの両方のエンドポイントを、予めインストールされたPSKを使用してインストールしたとき、システムのユーザは、製造業者は中間者攻撃を行わないと暗黙的に信頼しなければならない。上記ピアツーピア認証方式、およびさらには複数の信頼パーティXOR方式(multiple-trusted-party-XOR-scheme)を用いると、QKDリンクが、異なる製造業者からのハードウェア間に形成され、独立した第三者によって認証されることができ、よって、認証のために製造業者を信頼する必要がなくなる。
【0126】
上記実施形態により、任意の遠隔のユーザが認証通信を行うことが可能となり、それにより彼らが追加のキーマテリアルを生成するためにQKDセッションを開始することができるようになる。次いで、このQKDキーマテリアルは、任意の大きいデータサイズのセキュア通信のために使用することができる。ピアツーピア認証システムおよび結果として得られる光スイッチング量子通信ネットワーク設計を網羅する本発明を提案する。
【0127】
上記実施形態により、信頼できるクーリエにより各現場で鍵を手動でインストールするのではなくネットワークリンクを使用して認証を行うための解決手段が提供される。これによりスケーラビリティが大幅に高まり、ピア認証によるネットワークの指数関数的な増大が可能となる。
【0128】
要約すると、上記実施形態では、
量子ネットワーク上のユーザが認証鍵の手動インストールをせずともセキュアに通信することが可能となる。
非集中型アプローチは、ネットワークのいずれの部分の故障に対してもロバストである。
ネットワークさらには大きい地理的エリア上のネットワークのためのスケーラブルな設計となる(様々なQKDプロトコル、例えば長距離のためのTF-QKDまたは衛星QKDと共存できる)。
自由空間および光ファイバ通信チャネルと共存できる。
概念の様々な実施形態が可能であり、多様なネットワークトポロジをサポートする。
複数のPSKのXORによる危険にさらされた信頼できる第三者の不測のイベントに対するロバストネスがある。
認証への古典的/PQCアプローチと比較して、上記実施形態は、量子コンピュータによる暗号解読および暗号攻撃の進化に対してロバストである。
量子ネットワーク上のユーザが認証鍵の手動インストールをせずともセキュアに通信することが可能となる。
非集中型アプローチは、ネットワークのいずれの部分の故障に対してもロバストである。
ネットワークさらには大きい地理的エリア上のネットワークのためのスケーラブルな設計となる(様々なQKDプロトコル、例えば長距離のためのTF-QKDまたは衛星QKDと共存できる)。
自由空間および光ファイバ通信チャネルと共存できる。
概念の様々な実施形態が可能であり、多様なネットワークトポロジをサポートする。
複数のPSKのXORによる危険にさらされた信頼できる第三者の不測のイベントに対するロバストネスがある。
認証への古典的/PQCアプローチと比較して、上記実施形態は、量子コンピュータによる暗号解読および暗号攻撃の進化に対してロバストである。
【0129】
特定の実施形態を説明したが、これらの実施形態は単に例として提示したものであり、発明の範囲を限定することは意図していない。本明細書に記載の新規のデバイスおよび方法は、その他の様々な形態で具現化されることができ、さらに、本発明の要旨から逸脱することなく、本明細書に記載のデバイス、方法、および製品の形態に様々な省略、置き換え、および変更を行うことができる。添付の特許請求の範囲とその均等物は、本発明の範囲および要旨に含まれる形態または変形を網羅することを意図している。
【図1】
【図2A】
【図2B】
【図3】
【図4A】
【図4B】
【図5A】
【図5B】
【図6】
【図7】
【図8】
【図9】
