知財求人 - 知財ポータルサイト「IP Force」
特許7520787量子暗号通信システム、鍵管理装置、量子暗号通信装置、プログラム、鍵管理方法及び量子暗号通信方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-07-12
(45)【発行日】2024-07-23
(54)【発明の名称】量子暗号通信システム、鍵管理装置、量子暗号通信装置、プログラム、鍵管理方法及び量子暗号通信方法
(51)【国際特許分類】
H04L 9/12 20060101AFI20240716BHJP
H04L 9/08 20060101ALI20240716BHJP
【FI】
H04L9/12
H04L9/08 C
【請求項の数】
23
(21)【出願番号】P 2021151591
(22)【出願日】2021-09-16
(65)【公開番号】P2023043789
(43)【公開日】2023-03-29
【審査請求日】2023-03-10
(73)【特許権者】
【識別番号】000003078
【氏名又は名称】株式会社東芝
(74)【代理人】
【識別番号】110002147
【氏名又は名称】弁理士法人酒井国際特許事務所
(72)【発明者】
【氏名】高橋 莉里香
(72)【発明者】
【氏名】谷澤 佳道
(72)【発明者】
【氏名】ディクソン アレクサンダー
【審査官】青木 重徳
(56)【参考文献】
【文献】特開2018-037888(JP,A)
【文献】特表2018-504827(JP,A)
【文献】特開2015-179974(JP,A)
【文献】特開2005-117511(JP,A)
【文献】特開2021-010179(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/12
H04L 9/08
(57)【特許請求の範囲】
【請求項1】
量子暗号通信装置と、鍵管理装置とを備える量子暗号通信システムであって、量子鍵配送処理で生成された生成情報を、前記鍵管理装置に提供する生成情報提供部と、
前記量子暗号通信装置から前記生成情報を受け取る受取部と、
前記生成情報を、暗号データ通信先毎のグローバル鍵用乱数に用いる割合を決定する決定部と、
前記グローバル鍵用乱数から生成されたグローバル鍵を、前記鍵管理装置に接続されたアプリケーションに提供するグローバル鍵提供部と、を備え、
前記生成情報は、前記量子鍵配送処理によって対向の量子暗号通信装置と共有されたローカル鍵であり、
前記決定部は、前記ローカル鍵を、暗号化用のローカル鍵、復号用のローカル鍵、及び、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定し、
前記割合に基づいて、前記ローカル鍵を、前記暗号化用のローカル鍵、前記復号用のローカル鍵、及び、前記暗号データ通信先毎のグローバル鍵用乱数に配分する配分部、
を備える量子暗号通信システム。
【請求項2】
量子暗号通信装置と、鍵管理装置とを備える量子暗号通信システムであって、
量子鍵配送処理で生成された生成情報を、前記鍵管理装置に提供する生成情報提供部と、
前記量子暗号通信装置から前記生成情報を受け取る受取部と、
前記生成情報を、暗号データ通信先毎のグローバル鍵用乱数に用いる割合を決定する決定部と、
前記グローバル鍵用乱数から生成されたグローバル鍵を、前記鍵管理装置に接続されたアプリケーションに提供するグローバル鍵提供部と、を備え、
前記生成情報は、前記量子鍵配送処理で生成された乱数であり、
前記決定部は、前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定し、
前記鍵管理装置は、前記割合に基づいて、前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分する配分部を備え、
前記決定部は、前記量子鍵配送処理によって対向の量子暗号通信装置と共有されたローカル鍵を、暗号化用のローカル鍵及び復号用のローカル鍵に配分する割合を決定し、
対向の鍵管理装置に前記グローバル鍵を送信する場合、前記暗号化用のローカル鍵を用いて暗号化された前記グローバル鍵を、前記対向の鍵管理装置に送信し、前記対向の鍵管理装置から、暗号化された前記グローバル鍵を受信した場合、前記復号用のローカル鍵を用いて前記グローバル鍵を復号する通信部、
を備える量子暗号通信システム。
【請求項3】
量子暗号通信装置と、鍵管理装置とを備える量子暗号通信システムであって、
量子鍵配送処理で生成された生成情報を、前記鍵管理装置に提供する生成情報提供部と、
前記量子暗号通信装置から前記生成情報を受け取る受取部と、
前記生成情報を、暗号データ通信先毎のグローバル鍵用乱数に用いる割合を決定する決定部と、
前記グローバル鍵用乱数から生成されたグローバル鍵を、前記鍵管理装置に接続されたアプリケーションに提供するグローバル鍵提供部と、を備え、
前記生成情報は、前記量子鍵配送処理で生成された乱数であり、
前記決定部は、前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定し、
前記鍵管理装置は、前記割合に基づいて、前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分する配分部を備え、
前記鍵管理装置は、複数の前記量子暗号通信装置と接続され、
前記決定部は、それぞれの前記量子暗号通信装置により生成される前記乱数の生成速度に基づいて、それぞれの前記量子暗号通信装置により生成される前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定する、
量子暗号通信システム。
【請求項4】
前記鍵管理装置は、前記対向の鍵管理装置に前記グローバル鍵を送信する場合、前記暗号化用のローカル鍵を用いて暗号化された前記グローバル鍵を、前記対向の鍵管理装置に送信し、前記対向の鍵管理装置から、暗号化された前記グローバル鍵を受信した場合、前記復号用のローカル鍵を用いて前記グローバル鍵を復号する通信部、
を更に備える請求項1に記載の量子暗号通信システム。
【請求項5】
前記鍵管理装置は、複数の前記量子暗号通信装置と接続され、前記決定部は、それぞれの前記量子暗号通信装置により生成される前記ローカル鍵の生成速度に基づいて、それぞれの前記量子暗号通信装置により生成される前記ローカル鍵を、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定する、
請求項1に記載の量子暗号通信システム。
【請求項6】
前記決定部は、前記アプリケーションからの要求に応じて、前記ローカル鍵を、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定する、請求項1に記載の量子暗号通信システム。
【請求項7】
前記鍵管理装置は、複数の前記量子暗号通信装置と接続され、前記決定部は、それぞれの前記量子暗号通信装置により生成される前記乱数の生成速度に基づいて、それぞれの前記量子暗号通信装置により生成される前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定する、
請求項2に記載の量子暗号通信システム。
【請求項8】
前記決定部は、前記アプリケーションからの要求に応じて、前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定する、請求項2又は3に記載の量子暗号通信システム。
【請求項9】
量子鍵配送処理で生成された生成情報を、量子暗号通信装置から受け取る受取部と、前記生成情報を、暗号データ通信先毎のグローバル鍵用乱数に用いる割合を決定する決定部と、
前記グローバル鍵用乱数から生成されたグローバル鍵を、アプリケーションに提供するグローバル鍵提供部と、を備え、
前記生成情報は、前記量子鍵配送処理によって対向の量子暗号通信装置と共有されたローカル鍵であり、
前記決定部は、前記ローカル鍵を、暗号化用のローカル鍵、復号用のローカル鍵、及び、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定し、
前記割合に基づいて、前記ローカル鍵を、前記暗号化用のローカル鍵、前記復号用のローカル鍵、及び、前記暗号データ通信先毎のグローバル鍵用乱数に配分する配分部、
を備える鍵管理装置。
【請求項10】
量子鍵配送処理で生成された生成情報を、量子暗号通信装置から受け取る受取部と、
前記生成情報を、暗号データ通信先毎のグローバル鍵用乱数に用いる割合を決定する決定部と、
前記グローバル鍵用乱数から生成されたグローバル鍵を、アプリケーションに提供するグローバル鍵提供部と、を備え、
前記生成情報は、前記量子鍵配送処理で生成された乱数であり、
前記決定部は、前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定し、
前記割合に基づいて、前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分する配分部を備え、
前記決定部は、前記量子鍵配送処理によって対向の量子暗号通信装置と共有されたローカル鍵を、暗号化用のローカル鍵及び復号用のローカル鍵に配分する割合を決定し、
対向の鍵管理装置に前記グローバル鍵を送信する場合、前記暗号化用のローカル鍵を用いて暗号化された前記グローバル鍵を、前記対向の鍵管理装置に送信し、前記対向の鍵管理装置から、暗号化された前記グローバル鍵を受信した場合、前記復号用のローカル鍵を用いて前記グローバル鍵を復号する通信部、
を備える鍵管理装置。
【請求項11】
複数の量子暗号通信装置と接続される鍵管理装置であって、
量子鍵配送処理で生成された生成情報を、前記量子暗号通信装置から受け取る受取部と、
前記生成情報を、暗号データ通信先毎のグローバル鍵用乱数に用いる割合を決定する決定部と、
前記グローバル鍵用乱数から生成されたグローバル鍵を、アプリケーションに提供するグローバル鍵提供部と、を備え、
前記生成情報は、前記量子鍵配送処理で生成された乱数であり、
前記決定部は、前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定し、
前記割合に基づいて、前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分する配分部を備え、
前記決定部は、それぞれの前記量子暗号通信装置により生成される前記乱数の生成速度に基づいて、それぞれの前記量子暗号通信装置により生成される前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定する、
鍵管理装置。
【請求項12】
量子鍵配送処理で生成された生成情報を、暗号データ通信先毎のグローバル鍵用乱数に用いる割合を決定する決定部と、前記割合に基づき、前記生成情報の一部を、前記グローバル鍵用乱数として、鍵管理装置へ提供する生成情報提供部と、を備え、
前記生成情報は、前記量子鍵配送処理によって対向の量子暗号通信装置と共有されたローカル鍵であり、
前記決定部は、前記ローカル鍵を、暗号化用のローカル鍵、復号用のローカル鍵、及び、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定し、
前記割合に基づいて、前記ローカル鍵を、前記暗号化用のローカル鍵、前記復号用のローカル鍵、及び、前記暗号データ通信先毎のグローバル鍵用乱数に配分する配分部、
を備える量子暗号通信装置。
【請求項13】
量子鍵配送処理で生成された生成情報を、暗号データ通信先毎のグローバル鍵用乱数に用いる割合を決定する決定部と、
前記割合に基づき、前記生成情報の一部を、前記グローバル鍵用乱数として、鍵管理装置へ提供する生成情報提供部と、を備え、
前記生成情報は、前記量子鍵配送処理で生成された乱数であり、
前記決定部は、前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定し、
前記割合に基づいて、前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分する配分部を備え、
前記決定部は、前記量子鍵配送処理によって対向の量子暗号通信装置と共有されたローカル鍵を、暗号化用のローカル鍵及び復号用のローカル鍵に配分する割合を決定する、
量子暗号通信装置。
【請求項14】
鍵管理装置を、量子鍵配送処理で生成された生成情報を、量子暗号通信装置から受け取らせ、
前記生成情報を、暗号データ通信先毎のグローバル鍵用乱数に用いる割合を決定させ、
前記グローバル鍵用乱数から生成されたグローバル鍵を、アプリケーションに提供させ、
前記生成情報は、前記量子鍵配送処理によって対向の量子暗号通信装置と共有されたローカル鍵であり、
前記ローカル鍵を、暗号化用のローカル鍵、復号用のローカル鍵、及び、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定させ、
前記割合に基づいて、前記ローカル鍵を、前記暗号化用のローカル鍵、前記復号用のローカル鍵、及び、前記暗号データ通信先毎のグローバル鍵用乱数に配分させる、
プログラム。
【請求項15】
鍵管理装置を、
量子鍵配送処理で生成された生成情報を、量子暗号通信装置から受け取らせ、
前記生成情報を、暗号データ通信先毎のグローバル鍵用乱数に用いる割合を決定させ、
前記グローバル鍵用乱数から生成されたグローバル鍵を、アプリケーションに提供させ、
前記生成情報は、前記量子鍵配送処理で生成された乱数であり、
前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定させ、
前記割合に基づいて、前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分させ、
前記量子鍵配送処理によって対向の量子暗号通信装置と共有されたローカル鍵を、暗号化用のローカル鍵及び復号用のローカル鍵に配分する割合を決定させ、
対向の鍵管理装置に前記グローバル鍵を送信する場合、前記暗号化用のローカル鍵を用いて暗号化された前記グローバル鍵を、前記対向の鍵管理装置に送信させ、前記対向の鍵管理装置から、暗号化された前記グローバル鍵を受信した場合、前記復号用のローカル鍵を用いて前記グローバル鍵を復号させる、
プログラム。
【請求項16】
複数の量子暗号通信装置と接続される鍵管理装置を、
量子鍵配送処理で生成された生成情報を、量子暗号通信装置から受け取らせ、
前記生成情報を、暗号データ通信先毎のグローバル鍵用乱数に用いる割合を決定させ、
前記グローバル鍵用乱数から生成されたグローバル鍵を、アプリケーションに提供能させ、
前記生成情報は、前記量子鍵配送処理で生成された乱数であり、
前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定させ、
前記割合に基づいて、前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分させ、
それぞれの前記量子暗号通信装置により生成される前記乱数の生成速度に基づいて、それぞれの前記量子暗号通信装置により生成される前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定させる、
プログラム。
【請求項17】
量子暗号通信装置を、量子鍵配送処理で生成された生成情報を、暗号データ通信先毎のグローバル鍵用乱数に用いる割合を決定させ、
前記割合に基づき、前記生成情報の一部を、前記グローバル鍵用乱数として、鍵管理装置へ提供させ、
前記生成情報は、前記量子鍵配送処理によって対向の量子暗号通信装置と共有されたローカル鍵であり、
前記ローカル鍵を、暗号化用のローカル鍵、復号用のローカル鍵、及び、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定させ、
前記割合に基づいて、前記ローカル鍵を、前記暗号化用のローカル鍵、前記復号用のローカル鍵、及び、前記暗号データ通信先毎のグローバル鍵用乱数に配分させる配分部、
プログラム。
【請求項18】
量子暗号通信装置を、
量子鍵配送処理で生成された生成情報を、暗号データ通信先毎のグローバル鍵用乱数に用いる割合を決定させ、
前記割合に基づき、前記生成情報の一部を、前記グローバル鍵用乱数として、鍵管理装置へ提供させ、
前記生成情報は、前記量子鍵配送処理で生成された乱数であり、
前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定させ、
前記割合に基づいて、前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分させ、
前記量子鍵配送処理によって対向の量子暗号通信装置と共有されたローカル鍵を、暗号化用のローカル鍵及び復号用のローカル鍵に配分する割合を決定させる、
プログラム。
【請求項19】
鍵管理装置が、量子鍵配送処理で生成された生成情報を、量子暗号通信装置から受け取り、
前記鍵管理装置が、前記生成情報を、暗号データ通信先毎のグローバル鍵用乱数に用いる割合を決定し、
前記鍵管理装置が、前記グローバル鍵用乱数から生成されたグローバル鍵を、アプリケーションに提供し、
前記生成情報は、前記量子鍵配送処理によって対向の量子暗号通信装置と共有されたローカル鍵であり、
前記鍵管理装置が、前記ローカル鍵を、暗号化用のローカル鍵、復号用のローカル鍵、及び、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定し、
前記鍵管理装置が、前記割合に基づいて、前記ローカル鍵を、前記暗号化用のローカル鍵、前記復号用のローカル鍵、及び、前記暗号データ通信先毎のグローバル鍵用乱数に配分する、
鍵管理方法。
【請求項20】
鍵管理装置が、量子鍵配送処理で生成された生成情報を、量子暗号通信装置から受け取り、
前記鍵管理装置が、前記生成情報を、暗号データ通信先毎のグローバル鍵用乱数に用いる割合を決定し、
前記鍵管理装置が、前記グローバル鍵用乱数から生成されたグローバル鍵を、アプリケーションに提供し、
前記生成情報は、前記量子鍵配送処理で生成された乱数であり、
前記鍵管理装置が、前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定し、
前記鍵管理装置が、前記割合に基づいて、前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分し、
前記鍵管理装置が、前記量子鍵配送処理によって対向の量子暗号通信装置と共有されたローカル鍵を、暗号化用のローカル鍵及び復号用のローカル鍵に配分する割合を決定し、
前記鍵管理装置が、対向の鍵管理装置に前記グローバル鍵を送信する場合、前記暗号化用のローカル鍵を用いて暗号化された前記グローバル鍵を、前記対向の鍵管理装置に送信し、前記対向の鍵管理装置から、暗号化された前記グローバル鍵を受信した場合、前記復号用のローカル鍵を用いて前記グローバル鍵を復号する、
鍵管理方法。
【請求項21】
複数の量子暗号通信装置と接続される鍵管理装置の鍵管理方法であって、
前記鍵管理装置が、量子鍵配送処理で生成された生成情報を、前記量子暗号通信装置から受け取り、
前記鍵管理装置が、前記生成情報を、暗号データ通信先毎のグローバル鍵用乱数に用いる割合を決定し、
前記鍵管理装置が、前記グローバル鍵用乱数から生成されたグローバル鍵を、アプリケーションに提供し、
前記生成情報は、前記量子鍵配送処理で生成された乱数であり、
前記鍵管理装置が、前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定し、
前記鍵管理装置が、前記割合に基づいて、前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分し、
前記鍵管理装置が、それぞれの前記量子暗号通信装置により生成される前記乱数の生成速度に基づいて、それぞれの前記量子暗号通信装置により生成される前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定する、
鍵管理方法。
【請求項22】
量子暗号通信装置が、量子鍵配送処理で生成された生成情報を、暗号データ通信先毎のグローバル鍵用乱数に用いる割合を決定し、
前記量子暗号通信装置が、前記割合に基づき、前記生成情報の一部を、前記グローバル鍵用乱数として、鍵管理装置へ提供し、
前記生成情報は、前記量子鍵配送処理によって対向の量子暗号通信装置と共有されたローカル鍵であり、
前記量子暗号通信装置が、前記ローカル鍵を、暗号化用のローカル鍵、復号用のローカル鍵、及び、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定し、
前記量子暗号通信装置が、前記割合に基づいて、前記ローカル鍵を、前記暗号化用のローカル鍵、前記復号用のローカル鍵、及び、前記暗号データ通信先毎のグローバル鍵用乱数に配分する、
量子暗号通信方法。
【請求項23】
量子暗号通信装置が、量子鍵配送処理で生成された生成情報を、暗号データ通信先毎のグローバル鍵用乱数に用いる割合を決定し、
前記量子暗号通信装置が、前記割合に基づき、前記生成情報の一部を、前記グローバル鍵用乱数として、鍵管理装置へ提供し、
前記生成情報は、前記量子鍵配送処理で生成された乱数であり、
前記量子暗号通信装置が、前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定し、
前記量子暗号通信装置が、前記割合に基づいて、前記乱数を、前記暗号データ通信先毎のグローバル鍵用乱数に配分し、
前記量子暗号通信装置が、前記量子鍵配送処理によって対向の量子暗号通信装置と共有されたローカル鍵を、暗号化用のローカル鍵及び復号用のローカル鍵に配分する割合を決定する、
量子暗号通信方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は量子暗号通信システム、量子暗号通信装置、鍵管理装置及びプログラムに関する。
【背景技術】
【0002】
光ファイバーにより接続された送信装置と受信装置との間で連続的に送信された単一光子を利用して、安全に暗号鍵を共有する量子鍵配送(QKD:Quantum Key Distribution)技術が従来から知られている。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2016―171530号公報
【非特許文献】
【0004】
【文献】Kollmitzer C.,Pivk M.(Eds.),Applied Quantum Cryptography, Lect. Notes Phys. 797 (Springer, Berlin Heidelberg 2010),DOI:10.1007/978-3-642-04831-9
【文献】Dianati,M.,Alleaume,R.,Gagnaire,M. and Shen,X.(2008),Architecture and protocols of the future European quantum key distribution network. Security and Communication Networks,1:57-74.DOI:10.1002/sec.13Efficient decoy-state quantum key distribution with quantified security, M.Lucamarini et al.,Optics Express,Vol.21, Issue 21,pp.24550-24565(2013).
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、従来の技術では、より柔軟なシステム構成でQKDネットワークを構築することができなかった。
【課題を解決するための手段】
【0006】
実施形態の量子暗号通信システムは、量子暗号通信装置と、鍵管理装置とを備える量子暗号通信システムであって、生成情報提供部と受取部と決定部とグローバル鍵提供部と配分部とを備える。生成情報提供部は、量子鍵配送処理で生成された生成情報を、前記鍵管理装置に提供する。受取部は、前記量子暗号通信装置から前記生成情報を受け取る。決定部は、前記生成情報を、暗号データ通信先毎のグローバル鍵用乱数に用いる割合を決定する。グローバル鍵提供部は、前記グローバル鍵用乱数から生成されたグローバル鍵を、前記鍵管理装置に接続されたアプリケーションに提供する。前記生成情報は、前記量子鍵配送処理によって対向の量子暗号通信装置と共有されたローカル鍵である。前記決定部は、前記ローカル鍵を、暗号化用のローカル鍵、復号用のローカル鍵、及び、前記暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定する。配信部は、前記割合に基づいて、前記ローカル鍵を、前記暗号化用のローカル鍵、前記復号用のローカル鍵、及び、前記暗号データ通信先毎のグローバル鍵用乱数に配分する。
【図面の簡単な説明】
【0007】
【図1】第1実施形態の量子鍵配送システムの基本構成の例を示す図。
【図2】第1実施形態の量子暗号通信システムの例を示す図。
【図3】第1実施形態のグローバル鍵提供処理の例を示すシーケンス図。
【図4】第1実施形態の量子暗号通信装置の機能構成の例を示す図。
【図5】第1実施形態の鍵管理装置の機能構成の例を示す図。
【図6】第1実施形態のグローバル鍵の転送方法の例を示す図。
【図7】第1実施形態のグローバル鍵の生成方法の例を示す図。
【図8】第1実施形態の量子暗号通信装置の動作例を示すフローチャート。
【図9】第1実施形態の鍵管理装置の動作例を示すフローチャート。
【図10】第2実施形態の量子暗号通信装置の機能構成の例を示す図。
【図11】第2実施形態の鍵管理装置の機能構成の例を示す図。
【図12】第2実施形態のグローバル鍵の生成方法の例を示す図。
【図13】第3実施形態の制御装置の機能構成の例を示す図。
【図14】第3実施形態のローカル鍵の配分の割合の決定方法の例を示す図。
【図15】第1乃至第3実施形態の量子暗号通信装置のハードウェア構成の例を示す図。
【図16】第1乃至第3実施形態の鍵管理装置のハードウェア構成の例を示す図。
【発明を実施するための形態】
【0008】
以下に添付図面を参照して、量子暗号通信システム、量子暗号通信装置、鍵管理装置及びプログラムの実施形態を詳細に説明する。
【0009】
(第1実施形態)
まず、はじめに、量子鍵配送技術(QKD)について説明する。
まず、はじめに、量子鍵配送技術(QKD)について説明する。
【0010】
[量子鍵配送技術(QKD)]
量子鍵配送技術(QKD)によって共有される暗号鍵は、量子力学の原理に基づいて、盗聴されていないことが保証されている。QKDによって共有された暗号鍵を用いたワンタイムパッドによる暗号データ通信は、如何なる知識を有する盗聴者によっても解読できないことが情報理論によって保証されている。ここで、送信ノード及び受信ノードを、ノードと総称し、また、共有された暗号鍵を用いて暗号データ通信する機能をアプリケーション(以下、「アプリ」という。)と呼ぶとすると、図1に示すような量子鍵配送システムが構成できる。
量子鍵配送技術(QKD)によって共有される暗号鍵は、量子力学の原理に基づいて、盗聴されていないことが保証されている。QKDによって共有された暗号鍵を用いたワンタイムパッドによる暗号データ通信は、如何なる知識を有する盗聴者によっても解読できないことが情報理論によって保証されている。ここで、送信ノード及び受信ノードを、ノードと総称し、また、共有された暗号鍵を用いて暗号データ通信する機能をアプリケーション(以下、「アプリ」という。)と呼ぶとすると、図1に示すような量子鍵配送システムが構成できる。
【0011】
図1は量子鍵配送システムの基本構成の例を示す図である。図1の例では、ノード1-Aとノード1-Bとの間で共有された暗号鍵は、それぞれアプリα及びβに提供される。この後、アプリα及びアプリβは、提供された暗号鍵を用いてデータを暗号化し、暗号データ通信を行う。ただし、QKDで暗号鍵を共有する方式は、単一光子をメディアとして利用することに起因する、暗号鍵共有可能な距離の制約がある。
【0012】
[量子暗号通信システムの例]
図2は第1実施形態の量子暗号通信システム100の例を示す図である。第1実施形態の量子暗号通信システム100は、鍵共有ネットワーク110及び暗号データ通信ネットワーク120を備える。
図2は第1実施形態の量子暗号通信システム100の例を示す図である。第1実施形態の量子暗号通信システム100は、鍵共有ネットワーク110及び暗号データ通信ネットワーク120を備える。
【0013】
鍵共有ネットワーク(QKDネットワーク)110では、送信ノード及び受信ノードの機能を複数備えるノード1-1~1-5が、相互に光ファイバーリンクによって接続されている。例えば、ノード1-1は、ノード1-1~ノード1-2との間の通信、及び、ノード1-1~ノード1-4との間の通信で、それぞれ送信ノード及び受信ノードの機能を備える。
【0014】
以下、ノード1-1~1-5を区別しない場合は、単にノード1という。
【0015】
ここで、各ノード1-1~1-5は、光ファイバーリンクによって接続され、QKDによって暗号鍵を共有する。ここで、光ファイバーリンクによって接続されるノード1間でQKDにより共有される暗号鍵をローカル鍵101と呼ぶことにする。
【0016】
さらにノード1は、別の暗号鍵(これをグローバル鍵102と呼ぶことにする)を生成し、グローバル鍵102を、ローカル鍵101で暗号化して隣接するノード1に転送する。なお、第1実施形態のグローバル鍵102の生成方法の詳細は後述する。
【0017】
ノード1は、このようなローカル鍵101によってグローバル鍵102を暗号化してグローバル鍵102を転送する処理を繰り返すことによって、鍵共有ネットワーク110上の任意のノード1との間でグローバル鍵102を共有する。このときグローバル鍵102は、QKDによって共有されるローカル鍵101によって暗号化された状態でリンク上を転送される。ゆえに、ノード1自体の安全性を仮定すると、グローバル鍵102の安全性は、ローカル鍵101と同様に保証されると言える。
【0018】
一方、暗号データ通信を行うアプリα及びβは、暗号データ通信ネットワーク120に収容されている。アプリα及びβは、アプリα及びβの間で共有されたグローバル鍵102を用いて、暗号データ通信を行う。図2の例では、アプリαによって使用されるグローバル鍵102は、アプリαと通信可能に接続されるノード1-1によって提供される。アプリβによって使用されるグローバル鍵102は、アプリβと通信可能に接続されるノード1-3によって提供される。
【0019】
[グローバル鍵提供処理の例]
図3は第1実施形態のグローバル鍵提供処理の例を示すシーケンス図である。はじめに、ノード1-1とノード1-2との間で、QKDによるローカル鍵101の共有が行われる(ステップS1)。次に、ノード1-2とノード1-3との間で、QKDによるローカル鍵101の共有が行われる(ステップS2)。
図3は第1実施形態のグローバル鍵提供処理の例を示すシーケンス図である。はじめに、ノード1-1とノード1-2との間で、QKDによるローカル鍵101の共有が行われる(ステップS1)。次に、ノード1-2とノード1-3との間で、QKDによるローカル鍵101の共有が行われる(ステップS2)。
【0020】
次に、アプリαは、ノード1にグローバル鍵要求を送信する(ステップS3)。グローバル鍵要求は、アプリβとの暗号データ通信に使用されるグローバル鍵102の要求を示す。
【0021】
次に、ノード1-1は、アプリαと通信するアプリβに接続されているノード1-3を特定する(ステップS4)。
【0022】
次に、ノード1-1は、ノード1-3との間でグローバル鍵共有制御を開始する(ステップS5)。具体的には、ノード1-1は、グローバル鍵の共有処理の要求を示す通知をノード1-3に送信する。
【0023】
次に、ノード1-1は、グローバル鍵102を生成し(ステップS6)、当該グローバル鍵102を、ローカル鍵101によって暗号化して、ノード1-2へと転送する(ステップS7)。
【0024】
ノード1-2は、暗号化されたグローバル鍵102を、ノード1-1との間で共有されたローカル鍵101によって復号し、復号されたグローバル鍵102を、ノード1-3との間で共有されたローカル鍵101によって暗号化して、ノード1-3へ転送する(ステップS8)。
【0025】
次に、ノード1-3は、暗号化されたグローバル鍵102を受信すると、ノード1-2との間で共有されたローカル鍵101で復号し(ステップS9)、復号されたグローバル鍵102をストレージ等に格納する(ステップS10)。次に、ノード1-3は、グローバル鍵102を格納したことを示すグローバル鍵格納通知を、ノード1-1に送信する(ステップS11)。
【0026】
以上の処理手順によって、ノード1-1とノード1-3はグローバル鍵102を共有する。その後、ノード1-1は、グローバル鍵102をアプリαへ提供する(ステップS12)。ノード1-3は、アプリβからグローバル鍵要求を受け付けると(ステップS13)、ステップS10で格納されたグローバル鍵102をアプリβへ提供する(ステップS13)。
【0027】
上記図3に示すようなグローバル鍵提供処理によって、アプリα及びβは同一の暗号鍵(グローバル鍵102)を共有することができる。こののち、アプリα及びβは、暗号データ通信ネットワーク120を介して安全な暗号データ通信を行うことができる。
【0028】
以上のような、ローカル鍵101とグローバル鍵102とを組み合わせた暗号鍵共有方式は、QKDを使うことに起因する暗号鍵共有可能な距離の制約を克服できる。また、アプリαと接続されたノード1-1、及び、アプリβと接続されたノード1-3が暗号鍵(グローバル鍵102)の生成や共有・ルーティングを制御する本方式は、既存のネットワーク技術を活用してシンプルな構成要素によって実現することが可能である。これを実現するために、鍵管理装置(KM:Key Manager)が利用される。鍵管理装置(KM)は、一般的には独立したサーバであり、暗号鍵の保持やリレー、提供等の機能を備える。
【0029】
[暗号化用と復号用のローカル鍵]
QKDでは、共通の暗号鍵を用いた暗号データ通信を行うので、暗号データ通信を行うアプリと通信可能に接続されるノード1間で同じ鍵を持っている必要がある。同じ鍵を持っていれば、QKDで共有されたローカル鍵101は、暗号化用と復号用とに分けてストレージなどに保存されてもよい。
QKDでは、共通の暗号鍵を用いた暗号データ通信を行うので、暗号データ通信を行うアプリと通信可能に接続されるノード1間で同じ鍵を持っている必要がある。同じ鍵を持っていれば、QKDで共有されたローカル鍵101は、暗号化用と復号用とに分けてストレージなどに保存されてもよい。
【0030】
QKDによって隣接するノード1間ではローカル鍵101を共有するが、一方のノード1において暗号化用のローカル鍵101として保存された鍵は、隣接する対向のノード1においては、復号用のローカル鍵101として保存される。逆に、一方のノード1において復号用のローカル鍵101として保存された鍵は、隣接する対向のノード1においては暗号化用のローカル鍵101として保存される。
【0031】
すなわち、一方のノード1の暗号化用のローカル鍵101は、隣接する対向のノード1の復号用のローカル鍵101と同一となり、一方のノード1の復号用のローカル鍵101は、隣接する対向のノード1の暗号化用のローカル鍵101と同一となる。
【0032】
そして、ローカル鍵101は、隣接のノード1にデータを転送するときの暗号化及び復号に利用される。ノード1は、ローカル鍵101を暗号化用と復号用とに分けて、ストレージ等に保存することで、データの通信方向に応じて、暗号化用のローカル鍵101と、復号用のローカル鍵101とを使い分ける。
【0033】
データを送信するノード1は、暗号化用のローカル鍵101を利用してデータの暗号化を行い、データを受信するノード1は、復号用のローカル鍵101を利用してデータの復号を行う。ノード1は、このようにデータの送信方向に応じて、暗号化用のローカル鍵101と復号用のローカル鍵101とを使い分けることによって、データの暗号化又は復号を行う。そのため、ノード1は、両方向通信を行うために、暗号化用及び復号用の両方のローカル鍵101を用意してもよい。
【0034】
[暗号化用と復号用のグローバル鍵]
一般には、グローバル鍵102は、QKDとは無関係に生成され、ローカル鍵101を使って暗号化して隣接のノード1と共有される。グローバル鍵102は、共通の鍵を用いた暗号データ通信(例えばワンタイムパッド等の暗号データ通信)のためにアプリα及びβに提供される。ノード1は、グローバル鍵102も、暗号化用と復号用に分けてストレージなどに保存してもよい。
一般には、グローバル鍵102は、QKDとは無関係に生成され、ローカル鍵101を使って暗号化して隣接のノード1と共有される。グローバル鍵102は、共通の鍵を用いた暗号データ通信(例えばワンタイムパッド等の暗号データ通信)のためにアプリα及びβに提供される。ノード1は、グローバル鍵102も、暗号化用と復号用に分けてストレージなどに保存してもよい。
【0035】
例えば、ノード1-1が、アプリαからアプリβへ暗号データ通信を行うためのグローバル鍵102を提供する場合、ノード1-1からデータ通信の送信を行うアプリαに暗号化用のグローバル鍵102を提供する。そして、ノード1-3が、暗号データ通信の受信を行うアプリβに復号用のグローバル鍵102を提供する。このとき、暗号化用のグローバル鍵102と、復号用のグローバル鍵102とは、同一の鍵とする。すなわち、ノード1-1の暗号化用のグローバル鍵102が、ノード1-3の復号用のグローバル鍵102として共有される。
【0036】
このようにして、暗号データ通信の送信をするアプリαに暗号化用のグローバル鍵102が提供され、暗号データ通信の受信をするアプリβに復号用のグローバル鍵102が提供される。なお、アプリβからアプリαに暗号データ通信を行う場合についても、同様である。すなわち、上記と同様に、暗号データ通信の送信をするアプリβに暗号化用のグローバル鍵102が提供され、暗号データ通信の受信をするアプリαに復号用のグローバル鍵102が提供される。
【0037】
アプリα及びβとしては、暗号化用と復号用を意識することなく、対向の通信先と同一のグローバル鍵102を受け取って、暗号データ通信を行うことができる。
【0038】
以下、第1実施形態のノード1の機能構成及び動作について説明する。
【0039】
上述のように、鍵共有ネットワーク(QKDネットワーク)110では、量子鍵配送処理によって生成される暗号鍵(ローカル鍵101)とは別に、アプリケーションα及びβに提供するための暗号鍵(グローバル鍵102)を生成する必要がある。グローバル鍵102は、鍵共有ネットワーク(QKDネットワーク)110内の光ファイバーリンクをリレーさせることによって、通信先と共有される。しかし、システム構成の制約等により、グローバル鍵102を生成するための乱数生成器が、各ノード1の鍵管理装置(KM)に備えられていない場合もあり得る。そこで、鍵管理装置(KM)に乱数生成器がないシステム構成においても、QKDネットワークを構成できれば、より柔軟にシステムを構成でき、システム構成全体が効率化できる。
【0040】
第1実施形態では、各ノード1の量子暗号通信装置で生成される暗号鍵(ローカル鍵101)の一部を暗号鍵(グローバル鍵102)として利用する場合について説明する。第1実施形態によれば、鍵管理装置(KM)に乱数生成器がない場合にも鍵共有ネットワーク(QKDネットワーク)110を構築できるようになる。
【0041】
[機能構成の例]
第1実施形態のノード1は、量子暗号通信装置と鍵管理装置とを備える。量子暗号通信装置と鍵管理装置とは、同一の筐体内に備えられていてもよいし、別々の装置として互いに通信可能に接続されていてもよい。
第1実施形態のノード1は、量子暗号通信装置と鍵管理装置とを備える。量子暗号通信装置と鍵管理装置とは、同一の筐体内に備えられていてもよいし、別々の装置として互いに通信可能に接続されていてもよい。
【0042】
図4は第1実施形態の量子暗号通信装置10の機能構成の例を示す図である。第1実施形態の量子暗号通信装置10は、通信部11、ローカル鍵生成部12、ローカル鍵提供部13、決定部14及び配分部15を備える。
【0043】
通信部11は、光ファイバーリンクでつながる対向の量子暗号通信装置10との間で通信する。通信部11は、量子鍵配送によって量子を交換する量子通信IF(Interface)、及び、量子暗号通信装置10の制御や鍵を生成するための古典通信IFの両方を備える。
【0044】
ローカル鍵生成部12(生成情報生成部の一例)は、通信部11を介して、対向の量子暗号通信装置10と量子通信や古典通信を行うことによって、共通のローカル鍵101(量子鍵配送処理で生成された生成情報の一例)を生成する。
【0045】
ローカル鍵提供部13(生成情報提供部の一例)は、量子鍵配送によって生成されたローカル鍵101を、鍵管理装置(KM)20などのローカル鍵101を利用する対象に提供する。量子鍵配送によって生成されたローカル鍵101の一部は、グローバル鍵用乱数として、鍵管理装置(KM)20に提供される。
【0046】
決定部14は、ローカル鍵101を、暗号用のローカル鍵101、復号用のローカル鍵101、及び、暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定する。そして、決定部14は、ローカル鍵101とともに、当該ローカル鍵101の配分の割合を、配分部15に通知する。例えば、ローカル鍵101の配分の割合は、量子暗号通信装置10自身で決定してもよいし、鍵管理装置(KM)20からの通知等により、対向する量子暗号通信装置10と合わせて決定されてもよい。
【0047】
配分部15は、上記の決定部14によって決定された配分に応じて、ローカル鍵101を、暗号化用のローカル鍵101、復号用のローカル鍵101、及び、暗号データ通信先毎のグローバル鍵用乱数に配分する。
【0048】
なお、上述の決定部14による処理は、鍵管理装置(KM)20の決定部25(図5参照)により行われてもよい。上述の配分部15による処理は、鍵管理装置(KM)20の配分部26(図5参照)により行われてもよい。
【0049】
図5は第1実施形態の鍵管理装置(KM)20の機能構成の例を示す図である。第1実施形態の鍵管理装置(KM)20は、ローカル鍵受取部21、通信部22、記憶部23、グローバル鍵提供部24、決定部25、配分部26及びグローバル鍵生成部27を備える。
【0050】
ローカル鍵受取部21は、量子暗号通信装置10から提供されるローカル鍵101を受け取る。
【0051】
通信部22は、鍵管理装置(KM)20で動作する鍵管理機能を行うための通信、量子暗号通信装置10からローカル鍵101を受け取るための通信、及び、暗号データ通信を行うアプリケーションα及びβにグローバル鍵102を提供するための通信等を行う。
【0052】
記憶部23は、量子暗号通信装置10から提供される鍵(ローカル鍵101)や、アプリケーションα及びβに提供するためのグローバル鍵102を記憶する。
【0053】
グローバル鍵提供部24は、暗号データ通信を行うアプリケーションα及びβに対して、グローバル鍵102を提供する。
【0054】
決定部25は、量子暗号通信装置10から受け取るローカル鍵101を、暗号用のローカル鍵101、復号用のローカル鍵101、及び、暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定する。また、決定部25は、グローバル鍵102を共有するノード1の鍵管理装置20を決定し、当該鍵管理装置20と共有されるグローバル鍵102に配分されるグローバル鍵用乱数の割合を、当該ノード1と決定する。
【0055】
配分部26は、上記の決定部25によって決定した配分に応じて、量子暗号通信装置10から提供されるローカル鍵101を、暗号化用のローカル鍵101、復号用のローカル鍵101、及び、暗号データ通信先毎のグローバル鍵用乱数に配分する。
【0056】
グローバル鍵生成部27は、量子暗号通信装置10から受け取る暗号データ通信先毎のグローバル鍵用乱数として配分されたローカル鍵101をもとにグローバル鍵102を生成する。
【0057】
【0058】
[グローバル鍵の転送方法の例]
図6は第1実施形態のグローバル鍵102の転送方法の例を示す図である。量子暗号通信装置10-A及び量子暗号通信装置10-Bは、光ファイバーリンクでつながり、QKDを行って共通のローカル鍵101を生成する。同様に、量子暗号通信装置10-C及び量子暗号通信装置10-Dが、QKDを行って別のローカル鍵101を生成する。
図6は第1実施形態のグローバル鍵102の転送方法の例を示す図である。量子暗号通信装置10-A及び量子暗号通信装置10-Bは、光ファイバーリンクでつながり、QKDを行って共通のローカル鍵101を生成する。同様に、量子暗号通信装置10-C及び量子暗号通信装置10-Dが、QKDを行って別のローカル鍵101を生成する。
【0059】
以下の説明では、鍵管理装置20をKM20と略して説明する。
【0060】
量子暗号通信装置10-Aで生成されたローカル鍵101は、KM20-Xへ送られ、量子暗号通信装置10-Bで生成されたローカル鍵101はKM20-Yへ送られる。このとき、量子暗号通信装置10-Aと量子暗号通信装置10-Bとで生成されたローカル鍵101は同一である。具体的には、KM20-Xのローカル鍵101(暗号化1用)と、KM20-Yのローカル鍵101(復号1用)とは同一であり、KM20-Xのローカル鍵101(復号1用)と、KM20-Yのローカル鍵101(暗号化1用)は同一である。
【0061】
同様に、量子暗号通信装置10-Cで生成されたローカル鍵101は、KM20-Yへ送られ、量子暗号通信装置10-Dで生成されたローカル鍵101はKM20-Zへ送られる。このとき、量子暗号通信装置10-Cと量子暗号通信装置10-Dとで生成されたローカル鍵101も同一である。具体的には、KM20-Yのローカル鍵101(暗号化2用)と、KM20-Zのローカル鍵101(復号2用)は同一であり、KM20-Yのローカル鍵101(復号2用)と、KM20-Zのローカル鍵101(暗号化2用)は同一である。
【0062】
KM20-Xは、ローカル鍵101とは別の暗号鍵としてKM20-Yと共有するグローバル鍵XYと、KM20-Zと共有するグローバル鍵XZを生成する。ここで、グローバル鍵MNのMはグローバル鍵102を生成したKM20の添え字を表し、Nはグローバル鍵を転送して共有する先のKM20の添え字を表す。なお、グローバル鍵MNの生成方法の詳細については、図7を用いて後述する。
【0063】
KM20-Xは、KM20-Xで生成されたグローバル鍵XYを、KM20-Xのローカル鍵101(暗号化1用)を用いて暗号化してKM20-Yに転送する。KM20-Yは、暗号化されたグローバル鍵XYを、ローカル鍵101(復号1用)を用いて復号して、KM20-Xと共通のグローバル鍵XYを得る。
【0064】
さらに、KM20-Xは、KM20-Xで生成されたグローバル鍵XZを、まずはKM20-Xのローカル鍵101(暗号化1用)を用いて暗号化してKM20-Yに転送する。KM20-Yは、暗号化されたグローバル鍵XZを、ローカル鍵101(復号1用)を用いて復号し、復号されたグローバル鍵XZを、さらに、KM20-Yのローカル鍵101(暗号化2用)を用いて暗号化して、KM20-Zに転送する。KM20-Zは、暗号化されたグローバル鍵XZを、ローカル鍵101(復号2用)を用いて復号し、KM20-Xと共通のグローバル鍵XZを得る。
【0065】
同様に、KM20-Yは、KM20-Xと共有されるグローバル鍵YXと、KM20-Zと共有されるグローバル鍵YZとを生成する。KM20-Yは、KM20-Yで生成されたグローバル鍵YXを、KM20-Yのローカル鍵101(暗号化1用)を用いて暗号化してKM20-Xに転送する。KM20-Xは、暗号化されたグローバル鍵YXを、ローカル鍵101(復号1用)を用いて復号して、KM20-Yと共通のグローバル鍵YXを得る。さらに、KM20-Yは、KM20-Yで生成されたグローバル鍵YZを、まずはKM20-Yのローカル鍵101(暗号化2用)を用いて暗号化して、KM20-Zに転送する。KM20-Zは、暗号化されたグローバル鍵YZを、ローカル鍵101(復号2用)を用いて復号して、KM20-Yと共通のグローバル鍵YZを得る。
【0066】
同様に、KM20-Zは、KM20-Xと共有されるグローバル鍵ZXと、KM20-Yと共有されるグローバル鍵ZYとを生成する。KM20-Zは、KM20-Zで生成されたグローバル鍵ZXを、まずはKM20-Zのローカル鍵101(暗号化2用)を用いて暗号化してKM20-Yに転送する。KM20-Yは、暗号化されたグローバル鍵ZXを、ローカル鍵101(復号2用)を用いて復号し、復号されたグローバル鍵ZXを、さらに、KM20-Yのローカル鍵101(暗号化1用)を用いてグローバル鍵ZXを暗号化して、KM20-Xに転送する。KM20-Xは、暗号化されたグローバル鍵ZXを、ローカル鍵101(復号1用)を用いて復号して、KM20-Zと共通のグローバル鍵ZXを得る。
【0067】
さらに、KM20-Zは、KM20-Zで生成されたグローバル鍵ZYを、KM20-Zのローカル鍵101(暗号化2用)を用いて暗号化してKM20-Yに転送する。KM20-Yは、暗号化されたグローバル鍵ZYを、ローカル鍵101(復号2用)を用いて復号し、KM20-Zと共通のグローバル鍵ZXを得る。
【0068】
このようにして、対向する量子暗号通信装置10-A及び10-Bの間で共有されたローカル鍵101(暗号化用1)及びローカル鍵101(復号用1)、並びに、対向する量子暗号通信装置10-C及び10-Dの間で共有されたローカル鍵101(暗号化用2)及びローカル鍵101(復号用2)を用いて、各ノード1(量子暗号通信装置10及びKM20)間でグローバル鍵102を共有できる。
【0069】
[グローバル鍵の生成方法の例]
図7は第1実施形態のグローバル鍵102の生成方法の例を示す図である。量子暗号通信装置10-Aで生成されたローカル鍵101はKM20-Xへ送られ、量子暗号通信装置10-Bで生成されたローカル鍵101はKM20-Yへ送られる。
図7は第1実施形態のグローバル鍵102の生成方法の例を示す図である。量子暗号通信装置10-Aで生成されたローカル鍵101はKM20-Xへ送られ、量子暗号通信装置10-Bで生成されたローカル鍵101はKM20-Yへ送られる。
【0070】
KM20-Xは、量子暗号通信装置10-Aから受け取ったローカル鍵101を、ローカル鍵101(暗号化1用)、ローカル鍵101(復号1用)、グローバル鍵用乱数(KM X用)及びグローバル鍵用乱数(KM Y用)に振り分ける。
【0071】
ここで、グローバル鍵用乱数(KM X用)は、KM20-Xでのグローバル鍵102の生成に使用される。グローバル鍵用乱数(KM Y用)は、KM20-Yでのグローバル鍵102の生成に使用される。
【0072】
KM20-Yは、量子暗号通信装置10-Bから受け取ったローカル鍵101を、ローカル鍵101(復号1用)、ローカル鍵101(暗号化1用)、グローバル鍵用乱数(KM X用)及びグローバル鍵用乱数(KM Y用)に振り分ける。
【0073】
このとき、KM20-Xのグローバル鍵用乱数(KM X用)と、KM20-Yのグローバル鍵用乱数(KM X用)とは同一であり、KM20-Xのグローバル鍵用乱数(KM Y用)と、KM20-Yのグローバル鍵用乱数(KM Y用)は同一である。
【0074】
同様に、量子暗号通信装置10-Cで生成されたローカル鍵101は、KM20-Yへ送られ、量子暗号通信装置10-Dで生成されたローカル鍵101はKM20-Zへ送られる。
【0075】
KM20-Yは、量子暗号通信装置10-Cから受け取ったローカル鍵101を、ローカル鍵101(暗号化2用)、ローカル鍵101(復号2用)、グローバル鍵用乱数(KM Y用)及びグローバル鍵用乱数(KM Z用)に振り分ける。
【0076】
ここで、グローバル鍵用乱数(KM Y用)は、KM20-Yでのグローバル鍵102の生成に使用される。グローバル鍵用乱数(KM Z用)は、KM20-Zでのグローバル鍵102の生成に使用される。
【0077】
KM20-Zは、量子暗号通信装置10-Dから受け取ったローカル鍵101を、ローカル鍵101(復号2用)、ローカル鍵101(暗号化2用)、グローバル鍵用乱数(KM Y用)及びグローバル鍵用乱数(KM Z用)に振り分ける。
【0078】
このとき、KM20-Yのグローバル鍵用乱数(KM Y用)と、KM20-Zのグローバル鍵用乱数(KM Y用)とは同一であり、KM20-Yのグローバル鍵用乱数(KM Z用)と、KM20-Zのグローバル鍵用乱数(KM Z用)は同一である。
【0079】
KM20-Xは、KM20-Yと共有されるグローバル鍵XYと、KM20-Zと共有されるグローバル鍵XZとを、KM20-Xのグローバル鍵用乱数(KM X用)から生成する。ここで、KM20-Xのグローバル鍵用乱数(KM Y用)は、KM20-Yのグローバル鍵102の生成で利用するために、KM20-Xでは利用しないことに注意する。
【0080】
KM20-Xは、KM20-Xで生成されたグローバル鍵XYを、上述の図6の転送方法で、KM20-Yに転送する。さらに、KM20-Xは、KM20-Xで生成されたグローバル鍵XZを、上述の図6の転送方法で、KM20-Zに転送する。
【0081】
KM20-Yは、KM20-Xと共有されるグローバル鍵YXと、KM20-Zと共有されるグローバル鍵YZとを、KM20-Yのグローバル鍵用乱数(KM Y用)から生成する。ここで、KM20-Yのグローバル鍵用乱数(KM X用)は、KM20-Xのグローバル鍵102の生成で利用するために、KM20-Yでは利用せず、KM20-Yのグローバル鍵用乱数(KM Z用)はKM20-Zのグローバル鍵102の生成で利用するために、KM20-Yでは利用しないことに注意する。また、グローバル鍵102の生成には、KM20-Xと共有されたグローバル鍵用乱数(KM Y用)、及び、KM20-Zと共有されたグローバル鍵用乱数(KM Y用)の両方を利用しても、いずれか片方のみを利用してもよい。
【0082】
KM20-Yは、KM20-Yで生成されたグローバル鍵YXを、上述の図6の転送方法で、KM20-Xに転送する。さらに、KM20-Yは、KM20-Yで生成されたグローバル鍵YZを、上述の図6の転送方法で、KM20-Zに転送する。
【0083】
KM20-Zは、KM20-Xと共有されるグローバル鍵ZXと、KM20-Yと共有されるグローバル鍵ZYとを、KM20-Zのグローバル鍵用乱数(KM Z用)から生成する。ここで、KM20-Zのグローバル鍵用乱数(KM Y用)は、KM20-Yのグローバル鍵102の生成で利用するために、KM20-Zでは利用しないことに注意する。
【0084】
KM20-Zは、KM20-Zで生成されたグローバル鍵ZXを、上述の図6の転送方法で、KM20-Xに転送する。さらに、KM20-Zは、KM20-Zで生成されたグローバル鍵ZYを、上述の図6の転送方法で、KM20-Yに転送する。
【0085】
[振り分ける割合の決定例]
上述の図7で説明したように、例えば、KM20-Xは、量子暗号通信装置10-Aから受け取ったローカル鍵101を、ローカル鍵101(暗号化1用)、ローカル鍵101(復号1用)、グローバル鍵用乱数(KM X用)及びグローバル鍵用乱数(KM Y用)に振り分ける。
上述の図7で説明したように、例えば、KM20-Xは、量子暗号通信装置10-Aから受け取ったローカル鍵101を、ローカル鍵101(暗号化1用)、ローカル鍵101(復号1用)、グローバル鍵用乱数(KM X用)及びグローバル鍵用乱数(KM Y用)に振り分ける。
【0086】
それぞれに振り分ける割合については、KM20-Xの決定部25で決定し、KM20-Xの通信部22が、KM20-Y及び20-Zに、KM20-Xで決定された割合を通知する方法がある。このとき、KM20-Xの決定部25は、グローバル鍵用乱数(KM X用)から生成されるグローバル鍵102の割り当て(図7では、グローバル鍵XY及びXZ)も決定する。
【0087】
また例えば、KM20-Xの決定部25は、グローバル鍵XY及びXZの割合を、グローバル鍵XY又はXZを使用した暗号データ通信を行うアプリケーションからの要求に応じて決定してもよい。例えば、アプリケーションからの要求は、グローバル鍵XY及びXZの使用頻度等に応じて決定されたグローバル鍵XY及びXZの生成比率等の情報を含む。例えばグローバル鍵XY及びXZの生成比率が2:1であれば、決定部25は、グローバル鍵XYの生成量が、グローバル鍵XZの生成量の2倍になるように、グローバル鍵XY及びXZの割合を決定する。
【0088】
また例えば、量子暗号通信装置10-Aの決定部14が、ローカル鍵101(暗号化1用)、ローカル鍵101(復号1用)、グローバル鍵用乱数(KM X用)及びグローバル鍵用乱数(KM Y用)のそれぞれに振り分ける割合を、対向する量子暗号通信装置10-Bと合わせて決定してもよい。
【0089】
また例えば、量子暗号通信装置10-Aの決定部14が、ローカル鍵101(暗号化1用)、ローカル鍵101(復号1用)、グローバル鍵用乱数(KM X用)及びグローバル鍵用乱数(KM Y用)のそれぞれに振り分ける割合を示す通知等をKM20-Xから受信し、当該通知に基づいて、対向する量子暗号通信装置10-Bと合わせて決定してもよい。
【0090】
また例えば、量子暗号通信装置10-Aの決定部14が、量子暗号通信装置10-Aがローカル鍵101を生成する速度に応じて、ローカル鍵101(暗号化1用)、ローカル鍵101(復号1用)、グローバル鍵用乱数(KM X用)及びグローバル鍵用乱数(KM Y用)のそれぞれに振り分ける割合を決定してもよい。
【0091】
また例えば、KM20-Yのように、複数の量子暗号通信装置10(10-B及び10-C)がつながるKM20では、KM20につながる量子暗号通信装置10-Bと量子暗号通信装置10-Cのローカル鍵101の生成速度の情報を共有して、どちらのローカル鍵101をどれだけグローバル鍵用乱数(KM Y用)に割り当てるか決定してもよい。これにより、例えば、ローカル鍵101の生成速度がより速い量子暗号通信装置10から受け付けられたローカル鍵101を、より多くグローバル鍵用乱数(KM Y用)に割り当てることにより、効率よくグローバル鍵102の生成を行うことができる。
【0092】
[量子暗号通信装置の動作例]
図8は第1実施形態の量子暗号通信装置10の動作例を示すフローチャートである。はじめに、ローカル鍵生成部12が、QKDによってローカル鍵101を生成する(ステップS21)。
図8は第1実施形態の量子暗号通信装置10の動作例を示すフローチャートである。はじめに、ローカル鍵生成部12が、QKDによってローカル鍵101を生成する(ステップS21)。
【0093】
次に、決定部14が、ステップS21の処理によって生成されたローカル鍵101の配分の割合を決定する(ステップS22)。配分の割合は、例えば鍵管理装置(KM)20からの通知に基づいて決定される。また例えば、配分の割合は、量子暗号通信装置10の決定部14の処理によって決定される(量子暗号通信装置10自身で割合を決定してもよい)。
【0094】
次に、配分部15が、ステップS22の処理によって決定された割合で、ローカル鍵101を、暗号化用のローカル鍵101、復号用のローカル鍵101、及び、通信先毎のグローバル鍵用乱数に配分する(ステップS23)。
【0095】
次に、ローカル鍵提供部13が、暗号化用のローカル鍵101、復号用のローカル鍵101、及び、暗号データ通信先毎のグローバル鍵用乱数として配分されたローカル鍵101を、量子暗号通信装置10に接続されたKM20に提供する(ステップS24)。
【0096】
[鍵管理装置(KM)の動作例]
図9は第1実施形態の鍵管理装置(KM)20の動作例を示すフローチャートである。はじめに、ローカル鍵受取部21が、量子暗号通信装置10からローカル鍵101を受け取る(ステップS31)。次に、記憶部23が、ステップS31の処理によって受け取られたローカル鍵101を記憶する(ステップS32)。
図9は第1実施形態の鍵管理装置(KM)20の動作例を示すフローチャートである。はじめに、ローカル鍵受取部21が、量子暗号通信装置10からローカル鍵101を受け取る(ステップS31)。次に、記憶部23が、ステップS31の処理によって受け取られたローカル鍵101を記憶する(ステップS32)。
【0097】
次に、決定部25が、ステップS32の処理によって記憶されたローカル鍵101の配分の割合を決定する(ステップS33)。
【0098】
次に、配分部26が、ステップS33の処理によって決定された割合で、ローカル鍵101を、暗号化用のローカル鍵101、復号用のローカル鍵101、及び、暗号データ通信先毎のグローバル鍵用乱数に配分する(ステップS34)。
【0099】
グローバル鍵生成部27は、暗号データ通信先毎のグローバル鍵用乱数として配分されたローカル鍵101をもとにグローバル鍵102を生成する(ステップS35)。
【0100】
次に、記憶部23が、ステップS34の処理によって、暗号データ通信先毎のグローバル鍵用乱数として配分されたローカル鍵101をもとに生成した、暗号データ通信先毎のグローバル鍵102を記憶する(ステップS36)。
【0101】
次に、グローバル鍵提供部24が、鍵管理装置(KM)20に接続されたアプリケーションからのグローバル鍵要求に応じて、グローバル鍵102を提供する(ステップS37)。
【0102】
以上、説明したように、第1実施形態の量子暗号通信システム100によれば、量子暗号通信装置10が、量子鍵配送処理で生成された生成情報(第1実施形態では、ローカル鍵101)を、鍵管理装置20に提供する生成情報提供部(第1実施形態では、ローカル鍵提供部13)を備える。鍵管理装置20では、ローカル鍵受取部21が、量子暗号通信装置10からローカル鍵101を受け取る。決定部25は、ローカル鍵101を、暗号用のローカル鍵101、復号用のローカル鍵101、及び、暗号データ通信先毎のグローバル鍵用乱数に用いる割合を決定する。そして、グローバル鍵提供部24は、グローバル鍵用乱数から生成されたグローバル鍵102を、鍵管理装置20に接続されたアプリケーションに提供する。
【0103】
これにより、第1実施形態の量子暗号通信システム100によれば、より柔軟なシステム構成で鍵共有ネットワーク(QKDネットワーク)110を構築することができる。具体的には、対向する量子暗号通信装置10の間で共有されたローカル鍵101を、グローバル鍵102の生成に用いて、各ノード1間でグローバル鍵102を共有できるので、鍵管理装置(KM)20に乱数生成器がないシステム構成においても、グローバル鍵102の共有が可能となる。
【0104】
従来の技術では、鍵管理装置(KM)20に乱数生成器が必要だったが、第1実施形態の量子暗号通信システム100によれば、鍵管理装置(KM)20が乱数生成器を備える必要がなくなり、システム構成全体が効率化される。
【0105】
(第2実施形態)
次に第2実施形態について説明する。第2実施形態の説明では、第1実施形態と同様の説明については省略し、第1実施形態と異なる箇所について説明する。
次に第2実施形態について説明する。第2実施形態の説明では、第1実施形態と同様の説明については省略し、第1実施形態と異なる箇所について説明する。
【0106】
【0107】
第2実施形態のノード1は、第1実施形態と同様に、量子暗号通信装置10-2と鍵管理装置(KM)20-2とを備える。
【0108】
光ファイバーリンクでつながれた量子暗号通信装置10-2間でローカル鍵101を共有する量子鍵配送処理においては、量子鍵配送処理の中で乱数(量子鍵配送処理で生成された生成情報の一例)を生成し、当該乱数を利用することがある。
【0109】
第1実施形態では、量子暗号通信装置10で生成されたローカル鍵101が、グローバル鍵102の生成に利用されたが、第2実施形態では、代わりに量子暗号通信装置10-2が持つ乱数が、グローバル鍵102の生成に利用される。
【0110】
第2実施形態の量子暗号通信装置10-2は、通信部11、ローカル鍵生成部12、ローカル鍵提供部13、配分部15及び乱数提供部16を備える。
【0111】
通信部11、ローカル鍵生成部12及びローカル鍵提供部13は、第1実形態と同様なので説明を省略する。
【0112】
配分部15は、ローカル鍵101を、暗号用のローカル鍵101、及び、復号用のローカル鍵101に配分する。
【0113】
乱数提供部16は、量子暗号通信装置10-2で生成される乱数を、鍵管理装置(KM)20-2に提供する。
【0114】
第2実施形態の鍵管理装置(KM)20-2は、ローカル鍵受取部21、通信部22、記憶部23、グローバル鍵提供部24、決定部25、配分部26、グローバル鍵生成部27及び乱数受取部28を備える。通信部22、記憶部23及びグローバル鍵提供部24は、第1実施形態と同様なので説明を省略する。
【0115】
ローカル鍵受取部21は、量子暗号通信装置10―2からローカル鍵101を受け取る。
【0116】
決定部25は、グローバル鍵102を共有するノード1を決定する。または、決定部25は、グローバル鍵102を共有するノード1を複数、決定し、それぞれのノード1と共有するグローバル鍵102の生成に配分される乱数の割合を決定する。すなわち、決定部25は、乱数を、暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定する。
【0117】
例えば、決定部25は、量子暗号通信装置10-2の乱数の生成速度に応じて、暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定してもよい。乱数の生成速度が速い量子暗号通信装置10-2と、乱数の生成速度が遅い量子暗号通信装置10-2とが存在するときに、乱数の生成速度が速い量子暗号通信装置10-2に接続された鍵管理装置(KM)20-2の方が、より沢山のグローバル鍵102を生成できる。そのため、決定部25は、対向のノード1と、乱数の生成速度の情報を共有して、どちらのノード1の鍵管理装置(KM)20-2が、どれだけのグローバル鍵102を生成するかを決定してもよい。
【0118】
また例えば、鍵管理装置20-2に、複数の量子暗号通信装置10-2が接続されている場合、決定部25は、それぞれの量子暗号通信装置10-2により生成される乱数の生成速度に基づいて、それぞれの量子暗号通信装置10-2により生成される乱数を、暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定してもよい。例えば、決定部25は、乱数の生成速度がより速い量子暗号通信装置10-2の乱数を、より多く暗号データ通信先毎のグローバル鍵用乱数に配分するようにしてもよい。
【0119】
また例えば、決定部25は、鍵管理装置(KM)20-2と接続されるアプリケーションからの要求によって、暗号データ通信先毎のグローバル鍵用乱数に配分する乱数の割合を決定してもよい。アプリケーションからの要求は、例えば、暗号データ通信先毎のグローバル鍵102の使用頻度等に応じて要求される暗号データ通信先毎のグローバル鍵102の生成比率等の情報を含む。
【0120】
また、決定部25は、ローカル鍵101を、暗号化用のローカル鍵、及び、復号用のローカル鍵に配分する割合も決定する。
【0121】
配分部26は、乱数の配分の割合に基づいて、乱数を、暗号データ通信先毎のグローバル鍵用乱数に配分する。また、配分部26は、ローカル鍵101の配分の割合に基づいて、ローカル鍵101を、暗号化用のローカル鍵、及び、復号用のローカル鍵に配分する。
【0122】
乱数受取部28は、量子暗号通信装置10-2から提供される乱数を受け取り、当該乱数をグローバル鍵生成部27に入力する。
【0123】
グローバル鍵生成部27は、量子暗号通信装置10-2から提供された乱数からグローバル鍵102を生成する。
【0124】
上記の機能構成によって、第2実施形態の量子暗号通信装置10-2は、KM20-2に乱数を提供できるようにする。また、第2実施形態のKM20-2は、量子暗号通信装置10-2から乱数を受け取れるようにする。
【0125】
[グローバル鍵の生成方法の例]
図12は第2実施形態のグローバル鍵102の生成方法の例を示す図である。量子暗号通信装置10-2Aで生成されたローカル鍵101はKM20-2Xへ送られ、量子暗号通信装置10-2Bで生成されたローカル鍵101はKM20-2Yへ送られる。
図12は第2実施形態のグローバル鍵102の生成方法の例を示す図である。量子暗号通信装置10-2Aで生成されたローカル鍵101はKM20-2Xへ送られ、量子暗号通信装置10-2Bで生成されたローカル鍵101はKM20-2Yへ送られる。
【0126】
KM20-2Xは、量子暗号通信装置10-2Aから受け取ったローカル鍵101を、ローカル鍵101(暗号化1用)及びローカル鍵101(復号1用)に振り分ける。
【0127】
KM20-2Yは、量子暗号通信装置10-2Bから受け取ったローカル鍵101を、ローカル鍵101(復号1用)及びローカル鍵101(暗号化1用)に振り分ける。
【0128】
同様に、量子暗号通信装置10-2Cで生成されたローカル鍵101は、KM20-2Yへ送られ、量子暗号通信装置10-2Dで生成されたローカル鍵101はKM20-2Zへ送られる。
【0129】
KM20-2Yは、量子暗号通信装置10-2Cから受け取ったローカル鍵101を、ローカル鍵101(暗号化2用)及びローカル鍵101(復号2用)に振り分ける。
【0130】
KM20-2Zは、量子暗号通信装置10-2Dから受け取ったローカル鍵101を、ローカル鍵101(復号2用)及びローカル鍵101(暗号化2用)に振り分ける。
【0131】
KM20-2Xは、量子暗号通信装置10-2Aから提供される乱数を受け取り、KM20-2Yと共有されるグローバル鍵XYと、KM20-2Zと共有されるグローバル鍵XZを生成する。
【0132】
KM20-2Xは、KM20-2Xで生成されたグローバル鍵XYを、上述の図6の転送方法で、KM20-2Yに転送する。さらに、KM20-2Xは、KM20-2Xで生成されたグローバル鍵XZを、上述の図6の転送方法で、KM20-2Zに転送する。
【0133】
KM20-2Yは、同様に、量子暗号通信装置10-2Bから提供される乱数を受け取り、KM20-2Xと共有されるグローバル鍵YXと、KM20-2Zと共有されるグローバル鍵YZを生成する。ここで、KM20-2Yは、量子暗号通信装置10-2Cから提供される乱数を用いて、グローバル鍵YX及びYZを生成してもよい。
【0134】
KM20-2Yは、KM20-2Yで生成されたグローバル鍵YXを、上述の図6の転送方法で、KM20-2Xに転送する。さらに、KM20-2Yは、KM20-2Yで生成されたグローバル鍵YZを、上述の図6の転送方法で、KM20-2Zに転送する。
【0135】
KM20-2Zも、同様に、量子暗号通信装置10-2Dから提供される乱数を受け取り、KM20-2Xと共有されるグローバル鍵ZXと、KM20-2Yと共有されるグローバル鍵ZYを生成する。
【0136】
KM20-2Zは、KM20-2Zで生成されたグローバル鍵ZXを、上述の図6の転送方法で、KM20-2Xに転送する。さらに、KM20-2Zは、KM20-2Zで生成されたグローバル鍵ZYを、上述の図6の転送方法で、KM20-2Yに転送する。
【0137】
以上、説明したように、第2実施形態では、量子暗号通信装置10-2が、ローカル鍵101ではなく、量子暗号通信装置10-2で生成された乱数を、鍵管理装置(KM)20-2に提供する。そして、鍵管理装置(KM)20-2は、量子暗号通信装置10-2から提供された乱数を用いてグローバル鍵102を生成して、各ノード1間でグローバル鍵102を共有する。これにより、鍵管理装置(KM)20-2に乱数生成器がないシステム構成においても、グローバル鍵102の共有が可能となる。
【0138】
なお、鍵共有ネットワーク(QKDネットワーク)110に含まれる全ての鍵管理装置(KM)20-2で第2実施形態の方式を用いなくてもよい。すなわち、一部の鍵管理装置(KM)20-2では第1実施形態の方式を用いたり、一部の鍵管理装置(KM)20-2では、グローバル鍵102の生成に用いられる乱数生成器が備えられていたりしてもよい。
【0139】
(第3実施形態)
次に第3実施形態について説明する。第3実施形態の説明では、第1実施形態と同様の説明については省略し、第1実施形態と異なる箇所について説明する。第3実施形態では、制御装置が、量子暗号通信装置10及び鍵管理装置(KM)20でのローカル鍵101の配分の割合を決定する点が、第1実施形態とは異なる。
次に第3実施形態について説明する。第3実施形態の説明では、第1実施形態と同様の説明については省略し、第1実施形態と異なる箇所について説明する。第3実施形態では、制御装置が、量子暗号通信装置10及び鍵管理装置(KM)20でのローカル鍵101の配分の割合を決定する点が、第1実施形態とは異なる。
【0140】
[機能構成の例]
図13は第3実施形態の制御装置30の機能構成の例を示す図である。第3実施形態の制御装置30は、通信部31及び決定部32を備える。
図13は第3実施形態の制御装置30の機能構成の例を示す図である。第3実施形態の制御装置30は、通信部31及び決定部32を備える。
【0141】
通信部31は、量子暗号通信装置10及び鍵管理装置(KM)20と通信する。通信部31は、ローカル鍵101の配分の割合を示す通知を、量子暗号通信装置10及び鍵管理装置(KM)20に送信する。
【0142】
決定部32は、ローカル鍵101を、暗号用のローカル鍵101、復号用のローカル鍵101、及び、暗号データ通信先毎のグローバル鍵用乱数に配分する割合を決定する。
【0143】
図14は第3実施形態のローカル鍵の配分の割合の決定方法の例を示す図である。図14の例では、制御装置30が、量子暗号通信装置10-A~10-D、及び、鍵管理装置(KM)20-X~20-Zに、ローカル鍵101の配分の割合を示す通知を送信する。
【0144】
第3実施形態によれば、各量子暗号通信装置10、及び、各鍵管理装置(KM)20におけるローカル鍵101の配分の割合を、制御装置30によって一元管理することができる。
【0145】
最後に、第1乃至第3実施形態の量子暗号通信装置10(10-2)、及び、鍵管理装置20(20-2)のハードウェア構成の例について説明する。
【0146】
[ハードウェア構成の例]
図15は第1乃至第3実施形態の量子暗号通信装置10(10-2)のハードウェア構成の例を示す図である。量子暗号通信装置10は、プロセッサ201、主記憶装置202、補助記憶装置203、表示装置204、入力装置205、量子通信IF206及び古典通信IF207を備える。プロセッサ201、主記憶装置202、補助記憶装置203、表示装置204、入力装置205、量子通信IF206及び古典通信IF207は、バス210を介して接続されている。
図15は第1乃至第3実施形態の量子暗号通信装置10(10-2)のハードウェア構成の例を示す図である。量子暗号通信装置10は、プロセッサ201、主記憶装置202、補助記憶装置203、表示装置204、入力装置205、量子通信IF206及び古典通信IF207を備える。プロセッサ201、主記憶装置202、補助記憶装置203、表示装置204、入力装置205、量子通信IF206及び古典通信IF207は、バス210を介して接続されている。
【0147】
プロセッサ201は、補助記憶装置203から主記憶装置202に読み出されたプログラムを実行する。主記憶装置202は、ROM(Read Only Memory)及びRAM(Random Access Memory)等のメモリである。補助記憶装置203は、HDD(Hard Disk Drive)及びメモリカード等である。
【0148】
表示装置204は、量子暗号通信装置10の状態等を表示する。入力装置205はユーザーからの入力を受け付ける。なお、量子暗号通信装置10は、表示装置204及び入力装置205を備えていなくてもよい。
【0149】
量子通信IF206は、量子暗号通信路(光ファイバーリンク)に接続するためのインターフェースである。古典通信IF207は、QKDの制御信号通信路、及び、鍵管理装置20等に接続するためのインターフェースである。量子暗号通信装置10が表示装置204及び入力装置205を備えていない場合は、例えば古典通信IF207を介して接続された外部端末の表示機能及び入力機能を利用してもよい。
【0150】
図16は第1乃至第3実施形態の鍵管理装置20(20-2)のハードウェア構成の例を示す図である。鍵管理装置20は、プロセッサ301、主記憶装置302、補助記憶装置303、表示装置304、入力装置305及び通信IF306を備える。プロセッサ301、主記憶装置302、補助記憶装置303、表示装置304、入力装置305及び通信IF306は、バス310を介して接続されている。
【0151】
プロセッサ301は、補助記憶装置303から主記憶装置302に読み出されたプログラムを実行する。主記憶装置302は、ROM及びRAM等のメモリである。補助記憶装置303は、HDD及びメモリカード等である。
【0152】
表示装置304は、鍵管理装置20の状態等を表示する。入力装置305はユーザーからの入力を受け付ける。なお、鍵管理装置20は、表示装置304及び入力装置305を備えていなくてもよい。
通信IF306は、量子暗号通信装置10、鍵管理装置20、及び、アプリケーション等に接続するためのインターフェースである。鍵管理装置20が表示装置304及び入力装置305を備えていない場合は、例えば通信IF306を介して接続された外部端末の表示機能及び入力機能を利用してもよい。
通信IF306は、量子暗号通信装置10、鍵管理装置20、及び、アプリケーション等に接続するためのインターフェースである。鍵管理装置20が表示装置304及び入力装置305を備えていない場合は、例えば通信IF306を介して接続された外部端末の表示機能及び入力機能を利用してもよい。
【0153】
量子暗号通信装置10及び鍵管理装置20で実行されるプログラムは、インストール可能な形式又は実行可能な形式のファイルでCD-ROM、メモリカード、CD-R、及び、DVD(Digital Versatile Disc)等のコンピュータで読み取り可能な記憶媒体に記憶されてコンピュータ・プログラム・プロダクトとして提供される。
【0154】
また、量子暗号通信装置10及び鍵管理装置20で実行されるプログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成してもよい。
【0155】
また、量子暗号通信装置10及び鍵管理装置20が実行するプログラムを、ダウンロードさせずにインターネット等のネットワーク経由で提供するように構成してもよい。
【0156】
また、量子暗号通信装置10及び鍵管理装置20で実行されるプログラムを、ROM等に予め組み込んで提供するように構成してもよい。
【0157】
量子暗号通信装置10(10-2)で実行されるプログラムは、上述の量子暗号通信装置10(10-2)の機能構成のうち、プログラムにより実現可能な機能を含むモジュール構成となっている。プログラムにより実現される機能は、プロセッサ201が補助記憶装置203等の記憶媒体からプログラムを読み出して実行することにより、主記憶装置202にロードされる。すなわちプログラムにより実現される機能は、主記憶装置202上に生成される。
【0158】
また、鍵管理装置20(20-2)で実行されるプログラムは、上述の鍵管理装置20(20-2)の機能構成のうち、プログラムにより実現可能な機能を含むモジュール構成となっている。プログラムにより実現される機能は、プロセッサ301が補助記憶装置303等の記憶媒体からプログラムを読み出して実行することにより、主記憶装置302にロードされる。すなわちプログラムにより実現される機能は、主記憶装置302上に生成される。
【0159】
なお、量子暗号通信装置10及び鍵管理装置20の機能の一部又は全部を、IC(Integrated Circuit)等のハードウェアにより実現してもよい。ICは、例えば専用の処理を実行するプロセッサである。
【0160】
また、複数のプロセッサを用いて各機能を実現する場合、各プロセッサは、各機能のうち1つを実現してもよいし、各機能のうち2つ以上を実現してもよい。
【0161】
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【符号の説明】
【0162】
1 ノード
10 量子暗号通信装置
11 通信部
12 ローカル鍵生成部
13 ローカル鍵提供部
14 決定部
15 配分部
16 乱数提供部
20 鍵管理装置(KM)
21 ローカル鍵受取部
22 通信部
23 記憶部
24 グローバル鍵提供部
25 決定部
26 配分部
27 グローバル鍵生成部
28 乱数受取部
30 制御装置
31 通信部
32 決定部
100 量子暗号通信システム
110 鍵共有ネットワーク(QKDネットワーク)
120 暗号データ通信ネットワーク
201 プロセッサ
202 主記憶装置
203 補助記憶装置
204 表示装置
205 入力装置
206 量子通信IF
207 古典通信IF
210 バス
301 プロセッサ
302 主記憶装置
303 補助記憶装置
304 表示装置
305 入力装置
306 通信IF
310 バス
10 量子暗号通信装置
11 通信部
12 ローカル鍵生成部
13 ローカル鍵提供部
14 決定部
15 配分部
16 乱数提供部
20 鍵管理装置(KM)
21 ローカル鍵受取部
22 通信部
23 記憶部
24 グローバル鍵提供部
25 決定部
26 配分部
27 グローバル鍵生成部
28 乱数受取部
30 制御装置
31 通信部
32 決定部
100 量子暗号通信システム
110 鍵共有ネットワーク(QKDネットワーク)
120 暗号データ通信ネットワーク
201 プロセッサ
202 主記憶装置
203 補助記憶装置
204 表示装置
205 入力装置
206 量子通信IF
207 古典通信IF
210 バス
301 プロセッサ
302 主記憶装置
303 補助記憶装置
304 表示装置
305 入力装置
306 通信IF
310 バス
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】