知財求人 - 知財ポータルサイト「IP Force」
▶ コリア インスティテュート オブ サイエンス アンド テクノロジー インフォメーションの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2024-08-01
(45)【発行日】2024-08-09
(54)【発明の名称】量子鍵管理装置及び量子鍵管理方法
(51)【国際特許分類】
H04L 9/12 20060101AFI20240802BHJP
【FI】
H04L9/12
【請求項の数】
14
(21)【出願番号】P 2023201566
(22)【出願日】2023-11-29
【審査請求日】2023-11-29
(31)【優先権主張番号】10-2023-0046847
(32)【優先日】2023-04-10
(33)【優先権主張国・地域又は機関】KR
(73)【特許権者】
【識別番号】522414774
【氏名又は名称】コリア インスティテュート オブ サイエンス アンド テクノロジー インフォメーション
(74)【代理人】
【識別番号】110000855
【氏名又は名称】弁理士法人浅村特許事務所
(72)【発明者】
【氏名】イ、チャン キョン
(72)【発明者】
【氏名】キム、ヨン ファン
(72)【発明者】
【氏名】シム、キョ ソク
(72)【発明者】
【氏名】イ、ウォン ヒョク
【審査官】平井 誠
(56)【参考文献】
【文献】特開2015-142339(JP,A)
【文献】特開2010-041387(JP,A)
【文献】特表2020-501413(JP,A)
【文献】米国特許出願公開第2017/0237559(US,A1)
【文献】韓国公開特許第2022-0049197(KR,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/12
(57)【特許請求の範囲】
【請求項1】
量子鍵管理層の鍵管理ノード対間で共有される量子鍵の分類であるクラスの個数、及び各クラスに分類される量子鍵の長さを決定する決定部;及び量子鍵配送層の隣り合う量子鍵配送ノードと共有された量子鍵ストリームが鍵管理ノードに入力されると、入力された量子鍵ストリームをクラス別の量子鍵の長さに分けて割り当てる割り当て部;を含むことを特徴とする量子鍵管理装置。
【請求項2】
上記装置は、各クラス別にエンドツーエンド鍵管理ノード対を選択し、選択されたエンドツーエンド鍵管理ノード対に対して出発ノードと到着ノードとの間に中間ノードが存在する場合、出発ノードと中間ノードとの間の量子鍵と、中間ノードと到着ノードとの間の量子鍵とをリレーして量子鍵を再生成する更新部をさらに含むことを特徴とする請求項1に記載の量子鍵管理装置。
【請求項3】
上記決定部は、サービス層のサービス発生率と量子鍵配送層の量子鍵生成率を基に、各クラス別の量子鍵の個数が閾値以上である条件を全て満たす個数にクラスを決定することを特徴とする請求項1に記載の量子鍵管理装置。
【請求項4】
上記決定部は、サービス層で暗号化が要求されるサービスデータの大きさ分布に対してクラスをマッチングさせ、各クラス別にマッチングされた大きさ分布のサービスデータを暗号化するのに必要な量子ビットの個数に量子鍵の長さを異なるように決定することを特徴とする請求項1に記載の量子鍵管理装置。
【請求項5】
上記割り当て部は、鍵管理ノード対間で共有される各クラス別の量子鍵の現況に基づいて、量子鍵個数が最も少ない特定クラスに量子鍵を割り当てることを特徴とする請求項1に記載の量子鍵管理装置。
【請求項6】
上記更新部は、出発ノードと中間ノードとの間の量子鍵個数と、出発ノードと目的ノードとの間の量子鍵個数とを基に、中間ノードと目的ノードとの間の量子鍵個数と、出発ノードと目的ノードとの間の量子鍵個数との差を最大化することができるエンドツーエンド鍵管理ノード対を選択することを特徴とする請求項2に記載の量子鍵管理装置。
【請求項7】
量子鍵管理装置で遂行される量子鍵管理方法において、量子鍵管理層の鍵管理ノード対間で共有される量子鍵の分類であるクラスの個数、及び各クラスに分類される量子鍵の長さを決定する決定段階;及び
量子鍵配送層の隣り合う量子鍵配送ノードと共有された量子鍵ストリームが鍵管理ノードに入力されると、入力された量子鍵ストリームをクラス別の量子鍵の長さに分けて割り当てる割り当て段階;を含むことを特徴とする量子鍵管理方法。
【請求項8】
上記方法は、各クラス別にエンドツーエンド鍵管理ノード対を選択し、選択されたエンドツーエンド鍵管理ノード対に対して出発ノードと到着ノードとの間に中間ノードが存在する場合、出発ノードと中間ノードとの間の量子鍵と、中間ノードと到着ノードとの間の量子鍵とをリレーして量子鍵を再生成する更新段階をさらに含むことを特徴とする請求項7に記載の量子鍵管理方法。
【請求項9】
上記決定段階は、サービス層のサービス発生率と量子鍵配送層の量子鍵生成率を基に、各クラス別の量子鍵の個数が閾値以上である条件を全て満たす個数にクラスを決定することを特徴とする請求項7に記載の量子鍵管理方法。
【請求項10】
上記決定段階は、サービス層で暗号化が要求されるサービスデータの大きさ分布に対してクラスをマッチングさせ、各クラス別にマッチングされた大きさ分布のサービスデータを暗号化するのに必要な量子ビットの個数に量子鍵の長さを異なるように決定することを特徴とする請求項7に記載の量子鍵管理方法。
【請求項11】
上記割り当て段階は、鍵管理ノード対間で共有される各クラス別の量子鍵の現況に基づいて、量子鍵個数が最も少ない特定クラスに量子鍵を割り当てることを特徴とする請求項7に記載の量子鍵管理方法。
【請求項12】
上記更新段階は、出発ノードと中間ノードとの間の量子鍵個数と、出発ノードと目的ノードとの間の量子鍵個数とを基に、中間ノードと目的ノードとの間の量子鍵個数と、出発ノードと目的ノードとの間の量子鍵個数との差を最大化することができるエンドツーエンド鍵管理ノード対を選択することを特徴とする請求項8に記載の量子鍵管理方法。
【請求項13】
請求項7乃至請求項12のうちいずれか一項の方法を実行させるためのプログラムを記録したコンピュータ読取可能記録媒体。
【請求項14】
ハードウェアと結合され、請求項7乃至請求項12のうちいずれか一項の方法を実行させるために媒体に保存されたコンピュータプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、量子暗号通信ネットワークで量子鍵長さ単位の多重クラス量子鍵を管理及び運営するための方法に関するものである。
【背景技術】
【0002】
量子暗号通信は、量子(Quantum)の量子力学特性を通信に活用して、盗聴者から安全な通信を達成することができる。
このような、量子暗号通信において、量子鍵配送(QKD:Quantum Key Distribution)技術は、量子情報を使用者間で配送、共有してこれをデータ暗号化のための鍵として使用する。
このような、量子暗号通信において、量子鍵配送(QKD:Quantum Key Distribution)技術は、量子情報を使用者間で配送、共有してこれをデータ暗号化のための鍵として使用する。
【0003】
このために、量子鍵配送(QKD)技術が活用される量子暗号通信ネットワークは、隣接したノード対間で量子鍵を配送して共有する量子鍵配送層、量子鍵配送層から量子鍵ストリームの伝達を受けて、これを保存及びリレーする量子鍵管理層、そして、量子鍵管理層から鍵の伝達を受けてネットワークサービス暗号化に適用するサービス層で構成される。
【0004】
量子鍵管理層の鍵管理(KM)ノードでは量子鍵配送(QKD)ノードから伝達された量子鍵ストリームを任意の大きさ(長さ)単位に切って、これを各鍵管理(KM)ノードの量子鍵プール(Key pool)に保存することができる。
これに基づいて、量子鍵管理層の各鍵管理(KM)ノードは、該当鍵管理(KM)ノードと連結されたサービス層のサービス(Service)ノードの要請に従ってサービス鍵を伝達することができ、該当サービス鍵はサービス(Service)ノードで発生する通信サービスのための暗号鍵として活用されることができる。
これに基づいて、量子鍵管理層の各鍵管理(KM)ノードは、該当鍵管理(KM)ノードと連結されたサービス層のサービス(Service)ノードの要請に従ってサービス鍵を伝達することができ、該当サービス鍵はサービス(Service)ノードで発生する通信サービスのための暗号鍵として活用されることができる。
【0005】
一方、サービス層で暗号化が必要なサービスデータの大きさは多様に発生し得る。
したがって、量子鍵管理層の鍵管理(KM)ノードで量子鍵ストリームを同一の長さに切って保存する場合、非常に小さいデータに不要に長い量子鍵が消耗されるなど量子鍵リソースが無駄使いされる場合が発生することになる。
特に、隣接した近距離量子鍵を組み合わせてエンドツーエンド(End-to-End)長距離量子鍵を構成する量子鍵管理層では量子鍵の長さを考慮した鍵の組み合わせが要求される。
したがって、量子鍵管理層の鍵管理(KM)ノードで量子鍵ストリームを同一の長さに切って保存する場合、非常に小さいデータに不要に長い量子鍵が消耗されるなど量子鍵リソースが無駄使いされる場合が発生することになる。
特に、隣接した近距離量子鍵を組み合わせてエンドツーエンド(End-to-End)長距離量子鍵を構成する量子鍵管理層では量子鍵の長さを考慮した鍵の組み合わせが要求される。
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明は、上記の事情に鑑みて創出されたものであり、本発明で到逹しようとする目的は、量子暗号通信ネットワークで量子鍵長さ単位の多重クラスの量子鍵をネットワーク状況に応じて適応的に管理及び運営することにある。
【課題を解決するための手段】
【0007】
上記目的を達成するための本発明の一実施例による量子鍵管理装置は、量子鍵管理層の鍵管理(KM:Key Management)ノード対間で共有される量子鍵の分類であるクラスの個数、及び各クラスに分類される量子鍵の長さを決定する決定部;及び、量子鍵配送層の隣り合う量子鍵配送(QKD:Quantum Key Distribution)ノードと共有された量子鍵ストリームが鍵管理ノードに入力されると、入力された量子鍵ストリームをクラス別の量子鍵の長さに分けて割り当てる割り当て部;を含むことを特徴とする。
【0008】
具体的には、上記装置は、各クラス別にエンドツーエンド(End-to-End)鍵管理ノード対を選択し、選択されたエンドツーエンド鍵管理ノード対に対して出発ノードと到着ノードとの間に中間ノードが存在する場合、出発ノードと中間ノードとの間の量子鍵と、中間ノードと到着ノードとの間の量子鍵とをリレーして量子鍵を再生成する更新部をさらに含むことができる。
【0009】
具体的に、上記決定部は、サービス層のサービス発生率と量子鍵配送層の量子鍵生成率を基に、各クラス別の量子鍵の個数が閾値以上である条件を全て満たす個数にクラスを決定することができる。
具体的に、上記決定部は、サービス層で暗号化が要求されるサービスデータの大きさ分布に対してクラスをマッチングさせ、各クラス別にマッチングされた大きさ分布のサービスデータを暗号化するのに必要な量子ビットの個数に量子鍵の長さを異なるように決定することができる。
具体的に、上記決定部は、サービス層で暗号化が要求されるサービスデータの大きさ分布に対してクラスをマッチングさせ、各クラス別にマッチングされた大きさ分布のサービスデータを暗号化するのに必要な量子ビットの個数に量子鍵の長さを異なるように決定することができる。
【0010】
具体的に、上記割り当て部は、鍵管理ノード対間で共有される各クラス別の量子鍵の現況に基づいて、量子鍵個数が最も少ない特定クラスに量子鍵を割り当てることができる。
具体的に、上記更新部は、出発ノードと中間ノードとの間の量子鍵個数と、出発ノードと目的ノードとの間の量子鍵個数とを基に、中間ノードと目的ノードとの間の量子鍵個数と、出発ノードと目的ノードとの間の量子鍵個数との差を最大化することができるエンドツーエンド鍵管理ノード対を選択することができる。
具体的に、上記更新部は、出発ノードと中間ノードとの間の量子鍵個数と、出発ノードと目的ノードとの間の量子鍵個数とを基に、中間ノードと目的ノードとの間の量子鍵個数と、出発ノードと目的ノードとの間の量子鍵個数との差を最大化することができるエンドツーエンド鍵管理ノード対を選択することができる。
【0011】
上記目的を達成するための本発明の一実施例による量子鍵管理装置で遂行される量子鍵管理方法は、量子鍵管理層の鍵管理(KM:Key Management)ノード対間で共有される量子鍵の分類であるクラスの個数、及び各クラスに分類される量子鍵の長さを決定する決定段階;及び、量子鍵配送層の隣り合う量子鍵配送(QKD:Quantum Key Distribution)ノードと共有された量子鍵ストリームが鍵管理ノードに入力されれば、入力された量子鍵ストリームをクラス別の量子鍵の長さに分けて割り当てる割り当て段階;を含むことができる。
【0012】
具体的に、上記方法は、各クラス別にエンドツーエンド(End-to-End)鍵管理ノード対を選択し、選択されたエンドツーエンド鍵管理ノード対に対して出発ノードと到着ノードとの間に中間ノードが存在する場合、出発ノードと中間ノードとの間の量子鍵と、中間ノードと到着ノードとの間の量子鍵とをリレーして量子鍵を再生成する更新段階をさらに含むことができる。
【0013】
具体的に、上記決定段階は、サービス層のサービス発生率と量子鍵配送層の量子鍵生成率を基に、各クラス別の量子鍵の個数が閾値以上である条件を全て満たす個数にクラスを決定することができる。
具体的に、上記決定段階は、サービス層で暗号化が要求されるサービスデータの大きさ分布に対してクラスをマッチングさせ、各クラス別にマッチングされた大きさ分布のサービスデータを暗号化するのに必要な量子ビットの個数に量子鍵の長さを異なるように決定することができる。
具体的に、上記決定段階は、サービス層で暗号化が要求されるサービスデータの大きさ分布に対してクラスをマッチングさせ、各クラス別にマッチングされた大きさ分布のサービスデータを暗号化するのに必要な量子ビットの個数に量子鍵の長さを異なるように決定することができる。
【0014】
具体的に、上記割り当て段階は、鍵管理ノード対間で共有される各クラス別の量子鍵の現況に基づいて、量子鍵個数が最も少ない特定クラスに量子鍵を割り当てることができる。
具体的に、上記更新段階は、出発ノードと中間ノードとの間の量子鍵個数と、出発ノードと目的ノードとの間の量子鍵個数とを基に、中間ノードと目的ノードとの間の量子鍵個数と、出発ノードと目的ノードとの間の量子鍵個数との差を最大化することができるエンドツーエンド鍵管理ノード対を選択することができる。
具体的に、上記更新段階は、出発ノードと中間ノードとの間の量子鍵個数と、出発ノードと目的ノードとの間の量子鍵個数とを基に、中間ノードと目的ノードとの間の量子鍵個数と、出発ノードと目的ノードとの間の量子鍵個数との差を最大化することができるエンドツーエンド鍵管理ノード対を選択することができる。
【発明の効果】
【0015】
よって、本発明の量子鍵管理装置及び量子鍵管理方法では、量子暗号通信ネットワークで量子鍵長さ単位である多重クラス量子鍵をネットワーク状況に応じて適応的に管理及び運営することにより、量子暗号通信ネットワークのリソース効率性能を向上させることができる。
【図面の簡単な説明】
【0016】
【図1】本発明の一実施例による量子暗号通信ネットワークを説明するための例示図である。
【図2】本発明の一実施例による量子鍵管理形態を説明するための例示図である。
【図3】本発明の一実施例による量子鍵管理装置を説明するための構成図である。
【図4】本発明の一実施例による多重クラス基盤の量子鍵リレーアルゴリズムを説明するための例示図である。
【図5】本発明の一実施例による量子鍵管理方法を説明するためのフローチャートである。
【発明を実施するための形態】
【0017】
以下、添付図面を参照して本発明の望ましい実施例について説明する。
本発明の一実施例では、量子(Quantum)の量子力学特性を通信に活用して、盗聴者から安全な通信を達成する量子暗号通信に関する技術を扱う。
本発明の一実施例では、量子(Quantum)の量子力学特性を通信に活用して、盗聴者から安全な通信を達成する量子暗号通信に関する技術を扱う。
【0018】
量子暗号通信において、量子鍵配送(QKD:Quantum Key Distribution)技術は、量子情報を使用者間で配送、共有して、これをデータ暗号化のための鍵として使うことができる。
これに関して、図1では、本発明の一実施例による量子暗号通信ネットワークを例示的に示している。
これに関して、図1では、本発明の一実施例による量子暗号通信ネットワークを例示的に示している。
【0019】
図1に示されているように、本発明の一実施例による量子暗号通信ネットワークは、隣接したノード対間で量子鍵を配送して共有する量子鍵配送層、量子鍵配送層から量子鍵ストリームの伝達を受けてこれを保存及びリレーする量子鍵管理層、そして、量子鍵管理層から鍵の伝達を受けてネットワークサービス暗号化に適用するサービス層で構成される。
量子鍵配送層は、量子鍵配送(QKD)ノードと量子鍵配送(QKD)ノードを連結するリンクとで構成される。
量子鍵配送層は、量子鍵配送(QKD)ノードと量子鍵配送(QKD)ノードを連結するリンクとで構成される。
【0020】
このようにリンクを介して互いに連結された一対の2量子鍵配送(QKD)ノードは、量子鍵配送技術を通して量子情報を配送、及び共有し、このように共有された量子情報はデジタル情報に変換された後、量子鍵管理層の鍵管理(KM:Key manager)ノードに伝達される。
各量子鍵配送(QKD)ノードは、該当する(同一インデックス)鍵管理(KM)ノードと連結されており、これを通して量子鍵情報が伝達される。
各量子鍵配送(QKD)ノードは、該当する(同一インデックス)鍵管理(KM)ノードと連結されており、これを通して量子鍵情報が伝達される。
【0021】
これに関連して、鍵管理(KM)ノードと量子鍵配送(QKD)ノードは同一サーバー
ラックに敷設され、短いインターフェースを介して互いに連結されることができる。
量子鍵管理層の鍵管理(KM)ノードでは量子鍵配送(QKD)ノードから伝達された量子鍵ストリームを任意の大きさ(長さ)単位に切って、これを各鍵管理(KM)ノードの量子鍵プール(Key pool)に保存することができる。
ラックに敷設され、短いインターフェースを介して互いに連結されることができる。
量子鍵管理層の鍵管理(KM)ノードでは量子鍵配送(QKD)ノードから伝達された量子鍵ストリームを任意の大きさ(長さ)単位に切って、これを各鍵管理(KM)ノードの量子鍵プール(Key pool)に保存することができる。
【0022】
これを通して、量子鍵管理層の各鍵管理(KM)ノードは、該当鍵管理(KM)ノードと連結されたサービス層のサービス(Service)ノードの要請に従ってサービス鍵を伝達することができ、該当サービス鍵はサービス(Service)ノードで発生する通信サービスのための暗号鍵として活用されることができる。
【0023】
一方、サービス層で暗号化が必要なサービスデータの大きさは多様に発生し得る。
したがって、量子鍵管理層の鍵管理(KM)ノードで量子鍵ストリームを同一の長さに切って保存する場合、非常に小さいデータに不要に長い量子鍵が消耗されるなど量子鍵リソースが無駄使いされる場合が発生することになる。
特に、隣接した近距離量子鍵を組み合わせてエンドツーエンド(End-to-End)長距離量子鍵を構成する量子鍵管理層では量子鍵の長さを考慮した鍵の組み合わせが要求される。
したがって、量子鍵管理層の鍵管理(KM)ノードで量子鍵ストリームを同一の長さに切って保存する場合、非常に小さいデータに不要に長い量子鍵が消耗されるなど量子鍵リソースが無駄使いされる場合が発生することになる。
特に、隣接した近距離量子鍵を組み合わせてエンドツーエンド(End-to-End)長距離量子鍵を構成する量子鍵管理層では量子鍵の長さを考慮した鍵の組み合わせが要求される。
【0024】
このように、サービス層で暗号化が要求されるサービスデータの大きさは多様に発生し得るため、これに合わせてデータを暗号化するのに消耗される量子鍵の大きさ(長さ)を多様に構成することは、制限された量子リソースを効率的に消耗して量子暗号通信ネットワークの性能を向上させることができる必須の方法と見ることができる。
したがって、本発明の一実施例による量子鍵管理層内の鍵管理(KM)ノードは、ネットワーク環境に応じて多様な長さの量子鍵を構成及び保存することができる。
したがって、本発明の一実施例による量子鍵管理層内の鍵管理(KM)ノードは、ネットワーク環境に応じて多様な長さの量子鍵を構成及び保存することができる。
【0025】
これに関連して、図2は、本発明の一実施例による量子鍵管理形態を例示的に示している。
図2では、量子暗号通信ネットワークの構成要素をインデックス化した場合を仮定し、n番目量子鍵配送(QKD)ノード(QKD(n))、n番目鍵管理(KM)ノード(KM(n))、そしてn番目サービスノード(Service(n))で構成されたノードを例示的に示している。
上記の例でQKD(n)は隣り合う量子鍵配送(QKD)ノードと共有した量子鍵ストリームをKM(n)に伝達し、KM(n)は、QKD(n)から伝達された量子鍵ストリームを計c個の長さを有する鍵に分けて、これを鍵プール(量子鍵pool)に保存する。
図2では、量子暗号通信ネットワークの構成要素をインデックス化した場合を仮定し、n番目量子鍵配送(QKD)ノード(QKD(n))、n番目鍵管理(KM)ノード(KM(n))、そしてn番目サービスノード(Service(n))で構成されたノードを例示的に示している。
上記の例でQKD(n)は隣り合う量子鍵配送(QKD)ノードと共有した量子鍵ストリームをKM(n)に伝達し、KM(n)は、QKD(n)から伝達された量子鍵ストリームを計c個の長さを有する鍵に分けて、これを鍵プール(量子鍵pool)に保存する。
【0026】
本発明の一実施例では、長さが同一の鍵を同一のクラスの鍵と定義し、量子鍵管理層の鍵管理(KM)ノードはaからmまでインデキシングされたと仮定する。
また、本発明の一実施例では
を鍵管理(KM)ノードnと鍵管理(KM)ノードaとの間で共有しているクラスiの集合と称し、Ki(n,a)は鍵管理(KM)ノードnと鍵管理(KM)ノードaとの間で共有しているクラスiの量子鍵個数と称する。
すなわち、Ki(n,a)は
で計算されることができる。
また、本発明の一実施例では
すなわち、Ki(n,a)は
【0027】
したがって、鍵管理(KM)ノードnの鍵プール(量子鍵pool)は、該当鍵管理(KM)ノードnが、量子鍵管理層のすべての他の鍵管理(KM)ノードと共有している計cクラス分の量子鍵情報を保存する装置を示す。
参考として、図2を参照した上記例では説明の便宜のために二次元量子鍵の保存構造を図式化したが、発明の具現はこれに制限されず、また、クラス1の量子鍵を16byte長さを有する量子鍵の集合として、クラスcの量子鍵を1byte長さを有する量子鍵の集合として例を挙げたが、これもこれに制限されないのは勿論のことである。
参考として、図2を参照した上記例では説明の便宜のために二次元量子鍵の保存構造を図式化したが、発明の具現はこれに制限されず、また、クラス1の量子鍵を16byte長さを有する量子鍵の集合として、クラスcの量子鍵を1byte長さを有する量子鍵の集合として例を挙げたが、これもこれに制限されないのは勿論のことである。
【0028】
以上、本発明の一実施例による量子暗号通信ネットワークでは、上述の例示を前提として量子鍵長さ単位である多重クラス量子鍵をネットワーク状況に応じて適応的に管理及び運営することができる。以下、これを実現するための量子鍵管理装置(図示せず)の構成を説明することにする。
ここで、量子鍵管理装置(図示せず)は、量子鍵管理層に位置した鍵管理(KM)ノードを管理及び運用する別途のコントローラ(例:Q controller)の構成であり得るが、これに制限されるものではなく、量子鍵管理層に位置した鍵管理(KM)ノードのうちの一つに指定されるマスターノードであってもよく、鍵管理(KM)ノードそれぞれに該当してもよいのは勿論のことである。
ここで、量子鍵管理装置(図示せず)は、量子鍵管理層に位置した鍵管理(KM)ノードを管理及び運用する別途のコントローラ(例:Q controller)の構成であり得るが、これに制限されるものではなく、量子鍵管理層に位置した鍵管理(KM)ノードのうちの一つに指定されるマスターノードであってもよく、鍵管理(KM)ノードそれぞれに該当してもよいのは勿論のことである。
【0029】
これに関連して、図3では本発明の一実施例による量子鍵管理装置100の構成を示している。
図3に示されているように、本発明の一実施例による量子鍵管理装置100は、クラスに関する情報を決定する決定部110、及び量子鍵を割り当てる割り当て部120を含む構成を有することができる。
図3に示されているように、本発明の一実施例による量子鍵管理装置100は、クラスに関する情報を決定する決定部110、及び量子鍵を割り当てる割り当て部120を含む構成を有することができる。
【0030】
また、本発明の一実施例による量子鍵管理装置100は、上述の構成以外に、量子鍵を再生成する更新部130をさらに含む構成を有することができる。
以上の決定部110、割り当て部120、及び更新部130を含む量子鍵管理装置100の全体構成ないしは少なくとも一部構成は、ハードウェアモジュール形態又はソフトウェアモジュール形態で具現されるか、ハードウェアモジュールとソフトウェアモジュールとが組み合わされた形態で具現されることができる。
以上の決定部110、割り当て部120、及び更新部130を含む量子鍵管理装置100の全体構成ないしは少なくとも一部構成は、ハードウェアモジュール形態又はソフトウェアモジュール形態で具現されるか、ハードウェアモジュールとソフトウェアモジュールとが組み合わされた形態で具現されることができる。
【0031】
ここで、ソフトウェアモジュールとは、例えば、量子鍵管理装置100内で演算を制御するプロセッサによって実行される命令語として理解されることができ、このような命令語は、量子鍵管理装置100内のメモリに搭載された形態を有することができると言える。
【0032】
以上、本発明の一実施例による量子鍵管理装置100は、上述の構成を通して量子鍵長さ単位である多重クラス量子鍵をネットワーク状況に応じて適応的に管理及び運営することができる。以下、これを実現するための量子鍵管理装置100の内部構成について、より具体的な説明を続けることにする。
【0033】
決定部110は、クラスに関する情報を決定する機能を担当する。
より具体的に、決定部110は、量子鍵管理層の鍵管理(KM)ノード対間で共有される量子鍵の分類であるクラスの個数を決定することになる。
このとき、決定部110は、サービス層のサービス発生率と量子鍵配送層の量子鍵生成率を基に、各クラス別の量子鍵の個数が閾値以上である条件を全て満たす個数にクラスを決定することができる。
より具体的に、決定部110は、量子鍵管理層の鍵管理(KM)ノード対間で共有される量子鍵の分類であるクラスの個数を決定することになる。
このとき、決定部110は、サービス層のサービス発生率と量子鍵配送層の量子鍵生成率を基に、各クラス別の量子鍵の個数が閾値以上である条件を全て満たす個数にクラスを決定することができる。
【0034】
例えば、機械学習などの方法を活用して過去のサービス発生率及び量子鍵生成率を通して未来のサービス発生率及び量子鍵生成率を予測することができ、予測された発生率と生成率を基準に、量子鍵管理層のすべての鍵管理(KM)ノードのすべての量子鍵が閾値以上を満たすクラスの個数のうち一つを選択してクラスの数を定義することができる。
すなわち、i<cの条件の下で下記の数式1を満たすcを本システムの量子鍵クラスの総個数として定義することができ、ここで、閾値(Thr1)はネットワーク環境に応じて幅広い選択が動的に可能であることは勿論である。
すなわち、i<cの条件の下で下記の数式1を満たすcを本システムの量子鍵クラスの総個数として定義することができ、ここで、閾値(Thr1)はネットワーク環境に応じて幅広い選択が動的に可能であることは勿論である。
【0035】
【数1】
【0036】
また、決定部110は、量子鍵管理層の鍵管理(KM)ノード対間で共有される量子鍵に対してクラスの個数が決定されると、各クラスに対して量子鍵の長さを決定することになる。
このとき、決定部110は、サービス層で暗号化が要求されるサービスデータの大きさ分布に対してクラスをマッチングさせ、各クラス別にマッチングされた大きさ分布のサービスデータを暗号化するのに必要な量子ビットの個数に量子鍵の長さを異なるように決定することができる。
このとき、決定部110は、サービス層で暗号化が要求されるサービスデータの大きさ分布に対してクラスをマッチングさせ、各クラス別にマッチングされた大きさ分布のサービスデータを暗号化するのに必要な量子ビットの個数に量子鍵の長さを異なるように決定することができる。
【0037】
例えば、クラス1量子鍵の長さは、量子暗号通信サービスデータ大きさ分布の上位a%以上の大きさを有するデータを暗号化するのに必要な長さと定義することができ、クラス2量子鍵の長さは、量子暗号通信サービス対象データ大きさ分布の上位a%未満b%以上の大きさを有するデータを暗号化するのに必要な長さと定義することができる(a<b)。
最後に、クラスc量子鍵の長さは、量子暗号通信サービスデータ大きさ分布の下位x%以下の大きさを有するデータを暗号化するのに必要な長さと定義することができる。
このように、本発明の一実施例では、サービス対象データの大きさ分布を考慮して各クラスに対する量子鍵の長さを決定することにより、量子暗号通信サービスデータの大きさに最適化されたクラスの量子鍵を割り当てることができるため効率的な量子リソース活用が可能である。
最後に、クラスc量子鍵の長さは、量子暗号通信サービスデータ大きさ分布の下位x%以下の大きさを有するデータを暗号化するのに必要な長さと定義することができる。
このように、本発明の一実施例では、サービス対象データの大きさ分布を考慮して各クラスに対する量子鍵の長さを決定することにより、量子暗号通信サービスデータの大きさに最適化されたクラスの量子鍵を割り当てることができるため効率的な量子リソース活用が可能である。
【0038】
割り当て部120は、量子鍵ストリームを分けてクラスに割り当てる機能を担当する。
より具体的には、割り当て部120は、量子鍵配送層の隣り合う量子鍵配送(QKD)ノードと共有された量子鍵ストリームが鍵管理(KM)ノードに入力されると、入力された量子鍵ストリームをクラス別の量子鍵の長さに分けて割り当てることになる。
このとき、割り当て部120は、鍵管理(KM)ノード対間で共有される各クラス別の量子鍵の現況に基づいて、量子鍵個数が最も少ない特定クラスに量子鍵を割り当てることができる。
より具体的には、割り当て部120は、量子鍵配送層の隣り合う量子鍵配送(QKD)ノードと共有された量子鍵ストリームが鍵管理(KM)ノードに入力されると、入力された量子鍵ストリームをクラス別の量子鍵の長さに分けて割り当てることになる。
このとき、割り当て部120は、鍵管理(KM)ノード対間で共有される各クラス別の量子鍵の現況に基づいて、量子鍵個数が最も少ない特定クラスに量子鍵を割り当てることができる。
【0039】
本発明の一実施例によれば、量子鍵分類であるクラスの数及び各クラスの長さが定義された後、量子鍵管理層の鍵管理(KM)ノードでは量子鍵配送層の量子鍵配送(QKD)ノードからリアルタイムで入力された量子鍵ストリームを適切なクラスで保存及び管理しなければならない。
よって、任意の鍵管理(KM)ノードnとmとが共有する各クラスに対する量子鍵割り当てのために、サービス(Service)ノードnとmとの間のサービス発生率、量子鍵配送(QKD)ノードnとmとの間の量子鍵生成率、及び鍵管理(KM)ノードnとmとの間の量子鍵の現況などを全て考慮しているのである。
よって、任意の鍵管理(KM)ノードnとmとが共有する各クラスに対する量子鍵割り当てのために、サービス(Service)ノードnとmとの間のサービス発生率、量子鍵配送(QKD)ノードnとmとの間の量子鍵生成率、及び鍵管理(KM)ノードnとmとの間の量子鍵の現況などを全て考慮しているのである。
【0040】
例えば、量子鍵配送(QKD)ノードnとmとの間で共有された量子鍵ストリームが鍵管理(KM)ノードnに入力されるとき、鍵管理(KM)ノードnは下記の数式2を満たすクラス(i*)に該当する長さに該当量子鍵ストリームを分けて鍵プール
に保存することができる。
【0041】
【数2】
【0042】
上記の数式は、任意の鍵管理(KM)ノード間で共有するすべてのクラスの量子鍵のうち現在の量子鍵個数が最も少ないクラスに量子鍵を割り当て(保存)する方式の一例であり、これに制限されないのは勿論のことである。
【0043】
更新部130は、量子鍵をリレーして再生成する機能を担当する。
より具体的に、更新部130は、各クラス別にエンドツーエンド(End-to-End)鍵管理(KM)ノード対を選択し、選択されたエンドツーエンド鍵管理(KM)ノード対に対して出発ノードと到着ノードとの間に中間ノードが存在する場合、出発ノードと中間ノードとの間の量子鍵と、中間ノードと到着ノードとの間の量子鍵とをリレーして量子鍵を再生成することになる。
より具体的に、更新部130は、各クラス別にエンドツーエンド(End-to-End)鍵管理(KM)ノード対を選択し、選択されたエンドツーエンド鍵管理(KM)ノード対に対して出発ノードと到着ノードとの間に中間ノードが存在する場合、出発ノードと中間ノードとの間の量子鍵と、中間ノードと到着ノードとの間の量子鍵とをリレーして量子鍵を再生成することになる。
【0044】
このとき、更新部130は、出発ノードと中間ノードとの間の量子鍵個数と、出発ノードと目的ノードとの間の量子鍵個数とを基に、中間ノードと目的ノードとの間の量子鍵個数と、出発ノードと目的ノードとの間の量子鍵個数との差を最大化することができるエンドツーエンド鍵管理(KM)ノード対を選択することができる。
【0045】
本発明の一実施例によれば、量子鍵配送技術の場合、技術的限界により、リンクで連結された一対の2量子鍵配送(QKD)ノード間の距離制約が伴うことがある。
したがって、実質的な量子暗号通信サービスのための長距離エンドツーエンド量子鍵生成のためには、多数の量子鍵をリレーする方法が活用されることができるのである。
例えば、量子鍵配送(QKD)ノードaとノードbとが互いに連結されており、量子鍵配送(QKD)ノードbとノードcとが互いに連結されている場合、量子鍵配送(QKD)ノードaとbとの間の量子鍵一つとQKDノードbとcとの間の量子鍵一つとをリレーして、ノードaとノードcとの間のエンドツーエンド鍵を再生成する方法が活用されることができる。
このとき、量子鍵リレーは、量子鍵管理層の鍵管理(KM)ノード間でなされることができる。
したがって、実質的な量子暗号通信サービスのための長距離エンドツーエンド量子鍵生成のためには、多数の量子鍵をリレーする方法が活用されることができるのである。
例えば、量子鍵配送(QKD)ノードaとノードbとが互いに連結されており、量子鍵配送(QKD)ノードbとノードcとが互いに連結されている場合、量子鍵配送(QKD)ノードaとbとの間の量子鍵一つとQKDノードbとcとの間の量子鍵一つとをリレーして、ノードaとノードcとの間のエンドツーエンド鍵を再生成する方法が活用されることができる。
このとき、量子鍵リレーは、量子鍵管理層の鍵管理(KM)ノード間でなされることができる。
【0046】
これに関連して、本発明の一実施例では、長距離エンドツーエンド量子鍵生成のために多重クラス基盤の量子鍵リレーアルゴリズムを提案する。
図4では、本発明の一実施例による多重クラス基盤の量子鍵リレーアルゴリズムを例示的に示している。
図4に示されているように、本発明の一実施例による多重クラス基盤の量子鍵リレーアルゴリズムによれば、すべてのクラスの量子鍵に対して各クラスの量子鍵個数現況を示す量子鍵リソース情報保存行列(K)を各クラスごとに生成する(a)。
図4では、本発明の一実施例による多重クラス基盤の量子鍵リレーアルゴリズムを例示的に示している。
図4に示されているように、本発明の一実施例による多重クラス基盤の量子鍵リレーアルゴリズムによれば、すべてのクラスの量子鍵に対して各クラスの量子鍵個数現況を示す量子鍵リソース情報保存行列(K)を各クラスごとに生成する(a)。
【0047】
このとき、クラスi量子鍵個数現況は行列Kiに保存され、行列Kiには任意の2鍵管理(KM)ノード対間で共有しているクラスiの量子鍵個数が保存される。
例えば、Ki(s,d)には鍵管理(KM)ノードsとdとの間で共有しているクラスiの量子鍵個数が保存される。
量子鍵管理層での量子鍵リレーは隣接した鍵管理(KM)ノード対が共有している量子鍵を消耗、リレーしてエンドツーエンド鍵管理(KM)ノード対のための量子鍵を再生成しなければならない。
例えば、Ki(s,d)には鍵管理(KM)ノードsとdとの間で共有しているクラスiの量子鍵個数が保存される。
量子鍵管理層での量子鍵リレーは隣接した鍵管理(KM)ノード対が共有している量子鍵を消耗、リレーしてエンドツーエンド鍵管理(KM)ノード対のための量子鍵を再生成しなければならない。
【0048】
このために本発明の一実施例による量子鍵リレーアルゴリズムでは、下記の数式3を満たす鍵管理(KM)ノードs*(出発ノード)、m*(中間ノード)、d*(目的ノード)及びi*(クラス)を選択する(b)。
【0049】
【数3】
【0050】
参考として、数式計算の複雑さを減らすための一例として、鍵管理(KM)ノードm*を鍵管理(KM)ノードs*の1ポップ(Hop)隣り合うノードに制約することができる。
【0051】
本発明の多重クラス基盤の量子鍵リレーアルゴリズムによれば、アルゴリズムを通して計算された鍵管理(KM)ノードs*とm*との間の量子鍵一つと、KMノードm*とd*との間の量子鍵一つとをリレーで消耗して、KMノードs*とd*との間の量子鍵一つを生成する。
したがって、上記[数式3]では鍵管理(KM)ノードsとmとの間の量子鍵個数と、鍵管理(KM)ノードsとdとの間の量子鍵個数との差を考慮し、鍵管理(KM)ノードmとdとの間の量子鍵個数と、鍵管理(KM)ノードsとdとの間の量子鍵個数との差を考慮して、これを最大化する鍵管理(KM)ノードs*、d*、m*を選択することができる。
したがって、上記[数式3]では鍵管理(KM)ノードsとmとの間の量子鍵個数と、鍵管理(KM)ノードsとdとの間の量子鍵個数との差を考慮し、鍵管理(KM)ノードmとdとの間の量子鍵個数と、鍵管理(KM)ノードsとdとの間の量子鍵個数との差を考慮して、これを最大化する鍵管理(KM)ノードs*、d*、m*を選択することができる。
【0052】
すなわち、量子鍵リレーを通して消耗される量子鍵(鍵管理(KM)ノードs*とm*、及び鍵管理(KM)ノードm*とd*)は多数であり、量子鍵リレーを通して再生成される量子鍵(鍵管理(KM)ノードs*とd*)は少数である鍵管理(KM)ノードを選択しているのである。
それから、本発明の一実施例による多重クラス基盤の量子鍵リレーアルゴリズムでは、各クラスの鍵管理(KM)ノード対別平均量子鍵個数(
)を計算する(c)。
それから、本発明の一実施例による多重クラス基盤の量子鍵リレーアルゴリズムでは、各クラスの鍵管理(KM)ノード対別平均量子鍵個数(
【0053】
一方、本発明の多重クラス基盤の量子鍵リレーアルゴリズムの終了条件として、[数式3]を通して選択された鍵管理(KM)ノードs*とd*との間のクラスi量子鍵個数(Ki(s*,d*))が、クラスiに対する鍵管理(KM)ノード対別平均量子鍵個数(
)に任意の閾値(
)を掛けた値よりも小さくない場合、アルゴリズムが終了される(d)。
ここで、閾値
は、量子鍵クラス別に異なるように設定可能であり、量子暗号通信サービス発生率、量子鍵個数現況、量子鍵生成率などに応じて柔軟な選択が可能である。
ここで、閾値
【0054】
もしKi(s*,m*)とKi(s*,d*)との差が任意の閾値(
)よりも大きくなければ、本アルゴリズムは終了され(d)、これと同様に、Ki(m*,d*)とKi(s*,d*)との差が任意の閾値(
)よりも大きくない場合にもアルゴリズムは終了されることができる(e)。
ここで、閾値
は、量子鍵クラス別に異なるように設定可能であり、量子暗号通信サービス発生率、量子鍵個数現況、及び量子鍵生成率などに応じて柔軟な選択が可能である。
ここで、閾値
【0055】
さらに、本発明の一実施例による多重クラス基盤の量子鍵リレーアルゴリズムでは、上述のアルゴリズム終了条件が全て満たされない場合、鍵管理(KM)ノードs*とm*との間のクラスi量子鍵一つと、鍵管理(KM)ノードm*とd*との間のクラスi量子鍵一つとをリレーで消耗して、鍵管理(KM)ノードs*とd*との間のクラスi量子鍵一つを生成する(g)。
以後、本発明の一実施例による多重クラス基盤の量子鍵リレーアルゴリズムによれば、変更された量子鍵個数情報が鍵リソース情報行列にアップデートし、変更された鍵リソース情報行列に基づいて新たな鍵管理(KM)ノード(s*、m*、d*)及びクラスi*を選択するための上述の過程を繰り返す(h)。
以後、本発明の一実施例による多重クラス基盤の量子鍵リレーアルゴリズムによれば、変更された量子鍵個数情報が鍵リソース情報行列にアップデートし、変更された鍵リソース情報行列に基づいて新たな鍵管理(KM)ノード(s*、m*、d*)及びクラスi*を選択するための上述の過程を繰り返す(h)。
【0056】
以上、考察したように、本発明の一実施例による量子鍵管理装置100の構成によれば、互いに異なるデータ大きさのサービスデータに対する効率的な暗号化のために、量子ビットで構成された量子鍵を多数クラスで保存、管理、及びリレーすることが可能になるため、制限された量子リソースを最大限効率的に活用する量子暗号通信サービスを達成できることが分かる。
【0057】
以下では、図5を参照して本発明の一実施例による量子鍵管理方法を説明することにする。
本発明の一実施例による量子鍵管理方法の動作の主体は量子鍵管理装置100になるため、以下では該当参照番号を言及して説明を続けることにする。
本発明の一実施例による量子鍵管理方法の動作の主体は量子鍵管理装置100になるため、以下では該当参照番号を言及して説明を続けることにする。
【0058】
先ず、量子鍵管理装置100は、量子鍵管理層の鍵管理(KM)ノード対間で共有される量子鍵の分類であるクラスの個数を決定する(S110)。
このとき、量子鍵管理装置100は、サービス層のサービス発生率と量子鍵配送層の量子鍵生成率を基に、各クラス別の量子鍵の個数が閾値以上である条件を全て満たす個数にクラスを決定することができる。
例えば、機械学習などの方法を活用して過去のサービス発生率及び量子鍵生成率を通して未来のサービス発生率と量子鍵生成率を予測することができ、予測された発生率と生成率を基準に、量子鍵管理層のすべての鍵管理(KM)ノードのすべての量子鍵が閾値以上を満たすクラスの個数のうち一つを選択してクラスの数を定義することができる。
このとき、量子鍵管理装置100は、サービス層のサービス発生率と量子鍵配送層の量子鍵生成率を基に、各クラス別の量子鍵の個数が閾値以上である条件を全て満たす個数にクラスを決定することができる。
例えば、機械学習などの方法を活用して過去のサービス発生率及び量子鍵生成率を通して未来のサービス発生率と量子鍵生成率を予測することができ、予測された発生率と生成率を基準に、量子鍵管理層のすべての鍵管理(KM)ノードのすべての量子鍵が閾値以上を満たすクラスの個数のうち一つを選択してクラスの数を定義することができる。
【0059】
すなわち、i<cの条件の下で先に例示した[数式1]を満たすcを本システムの量子鍵クラスの総個数として定義することができ、ここで、閾値(Thr1)はネットワーク環境に応じて幅広い選択が動的に可能であることは勿論である。
それから、量子鍵管理装置100は、量子鍵管理層の鍵管理(KM)ノード対間で共有される量子鍵に対してクラスの個数が決定されると、各クラスに対して量子鍵の長さを決定する(S120)。
それから、量子鍵管理装置100は、量子鍵管理層の鍵管理(KM)ノード対間で共有される量子鍵に対してクラスの個数が決定されると、各クラスに対して量子鍵の長さを決定する(S120)。
【0060】
このとき、量子鍵管理装置100は、サービス層で暗号化が要求されるサービスデータの大きさ分布に対してクラスをマッチングさせ、各クラス別にマッチングされた大きさ分布のサービスデータを暗号化するのに必要な量子ビットの個数に量子鍵の長さを異なるように決定することができる。
例えば、クラス1量子鍵の長さは、量子暗号通信サービスデータ大きさ分布の上位a%以上の大きさを有するデータを暗号化するのに必要な長さと定義することができ、クラス2量子鍵の長さは、量子暗号通信サービス対象データ大きさ分布の上位a%未満b%以上の大きさを有するデータを暗号化するのに必要な長さと定義することができる(a<b)。
例えば、クラス1量子鍵の長さは、量子暗号通信サービスデータ大きさ分布の上位a%以上の大きさを有するデータを暗号化するのに必要な長さと定義することができ、クラス2量子鍵の長さは、量子暗号通信サービス対象データ大きさ分布の上位a%未満b%以上の大きさを有するデータを暗号化するのに必要な長さと定義することができる(a<b)。
【0061】
最後に、クラスc量子鍵の長さは、量子暗号通信サービスデータ大きさ分布の下位x%以下の大きさを有するデータを暗号化するのに必要な長さと定義することができる。
このように、本発明の一実施例では、サービス対象データの大きさ分布を考慮して各クラスに対する量子鍵の長さを決定することにより、量子暗号通信サービスデータの大きさに最適化されたクラスの量子鍵を割り当てることができるため、効率的な量子リソース活用が可能である。
このように、本発明の一実施例では、サービス対象データの大きさ分布を考慮して各クラスに対する量子鍵の長さを決定することにより、量子暗号通信サービスデータの大きさに最適化されたクラスの量子鍵を割り当てることができるため、効率的な量子リソース活用が可能である。
【0062】
それから、量子鍵管理装置100は、量子鍵配送層の隣り合う量子鍵配送(QKD)ノードと共有された量子鍵ストリームが鍵管理(KM)ノードに入力されると、入力された量子鍵ストリームをクラス別の量子鍵の長さに分けて割り当てる(S130)。
このとき、量子鍵管理装置100は、鍵管理(KM)ノード対間で共有される各クラス別の量子鍵の現況に基づいて、量子鍵個数が最も少ない特定クラスに量子鍵を割り当てることができる。
このとき、量子鍵管理装置100は、鍵管理(KM)ノード対間で共有される各クラス別の量子鍵の現況に基づいて、量子鍵個数が最も少ない特定クラスに量子鍵を割り当てることができる。
【0063】
本発明の一実施例によれば、量子鍵分類であるクラスの数及び各クラスの長さが定義された後、量子鍵管理層の鍵管理(KM)ノードでは量子鍵配送層の量子鍵配送(QKD)ノードからリアルタイムで入力された量子鍵ストリームを適切なクラスで保存及び管理しなければならない。
よって、任意の鍵管理(KM)ノードnとmとが共有する各クラスに対する量子鍵割り当てのためにサービス(Service)ノードnとmとの間のサービス発生率、量子鍵配送(QKD)ノードnとmとの間の量子鍵生成率、及び鍵管理(KM)ノードnとmとの間の量子鍵の現況などを全て考慮しているのである。
よって、任意の鍵管理(KM)ノードnとmとが共有する各クラスに対する量子鍵割り当てのためにサービス(Service)ノードnとmとの間のサービス発生率、量子鍵配送(QKD)ノードnとmとの間の量子鍵生成率、及び鍵管理(KM)ノードnとmとの間の量子鍵の現況などを全て考慮しているのである。
【0064】
例えば、量子鍵配送(QKD)ノードnとmとの間で共有された量子鍵ストリームが鍵管理(KM)ノードnに入力されるとき、鍵管理(KM)ノードnは先に例示した[数式2]を満たすクラス(i*)に該当する長さに該当量子鍵ストリームを分けて鍵プール
に保存することができる。
【0065】
以後、量子鍵管理装置100は、各クラス別にエンドツーエンド(End-to-End)鍵管理(KM)ノード対を選択し、選択されたエンドツーエンド鍵管理(KM)ノード対に対して出発ノードと到着ノードとの間に中間ノードが存在する場合、出発ノードと中間ノードとの間の量子鍵と、中間ノードと到着ノードとの間の量子鍵とをリレーして量子鍵を再生成する(S140-S150)。
このとき、量子鍵管理装置100は、出発ノードと中間ノードとの間の量子鍵個数と、出発ノードと目的ノードとの間の量子鍵個数とを基に、中間ノードと目的ノードとの間の量子鍵個数と、出発ノードと目的ノードとの間の量子鍵個数との差を最大化することができるエンドツーエンド鍵管理(KM)ノード対を選択することができる。
このとき、量子鍵管理装置100は、出発ノードと中間ノードとの間の量子鍵個数と、出発ノードと目的ノードとの間の量子鍵個数とを基に、中間ノードと目的ノードとの間の量子鍵個数と、出発ノードと目的ノードとの間の量子鍵個数との差を最大化することができるエンドツーエンド鍵管理(KM)ノード対を選択することができる。
【0066】
本発明の一実施例によれば、量子鍵配送技術の場合、技術的限界により、リンクで連結された一対の2量子鍵配送(QKD)ノード間の距離制約が伴うことがある。
したがって、実質的な量子暗号通信サービスのための長距離エンドツーエンド量子鍵生成のためには、多数の量子鍵をリレーする方法が活用されることができるのである。
例えば、量子鍵配送(QKD)ノードaとノードbとが互いに連結されており、量子鍵配送(QKD)ノードbとノードcとが互いに連結されている場合、量子鍵配送(QKD)ノードaとbとの間の量子鍵一つとQKDノードbとcとの間の量子鍵一つとをリレーして、ノードaとノードcとの間のエンドツーエンド鍵を再生成する方法が活用されることができる。
このとき、量子鍵リレーは、量子鍵管理層の鍵管理(KM)ノード間でなされることができる。
したがって、実質的な量子暗号通信サービスのための長距離エンドツーエンド量子鍵生成のためには、多数の量子鍵をリレーする方法が活用されることができるのである。
例えば、量子鍵配送(QKD)ノードaとノードbとが互いに連結されており、量子鍵配送(QKD)ノードbとノードcとが互いに連結されている場合、量子鍵配送(QKD)ノードaとbとの間の量子鍵一つとQKDノードbとcとの間の量子鍵一つとをリレーして、ノードaとノードcとの間のエンドツーエンド鍵を再生成する方法が活用されることができる。
このとき、量子鍵リレーは、量子鍵管理層の鍵管理(KM)ノード間でなされることができる。
【0067】
これに関連して、本発明の一実施例では、長距離エンドツーエンド量子鍵生成のために多重クラス基盤の量子鍵リレーアルゴリズムを提案する。
先に例示した図4を参照すると、本発明の一実施例による多重クラス基盤の量子鍵リレーアルゴリズムによれば、すべてのクラスの量子鍵に対して各クラスの量子鍵個数現況を示す量子鍵リソース情報保存行列(K)を各クラスごとに生成する(a)。
このとき、クラスi量子鍵個数現況は行列Kiに保存され、行列Kiには任意の2鍵管理(KM)ノード対間で共有しているクラスiの量子鍵個数が保存される。
例えば、Ki(s,d)には鍵管理(KM)ノードsとdとの間で共有しているクラスiの量子鍵個数が保存される。
先に例示した図4を参照すると、本発明の一実施例による多重クラス基盤の量子鍵リレーアルゴリズムによれば、すべてのクラスの量子鍵に対して各クラスの量子鍵個数現況を示す量子鍵リソース情報保存行列(K)を各クラスごとに生成する(a)。
このとき、クラスi量子鍵個数現況は行列Kiに保存され、行列Kiには任意の2鍵管理(KM)ノード対間で共有しているクラスiの量子鍵個数が保存される。
例えば、Ki(s,d)には鍵管理(KM)ノードsとdとの間で共有しているクラスiの量子鍵個数が保存される。
【0068】
量子鍵管理層での量子鍵リレーは隣接した鍵管理(KM)ノード対が共有している量子鍵を消耗、リレーしてエンドツーエンド鍵管理(KM)ノード対のための量子鍵を再生成しなければならない。
このために本発明の一実施例による量子鍵リレーアルゴリズムでは、上述の[数式3]を満たす鍵管理(KM)ノードs*(出発ノード)、m*(中間ノード)、d*(目的ノード)及びi*(クラス)を選択する(b)。
参考として、数式計算の複雑さを減らすための一例として、鍵管理(KM)ノードm*を鍵管理(KM)ノードs*の1ポップ(Hop)隣り合うノードに制約することができる。
このために本発明の一実施例による量子鍵リレーアルゴリズムでは、上述の[数式3]を満たす鍵管理(KM)ノードs*(出発ノード)、m*(中間ノード)、d*(目的ノード)及びi*(クラス)を選択する(b)。
参考として、数式計算の複雑さを減らすための一例として、鍵管理(KM)ノードm*を鍵管理(KM)ノードs*の1ポップ(Hop)隣り合うノードに制約することができる。
【0069】
本発明の多重クラス基盤の量子鍵リレーアルゴリズムによれば、アルゴリズムを通して計算された鍵管理(KM)ノードs*とm*との間の量子鍵一つと、KMノードm*とd*との間の量子鍵一つとをリレーで消耗して、KMノードs*とd*との間の量子鍵一つを生成する。
したがって、本発明の一実施例による量子鍵リレーアルゴリズムでは鍵管理(KM)ノードsとmとの間の量子鍵個数と、鍵管理(KM)ノードsとdとの間の量子鍵個数との差を考慮し、鍵管理(KM)ノードmとdとの間の量子鍵個数と、鍵管理(KM)ノードsとdとの間の量子鍵個数との差を考慮して、これを最大化する鍵管理(KM)ノードs*、d*、m*を選択することができる。
したがって、本発明の一実施例による量子鍵リレーアルゴリズムでは鍵管理(KM)ノードsとmとの間の量子鍵個数と、鍵管理(KM)ノードsとdとの間の量子鍵個数との差を考慮し、鍵管理(KM)ノードmとdとの間の量子鍵個数と、鍵管理(KM)ノードsとdとの間の量子鍵個数との差を考慮して、これを最大化する鍵管理(KM)ノードs*、d*、m*を選択することができる。
【0070】
すなわち、量子鍵リレーを通して消耗される量子鍵(鍵管理(KM)ノードs*とm*、及び鍵管理(KM)ノードm*とd*)は多数であり、量子鍵リレーを通して再生成される量子鍵(鍵管理(KM)ノードs*とd*)は少数である鍵管理(KM)ノードを選択しているのである。
それから、本発明の一実施例による多重クラス基盤の量子鍵リレーアルゴリズムでは、各クラスの鍵管理(KM)ノード対別平均量子鍵個数(
)を計算する(c)。
それから、本発明の一実施例による多重クラス基盤の量子鍵リレーアルゴリズムでは、各クラスの鍵管理(KM)ノード対別平均量子鍵個数(
【0071】
一方、本発明の多重クラス基盤の量子鍵リレーアルゴリズムの終了条件として、[数式3]を通して選択された鍵管理(KM)ノードs*とd*との間のクラスi量子鍵個数(Ki(s*,d*))が、クラスiに対する鍵管理(KM)ノード対別平均量子鍵個数(
)に任意の閾値(
)を掛けた値よりも小さくない場合、アルゴリズムが終了される(d)。
ここで、閾値
は、量子鍵クラス別に異なるように設定可能であり、量子暗号通信サービス発生率、量子鍵個数現況、量子鍵生成率などに応じて柔軟な選択が可能である。
ここで、閾値
【0072】
もしKi(s*,m*)とKi(s*,d*)との差が任意の閾値(
)よりも大きくなければ、本アルゴリズムは終了され(d)、これと同様に、Ki(m*,d*)とKi(s*,d*)との差が任意の閾値(
)よりも大きくない場合にもアルゴリズムは終了されることができる(e)。
ここで、閾値
は、量子鍵クラス別に異なるように設定可能であり、量子暗号通信サービス発生率、量子鍵個数現況、及び量子鍵生成率などに応じて柔軟な選択が可能である。
ここで、閾値
【0073】
さらに、本発明の一実施例による多重クラス基盤の量子鍵リレーアルゴリズムでは、上述のアルゴリズム終了条件が全て満たされない場合、鍵管理(KM)ノードs*とm*との間のクラスi量子鍵一つと、鍵管理(KM)ノードm*とd*との間のクラスi量子鍵一つとをリレーで消耗して、鍵管理(KM)ノードs*とd*との間のクラスi量子鍵一つを生成する(g)。
【0074】
以後、本発明の一実施例による多重クラス基盤の量子鍵リレーアルゴリズムによれば、変更された量子鍵個数情報が鍵リソース情報行列にアップデートし、変更された鍵リソース情報行列に基づいて新たな鍵管理(KM)ノード(s*、m*、d*)及びクラスi*を選択するための上述の過程を繰り返す(h)。
【0075】
以上、考察したように、本発明の一実施例による量子鍵管理方法によれば、互いに異なるデータ大きさのサービスデータに対する効率的な暗号化のために、量子ビットで構成された量子鍵を多数クラスで保存、管理、及びリレーすることが可能になるため、制限された量子リソースを最大限効率的に活用する量子暗号通信サービスを達成できることが分かる。
【0076】
一方、本明細書で説明する機能的な動作と主題の具現物は、デジタル電子回路で具現されるか、本明細書で開示する構造及びその構造的な等価物を含むコンピュータソフトウェア、ファームウェアあるいはハードウェアで具現されるか、これらのうち一つ以上の結合で具現されることができる。本明細書で説明する主題の具現物は、一つ以上のコンピュータプログラム製品、すなわち、処理システムの動作を処理するために或いはこれによる実行のために有形のプログラム保存媒体上にエンコードされたコンピュータプログラム命令に関する一つ以上のモジュールとして具現されることができる。
【0077】
コンピュータで読み取り可能な媒体は、機械で読み取り可能な保存装置、機械で読み取り可能な保存基板、メモリ装置、或いはこれらのうち一つ以上の組み合わせであり得る。
本明細書で“システム”や“装置”とは、例えばプログラマブルプロセッサ、コンピュータあるいは多重プロセッサやコンピュータを含んでデータを処理するためのあらゆる機構、装置及び機械を包括する。処理システムは、ハードウェアに付け加えて、例えばプロセッサファームウェアを構成するコード、プロトコルスタック、データベース管理システム、オペレーティングシステムあるいはこれらのうち一つ以上の組み合わせなど、要請時コンピュータプログラムに対する実行環境を形成するコードを含むことができる。
本明細書で“システム”や“装置”とは、例えばプログラマブルプロセッサ、コンピュータあるいは多重プロセッサやコンピュータを含んでデータを処理するためのあらゆる機構、装置及び機械を包括する。処理システムは、ハードウェアに付け加えて、例えばプロセッサファームウェアを構成するコード、プロトコルスタック、データベース管理システム、オペレーティングシステムあるいはこれらのうち一つ以上の組み合わせなど、要請時コンピュータプログラムに対する実行環境を形成するコードを含むことができる。
【0078】
コンピュータプログラム(プログラム、ソフトウェア、ソフトウェアアプリケーション、スクリプトあるいはコードとしても知られている)は、コンパイル又は解釈された言語やアプリオリあるいは手続き型言語を含むプログラミング言語の如何なる形態でも作成されることができ、独立型プログラムやモジュール、コンポーネント、サブルーティンあるいはコンピュータ環境での使用に適した他のユニットを含み如何なる形態でも展開されることができる。コンピュータプログラムは、ファイルシステムのファイルに必ずしも対応するものではない。プログラムは、要請されたプログラムに提供される単一ファイル内に、あるいは多重の相互作用するファイル(例えば、一つ以上のモジュール、下位プログラムあるいはコードの一部を保存するファイル)内に、あるいは他のプログラムやデータを保有するファイルの一部(例えば、マークアップ言語文書内に保存される一つ以上のスクリプト)内に保存されることができる。コンピュータプログラムは、一つのサイトに位置するか複数のサイトにわたり分散して通信ネットワークにより相互接続された多重コンピュータや一つのコンピュータ上で実行されるように展開されることができる。
【0079】
一方、コンピュータプログラム命令語とデータの保存に適したコンピュータで読み取り可能な媒体は、例えば、EPROM、EEPROM及びフラッシュメモリ装置のような半導体メモリ装置、例えば、内部ハードディスクや外付型ディスクのような磁気ディスク、磁気光学ディスク及びCD-ROMとDVD-ROMディスクを含みあらゆる形態の非揮発性メモリ、媒体及びメモリ装置を含むことができる。プロセッサとメモリは、特殊目的の論理回路によって補充されるか、それに統合されることができる。
【0080】
本明細書で説明した主題の具現物は、例えばデータサーバーのようなバックエンドコンポーネントを含むか、例えばアプリケーションサーバーのようなミドルウェアコンポーネントを含むか、例えばユーザーが本明細書で説明した主題の具現物と相互作用可能なウェブブラウザやグラフィックユーザーインターフェースを有するクライアントコンピュータのようなフロントエンドコンポーネントあるいはそのようなバックエンド、ミドルウェアあるいはフロントエンドコンポーネントの一つ以上のあらゆる組み合わせを含む演算システムで具現されることもできる。システムのコンポーネントは、例えば通信ネットワークのようなデジタルデータ通信の如何なる形態や媒体によっても相互接続可能である。
【0081】
本明細書は多数の特定の具現物の詳細事項を含むが、これらは如何なる発明や請求可能なものの範囲に対しても制限的なものとして理解されてはならず、むしろ特定の発明の特定の実施形態の特有の特徴に関する説明として理解されなければならない。同様に、個別的な実施形態の文脈で本明細書に記述されている特定の特徴は、単一実施形態で組み合わせて具現されることもできる。反対に、単一実施形態の文脈で記述した多様な特徴も個別的にあるいは如何なる適切な下位組み合わせでも複数の実施形態で具現可能である。さらに、特徴が特定の組み合わせで動作できるが、一つ以上の特徴は一部の場合にその組み合わせから排除されることができ、その請求された組み合わせは下位組み合わせや下位組み合わせの変形物に変更されることができる。
【0082】
また、本明細書では特定の手順で図面に動作を描写しているが、これは、望ましい結果を得るために図示されたその特定の手順や順序通りにそのような動作を行うべきであるとか、全ての図示された動作が行われなければならないと理解されてはならない。特定の場合、マルチタスキングと並列プロセッシングが有利であり得る。また、上述の実施形態の多様なシステムコンポーネントの分離は、かかる分離をあらゆる実施形態で要求することと理解されてはならず、説明したプログラムコンポーネントとシステムは一般的に単一のソフトウェア製品として共に統合されるか多重ソフトウェア製品にパッケージされることができるという点を理解しなければならない。
【0083】
このように、本明細書は、その提示された具体的な用語に本発明を制限しようとする意図ではない。従って、上述の例を参照して本発明を詳しく説明したが、当業者であれば本発明の範囲を逸脱しない範囲で本例に対する改造、変更及び変形を加えることができる。本発明の範囲は、上記詳細な説明よりは後述の特許請求の範囲によって示され、特許請求の範囲の意味及び範囲並びにその等価概念から導き出される全ての変更又は変形された形態が本発明の範囲に含まれることと解釈されなければならない。
【産業上の利用可能性】
【0084】
本発明による量子鍵管理装置及び量子鍵管理方法によれば、量子暗号通信ネットワークで量子鍵長さ単位の多重クラス量子鍵を管理及び運営することができるという点で、既存技術の限界を越えることにより、関連技術に対する利用ばかりか適用される装置の市販または営業の可能性が十分なだけでなく現実的に明白に実施することができる程度であるため、産業上の利用可能性がある発明である。
【符号の説明】
【0085】
100:量子鍵管理装置
110:決定部
120:割り当て部
130:更新部
110:決定部
120:割り当て部
130:更新部
【要約】
【課題】 量子暗号通信ネットワークで量子鍵長さ単位の多重クラス量子鍵を管理及び運営するための方法および量子鍵管理装置を提供する。
【解決手段】 量子鍵管理層の鍵管理ノード対間で共有される量子鍵の分類であるクラスの個数、及び各クラスに分類される量子鍵の長さを決定する。量子鍵配送層の隣り合う量子鍵配送ノードと共有された量子鍵ストリームが鍵管理ノードに入力されると、入力された量子鍵ストリームをクラス別の量子鍵の長さに分けて割り当てる。
【選択図】図5
【解決手段】 量子鍵管理層の鍵管理ノード対間で共有される量子鍵の分類であるクラスの個数、及び各クラスに分類される量子鍵の長さを決定する。量子鍵配送層の隣り合う量子鍵配送ノードと共有された量子鍵ストリームが鍵管理ノードに入力されると、入力された量子鍵ストリームをクラス別の量子鍵の長さに分けて割り当てる。
【選択図】図5
【図1】
【図2】
【図3】
【図4】
【図5】
