▶ 日本電気株式会社の特許一覧 ▶ NECプラットフォームズ株式会社の特許一覧
特許7572085端末装置、管理装置、通信システム、通信方法、管理方法及びプログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-10-15
(45)【発行日】2024-10-23
(54)【発明の名称】端末装置、管理装置、通信システム、通信方法、管理方法及びプログラム
(51)【国際特許分類】
H04L 9/12 20060101AFI20241016BHJP
【FI】
H04L9/12
【請求項の数】
20
(21)【出願番号】P 2023528891
(86)(22)【出願日】2021-06-17
(86)【国際出願番号】 JP2021023078
(87)【国際公開番号】W WO2022264373
(87)【国際公開日】2022-12-22
【審査請求日】2023-11-30
【国等の委託研究の成果に係る記載事項】(出願人による申告)令和2年度、国立研究開発法人量子科学技術研究開発機構、戦略的イノベーション創造プログラム(SIP)事業「光・量子を活用した Society 5.0 実現化技術」委託研究、産業技術力強化法第17条の適用を受ける特許出願
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(73)【特許権者】
【識別番号】000227205
【氏名又は名称】NECプラットフォームズ株式会社
(74)【代理人】
【識別番号】100103894
【弁理士】
【氏名又は名称】家入 健
(72)【発明者】
【氏名】田中 健
(72)【発明者】
【氏名】吉野 健一郎
(72)【発明者】
【氏名】泉屋 智康
【審査官】行田 悦資
(56)【参考文献】
【文献】国際公開第2010/067551(WO,A1)
【文献】特開2009-239496(JP,A)
【文献】特開2007-288694(JP,A)
【文献】特開2000-183866(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/12
(57)【特許請求の範囲】
【請求項1】
端末装置であって、
量子鍵配送された暗号鍵を管理する管理装置に対し通信元識別情報及び通信先識別情報を指定して暗号鍵を要求することで、前記管理装置から暗号鍵を取得する取得手段と、
前記取得された暗号鍵を用いて他の端末装置と暗号通信を行う通信手段と、
を備え、
前記通信元識別情報は、前記端末装置の識別情報及び前記管理装置の識別情報を含み、
前記通信先識別情報は、前記他の端末装置の識別情報及び前記他の端末装置を収容する他の管理装置の識別情報を含む、
端末装置。
【請求項2】
前記取得手段は、通信データの長さに応じて前記暗号鍵を要求する、請求項1に記載の端末装置。
【請求項3】
前記取得手段は、前記通信データの長さと前記暗号鍵の長さに基づいて、前記暗号鍵の要求を繰り返す、請求項2に記載の端末装置。
【請求項4】
前記通信手段は、バーナム暗号により暗号化または復号化を行う、請求項1乃至3のいずれか一項に記載の端末装置。
【請求項5】
データを送信する場合、データの送信元及び送信先に応じて、前記通信元識別情報及び前記通信先識別情報を決定する決定手段を備え、前記通信手段は、前記取得された暗号鍵により暗号化されたデータを前記他の端末装置へ送信する、
請求項1乃至4のいずれか一項に記載の端末装置。
【請求項6】
前記通信手段は、データを受信する場合、前記受信したデータに基づいて、前記通信元識別情報及び前記通信先識別情報を決定し、前記取得された暗号鍵により前記受信したデータを復号化する、請求項1乃至5のいずれか一項に記載の端末装置。
【請求項7】
管理装置であって、
量子鍵配送された複数の暗号鍵を管理する管理手段と、
他の端末装置と暗号通信を行う端末装置からの通信元識別情報及び通信先識別情報を指定した暗号鍵の要求に基づいて、前記管理された暗号鍵の中から特定される暗号鍵を前記端末装置へ配布する配布手段と、
を備え、
前記通信元識別情報は、前記端末装置の識別情報及び前記管理装置の識別情報を含み、
前記通信先識別情報は、前記他の端末装置の識別情報及び前記他の端末装置を収容する他の管理装置の識別情報を含む、
管理装置。
【請求項8】
前記管理手段は、前記暗号鍵と前記通信元識別情報及び前記通信先識別情報とを関連付ける暗号鍵管理情報を管理する、請求項7に記載の管理装置。
【請求項9】
量子鍵配送された複数の暗号鍵を管理する管理手段と、
他の端末装置と暗号通信を行う端末装置からの通信元識別情報及び通信先識別情報を指定した暗号鍵の要求に基づいて、前記管理された暗号鍵の中から特定される暗号鍵を前記端末装置へ配布する配布手段と、
を備え、
前記管理手段は、前記暗号鍵と前記通信元識別情報及び前記通信先識別情報とを関連付ける暗号鍵管理情報を管理し、
前記管理手段は、前記暗号鍵管理情報において、前記要求により指定された通信元識別情報及び通信先識別情報に該当する暗号鍵がない場合、前記複数の暗号鍵から選択される暗号鍵に前記通信元識別情報及び前記通信先識別情報を関連付けることで、前記端末装置へ配布する暗号鍵を特定する、
管理装置。
【請求項10】
量子鍵配送された複数の暗号鍵を管理する管理手段と、
他の端末装置と暗号通信を行う端末装置からの通信元識別情報及び通信先識別情報を指定した暗号鍵の要求に基づいて、前記管理された暗号鍵の中から特定される暗号鍵を前記端末装置へ配布する配布手段と、
を備え、
前記管理手段は、前記暗号鍵と前記通信元識別情報及び前記通信先識別情報とを関連付ける暗号鍵管理情報を管理し、
前記管理手段は、前記暗号鍵管理情報において、前記要求により指定された通信元識別情報及び通信先識別情報に該当する暗号鍵がある場合、前記該当する暗号鍵を前記端末装置へ配布する暗号鍵として特定する、
管理装置。
【請求項11】
量子鍵配送された複数の暗号鍵を管理する管理手段と、
他の端末装置と暗号通信を行う端末装置からの通信元識別情報及び通信先識別情報を指定した暗号鍵の要求に基づいて、前記管理された暗号鍵の中から特定される暗号鍵を前記端末装置へ配布する配布手段と、
を備え、
前記管理手段は、前記暗号鍵と前記通信元識別情報及び前記通信先識別情報とを関連付ける暗号鍵管理情報を管理し、
前記他の端末装置を収容する他の管理装置との間で、前記暗号鍵管理情報を共有する共有手段を備える、
管理装置。
【請求項12】
前記共有手段は、前記暗号鍵管理情報が更新された場合に、前記他の管理装置へ前記暗号鍵管理情報の更新を通知する、請求項11に記載の管理装置。
【請求項13】
前記暗号鍵管理情報は、前記暗号鍵と暗号鍵識別情報とを関連付け、前記共有手段は、前記通知として、前記暗号鍵管理情報において前記配布した暗号鍵に対応する前記暗号鍵識別情報、前記通信元識別情報及び前記通信先識別情報を前記他の管理装置へ送信する、
請求項12に記載の管理装置。
【請求項14】
前記共有手段は、前記通知を受信した場合、前記暗号鍵識別情報、前記通信元識別情報及び前記通信先識別情報に応じて、前記暗号鍵管理情報を更新する、請求項13に記載の管理装置。
【請求項15】
前記暗号鍵管理情報は、前記暗号鍵と通信元及び通信先の前記端末装置への配布履歴とを関連付ける、請求項8乃至14のいずれか一項に記載の管理装置。
【請求項16】
端末装置と管理装置とを備えた通信システムであって、前記端末装置は、
前記管理装置に対し通信元識別情報及び通信先識別情報を指定して暗号鍵を要求することで、前記管理装置から暗号鍵を取得する取得手段と、
前記取得された暗号鍵を用いて他の端末装置と暗号通信を行う通信手段と、
を備え、
前記管理装置は、
量子鍵配送された複数の暗号鍵を管理する管理手段と、
前記端末装置からの通信元識別情報及び通信先識別情報を指定した暗号鍵の要求に基づいて、前記管理された暗号鍵の中から特定される暗号鍵を前記端末装置へ配布する配布手段と、
を備え、
前記通信元識別情報は、前記端末装置の識別情報及び前記管理装置の識別情報を含み、
前記通信先識別情報は、前記他の端末装置の識別情報及び前記他の端末装置を収容する他の管理装置の識別情報を含む、
通信システム。
【請求項17】
端末装置の通信方法であって、
量子鍵配送された暗号鍵を管理する管理装置に対し通信元識別情報及び通信先識別情報を指定して暗号鍵を要求することで、前記管理装置から暗号鍵を取得し、
前記取得された暗号鍵を用いて他の端末装置と暗号通信を行い、
前記通信元識別情報は、前記端末装置の識別情報及び前記管理装置の識別情報を含み、
前記通信先識別情報は、前記他の端末装置の識別情報及び前記他の端末装置を収容する他の管理装置の識別情報を含む、
端末装置の通信方法。
【請求項18】
管理装置の管理方法であって、
量子鍵配送された複数の暗号鍵を管理し、
他の端末装置と暗号通信を行う端末装置からの通信元識別情報及び通信先識別情報を指定した暗号鍵の要求に基づいて、前記管理された暗号鍵の中から特定される暗号鍵を前記端末装置へ配布し、
前記通信元識別情報は、前記端末装置の識別情報及び前記管理装置の識別情報を含み、
前記通信先識別情報は、前記他の端末装置の識別情報及び前記他の端末装置を収容する他の管理装置の識別情報を含む、
管理装置の管理方法。
【請求項19】
端末装置の処理であって、
量子鍵配送された暗号鍵を管理する管理装置に対し通信元識別情報及び通信先識別情報を指定して暗号鍵を要求することで、前記管理装置から暗号鍵を取得し、
前記取得された暗号鍵を用いて他の端末装置と暗号通信を行い、
前記通信元識別情報は、前記端末装置の識別情報及び前記管理装置の識別情報を含み、
前記通信先識別情報は、前記他の端末装置の識別情報及び前記他の端末装置を収容する他の管理装置の識別情報を含む、
処理をコンピュータに実行させるためのプログラム。
【請求項20】
管理装置の処理であって、
量子鍵配送された複数の暗号鍵を管理し、
他の端末装置と暗号通信を行う端末装置からの通信元識別情報及び通信先識別情報を指定した暗号鍵の要求に基づいて、前記管理された暗号鍵の中から特定される暗号鍵を前記端末装置へ配布し、
前記通信元識別情報は、前記端末装置の識別情報及び前記管理装置の識別情報を含み、
前記通信先識別情報は、前記他の端末装置の識別情報及び前記他の端末装置を収容する他の管理装置の識別情報を含む、
処理をコンピュータに実行させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、端末装置、管理装置、通信システム、通信方法、管理方法及び非一時的なコンピュータ可読媒体に関する。
【背景技術】
【0002】
近年、量子計算機の発展に伴い、様々な分野への応用が期待される一方で、量子計算機により暗号鍵の解読が可能となり、既存の公開鍵暗号方式が危殆化してしまう。このため、安全な通信を実現するためには、計算量的安全性ではなく、物理的に安全性を保障可能な量子暗号技術が必要とされている。
【0003】
量子暗号では、遠隔地間で安全に暗号鍵を共有可能とする量子鍵配送(Quantum Key Distribution:QKD)技術が利用される。関連する技術として、例えば、特許文献1が知られている。特許文献1には、量子鍵配送システムにおいて、量子もつれ光源を用いてQKDのチャネル数を増大し、システム全体として暗号鍵の生成率を増大する技術が開示されている。
【先行技術文献】
【特許文献】
【0004】
【文献】特開特開2007-318445号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、関連する技術では、量子鍵配送技術により暗号鍵を遠隔地の各拠点に配送することが可能となるものの、各拠点において配送された複数の暗号鍵から量子暗号通信に用いる暗号鍵を指定する方法が考慮されていない。このため、関連する技術では、拠点間で量子暗号通信を行う際に共通の暗号鍵を取得することが困難である。
【0006】
本開示は、量子暗号通信のための暗号鍵を確実に取得することが可能な端末装置、管理装置、通信システム、通信方法、管理方法及び非一時的なコンピュータ可読媒体を提供することを目的とする。
【課題を解決するための手段】
【0007】
本開示に係る端末装置は、量子鍵配送された暗号鍵を管理する管理装置に対し通信元識別情報及び通信先識別情報を指定して暗号鍵を要求することで、前記管理装置から暗号鍵を取得する取得手段と、前記取得された暗号鍵を用いて他の端末装置と暗号通信を行う通信手段と、を備えるものである。
【0008】
本開示に係る管理装置は、量子鍵配送された複数の暗号鍵を管理する管理手段と、他の端末装置と暗号通信を行う端末装置からの通信元識別情報及び通信先識別情報を指定した暗号鍵の要求に基づいて、前記管理された暗号鍵の中から特定される暗号鍵を前記端末装置へ配布する配布手段と、を備えるものである。
【0009】
本開示に係る通信システムは、端末装置と管理装置とを備えた通信システムであって、前記端末装置は、前記管理装置に対し通信元識別情報及び通信先識別情報を指定して暗号鍵を要求することで、前記管理装置から暗号鍵を取得する取得手段と、前記取得された暗号鍵を用いて他の端末装置と暗号通信を行う通信手段と、を備え、前記管理装置は、量子鍵配送された複数の暗号鍵を管理する管理手段と、前記端末装置からの通信元識別情報及び通信先識別情報を指定した暗号鍵の要求に基づいて、前記管理された暗号鍵の中から特定される暗号鍵を前記端末装置へ配布する配布手段と、を備えるものである。
【0010】
本開示に係る端末装置の通信方法は、量子鍵配送された暗号鍵を管理する管理装置に対し通信元識別情報及び通信先識別情報を指定して暗号鍵を要求することで、前記管理装置から暗号鍵を取得し、前記取得された暗号鍵を用いて他の端末装置と暗号通信を行うものである。
【0011】
本開示に係る管理装置の管理方法は、量子鍵配送された複数の暗号鍵を管理し、他の端末装置と暗号通信を行う端末装置からの通信元識別情報及び通信先識別情報を指定した暗号鍵の要求に基づいて、前記管理された暗号鍵の中から特定される暗号鍵を前記端末装置へ配布するものである。
【0012】
本開示に係る非一時的なコンピュータ可読媒体は、量子鍵配送された暗号鍵を管理する管理装置に対し通信元識別情報及び通信先識別情報を指定して暗号鍵を要求することで、前記管理装置から暗号鍵を取得し、前記取得された暗号鍵を用いて他の端末装置と暗号通信を行う、処理をコンピュータに実行させるためのプログラムが格納された非一時的なコンピュータ可読媒体である。
【0013】
本開示に係る非一時的なコンピュータ可読媒体は、量子鍵配送された複数の暗号鍵を管理し、他の端末装置と暗号通信を行う端末装置からの通信元識別情報及び通信先識別情報を指定した暗号鍵の要求に基づいて、前記管理された暗号鍵の中から特定される暗号鍵を前記端末装置へ配布する、処理をコンピュータに実行させるためのプログラムが格納された非一時的なコンピュータ可読媒体である。
【発明の効果】
【0014】
本開示によれば、量子暗号通信のための暗号鍵を確実に取得することが可能な端末装置、管理装置、通信システム、通信方法、管理方法及び非一時的なコンピュータ可読媒体を提供することができる。
【図面の簡単な説明】
【0015】
【図1】関連する通信システムの構成例を示す構成図である。
【図2】実施の形態に係る端末装置の概要を示す構成図である。
【図3】実施の形態に係る管理装置の概要を示す構成図である。
【図4】実施の形態1に係る通信システムの構成例を示す構成図である。
【図5】実施の形態1に係る管理装置の構成例を示す構成図である。
【図6】実施の形態1に係る端末装置の構成例を示す構成図である。
【図7】実施の形態1に係る通信システムの動作例を示すシーケンス図である。
【図8】実施の形態1に係る鍵管理テーブルの具体例を示す図である。
【図9】実施の形態1に係る鍵管理テーブルの具体例を示す図である。
【図10】実施の形態1に係る鍵管理テーブルの具体例を示す図である。
【図11】実施の形態1に係る鍵管理テーブルの具体例を示す図である。
【図12】実施の形態2に係る通信システムの動作例を示すシーケンス図である。
【図13】実施の形態2に係る通信システムの動作例を示すシーケンス図である。
【図14】実施の形態2に係る鍵管理テーブルの具体例を示す図である。
【図15】実施の形態に係るコンピュータのハードウェアの構成例を示す構成図である。
【発明を実施するための形態】
【0016】
以下、図面を参照して実施の形態について説明する。各図面においては、同一の要素には同一の符号が付されており、必要に応じて重複説明は省略される。
【0017】
(関連する技術の検討)
図1は、関連する通信システムの構成例を示している。図1に示すように、関連する通信システム900は、端末装置910-1及び910-2、管理装置920-1及び920-2、QKD装置930-1及び930-2を備えている。拠点Aに管理装置920-1及びQKD装置930-1が設置され、拠点Aで端末装置910-1が暗号通信を行う。拠点Bに管理装置920-2及びQKD装置930-2が設置され、拠点Bで端末装置910-2が暗号通信を行う。
図1は、関連する通信システムの構成例を示している。図1に示すように、関連する通信システム900は、端末装置910-1及び910-2、管理装置920-1及び920-2、QKD装置930-1及び930-2を備えている。拠点Aに管理装置920-1及びQKD装置930-1が設置され、拠点Aで端末装置910-1が暗号通信を行う。拠点Bに管理装置920-2及びQKD装置930-2が設置され、拠点Bで端末装置910-2が暗号通信を行う。
【0018】
QKD装置930-1及び930-2は、各拠点において、QKD装置間で量子鍵配送を行い共通の暗号鍵を生成(配送)する。管理装置920-1及び920-2は、各拠点において、QKD装置930-1及び930-2により生成された暗号鍵を管理する。端末装置910-1及び910-2は、各拠点において、管理装置920-1及び920-2が管理する暗号鍵を取得し、取得した暗号鍵を使用して端末装置間で暗号通信を行う。
【0019】
端末装置910-1及び910-2は、量子暗号通信を行うために同じ暗号鍵を使用しなければならない。管理装置920-1及び920-2には、QKD装置930-1及び930-2により生成された複数の暗号鍵が蓄積されているため、端末装置910-1及び910-2は、量子暗号通信を行う際、管理装置920-1及び920-2から同じ暗号鍵を指定して取得する必要がある。
【0020】
関連する技術として、同じ暗号鍵を指定するために、1つの一意なIDである鍵IDにより暗号鍵を指定する方法が考えられる。すなわち、管理装置920-1は、暗号鍵に鍵IDを紐付けて管理し、管理装置920-2でも、同様に、暗号鍵に鍵IDを紐付けて管理する。この場合、端末装置910-1及び910-2は、それぞれ同じ鍵IDを指定して暗号鍵を要求し、管理装置920-1及び920-2から暗号鍵を取得することで、同じ暗号鍵を使用することができる。
【0021】
しかしながら、発明者らは、このような関連する技術について検討した結果、次のような課題を見出した。すなわち、端末装置が鍵IDを指定して暗号鍵を取得する場合、端末装置間で事前に使用する鍵IDを共有しなければならない。このため、要求する鍵IDの情報を端末装置間で確認する方法をとる必要がある。そうすると、端末装置間がオンラインであることが前提条件となってしまい、端末装置がオンラインで接続されていない場合、同じ暗号鍵を取得することができない。また、端末装置間で事前に所定の鍵IDを共有する方法も考えられる。この場合、事前に共有された鍵IDにより端末装置間で同じ暗号鍵を取得できる。しかし、鍵要求可能量が事前に鍵IDを共有した分までとなってしまうため、事前共有分を超えた量の暗号鍵を取得することができない。
【0022】
(実施の形態の概要)
図2は、実施の形態に係る端末装置の概要を示し、図3は、実施の形態に係る管理装置の概要を示している。実施の形態に係る端末装置10及び管理装置20は、図1と同様に、通信システムを構成する。
図2は、実施の形態に係る端末装置の概要を示し、図3は、実施の形態に係る管理装置の概要を示している。実施の形態に係る端末装置10及び管理装置20は、図1と同様に、通信システムを構成する。
【0023】
図2に示すように、端末装置10は、取得部11、通信部12を備えている。取得部11は、量子鍵配送された暗号鍵を管理する管理装置20に対し通信元識別情報及び通信先識別情報を指定して暗号鍵を要求することで、管理装置20から暗号鍵を取得する。通信部12は、取得部11により取得された暗号鍵を用いて他の端末装置と暗号通信を行う。例えば、端末装置10が指定する通信元識別情報及び通信先識別情報(鍵指定情報)は、管理装置20と端末装置10のいずれか、または両方の識別情報を含む。
【0024】
図3に示すように、管理装置20は、管理部21、配布部22を備えている。管理部21は、量子鍵配送された複数の暗号鍵を管理する。配布部22は、他の端末装置と暗号通信を行う端末装置10からの通信元識別情報及び通信先識別情報を指定した暗号鍵の要求に基づいて、管理部21で管理された暗号鍵の中から特定される暗号鍵を端末装置10へ配布する。
【0025】
このような構成により、端末装置が量子暗号通信を行う際、通信元識別情報及び通信先識別情報を指定することで共通の暗号鍵を確実に取得することができる。このため、端末装置間で鍵IDなどを事前に共有することなく暗号鍵を取得できる。
【0026】
(実施の形態1)
次に、実施の形態1について説明する。図4は、本実施の形態に係る通信システムの構成例を示し、図5は、本実施の形態に係る管理装置の構成例を示し、図6は、本実施の形態に係る端末装置の構成例を示している。
次に、実施の形態1について説明する。図4は、本実施の形態に係る通信システムの構成例を示し、図5は、本実施の形態に係る管理装置の構成例を示し、図6は、本実施の形態に係る端末装置の構成例を示している。
【0027】
図4に示すように、本実施の形態に係る通信システム1は、複数の端末装置100、複数の管理装置200、複数のQKD装置300を備えている。この例では、各拠点にQKD装置300が設置され、各QKD装置300に対応して管理装置200が設置され、各管理装置200に端末装置100が収容される。例えば、拠点A~EにQKD装置300-1~300-5及び管理装置200-1~200-5がそれぞれ設置され、拠点A~Eで端末装置100-1~100-5がそれぞれ暗号通信を行う。
【0028】
QKD装置300は、各拠点において、量子鍵配送により暗号鍵を生成(配送)する。QKD装置300-1~300-5は、量子鍵を生成する量子鍵生成レイヤ(ネットワーク)403を構成している。QKD装置300は、他のQKD装置300と光ファイバにより1対1で接続され、接続されるQKD装置間で量子鍵配送を行う。例えば、QKD装置300間では、50km範囲内で光ファイバ伝送を行う。
【0029】
QKD装置300は、例えば、乱数のビット列に対応して、ランダムに選択した基底に基づいた偏光状態の光子列を生成し、生成した光子列を、光ファイバを介して他のQKD装置300へ送信する。他のQKD装置300は、ランダムに選択した基底に基づいて受信した光子列を観測し、観測した結果をQKD装置300へ通知する。QKD装置300と他のQKD装置300の間で、基底が一致した光子のビットが暗号鍵(共有鍵)となる。これにより、第三者による盗聴を確実に検出でき、盗聴されたビットは破棄されるため、盗聴されていない安全な暗号鍵のみを共有(生成)できる。
【0030】
管理装置200は、各拠点において、QKD装置300により生成された暗号鍵を管理する。管理装置200-1~200-5は、暗号鍵を管理する鍵管理レイヤ(ネットワーク)402を構成している。量子鍵生成レイヤ403及び鍵管理レイヤ402は、量子鍵配送により安全な暗号鍵を提供するQKDプラットフォームでもある。
【0031】
管理装置200は、QKD装置300が量子鍵配送により生成した暗号鍵を蓄積し、蓄積した暗号鍵の消費(供給)を管理する。管理装置200は、暗号鍵を供給するための鍵供給インタフェースを介して、端末装置100からの要求に応じて暗号鍵を配布する。鍵供給インタフェースは、端末装置100(アプリケーション)に適応しており、安全性が確保されたインタフェースである。鍵供給インタフェースは、安全性が確保されていれば、有線または無線の任意の通信路でもよい。例えば、鍵供給インタフェースは、USB(Universal Serial Bus)、LAN(Local Area Network)、FeliCa(登録商標)等の非接触型ICカードによる近距離無線通信等のインタフェースである。管理装置200は、任意の通信路によりメッシュ接続されており、暗号鍵の管理情報を共有してもよい。管理装置200間の通信路は、暗号鍵の管理情報を共有できれば、任意の通信路でよい。
【0032】
図5に示すように、管理装置200は、鍵記憶部201、鍵管理部202、鍵供給部203、鍵共有部204を備える。図5の構成は一例であり、本実施の形態における動作が可能であれば、その他の構成としてもよい。例えば、鍵記憶部201及び鍵管理部202を、暗号鍵を記憶し管理する管理部としてもよい。
【0033】
鍵記憶部201は、QKD装置300により生成された暗号鍵を記憶し蓄積する。鍵記憶部201は、QKD装置300により量子鍵配送されたビットを生成順に蓄積し、生成されたビットを所定の単位(例えば128Kバイト)で1つの暗号鍵として記憶する。鍵記憶部201は、暗号鍵を管理する鍵管理テーブル(鍵管理情報)を記憶する。鍵管理テーブルは、暗号鍵を共有する拠点間毎に生成されて記憶され、拠点間で同じ暗号鍵を管理する。例えば、拠点Aの管理装置200-1は、拠点Bの管理装置200-2との間で暗号鍵を共有し、また、拠点Cの管理装置200-3との間で暗号鍵を共有する。このため、拠点Aの管理装置200-1は、拠点AB間用の鍵管理テーブルと、拠点AC間用の鍵管理テーブルとを記憶する。鍵管理テーブルは、暗号鍵を管理するため暗号鍵に鍵IDを関連付け、また、暗号鍵に通信元ID及び通信先IDを関連付け、さらに、暗号鍵に通信元及び通信先の端末装置100への配布履歴を関連付ける。
【0034】
鍵IDは、暗号鍵を一意に識別する固有の鍵識別情報である。鍵IDは、暗号鍵が生成された際に管理装置200が所定のルールで割り当て、管理装置200間で同じ暗号鍵に同じ鍵IDが割り当てられる。通信元ID及び通信先IDは、端末装置100のアプリケーション間で暗号通信を行うために通信元(送信元)及び通信先(送信先)を識別する通信元識別情報及び通信先識別情報であり、また、配布(要求)する暗号鍵を指定(特定)するための情報でもある。この例では、通信元識別情報及び通信先識別情報は、通信元及び通信先における、端末装置100、または端末装置100を収容する管理装置200のいずれかの識別情報である。配布履歴は、通信元及び通信先の端末装置100へ暗号鍵を配布済み、または未配布を識別するための情報である。
【0035】
鍵管理部202は、鍵記憶部201に記憶された複数の暗号鍵を管理する。鍵管理部202は、QKD装置300により生成された暗号鍵に鍵IDを割り当て、割り当てた鍵IDと暗号鍵を関連付けて鍵管理テーブルに格納する。鍵管理部202は、鍵管理テーブルにより配布する暗号鍵を管理し、端末装置100からの鍵要求に応じて、指定された通信元ID及び通信先IDに基づいて端末装置100に配布する暗号鍵を特定する。鍵管理部202は、鍵管理テーブルにおいて、端末装置100からの鍵要求により指定された通信元ID及び通信先IDに該当する暗号鍵があるか否かに応じて配布する暗号鍵を特定する。例えば、鍵管理テーブルにおいて、鍵要求により指定された通信元ID及び通信先IDに該当する暗号鍵がない場合、蓄積された複数の暗号鍵から選択される暗号鍵に通信元ID及び通信先IDを関連付けることで、端末装置100へ配布する暗号鍵を特定する、また、鍵管理テーブルにおいて、鍵要求により指定された通信元ID及び通信先IDに該当する暗号鍵がある場合、該当する暗号鍵を端末装置100へ配布する暗号鍵として特定する。さらに、鍵管理部202は、暗号鍵の配布に応じて、鍵管理テーブルの配布履歴を更新する。
【0036】
鍵供給部203は、鍵記憶部201が記憶する暗号鍵を端末装置100へ配布する。鍵供給部203は、鍵供給インタフェースを介して、端末装置100から鍵要求を受け付けるとともに、受け付けた鍵要求に応じて鍵管理部202が特定した暗号鍵を端末装置100へ配布する。なお、鍵供給部203は、暗号鍵の配布が許可されている端末装置100のみに対し、暗号鍵を配布することが好ましい。例えば、管理装置200は、暗号鍵を配布可能な端末装置の許可リスト(識別情報リスト)を記憶しておき、許可リストに登録されている端末装置100に対して暗号鍵を配布する。
【0037】
鍵共有部204は、他の管理装置200と鍵配布情報を共有する。共有する他の管理装置200は、鍵を要求する端末装置100の通信相手側の端末装置100を収容する管理装置200である。鍵共有部204は、鍵管理テーブルが更新された場合に、鍵管理テーブルの更新を通知する通知部でもある。鍵管理テーブルは、端末装置100へ暗号鍵が配布されたときに更新されるため、暗号鍵が配布された場合に通知するとも言える。鍵共有部204は、鍵管理テーブルが更新された場合に、鍵管理テーブルに含まれる鍵配布情報を送信する。鍵配布情報は、端末装置100へ配布した暗号鍵を特定するための情報である。鍵配布情報は、暗号鍵そのものを含まずに、配布した暗号鍵を特定可能な情報であることが好ましい。例えば、鍵共有部204は、鍵配布情報として、配布した暗号鍵の鍵ID、通信元ID及び通信先IDを他の管理装置200へ通知する。また、鍵共有部204は、他の管理装置200から鍵配布情報を受信した場合、受信した鍵配布情報に含まれる鍵ID、通信元ID及び通信先IDに応じて鍵管理テーブルを更新する。例えば、受信した鍵IDに対応する暗号鍵に対し、通信元ID及び通信先IDを関連付け、配布履歴を更新する。
【0038】
端末装置100は、各拠点において、管理装置200から供給される暗号鍵を用いて暗号通信を行う。端末装置100-1~100-5は、暗号通信を行うアプリケーションレイヤ(ネットワーク)401を構成している。端末装置100間は、任意の通信路を介して直接または間接的に接続可能であり、供給された暗号鍵によりセキュアな通信を行う。端末装置100は、スマートフォンやノートPC(personal computer)などのモバイル通信装置でもよいし、固定設置されたデスクトップPCやサーバなどの非モバイル通信装置でもよい。端末装置100は、他の拠点に移動して、移動先の管理装置200から暗号鍵を取得し暗号通信を行ってもよい。端末装置100間の通信路は、暗号鍵を用いて暗号通信が可能であれば、任意の通信路でよい。
【0039】
図6に示すように、端末装置100は、アプリケーション部101、鍵取得部102、暗号化/復号化部103、通信部104を備える。図6の構成は一例であり、本実施の形態における動作が可能であれば、その他の構成としてもよい。例えば、暗号化/復号化部103及び通信部104を、暗号鍵を用いて暗号通信を行う暗号通信部としてもよい。
【0040】
アプリケーション部101は、端末装置間で暗号通信を行うためのアプリケーションを実行する。アプリケーション部101には、通信元IDまたは通信先IDとなる識別情報(各端末装置100または各管理装置200のID)が予め設定されている。アプリケーション部101は、ユーザの操作により選択されたデータの送信元及び送信先に応じて通信元ID及び通信先IDを決定する。アプリケーション部101は、データ送信時に通信元ID及び通信先IDを決定する決定部でもある。この例では、送信元及び送信先における端末装置100または管理装置200のいずれかの識別情報を通信元ID及び通信先IDとする。また、アプリケーション部101は、ユーザの入力等に応じて他の端末装置100へ送信する平文データを生成し、他の端末装置100から受信し復号化された平文データをユーザへ出力する。
【0041】
鍵取得部102は、他の端末装置100(相手側の端末装置)と暗号通信する際、管理装置200へ暗号鍵を要求し取得する。鍵取得部102は、データ送信時にアプリケーション部101が決定し、またはデータ受信時に通信部104が決定した通信元ID及び通信先IDを指定して要求することで、管理装置200から暗号鍵を取得する。鍵取得部102は、鍵供給インタフェースを介して、通信元ID及び通信先IDを含む鍵要求を管理装置200へ送信するとともに、要求した管理装置200から暗号鍵を取得する。鍵取得部102は、送信または受信する通信データの長さに応じて暗号鍵を要求する。例えば、通信データの長さと暗号鍵の長さに基づいて、暗号鍵の要求を繰り返してもよいし、暗号鍵の要求において、必要な暗号鍵の長さを指定してもよい。
【0042】
暗号化/復号化部103は、鍵取得部102が取得した暗号鍵を用いて、暗号化処理または復号化処理を行う。暗号化/復号化部103は、送信する平文データを暗号化し、また、受信した暗号データを復号化する。暗号化/復号化部103は、例えば、ワンタイムパッド(one time pad:OTP)のようなバーナム暗号により暗号化/復号化を行う。すなわち、1ビットのデータに対し1ビットの暗号鍵を用いて暗号化/復号化を行い、使用した暗号鍵を使い捨てる。
【0043】
通信部104は、他の端末装置100と暗号通信を行う。通信部104は、暗号化/復号化部103により暗号化された暗号データを通信先の端末装置100へ送信する。また、通信部104は、通信元の端末装置100から暗号データを受信し、受信した暗号データから通信元ID及び通信先IDを特定する。
【0044】
図7は、本実施の形態に係る通信システムの動作例を示している。この動作例は、端末装置100における通信方法を含み、管理装置200における管理方法を含む。本実施の形態では、各拠点の管理装置200が1つの端末装置100を収容し、管理装置200または端末装置100のいずれかに通信元または通信先を識別する識別情報が設定される。この例では、拠点Aでは管理装置200-1に識別情報としてAPP-1が設定され、拠点Bでは管理装置200-2に識別情報としてAPP-2が設定されている。図7を用いて、拠点Aの端末装置100-1から拠点Bの端末装置100-2へデータを送信する例について説明する。
【0045】
まず、管理装置200-1及び管理装置200-2は、QKD装置300-1及びQKD装置300-2が生成した暗号鍵を含む鍵管理テーブルを共有している(S101)。図8は、このとき共有される鍵管理テーブルの具体例を示している。例えば、図8に示すように、鍵管理テーブルにQKD装置300が生成した暗号鍵が所定のビット単位で蓄積され、各暗号鍵に鍵IDが関連付けられて記憶されている。管理装置200-1及び管理装置200-2の鍵記憶部201は、同じビット単位で暗号鍵を記憶し、管理装置200-1及び管理装置200-2の鍵管理部202は、各暗号鍵に同じ方法で鍵IDを割り当てる。例えば、暗号鍵の生成順に、同じ初期値からインクリメントした値を鍵IDとして各暗号鍵に割り当てる。これにより、管理装置200-1及び管理装置200-2の鍵記憶部201に同じ鍵IDの同じ暗号鍵が記憶され、鍵管理テーブルが共有される。
【0046】
次に、送信側の端末装置100-1は、データを送信する際、通信元及び通信先を決定する(S102)。端末装置100-1において、データを送信するためにユーザが暗号通信用のアプリケーションを操作し、通信先(受信側)の端末装置を選択する。例えば、端末装置100-1のアプリケーション部101は、ユーザの操作に応じて選択された通信先の他の端末装置側(管理装置200-2)のIDを通信先ID=APP-2とし、通信元の自端末装置側(管理装置200-1)のIDを通信元ID=APP-1とする。
【0047】
次に、端末装置100-1は、通信元及び通信先を含む鍵要求を管理装置200-1へ送信する(S103)。端末装置100-1の鍵取得部102は、アプリケーション部101が決定した通信元ID=APP-1及び通信先ID=APP-2を含む鍵要求を、鍵供給インタフェースを介して管理装置200-1へ送信する。例えば、鍵取得部102は、1回の鍵要求により1つの暗号鍵を取得するため、暗号化/復号化するデータの長さと暗号鍵の長さに応じて、繰り返し鍵要求を送信する。
【0048】
次に、管理装置200-1は、端末装置100-1から鍵要求を受信すると、受信した鍵要求に含まれる通信元及び通信先に基づいて配布する暗号鍵を特定する(S104)。管理装置200-1の鍵管理部202は、鍵管理テーブルを参照し、鍵要求で指定された通信元ID=APP-1及び通信先ID=APP-2に該当する暗号鍵を検索する。例えば、図8の鍵管理テーブルの場合、通信元ID=APP-1及び通信先ID=APP-2に該当する暗号鍵がない。このため、鍵管理部202は、鍵管理テーブルで未割り当ての暗号鍵のうち先頭(例えば鍵IDが最小)の暗号鍵を通信元ID=APP-1及び通信先ID=APP-2用に割り当て、割り当てた暗号鍵を配布する暗号鍵とする。具体的には、図9に示すように、鍵ID=00001の暗号鍵を通信元ID=APP-1及び通信先ID=APP-2用に割り当て、割り当てた通信元ID及び通信先IDを暗号鍵に関連付けて鍵管理テーブルに格納する。
【0049】
なお、鍵管理テーブルに通信元ID=APP-1及び通信先ID=APP-2に該当する暗号鍵がある場合、通信元に配布するために、該当する暗号鍵(通信元に配布済)を除いて、未割り当ての暗号鍵のうち先頭の暗号鍵を通信元ID=APP-1及び通信先ID=APP-2用に割り当てる。
【0050】
次に、管理装置200-1は、特定された暗号鍵を端末装置100-1へ配布する(S105)。管理装置200-1の鍵供給部203は、鍵管理部202が割り当てた通信元ID=APP-1及び通信先ID=APP-2用の鍵ID=00001の暗号鍵を、鍵供給インタフェースを介して端末装置100-1へ送信する。
【0051】
次に、管理装置200-1は、端末装置100-1へ暗号鍵を配布すると、鍵管理テーブルを更新する(S106)。管理装置200-1の鍵管理部202は、暗号鍵の配布に応じて鍵管理テーブルの配布履歴を更新する。具体的には、図10に示すように、通信元ID=APP-1及び通信先ID=APP-2用の鍵ID=00001の暗号鍵について、通信元の端末装置100-1へ配布したため、配布履歴の通信元を配布済(図10の例では丸印)に設定する。
【0052】
次に、管理装置200-1は、管理装置200-2へ鍵配布情報を通知する(S107)。管理装置200-1の鍵共有部204は、鍵管理テーブルが更新されると(暗号鍵を配布すると)、更新された情報を共有するため、管理装置間の通信路を介して、鍵配布情報を管理装置200-2へ送信する。鍵共有部204は、通信元の端末装置100-1へ配布した暗号鍵に対応する鍵配布情報を管理装置200-2へ送信する。この例では、鍵配布情報は、鍵ID=00001、通信元ID=APP-1及び通信先ID=APP-2を含む。鍵共有部204は、通信先ID(APP-2)から通信先の端末装置100-2を収容する管理装置200-2を特定し、特定した管理装置200-2へ鍵配布情報を送信する。例えば、複数の通信路がある場合、特定した管理装置200-2に対応する通信路を介して鍵配布情報を送信する。
【0053】
次に、管理装置200-2は、管理装置200-1から鍵配布情報を受信すると、受信した鍵配布情報に応じて鍵管理テーブルを更新する(S108)。管理装置200-2の鍵管理部202は、鍵管理テーブルを参照し、受信した鍵配布情報に含まれる鍵ID=00001に該当する暗号鍵の情報を更新する。例えば、図8の鍵管理テーブルの状態で、鍵ID=00001に該当する暗号鍵を検索すると、該当する暗号鍵には、通信元ID及び通信先ID、配布履歴が未設定である。このため鍵ID=00001に該当する暗号鍵に、受信した鍵配布情報に含まれる通信元ID=APP-1及び通信先ID=APP-2を関連付け、さらに、送信側(通信元)の管理装置200-1から鍵配布情報を受信したため、配布履歴の通信元に配布済を設定する。更新後の鍵管理テーブルは、図10の状態となり、管理装置200-1及び管理装置200-2で鍵管理テーブルが共有される。
【0054】
一方、送信側の端末装置100-1は、管理装置200-1から暗号鍵が配布されると、送信データを暗号化する(S109)。端末装置100-1の暗号化/復号化部103は、取得された暗号鍵を用いて、パーナム暗号により送信データ(平文データ)を暗号化する。送信データの長さが暗号鍵の長さ以下の場合、1つの暗号鍵を使用して送信データを暗号化し、送信データの長さが暗号鍵の長さを超える場合、複数の暗号鍵を使用して送信データを暗号化する。例えば、暗号鍵が128Kバイトで送信データが100Kバイトの場合、取得した暗号鍵の先頭から100Kバイトを使用して送信データを暗号化する。また、暗号鍵が128Kバイトで送信データが200Kバイトの場合、2つの暗号鍵を取得し、1つ目の暗号鍵の128Kバイトと2つ目の暗号鍵の先頭から72Kバイトを使用して送信データを暗号化する。なお、復号化の場合も同様である。
【0055】
次に、端末装置100-1は、暗号化した暗号データを受信側の端末装置100-2へ送信する(S110)。端末装置100-1の通信部104は、暗号通信を行うため、端末装置間の通信路を介して、暗号データを端末装置100-2へ送信する。通信部104は、暗号データとともに、通信元ID=APP-1及び通信先ID=APP-2を含めて(例えばデータのヘッダに含めて)、端末装置100-2へ送信する。通信部104は、通信先ID(APP-2)から通信先の端末装置100-2を特定し、特定した端末装置100-2へ暗号データを送信する。例えば、複数の通信路がある場合、特定した端末装置100-2に対応する通信路を介して暗号データを送信する。
【0056】
次に、受信側の端末装置100-2は、端末装置100-1から暗号データを受信すると、通信元及び通信先を決定する(S111)。端末装置100-2の通信部104は、受信した暗号データから(例えばデータのヘッダから)通信元ID及び通信先IDを取得し、通信元ID=APP-1及び通信先ID=APP-2と決定する。
【0057】
次に、端末装置100-2は、通信元及び通信先を含む鍵要求を管理装置200-2へ送信する(S112)。端末装置100-2の鍵取得部102は、送信側の端末装置100-1と同様に、通信部104が決定した通信元ID=APP-1及び通信先ID=APP-2を含む鍵要求を、鍵供給インタフェースを介して管理装置200-2へ送信する。
【0058】
次に、管理装置200-2は、端末装置100-2から鍵要求を受信すると、受信した鍵要求に含まれる通信元及び通信先に基づいて配布する鍵を特定する(S113)。管理装置200-2の鍵管理部202は、送信側の管理装置200-1と同様に、鍵管理テーブルを参照し、鍵要求で指定された通信元ID=APP-1及び通信先ID=APP-2に該当する暗号鍵を検索する。例えば、図10の鍵管理テーブルの場合、通信元ID=APP-1及び通信先ID=APP-2に該当する暗号鍵(通信元に配布済、通信先に未配布)がある。このため、鍵管理部202は、通信元ID=APP-1及び通信先ID=APP-2に該当し、通信先に未配布である鍵ID=00001の暗号鍵を、通信先に配布する暗号鍵とする。なお、通信元ID=APP-1及び通信先ID=APP-2に該当する暗号鍵が複数ある場合、通信先に未配布で先頭(例えば鍵IDが最小)の暗号鍵を配布する暗号鍵とする。また、通信元ID=APP-1及び通信先ID=APP-2に該当する暗号鍵がない場合、送信側(S104)と同様に、鍵管理テーブルで未割り当ての暗号鍵のうち先頭の暗号鍵を配布用に割り当てる。
【0059】
次に、管理装置200-2は、特定された暗号鍵を端末装置100-2へ配布する(S114)。管理装置200-2の鍵供給部203は、鍵管理部202が特定した通信元ID=APP-1及び通信先ID=APP-2用の鍵ID=00001の暗号鍵を、鍵供給インタフェースを介して端末装置100-2へ送信する。
【0060】
次に、管理装置200-2は、端末装置100-2へ暗号鍵を配布すると、鍵管理テーブルを更新する(S115)。管理装置200-2の鍵管理部202は、送信側の管理装置200-1と同様に、暗号鍵の配布に応じて鍵管理テーブルの配布履歴を更新する。具体的には、図11に示すように、通信元ID=APP-1及び通信先ID=APP-2用の鍵ID=00001の暗号鍵について、通信先の端末装置100-2へ配布したため、配布履歴の通信先を配布済に設定する。
【0061】
次に、管理装置200-2は、管理装置200-1へ鍵配布情報を通知する(S116)。管理装置200-2の鍵共有部204は、鍵管理テーブルが更新されると、更新された情報を共有するため、送信側の管理装置200-1と同様に、管理装置間の通信路を介して、鍵配布情報を管理装置200-1へ送信する。鍵共有部204は、通信先の端末装置100-2へ配布した暗号鍵に対応する、鍵ID=00001、通信元ID=APP-1及び通信先ID=APP-2を含む鍵配布情報を、管理装置200-1へ送信する。鍵共有部204は、通信元ID(APP-1)から通信元の管理装置200-1を特定し、特定した管理装置200-1へ鍵配布情報を送信する。
【0062】
次に、管理装置200-1は、管理装置200-2から鍵配布情報を受信すると、受信した鍵配布情報に応じて鍵管理テーブルを更新する(S117)。管理装置200-1の鍵管理部202は、受信側の管理装置200-2と同様に、鍵管理テーブルを参照し、受信した鍵配布情報に含まれる鍵ID=00001に該当する暗号鍵の情報を更新する。例えば、図10の鍵管理テーブルの状態で、鍵ID=00001に該当する暗号鍵を検索すると、該当する暗号鍵には、通信元ID=APP-1及び通信先ID=APP-2が関連付けられており、配布履歴が通信元に配布済で通信先に未配布である。鍵ID=00001、通信元ID=APP-1及び通信先ID=APP-2に該当する暗号鍵について、受信側(通信先)の管理装置200-2から鍵配布情報を受信したため、配布履歴の通信先を配布済に設定する。更新後の鍵管理テーブルは、図11の状態となり、管理装置200-1及び管理装置200-2で鍵管理テーブルが共有される。
【0063】
一方、受信側の端末装置100-2は、管理装置200-2から暗号鍵が配布されると、端末装置100-1から受信した受信データ(暗号データ)を復号化する(S118)。端末装置100-2の暗号化/復号化部103は、取得された暗号鍵を用いて、パーナム暗号により受信した暗号データを平文データに復号化する。
【0064】
以上のように、本実施の形態では、端末装置が鍵IDの指定ではなく事前に設定した通信元ID及び通信先IDで鍵を指定することにより、管理装置から暗号鍵を取得する。これにより、関連する技術のように鍵IDによる鍵取得が不要となり、事前に鍵IDを共有する必要がない。そのため、端末装置側で一度設定することで、端末装置間がオンラインかどうかに関わらず、また、取得する鍵の量に制限なく、暗号鍵の取得が可能となる。
【0065】
(実施の形態2)
次に、実施の形態2について説明する。本実施の形態では、実施の形態1の通信システムにおいて、管理装置及び端末装置のそれぞれに識別情報が設定される例について説明する。通信システム及び各装置の構成は、実施の形態1と同様であるため、説明を省略する。
次に、実施の形態2について説明する。本実施の形態では、実施の形態1の通信システムにおいて、管理装置及び端末装置のそれぞれに識別情報が設定される例について説明する。通信システム及び各装置の構成は、実施の形態1と同様であるため、説明を省略する。
【0066】
図12及び図13は、本実施の形態に係る通信システムの動作例を示し、図14は、本実施の形態に係る鍵管理テーブルの具体例を示している。本実施の形態では、各拠点の管理装置200が2つの端末装置100を収容し、管理装置200及び端末装置100に通信元または通信先を識別する識別情報が設定される。この例では、拠点Aでは、管理装置200-1にAPP-1、端末装置100-1にTm-1、端末装置100-3にTm-3が設定され、拠点Bでは、管理装置200-2にAPP-2、端末装置100-2にTm-2、端末装置100-4にTm-4が設定されている。図14のように、本実施形態の鍵管理テーブルでは、暗号鍵に通信元ID(通信元管理装置ID)、通信先ID(通信先管理装置ID)、通信元端末ID及び通信先端末IDが関連付けられる。すなわち、鍵管理テーブルで暗号鍵に関連付けられる通信元識別情報及び通信先識別情報は、通信元及び通信先における端末装置100及び管理装置200の識別情報を含む。
【0067】
図12に示すように、拠点Aの端末装置100-1から拠点Bの端末装置100-2へデータを送信する場合、実施の形態1と同様、管理装置200-1及び管理装置200-2が鍵管理テーブルを共有している状態で(S101)、端末装置100-1は、データを送信する際、通信元及び通信先を決定し(S102)、鍵要求を管理装置200-1へ送信する(S103)。このとき、端末装置100-1は、ユーザの操作に応じて決定した通信元ID=APP-1、通信先ID=APP-2、通信元端末ID=Tm-1、通信先端末ID=Tm-2を含む鍵要求を管理装置200-1へ送信する。この例では、鍵要求で指定する通信元識別情報及び通信先識別情報は、鍵管理テーブルと同様に、通信元及び通信先における端末装置100の識別情報及び管理装置200の識別情報を含む。
【0068】
次に、管理装置200-1は、受信した鍵要求に含まれる通信元ID、通信先ID、通信元端末ID、通信先端末IDに基づいて配布する暗号鍵を特定し(S104)、特定した暗号鍵を端末装置100-1へ配布する(S105)。このとき、管理装置200-1は、鍵管理テーブルを参照し、鍵要求で指定された通信元ID=APP-1、通信先ID=APP-2、通信元端末ID=Tm-1、通信先端末ID=Tm-2に該当する暗号鍵を検索することで、配布する暗号鍵を特定する。例えば、管理装置200-1は、通信元ID=APP-1、通信先ID=APP-2、通信元端末ID=Tm-1、通信先端末ID=Tm-2用に割り当てた鍵ID=00001の暗号鍵を端末装置100-1へ送信する。
【0069】
次に、管理装置200-1は、鍵管理テーブルを更新し(S106)、管理装置200-2へ鍵配布情報を通知する(S107)。管理装置200-2は、受信した鍵配布情報に応じて鍵管理テーブルを更新する(S108)。この例では、鍵配布情報は、端末装置100-1に配布した暗号鍵の鍵ID=00001、通信元ID=APP-1、通信先ID=APP-2、通信元端末ID=Tm-1、通信先端末ID=Tm-2を含む。
【0070】
また、送信側の端末装置100-1は、配布された暗号鍵を用いて送信データを暗号化し(S109)、暗号化した暗号データを受信側の端末装置100-2へ送信する(S110)。このとき、端末装置100-1は、暗号データとともに、通信元ID=APP-1、通信先ID=APP-2、通信元端末ID=Tm-1、通信先端末ID=Tm-2を含めて、端末装置100-2へ送信する。
【0071】
次に、受信側の端末装置100-2は、受信した暗号データに基づいて通信元及び通信先を決定し(S111)、決定した通信元及び通信先を含む鍵要求を管理装置200-2へ送信する(S112)。このとき、端末装置100-2は、受信した暗号データから取得される通信元ID=APP-1、通信先ID=APP-2、通信元端末ID=Tm-1、通信先端末ID=Tm-2を含む鍵要求を管理装置200-2へ送信する。
【0072】
その後、実施の形態1及び送信側と同様に、管理装置200-2は、端末装置100-2へ暗号鍵を配布し(S113、S114)、鍵管理テーブルを更新及び鍵配布情報を通知する(S115-S117)。この例では、鍵配布情報は、端末装置100-2に配布した暗号鍵の鍵ID=00001、通信元ID=APP-1、通信先ID=APP-2、通信元端末ID=Tm-1、通信先端末ID=Tm-2を含む。また、端末装置100-2は、配布された暗号鍵を用いて受信した暗号データを復号化する(S118)。
【0073】
また、図13に示すように、拠点Aの端末装置100-3から拠点Bの端末装置100-4へデータを送信する場合、送信側の端末装置100-3は、通信元ID=APP-1、通信先ID=APP-2、通信元端末ID=Tm-3、通信先端末ID=Tm-4を含む鍵要求を管理装置200-1へ送信する(S103)。管理装置200-1は、例えば、端末装置100-3に配布した暗号鍵の鍵ID=00002、通信元ID=APP-1、通信先ID=APP-2、通信元端末ID=Tm-3、通信先端末ID=Tm-4を含む鍵配布情報を管理装置200-2へ通知する(S107)。受信側の端末装置100-4は、通信元ID=APP-1、通信先ID=APP-2、通信元端末ID=Tm-3、通信先端末ID=Tm-4を含む鍵要求を管理装置200-2へ送信する(S112)。管理装置200-2は、例えば、端末装置100-4に配布した暗号鍵の鍵ID=00002、通信元ID=APP-1、通信先ID=APP-2、通信元端末ID=Tm-3、通信先端末ID=Tm-4を含む鍵配布情報を管理装置200-1へ通知する(S116)。
【0074】
以上のように、本実施の形態では、管理装置及び端末装置に識別情報を設定し、端末装置からこれらの識別情報を含めて通信元及び通信先を指定し、暗号鍵を取得するようにした。これにより、各拠点で管理装置に複数の端末装置が収容される場合でも、各端末装置用に暗号鍵を指定できるため、各端末装置に確実に暗号鍵を配布することができる。
【0075】
なお、本開示は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。
【0076】
上述の実施形態における各構成は、ハードウェア又はソフトウェア、もしくはその両方によって構成され、1つのハードウェア又はソフトウェアから構成してもよいし、複数のハードウェア又はソフトウェアから構成してもよい。各装置及び各機能(処理)を、図15に示すような、CPU(Central Processing Unit)等のプロセッサ31及び記憶装置であるメモリ32を有するコンピュータ30により実現してもよい。例えば、メモリ32に実施形態における方法(通信方法や管理方法)を行うためのプログラムを格納し、各機能を、メモリ32に格納されたプログラムをプロセッサ31で実行することにより実現してもよい。
【0077】
これらのプログラムは、コンピュータに読み込まれた場合に、実施形態で説明された1又はそれ以上の機能をコンピュータに行わせるための命令群(又はソフトウェアコード)を含む。プログラムは、非一時的なコンピュータ可読媒体又は実体のある記憶媒体に格納されてもよい。限定ではなく例として、コンピュータ可読媒体又は実体のある記憶媒体は、random-access memory(RAM)、read-only memory(ROM)、フラッシュメモリ、solid-state drive(SSD)又はその他のメモリ技術、CD-ROM、digital versatile disc(DVD)、Blu-ray(登録商標)ディスク又はその他の光ディスクストレージ、磁気カセット、磁気テープ、磁気ディスクストレージ又はその他の磁気ストレージデバイスを含む。プログラムは、一時的なコンピュータ可読媒体又は通信媒体上で送信されてもよい。限定ではなく例として、一時的なコンピュータ可読媒体又は通信媒体は、電気的、光学的、音響的、またはその他の形式の伝搬信号を含む。
【0078】
以上、実施の形態を参照して本開示を説明したが、本開示は上記実施の形態に限定されるものではない。本開示の構成や詳細には、本開示のスコープ内で当業者が理解し得る様々な変更をすることができる。
【0079】
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
量子鍵配送された暗号鍵を管理する管理装置に対し通信元識別情報及び通信先識別情報を指定して暗号鍵を要求することで、前記管理装置から暗号鍵を取得する取得手段と、
前記取得された暗号鍵を用いて他の端末装置と暗号通信を行う通信手段と、
を備える端末装置。
(付記2)
前記通信元識別情報及び前記通信先識別情報は、前記管理装置と前記端末装置のいずれか、または両方の識別情報を含む、
付記1に記載の端末装置。
(付記3)
前記取得手段は、通信データの長さに応じて前記暗号鍵の要求する、
付記1または2に記載の端末装置。
(付記4)
前記取得手段は、通信データの長さと前記暗号鍵の長さに基づいて、前記暗号鍵の要求を繰り返す、
付記3に記載の端末装置。
(付記5)
前記通信手段は、バーナム暗号により暗号化または復号化を行う、
付記1乃至4のいずれか一項に記載の端末装置。
(付記6)
データを送信する場合、データの送信元及び送信先に応じて、前記通信元識別情報及び前記通信先識別情報を決定する決定手段を備え、
前記通信手段は、前記取得された暗号鍵により暗号化されたデータを前記他の端末装置へ送信する、
付記1乃至5のいずれか一項に記載の端末装置。
(付記7)
前記通信手段は、データを受信する場合、前記受信したデータに基づいて、前記通信元識別情報及び前記通信先識別情報を決定し、前記取得された暗号鍵により前記受信したデータを復号化する、
付記1乃至6のいずれか一項に記載の端末装置。
(付記8)
量子鍵配送された複数の暗号鍵を管理する管理手段と、
他の端末装置と暗号通信を行う端末装置からの通信元識別情報及び通信先識別情報を指定した暗号鍵の要求に基づいて、前記管理された暗号鍵の中から特定される暗号鍵を前記端末装置へ配布する配布手段と、
を備える管理装置。
(付記9)
前記通信元識別情報及び前記通信先識別情報は、前記管理装置と前記端末装置のいずれか、または両方の識別情報を含む、
付記8に記載の管理装置。
(付記10)
前記管理手段は、前記暗号鍵と前記通信元識別情報及び前記通信先識別情報とを関連付ける暗号鍵管理情報を管理する、
付記8または9に記載の管理装置。
(付記11)
前記管理手段は、前記暗号鍵管理情報において、前記要求により指定された通信元識別情報及び通信先識別情報に該当する暗号鍵がない場合、前記複数の暗号鍵から選択される暗号鍵に前記通信元識別情報及び前記通信先識別情報を関連付けることで、前記端末装置へ配布する暗号鍵を特定する、
付記10に記載の管理装置。
(付記12)
前記管理手段は、前記暗号鍵管理情報において、前記要求により指定された通信元識別情報及び通信先識別情報に該当する暗号鍵がある場合、前記該当する暗号鍵を前記端末装置へ配布する暗号鍵として特定する、
付記10または11に記載の管理装置。
(付記13)
前記他の端末装置を収容する他の管理装置との間で、前記暗号鍵管理情報を共有する共有手段を備える、
付記10乃至12のいずれか一項に記載の管理装置。
(付記14)
前記共有手段は、前記暗号鍵管理情報が更新された場合に、前記他の管理装置へ前記暗号鍵管理情報の更新を通知する、
付記13に記載の管理装置。
(付記15)
前記暗号鍵管理情報は、前記暗号鍵と暗号鍵識別情報とを関連付け、
前記共有手段は、前記通知として、前記暗号鍵管理情報において前記配布した暗号鍵に対応する前記暗号鍵識別情報、前記通信元識別情報及び前記通信先識別情報を前記他の管理装置へ送信する、
付記14に記載の管理装置。
(付記16)
前記共有手段は、前記通知を受信した場合、前記暗号鍵識別情報、前記通信元識別情報及び前記通信先識別情報に応じて、前記暗号鍵管理情報を更新する、
付記15に記載の管理装置。
(付記17)
前記暗号鍵管理情報は、前記暗号鍵と通信元及び通信先の前記端末装置への配布履歴とを関連付ける、
付記10乃至16のいずれか一項に記載の管理装置。
(付記18)
端末装置と管理装置とを備えた通信システムであって、
前記端末装置は、
前記管理装置に対し通信元識別情報及び通信先識別情報を指定して暗号鍵を要求することで、前記管理装置から暗号鍵を取得する取得手段と、
前記取得された暗号鍵を用いて他の端末装置と暗号通信を行う通信手段と、
を備え、
前記管理装置は、
量子鍵配送された複数の暗号鍵を管理する管理手段と、
前記端末装置からの通信元識別情報及び通信先識別情報を指定した暗号鍵の要求に基づいて、前記管理された暗号鍵の中から特定される暗号鍵を前記端末装置へ配布する配布手段と、
を備える通信システム。
(付記19)
量子鍵配送された暗号鍵を管理する管理装置に対し通信元識別情報及び通信先識別情報を指定して暗号鍵を要求することで、前記管理装置から暗号鍵を取得し、
前記取得された暗号鍵を用いて他の端末装置と暗号通信を行う、
端末装置の通信方法。
(付記20)
量子鍵配送された複数の暗号鍵を管理し、
他の端末装置と暗号通信を行う端末装置からの通信元識別情報及び通信先識別情報を指定した暗号鍵の要求に基づいて、前記管理された暗号鍵の中から特定される暗号鍵を前記端末装置へ配布する、
管理装置の管理方法。
(付記21)
量子鍵配送された暗号鍵を管理する管理装置に対し通信元識別情報及び通信先識別情報を指定して暗号鍵を要求することで、前記管理装置から暗号鍵を取得し、
前記取得された暗号鍵を用いて他の端末装置と暗号通信を行う、
処理をコンピュータに実行させるためのプログラムが格納された非一時的なコンピュータ可読媒体。
(付記22)
量子鍵配送された複数の暗号鍵を管理し、
他の端末装置と暗号通信を行う端末装置からの通信元識別情報及び通信先識別情報を指定した暗号鍵の要求に基づいて、前記管理された暗号鍵の中から特定される暗号鍵を前記端末装置へ配布する、
処理をコンピュータに実行させるためのプログラムが格納された非一時的なコンピュータ可読媒体。
(付記1)
量子鍵配送された暗号鍵を管理する管理装置に対し通信元識別情報及び通信先識別情報を指定して暗号鍵を要求することで、前記管理装置から暗号鍵を取得する取得手段と、
前記取得された暗号鍵を用いて他の端末装置と暗号通信を行う通信手段と、
を備える端末装置。
(付記2)
前記通信元識別情報及び前記通信先識別情報は、前記管理装置と前記端末装置のいずれか、または両方の識別情報を含む、
付記1に記載の端末装置。
(付記3)
前記取得手段は、通信データの長さに応じて前記暗号鍵の要求する、
付記1または2に記載の端末装置。
(付記4)
前記取得手段は、通信データの長さと前記暗号鍵の長さに基づいて、前記暗号鍵の要求を繰り返す、
付記3に記載の端末装置。
(付記5)
前記通信手段は、バーナム暗号により暗号化または復号化を行う、
付記1乃至4のいずれか一項に記載の端末装置。
(付記6)
データを送信する場合、データの送信元及び送信先に応じて、前記通信元識別情報及び前記通信先識別情報を決定する決定手段を備え、
前記通信手段は、前記取得された暗号鍵により暗号化されたデータを前記他の端末装置へ送信する、
付記1乃至5のいずれか一項に記載の端末装置。
(付記7)
前記通信手段は、データを受信する場合、前記受信したデータに基づいて、前記通信元識別情報及び前記通信先識別情報を決定し、前記取得された暗号鍵により前記受信したデータを復号化する、
付記1乃至6のいずれか一項に記載の端末装置。
(付記8)
量子鍵配送された複数の暗号鍵を管理する管理手段と、
他の端末装置と暗号通信を行う端末装置からの通信元識別情報及び通信先識別情報を指定した暗号鍵の要求に基づいて、前記管理された暗号鍵の中から特定される暗号鍵を前記端末装置へ配布する配布手段と、
を備える管理装置。
(付記9)
前記通信元識別情報及び前記通信先識別情報は、前記管理装置と前記端末装置のいずれか、または両方の識別情報を含む、
付記8に記載の管理装置。
(付記10)
前記管理手段は、前記暗号鍵と前記通信元識別情報及び前記通信先識別情報とを関連付ける暗号鍵管理情報を管理する、
付記8または9に記載の管理装置。
(付記11)
前記管理手段は、前記暗号鍵管理情報において、前記要求により指定された通信元識別情報及び通信先識別情報に該当する暗号鍵がない場合、前記複数の暗号鍵から選択される暗号鍵に前記通信元識別情報及び前記通信先識別情報を関連付けることで、前記端末装置へ配布する暗号鍵を特定する、
付記10に記載の管理装置。
(付記12)
前記管理手段は、前記暗号鍵管理情報において、前記要求により指定された通信元識別情報及び通信先識別情報に該当する暗号鍵がある場合、前記該当する暗号鍵を前記端末装置へ配布する暗号鍵として特定する、
付記10または11に記載の管理装置。
(付記13)
前記他の端末装置を収容する他の管理装置との間で、前記暗号鍵管理情報を共有する共有手段を備える、
付記10乃至12のいずれか一項に記載の管理装置。
(付記14)
前記共有手段は、前記暗号鍵管理情報が更新された場合に、前記他の管理装置へ前記暗号鍵管理情報の更新を通知する、
付記13に記載の管理装置。
(付記15)
前記暗号鍵管理情報は、前記暗号鍵と暗号鍵識別情報とを関連付け、
前記共有手段は、前記通知として、前記暗号鍵管理情報において前記配布した暗号鍵に対応する前記暗号鍵識別情報、前記通信元識別情報及び前記通信先識別情報を前記他の管理装置へ送信する、
付記14に記載の管理装置。
(付記16)
前記共有手段は、前記通知を受信した場合、前記暗号鍵識別情報、前記通信元識別情報及び前記通信先識別情報に応じて、前記暗号鍵管理情報を更新する、
付記15に記載の管理装置。
(付記17)
前記暗号鍵管理情報は、前記暗号鍵と通信元及び通信先の前記端末装置への配布履歴とを関連付ける、
付記10乃至16のいずれか一項に記載の管理装置。
(付記18)
端末装置と管理装置とを備えた通信システムであって、
前記端末装置は、
前記管理装置に対し通信元識別情報及び通信先識別情報を指定して暗号鍵を要求することで、前記管理装置から暗号鍵を取得する取得手段と、
前記取得された暗号鍵を用いて他の端末装置と暗号通信を行う通信手段と、
を備え、
前記管理装置は、
量子鍵配送された複数の暗号鍵を管理する管理手段と、
前記端末装置からの通信元識別情報及び通信先識別情報を指定した暗号鍵の要求に基づいて、前記管理された暗号鍵の中から特定される暗号鍵を前記端末装置へ配布する配布手段と、
を備える通信システム。
(付記19)
量子鍵配送された暗号鍵を管理する管理装置に対し通信元識別情報及び通信先識別情報を指定して暗号鍵を要求することで、前記管理装置から暗号鍵を取得し、
前記取得された暗号鍵を用いて他の端末装置と暗号通信を行う、
端末装置の通信方法。
(付記20)
量子鍵配送された複数の暗号鍵を管理し、
他の端末装置と暗号通信を行う端末装置からの通信元識別情報及び通信先識別情報を指定した暗号鍵の要求に基づいて、前記管理された暗号鍵の中から特定される暗号鍵を前記端末装置へ配布する、
管理装置の管理方法。
(付記21)
量子鍵配送された暗号鍵を管理する管理装置に対し通信元識別情報及び通信先識別情報を指定して暗号鍵を要求することで、前記管理装置から暗号鍵を取得し、
前記取得された暗号鍵を用いて他の端末装置と暗号通信を行う、
処理をコンピュータに実行させるためのプログラムが格納された非一時的なコンピュータ可読媒体。
(付記22)
量子鍵配送された複数の暗号鍵を管理し、
他の端末装置と暗号通信を行う端末装置からの通信元識別情報及び通信先識別情報を指定した暗号鍵の要求に基づいて、前記管理された暗号鍵の中から特定される暗号鍵を前記端末装置へ配布する、
処理をコンピュータに実行させるためのプログラムが格納された非一時的なコンピュータ可読媒体。
【符号の説明】
【0080】
1 通信システム
10 端末装置
11 取得部
12 通信部
20 管理装置
21 管理部
22 配布部
30 コンピュータ
31 プロセッサ
32 メモリ
100 端末装置
101 アプリケーション部
102 鍵取得部
103 暗号化/復号化部
104 通信部
200 管理装置
201 鍵記憶部
202 鍵管理部
203 鍵供給部
204 鍵共有部
300 QKD装置
401 アプリケーションレイヤ
402 鍵管理レイヤ
403 量子鍵生成レイヤ
10 端末装置
11 取得部
12 通信部
20 管理装置
21 管理部
22 配布部
30 コンピュータ
31 プロセッサ
32 メモリ
100 端末装置
101 アプリケーション部
102 鍵取得部
103 暗号化/復号化部
104 通信部
200 管理装置
201 鍵記憶部
202 鍵管理部
203 鍵供給部
204 鍵共有部
300 QKD装置
401 アプリケーションレイヤ
402 鍵管理レイヤ
403 量子鍵生成レイヤ
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】