特表2024-503055 | 知財ポータル「IP Force」

知財求人 - 知財ポータルサイト「IP Force」

▶ アーキットリミテッドの特許一覧

特表2024-503055鍵確立のためのシステムおよび方法

書誌要約請求の範囲詳細な説明課題実施例実施するための形態図面の説明

目に優しい文字サイズ小中大 PDF Top

< >

1a
1b
1c
2a
2b
2c
2d
2e
2f
2g
3a
3b
3c
3d
4a
4b

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】公表特許公報(A)

(11)【公表番号】

(43)【公表日】2024-01-24

(54)【発明の名称】鍵確立のためのシステムおよび方法

(51)【国際特許分類】

H04L 9/08 20060101AFI20240117BHJP

H04L 9/12 20060101ALI20240117BHJP

【ＦＩ】

H04L9/08 C

H04L9/12

【審査請求】未請求

【予備審査請求】未請求

(21)【出願番号】P 2023542684

(86)(22)【出願日】2022-01-13

(85)【翻訳文提出日】2023-09-06

(86)【国際出願番号】 GB2022050069

(87)【国際公開番号】W WO2022153051

(87)【国際公開日】2022-07-21

(31)【優先権主張番号】2100434.6

(32)【優先日】2021-01-13

(33)【優先権主張国・地域又は機関】GB

(81)【指定国・地域】

(71)【出願人】

【識別番号】522181326

【氏名又は名称】アーキットリミテッド

(74)【代理人】

【識別番号】100094569

【弁理士】

【氏名又は名称】田中伸一郎

(74)【代理人】

【識別番号】100103610

【弁理士】

【氏名又は名称】▲吉▼田和彦

(74)【代理人】

【識別番号】100109070

【弁理士】

【氏名又は名称】須田洋之

(74)【代理人】

【識別番号】100067013

【弁理士】

【氏名又は名称】大塚文昭

(74)【代理人】

【識別番号】100109335

【弁理士】

【氏名又は名称】上杉浩

(74)【代理人】

【識別番号】100120525

【弁理士】

【氏名又は名称】近藤直樹

(74)【代理人】

【識別番号】100139712

【弁理士】

【氏名又は名称】那須威夫

(74)【代理人】

【識別番号】100141553

【弁理士】

【氏名又は名称】鈴木信彦

(72)【発明者】

【氏名】ウェッブデイヴィッド

(72)【発明者】

【氏名】バーンズダリル

(72)【発明者】

【氏名】ウィリアムズデイヴィッド

(57)【要約】

量子によって安全が保障されたネットワークを使って第一の機器と第二の機器の間にキーを作成する方法、機器、およびシステムを、ここに示す。量子配布キー１セットを含む第一のキーノード、および同じセットの量子配布ふきーを含む第二のキーノードからなる。最初の機器は最初のキー作成データを少なくとも最初のキーノードを、そして二番目の機器はバイロケーションキーを計算するのにつかわれる。バイロケーションキーは第一のキーノードおよび第二のキーノードの一連の量子配布キーに基づいている。第二の機器は第二のキーノードのバイロケーションを要求するのに使用される第二のキー作成データ

【特許請求の範囲】

【請求項1】

ネットワーク内の第１のデバイスと第２のデバイスの間でキーを確立するコンピュータの実装方法であって、ネットワークは第１のキーノードと第２のキーノードを含み、第１のキーノードと第２のキーノードは同じキー一式にアクセスできる。その方法は以下のものである。
第１のデバイスにおいて、少なくとも第１のキーノードおよび第２のデバイスから、第１キーの確立したデータで代表なデータを受信し、これを用いてＢｉｌｏｃａｔｉｏｎＫｅｙを計算する。そこでのＢｉｌｏｃａｔｉｏｎＫｅｙは、キーの一式から選択されたキーに基づいている。
そして、第２のデバイスにおいては、第２のキーノードにＢｉｌｏｃａｔｉｏｎＫｅｙを要求する目的で、少なくとも第１のデバイスから第２キーの確立したデータで代表なデータを受信する。そこでのＢｉｌｏｃａｔｉｏｎＫｅｙは、キーの一式から選択されたキーに基づいて計算されている。
ここで、第１および第２のデバイスは、それぞれ対応するＢｉｌｏｃａｔｉｏｎＫｅｙを使用して、第１キーおよび第２キーそれぞれの確立したデータのうち、合意された部分に基づいてＦｉｎａｌＫｅｙを生成する。

【請求項2】

クレーム１のコンピュータ実装方法において、第１のデバイスと第２のデバイスは量子セキュアネットワークを使用している。このネットワークは、第１のキーノードと第２のキーノードを含んでおり、これらキーノードの一式は、量子分散キーの一式であり、同様のものである。本方法はさらに以下の事を含んでいる。
第１のデバイスにおいて、ＢｉｌｏｃａｔｉｏｎＫｅｙの計算に使用するために、少なくとも第１のキーノードと第２のデバイスから第１キーの確立したデータで代表データを受信する。そこでのＢｉｌｏｃａｔｉｏｎＫｅｙは、一連の量子分散キーの中から選び出されたキーに基づいている。
そして、第２のデバイスにおいては、第２のキーノードにＢｉｌｏｃａｔｉｏｎＫｅｙを要求する目的で、少なくとも第１のデバイスから第２キーの確立したデータで代表するデータを受信する。そこにおいても、ＢｉｌｏｃａｔｉｏｎＫｅｙは一連の量子分散キーの中から選び出されたキーに基づいて計算がなされている。
ここで、第１および第２のデバイスは、それぞれ対応するＢｉｌｏｃａｔｉｏｎＫｅｙを使用して、第１キーおよび第２キーそれぞれの確立したデータのうち、合意された部分に基づいてＦｉｎａｌＫｅｙを生成する。

【請求項3】

クレーム１あるいは２のコンピュータ実装方法においては、ＦｉｎａｌＫｅｙは第１と第２それぞれのデバイスによって計算され、ＢｉｌｏｃａｔｉｏｎＫｅｙと、第１または第２のセッションで確立したデータに受容された、１または複数のランダムノンスの合意結合との組み合わせに基づいて計算されている。

【請求項4】

クレーム１からクレーム３のいずれかに記載のコンピュータ実装方法においては、ＦｉｎａｌＫｅｙは、第１および第２のデバイスの各々によって、対応するＢｉｌｏｃａｔｉｏｎＫｅｙと、ＦｉｎａｌＫｅｙに合意するために使用されるチャレンジ・レスポンス・プロトコルに基づいて計算されることを特徴としている。

【請求項5】

先のクレームのコンピュータ実装方法においては、第１のデバイスで、第１のセッションの確立データで代表的なデータを受信する際にさらに下記の事が含まれる。
第２のデバイスとの間で第１の応答確認を実行し、第２のデバイスと第２のキーノードに関連付けられたＩＤデータで代表的なものと、第２のデバイスによって生成された第１のノンスを受信する。
第１のキーノードにＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙを要求する。その要求には、検索されたＩＤデータで代表的なものと、受信した第１のノンスと第１のデバイスによって生成された第２のノンスから計算された第３のノンスとが含まれている。そこで、第１のキーノードは要求データとキーセットから選択されたキーを使用し、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙと第１のアンチ・リプレイ・ノンスとを確立する。
第１のキーノードからＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙと第１のアンチリプレイ・ノニースを受信する。
第２のデバイスが第２のキーノードからＢｉｌｏｃａｔｉｏｎＫｅｙと第２のアンチリプレイ・ノンスを受信した後、第２のデバイスから第２のアンチリプレイ・ノンスを受信するために、第２のデバイスとさらなる応答確認を実行する。

【請求項6】

クレーム５のコンピュータ実施方法においては、第２のデバイスで、第２のセッション確立データで代表なものを受信する際にさらに下記の事を含んでいる。
第１のデバイスとの間で第２の応答確認を実行し、第１のデバイスおよび第１のキーノードに関連付けられたＩＤデータで代表的なものと、第１のアンチ・リプレイ・ノンスおよび第２のノンスを受信する。
第２のキーノードにＢｉｌｏｃａｔｉｏｎＫｅｙを要求する。要求には、検索されたＩＤデータで代表的なもの、第１のノンスと第２のノンスから計算された第３のノンス、および第１のアンチ・リプレイ・ノンスが含まれ、第２のキーノードは、要求データと一連のキーから選び出されたキーを使用してＢｉｌｏｃａｔｉｏｎＫｅｙを生成する。
第２のキーノードからＢｉｌｏｃａｔｉｏｎＫｅｙを受信し、第２のキーノードによって生成された第２のアンチ・リプレイ・ノンスを受信する。

【請求項7】

先のクレームのコンピュータ実装方法においては、第１のデバイスで、第１のセッション確立データで代表的なものを受信する際にさらに下記の事が含まれる。
第１のデバイスが第１の応答確認要求を送信する。これは、第２のデバイスが、第２のデバイスのアイデンティティ、第２のキーノードのアイデンティティ、および第２のデバイスによって生成された第１のノンスに関する代表的なデータを提供するために行う。
第２のデバイスから、生成された第１のノンス、第２のデバイスの識別情報、および第２のキーノードの識別情報を代表するデータを受信し、第１のデバイスによって第２のランダムノンスを生成する。
第１のデバイスが第１のキーノードにＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙの要求を送信する。この要求には、第２のデバイスの識別情報、第２のノードの識別情報、第１および第２の非通知の組み合わせに基づく第３のノンスに関する代表的なデータが含まれている。
第１のデバイスにおいて、第１のキーノードによって確立されたＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙと、第１のキーノードによって生成された第１のアンチ・リプレイ・ノンスを受信する。
第１のデバイスが、第２の応答確認メッセージを第２のデバイスに送信する。ここには、第２のノンスと第１のアンチ・リプレイ・ノンス、第１のデバイスの識別情報および第１のキーノードの識別情報に関する代表的なデータが含まれている。
受信した第２のノンスと生成された第１のノンスに基づいて、第２のデバイスで第３のノンスを生成する。
第２のデバイスが、第２のキーノードへのＢｉｌｏｃａｔｉｏｎＫｅｙの要求を送信する。ここには、第３および第１のアンチ・リプレイ・ノンス、第１のデバイスの識別情報、および第１の鍵ノードの識別情報に関する代表的なデータが含まれている。
第２のデバイスにおいて、第２のキーノードによって確立されたＢｉｌｏｃａｔｉｏｎＫｅｙと、第２のキーノードによって生成された第２のアンチ・リプレイ・ノンスを受信する。第２のキーノードはＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙの生成に基づいてＢｉｌｏｃａｔｉｏｎＫｅｙを確立し、第２のデバイスによって得られたデータと、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙと第２のアンチ・リプレイ・ノンスの組み合わせによって得られたデータがその基礎となっている。
第２のデバイスが、さらなる応答確認メッセージで、受信した第２のアンチ・リプレイ・ノンスを第１のデバイスに送信する。
第１のデバイスにおいて、受信した第２のアンチ・リプレイ・ノンスと受信したＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙとの組み合わせに基づいて、ＢｉｌｏｃａｔｉｏｎＫｅｙを生成する。
ここで、第１のデバイスと第２のデバイスはそれぞれ、少なくともＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙに基づいて、両者間にＦｉｎａｌＫｅｙを確立する。

【請求項8】

クレーム５から７のコンピュータ実装方法はさらに、第１のキーノードにおいて、第１のデバイスがＢｉｌｏｃａｔｉｏｎＫｅｙを計算する際に使用するＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙの確立を含んでいる。このＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙの確立は、以下の事を含んでいる。
第１のキーノードにおいて、第１のデバイスから、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙを生成するためのＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙ要求を受信する。その要求には、第２のデバイスの識別情報、第２のキーノードの識別情報、および第２のデバイスによって生成された第１のランダムノンスと第１のデバイスによって生成された第２のランダムノンスとから導出される第３のノンスに関する代表的なデータが含まれている。
第１のキーノードにおいて、少なくとも第２のデバイスの識別情報、第２のキーノードの識別情報、第１のデバイスの識別情報、第１のキーノードの識別情報、および第３のノンスに関する代表的なデータに基づきインプットを行い、第１のキーノードによってアクセス可能なキーの集合からキーを選択する。第１の鍵ノードによってアクセス可能なキーの集合は、第２のキーノードによってアクセス可能なキーの集合と同じである。
第１のキーノードにおいて、第１のランダムアンチ・リプレイ・ノンスを生成する。同じく、第１のキーノードにおいて、選択されたキー、第１のアンチ・リプレイ・ノンス、第２のデバイスの識別情報、第２のキーノードの識別情報、第１のデバイスの識別情報、第１のキーノードの識別情報、および第３のノンスに基づいて、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙを生成する。
第１のキーノードから第１のデバイスへ、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙと第１のアンチリプレイ・ノンスを送信する。

【請求項9】

クレーム５から８のコンピュータ実装方法はさらに、第２のキーノードにおいて、第２のデバイスがキーを計算する際に使用するためのＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙの確立を含んでいる。ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙの確立は以下のことを含んでいる。
第２のキーノードにおいて、第２のデバイスからＢｉｌｏｃａｔｉｏｎＫｅｙの要求を受信する。この要求には、第１のデバイスの識別情報、第１のキーノードの識別情報、第２のデバイスによって生成された第１のランダムノンス、および第１のデバイスによって生成された第２のランダムノンスから導出された第３のノンス、および第２のデバイスにおいて第１のデバイスから受信された第１のアンチ・リプレイ・ノンスに関する代表的なデータが含まれている。
少なくとも第２のデバイスの識別情報、第２のキーノードの識別情報、第１のデバイスの識別情報、第１のキーノードの識別情報、および第３のノンスに基づくキー選択アルゴリズムを使用して、第２のキーノードによってアクセス可能な一連のキーからキーを選択する。第１のキーノードがアクセス可能な一連のキーは、第２のキーノードがアクセス可能なキーと同じである。
第２のキーノードにおいて、選択されたキー、第１のアンチ・リプレイ・ノンス、第２のデバイスの識別情報、第２のキーノードの識別情報、第１のデバイスの識別情報、第１のキーノードの識別情報、および第３のノンスに基づいて、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙを生成する。
第２のキーノードにおいて、第２のランダムなアンチ・リプレイ・ノンスを生成し、第２のキーノードにおいて、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙと第２のアンチ・リプレイ・ノンスの組み合わせに基づいて、ＢｉｌｏｃａｔｉｏｎＫｅｙを生成する。
第２のキーノードから第２のデバイスに、ＢｉｌｏｃａｔｉｏｎＫｅｙと第２のアンチ・リプレイ・ノンスの代表データを送信する。

【請求項10】

クレーム５から９のコンピュータ実装方法はさらに、第１のデバイスからＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙの要求を送信する際に以下のことを含む。。
第１のデバイスによって、第２のランダムノンスＮ＿Ｉを生成し、第１のデバイスによって、第２のランダムノンスＮ＿Ｉと第１のランダムノンスＮ＿Ｒに基づいて第３のノンスＮ＿ＩＲを生成する。；
第１のデバイスによって、少なくとも、第２のデバイスのＩＤ＿Ｒ、第２のキーノードのＩＤ＿ＫＩＤ＿Ｒ、および第３のノンスＮ＿ＩＲ’の代表データに基づいて、第１の不完全リンク情報データパケットＬ＿Ｉを作成する、
第１のデバイスから第１のキーノードへ、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙの要求を送信する。

【請求項11】

クレーム１０のコンピュータ実装方法では、第１の不完全リンク情報パケットは、Ｌ＿Ｉ＝｛ＩＤ＿Ｒ，ＫＩＤ＿Ｒ，Ｎ＿ＩＲ｝の形をとる。

【請求項12】

クレーム１０のコンピュータ実装方法では、第３のノンスＮ＿ＩＲの代表データは、第３のノンスＮ＿ＩＲ’のハッシュの代表データを含んでいる。

【請求項13】

クレーム１２のコンピュータ実装方法では、第１の不完全リンク情報パケットは、Ｌ＿Ｉ＝｛ＩＤ＿Ｒ，ＫＩＤ＿Ｒ，Ｎ＿ＩＲ’｝の形をとる。

【請求項14】

クレーム１０から１３のいずれかに記載のコンピュータ実施方法では、第１のキーノードはＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙを確立し、さらに以下のことを含む。
第１のキーノードにおいて、第１のデバイスから、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙを受信する。
第１のキーノードが、少なくとも第１のデバイスの識別情報ＩＤ＿Ｉ、第１のキーノードの識別情報ＫＩＤ＿Ｉ、受信した第１の不完全リンク情報パケットＬ＿Ｉを代表するデータを使用して、第１の完全リンク情報データパケットＬ＿Ｉを生成する。
第１のキーノードは、＃（Ｌ’）で示されるＬ’のハッシュを計算し、＃（Ｌ’）を、第１のキーノードと第２のキーノードに関連付けられたキーのセットを選択するためのインデックスとして使用する。
第１のキーノードが、完全なリンクインフォＬ’に適用されるキー選択関数を使用して、第１のキーノードによってアクセス可能なキーのセットからキーＫ＿Ｑを選択する；
第１のキーノードが、第１のランダムアンチ・リプレイ・ノンスＮ＿ＲＥＰＩを生成する。
第１のキーノードが、第２のキーノードのＩＤ＿Ｒに基づいて、第２のキーノードに関連付けられたＩＤキーＫ＿Ｒのルックアップを実行する。
第１のキーノードによって、第１のキーノードに関連付けられたＩＤキーＫ＿Ｉのルックアップを実行する。
第１の完全なリンク情報、選択されたキーＫ＿Ｑ、第１のキーノードの識別キーＫ＿Ｉ、第２のキーノードの識別キーＫ＿Ｒ、および第１のアンチ・リプレイ・ノンスＮ＿ＲＥＰＩの代表データを組み合わせて、第１のキーノードによって、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙＫ＿ＩＢＫを作成する。
第１のキーノードから第１のデバイスへ、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙＫ＿ＩＢＫと第１のアンチ・リプレイ・ノンスＮ＿ＲＥＰＩを送信する。

【請求項15】

クレーム１０または１１に従属するクレーム１４に記載のコンピュータ実装方法では、第１の完全なリンク情報パケットは、Ｌ’＝（ＩＤ＿Ｉ｜｜ＫＩＤ＿Ｉ｜｜Ｌ＿Ｉ．ＩＤ＿Ｒ｜｜Ｌ＿Ｉ．ＫＩＤ＿Ｒ｜｜Ｌ＿Ｉ．Ｎ＿ＩＲ）の形をとり、｜｜は連結を示す。

【請求項16】

クレーム１２または１３に従属するクレーム１４に記載のコンピュータ実装方法では、第１の完全なリンク情報パケットは、Ｌ’＝（ＩＤ＿Ｉ｜｜ＫＩＤ＿Ｉ｜｜Ｌ＿Ｉ．ＩＤ＿Ｒ｜｜Ｌ＿Ｉ．ＫＩＤ＿Ｒ｜｜Ｌ＿Ｉ．Ｎ＿ＩＲ’）の形をとり、｜｜は連結を示す。

【請求項17】

クレーム１４から１６のいずれかに記載のコンピュータ実装方法では、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙＫ＿ＩＳは、Ｋ＿ＩＳ＝＃（Ｋ＿Ｑ，＃（Ｌ’），Ｎ＿ＲＥＰＩ）ＸＯＲＫ＿ＩＸＯＲＫ＿Ｒに基づいて作成される。

【請求項18】

クレーム１４から１７のいずれかに記載のコンピュータ実装方法では、キー選択機能は、以下のうちの１つ以上を含む。Ｎ＞＝１ならば＃（Ｌ’）の最下位Ｎビットを選択する。Ｎ＞＝１ならば、＃（Ｌ’）の最上位Ｎビットを選択する。Ｎ＞＝１ならば、＃（Ｌ’）のＮビットの特定部分を選択する。Ｎ＞＝１ならば、＃（Ｌ’）の最下位Ｎビットを選択する。Ｎ＞＝１ならば、＃（Ｌ’）の最下位Ｎビットを選択する。Ｎ＞＝１ならば、キー一式からキー選択するための特定インデックスの生成に適した他の選択関数または＃（Ｌ）を表す配列内の任意の数の要素から選択するように構成された他の任意関数。

【請求項19】

クレーム５から１８に記載のコンピュータ実装方法では、第２のデバイスから、ＢｉｌｏｃａｔｉｏｎＫｅｙリクエストを送信する際にをさらに以下の事を含む。
第１のデバイスから第２のデバイスで、第２のランダムノンスＮ＿Ｉと第１のアンチ・リプレイ・ノンスＮ＿ＲＥＰＩを受信する。
第２のデバイスによって、第２のランダムノンスＮ＿Ｉと第１のランダムノンスＮ_Rに基づいて、第３のノンスＮ＿ＩＲを生成する。
第２のデバイスによって、少なくとも第１のデバイスのＩＤ＿Ｉ、第１のキーノードのＩＤ＿ＫＩＤ＿Ｉ、および第３のノンスＮ＿ＩＲ’の代表データに基づいて、第２の不完全リンク情報データパケットＬ＿Ｒを作成する。
第２のデバイスから第２のキーノードに、第２の不完全リンク情報データパケットＬ＿Ｒと、第１のアンチ・リプレイ・ノンスＮ＿ＲＥＰＩの代表データを含む、ＢｉｌｏｃａｔｉｏｎＫｅｙの要求を送信する。

【請求項20】

クレーム１９のコンピュータ実装方法では、第２の不完全リンク情報パケットは、Ｌ＿Ｒ＝｛ＩＤ＿Ｉ，ＫＩＤ＿Ｉ，Ｎ＿ＩＲ｝の形式をとる。

【請求項21】

クレーム１９に記載のコンピュータ実装方法では、第３のノンスＮ＿ＩＲの代表データは、第３のノンスＮ＿ＩＲ’のハッシュの代表データを含む。

【請求項22】

クレーム２１に記載のコンピュータ実装方法では、第１の不完全リンク情報パケットは、Ｌ＿Ｉ＝｛ＩＤ＿Ｒ，ＫＩＤ＿Ｒ，Ｎ＿ＩＲ’｝の形式をとる。

【請求項23】

クレーム１９から２２のいずれかに記載のコンピュータ実施方法では、第２のキーノードは、ＢｉｌｏｃａｔｉｏｎＫｅｙを確立する際にさらに下記の事を含む。
第２のデバイスは、第２のキーノードで、第２の不完全リンク情報データパケットＬ＿Ｒと、第１のアンチ・リプレイ・ノンスＮ＿ＲＥＰＩの代表データを含む、ＢｉｌｏｃａｔｉｏｎＫｅｙの要求を受信する。
第２のキーノードは、少なくとも、第２のデバイスの識別情報ＩＤ＿Ｒ、第２のキーノードの識別情報ＫＩＤ＿Ｒ、および受信した第２の不完全リンク情報パケットＬ＿Ｒの代表データを使用して、第２の完全リンク情報データパケットＬ’を生成する。
第２のキーノードは、＃（Ｌ’）で示されるＬ’のハッシュを計算し、＃（Ｌ’）を第２のキーノードと第１のキーノードに関連付けられたキー一式を選択するためのインデックスとして使用する。
第２のキーノードは、第２の完全リンク情報Ｌ’に適用されるキー選択関数を使用して、第２のキーノードのキー一式からキーＫ＿Ｑを選択する。
第２のキーノードは、第２のランダムアンチ・リプレイ・ノンスＮ＿ＲＥＰＲを生成する。
第２のキーノードは、第１のキーノードの識別情報ＫＩＤ＿Ｉに基づいて、第１のキーノードに関連付けられた識別情報Ｋ＿Ｉのルックアップを実行する。
第２のキーノードは、第２のキーノードに関連付けられた識別キーＫ＿Ｒのルックアップを実行する。
第２の完全なリンク情報と選択されたキーのデータを組み合わせて、第２のキーノードがＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙＫ＿ＩＢＫを作成する。
Ｋ＿Ｑは第１のキーノードの識別キーを、Ｋ＿Ｉは第２のキーノードの識別キーを、Ｋ＿Ｒは第１のアンチ・リプレイ・ノンスを、そしてＮ＿ＲＥＰＩは、
第２の鍵ノードが、次のデータを結合することに基づいて、ＢｉｌｏｃａｔｉｏｎＫｅｙＫ＿ＢＫを生成する。つまり、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙＫ＿ＩＢＫと、第２のアンチ・リプレイ・ノンスＮ＿ＲＥＰＲを生成する。そして、
第２のキーノードから第２のデバイスへ、ＢｉｌｏｃａｔｉｏｎＫｅｙＫ＿ＢＫと第２のアンチ・リプレイ・ノンスＮ＿ＲＥＰＲを送信する。

【請求項24】

クレーム１９または２０に従属するクレーム２３のコンピュータ実装方法では、第２の完全なリンク情報パケットは、Ｌ’＝（Ｌ＿Ｒ．ＩＤ＿Ｉ｜｜Ｌ＿Ｒ．ＫＩＤ＿Ｉ｜｜ＩＤ＿Ｒ｜｜ＫＩＤ＿Ｒ｜｜Ｌ＿Ｒ．Ｎ＿ＩＲ）の形をとり、｜｜は連結を示す。

【請求項25】

クレーム２１または２２に従属するクレーム２３のコンピュータ実装方法では、第２の完全なリンク情報パケットは、Ｌ’＝（Ｌ＿Ｒ．ＩＤ＿Ｉ｜｜Ｌ＿Ｒ．ＫＩＤ＿Ｉ｜｜ＩＤ＿Ｒ｜｜ＫＩＤ＿Ｒ｜｜Ｌ＿Ｒ．Ｎ＿ＩＲ’）の形をとり、｜｜は連結を示す。

【請求項26】

クレーム２３から２５のいずれかに記載のコンピュータ実装方法では、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙＫ＿ＩＢＫは、Ｋ＿ＩＢＫ＝＃（Ｋ＿Ｑ，＃（Ｌ’），Ｎ＿ＲＥＰＩ）ＸＯＲＫ＿ＩＸＯＲＫ＿Ｒに基づいて作成される。

【請求項27】

クレーム２３から２６のいずれかのコンピュータ実装方法では、ＢｉｌｏｃａｔｉｏｎＫｅｙであるＫ＿ＢＫは、Ｋ＿ＢＫ＝＃（Ｋ＿ＩＢＫ，Ｎ＿ＲＥＰＲ）に基づいて作成される。

【請求項28】

クレーム２７のコンピュータ実装方法では、ＢｉｌｏｃａｔｉｏｎＫｅｙＫ＿ＢＫのは、最終的なＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙＫ＿ＢＫ’の生成を含む。

【請求項29】

請求項２８のコンピュータ実装方法では、最終的なＢｉｌｏｃａｔｉｏｎＫｅｙであるＫ＿ＢＫ’が、Ｋ＿ＢＫ’＝＃（Ｎ＿ＩＲ，Ｋ＿ＢＫ）’に基づいて作成される。

【請求項30】

先のクレームのいずれかのコンピュータ実装方法では、ＦｉｎａｌＫｅｙは、第１および第２のデバイスの各々によって、対応するＢｉｌｏｃａｔｉｏｎＫｅｙと合意されたノンスとの組み合わせに基づいて計算される。

【請求項31】

３１クレーム２８または２９のコンピュータ実装方法では、ＦｉｎａｌＫｅｙは、第１および第２のデバイスの各々によって、対応する最終的なＢｉｌｏｃａｔｉｏｎＫｅｙと合意されたノンスとの結合に基づいて計算される。

【請求項32】

先のクレームのいずれかのコンピュータ実装方法では、第２のデバイスによる、ノンスＮ＿Ｔの生成とノンスＮ＿Ｔの第１のデバイスへの送信をさらに含んでおり、さらなるノンスがＦｉｎａｌＫｅｙを計算するために使用される。

【請求項33】

クレーム３２のコンピュータ実装方法では、ＦｉｎａｌＫｅｙは、以下のグループからの１つに基づいて計算される。すなわち、Ｋ＿Ｓ＝Ｋ＿ＢＫ×ＯＲ・Ｎ＿Ｔ、Ｋ＿Ｓ＝Ｋ＿ＢＫ×ＯＲ・Ｋ＿ＥＮ×ＯＲ・Ｎ＿Ｔ、Ｋ＿ＢＫ’×ＯＲ・Ｎ＿Ｔ、Ｋ＿Ｓ＝Ｋ＿ＢＫ’×ＯＲ・Ｋ＿ＥＮ×ＯＲ・Ｎ＿Ｔ（Ｋ＿ＥＮは第１および第２のデバイス間で使用される暗号化キー）、Ｋ＿Ｓ＝Ｋ＿ＢＫ×ＯＲ・Ｋ＿ＴＬＳ×ＯＲ・Ｎ＿Ｔ、Ｋ＿Ｓ＝Ｋ＿ＢＫ’×ＯＲ・Ｋ＿ＴＬＳ×ＯＲ・Ｎ＿Ｔ（Ｋ＿ＴＬＳは第１および第２のデバイス間で使用されるＴＬＳセッションキー）。

【請求項34】

先のいずれかのコンピュータ実装方法では、ＦｉｎａｌＫｅｙは、第１および第２のデバイスの各々によって、対応するＢｉｌｏｃａｔｉｏｎＫｅｙＫ＿ＢＫから導出される中間キー値Ｋ＿Ｘと、ＦｉｎａｌＫｅｙに合意するために使用されるチャレンジ・レスポンス・プロトコルとに基づいて計算され、チャレンジ・レスポンス・プロトコルはさらに以下を含む。
第１のデバイスで、第１のチャレンジ・ノンスＣ＿Ｉを作成する
第２のデバイスで、第２のチャレンジ・ノンスＣ＿Ｒを作成する
第１のデバイスから第２のデバイスに、第１のチャレンジ・ノンスＣ＿Ｉを送信する
第２のデバイスから第１のデバイスに、第２のチャレンジ・ノンスＣ＿Ｒを送信する
第１のデバイスにおいて、以下の値に基づいてＣ＿Ｉおよび受信したＣ＿Ｒを使用して、第１の符号付き応答を計算する。
Ｘ＿Ｉ＝＃（Ｋ＿Ｘ，Ｃ＿Ｉ，０）；Ｘ＿Ｒ＝＃（Ｋ＿Ｘ，Ｃ＿Ｒ，１）；Ｒ＿Ｉ＝＃（Ｘ＿Ｉ，Ｃ＿Ｒ）；Ｒ＿Ｒ＝＃（Ｘ＿Ｒ，Ｃ＿Ｉ）
（ここの＃はハッシュ関数）
第２のデバイスにおいて、以下の値に基づいて、Ｃ＿Ｒと受信したＣ＿Ｉを使用して第２の符号付き応答を計算する。
Ｘ＿Ｉ＝＃（Ｋ＿Ｘ，Ｃ＿Ｉ，０）；Ｘ＿Ｒ＝＃（Ｋ＿Ｘ，Ｃ＿Ｒ，１）；Ｒ＿Ｉ＝＃（Ｘ＿Ｉ，Ｃ＿Ｒ）；Ｒ＿Ｒ＝＃（Ｘ＿Ｒ，Ｃ＿Ｉ）
（ここの＃は第１のデバイスで使用されたものと同じハッシュ関数）
第１のデバイスから第２のデバイスに、第１の署名付き応答Ｒ＿Ｉを送信し、第２のデバイスから第１のデバイスに、第２の署名付き応答Ｒ＿Ｒを送信し、第１のデバイスにおいて、第２のデバイスから受信したＲ＿Ｒが、第１のデバイスによって計算されたＲ＿Ｒの値と一致すると判断したことに応答して、Ｋ＿Ｓ＝Ｘ＿ＩＸＯＲＸ＿ＲとしてＦｉｎａｌＫｅｙを計算する。
第２のデバイスにおいて、第１のデバイスから受信したＲ＿Ｉが、第２のデバイスによって計算されたＲ＿Ｉの値と一致すると判断したことに応答して、Ｋ＿Ｓ＝Ｘ＿ＩＸＯＲＸ＿ＲとしてＦｉｎａｌＫｅｙを計算する。
受信した署名付き応答が、計算された署名付き応答と一致しないと判断された場合には、第１のデバイスおよび／または第２のデバイスのいずれかに応答して、接続を放棄する。

【請求項35】

クレーム３４のコンピュータ実装方法では、中間キー値Ｋ＿Ｘは、以下のグループからの少なくとも１つに基づいて、第１および第２のデバイスの両方で計算される。
Ｋ＿Ｘ＝Ｋ＿ＢＫ；
Ｋ＿Ｘ＝＃（Ｋ＿ＢＫ，Ｋ＿ＴＬＳ）
（ここでＫ＿ＴＬＳは、第１デバイスと第２デバイスの間のＴＬＳセッションキー）
Ｋ＿Ｘ＝Ｋ＿ＢＫＸＯＲＫ＿ＴＬＳ
（ここでＫ＿ＴＬＳは第１と第２のデバイス間のＴＬＳセッションキー）
Ｋ＿Ｘ＝＃（Ｋ＿ＢＫ，Ｋ＿ＥＮ）
（ここでＫ＿ＥＮは第１と第２のデバイス間で共有されるキー）
Ｋ＿Ｘ＝Ｋ＿ＢＫＸＯＲＫ＿ＥＮ
（ここでＫ＿ＥＮは第１および第２のデバイス間で共有されるキー）
そして、Ｋ＿ＢＫを第１および第２のデバイスの両方が知っている１つまたは複数の合意された値で変更するための他の関数。

【請求項36】

クレーム２８またはクレーム２８に従属するクレーム２９からクレーム３３いずれかのコンピュータ実装方法では、ＦｉｎａｌＫｅｙは、第１および第２のデバイスの各々によって、対応する最終的なＢｉｌｏｃａｔｉｏｎＫｅｙＫ＿ＢＫ’から導出される中間キー値Ｋ＿Ｘと、ＦｉｎａｌＫｅｙを合意するために使用されるチャレンジ応答プロトコルとに基づいて計算され、チャレンジ応答プロトコルはさらに以下を含む。
第１のデバイスで、第１のチャレンジ・ノンスＣ＿Ｉを作成する
第２のデバイスで、第２のチャレンジ・ノンスＣ＿Ｒを作成する
第１のデバイスから第２のデバイスに第１のチャレンジ・ノンスＣ＿Ｉを送信する
第２のデバイスから第１のデバイスに第２のチャレンジ・ノンスＣ＿Ｒを送信する
第１のデバイスにおいて、以下の値に基づいて、Ｃ＿Ｉおよび受信したＣ＿Ｒを使用して、第１の符号付き応答を計算する
Ｘ＿Ｉ＝＃（Ｋ＿Ｘ，Ｃ＿Ｉ，０）；Ｘ＿Ｒ＝＃（Ｋ＿Ｘ，Ｃ＿Ｒ，１）；Ｒ＿Ｉ＝＃（Ｘ＿Ｉ，Ｃ＿Ｒ）；Ｒ＿Ｒ＝＃（Ｘ＿Ｒ，Ｃ＿Ｉ）
（ここで＃はハッシュ関数）
第２のデバイスにおいて、以下の値に基づいて、Ｃ＿Ｒと受信したＣ＿Ｉを使用して第２の符号付き応答を計算する
Ｘ＿Ｉ＝＃（Ｋ＿Ｘ，Ｃ＿Ｉ，０）；Ｘ＿Ｒ＝＃（Ｋ＿Ｘ，Ｃ＿Ｒ，１）；Ｒ＿Ｉ＝＃（Ｘ＿Ｉ，Ｃ＿Ｒ）；Ｒ＿Ｒ＝＃（Ｘ＿Ｒ，Ｃ＿Ｉ）
（ここで＃は第１のデバイスで使用されたものと同じハッシュ関数）
第１のデバイスから第２のデバイスへ、第１の署名付きレスポンスＲ＿Ｉを送信し、第２のデバイスから第１のデバイスへ、第２の署名付きレスポンスＲ＿Ｒを送信し、第２のデバイスから受信したＲ＿Ｒが第１のデバイスによって計算されたＲ＿Ｒの値と一致すると第１のデバイスで判断したことに応答して、Ｋ＿Ｓ＝Ｘ＿ＩＸＯＲＸ＿Ｒ、またはＫ＿Ｓ＝＃（Ｘ＿Ｉ，Ｘ＿Ｒ）としてＦｉｎａｌＫｅｙを計算する。
第２のデバイスにおいて、第１のデバイスから受信したＲ＿Ｉが、第２のデバイスによって計算されたＲ＿Ｉの値と一致すると判断したことに応答して、Ｋ＿Ｓ＝Ｘ＿ＩＸＯＲＸ＿ＲまたはＫ＿Ｓ＝＃（Ｘ＿Ｉ，Ｘ＿Ｒ）としてＦｉｎａｌＫｅｙを計算する。
受信した署名付き応答が、計算された署名付き応答と一致しないと判断した場合には、第１のデバイスおよび／または第２のデバイスのいずれかに応答して、接続を放棄する。

【請求項37】

クレーム３６のコンピュータ実装方法において、中間キー値Ｋ＿Ｘは、以下のグループからの少なくとも１つに基づいて、第１および第２のデバイスの両方で計算される。
Ｋ＿Ｘ＝Ｋ＿ＢＫ’：
Ｋ＿Ｘ＝＃（Ｋ＿ＢＫ’，Ｋ＿ＴＬＳ）
（ここでＫ＿ＴＬＳは第１デバイスと第２デバイス間のＴＬＳセッションキー）
Ｋ＿Ｘ＝Ｋ＿ＢＫ’ＸＯＲＫ＿ＴＬＳ
（ここでＫ＿ＴＬＳは第１と第２のデバイス間のＴＬＳセッションキー）
Ｋ＿Ｘ＝＃（Ｋ＿ＢＫ’，Ｋ＿ＥＮ）
（ここでＫ＿ＥＮは第１と第２のデバイス間で共有されるキー）
Ｋ＿Ｘ＝Ｋ＿ＢＫ’ＸＯＲＫ＿ＥＮであり、Ｋ＿ＥＮは第１および第２のデバイス間で共有されるキーである。
そして、Ｋ＿ＢＫを第１および第２のデバイスの両方が知っている１つまたは複数の合意された値で変更するための他の関数。

【請求項38】

先のクレームのいずれかのコンピュータ実装方法では、第３のノンスは、第１のランダムノンスと第２のランダムノンスとの排他的論理和（ＸＯＲ）演算に基づいて計算される。

【請求項39】

第１のデバイスによって実行される本方法は、ネットワークを使用して第１のデバイスと第２のデバイスとの間でキーを確立するコンピュータ実装方法である。ネットワークは、第１のキーノードと第２のキーノードとを含み、第１のキーノードは、一連のキーにアクセスするためのものであり、第２のキーノードは、同じ一連のキーにアクセスするためのものである。
そして、以下の事を含む。
第１のデバイスにおいて、第１のキーノードおよび第２のデバイスから、少なくとも第１のキー確立データの代表データを受信し、ＢｉｌｏｃａｔｉｏｎＫｅｙを計算するのに使用する。ＢｉｌｏｃａｔｉｏｎＫｅｙは、第１のキーノードおよび第２のキーノード一式から選び出されたキーに基づいている。
第２のデバイスが、第２のキーノードにＢｉｌｏｃａｔｉｏｎＫｅｙを要求する際に使用するために、少なくとも第１のデバイスから第２のキー確立データの代表データを受信する。ＢｉｌｏｃａｔｉｏｎＫｅｙは、第２のキーノードのキー一式からら選び出されたキーに基づいて第２のキーノードによって計算される。
ここで、第１および第２のデバイスは、それぞれ対応するＢｉｌｏｃａｔｉｏｎＫｅｙを使用して、第１と第２のキー確立データの合意された部分に基づいてＦｉｎａｌＫｅｙを生成する。

【請求項40】

クレーム３９のコンピュータ実装方法では、クレーム１から３８のいずれか１つにおいて、第１のデバイスで実行されるコンピュータ実装方法をさらに含んでいる。

【請求項41】

第１のデバイスによって実行される本方法は、ネットワークを使用して第１のデバイスと第２のデバイスとの間でキーを確立するコンピュータ実装方法である。ネットワークは、第１のキーノードと第２のキーノードを含み、第１のキーノードは、キー一式にアクセスするためのものであり、第２の鍵ノードは、同じ鍵のセットにアクセスするためのものである。そして、以下の事を含む。
ＢｉｌｏｃａｔｉｏｎＫｅｙを計算するのに使用する目的で、第１のデバイスにおいて、第１のキーノードおよび第２のデバイスから、少なくとも第１のキー確立データの代表データを受信する。ＢｉｌｏｃａｔｉｏｎＫｅｙは、第１のキーノードおよび第２のキーノードのキー一式から選び出されたキーに基づいている。
第２のデバイスは、第２のキーノードにＢｉｌｏｃａｔｉｏｎＫｅｙを要求する際に使用するために、少なくとも第１のデバイスから第２のキー確立データの代表データを受信する。ＢｉｌｏｃａｔｉｏｎＫｅｙは、第２のキーノードのキー一式から選択されたキーに基づいて第２のキーノードによって計算される。
ここで、第１および第２のデバイスは、それぞれ対応するＢｉｌｏｃａｔｉｏｎＫｅｙを使用して最終的なＢｉｌｏｃａｔｉｏｎＫｅｙを生成し、それぞれの最終的なＢｉｌｏｃａｔｉｏｎＫｅｙを使用して、第１のキー確立データおよび第２のキー確立データの合意された部分に基づいてＦｉｎａｌＫｅｙを生成する。

【請求項42】

クレーム４１のコンピュータ実装方法では、クレーム１から３８のいずれか一つにおいて、第１のデバイスで実行されるコンピュータ実装方法をさらに含んでいる。

【請求項43】

第２のデバイスによって実行される本方法は、ネットワークを使用して第１のデバイスと第２のデバイスの間でキーを確立するコンピュータ実装方法である。ネットワークは、第１のキーノードと第２のキーノードを含み、第１のキーノードは、キー一式にアクセスするためのものである。第２のキーノードも、同じキー一式にアクセスするためのものであり、以下の事を含んでいる。
第１のデバイスが、少なくとも第１のキーノードと第２のデバイスから、第１のキーの確立データの代表データを受信し、ＢｉｌｏｃａｔｉｏｎＫｅｙを計算するのに使用する。ＢｉｌｏｃａｔｉｏｎＫｅｙは、第１のキーノードと第２のキーノードのキー一式から選び出されたキーに基づいている。
第２のデバイスにおいて、第２のキーノードに第２のキーを要求する際に使用するために、少なくとも第１のデバイスから第２のキーの確立データの代表データを受信する。第２のキーノードは、第２のキーノード一式から選択されたキーに基づいて、第２のキーノードによって、第２のキーノードから第２のキーの確立データが計算される。
ここで、第１および第２のデバイスは、それぞれ対応するＢｉｌｏｃａｔｉｏｎＫｅｙを使用して、第１のキー確立データおよび第２のキー確立データの合意された部分に基づいてＦｉｎａｌＫｅｙを生成する。

【請求項44】

クレーム４３のコンピュータ実装方法では、クレーム１から３８のいずれか一項に記載の第２のデバイスで実行されるコンピュータ実装方法をさらに含む。

【請求項45】

第１のキーノードによって実行される本方法は、ネットワークを使用して第１のデバイスと第２のデバイスの間でキーを確立するコンピュータ実装方法である。ネットワークは第１のキーノードと第２のキーノードを含み、第１のキーノードはキーセットにアクセスするように構成され、第２のキーノードも同じキーセットにアクセスするように構成されており、以下の事を含んでいる。
第１のデバイスからＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙの要求を受信する。この要求には、第１のデバイスが第２のデバイスから受信した第１のキー確立データの一部を代表するデータを含み、第１のデバイスによるＢｉｌｏｃａｔｉｏｎＫｅｙの計算に使用される。ＢｉｌｏｃａｔｉｏｎＫｅｙは、第１のキーノードおよび第２のキーノードのキーセットから選び出された鍵に基づいている。
受信した要求データとキーセットから選び出されたキーに基づいてＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙが計算され、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙと第１のアンチ・プレイ・ノンスが確立される。
ＢｉｌｏｃａｔｉｏｎＫｅｙの計算に使用するために、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙと第１のアンチリ・プレイ・ノンスを第１のデバイスに送信する。
ここで、第１および第２のデバイスは、それぞれ対応するＢｉｌｏｃａｔｉｏｎＫｅｙを使用して、第１のキー確立データおよび第２のキー確立データの合意された部分に基づいてＦｉｎａｌＫｅｙを生成する。

【請求項46】

クレーム４５のコンピュータ実装方法では、クレーム１から３８のいずれか一項に記載の第１のキーノードで実行されるコンピュータ実施方法をさらに含む。

【請求項47】

本方法は、ネットワークを使用して第１のデバイスと第２のデバイスの間でキーを確立するコンピュータ実装方法で、ネットワークは第１のキーノードと第２のキーノードを含む。第１のキーノードはキーセットを含み、第２のキーノードも同じキーセットを含む。
第２のデバイスから第２のキーの要求を受信する。この要求には、第２のキーの確立データの一部を代表するデータを含み、第２のキーの確立データを第２のデバイスが少なくとも第１のデバイスから受信して、第２のキーの確立を要求するために使用する。
受信したリクエストデータとキーのセットから選び出されたキーに基づきＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙが確立される。
確立されたＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙと第２のアンチ・リプレイ・ノンスに基づいてＢｉｌｏｃａｔｉｏｎＫｅｙを確立する。
ＢｉｌｏｃａｔｉｏｎＫｅｙと第２のアンチ・リプレイ・ノンスを第２のデバイスに送信する。
ここで、第１および第２のデバイスは、それぞれ対応するＢｉｌｏｃａｔｉｏｎＫｅｙを使用して、第１のキー確立データおよび第２のキー確立データの合意された部分に基づいてＦｉｎａｌＫｅｙを生成する。

【請求項48】

クレーム４７のコンピュータ実装方法では、クレーム１から３８のいずれか一項に記載の第２のキーノードで実行されるコンピュータ実装方法にさらに下記の事を含む。

【請求項49】

ネットワークを使用して第１のデバイスと第２のデバイスの間でキーを確立するコンピュータ実装方法において、ネットワークは第１のキーノードと第２のキーノードを含み、第１のキーノードはキー一式を、第２のキーノードも同様のキー一式を含み、第２のキーノードによって実行される。この方法は下記の事を含んでいる。
第２のデバイスからＢｉｌｏｃａｔｉｏｎＫｅｙの要求を受信する。この要求には、第２のキーの確立データの一部を代表するデータを含み、このデータは、ＢｉｌｏｃａｔｉｏｎＫｅｙを要求するために使用する目的で、第２のデバイスが少なくとも第１のデバイスから受信したものである。
受信した要求データとキーセットから選び出されたキーに基づき、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙを確立する。
確立されたＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙと第２のアンチ・リプレイ・ノンスに基づいて、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙを確立する。
第１および第２のデバイスが、対応するＢｉｌｏｃａｔｉｏｎＫｅｙを使用してそれぞれ最終的なＢｉｌｏｃａｔｉｏｎＫｅｙを生成する。この最終的なＢｉｌｏｃａｔｉｏｎＫｅｙを使用して、第１のキー確立データと第２のキー確立データの合意された部分に基づいて、それぞれのＦｉｎａｌＫｅｙを生成する。

【請求項50】

クレーム４９に記載のコンピュータ実装方法では、クレーム１から３８のいずれか一項に記載の第２のキーノードで実行されるコンピュータ実装方法を含む。

【請求項51】

先のクレームのいずれかのコンピュータ実装方法では、各キーノードは、量子セキュアネットワークの一部であり、各キーセットは、量子キー配布システムを使用して配信される量子配信キーセットである。

【請求項52】

クレーム１ないし５０のいずれかに載のコンピュータ実装方法では、各キーノードは古典的セキュアネットワークの一部であり、各キーセットまたは分散キーは古典的キー配布システムを用いて配布される。

【請求項53】

クレーム５１に記載のコンピュータ実装方法では、量子キー配布システムは、以下から選択される少なくとも１つを含み得る。
衛星量子キー配布システム
地上光－量子キー配布システム、または
量子セキュアまたは量子セキュアな方法で、量子キーセットを第１および第２のキーノードに配布することができる任意の量子キー配信システム。

【請求項54】

前記クレームのいずれかに記載のコンピュータ実装方法では、第１のデバイスと第１のキーノードとの間の通信は、第１の量子セキュアチャネルを介して実行される。
第２のデバイスと第２のキーノードとの間の通信は、第２の量子セキュアチャネルを介して実行される。
古典的な通信チャネルを介したＦｉｎａｌＫｅｙの確立中に、第１のデバイスと第２のデバイスの間で通信が実行される。

【請求項55】

先行するクレームのいずれかに記載のコンピュータ実施方法では、キー一式がワンタイムパッドキー一式となる。

【請求項56】

クレーム５４または５５に記載のコンピュータ実装方法では、古典的通信チャネルが標準暗号化通信チャネルである。

【請求項57】

先行するクレームのいずれかに記載のコンピュータ実装方法では、第１のキーノードと第２のキーノードが異なる地理的位置にあり、第１のキーノードが第２のキーノードと異なる。

【請求項58】

クレーム１から５６のいずれかに記載のコンピュータ実装方法では、第１のキーノードと第２のキーノードが同じ地理的位置に配置されている。

【請求項59】

クレーム１から５６、または５８のいずれかに記載のコンピュータ実装方法では、第１のキーノードと第２のキーノードが同じ論理位置に配置される。

【請求項60】

クレーム１から５６、５８または５９のいずれか１項に記載のコンピュータ実装方法では、第１のキーノードと第２のキーノードが同じキーノードであり、キーのセットは第１のキーノードと第２のキーノードによってのみ知られている。

【請求項61】

クレーム１から５６、５８、５９または６０のいずれか１項に記載のコンピュータ実装方法では、第１のキーノードと第２のキーノードが同一の論理キーノードであり、論理キーノードのキーのセットがそれ自身と共有されているか、論理キーノードだけが所有しており、選択されたキーが論理キーノードだけが知っているキーのセットから選択される。

【請求項62】

対応するステップを実施するように適合されているプロセッサユニットと、メモリユニットと、通信インターフェースとを備える装置である。プロセッサユニットは、メモリユニットと通信インターフェースに接続され、プロセッサユニットとメモリユニットと通信インターフェースはクレーム１から６１のいずれかに記載のコンピュータ実装方法の対応するステップを実装するように適合されている。

【請求項63】

第１のデバイスおよび第２のデバイスと、セキュア・ネットワークを含むシステムである。セキュア・ネットワークは、第１のキーノードおよび第２のキーノードを含み、第１のキーノードは、キーセットを含むか、またはキーセットにアクセスする。第２の鍵ノードも、同じキーセットを含むか、またはキーセットにアクセスする。第１のデバイス、第２のデバイス、および第２のキーノードは、プロセッサ・ユニット、メモリ・ユニット、および通信インターフェースを含み、プロセッサ・ユニットは、メモリ・ユニットおよび通信インターフェースに接続されている。システム、第１のキーノードおよび第２のキーノードの各々は、プロセッサユニット、メモリユニット、および通信インタフェースを含み、プロセッサユニットは、前記メモリユニットおよび通信インタフェースに接続され、プロセッサユニット、メモリユニット、および通信インタフェースは、クレーム１から６１のいずれかに記載のコンピュータ実装方法の対応するステップを実装するように適合されている。

【請求項64】

第１のデバイスは、プロセッサユニットと、メモリユニットと、通信インターフェースを備え、プロセッサユニットは、メモリユニットと通信インターフェースとに接続されており、プロセッサユニットとメモリユニットと通信インターフェースは、請求項１から６１のいずれかに記載のコンピュータ実装方法の対応するステップを実施するように適合されている。

【請求項65】

第２のデバイスは、プロセッサユニット、メモリユニットと通信インターフェースを備える第２のデバイスであって、プロセッサユニットは、メモリユニットと通信インターフェースとに接続されており、プロセッサユニット、メモリユニット、および通信インターフェースは、請求項１から６１のいずれかに記載のコンピュータ実装方法の対応するステップを実施するように適合されている。

【請求項66】

プロセッサユニットと、メモリユニットと、通信インターフェースとを備える第１のキーノードでは、プロセッサユニットは、メモリユニット及び通信インターフェースに接続され、プロセッサユニット、メモリユニット及び通信インターフェースは、クレーム１から６１のいずれかに記載のコンピュータ実装方法に対応するステップを実施するように適合される。

【請求項67】

プロセッサユニットと、メモリユニットと、通信インターフェースとを備える第２のキーノードでは、プロセッサユニットは、メモリユニットと通信インターフェースとに接続されており、プロセッサユニット、メモリユニット、通信インターフェースは、クレーム１から６１のいずれかに記載のコンピュータ実装方法に対応するステップを実施するように適合されている。

【請求項68】

システム：
請求項６４に記載の装置を含む第１の装置
請求項６５に記載の装置を含む第２の装置
請求項６６に記載の装置からなる第１のキーノードおよび
請求項６７に記載の装置からなる第２のキーノード
ここで、第１のデバイスと第２のデバイスは、第１のデバイスと第２のデバイス間の通信セッションのためのＦｉｎａｌＫｅｙを確立するために、標準通信チャネルを介して互いに通信し、対応する量子セキュアチャネルを介して第１のキーノードと第２のキーノードとそれぞれ通信するように構成される。

【請求項69】

クレーム６８に記載のシステムにおいて、システムは、複数の衛星を含む衛星量子キー配布システムであり、各衛星は量子キー配布の機能を含み、各衛星は１つ以上の地上受信局と通信し、各地上受信局は量子セキュアチャネルを介して第１および第２のキーノードの１つに結合または接続されることを特徴とするシステムである。

【請求項70】

クレーム６８に記載のシステムにおいて、システムは、複数の地上量子トランシーバを含む地上量子キー配信システムであり、各トランシーバは、量子キー配信の機能を含み、量子セキュアチャネルを介して第１および第２のキーノードの一方に結合または接続されることを特徴とするシステムである。

【請求項71】

システム：
請求項６４に記載の装置を含む第１の装置
請求項６５に記載の装置を含む第２の装置
請求項６６に記載の装置からなる第１のキーノードおよび
請求項６７に記載の装置からなる第２のキーノード
ここで、第１のデバイスと第２のデバイスは、第１のデバイスと第２のデバイス間の通信セッションのためのＦｉｎａｌＫｅｙを確立するために、標準通信チャネルを介して互いに通信し、対応する古典的に安全なチャネルを介して第１のキーノードと第２のキーノードとそれぞれ通信するように構成される。

【請求項72】

クレーム７１に記載のシステムは、第１および第２のキーノードに対して、古典的に安全なチャネルを介して安全なキーを配布する機能を含む古典的キー配布システムを含むシステムである。

【請求項73】

プロセッサ上で実行されると、プロセッサにクレーム１から６１のいずれかに記載のコンピュータ実装方法を実行させ、コンピュータコードまたはその上に格納された命令を含むコンピュータ可読媒体である。

【発明の詳細な説明】

【技術分野】

【0001】

本出願は、鍵確立のためのシステム、装置、方法、およびその応用に関するものである。

【背景技術】

【0002】

量子鍵配布（ＱＫＤ）は、暗号鍵を配布するための量子力学の要素を含む暗号ＱＫＤプロトコルを実装する安全な通信方法である。ＱＫＤは、２つの当事者だけが知っている共有のランダムな秘密鍵または暗号鍵を生成し、これを使用してメッセージを暗号化および復号化することを可能にする。衛星ＱＫＤシステムは、量子セキュアチャネルを使用して、同一の量子安全鍵を２つ以上のグローバル拠点に配信するため、衛星と受信地上局間の伝送中に盗聴者が鍵を傍受できないようにすることができる。これにより、大規模な組織や政府は、衛星ＱＫＤシステムの１つまたは複数の衛星から量子安全鍵を受信するために、世界中の戦略的な場所に独自の光地上受信機（ＯＧＲ）を設置し、ＯＧＲのハードウェアセキュリティモジュール（ＨＳＭ）から量子安全鍵を直接、量子安全通信および／または他のアプリケーションなどのインフラやソフトウェアアプリケーションに取り込むことができる。

【0003】

しかし、大多数の消費者、個人及び／又は組織にとって、ＯＧＲのセットをリースし、設置し、維持することに関連する初期費用及び複雑さは法外であり、そのようなものとして、衛星ＱＫＤシステム（又は光ファイバーリンク及び地上受信機を使用する地上ＱＫＤシステム）のような量子鍵配布（ＱＫＤ）システムにアクセスすることはできない。

【0004】

確立された鍵に関連する鍵情報を交換する際に使用される、信頼された、または信頼されていない当事者によって、鍵が未知であるか、または未確認である、２つの当事者がその間に鍵を確立することを可能にする、または可能にする要望がある。また、確立された鍵は、例えば２つの当事者間の安全な通信、２つの当事者を含む当事者グループ間でグループ鍵を確立するための他のグループ鍵確立プロトコルで使用するための２つの当事者間の共有鍵の確立、２つの当事者間の通信セッションの安全確保、２つの当事者間の長寿命通信チャネルの確立、確立された鍵は、例えばＭＡＣなどを作成するために使用される２つの当事者間の署名秘密を形成することができるが、以下に限定されるものではない。確立された鍵は、両者間で署名秘密を形成することができる。（クラウド）サーバ）；限定されないが、例えば２つの別個のクラウドサービスおよび／または２つの別個のアプリケーションのような２つのパーティで同じ確立された鍵を使用する；確立された鍵を２つのパーティに対する対称署名鍵として使用する；２つのパーティ間で確立された鍵は、２つのパーティの各々または２つのパーティ間などで実行される他の任意のタイプの暗号化、および／またはアプリケーションの要求に応じて使用することができる。ＱＫＤクラウドベースのインフラストラクチャ／ネットワークを介して提供されるＱＫＤアプリケーション／サービスには、より多くの当事者、消費者、個人、および／または組織が、独自のＯＧＲをリースおよびインストールする必要なく、信頼できる当事者によってホストされるクラウドベースのインフラストラクチャを介してＱＫＤのパワーを利用できるようにする、または可能にするためのさらなる要望がある。特に、クラウドベースのインフラストラクチャの外部にいる２つの当事者が、２つの当事者間で量子安全な方法で安全に鍵を確立することを可能にするＱＫＤサービスが望まれている。

【0005】

以下に説明する実施形態は、上述した公知のアプローチの欠点のいずれかまたはすべてを解決する実施形態に限定されない。

【発明の概要】

【0006】

本概要は、詳細な説明において後述される概念の一部を単純化して紹介するために提供される。本概要は、特許請求される主題の重要な特徴または本質的な特徴を特定することを意図するものではなく、特許請求される主題の範囲を決定するために使用されることを意図するものでもない。本発明の実施を容易にし、および／または実質的に同様の技術的効果を達成するのに役立つ変形例および代替的な特徴は、本書に開示される本発明の範囲に含まれると考えられるべきである。

【0007】

本開示は、少なくとも２つの異なるシステム、エンドポイント、または当事者が、同じ共有鍵を要求すること、または同じ鍵を確立することを可能にする、鍵を確立または共有する方法、装置、およびシステムを提供する。この場合、第一のシステム、エンドポイント、または当事者は、通信システム（例えばＱＫＤ通信ネットワーク／システム）内のサーバおよび／または鍵サービングノードからそのコピーを導出するために必要な鍵情報を取得し、他の第二のシステム、エンドポイント、または当事者は、通信システム（例えばＱＫＤ通信ネットワーク）内の同じまたは異なる鍵サービングノードに接続された同じまたは異なるサーバからそのコピーを導出するために必要な鍵情報を安全に取得する。ＱＫＤ通信ネットワーク／システムなど）において、共有鍵（共有鍵の導出にＱＫＤ鍵セットが使用される場合、ＱＫＤ鍵などをクラウドサービスを通じて配信することができる。

【0008】

第１の態様において、本開示は、ネットワークにおいて第１のデバイスと第２のデバイスとの間で鍵を確立するコンピュータ実装方法を提供し、ネットワークは、第１の鍵ノードと第２の鍵ノードとを含み、第１の鍵ノードと第２の鍵ノードとは、同じ鍵セットにアクセスすることができ、本方法は、以下を含む：
第一のデバイスにおいて、少なくとも第一の鍵ノードと第二のデバイスから、第一の鍵の確立データを代表するデータを受信する；また、第二のデバイスにおいて、少なくとも第一のデバイスから、第二の鍵ノードにＢｉｌｏｃａｔｉｏｎ鍵を要求する際に使用する第二の鍵確立データを代表するデータを受信し、Ｂｉｌｏｃａｔｉｏｎ鍵は鍵セットから選択された鍵に基づいて計算される。第一のデバイスと第二のデバイスは、対応するＢｉｌｏｃａｔｉｏｎ鍵を使用して、第一の鍵確立データと第二の鍵確立データの合意された部分に基づいて、それぞれ最終鍵を生成する。

【0009】

オプションとして、第１の側面によるコンピュータ実装方法であって、第１のデバイスと第２のデバイスは量子セキュアネットワークを使用し、量子セキュアネットワークは第１の鍵ノードと第２の鍵ノードを含み、第１の鍵ノードと第２の鍵ノードの鍵セットは同じ量子分散鍵セットであり、本方法はさらに以下を含む：第１のデバイスにおいて、バイロケーション鍵の計算に使用するために、少なくとも第１の鍵ノードおよび第２のデバイスから第１の鍵確立データを代表するデータを受信するステップであって、バイロケーション鍵は、量子分散鍵のセットから選択された量子分散鍵に基づく、ステップと第２のデバイスにおいて、少なくとも第１のデバイスから、第２の鍵ノードに「コロケーション鍵」を要求するために使用する「第２の鍵確立データ」を受信し、「コロケーション鍵」は「量子分散鍵」のセットから選択された「量子分散鍵」に基づいて計算される。第１及び第２のデバイスは、対応する「コロケーション鍵」を使用して、それぞれ「第１の鍵確立データ」と「第２の鍵確立データ」の合意された部分に基づいて「最終鍵」を生成する。

【0010】

別の選択肢として、第１および第２のデバイスの各々は、対応するＢｉｌｏｃａｔｉｏｎＫｅｙと、その間の第１または第２のセッション確立データにおいて受信された１つまたは複数のランダムなＮｏｎｃｅの合意された組み合わせとを組み合わせることに基づいて、最終鍵を計算する、第１の側面によるコンピュータ実装方法。

【0011】

別のオプションとして、第１の側面によるコンピュータ実装方法であって、最終鍵は、第１および第２のデバイスの各々によって、対応するＢｉｌｏｃａｔｉｏｎＫｅｙと、最終鍵に合意するために使用されるチャレンジ・レスポンス・プロトコルとの結果に基づいて計算される。

【0012】

オプションとして、第１の局面に従うコンピュータ実装方法は、第１のデバイスにおいて、第１のセッション確立データを代表するデータを受信することが、以下の工程をさらに含む。第２のデバイスと第１のハンドシェイクを実行して、第２のデバイスおよび第２の鍵ノードに関連付けられたＩＤデータを代表するデータと、第２のデバイスによって生成された第１のｎｏｎｃｅとを受信する工程；第１の鍵ノードにＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎ鍵を要求するステップであって、要求が、取得されたＩＤデータを代表するデータと、受信された第１のノンスと第１のデバイスによって生成された第２のノンスとから計算された第３のノンスとを含み、第１の鍵ノードが、要求データと、鍵セットから選択された鍵とを使用して、中間バイロケーション鍵と第１のアンチリプレイノンスとを確立するステップと第二のデバイスが第二の鍵ノードから中間バイロケーション鍵と第二のアンチリプレイ・ノニースを受信した後、第二のデバイスから第二のアンチリプレイ・ノニースを受信するために、第二のデバイスとさらなるハンドシェイクを実行する。

【0013】

別の選択肢として、第１の態様によるコンピュータ実装方法は、第２のデバイスにおいて、第２のセッション確立データを代表するデータを受信することをさらに含む：第１のデバイスとの間で第２のハンドシェイクを実行し、第１のデバイスおよび第１の鍵ノードに関連付けられたＩＤデータ、ならびに第１のアンチリプレイ・ノンス、および第２のノンスを代表するデータを受信するステップと第二の鍵ノードにバイロケーション鍵を要求するステップであって、要求が、取得されたＩＤデータを代表するデータと、第一のノンスと第二のノンスから計算された第三のノンスと、第一のアンチリプレイ・ノンスとを含み、第二の鍵ノードが、要求のデータと、鍵セットから選択された鍵とを使用してバイロケーション鍵を生成するステップと、第二の鍵ノードからバイロケーション鍵を受信するステップと、第二の鍵ノードによって生成された第二のアンチリプレイ・ノンスを受信するステップとを含む。

【0014】

別の選択肢として、第１の側面によるコンピュータ実装方法は、第１のデバイスにおいて、第１のセッション確立データを代表するデータを受信することと、第１のデバイスによって、第２のデバイスに対して、第２のデバイスの識別情報、第２の鍵ノードの識別情報、および第２のデバイスによって生成された第１のノンスを代表するデータを提供するための第１のハンドシェイク要求を送信することと、第２のデバイスから、以下を代表するデータを受信することをさらに含む：生成された第一のノンス、第二のデバイスの識別情報、および第二の鍵ノードの識別情報を代表するデータを第二のデバイスから受信するステップと、第一のデバイスによって第二のランダムノンスを生成するステップと、第一のデバイスから第一の鍵ノードに中間コロケーション鍵リクエストを送信するステップであって、中間コロケーション鍵リクエストは以下を代表するデータを含む：ここで、中間バイロケーション鍵リクエストは、以下の代表的なデータを含む：第２のデバイスの識別情報、第２のノードの識別情報、第１および第２のノンスを結合した第３のノンス；第１のデバイスにおいて、第１の鍵ノードによって確立された中間バイロケーション鍵、および第１の鍵ノードによって生成された第１のアンチリプレイノンスを受信する；第１のデバイスによって、以下の代表的なデータを含む第２のハンドシェイクメッセージを第２のデバイスに送信する：第二のノンスと第一のアンチリプレイ・ノンス、第一のデバイスの識別情報、および第一の鍵ノードの識別情報、受信した第二のノンスと生成された第一のノンスに基づいて第三のノンスを第二のデバイスで生成する、第二のデバイスによって、第三のノンスと第一のアンチリプレイ・ノンスを代表するデータを含むＢｉｌｏｃａｔｉｏｎＫｅｙＲｅｑｕｅｓｔを第二の鍵ノードに送信する、第二の鍵ノードによって、第三のノンスと第一のアンチリプレイ・ノンスを代表するデータを含むＢｉｌｏｃａｔｉｏｎＫｅｙＲｅｑｕｅｓｔを第二の鍵ノードに送信する；第１のデバイスの認識情報、第１の鍵ノードの識別情報、第２のデバイスにおいて、第２の鍵ノードによって確立されたＢｉｌｏｃａｔｉｏｎＫｅｙと、第２の鍵ノードによって生成された第２のアンチリプレイ・ノニースを受信するステップであって、第２の鍵ノードは、第２のデバイスからの受信データに基づいて中間ＢｉｌｏｃａｔｉｏｎＫｅｙを生成し、中間ＢｉｌｏｃａｔｉｏｎＫｅｙと第２のアンチリプレイ・ノニースを組み合わせることに基づいて、ＢｉｌｏｃａｔｉｏｎＫｅｙを確立する、ステップ；第２のデバイスから、さらなるハンドシェイクメッセージで、受信した第２のアンチリプレイ・ノンスを第１のデバイスに送信し、第１のデバイスで、受信した第２のアンチリプレイ・ノンスと受信した中間コロケーション鍵との結合に基づいて、コロケーション鍵を生成し、第１のデバイスと第２のデバイスはそれぞれ、少なくともコロケーション鍵に基づいて、最終鍵を確立する。

【0015】

オプションとして、第１の局面によるコンピュータ実装方法は、第１の鍵ノードにおいて、第１のデバイスによって、ビロケーション鍵を計算する際に使用される中間ビロケーション鍵を確立することをさらに含み、中間ビロケーション鍵を確立することは、第１の鍵ノードにおいて、第１のデバイスから、中間ビロケーション鍵を生成するための中間ビロケーション鍵要求を受信することであって、要求が以下を代表するデータを含む、ことを含む：第二のデバイスの識別情報、第二の鍵ノードの識別情報、および第二のデバイスによって生成された第一のランダムノンスと第一のデバイスによって生成された第二のランダムノンスから導出された第三のノンス；第１の鍵ノードにおいて、少なくとも第２のデバイスの識別情報、第２の鍵ノードの識別情報、第１のデバイスの識別情報、第１の鍵ノードの識別情報、および第３のノンスを代表するデータに基づく入力を有する鍵選択関数を使用して、第１の鍵ノードによってアクセス可能な鍵の集合から鍵を選択するステップ（ここで、第１の鍵ノードによってアクセス可能な鍵の集合は、第２の鍵ノードによってアクセス可能な鍵の集合と同じである）；第一の鍵ノードにおいて、第一のランダムなアンチリプレイ・ノニースを生成するステップと、第一の鍵ノードにおいて、選択された鍵、第一のアンチリプレイ・ノンス、第二のデバイスの身元、第二の鍵ノードの身元、第一のデバイスの身元、第一の鍵ノードの身元、および第三のノンスに基づいて、中間バイロケーション鍵を生成するステップと、第一の鍵ノードから第一のデバイスに、中間バイロケーション鍵および第一のアンチリプレイ・ノンスを送信するステップと、を含む。

【0016】

さらなる選択肢として、第１の局面によるコンピュータ実装方法は、第２の鍵ノードにおいて、第２のデバイスが鍵を計算する際に使用するためのバイロケーション鍵を確立することをさらに含み、バイロケーション鍵を確立することは、第２の鍵ノードにおいて、第２のデバイスから、バイロケーション鍵の要求を受信することであって、要求が以下を代表するデータを含む、ことを含む：第一のデバイスの識別情報、第一の鍵ノードの識別情報、第二のデバイスによって生成された第一のランダムノンスと第一のデバイスによって生成された第二のランダムノンスから派生した第三のノンス、および第一のデバイスから第二のデバイスで受信した第一のアンチプレーノンス；
少なくとも第２のデバイスの識別情報、第２の鍵ノードの識別情報、第１のデバイスの識別情報、第１の鍵ノードの識別情報、および第３のノンスに基づく鍵選択アルゴリズムを使用して、第２の鍵ノードによってアクセス可能な鍵のセットから鍵を選択するステップ（ここで、第１の鍵ノードによってアクセス可能な鍵のセットは、第２の鍵ノードによってアクセス可能な鍵のセットと同じである）；第二の鍵ノードにおいて、選択された鍵、第一のアンチリプレイ・ノンス、第二のデバイスの識別情報、第二の鍵ノードの識別情報、第一のデバイスの識別情報、第一の鍵ノードの識別情報、および第三のノンスに基づいて、中間的なコロケーション鍵を生成する；第二の鍵ノードにおいて、第二のランダムなアンチ・リプレイ・ノニースを生成するステップと、第二の鍵ノードにおいて、中間コロケーション・キーと第二のアンチ・リプレイ・ノニースを組み合わせることに基づいて、コロケーション・キーを生成するステップと、第二の鍵ノードから第二のデバイスに、コロケーション・キーと第二のアンチ・リプレイ・ノニースを代表するデータを送信するステップ。

【0017】

任意選択で、第１のデバイスから、中間バイロケーション鍵要求を送信することは、第１のデバイスによって、第２のランダムノンスＮ＿Ｉを生成することと、第１のデバイスによって、第２のランダムノンスＮ＿Ｉおよび第１のランダムノンスＮ＿Ｒに基づいて、第３のノンスＮ＿ＩＲを生成することと、第１のデバイスによって、少なくとも以下の代表的なデータに基づいて、第１の不完全リンクインフォデータパケットＬ＿Ｉを作成することと、をさらに含む、第１の局面によるコンピュータ実装方法：第２のデバイスの識別情報ＩＤ＿Ｒと、第２の鍵ノードの識別情報ＫＩＤ＿Ｒと、第３のノンスＮ＿ＩＲとに基づいて、第１の不完全リンク情報データパケットＬ＿Ｉを作成するステップと、第１のデバイスから第１の鍵ノードに、中間バイロケーション鍵要求を送信するステップであって、要求には、第１の不完全リンク情報データパケットＬ＿Ｉを代表するデータが含まれる。

【0018】

別の選択肢として、第１の態様によるコンピュータ実装方法は、第１の不完全リンクインフォパケットがＬ＿Ｉ＝｛ＩＤ＿Ｒ、ＫＩＤ＿Ｒ、Ｎ＿ＩＲ｝の形式をとる。

【0019】

別の選択肢として、第１の態様によるコンピュータ実装方法は、第３のノンス、Ｎ＿ＩＲを代表するデータが、第３のノンス、Ｎ＿ＩＲ’のハッシュを代表するデータを含む。

【0020】

別のオプションとして、第１の側面によるコンピュータ実装方法は、第１の不完全リンク情報パケットが、Ｌ＿Ｉ＝｛ＩＤ＿Ｒ，ＫＩＤ＿Ｒ，Ｎ＿ＩＲ’｝の形式をとる。

【0021】

オプションとして、第１の鍵ノードによって、中間バイロケーション鍵を確立することは、第１の鍵ノードにおいて、第１のデバイスから、中間バイロケーション鍵要求を受信することであって、要求が、不完全リンクインフォデータパケットＬ＿Ｉを代表するデータを含む、ことと、第１の鍵ノードによって、少なくとも以下を代表するデータを使用して、第１の完全リンクインフォデータパケットＬ’を生成することと、をさらに含む、第１の側面によるコンピュータ実装方法：Ｌ’を生成するステップと、第１のデバイスの識別情報ＩＤ＿Ｉと、第１の鍵ノードの識別情報ＫＩＤＩと、受信した第１の不完全リンク情報パケットＬ＿Ｉを代表するデータと、第１の鍵ノードによって、Ｌ’のハッシュ（＃（Ｌ’）と表記）を計算するステップと、＃（Ｌ’）を、第１の鍵ノードと第２の鍵ノードに関連付けられた鍵のセットを選択するためのインデックスとして使用するステップとを含む；第１の鍵ノードによって、完全なリンク情報Ｌ’に適用される鍵選択関数を使用して、第１の鍵ノードによってアクセス可能な鍵の集合から鍵Ｋ＿Ｑを選択する；第一の鍵ノードによって、第一のランダムなアンチリプレイ・ノンスＮ＿ＲＥＰＩを生成するステップと、第一の鍵ノードによって、第二の鍵ノードのＩＤ＿Ｒに基づいて、第二の鍵ノードに関連付けられたＩＤ鍵Ｋ＿Ｒのルックアップを実行するステップであって、第一の鍵ノードと第二の鍵ノードは、ネットワーク内の鍵ノードのＩＤ鍵と対応する鍵ノード識別子のマッピングテーブルまたはルックアップテーブルを保持する、ステップと；第１の鍵ノードによって、第１の鍵ノードに関連付けられたＩＤ鍵Ｋ＿Ｉのルックアップを実行し、第１の鍵ノードによって、以下の代表的なデータを組み合わせて、中間バイロケーション鍵Ｋ＿ＩＢＫを作成する：第１の完全なリンク情報、選択された鍵、Ｋ＿Ｑ、第１の鍵ノードの識別鍵、Ｋ＿Ｉ、第２の鍵ノードの識別鍵、Ｋ＿Ｒ、および第１のアンチリプレイ・ノンス、Ｎ＿ＲＥＰＩ、および第１の鍵ノードから第１のデバイスに中間バイロケーション鍵、Ｋ＿ＩＢＫ、および第１のアンチリプレイ・ノンス、Ｎ＿ＲＥＰＩを送信する。

【0022】

オプションとして、第１の完全なリンク情報パケットはＬ’＝（ＩＤ＿Ｉ｜｜ＫＩＤ＿Ｉ｜｜Ｌ＿Ｉ．ＩＤ＿Ｒ｜｜Ｌ＿Ｉ．ＫＩＤ＿Ｒ｜｜Ｌ＿Ｉ．Ｎ＿ＩＲ）の形をとり、｜｜は連結を表す、第１の側面によるコンピュータ実装方法。

【0023】

オプションとして、第１の態様によるコンピュータ実装方法は、第１の完全なリンク情報パケットがＬ’＝（ＩＤ＿Ｉ｜｜ＫＩＤ＿Ｉ｜｜Ｌ＿Ｉ．ＩＤ＿Ｒ｜｜Ｌ＿Ｉ．ＫＩＤ＿Ｒ｜｜Ｌ＿Ｉ．Ｎ＿ＩＲ’）の形をとり、ここで｜｜は連結を示す。

【0024】

別の選択肢として、第１の側面によるコンピュータ実装方法は、中間バイロケーション鍵Ｋ＿ＩＳが、Ｋ＿ＩＳ＝＃（Ｋ＿Ｑ，＃（Ｌ’），Ｎ＿ＲＥＰＩ）ＸＯＲＫ＿ＩＸＯＲＫ＿Ｒに基づいて作成される。

【0025】

さらなるオプションとして、第１の側面によるコンピュータ実装方法は、キー選択機能が以下の１つ以上を含む：Ｎ＞＝１である＃（Ｌ’）の最下位Ｎビットを選択する；Ｎ＞＝１である＃（Ｌ’）の最上位Ｎビットを選択する；Ｎ＞＝１である＃（Ｌ’）のＮビットの特定部分を選択する；Ｎ＞＝１である＃（Ｌ’）の最下位Ｎビットを選択する；Ｎ＞＝１である＃（Ｌ’）の最下位Ｎビットを選択する；キーの集合からキーを選択するための一意のインデックスを生成するのに適した他の任意の選択関数；または＃（Ｌ）を表す配列内の任意の数の要素から選択するように構成された他の任意の関数。

【0026】

任意選択で、第１の態様によるコンピュータ実装方法は、第２のデバイスから、第２のデバイスで、第２のランダムノンスＮ＿Ｉおよび第１のアンチプレイノンスＮ＿ＲＥＰＩを受信するステップと、第２のデバイスによって、第２のランダムノンスＮ＿Ｉおよび第１のランダムノンスＮ＿Ｒに基づいて、第３のノンスＮ＿ＩＲを生成するステップと、以下をさらに含む；第２のデバイスによって、少なくとも、第１のデバイスの識別情報ＩＤ＿Ｉ、第１の鍵ノードの識別情報ＫＩＤ＿Ｉ、および第３のノンスＮ＿ＩＲを代表するデータに基づいて、第２の不完全リンク情報データパケットＬ＿Ｒを生成するステップと、第２のデバイスから第２の鍵ノードに、第２の不完全リンク情報データパケットＬ＿Ｒ、および第１のアンチリプレイノンスＮ＿ＲＥＰＩを代表するデータを含む、ＢｉｌｏｃａｔｉｏｎＫｅｙリクエストを送信するステップ。

【0027】

別の選択肢として、第１の局面によるコンピュータ実装方法は、第２の不完全リンク情報パケットが、Ｌ＿Ｒ＝｛ＩＤ＿Ｉ，ＫＩＤ＿Ｉ，Ｎ＿ＩＲ｝の形式をとる。｝

【0028】

別の選択肢として、第１の局面によるコンピュータ実装方法は、第３のノンス、Ｎ＿ＩＲを代表するデータが、第３のノンス、Ｎ＿ＩＲ’のハッシュを代表するデータを含む。

【0029】

別の選択肢として、第１の態様によるコンピュータ実装方法は、第１の不完全リンク情報パケットがＬ＿Ｉ＝｛ＩＤ＿Ｒ、ＫＩＤ＿Ｒ、Ｎ＿ＩＲ’｝の形式をとる。

【0030】

オプションとして、第１の局面によるコンピュータ実装方法は、第２の鍵ノードによって、第２の鍵ノードによって、ＢｉｌｏｃａｔｉｏｎＫｅｙを確立することをさらに含み、第２の鍵ノードにおいて、第２のデバイスから、ＢｉｌｏｃａｔｉｏｎＫｅｙ要求を受信することであって、要求が、第２の不完全なｌｉｎｋ－ｉｎｆｏデータパケットを代表するデータＬ＿Ｒと、第１のリプレイ防止ｎｏｎｃｅであるＮ＿ＲＥＰＩとを含む、ステップと、第２の鍵ノードによって、少なくとも以下のデータを代表するデータを使用して、第２の完全なｌｉｎｋ－ｉｎｆｏデータパケットＬ’を生成するステップと第二の鍵ノードが、第二のデバイスの識別情報ＩＤ＿Ｒ、第二の鍵ノードの識別情報ＫＩＤ＿Ｒ、および受信した第二の不完全リンク情報パケットＬ＿Ｒを代表するデータを用いて、第二の完全リンク情報データパケットＬ’を生成するステップと、第二の鍵ノードが、＃（Ｌ’）で示されるＬ’のハッシュを計算し、＃（Ｌ’）を、第二の鍵ノードおよび第一の鍵ノードに関連付けられた鍵のセットを選択するためのインデックスとして使用するステップと第二の鍵ノードによって、第二の完全リンク情報Ｌ’に適用される鍵選択関数を使用して、第二の鍵ノードの鍵の集合から鍵Ｋ＿Ｑを選択する；第二の鍵ノードによって、第二のランダムなアンチリプレイ・ノンスＮ＿ＲＥＰＲを生成するステップと第二の鍵ノードによって、第一の鍵ノードのアイデンティティＫＩＤ＿Ｉに基づいて、第一の鍵ノードに関連付けられたアイデンティティ鍵Ｋ＿Ｉのルックアップを実行するステップと、を含み、第一の鍵ノードと第二の鍵ノードは、ネットワーク内の鍵ノードのアイデンティティ鍵と対応する鍵ノード識別子のマッピングテーブルまたはルックアップテーブルを保持する；第二の鍵ノードが、第二の鍵ノードに関連付けられたＩＤ鍵Ｋ＿Ｒのルックアップを実行し、第二の鍵ノードが、以下を代表するデータの結合に基づいて、中間バイロケーション鍵Ｋ＿ＩＢＫを作成する：第二の完全なリンク情報、選択された鍵Ｋ＿Ｑ、第一の鍵ノードの識別鍵Ｋ＿Ｉ、第二の鍵ノードの識別鍵Ｋ＿Ｒ、および第一のアンチリプレイ・ノンスＮ＿ＲＥＰＩ；

【0031】

任意に、第２の完全なリンク情報パケットは、Ｌ’＝（Ｌ＿Ｒ．ＩＤ＿Ｉ｜｜Ｌ＿Ｒ．ＫＩＤ＿Ｉ｜｜ＩＤ＿Ｒ｜｜ＫＩＤ＿Ｒ｜｜Ｌ＿Ｒ．Ｎ＿ＩＲ）の形をとり、｜｜は連結を表す、第１の側面によるコンピュータ実装方法。

【0032】

任意に、第１の態様に係るコンピュータ実装方法であって、第２の完全なリンク情報パケットは、Ｌ’＝（Ｌ＿Ｒ．ＩＤ＿Ｉ｜｜Ｌ＿Ｒ．ＫＩＤ＿Ｉ｜｜ＩＤ＿Ｒ｜｜ＫＩＤ＿Ｒ｜｜Ｌ＿Ｒ．Ｎ＿ＩＲ’）の形をとり、ここで｜｜は結合を示す、方法。

【0033】

任意に、第１の態様に係るコンピュータ実装方法であって、媒介バイロケーション鍵Ｋ＿ＩＢＫ＝＃（Ｋ＿Ｑ，＃（Ｌ’），Ｎ＿ＲＥＰＩ）ＸＯＲＫ＿ＩＸＯＲＫ＿Ｒに基づいて作成される、方法。

【0034】

別の選択肢として、第１の態様に係るコンピュータ実装方法であって、バイロケーション鍵Ｋ＿ＢＫ＝＃（Ｋ＿ＩＢＫ，Ｎ＿ＲＥＰＲ）に基づいて作成される、方法。

【0035】

別の選択肢として、第１の態様に係るコンピュータ実装方法であって、バイロケーション鍵Ｋ＿ＢＫを生成することは、最後のバイロケーション鍵Ｋ＿ＢＫ’を生成することを含む、方法。

【0036】

別の選択肢として、第１の態様に係るコンピュータ実装方法であって、最後のバイロケーション鍵Ｋ＿ＢＫ’は、Ｋ＿ＢＫ’＝＃（Ｎ＿ＩＲ，Ｋ＿ＢＫ）に基づいて作成される、方法。

【0037】

別の選択肢として、第１の態様に係るコンピュータ実装方法であって、最後の鍵は、それらの対応するバイロケーション鍵と同意されたノンスとの組み合わせに基づいて、第１の装置及び第２の装置のそれぞれによって計算される、方法。

【0038】

選択肢として、第１の態様に係るコンピュータ実装方法であって、最後の鍵は、それらの対応する最後のバイロケーション鍵と同意されたノンスとの組み合わせに基づいて、第１の装置及び第２の装置のそれぞれによって計算される、方法。

【0039】

選択肢として、第１の態様に係るコンピュータ実装方法であって、第２の装置によって、更なるノンスＮ＿Ｔを生成することと、第２の装置によって、更なるノンスＮ＿Ｔを第１の装置に送信することとを更に含み、更なるノンスは、最後の鍵を計算するのに用いられる、方法。

【0040】

任意に、第１の態様に係るコンピュータ実装方法であって、最後の鍵は、Ｋ＿Ｓ＝Ｋ＿ＢＫＸＯＲＮ＿Ｔ；Ｋ＿Ｓ＝Ｋ＿ＢＫＸＯＲＫ＿ＥＮＸＯＲＮ＿Ｔ；Ｋ＿ＢＫ’ ＸＯＲＮ＿Ｔ；Ｋ＿Ｓ＝Ｋ＿ＢＫ’ ＸＯＲＫ＿ＥＮＸＯＲＮ＿Ｔのグループからの１つに基づいて計算され、Ｋ＿ＥＮは、第１の装置及び第２の装置の間で用いられる暗号鍵であり、Ｋ＿Ｓ＝Ｋ＿ＢＫＸＯＲＫ＿ＴＬＳＸＯＲＮ＿Ｔ；Ｋ＿Ｓ＝Ｋ＿ＢＫ’ ＸＯＲＫ＿ＴＬＳＸＯＲＮ＿Ｔであり、ここでＫ＿ＴＬＳは第１の装置及び第２の装置の間で用いられるＴＬＳセッション鍵である、方法。

【0041】

別の選択肢として、第１の態様に係るコンピュータ実装方法であって、最後の鍵は、それらの対応するバイロケーション鍵Ｋ＿ＢＫから引き出される媒介鍵値Ｋ＿Ｘ及びチャレンジレスポンスプロトコルに基づいて第１の装置及び第２の装置のそれぞれによって計算され、その結果は最後の鍵に同意するために用いられ、チャレンジレスポンスプロトコルは、第１のチャレンジノンスＣ＿Ｉを第１の装置において作成することと、第２のチャレンジノンスＣ＿Ｒを第２の装置において作成することと、第１のチャレンジノンスＣ＿Ｉを第１の装置から第２の装置へ送信することと、第２のチャレンジノンスＣ＿Ｒを第２の装置から第１の装置へ送信することと、以下の値、すなわち、Ｘ＿Ｉ＝＃（Ｋ＿Ｘ，Ｃ＿Ｉ，０）；Ｘ＿Ｒ＝＃（Ｋ＿Ｘ，Ｃ＿Ｒ，１）；Ｒ＿Ｉ＝＃（Ｘ＿Ｉ，Ｃ＿Ｒ）；Ｒ＿Ｒ＝＃（Ｘ＿Ｒ，Ｃ＿Ｉ）に基づいてＣ＿Ｉ及び受信されたＣ＿Ｒを用いて第１の署名済みレスポンスを第１の装置において計算することであって、＃はハッシュ関数であることと、以下の値、すなわち、Ｘ＿Ｉ＝＃（Ｋ＿Ｘ，Ｃ＿Ｉ，０）；Ｘ＿Ｒ＝＃（Ｋ＿Ｘ，ＣＲ，１）；Ｒ＿Ｉ＝＃（Ｘ＿Ｉ，Ｃ＿Ｒ）；Ｒ＿Ｒ＝＃（Ｘ＿Ｒ，Ｃ＿Ｉ）に基づいてＣ＿Ｒ及び受信されたＣ＿Ｉを用いて第２の署名済みレスポンスを第２の装置において計算することであって、＃は第１の装置によって用いられた同じハッシュ関数であることと、第１の署名済みレスポンスＲ＿Ｉを第１の装置から第２の装置へ送信することと、第２の署名済みＲ＿Ｒを第２の装置から第１の装置へ送信することと、第２の装置から受信したＲ＿Ｒが第１の装置によって計算されたＲ＿Ｒの値と合致していると、第１の装置が判断したことに応じて、最後の鍵をＫ＿Ｓ＝Ｘ＿ＩＸＯＲＸ＿Ｒとして計算することと、第１の装置から受信したＲ＿Ｉが第２の装置によって計算されたＲ＿Ｉの値と合致していると、第２の装置が判断したことに応じて、最後の鍵をＫ＿Ｓ＝Ｘ＿ＩＸＯＲＸ＿Ｒとして計算することと、第１の装置及び／又は第２の装置いずれかに応じて、受信した署名済みレスポンスが対応する計算された署名済レスポンスと合致していないと判断することと、その接続を放棄することとを更に含む、方法。

【0042】

更なる選択肢として、第１の態様に係るコンピュータ実装方法であって、媒介鍵値Ｋ＿Ｘは、Ｋ＿Ｘ＝Ｋ＿ＢＫ、Ｋ＿Ｘ＝＃（Ｋ＿ＢＫ，Ｋ＿ＴＬＳ）のグループからの少なくとも１つに基づいて第１の装置及び第２の装置両方において計算され、Ｋ＿ＴＬＳは、第１の装置及び第２の装置の間のＴＬＳセッション、Ｋ＿Ｘ＝Ｋ＿ＢＫＸＯＲＫ＿ＴＬＳであり、Ｋ＿ＴＬＳは、第１の装置及び第２の装置の間のＴＬＳセッション鍵、Ｋ＿Ｘ＝＃（Ｋ＿ＢＫ，Ｋ＿ＥＮ）であり、Ｋ＿ＥＮは、第１の装置及び第２の装置の間で共有された鍵、Ｋ＿Ｘ＝Ｋ＿ＢＫＸＯＲＫ＿ＥＮであり、Ｋ＿ＥＮは、第１の装置及び第２の装置の間で教諭された鍵であり、第１の装置及び第２の装置両方に既知である１つ以上の同意された値を用いてＫ＿ＢＫを修正する任意の他の関数である、方法。

【0043】

さらなる選択肢として、第１の態様によるコンピュータ実装方法であって、最終鍵は、第１および第２のデバイスの各々によって、対応する最終的なＢｉｌｏｃａｔｉｏｎＫｅｙ、Ｋ＿ＢＫ’から導出される中間鍵値Ｋ＿Ｘと、最終鍵に合意するために使用されるチャレンジレスポンスプロトコルとに基づいて計算され、チャレンジレスポンスプロトコルはさらに以下を含む。
第１デバイスにおいて、第１チャレンジノンスＣ＿Ｉを作成するステップ
第２デバイスにおいて、第２チャレンジ・ノンスＣ＿Ｒを作成するステップ
第１デバイスから第２デバイスへ、第１チャレンジ・ノンスＣ＿Ｉを送信するステップ
第２デバイスから第１デバイスへ、第２チャレンジ・ノンスＣ＿Ｒを送信するステップ
第１デバイスにおいて、Ｘ＿Ｉ＝＃（Ｋ＿Ｘ，Ｃ＿Ｉ，０）；Ｘ＿Ｒ＝＃（Ｋ＿Ｘ，Ｃ＿Ｒ，１）；Ｒ＿Ｉ＝＃（Ｘ＿Ｉ，Ｃ＿Ｒ）；Ｒ＿Ｒ＝＃（Ｘ＿Ｒ，Ｃ＿Ｉ）（ここで、＃はハッシュ関数である）の値に基づいて、Ｃ＿Ｉと受信したＣ＿Ｒを用いて、第１の署名付き応答を計算する
第２デバイスにおいて、Ｃ＿Ｒと受信したＣ＿Ｉを用いて、Ｘ＿Ｉ＝＃（Ｋ＿Ｘ，Ｃ＿Ｉ，０）；Ｘ＿Ｒ＝＃（Ｋ＿Ｘ，Ｃ＿Ｒ，１）；Ｒ＿Ｉ＝＃（Ｘ＿Ｉ，Ｃ＿Ｒ）；Ｒ＿Ｒ＝＃（Ｘ＿Ｒ，Ｃ＿Ｉ）（ここで、＃は第１デバイスで使用されたものと同じハッシュ関数である）の値に基づいて第２の署名付き応答を計算する
第１デバイスから第２デバイスへ、第１の署名付き応答Ｒ＿Ｉを送信する
第２デバイスから第１デバイスへ、第２の署名付きレスポンスＲ＿Ｒを送信する
第１デバイスにおいて、第２デバイスから受信したＲ＿Ｒが、第１デバイスによって計算されたＲ＿Ｒの値と一致すると判断したことに応答して、Ｋ＿Ｓ＝Ｘ＿ＩＸＯＲＸ＿Ｒ、またはＫ＿Ｓ＝＃（Ｘ＿Ｉ、Ｘ＿Ｒ）として最終鍵を計算する
第２デバイスにおいて、第２のデバイスから受信したＲ＿Ｒが、第１デバイスによって計算されたＲ＿Ｒの値と一致すると判断したことに応答して、Ｋ＿Ｓ＝＃（Ｘ＿Ｉ、Ｘ＿Ｒ）として最終鍵を計算する
第２のデバイスにおいて、第１のデバイスから受信したＲ＿Ｉが、第２のデバイスによって計算されたＲ＿Ｉの値と一致すると判断したことに応答して、Ｋ＿Ｓ＝Ｘ＿ＩＸＯＲＸ＿ＲまたはＫ＿Ｓ＝＃（Ｘ＿Ｉ，Ｘ＿Ｒ）として最終鍵を計算する
第１デバイスおよび／または第２デバイスのいずれかにおいて、受信した署名付き応答が、対応する計算された署名付き応答と一致しないと判断したことに応答して、接続を放棄する

【0044】

さらなるオプションとして、第１の態様によるコンピュータ実装方法は請求項３６に記載のコンピュータ実装請求項において、中間鍵値Ｋ＿Ｘは、以下のグループからの少なくとも１つに基づいて、第１および第２デバイスの両方で計算される。
Ｋ＿Ｘ＝Ｋ＿ＢＫ’；Ｋ＿Ｘ＝＃（Ｋ＿ＢＫ’，Ｋ＿ＴＬＳ）、ここでＫ＿ＴＬＳは第１および第２のデバイス間のＴＬＳセッションキーである
Ｋ＿Ｘ＝Ｋ＿ＢＫ’ＸＯＲＫ＿ＴＬＳ、ここでＫ＿ＴＬＳは第１および第２のデバイス間のＴＬＳセッションキーである；
Ｋ＿Ｘ＝＃（Ｋ＿ＢＫ’，Ｋ＿ＥＮ）、ここでＫ＿ＥＮは第１および第２のデバイス間で共有されるキーである
Ｋ＿Ｘ＝Ｋ＿ＢＫ’ＸＯＲＫ＿ＥＮ、ここでＫ＿ＥＮは第１および第２のデバイス間で共有される鍵である
Ｋ＿ＢＫを第１および第２のデバイスの両方が知っている１つまたは複数の合意された値で修正するための他の関数。

【0045】

オプションとして、第１の態様によるコンピュータ実装方法において、第３ノンスは、第１ランダムノンスと第２ランダムノンスとの排他的論理和（ＸＯＲ）演算に基づいて計算される。

【0046】

第２の態様において、本開示は、ネットワークを使用して第１デバイスと第２デバイスとの間で鍵を確立するコンピュータ実装方法を提供し、ネットワークは、第１鍵ノードと第２鍵ノードとを含み、第１鍵ノードは、鍵のセットにアクセスするためのものであり、第２鍵ノードは、同じ鍵のセットにアクセスするためのものであり、第１デバイスによって実行される本方法は、以下を含む。
第１デバイスにおいて、少なくとも第１鍵ノードと第２デバイスから、第１鍵確立データを代表するデータを受信し、これを用いて１鍵ノードと第２鍵ノードの鍵セットから選択された鍵に基づきＢｉｌｏｃａｔｉｏｎＫｅｙを計算する。
そして、第２デバイスが、第２鍵ノードにＢｉｌｏｃａｔｉｏｎＫｅｙを要求する際に使用するために、少なくとも第１のデバイスから第２の鍵確立データを代表するデータを受信し、ここで、ＢｉｌｏｃａｔｉｏｎＫｅｙは、第２鍵ノードの鍵セットから選択された鍵に基づいて第２鍵ノードによって計算され、そして、第１および第２デバイスが、最終的なＢｉｌｏｃａｔｉｏｎＫｅｙを生成するために、対応するＢｉｌｏｃａｔｉｏｎＫｅｙをそれぞれ使用し、第１鍵確立データおよび第２鍵確立データの合意された部分に基づいて最終鍵を生成するために、最終的なＢｉｌｏｃａｔｉｏｎＫｅｙをそれぞれ使用する。

【0047】

オプションとして、第２の態様によるコンピュータ実施方法は、第１の態様のいずれかによる第１の装置で実行されるコンピュータ実施方法ステップをさらに含む。

【0048】

第３の態様において、本開示は、ネットワークを使用して第１のデバイスと第２のデバイスとの間で鍵を確立するコンピュータ実装方法を提供し、ネットワークは、第１の鍵ノードと第２の鍵ノードとを含み、第１の鍵ノードは、鍵のセットにアクセスするためのものであり、第２の鍵ノードは、同じ鍵のセットにアクセスするためのものであり、第１のデバイスによって実行される本方法は、以下を含む：
第１デバイスにおいて、少なくとも第１鍵ノードと第２デバイスから、第１鍵確立データを代表するデータを受信し、これを用いて１鍵ノードと第２鍵ノードの鍵セットから選択された鍵に基づきＢｉｌｏｃａｔｉｏｎＫｅｙを計算する
そして、第２デバイスが、第２鍵ノードにＢｉｌｏｃａｔｉｏｎＫｅｙを要求する際に使用するために、少なくとも第１のデバイスから第２の鍵確立データを代表するデータを受信し、ここで、ＢｉｌｏｃａｔｉｏｎＫｅｙは、第２鍵ノードの鍵セットから選択された鍵に基づいて第２鍵ノードによって計算され、そして、第１および第２デバイスが、最終的なＢｉｌｏｃａｔｉｏｎＫｅｙを生成するために、対応するＢｉｌｏｃａｔｉｏｎＫｅｙをそれぞれ使用し、第１鍵確立データおよび第２鍵確立データの合意された部分に基づいて最終鍵を生成するために、最終的なＢｉｌｏｃａｔｉｏｎＫｅｙをそれぞれ使用する。

【0049】

オプションとして、第３の態様によるコンピュータ実施方法は、第１の態様による第１の装置で実行されるコンピュータ実施方法ステップをさらに含む。

【0050】

第４の態様において、本開示は、ネットワークを使用して第１デバイスと第２デバイスとの間で鍵を確立するコンピュータ実装方法を提供し、ネットワークは、第１鍵ノードと第２鍵ノードとを含み、第１鍵ノードは、鍵のセットにアクセスするためのものであり、第２のノードは、同じ鍵のセットにアクセスするためのものであり、第２デバイスによって実行される本方法は、以下を含む。
第１デバイスにおいて、少なくとも第１鍵ノードと第２デバイスから、第１鍵確立データを代表するデータを受信し、これを用いて１鍵ノードと第２鍵ノードの鍵セットから選択された鍵に基づきＢｉｌｏｃａｔｉｏｎＫｅｙを計算する
そして、第２デバイスが、第２鍵ノードにＢｉｌｏｃａｔｉｏｎＫｅｙを要求する際に使用するために、少なくとも第１のデバイスから第２の鍵確立データを代表するデータを受信し、ここで、ＢｉｌｏｃａｔｉｏｎＫｅｙは、第２鍵ノードの鍵セットから選択された鍵に基づいて第２鍵ノードによって計算され、そして、第１および第２デバイスが、最終的なＢｉｌｏｃａｔｉｏｎＫｅｙを生成するために、対応するＢｉｌｏｃａｔｉｏｎＫｅｙをそれぞれ使用し、第１鍵確立データおよび第２鍵確立データの合意された部分に基づいて最終鍵を生成するために、最終的なＢｉｌｏｃａｔｉｏｎＫｅｙをそれぞれ使用する。

【0051】

オプションとして、第４の態様によるコンピュータ実施方法は、第１、第２または第３の態様のいずれか１つによる第２の装置で実行されるコンピュータ実施方法ステップをさらに含む。

【0052】

第５の態様において、本開示は、ネットワークを使用して第１デバイスと第２デバイスとの間で鍵を確立するコンピュータ実装方法を提供し、ネットワークは、第１鍵ノードと第２鍵ノードとを含み、第１鍵ノードは鍵のセットを含み、第２鍵ノードは同じ鍵のセットを含み、第２鍵ノードによって実行される、本方法は以下を含む。
第２のデバイスからＢｉｌｏｃａｔｉｏｎＫｅｙリクエストを受信するプロセスにあって、当該リクエストは、ＢｉｌｏｃａｔｉｏｎＫｅｙのリクエストに使用するために、少なくとも第１のデバイスから第２のデバイスによって受信された第２の鍵確立データの一部を代表するデータを含むプロセスと、受信されたリクエストデータと鍵セットから選択された鍵とに基づいて中間ＢｉｌｏｃａｔｉｏｎＫｅｙを確立するプロセスと確立された中間ＢｉｌｏｃａｔｉｏｎＫｅｙと第２アンチリプレイノンスに基づいてＢｉｌｏｃａｔｉｏｎＫｅｙを確立するステップ
ＢｉｌｏｃａｔｉｏｎＫｅｙと第２アンチリプレイノンスを第２のデバイスに送信するステップ
ここで、第１および第２デバイスは、対応するＢｉｌｏｃａｔｉｏｎＫｅｙを使用して、それぞれ、第１鍵確立データと第２鍵確立データの合意された部分に基づいて最終鍵を生成する。

【0053】

オプションとして、第５の態様によるコンピュータ実施方法は、第１、第２、第３および／または第４の態様のいずれか１つに従って第１鍵ノードで実行されるコンピュータ実施方法ステップをさらに含む。

【0054】

第６の態様において、本開示は、ネットワークを使用して第１デバイスと第２デバイスとの間で鍵を確立するコンピュータ実装方法を提供し、ネットワークは、第１鍵ノードと第２鍵ノードとを含み、第１鍵ノードは鍵のセットを含み、第２鍵ノードは同じ鍵のセットを含み、第２鍵ノードによって実行される、本方法は以下を含む。
第２のデバイスからＢｉｌｏｃａｔｉｏｎＫｅｙリクエストを受信するプロセスにあって、当該リクエストは、ＢｉｌｏｃａｔｉｏｎＫｅｙのリクエストに使用するために、少なくとも第１のデバイスから第２のデバイスによって受信された第２の鍵確立データの一部を代表するデータを含むプロセスと、受信されたリクエストデータと鍵セットから選択された鍵とに基づいて中間ＢｉｌｏｃａｔｉｏｎＫｅｙを確立するプロセスと確立された中間ＢｉｌｏｃａｔｉｏｎＫｅｙと第２アンチリプレイノンスに基づいてＢｉｌｏｃａｔｉｏｎＫｅｙを確立するステップ
ＢｉｌｏｃａｔｉｏｎＫｅｙと第２アンチリプレイノンスを第２のデバイスに送信するステップ
ここで、第１および第２デバイスは、対応するＢｉｌｏｃａｔｉｏｎＫｅｙを使用して、それぞれ、第１鍵確立データと第２鍵確立データの合意された部分に基づいて最終鍵を生成する。

【0055】

オプションとして、第６の態様によるコンピュータ実装方法は、第１、第２、第３、第４、および／または第５の態様のいずれか１つに従って第２の鍵ノードで実行されるコンピュータ実装方法ステップをさらに含む。

【0056】

第７の態様において、本開示は、ネットワークを使用して第１のデバイスと第２のデバイスとの間で鍵を確立するコンピュータ実装方法を提供し、ネットワークは、第１鍵ノードと第２鍵ノードとを含み、第１鍵ノードは鍵のセットを含み、第２鍵ノードは同じ鍵のセットを含み、第２鍵ノードによって実行される、本方法は以下を含む。
第２のデバイスからＢｉｌｏｃａｔｉｏｎＫｅｙリクエストを受信するプロセスにあって、当該リクエストは、ＢｉｌｏｃａｔｉｏｎＫｅｙのリクエストに使用するために、少なくとも第１デバイスから第２デバイスによって受信された第２の鍵確立データの一部を代表するデータを含むプロセスと、受信されたリクエストデータと鍵セットから選択された鍵とに基づいて中間ＢｉｌｏｃａｔｉｏｎＫｅｙを確立するプロセスと確立された中間ＢｉｌｏｃａｔｉｏｎＫｅｙおよび第２アンチリプレイノンスに基づいてＢｉｌｏｃａｔｉｏｎＫｅｙを確立するステップと、ＢｉｌｏｃａｔｉｏｎＫｅｙおよび第２アンチリプレイノンスを第２デバイスに送信するステップを含み、第１および第２デバイスは、対応するＢｉｌｏｃａｔｉｏｎＫｅｙを使用してそれぞれ最終的なＢｉｌｏｃａｔｉｏｎＫｅｙを生成し、最終的なＢｉｌｏｃａｔｉｏｎＫｅｙを使用して、第１鍵確立データおよび第２鍵確立データの合意された部分に基づいてそれぞれ最終鍵を生成する。

【0057】

オプションとして、第７の態様によるコンピュータ実装方法は、第１、第２、第３、第４、第５、および／または第６の態様のいずれか１つに従って第２鍵ノードで実行されるコンピュータ実装方法ステップをさらに含む。

【0058】

オプションとして、第１、第２、第３、第４、第５、第６および／または第７の態様のいずれかによるコンピュータ実装方法は、鍵ノードの各々が量子安全ネットワークの一部であり、鍵の各セットは、量子鍵配布システムを使用して配信される量子分散鍵のセットである。

【0059】

オプションとして、第１、第２、第３、第４、第５、第６および／または第７の態様のいずれかに従うコンピュータ実装方法にあって、鍵ノードの各々は古典的に安全なネットワークの一部であり、各鍵セットまたは分散鍵は古典的な鍵配布システムを使用して配信される。

【0060】

オプションとして、第１、第２、第３、第４、第５、第６、および／または第７の態様のいずれかに従うコンピュータ実装方法にあって、量子鍵配布システムは以下の群から少なくとも１つが含まれうる。
衛星量子鍵配布システム
地上光量子鍵配布システム
量子セキュアまたは量子セキュアな方法で第１および第２鍵ノードに量子鍵セットを配布することができる任意のタイプの量子鍵配布システム

【0061】

オプションとして、第１、第２、第３、第４、第５、第６および／または第７の態様のいずれかに従うコンピュータ実装方法にあって、第１デバイスと第１鍵ノードとの間の通信は、第１の量子セキュアチャネルを介して実行され、第２デバイスと第２鍵ノードとの間の通信は、第２の量子セキュアチャネルを介して実行され、第１デバイスと第２デバイスとの間の通信は、古典的通信チャネルを介して、最終鍵の確立中に実行される。

【0062】

オプションとして、第１、第２、第３、第４、第５、第６および／または第７の態様のいずれかに従うコンピュータ実装方法にあって、鍵のセットは１つのタイムパッド鍵のセットである。

【0063】

オプションとして、第１、第２、第３、第４、第５、第６および／または第７の態様のいずれかに従うコンピュータ実施方法であって、古典的通信チャネルが標準暗号化通信チャネルである。

【0064】

オプションとして、第１、第２、第３、第４、第５、第６および／または第７の態様のいずれかに従うコンピュータ実装方法であって、第１鍵ノードおよび第２鍵ノードは異なる地理的位置に配置され、第１鍵ノードは第２鍵ノードとは異なる。

【0065】

オプションとして、第１、第２、第３、第４、第５、第６および／または第７の態様のいずれかに従うコンピュータ実装方法は、第１鍵ノードと第２鍵ノードとが同じ地理的位置に配置される。

【0066】

オプションとして、第１、第２、第３、第４、第５、第６および／または第７の態様のいずれかに従うコンピュータ実装方法は、第１鍵ノードと第２鍵ノードが同じ論理位置に配置される。

【0067】

オプションとして、第１、第２、第３、第４、第５、第６および／または第７の態様のいずれかに従うコンピュータ実装方法は、第１鍵ノードと第２鍵ノードが同じ鍵ノードであり、鍵のセットは第１鍵ノードと第２鍵ノードによってのみ知られる。

【0068】

オプションとして、第１、第２、第３、第４、第５、第６および／または第７の態様のいずれかに従うコンピュータ実装方法は、第１鍵ノードと第２鍵ノードが同じ論理鍵ノードであり、論理鍵ノードの鍵のセットはそれ自身と共有されるか、論理鍵ノードだけが所有し、選択された鍵は論理鍵ノードだけが知っている鍵のセットから選択される。

【0069】

第８の態様では、本開示は、プロセッサユニットと、メモリユニットと、通信インターフェースとを備える装置であって、プロセッサユニットは、メモリユニットおよび通信インターフェースに接続され、プロセッサユニット、メモリユニットおよび通信インターフェースは、第１、第２、第３、第４、第５、第６および／または第７の態様のいずれかによるコンピュータ実装方法の対応するステップを実装するように適合される、装置を提供する。

【0070】

第９の態様では、本開示は、第１デバイスおよび第２デバイスと、セキュアネットワークとを含むシステムであって、セキュアネットワークは、第１鍵ノードおよび第２鍵ノードを含み、第１鍵ノードは、鍵のセットを含むか、または鍵のセットにアクセスし、第２鍵ノードは、同じ鍵のセットを含むか、または鍵のセットにアクセスする、システムを提供し、第１デバイス、第２デバイスの各々は、第１鍵ノードおよび第２鍵ノードを含む。第１鍵ノードおよび第２鍵ノードは、プロセッサユニット、メモリユニット、および通信インタフェースを含み、プロセッサユニットは、メモリユニットおよび通信インタフェースに接続され、プロセッサユニット、メモリユニット、および通信インタフェースは、第１、第２、第３、第４、第５、第６、および／または第７の態様のいずれかによるコンピュータ実装方法の対応するステップを実装するように適合される。

【0071】

第１０の態様では、本開示は、プロセッサユニットと、メモリユニットと、通信インターフェースとを備える第１デバイスであって、プロセッサユニットは、メモリユニットおよび通信インターフェースに接続され、プロセッサユニット、メモリユニットおよび通信インターフェースは、第１、第２、第３、第４、第５、第６および／または第７の態様（複数可）のいずれかによるコンピュータ実装方法の対応するステップを実装するように適合される、第１デバイスを提供する。

【0072】

第１１の態様において、本開示は、プロセッサユニット、メモリユニット、および通信インターフェースを備える第２のデバイスであって、プロセッサユニットは、メモリユニットおよび通信インターフェースに接続され、プロセッサユニット、メモリユニット、および通信インターフェースは、第１、第２、第３、第４、第５、第６、および／または第７の態様（複数可）のいずれかによるコンピュータ実装方法の対応するステップを実装するように適合される、第２デバイスを提供する。

【0073】

第１２の態様では、本開示は、プロセッサユニットと、メモリユニットと、通信インターフェースとを備える第１のキーノードを提供し、プロセッサユニットは、メモリユニットおよび通信インターフェースに接続され、プロセッサユニット、メモリユニットおよび通信インターフェースは、第１、第２、第３、第４、第５、第６および／または第７の態様（複数可）のいずれかによるコンピュータ実装方法の対応するステップを実装するように適合される。

【0074】

第１３の態様では、本開示は、プロセッサユニットと、メモリユニットと、通信インターフェースとを備える第２のキーノードを提供し、プロセッサユニットは、メモリユニットおよび通信インターフェースに接続され、プロセッサユニット、メモリユニットおよび通信インターフェースは、第１、第２、第３、第４、第５、第６および／または第７の態様（複数可）のいずれかによるコンピュータ実装方法の対応するステップを実装するように適合される。

【0075】

第１４の態様において、本開示は、以下を備えるシステムを提供する。
第８および／または第１０の態様のいずれかによる装置を備える第１デバイス
第８および／または第１１の態様のいずれかによる装置を備える第２デバイス
第８および／または第１２の態様のいずれかによる装置を備える第１鍵ノード
第８および／または第１３の態様のいずれかによる装置を備える第２鍵ノード
ここで、第１デバイスおよび第２のデバイスは、第１デバイスと第２デバイスとの間の通信セッションのための最終鍵を確立するために、標準通信チャネルを介して互いに通信し、対応する量子セキュアチャネルを介して第１鍵ノードおよび第２鍵ノードとそれぞれ通信するように構成される。

【0076】

オプションとして、第１０の態様に係るシステムは、複数の衛星から構成される衛星量子鍵配信システムであって、各衛星が量子鍵配信の機能を含み、各衛星が１つ以上の地上受信局と通信し、各地上受信局が量子セキュアチャネルを介して第１及び第２鍵ノードの１つに結合又は接続される、システムである。

【0077】

オプションとして、第１４の態様によるシステムは、複数の地上量子トランシーバを含む地上量子鍵配信システムであり、各トランシーバは量子鍵配信の機能を含み、量子セキュアチャネルを介して第１および第２鍵ノードの一方に結合または接続される。

【0078】

第１５の態様において、本開示は、以下を含むシステムを提供する
第８および／または第１０の態様のいずれかによる装置を備える第１デバイス
第８および／または第１１の態様のいずれかによる装置を備える第２デバイス
第８および／または第１２の態様のいずれかによる装置を備える第１のキーノード
第８および／または第１３の態様のいずれかによる装置を備える第２のキーノード
ここで、第１のデバイスおよび第２のデバイスは、第１のデバイスと第２のデバイスとの間の通信セッションのための最終鍵を確立するために、標準的な通信チャネルを介して互いに通信し、対応する古典的に安全なチャネルを介して第１の鍵ノードおよび第２の鍵ノードとそれぞれ通信するように構成される。

【0079】

オプションとして、第１５の態様によるシステムは、システムが、第１および第２鍵ノードの各々に対して古典的に安全なチャネルを介して安全な鍵を配布する機能を含む古典的鍵配布システムを含む。

【0080】

第１６の態様において、本開示は、プロセッサ上で実行されると、プロセッサに、本明細書で説明される、および／またはアプリケーションが要求する、第１、第２、第３、第４、第５、第６および／または第７の態様のいずれか、および／またはそれらの特徴、それらの修正、それらの組み合わせによるコンピュータ実装方法を実行させる、コンピュータコードまたはその上に記憶された命令を含むコンピュータ可読媒体を提供する。

【0081】

本書に記載される方法は、例えば、プログラムがコンピュータ上で実行されるときに本書に記載される方法のいずれかのすべてのステップを実行するように適合されたコンピュータプログラムコード手段を含むコンピュータプログラムの形態で、有形の記憶媒体上の機械可読形態のソフトウェアによって実行されてもよく、コンピュータプログラムはコンピュータ可読媒体上に具現化されてもよい。有形（または非一過性）記憶媒体の例には、ディスク、サムドライブ、メモリカードなどが含まれ、伝搬信号は含まれない。ソフトウェアは、方法ステップが任意の適切な順序で、または同時に実行され得るように、並列プロセッサまたは直列プロセッサ上での実行に適し得る。

【0082】

本出願は、ファームウェアとソフトウェアが、価値のある、別個に取引可能な商品となり得ることを認識するものである。これは、所望の機能を実行するために、「ダム」または標準的なハードウェア上で実行または制御されるソフトウェアを包含することを意図している。また、ＨＤＬ（ハードウェア記述言語）ソフトウェアのように、ハードウェアのコンフィギュレーションを「記述」または定義するソフトウェアも包含することを意図している。

【0083】

好ましい特徴は、当業者には明らかであろうように、適宜組み合わせることができ、本発明の任意の態様と組み合わせることができる。
本発明の実施形態を、例として、以下の図面を参照して説明する

【図面の簡単な説明】

【0084】

【図1a】図１ａは、本発明の具体的な実施形態による、イニシエータデバイスとレシーバデバイスとの間に適用される鍵確立プロトコルまたはプロセスと共に使用するための例示的なシステムを示す概略図である。

【図1b】図１ｂは、本発明の具体的な実施形態による、イニシエータデバイスとレシーバデバイスとの間に適用される鍵確立プロトコルまたはプロセスとともに使用するための別の例示的なシステムを示す概略図である。

【図1c】図１ｃは、本発明の具体的な実施形態による、イニシエータデバイスとレシーバデバイスとの間に適用される鍵確立プロトコルまたはプロセスと共に使用するための、さらに別の例示的なシステムを示す概略図である。

【図2a】図２ａは、本発明の具体的な実施形態による図１ａおよび図１ｂのシステムと共に使用するための例示的な鍵確立プロセスを示すフロー図である。

【図2b】図２ｂは、本発明の具体的な実施形態による図１ａおよび図１ｂのシステムで使用するための、別の例示的な鍵確立プロセスを示すフロー図である。

【図2c】図２ｃは、本発明の具体的な実施形態による、図２ｂのイニシエータデバイスのための別の例示的な鍵確立プロセスを示すフロー図である。

【図2d】図２ｄは、本発明の具体的な実施形態による、図２ｂの受信側デバイスのための別の例示的な鍵確立プロセスを示すフロー図である。

【図2e】図２ｅは、本発明の具体的な実施形態による、図２ｂのイニシエータデバイスによって使用される鍵ノードのための別の例示的な鍵確立プロセスを示すフロー図である。

【図2f】図２ｆは、本発明の具体的な実施形態による、図２ｂの受信側デバイスによって使用される鍵ノードのための別の例示的な鍵確立プロセスを示すフロー図である。

【図2g】図２ｇは、本発明の具体的な実施形態による、別の例の鍵確立プロセスを示すフロー図である。

【図3a】図３ａは、本発明の具体的な実施形態による鍵確立プロセスで使用するシステム初期化プロセスの一例を示す信号フローシーケンス図である。

【図3b】図３ｂは、本発明の具体的な実施形態による鍵確立プロセスのための、例示的な第１ハンドシェイクプロセス、例示的な中間ＢｉｌｏｃａｔｉｏｎＫｅｙリクエストプロセス、および例示的な中間ＢｉｌｏｃａｔｉｏｎＫｅｙ確立プロセスを示す信号フローシーケンス図である。

【図3c】図３ｃは、本発明の具体的な実施形態による鍵確立プロセスのための、例示的な第２ハンドシェイクプロセス、例示的なＢｉｌｏｃａｔｉｏｎＫｅｙリクエストプロセス、例示的なＢｉｌｏｃａｔｉｏｎＫｅｙ確立プロセス、および最終ハンドシェイクプロセスを示す信号フローシーケンス図である。

【図3d】図３ｄは、本発明の具体的な実施形態による、鍵作成プロセス例と、鍵確立プロセスで使用する別の鍵作成プロセス例を示す信号フローシーケンス図である。

【図4a】図４ａは、本発明による例示的な鍵確立プロトコル／プロセスの１つまたは複数の部分を実施する際に使用する例示的なコンピューティングシステム、デバイスまたは装置を示す概略図である。

【図4b】図４ｂは、本発明による例示的な鍵確立プロトコル／プロセスを実施する際に使用する例示的なシステムを示す概略図である。

【0085】

図全体を通して、同様の特徴を示すために共通の参照番号が使用されている。

【発明を実施するための形態】

【0086】

以下、本発明の実施形態を例示としてのみ説明する。これらの実施例は、これが達成され得る唯一の方法ではないが、出願人に現在知られている本発明を実施するための最良の態様を表している。本書では、実施例の機能、および実施例を構築し操作するための一連のステップを示す。しかしながら、同一または同等の機能およびシーケンスは、異なる実施例によって達成され得る。

【0087】

本開示は、通信ネットワーク内の１つまたは複数の鍵サービングノード（ＫＮｏｄｅｓ）と通信する第１デバイスまたはエンドポイント（例：イニシエータデバイス／エンドポイント）と第２デバイスまたはエンドポイント（例：レシーバデバイス／エンドポイント）との間で暗号鍵または鍵を確立するために鍵確立プロトコルを使用する方法（複数可）、装置およびシステム（複数可）を提供する。
第１および第２デバイス間で確立される鍵、または鍵確立プロトコルの結果得られる鍵は、互換的に本書では、本書で説明する鍵確立プロトコルの終了時に第１および第２のデバイスによって導出される最終鍵、確立鍵、および／または結果得られる鍵、その修正、および／またはそれらの組み合わせと呼ばれる。第１および第２デバイスの各々は、対応する第１および第２鍵サービングノードと通信しており、各鍵サービングノードは、第１および第２デバイスがアクセスできない分散鍵の同じセット（鍵セットとも呼ばれる）にアクセスできる。各鍵セットは、第１および第２デバイスの各鍵サービングノードに安全な方法で確立または配布されている。例えば、各鍵セットは、限定するものではないが、古典的な鍵配布プロトコルを使用して鍵セットを形成することや量子鍵配布プロトコルを使用して量子分散鍵を構成する鍵セットを形成することおよび／または、トラストレスな方法で第１および第２デバイス間の鍵（例えば、確立鍵または最終鍵）を確立するための鍵確立プロトコルと共に使用するために、ＫＮｏｄｅｓに鍵セットを提供するのに適した任意の他のタイプの鍵配布プロトコルに基づいて配布および／または形成することができる。

【0088】

オプションとして、第１鍵サービングノードまたは鍵ノード（例：ＫＮｏｄｅＡ）と第２鍵サービングノードまたは鍵ノード（例：ＫＮｏｄｅＢ）は、地理的に異なる場所に配置されていてもよく、第１鍵ノードは第２鍵ノードとは異なる。したがって、イニシエータデバイス／エンドポイントとレシーバデバイス／エンドポイントは、地理的に離れているため、異なる鍵ノードと通信する。この結果、確立された鍵は、第１および第２鍵ノードの地理的位置（例：サーバ／ＫＮｏｄｅｓ）に安全な方法で配信された各鍵ノードにおいて、分散鍵のセットから選択された同じ分散鍵（例：ＱＫＤ鍵）（または鍵のセットから選択された鍵）をルートとすることになる。言い換えれば、イニシエータエンドポイント／デバイスとレシーバエンドポイント／デバイスの両方がＫＮｏｄｅの同じコンピューティング・デバイス／サーバと効果的に通信する場合である。この場合、論理ＫＮｏｄｅは「それ自身と共有される」鍵の配列またはセットから鍵（例：ＱＫＤ鍵）を選択するように構成される（すなわち、分散された鍵はＫＮｏｄｅのみが所有または知っている鍵のセットである）。従って、確立された鍵はＫＮｏｄｅのみが安全な方法でアクセスできる分散鍵または鍵にルートされる。この場合、第１鍵ノードと第２鍵ノードは同じ地理的な場所に配置されてもよいし、サーバやコンピューティングデバイスなどの同じ論理的な場所に配置されてもよい。別の例として、第１鍵ノードと第２鍵ノードは、イニシエータデバイス／エンドポイントとレシーバエンドポイント／デバイスが共に通信する同じ鍵ノードであってもよく、この場合、鍵のセットはこの同じ鍵ノードによってのみ知られる（例：第１鍵ノードと第２鍵ノードによってのみ知られる）。代替的または付加的に、第１鍵ノードと第２鍵ノードが同じ論理鍵ノードであり、論理鍵ノードの鍵セットが論理鍵ノード自身と共有されているか、論理鍵ノードのみが所有しており、選択された鍵が論理鍵ノードのみが知っている鍵セットから選択される。任意の鍵合意において、使用されるＫＮｏｄｅは同じＫＮｏｄｅであることもあれば、異なるＫＮｏｄｅであることもある。さらに、各ＫＮｏｄｅは単一のデータセンターで構成されることもあれば、ＱＫＤリンクで保護された複数のデータセンターで構成されることもある。

【0089】

下記に述べるいかなる場合でも、本発明及び／又は図１ａ～図４ｂに基づき本文書で述べる、及び／又はその修正、それらの組み合わせ、及び／又は本文書で述べるイニシエータエンドポイント／デバイスとレシーバエンドポイントデバイス間のキー確立に使用されるキー確立プロトコル又はプロセスは、同様の方法又は態様で実装することができる。第１のキーノードが、第２のキーノードと物理的に異なる位置に存在し、第１と第２のキーノードが同じ分散キーセットを保有している。第１と第２のキーノードが同じ、即ち同じキーノードは、同じキーノードだけが知っている分散キーセットを持つ。又は、第１と第２のキーノードが同じロジカルキーノードである、即ち同じロジカルキーノードは、同じロジカルキーノードだけが知っている分散キーセットを持つ等

【0090】

一例として、この限りではないが、通信ネットワークは、古典的な通信ネットワーク（例：クラウドネットワーク／インフラストラクチャ等）に基づくことが可能である。この場合、ネットワーク内の通信チャネルは、古典的な暗号化／暗号化又は非量子暗号化／暗号化を使用して保護され、古典的なセキュリティで保護された通信ネットワーク又は古典的なセキュリティで保護されたネットワーク（保護されたネットワークとも呼ばれる）を形成する。例えば、１つ以上のキーサービングノード（ＫＮｏｄｅｓ）は古典的な保護されたネットワークの一部であり、古典的な保護された通信チャネルを介して通信する。本発明によると、キー確立プロトコルで使用されるキーセットは、１つ又は複数の様々なキー分散プロトコルを用いてキーセットを生成し、古典的な保護されたネットワーク（例：１つ又は複数のＨＳＭや安全なサーバー等への格納等）に分散される。そのため、ＫＮｏｄｅは、保護されたネットワーク内の安全なチャネルを介して、キーセットに安全にアクセスすることができる。ＫＮｏｄｅｓ及び／又は保護されたネットワークの他のコンピューターデバイス、ノード及び／又はコンポーネント間の各古典的安全通信チャネルは、この限りではないが、例えば、キーセットからのキー、キーセットから導出されたキー、あるいは手動キーフィルプロセス等から導出された分散キーで暗号化された通信チャネルに基づくことができる。第１及び第２のデバイスのそれぞれは、キー確立プロトコルの間、それぞれのＫＮｏｄｅと古典的安全通信チャネルを設定することができる。古典的安全通信チャネルの設定方法は、この限りではないが、以下は例である。キーセットからのキーによって暗号化された通信チャネルから構成；キーセットから導出したキーであれば、手動のキーフィルプロセスから導出した分散キーでも可能；それぞれのＫＮｏｄｅとデバイス間で交換されるキー；ＫＮｏｄｅとデバイス間の通信チャネルを確保するその他の方法；その他及び／又はアプリケーションの要求に応じる。

【0091】

分散キーセット（又はキーセット）は、古典的安全なネットワーク内の１つ又は複数のサーバー（ＨＳＭ、安全なサーバー等）内に格納してもよい。この限りではないが、キーセットは、例えばＱＫＤキーセットの場合がある。サーバーが２つ以上ある場合、少なくとも２つのサーバーは、もう１つのサーバーと物理的に異なる位置にある可能性があり、この時キー配布システムは、分散キーセットを生成し、前記少なくとも２つのサーバーに安全に分散する。この場合、キー確立プロトコルは、イニシエーターデバイス／エンドポイント（例：第１のデバイス）とレシーバーデバイス／エンドポイント（例：第２のデバイス）間で、安全な方法でそれらの物理的な場所（サーバー／ＫＮｏｄｅｓ等）に配信された分散キーにｒｏｏｔしている物理的に異なる位置（例：異なるサーバ／ＫＮｏｄｅ）から同じキーを受信するために使用することができる。あるいは、又はさらに、キー確立プロトコルは、イニシエーターデバイス／エンドポイント（例：第１のデバイス）とレシーバーデバイス／エンドポイント（例：第２のデバイス）間で、それらが同じサーバ及び／又は物理的に同じ場所にある１つ以上のサーバから同じキーを受信するように使用されることがあり、事実上、イニシエーターデバイス／エンドポイントとレシーバーデバイス／エンドポイントは、同じサーバ／ＫＮｏｄｅ及び／又は同じ地理的な場所にあるサーバ／ＫＮｏｄｅとコンタクトする。このような場合、イニシエーターとレシーバーのデバイス／エンドポイントによって使用されるＫＮｏｄｅが同じ（例：ＫＮｏｄｅＡ＝＝ＫＮｏｄｅＢ）でなら、このＫＮｏｄｅは、それ自身と共有される分散されたキーセットからのキーを使用して、又はＫＮｏｄｅがが単独で所有又は知っているキーを使用して、キーを導出してもよい。例えば、ＫＮｏｄｅは共有されたＱＫＤキーの配列からＱＫＤキーを用いてキーを導出することができる。すなわち、ＱＫＤキーとは、ＱＫＤキーにのみ共有されており、他のＫＮｏｄｅ／サーバーには共有されていない。従って、このｒｏｏｔされた受信するキーは、ＫＮｏｄｅのみが安全な方法でアクセスできる。

【0092】

あるいは、又はさらに、通信ネットワークは、この限りではないが、例えば量子安全ネットワーク（例：量子クラウド）及び／又は古典的通信ネットワークに基づくことができる。例えば、１つ又は複数のキーサービングノード（ＫＮｏｄｅｓ）が量子安全ネットワーク内にある場合、それぞれの量子安全通信チャネルを介して相互に通信することができる。このキーセットは、量子キー配布プロトコルを用いて量子安全なネットワークに分散され、量子分散キーセットを生成する。そのため、ＫＮｏｄｅｓは量子分散キーの集合であるキーセットに量子安全アクセスすることができる。ＫＮｏｄｅ及び／又はデバイス間の各量子安全通信チャネルは、量子分散キー、又は手動キーフィルプロセス等から得られる分散キーで暗号化された通信チャネルから構成される、又は通信チャネルを表すことができる。

【0093】

ただし、量子安全性を確保するためには、量子分散キーのセット又は１つ又は複数の量子分散キーのセットから導出された安全な量子分散キー又はキーでもよい。及び／又は、１つ又は複数の量子分散キー及び量子分散キーを及び量子安全なキーフィルプロセスで導出されたものでもよい。
量子分散キーのセットは、２つ又はそれ以上の量子安全ネットワーク上（例：ＯＧＲ／地上トランシーバ等）にある量子サーバーに格納してもよい。各量子サーバは、他の量子サーバー明らかに異なる物理的位置にあり、量子キー分散システムは、量子分散キーのセットを各量子サーバーに導出及び分散する。イニシエーターデバイス／エンドポイントとレシーバーデバイス／エンドポイント間でキー確立プロトコルを使用してもよく、両者は異なる物理的位置（例：異なる量子サーバ／ＫＮｏｄｅ）から同じキーを受信するが、量子安全な方法（例：光子的）で物理的位置に送られた量子分散キーにｒｏｏｔしている。

【0094】

例えば、量子分散キーは、この限りではないが、量子キー分散システム／プロトコルに基づき物理的に異なる箇所にある量子サーバーに送ることができる。例えば、衛星量子キー分散システムと衛星及び２つ又は複数の異なった箇所に位置する光地上受信機間の光／衛星通信、２つ又は複数の物理的位置に存在する地上トランシーバーの光ファイバーチャネルを持つ地上の量子キー分散システム、又は上記述べた両方、それらの修正、本文書に記載されている通りである。
及び／又はアプリケーションの需要等に応じる。

【0095】

量子安全ネットワーク、量子保護ネットワーク、量子クラウド又は量子クラウドインフラストラクチャは、通信ネットワークのインフラストラクチャ部分又は要素間の通信のために量子安全／保護チャネルを使用する任意の通信ネットワークを構成又は表すことができ、インフラストラクチャ部分又は要素は、この限りではないが、例えばクラウドインフラストラクチャ要素、量子サーバー、キーノードサーバ、ＯＧＲ、地上受信機、ノード、通信ネットワークのコンピューターデバイス、及び／又は通信ネットワーク内の量子安全チャネルを介して相互接続された他のコンピューターデバイス、装置又はコンポーネントを含む。インフラストラクチャ要素又はその一部間の各量子安全／安心通信チャネルは、量子分散キー、あるいは１つ又は複数の量子分散キーから導出されたキー、及び／又はキー生成のための自動／手動キーフィルプロセスなどで暗号化された通信チャネル（例：古典通信チャネル）を構成又は表す場合がある。量子ネットワーク、量子安全ネットワーク、量子安全ネットワーク、量子クラウド、及び／又は量子クラウドインフラストラクチャ等の用語は、本文書において互換的に使用される場合がある。

【0096】

デバイス又はエンドポイントは、ここで定義するキー確立プロトコルの要求又は使用をリクエストする古典的な保護されたネットワーク、クラウドインフラストラクチャ、量子保護ネットワーク及び／又は量子クラウドインフラストラクチャのクライアントであるコンピューターデバイスを含む又は代表例とする。これには、古典的な保護されたネットワーク及び／又は量子保護チャネルと量子保護ネットワーク、及び／又はその両方にある古典的な保護されたチャネルを用いてのキーの確立を要求することも含まれる。本発明によるデバイス又はエンドポイントデバイスの例としては、この限りではないが、例えば、ユーザーデバイス；モバイルデバイス；スマートフォン；パーソナルコンピュータ；ラップトップ；ポータブルコンピューターデバイス；いかなるタイプのＩｏＴデバイス（ＩｎｆｏｒｍａｔｉｏｎｏｆＴｈｉｎｇｓ）；Ｍ２Ｍ（Ｍａｃｈｉｎｅ－ｔｏ－Ｍａｃｈｉｎｅ）デバイス、他の例としては、この限りではないが、クラウドサーバ又は通信ネットワークと通信するモバイルデバイス、サーバーアプリケーション（例：サーバー）と通信するクライアントアプリケーション（例：モバイルクライアント）、クラウドサーバーと通信する携帯電話、サーバーと通信する一般的なアプリケーションクライアント、データベースと通信するクライアントアプリケーション、ドローン又は他のデバイス／コンピューターデバイスと通信するコマンド・アンド・コントロール・アプリケーション、他の衛星電話と通信する衛星電話、他の車両又はクラウドサービス／プロバイダーと通信する自律走行車、クラウドサービスと通信する産業用監視ＩｏＴデバイス等が挙げられる。これには、古典的な保護されたネットワークにおける古典的な保護チャネル、及び／又は量子保護ネットワークにおける量子保護チャネル、及び／又はその両方の組み合わせ、本文書に記載されるようなそれらの組み合わせ、それらの変更、及び／又はアプリケーションの要求に応じて、古典保護チャネルを使用して確立されたキーを要求することが含まれる。これには、古典的な保護されたネットワークにおける古典的な保護チャネル、及び／又は量子保護ネットワークにおける量子保護チャネル、及び／又はその両方の組み合わせ、本文書に記載されるようなそれらの組み合わせ、それらの変更、及び／又はアプリケーションの要求に応じて、古典保護チャネルを使用して確立されたキーを要求することが含まれる。本発明によるデバイス又はエンドポイントデバイスの例としては、この限りではないが、ユーザーデバイス；モバイルデバイス；スマートフォン；パーソナルコンピュータ；ラップトップ；ポータブル／コンピューターデバイス；いかなるタイプのＩｏＴ（ＩｎｆｏｒｍａｔｉｏｎｏｆＴｈｉｎｇｓ）デバイス；Ｍ２Ｍ（Ｍａｃｈｉｎｅ－ｔｏ－Ｍａｃｈｉｎｅ）デバイス；他の例としては、この限りではないが、クラウドサーバー又は通信ネットワークと通信する携帯電話、サーバーアプリケーション（例：サーバー）と通信するクライアントアプリケーション（例：モバイルクライアント）、クラウドサーバーと通信する携帯電話、サーバーと通信する一般的なアプリケーションクライアント、データベースと通信するクライアントアプリケーション、ドローン又はその他デバイス／コンピューターデバイスと通信するコマンド・アンド・コントロール・アプリケーション、他の衛星電話と通信する衛星電話、他の車両又はクラウドサービス／プロバイダーと通信する自律走行車、クラウドサービスと通信する産業用監視ＩｏＴデバイス、いかなるコミュニケーションデバイス、コンピューターデバイス又はサーバー等その他古典的保護されたネットワーク又はクラウドインフラストラクチャのクライアントであるもので古典的保護されたチャネルを通じて通信している古典的保護されたネットワーク／クラウドインフラストラクチャ及びその他アプリケーションの要求；及び／又は通信デバイス、コンピューターデバイス、サーバーなどその他量子保護ネットワーク又は量子クラウドインフラストラクチャのクライアントであり、量子保護チャネル又は量子クラウドインフラストラクチャ上でアプリケーションデマンドとして通信できるものが挙げられる。

【0097】

イニシエータデバイス又はエンドポイントは、受信デバイス又はエンドポイントとの間で鍵確立プロトコルを最初に開始するデバイス又はエンドポイントを構成又は表す場合がある。その中で、バイロケーションキーは、イニシエータデバイス／エンドポイントとレシーバーデバイス／エンドポイントに分散され、その間の最終キーを確立する。バイロケーションキーは、２つの論理的又は物理的な場所に確立された乱数Ｒ＿Ｂを代表するデータ又は記号から構成又は表すことができ、Ｒ＿Ｂの各異なるコピーが乱数にｒｏｏｔされている場合、量子安全な手段を通じて、異なる論理的又は物理的位置にある乱数Ｒ＿Ｑに送ることができる。バイロケーションキー（古典的ネットワーク／量子クラウド／量子ネットワークに既知）は、古典的ネットワークや量子クラウド／ネットワークを信頼できないとレンダリングする既知ではない古典的ネットワーク／量子クラウド／量子ネットワークに位置するイニシエーターとレシーバーデバイス間で共有されるキーの確立又は作成のために用いることができる。レシーバーデバイス又はエンドポイントはイニシエーターデバイス又はエンドポイントと同じバイローケーションキーを受信するキーの確立を要求する異なるデバイス又はエンドポイントを構成又は表すことができる。但し、図１ａから図４ｂにてレシーバーデバイスはエンドデバイスとして表されているが、これは例示であり、本発明はこの限りではない。レシーバーデバイスはこの限りではないが、キーサービングノード又はキーノードデバイス（例：ＫＮｏｄｅ）等の他のネットワークデバイス／ノードのコンポーネントであり、これにより、イニシエータデバイスは、キーノード等でのさらなる処理のために、及び／又はアプリケーションの要求に応じて、キーノード（例：ＫＮｏｄｅ）とキーを確立することができることを有識者には理解を願う。

【0098】

キーサービングノード（ＫＮｏｄｅ）は、この限りではないが、例えば通信ネットワーク内に安全に分散されたキーのセットにアクセスする機能、及び／又は、本文書で説明するキー確立プロトコルにおいてキーのセットを使用するための暗号処理機能を含むいかなるコンピューターデバイス又はノードを構成又は表すことができる。例えば、量子保護されたネットワーク（又は量子クラウド）内のキーサービングノードは、量子安全なサーバー（例：ＯＧＲ又は地上トランシーバ）の一部あるいは量子安全サーバーに接続され、量子安全サーバーから量子分散キーのセットを受信する／コンピューターデバイス又はノードで構成される、又はそれを表すことができる。この例では、キーサービングノードは、量子安全サーバの構成要素又は一部である可能性があり、したがって、本発明によると、キー確立プロセスを実施するために、量子分散キーセットの１つ又は複数の量子分散キーを受信する可能性がある。別の例では、当発明によると、量子安全ネットワーク内の量子安全チャネルを介して量子安全サーバーに接続されおり、キー確立プロセスを実行するための量子分散キーのセットの１つ又は複数の量子分散キーを受信すると、キーサービングノードは量子安全サーバーの外部に位置してもよい。

【0099】

キー確立プロトコルは、イニシエーター、レシーバー、キーサービングノード（ＫＮｏｄｅｓ）によって生成される様々なノンスを使用するように構成されており、これらは、ＫＮｏｄｅに適切なイニシエーターやレシーバーリンク情報（Ｌ）パケットに伝達され、各ＫＮｏｄｅが通信ネットワーク上に安全に分散された同じキーのセットを含むキープール（又はＫＥＹＰＯＯＬ）にアクセスを許可され、バイローケーションキー及び／又はｉｎｔｅｒｍｅｄｉａｔｅバイローケーションキーその他を導出するために用いられる。これによりイニシエーターデバイスとレシーバーデバイスの間でネゴシエートされたバイローケーションキー（Ｋ＿ＢＫ）が、ユニークでリプレイ攻撃を防御する最終キー又は確立キーを形成するために使用されることが保証される。最終的なキーは、バイローケーションキーであってもよいし、バイローケーションキーからイニシエーターデバイスとレシーバーデバイスのそれぞれが導出した共有キーであってもよい。例えば、イニシエーターデバイスがＩｎｔｅｒｍｅｄｉａｔｅバイローケーションキーを要求すると、イニシエーターデバイスは対応するＫＮｏｄｅからリクエスト毎に異なるＩｎｔｅｒｍｅｄｉａｔｅバイローケーションキーを受信する（例：ｃａｌｌｔｏｃｒｅａｔｅ＿ｉｎｔｅｒｍｅｄｉａｔｅ＿ｂｉｌｏｃａｔｉｏｎ＿ｋｅｙ）。同じリンク情報データを通過する（Ｌ）際にも、これはＩｎｔｅｒｍｅｄｉａｔｅバイローケーションキー要求において、イニシエーターであるＫＮｏｄｅのキープールから選択されたキーをランダム化するために、ＮｏｎｃｅＮ＿ＩＲを使用する必要があるためである（例：ネットワークが量子安全ネットワークである場合、キーセットはＱＫＤキーセットでもよい）。あるいは又はさらに、対応するキーサービングノード（ＫＮｏｄｅ）がイニシエーターからのＩｎｔｅｒｍｅｄｉａｔｅバイローケーションキー要求に対するレスポンスとして生成したアンチリプレイノンスＮ＿ＲＥＰＩも可能。キー確立プロトコルはさらに、受信側デバイスが、指定された、又はそれぞれのキーサービングノード（ＫＮｏｄｅ）からのみバイローケーションキーを要求及び受信できないように構成される。例えば、最初のＫＮｏｄｅがバイローケーションキーを要求した場合、（例：ｃｒｅａｔｅ＿ｉｎｔｅｒｍｅｄｉａｔｅ＿ｂｉｌｏｃａｔｉｏｎ＿ｋｅｙ（）の代わりにｃｒｅａｔｅ＿ｂｉｌｏｃａｔｉｏｎ＿ｋｅｙ（）を呼び出す）、異なるバイローケーションキーが生成される。なぜなら、レシーバーの識別は、（例：ｃｒｅａｔｅ＿ｂｉｌｏｃａｔｉｏｎ＿ｋｅｙ（）関数などで）呼び出し元の認証から生成されるため、もしイニシエーターがレシーバーのふりをしたり、バイローケーションキーを要求したりすると、異なるリンク情報が形成され、その結果、レシーバーに与えられるキーとは異なるものとなるからである。同様に、レシーバーデバイスは、同じリンク情報データ（Ｌ）を渡しても、各バイローケーションキーリクエスト（例えば、ｃｒｅａｔｅ＿ｂｉｌｏｃａｔｉｏｎ＿ｋｅｙ（）の呼び出し）ごとに異なるバイローケーションキーを受け取ることになる。これは、キーセットの同じキーがイニシエーターのＫＮｏｄｅのキープールから選択されることを保証するために、バイローケーションキー要求でノンスＮ＿ＩＲを使用する要求は、レシーバーのＫＮｏｄｅのキープールからも選択されること、及び／又はレシーバーからのバイローケーションキー要求に応答して、レシーバーのＫＮｏｄｅによって生成されるアンチリプレイノンスＮ＿ＲＥＰＲを使用するからである。言い換えると、与えられたレシーバーのペアに対して、各レシーバーに関連付けられたそれぞれのＫＮｏｄｅが異なる場合、（例：ｃｒｅａｔｅ＿ｂｉｏｌｏｃａｔｉｏｎ＿ｋｅｙ（）を呼び出すことにより）異なる鍵がイニシエーターＫＮｏｄｅによって生成される。これは、イニシエーターを生成する際に、レシーバーのＫＮｏｄｅアイデンティティキーを使用するためである。

【0100】

例えば、”ｅａｖｅｓｄｒｏｐｐｅｒ”（例：Ｅｖｅ）が量子安全ネットワーク（又は量子クラウド）に安全な接続を作成し、イニシエーターデバイスとレシーバデバイスの接続間で通信されたデータでバイローケーションキーを要求（例：ｃｒｅａｔｅ＿ｂｉｌｏｃａｔｉｏｎ＿ｋｅｙ（）の呼び出し）した場合、Ｅｖｅは異なるバイローケーションキー（例：Ｋ＿ＢＫ＿ＢＫ）を受信ことになる。なぜなら、リンク情報パケット（Ｌ）を形成する際にＥｖｅのアイデンティティが必要となり（この際に異なるキーが与えられる）Ｉｎｔｅｒｍｅｄｉａｔｅバイローケーションキーとイニシエーターデバイスとレシーバーデバイスの間で交渉された最終バイローケーションキーを生成する際には、イニシャルデバイスとレシーバーデバイス間で確立したユニークなバイローケーションキー（例：Ｋ＿ＢＫ）に基づいたものとなり、リプレイ攻撃に対して守る。

【0101】

各キー、キーセット、量子安全／保護キー、バイロケーション・キー、ｉｎｔｅｒｍｅｄｉａｔｅバイロケーションキー、最終／確立キー等及び／又はノンスは、記号列又は記号列のセット（例：記号あたりｎ≧１の場合、ｎビットはＭ＝２ⁿ個の異なる記号で表される。）から構成又は表される。記号列の処理には、記号列のセットの結合が含まれる。例えば、この限りではないが、ワンタイムパッド暗号化／復号化、マスキング、記号がビットに変換されたときのビットに対する排他的論理和（ＸＯＲ）演算、又は記号又は記号列の難読化セットに対する拡張ＸＯＲ演算などに基づいて、第１の記号列が第２の記号列と結合される場合がある。

【0102】

第１の記号文字列の第１の記号集合と第２の記号文字列の第２の記号集合との結合は、この限りではないが、以下が挙げられる。第１及び第２の記号文字列の記号セットの対応する記号に対する排他的論理和（ＸＯＲ）演算（例：記号文字列をビット列に変換し、ビット単位のＸＯＲの実行）；第１及び第２の秘密記号列がビット記号の場合、ビットごとのＸＯＲ演算の実行；第１及び第２の記号文字列の記号セットに対する拡張ＸＯＲ演算（例：ビット単位のＸＯＲ演算の数学的特性を保持する記号に対する「記号ＸＯＲ」演算の数学的に定義された拡張セットを使用）；第２の秘密の記号の記号セットを使用して、第１の秘密の記号の記号セットをワンタイムパッド暗号化；最初の記号文字列の記号集合に対する他のトラップドア又は暗号化操作し、第２のデバイスは、第２のデバイスによって受信された第２の記号文字列の記号セットを使用して、第１の記号文字列の記号セットを復号化して導出することができる。

【0103】

従ってイニシエーターデバイスとレシーバーデバイスは、上記のキー確立プロセスを使用して、キーを生成することができ、確立／最終キーは、この限りではないが、例えばイニシエーターデバイスとレシーバーデバイス間の安全な通信のために使用される；又は、イニシエーターとレシーバーを含むパーティ間でグループキーを確立するために、他のグループキー確立プロトコルで使用するための共有キーをイニシエーターとレシーバーの間で確立する；又は、イニシエーターデバイスとレシーバーデバイス間の通信セッションを保護する；イニシエーターデバイスとレシーバーデバイスの間に長寿命の通信チャネルを確立する；確立されたキーは、イニシエーターデバイスとレシーバーデバイス間で署名のサイン認証を確立し、この限りではないが、以下のように使ってもよい。
メッセージ認証コード（ＭＡＣ）やタグなどを作成する。イニシエーターデバイスとレシーバーデバイス間で確立されたキーは、各イニシエーターデバイスとレシーバーデバイス間で実行される他のタイプの暗号アプリケーション／操作に使用することができる。

【0104】

図１ａは、安全な通信ネットワーク１０２（例：古典的暗号技術を用いる古典的な安全なネットワーク）クラウドシステム／インフラストラクチャ１００、そして少なくとも第１及び第２のデバイス１０４ａ～１０４ｂが安全な通信ネットワーク１０２を用いた通信を示す概略図である。ネットワーク１０２は、少なくとも第１のキーノード１０６ａ及び第２のキーノード１０６ｂ（又は複数のキーノード１０６ａ～１０６ｂ）を含む。第１及び第２のデバイス１０４ａ～１０４ｂの各々ならびに対応する第１及び第２のキーノード１０６ａ～１０６ｂは、第１及び第２のデバイス１０４ａ～１０４ｂが第１及び第２のデバイス１０４ａ～１０４ｂの間でキー（又は確立キー／最終キー）を交換及び／又はキーに合致することを可能にするために、本文書で説明するようなキー交換プロトコル／プロセスを実行するように構成することができる。確立されたキーは、限定するものではないが、例えば、その間の通信セッションの確保、グループキーの形成、以降のメッセージ署名、及び／又は他の暗号操作もしくはアプリケーションなどに使用することができる。これを行うために、キーノード１０６ａ～１０６ｂの各々は、キーセットとも呼ばれる安全に分散されたキーの同じセット、又は各キーノード１０６ａ～１０６ｂに関連付けられたキープール内のキーセットにアクセスすることができる。この例では、キーノード１０６ａ～１０６ｂの各々は、それぞれ、安全なサーバー１０８ａ又は１０８ｂを確保するためチャネル１０７ａ又は１０７ｂ（例：古典的な暗号化技術を使用する古典的に安全なチャネル）の通信を用いていてもよい。あるいは、キーノード１０６ａ～１０６ｂの各々は、それぞれ、安全なサーバ１０８ａ又は１０８ｂの一部であってもよいが、安全なチャネル１０７ａ又は１０７ｂを省略してもよい。この例では、ネットワーク１０２の各安全なサーバ１０８ａ又は１０８ｂは、安全な分散キーストア１０８ａ－１（例：ハードウェア・セキュリティ・モジュール（ＨＳＭ））又は１０８ｂ－１（例：ＨＳＭ）を含んでもよい。あるいは、各安全なサーバ、分散キーストア１０８ａ－１又は１０８ｂ－１を含まず、安全なネットワーク１０２の別のユーザーノード又はデバイス／サーバ（例：顧客所有の機器又は企業の機器等）が安全な分散キーストア（又はＨＳＭ）を含み、そこから安全なサーバ１０８ａ又は１０８ｂが、当該別のユーザノード、デバイス／サーバなど内に格納するための分散キーを送信又は安全に預けることができる。安全な分散キーストア１０８ａ－１又は１０８ｂ－２は、分散されたキーセット又はキーセットを安全に格納するように構成することもできる。各キーセットは、アプリケーションの要求に応じて、安全な分散キーストア１０８ａ－１と１０８ｂ－２との間で同じキーセットが共有されるように構成された適切なキー配布システム又は他のシステム１０９を介して生成され、安全なサーバ１０８ａ－１０８ｂの各々に送信されることが想定される。キー配信システム１０９は、限定するものではないが、例えば古典的キー分散、手動キー分散、量子キー分散等、及び／又はアプリケーションの要求に応じて、適切なキー分散プロセス、システム又は技術を使用することができる。キー分散システム１０９は、第１及び第２の安全なサーバ１０８ａ及び１０８ｂが同じキーセットにアクセスできるようにし、第１のキーノード１０６ａ及び第２のキーノード１０６ｂも、保護通信ネットワーク１０２の保護通信チャネル１０７ａ及び１０７ｂを介してこの同じキーセットにアクセスできるようにすると仮定する。

【0105】

ＨＳＭは、物理的なコンピューターデバイス、コンポーネント、又は装置（例：インテル・ソフトウェア・ガード・エクステンション（ＳＧＸ）（ＲＴＭ）エンクレーブの機能を含む装置／コンポーネント）であって、この限りではないが、例えば、キーの分散セット、暗号キー又は分散キーを保護及び管理するように構成され、この限りではないが、例えば、量子サーバ等の暗号操作及び／又はコア機能を実装し、この限りではないが、例えば、クリティカル命令、コード、コンピュータ実装メソッド／プロセス等のコアモジュール／コンポーネントの安全な実行を提供する。ＨＳＭは、例えば、この限りではないが物理的及び／又はソフトウェア的な侵害等の場合に秘密／キー／ＱＤキー等を消去することができる改ざん防止技術を含む。ＨＳＭは、安全なサーバ外にある顧客が提供する機器とすることも可能であり、配布システム１０９は、顧客のＨＳＭにキーを転送するだけである。

【0106】

さらに、キーノード１０６ａ及び１０６ｂは、本発明によりキー確立プロセス中に暗号処理を実行することができると記載されているが、これは例示に過ぎず、本発明はその限りではない。ＨＳＭは、関連するキーノード１０６ａ又は１０６ｂに代わって、各ＨＳＭ内部に格納されたキーセットの１つ又は複数のキーに対して暗号処理を実行する機能を含むこともでき、これは、本発明によるキー確立プロセスをさらに安全にするため、及び／又は、アプリケーションの要求に応じて使用することができることは、有識者には理解願う。例えば、キー自体は、第１のキーノード１０６ａに接続された第１のＨＳＭ１０８ａ－１の内部に安全に格納されてもよいので、本発明によるキー確立プロセス／プロトコル中に、及び／又は図１ａ～図４ｂを参照して本明細書に記載されるように、対応するキー、ｉｎｔｅｒｍｅｄｉａｔｅキー、及び／又はバイロケーション鍵などを使用して鍵ノード１０６ａによって実行される暗号処理の一部、あるいは大部分及び／又は全てが、対応するＨＳＭ１０８ａ－１の内部で実行されてもよい。同様に、第２のキーノード１０６ｂによって接続又はアクセス可能な第２のＨＳＭ１０８ｂ－１についても、本発明によるキー確立プロセス中、及び／又は図１ａ～図４ｂを参照して本文書に記載されている通り、第２のキーノード１０６ｂによってキーセットの対応するキー、中間キー、及び／又はバイロケーションキーなどを用いて実行される暗号処理の一部又は大部分及び／又は全部が、第２のＨＳＭ１０８ｂ－１内部で実行してもよい。これにより、第一のキーノード１０６ａは、キーセットのキー及び／又はその上で実行される操作を決して見えないようにすることができ、本文書で述べるキー確立プロセスのセキュリティをさらに強化することができる。同様に、第２のキーノード１０６ｂによって接続又はアクセス可能な第２のＨＳＭ１０８ｂ－１については、本発明によるキー確立プロセス中、及び／又は図１ａ～図４ｂを参照して本文書に記載している通り、キーセット、ｉｎｔｅｒｍｅｄｉａｔｅキー、及び／又はバイロケーションキー等からの対応する鍵を用いて第２の鍵ノード１０６ｂによって実行される暗号処理の一部又は大部分及び／又は全部が、第２のＨＳＭ１０８ｂ－１の内部で実行してもよい。これにより、第２のキーノード１０６ｂが、キーセットのキー及び／又はその上で実行される操作を決して見えないようにすることもでき、本文書で述べるキー確立プロセスのセキュリティをさらに強化することができる。

【0107】

下記では、第１のキーノード（例：ＫＮｏｄｅＡ）と第２のキーノード（例：ＫＮｏｄｅＢ）が物理的に異なる位置（例：ＫＮｏｄｅＡｏＫＮｏｄｅＢ）に配置してもよいと記されているが、これは単純化のためであり、例示であって、本発明はこの限りではないことに対する有識者の理解を願う。本発明又は図１ａ～図４ｂに基づき本文書で述べる通り、及び／又は本文書で述べるキー確立システム、装置、及びプロセスは、第１と第２のキーノードが同じキーノードである場合、又は同じキーノード上の異なる２つの論理的位置にある場合、又は同じ論理的キーノードである場合（例：ＫＮｏｄｅＡ＝＝ＫＮｏｄｅＢ）にも適用可能であるか、又は、考慮するように変更可能である。これは、イニシエーターエンドポイント／デバイスとレシーバーエンドポイント／デバイスが、地理的に異なる２つのＫＮｏｄｅのサーバー／コンピューターデバイスではなく、ＫＮｏｄｅ又は論理ＫＮｏｄｅの同じサーバー／コンピューターデバイスと通信している場合であり、その結果、ＫＮｏｄｅは、「それ自身と共有されるキー（すなわちキーのみが保有又は既知している）のセット」（例：ＱＫＤキーの配列から１つのＱＫＤキー）からキーを１つ選択し、バイローケーション又はＩｎｔｅｒｍｅｄｉａｔｅバイローケーションキーを対応するエンドポイント／デバイスのためのイニシエーターエンドポイント／デバイスとレシーバーエンドポイント／デバイス間のキーを確立するための生成に使用するように構成されている。

【0108】

図１ａは、安全なサーバ１０８ａ～１０８ｂの各々が他とは明らかに異なるものであり、他とは異なる位置に配置されていることを示す。この例では、キーノード１０６ａ～１０６ｂの各々は、古典的安全チャネル１０７ａ～１０７ｂ（又は安全な古典的チャネル）を介して、対応する安全なサーバー１０８ａ～１０８ｂに接続されている。いくつかの例では、キーノード１０６ａ～１０６ｂの各々は、安全なサーバ１０８ａ～１０８ｂに古典的安全チャネル１０７ａ～１０７ｂを介して接続し、物理的に同じ位置に配置してもよい。他の例では、キーノード１０６ａ～１０６ｂの一方は、安全なチャネル１０７ａ～１０７ｂを介して接続されるそれぞれの安全なサーバー１０８ａ～１０８ｂとは異なる物理的位置に配置してもよい。安全なチャネル１０７ａ～１０７ｂ（例：古典的な安全なチャネル）を介して接続されている物理的に異なる場所に位置する安全なサーバー１０８ａ～１０８ｂは、２つしか存在せず、それぞれの２つのキーノード１０６ａ～１０６ｂと接続されているが、これは例示であり、本発明はこれに限らず、それぞれが異なる物理的位置に配置された複数の異なる安全なサーバーがネットワーク１０２に存在してもよいことを有識者の理解を願う。ネットワーク１０２内には、それぞれが物理的に異なる位置に配置された複数の異なる安全なサーバが存在し、各安全なサーバーは、当該各安全なサーバーの位置に配置された対応するキーノードを有し、及び／又はそれぞれが物理的に異なる位置に配置され、それぞれが対応するキーノードに安全なチャネルを介して接続された複数の異なる安全なサーバが存在し、各安全なサーバーは、接続先の安全なサーバーと同位置に配置しなくてもよい。

【0109】

例えば、図１ａにおいて、分散キーセット又はキーセットは、これに限らず、例えば、安全なチャネル１０９ａ及び１０９ｂを介して分散キーセットを代表するデータを生成し、安全なサーバ１０８ａ及び１０８ｂとそれぞれ通信するための安全なキー分散プロトコルを実行するように構成された従来の古典的又は手動のキー分散システム１０９を使用して生成及び分散することができる。使用される安全なキー分散システム１０９に関わらず、安全な分散キーストア１０８ａ－１～１０８ｂ－１の各々には、安全に分散された分散キーのセットが含まれる。安全なサーバー１０８ａ～１０８ｂの各々は、対応する安全な分散キーストア１０８ａ～１０８ｂ－１に格納されている分散キーの同じセット又はサブセットを含んでもよい。安全な分散キーストア１０８ａ－１～１０８ｂ－１に格納された分散キーセットは、安全なネットワーク１０２の安全な通信チャネル１０７ａ～１０７ｃの各々、及び／又は、ネットワーク１０２及び／又はキーノード１０６ａ／１０６ｂと、第１及び第２のデバイス１０４ａ～１０４ｂとの間の安全なチャネル１０５ａ～１０５ｂの各々の設定のために使用してもよい。すなわち、各安全な通信チャネルは、分散キーセットから対応する安全なに分散されたキーで暗号化され、及び／又は分散キーセット又はキーセットの１つ以上の安全なに分散されたキーから導出されたキーで暗号化された通信チャネルから構成されるか、又は通信チャネルを表すことができる。各安全なチャネルは、チャネルの各側によって合致したキーセットのキーに基づく対称暗号化を使用する。簡易化のため、第１のデバイス／エンドポイント１０４ａ、第２のデバイス／エンドポイント１０４ｂ及び量子保護されたネットワーク１０２間の接続は、予め確立された分散キーによって、及び／又は任意の他のタイプのキー確立プロトコルを介して保護され、保護されたネットワーク１０２及び／又はクラウドシステム／インフラストラクチャ１００内のサービス間通信も同様に、キーセット等からの安全なチャネル／接続によって保護されると仮定する。

【0110】

図１ａの例では、第１のキーノード１０６ａは、第１のクラス的に安全なチャネル１０５ａを介して第１のデバイス１０４ａと通信している。第２のキーノード１０６ｂは、第２のクラス的に安全なチャネル１０５ｂを介して第２のデバイス１０４ｂと通信している。さらに、保護されたネットワーク１０２内の各キーノード１０６ａ～１０６ｂは、第３のクラス的に安全なチャネル１０７ｃを介して互いに通信している。キーノード１０６ａ～１０６ｂと安全なサーバ１０８ａ～１０８ｂと対応する古典的安全なチャネル１０５ｃ、１０７ａ、１０７ｂ、１０７ｃは、安全なクラウド／ネットワーク１０２の一部を形成する。第１及び第２のキーノード１０６ａ～１０６ｂが記載されているが、これは例示に過ぎず、本発明はそれに限らず、安全ネットワーク１０２は、複数のキーノードと複数の安全サーバを含むことができ、各安全なサーバは、複数のキーノードの対応するキーノードに古典的安全チャネルを介して接続され、キーノードの各々は、必要及び／又は要求に応じて、１つ又は複数の他のキーノードと古典的安全なチャネルによって（例：必要時に）接続されることを特徴とすることに有識者の理解を願う。

【0111】

本文書に記載通り、第１及び第２のデバイス１０４ａ～１０４ｂの各々ならびに対応する第１及び第２のキーノード１０６ａ～１０６ｂは、第１及び第２のデバイス１０４ａ～１０４ｂが、以下のような確立キー又は最終キーを交換及び／又は合致することを可能にするためのキー確立／交換プロトコル／プロセスを実行するように構成され得る。この限りではないが、例えば、各デバイス１０４ａ～１０４ｂ上で、及び／又は各デバイス１０４ａ～１０４ｂ間で、暗号操作／アプリケーションで使用するための、キーセットの１つ又は複数の分散キーなどから導出される確立／最終キーなどである。例えば、確立されたキーは、第１及び第２のデバイス１０４ａ～１０４ｂ間の通信セッションを保護するために、第１及び第２のデバイス１０４ａ～１０４ｂ間で使用してもよい。
別の例では、確立された／最終キーは、第１及び第２のデバイス１０４ａ～１０４ｂの各々上で、及び／又は第１及び第２のデバイス１０４ａ～１０４ｂの各々間で、その上で動作する暗号アプリケーションのタイプなどに基づいて、他の暗号操作において使用してもよい。この例では、第１のデバイス１０４ａをイニシエーターエンドポイント１０４ａと呼び、第２のデバイス１０４ｂをレシーバエンドポイント１０４ｂと呼ぶ。各デバイス／エンドポイントは固有の識別を有し、各デバイス／エンドポイント１０４ａ～１０４ｂは、保護されたネットワーク１０２の異なる又は固有のキーサービスノード（ＫＮｏｄｅ）１０６ａ又は１０６ｂと通信するための安全なチャネル１０５ａ及び１０５ｂを既に確立しているものと仮定する。この限りではないが、例えば、ネットワーク１０２内のアプリケーション・プログラマブル・インタフェース（ＡＰＩ）ゲートウェイ、ゲートウェイ及び／又はロードバランサー等を使用して達成することができる。例えば、各エンドポイント１０４ａ／１０４ｂの一意的な識別は、限この限りではないが、例えば、対応するＫＮｏｄｅ１０６ａ／１０６ｂ、及び／又はＫＮｏｄｅ１０６ａ／１０６ｂを含むネットワーク１０２のゲートウェイ等との当該各エンドポイント１０４ａ／１０４ｂの認証中に基づいてもよく、これにより、当該各エンドポイント１０４ａ／１０４ｂのエンドポイント識別子（ＩＤ）が一意的かつ不可逆的に識別される。各エンドポイント１０４ａ／１０４ｂは、対応するＫＮｏｄｅ１０６ａ／１０６ｂとバイロケーションキーのコピーをネゴシエーションする。エンドポイント１０４ａ／１０４ｂの両方が対応する異なるＫＮｏｄｅに対して別々に認証するので、相互認証が提供される。また、量子ネットワーク１０２内のＫＮｏｄｅ１０４ａ～１０４ｂ及び／又は安全なサーバ１０８ａ～１０８ｂ間の全ての通信チャネル１０７ａ～１０７ｃ（例：クラウドインフラストラクチャ内の全てのサービス間接続）は適切に安全であり、チャネル１０７ａ～１０７ｃの各々は古典的に安全な通信チャネルであると想定する。さらに、イニシエーターエンドポイント１０４ａとレシーバーエンドポイント１０４ｂ間の接続は、もし存在すれば、この限りではないが、例えば、トランスポートレイヤセキュリティ（ＴＬＳ）又は同等の古典的に安全な又は暗号化された通信チャネルを介することができる。これは明確なチャネルではない。

【0112】

キーの確立／交換プロトコル／プロセスは、対応するＫＮｏｄｅ１０６ａと１０６ｂがそれぞれイニシエーターエンドポイント１０４ａとレシーバーエンドポイント１０４ｂと共有するバイローケーションキーから導出されるキーを確立する。ここで、イニシエーターエンドポイント１０４ａは、レシーバーエンドポイント１０４ｂで使用されているＫＮｏｄｅ１０６ｂとは異なるＫＮｏｄｅ１０６ａからバイローケーションキーのコピーを収集するために使用するＫＮｏｄｅ１０６ｂとは異なるＫＮｏｄｅ１０６ａからバイローケーションキーのコピーを収集する。あるいは、又はさらに、これはイニシエーターエンドポイント１０４ａ及び／又はレシーバーエンドポイント１０４ｂが、バイローケーションキーを使用して、例えば量子安全通信、量子安全デジタル署名アプリケーションなど、この限りではないが、１つ以上の他の暗号操作やアプリケーションで使用するための最終的なキーを生成することを可能にする；イニシエーターデバイスとレシーバーデバイスを含むパーティーのグループ間でグループキーを確立するための他のグループキー確立プロトコル；イニシエーターデバイスとレシーバーデバイスの間で長寿命の通信チャネルを確立する；イニシエーターデバイスとレシーバーデバイスの間で確立されたキーは、それぞれによって、又はイニシエーターデバイスとレシーバーデバイスの間などで実行される他の任意のタイプの暗号アプリケーション／操作のために、及び／又はアプリケーションの要求に応じて使用することができる。

【0113】

さらに、キー確立プロセスは、１つ又は複数のハンドシェーキングプロセスの組み合わせ、エンドポイント及び／又はＫＮｏｄｅ間の異なるノンスの分散、及び／又はエンドポイントへの異なる中間バイロケーションキーの分散を使用するように構成されているが、この限りでなく、例えば、数学的／暗号学的にリプレイ攻撃を防止すること、ｅａｖｅｓｄｒｏｐｐｅｒ（例：Ｅｖｅ）が１つ又は複数のハンドシェーキングプロセスの一部として交換されたデータを傍受した場合にキーにアクセスすることを防止すること、及び／又はＥｖｅが１つ又は複数のハンドシェーキングプロセスの一部として交換されたデータを傍受した場合に結果／最終キーにアクセスすることを防止することができる。１つ又は複数のハンドシェーキングプロセスの一部として交換されたデータを傍受した場合に、キーにアクセスすることを防止すること、及び／又はＥｖｅが保護されたネットワーク１０２に侵入した場合に、Ｅｖｅが結果／最終キーにアクセスすることを防止することが可能である。

【0114】

確立又は最終キーは、以下のいずれかによって生成される：ａ）イニシエーターデバイス１０４ａとレシーバーデバイス１０４ｂは、物理的に全く異なる位置から収集されたバイローケーションキーのコピー又はその関連部分とレシーバーデバイス１０４ｂによって生成された両デバイス１０４ａ－１０４ｂに既知のノンスに基づいて生成されている。ｂ）ＩｎｉｔｉａｔｏｒとＲｅｃｅｉｖｅｒデバイス１０４ａ－１０４ｂが互いにチャレンジノンスを送信し、受信したチャレンジノンスとバイローケーションキーに基づいて対応するチャレンジレスポンスを計算するチャレンジ／レスポンスプロトコル。その中で、受信したチャレンジレスポンスがイニシエーターとレシーバーデバイス１０４ａ－１０４ｂによって確認されると、チャレンジレスポンスの対応する未送信部分の組み合わせによって最終キーが生成される。

【0115】

従ってイニシエーターデバイスとレシーバーデバイス１０４ａ－１０４ｂは、上述したキー確立プロセス（及び／又は図１ｂから図４ｂを参照して述べたプロセス）を用いて、最終キーを生成又は確立することができる。この限りではないが、例として、イニシエーターデバイスとレシーバーデバイス間の安全な通信を確立し、イニシエーターデバイスとレシーバーデバイスを含むパーティーのグループ間でグループキーを確立するための他のグループキー確立プロトコルで使用するために、イニシエーターデバイスとレシーバーデバイス間で共有キーを確立する；イニシエーターデバイスとレシーバーデバイス間の通信セッションを安全にする；イニシエーターデバイスとレシーバーデバイス間に長寿命の通信チャネルを確立する。確立されたキーは、例えばメッセージ認証コード（ＭＡＣ）やタグなどを作成するために、限定されることなく使用することができる。イニシエーターデバイスとレシーバーデバイスの間で確立された最終キーは、イニシエーターデバイスとレシーバーデバイスの各々によって、又はそれらの間で実行される他のタイプの暗号アプリケーション／オペレーションなどに使用されてもよいなどそれらの変更や組み合わせ及び／又は用途に応じての解釈を要する。

【0116】

本文書では、第１のキーノード（例：ＫＮｏｄｅＡ）と第２のキーノード（例：ＫＮｏｄｅＢ）が物理的に異なる位置（例：ＫＮｏｄｅＡｏＫＮｏｄｅＢ）に配置されることを記すが、これは簡略化のためであり、例示であって、本発明は限りではなく、有識者の理解を願う。本発明によるキー確立システム、装置及びプロセスは、第１のキーノードと第２のキーノードが同一のキーノードである場合、又は同一のキーノード上の２つの異なる論理的位置を有する場合、又は同一の論理的キーノード（例：ＫＮｏｄｅＡ＝＝ＫＮｏｄｅＢ）である場合にも適用可能である。ここで、イニシエーターのエンドポイント／デバイスとレシーバーのエンドポイント／デバイスは、物理的に異なる位置にある２つのＫＮｏｄｅのサーバー／コンピューターデバイスではなく、ＫＮｏｄｅ又は論理ＫＮｏｄｅの同じサーバー／コンピューターデバイスと通信し、その結果、ＫＮｏｄｅは、キーセットからキーを選択するように構成される（例．その結果、ＫＮｏｄｅは、イニシエーターエンドポイント／デバイスとレシーバーエンドポイント／デバイスの間でキーを確立する際に、対応するエンドポイント／デバイスのためのバイローケーションキー又はＩｎｔｅｒｍｅｄｉａｔｅバイローケーションキーを生成する際に使用するために、「それ自身と共有されるキー（すなわちキーのみが保有又は既知しである）」のセットからキーを選択するように構成されている。

【0117】

図１ｂ及び図１ｃは、量子クラウドシステム／インフラストラクチャ１１０及び１２０の例を示す概略図である。安全な通信ネットワーク１０２は、量子安全ネットワーク（又は量子クラウド）１１２又は１２２であり、少なくとも第１及び第２のデバイス１０４ａ～１０４ｂは、量子安全ネットワーク１０２と通信するように構成される。
簡易化するため、図１ａで使用された参照数字は、図１ｂ及び図１ｃを説明するときに同じ又は類似の構成要素に再使用される。量子安全ネットワーク１１０又は１２０は、少なくとも第１のキーノード１０６ａ及び第２のキーノード１０６ｂ（又は複数のキーノード１０６ａ～１０６ｂ）を含む。第１及び第２のデバイス１０４ａ～１０４ｂの各々ならびに対応する第１及び第２のキーノード１０６ａ～１０６ｂは、第１及び第２のデバイス１０４ａ～１０４ｂが、第１及び第２のデバイス１０４ａ～１０４ｂ間の最終キー又は確立キーとして、量子安全な方法でキーを交換及び／又は合致することを可能にするためのキー確立／交換プロトコル／プロセスを実行するように構成されている。（例：その間の通信セッションの保護、グループキーの形成、将来のメッセージ署名及び／又はその他暗号操作もしくはアプリケーション等のため）これを実行するには、キーノード１０６ａ～１０６ｂの各々は、量子安全分散キーセットであるキーセットにアクセスすることができる。この例では、キーノード１０６ａ～１０６ｂのそれぞれは、量子安全チャネル１１７ａ又は１１７ｂを介して、安全サーバ１０８ａ及び１０８ｂと通信することができる。セキュアサーバ１０８ａ及び１０８ｂは、現在、それぞれ、量子サーバ１０８ａ又は１０８ｂ（例：ＯＧＲＡ又はＯＧＲＢ）と呼ばれ、キーノード１０６ａ～１０６ｂは、それぞれ量子サーバ１０８ａ又は１０８ｂ（例：ＯＧＲＡ又はＯＧＲＢ）の一部であり、量子安全チャネル１１７ａ又は１１７ｂを省略してもよい。この例では、各量子サーバー１０８ａ又は１０８ｂは、量子分散キーストア１０８ａ－１及び１０８ｂ－１と呼ばれ、量子分散キーセット（キーセット）を確保するための安全な分散キーストア１０８ａ－１（例：ＨＳＭ）又は１０８ｂ－１と、量子トランシーバ１０８ａ－２又は１０８ｂ－２（例：図１ｂではこれは望遠鏡であってもよく、図１ｃではこれは光量子トランシーバであってもよい）とを含んでもよい。あるいは、各量子サーバー１０８ａ又は１０８ｂは、量子分散キーストア１０８ａ－１又は１０８ｂ－１を持たず、別のユーザノード又は装置／サーバ（例：顧客所有の装置又は企業設備等）が量子分散キーストア（又はＨＳＭ）を含み、そこから量子サーバ１０８ａ又は１０８ｂ（例：ＯＧＲＡ又はＯＧＲＢ）が、当該別のユーザノード又は装置／サーバ等内に保管するための量子分散キーを送信又は安全に預けることができる。量子分散キーストア１０８ａ－１又は１０８ｂ－２は、量子安全分散キーセットを安全に格納するように構成される。

【0118】

量子分散キーストア１０８ａ－１、１０８ａ－２は、図１ａを参照して述べた通り、保護・管理するように構成されたＨＳＭであってもよい。この限りではないが、例えば量子サーバ等の暗号操作及び／又はコア機能を実装する、この限りではないが、例えば、重要な命令、コード、コンピュータに実装されたメソッド／プロセスなど、限定されるものではないが、暗号操作や量子サーバーのコア機能などを実装するコアモジュール／コンポーネントの安全な実行などである。ＨＳＭは、例えば、物理的及び／又はソフトウェア的な侵害等があった場合に、秘密キー／ＱＤキー等を消去することができる改ざん防止技術を含むが、この限りではない。ＨＳＭは、物理的及び／又はソフトウェア的な侵害などの場合に、秘密キー／ＱＤキーなどを消去することができる改ざん防止技術を含む。ＨＳＭは、ＯＧＲの外部にある顧客が用意した機器と使用することもでき、ＯＧＲは顧客のＨＳＭにキーを転送するだけでよい。

【0119】

さらに、キーノード１０６ａ及び１０６ｂは、本発明によるキー確立プロセス中に暗号化操作を実行することができると述べることがあるが、これは例示に過ぎず、本発明はこの限りではなく、ＨＳＭは、関連するキーノード１０６ａ又は１０６ｂに代わって、ＨＳＭ内に格納されたＱＫＤキーに対して暗号処理を実行する機能を含む場合もある、
ＨＳＭは、関連するキーノード１０６ａ又は１０６ｂに代わって、ＨＳＭ内部に格納されたＱＫＤキーに対して暗号化操作を実行するための機能を含むこともでき、これは、本発明によるキー確立プロセスをさらに安全にするため、及び／又はアプリケーションの要求に応じて使用することができることを有識者には理解願う。例えば、ＱＫＤキー自体は、第１のキーノード１０６ａ／ＯＧＲ１０８ａ－２に接続された第１のＨＳＭ１０８ａ－１の内部に安全に格納でき、本発明によるキー確立プロセス中に、及び／又は図１ａ～図４ｂを参照して本文書で述べるように、対応するＱＫＤキー、ｉｎｔｅｒｍｅｄｉａｔｅキー、及び／又はバイロケーションキーなどを使用してキーノード１０６ａによって実行される暗号処理の一部又は大部分及び／又は全てが、ＨＳＭ１０８ａ－１の内部で実行される。これにより、キーノード１０６ａがＱＫＤキー及び／又はその上で実行される操作を見えないようにすることができ、本文書で述べるキー確立プロセスのセキュリティを強化することができる。同様に、第２のキーノード１０６ｂ／ＯＧＲ１０８ｂ－２に接続された第２のＨＳＭ１０８ｂ－１では、本発明による及び／又は図１ａ～図４ｂを参照して本文書で述べるキー確立プロセス中に、対応するＱＫＤキー、ｉｎｔｅｒｍｅｄｉａｔｅキー、及び／又はバイロケーションキー等を用いてキーノード１０６ｂによって実行される暗号処理の一部又は大部分及び／又は全部が、ＨＳＭ１０８ｂ－１の内部で実行される。これにより、キーノード１０６ｂがＱＫＤキー及び／又はその上で実行される操作を見ることを防止することもでき、本文書でもベルキー確立プロセスのセキュリティをさらに高めることができる。

【0120】

図１ｂ及び図１ｃは、量子サーバー１０８ａ～１０８ｂ（例：ＯＧＲ／地上量子トランシーバ）の各々が他とは全く異なり、異なる位置に配置されていることを示す。キーノード１０６ａ～１０６ｂのそれぞれは、量子安全チャネル１１７ａ～１１７ｂ（又は安全な古典チャネル）を介して、対応する量子サーバ１０８ａ～１０８ｂに接続されている。いくつかの例では、キーノード１０６ａ～１０６ｂの各々は、量子安全なチャネル１１７ａ～１１７ｂを介して接続されるそれぞれの量子サーバ１０８ａ～１０８ｂと同じ地理的位置に配置されている。その他の例では、１つ又は両方のキーノード１０６ａ～１０６ｂは、量子安全チャネル１１７ａ～１１７ｂを介して接続されるそれぞれの量子サーバー１０８ａ～１０８ｂと物理的に異なる位置に配置されている。異なる量子サーバー１０８ａ－１０８ｂは２つしかないが、それぞれ物理的に異なる位置に配置されていて、量子安全チャンネル１１７ａ－１１７ｂを介して２つのキーノード１０６ａ－１０６ｂと接続している。これはあくまで例であり、この限りではないが、複数の量子サーバーが存在し、各量子サーバーは対応するキーノードがあり、これらのノードは量子サーバーは物理的に異なる位置にあり、各量子サーバーは量子安全チャネルを介して同じ又は異なる位置にある対応するキーノードに接続される。

【0121】

例えば、図１ｂの場合、量子安全分散キーは、衛星量子キー分散システムを用いて生成・分散することができる。この限りでなく、例えば、衛星量子キー分散システム１１９は、量子トランシーバ１０８ａ－２～１０８ｂ－２それぞれと、量子／非量子衛星チャネル１１９ａ－１１９ｂを介して量子分散キーセットを代表するデータを生成し、通信するための衛星量子キー分散プロトコルを実行するように構成される。別の例では、図１ｃにおいて、量子安全分散キーは、例えば限定されないが、量子／非量子ファイバーチャネル１１９ｃを用いて量子分散キーセットを生成し分散するための地上量子キー配布プロトコルを、対応する量子トランシーバ１０８ａ－２～１０８ｂ－２（例：光量子トランシーバ）とそれぞれ実行するように構成された地上ベースの量子キー配布システムを用いて生成され分散される。２つのタイプの量子キー配布システムについて簡単に説明したが、これは例示に過ぎず、本発明はこれに限らず、例えば、衛星量子キー分散、地上量子キー分散、衛星／地上ハイブリッド量子キー配布、及び／又は、本文書で説明するような、及び／又は、アプリケーションの要求に応じて、他のタイプの量子キー配布システム、それらの組み合わせ、それらの変更など、限定されることなく、任意のタイプの量子キー配布プロトコル及び／又は量子キー配布システムを使用できることを有識者に理解を願う。

【0122】

いかなる量子キー分散システム１１９（例：衛星／地上ＱＫＤ、又はそれらの組み合わせ、修正、アプリケーションの要求に応じる）を使用しても、量子分散キーストア１０８ａ－１～１０８ｂ－１の各々には、量子分散キーセットが１つ含まれる。各量子サーバ１０８ａ～１０８ｂは、対応する量子分散キーストア１０８ａ～１０８ｂ－１に格納されている量子分散鍵と同じセット又はサブセットが含まれる。量子分散キーストア１０８ａ－１～１０８ｂ－１に格納された量子安全分散キーセットは、量子安全ネットワーク１０２の各量子安全通信チャネル１１７ａ～１１７ｃ、及び／又は量子安全ネットワーク１０２と第１及び第２のデバイス１０４ａ～１０４ｂ間の量子安全チャネル１１５ａ～１１５ｂをそれぞれ設定するために使用することができる。すなわち、各量子安全通信チャネル（又は量子保護通信チャネル）は、量子安全分散キーセットから対応する量子安全分散キーにより暗号化され、及び／又は量子安全分散キーセットの１つ又は複数の量子安全分散キーから導出された量子安全キーで暗号化された通信チャネルから構成され、又は通信チャネルを表すことができる。量子安全通信チャネルでは、通信チャネルの各側で合致する量子安全キーに基づく対称暗号を使用することができる。簡易化のため、第１のデバイス／エンドポイント１０４ａ、第２のデバイス／エンドポイント１０４ｂ、及び量子安全ネットワーク１１２又は１２２間の接続は、事前に確立された量子安全分散キーによって保護されていると仮定する。また、量子安全ネットワーク１１２／１２２及び／又は量子クラウドシステム／インフラストラクチャ１１０／１２０内のサービス間通信も同様に、量子安全チャネル／コネクションによって保護されていると仮定する。

【0123】

図１ｂと図１ｃの例では、第１のキーノード１０６ａは最初の量子安全チャネル１１５ａを介して第１のデバイス１０４ａと通信している。第２のキーノード１０６ｂは、第２の量子安全チャネル１１５ｂを介して第２のデバイス１０４ｂと通信している。さらに、各キーノード１０６ａ～１０６ｂは、第３の量子安全チャネル１１７ｃを介して互いに通信している。キーノード１０６ａ～１０６ｂ、量子サーバー１０８ａ～１０８ｂ、対応する量子安全チャンネル１１５ｃ、１１７ａ、１１７ｂ、１１７ｃは、量子クラウド／ネットワーク１１２／１２２の一部を形成している。第１及び第２のキーノード１０６ａ～１０６ｂが記述されているが、これは例示であり、本発明はこの限りではなく、量子セキュアネットワーク１１２／１２２は、複数のキーノードと複数の量子サーバとを含み、各量子サーバは、量子セキュアチャネルを介して複数のキーノードのうちの対応するキーノードに接続され、各キーノードは、量子セキュアチャネルによって（例：必要時に）、必要に応じて、及び／又は要求に応じて、１つ又は複数の他のキーノードに接続される。

【0124】

本文書に記載の通り、第１及び第２のデバイス１０４ａ～１０４ｂの各々ならびに対応する第１及び第２のキーノード１０６ａ～１０６ｂは、第１及び第２のデバイス１０４ａ～１０４ｂが、以下のような確立キー又は最終キーを交換及び／又は合致することを可能にするためのキー確立／交換プロトコル／プロセスを実行するように構成される。この限りではないが、例えば、各デバイス１０４ａ～１０４ｂ上で及び／又は各デバイス１０４ａ～１０４ｂ間で暗号操作／アプリケーションに使用するために、量子安全な方法で１つ又は複数の量子分散キー等から導出された確立／最終キー等である。例えば、確立キーは、第１及び第２のデバイス１０４ａ～１０４ｂ間の通信セッションを保護するために、第１及び第２のデバイス１０４ａ～１０４ｂ間で使用されることがある。別例では、確立キーは、暗号化アプリケーションのタイプ等に基づいて、第１及び第２のデバイス１０４ａ～１０４ｂの各々上で、及び／又は第１及び第２のデバイス１０４ａ～１０４ｂの各々間で、他の任意の暗号化操作において使用されることがある。この例では、第１のデバイス１０４ａをイニシエータエンドポイント１０４ａと呼び、第２のデバイス１０４ｂをレシーバエンドポイント１０４ｂと呼ぶ。各デバイス／エンドポイントは固有の識別情報を持ち、各デバイス／エンドポイント１０４ａ～１０４ｂは、量子安全ネットワーク１１２／１２２（例：量子クラウド）の異なる又は固有のキーサービングノード（ＫＮｏｄｅ）１０６ａ又は１０６ｂと通信するための量子安全なチャネル１１５ａ及び１１５ｂを既に確立しているものと仮定する。これ限りではないが、例えば、量子ネットワーク１１２／１２２（又は量子クラウド）内のＡＰＩゲートウェイ、ゲートウェイ及び／又はロードバランサ等を用いて達成することができる。例えば、各エンドポイント１０４ａ／１０４ｂの一意の識別は、この限りではないが、例えば、対応するＫＮｏｄｅ１０６ａ／１０６ｂとの当該各エンドポイント１０４ａ／１０４ｂの認証中、及び／又はＫＮｏｄｅ１０６ａ／１０６ｂを含む量子ネットワークのゲートウェイ等に基づくことができる。これにより、前記各エンドポイント１０４ａ／１０４ｂのエンドポイント識別子（ＩＤ）を一意的かつ不可逆的に識別する。各エンドポイント１０４ａ／１０４ｂは、対応するＫＮｏｄｅ１０６ａ／１０６ｂとバイロケーションキーのコピーをネゴシエーションする。エンドポイント１０４ａ／１０４ｂの両方が、対応する異なるＫＮｏｄｅに対して別々に認証するため、相互認証が提供される。また、量子ネットワーク１１２／１２２内のＫＮｏｄｅ１０４ａ～１０４ｂ及び／又は量子サーバ１０８ａ～１０８ｂ間の全ての通信チャネル１１７ａ～１１７ｃ（例：量子クラウドインフラストラクチャ内の全てのサービス間接続）は、適切に量子安全である、即ち、各チャンネル１１７ａ－１１７ｃは量子安全通信チャネルであると仮定される。さらに、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａとＲｅｃｅｉｖｅｒエンドポイント１０４ｂの間の接続は、限定するものではないが、例えば、トランスポートレイヤセキュリティ（ＴＬＳ）又は同等のような、古典的に安全な又は暗号化された通信チャネルを介することができる。さらに、この限りではないが、例えばイニシエーターエンドポイント１０４ａとレシーバーエンドポイント１０４ｂ間の接続は、接続がある場合は、トランスポートレイヤーセキュリティ（ＴＬＳ）又は同等のもののような、古典的に安全な、又は暗号化された通信チャネルを介することができる。

【0125】

キー交換プロトコル／プロセスは、この限りではないが、例えば第１及び第２のデバイス１０４ａ～１０４ｂが、量子安全な方法で導出されたキー等のキーを交換又は合致できるようにするためのものである。これにより、イニシエーターエンドポイント１０４ａは、バイローケーションキーにより暗号化された通信チャネルを介し、レシーバーエンドポイント１０４ｂと通信することが可能となる。そして、イニシエーターエンドポイント１０４ａはレシーバーエンドポイント１０４ｂがバイローケーションキーのコピーを収集するために使用したＫＮｏｄｅ１０６ｂとは異なるＫＮｏｄｅ１０６ａからバイローケーションキーのコピーを収集する。

【0126】

さらに、１つ又は複数のハンドシェイク処理、エンドポイント及び／又はＫＮｏｄｅ間の異なるノンスの分散、及び／又はエンドポイントへの異なるｉｎｔｅｒｍｅｄｉａｔｅバイロケーションキーの分散の組み合わせは、この限りではないが、下記のように使用される。リプレイ攻撃の数学的／暗号学的に防ぐ；Ｅｖｅが１つ又は複数のハンドシェイクプロセスの一部として交換されたデータを傍受した場合に、ｅａｖｅｓｄｒｏｐｐｅｒ（例：Ｅｖｅ）がキーにアクセスすることを防ぐ；Ｅｖｅが量子クラウド１１２／１２２（又は量子安全ネットワーク１１２／１２２）のインフラストラクチャに侵入した場合に、Ｅｖｅが結果／最終キーにアクセスするのを防ぐ。

【0127】

最終／確立キーはいずれかの方法で生成される。ａ）イニシエーターデバイス１０４ａとレシーバーデバイス１０４ｂは、物理的に異なる位置から収集されたバイローケーションキーのコピー又はその関連部分と、レシーバーデバイス１０４ｂによって生成された、両デバイス１０４ａ－１０４ｂに既知のノンスに基づいれ生成される。ｂ）イニシエーターとレシーバーデバイス１０４ａ－１０４ｂが互いにチャレンジノンスを送信し、受信したチャレンジノンスとその間に送信されたバイローケーションキーに基づいて、対応するチャレンジレスポンスを計算するチャレンジ／レスポンスプロトコルでは、受信したチャレンジレスポンスがイニシエーターとレシーバーデバイス１０４ａ－１０４ｂによって確認されると、最終キーはチャレンジレスポンスの対応する未送信部分の組み合わせによって生成される。

【0128】

従って、イニシエーターデバイスとレシーバーデバイス１０４ａ－１０４ｂは、上述のキー確立プロセスを使用して、この限りではないが、下記のようなことが可能となる。イニシエーターデバイスとレシーバーデバイス間の安全な通信に使用される最終キーを生成又は確立することができる；その間の量子安全通信；イニシエーターとレシーバーを含む間でグループキーを確立するために、他のグループキー確立プロトコルで使用するための共有キーをイニシエーターとレシーバーの間で確立する；イニシエーターデバイスとレシーバーデバイス間の通信セッションを確保する；イニシエーターデバイスとレシーバーデバイスの間に長寿命の通信チャネルを確立する；この限りではないが、確立されたキーは、メッセージ認証コード（ＭＡＣ）又はタグ等を生成するために使用される、イニシエーターデバイスとレシーバーデバイス間の署名秘密を形成するイニシエーターとレシーバーの間で確立された最終キーは、各イニシエーターとレシーバーの間で実行される他のタイプの暗号アプリケーション／操作などに使用することができる。

【0129】

図２ａは、本発明の具体的な実施形態において、図１ａから図１ｃのシステム１００、１１０及び／又は１２０と共に使用される異なる例示的な鍵確立プロセス２００を示すフロー図表である。簡単のため、図１ａ、図１ｂ及び／又は図１ｃの参照番号は、同一又は類似の構成要素に再利用されている。確立される最終的な鍵は、第１デバイスまたはエンドポイント１０４ａ（例：イニシエータデバイス／エンドポイント）と第２デバイスまたはエンドポイント１０４ｂ（例：レシーバデバイス／エンドポイント）とが使用するためのものであり、鍵の確立中、第１デバイス１０４ａと第２デバイス１０４ｂとは、セキュアなチャネル（例：古典的セキュリティチャネル１０５ａ／１０５ｂまたは量子セキュリティチャネル１１５ａ／１１５ｂ）上で１０２、１１２、又は１２２とそれらに類似（例：ｅ．ｇ．ネットワーク１０２又は量子クラウド１１２／１２２）のセキュアネットワークの第１鍵ノード１０６ａと第２鍵ノード１０６ｂを用いて通信され、第１鍵ノード１０６ａは第２鍵ノード１０６ｂとは異なる地理的位置にある。鍵ノード１０６ａおよび１０６ｂの各々は、異なる地理的位置に同じ鍵セットを配布するように構成された鍵配布システム１０９（例：衛星ＱＫＤシステム１１９または地上ＱＫＤシステム１１９ｃなどを含む量子配布システム）からそれぞれのセキュア／量子サーバ１０８ａ及び０８ｂによって受信された同じ鍵セット（例；量子セキュアネットワーク１１２又は１２０が使用される場合、同じ量子分散鍵セット）を共有するという点でペアを形成することができる。第１デバイス１０４ａと第２デバイス１０４ｂとの間で最終鍵を確立するための鍵確立プロセス２００は、以下のステップのうちの１つ以上を含む：

【0130】

ステップ２０１では、第１デバイス１０４ａ（又はイニシエータデバイス／エンドポイント）は、ＢｉｌｏｃａｔｉｏｎＫｅｙの生成または導出に使用するために、セキュアなチャネル（例：ネットワーク１０２中の古典的セキュアチャネル１０５ａ、又はネットワーク１１２や１２２中の量子セキュアチャネル１１５ａ）を介して第１鍵ノード１０６ａから鍵確立データを代表するデータを受信し、標準的な暗号化通信チャネルを介して第２デバイス１０４ｂ（例：レシーバデバイス／エンドポイント）から鍵確立データを受信する。ＢｉｌｏｃａｔｉｏｎＫｅｙは、第１及び第２鍵ノード１０６ａ及び１０６ｂの両方が分散鍵セット（例：量子セキュアネットワーク１１２又は１２０が使用される場合、同じ量子分散鍵セット）から選択した同じ分散鍵を代表するデータ、及び／又は、第１デバイス１０４ａ、第２デバイス１０４ｂ、及び／又は第１及び／又は第２鍵ノード１０６ａ及び１０６ｂ、及び／又はそれらの組み合わせによって生成された１つ以上のランダムノンスを代表する暗号データに基づいて、第１鍵ノード１０６ａによって生成／導出される。例えば、第１及び第２の鍵ノード１０６ａ及び１０６ｂの各々は、対応する鍵プールから鍵を選択し（例えば、各鍵プールは同じ分散鍵セットを含む）、第１及び第２の鍵ノード１０６ａ及び１０６ｂがＢｉｌｏｃａｔｉｏｎＫｅｙの導出に使用するために同じ分散鍵を選択することを可能にする分散鍵セット内の同じ分散鍵インデックス又は位置を出力する受信データに基づいて鍵選択アルゴリズムを実行する。例えば、量子セキュアネットワーク１１２又は１２０を使用する場合、第１鍵ノード１０６ａ及び第２鍵ノード１０６ｂで実行される鍵選択アルゴリズムは、量子分散鍵の集合から同じ量子分散鍵を選択する。

【0131】

ステップ２０２では、第２デバイス１０４ｂ（又はレシーバデバイス／エンドポイント）は、ＢｉｌｏｃａｔｉｏｎＫｅｙの導出に使用するために、安全なチャネル（例：暗号化されたチャネル１０５ｂ／１１５ｂ）を介して第２鍵ノード１０６ｂから鍵確立データを代表するデータを受信し、標準暗号化通信チャネルを介して第１デバイス１０４ａ（例：イニシエータデバイス／エンドポイント）から鍵確立データを受信する。第１デバイスによって導出または受信されたＢｉｌｏｃａｔｉｏｎＫｅｙは、第２デバイスによって受信、又は導出されたＢｉｌｏｃａｔｉｏｎＫｅｙと同じである。第２鍵ノード１０６ｂは、分散鍵のセットから第１及び第２鍵ノード１０６ａ及び１０６ｂの両方によって選択された同じ分散鍵を代表するデータと、第１デバイス１０４ａ、第２デバイス１０４ｂ、及び／又は、第１及び／又は第２鍵ノード１０６ａ及び１０６ｂ、及び／又はそれらの組み合わせによって生成された１つ以上のランダムノンスを代表する暗号データとに基づいて、第２鍵ノード１０６ｂによって生成／導出されるＢｉｌｏｃａｔｉｏｎＫｅｙを生成する。

【0132】

ステップ２０３では、第１及び第２デバイス１０４ａ、１０４ｂは、対応するＢｉｌｏｃａｔｉｏｎＫｅｙを使用して、同じ最終鍵を生成する。最終鍵は限定されることなく、例えば、セキュア通信；量子分散鍵を鍵セットが含む場合の量子セキュア通信；グループ鍵形成；デジタル署名；及び／又は、第１及び第２デバイス１０４ａ及び１０４ｂの各々において及び／又は第１及び第２のデバイス１０４ａ及び１０４ｂ間における他の暗号操作／アプリケーション及び／又は目的等に使用され得る。例えば、第１及び第２デバイス１０４ａ及び１０４ｂは、対応するＢｉｌｏｃａｔｉｏｎＫｅｙとその間に受信されたランダムノンスの合意された組み合わせとを組み合わせることに基づいて、最終的な鍵を形成することができる。代替的又は付加的に、第１及び第２のデバイス１０４ａ及び１０４ｂは、対応するＢｉｌｏｃａｔｉｏｎＫｅｙから得られる最終的な鍵に合意するために使用されるＢｉｌｏｃａｔｉｏｎＫｅｙに基づく１つ以上のチャレンジ・レスポンス・プロトコルを実行することに基づいて、最終的な鍵を生成することができる。

【0133】

その後、第１デバイス１０４ａ及び第２デバイス１０４ｂは、暗号操作／アプリケーションなどで使用するために最終鍵を使用することができる。例えば、第１及び第２のデバイス１０４ａ－１０４ｂは、通信チャネル及び／又はその間に通信されるデータを暗号化するために、最終鍵を使用して通信セッションを開始してもよい。代替的または付加的に、別の例として、第１及び第２デバイス１０４ａ－１０４ｂは、第１及び第２デバイス１０４ａ－１０４ｂを含む他のデバイスのグループとのグループ鍵の確立に使用するために、最終鍵をその間の共有鍵として使用してもよい。

【0134】

鍵確立プロトコルは、イニシエータデバイス／エンドポイント１０４ａとレシーバデバイス／エンドポイント１０４ｂの間で使用され、異なる地理的な場所（例：異なるセキュアサーバ／ＫＮｏｄｅ）から同じ最終鍵を受信するが、地理的な場所（例：量子サーバ／ＫＮｏｄｅ）に量子的に安全な方法（例：光子的な方法）で配信された分散鍵（例：量子ネットワーク１１２又は１２２の場合の量子分散鍵）をルートとする。最終鍵のいくつかの応用例または用途が示されているが、これは例示に過ぎず、本発明はそのように限定されるものではなく、第１デバイスと第２デバイス１０４ａ、１０４ｂで同じである最終鍵は、本書に記載されているように、その組み合わせ、その修正、及び／又は用途の要求に応じて、任意の適切な暗号操作、アプリケーション、システム、通信などで使用され得ることが、当業者には理解されよう。

【0135】

図２ｂは、本発明の具体的な実施形態に従って、図１ａ、図１ｂ及び／又は図１ｃのネットワークシステム１００、１１０及び／又は１２０と共に使用するために、図２ａの鍵確立プロセス２００をさらに修正するために使用することができる別の例示的な鍵確立プロセス２１０を示すフロー図表である。簡単のため、図１ａ、図１ｂ及び／又は図１ｃの参照番号は、同一又は類似の構成要素に再利用される。この例では、第１デバイス１０４ａをイニシエータエンドポイントと呼び、第２デバイス１０４ｂをレシーバエンドポイントと呼ぶ。イニシエータデバイス／エンドポイント１０４ａは、イニシエータデバイス／エンドポイント１０４ａとレシーバデバイス／エンドポイント１０４ｂの間で最終鍵を確立するために、鍵確立手順を開始する。例えば、最終鍵は、イニシエータデバイス１０４ａとレシーバデバイス１０４ｂとの間の通信セッションを保護するため、及び／又は、他の適切な目的のために使用される。鍵確立プロセス２１０は、以下の１つ以上のステップを含む：

【0136】

ステップ２１では、イニシエータエンドポイント１０４ａは、レシーバエンドポイント１０４ｂに対し、ａ）レシーバエンドポイント１０４ｂのＩＤ（例：ＩＤ＿Ｒ）、１０４ｂがネゴシエーションを希望するＫＮｏｄｅ１０６ｂのＩＤ（例：ＫＩＤ＿Ｒ）、レシーバエンドポイント１０４ｂが生成した第１ノンス（例：Ｎ＿Ｒ）を提供するよう要求する。

【0137】

ステップ２１２では、レシーバエンドポイントは、ａ）生成された第１のノンス（例：Ｎ＿Ｒ）、ｂ）レシーバエンドポイント１０４ｂのＩＤ（例：ＩＤ＿Ｒ）、ｃ）及びＫＮｏｄｅ１０４ｂのＩＤ（例：ＫＩＤ＿Ｒ）を代表データで応答する。

【0138】

ステップ２１３では、イニシータは第２ノンス（例：Ｎ＿Ｉ）を生成し、ＫＮｏｄｅ１０６ａにレシーバエンドポイント１０４ｂのものとは異なる中間ＢｉｌｏｃａｔｉｏｎＫｅｙ（例：Ｉｎｔ＿Ｂｉｌｏｃａｔｉｏｎ＿Ｋｅｙ）をリクエストし、そのリクエストは以下の代表データを含む、ないし、渡す。ａ）レシーバエンドポイント１０４ｂのＩＤ（例：ＩＤ＿Ｒ）、ｂ）レシーバエンドポイントのＫＮｏｄｅ１０６ｂのＩＤ（例：ＫＩＤ＿Ｒ）、ｃ）第１及び第２ノンスから導出される第３ノンス。第３ノンスは、第１ノンスと第２ノンスに基づく組み合わせまたは関数（例：第１及び第２ノンスを使用するＸＯＲ型演算即ちＮ＿ＩＲ＝Ｎ＿ＲＸＯＲＮ＿Ｉ、バイナリーシンボルが使用される場合、又は第１及び第２ノンスを使用するハッシュ型操作の場合、即ちＮ＿ＩＲ＝＃（Ｎ＿Ｒ，Ｎ＿Ｉ））に依拠しうる。

【0139】

ステップ２１４では、中間ＢｉｌｏｃａｔｉｏｎＫｅｙリクエストに応答して、イニシエーターエンドポイント１０４ａは、中間ＢｉｌｏｃａｔｉｏｎＫｅｙ（例：Ｉｎｔ＿Ｂｉｌｏｃａｔｉｏｎ＿Ｋｅｙ）とＫＮｏｄｅ１０６ａからその生成に使用された第４ノンス（例：第１アンチリプレイノンス）を返される／受信する。

【0140】

ステップ２１５では、イニシエータはレシーバエンドポイント１０４ｂに以下を代表するデータを送信または渡す。ａ）第２、第４ノンス（例：Ｎ＿Ｉ、第１アンチリプレイノンス）、ｂ）イニシエータエンドポイント１０４ａのＩＤ（ＩＤ＿Ｉ）、ｃ）あるＫＮｏｄｅ１０６ａのＩＤ（例：ＩＤ＿Ｉ）。レシーバエンドポイント１０４ｂは、受信した第２ノンスとその生成された第１ノンス（例：Ｎ＿ＩＲ＝Ｎ＿ＩＸＯＲＮ＿Ｒ又はＮ＿ＩＲ＝＃（Ｎ＿Ｉ，Ｎ＿Ｒ））から第３ノンス（例：Ｎ＿ＩＲ）を生成する。

【0141】

ステップ２１６では、レシーバエンドポイント１０４ｂは、ＫＮｏｄｅ１０６ｂからＢｉｌｏｃａｔｉｏｎＫｅｙを要求し、以下の代表データをＫＮｏｄｅ１０６ｂに送信する／渡す。ａ）第３及び第４ノンス、ｂ）ＩＤ＿Ｉ、ｃ）ＫＩＤ＿Ｉ。なお、第３ノンスＮ＿ＩＲは、イニシエータ１０４ａとレシーバ１０４ｂの両方でクラウドに送信される前にハッシュ化（例：Ｎ＿ＩＲ’のように）されてもよい。

【0142】

ステップ２１７では、レシーバエンドポイント１０４ｂは、ＫＮｏｄｅ１０６ｂからＢｉｌｏｃａｔｉｏｎＫｅｙと、その作成に使用された第５ノンス（例：第２アンチリプレイノンス）を送信される／渡される。

【0143】

ステップ２１８では、レシーバエンドポイント１０４ｂは、第５ノンス（例：第２アンチリプレイノンス）をイニシエータエンドポイント１０４ａに送り返す。

【0144】

ステップ２１９では、イニシエータエンドポイント１０４ａは、第５ノンス（例：第２アンチリプレイノンス）と中間ＢｉｌｏｃａｔｉｏｎＫｅｙを結合する。と中間ＢｉｌｏｃａｔｉｏｎＫｅｙを結合し、共有ＢｉｌｏｃａｔｉｏｎＫｅｙを形成する。レシーバエンドポイント１０４ｂによって受信されたＢｉｌｏｃａｔｉｏｎＫｅｙは、イニシエータエンドポイント１０４ａで計算されたＢｉｌｏｃａｔｉｏｎＫｅｙと同じであるため、共有されたことになる。従って、各エンドポイント１０４ａ－１０４ｂのＢｉｌｏｃａｔｉｏｎＫｅｙは、共有ＢｉｌｏｃａｔｉｏｎＫｅｙと呼ばれることがある。

【0145】

ステップ２２０では、イニシエータエンドポイント１０４ａとレシーバエンドポイント１０４ｂは、以下のいずれかに基づいて最終鍵を形成する。ａ）ＢｉｌｏｃａｔｉｏｎＫｅｙと合意されたノンス（例：第１及び第２ノンスの組み合わせである第３ノンス）を組み合わせる、ｂ）チャレンジ・レスポンス方式の使用、ｃ）第３ノンス、Ｎ＿ＩＲをハッシュ化し、バイロケーション鍵にする。最終的なバイロケーション鍵は、量子クラウド１１２／１２２には知られない。

【0146】

その後、イニシエータエンドポイント１０４ａとレシーバエンドポイント１０４ｂは、限定はしないが、例えば、通信チャネル及び／又はその間に通信されるデータを暗号化するため、及び／又は他の目的で、最終鍵を使用して通信セッションを開始する。この例では、最終鍵はイニシエータエンドポイント１０４ａとレシーバエンドポイント１０４ｂ間の通信チャネルをセキュアにするために使用されるが、これはあくまで例であり、本発明はそのように限定されるものではなく、イニシエータエンドポイント１０４ａとレシーバエンドポイント１０４ｂで同一である最終鍵は、任意の適切な目的、暗号操作、暗号アプリケーション、システム、データ及び／又は通信のセキュア化等、それらの組み合わせ、それらの修正、本書で説明される通り、及び／又はアプリケーションの要求に応じて使用され得ることが当業者には理解されよう。

【0147】

図２ｃは、本発明の具体的な実施形態による、図２ｂの鍵確立プロセス２１０に対してイニシエータデバイス１０４ａによって実行される例示的なイニシエータ鍵確立プロセス２３０を示すフロー図表である。簡略化のため、図１ａ、図１ｂ、及び／又は図１ｃの参照番号は、同一または類似のコンポーネントに再利用されている。イニシエータデバイス／エンドポイント１０４ａは、イニシエータデバイス／エンドポイント１０４ａとレシーバエンドポイント１０４ｂとの間で最終鍵を確立するために、鍵確立手順を開始する。例えば、最終鍵は、限定するものではないが、例えばイニシエータデバイス１０４ａとレシーバエンドポイント１０４ｂとの間の通信セッションを確保するため、及び／又は、他の適切な目的のために使用することができる。イニシエータデバイス１０４ａによって実行されるイニシエータ鍵確立プロセス２３０は、以下のステップの１つ以上を含む：

【0148】

ステップ２３１では、イニシエータエンドポイント１０４ａは、レシーバエンドポイント１０４ｂに対し、ａ）レシーバエンドポイント１０４ｂのＩＤ（例：ＩＤ＿Ｒ）、ｂ）レシーバエンドポイント１０４ｂがネゴシエーションを希望するＫＮｏｄｅ１０６ｂのＩＤ（例：ＫＩＤ＿Ｒ）、ｃ）レシーバエンドポイント１０４ｂが生成した第１ランダムノンス（例：Ｎ＿Ｒ）を要求する。

【0149】

ステップ２３２では、イニシエータエンドポイント１０４ａは、レシーバエンドポイント１０４ｂから、ａ）ＩＤ＿Ｒ、ｂ）ＫＩＤ＿Ｒ、ｃ）第１ランダムノンス（例：Ｎ＿Ｒ）を代表するデータを受信する。

【0150】

ステップ２３３において、イニシエータエンドポイント１０４ａは、第２ランダムノンス（例：Ｎ＿Ｉ）を生成し、レシーバエンドポイント１０４ｂのＫＮｏｄｅ１０６ｂとは異なる地理的位置にあるＫＮｏｄ１０６ａに中間ＢｉｌｏｃａｔｉｏｎＫｅｙ（Ｉｎｔ＿Ｂｉｌｏｃａｔｉｏｎ＿Ｋｅｙ）を要求し、第１及び第２ノンス（例：Ｎ＿Ｒ及びＮ＿Ｉ）から導出される第３ランダムノンス（例：Ｎ＿ＩＲ）。第３ノンスは、第１ノンスと第２ノンスに基づく組み合わせまたは関数（第１及び第２ノンスを使用するＸＯＲ型演算即ちＮ＿ＩＲ＝Ｎ＿ＲＸＯＲＮ＿Ｉ、バイナリーシンボルが使用される場合、又は第１及び第２ノンスを使用するハッシュ型操作の場合、即ちＮ＿ＩＲ＝＃（Ｎ＿Ｒ，Ｎ＿Ｉ））に依拠しうる。

【0151】

ステップ２３４では、イニシエータエンドポイント１０４ａは、ＫＮｏｄｅ１０６ａからＩｎｔ＿Ｂｉｌｏｃａｔｉｏｎ＿Ｋｅｙと、ＫＮｏｄｅ１０６ａが自身を生成する際に使用した第４ノンス（例：第１アンチリプレイノンス）を受信する。

【0152】

ステップ２３５では、イニシエータエンドポイントは、以下の代表データをレシーバエンドポイント１０４ｂに送信または渡す。ａ）第４ノンス（例：第１アンチリプレイノンス）、ｂ）イニシエータエンドポイントのＩＤ、ｂ）イニシエータエンドポイント１０４ａのＩＤ（ＩＤ＿Ｉ）、ｃ）あるのＫＮｏｄｅ１０６ａのＩＤ（ＫＩＤ＿Ｉ）。レシーバエンドポイント１０４ｂはレシーバエンドポイント１０４ｂが使用／交渉しているＫＮｏｄｅ１０６ｂからＢｉｌｏｃａｔｉｏｎＫｅｙを要求するために、この受信した情報を送信する。ここで、Ｋｎｏｄｅ１０６ｂは、ＢｉｌｏｃａｔｉｏｎＫｅｙと第５ノンス（例：第２アンチリプレイノンス）を生成し、ＢｉｌｏｃａｔｉｏｎＫｅｙと第５ノンスの代表データをレシーバエンドポイント１０４ｂに送り返す。

【0153】

ステップ２３６では、イニシエータエンドポイント１０４ａはレシーバエンドポイント１０４ｂから第５ノンス（例：第２アンチリプレイノンス）を受信する。

【0154】

ステップ２３７では、イニシエータエンドポイント１０４ａは、第５ノンス（例：第２アンチリプレイノンス）とＩｎｔ＿Ｂｉｌｏｃａｔｉｏｎ＿Ｋｅｙを結合して共有ＢｉｌｏｃａｔｉｏｎＫｅｙを形成する。例えば、これはＩｎｔ＿Ｂｉｌｏｃａｔｉｏｎ＿Ｋｅｙと第２アンチリプレイノンスのハッシュに基づいてもよい。
レシーバエンドポイント１０４ｂが受信したＢｉｌｏｃａｔｉｏｎＫｅｙは、イニシエータエンドポイント１０４ａで計算されたＢｉｌｏｃａｔｉｏｎＫｅｙと同じであるため、両者の間で共有されている。従って、各エンドポイント１０４ａ－１０４ｂのＢｉｌｏｃａｔｉｏｎＫｅｙは、共有ＢｉｌｏｃａｔｉｏｎＫｅｙと呼ばれることがある。

【0155】

ステップ２３８では、イニシエータエンドポイント１０４ａは以下のいずれかを実行する。ａ）共有ＢｉｌｏｃａｔｉｏｎＫｅｙと、レシーバエンドポイント１０４ｂと合意された共通ノンス（例：第１及び第２ノンスを組み合わせた第３ノンス）を組み合わせて最終鍵を形成し、レシーバエンドポイント１０４ｂも同様の操作を行って、レシーバエンドポイント１０４ｂで同じ最終鍵を形成する、又は、ｂ）チャレンジ・レスポンス・プロトコルを使用してレシーバエンドポイント１０４ｂと通信し、共通の最終鍵を形成する。

【0156】

その後、イニシエータエンドポイント１０４ａとレシーバエンドポイント１０４ｂは、限定するわけではないが、例えば通信チャネル及び／又はその間に通信されるデータを暗号化するため、及び／又は他の目的のために、最終鍵を使用して通信セッションを開始する。この例では、最終鍵はイニシエータエンドポイント１０４ａとレシーバエンドポイント１０４ｂの間の通信チャネルをセキュアにするために使用されるが、これはあくまで例であり、本発明はそのように限定されるものではなく、イニシエータエンドポイント１０４ａとレシーバエンドポイント１０４ｂで同じである最終鍵は、任意の適切な目的、暗号操作、暗号アプリケーション、システム、データ及び／又は通信のセキュア化等、それらの組み合わせ、それらの修正、本書で説明される通り、及び／又はアプリケーションの要求に応じて使用され得ることが当業者には理解されよう。

【0157】

図２ｄは、本発明の具体的な実施形態による、図２ｂの鍵確立プロセス２１０に対してレシーバデバイス１０４ｂが実行するレシーバ鍵確立プロセス２４０の例を示すフロー図表である。簡略化のため、図１ａ、図１ｂ、及び／又は図１ｃの参照番号は、同一又は類似のコンポーネントに再利用される。イニシエータデバイス／エンドポイント１０４ａは、イニシエータデバイス／エンドポイント１０４ａとレシーバデバイス／エンドポイント１０４ｂとの間で最終鍵を確立するために、鍵確立手順を開始する。例えば、最終鍵は、限定するものではないが、例えば、イニシエータデバイス１０４ａとレシーバデバイス１０４ｂとの間の通信セッションを確保するため、及び／又は、他の適切な目的のために使用することができる。レシーバデバイス１０４ｂによって実行されるレシーバ鍵確立プロセス２４０は、以下のステップのうちの１つ以上を含む：

【0158】

ステップ２４１では、鍵確立プロセス中にイニシエータエンドポイント１０４ａから以下の要求を受信する。レシーバエンドポイント１０４ｂのＩＤ（例：ＩＤ＿Ｒ）、レシーバエンドポイント１０４ｂがネゴシエーションを希望するＫＮｏｄｅ１０６ｂのＩＤ（例：ＫＩＤ＿Ｒ）、及び、レシーバエンドポイント１０４ｂがネゴシエーションを希望するＫＮｏｄｅ１０６ｂのＩＤ（例：ＫＩＤ＿Ｒ）、ｃ）レシーバエンドポイント１０４ｂが生成する第１ランダムノンス（例：Ｎ＿Ｒ）。レシーバエンドポイント１０４ｂは、ランダムな第１ノンス（例：Ｎ＿Ｒ）を生成する。

【0159】

ステップ２４２では、イニシエータエンドポイント１０４ａに以下の代表データを送信する。ａ）ＩＤ、ｂ）ＫＩＤ＿Ｒ、ｃ）生成されたランダムな第１ノンス（例：Ｎ＿Ｒ）。この情報を受信すると、プロセス２３０中のステップ２３３において、イニシエータデバイス１０４ａは第２のランダムノンス（例：Ｎ＿Ｉ）を生成し、第１ノンスと第２ノンス（例：Ｎ＿ＲとＮ＿Ｉ）に基づく第３ノンス（例：Ｎ＿Ｒ）を導出する。第３ノンスは、第１ノンスと第２ノンスに基づく組み合わせ又は関数（例：第１及び第２ノンスを使用するＸＯＲ型演算即ちＮ＿ＩＲ＝Ｎ＿ＲＸＯＲＮ＿Ｉ、バイナリーシンボルが使用される場合、又は第１及び第２ノンスを使用するハッシュ型操作の場合、即ちＮ＿ＩＲ＝＃（Ｎ＿Ｒ，Ｎ＿Ｉ））に依拠しうる。イニシエータデバイス１０４ａは、中間ＢｉｌｏｃａｔｉｏｎＫｅｙ（Ｉｎｔ＿Ｂｉｌｏｃａｔｉｏｎ＿Ｋｅｙ）をレシーバエンドポイント１０４ｂが使用するＫＮｏｄｅ１０６ｂとは地理的に異なる場所にある異なるＫＮｏｄｅ１０６ａに要求する。ＫＮｏｄｅ１０６ｂはＩｎｔ＿Ｂｉｌｏｃａｔｉｏｎ＿Ｋｅｙと第４ノンス（例：第１アンチリプレイノンス）を生成し、プロセス２３０中のステップ２３４でイニシエータデバイス１０４ａに送り返す。

【0160】

ステップ２４３では、レシーバエンドポイント１０４ｂはイニシエータエンドポイント１０４ａから以下の代表データを受信する。ａ）イニシエータデバイス１０４ａによって生成された第２ノンス（例：Ｎ＿Ｉ）と、第１鍵ノード１０６ａによって生成された第４ノンス（例：第１アンチリプレイノンス）、ｂ）イニシエータエンドポイント１０４ａのＩＤ（ＩＤ＿Ｉ）、及びｃ）イニシエータエンドポイントのあるＫＮｏｄｅ１０６ａのＩＤ（ＫＩＤ＿Ｉ）。

【0161】

ステップ２４４では、レシーバエンドポイント１０４ｂは、そのＫＮｏｄｅ１０６ｂからＢｉｌｏｃａｔｉｏｎＫｅｙを要求し、以下の代表的なデータを送信する／渡す。ａ）第３及び第４ノンス（例：Ｎ＿ＩＲ及び第１アンチリプレイノンス）、ｂ）ＩＤ＿Ｉ、ｃ）ＫＩＤ＿Ｉ。この情報を受信すると、Ｋｎｏｄｅ１０６ｂはＢｉｌｏｃａｔｉｏｎＫｅｙと第５ノンス（例：第２アンチリプレイノンス）を生成し、ＢｉｌｏｃａｔｉｏｎＫｅｙと第５ノンス（例：第２アンチリプレイノンス）を代表するデータを送り返す。

【0162】

ステップ２４５では、レシーバエンドポイント１０４ｂは、ＫＮｏｄｅ１０６ｂから、ＫＮｏｄｅ１０６ｂに作成される際に使用されたＢｉｌｏｃａｔｉｏｎＫｅｙと第５ノンス（例：第２アンチリプレイノンス）を受信する。

【0163】

ステップ２４７では、レシーバエンドポイント１０４ｂは、第５ノンス（例：第２アンチリプレイノンス）とＩｎｔ＿Ｂｉｌｏｃａｔｉｏｎ＿Ｋｅｙを結合して共有ＢｉｌｏｃａｔｉｏｎＫｅｙを形成する。例えば、これはＩｎｔ＿Ｂｉｌｏｃａｔｉｏｎ＿Ｋｅｙと第２アンチリプレイノンスのハッシュに基づいてもよい。レシーバエンドポイント１０４ｂが受信したＢｉｌｏｃａｔｉｏｎＫｅｙは、イニシエータエンドポイント１０４ａで計算されたＢｉｌｏｃａｔｉｏｎＫｅｙと同じであるため、両者の間で共有されている。従って、各エンドポイント１０４ａ－１０４ｂのＢｉｌｏｃａｔｉｏｎＫｅｙは、共有ＢｉｌｏｃａｔｉｏｎＫｅｙと呼ばれることがある。

【0164】

ステップ２４８では、レシーバエンドポイント１０４ｂとイニシエータエンドポイント１０４ａは、以下のいずれかに基づいて最終鍵を形成する。ａ）ＢｉｌｏｃａｔｉｏｎＫｅｙと合意されたノンス（例：第１及び第２ノンスの組み合わせ）を組み合わせる、ｂ）チャレンジ・レスポンス方式の使用。

【0165】

【0166】

図２ｅは、本発明の具体的な実施形態による、図２ｂの鍵確立プロセス２１０でイニシエータデバイス１０４ａが使用する第１鍵ノード１０６ａが実行する第１鍵ノード鍵確立プロセス２５０の例を示すフロー図表である。簡単のため、図１ａ、図１ｂ、及び／又は図１ｃの参照番号は、同一又は類似の構成要素に再利用される。この例では、第１鍵ノード１０６ａは分散鍵のセット（または鍵のセット）を含み、レシーバエンドポイント１０４ｂが使用する第２鍵ノード１０６ｂの分散鍵のセットと同じである。例えば、セキュアネットワークが量子ネットワーク１１２又は１２０である場合、分散鍵のセットは量子分散鍵のセットである。イニシエータデバイス／エンドポイント１０４ａは、イニシエータデバイス／エンドポイント１０４ａとレシーバデバイス／エンドポイント１０４ｂの間で最終鍵を確立するために鍵確立手順を開始する。例えば、最終鍵は、限定するものではないが、イニシエータデバイス１０４ａとレシーバデバイス１０４ｂとの間の通信セッションを確保するため、及び／又は、その他の適切な目的のために使用されることがある。鍵ノード鍵確立プロセス２５０は、以下のステップのうち１つ以上を含む：

【0167】

ステップ２５１では、イニシエータデバイス１０４ａから、中間ＢｉｌｏｃａｔｉｏｎＫｅｙを生成する要求を受信し、そのリクエストは以下の代表データを含む。ａ）レシーバエンドポイント１０４ｂのＩＤ（ＩＤ＿Ｒ）、ｂ）レシーバエンドポイントのＫＮｏｄｅ１０６ｂ、即ち第２鍵ノード１０６ｂのＩＤ（ＫＩＤ＿Ｒ）、ｃ）レシーバエンドポイント１０４ｂによって生成された第１ランダムノンス（例：Ｎ＿Ｒ）とイニシエータエンドポイント１０４ａによって生成された第２ランダムノンス（例：Ｎ＿Ｉ）から導出される第３ノンス（例：Ｎ＿ＩＲ）。第３ノンスは、第１ノンスと第２ノンスに基づく組み合わせ又は関数（例：第１及び第２ノンスを使用するＸＯＲ型演算即ちＮ＿ＩＲ＝Ｎ＿ＲＸＯＲＮ＿Ｉ、バイナリーシンボルが使用される場合、又は第１及び第２ノンスを使用するハッシュ型操作の場合、即ちＮ＿ＩＲ＝＃（Ｎ＿Ｒ，Ｎ＿Ｉ））に依拠しうる。

【0168】

ステップ２５２では、少なくともＩＤ＿Ｒ、ＫＩＤ＿Ｒ、イニシエータエンドポイント１０４ａのＩＤ（ＩＤ＿Ｉ）、第１鍵ノード１０６ａのＩＤ（ＫＩＤ＿Ｒ）に基づいて、鍵選択アルゴリズム／関数を使用して、分散鍵セット（または鍵セット）から鍵を選択する。イニシエータエンドポイント１０４ａのＩＤ＿Ｉは、イニシエータエンドポイント１０４ａと第１の鍵ノード１０６ａとの認証中に受信される若しくは、導出される場合がある。鍵の選択アルゴリズム／関数は、ハッシュ関数に基づいてもよい。例えば、セキュアネットワークが量子セキュアネットワーク１１２又は１２０である場合、選択された鍵は、量子分散鍵のセットから選択されるため、量子分散鍵となる。

【0169】

ステップ２５３において、第１鍵ノード１０６ａは、Ｉｎｔ＿Ｂｉｌｏｃａｔｉｏｎ＿Ｋｅｙの導出／生成に使用する第１のランダムなアンチリプレイノンスを生成する。

【0170】

ステップ２５４において、第１鍵ノード１０６ａは、選択された鍵、第１アンチリプレイノンス、及び少なくともＩＤ＿Ｒ、ＫＩＤ＿Ｒ、ＩＤ＿Ｉ、ＫＩＤ＿Ｉ、及び受信した第３ノンス（例：Ｎ＿ＩＲ）に基づいてＩｎｔ＿Ｂｉｌｏｃａｔｉｏｎ＿Ｋｅｙを生成する。例えば、Ｉｎｔ＿Ｂｉｌｏｃａｔｉｏｎ＿Ｋｅｙは、少なくとも選択された鍵、第１アンチリプレイノンス、及び少なくともＩＤ＿Ｒ、ＫＩＤ＿Ｒ、ＩＤ＿Ｉ、ＫＩＤ＿Ｉ、及び受信した第３ノンスのハッシュに基づいてもよい。

【0171】

ステップ２５５では、第１鍵ノード１０６ａは、図２ａから図２ｄのプロセス中のプロセス２００、２１０、２３０、２４０に基づき、及び／又は本書で説明するようにイニシエータデバイス１０４ａとレシーバデバイス１０４ｂが最終鍵を確立する際に使用するために、Ｉｎｔ＿Ｂｉｌｏｃａｔｉｏｎ＿Ｋｅｙと第１アンチリプレイノンス（例：プロセス２３０中のステップ２３６における第４ノンス）をイニシエータデバイス１０４ａに送信する。

【0172】

【0173】

図２ｆは、本発明の具体的な実施形態による、図２ｂから図２ｅの鍵確立プロセス２１０、２３０、２４０、及び／又は２５０においてレシーバデバイス１０４ｂが使用する第２鍵ノード１０６ｂによって実行される例示的な第２鍵ノード鍵確立プロセス２６０を示すフロー図表である。簡単のため、図１ａ、図１ｂ及び／又は図１ｃの参照番号は、同一または類似の構成要素に再利用される。この例では、第１鍵ノード１０６ａは分散鍵のセット（又は、鍵のセット）を含み、レシーバエンドポイント１０４ｂが使用する第２鍵ノード１０６ｂの分散鍵のセットと同じであり、鍵配布プロトコル／システムに基づいて第１および第２鍵ノード１０６ａ、１０６ｂに配信されている。例えば、セキュアネットワークが量子セキュアネットワーク１１２又は１２０である場合、分散鍵のセットは、衛星量子鍵配布システム及び／又は地上量子鍵配布システムなどを用いて配布され得る量子分散鍵のセットである。第１鍵ノード１０６ａは、第２鍵ノード１０６ｂとは異なる地理的位置に配置される。第２鍵ノード１０６ｂは、レシーバデバイス１０４ｂによって使用される。イニシエータデバイス／エンドポイント１０４ａは、イニシエータデバイス／エンドポイント１０４ａとレシーバデバイス／エンドポイント１０４ｂとの間で最終鍵を確立するために、鍵確立手順を開始する。例えば、最終鍵は、限定するものではないが、イニシエータデバイス１０４ａとレシーバデバイス１０４ｂとの間の通信セッションを確保するため、及び／又は、その他の適切な目的のために使用されることがある。第２鍵ノード鍵確立プロセス２６０は、以下のステップのうち１つ以上を含む：

【0174】

ステップ２６１では、レシーバデバイス１０４ｂから、ＢｉｌｏｃａｔｉｏｎＫｅｙを生成する要求を受信し、そのリクエストには以下の代表データを含む。ａ）イニシエータエンドポイント１０４ａのＩＤ（ＩＤ＿Ｉ）、ｂ）イニシエータエンドポイントのＫＮｏｄｅ１０６ａ、即ち第１鍵ノード１０６ａのＩＤ（ＫＩＤ＿Ｉ）、ｃ）レシーバエンドポイント１０４ｂによって生成された第１ランダムノンス（例：Ｎ＿Ｒ）とイニシエータエンドポイント１０４ａによって生成された第２ランダムノンス（例：Ｎ＿Ｉ）から導出される第３ノンス（例：Ｎ＿ＩＲ）。第３ノンスは、第１ノンスと第２ノンスに基づく組み合わせ又は関数（例：第１及び第２ノンスを使用するＸＯＲ型演算即ちＮ＿ＩＲ＝Ｎ＿ＲＸＯＲＮ＿Ｉ、バイナリーシンボルが使用される場合、又は第１及び第２ノンスを使用するハッシュ型操作の場合、即ちＮ＿ＩＲ＝＃（Ｎ＿Ｒ，Ｎ＿Ｉ））と第１鍵ノード１０６ａからイニシエータエンドポイント１０４ａによって受信されたイニシエータまたは第１アンチリプレイノンスに依拠しうる。

【0175】

ステップ２６２では、少なくともＩＤ＿Ｉ、ＫＩＤ＿Ｉ、レシーバエンドポイント１０４ｂのＩＤ（ＩＤ＿Ｒ）、第２鍵ノード１０６ｂのＩＤ（ＫＩＤ＿Ｒ）、および第３ノンス（例：Ｎ＿ＩＲ）に基づいて、鍵選択アルゴリズム／関数を使用して、分散鍵のセットから鍵を選択する。レシーバエンドポイント１０４ｂのＩＤ＿Ｒは、レシーバエンドポイント１０４ｂと第２鍵ノード１０６ｂとの認証時に、第２鍵ノード１０６ｂによって受信または導出される可能性があることに留意されたい。第２鍵ノード１０６ｂが使用する鍵選択アルゴリズム／関数は、プロセス２５０のステップ２５２で第１鍵ノード１０６ａが使用した鍵選択アルゴリズム／関数と同じである。鍵選択アルゴリズム／関数は、ハッシュ関数に基づいてもよい。つまり、第１鍵ノードと第２鍵ノードが同じ分散鍵セットを持ち、第２鍵ノードが同じ入力を鍵選択アルゴリズム／関数に提供できる入力セットを渡された場合、第２鍵ノード１０６ｂによって選択される鍵は、プロセス２５０のステップ２５２で第１鍵ノード１０６ａによって選択される鍵と同じである。

【0176】

ステップ２６３では、第２鍵ノード１０６ｂは、ＢｉｌｏｃａｔｉｏｎＫｅｙの導出／生成に使用するランダムなレシーバアンチリプレイノンスを生成する。

【0177】

ステップ２６４では、第２鍵ノード１０６ｂは、選択された鍵と、少なくともＩＤ＿Ｉ、ＫＩＤ＿Ｉ、レシーバエンドポイント１０４ｂのＩＤ（例：ＩＤ＿Ｒ）、第２鍵ノード１０６ｂのＩＤ（例：ＫＩＤ＿Ｒ）、第３ノンス（例：Ｎ＿ＩＲ）、受信したイニシエータまたは第１アンチリプレイノンスに基づきＩｎｔ＿Ｂｉｌｏｃａｔｉｏｎ＿Ｋｅｙを生成する。例えば、Ｉｎｔ＿Ｂｉｌｏｃａｔｉｏｎ＿Ｋｅｙは、少なくとも選択された鍵、第１アンチリプレイノンス、及び少なくともＩＤ＿Ｒ、ＫＩＤ＿Ｒ、ＩＤ＿Ｉ、ＫＩＤ＿Ｉ、及び受信した第３ノンスのハッシュに基づいている。

【0178】

ステップ２６５では、第２鍵ノード１０６ｂは、Ｉｎｔ＿Ｂｉｌｏｃａｔｉｏｎ＿Ｋｅｙと受信者または第２アンチリプレイノンスを組み合わせることに基づいて、ＢｉｌｏｃａｔｉｏｎＫｅｙを生成する。例えば、これはＩｎｔ＿Ｂｉｌｏｃａｔｉｏｎ＿Ｋｅｙと第２アンチリプレイノンスのハッシュに基づいてもよい。

【0179】

ステップ２６６では、第２鍵ノード１０６ｂは、図２ａから図２ｅのプロセス２００、２１０、２３０、２４０、２５０に基づいて、及び／又は本書で説明するように、最終鍵を確立する際にレシーバエンド１０４ｂとイニシエータデバイス１０４ａが使用するために、ＢｉｌｏｃａｔｉｏｎＫｅｙとレシーバ又は第２アンチリプレイノンス（例：プロセス２４０中のステップ２４５における第５ノンス）をレシーバデバイス１０４ｂに送信する。

【0180】

【0181】

図２ｇは図１ａ、図１ｂ及び／又は図１ｃのシステム１００、１１０及び／又は１２０と共に使用するため、及び／又は本発明の具体的な実施形態を参照してセッション確立プロトコル／プロセス２００、２１０、２３０、２４０、２５０、及び／又は２６０を修正するための、別の例示的な鍵確立プロセス２７０を示すフロー図表である。簡単のため、図１ａ、図１ｂ及び／又は図１ｃの参照番号は、同一または類似の構成要素に再利用される。鍵確立プロセス２７０は、以下のステップを１つ以上含む：

【0182】

ステップ２７１では、システムの初期化が、少なくとも対応する鍵ノード（ＫＮｏｄｅｓ）１０６ａ、１０６ｂのペアの各々が同じ分散鍵セットにアクセスでき、各々が一意のＫＮｏｄｅ識別子（ＩＤ）を持ち、各々が自身のＩＤ鍵を持つことを保証するために実行されうる。このＩＤ鍵は安全なチャネル１０７ｃ（又は量子安全なチャネル１１７ｃ）を介してＫＮｏｄｅ１０６ａ－１０６ｂのペア間で共有される。各ＫＮｏｄｅの分散鍵セットは一意の対称鍵セットであってもよい。オプションとして、及び／又は前述のように、分散鍵は、一致するか、又は対応する少なくとも１つのＫＮｏｄｅ１０６ａ又は１０６ｂによって安全にアクセス可能なｅＨＳＭ（例：対応するＯＧＲに接続されたＨＳＭ１０８ａ－２及び１０８ｂ－２）に格納されてもよく、暗号化処理は、対応するＫＮｏｄｅ１０６ａ又は１６ｂなどに代わってＨＳＭ内で実行されることがある。

【0183】

ステップ２７２では、イニシエータエンドポイント１０４ａとレシーバエンドポイント１０４ｂとの間の第１ハンドシェイクにおいて、イニシエータエンドポイント１０４ａは、レシーバエンドポイント１０４ｂの固有ＩＤであるＩＤ＿Ｒ、レシーバエンドポイントが接続するＫＮｏｄｅ１０６ｂの固有ＩＤであるＫＩＤ＿Ｒ（これはイニシエータエンドポイントが接続するＫＮｏｄｅ１０６ａとは異なるＫＮｏｄｅ１０６ｂである）、及びレシーバランダムノンスであるＮ＿Ｒを代表する第１ハンドシェイクデータを要求する。レシーバエンドポイント１０４ｂは、Ｎ＿Ｒをランダムに生成し、要求された全ての第１ハンドシェイクデータ情報（例：Ｎ＿Ｒ、ＫＩＤ＿Ｒ、ＩＤ＿Ｒ）をイニシエータエンドポイント１０４ａに送信する。

【0184】

ステップ２７３では、第１ハンドシェイクデータがイニシエータエンドポイント１０４ａによって受信されると、イニシエータエンドポイント１０４ａは、ＫＮｏｄｅ１０６ａに中間ＢｉｌｏｃａｔｉｏｎＫｅｙリクエストを送信する。これは、イニシエータエンドポイント１０４ａがイニシエータランダムノンスＮ＿Ｉを生成し、これ（例：ＸＯＲ関数やハッシュ型演算により）を受信したＮ＿Ｒ（ステップ２０２で受信）と組み合わせることで複合イニシエータ／レシーバランダムノンス、Ｎ＿ＩＲを生成するために実行される。イニシエータエンドポイント１０４ａは、Ｋｎｏｄｅ１０６ａとセキュアチャネル１０５ａ（又は量子セキュアチャネル１１５ａ）をオープンする。ＫＮｏｄｅ１０６ａはＫＮｏｄｅ１０６ｂと異なる固有ＩＤ、ＫＩＤ＿Ｒを持つ。イニシエータエンドポイント１０４ａとのセキュアチャネル１０５ａの開通時に、ＫＮｏｄｅ１０６ａはイニシエータエンドポイント１０４ａの識別子ＩＤ＿Ｉを（例：認証などにより）証明される。イニシエータエンドポイント１０４ａは、中間ＢｉｌｏｃａｔｉｏｎＫｅｙ（ＩＢＫ）リクエストデータパケットをＫＮｏｄｅ１０６ａに送信し、ここでは、ＩＢＫリクエストデータパケットは複合ノンスＮ＿ＩＲ、レシーバエンドポイント／デバイス１０４ｂの固有ＩＤ、ＩＤ＿Ｒ、ＫＮｏｄｅ１０６ｂの固有ＩＤ、ＫＩＤ＿Ｒの代表データを含む。

【0185】

ステップ２７４では、ＫＮｏｄｅ１０６ａは、イニシエータエンドポイント１０４ａとのセキュアチャネル１０５ａ経由で、ＩＢＫリクエストを受信した後、ＫＮｏｄｅ１０６ａに割り当てられた分散鍵のセットから、ＩＤ＿Ｉ、ＫＩＤ＿Ｒ、Ｎ＿ＩＲを含むＩＢＫリクエストデータパケットの受信データに基づく鍵選択アルゴリズムを使用して、Ｋ＿Ｑを選択する。鍵選択アルゴリズムは、ＩＢＫリクエストデータパケット、ＩＤ＿Ｉ、ＫＩＤ＿Ｒ、Ｎ＿ＩＲの組み合わせを代表するデータのハッシュに基づいてもよい。ＫＮｏｄｅ１０６ｂもＫＮｏｄｅ１０６ａと同じ分散鍵セットを持つことを留意されたい。ＫＮｏｄｅ１０６ａはまた、ランダムなイニシエータアンチリプレイノンスＮ＿ＲＥＰＩを生成し、少なくともＮ＿ＩＲ、ＩＤ＿Ｉ、ＩＤ＿Ｒ、ＫＩＤ＿Ｒ、Ｋ＿Ｑ、Ｎ＿ＲＥＰＩを代表するデータを、限定はしないが、例えばハッシュ関数、ＸＯＲ関数、鍵選択などの様々な演算を用いて処理することにより、中間ＢｉｌｏｃａｔｉｏｎＫｅｙＫ＿ＩＢＫを生成する。ＫＮｏｄｅ１０６ａは、生成されたＩＢＫ、Ｋ＿ＩＢＫ、及びアンチリプレイノンスＮ＿ＲＥＰＩを代表するデータを含むＩＢＫ応答パケットをイニシエータエンドポイント１０４ａに送信する。ＫＮｏｄｅ１０６ａは、ＩＢＫ応答パケットをイニシエータエンドポイント１０４ａに送信した後、生成されたＫ＿ＩＢＫを削除又は除去してもよい。

【0186】

ステップ２７５では、イニシエータエンドポイント１０４ａとレシーバエンドポイント１０４ｂ間で、量子セキュア又は古典セキュアな接続／チャネルを介して、第２ハンドシェイクプロセスが実行される。イニシエータエンドポイントは、レシーバエンドポイント１０４ｂに対して、イニシエータの固有ＩＤであるＩＤ＿Ｉ、。イニシエータエンドポイント１０４ａによって使用されるＫＮｏｄｅ１０６ａの固有ＩＤであるＫＩＤ＿Ｉ、ステップ２０３で生成されたランダムなイニシエータノンスＮ＿Ｉ、及びイニシエータアンチリプレイノンスＮ＿ＲＥＰＩを代表する第２ハンドシェイクデータを送信する。

【0187】

ステップ２７６では、イニシエータエンドポイント１０４ａから第２ハンドシェイクデータを受信すると、レシーバエンドポイント１０４ｂは、ＢｉｌｏｃａｔｉｏｎＫｅｙリクエストをＫＮｏｄｅ１０６ｂに送信する。これは、レシーバエンドポイント１０４ｂが、（例：ＸＯＲ関数やハッシュ関数を用いて）複合ノンスＮ＿ＩＲをランダムレシーバノンスＮ＿Ｒ（ステップ２０２で作成）と受信したランダムなイニシエータノンＮ＿Ｉ（ステップ２０５で受信）（ステップ２０２で受信）を使用して形成または作成することにより実行される。レシーバエンドポイント１０４ｂは、Ｋｎｏｄｅ１０６ｂとセキュアチャネル１０５ｂ（又は量子セキュアチャネル１１５ｂ）をオープンする。ＫＮｏｄｅ１０６ｂはＫＮｏｄｅ１０６ａとは異なる固有ＩＤＫＩＤ＿Ｉを持つ．レシーバエンドポイント１０４ｂとのセキュアチャネル１０５ｂを開いている間、ＫＮｏｄｅ１０６ｂはレシーバエンドポイント１０４ｂの識別子ＩＤ＿Ｒを（例：認証などにより）推測する。レシーバエンドポイント１０４ｂは、ＫＮｏｄｅ１０６ｂにＢｉｌｏｃａｔｉｏｎＫｅｙ（Ｋ＿ＢＫ）リクエストデータパケットを送信し、Ｋ＿ＢＫリクエストデータパケットは、複合ノンスＮ＿ＩＲ、イニシエータエンドポイント／デバイス１０４ａの固有ＩＤＩＤ＿Ｉ、ＩＳＫを収集するためにｃが使用するＫＮｏｄｅ１０６ａの固有ＩＤＫＩＤ＿Ｉ、及びイニシエータアンチリプレイノンスＮ＿ＲＥＰＩを代表するデータを含む。

【0188】

ステップ２７７では、ＫＮｏｄｅ１０６ｂは、レシーバエンドポイント１０４ｂとのセキュアチャネル１０５ｂを介してＫ＿ＢＫリクエストを受信すると、ＢｉｌｏｃａｔｉｏｎＫｅｙ（Ｋ＿ＢＫ）を確立、ないしＢｉｌｏｃａｔｉｏｎＫｅｙ確立操作を実行し、ＫＮｏｄｅ１０６ｂに割り当てられた分散鍵セットからステップ２０４でＫｎｏｄｅ１０６ａが使用したＫ＿ＢＫリクエストデータパケット、ＩＤ＿Ｉ、ＫＩＤ＿Ｉ、Ｎ＿ＩＲに基づき、ＫＮｏｄｅ１０６ａが分散鍵セットからＫ＿Ｑを選択するために導出したのと同じインデックス又は場所を出力する鍵選択アルゴリズムを用いて鍵Ｋ＿Ｑを選択する。鍵選択アルゴリズムは、Ｋ＿ＢＫリクエストデータパケット、ＩＤ＿Ｉ、ＫＩＤ＿Ｒ、及びＮ＿ＩＲの組み合わせを代表するデータのハッシュに基づいてもよい。ＫＮｏｄｅ１０６ｂがＫＮｏｄｅ１０６ａと同じ分散鍵セットを持つ場合、同じ入力で同じ鍵選択アルゴリズムを使用することにより、ＫＮｏｄｅ１０６ｂは分散鍵セットから同じＫ＿Ｑを選択することができる。ＫＮｏｄｅ１０６ｂはまた、ランダムなレシーバアンチリプレイノンスＮ＿ＲＥＰＲを生成し、ＢｉｌｏｃａｔｉｏｎＫｅｙ（Ｋ＿ＢＫ）を生成する。ＫＮｏｄｅ１０６ａは、少なくともＮ＿ＩＲ、ＩＤ＿Ｉ、ＩＤ＿Ｒ、ＫＩＤ＿Ｒ、Ｋ＿Ｑ、Ｎ＿ＲＥＰＩを代表するデータを、同じ様々な演算を用いて処理すること限定するわけではないが、例えば、ＫＮｏｄｅ１０６ａがステップ２０４でＩＢＫ（Ｋ＿ＩＢＫ）を生成する際に使用したのと同じハッシュ関数、ＸＯＲ関数、鍵選択などによりＢｉｌｏｃａｔｉｏｎＫｅｙ（Ｋ＿ＢＫ）を生成する。ＫＮｏｄｅ１０６ａは、Ｋ＿ＩＢＫとＮ＿ＲＥＰＲとの結合に基づいて、ＢｉｌｏｃａｔｉｏｎＫｅｙＫ＿ＢＫも作成する。
ＫＮｏｄｅ１０６ｂは、生成されたＫ＿ＢＫとアンチリプレイレシーバノンスＮ＿ＲＥＰＲの代表データを含むＢｉｌｏｃａｔｉｏｎＫｅｙ（Ｋ＿ＢＫ）応答パケットをレシーバエンドポイント１０４ｂに送信する。ＫＮｏｄｅ１０６ｂは、Ｋ＿ＢＫ応答パケットをレシーバエンドポイント１０４ｂに送信した後、生成されたＫ＿ＢＫを削除または除去することができる。

【0189】

ステップ２７８では、レシーバエンドポイント１０４ｂとイニシエータエンドポイント１０４ａによって両者の間のセキュアなコネクション（例：量子セキュアチャネルや古典セキュアチャネル）を介した第３ハンドシェイクプロセスが実行される。レシーバエンドポイント１０４ｂは、固有レシーバアンチリプレイノンスＮ＿ＲＥＰＲを代表する第３ハンドシェイクデータをイニシエータエンドポイント１０４ａに送信する。レシーバアンチリプレイノンスＮ＿ＲＥＰＲを受信すると、イニシエータエンドポイント１０４ａは、ステップ２０７でレシーバエンドポイント１０４ｂが受信したＢｉｌｏｃａｔｉｏｎＫｅｙＫ＿ＢＫを、ステップ２０４でイニシエータエンドポイント１０４ａが受信したＫ＿ＩＢＫと受信したＮ＿ＲＥＰＲを用いて生成する。ここでイニシエータエンドポイント１０４ａとレシーバエンドポイント１０４ｂの双方は、同じＢｉｌｏｃａｔｉｏｎＫｅｙ、Ｋ＿ＢＫを所持しているが、イニシエータエンドポイント１０４ａとレシーバエンドポイント１０４ｂの各パーティは、異なる地理的位置にルーティングされたＫ＿ＢＫのコピーを受信している。

【0190】

ステップ２７９では、イニシエータエンドポイント１０４ａとレシーバエンドポイント１０４ｂは、共にＢｉｌｏｃａｔｉｏｎＫｅｙＫ＿ＢＫを用いて最終鍵の確立を行う。例えば、イニシエータエンドポイント１０４ａとレシーバエンドポイント１０４ｂは、ＢｉｌｏｃａｔｉｏｎＫｅｙＫ＿ＢＫと複合イニシエータレシーバノンスＮ＿ＩＲとの組み合わせに基づいて、同じ最終鍵Ｋ＿Ｓを生成することができる。別の例では、イニシエータとレシーバのエンドポイント１０４ａと１０４ｂは、対応するチャレンジノンスＣ＿ＩとＣ＿Ｒをそれぞれ生成し、互いに送信するチャレンジ／レスポンスプロトコル／プロセスを実行することができる。各エンドポイント１０４ａ又は１０４ｂは、それぞれ、対応する受信したチャレンジノンスＣ＿ＩとＣ＿ＲをＢｉｌｏｃａｔｉｏｎＫｅｙＫ＿ＢＫと組み合わせて、対応するチャレンジレスポンスＲ＿Ｉ又はＲ＿Ｒを計算する。チャレンジレスポンスＲ＿ＩまたはＲ＿Ｒは、それぞれイニシエータ又はレシーバエンドポイント１０４ａ又は１０４ｂから送信され、受信したチャレンジレスポンスＲ＿Ｒ又はＲ＿Ｉがイニシエータ及びレシーババイス１０４ａ－１０４ｂによってそれぞれ確認されると、チャレンジレスポンスＸ＿ＩとＸ＿Ｒの対応する未送信部分の組み合わせ（例：ＸＯＲ関数やハッシュ関数を使用）によって鍵Ｋ＿Ｓが生成される。

【0191】

その後、イニシエータエンドポイント１０４ａとレシーバエンドポイント１０４ｂは、限定するわけではないが、例えば通信チャネル及び／又はその間に通信されるデータを暗号化するため、及び／又は他の目的のために、最終鍵、Ｋ＿Ｓを使用して通信セッションを開始する。この例では、最終鍵はイニシエータエンドポイント１０４ａとレシーバエンドポイント１０４ｂの間の通信チャネルをセキュアにするために使用されるが、これはあくまで例であり、本発明はそのように限定されるものではなく、イニシエータエンドポイント１０４ａとレシーバエンドポイント１０４ｂで同じである最終鍵は、任意の適切な目的、暗号操作、暗号アプリケーション、システム、データ及び／又は通信のセキュア化等、それらの組み合わせ、それらの修正、本書で説明される通り、及び／又はアプリケーションの要求に応じて使用され得ることが当業者には理解されよう。．

【0192】

第１鍵ノード（例：ＫＮｏｄｅＡ）と第２鍵ノード（例：ＫＮｏｄｅＢ）は異なる地理的位置（例えばＫＮｏｄｅＡｏＫＮｏｄｅＢ）にあるものとして図２ａ－２ｇで説明されているが、これは簡単のため、例示のためであって、本発明はそのように限定されるものではなく、本発明による、及び／又は図２ａ－２ｇを参照して本書で説明される、及び／又は本書で説明される鍵確立システム、装置及びプロセスは、第１鍵ノードと第２鍵ノードが同じ鍵ノードである場合、同じ鍵ノード上の２つの異なる論理的な位置を有する場合、又は、同じ論理的な鍵ノードである場合（例：ＫＮｏｄｅＡ＝＝ＫＮｏｄｅＢ）、イニシエータエンドポイント／デバイスとレシーバエンドポイント／デバイスの両方が、２つの異なるＫＮｏｄｅの地理的に配置された２つの異なるサーバ／コンピューティングデバイスではなく、ＫＮｏｄｅまたは論理ＫＮｏｄｅの同じサーバ／コンピューティングデバイスと通信し、結果として生じるＫＮｏｄｅは、イニシエータエンドポイント／デバイスとレシーバエンドポイント／デバイスの間で鍵を確立する際に、対応するエンドポイント／デバイスのためにＢｉｌｏｃａｔｉｏｎＫｅｙまたは中間ＢｉｌｏｃａｔｉｏｎＫｅｙを生成するために使用する、「それ自身と共有する鍵（即ち、それ自身が所有する、又は知っている鍵）」の集合（例：ＱＫＤ鍵配列からのＱＫＤ鍵）から鍵を選択するように構成されることが当業者には理解されるであろう。

【0193】

図３ａ－３ｄは、鍵確立プロセス３００のさらなる例を示す信号フローシーケンス図表である。図１ａ及び／又は図１ｂのシステム１００及び／又は図２ａ－図２ｇのセッション確立プロトコル／プロセス２００、２１０、２３０、２４０、２５０、２６０及び／又は２７０は、図３ａから図３ｄを参照して説明した鍵確立プロセス３００のステップ及び／又はプロセスに基づいてそれらの組合せ、本書で説明するようなそれらの変更、及び／又はアプリケーションの要求に応じて、さらに変更することができる。簡単のため、図１ａ及び／又は図１ｂの参照番号は、同一または類似の構成要素に再利用される。鍵確立プロセス３００は、図３ａ－図３ｄを参照した信号フローシーケンスによって説明される。

【0194】

図３ａは、図１ａ、図１ｂ及び／又は図１ｃのクラウドシステム１００、量子クラウドシステム１１０及び／又は１２０、特に、対応する第１及び第２鍵ノード１０６ａ及び１０６ｂ（例：ＫＮｏｄｅＩ及びＫＮｏｄｅＲ）が、鍵確立プロトコル／プロセス３００で使用されるように適切に構成されていることを確認するために必要となり得るシステム初期化プロセス３０１を説明する。クラウドシステム１００又は量子クラウドシステム１１０又は１２０が適切にセットアップされていると仮定すると、図３ｂは、第１ハンドシェイクプロセス３１０による鍵確立プロトコル／プロセス３００の開始を示す信号フローシーケンス図を含み、鍵確立プロトコル／プロセス３００の中間ＢｉｌｏｃａｔｉｏｎＫｅｙ（ＩＢＫ）リクエストプロセス３１５及びＩＢＫ確立プロセス３２０に続く。図３ｃは、図３ｂに続く信号フローシーケンス図であり、第２のハンドシェイクプロセス３３０、ＢｉｌｏｃａｔｉｏｎＫｅｙ（ＢＫ）リクエストプロセス３３５、ＢＫ確立プロセス３４０、鍵確立プロトコル／プロセス３００の最終ハンドシェイクプロセス３５０を示す信号フローシーケンス図である。
最後に、図３ｄは、図３ｃに続いて、イニシエータ及びレシーバエンドポイント１０４ａと１０４ｂの間で最終鍵を確立するための少なくとも２つのオプション３５５と３６０を示す信号フロー図である。最終鍵は、例えばイニシエータ及びレシーバエンドポイント１０４ａと１０４ｂの間のセキュアな通信セッションで使用するため、及び／又は他の適切な目的のために、限定することなく使用することができる。

【0195】

図３ａを参照すると、鍵確立プロセス３００のシステム初期化プロセス３０１は、セッション確立プロセス３００に関与する鍵ノード１０６ａと１０６ｂ（例：ＫＮｏｄｅＩとＫＮｏｄｅＲ）の間でＫＮｏｄｅＩＤ／識別子を共有するステップを含む。これに続いて、限定はしないが、例えば、衛星１１９及び衛星チャネル１１９ａ、１１９ｂを介した衛星量子鍵配布システム、地上局１０８ａ－２／１０８ｂ－２及び対応するファイバーリンク１１９ｃを用いた地上ファイバーベースの量子鍵配布システム１１９ｃ、又は、古典的又は手動チャネル１０９ａ、１０９ｂ等を用いた古典的鍵配布システム等の他のタイプの鍵配布システム１０９を用いた鍵セット又は分散鍵の配布、これらの組み合わせ、これらの変更、及び／又はアプリケーションの要求に応じた配布が行われる。

【0196】

衛星量子鍵配布システム１１９、地上量子鍵配布システム、またはその他の鍵配布システム１０９について説明したが、これは例示であり、本発明はそれほど限定されるものではなく、これらの量子鍵配布システム又は古典的な鍵配布システムは、限定されることなく、これらと置き換えてもよいことが当業者には理解されよう。例えば、配布された鍵が鍵ノード１０６ａ、１０６ｂに安全に配布され、及び／又は鍵ノード１０６ａ、１０６ｂによってアクセスされる限り、鍵のセットを安全に配布するための、任意の他の適切なタイプの量子鍵配布システム又は非量子鍵配布システム、任意の他のワンタイムパッド又は暗号鍵配布システム、「ブリーフケースを持った男」又は他の手動鍵配布システムなどである。セキュリティを高めるために、量子安全または量子安全な方法であってもよいが、限定するものではないが、例えば、非量子安全または古典安全な方法であってもよい。鍵のセットが鍵ノード１０６ａおよび１０６ｂの双方に配布され、及び／又は鍵ノード１０６ａおよび１０６ｂの双方にアクセス可能になると、各鍵ノード１０６ａおよび１０６ｂについて同じである分散鍵のセットが分散鍵プールに配置／プールされる。各鍵ノード１０６ａ、１０６ｂの分散鍵プールは、他の分散鍵や、鍵ノード１０６ａ、１０６ｂの両方にとって同じである分散鍵のセットも含むことができる。

【0197】

代替的または付加的に、あるいはオプションとして、ＫＮｏｄｅ１０６ａ及び１０６ｂの各々は、ＨＳＭ（例：図１ａ及び図１ｂのＨＳＭ１０８ａ－１及び１０８ｂ－１）にアクセスすることができる。この場合、対応するＫＮｏｄｅ１０６ａ又は１０６ｂが鍵セットの平文鍵を見ることがないように、対応するＨＳＭ１０８ａ－１又は１０８ｂ－１において、対応するＫＮｏｄｅ１０６ａ又は１０６ｂに代わって分散鍵又は鍵セットの分散鍵を含む以下の暗号処理が実行される。
この場合、ＫＮｏｄｅ１０６ａ及び１０６ｂは、各ＨＳＭにおいて、分散鍵セットの分散鍵ＩＤの一致する配列を実質的に有し、分散鍵セットの特定の鍵を選択する際に、分散鍵ＩＤを使用してＨＳＭ内の分散鍵を参照／選択し、分散鍵の選択を可能にする。この例では、鍵ノード１０６ａ及び１０６ｂの各々は、同じ分散鍵セットにアクセスすることができ、鍵ノード１０６ａ及び１０６ｂ内に格納されている、及び／又は鍵ノード１０６ａおよび１０６ｂの各々がアクセス可能なＨＳＭから安全な方法でアクセスすることができる。さらなるセキュリティのために、図１ｂ又は図１ｃの量子ネットワーク１１２及び／又は１２２を参照して説明したように、量子安全または量子安全な方法であってもよい。

【0198】

鍵確立プロセス３００のシステム初期化プロセス３０１は、以下のステップを含む：

【0199】

ステップ３０２ａでは、第１鍵ノード１０６ａ（例：ＫＮｏｄｅＩ）は、それ自身固有のＩＤ（例：ＫＩＤ＿Ｉ）を生成する。

【0200】

ステップ３０２ｂでは、第２鍵ノード１０６ｂ（例：ＫＮｏｄｅＲ）は、それ自身固有のＩＤ（例：ＫＩＤ＿Ｉ）を生成する。

【0201】

ステップ３０３ａでは、第１鍵ノード１０６ａ（例：ＫＮｏｄｅＩ）は、独自の識別鍵（例：ＫＩＤ＿Ｒ）を生成する。

【0202】

ステップ３０３ｂでは、第２鍵ノード１０６ｂ（例：ＫＮｏｄｅＲ）は、独自の識別鍵（例：ＫＩＤ＿Ｒ）を生成する。

【0203】

ステップ３０４では、鍵配布システムにより、鍵ノードの各一対に、一意の共通鍵プール又は共通鍵セットが提供される。従って、鍵ノードのペア内の各鍵ノードは、同じ分散鍵セット又はプールにアクセスできる。これらは対称暗号鍵である。例えば、ステップ３０４ａにおいて、システム１００が図１ｂで説明したような衛星ＱＫＤシステム１１０である場合、量子セキュアネットワーク１１２を有する量子クラウドシステム１１０においてＫＮｏｄｅの固有なペアを形成することができる第１及び第２鍵ノード１０６ａ、１０６ｂについて、衛星ＱＫＤシステム１１０は、ＫＮｏｄｅ１０６ａ及び１０６ｂの各ペアに、衛星ＱＫＤセキュアチャネル１１９ａ及び１１９ｂを介して、いわゆるＫＥＹＰＯＯＬを形成するために使用され得る対称量子分散鍵の固有のプールを提供するように構成され、この場合、ＫＮｏｄｅ１０６ａ及び１０６ｂのペアに固有の量子分散鍵のセットを含む。量子分散鍵セットを含むＫＥＹＰＯＯＬ内の量子分散鍵の数は１以上であってもよい。別の例では、ステップ３０４ｂにおいて、システム１００が、量子クラウドシステムを形成し得る量子セキュアネットワーク１２２を有する地上波ＱＫＤシステム１２０であり得る場合、地上波ＱＫＤシステム１２０においてＫＮｏｄｅの固有なペアを形成し得る第１及び第２鍵ノード１０６ａ及び１０６ｂに対して、地上波ＱＫＤシステム１２０は、地上波ＱＫＤセキュアチャネル１１９ｃを介して、ＫＮｏｄｅ１０６ａおよび１０６ｂの各組に固有の対称鍵プールを提供し、ＫＮｏｄｅ１０６ａ及び１０６ｂの組に固有の量子分散鍵セットを含む、いわゆるＫＥＹＰＯＯＬを形成するように構成される。量子分散鍵セットを含むＫＥＹＰＯＯＬ内の量子分散鍵の数は１以上であってもよい。別の例では、ステップ３０４ｃにおいて、システム１００は、セキュアネットワーク１０２を有するシステム１００においてＫＮｏｄｅの一意なペアを形成し得る第１及び第２の鍵ノード１０６ａ及び１０６ｂに対して、図１ａで説明したようなシステム１００は、ＳＱＫＤ又は地上波ＱＫＤ以外の鍵配布システム１０９を含み、ＫＮｏｄｅ１０６ａ、１０６ｂの各ペアに、各ノード１０６ａ、１０６ｂでいわゆるＫＥＹＰＯＯＬを形成するために使用され得る安全なチャネル１０９ａ、１０９ｂを介した対称分散鍵の一意のプールを提供するように構成される。この場合のＫＥＹＰＯＯＬには、ＫＮｏｄｅ１０６ａと１０６ｂのペアに固有の分散鍵のセットが含まれる。いずれにせよ、ステップ３０４において、第１鍵ノード１０６ａと第２鍵ノード１０６ｂの各々は、同じ分散鍵セット（例：古典分散鍵や量子分散鍵など）を受信するように構成される。

【0204】

ステップ３０５及び３０５ｂでは、第１及び第２鍵ノードは、それぞれの分散鍵セットを構築する。例えば、ｉ及びｒがそれぞれ第１及び第２鍵ノードを示す場合、すべての有効なｐについて、鍵プールＫＮｏｄｅ［ｉ］
．ＫＥＹＰＯＯＬ［ｐ］
＝ＫＮｏｄｅ［ｒ］
．ＫＥＹＰＯＯＬ［ｐ］
などである。オプションとして、ＫＮｏｄｅ１０６ａ、１０６ｂが生の分散鍵にアクセスできないようにするため、ＫＥＹＰＯＯＬに分散鍵（例：ＱＫＤ鍵）から派生した鍵の集合を入れることもできる。ソルトハッシュ（又は他のランダム値）を使用する場合、ＫＮｏｄｅ１０６ａと１０６ｂの両方で既知である鍵が置かれた配列のスロットのインデックスにソルトが設定されない限り、ＫＥＹＰＯＯＬ内の同じ鍵セットが両方の場所で一致することを保証するために、ソルト（又はランダム値）をＫＮｏｄｅのペア間で安全に共有する必要がある。

【0205】

ステップ３０６ａでは、第１鍵ノード１０６ａ（例：ＫＮｏｄｅＩ）は、そのＩＤ（例：ＫＩＤ＿Ｉ）と識別鍵（例：Ｋ＿Ｉ）をシステム１００（又は量子クラウドシステム１１０や１２０）内の他の鍵ノードと、限定するわけではないが、例えば第２鍵ノード１０６ｂ（Ｋｎｏｄｅ＿Ｒ）と、１つ以上の安全なチャネル（例：量子セキュアチャネル）を介して共有する。

【0206】

ステップ３０６ｂでは、第２鍵ノード１０６ｂ（例：ＫＮｏｄｅＲ）は、そのＩＤ（例：ＫＩＤ＿Ｒ）と識別鍵（例：Ｋ＿Ｒ）を量子クラウドシステム１００内の他の全ての鍵ノード、限定するわけではないが、例えば第１鍵ノード１０６ａ（Ｋｎｏｄｅ＿Ｉ）と、１つ以上の安全なチャネル（又は量子セキュアチャネル）を介して共有する。

【0207】

ステップ３０７では、第２鍵ノード１０６ｂ（例：ＫＮｏｄｅＲ）は、受信した各ＫＮｏｄｅＩＤと他のすべての鍵ノードのＫＮｏｄｅＩＤとの対応表またはルックアップテーブルを保持する。この例では、第２鍵ノード１０６ｂ（例：ＫＮｏｄｅＲ）は、第１の鍵ノード１０６ａのＫＩＤ＿ＩとＫ＿Ｉを受信し、第１鍵ノード１０６ａのＫＩＤ＿ＩとＫ＿Ｉの間のマッピングに関連して、その対応表又はルックアップテーブルを更新する。実際には、システム１００、１１０又は１２０の各ＫＮｏｄｅは、他のすべてのＫＮｏｄｅのＫＮｏｄｅＩＤとＫＮｏｄｅ識別鍵とのルックアップを保持する。

【0208】

ステップ３０８では、第１鍵ノード１０６ａ（例：ＫＮｏｄｅＩ）は、受信した各ＫＮｏｄｅＩＤと他のすべての鍵ノードのＫＮｏｄｅ識別鍵との対応表又はルックアップテーブルを保持する。この例では、第１の鍵ノード１０６ａ（ＫＮｏｄｅＩ）は、第２鍵ノード１０６ｂのＫＩＤ＿ＲとＫＩＤ＿Ｒを受信し、第２鍵ノード１０６ｂのＫＩＤ＿Ｒ、Ｋ＿Ｒ間のマッピングに関連する対応表またはルックアップテーブルを更新する。

【0209】

システム初期化プロセス３０１は、鍵ノードのペアを形成する少なくとも２つの鍵ノードが適切に初期化され、対応する鍵ノードＩＤ、鍵ノード鍵、および分散鍵のセット（例え：システム１００では古典分散鍵のセット、システム１１０又は１２０では量子分散鍵のセット）がマッピングされている限り、それ以前であればいつでも実行することができる。従って、鍵ノードは、第１デバイス／エンドポイント１０４ａ（例：イニシエータエンドポイント）及び第２デバイス／エンドポイント１０４ｂ（例：レシーバエンドポイント）に関して鍵確立プロセスの各ステップを実行する際に、適切にプロビジョニングされ、それに従って動作するものとする。

【0210】

図３ｂを参照すると、ここで第１デバイス１０４ａ（例：イニシエータエンドポイント）と第２デバイス１０４ｂ（レシーバエンドポイント）は、両者間に最終鍵を確立するために、鍵確立プロセス３００の実行を望んでいると仮定できる。例えば、両者間に確立される最終鍵は、両者間の通信セッションの安全性を確保するため、及び／又はその他の適切な目的のために使用することができる。この例では、最終鍵が、第１及び第２鍵ノード１０４６ａ、１０６ｂに安全な方法でプロビジョニングされた分散鍵のセットから選択された鍵を使用して確立されることを考えると、最終鍵も安全な鍵である。例えば、図１ｂ及び／又は図１ｃのシステム１１０及び１２０では、第１及び第２鍵ノード１０４６ａ及び１０６ｂと量子セキュアな方法で提供される量子分散鍵のセットから選択された鍵を用いて最終鍵が確立される。最終鍵の確立は、図３ａの初期化プロセス３０１及びステップ３０４を参照して説明したように、分散鍵セットを含むＫＥＹＰＯＯＬで既に初期化された鍵ノード１０６ａ及び１０６ｂを用いて、それぞれ実施され得るシステム１００、１１０及び／又は１２０並びにセキュアネットワーク１００、量子セキュアネットワーク１１２及び１２２のタイプに関連して実行され得る。

【0211】

図３ｂを参照すると、最初にイニシエータエンドポイント１０４ａは、レシーバエンドポイント１０４ｂと第１ハンドシェイクプロセス３１０（例：Ｈａｎｄｓｈａｋｅ１）を行う。鍵確立プロセス３００の第１ハンドシェイクプロセス３１０は、以下のステップを含む：

【0212】

ステップ３１１では、イニシエータエンドポイント１０４ａはレシーバエンドポイント１０４ｂとの接続をオープンする。これは、限定はしないが、例えば、アプリケーションの要求に応じてトランスポートレイヤーセキュリティ（ＴＬＳ）等やその類似を用いた古典的なセキュア通信チャネルであってもよい。イニシエータエンドポイント１０４ａは、少なくとも以下の情報を代表するデータを要求する（例：ＩＤ＿Ｒ、ＫＩＤ＿Ｒ、Ｎ＿Ｒ、任意でＮ＿Ｔを取得）。ａ）レシーバの固有ＩＤ（例：ＩＤ＿Ｒ）、ｂ）レシーバエンドポイント１０４ｂがＢｉｌｏｃａｔｉｏｎＫｅｙのコピーを収集するＫＮｏｄｅ１０６ｂのＩＤ（例：ＫＩＤ＿Ｒ）、ｃ）レシーバエンドポイントからの第１ランダムノンス（例：Ｎ＿Ｒ）、オプションとして、ｄ）「トラストレス」プロセスを保証するために、サーバーインフラと共有されることのない「トラストレス」ランダムノンス（例：Ｎ＿Ｔ）。

【0213】

ステップ３１２では、レシーバエンドポイント１０４ｂはレシーバエンドポイントから第１ランダムノンス（例：Ｎ＿Ｒ）を生成し、必要であれば、オプションとしてレシーバエンドポイント１０４ｂは「トラストレス」ランダムノンス（例：Ｎ＿Ｔ）も生成する。レシーバエンドポイント１０４ｂはＫＮｏｄｅ１０６ｂのＩＤ（例：ＫＩＤ＿Ｒ）も決定する。ここでレシーバエンドポイント１０４ｂは、ＢｉｌｏｃａｔｉｏｎＫｅｙのコピーを収集する。イニシエータエンドポイント１０４ａが使用するＫＮｏｄｅ１０６ａとレシーバエンドポイント１０４ｂが使用するＫＮｏｄｅ１０６ｂは異なるものであり、地理的にも異なる場所にあることに注意されたい。

【0214】

ステップ３１３で、レシーバエンドポイント１０４ｂは、以下の情報を代表するデータをイニシエータエンドポイントに返す（例：ＩＤ＿Ｒ、ＫＩＤ＿Ｒ、Ｎ＿Ｒ、任意でＮ＿Ｔを返す）。ａ）レシーバの固有ＩＤ（例：ＩＤ＿Ｒ）、ｂ）ＢｉｌｏｃａｔｉｏｎＫｅｙのコピーを収集する場所としてレシーバエンドポイント１０４ｂが選択するＫＮｏｄｅ１０４ｂのＩＤ（レシーバエンドポイント１０４ｂに地理的に近いものが望ましい）（例：ＫＩＤ＿Ｒ）、ｃ）レシーバによって生成された第１ランダムノンス（例：Ｎ＿Ｒ）。オプションとして、あるいは必要であれば、レシーバエンドポイント１０４ｂは、オプションの「トラストレス」ランダムノンス（例：Ｎ＿Ｔ）もイニシエータエンドポイント１０４ａに返す。従って、レシーバエンドポイント１０４ｂとイニシエータエンドポイント１０４ａの両方が、「トラストレス」ノンスＮ＿Ｔを持つ。「トラストレス」ノンスＮ＿Ｔは、最終鍵の生成中に、図３ｄの最初の鍵生成プロセス３５５において、イニシエータエンドポイント１０４ａとレシーバエンドポイント１０４ｂによって使用され、セキュアネットワーク／クラウド１０２のクラウドサービスやアプリケーション（若しくは量子セキュアネットワーク／クラウド１１２又は１２２の量子クラウドサービス）が、イニシエータエンドポイント１０４ａとレシーバエンドポイント１０４ｂの間で共有される最終鍵を決して知ることができないことを保証する。

【0215】

これにより、最初のハンドシェイク処理３１０は終了する。最初のハンドシェイクプロセス３１０の後、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂから少なくともＩＤ＿Ｒ、ＫＩＤ＿Ｒ、Ｎ＿Ｒに代表されるデータを受信すると、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａは、セッション確立プロセス３００の一部として、中間バイロケーション鍵要求プロセス３１５を実行する。図３ｂにおいて、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａが実行する中間バイロケーション鍵要求処理３１５は、以下のステップに基づく：

【0216】

ステップ３１６において、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａは、第二のランダムｎｏｎｃｅを生成する。

【0217】

ステップ３１７において、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａは、第１および第２のランダムノンス（例えばＮ＿Ｉ、Ｎ＿Ｒ）を組み合わせることに基づいて、第３の複合ノンス（例えばＮ＿ＩＲ）を生成する。例えば、ＸＯＲ型の演算、ハッシュ演算、および／またはＩｎｉｔｉａｔｏｒエンドポイント１０４ａとＲｅｃｅｉｖｅｒエンドポイント１０４ｂで複製可能な適切な関数を使用することができる。
この例では、一例としてＸＯＲ型の演算を行うが、本発明はそう限定されるものではない。この例では、第３のノンスＮ＿ＩＲは、例えばＮ＿ＩＲ＝Ｎ＿ＩＸＯＲＮ＿Ｒのように、第２のランダムノンスＮ＿ＩとＲｅｃｅｉｖｅｒから受信した第１のランダムノンスＮ＿ＲをＸＯＲして第３のノンス（複合ノンス）Ｎ＿ＩＲを生成することによって生成される。

【0218】

ステップ３１８において、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａは、以下のことに基づいて、不完全なｌｉｎｋ－ｉｎｆｏデータパケットを作成する。
ａ）Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａが、最初のキーノード、すなわちＫＮｏｄｅをせんたくする。１０６ａはＲｅｃｅｉｖｅｒエンドポイント１０４ｂによって使用されている第２のキーノードまたはＫＮｏｄｅ１０６ｂではない第１のキーノードまたはＫＮｏｄｅ１０６ａは、好ましくはＩｎｉｔｉａｔｏｒエンドポイント１０４ａに地理的に近いが、第２のキーノード１０６ｂとは地理的に異なる場所にあるキーノードである。選択されたキーノードは、例えば第１のキーノード１０６ａのように、ＫＮｏｄｅＩＤＫＩＤ＿Ｉを伴う。ｂ）Ｉｎｉｔｉａｔｏｒは、以下の代表的なデータに基づいて、不完全なｌｉｎｋ－ｉｎｆｏデータパケットＬ＿Ｉを作成する：ｉ）Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂの固有ＩＤ、ＩＤ＿Ｒ；ｉｉ）Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂがＢｉｌｏｃａｔｉｏｎＫｅｙの収集を希望するＫＮｏｄｅの固有ＩＤ、ＫＩＤ＿Ｒ；ｉｉｉ）複合Ｎｏｎｃｅのハッシュ、Ｎ＿ＩＲ’＝＃（Ｎ＿ＩＲ）、従って、Ｎ＿ＩＲ自体をエンドポイントに秘匿し、ＫＮｏｄｅが最終的なＢｉｌｏｃａｔｉｏｎＫｅｙを決定することを防ぐ；ここで、限定はしないが、例えば、リンクｉｎｆｏパケットは、Ｌ＿Ｉ＝｛ＩＤ＿Ｒ，ＫＩＤ＿Ｒ，Ｎ＿ＩＲ’｝の形をとる。

【0219】

ステップ３１９において、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａは接続をオープンし、選択した第１の鍵ノード１０６ａ（例えばＫＮｏｄｅＩ）に対して認証を行う。例えば、セキュアチャネルは、図１ａのシステム１００で説明されているような古典的なセキュアチャネル１０５ａであってもよいし、図１ｂまたは１ｃのシステム１１０または１２０で説明されているような量子セキュアチャネル１１５ａであってもよい。いずれにせよ、これは、第一の鍵ノード１０６ａが、ＩＤ＿Ｉと表記されるＩｎｉｔｉａｔｏｒエンドポイント１０４ａのＩＤを（例えば認証プロセスなどから）推測する可能性があることを意味する。例えば、鍵ノード１０６ａとＩｎｉｔｉａｔｏｒエンドポイント１０４との間の接続は、第１の鍵ノード１０６ａと共有される共通鍵で暗号化された通信路であってもよく、この共通鍵は、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａがそこに格納していてもよい。
Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａは、システム１００または量子システム１１０または１２０から、セキュアな方法（例えば、量子セキュア／セーフな方法での量子分散鍵）で共通鍵を収集するように構成されており、共通鍵は、システム１００またはシステム１１０または１２０の１つ以上のサーバ、ノード、鍵ノード等とのセキュアな通信に使用される。いずれにせよ、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａは、クラウドシステム１００（または量子クラウドシステム１１０、１２０）のネットワーク１０２（または量子ネットワーク１１２、１２２）内の第１の鍵ノード１０６ａと、セキュアな通信チャネル１０５ａ（または量子セキュア通信チャネル１１５ａ）を確立できる、または確立できるように構成されているものとする。このチャネルの認証は、ＩｎｉｔｉａｔｏｒエンドポイントのＩＤ＿Ｉが、第一の鍵ノード１０６ａ（ＫＮｏｄｅＩなど）によって推測されたこと、および／または第一の鍵ノード１０６ａに提供されたことを意味する。

【0220】

Ｉｎｉｔｉａｔｏｒは，選択されたＫＮｏｄｅＩ、すなわち第１の鍵ノード１０６ａに対して、ＢｉｌｏｃａｔｉｏｎＫｅｙ，Ｋ＿ＩＢＫ、Ｉｎｉｔｉａｔｏｒａｎｔｉ－ｒｅｐｌａｙｎｏｎｃｅ、Ｎ＿_REPI，およびチェック値Ｃを作成するよう要求し、その要求において、不完全なｌｉｎｋ－ｉｎｆｏを代表するデータを渡す。ＩＢＫリクエストは以下の形式をとることができる：（Ｋ_BK，Ｎ＿_REPI，Ｃ）＝ｃｒｅａｔｅ＿ｉｎｔｅｒｍｅｄｉａｔｅ＿ｂｉｌｏｃａｔｉｏｎ＿ｋｅｙ（（Ｌ＿Ｉ））。このように、ＫＮｏｄｅＩがＣをＮ＿ＩＲ’と等しくし、ＩｎｉｔｉａｔｏｒがＣがＮ＿ＩＲ’と等しいことを確認することで、盗聴者によるリプレイアタックを防ぐことができる。さらに、オプションとして、Ｉｎｉｔｉａｔｏｒのエンドポイント１０４ａは、非対称トランスポート鍵（ＲＳＡやＰＱＡなど）を生成し、サーバーがＩＢＫレスポンスが量子クラウドインフラを介して逆流した際に傍受されることを防ぐためにＩＢＫレスポンスを暗号化をすべきＩＢＫリクエストの中でこの鍵の公開部分ＰＫを渡すことができる。ＩＢＫリクエストは以下のような形式をとる場合がある：（｛Ｋ＿ＩＢＫ，Ｎ＿_REPI，Ｃ｝ＰＫ）＝ｃｒｅａｔｅ＿ｉｎｔｅｒｍｅｄｉａｔｅ＿ｂｉｌｏｃａｔｉｏｎ＿ｋｅｙ（Ｌ＿Ｉ，ＰＫ），ここで、｛Ｋ＿ＩＢＫ＿ＩＰＫは、鍵の公開部分ＰＫで暗号化されたＫ＿ＩＢＫを示す。さらに、オプションとして、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａは、第一の鍵ノード１０６ａが中間バイロケーション鍵Ｋ＿ＩＢＫの計算において使用する関数などを記述する追加のメタデータをＩＢＫリクエストに追加するようにさらに構成することができる。このメタデータは受信側エンドポイント１０４ｂに渡される必要があり、受信側エンドポイント１０４ｂは、第２の鍵ノード１０６ｂによって使用されるのと同じ機能を要求することができる。

【0221】

ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙが、ｐｒｏｃｅｓｓ３１５を要求した後、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙｅｓｔａｂｌｉｓｈｍｅｎｔｐｒｏｃｅｓｓ３２０を用いて、第一の鍵ノード１０６ａまたは第一の鍵ノード１０６ａに接続されたＨＳＭによって生成されるＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙ、Ｋ＿ＩＢＫの受信を待つ。本実施例では、ＩＢＫ確立プロセス３２０のステップは第１の鍵ノード１０６ａによって実行されるが、これは例示に過ぎず、本発明はそのように限定されるものではなく、ＩＢＫプロセス３２０で使用される暗号処理は、第１の鍵ノード１０６ａがアクセスすることができるＨＳＭの内部で実行されてもよく、第１の鍵ノード１０６ａに接続されてもよく、これに関連してもよく、及び／又は、第１の鍵ノード１０６ａ及び／又は第１の鍵ノード１０６ａ自体に関連する他の任意のセキュア・コンピューティング・コンポーネントによって実行されてもよく、本申請書で説明されているように、及び／又は、アプリケーションの要求に応じて、それらの組み合わせ、それらの変更が行われてもよいことが、熟練者には理解されるものとする。ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙ確立プロセス３２０は、以下のステップに基づくことができる：

【0222】

ステップ３２１において、最初のキーノード１０６ａ（例えばＫＮｏｄｅ（ｌｎｉｔｉａｔｏｒ））は、受信したｌｉｎｋ－ｉｎｆｏＬ＿Ｉを補完し、ａ）Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａの固有ＩＤ（Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａが認証したことを意味する）、ＩＤ＿Ｉと、ｂ）第１の鍵ノード（例えばＫＮｏｄｅＩ）自身の固有ＩＤ、ＫＩＤ＿Ｉを代表するデータを用いて、完全なｌｉｎｋ－ｉｎｆｏＬ’を作成する。この情報は、限定するものではないが、例えばＬ’＝（ＩＤ＿Ｉ｜｜ＫＩＤ＿Ｉ｜｜Ｌ＿Ｉ．ＩＤ＿Ｒ｜｜Ｌ＿Ｉ．ＫＩＤ＿Ｒ｜｜Ｌ＿Ｉ．Ｎ＿ＩＲ’）のような以下の完全なリンクインフォＬ’を形成するために組み合わされる。ここで｜｜は連結を表し、Ｘ．Ｙはリンクインフォ構造Ｘからの値Ｙのデリファレンスを表す。

【0223】

ステップ３２２において、第１の鍵ノード１０６ａ（例えば、ＫＮｏｄｅ（ｌｎｉｔｉａｔｏｒ）またはＫｎｏｄｅＩ）は、完全なリンクインフォであるＬ’を使用する鍵選択プロセスに基づいて、第１の鍵ノード１０６ａのＫＥＹＰＯＯＬに含まれる分散鍵のセットの中から、それが提供されている鍵を選択する（分散鍵のセットは、第２の鍵ノード１０６ｂに提供されている第２の鍵ノード１０６ｂのＫＥＹＰＯＯＬに含まれる分散鍵のセットと同じである）。例えば、鍵選択プロセスは、限定するものではないが、例えば：Ｌ’のハッシュを計算し、＃（Ｌ’）を用いて、第１の鍵ノード１０６ａと第２の鍵ノード１０６ｂの両方に関連するＫＥＹＰＯＯＬの分散鍵セットにおける選択された鍵の位置またはインデックスを提供する。すなわち、第１の鍵ノード１０６ａ（ＫＮｏｄｅ（ｌｎｉｔｉａｔｏｒ）またはＫＮｏｄｅＩ）は、＃（Ｌ’）を用いて、ＩＤがＫＩＤ＿Ｒである第２の鍵ノード１０６ｂ（例えばＫＮｏｄｅＲ）と共有されるＫＥＹＰＯＯＬの分散鍵セットからどの鍵を選択すべきかを特定する。第１の鍵ノード１０６ａ（例えばＫＮｏｄｅ（ｌｎｉｔｉａｔｏｒ）またはＫＮｏｄｅＩ）は、完全なリンクインフォＬ’に適用される適切な鍵選択アルゴリズムを用いて、ＫＥＹＰＯＯＬ（例えば共有ＱＫＤ鍵のプール）内の分散された鍵の集合から鍵Ｋ＿Ｑを選択する。例えば、鍵選択アルゴリズムは、限定はしないが、例えば、＃（Ｌ’）の低位（ｂｏｔｔｏｍ）Ｎビットを一つかいくつかを選択するとか、最下位＃（Ｌ’）を選択するとか、＃（Ｌ’）の最上位Ｎビットを選択するとか、＃（Ｌ’）のＮビットの特定部分を選択するとか、＃（Ｌ’）の低位（ｂｏｔｔｏｍ）Ｎビットとか、分散された鍵セットから鍵を選択するための一意の鍵インデックスを生成するのに適した他の任意の選択関数、および／または、鍵インデックスを選択するのに適したＳｅｌｅｃｔＫｅｙｌｎｄｅｘという名前の他の任意の関数等が挙げられる。ただし、第２の鍵ノード１０６ｂも、第１の鍵ノード１０６ａが使用するのと同じ鍵選択アルゴリズムを使用することが想定され、これにより、第１および第２の鍵ノードによって同じ鍵Ｋ＿Ｑが適宜選択されることが保証される。いずれにせよ、第１の鍵ノード１０６ａは、下記に限定するものではないが、例えば、Ｋ＿Ｑ＝ＫＥＹＰＯＯＬ［ＫＩＤ＿Ｒ］
［ＳｅｌｅｃｔＫｅｙｌｎｄｅｘ（＃（Ｌ’））］
（ここで、ＫＥＹＰＯＯＬ［ＫＩＤ＿Ｒ］
は、ＩＤがＫＩＤＲのＫＮｏｄｅ１０６ｂと共有されるＫＥＹＰＯＯＬの分散鍵の集合である）に基づいて、ＫＥＹＰＯＯＬの分散鍵の集合から鍵Ｋ＿Ｑを選択する。

【0224】

ステップ３２３において、第１の鍵ノード１０６ａ（例えばＫＮｏｄｅ（ｌｎｉｔｉａｔｏｒ）またはＫＮｏｄｅＩ）は、ランダムなＡｎｔｉ－ｒｅｐｌａｙｎｏｎｃｅＮ＿ＲＥＰＩを生成する。

【0225】

ステップ３２４で、第１の鍵ノード１０６ａ（例えばＫＮｏｄｅ（ｌｎｉｔｉａｔｏｒ）またはＫＮｏｄｅＩ）は、ＩＤ＿Ｒに関連付けられたＩＤ鍵Ｋ＿Ｒを、第１の鍵ノード１０６ａが保持するＫＮｏｄｅマッピングまたはルックアップテーブルから検索する（例えばＧｅｔＩｄｅｎｔｉｔｙＫｅｙＫ＿Ｒ＝ＩＤＥＮＴＩＴＹＫＥＹ（Ｌ＿Ｉ．ＫＩＤ＿Ｒ））。第１のキーノード１０６ａ（例えば、ＫＮｏｄｅ（ｌｎｉｔｉａｔｏｒ）またはＫＮｏｄｅＩ）は、もちろん自身のＩＤキーＫ＿Ｉを認識している。

【0226】

ステップ３２５において、最初の鍵ノード１０６ａ（例えばＫＮｏｄｅ（ｌｎｉｔｉａｔｏｒ）またはＫＮｏｄｅＩ）は、以下のデータをハッシュし、その結果をＫ＿ＩおよびＫ＿ＲとＸＯＲすることにより、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎ鍵Ｋ＿ＩＢＫを作成する。ａ）選択された鍵Ｋ＿Ｑ、ｂ）完全なリンク情報のハッシュ＃（Ｌ’）、ｃ）再生防止ノンスＮ＿ＲＥＰＩ。ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎ鍵Ｋ＿ＩＳは、限定はしないが、例えばＫ＿ＩＳ＝＃ｆＫＱ，＃（Ｌ），Ｎ＿ＲＥＰＩ）ＸＯＲＫ＿ＩＸＯＲＫ＿Ｒに基づいて作成される。

【0227】

ステップ３２６において、最初の鍵ノード１０６ａ（例えばＫＮｏｄｅ（ｌｎｉｔｉａｔｏｒまたはＫＮｏｄｅＩ）は、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙ（Ｋ＿ＩＢＫ）、チェック値Ｃ（受信したＮ＿ＩＲ’に等しい）、およびＩｎｉｔｉａｔｏｒａｎｔｉ－ｒｅｐｌａｙｎｏｎｃｅ（Ｎ＿ＲＥＰＩ）をＩｎｉｔｉａｔｏｒエンドポイント１０４ａに返信または送信する（例えばＲｅｔｕｒｎ＿Ｉｎｔｅｒｍｅｄｉａｔｅ＿Ｂｉｌｏｃａｔｉｏｎ＿Ｋｅｙ（Ｋ＿ＩＢＫ，Ｎ＿ＲＥＰＩ））。Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａは、返戻されたチェック値Ｃがハッシュ化されたｎｏｎｃｅＮ＿ＩＲ’ｉｏと一致することをチェックすることで、クライアントに対するリプレイ攻撃を防ぐことができる。値が一致しない場合、例外処理が発生する可能性がある。これが送信されると、最初の鍵ノード１０６ａ（例えばＫＮｏｄｅ（ｌｎｉｔｉａｔｏｒ）またはＫＮｏｄｅＩ）は、Ｋ＿ＩＢＫを代表するデータをゼロにするか削除する。

【0228】

ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎ鍵確立プロセス３２０の後、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａは、図３ｂのＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎ鍵確立プロセス３２０を用いて、第一の鍵ノード１０６ａによって生成／生成され、および／または第一の鍵ノード１０６ａから送信され、第一の鍵ノード１０６ａに接続／アクセス可能なＨＳＭ等を用いて生成／生成されたＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎ鍵Ｋ＿ＩＢＫを受信する。次に、鍵確立プロセス３００は、図３ｃに進み、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａとＲｅｃｅｉｖｅｒエンドポイント１０４ｂが使用するＦｉｎａｌＫｅｙを確立するための、セッション確立プロトコル／プロセス３００のＳｅｃｏｎｄＨａｎｄｓｈａｋｅプロセス３３０、ＢｉｌｏｃａｔｉｏｎＫｅｙＲｅｑｕｅｓｔプロセス３３５、ＢｉｌｏｃａｔｉｏｎＫｅｙＥｓｔａｂｌｉｓｈｍｅｎｔプロセス３４０、およびＦｉｎａｌＨａｎｄｓｈａｋｅプロセス３５０を実行する。例えば、ＦｉｎａｌＫｅｙは、その間のセキュアな通信セッションで、及び／又は、他の適切な目的で使用することができる。

【0229】

図３ｃを参照するとセッション確立プロセス３００のＩｎｉｔｉａｔｏｒデバイス１０４ａとＲｅｃｅｉｖｅｒデバイス１０４ｂ間の第２ハンドシェイクプロセス３３０は、以下のステップを含む：

【0230】

ステップ３３１において、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａは、開放されたネットワークコネクションを介してＲｅｃｅｉｖｅｒエンドポイント１０４ｂに以下のデータを送信するか、開放されていないネットワークコネクションを介する場合はＲｅｃｅｉｖｅｒエンドポイント１０４ｂと別のコネクションを利用する：ａ）Ｉｎｉｔｉａｔｏｒエンドポイントの一意なＩＤ、ＩＤ＿Ｉ、ｂ）Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａがＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙｒｅｑｕｅｓｔａｎｄｅｓｔａｂｌｉｓｈｍｅｎｔｐｒｏｃｅｓｓ（ｅｓ）３１５、３２０で使用したＫＮｏｄｅ１０６ａ（ＫＮｏｄｅＩ）の一意なＩＤ、ＫＩＤ＿Ｉ、ｃ）Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａのｎｏｎｃｅ、Ｎ＿Ｉ、ｄ）Ｉｎｉｔｉａｔｏｒのａｎｔｉ－ｒｅｐｌａｙｎｏｎｃｅ、Ｎ＿ＲＥＰＩ。これは、例えば、Ｃｒｅａｔｅ＿Ｂｉｌｏｃａｔｉｏｎ＿Ｋｅｙ（ＩＤ＿Ｉ，ＫＩＤ＿Ｉ，Ｎ＿Ｉ，Ｎ＿ＲＥＰＩ）などに限定しないが、それらに基づくコール、ＡＰＩコール、またはパケットにおいて、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａからＲｅｃｅｉｖｅｒエンドポイント１０４ｂに送信されることが考えられる。さらに、あるいはオプションとして、Ｉｎｉｔｉａｔｏｒデバイス１０４ａは、どの関数をバイロケーション鍵の計算に使用するかなどを記述した付加的なメタデータを送信することができ、それをＲｅｃｅｉｖｅｒエンドポイント１０４ｂが第二の鍵ノード１０６ｂに中継することができる。この例では、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂは、ＩＤ＿Ｉ、ＫＩＤ＿Ｉ、Ｎ＿Ｉ、Ｎ＿ＲＥＰＩを代表するデータと、Ｂｉｌｏｃａｔｉｏｎ鍵を作成する、またはＢｉｌｏｃａｔｉｏｎ鍵Ｋ＿ＢＫの作成を要求する指示またはトリガーを受信する。

【0231】

第２ハンドシェイクＰｒｏｃｅｓｓ３３０の後、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂおよび第２鍵ノード１０６ｂ（例えばＫＮｏｄｅＲ）は、鍵確立工程３００の、Ｂｉｌｏｃａｔｉｏｎ鍵要求工程３３５およびＢｉｌｏｃａｔｉｏｎ鍵確立工程３４０に進む。Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂによって実行されるＢｉｌｏｃａｔｉｏｎ鍵要求プロセス３３５は、以下のステップに基づく：

【0232】

ステップ３３６で、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂは、最初のハンドシェイクプロセス３１０のステップ３１２で先に生成されたｎｏｎｃｅＮ＿Ｒと、ステップ３３１でＩｎｉｔｉａｔｏｒエンドポイントから受信されたｎｏｎｃｅＮ＿Ｉを使用して、複合または第三のｎｏｎｃｅ、Ｎ＿ＩＲを生成する。複合または第３のノンスＮ＿ＩＲは、以下に限定するものではないが、例えばＸＯＲ型関数、ハッシュ関数、またはＸＯＲ関数などと同様の特性を持つ他の関数などの関数を使用して、第１のノンスＮ＿Ｒと第２のノンスＮ＿Ｉを結合することに基づいてもよい。例えば、Ｎ＿ＩＲ＝Ｎ＿ＩＸＯＲＮ_Rである。

【0233】

ステップ３３７では、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂは、以下を代表するデータからなる不完全なｌｉｎｋ－ｉｎｆｏデータパケットも生成する：ａ）Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａの固有ＩＤ、ＩＤ＿Ｉ；ｂ）Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａがＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎ鍵を収集した第１鍵ノード１０６ａ（例：ＫＮｏｄｅＩ）の固有ＩＤ、ＫＩＤ＿Ｉ；ｃ）複合Ｎｏｎｃｅのハッシュ、Ｎ＿ＩＲ’＝＃（Ｎ＿ＩＲ）。これにより、Ｎ＿ＩＲ自体をエンドポイントに秘匿し、ＫＮｏｄｅがｆｉｎａｌＢｉｌｏｃａｔｉｏｎ鍵を特定することを防止するもの、ｄ）複合ノンス、Ｎ＿ＩＲ；ここで、限定はしないが、例えば、不完全なリンクインフォパケットは、Ｌ＿Ｒ＝｛ＩＤ＿Ｉ，ＫＩＤ＿Ｉ，Ｎ＿ＩＲ’｝の形をとる。

【0234】

ステップ３３８において、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂは、セキュアチャネル１０５ｂ（または量子セキュアチャネル１１５ｂ）を介して接続を開き、選択した第２の鍵ノード１０６ｂ（例えばＫＮｏｄｅＲ）に対して認証を行う。このチャネルの認証は、第２の鍵ノード１０６ｂ（例えばＫＮｏｄｅＲ）にＲｅｃｅｉｖｅｒエンドポイントのＩＤ、ＩＤ＿Ｒを提供することに留意されたい。しかし、これは、セキュアな接続が確立された後などに、Ｒｅｃｅｉｖｅｒエンドポイントから明示的にセキュアに取得することもできる。第２の鍵ノード１０６ｂとのセキュアチャネル１０５ｂ（または量子セキュアチャネル１１５ｂ）上で、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂは、ＢｉｌｏｃａｔｉｏｎＫｅｙ、Ｋ＿ＢＫ、Ｒｅｃｅｉｖｅｒａｎｔｉ－ｒｅｐｌａｙｎｏｎｃｅ、Ｎ＿ＲＥＰＲ、ＢｉｌｏｃａｔｉｏｎＫｅｙＩＤ、ＩＤ＿ＢＫ、およびチェック値Ｃ（受信したＮ＿ＩＲ’に等しい）を要求する。ここにおけるＢｉｌｏｃａｔｉｏｎＫｅｙ（ＢＫ）リクエストは以下に代表されるデータを連携及び／又は含む；ａ）不完全なｌｉｎｋ－ｉｎｆｏＬ＿Ｒ；ｂ）Ｉｎｉｔｉａｔｏｒａｎｔｉ－ｒｅｐｌａｙｎｏｎｃｅＮ＿ＲＥＰＩ例えば、ＢｉｌｏｃａｔｉｏｎＫｅｙ（ＢＫ）リクエストは、限定はしないが、（Ｋ＿ＢＫ，Ｎ＿ＲＥＰＲ，ＩＤ＿ＢＫ，Ｃ）＝ｇｅｔ＿ｂｉｌｏｃａｔｉｏｎ＿ｋｅｙ（Ｌ＿Ｒ，Ｎ＿ＲＥＰＩ）に基づいてもよい。Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂは、クライアントに対するリプライ攻撃を防ぐために、返戻されたＣ値がハッシュされたノンスＮ＿ＩＲ’と一致するか確認することができる。もし、値が一致しない場合、例外措置を取ることが出来る。さらに、オプションとして、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂは、非対称トランスポート鍵（ＲＳＡやＰＱＡなど）を生成し、この鍵の公開部分ＰＫ＿Ｒをサーバーで量子クラウドインフラを介して逆流する場合に外部から傍受されるのを防ぐ目的で暗号化されたＢＫ電文で渡すこともできる。ＢＫ電文は以下のような形式をとることができる：｛（Ｋ＿ＢＫ，Ｎ＿ＲＥＰＲ，ＩＤ＿ＢＫ，Ｃ）｝ＰＫ＿Ｒ＝ｃｒｅａｔｅ＿ｂｉｌｏｃａｔｉｏｎ＿ｋｅｙ（Ｌ＿Ｒ，Ｎ＿ＲＥＰＩ，ＰＫ＿Ｒ）ここで、｛Ｋ＿ＢＫ｝ＰＫ＿Ｒは、Ｋ＿ＢＫを鍵の公開部分ＰＫ＿Ｒで暗号化したものを示す。さらに、オプションとして、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂは、第２の鍵ノード１０６ｂがＢｉｌｏｃａｔｉｏｎ鍵Ｋ＿ＢＫの計算においてどの関数を使用するかなどを記述する追加のメタデータをＢＫ電文に追加するようにさらに構成することも可能である。このメタデータは、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂが、第２のキーノード１０６ｂによって使用されるのと同じ機能を要求できるように、事前にＩｎｉｔｉａｔｏｒエンドポイント１０４ａからＲｅｃｅｉｖｅｒ側エンドポイント１０４ｂに渡される必要がある。さらに、オプションとして、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂが、第２の鍵ノード１０６ｂがＢｉｌｏｃａｔｉｏｎ鍵Ｋ＿ＢＫの計算ｎ等においてどの関数を使用するかなどを記述した追加のメタデータをＢＫ電文に含めた場合、Ｂｉｌｏｃａｔｉｏｎ鍵確立プロセス３４０は、第２の鍵ノード１０６ｂおよび／またはＨＳＭが、第１の鍵ノード１０６ａで使用されたものと同じ関数を使用するように、さらに修正されてもよい。

【0235】

Ｂｉｌｏｃａｔｉｏｎ鍵確立ｐｒｏｃｅｓｓ３４０は、この例では、第２の鍵ノード１０６ｂによって実行され得るが、Ｂｉｌｏｃａｔｉｏｎ鍵確立ｐｒｏｃｅｓｓ３４０の暗号演算が、第２の鍵ノード１０６ｂによって接続／アクセス可能なＨＳＭによって実行され得る場合、以下のステップに基づいて実行され得る：

【0236】

ステップ３４１において、第２のキーノード１０６ｂ（例えばＫＮｏｄｅ（Ｒｅｃｅｉｖｅｒ）またはＫＮｏｄｅＲ）は、Ｌ＿Ｒを補足して、ａ）Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂの一意のＩＤ（Ｒｅｃｅｉｖｅエンドポイント１０４ｂが第２の鍵ノード１０６ｂと認証したことを意味する）、ＩＤ＿Ｒ、およびｂ）第２の鍵ノード１０６ｂ（ＫＮｏｄｅＲ）自体の一意のＩＤ、ＫＩＤ＿Ｒ。このデータを組み合わせて使用して、完全なｌｉｎｋ－ｉｎｆｏＬ’を生成する。Ｌ’＝（Ｌ＿Ｒ．ＩＤ＿Ｉ｜｜Ｌ＿Ｒ．ＫＩＤ＿Ｉ｜｜ＩＤ＿Ｒ｜｜ＫＩＤ＿Ｒ｜｜Ｌ＿Ｒ．Ｎ＿ＩＲ’）ここで、｜｜は連結を表し、Ｘ．ＹはＬｉｎｋｌｎｆｏＸからの値Ｙを表す。

【0237】

ステップ３４２で、第２の鍵ノード１０６ｂ（たとえばＫＮｏｄｅ（Ｒｅｃｅｉｖｅｒ）またはＫＮｏｄｅＲ）は、第２の鍵ノード１０６ｂが保持するＫＮｏｄｅマッピングまたはルックアップテーブルから、第１の鍵ノード１０６ａのＩＤに関連付けられたＩＤ鍵Ｋ＿Ｉ、ＫＩＤ＿Ｉを検索する（たとえばＧｅｔＩｄｅｎｔｉｔｙＫｅｙＫ＿Ｉ＝ＩＤＥＮＴＩＴＹＫＥＹ（Ｌ＿Ｒ．ＫＩＤ＿Ｉ））。第２の鍵ノード１０６ｂ（例えばＫＮｏｄｅ（Ｒｅｃｅｉｖｅｒ）またはＫＮｏｄｅＲ）は、もちろん自身のＩＤ鍵Ｋ＿Ｒを認識している。

【0238】

ステップ３４３において、第２の鍵ノード１０６ｂ（例えば、ＫＮｏｄｅ（Ｒｅｃｅｉｖｅｒ）またはＫＮｏｄｅＲ）は、完全なリンクインフォＬ’を使用する鍵選択プロセスに基づいて、第２の鍵ノード１０６ｂのＫＥＹＰＯＯＬに含まれる分散鍵のセットの中から、それが提供された鍵を選択する（これらは、第１の鍵ノード１０６ａに提供された第１の鍵ノード１０６ａのＫＥＹＰＯＯＬに含まれる分散鍵のセットと同じである）。例えば、鍵選択プロセスは、以下に限定するものではないが、例えば、＃（Ｌ’）と表記されるＬ’のハッシュを計算し、＃（Ｌ’）を使用して、第１の鍵ノード１０６ａと第２の鍵ノード１０６ｂの両方に関連するＫＥＹＰＯＯＬ内の配布鍵のセットへの位置またはインデックスを提供することに基づいてもよい。すなわち、第２の鍵ノード１０６ｂ（ＫＮｏｄｅ（Ｒｅｃｅｉｖｅｒ）またはＫＮｏｄｅＲ）は、＃（Ｌ’）を使用して、ＩＤＫＩＤ＿Ｉで第１の鍵ノード１０６ａ（例えばＫＮｏｄｅＩ）と共有される第２の鍵ノード１０６ｂのＫＥＹＰＯＯＬ内の配布鍵のセットからどの鍵を選択すべきかを識別する。
第２の鍵ノード１０６ｂ（例えばＫＮｏｄｅ（Ｒｅｃｅｉｖｅｒ）またはＫＮｏｄｅＲ）は、完全なリンクインフォＬ’に適用される適切な鍵選択アルゴリズムを使用して、ＫＥＹＰＯＯＬ（または共有ＱＫＤ鍵のプール）内の分散された鍵のセットから鍵Ｋ＿Ｑを選択する。例えば、鍵選択アルゴリズムは、以下に限定するものではないが、例えば、＃（Ｌ’）の下位Ｎビット、または鍵インデックスを選択するのに有効または適切なＳｅｌｅｃｔＫｅｙＩｎｄｅｘと名づけられた他の関数に基づいてもよい。しかしながら、第１の鍵ノード１０６ａも、第２の鍵ノード１０６ｂによって使用されるのと同じ鍵選択アルゴリズムを使用することが想定され、これにより、第１および第２の鍵ノードによって同じ鍵Ｋ＿Ｑが適宜選択されることが保証される。いずれにせよ、第２の鍵ノード１０６ｂは、以下に限定するものではないが、例えば、Ｋ＿Ｑ＝ＫＥＹＰＯＯＬ［ＫＩＤ＿Ｉ］
［ＳｅｌｅｃｔＫｅｙｌｎｄｅｘ（＃（Ｌ’））］
に基づいて鍵Ｋ＿Ｑを選択する。ここで、ＫＥＹＰＯＯＬ［ＫＩＤ₁］
は、ＫＮｏｄｅ１０６ａとＩＤＫＩＤ_Iで共有されるＫＥＹＰＯＯＬ内の分散鍵の集合である。

【0239】

ステップ３４４において、第二の鍵ノード１０６ｂ（ＫＮｏｄｅ（Ｒｅｃｅｉｖｅｒ）またはＫＮｏｄｅＲ）は、以下のデータをハッシュし、その結果をＫＩおよび自身のＫ＿ＲとＸＯＲすることで、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎ鍵を生成する：ａ）選択された鍵Ｋ_Q、ｂ）完全なリンクインフォのハッシュ＃（Ｌ’）、ｃ）Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂから受信したＩｎｉｔｉａｔｏｒａｎｔｉ－ｒｅｐｌａｙｎｏｎｃｅ、Ｎ＿ＲＥＰＩｔ。ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙ鍵、Ｋ＿ＩＳは、以下に限定はしないが、例えばＫ＿ＩＳ＝＃ＴＫ＿Ｑ，＃（Ｌ’），Ｎ＿ＲＥＰＩ）ＸＯＲＫ＿ＩＸＯＲＫ_Rに基づいて生成される。

【0240】

Ｉｎｓｔｅｐ３４５，ｔｈｅｓｅｃｏｎｄｋｅｙｎｏｄｅ１０６ｂ（ＫＮｏｄｅ（Ｒｅｃｅｉｖｅｒ）ｏｒＫＮｏｄｅＲ）ｃｒｅａｔｅｓａｎａｎｔｉ－ｒｅｐｌａｙｎｏｎｃｅ，ＮＲＥＰＲ．ステップ３４５で、第２の鍵ノード１０６Ｂ（ＫＮＯＤＥ（ＲＥＣＥＩＶＥＲ）またはＫＮＯＤＥＲ）は、アンチリプレイ・ノンス（ＡＮＴＩ－ＲＥＰＬＡＹＮＯＮＣＥ）、ＮＲＥＰＲを生成する。

【0241】

ステップ３４６において、第２の鍵ノード１０６ｂ（ＫＮｏｄｅ（Ｒｅｃｅｉｖｅｒ）またはＫＮｏｄｅＲ）は、以下のデータをハッシュすることにより、Ｂｉｌｏｃａｔｉｏｎ鍵Ｋ＿ＢＫを生成する；ａ）ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎ鍵Ｋ_IS；およびｂ）Ｒｅｃｅｉｖｅｒａｎｔｉ－ｒｅｐｌａｙｎｏｎｃｅＮ＿ＲＥＰＲ。ＢｉｏｌｏｃａｔｉｏｎＫｅｙ，Ｋ＿ＢＫは、以下に限定されることなく、例えばＫ＿ＢＫ＝＃（Ｋ＿ＩＳ，Ｎ＿ＲＥＰＲ）に基づいて生成される。ＫＮｏｄｅ（Ｒｅｃｅｉｖｅｒ）は、それから、ｒａｎｄｏｍＢｉｌｏｃａｔｉｏｎＫｅｙＩＤ，ＩＤ＿ＢＫを生成する。

【0242】

ステップ３４７において、第二の鍵ノード１０６ｂ（ＫＮｏｄｅ（Ｒｅｃｅｉｖｅｒ）またはＫＮｏｄｅＲ）は、セキュアチャネル１０５ｂ（または量子セキュアチャネル１１５ｂ）を使用して、ＢｉｌｏｃａｔｉｏｎＫｅｙ、Ｋ＿ＢＫ、Ｒｅｃｅｉｖｅｒａｎｔｉ－ｒｅｐｌａｙｎｏｎｃｅ、Ｎ＿ＲＥＰＲ、ＩＤＩＤ＿ＢＫ、およびチェック値Ｃ（Ｎ＿ＩＲに等しい）をＲｅｃｅｉｖｅｒエンドポイント１０４ｂに返戻する（例えば、Ｒｅｔｕｒｎ＿Ｂｉｌｏｃａｔｉｏｎ＿Ｋｅｙ（Ｋ＿ＢＫ，Ｎ＿ＲＥＰＲ））。Ｉｎｉｔｉａｔｏｒは、クライアントに対するリプレイ攻撃を防ぐために、返されたチェック値Ｃがハッシュ化されたｎｏｎｃｅＮ＿ＩＲ’と一致することを確認する。Ｒｅｃｅｉｖｅｒはまた、Ｋ＿ＢＫを元の複合ハッシュＮ＿ＩＲと結合することで、最終的なバイロケーション鍵Ｋ＿ＢＫ’を計算する（したがって、ＫＮｏｄｅがＫ＿ＢＫ’＝＃（Ｎ＿ＩＲ，Ｋ＿ＢＫ）を計算することを防ぐ）。これが送信されると、第２の鍵ノード１０６ｂ（例えばＫＮｏｄｅ（Ｒｅｃｅｉｖｅｒ）またはＫＮｏｄｅＲ）は、Ｋ＿ＩＳおよび／またはＫ＿ＢＫを代表するデータをゼロにするか削除する。

【0243】

オプションとして、Ｂｉｌｏｃａｔｉｏｎ鍵確立ｐｒｏｃｅｓｓ３４０は、Ｉｎｉｔｉａｔｏｒ側のプロセスと対称性を持たせるために、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂが、代わりに、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎ鍵を第二の鍵ノード１０６ｂ（例えば，ＫＮｏｄｅＲ）に要求し、Ａｎｔｉ－ｒｅｐｌａｙｎｏｎｃｅＮ＿ＲＥＰＲを形成して送信する代わりに、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎ鍵を第二の鍵ノード１０６ｂ（またはＨＳＭ）に送信するように変更することができ、第二の鍵ノード１０６ｂ（またはＨＳＭ）がＢｉｌｏｃａｔｉｏｎＫｅｙを生成して送信する代わりに、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙが、第二の鍵ノード１０６ｂ（例えばＫＮｏｄｅ＿Ｒ）自身によって生成されるのではなく、第二の鍵ノード１０６ｂによってＲｅｃｅｉｖｅｒエンドポイント１０４ｂに送信され、ＲｅｃｅｉｖｅｒエンドポイントがＢｉｌｏｃａｔｉｏｎＫｅｙＫ＿ＢＫを生成する。

【0244】

Ｂｉｌｏｃａｔｉｏｎ鍵確立ｐｒｏｃｅｓｓ３４０の後、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂは、Ｂｉｌｏｃａｔｉｏｎ鍵確立ｐｒｏｃｅｓｓ３４０に基づき、第二の鍵ノード１０６ｂによって作成／生成／送信されたバイロケーション鍵Ｋ＿ＢＫを受信する。これにより、鍵確立ｐｒｏｃｅｓｓ３００は、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａとＲｅｃｅｉｖｅｒエンドポイント１０４ｂの間の通信セッションで使用する鍵を確立するために、セッション確立プロトコル／プロセス３００の最終ハンドシェイクプロセス３５０に進む。図３ｃを参照すると、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂとＩｎｉｔｉａｔｏｒエンドポイント１０４ａ間の最終ハンドシェイクプロセス３５０は、以下のステップを含む：

【0245】

ステップ３５１において、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂは、その間に開放されているネットワークコネクションを通してＩｎｉｔｉａｔｏｒエンドポイント１０４ａに以下のデータを送信する、あるいは、ネットワークが開放されていない場合はＩｎｉｔｉａｔｏｒエンドポイント１０４ａと別のコネクションを開く：ａ）ＲｅｃｅｉｖｅｒのＡｎｔｉ－ｒｅｐｌａｙｎｏｎｃｅＮ＿ＲＥＰＲとＢｉｌｏｃａｔｉｏｎＫｅｙＩＤＩＤＩＤ＿ＢＫ、オプションとして、最初のハンドシェイクプロセス３１０で既に行われていない場合は、ｂ）Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂによって生成される可能性のある更なる「ｔｒｕｓｔｌｅｓｓ」ノンスＮ＿Ｔ。Ｔｒｕｓｔｌｅｓｓ”ｎｏｎｃｅＮ＿Ｔは、最初の鍵生成プロセス３５５において、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａとＲｅｃｅｉｖｅｒエンドポイント１０４ｂがＦｉｎａｌＫｅｙを生成する際に使用することができ、クラウドシステム１００のクラウドサービスやアプリケーション（または量子クラウド１１０／１２０の量子クラウドサービス）が、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａとＲｅｃｅｉｖｅｒエンドポイント１０４ｂの間で共有されるＦｉｎａｌＫｅｙを決して知ることができないことを保証する。

【0246】

ステップ３５２において、Ｉｎｉｔｉａｔｏｒのエンドポイント１０４ａは、以下のデータをハッシュすることでＢｉｌｏｃａｔｉｏｎＫｅｙＫ＿ＢＫを生成する。ａ）ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎＫｅｙＫ＿ＩＳ；ｂ）Ｒｅｃｅｉｖｅｒ’ｓａｎｔｉｒｅｐｌａｙｎｏｎｃｅＮ＿ＲＥＰＲＢｉｌｏｃａｔｉｏｎＫｅｙＫ＿ＢＫは、下記に限定されないが、例えばＫ＿ＢＫ＝＃（Ｋ＿ＩＳ，Ｎ＿ＲＥＰＲ）に基づいてＩｎｉｔｉａｔｏｒのエンドポイント１０４ａで生成される。Ｉｎｉｔｉａｔｏｒは、ｆｉｎａｌｂｉｌｏｃａｔｉｏｎ鍵Ｋ＿ＢＫ’をＮ＿ＩＲとＫ＿ＢＫを組み合わせて、計算する（そのため、ＫＮｏｄｅはＫ＿ＢＫ’または＃（Ｎ＿ＩＲ，Ｋ＿ＢＫ）を計算することができないようにしている）。このように、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａとＲｅｃｅｉｖｅｒエンドポイント１０４ｂはＫ＿ＢＫ’を共有する。つまり、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａとＲｅｃｅｉｖｅｒエンドポイント１０４ｂは、エンドポイントごとに異なる地域に根差した鍵のコピーを受領している各エンドポイントがＩＤ＿ＢＫを持つ同じｆｉｎａｌＢｉｌｏｃａｔｉｏｎＫｅｙＫ＿ＢＫを所持していることを指す。ＫＮｏｄｅのいずれかが計算することはできないため、このｆｉｎａｌＢｉｌｏｃａｔｉｏｎＫｅｙＫ＿ＢＫ’は、安全な通信に直接使用することができる。あるいは、以下のように、１つ以上のセッション鍵を導出するために、ＩｎｉｔｉａｔｏｒとＲｅｃｅｉｖｅｒ間の共有秘密鍵として使用することもできる。これは、第１鍵ノード１０６ａと第２鍵ノード１０６ｂが地理的に異なる場所にあるためである。セッション鍵の確立時にＢｉｌｏｃａｔｉｏｎＫｅｙＩＤを共有することで、複数のＢｉｌｏｃａｔｉｏｎＫｅｙを同時に扱うことが可能となる。Ｔ

【0247】

鍵確立ｐｒｏｃｅｓｓ３００は、図３ｄに進み、ここでＩｎｉｔｉａｔｏｒおよびＲｅｃｅｉｖｅｒエンドポイントのＦｉｎａｌ鍵は、以下に限定されるものではないが、例えば第１および第２の鍵生成プロセス（ｅｓ）３５５および３６０を介して確立される。第一の鍵生成ｐｒｏｃｅｓｓ３５５（例えばオプション１）では、鍵情報（例えばＫ＿ＢＫ）とｎｏｎｃｅ情報（例えばＮ＿Ｔ、Ｎ＿ＩＲ）を用いてＦｉｎａｌＫｅｙが算出される。第２の鍵生成ｐｒｏｃｅｓｓ３６０（例えばオプション２）では、チャレンジ／レスポンスプロトコルを用いてＦｉｎａｌ鍵を算出する。

【0248】

図３ｄを参照すると、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａとＲｅｃｅｉｖｅｒエンドポイント１０４ｂが同じＢｉｌｏｃａｔｉｏｎ鍵Ｋ＿ＢＫを持っている場合、Ｆｉｎａｌ鍵の生成方法についてあらかじめ合意することもできる。最初の鍵生成ｐｒｏｃｅｓｓ３５５において、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａとＲｅｃｅｉｖｅｒエンドポイント１０４ｂは、Ｆｉｎａｌ鍵を生成する際に使用するノンス（例えばＮ＿ＩＲ、Ｎ＿Ｔ）、鍵情報（例えばＫ＿ＴＬＳ、ＴＬＳセッション鍵）についてあらかじめ合意することができる。

【0249】

鍵確立ｐｒｏｃｅｓｓ３００のＩｎｉｔｉａｔｏｒデバイス１０４ａおよびＲｅｃｅｉｖｅｒデバイス１０４ｂにおけるＦｉｎａｌ鍵を計算するための第１の鍵生成ｐｒｏｃｅｓｓ３５５（例えばオプション１）の第１の例では、以下のステップを含むことができる：

【0250】

ステップ３５６ａにおいて、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａは、Ｒｅｃｅｉｖｅｒによって生成されたＮｏｎｃｅＮ＿ＴとＸＯＲすることによって、Ｆｉｎａｌ鍵Ｋ＿Ｓを作成する。これについては、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａとＲｅｃｅｉｖｅｒエンドポイント１０４ｂの両方が知っているが、量子クラウドシステム／インフラ１００には知らされていない。Ｆｉｎａｌ鍵は、例えば、Ｋ＿Ｓ＝Ｋ＿ＢＫＸＯＲＮ＿Ｔに基づいて、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａによって計算される。

【0251】

ステップ３５６ｂにおいて、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂは、最終鍵Ｋ＿Ｓを、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂによって生成されたノンスＮ＿ＴとＸＯＲすることによって生成するが、これはＩｎｉｔｉａｔｏｒエンドポイント１０４ａとＲｅｃｅｉｖｅｒエンドポイント１０４ｂの両方にとって既知であるが、量子クラウドシステム／インフラ１００にとっては既知ではない。Ｆｉｎａｌ鍵は、例えばＫ＿Ｓ＝Ｋ＿ＢＫＸＯＲＮ＿Ｔに基づいて、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂによって計算される。

【0252】

鍵確立ｐｒｏｃｅｓｓ３００のＩｎｉｔｉａｔｏｒデバイス１０４ａとＲｅｃｅｉｖｅｒデバイス１０４ｂにおけるＦｉｎａｌ鍵を計算するための第１の鍵生成ｐｒｏｃｅｓｓ３５５（例えばオプション１）の第２の例では、以下のステップを含むことができる：

【0253】

ステップ３５７ａにおいて、Ｉｎｉｔｉａｔｏｒのエンドポイント１０４ａは、Ｒｅｃｅｉｖｅｒのエンドポイント１０４ｂとＩｎｉｔｉａｔｏｒのエンドポイント１０４ａの両方が知っている、Ｒｅｃｅｉｖｅｒが作成したＮｏｎｃｅＮ＿ＩＲとＸＯＲすることでＦｉｎａｌ鍵Ｋ＿Ｓを生成する。Ｆｉｎａｌ鍵は、以下に限定するものではないが、例えばＫ＿Ｓ＝Ｋ＿ＢＫＸＯＲＮ＿ＩＲに基づいてＩｎｉｔｉａｔｏｒエンドポイント１０４ａによって計算される。あるいは、セキュリティを高めるため、あるいはＩｎｉｔｉａｔｏｒエンドポイント１０４ａがＲｅｃｅｉｖｅｒエンドポイント１０４ｂからＮ＿Ｔを受信する場合、Ｋ＿Ｓ＝Ｋ＿ＢＫＸＯＲＮ＿ＩＲＸＯＲＮ＿Ｔとする。

【0254】

ステップ３５７ｂにおいて、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂは、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａとＲｅｃｅｉｖｅｒエンドポイント１０４ｂの両方が知っている、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂが生成したＮｏｎｃｅＮ＿ＩＲとのＸＯＲにより、ＦｉｎａｌＫｅｙＫ＿Ｓを作成する。Ｆｉｎａｌ鍵は、以下に限定するものではないが、例えばＫ＿Ｓ＝Ｋ＿ＢＫＸＯＲＮ＿ＩＲに基づいて、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂによって計算される。あるいは、セキュリティを追加するため、または受信側エンドポイント１０４ｂがノンスＮ＿Ｔを生成した場合、Ｋ＿Ｓ＝Ｋ＿ＢＫＸＯＲＮ＿ＩＲＸＯＲＮ＿Ｔとなる。

【0255】

鍵確立ｐｒｏｃｅｓｓ３００のＩｎｉｔｉａｔｏｒデバイス１０４ａとＲｅｃｅｉｖｅｒデバイス１０４ｂにおけるＦｉｎａｌ鍵を計算するための第１の鍵作成ｐｒｏｃｅｓｓ３５５（例えばオプション１）の第３の例では、以下のステップを含むことができる：

【0256】

ステップ３５８ａにおいて、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａは、以下に限定するものではないが、例えばＩｎｉｔｉａｔｏｒエンドポイント１０４ａとＲｅｃｅｉｖｅｒエンドポイント１０４ｂの両方が知っているＩｎｉｔｉａｔｏｒとＲｅｃｅｉｖｅｒエンドポイント１０４ｂ間のＴＬＳセッションのＴＬＳセッション鍵Ｋ＿ＴＬＳのような別の鍵とＸＯＲすることで、Ｆｉｎａｌ鍵Ｋ＿Ｓを生成する。Ｆｉｎａｌ鍵は、以下に限定するものではないが、例えばＫ＿Ｓ＝Ｋ＿ＢＫＸＯＲＫ＿ＴＬＳに基づいてＩｎｉｔｉａｔｏｒエンドポイント１０４ａが計算することができる。あるいは、セキュリティを高めるため、あるいはＩｎｉｔｉａｔｏｒエンドポイント１０４ａがＲｅｃｅｉｖｅｒエンドポイント１０４ｂからＮ＿Ｔを受信する場合、Ｋ＿Ｓ＝Ｋ＿ＢＫＸＯＲＫ＿ＴＬＳＸＯＲＮ＿Ｔとする。

【0257】

ステップ３５８ｂにおいて、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂはまた、例えばＩｎｉｔｉａｔｏｒエンドポイント１０４ａとＲｅｃｅｉｖｅｒエンドポイント１０４ｂの両方にとって既知であり、クラウドシステム１００またはセキュアネットワーク１０２（または量子クラウドシステム１１０／１２０、量子ネットワーク１１２／１２２）にとっては未知である、ＩｎｉｔｉａｔｏｒとＲｅｃｅｉｖｅｒエンドポイント１０４ａと１０４ｂの間のＴＬＳセッションのＴＬＳセッションキーＫ＿ＴＬＳなどの別のキーとＸＯＲすることによって、Ｆｉｎａｌ鍵Ｋ＿Ｓを生成する。
Ｆｉｎａｌ鍵Ｋ＿Ｓは、以下に限定されないが、例えば、Ｋ＿Ｓ＝Ｋ＿ＢＫＸＯＲＫ＿ＴＬＳに基づいて、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂによって計算され得る。あるいは、セキュリティを高めるため、またはＲｅｃｅｉｖｅｒエンドポイント１０４ｂがノンスＮ＿Ｔを生成した場合、Ｋ＿Ｓ＝Ｋ＿ＢＫＸＯＲＫ＿ＴＬＳＸＯＲＮ＿Ｔによって計算する。

【0258】

その後、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａとＲｅｃｅｉｖｅｒエンドポイント１０４ｂは、その間にＦｉｎａｌ鍵、Ｋ＿Ｓを使用することができる。例えば、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａとＲｅｃｅｉｖｅｒエンドポイント１０４ｂは、限定するものではないが、例えば、ＦｉｎａｌＫｅｙ、Ｋ＿Ｓを使用して、それらの通信チャネル及び／又はその間に通信されるデータを暗号化するため、及び／又はアプリケーションが要求する他の目的のために、セキュアな通信セッションを開始することができる。従って、ＩｎｉｔｉａｔｏｒデバイスとＲｅｃｅｉｖｅｒエンドポイント／デバイス１０４ａ－１０４ｂは、上述の鍵確立ｐｒｏｃｅｓｓ３００を使用して、以下に限定しないが、例えばＩｎｉｔｉａｔｏｒとＲｅｃｅｉｖｅｒエンドポイント／デバイス間のセキュアな通信、ＱＫＤ鍵がＢｉｌｏｃａｔｉｏｎ鍵の計算で使用される場合のその間の量子セキュアな通信などに使用されるＦｉｎａｌ鍵Ｋ＿Ｓを生成または確立することができこと、ＩｎｉｔｉａｔｏｒとＲｅｃｅｉｖｅｒのエンドポイント／デバイス１０４ａと１０４ｂの間で、以下に限らず、例えばＩｎｉｔｉａｔｏｒとＲｅｃｅｉｖｅｒのエンドポイント／デバイスを含むパーティーのグループ間でグループ鍵を確立するための他のグループ鍵確立プロトコルに使用するためのさらなる共有鍵を確立すること、ＩｎｉｔｉａｔｏｒデバイスとＲｅｃｅｉｖｅｒデバイス間の通信セッションを確保すること、ＩｎｉｔｉａｔｏｒとＲｅｃｅｉｖｅｒのエンドポイント／デバイスの間に、長寿命の通信チャネルを確立すること、確立されたＦｉｎａｌ鍵は、ＩｎｉｔｉａｔｏｒとＲｅｃｅｉｖｅｒのエンドポイント／デバイス１０４ａと１０４ｂの間で署名秘密を形成することができるが、この署名秘密は、例えばメッセージ認証コード（ＭＡＣ）やタグなどを作成するために、これに限定されることなく使用することができること、ＩｎｉｔｉａｔｏｒとＲｅｃｅｉｖｅｒのエンドポイント／デバイス１０４ａと１０４ｂの間で確立されたＦｉｎａｌ鍵は、ＩｎｉｔｉａｔｏｒとＲｅｃｅｉｖｅｒのエンドポイント／デバイス１０４ａと１０４ｂの各々によって、あるいはその間で実行される、他のあらゆるタイプの暗号アプリケーション／操作のために使用されること、これらの変更、組み合わせ、および／またはアプリケーションの要求に応じることができる。これにより、クラウドシステム／インフラ１００または量子クラウドシステム／インフラストラクチャ１１０／１２０を使用する場合のＩｎｉｔｉａｔｏｒエンドポイント１０４ａとＲｅｃｅｉｖｅｒエンドポイント１０４ｂ間の鍵確立ｐｒｏｃｅｓｓ／ｐｒｏｔｏｃｏｌ３００は終了する。

【0259】

図３ｄを参照すると、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａとＲｅｃｅｉｖｅｒエンドポイント１０４ｂが同じＢｉｌｏｃａｔｉｏｎ鍵Ｋ＿ＢＫを持っているため、Ｆｉｎａｌ鍵の生成方法について合意することができる。セッション確立プロセス３００のＩｎｉｔｉａｔｏｒエンドポイント／デバイス１０４ａとＲｅｃｅｉｖｅｒエンドポイント／デバイス１０４ｂにおいて、Ｆｉｎａｌ鍵を計算するためのチャレンジ／レスポンスプロトコルを使用する第二の鍵作成プロセス３６０（例えばオプション２）は、以下のステップを含む：

【0260】

ステップ３６１ａにおいて、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａは、ランダムなｃｈａｌｌｅｎｇｅｎｏｎｃｅＣ＿Ｉを生成する。

【0261】

ステップ３６１ｂにおいて、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂはランダムなｃｈａｌｌｅｎｇｅｎｏｎｃｅＣ＿Ｒを生成する。

【0262】

ステップ３６２において、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａは、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂに対して、ランダムなｃｈａｌｌｅｎｇｅｎｏｎｃｅＣ＿Ｉと、先に合意したＢｉｌｏｃａｔｉｏｎ鍵のＩＤ＿ＢＫを送信する。

【0263】

ステップ３６３で、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂは、ランダムｃｈａｌｌｅｎｇｅｎｏｎｃｅＣ＿ＲをＩｎｉｔｉａｔｏｒエンドポイント１０４ａに送信する。

【0264】

ステップ３６４ａにおいて、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａは、ＩＤＩＤ＿ＢＫ（ＫＮｏｄｅｓにとって未知）Ｋ＿ＢＫ’を持つＦｉｎａｌＢｉｌｏｃａｔｉｏｎ鍵に設定されるＩｎｔｅｒｍｅｄｉａｔｅ鍵値Ｋ＿Ｘを最初に計算する（例えばＫ＿Ｘ＝Ｋ＿ＢＫ’）。あるいはＩｎｔｅｒｍｅｄｉａｔｅ鍵値Ｋ＿ＸはＩｎｉｔｉａｔｏｒとＲｅｃｅｉｖｅｒのエンドポイント１０４ａと１０４ｂの間のＴＬＳセッション鍵Ｋ＿ＴＬＳから導出され、Ｋ＿Ｘは、＃（Ｋ＿ＢＫ’，Ｋ＿ＴＬＳ）、あるいはＫ＿ＸとＫ＿ＴＬＳの他の組み合わせ（例えば、Ｋ＿Ｘ＝＃（Ｋ＿ＢＫ’，Ｋ＿ＴＬＳ）、あるいはＫ＿Ｘ＝Ｋ＿ＴＬＳＸＯＲＫ＿ＢＫ’）に設定される。Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂはまた、Ｋ＿Ｘを計算するために対応するマッチングオペレーションを実行し、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂで計算されたＫ＿ＸがＩｎｉｔｉａｔｏｒエンドポイント１０４ａで計算されたＫ＿Ｘと同じになるようにする。いずれにせよ、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａは、以下の値に基づいて、Ｋ＿Ｘ、Ｃ＿Ｉ、および受信したＣ＿Ｒを使用して、符号付き応答を計算する：Ｘ＿Ｉ＝＃（Ｋ＿Ｘ，Ｃ＿Ｉ，０）；Ｘ＿Ｒ＝＃（Ｋ＿Ｘ，Ｃ＿Ｒ，１）；Ｒ＿Ｉ＝＃（Ｘ＿Ｉ，Ｃ＿Ｒ）；Ｒ＿Ｒ＝＃（Ｘ＿Ｒ，Ｃ＿Ｉ）、ここで＃はハッシュ関数である。

【0265】

ステップ３６４ｂでは、同様に、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂは、Ｋ＿ＢＫ’に設定されたＩｎｔｅｒｍｅｄｉａｔｅ鍵値Ｋ＿Ｘを最初に計算する（例えば、Ｋ＿Ｘ＝Ｋ＿ＢＫ’）。あるいは、Ｉｎｔｅｒｍｅｄｉａｔｅ鍵値Ｋ＿Ｘは、Ｋ＿Ｘが＃（Ｋ＿ＢＫ’，Ｋ＿ＴＬＳ）に設定されたＩｎｉｔｉａｔｏｒとＲｅｃｅｉｖｅｒのエンドポイント１０４ａと１０４ｂの間のＴＬＳセッション鍵Ｋ＿ＴＬＳから導出されてもよいし、Ｋ＿ＸとＫ＿ＴＬＳの他の組み合わせ（例えばＫ＿Ｘ＝＃（Ｋ＿ＢＫ’，Ｋ＿ＴＬＳ）またはＫ＿Ｘ＝Ｋ＿ＴＬＳＸＯＲＫ＿ＢＫ’）から導出されてもよい。また、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂで計算されたＫ＿Ｘが、ステップ３６４ａでＩｎｉｔｉａｔｏｒエンドポイント１０４ａで計算されたＫ＿Ｘと同じになるように、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂは、Ｋ＿Ｘを計算するために対応するマッチングオペレーションを実行する。いずれにせよ、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂは、以下の値に基づいて、Ｋ＿Ｘ、Ｃ＿Ｒ、および受信したＣ＿Ｉを用いて、符号付き応答を計算する：Ｘ＿Ｉ＝＃（Ｋ＿Ｘ，Ｃ＿Ｉ，０）；Ｘ＿Ｒ＝＃（Ｋ＿Ｘ，Ｃ＿Ｒ，１）；Ｒ＿Ｉ＝＃（Ｘ＿Ｉ，Ｃ＿Ｒ）；Ｒ＿Ｒ＝＃（Ｘ＿Ｒ，Ｃ＿Ｉ）ここで、＃は、ステップ３６４ａでＩｎｉｔｉａｔｏｒエンドポイント１０４ａによって使用されたものと同じハッシュ関数である。

【0266】

ステップ３６５において、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａは、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂにチャレンジレスポンスまたは署名付きレスポンスＲ＿Ｉを返す（例えばＳｅｎｄ＿Ｓｉｇｎｅｄ＿Ｒｅｓｐｏｎｓｅ（Ｒ＿Ｉ））。

【0267】

ステップ３６６において、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂはＩｎｉｔｉａｔｏｒエンドポイント１０４ｂにチャレンジレスポンスまたは署名付きレスポンスＲ＿Ｒを返す（例えばＳｅｎｄ＿Ｓｉｇｎｅｄ＿Ｒｅｓｐｏｎｓｅ（Ｒ＿Ｒ））。

【0268】

例えば、受信した署名付き応答が正しいかどうかをチェックするために、チャレンジレスポンスｃｈｅｃｋｉｎｇｐｒｏｃｅｓｓ３７０がＩｎｉｔｉａｔｏｒエンドポイント１０４ａとＲｅｃｅｉｖｅｒエンドポイント１０４ｂによって使用されることがある。チャレンジ応答チェックプロセス３７０は、以下のステップを含む：

【0269】

ステップ３７１ａにおいて、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａは、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂから受信したＲ＿Ｒが、ステップ３６４ａにおいてＩｎｉｔｉａｔｏｒエンドポイント１０４ａが計算したＲ＿Ｒの値と一致するかどうかを確認する。受信したＲ＿ＲがＩｎｉｔｉａｔｏｒエンドポイント１０４ａが計算したＲ＿Ｒと一致する場合、Ｉｎｉｔｉａｔｏｒエンドポイントは、以下に限定するものではないが、例えば、Ｋ＿Ｓ＝Ｘ＿ＩＸＯＲＸ＿ＲまたはＫ＿Ｓ＝＃（Ｘ＿Ｉ，Ｘ＿Ｒ）に基づいて、ＦｉｎａｌＫ鍵であるＫ＿Ｓを計算する。
あるいは、オプションとして、Ｎ＿ＴがＲｅｃｅｉｖｅｒエンドポイント１０４ｂからＩｎｉｔｉａｔｏｒエンドポイント１０４ａに送信された場合、Ｆｉｎａｌ鍵Ｋ＿Ｓ＝Ｋ＿ＢＫＸＯＲＮ＿ＩＲＸＯＲＮ＿ＴまたはＫ＿Ｓ＝Ｘ＿ＩＸＯＲＸ＿ＲＸＯＲＮ＿Ｔが適用される。そうでない場合、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａによって実行される処理３７０は、ステップ３７２ａに進む。

【0270】

ステップ３７２ａにおいて、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂから受信したＲ＿Ｒが、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａが計算したＲ＿Ｒの値と一致しないため、接続は放棄される。

【0271】

ステップ３７１ｂにおいて、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂはＩｎｉｔｉａｔｏｒエンドポイント１０４ｂから受信したＲ＿Ｉが、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂがステップ３６４ｂで計算したＲ＿Ｉの値と一致するかどうかを確認する。受信したＲ＿Ｉが、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂが計算したＲ＿Ｉと一致する場合、Ｒｅｃｅｉｖｅｒエンドポイントは、以下に限定するものではないが、例えば、Ｋ＿Ｓ＝Ｘ＿ＩＸＯＲＸ＿ＲまたはＫ＿Ｓ＝＃（Ｘ＿Ｉ，Ｘ＿Ｒ）に基づいて、Ｆｉｎａｌ鍵であるＫ＿Ｓを計算する。また、オプションとして、ＮＴがＲｅｃｅｉｖｅｒエンドポイント１０４ｂからＩｎｉｔｉａｔｏｒエンドポイント１０４ａに送信された場合、Ｆｉｎａｌ鍵のＫ＿Ｓ＝Ｋ＿ＢＫＸＯＲＮ＿ＩＲＸＯＲＮ＿ＴまたはＫ＿Ｓ＝Ｘ＿ＩＸＯＲＸ＿ＲＸＯＲＮ＿Ｔが適用される。ステップ３７１ｂにおいて、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂは、Ｋ＿Ｓを生成／計算する際にＩｎｉｔｉａｔｏｒエンドポイント１０４ａが使用するオペレーションと同じオペレーションに同意するか、実行するように構成される。そうでない場合、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂが実行する処理３７０は、ステップ３７２ｂに進む。

【0272】

ステップ３７２ｂでは、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａから受信したＲ＿Ｉが、Ｒｅｃｅｉｖｅｒエンドポイント１０４ｂが計算したＲ＿Ｉの値と一致しないため、接続は放棄される。

【0273】

その後、接続が放棄されない場合、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａとＲｅｃｅｉｖｅｒエンドポイント１０４ｂは、その間Ｆｉｎａｌ鍵、Ｋ＿Ｓを使用することができる。例えば、Ｉｎｉｔｉａｔｏｒエンドポイント１０４ａとＲｅｃｅｉｖｅｒエンドポイント１０４ｂは、以下に限定するものではないが、例えば、Ｆｉｎａｌ鍵、Ｋ＿Ｓを使用して、それらの通信チャネルおよび／またはその間に通信されるデータを暗号化するため、および／またはアプリケーションが要求する他の適切な目的のために、セキュアな通信セッションを開始することができる。従って、ＩｎｉｔｉａｔｏｒデバイスとＲｅｃｅｉｖｅｒエンドポイント／デバイス１０４ａ－１０４ｂは、上述の鍵確立ｐｒｏｃｅｓｓ３００を使用して、例えばＩｎｉｔｉａｔｏｒとＲｅｃｅｉｖｅｒエンドポイント／デバイス間のセキュアな通信や、鍵のセットがＱＫＤ鍵である場合のその間の量子セキュアな通信などに限定されることなく使用可能なＦｉｎａｌＫｅｙＫ＿Ｓを生成または確立することができる；ＩｎｉｔｉａｔｏｒとＲｅｃｅｉｖｅｒのエンドポイント／デバイス１０４ａと１０４ｂの間で、例えばＩｎｉｔｉａｔｏｒとＲｅｃｅｉｖｅｒのエンドポイント／デバイスを含むパーティーのグループ間でグループ鍵を確立するための他のグループ鍵確立プロトコルに限定されることなく、使用するためのさらなる共有鍵を確立する。ＩｎｉｔｉａｔｏｒとＲｅｃｅｉｖｅｒのエンドポイント／デバイス間の通信セッションをセキュアにし、ＩｎｉｔｉａｔｏｒとＲｅｃｅｉｖｅｒのエンドポイント／デバイス間の長寿命の通信チャネルを確立することができる。
確立されたＦｉｎａｌＫｅｙは、ＩｎｉｔｉａｔｏｒとＲｅｃｅｉｖｅｒのエンドポイント／デバイス１０４ａと１０４ｂの間で署名秘密を形成することができる。ＩｎｉｔｉａｔｏｒとＲｅｃｅｉｖｅｒのエンドポイント／デバイス１０４ａと１０４ｂの間で確立されたＦｉｎａｌＫｅｙは、ＩｎｉｔｉａｔｏｒとＲｅｃｅｉｖｅｒのエンドポイント／デバイス１０４ａと１０４ｂの各々によって、またはそれらの間で実行される他の任意のタイプの暗号アプリケーション／操作、それらの修正、それらの組み合わせ、および／またはアプリケーションの要求に応じて使用することができる。これで、クラウドシステム／インフラストラクチャ１００（または量子クラウドシステム／インフラストラクチャ１１０／１２０）を使用する際のＩｎｉｔｉａｔｏｒエンドポイント１０４ａとＲｅｃｅｉｖｅｒエンドポイント１０４ｂ間の鍵確立プロセス／プロトコル３００は終了となる。

【0274】

図３ａから図３ｄでは、第１の鍵ノード（ＫＮｏｄｅＡなど）と第２の鍵ノード（ＫＮｏｄｅＢなど）が異なる地理的位置（例えば、ＫＮｏｄｅＡｏＫＮｏｄｅＢなど）に配置されているものとして説明しているが、これは単純化のためであり、あくまでも例示であり、本発明はこのように限定されるものではなく、本発明による鍵確立システム、装置及びプロセス（ｅｓ）、並びに／又は図３ａから図３ｄを参照して本書で説明されるような、及び／又は本書で説明されるような鍵確立システム、装置及びプロセス（ｅｓ）は、第１の鍵ノード及び第２の鍵ノードが同じ鍵ノードである場合、又は同じ鍵ノード上の２つの異なる論理的な場所を有する場合、又は同じ論理的な鍵ノードである場合（ｅ．例：ＫＮｏｄｅＡ＝＝ＫＮｏｄｅＢ）、イニシエータエンドポイント／デバイスとレシーバエンドポイント／デバイスの両方が、２つの異なるＫＮｏｄｅの地理的に配置された２つの異なるサーバ／コンピューティングデバイスではなく、ＫＮｏｄｅまたは論理ＫＮｏｄｅの同じサーバ／コンピューティングデバイスと通信する場合、結果として生じるＫＮｏｄｅは、鍵の集合から鍵を選択するように構成されるかもしれない（例えば、ＱＫＤ鍵のセットからＱＫＤを選択するなど）。つまり、ＫＮｏｄｅは、Ｉｎｉｔｉａｔｏｒエンドポイント／デバイスとＲｅｃｅｉｖｅｒエンドポイント／デバイスの間で鍵を確立する際に、対応するエンドポイント／デバイスのためのＢｉｌｏｃａｔｉｏｎ鍵またはＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎ鍵を生成する際に使用するために、「それ自身と共有される鍵（すなわち、それ自身が単独で所有または知っている鍵）」のセットから鍵を選択するように構成されるかもしれない。

【0275】

図４ａは、本発明の態様によるセッション確立プロトコル／プロセスの実装および／または実行に使用するための、例示的なコンピューティングシステム４００の概略図である。コンピューティングシステム４００は、図１ａ～図３ｄを参照して説明したシステム、装置、ＱＳサーバ、キーノード、エンドポイント、デバイス、方法、鍵確立プロトコル、鍵確立プロセス、第１及び第２のデバイス／エンドポイント、イニシエータエンドポイント／デバイス、レシーバエンドポイント／デバイス、及び／又はユースケースの１つ又は複数の態様、それらの組み合わせ、それらの修正、本書で説明する通り、及び／又はアプリケーションの要求に応じて実装するために使用することができる。コンピューティングシステム４００は、コンピューティングデバイスまたは装置４０２（例えば、ＱＳサーバ、第１または第２のキーノード、第１および／または第２のデバイス（複数可））を含む。コンピューティングデバイスまたは装置４０２は、１つまたは複数のプロセッサユニット４０４、メモリユニット４０６、および１つまたは複数のプロセッサユニット４０４がメモリユニット４０６、通信インターフェース４０８に接続される通信インターフェース４０８を含む。
通信インターフェース４０８は、本書に記載される本発明に従って、図１ａから図３ｄを参照して説明されるような鍵確立プロトコル／プロセス（ｅｓ）、それらの組み合わせ、アプリケーションの要求に応じてそれらの修正に基づいて、第１と第２のデバイス（イニシエータとレシーバのエンドポイント）の間で最終鍵を確立するために、コンピューティングデバイスまたは装置４０２を１つ以上の他のコンピューティングデバイスおよび／または装置（例えば、鍵ノード、イニシエータデバイス／エンドポイント、レシーバデバイス／エンドポイント、第１および／または第２のデバイス（複数可）／エンドポイント（複数可））（図示せず）と接続しても差し支えない。メモリユニット４０６は、例としてのみ挙げるがこれらに限定されない、コンピューティングデバイス４０２を動作させるためのオペレーティングシステム４０６ａ、およびセッション確立プロトコル／プロセス（ｅｓ）、１つまたは複数のセッション確立プロセス（ｅｓ）、１つまたは複数のキーノードの１つまたは複数の部分に関連する機能および／または１つまたは複数の機能（複数可）を実装することに関連するコンピュータプログラム命令、実行可能コード、コード、および／またはコンポーネントを格納するためのデータストア４０６ｂなどの１つまたは複数のプログラム命令、コード、またはコンポーネントを格納することができる、１つまたは複数の第１および／または第２のデバイス、１つまたは複数のＩｎｉｔｉａｔｏｒおよび／またはＲｅｃｅｉｖｅｒエンドポイント；本発明によるＩｎｉｔｉａｔｏｒエンドポイント／第１のデバイスとＲｅｃｅｉｖｅｒエンドポイント／第２のデバイスの間でＦｉｎａｌ鍵を確立するためのＫｅｙＥｓｔａｂｌｉｓｈｍｅｎｔｐｒｏｃｅｓｓまたはｐｒｏｔｏｃｏｌを実行する１つまたは複数の方法（複数可）および／またはプロセス（複数可）、システム（複数可）／プラットフォーム、それらの組み合わせ、それらの変更、および／または図（複数可）１ａから図（複数可）３ｄの少なくともいずれか１つを参照して本書に記述されているものを格納する。

【0276】

図４ｂは、本発明によるＩｎｉｔｉａｔｏｒエンドポイント４１４とＲｅｃｅｉｖｅｒエンドポイント４１６によって使用される鍵確立プロトコルおよび／またはプロセス（ｅｓ）を促進および／または実装するための、別の例示的なクラウドシステム４２０の概略図である。クラウドシステム４２０は、Ｉｎｉｔｉａｔｏｒエンドポイント４１４、Ｒｅｃｅｉｖｅｒエンドポイント４１６、およびＩｎｉｔｉａｔｏｒエンドポイント４１４がセキュアチャネル（例えば、ＫＮｏｄｅＩ）４１８を介してアクセスすることができる第１の鍵ノード／セキュアサーバ（ＫＮｏｄｅＩ）４１８を含む古典的または量子セキュアネットワーク４１１を含む複数のコンピューティングデバイスまたは装置４０２を含むことができる。また、受信側エンドポイント４１６が別のセキュアチャネル（例えば、古典的セキュアネットワーク１０２が使用されるか、量子セキュアネットワーク１１２または１２２が使用されるかに応じて、古典的セキュアチャネルまたは量子セキュアチャネル）を介してアクセスすることができる第２の鍵ノード／セキュアサーバ（ＫＮｏｄｅＲ）４２０を含む。）も含む。第１の鍵ノード４１８と第２の鍵ノード４２０は、地理的に異なる場所に配置されているが、分散された鍵のセットを共有している（例えば、古典的にセキュアなネットワーク１０２が使用されるか、量子的にセキュアなネットワーク１１２または１２２が使用されるかに応じて、古典的に分散された鍵および／または量子的に分散された鍵）。Ｉｎｉｔｉａｔｏｒエンドポイント４１４、Ｒｅｃｅｉｖｅｒエンドポイント４１６、第一の鍵ノード４１８、及び第二の鍵ノード４２０は、通信セッションの鍵を確立するために、本発明による鍵確立プロトコル／プロセスの対応するステップ及び／又は機能を動作及び／又は実装するように構成される。図１ａ、図１ｂ、図１ｃの１つ以上のシステム１００、１１０、１２０、１つ以上の鍵確立プロセス／方法２００、２１０、２３０、２４０、２４０、２６０を参照して説明したように、Ｉｎｉｔｉａｔｏｒエンドポイント４１４とＲｅｃｅｉｖｅｒエンドポイント４１６の間のセッションを確立するために、本発明による鍵確立プロトコル／プロセスの対応するステップ／機能を動作させ、かつ／または実装するように構成される、図２ａの２００，２１０，２３０，２４０，２６０，２７０、図３ａから図３ｄの１つまたは複数の鍵確立プロセス（複数可）／方法３００、３１０、３１５、３２０、３３０、３３５、３４０、３５０、３５５、３６０、３７０、これらの組み合わせ、これらの修正、および／または、図１ａから図４ａのいずれか１つを参照して本書で説明するとおりである。

【0277】

以下の説明では、第一の鍵ノード（ＫＮｏｄｅＡなど）と第二の鍵ノード（ＫＮｏｄｅＢなど）が異なる地理的位置（例えば、ＫＮｏｄｅＡｏＫＮｏｄｅＢなど）に配置されていると記載することがあるが、これは簡略化のための、例示であって、本発明はそのように限定されるものではなく、本発明による鍵確立システム、装置及びプロセス（ｅｓ）、並びに／又は図１ａから図４ｂを参照して本書で説明されるような、及び／又は本書で説明されるような鍵確立システム、装置及びプロセス（ｅｓ）は、第１の鍵ノード及び第２の鍵ノードが同じ鍵ノードである場合、又は同じ鍵ノード上の２つの異なる論理的な場所を有する場合、又は同じ論理的な鍵ノードである場合（ｅ．例：ＫＮｏｄｅＡ＝＝ＫＮｏｄｅＢ）、イニシエータエンドポイント／デバイスとレシーバエンドポイント／デバイスの両方が、２つの異なるＫＮｏｄｅの地理的に配置された２つの異なるサーバ／コンピューティングデバイスではなく、ＫＮｏｄｅまたは論理ＫＮｏｄｅの同じサーバ／コンピューティングデバイスと通信する場合、結果として生じるＫＮｏｄｅは、鍵の集合から鍵を選択するように構成されるかもしれない（例：ＫＮｏｄｅＡ＝＝ＫＮｏｄｅＢ）。その結果、ＫＮｏｄｅは、Ｉｎｉｔｉａｔｏｒエンドポイント／デバイスとＲｅｃｅｉｖｅｒエンドポイント／デバイスの間で鍵を確立する際に、対応するエンドポイント／デバイスのためのＢｉｌｏｃａｔｉｏｎ鍵またはＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎ鍵を生成する際に使用するために、「それ自身と共有される鍵（すなわち、それ自身が単独で所有または知っている鍵）」のセットから鍵を選択するように構成されるかもしれない。

【0278】

上述の実施形態では、ＩｎｉｔｉａｔｏｒとＲｅｃｅｉｖｅｒによって処理される署名された秘密および／または応答のそれぞれは、クラウドサーバ（複数可）／サービス（複数可）によって対称的に署名されてもよい。

【0279】

上述の実施形態では、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎ鍵はＩｎｉｔｉａｔｏｒで決定されるが、いくつかの実施形態では、ＩｎｔｅｒｍｅｄｉａｔｅＢｉｌｏｃａｔｉｏｎ鍵は、上述の実施形態の他の側面を変更することなく、Ｒｅｃｅｉｖｅｒで決定されてもよい。同様に、Ｂｉｌｏｃａｔｉｏｎ鍵は、いくつかの実施形態では、上述した実施形態の他の態様を変更することなく、Ｉｎｉｔｉａｔｏｒで決定されてもよい。

【0280】

上述の実施形態において、サーバまたはコンピューティングデバイスは、単一のサーバ／コンピューティングデバイス、またはサーバ／コンピューティングデバイスのネットワークから構成されてもよい。いくつかの例では、サーバの機能は、サーバの世界的な分散ネットワークのような、地理的領域にわたって分散されたサーバのネットワークによって提供されてもよく、ユーザは、ユーザの位置に基づいて、サーバのネットワークの適切な１つに接続されてもよい。

【0281】

上記の説明では、分かりやすくするために、単一のユーザを参照して本発明の実施形態について説明した。実際には、システムは複数のユーザによって、場合によっては非常に多数のユーザによって同時に共有され得ることが理解されよう。

【0282】

上述の実施形態は、完全に自動化されている。幾つかの例では、システムのユーザ又はオペレータは、実施される方法の幾つかのステップを手動で指示することができる。

【0283】

本発明の説明した実施形態では、システムは、任意の形式のコンピューティング及び／又は電子デバイスとして実施することができる。このようなデバイスは、経路情報を収集し記録するためにデバイスの動作を制御するコンピュータ実行可能命令を処理するための、マイクロプロセッサ、コントローラ、または任意の他の適切なタイプのプロセッサであることができる１つまたは複数のプロセッサを含むことができる。いくつかの例では、例えば、システムオンチップアーキテクチャが使用される場合、プロセッサは、（ソフトウェアやファームウェアではなく）ハードウェアで方法の一部を実装する１つ以上の固定機能ブロック（アクセラレータとも呼ばれる）を含むことができる。オペレーティングシステムまたは他の任意の適切なプラットフォームソフトウェアを含むプラットフォームソフトウェアは、デバイス上でアプリケーションソフトウェアを実行できるように、コンピューティングベースのデバイスに提供される場合がある。

【0284】

本書で説明する様々な機能は、ハードウェア、ソフトウェア、またはそれらの任意の組み合わせで実装することができる。ソフトウェアで実装される場合、機能は、コンピュータ可読媒体上の１つまたは複数の命令またはコードとして記憶されるか、またはそれを介して伝送され得る。コンピュータ可読媒体には、例えば、コンピュータ可読記憶媒体が含まれる。コンピュータ可読記憶媒体には、コンピュータ可読命令、データ構造、プログラムモジュール、または他のデータなどの情報を記憶するための任意の方法または技術で実装された、揮発性または不揮発性、取外し可能または取外し不可能な媒体を含めることができる。コンピュータ可読記憶媒体は、コンピュータによってアクセスされ得る任意の利用可能な記憶媒体であり得る。限定ではなく例として、このようなコンピュータ可読記憶媒体は、ＲＡＭ、ＲＯＭ、ＥＥＰＲＯＭ、フラッシュメモリまたは他のメモリ装置、ＣＤ－ＲＯＭまたは他の光ディスク記憶装置、磁気ディスク記憶装置または他の磁気記憶装置、または命令またはデータ構造の形態で所望のプログラムコードを搬送または記憶するために使用することができ、コンピュータによってアクセスすることができる他の任意の媒体から構成することができる。本書で使用するディスクおよびディスクには、コンパクトディスク（ＣＤ）、レーザーディスク、光ディスク、デジタル多用途ディスク（ＤＶＤ）、フロッピーディスク、およびブルーレイディスク（ＢＤ）が含まれる。さらに、伝播された信号は、コンピュータ可読記憶媒体の範囲には含まれない。コンピュータ可読媒体には、ある場所から別の場所へのコンピュータプログラムの転送を容易にするあらゆる媒体を含む通信媒体も含まれる。例えば、接続は通信媒体となり得る。
たとえば、同軸ケーブル、光ファイバーケーブル、ツイストペア、ＤＳＬ、または赤外線、無線、マイクロ波などの無線技術を使用して、ウェブサイト、サーバー、または他のリモートソースからソフトウェアを転送する場合は、通信媒体の定義に含まれます。上記の組み合わせも、コンピュータ読み取り可能な媒体の範囲に含まれるはずである。

【0285】

代替的に、または追加的に、本書で説明される機能は、少なくとも部分的に、１つまたは複数のハードウェア論理コンポーネントによって実行され得る。例えば、以下に限定するものではないが、使用可能なハードウェア論理コンポーネントには、ＦＰＧＡ（Ｆｉｅｌｄ－ｐｒｏｇｒａｍｍａｂｌｅＧａｔｅＡｒｒａｙｓ）、ＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ－Ｐｒｏｇｒａｍ－ｓｐｅｃｉｆｉｃＩｎｔｅｇｒａｔｅｄＣｉｒｃｕｉｔ）、ＡＳＳＰ（Ａｐｐｌｉｃａｔｉｏｎ－Ｐｒｏｇｒａｍ－ｓｐｅｃｉｆｉｃＳｔａｎｄａｒｄＰｒｏｄｕｃｔｓ）、ＳＯＣ（Ｓｙｓｔｅｍ－ｏｎ－ａ－ｃｈｉｐＳｙｓｔｅｍｓ）、ＣＰＬＤ（ＣｏｍｐｌｅｘＰｒｏｇｒａｍｍａｂｌｅＬｏｇｉｃＤｅｖｉｃｅｓ）などが含まれる。

【0286】

単一のシステムとして図示されているが、コンピューティングデバイスは分散システムであってもよいことを理解されたい。したがって、例えば、複数のデバイスがネットワーク接続によって通信し、コンピューティングデバイスによって実行されると説明されたタスクを集合的に実行することができる。ローカルデバイスとして図示されているが、コンピューティングデバイスは、遠隔に配置され、ネットワークまたは他の通信リンクを介して（例えば、通信インターフェースを使用して）アクセスされてもよいことが理解されよう。コンピュータ」という用語は、本明細書では、命令を実行することができるような処理能力を有する任意のデバイスを指すために使用される。当業者であれば、このような処理能力は多くの異なるデバイスに組み込まれており、したがって、「コンピュータ」という用語には、ＰＣ、サーバ、携帯電話、パーソナルデジタルアシスタント、および他の多くのデバイスが含まれることを理解するであろう。

【0287】

熟練者であれば、プログラム命令を記憶するために利用される記憶装置は、ネットワークを介して分散され得ることを理解するであろう。例えば、リモートコンピュータは、説明したプロセスの一例をソフトウェアとして格納することができる。ローカルコンピュータまたは端末コンピュータは、リモートコンピュータにアクセスし、プログラムを実行するためのソフトウェアの一部または全部をダウンロードすることができる。あるいは、ローカルコンピュータが必要に応じてソフトウェアの一部をダウンロードしたり、一部のソフトウェア命令をローカル端末で実行し、一部をリモートコンピュータ（またはコンピュータネットワーク）で実行することもできる。また、当熟練業者は、当業者が公知の従来技術を利用することにより、ソフトウェア命令の全部または一部を、ＤＳＰ、プログラマブルロジックアレイなどの専用回路によって実行することができることを理解するであろう。

【0288】

上述した利点および利点は、１つの実施形態に関するものであってもよいし、複数の実施形態に関するものであってもよいことが理解されよう。実施形態は、記載された問題のいずれかまたはすべてを解決するもの、または記載された利点および利点のいずれかまたはすべてを有するものに限定されない。変形例も本発明の範囲に含まれると考えるべきである。

【0289】

「ある」項目への言及は、それらの項目の１つ以上を指す。本書において、「ｃｏｍｐｒｉｓｉｎｇ」という用語は、特定された方法ステップまたは要素を含むことを意味するために使用されるが、そのようなステップまたは要素は排他的なリストを構成するものではなく、方法または装置は追加のステップまたは要素を含むことができる。

【0290】

本書で使用される場合、「コンポーネント」および「システム」という用語は、プロセッサによって実行されたときに特定の機能を実行させるコンピュータ実行可能命令で構成されるコンピュータ可読データ記憶装置を包含することを意図している。コンピュータ実行可能命令は、ルーチン、関数などを含むことができる。また、コンポーネントまたはシステムは、単一のデバイスにローカライズされる場合もあれば、複数のデバイスに分散される場合もあることを理解されたい。

【0291】

さらに、本書で使用される場合、「例示的」という用語は、「何かの説明または例として役立つ」ことを意味することが意図される。さらに、「含む」という用語が詳細な説明または特許請求の範囲のいずれかに使用される範囲において、このような用語は、特許請求の範囲において経過的な単語として採用される場合に解釈される「ｃｏｍｐｒｉｓｉｎｇ」という用語と同様の方法で包括的であることが意図される。

【0292】

図は、例示的な方法を示している。方法は、特定の順序で実行される一連の行為であるとして示され、説明されているが、方法は、順序によって限定されないことが理解され、理解される。例えば、いくつかの行為は、本書に記載されているものとは異なる順序で起こり得る。加えて、ある行為は別の行為と同時に起こりうる。さらに、場合によっては、本書で説明する方法を実施するために、すべての行為が必要であるとは限らない。

【0293】

さらに、本書に記載される行為は、１つまたは複数のプロセッサによって実施され得、かつ／またはコンピュータ読み取り可能な媒体または媒体に記憶され得るコンピュータ実行可能命令を含み得る。コンピュータ実行可能命令は、ルーチン、サブルーチン、プログラム、実行スレッド、および／またはそのようなものを含み得る。さらに、方法の行為の結果は、コンピュータ読み取り可能な媒体に記憶され、表示装置上に表示され、および／またはそのようなものとすることができる。

【0294】

本書に記載する方法のステップの順序は例示的なものであるが、ステップは任意の適切な順序で、または適切な場合には同時に実施することができる。さらに、本書に記載される主題の範囲から逸脱することなく、ステップを追加または置換することができ、または個々のステップをいずれかの方法から削除することができる。上述した実施例のいずれかの態様は、求める効果を失うことなく、記載した他の実施例のいずれかの態様と組み合わせて、さらなる実施例を形成することができる。

【0295】

上記の好ましい実施形態の説明は、例示の方法によってのみ与えられ、当業者によって様々な変更がなされ得ることが理解されるであろう。
上述してきたことは、１つまたは複数の実施形態の例を含む。もちろん、前述の態様を説明する目的で、上記の装置または方法の考え得るすべての変更および改変を説明することは不可能であるが、熟練業者であれば、様々な態様の多くのさらなる変更および順列が可能であることを認識することができる。従って、記載された態様は、添付の特許請求の範囲の範囲内に入る全てのそのような変更、修正、および変形を包含することが意図される。

【図1a】