特表2024-525945 | 知財ポータル「IP Force」

知財求人 - 知財ポータルサイト「IP Force」

▶ ファウェイ　テクノロジーズ　カナダ　カンパニー　リミテッドの特許一覧

特表2024-525945マルチユーザ量子鍵配送及び管理の方法及びシステム

書誌要約請求の範囲詳細な説明課題実施例実施するための形態図面の説明

目に優しい文字サイズ小中大 PDF Top

< >

1
2
3
4
5a
5b
5c
5d
6a
6b
7
8
9
10

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】公表特許公報(A)

(11)【公表番号】

(43)【公表日】2024-07-12

(54)【発明の名称】マルチユーザ量子鍵配送及び管理の方法及びシステム

(51)【国際特許分類】

H04L 9/12 20060101AFI20240705BHJP

【ＦＩ】

H04L9/12

【審査請求】有

【予備審査請求】未請求

(21)【出願番号】P 2024503925

(86)(22)【出願日】2021-07-23

(85)【翻訳文提出日】2024-02-28

(86)【国際出願番号】 CA2021051034

(87)【国際公開番号】W WO2023000075

(87)【国際公開日】2023-01-26

(81)【指定国・地域】

(71)【出願人】

【識別番号】518384559

【氏名又は名称】ファウェイテクノロジーズカナダカンパニーリミテッド

(74)【代理人】

【識別番号】100107766

【弁理士】

【氏名又は名称】伊東忠重

(74)【代理人】

【識別番号】100229448

【弁理士】

【氏名又は名称】中槇利明

(72)【発明者】

【氏名】トォン，ウエン

(72)【発明者】

【氏名】スン，ション

(57)【要約】

量子ベース暗号鍵を複数のネットワークノードに配送する方法である。1つのノードから2つの更なるノードへのマルチユーザ量子鍵配送は、いずれかの更なるノードがその2つの子ノードとの量子鍵配送に参加できる二分木構造に拡張できる。3ノードサブグループにおいて生成された鍵は、親3ノードサブグループ又は子3ノードグループからの鍵とステッチングでき、鍵確認は、認証された古典チャネルを通じて提供できる。古典チャネルはまた、メンバシップ更新を通信して中継するために使用でき、それに従って二分木のルートノードにおける鍵オペレータが鍵を更新することを可能にする。

【特許請求の範囲】

【請求項1】

鍵を生成する方法であって、
第1のノード及び第2のノードを用いて第1の鍵を導出するステップと、
前記第2のノード及び第3のノードを用いて第2の鍵を導出するステップと、
前記第2の鍵を用いて前記第1の鍵を暗号化するステップと、
前記第1の鍵を用いて前記第2の鍵を暗号化するステップと、
前記暗号化された第1の鍵を前記第3のノードに送信するステップと、
前記暗号化された第2の鍵を前記第1のノードに送信するステップと、
前記第1の鍵及び前記第2の鍵からステッチ鍵を導出するステップと
を含み、
鍵はビットの列から作られた暗号鍵であり、
前記第1のノードは前記第2のノードとの直接接続を有し、
前記第2のノードは前記第3のノードとの直接接続を有する、方法。

【請求項2】

ステッチ鍵を導出するステップは、鍵導出関数(KDF)を用いて実行される、請求項１に記載の方法。

【請求項3】

前記鍵導出関数は、ハッシュベースメッセージ認証コード(HMAC)鍵導出関数(HKDF)である、請求項２に記載の方法。

【請求項4】

前記第1の鍵及び前記第2の鍵からステッチ鍵を導出するステップは、前記第1の鍵及び前記第2の鍵を連結することにより実行される、請求項１に記載の方法。

【請求項5】

各ノードは二分木のノードであり、
前記第1のノードは前記第2のノードに対する親ノードであり、
前記第2のノードは前記第1のノードに対する子及び前記第3のノードに対する親であり、
前記第3のノードは前記第2のノードに対する子である、請求項１乃至４のうちいずれか１項に記載の方法。

【請求項6】

第1の鍵を導出するステップ及び第2の鍵を導出するステップは、少なくとも1つのノードが、キュービットの列を少なくとも1つの受信ノードに送信するステップを含み、各キュービットは、2キュービットもつれの状態にある、請求項１乃至５のうちいずれか１項に記載の方法。

【請求項7】

前記ステッチ鍵が前記第1のノードと前記第3のノードとに共通であるという確認を更に含み、前記確認は、前記第2のノードが、
前記第1のノードから確認要求と前記第1のノードの署名とを含むメッセージを受信することと、
前記確認要求と前記第1のノードの前記署名と前記第2のノードの署名とを含むメッセージを前記第3のノードに送信することと、
前記第3のノードから確認応答と前記第3のノードの署名とを含むメッセージを受信することと、
前記確認応答と前記第3のノードの前記署名と前記第2のノードの署名とを含むメッセージを前記第1のノードに送信することとを含む、請求項１乃至６のうちいずれか１項に記載の方法。

【請求項8】

ノードの署名は、鍵導出関数を用いて導出された完全性鍵を含み、その入力は、少なくとも、
前記ステッチ鍵と、
送信ノードの識別子と、
受信ノードの識別子と
を含む、請求項７に記載の方法。

【請求項9】

前記鍵導出関数は、ハッシュベースメッセージ認証コード(HMAC)鍵導出関数(HKDF)である、請求項８に記載の方法。

【請求項10】

前記入力は、中継ノードの識別子を更に含む、請求項８又は９に記載の方法。

【請求項11】

二分木ネットワークのノードのための暗号鍵を更新する方法であって、
第1のノードが、
第2のノードから第3のノードの削除のためのグループ更新要求を受信するステップと、
グループ更新応答及び前記第1のノードの署名を前記第2のノードに送信するステップと、
グループ鍵更新及び前記第1のノードの署名を前記第2のノードに送信するステップと、
グループ鍵更新及び前記第1のノードの署名を第4のノードに送信するステップと
を含み、
前記第1のノードは、前記第2及び第4のノードに対する親ノードであり、前記第2のノードは前記第3のノードの親ノードである、方法。

【請求項12】

前記第1のノードが、
グループ鍵更新及び前記第1のノードの署名を少なくとも1つの他のノードに送信するステップを更に含む、請求項１１に記載の方法。

【請求項13】

二分木の少なくとも3つのノードを含む複数のノードへの量子鍵配送を実行するためのシステムであって、
第1のノードは第2のノードに対する親ノードであり、
前記第2のノードは前記第1のノードに対する子及び第3のノードに対する親であり、
前記第3のノードは前記第2のノードに対する子であり、
各ノードは、2キュービットもつれの状態のキュービットに基づいて量子鍵配送に参加するように動作する、システム。

【請求項14】

前記第2のノードと前記第3のノードとの間の鍵を導出するように動作する前記第2のノード及び第3のノードと、
前記第1のノードと前記第2のノードとの間の鍵を導出するように動作する前記第1のノード及び第2のノードと
を更に含み、
前記第2のノードは、他の鍵を用いて鍵を暗号化し、前記暗号化された鍵を他のノードに送信するように動作し、
前記第1のノードは、前記第2のノードと前記第3のノードとの間の前記鍵、及び前記第1のノードと前記第2のノードとの間の前記鍵を使用して、前記第1のノード、第2のノード及び第3のノードのためのグループ鍵を導出するように動作する、請求項１３に記載のシステム。

【請求項15】

1つのノードから他のノードに、鍵確認要求及び鍵確認応答を通信するための1つ以上の古典チャネルを更に含む、請求項１４に記載のシステム。

【請求項16】

機械可読命令を記憶する機械可読媒体であって、
前記機械可読命令は、第1のノードのプロセッサにより実行されると、前記第1のノードが、
第2のノードから第3のノードの削除のためのグループ更新要求を受信し、
グループ更新応答及び前記第1のノードの署名を前記第2のノードに送信し、
グループ鍵更新及び前記第1のノードの署名を前記第2のノードに送信し、
グループ鍵更新及び前記第1のノードの署名を第4のノードに送信するように構成し、
前記第1のノードは、前記第2及び第4のノードに対する親ノードであり、前記第2のノードは前記第3のノードの親ノードである、機械可読媒体。

【請求項17】

前記第1のノードが、グループ鍵更新及び前記第1のノードの署名を少なくとも1つの他のノードに送信するように更に構成される、請求項１６に記載の機械可読媒体。

【請求項18】

機械可読命令を記憶する機械可読媒体であって、
前記機械可読命令は、第2のノードのプロセッサにより実行されると、前記第2のノードが、
第1のノード及び前記第2のノードを用いて第1の鍵を導出し、
前記第2のノード及び第3のノードを用いて第2の鍵を導出し、
前記第2の鍵を用いて前記第1の鍵を暗号化し、
前記第1の鍵を用いて前記第2の鍵を暗号化し、
前記暗号化された第1の鍵を前記第3のノードに送信し、
前記暗号化された第2の鍵を前記第1のノードに送信し、
前記第1のノードからステッチ鍵を受信することを含む、鍵を生成するように構成し、
前記ステッチ鍵は、前記第1のノードにより前記第1の鍵及び前記第2の鍵から導出され、
鍵はビットの列から作られた暗号鍵であり、
前記第1のノードは前記第2のノードとの直接接続を有し、
前記第2のノードは前記第3のノードとの直接接続を有する、機械可読媒体。

【請求項19】

前記ステッチ鍵は、ハッシュベースメッセージ認証コード(HMAC)鍵である、請求項１８に記載の機械可読媒体。

【請求項20】

前記第1の鍵を導出することは、前記第1のノードがキュービットの列を前記第2のノードに送信することを含み、各キュービットは2キュービットもつれの状態にある、請求項１８に記載の機械可読媒体。

【発明の詳細な説明】

【技術分野】

【0001】

［関連出願］
これは、本発明について出願された最初の出願である。
［技術分野］
本発明は、一般的に量子暗号の分野に関し、特に、関与するパーティ(party)の数が変更されるときの量子鍵配送の方法及びシステムに関する。

【背景技術】

【0002】

グループ・ディフィー・ヘルマン・プロトコル(GDH, Group Diffie-Hellman protocol)及びグループ鍵管理プロトコル(GKMP, Group Key Management Protocol)のような複数のパーティへの鍵配送は、グローバルに集中化された鍵オペレータの介入なしに、任意のサイズのグループ内で鍵を作成して配送する能力を提供できる。しかし、いくつかの状況では、例えば、集中型鍵オペレータを介する場合を除いてサブグループが互いを監視することを許容されない場合、サブグループの監視を可能にするために、集中型鍵オペレータが望ましいことがある。従来技術は、鍵オペレータがサブグループを監視できる一方で、サブグループが互いを監視することを妨げられる、すなわち、サブグループが直接的な信頼関係を有さないモデルを欠いている。さらに、GDHプロトコルを用いたグループ鍵の計算は指数関数的なものであり、これは、単純化又は効率を高める余地を示唆している。

【0003】

量子ベース鍵は、ビットの列(すなわち、0及び1)と見なされることができ、各ビットは、量子レベルのランダム性により決定されている。マルチユーザ量子鍵配送(MU QKD, multi-user quantum key distribution)と呼ばれるプロトコルは、1つのパーティから2つの他のパーティへのこのような鍵の対称通信と、関連する検証とを示す。しかし、MU QKDプロトコルは、これまでのところ、3パーティ配送に限定されている。

【0004】

したがって、サブグループの間に直接的な信頼関係が存在しない一方で、鍵マネージャがサブグループとの信頼関係を有することを可能にすることにより、グループ鍵の計算を簡略化することにより、また、MU QKD方式におけるパーティの数を増加させ、次いで減少させることにより、従来技術の1つ以上の制限を除去又は軽減するための方法及びシステムが必要とされる。

【0005】

この背景情報は、本発明に関連する可能性があると出願人により考えられる情報を明らかにするために提供される。上記の情報のいずれかが本発明に対する従来技術を構成することを認めることは必ずしも意図されておらず、そのように解釈されるべきでもない。

【発明の概要】

【0006】

実施形態は、中央鍵オペレータがサブグループを監視し、サブグループとの信頼関係を有することができる一方で、サブグループが互いを監視することを妨げられ、互いとの信頼関係を有さない信頼モデルを使用して、3パーティ量子鍵配送方式を3つよりも多いパーティに拡張するための方法を含む。実施形態による信頼モデルは、ルートに中央鍵オペレータを有する二分木構造に基づくことができ、これは、3パーティ量子鍵配送と互換性があり、いずれかのツリーノードをその子ノードのための二次オペレータとして且つそれ自体の親ノードとの仲介として機能させることにより、更なるパーティに拡張できる。実施形態によるグループ鍵の計算は線形とすることができ、これは、従来技術に対して高められた計算の簡略化及び効率を提供する。さらに、実施形態は、前方秘密性(forward secrecy)要件を尊重するために、ノードがネットワークから離脱するときに、グループベースのマルチユーザ(MU, multiple user)鍵を更新するためのシステム及び方法を含む。

【0007】

実施形態は、ネットワークの複数のパーティが量子ベース鍵を使用して互いに通信することを可能にでき、パーティがネットワークに参加するか或いはパーティがネットワークから離脱する場合、鍵は中央オペレータにより更新できる。

【0008】

二分木ネットワークとして構成されたネットワークを用いて、オペレータノードとその2つの子ノードのうち少なくとも1つとの間で、量子ベース鍵が導出できる。子ノードのうち1つとそれ自体の子ノードのうち少なくとも1つとの間で、他の量子ベース鍵が導出できる。次いで、2つの鍵はオペレータノードに送信されて、少なくとも3つの不連続ノードに共通の量子ベース鍵に組み合わされることができる。したがって、実施形態は、不連続ノードの間の通信を可能にして、量子ベース鍵及びその高レベルのセキュリティから利益を享受する。

【0009】

さらに、実施形態では、ノードがネットワークに参加するとき、且つ、ノードがネットワークから離脱するとき、量子ベース鍵が更新でき、鍵の更新は線形プロセスであり、これは従来技術の更新技術よりも簡単である。

【0010】

実施形態による鍵配送ネットワークは、中央オペレータが他のノードとの信頼関係を維持することを可能にする一方で、他のノードは、オペレータを介さない限り、互いとの信頼関係を有さない。これは、鍵の更新がオペレータによって実行できるためである。

【0011】

実施形態は、鍵を生成する方法を含み、第1のノード及び第2のノードを用いて第1の鍵を導出するステップと、第2のノード及び第3のノードを用いて第2の鍵を導出するステップと、第2の鍵を用いて第1の鍵を暗号化するステップと、第1の鍵を用いて第2の鍵を暗号化するステップと、暗号化された第1の鍵を第3のノードに送信するステップと、暗号化された第2の鍵を第1のノードに送信するステップと、第1の鍵及び第2の鍵からステッチ鍵(stitched key)を導出するステップとを含み、鍵はビットの列から作られた暗号鍵であり、第1のノードは第2のノードとの直接接続を有し、第2のノードは第3のノードとの直接接続を有する。実施形態では、ステッチ鍵を導出するステップは、鍵導出関数(KDF, key derivation function)を用いて実行できる。実施形態では、鍵導出関数は、ハッシュベースメッセージ認証コード(HMAC, hash-based message authentication code)鍵導出関数(HKDF, HMAC key derivation function)とすることができる。実施形態では、第1の鍵及び第2の鍵からステッチ鍵を導出するステップは、第1の鍵及び第2の鍵を連結することにより実行できる。実施形態では、各ノードは二分木のノードとすることができ、第1のノードは第2のノードに対する親ノードとすることができ、第2のノードは第1のノードに対する子及び第3のノードに対する親とすることができ、第3のノードは第2のノードに対する子とすることができる。実施形態では、第1の鍵を導出するステップ及び第2の鍵を導出するステップは、少なくとも1つのノードが、キュービット(qubit)の列を少なくとも1つの受信ノードに送信するステップを含むことができ、各キュービットは、2キュービットもつれ(2-qubit entanglement)の状態にある。実施形態では、ステッチ鍵が第1のノードと第3のノードとに共通であるという確認が存在することができ、確認は、第2のノードが、第1のノードから確認要求と第1のノードの署名とを含むメッセージを受信することと、確認要求と第1のノードの署名と第2のノードの署名とを含むメッセージを第3のノードに送信することと、第3のノードから確認応答と第3のノードの署名とを含むメッセージを受信することと、確認応答と第3のノードの署名と第2のノードの署名とを含むメッセージを第1のノードに送信することとを含む。実施形態では、ノードの署名は、鍵導出関数を用いて導出された完全性鍵を含むことができ、その入力は、少なくとも、ステッチ鍵と、送信ノードの識別子と、受信ノードの識別子とを含むことができる。実施形態では、鍵導出関数は、ハッシュベースメッセージ認証コード(HMAC, hash-based message authentication code)鍵導出関数(HKDF, HMAC key derivation function)とすることができる。実施形態では、鍵導出関数の入力は、中継ノードの識別子を含むことができる。

【0012】

実施形態は、二分木ネットワークのノードのための暗号鍵を更新する方法を含み、第1のノードが、第2のノードから第3のノードの削除のためのグループ更新要求を受信するステップと、グループ更新応答及び第1のノードの署名を第2のノードに送信するステップと、グループ鍵更新及び第1のノードの署名を第2のノードに送信するステップと、グループ鍵更新及び第1のノードの署名を第4のノードに送信するステップとを含み、第1のノードは、第2及び第4のノードに対する親ノードであり、第2のノードは第3のノードの親ノードである。実施形態では、二分木ネットワークのノードのための暗号鍵を更新する方法は、第1のノードが、グループ鍵更新及び第1のノードの署名を少なくとも1つの他のノードに送信するステップを更に含むことができる。

【0013】

実施形態は、二分木の少なくとも3つのノードを含む複数のノードへの量子鍵配送を実行するためのシステムを含み、第1のノードは第2のノードに対する親ノードであり、第2のノードは第1のノードに対する子及び第3のノードに対する親であり、第3のノードは第2のノードに対する子であり、各ノードは、2キュービットもつれの状態のキュービットに基づいて量子鍵配送に参加するように動作する。実施形態では、システムは、第2のノードと第3のノードとの間の鍵を導出するように動作する第2のノード及び第3のノードと、第1のノードと第2のノードとの間の鍵を導出するように動作する第1のノード及び第2のノードとを含むことができ、第2のノードは、他の鍵を用いて鍵を暗号化し、暗号化された鍵を他のノードに送信するように動作し、第1のノードは、第2のノードと第3のノードとの間の鍵、及び第1のノードと第2のノードとの間の鍵を使用して、第1のノード、第2のノード及び第3のノードのためのグループ鍵を導出するように動作する。実施形態では、システムは、1つのノードから他のノードに、鍵確認要求及び鍵確認応答を通信するための1つ以上の古典チャネルを更に含むことができる。

【0014】

実施形態は、機械可読命令を記憶する機械可読媒体を含み、機械可読命令は、第1のノードのプロセッサにより実行されると、第1のノードが、第2のノードから第3のノードの削除のためのグループ更新要求を受信し、グループ更新応答及び第1のノードの署名を第2のノードに送信し、グループ鍵更新及び第1のノードの署名を第2のノードに送信し、グループ鍵更新及び第1のノードの署名を第4のノードに送信するように構成でき、第1のノードは、第2及び第4のノードに対する親ノードであり、第2のノードは第3のノードの親ノードである。実施形態では、機械可読媒体は、第1のノードが、グループ鍵更新及び第1のノードの署名を少なくとも1つの他のノードに送信するように更に構成されることを含むことができる。

【0015】

実施形態は、機械可読命令を記憶する機械可読媒体を含み、機械可読命令は、第2のノードのプロセッサにより実行されると、第2のノードが、第1のノード及び第2のノードを用いて第1の鍵を導出し、第2のノード及び第3のノードを用いて第2の鍵を導出し、第2の鍵を用いて第1の鍵を暗号化し、第1の鍵を用いて第2の鍵を暗号化し、暗号化された第1の鍵を第3のノードに送信し、暗号化された第2の鍵を第1のノードに送信し、第1のノードからステッチ鍵を受信することを含む、鍵を生成するように構成し、ステッチ鍵は、第1のノードにより第1の鍵及び第2の鍵から導出され、鍵はビットの列から作られた暗号鍵であり、第1のノードは第2のノードとの直接接続を有し、第2のノードは第3のノードとの直接接続を有する。実施形態では、ステッチ鍵は、ハッシュベースメッセージ認証コード(HMAC, hash-based message authentication code)鍵とすることができる。実施形態では、第1の鍵を導出することは、第1のノードがキュービットの列を第2のノードに送信することを含むことができ、各キュービットは2キュービットもつれの状態にある。

【0016】

いくつかの実施形態では、第2のノードのようなノードは、ユーザ機器デバイス(UE, user equipment device)とすることができる。

【図面の簡単な説明】

【0017】

【図1】フォトニックキュービットを実現する実施形態による、二分木構造を有するマルチユーザ量子鍵配送(MU QKD, multi-user quantum key distribution)ネットワークを示す。

【図2】実施形態による二分木構造を有するマルチユーザ量子鍵配送(MU QKD, multi-user quantum key distribution)ネットワークを示し、サブグループ及び関連するグループ鍵に重点が置かれている。

【図3】実施形態による、3つのネットワークノードのグループと、ノードの間の信頼関係とを示す。

【図4】実施形態による、グループ鍵ステッチングを可能にするステップを示すコールフロー図である。

【図5a】実施形態による、オペレータノードOからノードCへのステッチグループ鍵の確認を要求するメッセージの部分を示す。

【図5b】実施形態による、ノードAからノードCへのステッチグループ鍵の確認を要求するメッセージの部分を示す。

【図5c】実施形態による、ノードCからオペレータノードOへのステッチグループ鍵の確認を要求するメッセージの部分を示す。

【図5d】実施形態による、ノードAからオペレータノードOへのステッチグループ鍵の確認を要求するメッセージの部分を示す。

【図6a】実施形態による、完全性鍵がノード識別子及びグループ鍵から再構築され、送信ノードのための署名を作成するために使用できる方法を示す。

【図6b】ノードが図１～図５に定義されるノードである実施形態による、完全性鍵がノード識別子及びグループ鍵から再構築され、送信ノードのための署名を作成するために使用できる方法を示す。

【図7】実施形態による、ステッチグループ鍵が確認されることを可能にするステップを示すコールフロー図である。

【図8】実施形態による、二分木ネットワークから離脱するときのノードの除去を示す。

【図9】実施形態による、二分木ネットワークから離脱する1つ以上のノードを除去するためのプロセスを示すコールフロー図である。

【図10】ここに開示されるデバイス及び方法を実現するために使用され得る、コンピューティング及び通信環境内に示される電子デバイス(ED, electronic device)のブロック図である。

【発明を実施するための形態】

【0018】

鍵オペレータがノード(すなわち、パーティ)のサブグループを監視でき、サブグループが、互いを監視できず、互いとの直接の信頼関係を有することなく、鍵オペレータに依存する、集中型信頼モデルは、実施形態による二分木ネットワーク構造で実現できる。二分木構造はまた、いずれかのノード(すなわち、頂点)がパーティとなることができる3パーティ量子鍵配送方式とも互換性がある。二分木構造を実現する実施形態では、二分木のいずれかのノードが、鍵を2つの後続ノード(子ノード)に対称的に送信でき、それにより、3つよりも多くのノードを含むマルチレベル又は階層構造を可能にする。送信側として機能するとき、二分木のノードは、2つの他のノードに対する親ノードであり、リーダーノードと呼ばれることができる。二分木構造は、オペレータノードと呼ばれることができる1つのルートノードを有する。実施形態では、リーダーとして機能する1つの親ノードと、受信側として機能する2つの子ノードとを含む3つのパーティのいずれかのグループは、サブグループと呼ばれることができる。同じ数の中間ノードによりルートノード(すなわち、オペレータノード)に関連付けられたサブグループは、同じレイヤにあると言える。ルートノードを含むレイヤは、「レイヤ1」と呼ばれることができる。

【0019】

実施形態による、オペレータノードが複数のレイヤのサブグループを管理するための方式は、鍵ステッチング(KS, key stitching)信頼モデルと呼ばれることができる。実施形態では、鍵ステッチングは、オペレータノードから第1の鍵又はレイヤ1鍵を受信するノードが、更なるノードに送信するための第2の鍵又はレイヤ2鍵を生成でき、次いで、第1の鍵及び第2の鍵がオペレータノードを通じて集められて、レイヤ1及びレイヤ2のための共通鍵を作ることができるプロセスである。実施形態では、鍵も生成する受信ノードは、サブグループ「リーダー」と呼ばれることができる。さらに、グループ鍵計算が指数関数的である従来技術と比較して、実施形態のグループ鍵計算は線形とすることができる。

【0020】

線形オーバーヘッドは、ネットワークに参加するか或いはネットワークから離脱するノードのグループダイナミックスによるものである。QKDプロトコルは、オペレータOのみとの4つのメッセージ往復を有する通信オーバーヘッドを必要とする。Nがネットワーク内のノードの数を表す場合、これはO(4N)として表されることができる。グループ・ディフィー・ヘルマン(GDH, Group Diffie Hellman)プロトコルのようなプロトコルを用いると、グループ鍵計算は、指数関数的であるO(N^m)でより良く表される。

【0021】

実施形態は、3パーティ量子鍵配送方式に適用可能であり、これにより、量子ベース鍵は、オペレータノードから2つの他の分離されたパーティ(すなわち、二分木構造の最初の2つの子ノード)へのビットの列として生成、処理及び配送でき、鍵セキュリティ、又はビット値の秘密性は、量子メカニズム及び量子ベースの原理を通じて検証される。マルチユーザ量子鍵配送又はMU QKDと呼ばれる3パーティ量子鍵配送方式は、PCT/CA2021/050738に記載されている。

【0022】

実施形態は、少なくとも1つの認証された古典チャネル(classical channel)を含むことができ、これは、異なるパーティにより受信された鍵のバージョンを通信して比較するために、すなわち、配送方式に関与する鍵合意を取得するために使用できる。

【0023】

マルチユーザ(すなわち、ユーザの数がN≧2である)量子鍵配送(MU QKD, multi-user quantum key distribution)プロトコルに適用される実施形態では、鍵セキュリティ及び/又は秘密性は、ベル不等式が破られる2キュービットもつれの状態に基づくことができる。この方式は、盗聴に対する非順応性及び保護を改善又は確保する。

【0024】

実施形態は、MU QKDを鍵ステッチング信頼モデルと組み合わせて、最初の2つの受信側を超えて(すなわち、レイヤ1を超えて)、更なるレイヤのサブグループに鍵を対称的に配送して共有するための簡略化されたメカニズムを提供し、それにより、複数のレイヤ及び複数のメンバへの鍵配送を拡張できる。1つのレイヤのための鍵は、他のレイヤのための鍵にステッチできる。例えば、オペレータノードからその2つの子ノードに配送されるレイヤ1鍵は、レイヤ1の子ノードからレイヤ2の子ノードに配送されるレイヤ2鍵にステッチできる。さらに、鍵ステッチング信頼モデルは、前方秘密性要件を尊重するために、パーティがネットワークから離脱するときに、グループベースのマルチユーザ鍵を更新するためのシステム及び方法で補完できる。

【0025】

実施形態では、鍵は、それぞれが量子スケールランダム性により決定されるビットの列とすることができる。決定される前に、ビットは、量子ビット又は「キュービット(qubit)」とすることができ、これは、2つの結果状態の重ね合わせにある情報のビットとして見られることができ、典型的には、当該技術分野の表記を用いて、(古典ビットの0及び1とは対照的に)|0>及び|1>として記述される。実施形態では、キュービットは、測定されたときに2つの可能な結果状態|0>及び|1>を有することができ、重ね合わせの初期(測定前)の状態ψは、以下のように表されることができる。
ψ=a|0>+b|1> (1)
ここで、a及びbは、それぞれ、更なる計算を介して間接的に重ね合わせの各結果状態の確率に対応し、実施形態では、これは50%とすることができる。状態|0>は量子ビットの1つの可能な結果状態であり、状態|1>は他の可能な結果状態であり、それぞれの可能性は、50%の発生確率を有することができ、各キュービットの結果は、本質的にランダムである。どのようにキュービットが実現されて生成されたかに依存する「測定(measurement)」と呼ばれるプロセスにより、結果が知られると、これは、鍵として使用できる列を作るために、古典ビット、すなわち、0又は1として使用できる。したがって、このような鍵は、量子ベース鍵又は単に量子鍵と呼ばれる。量子鍵は、ビットの列とすることができ、各ビットは、量子レベルのランダム性に従ってランダムに決定されている。

【0026】

実施形態では、キュービットが最初に生成されて送信されるとき、その状態は未決定とすることができ、ネットワークノードにより受信されたとき、キュービットの状態が測定され、したがって、0又は1のいずれかとして決定でき、値はランダムである。単一粒子、単一原子、又は測定可能な量子特性を有する他のエンティティとして実現できるキュービットの量子スケールでは、測定自体が、キュービットを決定状態にさせ、測定は、2つの結果のうち1つのみが可能であるように実行できる。2つの可能な結果は、状態|0>及び状態|1>としてラベル付けでき、測定の後に、キュービットが単に0又は1としての古典ビットになる。例えば、キュービットが偏光のランダム(量子)状態にある光子である場合、典型的には偏光子を用いて偏光を測定することにより、光子は偏光の決定(古典)状態になる。

【0027】

量子ベース鍵(すなわち、量子鍵)は、ビットの列(すなわち、0及び1)とすることができ、各ビットは、物理的な量子スケール現象に基づいてランダムに決定されている。最初に送信されるとき、量子ビット(キュービット)は、未決定とすることができるが、受信の時点で、キュービットの状態が測定でき、キュービットとして、状態は0又は1のいずれかとして決定できる。受信点が望ましくない傍受者(例えば、盗聴者)である場合、キュービットは、決定されたビットになり、そのランダム性は失われる。仮説的なシナリオでは、傍受者は、ビットを測定し、例えば、1を取得できる。その存在を隠すために、傍受者は、従来のビット1を意図された受信ノードに送信する。しかし、適切に設計されたシステム及び方法を用いると、ビットを0又は1として測定する受信ノードは、ビットがランダムキュービットとして送信されたか否か、或いは、最初に元のキュービットを受信して測定した傍受者により古典ビットとして送信されたか否かを統計的に決定できる。

【0028】

2キュービットもつれの状態は、各キュービットが独立して記述できないように相互作用する2つのキュービットを含む状態である。その代わりに、2つのキュービットは1つのエンティティとして記述されなければならない。一例として、2つのキュービットがもつれていない場合、ペアについて4つの可能な結果状態、すなわち、|00>、|01>、|01>及び|11>が存在し、|xy>において、xはペアの一方のビットのビット値であり、yはペアの他方のビットのビット値である。しかし、2つのキュービットがもつれている場合、測定結果は2つの可能性、すなわち、|00>又は|11>に制限される。各キュービットが1つの他のキュービットに対してもつれている複数のキュービットの生成は、鍵の2つのコピーを表すもつれたキュービットの2つの列の作成を生じることができる。後続の処理で、2つの列が比較できる。比較中に、列の多くのビットが非もつれの状態にあることが示された場合、すなわち、多くの|01>又は|10>状態が存在する場合、キュービット伝送が損なわれており、鍵が安全でないと結論付けることができる。しかし、ほとんどのビットの状態が、もつれている元のキュービットに従う場合、すなわち、かなりの数の|00>及び|11>状態が存在し、非常に少ない|01>又は|10>状態が存在する場合、鍵は損なわれておらず、安全であると考えられることができ、使用できる。キュービットの列の傍受は、もつれた量子ビットを従来のビットにさせることができるので、傍受は、|01>及び|10>状態の増加した割合を引き起こし、鍵を拒絶させることができる。しかし、過度のノイズも|01>及び|10>状態を引き起こす可能性がるため、鍵のセキュリティを評価することは、環境ノイズを考慮すべきである。

【0029】

2つのキュービットがもつれている場合、2つの結果状態のみが可能である。2キュービットもつれの量子状態は、以下のように表されることができる。
ψ=1/√2|00>+1/√2|11>
ψ=1/√2(|00>+|11>) (1)
ここで、
|00>は、もつれたキュービットの1つの可能な結果状態(双方とも0である)を表し、
|11>は、もつれたキュービットの他の可能な結果状態(双方とも1である)を表し、
1/√2乗数は、測定される結果状態毎の50%の確率に対応する。

【0030】

グループ通信において、グループのメンバがメッセージを安全に交換する必要があるとき、グループ鍵の生成が必要とされる可能性があり、グループ鍵は、グループの全てのメンバに共通のものである。例えば、モバイルマルチキャスト通信において、鍵配送の方法は、認証及び鍵合意(AKA, Authentication and Key Agreement)プロトコルである。このようなプロトコルは、ルート鍵(K)の秘密性に依存することができ、ルート鍵Kの無許可の変更又は侵害は情報漏洩をもたらす可能性がある。実施形態による2キュービットもつれの状態に基づくマルチユーザ量子鍵配送(MU QKD, multi-user quantum key distribution)方法を用いると、鍵の無許可の変更又は侵害のリスクが、実現方式に依存して、大幅に、場合によっては任意の低レベルまで低減できる。完全に古典的な計算環境と比較して、実施形態では、多くの非もつれの状態(すなわち、状態|01>及び|10>)の測定は、もつれたキュービットの列の初期伝送の傍受を示すことができるので、実施形態によるマルチユーザ量子鍵配送(MU QKD, multi-user quantum key distribution)方法は、傍受者(すなわち、盗聴者、中間者(MITM, man-in-the-middle))攻撃に対する改善されたセキュリティを提供できる。

【0031】

実施形態は、3パーティマルチパーティ量子鍵配送(MU QKD, multi-party quantum key distribution)方式を含むことができ、鍵オペレータ(リーダーノードとして機能する親ノード)は、鍵オペレータから2つの他の分離されたパーティ(受信ノードとして機能する子ノード)に配送される鍵の2つのコピーとして、もつれたキュービットの2つの列を生成できる。キュービットの列の2つのコピーは、全ての3つパーティの間で共有できる古典的なビット鍵になるように処理、比較及び検証でき、この目的のために、実施形態はまた、配送される鍵の異なるコピーを伴う合意を通信するために、1つ以上の認証された古典チャネルを含むことができる。

【0032】

安全であるために、MU QKD方式を使用した複数のユーザへの鍵配送は、送信ノードと受信ノードとの間の物理的近接性に依存することができる。量子ベース鍵が、2キュービットもつれに基づくMU QKD方式に従ってユーザ機器(すなわち、モバイルハンドセットのようなUE)に配送される場合、UEは、もつれたキュービットを安全に受信するために、生成されたキュービットのソースに十分に近くなければならない。距離が増加するにつれて、キュービットが傍受又はノイズにより妨害される可能性も増加する。したがって、量子ベース鍵のセキュリティは、ソースと受信ノードとの間の距離が減少するにつれて増加できる。

【0033】

当該技術分野で「量子非局所性(quantum non-locality)」と呼ばれるもつれ特徴のため、MU QKD方式を使用した複数のユーザへの鍵の配信は、非常に安全になる可能性がある。量子非局所性は、2つのキュービットがもつれ、これらの状態が未決定であるとき、それぞれがどこに位置するかにかかわらず、一方のキュービットの測定が他方のキュービットの状態を瞬時に決定するという実験的観察を示すことができる。したがって、キュービットの状態は、必ずしも「局所」条件により決定されるとは限らず、他のキュービットの位置における測定により決定できる。キュービットがもつれているか否かを表すために、ベル不等式と呼ばれる式が使用できる。典型的には、2つのキュービットがもつれていない場合、ベル不等式が満たされる。しかし、2キュービットもつれの状態はベル不等式を満たさず、したがって、ベル不等式が満たされない場合、これは、もつれたキュービットの存在を示すことができる。ベル不等式から、傍受者(すなわち、盗聴者)を含むとき、2つのキュービットがもつれる確率は、以下のように表されることができる。
E(AC)+E(CB)<<E(AB) (2)
ここで、
E(AC)は、受信ノードAにおけるビットが傍受者(C)におけるビットともつれる期待値(すなわち、確率)を示し、
E(CB)は、受信ノードBにおけるビットが傍受者(C)におけるビットともつれる期待値(すなわち、確率)を示し、
E(AB)は、受信ノードAにおけるビットが受信ノード(B)におけるビットともつれる期待値(すなわち、確率)を示す。

【0034】

式(2)は、受信ノードAにより受信されたキュービットと受信ノードBにより受信されたキュービットとの間のもつれの確率E(AB)が、盗聴者Cにおいて受信されたキュービットがA又はBのいずれかにおけるものともつれる確率よりもはるかに大きいことを述べている。言い換えると、キュービットが盗聴者により受信された場合、これが受信ノードA又はBにおけるビットともつれる確率は、無視できるほど低い。したがって、量子ベース鍵のセキュリティのレベルは、そのキュービットのうちいくつが2キュービットもつれの状態で受信されたかをカウントすることにより評価できる。

【0035】

実施形態は、2キュービットMU QKDのようなマルチユーザ量子鍵配送(MU QKD, multi-user quantum key distribution)方法と、同じ鍵が複数のネットワークノードと更に共有され、それにより、MU QKDを複数のレイヤの複数のメンバに拡張できるような鍵ステッチングとを含むことができる。第1のノードは、初期MU QKD、鍵ステッチング、及び更なるノードとの信頼関係の実現(すなわち、鍵ステッチング信頼モデル)を担う集中型オペレータノードOとすることができる。二分木構造において2キュービットMU QKDプロトコルを実現する実施形態では、オペレータノードOは、その子ノード、すなわち、受信ノードA及び受信ノードBに対称的に鍵を配信でき、オペレータO、ノードA及びノードBは一緒に、ネットワークのコア層又はMU QKDネットワークのレイヤ1を形成すると言われることができる。レイヤ1は、1つの信頼グループを含むことができ、そのメンバは、オペレータノードO、ノードA及びノードBである。ノードA及びBは、それぞれ「アリス」及び「ボブ」と呼ばれることができる。

【0036】

実施形態では、受信ノードA及び受信ノードBのそれぞれはまた、更なる子ノードに送信できるもつれたキュービットのペアを生成することにより、更なる送信側として機能することができる。ノードAから受信子ノードC及びDへのMU QKDが存在する場合、ノードA、C及びDは他の信頼グループと呼ばれることができ、ノードBから受信子ノードE及びFへのMU QKDが存在する場合、ノードB、E及びFは更に他の信頼グループと呼ばれることができる。実施形態では、ノードAからノードC及びDへ、及び/又はノードBからノードEへのいずれかのMU QKDは、レイヤ2 QKD又はレイヤ2 MU QKDと呼ばれることができる。

【0037】

図１は、一実施形態による、二分木構造を有するMU QKDネットワークを示す。キュービットの列が光子の列として実現される実施形態では、鍵ソース105は、光子の列110を生成でき、光子は、偏光ビームスプリッタ115により受信され、もつれたキュービット120のペアを生成できる。もつれたキュービットの各ペアは、ベル状態にあると言われることができ、これは、式(1)125として表されることができる。もつれたキュービットを生成する第1の偏光ビームスプリッタ115は、鍵オペレータノード又はオペレータOと呼ばれることができる。キュービットの多くのペアを順に生成することにより、各キュービットが2キュービットもつれの状態にあり、キュービットの列の2つのコピーが生成でき、コピーの各キュービットが他のコピーのキュービットともつれ、各コピーが異なる受信ノードに送信できる。第1のキュービットの列はノードA130に送信され、第1のキュービットの列にそれぞれもつれた第2のキュービットの列はノードB135に送信できる。

【0038】

キュービットがノードA130で受信されたとき、その偏光の状態は、偏光ビームスプリッタで測定できる。2つの状態のうちいずれか1つにあることができる測定結果は、測定結果に依存して、0又は1の従来のビットとして、ノードAに関連付けられたメモリに記録できる。同様に、ノードB135は、ペアの他方のもつれたキュービットで同様に実行できる。後に、ノードAにおいて記録された列は、ノードBにおいて記録された列と比較されることができ、これらのもつれのレベルが十分である場合、すなわち、ノードAにおいて受信された列が、ユーザにより決定される、ノードBにおいて受信された列と十分に類似している場合、これらは、非類似ビットを削除させることにより、類似又は同一にされることができ、最終的な列が鍵として使用できる。

【0039】

実施形態では、ノードA及びノードBのそれぞれが、ノードC150(ユーザ1)、ノードD155(ユーザ2)、ノードE160(ユーザ3)及びノードF165(ユーザ4)のような更なる受信ノードに送信できるもつれたキュービットのペア140、145を生成できるので、受信ノードA130及び受信ノードB135はまた、これらが更なるオペレータであるかのように機能することができる。オペレータO115からノードA及びBへの配送は、「レイヤ1」170配送と呼ばれることができ、ノードA及び/又はBからノードC及びDへ、及び/又はノードE及びFへの配送は、「レイヤ2」175伝送と呼ばれることができる。

【0040】

ノードA130及びノードB135もまた、もつれたキュービット140、145の更なるペアを生成することにより更なるオペレータとしても機能する場合、これらは、これらのそれぞれの子ノードのためのオペレータノードとして機能でき、各3パーティグループは、サブグループと呼ばれることができ、ノードA及びノードBはそれぞれ、サブグループリーダーと呼ばれることができる。各サブグループはまた、信頼グループとすることができ、各サブグループ又は信頼グループは、サブグループ又は信頼グループに固有のグループ鍵を生成できる。

【0041】

図２は、実施形態による、マルチユーザ量子鍵配送及びステッチングのための構造を示し、サブグループ及び関連するグループ鍵に重点が置かれている。この図は、中央オペレータO115から二分木のその子ノードへの、ノードのマルチレイヤグループへの鍵配送を表す。最初に、対称鍵配送205が、ノードO115におけるオペレータから、ノードA130へ、また、ノードB135へ行われることができ、これらは一緒にグループG(O,AB)210を形成する。ノードO、A及びBにより配送されて導出される鍵は、K_O-A-B215と呼ばれることができる。

【0042】

鍵K_O-A-B215が導出された後に、ノードA130からノードC150及びD155への更なる対称鍵配送220が行われることができ、その3つはサブグループG(A,CD)225と呼ばれることができる。結果の鍵は、最初はもつれたキュービットの2つのコピーからなり、K_A-C-D230と呼ばれることができる。同様に、更なるMU KD235が、ノードB135からノードE160及びF165に対して行われることでき、そのグループは、サブグループG(B,EF)240と呼ばれることができ、結果の鍵は、K_B-E-F245と呼ばれることができる。

【0043】

図２に示すように、MU QKDが複数のグループで行われる実施形態では、グループ鍵ステッチングは、実施形態によるグループ鍵検証プロトコルを示し、これは、関与する複数のグループについて、少なくとも1つの中間エンティティを通じて、2つ以上の鍵を結合グループ鍵に集めることができる。例えば、図２において、中間エンティティは、2つの分離されたグループ、すなわち、グループG(O,AB)210とグループG(A,CD)225との間にあるノードA130とすることができる。このような場合、結合グループ鍵は、2つのグループについて生成でき、結合グループ鍵は、鍵K_O-A-B215及びK_A-C-D225に基づく。

【0044】

実施形態では、グループ鍵ステッチ信頼モデルは、以下を含むセキュリティ仮定に基づいて構築できる。
・強力な集中型鍵オペレータが存在し、信頼は集中型オペレータに向けられる。
・グループ鍵ステッチング信頼モデルのセキュリティ特性を確保するために、MU QKDのようなセキュア鍵交換メカニズムが存在する。

【0045】

図３は、実施形態によるグループ鍵ステッチングが準拠できる信頼モデルを示す。このモデルは、3つのネットワークノードのグループと、ノードの間の信頼関係とを含む。この実施形態では、オペレータノードO115は、受信ノードA130との直接の相互信頼関係310と、受信ノードB135との別個の相互信頼関係320とを有することができる。しかし、ノードAとノードBとの間には必ずしも信頼関係330が存在するとは限らず、それにより、これらの間の相互信頼はノードO115を通じてのみ達成できる。

【0046】

記号表記では、信頼関係は、以下のように表されることができる。ノードOとAとの間の信頼関係は、以下のように表されることができる。

【数1】

OとBとの間の信頼関係は、以下のように表されることができる。

【数2】

そして、ノードOを経由しなければならないAとBとの間の信頼関係は、以下のように表されることができる。

【数3】

オペレータノードOがなければ、ノードA及びBは、相互信頼を達成できない。これは以下のように表されることができる。

【数4】

【0047】

オペレータO115を通じてグループ鍵ステッチングを達成するために、また、グループG(A,CD)225のようなサブグループとの信頼モデルを確立するために、鍵K(O-A-B)がMU QKDを介して導出されると、以下のステップがノードA130により実行できる。図２を参照する。
・ノードAにより、ノードAからノードC及びノードDへの2キュービットもつれの列を用いた鍵配送(すなわち、各サブグループにおけるMU QKD)を実行し、グループ鍵K(A-C-D)230を導出する。
・ノードAにより、認証できる古典チャネルを通じて、鍵K(O-A-B)215をグループG(A,CD)225に中継し、鍵K(A-C-D)230をグループG(O,AB)210に中継する(すなわち、グループ鍵交換)。
○ノードAにより、鍵K(O-A-B)215を用いて鍵K(A-C-D)230を暗号化する。
○ノードAにより、古典チャネルを介して、暗号化された鍵K(A-C-D)230をノードOに送信する。
○ノードAにより、鍵K(A-C-D)230を用いて鍵K(O-A-B)215を暗号化する。
○ノードAにより、古典チャネルを介して、暗号化された鍵K(O-A-B)215をノードC及びDに送信する。
・鍵K(O-A-B)215及びK(A-C-D)230を連結すること等で組み合わせることにより、グループG(O-A-B)215及びG(A-C-D)225のためのグループ鍵を導出し(すなわち、「グループ鍵ステッチング」)、これは以下のように表されることができる。
K(O-A-C-D)=K(O-A-B)||K(A-C-D)
・ノードAにより、Oにより署名された、オペレータOからのステッチグループ鍵確認要求メッセージMsg1の伝送をC及びDに中継する(すなわち、ステッチグループ鍵確認)。任意選択で、傍受ノードA'(すなわち、盗聴者)からのMITM攻撃を防止するために、オペレータOは、ノードAの識別子(ID)をOの署名鍵に符号化できる。
・並行して、ノードBとノードEとノードFとの間で同様のプロセスが実行できる。

【0048】

図４は、実施形態による、グループ鍵のステッチングを可能にするステップを表すコールフロー図である。ノードA130は、オペレータノードO115からもつれたキュービットの列を受信し、グループG(O,AB)を用いてMU QKDに参加して、グループ鍵K(O-A-B)405を導出できる。ノードAはまた、もつれたキュービットの列をノードC150及びノードD155に送信できる。ノードAは、グループG(A,CD)の一部としてMU QKDに参加して410、グループ鍵K(A-C-D)を導出できる。MU QKDの双方のインスタンスの結果は、ノードA130が2つの量子ベース鍵、すなわち、K(O-A-B)及びK(A-C-D)を有することである。したがって、2つの鍵のいずれかを送信するために、ノードA130は、他方を用いて一方を暗号化でき、その逆も可能である。

【0049】

実施形態では、ノードA130は、K(O-A-B)を用いてK(A-C-D)を暗号化し、結果E[K(A-C-D)]をオペレータノードO115に送信できる415。ノードAはまた、K(A-C-D)を用いてK(O-A-B)を暗号化し、結果E[K(O-A-B)]をノードC150及びノードD155に送信できる420。

【0050】

鍵K(O-A-B)及びK(A-C-D)がレイヤ1及びレイヤ2のノードにより受信されると、これらは「ステッチ」されて(すなわち、これらにより或いはこれらを連結すること等により組み合わされて)グループ鍵K(O-A-C-D)425を形成できる。

【0051】

実施形態では、K(O-A-C-D)のようなグループ鍵のステッチングの後に、確認プロセスが続くことができる。初期グループ鍵確認ステップとして、確認要求メッセージが、ノードAによる中継を介して、オペレータノードO115からノードC及びDに送信できる。

【0052】

図５ａは、実施形態による、オペレータノードOからノードCへのステッチグループ鍵の確認を要求するメッセージの特徴を示す。ステッチグループ鍵確認要求メッセージ「Msg1」505は、ノードA130を介して、オペレータO115からノードC150に送信できる。要求メッセージの内容及びパラメータは、セキュリティ510に関連する変数を含むことができ、O515の署名で署名できる。

【0053】

更なるグループ鍵確認ステップにおいて、ノードAからノードCへのステッチグループ鍵確認要求メッセージ「Msg2」が存在できる。

【0054】

図５ｂは、実施形態による、ステッチグループ鍵を確認するためのノードAからノードCへの要求メッセージの特徴を示す。要求メッセージ「Msg2」520は、Msg1 505を含む内容及びパラメータと共に、ノードA130からノードC150に直接送信でき、A525の署名で署名できる。

【0055】

更なるグループ鍵確認ステップにおいて、ステッチグループ鍵を確認するために、ノードCからオペレータOへの応答メッセージ「Msg3」が存在できる。

【0056】

図５ｃは、実施形態による、ステッチグループ鍵を確認する、ノードCからオペレータOへの応答メッセージの特徴を示す。応答メッセージ「Msg3」530は、ノードC150からノードA130を介してオペレータO115に送信でき、内容及びパラメータは、セキュリティ535に関連する変数を含むことができ、ノードC540の署名を使用して署名できる。

【0057】

更なるグループ鍵確認ステップにおいて、ステッチグループ鍵を確認するために、ノードAからオペレータOへの応答メッセージ「Msg4」が存在できる。

【0058】

図５ｄは、実施形態による、ステッチグループ鍵を確認する、ノードAからオペレータOへの応答メッセージの特徴を示す。応答メッセージMsg4 545は、A525の署名を使用して、Msg3 530を含む内容及びパラメータを用いて、ノードA525からオペレータO115に直接送信できる。

【0059】

送信側は、メッセージに署名するためにセキュアなハッシュ関数を使用できる。特に、メッセージは、完全性鍵「IK(ソース)」を使用することにより作成できる、Sig(O)515、Sig(A)525及びSig(B)540のような署名を使用して、送信ノード(すなわち、ソースノード)により署名できる。完全性鍵は、HKDFとして知られるハッシュベースメッセージ認証コード(HMAC, hash-based message authentication code)KDFのような鍵導出関数(すなわち、KDF)から導出できる。送信側(すなわち、ソース)、受信側(すなわち、宛先)及び中継の識別子は、グループ鍵と同様に、ノードにより知られ得るので、受信側は、それに送信された完全性鍵を再構築できる。識別子は、ID(ソース)、ID(宛先)及びID(中継)と呼ばれることができ、Sig(O)515、Sig(A)525及びSig(C)540のための識別鍵は、それぞれ「IK(O)」、「IK(A)」及び「IK(C)」と表されることができる。

【0060】

図６ａは、実施形態による、完全性鍵がノード識別子及びグループ鍵から再構築され、送信ノードの署名を構築するために使用できる方法を示す。ソースS、宛先D及び中継Rの識別子、それぞれ、ID(S)605、ID(D)610及びID(R)615は、グループ鍵K620と共に、署名ノードにより使用できる。HKDFのような鍵導出関数(KDF, key derivation function)625は、鍵の強度又はエントロピーを拡張し、ID(S)、ID(D)、ID(R)及びグループ鍵Kを入力として取り、完全性鍵IK(S)630を出力として生成するために使用できる。IK(S)630は、送信ノード(すなわち、メッセージソース)のための署名されたメッセージSig[IK(S),Msg]640を作成するために、メッセージMsg635と共に使用できる。

【0061】

図６ｂは、ノードが図１～図５において識別されるノードである実施形態に従って、完全性鍵がノード識別子及びグループ鍵から再構築でき、署名が送信ノードのために作成できる方法を示す。オペレータノードO内のKDF625は、出力として完全性鍵IK(O)680を作成するための入力として、グループ鍵K(O-A-C-D)670と共に、オペレータO、ノードC及び中継Aの識別子、それぞれ、ID(O)655、ID(C)660及びID(A)665を使用できる。完全性鍵IK(O)680は、オペレータノードOのための署名690を作成するためにメッセージMsg685と共に使用できる。

【0062】

図７は、実施形態による、ステッチグループ鍵の確認を可能にするステップを表すコールフロー図である。最初のステップとして、オペレータノードO115は、メッセージMsg1 505として、Oの署名と共に鍵確認要求をノードA130に送信できる705。ノードA130は、Aの署名を追加し、メッセージMsg2として、鍵確認要求をノードC150及びノードD155に中継できる710。同時に或いは順々に動作するノードC及びDは、これら自体の署名を追加し、それぞれメッセージMsg3 715として、鍵確認応答をノードAに送信できる715。ノードAがノードAの署名を追加し、鍵確認応答をオペレータノードOに中継した720後に、鍵確認は完了したと見なされることができる。オペレータノードOが鍵確認応答を受信した場合、鍵K(O-A-C-D)を作成するための図４のような鍵ステッチングプロセスは成功したと見なされることができ725、これらの鍵が使用できる。

【0063】

実施形態では、グループ鍵をステッチするための計算は、線形でない他のグループ鍵管理プロトコルとは対照的に、線形とすることができる。実施形態におけるベースラインの仮定は、信頼モデルが、ノードO115のような中央アンカーポイントとの事前に確立されたセキュアな接続を既に有している、ここでの例におけるノードA130のような中間アンカーポイントを通じて確立できることである。

【0064】

実施形態では、メンバーシップダイナミクスとも呼ばれるグループダイナミックスは、パーティ又はグループメンバがグループに参加する(すなわち、ノードがネットワークに参加する)とき、グループから離脱する(すなわち、ノードがネットワークから離脱する)とき、或いは、グループが他の同様の変更又は更新を受けるときに発生するイベントを示すことができる。このような場合、グループ鍵は、3パーティMU QKDから直接導出されようと、実施形態のようにステッチングを用いて導出されようと、特にメンバがグループから離脱するときには、更新グループの秘密性を確保し続けるべきである。

【0065】

実施形態では、「前方秘密性(forward secrecy)」は、ノード(すなわち、メンバ)がグループから離脱するとき、ノードが更新グループ内で循環する情報を復号できなくなるべきであるという特性を示す。鍵がステッチされており、ノード又はサブグループが二分木ネットワークから離脱する実施形態では、鍵管理は、代替方式よりも簡単である。特に、特定のサブグループの鍵部分を除去することを含むことができる、離脱ノード又はサブグループを除去するプロセスは、線形計算を伴い、これは、鍵変更を管理するコストを、GDH及び同様の方式のような従来技術のグループ鍵アルゴリズムを用いた場合よりも、実現するのをより簡単、より効率的且つより容易にする。

【0066】

実施形態では、複数のノードについてのグループ鍵がステッチされると、離脱プロセスは、木構造を参照してノードをトリミングすることを含むことができる。このようなトリミングには2つの制限が存在することができる。1つの制限は、ノードのトリミングが同じルートノードの下のピアメンバーにも影響を及ぼす可能性があり、ピアメンバーは、同じ親ノードを有する他の子ノードであることとすることができる。例えば、グループG(A,CD)225の場合、ノードC150のトリミングはまた、ピアメンバノードD155を除去させる。他の制限は、ノードのトリミングがそのノードの下のサブグループに影響を及ぼす可能性があることとすることができる。例えば、グループG(A,CD)225の場合、ノードC150のトリミングはまた、ノードG及びノードHのような更なるノードも同様にトリミングさせることができ、ノードDが除去されるので、ノードI及びJも除去される。

【0067】

図８は、実施形態による、二分木ネットワークから離脱するときのノードの除去を示す。図示の二分木の各ノードは、実施形態によるMU QKD方式に参加しているノードである。ノードC150がネットワークから除去される場合805、ノードD155も除去され810、ノードC及びノードDの全てのブランチ815又はサブグループ820も除去される。

【0068】

マルチパーティ量子鍵配送(MU QKD, multi-party quantum key distribution)を使用する実施形態は、オペレータノードO115として示される中央アンカーポイントに基づいてマルチパーティのセキュア通信を確立できる。

【0069】

図９は、実施形態による、二分木ネットワークから離脱する1つ以上のノードを除去するためのプロセスを示すコールフロー図である。ネットワークから離脱するノードC及びD(図示せず)を有するブランチを有するノードA130は、削除するためのグループ更新要求「グループ更新要求(削除)」と、ノードAの署名「Sig(A)」とを含むメッセージMsgUpd1を、そのルートノードであるオペレータO115に送信できる905。次いで、ノードAは、ルートノードオペレータO115から、MsgUpd2としての応答「グループ更新応答(削除)」を、ノードOの署名「Sig(O)」と共に受信できる910。ルートノードオペレータO115がステッチグループ鍵を更新した後に、次いで、ノードAは、ノードOから、更新されたステッチグループ鍵を、更新されたステッチグループ鍵とOの署名Sig(O)とを含むメッセージMsgUpd3として受信できる915。オペレータノードO115はまた、MsgRem3をノードBに送信できる920。図９のようなプロセスの結果は、ノードC及びDが除去されて更新された新たなグループ、及び対応する更新されたグループ鍵925である。

【0070】

図１０は、ここに開示されるデバイス及び方法を実現するために使用され得る、コンピューティング及び通信環境950内に示される電子デバイス(ED, electronic device)952のブロック図である。このような電子デバイスは、UE又はネットワークエレメントとすることができる。電子デバイス952は、典型的には、中央処理装置(CPU, central processing unit)のようなプロセッサ954を含み、フィールドプログラマブルゲートアレイ(FPGA, field programmable gate array)又は他のこのようなプロセッサのような専用プロセッサと、メモリ956と、ネットワークインタフェース958と、ED952のコンポーネントを接続するためのバス960とを更に含んでもよい。ED952は、任意選択で、大容量ストレージデバイス962、ビデオアダプタ964及びI/Oインタフェース968(破線で示す)のようなコンポーネントも含んでもよい。実施形態によるED952はまた、キャッシュを含むこともできる。

【0071】

メモリ956は、スタティックランダムアクセスメモリ(SRAM, static random-access memory)、ダイナミックランダムアクセスメモリ(DRAM, dynamic random-access memory)、シンクロナスDRAM(SDRAM, synchronous DRAM)、読み取り専用メモリ(ROM, read-only memory)又はこれらの組み合わせのような、プロセッサ954により読み取り可能ないずれかのタイプの非一時的なシステムメモリを含んでもよい。実施形態では、メモリ956は、ブートアップ時に使用するためのROM、並びにプログラムを実行している間に使用するためのプログラム及びデータ記憶のためのDRAMのような、1つより多くのタイプのメモリを含んでもよい。バス960は、メモリバス若しくはメモリコントローラ、周辺バス又はビデオバスを含むいずれかのタイプのいくつかのバスアーキテクチャのうち1つ以上でもよい。

【0072】

電子デバイス952はまた、有線ネットワークインタフェース及び無線ネットワークインタフェースのうち少なくとも1つを含んでもよい、1つ以上のネットワークインタフェース958を含んでもよい。ネットワークインタフェース958は、ネットワーク974に接続するための有線ネットワークインタフェースを含んでもよく、また、無線リンク上で他のデバイスに接続するための無線アクセスネットワークインタフェース972を含んでもよい。ネットワークインタフェース958は、電子デバイス952がネットワーク974に接続されたもののようなリモートエンティティと通信することを可能にする。

【0073】

大容量ストレージ962は、データ、プログラム及び他の情報を記憶し、バス960を介してデータ、プログラム及び他の情報にアクセス可能にするように構成されたいずれかのタイプの非一時的なストレージデバイスを含んでもよい。大容量ストレージ962は、例えば、ソリッドステートドライブ、ハードディスクドライブ、磁気ディスクドライブ又は光ディスクドライブのうち1つ以上を含んでもよい。いくつかの実施形態では、大容量ストレージ962は、電子デバイス952から離れていてもよく、インタフェース958のようなネットワークインタフェースの使用を通じてアクセス可能でもよい。図示の実施形態では、大容量ストレージ962は、これが含まれるメモリ956とは別個であり、一般的に、より高いレイテンシに適合するストレージタスクを実行してもよいが、一般的に、より低い揮発性を提供してもよく或いは揮発性を提供しなくてもよい。いくつかの実施形態では、大容量ストレージ962は、異種メモリ956と統合されてもよい。

【0074】

いくつかの実施形態では、電子デバイス952は、スタンドアロンデバイスでもよい一方で、他の実施形態では、電子デバイス952は、データセンタ内に常駐してもよい。データセンタは、当該技術分野において理解されるように、集合的なコンピューティング及びストレージリソースとして使用できるコンピューティングリソースの集合(典型的には、サーバの式)である。データセンタ内で、複数のサーバが一緒に接続されて、仮想化されたエンティティがインスタンス化できるコンピューティングリソースプールを提供できる。データセンタは互いに相互接続されて、接続リソースにより互いに接続されたプールコンピューティング及びストレージリソースからなるネットワークを形成できる。接続リソースは、イーサネット又は光通信リンクのような物理接続の形式を取ってもよく、いくつかの場合には、無線通信チャネルも同様に含んでもよい。2つの異なるデータセンタが複数の異なる通信チャネルにより接続される場合、リンクは、リンクアグリゲーショングループ(LAG, link aggregation group)の形成を含む複数の技術のうちいずれかを使用して、一緒に組み合わせられることができる。コンピューティング、ストレージ及び接続リソースのいずれか又は全ては(ネットワーク内の他のリソースと共に)、いくつかの場合にはリソーススライスの形式で、異なるサブネットワークの間に分割できることが理解されるべきである。複数の接続されたデータセンタ又は他のノードの集合にわたるリソースがスライスされる場合、異なるネットワークスライスが作成できる。

【0075】

実施形態では、電子デバイス952は、鍵としてビットの列を受信、処理、記憶及び/又は受信するために、いずれかのノードにおいて使用できる。また、実施形態に従って、2つのグループ鍵をより大きいグループのための1つのグループ鍵にステッチするために、且つ、他のノードに送信する前に、他の鍵を用いて鍵を暗号化するために使用できる。また、実施形態に従って、ノードがネットワークから離脱するときに鍵を更新するために使用できる。電子デバイスはまた、1つ以上のノードがネットワークから離脱するときにグループ鍵を更新するために使用できる。メモリ956は、ビットの列及びいずれかのノードを記憶するために使用できる。ネットワークインタフェース958は、ノードの間の認証された古典チャネルを実現するためにいずれかのノードにおいて使用でき、これらのうちいずれかは、実施形態に従って、ノードから他のノードに鍵を通信するために、或いは、確認要求メッセージ及び確認応答メッセージを通信するために使用できる。

【0076】

【0077】

【0078】

【0079】

【0080】

【0081】

他の実施形態は、UE及びネットワークエレメントを含む、ここに記載されるノードとして機能するデバイスを含む。

【0082】

実施形態について、これらが実現できる本発明の態様と併せて上記に記載している。当業者は、これらが記載されている態様と共に実施形態が実現されてもよいが、その態様の他の実施形態と共に実現されてもよいことを理解する。実施形態が相互に排他的であるか、或いは、そうでなければ互いに適合しないとき、これは当業者に明らかである。いくつかの実施形態は、1つの態様に関して記載されることがあるが、当業者には明らかであるように、他の態様にも適用可能になり得る。

【0083】

本発明について、その特定の特徴及び実施形態を参照して説明したが、本発明から逸脱することなく、様々な修正及び組み合わせがこれに対して行われることができることは明らかである。したがって、明細書及び図面は、添付の特許請求の範囲により定義される本発明の単なる例示と見なされるべきであり、本発明の範囲内に入る如何なる全ての修正、変形、組み合わせ又は均等物をカバーすることが企図される。

【図1】