TOP > 国内特許検索 > 乱数列生成装置、量子暗号送信機及び量子暗号通信システム > 明細書

明細書 :乱数列生成装置、量子暗号送信機及び量子暗号通信システム

発行国 日本国特許庁(JP)
公報種別 再公表特許(A1)
発行日 平成30年12月20日(2018.12.20)
発明の名称または考案の名称 乱数列生成装置、量子暗号送信機及び量子暗号通信システム
国際特許分類 G09C   1/00        (2006.01)
H04L   9/12        (2006.01)
G06F   7/58        (2006.01)
H04B  10/70        (2013.01)
H04B  10/85        (2013.01)
H04B  10/516       (2013.01)
G02F   1/225       (2006.01)
G02F   3/00        (2006.01)
FI G09C 1/00 650B
H04L 9/00 631
G06F 7/58 680
H04B 10/70
H04B 10/85
H04B 10/516
G02F 1/225
G02F 3/00
国際予備審査の請求 未請求
全頁数 18
出願番号 特願2017-565666 (P2017-565666)
国際出願番号 PCT/JP2017/004081
国際公開番号 WO2017/135444
国際出願日 平成29年2月3日(2017.2.3)
国際公開日 平成29年8月10日(2017.8.10)
優先権出願番号 2016019552
優先日 平成28年2月4日(2016.2.4)
優先権主張国 日本国(JP)
指定国 AP(BW , GH , GM , KE , LR , LS , MW , MZ , NA , RW , SD , SL , ST , SZ , TZ , UG , ZM , ZW) , EA(AM , AZ , BY , KG , KZ , RU , TJ , TM) , EP(AL , AT , BE , BG , CH , CY , CZ , DE , DK , EE , ES , FI , FR , GB , GR , HR , HU , IE , IS , IT , LT , LU , LV , MC , MK , MT , NL , NO , PL , PT , RO , RS , SE , SI , SK , SM , TR) , OA(BF , BJ , CF , CG , CI , CM , GA , GN , GQ , GW , KM , ML , MR , NE , SN , TD , TG) , AE , AG , AL , AM , AO , AT , AU , AZ , BA , BB , BG , BH , BN , BR , BW , BY , BZ , CA , CH , CL , CN , CO , CR , CU , CZ , DE , DJ , DK , DM , DO , DZ , EC , EE , EG , ES , FI , GB , GD , GE , GH , GM , GT , HN , HR , HU , ID , IL , IN , IR , IS , JP , KE , KG , KH , KN , KP , KR , KW , KZ , LA , LC , LK , LR , LS , LU , LY , MA , MD , ME , MG , MK , MN , MW , MX , MY , MZ , NA , NG , NI , NO , NZ , OM , PA , PE , PG , PH , PL , PT , QA , RO , RS , RU , RW , SA , SC , SD , SE , SG , SK , SL , SM , ST , SV , SY , TH , TJ , TM , TN , TR , TT , TZ
発明者または考案者 【氏名】富田 章久
【氏名】中田 賢佑
出願人 【識別番号】504173471
【氏名又は名称】国立大学法人北海道大学
個別代理人の代理人 【識別番号】100088155、【弁理士】、【氏名又は名称】長谷川 芳樹
【識別番号】100124800、【弁理士】、【氏名又は名称】諏澤 勇司
【識別番号】100195811、【弁理士】、【氏名又は名称】秋元 達也
審査請求 未請求
テーマコード 2K102
5J104
5K102
Fターム 2K102BB01
2K102BB04
2K102BB10
2K102BC04
2K102BD04
2K102CA20
2K102DA04
2K102DB04
2K102DC07
2K102DD05
2K102EA02
2K102EA21
2K102EB22
5J104AA05
5J104FA10
5K102AA15
5K102AA61
5K102AB11
5K102AH02
5K102PB20
5K102PH02
5K102PH31
5K102RB02
5K102RD26
5K102RD28
要約 乱数列生成装置1は、パルス毎の位相が乱雑なパルスレーザ光を繰り返し生成する半導体レーザ装置11と、互いに異なる伝送路長を有する第1伝送路22及び第2伝送路23と、入力端20側に接続され、パルスレーザ光が入力される第1ポート24と、出力端21側に接続され、何れかの伝送路を経由したパルスレーザ光を出力する第2ポート25と、入力端20側に接続された第3ポート26と、を有する干渉計12と、第2ポート25に接続され、パルスレーザ光を反射するファラディミラー50と、第3ポート26に接続され、ファラディミラー50によって反射され、何れかの伝送路を経由したパルスレーザ光の干渉光に応じて電気信号を出力するフォトダイオード51と、電気信号の信号強度と閾値との大小関係に基づき乱数列を生成するAD変換部53と、を備える。
特許請求の範囲 【請求項1】
パルス発振して、パルス毎の位相が乱雑なパルスレーザ光を繰り返し生成する半導体レーザ装置と、
互いに異なる伝送路長を有する第1伝送路及び第2伝送路と、前記第1伝送路及び前記第2伝送路の入力端側に接続され、前記パルスレーザ光が入力される第1ポートと、前記第1伝送路及び前記第2伝送路の出力端側に接続され、前記第1ポートに入力されて前記第1伝送路又は前記第2伝送路を経由した前記パルスレーザ光のそれぞれを出力する第2ポートと、前記入力端側に接続された第3ポートと、を有する干渉計と、
前記第2ポートに接続され、前記第2ポートから出力される前記パルスレーザ光を反射して前記第2ポートに再び入力する光反射部と、
前記第3ポートに接続され、前記光反射部により前記第2ポートに入力されて前記第1伝送路又は前記第2伝送路を経由した前記パルスレーザ光の干渉光が入力されると共に、前記干渉光が入力されたことに応じて電気信号を出力するフォトダイオードと、
前記電気信号の信号強度と予め設定された閾値との大小関係に基づいて乱数列を生成するAD変換部と、を備える、乱数列生成装置。
【請求項2】
前記AD変換部において生成された前記乱数列を記憶する乱数列記憶部を更に備える、請求項1記載の乱数列生成装置。
【請求項3】
前記AD変換部において生成された前記乱数列に対して乱数性の検証を実行し、前記検証に適合した前記乱数列を前記乱数列記憶部に出力する乱数性検定部を更に備える、請求項2記載の乱数列生成装置。
【請求項4】
請求項2又は3記載の乱数列生成装置を備える量子暗号送信機であって、
前記干渉計は、前記出力端側に接続され、前記第1ポートに入力されて前記第1伝送路又は前記第2伝送路を経由した前記パルスレーザ光のそれぞれを出力する第4ポートを更に有し、
前記第4ポートから出力される前記パルスレーザ光の光強度及び位相を前記乱数列記憶部に記憶された前記乱数列に基づいて変調する変調部を備える、量子暗号送信機。
【請求項5】
請求項4記載の量子暗号送信機を備える量子暗号通信システムであって、
前記変調部によって光強度及び位相を変調された前記パルスレーザ光を前記量子暗号送信機との間で量子通信する量子暗号受信機を備える、量子暗号通信システム。
発明の詳細な説明 【技術分野】
【0001】
本発明の一形態は、乱数列生成装置、量子暗号送信機及び量子暗号通信システムに関する。
【背景技術】
【0002】
従来、情報理論的に安全に情報を伝送するための量子暗号通信システムが知られている。量子暗号通信システムにおいて、情報の送信者は、受信者に対して、光子による量子鍵配送(QKD: Quantum Key Distribution)によって暗号鍵を伝送する。これにより、送信者及び受信者は、暗号鍵に関する情報を第三者によって取得(盗聴)されずに共有することができる。送信者は、受信者に伝送すべき情報を暗号鍵を用いて暗号化する。そして、送信者は、暗号化された情報を任意の通信手段によって受信者に伝送する。受信者は、暗号化された情報を暗号鍵を用いて復号する。
【0003】
暗号鍵は、乱数列に基づいて取得される。このような乱数列として、情報理論的に予測不可能な物理乱数を用いる必要があり、アルゴリズムに基づいて生成される疑似乱数を用いることはできない。また、情報通信の高速化に対応するため、乱数列には、例えば数Gb/s以上の生成速度が要求される場合がある。
【0004】
量子鍵配送では、第三者が光子から暗号鍵に関する情報を盗聴すると、不確定性原理によって光子の量子状態が変化し、盗聴の痕跡が残る。このため、送信者及び受信者は、盗聴を確実に検知することができる。このような量子鍵配送を実行することができる量子暗号通信システムとして、例えば特許文献1には、半導体レーザ装置と、干渉計と、乱数源と、を備える量子暗号送信機を有するシステムが記載されている。
【先行技術文献】
【0005】

【特許文献1】特開2010-233123号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
ところで、特許文献1に記載された量子暗号通信システムでは、量子鍵配送を行うために用いられる半導体レーザ装置及び干渉計等とは別に、乱数列を生成するための乱数源が独立して設けられている。ここで、情報理論的に予測不可能な物理乱数を生成可能、且つ、例えば数Gb/s以上の生成速度で乱数列を生成可能な乱数源では、装置構成が複雑になる場合がある。このような乱数源を用いる場合、量子暗号通信システム全体としての装置構成が複雑化する。
【0007】
本発明の一形態は、上記課題に鑑みて為されたものであり、簡素な構成により、情報理論的に安全な乱数列を高速で生成することができる乱数列生成装置、量子暗号送信機及び量子暗号通信システムを提供することを目的とする。
【課題を解決するための手段】
【0008】
上記課題を解決するため、本発明の一形態の乱数列生成装置は、パルス発振して、パルス毎の位相が乱雑なパルスレーザ光を繰り返し生成する半導体レーザ装置と、互いに異なる伝送路長を有する第1伝送路及び第2伝送路と、第1伝送路及び第2伝送路の入力端側に接続され、パルスレーザ光が入力される第1ポートと、第1伝送路及び第2伝送路の出力端側に接続され、第1ポートに入力されて第1伝送路又は第2伝送路を経由したパルスレーザ光のそれぞれを出力する第2ポートと、入力端側に接続された第3ポートと、を有する干渉計と、第2ポートに接続され、第2ポートから出力されるパルスレーザ光を反射して第2ポートに再び入力する光反射部と、第3ポートに接続され、光反射部により第2ポートに入力されて第1伝送路又は第2伝送路を経由したパルスレーザ光の干渉光が入力されると共に、干渉光が入力されたことに応じて電気信号を出力するフォトダイオードと、電気信号の信号強度と予め設定された閾値との大小関係に基づいて乱数列を生成するAD変換部と、を備える。
【0009】
このような乱数列生成装置では、パルスレーザ光は、第1ポートから第1伝送路又は第2伝送路を伝送されて第2ポートに至り、光反射部によって反射された後に、第2ポートから第1伝送路又は第2伝送路を伝送されて第3ポートに至る。第1伝送路及び第2伝送路は互いに異なる伝送路長を有する。このため、パルスレーザ光が、干渉計の第1ポートから第2ポートに伝送されるとき、及び、第2ポートから第3ポートに伝送されるときのそれぞれにおいて、1つのパルスが、干渉性を保った2つのパルス(ダブルパルス)に分離される。ダブルパルスを形成する2つのパルスの内、伝送路長のより長い方の伝送路を伝送されたパルスは、伝送先のポートへの到着が他方のパルスよりも遅延する。このため、第1伝送路及び第2伝送路の伝送路長の差が適切に設定されると、半導体レーザ装置によって互いに異なるタイミングで生成された2つのパルスレーザ光から分離されたパルスが第3ポートに略同時に到着し、第3ポートにおいて互いに干渉して干渉光を生成する。ここで、パルスレーザ光はパルス毎の位相が乱雑であるため、干渉光の干渉ピークの光強度は乱雑な値となる。この干渉光がフォトダイオードに入力されると、フォトダイオードは、干渉ピークに対応するピークの信号強度が乱雑な電気信号を出力する。この電気信号がAD変換部に入力されると、AD変換部は、電気信号のピークの信号強度と予め設定された閾値との大小関係に基づいて、2値化された乱数列を出力する。よって、簡素な構成により、情報理論的に安全な乱数列を高速で生成することができる。
【0010】
本発明の一形態の量子暗号送信機は、上述した乱数列生成装置を備え、干渉計は、出力端側に接続され、第1ポートに入力されて第1伝送路又は第2伝送路を経由したパルスレーザ光のそれぞれを出力する第4ポートを更に有し、第4ポートから出力されるパルスレーザ光の光強度及び位相を乱数列記憶部に記憶された乱数列に基づいて変調する変調部を備えてもよい。この場合、量子暗号送信機が備えている半導体レーザ装置及び干渉計を、乱数列生成装置の半導体レーザ装置及び干渉計としても利用するため、構成を簡素化することができる。
【0011】
本発明の一形態の量子暗号通信システムは、上述した量子暗号送信機を備え、変調部によって光強度及び位相を変調されたパルスレーザ光を量子暗号送信機との間で量子通信する量子暗号受信機を備えてもよい。この場合、量子暗号送信機が備えている半導体レーザ装置及び干渉計を、乱数列生成装置の半導体レーザ装置及び干渉計としても利用するため、構成を簡素化することができる。
【発明の効果】
【0012】
本発明の一形態によれば、簡素な構成により、情報理論的に安全な乱数列を高速で生成することができる乱数列生成装置、量子暗号送信機及び量子暗号通信システムを提供することができる。
【図面の簡単な説明】
【0013】
【図1】図1は、本実施形態の量子暗号通信システムの機能構成を示す概略図である。
【図2】図2は、図1の干渉計の構成を示す図である。
【図3】図3は、パルスレーザ光の干渉を説明するための図である。
【図4】図4は、干渉光が入力されたことに応じてフォトダイオードが出力する電気信号の一例を示す図である。
【図5】図5は、乱数性の検証の有無に応じた暗号鍵情報の伝送距離と暗号鍵生成レートとの関係を示すグラフである。
【図6】図6は、前提構成の量子暗号通信システムの機能構成を示す概略図である。
【図7】図7は、図6の干渉計の構成を示す図である。
【発明を実施するための形態】
【0014】
以下、図面を参照しつつ、本発明に係る乱数列生成装置、量子暗号送信機及び量子暗号通信システムの好適な実施形態について詳細に説明する。なお、図面の説明において、同一又は相当部分には同一符号を付し、重複する説明を省略する。

【0015】
[前提の構成]
最初に、本実施形態の前提となる量子暗号通信システムの構成について説明する。

【0016】
図6は、前提構成の量子暗号通信システム200の機能構成を示す概略図である。図6に示すように、量子暗号通信システム200は、量子暗号送信機210と、光ファイバ等を含む光伝送路80と、量子暗号受信機90と、を備える。量子暗号通信システム200は、量子暗号送信機210と量子暗号受信機90との間で、第三者によって盗聴されずに暗号鍵に関する情報(以下、「暗号鍵情報」という)を共有するシステムである。すなわち、量子暗号通信システム200によれば、量子暗号送信機210から量子暗号受信機90に伝送すべき情報(以下、「メッセージ」という)を情報理論的に安全に伝送することができる。

【0017】
量子暗号送信機210は、乱数列を生成し、生成した乱数列に基づいて取得される暗号鍵によってメッセージを暗号化する。また、量子暗号送信機210は、光子に暗号鍵情報を持たせ、当該光子を光伝送路80に出力する。なお、暗号化されたメッセージは、例えばインターネット等の任意の通信手段によって量子暗号送信機210から量子暗号受信機90に伝送される。光伝送路80は、量子暗号送信機210から量子暗号受信機90に光子を伝送する。量子暗号受信機90は、光伝送路80から入力された光子が持つ暗号鍵情報から暗号鍵を取得すると共に、暗号化されたメッセージを暗号鍵により復号する。

【0018】
量子暗号送信機210は、半導体レーザ装置11と、干渉計12と、変調部13と、乱数源40と、を備える。乱数源40は、情報理論的に予測不可能な物理乱数を生成可能、且つ、例えば数Gb/s以上の生成速度で乱数列を生成可能であれば、特定の構成には限定されない。なお、乱数源40は、半導体レーザ装置11及び干渉計12とは独立して設けられている。

【0019】
半導体レーザ装置11は、パルス発振して、パルス毎の位相が乱雑なパルスレーザ光を繰り返し生成する。半導体レーザ装置11は、例えば、量子暗号送信機210と量子暗号受信機90とによって共有される同期信号のクロック周波数にて、パルスレーザ光を繰り返し生成する。図中には、1クロック分だけ互いに異なるタイミングで生成されたパルスレーザ光L1,L2が例示されている。半導体レーザ装置11は、パルスレーザ光L1,L2を干渉計12に入力する。

【0020】
図7は、図6の干渉計12の構成を示す図である。図7に示すように、干渉計12は、非対称マッハツェンダ干渉計である。干渉計12は、入力端20と、出力端21と、入力端20及び出力端21を接続する第1伝送路22及び第2伝送路23と、入力端20側に接続された第1ポート24及び第3ポート26と、出力端21側に接続された第2ポート25及び第4ポート27と、を有する。各ポートは、干渉計12においてパルスレーザ光L1,L2の入出力を行うためのものである。第1ポート24には、半導体レーザ装置11が接続されている。半導体レーザ装置11は、生成したパルスレーザ光L1,L2を、第1ポート24を介して干渉計12に入力する。

【0021】
入力端20には、第1ビームスプリッタ28が配置されている。例えば半導体レーザ装置11により生成されたパルスレーザ光L1は、第1ビームスプリッタ28によって反射光と透過光とに分離される。パルスレーザ光L1の内、第1ビームスプリッタ28により反射されたパルスレーザ光の成分を第1パルスP1とする。また、パルスレーザ光L1の内、第1ビームスプリッタ28を透過したパルスレーザ光の成分を第2パルスP2とする。第1パルスP1と第2パルスP2とは、干渉性を保ちつつ時間的及び空間的に分離されたダブルパルスを形成する。

【0022】
第1伝送路22は、入力端20から出力端21まで第1パルスP1が伝送される伝送路である。第1伝送路22は、その途中にミラー29,30を含んでいる。一方、第2伝送路23は、入力端20から出力端21まで第2パルスP2が伝送される伝送路である。第1伝送路22及び第2伝送路23は、互いに異なる伝送路長を有する。ここでは、第1伝送路22の伝送路長の方が、第2伝送路23の伝送路長よりも長い。

【0023】
出力端21には、第2ビームスプリッタ31が配置されている。第1伝送路22を経由した第1パルスP1は、第2ビームスプリッタ31によって反射光と透過光とに分離される。第1パルスP1の内、第2ビームスプリッタ31により反射されたパルスレーザ光の成分を第3パルスP3とする。また、第1パルスP1の内、第2ビームスプリッタ31を透過したパルスレーザ光の成分を第4パルスP4とする。第3パルスP3と第4パルスP4とは、干渉性を保ちつつ時間的及び空間的に分離されたダブルパルスを形成する。

【0024】
また、第2伝送路23を経由した第2パルスP2は、第2ビームスプリッタ31によって反射光と透過光とに分離される。第2パルスP2の内、第2ビームスプリッタ31により反射されたパルスレーザ光の成分を第5パルスP5とする。また、第2パルスP2の内、第2ビームスプリッタ31を透過したパルスレーザ光の成分を第6パルスP6とする。第5パルスP5と第6パルスP6とは、干渉性を保ちつつ時間的及び空間的に分離されたダブルパルスを形成する。

【0025】
このようにして、第1ポート24に入力された1つのパルスからなるパルスレーザ光L1は、干渉性を保ちつつ時間的及び空間的に分離されたダブルパルスである第3パルスP3及び第6パルスP6として、第4ポート27から出力される。

【0026】
図6に示すように、第4ポート27には変調部13が接続されている。変調部13は、強度変調部32と、状態生成部33と、減衰部(減衰器)34と、を有している。変調部13は、ダブルパルスを形成するパルスレーザ光の光強度(すなわち、平均光子数)及び位相をランダムに変調させて送信用パルスレーザ光を生成する。変調部13は、生成した送信用パルスレーザ光を光伝送路80に出力する。なお、第2ポート25及び第3ポート26には何も接続されていない。

【0027】
強度変調部32としては、通常の光通信において用いられる公知の変調器を適用することができる。例えば、強度変調部32は、ニオブ酸リチウム(LN: LiNbO3)結晶を用いたマッハツェンダ型変調器であってもよい。強度変調部32は、第3パルスP3及び第6パルスP6が入力されると、乱数源40において生成された乱数に基づいてランダムに選択される所望の平均光子数となるように、光強度を変調する。なお、強度変調部32は、減衰部34によって光強度が減衰される減衰量と合わせて上述した所望の平均光子数となるように、光強度を変調する。

【0028】
状態生成部33としては、例えば公知の位相変調器を適用することができる。状態生成部33は、第3パルスP3及び第6パルスP6が入力されると、乱数源40において生成された乱数に基づいてランダムに選択される量子状態となるように、第3パルスP3及び第6パルスP6の位相を変調する。

【0029】
ここで、第3パルスP3及び第6パルスP6の量子状態を記述するための基底は、以下のように選択すると好適である。まず、第3パルスP3及び第6パルスP6の内、先行して伝送する第6パルスP6の量子状態を|0>と記載し、遅れて伝送する第3パルスP3の量子状態を|1>と記載する。この場合、ダブルパルスの量子状態は、下記の式(1)で表される。
【数1】
JP2017135444A1_000003t.gif

【0030】
量子鍵配送においてデコイBB84プロトコルを用いることを前提とする場合には、基底としてX基底及びZ基底を採用してもよい。このとき、デコイBB84プロトコルに必要な4つの状態は下記の式(2)、式(3)、式(4)で表される。
【数2】
JP2017135444A1_000004t.gif
【数3】
JP2017135444A1_000005t.gif
【数4】
JP2017135444A1_000006t.gif

【0031】
以上のように、変調部13は、パルスレーザ光の量子状態をランダムに変調して、0又は1の2値化されたビットを割り当てる。このとき、各ビットはX基底又はZ基底の何れかランダムに選択された基底によって記述されている。

【0032】
半導体レーザ装置11はパルスレーザ光を繰り返し生成している。このため、変調部13は、0又は1の2値化された各ビットがランダムに並んだビット列を生成する。このビット列が暗号鍵の元となる。

【0033】
量子暗号通信システム200は、暗号鍵に対して、以下に説明する鍵蒸留処理を実行する。

【0034】
量子暗号送信機210は、暗号鍵の元となるビット列を量子暗号受信機90に伝送する。伝送中の損失のため、送信されたパルスレーザ光の一部のみが量子暗号受信機90に到達する。量子暗号受信機90は、デコーダ91と、光子検出部92と、を備える。デコーダ91は、受信した送信用パルスレーザ光に基づいて、暗号鍵の元となるビット列の各ビットを構成するパルスレーザ光を、X基底又はZ基底に対応する光子検出部92の各ポートに振り分ける。その結果、光子検出部92において0又は1の2値化された各ビットが生成される。すなわち、変調部13において生成されたビット列の一部が、量子暗号受信機90において再生される。その後、量子暗号受信機90は、パルスレーザ光を検出した光子検出部92のポート(位置)を量子暗号送信機210に通知する。そして、量子暗号受信機90において再生されたビット列が生鍵とされる。

【0035】
続いて、量子暗号送信機210は、基底照合を実行する。すなわち、量子暗号送信機210は、量子暗号送信機210において使用された基底(送信基底)と、量子暗号受信機90において使用された基底(受信基底)と、を照合する。送信基底と受信基底とが互いに異なるビットを除いた他のビットからなるビット列がシフト鍵とされる。

【0036】
続いて、量子暗号受信機90は、シフト鍵の一部を量子暗号送信機210に対して公開する。量子暗号送信機210は、公開されたシフト鍵に基づいて、量子暗号送信機210が送信したビットに対して量子暗号受信機90が誤ったビットを受信した割合である誤り率を推定する。

【0037】
続いて、量子暗号送信機210及び量子暗号受信機90は、誤り訂正を実行する。誤り訂正としては、通常の通信において実行されている方法と同様の手法を用いることができる。

【0038】
続いて、量子暗号送信機210及び量子暗号受信機90は、秘匿性増強を実行する。まず、量子暗号送信機210及び量子暗号受信機90は、推定された誤り率に基づいて、Nビットのシフト鍵の内の第三者に盗聴された可能性のあるビット数(漏洩情報量)の上限値Mを推定する。そして、量子暗号送信機210及び量子暗号受信機90は、Nビットのシフト鍵から、上限値Mに定数sを加えたM+sビットをランダムに捨てて、残りを最終鍵とする。その結果、盗聴者が最終鍵を取得することができる確率を2-s以下に低減することができる。

【0039】
ところで、シフト鍵からランダムに捨てられるビットは、ユニバーサルハッシュ関数を用いて選択される。ユニバーサルハッシュ関数としては、乱数源40によって生成された乱数に基づいて、各成分の値(0,1)がランダムに選択された行列を用いることができる。

【0040】
なお、秘匿性増強において推定される漏洩情報量は、半導体レーザ装置11によって繰り返し生成されるパルスレーザ光同士の位相相関によって異なる。位相相関がないと仮定される場合に比較して、位相相関があると仮定される場合においては、漏洩情報量は大きな値であると推定される。

【0041】
以上のようにして取得された最終鍵を用いて、量子暗号受信機90は、暗号化されたメッセージを復号する。

【0042】
[本実施形態の構成]
次に、本実施形態の乱数列生成装置1、量子暗号送信機10及び量子暗号通信システム100の構成について説明する。

【0043】
図1は、本実施形態の量子暗号通信システム100の機能構成を示す概略図である。図1に示すように、量子暗号通信システム100の量子暗号送信機10は、図6の量子暗号通信システム200の量子暗号送信機210に対して、乱数源40を備えていない点、及び、ファラディミラー(光反射部)50、フォトダイオード51、処理回路52を備えている点で異なっている。なお、量子暗号送信機10に含まれて構成される乱数列生成装置1は、半導体レーザ装置11と、干渉計12と、ファラディミラー50と、フォトダイオード51と、処理回路52と、を含む。

【0044】
図2は、干渉計12の構成を示す概略図である。図2に示すように、干渉計12の第2ポート25にはファラディミラー50が接続されている。また、第3ポート26には、フォトダイオード51が接続されている。

【0045】
量子暗号通信システム100において、上述した第4パルスP4及び第5パルスP5は、第2ポート25からファラディミラー50に出力され、ファラディミラー50により反射される。ファラディミラー50によって反射された第4パルスP4及び第5パルスP5は、第2ポート25に再び入力する。

【0046】
第2ポート25に再び入力した第4パルスP4は、第2ビームスプリッタ31によって反射光と透過光とに分離される。第4パルスP4の内、第2ビームスプリッタ31により反射されたパルスレーザ光の成分を第6パルスP6とする。また、第4パルスP4の内、第2ビームスプリッタ31を透過したパルスレーザ光の成分を第7パルスP7とする。第6パルスP6と第7パルスP7とは、干渉性を保ちつつ時間的及び空間的に分離されたダブルパルスを形成する。

【0047】
また、第2ポート25に再び入力した第5パルスP5は、第2ビームスプリッタ31によって反射光と透過光とに分離される。第5パルスP5の内、第2ビームスプリッタ31により反射されたパルスレーザ光の成分を第8パルスP8とする。また、第5パルスP5の内、第2ビームスプリッタ31を透過したパルスレーザ光の成分を第9パルスP9とする。第8パルスP8と第9パルスP9とは、干渉性を保ちつつ時間的及び空間的に分離されたダブルパルスを形成する。

【0048】
第7パルスP7は、第1伝送路22を伝送して第1ビームスプリッタ28に至り、第1ビームスプリッタ28によって透過光と反射光とに分離される。第7パルスP7の内、第1ビームスプリッタ28を透過したパルスレーザ光の成分を第10パルスP10とする。第10パルスP10は、第3ポート26からフォトダイオード51に出力される。

【0049】
また、第8パルスP8は、第2伝送路23を伝送して第1ビームスプリッタ28に至り、第1ビームスプリッタ28によって透過光と反射光とに分離される。第8パルスP8の内、第1ビームスプリッタ28により反射されたパルスレーザ光の成分を第11パルスP11とする。第11パルスP11は、第3ポート26からフォトダイオード51に出力される。

【0050】
第10パルスP10と第11パルスP11は、干渉性を保ちつつ時間的及び空間的に分離されたダブルパルスを形成する。第10パルスP10は、第11パルスP11よりも遅延して第3ポート26に到着する。ここで、第10パルスP10が第11パルスP11よりも遅延する時間は、第1伝送路22と第2伝送路23との伝送路長の差によって決まる。

【0051】
以上、半導体レーザ装置11によって生成されたパルスレーザ光L1がファラディミラー50によって反射されて、フォトダイオード51に到着するまでのパルスの挙動について説明した。同様に、半導体レーザ装置11によってパルスレーザ光L1よりも1クロック遅れて生成されたパルスレーザ光L2においても、パルスは上述した挙動をする。ここで、パルスレーザ光L2において、パルスレーザ光L1の第10パルスP10に相当するパルス(すなわち、パルスレーザ光L2から分離されたパルスの内、第1ポート24から第1伝送路22を経由して第2ポート25に至り、ファラディミラー50によって反射された後、第1伝送路22を経由して第3ポート26に至ったパルス)を第12パルスP12とする。また、パルスレーザ光L2において、パルスレーザ光L1の第11パルスP11に相当するパルス(すなわち、パルスレーザ光L2から分離されたパルスの内、第1ポート24から第2伝送路23を経由して第2ポート25に至り、ファラディミラー50によって反射された後、第2伝送路23を経由して第3ポート26に至ったパルス)を第13パルスP13とする。

【0052】
図3は、パルスレーザ光の干渉を説明するための図である。図3の状態Aは、それぞれ第3ポート26からフォトダイオード51に各パルスレーザ光が出力されるタイミングの一例を示している。なお、図3では、第10パルスP10、第11パルスP11、第12パルスP12、第13パルスP13以外のパルスは省略されている。

【0053】
ここで、第1伝送路22及び第2伝送路23の伝送路長の差を適切に設定すると、第10パルスP10、第11パルスP11、第12パルスP12、第13パルスP13は、図3の状態Bに示すようなタイミングで第3ポート26からフォトダイオード51に出力される。状態Bでは、パルスレーザ光L1から分離された第10パルスP10と、パルスレーザ光L2から分離された第13パルスP13と、が第3ポート26からフォトダイオード51に略同時に出力されている。このため、図3の状態Cに示すように、フォトダイオード51に入力されるときに、第10パルスP10と第13パルスP13とが互いに干渉して第14パルスP14(干渉光)が生成される。

【0054】
フォトダイオード51は、干渉光が入力されたことに応じて電気信号を処理回路52に出力する。フォトダイオード51としては、特に応答性に優れたフォトダイオードを用いることが好ましい。

【0055】
半導体レーザ装置11によって生成されるパルスレーザ光は、パルス毎の位相が乱雑である。このため、第14パルスP14の光強度は乱雑な値となる。図4は、干渉光が入力されたことに応じてフォトダイオード51が出力する電気信号の一例を示す図である。図4に示すように、第14パルスP14がフォトダイオード51に入力されると、フォトダイオード51は、第14パルスP14の光強度に対応して、信号強度が乱雑な電気信号を出力する。

【0056】
処理回路52は、フォトダイオード51から出力された電気信号を処理して乱数列を取得する回路である。処理回路52は、AD変換部53と、乱数抽出部54と、乱数性検定部55と、乱数列記憶部56と、を有する。

【0057】
AD変換部53は、電気信号をアナログ値からデジタル値に変換する。AD変換部53は、予め設定された閾値を記憶している。AD変換部53は、電気信号のピークにおける信号強度と閾値とを比較し、これらの大小関係に基づいて2値化された乱数を出力する。なお、1個の電気信号のピークからnビットの乱数列を取得する場合には、閾値T,T,…,T(ただし、u=2-2)が予め設定され、電気信号のピークにおける信号強度VがTi-1以上T未満であるときに、2進法で表したiの値がnビットの乱数列とされる。なお、信号強度VがT以上であるときには、2進法で表したuの値がnビットの乱数列とされる。また、信号強度VがT未満であるときには、0が乱数の値とされる。閾値T,T,…,Tは、各乱数の値がほぼ等確率で出現するように設定されてもよく、これにより、一様乱数を取得したい場合においては乱数の生成効率を向上させることができる。

【0058】
乱数抽出部54は、m個の電気信号のピークから取得されたm×nビットの乱数列におけるmin-エントロピーHminを算出する。ここで、min-エントロピーHminとは、乱数列としてI(ただし、Iは2進法で表したiの値)が出現する確率P(I)の内の最も高い確率をPmax=maxP(I)としたときに、Hmin=-logmaxで表される値である。乱数抽出部54は、ユニバーサルハッシュ関数を用いて、m×nビットの乱数列からHminビットの乱数列をランダムに取り出して出力する。また、乱数抽出部54は、Hminと乱数列との大きさの比R=Hmin/mnを出力する。

【0059】
乱数性検定部55は、乱数抽出部54によって取得された乱数列を規定量(例えば、1Mビット)だけ集めた乱数列を作り、例えば「ブロック単位の頻度検定」等の複数のテストを実行して乱数性の検証を行う。乱数性の検証では、複数の乱数列に対して各テストを実行し、全ての乱数列が全てのテストに適合したときに1(適合)を出力し、それ以外の場合に0(不適合)を出力する。また、乱数性検定部55は、Hminと乱数列との大きさの比Rが、各プロトコルにおいて要求される乱雑性に対応するmin-エントロピーHminと乱数列との大きさの比Rよりも大きい場合に1(適合)を出力し、それ以外の場合に0(不適合)を出力する。乱数性検定部55は、乱数性の検証に適合した乱数列を乱数列記憶部56に出力する。

【0060】
乱数列記憶部56は、乱数性検定部55から入力される乱数列を記憶する。そして、乱数列記憶部56は、量子鍵配送における各プロセスにおいて乱数列が必要になったときに、記憶している乱数列を出力する。例えば、乱数列記憶部56は、強度変調部32における光強度の選択、状態生成部33における光パルスの状態の選択、秘匿性増強においてシフト鍵から捨てられるビットの選択等のために、乱数列を出力する。

【0061】
以上説明したように、実施形態に係る乱数列生成装置1によれば、パルスレーザ光L1,L2は、第1ポート24から第1伝送路22又は第2伝送路23を伝送されて第2ポート25に至り、ファラディミラー50によって反射された後に、第2ポート25から第1伝送路22又は第2伝送路23を伝送されて第3ポート26に至る。第1伝送路22及び第2伝送路23は互いに異なる伝送路長を有する。このため、パルスレーザ光L1,L2が、干渉計12の第1ポート24から第2ポート25に伝送されるとき、及び、第2ポート25から第3ポート26に伝送されるときのそれぞれにおいて、1つのパルスが、干渉性を保った2つのパルス(ダブルパルス)に分離される。ダブルパルスを形成する2つのパルスの内、伝送路長のより長い第1伝送路22を伝送されたパルスは、伝送先のポートへの到着が第2伝送路23を伝送されたパルスよりも遅延する。このため、第1伝送路22及び第2伝送路23の伝送路長の差が適切に設定されると、半導体レーザ装置11によって互いに異なるタイミングで生成された2つのパルスレーザ光L1,L2から分離されたパルスが第3ポート26に略同時に到着し、第3ポート26において互いに干渉して干渉光を生成する。ここで、パルスレーザ光L1,L2はパルス毎の位相が乱雑であるため、干渉光の干渉ピークの光強度は乱雑な値となる。この干渉光がフォトダイオード51に入力されると、フォトダイオード51は、干渉ピークに対応するピークの信号強度が乱雑な電気信号を出力する。この電気信号がAD変換部53に入力されると、AD変換部53は、電気信号のピークの信号強度と予め設定された閾値との大小関係に基づいて、2値化された乱数列を出力する。よって、簡素な構成により、情報理論的に安全な乱数列を高速で生成することができる。

【0062】
また、乱数列生成装置1は、AD変換部53において生成された乱数列を記憶する乱数列記憶部56を更に備える。このため、乱数列が必要となったときに直ちに乱数列を出力することができる。

【0063】
また、乱数列生成装置1は、AD変換部53において生成された乱数列に対して乱数性の検証を実行し、検証に適合した乱数列を乱数列記憶部56に出力する乱数性検定部55を更に備える。このため、半導体レーザ装置11によって生成されるパルスレーザ光L1,L2同士に位相相関がないことを保証することができる。

【0064】
図5は、乱数性の検証の有無に応じた暗号鍵情報の伝送距離と暗号鍵生成レートとの関係を示すグラフである。図5において、横軸は暗号鍵情報の伝送距離、縦軸は1つのパルスレーザ光が量子暗号送信機10から量子暗号受信機90に送信された場合において、安全性の保証された暗号鍵の生成可能なビット数(パルスあたり鍵生成レート)を示す。図5は、乱数性が検証された乱数列、及び、乱数性が検証されていない乱数列のそれぞれにおける、暗号鍵情報の伝送距離とパルスあたり鍵生成レートとの関係を示している。ここで、「乱数性が検証された乱数列」とは、乱数性検定部55において乱数性の検証が実行され、検証に適合した乱数列を意味する。一方、「乱数性が検証されていない乱数列」とは、乱数性検定部55において乱数性の検証が実行されていない乱数列を意味する。量子鍵配送では、伝送距離が長くなると、伝送路において光強度が減衰するため、量子暗号受信機90によって検出される光子の割合が低下する。また、伝送距離が長くなると、伝送路における雑音の影響が大きくなるため、誤り率が増大する。これらにより、伝送距離が長くなることに応じてパルスあたりの暗号鍵が生成されるレートが低下することから、伝送距離に制限が生じる。

【0065】
ここで、乱数列生成装置1では、半導体レーザ装置11によって繰り返し生成されるパルスレーザ光同士に位相相関がない場合には、フォトダイオード51において繰り返し生成される干渉光の干渉ピークの光強度は乱雑な値となる。一方、位相相関がある場合には、この乱雑性は失われている。以上により、取得された乱数列の乱数性を検証することにより、パルスレーザ光同士の位相相関の有無を検証していることになる。位相相関がないことが保証された場合には、誤り率に対して漏洩情報量を少なく見積もることができる。よって、伝送距離をより長くすることができる。

【0066】
また、実施形態に係る量子暗号送信機10によれば、乱数列生成装置1を備え、干渉計12は、出力端21側に接続され、第1ポート24に入力されて第1伝送路22又は第2伝送路23を経由したパルスレーザ光のそれぞれを出力する第4ポート27を更に有し、第4ポート27から出力されるパルスレーザ光の光強度及び位相を乱数列記憶部56に記憶された乱数列に基づいて変調する変調部13を備える。このため、量子暗号送信機10が備えている半導体レーザ装置11及び干渉計12を、乱数列生成装置1の半導体レーザ装置11及び干渉計12としても利用するため、構成を簡素化することができる。

【0067】
また、実施形態に係る量子暗号通信システム100によれば、量子暗号送信機10を備え、変調部13によって光強度及び位相を変調されたパルスレーザ光を量子暗号送信機10との間で量子通信する量子暗号受信機90を備える。このため、量子暗号送信機10が備えている半導体レーザ装置11及び干渉計12を、乱数列生成装置1の半導体レーザ装置11及び干渉計12としても利用するため、構成を簡素化することができる。

【0068】
なお、本発明は、上記実施形態に限定されない。例えば、上記実施形態では、量子暗号通信システム100は光ファイバ等を含む光伝送路80を備えることとした。このため、量子暗号送信機10と量子暗号受信機90とは、光ファイバを介して暗号鍵情報を持つ光子を伝送する。しかし、光伝送路80は光ファイバを含んでいなくてもよく、この場合、量子暗号送信機10と量子暗号受信機90とは、例えば空間を介して暗号鍵情報を持つ光子を伝送してもよい。

【0069】
また、上記実施形態では、乱数列生成装置1は処理回路52を備えるとしたが、乱数列生成装置1は、処理回路52の内の少なくともAD変換部53を備えていればよい。

【0070】
また、上記実施形態では、干渉計12は非対称マッハツェンダ干渉計であるとしたが、干渉計12は、例えば非対称なマイケルソン干渉計等の他の種類の干渉計であってもよい。干渉計12として非対称なマイケルソン干渉計を利用する場合には、干渉計12の出力の一部を反射させるためのビームスプリッタ等の光学部品を追加する必要がある。

【0071】
また、上記実施形態では、第2ポート25にはファラディミラー50が接続されているとしたが、第2ポート25には通常のミラーが接続されていてもよい。

【0072】
また、上記実施形態では、変調部13は、ダブルパルスを形成するパルスレーザ光の光強度及び位相をランダムに変調させるとした。しかし、変調部13は、各パルスレーザ光の位相に限らず、ダブルパルス間の振幅比及び位相差(すなわち、ダブルパルスの状態)を変調してもよい。具体的には、変調部13の内の状態生成部33が、ダブルパルス間の振幅比及び位相差を変調してもよい。なお、この場合、状態生成部33は、公知の位相変調器と公知の強度変調器との組み合わせ、又はニオブ酸リチウム結晶を用いた2電極型マッハツェンダ型変調器を用いてもよい。特に、デコイBB84プロトコルの状態においては、変調部13は、ダブルパルス間の振幅比及び位相差を変調する。

【0073】
また、上記実施形態では、秘匿性増強において、シフト鍵からランダムに捨てられるビットの選択においては、乱数源40によって生成された乱数に基づいて、各成分の値(0,1)がランダムに選択された行列を用いたユニバーサルハッシュ関数が用いられるとした。しかし、シフト鍵からランダムに捨てられるビットの選択においては、量子暗号送信機10及び量子暗号受信機90に予め複数のユニバーサルハッシュ関数を記憶させておき、乱数源40によって生成された乱数に基づいて、何れのユニバーサルハッシュ関数を適用するかの選択を行ってもよい。

【0074】
また、上記実施形態では、ダブルパルスの量子状態の基底としてX基底及びZ基底を採用したが、ダブルパルスの量子状態の基底としてX基底及びY基底を採用してもよい。このとき、デコイBB84プロトコルに必要な4つの状態は下記の式(5)及び式(6)で表される。
【数5】
JP2017135444A1_000007t.gif
【数6】
JP2017135444A1_000008t.gif

【0075】
ここで、乱数列生成装置は、AD変換部において生成された乱数列を記憶する乱数列記憶部を更に備えてもよい。この場合、乱数列が必要となったときに直ちに乱数列を出力することができる。

【0076】
また、乱数列生成装置は、AD変換部において生成された乱数列に対して乱数性の検証を実行し、検証に適合した乱数列を乱数列記憶部に出力する乱数性検定部を更に備えてもよい。この場合、半導体レーザ装置によって生成されるパルスレーザ光同士に位相相関がないことを保証することができる。
【符号の説明】
【0077】
1…乱数列生成装置、10…量子暗号送信機、11…半導体レーザ装置、12…干渉計、13…変調部、20…入力端、21…出力端、22…第1伝送路、23…第2伝送路、24…第1ポート、25…第2ポート、26…第3ポート、27…第4ポート、50…ファラディミラー(光反射部)、51…フォトダイオード、53…AD変換部、55…乱数性検定部、56…乱数列記憶部、90…量子暗号受信機、100…量子暗号通信システム、L1,L2…パルスレーザ光。
図面
【図1】
0
【図2】
1
【図3】
2
【図4】
3
【図5】
4
【図6】
5
【図7】
6