CN1759561A - 量子密钥配送方法及通信装置 - Google Patents

Abstract

提供一种量子密钥配送方法和通信装置，它根据带有概率信息的接收数据来估计原始发送数据，例如，奇偶校验矩阵生成部(10，30)生成相同的奇偶校验矩阵；检验子生成部(14)将基于所述奇偶校验矩阵和所述发送数据而生成的纠错信息经由公共通信路径通知给接收侧的通信装置；检验子解码部(33)基于所述纠错信息以及所述带有概率信息的接收数据来估计所述发送数据，再有，在能够完全校正接收数据中的错误之前，在规定的约束条件下，一边增加奇偶校验矩阵的行数，一边重复执行纠错处理。

Description

量子密钥配送方法及通信装置

技术领域

本发明涉及可以生成安全性得以高度保证的公用密钥的量子密钥(key)配送方法，特别是，涉及可以使用纠错码来纠正数据错误的量子密钥配送方法，以及可以实现该量子密钥配送的通信装置。

背景技术

以下，就已有的量子加密系统进行说明。近年来，广泛使用光通信作为高速大容量的通信技术，但是，由于在这种光通信系统中，利用光的通/断(ON/OFF)来执行通信，在通光时要传送大量的光子，因此，不是直接显现量子效果的通信系统。

另一方面，在量子加密系统中，将光子用作通信媒体，利用1个光子来传送1比特信息，以产生不确定性原理等的量子效果。此时，若窃听者在不知道其偏光、相位等量子状态的情况下通过适当选择基底来测定光子，则其量子状态发生变化。因此，在接收侧，通过确认该光子的量子状态的变化，能够确认传送数据是否被窃听。

图10图示了以往的利用了偏光的量子密钥配送的概要。例如，利用可以识别水平垂直方向的偏光的测定仪，正确识别量子通信路径上的、被偏光为水平方向(0°)的光以及被偏光为垂直方向(90°)的光。另一方面，利用可以识别倾斜方向(45°，135°)的偏光的测定仪，正确识别量子通信路径上的、被偏光为45°方向的光以及被偏光为135°方向的光。

如此，各测定仪能够正确识别被偏光为规定方向的光，但是，例如，如果利用可以识别水平垂直方向(0°，90°)的偏光的测定仪来测定被偏光为倾斜方向的光，则分别以50％的概率随机地识别被偏光为水平方向和垂直方向的光。即，在使用了与可识别的偏光方向不相对应的测定仪的情况下，即便对该测定结果进行分析也不能正确地识别偏光方向。

在图10所示的以往的量子密钥配送中，利用上述不确定性(随机性)，为窃听者所不知地在发送者和接收者之间共用密钥(例如，请参见Benn ett，C.H.and Brassard，G.：Quantum Cryptography：PublicKey Distributi on and Coin Tossing，In Proceedings of IEEEConference on Computers，System and Signal Processing，Bangalore，India，pp.175-179(DEC.1984))。发送者和接收者能够使用量子通信路径之外的公共通信路径。

这里，就密钥的共用过程进行说明。首先，发送者产生随机数序列(1、0的序列：发送数据)，接着，随机地确定发送码(+：对应于可识别被偏光到水平垂直方向的光的测定仪，×：对应于可识别被偏光到倾斜方向的光的测定仪)。通过该随机数序列与发送码的组合，自动确定发送光的偏光方向。这里，在量子通信路径上分别发送利用0和+的组合而被偏光到水平方向的光、利用1和+的组合而被偏光到垂直方向的光、利用0和×的组合而被偏光到45°方向的光、利用1和×的组合而被偏光到135°方向的光(发送信号)。

接下来，接收者随机地确定接收码(+：可识别被偏光到水平垂直方向的光的测定仪；×：可识别被偏光到倾斜方向的测定仪)，并测定量子通信路径上的光(接收信号)。于是，利用接收码和接收信号的组合来获取接收数据。这里，作为接收数据，分别利用偏光到水平方向的光与+的组合而得到了0，利用偏光到垂直方向的光与+的组合而得到了1，利用偏光到45°方向的光与×的组合而得到了0，利用偏光到45°方向的光与×的组合而得到了1。

接下来，接收者为了检查是否利用正确的测定仪执行了自身测定，通过公共通信路径对发送者发送接收码。接收了接收码的发送者检查该测定是否是由正确的检测仪执行的，并经由公共通信路径将该结果返回给接收者。

接下来，接收者保留与由正确的测定仪接收到的接收信号相对应的接收数据而舍弃其他。在该时刻，确实能够在发送者和接收者之间共用被保留的接收数据。

接下来，发送者和接收者将从共用数据中选出的规定数目的数据经由公共通信路径发送给各自的通信对方。然后，确认所接收的数据是否与自身具有的数据相一致。例如，即便在确认的数据中只有1个不一致的数据，也会判断为存在窃听者，从而舍弃共有数据，立即再次重头开始密钥的共有过程。另一方面，在确认的数据全都一致的情况下，判断为没有窃听者，舍弃在确认中使用过的数据，将保留的共有数据设定为发送者和接收者的共有密钥。

另一方面，作为上述已有的量子密钥配送方法的应用，例如，包括可纠正传输通路上的数据错误的量子密钥配送方法(例如，请参见Brassard，G.And Salvail，L.1993 Secret-Key Reconciliation by PublicDiscussion，In Advances in Cryptology-EUROCRYPT’93，LectureNotes in Computer Science 765，410-423)。

在这种方法中，发送者为了检测数据错误而将发送数据分割为多个块，并将每个块的奇偶性发送到公共通信路径上。然后，接收者将经由公共通信路径所接收的每个块的奇偶性和接收数据中对应块的奇偶性相比较，从而检验数据错误。此时，在存在不同奇偶性的情况下，接收者将表示哪个块的奇偶性不同的信息返回到公共通信路径上。然后，发送者将相应的块进一步分割为前半部分的块和后半部分的块，并例如将前半部分的奇偶性返回到公共通信路径上(对分检索)。以后，发送者和接收者通过重复执行上述对分检索来指定错误比特的位置，最终，接收者对该比特进行纠正。

另外，假定在不管数据中存在错误与否，由于存在偶数个错误而将奇偶性判断为正确的情况下，发送者重新随机排列发送数据(随机置换)后，将其分配给多个块，再次利用上述对分检索来执行纠错处理。之后，通过重复执行利用随机置换的该纠错处理来纠正所有的数据错误。

但是，在上述图10所示的已有的量子密钥配送方法中，由于没有假定错误通信路径，因此，在存在错误时，由于作为存在窃听者的情况而舍弃了上述共用数据(共用密钥)，从而存在由于传输通路而使共用密钥的生成效率极端恶化的问题。

在可纠正上述传输通路上的数据错误的量子密钥配送方法中，为了指定错误比特而产生了非常多次的奇偶性交换，另外，由于利用随机置换的纠错处理被执行了规定次数，而存在为纠错处理花费大量时间的问题。

本发明是鉴于上述缺陷而作出的，目的在于提供一种量子密钥配送方法，它可以使用具有极高特性的纠错码来纠正传输通路中的数据错误，同时，生成安全性得以高度保证的共用密钥。

发明内容

本发明的量子密钥配送方法通过对作为量子通信路径上的光子的测定结果所得到的附带概率信息的接收数据的错误来估计原始的发送数据，并将该估计结果作为共用信息。该方法的特征在于包括以下步骤：笫1校验矩阵产生步骤，发送侧和接收侧的通信装置分别产生第1奇偶校验矩阵(元素“0”或“1”的相同的矩阵)；第1纠错信息通知步骤，所述发送侧的通信装置将基于所述第1奇偶校验矩阵和所述发送数据所产生的第1纠错信息经由公共通信路径而通知给所述接收侧的通信装置；笫1纠错步骤，所述接收侧的通信装置基于所述第1纠错信息来纠正所述接收数据；第2校验矩阵产生步骤，在不能完全纠正所述接收数据的错误的情况下，接收侧和发送侧的通信装置分别产生第2奇偶校验矩阵(元素“0”或“1”的相同的矩阵)，以便前一次的纠错信息成为下一次纠错时的信息的一部分；第2纠错信息通知步骤，所述发送侧的通信装置将基于所述第2奇偶校验矩阵和所述发送数据所产生的追加部分的第2纠错信息经由公共通信路径而通知给所述接收侧的通信装置；第2纠错步骤，所述接收侧的通信装置基于所述第1和第2纠错信息，对所述接收数据的错误进行纠正；加密密钥产生步骤，在利用所述第1纠错步骤的处理能够完全校正接收数据的错误的情况下，或者，通过重复执行所述笫2校验矩阵产生步骤、所述第2纠错信息通知步骤、所述第2纠错步骤的处理能够完全纠正错误的情况下，根据所公开的纠错信息量而舍弃一部分共用信息，并将该结果作为加密密钥。

根据本发明，使用可靠的奇偶校验矩阵对接收数据的错误进行纠正，之后，根据所公开的纠错信息而舍弃一部分共用信息。由此，大大缩短了纠错处理所花费的时间。在能够完全纠正接收数据的错误之前，在规定的约束条件下，一边增加奇偶校验矩阵的行数，一边重复执行纠错处理。由此，没有必要舍弃为了评估通信通路中的噪声水平而产生的共有信息，从而大幅提高了共有密钥的生成效率。

附图说明

图1图示了依据本发明的量子加密系统的结构。

图2是表示依据本发明的量子密钥配送的处理的流程图。

图3是一张流程图，表示基于有限仿射几何的“Irregular-LDPC码”的构成方法。

图4图示了有限仿射几何码AG(2，2²)的矩阵。

图5图示了最终的列权重分布以及行权重分布。

图6图示了发送侧的通信装置向接收侧的通信装置发送的检验子(syndrome)。

图7图示了本实施方式的奇偶校验矩阵生成方法。

图8图示了在利用步骤S15的处理而不能完全纠正硬判断值m_B的错误的情况下的、实施方式2的操作。

图9图示了在利用步骤S15的处理不能完全纠正硬判断值m_B的错误的情况下的、实施方式3的操作。

图10图示了现有的量子密钥配送的概要。

具体实施方式

以下，将基于附图详细说明本发明的量子密钥配送方法以及通信装置的实施方式。并不是利用该实施方式来限定本发明。以下，作为一个例子，就利用偏光的量子密钥配送进行了说明，但是，本发明例如也可以应用于利用相位的、利用频率的量子密钥配送等，本发明并没有特别限定于利用哪种量子状态。

实施方式1

量子密钥配送是不管窃听者的计算能力的、安全性得以保证的密钥配送方式，但是，例如为了更有效地生成共用密钥，有必要去除经由传输通路产生的数据错误。因此，在本实施方式中，对使用我们知道具有极高特性的低密度奇偶校验(LDPC：Low-Density Parity-Check)码来执行纠错的量子密钥配送进行说明。

图1图示了依据本发明的量子加密系统(发送侧和接收侧的通信装置)的结构。该量子加密系统由以下部件构成：具有发送信息m_a的功能的发送侧通信装置；以及，具有接收在传输通路上受到噪声等影响的信息m_a即信息m_b的功能的接收侧通信装置。

发送侧的通信装置具有：加密密钥生成部1，经由量子通信路径发送信息m_a，经由公共通信路径发送检验子S_A，并基于这些发送信息生成加密密钥(与接收侧的共用密钥)；以及，通信部2，收发部22经由公共通信路径接收/发送由加密部21基于加密密钥而执行了加密的数据。接收侧的通信装置具有：加密密钥生成部3，经由量子通信路径接收信息m_b，经由公共通信路径接收检验子S_A，并基于这些接收信息生成加密密钥(与发送侧的共用密钥)；以及，通信部4，收发部41经由公共通信路径接收/发送由加密部42基于加密密钥而执行了加密的数据。

在上述发送侧的通信装置中，将通过偏光滤光镜而被偏光到规定方向上的光(参见图10)发送给接收侧的通信装置，作为发送到量子通信路径上的信息m_a。另一方面，在接收侧的通信装置中，使用可识别水平垂直方向(0°，90°)偏光的测定仪以及可识别倾斜方向(45°，135°)偏光的测定仪，来识别量子通信路径上的被偏光到水平方向(0°)的光、被偏光到垂直方向(90°)的光、被偏光到45°方向的光、以及被偏光到135°方向的光。各测定仪能够正确识别被偏光到规定方向的光，但是，若利用可识别水平垂直方向(0°，90°)偏光的测定仪来测定被偏光到倾斜方向的光，则分别有50％的概率将其随机识别为偏光到水平方向和垂直方向上的光。即，在使用了与可识别的偏光方向不相对应的测定仪的情况下，即便分析其测定结果也不能正确地识别偏光方向。

以下，就上述量子加密系统中的各通信装置的操作、即本实施方式的量子密钥配送进行详细说明。图2是一张流程图，表示本实施方式的量子密钥配送的概要。详细而言，(a)表示发送侧的通信装置的处理，(b)表示接收侧的通信装置的处理。

首先，在上述发送侧的通信装置以及接收侧的通信装置中，奇偶校验阵列生成部10、30求取特定的线性码的奇偶校验阵列H(n×k的矩阵)，之后，根据该奇偶校验矩阵H求取满足“HG＝0”的生成阵列G((n-k)×n的矩阵)，再求取成为G^-1·G＝I(单位矩阵)的G的逆矩阵G^-1(n×(n-k)的矩阵)(步骤S1，步骤S11)。在本实施方式中，对使用了具有极端接近仙农极限的优秀特性的LDPC码作为上述特定的线性码的量子密钥配送进行说明。在本实施方式中，尽管作为纠错方式使用了LDPC码，但是，并不仅限于此，例如，也可以使用turbo码等其他线性码。例如，如果后述的纠错信息(检验子)是由适当的矩阵H和发送数据m_A(信息m_a的一部分)的积Hm_A所表示的纠错协议(例如相当于由已有技术说明过的“可纠正传输通路上的数据错误的量子密钥配送”的纠错协议)，即如果确保了纠错信息和发送数据m_A的线性，则也可以使用这种矩阵H。

这里将就上述奇偶校验矩阵生成部10中的LDPC码用校验矩阵的构成法进行说明。在本实施方式中，作为一个例子，例举说明了基于有限仿射几何的、“Irregular-LDPC码”用校验的构成法(图2步骤S1的细节)。图3是一张流程图，它表示基于有限仿射几何的、“Irregular-LDPC码”用校验矩阵的构成法。对于奇偶校验矩阵生成部30，由于它与奇偶校验矩阵生成部10相同地执行操作，因此省略其说明。本实施方式中的奇偶校验矩阵生成处理，例如既可以采用由奇偶校验阵列生成部10根据所设置的参数来执行的结构，也可以采用由通信装置外部的其他控制装置(计算机等)根据所设置的参数来执行的结构。在于通信装置外部执行本实施方式中的奇偶校验矩阵生成处理的情况下，将生成完毕的奇偶校验矩阵存储于通信装置内。在以后的实施方式中，对由奇偶校验矩阵生成部10执行的上述处理的情况进行说明。

首先，在奇偶校验矩阵生成部10中，选择成为“Irregular-LDPC码”用校验矩阵的基础的有限仿射几何码AG(2，2^S)(图3，步骤S21)。这里，行的加权和列的加权分别为2^S。图4表示例如是有限仿射几何码AG(2，2²)的矩阵的图(空白表示0)。

接下来，在奇偶校验矩阵生成部10中，确定列的加权的最大值r₁(2＜r₁＜≤2^S)(步骤S22)。之后，确定编码率rate(1个检验子长度/密钥的长度)(步骤S22)。

接下来，在奇偶校验矩阵生成部10中，使用基于高斯近似法(Gaussian Approximation)的优化，来暂时求取列的权重分布λ(γ_i)和行的权重分布ρ_u(步骤S23)。设行的权重分布的生成函数ρ(x)为ρ(x)＝ρ_uX^u-1+(1-ρ_u)X^u。权重u为u≥2的整数。ρ_u表示行中的权重u的比例。

接下来，在奇偶校验矩阵生成部10中，选择可利用有限仿射的行的比例来构成的、行的权重{u，u+1}，再求取满足(1)式的比例系数{b_u，b_u+1}(步骤S24)。设b_u、b_u+1为非负的整数。

b_u+b_u+1(u+1)＝2^S    ……(1)

具体而言，根据下式(2)求出b_u，并根据上述式(1)求出b_u+1。

接下来，在奇偶校验矩阵生成部10中，利用(3)式求出借助于上述所确定的参数u、u+1、b_u、b_u+1来更新的行权重的比率ρ_u’、ρ_u+1’(步骤S25)。

接下来，在奇偶校验矩阵生成部10中，使用基于高斯近似法的优化，再将上述求出的u、u+1、ρ_u’、ρ_u+1’作为固定参数，暂时求出列的权重分布λ(γ_i)(步骤S26)。权重γ_i是γ_i≥2的整数，λ(γ_i)表示列中权重γ_i的比例。从候补中消除列数为1以下的权重(λ(γ_i)≤γ_i/W_t，i是正整数)。但是，w_t表示包含于AG(2，2^S)内的1的总数。

接下来，选择满足上述求出的权重分布、且满足下述(4)式的列的权重候补的组{γ₁，γ₂，……，γ₁(γ₁≤2^S)}(步骤S27)。之后，在存在不满足下述(4)式的例如加权γ_i的情况下，从候补中消除该列的权重。

$\left[\begin{array}{cccc}{a}_{\mathrm{1,1}}& a_{\mathrm{1,2}}& \…& a_{1,t}\\ a_{\mathrm{2,1}}& a_{\mathrm{2,2}}& \…& a_{2,t}\\ .& & & .\\ .& & \·\·\·& .\\ .& & & .\end{array}\right]\left[\begin{array}{c}{\mathrm{\γ}}_1\\ {\mathrm{\γ}}_2\\ .\\ .\\ .\\ {\mathrm{\γ}}_t\end{array}\right]=\left[\begin{array}{c}{2}^S\\ 2^S\\ .\\ .\\ .\\ 2^S\end{array}\right]\·\·\·\left(4\right)$

各a表示成为针对用于构成列权重2^S的{γ₁，γ₂，……，γ₁}的、为非负整数的系数，i、j是正整数，γ_i表示列权重，γ₁表示列的最大权重。

接下来，在奇偶校验矩阵生成部10中，使用借助于高斯近似法的优化，进一步将上述求出的u、u+1、ρ_u’、ρ_u+1’以及{γ₁，γ₂，……，γ₁}作为固定参数，求出列权重分布λ(γ_i)和行权重分布ρ_u(步骤S28)。

接下来，在奇偶校验矩阵生成部10中，在执行分割处理之前，调整列权重分布λ(γ_i)以及行权重分布ρ_u(步骤S29)。将调整后的各权重的分配设定为尽可能靠近利用高斯近似法求出的值的值。图5图示了步骤S29中的最终的列权重分布λ(γ_i)和行的权重分布ρ_u。n(γ_i)表示权重单位的总列数，n_u表示权重单位的总行数。

最后，在奇偶校验矩阵生成部10中，基于上述处理中求出的各权重分布，分割有限仿射几何中的行和列(步骤S30)，并产生n×k的奇偶校验矩阵H。本发明的有限仿射几何码的分割处理是从各行或各列中随机提取“1”，不规则地执行分割(随机分割)。如果可保持随机性，则该提取处理也可以使用任何一种方法。

如此，在本实施方式中，例如，通过执行基于上述有限仿射几何的、“Irregular-LDPC码”用校验矩阵的构成法(图2步骤S1)，可靠地生成特性稳定的“Irregular-LDPC码”用的校验矩阵H(n×k)。在本实施方式中，尽管是将有限仿射几何用于作为基本的码(基本矩阵)(步骤S21)，但是，并不仅限于此，如果是满足“行和列的权重一定”且“2部分曲线上的周期数为6以上”的条件的矩阵，则也可以使用有限仿射几何以外(利用Cayley曲线的基本矩阵以及利用Ramanujan曲线的的基本矩阵等)的矩阵。在本实施方式中，作为一个例子，说明了使用上述步骤S21～S29来产生基于有限仿射几何的、“Irregular-LDPC码”用校验矩阵，但是，对于上述步骤S1和S11所产生的校验矩阵H而言并不仅限于此，也可以利用上述以外的构成法来生成。

如上所述，生成奇偶校验矩阵H，之后，在生成了生成矩阵G、G^-1(G^-1·G＝I：单位矩阵)后，接下来，在发送侧的通信装置中，随机数生成部11产生作为随机数列的信息m_a(1、0的列：发送数据)，再随机确定发送码(+：与可识别被偏光到水平垂直方向的光的测定仪相对应的码；×：与可识别被偏光到倾斜方向的光的测定仪相对应的码)(步骤S2)。另一方面，在接收侧的装置中，随机发生部31随机确定接收码(+：与可识别被偏光到水平垂直方向的光的测定仪相对应的码；×：与可识别被偏光到倾斜方向的光的测定仪相对应的码)(步骤S12)。

接下来，在发送侧的通信装置中，光子生成部12在由上述信息m_a和发送码的组合自动确定的偏光方向上发送光子(步骤S3)。例如，分别将由于0和+的组合而被偏光到水平方向上的光、由于1和+的组合而被偏光到垂直方向上的光、由于0和×的组合而被偏光到45°方向上的光、由于1和×的组合而被偏光到135°方向上的光发送到量子通信路径上(发送信号)。

在接收了光子生成部12的光信号的接收侧的通信装置的光子接收部21中，测定量子通信路径上的光(接收信号)。之后，获取由接收码和接收信号的组合自动确定的信息m_b(1、0的列：接收数据)(步骤S13)。这里，作为接收数据m_b，分别利用被偏光到水平方向的光和+的组合而得到了0，利用被偏光到垂直方向的光和+的组合而得到了1，利用被偏光到45°方向的光和×的组合而得到了0，利用被偏光到135°方向的光和×的组合而得到了1。将接收数据m_b设定为带有概率信息的硬判断值。

接下来，在接收侧的通信装置中，为了检查上述测定是否由正确的测定仪执行，随机数发生部31将接收码经由公开通信通路通信部34、公共通信路径发送到发送侧的通信装置(步骤S13)。在接收了接收码的发送侧的通信装置中，随机数发生部11检查上述测定是否是由正确的测定仪执行的，并将其结果经由公共通信路径通信部13、公共通信路径发送到接收侧的通信装置(步骤S3)。之后，在接收侧的通信装置和发送侧的通信装置中，仅仅剩下与由正确的测定仪所接收的信号相对应的数据，而舍弃其他数据(步骤S3、S13)。之后，将剩余的数据保存在存储器等内，从其开头开始顺序读出n比特，并将其设定为正式的发送数据m_A和接收数据m_B(m_B是在传输通路上受到噪音等影响的m_A：m_B＝m_A+e(噪音))。由此，能够在发送侧的通信装置和接收侧的通信装置之间共用剩余数据的比特位置。接收数据m_B是与上述m_b相同的、带有概率信息的硬判断值。

接下来，在发送侧的通信装置中，检验子生成部14使用奇偶校验矩阵H(n×k的矩阵)和发送数据m_A，来计算m_A的检验子S_A＝Hm_A，并将其结果经由公共通信路径通信部13、公共通信路径通知给接收侧的通信装置(步骤S4)。在该阶段，m_A的检验子S_A(k比特的信息)具有可以被窃听者知道的可能性。图6图示了发送侧的通信装置向接收侧的通信装置发送的检验子S_A。另一方面，在接收侧的通信装置中，利用公开通信通路通信部34接收m_A的检验子S_A，并将其通知给检验子解码部33(步骤S14)。

接下来，在检验子解码部33中，使用已知的解码方法，通过对由于噪声等而引起的带有概率信息的硬判断值m_B的错误进行纠正，从而估计原始的发送数据m_A(步骤S15)。在本实施方式中，将接收数据m_B和m_b作为带有概率信息的硬判断值，但是，并不仅限于此，例如，也可应用于作为软判断值的情况，对于是否利用哪一种接收数据并没有特别规定。

之后，在利用步骤S15的处理能够完全纠正硬判断值m_B的错误的情况下(步骤S15，OK)，在接收侧的通信装置中，共有密钥生成部35根据所公开的纠错信息(有被窃听可能性的上述k比特的信息：S_A)而舍弃一部分共有信息，生成具有n-k比特的信息量的加密密钥r(步骤S16)。即，在共有密钥生成部35中，使用在先计算出的G^-1(n×(n-k)的矩阵)，利用下式(5)来生成加密密钥r。接收侧的通信装置将该加密密钥r设定为与发送侧的通信装置的共用密钥。

r＝G^-1m_A                    ……(5)

在发送侧的通信装置中，在利用步骤S15的处理完全纠正了硬判断值m_B的错误、并且没有新的检验子请求的情况下(步骤S5，Yes)，共有密钥生成部15根据所公开的纠错信息(有被窃听可能性的上述k比特的信息：S_A)而舍弃一部分共有信息m_A，并生成具有n-k比特的信息量的加密密钥r(步骤S6)。即，即便共有密钥生成部15中，也使用在先计算的G^-1(n×(n-k)的矩阵)，利用上式(5)生成加密密钥r(步骤S6)。发送侧的通信装置将该加密密钥r设定为与接收侧的通信装置的共有密钥。

在本实施方式中，还可以采用使用规则的随机矩阵R来重新排列上述共有密钥的结构。由此，能够使秘密性得以增强。具体而言，首先，发送侧的通信装置生成规则的随机矩阵R((n-k)×(n-k)的矩阵)，进一步将该R经由公共通信路径通知给接收侧的通信装置。该处理也可以利用接收侧的通信装置来执行。之后，发送侧和接收侧的通信装置使用在先计算的G^-1(n×(n-k)的矩阵)和随机矩阵R，利用下式(6)生成加密密钥r。

r＝RG^-1m_A               ……(6)

另一方面，在利用步骤S15不能完全纠正硬判断值m_B的错误的情况下(步骤S15，NG)，在接收侧的通信装置的检验子解码部33中，将检验子请求经由公共通信路径通信部34、公共通信路径通知给发送侧的通信装置(步骤S17)。之后，在奇偶校验矩阵生成部30中，利用上述图3所示的方法或者与之不同的已知的方法来生成奇偶校验矩阵H’(n×(k+t)的矩阵)，之后，根据该奇偶校验矩阵H’来生成满足“H’G’＝0”的生成矩阵G’、G^-1’(G^-1’·G’＝I：单位矩阵)(步骤S18)。这种情况下，奇偶校验矩阵H’是在“保持在上述步骤S4中生成的检验子S_A”的约束条件下生成的。图7图示了本实施方式的奇偶校验矩阵生成方法。t的大小依赖于系统的请求条件。例如，在减小t的大小的情况下，尽管有会增加纠错处理次数的可能性，但另一方面，提高了密钥的生成率。在增大t的大小的情况下，尽管能够降低纠错处理的次数，但另一方面，降低了密钥的生成率。

接下来，在接收到检验子请求的(步骤S5，NO)发送侧的通信装置的奇偶校验矩阵生成部10中，也利用上述图3所示的方法或者与之不同的已知的方法来生成奇偶校验矩阵H’(n×(k+t)的矩阵)，之后，根据该奇偶校验矩阵H’来生成满足“H’G’＝0”的生成矩阵G’、G^-1’(G^-1’·G’＝I：单位矩阵)(步骤S7)。这种情况下的奇偶校验矩阵H’也与上述情况相同，是在“保持在上述S4中生成的检验子S_A”的约束条件下生成的。

接下来，在发送侧的通信装置中，检验子生成部分14使用奇偶校验矩阵H’(n×(k+t)的矩阵)和发送数据m_A来计算图7所示的t行的检验子S_A’，并将其结果经由公共通信路径通信部13、公共通信公路通知给接收侧的通信装置(步骤S8)。在该阶段，检验子S_A’(t比特信息)存在被窃听者知道的可能性。之后，在接收侧的通信装置中，利用公开通信通路通信部34接收t行的检验子S_A’，之后，将其通知给检验子解码部33(步骤S19)。

接下来，在检验子解码部33中，使用上述已知的检验子解码法对带有概率信息的硬判断值m_B的错误进行纠正，并再次估计原始的发送数据m_A(步骤S15)。

以后，在本实施方式接收侧的通信装置中，在利用步骤S15的处理能够完全纠正硬判断值m_B的错误之前，一边增加奇偶校验矩阵的行数一边重复执行步骤S17～S19的处理，在能够完全纠正错误的阶段，共有密钥生成部35根据所公开的纠错信息(例如具有被窃听可能的上述k+t比特的信息：S_A+S_A’(参见图7))而舍弃一部分共有信息m_A，产生具有例如是n-k-t、n-k-2t、n-k-3t、……比特的信息量的加密密钥r(步骤S16)。接收侧的通信装置将该加密密钥r设置为与发送侧的通信装置的共有密钥。

在本实施方式的发送侧的通信装置中，在没有通知新的检验子请求之前，一边增加奇偶校验矩阵的行数一边重复执行步骤S7、S8的处理，在还没有通知新的检验子请求的阶段，共有密钥生成部15根据所公开的纠错信息(例如具有被窃听可能的上述k+t比特的信息：S_A+S_A’(参见图7))而舍弃一部分共有信息m_A，产生具有例如是n-k-t、n-k-2t、n-k-3t、……比特的信息量的加密密钥r(步骤S6)。发送侧的通信装置将该加密密钥r设置为与发送侧的通信装置的共有密钥。

如此，在本实施方式中，采用了使用确定的、特性稳定的“Irregular-LDPC码”用的校验矩阵对接收数据的错误进行纠正，根据所公开的纠错信息而舍弃一部分共有信息的结构。由此，不执行庞大次数的、用于特征/纠正错误比特的奇偶性交换，仅仅通过发送纠错信息就执行纠错控制，因此，能够大大缩短纠错处理所花费的时间。由于根据所公开的信息而舍弃一部分共有信息，因此，能够产生安全性得到高度保证的共用密钥。

在本实施方式中，采用在能够完全纠正接收数据的错误之前，在规定的约束条件下，一边增加奇偶校验矩阵的行数，一边重复执行纠错处理的结构。由此，由于没有必要舍弃为了估测通信通路中的噪声电平而产生的共有信息，因此，能够大幅提高共有密钥的生成效率。

实施方式2

以下将就实施方式2的量子密钥配送方法进行说明。对于发送侧的通信装置以及接收侧的通信装置的结构而言，由于其与在先说明过的实施方式1的结构相同，因此对其赋予相同的标记，并省略其说明。

图8图示了在利用上述步骤是15的处理不能完全纠正硬判断值m_B的错误的情况下的、实施方式2的操作。这里使用图2对作为本实施方式的特征的操作的步骤S17-S19、S7、S8的处理进行说明。

例如，在利用上述步骤是15的处理不能完全纠正硬判断值m_B的错误的情况下(步骤S15，NG)，为了完全纠正该错误，在接收侧的通信装置的检验子解码部33中，经由公共通信路径通信部34、公共通信路径而向发送侧的通信装置发出检验子请求(步骤S17)。

之后，在奇偶校验矩阵生成部30中，在保持了奇偶校验矩阵H的状态下，如图8所示，追加生成t行的矩阵H”(n×t的矩阵)，之后，根据组合了原始的奇偶校验矩阵H和矩阵H”的矩阵H’(n×(k+t)的矩阵)来生成满足“H’G’＝0”的生成矩阵G’、G^-1’(G^-1’·G’＝I：单位矩阵)(步骤S18)。这种情况下，在“奇偶校验矩阵H’成为rank H’＝k+t(线性独立)”、“奇偶校验矩阵H’保持原始奇偶校验矩阵H”的约束条件下，利用上述图3所示的方法或者是与之不同的已知方法来生成矩阵H”的权重分布。t的大小依赖于系统的请求条件。例如，在t的大小变小的情况下，会有可能使纠错处理的次数增加，但是，另一方面，提高了密钥的生成率。在t的大小变大的情况下，能够降低纠错处理的次数，但是，另一方面，降低了密钥的生成率。

在接收了检验子请求的(步骤S5，No)发送侧的通信装置的奇偶校验矩阵生成部10中，利用与上述相同的处理，在保持了奇偶校验矩阵H的状态下，追加生成t行的矩阵H”(参见图8)，之后，根据组合了原始奇偶校验矩阵H和矩阵H”的矩阵H’来生成满足“H’G’＝0”的生成矩阵G’、G^-1’(G^-1’·G’＝I：单位矩阵)(步骤S7)。

接下来，在发送侧的通信装置中，检验子生成部14使用奇偶校验矩阵H’以及发送数据m_A来计算图8所示的t行的检验子S_A’，并将该结果经由公共通信路径通信部13、公共通信公路通知给接收侧的通信装置(步骤S8)。在该阶段，检验子S_A’(t比特信息)存在被窃听者知道的可能性。之后，在接收侧的通信装置中，利用公开通信通路通信部34接收t行的检验子S_A’，之后，将其通知给检验子解码部33(步骤S19)。

接下来，在检验子解码部33中，使用已知的检验子解码法对带有概率信息的硬判断值m_B的错误进行纠正，并再次估计原始的发送数据m_A(步骤S15)。在本实施方式中，例如根据带有概率信息的硬判断值m_B来估计满足“(S_A+S_A’)＝H’m_c”的m_c，并将其估计结果设定为共有信息m_c。

以后，在本实施方式接收侧的通信装置中，在利用步骤S15的处理能够完全纠正硬判断值m_B的错误之前，一边增加奇偶校验矩阵的行数一边重复执行步骤S17～S19的处理，在能够完全纠正错误的阶段，共有密钥生成部35根据所公开的纠错信息(例如具有被窃听可能的上述k+t比特的信息：S_A+S_A’(参见图7))而舍弃一部分共有信息m_A，生成具有例如是n-k-t、n-k-2t、n-k-3t、……比特的信息量的加密密钥r(步骤S16)。接收侧的通信装置将该加密密钥r设置为与发送侧的通信装置的共有密钥。

在本实施方式的发送侧的通信装置中，在没有通知新的检验子请求之前，一边增加奇偶校验矩阵的行数一边重复执行步骤S7、S8的处理，在还没有通知新的检验子请求的阶段，共有密钥生成部15根据所公开的纠错信息(例如具有被窃听可能的上述k+t比特的信息：S_A+S_A’(参见图7))而舍弃一部分共有信息m_A，产生具有例如是n-k-t、n-k-2t、n-k-3t、……比特的信息量的加密密钥r(步骤S6)。发送侧的通信装置将该加密密钥r设置为与发送侧的通信装置的共有密钥。

在本实施方式中，与实施方式1相同，采用在能够完全纠正接收数据的错误之前，在规定的约束条件下，一边增加奇偶校验矩阵的行数，一边重复执行纠错处理的结构。由此，由于没有必要舍弃用于估测通信通路中的噪声电平所产生的共有信息，因此，能够大幅提高共有密钥的生成效率。

实施方式3

以下，将就实施方式3的量子密钥配送方法进行说明。在实施例方式1和2中，是根据所公开的纠错信息而舍弃一部分共有信息m_A从而产生加密密钥r的。即，每当重复执行纠错处理，加密密钥r的密钥长度就变短。与此相对，在本实施方式中，利用下述处理产生具有一定长度的加密密钥r。对于发送侧的通信装置以及接收侧的通信装置的结构而言，由于其与在先说明过的实施方式1的结构相同，因此，对其赋予相同标记，并省略其说明。

图9图示了利用上述步骤S15的处理不能完全纠正硬判断值m_B的错误的情况下的实施方式3的操作。这里，使用图2对作为本实施方式特征的操作的步骤S17-S19、S7、S8的处理进行说明。

例如，在利用上述步骤S15的处理不能完全纠正硬判断值m_B的错误的情况下(步骤S15，NG)，为了完全纠正该错误，在接收侧的通信装置的检验子解码部33中，经由公共通信路径通信部34、公共通信路径而向发送侧的通信装置发出检验子请求(步骤S17)。

之后，在奇偶校验矩阵生成部30中，在保持了奇偶校验矩阵H的状态下，如图9所示，追加生成t行的矩阵H”’((n+t)×t的矩阵)，之后，根据组合了原始的奇偶校验矩阵H和t列0矩阵(t×k的0矩阵)以及上述矩阵H”’的H’((n+t)(k+t)的矩阵)，来生成满足“H’G ’＝0”的生成矩阵G’、G^-1’(G^-1’·G’＝I：单位矩阵)(步骤S18)。这种情况下，在“奇偶校验矩阵H’成为rank H’＝k+t(线性独立)”、“奇偶校验矩阵H’保持原始奇偶校验矩阵H”的约束条件下，利用上述图3所示的方法或者是与之不同的已知方法来生成矩阵H”’的权重分布。t的大小依赖于系统的请求条件。而且，如果上述t列0矩阵满足上述约束条件，也没有必要一定是0矩阵。

在接收了检验子请求的(步骤S5，No)发送侧的通信装置的奇偶校验矩阵生成部10中，利用与上述相同的处理，在保持了奇偶校验矩阵H的状态下，追加生成了t行的矩阵H”’(参见图9)，之后，根据组合了原始奇偶校验矩阵H、t列0矩阵以及矩阵H”’的矩阵H’来生成满足“H’G’＝0”的生成矩阵G’、G^-1’(G^-1’·G’＝I：单位矩阵)(步骤S7)。

接下来，在发送侧的通信装置中，检验子生成部14读出在步骤S3的处理中保存在存储器等内的t比特的发送数据m_A’，使用该发送数据m_A’、发送数据m_A以及奇偶校验矩阵H’来计算图9所示的t行的检验子S_A’，并将该结果经由公共通信路径通信部13、公共通信公路通知给接收侧的通信装置(步骤S8)。之后，在接收侧的通信装置中，利用公开通信通路通信部34接收t行的检验子S_A’，并将其通知给检验子解码部33(步骤S19)。在该阶段，检验子S_A’(t比特信息)存在被窃听者知道的可能性。

接下来，在检验子解码部33中，读出在步骤S13的处理中保存在存储器内的t比特的接收数据m_B’，使用已知的检验子解码法对带有概率信息的硬判断值m_B和接收数据m_B’进行纠正，并再次估计原始的发送数据m_A和原始数据m_A’(步骤S15)。在本实施方式中，例如根据带有概率信息的硬判断值m_B和接收数据m_B’来估计满足“(S_A+S_A’)＝H’m_c”的m_c，并该将估计结果m_c设定为共有信息m_A。

以后，在本实施方式接收侧的通信装置中，在利用步骤S15的处理能够完全纠正硬判断值m_B的错误之前，一边增加奇偶校验矩阵的行数和列数，一边重复执行步骤S17～S19的处理，在能够完全纠正错误的阶段，共有密钥生成部35根据所公开的纠错信息(例如具有被窃听可能的上述k+t比特的信息：S_A+S_A’(参见图9))而舍弃一部分共有信息(m_A+m_A’)，生成具有例如是通常具有一定的n-k比特的信息量的加密密钥r(步骤S16)。接收侧的通信装置将该加密密钥r设置为与发送侧的通信装置的共有密钥。

在本实施方式的发送侧的通信装置中，在没有通知新的检验子请求之前，一边增加奇偶校验矩阵的行数和列数，一边重复执行步骤S7、S8的处理，在还没有通知新的检验子请求的阶段，共有密钥生成部15根据所公开的纠错信息(例如具有被窃听可能的上述k+t比特的信息：S_A+S_A’(参见图9))而舍弃一部分共有信息(m_A+m_A’)，产生通常具有一定的n-k比特的信息量的加密密钥r(步骤S6)。发送侧的通信装置将该加密密钥r设置为与发送侧的通信装置的共有密钥。

在本实施方式中，采用在能够完全纠正接收数据的错误之前，在规定的约束条件下，一边增加奇偶校验矩阵的行数和列数，一边重复执行纠错处理的结构。由此，由于没有必要舍弃用于估测通信通路中的噪声电平所产生的共有信息，因此，能够大幅提高共有密钥的生成效率。再有，能够获得通常具有恒定信息量的加密密钥。

以上，正如所说明的那样，根据本发明，设定为使用确定的奇偶校验矩阵来纠正接收数据的错误，并根据所公开的纠错信息而舍弃一部分共有信息的结构。由此，由于没有用于特定/纠正错误比特的庞大次数的奇偶性的交换，因此能够起到大幅度缩短纠错处理中花费的时间的效果。设定为在能够完全纠正接收数据的错误之前，在规定的约束条件下，一边增加奇偶校验矩阵的行数，一边重复执行纠错处理的结构。由此，由于没有必要舍弃用于估测通信通路中的噪声电平所产生的共有信息，因此，能够起到大幅提高共有密钥的生成效率的效果。

产业上的可使用性

如上所述，本发明的量子密钥配送方法和通信装置作为产生安全性得到高度保证的共用密钥的技术是有用的，特别适用于有存在窃听者的可能性的传输通路上的通信。

Claims (6)

1.一种量子密钥配送方法，通过对作为量子通信路径上的光子的测定结果而得到的带有概率信息的接收数据的错误进行纠正，来估计原始发送数据，并将该估计结果作为共有信息，其特征在于，包括以下步骤：

第1校验矩阵生成步骤，发送侧和接收侧的通信装置分别生成第1奇偶校验矩阵，即元素为“0”或“1”的相同的矩阵；

第1纠错信息通知步骤，所述发送侧的通信装置将基于所述第1奇偶校验矩阵和所述发送数据而生成的第1纠错信息经由公共通信路径通知给所述接收侧的通信装置；

第1纠错步骤，所述接收侧的通信装置基于所述第1纠错信息来纠正所述接收数据的错误；

第2校验矩阵生成步骤，在不能完全纠正所述接收数据的错误的情况下，接收侧和发送侧的通信装置分别生成第2奇偶校验矩阵、即元素为“0”或“1”的相同的矩阵，以使前一次的纠错信息成为下一次纠错时的信息的一部分；

第2纠错信息通知步骤，所述发送侧的通信装置将基于所述第2奇偶校验矩阵和所述发送数据而生成的附加的第2纠错信息经由公共通信路径通知给所述接收侧的通信装置；

第2纠错步骤，所述接收侧的通信装置基于所述第1和第2纠错信息，对所述接收数据的错误进行纠正；以及

加密密钥生成步骤，在通过所述第1纠错步骤的处理能够完全纠正接收数据的错误的情况下，或者，在通过重复执行所述第2校验矩阵生成步骤、所述第2纠错信息通知步骤、所述第2纠错步骤的处理而能够完全纠正错误的情况下，根据所公开的纠错信息量而舍弃共用信息的一部分，并将该结果作为加密密钥。

2.如权利要求1所述的量子密钥配送方法，其特征在于，在所述第2校验矩阵生成步骤中，在“前一次的纠错信息成为下一次纠错时的信息的一部分”、“第1奇偶校验矩阵的列数＝第2奇偶校验矩阵的列数”、“第1奇偶校验矩阵的行数＜第2奇偶校验矩阵的行数”的约束条件下，生成不包含所述第1奇偶校验矩阵的新的第2奇偶校验矩阵。

3.如权利要求1所述的量子密钥配送方法，其特征在于，在所述第2校验矩阵生成步骤中，在“前一次的纠错信息成为下一次纠错时的信息的一部分”、“第1奇偶校验矩阵和第2奇偶校验矩阵是线性独立的”、“第2奇偶校验矩阵包含第1奇偶校验矩阵”、“第1奇偶校验矩阵的列数＝第2奇偶校验矩阵的列数”、“第1奇偶校验矩阵的行数＜第2奇偶校验矩阵的行数”的约束条件下，生成包含所述第1奇偶校验矩阵的第2奇偶校验矩阵。

4.如权利要求1所述的量子密钥配送方法，其特征在于，在所述第2校验矩阵生成步骤中，在“前一次的纠错信息成为下一次纠错时的信息的一部分”、“第1奇偶校验矩阵和第2奇偶校验矩阵是线性独立的”、“第2奇偶校验矩阵包含第1奇偶校验矩阵”、“第1奇偶校验矩阵的列数＜第2奇偶校验矩阵的列数”、“第1奇偶校验矩阵的行数＜第2奇偶校验矩阵的行数”的约束条件下，生成包含所述第1奇偶校验矩阵的第2奇偶校验矩阵，

在所述第2纠错信息通知步骤中，依据所述第2奇偶校验矩阵和所述发送数据、以及对应于所述第2奇偶校验矩阵的列数增加部分而追加的发送数据，生成所述第2纠错信息，并将该生成结果经由公共通信路径通知给所述接收侧的通信装置，

在所述第2纠错步骤中，基于所述第1和第2纠错信息，纠正所述接收数据的错误以及与所述追加的发送数据相对应的接收数据的错误。

5.一种通信装置，通过对作为量子通信路径上的光子的测定结果而得到的带有概率信息的接收数据的错误进行纠正，来估计原始发送数据，并将该估计结果作为共有信息，其特征在于，所述通信装置包括：

第1解码单元，根据预先生成的且与发送侧的通信装置所生成的第1奇偶校验矩阵相同的第1奇偶校验矩阵，即元素为“0”或“1”的矩阵、和经由公共通信路径从所述发送侧的通信装置接收到的、基于所述第1奇偶校验矩阵和所述发送数据的第1纠错信息，对所述接收数据的错误进行纠正；

第2解码单元，在不能完全纠正所述接收数据的错误的情况下，生成与发送侧的通信装置所生成的第2奇偶校验矩阵相同的第2奇偶校验矩阵、即元素为“0”或“1”的矩阵，以使前一次的纠错信息成为下一次纠错时的信息的一部分，然后基于所述第1纠错信息、以及通过生成所述第2奇偶校验矩阵而追加的第2纠错信息，对所述接收数据的错误进行纠正；以及

加密密钥生成单元，在能够完全纠正接收数据的错误的情况下，依据所公开的纠错信息量而舍弃共有信息的一部分，并将该结果设定为加密密钥。

6.一种发送侧的通信装置，在接收侧的通信装置根据作为量子通信路径上的光子的测定结果而得到的带有概率信息的接收数据来估计原始发送数据的情况下，将该估计结果设定为与接收侧的通信装置所共有的共有信息，其特征在于，所述发送侧的通信装置包括：

第1纠错信息生成单元，基于预先生成的第1奇偶校验矩阵和所述发送数据生成第1纠错信息，并将该生成结果经由公共通信路径通知给所述接收侧的通信装置；

第2纠错信息生成单元，在所述接收侧的通信装置不能完全纠正接收数据的错误情况下，生成与所述接收侧的通信装置所生成的第2奇偶校验矩阵相同的第2奇偶校验矩阵、即元素为“0”或“1”的矩阵，以使前一次的纠错信息成为下一次纠错时的信息的一部分，然后经由公共通信路径向所述接收侧的通信装置通知基于所述第2奇偶校验矩阵和所述发送数据而生成的追加的第2纠错信息；以及

加密密钥生成单元，在所述接收侧的通信装置能够完全纠正接收数据的错误的情况下，依据所公开的纠错信息量而舍弃共有信息的一部分，并将该结果设定为加密密钥。

Images