CN1914851A - 量子密钥分发方法以及通信装置 - Google Patents

Abstract

在本发明的量子密钥分发方法中，接收侧的通信装置用具有极高纠错能力的LDPC代码用的奇偶性校验矩阵进行纠错。另外，在本发明的量子密钥分发方法中，对发送侧的通信装置生成的循环冗余代码校验位，和根据纠错后的估计字生成的估计循环冗余代码校验位进行比较，对上述估计字进行错误检测。

Description

量子密钥分发方法以及通信装置

技术领域

本发明涉及能够生成保证了高度安全性的公用密钥的量子密钥分发方法，尤其涉及可以使用纠错代码订正数据错误的量子密钥分发方法以及可以实现该量子密钥分发的通信装置。

背景技术

以下，说明以往的量子加密系统。近年来，光通信作为高速大容量的通信技术正在得到广泛应用，而在这样的光通信系统中，是利用光的通/断来进行通信，在开通时因为发送大量的光子，所以不能成为直接表现量子效应的通信系统。

另一方面，在量子加密系统中，使用光子作为通信介质，如产生不确定性原理等的量子效应那样用1个光子来传送1位信息。此时，如果窃听者不知道其偏振光、相位等的量子状态而通过适当选择基点来测量光子，则将在其量子状态中产生变化。因而，在信息接收侧通过确认该光子的量子状态的变化，能够知道传送数据是否已被窃听。

图10是表示利用以往的偏振光的量子密钥分发的概要图。例如，在可以识别水平垂直方向的偏振光的测量器中，来正确识别量子通信路径上的、在水平方向(0°)上偏振的光和在垂直方向(90°)偏振的光。另一方面，在可以识别斜方向(45°，135°)的偏振光的测量器中，正确识别量子通信路径上的、在45°方向上偏振的光和在135°方向上偏振的光。

这样，虽然各测量器能够正确认识在规定方向上偏振的光，但例如如果用可以识别水平垂直方向(0°，90°)的偏振光的测量器来测量在斜方向上偏振的光，则将分别以50％的概率随机识别在水平方向和垂直方向上偏振的光。即，当使用了与可以识别的偏振光方向不相对应的测量器时，即使解析该测量结果，也不能正确地识别经过了偏振的方向。

在图10所示的以往的量子密钥分发中，利用上述不确定性(随机性)，不被窃听者知道地在发送者和接收者之间将密钥共用(例如，参照非专利文献1)。进而，发送者以及接收者除量子通信路径以外能够使用公开通信路径。

在此，说明密钥的共用顺序。首先，发送者产生随机数序列(1，0序列：发送数据)，然后随机确定发送代码(+：对应于可以识别在水平垂直方向上偏振的光的测量器，×：对应于可以识别在斜方向上偏振的光的测量器)。通过该随机数序列和发送代码的组合，自动地确定所发送的光的偏振光方向。在此，把通过0和+的组合而在水平方向上发生偏振的光，和通过1和+的组合而在垂直方向上发生偏振的光，和通过0和×的组合而在45°方向上发生偏振的光，和通过1和×的组合而在135°方向上发生偏振的光分别发送到量子通信路径(发送信号)。

接着，接受者随机确定接收代码(+：可以识别在水平垂直方向上偏振的光的测量器，×：可以测量在斜方向上偏振的光的测量器)，来测量量子通信路径上的光(接收信号)。而后，通过组合接收代码和接收信号得到接收数据。在此，作为接收数据，通过组合在水平方向上偏振的光和+而得到0，通过组合在垂直方向上偏振的光和+而得到1，通过组合在45°方向上偏振的光和×而得到0，通过组合在135°方向偏振的光和×而得到1。

接着，接收者为了调查自身的测量是否是用正确的测量器进行的，而把接收代码经由公开通信路径发送给发送者。收到接收代码的发送者调查是否是用正确的测量器进行的之后，把该结果经由公开通信路径返送回给接收者。

接着，接收者只把与用正确的测量器接收到的接收信号相对应的接收数据留下，抛弃其他数据。在此时刻，剩下的接收数据可以在发送者和接收者之间可靠地共用。

接着，发送者和接收者经由公开通信路径对各个通信对象发送从共用数据中选择出的规定数目的数据。而后，确认已收到的数据是否和自身具有的数据一致。例如，如果在已确认的数据中有一个不一致数据，则判断为有窃听者并抛弃共用数据，再次从开始重新执行密钥的共用顺序。另一方面，当已确认的数据全部一致的情况下，判断为没有窃听者，并抛弃在确认中使用的数据，把留下的共用数据作为发送者和接收者的共用密钥。

另一方面，作为上述以往的量子密钥分发方法的应用，例如有可以纠正传送路径上的数据错误的量子密钥分发方法(例如，参照非专利文献2)。

在该方法中，发送者为了检测数据错误，把发送数据划分为多个块，把每个块的奇偶性发送到公开通信路径上。而后，接收者把经由公开通信路径收到的每个块的奇偶性和接收数据中对应的块的奇偶性进行比较，核对数据错误。此时，当有不同的奇偶性的情况下，接收者把表示哪个块的奇偶性不同的信息回送到公开通信路径上。而后，发送者进一步把相应的块划分为前半部分的块和后半部分的块，例如，把前半部分的奇偶性回送到公开通信路径上(二分查找)。以后，发送者和接收者通过重复执行上述二分查找来确定错误位的位置，最终由接收者订正该位。

进而，假设有这样的奇偶性的情况、即虽然在数据中有错误，但因为有偶数个错误，所以被发送者判断为正确的情况，发送数据被随机排列替换(随机置换)后被划分成多个块，再次进行基于上述二分查找的纠错处理。而后，通过重复执行基于随机置换的该纠错处理，订正全部的数据错误。

非专利文献1

Bennett，C.H.and Brassard，G.：Quantum Cryptography：PublicKey Distribution and Coin Tossing，In Proceedings of IEEEConference onComputers，System and Signal Processing，Bangalore，India，pp.175-179(DEC.1984).

非专利文献2

Brassard，G.and Salvail，L.1993 Secret-Key Reconciliation byPublic Discussion，In Advances in Cryptology-EUROCRYPT’93，Lecture Notes in Computer Science 765，410-423.

但是，在上述图10所示的以往的量子密钥分发中，因为未设想错误通信路径，所以在有错误时当作存在窃听行为而抛弃上述公用数据(公用密钥)，存在由于传送路径而使公用密钥的生成效率变得非常差的问题。

另外，在可以订正在上述传送路径上的数据错误的量子密钥分发方法中，因为为了确定错误位而发生庞大次数的奇偶性交换，进而，进行规定次数的基于随机置换的纠错处理，所以存在在纠错处理上耗费大量时间的问题。

本发明就是鉴于上述问题而提出的，其目的在于提供一种使用具有极高特性的纠错代码纠正在传送路径上的数据错误，并且能够生成确保高度安全性的公用密钥的量子密钥分发方法。

发明内容

本发明的量子密钥分发方法，是在用以规定的量子状态向量子通信路径上发送成为加密密钥的源的随机数序列的发送侧的通信装置和测量该量子通信路径上的光子的接收侧的通信装置构成的量子加密系统中的量子密钥分发方法，其特征在于，包含：例如校验矩阵生成步骤(相当于以后说明的实施方式的步骤S1，S11)，各通信装置生成同一奇偶性校验矩阵(要素是“0”或者“1”的矩阵)；循环冗余代码生成步骤(相当于步骤S2)，上述发送侧的通信装置生成用于错误检测的循环冗余代码(CRC：Cyclic Redundancy check)；发送接收步骤(相当于步骤S3、S4、S12、S13)，上述接收侧的通信装置保持作为用可以正确识别光方向的测量器测量的结果得到的带概率信息的接收数据，上述发送侧的通信装置保持与上述接收数据对应的发送数据(随机数序列的一部分)；信息通知步骤(相当于步骤S5、S14)，上述发送侧的通信装置把根据上述奇偶性校验矩阵以及上述发送数据生成的纠错信息，和根据上述循环冗余代码以及上述发送数据生成的错误检测信息，经由公开通信路径通知给上述接收侧的通信装置；发送数据估计步骤(相当于步骤S15)，上述接收侧的通信装置根据上述奇偶性校验矩阵、上述带概率信息的接收数据、上述纠错信息和上述错误检测信息，估计上述发送数据；加密密钥生成步骤(相当于步骤S6、S16)，上述各通信装置根据已公开的信息量抛弃发送数据的一部分，用剩下的信息生成加密密钥。

根据本发明，例如使用确定的且特性稳定的“Irregular-LDPC代码”用的奇偶性校验矩阵订正共用信息的数据错误，进而使用循环冗余代码CRC进行共用信息(估计字)的错误检测，其后，根据已公开的纠错信息抛弃共用信息的一部分。

附图说明

图1是表示本发明的量子加密系统(发送侧以及接收侧的通信装置)结构图。

图2是表示量子密钥分发概要的流程图。

图3是表示量子密钥分发概要的流程图。

图4是表示基于有限仿射几何的“Irregular-LDPC代码”的构成方法图。

图5是表示有限仿射几何代码AG(2，2²)的矩阵的图。

图6是表示最终的列权重分配λ(γ_i)和行权重分配ρ_u的图。

图7是表示循环冗余代码CRC(n×d矩阵)的一个例子的图。

图8是表示m_A的校验位S_A以及循环冗余代码校验位S_C的生成方法的概略结构图。

图9是表示本实施方式的校验位译码法的流程图。

图10是表示利用了以往的偏振光的量子密钥分发的概要图。

具体实施方式

以下，根据附图详细说明本发明的量子密钥分发方法的实施方式。进而，本发明并不限于该实施方式。另外，以下作为例子说明利用了偏振光的量子密钥分发，而本发明例如也可以适用于利用相位的分发或利用频率的分发等中，利用怎样的量子状态并没有特别限定。

量子密钥分发是不管窃听者的计算能力如何，都保证了安全性的密钥分发方式，但是，例如为了更有效地生成共用密钥，需要除去由于通过传送路径而发生的数据错误。因而，在本实施方式中，说明使用已知具有极高的特性的低密度奇偶性校验(LDPC：Low-DensityParity-Check)代码来进行纠错的量子密钥分发。

图1是表示本发明的量子加密系统(发送侧以及接收侧的通信装置)的结构图。该量子加密系统由具备发送信息m_a的功能的发送侧通信装置；具备接收在传送路径上受到噪音等的影响的信息m_a、即信息m_b的功能的接收侧的通信装置来构成的。

另外，发送侧的通信装置具备：经由量子通信路径发送信息m_a，经由公开通信路径发送校验位S_A，并根据这些发送信息生成加密密钥(与接收侧的共用密钥)的加密密钥生成部1；发送接收部22经由公开通信路径交换由加密部21根据加密密钥实施了加密后得到的数据的通信部2，接收侧的通信装置具备：经由量子通信路径接收信息m_b，经由公开通信路径接收校验位S_A，根据这些接收信息生成加密密钥(和发送侧的共用密钥)的加密密钥生成部3；发送接收部41经由公开通信路径交换由加密部42根据加密密钥进行加密后得到的数据的通信部4。

在上述发送侧的通信装置中，对接收侧的通信装置发送使用偏振光滤镜在规定的方向上偏振后的光作为发送到量子通信路径上的信息m_a。另一方面，在接收侧的通信装置中，使用可以识别水平垂直方向(0°，90°)的偏振光的测量器和可以识别斜方向(45°，135°)的偏振光的测量器，识别在量子通信路径上的、在水平方向(0°)上偏振的光、在垂直方向(90°)上偏振的光、在45°方向上偏振的光和在135°方向上偏振的光。进而，各测量器可以正确识别在规定的方向上偏振的光，但例如如果用可以识别水平垂直方向(0°，90°)的偏振光的测量器测量在斜方向上偏振的光，则分别以50％的概率随机识别在水平方向和垂直方向上偏振的光。即，当使用了与能够识别的偏振光方向不相对应的测量器的情况下，即使解析其测量结果，也不能正确识别偏振后的方向。

以下，详细说明在上述量子加密系统中的各通信装置的动作，即，在本实施方式中的量子密钥分发。图2以及图3是表示本实施方式的量子密钥分发的概要的流程图，详细地说，图2表示发送侧的通信装置的处理，图3表示接收侧的通信装置的处理。

首先，在上述发送侧的通信装置以及接收侧的通信装置中，奇偶性校验矩阵生成部10、30求出特定的线性代码的奇偶性校验矩阵H(n×k矩阵)，根据该奇偶性校验矩阵求出满足“HG＝0”的生成矩阵G((n-k)×n矩阵)，进而，求出成为G^-1·G＝I(单位矩阵)的G的逆矩阵G^-1(n×(n-k))(步骤S1，步骤S11)。在本实施方式中，说明使用了具有极其接近香农极限这种优异特性的LDPC代码作为上述特定的线性代码时的量子密钥分发。而且，在本实施方式中，设定作为纠错方式使用LDPC代码，但并不限于此，例如也可以使用turbo(タ一ボ)代码等其他线性代码。另外，例如如果是用适当的矩阵H和发送数据m_A(信息m_a的一部分)的积Hm_A表示以后说明的纠错信息(校验位)的纠错协议(例如，相当于在以往技术中说明的“可以纠错在传送路径上的数据错误的量子密钥分发”的纠错协议)，即，如果是确保纠错信息和发送数据m_A的线性的协议，则可以使用该矩阵H作为奇偶性校验矩阵。

在此，说明在上述奇偶性校验矩阵生成部10中的LDPC代码的构成法，详细地说是基于有限仿射几何的“Irregular-LDPC代码”的构成法(图2步骤S1的详细内容)。图4是表示基于有限仿射几何的“Irregular-LDPC代码”的构成法的流程图。另外，对于奇偶性校验矩阵生成部30，因为是和奇偶性校验矩阵生成部10进行相同动作，所以省略其说明。另外，本实施方式中的校验矩阵生成处理例如既可以设成根据设定的参数在奇偶性校验矩阵生成部10中执行的结构，也可以设成在通信装置外部的其他控制装置(计算机等)中执行。当本实施方式中的校验矩阵生成处理是在通信装置外部执行的情况下，已生成的校验矩阵被存储在通信装置中。在以后的实施方式中，说明在奇偶性校验矩阵生成部10中执行上述处理的情况。

首先，在奇偶性校验矩阵生成部10中，选择成为“Irregular-LDPC代码”用校验矩阵的基础的有限仿射几何代码AG(2，2^S)(图4，步骤S21)。在此，行的权重和列的权重分别为2^S。图5是表示例如有限仿射几何代码AG(2，2²)的矩阵的图(空白表示0)。

接着，在奇偶性校验矩阵生成部10中，确定列的权重的最大值r₁(2＜r₁≤2^S)(步骤S22)。而后，确定编码率rate(1个校验位长度/密钥的长度)(步骤S22)。

接着，在奇偶性校验矩阵生成部10中，使用基于高斯近似法(Gaussian Approximation)的最优化，暂时性的求出列的权重分配λ(γ_i)和行的权重分配ρ_u(步骤S23)。进而，行的权重分配的生成函数ρ(x)设为ρ(x)＝ρ_ux^u-1+(1-ρ_u)x^u。另外，权重u是u≥2的整数，ρ_u表示行中的权重u的比例。

接着，在奇偶性校验矩阵生成部10中，选择可以通过有限仿射几何的行的划分来构成的、行的权重{u，u+1)，进而求满足(1)式的划分系数{b_u，b_u+1}(步骤S24)。而且，b_u，b_u+1设为是非负的整数。

b_u，b_u+1(u+1)＝2^S  …(1)

具体地说，根据下式(2)求b_u，根据上式(1)求b_u+1。

接着，在奇偶性校验矩阵生成部10中，用式(3)求由上述已确定的参数u，u+1，b_u，b_u+1更新的行权重的比率ρ_u’，ρ_u+1’(步骤S25)。

接着，在奇偶性校验矩阵生成部10中，使用基于高斯近似法的最优化，进而将在以上求得的u，u+1，ρ_u’，ρ_u+1’作为固定参数，暂时性地求出列的权重分配λ(γ_i)(步骤S26)。而且，权重γ_i是γ_i≥2的整数，λ(γ_i)表示权重γ_i在列中的的比率。另外，从候补中删除列数在1或者1以下的权重(λ(γ_i)≤γ_i/w_t，i是正整数)。但是，w_t是表示包含在AG(2，2^S)中的1的总数。

接着，选择满足在上述求得的权重分配，并且满足下述式(4)的列的权重候补的组{γ₁，γ₂，…γ_l(γ_l≤2^S)}(步骤S27)。而后，当存在不满足下述式(4)的列权重γ_i的情况下，从候补中删除该列的权重。

$\left[\begin{array}{cccc}{a}_{\mathrm{1,1}}& a_{\mathrm{1,2}}& \·\·\·& a_{1,l}\\ a_{\mathrm{2,1}}& a_{\mathrm{2,2}}& \·\·\·& a_{2,l}\\ \·& & & \·\\ \·& & \·\·\·& \·\\ \·& & & \·\end{array}\right]\left[\begin{array}{c}{\mathrm{\γ}}_1\\ {\mathrm{\γ}}_2\\ \·\\ \·\\ \·\\ {\mathrm{\γ}}_l\end{array}\right]\left[\begin{array}{c}{2}^S\\ 2^S\\ \·\\ \·\\ \·\\ 2^S\end{array}\right]---\left(4\right)$

而且，各a表示相对用于构成列的权重2^S的{γ₁，γ₂，…γ_l}成为非负的整数的系数，i，j是正整数，γ_i表示列的权重，γ_l表示列的最大权重。

接着，在奇偶性校验矩阵生成部10中，使用基于高斯近似法的最优化，进一步把在上述求得的u，u+1，ρ_u’，ρ_u+1’和{γ₁，γ₂，…γ_l}作为固定参数，求列的权重分配λ(γ_i)和行的权重分配ρ_u(步骤S28)。

接着，在奇偶性校验矩阵生成部10中，在进行划分处理前，调整列的权重分配λ(γ_i)和行的权重分配ρ_u(步骤S29)。进而，调整后的各权重的分配设为尽可能与用高斯近似法已求得的值接近的值。图6是表示在步骤S29中的最终的列权重分配λ(γ_i)和行权重分配ρ_u的图。进而，n(γ_i)表示权重单位的总列数，n_u表示权重单位的总行数。

最后，在奇偶性校验矩阵生成部10中，对有限仿射几何中的对行以及列进行划分(步骤S30)，生成n×k的奇偶性校验矩阵H。本发明中的对有限仿射几何代理的划分处理并不是有规则地划分，而是从各行或者各列中随机抽出“1”。而且，只要能够保持随机性，该抽出处理可以使用任何方法。

这样，在本实施方式中，通过执行基于上述有限仿射几何的“Irregular-LDPC代码”的构成法(图2，步骤S1)，能够生成确定的且特性稳定的“Irregular-LDPC代码”用的校验矩阵H(n×k矩阵)。

如上所述，在生成了奇偶性校验矩阵H(n×k矩阵)、生成矩阵G、G^-1(G^-1·G＝I：单位矩阵)后，接着，在发送侧的通信装置中，因为接收侧的通信装置有可能不能正确估计发送数据m_A(发送数据m_A和后述的估计字m_C不一致的情况下)，特别是因为存在因窃听者的存在致使误判定的发生概率增高的情况，所以为了极力减小这种误判定概率，在循环冗余代码生成部16中，生成用于错误检测的循环冗余代码CRC(Cyclic Redundancy check)(图2，步骤S2)。在此，除了上述已生成的奇偶性校验矩阵H以外，还生成循环冗余代码CRC(n×d矩阵)。

在此，说明在上述循环冗余代码生成部16中的循环冗余代码CRC(n×d矩阵)的构成法(图2步骤S2的详细内容)。

例如，在假设密钥长度n为n＝7，设多项式表示GF(2)上的原始多项式gx时的最大次数d为d＝3，设3次的原始多项式gx为gx＝x³+x+1(向量表示：[1011])的情况下(构成n×d的CRC时)，CRC的检查多项式x^d-1H(x^-1)可以如下述式(5)那样表示。而且，多项式H(x)是H(x)＝(xⁿ+1)/gx。

H(x)＝(xⁿ+1)/gx。

    ＝(x⁷+1)/(x³+x+1)

    ＝x⁴+x²+x+1    (向量表示：[10111])

H(x^-1)＝x^-4+x^-2+x^-1+1

      ＝x⁴+x³+x²+1      (向量表示：[11101])

x^d-1H(x^-1)＝x²×(x⁴+x³+x²+1)

          ＝x⁶+x⁵+x⁴+x²     (向量表示：[1110100])

                            ……(5)

因而，循环冗余代码CRC(n×d矩阵)对CRC的检查多项式x^d-1H(x-1)的向量表示：[1110100]进行成为了循环冗余移动(d＝3)的、图7所示的n×d的矩阵。图7是表示循环冗余代码CRC(n×d矩阵)一个例子的图。

如上所述，在生成循环冗余代码CRC(n×k矩阵)后，接着，在发送侧的通信装置中，随机数发生部11发生随机数序列m_a(1，0构成的序列：发送数据)，进而，随机确定发送代码(+：与可以识别在水平垂直方向上偏振的光的测量器对应的代码，×：与可以识别在斜方向上偏振的光的测量器对应的代码)(图2，步骤S3)。另一方面，在接收侧的装置中，随机数发生部31随机确定接收代码(+：与可以识别在水平垂直方向上偏振的光的测量器对应的代码，×：与可以识别在斜方向上偏振的光的测量器对应的代码)(图3，步骤S12)。

接着，在发送侧的通信装置中，光子生成部12按通过组合上述随机数序列m_a和发送代码而自动确定的偏振光方向来发送光子(步骤S4)。例如，将通过组合0和+而在水平方向上偏振的光、通过组合1和+而在垂直方向上偏振的光、通过组合0和×而在45°方向上偏振的光、通过组合1和×而在135°方向上偏振的光分别发送给量子通信路径(发送信号)。

在收到光子生成部12的光信号的接收侧通信装置的光子接收部32中，测量量子通信路径上的光(接收信号)。而后，得到通过组合接收代码和接收信号而自动确定的接收数据m_b(步骤S13)。在此，作为接收数据m_b，分别通过组合在水平方向上偏振的光和+而得到0，通过组合在垂直方向上偏振的光和+而得到1，通过组合在45°方向上偏振的光和×而得到0，通过组合在135°方向上偏振的光和×而得到0。而且，接收数据m_b当作带概率信息的硬判定值。

接着，在接收侧通信装置中，为了调查上述测量是否是在正确的测量器中进行的，随机数发生部31把接收代码经由公开通信路径向发送侧的通信装置发送(步骤S13)。在收到接收代码的发送侧通信装置中，调查上述测量是否是在正确的测量器中进行的，并将其结果经由公开通信路径对接收侧通信装置发送(步骤S4)。而后，在接收侧的通信装置以及发送侧的通信装置中，只剩下与利用正确的测量器接收到的接收信号对应的数据，抛弃其他的数据(步骤S4，S13)。其后，把剩下的数据保存在存储器等中，从其开头开始按顺序地读出n位，并将它作为正式的发送数据m_A和接收数据m_B(m_B是在传送路径上受到噪音等的影响的m_A∶m_B＝m_A+e(噪音等))。即，在此，根据需要读出接在后面的n位，生成发送数据m_A和接收数据m_B。在本实施方式中，剩下的数据的位的位置可以在发送侧通信装置和接收侧通信装置之间共用。而且，m_B和上述m_b一样，是带概率信息的硬判定值。

接着，在发送侧的通信装置中，校验位生成部14结合奇偶性校验矩阵H(n×k矩阵)和循环冗余代码CRC(n×d矩阵)，使用结合后的矩阵和发送数据m_A计算m_A的校验位S_A＝H×m_A以及循环冗余代码校验位S_C＝CRC×m_A，并把其结果经由公开通信路径通信部13、公开通信路径通知给接收侧通信装置(步骤S5)。图8是表示m_A的校验位S_A以及循环冗余代码校验位S_C的生成方法的概要结构图。在该阶段中，m_A的校验位S_A(k位信息)以及循环冗余代码校验位S_C(d位信息)有可能被窃听者知道。另一方面，在接收侧的通信装置中，在公开通信路径通信部34中接收m_A的校验位S_A以及循环冗余代码校验位S_C，并把它通知给校验位译码部33(步骤S14)。

接着，在校验位译码部33中，使用本实施方式的校验位译码法，估计原发送数据m_A(步骤S15)。详细地说，通过订正由杂音等引起的带概率信息的硬判定值m_B中的错误而生成估计后的m_C，如果在估计后的m_C中没有错误，则把它判定为原发送数据m_A。在此根据带概率信息的硬判定值m_B来估计满足“S_A＝Hm_C”的m_C，如果在估计结果m_C中没有错误，则把它作为共用信息m_A。以下，详细说明本实施方式的校验位译码法。

图9是表示本实施方式的校验位译码法的流程图。进而，如上所述，当设想了2维的n(列)×k(行)的校验矩阵H的情况下，将第i列(1≤i≤n)第j行(1≤j≤k)的要素表示为H_ij。另外，将接收数据m_B设为m_B＝(m_B1，m_B2，…，m_Bn)，将估计字(硬判定值)m_C设为m_C＝(m_C1，m_C2，…，m_Cn)。另外，把m_A的校验位S_A设置成S_A＝(S_A1，S_A2，…，S_Ak)，另外作为通信路径假想成是以带条件概率P(m_B|m_C＝m_A)所记述的无存储通信路径。

首先，在校验位译码部33中，作为初始设定，将满足H_ij＝1的全部的列和行的组合(i，j)的先验值设为q_ij(0)＝1/2，q_ij(1)＝1/2。q_ij(0)表示H_ij是“0”的概率，q_ij(1)表示H_ij是“1”的概率。而后，将表示译码的反复次数的计数值设为l＝1(叠代：1次)，进而，设定最大反复次数l_max(步骤S31)。

接着，在校验位译码部33中，按照j＝1，2，…，k的顺序，对满足H_ij＝1的全部列和行的组合(i，j)更新外部值r_ij(0)和r_ij(1)(步骤S32)。在本实施方式中，例如，当第j(1≤j≤k)个校验位S_Aj是“0”的情况下，使用更新式(6)、更新式(7)更新外部值r_ij(0)和r_ij(1)。

r_ir(0)＝K×∑(∏q_i′j(m_Ci′)P(m_Bi′|m_Ci′))

M_Ci′∈0，1

∑M_Ci′＝0

i′∈A(i)\j

                                …(6)

r_ir(1)＝K×∑(∏q_i′j(m_Ci′)P(m_Bi′|m_Ci′))

M_Ci′∈0，1

∑M_Ci′＝1

i′∈A(i)\j

                               …(7)

另一方面，当第j(1≤j≤k)个的校验位S_Aj是“1”的情况下，使用更新式(8)、更新式(9)更新外部值r_ij(0)和r_ij(1)。

r_ir(0)＝K×∑(∏q_i′j(m_Ci′)P(m_Bi′|m_Ci′))

M_Ci′∈0，1

∑M_Ci′＝1

i′∈B(j)\i

                                           …(8)

r_ir(1)＝K×∑(∏q_i′j(m_Ci′)P(m_Bi′|m_Ci′))

M_Ci′∈0，1

∑M_Ci′＝0

i′∈B(j)\i

                                          …(9)

而且，上述K设为是为了“r_ij(0)+r_ij(1)＝1”成立所规定的值(用于标准化的值)。另外，上述P(m_B|m_C)表示带条件概率，即，表示估计字m_C是“0”或者“1”时的接收数据m_B的概率。另外，上述部分集合A(i)表示在校验矩阵H的第i列中“1”成立的行索引的集合，部分集合B(j)表示在校验矩阵H的第j行中“1”成立的列索引的集合。

如果具体记述上述更新处理，则例如在满足S_Aj＝0，j＝1，并且H_il＝1的全部列和行的组合是(i，1)＝(3，1)(4，1)(5，1)的情况下，应用式(6)，式(7)，并如式(10)、式(11)那样更新外部值r₃₁(0)，r₃₁(1)。即，使用H₃₁以外的H₄₁、H₅₁，更新外部值r₃₁(0)、r₃₁(1)。在此，分别求校验矩阵H的第3列第1行是“0”的概率和是“1”的概率。

r₃₁(0)＝K×{q₄₁(m_C4＝0)P(m_B4|m_C4＝0)

         ×q₅₁(m_C5＝0)P(m_B5|m_C5＝0)

         +q₄₁(m_C4＝1)P(m_B4|m_C4＝1)

         ×q₅₁(m_C5＝1)P(m_B5|m_C5＝1)}      …(10)

r₃₁(1)＝K×{q₄₁(m_C4＝1)P(m_B4|m_C4＝1)

         ×q₅₁(m_C5＝0)P(m_B5|m_C5＝0)

+q₄₁(m_C4＝0)P(m_B4|m_C4＝0)

×q₅₁(m_C5＝1)P(m_B5|m_C5＝1)}    …(11)

接着，在校验位译码部33中，按照i＝1，2，…，n的顺序，对满足H_ij＝1的全部列和行的组合(i，j)更新先验值q_ij(0)和q_ij(1)(步骤S33)。该更新处理可以用式(12)、(13)表示。

q_ij(0)＝K′×∏r_ij′(0)

j′＝A(i)\j

                           …(12)

q_ij(1)＝K′×∏r_ij′(1)

j′＝A(i)\j

                           …(13)

而且，上述K’设为是为了“q_ij(0)+q_ij(1)＝1”成立所规定的值(用于标准化的值)。

如果具体记述上述更新处理，则例如在满足i＝3，并且H_ij＝1的全部列和行的组合是(3，j)＝(3，1)(3，2)(3，3)的情况下，应用式(12)，式(13)，如式(14)、式(15)那样更新先验值q₃₁(0)，q₃₁(1)。即，使用H₃₁以外的H₃₂、H₃₃来更新先验值q₃₁(0)、q₃₁(1)。

q₃₁(0)＝K’×{r₃₂(0)×r₃₃(0)}  …(14)

q₃₁(1)＝K’×{r₃₂(1)×r₃₃(1)}  …(15)

接着，在校验位译码部33中，求后验概率(带条件概率×先验值)Q_i(0)、Q_i(1)，根据该事后概率求临时估计字m_C’＝(m_C1’，m_C2’，…，m_Cn’)(步骤S34)。即，根据式(16)、式(17)的计算结果，得到在式(18)中的临时估计字。在此，在每1次叠代时进行判定处理。

Q_i(0)＝K″×P(m_Bi|m_Ci＝0)∏r_ij′(0)

j′∈A(i)

                               …(16)

Q_i(1)＝K″×P(m_Bi|m_Ci＝1)∏r_ij′(1)

j′∈A(i)

                                  …(17)

${m_{\mathrm{Ci}}}^{\&prime;}=\left\{\begin{array}{c}0:\mathrm{if}{Q}_i\left(0\right)\&GreaterEqual;Q_i\left(1\right)\\ 1:\mathrm{if}{Q}_i\left(0\right)<Q_i\left(1\right)\end{array}\right.---\left(18\right)$

而且，上述K”设为是为了“Q_i(0)+Q_i(1)＝1”成立所规定的值(用于标准化的值)。另外，带条件概率P(m_B|m_C＝0)是如式(19)、式(20)那样被定义，p表示位错误率。

$P\left(m_{{\mathrm{Bi}}^{\&prime;}}\right|m_{{\mathrm{Ci}}^{\&prime;}}=0)=\left\{\begin{array}{c}1-p(m_{{\mathrm{Bi}}^{\&prime;}}=0)\\ p(m_{{\mathrm{Bi}}^{\&prime;}}=1)\end{array}\right.---\left(19\right)$

$P\left(m_{{\mathrm{Bi}}^{\&prime;}}\right|m_{{\mathrm{Ci}}^{\&prime;}}=1)=\left\{\begin{array}{c}p(m_{{\mathrm{Bi}}^{\&prime;}}=0)\\ 1-p(m_{{\mathrm{Bi}}^{\&prime;}}=1)\end{array}\right.---\left(20\right)$

接着，在校验位译码部33中，检查临时估计字m_C’是否可以说是发送数据m_A(步骤S35)。在此，例如，如果m_C’＝(m_C1’，m_C2’，…，m_Cn’)满足“m_C’×H^T＝S_A”这一条件(步骤S36，Yes)，则把该m_C’作为估计字m_C＝(m_C1，m_C2，…，m_Cn)输出。

另一方面，在不满足上述条件的情况下，并且在1＜l_max的情况下(步骤S36，No)，增加计数值l，使用上述已更新的值再次执行步骤S32的处理。以后，直至满足上述条件为止前(在1＜l_max的范围中)，使用被更新的值重复执行步骤S32～S36的处理。

接着，在校验位译码部33中，对上述估计字m_C＝(m_C1，m_C2，…，m_Cn)和接收数据m_B＝(m_B1，m_B2，…，m_Bn)进行比较(EXOR)，输出错误向量(相当于接收数据m_B＝m_A+e(杂音等)中的e)(步骤S37)。

接着，在校验位译码部33中，由于以存在许多个满足“H×m_C＝S_A”的评估后的m_C(固定了H和S_A时的m_C的平均信息量变成2^n-k个)为原因而发生误判定，从而有可能不能正确估计发送数据m_A(发生数据m_A和上述判定为正确的估计字m_C不一致的情况下)，所以进行上述估计字m_C的错误检测(步骤S38)。在此，对在上述步骤S14中接收到的循环冗余代码校验位S_C＝CRC×m_A和式(21)所示的估计循环冗余代码校验位S_C’进行比较，如果是S_C＝S_C’，则判断为在估计字m_C中没有错误，把上述估计字m_C＝(m_C1，m_C2，…，m_Cn)作为原发生数据m_A＝(m_A1，m_A2，…，m_An)进行输出，并结束图9所示的算法。另一方面，如果S_C≠S_C’，则判断为在评估字m_C中有错误，抛弃该评估字m_C。

S_C’＝rem(m_C/gx)       ……(21)

其中，上述rem表示GF(2)上的除法m_C/gx的余数。

这样，在上述本实施方式的量子密钥分发中采用的校验位译码法中，排除在以往技术中记述的在纠错中发生的“用于特定错误位的庞大次数的奇偶性交换(二分检索)”，使用具有极高特性(纠错能力)的LDPC代码用的奇偶性校验矩阵进行纠错。由此，可以短时间订正在传送路径上的数据错误，并能够生成保证了高度安全性的公用密钥。

另外，在本实施方式中，对发送侧的通信装置生成的循环冗余代码校验位S_C和根据估计字m_C生成的估计循环冗余代码校验位S_C’进行比较，对估计字m_C进行错误检测。由此，能够大幅度降低根据接收数据m_B判定的估计字m_C的误判定概率。即，能够高精度地估计原发送数据m_A。

进而，在本实施方式中，把接收数据m_B以及m_b作为带概率信息的硬判定值，但并不限于此，例如，也可以设置成软判定值。

在如上所述估计了发送数据m_A后，最后，在接收侧的通信装置中，共用密钥生成部35根据已公开的纠错信息(有可能被窃听的上述k位的信息：S_A)抛弃共用信息(m_A)的一部分，生成具备n-k位的信息量的加密密钥r(图3，步骤S16)。即，在共用密钥生成部35中，使用在先计算的G^-1(n×(n-k))，通过下式(22)生成加密密钥r。接收侧的通信装置把该加密密钥r作为和发送侧的通信装置共用密钥。

r＝G^-1m_A  ……(22)

另一方面，在发送侧的通信装置中，也是共用密钥生成部15根据已公开的纠错信息(有可能被窃听的上述k位的信息：S_A)抛弃共用信息(m_A)的一部分，生成具备有n-k位的信息量的加密密钥r(图2，步骤S6)。即，在共用密钥生成部15中，使用在先计算出的G^-1(n×(n-k))，通过上述式(22)生成加密密钥r(步骤S6)。发送侧的通信装置把该加密密钥r作为和接收侧的通信装置共用密钥。

而且，在本实施方式中，可以进一步设置成使用正则随机矩阵R排列替换上述共用密钥的结构。由此，能够增强隐秘性。具体地说，首先，发送侧的通信装置生成正则随机矩阵R((n-k)×(n-k))，进而，把该R经由公开通信路径通知给接收侧的通信装置。但是，该处理也可以在接收侧的通信装置中进行。其后，发送侧以及接收侧的通信装置使用在先计算出的G^-1(n×(n-k))和随机矩阵R，通过下述式(23)生成加密密钥r。

r＝RG^-1m_A                 …(23)

以上，在本实施方式中可以设定成使用确定的且特性稳定的“Irregular-LDPC代码”用的奇偶性校验矩阵，订正共用信息的数据错误，进而，使用循环冗余代码CRC进行共用信息(估计字)的错误检测，其后，根据已公开的纠错信息抛弃共用信息的一部分的结构。由此，由于可不进行用于确定/订正错误位的庞大次数的奇偶性交换，而只发送纠错信息就可以进行纠错控制，所以能够大幅度缩短纠错处理所需要的时间。

另外，在本实施方式中，使用发送侧的通信装置生成的错误检测信息，接收侧的通信装置进行估计字的错误检测。由此，能够大幅度降低估计字的误判定概率，可高精度地估计原发送数据。

另外，在本实施方式中，因为根据已公开地信息抛弃共用信息的一部分，所以能够生成保证高度安全性的公用密钥。

而且，在本实施方式中，是根据满足HG＝0的生成矩阵G((n-k)×n)生成成为G^-1·G＝I(单位矩阵)的逆矩阵G^-1(n×n-k)，使用该逆矩阵G^-1抛弃共用信息(n)的一部分(k)，生成具备n-k位的信息量的加密密钥r，但并不限于此，也可以抛弃共用信息(n)的一部分，生成具备m(m≤n-k)位的信息量的加密密钥r。具体地说，设想把n维向量映射在m维向量上的映射F(·)。F(·)为了保证共用密钥的安全性，需要满足“对于任意的m维向量v，在映射F和生成矩阵G的合成映射F·G中的逆像(F·G)^-1(v)的原个数不随v变化而变化，而是固定的(2^n-k-m)个”这样的条件。此时，共用密钥r变为r＝F(m_A)。

另外，在本实施方式中也可以设为在步骤S6、S16的处理中，不使用生成矩阵G^-1，而使用奇偶性校验矩阵H的特性抛弃共用信息的一部分的结构。具体地说，首先，共用密钥信息生成部15、35对在上述步骤S1、S11中生成的奇偶性校验矩阵H的列进行随机置换。而后，经由公开通信路径交换与在通信装置之间抛弃的位有关的信息。例如，从原来的有限仿射几何AG(2，2^S)的第1列中选择特定的“1”，经由公开通信路径交换其位置。其后，共用密钥生成部15、35根据上述置换后的奇偶性校验矩阵特定与上述“1”对应的划分后的位置，以及与循环冗余移动后的各列中的上述“1”对应的划分后的位置，抛弃与该特定的位置对应的共用信息m_A内的位，把剩下的数据作为加密密钥r。由此，能够删除复杂的生成矩阵G、G^-1的计算处理。

工业上可利用性

如上所述，本发明的量子密钥分发方法以及通信装置作为生成保证了高度安全性的共用密钥的技术是有用的，特别适用于有可能存在窃听者的传送路径上的通信。

Claims (7)

1.一种量子密钥分发方法，是在用以规定的量子状态向量子通信路径上发送成为加密密钥的源的随机数序列的发送侧的通信装置和测量该量子通信路径上的光子的接收侧的通信装置构成的量子加密系统中的量子密钥分发方法，其特征在于，包含：

校验矩阵生成步骤，各通信装置生成同一奇偶性校验矩阵(要素是“0”或者“1”的矩阵)；

循环冗余代码生成步骤，上述发送侧的通信装置生成用于错误检测的循环冗余代码(CRC：Cyclic Redundancy check)；

发送接收步骤，上述接收侧的通信装置保持作为用可以正确识别光方向的测量器测量的结果得到的带概率信息的接收数据，上述发送侧的通信装置保持与上述接收数据对应的发送数据(随机数序列的一部分)；

信息通知步骤，上述发送侧的通信装置把根据上述奇偶性校验矩阵以及上述发送数据生成的纠错信息，和根据上述循环冗余代码以及上述发送数据生成的错误检测信息，经由公开通信路径通知给上述接收侧的通信装置；

发送数据估计步骤，上述接收侧的通信装置根据上述奇偶性校验矩阵、上述带概率信息的接收数据、上述纠错信息和上述错误检测信息，估计上述发送数据；

加密密钥生成步骤，上述各通信装置根据已公开的信息量抛弃发送数据的一部分，用剩下的信息生成加密密钥。

2.如权利要求1所述的量子密钥分发方法，其特征在于，

在上述发送数据估计步骤中包含：

初始设定步骤，作为初始设定进行与上述奇偶性校验矩阵内的要素“1”对应的先验值的设定；

外部值更新步骤，根据上述纠错信息，以行为单位执行更新处理，该更新处理是使用与同一行中的其他要素“1”对应的先验值以及上述概率信息，对与上述奇偶性校验矩阵内的要素“1”对应的外部值进行更新；

先验值更新步骤，以列为单位执行更新处理，该更新处理是使用与在同一列中的其他要素“1”对应的上述更新后的外部值，对与上述奇偶性校验矩阵内的要素“1”对应的先验值进行更新；

临时估计步骤，根据上述概率信息以及上述更新后的先验值计算后验概率，从该后验概率中求临时估计字(硬判定)；

发送数据估计步骤，当上述临时估计字满足在和上述奇偶性校验矩阵之间确立的规定条件的情况下，使用上述错误检测信息进行该临时估计字的错误检测，如果没有错误则判定为该临时估计字是原发送数据，当未满足上述规定条件的情况下，在满足该条件之前使用上述更新后的值，重复执行上述外部值更新步骤、上述先验值更新步骤以及上述临时估计步骤。

3.如权利要求2所述的量子密钥分发方法，其特征在于：

在上述发送数据估计步骤中，对上述错误检测信息，和使用上述临时估计字生成的估计错误检测信息进行比较，如果一致则判断为在上述临时估计字中没有错误，如果不一致则判断为在上述临时估计字中有错误。

4.一种通信装置，是构成通过量子密钥分发在装置之间共用加密密钥的量子加密系统，并且以规定的量子状态把成为加密密钥的源的随机数序列发送到量子通信路径上的通信装置，其特征在于，具备：

奇偶性校验矩阵生成单元，生成和共用加密密钥的相对侧装置相同的奇偶性校验矩阵；

循环冗余代码生成单元，生成用于错误检测的循环冗余代码(CRC：Cyclic Redundancy check)；

信息通知单元，把纠错信息和错误检测信息经由公开通信路径通知给上述相对侧装置，其中的纠错信息是根据作为用可以正确识别光方向的测量器测量的结果得到的与相对侧装置的接收数据对应的发送数据(随机数序列的一部分)以及上述奇偶性校验矩阵而生成的，其中的错误检测信息是根据上述发送数据以及上述循环冗余代码生成的；

加密密钥生成单元，根据已公开的信息量废弃上述发送数据的一部分，用剩下的信息生成加密密钥。

5.一种通信装置，是构成通过量子密钥分发在装置之间共用加密密钥的量子加密系统，并且测量量子通信路径上的光子(成为加密密钥的源的随机数序列)的装置，其特征在于，具备：

奇偶性校验矩阵生成单元，生成和共用加密密钥的相对侧装置相同的奇偶性校验矩阵(要素是“0”或者“1”的矩阵)；

循环冗余代码生成步骤，生成用于错误检测的循环冗余代码(CRC：Cyclic Redundancy check)；

发送数据估计单元，根据上述奇偶性校验矩阵、用可以正确测量光方向的测量器测量得到的带概率信息的接收数据、从相对侧装置经由公开通信路径接收到的纠错信息以及错误检测信息，估计原发送数据；

加密密钥生成单元，根据已公开的信息量废弃上述发送数据的一部分，用剩下的信息生成加密密钥。

6.如权利要求5所述的通信装置，其特征在于：

上述发送数据估计单元，作为初始设定进行与上述奇偶性校验矩阵内的要素“1”对应的先验值的设定，

接着，根据上述纠错信息，以行为单位执行更新处理，该更新处理使用与同一行中的其他要素“1”对应的先验值以及上述概率信息，对与上述奇偶性校验矩阵内的要素“1”对应的外部值进行更新；

接着，以列为单位执行更新处理，该处理使用与同一列中的其他要素“1”对应的上述更新后的外部值，对与上述奇偶性校验矩阵内的要素“1”对应的先验值进行更新，

接着，根据上述概率信息以及上述更新后的先验值计算后验概率，从该后验概率中判定临时估计字，

接着，当上述临时估计字满足在和上述奇偶性校验矩阵之间确立的规定条件的情况下，使用上述错误检测信息进行该临时估计字的错误检测，如果没有错误则把该临时估计字判定为原发送数据，当不满足上述规定的条件的情况下，在满足该条件之前使用上述更新后的值，重复执行上述以行为单位的处理、上述以列为单位的处理以及上述临时估计字判定处理。

7.如权利要求6所述的通信装置，其特征在于：

上述发送数据估计单元对上述错误检测信息和使用上述临时估计字生成的估计错误检测信息进行比较，如果一致则判断为在临时估计字中没有错误，如果不一致，则判断为在上述临时估计字中有错误。

Images