JP2020127206A - 量子鍵配送のための方法、装置、及びシステム - Google Patents

量子鍵配送のための方法、装置、及びシステム Download PDF

Info

Publication number
JP2020127206A
JP2020127206A JP2020048755A JP2020048755A JP2020127206A JP 2020127206 A JP2020127206 A JP 2020127206A JP 2020048755 A JP2020048755 A JP 2020048755A JP 2020048755 A JP2020048755 A JP 2020048755A JP 2020127206 A JP2020127206 A JP 2020127206A
Authority
JP
Japan
Prior art keywords
quantum
key
secret
security key
sub
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020048755A
Other languages
English (en)
Other versions
JP6968223B2 (ja
Inventor
フー,インファン
Yingfang Fu
リウ,シュアンリン
Shuanlin Liu
ガオ,イェビン
Yabin Gao
チェン,シュウゾン
Xiuzhong Chen
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Publication of JP2020127206A publication Critical patent/JP2020127206A/ja
Application granted granted Critical
Publication of JP6968223B2 publication Critical patent/JP6968223B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • H04L9/0855Quantum cryptography involving additional nodes, e.g. quantum relays, repeaters, intermediate nodes or remote nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Abstract

【課題】量子鍵配送のための方法、装置、及びシステムを提供する。【解決手段】量子鍵配送システムは、量子セキュリティ鍵管理(QSKM)デバイスと、複数の量子セキュリティ鍵配送(QSKD)デバイスと、量子セキュリティ鍵サービス(QSKS)デバイスとを含む。QSKDデバイスは、識別情報ベースシステム秘密鍵を複数のシステムサブ秘密鍵に分割し、複数のシステムサブ秘密鍵を、対応する数のQSKDデバイスに配送する。QSKSデバイスは、第1のQSKDデバイスからの認証済み秘密鍵を取得する要求を所定数の第2のQSKDデバイスに転送する。第2のQSKDデバイスは、システムサブ秘密鍵から識別情報ベース認証済みサブ秘密鍵を生成する。第1のQSKDデバイスは、第2のQSKDデバイスから、識別情報ベース認証済みサブ秘密鍵を取得し、識別情報ベース認証済みサブ秘密鍵に基づいて、識別情報ベース認証済み秘密鍵を再構築する。【選択図】図2

Description

関連出願の相互参照
本願は、2015年1月22日に出願された中国特許出願公開第201510033128.2号に基づき、その優先権の利益を主張するものであり、この特許出願の全内容が参照により本明細書に援用される。
技術分野
本願は、量子鍵技術に関し、特に量子鍵配送のための方法、装置、及びシステムに関する。
背景
コンピュータ及びネットワーク技術の発達に伴い、例えば、アプリケーション、データ、及びITサービスをユーザに提供するクラウド計算システムを含め、様々なサービスをユーザに提供するシステムが出現した。そのようなシステムでは、記憶された静的データ及び動的に生成されるデータのセキュリティを保証するために、暗号化アルゴリズムを用いてデータを暗号化する必要がある。例えば、クラウド計算環境では、2つのデータ暗号化モードが通常使用される:証明書認証に基づく第1の暗号化モード及びクラウド計算鍵管理に基づく第2の暗号化モード。
証明書に基づく暗号化認証モードの基本原理は以下の通りである:システム内のサーバがそれ自体により鍵の制御及び保存を行い、静的データを暗号化及び記憶する場合、サーバは、対称鍵を使用してデータを暗号化し、次に、デジタル証明書を使用して対称鍵を暗号化し(すなわち、公開鍵を使用して対称鍵を暗号化し)、且つ暗号化されたデータを記憶し、データを読み取るとき、上記サーバ又は別のサーバは、最初に秘密鍵を使用して対称鍵を復号し、次に、復号された対称鍵を使用してデータを復号する。
証明書に基づく暗号化認証モードと比較して、クラウド計算鍵管理システムを使用する暗号化モードは、クラウド計算環境により広く適用されていると共に、クラウドデータのセキュリティの土台でもある。
図1は、例示的なクラウド計算鍵管理システムである。クラウド計算鍵管理システムは、2つの部分、すなわち、クラウド計算鍵クライアントエンド及びクラウド計算鍵管理サービスエンドを含む。クラウド計算鍵クライアントエンドは、クラウド計算サーバに常駐し、クラウド計算サーバ内のクラウド計算アプリケーションに鍵サービスを提供することを担当する。クラウド計算鍵クライアントエンドは、標準の鍵管理プロトコルを使用して、鍵生成、鍵復元、及び鍵更新等の管理サービスをクラウド計算鍵管理サービスエンドに求める。クラウド計算鍵管理サービスエンドは、サービスアプリケーションタイプに従って、対応するサービスを対称パスワード管理サーバに求め、次に、鍵サービス演算結果をクラウド計算鍵クライアントエンドに返すと共に、クラウド計算鍵クライアントエンドの代理として動作して、対応するサービスをデジタル証明書センタに求めることもできる。
両方のモードとも計算複雑性に基づく従来の暗号化を使用するため、クラウド計算、量子計算、及び他の計算技術の出現に鑑みて、潜在的に破られる危険性がある。加えて、第1のモードでは、暗号化された鍵を安全に保たなければならない。失われるか又は破損すると、鍵又はデータを復元することができない。第2のモードの場合、中央管理のために鍵をシステムに配置することにより、セキュリティが改善するが、より高い動作許可を有する鍵管理サーバの管理者は、ユーザデータ及び鍵にアクセスすることができ、鍵及びユーザ機密情報を漏洩する恐れがある。
概要
本開示の一態様は、量子鍵配送システムに関する。本量子鍵配送システムは、量子セキュリティ鍵管理デバイスと、量子セキュリティ鍵管理デバイスと接続される複数の量子セキュリティ鍵配送デバイスと、量子セキュリティ鍵管理デバイス及び複数の量子セキュリティ鍵配送デバイスと接続される量子セキュリティ鍵サービスデバイスとを含む。量子セキュリティ鍵管理デバイスは、識別情報ベースシステム秘密鍵を複数のシステムサブ秘密鍵に分割し、複数のシステムサブ秘密鍵を、対応する数の量子セキュリティ鍵配送デバイスに配送する。量子セキュリティ鍵サービスデバイスは、複数の量子セキュリティ鍵配送デバイスのうちの第1の量子セキュリティ鍵配送デバイスからの認証済み秘密鍵を取得する要求を、量子セキュリティ鍵配送デバイスのうちの所定数の第2の量子セキュリティ鍵配送デバイスに転送する。所定数の第2の量子セキュリティ鍵配送デバイスは、それぞれシステムサブ秘密鍵から識別情報ベース認証済みサブ秘密鍵を生成する。第1の量子セキュリティ鍵配送デバイスは、所定数の第2の量子セキュリティ鍵配送デバイスから、識別情報ベース認証済みサブ秘密鍵を取得し、識別情報ベース認証済みサブ秘密鍵に基づいて、識別情報ベース認証済み秘密鍵を再構築する。
本開示の別の態様は、量子鍵配送方法に関する。本量子鍵配送方法は、量子セキュリティ鍵サービスデバイスにより、要求者の第1の量子セキュリティ鍵配送デバイスから、認証済み秘密鍵を取得する要求を受信することであって、要求は、少なくとも要求者の識別子情報を搬送する、受信することと、量子セキュリティ鍵サービスデバイスにより、要求を所定数の第2の量子セキュリティ鍵配送デバイスに転送することと、要求者の第1の量子セキュリティ鍵配送デバイスにより、要求者の識別子情報及び複数のシステムサブ秘密鍵に基づいて所定数の第2の量子セキュリティ鍵配送デバイスにより生成される複数の認証済みサブ秘密鍵を受信することと、要求者の第1の量子セキュリティ鍵配送デバイスにより、認証済みサブ秘密鍵に基づいて、識別情報ベース認証済み秘密鍵を再構築することとを含む。
本開示の幾つかの実施形態によれば、要求者の第1の量子セキュリティ鍵配送デバイスにより、認証済みサブ秘密鍵に基づいて、識別情報ベース認証済み秘密鍵を再構築することは、要求者の第1の量子セキュリティ鍵配送デバイスにより識別情報ベース認証済み秘密鍵を再構築することが、閾値秘密共有メカニズムを使用することにより実施される可能性を含む。
本開示の幾つかの実施形態によれば、本量子鍵配送方法は、量子セキュリティ鍵サービスデバイスにより要求を受信する前に、量子セキュリティ鍵管理デバイスにより、閾値秘密共有メカニズムを使用することにより識別情報ベースシステム秘密鍵を複数のシステムサブ秘密鍵に分割することと、量子セキュリティ鍵管理デバイスにより、複数のシステムサブ秘密鍵を、対応する数の量子セキュリティ鍵配送デバイスと共有することとを更に含み得る。
本開示の別の態様は、別の量子鍵配送方法に関する。本量子鍵配送方法は、量子セキュリティ鍵管理デバイスにより、識別情報ベースシステム秘密鍵を複数のシステムサブ秘密鍵に分割することと、量子セキュリティ鍵管理デバイスにより、複数のシステムサブ秘密鍵を、対応する数の量子セキュリティ鍵配送デバイスに配送することと、量子セキュリティ鍵サービスデバイスにより、要求者の第1の量子セキュリティ鍵配送デバイスから、認証済み秘密鍵を取得する要求を受信することであって、要求は、少なくとも要求者の識別子情報を搬送する、受信することと、量子セキュリティ鍵サービスデバイスにより、要求を対応する数の量子セキュリティ鍵配送デバイスのうちの所定数の第2の量子セキュリティ鍵配送デバイスに転送することと、第1の量子セキュリティ鍵配送デバイスにより、要求者の識別子情報及び複数のシステムサブ秘密鍵に基づいて所定数の第2の量子セキュリティ鍵配送デバイスにより生成される複数の認証済みサブ秘密鍵を受信することと、要求者の第1の量子セキュリティ鍵配送デバイスにより、認証済みサブ秘密鍵に基づいて、識別情報ベース認証済み秘密鍵を再構築することとを含む。
本開示の幾つかの実施形態によれば、本量子鍵配送方法は、量子セキュリティ鍵管理デバイスにより、量子ノイズ源により生成される乱数、量子鍵配送システムの識別子情報、及びタイムスタンプ情報を使用することによりシステム秘密鍵を生成することを更に含み得る。
本開示の幾つかの実施形態によれば、量子セキュリティ鍵管理デバイスにより、識別情報ベースシステム秘密鍵を複数のシステムサブ秘密鍵に分割することは、ラグランジ補間に基づく閾値秘密共有メカニズムを使用することにより実施され得る。
本開示の幾つかの実施形態によれば、要求者の第1の量子セキュリティ鍵配送デバイスにより、認証済みサブ秘密鍵に基づいて識別情報ベース認証済み秘密鍵を再構築することは、ラグランジ補間に基づく閾値秘密共有メカニズムを使用することにより実施され得る。
本開示の別の態様は、量子鍵配送装置に関する。本装置は、要求者の第1の量子セキュリティ鍵配送デバイスから、認証済み秘密鍵を取得する要求を受信する秘密鍵要求受信ユニットであって、要求は、少なくとも要求者の識別子情報を搬送する、秘密鍵要求受信ユニットと、要求を所定数の第2の量子セキュリティ鍵配送デバイスに転送する秘密鍵要求転送ユニットと、要求者の識別情報及び複数のシステムサブ秘密鍵に基づいて複数の認証済みサブ秘密鍵を生成し、認証済みサブ秘密鍵を要求者の第1の量子セキュリティ鍵配送デバイスと共有する認証済みサブ秘密鍵共有ユニットと、認証済みサブ秘密鍵に基づいて、識別情報ベース認証済み秘密鍵を再構築する認証済み秘密鍵再構築ユニットとを含む。
本開示の別の態様は、1つ又は複数のプログラムを記憶する非一時的コンピュータ可読媒体に関する。1つ又は複数のプログラムは命令を含み、命令は、量子セキュリティ鍵サービスデバイス及び第1の量子セキュリティ鍵配送デバイスを含むコンピュータシステムにより実行されると、コンピュータシステムに、量子セキュリティ鍵サービスデバイスにより、要求者の第1の量子セキュリティ鍵配送デバイスから、認証済み秘密鍵を取得する要求を受信することであって、要求は、少なくとも要求者の識別子情報を搬送する、受信することと、量子セキュリティ鍵サービスデバイスにより、要求を所定数の第2の量子セキュリティ鍵配送デバイスに転送することと、要求者の第1の量子セキュリティ鍵配送デバイスにより、要求者の識別子情報及び複数のシステムサブ秘密鍵に基づいて所定数の第2の量子セキュリティ鍵配送デバイスにより生成される複数の認証済みサブ秘密鍵を受信することと、要求者の第1の量子セキュリティ鍵配送デバイスにより、認証済みサブ秘密鍵に基づいて、識別情報ベース認証済み秘密鍵を再構築することとを含む方法を実行させる。
本開示の別の態様は、1つ又は複数のプログラムを記憶する非一時的コンピュータ可読媒体に関する。1つ又は複数のプログラムは命令を含み、命令は、量子セキュリティ鍵管理デバイス、量子セキュリティ鍵サービスデバイス、及び第1の量子セキュリティ鍵配送デバイスを含むコンピュータシステムにより実行されると、コンピュータシステムに、量子セキュリティ鍵管理デバイスにより、システム秘密鍵を複数のシステムサブ秘密鍵に分割することと、量子セキュリティ鍵管理デバイスにより、複数のシステムサブ秘密鍵を、対応する数の量子セキュリティ鍵配送デバイスに配送することと、量子セキュリティ鍵サービスデバイスにより、要求者の第1の量子セキュリティ鍵配送デバイスからの認証済み秘密鍵を取得する要求を受信することであって、要求は、少なくとも要求者の識別子情報を搬送する、受信することと、量子セキュリティ鍵サービスデバイスにより、要求を対応する数の量子セキュリティ鍵配送デバイスのうちの所定数の第2の量子セキュリティ鍵配送デバイスに転送することと、第1の量子セキュリティ鍵配送デバイスにより、要求者の識別子情報及び複数のシステムサブ秘密鍵に基づいて所定数の第2の量子セキュリティ鍵配送デバイスにより生成される複数の認証済みサブ秘密鍵を受信することと、要求者の第1の量子セキュリティ鍵配送デバイスにより、認証済みサブ秘密鍵に基づいて、識別情報ベース認証済み秘密鍵を再構築することとを含む方法を実行させる。
本開示の追加の特徴及び利点が以下の詳細な説明に部分的に記載され、且つ部分的に説明から明らかになり、又は部分的に本開示の実施により学習され得る。本開示の特徴及び利点は、添付の特許請求の範囲において特に指定される要素及び組合せにより実現され取得される。
上記の概要及び以下の詳細な説明が単なる例示及び説明であり、特許請求の範囲に記載される本発明の限定ではないことを理解されたい。
図面の簡単な説明
添付図面は、本明細書の一部をなし、幾つかの実施形態を示し、説明と共に開示される原理を説明する役割を果たす。
従来技術による例示的なクラウド計算セキュア化鍵管理システムである。 例示的な実施形態による量子鍵配送システムの図示である。 別の例示的な実施形態による別の量子鍵配送システムの図示である。 更なる例示的な実施形態による量子鍵配送システムを示すブロック図である。 例示的な実施形態による量子鍵配送方法を示す流れ図である。 別の例示的な実施形態による量子鍵配送方法を示す流れ図である。 例示的な実施形態による量子鍵配送装置を示すブロック図である。
詳細な説明
これより、例が添付図面に示される例示的な実施形態を詳細に参照する。以下の説明は、異なる図面中の同じ番号が、別段のことが表される場合を除き、同じ又は同様の要素を表す添付図面を参照する。本発明による例示的な実施形態の以下の説明に記載される実装形態は、本発明による全ての実装形態を表すわけではない。その代わり、実装形態は、添付の特許請求の範囲に記載される本発明に関連する態様によるシステム及び方法の単なる例である。
本開示の幾つかの実施形態によれば、量子鍵配送システムが提供される。この例で提供される量子鍵配送システムは、量子セキュリティ鍵管理(以下、QSKMと呼ぶ)デバイス、複数の量子セキュリティ鍵配送(以下、QSKDと呼ぶ)デバイス、量子セキュリティ鍵サービス(以下、QSKSと呼ぶ)デバイス、並びにセキュア化データ伝送のソースエンド及び宛先エンドとして使用されるデータデバイスを含む。QSKMデバイスは、複数のQSKDデバイス及びQSKSデバイスと接続され、各QSKDデバイスは、少なくとも、幾つかの他のQSKDデバイスと接続され、データデバイスは、少なくとも、1つのQSKDデバイスと接続される。QSKM、QSKD、及びQSKSデバイスは、1つ又は複数のプロセッサ及びメモリを有するコンピュータ又はサーバにより実施することができる。メモリは、プロセッサにより実行されると、後述する機能を実行する命令を記憶する非一時的コンピュータ可読記憶媒体であり得る。
幾つかの実施形態では、複数のQSKDデバイスのうちの1つ又は複数はQSKSデバイスを含み得る。換言すれば、QSKDデバイス及びQSKSデバイスの機能は、1つの物理的デバイスに統合してもよく、異なる物理的デバイスによりそれぞれ実施されてもよい。
加えて、量子鍵の長距離伝送の要件を満たすために、量子鍵配送システムは、量子鍵を中継し、データを転送するように構成されたルーティングデバイスを更に含み得、それにより、QSKMデバイス、QSKDデバイス、及びQSKSデバイスは、ルーティングデバイスを通して相互接続することができる。
図2は、例示的な実施形態による量子鍵配送システムの図示である。この実施形態では、互いの予備の2つのQSKMデバイスが含まれ、QSKD及びQSKSの機能は、1つの物理的デバイス(QSKD/QSKSにより表される)に統合され、QSKMデバイス及びQSKD/QSKSデバイスは、ルーティングデバイスを通して互いに接続される。QSKD及びQSKSは、幾つかの例示的な実装形態では、1つの物理的デバイスに統合されるが、QSKD及びQSKSにより実施される機能は異なり得る。QSKMデバイス、QSKDデバイス及びQSKMデバイスの特定の機能並びに互いとの調整は機能分割の観点から説明される。
図3は、例示的な実施形態による別の量子鍵配送システムの図示である。この実施形態では、幾つかのQSKDデバイスは数人のクラウドユーザにより所有され、幾つかのQSKDデバイスは数人のクラウドユーザにより貸し出される。
図4は、例示的な実施形態による、図2及び図3に示される量子鍵配送システム100を示すブロック図である。システム100は幾つかの構成要素を含み、構成要素のうちの幾つかは任意選択的であり得る。システム100は、QSKMデバイス101、複数のQSKDデバイス102、QSKSデバイス103、データデバイス104、及びルーティングデバイス105を含み、これらのデバイスは全てネットワーク106を通して接続される。複数のQSKDデバイス102は、第1のQSKDデバイス112及び複数の第2のQSKDデバイス122を含む。第1のQSKDデバイス及び複数の第2のQSKDデバイスは、構造的及び機能的に同様又は同一のデバイスであり得る。これらのQSKDデバイスのグループ分け/分類は説明を目的としたものである。
幾つかの実施形態では、QSKDデバイス及びQSKSデバイスは、1つの物理的なデバイスに統合され、QSKMデバイス及びQSKD/QSKSデバイスは、ルーティングデバイスを通して互いに接続される。幾つかの実施形態では、システム100は2つのQSKMデバイスを含み、各QSKMデバイスは他方のバックアップである。
幾つかの実施形態では、QSKMデバイスは、量子鍵配送システムのマネージャであり、システムは、1つ又は複数のQSKMデバイスを含み、データ同期を達成し、且つシステムの集中管理を実現し得る。QSKMデバイスは、閾値秘密共有メカニズムに従って識別情報ベースシステム秘密鍵を複数のシステムサブ秘密鍵に分割し、量子鍵合意に従って、複数のシステムサブ秘密鍵を、対応する数のQSKDデバイスにそれぞれ配送することを担当する。
幾つかの実施形態では、識別情報ベースシステム秘密鍵は、QSKMデバイスにおいて予め設定され得るか、又はQSKMデバイスにより以下のように生成され得る。識別情報ベースシステム秘密鍵は、量子ノイズ源により生成される乱数、システムの識別子情報、及びタイムスタンプ情報に従って生成される。量子ノイズ源により生成される乱数が導入される理由は、量子ノイズのランダム特性を使用することによりシステム秘密鍵のセキュリティを増大させるためである。例えば、システム秘密鍵は、式1:

を通して生成することができ、式中、Sは、量子ノイズ源により生成される乱数であり、BNIDは、システムの識別子情報であり、expire_timeは、タイムスタンプ情報であり、及びSは、識別情報ベースシステム秘密鍵である。QSKMデバイスは、システム秘密鍵(システム鍵とも呼ばれる)をシステム鍵データベースに記憶することができ、システム鍵データベースにはQSKMデバイスのみがアクセス可能である。
幾つかの実施形態では、QSKMデバイスは、閾値秘密共有メカニズムに従って、予め設定されるか又は上述したように生成される識別情報ベースシステム秘密鍵を複数のシステムサブ秘密鍵に分割し、量子鍵合意に従って、複数のシステムサブ秘密鍵を、対応する数のQSKDデバイスにそれぞれ配送する。
幾つかの実施形態では、識別情報ベースシステム秘密鍵が複数(少なくとも2つ)の識別情報ベースシステムサブ秘密鍵に分割され、対応する数のQSKDデバイスに配送される理由は、鍵の配送管理を達成するためであり、第1のQSKDデバイス(又は任意の他のQSKDデバイス)が認証済み秘密鍵を取得することを求める場合、非集中的管理下の所定数のサブ秘密鍵が結合され得る。このようにして、鍵管理権の過度な集中化により生じる権力の乱用を回避することができ、したがって、管理者がユーザデータを取得し、悪意をもってユーザデータを漏洩する可能性を効率的に低減する。更に、鍵破損の場合、所定数のサブ秘密鍵を再取得し、鍵を再構築することも実現可能である。
幾つかの実施形態では、QSKMデバイスは、閾値秘密共有メカニズムを使用することにより、システム秘密鍵を複数の識別情報ベースシステムサブ秘密鍵に分割する。閾値秘密共有メカニズムは、(n,t)閾値秘密共有メカニズムとして知られ、このメカニズムは以下のように定義される:秘密Sは、各メンバが秘密サブ(秘密Sの部分)を保持し、かつ以下の2つの条件が満たされるように、秘密共有アルゴリズムを通して共有するためにn個のメンバに配送される。
(1)t以上である任意の数のメンバが、保持する秘密サブを用いて秘密Sを再構築することができ、
(2)t未満の任意の数のメンバが、保持する秘密サブを用いて秘密Sを再構築することはできない。
上述した秘密共有メカニズムを実現する多くの方式、例えば、ラグランジ補間に基づく閾値秘密共有方式又は多次元空間に基づくブラックリー閾値秘密共有方式があり、各方式は、それ自体の秘密共有アルゴリズム及びそれに対応する秘密再構築アルゴリズムを有する。これらの方式は、秘密共有メカニズムとも呼ばれる。
幾つかの実施形態では、システムがn個のQSKDデバイスを含む場合、QSKMデバイスは、予め設定されるt値に従ってシステム秘密鍵をn個のシステムサブ秘密鍵に分割することができる。
幾つかの実施形態では、ラグランジ補間に基づく閾値秘密共有メカニズムが使用される。QSKMデバイスは、式2及び式3に示される秘密共有アルゴリズムを使用して、識別情報ベースシステム秘密鍵Sをn個のサブ秘密鍵Sに分割することができ、ここで、式2中の素数φは、秘密鍵管理に参加するQSKDデバイスの総数nよりも大きく、且つシステム秘密鍵Sを設定し得る最大値よりも大きく、α=h(0)=Sであり、αt−1、...、αは、量子ノイズにより生成されるランダム係数であり、全ての係数は秘密に保たれるべきであり、n個のサブ鍵シェアSが生成された後、破壊されるべきである。
h(x)=αt−1t−1+・・・+αx+αmоdφ −−−−−− 式2
=h(x)mоdφx=i,i=1,...,n −−−− 式3
この例では、識別情報ベースシステム秘密鍵は、QSKDデバイスの数nに従って対応する数に分割され、幾つかの実施形態では、システム秘密鍵が複数のシステムサブ秘密鍵に分割される限り、鍵の分散管理を実現することもできる。
幾つかの実施形態では、QSKMデバイスは、分割後、量子鍵合意に従って、複数のシステムサブ秘密鍵を、対応する数のQSKDデバイスにそれぞれ配送するように構成される。QSKMが分割を通してn個のシステムサブ秘密鍵S、S、...、Sを取得する場合、QSKMは、量子鍵合意、例えばBB84プロトコルに従ってS、S、...、SをQSKD、QSKD、...、QSKDとそれぞれ共有する。
幾つかの実施形態では、光損失及びビットエラーレートを考慮して、QSKMデバイス及びQSKDデバイスが各システムサブ秘密鍵を正確に共有し得ることを保証するために、S、S、...、Sが鍵合意のために量子状態に変換される場合、冗長送信又はオンデマンド再送信の量子鍵合意を使用することができる。
冗長送信は、特定の割合にわたり同じビットを送信すること、すなわち、同じビットを複数回送信することを指し、ここで、割合は、ビットエラーレート、送信距離、損失率、及び他の要因に基づいて決定することができ、オンデマンド再送信は、受信デバイスが、同期メカニズムを通して受信されていない光子がある(例えば、減衰に起因して有効検出を実行することができない)か否かを知ることができ、従来のチャネルの測定ベースを比較することにより、受信された量子状態のいずれが悪いかを判断し得ることを指す。受信デバイスは、非受信及び悪い量子状態情報をQSKMデバイスに送信することができ、それにより、QSKMデバイスは、受信デバイスの要求に従って1回又は複数回にわたり特定の量子状態を繰り返し送信することができる。上記2つの方法を使用することにより、受信デバイスは、同じビットを複数回にわたって成功裏に受信し得、この状況では1ビットを保持することができる。
幾つかの実施形態では、QSKMデバイス及び各QSKDデバイスが各システムサブ秘密鍵を正確に共有し得ることを方法が保証することができる限り、量子鍵合意の別の方法を使用することも可能である。
幾つかの実施形態では、システムのマネージャとして、QSKMデバイスは、システムの各デバイスと通信して、必要な管理機能を実現する必要がある。データ伝送のセキュリティを増大させ、マネージャの識別情報についてシステム内のデバイスの検証を促進するために、QSKMデバイスは、量子ノイズ源により生成される乱数、識別子情報、及びタイムスタンプ情報に使用することにより、その識別情報ベース秘密鍵及び対応する署名証明書を生成するように更に構成され得る。証明書は、QSKMの識別子情報(例えば、QSKMデバイスのID)と、その秘密鍵を使用する署名情報とを含む。例えば、システムは、式4

を使用することにより、QSKMの識別情報ベース秘密鍵を生成し得、式中、QSKMIDは、QSKMの識別子情報であり、QSKMは、量子ノイズ源を使用することにより、QSKMにより生成される乱数であり、expire_timeは、タイムスタンプ情報であり、QSKMPKは、QSKMの識別情報ベース秘密鍵である。
QSKMデバイスは、識別情報ベース秘密鍵及び対応する署名証明書をそれ自体の鍵/証明書データベースに記憶することができる。この例は識別情報ベース公開鍵暗号化技術を使用するため、識別子情報(例えば、ID)及び証明書は、全ネットワークを通してオープンであるが、識別情報ベース秘密鍵は機密であり、一般に、秘密鍵を生成又は所有するデバイス又はユーザ、及び認可デバイスがアクセス可能である。
加えて、管理を促進し、セキュア化データを送信するための識別情報ベース秘密鍵の生成を可能にするために、量子鍵配送システム内のデバイスは、他のデバイスから区別することができる識別子情報(例えば、ID)を有することができ、識別子情報は、各デバイスで予め設定され得、システム内のマネージャQSKMにより均一に割り当てられ且つ管理され得る。一実施形態では、QSKMデバイスは、QSKDデバイス又はQSKSデバイスから受信される登録要求に従って、QSKDデバイス又はQSKSデバイスの識別子情報を生成し、識別子情報を対応するデバイスに発行するように更に構成される。QSKDデバイス及びQSKSデバイスが同じ物理的デバイスに統合される場合、QSKMは、1つのIDをQSKDデバイス及びQSKSデバイスに発行してもよく、2つのIDをQSKDデバイス及びQSKSデバイスにそれぞれ発行してもよい。
幾つかの実施形態では、システム内のQSKSデバイスの1つの主機能は、認証済み秘密鍵を取得する要求を、転送することである。システム内のデータデバイスが、データ暗号記憶又はセキュア化データ送信を実行することを意図する場合、それに接続されたQSKDデバイス(例えば、例示を目的として、これを第1のQSKDデバイスと呼ぶ)は、認証済み秘密鍵を取得する要求を、QSKSデバイスに送信することができる。要求は、第1のQSKDデバイスの識別子情報(例えば、ID)を搬送することができ、QSKSデバイスは、要求を所定数のQSKDデバイス(例えば、例示を目的として、これらを第2のQSKDデバイスと呼ぶ)に転送する。例えば、(n,t)閾値メカニズムを使用することにより、システム秘密鍵は、n個のQSKDデバイスにより共有され、QSKSデバイスは、認証済み秘密鍵を取得する要求を、n個のQSKDデバイスのうちの任意のt個のデバイスに転送する。t個のQSKDデバイス(すなわち、第2のQSKDデバイス)及び要求者(すなわち、第1のQSKDデバイス)は、互いに直接接続されるか、又は量子鍵リレー機能を有するルーティングデバイスを通して互いに接続される。
幾つかの実施形態では、第1のQSKDデバイスは、t個の第2のQSKDデバイスから、量子鍵合意に従って複数のシステムサブ秘密鍵に従って生成された識別情報ベース認証済みサブ秘密鍵を取得し、閾値秘密共有メカニズムを使用することにより識別情報ベース認証済み秘密鍵を再構築するように構成される。
幾つかの実施形態では、QSKDデバイスが認証済み秘密鍵の要求者ではない場合、QSKDデバイス(すなわち、第2のQSKDデバイス)は、QSKSデバイスにより転送された認証済み秘密鍵を取得する要求を受信した後、認証済み秘密鍵の要求者の識別子情報、タイムスタンプ情報、及びQSKMデバイスがそれに配送するシステムサブ秘密鍵に従って識別情報ベース認証済みサブ秘密鍵を生成する。例えば、識別情報ベース認証済みサブ秘密鍵は、式5を使用することにより生成することができ、式中、

(rの値は1〜tの範囲内)は、システムサブ秘密鍵であり、UIDは、認証済み秘密鍵の要求者として機能する第1のQSKDデバイスの識別子情報であり、expire_timeは、タイムスタンプ情報であり、Surは、要求者の識別子情報に基づいた識別情報ベース認証済みサブ秘密鍵である。
幾つかの実施形態では、QSKDデバイスが認証済み秘密鍵の要求者(すなわち、第1のQSKDデバイス)である場合、QSKDデバイスは、他のQSKDデバイスから、量子鍵合意に従って所定数(例えば、t個)の識別情報ベース認証済みサブ秘密鍵を取得し、閾値秘密共有メカニズムを使用することにより識別情報ベース認証済み秘密鍵を再構築するように構成される。要求者の識別子情報及び第1のQSKDデバイスの識別子情報は、この用途で交換可能に使用される。要求者の識別子情報及び第1のQSKDデバイスの識別子情報は同じであってもよく、又は異なってもよい。異なる場合、この用途での目的で交換可能である。
幾つかの実施形態では、t個の第2のQSKDデバイスは、上述したように要求者の識別情報に基づいて認証済みサブ秘密鍵を生成した後、量子鍵合意に従って認証済みサブ秘密鍵を要求者(すなわち、第1のQSKDデバイス)とそれぞれ共有し、それにより、要求者は、t個の識別情報ベースシステムサブ秘密鍵を取得する。冗長送信又はオンデマンド再送信を使用して、第2のQSKDデバイスが第1のQSKDデバイスと生成された認証済みサブ秘密鍵を正確に共有することを保証することも実現可能である。
幾つかの実施形態では、第1のQSKDデバイスが識別情報ベース認証済み秘密鍵を再構築する場合、識別情報ベースシステム秘密鍵を分割するためにQSKMデバイスにより使用される秘密共有アルゴリズムに対応する秘密再構築アルゴリズムが採用される。一例では、QSKMは、ラグランジ補間に基づく閾値秘密共有メカニズムの秘密共有アルゴリズムを採用し、それに対応して、要求者(すなわち、第1のQSKDデバイス)は、ラグランジ補間に基づく閾値秘密共有メカニズムの再構築アルゴリズムを採用して、識別情報ベース認証済み秘密鍵を再構築する。
幾つかの実施形態では、任意のt個のポイントの座標、すなわち、(xi1,Su1)、(xi2,Su2),...,(xit,Sut)を知ることと等しい、t個の第2のQSKDデバイスから取得されたt個のSurに従って、ラグランジ補間式及び再構築された認証済み秘密鍵S=f(0)を使用することにより、対応するf(x)を得ることができる。上記原理に基づいて、式6及び式7を使用することにより、再構築された識別情報ベース認証済み秘密鍵Sを得ることができる。

要求者(すなわち、第1のQSKDデバイス)は、再構築された認証済み秘密鍵に従って識別情報ベース署名証明書を生成するように更に構成することができ、それにより、要求者は、識別情報ベース認証済み秘密鍵及び証明書を取得する。
幾つかの実施形態では、QSKSデバイスと同様に、QSKDデバイス及びQSKMデバイスは、システム内部の管理需要により互いに通信することができ、通信のセキュリティを保証するために、QSKSデバイス及びQSKDデバイスもそれら自体の識別情報ベース秘密鍵を生成することができる。
幾つかの実施形態では、QSKDデバイス及びQSKSデバイスは、量子鍵合意に従って、量子ノイズ源により生成される乱数及びQSKMデバイスからのタイムスタンプ情報を取得し、上記情報及びそれら自体の識別子情報に従って識別情報ベース秘密鍵を生成するように更に構成される。例えば、QSKDデバイス及びQSKSデバイスは、式8を使用することによりそれら自体の識別情報ベース秘密鍵を生成することができ、式中、Uは、量子ノイズ源を使用することによりQSKDデバイス又はQSKSデバイスに向けてQSKMデバイスにより生成される乱数であり、expire_timeは、タイムスタンプ情報であり、UIDは、QSKDデバイス又はQSKSデバイスの識別子情報(例えば、ID)であり、ここで、識別子情報は予め設定されてもよく、又はQSKMデバイスによりそれに対して発行されてもよい。
幾つかの実施形態では、QSKMデバイスは、式8を使用することによりQSKDデバイス又はQSKSデバイスのUPkを計算することもでき、QSKMデバイスにより、UPkをQSKMデバイスと、QSKDデバイス又はQSKSデバイスとの間の共有鍵として使用して、それらの間でセキュア化データ伝送を実行することも実現可能である。
幾つかの実施形態では、量子鍵配送システムは、クラウドバックボーンネットワーク(データセンタ)及びクラウドユーザを含むクラウドネットワークアーキテクチャに適用される。
例えば、量子鍵配送システムは、クラウドバックボーンネットワーク(例えば、クラウド計算データセンタ)で展開することができ、データデバイスは、クラウド計算データセンタのサーバを指し、システム内部のQSKMデバイスは、複数のシステムサブ秘密鍵をシステム内部のQSKDデバイスに事前に配送することができる。クラウド計算データセンタの特定のサーバが、データ記憶又は送信前に識別情報ベース認証済み秘密鍵を取得する必要がある場合、それと接続されたQSKDデバイスは、他のQSKDデバイスから所定数の識別情報ベース認証済みサブ秘密鍵を取得し、閾値秘密共有メカニズムを使用することにより識別情報ベース認証済み秘密鍵を再構築し、署名証明書を生成することができる。
別の例では、システムは、システムにアクセスするクラウドユーザを更に含み、クラウドユーザは、自らのQSKDデバイスを有してもよく、又はシステム内のQSKDデバイスを借りてもよい。
QSKDデバイスを有するクラウドユーザの場合、ユーザのQSKDデバイスは、クラウド計算データセンタの1つのルーティングデバイスと接続される。クラウドユーザのQSKDデバイスは、認証済み秘密鍵を取得する要求をクラウド計算データセンタのQSKSデバイスに送信し、量子鍵合意に基づいて、クラウド計算センタのQSKDデバイスから所定数の識別情報ベース認証済みサブ秘密鍵を取得し、閾値秘密共有メカニズムを使用することにより識別情報ベース認証済み秘密鍵を再構築し、識別情報ベース署名証明書を生成するように構成される。
クラウドユーザのQSKDデバイスが、認証済み秘密鍵を取得する要求をクラウド計算データセンタのQSKSデバイスに送信する場合である。要求は、QSKDデバイス、及び/又は、QSKDデバイスを使用するクラウドユーザの識別子情報を搬送することができる。識別子情報は、クラウド計算データセンタのQSKMデバイスに登録してもよく、又はQSKMデバイスにより発行されてもよい。
クラウド計算データセンタのQSKDデバイスを借りるクラウドユーザの場合、認証済み秘密鍵を取得する要求は、クラウド計算データセンタのQSKSデバイスに送信することができる。QSKSデバイスは、QSKSデバイスと接続された所定数のQSKDデバイスに要求を転送するように構成される。QSKDデバイスは、量子鍵合意に従って、識別情報ベース認証済みサブ秘密鍵を、借りられたQSKDデバイスと共有する。次に、借りられたQSKDデバイスは、識別情報ベース認証済み秘密鍵を再構築する。QSKDデバイスは、識別情報ベース署名証明書を生成することもできる。QSKDデバイスは、鍵及び証明書をローカルに記憶して、クラウドユーザがアクセスし使用できるようにし得る。QSKDデバイスを有するクラウドユーザと同様に、QSKDデバイスを借りたクラウドユーザの識別子情報は、クラウド計算データセンタのQSKMデバイスにより発行することができる。
幾つかの実施形態では、量子鍵配送技術を閾値秘密共有メカニズムと組み合わせることにより提供される量子鍵配送システムは、従来の暗号化が破られるリスクを効率的に低減することができるのみならず、鍵に関する分散管理に起因して管理権を非集中化することもでき、それにより、管理者がユーザデータを取得し、悪意をもって漏洩する可能性を効率的に低減し、ユーザデータのセキュリティを更に保証する。特にシステムがクラウド計算環境に適用される場合、ユーザ秘密鍵が分散してクラウドバックボーンネットワークにより生成され、最終的にユーザのQSKDデバイス又はユーザが信頼するQSKDデバイスにより合成されるため、クラウドプロバイダに対するクラウドユーザの信頼問題を解決することができ、ユーザデータの暗号化された鍵が失われた後において、鍵をクラウドバックボーンネットワークから検索して、ユーザデータを復元することができる。
図5は、例示的な実施形態による量子鍵配送方法200を示す流れ図である。幾つかのステップは任意選択的であり得る。
ステップ201において、QSKSデバイスは、要求者のQSKDデバイス(例えば、例示を目的として、第1のQSKDデバイスと呼ぶ)から、認証済み秘密鍵を取得する要求を受信し、要求は、第1のQSKDデバイス又は要求者の識別子情報を搬送する(この例では、要求者を仮定する)。
ステップ202において、QSKSデバイスは、要求を所定数のQSKDデバイス(例えば、例示を目的として、第2のQSKDデバイスと呼ぶ)に転送する。
ステップ203において、所定数の第2のQSKDデバイスは、要求者の識別子情報に基づいて、複数のシステムサブ秘密鍵から複数の認証済みサブ秘密鍵を生成する。
幾つかの実施形態では、第2のQSKDデバイスは、QSKSデバイスにより転送された要求を受信した後、最初に、QSKDデバイスを通して要求者の識別情報の正当性を検証し、要求者が識別情報検証に合格しない場合、方法の実行を終了する。第2のQSKDデバイスは、要求者の識別子情報、予め取得したシステムサブ秘密鍵、及びタイムスタンプ情報に従って認証済みサブ秘密鍵を生成する。例えば、認証済みサブ秘密鍵は、以下の式を使用することにより生成される。

式中、

は、初期化段階にQSKDデバイスにより取得されるシステムサブ秘密鍵であり、UIDは、要求者の識別子情報であり、expire_timeは、タイムスタンプ情報であり、Surは、要求者の識別子情報に基づいた識別情報ベース認証済みサブ秘密鍵である。
ステップ204において、所定数の第2のQSKDデバイスは、量子鍵合意に従って、認証済みサブ秘密鍵を要求者の第1のQSKDデバイスと共有する。量子鍵合意は、冗長送信合意であってもよく、又はオンデマンド再送信合意であってもよい。
ステップ205において、要求者の第1のQSKDデバイスは、取得した認証済みサブ秘密鍵に従って、閾値秘密共有メカニズムを使用することにより識別情報ベース認証済み秘密鍵を再構築する。
例えば、第1のQSKDデバイスは、ラグランジ補間に基づく閾値秘密共有メカニズムの再構築アルゴリズムを使用することにより、識別情報ベース認証済み秘密鍵を再構築し、識別情報ベース認証済み秘密鍵に従って識別情報ベース署名証明書を生成することができる。
幾つかの実施形態では、上記例に記載される量子鍵配送方法は、クラウド計算ネットワークに適用して、クラウド計算環境での鍵セキュリティ問題、クラウドプロバイダについてのクラウドユーザの信頼問題、クラウド内部の悪意のある管理者の問題、及び鍵破損又は損失の問題を解決することができる。方法は、クラウド計算データセンタ(すなわち、クラウドバックボーンネットワーク)に適用することができる。例えば、認証済み秘密鍵を取得する要求は、クラウドデータセンタサーバと接続されたQSKDデバイスにより開始することができ、要求はQSKDデバイスの識別子情報を搬送する。QSKDデバイスは、所定数の認証済みサブ秘密鍵を他のQSKDデバイスから取得し、閾値秘密共有メカニズムを使用することにより識別情報ベース認証済み秘密鍵を再構築する。
幾つかの実施形態では、システムは、システムにアクセスするクラウドユーザを更に含むことができ、クラウドユーザは、自らのQSKDデバイスを有してもよく、又はシステム内のQSKDデバイスを借りてもよい。QSKDデバイスを有するクラウドユーザが認証済み秘密鍵を取得する必要がある場合、クラウドユーザは、自らのQSKDデバイスを通して登録要求をクラウド計算データセンタのQSKMデバイスに送信することができ、QSKMデバイスは、受信した要求に従って、QSKDデバイス又はクラウドユーザの対応する識別子情報を生成し配送する。次に、クラウドユーザは、そのデータ暗号化要求に従って、クラウドユーザのQSKDデバイスを通して、クラウド計算データセンタへの認証済み秘密鍵取得要求を開始することができる。要求は、上述した取得済み識別子情報を搬送することができる。クラウドユーザのQSKDデバイスは、所定数の認証済みサブ秘密鍵をクラウド計算データセンタのQSKDデバイスから受信し、閾値秘密共有メカニズムを使用することにより識別情報ベース認証済み秘密鍵を再構築することができる。クラウドユーザのQSKDデバイスは、識別情報ベース署名証明書を生成することもできる。
幾つかの実施形態では、クラウド計算データセンタのQSKDデバイスを借りるクラウドユーザが認証済み秘密鍵を取得する必要がある場合、クラウドユーザは、最初に登録要求をクラウド計算データセンタのQSKMデバイスに送信することができ、QSKMデバイスは、対応する識別子情報を生成し、クラウドユーザに配送する。次に、クラウドユーザは、そのデータ暗号化要求に従って、認証済み秘密鍵を取得する要求をクラウド計算データセンタに対して開始することができる。要求は、上述した取得済み識別子情報を搬送することができる。クラウドユーザが借りたQSKDデバイスは、クラウド計算データセンタから取得した所定数の認証済みサブ秘密鍵に従って、閾値秘密共有メカニズムを使用することによりクラウドユーザの識別子情報に基づいて認証済み秘密鍵を再構築し、対応する署名証明書を生成し、生成された認証済み秘密鍵及び署名証明書をローカルに記憶して、賃借人として機能するクラウドユーザがアクセスし使用できるようにする。
図6は、別の例示的な実施形態による量子鍵配送方法300を示す流れ図である。ステップの幾つかは任意選択的であり得る。方法300のステップは事前に実施され得、図5のステップ201に繋がり得る。
ステップ301において、QSKMデバイスはシステム秘密鍵を生成する。
幾つかの実施形態では、システム秘密鍵は、予め設定されてもよく、量子ノイズ源により生成される乱数、システムの識別子情報、及びタイムスタンプ情報に従ってこのステップを実行するQSKMデバイスにより生成されてもよい。例えば、QSKMデバイスは、以下の式を使用することによりシステム秘密鍵を生成することができる。

式中、Sは、量子ノイズ源により生成される乱数であり、BNIDは、システムの識別子情報であり、expire_timeは、タイムスタンプ情報であり、Sは、識別情報ベースシステム秘密鍵である。
ステップ302において、QSKMデバイスは、識別情報ベースシステム秘密鍵を複数のシステムサブ秘密鍵、すなわち、図5のステップ203における複数のシステムサブ秘密鍵に分割する。
QSKMデバイスは、閾値秘密共有メカニズムに従って、識別情報ベースシステム秘密鍵を複数のシステムサブ秘密鍵に分割する。例えば、分割は、ラグランジ補間に基づく閾値秘密共有メカニズムの秘密共有アルゴリズムを使用することにより実行される。
ステップ303において、QSKMデバイスは、複数のシステムサブ秘密鍵を、対応する数の第2のQSKDデバイスと共有する。
幾つかの実施形態では、システム秘密鍵が複数のシステムサブ秘密鍵に分割された後、QSKMデバイスは、量子鍵合意に従って、複数のシステムサブ秘密鍵を、対応する数の第2のQSKDデバイスとそれぞれ共有する。幾つかの実施形態では、量子鍵合意は、冗長送信合意であってもよく、又はオンデマンド再送信合意であってもよい。
幾つかの実施形態では、初期化段階において、上記基本処理を完了することに加えて、システム内の各デバイスは、以下の初期化動作を更に実行することができる:
QSKMデバイスにより、量子ノイズ源により生成される乱数、QSKMデバイスの識別子情報、及びタイムスタンプ情報を使用することにより、識別情報ベース秘密鍵及び対応する署名証明書を生成すること、
QSKMデバイスにより、第1のQSKDデバイス又はQSKSデバイスからの登録要求を受信し、登録要求を開始するデバイスの対応する識別子情報を生成及び配送すること、並びに
QSKMデバイスにより、量子鍵合意に従って、量子ノイズ源により生成される乱数及びタイムスタンプ情報を、登録要求を開始する第1のQSKDデバイス又はQSKSデバイスと共有し、登録要求を開始する第1のQSKDデバイス又はQSKSデバイスにより、取得された識別子情報、乱数、及びタイムスタンプ情報に従って識別情報ベース秘密鍵を生成すること。幾つかの実施形態では、初期化段階での上述したプロセスは、幾つかの他の又は全てのQSKDデバイス及びQSKSデバイスに適用することができる。
幾つかの実施形態では、上述した初期化プロセスは、1回のみ実行してもよく、又はセキュリティのために定期的に実行してもよい。初期化動作が完了した後、識別情報ベース認証済み秘密鍵を取得する必要がある要求者(例えば、第1のQSKDデバイス)は、上述した方法を用いて認証済み秘密鍵を取得することができる。このステップにおいて、QSKSデバイスは、認証済み秘密鍵を取得する要求を受信し、要求は、少なくとも要求者の識別子情報を搬送する。例えば、要求が第1のQSKDデバイスにより送信される場合、要求は第1のQSKDデバイスのIDを搬送する。
図7は、例示的な実施形態による量子鍵配送装置400を示すブロック図である。この例の量子鍵配送装置は、秘密鍵取得要求受信ユニット401、秘密鍵取得要求転送ユニット402、1つ又は複数の認証済みサブ秘密鍵共有ユニット403、及び認証済み秘密鍵再構築ユニット404を含む。
秘密鍵取得要求受信ユニット401は、認証済み秘密鍵を取得する要求を受信するように構成され得る。要求は、少なくとも要求者の識別子情報を搬送し得る。秘密鍵取得要求転送ユニット402は、要求を所定数の量子セキュリティ鍵配送デバイスに転送するように構成され得る。認証済みサブ秘密鍵共有ユニット403は、予め取得されるシステムサブ秘密鍵に従って、要求者の識別子情報に基づいて認証済みサブ秘密鍵を生成し、量子鍵合意に従って、認証済みサブ秘密鍵を要求者の量子セキュリティ鍵配送デバイスと共有するように構成され得る。システムサブ秘密鍵は、閾値秘密共有メカニズムを使用することにより、システム秘密鍵を分割することを通して取得され得る。認証済み秘密鍵再構築ユニット404は、取得された所定数の認証済みサブ秘密鍵に従って、閾値秘密共有メカニズムを使用することにより識別情報ベース認証済み秘密鍵を再構築するように構成され得る。
秘密鍵取得要求受信ユニット401及び秘密鍵取得要求転送ユニット402は、QSKSデバイスに属し得る。1つ又は複数の認証済みサブ秘密鍵共有ユニット403は、1つ又は複数のQSKDデバイスに属し得る。認証済み秘密鍵再構築ユニット404は、認証済み秘密鍵要求者のQSKDデバイスに属し得る。
幾つかの実施形態では、装置400は、閾値秘密共有メカニズムに従って識別情報ベースシステム秘密鍵を複数のシステムサブ秘密鍵に分割するように構成されるシステムサブ秘密鍵分割ユニットを含むこともできる。装置400は、量子鍵合意に従って、複数のシステムサブ秘密鍵を対応する数のQSKDデバイスと共有するように構成されるシステムサブ秘密鍵共有ユニットを含むこともできる。システムサブ秘密鍵分割ユニット及びシステムサブ秘密鍵共有ユニットは、QSKMデバイスに属し得る。
幾つかの実施形態では、認証済みサブ秘密鍵共有ユニット及びシステムサブ秘密鍵共有ユニットにより採用される量子鍵合意は、冗長送信又はオンデマンド再送信の量子鍵合意であり得る。
幾つかの実施形態では、システムサブ秘密鍵分割ユニットは、システム秘密鍵生成サブユニットを更に含み得、このサブユニットは、量子ノイズ源により生成される乱数、システムの識別子情報、及びタイムスタンプ情報に従ってシステム秘密鍵を生成するように構成される。
幾つかの実施形態では、システム秘密鍵生成サブユニットは、以下の式を使用することにより、システム秘密鍵を生成するように更に構成される。

式中、Sは、量子ノイズ源により生成される乱数であり、BNIDは、システムの識別子情報であり、expire_timeは、タイムスタンプ情報であり、Sは、識別情報ベースシステム秘密鍵である。
幾つかの実施形態では、装置400は秘密鍵管理ユニットを更に含むことができ、秘密鍵管理ユニットは、秘密鍵要求受信ユニットが要求を受信する前に、量子ノイズ源により生成される乱数、識別子情報、及びタイムスタンプ情報を使用することにより識別情報ベース秘密鍵及び対応する署名証明書を生成する。
幾つかの実施形態では、装置400は、以下のユニットを更に含み得、これらのユニットはQSKMデバイスに含めることができる:
秘密鍵取得要求受信ユニット401がトリガーされる前に、登録要求をQSKDデバイス又はQSKSデバイスから受信するように構成される、登録要求受信ユニット、
登録要求を開始するデバイスの対応する識別子情報を生成及び配送するように構成される、識別情報配送ユニット、及び
量子鍵合意に従って、量子ノイズ源により生成される乱数及びタイムスタンプ情報を、登録要求を開始するデバイスと共有するように構成される、識別共有ユニット。
幾つかの実施形態では、例示的なQSKDデバイスは、要求を開始することができ(すなわち、要求者であり得)、そして、取得した識別子情報、乱数、及びタイムスタンプ情報に従って識別情報ベース秘密鍵を生成するように構成される要求者秘密鍵生成ユニットを含み得る。
幾つかの実施形態では、装置400は、認証済みサブ秘密鍵共有ユニットがトリガーされる前に、QSKMデバイスを通して要求者の識別情報の正当性を検証し、要求者が識別情報検証に合格しない場合、装置の動作を終了させるように構成される識別情報検証ユニットを更に含み得る。
幾つかの実施形態では、認証済みサブ秘密鍵共有ユニットは、要求者の識別子情報、予め取得されるシステムサブ秘密鍵、及びタイムスタンプ情報に従って、要求者の識別情報に基づいて認証済みサブ秘密鍵を生成するように更に構成され得る。
幾つかの実施形態では、認証済みサブ秘密鍵共有ユニットは、以下の式を使用することにより、要求者の識別情報に基づいて認証済みサブ秘密鍵を生成するように更に構成され得る。

式中、

は、システムサブ秘密鍵であり、UIDは、要求者の識別子情報であり、expire_timeは、タイムスタンプであり、Surは、要求者の識別情報ベース認証済みサブ秘密鍵である。
幾つかの実施形態では、システムサブ秘密鍵分割ユニットは、ラグランジ補間に基づく閾値秘密共有メカニズムの秘密共有アルゴリズムを使用することにより、システム秘密鍵に基づいて得られたシステムサブ秘密鍵を分割するように更に構成され得、それに対応して、認証済み秘密鍵再構築ユニットは、ラグランジ補間に基づく閾値秘密共有メカニズムの再構築アルゴリズムを使用することにより、識別情報ベース認証済み秘密鍵を再構築するように更に構成され得る。
幾つかの実施形態では、装置400は署名証明書生成ユニットを更に含み得、このユニットは、認証済み秘密鍵再構築ユニットが識別情報ベース認証済み秘密鍵を再構築した後、再構築された識別情報ベース認証済み秘密鍵に従って識別情報ベース署名証明書を生成するように構成される。
当業者に理解されるように、本開示の実施形態は、方法、システム、又はコンピュータプログラム製品として実施され得る。したがって、本開示の実施形態は、全体的にハードウェアの実施形態、全体的にソフトウェアの実施形態、又はソフトウェアとハードウェアとを組み合わせた実施形態の形態をとり得る。更に、本開示の実施形態は、コンピュータ利用可能プログラムコードを含む1つ又は複数のコンピュータ利用可能記憶媒体(磁気ディスクメモリ、CD−ROM、光学メモリ等を含むが、これらに限定されない)で具現されるコンピュータプログラム製品の形態をとり得る。
本開示の実施形態について本開示の実施形態による方法、デバイス(システム)、及びコンピュータプログラム製品の流れ図及び/又はブロック図を参照して説明する。流れ図及び/又はブロック図の各フロー及び/又はブロック並びに流れ図及び/又はブロック図内のフロー及び/又はブロックの組合せが、コンピュータプログラム命令により実施可能であることが理解される。これらのコンピュータプログラム命令は、汎用コンピュータ、専用コンピュータ、組み込みプロセッサ、又は他のプログラマブルデータ処理デバイスのプロセッサに提供されて、マシンを生成し得、それにより、命令は、コンピュータのプロセッサ又は他のプログラマブルデータ処理デバイスを介して実行され、流れ図内の1つ又は複数のフロー及び/又はブロック図内の1つ又は複数のブロックにおいて指定される機能を実施する手段を生み出す。
これらのコンピュータプログラム命令はコンピュータ可読メモリに記憶することもでき、コンピュータ可読メモリは、コンピュータ又は他のプログラマブルデータ処理デバイスに対し、コンピュータ可読メモリに記憶された命令が、流れ図内の1つ又は複数のフロー及び/又はブロック図内の1つ又は複数のブロックにおいて指定される機能を実施する命令手段を含む製品を生成するような特定の様式で機能するように指示することができる。
これらのコンピュータプログラム命令は、コンピュータ又は他のプログラマブルデータ処理デバイスにロードして、一連の動作ステップをコンピュータ又は他のプログラマブルデバイスで実行させて、コンピュータ又は他のプログラマブルデバイスで実行された命令が、流れ図内の1つ又は複数のフロー及び/又はブロック図内の1つ又は複数のブロックにおいて指定される機能を実施するステップを提供するような、コンピュータにより実施される処理を生成することもできる。
典型的な構成では、コンピュータデバイスは、1つ又は複数の中央演算処理装置(CPU)、入力/出力インタフェース、ネットワークインタフェース、及びメモリを含む。メモリは、揮発性メモリ、ランダムアクセスメモリ(RAM)及び/又は読み取り専用メモリ(ROM)又はコンピュータ可読媒体内のフラッシュRAM等の不揮発性メモリ等の形態を含み得る。メモリは、コンピュータ可読媒体の例である。
コンピュータ可読記憶媒体とは、プロセッサにより可読の情報又はデータを記憶し得る任意のタイプの物理的メモリを指す。したがって、コンピュータ可読記憶媒体は、プロセッサに本明細書に記載される実施形態によるステップ又は段階を実行させる命令を含め、1つ又は複数のプロセッサにより実行される命令を記憶し得る。コンピュータ可読媒体は、不揮発性媒体、揮発性媒体、リムーバブル媒体、及び非リムーバブル媒体を含み、情報記憶は任意の方法又は技術を用いて実施することができる。情報は、コンピュータ可読命令のモジュール、データ構造、及びプログラム、又は他のデータであり得る。コンピュータ記憶媒体の例としては、限定ではなく、相変化ランダムアクセスメモリ(PRAM)、スタティックランダムアクセスメモリ(SRAM)、ダイナミックランダムアクセスメモリ(DRAM)、他のタイプのランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、電気的消去可能プログラマブル読み取り専用メモリ(EEPROM)、フラッシュメモリ又は他のメモリ技術、コンパクトディスク読み取り専用メモリ(CD−ROM)、デジタル多用途ディスク(DVD)又は他の光学記憶装置、カセットテープ、テープ若しくはディスク記憶装置、他の磁気記憶デバイス、又はコンピュータデバイスによりアクセス可能な情報を記憶するのに使用され得る任意の他の非伝送媒体が挙げられる。コンピュータ可読媒体は非一時的であり、変調データ信号及び搬送波等の一時的媒体を含まない。
「含む」、「含んでいる」という用語又は任意の他の変形が非排他的包含をカバーして、一連の要素を含むプロセス、方法、商品、又はデバイスに、それらの要素を包含させるのみならず、特に列挙されていない他の要素も包含させるか、又はこのプロセス、方法、商品、若しくはデバイスに固有の要素も包含させることが意図されることに更に留意する。したがって、「〜を含む」という文章により定義される要素は、それ以上の限定がないという条件下で、前記要素を含むプロセス、方法、商品、又はデバイスでの他の同じ要素の存在を除外しない。
実施形態がソフトウェアにより実施される場合、ソフトウェアは、上述したコンピュータ可読媒体に記憶され得る。ソフトウェアは、プロセッサにより実行されると、開示される方法を実行することができる。計算ユニット及び本開示に記載される他の機能ユニットは、ハードウェア、ソフトウェア、又はハードウェアとソフトウェアとの組合せにより実施することができる。上述したモジュール/ユニットのうちの複数が、1つのモジュール/ユニットとして結合してもよく、上述したモジュール/ユニットのそれぞれが、複数のサブモジュール/サブユニットに更に分割され得ることも当業者は理解するであろう。
本明細書は、量子鍵配送の方法、装置、及びシステムを記載した。示されるステップは、示される例示的な実施形態を説明するために記載され、進行中の技術的発展が、特定の機能が実行される様式を変えるであろうことが予期されるはずである。したがって、これらの例は、本明細書では、限定ではなく例示を目的とする。例えば、本明細書において開示されるステップ又はプロセスは、開示される実施形態と一貫して、記載の順序での実行に限定されず、任意の順序で実行され得、幾つかのステップは省略され得る。更に、機能構築ブロックの境界は、本明細書では、説明の便宜上、任意に定義された。指定された機能及びその関係が適宜実行される限り、代替の境界を定義することができる。本明細書に含まれる教示に基づいて、代替形態(本明細書に記載されるものの均等物、拡張形態、変形形態、逸脱等を含む)が関連する技術分野の当業者に明白になるであろう。そのような代替形態は、開示される実施形態の範囲及び趣旨内に入る。
開示される原理の例及び特性が本明細書に記載されるが、開示される実施形態の趣旨及び範囲から逸脱せずに、変更形態、適合形態、及び他の実装形態が可能である。また、「含んでいる」、「有している」、「含有している」、「包含している」という用語及び他の同様の形態は、意味において均等であることが意図され、これらの用語のいずれか1つに続く1つ又は複数の項目が、そのような1つ又は複数の項目の排他的リストであることを意味せず、又は列挙された1つ又は複数の項目のみに限定されることも意味しないという点でオープンエンドであることが意図される。本明細書及び添付の特許請求の範囲で使用される場合、単数形「1つの(a)」、「1つの(an)」、及び「その(the)」は、文脈により明らかに別段のことが示される場合を除き、複数形を含むことにも留意しなければならない。
本発明が上述され、添付図面に示された厳密な構造に限定されず、本発明の範囲から逸脱することなく様々な変更形態及び変形形態がなされ得ることが理解されるであろう。本発明の範囲が添付の特許請求の範囲によってのみ限定されるべきであることが意図される。

Claims (41)

  1. 量子セキュリティ鍵管理デバイスと、
    前記量子セキュリティ鍵管理デバイスと接続される複数の量子セキュリティ鍵配送デバイスと、
    前記量子セキュリティ鍵管理デバイス及び前記複数の量子セキュリティ鍵配送デバイスと接続される量子セキュリティ鍵サービスデバイスと
    を含み、
    前記量子セキュリティ鍵管理デバイスは、識別情報ベースシステム秘密鍵を複数のシステムサブ秘密鍵に分割し、前記複数のシステムサブ秘密鍵を、対応する数の前記量子セキュリティ鍵配送デバイスに配送し、
    前記量子セキュリティ鍵サービスデバイスは、前記複数の量子セキュリティ鍵配送デバイスのうちの第1の量子セキュリティ鍵配送デバイスから認証済み秘密鍵を取得する要求を、量子セキュリティ鍵配送デバイスのうちの所定数の第2の量子セキュリティ鍵配送デバイスに転送し、
    前記所定数の第2の量子セキュリティ鍵配送デバイスは、それぞれ前記システムサブ秘密鍵から識別情報ベース認証済みサブ秘密鍵を生成し、
    前記第1の量子セキュリティ鍵配送デバイスは、前記所定数の第2の量子セキュリティ鍵配送デバイスから、前記識別情報ベース認証済みサブ秘密鍵を取得し、前記識別情報ベース認証済みサブ秘密鍵に基づいて、識別情報ベース認証済み秘密鍵を再構築する、量子鍵配送システム。
  2. 前記複数の量子セキュリティ鍵配送デバイスのうちの少なくとも1つは、前記量子セキュリティ鍵サービスデバイスを含む、請求項1に記載の量子鍵配送システム。
  3. 前記量子セキュリティ鍵管理デバイスは、閾値秘密共有メカニズムを使用することにより、前記識別情報ベースシステム秘密鍵を分割するように更に構成され、前記第1の量子セキュリティ鍵配送デバイスは、前記閾値秘密共有メカニズムを使用することにより識別情報ベース認証済み秘密鍵を再構築するように更に構成される、請求項1に記載の量子鍵配送システム。
  4. 前記第1の量子セキュリティ鍵配送デバイスは、前記再構築された識別情報ベース認証済み秘密鍵に従って識別情報ベース署名証明書を生成するように更に構成される、請求項1に記載の量子鍵配送システム。
  5. 前記量子セキュリティ鍵管理デバイスは、前記量子鍵配送システムの識別子情報、量子ノイズ源により生成される乱数、及びタイムスタンプ情報に基づいて、前記識別情報ベースシステム秘密鍵を生成するように更に構成される、請求項1に記載の量子鍵配送システム。
  6. 前記量子セキュリティ鍵管理デバイスは、式:

    に基づいて、前記識別情報ベースシステム秘密鍵を生成するように更に構成され、
    式中、Sは、前記量子ノイズ源により生成される前記乱数であり、BNIDは、前記システムの前記識別子情報であり、expire_timeは、前記タイムスタンプ情報であり、Sは、前記識別情報ベースシステム秘密鍵である、請求項5に記載の量子鍵配送システム。
  7. 前記量子セキュリティ鍵管理デバイスは、量子ノイズ源により生成される乱数、前記量子セキュリティ鍵管理デバイスの識別子情報、及びタイムスタンプ情報に基づいて、前記識別情報ベースシステム秘密鍵を生成するように更に構成される、請求項1に記載の量子鍵配送システム。
  8. 前記第2の量子セキュリティ鍵配送デバイスのそれぞれは、前記第1の量子セキュリティ鍵配送デバイスの識別子情報、タイムスタンプ情報、及び前記システムサブ秘密鍵に基づいて、前記識別情報ベース認証済みサブ秘密鍵を生成するように更に構成される、請求項1に記載の量子鍵配送システム。
  9. 前記第2の量子セキュリティ鍵配送デバイスのそれぞれは、式:

    により前記識別情報ベース認証済みサブ秘密鍵を生成するように更に構成され、
    式中、

    は、前記システムサブ秘密鍵であり、UIDは、前記第1の量子セキュリティ鍵配送デバイスの前記識別子情報であり、expire_timeは、前記タイムスタンプ情報であり、Surは、識別情報ベース認証済みサブ秘密鍵である、請求項8に記載の量子鍵配送システム。
  10. 前記量子セキュリティ鍵管理デバイスは、量子セキュリティ鍵配送デバイス又は量子セキュリティ鍵サービスデバイスから受信される登録要求に従って、前記量子セキュリティ配送デバイス又は前記量子セキュリティ鍵サービスデバイスの識別子情報を生成するように更に構成され、及び
    前記量子セキュリティ鍵配送デバイス及び前記量子セキュリティ鍵サービスデバイスは、
    量子ノイズ源により生成される乱数及びタイムスタンプ情報を前記量子セキュリティ鍵管理デバイスから取得し、
    前記識別子情報、前記乱数、及び前記タイムスタンプ情報に従って識別情報ベース秘密鍵又は共有鍵を生成する
    ように更に構成される、請求項1に記載の量子鍵配送システム。
  11. 前記量子セキュリティ鍵管理デバイスは、ラグランジ補間に基づく閾値秘密共有メカニズムを使用して、前記識別情報ベースシステム秘密鍵を複数のシステムサブ秘密に分割するように更に構成され、及び
    前記第1の量子セキュリティ鍵配送デバイスは、ラグランジ補間に基づく前記閾値秘密共有メカニズムを使用して、前記識別情報ベース認証済みサブ秘密鍵に基づいて、識別情報ベース認証済み秘密鍵を再構築するように構成される、請求項1に記載の量子鍵配送システム。
  12. 前記量子セキュリティ鍵管理デバイスは、量子鍵合意に従って、前記複数のシステムサブ秘密鍵を、対応する数の前記量子セキュリティ鍵配送デバイスに配送するように更に構成され、
    前記第1の量子セキュリティ鍵配送デバイスは、前記所定数の第2の量子セキュリティ鍵配送デバイスから、前記量子鍵合意に従って前記識別情報ベース認証済みサブ秘密鍵を取得するように構成され、
    前記量子鍵合意は、冗長送信量子鍵合意又はオンデマンド再送信量子鍵合意である、請求項1に記載の量子鍵配送システム。
  13. 量子セキュリティ鍵サービスデバイスにより、要求者の第1の量子セキュリティ鍵配送デバイスからの認証済み秘密鍵を取得する要求を受信することであって、前記要求は、少なくとも前記要求者の識別子情報を搬送する、受信することと、
    前記量子セキュリティ鍵サービスデバイスにより、前記要求を所定数の第2の量子セキュリティ鍵配送デバイスに転送することと、
    前記要求者の前記第1の量子セキュリティ鍵配送デバイスにより、前記要求者の前記識別子情報及び複数のシステムサブ秘密鍵に基づいて前記所定数の第2の量子セキュリティ鍵配送デバイスにより生成される複数の認証済みサブ秘密鍵を受信することと、
    前記要求者の前記第1の量子セキュリティ鍵配送デバイスにより、前記認証済みサブ秘密鍵に基づいて、識別情報ベース認証済み秘密鍵を再構築することと
    を含む量子鍵配送方法。
  14. 前記要求者の前記第1の量子セキュリティ鍵配送デバイスにより、前記認証済みサブ秘密鍵に基づいて、前記識別情報ベース認証済み秘密鍵を再構築することは、前記要求者の前記第1の量子セキュリティ鍵配送デバイスにより、閾値秘密共有メカニズムを使用することにより前記識別情報ベース認証済み秘密鍵を再構築することを含む、請求項13に記載の量子鍵配送方法。
  15. 前記量子セキュリティ鍵サービスデバイスにより前記要求を受信する前に、
    量子セキュリティ鍵管理デバイスにより、前記閾値秘密共有メカニズムを使用することにより識別情報ベースシステム秘密鍵を前記複数のシステムサブ秘密鍵に分割することと、
    前記量子セキュリティ鍵管理デバイスにより、前記複数のシステムサブ秘密鍵を、対応する数の量子セキュリティ鍵配送デバイスと共有することと
    を更に含む、請求項13に記載の量子鍵配送方法。
  16. 前記複数のシステムサブ秘密鍵を前記対応する数の第2の量子セキュリティ鍵配送デバイスと共有することは、量子鍵合意に従って、前記複数のシステムサブ秘密鍵を前記対応する数の量子セキュリティ鍵配送デバイスと共有することを含み、
    前記量子鍵合意は、冗長送信量子鍵合意又はオンデマンド再送信量子鍵合意である、請求項15に記載の量子鍵配送方法。
  17. 前記識別情報ベースシステム秘密鍵は、量子ノイズ源により生成される乱数、量子鍵配送システムの識別子情報、及びタイムスタンプ情報に基づいて生成される、請求項16に記載の量子鍵配送方法。
  18. 前記量子セキュリティ鍵管理デバイスは、式:

    により前記識別情報ベースシステム秘密鍵を生成し、
    式中、Srは、前記量子ノイズ源により生成される前記乱数であり、BNIDは、前記量子鍵配送システムの前記識別子情報であり、expire_timeは、前記タイムスタンプ情報であり、Sは、前記識別情報ベースシステム秘密鍵である、請求項17に記載の量子鍵配送方法。
  19. 前記量子セキュリティ鍵サービスデバイスにより前記要求を受信する前に、
    量子セキュリティ鍵管理デバイスにより、量子ノイズ源により生成される乱数、量子鍵配送システムの識別子情報、及びタイムスタンプ情報を使用することにより識別情報ベースシステム秘密鍵を生成することと、
    前記量子セキュリティ鍵管理デバイスにより、閾値秘密共有メカニズムを使用することにより前記識別情報ベースシステム秘密鍵を前記複数のシステムサブ秘密鍵に分割することと、
    前記量子セキュリティ鍵管理デバイスにより、前記複数のシステムサブ秘密鍵を、対応する数の量子セキュリティ鍵配送デバイスと共有することと
    を更に含む、請求項13に記載の量子鍵配送方法。
  20. 量子セキュリティ鍵管理デバイスにより、量子セキュリティ鍵配送デバイス又は前記量子セキュリティ鍵サービスデバイスから登録要求を受信することと、
    前記量子セキュリティ鍵管理デバイスにより、前記登録要求を開始する前記デバイスの識別子情報を生成することと、
    前記量子セキュリティ鍵管理デバイスにより、量子ノイズ源により生成される乱数及びタイムスタンプ情報を、前記登録要求を開始する前記デバイスと共有することと、
    前記登録要求を開始する前記デバイスにより、前記識別子情報、前記乱数、及び前記タイムスタンプ情報に従って識別情報ベース秘密鍵を生成することと
    を更に含む、請求項13に記載の量子鍵配送方法。
  21. 量子セキュリティ鍵管理デバイスにより、前記要求の前記識別子情報の正当性を検証することを更に含む、請求項13に記載の量子鍵配送方法。
  22. 前記複数の認証済みサブ秘密鍵は、タイムスタンプ情報に更に基づいて生成される、請求項13に記載の量子鍵配送方法。
  23. 前記認証済みサブ秘密鍵は、式:

    を通して生成され、
    式中、

    は、システムサブ秘密鍵であり、UIDは、前記要求者の前記識別子情報であり、expire_timeは、前記タイムスタンプ情報であり、Surは、認証済みサブ秘密鍵である、請求項22に記載の量子鍵配送方法。
  24. 前記複数のシステムサブ秘密鍵は、ラグランジ補間に基づく閾値秘密共有メカニズムを使用してシステム秘密鍵を分割することにより取得され、
    前記要求者の前記第1の量子セキュリティ鍵配送デバイスにより、前記認証済みサブ秘密鍵に基づいて、前記識別情報ベース認証済み秘密鍵を再構築することは、前記要求者の前記第1の量子セキュリティ鍵配送デバイスにより、ラグランジ補間に基づく前記閾値秘密共有メカニズムを使用することにより、前記認証済みサブ秘密鍵に基づいて、識別情報ベース認証済み秘密鍵を再構築することを含む、請求項13に記載の量子鍵配送方法。
  25. 前記再構築された識別情報ベース認証済み秘密鍵に従って識別情報ベース署名証明書を生成することを更に含む、請求項13に記載の量子鍵配送方法。
  26. 前記認証済み秘密鍵を取得する要求は、データセンタサーバと接続される量子セキュリティ鍵配送デバイスにより開始される、請求項13に記載の量子鍵配送方法。
  27. 前記認証済み秘密鍵を取得する要求は、クラウドユーザの量子セキュリティ鍵配送デバイスにより開始され、前記要求は、前記量子セキュリティ鍵配送デバイスの識別子情報又は前記クラウドユーザの識別子情報を搬送する、請求項13に記載の量子鍵配送方法。
  28. 量子セキュリティ鍵管理デバイスにより、システム秘密鍵を複数のシステムサブ秘密鍵に分割することと、
    前記量子セキュリティ鍵管理デバイスにより、前記複数のシステムサブ秘密鍵を、対応する数の量子セキュリティ鍵配送デバイスに配送することと、
    量子セキュリティ鍵サービスデバイスにより、要求者の第1の量子セキュリティ鍵配送デバイスから、認証済み秘密鍵を取得する要求を受信することであって、前記要求は、少なくとも前記要求者の識別子情報を搬送する、受信することと、
    前記量子セキュリティ鍵サービスデバイスにより、前記要求を前記対応する数の量子セキュリティ鍵配送デバイスのうちの所定数の第2の量子セキュリティ鍵配送デバイスに転送することと、
    前記第1の量子セキュリティ鍵配送デバイスにより、前記要求者の前記識別子情報及び複数のシステムサブ秘密鍵に基づいて前記所定数の第2の量子セキュリティ鍵配送デバイスにより生成される複数の認証済みサブ秘密鍵を受信することと、
    前記要求者の前記第1の量子セキュリティ鍵配送デバイスにより、前記認証済みサブ秘密鍵に基づいて、識別情報ベース認証済み秘密鍵を再構築することと
    を含む量子鍵配送方法。
  29. 前記量子セキュリティ鍵管理デバイスにより、量子ノイズ源により生成される乱数、量子鍵配送システムの識別子情報、及びタイムスタンプ情報を使用することにより前記システム秘密鍵を生成することを更に含む、請求項28に記載の量子鍵配送方法。
  30. 前記量子セキュリティ鍵管理デバイスにより、前記システム秘密鍵を前記複数のシステムサブ秘密鍵に分割することは、量子セキュリティ鍵管理デバイスにより、ラグランジ補間に基づく閾値秘密共有メカニズムを使用することによりシステム秘密鍵を複数のシステムサブ秘密鍵に分割することを含む、請求項28に記載の量子鍵配送方法。
  31. 前記要求者の前記第1の量子セキュリティ鍵配送デバイスにより、前記認証済みサブ秘密鍵に基づいて、前記識別情報ベース認証済み秘密鍵を再構築することは、前記要求者の前記第1の量子セキュリティ鍵配送デバイスにより、ラグランジ補間に基づく閾値秘密共有メカニズムを使用することにより、前記認証済みサブ秘密鍵に基づいて、識別情報ベース認証済み秘密鍵を再構築することを含む、請求項28に記載の量子鍵配送方法。
  32. 要求者の第1の量子セキュリティ鍵配送デバイスから、認証済み秘密鍵を取得する要求を受信する秘密鍵要求受信ユニットであって、前記要求は、少なくとも前記要求者の識別子情報を搬送する、秘密鍵要求受信ユニットと、
    前記要求を所定数の第2の量子セキュリティ鍵配送デバイスに転送する秘密鍵要求転送ユニットと、
    前記要求者の識別情報及び複数のシステムサブ秘密鍵に基づいて複数の認証済みサブ秘密鍵を生成し、前記認証済みサブ秘密鍵を前記要求者の前記第1の量子セキュリティ鍵配送デバイスと共有する認証済みサブ秘密鍵共有ユニットと、
    前記認証済みサブ秘密鍵に基づいて、識別情報ベース認証済み秘密鍵を再構築する認証済み秘密鍵再構築ユニットと
    を含む量子鍵配送装置。
  33. 前記秘密鍵要求受信ユニットが前記要求を受信する前に、閾値鍵共有メカニズムを使用することにより、識別情報ベースシステム秘密鍵を前記複数のシステムサブ秘密鍵に分割するシステムサブ秘密鍵分割ユニットと、
    前記複数のシステムサブ秘密鍵を、対応する数の第2のサブ量子セキュリティ鍵配送デバイスと共有するシステムサブ秘密鍵共有ユニットと
    を更に含む、請求項32に記載の量子鍵配送装置。
  34. 前記認証済みサブ秘密鍵共有ユニットは、冗長送信量子鍵合意又はオンデマンド再送信量子鍵合意に従って、前記認証済みサブ秘密鍵を前記要求者の前記第1の量子セキュリティ鍵配送デバイスと共有する、請求項33に記載の量子鍵配送装置。
  35. 前記システムサブ秘密鍵分割ユニットは、量子ノイズ源により生成される乱数、システムの識別子情報、及びタイムスタンプ情報に基づいて前記システム秘密鍵を生成するシステム秘密鍵生成ユニットを含む、請求項33に記載の量子鍵配送装置。
  36. 前記システム秘密鍵生成ユニットは、以下の式:

    を通して前記システム秘密鍵を生成し、
    式中、Srは、前記量子ノイズ源により生成される前記乱数であり、BNIDは、量子鍵配送システムの前記識別子情報であり、expire_timeは、前記タイムスタンプ情報であり、Sは、前記識別情報ベースシステム秘密鍵である、請求項35に記載の量子鍵配送装置。
  37. 前記システムサブ秘密鍵分割ユニットは、ラグランジ補間に基づく閾値秘密共有メカニズムの秘密共有アルゴリズムを使用することにより前記システム秘密鍵を分割して、前記複数のシステムサブ秘密鍵を取得し、
    前記認証済み秘密鍵再構築ユニットは、ラグランジ補間に基づく前記閾値秘密共有メカニズムの再構築アルゴリズムを使用することにより、前記識別情報ベース認証済み秘密鍵を再構築する、請求項33に記載の量子鍵配送装置。
  38. 前記認証済みサブ秘密鍵共有ユニットは、前記要求者の識別子情報、前記複数のシステムサブ秘密鍵、及びタイムスタンプ情報に従って、前記要求者の識別情報に基づいて前記認証済みサブ秘密鍵を生成する、請求項32に記載の量子鍵配送装置。
  39. 前記認証済みサブ秘密鍵生成ユニットは、以下の式:

    を通して前記要求者の識別情報に基づいて前記認証済みサブ秘密鍵を生成し、
    式中、

    は、前記システムサブ秘密鍵であり、UIDは、前記要求者の前記識別子情報であり、expire_timeは、前記タイムスタンプ情報であり、Surは、前記要求者の識別情報に基づく前記認証済みサブ秘密鍵である、請求項38に記載の量子鍵配送装置。
  40. 1つ又は複数のプログラムを記憶する非一時的コンピュータ可読媒体であって、前記1つ又は複数のプログラムは命令を含み、前記命令は、量子セキュリティ鍵サービスデバイス及び第1の量子セキュリティ鍵配送デバイスを含むコンピュータシステムにより実行されると、前記コンピュータシステムに、
    前記量子セキュリティ鍵サービスデバイスにより、要求者の前記第1の量子セキュリティ鍵配送デバイスから、認証済み秘密鍵を取得する要求を受信することであって、前記要求は、少なくとも前記要求者の識別子情報を搬送する、受信することと、
    前記量子セキュリティ鍵サービスデバイスにより、前記要求を所定数の第2の量子セキュリティ鍵配送デバイスに転送することと、
    前記要求者の前記第1の量子セキュリティ鍵配送デバイスにより、前記要求者の前記識別子情報及び複数のシステムサブ秘密鍵に基づいて前記所定数の第2の量子セキュリティ鍵配送デバイスにより生成される複数の認証済みサブ秘密鍵を受信することと、
    前記要求者の前記第1の量子セキュリティ鍵配送デバイスにより、前記認証済みサブ秘密鍵に基づいて、識別情報ベース認証済み秘密鍵を再構築することと
    を含む方法を実行させる、非一時的コンピュータ可読媒体。
  41. 1つ又は複数のプログラムを記憶する非一時的コンピュータ可読媒体であって、前記1つ又は複数のプログラムは命令を含み、前記命令は、量子セキュリティ鍵管理デバイス、量子セキュリティ鍵サービスデバイス、及び第1の量子セキュリティ鍵配送デバイスを含むコンピュータシステムにより実行されると、前記コンピュータシステムに、
    前記量子セキュリティ鍵管理デバイスにより、システム秘密鍵を複数のシステムサブ秘密鍵に分割することと、
    前記量子セキュリティ鍵管理デバイスにより、前記複数のシステムサブ秘密鍵を、対応する数の量子セキュリティ鍵配送デバイスに配送することと、
    前記量子セキュリティ鍵サービスデバイスにより、要求者の前記第1の量子セキュリティ鍵配送デバイスから、認証済み秘密鍵を取得する要求を受信することであって、前記要求は、少なくとも前記要求者の識別子情報を搬送する、受信することと、
    前記量子セキュリティ鍵サービスデバイスにより、前記要求を前記対応する数の量子セキュリティ鍵配送デバイスのうちの所定数の第2の量子セキュリティ鍵配送デバイスに転送することと、
    前記第1の量子セキュリティ鍵配送デバイスにより、前記要求者の前記識別子情報及び複数のシステムサブ秘密鍵に基づいて前記所定数の第2の量子セキュリティ鍵配送デバイスにより生成される複数の認証済みサブ秘密鍵を受信することと、
    前記要求者の前記第1の量子セキュリティ鍵配送デバイスにより、前記認証済みサブ秘密鍵に基づいて、識別情報ベース認証済み秘密鍵を再構築することと
    を含む方法を実行させる、非一時的コンピュータ可読媒体。
JP2020048755A 2015-01-22 2020-03-19 量子鍵配送のための方法、装置、及びシステム Active JP6968223B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201510033128.2A CN105871538B (zh) 2015-01-22 2015-01-22 量子密钥分发系统、量子密钥分发方法及装置
CN201510033128.2 2015-01-22
JP2017538359A JP6680791B2 (ja) 2015-01-22 2016-01-12 量子鍵配送のための方法、装置、及びシステム

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2017538359A Division JP6680791B2 (ja) 2015-01-22 2016-01-12 量子鍵配送のための方法、装置、及びシステム

Publications (2)

Publication Number Publication Date
JP2020127206A true JP2020127206A (ja) 2020-08-20
JP6968223B2 JP6968223B2 (ja) 2021-11-17

Family

ID=56417595

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2017538359A Active JP6680791B2 (ja) 2015-01-22 2016-01-12 量子鍵配送のための方法、装置、及びシステム
JP2020048755A Active JP6968223B2 (ja) 2015-01-22 2020-03-19 量子鍵配送のための方法、装置、及びシステム

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2017538359A Active JP6680791B2 (ja) 2015-01-22 2016-01-12 量子鍵配送のための方法、装置、及びシステム

Country Status (7)

Country Link
US (2) US10305873B2 (ja)
EP (1) EP3248310B1 (ja)
JP (2) JP6680791B2 (ja)
KR (1) KR20170107047A (ja)
CN (1) CN105871538B (ja)
TW (1) TW201628369A (ja)
WO (1) WO2016118359A1 (ja)

Families Citing this family (70)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106161402B (zh) * 2015-04-22 2019-07-16 阿里巴巴集团控股有限公司 基于云环境的加密机密钥注入系统、方法及装置
CN106470345B (zh) 2015-08-21 2020-02-14 阿里巴巴集团控股有限公司 视频加密传输方法和解密方法、装置及系统
CN107086908B (zh) 2016-02-15 2021-07-06 阿里巴巴集团控股有限公司 一种量子密钥分发方法及装置
CN107086907B (zh) 2016-02-15 2020-07-07 阿里巴巴集团控股有限公司 用于量子密钥分发过程的密钥同步、封装传递方法及装置
CN107347058B (zh) 2016-05-06 2021-07-23 阿里巴巴集团控股有限公司 数据加密方法、数据解密方法、装置及系统
CN107370546B (zh) 2016-05-11 2020-06-26 阿里巴巴集团控股有限公司 窃听检测方法、数据发送方法、装置及系统
CN107404461B (zh) 2016-05-19 2021-01-26 阿里巴巴集团控股有限公司 数据安全传输方法、客户端及服务端方法、装置及系统
US10476846B2 (en) * 2016-08-05 2019-11-12 The Boeing Company Data-at-rest (DAR) encryption for integrated storage media
CN106357396B (zh) * 2016-09-23 2019-11-12 浙江神州量子网络科技有限公司 数字签名方法和系统以及量子密钥卡
CN107959567B (zh) 2016-10-14 2021-07-27 阿里巴巴集团控股有限公司 数据存储方法、数据获取方法、装置及系统
CN107959656B (zh) * 2016-10-14 2021-08-31 阿里巴巴集团控股有限公司 数据安全保障系统及方法、装置
CN107959566A (zh) * 2016-10-14 2018-04-24 阿里巴巴集团控股有限公司 量子数据密钥协商系统及量子数据密钥协商方法
CN108023725B (zh) * 2016-11-04 2020-10-09 华为技术有限公司 一种基于集中管理与控制网络的量子密钥中继方法和装置
CN108123795B (zh) 2016-11-28 2020-01-10 广东国盾量子科技有限公司 量子密钥芯片的发行方法、应用方法、发行平台及系统
US10164778B2 (en) 2016-12-15 2018-12-25 Alibaba Group Holding Limited Method and system for distributing attestation key and certificate in trusted computing
CN108270557B (zh) * 2016-12-30 2021-02-19 科大国盾量子技术股份有限公司 一种基于量子通信的骨干网系统及其中继方法
CN106656512B (zh) * 2017-01-17 2019-07-09 武汉理工大学 支持门限密码的sm2数字签名生成方法及系统
CN106886920A (zh) * 2017-02-16 2017-06-23 湖北大学 基于安全位置证明的共享单车安全计费方法
US10454892B2 (en) 2017-02-21 2019-10-22 Bank Of America Corporation Determining security features for external quantum-level computing processing
US10447472B2 (en) * 2017-02-21 2019-10-15 Bank Of America Corporation Block computing for information silo
US10824737B1 (en) 2017-02-22 2020-11-03 Assa Abloy Ab Protecting data from brute force attack
CN107066893B (zh) * 2017-02-28 2018-11-09 腾讯科技(深圳)有限公司 区块链中账户信息的处理方法和装置
CN107086902A (zh) * 2017-03-22 2017-08-22 北京理工大学 一种基于动态门限密码支持三方审核与文件去重的云存储系统
CN108667608B (zh) 2017-03-28 2021-07-27 阿里巴巴集团控股有限公司 数据密钥的保护方法、装置和系统
CN108667773B (zh) 2017-03-30 2021-03-12 阿里巴巴集团控股有限公司 网络防护系统、方法、装置及服务器
CN108736981A (zh) 2017-04-19 2018-11-02 阿里巴巴集团控股有限公司 一种无线投屏方法、装置及系统
CN108133370B (zh) * 2017-06-23 2021-07-20 广东网金控股股份有限公司 一种基于量子密钥分配网络的安全支付方法及系统
CN107359994A (zh) * 2017-07-19 2017-11-17 国家电网公司 一种量子密码与经典密码相融合的一体化加密装置
CN113765657B (zh) 2017-08-28 2023-10-24 创新先进技术有限公司 一种密钥数据处理方法、装置及服务器
CN109561047B (zh) * 2017-09-26 2021-04-13 安徽问天量子科技股份有限公司 基于密钥异地存储的加密数据存储系统及方法
CN107979461B (zh) * 2017-10-27 2020-07-17 财付通支付科技有限公司 秘钥找回方法、装置、终端、秘钥托管服务器及可读介质
CN109842485B (zh) * 2017-11-26 2021-07-20 成都零光量子科技有限公司 一种有中心的量子密钥服务网络系统
CN108023732B (zh) * 2017-12-15 2020-02-14 北京深思数盾科技股份有限公司 一种数据保护方法、装置、设备和存储介质
CN110290094B (zh) 2018-03-19 2022-03-11 华为技术有限公司 一种数据访问权限的控制方法和装置
KR102172693B1 (ko) * 2018-06-04 2020-11-02 차보영 양자암호키 4차 행렬 해시함수 블럭체인 스마트 그리드 배전반 제어시스템 감시 cctv 방재 감시카메라
KR102172688B1 (ko) * 2018-06-04 2020-11-02 차보영 양자난수 및 의사난수를 결합한 다차원 행렬 해시함수 블럭체인 스마트 블럭 배전반 제어시스템
KR102153317B1 (ko) * 2018-06-20 2020-09-08 시옷랩주식회사 양자 난수열 기반의 암호 장치
CN109088725B (zh) * 2018-07-18 2021-04-09 北京理工大学 基于级联扰动计算成像的网络密钥分发方法、装置和系统
CN109218012B (zh) * 2018-09-11 2021-07-16 重庆邮电大学 一种具有集中器的分布式智能电表售电方法和系统
CN109299618B (zh) * 2018-09-20 2020-06-16 如般量子科技有限公司 基于量子密钥卡的抗量子计算云存储方法和系统
CN109450620B (zh) 2018-10-12 2020-11-10 创新先进技术有限公司 一种移动终端中共享安全应用的方法及移动终端
CN109614802B (zh) * 2018-10-31 2020-11-27 如般量子科技有限公司 抗量子计算的签章方法和签章系统
CN109543367B (zh) * 2018-11-14 2020-11-10 苏州科达科技股份有限公司 基于量子加密的软件授权方法、装置及存储介质
HK1254273A2 (zh) * 2018-12-03 2019-07-12 Foris Ltd 安全的分佈式密鑰管理系統
CN109672537B (zh) * 2019-01-18 2021-08-10 如般量子科技有限公司 基于公钥池的抗量子证书获取系统及获取方法
US11177946B2 (en) * 2019-06-21 2021-11-16 Verizon Patent And Licensing Inc. Quantum entropy distributed via software defined perimeter connections
CN110190961B (zh) * 2019-07-02 2021-10-15 洛阳师范学院 一种可验证的量子秘密分享方法
CN112367162A (zh) * 2019-09-01 2021-02-12 成都量安区块链科技有限公司 一种量子中继节点的应用方法与装置
CN112367163B (zh) * 2019-09-01 2023-09-26 成都量安区块链科技有限公司 一种量子网络虚拟化方法与装置
CN110830242A (zh) * 2019-10-16 2020-02-21 聚好看科技股份有限公司 一种密钥生成、管理方法和服务器
GB2602208B (en) * 2019-11-08 2022-12-14 Arqit Ltd Quantum-safe networking
CN110932870B (zh) * 2019-12-12 2023-03-31 南京如般量子科技有限公司 一种量子通信服务站密钥协商系统和方法
US11429519B2 (en) 2019-12-23 2022-08-30 Alibaba Group Holding Limited System and method for facilitating reduction of latency and mitigation of write amplification in a multi-tenancy storage drive
CN111815816B (zh) * 2020-06-22 2022-07-05 合肥智辉空间科技有限责任公司 一种电子锁安全系统及其密钥分发方法
US11233636B1 (en) * 2020-07-24 2022-01-25 Salesforce.Com, Inc. Authentication using key agreement
CN111708721B (zh) * 2020-08-24 2020-12-01 东华理工大学 一种基于电子信息的分布式数据保密处理系统及装置
CN114362928B (zh) * 2021-03-23 2023-11-24 长春大学 一种用于多节点间加密的量子密钥分发与重构方法
US11695552B2 (en) 2021-03-25 2023-07-04 International Business Machines Corporation Quantum key distribution in a multi-cloud environment
KR102345419B1 (ko) * 2021-07-27 2021-12-30 대아티아이 (주) 양자암호통신기술을 적용한 철도관제 내부 통신 시스템 및 그 운영 방법
CN113347009B (zh) * 2021-08-05 2022-01-07 成都飞机工业(集团)有限责任公司 基于椭圆曲线密码体制的无证书门限签密方法
KR102356152B1 (ko) * 2021-08-20 2022-02-08 국민대학교산학협력단 양자보안 통신장치 통합형 지능형 교통신호 제어 시스템 및 방법
KR102499530B1 (ko) * 2021-08-20 2023-02-14 국민대학교산학협력단 양자보안 통신장치 통합형 원방감시 제어 시스템 및 방법
KR102341801B1 (ko) * 2021-08-20 2021-12-21 국민대학교산학협력단 양자보안 통신장치 통합형 영상 감시 시스템 및 방법
US11895234B2 (en) * 2021-09-30 2024-02-06 Juniper Networks, Inc. Delayed quantum key-distribution
CN114244513B (zh) * 2021-12-31 2024-02-09 日晷科技(上海)有限公司 密钥协商方法、设备及存储介质
CN114095183B (zh) * 2022-01-23 2022-05-03 杭州字节信息技术有限公司 一种客户端双重认证方法、终端设备及存储介质
CN114531238B (zh) * 2022-04-24 2022-07-19 中电信量子科技有限公司 基于量子密钥分发的密钥安全充注方法及系统
CN115499125B (zh) * 2022-11-18 2023-03-24 北京安盟信息技术股份有限公司 云环境下多租户密钥安全分发的方法、系统、介质及设备
CN116996237B (zh) * 2023-09-29 2023-12-08 山东高速建设管理集团有限公司 一种基于量子门限签名的分布式管理方法及系统
CN117119449B (zh) * 2023-10-20 2024-01-19 长江量子(武汉)科技有限公司 车云安全通信方法及系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004032520A (ja) * 2002-06-27 2004-01-29 Nippon Telegr & Teleph Corp <Ntt> 量子情報分散生成方法、その装置およびプログラム
JP2007060161A (ja) * 2005-08-23 2007-03-08 Ntt Docomo Inc 暗号システム、端末装置及び暗号化方法
US20080144836A1 (en) * 2006-12-13 2008-06-19 Barry Sanders Distributed encryption authentication methods and systems
JP2008250931A (ja) * 2007-03-30 2008-10-16 Toshiba Corp 分散情報復元システム、情報利用装置、および、検証装置
JP2008306406A (ja) * 2007-06-06 2008-12-18 Toshiba Corp コンテンツ配信・閲覧システム、コンテンツ配信装置、コンテンツ閲覧装置及びプログラム
JP2013544479A (ja) * 2010-12-02 2013-12-12 キネテイツク・リミテツド 量子鍵配送
JP2014022920A (ja) * 2012-07-18 2014-02-03 Nec Corp 電子署名システム、電子署名方法および電子署名プログラム
US20140098955A1 (en) * 2009-12-15 2014-04-10 Los Alamos National Security, Llc Quantum enabled security for optical communications

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7246240B2 (en) 2001-04-26 2007-07-17 Massachusetts Institute Of Technology Quantum digital signatures
US20030112970A1 (en) * 2001-08-26 2003-06-19 Arindam Mitra How to generate unbreakable key through any communication channel
JP2005117511A (ja) 2003-10-10 2005-04-28 Nec Corp 量子暗号通信システム及びそれに用いる量子暗号鍵配布方法
US7181011B2 (en) * 2004-05-24 2007-02-20 Magiq Technologies, Inc. Key bank systems and methods for QKD
GB0512229D0 (en) 2005-06-16 2005-07-27 Hewlett Packard Development Co Quantum key distribution apparatus & method
US7889868B2 (en) 2005-09-30 2011-02-15 Verizon Business Global Llc Quantum key distribution system
US8082443B2 (en) 2006-01-09 2011-12-20 Bbnt Solutions Llc. Pedigrees for quantum cryptography
CN101427509A (zh) 2006-04-18 2009-05-06 Magiq技术公司 用于量子密码网络的密钥管理和用户认证
EP2016701A4 (en) 2006-04-25 2012-04-25 Stephen Laurence Boren DYNAMIC DISTRIBUTED KEY SYSTEM AND METHOD FOR MANAGING IDENTITY, AUTHENTICATION OF SERVERS, DATA SECURITY AND PREVENTING ATTACKS OF MIDDLE MAN
EP2051411B1 (en) 2006-08-04 2012-03-07 Mitsubishi Electric Corporation Quantum communication apparatus, quantum communication system and quantum communication method
GB0801408D0 (en) 2008-01-25 2008-03-05 Qinetiq Ltd Multi-community network with quantum key distribution
GB0801395D0 (en) 2008-01-25 2008-03-05 Qinetiq Ltd Network having quantum key distribution
GB0809038D0 (en) * 2008-05-19 2008-06-25 Qinetiq Ltd Quantum key device
US20100001029A1 (en) * 2008-07-02 2010-01-07 Tai Paul K Wheel-less cargo carrier with extendable beams
GB0819665D0 (en) 2008-10-27 2008-12-03 Qinetiq Ltd Quantum key dsitribution
CN101599826B (zh) * 2009-07-10 2011-08-24 陕西理工学院 可扩展多用户量子密钥分配网络系统及其密钥分配方法
CN201430596Y (zh) * 2009-07-10 2010-03-24 陕西理工学院 可扩展多用户量子密钥分配网络系统
GB0917060D0 (en) * 2009-09-29 2009-11-11 Qinetiq Ltd Methods and apparatus for use in quantum key distribution
TW201201556A (en) 2010-06-29 2012-01-01 Chunghwa Telecom Co Ltd Construction structure of quantum encryption service network
EP2518932A3 (en) 2010-10-05 2015-11-18 Brandenburgische Technische Universität Cottbus-Senftenberg A method of password-based authentication and session key agreement for secure data transmission, a method for securely transmitting data, and an electronic data transmission system
US9231943B2 (en) * 2011-02-16 2016-01-05 Novell, Inc. Client-based authentication
EP2555466B1 (en) 2011-08-05 2014-07-02 SELEX ES S.p.A. System for distributing cryptographic keys
US9509506B2 (en) * 2011-09-30 2016-11-29 Los Alamos National Security, Llc Quantum key management
JP2014068313A (ja) * 2012-09-27 2014-04-17 Toshiba Corp 通信方法、アプリケーション装置、プログラム及び通信システム
US9197422B2 (en) 2013-01-24 2015-11-24 Raytheon Company System and method for differential encryption
CN103338448A (zh) * 2013-06-07 2013-10-02 国家电网公司 一种基于量子密钥分发的无线局域网安全通信方法
US10268834B2 (en) * 2014-06-26 2019-04-23 Telefonaktiebolaget Lm Ericsson (Publ) Privacy-preserving querying mechanism on privately encrypted data on semi-trusted cloud
CN104219042A (zh) * 2014-07-24 2014-12-17 安徽问天量子科技股份有限公司 量子密钥分发中心控制装置及方法
CN105991285B (zh) * 2015-02-16 2019-06-11 阿里巴巴集团控股有限公司 用于量子密钥分发过程的身份认证方法、装置及系统
CN107086908B (zh) * 2016-02-15 2021-07-06 阿里巴巴集团控股有限公司 一种量子密钥分发方法及装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004032520A (ja) * 2002-06-27 2004-01-29 Nippon Telegr & Teleph Corp <Ntt> 量子情報分散生成方法、その装置およびプログラム
JP2007060161A (ja) * 2005-08-23 2007-03-08 Ntt Docomo Inc 暗号システム、端末装置及び暗号化方法
US20080144836A1 (en) * 2006-12-13 2008-06-19 Barry Sanders Distributed encryption authentication methods and systems
JP2008250931A (ja) * 2007-03-30 2008-10-16 Toshiba Corp 分散情報復元システム、情報利用装置、および、検証装置
JP2008306406A (ja) * 2007-06-06 2008-12-18 Toshiba Corp コンテンツ配信・閲覧システム、コンテンツ配信装置、コンテンツ閲覧装置及びプログラム
US20140098955A1 (en) * 2009-12-15 2014-04-10 Los Alamos National Security, Llc Quantum enabled security for optical communications
JP2013544479A (ja) * 2010-12-02 2013-12-12 キネテイツク・リミテツド 量子鍵配送
JP2014022920A (ja) * 2012-07-18 2014-02-03 Nec Corp 電子署名システム、電子署名方法および電子署名プログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
MIHARA, T.: "Splitting information securely with entanglement", INFORMATION AND COMPUTATION, vol. Vol. 187, Issue 1, JPN6019042232, 25 November 2003 (2003-11-25), pages 110 - 122, ISSN: 0004523369 *

Also Published As

Publication number Publication date
JP6680791B2 (ja) 2020-04-15
CN105871538B (zh) 2019-04-12
EP3248310A4 (en) 2018-06-20
JP6968223B2 (ja) 2021-11-17
JP2018503318A (ja) 2018-02-01
KR20170107047A (ko) 2017-09-22
TW201628369A (zh) 2016-08-01
EP3248310B1 (en) 2022-07-20
US10757083B2 (en) 2020-08-25
CN105871538A (zh) 2016-08-17
EP3248310A1 (en) 2017-11-29
WO2016118359A1 (en) 2016-07-28
US10305873B2 (en) 2019-05-28
US20160226846A1 (en) 2016-08-04
US20190281034A1 (en) 2019-09-12

Similar Documents

Publication Publication Date Title
JP6680791B2 (ja) 量子鍵配送のための方法、装置、及びシステム
JP6799061B2 (ja) ウォレット管理システムと併せたブロックチェーンベースのシステムのための暗号鍵のセキュアなマルチパーティ損失耐性のある記憶及び転送
JP4709815B2 (ja) 認証方法および装置
US9026805B2 (en) Key management using trusted platform modules
US20150067330A1 (en) Method and system for network data access
US20170244687A1 (en) Techniques for confidential delivery of random data over a network
TW201815123A (zh) 量子資料密鑰協商系統及量子資料密鑰協商方法
CN106790261B (zh) 分布式文件系统及用于其中节点间认证通信的方法
US10181949B2 (en) Data distributing over network to user devices
Nirmal Kumar et al. An effective non-commutative encryption approach with optimized genetic algorithm for ensuring data protection in cloud computing
US11528127B2 (en) Computer-implemented system and method for highly secure, high speed encryption and transmission of data
Rizvi et al. A trusted third-party (TTP) based encryption scheme for ensuring data confidentiality in cloud environment
Harchol et al. Distributed SSH key management with proactive RSA threshold signatures
JP2020532177A (ja) データの高度なセキュリティ、高速暗号化および、伝送のためのコンピュータ実装システムおよび方法
Tu et al. A secure, efficient and verifiable multimedia data sharing scheme in fog networking system
US11563575B2 (en) Communication node, method of operating thereof and collaborative system
US20240113885A1 (en) Hub-based token generation and endpoint selection for secure channel establishment
Kanimozhi et al. Secure sharing of IOT data in cloud environment using attribute-based encryption
Krishnan et al. Peer to peer file sharing by blockchain using IoT
Yan et al. Encrypted big data deduplication in cloud storage
KR20210020851A (ko) 컨소시엄 블록체인 네트워크에서의 프라이빗 키를 백업 및 복원하는 방법 및 장치
Salim et al. An efficient public auditing scheme for cloud storage with secure access control and resistance against DOS attack by iniquitous TPA
CN115001824B (zh) 一种面向区块链的数据加密共享方法、装置及存储介质
Othman et al. Secured Federated Data Management in Distributed Mobile Cloud Computing
CN117896168A (zh) 安全认证方法和设备

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200401

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200401

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210607

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210831

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211001

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211026

R150 Certificate of patent or registration of utility model

Ref document number: 6968223

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150