JP2020501413A - 集中管理制御ネットワークに基づく量子鍵中継方法、および装置 - Google Patents

集中管理制御ネットワークに基づく量子鍵中継方法、および装置 Download PDF

Info

Publication number
JP2020501413A
JP2020501413A JP2019523832A JP2019523832A JP2020501413A JP 2020501413 A JP2020501413 A JP 2020501413A JP 2019523832 A JP2019523832 A JP 2019523832A JP 2019523832 A JP2019523832 A JP 2019523832A JP 2020501413 A JP2020501413 A JP 2020501413A
Authority
JP
Japan
Prior art keywords
key
node
quantum
path
nodes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019523832A
Other languages
English (en)
Other versions
JP6773904B2 (ja
Inventor
▲長▼征 ▲蘇▼
▲長▼征 ▲蘇▼
▲亮▼▲亮▼ ▲陸▼
▲亮▼▲亮▼ ▲陸▼
▲蘇▼ 胡
▲蘇▼ 胡
▲賢▼▲龍▼ ▲羅▼
▲賢▼▲龍▼ ▲羅▼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2020501413A publication Critical patent/JP2020501413A/ja
Application granted granted Critical
Publication of JP6773904B2 publication Critical patent/JP6773904B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • H04L9/0855Quantum cryptography involving additional nodes, e.g. quantum relays, repeaters, intermediate nodes or remote nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Optical Communication System (AREA)

Abstract

本出願の実施形態は、通信技術の分野に関し、特に、グローバルに最適な鍵中継命令を決定するための、集中管理制御ネットワークに基づく量子鍵中継方法、および装置に関する。本出願の実施形態は、集中管理制御ネットワークに適用できる。集中コントローラが、Z個のサービス要求を取得し、Z個のサービス要求の各々に対応している送信元サービスノードの識別子および宛先サービスノードの識別子と、量子鍵消費パラメータと、集中管理制御ネットワーク内の鍵ノードのトポロジ情報とに基づいて、G個のサービス要求に対応するグローバルに最適な鍵中継命令をグローバルに決定し、さらに、G個のサービス要求に対応する鍵中継命令を鍵中継命令に対応する鍵ノードに配信するので、鍵ノードは鍵中継命令に基づいて量子鍵中継を行って、送信元鍵ノードと宛先鍵ノードとの間の共有量子鍵を生成する。

Description

本出願は、参照によりその全体が本明細書に組み入れられる、2016年11月4日に中国特許庁に出願された、「QUANTUM KEY RELAY METHOD BASED ON CENTRALIZED MANAGEMENT AND CONTROL NETWORK,AND APPARATUS」という名称の中国特許出願第201610967885.1号の優先権を主張するものである。
本出願は、セキュア通信の分野に関し、特に、集中管理制御ネットワークに基づく量子鍵中継方法、および装置に関する。
量子暗号は量子力学と暗号学の学際的産物であり、量子暗号のセキュリティは量子力学の原理に基づいて保証される。量子鍵を傍受または測定しようと試みるためのいかなる操作も、量子状態を変化させる。受信端は、量子状態の変化に基づいて、通信プロセスに盗聴者がいるかどうかを判定して、現在の鍵を破棄するかどうかを判断し、それによって通信セキュリティを無条件に保証することができる。
量子鍵ネットワークノードは通常、従来の通信ネットワークに接続された従来の通信端末と、量子鍵配送(Quantum Key Distribution、略称QKD)ネットワークに接続された量子デバイス端末とを含む。従来の通信では、チャネル損失の問題を解決するために増幅器が使用される。しかしながら、量子信号は複製することができないので、従来の通信における「再生および増幅」の中継プロセスを、量子通信において直接使用することができない。加えて、伝送プロセスでは、距離が増加するに従ってチャネル減衰が増加する。送信端と受信端との間の距離が実効伝送距離よりも大きい場合、受信端における平均光子数はかなり小さい。平均光子数が単一光子検出器のダークカウントとほぼ等しい場合、基本的にはもはやセキュアな鍵を生成することができない。したがって、量子鍵配送の実効伝送距離が制限される。制限された実効伝送距離および制限されたネットワーク構築コストに基づき、多くの端末間に直接量子リンクは存在せず、端末の量子鍵共有は中継ノードによって行われる転送を必要とする。
図1に、先行技術における信頼できる中継に基づく量子鍵伝送モデルの概略図の一例を示す。図1に示すように、送信端ノード(Alice)と受信端ノード(Bob)との間で量子通信を行う必要があり、送信端ノードと受信端ノードとの間の鍵ネゴシエーションパスは合計3つの中継ノード、すなわち、中継ノード1、中継ノード2、および中継ノード3を含む。
量子鍵ネゴシエーションを行い、鍵K1を生成するために、Aliceと信頼できる中継ノード1との間に鍵配送リンクが確立される。量子鍵ネゴシエーションを行い、共有鍵K2を生成するために、中継ノード1と中継ノード2との間に鍵配送リンクが確立される。量子鍵ネゴシエーションを行い、共有鍵K3を生成するために、中継ノード2と中継ノード3との間に鍵配送リンクが確立される。量子鍵ネゴシエーションを行い、共有鍵K4を生成するために、中継ノード3とBobとの間に鍵配送リンクが確立される。
中継ノード1は、K2を使用して鍵K1を暗号化し、次いで暗号化されたK1を信頼できる中継ノード2に送信する。次いで、中継ノード2は、K2を使用して、受信したK2を使用して暗号化されたK1を解読して、K1を取得し、K3を使用してK1を暗号化し、暗号化したK1を信頼できる中継ノード3に送信する。次いで、中継ノード3は、K3を使用して、受信したK3を使用して暗号化されたK1を解読して、K1を取得し、K4を使用してK1を暗号化し、暗号化したK1をBobに送信する。最後に、Bobは、鍵K4を使用して暗号化されたK1を受信し、K4を使用してK1を解読して、K1を取得する。このようにして、鍵K1を使用してAliceとBobとの間で量子通信を行うことができる。中継ノード、送信端ノード(Alice)、および受信端ノード(Bob)は、鍵ノードと呼ばれることもある。図1では、Tは、送信インターフェース、例えば図1のインターフェースT1、T2、T3、およびT4を表し、Rは、受信インターフェース、例えば、図1のインターフェースR1、R2、R3、およびR4を表す。
本出願の実施形態は、送信元鍵ノードと宛先鍵ノードとが、グローバルに最適な鍵中継命令に基づいて量子鍵中継を行うように、グローバルに最適な鍵中継命令を決定するための、集中管理制御ネットワークに基づく量子鍵中継方法、および装置を提供する。
第1の態様によれば、本出願の一実施形態は、集中管理制御ネットワークに適用できる、集中管理制御ネットワークに基づく量子鍵中継方法を提供する。集中管理制御ネットワークは、集中コントローラと、N個のサービスノードと、M個の鍵ノードとを含み、NとMとはどちらも2以上の整数である。本方法は、集中コントローラが、Z個のサービス要求を取得するステップであって、Zが1以上の整数である、ステップと、集中コントローラがZ個のサービス要求の各々に基づいて、各サービス要求に対応している送信元サービスノードの識別子および宛先サービスノードの識別子と、サービス要求の量子鍵消費パラメータとを決定するステップであって、送信元サービスノードが送信元鍵ノードに対応しており、宛先サービスノードが宛先鍵ノードに対応している、ステップと、集中コントローラがZ個のサービス要求の各々に対応している送信元サービスノードの識別子および宛先サービスノードの識別子と、量子鍵消費パラメータと、集中管理制御ネットワーク内の鍵ノードのトポロジ情報とに基づいて、G個のサービス要求に対応する鍵中継命令を決定するステップであって、GがZ以下1以上の整数である、ステップと、送信元鍵ノードと宛先鍵ノードとの間の共有量子鍵を生成するために、鍵ノードが鍵中継命令に基づいて量子鍵中継を行うように、集中コントローラが、G個のサービス要求に対応する鍵中継命令を鍵中継命令に対応する鍵ノードに配信するステップと、を含む。
本出願の本実施形態では、新しい量子鍵配送ネットワークを構築し、集中管理制御ネットワークを使用して量子鍵およびサービスに対する集中制御を実現し、量子鍵配送ネットワークにおいてマルチレイヤマルチドメイン協調およびグローバル最適化を実現し、環境調和性および省エネルギーを達成し、デバイスハードウェアコストを削減するなどのために、鍵ノードが集中管理制御ネットワークに追加される。加えて、本出願の本実施形態で提供される解決策では、集中管理制御ネットワークの制御と転送の分離や集中制御の実現などの特徴に基づいて、量子鍵中継と集中管理制御ネットワークとが組み合わされるので、すべてのサービス要求の鍵中継命令を効率よく均一的に解析し、計算することができ、鍵中継命令が、全集中管理制御ネットワーク内のすべての鍵ノードのトポロジ情報に基づいてグローバルに決定され、そのため各サービス要求に対応する鍵中継命令がグローバルに最適であり、現在および将来の鍵要件を最大限に満たすことができる。
第2に、本出願の本実施形態では、集中コントローラがすべてのサービス要求の鍵中継命令を効率よく均一的に解析し、計算するので、具体的には、集中コントローラが同時にZ個のサービス要求があることを考慮しうるので、集中コントローラは、Z個のサービス要求を同時に考慮し、互いに矛盾しない適切な鍵中継命令をG個のサービス要求すべてに最大限に割り振ることができる。
第3に、すべての鍵中継命令のアルゴリズムが集中コントローラ上に位置するので、集中コントローラは、鍵中継命令を決定した後に鍵ノードに鍵中継命令を配信し、鍵ノードは、受信した鍵中継命令に基づいて量子鍵中継を行いさえすればよい。このようにして、鍵ノードの計算リソース要件が著しく低減され、それによって鍵ノードの機能が簡素化され、鍵ノードの複雑さおよびコストが低減される。
第4に、集中管理制御ネットワーク内のすべての鍵ノードのトポロジ情報が集中コントローラ上に格納され、各鍵ノードに格納される必要がないので、鍵ノードに関する情報が盗まれるときに、全集中管理制御ネットワーク内の鍵ノードのトポロジ情報は盗まれず、そのため集中管理制御ネットワーク全体のセキュリティが強化される。
第5に、本出願の本実施形態における集中コントローラは、量子鍵消費パラメータと、集中管理制御ネットワーク内の鍵ノードのトポロジ情報とに基づいて鍵中継命令を決定しうるので、集中コントローラは、サービス要求の要件を満たす1つまたは複数のパスを決定することができる。
第6に、本出願の本実施形態では量子鍵中継と集中管理制御ネットワークとが組み合わされるので、集中管理制御ネットワークに基づいてネットワーク規模を柔軟に拡大することができ、集中化された自動的なネットワーク管理などを実現するために、サービスノードおよび/または鍵ノードを集中管理制御ネットワークに柔軟に追加することができる。
任意選択で、集中管理制御ネットワーク内の鍵ノードのトポロジ情報は、各鍵ノードの識別子、各鍵ノードと1つまたは複数の他の鍵ノードとの間の量子リンクの状況、および任意の2つの隣接した鍵ノードのエッジ重みを含む。送信元鍵ノードから宛先鍵ノードまでの各パス上の2つの隣接した鍵ノードが1つのエッジ重みに対応しており、2つの鍵ノードに対応するエッジ重みが小さいほど、それら2つの隣接した鍵ノードの量子鍵提供能力が弱いことを示す。各パスは1つの最小エッジ重みノード対を含み、各パス上の最小エッジ重みノード対は、そのパス上の最小エッジ重みを有する2つの鍵ノードである。鍵ノードのトポロジ情報が任意の2つの隣接した鍵ノードのエッジ重みを含み、2つの鍵ノードに対応するエッジ重みが小さいほど、2つの隣接した鍵ノードの量子鍵提供能力が弱いことを示すので、鍵中継命令は、各パス上の2つの隣接した鍵ノードの量子鍵提供能力に基づいて決定されうる。
任意選択で、2つの隣接した鍵ノードに対応するエッジ重みは、2つの隣接した鍵ノードによって共有される在庫量子鍵の数と、事前設定持続時間に2つの鍵ノードによって共有される量子鍵の生成数との和、2つの隣接した鍵ノードによって共有される在庫量子鍵の数、および2つの隣接した鍵ノードによって共有される量子鍵の生成速度、のうちのいずれか1つを含む。このようにして、在庫量子鍵の数、事前設定持続時間に2つの鍵ノードによって共有される量子鍵の生成数、および量子鍵の生成速度のうちのいずれか1つまたは複数を使用して量子鍵提供能力が正確に反映される。
任意選択で、集中コントローラが、Z個のサービス要求を取得するステップの後、G個のサービス要求に対応する鍵中継命令を決定するステップの前に、本方法は、Z個のサービス要求の各々について、集中コントローラが、送信元鍵ノードから宛先鍵ノードまでのすべてのパスの各々を決定する動作と、集中コントローラがすべてのパスの各々について、パス上の2つの隣接した鍵ノードの現在の量子鍵生成速度を決定する動作と、集中コントローラが、当該パス上で別のサービス要求が割り振られておらず、当該パス上で別のサービス要求を割り振る計画がないと判断した場合、現在の量子鍵生成速度を、2つの隣接した鍵ノードの量子鍵生成速度として決定する動作、または集中コントローラが、当該パス上で別のサービス要求が割り振られているか、もしくは当該パス上で別のサービス要求を割り振る計画があると判断した場合、2つの隣接した鍵ノードの、当該の別のサービス要求に対応する量子鍵消費速度を決定し、現在の量子鍵生成速度と別のサービス要求に対応する量子鍵消費速度との差を、2つの隣接した鍵ノードの量子鍵生成速度として決定する動作と、を行うステップ、をさらに含む。
任意選択で、集中コントローラが、Z個のサービス要求を取得するステップの後、G個のサービス要求に対応する鍵中継命令を決定するステップの前に、本方法は、Z個のサービス要求の各々について、集中コントローラが、送信元鍵ノードから宛先鍵ノードまでのすべてのパスの各々を決定する動作と、集中コントローラがすべてのパスの各々について、当該パス上で2つの隣接した鍵ノードによって現在共有されている在庫量子鍵の数を決定する動作と、集中コントローラが、当該パス上で別のサービス要求が割り振られておらず、当該パス上で別のサービス要求を割り振る計画がないと判断した場合、現在共有されている在庫量子鍵の数を2つの隣接した鍵ノードによって共有される在庫量子鍵の数として決定する動作、または集中コントローラが、当該パス上で別のサービス要求が割り振られているか、もしくは当該パス上で別のサービス要求を割り振る計画があると判断した場合、2つの隣接した鍵ノードの、当該の別のサービス要求に対応する量子鍵消費数を決定し、現在共有されている在庫量子鍵の数と別のサービス要求に対応する量子鍵消費数との差を、2つの隣接した鍵ノードによって共有される在庫量子鍵の数として決定する動作と、を行うステップ、をさらに含む。
言い換えると、Z個のサービス要求を取得した後、集中コントローラは、サービス要求を別々に処理するか、またはZ個のサービス要求を同時に処理する。例えば、集中コントローラは、サービス要求1を処理し、パス1でサービス要求1を割り振る計画を立て、この場合、集中コントローラがサービス要求2を処理するときに、集中コントローラは、すでにパス1でサービス要求1を割り振る計画があることを考慮する必要があるので、互いに矛盾しない複数の適切な鍵中継命令が複数のサービス要求により正確に割り振られる。
任意選択で、集中コントローラがZ個のサービス要求の各々に基づいて、各サービス要求に対応している送信元サービスノードの識別子および宛先サービスノードの識別子と、サービス要求の量子鍵消費パラメータとを決定するステップの後、G個のサービス要求に対応する鍵中継命令を決定するステップの前に、本方法は、Z個のサービス要求の各々について、集中コントローラが鍵ノードのトポロジ情報に基づいて集中管理制御ネットワークから、第1のパスセットを取得するために、送信元鍵ノードから宛先鍵ノードまでのすべてのパスを決定する動作と、集中コントローラが第1のパスセットから、鍵消費パラメータに対応する第1の条件を満たすQ個の第2のパスを決定する動作であって、Qが0以上の整数である、動作と、を行うステップ、をさらに含み、鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含む場合、鍵消費パラメータに対応する第1の条件は、P+Pm+wm*t≧Kであり、または鍵消費パラメータがサービスの鍵消費速度Vを含む場合、鍵消費パラメータに対応する第1の条件は、wm≧Vであり、式中、Pは、送信元鍵ノードと宛先鍵ノードとの間の在庫量子鍵の数であり、Pmは、パス上の最小エッジ重みノード対の在庫量子鍵の数であり、wmは、パス上の最小エッジ重みノード対の量子鍵生成速度である。
さらに、鍵ノードのトポロジ情報が鍵ノード間のリンクの状況を含むので、送信元鍵ノードから宛先鍵ノードまでのすべてのパスを、鍵ノードのトポロジ情報に基づいて集中管理制御ネットワークからまず決定することができ、次いで、Q個の第2のパスを使用して量子鍵中継を実施するために、すべてのパスから第1の条件を満たすQ個の第2のパスが決定され、そのため決定された鍵中継パスは、サービス要求によって必要とされる鍵の数を満たす。
任意選択で、集中コントローラが、G個のサービス要求に対応する鍵中継命令を決定するステップは、Qが1である場合、集中コントローラが、第2のパスを鍵中継パスとして決定し、鍵中継パスに基づいて、サービス要求に対応する鍵中継命令を決定するステップ、またはQが1より大きい場合、集中コントローラが、各第2のパス上の最小エッジ重みノード対および各最小エッジ重みノード対のエッジ重みを決定し、すべての第2のパスの最小エッジ重みノード対から最大エッジ重みを有する最小エッジ重みノード対を決定し、鍵中継パスとして、最大エッジ重みを有する最小エッジ重みノード対に対応する第2のパスを決定し、鍵中継パスに基づいて、サービス要求に対応する鍵中継命令を決定するステップ、を含む。このようにして、選択された鍵中継パスがサービス要求によって必要とされる鍵の数を満たし、サービス要求の実行が完了された後に、比較的多数の残りの在庫量子鍵があるよう保証することができる。
任意選択で、集中コントローラが、G個のサービス要求に対応する鍵中継命令を決定するステップは、Qが0である場合、集中コントローラが、第3のパスセットを取得するために、第1のパスセットに含まれるすべてのパスからS個のパスを決定するステップであって、Sが、2以上の整数であり、第3のパスセットに含まれるどの2つのパスもオーバーラップするエッジを有しない、ステップと、集中コントローラが、S個のパスが鍵消費パラメータに対応する第2の条件を満たすと判断した場合、S個のパスを鍵中継パスとして決定し、鍵中継パスに基づいて、サービス要求に対応する鍵中継命令を決定するステップと、を含み、鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含む場合、鍵消費パラメータに対応する第2の条件は、
Figure 2020501413
 であり、または鍵消費パラメータがサービスの鍵消費速度Vを含む場合、鍵消費パラメータに対応する第2の条件は、
Figure 2020501413
 であり、式中、iの値範囲は、[1,S]であり、Piは、第iのパス上の最小エッジ重みノード対の在庫量子鍵の数であり、wiは、第iのパス上の最小エッジ重みノード対の量子鍵生成速度である。このようにして、1つのパスがサービス要求によって必要とされる量子鍵の数を満たすことができない場合、決定された鍵中継パスがサービス要求によって必要とされる鍵の数を満たすよう保証するために、複数のパスを同時に使用して量子鍵中継を行うことができる。
任意選択で、複数のパスに同時にサービスするためにオーバーラップするエッジの使用を必要とする場合を回避するように、集中コントローラが、第3のパスセットを取得するために、第1のパスセットに含まれるすべてのパスからS個のパスを決定するステップは、集中コントローラが、第1のパスセット内のどの2つのパスもオーバーラップするエッジを有しないと判断した場合、第1のパスセットに含まれるすべてのパスがS個のパスであると決定するステップ、または集中コントローラが、第1のパスセット内の少なくとも2つのパスがオーバーラップするエッジを有すると判断した場合、第1のパスセット内のオーバーラップするエッジごとに、オーバーラップするエッジに対応するT個のパスを決定し、T個のパス内の最大エッジ重みを有する最小エッジ重みノード対に対応するパスを、S個のパスのうちの1つとして使用するステップであって、Tが2以上の整数である、ステップ、を含む。
任意選択で、集中コントローラが、S個のパスを鍵中継パスとして決定するステップの後に、本方法は、集中コントローラが、S個のパスの第iのパスに対応する各鍵ノードに対応する量子鍵消費数Liを決定するステップであって、鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含む場合、Li=(Pi+wi*t)−Rであり、Rが、第3のパスセット内の各パス上の最小エッジ重みノード対の残りの鍵の数であり、
Figure 2020501413
 である、ステップ、をさらに含む。第3のパスセット内のS個のパスに量子鍵消費数が割り振られた後、すべてのパス上の最小エッジ重みノード対が同数の残りの鍵を有するので、S個のパスは次のサービス要求に量子鍵をより適切に提供することができる。
第2の態様によれば、本出願の一実施形態は、集中管理制御ネットワークに適用できる、集中管理制御ネットワークに基づく量子鍵中継方法を提供する。集中管理制御ネットワークは、集中コントローラと、N個のサービスノードと、M個の鍵ノードとを含み、NとMとはどちらも2以上の整数である。M個の鍵ノードのうちの1つについて、本方法は、鍵ノードが、鍵ノードのトポロジ情報を集中コントローラに報告するステップと、鍵ノードが、集中コントローラによって配信された鍵中継命令を受信するステップと、鍵ノードが、集中コントローラによって配信された鍵中継命令に基づいて量子鍵中継を行うステップと、を含み、鍵中継命令は、鍵ノードが、鍵ノードと宛先鍵ノードとによって共有される量子鍵として、鍵ノードと鍵ノードの次のホップの鍵ノードとによって共有される決定された第1のターゲット量子鍵を決定すること、鍵ノードが、鍵ノードと鍵ノードの前のホップの鍵ノードとによって共有される第2のターゲット量子鍵を決定し、鍵ノードと鍵ノードの次のホップの鍵ノードとによって共有される第1の暗号化および解読量子鍵を使用して第2のターゲット量子鍵を暗号化し、取得された暗号化された第2のターゲット量子鍵を鍵ノードの次のホップの鍵ノードに送信すること、鍵ノードが、鍵ノードと鍵ノードの前のホップの鍵ノードとによって共有される第2の暗号化および解読量子鍵を決定し、第2の暗号化および解読量子鍵を使用して取得された暗号化された第3のターゲット量子鍵を解読し、鍵ノードと鍵ノードの次のホップの鍵ノードとによって共有される第3の暗号化および解読量子鍵を使用して第3のターゲット量子鍵を暗号化し、取得された暗号化された第3のターゲット量子鍵を鍵ノードの次のホップの鍵ノードに送信すること、ならびに鍵ノードが、鍵ノードと鍵ノードの前のホップの鍵ノードとによって共有される第4の暗号化および解読量子鍵を決定し、ターゲット量子鍵を取得するために、第4の暗号化および解読量子鍵を使用して取得された暗号化された第4のターゲット量子鍵を解読すること、のうちのいずれか1つまたは複数を指示するために使用される。
任意選択で、鍵中継命令は、第1のターゲット量子鍵の鍵ビット長、第2のターゲット量子鍵の鍵ビット長、第3のターゲット量子鍵の鍵ビット長、第4のターゲット量子鍵の鍵ビット長、第1の暗号化および解読量子鍵の鍵ビット長、第2の暗号化および解読量子鍵の鍵ビット長、第3の暗号化および解読量子鍵の鍵ビット長、ならびに第4の暗号化および解読量子鍵の鍵ビット長、鍵ノードと鍵ノードの前のホップの鍵ノードとの間の鍵中継速度、鍵ノードと鍵ノードの次のホップの鍵ノードとの間の鍵中継速度、鍵ノードと鍵ノードの前のホップの鍵ノードとの間の鍵中継持続時間、鍵ノードと鍵ノードの次のホップの鍵ノードとの間の鍵中継持続時間、鍵ノードと鍵ノードの前のホップの鍵ノードとの間の鍵中継量、ならびに鍵ノードと鍵ノードの次のホップの鍵ノードとの間の鍵中継量、のうちのいずれか1つまたは複数を指示するためにさらに使用される。
任意選択で、鍵ノードが、鍵ノードのトポロジ情報を集中コントローラに報告するステップは、鍵ノードが、鍵ノードのトポロジ情報を集中コントローラに周期的に報告するステップ、を含み、鍵ノードのトポロジ情報は、集中管理制御ネットワーク内の各鍵ノードの識別子、各鍵ノードと1つまたは複数の他の鍵ノードとの間の量子リンクの状況、および任意の2つの隣接した鍵ノードのエッジ重みを含み、送信元鍵ノードから宛先鍵ノードまでの各パス上の任意の2つの鍵ノードは1つのエッジ重みに対応しており、2つの鍵ノードに対応するエッジ重みが大きいほど、それら2つの鍵ノードの量子鍵提供能力が強いことを示し、各パスは1つの最小エッジ重みノード対を含み、各パス上の最小エッジ重みノード対は、そのパス上の最小エッジ重みを有する2つの鍵ノードである。
第3の態様によれば、プロセッサと、メモリとを含む、集中コントローラが提供される。メモリは、コンピュータプログラムを格納するように構成され、プロセッサは、集中コントローラが第1の態様の任意の可能な実施態様における方法を行うように、メモリからコンピュータプログラムを呼び出し、コンピュータプログラムを実行するように構成される。
任意選択で、1つまたは複数のプロセッサがあり、1つまたは複数のメモリがある。
任意選択で、メモリは、プロセッサに統合されていてもよく、またはメモリとプロセッサとは別々に配置される。
任意選択で、集中コントローラは、送受信機をさらに含み、送受信機は、送信機(送信器)と受信機(受信器)とを含む。
1つの可能な設計では、送受信機と、プロセッサと、メモリとを含むネットワーク機器が提供される。プロセッサは、信号を送受信するよう送受信機を制御するように構成され、メモリは、コンピュータプログラムを格納するように構成され、送受信機は、シグナリングを送受信するように構成され、プロセッサは、端末機器が第1の態様の任意の可能な実施態様における方法を行うように、メモリからコンピュータプログラムを呼び出し、コンピュータプログラムを実行するように構成される。
第4の態様によれば、プロセッサと、メモリとを含む、鍵ノードが提供される。メモリは、コンピュータプログラムを格納するように構成され、プロセッサは、鍵ノードが第2の態様の任意の可能な実施態様における方法を行うように、メモリからコンピュータプログラムを呼び出し、コンピュータプログラムを実行するように構成される。
任意選択で、1つまたは複数のプロセッサがあり、1つまたは複数のメモリがある。
任意選択で、メモリは、プロセッサに統合されていてもよく、またはメモリとプロセッサとは別々に配置される。
任意選択で、鍵ノードは、送受信機をさらに含み、送受信機は、送信機(送信器)と受信機(受信器)とを含む。
1つの可能な設計では、送受信機と、プロセッサと、メモリとを含む端末機器が提供される。プロセッサは、信号を送受信するよう送受信機を制御するように構成され、送受信機は、シグナリングを送受信するように構成され、メモリは、コンピュータプログラムを格納するように構成され、プロセッサは、ネットワーク機器が第2の態様の任意の可能な実施態様における方法を行うように、メモリからコンピュータプログラムを呼び出し、コンピュータプログラムを実行するように構成される。
第5の態様によれば、第1の態様の任意の可能な実施態様における通信方法を行うように構成することができる各部またはモジュールを含む、集中コントローラが提供される。任意選択の解決策において、鍵ノードは、記憶部と、処理部と、送受信部とを含む。
第6の態様によれば、第2の態様の任意の可能な実施態様における通信方法を行うように構成することができる各部またはモジュールを含む、鍵ノードが提供される。任意選択の解決策において、本鍵ノードは、鍵プールと、送受信部と、鍵中継部とを含む。
第7の態様によれば、システムが提供され、本システムは、前述の集中コントローラと、鍵ノードとを含む。
第8の態様によれば、コンピュータプログラム製品が提供され、本コンピュータプログラム製品は、コンピュータプログラム(コードまたは命令とも呼ばれうる)を含む。コンピュータプログラムが動作すると、コンピュータは、第1の態様の任意の可能な実施態様における方法を行うことができるようになり、またはコンピュータは、第2の態様の任意の可能な実施態様における方法を行うことができるようになる。
第9の態様によれば、コンピュータ可読媒体が提供され、本コンピュータ可読媒体は、コンピュータプログラム(コードまたは命令とも呼ばれうる)を格納する。コンピュータプログラムがコンピュータ上で動作すると、コンピュータは、第1の態様の任意の可能な実施態様における方法を行うことができるようになり、またはコンピュータは、第2の態様の任意の可能な実施態様における方法を行うことができるようになる。
本出願の実施形態で提供される解決策では、集中管理制御ネットワークの制御と転送の分離や集中制御の実現などの特徴に基づいて、量子鍵中継と集中管理制御ネットワークとが組み合わされるので、すべてのサービス要求の鍵中継パスを効率よく均一的に解析し、計算することができ、グローバルに最適な鍵中継命令が、全集中管理制御ネットワーク内のすべての鍵ノードのトポロジ情報に基づいてグローバルに決定され、そのため送信元鍵ノードと宛先鍵ノードとがグローバルに最適な鍵中継命令に基づいて量子鍵中継を行う。
バックグラウンドにおける信頼できる中継に基づく量子鍵伝送モデルの概略図である。 本出願の一実施形態によるシステムの概略アーキテクチャ図である。 本出願の一実施形態による集中管理制御ネットワークに基づく量子鍵中継方法を示す図である。 本出願の一実施形態による集中管理制御ネットワークにおける鍵ノード接続アーキテクチャの概略図である。 本出願の一実施形態による鍵中継パスの概略図である。 本出願の一実施形態による別の鍵中継パスの概略図である。 本出願の一実施形態による別の鍵中継パスの概略図である。 本出願の一実施形態による別の鍵中継パスの概略図である。 本出願の一実施形態による別の鍵中継パスの概略図である。 本出願の一実施形態による量子鍵中継方法の概略流れ図である。 本出願の一実施形態による集中コントローラの概略構造図である。 本出願の一実施形態による鍵ノードの概略構造図である。 本出願の一実施形態による別の集中コントローラの概略構造図である。 本出願の一実施形態による可能な鍵管理ノードの概略構造図である。 本出願の一実施形態による可能なサービスノードの概略構造図である。
本出願の実施形態で提供される解決策では、集中管理制御ネットワークが使用される。任意選択で、集中管理制御ネットワークは、ソフトウェア定義のネットワーク(Software Defined Network、略称SDN)である。SDNは、新しいネットワークアーキテクチャである。SDNの設計概念は、ネットワークの制御プレーンをデータ転送プレーンから分離して、集中コントローラ上でソフトウェアプラットフォームを使用してプログラマブルな方法で下にあるハードウェアを制御し、要件に応じてネットワークリソースを柔軟にスケジュールし、分配することである。
SDNネットワークでは、ネットワーク機器は、データ転送のみを担い、コモディティハードウェアを使用することができ、本来制御を担うオペレーティングシステムは、独立したネットワークオペレーティングシステムに格上げされ、様々なサービス機能に適応する役割を担う。加えて、ネットワークオペレーティングシステムとサービス機能とハードウェアデバイスとの間の通信も、プログラミングによって実現されうる。従来のネットワークと比較して、SDNネットワークには以下の基本的特徴がある。
第1に、制御と転送の分離。転送プレーンが制御された転送デバイスを含み、転送方法とサービス論理とが、転送プレーンから分離された制御プレーン上で動作する制御アプリケーションによって制御される。
第2に、制御プレーンと転送プレーンとの間のオープンインターフェースSDNネットワークは、制御プレーンにオープンプログラマブルインターフェースを提供する。このように、制御アプリケーションは、制御アプリケーションの論理に専念しさえすればよく、より下にある実装詳細を重視する必要はない。
第3に、論理における集中制御。論理的集中制御プレーンが複数の転送プレーンデバイスを制御する、すなわち、物理ネットワーク全体を制御するので、グローバルなネットワーク状況の視野を得ることができ、グローバルなネットワーク状況の視野に基づいてネットワークに最適化された制御を実現することができる。
SDNネットワークは主に、3つの機能部、すなわち、様々な異なるサービスおよびアプリケーションを含む、アプリケーション部と、データプレーンリソースの調整、ネットワークトポロジおよび状況情報の維持などを主に担う、制御部と、データの処理および転送とフローテーブルに基づく状況収集とを担う、インフラストラクチャ部と、を含む。SDNネットワークは本質的に3つの特徴、すなわち、「制御と転送の分離」と、「デバイスリソースの仮想化」と、「プログラマブルなコモディティハードウェアおよびソフトウェア」とを有する。SDNネットワークは、デバイスハードウェアを標準化することができる。ハードウェアは、転送機能および格納機能のみに集中し、サービス機能から切り離され、比較的安価な市販のアーキテクチャを使用して実現されうる。SDNネットワークでは、ネットワークのインテリジェンスはソフトウェアのみによって実現され、ネットワーク機器の種類および機能はソフトウェア構成に依存し、ネットワーク動作の制御および実行は、ネットワークオペレーティングシステムとして使用されるサーバによって完了される。SDNネットワークは、サービスにより迅速に応答し、様々なサービスが柔軟に追加または削除され、カスタマイズされるので、様々なネットワークパラメータをネットワークにおいてリアルタイムでカスタマイズし、構成することができ、特定のサービスを開始するための時間が短縮される。
前述の内容で言及したSDNネットワークに加えて、集中管理制御ネットワークは、別の同じまたは類似したネットワーク、例えば、一元的なネットワーク管理制御システムに基づくものであるトランスポートネットワーク、ルータネットワーク、アクセスネットワーク、または無線ネットワークであってもよい。本出願の実施形態における集中コントローラは、集中管理制御ネットワークにおける装置であり、例えば、SDNネットワークにおけるSDNコントローラであってもよく、またはトランスポートネットワーク、ルータネットワーク、アクセスネットワーク、もしくは無線ネットワークにおけるネットワーク管理サーバであってもよい。
図2は、本出願の一実施形態が適用されるシステムの概略アーキテクチャ図である。図1に示すように、システムは、集中コントローラ201と、集中管理制御ネットワークとを含むことができ、集中管理制御ネットワークは、サービス層202と、鍵管理層203と、鍵生成層204とを含む。サービス層202は複数のサービスノード205を含み、鍵管理層203は複数の鍵管理ノード206を含み、鍵生成層204は複数の鍵生成ノード207を含む。図2では、サービス層、鍵管理層、鍵生成層、ならびに対応するサービスノード、鍵管理ノード、および鍵生成ノードは、論理的な定義および分割によって取得される。実際には、サービスノード、鍵管理ノード、および鍵生成ノードが1つのデバイスに統合された異なる機能構成要素であってもよく、またはサービスノードが1つのデバイスであってもよく、鍵管理ノードと鍵生成ノードとが別のデバイスに統合されている。
鍵管理層203に含まれる複数の鍵管理ノードは、量子鍵を中継するために互いにリンクされうる。鍵生成層204に含まれる複数の鍵生成ノードは、量子鍵を生成するために互いにリンクされうる。鍵管理層203の鍵管理ノード206は鍵生成層204の鍵生成ノード207と1対1の対応関係にある。言い換えると、1つの鍵管理ノードは1つの鍵生成ノードに対応している。本出願の本実施形態の鍵ノードは、鍵管理ノードと、鍵管理ノードに対応する鍵生成ノードとを含む。図2の鍵生成ノードおよび鍵生成層は、量子鍵配送機構を使用して、または離散対数(Diffie−Hellman、略称DH)アルゴリズムなどの別の方法を使用して対称鍵を生成しうる。任意選択で、鍵ノードが鍵を生成する動作は鍵生成ノードによって完了され、鍵ノードによって行われる他の動作は鍵管理ノードによって完了される。
サービス層202は、複数のサービスノードを含みうる。複数のサービスノードは、サービスノード間でサービスを送信するために、互いにリンクされる。サービスノードは、セキュア通信を必要とするノードである場合もあり、セキュア通信を必要としないノードである場合もある。セキュア通信を必要としないサービスノードは、鍵ノードに対応していない場合もあるが、セキュア通信を必要とする各ノードは鍵ノードに対応している。本出願の本実施形態ではセキュア通信の解決策の説明に焦点を当てており、したがって、本出願の本実施形態で説明されるすべてのサービスノードは、セキュア通信を必要とするサービスノードである。任意選択で、サービスノードの数は鍵ノードの数未満であってもよい。具体的には、1つのサービスノードは1つの鍵ノードに対応しているが、サービスノードに対応している必要のない鍵ノードもある。
図2に示すように、鍵生成ノードは鍵生成ノードに対応する鍵管理ノードにリンクされているので、鍵管理ノードは鍵生成ノードによって生成された量子鍵を中継する。鍵管理ノードは鍵管理ノードに対応するサービスノードにリンクされているので、サービスノードは、セキュア通信を実現するために、鍵管理ノードと鍵生成ノードとの間の協調によって取得された量子鍵サービス情報を使用して暗号化および解読を行う。集中コントローラは、各サービスノードにリンクされており、各サービスノードによって報告されたサービス要求などの情報を取得するように構成される。集中コントローラは、集中管理制御ネットワーク内のすべてのノードにリンクされており、鍵ノードによって報告された鍵ノードのトポロジ情報を取得するように構成される。
図3に、本出願の一実施形態による集中管理制御ネットワークに基づく量子鍵中継方法の一例を示す。量子鍵中継方法は集中管理制御ネットワークに適用できる。集中管理制御ネットワークは、集中コントローラと、N個のサービスノードと、M個の鍵ノードとを含む。1つのサービスノードが1つの鍵ノードに対応しており、NとMとはどちらも2以上の整数である。本方法は以下のステップを含む。
ステップ301:集中コントローラがZ個のサービス要求を取得し、Zは1以上の整数である。
ステップ302:集中コントローラが、Z個のサービス要求の各々に基づいて、各サービス要求に対応している送信元サービスノードの識別子および宛先サービスノードの識別子と、サービス要求の量子鍵消費パラメータとを決定し、送信元サービスノードは送信元鍵ノードに対応しており、宛先サービスノードは宛先鍵ノードに対応しており、送信元サービスノードと宛先サービスノードとは、集中管理制御ネットワーク内のN個のサービスノードのうちの2つである。任意選択で、Z個のサービス要求は、Z個の送信元サービスノードおよびZ個の宛先サービスノードを含み、Z個の送信元サービスノードは少なくとも2つの異なる送信元サービスノードを含み、かつ/またはZ個の宛先サービスノードは少なくとも2つの異なる宛先サービスノードを含む。
ステップ303:集中コントローラが、Z個のサービス要求の各々に対応している送信元サービスノードの識別子および宛先サービスノードの識別子と、量子鍵消費パラメータと、集中管理制御ネットワーク内の鍵ノードのトポロジ情報とに基づいて、G個のサービス要求に対応する鍵中継命令を決定し、GはZ以下1以上の整数である。任意選択で、鍵ノードは、ステップ303の前に集中コントローラに鍵ノードのトポロジ情報を報告する。
ステップ304:集中コントローラが、送信元鍵ノードと宛先鍵ノードとの間の共有量子鍵を生成するために、鍵ノードが鍵中継命令に基づいて量子鍵中継を行うように、G個のサービス要求に対応する鍵中継命令を鍵中継命令に対応する鍵ノードに配信する。
任意選択で、ステップ304の後に、以下のステップ305が行われてもよい。鍵ノードが集中コントローラによって配信された鍵中継命令を受信し、送信元鍵ノードと宛先鍵ノードとの間の共有量子鍵を生成するために、鍵中継命令に基づいて量子鍵中継を行う。任意選択で、送信元鍵ノードと宛先鍵ノードとの間の共有量子鍵は、送信元鍵ノードによって生成されてもよく、鍵中継命令に基づいて宛先鍵ノードに送信され、または宛先鍵ノードによって生成されてもよく、鍵中継命令に基づいて送信元鍵ノードに送信される。送信元鍵ノードと宛先鍵ノードとの間で生成された共有量子鍵は、送信元鍵ノードと宛先鍵ノードの両方で格納される。任意選択で、鍵中継命令は、集中コントローラによってZ個のサービス要求の各々に対応している送信元サービスノードの識別子および宛先サービスノードの識別子と、量子鍵消費パラメータと、Z個のサービス要求を取得した後の集中管理制御ネットワーク内の鍵ノードのトポロジ情報とに基づいて決定される。
任意選択で、ステップ305の後に、以下のステップ306が行われてもよい。送信元サービスノードが送信元鍵ノードから量子鍵を取得し、宛先サービスノードが宛先鍵ノードから量子鍵を取得する。
任意選択で、ステップ306の後に、以下のステップ307が行われてもよい。送信元サービスノードが、送信元鍵ノードと宛先鍵ノードによって共有される量子鍵を使用して、サービス要求に対応するサービスを暗号化する。任意選択で、宛先サービスノードは、送信元鍵ノードと宛先鍵ノードとによって共有される量子鍵を使用して、サービス要求に対応するサービスを暗号化する。任意選択で、ステップ306の後、ステップ307の前に、送信元サービスノードは、送信元鍵ノードから、送信元鍵ノードと宛先鍵ノードとによって共有される量子鍵を取得する。宛先サービスノードは、宛先鍵ノードから、送信元鍵ノードと宛先鍵ノードとによって共有される量子鍵を取得する。任意選択で、本出願の本実施形態の送信元サービスノードと宛先サービスノードとは、各々、サービスノードのうちの1つである。
任意選択で、ステップ307の後に、以下のステップ308が行われてもよい。送信元サービスノードが宛先サービスノードに量子鍵を使用して暗号化されたサービスを送信する。任意選択で、宛先サービスノードは送信元サービスノードに量子鍵を使用して暗号化されたサービスを送信する。
任意選択で、ステップ308の後に、以下のステップ309が行われてもよい。宛先サービスノードが、サービス要求に対応するサービスを取得するために、送信元鍵ノードと宛先鍵ノードとによって共有される、宛先鍵ノードから取得された量子鍵を使用して解読を行う。任意選択で、送信元サービスノードは、サービス要求に対応するサービスを取得するために、送信元鍵ノードと宛先鍵ノードとによって共有される、送信元鍵ノードから取得された量子鍵を使用して解読を行う。
本出願の本実施形態では、新しい量子鍵配送ネットワークを構築し、集中管理制御ネットワークを使用して量子鍵およびサービスに対する集中制御を実現し、量子鍵配送ネットワークにおいてマルチレイヤマルチドメイン協調およびグローバル最適化を実現し、環境調和性および省エネルギーを達成し、デバイスハードウェアコストを削減するなどのために、鍵ノードが集中管理制御ネットワークに追加される。加えて、本出願の本実施形態で提供される解決策では、集中管理制御ネットワークの制御と転送の分離や集中制御の実現などの特徴に基づいて、量子鍵中継と集中管理制御ネットワークとが組み合わされるので、すべてのサービス要求の鍵中継命令を効率よく均一的に解析し、計算することができ、鍵中継命令が、全集中管理制御ネットワーク内のすべての鍵ノードのトポロジ情報に基づいてグローバルに決定され、そのため各サービス要求に対応する鍵中継命令がグローバルに最適であり、現在および将来の鍵要件を最大限に満たすことができる。
第2に、本出願の本実施形態では、集中コントローラがすべてのサービス要求の鍵中継命令を効率よく均一的に解析し、計算するので、具体的には、集中コントローラが同時にZ個のサービス要求があることを考慮しうるので、集中コントローラは、Z個のサービス要求を同時に考慮し、互いに矛盾しない適切な鍵中継命令をG個のサービス要求すべてに最大限に割り振ることができる。
第3に、すべての鍵中継命令のアルゴリズムが集中コントローラ上に位置するので、集中コントローラは、鍵中継命令を決定した後に鍵ノードに鍵中継命令を配信し、鍵ノードは、受信した鍵中継命令に基づいて量子鍵中継を行いさえすればよい。このようにして、鍵ノードの計算リソース要件が著しく低減され、それによって鍵ノードの機能が簡素化され、鍵ノードの複雑さおよびコストが低減される。
第4に、集中管理制御ネットワーク内のすべての鍵ノードのトポロジ情報が集中コントローラ上に格納され、各鍵ノードに格納される必要がないので、鍵ノードに関する情報が盗まれるときに、全集中管理制御ネットワーク内の鍵ノードのトポロジ情報は盗まれず、そのため集中管理制御ネットワーク全体のセキュリティが強化される。
第5に、本出願の本実施形態における集中コントローラは、量子鍵消費パラメータと、集中管理制御ネットワーク内の鍵ノードのトポロジ情報とに基づいて鍵中継命令を決定しうるので、集中コントローラは、サービス要求の要件を満たす1つまたは複数のパスを決定することができる。
第6に、本出願の本実施形態では量子鍵中継と集中管理制御ネットワークとが組み合わされるので、集中管理制御ネットワークに基づいてネットワーク規模を柔軟に拡大することができ、集中化された自動的なネットワーク管理などを実現するために、サービスノードおよび/または鍵ノードを集中管理制御ネットワークに柔軟に追加することができる。
本出願の本実施形態では、集中コントローラは、サービス層、鍵管理層、および鍵生成層に関する情報を収集し、サービスノードおよび鍵ノードを管理しうる。本出願の本実施形態では、集中コントローラについて、以下の実施態様a1、実施態様a2、実施態様a3、および実施態様a4を使用して説明する。
実施態様a1
任意選択で、集中管理制御ネットワークのトポロジ情報は、各鍵ノードの少なくとも1つの識別子と、各鍵ノードと1つまたは複数の他の鍵ノードとの間の量子リンクの状況とを含む。量子リンクの状況は、鍵ノードと別の鍵ノードとの間のリンクの状況、例えば、2つの鍵ノードの間につながったリンクがあることや、2つの鍵ノードの間につながったリンクがないこと、を含んでいてもよく、各鍵ノードと別の鍵ノードとの間のリンクが正常な動作状態かそれとも異常な状態かを指示するためにさらに使用されてもよい。
サービス層へのある鍵ノードの追加は、専用のハードウェアによって制限される必要がない。新しく追加された鍵ノードは、その鍵ノードと近隣の鍵ノードとの間の量子リンクが正常な動作状態かそれとも異常な状態かを判断し、リンクが異常な状態にある場合、その関連情報を集中管理制御ネットワークに追加するために新しく追加された鍵ノードの関連情報を集中コントローラに報告しうる。集中コントローラに報告された、新しく追加された鍵ノードの関連情報は、新しく追加された鍵ノードの識別子、新しく追加された鍵ノードと別の鍵ノードとの間の量子リンクの状況などでありうる。
鍵ノードと近隣の鍵ノードとの間の量子リンクが異常な状態にある場合、鍵ノードは、集中コントローラに鍵ノードの近隣の鍵ノードの異常な状態を報告しうる。集中コントローラは、受信した鍵ノードの異常な状態に関する情報に基づいて近隣の鍵ノードに検出信号を送信する。集中コントローラが、所定の期間内に、近隣の鍵ノードによって送信された応答信号を受信しない場合、集中コントローラは、近隣の鍵ノードが利用できないと判断し、集中管理制御ネットワークからその近隣の鍵ノードに関する情報を削除する。
集中管理制御ネットワークにおいては、集中コントローラは、ネットワーク規模を柔軟に拡大するように、鍵ノードを柔軟に追加し、削除し、将来における様々な新しいネットワークシステムアーキテクチャおよび新しいサービスのイノベーションをサポートすることができることが分かる。これは分散制御よりも高い配置の実現性を有する。前述の方法と同様の方法を使用してサービスノードを追加し、削除することができるので、ネットワーク規模を柔軟に拡大することができる。この方法は、鍵ノードを追加し、削除し、例外を決定するための方法と同様であり、ここでは詳細を繰り返さない。
実施態様a2
任意選択で、集中コントローラは、集中管理制御ネットワーク内の各サービスノードのユーザを識別してもよい。任意選択で、各エリア内のすべてのサービスノードがグループ識別子にさらに対応していてもよく、管理を円滑化するために異なるエリアに異なるグループ識別子が使用される。例えば、サービスノードのグループ識別子は、電話番号のエリアコードと同様であってもよい。量子鍵を使用するためのサービス要求を出す場合、ユーザは、ユーザのサービスノードの識別子と、集中コントローラの受信端のサービスノードの識別子とを提供する必要がある。
これに対応して、任意選択で、集中コントローラは、集中管理制御ネットワーク内の各鍵ノードのユーザを識別してもよい。任意選択で、各エリア内のすべての鍵ノードがグループ識別子にさらに対応していてもよく、管理を円滑化するために異なるエリアに異なるグループ識別子が使用される。例えば、鍵ノードのグループ識別子は、電話番号のエリアコードと同様であってもよい。量子鍵を使用するためのサービス要求を出す場合、ユーザは、ユーザの鍵ノードの識別子と、集中コントローラの受信端の鍵ノードの識別子とを提供する必要がある。
実施態様a3
任意選択で、サービス要求を取得した後、集中コントローラは、送信元サービスノードおよび/または宛先サービスノードに対応するユーザ許可に基づいて、サービス要求のための量子鍵を提供するかどうかを判断してもよい。送信元サービスノードが量子鍵を取得する許可を有する場合、サービス要求に量子鍵が提供される。送信元サービスノードが量子鍵を取得する許可を有しない場合、サービス要求は直接拒絶される。
任意選択で、ユーザが量子鍵を使用するためのサービス要求を出す場合、サービス要求は、送信元サービスノードの識別子、宛先サービスノードの識別子、およびサービス要求の量子鍵消費パラメータを含む。任意選択で、開始されたサービスの数、サービスの優先度、開始される必要のあるサービスが一般のサービスであるかどうかなどの情報がさらに提供されてもよい。
任意選択で、本出願の本実施形態の前述のステップ301で、集中コントローラはZ個のサービス要求を取得する。具体的には、複数の可能な方法がある。本出願の本実施形態では、例として以下のいくつかの方法について説明する。
第1の可能な方法では、送信元サービスノードが集中コントローラにサービス要求を報告する。任意選択で、サービス要求は、宛先サービスノードの識別子およびサービス要求の量子鍵消費パラメータを含む。送信元サービスノードが集中コントローラにサービス要求を報告するので、集中コントローラは、送信元サービスノードの識別子を決定することができ、さらに集中コントローラは、サービス要求に含まれる内容に基づいて宛先サービスノードの識別子およびサービス要求の量子鍵消費パラメータを決定することができる。
第2の可能な方法では、宛先サービスノードが集中コントローラにサービス要求を報告する。任意選択で、サービス要求は、送信元サービスノードの識別子およびサービス要求の量子鍵消費パラメータを含む。宛先サービスノードが集中コントローラにサービス要求を報告するので、集中コントローラは、宛先サービスノードの識別子を決定することができ、さらに集中コントローラは、サービス要求に含まれる内容に基づいて送信元サービスノードの識別子およびサービス要求の量子鍵消費パラメータを決定することができる。
第3の可能な方法では、集中コントローラが、事前設定規則に従って所定の時刻に、送信元サービスノードと宛先サービスノードとの間でサービス要求を開始する。任意選択で、事前設定規則は、送信元サービスノードの識別子、宛先サービスノードの識別子、およびサービス要求の量子鍵消費パラメータに関する情報を含んでいてもよい。
第4の可能な方法では、オペレータまたは第三者プログラムが、所定の時刻に送信元サービスノードと宛先サービスノードとの間でサービス要求を開始するよう集中コントローラを直接構成する。任意選択で、事前設定規則が、送信元サービスノードの識別子、宛先サービスノードの識別子、およびサービス要求の量子鍵消費パラメータに関する情報を含んでいてもよい。
実施態様a4
ステップ304の前に、可能な一実施態様は、集中コントローラが、集中管理制御ネットワーク内の鍵ノードによって報告された、鍵ノードのトポロジ情報を周期的に取得することである。別の可能な実施態様は、鍵ノードが集中コントローラに鍵ノードのトポロジ情報を周期的に報告することである。このようにして、集中コントローラは、より正確で適切な鍵中継パスを提供するために、いつでも鍵ノードの最新のトポロジ情報を制御することができる。
任意選択で、集中管理制御ネットワーク内の鍵ノードのトポロジ情報は、少なくとも、各鍵ノードの識別子、各鍵ノードと1つまたは複数の他の鍵ノードとの間の量子リンクの状況、および任意の2つの隣接した鍵ノードのエッジ重みを含む。
任意選択で、いくつかの量子鍵が任意の2つの鍵ノード間で事前格納される。図3aは、本出願の一実施形態による集中管理制御ネットワークにおける鍵ノード接続アーキテクチャの概略図の一例である。図3aに示すように、鍵ノードA、鍵ノードB、鍵ノードE、鍵ノードD、鍵ノードC、および鍵ノードAは、連続して接続されている。各鍵ノードは、各鍵ノードと別の鍵ノードとによって共有される量子鍵を格納している。例えば、図3aでは、鍵ノードAは、鍵ノードAと鍵ノードBとによって共有される量子鍵と、鍵ノードAと鍵ノードCとによって共有される量子鍵と、鍵ノードAと鍵ノードDとによって共有される量子鍵と、鍵ノードAと鍵ノードEとによって共有される量子鍵とを事前格納している。別の例として、鍵ノードCは、鍵ノードCと鍵ノードAとによって共有される量子鍵と、鍵ノードCと鍵ノードDとによって共有される量子鍵とを事前格納している。
任意選択で、共有量子鍵は、サービス伝送を頻繁に行う2つのサービスノードに対応する2つの鍵ノード間で格納されていてもよい。このようにして、2つのサービスノード間のサービス伝送のために量子鍵が消費される必要があるときに、2つのサービスノードに対応する鍵ノード間の在庫量子鍵が直接使用され、2つのサービスノードに対応する鍵ノードによって共有される量子鍵が再生成される必要がないので、鍵提供応答速度が高まる。
本出願の本実施形態では、図3aに示すように、鍵ノードA、鍵ノードB、鍵ノードE、鍵ノードD、鍵ノードC、および鍵ノードAは、連続して物理的に接続されている。鍵ノードAと鍵ノードBとは2つの隣接した鍵ノードと呼ばれる場合があり、鍵ノードBと鍵ノードEとは2つの隣接した鍵ノードと呼ばれる場合があり、鍵ノードEと鍵ノードDとは2つの隣接した鍵ノードと呼ばれる場合があり、鍵ノードDと鍵ノードCとは2つの隣接した鍵ノードと呼ばれる場合があり、鍵ノードCと鍵ノードAとは2つの隣接した鍵ノードと呼ばれる場合がある。
加えて、本出願の本実施形態では、物理的にリンク接続関係にある前述の2つの量子鍵ノードは2つの隣接した鍵ノードと呼ばれ、さらに、共有量子鍵を格納している2つの鍵ノードも2つの隣接した鍵ノードと呼ばれる。例えば、図3aに示すように、鍵ノードAと鍵ノードEとの間で共有量子鍵が格納されており、したがって、鍵ノードAと鍵ノードEとは2つの隣接した鍵ノードと呼ばれうる。別の例では、鍵ノードAと鍵ノードDとの間で共有量子鍵が格納されており、したがって、鍵ノードAと鍵ノードDとは2つの隣接した鍵ノードと呼ばれうる。言い換えると、いくつかの鍵ノード、例えば鍵ノードAと鍵ノードEとは、本出願の本実施形態では物理的に隣接していないが、それら2つの鍵ノードは共有量子鍵を有するので、本出願の本実施形態ではそのような2つの鍵ノードも2つの隣接した鍵ノードと呼ばれる。
2つの鍵ノードは、2つの量子鍵によって共有される量子鍵を別々に格納し、それらの鍵ノード上で共有鍵プールが作成され、量子鍵が鍵プールに事前格納される。サービス要求が生じたときに、多数の鍵を迅速に提供することができる。サービス要求がないときには、鍵プールは鍵プールが一杯になるまで補充されうる。任意選択で、鍵プールから排出された後、鍵は鍵プールに再度入ることができない。格納時に、量子鍵はデータ待ち行列形式で鍵ノードの鍵プールに格納されてもよく、最初に生成された量子鍵は、最初に鍵プールに入り、量子鍵を使用する必要があるときに最初に抽出される。
任意選択で、量子鍵が複数の鍵中継命令を受け取った場合、量子鍵が複数の鍵中継命令に基づいて共有鍵プールから同時に抽出される必要があるときに、量子鍵は、複数の鍵中継命令のソートに基づいて鍵プールから連続して抽出されうる。任意選択で、複数の鍵中継命令は、集中コントローラでソートされてもよく、または鍵ノードでソートされてもよい。このようにして、2つの鍵ノードが同じサービス要求内の2つの鍵中継命令に基づいて量子鍵を抽出するときに、共有鍵プールから同じ共有量子鍵を抽出することができる。
鍵ノードは、複数のポイントツーポイント量子鍵配送システムを同時にさらに作成してもよく、それらのシステムは同時に動作することができるので、量子鍵格納速度を高めることができる。例えば、鍵ノードAと鍵ノードBとの間で共有量子鍵が生成され、格納され、鍵ノードAと鍵ノードCとの間で共有量子鍵が生成され、格納されうる。鍵ノードAと鍵ノードBの量子鍵配送システムと、鍵ノードAと鍵ノードCの量子鍵配送システムとは互いに独立しており、同時に動作することができるので、量子鍵格納速度が高まる。
具体的な実装に際しては、任意選択で、鍵ノードのトポロジ情報を決定した後、鍵ノード間の在庫量子鍵の数が鍵ノード間の在庫量子鍵の閾値数未満であると判断した場合、集中コントローラは、2つの鍵ノード間の在庫量子鍵の数を増やすために、2つの鍵ノード間で量子鍵を中継する命令を配信し、2つの鍵ノード間の共有量子鍵を生成し、共有量子鍵を鍵プールに追加しうる。
サービス要求を取得した後、集中コントローラは、量子鍵中継動作が行われる必要があるかどうかを判断する必要がある。任意選択で、異なる鍵消費パラメータに基づいて特定の判断が行われてもよい。任意選択で、鍵消費パラメータは総鍵消費数Kを含む。任意選択で、鍵消費パラメータは総鍵消費数Kおよびサービス持続時間tを含む。任意選択で、鍵消費パラメータはサービスの鍵消費速度Vを含む。したがって、集中コントローラは、特定の鍵消費パラメータに基づいて鍵中継パスをより正確に決定し、サービス要求に対応するサービスに量子鍵をより適切に提供することができる。以下で、いくつかの可能な事例を例にとって説明する。
事例1では、鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含むか、または総鍵消費数Kのみを含む場合、集中コントローラは、送信元鍵ノードと宛先鍵ノードとの間の在庫量子鍵の数Pを取得する。総鍵消費数Kが在庫鍵の数P以下である場合、集中コントローラは、鍵中継動作が行われる必要はないと判断する。このようにして、サービス暗号化および解読プロセスを実施するために、送信元鍵ノードと宛先鍵ノードとによって共有される量子鍵を鍵ノードから直接取得することができる。
事例2では、鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含むか、または総鍵消費数Kのみを含む場合、集中コントローラは、送信元鍵ノードと宛先鍵ノードとの間の在庫量子鍵の数Pを取得する。総鍵消費数Kが在庫鍵の数Pより大きい場合、集中コントローラは、鍵中継動作が行われる必要があると判断する。別の可能な方法では、鍵消費パラメータがサービスの鍵消費速度Vを含む場合、集中コントローラは、鍵中継動作が行われる必要があると判断する。このようにして、そのサービス持続時間が任意の持続時間であるサービス要求に対応するサービスによって必要とされる量子鍵の数を最大限まで保証することができる。
以下で、鍵中継動作が行われる必要がある事例について説明する。
任意選択で、集中管理制御ネットワーク内の鍵ノードのトポロジ情報は、各鍵ノードの識別子、各鍵ノードと1つまたは複数の他の鍵ノードとの間の量子リンクの状況、および任意の2つの隣接した鍵ノードのエッジ重みを含む。任意選択で、送信元鍵ノードから宛先鍵ノードまでの各パス上の2つの隣接した鍵ノードが1つのエッジ重みに対応しており、2つの鍵ノードに対応するエッジ重みが小さいほど、それら2つの隣接した鍵ノードの量子鍵提供能力が弱いことを示す。各パスは1つの最小エッジ重みノード対を含み、各パス上の最小エッジ重みノード対は、そのパス上の最小エッジ重みを有する2つの鍵ノードである。鍵ノードのトポロジ情報が任意の2つの隣接した鍵ノードのエッジ重みを含み、2つの鍵ノードに対応するエッジ重みが小さいほど、2つの隣接した鍵ノードの量子鍵提供能力が弱いことを示すので、鍵中継命令は、各パス上の2つの隣接した鍵ノードの量子鍵提供能力に基づいて決定されうる。
任意選択で、2つの隣接した鍵ノードに対応するエッジ重みは、2つの隣接した鍵ノードによって共有される在庫量子鍵の数と、事前設定持続時間に2つの鍵ノードによって共有される量子鍵の生成数との和、2つの隣接した鍵ノードによって共有される在庫量子鍵の数、および2つの隣接した鍵ノードによって共有される量子鍵の生成速度、のうちのいずれか1つを含む。任意選択で、事前設定持続時間に2つの鍵ノードによって共有される量子鍵の生成数は、事前設定持続時間と2つの鍵ノードによって共有される量子鍵の生成速度との積である。このようにして、在庫量子鍵の数、事前設定持続時間に2つの鍵ノードによって共有される量子鍵の生成数、および量子鍵の生成速度のうちのいずれか1つまたは複数を使用して量子鍵提供能力が正確に反映される。
任意選択で、Z個のサービス要求を取得した後、G個のサービス要求に対応する鍵中継命令を決定する前に、集中コントローラは、Z個のサービス要求の各々について以下の動作をさらに行う。
集中コントローラが、送信元鍵ノードから宛先鍵ノードまでのすべてのパスの各々を決定し、すべてのパスの各々について、集中コントローラが、各パスの2つの隣接した鍵ノードの現在の量子鍵生成速度を決定し、集中コントローラが、当該パス上で別のサービス要求が割り振られておらず、当該パス上で別のサービス要求を割り振る計画がないと判断した場合、集中コントローラが、現在の量子鍵生成速度を、2つの隣接した鍵ノードの量子鍵生成速度として決定するか、または集中コントローラが、当該パス上で別のサービス要求が割り振られているか、もしくは当該パス上で別のサービス要求を割り振る計画があると判断した場合、集中コントローラが、2つの隣接した鍵ノードの、当該の別のサービス要求に対応する量子鍵消費速度を決定し、現在の量子鍵生成速度と別のサービス要求に対応する量子鍵消費速度との差を、2つの隣接した鍵ノードの量子鍵生成速度として決定する。
任意選択で、Z個のサービス要求を取得した後、G個のサービス要求に対応する鍵中継命令を決定する前に、集中コントローラは、Z個のサービス要求の各々について以下の動作をさらに行う。
集中コントローラが、送信元鍵ノードから宛先鍵ノードまでのすべてのパスの各々を決定し、すべてのパスの各々について、集中コントローラが、各パスの2つの隣接した鍵ノードによって現在共有される在庫量子鍵の数を決定し、集中コントローラが、当該パス上で別のサービス要求が割り振られておらず、当該パス上で別のサービス要求を割り振る計画がないと判断した場合、集中コントローラが、現在共有されている在庫量子鍵の数を2つの隣接した鍵ノードによって共有される在庫量子鍵の数として決定するか、または集中コントローラが、当該パス上で別のサービス要求が割り振られているか、もしくは当該パス上で別のサービス要求を割り振る計画があると判断した場合、集中コントローラが、2つの隣接した鍵ノードの、当該の別のサービス要求に対応する量子鍵消費数を決定し、現在共有されている在庫量子鍵の数と別のサービス要求に対応する量子鍵消費数との差を、2つの隣接した鍵ノードによって共有される在庫量子鍵の数として決定する。
言い換えると、Z個のサービス要求を取得した後、集中コントローラは、サービス要求を別々に処理するか、またはZ個のサービス要求を同時に処理する。例えば、集中コントローラは、サービス要求1を処理し、パス1でサービス要求1を割り振る計画を立て、この場合、集中コントローラがサービス要求2を処理するときに、集中コントローラは、すでにパス1でサービス要求1を割り振る計画があることを考慮する必要があるので、互いに矛盾しない複数の適切な鍵中継命令が複数のサービス要求により正確に割り振られる。
任意選択で、集中コントローラがZ個のサービス要求の各々に基づいて、各サービス要求に対応している送信元サービスノードの識別子および宛先サービスノードの識別子と、サービス要求の量子鍵消費パラメータとを決定するステップの後、G個のサービス要求に対応する鍵中継命令を決定するステップの前に、本方法は、Z個のサービス要求の各々について、集中コントローラが鍵ノードのトポロジ情報に基づいて集中管理制御ネットワークから、第1のパスセットを取得するために、送信元鍵ノードから宛先鍵ノードまでのすべてのパスを決定する動作と、集中コントローラが第1のパスセットから、鍵消費パラメータに対応する第1の条件を満たすQ個の第2のパスを決定する動作であって、Qが0以上の整数である、動作と、を行うステップ、をさらに含む。
鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含む場合、鍵消費パラメータに対応する第1の条件は、以下の式(1)である。
P+Pm+wm*t≧K 式(1)
式(1)において、Pは、送信元鍵ノードと宛先鍵ノードとの間の在庫量子鍵の数であり、Pmは、パス上の最小エッジ重みノード対の在庫量子鍵の数であり、wmは、パス上の最小エッジ重みノード対の量子鍵生成速度であり、tは、サービス持続時間であり、Kは、総鍵消費数である。任意選択で、鍵消費パラメータが総鍵消費数Kのみを含む場合、前述の式(1)においてtが0であると仮定して、計算が行われる。
鍵消費パラメータがサービスの鍵消費速度Vを含む場合、鍵消費パラメータに対応する第1の条件は、次式である。
wm≧V 式(2)
式(2)において、wmは、パス上の最小エッジ重みノード対の量子鍵生成速度であり、Vは、サービスの鍵消費速度である。
式(1)から、第1の条件が満たされるとき、送信元鍵ノードと宛先鍵ノードとの間の在庫量子鍵の数、パス上の最小エッジ重みノード対の在庫量子鍵の数、およびパス上の最小エッジ重みノード対の量子鍵生成数は、総鍵消費数以上であることが分かる。式(2)から、第1の条件が満たされるとき、パス上の最小エッジ重みノード対の量子鍵生成速度は、サービスの鍵消費速度以上であることが分かる。したがって、ただ1つのパスを使用してサービス要求によって必要とされる鍵の数を満たすことができる。
さらに、鍵ノードのトポロジ情報が鍵ノード間のリンクの状況を含むので、送信元鍵ノードから宛先鍵ノードまでのすべてのパスを、鍵ノードのトポロジ情報に基づいて集中管理制御ネットワークからまず決定することができ、次いで、Q個の第2のパスを使用して量子鍵中継を実施するために、すべてのパスから第1の条件を満たすQ個の第2のパスが決定され、そのため決定された鍵中継パスは、サービス要求によって必要とされる鍵の数を満たす。
任意選択で、Qが1である場合、集中コントローラは、第2のパスを鍵中継パスとして決定し、鍵中継パスに基づいて、サービス要求に対応する鍵中継命令を決定する。
任意選択で、Qが1より大きい場合、最適なパスがQ個の第2のパスから鍵中継パスとして選択されてよく、例えば、最小エッジ重みノード対が最高の量子鍵生成速度を有するパスがQ個の第2のパスから選択されるか、または最小エッジ重みノード対が最大数の在庫量子鍵を有するパスがQ個の第2のパスから選択される。任意選択の一実施態様は以下のとおりである。集中コントローラは、各第2のパス上の最小エッジ重みノード対および各最小エッジ重みノード対のエッジ重みを決定し、すべての第2のパスの最小エッジ重みノード対から最大エッジ重みを有する最小エッジ重みノード対を決定し、鍵中継パスとして、最大エッジ重みを有する最小エッジ重みノード対に対応する第2のパスを決定し、鍵中継パスに基づいて、サービス要求に対応する鍵中継命令を決定する。このようにして、選択された鍵中継パスがサービス要求によって必要とされる鍵の数を満たし、サービス要求の実行が完了された後に、比較的多数の残りの在庫量子鍵があるよう保証することができる。
任意選択で、Qが0である、具体的には、送信元鍵ノードから宛先鍵ノードまでのパスのどれも第1の条件を満たすことができない場合、量子鍵中継を同時に行うために複数のパスが選択されるので、生成された量子鍵がサービス要求の要件を満たす。複数の具体的な方法がある。例えば、サービス要件を満たすことができる複数のパスがすべてのパスから選択される。本出願の本実施形態は、以下の任意選択の実施態様を提供する。集中コントローラは、第3のパスセットを取得するために、第1のパスセットに含まれるすべてのパスからS個のパスを決定し、Sは、2以上の整数であり、第3のパスセットに含まれるどの2つのパスもオーバーラップするエッジを有さず、集中コントローラが、S個のパスが鍵消費パラメータに対応する第2の条件を満たすと判断した場合、集中コントローラは、S個のパスを鍵中継パスとして決定し、鍵中継パスに基づいて、サービス要求に対応する鍵中継命令を決定する。
鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含む場合、鍵消費パラメータに対応する第2の条件は、以下の式(3)である。
Figure 2020501413
式(3)において、Pは、送信元鍵ノードと宛先鍵ノードとの間の在庫量子鍵の数であり、iの値範囲は、[1,S]であり、Sは、第3のパスセット内のパスの数であり、Piは、第iのパス上の最小エッジ重みノード対の在庫量子鍵の数であり、wiは、第iのパス上の最小エッジ重みノード対の量子鍵生成速度であり、tは、サービス持続時間であり、Kは、総鍵消費数である。
式(3)において、サービス要求はサービス持続時間tを含む。1回限りの鍵消費要求では、総鍵消費数Kだけが設定され、tは設定されない。本出願の本実施形態では、以下の任意選択の解決策が提供される。1回限りの鍵消費サービス要求では、前述の式(3)が使用される場合、tは0であると仮定される。言い換えると、パス上の在庫量子鍵の数のみが考慮される。
鍵消費パラメータがサービスの鍵消費速度Vを含む場合、鍵消費パラメータに対応する第2の条件は、以下の式(4)である。
Figure 2020501413
式(4)において、iの値範囲は、[1,S]であり、Sは、第3のパスセット内のパスの数であり、wiは、第iのパス上の最小エッジ重みノード対の量子鍵生成速度であり、Vは、サービスの鍵消費速度である。
式(3)から、第2の条件が満たされるとき、送信元鍵ノードと宛先鍵ノードとの間の在庫量子鍵の数、第3のパスセット内のS個のパス上のS個の最小エッジ重みノード対の在庫量子鍵の数の和、およびS個のパス上のS個の最小エッジ重みノード対の量子鍵生成数の和は、総鍵消費数以上であることが分かる。式(4)から、第2の条件が満たされるとき、第3のパスセット内のS個のパス上のS個の最小エッジ重みノード対の量子鍵生成速度の和は、サービスの鍵消費速度以上であることが分かる。したがって、S個のパスだけを使用してサービス要求によって必要とされる鍵の数を満たすことができる。
さらに、鍵ノードのトポロジ情報が鍵ノード間のリンクの状況を含むので、送信元鍵ノードから宛先鍵ノードまでのすべてのパスを、鍵ノードのトポロジ情報に基づいて集中管理制御ネットワークからまず決定することができ、次いで、S個のパスがすべてのパスから決定されて、S個のパスが第2の条件を満たすことが保証される。このようにして、1つのパスがサービス要求によって必要とされる量子鍵の数を満たすことができない場合、決定された鍵中継パスがサービス要求によって必要とされる鍵の数を満たすよう保証するために、複数のパスを同時に使用して量子鍵中継を行うことができる。
1つの鍵ノードが複数の鍵ノードにリンクされうるので、異なるパス間にオーバーラップするエッジが生じることがある。例えば、パス「鍵ノードA−鍵ノードB−鍵ノードC−鍵ノードD」とパス「鍵ノードA−鍵ノードB−鍵ノードE−鍵ノードD」との間のオーバーラップするエッジは、鍵ノードA−鍵ノードBである。量子鍵は、量子鍵中継が複数のパスを使用して同時に行われるときに各パス上で生成される必要があり、この場合、オーバーラップするエッジは、複数のパス上に同時に位置する。複数のパスに同時にサービスするためにオーバーラップするエッジが使用される必要が生じるのを回避するために、本出願の本実施形態では、その間にオーバーラップするエッジがない、第3のパスセット内のS個のパスがすべてのパスから決定される。言い換えると、オーバーラップするエッジを有する複数のパスから1つのパスが選択される。このようにして、前述の第2の条件を満たす第3のパスセット内の複数のパスを選択することができる。
本出願の本実施形態は、第3のパスセットを取得するために、第1のパスセットからS個のパスを決定するのに使用される任意選択の一実施態様を提供する。具体的には、集中コントローラが、第1のパスセット内のどの2つのパスもオーバーラップするエッジを有しないと判断した場合、集中コントローラは、第1のパスセットに含まれるすべてのパスがS個のパスであると決定するか、または集中コントローラが、第1のパスセット内の少なくとも2つのパスがオーバーラップするエッジを有すると判断した場合、第1のパスセット内のオーバーラップするエッジごとに、集中コントローラは、オーバーラップするエッジに対応するT個のパスを決定する動作と、S個のパスのうちの1つとして、T個のパス上の最大エッジ重みを有する最小エッジ重みノード対に対応するパスを決定する動作であって、Tが2以上の整数である、動作と、を行う。最大エッジ重みを有する最小エッジ重みノード対に対応するパスが選択されるので、このパスは、サービス要求により十分な量子鍵を提供することができる。加えて、選択されたパスがサービス要求に量子鍵を提供した後、そのパス上の最小エッジ重みノード対の在庫鍵の数と別のパス上の最小エッジ重みノード対の在庫鍵の数との差が最小化されるので、集中管理制御ネットワーク内のすべてのパスの負荷能力が均衡化される。
本出願の本実施形態では、第3のパスセット内のS個のパスによってサービス要求に十分な量子鍵を提供することができる。具体的な実装に際しては、量子鍵消費数がパスごとにランダムに割り振られうる。本出願の本実施形態では提供される別の任意選択の一実施態様では、第3のパスセット内のS個のパスに量子鍵消費数が割り振られた後、すべてのパス上の最小エッジ重みノード対が同数の残りの鍵を有するので、S個のパスは次のサービス要求に量子鍵をより適切に提供することができる。この解決策は具体的には以下のとおりである。鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含み、S個のパスを鍵中継パスとして決定した後、集中コントローラが、S個のパスの第iのパスに対応する各鍵ノードに対応する量子鍵消費数Liを決定し、Liが、以下の式(5)の要件を満たす。
Li=(Pi+wi*t)−R 式(5)
式(5)において、Liは、S個のパスの第iのパスに対応する各鍵ノードに対応する量子鍵消費数であり、iの値範囲は、[1,S]であり、Sは、第3のパスセット内のパスの数であり、Piは、第iのパス上の最小エッジ重みノード対の在庫量子鍵の数であり、wiは、第iのパス上の最小エッジ重みノード対の量子鍵生成速度であり、tは、サービス持続時間であり、Rは、第3のパスセット内の各パス上の最小エッジ重みノード対の残りの鍵の数である。
式(5)において、サービス要求はサービス持続時間tを含む。1回限りの鍵消費要求では、総鍵消費数Kだけが設定され、tは設定されない。本出願の本実施形態では、以下の任意選択の解決策が提供される。1回限りの鍵消費サービス要求では、前述の式(5)が使用される場合、tは0であると仮定される。言い換えると、パス上の在庫量子鍵の数のみが考慮される。
式(5)から、第3のパスセット内のすべてのパスは同数の残りの鍵を有し、Liが、以下の式(6)の要件を満たすことが分かる。
Figure 2020501413
式(6)において、Rは、第3のパスセット内の各パス上の最小エッジ重みノード対の残りの鍵の数であり、iの値範囲は、[1,S]であり、Sは、第3のパスセット内のパスの数であり、Piは、第iのパス上の最小エッジ重みノード対の在庫量子鍵の数であり、wiは、第iのパス上の最小エッジ重みノード対の量子鍵生成速度であり、tは、サービス持続時間であり、Pは、送信元鍵ノードと宛先鍵ノードとの間の在庫量子鍵の数であり、Kは、総鍵消費数である。
式(6)において、サービス要求はサービス持続時間tを含む。1回限りの鍵消費要求では、総鍵消費数Kだけが設定され、tは設定されない。本出願の本実施形態では、以下の任意選択の解決策が提供される。1回限りの鍵消費サービス要求では、前述の式(6)が使用される場合、tは0であると仮定される。言い換えると、パス上の在庫量子鍵の数のみが考慮される。
前述のいくつかの解決策では、鍵中継動作が行われる必要があると判断されたときに鍵中継パスを決定する解決策について説明している。以下で、いくつかの具体例を使用して前述の解決策について説明する。
例a1
図3bは、本出願の一実施形態による鍵中継パスの概略図の一例である。図3bに示すように、集中管理制御ネットワークは、鍵ノードA、鍵ノードB、鍵ノードC、鍵ノードD、および鍵ノードEを含み、5つの鍵ノードは連続してリンクされている。鍵ノードAと鍵ノードBとの間の在庫量子鍵の数は50kbits(キロビット)であり、鍵ノードBと鍵ノードEとの間の在庫量子鍵の数は50kbitsであり、鍵ノードEと鍵ノードDとの間の在庫量子鍵の数は1Mbits(メガビット)であり、鍵ノードCと鍵ノードDとの間の在庫量子鍵の数は1Mbitsであり、鍵ノードCと鍵ノードAとの間の在庫量子鍵の数は1Mbitsである。
サービス要求の総鍵消費数は50kbitsであり、このサービス要求は1回限りの鍵消費要求である。この場合、鍵中継パスの決定時に、tは0であると仮定される。言い換えると、パス上の在庫鍵の数のみが考慮される。この例では、2つの鍵ノードによって共有される在庫量子鍵の数であるエッジ重みが、鍵中継パスを決定するために使用される。送信元鍵ノードは鍵ノードAであり、宛先鍵ノードは鍵ノードEである。集中コントローラによって行われる選択の具体的なプロセスは以下のとおりである。集中コントローラが、鍵ノードAから鍵ノードEまでのすべてのパスを決定する。それらのパスは、「鍵ノードA−鍵ノードB−鍵ノードE」および「鍵ノードA−鍵ノードC−鍵ノードD−鍵ノードE」であり、2つのパスは第1のパスセットを形成する。
パス「鍵ノードA−鍵ノードB−鍵ノードE」上の隣接した鍵ノード間の在庫量子鍵の数はすべての50kbitsであるので、パス上の最小エッジ重みノード対は、鍵ノードAと鍵ノードBまたは鍵ノードBと鍵ノードEのどちらかである。パス「鍵ノードA−鍵ノードC−鍵ノードD−鍵ノードE」上の隣接した鍵ノード間の在庫量子鍵の数はすべての1Mbitsであるので、パス上の最小エッジ重みノード対は、鍵ノードAと鍵ノードC、鍵ノードCと鍵ノードD、および鍵ノードDと鍵ノードEのうちのいずれか1つである。
第1のパスセット内の2つのパスはどちらも前述の第1の条件を満たし、したがって第1のパスセット内の2つのパスは、第1の条件を満たす2つの第2のパスである。
エッジ重みが2つの鍵ノードによって共有される在庫量子鍵の数である場合、パス「鍵ノードA−鍵ノードB−鍵ノードE」上の最小エッジ重みノード対のエッジ重みは50kbitsであり、パス「鍵ノードA−鍵ノードC−鍵ノードD−鍵ノードE」上の最小エッジ重みノード対のエッジ重みは1Mbitsである。
任意選択で、鍵ノードに、後続のサービス要求に量子鍵をより適切に提供させるために、すなわち、現在のサービス要求後にパス上に可能な限り多くの量子鍵を残すために、本出願の本実施形態では、最大エッジ重みを有する最小エッジ重みノード対に対応する第2のパスが鍵中継パスとして選択され、具体的には、そのエッジ重みが1Mbitsであるパス「鍵ノードA−鍵ノードC−鍵ノードD−鍵ノードE」が鍵中継パスとして使用される。
例a2
図3cは、本出願の一実施形態による別の鍵中継パスの概略図の一例である。図3cに示すように、集中管理制御ネットワークは、鍵ノードA、鍵ノードB、鍵ノードC、鍵ノードD、および鍵ノードEを含み、5つの鍵ノードは連続してリンクされている。鍵ノードAと鍵ノードBとの間の在庫量子鍵の数は50kbitsであり、量子鍵生成速度は5kbps(キロビット/秒)であり、鍵ノードBと鍵ノードEとの間の在庫量子鍵の数は50kbitsであり、量子鍵生成速度は5kbpsであり、鍵ノードEと鍵ノードDとの間の在庫量子鍵の数は1Mbitsであり、量子鍵生成速度は3kbpsであり、鍵ノードCと鍵ノードDとの間の在庫量子鍵の数は1Mbitsであり、量子鍵生成速度は3kbpsであり、鍵ノードCと鍵ノードAとの間の在庫量子鍵の数は1Mbitsであり、量子鍵生成速度は3kbpsである。
サービス要求の総鍵消費数が1.05Mbitsである場合、鍵中継パスの決定時に、tは0である。言い換えると、パス上の在庫鍵の数のみが考慮される。この例では、2つの鍵ノードによって共有される在庫量子鍵の数であるエッジ重みが、鍵中継パスを決定するために使用される。送信元鍵ノードは鍵ノードAであり、宛先鍵ノードは鍵ノードEである。集中コントローラによって行われる選択の具体的なプロセスは以下のとおりである。集中コントローラが、鍵ノードAから鍵ノードEまでのすべてのパスを決定する。それらのパスは、「鍵ノードA−鍵ノードB−鍵ノードE」および「鍵ノードA−鍵ノードC−鍵ノードD−鍵ノードE」であり、2つのパスは第1のパスセットを形成する。
パス「鍵ノードA−鍵ノードB−鍵ノードE」上の隣接した鍵ノード間の在庫量子鍵の数はすべての50kbitsであるので、パス上の最小エッジ重みノード対は、鍵ノードAと鍵ノードBまたは鍵ノードBと鍵ノードEのどちらかである。パス「鍵ノードA−鍵ノードC−鍵ノードD−鍵ノードE」上の隣接した鍵ノード間の在庫量子鍵の数はすべての1Mbitsであるので、パス上の最小エッジ重みノード対は、鍵ノードAと鍵ノードC、鍵ノードCと鍵ノードD、および鍵ノードDと鍵ノードEのうちのいずれか1つである。
第1のパスセット内の2つのパスのどちらも前述の第1の条件を満たさない。2つのパスは第2の条件を満たすと判断され、tは0であると仮定される。具体的には、総鍵消費数は1.05Mbitsであり、パス「鍵ノードA−鍵ノードB−鍵ノードE」上の最小エッジ重みノード対の在庫量子鍵の数(50kbits)とパス「鍵ノードA−鍵ノードC−鍵ノードD−鍵ノードE」上の最小エッジ重みノード対の在庫量子鍵の数(1Mbits)との和に等しい。
第3のパスセットを取得するために、オーバーラップするエッジのないS個のパスが第1のパスセットから決定される。第1のパスセット内の2つのパス間にはオーバーラップするエッジがないので、第1のパスセットは第3のパスセットと同じである。この場合、2つのパスの両方が鍵中継パスとして決定され、2つのパスを使用して量子鍵中継が同時に行われる。
図3cに示すように、鍵消費パラメータは総鍵消費数Kを含むので、パス「鍵ノードA−鍵ノードB−鍵ノードE」に割り振られた各鍵ノードに対応する量子鍵消費数は50kbitsであり、パス「鍵ノードA−鍵ノードC−鍵ノードD−鍵ノードE」に割り振られた各鍵ノードに対応する量子鍵消費数は1Mbitsである。図3cに示すように、識別子「1」を有する両方のパス上の残りの鍵の数は0である。言い換えると、サービス要求を行うプロセスにおいて、2つのパス上の在庫量子鍵が消費される。しかしながら、サービス要求が進むに従って、2つのパス上で量子鍵が生成される。
パス「鍵ノードA−鍵ノードC−鍵ノードD−鍵ノードE」(図3cで識別子「2」を有するパス)上の最小エッジ重みノード対の量子鍵生成速度が0.05Mbits以上であり、サービス要求の総鍵消費数が1.05Mbits未満である場合、パス上のリアルタイムの量子鍵生成速度が0.05Mbits以上であることを考慮して、このパスだけが鍵中継パスとして選択されうる。任意選択で、サービス要求の総鍵消費数が1.05Mbitである場合、パス上のすべての量子鍵が消費されるのを回避するために、この場合には2つのパスが選択されうる。
例a3
図3dは、本出願の一実施形態による別の鍵中継パスの概略図の一例である。図3dに示すように、集中管理制御ネットワークの構造は図3cの構造と一致しており、ここでは詳細を繰り返さない。
サービス要求のサービスの鍵消費速度は7kbpsである。この例では、2つの鍵ノードによって共有される量子鍵の生成速度であるエッジ重みが、鍵中継パスを決定するために使用される。送信元鍵ノードは鍵ノードAであり、宛先鍵ノードは鍵ノードEである。集中コントローラによって行われる選択の具体的なプロセスは以下のとおりである。集中コントローラが、鍵ノードAから鍵ノードEまでのすべてのパスを決定する。それらのパスは、「鍵ノードA−鍵ノードB−鍵ノードE」および「鍵ノードA−鍵ノードC−鍵ノードD−鍵ノードE」であり、2つのパスは第1のパスセットを形成する。
パス「鍵ノードA−鍵ノードB−鍵ノードE」上の隣接した鍵ノードによって共有される量子鍵の生成速度は5kbpsであるので、パス上の最小エッジ重みノード対は、鍵ノードAと鍵ノードBまたは鍵ノードBと鍵ノードEのどちらかである。パス「鍵ノードA−鍵ノードC−鍵ノードD−鍵ノードE」上の隣接した鍵ノードによって共有される量子鍵の生成速度が3kbpsであるので、パス上の最小エッジ重みノード対は、鍵ノードAと鍵ノードC、鍵ノードCと鍵ノードD、および鍵ノードDと鍵ノードEのうちのいずれか1つである。
第1のパスセット内の2つのパスのどちらも第1の条件を満たさない。前述の2つのパスは第2の条件を満たすと判断される。具体的にはサービスの鍵消費速度7kbpsは、パス「鍵ノードA−鍵ノードB−鍵ノードE」上の最小エッジ重みノード対の量子鍵生成速度(5kbps)とパス「鍵ノードA−鍵ノードC−鍵ノードD−鍵ノードE」上の最小エッジ重みノード対の量子鍵生成速度(5kbps)との和未満である。
第3のパスセットを取得するために、オーバーラップするエッジのないS個のパスが第1のパスセットから決定される。第1のパスセット内の2つのパス間にはオーバーラップするエッジがないので、第1のパスセットは第3のパスセットと同じである。この場合、2つのパスの両方が鍵中継パスとして決定され、2つのパスを使用して量子鍵中継が同時に行われる。
任意選択で、鍵消費パラメータはサービスの鍵消費速度Vを含み、S個のパスを鍵中継パスとして決定した後、集中コントローラは、Y個のパスの各々に対応する量子鍵消費速度を決定する。Y個のパスの各々に対応する最小エッジ重みノード対の在庫量子鍵の数が小さいほど、最小エッジ重みノード対に対応する量子鍵生成速度と、最小エッジ重みノード対に対応するパスに対応する量子鍵消費速度との差が大きいことを指示する。このようにして、各パスがサービス要求にサービスした後、すべてのパス上の最小エッジ重みノード対が同数の残りの鍵を有するよう最大限に保証することができる。
図3dに示すように、パス「鍵ノードA−鍵ノードB−鍵ノードE」が有する在庫量子鍵の数が比較的小さいので、パス上の最小エッジ重みノード対の量子鍵生成速度と量子鍵消費速度との差が比較的大きい必要がある。したがって、パス「鍵ノードA−鍵ノードB−鍵ノードE」に割り振られた各鍵ノードに対応する量子鍵消費速度は4kbpsであり、パス「鍵ノードA−鍵ノードC−鍵ノードD−鍵ノードE」に割り振られた各鍵ノードに対応する量子鍵消費速度は3kbpsである。この場合、パス「鍵ノードA−鍵ノードB−鍵ノードE」上の最小エッジ重みノード対の量子鍵生成速度と量子鍵消費速度との差は1kbpsであり、パス「鍵ノードA−鍵ノードC−鍵ノードD−鍵ノードE」上の最小エッジ重みノード対の量子鍵生成速度と量子鍵消費速度との差は0kbpsである。このようにして、各パスがサービス要求にサービスした後、各パス上で可能な限り多くの量子鍵が確保されるよう保証することができる。
本出願の本実施形態では同時に複数のサービスがありうる。任意選択で、Z個のサービス要求の各々について、集中コントローラが、送信元鍵ノードから宛先鍵ノードまでのすべてのパスの各々を決定する動作と、集中コントローラがすべてのパスの各々について、パス上の2つの隣接した鍵ノードの現在の量子鍵生成速度を決定する動作と、集中コントローラが、当該パス上で別のサービス要求が割り振られておらず、当該パス上で別のサービス要求を割り振る計画がないと判断した場合、現在の量子鍵生成速度を、2つの隣接した鍵ノードの量子鍵生成速度として決定する動作、または集中コントローラが、当該パス上で別のサービス要求が割り振られているか、もしくは当該パス上で別のサービス要求を割り振る計画があると判断した場合、2つの隣接した鍵ノードの、当該の別のサービス要求に対応する量子鍵消費速度を決定し、現在の量子鍵生成速度と別のサービス要求に対応する量子鍵消費速度との差を、2つの隣接した鍵ノードの量子鍵生成速度として決定する動作と、が行われる。このようにして、現在のサービス要求に鍵中継パスが決定されるときに、鍵中継パス上で割り振られているサービス要求が考慮されうるので、複数のサービス要求に量子鍵を同時に提供することができる。
以下の例a4および例a5を使用して、複数のサービス要求の事例について説明する。
例a4
図3eは、本出願の一実施形態による別の鍵中継パスの概略図の一例である。図3eに示すように、集中管理制御ネットワークは、鍵ノードA、鍵ノードB、鍵ノードC、鍵ノードD、および鍵ノードEを含み、5つの鍵ノードは連続してリンクされており、鍵ノードCは鍵ノードBにリンクされている。鍵ノードAと鍵ノードBとの間の在庫量子鍵の数は3Mbitsであり、鍵ノードBと鍵ノードEとの間の在庫量子鍵の数は3Mbitsであり、鍵ノードEと鍵ノードDとの間の在庫量子鍵の数は1Mbitsであり、鍵ノードCと鍵ノードDとの間の在庫量子鍵の数は1Mbitsであり、鍵ノードCと鍵ノードAとの間の在庫量子鍵の数は0Mbitsであり、鍵ノードCと鍵ノードBとの間の在庫量子鍵の数は2Mbitsである。
同時に2つのサービス要求がある。サービス要求q1の総鍵消費数は2Mbitsであり、サービス要求q2の総鍵消費数は2Mbitsである。サービス要求q1の送信元鍵ノードは鍵ノードCであり、宛先鍵ノードは鍵ノードEである。サービス要求q2の送信元鍵ノードは鍵ノードAであり、宛先鍵ノードは鍵ノードEである。この例では、2つの鍵ノードによって共有される在庫量子鍵の数であるエッジ重みが、鍵中継パスを決定するために使用される。
サービス要求q1の送信元鍵ノードは鍵ノードCであり、宛先鍵ノードは鍵ノードEである。集中コントローラによって行われる選択の具体的なプロセスは以下のとおりである。集中コントローラは、鍵ノードCから鍵ノードEまでのすべてのパスを決定する。それらのパスは、「鍵ノードC−鍵ノードB−鍵ノードE」および「鍵ノードC−鍵ノードD−鍵ノードE」であり、2つのパスは第1のパスセットを形成する。
パス「鍵ノードC−鍵ノードB−鍵ノードE」上の隣接した鍵ノード間の在庫量子鍵の数はそれぞれ2Mbitsと3Mbitsであるので、パス上の最小エッジ重みノード対は鍵ノードCと鍵ノードBである。パス「鍵ノードC−鍵ノードD−鍵ノードE」上の隣接した鍵ノード間の在庫量子鍵の数は各々1Mbitsであるので、パス上の最小エッジ重みノード対は、鍵ノードCと鍵ノードDまたは鍵ノードDと鍵ノードEのどちらかである。2つのパスは第1のパスセットを形成する。
パス「鍵ノードC−鍵ノードB−鍵ノードE」だけが第1の条件を満たすと判断される。
サービス要求q2の送信元鍵ノードは鍵ノードAであり、宛先鍵ノードは鍵ノードEである。集中コントローラによって行われる選択の具体的なプロセスは以下のとおりである。集中コントローラが、鍵ノードAから鍵ノードEまでのすべてのパスを決定する。それらのパスは、「鍵ノードA−鍵ノードB−鍵ノードE」および「鍵ノードA−鍵ノードC−鍵ノードD−鍵ノードE」であり、2つのパスは第1のパスセットを形成する。
パス「鍵ノードA−鍵ノードB−鍵ノードE」上の隣接した鍵ノード間の在庫量子鍵の数は各々3Mbitsであるので、パス上の最小エッジ重みノード対は、鍵ノードAと鍵ノードBまたは鍵ノードBと鍵ノードEのどちらかである。パス「鍵ノードA−鍵ノードC−鍵ノードD−鍵ノードE」上の隣接した鍵ノード間の在庫量子鍵の数はそれぞれ、0Mbitsと1Mbitsと1Mbitsであるので、パス上の最小エッジ重みノード対は鍵ノードAと鍵ノードCである。
パス「鍵ノードA−鍵ノードB−鍵ノードE」だけが第1の条件を満たすと判断される。
中継パスがまず要求q1に割り振られる場合、第1の条件を満たすパス「鍵ノードC−鍵ノードB−鍵ノードE」が選択される。しかしながら、割り振り後、「鍵ノードB−鍵ノードE」の残りの鍵の数はわずか1Mbitsであり、有向な中継パスを要求q2に割り振ることができない。集中コントローラは、中継パスをまず要求q2に割り振ろうとし、第1の条件を満たすパス「鍵ノードA−鍵ノードB−鍵ノードE」を選択する。
「鍵ノードB−鍵ノードE」でサービス要求q2を割り振る計画がさらにあるので、「鍵ノードB−鍵ノードE」の現在の在庫量子鍵の数は3Mbitsであり、消費される予定の在庫量子鍵の数は2Mbitsであり、「鍵ノードB−鍵ノードE」の在庫鍵の数は1Mbitsである。
第1のパスセット内の2つのパスのどちらも第1の条件を満たさない。前述の例の同様の解決策に関連して、サービス要求q1の鍵中継パスは、「鍵ノードC−鍵ノードB−鍵ノードE」および「鍵ノードC−鍵ノードD−鍵ノードE」であり、パスごとに割り振られた各鍵ノードに対応する量子鍵消費数は1Mbitsであると判断される。
本実施形態では、集中コントローラは、すべてのサービス要求の鍵中継パスを効率よく均一的に解析し、計算する。具体的には、集中コントローラは、同時に複数のサービス要求があることを考慮し、すべてのサービス要求に対して互いに矛盾しない適切な鍵中継パスを別々に割り振ることができる。サービス要求q1とサービス要求q2の両方の鍵要件が満たされる。
本実施形態では、パスが複数のサービス要求に1つずつ割り振られる解決策が提供される。集中コントローラの強力な計算能力および記憶能力を使用することによって、第1の条件、第2の条件、および第3の条件を満たすすべてのパスのセットをすべてのサービス要求のために計算することができ、可能な限り多くのサービス要求が満たされると同時に、サービス要求の優先度が組み合わせて考慮され、解析と計算によって複数のサービス要求のための鍵中継パスが決定される。
例a5
図3fは、本出願の一実施形態による別の鍵中継パスの概略図の一例である。図3fに示すように、構造は図3cの構造と同じであり、ここでは詳細を繰り返さない。
2つのサービス要求があり、サービス要求q1のサービスの鍵消費速度は4kbpsであり、送信元鍵ノードは鍵ノードAであり、宛先鍵ノードは鍵ノードEである。前述の内容と同様の解決策に従い、サービス要求q1の鍵中継パスはパス「鍵ノードA−鍵ノードB−鍵ノードE」であると判断される。
続いて追加されたサービス要求q2のサービスの鍵消費速度は4kbpsであり、送信元鍵ノードは鍵ノードAであり、宛先鍵ノードは鍵ノードEである。この場合、サービス要求q1は「鍵ノードA−鍵ノードB−鍵ノードE」上でさらに割り振られ、「鍵ノードA−鍵ノードB−鍵ノードE」の現在の量子鍵生成速度は5kbpsであり、別のサービス要求に対応する量子鍵消費速度は4kbpsである。したがって、「鍵ノードA−鍵ノードB−鍵ノードE」の量子鍵生成速度は1kbpsである。
パス「鍵ノードA−鍵ノードB−鍵ノードE」の量子鍵生成速度が1kbpsであり、パス「鍵ノードA−鍵ノードC−鍵ノードD−鍵ノードE」の量子鍵生成速度が3kbpsであることに関連して、サービス要求q2の鍵中継パスが決定される。任意選択で、鍵中継パスは2つのパスである。パス「鍵ノードA−鍵ノードB−鍵ノードE」に割り振られた各鍵ノードに対応する量子鍵消費速度は1kbpsであり、パス「鍵ノードA−鍵ノードC−鍵ノードD−鍵ノードE」に割り振られた各鍵ノードに対応する量子鍵消費速度は3kbpsである。
本出願の本実施形態では、前述した様々な解決策を使用して鍵中継パスを決定した後、集中コントローラは、鍵中継パスに含まれる各鍵ノードに鍵中継パスを配信する。任意選択で、鍵ノードは、集中コントローラによって配信された鍵中継パスを受信し、鍵ノードは、集中コントローラによって配信された鍵中継パスに基づいて量子鍵中継を行う。
任意選択で、鍵ノードが、集中コントローラによって配信された鍵中継パスに基づいて量子鍵中継を行うステップは、鍵ノードが、鍵中継パスから鍵ノードのE個の前のホップの鍵ノードおよびF個の次のホップの鍵ノードを決定するステップであって、EとFの両方が0以上の整数である、ステップと、鍵ノードが、E個の前のホップの鍵ノードおよびF個の次のホップの鍵ノードと量子鍵中継を行うステップと、を含む。鍵中継パスが送信元鍵ノードから宛先鍵ノードまでの少なくとも2つのパスを含む場合、詳細は以下のとおりである。
鍵ノードが送信元鍵ノードである場合、Eは0であり、Fは2以上の整数であり、鍵ノードが宛先鍵ノードである場合、Eは2以上の整数であり、Fは0であり、鍵ノードが鍵中継パス上の中間位置にある場合、EとFはどちらも1であるか、またはEとFはどちらも1以上の整数である。
具体的には、本出願の本実施形態では、送信元鍵ノードから宛先鍵ノードまでの1つまたは複数のパスがありうる。この場合、サービス要求が比較的多数の量子鍵を必要とする場合、または複数のサービス要求同時に実行される場合、各サービス要求によって必要とされる量子鍵の数を最大限に保証することができる。
前述の内容に基づき、本出願の本実施形態で提供される解決策をさらに説明するために、図3gは、本出願の一実施形態による量子鍵中継方法の概略流れ図の一例である。図3gに示すように、本方法は以下のステップを含む。
ステップ2701:集中コントローラが、集中管理制御ネットワーク内の鍵ノードのサービス要求およびトポロジ情報を取得し、鍵中継パスを決定し、鍵中継命令を決定する。任意選択で、ステップ2701の前に、鍵ノードは、集中コントローラに鍵ノードのトポロジ情報を報告する。ステップ2701の後、鍵ノードは、集中コントローラによって配信された鍵中継命令を受信し、鍵ノードは、集中コントローラによって配信された鍵中継命令に基づいて量子鍵中継を行う。鍵ノードは、本出願の本実施形態では集中管理制御ネットワークに含まれるM個の鍵ノードのうちの1つである。
任意選択で、鍵中継命令は、
鍵ノードが、鍵ノードと宛先鍵ノードとによって共有される量子鍵として、鍵ノードと鍵ノードの次のホップの鍵ノードとによって共有される決定された第1のターゲット量子鍵を決定すること、
鍵ノードが、鍵ノードと鍵ノードの前のホップの鍵ノードとによって共有される第2のターゲット量子鍵を決定し、鍵ノードと鍵ノードの次のホップの鍵ノードとによって共有される第1の暗号化および解読量子鍵を使用して第2のターゲット量子鍵を暗号化し、取得された暗号化された第2のターゲット量子鍵を鍵ノードの次のホップの鍵ノードに送信すること、
鍵ノードが、鍵ノードと鍵ノードの前のホップの鍵ノードとによって共有される第2の暗号化および解読量子鍵を決定し、第2の暗号化および解読量子鍵を使用して取得された暗号化された第3のターゲット量子鍵を解読し、鍵ノードと鍵ノードの次のホップの鍵ノードとによって共有される第3の暗号化および解読量子鍵を使用して第3のターゲット量子鍵を暗号化し、取得された暗号化された第3のターゲット量子鍵を鍵ノードの次のホップの鍵ノードに送信すること、ならびに
鍵ノードが、鍵ノードと鍵ノードの前のホップの鍵ノードとによって共有される第4の暗号化および解読量子鍵を決定し、ターゲット量子鍵を取得するために、第4の暗号化および解読量子鍵を使用して取得された暗号化された第4のターゲット量子鍵を解読すること、
のうちの任意の1つまたは複数を指示するために使用される。
送信元鍵ノードは鍵ノードAであり、宛先鍵ノードは鍵ノードEであり、鍵中継パスは「鍵ノードA−鍵ノードB−鍵ノードE」であると仮定する。この場合、集中コントローラは鍵中継パスを、鍵ノードAと鍵ノードBと鍵ノードEとに配信する。
任意選択で、鍵中継命令は、第1のターゲット量子鍵の鍵ビット長、第2のターゲット量子鍵の鍵ビット長、第3のターゲット量子鍵の鍵ビット長、第4のターゲット量子鍵の鍵ビット長、第1の暗号化および解読量子鍵の鍵ビット長、第2の暗号化および解読量子鍵の鍵ビット長、第3の暗号化および解読量子鍵の鍵ビット長、ならびに第4の暗号化および解読量子鍵の鍵ビット長、鍵ノードと鍵ノードの前のホップの鍵ノードとの間の鍵中継速度、鍵ノードと鍵ノードの次のホップの鍵ノードとの間の鍵中継速度、鍵ノードと鍵ノードの前のホップの鍵ノードとの間の鍵中継持続時間、鍵ノードと鍵ノードの次のホップの鍵ノードとの間の鍵中継持続時間、鍵ノードと鍵ノードの前のホップの鍵ノードとの間の鍵中継量、ならびに鍵ノードと鍵ノードの次のホップの鍵ノードとの間の鍵中継量、
のうちのいずれか1つまたは複数を指示するためにさらに使用される。
任意選択の一実施態様の解決策は以下のとおりである。集中コントローラは、鍵ノードとサービスノードによって報告された情報に基づいて、各鍵管理ノードに配信される必要のある構成コマンドを解析、計算、および生成し(構成コマンドは鍵中継パスを含む)、構成コマンドを特定のフォーマットに従ってカプセル化して完全なデータブロックにし、データブロックを標準インターネットプロトコル(Internet Protocol、略称IP)パケット、光伝送ネットワーク(Optical Transport Network、略称OTN)データフレームなどにカプセル化し、標準インターネットプロトコルパケット、光伝送ネットワークデータフレームなどを、ネットワークを使用して鍵ノードに送信する。鍵ノードは、標準IPパケット、OTNデータフレームなどを受信し、標準IPパケット、OTNデータフレームなどのデータブロックをパースし、事前に合意されたカプセル化フォーマットに従って、データブロックに含まれ構成コマンドを読み取り、鍵中継パスを取得し、対応する鍵処理を行う。
鍵中継パスを受信した後、各鍵ノードは、ステップ2702、ステップ2703、ステップ2704、およびステップ2705を行って、鍵ノードAと鍵ノードEとによって共有される量子鍵を生成する。詳細は以下のとおりである。
ステップ2702:鍵ノードAが、鍵ノードAと鍵ノードCとによって共有される、その長さがK0である鍵ビットストリングK1を抽出し、鍵ビットストリングK1を、鍵ノードAと鍵ノードEとによって共有される鍵を格納するために使用されるレジスタに入れる。次いで、ステップ2703が行われる。任意選択で、鍵ノードAと鍵ノードの次のホップの鍵ノードCによって共有され、鍵ノードAによって決定される第1のターゲット量子鍵は鍵ビットストリングK1である。言い換えると、鍵ノードAと宛先鍵ノードEとによって共有される量子鍵は鍵ビットストリングK1である。
ステップ2703:鍵ノードCが、鍵ノードCと鍵ノードAとによって共有される鍵ビットストリングK1を抽出し、鍵ノードCと鍵ノードEとによって共有される、その長さがK0である鍵ビットストリングK2を使用してK1を暗号化して、ビットストリングK3を取得し、ビットストリングK3を鍵ノードDに送信する。次いで、ステップ2704が行われる。鍵ノードCは、鍵ノードCと鍵ノードの前のホップの鍵ノードAとによって共有される第2のターゲット量子鍵K1を決定し、鍵ノードCと鍵ノードの次のホップの鍵ノードDとによって共有される第1の暗号化および解読量子鍵K2を使用して第2のターゲット量子鍵K1を暗号化して、暗号化された第2のターゲット量子鍵、すなわち、ビットストリングK3を取得し、K3を鍵ノードの次のホップの鍵ノードDに送信する。
ステップ2704:鍵ノードDが、鍵ノードDと鍵ノードCとによって共有される鍵ビットストリングK2を抽出し、K3を解読してビットストリングK1を取得し、鍵ノードDと鍵ノードEとによって共有される、その長さがK0である鍵ビットストリングK4を使用してK1を暗号化して、ビットストリングK5を取得する。次いで、ステップ2705が行われる。鍵ノードDは、鍵ノードDと鍵ノードの前のホップの鍵ノードCとによって共有される第2の暗号化および解読量子鍵K2を決定し、第2の暗号化および解読量子鍵K2を使用して取得された暗号化された第3のターゲット量子鍵K3を解読し、鍵ノードDと鍵ノードの次のホップの鍵ノードEとによって共有される第3の暗号化および解読量子鍵K4を使用して第3のターゲット量子鍵を暗号化して、暗号化された第3のターゲット量子鍵、すなわち、ビットストリングK5を取得し、ビットストリングK5を鍵ノードの次のホップの鍵ノードEに送信する。
ステップ2705:鍵ノードEが、鍵ノードEと鍵ノードCとによって共有される鍵ビットストリングK4を抽出し、K5を解読してビットストリングK1を取得し、ビットストリングK1を、鍵ノードEと鍵ノードAとによって共有される鍵を格納するために使用されるレジスタに入れ、鍵ノードEが、鍵ノードEと鍵ノードの前のホップの鍵ノードDとによって共有される第4の暗号化および解読量子鍵K4を決定し、第4の暗号化および解読量子鍵K4を使用して取得された暗号化された第4のターゲット量子鍵K5を解読して、ターゲット量子鍵K1を取得する。
前述のステップ2702、ステップ2703、ステップ2704、およびステップ2705の後、量子鍵中継動作を完了した後に、鍵ノードAと鍵ノードEとはそれぞれ、それぞれのレジスタから、鍵ノードAと鍵ノードEとによって共有される対応する量子鍵を読み取って、その量子鍵を使用してサービスを暗号化し、解読することが分かる。具体的なステップについて、ステップ2706、ステップ2707、ステップ2708、およびステップ2709で説明する。
ステップ2706:前述のステップ2702、ステップ2703、ステップ2704、およびステップ2705の後、鍵ノードAと鍵ノードEとによって共有される鍵を格納するために使用されるレジスタからビットストリングK1を抽出し、ビットストリングK1をサービスノードAに送信し、次いでステップ2708を行う。
ステップ2707:前述のステップ2702、ステップ2703、ステップ2704、およびステップ2705の後、鍵ノードAと鍵ノードEとによって共有される鍵を格納するために使用されるレジスタからビットストリングK1を抽出し、ビットストリングK1をサービスノードEに送信し、次いでステップ2709を行う。
ステップ2708:サービスノードAが、ビットストリングK1と暗号化/解読モジュールとを使用してサービスを暗号化/解読する。
ステップ2709:サービスノードEが、ビットストリングK1と暗号化モジュールまたは解読モジュールとを使用してサービスを暗号化/解読する。
前述のステップ2707およびステップ2708を使用することにより、サービスノードAとサービスノードEとの間でセキュア通信が実現される。この例では、鍵ノードAに対応するサービスノードがサービスノードAであり、鍵ノードEに対応するサービスノードがサービスノードEである。
前述の内容に基づき、本出願の本実施形態では、先行技術のネットワークと両立するように、本出願の本実施形態の鍵ノードは、様々なインターフェースを含むことができ、サービスノードと集中コントローラとに接続するように構成され、各サービスノードも、様々なインターフェースを含み、集中コントローラと鍵ノードとに接続するように構成される。本出願の本実施形態の鍵ノードは、鍵管理ノードと鍵生成層における鍵生成ノードとに分類されうる。
同じ概念に基づき、図4は、本出願の一実施形態による集中コントローラの概略構造図の一例である。図4に示すように、集中コントローラは、前述の方法手順を行うように構成され、集中コントローラ400は、集中管理制御ネットワークに適用できる。集中管理制御ネットワークは、集中コントローラと、N個のサービスノードと、M個の鍵ノードとを含む。1つのサービスノードは1つの鍵ノードに対応しており、NとMとはどちらも2以上の整数であり、集中コントローラ400は、プロセッサ401と、メモリ402と、送受信機405とを含む。任意選択で、集中コントローラ400は、バス404と、通信インターフェース403とをさらに含む。
メモリは、プログラムと命令とを格納するように構成される。
プロセッサは、メモリに格納されたプログラムおよび命令を呼び出すことによって、送受信機によって取得されたZ個のサービス要求の各々に基づいて、各サービス要求に対応している送信元サービスノードの識別子および宛先サービスノードの識別子と、サービス要求の量子鍵消費パラメータとを決定する動作と、Z個のサービス要求の各々に対応している送信元サービスノードの識別子および宛先サービスノードの識別子と、量子鍵消費パラメータと、集中管理制御ネットワーク内の鍵ノードのトポロジ情報とに基づいて、G個のサービス要求に対応する鍵中継命令を決定する動作であって、送信元サービスノードが送信元鍵ノードに対応しており、宛先サービスノードが宛先鍵ノードに対応しており、Zが、1以上の整数であり、Gが、Z以下1以上の整数である、動作と、を行うように構成される。
送受信機は、Z個のサービス要求を取得し、G個のサービス要求に対応する鍵中継命令を鍵中継命令に対応する鍵ノードに配信する、ように構成されるので、鍵ノードは鍵中継命令に基づいて量子鍵中継を行って、送信元鍵ノードと宛先鍵ノードとの間の共有量子鍵を生成する。
バスは、周辺装置相互接続(peripheral component interconnect、略称PCI)バス、拡張業界標準アーキテクチャ(extended industry standard architecture、略称EISA)バスなどとすることができる。バスは、アドレスバス、データバス、制御バスなどに分類されうる。表現を容易にするために、図4では1本の太線のみを使用してバスを表しているが、これは、1本バスまたは1種類のバスしかないことを示すものではない。
メモリは、揮発性メモリ(volatile memory)、例えば、ランダムアクセスメモリ(random−access memory、略称RAM)を含んでいてもよく、またはメモリは、不揮発性メモリ(non−volatile memory)、例えば、フラッシュメモリ(flash memory)や、ハードディスクドライブ(hard disk drive、略称HDD)や、ソリッドステートドライブ(solid−state drive、略称SSD)を含んでいてもよく、またはメモリは、前述の種類のメモリの組み合わせを含んでいてもよい。
通信インターフェースは、有線通信インターフェース、無線通信インターフェース、またはそれらの組み合わせであってもよい。有線通信インターフェースは、例えば、イーサネット(登録商標)インターフェースであってもよい。イーサネット(登録商標)インターフェースは、光インターフェース、電気インターフェース、またはそれらの組み合わせであってもよい。無線通信インターフェースは、WLANインターフェースであってもよい。
プロセッサは、中央処理装置(central processing unit、略称CPU)、ネットワークプロセッサ(network processor、略称NP)、またはCPUとNPとの組み合わせであってもよい。プロセッサはハードウェアチップをさらに含んでいてもよい。ハードウェアチップは、特定用途向け集積回路(application−specific integrated circuit、略称ASIC)、プログラマブルロジックデバイス(programmable logic device、略称PLD)、またはそれらの組み合わせであってもよい。PLDは、複合プログラマブルロジックデバイス(complex programmable logic device、略称CPLD)、フィールドプログラマブル論理ゲートアレイ(field−programmable gate array、略称FPGA)、ジェネリックアレイロジック(generic array logic、略称GAL)、またはそれらの組み合わせであってもよい。
任意選択で、集中管理制御ネットワーク内の鍵ノードのトポロジ情報は、各鍵ノードの識別子、各鍵ノードと1つまたは複数の他の鍵ノードとの間の量子リンクの状況、および任意の2つの隣接した鍵ノードのエッジ重みを含む。送信元鍵ノードから宛先鍵ノードまでの各パス上の2つの隣接した鍵ノードが1つのエッジ重みに対応しており、2つの鍵ノードに対応するエッジ重みが小さいほど、それら2つの隣接した鍵ノードの量子鍵提供能力が弱いことを示す。各パスは1つの最小エッジ重みノード対を含み、各パス上の最小エッジ重みノード対は、そのパス上の最小エッジ重みを有する2つの鍵ノードである。
任意選択で、2つの隣接した鍵ノードに対応するエッジ重みは、2つの隣接した鍵ノードによって共有される在庫量子鍵の数と、事前設定持続時間に2つの鍵ノードによって共有される量子鍵の生成数との和、2つの隣接した鍵ノードによって共有される在庫量子鍵の数、および2つの隣接した鍵ノードによって共有される量子鍵の生成速度、のうちのいずれか1つを含む。
任意選択で、プロセッサは、Z個のサービス要求の各々について、集中コントローラが、送信元鍵ノードから宛先鍵ノードまでのすべてのパスの各々を決定する動作と、集中コントローラがすべてのパスの各々について、パス上の2つの隣接した鍵ノードの現在の量子鍵生成速度を決定する動作と、集中コントローラが、当該パス上で別のサービス要求が割り振られておらず、当該パス上で別のサービス要求を割り振る計画がないと判断した場合、現在の量子鍵生成速度を、2つの隣接した鍵ノードの量子鍵生成速度として決定する動作、または集中コントローラが、当該パス上で別のサービス要求が割り振られているか、もしくは当該パス上で別のサービス要求を割り振る計画があると判断した場合、2つの隣接した鍵ノードの、当該の別のサービス要求に対応する量子鍵消費速度を決定し、現在の量子鍵生成速度と別のサービス要求に対応する量子鍵消費速度との差を、2つの隣接した鍵ノードの量子鍵生成速度として決定する動作と、を行う、ようにさらに構成される。
任意選択で、プロセッサは、Z個のサービス要求の各々について、集中コントローラが、送信元鍵ノードから宛先鍵ノードまでのすべてのパスの各々を決定する動作と、集中コントローラがすべてのパスの各々について、当該パス上で2つの隣接した鍵ノードによって現在共有されている在庫量子鍵の数を決定する動作と、集中コントローラが、当該パス上で別のサービス要求が割り振られておらず、当該パス上で別のサービス要求を割り振る計画がないと判断した場合、現在共有されている在庫量子鍵の数を2つの隣接した鍵ノードによって共有される在庫量子鍵の数として決定する動作、または集中コントローラが、当該パス上で別のサービス要求が割り振られているか、もしくは当該パス上で別のサービス要求を割り振る計画があると判断した場合、2つの隣接した鍵ノードの、当該の別のサービス要求に対応する量子鍵消費数を決定し、現在共有されている在庫量子鍵の数と別のサービス要求に対応する量子鍵消費数との差を、2つの隣接した鍵ノードによって共有される在庫量子鍵の数として決定する動作と、を行う、ようにさらに構成される。
任意選択で、プロセッサは、Z個のサービス要求の各々について、集中コントローラが鍵ノードのトポロジ情報に基づいて集中管理制御ネットワークから、第1のパスセットを取得するために、送信元鍵ノードから宛先鍵ノードまでのすべてのパスを決定する動作と、集中コントローラが第1のパスセットから、鍵消費パラメータに対応する第1の条件を満たすQ個の第2のパスを決定する動作であって、Qが0以上の整数である、動作と、を行うようにさらに構成され、鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含む場合、鍵消費パラメータに対応する第1の条件は、P+Pm+wm*t≧Kであり、または鍵消費パラメータがサービスの鍵消費速度Vを含む場合、鍵消費パラメータに対応する第1の条件は、wm≧Vであり、式中、Pは、送信元鍵ノードと宛先鍵ノードとの間の在庫量子鍵の数であり、Pmは、パス上の最小エッジ重みノード対の在庫量子鍵の数であり、wmは、パス上の最小エッジ重みノード対の量子鍵生成速度である。
任意選択で、プロセッサは、Qが1である場合、集中コントローラが、第2のパスを鍵中継パスとして決定し、鍵中継パスに基づいて、サービス要求に対応する鍵中継命令を決定し、またはQが1より大きい場合、集中コントローラが、各第2のパス上の最小エッジ重みノード対および各最小エッジ重みノード対に対応するエッジ重みを決定し、すべての第2のパスの最小エッジ重みノード対から最大エッジ重みを有する最小エッジ重みノード対を決定し、鍵中継パスとして、最大エッジ重みを有する最小エッジ重みノード対に対応する第2のパスを決定し、鍵中継パスに基づいて、サービス要求に対応する鍵中継命令を決定する、ようにさらに構成される。
任意選択で、プロセッサは、Qが0である場合、集中コントローラが、第3のパスセットを取得するために、第1のパスセットに含まれるすべてのパスからS個のパスを決定し、Sが、2以上の整数であり、第3のパスセットに含まれるどの2つのパスもオーバーラップするエッジを有さず、集中コントローラが、S個のパスが鍵消費パラメータに対応する第2の条件を満たすと判断した場合、S個のパスを鍵中継パスとして決定し、鍵中継パスに基づいて、サービス要求に対応する鍵中継命令を決定する、ように構成され、鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含む場合、鍵消費パラメータに対応する第2の条件は、
Figure 2020501413
 であり、または鍵消費パラメータがサービスの鍵消費速度Vを含む場合、鍵消費パラメータに対応する第2の条件は、
Figure 2020501413
 であり、式中、iの値範囲は、[1,S]であり、Piは、第iのパス上の最小エッジ重みノード対の在庫量子鍵の数であり、wiは、第iのパス上の最小エッジ重みノード対の量子鍵生成速度である。
任意選択で、プロセッサは、集中コントローラが、第1のパスセット内のどの2つのパスもオーバーラップするエッジを有しないと判断した場合、第1のパスセットに含まれるすべてのパスがS個のパスであると判断し、または集中コントローラが、第1のパスセット内の少なくとも2つのパスがオーバーラップするエッジを有すると判断した場合、第1のパスセット内のオーバーラップするエッジごとに、オーバーラップするエッジに対応するT個のパスを決定する動作と、S個のパスのうちの1つとして、T個のパス上の最大エッジ重みを有する最小エッジ重みノード対に対応するパスを決定する動作であって、Tが2以上の整数である、動作と、を行う、ように構成される。
任意選択で、プロセッサは、集中コントローラが、S個のパスの第iのパスに対応する各鍵ノードに対応する量子鍵消費数Liを決定し、鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含む場合、Li=(Pi+wi*t)−Rであり、式中、Rは、第3のパスセット内の各パス上の最小エッジ重みノード対の残りの鍵の数であり、
Figure 2020501413
 である、ようにさらに構成される。
同じ概念に基づき、図4aは、本出願の一実施形態による鍵ノードの概略構造図の一例である。図4aに示すように、鍵ノードは、前述の方法手順を行うように構成され、鍵ノード410は、集中管理制御ネットワークに適用できる。集中管理制御ネットワークは、集中コントローラと、N個のサービスノードと、M個の鍵ノードとを含む。1つのサービスノードは1つの鍵ノードに対応しており、NとMとはどちらも2以上の整数であり、鍵ノード410は、プロセッサ411と、メモリ412と、送受信機415とを含む。任意選択で、鍵ノード410は、バス414と、通信インターフェース413とをさらに含む。
メモリは、プログラムと命令とを格納するように構成され、量子鍵も格納しうる。
プロセッサは、集中コントローラによって配信された鍵中継命令に基づいて量子鍵中継を行うように構成される。
送受信機は、鍵ノードのトポロジ情報を集中コントローラに報告し、集中コントローラによって配信された鍵中継命令を受信する、ように構成される。
バスは、周辺装置相互接続(peripheral component interconnect、略称PCI)バス、拡張業界標準アーキテクチャ(extended industry standard architecture、略称EISA)バスなどとすることができる。バスは、アドレスバス、データバス、制御バスなどに分類されうる。表現を容易にするために、図4では1本の太線のみを使用してバスを表しているが、これは、1本バスまたは1種類のバスしかないことを示すものではない。
メモリは、揮発性メモリ(volatile memory)、例えば、ランダムアクセスメモリ(random−access memory、略称RAM)を含んでいてもよく、またはメモリは、不揮発性メモリ(non−volatile memory)、例えば、フラッシュメモリ(flash memory)や、ハードディスクドライブ(hard disk drive、略称HDD)や、ソリッドステートドライブ(solid−state drive、略称SSD)を含んでいてもよく、またはメモリは、前述の種類のメモリの組み合わせを含んでいてもよい。
通信インターフェースは、有線通信インターフェース、無線通信インターフェース、またはそれらの組み合わせであってもよい。有線通信インターフェースは、例えば、イーサネット(登録商標)インターフェースであってもよい。イーサネット(登録商標)インターフェースは、光インターフェース、電気インターフェース、またはそれらの組み合わせであってもよい。無線通信インターフェースは、WLANインターフェースであってもよい。
プロセッサは、中央処理装置(central processing unit、略称CPU)、ネットワークプロセッサ(network processor、略称NP)、またはCPUとNPとの組み合わせであってもよい。プロセッサはハードウェアチップをさらに含んでいてもよい。ハードウェアチップは、特定用途向け集積回路(application−specific integrated circuit、略称ASIC)、プログラマブルロジックデバイス(programmable logic device、略称PLD)、またはそれらの組み合わせであってもよい。PLDは、複合プログラマブルロジックデバイス(complex programmable logic device、略称CPLD)、フィールドプログラマブル論理ゲートアレイ(field−programmable gate array、略称FPGA)、ジェネリックアレイロジック(generic array logic、略称GAL)、またはそれらの組み合わせであってもよい。
鍵中継命令の関連内容については、前述の説明を参照することができよう。ここでは詳細を繰り返さない。
任意選択で、送受信機は、鍵ノードのトポロジ情報を集中コントローラに周期的に報告する、ように構成され、鍵ノードのトポロジ情報は、集中管理制御ネットワーク内の各鍵ノードの識別子、各鍵ノードと1つまたは複数の他の鍵ノードとの間の量子リンクの状況、および任意の2つの隣接した鍵ノードのエッジ重みを含み、送信元鍵ノードから宛先鍵ノードまでの各パス上の任意の2つの鍵ノードは1つのエッジ重みに対応しており、2つの鍵ノードに対応するエッジ重みが大きいほど、それら2つの鍵ノードの量子鍵提供能力が強いことを示し、各パスは1つの最小エッジ重みノード対を含み、各パス上の最小エッジ重みノード対は、そのパス上の最小エッジ重みを有する2つの鍵ノードである。
前述の実施形態および同じ概念に基づき、図4bは、本出願の一実施形態による集中コントローラの概略図である。図4bに示すように、集中コントローラ420は、ネットワーク機器であってもよく、チップや回路、例えば、ネットワーク機器に配置することができるチップや回路であってもよい。集中コントローラ420上の通信装置が、図3に示す任意の1つまたは複数の項目に対応する方法において集中コントローラによって行われるステップを実施することができる。集中コントローラ420上の通信装置は、送受信部421と、処理部422と、記憶部423とを含みうる。
記憶部は、前述の方法手順における関連情報、例えば、集中管理制御ネットワーク内の鍵ノードのトポロジ情報を格納するように構成される。
処理部は、メモリに格納されたプログラムおよび命令を呼び出すことによって、送受信機によって取得されたZ個のサービス要求の各々に基づいて、各サービス要求に対応している送信元サービスノードの識別子および宛先サービスノードの識別子と、サービス要求の量子鍵消費パラメータとを決定する動作と、Z個のサービス要求の各々に対応している送信元サービスノードの識別子および宛先サービスノードの識別子と、量子鍵消費パラメータと、集中管理制御ネットワーク内の鍵ノードのトポロジ情報とに基づいて、G個のサービス要求に対応する鍵中継命令を決定する動作であって、送信元サービスノードが送信元鍵ノードに対応しており、宛先サービスノードが宛先鍵ノードに対応しており、Zが、1以上の整数であり、Gが、Z以下1以上の整数である、動作と、を行うように構成される。
送受信部は、Z個のサービス要求を取得し、送信元鍵ノードと宛先鍵ノードとの間の共有量子鍵を生成するために、鍵ノードが鍵中継命令に基づいて量子鍵中継を行うように、G個のサービス要求に対応する鍵中継命令を鍵中継命令に対応する鍵ノードに配信する、ように構成される。
集中コントローラ420内の各部の機能については、対応する方法実施形態を参照できることを理解されたく、ここでは詳細を繰り返さない。
前述の各部の分割は単なる論理的な機能分割にすぎないことを理解されたい。実際の実装に際しては、各部の全部または一部が1つの物理エンティティに統合されてもよく、または物理的に分離されてもよい。本出願の本実施形態では、送受信部421が送受信機405によって実施されてもよく、処理部422がプロセッサ401によって実施されてもよい。図4に示すように、集中コントローラ400は、プロセッサ401と、送受信機405と、メモリ402とを含みうる。メモリ402は、解決策を行うためにプロセッサ401によって使用されるコードを格納するように構成されていてよく、コードは、集中コントローラが工場から出荷されるときに事前インストールされたプログラム/コードであってもよい。
同じ概念に基づき、図5は、本出願の一実施形態による鍵ノードの概略構造図の一例である。図5に示すように、鍵ノードは、前述の方法手順を行うように構成され、鍵ノードは、集中管理制御ネットワークに適用できる。集中管理制御ネットワークは、集中コントローラと、N個のサービスノードと、M個の鍵ノードとを含む。1つのサービスノードが1つの鍵ノードに対応しており、NとMとはどちらも2以上の整数である。鍵ノードは、M個の鍵ノードのうちの1つであり、鍵ノードは、送受信部と、鍵プール505と、鍵中継部507とを含む。送受信部は、様々なインターフェースモジュールを含む。例えば、図5に示す送受信部は、インターフェースモジュール501、インターフェースモジュール502、インターフェースモジュール503、インターフェースモジュール504などを含みうる。
前述の各部の分割は単なる論理的な機能分割にすぎないことを理解されたい。実際の実装に際しては、各部の全部または一部が1つの物理エンティティに統合されてもよく、または物理的に分離されてもよい。本出願の本実施形態では、鍵ノード上の送受信部が送受信機415によって実施されてもよく、鍵中継部507がプロセッサ411によって実施されてもよい。図4aに示すように、鍵ノード410は、プロセッサ411と、送受信機415と、メモリ412とを含みうる。メモリ412は、解決策を行うためにプロセッサ411によって使用されるコードを格納するように構成されていてよく、コードは、鍵ノード410が工場から出荷されるときに事前インストールされたプログラム/コードであってもよい。
鍵プール505は、量子鍵を格納するように構成される。
送受信部は、鍵ノードのトポロジ情報を集中コントローラ511に報告し、集中コントローラ511によって配信された鍵中継命令を受信する、ように構成される。
鍵中継部507は、集中コントローラ511によって配信された鍵中継命令に基づいて量子鍵中継を行うように構成される。
鍵中継命令は、
鍵中継部507が、鍵ノードと宛先鍵ノードとによって共有される量子鍵として、鍵ノードと鍵ノードの次のホップの鍵ノードとによって共有される決定された第1のターゲット量子鍵を決定すること、
鍵中継部507が、鍵ノードと鍵ノードの前のホップの鍵ノードとによって共有される第2のターゲット量子鍵を決定し、鍵ノードと鍵ノードの次のホップの鍵ノードとによって共有される第1の暗号化および解読量子鍵を使用して第2のターゲット量子鍵を暗号化し、取得された暗号化された第2のターゲット量子鍵を鍵ノードの次のホップの鍵ノードに送信すること、
鍵中継部507が、鍵ノードと鍵ノードの前のホップの鍵ノードとによって共有される第2の暗号化および解読量子鍵を決定し、第2の暗号化および解読量子鍵を使用して取得された暗号化された第3のターゲット量子鍵を解読し、鍵ノードと鍵ノードの次のホップの鍵ノードとによって共有される第3の暗号化および解読量子鍵を使用して第3のターゲット量子鍵を暗号化し、取得された暗号化された第3のターゲット量子鍵を鍵ノードの次のホップの鍵ノードに送信すること、ならびに
鍵中継部507が、鍵ノードと鍵ノードの前のホップの鍵ノードとによって共有される第4の暗号化および解読量子鍵を決定し、ターゲット量子鍵を取得するために、第4の暗号化および解読量子鍵を使用して取得された暗号化された第4のターゲット量子鍵を解読すること、
のうちのいずれか1つまたは複数を指示するために使用される。
任意選択で、鍵中継命令は、
第1のターゲット量子鍵の鍵ビット長、第2のターゲット量子鍵の鍵ビット長、第3のターゲット量子鍵の鍵ビット長、第4のターゲット量子鍵の鍵ビット長、第1の暗号化および解読量子鍵の鍵ビット長、第2の暗号化および解読量子鍵の鍵ビット長、第3の暗号化および解読量子鍵の鍵ビット長、ならびに第4の暗号化および解読量子鍵の鍵ビット長、
鍵ノードと鍵ノードの前のホップの鍵ノードとの間の鍵中継速度、
鍵ノードと鍵ノードの次のホップの鍵ノードとの間の鍵中継速度、
鍵ノードと鍵ノードの前のホップの鍵ノードとの間の鍵中継持続時間、
鍵ノードと鍵ノードの次のホップの鍵ノードとの間の鍵中継持続時間、
鍵ノードと鍵ノードの前のホップの鍵ノードとの間の鍵中継量、ならびに
鍵ノードと鍵ノードの次のホップの鍵ノードとの間の鍵中継量、のうちのいずれか1つまたは複数を指示するためにさらに使用される。
任意選択で、送受信部は、鍵ノードのトポロジ情報を集中コントローラに周期的に報告する、ように構成され、鍵ノードのトポロジ情報は、集中管理制御ネットワーク内の各鍵ノードの識別子、各鍵ノードと1つまたは複数の他の鍵ノードとの間の量子リンクの状況、および任意の2つの隣接した鍵ノードのエッジ重みを含み、送信元鍵ノードから宛先鍵ノードまでの各パス上の任意の2つの隣接した鍵ノードは1つのエッジ重みに対応しており、2つの鍵ノードに対応するエッジ重みが大きいほど、それら2つの鍵ノードの量子鍵提供能力が強いことを示し、各パスは1つの最小エッジ重みノード対を含み、各パス上の最小エッジ重みノード対は、そのパス上の最小エッジ重みを有する2つの鍵ノードである。
図5に示すように、任意選択で、鍵ノードは、鍵管理ノード509と、鍵生成層513に含まれる鍵生成ノードとを含む。鍵ノード上の鍵管理ノード509は、量子鍵を格納するように構成された鍵プール505と、量子鍵を鍵プール505に格納するように構成された鍵アクセス部506と、量子鍵中継を行うように構成された鍵中継部507と、暗号化のために鍵プール505内の量子鍵を抽出するように構成された鍵抽出部508とを含みうる。
鍵管理ノード509は、インターフェースモジュール503を使用して鍵生成層513に接続される。具体的には、鍵管理ノード509は、インターフェースモジュール503を使用して鍵生成ノードに接続される。インターフェースモジュール503は、鍵生成層513における隣接した鍵ノード対の鍵生成状況を鍵管理ノード509にインポートするように構成される。鍵生成層513によって生成された共有鍵は、インターフェースモジュール503を使用して鍵プール505に格納される。
鍵管理ノード509は、インターフェースモジュール504を使用して近隣の鍵管理ノード512に接続される。インターフェースモジュール504は、インターフェースモジュール504を使用して隣接した鍵管理ノード間の隣接した鍵管理ノードのリンク状況を交換するように構成される。近隣の鍵管理ノード512が中継ノードである場合、送信する必要のある鍵を解読し、暗号化するために、鍵管理ノード509と近隣の鍵管理ノード512とによって共有される量子鍵を鍵プール505から抽出する必要があり、送信する必要のある鍵は、インターフェースモジュール504を使用して次の鍵管理ノードに転送される。
集中コントローラ511は、鍵管理ノード509のインターフェースモジュール501を使用して鍵管理ノード509に接続され、集中コントローラ511はサービスノード510に接続される。インターフェースモジュール501は、インターフェースモジュール501を使用して集中コントローラ511に、隣接した鍵生成ノード対の鍵生成速度(鍵生成速度は、インターフェースモジュール503を使用して鍵生成層513によって鍵管理ノード509にインポートされる)、各鍵管理ノード対の在庫量子鍵の数(在庫量子鍵の数は鍵プール505からインポートされる)、および近隣の鍵管理ノード512のリンク状況(近隣の鍵管理ノード512はインターフェースモジュール504を使用して接続される)をフィードバックするように構成される。集中コントローラ511は、サービス要求および既存の情報に基づいて鍵中継パスを生成し、インターフェースモジュール501を使用して鍵管理ノード509上の鍵アクセス部506に鍵中継パスを配信し、鍵中継部507を使用して中継を完了する。
鍵管理ノード509は、インターフェースモジュール502を使用してサービスノード510に接続される。インターフェースモジュール502は、鍵管理ノード509が送信元鍵ノードまたは宛先鍵ノードである場合、中継された量子鍵を解読するために鍵プール505から鍵管理ノード509と近隣の鍵管理ノード512とによって共有される鍵を抽出し、次いで解読した量子鍵を鍵プール505にインポートする、ように構成される。サービスを暗号化または解読する必要がある場合、鍵管理ノード509は、鍵プール505から対応する量子鍵を見つけ、インターフェースモジュール2を使用して対応する量子鍵をサービスノードにインポートし、対応するサービスを暗号化または解読する。
加えて、鍵生成層513は、セキュアなポイントツーポイント鍵生成を担い、QKDネットワーク全体のセキュリティを保証する。この層のエンティティ機能は通常、第1に、BB84、E91、B92、SARG04などの様々なプロトコルを含むQKDプロトコルに基づく元の量子鍵ベース、ビット誤り推定など、第2に、誤り訂正、すなわち、ベース比較後に取得された量子鍵情報の誤り訂正を行うこと、第3に、プライバシー増幅、すなわち、盗聴(Eve)によって知られた鍵に関する情報を削除すること、および第4に、身元認証、すなわち、介入者攻撃に抗するために、隣接したノード間のポイントツーポイント身元認証を行うこと、を含む。
図6は、本出願の一実施形態による可能なサービスノードの概略構造図の一例である。図6に示すように、サービスノード510は、サービス要求を送受信するように構成されたサービス入力/出力部601と、サービスを暗号化または解読するように構成されたサービス暗号化/解読部602と、インターフェースモジュール606やインターフェースモジュール605などの様々なモジュールとを含みうる。各部およびインターフェースモジュールの機能は以下のとおりである。
サービスノード510は、インターフェースモジュール605を使用して集中コントローラ511に接続される。サービスノード510のリンク状況とサービスノードの鍵要件状況との対が、インターフェースモジュール605を使用して集中コントローラ511に送信される。サービスノード510と集中コントローラ511との間の情報交換もインターフェースモジュール605によって実施される。
サービスノード510は、インターフェースモジュール502を使用してサービスノード510に対応する鍵管理ノード509に接続される。インターフェースモジュール502は、鍵管理層において量子鍵を抽出し、量子鍵をサービスノード510に適用してサービスを暗号化または解読する、ように構成される。
サービスノード510は、インターフェースモジュール606と光中継ノードまたは光透過ノード603とを使用してサービスノード604に接続する。サービスノード(近隣のサービスノード604など)のリンク状況がインターフェースモジュール606によってインポートされる。サービスノード510が送信元サービスノードである場合、鍵管理ノード509は、暗号化に使用された量子鍵を、インターフェースモジュール502を使用してサービスノード510にインポートし、サービス暗号化/解読部602がサービスを暗号化した後、インターフェースモジュール606はサービスを(中継サービスノードと呼ばれうる)次のサービスノードに送信する。サービスノード510が宛先サービスノードである場合、解読に使用された量子鍵が、インターフェースモジュール502を使用して鍵管理ノード509からサービスノード604にインポートされ、サービス暗号化/解読部602は、サービスを解読し、サービスを出力する。
具体的な実装に際しては、本出願の本実施形態で提供される集中コントローラ、サービスノード、および鍵ノードは、異なる製造者によって提供される場合もある。本出願の本実施形態では、様々な製造者からの装置間の相互接続を実現するために、可能なインターフェース解決策が提供される。
本出願の各実施形態におけるユニット分割は一例であり、単なる論理的機能分割にすぎず、実際の実装に際しては別の分割もありうることに留意されたい。本出願の各実施形態における各機能部は1つの処理部に統合されてもよく、各部が物理的に独立して存在していてもよく、または少なくとも2つのユニットが1つのユニットへ統合される。統合ユニットはハードウェアの形態で実現されてもよく、ソフトウェア機能部の形態で実現されてもよい。
前述の各プロセスの順序番号は本出願の様々な実施形態における実行順序を意味するものではないことを理解されたい。各プロセスの実行順序は、各プロセスの機能および内部論理に従って決定されるべきであり、本出願の各実施形態の実施プロセスに関するいかなる限定としても解釈されるべきではない。
本明細書で開示された実施形態に記載されている例示的な論理ブロック(illustrative logical block)およびステップ(step)と組み合わせて、各機能を、電子ハードウェアによって、またはコンピュータソフトウェアと電子ハードウェアの組み合わせによって実現しうることを、当業者は理解できよう。各機能が果たされるのがハードウェアによってかそれともソフトウェアによってかは、技術解決策の個々の用途および設計上の制約条件に依存する。当業者は、記載される機能を個々の用途ごとに様々な方法を使用して実施しうるが、それらの実施態様は本出願の範囲を超えるものとみなされるべきではない。
説明を簡便にするために、前述のシステム、装置、およびユニットの詳細な作動プロセスについては、前述の方法実施形態における対応するプロセスを参照できることを当業者は明確に理解することができ、ここでは詳細を繰り返さない。
本出願で提供するいくつかの実施形態においては、開示のシステム、装置、および方法が他のやり方で実現されうることを理解されたい。例えば、記載の装置実施形態は単なる一例にすぎない。例えば、ユニット分割は単なる論理的機能分割にすぎず、実際の実装に際しては他の分割とすることもできる。例えば、複数のユニットまたはコンポーネントを組み合わせ、または統合して別のシステムとする場合もあり、一部の特徴を無視し、または実行しない場合もある。加えて、図示または考察された相互結合または直接結合または通信接続は、いくつかのインターフェースを使用して実現されてもよい。装置間またはユニット間の間接結合または通信接続は、電子的形態、機械的形態、または他の形態として実現されてもよい。
別々の部品として記述されたユニットは物理的に分離している場合もそうではない場合もあり、ユニットとして図示された部品は物理的ユニットである場合もそうではない場合もあり、一箇所に位置する場合もあり、複数のネットワークユニット上に分散されている場合もある。ユニットの一部または全部が、各実施形態の解決策の目的を達成するための実際の要件に応じて選択されてもよい。
加えて、本出願の各実施形態における各機能部は1つの処理部に統合されてもよく、各部が物理的に独立して存在していてもよく、または少なくとも2つのユニットが1つのユニットへ統合される。
前述の実施形態の全部または一部が、ソフトウェア、ハードウェア、ファームウェア、またはそれらの任意の組み合わせを使用して実現されうる。各実施形態を実現するためにソフトウェアが使用される場合、各実施形態は、完全に、または部分的にコンピュータプログラム製品の形態で実現されうる。コンピュータプログラム製品は、1つまたは複数のコンピュータ命令を含む。コンピュータプログラム命令がロードされ、コンピュータ上で実行されると、本出願の実施形態による手順または機能の全部または一部が生成される。コンピュータは、汎用コンピュータ、専用コンピュータ、コンピュータネットワーク、または別のプログラマブル装置であってもよい。コンピュータ命令は、コンピュータ可読記憶媒体に格納されてもよく、またはコンピュータ可読記憶媒体から別のコンピュータ可読記憶媒体に送信されてもよい。例えば、コンピュータ命令は、ウェブサイト、コンピュータ、サーバ、またはデータセンタから別のウェブサイト、コンピュータ、サーバ、またはデータセンタに、有線(例えば、同軸ケーブル、光ファイバ、デジタル加入者線(DSL))または無線(例えば、赤外線、電波、マイクロ波)方式で送信されうる。コンピュータ可読記憶媒体は、コンピュータがアクセスできる任意の使用可能な媒体、または、1つもしくは複数の使用可能な媒体を統合した、サーバやデータセンタなどのデータ記憶装置であってもよい。使用可能な媒体は、磁気媒体(例えば、フロッピーディスク、ハードディスク、磁気テープ)、光媒体(例えば、DVD)、半導体媒体(例えば、ソリッドステートディスクSolid State Disk(SSD))などであってもよい。
以上の説明は、本出願の特定の実施態様にすぎず、本出願の保護範囲を限定するためのものではない。本出願で開示された技術範囲内で当業者が容易に思いつく一切の変形または置換は、本出願の保護範囲内に含まれるものとする。したがって、本出願の保護範囲は、特許請求の範囲の保護範囲に従うべきものとする。
201 集中コントローラ
202 サービス層
203 鍵管理層
204 鍵生成層
205 サービスノード
206 鍵管理ノード
207 鍵生成ノード
400 集中コントローラ
401 プロセッサ
402 メモリ
403 通信インターフェース
404 バス
405 送受信機
410 鍵ノード
411 プロセッサ
412 メモリ
413 通信インターフェース
414 バス
415 送受信機
420 集中コントローラ
421 送受信部
422 処理部
423 記憶部
501 インターフェースモジュール
502 インターフェースモジュール
503 インターフェースモジュール
504 インターフェースモジュール
505 鍵プール
506 鍵格納部、鍵アクセス部
507 鍵中継部
508 鍵抽出部
509 鍵管理ノード
510 サービスノード
511 集中コントローラ
512 近隣の鍵管理ノード
513 鍵生成層
601 サービス入力/出力部
602 サービス暗号化/解読部
603 光中継ノードまたは光透過ノード
604 サービスノード
605 インターフェースモジュール
606 インターフェースモジュール
任意選択で、集中管理制御ネットワーク内の鍵ノードのトポロジ情報は、各鍵ノードの識別子、各鍵ノードと1つまたは複数の他の鍵ノードとの間の量子リンクの状況、および任意の2つの隣接した鍵ノードのエッジ重みを含む。送信元鍵ノードから宛先鍵ノードまでの各パス上の2つの隣接した鍵ノードが1つのエッジ重みに対応しており、2つの隣接した鍵ノードに対応するエッジ重みが小さいほど、それら2つの隣接した鍵ノードの量子鍵提供能力が弱いことを示す。各パスは1つの最小エッジ重みノード対を含み、各パス上の最小エッジ重みノード対は、そのパス上の最小エッジ重みを有する2つの鍵ノードである。鍵ノードのトポロジ情報が任意の2つの隣接した鍵ノードのエッジ重みを含み、2つの隣接した鍵ノードに対応するエッジ重みが小さいほど、2つの隣接した鍵ノードの量子鍵提供能力が弱いことを示すので、鍵中継命令は、各パス上の2つの隣接した鍵ノードの量子鍵提供能力に基づいて決定されうる。
任意選択で、2つの隣接した鍵ノードに対応するエッジ重みは、2つの隣接した鍵ノードによって共有される在庫量子鍵の数と、事前設定持続時間に2つの隣接した鍵ノードによって共有される量子鍵の生成数との和、2つの隣接した鍵ノードによって共有される在庫量子鍵の数、および2つの隣接した鍵ノードによって共有される量子鍵の生成速度、のうちのいずれか1つを含む。このようにして、在庫量子鍵の数、事前設定持続時間に2つの隣接した鍵ノードによって共有される量子鍵の生成数、および量子鍵の生成速度のうちのいずれか1つまたは複数を使用して量子鍵提供能力が正確に反映される。
任意選択で、集中コントローラが、Z個のサービス要求を取得するステップの後、G個のサービス要求に対応する鍵中継命令を決定するステップの前に、本方法は、Z個のサービス要求の各々について、集中コントローラが、送信元鍵ノードから宛先鍵ノードまでの各々のパスを決定する動作と、集中コントローラが各々のパスについて、パス上の2つの隣接した鍵ノードの現在の量子鍵生成速度を決定する動作と、集中コントローラが、当該パス上で別のサービス要求が割り振られておらず、当該パス上で別のサービス要求を割り振る計画がないと判断した場合、現在の量子鍵生成速度を、2つの隣接した鍵ノードの量子鍵生成速度として決定する動作、または集中コントローラが、当該パス上で別のサービス要求が割り振られているか、もしくは当該パス上で別のサービス要求を割り振る計画があると判断した場合、2つの隣接した鍵ノードの、当該の別のサービス要求に対応する量子鍵消費速度を決定し、現在の量子鍵生成速度と別のサービス要求に対応する量子鍵消費速度との差を、2つの隣接した鍵ノードの量子鍵生成速度として決定する動作と、を行うステップ、をさらに含む。
任意選択で、集中コントローラが、Z個のサービス要求を取得するステップの後、G個のサービス要求に対応する鍵中継命令を決定するステップの前に、本方法は、Z個のサービス要求の各々について、集中コントローラが、送信元鍵ノードから宛先鍵ノードまでの各々のパスを決定する動作と、集中コントローラが各々のパスについて、当該パス上で2つの隣接した鍵ノードによって現在共有されている在庫量子鍵の数を決定する動作と、集中コントローラが、当該パス上で別のサービス要求が割り振られておらず、当該パス上で別のサービス要求を割り振る計画がないと判断した場合、現在共有されている在庫量子鍵の数を2つの隣接した鍵ノードによって共有される在庫量子鍵の数として決定する動作、または集中コントローラが、当該パス上で別のサービス要求が割り振られているか、もしくは当該パス上で別のサービス要求を割り振る計画があると判断した場合、2つの隣接した鍵ノードの、当該の別のサービス要求に対応する量子鍵消費数を決定し、現在共有されている在庫量子鍵の数と別のサービス要求に対応する量子鍵消費数との差を、2つの隣接した鍵ノードによって共有される在庫量子鍵の数として決定する動作と、を行うステップ、をさらに含む。
任意選択で、集中コントローラがZ個のサービス要求の各々に基づいて、各サービス要求に対応している送信元サービスノードの識別子および宛先サービスノードの識別子と、サービス要求の量子鍵消費パラメータとを決定するステップの後、G個のサービス要求に対応する鍵中継命令を決定するステップの前に、本方法は、Z個のサービス要求の各々について、集中コントローラが鍵ノードのトポロジ情報に基づいて集中管理制御ネットワークから、第1のパスセットを取得するために、送信元鍵ノードから宛先鍵ノードまでのすべてのパスを決定する動作と、集中コントローラが第1のパスセットから、量子鍵消費パラメータに対応する第1の条件を満たすQ個の第2のパスを決定する動作であって、Qが0以上の整数である、動作と、を行うステップ、をさらに含み、量子鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含む場合、量子鍵消費パラメータに対応する第1の条件は、P+Pm+wm*t≧Kであり、または量子鍵消費パラメータがサービスの鍵消費速度Vを含む場合、量子鍵消費パラメータに対応する第1の条件は、wm≧Vであり、式中、Pは、送信元鍵ノードと宛先鍵ノードとの間の在庫量子鍵の数であり、Pmは、パス上の最小エッジ重みノード対の在庫量子鍵の数であり、wmは、パス上の最小エッジ重みノード対の量子鍵生成速度である。
任意選択で、集中コントローラが、G個のサービス要求に対応する鍵中継命令を決定するステップは、Qが0である場合、集中コントローラが、第3のパスセットを取得するために、第1のパスセットに含まれるすべてのパスからS個のパスを決定するステップであって、Sが、2以上の整数であり、第3のパスセットに含まれるどの2つのパスもオーバーラップするエッジを有しない、ステップと、集中コントローラが、S個のパスが量子鍵消費パラメータに対応する第2の条件を満たすと判断した場合、S個のパスを鍵中継パスとして決定し、鍵中継パスに基づいて、サービス要求に対応する鍵中継命令を決定するステップと、を含み、量子鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含む場合、量子鍵消費パラメータに対応する第2の条件は、
Figure 2020501413
 であり、または量子鍵消費パラメータがサービスの鍵消費速度Vを含む場合、量子鍵消費パラメータに対応する第2の条件は、
Figure 2020501413
 であり、式中、iの値範囲は、[1,S]であり、Piは、第iのパス上の最小エッジ重みノード対の在庫量子鍵の数であり、wiは、第iのパス上の最小エッジ重みノード対の量子鍵生成速度である。このようにして、1つのパスがサービス要求によって必要とされる量子鍵の数を満たすことができない場合、決定された鍵中継パスがサービス要求によって必要とされる鍵の数を満たすよう保証するために、複数のパスを同時に使用して量子鍵中継を行うことができる。
任意選択で、集中コントローラが、S個のパスを鍵中継パスとして決定するステップの後に、本方法は、集中コントローラが、S個のパスの第iのパスに対応する各鍵ノードに対応する量子鍵消費数Liを決定するステップであって、量子鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含む場合、Li=(Pi+wi*t)−Rであり、Rが、第3のパスセット内の各パス上の最小エッジ重みノード対の残りの鍵の数であり、
Figure 2020501413
 である、ステップ、をさらに含む。第3のパスセット内のS個のパスに量子鍵消費数が割り振られた後、すべてのパス上の最小エッジ重みノード対が同数の残りの鍵を有するので、S個のパスは次のサービス要求に量子鍵をより適切に提供することができる。
任意選択で、集中コントローラは、送受信機をさらに含み、送受信機は、送信機受信機とを含む。
1つの可能な設計では、送受信機と、プロセッサと、メモリとを含むネットワーク機器が提供される。プロセッサは、信号を送受信するよう送受信機を制御するように構成され、メモリは、コンピュータプログラムを格納するように構成され、送受信機は、シグナリングを送受信するように構成され、プロセッサは、ネットワーク機器が第1の態様の任意の可能な実施態様における方法を行うように、メモリからコンピュータプログラムを呼び出し、コンピュータプログラムを実行するように構成される。
任意選択で、鍵ノードは、送受信機をさらに含み、送受信機は、送信機受信機とを含む。
1つの可能な設計では、送受信機と、プロセッサと、メモリとを含む端末機器が提供される。プロセッサは、信号を送受信するよう送受信機を制御するように構成され、送受信機は、シグナリングを送受信するように構成され、メモリは、コンピュータプログラムを格納するように構成され、プロセッサは、端末機器が第2の態様の任意の可能な実施態様における方法を行うように、メモリからコンピュータプログラムを呼び出し、コンピュータプログラムを実行するように構成される。
第5の態様によれば、第1の態様の任意の可能な実施態様における量子鍵中継方法を行うように構成することができる各部またはモジュールを含む、集中コントローラが提供される。任意選択の解決策において、集中コントローラは、記憶部と、処理部と、送受信部とを含む。
本出願の実施形態で提供される解決策では、集中管理制御ネットワークが使用される。任意選択で、集中管理制御ネットワークは、ソフトウェア定義のネットワーク(Software Defined Network、SDN)である。SDNは、新しいネットワークアーキテクチャである。SDNの設計概念は、ネットワークの制御プレーンをデータ転送プレーンから分離して、集中コントローラ上でソフトウェアプラットフォームを使用してプログラマブルな方法で下にあるハードウェアを制御し、要件に応じてネットワークリソースを柔軟にスケジュールし、分配することである。
図2は、本出願の一実施形態が適用されるシステムの概略アーキテクチャ図である。図2に示すように、システムは、集中コントローラ201と、集中管理制御ネットワークとを含むことができ、集中管理制御ネットワークは、サービス層202と、鍵管理層203と、鍵生成層204とを含む。サービス層202は複数のサービスノード205を含み、鍵管理層203は複数の鍵管理ノード206を含み、鍵生成層204は複数の鍵生成ノード207を含む。図2では、サービス層、鍵管理層、鍵生成層、ならびに対応するサービスノード、鍵管理ノード、および鍵生成ノードは、論理的な定義および分割によって取得される。実際には、サービスノード、鍵管理ノード、および鍵生成ノードが1つのデバイスに統合された異なる機能構成要素であってもよく、またはサービスノードが1つのデバイスであってもよく、鍵管理ノードと鍵生成ノードとが別のデバイスに統合されている。
鍵管理層203に含まれる複数の鍵管理ノードは、量子鍵を中継するために互いにリンクされうる。鍵生成層204に含まれる複数の鍵生成ノードは、量子鍵を生成するために互いにリンクされうる。鍵管理層203の鍵管理ノード206は鍵生成層204の鍵生成ノード207と1対1の対応関係にある。言い換えると、1つの鍵管理ノードは1つの鍵生成ノードに対応している。本出願の本実施形態の鍵ノードは、鍵管理ノードと、鍵管理ノードに対応する鍵生成ノードとを含む。図2の鍵生成ノードは、量子鍵配送機構を使用して、またはディフィー・ヘルマン(Diffie−Hellman、DH)アルゴリズムなどの別の方法を使用して対称鍵を生成しうる。任意選択で、鍵ノードが鍵を生成する動作は鍵生成ノードによって完了され、鍵ノードによって行われる他の動作は鍵管理ノードによって完了される。
任意選択で、集中管理制御ネットワークの鍵ノードのトポロジ情報は、各鍵ノードの少なくとも1つの識別子と、各鍵ノードと1つまたは複数の他の鍵ノードとの間の量子リンクの状況とを含む。量子リンクの状況は、鍵ノードと別の鍵ノードとの間のリンクの状況、例えば、2つの鍵ノードの間にリンクがあることや、2つの鍵ノードの間にリンクがないこと、を含んでいてもよく、各鍵ノードと別の鍵ノードとの間のリンクが正常な動作状態かそれとも異常な状態かを指示するためにさらに使用されてもよい。
第4の可能な方法では、オペレータまたは第三者プログラムが、所定の時刻に送信元サービスノードと宛先サービスノードとの間でサービス要求を開始するよう集中コントローラを直接構成する
2つの鍵ノードは、2つの鍵ノードによって共有される量子鍵を別々に格納し、それらの鍵ノード上で共有鍵プールが作成され、量子鍵が鍵プールに事前格納される。サービス要求が生じたときに、多数の鍵を迅速に提供することができる。サービス要求がないときには、鍵プールは鍵プールが一杯になるまで補充されうる。任意選択で、鍵プールから排出された後、鍵は鍵プールに再度入ることができない。格納時に、量子鍵はデータ待ち行列形式で鍵ノードの鍵プールに格納されてもよく、最初に生成された量子鍵は、最初に鍵プールに入り、量子鍵を使用する必要があるときに最初に抽出される。
任意選択で、鍵ノードが複数の鍵中継命令を受け取った場合、量子鍵が複数の鍵中継命令に基づいて共有鍵プールから同時に抽出される必要があるときに、量子鍵は、複数の鍵中継命令のソートに基づいて鍵プールから連続して抽出されうる。任意選択で、複数の鍵中継命令は、集中コントローラでソートされてもよく、または鍵ノードでソートされてもよい。このようにして、2つの鍵ノードが同じサービス要求内の2つの鍵中継命令に基づいて量子鍵を抽出するときに、共有鍵プールから同じ共有量子鍵を抽出することができる。
サービス要求を取得した後、集中コントローラは、量子鍵中継動作が行われる必要があるかどうかを判断する必要がある。任意選択で、異なる鍵消費パラメータに基づいて特定の判断が行われてもよい。任意選択で、量子鍵消費パラメータは総鍵消費数Kを含む。任意選択で、量子鍵消費パラメータは総鍵消費数Kおよびサービス持続時間tを含む。任意選択で、量子鍵消費パラメータはサービスの鍵消費速度Vを含む。したがって、集中コントローラは、特定の鍵消費パラメータに基づいて鍵中継パスをより正確に決定し、サービス要求に対応するサービスに量子鍵をより適切に提供することができる。以下で、いくつかの可能な事例を例にとって説明する。
事例1では、量子鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含むか、または総鍵消費数Kのみを含む場合、集中コントローラは、送信元鍵ノードと宛先鍵ノードとの間の在庫量子鍵の数Pを取得する。総鍵消費数Kが在庫鍵の数P以下である場合、集中コントローラは、鍵中継動作が行われる必要はないと判断する。このようにして、サービス暗号化および解読プロセスを実施するために、送信元鍵ノードと宛先鍵ノードとによって共有される量子鍵を鍵ノードから直接取得することができる。
事例2では、量子鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含むか、または総鍵消費数Kのみを含む場合、集中コントローラは、送信元鍵ノードと宛先鍵ノードとの間の在庫量子鍵の数Pを取得する。総鍵消費数Kが在庫鍵の数Pより大きい場合、集中コントローラは、鍵中継動作が行われる必要があると判断する。別の可能な方法では、量子鍵消費パラメータがサービスの鍵消費速度Vを含む場合、集中コントローラは、鍵中継動作が行われる必要があると判断する。このようにして、そのサービス持続時間が任意の持続時間であるサービス要求に対応するサービスによって必要とされる量子鍵の数を最大限まで保証することができる。
任意選択で、集中管理制御ネットワーク内の鍵ノードのトポロジ情報は、各鍵ノードの識別子、各鍵ノードと1つまたは複数の他の鍵ノードとの間の量子リンクの状況、および任意の2つの隣接した鍵ノードのエッジ重みを含む。任意選択で、送信元鍵ノードから宛先鍵ノードまでの各パス上の2つの隣接した鍵ノードが1つのエッジ重みに対応しており、2つの隣接した鍵ノードに対応するエッジ重みが小さいほど、それら2つの隣接した鍵ノードの量子鍵提供能力が弱いことを示す。各パスは1つの最小エッジ重みノード対を含み、各パス上の最小エッジ重みノード対は、そのパス上の最小エッジ重みを有する2つの鍵ノードである。鍵ノードのトポロジ情報が任意の2つの隣接した鍵ノードのエッジ重みを含み、2つの隣接した鍵ノードに対応するエッジ重みが小さいほど、2つの隣接した鍵ノードの量子鍵提供能力が弱いことを示すので、鍵中継命令は、各パス上の2つの隣接した鍵ノードの量子鍵提供能力に基づいて決定されうる。
任意選択で、2つの隣接した鍵ノードに対応するエッジ重みは、2つの隣接した鍵ノードによって共有される在庫量子鍵の数と、事前設定持続時間に2つの隣接した鍵ノードによって共有される量子鍵の生成数との和、2つの隣接した鍵ノードによって共有される在庫量子鍵の数、および2つの隣接した鍵ノードによって共有される量子鍵の生成速度、のうちのいずれか1つを含む。任意選択で、事前設定持続時間に2つの隣接した鍵ノードによって共有される量子鍵の生成数は、事前設定持続時間と2つの鍵ノードによって共有される量子鍵の生成速度との積である。このようにして、在庫量子鍵の数、事前設定持続時間に2つの鍵ノードによって共有される量子鍵の生成数、および量子鍵の生成速度のうちのいずれか1つまたは複数を使用して量子鍵提供能力が正確に反映される。
集中コントローラが、送信元鍵ノードから宛先鍵ノードまでの各々のパスを決定し、各々のパスについて、集中コントローラが、各パスの2つの隣接した鍵ノードの現在の量子鍵生成速度を決定し、集中コントローラが、当該パス上で別のサービス要求が割り振られておらず、当該パス上で別のサービス要求を割り振る計画がないと判断した場合、集中コントローラが、現在の量子鍵生成速度を、2つの隣接した鍵ノードの量子鍵生成速度として決定するか、または集中コントローラが、当該パス上で別のサービス要求が割り振られているか、もしくは当該パス上で別のサービス要求を割り振る計画があると判断した場合、集中コントローラが、2つの隣接した鍵ノードの、当該の別のサービス要求に対応する量子鍵消費速度を決定し、現在の量子鍵生成速度と別のサービス要求に対応する量子鍵消費速度との差を、2つの隣接した鍵ノードの量子鍵生成速度として決定する。
集中コントローラが、送信元鍵ノードから宛先鍵ノードまでの各々のパスを決定し、各々のパスについて、集中コントローラが、各パスの2つの隣接した鍵ノードによって現在共有される在庫量子鍵の数を決定し、集中コントローラが、当該パス上で別のサービス要求が割り振られておらず、当該パス上で別のサービス要求を割り振る計画がないと判断した場合、集中コントローラが、現在共有されている在庫量子鍵の数を2つの隣接した鍵ノードによって共有される在庫量子鍵の数として決定するか、または集中コントローラが、当該パス上で別のサービス要求が割り振られているか、もしくは当該パス上で別のサービス要求を割り振る計画があると判断した場合、集中コントローラが、2つの隣接した鍵ノードの、当該の別のサービス要求に対応する量子鍵消費数を決定し、現在共有されている在庫量子鍵の数と別のサービス要求に対応する量子鍵消費数との差を、2つの隣接した鍵ノードによって共有される在庫量子鍵の数として決定する。
任意選択で、集中コントローラがZ個のサービス要求の各々に基づいて、各サービス要求に対応している送信元サービスノードの識別子および宛先サービスノードの識別子と、サービス要求の量子鍵消費パラメータとを決定するステップの後、G個のサービス要求に対応する鍵中継命令を決定するステップの前に、本方法は、Z個のサービス要求の各々について、集中コントローラが鍵ノードのトポロジ情報に基づいて集中管理制御ネットワークから、第1のパスセットを取得するために、送信元鍵ノードから宛先鍵ノードまでのすべてのパスを決定する動作と、集中コントローラが第1のパスセットから、量子鍵消費パラメータに対応する第1の条件を満たすQ個の第2のパスを決定する動作であって、Qが0以上の整数である、動作と、を行うステップ、をさらに含む。
量子鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含む場合、量子鍵消費パラメータに対応する第1の条件は、以下の式(1)である。
P+Pm+wm*t≧K 式(1)
式(1)において、Pは、送信元鍵ノードと宛先鍵ノードとの間の在庫量子鍵の数であり、Pmは、パス上の最小エッジ重みノード対の在庫量子鍵の数であり、wmは、パス上の最小エッジ重みノード対の量子鍵生成速度であり、tは、サービス持続時間であり、Kは、総鍵消費数である。任意選択で、量子鍵消費パラメータが総鍵消費数Kのみを含む場合、前述の式(1)においてtが0であると仮定して、計算が行われる。
量子鍵消費パラメータがサービスの鍵消費速度Vを含む場合、量子鍵消費パラメータに対応する第1の条件は、次式である。
wm≧V 式(2)
式(1)から、第1の条件が満たされるとき、送信元鍵ノードと宛先鍵ノードとの間の在庫量子鍵の数の和、パス上の最小エッジ重みノード対の在庫量子鍵の数、およびパス上の最小エッジ重みノード対の量子鍵生成数は、総鍵消費数以上であることが分かる。式(2)から、第1の条件が満たされるとき、パス上の最小エッジ重みノード対の量子鍵生成速度は、サービスの鍵消費速度以上であることが分かる。したがって、ただ1つのパスを使用してサービス要求によって必要とされる鍵の数を満たすことができる。
任意選択で、Qが0である、具体的には、送信元鍵ノードから宛先鍵ノードまでのパスのどれも第1の条件を満たすことができない場合、量子鍵中継を同時に行うために複数のパスが選択されるので、生成された量子鍵がサービス要求の要件を満たす。複数の具体的な方法がある。例えば、サービス要件を満たすことができる複数のパスがすべてのパスから選択される。本出願の本実施形態は、以下の任意選択の実施態様を提供する。集中コントローラは、第3のパスセットを取得するために、第1のパスセットに含まれるすべてのパスからS個のパスを決定し、Sは、2以上の整数であり、第3のパスセットに含まれるどの2つのパスもオーバーラップするエッジを有さず、集中コントローラが、S個のパスが量子鍵消費パラメータに対応する第2の条件を満たすと判断した場合、集中コントローラは、S個のパスを鍵中継パスとして決定し、鍵中継パスに基づいて、サービス要求に対応する鍵中継命令を決定する。
量子鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含む場合、量子鍵消費パラメータに対応する第2の条件は、以下の式(3)である。
Figure 2020501413
量子鍵消費パラメータがサービスの鍵消費速度Vを含む場合、量子鍵消費パラメータに対応する第2の条件は、以下の式(4)である。
Figure 2020501413
式(3)から、第2の条件が満たされるとき、送信元鍵ノードと宛先鍵ノードとの間の在庫量子鍵の数、第3のパスセット内のS個のパス上のS個の最小エッジ重みノード対の在庫量子鍵の数の和、およびS個のパス上のS個の最小エッジ重みノード対の量子鍵生成数の和、以上の3つの数の和は、総鍵消費数以上であることが分かる。式(4)から、第2の条件が満たされるとき、第3のパスセット内のS個のパス上のS個の最小エッジ重みノード対の量子鍵生成速度の和は、サービスの鍵消費速度以上であることが分かる。したがって、S個のパスだけを使用してサービス要求によって必要とされる鍵の数を満たすことができる。
本出願の本実施形態では、第3のパスセット内のS個のパスによってサービス要求に十分な量子鍵を提供することができる。具体的な実装に際しては、量子鍵消費数がパスごとにランダムに割り振られうる。本出願の本実施形態では提供される別の任意選択の一実施態様では、第3のパスセット内のS個のパスに量子鍵消費数が割り振られた後、すべてのパス上の最小エッジ重みノード対が同数の残りの鍵を有するので、S個のパスは次のサービス要求に量子鍵をより適切に提供することができる。この解決策は具体的には以下のとおりである。量子鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含み、S個のパスを鍵中継パスとして決定した後、集中コントローラが、S個のパスの第iのパスに対応する各鍵ノードに対応する量子鍵消費数Liを決定し、Liが、以下の式(5)の要件を満たす。
Li=(Pi+wi*t)−R 式(5)
図3cに示すように、量子鍵消費パラメータは総鍵消費数Kを含むので、パス「鍵ノードA−鍵ノードB−鍵ノードE」に割り振られた各鍵ノードに対応する量子鍵消費数は50kbitsであり、パス「鍵ノードA−鍵ノードC−鍵ノードD−鍵ノードE」に割り振られた各鍵ノードに対応する量子鍵消費数は1Mbitsである。図3cに示すように、識別子「1」(丸付き数字1)を有する両方のパス上の残りの鍵の数は0である。言い換えると、サービス要求を行うプロセスにおいて、2つのパス上の在庫量子鍵が消費される。しかしながら、サービス要求が進むに従って、2つのパス上で量子鍵が生成される。
パス「鍵ノードA−鍵ノードC−鍵ノードD−鍵ノードE」(図3cで識別子「2」(丸付き数字2)を有するパス)上の最小エッジ重みノード対の量子鍵生成速度が0.05Mbits以上であり、サービス要求の総鍵消費数が1.05Mbits未満である場合、パス上のリアルタイムの量子鍵生成速度が0.05Mbits以上であることを考慮して、このパスだけが鍵中継パスとして選択されうる。任意選択で、サービス要求の総鍵消費数が1.05Mbitである場合、パス上のすべての量子鍵が消費されるのを回避するために、この場合には2つのパスが選択されうる。
第1のパスセット内の2つのパスのどちらも第1の条件を満たさない。前述の2つのパスは第2の条件を満たすと判断される。具体的にはサービスの鍵消費速度7kbpsは、パス「鍵ノードA−鍵ノードB−鍵ノードE」上の最小エッジ重みノード対の量子鍵生成速度(5kbps)とパス「鍵ノードA−鍵ノードC−鍵ノードD−鍵ノードE」上の最小エッジ重みノード対の量子鍵生成速度(3kbps)との和未満である。
任意選択で、量子鍵消費パラメータはサービスの鍵消費速度Vを含み、S個のパスを鍵中継パスとして決定した後、集中コントローラは、Y個のパスの各々に対応する量子鍵消費速度を決定する。Y個のパスの各々に対応する最小エッジ重みノード対の在庫量子鍵の数が小さいほど、最小エッジ重みノード対に対応する量子鍵生成速度と、最小エッジ重みノード対に対応するパスに対応する量子鍵消費速度との差が大きいことを指示する。このようにして、各パスがサービス要求にサービスした後、すべてのパス上の最小エッジ重みノード対が同数の残りの鍵を有するよう最大限に保証することができる。
本出願の本実施形態では同時に複数のサービスがありうる。任意選択で、Z個のサービス要求の各々について、集中コントローラが、送信元鍵ノードから宛先鍵ノードまでの各々のパスを決定する動作と、集中コントローラが各々のパスについて、パス上の2つの隣接した鍵ノードの現在の量子鍵生成速度を決定する動作と、集中コントローラが、当該パス上で別のサービス要求が割り振られておらず、当該パス上で別のサービス要求を割り振る計画がないと判断した場合、現在の量子鍵生成速度を、2つの隣接した鍵ノードの量子鍵生成速度として決定する動作、または集中コントローラが、当該パス上で別のサービス要求が割り振られているか、もしくは当該パス上で別のサービス要求を割り振る計画があると判断した場合、2つの隣接した鍵ノードの、当該の別のサービス要求に対応する量子鍵消費速度を決定し、現在の量子鍵生成速度と別のサービス要求に対応する量子鍵消費速度との差を、2つの隣接した鍵ノードの量子鍵生成速度として決定する動作と、が行われる。このようにして、現在のサービス要求に鍵中継パスが決定されるときに、鍵中継パス上で割り振られているサービス要求が考慮されうるので、複数のサービス要求に量子鍵を同時に提供することができる。
任意選択の一実施態様の解決策は以下のとおりである。集中コントローラは、鍵ノードとサービスノードによって報告された情報に基づいて、各鍵管理ノードに配信される必要のある構成コマンドを解析、計算、および生成し(構成コマンドは鍵中継パスを含む)、構成コマンドを特定のフォーマットに従ってカプセル化して完全なデータブロックにし、データブロックを標準インターネットプロトコル(Internet Protocol、IP)パケット、光伝送ネットワーク(Optical Transport Network、OTN)データフレームなどにカプセル化し、標準インターネットプロトコルパケット、光伝送ネットワークデータフレームなどを、ネットワークを使用して鍵ノードに送信する。鍵ノードは、標準IPパケット、OTNデータフレームなどを受信し、標準IPパケット、OTNデータフレームなどのデータブロックをパースし、事前に合意されたカプセル化フォーマットに従って、データブロックに含まれ構成コマンドを読み取り、鍵中継パスを取得し、対応する鍵処理を行う。
ステップ2703:鍵ノードCが、鍵ノードCと鍵ノードAとによって共有される鍵ビットストリングK1を抽出し、鍵ノードCと鍵ノードEとによって共有される、その長さがK0である鍵ビットストリングK2を使用してK1を暗号化して、ビットストリングK3を取得し、ビットストリングK3を鍵ノードDに送信する。次いで、ステップ2704が行われる。鍵ノードCは、鍵ノードCと鍵ノードの前のホップの鍵ノードAとによって共有される第2のターゲット量子鍵K1を決定し、鍵ノードCと鍵ノードCの次のホップの鍵ノードDとによって共有される第1の暗号化および解読量子鍵K2を使用して第2のターゲット量子鍵K1を暗号化して、暗号化された第2のターゲット量子鍵、すなわち、ビットストリングK3を取得し、K3を鍵ノードCの次のホップの鍵ノードDに送信する。
ステップ2704:鍵ノードDが、鍵ノードDと鍵ノードCとによって共有される鍵ビットストリングK2を抽出し、K3を解読してビットストリングK1を取得し、鍵ノードDと鍵ノードEとによって共有される、その長さがK0である鍵ビットストリングK4を使用してK1を暗号化して、ビットストリングK5を取得する。次いで、ステップ2705が行われる。鍵ノードDは、鍵ノードDと鍵ノードDの前のホップの鍵ノードCとによって共有される第2の暗号化および解読量子鍵K2を決定し、第2の暗号化および解読量子鍵K2を使用して取得された暗号化された第3のターゲット量子鍵K3を解読し、鍵ノードDと鍵ノードDの次のホップの鍵ノードEとによって共有される第3の暗号化および解読量子鍵K4を使用して第3のターゲット量子鍵を暗号化して、暗号化された第3のターゲット量子鍵、すなわち、ビットストリングK5を取得し、ビットストリングK5を鍵ノードDの次のホップの鍵ノードEに送信する。
ステップ2705:鍵ノードEが、鍵ノードEと鍵ノードDとによって共有される鍵ビットストリングK4を抽出し、K5を解読してビットストリングK1を取得し、ビットストリングK1を、鍵ノードEと鍵ノードAとによって共有される鍵を格納するために使用されるレジスタに入れ、鍵ノードEが、鍵ノードEと鍵ノードEの前のホップの鍵ノードDとによって共有される第4の暗号化および解読量子鍵K4を決定し、第4の暗号化および解読量子鍵K4を使用して取得された暗号化された第4のターゲット量子鍵K5を解読して、ターゲット量子鍵K1を取得する。
バスは、周辺装置相互接続(peripheral component interconnect、PCI)バス、拡張業界標準アーキテクチャ(extended industry standard architecture、EISA)バスなどとすることができる。バスは、アドレスバス、データバス、制御バスなどに分類されうる。表現を容易にするために、図4では1本の太線のみを使用してバスを表しているが、これは、1本バスまたは1種類のバスしかないことを示すものではない。
メモリは、揮発性メモリ、例えば、ランダムアクセスメモリ(random−access memory、RAM)を含んでいてもよく、またはメモリは、不揮発性メモリ(non−volatile memory)、例えば、フラッシュメモリや、ハードディスクドライブ(hard disk drive、HDD)や、ソリッドステートドライブ(solid−state drive、SSD)を含んでいてもよく、またはメモリは、前述の種類のメモリの組み合わせを含んでいてもよい。
プロセッサは、中央処理装置(central processing unit、CPU)、ネットワークプロセッサ(network processor、NP)、またはCPUとNPとの組み合わせであってもよい。プロセッサはハードウェアチップをさらに含んでいてもよい。ハードウェアチップは、特定用途向け集積回路(application−specific integrated circuit、ASIC)、プログラマブルロジックデバイス(programmable logic device、PLD)、またはそれらの組み合わせであってもよい。PLDは、複合プログラマブルロジックデバイス(complex programmable logic device、CPLD)、フィールド・プログラマブル・ゲート・アレイ(field−programmable gate array、FPGA)、ジェネリックアレイロジック(generic array logic、GAL)、またはそれらの組み合わせであってもよい。
任意選択で、集中管理制御ネットワーク内の鍵ノードのトポロジ情報は、各鍵ノードの識別子、各鍵ノードと1つまたは複数の他の鍵ノードとの間の量子リンクの状況、および任意の2つの隣接した鍵ノードのエッジ重みを含む。送信元鍵ノードから宛先鍵ノードまでの各パス上の2つの隣接した鍵ノードが1つのエッジ重みに対応しており、2つの隣接した鍵ノードに対応するエッジ重みが小さいほど、それら2つの隣接した鍵ノードの量子鍵提供能力が弱いことを示す。各パスは1つの最小エッジ重みノード対を含み、各パス上の最小エッジ重みノード対は、そのパス上の最小エッジ重みを有する2つの鍵ノードである。
任意選択で、2つの隣接した鍵ノードに対応するエッジ重みは、2つの隣接した鍵ノードによって共有される在庫量子鍵の数と、事前設定持続時間に2つの隣接した鍵ノードによって共有される量子鍵の生成数との和、2つの隣接した鍵ノードによって共有される在庫量子鍵の数、および2つの隣接した鍵ノードによって共有される量子鍵の生成速度、のうちのいずれか1つを含む。
任意選択で、プロセッサは、Z個のサービス要求の各々について、集中コントローラが、送信元鍵ノードから宛先鍵ノードまでの各々のパスを決定する動作と、集中コントローラが各々のパスについて、パス上の2つの隣接した鍵ノードの現在の量子鍵生成速度を決定する動作と、集中コントローラが、当該パス上で別のサービス要求が割り振られておらず、当該パス上で別のサービス要求を割り振る計画がないと判断した場合、現在の量子鍵生成速度を、2つの隣接した鍵ノードの量子鍵生成速度として決定する動作、または集中コントローラが、当該パス上で別のサービス要求が割り振られているか、もしくは当該パス上で別のサービス要求を割り振る計画があると判断した場合、2つの隣接した鍵ノードの、当該の別のサービス要求に対応する量子鍵消費速度を決定し、現在の量子鍵生成速度と別のサービス要求に対応する量子鍵消費速度との差を、2つの隣接した鍵ノードの量子鍵生成速度として決定する動作と、を行う、ようにさらに構成される。
任意選択で、プロセッサは、Z個のサービス要求の各々について、集中コントローラが、送信元鍵ノードから宛先鍵ノードまでの各々のパスを決定する動作と、集中コントローラが各々のパスについて、当該パス上で2つの隣接した鍵ノードによって現在共有されている在庫量子鍵の数を決定する動作と、集中コントローラが、当該パス上で別のサービス要求が割り振られておらず、当該パス上で別のサービス要求を割り振る計画がないと判断した場合、現在共有されている在庫量子鍵の数を2つの隣接した鍵ノードによって共有される在庫量子鍵の数として決定する動作、または集中コントローラが、当該パス上で別のサービス要求が割り振られているか、もしくは当該パス上で別のサービス要求を割り振る計画があると判断した場合、2つの隣接した鍵ノードの、当該の別のサービス要求に対応する量子鍵消費数を決定し、現在共有されている在庫量子鍵の数と別のサービス要求に対応する量子鍵消費数との差を、2つの隣接した鍵ノードによって共有される在庫量子鍵の数として決定する動作と、を行う、ようにさらに構成される。
任意選択で、プロセッサは、Z個のサービス要求の各々について、集中コントローラが鍵ノードのトポロジ情報に基づいて集中管理制御ネットワークから、第1のパスセットを取得するために、送信元鍵ノードから宛先鍵ノードまでのすべてのパスを決定する動作と、集中コントローラが第1のパスセットから、量子鍵消費パラメータに対応する第1の条件を満たすQ個の第2のパスを決定する動作であって、Qが0以上の整数である、動作と、を行うようにさらに構成され、量子鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含む場合、量子鍵消費パラメータに対応する第1の条件は、P+Pm+wm*t≧Kであり、または量子鍵消費パラメータがサービスの鍵消費速度Vを含む場合、量子鍵消費パラメータに対応する第1の条件は、wm≧Vであり、式中、Pは、送信元鍵ノードと宛先鍵ノードとの間の在庫量子鍵の数であり、Pmは、パス上の最小エッジ重みノード対の在庫量子鍵の数であり、wmは、パス上の最小エッジ重みノード対の量子鍵生成速度である。
任意選択で、プロセッサは、Qが0である場合、集中コントローラが、第3のパスセットを取得するために、第1のパスセットに含まれるすべてのパスからS個のパスを決定し、Sが、2以上の整数であり、第3のパスセットに含まれるどの2つのパスもオーバーラップするエッジを有さず、集中コントローラが、S個のパスが量子鍵消費パラメータに対応する第2の条件を満たすと判断した場合、S個のパスを鍵中継パスとして決定し、鍵中継パスに基づいて、サービス要求に対応する鍵中継命令を決定する、ように構成され、量子鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含む場合、量子鍵消費パラメータに対応する第2の条件は、
Figure 2020501413
 であり、または量子鍵消費パラメータがサービスの鍵消費速度Vを含む場合、量子鍵消費パラメータに対応する第2の条件は、
Figure 2020501413
 であり、式中、iの値範囲は、[1,S]であり、Piは、第iのパス上の最小エッジ重みノード対の在庫量子鍵の数であり、wiは、第iのパス上の最小エッジ重みノード対の量子鍵生成速度である。
任意選択で、プロセッサは、集中コントローラが、S個のパスの第iのパスに対応する各鍵ノードに対応する量子鍵消費数Liを決定し、量子鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含む場合、Li=(Pi+wi*t)−Rであり、式中、Rは、第3のパスセット内の各パス上の最小エッジ重みノード対の残りの鍵の数であり、
Figure 2020501413
 である、ようにさらに構成される。
バスは、周辺装置相互接続(peripheral component interconnect、PCI)バス、拡張業界標準アーキテクチャ(extended industry standard architecture、EISA)バスなどとすることができる。バスは、アドレスバス、データバス、制御バスなどに分類されうる。表現を容易にするために、図4では1本の太線のみを使用してバスを表しているが、これは、1本バスまたは1種類のバスしかないことを示すものではない。
メモリは、揮発性メモリ、例えば、ランダムアクセスメモリ(random−access memory、RAM)を含んでいてもよく、またはメモリは、不揮発性メモリ、例えば、フラッシュメモリや、ハードディスクドライブ(hard disk drive、HDD)や、ソリッドステートドライブ(solid−state drive、SSD)を含んでいてもよく、またはメモリは、前述の種類のメモリの組み合わせを含んでいてもよい。
プロセッサは、中央処理装置(central processing unit、CPU)、ネットワークプロセッサ(network processor、NP)、またはCPUとNPとの組み合わせであってもよい。プロセッサはハードウェアチップをさらに含んでいてもよい。ハードウェアチップは、特定用途向け集積回路(application−specific integrated circuit、ASIC)、プログラマブルロジックデバイス(programmable logic device、PLD)、またはそれらの組み合わせであってもよい。PLDは、複合プログラマブルロジックデバイス(complex programmable logic device、CPLD)、フィールド・プログラマブル・ゲート・アレイ(field−programmable gate array、FPGA)、ジェネリックアレイロジック(generic array logic、GAL)、またはそれらの組み合わせであってもよい。
処理部は、メモリに格納されたプログラムおよび命令を呼び出すことによって、送受信部によって取得されたZ個のサービス要求の各々に基づいて、各サービス要求に対応している送信元サービスノードの識別子および宛先サービスノードの識別子と、サービス要求の量子鍵消費パラメータとを決定する動作と、Z個のサービス要求の各々に対応している送信元サービスノードの識別子および宛先サービスノードの識別子と、量子鍵消費パラメータと、集中管理制御ネットワーク内の鍵ノードのトポロジ情報とに基づいて、G個のサービス要求に対応する鍵中継命令を決定する動作であって、送信元サービスノードが送信元鍵ノードに対応しており、宛先サービスノードが宛先鍵ノードに対応しており、Zが、1以上の整数であり、Gが、Z以下1以上の整数である、動作と、を行うように構成される。
図5に示すように、任意選択で、鍵ノードは、鍵管理ノード509と、鍵生成層513に含まれる鍵生成ノードとを含む。鍵ノード上の鍵管理ノード509は、量子鍵を格納するように構成された鍵プール505と、量子鍵を鍵プール505に格納するように構成された鍵格納部506と、量子鍵中継を行うように構成された鍵中継部507と、暗号化のために鍵プール505内の量子鍵を抽出するように構成された鍵抽出部508とを含みうる。
集中コントローラ511は、鍵管理ノード509のインターフェースモジュール501を使用して鍵管理ノード509に接続され、集中コントローラ511はサービスノード510に接続される。インターフェースモジュール501は、インターフェースモジュール501を使用して集中コントローラ511に、隣接した鍵生成ノード対の鍵生成速度(鍵生成速度は、インターフェースモジュール503を使用して鍵生成層513によって鍵管理ノード509にインポートされる)、各鍵管理ノード対の在庫量子鍵の数(在庫量子鍵の数は鍵プール505からインポートされる)、および近隣の鍵管理ノード512のリンク状況(近隣の鍵管理ノード512はインターフェースモジュール504を使用して接続される)をフィードバックするように構成される。集中コントローラ511は、サービス要求および既存の情報に基づいて鍵中継パスを生成し、インターフェースモジュール501を使用して鍵管理ノード509上の鍵格納部506に鍵中継パスを配信し、鍵中継部507を使用して中継を完了する。
鍵管理ノード509は、インターフェースモジュール502を使用してサービスノード510に接続される。インターフェースモジュール502は、鍵管理ノード509が送信元鍵ノードまたは宛先鍵ノードである場合、中継された量子鍵を解読するために鍵プール505から鍵管理ノード509と近隣の鍵管理ノード512とによって共有される鍵を抽出し、次いで解読した量子鍵を鍵プール505にインポートする、ように構成される。サービスを暗号化または解読する必要がある場合、鍵管理ノード509は、鍵プール505から対応する量子鍵を見つけ、インターフェースモジュール502を使用して対応する量子鍵をサービスノードにインポートし、対応するサービスを暗号化または解読する。
加えて、鍵生成層513は、セキュアなポイントツーポイント鍵生成を担い、QKDネットワーク全体のセキュリティを保証する。この層のエンティティ機能は通常、第1に、BB84、E91、B92、SARG04などの様々なプロトコルを含むQKDプロトコルに基づく元の量子鍵ベースの比較や、ビット誤り推定を行うことなど、第2に、誤り訂正、すなわち、ベース比較後に取得された量子鍵情報の誤り訂正を行うこと、第3に、プライバシー増幅、すなわち、盗聴(Eve)によって知られた鍵に関する情報を削除すること、および第4に、身元認証、すなわち、介入者攻撃に抗するために、隣接したノード間のポイントツーポイント身元認証を行うこと、を含む。
前述の実施形態の全部または一部が、ソフトウェア、ハードウェア、ファームウェア、またはそれらの任意の組み合わせを使用して実現されうる。各実施形態を実現するためにソフトウェアが使用される場合、各実施形態は、完全に、または部分的にコンピュータプログラム製品の形態で実現されうる。コンピュータプログラム製品は、1つまたは複数のコンピュータ命令を含む。コンピュータプログラム命令がロードされ、コンピュータ上で実行されると、本出願の実施形態による手順または機能の全部または一部が生成される。コンピュータは、汎用コンピュータ、専用コンピュータ、コンピュータネットワーク、または別のプログラマブル装置であってもよい。コンピュータ命令は、コンピュータ可読記憶媒体に格納されてもよく、またはコンピュータ可読記憶媒体から別のコンピュータ可読記憶媒体に送信されてもよい。例えば、コンピュータ命令は、ウェブサイト、コンピュータ、サーバ、またはデータセンタから別のウェブサイト、コンピュータ、サーバ、またはデータセンタに、有線(例えば、同軸ケーブル、光ファイバ、デジタル加入者線(DSL))または無線(例えば、赤外線、電波、マイクロ波)方式で送信されうる。コンピュータ可読記憶媒体は、コンピュータがアクセスできる任意の使用可能な媒体、または、1つもしくは複数の使用可能な媒体を統合した、サーバやデータセンタなどのデータ記憶装置であってもよい。使用可能な媒体は、磁気媒体(例えば、フロッピーディスク、ハードディスク、磁気テープ)、光媒体(例えば、DVD)、半導体媒体(例えば、ソリッドステートディスク(SSD))などであってもよい。

Claims (28)

  1. 集中管理制御ネットワークに適用できる、集中管理制御ネットワークに基づく量子鍵中継方法であって、前記集中管理制御ネットワークが、集中コントローラと、N個のサービスノードと、M個の鍵ノードとを含み、NとMとがどちらも2以上の整数であり、前記方法が、
    前記集中コントローラが、Z個のサービス要求を取得するステップであって、Zが1以上の整数である、前記ステップと、
    前記集中コントローラが前記Z個のサービス要求の各々に基づいて、各サービス要求に対応している送信元サービスノードの識別子および宛先サービスノードの識別子と、前記サービス要求の量子鍵消費パラメータとを決定するステップであって、前記送信元サービスノードが送信元鍵ノードに対応しており、前記宛先サービスノードが宛先鍵ノードに対応している、前記ステップと、
    前記集中コントローラが前記Z個のサービス要求の各々に対応している前記送信元サービスノードの前記識別子および前記宛先サービスノードの前記識別子と、前記量子鍵消費パラメータと、前記集中管理制御ネットワーク内の前記鍵ノードのトポロジ情報とに基づいて、G個のサービス要求に対応する鍵中継命令を決定するステップであって、GがZ以下1以上の整数である、前記ステップと、
    前記送信元鍵ノードと前記宛先鍵ノードとの間の共有量子鍵を生成するために、前記鍵ノードが前記鍵中継命令に基づいて量子鍵中継を行うように、前記集中コントローラが、前記G個のサービス要求に対応する前記鍵中継命令を前記鍵中継命令に対応する鍵ノードに配信するステップと
    を含む、量子鍵中継方法。
  2. 前記集中管理制御ネットワーク内の前記鍵ノードの前記トポロジ情報が、
    各鍵ノードの識別子、各鍵ノードと1つまたは複数の他の鍵ノードとの間の量子リンクの状況、および任意の2つの隣接した鍵ノードのエッジ重み
    を含み、
    前記送信元鍵ノードから前記宛先鍵ノードまでの各パス上の2つの隣接した鍵ノードが1つのエッジ重みに対応しており、2つの鍵ノードに対応するエッジ重みが小さいほど、前記2つの隣接した鍵ノードの量子鍵提供能力が弱いことを示し、
    各パスが1つの最小エッジ重みノード対を含み、各パス上の前記最小エッジ重みノード対が、前記パス上の最小エッジ重みを有する2つの鍵ノードである、
    請求項1に記載の方法。
  3. 前記2つの隣接した鍵ノードに対応する前記エッジ重みが、
    前記2つの隣接した鍵ノードによって共有される在庫量子鍵の数と、前記事前設定持続時間に前記2つの鍵ノードとによって共有される量子鍵の生成数との和、
    前記2つの隣接した鍵ノードによって共有される在庫量子鍵の数、および
    前記2つの隣接した鍵ノードによって共有される量子鍵の生成速度
    のうちのいずれか1つを含む、請求項2に記載の方法。
  4. 前記集中コントローラが、Z個のサービス要求を取得する前記ステップの後、G個のサービス要求に対応する鍵中継命令を決定する前記ステップの前に、前記方法が、
    前記Z個のサービス要求の各々について、
    前記集中コントローラが、前記送信元鍵ノードから前記宛先鍵ノードまでのすべてのパスの各々を決定する動作と、
    前記集中コントローラがすべての前記パスの各々について、前記パス上の2つの隣接した鍵ノードの現在の量子鍵生成速度を決定する動作と、
    前記集中コントローラが、前記パス上で別のサービス要求が割り振られておらず、前記パス上で別のサービス要求を割り振る計画がないと判断した場合、前記現在の量子鍵生成速度を、前記2つの隣接した鍵ノードの量子鍵生成速度として決定する動作、または前記集中コントローラが、前記パス上で別のサービス要求が割り振られているか、もしくは前記パス上で別のサービス要求を割り振る計画があると判断した場合、前記2つの隣接した鍵ノードの、前記別のサービス要求に対応する量子鍵消費速度を決定し、前記現在の量子鍵生成速度と前記別のサービス要求に対応する前記量子鍵消費速度との差を、前記2つの隣接した鍵ノードの量子鍵生成速度として決定する動作と
    を行うステップ
    をさらに含む、請求項3に記載の方法。
  5. 前記集中コントローラが、Z個のサービス要求を取得する前記ステップの後、G個のサービス要求に対応する鍵中継命令を決定する前記ステップの前に、前記方法が、
    前記Z個のサービス要求の各々について、
    前記集中コントローラが、前記送信元鍵ノードから前記宛先鍵ノードまでのすべてのパスの各々を決定する動作と、
    前記集中コントローラがすべての前記パスの各々について、前記パス上で2つの隣接した鍵ノードによって現在共有されている在庫量子鍵の数を決定する動作と、
    前記集中コントローラが、前記パス上で別のサービス要求が割り振られておらず、前記パス上で別のサービス要求を割り振る計画がないと判断した場合、前記現在共有されている在庫量子鍵の数を前記2つの隣接した鍵ノードによって共有される在庫量子鍵の数として決定する動作、または前記集中コントローラが、前記パス上で別のサービス要求が割り振られているか、もしくは前記パス上で別のサービス要求を割り振る計画があると判断した場合、前記2つの隣接した鍵ノードの、前記別のサービス要求に対応する量子鍵消費数を決定し、前記現在共有されている在庫量子鍵の数と前記別のサービス要求に対応する前記量子鍵消費数との差を、前記2つの隣接した鍵ノードによって共有される在庫量子鍵の数として決定する動作と
    を行うステップ
    をさらに含む、請求項3に記載の方法。
  6. 前記集中コントローラが前記Z個のサービス要求の各々に基づいて、各サービス要求に対応している送信元サービスノードの識別子および宛先サービスノードの識別子と、前記サービス要求の量子鍵消費パラメータとを決定する前記ステップの後、G個のサービス要求に対応する鍵中継命令を決定する前記ステップの前に、前記方法が、
    前記Z個のサービス要求の各々について、
    前記集中コントローラが前記鍵ノードの前記トポロジ情報に基づいて前記集中管理制御ネットワークから、第1のパスセットを取得するために、前記送信元鍵ノードから前記宛先鍵ノードまでのすべての前記パスを決定する動作と、
    前記集中コントローラが前記第1のパスセットから、前記鍵消費パラメータに対応する第1の条件を満たすQ個の第2のパスを決定する動作であって、Qが0以上の整数である、動作と
    を行うステップ
    をさらに含み、
    前記鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含む場合、前記鍵消費パラメータに対応する前記第1の条件が、P+Pm+wm*t≧Kであり、または
    前記鍵消費パラメータがサービスの鍵消費速度Vを含む場合、前記鍵消費パラメータに対応する前記第1の条件が、wm≧Vであり、式中、
    Pが、前記送信元鍵ノードと前記宛先鍵ノードとの間の在庫量子鍵の数であり、Pmが、パス上の最小エッジ重みノード対の在庫量子鍵の数であり、wmが、前記パス上の前記最小エッジ重みノード対の量子鍵生成速度である、
    請求項2から5のいずれか一項に記載の方法。
  7. 前記集中コントローラが、G個のサービス要求に対応する鍵中継命令を決定する前記ステップが、
    Qが1である場合、前記集中コントローラが、前記第2のパスを鍵中継パスとして決定し、前記鍵中継パスに基づいて、前記サービス要求に対応する鍵中継命令を決定するステップ、または
    Qが1より大きい場合、前記集中コントローラが、各第2のパス上の最小エッジ重みノード対および各最小エッジ重みノード対のエッジ重みを決定し、すべての前記第2のパスの前記最小エッジ重みノード対から最大エッジ重みを有する最小エッジ重みノード対を決定し、前記鍵中継パスとして、前記最大エッジ重みを有する前記最小エッジ重みノード対に対応する第2のパスを決定し、前記鍵中継パスに基づいて、前記サービス要求に対応する鍵中継命令を決定するステップ
    を含む、請求項6に記載の方法。
  8. 前記集中コントローラが、G個のサービス要求に対応する鍵中継命令を決定する前記ステップが、
    Qが0である場合、前記集中コントローラが、第3のパスセットを取得するために、前記第1のパスセットに含まれるすべてのパスからS個のパスを決定するステップであって、Sが、2以上の整数であり、前記第3のパスセットに含まれるどの2つのパスもオーバーラップするエッジを有しない、前記ステップと、
    前記集中コントローラが、前記S個のパスが前記鍵消費パラメータに対応する第2の条件を満たすと判断した場合、前記S個のパスを前記鍵中継パスとして決定し、前記鍵中継パスに基づいて、前記サービス要求に対応する鍵中継命令を決定するステップと
    を含み、
    前記鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含む場合、前記鍵消費パラメータに対応する前記第2の条件が、
    Figure 2020501413
     であり、または
    前記鍵消費パラメータがサービスの鍵消費速度Vを含む場合、前記鍵消費パラメータに対応する前記第2の条件が、
    Figure 2020501413
     であり、式中、
    iの値範囲が、[1,S]であり、Piが、前記第iのパス上の最小エッジ重みノード対の在庫量子鍵の数であり、wiが、前記第iのパス上の前記最小エッジ重みノード対の量子鍵生成速度である、
    請求項6に記載の方法。
  9. 前記集中コントローラが、第3のパスセットを取得するために、前記第1のパスセットに含まれるすべてのパスからS個のパスを決定する前記ステップが、
    前記集中コントローラが、前記第1のパスセット内のどの2つのパスもオーバーラップするエッジを有しないと判断した場合、前記第1のパスセットに含まれるすべての前記パスが前記S個のパスであると判断するステップ、または
    前記集中コントローラが、前記第1のパスセット内の少なくとも2つのパスがオーバーラップするエッジを有すると判断した場合、前記第1のパスセット内のオーバーラップするエッジごとに、前記オーバーラップするエッジに対応するT個のパスを決定し、前記T個のパス内の最大エッジ重みを有する最小エッジ重みノード対に対応するパスを、前記S個のパスのうちの1つとして使用するステップであって、Tが2以上の整数である、前記ステップ
    を含む、請求項8に記載の方法。
  10. 前記集中コントローラが、前記S個のパスを前記鍵中継パスとして決定する前記ステップの後に、前記方法が、
    前記集中コントローラが、前記S個のパスの前記第iのパスに対応する各鍵ノードに対応する量子鍵消費数Liを決定するステップであって、
    前記鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含む場合、Li=(Pi+wi*t)−Rであり、式中、
    Rが、前記第3のパスセット内の各パス上の最小エッジ重みノード対の残りの鍵の数であり、
    Figure 2020501413
     である、前記ステップ
    をさらに含む、請求項8に記載の方法。
  11. 集中管理制御ネットワークに適用できる、集中管理制御ネットワークに基づく量子鍵中継方法であって、前記集中管理制御ネットワークが、集中コントローラと、N個のサービスノードと、M個の鍵ノードとを含み、NとMとがどちらも2以上の整数であり、前記M個の鍵ノードのうちの1つについて、前記方法が、
    前記鍵ノードが、前記鍵ノードのトポロジ情報を前記集中コントローラに報告するステップと、
    前記鍵ノードが、前記集中コントローラによって配信された鍵中継命令を受信するステップと、
    前記鍵ノードが、前記集中コントローラによって配信された前記鍵中継命令に基づいて量子鍵中継を行うステップと
    を含み、
    前記鍵中継命令が、
    前記鍵ノードが、前記鍵ノードと宛先鍵ノードとによって共有される量子鍵として、前記鍵ノードと前記鍵ノードの次のホップの鍵ノードとによって共有される決定された第1のターゲット量子鍵を決定すること、
    前記鍵ノードが、前記鍵ノードと前記鍵ノードの前のホップの鍵ノードとによって共有される第2のターゲット量子鍵を決定し、前記鍵ノードと前記鍵ノードの次のホップの鍵ノードとによって共有される第1の暗号化および解読量子鍵を使用して前記第2のターゲット量子鍵を暗号化し、前記取得された暗号化された第2のターゲット量子鍵を前記鍵ノードの前記次のホップの鍵ノードに送信すること、
    前記鍵ノードが、前記鍵ノードと前記鍵ノードの前のホップの鍵ノードとによって共有される第2の暗号化および解読量子鍵を決定し、前記第2の暗号化および解読量子鍵を使用して取得された暗号化された第3のターゲット量子鍵を解読し、前記鍵ノードと前記鍵ノードの次のホップの鍵ノードとによって共有される第3の暗号化および解読量子鍵を使用して前記第3のターゲット量子鍵を暗号化し、前記取得された暗号化された第3のターゲット量子鍵を前記鍵ノードの前記次のホップの鍵ノードに送信すること、ならびに
    前記鍵ノードが、前記鍵ノードと前記鍵ノードの前のホップの鍵ノードとによって共有される第4の暗号化および解読量子鍵を決定し、ターゲット量子鍵を取得するために、前記第4の暗号化および解読量子鍵を使用して取得された暗号化された第4のターゲット量子鍵を解読すること
    のうちのいずれか1つまたは複数を指示するために使用される、
    量子鍵中継方法。
  12. 前記鍵中継命令が、
    前記第1のターゲット量子鍵の鍵ビット長、前記第2のターゲット量子鍵の鍵ビット長、前記第3のターゲット量子鍵の鍵ビット長、前記第4のターゲット量子鍵の鍵ビット長、前記第1の暗号化および解読量子鍵の鍵ビット長、前記第2の暗号化および解読量子鍵の鍵ビット長、前記第3の暗号化および解読量子鍵の鍵ビット長、ならびに前記第4の暗号化および解読量子鍵の鍵ビット長、
    前記鍵ノードと前記鍵ノードの前記前のホップの鍵ノードとの間の鍵中継速度、
    前記鍵ノードと前記鍵ノードの前記次のホップの鍵ノードとの間の鍵中継速度、
    前記鍵ノードと前記鍵ノードの前記前のホップの鍵ノードとの間の鍵中継持続時間、
    前記鍵ノードと前記鍵ノードの前記次のホップの鍵ノードとの間の鍵中継持続時間、
    前記鍵ノードと前記鍵ノードの前記前のホップの鍵ノードとの間の鍵中継量、ならびに
    前記鍵ノードと前記鍵ノードの前記次のホップの鍵ノードとの間の鍵中継量
    のうちのいずれか1つまたは複数を指示するためにさらに使用される、
    請求項11に記載の方法。
  13. 前記鍵ノードが、前記鍵ノードのトポロジ情報を前記集中コントローラに報告する前記ステップが、
    前記鍵ノードが、前記鍵ノードの前記トポロジ情報を前記集中コントローラに周期的に報告するステップ
    を含み、
    前記鍵ノードの前記トポロジ情報が、前記集中管理制御ネットワーク内の各鍵ノードの識別子、各鍵ノードと1つまたは複数の他の鍵ノードとの間の量子リンクの状況、および任意の2つの隣接した鍵ノードのエッジ重みを含み、
    前記送信元鍵ノードから前記宛先鍵ノードまでの各パス上の任意の2つの鍵ノードが1つのエッジ重みに対応しており、2つの鍵ノードに対応するエッジ重みが大きいほど、前記2つの鍵ノードの量子鍵提供能力が強いことを示し、
    各パスが1つの最小エッジ重みノード対を含み、各パス上の前記最小エッジ重みノード対が、前記パス上の最小エッジ重みを有する2つの鍵ノードである、
    請求項11に記載の方法。
  14. 集中管理制御ネットワークに適用できる、集中コントローラであって、前記集中管理制御ネットワークが、集中コントローラと、N個のサービスノードと、M個の鍵ノードとを含み、NとMとがどちらも2以上の整数であり、前記集中コントローラが、メモリと、プロセッサと、送受信機とを含み、
    前記メモリが、プログラムおよび命令を格納するように構成され、
    前記プロセッサが、前記メモリに格納された前記プログラムおよび前記命令を呼び出すことによって、前記送受信機によって取得された前記Z個のサービス要求の各々に基づいて、各サービス要求に対応している送信元サービスノードの識別子および宛先サービスノードの識別子と、前記サービス要求の量子鍵消費パラメータとを決定する動作と、前記Z個のサービス要求の各々に対応している前記送信元サービスノードの前記識別子および前記宛先サービスノードの前記識別子と、前記量子鍵消費パラメータと、前記集中管理制御ネットワーク内の前記鍵ノードのトポロジ情報とに基づいて、G個のサービス要求に対応する鍵中継命令を決定する動作であって、前記送信元サービスノードが送信元鍵ノードに対応しており、前記宛先サービスノードが宛先鍵ノードに対応しており、Zが、1以上の整数であり、Gが、Z以下1以上の整数である、動作と、を行うように構成され、
    前記送受信機が、前記Z個のサービス要求を取得し、前記送信元鍵ノードと前記宛先鍵ノードとの間の共有量子鍵を生成するために、前記鍵ノードが前記鍵中継命令に基づいて量子鍵中継を行うように、前記G個のサービス要求に対応する前記鍵中継命令を前記鍵中継命令に対応する鍵ノードに配信する、ように構成される、
    集中コントローラ。
  15. 前記集中管理制御ネットワーク内の前記鍵ノードの前記トポロジ情報が、
    各鍵ノードの識別子、各鍵ノードと1つまたは複数の他の鍵ノードとの間の量子リンクの状況、および任意の2つの隣接した鍵ノードのエッジ重み
    を含み、
    前記送信元鍵ノードから前記宛先鍵ノードまでの各パス上の2つの隣接した鍵ノードが1つのエッジ重みに対応しており、2つの鍵ノードに対応するエッジ重みが小さいほど、前記2つの隣接した鍵ノードの量子鍵提供能力が弱いことを示し、
    各パスが1つの最小エッジ重みノード対を含み、各パス上の前記最小エッジ重みノード対が、前記パス上の最小エッジ重みを有する2つの鍵ノードである、
    請求項14に記載の集中コントローラ。
  16. 前記2つの隣接した鍵ノードに対応する前記エッジ重みが、
    前記2つの隣接した鍵ノードによって共有される在庫量子鍵の数と、事前設定持続時間に前記2つの鍵ノードによって共有される量子鍵の生成数との和、
    前記2つの隣接した鍵ノードによって共有される在庫量子鍵の数、および
    前記2つの隣接した鍵ノードによって共有される量子鍵の生成速度
    のうちのいずれか1つを含む、請求項15に記載の集中コントローラ。
  17. 前記プロセッサが、
    前記Z個のサービス要求の各々について、
    前記集中コントローラが、前記送信元鍵ノードから前記宛先鍵ノードまでのすべてのパスの各々を決定する動作と、
    前記集中コントローラが前記すべてのパスの各々について、前記パス上の2つの隣接した鍵ノードの現在の量子鍵生成速度を決定する動作と、
    前記集中コントローラが、前記パス上で別のサービス要求が割り振られておらず、前記パス上で別のサービス要求を割り振る計画がないと判断した場合、前記現在の量子鍵生成速度を、前記2つの隣接した鍵ノードの量子鍵生成速度として決定する動作、または前記集中コントローラが、前記パス上で別のサービス要求が割り振られているか、もしくは前記パス上で別のサービス要求を割り振る計画があると判断した場合、前記2つの隣接した鍵ノードの、前記別のサービス要求に対応する量子鍵消費速度を決定し、前記現在の量子鍵生成速度と前記別のサービス要求に対応する前記量子鍵消費速度との差を、前記2つの隣接した鍵ノードの量子鍵生成速度として決定する動作と
    を行う
    ようにさらに構成される、請求項16に記載の集中コントローラ。
  18. 前記プロセッサが、
    前記Z個のサービス要求の各々について、
    前記集中コントローラが、前記送信元鍵ノードから前記宛先鍵ノードまでのすべてのパスの各々を決定する動作と、
    前記集中コントローラがすべての前記パスの各々について、前記パス上で2つの隣接した鍵ノードによって現在共有されている在庫量子鍵の数を決定する動作と、
    前記集中コントローラが、前記パス上で別のサービス要求が割り振られておらず、前記パス上で別のサービス要求を割り振る計画がないと判断した場合、前記現在共有されている在庫量子鍵の数を前記2つの隣接した鍵ノードによって共有される在庫量子鍵の数として決定する動作、または前記集中コントローラが、前記パス上で別のサービス要求が割り振られているか、もしくは前記パス上で別のサービス要求を割り振る計画があると判断した場合、前記2つの隣接した鍵ノードの、前記別のサービス要求に対応する量子鍵消費数を決定し、前記現在共有されている在庫量子鍵の数と前記別のサービス要求に対応する前記量子鍵消費数との差を、前記2つの隣接した鍵ノードによって共有される在庫量子鍵の数として決定する動作と
    を行う
    ようにさらに構成される、請求項16に記載の集中コントローラ。
  19. 前記プロセッサが、
    前記Z個のサービス要求の各々について、
    前記集中コントローラが前記鍵ノードの前記トポロジ情報に基づいて前記集中管理制御ネットワークから、第1のパスセットを取得するために、前記送信元鍵ノードから前記宛先鍵ノードまでのすべての前記パスを決定する動作と、
    前記集中コントローラが前記第1のパスセットから、前記鍵消費パラメータに対応する第1の条件を満たすQ個の第2のパスを決定する動作であって、Qが0以上の整数である、動作と
    を行う
    ようにさらに構成され、
    前記鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含む場合、前記鍵消費パラメータに対応する前記第1の条件が、P+Pm+wm*t≧Kであり、または
    前記鍵消費パラメータがサービスの鍵消費速度Vを含む場合、前記鍵消費パラメータに対応する前記第1の条件が、wm≧Vであり、式中、
    Pが、前記送信元鍵ノードと前記宛先鍵ノードとの間の在庫量子鍵の数であり、Pmが、パス上の最小エッジ重みノード対の在庫量子鍵の数であり、wmが、前記パス上の前記最小エッジ重みノード対の量子鍵生成速度である、
    請求項15から18のいずれか一項に記載の集中コントローラ。
  20. 前記プロセッサが、
    Qが1である場合、前記集中コントローラが、前記第2のパスを鍵中継パスとして決定し、前記鍵中継パスに基づいて、前記サービス要求に対応する鍵中継命令を決定し、または
    Qが1より大きい場合、前記集中コントローラが、各第2のパス上の最小エッジ重みノード対および各最小エッジ重みノード対のエッジ重みを決定し、すべての前記第2のパスの前記最小エッジ重みノード対から最大エッジ重みを有する最小エッジ重みノード対を決定し、前記鍵中継パスとして、前記最大エッジ重みを有する前記最小エッジ重みノード対に対応する第2のパスを決定し、前記鍵中継パスに基づいて、前記サービス要求に対応する鍵中継命令を決定する
    ようにさらに構成される、請求項19に記載の集中コントローラ。
  21. 前記プロセッサが、
    Qが0である場合、前記集中コントローラが、第3のパスセットを取得するために、前記第1のパスセットに含まれるすべてのパスからS個のパスを決定し、Sが、2以上の整数であり、前記第3のパスセットに含まれるどの2つのパスもオーバーラップするエッジを有さず、
    前記集中コントローラが、前記S個のパスが前記鍵消費パラメータに対応する第2の条件を満たすと判断した場合、前記S個のパスを前記鍵中継パスとして決定し、前記鍵中継パスに基づいて、前記サービス要求に対応する鍵中継命令を決定する
    ように構成され、
    前記鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含む場合、前記鍵消費パラメータに対応する前記第2の条件が、
    Figure 2020501413
     であり、または
    前記鍵消費パラメータがサービスの鍵消費速度Vを含む場合、前記鍵消費パラメータに対応する前記第2の条件が、
    Figure 2020501413
     であり、式中、
    iの値範囲が、[1,S]であり、Piが、前記第iのパス上の最小エッジ重みノード対の在庫量子鍵の数であり、wiが、前記第iのパス上の前記最小エッジ重みノード対の量子鍵生成速度である、
    請求項19に記載の集中コントローラ。
  22. 前記プロセッサが、
    前記集中コントローラが、前記第1のパスセット内のどの2つのパスもオーバーラップするエッジを有しないと判断した場合、前記第1のパスセットに含まれるすべての前記パスが前記S個のパスであると判断し、または
    前記集中コントローラが、前記第1のパスセット内の少なくとも2つのパスがオーバーラップするエッジを有すると判断した場合、前記第1のパスセット内のオーバーラップするエッジごとに、前記オーバーラップするエッジに対応するT個のパスを決定し、前記T個のパス内の最大エッジ重みを有する最小エッジ重みノード対に対応するパスを、前記S個のパスのうちの1つとして使用し、Tが2以上の整数である
    ように構成される、請求項21に記載の集中コントローラ。
  23. 前記プロセッサが、
    前記集中コントローラが、前記S個のパスの前記第iのパスに対応する各鍵ノードに対応する量子鍵消費数Liを決定する
    ようにさらに構成され、
    前記鍵消費パラメータが総鍵消費数Kおよびサービス持続時間tを含む場合、Li=(Pi+wi*t)−Rであり、式中、
    Rが、前記第3のパスセット内の各パス上の最小エッジ重みノード対の残りの鍵の数であり、
    Figure 2020501413
     である、
    請求項21に記載の集中コントローラ。
  24. 集中管理制御ネットワークに適用できる、鍵ノードであって、前記集中管理制御ネットワークが、集中コントローラと、N個のサービスノードと、M個の鍵ノードとを含み、NとMとがどちらも2以上の整数であり、前記鍵ノードが、前記M個の鍵ノードのうちの1つであり、前記鍵ノードが、送受信部と、鍵プールと、鍵中継部とを含み、
    前記鍵プールが、量子鍵を格納するように構成され、
    前記送受信部が、前記鍵ノードのトポロジ情報を前記集中コントローラに報告し、前記集中コントローラによって配信された鍵中継命令を受信する、ように構成され、
    前記鍵中継部が、前記集中コントローラによって配信された前記鍵中継命令に基づいて量子鍵中継を行うように構成され、
    前記鍵中継命令が、
    前記鍵中継部が、前記鍵ノードと宛先鍵ノードとによって共有される量子鍵として、前記鍵ノードと前記鍵ノードの次のホップの鍵ノードとによって共有される決定された第1のターゲット量子鍵を決定すること、
    前記鍵中継部が、前記鍵ノードと前記鍵ノードの前のホップの鍵ノードとによって共有される第2のターゲット量子鍵を決定し、前記鍵ノードと前記鍵ノードの次のホップの鍵ノードとによって共有される第1の暗号化および解読量子鍵を使用して前記第2のターゲット量子鍵を暗号化し、前記取得された暗号化された第2のターゲット量子鍵を前記鍵ノードの前記次のホップの鍵ノードに送信すること、
    前記鍵中継部が、前記鍵ノードと前記鍵ノードの前のホップの鍵ノードとによって共有される第2の暗号化および解読量子鍵を決定し、前記第2の暗号化および解読量子鍵を使用して取得された暗号化された第3のターゲット量子鍵を解読し、前記鍵ノードと前記鍵ノードの次のホップの鍵ノードとによって共有される第3の暗号化および解読量子鍵を使用して前記第3のターゲット量子鍵を暗号化し、前記取得された暗号化された第3のターゲット量子鍵を前記鍵ノードの前記次のホップの鍵ノードに送信すること、ならびに
    前記鍵中継部が、前記鍵ノードと前記鍵ノードの前のホップの鍵ノードとによって共有される第4の暗号化および解読量子鍵を決定し、ターゲット量子鍵を取得するために、前記第4の暗号化および解読量子鍵を使用して取得された暗号化された第4のターゲット量子鍵を解読すること
    のうちのいずれか1つまたは複数を指示するために使用される、
    鍵ノード。
  25. 前記鍵中継命令が、
    前記第1のターゲット量子鍵の鍵ビット長、前記第2のターゲット量子鍵の鍵ビット長、前記第3のターゲット量子鍵の鍵ビット長、前記第4のターゲット量子鍵の鍵ビット長、前記第1の暗号化および解読量子鍵の鍵ビット長、前記第2の暗号化および解読量子鍵の鍵ビット長、前記第3の暗号化および解読量子鍵の鍵ビット長、ならびに前記第4の暗号化および解読量子鍵の鍵ビット長、
    前記鍵ノードと前記鍵ノードの前記前のホップの鍵ノードとの間の鍵中継速度、
    前記鍵ノードと前記鍵ノードの前記次のホップの鍵ノードとの間の鍵中継速度、
    前記鍵ノードと前記鍵ノードの前記前のホップの鍵ノードとの間の鍵中継持続時間、
    前記鍵ノードと前記鍵ノードの前記次のホップの鍵ノードとの間の鍵中継持続時間、
    前記鍵ノードと前記鍵ノードの前記前のホップの鍵ノードとの間の鍵中継量、ならびに
    前記鍵ノードと前記鍵ノードの前記次のホップの鍵ノードとの間の鍵中継量
    のうちのいずれか1つまたは複数を指示するためにさらに使用される、請求項24に記載の鍵ノード。
  26. 前記送受信部が、
    前記鍵ノードの前記トポロジ情報を前記集中コントローラに周期的に報告する
    ように構成され、
    前記鍵ノードの前記トポロジ情報が、前記集中管理制御ネットワーク内の各鍵ノードの識別子、各鍵ノードと1つまたは複数の他の鍵ノードとの間の量子リンクの状況、および任意の2つの隣接した鍵ノードのエッジ重みを含み、
    前記送信元鍵ノードから前記宛先鍵ノードまでの各パス上の任意の2つの鍵ノードが1つのエッジ重みに対応しており、2つの鍵ノードに対応するエッジ重みが大きいほど、前記2つの鍵ノードの量子鍵提供能力が強いことを示し、
    各パスが1つの最小エッジ重みノード対を含み、各パス上の前記最小エッジ重みノード対が、前記パス上の最小エッジ重みを有する2つの鍵ノードである、
    請求項24に記載の鍵ノード。
  27. 鍵ノードであって、前記鍵ノードが、プロセッサと、メモリと、送受信機とを含み、
    前記メモリが、命令を記憶するように構成され、前記送受信機が、シグナリングを送受信するように構成され、前記プロセッサが、前記メモリに格納された前記命令を実行するように構成され、前記プロセッサが前記メモリに格納された前記命令を実行すると、前記鍵ノードが、請求項11から13のいずれか一項に記載の方法を行うように構成される、
    鍵ノード。
  28. コンピュータ記憶媒体であって、前記コンピュータ記憶媒体が、コンピュータ実行可能命令を格納し、前記コンピュータ実行可能命令がコンピュータによって呼び出されると、前記コンピュータが請求項1から13のいずれか一項に記載の方法を行う、コンピュータ記憶媒体。
JP2019523832A 2016-11-04 2017-07-18 集中管理制御ネットワークに基づく量子鍵中継方法、および装置 Active JP6773904B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201610967885.1 2016-11-04
CN201610967885.1A CN108023725B (zh) 2016-11-04 2016-11-04 一种基于集中管理与控制网络的量子密钥中继方法和装置
PCT/CN2017/093389 WO2018082345A1 (zh) 2016-11-04 2017-07-18 一种基于集中管理与控制网络的量子密钥中继方法和装置

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2020166928A Division JP7026748B2 (ja) 2016-11-04 2020-10-01 集中管理制御ネットワークに基づく量子鍵中継方法、および装置

Publications (2)

Publication Number Publication Date
JP2020501413A true JP2020501413A (ja) 2020-01-16
JP6773904B2 JP6773904B2 (ja) 2020-10-21

Family

ID=62075687

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2019523832A Active JP6773904B2 (ja) 2016-11-04 2017-07-18 集中管理制御ネットワークに基づく量子鍵中継方法、および装置
JP2020166928A Active JP7026748B2 (ja) 2016-11-04 2020-10-01 集中管理制御ネットワークに基づく量子鍵中継方法、および装置

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2020166928A Active JP7026748B2 (ja) 2016-11-04 2020-10-01 集中管理制御ネットワークに基づく量子鍵中継方法、および装置

Country Status (6)

Country Link
US (1) US20190260581A1 (ja)
EP (1) EP3528429A4 (ja)
JP (2) JP6773904B2 (ja)
KR (1) KR102327941B1 (ja)
CN (2) CN112217637B (ja)
WO (1) WO2018082345A1 (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4060931A1 (en) * 2021-03-15 2022-09-21 evolutionQ System and method for optimizing the routing of quantum key distribution (qkd) key material in a network
WO2023026393A1 (ja) * 2021-08-25 2023-03-02 日本電信電話株式会社 鍵交換システム、サーバ、方法、及びプログラム
JP7392065B2 (ja) 2022-02-25 2023-12-05 株式会社東芝 量子ネットワークおよび認証方法
WO2024075244A1 (ja) * 2022-10-06 2024-04-11 日本電気株式会社 通信システム、制御装置、通信方法、制御方法、及び非一時的なコンピュータ可読媒体
JP7467664B2 (ja) 2021-11-08 2024-04-15 コリア インスティテュート オブ サイエンス アンド テクノロジー インフォメーション 量子鍵管理装置及びその動作方法
JP7476275B2 (ja) 2022-05-30 2024-04-30 コリア インスティテュート オブ サイエンス アンド テクノロジー インフォメーション 量子鍵配送ネットワーク装置及び量子鍵配送ネットワーク運用方法
JP7485747B2 (ja) 2022-07-04 2024-05-16 中国長江三峡集団有限公司 量子鍵に基づくデータ伝送方法、システム及び記憶媒体

Families Citing this family (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112865964B (zh) * 2018-04-13 2024-04-12 华为技术有限公司 一种量子密钥分发方法、设备及存储介质
CN108768661B (zh) * 2018-05-29 2021-02-02 如般量子科技有限公司 一种基于对称密钥池和跨中继的改进型aka身份认证系统和方法
CN110688167A (zh) * 2018-07-04 2020-01-14 中国电信股份有限公司 功能链接集中生成方法和装置、计算机可读存储介质
CN109067519B (zh) * 2018-07-25 2021-11-09 科华数据股份有限公司 一种调整量子密钥更新频率的方法、系统及相关装置
CN109257166B (zh) * 2018-08-31 2020-04-07 西安电子科技大学 一种用于量子中继器的量子纠错编码方法
CN111355655B (zh) * 2018-12-21 2021-12-14 山东量子科学技术研究院有限公司 一种量子密码网络量子路由检测方法和服务器
CN109756329B (zh) * 2019-01-15 2021-08-31 如般量子科技有限公司 基于私钥池的抗量子计算共享密钥协商方法和系统
CN111865566A (zh) * 2019-04-26 2020-10-30 上海铁路通信有限公司 一种用于铁路信号系统的量子安全数据网系统
CN110138552B (zh) 2019-05-08 2021-07-20 北京邮电大学 多用户量子密钥供应方法及装置
CN110224815B (zh) * 2019-05-08 2021-02-09 北京邮电大学 Qkd网络资源分配方法及系统
CN110149204B (zh) * 2019-05-09 2021-01-05 北京邮电大学 Qkd网络的密钥资源分配方法及系统
US11483140B2 (en) * 2019-08-02 2022-10-25 Quantumxchange, Inc. Secure out-of-band symmetric encryption key delivery
CN110601974B (zh) * 2019-08-05 2021-10-29 国网内蒙古东部电力有限公司信息通信分公司 一种共享保护路径的选择方法
CN110351154B (zh) * 2019-08-19 2022-09-06 哈尔滨工业大学 一种量子保密通信网络的性能评价方法
CN112367163B (zh) * 2019-09-01 2023-09-26 成都量安区块链科技有限公司 一种量子网络虚拟化方法与装置
CN110690962B (zh) * 2019-09-01 2022-06-28 成都量安区块链科技有限公司 一种服务节点的应用方法与装置
CN110690961B (zh) * 2019-09-01 2022-04-12 成都量安区块链科技有限公司 一种量子网络功能虚拟化方法与装置
CN110690928B (zh) * 2019-09-01 2020-10-16 成都量安区块链科技有限公司 一种量子中继链路虚拟化方法与装置
CN110690964B (zh) * 2019-10-11 2022-06-28 成都量安区块链科技有限公司 一种量子服务区块链的创建方法与应用系统
DE102019131317A1 (de) * 2019-11-20 2021-05-20 Deutsche Telekom Ag Übertragung von QKD-Signalen in quantengesicherter Multiknoten-Netztopologie
US11496225B2 (en) 2019-12-06 2022-11-08 At&T Intellectual Property I, L.P. System and method for network distribution of quantum entanglement
US11387991B2 (en) 2019-12-06 2022-07-12 At&T Intellectual Property I, L.P. Quantum enabled hybrid fiber cable loop
CN111147378B (zh) * 2019-12-18 2021-07-02 北京邮电大学 一种基于加密业务的路由分配方法及电子设备
KR20210081178A (ko) 2019-12-23 2021-07-01 주식회사 케이티 양자키 분배 네트워크에서의 양자키 중계 제어 방법, 장치 및 시스템
US11818256B2 (en) 2020-03-02 2023-11-14 Red Hat, Inc. Providing cascading quantum encryption services in quantum computing systems
CN113452509B (zh) * 2020-03-24 2023-06-02 国科量子通信网络有限公司 一种基于sdn的多路径量子密钥分发方法
CN113765654B (zh) * 2020-06-03 2022-09-27 科大国盾量子技术股份有限公司 一种负载均衡的量子密钥管理装置
CN114362923B (zh) * 2020-09-28 2024-05-17 如般量子科技有限公司 一种量子保密通信系统中的密钥刷新系统及方法
JP2022075196A (ja) * 2020-11-06 2022-05-18 株式会社東芝 転送装置、鍵管理サーバ装置、通信システム、転送方法及びプログラム
US11444756B2 (en) * 2020-11-20 2022-09-13 At&T Intellectual Property I, L.P. Quantum key distribution network security survivability
CN114584288B (zh) * 2020-11-30 2023-09-26 如般量子科技有限公司 一种基于线型量子密钥分发网络的密钥分发方法
NL2027091B1 (en) * 2020-12-10 2022-07-08 Abn Amro Bank N V Orchestrated quantum key distribution
CN114650101A (zh) * 2020-12-21 2022-06-21 科大国盾量子技术股份有限公司 量子通信网络的域间路由方法及量子通信网络
CN114697011A (zh) * 2020-12-30 2022-07-01 科大国盾量子技术股份有限公司 一种提高量子密钥中继服务质量的方法
US11990943B2 (en) 2021-01-04 2024-05-21 At&T Intellectual Property I, L.P. System and method for quantum-enabled cyber security in a wireless mobile network
CN112910636B (zh) * 2021-01-11 2023-01-10 国家电网有限公司 一种基于sdn的量子密钥分发物联网发布及订阅系统
CN112910639B (zh) * 2021-02-05 2022-06-24 北京邮电大学 多域场景下的量子加密业务传输方法及相关设备
CN113179514B (zh) * 2021-03-25 2022-08-05 北京邮电大学 中继共存场景下的量子密钥分发方法及相关设备
CN113033828B (zh) * 2021-04-29 2022-03-22 江苏超流信息技术有限公司 模型训练方法、使用方法、系统、可信节点及设备
US20220360435A1 (en) * 2021-05-10 2022-11-10 Electronics And Telecommunications Research Institute Method and apparatus for key relay control based on software defined networking in quantum key distribution network
RU2764458C1 (ru) * 2021-05-17 2022-01-17 Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ распределения симметричных ключей между узлами вычислительной сети с системой квантового распределения ключей
KR102404148B1 (ko) * 2021-08-20 2022-05-31 국민대학교산학협력단 양자보안 통신장치 통합형 자율이동체 식별 시스템 및 방법
KR102404156B1 (ko) * 2021-08-20 2022-05-31 국민대학교산학협력단 양자보안 통신장치 통합형 plc/hmi 제어 시스템 및 방법
KR102404153B1 (ko) * 2021-08-20 2022-05-31 국민대학교산학협력단 양자보안 통신장치 통합형 수배전반 보안 시스템 및 방법
KR102404138B1 (ko) * 2021-08-20 2022-05-31 국민대학교산학협력단 양자보안 통신장치 통합형 자율이동체 이동기록 시스템 및 방법
CN114006694B (zh) * 2021-09-26 2023-09-22 北京邮电大学 量子密钥的处理方法、装置、电子设备及存储介质
CN114499834B (zh) * 2021-12-20 2024-05-14 北京邮电大学 物联网量子密钥分发方法、系统、电子设备及存储介质
CN114448620B (zh) * 2022-01-07 2023-10-03 南京邮电大学 多协议量子密钥分发网络的业务路径选择方法及相关设备
CN115865334B (zh) * 2022-11-24 2023-07-21 北京百度网讯科技有限公司 量子密钥分发方法、装置及电子设备
CN117176345B (zh) * 2023-10-31 2024-01-09 中电信量子科技有限公司 量子密码网络密钥中继动态路由方法、装置及系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040184603A1 (en) * 2003-03-21 2004-09-23 Pearson David Spencer Systems and methods for quantum cryptographic key transport
JP2013046363A (ja) * 2011-08-26 2013-03-04 Toshiba Corp 鍵共有装置、鍵共有方法および鍵共有プログラム
CN103001875A (zh) * 2013-01-07 2013-03-27 山东量子科学技术研究院有限公司 一种量子密码网络动态路由方法
JP2014022898A (ja) * 2012-07-17 2014-02-03 Toshiba Corp 通信装置、通信方法および通信システム
JP2014103514A (ja) * 2012-11-19 2014-06-05 Toshiba Corp 通信装置、通信システムおよびプログラム
JP2015179974A (ja) * 2014-03-19 2015-10-08 株式会社東芝 通信装置、通信方法およびプログラム
JP2016521935A (ja) * 2013-06-08 2016-07-25 クァンタムシーテック カンパニー,リミテッド 量子キー配送ネットワークに基づくモバイル機密通信方法

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7706535B1 (en) * 2003-03-21 2010-04-27 Bbn Technologies Corp. Systems and methods for implementing routing protocols and algorithms for quantum cryptographic key transport
US20050286723A1 (en) * 2004-06-28 2005-12-29 Magiq Technologies, Inc. QKD system network
GB0801395D0 (en) * 2008-01-25 2008-03-05 Qinetiq Ltd Network having quantum key distribution
JP2009265159A (ja) * 2008-04-22 2009-11-12 Nec Corp 秘匿通信ネットワークにおける共有乱数管理方法および管理システム
GB0819665D0 (en) * 2008-10-27 2008-12-03 Qinetiq Ltd Quantum key dsitribution
GB0917060D0 (en) * 2009-09-29 2009-11-11 Qinetiq Ltd Methods and apparatus for use in quantum key distribution
CN102130769A (zh) * 2011-03-10 2011-07-20 北京邮电大学 一种用于量子密钥分配请求控制与自动实现的模型和方法
CN104579964B (zh) * 2013-01-07 2017-10-13 山东量子科学技术研究院有限公司 一种量子密码网络动态路由架构系统
US10560265B2 (en) * 2013-06-08 2020-02-11 Quantumctek Co., Ltd. Mobile secret communications method based on quantum key distribution network
JP6211818B2 (ja) * 2013-06-11 2017-10-11 株式会社東芝 通信装置、通信方法、プログラムおよび通信システム
CN104113407A (zh) * 2014-06-26 2014-10-22 北京邮电大学 一种多用户量子密钥分发网络装置
KR101776137B1 (ko) * 2014-10-30 2017-09-19 에스케이 텔레콤주식회사 양자 키 분배 시스템에서 복수의 장치에 키를 공급하는 장치 및 방법
KR102047541B1 (ko) * 2014-10-31 2019-11-21 아이디 퀀티크 에스.에이. 링과 스타 구조가 결합된 네트워크에서 양자 암호통신 방법
CN105827397B (zh) * 2015-01-08 2019-10-18 阿里巴巴集团控股有限公司 基于可信中继的量子密钥分发系统、方法及装置
CN105871538B (zh) * 2015-01-22 2019-04-12 阿里巴巴集团控股有限公司 量子密钥分发系统、量子密钥分发方法及装置
JP6478749B2 (ja) * 2015-03-24 2019-03-06 株式会社東芝 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法
EP3220574B1 (en) * 2016-03-14 2020-04-22 Kabushiki Kaisha Toshiba Quantum key distribution device, quantum key distribution system and quantum key distribution method

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040184603A1 (en) * 2003-03-21 2004-09-23 Pearson David Spencer Systems and methods for quantum cryptographic key transport
JP2013046363A (ja) * 2011-08-26 2013-03-04 Toshiba Corp 鍵共有装置、鍵共有方法および鍵共有プログラム
JP2014022898A (ja) * 2012-07-17 2014-02-03 Toshiba Corp 通信装置、通信方法および通信システム
JP2014103514A (ja) * 2012-11-19 2014-06-05 Toshiba Corp 通信装置、通信システムおよびプログラム
CN103001875A (zh) * 2013-01-07 2013-03-27 山东量子科学技术研究院有限公司 一种量子密码网络动态路由方法
JP2016521935A (ja) * 2013-06-08 2016-07-25 クァンタムシーテック カンパニー,リミテッド 量子キー配送ネットワークに基づくモバイル機密通信方法
JP2015179974A (ja) * 2014-03-19 2015-10-08 株式会社東芝 通信装置、通信方法およびプログラム

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4060931A1 (en) * 2021-03-15 2022-09-21 evolutionQ System and method for optimizing the routing of quantum key distribution (qkd) key material in a network
US11652619B2 (en) 2021-03-15 2023-05-16 Evolutionq Inc. System and method for optimizing the routing of quantum key distribution (QKD) key material in a network
WO2023026393A1 (ja) * 2021-08-25 2023-03-02 日本電信電話株式会社 鍵交換システム、サーバ、方法、及びプログラム
JP7467664B2 (ja) 2021-11-08 2024-04-15 コリア インスティテュート オブ サイエンス アンド テクノロジー インフォメーション 量子鍵管理装置及びその動作方法
JP7392065B2 (ja) 2022-02-25 2023-12-05 株式会社東芝 量子ネットワークおよび認証方法
JP7476275B2 (ja) 2022-05-30 2024-04-30 コリア インスティテュート オブ サイエンス アンド テクノロジー インフォメーション 量子鍵配送ネットワーク装置及び量子鍵配送ネットワーク運用方法
JP7485747B2 (ja) 2022-07-04 2024-05-16 中国長江三峡集団有限公司 量子鍵に基づくデータ伝送方法、システム及び記憶媒体
WO2024075244A1 (ja) * 2022-10-06 2024-04-11 日本電気株式会社 通信システム、制御装置、通信方法、制御方法、及び非一時的なコンピュータ可読媒体

Also Published As

Publication number Publication date
EP3528429A4 (en) 2019-10-30
EP3528429A1 (en) 2019-08-21
JP6773904B2 (ja) 2020-10-21
JP7026748B2 (ja) 2022-02-28
KR102327941B1 (ko) 2021-11-17
WO2018082345A1 (zh) 2018-05-11
KR20190073520A (ko) 2019-06-26
CN108023725B (zh) 2020-10-09
CN112217637B (zh) 2024-03-15
CN108023725A (zh) 2018-05-11
JP2021010179A (ja) 2021-01-28
CN112217637A (zh) 2021-01-12
US20190260581A1 (en) 2019-08-22

Similar Documents

Publication Publication Date Title
JP7026748B2 (ja) 集中管理制御ネットワークに基づく量子鍵中継方法、および装置
US11736277B2 (en) Technologies for internet of things key management
US20220263708A1 (en) Dynamic path selection and data flow forwarding
US10042665B2 (en) Customer premises equipment (CPE) with virtual machines for different service providers
WO2018121672A1 (zh) 一种服务提供方法、装置和系统
US9509510B2 (en) Communication device, communication method, and computer program product
US8918835B2 (en) Method and apparatus to create and manage virtual private groups in a content oriented network
Aguado et al. Virtual network function deployment and service automation to provide end-to-end quantum encryption
US20210243172A1 (en) Methods to strengthen cyber-security and privacy in a deterministic internet of things
EP2898627A1 (en) Linked identifiers for multiple domains
Toumi et al. On cross-domain Service Function Chain orchestration: An architectural framework
EP4224369A1 (en) Method, apparatus and system for managing machine learning model
Lopez et al. Applying QKD to improve next-generation network infrastructures
CN109150829A (zh) 软件定义云网络可信数据分发方法、可读存储介质和终端
WO2018098630A1 (zh) 一种x2业务传输方法及网络设备
CN106537962B (zh) 无线网络配置、接入和访问方法、装置及设备
WO2015150996A1 (en) Machine-to-machine domain proxy
CN108900518A (zh) 可信的软件定义云网络数据分发系统
Kaur et al. Securing network communication between motes using hierarchical group key management scheme using threshold cryptography in smart home using internet of things
US11477696B2 (en) Method and system of cooperation among access gateways for bandwidth sharing
Milić et al. A metaprotocol-based Internet of Things architecture
CN117176333A (zh) 量子网络通信方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190701

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190701

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200722

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200803

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20200901

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201001

R150 Certificate of patent or registration of utility model

Ref document number: 6773904

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250