WO2015166719A1

WO2015166719A1 - 物理レイヤ暗号化装置及び方法

Info

Publication number: WO2015166719A1
Application number: PCT/JP2015/057129
Authority: WO
Inventors: 佐々木　雅英; 太舜韓
Original assignee: 独立行政法人情報通信研究機構
Priority date: 2014-05-02
Filing date: 2015-03-11
Publication date: 2015-11-05
Also published as: JP2015213223A

Abstract

【解決課題】主通信路の特性に応じて十分な秘匿容量を確保可能な適応的秘匿通信を実現する。【解決手段】本発明の物理レイヤ暗号化装置４０は，主通信路３０の物理特性に応じて，送信装置１０から主通信路３０を介して正規の受信装置２０へと送信されるデータ信号を暗号化する。暗号化装置４０は，盗聴装置５０に漏れる情報量を最小限に抑え，かつ正規の受信装置２０への通信路容量を最大化した主通信路３０の秘匿容量を適正化するための秘匿容量適正化手段を有する。秘匿容適正化手段は，主通信路３０の通信路特性を推定するための通信路特性推定機４１と，通信路特性推定機４１が推定した主通信路３０の通信路特性に基づいて送信装置１０から送信されるデータ信号の電力レベルを調整する信号電力調整器４２と，を含む。

Description

物理レイヤ暗号化装置及び方法

　本発明は，第三者による盗聴や傍受を防ぐ秘匿通信を行う装置と方法に関する。具体的に説明すると，本発明は，正規の送受信者間で，特定の符号化/復号化方式を選択・設定してデータ通信を行う装置と方法に関するものである。

　従来から，正規の送受信者間で秘匿通信を行うために，送受信者間で符号化／復号化のための鍵情報を共有し，当該鍵情報に基づいて，伝送すべき情報データ（平文）を数学的に演算／逆演算することにより秘匿通信を実現する方法が採用されている。このような数学的演算に基づく秘匿通信は，数理暗号と呼ばれる。その安全性は，鍵情報を持たない盗聴者による逆演算，つまり解読に膨大な時間がかかることに立脚している。これを計算量的安全性という。計算量的安全性に基づく数理暗号には，公開鍵暗号や共通鍵暗号などの暗号方式があり，現在広く使われている。しかし，数理暗号は将来，計算技術が進展したり，あらたな解読法が発明されると，短時間で解読される危険性が常に伴う。

　これに対して，計算量には依存しない安全性を保証する方式として，物理レイヤ暗号が知られている。この方式では，正規送受信者間を結ぶ主通信路と，主通信路から盗聴者が信号の一部を抜き取る盗聴通信路を考え，それぞれの物理的特性が特定の条件を満足する際に，盗聴者へ漏れる情報量を限りなく小さく抑え，かつ正規の受信者への通信路容量を最大化する符号化／復号化の存在が証明できることを，安全性の根拠においている。このような物理的条件のもとで適切な符号化によって伝送された情報は，たとえ，盗聴者が傍受しどんな能力を持つ計算機で解読しても破れないことが証明される。このような安全性を証明可能安全性と呼ぶ。証明には，符号化／復号化の存在を導く際に情報理論的手法が用いられるので，情報理論的安全性とも呼ばれる。盗聴者へ漏れる情報量を限りなく小さく抑え，かつ正規の受信者への伝送される情報量を最大化した主通信路の容量のことを秘匿容量という。秘匿容量は，式（２３）及び式（２４）で後述するように，正規の受信者への通信路の容量と盗聴者への通信路の容量との差を，信号のパラメータ（具体的には生起確率と電力）に関して最大化した量であり，秘匿容量が大きいほど，盗聴者に漏洩する情報量が減少し，正規の受信者に伝達される情報量が増加（好ましくは最大化）する。この方式の実現例は，例えば，特許文献１（米国特許出願公開　ＵＳ２００８／０２１９４４７　Ａ１）などに記載されている。

　一方，物理法則が許す限りのあらゆる技術を使える万能の盗聴者に対しても，証明可能安全性を保証する方式として，量子暗号が知られている。量子暗号は，光信号を用いて送受信者間で安全な乱数を配送する量子鍵配送のステップと，共有された乱数を平文と同じサイズだけ用意して平文と排他的論理和を取って暗号化し，一度使った暗号鍵は２度と使わない，いわゆるワンタイムパッドで暗号化するステップとの２つのステップから成る。これによって無条件安全な秘匿通信が実現される。量子暗号は，上記の物理レイヤ暗号の一つの例である。量子暗号では「盗聴者は神様のように万能である」という極端な仮定を置くことで，逆に無条件安全性というきれいな証明が可能になっている。ただし，量子暗号を実現しようとした場合，装置実装に課される条件は厳しく，速度や距離に限界があるほか，動作マージンも狭い。物理レイヤ暗号やその一例としての量子暗号は，将来技術の解読脅威にも対抗できる技術として期待されている。しかし，実際の伝送距離や速度には限界があり，数理暗号のように広範な用途では利用されていない。さらに，有限の長さの符号化／復号化を用いる現実的な状況で，安全性と伝送効率のトレードオフを数値的に定量化する手法も十分には確立されていない。

　このように，秘匿通信として広く用いられている方法として計算量的安全性に基づく数理暗号があり，公開鍵暗号や共通鍵暗号などの暗号方式が使われている。数理暗号は，ネットワークの階層（レイヤ）モデルでは第３レイヤであるネットワークレイヤにソフトウェアとしてプログラム実装されるため，第１レイヤ（物理レイヤ）上の個々の媒体や通信路には直接依存せずに暗号通信を実現することができる。実際，公開鍵暗号と信頼できる認証局を組み合わせることにより，インターネット上で鍵を配送する鍵交換基盤が整備されており，この鍵交換基盤に基づいて共通鍵暗号など様々な暗号技術がインターネット上で使えるようになっている。

　ただし，数理暗号は将来，計算技術が進展したり，あらたな解読法が発明されると，短時間で解読される危険性がある。鍵サイズを大きくしたり暗号化アルゴリズムを複雑にすることで，解読の危険性を低減させることができるが，計算処理に時間を要することになるので，その時代の演算素子性能に見合った仕様に設定されることになる。しかし，計算技術の進展に伴って仕様の更新は不可欠となり，システム更新における膨大なコストを生じさせることにも繋がる。

　これに対して，物理レイヤ暗号は，数理暗号とは質的に異なる証明可能安全性を保証する方式である。その前提となるのは，主通信路と盗聴通信路の物理特性であり，一般には，それらがある条件を満足するときに初めて証明可能安全性を保証できる。特に，盗聴通信路には何らの制限もなくどんな技術でも使える万能の盗聴者に対しても，無条件の証明可能安全性を保証する方式があり，それが量子暗号である。

米国特許出願公開　ＵＳ２００８／０２１９４４７Ａ１

　数理暗号は，現在知られている数学や計算技術では解読が極めて困難であると考えられているが，将来，計算技術が進展したり，あらたな解読法が発明されると，短時間で解読される危険性が常に伴う。

　このような計算量的安全性に依らず，証明可能安全性を保証するためには，物理レイヤ暗号を用いる必要がある。物理レイヤ暗号は，ネットワークの物理レイヤ上の個々の通信路に直接的に依存する。図１に，典型的な物理レイヤ暗号方式の構成図を示す。図１に示されるように，従来の送信装置においては，入力メッセージを符号器によってデジタル情報０，１からなる符号語ｘに変換して，この符号語に基づいて搬送波を変調して主通信路へ入力する。また，従来の受信装置においては，受信した変調搬送波を復調器によって出力符号語に変換し，その後，復号器によって復号操作を行い出力メッセージへ変換する。

　物理レイヤ暗号方式は，主通信路と盗聴通信路の物理的な特性に応じて，適切な符号化／復号化を行うことによって秘匿通信を実現する。物理レイヤ暗号の性能は，通信路の信号損失や雑音の影響を直接的に受けるため，伝送距離や速度には限界がある。特に，究極の安全性を持つ量子暗号では，敷設光ファイバの場合，５０ｋｍ程度の距離で，暗号鍵の生成速度は毎秒１０万ビット程度，つまり１００ｋｂｉｔｓ／ｓｅｃ程度が現在の技術の限界となっている。さらに量子暗号は，理論通りの安全性を保証するために要求される量子暗号装置の特性変動の許容幅も狭い。このような量子暗号の利便性への制約は，万能な盗聴者に対する無条件の安全性を要求したことへの代償でもある。物理レイヤ暗号の利用範囲を広げるためには，量子暗号のような無条件安全性保証のみに過度に固執することなく，現実的な通信環境に合うように適切な物理的制限を盗聴通信路に課してモデル化し，速度や距離を少しでも延ばせるよう，自在に暗号仕様が選択できるようにしておくのが望ましい。

　たとえば，衛星と地上間で重要機密を光空間通信で伝送する場合を考える。宇宙のどこに盗聴者が潜んでいるかわからず，盗聴者はどんな手段も使えると仮定して無条件安全性を追求すれば，量子暗号の場合，必要な暗号鍵を溜めるまで衛星を何周もさせ地上と何回も交信させる必要があるため，満足な通信ができなくなる。しかし，視野のクリアな環境下では，もし盗聴者が現れれば受信者に発見されてしまうため，盗聴者は受信者の視野外にいて散乱光などから傍受を行うしかない。このような場合，盗聴通信路の特性は一般に主通信路より劣化したものとなり，適切な物理的制限を課すことは妥当である。このような条件の下で，圧倒的に伝送距離と速度を向上させることができれば，その方が無条件安全性の下で通信特性を犠牲にするよりも現実的な解となる。

　盗聴通信路に課す物理的制限としては，例えば，信号対雑音比が主通信路のそれより劣っているなどの制限が考えられる。この仮定の下では，量子暗号よりはるかに高速で長距離伝送可能な物理レイヤ暗号が実現できることが知られている。本発明が扱う領域は，盗聴通信路に課す物理的制約を上記よりさらに緩和し，信号電力において受信者が優位にあるものの，雑音電力においては盗聴者が受信者より低雑音で傍受できる場合まで広げた領域である。送信者が使う送信電力をＰ［Ｗ］，主通信路の透過率をη_ｙ＜１とし，受信者にはη_ｙＰ［Ｗ］が届くとする。また，盗聴通信路の透過率をη_ｚとして，盗聴者はη_ｚＰ［Ｗ］の電力をタップできるとする。このとき，盗聴者が手にする信号の電力は受信者の受信電力より小さい，つまり，η_ｚ＜η_ｙと仮定する。雑音電力は，電磁波の量子レベルの低雑音領域を考え，単位時間当たりの雑音計数率で測るものとして，受信者，盗聴者の雑音計数率をそれぞれλ_ｙ，λ_ｚとし，λ_ｙ＞λ_ｚの場合も許容する。

　このような場合，伝送距離が長くなってη_ｙが減少するにつれ，秘匿容量は減少し始め，ある距離において急激にゼロに落ちるようになる。従来技術では，これは主通信路の雑音計数によって決まる不可避の限界と考えられていた。これに対し，本発明は，図１の従来技術に新たに符号変換器を導入して，秘匿伝送距離の限界を改善する方法を提供することを目的の一つとする。

　一方，伝送距離が短い領域では，一般に送信電力が十分確保できるため，信号の生成速度と変調の多値度で決まる伝送速度が達成される。ところが，盗聴者への漏洩情報量をゼロにしたい秘匿通信においては，送信電力を大きく取り過ぎてしまうと盗聴者が傍受できる電力も増えてしまうので，送信電力を適正に制御する必要がある。本発明は，そのための電力制御の手法と装置構成も与える。実際的な通信環境では，主通信路と盗聴通信路の特性は時々刻々変動するのが一般的で，その時々の状況をできるだけ正確に把握し，そのもとで変復調，符号化／復号化の仕様を適応的に制御し，最適な秘匿通信性能を実現するのが理想的である。そこで，本発明は，このような適応的秘匿通信を行う物理レイヤ暗号技術の実現法を提供することをも目的とする。

　以上のように，本発明は，秘匿伝送距離の長距離化を図るとともに，主通信路の特性に応じて十分な秘匿容量を確保することを解決課題とする。

　そこで，本発明の発明者は，上記の従来の問題を解決する手段について鋭意検討した結果，第１に，通信路特性推定用機を導入して通信路特性を常時又は定期的にモニタし，さらに信号電力調整器を導入して，通信路特性のモニタ結果に基づいて送信装置の出力信号の電力を最適値に設定してから主通信路に入力するという知見を得た。これによって，時々刻々変動する通信環境においても常に最適な秘匿容量を達成することができるようになる。第２に，送信装置が備える符号器と変調器の間に符号変換器を導入して，符号器からの出力符号語（デジタル信号）をさらに別の符号語（デジタル信号）に変換するという知見を得た。例えば，符号変換器の中では，符号語に対して確率的に０と１のビットをランダムに入れ替える操作を行う。この付加的なランダム化によって，盗聴者への撹乱効果を増強し，長距離領域で十分な秘匿容量を確保できなかった問題を解決する。このように，本発明は，通信路特性を推定するモジュールと最適な電力設定を行う信号電力調整器を備え，好ましくは付加的ランダム化のための符号変換器を含む符号器によって適応的秘匿通信を実現する。
　そして，本発明者らは，上記知見に基づけば，従来技術の課題を解決できることに想到し，本発明を完成させた。具体的に説明すると，本発明は以下の構成を有する。

　本発明の第１の側面は，物理レイヤ暗号化装置４０に関する。
　本発明の物理レイヤ暗号化装置４０は，通信システム１００に組み込まれる装置である。通信システム１００は，データ信号の送信装置１０と，データ信号の正規の受信装置２０と，送信装置１０と正規の受信装置２０とを接続する主通信路３０とを備える。
　本発明の物理レイヤ暗号化装置４０は，主通信路３０の物理特性に応じて，送信装置１０から主通信路３０を介して正規の受信装置２０へと送信されるデータ信号を暗号化する。
　本発明において，物理レイヤ暗号化装置４０は，秘匿容量適正化手段を有する。この秘匿容量適正化手段は，主通信路３０の秘匿容量を適正化する。
　秘匿容量適正化手段は，通信路特性推定機４１と，信号電力調整器４２とを含む。
　通信路特性推定機４１は，主通信路３０の通信路特性を推定するための装置である。
　信号電力調整器４２は，通信路特性推定機４１が推定した主通信路３０の通信路特性に基づいて，送信装置１０から送信されるデータ信号の電力レベルを調整するための装置である。

　上記構成のように，本発明では，通信システム１００に通信路特性推定機４１を設け，主通信路３０の通信路特性（例えば透過率等）を常時又は定期的にモニタすると共に，この通信システム１００にさらに信号電力調整器４２を設けて，通信路特性のモニタ結果に基づいて送信装置１０の出力信号の電力を最適値に設定する。これにより，時々刻々変動する通信環境においても常に最適な秘匿容量を達成することができるようになる。

　すなわち，盗聴者に漏洩する情報量をゼロにしたい秘匿通信においては，データ信号の電力レベルを大きくし過ぎてしまうと，盗聴者が傍受できる電力も増えてしまうため，盗聴者に漏洩する情報量が増えることが懸念される。このため，本発明は，基本的に，主通信路３０の通信路特性をモニタし，正規の受信装置２０には情報が適切に伝達され，しかも盗聴通信路６０を介して情報を盗み出す盗聴装置５０には情報が漏洩しない程度を見極めて，あえてデータ信号の電力レベルを落とすことで，データ信号の物理レイヤでの暗号化を実現するものである。これにより，本発明は，正規の受信装置２０のみが，送信装置１０から出力されたデータ信号の解読を行うことができるようにしている。

　本発明の物理レイヤ暗号化装置４０は，さらに符号変換器４３を含むことが好ましい。
　すなわち，上記の送信装置１０は，符号器１１が生成したデジタル信号に基づいて，所定周波数の信号を，変調器１２によって変調して，データ信号として主通信路３０へと出力するものである。
　この場合に，物理レイヤ暗号化装置４０の符号変換器４３は，符号器１１が生成した元のデジタル信号を別のデジタル信号へと変換し，この別のデジタル信号を変調器１２に入力する。

　上記構成のように，本発明の物理レイヤ暗号化装置４０は，送信装置１０が備える符号器１１と変調器１２の間に符号変換器４３を導入して，符号器１１からのデジタル信号をさらに別のデジタル信号に変換する。例えば，符号変換器４３の中では，デジタル信号に対して確率的に０と１のビットをランダムに入れ替える操作を行う。この付加的なランダム化によって，盗聴者に対する撹乱効果を増強し，長距離領域で十分な秘匿容量を確保することができる。

　本発明の第２の側面は，物理レイヤ暗号化方法に関する。本発明の物理レイヤ暗号化方法は，上述した第１の側面に係る物理レイヤ暗号化装置４０によって実現することができる。
　すなわち，本発明の物理レイヤ暗号化方法は，主通信路３０の物理特性に応じて，送信装置１０から主通信路３０を介して正規の受信装置２０へと送信されるデータ信号を暗号化する。
　本発明の物理レイヤ暗号方法は，秘匿容量適正化工程を有する。この秘匿容量適正化工程は，主通信路３０の秘匿容量を適正化する工程である。
　また，秘匿容量適正化工程は，通信路特性推定工程と，信号電力調整工程とを含む。
　通信路特性推定工程は，主通信路３０の通信路特性を推定するための工程である。
　信号電力調整工程は，通信路特性推定工程において推定した主通信路３０の通信路特性に基づいて，送信装置１０から送信されるデータ信号の電力レベルを調整する工程である。

　本発明の物理レイヤ暗号化方法において，秘匿容量適正化工程は，さらに符号変換工程を含むことが好ましい。符号変換工程は，符号器１１が生成した元のデジタル信号を別のデジタル信号へと変換し，別のデジタル信号を変調器１２に入力する工程である。

　本発明によれば，秘匿伝送距離の長距離化を図るとともに，主通信路の特性に応じて十分な秘匿容量を確保することができる。

図１は，従来技術による物理レイヤ暗号方式の構成をしている。図２は，本発明に基づく適応的秘匿通信方式の構成の例を示している。図３は，送信するレーザーパルスと変調方式の例を示している。図４は，本発明に基づく物理レイヤ暗号通信方式で使われるパラメータを示している。図５は，主通信路のビット遷移のダイヤグラムを示している。図６は，秘匿伝送速度の等高線分布と電力制限に許容領域の例を示している。図７は，秘匿容量の主通信路透過率に対する変化の一例を示している。図８は，秘匿容量の主通信路透過率に対する変化の一例を示している。図９は，補助通信路，主通信路，及び盗聴通信路における各ビットの遷移図を示している。図１０は，秘匿容量の主通信路透過率に対する変化の一例を示している。図１１は，オン信号の生起確率の最適解の一例を示している。図１２は，オン信号の平均光子数の最適解の一例を示している。図１３は，補助通信路のパラメータの最適解の一例を示している。図１４は，最適解なオン信号の生起確率と平均光子数の積の主通信路透過率に対する変化の例を示している。図１５は，符号器の中での操作手順の例を示している。

　以下，図面を用いて本発明を実施するための形態について説明する。ただし，本発明は，以下に説明する形態に限定されるものではなく，以下の形態から当業者が自明な範囲で適宜修正したものも含む。

　図２は，本発明に係る物理レイヤ暗号化装置４０を含む通信システム１００の構成例を示したブロック図である。図２に示されるように，本発明の物理レイヤ暗号化装置４０は，通信システム１００に組み込むことができる。通信システムは，光信号を扱う光通信システムであってもよいし，電波やマイクロ波を用いたワイヤレス通信システムであってもよい。

　通信システム１００は，基本的に，公知の構成を適宜採用することができる。図２に示されるように，通信システム１００は，送信装置１０と，受信装置２０と，これらの送信装置１０と受信装置２０を繋ぐ主通信路３０とで構成される。また，図２には，通信システム１００を利用して正規にやりとりされるデータ信号を盗聴する盗聴装置５０と，その盗聴通信路６０も示されている。

　送信装置１０は，所望の入力メッセージを，主通信路３０を介して，受信装置２０へと送信するための装置である。送信装置１０は，基本的に，符号器１１と，変調器１２とを備える。符号器１１は，入力メッセージｍをデジタル情報０，１からなる符号語ｖ（デジタル信号）に変換する。この符号語は，後述する符号変換器４３を経て，変調器１２に入力される。つまり，この符号語は，変調器１２に入力される変調信号として機能する。

　また，変調器１２は，入力された変調信号に基づいて，信号を変調し，受信装置２０へと送信するデータ信号を生成する。例えば，光通信システムの例においては，公知の光源から出力された所定周波数の光信号が変調器１２に入力される。変調器１２は，符号器１１からの変調信号に基づいて，光信号を変調する。変調器１２としては，例えば，オンオフキーイング（ＯＯＫ），振幅シフトキーイング（ＡＳＫ），周波数シフトキーイング（ＦＳＫ）など，公知の変調方式のものを採用することができる。また，変調器１２に光信号を入力する光源としては，パルスレーザー光源であってもよいし，ＣＷレーザー光源であってもよい。

　受信装置２０は，送信装置１０によって送信されたデータ信号を，主通信路３０を介して受信し，出力メッセージとして受け取るための装置である。受信装置２０は，基本的に，復号器２１と，復調器２２とを備える。主通信路３０を通過したデータ信号は，まず復調器２２に入力される。復調器２２は，送信装置１０の変調器１２の変調方式に対応している。復調器２２は，データ信号を復調し，出力符号語ｙ（デジタル信号）を得る。出力符号語は，復号器２１に入力される。復号器２１は，送信装置１０の符号器１１に対応している。復号器２１は，出力符号語を復号して，出力メッセージｍ´を生成する。これにより，送信装置１０によって送信された入力メッセージｍが，出力メッセージｍ´として受信装置２０に伝達される。

　主通信路３０は，送信装置１０と正規の受信装置２０とを繋ぐ通信路である。主通信路３０は，有線であってもよいし無線であってもよい。例えば，主通信路３０は，光ファイバーであってもよいし，自由空間であってもよい。

　また，図２に示されるように，通信システム１００を介した情報のやりとりにおいては，常に，その情報を盗み出そうとする盗聴装置５０が存在している可能性がある。盗聴装置５０は，盗聴通信路６０を経由して，主通信路３０を伝搬しているデータ信号を傍受する。盗聴装置５０の構成としては，あらゆる態様が想定されるが，少なくとも復調器５１を備えていると考えられる。盗聴装置５０は，盗聴通信路６０を経由して取得したデータ信号を，復調器５１において復調し，盗聴符号語ｚを得る。盗聴符号語ｚを復号しようとした場合，鍵情報を持たない盗聴者とっては，その逆演算に膨大な時間が掛かるものの，将来的に計算技術が進展したり新たな解読法が発明された場合には，短時間で解読される危険性があるといえる。

　そこで，本発明は，盗聴者に漏洩する情報量をゼロにするか，若しくは限りなく少なくするために，通信システム１００に組み込む物理レイヤ暗号化装置４０を提供する。本発明において，物理レイヤ暗号化装置４０は，主通信路３０の秘匿容量を適正化するための秘匿容量適正化手段を有する。ここで，秘匿容量とは，送信装置１０と正規の受信装置２０を繋ぐ主通信路３０の容量と盗聴通信路５０の容量との差を，信号のパラメータ（具体的には生起確率と電力）に関して最大化した量である。秘匿容量が大きいほど，盗聴者に漏洩する情報量が減少し（好ましくはゼロになり），正規の受信者に伝達される情報量が増加（好ましくは最大化）する。具体的に説明すると，図２に示されるように，物理レイヤ暗号化装置４０の秘匿容量適正化手段は，通信路特性推定機４１と，信号電力調整器４２とから構成される。また，本発明の物理レイヤ暗号化装置４０は，符号変換器４３を含むことが好ましい。

　通信路特性推定機４１は，主通信路３０の通信路特性を推定するためのモジュールである。具体的には，通信路特性推定機４１は，主通信路３０の通信路特性として，主通信路３０の透過率を測定することが好ましい。主通信路３０の通信路特性を測定するための構成として，図２に示されるように，通信路特性推定機４１は，送信装置１０側に設けられる通信路特性推定用送信機４１ａと，受信装置２０側に設けられる通信路特性推定用受信機４１ｂとから構成される。

　図２に示されるように，通信路特性推定用送信機４１ａと通信路特性推定用受信機４１ｂは，主通信路３０によって接続されている。通信路特性推定用送信機４１ａは，測定用の信号を主通信路３０に入力する。そして，通信路特性推定用受信機４１ｂは，主通信路３０から出力された測定用の信号を受信する。通信路特性推定用受信機４１ｂは，公知の演算装置（図示省略）に接続されており，この演算装置は，通信路特性推定用受信機４１ｂが受信した測定用の信号を解析する。具体的には，演算装置は，通信路特性推定用送信機４１ａから送信された測定用の信号と，通信路特性推定用受信機４１ｂが受信した測定用の信号を比較することで，主通信路３０を伝搬した測定用の信号の減衰率を算出する。これにより，測定用の信号の減衰率に基づいて，主通信路３０の通信路特性，すなわち透過率を求めることができる。

　図２に示されるように，通信路特性推定用受信機４１ｂを利用して求められた主通信路３０の通信路特性に関する情報は，送信装置１０側にフィードバックされる。ここで，物理レイヤ暗号化装置４０は，送信装置１０側に，信号電力調整器４２をさらに有する。信号電力調整器４２は，主通信路３０の通信路特性に関する情報に基づいて，送信装置１０から出力されるデータ信号の電力レベルを調整するためのモジュールである。

　盗聴者への漏洩情報量をゼロにしたい秘匿通信においては，送信するデータ信号の電力レベルを大きく取り過ぎると盗聴者が傍受できる電力も増えてしまうので，電力レベルを適正に制御する必要がある。本発明は，そのために，通信路特性推定機４１と信号電力調整器４２とを備えている。実際的な通信環境では，主通信路と盗聴通信路の特性は時々刻々変動するのが一般的で，その時々の状況をできるだけ正確に把握し，そのもとで変復調，符号化／復号化の仕様を適応的に制御することで，最適な秘匿通信性能を実現できる。電力レベルを最適化する手法については，詳しくは後述する。

　また，図２に示されるように，物理レイヤ暗号化装置４０は，符号変換器４３をさらに備える。符号変換器４３は，送信装置１０に含まれる符号器１１と変調器１２との間に設けられるモジュールである。符号変換器４３は，符号器１１によって生成された符号語ｖ（デジタル信号）をさらに変換して，入力符号語ｘを得て，この入力符号語ｘを変調信号として変調器１２に入力する。例えば，符号変換器４３は，符号語ｖの各ビットｖ_ｉ（＝０，１）をある確率でランダムに反転させ，主通信路３０への入力符号語ｘ＝（ｘ_１，ｘ_２，…，ｘ_ｎ）を生成する。このように，符号変換器４３において，符号語を付加的にランダム化させることで，盗聴者に対する撹乱効果を増強することができる。これにより，主通信路３０が長距離化するにつれて，秘匿容量が急激に減少する現象を抑制し，秘匿通信が可能な伝送領域を長距離化することができる。あるいは，空間伝搬路を用いた通信においては，信号透過率が減衰した場合でも，秘匿通信の性能を劣化させることなく維持することが可能になる。

　なお，符号変換器４３は符号語ｖを入力とし入力符号語ｘを出力とする通信路としてモデル化される。このため，本願明細書においては，このような符号変換器４３の通信路を補助通信路ともいう。

　より具体的な符号化／復号化手順は以下のようになる。送信装置には，メッセージ集合Ｍ≡｛ｍ｜１，２，…，Ｍ｝から選ばれた任意のメッセージｍが入力され，符号器φ_ｎにおいて補助変数Ｖ＝｛ｖ_ｉ｜０，１｝からなる長さｎの符号語ｖ＝（ｖ_１，ｖ_２，…，ｖ_ｎ）に変換されて，符号変換器に送られる。ここで，符号変換器を表す補助通信路Ｐ^ｎ _Ａ（ｘ｜ｖ）は定常無記憶通信路，すなわち式（１）とする。
［式（１）］

　Ｐ^ｎ _Ａ（ｘ｜ｖ）は，ｖ_ｉから，ｘ_ｉへの遷移確率を表わす。符号変換器では，符号語ｖの各ビットｖ_ｉ（＝０，１）をある確率でランダムに反転させ，主通信路への入力符号語ｘ＝（ｘ_１，ｘ_２，…，ｘ_ｎ）を生成する。具体的には，０を確率ａで１に，１を確率１－ｂで０に反転させる。したがって，補助通信路でのビット遷移は式（２）のような通信路行列で記述される。
［式（２）］

　入力符号語の情報は，電気信号として変調器に印可され，搬送波の変調に使われる。入力符号語に応じて生成された変調信号は，信号電力調整器に送られ，通信路特性に応じた最適な信号電力レベルに調整された後で主通信路に入力される。これらの信号列は主通信路Ｗ^ｎ _Ｂ（ｙ｜ｘ）と復調器を介して出力符号語ｙに，また盗聴通信路Ｗ^ｎ _Ｅ（ｚ｜ｘ）と復調器を介して盗聴符号語ｚに変化する。ここでＷ^ｎ _Ｂ（ｙ｜ｘ）とＷ^ｎ _Ｅ（ｚ｜ｘ）は，ｘからｙ，ｚへの遷移確率を表わす。出力符号語ｙは，復号器ψ^Ｂ _ｎによって出力メッセージｍ´に変換される。本発明では，主通信路，盗聴通信路がともに定常無記憶通信路の場合，すなわち式（３）及び式（４）の場合を扱う。
［式（３）（４）］

　図２に示すような秘匿通信システムの伝送性能は，具体的な符号化／復号化の方法に依存する。本発明は，特定の符号化／復号化の方法に縛られるものではなく，秘匿通信のために開発された様々な符号化／復号化と組み合わせて効力を発揮させることができる。具体的な符号化／復号化の例については後述する。

　適切な方式を用いた場合の性能は，相互情報量に基づく秘匿容量の公式を用いて評価することができる。相互情報量は，一般的に通信路の遷移確率Ｗ（ｙ｜ｘ）を用いて式（５）のように表される。
［式（５）］

　ここで，Ｘ，Ｙはそれぞれｘ＝０，１，ｙ＝０，１をとる変数であり，Ｐ_Ｘ（ｘ）はビットｘ＝０，１の生起確率である。

　この量を用いて秘匿容量を評価するために，具体的な変調／復調方式の例を挙げる。送信側では，レーザーパルスをオンオフさせビットの１，０を表現し，受信側では，１個以上の光子が検出されたか否かで１，０を判定するオンオフ変調－強度検波方式を考える。レーザーパルスとしては，中心周波数ｆ_０＝２００ＴＨｚ（通信波長帯１．５μｍ），帯域幅Ｂ＝１０ＧＨｚ，時間幅Δ_ｐ＝０．１ｎｓ（フーリエ変換限界ＢΔ_ｐ～１を満たすと仮定）が典型的な例である。パルスの繰返し速度は，検出器の時間分解能Δ_ｄによって決まり，典型的にはΔ_ｄ＝１ｎｓ程度であることから，１ＧＨｚが典型的な例となる。幅Δ_ｄ＝１ｎｓの各時間スロットに幅Δ_ｐ＝０．１ｎｓのレーザーパルスがあるかないかで１，０を表現する。時間軸上では図３に示すようなパルス系列が送信される。

　各スロット毎の１，０の確率をそれぞれｑ，１－ｑとする。オンパルスの時間占有率はｑ´＝Δ_ｐ／Δ_ｄ・ｑとなる。レーザーの各周波数の平均光子数ｎ^￣（ｆ）は，中心周波数ｆ_０の周りのＢ＝１０ＧＨｚ幅にわたって一定値ｎ（ｆ）＝ｎ_０とする。レーザーパルスの時間幅Δ_ｐ当りのパワーは式（６）で表される
［式（６）］

　ここでｈ＝６．６３×１０^－３４Ｊ・ｓはプランク定数である。パルス一個に含まれるエネルギーは式（７）であり，フーリエ変換限界ＢΔ_ｐ～１を満たすパルスと仮定しているので，実質的には式（８）となる。
［式（７）］

［式（８）］

　したがって，パルスあたりの平均光子数ｎ_Ａは，中心周波数に対してパルスの帯域幅Ｂが十分狭い（Ｂ＜＜ｆ_０）として，式（９）のようになる。
［式（９）］

　一方，全時間領域で平均した時のパワーは式（１０）及び式（１１）となる。
［式（１０）（１１）］

　特に，ここで仮定しているフーリエ変換限界ＢΔ_ｐ～１を満たすパルスに対しては式（１２）となる。
［式（１２）］

　送信に使える電力には上限値があり，それをＰ_ｍａｘ［Ｗ］とする。実際の送信電力Ｐは，この値を上限として，式（１３）の下の値で設定する。
［式（１３）］

　一般に，通信路損失が大きい場合（透過率η_ｙが小さい場合）には，送信電力を最大値Ｐ_ｍａｘで使うほうが良いが，通信路損失が小さい領域では，盗聴者への情報漏洩を防ぐために送信電力をＰ_ｍａｘより意図的に小さくする必要がある。これに従って，信号（０，１）の生起確率（１－ｑ，ｑ）と，オン信号１の平均光子数ｎ_Ａとの最適な組が決まる。この最適な組みは，相互情報量に基づく適切な計量を最大化することにより求める必要がある。

　そこで，図４に示すように，通信路と受信装置の特性を記述するパラメータを定義し，最適化の手法を導入する。主通信路と盗聴通信路では，損失によってオン信号の平均光子数はｎ_Ａからそれぞれη_ｙｎ_Ａ，η_ｚｎ_Ａに減衰して受信装置，盗聴装置に入る。ここで，η_ｙ（＜１），η_ｚ（＜η_ｙ＜１）はそれぞれ主通信路，盗聴通信路の透過率である。

　受信装置と盗聴装置では，上記のようなパルス列を，１個以上の光子が検出されたか否かで１，０を判定するオンオフ強度検波で検出する。その受信性能は，検出効率と暗計数によって決まる。検出器の検出効率は，通信路の透過率η_ｙ，η_ｚに含めた形で扱ってよい。また，検出器自体の暗計数のほかに，通信路や通信システム全体に存在する背景雑音をまとめて雑音計数率λ_ｙ［ｃｏｕｎｔｓ／ｓｅｃ］（ｃｐｓと略す），λ_ｚ［ｃｐｓ］を定義する。主通信路の特性は図５に示すような遷移ダイヤグラムとそれに対応する以下の式（１４），式（１５），及び式（１６）のような通信路行列で記述される。
［式（１４）（１５）（１６）］

　同様に盗聴通信路の特性は，式（１７），式（１８），及び式（１９）で与えられる。
［式（１７）（１８）（１９）］

　まず，補助通信路Ｐ_Ａ（ｘ｜ｖ）がない簡単な場合について性能を評価する。変数Ｘ，Ｙ間の相互情報量Ｉ（Ｘ；Ｙ），及びＸ，Ｚ間の相互情報量Ｉ（Ｘ；Ｚ）は，式（２０）で示されたエントロピー関数を用いて，式（２１）及び（式２２）のように与えられる。
［式（２０）］

［式（２１）（２２）］

　盗聴者への漏洩情報量を限りなく小さく抑えつつ，受信者へ誤りなく情報伝送する際の秘匿伝送速度は，上記の相互情報量の差であり，式（２３）で与えられる。
［式（２３）］

　この秘匿伝送速度は，主通信路と盗聴通信路の透過率η_ｙ，η_ｚ，雑音計数率λ_ｙ，λ_ｚ，送信電力の上限値Ｐ_ｍａｘ，及びオン信号の生起確率ｑと平均光子数ｎ_Ａ，に依存する関数となる。秘匿容量は，この秘匿伝送速度を電力制限（上記式（１３））の下で，オン信号の生起確率ｑと平均光子数ｎ_Ａで最大化した，下記式（２４）で与えられる。
［式（２４）］

　最終的には，秘匿容量を伝送距離の関数として評価したい。つまり，秘匿容量が透過率η_ｙの減少とともにどのように減少するかを評価したい。その際，雑音計数率λ_ｙ，λ_ｚ，送信電力の上限値Ｐ_ｍａｘは与えられたものとする。また，盗聴通信路の主通信路に対する比透過率η_ｚｙ＝η_ｚ／η_ｙを導入し，これも与えられたものとして固定し，η_ｚはη_ｙと同様に減少させながら秘匿容量の評価を行う。したがって，秘匿伝送速度を主通信路の透過率η_ｙ，オン信号の生起確率ｑ，及び平均光子数ｎ_Ａの関数としてΔＩ（η_ｙ，ｑ，ｎ_Ａ）と書き，秘匿容量を式（２５）と書く。
［式（２５）］

　ΔＩ（η_ｙ，ｑ，ｎ_Ａ）の関数構造では，η_ｙとｎ_Ａはｂ_ｙ，ｂ_ｚを通して受信信号の平均光子数η_ｙｎ_Ａの形で現れることから，これをｎ_Ｂ＝η_ｙｎ_Ａとおいて，ΔＩ（η_ｙ，ｑ，ｎ_Ａ）＝Δ_０Ｉ（ｑ，ｎ_Ｂ）という関数を，以下の式（２６）のように，まず評価する。
［式（２６）］

　０＜ｑ＜１，ｎ_Ｂ＞０においてΔＩ_０（ｑ，ｎ_Ｂ）は一つの最大値を持ち，その最大値を達成する（ｑ，ｎ_Ｂ）を（ｑ^＊，ｎ^＊ _Ｂ）とする。

　次に，上記式（１３）の電力制限を考える。上記式（１３）を受信信号の平均光子数で書きかえると，式（２７）となる。
［式（２７）］

　したがって，ｑ－ｎ_Ｂ平面上の第１象限０＜ｑ＜１，ｎ_Ｂ＞０は，図６に示すように，電力制限（式（２７））を満たす下部と，それ以外の上部に２分される。上部領域の（ｑ，ｎ_Ｂ）は電力制限を破るため許容されない。

　損失無依存領域　
　もし図６（ａ）のように最適点（ｑ^＊，ｎ^＊ _Ｂ）が下部領域にあれば，その点の値ΔＩ_０（ｑ^＊，ｎ^＊ _Ｂ）が秘匿容量となる。この場合，信号の平均光子数ｎ^＊ _Ｂに対しては，下記式（２８）のような厳密な不等式が成り立つ。
［式（２８）］

　このため，送信電力の最大値Ｐ_ｍａｘを使い切ることはせずに，送信側ではオン信号の平均光子数を，［式（２９）］で決まる値に抑制して設定し送信する。
［式（２９）］

　この領域では，通信路透過率η_ｙが減少しても，つまり，伝送距離が増えて損失が増しても，最適点（ｑ^＊，ｎ^＊ _Ｂ）が受信側での電力制限（式（２７））を常に満たす関係にあるため，秘匿容量はΔＩ_０（ｑ^＊，ｎ^＊ _Ｂ）の値に固定され，通信路透過率η_ｙの減少，あるいは，伝送損失の増加に対する依存性が現れない。そこで，この領域を「損失無依存領域」と呼ぶ。

　減衰領域　
　一方，図６（ｂ），（ｃ）のように最適点（ｑ^＊，ｎ^＊ _Ｂ）が，下記式（３０）の境界線上かそれより上部領域にあれば，ΔＩ_０（ｑ^＊，ｎ^＊ _Ｂ）という値は電力制限上達成できず，下部領域においてΔＩ_０（ｑ，ｎ_Ｂ）を最大化する（ｑ，ｎ_Ｂ）を見つける必要がある。
［式（３０）］

　最大値は境界線上に存在するため，境界線（式（３０））と等価な
［式（３１）］

という関係式によって秘匿伝送速度の表式
［式（３２）］

の中のｎ_Ａを消去し，
［式（３３）］

をｑによって最大化した値
［式（３４）］

が秘匿容量となる。

　この領域では，秘匿容量は通信路透過率の減少，あるいは，伝送損失の増加に伴って減少する。この領域を「減衰領域」と呼ぶ。

　このようにして得られる秘匿容量が，主通信路の透過率η_ｙの減少（通信路損失の増加）とともにどのように変化するかを図７に示す。横軸は主通信路の透過率のデシベル表示１０ｌｏｇ_１０η_ｙである。例えば，透過率が－４０ｄＢとは，送信電力１０^－４まで減衰する損失を意味し，透過率が－８０ｄＢとは，送信電力１０^－８まで減衰する損失を意味する。通信路透過率が－１００ｄＢ付近まで損失無依存領域であり，そこから右側が減衰領域となっている。盗聴通信路の主通信路に対する比透過率η_ｚｙ＝η_ｚ／η_ｙが０．０１（上），０．９５（中），０．９９９（下）の３つの場合について比較してある。
　図７は，送信電力の上限値がＰ_ｍａｘ＝１Ｗであり，検出器の時間分解能がΔ_ｄ＝１ｎｓであり，受信者及び盗聴者の雑音計数率がそれぞれλ_ｙ＝１０^４ｃｐｓ，λ_ｚ＝１ｃｐｓである場合を示している。

　もし，損失無依存領域において，送信電力をｑ^＊ｈｆ_０ｎ^＊ _Ａ／Δ_ｄに制限せずに上限値Ｐ_ｍａｘまで使い切った場合には，盗聴者への漏洩情報量を抑えきれなくなるため，秘匿容量は図８の破線で示すように図中左の低損失側で急激に劣化する。
　図８は，破線が送信電力をｑ^＊ｈｆ_０ｎ^＊ _Ａ／Δ_ｄに制限せずに上限値Ｐ_ｍａｘ＝１Ｗまで使い切った場合の性能を示している。なお，図８は，図７と同様に，検出器の時間分解能がΔ_ｄ＝１ｎｓであり，受信者及び盗聴者の雑音計数率がそれぞれλ_ｙ＝１０^４ｃｐｓ，λ_ｚ＝１ｃｐｓである場合を示している。

　次に，高損失側での秘匿容量の劣化を抑えるために補助通信路Ｐ_Ａ（ｘ｜ｖ）を導入する。この場合，主通信路及び盗聴通信路まで含めた全体の連接通信路における各ビットの遷移は図９のダイヤグラムようになる。このように連接された通信路全体の遷移確率は，式（３５）～（３９）で与えられる。
［式（３５）～（３９）］

　ここで，ａ^＋ _ｙ，ｂ^＋ _ｙ，ａ^＋ _ｚ，及びｂ^＋ _ｚは，それぞれ式（４０）～（４３）のとおりである。
［式（４０）～（４３）］

　最終的な秘匿容量は，変数Ｖ，Ｙ間の相互情報量Ｉ（Ｖ；Ｙ），及びＶ，Ｚ間の相互情報量Ｉ（Ｖ；Ｚ）の差を，電力制限（式（２７））の下で変数Ｖの生起確率｛１－ｑ，ｑ｝について最大化し，さらに補助通信路のパラメータａ，ｂで最大化した以下式（４４）の量で与えられる。
［式（４４）］

　それぞれの相互情報量は，下記式（４５）に示すエントロピー関数を用いて，下記式（４６）及び（４７）のように与えられる。
［式（４５）］

［式（４６）（４７）］

　補助通信路を導入したことによる秘匿容量の改善効果を，図１０の点線で示す。比透過率η_ｚｙ＝η_ｚ／η_ｙが０．０１（上）の場合は，効果はほとんど現れないが，０．９５，０．９９，及び０．９９９と増加するにつれて，高損失側で急激に減少していた秘匿容量の特性（実線）が点線のように，より高損失側，より長距離側まで減少せずにとどまり，伝送距離が改善されていることがわかる。
　この改善効果は，比透過率η_ｚｙが大きいほど，つまり図１０における下の方の曲線ほど顕著になる。例えば，比透過率がη_ｚｙ＝０．９９９の場合，秘匿容量が急激にゼロに落ちるカットオフ点が約１０ｄＢほど高損失側へ伸びていることがわかる。
　なお，図１０は，送信電力の上限値がＰ_ｍａｘ＝１ｍＷであり，検出器の時間分解能がΔ_ｄ＝１０ｐｓであり，受信者及び盗聴者の雑音計数率がそれぞれλ_ｙ＝１０^６ｃｐｓ，λ_ｚ＝１ｃｐｓである場合を示している。

　この改善効果は以下のような適応的制御法に応用することができる。例えば，レーザー光の空間伝搬路中に霧が立ち込めて通信路透過率が劣化したり，レーザー光の捕捉追尾系の精度が揺らいで実効的な通信路透過率が劣化したりした場合，補助通信路によるランダムなビット値の反転操作機構を駆動させることでこれらの効果を抑制することが可能となる。具体的には，盗聴者が受信者とほぼ同じ量をタッピングできる条件，つまり比透過率がη_ｚｙ＝０．９９９の場合，秘匿容量のカットオフ点を約１０ｄＢほど高損失側へ伸ばすことができるため，通信路透過率が１０分の一まで劣化したとしても，補助通信路の駆動によってその劣化の影響を完全に帳消しにすることが可能となる。
　一方，光空間中の通信路の伝搬特性が一定という条件の下で，上記の利得を伝送距離に換算すると，１０^１／２＝３．２倍だけ長距離化できることを意味する。それは，レーザー光を用いる空間通信での通信路透過率は，伝送距離の２乗で減衰するためである。

　補助通信路を導入した場合において，秘匿容量を達成するための変数，すなわちオン信号の生起確率ｑ，平均光子数ｎ_Ａ，及び補助通信路のパラメータａ（＝Ｐ_Ａ（１｜０））の最適解，及び生起確率と平均光子数の積ｑ・ｎ_Ａが，主通信路透過率η_ｙに対してどのように変化するかをそれぞれ図１１，図１２，図１３及び図１４に示す。それぞれの図において，比透過率η_ｚｙ＝０．９５，０．９９，及び０．９９９のグラフの線が途中で途切れているのは，そこから高損失側では秘匿容量がゼロになり，それぞれの量が定義できなくなるためである。図１１からわかるように，最適な生起確率ｑは，秘匿容量の振る舞いと同様に，損失無依存領域と減衰領域からなっている。さらに，図１２からわかるように，最適な平均光子数ｎ_Ａは，主通信路透過率η_ｙとともに増加する。損失無依存領域においては，ｎ_Ａ＝ｎ^＊ _Ｂ／ηに従って低損失側ほど信号強度を抑えて送る必要がある。図１１のようにオン信号の生起確率の方は最適値ｑ^＊に固定する。一方，減衰領域においては，オン信号の生起確率を減らし，平均光子数を上げることで，オン信号の識別誤りを極力減らすのが適していることがわかる。なお，最適解なオン信号の生起確率と平均光子数の積ｑ・ｎ_Ａは，主通信路透過率η_ｙに対して図１４のように変化しており，減衰領域では，ある一定値になっていることがわかる。

　図１１は，オン信号の生起確率ｑの最適解を示している。図１１は，補助通信路を導入した場合において，主通信路透過率η_ｙに対する変化としてプロットしている。
　図１２は，オン信号の平均光子数ｎ_Ａの最適解を示している。図１２は，補助通信路を導入した場合において，主通信路透過率η_ｙに対する変化としてプロットしている。
　図１３は，補助通信路のパラメータａ（＝Ｐ_Ａ（１｜０））の最適解を示している。もう一つのパラメータｂ（＝Ｐ_Ａ（１｜１））についてはｂ＝１がほぼ最適解となる。
　図１４は，最適解なオン信号の生起確率と平均光子数の積ｑｎ_Ａの主通信路透過率η_ｙに対する変化を示している。すなわち，補助通信路を導入した場合である。

　補助通信路のパラメータａ（＝Ｐ_Ａ（１｜０））の最適解は，損失無依存領域と減衰領域において２つの異なる振る舞いをしていることがわかる。すなわち，損失無依存領域ではａも一定値に止まるが，減衰領域では一旦わずかに減少した後で徐々に増加する。もう一つのパラメータｂ（＝Ｐ_Ａ（１｜１））についてはｂ＝１がほぼ最適解となる。そのため、特に図では示していない。パラメータａは，オフ信号をオン信号と判定してしまう確率であり，雑音計数の効果と等価である。このことから，減衰領域において秘匿容量を増加させるためには，送信機において雑音計数に等価なランダム化を人為的に加えることが有効であると言える。

　続いて，符号変換器によるデジタル信号の符号化について説明する。
　本発明の物理レイヤ暗号化装置は，長さｎの２元線形符号に誤り訂正とランダム化の機能を組み込んで，信頼性を確保しつつ盗聴者への情報漏洩を防ぐ符号化を実現する。長さｎの２元符号語全体（２^ｎ個）の集合をＦ^ｎとする。２元線形符号は２を法とする加法に関して群をなす。まず，ランダム化操作のもとになる［ｎ，ｌ］線形符号Ｃ＝｛ｕ_１，ｕ_２，…，ｕ_Ｌ｝を導入する。符号語の数は全部でＬ＝２^ｌ個である。符号Ｃの生成行列（ｌ行ｎ列）を式（４８）とする。
［式（４８）］

　ｇ_１，ｇ_２，…，ｇ_ｌは線形独立でＣの基底ベクトルを成し，符号語を式（４９）のように展開できる。
［式（４９）］

　次に，ｋビットの送信メッセージ｛１，２，…，Ｍ｝（Ｍ＝２^ｋ）を考える。これらをビット系列ｓ_ｍ＝（ｓ_ｍ１，…，ｓ_ｍｋ）で表わす。符号語全体の集合をＦ^ｎから線形符号Ｃの要素全体の集合を差し引いて得られる集合Ｆ^ｎ＼Ｃの中からｋ個の線形独立なベクトルｈ_１，ｈ_２，…，ｈ_ｋを選んで，各メッセージ系列ｓ_ｍに対して，その要素記号を係数とする長さｎの符号語を以下の式（５０）ように作る。
［式（５０）］

　これらの符号語ｅ_ｍを用いて，Ｃの副群（ｃｏｓｅｔ；コセット）Ｃ_１，Ｃ_２，…，Ｃ_Ｍを以下の式（５１）ように作る。ｅ_ｍはコセットリーダーである。
［式（５１）］

　以上に基づき，符号化φ_ｎは図１５に示すような以下の手順により行う。メッセージｍが入力されたとき，それをビット系列ｓ_ｍ＝（ｓ_ｍ１，…，ｓ_ｍｋ）に変換し，コセットリーダー生成器によってコセットリーダーｅ_ｍを生成する。一方，各メッセージｍ毎に乱数（ｒ_１，…，ｒ_ｌ）を用意して，［ｎ，ｌ］符号合成器によってＣ＝｛ｕ_１，ｕ_２，…，ｕ_Ｌ｝の中からランダムにひとつの符号語ｕ（＝ｒ_１ｇ_１＋…＋ｒ_ｌｇ_ｌ）を合成する。この符号語ｕとコセットリーダーｅ_ｍを足し合わせて符号器φ_ｎからの最終的な出力ｖ_ｍ＝ｅ_ｍ＋ｕを合成する。このようにして，メッセージｍに対してコセットＣ_ｍを対応させ，その中の符号｛ｅ_ｍ＋ｕ_１，…，ｅ_ｍ＋ｕ_Ｌ｝の中からランダムにひとつを選んで符号化を行う。

　以上，本願明細書では，本発明の内容を表現するために，図面を参照しながら本発明の実施形態の説明を行った。ただし，本発明は，上記実施形態に限定されるものではなく，本願明細書に記載された事項に基づいて当業者が自明な変更形態や改良形態を包含するものである。

　本発明は，通信システムに組み込まれる物理レイヤ暗号化装置及び方法に関する。例えば，レーザー光空間通信は，上述した本発明の通信路構成と装置構成が，そのまま適用できる典型的な利用例である。本発明は，衛星光通信や防衛分野の野外通信システム等のための秘匿通信に役立つと期待される。また，本発明は，光領域に限らず，電波やマイクロ波を用いたワイヤレス通信にも広く適用できる。

　これに対して，有線での通信では，盗聴者は正規送受信者の目の届かない場所から自在に通信路にアクセスできると想定しなければならず，上述したような盗聴通信路への仮定が正当化されるかどうかは自明ではない。このような場合には，通信路の状態を直接監視でき，盗聴があった場合にそれを検知できる量子鍵配送技術を用いて，主通信路と盗聴通信路の特性をできるだけ正確に推定しながら，盗聴者のいる可能性が低い時間帯に本発明による適応的秘匿通信によって高速の通信を安全に行うという方法が有効である。

１０…送信装置　　　　　　　　　　　１１…符号器
１２…変調器　　　　　　　　　　　　２０…受信装置
２１…復号器　　　　　　　　　　　　２２…復調器
３０…主通信路　　　　　　　　　　　４０…物理レイヤ暗号化装置
４１…通信路特性推定機　　　　　　　４１ａ…通信路特性推定用送信機
４１ｂ…通信路特性推定用受信機　　　４２…信号電力調整器
４３…符号変換器　　　　　　　　　　５０…盗聴装置
５１…復調器　　　　　　　　　　　　６０…盗聴通信路
１００…通信システム

Claims

　データ信号の送信装置（１０）と，前記データ信号の正規の受信装置（２０）と，前記送信装置（１０）と前記正規の受信装置（２０）とを接続する主通信路（３０）とを備える通信システム（１００）に設けられ，
　前記主通信路（３０）の物理特性に応じて，前記送信装置（１０）から前記主通信路（３０）を介して前記正規の受信装置（２０）へと送信される前記データ信号を暗号化する，物理レイヤ暗号化装置（４０）であって，
　前記物理レイヤ暗号化装置（４０）は，前記主通信路（３０）の秘匿容量を適正化するための秘匿容量適正化手段を有し，
　前記秘匿容適正化手段は，
　　前記主通信路（３０）の通信路特性を推定するための通信路特性推定機（４１）と，
　　前記通信路特性推定機（４１）が推定した前記主通信路（３０）の通信路特性に基づいて，前記送信装置（１０）から送信されるデータ信号の電力レベルを調整する信号電力調整器（４２）と，を含む
　物理レイヤ暗号化装置。
　前記送信装置（１０）は，符号器（１１）が生成したデジタル信号に基づいて，所定周波数の信号を，変調器（１２）によって変調して，前記データ信号として前記主通信路（３０）へと出力するものであり，
　前記秘匿容量適正化手段は，前記符号器（１１）が生成した元のデジタル信号を別のデジタル信号へと変換し，前記別のデジタル信号を前記変調器（１２）に入力する符号変換器（４３）をさらに含む
　請求項１に記載の物理レイヤ暗号化装置。
　データ信号の送信装置（１０）と，前記データ信号の正規の受信装置（２０）と，前記送信装置（１０）と前記正規の受信装置（２０）とを接続する主通信路（３０）とを備える通信システム（１００）において，
　前記主通信路（３０）の物理特性に応じて，前記送信装置（１０）から前記主通信路（３０）を介して前記正規の受信装置（２０）へと送信される前記データ信号を暗号化する，物理レイヤ暗号化方法であって，
　前記物理レイヤ暗号方法は，盗聴装置（５０）に漏れる情報量を最小限に抑え，かつ前記正規の受信装置（２０）への通信路容量を最大化した前記主通信路（３０）の容量である秘匿容量を適正化するための秘匿容量適正化工程を有し，
　前記秘匿容適正化工程は，
　　前記主通信路（３０）の通信路特性を推定するための通信路特性推定工程と，
　　前記通信路特性推定工程において推定した前記主通信路（３０）の通信路特性に基づいて，前記送信装置（１０）から送信されるデータ信号の電力レベルを調整する信号電力調整工程と，を含む
　物理レイヤ暗号化方法。
　前記送信装置（１０）は，符号器（１１）が生成したデジタル信号に基づいて，所定周波数の信号を，変調器（１２）によって変調して，前記データ信号として前記主通信路（３０）へと出力するものであり，
　前記秘匿容量適正化工程は，前記符号器（１１）が生成した元のデジタル信号を別のデジタル信号へと変換し，前記別のデジタル信号を前記変調器（１２）に入力する符号変換工程をさらに含む
　請求項３に記載の物理レイヤ暗号化方法。