Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4459526B2 - Quantum key distribution method and communication apparatus - Google Patents
[go: Go Back, main page]

JP4459526B2 - Quantum key distribution method and communication apparatus - Google Patents

Quantum key distribution method and communication apparatus Download PDF

Info

Publication number
JP4459526B2
JP4459526B2 JP2002342636A JP2002342636A JP4459526B2 JP 4459526 B2 JP4459526 B2 JP 4459526B2 JP 2002342636 A JP2002342636 A JP 2002342636A JP 2002342636 A JP2002342636 A JP 2002342636A JP 4459526 B2 JP4459526 B2 JP 4459526B2
Authority
JP
Japan
Prior art keywords
check matrix
parity check
communication device
data
error correction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002342636A
Other languages
Japanese (ja)
Other versions
JP2004179889A (en
JP2004179889A5 (en
Inventor
渉 松本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2002342636A priority Critical patent/JP4459526B2/en
Publication of JP2004179889A publication Critical patent/JP2004179889A/en
Publication of JP2004179889A5 publication Critical patent/JP2004179889A5/ja
Application granted granted Critical
Publication of JP4459526B2 publication Critical patent/JP4459526B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Detection And Correction Of Errors (AREA)
  • Error Detection And Correction (AREA)
  • Detection And Prevention Of Errors In Transmission (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、高度に安全性の保証された共通鍵を生成することが可能な量子鍵配送方法に関するものであり、特に、誤り訂正符号を用いてデータ誤りを訂正可能な量子鍵配送方法および当該量子鍵配送を実現可能な通信装置に関するものである。
【0002】
【従来の技術】
以下、従来の量子暗号システムについて説明する。近年、高速大容量な通信技術として光通信が広く利用されているが、このような光通信システムでは、光のオン/オフで通信が行われ、オンのときに大量の光子が送信されているため、量子効果が直接現れる通信系にはなっていない。
【0003】
一方、量子暗号システムでは、通信媒体として光子を用い、不確定性原理等の量子効果が生じるように1個の光子で1ビットの情報を伝送する。このとき、盗聴者が、その偏光,位相等の量子状態を知らずに適当に基底を選んで光子を測定すると、その量子状態に変化が生じる。したがって、受信側では、この光子の量子状態の変化を確認することによって、伝送データが盗聴されたかどうかを認識することができる。
【0004】
図8は、従来の偏光を利用した量子鍵配送の概要を示す図である。たとえば、水平垂直方向の偏光を識別可能な測定器では、量子通信路上の、水平方向(0°)に偏光された光と垂直方向(90°)に偏光された光とを正しく識別する。一方、斜め方向(45°,135°)の偏光を識別可能な測定器では、量子通信路上の、45°方向に偏光された光と135°方向に偏光された光とを正しく識別する。
【0005】
このように、各測定器は、規定された方向に偏光された光については正しく認識できるが、たとえば、斜め方向に偏光された光を水平垂直方向(0°,90°)の偏光を識別可能な測定器にて測定すると、水平方向と垂直方向に偏光された光をそれぞれ50%の確率でランダムに識別する。すなわち、識別可能な偏光方向に対応していない測定器を用いた場合には、その測定結果を解析しても、偏光された方向を正しく識別することができない。
【0006】
図8に示す従来の量子鍵配送では、上記不確定性(ランダム性)を利用して、盗聴者に知られずに送信者と受信者との間で鍵を共有する(たとえば、非特許文献1参照。)。なお、送信者および受信者は、量子通信路以外に公開通信路を使用することができる。
【0007】
ここで、鍵の共有手順について説明する。まず、送信者は、乱数列(1,0の列:送信データ)を発生し、さらに送信コード(+:水平垂直方向に偏光された光を識別可能な測定器に対応,×:斜め方向に偏光された光を識別可能な測定器に対応)をランダムに決定する。その乱数列と送信コードの組み合わせで、送信する光の偏光方向が自動的にきまる。ここでは、0と+の組み合わせで水平方向に偏光された光を、1と+の組み合わせで垂直方向に偏光された光を、0と×の組み合わせで45°方向に偏光された光を、1と×の組み合わせで135°方向に偏光された光を、量子通信路にそれぞれ送信する(送信信号)。
【0008】
つぎに、受信者は、受信コード(+:水平垂直方向に偏光された光を識別可能な測定器,×:斜め方向に偏光された光を識別可能な測定器)をランダムに決定し、量子通信路上の光を測定する(受信信号)。そして、受信コードと受信信号の組み合わせによって受信データを得る。ここでは、受信データとして、水平方向に偏光された光と+の組み合わせで0を、垂直方向に偏光された光と+の組み合わせで1を、45°方向に偏光された光と×の組み合わせで0を、135°方向に偏光された光と×の組み合わせでを、それぞれ得る。
【0009】
つぎに、受信者は、自身の測定が正しい測定器で行われたものかどうかを調べるために、受信コードを、公開通信路を介して送信者に対して送信する。受信コードを受け取った送信者は、正しい測定器で行われたものかどうかを調べ、その結果を、公開通信路を介して受信者に対して返信する。
【0010】
つぎに、受信者は、正しい測定器で受信した受信信号に対応する受信データだけを残し、その他を捨てる。この時点で、残された受信データは送信者と受信者との間で確実に共有できている。
【0011】
つぎに、送信者と受信者は、それぞれの通信相手に対して、共有データから選択した所定数のデータを、公開通信路を経由して送信する。そして、受け取ったデータが自身の持つデータと一致しているかどうかを確認する。たとえば、確認したデータの中に一致しないデータが1つでもあれば、盗聴者がいるものと判断して共有データを捨て、再度、鍵の共有手順を最初からやり直す。一方、確認したデータがすべて一致した場合には、盗聴者がいないと判断し、確認に使用したデータを捨て、残った共有データを送信者と受信者の共有鍵とする。
【0012】
一方、上記従来の量子鍵配送方法の応用として、たとえば、伝送路上におけるデータ誤りを訂正可能な量子鍵配送方法がある(たとえば、非特許文献2参照。)。
【0013】
この方法では、送信者が、データ誤りを検出するために、送信データを複数のブロックに分割し、ブロック毎のパリティを公開通信路上に送信する。そして、受信者が、公開通信路を経由して受け取ったブロック毎のパリティと受信データにおける対応するブロックのパリティとを比較して、データ誤りをチェックする。このとき、異なるパリティがあった場合、受信者は、どのブロックのパリティが異なっているのかを示す情報を公開通信路上に返信する。そして、送信者は、該当するブロックをさらに前半部のブロックと後半部のブロックに分割し、たとえば、前半部のパリティを公開通信路上に返信する(二分探索)。以降、送信者と受信者は、上記二分探索を繰り返し実行することによりエラービットの位置を特定し、最終的に受信者がそのビットを訂正する。
【0014】
さらに、送信者は、データに誤りがあるにもかかわらず、偶数個の誤りのために正しいと判定されたパリティがある場合を想定し、送信データをランダムに並べ替えて(ランダム置換)複数のブロックに分割し、再度、上記二分探索による誤り訂正処理を行う。そして、ランダム置換によるこの誤り訂正処理を繰り返し実行することによって、すべてのデータ誤りを訂正する。
【0015】
【非特許文献1】
Bennett, C. H. and Brassard, G.: Quantum Cryptography: Public Key Distribution and Coin Tossing, In Proceedings of IEEE Conference on Computers, System and Signal Processing, Bangalore, India, pp.175-179 (DEC.1984).
【非特許文献2】
Brassard, G. and Salvail, L. 1993 Secret-Key Reconciliation by Public Discussion, In Advances in Cryptology - EUROCRYPT'93, Lecture Notes in Computer Science 765, 410-423.
【0016】
【発明が解決しようとする課題】
しかしながら、上記図8に示す従来の量子鍵配送においては、誤り通信路を想定していないため、誤りがある場合には盗聴行為が存在したものとして上記共通データ(共通鍵)を捨てることとなり、伝送路によっては共通鍵の生成効率が非常に悪くなる、という問題があった。
【0017】
また、上記伝送路上におけるデータ誤りを訂正可能な量子鍵配送方法においては、エラービットを特定するために膨大な回数のパリティのやりとりが発生し、さらに、ランダム置換による誤り訂正処理が所定回数にわたって行われるため、誤り訂正処理に多大な時間を費やすことになる、という問題があった。
【0018】
本発明は、上記に鑑みてなされたものであって、極めて高い特性を持つ誤り訂正符号を用いて伝送路上におけるデータ誤りを訂正しつつ、高度に安全性の保証された共通鍵を生成することが可能な量子鍵配送方法を得ることを目的とする。
【0019】
【課題を解決するための手段】
上述した課題を解決し、目的を達成するために、本発明にかかる量子鍵配送方法にあっては、量子通信路上の光子の測定結果から得られるデータに含まれる、偏光方向を正しく識別可能な測定器で測定した確率情報付きの受信データ、の誤りを訂正することによって、元の送信データを推定する方法として、たとえば、送信側および受信側の通信装置が、同一のパリティ検査行列(要素が「0」または「1」の行列)を生成する検査行列生成ステップと、前記送信側の通信装置が、前記パリティ検査行列と前記送信データに基づく誤り訂正情報を、公開通信路を介して前記受信側の通信装置に通知する誤り訂正情報通知ステップと、前記受信側の通信装置が、前記誤り訂正情報および前記確率情報付きの受信データに基づいて前記送信データを推定する誤り訂正ステップと、を含むことを特徴とする。
【0020】
この発明によれば、量子暗号システムを構成する通信装置が、極めて高い特性をもつLDPC符号用のパリティ検査行列を用いて誤り訂正を行うことにより、短時間で伝送路上におけるデータ誤りを訂正し、さらに高度に安全性の保証された共通鍵を生成する。
【0021】
【発明の実施の形態】
以下に、本発明にかかる量子鍵配送方法の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。また、以下では、例として偏光を利用する量子鍵配送について説明するが、本発明は、たとえば、位相を利用するもの,周波数を利用するもの等にも適用可能であり、どのような量子状態を利用するかについては特に限定しない。
【0022】
実施の形態1.
量子鍵配送は、盗聴者の計算能力によらず、安全性の保証された鍵配送方式であるが、たとえば、より効率よく共有鍵を生成するためには、伝送路を通ることによって発生するデータの誤りを取り除く必要がある。そこで、本実施の形態では、極めて高い特性をもつことが知られている低密度パリティ検査(LDPC::Low-Density Parity-Check)符号を用いて誤り訂正を行う量子鍵配送について説明する。
【0023】
図1は、本発明にかかる量子暗号システム(送信側および受信側の通信装置)の構成を示す図である。この量子暗号システムは、情報maを送信する機能を備えた送信側の通信装置と、伝送路上で雑音等の影響を受けた情報ma、すなわち情報mbを受信する機能を備えた受信側の通信装置と、から構成される。
【0024】
また、送信側の通信装置は、量子通信路を介して情報maを送信し、公開通信路を介してシンドロームSAを送信し、これらの送信情報に基づいて暗号鍵(受信側との共通鍵)を生成する暗号鍵生成部1と、暗号化部21が暗号鍵に基づいて暗号化したデータを、送受信部22が公開通信路を介してやりとりする通信部2と、を備え、受信側の通信装置は、量子通信路を介して情報mbを受信し、公開通信路を介してシンドロームSAを受信し、これらの受信情報に基づいて暗号鍵(送信側との共通鍵)を生成する暗号鍵生成部3と、暗号化部42が暗号鍵に基づいて暗号化したデータを、送受信部41が公開通信路を介してやりとりする通信部4と、を備える。
【0025】
上記送信側の通信装置では、量子通信路上に送信する情報maとして、偏光フィルターを用いて所定の方向に偏光させた光(図8参照)を、受信側の通信装置に対して送信する。一方、受信側の通信装置では、水平垂直方向(0°,90°)の偏光を識別可能な測定器と斜め方向(45°,135°)の偏光を識別可能な測定器とを用いて、量子通信路上の、水平方向(0°)に偏光された光と垂直方向(90°)に偏光された光と45°方向に偏光された光と135°方向に偏光された光とを識別する。なお、各測定器は、規定された方向に偏光された光については正しく認識できるが、たとえば、斜め方向に偏光された光を水平垂直方向(0°,90°)の偏光を識別可能な測定器にて測定すると、水平方向と垂直方向に偏光された光をそれぞれ50%の確率でランダムに識別する。すなわち、識別可能な偏光方向に対応していない測定器を用いた場合には、その測定結果を解析しても、偏光された方向を正しく識別することができない。
【0026】
以下、上記量子暗号システムにおける各通信装置の動作、すなわち、本実施の形態における量子鍵配送について詳細に説明する。図2は、本実施の形態の量子鍵配送の概要を示すフローチャートであり、詳細には、(a)は送信側の通信装置の処理を示し、(b)は受信側の通信装置の処理を示す。
【0027】
まず、上記送信側の通信装置および受信側の通信装置では、パリティ検査行列生成部10,30が、特定の線形符号のパリティ検査行列H(n×k)を求め、このパリティ検査行列Hから「HG=0」を満たす生成行列G((n−k)×n)を求め、さらに、G-1・G=I(単位行列)となるGの逆行列G-1(n×(n−k))を求める(ステップS1,ステップS11)。本実施の形態では、上記特定の線形符号として、シャノン限界に極めて近い優れた特性をもつLDPC符号を用いた場合の量子鍵配送について説明する。なお、本実施の形態では、誤り訂正方式としてLDPC符号を用いることとしたが、これに限らず、たとえば、ターボ符号等の他の線形符号を用いることとしてもよい。また、たとえば、後述する誤り訂正情報(シンドローム)が適当な行列Hと送信データmA(情報maの一部)の積HmAで表される誤り訂正プロトコル(たとえば、従来技術にて説明した「伝送路上におけるデータ誤りを訂正可能な量子鍵配送」に相当する誤り訂正プロトコル)であれば、すなわち、誤り訂正情報と送信データmAの線形性が確保されるのであれば、その行列Hを用いることとしてもよい。
【0028】
ここで、上記パリティ検査行列生成部10におけるLDPC符号の構成法について、詳細には、有限アフィン幾何に基づく「Irregular−LDPC符号」の構成法(図2ステップS1の詳細)について説明する。図3は、有限アフィン幾何に基づく「Irregular−LDPC符号」の構成法を示すフローチャートである。なお、パリティ検査行列生成部30については、パリティ検査行列生成部10と同様に動作するのでその説明を省略する。また、本実施の形態における検査行列生成処理は、たとえば、設定されるパラメータに応じてパリティ検査行列生成部10で実行する構成としてもよいし、通信装置外部の他の制御装置(計算機等)で実行することとしてもよい。本実施の形態における検査行列生成処理が通信装置外部で実行される場合は、生成済みの検査行列が通信装置に格納される。以降の実施の形態では、パリティ検査行列生成部10で上記処理を実行する場合について説明する。
【0029】
まず、パリティ検査行列生成部10では、「Irregular−LDPC符号」用の検査行列のベースとなる有限アフィン幾何符号AG(2,2s)を選択する(図3、ステップS21)。ここでは、行の重みと列の重みがそれぞれ2sとなる。図4は、たとえば、有限アフィン幾何符号AG(2,22)のマトリクスを示す図(空白は0を表す)である。
【0030】
つぎに、パリティ検査行列生成部10では、列の重みの最大値rl(2<rl≦2s)を決定する(ステップS22)。そして、符号化率rate(1シンドローム長/鍵の長さ)を決定する(ステップS22)。
【0031】
つぎに、パリティ検査行列生成部10では、ガウス近似法(Gaussian Approximation)による最適化を用いて、暫定的に、列の重み配分λ(γi)と行の重み配分ρuを求める(ステップS23)。なお、行の重み配分の生成関数ρ(x)はρ(x)=ρuu-1+(1−ρu)xuとする。また、重みuはu≧2の整数であり、ρuは行における重みuの割合を表す。
【0032】
つぎに、パリティ検査行列生成部10では、有限アフィン幾何の行の分割により構成可能な、行の重み{u,u+1}を選択し、さらに(1)式を満たす分割係数{bu,bu+1}を求める(ステップS24)。なお、bu,bu+1は非負の整数とする。
u+bu+1(u+1)=2s …(1)
【0033】
具体的には、下記(2)式からbuを求め、上記(1)式からbu+1を求める。
【0034】
【数1】

Figure 0004459526
【0035】
つぎに、パリティ検査行列生成部10では、上記決定したパラメータu,u+1,bu,bu+1によって(上記行の分割処理によって)更新された行の重みの比率ρu´,ρu+1´を(3)式により求める(ステップS25)。
【0036】
【数2】
Figure 0004459526
【0037】
つぎに、パリティ検査行列生成部10では、ガウス近似法による最適化を用いて、さらに上記で求めたu,u+1,ρu´,ρu+1´を固定のパラメータとして、暫定的に、列の重み配分λ(γi)を求める(ステップS26)。なお、重みγiはγi≧2の整数であり、λ(γi)は列における重みγiの割合を表す。また、列数が1以下となる重み(λ(γi)≦γi/wt,iは正の整数)を候補から削除する。ただし、wtはAG(2,2s)に含まれる1の総数を表す。
【0038】
つぎに、上記で求めた重み配分を満たし、かつ下記(4)式を満たす、列の重み候補のセット{γ1,γ2,…γl(γl≦2s)}を選択する(ステップS27)。そして、下記の(4)式を満たさない列の重みγiが存在する場合には、その列の重みを候補から削除する。
【0039】
【数3】
Figure 0004459526
【0040】
なお、各aは、列の重み2sを構成するための{γ1,γ2,…γl}に対する非負の整数となる係数を表し、i,jは正の整数であり、γiは列の重みを表し、γlは列の最大重みを表す。
【0041】
つぎに、パリティ検査行列生成部10では、ガウス近似法による最適化を用いて、さらに上記で求めたu,u+1,ρu´,ρu+1´と{γ1,γ2,…γl}を固定パラメータとして、列の重み配分λ(γi)と行の重み配分ρuを求める(ステップS28)。
【0042】
つぎに、パリティ検査行列生成部10では、分割処理を行う前に、列の重み配分λ(γi)と行の重み配分ρuを調整する(ステップS29)。なお、調整後の各重みの配分は、可能な限りガウス近似法で求めた値に近い値にする。図5は、ステップS29における最終的な列の重み配分λ(γi)と行の重み配分ρuを示す図である。
【0043】
最後に、パリティ検査行列生成部10では、有限アフィン幾何における行および列を分割して(ステップS30)、n×kのパリティ検査行列Hを生成する。本発明における有限アフィン幾何符号の分割処理は、規則的に分割するのではなく、各行または各列から「1」の番号をランダムに抽出する(後述するランダム分割の具体例を参照)。なお、この抽出処理は、ランダム性が保持されるのであればどのような方法を用いてもよい。
【0044】
具体的にいうと、EG(2,25)における1列中の「1」の行番号が、
l(x)={1 32 114 136 149 223 260 382 402 438 467 507 574 579 588 622 634 637 638 676 717 728 790 851 861 879 947 954 971 977 979 998}
の場合、分割後の行列における1〜4列目Rm(n)は、Bl(x)から「1」の番号がランダムに抽出され、たとえば、
1(n)={1 114 574 637 851 879 977 979}
2(n)={32 136 402 467 588 728 861 971}
3(n)={149 260 382 438 579 638 717 998}
4(n)={223 507 622 634 676 790 947 954}
となる。
【0045】
ここで、上記ランダム分割の一例、すなわち、上記「乱数系列のラテン方陣を用いた分割方法」を詳細に説明する。ここでは、ランダム分割を行う場合のランダム系列を容易かつ確定的に生成する。この方法による利点は、送信側と受信側が同じランダム系列を生成できることにある。
【0046】
(1)基本のランダム系列を作成する。ここでは、有限アフィン幾何AG(2,2s)を用い、PをP≧2sを満たす最小の素数とした場合の、基本のランダム系列C(i)を(5)式にしたがって作成する。
C(1)=1
C(i+1)=G0×C(i) mod P …(5)
なお、i=0,1,…,P−2とし、G0はガロア体GF(P)の原始元である。また、系列長が2sとなるように、2sより大きい数をC(i)の中から削除し、削除後のC(i)を基本のランダム系列とする。
【0047】
(2)基本のランダム系列C(i)を一定間隔で読み出すためにスキップ間隔S(j)を以下の(6)式のように定義する。
S(j)=j j=1,2,…,2s …(6)
【0048】
(3)以下の(7)式で置換パターンLBj(i)を作成する。
LBj(i)=((S(j)×i) mod P)+1
j=1,2,…,2s
i=1,2,…,P−1 …(7)
なお、LBj(i)も2sより大きい数字は削除する。
【0049】
(4)q列i行でj番目のラテン方陣行列Ljq(i)を以下の(8)式で算出する。
jq(i)=LBj(((q+i−2) mod 2s)+1)
j=1,2,…,2s
i=1,2,…,2s
q=1,2,…,2s …(8)
【0050】
(5)ラテン方陣行列Ljq(i)にしたがって列と行を分割する。列の分割では、g0,g0,…,gn-1をパリティ検査行列Hの列ベクトルとし、gc´(k)をgc,c=0,1,…,n−1の列の中のk番目の「1」とする。また、gcの中の「1」の位置の集合をGcとする((9)式参照)。
c={gc´(k),k=1,2,…,2s} …(9)
たとえば、AG(2,23)のc=1番目の列の「1」の行番号は、G1={1 3 8 20 23 24 34 58}となる。そして、このc列目の列ベクトルをgc´(k)で表現すると、(10)式のように表すことができる。
c´(1)=((c−1)+1)mod(22s−1)
c´(2)=(gc´(1)+2)mod(22s−1)
c´(3)=(gc´(2)+5)mod(22s−1)
c´(4)=(gc´(3)+12)mod(22s−1)
c´(5)=(gc´(4)+3)mod(22s−1)
c´(6)=(gc´(5)+1)mod(22s−1)
c´(7)=(gc´(6)+10)mod(22s−1)
c´(8)=(gc´(7)+24)mod(22s−1) …(10)
【0051】
ここで、パリティ検査行列Hの各列gcを、上記(4)式を満たす列の次数と係数に基づいて、新しい列gc,eに分割する。そして、gc,e´(r)を新しい列gc,eの中のr行目の「1」とする。また、gc,eの中の「1」の位置の集合をGc,eとする((11)式参照)。
c,e={gc,e´(r),r=1,2,…} …(11)
【0052】
そして、ラテン方陣行列群を用いて、下記(12)式にしたがって分割するエッジの選択を行う。なお、at,1,at,2,…,at,lとγ1,γ2,…,γlは、上記式(4)を満たす係数と次数である。また、tは(4)式の係数行列の行番号を示している。また、t行目の式で分割する有限アフィン平面の列数をntとし、係数行列の行番号の最大値をtmとすると、tは(13)式で表すことができる。
【0053】
【数4】
Figure 0004459526
【0054】
【数5】
Figure 0004459526
【0055】
つぎに、上記(1)〜(4)の分割処理を、具体例を挙げて説明する。例として、AG(2,23)のc=16番目の列の「1」の行番号をG16={10 16 18 23 35 38 39 49}と定義する。図6は、ランダム系列のラテン方陣行列による分割手順を示す図である。図示のラテン方陣行列Ljq(i)の結果を用いて手順(5)を実行すると、新しい列g16,eの中の「1」は(14)式のように表すことができる。
16,1´(1)=g16´(L2,8(1))=g16´(3)=18
16,1´(2)=g16´(L2,8(2))=g16´(2)=16
16,2´(1)=g16´(L2,8(3))=g16´(8)=49
16,2´(2)=g16´(L2,8(4))=g16´(7)=39
16,3´(1)=g16´(L2,8(5))=g16´(6)=38
16,3´(2)=g16´(L2,8(6))=g16´(1)=10
16,4´(1)=g16´(L2,8(7))=g16´(4)=23
16,4´(2)=g16´(L2,8(8))=g16´(5)=35 …(14)
【0056】
その結果、16番目の列は以下のように分割される。
16,1={18 16}
16,2={49 39}
16,3={38 10}
16,4={23 35}
【0057】
このように、本実施の形態では、上記有限アフィン幾何に基づく「Irregular−LDPC符号」の構成法(図2、ステップS1)を実行することによって、確定的で特性が安定した「Irregular−LDPC符号」用の検査行列H(n×k)を生成することができる。
【0058】
上記のように、パリティ検査行列H,生成行列G,G-1(G-1・G=I:単位行列)を生成後、つぎに、送信側の通信装置では、乱数発生部11が、乱数列ma(1,0の列:送信データ)を発生し、さらに送信コード(+:水平垂直方向に偏光された光を識別可能な測定器に対応したコード,×:斜め方向に偏光された光を識別可能な測定器に対応したコード)をランダムに決定する(ステップS2)。一方、受信側の装置では、乱数発生部31が、受信コード(+:水平垂直方向に偏光された光を識別可能な測定器に対応したコード,×:斜め方向に偏光された光を識別可能な測定器に対応したコード)をランダムに決定する(ステップS12)。
【0059】
つぎに、送信側の通信装置では、光子生成部12が、上記乱数列maと送信コードの組み合わせで自動的に決まる偏光方向で光子を送信する(ステップS3)。たとえば、0と+の組み合わせで水平方向に偏光された光を、1と+の組み合わせで垂直方向に偏光された光を、0と×の組み合わせで45°方向に偏光された光を、1と×の組み合わせで135°方向に偏光された光を、量子通信路にそれぞれ送信する(送信信号)。
【0060】
光子生成部12にて生成した光信号を受け取った受信側の通信装置の光子受信部32では、量子通信路上の光を測定する(受信信号)。そして、受信コードと受信信号の組み合わせによって自動的に決まる受信データmbを得る(ステップS13)。ここでは、受信データmbとして、水平方向に偏光された光と+の組み合わせで0を、垂直方向に偏光された光と+の組み合わせで1を、45°方向に偏光された光と×の組み合わせで0を、135°方向に偏光された光と×の組み合わせで0を、それぞれ得る。なお、受信データmbは、確率情報付きの硬判定値とする。
【0061】
つぎに、受信側の通信装置では、上記測定が正しい測定器で行われたものかどうかを調べるために、乱数発生部31が、受信コードを、公開通信路を介して送信側の通信装置に対して送信する(ステップS13)。受信コードを受け取った送信側の通信装置では、上記測定が正しい測定器で行われたものかどうかを調べ、その結果を、公開通信路を介して受信側の通信装置に対して送信する(ステップS3)。そして、受信側の通信装置および送信側の通信装置では、正しい測定器で受信した受信信号に対応するデータだけを残し、その他を捨てる(ステップS3,S13)。その後、残ったデータをメモリ等に保存し、その先頭から順にnビットを読み出し、これを、正式な送信データmAと受信データmB(mBは伝送路上で雑音等の影響を受けたmA:mB=mA+e(雑音等))とする。すなわち、ここでは、必要に応じてつぎのnビットを読み出して、送信データmAと受信データmBを生成する。本実施の形態では、残ったデータのビット位置が、送信側の通信装置と受信側の通信装置との間で共有できている。なお、mBは、上記mb同様、確率情報付きの硬判定値である。
【0062】
つぎに、送信側の通信装置では、シンドローム生成部14が、パリティ検査行列H(n×k)と送信データmAを用いてmAのシンドロームSA=HmAを計算し、その結果を、公開通信路通信部13,公開通信路を介して受信側の通信装置に通知する(ステップS4)。この段階で、mAのシンドロームSA(kビット分の情報)は盗聴者に知られる可能性がある。一方、受信側の通信装置では、公開通信路通信部34にてmAのシンドロームSAを受信し、それをシンドローム復号部33に通知する(ステップS14)。
【0063】
シンドローム復号部33では、本実施の形態のシンドローム復号法を用いて、雑音等による確率情報付きの硬判定値mBの誤りを訂正することによって元の送信データmAを推定する(ステップS15)。ここでは、「SA=HmC」を満たすmCを確率情報付きの硬判定値mBから推定し、その推定結果mCを共有情報mAとする。以下、本実施の形態のシンドローム復号法を詳細に説明する。
【0064】
図7は、本実施の形態のシンドローム復号法を示すフローチャートである。なお、上記のように、2元のn(列)×k(行)の検査行列Hを想定した場合、i列(1≦i≦n)j行(1≦j≦k)目の要素をHijと表記する。また、受信データmBをmB=(mB1,mB2,…,mBn)とし、推定語(硬判定値)mCをmC=(mC1,mC2,…,mCn)とする。また、mAのシンドロームSAをSA=(SA1,SA2,…,SAk)、また、通信路としては、条件付確率P(mB|mC=mA)で記述される無記憶通信路を想定する。
【0065】
まず、シンドローム復号部33では、初期設定として、Hij=1を満たす全ての列と行の組み合わせ(i,j)の事前値をqij(0)=1/2,qij(1)=1/2とする。qij(0)はHijが「0」である確率を表し、qij(1)はHijが「1」である確率を表す。そして、復号の反復回数を示すカウンタ値をl=1(イテレーション:1回)とし、さらに、最大反復回数lmaxを設定する(ステップS31)。
【0066】
つぎに、シンドローム復号部33では、j=1,2,…,kの順に、Hij=1を満たす全ての列と行の組み合わせ(i,j)について外部値rij(0)とrij(1)を更新する(ステップS32)。本実施の形態においては、たとえば、j(1≦j≦k)番目のシンドロームSAjが「0」の場合、更新式(15),更新式(16)を用いて外部値rij(0)とrij(1)を更新する。
【0067】
【数6】
Figure 0004459526
【0068】
【数7】
Figure 0004459526
【0069】
一方、j(1≦j≦k)番目のシンドロームSAjが「1」の場合は、更新式(17),更新式(18)を用いて外部値rij(0)とrij(1)を更新する。
【0070】
【数8】
Figure 0004459526
【0071】
【数9】
Figure 0004459526
【0072】
なお、上記Kは、「rij(0)+rij(1)=1」が成り立つように規定された値(正規化するための値)とする。また、上記P(mB|mC)は、条件付確率、すなわち、推定語mCが「0」または「1」の場合における受信データmBの確率を表す。また、上記部分集合A(i)は、検査行列Hのi列目において「1」が立っている行インデックスの集合を表し、部分集合B(j)は、検査行列Hのj行目において「1」が立っている列インデックスの集合を表す。
【0073】
上記更新処理を具体的に記載すると、たとえば、SAj=0,j=1,かつHi1=1を満たす全ての列と行の組み合わせが(i,1)=(3,1)(4,1)(5,1)の場合、式(15),式(16)が適用され、外部値r31(0),r31(1)が式(19),式(20)のように更新される。すなわち、H31以外のH41,H51を用いて、外部値r31(0),r31(1)を更新する。ここでは、検査行列Hの3列1行目が「0」である確率と「1」である確率をそれぞれ求めている。
【0074】
【数10】
Figure 0004459526
【0075】
【数11】
Figure 0004459526
【0076】
つぎに、シンドローム復号部33では、i=1,2,…,nの順に、Hij=1を満たす全ての列と行の組み合わせ(i,j)について事前値qij(0)とqij(1)を更新する(ステップS33)。この更新処理は、式(21),式(22)にて表すことができる。
【0077】
【数12】
Figure 0004459526
【0078】
【数13】
Figure 0004459526
【0079】
なお、上記K´は、「qij(0)+qij(1)=1」が成り立つように規定された値(正規化するための値)とする。
【0080】
上記更新処理を具体的に記載すると、たとえば、i=3,かつH1j=1を満たす全ての列と行の組み合わせが(3,j)=(3,1)(3,2)(3,3)の場合、式(21),式(22)が適用され、事前値q31(0),q31(1)が式(23),式(24)のように更新される。すなわち、H31以外のH32,H33を用いて、事前値q31(0),q31(1)を更新する。
【0081】
【数14】
Figure 0004459526
【0082】
【数15】
Figure 0004459526
【0083】
つぎに、シンドローム復号部33では、事後確率(条件付確率×事前値)Qi(0),Qi(1)を求め、この事後確率から一時推定語mC´=(mC1´,mC2´,…,mCn´)を求める(ステップS34)。すなわち、式(25),式(26)の計算結果に基づいて、式(27)における一時推定語を得る。ここでは、イテレーション1回毎に判定処理を行う。
【0084】
【数16】
Figure 0004459526
【0085】
【数17】
Figure 0004459526
【0086】
【数18】
Figure 0004459526
【0087】
なお、上記K´´は、「Qi(0)+Qi(1)=1」が成り立つように規定された値(正規化するための値)とする。また、条件付確率P(mB|mC=0)は、式(28),式(29)のように定義され、pはビット誤り率を表す。
【0088】
【数19】
Figure 0004459526
【0089】
【数20】
Figure 0004459526
【0090】
つぎに、シンドローム復号部33では、一時推定語mC´が送信データmAといえるかどうかを検査する(ステップS35)。ここでは、たとえば、mC´=(mC1´,mC2´,…,mCn´)が「mC´×HT A 」という条件を満たしていれば(ステップS36、Yes)、当該mC´を推定語mC=(mC1,mC2,…,mCn)として、すなわち、元の送信データmA=(mA1,mA2,…,mAn)として出力し、このアルゴリズムを終了する。
【0091】
一方、上記条件を満たさない場合で、かつl<lmaxの場合は(ステップS36、No)、カウンタ値lをインクリメントし、ステップS32の処理を上記更新された値を用いて再度実行する。以降、上記条件を満たすまで(l<lmaxの範囲で)、更新された値を用いてステップS32〜S36の処理を繰り返し実行する。
【0092】
このように、上記本実施の形態の量子鍵配送で採用するシンドローム復号法においては、従来技術にて記載した誤り訂正で発生していた「エラービットを特定するための膨大な回数のパリティのやりとり(二分探索)」を排除し、極めて高い特性(誤り訂正能力)をもつLDPC符号用のパリティ検査行列を用いて誤り訂正を行うこととした。これにより、短時間で伝送路上におけるデータ誤りを訂正しつつ、高度に安全性の保証された共通鍵を生成することができる。
【0093】
また、本実施の形態においては、受信データmBおよびmbを確率情報付きの硬判定値としたが、これに限らず、たとえば、軟判定値としてもよい。
【0094】
最後に、受信側の通信装置では、共有鍵生成部35が、公開された誤り訂正情報(盗聴された可能性のある上記kビット分の情報:SA)に応じて共有情報(mA)の一部を捨てて、n−kビット分の情報量を備えた暗号鍵rを生成する(ステップS16)。すなわち、共有鍵生成部35では、先に計算しておいたG-1(n×(n−k))を用いて下記(30)式により暗号鍵rを生成する。受信側の通信装置は、この暗号鍵rを送信側の通信装置との共有鍵とする。
r=G-1A …(30)
【0095】
一方、送信側の通信装置においても、共有鍵生成部15が、公開された誤り訂正情報(盗聴された可能性のある上記kビット分の情報:SA)に応じて共有情報(mA)の一部を捨てて、n−kビット分の情報量を備えた暗号鍵rを生成する(ステップS5)。すなわち、共有鍵生成部15では、先に計算しておいたG-1(n×(n−k))を用いて上記(30)式により暗号鍵rを生成する(ステップS5)。送信側の通信装置は、この暗号鍵rを受信側の通信装置との共有鍵とする。
【0096】
なお、本実施の形態においては、さらに、正則なランダム行列Rを用いて上記共有鍵を並べ替える構成としてもよい。これにより、秘匿性を増強させることができる。具体的には、まず、送信側の通信装置が、正則なランダム行列R((n−k)×(n−k))を生成し、さらに、当該Rを、公開通信路を介して受信側の通信装置に通知する。なお、この処理は、受信側の通信装置で行うこととしてもよい。その後、送信側および受信側の通信装置が、先に計算しておいたG-1(n×(n−k))とランダム行列Rを用いて下記(31)式により暗号鍵rを生成する。
r=RG-1A …(31)
【0097】
このように、本実施の形態おいては、確定的で特性が安定した「Irregular−LDPC符号」用のパリティ検査行列を用いて共有情報のデータ誤りを訂正し、公開された誤り訂正情報に応じて共有情報の一部を捨てる構成とした。これにより、エラービットを特定/訂正するための膨大な回数のパリティのやりとりがなくなり、誤り訂正情報を送信するだけで誤り訂正制御が行われるため、誤り訂正処理にかかる時間を大幅に短縮できる。また、公開された情報に応じて共有情報の一部を捨てているので、高度に安全性の保証された共通鍵を生成することができる。
【0098】
なお、本実施の形態では、HG=0を満たす生成行列G((n−k)×n)から、G-1・G=I(単位行列)となる逆行列G-1(n×(n−k))を生成し、当該逆行列G-1を用いて共有情報(n)の一部(k)を捨てて、n−kビット分の情報量を備えた暗号鍵rを生成することとしたが、これに限らず、共有情報(n)の一部を捨てて、m(m≦n−k)ビット分の情報量を備えた暗号鍵rを生成することとしてもよい。具体的にいうと、n次元ベクトルをm次元ベクトルに写す写像F(・)を想定する。F(・)は、共有鍵の安全性を保証するために、「任意のm次元ベクトルvに対して、写像Fと生成行列Gの合成写像F・Gにおける逆像(F・G)-1(v)の元の個数がvによらず一定(2n-k-m)である」、という条件を満たす必要がある。このとき、共有鍵rは、r=F(mA)となる。
【0099】
また、本実施の形態においては、ステップS5,S16の処理で、生成行列G-1を用いずに、パリティ検査行列Hの特性を用いて共有情報の一部を捨てる構成としてもよい。具体的には、まず、共有鍵生成部15,35が、上記ステップS1,S11で生成したパリティ検査行列Hの列に対してランダム置換を行う。そして、通信装置間で捨てるビットに関する情報を、公開通信路を介して交換する。たとえば、元の有限アフィン幾何AG(2,2s)の1列目の中から特定の「1」を選び、その位置を、公開通信路を介して交換する。その後、共有鍵生成部15,35が、上記置換後のパリティ検査行列から上記「1」に対応する分割後の位置、および巡回シフトされた各列における上記「1」に対応する分割後の位置を特定し、その特定した位置に対応する共有情報mA内のビットを捨てて、残りのデータを暗号鍵rとする。これにより、複雑な生成行列G,G-1の演算処理を削除することができる。
【0100】
【発明の効果】
以上、説明したとおり、本発明によれば、量子暗号システムを構成する通信装置が、従来技術における誤り訂正で発生していた「エラービットを特定するための膨大な回数のパリティのやりとり(二分探索)」を排除し、極めて高い特性をもつLDPC符号用のパリティ検査行列を用いて誤り訂正を行うこととした(上記シンドローム復号法に相当)。これにより、短時間で伝送路上におけるデータ誤りを訂正しつつ、高度に安全性の保証された共通鍵を生成することができる、という効果を奏する。
【図面の簡単な説明】
【図1】 本発明にかかる量子暗号システムの構成を示す図である。
【図2】 量子鍵配送を示すフローチャートである。
【図3】 有限アフィン幾何に基づく「Irregular−LDPC符号」の構成法を示すフローチャートである。
【図4】 有限アフィン幾何符号AG(2,22)のマトリクスを示す図である。
【図5】 最終的な列の重み配分λ(γi)と行の重み配分ρuを示す図である。
【図6】 ランダム系列のラテン方陣行列による分割手順を示す図である。
【図7】 シンドローム復号法を示すフローチャートである。
【図8】 従来の量子鍵配送の概要を示す図である。
【符号の説明】
1,3 暗号鍵生成部、2,4 通信部、10,30 パリティ検査行列生成部、11,31 乱数発生部、12 光子生成部、13,34 公開通信路通信部、14 シンドローム生成部、15,35 共有鍵生成部、21,42 暗号化部、22,41 送受信部、32 光子受信部、33 シンドローム復号部。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a quantum key distribution method capable of generating a highly secure common key, and in particular, a quantum key distribution method capable of correcting a data error using an error correction code and The present invention relates to a communication device capable of realizing quantum key distribution.
[0002]
[Prior art]
Hereinafter, a conventional quantum cryptography system will be described. In recent years, optical communication is widely used as a high-speed and large-capacity communication technology. In such an optical communication system, communication is performed by turning on / off light, and a large number of photons are transmitted when turned on. Therefore, it is not a communication system in which the quantum effect appears directly.
[0003]
On the other hand, in a quantum cryptography system, photons are used as a communication medium, and 1-bit information is transmitted by one photon so that a quantum effect such as an uncertainty principle occurs. At this time, if the eavesdropper appropriately selects a base without knowing the quantum state such as polarization and phase and measures a photon, the quantum state changes. Therefore, on the receiving side, it is possible to recognize whether or not the transmission data has been wiretapped by confirming the change in the quantum state of the photon.
[0004]
FIG. 8 is a diagram showing an outline of conventional quantum key distribution using polarized light. For example, a measuring instrument capable of discriminating horizontal and vertical polarization correctly discriminates between light polarized in the horizontal direction (0 °) and light polarized in the vertical direction (90 °) on the quantum communication path. On the other hand, a measuring device capable of discriminating polarized light in an oblique direction (45 °, 135 °) correctly identifies light polarized in the 45 ° direction and light polarized in the 135 ° direction on the quantum communication path.
[0005]
In this way, each measuring device can correctly recognize light polarized in a prescribed direction, but can identify light polarized in an oblique direction in the horizontal and vertical directions (0 °, 90 °), for example. When measured with a simple measuring instrument, light polarized in the horizontal and vertical directions is randomly identified with a probability of 50%. That is, when a measuring instrument that does not correspond to an identifiable polarization direction is used, even if the measurement result is analyzed, the polarized direction cannot be correctly identified.
[0006]
In the conventional quantum key distribution shown in FIG. 8, a key is shared between a sender and a receiver without being known to an eavesdropper by utilizing the uncertainty (randomness) (for example, Non-Patent Document 1). reference.). In addition, the sender and the receiver can use the public communication channel in addition to the quantum communication channel.
[0007]
Here, a key sharing procedure will be described. First, the sender generates a random number sequence (sequence of 1, 0: transmission data), and further transmits a transmission code (+: corresponds to a measuring device that can identify light polarized in the horizontal and vertical directions, x: in an oblique direction (Corresponding to a measuring device capable of discriminating polarized light) is determined at random. The combination of the random number sequence and the transmission code automatically determines the polarization direction of the transmitted light. Here, the light polarized in the horizontal direction by the combination of 0 and +, the light polarized in the vertical direction by the combination of 1 and +, the light polarized in the 45 ° direction by the combination of 0 and x, 1 The light polarized in the 135 ° direction by the combination of and x is transmitted to the quantum communication path (transmission signal).
[0008]
  Next, the receiver randomly determines a reception code (+: a measuring device that can discriminate light polarized in the horizontal and vertical directions, x: a measuring device that can discriminate light polarized in the oblique direction), and quantum The light on the communication path is measured (received signal). Then, received data is obtained by a combination of the received code and the received signal. Here, as received data, a combination of light polarized in the horizontal direction and + is 0, a combination of light polarized in the vertical direction and + is 1, and a combination of light polarized in the 45 ° direction and x is x. 0 with a combination of light polarized in the 135 ° direction and x1Respectively.
[0009]
Next, the receiver transmits the reception code to the sender via the public communication path in order to check whether or not the measurement is performed by the correct measuring device. The sender who has received the reception code checks whether or not the transmission is performed by a correct measuring device, and returns the result to the receiver via the public communication path.
[0010]
Next, the receiver leaves only the received data corresponding to the received signal received by the correct measuring instrument and discards the others. At this point, the remaining received data can be reliably shared between the sender and the receiver.
[0011]
Next, the sender and the receiver transmit a predetermined number of data selected from the shared data to the respective communication partners via the public communication path. Then, it confirms whether the received data matches the data it has. For example, if at least one of the confirmed data does not match, it is determined that there is an eavesdropper, the shared data is discarded, and the key sharing procedure is restarted from the beginning. On the other hand, if all the confirmed data matches, it is determined that there is no eavesdropper, the data used for confirmation is discarded, and the remaining shared data is used as a shared key between the sender and the receiver.
[0012]
On the other hand, as an application of the conventional quantum key distribution method, for example, there is a quantum key distribution method capable of correcting a data error on a transmission path (see, for example, Non-Patent Document 2).
[0013]
In this method, in order to detect a data error, the sender divides transmission data into a plurality of blocks and transmits the parity for each block on the public communication path. The receiver then checks the data error by comparing the parity for each block received via the public communication path with the parity of the corresponding block in the received data. At this time, when there are different parities, the receiver returns information indicating which blocks have different parities on the public communication path. Then, the transmitter further divides the corresponding block into a first half block and a second half block, and returns, for example, the first half parity on the public communication path (binary search). Thereafter, the sender and the receiver specify the position of the error bit by repeatedly executing the binary search, and the receiver finally corrects the bit.
[0014]
Further, the sender assumes that there is parity determined to be correct due to an even number of errors even though there is an error in the data, and rearranges the transmission data randomly (random replacement). Dividing into blocks, the error correction processing by the binary search is performed again. All the data errors are corrected by repeatedly executing this error correction process by random replacement.
[0015]
[Non-Patent Document 1]
Bennett, C. H. and Brassard, G .: Quantum Cryptography: Public Key Distribution and Coin Tossing, In Proceedings of IEEE Conference on Computers, System and Signal Processing, Bangalore, India, pp.175-179 (DEC.1984).
[Non-Patent Document 2]
Brassard, G. and Salvail, L. 1993 Secret-Key Reconciliation by Public Discussion, In Advances in Cryptology-EUROCRYPT'93, Lecture Notes in Computer Science 765, 410-423.
[0016]
[Problems to be solved by the invention]
However, the conventional quantum key distribution shown in FIG. 8 does not assume an error communication path, so if there is an error, the common data (common key) is discarded as if there is an eavesdropping action. There is a problem that the generation efficiency of the common key becomes very poor depending on the transmission path.
[0017]
In addition, in the quantum key distribution method capable of correcting data errors on the transmission path, a huge number of parity exchanges occur in order to specify error bits, and error correction processing by random replacement is performed a predetermined number of times. Therefore, there is a problem that a great deal of time is spent on error correction processing.
[0018]
The present invention has been made in view of the above, and generates a highly secure common key while correcting a data error on a transmission path using an error correction code having extremely high characteristics. The purpose is to obtain a quantum key distribution method capable of
[0019]
[Means for Solving the Problems]
In order to solve the above-described problems and achieve the object, the quantum key distribution method according to the present invention can correctly identify the polarization direction included in the data obtained from the measurement result of the photons on the quantum communication path. As a method of estimating the original transmission data by correcting the error of the reception data with probability information measured by the measuring device, for example, the communication device on the transmission side and the reception side have the same parity check matrix (the element is A check matrix generation step for generating a matrix of “0” or “1”, and the transmission-side communication apparatus receives the error correction information based on the parity check matrix and the transmission data via the public communication path An error correction information notifying step for notifying the communication device on the side, and the communication device on the receiving side transmits the transmission data based on the error correction information and the reception data with the probability information. Characterized in that it comprises a, and an error correction step of estimating.
[0020]
According to the present invention, a communication device constituting a quantum cryptography system corrects a data error on a transmission path in a short time by performing error correction using a parity check matrix for an LDPC code having extremely high characteristics, Furthermore, a highly secure common key is generated.
[0021]
DETAILED DESCRIPTION OF THE INVENTION
Embodiments of a quantum key distribution method according to the present invention will be described below in detail with reference to the drawings. Note that the present invention is not limited to the embodiments. In the following, quantum key distribution using polarized light will be described as an example. However, the present invention can be applied to, for example, those using phase and those using frequency. There is no particular limitation on the use.
[0022]
Embodiment 1 FIG.
Quantum key distribution is a key distribution method that guarantees security regardless of the computational capability of an eavesdropper. For example, in order to generate a shared key more efficiently, data generated by passing through a transmission path is used. It is necessary to remove the mistake. Therefore, in this embodiment, quantum key distribution in which error correction is performed using a low-density parity check (LDPC) code that is known to have extremely high characteristics will be described.
[0023]
FIG. 1 is a diagram showing a configuration of a quantum cryptography system (transmission apparatus on the transmission side and reception side) according to the present invention. This quantum cryptography system has information maAnd a communication device on the transmission side having a function of transmitting a message and information m affected by noise on the transmission lineaI.e. information mbAnd a communication device on the receiving side having a function of receiving
[0024]
In addition, the communication device on the transmission side transmits information m via the quantum communication path.aSyndrome S via public communication pathAThe encryption key generation unit 1 that generates an encryption key (common key with the receiving side) based on the transmission information, and the data encrypted by the encryption unit 21 based on the encryption key are transmitted and received by the transmission / reception unit 22. A communication unit 2 that communicates via a public communication path, and the communication device on the receiving side transmits information m via the quantum communication path.bSyndrome S via public communication channelAThe encryption key generation unit 3 generates an encryption key (a common key with the transmission side) based on the received information, and the transmission / reception unit 41 transmits the data encrypted by the encryption unit 42 based on the encryption key. Includes a communication unit 4 that communicates via a public communication path.
[0025]
In the transmission-side communication device, information m to be transmitted on the quantum communication pathaAs described above, light polarized in a predetermined direction using a polarizing filter (see FIG. 8) is transmitted to the communication device on the receiving side. On the other hand, the communication device on the receiving side uses a measuring device that can identify polarized light in the horizontal and vertical directions (0 °, 90 °) and a measuring device that can identify polarized light in the oblique direction (45 °, 135 °), Discriminate between light polarized in the horizontal direction (0 °), light polarized in the vertical direction (90 °), light polarized in the 45 ° direction, and light polarized in the 135 ° direction on the quantum channel. . Note that each measuring device can correctly recognize light polarized in a prescribed direction, but for example, measurement capable of distinguishing polarized light in the horizontal and vertical directions (0 °, 90 °) from light polarized in an oblique direction. When measured with the instrument, light polarized in the horizontal and vertical directions is randomly identified with a probability of 50%. That is, when a measuring instrument that does not correspond to an identifiable polarization direction is used, even if the measurement result is analyzed, the polarized direction cannot be correctly identified.
[0026]
Hereinafter, the operation of each communication apparatus in the quantum cryptography system, that is, the quantum key distribution in the present embodiment will be described in detail. FIG. 2 is a flowchart showing an outline of quantum key distribution according to the present embodiment. Specifically, (a) shows processing of the communication device on the transmission side, and (b) shows processing of the communication device on the reception side. Show.
[0027]
First, in the communication device on the transmission side and the communication device on the reception side, the parity check matrix generation units 10 and 30 obtain a parity check matrix H (n × k) of a specific linear code. A generator matrix G ((n−k) × n) that satisfies “HG = 0” is obtained.-1Inverse matrix G of G where G = I (unit matrix)-1(N × (n−k)) is obtained (step S1, step S11). In the present embodiment, quantum key distribution in the case where an LDPC code having excellent characteristics very close to the Shannon limit is used as the specific linear code will be described. In this embodiment, the LDPC code is used as the error correction method. However, the present invention is not limited to this, and another linear code such as a turbo code may be used. Further, for example, error correction information (syndrome) described later has an appropriate matrix H and transmission data m.A(Information maProduct HmA(For example, an error correction protocol corresponding to “quantum key distribution capable of correcting data errors on a transmission path” described in the prior art), that is, error correction information and transmission data m.AIf the linearity is ensured, the matrix H may be used.
[0028]
Here, the configuration method of the “Irregular-LDPC code” based on the finite affine geometry (details of step S1 in FIG. 2) will be described in detail with respect to the configuration method of the LDPC code in the parity check matrix generation unit 10. FIG. 3 is a flowchart showing a configuration method of an “Irregular-LDPC code” based on finite affine geometry. Note that the parity check matrix generation unit 30 operates in the same manner as the parity check matrix generation unit 10, and thus the description thereof is omitted. Moreover, the parity check matrix generation unit 10 may perform the parity check matrix generation processing according to the present embodiment, for example, according to a set parameter, or may be performed by another control device (such as a computer) outside the communication device. It may be executed. When the check matrix generation processing in the present embodiment is executed outside the communication device, the generated check matrix is stored in the communication device. In the following embodiments, the case where the parity check matrix generation unit 10 executes the above process will be described.
[0029]
First, the parity check matrix generation unit 10 uses a finite affine geometric code AG (2, 2) that is a base of a check matrix for the “Irregular-LDPC code”.s) Is selected (step S21 in FIG. 3). Here, the row weight and the column weight are 2 respectively.sIt becomes. FIG. 4 shows, for example, a finite affine geometric code AG (2, 22) Is a diagram (blank represents 0).
[0030]
Next, in the parity check matrix generation unit 10, the maximum column weight rl(2 <rl≦ 2s) Is determined (step S22). Then, the coding rate (1 syndrome length / key length) is determined (step S22).
[0031]
Next, the parity check matrix generation unit 10 tentatively uses column-weight distribution λ (γ (γ) using Gaussian approximation (Gaussian Approximation).i) And line weight distribution ρuIs obtained (step S23). Note that the generation function ρ (x) of the row weight distribution is ρ (x) = ρuxu-1+ (1-ρu) XuAnd The weight u is an integer of u ≧ 2, and ρuRepresents the ratio of the weight u in a row.
[0032]
Next, the parity check matrix generation unit 10 selects row weights {u, u + 1} that can be configured by dividing the rows of finite affine geometry, and further, a partition coefficient {b that satisfies equation (1)u, Bu + 1} Is obtained (step S24). Bu, Bu + 1Is a non-negative integer.
bu+ Bu + 1(U + 1) = 2s      ... (1)
[0033]
Specifically, from equation (2) below, buAnd b from the above equation (1)u + 1Ask for.
[0034]
[Expression 1]
Figure 0004459526
[0035]
Next, the parity check matrix generation unit 10 determines the parameters u, u + 1, b determined above.u, Bu + 1The weight ratio ρ of the row updated byu´, ρu + 1'Is obtained from the equation (3) (step S25).
[0036]
[Expression 2]
Figure 0004459526
[0037]
Next, the parity check matrix generation unit 10 further uses u, u + 1, ρ obtained above using optimization by the Gaussian approximation method.u´, ρu + 1Temporarily, the column weight distribution λ (γi) Is obtained (step S26). The weight γiIs γi≧ 2 and λ (γi) Is the weight γ in the sequenceiThe ratio of Also, the weight (λ (γi) ≦ γi/ Wt, I is a positive integer). However, wtIs AG (2, 2s) Represents the total number of 1s included in.
[0038]
Next, a set of column weight candidates {γ satisfying the above-described weight distribution and satisfying the following expression (4):1, Γ2, ... γll≦ 2s)} Is selected (step S27). The weight γ of the column that does not satisfy the following equation (4)iIs present, the column weight is deleted from the candidates.
[0039]
[Equation 3]
Figure 0004459526
[0040]
Each a is a column weight 2sTo construct {γ1, Γ2, ... γl} Represents a non-negative integer coefficient, i and j are positive integers, and γiRepresents the weight of the column and γlRepresents the maximum weight of the column.
[0041]
Next, the parity check matrix generation unit 10 further uses u, u + 1, ρ obtained above using optimization by the Gaussian approximation method.u´, ρu + 1´ and {γ1, Γ2, ... γl} As a fixed parameter, the column weight distribution λ (γi) And line weight distribution ρuIs obtained (step S28).
[0042]
Next, the parity check matrix generation unit 10 performs the column weight distribution λ (γ before performing the division process.i) And line weight distribution ρuIs adjusted (step S29). Note that the distribution of the weights after adjustment is as close to the value obtained by the Gaussian approximation method as possible. FIG. 5 shows the final column weight distribution λ (γ in step S29.i) And line weight distribution ρuFIG.
[0043]
Finally, the parity check matrix generation unit 10 divides the rows and columns in the finite affine geometry (step S30), and generates an n × k parity check matrix H. In the finite affine geometric code division processing according to the present invention, the number “1” is randomly extracted from each row or each column instead of regular division (see a specific example of random division described later). Note that this extraction process may use any method as long as the randomness is maintained.
[0044]
Specifically, EG (2, 2Five) Row number of “1” in one column in
Bl(X) = {1 32 114 136 149 223 260 382 402 438 467 507 574 579 588 622 634 637 638 676 717 728 790 851 861 879 947 954 971 977 979 998}
In the case of the first to fourth columns R in the matrix after divisionm(N) is BlThe number “1” is randomly extracted from (x), for example,
R1(N) = {1 114 574 637 851 879 977 979}
R2(N) = {32 136 402 467 588 728 861 971}
RThree(N) = {149 260 382 438 579 638 717 998}
RFour(N) = {223 507 622 634 676 790 947 954}
It becomes.
[0045]
Here, an example of the random division, that is, the “division method using a random square Latin square” will be described in detail. Here, a random sequence for performing random division is generated easily and deterministically. An advantage of this method is that the same random sequence can be generated on the transmission side and the reception side.
[0046]
(1) Create a basic random sequence. Here, the finite affine geometry AG (2, 2s) And P is P ≧ 2sA basic random sequence C (i) in the case where the minimum prime number satisfying is satisfied is created according to the equation (5).
C (1) = 1
C (i + 1) = G0× C (i) mod P (5)
Note that i = 0, 1,..., P-2, and G0Is the primitive element of the Galois field GF (P). The sequence length is 2s2 so thatsA larger number is deleted from C (i), and C (i) after deletion is set as a basic random sequence.
[0047]
(2) In order to read out the basic random sequence C (i) at regular intervals, the skip interval S (j) is defined as the following equation (6).
S (j) = j j = 1, 2,..., 2s      (6)
[0048]
(3) Substitution pattern LB in the following formula (7)jCreate (i).
LBj(I) = ((S (j) × i) mod P) +1
j = 1, 2,..., 2s
i = 1, 2,..., P-1 (7)
LBj(I) 2sRemove larger numbers.
[0049]
(4) j-th Latin square matrix L with q columns and i rowsjq(I) is calculated by the following equation (8).
Ljq(I) = LBj(((Q + i-2) mod 2s) +1)
j = 1, 2,..., 2s
i = 1, 2,..., 2s
q = 1, 2,..., 2s          ... (8)
[0050]
(5) Latin square matrix LjqDivide columns and rows according to (i). For column splitting, g0, G0, ..., gn-1Is a column vector of the parity check matrix H and gc'(K) to gc, C = 0, 1,..., N−1, the kth “1” in the column. GcA set of positions “1” in Gc(See equation (9)).
Gc= {Gc′ (K), k = 1, 2,..., 2s} (9)
For example, AG (2, 2Three) C = 1, the row number of “1” in the first column is G1= {1 3 8 20 23 24 34 58}. The column vector of the c-th column is gcWhen expressed by ′ (k), it can be expressed as in equation (10).
gc′ (1) = ((c−1) +1) mod (22s-1)
gc'(2) = (gc'(1) +2) mod (22s-1)
gc'(3) = (gc'(2) +5) mod (22s-1)
gc'(4) = (gc'(3) +12) mod (22s-1)
gc'(5) = (gc'(4) +3) mod (22s-1)
gc'(6) = (gc'(5) +1) mod (22s-1)
gc'(7) = (gc'(6) +10) mod (22s-1)
gc'(8) = (gc'(7) +24) mod (22s-1) ... (10)
[0051]
Here, each column g of the parity check matrix HcOn the basis of the order and coefficient of the column satisfying the above equation (4), a new column gc, eDivide into And gc, e'(R) is the new column gc, e“1” in the r-th row in FIG. Gc, eA set of positions “1” in Gc, e(See equation (11)).
Gc, e= {Gc, e'(R), r = 1, 2, ...} (11)
[0052]
Then, using the Latin square matrix group, an edge to be divided is selected according to the following equation (12). At, 1, At, 2, ..., at, lAnd γ1, Γ2, ..., γlIs a coefficient and order satisfying the above equation (4). Further, t represents the row number of the coefficient matrix of the equation (4). In addition, the number of columns of the finite affine plane divided by the expression of the t-th row is ntAnd the maximum row number of the coefficient matrix is tmThen, t can be expressed by equation (13).
[0053]
[Expression 4]
Figure 0004459526
[0054]
[Equation 5]
Figure 0004459526
[0055]
Next, the division processes (1) to (4) will be described with specific examples. As an example, AG (2, 2Three) C = the row number of “1” in the 16th column is G16= {10 16 18 23 35 38 39 49} FIG. 6 is a diagram illustrating a division procedure using a Latin square matrix of a random sequence. The illustrated Latin square matrix LjqWhen procedure (5) is performed using the result of (i), a new column g16, e“1” in can be expressed as in equation (14).
g16,1'(1) = g16'(L2,8(1)) = g16'(3) = 18
g16,1'(2) = g16'(L2,8(2)) = g16'(2) = 16
g16,2'(1) = g16'(L2,8(3)) = g16'(8) = 49
g16,2'(2) = g16'(L2,8(4)) = g16'(7) = 39
g16,3'(1) = g16'(L2,8(5)) = g16'(6) = 38
g16,3'(2) = g16'(L2,8(6)) = g16'(1) = 10
g16,4'(1) = g16'(L2,8(7)) = g16'(4) = 23
g16,4'(2) = g16'(L2,8(8)) = g16'(5) = 35 (14)
[0056]
As a result, the 16th column is divided as follows.
G16,1= {18 16}
G16,2= {49 39}
G16,3= {38 10}
G16,4= {23 35}
[0057]
As described above, in this embodiment, the “Irregular-LDPC code” having a deterministic and stable characteristic is performed by executing the “Irregular-LDPC code” based on the finite affine geometry (FIG. 2, step S1). Can be generated.
[0058]
As described above, parity check matrix H, generator matrices G, G-1(G-1Next, after generating G = I: unit matrix), in the communication device on the transmission side, the random number generation unit 11 performs the random number sequence ma(Column of 1, 0: transmission data) and transmission code (+: code corresponding to a measuring device that can discriminate light polarized in the horizontal and vertical directions, x: discriminate light polarized in the oblique direction A code corresponding to a possible measuring instrument) is randomly determined (step S2). On the other hand, in the receiving apparatus, the random number generator 31 can identify the received code (+: code corresponding to a measuring device that can discriminate light polarized in the horizontal and vertical directions, x: light polarized in the oblique direction) (Corresponding to the measuring instrument) is randomly determined (step S12).
[0059]
Next, in the communication device on the transmission side, the photon generator 12 performs the random number sequence m.aAnd photons are transmitted in the polarization direction automatically determined by the combination of the transmission code (step S3). For example, light polarized in the horizontal direction with a combination of 0 and +, light polarized in the vertical direction with a combination of 1 and +, and light polarized in the 45 ° direction with a combination of 0 and x The light polarized in the 135 ° direction with the combination of × is transmitted to the quantum communication path (transmission signal).
[0060]
  Photon generator 12Generated byThe photon receiver 32 of the receiving communication device that has received the optical signal measures the light on the quantum communication path (received signal). The received data m automatically determined by the combination of the received code and the received signalbIs obtained (step S13). Here, received data mbAs follows: 0 for a combination of horizontally polarized light and +, 1 for a combination of vertically polarized light and +, 0 for a combination of 45 ° polarized light and x, 135 ° 0 is obtained for each combination of light polarized in the direction and x. Received data mbIs a hard decision value with probability information.
[0061]
Next, in the communication device on the receiving side, in order to check whether or not the above measurement has been performed by a correct measuring device, the random number generator 31 sends the received code to the communication device on the transmitting side via the public communication path. It transmits to (step S13). Upon receiving the received code, the transmitting communication device checks whether the above measurement is performed by a correct measuring device, and transmits the result to the receiving communication device via the public communication path (step S3). Then, the communication device on the reception side and the communication device on the transmission side leave only the data corresponding to the received signal received by the correct measuring instrument and discard the others (steps S3 and S13). Thereafter, the remaining data is stored in a memory or the like, n bits are read in order from the head, and this is converted into the formal transmission data m.AAnd received data mB(MBIs affected by noise on the transmission line.A: MB= MA+ E (noise etc.)). That is, here, if necessary, the next n bits are read and the transmission data mAAnd received data mBIs generated. In the present embodiment, the bit positions of the remaining data can be shared between the communication device on the transmission side and the communication device on the reception side. MBIs the above mbSimilarly, it is a hard decision value with probability information.
[0062]
Next, in the communication device on the transmission side, the syndrome generation unit 14 performs a parity check matrix H (n × k) and transmission data m.ATo mASyndrome SA= HmAAnd the result is notified to the communication device on the receiving side via the public communication channel communication unit 13 and the public communication channel (step S4). At this stage, mASyndrome SA(Information for k bits) may be known to an eavesdropper. On the other hand, in the communication device on the receiving side, the public communication channel communication unit 34ASyndrome SAIs notified to the syndrome decoding unit 33 (step S14).
[0063]
The syndrome decoding unit 33 uses the syndrome decoding method according to the present embodiment to make a hard decision value m with probability information due to noise or the like.BThe original transmission data m is corrected by correcting the error ofAIs estimated (step S15). Here, “SA= HmCMCHard decision value m with probability informationBAnd the estimation result mCShared information mAAnd Hereinafter, the syndrome decoding method of the present embodiment will be described in detail.
[0064]
FIG. 7 is a flowchart showing the syndrome decoding method of the present embodiment. As described above, when a binary n (column) × k (row) parity check matrix H is assumed, an i-th column (1 ≦ i ≦ n) j-th row (1 ≦ j ≦ k) element is HijIs written. Received data mBMB= (MB1, MB2, ..., mBn) And estimated word (hard decision value) mCMC= (MC1, MC2, ..., mCn). MASyndrome SASA= (SA1, SA2, ..., SAk) In addition, the conditional probability P (mB| mC= MA) Is assumed to be a memoryless communication path.
[0065]
First, the syndrome decoding unit 33 sets H as an initial setting.ijQ is the prior value of all column and row combinations (i, j) satisfying = 1ij(0) = 1/2, qij(1) = 1/2. qij(0) is HijRepresents the probability that is “0”, qij(1) is HijRepresents the probability of “1”. The counter value indicating the number of decoding iterations is set to l = 1 (iteration: once), and the maximum number of iterations lmaxIs set (step S31).
[0066]
Next, in the syndrome decoding unit 33, H = 1, 2,.ij= 1 for all column and row combinations (i, j) that satisfy = 1ij(0) and rij(1) is updated (step S32). In the present embodiment, for example, j (1 ≦ j ≦ k) th syndrome SAjIs “0”, the external value r using the update formula (15) and the update formula (16)ij(0) and rijUpdate (1).
[0067]
[Formula 6]
Figure 0004459526
[0068]
[Expression 7]
Figure 0004459526
[0069]
On the other hand, the j (1 ≦ j ≦ k) th syndrome SAjIs “1”, the external value r using the update formula (17) and the update formula (18)ij(0) and rijUpdate (1).
[0070]
[Equation 8]
Figure 0004459526
[0071]
[Equation 9]
Figure 0004459526
[0072]
The above K is “r”.ij(0) + rijA value (value for normalization) defined so that (1) = 1 ”holds. In addition, P (mB| mC) Is the conditional probability, ie the estimated word mCReceived data m when is "0" or "1"BRepresents the probability of. The subset A (i) represents a set of row indexes where “1” stands in the i-th column of the parity check matrix H, and the subset B (j) represents “a” in the j-th row of the parity check matrix H. 1 ”represents a set of column indexes.
[0073]
When the above update process is specifically described, for example, SAj= 0, j = 1, and Hi1When the combination of all the columns and rows satisfying = 1 is (i, 1) = (3,1) (4,1) (5,1), the expressions (15) and (16) are applied, and the external Value r31(0), r31(1) is updated as shown in equations (19) and (20). That is, H31H other than41, H51Using the external value r31(0), r31Update (1). Here, the probability that the third column and first row of the parity check matrix H is “0” and the probability that it is “1” are obtained.
[0074]
[Expression 10]
Figure 0004459526
[0075]
## EQU11 ##
Figure 0004459526
[0076]
Next, in the syndrome decoding unit 33, H = 1, 2,.ijA priori value q for all column and row combinations (i, j) that satisfy = 1ij(0) and qij(1) is updated (step S33). This update process can be expressed by equations (21) and (22).
[0077]
[Expression 12]
Figure 0004459526
[0078]
[Formula 13]
Figure 0004459526
[0079]
The above K ′ is “qij(0) + qijA value (value for normalization) defined so that (1) = 1 ”holds.
[0080]
Specifically describing the update process, for example, i = 3 and H1jWhen the combination of all the columns and rows satisfying = 1 is (3, j) = (3,1) (3,2) (3,3), Expressions (21) and (22) are applied, and Value q31(0), q31(1) is updated as shown in equations (23) and (24). That is, H31H other than32, H33Using the prior value q31(0), q31Update (1).
[0081]
[Expression 14]
Figure 0004459526
[0082]
[Expression 15]
Figure 0004459526
[0083]
Next, in the syndrome decoding unit 33, the posterior probability (conditional probability × prior value) Qi(0), Qi(1) is obtained, and from this posterior probability, the temporary estimated word mC'= (MC1', MC2', ..., mCn') Is obtained (step S34). That is, the temporary estimated word in Expression (27) is obtained based on the calculation results of Expression (25) and Expression (26). Here, the determination process is performed for each iteration.
[0084]
[Expression 16]
Figure 0004459526
[0085]
[Expression 17]
Figure 0004459526
[0086]
[Expression 18]
Figure 0004459526
[0087]
The above K ″ is “Qi(0) + QiA value (value for normalization) defined so that (1) = 1 ”holds. The conditional probability P (mB| mC= 0) is defined as in Expression (28) and Expression (29), and p represents a bit error rate.
[0088]
[Equation 19]
Figure 0004459526
[0089]
[Expression 20]
Figure 0004459526
[0090]
  Next, in the syndrome decoding unit 33, the temporary estimated word mC'Is the transmission data mAIs inspected (step S35). Here, for example, mC'= (MC1', MC2', ..., mCn') Is "mC'× HT=S A ”(Step S36, Yes), mC'Is the estimated word mC= (MC1, MC2, ..., mCn), That is, the original transmission data mA= (MA1, MA2, ..., mAn) And finish this algorithm.
[0091]
On the other hand, when the above condition is not satisfied, and l <lmaxIn the case of (No in step S36), the counter value l is incremented, and the process in step S32 is executed again using the updated value. Thereafter, until the above condition is satisfied (l <lmaxThe process of steps S32 to S36 is repeatedly executed using the updated value.
[0092]
As described above, in the syndrome decryption method employed in the quantum key distribution according to the present embodiment, a large number of parity exchanges for specifying an error bit occurred in the error correction described in the prior art. (Binary search) ”is excluded, and error correction is performed using a parity check matrix for an LDPC code having extremely high characteristics (error correction capability). This makes it possible to generate a common key with a high degree of security while correcting data errors on the transmission path in a short time.
[0093]
In the present embodiment, the received data mBAnd mbIs a hard decision value with probability information, but is not limited thereto, and may be a soft decision value, for example.
[0094]
Finally, in the communication device on the receiving side, the shared key generation unit 35 makes public error correction information (information about the k bits that may have been wiretapped: SA) Shared information (mA) Is discarded, and an encryption key r having an amount of information of n−k bits is generated (step S16). That is, in the shared key generation unit 35, the previously calculated G-1Using (n × (n−k)), the encryption key r is generated by the following equation (30). The communication device on the reception side uses this encryption key r as a shared key with the communication device on the transmission side.
r = G-1mA              ... (30)
[0095]
On the other hand, also in the communication device on the transmission side, the shared key generation unit 15 performs public error correction information (information about the k bits that may have been wiretapped: SA) Shared information (mA) Is discarded, and an encryption key r having an information amount of n−k bits is generated (step S5). That is, the shared key generation unit 15 uses the previously calculated G-1Using (n × (n−k)), the encryption key r is generated by the above equation (30) (step S5). The communication device on the transmission side uses this encryption key r as a shared key with the communication device on the reception side.
[0096]
In the present embodiment, the shared keys may be rearranged using a regular random matrix R. Thereby, confidentiality can be strengthened. Specifically, first, the communication device on the transmission side generates a regular random matrix R ((n−k) × (n−k)), and further, the R is transmitted to the reception side via the public communication path. To the communication device. Note that this processing may be performed by a communication device on the receiving side. After that, the transmitter and receiver communication devices calculate G-1Using (n × (n−k)) and the random matrix R, the encryption key r is generated by the following equation (31).
r = RG-1mA              ... (31)
[0097]
As described above, in the present embodiment, the data error of the shared information is corrected using the parity check matrix for the “Irregular-LDPC code” that is deterministic and stable in characteristics, and is in accordance with the published error correction information. Therefore, a part of the shared information is discarded. This eliminates an enormous number of parity exchanges for identifying / correcting error bits, and error correction control is performed only by transmitting error correction information, so that the time required for error correction processing can be greatly reduced. In addition, since a part of the shared information is discarded according to the disclosed information, a highly secure common key can be generated.
[0098]
In the present embodiment, from a generator matrix G ((n−k) × n) that satisfies HG = 0, G-1Inverse matrix G where G = I (unit matrix)-1(N × (n−k)) is generated and the inverse matrix G-1Is used to generate part of the shared information (n) by discarding part (k) and generating an encryption key r having an amount of information of n−k bits. However, the present invention is not limited to this, and the shared information (n) It is also possible to generate an encryption key r having an information amount of m (m ≦ n−k) bits by discarding a part of More specifically, a map F (•) that maps an n-dimensional vector to an m-dimensional vector is assumed. In order to guarantee the security of the shared key, F (•) is “an inverse image (F • G) in the combined map F • G of the mapping F and the generator matrix G for an arbitrary m-dimensional vector v-1The original number of (v) is constant regardless of v (2nkm) ”Is necessary. At this time, the shared key r is r = F (mA)
[0099]
In the present embodiment, the generator matrix G is obtained by the processing of steps S5 and S16.-1A configuration may be adopted in which a part of the shared information is discarded using the characteristics of the parity check matrix H without using. Specifically, first, shared key generation units 15 and 35 perform random replacement on the columns of parity check matrix H generated in steps S1 and S11. And the information regarding the bit thrown away between communication apparatuses is exchanged via a public communication path. For example, the original finite affine geometry AG (2, 2s) To select a specific “1” from the first column and exchange the position via the public communication path. After that, the shared key generation units 15 and 35 perform the divided position corresponding to “1” from the parity check matrix after replacement, and the divided position corresponding to “1” in each cyclically shifted column. And the shared information m corresponding to the specified positionAAre discarded, and the remaining data is used as the encryption key r. As a result, complex generator matrices G and G-1Can be deleted.
[0100]
【The invention's effect】
As described above, according to the present invention, a communication device that constitutes a quantum cryptography system has received a huge number of parity exchanges (binary search for specifying error bits) that occurred in error correction in the prior art. ) ”And error correction is performed using a parity check matrix for LDPC codes having extremely high characteristics (corresponding to the above syndrome decoding method). As a result, it is possible to generate a common key with a high degree of security while correcting a data error on the transmission path in a short time.
[Brief description of the drawings]
FIG. 1 is a diagram showing a configuration of a quantum cryptography system according to the present invention.
FIG. 2 is a flowchart showing quantum key distribution.
FIG. 3 is a flowchart showing a configuration method of “Irregular-LDPC code” based on finite affine geometry;
FIG. 4 is a finite affine geometric code AG (2, 22FIG.
FIG. 5 shows the final column weight distribution λ (γi) And line weight distribution ρuFIG.
FIG. 6 is a diagram showing a procedure for dividing a random sequence by a Latin square matrix;
FIG. 7 is a flowchart showing a syndrome decoding method.
FIG. 8 is a diagram showing an outline of conventional quantum key distribution.
[Explanation of symbols]
1, 3 Encryption key generation unit, 2, 4 communication unit, 10, 30 Parity check matrix generation unit, 11, 31 Random number generation unit, 12 Photon generation unit, 13, 34 Public channel communication unit, 14 Syndrome generation unit, 15 , 35 shared key generation unit, 21, 42 encryption unit, 22, 41 transmission / reception unit, 32 photon reception unit, 33 syndrome decryption unit.

Claims (5)

量子通信路上の光子の測定結果から得られるデータに含まれる、偏光方向を正しく識別可能な測定器で測定した確率情報付きの受信データ、の誤りを訂正することによって、元の送信データを推定する量子鍵配送方法において、
送信側および受信側の通信装置が、同一のパリティ検査行列(要素が「0」または「1」の行列)を生成する検査行列生成ステップと、
前記送信側の通信装置が、前記パリティ検査行列と前記送信データに基づく誤り訂正情報を、公開通信路を介して前記受信側の通信装置に通知する誤り訂正情報通知ステップと、
前記受信側の通信装置が、前記誤り訂正情報および前記確率情報付きの受信データに基づいて前記送信データを推定する誤り訂正ステップと、
前記受信側の通信装置が、前記送信側の通信装置との間で共有の正則なランダム行列および前記送信データの推定結果に基づいて、前記送信側の通信装置との間で共有な暗号鍵を生成する共有鍵生成ステップと、
を含むことを特徴とする量子鍵配送方法。Estimate the original transmitted data by correcting the error in the received data with probability information measured by a measuring device that can correctly identify the polarization direction, included in the data obtained from the measurement results of photons on the quantum channel In the quantum key distribution method,
A check matrix generation step in which the communication device on the transmission side and the reception side generate the same parity check matrix (a matrix whose elements are “0” or “1”);
An error correction information notifying step in which the transmission side communication device notifies the reception side communication device of error correction information based on the parity check matrix and the transmission data via a public communication path;
An error correction step in which the communication device on the receiving side estimates the transmission data based on the error correction information and the reception data with the probability information; and
Based on the regular random matrix shared with the communication device on the transmission side and the estimation result of the transmission data, the communication device on the reception side generates an encryption key shared with the communication device on the transmission side. A shared key generation step to be generated; and
A quantum key distribution method comprising: 前記誤り訂正ステップにあっては、
初期設定として、前記パリティ検査行列内の要素「1」に対応する事前値を設定する初期設定ステップと、
前記誤り訂正情報に応じて、前記パリティ検査行列内の要素「1」に対応する外部値を、同一行における他の要素「1」に対応する事前値および前記確率情報を用いて更新する処理、を行単位に実行する外部値更新ステップと、
前記パリティ検査行列内の要素「1」に対応する事前値を、同一列における他の要素「1」に対応する前記更新後の外部値を用いて更新する処理、を列単位に実行する事前値更新ステップと、
前記確率情報および前記更新後の事前値に基づいて事後確率を算出し、当該事後確率から一時推定語を求める(硬判定)一時推定ステップと、
前記一時推定語が前記パリティ検査行列との間に確立されている所定の条件を満たす場合に、当該一時推定語を送信データとし、前記所定の条件を満たさない場合に、当該条件を満たすまで前記更新後の値を用いて、前記外部値更新ステップ、前記事前値更新ステップおよび前記一時推定ステップを繰り返し実行する送信データ推定ステップと、
を含むことを特徴とする請求項1に記載の量子鍵配送方法。In the error correction step,
As an initial setting, an initial setting step for setting a prior value corresponding to the element “1” in the parity check matrix;
A process of updating the external value corresponding to the element “1” in the parity check matrix using the prior value corresponding to the other element “1” in the same row and the probability information according to the error correction information; An external value update step that executes for each row,
A prior value for executing, in column units, a process of updating a prior value corresponding to element “1” in the parity check matrix using the updated external value corresponding to another element “1” in the same column An update step;
A posterior probability is calculated based on the probability information and the updated prior value, and a temporary estimation word is obtained from the posterior probability (hard decision), a temporary estimation step;
When the temporary estimated word satisfies a predetermined condition established between the temporary check word and the parity check matrix, the temporary estimated word is used as transmission data, and when the predetermined condition is not satisfied, the condition is satisfied until the condition is satisfied. A transmission data estimation step that repeatedly executes the external value update step, the prior value update step, and the temporary estimation step using the updated value;
The quantum key distribution method according to claim 1, comprising: 前記誤り訂正ステップにあっては、前記確率情報付きの受信データとして軟判定情報を受け取った場合、前記誤り訂正情報および前記軟判定情報に基づいて前記送信データを推定することを特徴とする請求項1または2に記載の量子鍵配送方法。The error correction step, when soft decision information is received as reception data with probability information, the transmission data is estimated based on the error correction information and the soft decision information. 3. The quantum key distribution method according to 1 or 2. 量子通信路上の光子の測定結果から得られるデータに含まれる、偏光方向を正しく識別可能な測定器で測定した確率情報付きの受信データ、の誤りを訂正することによって、元の送信データを推定する通信装置において、
予め生成しておいた送信側と同一のパリティ検査行列(要素が「0」または「1」の行列)、送信側の通信装置から公開通信路を介して受け取った前記パリティ検査行列と前記送信データに基づく誤り訂正情報、および前記確率情報付きの受信データ、に基づいて前記送信データを推定する復号手段
前記送信側の通信装置との間で共有の正則なランダム行列および前記送信データの推定結果に基づいて、前記送信側の通信装置との間で共有な暗号鍵を生成する共有鍵生成手段と、
を含むことを特徴とする通信装置。Estimate the original transmitted data by correcting the error in the received data with probability information measured by a measuring device that can correctly identify the polarization direction, included in the data obtained from the measurement results of photons on the quantum channel In communication equipment,
The same parity check matrix (matrix whose element is “0” or “1”) generated in advance, the parity check matrix received from the communication device on the transmission side via the public communication path, and the transmission data decoding means for estimating the transmission data based error correction information, and the probability information with the received data, the based,
Based on a regular random matrix shared with the communication device on the transmission side and an estimation result of the transmission data, a shared key generation unit that generates an encryption key shared with the communication device on the transmission side,
A communication device comprising: 前記復号手段は、
初期設定として、前記パリティ検査行列内の要素「1」に対応する事前値を設定し、
前記誤り訂正情報に応じて、前記パリティ検査行列内の要素「1」に対応する外部値を、同一行における他の要素「1」に対応する事前値および前記確率情報を用いて更新する処理、を行単位に実行し、
前記パリティ検査行列内の要素「1」に対応する事前値を、同一列における他の要素「1」に対応する前記更新後の外部値を用いて更新する処理、を列単位に実行し、
前記確率情報および前記更新後の事前値に基づいて事後確率を算出し、当該事後確率から一時推定語を求め(硬判定処理)、
前記一時推定語が前記パリティ検査行列との間に確立されている所定の条件を満たす場合に、当該一時推定語を送信データとし、前記所定の条件を満たさない場合に、当該条件を満たすまで前記更新後の値を用いて、前記外部値更新処理、前記事前値更新処理および前記硬判定処理を繰り返し実行することを特徴とする請求項4に記載の通信装置。The decoding means includes
As an initial setting, a prior value corresponding to the element “1” in the parity check matrix is set,
A process of updating the external value corresponding to the element “1” in the parity check matrix using the prior value corresponding to the other element “1” in the same row and the probability information according to the error correction information; Is executed line by line,
A process of updating the prior value corresponding to the element “1” in the parity check matrix using the updated external value corresponding to the other element “1” in the same column, in units of columns;
A posteriori probability is calculated based on the probability information and the updated prior value, and a temporary estimated word is obtained from the posteriori probability (hard decision process),
When the temporary estimated word satisfies a predetermined condition established between the temporary check word and the parity check matrix, the temporary estimated word is used as transmission data, and when the predetermined condition is not satisfied, the condition is satisfied until the condition is satisfied. The communication apparatus according to claim 4, wherein the external value update process, the prior value update process, and the hard decision process are repeatedly executed using the updated value.
JP2002342636A 2002-11-26 2002-11-26 Quantum key distribution method and communication apparatus Expired - Fee Related JP4459526B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002342636A JP4459526B2 (en) 2002-11-26 2002-11-26 Quantum key distribution method and communication apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002342636A JP4459526B2 (en) 2002-11-26 2002-11-26 Quantum key distribution method and communication apparatus

Publications (3)

Publication Number Publication Date
JP2004179889A JP2004179889A (en) 2004-06-24
JP2004179889A5 JP2004179889A5 (en) 2005-12-22
JP4459526B2 true JP4459526B2 (en) 2010-04-28

Family

ID=32704645

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002342636A Expired - Fee Related JP4459526B2 (en) 2002-11-26 2002-11-26 Quantum key distribution method and communication apparatus

Country Status (1)

Country Link
JP (1) JP4459526B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9569731B2 (en) 2014-01-08 2017-02-14 Kabushiki Kaisha Toshiba Quantum communication device, quantum communication method, and computer program product
US9652620B2 (en) 2014-01-08 2017-05-16 Kabushiki Kaisha Toshiba Quantum communication device, quantum communication method, and computer program product

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090169015A1 (en) * 2005-01-24 2009-07-02 Inter-Univ Res Ins Corp / Res Org Of Info And Syst Quantum key distribution method, communication system, and communication device
JP2007087529A (en) 2005-09-22 2007-04-05 Rohm Co Ltd Signal decoding device, signal decoding method and storage system
JP4727380B2 (en) * 2005-10-24 2011-07-20 Kddi株式会社 Decoding device and method, and demodulation decoding device and method
JP4996980B2 (en) * 2007-05-29 2012-08-08 パナソニック株式会社 Data receiver
CN106027231B (en) * 2015-03-28 2019-04-05 北京大学 A method for cascading error correction in post-quantum key distribution processing

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9569731B2 (en) 2014-01-08 2017-02-14 Kabushiki Kaisha Toshiba Quantum communication device, quantum communication method, and computer program product
US9652620B2 (en) 2014-01-08 2017-05-16 Kabushiki Kaisha Toshiba Quantum communication device, quantum communication method, and computer program product

Also Published As

Publication number Publication date
JP2004179889A (en) 2004-06-24

Similar Documents

Publication Publication Date Title
JP4290401B2 (en) Quantum key distribution method and communication apparatus
JP4346929B2 (en) Quantum key distribution method and communication apparatus
JP4554523B2 (en) Quantum key distribution method and communication apparatus
JP4554524B2 (en) Quantum key distribution method
JP4862159B2 (en) Quantum key distribution method, communication system, and communication apparatus
US7933905B2 (en) Universal-hash-function-family calculation unit and shared-key generation system
JP5871142B2 (en) Communication device and encryption key generation method in encryption key sharing system
US20150312035A1 (en) Permutation method for correcting bit error in quantum key distribution protocol
Huang et al. Stream privacy amplification for quantum cryptography
JP4459526B2 (en) Quantum key distribution method and communication apparatus
JP4231926B2 (en) Quantum key distribution method and communication apparatus
KR100822933B1 (en) Quantum key delivering method and communication device
KR100822507B1 (en) Quantum key delivering method and communication device
Havrylova et al. Ensuring Authenticity and Integrity Messages on Basis Complex Modified Algorithm UMAC on Crypto-Code Constructions using Rao-Nama Symmetrical Cryptosystems

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050920

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20051102

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090217

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090415

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100209

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100210

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130219

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130219

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140219

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees