以下、本発明を適用した暗号鍵共有システムを実施するための形態について図面を参照しながら詳細に説明をする。
図1は、本発明を適用した暗号鍵共有システム1の全体構成を示している。暗号鍵共有システム1は、衛星2と、衛星2よりも低高度を飛行する大型航空機3と、大型航空機3よりも低高度を飛行する1階層以上からなる無人航空機層4と、複数の地上局5と、各地上局5に接続されている中央基地局6を備えている。この暗号鍵共有システム1は、衛星2と各地上局5との間で情報理論的安全性を保証し得るワンタイムパッド暗号を行う上で必要となる共通の暗号鍵を共有させることを目的としている。
衛星2は、地球の自転周期と一致する軌道周期をもつ地球周回軌道としての対地同期軌道(GEO:Geostationary Earth Orbit)を周回し、或いは地上高約500〜2000kmに位置する軌道上にあって地球の自転周期とは無関係に回る低軌道(LEO: Low Earth Orbit)等を周回する人工衛星である。この衛星2は、いかなる用途に基づいて打ち上げられたものであってもよい。図2は、衛星2のシステム構成を示している。衛星2は、初期乱数生成部21と、初期乱数生成部21に接続された符号化処理部22と、符号化処理部22に接続された衛星通信部23とを備えている。
初期乱数生成部21は、暗号通信に必要となる暗号鍵としての乱数をランダムに生成する乱数源である。この初期乱数生成部21により生成される初期乱数を以下、乱数R0という。以下の説明において、初期乱数生成部21は、暗号鍵用の物理乱数列としての乱数R0を生成する場合を例にとり説明をするが、これに限定されるものではなく、暗号化に使用される暗号鍵用の乱数列であればいかなるものであってもよい。初期乱数生成部21は、生成した乱数R0を符号化処理部22へ出力する。
符号化処理部22は、初期乱数生成部21から送られてきた乱数R0に対して誤り訂正や盗聴者への漏洩を防ぐための適切な符号化を施す。即ち、この符号化処理部22は、地上局5と共有するための暗号鍵のベースとなる乱数R0を平文とし、これに対して適切な暗号化処理を施し、これを衛星通信部23へと送信する。なお、この符号化処理部22において施される暗号化処理は、情報理論的安全性を担保できる従来のいかなる暗号化方法に基づくものであってもよい。
衛星通信部23は、符号化処理部22から送られてきた符号化された乱数R0を電波やレーザ光等に重畳させることで無線信号化し、これを成層圏又は対流圏を飛行する大型航空機3に向けて送信する。また衛星通信部23は、大型航空機3や中央基地局6から送信されてくる電波やレーザ光からなる無線信号を受信する。
大型航空機3は、旅客機、輸送機、軍用機、各種観測機等の有人又は無人の航空機である。この大型航空機3は、実際に大型である場合に限定されるものではなく小型の航空機も含まれる概念であるが、成層圏又は対流圏を飛行し、衛星2との間で電波又はレーザ光に重畳された無線信号を送受信する。
大型航空機3は、図3に示すように、飛行制御部30に基づいて飛行し、これ以外に衛星通信部31と、衛星通信部31に接続された符号化復号化部32と、符号化復号化部32に接続された無線通信部33とを備え、更にこの符号化復号化部32に接続された演算処理部34を備えている。また飛行制御部30及び演算処理部34に接続された監視カメラ35を更に備えている。
衛星通信部31は、衛星2から送られてくる無線信号を受信し、これを符号化復号化部32へ送信する。衛星通信部31は、符号化復号化部32から送られてくる信号を電波又はレーザ光に重畳させ、これを衛星2に向けて送信する。
符号化復号化部32は、衛星通信部31や無線通信部33から送信されてくる信号を復号化した上で、これを演算処理部34へ送信する。また符号化復号化部32は、演算処理部34から送られてきた乱数列に対して誤り訂正や盗聴者への漏洩を防ぐための適切な符号化、暗号化処理を施し、これを無線通信部33へ送信する。
演算処理部34は、符号化復号化部32からの乱数列等の信号を解読するとともに、各種制御を施す。
無線通信部33は、符号化復号化部32からの乱数列を電波やレーザ光等に重畳させることで無線信号化し、これを無人航空機層4に向けて送信する。無線通信部33は、無人航空機層4から送信されてくる電波やレーザ光からなる無線信号を受信する。
監視カメラ35は、撮影方向を通信路側に向けて撮像を行うことにより、通信路の視野確認を行う。監視カメラ35による撮像データは、飛行制御部30や演算処理部34に送られて各種判断に利用される。
無人航空機層4は、図1に示すように高高度から順に第1の無人航空機層4−1、第2の無人航空機層4−2が割り当てられている。但し、この無人航空機層4は、少なくとも1層で構成されていればよく、また3層以上に亘って割り当てられるものであってもよい。以下の例では、この無人航空機層4−1、4−2の2層で構成されている場合を例にとり説明をする。
無人航空機層4−1、4−2には、それぞれ複数の無人航空機40が配置されることとなる。ここでいう無人航空機40は、いわゆる小型でかつ無人飛行が可能な航空機であり、代表的なものとしてはドローン(マルチコプター)であるが、これに限定されるものでは無く、無人ヘリコプター等で具現化されるものであってもよい。
最も高高度に位置する第1の無人航空機層4−1に割り当てられている無人航空機40−1は、自身よりも高高度を飛行する大型航空機3との間で各種情報の送受信を行う。また無人航空機40−1は、自身よりも低高度を飛行する第2の無人航空機層4−2における無人航空機40−2との間で各種情報の送受信を行う。また、第2の無人航空機層4−2に割り当てられている無人航空機40−2は、自身よりも高高度を飛行する第1の無人航空機層4−1における無人航空機40−1との間で各種情報の送受信を行う。また無人航空機40−2は、地上局5との間で各種情報の送受信を行う。
図4は、無人航空機40を制御するための制御ユニット45のブロック構成を示している。制御ユニット45は、接続されたバッテリー44から電力が供給され、フライトコントローラ50を中心とし、これに対してそれぞれ接続されている符号化復号化部52、無線通信部51、ESC(Electronic Speed Controller)54とを備えている。
無人航空機40は、複数個のローターを回転させることにより浮力を得ることができる。このローターは、ローター用モーター42の回転に基づき回転させることが可能となる。ローター用モーター42は、バッテリー44から供給されてくる電力に基づいて回転動作可能とされている。ローター用モーター42を回転させることによりローターを回転させることができ、無人航空機40を即座に垂直方向に向けて上昇させ又は下降させることができ、或いはその場で静止させることも可能となる。また、無人航空機40を前後左右に移動させる場合は、進行方向のローター用モーター42の回転数を下げ、進行方向とは反対側のローター用モーター42の回転数を上げる。これにより、無人航空機40は進行方向に対して前かがみの姿勢となり、進行方向に移動することが可能となる。また、ローター用モーター42の回転方向による出力の調整を行うことで、無人航空機40自体を回転させることも可能となる。これらローター用モーター42の回転数の制御は、制御ユニット45におけるフライトコントローラ50による制御の下でESC54を介して行われる。
無線通信部51は、大型航空機3や他の無人航空機40、更には地上局との間で無線通信を行う上で必要な周波数変換やその他各種変換処理を行い、電気信号を電波に変換し、或いは電波を電気信号に変換するアンテナも含まれる。また無線通信部51は、レーザ光を電気信号に変換し、或いは電気信号をレーザ光に変換する変換器も含まれる。この無線通信部51は、外部から送信されてきた電波やレーザ光に重畳されてきた信号を電気信号に変換した上で符号化復号化部52へ出力する。またこの無線通信部51は、符号化復号化部52から送信されてきた信号を電波やレーザ光に重畳させて外部へと発信する。
符号化復号化部52は、無線通信部51から送信されてくる信号を復号化した上で、これをフライトコントローラ50へ送信する。また符号化復号化部52は、フライトコントローラ50から送られてきた乱数列に対して誤り訂正や盗聴者への漏洩を防ぐための適切な符号化、暗号化処理を施し、これを無線通信部51へ送信する。
フライトコントローラ50は、制御部57と、この制御部57に接続されている飛行制御センサ群55及びGPS受信部56とを備えている。
制御部57は、全ての構成要素を制御するためのいわゆる中央演算ユニットである。この制御部57は、図示しないメモリに記憶されているプログラムを読み出して各種動作を行うための命令を各構成要素に対して通知する。例えばメモリに記憶されているプログラムが無人航空機40における暗号化処理方法や飛行方法に関するものであれば、これに基づいて暗号化処理を行ったり、或いは飛行するための各種命令を静止して各構成要素に送信する。
飛行制御センサ群55は、少なくとも加速度センサ、角速度センサ、気圧センサ(高度センサ)、地磁気センサ(方位センサ)に加え、飛行高度を検出するための高度計、風速や風向を検出するための風向風速計、機体の傾斜角度や傾斜方向を検出するための加速度センサ、ジャイロセンサ等を始めとした各種センサで構成されている。飛行制御センサ群55は、検知した各データを制御部57へ送信する。
GPS受信部56は、人工衛星から送られてくる衛星測位信号に基づいて無人航空機40の飛行時における現時点の位置情報をリアルタイムに取得する。GPS受信部56は、取得した位置情報を制御部57へ送信する。
なお上述した構成要素のうち、フライトコントローラ50、ESC54等は何れもバッテリー44に接続されており、電力が供給される。
地上局5は、地上に点在している無線通信用の基地局である。地上局5は、地上において完全に固定されている基地局に限定されるものではなく、車両等に搭載されている移動自在型の基地局も含まれる。この地上局5は、第2の無人航空機層4−2における無人航空機40との間で無線通信が可能な構成とされている。また各地上局5に接続されている中央基地局6は、衛星2との間で衛星通信を可能とする。
次に上述した構成からなる暗号鍵共有システム1による暗号鍵共有の処理動作方法について説明をする。暗号鍵共有の処理動作は、図1に示すように衛星2と大型航空機3との間で行われる成層圏リンク、大型航空機3と第1の無人航空機層4−1との間で行われる高高度リンク、第1の無人航空機層4−1と第2の無人航空機層4−2との間で行われる低高度リンク、第2の無人航空機層4−2と地上局5との間で行われる地上リンクに分類できる。
成層圏リンクでは、衛星2から発信された初期乱数R0に基づいて大型航空機3との間で共通の乱数RSTを生成し、高高度リンクでは、大型航空機3から発信されたRSTに基づいて第1の無人航空機層4−1との間で共通の乱数RHAを生成する。また低高度リンクでは、第1の無人航空機層4−1から発信されたRHAに基づいて第2の無人航空機層4−2との間で共通の乱数RLAを生成し、地上リンクでは、第2の無人航空機層4−2から発信されたRLAに基づいて各地上局5と、衛星2の間で共通の乱数Rを生成する。この地上局5が当初において第2の無人航空機層4−2から取得する乱数R´は、あくまで初期乱数R0を原形としたものであるところ、生成した乱数RST、RHA、RLA、R´は互いに連関している割合が高い。地上局5は、中央基地局6を介して衛星2とメタデータを送受信し、それぞれが保有し、しかも互いに連関している割合が高い乱数RST、R´とから共通の乱数Rを作り出し、これを暗号鍵として共有させる。
以下、成層圏リンクから順に処理動作を説明する。成層圏リンクでは、先ず図5に示すように大型航空機3は、衛星2との通信路につき、通信路特性評価を行う。この通信路特性評価では、例えば大型航空機3における監視カメラ35を使用し、衛星2への通信路の視野確認を行うと共に、衛星2との間に不審な盗聴飛行体等が飛行していないこと確認する。また、この通信路特性評価において、大型航空機3は、例えば衛星通信部31を介してプローブ信号を通信路に向けてプローブ信号を送信するようにしてもよい。このプローブ信号を通じて通信路特性を推定すると共に、過去のプローブ信号による通信特性の評価データと比較することで特性評価を行うようにしてもよい。
このような通信路特性評価を通じて、大型航空機3と衛星2との間に盗聴飛行体が存在しないこと、或いは盗聴飛行体が存在していたとしてもこれが通信路から相当離れていることを確認した後、衛星2は、初期乱数R0を生成する。初期乱数R0の生成は、初期乱数生成部21において行い、符号化処理部22に送られた後に誤り訂正等が施される。このとき、この成層圏リンクにおいては、平文としての初期乱数R0につき、情報理論的安全性を担保できる従来のいかなる暗号化技術により暗号文化してもよい。暗号化された初期乱数R0は、衛星通信部23を介して大型航空機3へと送信される。
大型航空機3に向けて送信された乱数R0を平文として含む暗号文からなるデータは、大型航空機3における衛星通信部31により受信され、符号化復号化部32において復号化される。ここで大型航空機3によって受信され復号化されることで得られた乱数を乱数R0´とする。この乱数R0´は、初期乱数R0と完全に同一である場合もあるが、無線通信の環境に応じて必ずしも同一にならない場合もある。
この成層圏リンクにおいて初期乱数R0を送信する過程で、例えば物理レイヤ暗号により暗号化するようにしてもよい。物理レイヤ暗号としては、秘匿メッセージ伝送と秘密鍵交換の2つの方式から適宜適切なものを選択して使用するようにしてもよい。
秘匿メッセージ伝送では、一の通信路で一方向にメッセージを伝送する方式である。通信路が比較的良好な場合、換言すれば正規受信者としての大型航空機3のSN比が、盗聴者83のSN比より勝っていると判断できる場合に利用する。かかる場合は、大型航空機3により小さな誤り率で初期乱数R0のデータを受信できると仮定できる。
秘匿メッセージ伝送を採用する場合、衛星2から大型航空機3に向けて一方向に初期乱数R0を伝送する。このとき衛星2は、より確実な伝送を行うため、初期乱数R0のコピーを複数用意し、これらをインターリーブにより大型航空機3に向けて伝送するようにしてもよい。大型航空機3における符号化復号化部32では、誤り訂正を施した後、複数の乱数を得ることが可能となる。そのうちの一つが乱数R0´となる。
初期乱数R0と乱数R0´とが互いに相違している可能性があることから、これらとの間で整合を取るため、衛星2と大型航空機3とは図5に示すように互いに共通の乱数RSTを得るための処理動作を実行する。
秘匿メッセージ伝送では、初期乱数R0と乱数R0´との間で互いに相違しているビットを破棄する、いわゆる残留誤りの刈り取りを行うことで共通の乱数RSTを抽出するようにしてもよい。衛星2と大型航空機3とは、これらのネゴシエーションを、公開通信路を介して行うようにしてもよい。かかる場合には、衛星2と大型航空機3との間で何番目のビット位置が共通しているか、或いは相違しているか等、互いのデータの連関性を互いに確認し合うようにしてもよい。これら衛星2と大型航空機3との間で行われるネゴシエーションの例としては、何番目のビット位置を使用するか、何番目のビットをいかに平均化するとどの程度の誤りが生じるか等、互いの連関性に関する情報のみの送受信に終始し、公開された通信路上で決して乱数R0、R0´を開示又は示唆することなく、断片的な属性情報のみで互いの連関性を確認し合うものとする。これにより、このようなビット位置の送受信のみでは具体的な初期乱数R0、乱数R0´の数値が外部に漏れることも無くなる。
これらの確認を通じて、大型航空機3における演算処理部34が最終的に乱数R0´の中から残すビット位置、廃棄するビット位置を決定する。この残すビット位置が初期乱数R0と共通するものであり、廃棄するビット位置が初期乱数R0と相違しているものと考えられるものである。大型航空機3は、衛星2に対して、何番目のビット位置を廃棄するかを公開通信路を介して通知し、衛星2は、通知されたビット位置にあるビットを廃棄する。同様に大型航空機3は、衛星2に廃棄するものとして通知したビット位置にあるビットを廃棄する。その結果、衛星2と大型航空機3には、互いに共通の暗号鍵としての乱数RSTが残ることとなる。なお正規受信者としての大型航空機3のSN比が、盗聴者83のSN比より勝っている状態をうまく作り出すためには、衛星2と大型航空機3間の距離を測定し、或いは事前に通信距離を規定し、これら距離について大型航空機3における衛星通信部31において予め規定されたエラーレートとなるように衛星2の衛星通信部23の信号強度を調整するようにしてもよい。
ところで、通信路が比較的劣悪な場合で、大型航空機3における受信データの誤り率が大きく、上述した秘匿メッセージ伝送では、劣悪な通信環境の下で互いに相違するビット位置が多すぎ、初期乱数R0からかなりのビット位置を廃棄して暗号鍵としての乱数RSTを抽出しなければならない。その結果、共通の暗号鍵としての乱数RSTのサイズが初期乱数R0よりも大きく減ってしまう。特に通信路の条件によっては、共通の暗号鍵としての乱数RSTを共有できなくなってしまう場合もある。
このため通信路が比較的劣悪な場合、盗聴者83のSN比が、正規受信者の大型航空機3のSN比よりも優れていると判断される場合には、物理レイヤ暗号における秘密鍵交換を行う。この秘密鍵交換では、乱数を共有する通信路の他に、鍵蒸留のための公開通信路を用意する。この乱数を共有する通信路と、鍵蒸留のための公開通信路を適宜組み合わせることにより、情報理論的安全性を確保した暗号鍵を生成する。
この秘密鍵交換による方式は、逆に盗聴者83のSN比が、正規受信者の大型航空機3のSN比よりも劣っている場合においても勿論採用可能である。しかしながら、この秘密鍵交換による方式では、上述したように乱数を共有する通路以外に、公開通信路をもう一つ用意する必要があるため、消費電力や通信時間を余計に消費する。このため、何れのかの方式を選択する際には、秘匿メッセージ伝送の優先度を高くし、盗聴者83のSN比が、正規受信者の大型航空機3のSN比よりも優れている場合のみ秘密鍵交換による方式を選択することが望ましい。
この秘密鍵交換では、衛星2側から上述と同様に初期乱数R0を送信メッセージ(平文)とみなし、誤り訂正や盗聴者への漏洩を防ぐための適切な符号化を施して大型航空機3へ送信する。大型航空機3によって取得された乱数R0´に更に適切な鍵蒸留処理を施す。その結果、この鍵蒸留のステップにおいても同様に公開通信路上で決して乱数R0、R0´を開示又は示唆することなく、断片的な連関性を示す情報のみで確認し合うものとする。これにより、具体的な初期乱数R0、乱数R0´の数値が外部に漏れることも無く、互いに共通の乱数RSTを生成することが可能となる。
なお、上述した物理レイヤ暗号を採用した結果、共通の暗号鍵の乱数RSTのサイズが初期乱数R0のサイズより大きく減ってしまった場合、換言すれば乱数RSTのサイズ(鍵長)LSTに対して、それより短い鍵長L0´しか鍵蒸留できない場合、以下に説明する手法によりLST/L0´倍に鍵拡張する手段を実装させるようにしてもよい。この鍵拡張では初期乱数R0からランダムシャッフルして別の乱数Rs1を生成する手順と、さらに乱数Rs1から同様な処理でRs2…を順次生成する。そして生成した乱数Rs1からRsXまでを順次繋げて必要とされるサイズLSTまで拡張することで鍵拡張するようにしてもよい。このとき、ランダムシャッフルを行うのではなく、その場で生成した乱数を用いて簡単な演算によってLST/L0´倍の鍵拡張を行うようにしてもよい。
また、この成層圏リンクにおいて、当初に行った通信路特性評価結果を、物理レイヤ暗号のパラメータに反映させるようにしてもよい。この反映させるパラメータの例としては、誤り訂正の冗長性、符号長、メッセージレート、秘匿性増強の圧縮率等である。
衛星2及び大型航空機3は、上述のようにして成層圏リンクで生成した共通の乱数RSTをそれぞれ保持しておく。大型航空機3は、この生成した乱数RSTを利用し、以下に説明する高高度リンクへ移行する。
高高度リンクに移行した場合、図6に示すように第1の無人航空機層4−1における複数の各無人航空機40−1は、大型航空機3からの乱数列が重畳されたレーザ光や電波等の信号がブロードキャスト可能な範囲まで互いに接近する。この信号は、図6に示すように何れかの方向に向けて指向性を持たせた状態で発信されることが前提である。かかる場合には、大型航空機3もこれら各無人航空機40−1が待機する高度付近まで高度を下げるべく降下する。このとき、各無人航空機40−1も大型航空機3により近づくために高度を上げるようにしてもよい。
このとき、大型航空機3からブロードキャストされるレーザ光や電波は、放射角度が広い場合には、他の盗聴者83の飛行体に捕捉されてしまう可能性が高くなる。このため、大型航空機3からブロードキャストするレーザ光のビームを極力絞り、或いは電波の指向性を極力絞ることで、無人航空機40−1が信号を受信可能ないわゆるセキュアゾーンからなる範囲を形成させる。実際に大型航空機3からブロードキャストされるビーム等を絞った場合においても、無人航空機40−1としてドローンを使用するものであれば、複数の無人航空機40−1を例えば直径10m程度のセキュアゾーンの領域においても互いに近接させた状態でほぼ停留させつつ飛行させることが可能となる。
この高高度リンクにおいても、大型航空機3及び/又は無人航空機40−1は、通信路につき、通信路特性評価を行う。この通信路特性評価では、例えば大型航空機3における監視カメラ35や、無人航空機40−1の飛行制御センサ群55を使用し、互いの通信路の視野確認を行うと共に、不審な盗聴飛行体等が飛行していないこと確認する。また、この高高度リンクにおける通信路特性評価において、プローブ信号を介して通信路特性を評価するようにしてもよい。
このような通信路特性評価を通じて、大型航空機3と複数の無人航空機40−1間に盗聴飛行体が存在しないこと、或いは盗聴飛行体が存在していたとしてもこれが通信路から相当離れていることを確認した後、大型航空機3は、生成したRSTを平文として、これを符号化復号化部32にて符号化、暗号化し、無線通信部33を介してセキュアゾーン内にある複数の無人航空機40−1に対してブロードキャストする。このブロードキャストは、無線通信部33からセキュアゾーンにある複数の無人航空機40−1に対して信号をワイヤレス送信するものであればいかなる概念も含まれるものである。なお通信路特性評価結果に応じて乱数を送信するか否かの判断を行う場合に限定されるものではなく、当該工程は省略するようにしてもよい。
複数の無人航空機40−1に向けてブロードキャストされた乱数RSTを平文として含む暗号文からなるデータは、各無人航空機40−1における無線通信部51により受信され、符号化復号化部52において復号化される。ここで各無人航空機40−1によって受信され復号化されることで得られた乱数を乱数RST (n)とする。この乱数RST (n)は、乱数RSTと完全に同一である場合もあるが、無線通信の環境に応じて必ずしも同一にならない場合もある。また、複数の無人航空機40−1間でも互いに通信環境が異なる場合もあることから、各無人航空機40−1間においても受信した乱数RST (n)が互いに相違する場合がある。以下、k個の無人航空機40−1が受信した乱数を、それぞれRST (1)、RST (2)、RST (3)、・・・・、RST (k)とする。
この高高度リンクにおいて乱数RSTを送信する過程で、情報理論的安全性を担保できるいかなる暗号化方式に基づいて暗号化されていてもよいが、例えば物理レイヤ暗号により暗号化にしてもよい。物理レイヤ暗号としては、正規受信者の無人航空機40−1のSN比と、盗聴者83のSN比とに基づいて、秘匿メッセージ伝送と秘密鍵交換の2つの方式から適宜適切なものを選択して使用するようにしてもよい。
秘匿メッセージ伝送では、正規受信者としての無人航空機40−1のSN比が、盗聴者83のSN比より勝っていると判断できる場合に利用する。
秘匿メッセージ伝送を採用する場合、大型航空機3から無人航空機40−1に向けて一方向に乱数RSTを伝送する。このとき大型航空機3は、より確実な伝送を行うため、乱数RSTのコピーを複数用意し、これらをインターリーブにより無人航空機40−1に向けて伝送するようにしてもよい。無人航空機40−1における符号化復号化部52では、誤り訂正を施した後、それぞれ乱数RST (1)、RST (2)、RST (3)、・・・・、RST (k)を得ることが可能となる。
乱数RSTと乱数RST (1)、RST (2)、RST (3)、・・・・、RST (k)とは互いに連関性がある程度存在しつつも、互いに相違している可能性があることから、これらとの間で整合を取るため、大型航空機3と、各無人航空機40−1は、図6に示すように互いに共通の乱数RHAを得るための処理動作を実行する。
この秘匿メッセージ伝送では、インターリーブされた乱数RSTの複数のコピーを復元した後、残留誤りの刈り取りを行い、乱数データを抽出する。但し、複数の無人航空機40−1間で互いに通信路特性が相違することにより、実際に各無人航空機40−1が取得できる乱数データは、乱数RST (1)、RST (2)、RST (3)、・・・・、RST (k)となる。大型航空機3と各無人航空機40−1は、乱数RSTと、乱数RST (1)、RST (2)、・・・・、RST (k)との間で互いに連関性を確認しあうことにより、共通する乱数のサブセットRHAを得るためのネゴシエーションを行う。このネゴシエーションは公開通信路におけるメタデータDHAの送受信を介して行う。送受信するメタデータDHAには、何番目のビット位置を使用するか、何番目のビットをいかに平均化するとどの程度の誤りが生じるか等、互いのデータの連関性に関する情報のみを含ませることにより、公開された通信路上で決して乱数RST、RST (n)を開示又は示唆することなく、断片的な連関性に関する情報のみで確認し合うものとする。これにより、具体的な乱数RST、RST (n)の数値が外部に漏れることも無くなる。
大型航空機3では、これら各無人航空機40−1から送られてきたメタデータDHAに基づいて、乱数RSTと全ての無人航空機40−1における乱数RST (1)、RST (2)、RST (3)、・・・・、RST (k)との間で互いに共通するビット位置を判定する。そして、この判定したビット位置に関する情報を新たに盛り込んだメタデータDHAを生成し、これを各無人航空機40−1に対して送信する。このメタデータDHAを受信した各無人航空機40−1は、当該メタデータDHAに記述されている互いに共通するビット位置(残すビット位置)、又は廃棄するビット位置の情報に基づき、ビットの廃棄を行う。同様に大型航空機3は、互いに共通するビット位置にあるビットを残し、それ以外のビット位置にあるビットを廃棄する。これにより、大型航空機3と、全ての無人航空機40−1との間で、互いに共通の暗号鍵としての乱数データRHAが生成されることとなる。
なお正規受信者としての無人航空機40−1のSN比が、盗聴者83のSN比より勝っている状態をうまく作り出すためには、大型航空機3と無人航空機40−1間の距離を測定し、或いは事前に通信距離を規定し、これら距離について無人航空機40−1における無線通信部51において予め規定されたエラーレートとなるように大型航空機3の無線通信部33の信号強度を調整するようにしてもよい。
また、この高高度リンクにおいても、通信路が比較的劣悪な場合、盗聴者83のSN比が、正規受信者の無人航空機40−1のSN比よりも優れていると判断される場合には、物理レイヤ暗号における秘密鍵交換を行う。この秘密鍵交換では、大型航空機3側から上述と同様に乱数RSTを送信メッセージ(平文)とみなし、誤り訂正や盗聴者への漏洩を防ぐための適切な符号化を施して無人航空機40−1へ送信する。各無人航空機40−1は、取得した乱数RST (1)、RST (2)、・・・・、RST (k)に対して鍵蒸留処理を施す。その結果、この鍵蒸留のステップにおいても同様に公開通信路上で決して乱数RST、RST (n)を開示又は示唆することなく、メタデータDHAを介して断片的な属性情報のみで確認し合うものとする。これにより、このようなビット位置の送受信のみでは具体的な乱数RST、RST (n)の数値が外部に漏れることも無く、互いに共通の乱数RHAを生成することが可能となる。
なお、この高高度リンクにおける物理レイヤ暗号の説明において、その他の処理動作方法は何れも成層圏リンクにおいて説明した方法を適用してもよいことは勿論である。
大型航空機3及び各無人航空機40−1は、上述のようにして高高度リンクで生成した共通の乱数RHAをそれぞれ保持しておく。無人航空機40−1は、この生成した乱数RHAを利用し、以下に説明する低高度リンクへ移行する。
低高度リンクに移行した場合、図7に示すように第1の無人航空機層4−1における複数の各無人航空機40−1は、高高度リンクにおいて設定されたセキュアゾーンの範囲からそれぞれ逸脱し、互いに離間して第2の無人航空機層4−2の飛行高度まで降下する。その代わりに第2の無人航空機層4−2における無人航空機40−2は、第1の無人航空機層4−1の飛行高度まで上昇するようにしてもよい。また無人航空機40−1が降下するとともに、無人航空機40−2が上昇するようにしてもよい。
複数の無人航空機40−1はそれぞれ低高度における各空域に分かれて降下する。低高度にある第2の無人航空機層4−2には、各空域につい複数の無人航空機40−2が飛行しているものとする。各空域まで降下した各無人航空機40−1に対して複数の無人航空機40−2が予め割り当てられているものとする。この各空域における複数の無人航空機40−2は、無人航空機40−1からの乱数列が重畳されたレーザ光や電波等の信号がブロードキャスト可能な範囲まで互いに接近する。
無人航空機40−1からブロードキャストされるレーザ光や電波は、放射角度をより絞り込むことでセキュアゾーンを形成し、複数の無人航空機40−2をこの狭領域に形成されたセキュアゾーンの領域においても互いに近接させた状態で停留させつつ飛行させる。上述したブロードキャストは、セキュアゾーンにある複数の無人航空機40−2に対して信号をワイヤレス送信するものであればいかなる概念も含まれるものである。このワイヤレス送信される信号は、図8に示すように何れかの方向に向けて指向性を持たせた状態で発信されることが前提である。
この低高度リンクにおいても、無人航空機40−1及び/又は無人航空機40−2は、図8に示すように通信路につき、通信路特性評価を行う。この通信路特性評価方法は、高高度リンクと同様である。
通信路特性評価を通じて、無人航空機40−1と複数の無人航空機40−2間に盗聴飛行体が存在しないこと等を確認した後、無人航空機40−1は、生成したRHAを平文として、これを符号化復号化部52にて符号化、暗号化し、無線通信部51を介してセキュアゾーン内にある複数の無人航空機40−2に対してブロードキャストする。
複数の無人航空機40−2に向けてブロードキャストされた乱数RHAを平文として含む暗号文からなるデータは、各無人航空機40−2における無線通信部51により受信され、符号化復号化部52において復号化される。ここで各無人航空機40−2によって受信され復号化されることで得られた乱数を乱数RHAk (n)とする。この乱数RHAk (n)は、乱数RHAと完全に同一である場合もあるが、無線通信の環境に応じて必ずしも同一にならない場合もある。また、複数の無人航空機40−2間でも互いに通信環境が異なる場合もあることから、各無人航空機40−2間においても受信した乱数RHAk (n)が互いに相違する場合がある。以下、k個の無人航空機40−2が受信した乱数を、それぞれRHAk (1)、RHAk (2)、・・・・、RHAk (k)とする。
この低高度リンクにおいて乱数RHAを送信する過程では、情報理論的安全性を担保できるいかなる暗号通信方法を適用してもよいが、例えば物理レイヤ暗号により暗号化にしてもよい。物理レイヤ暗号としては、正規受信者の無人航空機40−2のSN比と、盗聴者83のSN比とに基づいて、秘匿メッセージ伝送と秘密鍵交換の2つの方式から適宜適切なものを選択して使用するようにしてもよい。秘密メッセージ伝送と秘密鍵交換の具体的な方法は、高高度リンクと同様であるため説明は省略するが、何れの方式においても、無人航空機40−1から送信した乱数RHAと各無人航空機40−2が受信した乱数RHAk (1)、RHAk (2)、RHAk (3)、・・・・、RHAk (k)とが互いに連関しつつも、互いに相違している可能性があることから、これらとの間で整合を取るため、無人航空機40−1と、各無人航空機40−2は、図8に示すように互いに共通の乱数RLA (k)を得るための処理動作を実行する。この処理動作は、高高度リンクと同様に無人航空機40−1と各無人航空機40−2との間で互いに共通する乱数のサブセットRLA (k)を得るため、互いに連関性を確認しあうためのネゴシエーションを行う。このネゴシエーションは公開通信路におけるメタデータDLAkの送受信を介して行うようにしてもよい。送受信するメタデータDLAkには、何番目のビット位置を使用するか、何番目のビットをいかに平均化するとどの程度の誤りが生じるか等、連関性に関する情報のみを含ませることにより、公開された通信路上で決して乱数RHA、RHAk (n)を開示又は示唆することなく、断片的な連関性に関する情報のみで確認し合うものとする。これにより、具体的な乱数RHA、RHAk (n)の数値が外部に漏れることも無くなる。
無人航空機40−1には、その配下にある全ての無人航空機40−2との間でネゴシエーションを行っており、或いはメタデータDLAkを受信しているため、互いの乱数間の連関性を把握できているため、乱数RHAと全ての無人航空機40−2における乱数RHAk (1)、RHAk (2)、RHAk (3)、・・・・、RHAk (k)との間で互いに共通するビット位置を判定することができる。そして、この判定したビット位置に関する情報を新たに盛り込んだメタデータDHAk (k)を生成し、これを各無人航空機40−2に対して送信する。このメタデータDHAk (k)を受信した各無人航空機40−2は、当該メタデータDHAk (k)に記述されている互いに共通するビット位置(残すビット位置)、又は廃棄するビット位置の情報に基づき、ビットの廃棄を行う。同様に無人航空機40−1は、互いに共通するビット位置にあるビットを残し、それ以外のビット位置にあるビットを廃棄する。これにより、無人航空機40−1と全ての無人航空機40−2との間で互いに共通の暗号鍵としての乱数データRLA (k)が生成されることとなる。
なお正規受信者としての無人航空機40−2のSN比が、盗聴者83のSN比より勝っている状態をうまく作り出すためには、無人航空機40−1と無人航空機40−2間の距離を測定し、或いは事前に通信距離を規定し、これら距離について無人航空機40−2における無線通信部51において予め規定されたエラーレートとなるように無人航空機40−1の無線通信部51の信号強度を調整するようにしてもよい。
また、この低高度リンクにおいても、通信路が比較的劣悪な場合、盗聴者83のSN比が、正規受信者の無人航空機40−2のSN比よりも優れていると判断される場合には、物理レイヤ暗号における秘密鍵交換を行う。この秘密鍵交換の具体的な方法は、高高度リンクと同様である。
なお、この低高度リンクにおける物理レイヤ暗号の説明において、その他の処理動作方法は何れも成層圏リンク、高高度において説明した方法を適用してもよいことは勿論である。
各空域について、この無人航空機40−1と複数の無人航空機40−2との間で上述した処理を実行することにより、個々の空域における無人航空機40−2において互いに共通の暗号鍵としての乱数データRLA (k)が生成された状態となる。
無人航空機40−1及び複数の無人航空機40−2は、上述のようにして低高度リンクで生成した共通の乱数RLA (k)をそれぞれ保持しておく。各無人航空機40−2は、この生成した乱数RLA (k)を利用し、以下に説明する地上リンクへ移行する。
地上リンクに移行した場合、図9に示すように第2の無人航空機層4−2における複数の各無人航空機40−2は、低高度リンクにおいて設定されたセキュアゾーンの範囲からそれぞれ逸脱し、互いに離間して地上局5の飛行高度まで降下する。各無人航空機40−2は、自身が管轄する地上局5がそれぞれ割り当てられている。このため、低高度リンクにおいて互いに近接していた複数の無人航空機40−2は、互いに離散し、それぞれの管轄下にある地上局5へ飛行していくこととなる。なお、一の無人航空機40−2に対して必ずしも一の地上局5が割り当てられている場合に限定されるものではなく、一の無人航空機40−2に対して複数の地上局5が割り当てられるものであってもよい。
各無人航空機40−2は、乱数列を重畳させたレーザ光や電波等の信号がブロードキャスト可能な範囲まで互いに接近する。
この地上リンクにおいても、無人航空機40−2及び/又は地上局5は、通信路につき、通信路特性評価を行う。この通信路特性評価方法は、高高度リンク、低高度リンクと同様である。ちなみにこの地上リンクにおいて通信路特性評価を省略するようにしてもよい。
通信路特性評価を通じて、無人航空機40−2と地上局5間に盗聴飛行体が存在しないこと等を確認した後、無人航空機40−2は、生成したRLA (k)を平文として、これを符号化復号化部52にて符号化、暗号化し、無線通信部51を介して地上局5に対してブロードキャストする。このブロードキャストは、地上局5に対して信号をワイヤレス送信するものであればいかなる概念も含まれるものである。こ
複数の無人航空機40−2に向けてブロードキャストされた乱数RLA (k)を平文として含む暗号文からなるデータは、地上局5により受信され、復号化される。この地上リンクにおいて乱数RLA (k)を送信する過程で、例えば物理レイヤ暗号により暗号化するようにしてもよい。物理レイヤ暗号としては、正規受信者である地上局5のSN比と、盗聴者83のSN比とに基づいて、秘匿メッセージ伝送と秘密鍵交換の2つの方式から適宜適切なものを選択して使用するようにしてもよい。秘密メッセージ伝送と秘密鍵交換の具体的な方法は、高高度リンクや低高度リンクと同様であるため説明は省略する。
ここで各地上局5によって受信され復号化されることで得られた乱数を乱数Rn (k)とする。この乱数Rn (k)における上付の(k)は、無人航空機40−2の各空域に対応した番号である。また下付のnは、それぞれの地上局5毎に割り当てられた番号である。k個の各空域において、それぞれi個の地上局5が存在するとき、図10に示すように、その乱数Rn (k)は、それぞれR1 (1)、・・、Ri (1)、R1 (2)、・・、Ri (2)、R1 (k)、・・、Ri (k)となる。この乱数Rn (k)は、乱数RLA (k)と完全に同一である場合もあるが、無線通信の環境に応じて必ずしも同一にならない場合もある。また、地上局5間でも互いに通信環境が異なる場合もあることから、各地上局5間においても受信した乱数Rn (k)が互いに相違する場合がある。但し、これらR1 (1)、・・、Ri (1)、R1 (2)、・・、Ri (2)、R1 (k)、・・、Ri (k)は、あくまで乱数RLA (k)に基づくものであるところ、少なくともある程度は互いに連関するものであり、また乱数RLA (k)に対しても連関するものである。
各地上局5は、図10に示すようにそれぞれメタデータを生成する。各地上局5においてR1 (1)に応じたメタデータをD1 (1)とし、R2 (1)に応じたメタデータをD2 (1)とし、Ri (1)に応じたメタデータをDi (1)とし、Rn (k)に応じたメタデータをDn (k)とする。地上局5は、図11に示すように生成した各メタデータD1 (1)、・・、Di (1)、D1 (2)、・・、Di (2)、D1 (k)、・・、Di (k)を中央基地局6に送信する。これらメタデータDn (k)も同様に、何番目のビット位置を使用するか、何番目のビットをいかに平均化するとどの程度の誤りが生じるか等の情報のみを含ませることにより、公開された通信路上で決して乱数Rn (k)を開示又は示唆することなく、断片的な属性情報のみで確認し合うものとする。また、中央基地局6においても同様に各地上局5に対してメタデータを送信することにより、互いに共通するビット位置を相互に確認しあう。中央基地局6は、全ての地上局からのメタデータDn (k)を受信することができるため、全ての地上局5間において互いに共通するビットの位置や互いに相違するビットの位置等を把握することができる。
中央基地局6は、図11に示すように、これら全ての地上局5間から吸い上げたメタデータDn (k)に基づいて、最終メタデータDfinalを作成し、これを衛星2に向けて送信する。この最終メタデータDfinalは、全ての地上局5において共通するビットの位置に関する情報が反映されたものであるが、具体的なデータの内容としては、上述と同様に何番目のビット位置を使用するか、何番目のビットをいかに平均化するとどの程度の誤りが生じるか等の互いの連関性に関する情報のみを含ませることにより、公開された通信路上で決して乱数Rn (k)を開示又は示唆しないようにする。
衛星2は、このような最終メタデータDfinalを衛星通信部23を介して受信し、自身が保有している乱数データRSTと照合する。最終メタデータDfinalは、各地上局5が取得した乱数R1 (1)、・・、Ri (1)、R1 (2)、・・、Ri (2)、R1 (k)、・・、Ri (k)との間で共通しているビットのビット位置が反映されている。このため衛星2は、この最終メタデータDfinalを取得することにより、乱数データRSTと各地上局5が取得した乱数R1 (1)、・・、Ri (1)、R1 (2)、・・、Ri (2)、R1 (k)、・・、Ri (k)との間で共通しているビットのビット位置を確認することが可能となり、ひいては互いの連関性を確認することが可能となる。
衛星2は、最後に地上局5に対して送信すべきメタデータDfinal´を生成する。このメタデータDfinal´は、RSTと各地上局5が取得した乱数R1 (1)、・・、Ri (1)、R1 (2)、・・、Ri (2)、R1 (k)、・・、Ri (k)との間で共通しているビットのビット位置に関する情報が反映されている。このメタデータDfinal´においても上述と同様に何番目のビット位置を使用するか、何番目のビットをいかに平均化するとどの程度の誤りが生じるか等の連関性に関する情報のみが含まれていることは勿論である。衛星2は、生成したメタデータDfinal´に含ませた内容に基づいて乱数RSTから新たに乱数Rを生成する。また衛星2は、衛星通信部23を介して全ての地上局5に対して図12に示すようにメタデータDfinal´をブロードキャストすることにより送信する。
全ての地上局5は、衛星2からブロードキャストされてくるメタデータDfinal´を受信し、これに基づいて新たに乱数Rを生成する。メタデータDfinal´は、RSTと各地上局5が取得した乱数R1 (1)、・・、Ri (1)、R1 (2)、・・、Ri (2)、R1 (k)、・・、Ri (k)との間で共通しているビットのビット位置に関する情報が反映されていることから、これに基づくことにより、衛星2及び全ての地上局5との間で互いに共通する暗号鍵としての乱数Rを整合させることが可能となる。特にこの乱数Rの生成は、RSTやRi (k)との間で共通のビットのみ残し、互いに相違するビットを削除するのみで実現できる。その共通のビットのみ残す処理を行うことで、上述した共通の乱数Rが作り出されることとなる。これにより、衛星2と各地上局5とは、最終的には互いに共通する乱数データRが共有されることとなる。なおメタデータDfinal、Dfinal´の送受信を通じて、RSTと各地上局5が取得した乱数R1 (1)、・・、Ri (1)、R1 (2)、・・、Ri (2)、R1 (k)、・・、Ri (k)との間で互いに連関性を確認することができるのであれば、他のいかなる方法を使用してもよい。
特にこのRST及びRi (k)は、そもそも初期乱数R0を基調として生成されたものであるから、互いに連関しており、共通しているビットが存在することは勿論であり、互いに連関性の高い乱数列となっている。このため、メタデータの簡単な送受信を通じて互いに共通するビットを見つけられる可能性が高い。
このため、衛星2と各地上局5とは、この乱数Rを暗号鍵としたワンタイムパット暗号を作成して送受信することにより、情報理論的安全性を保証した暗号通信を行うことができる。特に衛星2側において初期乱数生成部21を介して初期乱数R0を無限に作り出すことができるため、これが枯渇してしまう虞も無くなる。衛星2は一度打ち上げてしまうと途中で乱数の補充が殆ど不可能となるが、本発明によれば、衛星2から作り出した初期乱数R0に基づいて、衛星2と各地上局5との間で互いに共通の暗号鍵としての新しい乱数Rを継続的に作り出すことが可能となる。更に本発明によれば各リンク間における暗号通信を、上述した物理レイヤ暗号を用いることでシステム全体につき完全に情報理論的安全性を保証し得るワンタイムパッド暗号に基づく暗号通信を続けることが可能となる。更に衛星2は、地上に張り巡らされた複数の地上局5との間でいわゆる1対多のワンタイムパッド暗号に基づく暗号通信を継続することも可能となる。
実際に運用する際の情報理論的安全性を強化する方法としては、最終的に共有した乱数データRを適切に分割してR'、R"を用意し、乱数R'を用いてFisher-Yatesのシャッフルと呼ばれるランダム並べ替えをR"に施したものをR'''とし、これを暗号鍵として用いるようにしてもよい。
なお本発明は、衛星2と地上局5との間で共通の乱数Rを生成して共有させることを目的としているが、これに限定されるものではない。大型航空機3と地上局5との間で共通の乱数Rを生成して互いに共有させるようにしてもよい。
かかる場合には、暗号鍵共有システム1において衛星2の構成並びに成層圏リンクを省略し、衛星2側において初期乱数R0を生成する代わりに、大型航空機3において初期乱数RSTを生成する。その後は高高度リンクにおける処理動作を同様に実行することにより、大型航空機3において乱数RHAを取得する。低高度リンク、地上リンクは、上述と同様であるが、中央基地局6は、全ての地上局5間から吸い上げたメタデータDn (k)に基づいて、最終メタデータDfinalを作成し、これを大型航空機3に向けて送信する。
大型航空機3は、最終メタデータDfinalを無線通信部33を介して受信し、自身が保有している乱数データRHAと照合する。大型航空機3は、最終メタデータDfinalを取得することにより、乱数データRHAと各地上局5が取得した乱数R1 (1)、・・、Ri (1)、R1 (2)、・・、Ri (2)、R1 (k)、・・、Ri (k)との間で共通しているビットのビット位置を確認することが可能となる。
大型航空機3は、最後に地上局5に対して送信すべきメタデータDfinal´を生成する。このメタデータDfinal´は、RHAと各地上局5が取得した乱数R1 (1)、・・、Ri (1)、R1 (2)、・・、Ri (2)、R1 (k)、・・、Ri (k)との間で共通しているビットのビット位置に関する情報が反映されている。大型航空機3は、生成したメタデータDfinal´に含ませた内容に基づいて乱数RHAから新たに乱数Rを生成する。また大型航空機3は、無線通信部33を介して全ての地上局5に対してメタデータDfinal´を送信する。
全ての地上局5は、大型航空機3から送信されてくるメタデータDfinal´を受信する。そして上述と同様に大型航空機及び全ての地上局5との間で互いに共通する暗号鍵としての乱数Rを共有させることが可能となる。
また上述した実施の形態において、無人航空機層4は、第1の無人航空機層4−1及び第2の無人航空機層4−2の2層に亘って構成される場合を例にとり説明をしたが、これに限定されるものではない。第1の無人航空機層4−1と第2の無人航空機層4−2の間に中継用の無人航空機層4を1層以上に亘り挿入するようにしてもよい。この中継用の無人航空機層4の処理動作方法は、上述した低高度リンクと同様である。
また本発明によれば、無人航空機層4を第1の無人航空機層4の1層で構成するようにしてもよい。かかる場合には、第1の無人航空機層4における無人航空機40−1は、高高度リンクを終了させた後に、地上局5の直上まで降下し、地上リンクにおける処理動作を、第2の無人航空機40−2の代替として無人航空機40−1が行うこととなる。
また本発明によれば、高高度リンクや低高度リンクにおいて、他の航空機から送信されてくる無線信号を複数の無人航空機40を介して伝送するための無人航空機による信号伝送システムとして具現化されるものであってもよい。
高高度リンクにおいては、上空を飛行する大型航空機3から発信された指向性を有する無線信号を受信可能なセキュアゾーンの範囲まで複数の無人航空機40−1を互いに接近させる。そしてセキュアゾーンにて大型航空機3からの無線信号を受信した無人航空機40−1は、当該セキュアゾーンの範囲から逸脱して互いに離間して飛行することで当該無線信号を伝送する。
同様に低高度リンクにおいては、上空を飛行する無人航空機40−1から発信された指向性を有する無線信号を受信可能なセキュアゾーンの範囲まで複数の無人航空機40−2を互いに接近させる。そしてセキュアゾーンにて無人航空機40−1からの無線信号を受信した無人航空機40−2は、当該セキュアゾーンの範囲から逸脱して互いに離間して飛行することで当該無線信号を伝送する。
即ち、高高度リンク、低高度リンク何れにおいても、無人航空機40に対して上空を飛行する他の飛行機(無人航空機40、大型航空機3)から発信された指向性を有する無線信号を受信可能なセキュアゾーンの範囲まで互いに近接するものであれば、いかなる形態で具現化されるものであってもよい。
このとき、送信される無線信号は、上述した乱数に限定されるものではなく、いかなるものであってもよい。また送信される無線信号は、暗号化されている場合に限定されるものではなく、暗号化されていない状態も含む。
上述のような無人航空機40の動作を実現できることで通常の無線信号の伝送はできることは勿論である。また本発明を適用した暗号鍵共有システム1の高高度リンク、低高度リンクにおいても、ビームや電波に指向性を持たせて絞り込んだセキュアゾーンに無人航空機40を飛行させて無線通信することにより、他の無人航空機により傍受されること無く安全に伝送させることが可能となる。
更に本発明は、図13に示すように地上又は地上付近におけるワイヤレス暗号通信においても同様に適用することができる。地上に設置された他の設備としでの中央制御局103が衛星2としての役割を担い、初期乱数RSTを生成し、これを1階層以上からなる移動体層104に向けて暗号通信する。初期乱数RSTに基づいた乱数RST (k)を受信した移動体層104中の移動体141は、上述した無人航空機40であってもよいし、地上を走行する車両、或いは海上を移動する船舶、更には人間も含めて移動可能ないかなる対象物を含む概念である。
移動体141は、中央制御局との間で上記初期乱数RST及び上記乱数RST (k)間の互いの連関性に関する情報の送受信を行うことにより互いに共通の乱数RHAを生成してこれを共有する。
移動体層104は、上述と同様に乱数RHAを中継させることにより末端移動体105に対して上記乱数RHAに基づく乱数RLA (k)を暗号通信する。末端移動体105も移動体141と同様に移動可能ないかなる対象物を含む概念である。
末端移動体105は、乱数RLA (k)に基づいた乱数Rn (k)を受信する。そして、上述した衛星2と地上局5と同様に末端移動体105と中央制御局103とは、でそれぞれが保有する乱数Rn (k)とRHA間の互いの連関性に関する情報の送受信を行う。この連関性に関する情報は、衛星2と地上局5と同様にメタデータDfinal、Dfinal´を互いに送受信するようにしてもよい。これにより互いに共通の乱数Rを生成してこれを共有することができる。