[发明专利]通信设备及密钥管理方法

说明书

相关申请的交叉引用

本申请基于并要求2012年3月28日提交的日本专利申请2012-074276的优先权，其通过引用全部内容将其并入本文中。

技术领域

这里描述的实施例总体上涉及通信设备及密钥管理方法。

背景技术

现在有一个公知的关于量子加密通信的研究计划，称为SECOQC(基于量子加密的安全通信)。SECOQC提出了具有如下功能的技术：基于通过QKD(量子密钥分发)产生的随机数，然后在多个节点中分发并累积而交换密钥，其称为Q3P(量子点到点协议)的协议等。

QKD是一种实现了增强下一代通信安全的方法，并且其服务的安全性是重要的。例如，QKD是革命性的技术，其能够提供非常安全的通信环境。

然而在相关技术中，如果在使用QKD的系统中生成的加密密钥的安全不能保证，则使用QKD的通信的绝对安全就不能实现。具体地，由于来自网络的攻击，例如对通信节点和设置了加密密钥(所述加密密钥来自从其分发的路径)的服务的攻击，导致内部维护的加密密钥泄露。亦即，本发明的任务是研究对所谓的网络攻击的对抗手段。

附图说明

图1是示出了加密通信系统的网络配置的例子的图；

图2是示出了根据第一实施例的加密通信系统的网络配置的图；

图3是示出了根据第一实施例的节点配置的框图；

图4是示出了根据第一实施例的服务使用过程的顺序的图；

图5是示出了根据第一实施例的通信控制单元的框图；

图6是示出了根据第一实施例的密钥获取过程的流程图；

图7是示出了根据第一修改的节点的框图；

图8是示出了根据第二修改的节点的框图；

图9是示出了根据第一实施例的节点的硬件/软件配置的图；

图10是示出了分级配置和管理的链路密钥和应用密钥的概念图；

图11是示出了用于实施分级配置的管理信息的例子的图；

图12是示出了每一层的加密密钥管理模块的框图；

图13是示出了根据第二实施例的节点配置的框图；

图14是示出了根据第三实施例的节点配置的框图；以及

图15是示出了根据第四实施例的节点配置的框图。

具体实施方式

根据实施例，通信设备包括密钥存储单元，配置用于存储加密密钥于其中；接收单元，配置用于接收消息；分析单元，配置用于分析所述消息是否包括访问所述加密密钥的请求；生成单元，配置用于当消息包括所述访问请求时，生成请求信息，所述请求信息用于请求访问加密密钥(其由访问请求发起的请求)；以及访问控制器，配置用于基于所述请求信息控制对所述加密密钥的访问。

将参考附图详细描述各种实施例。

第一实施例

根据第一实施例的通信设备(节点)被配置为没有得到对来自外部网络的加密密钥的直接访问。

图1是示出了加密通信系统的网络配置的例子的图。在多个应用间执行使用加密(应用密钥使用)的加密通信以确保通信安全。

随着技术的发展，用于加密通信的加密机制以及生成用于加密的密钥的机制正逐渐发展。例如，QKD变得流行起来作为提供绝对安全通信的单元。QKD可被用作为加密通信提供加密密钥的功能(服务)。这样的服务(加密密钥生成服务)被配置为独立于加密数据通信。具有这样配置，能够提供增强的加密通信。

图2是示出了根据第一实施例的加密通信系统的网络配置的图。图2示出了通信系统的网络配置的例子，所述通信系统提供独立于加密数据通信的加密密钥生成服务。

如图2所示，根据实施例的加密通信系统包括作为通信设备的节点100a到100c以及应用200a到200c。

当不必要相互区分节点100a到100c时，节点100a到100c被简称为节点100。当不必要相互区分应用200a到200c时，应用200a到200c被简称为应用200。节点100的数目不限于3个。此外，应用200的数目不限于两个。应用200可以与节点100集成实现，或者可以被实现为独立于节点的终端。

节点100a到100c每一个具有生成随机数并与伙伴节点共享随机数的功能，以及使用生成的随机数作为链路密钥在链路上进行加密通信的功能。

节点100可具有生成独立于链路的随机数的功能，以及发送生成的随机数到另一个节点的功能。接下来，将描述节点100a到100c(分别连接到应用200a到200c的节点)具有这些功能的情形。具体地，将描述图2所示的网络配置的例子。