相關申請的交叉引用

本申請基于并要求2012年3月28日提交的日本專利申請2012-074276的優先權，其通過引用全部內容將其并入本文中。

技術領域

這里描述的實施例總體上涉及通信設備及密鑰管理方法。

背景技術

現在有一個公知的關于量子加密通信的研究計劃，稱為SECOQC(基于量子加密的安全通信)。SECOQC提出了具有如下功能的技術：基于通過QKD(量子密鑰分發)產生的隨機數，然后在多個節點中分發并累積而交換密鑰，其稱為Q3P(量子點到點協議)的協議等。

QKD是一種實現了增強下一代通信安全的方法，并且其服務的安全性是重要的。例如，QKD是革命性的技術，其能夠提供非常安全的通信環境。

然而在相關技術中，如果在使用QKD的系統中生成的加密密鑰的安全不能保證，則使用QKD的通信的絕對安全就不能實現。具體地，由于來自網絡的攻擊，例如對通信節點和設置了加密密鑰(所述加密密鑰來自從其分發的路徑)的服務的攻擊，導致內部維護的加密密鑰泄露。亦即，本發明的任務是研究對所謂的網絡攻擊的對抗手段。

附圖說明

圖1是示出了加密通信系統的網絡配置的例子的圖；

圖2是示出了根據第一實施例的加密通信系統的網絡配置的圖；

圖3是示出了根據第一實施例的節點配置的框圖；

圖4是示出了根據第一實施例的服務使用過程的順序的圖；

圖5是示出了根據第一實施例的通信控制單元的框圖；

圖6是示出了根據第一實施例的密鑰獲取過程的流程圖；

圖7是示出了根據第一修改的節點的框圖；

圖8是示出了根據第二修改的節點的框圖；

圖9是示出了根據第一實施例的節點的硬件/軟件配置的圖；

圖10是示出了分級配置和管理的鏈路密鑰和應用密鑰的概念圖；

圖11是示出了用于實施分級配置的管理信息的例子的圖；

圖12是示出了每一層的加密密鑰管理模塊的框圖；

圖13是示出了根據第二實施例的節點配置的框圖；

圖14是示出了根據第三實施例的節點配置的框圖；以及

圖15是示出了根據第四實施例的節點配置的框圖。

具體實施方式

根據實施例，通信設備包括密鑰存儲單元，配置用于存儲加密密鑰于其中；接收單元，配置用于接收消息；分析單元，配置用于分析所述消息是否包括訪問所述加密密鑰的請求；生成單元，配置用于當消息包括所述訪問請求時，生成請求信息，所述請求信息用于請求訪問加密密鑰(其由訪問請求發起的請求)；以及訪問控制器，配置用于基于所述請求信息控制對所述加密密鑰的訪問。

將參考附圖詳細描述各種實施例。

第一實施例

根據第一實施例的通信設備(節點)被配置為沒有得到對來自外部網絡的加密密鑰的直接訪問。

圖1是示出了加密通信系統的網絡配置的例子的圖。在多個應用間執行使用加密(應用密鑰使用)的加密通信以確保通信安全。

隨著技術的發展，用于加密通信的加密機制以及生成用于加密的密鑰的機制正逐漸發展。例如，QKD變得流行起來作為提供絕對安全通信的單元。QKD可被用作為加密通信提供加密密鑰的功能(服務)。這樣的服務(加密密鑰生成服務)被配置為獨立于加密數據通信。具有這樣配置，能夠提供增強的加密通信。

圖2是示出了根據第一實施例的加密通信系統的網絡配置的圖。圖2示出了通信系統的網絡配置的例子，所述通信系統提供獨立于加密數據通信的加密密鑰生成服務。

如圖2所示，根據實施例的加密通信系統包括作為通信設備的節點100a到100c以及應用200a到200c。

當不必要相互區分節點100a到100c時，節點100a到100c被簡稱為節點100。當不必要相互區分應用200a到200c時，應用200a到200c被簡稱為應用200。節點100的數目不限于3個。此外，應用200的數目不限于兩個。應用200可以與節點100集成實現，或者可以被實現為獨立于節點的終端。

節點100a到100c每一個具有生成隨機數并與伙伴節點共享隨機數的功能，以及使用生成的隨機數作為鏈路密鑰在鏈路上進行加密通信的功能。

節點100可具有生成獨立于鏈路的隨機數的功能，以及發送生成的隨機數到另一個節點的功能。接下來，將描述節點100a到100c(分別連接到應用200a到200c的節點)具有這些功能的情形。具體地，將描述圖2所示的網絡配置的例子。