在目前的网络中，使用诸如共享密钥加密的数学加密作为加密方法。 典型的示例包括流密码(经典加密)。图18是示出应用了流密码的普通 发送/接收系统的结构的框图，图18所示的发送/接收系统100被配置为 提供在合法发送者侧的用于对明文(plain text)进行加密的加密器110、 以及在合法接收者侧的用于对经由网络等发送的密文进行解码的密文解 码器120。
这里，将加密器110配置为提供伪随机数产生器111和调制部112 (异或算术单元)。伪随机数产生器111基于预先设置的加密密钥K产生 并输出伪随机数ri，例如，如果加密密钥K是100位的二进制数，则产 生一个(2100-1)位的二进制数作为伪随机数ri(即，以(2100-1)位为周期的 伪随机数)。调制部112计算要加密的明文xi与由伪随机数产生器111产 生的伪随机数的异或(XOR)，并输出其作为密文ci。换言之，调制部112 基于伪随机数ri对明文xi加密并输出其作为密文ci。
将密文解码器120配置为提供伪随机数产生器121和解调部(异或 算术单元)122。伪随机数产生器121基于与加密器110的伪随机数产生 器111相同的加密密钥K，产生并输出与伪随机数产生器111同步的伪随 机数ri。解调部122计算从加密器110发送的密文ci与由伪随机数产生 器121产生的伪随机数ri的异或(XOR)，并输出其作为明文xi。换言之， 解调部122基于与加密器110侧的伪随机数ri同步的伪随机数ri(该伪 随机数是基于与在加密器110侧用于产生伪随机数ri的加密密钥K相同 的加密密钥而产生的)，对密文ci进行解码并输出其作为明文xi。
在应用了这样的流密码的发送/接收系统100中，存在这样的可能： 通过被称为已知明文攻击的攻击方法可将密文ci解码。已知明文攻击是 这样一种攻击方法，通过该方法，拦截者不仅拦截密文ci而且取得被加 密成密文之前的明文xi，通过核对所述密文ci和明文xi获得伪随机数， 并且使用该伪随机数对除了已获得其明文部分之外的密文进行解码。
由于伪随机数产生器111基于加密密钥K按伪方式(pseudo manner) 计算并输出看起来是随机数的数字序列，所以如果获得的从伪随机数产 生器111输出的伪随机数序列的长度超过加密密钥K的数字位数，则可 根据伪随机数序列反算出加密密钥K，结果可再现所有的伪随机数。例如， 如果获得了100比特的密文和对应于该密文的100比特的明文，则反算 出100比特的加密密钥，并且将其他密文解码。
在这种情况下，最近，对于包括上述已知明文攻击的任何攻击方法， 量子密码技术被认为是不可破解的(无条件安全)。例如，在下面的专利 文献1和2中，提出了一种称为Yuen密码(Y-00方案量子加密法)的技 术或者称为量子流密码的技术。Y-00方案量子加密法是使用量子力学非 正交态中的多种量子状态作为多值信号的量子密码通信。
下面参照图19来解释通过使用相干状态下的光束作为量子状态，用 多级相位调制方案来实现Y-00方案量子加密法的情况。
被布置为具有邻近相位角的相干光束依次分配有1比特“0”的明文 和1比特“1”的明文。在图19所示的示例中，布置在角φi-1、φi、φi+1 和φ1+2的相干光束分别分配有明文“0”、“1”、“0”、“1”、……。
当由光子的数量表示的光强大约为10000时，相位多级信号的排列 的间隔被设计为通过执行大约200级的多级相位调制，而使相位角接近 的相干光束因量子波动(相干噪声)而不能彼此区分。在图19所示的示 例中，相位多级信号的排列的间隔被设计为通过对相位角φi的相干光执 行多级相位调制而使分别布置在邻近相位角φi-1、φi+1上的两条相干光束 位于量子波动内。
另一方面，相位角彼此相差180度的相干光束分配有具有相反比特 的明文。例如，当位于0度相位角的相干光束被分配1比特“0”的明文 时，位于180度相位角的相干光束就被分配1比特“1”的明文。将相位 角彼此相差180度的这些相干光束当作集合，使用发送者侧和接收者侧 用其进行同步的伪随机数，确定使用哪一个集合来表示1比特的明文， 并且对于各1比特的明文的通信，将伪随机数切换为另一个。
在图19所示的示例中，相位角为φi-1、φi、φi+1和φi+2、……的各 个相干光束分配有明文“0”、“1”、“0”、“1”、……，并且相位角彼此相 差180度的相干光束(即，相位角为φi-1+180°、φi+180°、φi+1+180°、 φi+2+180°、……的各个相干光束)分配有明文“1”、“0”、“1”、“0”、……。 此时，当设置了相位角彼此不同的N(N是偶数)条相干光束时，结果， 设置了相位角相差180度的相干光的N/2个集合，并且产生了N/2个整 数值中(例如，0到(N/2-1)中)的一个值作为伪随机数。然后，当发 送1比特“1”的明文时，如果例如产生了“i”作为伪随机数，则选择 相位角为φi和φi+180°的相干光束的集合并执行对相位角为φi的相干 光束的多级相位调制，从而相位角为φi的该相干光束以及相位角为φi-1 和φi+1的邻近相干光束位于量子波动之内，并因而发出多级相位调制之 后的光信号。
由于接收侧使用与发送侧同步的伪随机数来知晓使用哪个集合的相 干光束，因此，可以通过区分相位角相差180度的两个状态来判断明文 是“1”还是“0”。
此时，由于量子波动小，所以虽然对于接收到相位角相差180度的 两条相干光束中的哪一条进行区分并不会受到阻碍，但对相位角彼此接 近的相干光束(区分距离小)进行区分受到了阻碍。然而，拦截者不知 道合法发送者和接收者使用的伪随机数，因此，他/她不可能知道通信中 使用了相干光束的集合中的哪一个集合。
由此，为了对拦截的密文进行解码，拦截者需要正确地知道发送者 发送的相干光束的相位，以对经历了多级相位调制的光信号进行解调， 然而，即使拦截者拦截了通过发送通道的相干光束，因为该相关光束被 埋在量子波动中，所以拦截者也不可能从相位角与正在考虑的相干光束 的相位角相近的相干光束中区分指示明文的状态(“1”或“0”)的相干 光束。
例如，如果接收侧接收到这样的光信号：该光信号已经历了多级相 位调制从而相位角为φi的相干光束以及相位角为φi-1和φi+1的相干光束 位于量子波动内，则拦截者必须在相位角为φi-1、φi和φi+1的相干光束 (具有小的区分距离的相干光束)之间进行区分，因此，不可能解码。 与此相反，合法接收者基于与发送者侧的伪随机数同步的伪随机数，可 以知道使用了相位角为φi和φi+180°的相干光束的集合，因此，可以 区分相位角相差180度的两个状态，以进行解调从而知道明文是“1”， 并对密文解码。
如上所述，因为信息被设计成依靠量子波动而无法区分，所以根据 Y-00方案量子加密法与没有量子波动的经典加密法相比，可以确保极高 的安全性。作为进一步提高安全性的技术，已开发出不规则地改变要发 送的多级信号的权衡信号随机化(DSR)理论(参照非专利文献1和3)。
另一方面，因为上述方案使用量子力学的通信介质，所以该方案不 能对电信号或电磁波使用。已在Tamagawa大学等中研究一种称为经典 Y-00方案的方案，虽然就安全性而言比量子系统差，但是该方案在经典 物理系统中执行这样的加密法。
[非专利文献1]H.P.Yuen，”A New Approach to Quantum Cryptography”，quant-ph/0311061 v6(30 Jul 2004)
[非专利文献2]O.Hirota，K.Kato，M.Sohma，T.Usuda，K. Harasawa，“Quantum stream cipher based on optical communications”，Proc.On Quantum communication and quantum imaging，Proc.of SPIE，vol-5551，pp206-219，2004
[非专利文献3]T.Tsuchimoto，T.Tomari，S.Usami，T.Usuda， I.Takumi，″Quantum optimum detection properties for mixed state by DSR″，The 27th Information Theory and Applications Symposium， vol-1，pp.359-362，December，2004。
为了在上述量子系统中执行Y-00方案，必须使用具有量子力学属性 的通信介质，因此，该方案的应用范围受到限制。在这种情况下，本发 明的申请人提出了一种经典Y-00方案，其使用经典物理系统中的伪随机 数和物理噪声来执行Y-00方案(例如，日本专利申请第2004-260512号 等)。然而，到目前为止，该经典Y-00方案的实施例利用模拟DSR，因此， 其输出必须是多级信号，因而该加密技术无法应用于诸如电存储器、软 盘、CD(高密度盘)和DVD(数字多用盘)等的记录介质。
随后，本发明的申请人提出了一种通过使用经典伪随机数代替Yuen 量子加密法方案中的量子波动而具有比传统数学加密大得多的加密强 度、并且能够实现可应用于各种介质的经典Yuen加密法的技术(参照日 本专利申请第2005-276117号)。在该技术中，根据伪随机数的多级修改 的输出还要经历调制，在该调制中，执行根据物理随机数的离散DSR技 术，因而获得离散信号输出，并因此使得可以执行期望的信道编码。由 此，提出了经典Y-00方案加密，该加密具有比传统数学加密大得多的加 密强度，并且能够在电存储器以及可以在电磁波通信和电通信中使用的 各种记录介质中被存储为数据，还能够使对没有受噪声影响的通信速率 的影响最小化。

这一次，本发明的申请人新开发了一种加密/密文解码技术，该技术 可应用于各种介质并且通过使用与上述经典Y-00方案加密法不同的方法 而具有比传统数学加密大得多的加密强度(与上述经典Y-00方案加密法 相同的加密强度)。因此，本发明的目的在于公开和提供一种加密/密文 解码技术。
为了实现上述目的，本发明提供了一种加密方法，其特征在于，其 包括：
调制步骤，用于通过将1比特输入数据与由伪随机数和物理随机数 确定的至少两比特的离散值相关联来将所述1比特输入数据调制为经编 码信号，以及用于产生所述离散值作为所述经编码信号；以及
信道编码步骤，用于对所述经编码信号进行信道编码并输出经信道 编码的所述经编码数据作为加密的数据，其中：
1)根据所述伪随机数可将所述经编码信号解调为所述输入数据；
2)与所述离散值的特定值相对应的所述输入数据、所述伪随机数和 所述物理随机数的集合的数量，对于所述输入数据的两种值各自而言， 在数量上相等；以及
3)与所述输入数据的各个值以及所述离散值的各个值相对应的所述 伪随机数和所述物理随机数的集合的数量也与所述输入数据和所述离散 值的任何集合相等地关联。
此外，一种本发明的加密方法，特征在于，其包括调制步骤，该步 骤用于通过将1比特输入数据与由伪随机数和物理随机数确定的离散值 相关联来将所述1比特输入数据调制为经编码信号，以及用于产生所述 离散值作为所述经编码信号，其中：
1)通过所述伪随机数可将所述经编码信号解调为所述输入数据；
2)与所述离散值的特定值相对应的所述输入数据、所述伪随机数和 所述物理随机数的集合的数量，对于所述输入数据的两种值各自而言， 在数量上相等；以及
3)与所述输入数据的各个值以及所述离散值的各个值相对应的所述 伪随机数和所述物理随机数的集合的数量也与所述输入数据和所述离散 值的任何集合相等地关联；以及
其中：
所述调制步骤假定在所述伪随机数的状态数为4、所述物理随机数 的状态数为2、并且所述离散值的状态数为4，而产生所述经编码信号。
此时，可将基于周期性或非周期性地改变为由物理随机数确定的值 的加密密钥而产生的第二伪随机数用作所述物理随机数。
一种本发明的密文解码方法，特征在于其包括对经编码信号进行解 调的解调步骤，所述经编码信号是通过执行调制以将1比特输入数据与 由伪随机数和物理随机数确定的离散值相关联而获得的，所述调制假定：
所述伪随机数的状态数为4、所述物理随机数的状态数为2、并且所 述离散值的状态数为4；以及
1)通过所述伪随机数可将所述经编码信号解调为所述输入数据；
2)与所述离散值的特定值相对应的所述输入数据、所述伪随机数和 所述物理随机数的集合的数量，对于所述输入数据的两种值各自而言， 在数量上相等；以及
3)与所述输入数据的各个值以及所述离散值的各个值相对应的所述 伪随机数和所述物理随机数的集合的数量也与所述输入数据和所述离散 值的任何集合相等地关联；
其中：所述解调步骤通过基于加密密钥的伪随机数将所述经编码信 号解调为所述输入数据，所述加密密钥与已产生在所述调制中使用的所 述伪随机数的加密密钥相同。
一种本发明的加密器，特征在于其包括：
伪随机数产生部，用于基于加密密钥产生伪随机数；
物理随机数产生部，用于基于物理现象产生物理随机数；
调制部，用于通过执行调制以将1比特输入数据与由所述伪随机数 产生部产生的所述伪随机数和由所述物理随机数产生部产生的所述物理 随机数确定的离散值相关联，来产生经编码信号，其中所述调制部假定：
所述伪随机数的状态数为4、所述物理随机数的状态数为2、并且所 述离散值的状态数为4；以及
1)通过所述伪随机数可将所述经编码信号解调为所述输入数据；
2)与所述离散值的特定值相对应的所述输入数据、所述伪随机数和 所述物理随机数的集合的数量，对于所述输入数据的两种值各自而言， 在数量上相等；以及
3)与所述输入数据的各个值以及所述离散值的各个值相对应的所述 伪随机数和所述物理随机数的集合的数量也与所述输入数据和所述离散 值的任何集合相等地关联。
在这种加密器中，所述伪随机数产生部、所述物理随机数产生部和 所述调制部可以布置在防篡改区中，以抑制由所述物理随机数产生部产 生的物理随机数中的物理干扰所引起的概率分布变化以及抑制所述加密 密钥和所述伪随机数的泄漏，或者可将所述伪随机数产生部配置为禁止 重置和重复所述伪随机数产生操作。此外，本发明的加密器可包括：
非易失性第一保存部，用于保存时钟信号的输入次数，以使所述伪 随机数产生部按照所述伪随机数输出次数执行所述伪随机数产生操作， 以及用于响应于来自所述防篡改区的外部的命令，将所述输出次数输出 到所述防篡改区的外部；以及
同步调节部，用于基于从所述第一保存部中读取的所述输出次数， 调节来自所述伪随机数产生部的所述伪随机数的输出次数，以使所述伪 随机数产生部的所述伪随机数产生操作与在所述经编码信号的目的通信 装置中的密文解码器的解调用伪随机数产生部的解调用伪随机数产生操 作同步。此外，本发明的加密器可包括：
非易失性第二保存部，用于保存与所述目的通信装置的随机数表相 同的随机数表；
密文发送部，用于基于在所述第二保存部中保存的所述随机数表将 从所述第一保存部中读取的所述伪随机数输出次数加密为加密的同步信 息，并将所述加密的同步信息发送到所述目的通信装置；以及
解码接收部，用于基于在所述第二保存部中保存的所述随机数表， 将从所述目的通信装置接收到的加密的同步信息解码为解调用伪随机数 的输出次数，以及
当在所述目的通信装置侧由所述解码接收部解码的所述解调用伪随 机数输出次数大于从所述第一保存部中读取的所述伪随机数输出次数 时，所述同步调节部可将来自所述伪随机数产生部的所述伪随机数输出 次数调节为所述目的通信装置侧的所述解调用伪随机数输出次数。
此外，一种本发明的加密方法，特征在于其包括调制步骤，该步骤 用于通过将1比特输入数据与由伪随机数和物理随机数确定的离散值相 关联来将所述1比特输入数据调制为经编码信号，以及用于产生所述离 散值作为所述经编码信号，
其中：
1)通过所述伪随机数可将所述经编码信号解调为所述输入数据；
2)与所述离散值的特定值相对应的所述输入数据、所述伪随机数和 所述物理随机数的集合的数量，对于所述输入数据的两种值各自而言， 在数量上相等；以及
3)与所述输入数据的各个值以及所述离散值的各个值相对应的所述 伪随机数和所述物理随机数的集合的数量也与所述输入数据和所述离散 值的任何集合相等地关联，
其中：
所述调制步骤假定所述伪随机数的状态为四种状态0、1、2和3之 一、所述物理随机数的状态为两种状态0和1之一、并且所述离散值的 状态数为四种状态0、1、2和3之一，而产生所述经编码信号，
其中：
如果假定给予所述输入数据的每一比特的序列号是i，分配给输入 数据、伪随机数、物理随机数和离散值的集合模式的数是k，k是从0到 15的整数，则所述输入数据为xk，i，所述伪随机数为rk，i，所述物理随机 数为fk，i，且所述离散值为sk，i，当k是从0到7的任一整数时，所述输 入数据xk，i＝0；当k是从8到15的任一整数时，所述输入数据xk，i＝1；当 k是整数0、1、8、9中的任何一个时，所述伪随机数rk，i＝0；当k是整数 2、3、10、11中的任何一个时，所述伪随机数rk，i＝1；当k是整数4、5、 12、13中的任何一个时，所述伪随机数rk，i＝2；当k是整数6、7、14、 15中的任何一个时，所述伪随机数rk，i＝3；当k是偶数时，所述物理随机 数fk，i＝0；当k是奇数时，所述物理随机数fk，i＝1，那么所述离散值sk，i 的典型集合Sj＝(s0，i，s1，i，s2，i，s3，i，s4，i，s5，i，s6，i，s7，i，s8，i，s9，i，s10，i， s11，i，s12，i，s13，i，s14，i，s15，i)(j是从1到6的整数)为
S1＝(0，1，0，1，2，3，2，3，2，3，2，3，0，1，0，1)
S2＝(0，1，0，2，1，3，2，3，2，3，1，3，0，2，0，1)
S3＝(0，1，0，3，1，2，2，3，2，3，1，2，0，3，0，1)
S4＝(0，2，0，2，1，3，1，3，1，3，1，3，0，2，0，2)
S5＝(0，2，0，3，1，2，1，3，1，3，1，2，0，3，0，2)
S6＝(0，3，0，3，1，2，1，2，1，2，1，2，0，3，0，3)，以及
其中：
所述调制步骤使用六种典型集合S1至S6中的任何一种来产生所述经 编码信号。
此时，本发明的加密方法可以是这样一种方法，其中：
分别定义作为u和v的两个数值，所述两个数值分别给定为从0到 3的任一整数；定义作为w的数值，所述数值给定为从0到3的整数中未 被选择为所述数值u或v的整数；以及
所述调制步骤使用对于所述六种典型集合Sj中的所述离散值sk，i执 行以下替换
s’2u，i＝s2v，i
s’2u+1，i＝s2v+1，i
s’2u+8，i＝s2v+8，i
s’2u+9，i＝s2v+9，i
s’2w，i＝s2w,i
s’2w+1，i＝s2w+1，i
s’2w+8，i＝s2w+8，i
s’2w+9，i＝s2w+9，i
而获得的集合S’j＝(s’0，i，s’1，i，s’2，i，s’3，i，s’4，i，s’5，i，s’6，i， s’7，i，s’8，i，s’9，i，s’10，i，s’11，i，s’12，i，s’13，i，s’14，i，s’15，i)， 来产生所述经编码信号。
此外，本发明的加密方法可以是这样一种方法，其中：
定义作为m的数值，所述数值给定为从0到7的整数中的一个整数； 定义作为n的数值，给定为从0到7的整数中未被所述数值m选择的整 数；以及
所述调制步骤使用对于所述六种典型集合S’j中的所述离散值s’k，i 执行以下替换
s”2m+1，i＝s’2m，i
s”2m，i＝s’2m+1，i
s”2n，i＝s’2n，i
s”2n+1，i＝s’2n+1，i
而获得的集合S”j＝(s”0，i，s”1，i，s”2，i，s”3，i，s”4，i，s”5，i，s”6，i， s”7，i，s”8，i，s”9，i，s”10，i，s”11，i，s”12，i，s”13，i，s”14，i，s”15，i)， 来产生所述经编码信号。
一种本发明的密文解码器，其特征在于，将经编码信号解调为输入 数据，所述经编码信号是通过执行调制以将1比特输入数据与由伪随机 数和物理随机数确定的离散值相关联而获得的，所述调制假定：
所述伪随机数的状态数为4、所述物理随机数的状态数为2、并且所 述离散值的状态数为4；以及
1)通过所述伪随机数可将所述经编码信号解调为所述输入数据；
2)与所述离散值的特定值相对应的所述输入数据、所述伪随机数和 所述物理随机数的集合的数量，对于所述输入数据的两种值各自而言， 在数量上相等；以及
3)与所述输入数据的各个值以及所述离散值的各个值相对应的所述 伪随机数和所述物理随机数的集合的数量也与所述输入数据和所述离散 值的任何集合相等地关联，
所述密文解码器包括：
解调用伪随机数产生部，用于基于与已产生在所述调制中使用的所 述伪随机数的加密密钥相同的加密密钥，产生解调用伪随机数；以及
解调部，用于通过由所述解调用伪随机数产生部产生的所述解调用 伪随机数将所述经编码信号解调为所述输入数据。
在这种密文解码器中，所述解调用伪随机数产生部和所述解调部可 以布置在防篡改区中以防止所述加密密钥和所述解调用伪随机数的泄 漏，或者，可将所述解调用伪随机数产生部配置为禁止重置和重复所述 解调用伪随机数产生操作。此外，本发明的密文解码器可包括：
非易失性第一保存部，用于保存时钟信号的输入次数，以使所述解 调用伪随机数产生部按照所述解调用伪随机数输出次数执行所述解调用 伪随机数产生操作，以及用于响应于来自所述防篡改区的外部的命令， 将所述输出次数输出到所述防篡改区的外部；以及
同步调节部，用于基于从所述第一保存部中读取的所述输出次数， 调节所述解调用伪随机数产生部的所述解调用伪随机数输出次数，以使 所述解调用伪随机数产生部的所述解调用伪随机数产生操作与在所述经 编码信号的发送方通信装置中的加密器的伪随机数产生部的伪随机数产 生操作同步。此外，本发明的密文解码器可包括：
非易失性第二保存部，用于保存与所述发送方通信装置的随机数表 相同的随机数表；
密文发送部，用于基于在所述第二保存部中保存的所述随机数表将 从所述第一保存部中读取的所述解调用伪随机数输出次数加密为加密的 同步信息，并将所述加密的同步信息发送到所述发送方通信装置；以及
解码接收部，用于基于在所述第二保存部中保存的所述随机数表， 将从所述发送方通信装置接收到的加密的同步信息解码为伪随机数的输 出次数，其中
当在所述发送方通信装置侧由所述解码接收部解码的所述伪随机数 输出次数大于从所述第一保存部中读取的所述解调用伪随机数输出次数 时，所述同步调节部将所述解调用伪随机数产生部的所述解调用伪随机 数输出次数调节为所述发送方通信装置侧的所述伪随机数输出次数。
一种本发明的通信系统，特征在于其包括：
根据权利要求5和权利要求9至12中的任何一个的加密器，所述加 密器包括在所述经编码信号的发送方通信装置中，并将所述经编码信号 作为多个包发送到目的通信装置；和
根据权利要求13至17中的任何一个的密文解码器，所述密文解码 器包括在所述经编码信号的目的通信装置中，并对从所述发送方通信装 置的所述加密器接收到的每个包中所述经编码信号进行解码，其中：
在要从所述加密器发送到所述密文解码器的各个包的头部中描述对 各个包的容器部中的所述经编码信号的所述调制中使用的关于所述多个 包的序列号或者所述伪随机数输出次数；以及
所述密文解码器包括：
包保存部，用于保存来自所述加密器的所述多个包；和
排列部，用于将在所述包保存部中保存的所述多个包排列成按照各 个包的头部中描述的所述序列号或所述输出次数的顺序，并将其输入到 所述解调部。
在这种通信系统中，在要从所述加密器发送到所述密文解码器的各 个包的容器部中的所述经编码信号中，可包括所述序列号或所述输出次 数，并且所述密文解码器可包括：
第一比较部，用于比较在各个包的头部中描述的所述序列号或所述 输出次数与包括在所述解调部对所述经编码信号的解调结果中的所述序 列号或所述输出次数；和
包丢弃部，用于当所说第一比较部的比较结果为所述序列号或所述 输出次数不一致时丢弃包。
此外，在这种通信系统中，在要从所述加密器发送到所述密文解码 器的各个包的容器部中的所述经编码信号中，可包括由所述伪随机数产 生部产生的伪随机数序列作为关于所述包的固有认证码；并且所述密文 解码器可包括：
第二比较部，用于比较包括在所述解调部对所述经编码信号的解调 结果中的所述认证码与由所述解调用伪随机数产生部产生的对应于所述 认证码的解调用伪随机数序列；和
包丢弃部，用于当所述第二比较部的比较结果为所述认证码不一致 时丢弃包。
根据上述的本发明，执行使用物理随机数的离散DSR技术，可获得 两比特的离散信号输出，因此可以执行期望的信道编码，由此可以提供 一种具有比传统数学加密大得多的加密强度(与上述经典Y-00方案加密 法的加密强度相同的加密强度)的加密/密文解码技术，并且该加密/密 文解码技术能够作为数据存储在电存储器和可在电磁波通信和电通信中 使用的各种记录介质中，并且还能够使对通信速率的影响最小化且不受 噪声影响。
附图说明
图1是示出了根据本发明第一实施例的加密器的结构的框图。
图2是示出了根据本发明第一实施例的密文解码器的结构的框图。
图3是示出了当伪随机数的状态数为2、物理随机数的状态数为2、 调制输出(离散值)的状态数为2时(2-2-2型)调制用三变元函数(编 码表)的示例的图。
图4是示出了当伪随机数的状态数为2、物理随机数的状态数为2、 调制输出(离散值)的状态数为4时(2-2-4型)调制用三变元函数(编 码表)的示例的图。
图5是示出了当伪随机数的状态数为4、物理随机数的状态数为2、 调制输出(离散值)的状态数为4时(4-2-4型)调制用三变元函数(编 码表)的示例的图。
图6(A)是示出了关于图5所示的输出示例(1)的编码表的图， 图6(B)是示出了与图6(A)所示的编码表相对应的解码表(解调用二 变元函数)的图，图6(C)是示出了重写为二进制数的图6(B)所示的 解码表的图。
图7(A)是示出了关于图5所示的输出示例(7)的编码表的图， 图7(B)是示出了与图7(A)所示的编码表相对应的解码表(解调用二 变元函数)的图，图7(C)是示出了重写为二进制数的图7(B)所示的 解码表的图。
图8是示意性地示出了关于图6(A)所示的编码表的明文、伪随机 数和物理随机数之间的对应关系的图。
图9是示意性地示出了关于图7(A)所示的编码表的明文、伪随机 数和物理随机数之间的对应关系的图。
图10是示出了当伪随机数的状态数为8、物理随机数的状态数为2、 调制输出(离散值)的状态数为4时(8-2-4型)调制用三变元函数(编 码表)的示例的图。
图11是示出了根据本发明第二实施例的加密器的结构的框图。
图12是示出了根据本发明第二实施例的密文解码器的结构的框图。
图13是具体解释图11所示的加密器的加密操作的图。
图14是示出了第二实施例中的加密器的变型例的结构的框图。
图15是示出了第二实施例中的密文解码器的变型例的结构的框图。
图16是具体解释图14所示的加密器的加密操作的图。
图17是示出了本发明中用来代替物理随机数产生器的伪随机数产 生器的结构的框图。
图18是示出了应用了流密码的普通发送/接收系统的结构的框图。
图19是解释Y-00方案量子加密法的图。
图20是解释当伪随机数的状态数为4、物理随机数的状态数为2、 调制输出(离散值)的状态数为4时(4-2-4型)调制用三变元函数(编 码表)的所有示例的图。
图21是示出了根据本发明第三和第四实施例的通信系统的整体结 构的框图。
图22是示出了根据本发明第三实施例的加密器的结构的框图。
图23是示出了根据本发明第三实施例的密文解码器的结构的框图。
图24是示出了根据本发明第四实施例的加密器的结构的框图。
图25是示出了根据本发明第四实施例的密文解码器的结构的框图。
图26(A)是示出了第四实施例中将认证码和输出次数并入到输入 数据(明文)中的示例的图，图26(B)是示出了打包后的图26(A)所 示的输入数据(明文)的示例的图。
图27是示出了根据本发明第五和第六实施例的通信系统的整体结 构的框图。
图28是示出了根据本发明第五实施例的加密器的结构的框图。
图29是示出了根据本发明第五实施例的密文解码器的结构的框图。
图30是示出了根据本发明第六实施例的加密器的结构的框图。
图31是示出了根据本发明第六实施例的密文解码器的结构的框图。
图32是示出了根据本发明第七和第八实施例的通信系统的整体结 构的框图。
图33是示出了根据本发明第七实施例的加密器的结构的框图。
图34是示出了根据本发明第七实施例的密文解码器的结构的框图。
图35是示出了根据本发明第八实施例的加密器的结构的框图。
图36是示出了根据本发明第八实施例的密文解码器的结构的框图。

下面将参照附图解释本发明的实施例。
[1]第一实施例中的加密器的结构
图1是示出了根据本发明第一实施例的加密器的结构的框图，如图 1所示，第一实施例中的加密器10被配置为提供了：伪随机数产生器11、 物理随机数产生器12、调制部13和信道编码部14。
伪随机数产生器(第一伪随机数产生部、调制用伪随机数产生部) 11基于预先设置的加密密钥K产生并输出调制用伪随机数(第一伪随机 数)ri。例如，如果加密密钥K是100位的二进制数，则从伪随机数产生 器11产生一个(2100-1)位的二进制数，即，以(2100-1)位为周期的伪随机 数。将来自伪随机数产生器11的输出视为伪随机数ri。在本实施例中， 伪随机数ri用四个整数0、1、2和3作为其状态。换言之，ri∈{0，1，2， 3}。
物理随机数产生器(物理随机数产生部)12基于物理现象产生物理 随机数fi。使用本质上随机的现象(诸如自然世界的噪声、宇宙射线、 热波动(热噪声)、以及放射性同位素的衰变)作为物理现象，并且通过 使用这样的物理现象，物理随机数产生器12可产生这样的随机数序列， 该随机数序列不需要加密密钥，没有再现性或周期性，因而不可预测。 将来自物理随机数产生器12的输出视为物理随机数fi。在本实施例中， 物理随机数fi用两个整数0和1作为其状态。换言之，fi∈{0，1}。另外， 例如，还可使用随机数产生器18(将随后参照图17对其进行描述)来代 替物理随机数产生器12。
调制部13通过将明文xi与两比特的离散值相关联而将该明文xi调 制为二进制数输入数据，并输出为调制输出si，所述两比特的离散值是 由伪随机数产生器11产生的调制用伪随机数ri和物理随机数产生器12 产生的物理随机数fi确定的。在本实施例中，如上所述，伪随机数ri的 状态数为4，物理随机数fi的状态数为2，调制输出si的状态数为4，并 且在调制部13中，将调制输出si视为调制用三变元函数的输出，该调制 用三变元函数三个变元为：明文xi、伪随机数ri和物理随机数fi。在本 发明中，调制用三变元函数表示为si＝M(xi，ri，fi)。
具体地，所述调制用三变元函数基于随后将参照图5至图7描述的 编码表，将输出si与明文xi、伪随机数ri和物理随机数fi联系起来，并 将明文xi、伪随机数ri、物理随机数fi和输出si之间的对应关系设置为 同时满足以下项[I]、[II]和[III]中的所有条件。此外，输出(离散值) si用四个整数0、1、2和3作为其状态。换言之，si∈{0，1，2，3}。
[I]可以根据伪随机数ri将通过对加密的数据(密文ci)进行信道解 码而获得的解码的信号di(随后将描述)解调为明文xi作为输入数据。 换言之，合法接收者仅根据合法伪随机数ri而不需要知道合法发送者所 使用的物理随机数fi就可对解码的信号di进行解码。
[II]与输出(离散值)si相对应的明文xi的两个值(0、1)的各自 的数量相等。项[II]中的条件是“密文”的本质，并且是防止密文(实 际上，解码的信号di等于通过拦截密文ci而获得的si)唯一地对应于明 文xi的条件。通过满足项[II]的条件，对于不知道合法发送者或接收者 使用的伪随机数ri或物理随机数fi的拦截者来说，看起来密文中任何一 个值以相同的概率对应于明文xi的值0和1，因此，拦截者不可能将明文 xi与密文唯一地进行关联。具体地，如将参照图8和图9随后所描述的， 将上述三变元函数(编码表)设置为与调制部13的输出si相对应的明文 xi为“1”的情况的数量与所述明文xi为“0”的情况的数量相等，即， 如果物理随机数fi和伪随机数ri是随机的，则调制输出si的状态也是随 机分布的。
[III]相同数量(这里，每种一个)的多个(这里为两个)不同的伪 随机数与明文(输入数据的值)xi和输出(离散值)si的对相关联。项[III] 中的条件是这样的条件，其防止在加密中使用的伪随机数ri仅仅根据明 文xi和根据该明文xi而加密的密文(实际上为通过拦截密文ci而获得的 解码的信号di)的对就被唯一确定，即，对抗已知明文攻击的安全性条 件。通过满足项[III]中的该条件，即使不知道合法发送者和接收者所使 用的伪随机数ri或物理随机数fi的拦截者尝试根据明文xi和密文的对来 预测伪随机数ri，多个不同的伪随机数ri也以相同的概率对应于该明文 xi和密文的对，因此，不可能仅仅通过已知明文攻击就确定伪随机数ri。
此外，仅需要调制部13进行的调制是这样一种调制：调制输出是具 有四级的离散多级信号，因此，无论其调制方案为何，都可以使用诸如 强度调制、相位调制和PCM(脉冲编码调制)的数字调制。也可使用调制 的输入信号和调制的输出信号，只要它们是可由离散值(诸如强度信号、 相位信号、数字信号、使用多条信号线的平行信号、以及为时间顺序数 据的串行信号)表示的信号，而不管信号的类型如何。
信道编码部14执行适合于调制部13的输出si的通信信道的期望的 信道编码，并输出其输出si作为密文(经加密数据)ci。例如，为了使调 制部13的输出si适应用两个状态(即，开状态和关状态)表示信息的通 信信道，将输出si转换为二进制数。此外，为了增加对通信信道中错误 的抵抗力，执行根据纠错码的编码，并且如果必要，执行诸如提高码的 使用效率的处理的一系列编码处理。纠错码的示例包括海明码、里德所 罗门码、LDPC(低密度奇偶校验)码、turbo码等。
此外，当已经使用了将最佳信号输出到通信信道作为调制部13的输 出si的调制部13时，通过身份映射(identity mapping)来表示信道编 码部14的操作，此时，可省略信道编码部14。
[2]第一实施例中的密文解码器的结构
图2是示出了根据本发明第一实施例的密文解码器的结构的框图， 如图2所示，本实施例中的密文解码器20对通过上述加密器10获得的 密文ci进行解码，并且被配置为提供了伪随机数产生器21、解调部22 和信道解码部23。
信道解码部23对通过加密器10获得的密文ci进行信道解码并获得 解码的信号di。此外，解码的信号di和与同一明文xi相对应的、加密器 10的调制部13的输出si是相等的。此外，当使用能够直接对密文ci进 行解调的解调部22时，信道解码部23的操作由身份映射表示，此时， 可省略信道解码部23。
伪随机数产生器(伪随机数产生部、解调用伪随机数产生部)21基 于加密密钥K产生并输出与调制用伪随机数ri同步的解调用伪随机数ri， 所述加密密钥K与已产生在加密器10的调制部13的调制中使用的伪随 机数ri的加密密钥K相同，并且伪随机数产生器21具有与加密器10的 伪随机数产生器11的结构相同的结构。
解调部22根据由伪随机数产生器21产生的伪随机数ri将由信道解 码部23获得的解码的信号di解调为明文xi作为输入数据，在本实施例中， 解调部22被设计为通过基于解码表(将随后参照图6(B)或图7(B) 对其进行描述)将解码的信号di和伪随机数ri与明文xi相关联，而将解 码的信号di解调为明文xi。换言之，在解调部22中，将明文xi视为以解 码的信号di和伪随机数ri作为变元的解调用二变元函数的输出。在本实 施例中，该解调用二变元函数表示为xi＝D(di，ri)。
[3]关于第一实施例中的调制用三变元函数(编码表)和解调用二变 元函数(解码表)
这里，参照图3至图10，解释这样的情况，即，伪随机数ri的状态 数为4且物理随机数fi的状态数为2以及调制输出si的状态数为4(4-2-4 型)是满足上述项[I]、[II]和[III]中的条件的调制用三变元函数(编 码表)的最小构造的情况，同时将解释4-2-4型调制用三变元函数(编 码表)和解调用二变元函数(解码表)的特定示例。
[3-1]2-2-2型
图3示出了其构造小于4-2-4型的构造的2-2-2型调制用三变元函 数(编码表)的示例，即，当伪随机数ri的状态数为2且物理随机数fi 的状态数为2以及调制输出si的状态数为2时的调制用三变元函数(编 码表)si＝M(xi，ri，fi)的示例。这里，假设ri∈{0，1}、fi∈{0，1}、 并且si∈{0，1}。在图3中，对于当明文xi为“0”时伪随机数ri和物理 随机数fi的四种设置以及当明文xi为“1”时伪随机数ri和物理随机数 fi的四种设置，即，对于xi、ri和fi的总计八种设置，示出了输出(离散 值)si的示例(1)至(3)。
在图3所示的输出si的示例(1)中，设置如下：
当xi＝0且ri＝0且fi＝0时，si＝0；
当xi＝0且ri＝0且fi＝1时，si＝1；
当xi＝1且ri＝0且fi＝0时，si＝1；以及
当xi＝1且ri＝0且fi＝1时，si＝0，
然而，在该示例(1)中，在解调部22对解码的信号di(＝si)进行解调时， 例如，当对于解码的信号di＝0伪随机数ri＝0时，存在明文xi为“0”和 为“1”这两种情况，因此，在解调部22不可能根据伪随机数ri将解码 的信号di解调为明文xi。换言之，对于输出si的示例(1)，不满足上述 项[I]中的条件。
在图3所示的输出si的示例(2)中，设置如下：
当xi＝0且ri＝0且fi＝0时，si＝0；
当xi＝0且ri＝0且fi＝1时，si＝1；
当xi＝1且ri＝0且fi＝0时，si＝0；以及
当xi＝1且ri＝0且fi＝1时，si＝1，
然而，在该示例(2)中，也同上述示例(1)一样，在解调部22对解 码的信号di(＝si)进行解调时，例如，当对于解码的信号di＝0伪随机数 ri＝0时，存在明文xi为“0”和为“1”这两种情况，因此，解调部 22不可能根据伪随机数ri将解码的信号di解调为明文xi。换言之，对 于输出si的示例(2)，不满足上述项[I]中的条件。
与图3所示的输出si的示例(1)和(2)一样，当分配给与明文xi 的值“0”相关联的伪随机数ri的输出值组和分配给与明文xi的值“1” 相关联的同一伪随机数ri的输出值组包括相同的值(这里为0和1)时， 即使合法接收者也无法仅根据伪随机数对解码的信号di进行解调。
在图3所示的输出si的示例(3)中，设置如下：
当xi＝0且ri＝0且fi＝0时，si＝1；以及
当xi＝0且ri＝0且fi＝1时，si＝1。
然而，在该示例(3)中，同一值1被分配为与单个伪随机数ri＝0 相关联的两种输出(对应于各个物理随机数fi＝0、1的输出)si，因此， 物理随机数fi不起作用，伪随机数ri＝0对应于明文xi＝0和输出si＝1的两 个现有对，因而不满足上述项[III]中的条件，已知明文攻击可唯一地确 定伪随机数ri。
2-2-2型的每一可能的设置模式(针对xi、ri和fi的集合的输出si) 对应于图3所示的示例(1)至(3)中的某一输出si，因此，不存在能 够实现同时满足上述项[I]、[II]和[III]中的所有条件的映射的2-2-2 型调制用三变元函数(编码表)si＝M(xi，ri，fi)。
[3-2]2-2-4型
接下来，图4示出了其构造小于4-2-4型的构造但大于2-2-2型的 构造的2-2-4型调制用三变元函数(编码表)的示例，即，当伪随机数 ri的状态数为2且物理随机数fi的状态数为2以及调制输出si的状态数 为4时的调制用三变元函数(编码表)si＝M(xi，ri，fi)的示例。这里， 假设ri∈{0，1}、fi∈{0，1}、并且si∈{0，1，2，3}。在图4中，对于 当明文xi为“0”时伪随机数ri和物理随机数fi的四种设置以及当明文 xi为“1”时伪随机数ri和物理随机数fi的四种设置，即，对于xi、ri和 fi的总计八种设置，示出了输出(离散值)si的示例(1)至(5)。
图4所示的输出si的示例(1)中的设置与图3中示例(1)的设置 相同，因此，如上所述，在解调部22对解码的信号di(＝si)进行解调时， 例如，当对于解码的信号di＝0伪随机数ri＝0时，存在明文xi为“0”和 为“1”这两种情况，因此，解调部22不可能根据伪随机数ri将解码的 信号di解调为明文xi。换言之，不满足上述项[I]中的条件。
图4所示的输出si的示例(2)中的设置与图3中示例(2)的设置 相同，因此，如上所述，在解调部22对解码的信号di(＝si)进行解调时， 例如，当对于解码的信号di＝0伪随机数ri＝0时，存在明文xi为“0”和 为“1”这两种情况，因此，解调部22不可能根据伪随机数ri将解码的 信号di解调为明文xi。换言之，不满足上述项[I]中的条件。
图4所示的输出si的示例(3)中的设置与图3中示例(3)的设置 相同，因此，如上所述，同一值1被分配为与单个伪随机数ri＝0相关联 的两种输出(对应于各个物理随机数fi＝0、1的输出)si，因此，物理随 机数fi不起作用，伪随机数ri＝0对应于明文xi＝0和输出si＝1的两个现有 对，因而不满足上述项[III]中的条件，已知明文攻击可唯一地确定伪随 机数ri。
在图4所示的输出si的示例(4)中，设置如下：
当xi＝0且ri＝0且fi＝0时，si＝0；
当xi＝0且ri＝0且fi＝1时，si＝1；
当xi＝0且ri＝1且fi＝0时，si＝2；以及
当xi＝0且ri＝1且fi＝1时，si＝3，
然而，在该示例(4)中，仅有单个伪随机数ri与明文xi和输出si 的对相关联，因此，不满足上述项[III]中的条件，已知明文攻击可唯一 地确定伪随机数ri。
在图4所示的输出si的示例(5)中，设置如下：
当xi＝0且ri＝0且fi＝0时，si＝0；
当xi＝0且ri＝0且fi＝1时，si＝1；
当xi＝0且ri＝1且fi＝0时，si＝0；
当xi＝0且ri＝1且fi＝1时，si＝1；
当xi＝1且ri＝0且fi＝0时，si＝2；
当xi＝1且ri＝0且fi＝1时，si＝3；
当xi＝1且ri＝1且fi＝0时，si＝2；以及
当xi＝1且ri＝1且fi＝1时，si＝3，
然而，在该示例(5)中，由于两个不同的伪随机数ri与明文xi和输出 si的对相关联，因此，满足上述项[III]中的条件，但与输出si＝0和1相 对应的明文xi仅为“0”，与输出si＝2和3相对应的明文xi仅为“1”，因 此，不满足上述项[II]中的条件，明文xi对应于作为结果的输出si，可 将明文xi与密文唯一地关联。
2-2-4型的每一可能的设置模式(针对xi、ri和fi的集合的输出si) 对应于图4所示的示例(1)至(5)中的某一输出si，因此，不存在能 够实现同时满足上述项[I]、[II]和[III]中的所有条件的映射的2-2-4 型调制用三变元函数(编码表)si＝M(xi，ri，fi)。
[3-3]4-2-4型
图5示出了4-2-4型调制用三变元函数(编码表)的示例，即，当 伪随机数ri的状态数为4且物理随机数fi的状态数为2以及调制输出si 的状态数为4时的调制用三变元函数(编码表)si＝M(xi，ri，fi)的示例。 这里，假设ri∈{0，1，2，3}、fi∈{0，1}、并且si∈{0，1，2，3}。在 图5中，对于当明文xi为“0”时伪随机数ri和物理随机数fi的八种设置 以及当明文xi为“1”时伪随机数ri和物理随机数fi的八种设置，即，对 于xi、ri和fi的总计十六种设置，示出了输出(离散值)si的示例(1) 至(7)。
在图5所示的输出si的示例(1)中，设置如下：
当xi＝0且ri＝0且fi＝0时，si＝0；
当xi＝0且ri＝0且fi＝1时，si＝1；
当xi＝0且ri＝1且fi＝0时，si＝1；
当xi＝0且ri＝1且fi＝1时，si＝0；
当xi＝0且ri＝2且fi＝0时，si＝2；
当xi＝0且ri＝2且fi＝1时，si＝3；
当xi＝0且ri＝3且fi＝0时，si＝3；
当xi＝0且ri＝3且fi＝1时，si＝2；
当xi＝1且ri＝0且fi＝0时，si＝2；
当xi＝1且ri＝0且fi＝1时，si＝3；
当xi＝1且ri＝1且fi＝0时，si＝3；
当xi＝1且ri＝1且fi＝1时，si＝2；
当xi＝1且ri＝2且fi＝0时，si＝0；
当xi＝1且ri＝2且fi＝1时，si＝1；
当xi＝1且ri＝3且fi＝0时，si＝1；以及
当xi＝1且ri＝3且fi＝1时，si＝0。
该示例(1)是能够实现同时满足上述项[I]、[II]和[III]中的所有 条件的映射的4-2-4型调制用三变元函数(编码表)si＝M(xi，ri，fi)。
这里，在示例(1)中，对应于输出si＝0的明文xi＝0在数量上是两 个，对应于输出si＝0的明文xi＝1在数量上是两个，这适用于其他的输出 si＝1、2和3，因此，满足上述项[II]中的条件。此外，在示例(1)中， 两个不同的伪随机数ri＝0和1与明文xi＝0和输出si＝0的对分别一对一地 关联，这适用于其他的对，因此，满足上述项[III]中的条件。
图6(A)示出了根据示例(1)的编码表。此外，图6(B)示出了 与图6(A)所示的编码表相对应的解码表(解调用二变元函数)xi＝D(di， ri)。此外，图6(C)示出了将图6(B)所示的解码表重写为二进制数的 表。此外，显而易见的是：通过参照图6(B)所示的解码表，图5所示 的输出si的示例(1)满足上述项[I]中的条件，并且通过参照将随后描 述的图8，该示例(1)满足上述项[II]中的条件。通过参照图6(A)和 将随后描述的图8，两个不同的伪随机数ri与明文xi和输出si的所有对 分别一对一地关联，显而易见满足上述项[III]中的条件。例如，两个不 同的伪随机数ri＝0、1与明文xi＝0和输出si＝0的对分别一对一地关联， 两个不同的伪随机数ri＝0、1与明文xi＝0和输出si＝1的对分别一对一地 关联，以及两个不同的伪随机数ri＝2、3与明文xi＝1和输出si＝1的对分 别一对一地关联。
图8示意性地示出了关于图5所示的输出si的示例(1)(即，关于 图6(A)所示的编码表)的明文xi、伪随机数ri、物理随机数fi和输出 si之间的对应关系。如图8所示，根据图6(A)所示的编码表，与输出 si相对应的明文xi为“1”的情况的数量和与输出si相对应的明文xi为“0” 的情况的数量相等，明文xi和输出si之间的伪随机数ri和物理随机数fi 的每一对应关系是均匀分布的(参考线L0000、L0011、L0101、L0110、 L0202、L0213、L0303、L0312、L1002、L1013、L1103、L1112、L1200、 L1211、L1301和L1310)，如果物理随机数fi和伪随机数ri是随机的，则 输出si的状态也是随机分布的。
在图5所示的输出si的示例(2)中，设置如下：
当xi＝0且ri＝0且fi＝0时，si＝0；
当xi＝0且ri＝0且fi＝1时，si＝1；
当xi＝0且ri＝1且fi＝0时，si＝0；
当xi＝0且ri＝1且fi＝1时，si＝1；
当xi＝0且ri＝2且fi＝0时，si＝2；
当xi＝0且ri＝2且fi＝1时，si＝3；
当xi＝0且ri＝3且fi＝0时，si＝2；
当xi＝0且ri＝3且fi＝1时，si＝3；
当xi＝1且ri＝0且fi＝0时，si＝2；
当xi＝1且ri＝0且fi＝1时，si＝3；
当xi＝1且ri＝1且fi＝0时，si＝2；
当xi＝1且ri＝1且fi＝1时，si＝3；
当xi＝1且ri＝2且fi＝0时，si＝0；
当xi＝1且ri＝2且fi＝1时，si＝1；
当xi＝1且ri＝3且fi＝0时，si＝0；以及
当xi＝1且ri＝3且fi＝1时，si＝1。
在该示例(2)中，观察到了输出si和物理随机数fi之间的相关性，然而， 与图5所示的输出si的示例(1)一样，该示例(2)也同时满足上述项 [I]、[II]和[III]中的所有条件，并且通过已知明文攻击不可能预测出 伪随机数ri，因此，可以将其用作4-2-4型调制用三变元函数(编码表) si＝M(xi，ri，fi)。
图5所示的输出si的示例(3)中的设置与图3中示例(2)的设置 相同，因此，如上所述，在解调部22对解码的信号di(＝si)进行解调时， 例如，当对于解码的信号di＝0伪随机数ri＝0时，存在明文xi为“0”和 为“1”这两种情况，因此，解调部22不可能根据伪随机数ri将解码的 信号di解调为明文xi。换言之，不满足上述项[I]中的条件。
图5所示的输出si的示例(4)中的设置与图3中示例(1)的设置 相同，因此，如上所述，在解调部22对解码的信号di(＝si)进行解调时， 例如，当对于解码的信号di＝0伪随机数ri＝0时，存在明文xi为“0”和 为“1”这两种情况，因此，解调部22不可能根据伪随机数ri将解码的 信号di解调为明文xi。换言之，不满足上述项[I]中的条件。
图5所示的输出si的示例(5)中的设置与图3中示例(3)的设置 相同，因此，如上所述，同一值1被分配为与单个伪随机数ri＝0相关联 的两种输出(对应于各个物理随机数fi＝0、1的输出)si，因此，物理随 机数fi不起作用，伪随机数ri＝0对应于明文xi＝0和输出si＝1的两个现有 对，因而不满足上述项[III]中的条件，已知明文攻击可唯一地确定伪随 机数ri。
在图5所示的输出si的示例(6)中，设置如下：
当xi＝0且ri＝0且fi＝0时，si＝0；
当xi＝0且ri＝0且fi＝1时，si＝1；
当xi＝0且ri＝1且fi＝0时，si＝2；
当xi＝0且ri＝1且fi＝1时，si＝3；
当xi＝0且ri＝2且fi＝0时，si＝0；
当xi＝0且ri＝2且fi＝1时，si＝1；
当xi＝0且ri＝3且fi＝0时，si＝2；
当xi＝0且ri＝3且fi＝1时，si＝3；
当xi＝1且ri＝0且fi＝0时，si＝2；
当xi＝1且ri＝0且fi＝1时，si＝3；
当xi＝1且ri＝1且fi＝0时，si＝0；
当xi＝1且ri＝1且fi＝1时，si＝1；
当xi＝1且ri＝2且fi＝0时，si＝2；
当xi＝1且ri＝2且fi＝1时，si＝3；
当xi＝1且ri＝3且fi＝0时，si＝0；以及
当xi＝1且ri＝3且fi＝1时，si＝1。
与图5所示的输出si的示例(1)一样，该示例(6)也是能够实现同时 满足上述项[I]、[II]和[III]中的所有条件的映射的4-2-4型调制用三 变元函数(编码表)si＝M(xi，ri，fi)。该示例(6)等同于这样的示例： 其中对于上述示例(2)中伪随机数ri和输出si之间的对应关系，互换了 伪随机数的值“1”和“2”。
在图5所示的输出si的示例(7)中，设置如下：
当xi＝0且ri＝0且fi＝0时，si＝0；
当xi＝0且ri＝0且fi＝1时，si＝1；
当xi＝0且ri＝1且fi＝0时，si＝3；
当xi＝0且ri＝1且fi＝1时，si＝2；
当xi＝0且ri＝2且fi＝0时，si＝2；
当xi＝0且ri＝2且fi＝1时，si＝3；
当xi＝0且ri＝3且fi＝0时，si＝1；
当xi＝0且ri＝3且fi＝1时，si＝0
当xi＝1且ri＝0且fi＝0时，si＝2；
当xi＝1且ri＝0且fi＝1时，si＝3
当xi＝1且ri＝1且fi＝0时，si＝1
当xi＝1且ri＝1且fi＝1时，si＝0；
当xi＝1且ri＝2且fi＝0时，si＝0
当xi＝1且ri＝2且fi＝1时，si＝1；
当xi＝1且ri＝3且fi＝0时，si＝3以及
当xi＝1且ri＝3且fi＝1时，si＝2。
与图5所示的输出si的示例(1)一样，该示例(7)也是能够实现同时 满足上述项[I]、[II]和[III]中的所有条件的映射的4-2-4型调制用三 变元函数(编码表)si＝M(xi，ri，fi)。该示例(7)等同于这样的示例： 其中对于上述示例(1)中伪随机数ri和输出si之间的对应关系，互换了 伪随机数的值“1”和“3”。图7(A)示出了根据示例(7)的编码表。 此外，图7(B)示出了与图7(A)所示的编码表相对应的解码表(解调 用二变元函数)xi＝D(di，ri)。此外，图7(C)示出了将图7(B)所示 的解码表重写为二进制数的表。
图9示意性地示出了关于图5所示的输出si的示例(7)(即，关于 图7(A)所示的编码表)的明文xi、伪随机数ri、物理随机数fi和输出 si之间的对应关系。如图9所示，与图8所示的示例一样，根据图7(A) 所示的编码表，与输出si相对应的明文xi为“1”的情况的数量和与输出 si相对应的明文xi为“0”的情况的数量相等，并且明文xi和输出si之间 的伪随机数ri和物理随机数fi的每一对应关系是均匀分布的(参照线 L0000、L0011、L0301、L0310、L0202、L0213、L0103、L0112、L1002、 L1013、L1303、L1312、L1200、L1211、L1101和L1110)，如果物理随机 数fi和伪随机数ri是随机的，则输出si的状态也是随机分布的。
此外，通过参照图6(C)所示的解码表(其是重写为二进制数的图 6(B)所示的解码表)，解码的信号di的两位中的高次位与明文xi的异或 值对应于伪随机数ri的两位中的高次位。换言之，在图6(C)所示的解 码表中，当拦截者获得明文xi和根据与该明文xi对应的密文ci而信道解 码出的解码的信号di并且尝试进行已知明文攻击时，1比特信息对应于伪 随机数的低次位，由于所述1比特信息与1比特物理随机数的不规则关 联，所以拦截者即使通过已知明文攻击也无法知道所述1比特信息。与 此相反，在图7(C)所示的解码表中(其是重写为二进制数的图7(B) 所示的解码表)，拦截者即使通过已知明文攻击也无法知道的所述1比特 信息对应于这样的1比特信息，该1比特信息是关于伪随机数是“00或 11”还是“01或10”的信息。
如上所述，如图5示出的输出si的示例(3)至(5)所示，一些可 能的4-2-4型的设置模式可能不满足上述项[I]至[III]中的一个或两个 或更多个条件，然而，如图5示出的输出si的示例(1)、(2)、(6)和(7) 所示，可以设置出能够实现同时满足上述项[I]至[III]中的所有条件的 映射的4-2-4型调制用三变元函数(编码表)si＝M(xi，ri，fi)。在本实 施例的加密器10的调制部13中，使用这种4-2-4型调制用三变元函数 (编码表)si＝M(xi，ri，fi)(例如，图6(A)或图7(A)所示的编码 表)来执行对明文xi的调制。然后，在本实施例的密文解码器20的解调 部22中，使用与用于调制的该4-2-4型调制用三变元函数(编码表)si＝M (xi，ri，fi)(例如，图6(B)或图6(C)或图7(B)或图7(C)所示 的编码表)相对应的解码表(解调用二变元函数)xi＝D(di，ri)，来执行 对解码的信号di的解调。
这里，作为能够实现同时满足上述项[I]至[III]中的所有条件的映 射的4-2-4型调制用三变元函数(编码表)si＝M(xi，ri，fi)，仅示出了 图5所示的示例(1)、(2)、(6)和(7)这四种设置，然而，基于计算， 可以有包括图5所示的示例(1)、(2)、(6)和(7)这四种设置的23040 种设置(编码表)。
在该23040种编码表的设置中，存在六个典型元素(编码表)，通过 针对各个典型元素的伪随机数ri、物理随机数fi和输出si之间的关系执 行伪随机数ri的值的替换以及进一步执行物理随机数fi的值的替换，可 以完整地表示23040种等价模式。
例如，在图20所示的典型元素1中，设置如下：
当xi＝0且ri＝0且fi＝0时，si＝0；
当xi＝0且ri＝0且fi＝1时，si＝1；
当xi＝0且ri＝1且fi＝0时，si＝0；
当xi＝0且ri＝1且fi＝1时，si＝1；
当xi＝0且ri＝2且fi＝0时，si＝2；
当xi＝0且ri＝2且fi＝1时，si＝3；
当xi＝0且ri＝3且fi＝0时，si＝2；
当xi＝0且ri＝3且fi＝1时，si＝3；
当xi＝1且ri＝0且fi＝0时，si＝2；
当xi＝1且ri＝0且fi＝1时，si＝3；
当xi＝1且ri＝1且fi＝0时，si＝2；
当xi＝1且ri＝1且fi＝1时，si＝3；
当xi＝1且ri＝2且fi＝0时，si＝0；
当xi＝1且ri＝2且fi＝1时，si＝1；
当xi＝1且ri＝3且fi＝0时，si＝0；以及
当xi＝1且ri＝3且fi＝1时，si＝1。
典型元素1等于图5中的示例(2)，然而，如果当明文为“0”时替换伪 随机数ri的“1”和“2”并且当明文为“1”时也替换伪随机数ri的“1” 和“2”，则典型元素1等于图5中的示例(6)。按此方式，对明文xi为 “0”的情况和明文xi为“1”的情况两者，总是需要同时执行伪随机数 ri的替换以及对应的伪随机数ri的替换。另一方面，这不适用于物理随 机数fi的替换，可以分别针对明文xi为“0”的情况和明文xi为“1”的 情况，独立地执行属于同一伪随机数ri的物理随机数的“0”和“1”的 替换。因此，典型元素1的伪随机数ri有六种替换方式，并且针对各方 式，物理随机数fi有256种替换方式，总计可以有6×256＝1536种方式 的变型。
接下来，在图20所示的典型元素2中，设置如下：
当xi＝0且ri＝0且fi＝0时，si＝0；
当xi＝0且ri＝0且fi＝1时，si＝1；
当xi＝0且ri＝1且fi＝0时，si＝0；
当xi＝0且ri＝1且fi＝1时，si＝2；
当xi＝0且ri＝2且fi＝0时，si＝1；
当xi＝0且ri＝2且fi＝1时，si＝3；
当xi＝0且ri＝3且fi＝0时，si＝2；
当xi＝0且ri＝3且fi＝1时，si＝3；
当xi＝1且ri＝0且fi＝0时，si＝2；
当xi＝1且ri＝0且fi＝1时，si＝3；
当xi＝1且ri＝1且fi＝0时，si＝1；
当xi＝1且ri＝1且fi＝1时，si＝3；
当xi＝1且ri＝2且fi＝0时，si＝0；
当xi＝1且ri＝2且fi＝1时，si＝2；
当xi＝1且ri＝3且fi＝0时，si＝0；以及
当xi＝1且ri＝3且fi＝1时，si＝1。
典型元素2的伪随机数ri有24种替换方式，并且针对各方式，物理随机 数fi有256种替换方式，因此，总计可以有24×256＝6144种方式的变型。
接下来，在图20所示的典型元素3中，设置如下：
当xi＝0且ri＝0且fi＝0时，si＝0
当xi＝0且ri＝0且fi＝1时，si＝1；
当xi＝0且ri＝1且fi＝0时，si＝0；
当xi＝0且ri＝1且fi＝1时，si＝3；
当xi＝0且ri＝2且fi＝0时，si＝1；
当xi＝0且ri＝2且fi＝1时，si＝2；
当xi＝0且ri＝3且fi＝0时，si＝2；
当xi＝0且ri＝3且fi＝1时，si＝3；
当xi＝1且ri＝0且fi＝0时，si＝2；
当xi＝1且ri＝0且fi＝1时，si＝3；
当xi＝1且ri＝1且fi＝0时，si＝1；
当xi＝1且ri＝1且fi＝1时，si＝2；
当xi＝1且ri＝2且fi＝0时，si＝0；
当xi＝1且ri＝2且fi＝1时，si＝3；
当xi＝1且ri＝3且fi＝0时，si＝0；以及
当xi＝1且ri＝3且fi＝1时，si＝1。
典型元素3的伪随机数ri的24种替换方式，并且对于各方式，物理随机 数fi有256种替换方式，因此，总计可以有24×256＝6144种方式的变型。
接下来，在图20所示的典型元素4中，设置如下：
当xi＝0且ri＝0且fi＝0时，si＝0
当xi＝0且ri＝0且fi＝1时，si＝2
当xi＝0且ri＝1且fi＝0时，si＝0；
当xi＝0且ri＝1且fi＝1时，si＝2；
当xi＝0且ri＝2且fi＝0时，si＝1
当xi＝0且ri＝2且fi＝1时，si＝3；
当xi＝0且ri＝3且fi＝0时，si＝1；
当xi＝0且ri＝3且fi＝1时，si＝3；
当xi＝1且ri＝0且fi＝0时，si＝1
当xi＝1且ri＝0且fi＝1时，si＝3；
当xi＝1且ri＝1且fi＝0时，si＝1；
当xi＝1且ri＝1且fi＝1时，si＝3
当xi＝1且ri＝2且fi＝0时，si＝0；
当xi＝1且ri＝2且fi＝1时，si＝2；
当xi＝1且ri＝3且fi＝0时，si＝0；以及
当xi＝1且ri＝3且fi＝1时，si＝2。
典型元素4的伪随机数ri有六种替换方式，并且对于各方式，物理随机 数fi有256种替换方式，因此，总计可以有6×256＝1536种方式的变型。
接下来，在图20所示的典型元素5中，设置如下：
当xi＝0且ri＝0且fi＝0时，si＝0；
当xi＝0且ri＝0且fi＝1时，si＝2；
当xi＝0且ri＝1且fi＝0时，si＝0
当xi＝0且ri＝1且fi＝1时，si＝3；
当xi＝0且ri＝2且fi＝0时，si＝1；
当xi＝0且ri＝2且fi＝1时，si＝2；
当xi＝0且ri＝3且fi＝0时，si＝1
当xi＝0且ri＝3且fi＝1时，si＝3；
当xi＝1且ri＝0且fi＝0时，si＝1；
当xi＝1且ri＝0且fi＝1时，si＝3；
当xi＝1且ri＝1且fi＝0时，si＝1；
当xi＝1且ri＝1且fi＝1时，si＝2；
当xi＝1且ri＝2且fi＝0时，si＝0
当xi＝1且ri＝2且fi＝1时，si＝3；
当xi＝1且ri＝3且fi＝0时，si＝0；以及
当xi＝1且ri＝3且fi＝1时，si＝2。
典型元素5的伪随机数ri具有24种替换方式，并且对于各方式，物理随 机数fi有256种替换方式，因此，总计可以有24×256＝6144种方式的变 型。
接下来，在图20所示的典型元素6中，设置如下：
当xi＝0且ri＝0且fi＝0时，si＝0；
当xi＝0且ri＝0且fi＝1时，si＝3；
当xi＝0且ri＝1且fi＝0时，si＝0；
当xi＝0且ri＝1且fi＝1时，si＝3；
当xi＝0且ri＝2且fi＝0时，si＝1；
当xi＝0且ri＝2且fi＝1时，si＝2；
当xi＝0且ri＝3且fi＝0时，si＝1；
当xi＝0且ri＝3且fi＝1时，si＝2；
当xi＝1且ri＝0且fi＝0时，si＝1；
当xi＝1且ri＝0且fi＝1时，si＝2
当xi＝1且ri＝1且fi＝0时，si＝1；
当xi＝1且ri＝1且fi＝1时，si＝2
当xi＝1且ri＝2且fi＝0时，si＝0；
当xi＝1且ri＝2且fi＝1时，si＝3；
当xi＝1且ri＝3且fi＝0时，si＝0；以及
当xi＝1且ri＝3且fi＝1时，si＝3。
典型元素6的伪随机数ri有六种替换方式，并且对于各方式，物理随机 数fi有256种替换方式，因此，总计可以有6×256＝1536种方式的变型。
如上所述，通过针对图20所示的各典型元素1至6执行伪随机数 ri的替换以及物理随机数fi的替换，对于典型元素1、4和6可以各有1536 种方式的变型，对于典型元素2、3和5可以各有6144种方式的变型， 可以完全地表示出满足上述项[I]至[III]的所有条件的总计所有1536× 3+6144×3＝23040种编码表。
此外，下面归纳并解释对上述各典型元素1至6进行的伪随机数ri 和物理随机数fi的替换。这里，假定被给予作为输入数据的明文的各个1 比特的序列号是i，分配给输入数据(明文)、伪随机数、物理随机数和 离散数(输出)的设置模式的号码是k(k是从0到15的整数)，输入数 据(明文)是xk，i，伪随机数是rk，i，物理随机数是fk，i，离散值(输出) 是sk，i，当k是从0到7的任一整数时，输入数据xk，i＝0；当k是从8到 15的任一整数时，输入数据xk，i＝1；当k是0、1、8和9中的任一整数时， 伪随机数rk，i＝0；当k是2、3、10和11中的任一整数时，伪随机数rk，i＝1； 当k是4、5、12和13中的任一整数时，伪随机数rk，i＝2；当k是6、7、 14和15中的任一整数时，伪随机数rk，i＝3；当k是偶数时，物理随机数 fk，i＝0；当k是奇数时，物理随机数fk，i＝1，那么离散值(输出)sk，i的典 型集合Sj＝(s0，i，s1，i，s2，i，s3，i，s4，i，s5，i，s6，i，s7，i，s8，i，s9，i，s10，i，s11，i， s12，i，s13，i，s14，i，s15，i)(j是从1到6的整数)为
S1＝(0，1，0，1，2，3，2，3，2，3，2，3，0，1，0，1)
S2＝(0，1，0，2，1，3，2，3，2，3，1，3，0，2，0，1)
S3＝(0，1，0，3，1，2，2，3，2，3，1，2，0，3，0，1)
S4＝(0，2，0，2，1，3，1，3，1，3，1，3，0，2，0，2)
S5＝(0，2，0，3，1，2，1，3，1，3，1，2，0，3，0，2)
S6＝(0，3，0，3，1，2，1，2，1，2，1，2，0，3，0，3)。
这六种典型集合s1至s6对应于上述各典型元素1至6。
此时，通过以下步骤获得集合S′j＝(s′0，i，s′1，i，s′2，i，s′3，i， s′4，i，s′5，i，s′6，i，s′7，i，s′8，i，s′9，i，s′10，i，s′11，i，s′12，i， s′13，i，s′14，i，s′15，i)：定义作为u和v的两个数值，分别给定为从 0到3的任一整数；定义作为w的数值，给定为0到3的整数中未被选 为数值u或v的整数；以及针对上述六种典型集合Sj中的离散值(输出) sk，i执行以下替换
s’2u，i＝s2v，i
s’2u+1，i＝s2v+1，i
s’2u+8，i＝s2v+8，i
s’2u+9，i＝s2v+9，i
s’2w，i＝s2w，i
s’2w+1，i＝s2w+1，i
s’2w+8，i＝s2w+8，i
s’2w+9，i＝s2w+9，I，
还可将集合S’j用作满足上述项[I]至[III]中的所有条件的等价编码 表。例如，当假设u＝0、v＝1并且w＝2、3时，在各集合Sj中执行用s2，i 替换s0，i，用s3，i替换s1，i，用s10，i替换s8，i，用s11，i替换s9，i。换言之，执 行用伪随机数r2，i替换伪随机数r0，i，用伪随机数r3，i替换伪随机数r1，i， 用伪随机数r10，i替换伪随机数r8，i，用伪随机数r11，i替换伪随机数r9，i，并 且不对其他的伪随机数执行替换，作为结果，因此，可以使用其中执行 了这样的替换的各个S’j作为满足上述项[I]至[III]中的所有条件的等 价编码表。
此外，通过以下步骤获得集合S”j＝(s”0，i，s”1，i，s”2，i，s”3，i， s”4，i，s”5，i，s”6，i，s”7，i，s”8，i，s”9，i，s”10，i，s”11，i，s”12，i，s”13，i， s”14，i，s”15，i)：定义作为m的数值，给定为0到7的整数中的一个整数；
定义作为n的数值，给定为0到7的整数中未被选为数值m的整数；以 及针对上述六种典型集合S’j中的离散值(输出)s’k，i执行以下替换
s”2m+1，i＝s’2m，i
s”2m，i＝s’2m+1，i
s”2n，i＝s’2n，i
s”2n+1，i＝s’2n+1，i，
还可将集合S”j用作满足上述项[I]至[III]中的所有条件的等价编码 表。例如，当假设m＝0、5并且n＝1、2、3、4、5、6、7、8时，在每个 集合S’j中执行用s’1，i替换s’0，i，用s’11，i替换s’10，i。换言之，执行用物 理随机数f1，i替换物理随机数f0，i，用物理随机数f11，i替换物理随机数f10，i， 并且不对其他的物理随机数执行替换，作为结果，因此，可以使用其中 执行了这样的替换的各个S”j作为满足上述项[I]至[III]中的所有条件 的等价编码表。
[3-4]8-2-4型
这里，解释伪随机数ri的状态数为4的情况，然而，伪随机数ri的 状态数可以为8。图10示出了8-2-4型调制用三变元函数(编码表)的 示例，即，伪随机数ri的状态数为8、物理随机数fi的状态数为2并且 经调制的调制输出si的状态数为4的情况下的调制用三变元函数(编码 表)si＝M(xi，ri，fi)的示例。这里，假设ri∈{0，1，2，3，4，5，6，7}、 fi∈{0，1}并且si∈{0，1，2，3}。在图10中，示出了针对在明文xi为“0” 的情况下的16种伪随机数ri和物理随机数fi的集合以及在明文xi为“1” 的情况下的16种伪随机数ri和物理随机数fi的集合(即，针对xi、ri 和fi的总计32种集合)的输出(离散值)si的示例(1)。
在图10所示的输出si的示例(1)中，设置如下：
当xi＝0且ri＝0且fi＝0时，si＝0
当xi＝0且ri＝0且fi＝1时，si＝1；
当xi＝0且ri＝1且fi＝0时，si＝1；
当xi＝0且ri＝1且fi＝1时，si＝0
当xi＝0且ri＝2且fi＝0时，si＝0
当xi＝0且ri＝2且fi＝1时，si＝1；
当xi＝0且ri＝3且fi＝0时，si＝1；
当xi＝0且ri＝3且fi＝1时，si＝0；
当xi＝0且ri＝4且fi＝0时，si＝2；
当xi＝0且ri＝4且fi＝1时，si＝3
当xi＝0且ri＝5且fi＝0时，si＝3
当xi＝0且ri＝5且fi＝1时，si＝2；
当xi＝0且ri＝6且fi＝0时，si＝2
当xi＝0且ri＝6且fi＝1时，si＝3；
当xi＝0且ri＝7且fi＝0时，si＝3；
当xi＝0且ri＝7且fi＝1时，si＝2；
当xi＝1且ri＝0且fi＝0时，si＝2；
当xi＝1且ri＝0且fi＝1时，si＝3；
当xi＝1且ri＝1且fi＝0时，si＝3
当xi＝1且ri＝1且fi＝1时，si＝2；
当xi＝1且ri＝2且fi＝0时，si＝2
当xi＝1且ri＝2且fi＝1时，si＝3；
当xi＝1且ri＝3且fi＝0时，si＝3；
当xi＝1且ri＝3且fi＝1时，si＝2；
当xi＝1且ri＝4且fi＝0时，si＝0；
当xi＝1且ri＝4且fi＝1时，si＝1
当xi＝1且ri＝5且fi＝0时，si＝1；
当xi＝1且ri＝5且fi＝1时，si＝0；
当xi＝1且ri＝6且fi＝0时，si＝0；
当xi＝1且ri＝6且fi＝1时，si＝1；
当xi＝1且ri＝7且fi＝0时，si＝1；以及
当xi＝1且ri＝7且fi＝1时，si＝0。
该示例(1)是能够实现同时满足上述项[I]、[II]和[III]中的所有条件 的映射的8-2-4型调制用三变元函数(编码表)si＝M(xi，ri，fi)。
与图5示出的输出si的示例(3)至(5)中所示的一样，8-2-4型 的一些可能的设置模式(针对xi、ri和fi的集合的输出si)也可能不满 足上述项[I]至[III]中的所有条件，然而，如图10示出的输出si的示例 (1)所示，可以设置出能够实现同时满足上述项[I]至[III]中的所有条 件的映射的8-2-4型调制用三变元函数(编码表)si＝M(xi，ri，fi)。还 可以配置为，在本实施例的加密器10的调制部13中，使用这种8-2-4 型调制用三变元函数(编码表)si＝M(xi，ri，fi)来执行对明文xi的调制， 并且在本实施例的密文解码器20的解调部22中，使用与用于调制的该 8-2-4型调制用三变元函数(编码表)si＝M(xi，ri，fi)相对应的解码表 (解调用二变元函数)xi＝D(di，ri)，来执行对解码的信号di的解调。
[4]第一实施例中的加密过程
接下来，将解释第一实施例中的加密过程(加密器10的操作)，更 具体地，将解释使用图7(A)所示的编码表发送1比特明文xi的情况下 的加密过程。
在发送1比特明文xi时，例如，当由伪随机数产生器11产生的伪随 机数ri为“2”并且由物理随机数产生器12产生的物理随机数fi为“1” 时，如果要发送的明文xi是“0”，则M(0，2，1)＝3被输出为调制部13 的输出si，如果要发送的明文xi是“1”，则M(1，2，1)＝1被输出为调制 部13的输出si。
这里，假设物理随机数fi为“1”，然而，除了“1”之外，存在该物 理随机数fi为“0”的概率。换言之，根据图7(A)所示的编码表，当伪 随机数ri＝2时用物理随机数fi＝1将要发送的明文xi＝0调制为如上所述的 输出si＝M(0，2，1)＝3的概率与当伪随机数ri＝2时用物理随机数fi＝0将 要发送的明文xi＝0调制为输出si＝M(0，2，0)＝2的概率相等。类似地， 当伪随机数ri＝2时用物理随机数fi＝1将要发送的明文xi＝1调制为如上所 述的输出si＝M(1，2，1)＝1的概率与当伪随机数ri＝2时用物理随机数fi＝0 将要发送的明文xi＝1调制为输出si＝M(1，2，0)＝0的概率相等。
如上所述，使用物理随机数fi对调制部13的输出si给出来不规则 的关联，同时维持了这样的情形：在合法接收者侧可以判断明文xi的状 态，并且由信道编码部14进行了信道编码的调制部13的输出si是密文 ci。此时，如将随后描述的，通过使用上述图7(A)所示编码表，可以 在合法接收者侧(密文解码器20侧)使用伪随机数ri而不使用物理随机 数fi，将从密文ci经信道解码而得到的解码的信号di(＝si)解调为明文xi， 并且由于与输出si相对应的明文xi的值“0”的数量等于其值“1”的数 量，所以解码的信号di不唯一地对应于明文xi的值“0”或“1”，此外， 两个不同的伪随机数ri与解码的信号di和对应于该解码的信号di的明文 xi的对一对一地关联，因此，无法仅根据所述对就唯一地确定用于加密(调 制)的伪随机数ri。
[5]第一实施例中的密文解码过程
接下来，将解释第一实施例中的密文解码过程(密文解码器20的操 作)，更具体地，将解释使用图7(B)所示的解码表对1比特明文xi的密 文ci进行解码的情况下的密文解码过程。
如上所述，在密文ci的合法接收者侧的密文解码器20中，伪随机数 产生器21基于加密密钥K输出与调制用伪随机数ri同步的解调用伪随机 数ri，所述加密密钥K与在加密器10中已产生伪随机数ri的加密密钥K 相同。因此，当接收到对应于1比特明文的密文ci时，合法接收者侧通 过用信道解码部23对密文ci进行信道解码而获得解码的信号di，同时， 伪随机数产生器21与接收定时同步地产生并输出解调用伪随机数ri，该 解调用伪随机数ri的状态与密文ci被加密时使用的调制用伪随机数ri的 状态相同，根据图7(B)所示的解码表，作为解调用二变元函数D(di，ri) 的值，获得了明文xi，并且将解码的信号di解调为明文xi。
例如，根据图7(B)所示的解码表，当解码的信号di＝0时，如果伪 随机数ri＝1或2，那么明文xi＝1，如果伪随机数ri＝0或3，那么明文xi＝0。
按此方式，对于密文ci的合法接收者侧的密文解码器20，仅使用与 调制用伪随机数ri同步的解调用伪随机数ri而不使用物理随机数fi，就 可以将解码的信号di解调为明文xi。
[6]第一实施例中的加密强度
接下来，将解释针对根据第一实施例中的加密技术而获得的密文ci 的密文单独攻击的加密强度。这里，解释在加密使用图7(A)所示的编 码表、拦截者已拦截并信道解码了密文ci且获得了解码的信号di＝0的状 态下进行的密文单独攻击。
对于通过拦截密文ci而获得了解码的信号di＝0的拦截者来说，因为 拦截者不知道用来获得密文ci的伪随机数ri，所以不可能知道该拦截者 看到的是图9所示的四条线L0000、L1200、L0310和L1110中的哪一个， 即，不可能从中进行区分。这里，图9示出的线L0000对应于明文xi＝0、 伪随机数ri＝0、物理随机数fi＝0，那么解码的信号di＝0的情况；图9示 出的线L1200对应于明文xi＝1、伪随机数ri＝2、物理随机数fi＝0，那么 解码的信号di＝0的情况；图9示出的线L0310对应于明文xi＝0、伪随机 数ri＝3、物理随机数fi＝1，那么解码的信号di＝0的情况；图9示出的线 L1110对应于明文xi＝1、伪随机数ri＝1、物理随机数fi＝1，那么解码的信 号di＝0的情况。
由此，使得拦截者不可能解码出：与由合法发送者发送的密文ci(解 码的信号di＝0)相对应的明文xi的状态是“0”还是“1”。因此，通过使 用本实施例中的加密技术，可以确保针对密文单独攻击的足够的加密强 度。
此外，通过类似地参考图9，解释通过本实施例中的加密技术使用 图7(A)所示的编码表而获得的密文ci针对的已知明文攻击的加密强度。 这里，解释已知明文攻击，在已知明文攻击中，拦截者拦截了密文ci并 获得了解码的信号di＝0，此外，通过用某手段获得与密文ci相对应的明 文xi＝1，尝试预测对应的伪随机数ri并进一步预测加密密钥K。
即使已拦截了密文ci并通过对密文ci进行信道解码而获得解码的信 号di＝0的拦截者获得了与该密文ci相对应的明文xi＝1，因为拦截者不知 道用来获得密文ci的伪随机数ri，所以也不可能知道拦截者看到的是 L1200和L1110这两条线中的哪一个，即，不可能区分L1200和L1110这 两条线。
换言之，即使拦截者知道了与从密文ci经信道解码而得到的解码的 信号di相对应的明文xi是“1”，该拦截者也不可能知道合法发送者和接 收者使用的伪随机数ri是“2”还是“1”。换言之，对于在拦截者侧预测 的每一比特的明文，都存在两种状态的伪随机数，因此，即使拦截者例 如通过获得100比特的明文来进行已知明文攻击，对于可以从这100比 特的明文中预测的伪随机数序列，也存在2100个随机性的模式，并且此外 需要针对各模式执行根据伪随机数预测加密密钥的操作，因此，在已知 明文攻击中，实际上不可能通过预测加密密钥K对与已经获得的明文xi 的其他部分相对应的密文ci进行解码。具体地，2100个模式的随机性是从 由物理随机数产生器12产生的物理随机数fi得到的，因此，不存在发现 数学捷径并将密文ci解码的可能性。
从上述示例中还显而易见的是，可以这样配置：将两个不同的伪随 机数ri与解码的信号di和明文xi的对一对一地关联，拦截者无法判断哪 一个伪随机数ri被用来调制该对。那么，拦截者尝试进行已知明文攻击 必须判断的情况的数量是2，因此，与传统密文相比，针对已知明文攻击 的加密强度显著提高。因此，通过使用本实施例中的加密技术，可以确 保针对已知明文攻击的足够的加密强度，并且保证高安全性。
[7]第一实施例的效果
如上所述，根据作为本发明第一实施例的加密/密文解码技术，可以 仅使用伪随机数ri并且通过使用调制用三变元函数si＝M(xi，ri，fi)，将 通过对密文ci进行信道解码而获得的解码的信号di解调为明文xi，所述 三变元函数用于设置明文xi、伪随机数ri、物理随机数fi、和输出si之 间的对应关系，以使与输出si相对应的明文xi的值“0”的数量与其值“1” 的数量相等，并且两个不同的伪随机数ri与明文xi和输出si(＝di)的对数 量相等地关联，还可将明文xi调制成状态数为4的离散值si，所述状态 数4是由状态数为4的伪随机数ri以及状态数为2的物理随机数fi确定 的，然后发送通过对作为调制结果的输出si进行信道编码而获得的密文 ci，并且对于具有与合法发送者侧的加密密钥相同的加密密钥K的合法接 收者方，可以仅使用基于该加密密钥K产生的伪随机数ri而不使用物理 随机数fi，来获得作为来自密文ci的解码的数据的明文xi。
按此方式，由物理随机数fi对调制部13的输出si给予了不规则的 关联，并且如上所述，使得合法接收者侧可以仅使用伪随机数ri而不使 用物理随机数fi对解码的信号di进行解调，同时保证能够确保不仅针对 密文单独攻击而且针对已知明文攻击的极高加密强度的高安全性。
此时，通过不同于Y-00方案量子加密法的码(简单数值)来实现本 实施例中的加密技术，因此，与已经存在的经典加密的情况一样，可以 通过电磁波或电线传送密文，这使得可以在无线电通信或电通信中使用 密文，此外，还可以将密文ci存储在电存储器或各种记录介质(软盘、 CD、DVD等)中。此外，可将密文ci存储在电存储器中，因此，使得密文 ci可以通过路由器传送。
此外，如上所述，通过码(简单数值)来实现本实施例中的加密技 术，因此，不必发送和接收像Y-00方案量子加密法一样不稳定的许多物 理状态，并且不可能受到噪声的影响，当将当前加密技术用于光通信时， 不再需要具有低噪声的光放大器，中继的级数不受光放大器的噪声电平 的限制，此外，不再需要开发具有出色线性的光源和光接收装置。
此外，根据本实施例中的加密技术，即使调制中使用的伪随机数ri 的状态数为4，也可保证足够高的安全性，因此，与需要大约200个状态 的多级信号的Y-00方案量子加密法相比，可显著减少状态数，并且通过 抑制伪随机数ri的位数，可以使伪随机数产生器11和21的工作速度对 通信速率的影响最小化。
根据本实施例中的加密技术，要发送的每1比特的明文的调制输出 si是两比特，因而传输效率显著提高。具体地，根据本实施例中的加密技 术，可以实现使上述经典Y-00方案加密法的传输效率加倍，同时保持与 上述经典Y-00方案加密法的加密强度相同的加密强度。
此外，流密码容易受到已知明文攻击，因此，需要使用公钥加密在 加密侧(合法发送者侧)和密文解码侧(合法接收者侧)之间频繁地分 发和改变加密密钥。然而，当通过用使用质因子分解(prime factorization)的公钥加密的加密法来分发加密密钥时，公钥加密的安 全性仅仅基于直到现在还未发现高速执行质因子分解的算法这一事实， 一旦发现了执行质因子分解的计算方法，那么加密密钥将极容易被解码。 由此，期望消除对使用公钥加密来执行加密密钥的分发的需要。
与此相反，根据本实施例中的加密技术，如上所述，在不改变伪随 机数产生器11和21所使用的加密密钥K(即，不需要将加密密钥K公知 给用户)的情况下，可以确保针对已知名文攻击的极高的加密强度，这 是因为伪随机数产生器11和21被并(嵌)入加密器10或密文解码器20 中，因此，不再需要执行上述使用公钥加密的加密密钥的分发，并且还 可消除公钥加密的脆弱性。
此外，当嵌入了包括加密密钥K的伪随机数产生器时，为了通过防 止加密密钥K不仅被用户读取而且被访问的非法人员(拦截者)读取而 确保安全性，最好通过配置包括存储器的至少一个芯片来构造一种具有 防篡改属性的结构，所述存储器将加密密钥K存储为无法从外部读取该 加密密钥K的状态。作为具有防篡改属性的结构，例如，使用一种存储 器芯片，当该芯片的表面暴露于空气则该芯片的记录内容灭失，或使用 一种电路，如果用于读取信号的探针被附于所述电路时，所述电路不再 起作用。
[8]第二实施例中的加密/密文解码技术
在上述第一实施例中的加密/密文解码技术中，调制部13例如使用 图7(A)示出的调制用三变元函数si＝M(xi，ri，fi)执行对要发送的明 文xi的所有比特的调制，并将要发送的明文xi的每一比特调制为两比特 的输出si。因此，调制输出si的比特数是要发送的明文xi的比特数的两 倍。
下面将参照图11至图16进行解释的本发明第二实施例的加密/密文 解码技术是参照图1至图10在上面描述的第一实施例的加密/密文解码 技术与参照图18在上面描述的现有技术的流密码方案的结合，在第二实 施例中，如此配置以使明文xi每八比特被调制为九比特的输出si。
图11是示出了本发明第二实施例的加密器的结构的框图，如图11 所示，第二实施例中的加密器10A包括伪随机数产生器11、物理随机数 产生器12、调制部13和信道编码部14，这些部件与第一实施例中的部 件相同，同时，加密器10A还包括伪随机数产生器11’和11”、调制部 15、切换控制部16和开关17a与17b。此外，在图11中，与已经描述的 符号相同的符号指示相同或基本相同的部分，因此，省略了对它们的详 细说明。
与第一实施例相同，第二实施例中的伪随机数产生器11基于预先设 置的加密密钥K产生并输出调制用伪随机数ri，然而，在第二实施例中， 进行配置以为每八比特明文xi产生并输出两比特的伪随机数ri。
伪随机数产生器(伪随机数产生部、调制用伪随机数产生部)11’ 基于预先设置的加密密钥K’产生并输出调制用伪随机数ri’。与伪随机 数产生器11相同，如果加密密钥K’是例如100位的二进制数，则从伪 随机数产生器11’产生一个(2100-1)位的二进制数，即，具有(2100-1)位的 周期的伪随机数。将伪随机数产生器11’的输出视为伪随机数ri’，并 且在将随后描述的调制部15的调制(成为流密码)中使用伪随机数ri’。 在本实施例中，为八比特明文xi产生并输出七比特的伪随机数ri’。
伪随机数产生器(伪随机数产生部、调制用伪随机数产生部)11” 基于预先设置的加密密钥K”产生并输出调制用伪随机数ri”。与伪随 机数产生器11和11’相同，如果加密密钥K”是例如100位的二进制数， 则从伪随机数产生器11”产生一个(2100-1)位的二进制数，即，具有(2100-1) 位的周期的伪随机数。将伪随机数产生器11”的输出视为伪随机数ri”， 并且将伪随机数ri”用于将随后描述的切换控制部16的切换控制。更具 体地，为八比特明文xi产生并输出三比特的伪随机数ri”，并且如后面 描述的，对于各八比特明文xi(一个块)，切换控制部16仅使用所述伪 随机数ri”来确定一次开关17a和17b被切换到调制部13侧的定时(要 由调制部13调制的明文xi的比特/槽(slot)数)，这将随后描述。因此， 伪随机数ri”用八个整数值0、1、2、3、4、5、6和7作为其状态。换 言之，ri”∈{0，1，2，3，4，5，6，7}。
调制部(异或算术单元)15执行与图18所示的调制部112的功能 相同的功能，并且计算要调制的明文xi和由伪随机数产生器11’产生的 伪随机数ri’的异或，并将其输出为调制结果。换言之，调制部15基于 伪随机数ri’调制明文xi并将其输出为调制结果si。
开关17a通过选择性地切换到调制部13和调制部15之一来输入要 发送的明文xi，开关17b选择性地切换以将来自调制部13的调制结果和 来自调制部15的调制结果之一输入到信道编码部14作为输出si，并且 切换控制部16根据由伪随机数产生器11”产生的伪随机数ri”对开关 17a和17b进行控制，使其切换到调制部13侧和调制部15侧之一。
在本实施例中，切换控制部16将八比特明文xi视为一个块而进行处 理，从伪随机数产生器11”接收伪随机数ri”，如随后将参照图13所描 述的，将伪随机数ri”的状态值(0至7)视为上述块中的槽号之一，将 开关17a切换到调制部13侧，以将与槽号(状态值)相对应的1比特明 文xi输入到调制部13，同时将开关17b切换到调制部13侧，以将调制部 13对所述1比特明文xi的调制结果输入到信道编码部14作为输出si，另 一方面，将开关17a切换到调制部15侧，以将与上述槽号(状态值)之 外的七比特明文xi输入到调制部15，同时将开关17b切换到调制部15 侧，以将调制部15对所述七比特明文xi的调制结果输入到信道编码部14 作为输出si。由此，在本实施例中，调制部13对八比特明文xi中的一比 特执行调制，调制部15对其他七比特执行调制，八比特明文xi被调制成 九比特的输出si并输出。
图12是示出了根据本发明第二实施例的密文解码器的结构的框图， 如图12所示，第二实施例中的密文解码器20A包括伪随机数产生器21、 解调部22和信道解码部23，这些部件与第一实施例中的部件相同，同时， 密文解码器20A还包括伪随机数产生器21’和21”、解调部24、切换控 制部25和开关26a与26b。此外，在图12中，与已经描述的符号相同的 符号指示相同或基本相同的部分，因此，省略了对它们的详细说明。
与第一实施例相同，第二实施例中的伪随机数产生器21基于加密密 钥K产生并输出与调制用伪随机数ri同步的解调用伪随机数ri，所述加 密密钥K与已产生在加密器10A的调制部13的调制中使用的伪随机数ri 的加密密钥K相同，并且伪随机数产生器21具有与加密器10A的伪随机 数产生器11的结构相同的结构，并被配置为为九比特解码的信号di产生 并输出两比特的伪随机数ri。
伪随机数产生器(伪随机数产生部、解调用伪随机数产生部)21’ 基于加密密钥K’产生并输出与调制用伪随机数ri’同步的解调用伪随 机数ri’，所述加密密钥K’与已在加密器10A中产生伪随机数ri’的加 密密钥K’相同，并且伪随机数产生器21’具有与加密器10A的伪随机 数产生器11’的结构相同的结构，并被配置为为九比特解码的信号di产 生并输出七比特的伪随机数ri’。
伪随机数产生器(伪随机数产生部、解调用伪随机数产生部)21”基 于加密密钥K”产生并输出与调制用伪随机数ri”同步的解调用伪随机 数ri”，所述加密密钥K”与已在加密器10A中产生伪随机数ri”的加密 密钥K”相同，并且伪随机数产生器21”具有与加密器10A的伪随机数 产生器11”的结构相同的结构，并被配置以为九比特解码的信号di产生 并输出三比特的伪随机数ri”。将伪随机数ri”用于将随后描述的切换 控制部25的切换控制。更具体地，对于每九比特的解码的信号di(一个 块)，切换控制部25仅使用所述伪随机数ri”来确定一次开关26a和26b 被切换到解调部22侧的定时(要由解调部22解调的两比特解码的信号 di)，这将随后描述。
解调部(异或算术单元)24执行与图18所示的解调部122的功能 相同的功能，并且计算要解调的解码的信号di和由伪随机数产生器21’ 产生的伪随机数ri’的异或，并将其输出为明文xi。换言之，解调部24 基于伪随机数ri’对解码的信号di进行解调并将其解调结果输出为明文 xi。
开关26a通过选择性地切换到解调部22和解调部24之一来输入由 信道解码部23获得的解码的信号di，开关26b选择性地切换以输出来自 解调部22的解调结果和来自解调部24的解调结果之一作为明文xi，并 且切换控制部25根据由伪随机数产生器21”产生的伪随机数ri”对开关 26a和26b进行控制，使其切换到解调部22侧和解调部24侧之一。
在本实施例中，切换控制部25将九比特的解码的信号di视为一个块 而进行处理，从伪随机数产生器21”接收伪随机数ri”，将伪随机数ri” 的状态值(0至7)视为上述块中的槽号之一，将开关26a切换到解调部 22侧，以将与槽号(状态值)相对应的一比特和下一比特(即，两比特) 的解码的信号di输入到解调部22，同时将开关26b切换到解调部22侧， 以输出解调部22对所述两比特解码的信号di的解调结果作为明文xi，另 一方面，将开关26a切换到解调部24侧，以将与上述两比特之外的七比 特解码的信号di输入到解调部24，同时将开关26b切换到解调部24侧， 以输出解调部24对所述七比特解码的信号di的解调结果作为明文xi。由 此，在本实施例中，解调部22对九比特解码的信号di中的两比特执行解 调，解调部24对其他七比特执行解调，九比特解码的信号di被解调成八 比特的明文xi并输出。
接下来，参照图13，将具体解释图11所示的加密器10A的加密操 作。此外，这里假设调制部13根据图7(A)所示的编码表执行调制。
在图13所示的示例中，对于第一个块中的八比特明文xi＝01000110， 伪随机数产生器11″产生三比特的伪随机数ri″＝011(＝3)，切换控制部 16控制开关17a和17b进行切换，从而由调制部13对块的槽号为3(从 第一比特开始的第四比特)的明文xi＝0执行调制，并由调制部15对其他 明文xi执行调制。
换言之，当输入槽号为0、1、2、4、5、6和7的明文xi时，开关 17a和17b被切换到调制部15侧，并且明文xi＝0、1、0、0、1、1、0被 输入到调制部15，并且在调制部15中计算该明文xi与分别由伪随机数产 生器11’产生的伪随机数ri’＝1、0、0、1、1、0、1的异或，将计算结 果输入到信道编码部14作为调制输出si＝1、1、0、1、0、1、1。
当输入槽号为3的明文xi时，开关17a和17b被切换到调制部13 侧，并且槽号为3的明文xi＝0被输入到调制部13，在调制部13中，基 于图7(A)所示的编码表(三变元函数si＝M(xi，ri，fi))，根据明文xi＝0、 由伪随机数产生器11产生的伪随机数ri＝11＝3、以及由物理随机数产生 器12产生的物理随机数fi＝1，获得两比特的调制结果并输出为si＝M(0， 3，1)＝00。
类似地，对于下一个块中的八比特明文xi＝10110100，伪随机数产生 器11″产生三比特的伪随机数ri″＝101(＝5)，切换控制部16控制开关17a 和17b进行切换，从而由调制部13对块的槽号为5(从第一比特开始的 第六比特)的明文xi＝1执行调制，并由调制部15对其他明文xi执行调制。
换言之，当输入槽号为0、1、2、3、4、6和7的明文xi时，开关 17a和17b被切换到调制部15侧，并且明文xi＝1、0、1、1、0、0、0被 输入到调制部15，并且在调制部15中计算该明文xi与分别由伪随机数产 生器11’产生的伪随机数ri’＝0、1、1、0、0、0、1的异或，将计算结 果输入到信道编码部14作为调制输出si＝1、1、0、1、0、0、1。
当输入槽号为5的明文xi时，开关17a和17b被切换到调制部13 侧，并且槽号为5的明文xi＝1被输入到调制部13，在调制部13中，基 于图7(A)所示的编码表(三变元函数si＝M(xi，ri，fi))，根据明文xi＝1、 由伪随机数产生器11产生的伪随机数ri＝01＝1、以及由物理随机数产生 器12产生的物理随机数fi＝0，获得两比特的调制结果并输出为si＝M(1， 1，0)＝01。
由此，将第一个块中的八比特明文xi＝01000110调制为九比特的输 出si＝110001011，并将下一个块中的八比特明文xi＝10110100调制为九比 特的输出si＝110100101，信道编码部14对如此调制和获得的输出si进行 信道编码，并且该输出si作为密文ci被发送。
另一方面，在已接收到这种密文ci的合法接收者侧的如图12所示的 密文解码器20A中，通过用信道解码部23对密文ci进行信道解码而获得 解码的信号di，同时，根据接收定时，由伪随机数产生器21、21’和21″ 产生并输出与在对密文ci进行加密时使用的调制用伪随机数ri、ri’、ri″ 的状态相同的解调用伪随机数ri、ri’、ri″。
然后，对于与图13所示的上述第一个块中的八比特明文xi相对应的 九比特解码的信号di＝110001011，伪随机数产生器21″产生三比特的伪随 机数ri″＝011(＝3)，切换控制部25控制开关26a和26b进行切换，从而 由解调部22对块的槽号为3和4(从第一比特开始的第四和第五比特) 的两比特解码的信号di＝00执行解调，并由解调部24对其他解码的信号 di执行解调。
换言之，当输入槽号为0、1、2、5、6、7和8的解码的信号di时， 开关26a和26b被切换到解调部24侧，并且解码的信号di＝1、1、0、1、 0、1、1被输入到解调部24，并且在解调部24中计算该解码的信号di 与分别由伪随机数产生器21’产生的伪随机数ri’＝1、0、0、1、1、0、1 的异或，将计算结果输出作为解调输出(明文)xi＝0、1、0、0、1、1、0。
当输入槽号为3和4的解码的信号di时，开关26a和26b被切换到 解调部22侧，并且槽号为3和4的解码的信号di＝00被输入到解调部22， 在解调部22中，基于解码表(二变元函数xi＝D(di，ri))，根据解码的 信号di＝00、由伪随机数产生器21产生的伪随机数ri＝11＝3，获得解调结 果并输出为xi＝D(0，3)＝0。由此，将与图13所示的上述第一个块中的 八比特明文xi相对应的九比特解码的信号di＝110001011解调为八比特的 明文xi＝01000110。此外，类似地，将与图13所示的上述下一个块中的 八比特明文xi相对应的九比特解码的信号di＝110100101也解调为八比特 的明文xi＝10110100。
如上所述，根据本发明第二实施例的加密/密文解码技术，将上面参 照图1至图10在描述的第一实施例的加密/密文解码技术与在上面参照 图18描述的现有技术的流密码方案进行结合，将八比特明文xi调制为九 比特的输出si，并将九比特解码的信号di解调为八比特明文xi。此时， 上面参照图1至图10在描述的第一实施例的加密/密文解码技术(调制部 13进行的调制)被应用于根据伪随机数ri″随机地从八比特明文xi中选择 的一比特明文xi，因此，即使拦截者获得了与如此加密的密文ci相对应 的解码的信号di，也不可能知道哪一部分是由调制部13调制的，可获得 与上述第一实施例相同的功能和效果。
此外，在上述第一实施例中，要发送的每一比特明文的调制输出si 是两比特，然而，在第二实施例中，八比特明文xi被调制为九比特输出 si，因此，与第一实施例相比，传输效率显著提高。
此外，对于第一实施例中的加密器10，物理随机数产生器12需要 为一比特明文xi产生一比特物理随机数fi，因此，需要能够进行高速运 算的物理随机数产生器12，然而，对于第二实施例中的加密器10A，对 八比特明文xi仅需要产生一比特物理随机数fi，因此，可以使用一种具 有比第一实施例中的运算速度低的运算速度的物理随机数产生器来作为 第二实施例中的物理随机数产生器12。能够进行高速运算的物理随机数 产生器是昂贵的，而低速运算的物理随机数产生器便宜，因此，可以用 比第一实施例中的加密器10的成本低的成本配置第二实施例中的加密器 10A。
此外，在上述加密器10A和密文解码器20A中，三个伪随机数产生 器11、11’和11″、21、21’和21″基于不同的加密密钥K、K’和K″，产生 三种伪随机数ri、ri’、ri”，然而，与图14所示的加密器10B或图15 所示的密文解码器20B一样，也可以由单个伪随机数产生器11a或21a 基于单个加密密钥Ka产生三种伪随机数ri、ri’、ri”。这里，图14是 示出了第二实施例中的加密器的变型例(加密器10B)的结构的框图，图 15是示出了第二实施例中的密文解码器的变型例(密文解码器20B)的 结构的框图，图16是具体解释图14所示的加密器10B的加密操作的图。
如图14所示，加密器10B设置有一个伪随机数产生器11a，取代了 如图11所示的加密器10A的三个伪随机数产生器11、11’和11″。
伪随机数产生器(伪随机数产生部、调制用伪随机数产生部)11a 基于预先设置的加密密钥Ka为每八比特明文xi(一个块)产生并输出12 比特调制用伪随机数Ri。与伪随机数产生器11、11’和11″一样，例如， 如果加密密钥Ka是100位的二进制数，则伪随机数产生器11a产生一个 (2100-1)位的二进制数，即，以(2100-1)位为周期的伪随机数。
这里，例如，如图16所示，在伪随机数产生器11a产生的12比特 调制用伪随机数Ri之中，从高位起第一位至第三位的这三位比特被输入 到切换控制部16作为伪随机数ri”，从高位起第四位至第五位的这两 位比特被输入到调制部13作为伪随机数ri，从高位起第六位至最低位的 这七位比特被输入到调制部15作为伪随机数ri’。
此外，如图15所示，该密文解码器20B包括一个伪随机数产生器 21a，取代了如图12所示的密文解码器20A的三个伪随机数产生器21、 21’和21″。
伪随机数产生器(伪随机数产生部、调制用伪随机数产生部)21a 基于加密密钥Ka产生并输出与调制用伪随机数Ri同步的解调用伪随机数 Ri，所述加密密钥Ka与已在加密器10B中产生了伪随机数Ri的加密密钥 Ka相同，并且伪随机数产生器21a具有与加密器10B中的伪随机数产生 器11a的结构相同的结构，并且被配置成为九比特解码的信号di产生并 输出12比特的伪随机数Ri。
那么，在密文解码器20B中，也与加密器10B中的12比特调制用伪 随机数Ri一样，在伪随机数产生器21a产生的12比特调制用伪随机数Ri 之中，从高位起第一位至第三位的这三位比特被输入到切换控制部25作 为伪随机数ri”，从高位起第四位至第五位的这两位比特被输入到解调 部22作为伪随机数ri，从高位起第六位至最低位的这七位比特被输入到 解调部24作为伪随机数ri’。
使用这种结构，如图16所示，在加密器10B中，与上述加密器10A 的加密操作(参照图13)一样，将八比特明文xi调制为九比特输出si， 并且在密文解码器20B中，与上述密文解码器20A的密文解码操作一样， 将九比特解码的信号di解调为八比特明文xi。
由此，获得了与上述第二实施例中的加密/密文解码技术相同的功能 和效果，此外，在作为变型例的加密器10B和密文解码器20B中，将由 伪随机数产生器11a和21a之一产生的伪随机数分别用作三种伪随机数 ri”、ri、ri’，因此，结构进一步简化，同时，由于加密密钥仅使用一 种Ka，所以加密密钥的管理变得容易。
这里，将八比特明文xi视为一个块，对于每个块，调制部13对八比 特明文xi中的1比特执行调制，调制部15对其他七比特执行调制，从而 八比特明文xi被调制为九比特输出si，然而，不限于此。例如，切换控 制部16还可以控制开关17a与17b，以使例如将m比特明文(m是大于1 的整数)视为一个块，对于每个块，调制部13对m比特明文xi中的n比 特(n是不小于1且不大于m-1的整数)执行调制，调制部15对其他(m-n) 比特执行调制，m比特明文xi被调制为(m+n)比特输出si。
[9]第三实施例中的加密/密文解码技术
图21是示出了已应用了本发明第三和第四实施例的加密/密文解码 技术的通信系统1和1A的整体结构的框图，图21所示的第三实施例中 的通信系统1包括彼此相连从而可经由通信网络等进行通信的两个通信 装置1a和1b。关于第三实施例中的通信系统1和将随后描述的第四实施 例中的通信系统1A，将解释这样的情况：两个通信装置1a和1b相连， 从而可以通过无篡改的通信信道(信号线)进行通信，并且两个通信装 置1a和1b通过开放通信进行同步处理。
通信装置1a和1b具有相同的结构，通信装置1a包括：加密器10C， 用于按照第一或第二实施例中的上述方法对要发送到通信装置1b的输入 数据(明文xi)进行加密；密文解码器20C，用于按照第一或第二实施例 中的上述方法对从通信装置1b接收的加密的数据(ci或si)进行解码； 以及将随后描述的发送/接收部52和同步调节部53，通信装置1b包括： 加密器10C，用于按照以上在第一或第二实施例中描述的方法对要发送到 通信装置1a的输入数据(明文xi)进行加密；密文解码器20C，用于按 照以上在第一或第二实施例中描述的方法对从通信装置1a接收的加密的 数据(ci或si)进行解码；以及将随后描述的发送/接收部52和同步调节 部53。此外，随后将参照图22描述加密器10C的结构，并且随后将参照 图23描述密文解码器20C的结构。
此外，在图21所示的通信系统1中，通信装置1a中的加密器10C 和通信装置1b中的密文解码器20C配对，并且将装置10C和20C中的伪 随机数产生器11和21(参照图22和图23)配置为同步并基于相同的加 密密钥产生伪随机数ri。类似地，通信装置1b中的加密器10C和通信装 置1a中的密文解码器20C配对，并且将装置10C和20C中的伪随机数产 生器11和21(参照图22和图23)也配置为同步并基于相同的加密密钥 产生伪随机数ri。然而，将不同的密钥设置为上述各对装置中使用的加 密密钥。
利用这种结构，加密器10C按照上述加密过程对从通信装置1a到通 信装置1b的发送数据进行加密，并且该发送数据被作为密文发送到通信 装置1b，并且在通信装置1b侧，密文解码器20C按照上述密文解码过程 将从通信装置1a接收的密文解码为明文。类似地，加密器10C按照上述 加密过程对从通信装置1b到通信装置1a的发送数据进行加密，并且该 发送数据被作为密文发送到通信装置1a，并且在通信装置1a侧，密文解 码器20C按照上述密文解码过程将从通信装置1b接收的密文解码为明 文。
这里，当在伪随机数产生器11和21的伪随机数产生操作中由于某 些原因发生同步漂移(synchronization shift)并且加密器10C和密文 解码器20C之间的加密通信变得不再可能时，使用发送/接收部52和同 步调节部53。
发送/接收部52将从随后要描述的非易失性存储器34(参照图22) 或非易失性存储器44(参照图23)中读取的调制用伪随机数或解调用伪 随机数的输出次数发送给通信装置1a或1b(其是通信的另一方)作为同 步信息，并同时从通信装置1a或1b(其是通信的另一方)接收同步信息。 使用执行开放通信的常规收发机等作为发送/接收部52。
当在伪随机数产生器11和21的伪随机数产生操作中由于某些原因 发生同步漂移并且加密器10C和密文解码器20C之间的加密通信变得不 再可能时，经由网络等在通信装置1a和1b之间(在发送/接收部52和 52之间)发送和接收作为同步信息的上述输出次数。(这里，无重写的通 信信道)使用分别设置在通信装置1a和1b的发送/接收部52和53。
为了使通信装置1a的调制用伪随机数产生器11(参照图22)的伪 随机数产生操作与通信装置1b的解调用伪随机数产生器21(参照图23) 的伪随机数产生操作同步，或者为了使通信装置1b的调制用伪随机数产 生器11(参照图22)的伪随机数产生操作与通信装置1a的解调用伪随 机数产生器21(参照图23)的伪随机数产生操作同步，同步调节部53 基于从非易失性存储器34或44中读取的输出次数，来调节伪随机数产 生器11和21的伪随机数的输出次数。
具体地，第三实施例中的同步调节部53进行调节，从而当在作为通 信另一方的通信装置1a或1b侧的解调用伪随机数(或者调制用伪随机 数)的输出次数(其由发送/接收部52进行解码)大于从非易失性存储 器34(或44)中读取的调制用伪随机数(或者解调用伪随机数)的输出 次数时，使来自加密器10C的伪随机数产生器11的调制用伪随机数(或 者来自密文解码器20C的伪随机数产生器21的解调用伪随机数)的输出 次数与在作为通信另一方的通信装置1a或1b侧的解调用伪随机数(或 者调制用伪随机数)的输出次数相匹配。
此时，如将随后参照图22或图23描述的，第三实施例中的同步调 节部53通过设置加密器10C的非易失性存储器34或密文解码器20C的 非易失性存储器44的输出次数，或者通过对伪随机数产生器11或21执 行时钟信号的假输入，来调节来自伪随机数产生器11或21的输出次数。 此外，时钟信号的假输入指的是这样一种操作：输入时钟信号，该信号 用于使伪随机数产生器11或21执行仅调节伪随机数的输出次数而不对 明文进行加密的伪随机数产生操作。
接下来，将参照图22解释加密器10C的结构。图22是示出了本发 明第三实施例的加密器10C的结构的框图，图22所示的加密器10C被配 置为提供与第一实施例中的加密器10中相同的调制用伪随机数产生器 11、物理随机数产生器12、和调制部13，并且此外，还提供标识号ROM (只读存储器)31、加密密钥ROM(只读存储器)32、计数器33、和非 易失性存储器34。
然后，本实施例中的加密器10C防止用于伪随机数产生的加密密钥 或者来自伪随机数产生器11的伪随机数ri被泄漏，并且被布置在防篡改 区60中，以防止由物理随机数产生器12产生的物理随机数fi中的物理 干扰所引起的概率分布变化。这里，其中布置有第三实施例中的加密器 10C的防篡改区60提供如同下面的项(11)至(17)的结构。此外，图 22所示的加密器10C(防篡改区60)被配置在例如单个芯片(未示出) 上。
(11)一种结构，使用该结构，即使将芯片拆卸，也无法读取加密 密钥ROM 32的加密密钥(即，伪随机数ri的“种子”)。例如，如果尝试 拆卸芯片以读取ROM 32中的加密密钥，则ROM 32损坏。
(12)一种结构，使用该结构，即使将芯片拆卸，也无法窃听(tap) 伪随机数ri的信号线(伪随机数产生器11和调制部13之间的信号线)。 例如，一种布线结构，使用该结构，如果打破芯片来尝试窃听伪随机数 ri的信号线，则芯片不再工作。
(13)一种结构，使用该结构，即使从芯片外部施加了物理干扰， 在来自物理随机数产生器12的物理随机数fi中也不发生概率分布变化。 例如，一种物理随机数产生器的结构，使用该结构，即使整个芯片被冷 却或者被施加了异常输入电压，物理随机数fi的概率分布也不改变。或 者，一种通过检测温度或者输入电压从而在物理随机数fi的分布偏斜之 前停止芯片操作的机制。
(14)一种结构，根据该结构，可读取但是无法篡改标识号ROM 31 的标识号。
(15)一种结构，使用该结构，即使将芯片拆卸，也无法窃听物理 随机数fi的信号线(物理随机数产生器12和调制部13之间的信号线)。 例如，一种布线结构，使用该结构，如果打破芯片来尝试窃听物理随机 数fi的信号线，则芯片不再工作。
(16)一种结构，使用该结构，无法篡改在非易失性存储器34中保 存的信息(例如，如将随后描述的，由计数器33计数的输出次数)。
(17)一种防止绕过计数器33直接访问伪随机数产生器11从而防 止伪随机数产生器111产生任意次数的伪随机数ri的结构。例如，一种 布线结构，使用该结构，即使将芯片拆卸，也无法窃听计数器33和伪随 机数产生器11之间的信号线，并且如果打破芯片来尝试窃听该信号线， 则芯片不再工作。
此外，在图22所示的加密器10C中，没有示意性地示出信道编码部 14(参照图1、图11和图14)。可以像第一和第二实施例一样提供信道 编码部14，或者可不提供。当提供信道编码部14时，可将信道编码部 14布置在防篡改区60中或者防篡改区60之外。
此外，将第三实施例中的调制用伪随机数产生器11配置为禁止重置 和重复调制用伪随机数ri的产生操作。换言之，在本实施例中，将伪随 机数产生器11配置为“无论如何都不可重置(倒转)伪随机数的输出”。 取而代之，在本实施例中，将计数器33和非易失性存储器34设计为如 果存在来自外部的请求则能够输出“已输出了多少个伪随机数”。
此外，第三实施例中的调制用伪随机数产生器11能够通过执行时钟 信号的假输入来逐个推进调制用伪随机数ri(即，输出次数)，并且能够 通过将期望的输出次数(例如N)设置到非易失性存储器34而在当前的 输出次数之前产生并输出期望的输出次数(第N次)的调制用伪随机数 ri，这将随后描述。然而，不可能通过设置在当前输出次数(例如M)(N＜M) 之前的输出次数，使调制用伪随机数产生器11产生该输出次数的调制用 伪随机数ri。无论哪种方式，第三实施例中的调制用伪随机数产生器11 都具有“要产生的调制用伪随机数ri可以前进但是不可倒退这一规则”。
标识号ROM 31保存有加密器10C所固有的标识号(ID号)，并应来 自外部的对标识号输出的请求，从ROM 31将标识号输出到外部。标识号 与在加密密钥ROM 32中保存的加密密钥(种子)没有数值关系，然而， 它按一对一的方式对应于加密密钥(种子)，并且使用该标识号，使得可 以识别要与该加密器10C进行同步的密文解码器20C，即，保存有与在加 密器10C的加密密钥ROM 32中保存的加密密钥(种子)相同的加密密钥 (种子)的密文解码器20C。
加密密钥ROM 32保存有在调制用伪随机数产生器11中使用的加密 密钥(种子)，第三实施例中的调制用伪随机数产生器11基于在ROM 32 中保存的加密密钥(种子)产生调制用伪随机数ri。
计数器33对从外部输入的时钟信号的输入次数(即，调制用伪随机 数产生器11的调制用伪随机数ri的输出次数)进行计数，以使调制用伪 随机数产生器11执行伪随机数产生操作。
非易失性存储器(第一保存部)34保存有由计数器33计数的输出 次数(时钟信号的输入次数)，并且还具有响应于来自外部(加密器10C 之外/防篡改区60之外)的输出命令而将保存的输出次数输出到外部(加 密器10C之外/防篡改区60之外)的功能。此外，非易失性存储器34被 配置为从外部(加密器10C之外/防篡改区60之外)设置期望的输出次 数(例如N)，并且当将输出次数设置到非易失性存储器34时，还从非易 失性存储器34将该输出次数设置到计数器33。然后，调制用伪随机数产 生器11被配置为基于在加密密钥ROM 32中保存的加密密钥(种子)产 生与设置到计数器33的输出次数相对应的第N次的调制用伪随机数ri。
如上所述，例如，使用BBS(Blum、Blum和Shub)产生器(例如， 参照L.Blum，M.Blum，and M.Shub，“A Simple Unpredictable Pseudo-Random Number Generator”，SIAM Journal on Computing，v. 15，n.2，1986，pp.364-383)作为基于在加密密钥ROM 32中保存的加 密密钥(种子)产生与设置到计数器33的输出次数相对应的第N次的调 制用伪随机数ri的调制用伪随机数产生器11。使用该BBS产生器，可以 直接根据“种子”(加密密钥)计算第N次调制用伪随机数ri。
因此，在第三实施例中，调制用伪随机数产生器11能够在每次时钟 信号被输入时顺序地产生调制用伪随机数ri，并且能够仅通过将输出次 数N设置到计数器33(非易失性存储器34)就可直接根据在加密密钥ROM 32中保存的加密密钥(种子)而产生第N次调制用伪随机数ri。
此外，在第三实施例中，来自调制用伪随机数产生器11的调制用伪 随机数ri的输出次数(时钟信号的输入次数)总是由计数器33进行计数， 并且被记录在非易失性存储器34中，因此，即使切断了加密器10C的电 源，当下一次开启电源时，调制用伪随机数产生器11将从切断电源之前 最后输出的伪随机数的下一个起开始输出伪随机数。
此外，如上所述，应用户的请求，在初始设置时执行将时钟假输入 到调制用伪随机数产生器11或者将输出次数设置到非易失性存储器34， 此外，其还被同步调节部53(参照图21)执行以调节加密器10C和密文 解码器20C之间的同步(用于消除在伪随机数产生器11和21之间的伪 随机数产生操作中发生的同步漂移)。
在按如上所述配置的加密器10C中，需要下面的项(21)至(28) 中的这些接口来作为防篡改区60的内部和外部之间的接口。
(21)明文的输入(将xi输入到调制部13)
(22)密文的输出(从调制部13输出si)
(23)装置标识号的输出命令的输入(用于标识号ROM 31的输出命 令)
(24)装置标识号的输出(根据(23)的输出命令从标识号ROM 31 输出)
(25)时钟信号的输入(输入到计数器33/调制用伪随机数产生器 11)
(26)伪随机数的输出次数的输出命令的输入(用于非易失性存储 器34的输出命令)
(27)伪随机数的输出次数的输出(根据(26)的输出命令从非易 失性存储器34输出)
(28)伪随机数的输出次数的设置的输入(输入到非易失性存储器 34)
此时，如上所述，由项(28)的输入接口设置到非易失性存储器34 (计数器33)的输出次数在所有时候都只可以在增量方向上设置，然而， 也可以省略项(28)的输入接口，并且通过对计数器33/调制用伪随机数 产生器11执行时钟信号的假输入来执行输出次数的设置。
接下来，将参照图23解释密文解码器20C的结构。图23是示出了 本发明第三实施例的密文解码器20C的结构的框图，图23所示的密文解 码器20C被配置为提供与第一实施例中的密文解码器20中相同的解调用 伪随机数产生器21、和解调部22，并且此外，还提供标识号ROM(只读 存储器)41、加密密钥ROM(只读存储器)42、计数器43、和非易失性 存储器44。
然后，本实施例中的密文解码器20C被布置在防篡改区60中，以防 止泄漏用于伪随机数产生的加密密钥或者来自伪随机数产生器11的伪随 机数ri。这里，其中布置有第三实施例中的密文解码器20C的防篡改区 60提供了例如下面的项(31)至(35)的结构。此外，图23所示的密文 解码器20C(防篡改区60)被配置在例如单个芯片(未示出)上。
(31)一种结构，使用该结构，即使将芯片拆卸，也无法读取加密 密钥ROM 42的加密密钥(即，伪随机数ri的“种子”)。例如，如果尝试 拆卸芯片以读取ROM 42中的加密密钥，则ROM 42损坏。
(32)一种结构，使用该结构，即使将芯片拆卸，也无法窃听伪随 机数ri的信号线(伪随机数产生器21和解调部22之间的信号线)。例如， 一种布线结构，使用该结构，如果打破芯片来尝试窃听伪随机数ri的信 号线，则芯片不再工作。
(33)一种结构，根据该结构，可读取但是无法篡改标识号ROM 41 的标识号。
(34)一种结构，使用该结构，无法篡改在非易失性存储器44中保 存的信息(例如，如将随后描述的，由计数器43计数的输出次数)。
(35)一种防止绕过计数器43直接访问伪随机数产生器21从而防 止伪随机数产生器21产生任意次数的伪随机数ri的结构。例如，一种布 线结构，使用该结构，即使将芯片拆卸，也无法窃听计数器43和伪随机 数产生器21之间的信号线，并且如果打破芯片来尝试窃听该信号线，则 芯片不再工作。
此外，在图23所示的密文解码器20C中，虽然没有示意性地示出信 道解码部23(参照图2、图12和图15)，但是，如果在加密器10C侧像 第一和第二实施例一样提供有信道编码部14，则提供信道解码部23。当 提供信道解码部23时，可将信道解码部23布置在防篡改区60中或者防 篡改区60之外。
此外，与第三实施例中的调制用伪随机数产生器11一样，将第三实 施例中的解调用伪随机数产生器21也配置为禁止重置和重复解调用伪随 机数ri的产生操作。换言之，在本实施例中，将伪随机数产生器21配置 为“无论如何都不可重置(倒转)伪随机数的输出”。取而代之，在本实 施例中，如果存在来自外部的请求，则根据计数器43和非易失性存储器 44的功能输出“已输出了多少个伪随机数”，这将随后描述。
此外，第三实施例中的解调用伪随机数产生器21也能够通过执行时 钟信号的假输入来逐个推进解调用伪随机数ri(即，输出次数)，并且能 够通过将期望的输出次数(例如N)设置到非易失性存储器44而在当前 的输出次数之前产生并输出期望的输出次数(第N次)的解调用伪随机 数ri，这将随后描述。然而，不可以通过设置当前输出次数(例如M)(N＜M) 之前的输出次数，使解调用伪随机数产生器21产生该输出次数的解调用 伪随机数ri。无论哪种方式，第三实施例中的解调用伪随机数产生器21 都具有“要产生的解调用伪随机数ri可以前进但是完全不可倒退这一规 则”。
标识号ROM 41保存有密文解码器20C所固有的标识号(ID号)，响 应来自外部的对标识号输出的请求，从ROM 41将标识号输出到外部。标 识号与在加密密钥ROM 42中保存的加密密钥(种子)没有数值关系，然 而，使用该标识号，使得可以识别要与该密文解码器20C进行同步的加 密器10C，即，保存有与在密文解码器20C的加密密钥ROM 42中保存的 加密密钥(种子)相同的加密密钥(种子)的加密器10C。
加密密钥ROM 42保存有在解调用伪随机数产生器21中使用的加密 密钥(种子)，第三实施例中的解调用伪随机数产生器21基于在ROM 42 中保存的加密密钥(种子)产生解调用伪随机数ri。
计数器43对从外部输入的时钟信号的输入次数进行计数(即，解调 用伪随机数产生器21的解调用伪随机数ri的输出次数)以使解调用伪随 机数产生器21执行伪随机数产生操作。
非易失性存储器(第一保存部)44保存有由计数器43计数的输出 次数(时钟信号的输入次数)，并且还具有响应于来自外部(密文解码器 20C之外/防篡改区60之外)的输出命令而将保存的输出次数输出到外部 (密文解码器20C之外/防篡改区60之外)的功能。此外，非易失性存 储器44被配置为从外部(密文解码器20C之外/防篡改区60之外)设置 期望的输出次数(例如N)，并且当将输出次数设置到非易失性存储器44 时，还从非易失性存储器44将该输出次数设置到计数器43。然后，解调 用伪随机数产生器21被配置为基于在加密密钥ROM 42中保存的加密密 钥(种子)产生与设置到计数器43的输出次数相对应的第N次的解调用 伪随机数ri。与第三实施例中的调制用伪随机数产生器11类似，例如可 以使用BBS产生器作为解调用伪随机数产生器21。
因此，在第三实施例中，解调用伪随机数产生器21能够在每次时钟 信号被输入时顺序地产生解调用伪随机数ri，此外，能够仅通过将输出 次数N设置到计数器43(非易失性存储器44)就可直接根据在加密密钥 ROM 42中保存的加密密钥(种子)而产生第N次解调用伪随机数ri。
此外，在第三实施例中，来自解调用伪随机数产生器21的解调用伪 随机数ri的输出次数(时钟信号的输入次数)总是由计数器43进行计数， 并且被记录在非易失性存储器44中，因此，即使切断了密文解码器20C 的电源，当下一次开启电源时，解调用伪随机数产生器21将从切断电源 之前最后输出的伪随机数的下一个起开始输出伪随机数。
此外，如上所述，应用户的请求，在初始设置等时执行将时钟假输 入到解调用伪随机数产生器21或者将输出次数设置到非易失性存储器 44，此外，如上所述，其还被同步调节部53(参照图21)执行以调节加 密器10C和密文解码器20C之间的同步(用于消除在伪随机数产生器11 和21之间的伪随机数产生操作中发生的同步漂移)。
在按如上所述配置的密文解码器20C中，需要下面的项(41)至(48) 中的这些接口来作为防篡改区60的内部和外部之间的接口。
(41)密文的输入(将ci输入到解调部22)
(42)明文的输出(从解调部22输出xi)
(43)装置标识号的输出命令的输入(用于标识号ROM 41的输出命 令)
(44)装置标识号的输出(根据(43)的输出命令从标识号ROM 41 输出)
(45)时钟信号的输入(输入到计数器43/解调用伪随机数产生器 21)
(46)伪随机数的输出次数的输出命令的输入(到非易失性存储器 44的输出命令)
(47)伪随机数的输出次数的输出(根据(46)的输出命令从非易 失性存储器44输出)
(48)伪随机数的输出次数的设置的输入(输入到非易失性存储器 44)
此时，如上所述，由项(48)的输入接口设置到非易失性存储器44 (计数器43)的输出次数在所有时候都仅可以在增量方向上设置，然而， 也可以省略项(48)的输入接口，并且通过对计数器43/解调用伪随机数 产生器21执行时钟信号的假输入来执行输出次数的设置。
此外，在第三实施例中，加密器10C被配置得与图1所示的加密器 10类似，然而，也可将加密器10C配置为提供与图11所示的加密器10A 或图14所示的加密器10B的结构相同的结构。此外，在第三实施例中， 密文解码器20C被配置得与图2所示的密文解码器20类似，然而，也可 将密文解码器20C配置为提供与图12所示的密文解码器20A或图15所 示的密文解码器20B的结构相同的结构。
根据按本发明第三实施例这样配置的通信系统1(加密器10C和密 文解码器20C)，在通信装置1a和通信装置1b之间实现了已应用了本实 施例中的加密技术的加密通信，并且可以获得与第一和第二实施例相同 的功能和效果。
此外，对于第三实施例中的通信系统1，如上所述，通过应用第一 实施例和第二实施例中的加密技术可以确保针对已知明文攻击的极高的 加密强度，因此，不在需要执行使用公钥加密的复杂加密密钥的重新分 发，并且通过将固定的加密密钥分别嵌入通信装置1a和1b中的加密器 10C和密文解码器20C，可以使用该固定的加密密钥。此外，通过将加密 密钥分别嵌入通信装置1a和1b中的加密器10C和密文解码器20C，可以 在保持如此高的保密性(甚至对于用户，加密密钥也是保密的)的状态 下操作通信系统，直到到达其使用寿命。
在第三实施例的通信系统1中，在芯片上的防篡改区60中分别布置 有加密器10C和密文解码器20C，因此，确保了防篡改属性，防篡改区 60和其外部之间的输入/输出被限制于上述项(21)至(28)以及(41) 至(48)中的这些接口。
由此，通过上述项(21)至(28)以及(41)至(48)中的接口， 绝对不可能将伪随机数产生器11和12产生的伪随机数ri或者在ROM 32 和42中保存的加密密钥读取到防篡改区60的外部。此外，通过利用提 供上述项(11)至(17)以及上述项(31)至(35)中的结构的防篡改 区60，即使通过拆卸芯片，也绝对不可能读取到在ROM 32和42中保存 的加密密钥或窃听到伪随机数ri的信号线或窃听到物理随机数fi的信号 线，此外，即使从芯片外部施加了物理干扰(热或电压)，来自物理随机 数产生器12的物理随机数fi的概率分布也不会改变。
因此，无疑可以防止拦截者等盗取伪随机数ri、加密密钥、或随机 数表而利用它们对密文解码。此外，即使拦截者等通过盗取加密器10C 本身并施加物理干扰从而在物理随机数产生器12的输出偏斜的状态下尝 试进行选定明文攻击，物理随机数产生器12的物理随机数fi的概率分布 也不会改变(或者当施加了物理干扰时操作停止)，因此，即使进行选定 明文攻击，因为物理随机数fi的波动(或者因为当操作停止时无法再获 得加密器10C的输出)，所以也不可能对加密器10C的输出进行解码，并 且也不可能反算加密密钥(种子)，因此，也可以确保针对选定明文攻击 的极高的加密强度。
此外，伪随机数产生器11和12被配置为禁止重置和重复伪随机数 ri的产生操作并且“无论如何都不可重置(倒转)伪随机数的输出”，因 此，即使拦截者等盗取了加密器10C或密文解码器20C，也不可能重置(倒 转)伪随机数ri以重复地产生并输出相同的伪随机数序列来重用。因此， 不可能将可用于对加密密钥(种子)进行解码的额外信息提供给拦截者 等，并且还通过防止拦截者对加密密钥进行解码或反算，无疑可确保对 加密器10C的选定明文攻击和对密文解码器20C的选定密文攻击的极高 的加密强度。
这里，此外，选定明文攻击是这样一种攻击：其中拦截者等盗取了 加密器10C并且根据通过将仅包括“0”或“1”的明文输入到加密器10C (黑盒测试)而得到的密文对加密密钥(种子)进行反算。选定密文攻 击是这样一种攻击：其中拦截者等盗取了密文解码器20C并且通过进行 密文解码器20C的黑盒测试来对加密密钥(种子)进行反算。
另一方面，在第三实施例中的通信系统1中，当出现使通信装置1a 中的伪随机数产生操作与通信装置1b中的伪随机数产生操作同步的需要 时，例如，在电力故障等引起的异常停止之后进行恢复时，通信装置1a 中的发送/接收部52和通信装置1b中的发送/接收部52执行它们之间的 开放通信，交换调制用伪随机数ri的输出次数和解调用伪随机数ri的输 出次数(分别从非易失性存储器34和44中读取)作为同步信息。
然后，当执行通信装置1a和1b中的伪随机数ri的同步处理时，通 过为加密器10C的非易失性存储器34或密文解码器20C的非易失性存储 器44设置输出次数，或者通过执行将时钟信号假输入到伪随机数产生器 11或21，在各通信装置1a和1b中的同步调节部53对较小输出次数值 增加输出次数，并且使加密器10C中的伪随机数产生器11的输出次数与 密文解码器20C中的伪随机数产生器21的输出次数相匹配，并且使加密 器10C中的伪随机数产生器11的伪随机数产生操作与密文解码器20C中 的伪随机数产生器21的伪随机数产生操作同步。
[10]第四实施例中的加密/密文解码技术
如图21所示，与第三实施例中的通信系统1一样，第四实施例中的 通信系统1A也被配置为提供彼此相连从而可经由通信网络等进行通信的 两个通信装置1a和1b。如上所述，在第四实施例中的通信系统1A中， 将解释这样的情况：两个通信装置1a和1b相连，从而可以通过无篡改 的通信信道(信号线)进行通信，并且两个通信装置1a和1b通过开放 通信进行同步处理。
通信装置1a和1b都具有相同的结构，并且在第四实施例中的通信 系统1A中，通信装置1a被配置为提供：加密器10D，用于按照第一或第 二实施例中的上述方法对要发送到通信装置1b的输入数据(明文xi)进 行加密；密文解码器20D，用于按照第一或第二实施例中的上述方法对从 通信装置1b接收的加密的数据(ci或si)进行解码；以及上述发送/接收 部52和同步调节部53，通信装置1b被配置为提供：加密器10D，用于 按照第一或第二实施例中的上述方法对要发送到通信装置1a的输入数据 (明文xi)进行加密；密文解码器20D，用于按照第一或第二实施例中的 上述方法对从通信装置1a接收的加密的数据(密文ci或si)进行解码； 以及上述发送/接收部52和同步调节部53。此外，随后将参照图24描述 加密器10D的结构，并且随后将参照图25描述密文解码器20D的结构。
然而，如将随后参照图24和图25所描述的，第四实施例中的加密 器10D被配置为将由调制部13获得的经编码信号(si)作为多个包 (packet)发送到目的通信装置1a或1b，并且第四实施例中的密文解码 器20D被配置为将从发送方通信装置1a或1b的加密器10D接收的每个 包中的经编码信号(si)解调为输入数据(明文xi)。
具体地，第四实施例中的通信系统1A(加密器10D和密文解码器20D) 旨在使用诸如IP(因特网协议)网络的通信信道和需要识别单个包是否 是从合法发送者发送的的系统(具体地，IP电话通信系统)来进行通信， 在该通信信道中包的到达顺序可能改变或者包可能丢失。
此外，在第四实施例中的通信系统1A中，通信装置1a中的加密器 10D和通信装置1b中的密文解码器20D也配对，并且装置10D和20D中 的伪随机数产生器11和21(参照图24和图25)被配置为同步并基于相 同的加密密钥产生伪随机数ri。类似地，通信装置1b中的加密器10D和 通信装置1a中的密文解码器20D配对，并且装置10D和20D中的伪随机 数产生器11和21也被配置为进行同步并基于相同的加密密钥产生伪随 机数ri。然而，将不同的密钥设置为上述各对装置中使用的加密密钥。
使用这种结构，加密器10D按照上述加密过程对从通信装置1a到通 信装置1b的发送数据进行加密，并且该发送数据被作为密文发送到通信 装置1b，并且在通信装置1b侧，密文解码器20D按照上述密文解码过程 将从通信装置1a接收的密文解码为明文。类似地，加密器10D按照上述 加密过程对从通信装置1b到通信装置1a的发送数据进行加密，并且该 发送数据被作为密文发送到通信装置1a，并且在通信装置1a侧，密文解 码器20D按照上述密文解码过程将从通信装置1b接收的密文解码为明 文。此外，在第四实施例中的通信系统1A中，发送/接收部52和同步调 节部53与在第三实施例中解释的发送/接收部52和同步调节部53相同， 因此，省略对它们的解释。
接下来，将参照图24解释加密器10D的结构。图24是示出了本发 明第四实施例的加密器10D的结构的框图，图24所示的加密器10D被配 置为提供与第三实施例中的加密器10C中相同的调制用伪随机数产生器 11、物理随机数产生器12、调制部13、标识号ROM 31、加密密钥ROM 32、 计数器33、和非易失性存储器34，并且此外，还提供了并入部35和打 包部36。
然后，与第三实施例中的加密器10C一样，本实施例中的加密器10D 也被布置在芯片(未显示)上的防篡改区60(其提供如同上述项(11) 至(17)的结构)中。然而，打包部36可布置在防篡改区60之外。此 外，在图24中，与已描述的符号相同的符号指示相同或基本相同的部分， 因此，省略对它们的解释。
此外，与第三实施例一样，虽然在这里未示出，但是图24所示的加 密器10D可以像第一和第二实施例一样设置信道编码部14(参照图1、 图11和图14)，或者可不提供。当提供信道编码部14时，可将信道编码 部14布置在防篡改区60中或者防篡改区60之外。
并入部35将输入数据划分成由打包部36作为包的容器部进行处理 的包单元(在如图26(B)所示的包的容器部中存储的一定量的数据单元)， 这将随后描述，并且为各个包单元获得伪随机数产生单元11对调制用伪 随机数ri的输出次数，当在调制部13中基于由计数器33(非易失性存储 器34)计数的当前计数值对包单元中的第一数据xi进行调制时使用所述 调制用伪随机数ri，并且并入部35将获得的输出次数并入包单元中(一 定量的输入数据内)，同时，将来自伪随机数产生器11的预定伪随机数 序列并入包单元中(一定量的输入数据内)对于包单元来说作为唯一的 认证码。由此，使要从加密器10D发送到密文解码器20D的每个包的容 器部中的经编码信号包括了输出次数和认证码。
此时，并入部35基于来自伪随机数产生器11的伪随机数，确定输 出次数和认证码在包单元中的存储位置(并入/嵌入位置，即，在各个包 的容器部中的存储位置)，并且如图26(A)所示，并入输出次数和认证 码，以使该输出次数和认证码布置在确定的位置上。换言之，在本实施 例中，使用来自伪随机数产生器11的伪随机数打乱了输出次数和认证码 的并入位置/嵌入位置。
如图26(B)所示，打包部36将在并入部35中划分并且在调制部13 中调制的包单元存储在容器部中，通过创建未调制或加密的头部并将其 附于容器部，而创建了包(对调制结果进行打包)并将其发送到通信的 另一方(目的地)的通信装置1a或1b。此时，如图26(B)所示，打包 部36描述：相同的输出次数被不经调制地并入各个包单元。当需要时， 打包部36可在未经调制的头部中描述加密器10D中使用的加密密钥的标 识号(ID号；在ROM 31中保存的装置标识号)。
图26(A)是示出了由第四实施例中的并入部35执行的将认证码和 输出次数并入到输入数据(明文)的示例的图，图26(B)是示出了由打 包部36对图26(A)示出的输入数据(明文)进行打包(这将随后描述) 的示例的图。此外，代替输出次数，可将指示包的发送顺序的序列号并 入包单元中。此外，加密器10D还设置有与上述项(21)至(28)相对 应的一个接口作为防篡改区60的内部和外部之间的接口。
接下来，将参照图25解释密文解码器20D的结构。图25是示出了 本发明第四实施例的密文解码器20D的结构的框图，图25所示的密文解 码器20D被配置为提供与第三实施例中的密文解码器20C中相同的解调 用伪随机数产生器21、解调部22、标识号ROM 41、加密密钥ROM 42、 计数器43、和非易失性存储器44，并且此外，还提供FIFO存储器45、 排列部46、取出部47、比较部48、包丢失判断部49、包丢弃部50、和 输出次数判断部54。
然后，与第三实施例中的密文解码器20C一样，本实施例中的密文 解码器20D也被布置在芯片(未显示)上的防篡改区60(其提供如同上 述项(31)至(35)的结构)中。此外，在图25中，与已描述的符号相 同的符号指示相同或基本相同的部分，因此，省略对它们的解释。
此外，与第三实施例一样，虽然在这里未示出，但是图25所示的密 文解码器20D可以像第一和第二实施例一样提供信道解码部23(参照图 2、图12和图15)，当在加密器10D侧提供有信道编码部14时，提供信 道解码部23。当提供了信道解码部23时，可将信道解码部23布置在防 篡改区60中或者防篡改区60之外。
FIFO(先入先出)存储器45是足够长的接收存储器并用作保存从通 信的另一方(发送方)的通信装置1a或1b的加密器10D接收的多个包 的包保存部。
排列部46根据FIFO存储器45中各个包的头部中描述的输出次数 (或序列号)将在FIFO存储器45中保存的多个包排列为一个序列，并 将来自FIFO存储器45的包的容器部中的经编码信号按照根据输出次数 的顺序输入到解调部22。
取出部47基于由解调用伪随机数产生器21产生的解调用伪随机数 (与并入部35进行并入时使用的调制用伪随机数相同)，从解调部22的 解调结果中取出由并入部35并入的输出次数和认证码，并且将已被取出 了输出次数和认证码的解调结果输出到密文解码器20D的外部作为正式 解调结果。
比较部(第一比较部、第二比较部)48比较在各个包的头部中描述 的输出次数和取出部47从解调部13的解调结果中取出的输出次数，并 且比较取出部47从解调部13的解调结果中取出的认证码和与解调伪随 机数产生器21产生的认证码相对应的解调用伪随机数序列。
当从加密器10D接收到多个包中的一个之后在预定时间内没有接收 到根据该包的头部中描述的输出次数而应接收到的包时，包丢失判断部 49判断出该包已丢失。
当比较部48的比较结果为输出次数(或序列号)不一致或者认证码 不一致时，包丢弃部50丢弃包。
当包丢弃部50丢弃了包时或者当包丢失判断部49判断出包已丢失 时，输出次数调节部54将从解调用伪随机数产生器21输出到解调部22 的解调用伪随机数ri的输出次数调节为在丢弃的包或者被判断为已丢失 的包之后正常接收到的包的输出次数(当对包括在包的容器部中的包单 元中的第一数据xi进行调制时使用的调制用伪随机数ri的输出次数)。在 此情况下，输出次数调节部54被设计为：与第三实施例中的同步调节部 53一样，通过对密文解码器20D的非易失性存储器44执行输出次数的设 置或者对伪随机数产生器21执行时钟信号的假输入，来执行伪随机数产 生器21的输出次数的调节。
此外，密文解码器20D还设置有与上述项(41)至(48)相对应的 一个接口作为防篡改区60的内部和外部之间的接口。
在第四实施例中，FIFO存储器45、排列部46、包丢失判断部49、 包丢弃部50、和输出次数判断部54布置在防篡改区60内，然而，这些 部件中的每一个都不直接利用伪随机数，因此，它们可以布置在防篡改 区60之外。
此外，在第四实施例中，加密器10D配置得与图1所示的加密器10 类似，然而，可将加密器10D配置为具有与图11所示的加密器10A或图 14所示的加密器10B的结构相同的结构。此外，在第四实施例中，密文 解码器20D被配置得与图2所示的密文解码器20类似，然而，也可将密 文解码器20D配置为具有与图12所示的密文解码器20A或图15所示的 密文解码器20B的结构相同的结构。
根据按本发明第四实施例这样的方式而配置的通信系统1A(加密器 10D和密文解码器20D)，在通信装置1a和通信装置1b之间实现了已应 用了本实施例中的加密技术的加密通信，因此，可以获得与第一和第二 实施例相同的功能和效果，并且此外也可获得与第三实施例中的通信系 统1(加密器10C和密文解码器20C)相同的功能和效果。
此外，在第四实施例中的通信系统1A的各通信装置1a和1b中，加 密器10D和密文解码器20D也布置在防篡改区60内，因此，即使将芯片 拆卸，不仅无法窃听伪随机数产生器11和21与调制部13或解调部22 之间的信号线，而且无法窃听伪随机数产生器11和21与各部件之间的 信号线，与第三实施例一样，绝对不可能读取到在ROM 32和42中保存 的加密密钥、窃听到伪随机数ri的信号线或窃听到物理随机数fi的信号 线，此外，即使从芯片外部施加了物理干扰，物理随机数产生器12的物 理随机数fi的概率分布也不会改变。结果，在第四实施例中的通信系统 1A中，也可获得与第三实施例中的通信系统1相同的功能和效果。
此外，当在通信装置1a和1b之间执行包通信时，如果包的顺序改 变，则在调制用伪随机数和解调用伪随机数之间就不再有对应，密文解 码器20D不可以对包中的密文(经编码信号)进行正确解码，序列中包 的顺序已改变，可能出现乱码(garbled letter)等。
因此，在第四实施例中的通信系统1A中，为了密文解码器20D侧可 识别到达包的序列是否已从原始序列改变，在包的头部中描述未调制或 加密的原始的输出次数(或序列号)。
由此，即使在传输期间多个包的顺序改变并且被通信装置1a或1b 接收到时的顺序与被发送时的顺序不同，在包的接收之后，排列部46也 可通过参考在FIFO存储器45中各个包的头部中描述的输出次数(序列 号)并在FIFO存储器45中按保存顺序对包进行排列，来将接收的包排 列成正确的序列。换言之，在将多个包发送到解调部22之前，通过参照 在各个包的头部中描述的输出次数，可以将该多个包排列成正确的序列。 结果，在第四实施例中的通信系统1A中，当在通信装置1a和1b之间执 行包通信并且如果在传输期间包的顺序改变时，接收侧能够将包排列为 正确的序列，因此，这使得可以对密文(经编码信号)进行正确解码， 同时一直保持调制用伪随机数和解调用伪随机数之间的对应关系。
此外，在第四实施例中的通信系统1A中，伪随机数ri的输出次数(序 列号)也嵌入在各个包的容器部中保存的经编码信号(密文)中，在密 文解码器20D侧，比较部48比较取出部47从容器部中取出的输出次数 和在头部中描述的输出次数，如果输出次数不一致，则意味着一些位被 反转，这是由包被篡改或者通信信道中的噪声引起的，因此，包丢弃部 50丢弃该包。
此外，在第四实施例中的通信系统1A中，认证码(调制用伪随机数 产生器11产生的伪随机数序列)嵌入在加密的包(容器部中的密文)内， 以用于密文解码器20D侧识别包是否是从合法发送者发送的，在密文解 码器20D侧，比较部48比较取出部47从容器部中取出的认证码和与解 调用伪随机数产生器21产生的认证码相对应的解调用伪随机数序列，如 果认证码不一致，则也意味着一些位被反转，这是由包被篡改或者通信 信道中的噪声引起的，因此，包丢弃部50丢弃该包。此外，在丢弃了该 包之后，即使认证码与之一致的包从合法发送者到达，包丢弃部50也将 该包丢弃。
此外，在第四实施例中的通信系统1A中，包丢失判断部49监控在 FIFO存储器45中保存的包的头部(输出次数/序列号)，如果在预定时间 内没有接收到要接收的包，则该包被判断为丢失。
然后，如上所述，当包丢弃部50丢弃了包时或者当包丢失判断部 49判断出包已丢失时，输出次数调节部54通过对密文解码器20D的非易 失性存储器44执行输出次数的设置或者对伪随机数产生器21执行时钟 信号的假输入，将从解调用伪随机数产生器21输出到解调部22的解调 用伪随机数ri的输出次数调节为在丢弃的包或者被判断为已丢失的包之 后正常接收到的包的输出次数。由此，即使丢弃了包或者发生包的丢失， 也使得可以对密文(经编码信号)进行正确解码，同时一直保持调制用 伪随机数和解调用伪随机数之间的对应关系。
在第四实施例中的通信系统1A中，伪随机数的输出次数、认证码和 消息(输入数据)存储在每个包的容器部中，如果存储位置固定，则拦 截者可能能够预测该存储位置，通过复制伪随机数的输出次数和认证码 部分来创建调换了消息的伪造包，并伪装成合法的。为了防止该情况， 如图26(A)和26(B)所示，在第四实施例中的通信系统1A中，并入 部35当使用来自伪随机数产生器11的伪随机数嵌入输出次数和认证码 时打乱嵌入的位置。由此，使拦截者不可能伪装成合法的。
此外，在本实施例中，输出次数和认证码被使用伪随机数打乱并在 被调制部13调制之前嵌入输入数据，输出次数和认证码自身也被并入部 35解调，然而，也可用伪随机数将未经调制部13调制的输出次数和认证 码打乱，并将它们嵌入经调制部13调制之后的密文(包单元)中。在此 情况下，一方面在加密器10D中，将并入部35设置在调制部13和打包 部36之间，并且并入部35对其中嵌入有输出次数和认证码的密文进行 打包，另一方面在密文解码器20D中，将取出部47设置在FIFO存储器 45和解调部22之间，并且取出部47将已取出了输出次数和认证码的包 内的密文输入到解调部22。使用这种结构，可获得与上述实施例中相同 的功能和效果。
[11]第五实施例中的加密/密文解码技术
图27是示出了应用了本发明第五和第六实施例的加密/密文解码技 术的通信系统1’和1A’的整体结构的框图，图27所示的第五实施例中的 通信系统1’被配置为提供相连从而可经由通信网络等彼此进行通信的两 个通信装置1a’和1b’。对于第五实施例中的通信系统1’和将随后描述的 第六实施例中的通信系统1A’，将解释这样的情况：两个通信装置1a’和 1b’相连，从而可以通过可发生篡改的通信信道(信号线)彼此进行通信， 并且两个通信装置1a’和1b’通过将随后描述的灭草猛密码(Vernam cipher)通信来执行同步处理。
通信装置1a’和1b’具有相同的结构，通信装置1a’被配置为提供： 加密器10C’，用于按照第一或第二实施例中的上述方法对要发送到通信 装置1b’的输入数据(明文xi)进行加密；密文解码器20C’，用于按照 第一或第二实施例中的上述方法对从通信装置1b’接收的加密的数据(ci 或si)进行解码；非易失性存储器51；发送/接收部52A；和同步调节部 53，通信装置1b’被配置为提供：加密器10C’，用于按照第一或第二实 施例中的上述方法对要发送到通信装置1a’的输入数据(明文xi)进行加 密；密文解码器20C’，用于按照第一或第二实施例中的上述方法对从通 信装置1a’接收的加密的数据(密文ci或si)进行解码；非易失性存储器 51；发送/接收部52A；和同步调节部53。随后将参照图28描述加密器 10C’的结构，并且随后将参照图29描述密文解码器20C’的结构。
此外，在图27所示的通信系统1’中，通信装置1a’中的加密器10C’ 和通信装置1b’中的密文解码器20C’配对，并且装置10C’和20C’中的伪 随机数产生器11和21(参照图28和图29)被配置为进行同步并基于相 同的加密密钥产生伪随机数ri。类似地，通信装置1b’中的加密器10C’ 和通信装置1a’中的密文解码器20C’配对，并且装置10C’和20C’中的伪 随机数产生器11和21(参照图28和图29)也被配置为进行同步并基于 相同的加密密钥产生伪随机数ri。然而，将不同的密钥设置为上述各对 装置中使用的加密密钥。
使用这种结构，加密器10C’按照上述加密过程对从通信装置1a’到 通信装置1b’的发送数据进行加密，并且该发送数据被作为密文发送到通 信装置1b’，并且在通信装置1b’侧，密文解码器20C’按照上述密文解码 过程将从通信装置1a’接收的密文解码为明文。类似地，加密器10C’按 照上述加密过程对从通信装置1b’到通信装置1a’的发送数据进行加密， 并且该发送数据被作为密文发送到通信装置1a’，并且在通信装置1a’侧， 密文解码器20C’按照上述密文解码过程将从通信装置1b’接收的密文解 码为明文。
这里，当在伪随机数产生器11和21的伪随机数产生操作中由于某 些原因发生同步漂移并且加密器10C和密文解码器20C之间的加密通信 变得不再可能时，使用非易失性存储器51、发送/接收部52A和同步调节 部53。
非易失性存储器(第二保存部)51保存有用于发送/接收部52A的 加密/密文解码的随机数表，这将随后描述。在通信装置1a’和1b’的非 易失性存储器51和51中，在此情况下，在加密器10C和密文解码器20C 之间的正常加密通信时段期间，通过在加密的数据的交换时段之间进行 加密通信来交换上述随机数表中的随机数序列，从而累积并保存了相同 的随机数表。
发送/接收部(密文发送部/解码和接收部)52A基于在非易失性存 储器51中保存的随机数表，将从非易失性存储器34(参照图28)或非 易失性存储器44(参照图29)中读取的调制用伪随机数或解调用伪随机 数的输出次数进行加密，并将其发送给通信装置1a’或1b’(其是通信的 另一方)作为加密的同步信息，并且同时，基于在非易失性存储器51中 保存的随机数表，将从通信装置1a’或1b’(其是通信的另一方)接收到 的加密的同步信息解码为调制用伪随机数或解调用伪随机数的输出次 数。例如，采用Vernam密码作为发送/接收部52A的加密方案。Vernam 密码是这样一种加密方案，其使用具有比明文长度更长的长度的随机数 作为加密密钥计算明文(这里为输出次数)和该加密密钥的异或(XOR) 作为密文。
当在伪随机数产生器11和21的伪随机数产生操作中由于某些原因 发生同步漂移并且加密器10C’和密文解码器20C’之间的加密通信变得不 再可能时，使用分别设置在通信装置1a’和1b’中的发送/接收部52A和 52A，根据在非易失性存储器51和51中分别保存的相同的随机数表同步 地执行加密/密文解码操作，因此，在通信装置1a’和1b’之间(在发送/ 接收部52A和52A之间)经由通信网络等(其中不仅会发生拦截而且会 发生篡改的信号线)交换上述输出次数作为加密的同步信息。
同步调节部53与第三和第四实施例中解释的同步调节部53相 同，因此，在这里不解释其细节。当发生上述同步漂移时，为了使通信 装置1a’的调制用伪随机数产生器11(参照图28)的伪随机产生操作与 通信装置1b’的解调用伪随机数产生器21(参照图29)的伪随机产生操 作同步，或者为了使通信装置1b’的调制用伪随机数产生器11(参照图 28)的伪随机产生操作与通信装置1a’的解调用伪随机数产生器21(参 照图29)的伪随机产生操作同步，第五实施例中的同步调节部53也基于 从非易失性存储器34或44中读取的输出次数，调节伪随机数产生器11 和21的输出次数。
然后，在第五实施例中的通信装置1a’和1b’中，上述加密器10C、 密文解码器20C、非易失性存储器51、和发送/接收部52A抑制了用于从 伪随机数产生器11和21产生伪随机数ri的加密密钥的泄漏，并且同时 布置在防篡改区60中，该防篡改区60抑制由物理随机数产生器12(参 照图28)产生的物理随机数fi的物理干扰所引起的概率分布变化。具体 地，第五实施例中的防篡改区60提供下面项(51)至(59)中的结构。 此外，图27所示的各通信装置1a’和1b’例如被配置在一个芯片上，在 该芯片上提供有防篡改区60。
(51)一种结构，使用该结构，即使将芯片拆卸，也无法读取加密 密钥ROM 32和42的加密密钥(即，伪随机数ri的“种子”)。例如，如 果尝试拆卸芯片以读取ROM 32和42中的加密密钥，则ROM 32和42损 坏。
(52)一种结构，使用该结构，即使将芯片拆卸，也无法窃听伪随 机数ri的信号线(伪随机数产生器11和调制部13之间的信号线或者伪 随机数产生器21和解调部22之间的信号线；参照图28和图29)。例如， 一种布线结构，使用该结构，如果打破芯片来尝试窃听伪随机数ri的信 号线，则芯片不再工作。
(53)一种即使从芯片外部施加了物理干扰，在来自物理随机数产 生器12的物理随机数中概率分布变化也不改变的结构。例如，一种物理 随机数产生器的结构，使用该结构，即使整个芯片被冷却或者被施加了 异常输入电压，物理随机数fi的概率分布也不改变。或者，一种通过检 测温度或者输入电压从而在物理随机数fi的分布偏斜之前停止芯片操作 的机制。
(54)一种布线结构，使用该结构，即使将芯片拆卸，也无法读取 非易失性存储器51的随机数表。例如，一种布线结构，使用该结构，如 果尝试拆卸芯片来读取非易失性存储器51中的随机数表，则非易失性存 储器51损坏。
(55)一种结构，使用该结构，即使将芯片拆卸，也无法窃听非易 失性存储器51和发送/接收部52A之间的信号线。例如，如果尝试拆卸 芯片来读取非易失性存储器51中的随机数表，则非易失性存储器51损 坏。
(56)一种结构，根据该结构，可读取但是无法篡改标识号ROM 31 和41(参照图28和图29)的标识号。
(57)一种结构，使用该结构，即使将芯片拆卸，也无法窃听物理 随机数fi的信号线(物理随机数产生器12和调制部13之间的信号线)。 例如，一种布线结构，使用该结构，如果打破芯片来尝试窃听物理随机 数fi的信号线，则芯片不再工作。
(58)一种结构，使用该结构，无法篡改在非易失性存储器34和 44(参照图28和图29)中保存的信息(例如，如将随后描述的，由计数 器33和43(参照图28和图29)计数的输出次数)。
(59)一种防止绕过计数器33和43(参照图28和图29)直接访问 伪随机数产生器11和21从而防止伪随机数产生器11和21产生任意次 数的伪随机数ri的结构。例如，一种布线结构，使用该结构，即使将芯 片拆卸，也无法窃听计数器33和伪随机数产生器11之间的信号线(参 照图28)或者计数器43和伪随机数产生器21之间的信号线(参照图29)， 并且如果打破芯片来尝试窃听该信号线，则芯片不再工作。
接下来，将参照图28解释加密器10C’的结构。图28是示出了本发 明第五实施例的加密器10C’的结构的框图，与已描述的符号相同的符号 指示相同或基本相同的部分。如图28所示，除了图22所示的第三实施 例中的加密器10C单独布置在防篡改区60中之外，第五实施例中的加密 器10C’具有与第三实施例中的加密器10C的结构相同的结构，因此，省 略其解释。在上面参照图27解释的通信装置1a’和1b’中，第五实施例 中的加密器10C’与密文解码器20C’、非易失性存储器51、和发送/接收 部52A一起布置在防篡改区60中。
此外，在图28所示的加密器10C’中，虽然也没有示意性地示出信 道编码部14(参照图1、图11和图14)，但是可以像第一和第二实施例 一样提供信道编码部14，或者可不提供。当提供了信道编码部14时，可 将信道编码部14布置在防篡改区60中或者防篡改区60之外。此外，加 密器10C’也需要一个与上述项(21)至(28)相对应的接口作为防篡改 区60的内部和外部之间的接口。
接下来，将参照图29解释密文解码器20C’的结构。图29是示出了 本发明第五实施例的密文解码器20C’的结构的框图，在图29中，与已描 述的符号相同的符号指示相同或基本相同的部分。如图29所示，除了图 23所示的第三实施例中的密文解码器20C单独布置在防篡改区60中之 外，第五实施例中的密文解码器20C’具有与第三实施例中的密文解码器 20C的结构相同的结构，因此，省略其解释。在上面参照图27解释的通 信装置1a’和1b’中，第五实施例中的密文解码器20C’与加密器10C’、 非易失性存储器51、和发送/接收部52A一起布置在防篡改区60中。
此外，在图29所示的密文解码器20C’中，虽然也没有示意性地示 出信道解码部23(参照图2、图12和图15)，但是，当在加密器10C’侧 像第一和第二实施例一样提供了信道编码部14时，就提供信道解码部23。 当提供了信道解码部23时，可将信道解码部23布置在防篡改区60中或 者防篡改区60之外。此外，密文解码器20C’也需要一个与上述项(41) 至(48)相对应的接口作为防篡改区60的内部和外部之间的接口。
此外，在第五实施例中，加密器10C’被配置得与图1所示的加密器 10类似，然而，也可将加密器10C’配置为提供与图11所示的加密器10A 或图14所示的加密器10B的结构相同的结构。此外，在第五实施例中， 密文解码器20C’被配置得与图2所示的密文解码器20类似，然而，也可 将密文解码器20C’配置为提供与图12所示的密文解码器20A或图15所 示的密文解码器20B的结构相同的结构。
根据按本发明第五实施例这样配置的通信系统1’(加密器10C’和密 文解码器20C’)，在通信装置1a’和通信装置1b’之间实现了已应用本实 施例中的加密技术的加密通信，并且可以获得与第一和第二实施例相同 的功能和效果，此外，还可获得与第三实施例中的通信系统1(加密器 10C和密文解码器20C)相同的功能和效果。
在第五实施例的通信系统1’中的各通信装置1a’和1b’中，被整合 为一体的加密器10C’、密文解码器20C’、非易失性存储器51和发送/接 收部52A布置在芯片上的防篡改区60之一中，防篡改区60提供上述项 (51)至(59)中的结构，因此确保了防篡改属性，防篡改区60和其外 部之间的输入/输出被限制于上述项(21)至(28)以及(41)至(48) 示出的这些接口。
由此，绝对不可能通过上述项(21)至(28)以及(41)至(48) 中的接口，将伪随机数产生器11和12产生的伪随机数ri、在ROM 32和 42中保存的加密密钥、或者在非易失性存储器51中保存的随机数表读取 到防篡改区60的外部。此外，通过采用提供上述项(51)至(59)中的 结构的防篡改区60，即使通过拆卸芯片，也绝对不可能读取到在ROM 32 和42中保存的加密密钥、或窃听到伪随机数ri的信号线、或窃听到物理 随机数fi的信号线、或读取到在非易失性存储器51中保存的随机数表、 或窃听到伪随机数表的伪随机数序列的信号线，此外，即使从芯片外部 施加了物理干扰(热或电压)，物理随机数产生器12的物理随机数fi的 概率分布也不会改变。因此，在第五实施例中的通信系统1’中，可获得 与第三实施例中的通信系统1相同的功能和效果。
另一方面，在第五实施例中的通信系统1’中，彼此进行加密通信的 通信装置1a’和1b’在加密通信时段期间共享相同的随机数表，并将公共 随机数表累积在各通信装置1a’和1b’的非易失性存储器51中。然后， 当出现使通信装置1a’中的伪随机数产生操作与通信装置1b’中的伪随机 数产生操作同步的需要时，例如，在电力故障等引起的异常停止之后进 行恢复时，使用在非易失性存储器51中保存的随机数表，通过Vernam 密码，通信装置1a’中的发送/接收部52A和通信装置1b’中的发送/接收 部52A执行其间的加密通信，交换调制用伪随机数ri的输出次数和解调 用伪随机数ri的输出次数(分别从非易失性存储器34和44中读取出) 作为同步信息。
然后，当在通信装置1a’和1b’中执行伪随机数ri的同步处理时，通 过为加密器10C’的非易失性存储器34或密文解码器20C’的非易失性存 储器44设置输出次数，或者通过执行将时钟信号假输入到伪随机数产生 器11或21，各通信装置1a’和1b’中的同步调节部53增加输出次数值较 小的输出次数，并且使加密器10C’中的伪随机数产生器11的输出次数与 密文解码器20C’中的伪随机数产生器21的输出次数相匹配，并且使加密 器10C’中的伪随机数产生器11的伪随机数产生操作与密文解码器20C’ 中的伪随机数产生器21的伪随机数产生操作同步。
此外，当同步调节部53对伪随机数产生器11或21执行时钟信号的 假输入时，如果假设伪随机数ri的种子(加密密钥)为100比特，则输 出次数的信息也包括100比特，然而，输出次数不可能达到2100次这一数 量级。换言之，可预测出同步信息(输出次数)偏向于100比特的低位 数字。为了不向拦截者等给出额外信息，优选地，消除这种偏斜状态。 因此，当输出如100比特信息的同步信息(输出次数)时，更优选地， 基于通信装置1a’和1b’所共享的随机数表(非易失性存储器51)，对其 中存储有输出次数的比特槽的位置进行置换。
此外，当通信装置1a’和1b’经由其中不仅会发生拦截而且会发生篡 改的通信信道(信号线)彼此连接时，当如上所述按照“加密器10C’和 密文解码器20C’彼此公开其自身伪随机数ri的输出次数，并且具有较小 输出次数值的一侧将其自身匹配到具有较大输出次数值的一侧”这一过 程来执行伪随机数ri的同步时，如果通过上述信号线发送和接收输出次 数(同步信息)而不对其加密，则通过拦截者等的篡改可能将输出次数 篡改为巨大的数(例如2100等)。
如果进行了这种篡改，则在加密器10C’或密文解码器20C’中用于同 步调节的时钟信号的假输入持续不停，可能无法再使用该加密器10C’或 密文解码器20C’。作为这种弱点的对策，在本实施例中，发送/接收部 52A将输出次数(同步信息)加密为Vernam密码之后才对其进行发送和 接收，因此，输出次数不再被拦截者等篡改，并且可消除上述对于篡改 的弱点。
[12]第六实施例中的加密/密文解码技术
如图27所示，与第五实施例中的通信系统1’一样，第六实施例中 的通信系统1A’也被配置为提供相连从而可经由通信网络等彼此进行通 信的两个通信装置1a’和1b’。如上所述，对于第六实施例中的通信系统 1A’，将解释这样的情况：两个通信装置1a’和1b’相连，从而可以通过 可发生篡改的通信信道(信号线)彼此进行通信，并且两个通信装置1a’ 和1b’通过将描述的Vernam密码通信来执行同步处理。
第六实施例中的通信装置1a’和1b’具有相同的结构，在第六实施例 中的通信系统1A’中，通信装置1a’被配置为提供：加密器10D’，用于按 照第一或第二实施例中的上述方法对要发送到通信装置1b’的输入数据 (明文xi)进行加密；密文解码器20D’，用于按照第一或第二实施例中 的上述方法对从通信装置1b’接收的加密的数据(ci或si)进行解码；以 及在第五实施例中描述过的非易失性存储器51、发送/接收部52A、和同 步调节部53，通信装置1b’被配置为提供：加密器10D’，用于按照第一 或第二实施例中的上述方法对要发送到通信装置1a’的输入数据(明文 xi)进行加密；密文解码器20D’，用于按照第一或第二实施例中的上述 方法对从通信装置1a’接收的加密的数据(密文ci或si)进行解码；以及 在第五实施例中描述过的非易失性存储器51、发送/接收部52A、和同步 调节部53。随后将参照图30描述加密器10D’的结构，并且随后将参照 图31描述密文解码器20D’的结构。
然而，与第四实施例相同，第六实施例中的加密器10D’被配置为将 由调制部13获得的经编码信号(si)作为多个包发送到目的通信装置1a’ 或1b’，并且第六实施例中的密文解码器20D’被配置为将从发送方通信 装置1a’或1b’的加密器10D’接收的每个包中的经编码信号(si)解码为 输入数据(明文xi)。换言之，与第四实施例一样，第六实施例中的通信 系统1A’(加密器10D’和密文解码器20D’)也旨在使用其中包的到达顺 序可能改变或者包可能丢失的通信信道和需要识别单个包是否是从合法 发送者发送的的系统(具体地为IP电话通信系统)来进行通信。
此外，在第六实施例中的通信系统1A’中，通信装置1a’中的加密器 10D’和通信装置1b’中的密文解码器20D’也配对，并且装置10D’和20D’ 中的伪随机数产生器11和21被配置为进行同步并基于相同的加密密钥 产生伪随机数ri。类似地，通信装置1b’中的加密器10D’和通信装置1a’ 中的密文解码器20D’配对，并且装置10D’和20D’中的伪随机数产生器 11和21也被配置为进行同步并基于相同的加密密钥产生伪随机数ri。然 而，将不同的密钥设置为上述各对装置中使用的加密密钥。
使用这种结构，加密器10D’按照上述加密过程对从通信装置1a’到 通信装置1b’的发送数据进行加密，并且该发送数据被作为密文发送到通 信装置1b’，并且在通信装置1b’侧，密文解码器20D’按照上述密文解码 过程将从通信装置1a’接收的密文解码为明文。类似地，加密器10D’按 照上述加密过程对从通信装置1b’到通信装置1a’的发送数据进行加密， 并且该发送数据被作为密文发送到通信装置1a’，并且在通信装置1a’侧， 密文解码器20D’按照上述密文解码过程将从通信装置1b’接收的密文解 码为明文。
此外，在第六实施例中的通信系统1A’中，非易失性存储器51、发 送/接收部52A和同步调节部53与在第五实施例中解释的非易失性存储 器51、发送/接收部52A和同步调节部53相同，因此，省略对它们的解 释。此外，与第五实施例一样，在第六实施例中的通信装置1a’和1b’中， 加密器10D’、密文解码器20D’、非易失性存储器51、发送/接收部52A 布置在芯片上的防篡改区60(其提供上述项(51)至(59)中的结构) 中。
接下来，将参照图30解释加密器10D’的结构。图30是示出了本发 明第六实施例的加密器10D’的结构的框图，在图30中，与已描述的符号 相同的符号指示相同或基本相同的部分。如图30所示，除了图24所示 的第四实施例中的加密器10D单独布置在防篡改区60中之外，加密器 10D’具有与第四实施例中的加密器10D的结构相同的结构，因此，省略 其解释。在上面参照图27解释的通信装置1a’和1b’中，第六实施例中 的加密器10D’与密文解码器20D’、非易失性存储器51、和发送/接收部 52A一起布置在防篡改区60中。
此外，在图30所示的加密器10D’中，虽然也没有示意性地示出信 道编码部14(参照图1、图11和图14)，但是可以像第一和第二实施例 一样提供信道编码部14，或者可不提供。当提供了信道编码部14时，可 将信道编码部14布置在防篡改区60中或者防篡改区60之外。此外，加 密器10D’也需要一个与上述项(21)至(28)相对应的接口作为防篡改 区60的内部和外部之间的接口。
接下来，将参照图31解释密文解码器20D’的结构。图31是示出了 本发明第六实施例的密文解码器20D’的结构的框图，在图31中，与已描 述的符号相同的符号指示相同或基本相同的部分。如图31所示，除了图 25所示的第四实施例中的密文解码器20D单独布置在防篡改区60中之 外，第六实施例中的密文解码器20D’具有与第四实施例中的密文解码器 20D的结构相同的结构，因此，省略其解释。在上面参照图27解释的通 信装置1a’和1b’中，第六实施例中的密文解码器20D’与加密器10D’、 非易失性存储器51、和发送/接收部52A一起布置在防篡改区60中。
此外，在图31所示的密文解码器20D’中，虽然也没有示意性地示 出信道解码部23(参照图2、图12和图15)，但是，当在加密器10D’侧 像第一和第二实施例一样提供了信道编码部14时，就提供信道解码部23。 当提供了信道解码部23时，可将信道解码部23布置在防篡改区60中或 者防篡改区60之外。此外，密文解码器20D’也需要一个与上述项(41) 至(48)相对应的接口作为防篡改区60的内部和外部之间的接口。
此外，在第六实施例中，加密器10D’被配置得与图1所示的加密器 10类似，然而，也可将加密器10D’配置为提供与图11所示的加密器10A 或图14所示的加密器10B的结构相同的结构。此外，在第六实施例中， 密文解码器20D’被配置得与图2所示的密文解码器20类似，然而，也可 将密文解码器20D’配置为提供与图12所示的密文解码器20A或图15所 示的密文解码器20B的结构相同的结构。
根据按本发明第六实施例这样配置的通信系统1A’(加密器10D’和 密文解码器20D’)，在通信装置1a’和通信装置1b’之间实现了已应用本 实施例中的加密技术的加密通信，并且可以获得与第一和第二实施例相 同的功能和效果，此外，还可获得与第四实施例中的通信系统1A(加密 器10D和密文解码器20D)相同的功能和效果。
在第六实施例的通信系统1A’中的各通信装置1a’和1b’中，被整合 为一体的加密器10D’、密文解码器20D’、非易失性存储器51和发送/接 收部52A布置在芯片上的防篡改区60之一中，防篡改区60提供上述项 (51)至(59)中的结构，因此确保了防篡改属性，防篡改区60和其外 部之间的输入/输出被限制于上述项(21)至(28)以及(41)至(48) 示出的这些接口。由此，在第六实施例中的通信系统1A’中，也可获得与 第五实施例中的通信系统1’相同的功能和效果。
[13]第七实施例中的加密/密文解码技术
在上述第五和第六实施例中，当执行伪随机数ri的同步处理时，通 过Vernam密码通信通知输出次数作为同步信息，并且通过同步调节部53 为加密器10C’/10D’的非易失性存储器34或密文解码器20C’/20D’的非 易失性存储器44设置输出次数或者对伪随机数产生器11或21执行时钟 信号的假输入，伪随机数ri被同步，然而，第七实施例或随后将描述的 第八实施例被配置为按照以下步骤对伪随机数ri进行同步：使用发送/接 收部52A用Vernam密码对伪随机数ri的种子(加密密钥)进行重新加密 并将其相互分发以在加密密钥ROM 32和42中再次设置新的加密密钥(新 加密密钥)，并且通过将计数器33和43(非易失性存储器34和44)中 的伪随机数ri的输出次数重置为“0”以使用根据新加密密钥产生的伪随 机数序列。
第七和第八实施例适合于这种同步方法，图32是示出了应用了第七 和第八实施例的加密/密文解码技术的通信系统1″和1A″的整体结构的框 图，图32所示的第七实施例中的通信系统1″被配置为提供相连从而可经 由通信网络等彼此进行通信的两个通信装置1a″和1b″。对于第七实施例 中的通信系统1″和将随后描述的第八实施例中的通信系统1A″，将解释 这样的情况：两个通信装置1a″和1b″相连，从而可以通过可发生篡改的 通信信道(信号线)彼此进行通信，并且两个通信装置1a″和1b″通过上 述Vernam密码通信来执行同步处理。
通信装置1a″和1b″具有相同的结构，通信装置1a″被配置为提供： 加密器10C″，用于按照第一或第二实施例中的上述方法对要发送到通信 装置1b″的输入数据(明文xi)进行加密；密文解码器20C″，用于按照 第一或第二实施例中的上述方法对从通信装置1b″接收的加密的数据(ci 或si)进行解码；以及与以上描述的相同的非易失性存储器51和发送/ 接收部52A，通信装置1b″被配置为提供：加密器10C″，用于按照第一或 第二实施例中的上述方法对要发送到通信装置1a″的输入数据(明文xi) 进行加密；密文解码器20C″，用于按照第一或第二实施例中的上述方法 对从通信装置1a″接收的加密的数据(密文ci或si)进行解码；以及与以 上描述的相同的非易失性存储器51和发送/接收部52A。换言之，第七实 施例中的通信系统1″具有省略了第五实施例中的同步调节部53的结构。 随后将参照图33描述加密器10C″的结构，并且随后将参照图34描述密 文解码器20C″的结构。
此外，在图32所示的通信系统1″中，通信装置1a″中的加密器10C″ 和通信装置1b″中的密文解码器20C″配对，并且装置10C″和20C″中的伪 随机数产生器11和21被配置为进行同步并基于相同的加密密钥产生伪 随机数ri。类似地，通信装置1b″中的加密器10C″和通信装置1a″中的密 文解码器20C″配对，并且装置10C″和20C″中的伪随机数产生器11和21 也被配置为进行同步并基于相同的加密密钥产生伪随机数ri。然而，将 不同的密钥设置为上述各对装置中使用的加密密钥。
使用这种结构，加密器10C″按照上述加密过程对从通信装置1a″到 通信装置1b″的发送数据进行加密，并且该发送数据被作为密文发送到通 信装置1b″，并且在通信装置1b″侧，密文解码器20C″按照上述密文解码 过程将从通信装置1a″接收的密文解码为明文。类似地，加密器10C″按 照上述加密过程对从通信装置1b″到通信装置1a″的发送数据进行加密， 并且该发送数据被作为密文发送到通信装置1a″，并且在通信装置1a″侧， 密文解码器20C″按照上述密文解码过程将从通信装置1b″接收的密文解 码为明文。
这里，当在伪随机数产生器11和21的伪随机数产生操作中由于某 些原因发生同步漂移并且加密器10C″和密文解码器20C″之间的加密通信 变得不再可能时，使用非易失性存储器51和发送/接收部52A，它们都执 行与第五和第六实施例中解释的功能相同的功能。
然而，第七实施例中的发送/接收部52A基于在非易失性存储器51 中保存的随机数表，使用Vernam密码对新加密密钥(其在同步处理时被 再次设置在加密密钥ROM 32和42中)进行加密，并将其发送到作为通 信的另一方的通信装置1a″和1b″作为加密的同步信息，同时，基于在非 易失性存储器51中保存的随机数表，将从作为通信的另一方的通信装置 1a″和1b″接收的加密的同步信息解码为新加密密钥。
当在伪随机数产生器11和21的伪随机数产生操作中由于某些原因 发生同步漂移并且加密器10C″和密文解码器20C″之间的加密通信变得不 再可能时，使用分别设置在通信装置1a″和1b″中的发送/接收部52A和 52A，根据在非易失性存储器51和51中分别保存的相同的随机数表同步 地执行加密/密文解码操作，因此，在通信装置1a″和1b″之间(在发送/ 接收部52A和52A之间)经由通信网络等(其中不仅会发生拦截而且会 发生篡改的信号线)交换上述新加密密钥作为加密的同步信息。
接收到新加密密钥的发送/接收部52A在加密密钥ROM 32和42中再 次设置新加密密钥，同时在通信装置1a″和通信装置1b″中按相同定时将 重置信号输出到加密器10C″或密文解码器20C″，并将计数器33和43(非 易失性存储器34和44)中的伪随机数ri的输出次数重置为“0”。由此， 在本实施例中，省略了同步调节部53，然而，也可以配置使第五和第六 实施例中的同步调节部53如上所述再次设置新加密密钥并输出重置信 号。
然后，在第七实施例中的通信装置1a″和1b″中，上述加密器10C″、 密文解码器20C″、非易失性存储器51和发送/接收部52A布置在防篡改 区60中，防篡改区60除了上述项(51)至(59)中的结构外还提供下 面的项(60)和(61)中的结构。
(60)一种结构，使用该结构，即使将芯片拆卸，也无法窃听新加 密密钥的信号线(发送/接收部52A和加密密钥ROM 32之间的信号线)。 例如，一种布线结构，使用该结构，如果打破芯片来尝试窃听新加密密 钥的信号线，则芯片不再工作。
(61)一种结构，使用该结构，即使将芯片拆卸，也无法窃听重置 信号的信号线(发送/接收部52A和非易失性存储器ROM 34(计数器33) 之间的信号线)。例如，一种布线结构，使用该结构，如果打破芯片来尝 试窃听重置信号的信号线，则芯片不再工作。
接下来，将参照图33解释加密器10C″的结构。图33是示出了本发 明第七实施例的加密器10C″的结构的框图，与已描述的符号相同的符号 指示相同或基本相同的部分。如图33所示，第七实施例中的加密器10C″ 具有与图28所示的第五实施例中的加密器10C’的结构相同的结构。
然而，在第七实施例中的加密器10C″中，加密密钥ROM 32具有这 样一种结构，使用该结构，根据来自发送/接收部52A的指示可以将加密 密钥再次设置为新加密密钥，计数器33(非易失性存储器34)具有这样 一种结构，使用该结构，根据来自发送/接收部52A的重置信号可以将伪 随机数ri的输出次数重置为“0”。此外，调制用伪随机数产生器11具有 这样一种结构，使用该结构，当根据重置信号重置了非易失性存储器34 (即计数器33)时，输出次数可被返回(可被重置)为0。
此外，在图33所示的加密器10C″中，虽然也没有示意性地示出信 道编码部14(参照图1、图11和图14)，但是可以像第一和第二实施例 一样提供信道编码部14，或者可不提供。当提供了信道编码部14时，可 将信道编码部14布置在防篡改区60中或者防篡改区60之外。
此外，在本实施例中，如上所述，在进行伪随机数ri的同步处理时， 不使用如在第五实施例中的情况那样的位于防篡改区60之外的同步调节 部53(伪随机数ri的输出次数)，而使用在同一防篡改区60中从发送/ 接收部52A通知的重置信号和新加密密钥作为同步信息，因此，作为本 实施例中的加密器10C″的防篡改区60的内部和外部之间的接口，需要一 个与上述项(21)至(25)相对应的接口，不再需要与伪随机数ri的输 出次数相关的接口(与上述项(26)至(28)相对应的接口)。
接下来，将参照图34解释密文解码器20C″的结构。图34是示出了 本发明第七实施例的密文解码器20C″的结构的框图，在图34中，与已描 述的符号相同的符号指示相同或基本相同的部分。如图34所示，第七实 施例中的密文解码器20C″具有与图29所示的第五实施例中的密文解码器 20C’的结构相同的结构。
然而，在第七实施例中的密文解码器20C″中，加密密钥ROM 42具 有这样一种结构，使用该结构，根据来自发送/接收部52A的指示可以将 加密密钥再次设置为新加密密钥，计数器43(非易失性存储器44)具有 这样一种结构，使用该结构，根据来自发送/接收部52A的重置信号可以 将伪随机数ri的输出次数重置为“0”。此外，解调用伪随机数产生器21 具有这样一种结构，使用该结构，当根据重置信号重置了非易失性存储 器44(即计数器43)时，输出次数可被返回(可被重置)为0。
此外，在图34所示的密文解码器20C″中，虽然也没有示意性地示 出信道解码部23(参照图2、图12和图15)，但是，当在加密器10C″侧 象第一和第二实施例一样提供了信道编码部14时，就提供信道解码部23。 当提供了信道解码部23时，可将信道解码部23布置在防篡改区60中或 者防篡改区60之外。
此外，在本实施例中，如上所述，在进行伪随机数ri的同步处理的 情况下，不使用如在第五实施例中的情况中的位于防篡改区60之外的同 步调节部53(伪随机数ri的输出次数)，而使用在同一防篡改区60中从 发送/接收部52A通知的重置信号和新加密密钥作为同步信息，因此，作 为关于本实施例中的密文解码器20C″的防篡改区60的内部和外部之间的 接口，需要与上述项(41)至(45)相对应的接口，不再需要与伪随机 数ri的输出次数相关的接口(与上述项(46)至(48)相对应的接口)。
此外，在第七实施例中，加密器10C″被配置得与图1所示的加密器 10类似，然而，也可将加密器10C″配置为提供与图11所示的加密器10A 或图14所示的加密器10B的结构相同的结构。此外，在第七实施例中， 密文解码器20C″被配置得与图2所示的密文解码器20类似，然而，也可 将密文解码器20C″配置为提供与图12所示的密文解码器20A或图15所 示的密文解码器20B的结构相同的结构。
根据按本发明第七实施例这样配置的通信系统1″(加密器10C″和密 文解码器20C″)，在通信装置1a″和通信装置1b″之间实现了已应用了本 实施例中的加密技术的加密通信，并且可以获得与第一和第二实施例相 同的功能和效果，此外，还可获得与第五实施例中的通信系统1’(加密 器10C’和密文解码器20C’)相同的功能和效果。
在第七实施例的通信系统1″中的各通信装置1a″和1b″中，被整合 为一体的加密器10C″、密文解码器20C″、非易失性存储器51和发送/接 收部52A布置在芯片上的防篡改区60之一中，防篡改区60提供上述项 (51)至(61)中的结构，因此确保了防篡改属性，防篡改区60和其外 部之间的输入/输出被限制于上述项(21)至(25)以及(41)至(45) 示出的这些接口。
由此，通过上述项(21)至(25)以及(41)至(45)中的接口， 绝对不可能将伪随机数产生器11和12产生的伪随机数ri、在ROM 32和 42中保存的加密密钥、在非易失性存储器51中保存的随机数表、或者在 ROM 32和42中再次设置的新加密密钥读取到防篡改区60的外部。此外， 通过采用提供上述项(51)至(61)中的结构的防篡改区60，即使通过 拆卸芯片，也绝对不可能读取在ROM 32和42中保存的加密密钥、或窃 听到伪随机数ri的信号线、或窃听到物理随机数fi的信号线、或读取在 非易失性存储器51中保存的随机数表、或窃听到伪随机数表的伪随机数 序列的信号线、或窃听到新加密密钥或重置信号的信号线，此外，即使 从芯片外部施加了物理干扰(热或电压)，来自物理随机数产生器12的 物理随机数fi的概率分布也不会改变。因此，在第七实施例中的通信系 统1″中，也可获得与第五实施例中的通信系统1’相同的功能和效果。
另一方面，在第七实施例中的通信系统1″中，与第五实施例一样， 彼此进行加密通信的通信装置1a″和1b″在加密通信时段期间共享相同的 随机数表，并将公共随机数表累积在各通信装置1a″和1b″的非易失性存 储器51中。然后，当出现使通信装置1a″中的伪随机数产生操作与通信 装置1b″中的伪随机数产生操作同步的需要时，例如，在电力故障等引起 的异常停止之后进行恢复时，使用在非易失性存储器51中保存的随机数 表，通过Vernam密码，通信装置1a″中的发送/接收部52A和通信装置 1b″中的发送/接收部52A互相执行在其间的加密通信，交换新加密密钥。
然后，当执行通信装置1a″和1b″中的伪随机数ri的同步处理时，如 上所述，接收到新加密密钥的发送/接收部52A在加密密钥ROM 32和42 中重新设置新加密密钥，同时在通信装置1a″和通信装置1b″中按相同定 时将重置信号输出到加密器10C″或密文解码器20C″，并因此将计数器33 和43(非易失性存储器34和44)中的伪随机数ri的输出次数重置为“0”。 由此，加密器10C″中的伪随机数产生器11和密文解码器20C″中的伪随 机数产生器21同时使用相同的新加密密钥继续工作，因此，可以使加密 器10C″中的伪随机数产生器11的伪随机数产生操作与密文解码器20C″ 中的伪随机数产生器21的伪随机数产生操作同步。
此外，在第七实施例中，当确认伪随机数的同步已漂移的其他装置 存在时，或者当可忽略对伪随机数的同步已漂移的确认时，可以有这样 的变型：不将在各通信装置1a″和1b″中的各非易失性存储器51和51中 保存的相同的随机数表用作Vernam密码的加密密钥，而是将其用作新加 密密钥本身。在该变型例中，不必执行Vernam密码通信，因此，可以省 略发送/接收部52A。
[14]第八实施例中的加密/密文解码技术
如图32所示，与第七实施例中的通信系统1″一样，第八实施例中 的通信系统1A″也被配置为提供相连从而可经由通信网络等彼此进行通 信的两个通信装置1a″和1b″。如上所述，对于第八实施例中的通信系统 1A″，将解释这样的情况：两个通信装置1a″和1b″相连，从而可以通过 可发生篡改的通信信道(信号线)彼此进行通信，并且两个通信装置1a″ 和1b″按照与第七实施例中的同步方法相同的同步方法执行同步处理。
第八实施例中的通信装置1a″和1b″具有相同的结构，在第八实施例 中的通信系统1A″中，通信装置1a″被配置为提供：加密器10D″，用于按 照第一或第二实施例中的上述方法对要发送到通信装置1b″的输入数据 (明文xi)进行加密；密文解码器20D″，用于按照第一或第二实施例中 的上述方法对从通信装置1b″接收的加密的数据(ci或si)进行解码；以 及在第七实施例中描述过的非易失性存储器51和发送/接收部52A，通信 装置1b″被配置为提供：加密器10D″，用于按照第一或第二实施例中的 上述方法对要发送到通信装置1a″的输入数据(明文xi)进行加密；密文 解码器20D″，用于按照第一或第二实施例中的上述方法对从通信装置1a″ 接收的加密的数据(密文ci或si)进行解码；以及与以上描述的相同的 非易失性存储器51和发送/接收部52。换言之，第八实施例中的通信系 统1A″具有省略了第六实施例中的同步调节部53的结构。随后将参照图 35描述加密器10D″的结构，并且随后将参照图36描述密文解码器20D″ 的结构。
然而，与第四和第六实施例相同，第八实施例中的加密器10D″被配 置为将由调制部13获得的经编码信号(si)作为多个包发送到目的通信 装置1a″或1b″，并且第八实施例中的密文解码器20D″被配置为将从发送 方通信装置1a″或1b″的加密器10D″接收的每个包中的经编码信号(si) 解码为输入数据(明文xi)。换言之，与第四和第六实施例一样，第八实 施例中的通信系统1A″(加密器10D″和密文解码器20D″)也旨在使用其 中包的到达顺序可能改变或者包可能丢失的通信信道和需要识别单个包 是否是从合法发送者发送的的系统(具体地为IP电话通信系统)来进行 通信。
此外，在第八实施例中的通信系统1A″中，通信装置1a″中的加密器 10D″和通信装置1b″中的密文解码器20D″也配对，并且装置10D″和20D″ 中的伪随机数产生器11和21被配置为进行同步并基于相同的加密密钥 产生伪随机数ri。类似地，通信装置1b″中的加密器10D″和通信装置1a″ 中的密文解码器20D″配对，并且装置10D″和20D″中的伪随机数产生器 11和21也被配置为进行同步并基于相同的加密密钥产生伪随机数ri。然 而，将不同的密钥设置为上述各对装置中使用的加密密钥。
使用这种结构，加密器10D″按照上述加密过程对从通信装置1a″到 通信装置1b″的发送数据进行加密，并且该发送数据被作为密文发送到通 信装置1b″，并且在通信装置1b″侧，密文解码器20D″按照上述密文解码 过程将从通信装置1a″接收的密文解码为明文。类似地，加密器10D″按 照上述加密过程对从通信装置1b″到通信装置1a″的发送数据进行加密， 并且该发送数据被作为密文发送到通信装置1a″，并且在通信装置1a″侧， 密文解码器20D″按照上述密文解码过程将从通信装置1b″接收的密文解 码为明文。
此外，在第八实施例中的通信系统1A″中，非易失性存储器51和发 送/接收部52A与在第七实施例中解释的相同，因此，省略对它们的解释。 此外，与第七实施例一样，在第八实施例中的通信装置1a和1b中，也 将加密器10D″、密文解码器20D″、非易失性存储器51和发送/接收部52A 布置在芯片上的防篡改区60(其提供上述项(51)至(61)中的结构) 中。
接下来，将参照图35解释加密器10D″的结构。图35是示出了本发 明第八实施例的加密器10D″的结构的框图，在图35中，与已描述的符号 相同的符号指示相同或基本相同的部分。如图35所示，第八实施例中的 加密器10D″具有与图30所示的第六实施例中的加密器10D’的结构相同 的结构。
然而，在第八实施例中的加密器10D″中，与第七实施例一样，加密 密钥ROM 32具有这样一种结构，使用该结构，根据来自发送/接收部52A 的指示可以将加密密钥再次设置为新加密密钥，计数器33(非易失性存 储器34)具有这样一种结构，使用该结构，根据来自发送/接收部52A的 重置信号可以将伪随机数ri的输出次数重置为“0”。此外，调制用伪随 机数产生器11具有这样一种结构，使用该结构，当根据重置信号重置了 非易失性存储器34(即计数器33)时，输出次数可被返回(可被重置) 为0。
此外，在图35所示的加密器10D″中，虽然也没有示意性地示出信 道编码部14(参照图1、图11和图14)，但是可以像第一和第二实施例 一样提供信道编码部14，或者可不提供。当提供了信道编码部14时，可 将信道编码部14布置在防篡改区60中或者防篡改区60之外。与第七实 施例一样，作为本实施例中的加密器10D″的防篡改区60的内部和外部之 间的接口，需要与上述项(21)至(25)相对应的接口，不再需要与伪 随机数ri的输出次数相关的接口(与上述项(26)至(28)相对应的接 口)。
接下来，将参照图36解释密文解码器20D″的结构。图36是示出了 本发明第八实施例的密文解码器20D″的结构的框图，在图36中，与已描 述的符号相同的符号指示相同或基本相同的部分。如图36所示，第八实 施例中的密文解码器20D″具有与图31所示的第六实施例中的密文解码器 20D’的结构相同的结构。
然而，在第八实施例中的密文解码器20D″中，与第七实施例一样， 加密密钥ROM 42具有这样一种结构，使用该结构，根据来自发送/接收 部52A的指示可以将加密密钥再次设置为新加密密钥，计数器43(非易 失性存储器44)具有这样一种结构，使用该结构，根据来自发送/接收部 52A的重置信号可以将伪随机数ri的输出次数重置为“0”。此外，解调用 伪随机数产生器21具有这样一种结构，使用该结构，当根据重置信号重 置了非易失性存储器44(即计数器43)时，输出次数可被返回(可被重 置)为0。
此外，在图36所示的密文解码器20D″中，虽然也没有示意性地示 出信道解码部23(参照图2、图12和图15)，但是与第一和第二实施例 一样，当在加密器10D″侧提供了信道编码部14时，提供信道解码部23。 当提供了信道解码部23时，可将信道解码部23布置在防篡改区60中或 者防篡改区60之外。与第七实施例一样，作为本实施例中的密文解码器 20D″的防篡改区60的内部和外部之间的接口，需要与上述项(41)至(45) 相对应的接口，不再需要与伪随机数ri的输出次数相关的接口(与上述 项(46)至(48)相对应的接口)。
此外，在第八实施例中，加密器10D″被配置得与图1所示的加密器 10类似，然而，也可将加密器10D″配置为提供与图11所示的加密器10A 或图14所示的加密器10B的结构相同的结构。此外，在第八实施例中， 密文解码器20D″被配置得与图2所示的密文解码器20类似，然而，也可 将密文解码器20D″配置为提供与图12所示的密文解码器20A或图15所 示的密文解码器20B的结构相同的结构。
根据按本发明第八实施例这样配置的通信系统1A″(加密器10D″和 密文解码器20D″)，在通信装置1a″和通信装置1b″之间互相实现了已应 用本实施例中的加密技术的加密通信，并且可以获得与第一和第二实施 例相同的功能和效果，此外，还可获得与第六实施例中的通信系统1A’ (加密器10D’和密文解码器20D’)相同的功能和效果。
在第八实施例的通信系统1A″中的各通信装置1a″和1b″中，被整合 为一体的加密器10D″、密文解码器20D″、非易失性存储器51和发送/接 收部52A布置在芯片上的防篡改区60之一中，防篡改区60提供上述项 (51)至(61)中的结构，因此确保了防篡改属性，防篡改区60和其外 部之间的输入/输出被限制于上述项(21)至(28)以及(41)至(48) 示出的这些接口。由此，在第八实施例中的通信系统1A″中，还可获得与 第七实施例中的通信系统1″相同的功能和效果。
此外，在第八实施例中，当确认伪随机数的同步已漂移的其他手段 存在时，或者当可忽略对伪随机数的同步已漂移的确认时，可以有这样 的变型：不将在各通信装置1a″和1b″中的各非易失性存储器51和51中 保存的相同的随机数表用作Vernam密码的加密密钥，而是将其用作新加 密密钥本身。在该变型例中，不必执行Vernam密码通信，因此，可以省 略发送/接收部52A。
[15]变型例
此外，本发明不限于上述实施例，在不脱离本发明的要旨和范围的 情况下，可以作出各种变型。
例如，在上述实施例中，使用了物理随机数产生器12，然而，可使 用图17所示的伪随机数产生器或随机数产生器18来代替物理随机数产 生器12。
在加密器10、10A、10B、10C、10D、10C’、10D’、10C″和10D″中， 通过使用与伪随机数产生器11、11’、11″、11a；21、21’、21″和21a不 同的伪随机数产生器(加密密钥固定；未示出)来代替物理随机数产生 器12，不再需要使用昂贵的物理随机数产生器，这使得可以低成本地配 置加密器10、10A、10B、10C、10D、10C’、10D’、10C″和10D″，此外， 获得了这样的优点：仅使用软件就能完美地实现。
此外，图17所示的随机数产生器18被配置为提供与伪随机数产生 器11、11’、11″、11a；21、21’、21″和21a不同的伪随机数产生器以及 物理随机数产生器12a。伪随机数产生器(第二伪随机数产生部、调制用 伪随机数产生部)11b产生并输出伪随机数fi’代替上述物理随机数fi， 物理随机数产生器(物理随机数产生部)12a与上述物理随机数产生器 12一样基于物理现象产生物理随机数fi。然后，将伪随机数产生器11b 的加密密钥Kb配置为周期性或非周期性地改变为由物理随机数产生器 12a产生的物理随机数fi确定的值。此时，可将改变加密密钥Kb的定时 配置为由物理随机数产生器的输出值来确定。
对于加密器10，物理随机数产生器12需要为一比特明文产生一比 特物理随机数fi，因此，需要使用能够高速运算的物理随机数产生器， 然而，就随机数产生器18中的物理随机数产生器12a而言，可以使用运 算速度比第一实施例中的运算速度低的的物理随机数产生器。如上所述， 能够高速运算的物理随机数产生器很昂贵，然而，低速运算的物理随机 数产生器便宜，因此，当使用图17所示的伪随机数产生器18代替物理 随机数产生器12时，可以配置出本发明的加密器而不会显著地牺牲安全 性(加密强度)。
例如，当通过利用个人计算机等实现本发明的加密器时，如果使用 将诸如“在某时间点鼠标指针所指的屏幕上的位置”的数据作为加密密 钥进行操作的伪随机数产生器来代替物理随机数产生器12，则可以实现 这样一种加密器，其基本上确保与使用物理随机数产生器时的加密强度 相同的加密强度(安全性)，却不需要安装昂贵的物理随机数产生器。
另一方面，通过使用上述本发明第四实施例中的加密/密文解码技 术，可以提供基于记录介质(诸如光盘)的内容发行服务，该内容发行 服务使内容的再现次数和收费之间的关系清楚。
例如，当内容发行商对用户收费并向用户提供记录在光盘上的内容 时，一方面，内容发行商例如使用加密器10D作为光盘的内容记录装置， 另一方面，用户例如使用密文解码器20D作为光盘再现装置(播放器)。 此外，此时，将第四实施例中的包视为与记录在一张光盘上的内容相对 应的包。
为了更具体地解释，内容提供商将通过加密器10D对内容进行调制 而获得的加密的内容记录在光盘的加密区中，同时将标识号(与加密密 钥一一对应的字符串，但是无法根据其预测出加密密钥)和伪随机数的 输出次数(或者指示光盘的计次的信息)写入光盘表面上的标签或光盘 的非加密区中，并向用户提供光盘。
此时，例如，将标识号ROM 31中保存的标识号(ID号)读出并写 入上述非加密区作为标识号。此外，从计数器33(非易失性存储器34) 中读取当调制部13对要提供的内容的第一数据xi进行调制时，使用来自 伪随机产生器11的调制用伪随机数ri的输出次数(指示伪随机数的顺序 号的数值)作为伪随机数的输出次数，并将其写入上述非加密区。在光 盘的加密区中，除了上述加密的内容之外，还嵌入有上述伪随机数的输 出次数。优选地，与第四实施例一样，使用伪随机数产生器11产生的伪 随机数打乱嵌入位置。
然后，当从内容发行商接收到光盘时，用户通过密文解码器20D对 光盘的内容进行解调并再现它们。当开始再现光盘时，密文解码器20D 读取写入到非加密区中的伪随机数的输出次数，如果有一些盘丢失并且 例如当按预定顺序再现多个光盘时，如果尝试不按预定顺序而是跳过一 张或更多张光盘进行再现，则向用户发出“警告”。
如果用户根据该“警告”将该光盘换成一张新光盘时，密文解码器 20D再次确认输出次数并开始再现。此外，如果用户参考该“警告”并且 同意跳过一张或更多张光盘而进行再现时，密文解码器20D例如使用输 出次数调节部54的功能，通过对非易失性存储器44设置输出次数或者 通过对伪随机数产生器21执行时钟信号的假输入，将从伪随机数产生器 21输出到解调部22的解调用伪随机数ri的输出次数调节为关于下一要再 现的光盘的输出次数。由此，可以对下一光盘中的加密的内容进行正确 解调，同时保持调制用伪随机数和解调用伪随机数之间的对应关系。然 而，密文解码器20D的伪随机数产生器21被配置为禁止重置和重复解调 用伪随机数ri的产生操作，因此，再无法再现跳过的光盘的加密的内容。
此时，如上所述，密文解码器20D的伪随机数产生器21被配置为禁 止重置和重复解调用伪随机数ri的产生操作，因此，如果用户一旦再现 了光盘的内容，则该内容无法再次再现。由此，如果用户期望两次或更 多次地再现内容，则用户将与再现次数相对应的费用支付给内容提供商， 根据该再现次数，内容被重复调制并记录在光盘中作为加密的内容。因 此，内容提供商可以使内容的再现次数和收费之间的关系清楚，并根据 再现次数确定地向用户收费。
此外，以与第四实施例基本相同的方式，可将密文解码器20D配置 为当开始再现光盘时比较从加密区解调并取出的输出次数与写入非加密 区中的输出次数，如果输出次数不一致，则认为光盘的内容已被篡改并 禁止再现光盘。
此外，如果用于将解码的数字信号转换为模拟图像或语音信号的再 现装置内置于用作内容再现装置的密文解码器20D的防篡改区60中，则 可将从密文解码器20D的防篡改区60输出的再现信号转换为模拟信号， 因此，可抑制数字再现信号的复制，因而有效。
[16]其他
可通过执行预定应用程序(加密程序/密文解码程序)的计算机(包 括CPU、信息处理装置和各种接线端)来实现如上述加密器10、10A至 10D、10C’、10D’、10C″和10D″中的伪随机数产生器11、物理随机数产 生器12、调制部13和15、信道编码部14、计数器33、并入部35和打 包部36的功能(所有功能或部分功能)，或者如上述密文解码器20、20A 至20D、20C’、20D’、20C″和20D″中的信道解码部23、伪随机数产生器 21、解调部22和24、计数器43、排列部46、取出部47、比较部48、包 丢失判断部49、包丢弃部50和输出次数调节部54的功能(所有功能或 部分功能)，或者如上述通信装置1a和1b中的发送/接收部52、52A和 同步调节部53的功能(所有功能或部分功能)。
以记录在计算机可读记录介质(诸如软盘、CD(CD-ROM、CD-R、CD-RW 等)、DVD(DVD-ROM、DVD-RAM、DVD-R、DVD-RW、DVD+R、DVD+RW等)等) 中的形式提供程序。在此情况下，计算机从记录介质中读取程序，将其 传送给内部存储装置或外部存储装置，并将其存储以使用。此外，可将 程序记录在诸如磁盘、光盘、光磁盘的存储装置(记录介质)中并从该 存储装置经由通信线提供给计算机。
这里，计算机是包括硬件和OS(操作系统)的概念，并且是指在OS 的控制下工作的硬件。此外，在没有OS的情况下硬件仅用应用程序工作 时，硬件自身对应于计算机。硬件设置有至少一个诸如CPU的微处理器 和读取在记录介质中记录的程序的装置。如上述加密程序或密文解码程 序的应用程序包括程序代码，该程序代码使计算机实现以下部件的功能 (所有功能或部分功能)：伪随机数产生器11、物理随机数产生器12、 调制部13和15、信道编码部14、计数器33、并入部35、打包部36、伪 随机数产生器21、信道解码部23、解调部22和24、计数器43、排列部 46、取出部47、比较部48、包丢失判断部49、包丢弃部50、发送/接收 部52、52A、同步调节部53和输出次数调节部54。另选地，可以不由应 用程序而是由OS实现部分功能。
此外，作为本发明中的记录介质，除了软盘、CD、DVD、磁盘、光盘 或光磁盘之外，可以使用各种计算机可读介质，诸如IC卡、ROM盒、磁 带、打孔卡、计算机的内部存储装置(如RAM、ROM等存储器)、外部存 储装置、其上印有诸如条形码的码的印刷品。