JPH11355264A - 国際暗号体系のホストシステム要素 - Google Patents
国際暗号体系のホストシステム要素Info
- Publication number
- JPH11355264A JPH11355264A JP11066598A JP6659899A JPH11355264A JP H11355264 A JPH11355264 A JP H11355264A JP 11066598 A JP11066598 A JP 11066598A JP 6659899 A JP6659899 A JP 6659899A JP H11355264 A JPH11355264 A JP H11355264A
- Authority
- JP
- Japan
- Prior art keywords
- application
- cos
- cryptographic
- icf
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2211/00—Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
- G06F2211/007—Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2211/00—Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
- G06F2211/009—Trust
Abstract
にするように独立した技術とポリシーの選択を実行し得
るところの、共通の容認された暗号体系を実現する。 【解決手段】 国際暗号体系の要素によって設定される
信頼レベルを拡大することにより1つ以上のアプリケー
ション及び/又はオペレーションシステムの中で1つ以
上の信頼度をもたらす信頼関係を確立する装置におい
て、国際暗号体系が暗号化ユニットから成り、この装置
が、1つ以上のアプリケーション又はオペレーションシ
ステムの実行を支える実行環境を与えるホストシステム
と;さらに1つ以上のアプリケーション又はオペレーシ
ョンシステムの前記暗号化ユニットへのアクセスを実施
できる暗号サービスプロバイダとを含むことを特徴とす
る。
Description
細には国際的暗号体系のホストシステム要素に関する。
は、典型的には組織体全体にわたってコンピュータに基
づく解決策を購入したいと望んでいる多国籍企業であ
る。このような企業の組織は分散しているため、このよ
うな組織全体にデータを送るのに、彼等は公共の国際通
信サービスを利用する必要がある。当然彼等は、彼等の
通信の機密保護に気を配り、また近代的な端末暗号機構
を利用してプライバシーとデータのセキュリティを確保
しようとする。
右され、且つ不幸にも国家政策は、このような暗号の使
用に関しては種々異なっている。各国家政策は、一般に
は国際的配慮よりはむしろ国家に重点が置かれ、自主的
に展開されている。国際的暗号に適する共通の暗号アル
ゴリズムを開発しようとしている標準化団体がある。し
かし、国際的暗号の標準化の問題点は、技術的な問題で
はなくて、むしろそれがその深部に国家的権力が絡む、
政治的問題にある。このようなわけで、異なった国家間
の暗号書法政策が、技術的標準化プロセスによって一線
に並ぶと期待するのは現実的ではない。
世界市場に向けた開放基準に基づく(open-standards-b
ased)情報技術製品を製造している会社に特殊な問題で
ある。市場は、これらの製品が保護されることを期待し
ている。しかしこれらの製品の多くの消費者は、ますま
す彼等自身多国籍化し、そして彼等の全世界的情報技術
開発を抑制する国際的暗号の諸問題を解決する彼等を支
援するようそのメーカに対して期待を寄せるのである。
国家の暗号政策における未解決の差異と貿易規制が永続
することは、保全開放計算機製品の国際的市場成長に悪
影響を及ぼす。したがって、国家的暗号政策の自主的開
発に介入しないで、共通のセキュリティ要素を特徴とす
る地球的情報技術製品をもたらす国際的体系を実現する
ことは有用である。
理由がある。これらの理由は、法律の実施及び国家的セ
キュリティの問題としばしば関連付けられる。各国内に
は、これらの政策の権利と容認に関して政府と国民との
間に論争が起こることがある。これらの論争に関与する
か又はそれらの結末を予測しようとするよりも、各国家
の主権者の主権を受け容れて、通信における暗号書法を
支配する自主的政策を構築した方がはるかに実用的であ
る。
国民と政府の意思を表すのみならず、暗号書法を促進す
る一定の技術をも包含する。技術の選択は、確かに標準
化が主軸を演ずるところの一領域である。しかし先に示
したように、これは単なる技術的問題ではなく、そのた
め共通の暗号技術の選択だけでは国家的政策の差異を解
決することはできない。したがって、これらの政策に準
じた国際的暗号通信を従来通り可能にするように、独立
した技術と政策の選択を実行し得る共通の容認された暗
号体系を実現することが有用である。
テム及びネットワークセキュリティサーバを含む国際的
な暗号書法を支援する四部門の技術体系は、1997年7月
22日提出の米国特許第5,651,068号におけるK.Klemba、
R.Mercklingの"InternationalCryptography Framework"
に開示されている。これら4つのサービス要素のうちの
3つは、基本的階層関係にある。国旗カード(NFC)
は、暗号化ユニット(CU)にインストールされ、このユ
ニットが、今度はホストシステム(HS)にインストール
される。ホストシステムに基づく暗号化機能は、暗号化
ユニット無しでは達成できず、そのユニット自体は有効
な国旗カードの存在を必要とし、それがあって初めてそ
のサービスが使用可能となる。四番目のサービス要素、
ネットワークセキュリティサーバ(NSS)は、他の3つ
のサービス要素の検証を含む個々のセキュリティサービ
スの範囲を設定し得るものである。
企画、実施及び運営要素を支援する一方、独立した国家
セキュリティポリシーの企画、開発及び運営を統合する
ものである。したがってその体系は、国家のセキュリテ
ィポリシーのサービス要素に標準書式を付与するもの
で、この場合このようなサービス要素には、ハードウェ
ア書式因子、通信プロトコル及びオンラインとオフライ
ンのデータ定義等が含まれる。
って重要なことは、様々なサービス要素の生成を可能に
する基本的技術を準備することである。サービス要素の
種々の実施法は、熟練した当業者の技術範囲内である
が、体系のもつ全面的な可能性を実現しようとする場合
は、当面の技術水準に特定の改良を施す必要がある。
の体系内で実行するオペレーティングシステムに対する
支援サービス、例えば暗号化ユニットの暗号化サービス
へのアクセスを可能にするべくアプリケーションプログ
ラムインタフェース(API)を含むであろうアプリケー
ションに対する支援、を実施することは、このような体
系のホストシステム要素にとって望ましい。さらにホス
トシステム要素と暗号化ユニット間の信頼関係を構築す
る際に、暗号化ユニットに対する支援を実施できること
も前述のホストシステム要素に望まれる。
流通を統制する種々の国内法に従わせる、国際暗号体系
(ICF)が提供される。特にこのような体系は、あらゆ
る方式の情報処理装置(例えばプリンタ、パームトッ
プ)の全世界的な暗号化機能を転送することを可能にす
るものである。ICFは、アプリケーションにポリシー制
御の下で暗号機能を実行させる一組のサービス要素を含
む。ICF構成の4つのコア要素、即ちホストシステム、
暗号化ユニット、ポリシーカード及びネットワークセキ
ュリティサーバは、アプリケーションに対して暗号サー
ビスを提供する基盤を含む。ICF内で種々のサービス要
素から暗号サービスを要求するアプリケーションは、認
可された暗号レベルの誤使用を防ぐため証明書によって
識別される。ポリシーは、アプリケーション証明書(Ap
plication Certificate)に含まれた属性を考慮に入れ
る。
行環境を与える一組のシステムプログラム及びサービス
から成る。ICF内のホストシステムの役割は2通りあ
る。第一にホストシステムは、暗号化ユニットによって
提供される機能にアクセスできるようにプログラムイン
タフェースの形でアプリケーションにサービスを与え
る。第二にホストシステムは、暗号プログラムインタフ
ェース、オペレーティングシステムドライバ及びメモリ
管理サブシステムのような、ホストシステム要素との信
頼関係を構築する際に暗号化ユニットに対して支援を与
える。 〔発明の詳細な説明〕
治情勢及び/又はメッセージ機能によって変化する。こ
のため、全時間、全ての産業にわたって1つの一様な政
策を割当てることは困難である。したがって国旗カー
ド、別名ポリシー起動トークン(policy activation to
ken:PAT)を組み込んでいる暗号体系の柔軟性は極めて
魅力的である。それ故本発明は、国際的暗号書法を包含
する諸問題の解決法を扱う。本発明は、好ましくは製造
者達に暗号化機能の流通を統制する種々の国内法に従わ
せる国際暗号体系(ICF)に属する。特にこのような体
系は、あらゆる方式の情報処理装置(例えばプリンタ、
パームトップ)の全世界的な暗号化機能を転送すること
を可能にするものである。
暗号体系に属するもので、そのそれぞれが異種のサービ
スを提供するものである。図1は、ポリシー起動トーク
ン12、暗号化ユニット14、ホストシステム16及びネット
ワークセキュリティサーバ18を含む国際暗号体系(IC
F)のブロック図である。これら4つのサービス要素の
うちの3つは基本的階層関係にある。ポリシー起動トー
クン(PAT)は、暗号化ユニット(CU)にインストール
され、このユニットが、今度はホストシステム(HS)に
インストールされる。ホストシステムは、暗号サービス
を要求するアプリケーションを実行する。ホストシステ
ムに基づく暗号化機能は、暗号化ユニット無しでは達成
できず、そのユニット自体は有効なポリシー起動トーク
ンの存在を必要とし、それがあって初めてそのサービス
が、例えばホストシステムを介してアプリケーションに
対して使用可能となる。ここでの議論の目的で、またポ
リシー起動トークンは、それによって国家の暗号政策を
出す規律が与えられるという理由から、ポリシーカード
とも呼ばれる。
ュリティサーバ(NSS)は、他の3つのサービス要素の
検証を含む個々のセキュリティサービスの範囲を設定
し、したがって信頼される第三者の働きをする。提案さ
れた体系を利用して暗号化されたメッセージは、メッセ
ージが暗号化されたその下で国家の暗号政策を識別する
電子スタンプを保持している。またネットワークセキュ
リティサーバも、メッセージ処理システムのためのスタ
ンプ検証サービスを提供する。
素は、ホストシステム、暗号化ユニット、ポリシー起動
トークン及びネットワークセキュリティサーバである。
ここでの議論の目的で、これらのICF要素は、次のよう
に定義される。
ニットである。このICF要素は、CUに対するアプリケー
ションプログラムインタフェースを支援する。またセキ
ュリティ認識がありかつCUを利用するアプリケーション
を支援する。これらのアプリケーションは、実行時にお
いてCUに緊密に結合される。
る。これらの機能は活動休止状態にあって、PATによっ
て起動されるまではHSで使用されない。CUに含まれる暗
号化機能は、典型的には業務要求(business demand)
によって決められる。CUは、そこに格納されることがあ
るキーはどれも保護できるように、改ざんに対して耐性
がある。全てのPATの保守活動に関与することは、CUの
責務である。それをし損なうと、CUの機能性が活動休止
状態に戻ることになる。
特にこのICF要素は、特定のCUにおける暗号の使用を支
配するパラメータを含む。ポリシー起動トークンは、物
理的形式、仮想形式及び固定形式とすることが可能であ
る。物理的PATは、暗号用法ポリシーを含む、スマート
カードのような物理的トークンであり;仮想PATは、ネ
ットワーク中の目的のCUへ送られ得る暗号用法ポリシー
を含むソフトウェア要素であり;さらに固定PATは、単
一のアプリケーションに結合されかつそれらのアプリケ
ーションに対する暗号用法ポリシーを含む。
べく信頼された第三者として作用するシステム又はユニ
ットである。これらのサービスには、例えばポリシー拡
張、ユニット検証、認可に合う調整及びキー管理サービ
スが含まれる。
は幾つかの特異的な特性を有する。本明細書において
は、本発明は、ICFのホストシステムに関するこれらの
特性に焦点を合わせている。
ストシステムでICF要素を実行するのに必要とされるラ
イブラリ及びシステム要素のレイヤを記述する。一般に
3つの重要な層、即ちアプリケーション、オペレーティ
ングシステム及び暗号サービスプロバイダがある。図2
は、ソフトウェア構成要素に関する概観を示す。
るユーザ書込みアプリケーション及びライブラリの領域
である。アプリケーションは、これらのサービスを認識
していてもよいし又はしていなくてもよい。それらが認
識されている場合、その下のサブシステムレイヤ21は、
一組のプログラムインタフェースをそのアプリケーショ
ンに提供する。暗号書法的に認識していないアプリケー
ションは、それら自体何らの呼出し(call)も出さず、
その下にあるサブシステムが、アプリケーションに代わ
ってこれらの呼出しを実行する。
ス 21 認識及び未認識アプリケーションの暗号化機能を支援す
るサブシステムである。またこれらのサブシステムは、
アプリケーションにアプリケーションプログラミングイ
ンタフェース(API)を提供する。ほとんどの著名なAPI
は、MicrosoftアプリケーションにはMicrosoft CAPI
を、またUnixアプリケーションにはX/OpenGSS-APIとGCS
-APIを含んでいる。サブシステムライブラリは、典型的
にはそれら自体をアプリケーションプログラムインタフ
ェースに編成し、また作動システムによって遮蔽して、
暗号サービスプロバイダモジュールに編成する。
ティAPIをアプリケーションから完全に隠すこともでき
る。これによって現行アプリケーションは、変更するこ
となくその解法を利用することが可能となる。一例とし
ては、移送レベルのソフトウェアサブシステムへの保全
構造特徴(security features)の統合を挙げることが
できる。
リティ記憶と実行機能にアクセスするAPIを与える。例
えば改ざんに耐性のあるデータベースを形成するために
ODBCインタフェースのようなデータベースAPIをCU内の
データ管理モジュールと共に提供することができよう。
行する。一方のタスクは、サブシステムプログラムイン
タフェースを暗号サービスプロバイダから分離すること
である。もう一方のタスクは、ハードウェアドライバの
形で暗号ハードウェアと結びつく一組のドライバ23を通
して必要なハードウェア制御を実施することである。
ァームウェア要素を含む。典型的にはハードウェアは、
PCIカード又はPCMCIAカードのような、幾つかの形式
因子にはいり個別のハードウェアプラットフォーム及び
性能要件を収容する。ファームウェアは、(マイクロカ
ーネルに類似している)実行時間、ICF機能性、及び特
定アプリケーションプログラムインタフェースに要する
ユーザのダウンロード可能型ソフトウェアモジュールを
実行する一組のライブラリである。
系を提供する責務がある。これには、例えば証明書管
理、アプリケーションサービスクラスの管理及びCUへの
アプリケーション特定拡張のダウンロードのような諸管
理機能のミドルウェア(中間)成分が含まれる。
ある。ICFのコア要素の周辺は、暗号化装置30の生成(M
anufacture)と、体系全体のポリシーの定義及び施行を
実行する領域権限(Authority)32/34がある。管理体系
内には4つの基本的要素がある。これらは、セキュリテ
ィ領域権限(Security Domain Authority)34、アプリ
ケーション領域権限(Application Domain Authority)
32、ホストシステム要素16及びネットワークセキュリテ
ィサーバ18である。
ーを定義する機関である。セキュリティポリシーは、サ
ービスクラスを介して他の体系要素に呈示される。製造
上の情報を知ることによって、システムが決定性CUセッ
ト(deterministic set of CU)に目標設定されたサー
ビスクラスを生成することが可能となる。
ンに対して証明書を出す権限として作用する。その証明
書は、それらがSDAによって認可される際に、アプリケ
ーションに対する認可サービスクラスを包含する。
たCUに対するポリシー起動を管理する信頼されたオンラ
イン権限として作用する。
ービスが用いられているホストシステムは、その体系で
制御される実行要素を形成する。
ケーション領域権限に一組のサービスクラス(COS)35
を認可する責任を持つ。またSDAは、COS情報とCUに対す
るタッチポイント(Touch Point)データとを含んでい
るポリシーカードを発行する責任も持つ。SDAは、CUを
ホストシステムに実装しているサイトから要求があると
この情報を作る。
によって認可されたCOS要素を受ける。これは、その領
域に属するアプリケーションにアプリケーション証明書
36を発行する責任を持つ。アプリケーション証明書は、
アプリケーションIDと、ADAによって認可されたCOSを包
含している。
け、それをCUに提示して所望のCOSレベルを得なければ
ならない。要求を受けると、CUはその証明書を使って、
要求された暗号化機能にアプリケーションがアクセスす
る権利があるかどうかを決定する。アプリケーション証
明書を介して要求されたCOSが、SDAによってADAに付与
され、そしてポリシーカードに記憶されたCOSと整合す
るなら、その要求は処理され、そうでなければ処理され
ない。
8は、ポリシー折衝のためのオンライン装置として機能
し、ポリシーカードに記憶されたポリシー情報に合わせ
て変化する。例えばサービスクラスをサービスセットに
付加するには、通常変更された情報を含んでいる新しい
ポリシーカードの発行が必要である。代替的にはNSS
は、SDAに代わってポリシーカードの更新を行う。またN
SSは、仮想ポリシーカードの起動システム37の主軸を演
ずる。
数の極めて基本的な仮定に基づいている。
ファームウェア成分であろうと又はCUによって出される
サービスを使うアプリケーションであろうと、それらに
関連した信頼レベルを有する。ソフトウェアにおける信
頼を全ICFに伝えるのに用いられる方法は検証である。
全ての信頼化操作、例えばファームウェアモジュールの
ダウンロード又は一定のサービスレベルに対するアプリ
ケーションはどれも、関連証明書の有効化に関するもの
である。
号化機能を与えることはない。
に関係なく、どのような状況下でもポリシー要素によっ
てアクセスできない。同様に、どのような状況下でもホ
ストシステムは、ポリシーのタッチポイントデータ情報
へのアクセスがあってはならない。
係 アプリケーションはICFにおける要求要素である。典型
的にはそれらは、ホストシステムで実行されて、CUから
のサービスを要求する。
するアプリケーションとこのサービスを配るサービスプ
ロバイダとの間の両方向の信頼関係である。何れも参考
として本明細書に引用されている、米国特許出願第08/7
48,085号(Dynamic Classesof Service for An Interna
tional Framework);第08/770,747号(Software Level
Touch Points for an International Cryptography Fr
amework);第08/702,331号(Application Certificati
on for an International Cryptography Framework);
第08/702,304号(Method and Apparatus for Enforcing
the Use of Cryptography in an International Crypt
ography Framework);第08/702,332号(Method and Ap
paratus for Trusted Processing);及び第08/685,076
号(Cryptographic Unit Touch Point Logic)に記述さ
れているように、アプリケーションと、CU以外の信頼要
素を想定しない暗号化ユニットと、アプリケーションコ
ード画像への信頼された直接経路とから成るシステムを
構築することができる。CUは、所望のサービスを与える
以前にコード画像に基づくアプリケーションの同一性を
確認する。
間の信頼関係を図解するものである。CUからホストシス
テムのメモリ空間へのこの種のアクセスを実行しないシ
ステムでは、チャレンジ(challenge)は、2つの連絡
している要素間の信頼関係を強調する1つ以上の機構を
確立することになる。これには2つの基本的戦略があ
る。一方は、CUからアプリケーションまで信頼要素のラ
インを構成することであり、もう一方のアプローチは、
アタック(attack)検出時間を変える、多くの確認チェ
ックによってCU/アプリケーションの相互作用を監視す
ることである。
ンまで信頼要素のラインを構成するものである。例えば
一連の信頼要素の底部にあるCUについては、CUは、要求
をCUへ渡すのに要するOSドライバを有効化することがで
きる。次いで、有効化ドライバは信頼機構を実行して、
例えばそれ自体有効化スキームを実行することができ
る、ドライバ呼出しモジュールを有効化することができ
る。信頼は、アプリケーションの方へ拡張される。OSド
ライバの有効化、即ち信頼の連鎖の開始点、についての
仮定は、ホストシステムカーネルのアクセス制御と認証
機構とに組み込まれた十分な信頼が存在する、というこ
とである。
用に一連の有効化とチェックを実行する。このアプロー
チでは、CUからアプリケーションの方へ信頼のラインを
構成することよりも、CUとアプリケーション間の相互作
用に幾つかのメカニズムと有効化チェックが実行され
る。これらのメカニズムの各々は、アタックに耐えられ
るほど強力でなくても、これらのメカニズムの組合せに
より、アタッカー(attacker)にとってはアタックが十
分困難になるものである。
する。
に厳密に単調増加する番号を受け渡しする。もしどちら
かのパーティが予期せぬ番号を検出する場合は、連絡上
の障害、おそらくはアタックが想定される。
し 両パーティは、両側での演算に関わるチャレンジを前後
に受け渡しすることができる。各パーティでの演算は、
シーケンス故障を検出できるよう前回の値に依る。
る場合、処理中の異常を検出して潜在的にアタックをそ
れとなく知らせるのにこの情報を使うことができる。
ィに受け 渡しするようにアプリケーションパーティへの
要求 このスキームでは、CUは、要求が悪意のアプリケーショ
ンによって出し得ないことを確実にするため、アプリケ
ーションのランダム選択メモリ部分を求める。連鎖ハッ
シュ方式(chained hash scheme)を用いているため、
このようなメモリ部分のランダム選択によって、アタッ
カーがメモリ位置を推測することがさらに困難となり、
かつシステムがそのような介入を検出することがより容
易になる。
れらだけでは要求アプリケーションの確実性を保証し得
ないことが経験される。これらのアプローチの全てに対
する基本的チャレンジは、非信頼環境であり、ここでは
人はこの環境におけるパーティを識別するのに確実な記
憶又は確実な計算を実行できない。提案されたスキーム
の全ては、アタックされ易い弱点を抱えている。しかし
幾分弱い基礎レベルのスキームを組合せることにより、
検出することなく迂回することが極めて困難であること
が証明される。
頼関係を強化するためのアプローチは全て、アプリケー
ションがオペレーションを要求し、かつそのオペレーシ
ョンがCUの信頼境界内で実施されるという事実において
不利である。アプリケーションは、その他の方法でサー
ビスを自由に得ることができ、それによってCUを完全に
迂回する。CU自体は、アプリケーションの同一性を確認
する手段が極めて限定されており、したがって例えばホ
スト環境に依らざるを得ない。アプリケーションとCUの
間の別々の責任分担によってその情況はかなり改善され
る。例えばアプリケーション部分がCUの信頼境界内で実
行されるのであれば、ホストシステムでのアプリケーシ
ョンは不完全となり、さらにこのアプリケーションを入
れ換えるか又は不明部分を補足することがより困難にな
る。
的大きいブロックによっても、サービスをCUのより高い
レベルからエクスポートさせることによりこの情況が改
善され、それによってもうエクスポートされることのな
いCUの低めの機能性を誤用するというリスクが軽減され
る。
には、アプリケーションの識別属性、例えばアプリケー
ションID、アプリケーションコード画像のハッシュ和
(hash sum)及びこのアプリケーションに割り当てられ
たサービスクラスが含まれる。この情報はディジタルシ
グネチャによって認証される。CUはこの情報を使って、
アプリケーションを正確に識別し、かつ許容し得るアク
セスの種類を決定する。
いが、ある種の管理上の努力と管理基盤を必要とする。
アプリケーションコード画像中のほんの1ビットを変更
するだけでも、システムはシグネチャを生成する全プロ
セスを遂行しなければならない。検証基盤に依存して、
アプリケーションの開発者は、その仕事を別の実体へ付
託してそれを署名してもらう必要があり、このことはア
プリケーションの配布に深刻な制約を課すことになる。
のバージョンで置き換えるには、信頼及び制御レベルを
必要とする。アプリケーション認証メカニズムは、それ
が使われる前にアプリケーションのプログラム原点(or
igin)を確認するのに用いられる。アプリケーション更
新プロセスで制御オプションを特定することは、受動シ
ステムにとって望ましいことである。例えばホストシス
テムは、ロードされたアプリケーションの新しいバージ
ョンを自動的に受け容れないと決める。
組み込みと更新を示すブロック図である。アプリケーシ
ョンA'を組み込むことは、それが前のアプリケーショ
ンAに関して有している従属性によって特色付けること
ができる。
とがある。これは最も一般的なケースである。アプリケ
ーションは同一名で呼ばれる。通常符号権限は同じもの
を持続する。
号化するのに用いたものと同じ場合にのみ受け容れられ
る。これは最も典型的なケースである。アプリケーショ
ンが受け容れられ、さらにシグネチャが信頼されたアプ
リケーションの製作者を識別する場合に以前に取り込ま
れたアプリケーションを入れ換える。
いる場合にのみ受け容れられる。直接後方従属性だけが
A'の即時先行点(immediate predecessor)を受け容
れ、間接後方従属性は、以前のAの連鎖における任意の
モジュールを受け容れる。このスキームは、システムが
取り込むアプリケーションについて有している制御をか
なり強化する。
影響を及ぼすオプションを特定することができる。
更がロードされている間ホストシステムが維持する基本
的性質である。コードの同値性についての最初の問題
は、最初のコードの正確さと計算可能性を立証すること
の周知の困難さに関わる。本発明の好ましい実施例で
は、開発プロセスと手続き、並びに有効化チェックポイ
ントの適当な組合せによって2つの基準が達成される。
成されるかを説明するものである。提案されるヒューリ
スティック(heuristic)は次の3つの部分から構築さ
れる。
能成分 50; ・図6の丸みを付けた矩形で表されたチェックポイント
成分 51;及び ・図6の単純な矩形で表された変換成分 52。
る時、実行されるべきコードもしくは付加されたデータ
構造の間に技術用語上の区別はない。
必要がある。以下は、その状態変数がどのように使われ
るかを説明するものである。十分機能的な、よく制御さ
れたサブシステムは、全システムの部分であるか又は全
システムそのものであるかの何れかであり、一組の特徴
(Feature)によって特色付けられる。一組の特徴が初
期状態にある時、それはベース(Base)と呼ばれる。与
えられた状態でのベースは、そのベースが正確さの基準
を満たすのであれば、一組の特徴fであると言えよう。
ベースをアップグレイドする時は、新しい特徴、例えば
f1又は状態sをもって実際に増加させる。アップグレ
イドは、実際にはsからs+1への状態の変化を意味す
る。よってベースとエディション(Edition)のバージ
ョンは、それらが同じ状態に属するという理由で、互換
できる状態に維持される。懸案の本実施例に関しては、
実行可能成分について2つのカテゴリを導入することは
容易である。
ゴリは特徴であり、それはベースの現在の特徴を新しい
特徴と入れ換えるか又はベースを増加させる。ベースに
対する新しい付加は新しいベースを発生する。新しいベ
ースは、記号s+1で表される状態変数値の変化によっ
て、旧ベースとは区別される。図6では、状態の変化は
黒矢印53で表されている。図解したように、状態の変化
は、ベースと新しい複合ベース(Compound Base)のシ
グネチャが確認されると以下のステップを踏む: 1. 変換ハッシュは、状態sのハッシュ値に加えて新し
い特徴を組み込むのに実施されるべき変換機能連鎖に属
する; 2. もしそのハッシュがハッシュ参照連鎖(hashed ref
erence chain)及び状態sと釣り合うなら、特徴fは正
しく、したがって組み込むことができる; 3. 変換連鎖、例えばダイナミックリンク、ロード又は
リゾルブ(resolve)を使ってその特徴が組み込まれ
る; 4. 新しいベースの状態をs+1に更新する。
れる。"変換fのハッシュ"と呼ばれる中間チェックポイ
ントは、変換関数Tによる特徴fの変換に該当する。
及びデータ構造とリンクされる時だけ実行することがで
きる。一度ロードされると、記号の分解と再配置が解決
されてしまい、さらに今度は複合特徴の組が実行可能バ
イナリとなる。変換関数は、コンパイル、ローディング
及びリンキングを含む全ての複合メカニズムを表す。メ
カニズムの連鎖のハッシュに合う参照は、参照変換Tで
ある。
ジュールのダウンロード及び実行を示すブロック図であ
る。クライアントサーバ構成に見られる典型的環境は、
アプリケーションが実行される閉環境を構成する。この
戦略例は、Java仮想計算機環境70である。この例では、
アプレット(applet)と呼ばれる、アプリケーション71
がクライアントシステムにダウンロードされる。シグネ
チャ有効化プロセスがアプレットに適用されて、アプレ
ットの供給者のような信頼される実体によってアプレッ
トが署名され終わったことを検証することができる。さ
らに幾つかの完全性チェックの後、そのアプレットを仮
想計算機環境内で実行させることができる。
することは、ホストシステムの保全要件の唯一の局面で
ある。典型的にアプレットは、ホストシステムのリソー
スと相互作用をする必要がある。これは、アプレットが
ホストシステムのリソースに対して実行する閉環境から
のゲートウェイをシステムに設けさせるものである。絶
対的な(all or nothing)戦略を実施する現在のモジュ
ールは、アプレットの設計者の要求を満足させるには不
十分である。
ップの信頼された記述と見なすことができるサービスク
ラスの概念を与える。COS識別子はリソースを標識し、C
OS属性は、ホストシステムのリソースに関してアプリケ
ーションが能力のあることを表す。ICF領域権限によっ
て発行されかつ署名されると、アプリケーション割当て
能力を越えてリソースへアクセスするのにリソースマッ
プCOSを操作することはできない。強要要素(enforcing
element)としてのCUそのものは、アプリケーションリ
ソース要件の評価が行われる信頼された位置(locatio
n)である。米国特許第5,651,068号に記述された、アプ
リケーションレベルタッチポイントのようなICF構成の
諸要素、及びCUは保全位置でアプリケーション方法を実
行できるという事実は、実行しているアプレットの有効
化をさらに強化する。
ン 固定PATと呼ばれるアプリケーション固定ポリシー起動
トークンは、特定アプリケーションに対する暗号化ユニ
ットの起動を目標としたトークンである。これは、特定
暗号化ユニットの起動を目標としている物理的又は仮想
PATとは異なるものである。
ion)は、CUによって与えられる暗号サービスをアプリ
ケーションに消費させるのに必要な、アプリケーション
からポリシー起動トークンまでの全てを含む配布のユニ
ットを設定することである。
ークンを示すブロック図である。図8に示される例にお
いて: ・アプリケーション80は、特異的な識別、例えば一連の
番号(serial number)を有する; ・COSの制約がアプリケーションの一連の番号をCOSに結
び付ける; ・この場合に関するCOSテストレベルがある。
連した方法の識別子及びその方法へのアクセスが認容さ
れる前に評価されなければならない拘束とを含む記述部
分とから成る。記述部分は、その認証と同一性を保証す
るために権限によって署名される。
ネルを通して配布させることができる。例えば、COSが
暗号化方法と結び付けられる場合は、COS識別子がアプ
リケーション領域権限へ伝えられ、次にはアプリケーシ
ョン領域権限がそれらをCUからのサービスを要求するア
プリケーションへ配布する。COS記述部分、即ち対応す
るCOS識別子を伝える要求を評価するのに必要な内容をC
Uに与える部分は、NSS基盤を介して配布される。COSが
非暗号方法を表す場合は、この分離は必要ではない。
領域の明確な責任を定義する。ICFの下で、アプリケー
ションは、要求の暗号属性をその記述のハンドルとして
標識するサービスクラスの識別子を使って、暗号化ユニ
ットからのリソースを要求する。暗号化機能の他に、そ
の他の任意の操作をこのメカニズムによって標識するこ
とも可能である。
てアプリケーションと結ばれる。アプリケーションは、
別のCOSを使って要求を発行できるが、そのCOSに包含さ
れた属性を修正するか又は生成する方法を有さない。CU
自体は、アプリケーションが認められた領域権限によっ
てそれに割り当てられたCOSを使用中であることを確認
するメカニズムを形成する。
って実施されるべき操作を記述するCOSの内容は、領域
権限に役立つ管理機能によって決定されかつ制御され
る。アプリケーション開発者がCOSの内容に影響を及ぼ
す方法はない。アプリケーションの開発者及びアプリケ
ーションのユーザからのこの管理機能の非干渉性は、IC
F構成の主要な原理である。図9はこの原理の図式表示
を示すものである。
なデータ及び消費者の個人的データを扱うようになって
いるので、アプリケーション生成者の基本的リソースを
取扱うことからの分離は、主要な要件になってきてい
る。少数の財務上のアプリケーション及びおそらくは項
目別アプリケーションに存在したに過ぎないこの要件
は、今やその上に電子通商を扱うその他のアプリケーシ
ョンの範疇へ食い込みつつある。
号化ユニットへ連絡する。各要求は、この要求に対して
サービスクラスを暗号化ユニットに駆動させる情報を含
んでいなければならない。ICFは、要求をCOS IDにマッ
ピングすることについて2つの主要なアプローチを規定
する: ・アプリケーションは、COS識別番号をその要求と共に
伝えることができる。例えば、アプリケーションに対し
て発行されたアプリケーション証明書は、認可されたサ
ービスクラス識別子を含む; ・アプリケーションは要求を出すことができる。その要
求の属性を解析しかつその要求を満足する最近接サービ
スクラスを決定することは、CUの責任である。
ピングを示すブロック図である。アプリケーションは、
サービスクラスもしくは所望操作の属性をCOSエンジン
へ伝えることができる。例えば暗号操作は、アルゴリズ
ムの種類又はキーの長さに関する属性を有することがで
きよう。マッピング機能90は、要求91の属性を解析し、
さらに属性リストに記述された諸制約を満足するCOSを
決定する。最小可能COSが選択される。もしCOSが適切で
なければ、その要求を拒絶するか、又は要求の属性を前
方のネットワークセキュリティサーバへ伝えて適切なCO
Sを選択する。
2の実行に用いてもよい。典型的な認可エンジンでは、
発信者は、認可規則にしたがう一組の特典属性と対照さ
れる一組の要求属性を伝える。その結果が正なら、発信
者は先へ進むことが許され、そうでなければ進めない。
マッピングCOSが見付けられ得るという事実は、正の認
可と見てよい。
それらは、定義済み(predefined)COS識別子、折衝も
しくは割当てCOS識別子及びランダムCOS識別子と標識さ
れる。全てのCOS識別子は、別々のカテゴリへの割当て
範囲が規定された番号空間を形成する。図11は、ネーム
空間と、SDA、ADA及びアプリケーションに対するその関
係を示す。
ービスクラス識別子を示すブロック図である。定義済み
COS識別子は、SDA全てにわたって特異的である。それら
は、ICF管理操作を管理しかつ制御するのに要するICF基
盤のサービスクラス用として確保(reserve)される。
定義済みサービスクラスは、常にICF領域権限によって
証明され、その識別子は記述部分と別に伝えられる。
衝サービスクラス識別子を示すブロック図である。折衝
識別子は、ADA 32とSDA 34の間の相互作用の結果であ
る。典型例は、ADAがその領域内で容認したいある一組
の暗号操作に対するサービスクラスの識別子の生成であ
る。サービスクラスの使用を権限に求めるADAは、所望
のCOSのCOS識別子へ戻される。COSは、そのような要求
を受けた時に、必ずしも生成される必要はない。例えば
ADAは、規定された全てのサービスクラスを含んでいる
公開辞書を走査(browse)し、そして適当なものについ
て認証を要求してよい。戻されたCOS識別子は、この要
求で構築されたADA/SDAの関係に特異的である。
内では常に特異的である。しかし1つ以上のSDAがこれ
らの領域にわたって同じものであるCOS識別子と折合う
ことは確かに起こり得ることである。ある意味では、そ
れは定義済みCOS識別子となる。しかし、同じCOS識別子
の選択は、定義済みCOS識別子の場合のように定義によ
るのではなく、協定によって実行される。
の概念によって達成することができる。同じCOSの記述
に対して同じCOS識別子を有することは、ICF構成の要件
ではない。2つの記述、即ちCOSの属性と制約は、同じ
ことがあり、しかも同じ領域内であっても異なった識別
子で表されることがある。
るランダムサービスクラス識別子を示すブロック図であ
る。ランダムCOS識別子は、アプリケーション実行中に
特別に生成される操作についてCOSに動的に要求するア
プリケーション要求(application's need)を受け入れ
るようCOS概念を拡大する。
可能であるが、ランダムCOS識別子は、典型的にはアプ
リケーションによって使用される。ランダムCOS識別子
は、別の領域には何ら意味をなさない。
バシについて新しい意味を付加する。それらは、他の誰
にも必ずしも見える必要のない2つのパーティによって
合意された方法を表すCOSを識別するのに使うことがで
きる。ランダムCOSは、一回の操作、例えば財務上の取
引データを記述するのに使用される。それらは、ADA/SD
Aの相互作用によるのではなくて、アプリケーション/NS
Sの相互作用によって作り出される。ランダムCOSを作り
出すべくそれらによってCOSが与えられた複数のADA又は
アプリケーションは、それらを単一の取引データのため
に、例えばクレジットカードの取引データを認可する商
業サーバ用に作り出すことができる。
む: シナリオ1:会社は、COSと関連させたアプリケーショ
ンコードの幾つかを付してアプリケーションを転送す
る。このコードは、CUにダウンロードされそしてCUの周
辺の範囲内で実行される。COS、そのコードを監視して
いるランダムCOSは、アプリケーションの製造者によっ
て作り出されるもので、アプリケーションの実行の認可
トークンと見ることができる。使用番号又は満了時間の
ような、COS属性は、支払い基盤を構築するのに用いら
れる。
ステムへ送られそしてそれらの又はそれらのオーナのた
めに実行するコード、エージェントの可動ユニットを作
り出す。チャレンジは、受入れクライアントシステムに
対してエージェントが実行すべき分離境界を確定するこ
とである。今までに提案された解法は、クライアントシ
ステムリソースへのアクセスを与えない、砂箱モデル
か、クライアントシステムをあらゆる形のアタックにさ
らす無制限か、訪問エージェントに対するきめの粗い一
組のアクセスルールの何れかを提案した。
ト、その同一性及びエージェントの実行を提起する抑制
を記述するのにより強固なメカニズムをもたらす。COS
シグネチャ構造により、エージェントの同一性が確実に
決定可能であり、その抑制は改ざんされないことを保証
される。CU、クライアントシステム上の改ざん耐性場所
は、確かにCOS属性を解析しかつエージェントの実行を
始動する。
ダムCOSの使用。典型的に認可プロセッサは、その認可
を記述する固定ルールにしたがって、一組の特典属性を
使って、アプリケーション要求属性、コールされた処置
属性を評価する決定システムを実行する。このようなシ
ステムのチャレンジは、常に特典属性を確実に記憶しか
つ認可プロセッサそのものに対して強固なかつ改ざん耐
性評価環境をもたらすことであった。典型的な設計は、
認可を要求するクライアントシステムがそれに対して確
実なチャンネルを確立しかつそれが処置属性をそこへ送
付する集中認可サービスを履行した。次いで、送り返さ
れた解答がアプリケーションによって使用される。
に伝えるための及び認可評価をクライアントシステムの
CU中へ入れるための安全な方法である。最終結果は、必
要な安全性のレベルを維持しながら、意志決定の場所で
の署名履行である。
S識別子は、それらによって操作を標識しかつ特別なベ
ースに基づいて属性をそれらに関連させるような強力な
方法でICF基盤を拡大する。属性の評価と強調は、暗号
化ユニットとICF領域権限によって確定された信頼の土
台に基礎を置いている。
約したものである。
を示すブロック図である。サービスクラスは、セキュリ
ティ領域権限によって規定されかつ生成される。COS 19
0は、識別子191と、COSによって表された操作及びその
操作に関する制約を記述する一組の属性192とからな
る。COSは、それがICF配布基盤を通して受け渡される際
にその認証を証明しかつその完全性を保証するべくセキ
ュリティ領域権限によって署名される。
任を持つ実体は、与えられたCOSに対して追加制約を付
加したいことがある。CIFは、この要求をアドレスする
方法を画定する。変化するCOS属性は実際の属性値を画
定しない。その代わりそれらは、その体系の他の管理要
素によって規定し得る属性の有効範囲を画定する。
を有する。不変部分は、一度COSがSDAによって生成され
かつ署名されると、変更もしくは取消すことができない
COS属性値を画定する。COS属性の可変部分は、有効値の
範囲がその属性に対して画定された属性とデフォルトに
よって指定される属性値とを画定する。属性の数と種類
は、作成時に画定され、その後の時点では変更できな
い。属性はCOSに付加することも除去することもでき
ず、不変属性は可変にすることもその逆とすることもで
きない。
又は一組の値として表すことができる。例えば数値属性
は、下限及び上限の数値で特色付けられる範囲を特定す
ることができる。列挙属性(enumeration attributes)
は、許容値を値のリストとして顕在的に特定することが
できる。
例を参照して記述されているが、その他の応用も本願発
明の精神と範囲から逸脱することなくここで説明された
事柄と置換できることは、熟練した当業者には容易に理
解されよう。したがって本発明は、専ら添付の特許請求
の範囲によってのみ限定されるものである。
の組み合わせからなる例示的な実施態様を示す。
る信頼レベルを拡大することにより1つ以上のアプリケ
ーション及び/又はオペレーションシステム(10)の中で
1つ以上の信頼度をもたらす信頼関係を確立する装置で
あって、前記国際暗号体系が暗号化ユニットから成り、
前記装置が:前記1つ以上のアプリケーション又はオペ
レーションシステムの実行を支える実行環境を与えるホ
ストシステム(16)と;さらに前記1つ以上のアプリケー
ション又はオペレーションシステムの前記暗号化ユニッ
トへのアクセスを実施できる暗号サービスプロバイダ(1
8)とを含むことを特徴とする装置。
(14)から前記1つ以上のアプリケーション及び/又はオ
ペレーションシステム(10)までの信頼要素の何れかの系
列と;さらに個々には強固ではないが、組み合わされる
と検出を免れて迂回するのが困難である幾つかのスキー
ムの組合せを設けることにより、前記1つ以上のアプリ
ケーション及び/又はオペレーションシステム(10)と前
記暗号化ユニット(14)との間の相互作用を監視する複数
の確認チェックとによって確立されることを特徴とする
1項記載の装置。
アプリケーション及び/又はオペレーションシステムと
前記暗号化ユニットとの間の通信に対する各要求と共に
厳密に単調増加する一連のシーケンス番号と、該一連の
シーケンス番号は、前記1つ以上のアプリケーション及
び/又はオペレーションシステム又は前記暗号サービス
プロバイダの何れかが予期せぬ番号を検出すると、通信
上の障害が仮定され;前記1つ以上のアプリケーション
及び/又はオペレーションシステムと前記暗号サービス
プロバイダとの間の通信に対する各要求と共に受け渡さ
れ、前記1つ以上のアプリケーション及び/又はオペレ
ーションシステムと前記暗号サービスプロバイダの両方
による計算を要求し、かつ前記計算がシーケンスの障害
を検出できるよう以前の値に依るチャレンジトークン
と;処理又は事象における異常を検出するために予め画
定したサービス時間限界を決定するタイマと;前記1つ
以上のアプリケーション及び/又はオペレーションシス
テムが、ランダムに選択されたコード画像部分を前記暗
号サービスプロバイダへ受け渡すメカニズムと;前記暗
号サービスプロバイダへの要求が悪意のアプリケーショ
ンによって出されることができないことを保証するた
め、前記暗号化ユニットがランダムに選択されたコード
画像部分を要求するメカニズムと;前記暗号化ユニット
における前記1つ以上のアプリケーションが、アタッカ
ーによる推測をより困難にしかつ前記アタックの検出を
自明にするべく連鎖ハッシュメカニズムを使って、ラン
ダムに選択されたコード画像部分を要求するメカニズム
のいずれかを包含することを特徴とする1項又は2項記
載の装置。
/又はオペレーションシステムが、前記暗号化ユニット
の信頼境界内で実行されることを特徴とする1〜3項の
何れか1項記載の装置。
/又はオペレーションシステムが、1つ以上のアプリケ
ーション及び/又はオペレーションシステムの同一性と
それらに割り当てられたそれらのサービスクラスを含ん
でいて、前記暗号化ユニットによって使われて前記1つ
以上のアプリケーション及び/又はオペレーションシス
テムを識別しかつそれに許容される暗号サービスへのア
クセスレベルを決定する証明書(36)によって証明され;
かつ前記1つ以上のアプリケーション及び/又はオペレ
ーションシステムの同一性が、前記1つ以上のアプリケ
ーション及び/又はオペレーションシステムのハッシュ
和にわたるシグネチャによって任意に認証されることを
特徴とする1〜4項の何れか1項記載の装置。
/又はオペレーションシステムの現在のバージョンをそ
の次のバージョンで置き換えるには、前記次のバージョ
ンのプログラム原点をそれが使われる以前に確認できる
よう前記暗号化ユニットに対する認証メカニズムが要求
されることを特徴とする1〜5項の何れか1項記載の装
置。
ズムが、信頼された実体によって署名されていることを
証明するようにモジュールに対して適用され、該モジュ
ールが、仮想装置の規定環境内で実行されることを包含
することを特徴とする1〜6項の何れか1項記載の装
置。
/又はオペレーティングシステムに対する暗号化ユニッ
ト(14)を起動する固定ポリシー起動トークン(37)を包含
し;前記1つ以上のアプリケーション及び/又はオペレ
ーションシステムが特異的識別子を有し;サービスクラ
スの制約により前記特異的識別子が前記サービスクラス
に結び付けられ;さらにサービスクラスが、サービスク
ラス識別子(35)と、関連した方法の識別子及び前記方法
へのアクセスが認容される以前に評価されなければなら
ない制約を含む記述部分とから成ることを特徴とする1
〜7項の何れか1項記載の装置。
がう一組の特典属性に比較される一組の要求属性を受け
渡しする認証エンジンを含み、前記発信者が、前記結果
が正なら前進することができ、そうでなければ前進でき
ないことを特徴とする1〜8項の何れか1項記載の装
置。
域権限(34)と;1つ以上のアプリケーション領域権限(3
2)と;さらに前記アプリケーション領域権限と前記セキ
ュリティ領域権限の間の相互作用の結果である折衝サー
ビスクラス識別子とを包含することを特徴とする1〜9
項の何れか1項記載の装置。
種々の国内法に従わせる、国際暗号体系(ICF)が提供
される。特にこのような体系は、あらゆる方式の情報処
理装置(例えばプリンタ、パームトップ類)の全世界的
な暗号化機能を出荷することを可能にするものである。
ICFは、アプリケーションにポリシー制御の下で暗号機
能を実行させる一組のサービス要素を含む。ICF構成の
4つのコア要素、即ちホストシステム、暗号化ユニッ
ト、ポリシー起動トークン及びネットワークセキュリテ
ィサーバは、アプリケーションに対して暗号サービスを
提供する基盤を含む。ICF内で種々のサービス要素から
暗号サービスを要求するアプリケーションは、認可され
た暗号レベルの誤使用を防ぐため証明書によって識別さ
れる。ホストシステムは、アプリケーションに実行環境
を与える一組のシステムプログラム及びサービスから成
る。ICF内のホストシステムの役割は2通りある。第一
に、ホストシステムは、暗号化ユニットによって提供さ
れる機能にアクセスできるようにプログラムインタフェ
ースの形でアプリケーションにサービスを与える。第二
にホストシステムは、暗号プログラムインタフェース、
オペレーティングシステムドライバ及びメモリ管理サブ
システムのような、ホストシステム要素との信頼関係を
構築する際に暗号化ユニットに対して支援を与える。
ー起動トークンとも呼ぶ)、暗号化ユニット、ホストシ
ステム及びネットワークセキュリティサーバを含む、国
際的暗号体系のブロック図でる。
ロック図である。
ある。
トの間の信頼関係を示すブロック図である。
新を示すブロック図である。
してベース(Base)Bを変換させるプロセスの複合表示
を示すブロック図である。
を示すブロック図である。
ブロック図である。
図解である。
すブロック図である。
である。
を示すブロック図である。
すブロック図である。
を示すブロック図である。
属性を示すブロック図である。
Claims (1)
- 【請求項1】国際暗号体系の要素によって設定される信
頼レベルを拡大することにより1つ以上のアプリケーシ
ョン及び/又はオペレーションシステム(10)の中で1つ
以上の信頼度をもたらす信頼関係を確立する装置であっ
て、前記国際暗号体系が暗号化ユニットから成り、前記
装置が:前記1つ以上のアプリケーション又はオペレー
ションシステムの実行を支える実行環境を与えるホスト
システム(16)と;さらに前記1つ以上のアプリケーショ
ン又はオペレーションシステムの前記暗号化ユニットへ
のアクセスを実施できる暗号サービスプロバイダ(18)と
を含むことを特徴とする装置。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/041,349 US6178504B1 (en) | 1998-03-12 | 1998-03-12 | Host system elements for an international cryptography framework |
US041349 | 1998-03-12 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPH11355264A true JPH11355264A (ja) | 1999-12-24 |
JP3753885B2 JP3753885B2 (ja) | 2006-03-08 |
Family
ID=21916029
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP06659899A Expired - Fee Related JP3753885B2 (ja) | 1998-03-12 | 1999-03-12 | 国際暗号体系のホストシステム要素 |
Country Status (3)
Country | Link |
---|---|
US (1) | US6178504B1 (ja) |
EP (1) | EP0942349A3 (ja) |
JP (1) | JP3753885B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009159485A (ja) * | 2007-12-27 | 2009-07-16 | Canon Inc | 情報処理システム、方法及びプログラム |
JP2009239725A (ja) * | 2008-03-27 | 2009-10-15 | Ricoh Co Ltd | 暗号機能を搭載可能な装置、サーバ装置及び暗号機能利用制限方法 |
Families Citing this family (74)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6430569B1 (en) | 1998-08-14 | 2002-08-06 | Sun Microsystems, Inc. | Methods and apparatus for type safe, lazy, user-defined class loading |
US20020062451A1 (en) * | 1998-09-01 | 2002-05-23 | Scheidt Edward M. | System and method of providing communication security |
US6158010A (en) * | 1998-10-28 | 2000-12-05 | Crosslogix, Inc. | System and method for maintaining security in a distributed computer network |
US6449720B1 (en) * | 1999-05-17 | 2002-09-10 | Wave Systems Corp. | Public cryptographic control unit and system therefor |
US6763397B1 (en) | 1999-05-27 | 2004-07-13 | Sun Microsystems, Inc. | Fully lazy linking |
US6618855B1 (en) * | 1999-05-27 | 2003-09-09 | Sun Microsystems, Inc. | Caching untrusted modules for module-by-module verification |
US6618769B1 (en) * | 1999-05-27 | 2003-09-09 | Sun Microsystems, Inc. | Module-by-module verification |
US6601114B1 (en) | 1999-05-27 | 2003-07-29 | Sun Microsystems, Inc. | Fully lazy linking with module-by-module verification |
US6766521B1 (en) | 1999-05-27 | 2004-07-20 | Sun Microsystems, Inc. | Dataflow algorithm for symbolic computation of lowest upper bound type |
DE19939281A1 (de) * | 1999-08-19 | 2001-02-22 | Ibm | Verfahren und Vorrichtung zur Zugangskontrolle zu Inhalten von Web-Seiten unter Verwendung eines mobilen Sicherheitsmoduls |
US7158993B1 (en) | 1999-11-12 | 2007-01-02 | Sun Microsystems, Inc. | API representation enabling submerged hierarchy |
US6721888B1 (en) | 1999-11-22 | 2004-04-13 | Sun Microsystems, Inc. | Mechanism for merging multiple policies |
US7051067B1 (en) * | 1999-11-22 | 2006-05-23 | Sun Microsystems, Inc. | Object oriented mechanism for dynamically constructing customized implementations to enforce restrictions |
US7131008B1 (en) | 1999-11-22 | 2006-10-31 | Sun Microsystems, Inc. | Mechanism for dynamically constructing customized implementations to enforce restrictions |
US7103910B1 (en) * | 1999-11-22 | 2006-09-05 | Sun Microsystems, Inc. | Method and apparatus for verifying the legitimacy of an untrusted mechanism |
US6792537B1 (en) | 1999-11-22 | 2004-09-14 | Sun Microsystems, Inc. | Mechanism for determining restrictions to impose on an implementation of a service |
GB2366640B (en) * | 2000-03-30 | 2004-12-29 | Ibm | Distribution of activation information |
US6986132B1 (en) | 2000-04-28 | 2006-01-10 | Sun Microsytems, Inc. | Remote incremental program binary compatibility verification using API definitions |
US6883163B1 (en) * | 2000-04-28 | 2005-04-19 | Sun Microsystems, Inc. | Populating resource-constrained devices with content verified using API definitions |
US6651186B1 (en) * | 2000-04-28 | 2003-11-18 | Sun Microsystems, Inc. | Remote incremental program verification using API definitions |
US6757822B1 (en) | 2000-05-31 | 2004-06-29 | Networks Associates Technology, Inc. | System, method and computer program product for secure communications using a security service provider manager |
US7051200B1 (en) * | 2000-06-27 | 2006-05-23 | Microsoft Corporation | System and method for interfacing a software process to secure repositories |
US6918106B1 (en) | 2000-07-31 | 2005-07-12 | Sun Microsystems, Inc. | Method and apparatus for collocating dynamically loaded program files |
US6981245B1 (en) * | 2000-09-14 | 2005-12-27 | Sun Microsystems, Inc. | Populating binary compatible resource-constrained devices with content verified using API definitions |
US20040015958A1 (en) * | 2001-05-15 | 2004-01-22 | Veil Leonard Scott | Method and system for conditional installation and execution of services in a secure computing environment |
US20020194499A1 (en) * | 2001-06-15 | 2002-12-19 | Audebert Yves Louis Gabriel | Method, system and apparatus for a portable transaction device |
US8209753B2 (en) * | 2001-06-15 | 2012-06-26 | Activcard, Inc. | Universal secure messaging for remote security tokens |
US20040218762A1 (en) | 2003-04-29 | 2004-11-04 | Eric Le Saint | Universal secure messaging for cryptographic modules |
GB0117429D0 (en) * | 2001-07-17 | 2001-09-12 | Trustis Ltd | Trust management |
US6928553B2 (en) * | 2001-09-18 | 2005-08-09 | Aastra Technologies Limited | Providing internet protocol (IP) security |
US20030093536A1 (en) * | 2001-11-09 | 2003-05-15 | 't Hooft Maarten W. | Support interface module |
US7143313B2 (en) * | 2001-11-09 | 2006-11-28 | Sun Microsystems, Inc. | Support interface module bug submitter |
US7266731B2 (en) * | 2001-11-13 | 2007-09-04 | Sun Microsystems, Inc. | Method and apparatus for managing remote software code update |
FR2832583B1 (fr) * | 2001-11-16 | 2004-02-27 | Cit Alcatel | Procede d'acces a une application interne d'un terminal de radiocommunication et terminal mettant en oeuvre ce procede |
FR2840135B1 (fr) * | 2002-05-21 | 2004-08-13 | France Telecom | Procede pour accomplir des fonctions cryptographiques dans une application informatique, et application adaptee a la mise en oeuvre du procede |
US7207067B2 (en) * | 2002-11-12 | 2007-04-17 | Aol Llc | Enforcing data protection legislation in Web data services |
US20040123152A1 (en) * | 2002-12-18 | 2004-06-24 | Eric Le Saint | Uniform framework for security tokens |
US20040205216A1 (en) * | 2003-03-19 | 2004-10-14 | Ballinger Keith W. | Efficient message packaging for transport |
US20040221174A1 (en) * | 2003-04-29 | 2004-11-04 | Eric Le Saint | Uniform modular framework for a host computer system |
US7533264B2 (en) * | 2003-08-20 | 2009-05-12 | Microsoft Corporation | Custom security tokens |
US7907935B2 (en) * | 2003-12-22 | 2011-03-15 | Activcard Ireland, Limited | Intelligent remote device |
US20050138380A1 (en) * | 2003-12-22 | 2005-06-23 | Fedronic Dominique L.J. | Entry control system |
US7987497B1 (en) | 2004-03-05 | 2011-07-26 | Microsoft Corporation | Systems and methods for data encryption using plugins within virtual systems and subsystems |
US7657932B2 (en) * | 2004-07-14 | 2010-02-02 | Microsoft Corporation | Extendible security token management architecture and secure message handling methods |
US8166294B1 (en) * | 2004-09-17 | 2012-04-24 | Oracle America, Inc. | Cryptographic framework |
US8296354B2 (en) * | 2004-12-03 | 2012-10-23 | Microsoft Corporation | Flexibly transferring typed application data |
JP2007004461A (ja) * | 2005-06-23 | 2007-01-11 | Nec Corp | サービス提供システム、アウトソーシング業者装置、サービス提供方法およびプログラム |
US7814211B2 (en) * | 2006-01-31 | 2010-10-12 | Microsoft Corporation | Varying of message encoding |
US20070220585A1 (en) * | 2006-03-01 | 2007-09-20 | Farrugia Augustin J | Digital rights management system with diversified content protection process |
US9477947B2 (en) | 2009-08-24 | 2016-10-25 | International Business Machines Corporation | Retrospective changing of previously sent messages |
US8782434B1 (en) | 2010-07-15 | 2014-07-15 | The Research Foundation For The State University Of New York | System and method for validating program execution at run-time |
MY151311A (en) * | 2010-10-14 | 2014-05-15 | Mimos Berhad | Method of performing secure documents with a security token on a trusted compartment |
US8931056B2 (en) * | 2011-03-31 | 2015-01-06 | Microsoft Corporation | Establishing privileges through claims of valuable assets |
US9122873B2 (en) | 2012-09-14 | 2015-09-01 | The Research Foundation For The State University Of New York | Continuous run-time validation of program execution: a practical approach |
US9069782B2 (en) | 2012-10-01 | 2015-06-30 | The Research Foundation For The State University Of New York | System and method for security and privacy aware virtual machine checkpointing |
US10282676B2 (en) | 2014-10-06 | 2019-05-07 | Fisher-Rosemount Systems, Inc. | Automatic signal processing-based learning in a process plant |
US10866952B2 (en) | 2013-03-04 | 2020-12-15 | Fisher-Rosemount Systems, Inc. | Source-independent queries in distributed industrial system |
US10909137B2 (en) | 2014-10-06 | 2021-02-02 | Fisher-Rosemount Systems, Inc. | Streaming data for analytics in process control systems |
US10649424B2 (en) | 2013-03-04 | 2020-05-12 | Fisher-Rosemount Systems, Inc. | Distributed industrial performance monitoring and analytics |
US9665088B2 (en) | 2014-01-31 | 2017-05-30 | Fisher-Rosemount Systems, Inc. | Managing big data in process control systems |
US10649449B2 (en) | 2013-03-04 | 2020-05-12 | Fisher-Rosemount Systems, Inc. | Distributed industrial performance monitoring and analytics |
US9558220B2 (en) | 2013-03-04 | 2017-01-31 | Fisher-Rosemount Systems, Inc. | Big data in process control systems |
US10386827B2 (en) | 2013-03-04 | 2019-08-20 | Fisher-Rosemount Systems, Inc. | Distributed industrial performance monitoring and analytics platform |
US10678225B2 (en) | 2013-03-04 | 2020-06-09 | Fisher-Rosemount Systems, Inc. | Data analytic services for distributed industrial performance monitoring |
US9397836B2 (en) | 2014-08-11 | 2016-07-19 | Fisher-Rosemount Systems, Inc. | Securing devices to process control systems |
US10223327B2 (en) | 2013-03-14 | 2019-03-05 | Fisher-Rosemount Systems, Inc. | Collecting and delivering data to a big data machine in a process control system |
US9804588B2 (en) | 2014-03-14 | 2017-10-31 | Fisher-Rosemount Systems, Inc. | Determining associations and alignments of process elements and measurements in a process |
US9823626B2 (en) | 2014-10-06 | 2017-11-21 | Fisher-Rosemount Systems, Inc. | Regional big data in process control systems |
DE112014001381T5 (de) | 2013-03-15 | 2016-03-03 | Fisher-Rosemount Systems, Inc. Emerson Process Management | Datenmodellierungsstudio |
US10133243B2 (en) | 2013-03-15 | 2018-11-20 | Fisher-Rosemount Systems, Inc. | Method and apparatus for seamless state transfer between user interface devices in a mobile control room |
US9842210B2 (en) * | 2014-01-16 | 2017-12-12 | Raytheon Company | Universal extensible firmware interface module identification and analysis |
US10168691B2 (en) | 2014-10-06 | 2019-01-01 | Fisher-Rosemount Systems, Inc. | Data pipeline for process control system analytics |
EP3048553B1 (en) * | 2015-01-22 | 2019-06-26 | Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. | Method for distributing applets, and entities for distributing applets |
US10503483B2 (en) | 2016-02-12 | 2019-12-10 | Fisher-Rosemount Systems, Inc. | Rule builder in a process control network |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5189700A (en) * | 1989-07-05 | 1993-02-23 | Blandford Robert R | Devices to (1) supply authenticated time and (2) time stamp and authenticate digital documents |
US5276735A (en) * | 1992-04-17 | 1994-01-04 | Secure Computing Corporation | Data enclave and trusted path system |
US5841869A (en) * | 1996-08-23 | 1998-11-24 | Cheyenne Property Trust | Method and apparatus for trusted processing |
US6148083A (en) * | 1996-08-23 | 2000-11-14 | Hewlett-Packard Company | Application certification for an international cryptography framework |
US5841870A (en) * | 1996-11-12 | 1998-11-24 | Cheyenne Property Trust | Dynamic classes of service for an international cryptography framework |
US5949975A (en) * | 1997-03-12 | 1999-09-07 | Microsoft Corp. | Method and system for negotiating capabilities when sharing an application program with multiple computer systems |
-
1998
- 1998-03-12 US US09/041,349 patent/US6178504B1/en not_active Expired - Fee Related
-
1999
- 1999-03-11 EP EP99301840A patent/EP0942349A3/en not_active Withdrawn
- 1999-03-12 JP JP06659899A patent/JP3753885B2/ja not_active Expired - Fee Related
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009159485A (ja) * | 2007-12-27 | 2009-07-16 | Canon Inc | 情報処理システム、方法及びプログラム |
JP2009239725A (ja) * | 2008-03-27 | 2009-10-15 | Ricoh Co Ltd | 暗号機能を搭載可能な装置、サーバ装置及び暗号機能利用制限方法 |
Also Published As
Publication number | Publication date |
---|---|
EP0942349A3 (en) | 2000-09-13 |
JP3753885B2 (ja) | 2006-03-08 |
EP0942349A2 (en) | 1999-09-15 |
US6178504B1 (en) | 2001-01-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3753885B2 (ja) | 国際暗号体系のホストシステム要素 | |
CN111090876B (zh) | 调用合约的方法及装置 | |
JP7236992B2 (ja) | ブロックチェーンにより実現される方法及びシステム | |
US7356692B2 (en) | Method and system for enforcing access to a computing resource using a licensing attribute certificate | |
US6148083A (en) | Application certification for an international cryptography framework | |
EP0843249B1 (en) | Dynamic classes of service for an international cryptography framework | |
US7725614B2 (en) | Portable mass storage device with virtual machine activation | |
EP2630606B1 (en) | Application usage policy enforcement | |
EP0825511A2 (en) | Method and apparatus for trusted processing | |
US11431503B2 (en) | Self-sovereign data access via bot-chain | |
US10554663B2 (en) | Self-destructing smart data container | |
JP2004537095A (ja) | 情報セキュリティシステム | |
US7610488B2 (en) | Data processing device and method and program of same | |
US20080126705A1 (en) | Methods Used In A Portable Mass Storage Device With Virtual Machine Activation | |
CN111814172A (zh) | 一种数据授权信息的获取方法、装置及设备 | |
Kwame et al. | V-chain: A blockchain-based car lease platform | |
CN111783051A (zh) | 身份认证方法及装置和电子设备 | |
WO2008021682A2 (en) | Portable mass storage with virtual machine activation | |
CN115705571A (zh) | 保护可审计的帐户的隐私 | |
Esparza et al. | An infrastructure for detecting and punishing malicious hosts using mobile agent watermarking | |
CN116629855A (zh) | 数据访问方法、应用信息配置方法及相关装置、设备 | |
CN115906029A (zh) | 鉴权方法、装置、电子设备、存储介质及产品 | |
Iyappan et al. | An enhanced smart multi-banking integrated system—Service oriented approach | |
CN115225651A (zh) | 应用于区块链金融和在线支付的信息安全防护方法及装置 | |
Lyle et al. | Creating Web Services With Attestable Formal Descriptions Extended Abstract |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040601 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20040831 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20040907 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050308 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20050608 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20050616 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050902 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20051213 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051214 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |