JP2003519417A - 信頼されるサードパーティクロックおよび信頼されるローカルクロックを提供するためのシステムおよび方法 - Google Patents
信頼されるサードパーティクロックおよび信頼されるローカルクロックを提供するためのシステムおよび方法Info
- Publication number
- JP2003519417A JP2003519417A JP2001505251A JP2001505251A JP2003519417A JP 2003519417 A JP2003519417 A JP 2003519417A JP 2001505251 A JP2001505251 A JP 2001505251A JP 2001505251 A JP2001505251 A JP 2001505251A JP 2003519417 A JP2003519417 A JP 2003519417A
- Authority
- JP
- Japan
- Prior art keywords
- clock
- local
- time
- local clock
- trusted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/06—Buying, selling or leasing transactions
Landscapes
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer And Data Communications (AREA)
- Synchronisation In Digital Transmission Systems (AREA)
- Electric Clocks (AREA)
Abstract
(57)【要約】
本発明は、コンピュータ環境において信頼されるローカルクロックを提供するシステムおよび方法に関する。ローカルクロックは、認証されたマスタクロックと通信している。ローカルクロック時刻の精度はマスタクロックによって認証される。ローカルクロックが所定の許容可能な誤差を超えた場合、マスタクロックはローカルクロックを更新する。マスタクロックとローカルクロックとの間の通信はセキュリティが確保された同期通信である。ローカルクロックが正確である場合、マスタクロックは、ローカルクロックがローカルクロックのタイムスタンプの精度を確認するために発することができる認証トークンを提供する。
Description
【0001】
(発明の分野)
本発明は電子タイムスタンプ認証に関係し、より詳細には、信頼されるサード
パーティのクロック、信頼されるローカルクロック、およびセキュリティ保護さ
れた同期プロトコルを使用することによって遠隔時刻認証を提供するためのシス
テムおよび方法に関する。
パーティのクロック、信頼されるローカルクロック、およびセキュリティ保護さ
れた同期プロトコルを使用することによって遠隔時刻認証を提供するためのシス
テムおよび方法に関する。
【0002】
(発明の背景)
電子商取引は急速に拡大しつつある業界の一形態であり、電子商取引の取引業
務を使用することを必要とするものである。しかし、このような取引業務は従来
のペーパーコマースを規制する規制手段(policy)および統制(cont
rol)を超えて成長した。例えば書類はタイプされ、インクで署名され、郵便
局を通して郵送されることがある。このとき郵便局は宛先のタイムスタンプとレ
シートを付することがある。このような種類の取引業務を認証する長年にわたる
法的および会計上の規制手段があった。しかし、電子文書が2つのコンピュータ
間で送信されるときでも同程度の有形(tangible)の証明はなくならな
い。電子文書がコンピュータのメモリに記憶されている場合でも、その内容、署
名、およびタイムスタンプは、そのコンピュータにアクセス権を有する人物なら
だれでも操作可能である。
務を使用することを必要とするものである。しかし、このような取引業務は従来
のペーパーコマースを規制する規制手段(policy)および統制(cont
rol)を超えて成長した。例えば書類はタイプされ、インクで署名され、郵便
局を通して郵送されることがある。このとき郵便局は宛先のタイムスタンプとレ
シートを付することがある。このような種類の取引業務を認証する長年にわたる
法的および会計上の規制手段があった。しかし、電子文書が2つのコンピュータ
間で送信されるときでも同程度の有形(tangible)の証明はなくならな
い。電子文書がコンピュータのメモリに記憶されている場合でも、その内容、署
名、およびタイムスタンプは、そのコンピュータにアクセス権を有する人物なら
だれでも操作可能である。
【0003】
会計および法的取締機関は、紙による取引業務に使用可能な信頼できる認証と
同様の信頼できる認証を電子取引業務にも提供するための電子商取引認証(ce
rtification)プロセスを、目下のところ開発し、その認定(man
dating)を進めているところである。多くの認証方法は、文書が誰のもの
であり、何の文書であり、いつの文書であるかを認証するデジタル署名を作成す
ることに依存するものである。
同様の信頼できる認証を電子取引業務にも提供するための電子商取引認証(ce
rtification)プロセスを、目下のところ開発し、その認定(man
dating)を進めているところである。多くの認証方法は、文書が誰のもの
であり、何の文書であり、いつの文書であるかを認証するデジタル署名を作成す
ることに依存するものである。
【0004】
「いつ」は、1つのイベントが発生した「時刻」の1つの測定値であり、容易
に認めうる概念である。時刻標準化の世界的なシステムが有効である。メートル
法条約調印国各国は、国立時刻研究所NTLを持っており、そこにその国の標準
時クロックが収容してある。これらのクロックはフランス、パリで維持されてい
る世界標準時に同期されつづけている。商用の世界標準時は「調整済みユニバー
サル時刻」UTCである。米国議会は、コロラド州ボルダーにある国立標準科学
技術研究所(NIST)UTC−NISTによって維持されているクロックに準
拠するように公用米国「時」を規定している。技術的調査、会計調査、または法
的調査を切り抜けなければならない取り引き用タイムスタンプは、UTC−NI
STに同期しているクロックによって作成されなければならず、また、同期プロ
セスは「追跡可能(traceable)」である必要がある。
に認めうる概念である。時刻標準化の世界的なシステムが有効である。メートル
法条約調印国各国は、国立時刻研究所NTLを持っており、そこにその国の標準
時クロックが収容してある。これらのクロックはフランス、パリで維持されてい
る世界標準時に同期されつづけている。商用の世界標準時は「調整済みユニバー
サル時刻」UTCである。米国議会は、コロラド州ボルダーにある国立標準科学
技術研究所(NIST)UTC−NISTによって維持されているクロックに準
拠するように公用米国「時」を規定している。技術的調査、会計調査、または法
的調査を切り抜けなければならない取り引き用タイムスタンプは、UTC−NI
STに同期しているクロックによって作成されなければならず、また、同期プロ
セスは「追跡可能(traceable)」である必要がある。
【0005】
この文書全体でUTC−NISTが参照されるが、説明する本発明は、どの国
における操作にも適用可能であり、どの国の国立時刻研究所が維持する標準時ク
ロックにも適用することができる。
における操作にも適用可能であり、どの国の国立時刻研究所が維持する標準時ク
ロックにも適用することができる。
【0006】
ペーパーコマースでは、通常の紙による取引業務に「いつ」を提供するには「
追跡可能」クロックを使用することで十分であった。紙文書上の日付の改ざんが
無数になされてきたが、商取引に対するリスクは比較的小さいものであった。し
かし電子商取引の場合、日付の改ざんはコンピュータによってなされるプロセス
を侵し、大規模な詐欺を達成する可能性があるので、より大きなリスクの原因と
なる。このようなコンピュータ犯罪は電子タイムスタンプの偽造を頻繁に必要と
し、まさにこの理由から、それらのタイムスタンプを生成する電子クロックを改
ざんから保護することは電子商取引における優先順位が高い。
追跡可能」クロックを使用することで十分であった。紙文書上の日付の改ざんが
無数になされてきたが、商取引に対するリスクは比較的小さいものであった。し
かし電子商取引の場合、日付の改ざんはコンピュータによってなされるプロセス
を侵し、大規模な詐欺を達成する可能性があるので、より大きなリスクの原因と
なる。このようなコンピュータ犯罪は電子タイムスタンプの偽造を頻繁に必要と
し、まさにこの理由から、それらのタイムスタンプを生成する電子クロックを改
ざんから保護することは電子商取引における優先順位が高い。
【0007】
現在のネットワーク手順は、ネットワーク内のすべてのワークステーションの
同期を提供するものである。NISTおよび他のエージェンシーは、UTC−N
ISTにとって追跡可能なクロックを有するネットワークタイムサーバを提供す
る。クライアントワークステーションは、それ自体の時刻を共通プロトコルによ
ってネットワークタイムサーバと同期させることができる。ネットワークタイム
プロトコル(NTP)は、インターネットなどのTCP/IPネットワーク内で
共通して使用されるが、他のプロトコルも同様に使用することができる。残念な
がら、ローカルワークステーションのクロックは、ネットワークタイムサーバに
一旦同期されると、その時刻は、その元のネットワークタイムサーバの信頼性に
関わらずに操作される可能性がある。
同期を提供するものである。NISTおよび他のエージェンシーは、UTC−N
ISTにとって追跡可能なクロックを有するネットワークタイムサーバを提供す
る。クライアントワークステーションは、それ自体の時刻を共通プロトコルによ
ってネットワークタイムサーバと同期させることができる。ネットワークタイム
プロトコル(NTP)は、インターネットなどのTCP/IPネットワーク内で
共通して使用されるが、他のプロトコルも同様に使用することができる。残念な
がら、ローカルワークステーションのクロックは、ネットワークタイムサーバに
一旦同期されると、その時刻は、その元のネットワークタイムサーバの信頼性に
関わらずに操作される可能性がある。
【0008】
他のシステムとしては、ローカルネットワーク外に位置する信頼されるサード
パーティのシステムが維持する認証された時刻の使用を採用するものがある。そ
の信頼されるサードパーティシステムは、共通プロトコルによって依然としてU
TC−NISTと同期している。ローカルネットワークアプリケーションサーバ
は、このときサードパーティのシステムとの通信を確立し、それによってそのデ
ータオブジェクト(文書または取引き記録)またはデータオブジェクトの暗号化
ハッシュがサードパーティシステムに送信され、そこでクリアなテキスト形式ま
たは暗号化されて埋め込まれる形式でそのデータオブジェクトに「タイムスタン
プ」が付けられる。しかし、タイムスタンプを付ける度ごとの外部通信の必要性
と、ローカルネットワークが必要とするタイムスタンプ数とを考慮すると、この
ようなシステムは非現実的である場合がある。
パーティのシステムが維持する認証された時刻の使用を採用するものがある。そ
の信頼されるサードパーティシステムは、共通プロトコルによって依然としてU
TC−NISTと同期している。ローカルネットワークアプリケーションサーバ
は、このときサードパーティのシステムとの通信を確立し、それによってそのデ
ータオブジェクト(文書または取引き記録)またはデータオブジェクトの暗号化
ハッシュがサードパーティシステムに送信され、そこでクリアなテキスト形式ま
たは暗号化されて埋め込まれる形式でそのデータオブジェクトに「タイムスタン
プ」が付けられる。しかし、タイムスタンプを付ける度ごとの外部通信の必要性
と、ローカルネットワークが必要とするタイムスタンプ数とを考慮すると、この
ようなシステムは非現実的である場合がある。
【0009】
別のシステムとして、ローカルクロックをローカルネットワークに導入し、し
たがって、外部ソースからタイムスタンプを獲得することに伴う問題を回避する
。ローカルクロックは周期的にUTC−NIST追跡可能クロックと同期させる
必要がある。頻繁な認証およびローカルクロックとUTC−NIST追跡可能ク
ロックとの間における較正を回避するために、ローカルクロックはセシウム原子
クロックであってよい。セシウム原子クロックは市販であり、その周波数すなわ
ちその時刻は、原子的な現象すなわちある種のセシウム原子の電子の軌道のエネ
ルギーの違いに由来するものである。したがって、セシウム原子クロックが機能
している限り、大部分の実用的なアプリケーションを満足させるには十分正確で
ある。このようなクロックは、通常の動作では30,000年に1秒遅れるだけ
である。この理由から、セシウム原子クロックは「一次参照ソース」と呼ばれる
。残念ながら、ローカルに使用されるとき、そのクロック内の時刻値はシステム
の誤動作または意図的な操作によって不正確な値に変更される可能性があり、こ
れはユーザに明らかではない。
たがって、外部ソースからタイムスタンプを獲得することに伴う問題を回避する
。ローカルクロックは周期的にUTC−NIST追跡可能クロックと同期させる
必要がある。頻繁な認証およびローカルクロックとUTC−NIST追跡可能ク
ロックとの間における較正を回避するために、ローカルクロックはセシウム原子
クロックであってよい。セシウム原子クロックは市販であり、その周波数すなわ
ちその時刻は、原子的な現象すなわちある種のセシウム原子の電子の軌道のエネ
ルギーの違いに由来するものである。したがって、セシウム原子クロックが機能
している限り、大部分の実用的なアプリケーションを満足させるには十分正確で
ある。このようなクロックは、通常の動作では30,000年に1秒遅れるだけ
である。この理由から、セシウム原子クロックは「一次参照ソース」と呼ばれる
。残念ながら、ローカルに使用されるとき、そのクロック内の時刻値はシステム
の誤動作または意図的な操作によって不正確な値に変更される可能性があり、こ
れはユーザに明らかではない。
【0010】
(発明の概要)
本発明は、信頼されるサードパーティクロック(T3PC)によって、セキュ
リティ保護された通信方法プロトコル(SRC3)プロトコルを使用して遠隔に
検査、制御および認証される信頼されるローカルクロック(TLC)を作成する
ためのシステムおよび方法を対象とするものである。このようなTLCによって
生成されるタイムスタンプは、TLCクロックがその地域の機関の職員によって
変更することができないという点で信頼することができる。TLCは、その精度
と安定した動作を遠隔で検査することができ、特定の精度範囲内に移すために必
要に応じて制御することができ、UTC−NISTに対してある種の特定許容範
囲内にあることを信頼されるサードパーティによって認証することができる。本
発明のシステムおよび方法は、以前に議論したような従来システムの難点を克服
し、ローカルワークステーションおよびアプリケーションサーバがローカルに生
成された信頼されるタイムスタンプを、「一次参照ソース」を維持するためのコ
ストも困難もなしに提供することを可能にする。具体的には、本発明は、信頼さ
れるサードパーティクロックシステム、信頼されるローカルクロックシステム、
およびセキュリティ保護された同期プロトコルを使用することによってセキュリ
ティ保護されたタイムスタンプを提供する。本発明はセキュリティ保護されたタ
イムスタンプを適当なコストで提供することができ、したがって本発明は電子商
取引の価値ある資産となる。
リティ保護された通信方法プロトコル(SRC3)プロトコルを使用して遠隔に
検査、制御および認証される信頼されるローカルクロック(TLC)を作成する
ためのシステムおよび方法を対象とするものである。このようなTLCによって
生成されるタイムスタンプは、TLCクロックがその地域の機関の職員によって
変更することができないという点で信頼することができる。TLCは、その精度
と安定した動作を遠隔で検査することができ、特定の精度範囲内に移すために必
要に応じて制御することができ、UTC−NISTに対してある種の特定許容範
囲内にあることを信頼されるサードパーティによって認証することができる。本
発明のシステムおよび方法は、以前に議論したような従来システムの難点を克服
し、ローカルワークステーションおよびアプリケーションサーバがローカルに生
成された信頼されるタイムスタンプを、「一次参照ソース」を維持するためのコ
ストも困難もなしに提供することを可能にする。具体的には、本発明は、信頼さ
れるサードパーティクロックシステム、信頼されるローカルクロックシステム、
およびセキュリティ保護された同期プロトコルを使用することによってセキュリ
ティ保護されたタイムスタンプを提供する。本発明はセキュリティ保護されたタ
イムスタンプを適当なコストで提供することができ、したがって本発明は電子商
取引の価値ある資産となる。
【0011】
本発明の一態様によれば、信頼されるサードパーティのクロックであるT3P
Cシステムは、NISTまたは、UTC−NISTに対して特定の時刻精度の許
容範囲内であることを認められた他の国立の時刻管理機関によって測定され、認
証されているクロックを含む。T3PCシステムは、セキュリティ保護されたデ
ータを送受信し、その結果、T3PCシステム自体とTLCとの間でSRC3プ
ロトコルを操作することができる。
Cシステムは、NISTまたは、UTC−NISTに対して特定の時刻精度の許
容範囲内であることを認められた他の国立の時刻管理機関によって測定され、認
証されているクロックを含む。T3PCシステムは、セキュリティ保護されたデ
ータを送受信し、その結果、T3PCシステム自体とTLCとの間でSRC3プ
ロトコルを操作することができる。
【0012】
本発明の別の態様によれば、TLCは、T3PCによってSRC3プロトコル
を使用して、遠隔で検査、制御、および認証することができる内部クロックを含
んでいる。TLCシステムは、TLCシステム自体と1つまたは複数のT3PC
との間でSRC3プロトコルを操作することができるように、セキュリティ保護
されたデータを送受信する機能を提供する。TLCの内部クロックは、T3PC
によって制御され、ローカルな改ざんを防止するように構成されていることが好
ましい。一実施形態では、T3PC(またはマスタクロック)は、TLCの内部
クロックを直接的に制御する。TLCは、また、固有の内部クロックを、T3P
Cによって周期的に提供される情報に基づいて更新するようにも構成されている
。
を使用して、遠隔で検査、制御、および認証することができる内部クロックを含
んでいる。TLCシステムは、TLCシステム自体と1つまたは複数のT3PC
との間でSRC3プロトコルを操作することができるように、セキュリティ保護
されたデータを送受信する機能を提供する。TLCの内部クロックは、T3PC
によって制御され、ローカルな改ざんを防止するように構成されていることが好
ましい。一実施形態では、T3PC(またはマスタクロック)は、TLCの内部
クロックを直接的に制御する。TLCは、また、固有の内部クロックを、T3P
Cによって周期的に提供される情報に基づいて更新するようにも構成されている
。
【0013】
本発明の別の態様によれば、T3PCおよびTLCはセキュリティ保護された
同期プロトコルを使用して通信することができる。その通信は、セキュリティ保
護された遠隔チェック、制御、認証(SRC3)プロトコルを用いることが好ま
しい。このプロトコルは、侵入を受けずにインターネットなどの公開されたネッ
トワークを介して動作するために、対称キーおよび公開キー暗号化技術を使用す
る。
同期プロトコルを使用して通信することができる。その通信は、セキュリティ保
護された遠隔チェック、制御、認証(SRC3)プロトコルを用いることが好ま
しい。このプロトコルは、侵入を受けずにインターネットなどの公開されたネッ
トワークを介して動作するために、対称キーおよび公開キー暗号化技術を使用す
る。
【0014】
セキュリティ保護された遠隔チェック、制御、および認証プロトコルには5つ
の主要な構成要素がある。第1に、対称および公開キーによる暗号技術を使用し
て、SRC3プロトコルは、T3PCとTLCの間にセキュリティ保護された通
信チャネルを確立する。通信は、SRC3プロトコルの適用可能性を制限せずに
、ダイヤルアップ電話回線、TCP/IPなどのデータネットワーク、無線チャ
ネル、または他のタイプの通信媒体を介して行うことができる。第2に、T3P
CとTLCはセキュリティ保護されたメッセージデータを交換する。第3に、プ
ロトコルによって、T3PCは、TLCの内部クロックの遠隔からの検査を実行
することができる。最初にT3PCは、T3PC固有の内部クロック(測定され
、UTC−NISTに対して特定許容範囲内にあることが認証済み)に対するT
LCのオフセットを検査するが、次にTLCの現在の動作状況もT3PCに伝え
られる。第4に、TLC内部クロックの測定されたオフセットまたは誤差とTL
Cの動作状況とに基づいて、T3CPはTLCを遠隔に制御して、そのオフセッ
トを所定の許容範囲に維持し、必要に応じてTLC上で動作制御機能を実行する
ことができる。第5に、測定されたTLCオフセットに基づいて、T3PCはT
LCの精度を認証することができる。この認証は、時刻認証データオブジェクト
TcertをTLCに渡す形式で実行することができる。時刻認証データオブジ
ェクトの真正性(authenticity)は、公開キー署名を使用すること
によって確認することができる。
の主要な構成要素がある。第1に、対称および公開キーによる暗号技術を使用し
て、SRC3プロトコルは、T3PCとTLCの間にセキュリティ保護された通
信チャネルを確立する。通信は、SRC3プロトコルの適用可能性を制限せずに
、ダイヤルアップ電話回線、TCP/IPなどのデータネットワーク、無線チャ
ネル、または他のタイプの通信媒体を介して行うことができる。第2に、T3P
CとTLCはセキュリティ保護されたメッセージデータを交換する。第3に、プ
ロトコルによって、T3PCは、TLCの内部クロックの遠隔からの検査を実行
することができる。最初にT3PCは、T3PC固有の内部クロック(測定され
、UTC−NISTに対して特定許容範囲内にあることが認証済み)に対するT
LCのオフセットを検査するが、次にTLCの現在の動作状況もT3PCに伝え
られる。第4に、TLC内部クロックの測定されたオフセットまたは誤差とTL
Cの動作状況とに基づいて、T3CPはTLCを遠隔に制御して、そのオフセッ
トを所定の許容範囲に維持し、必要に応じてTLC上で動作制御機能を実行する
ことができる。第5に、測定されたTLCオフセットに基づいて、T3PCはT
LCの精度を認証することができる。この認証は、時刻認証データオブジェクト
TcertをTLCに渡す形式で実行することができる。時刻認証データオブジ
ェクトの真正性(authenticity)は、公開キー署名を使用すること
によって確認することができる。
【0015】
次に、本発明の以上の特徴と利点およびその他の特徴と利点をいくつかの好ま
しい実施形態の図面に関連して説明する。これらの実施形態は、本発明を例示す
ることを目的としており、それを制限するものではない。
しい実施形態の図面に関連して説明する。これらの実施形態は、本発明を例示す
ることを目的としており、それを制限するものではない。
【0016】
(好ましい実施形態の詳細な説明)
本発明は、信頼される時間のソースを提供する、通常、ユーザの設備内にある
アプリケーションサーバ内にインストールされたクロックを維持するためのシス
テムおよび方法を提供する。好ましい実施形態では、信頼されるローカルクロッ
ク(TLC)が、国内時刻標準に帰すことのできるタイムスタンプを生成する。
好ましいシステムの高レベルブロック図を図1に示す。ローカルネットワーク1
10は、ユーザワークステーション120、ローカルネットワークアプリケーシ
ョンサーバ130、およびこのネットワークアプリケーションサーバ内にインス
トールされたモジュールであるTLC140を含む。別の実施形態では、TLC
は、アプリケーションネットワークサーバの内部にあるのではなく、ローカルネ
ットワークを介して通信する別個のユニットであることが可能である。信頼され
るサードパーティクロック(T3CP)150は、TLC140を制御し、セキ
ュアな同期プロトコル160を介してTLC140と通信する。
アプリケーションサーバ内にインストールされたクロックを維持するためのシス
テムおよび方法を提供する。好ましい実施形態では、信頼されるローカルクロッ
ク(TLC)が、国内時刻標準に帰すことのできるタイムスタンプを生成する。
好ましいシステムの高レベルブロック図を図1に示す。ローカルネットワーク1
10は、ユーザワークステーション120、ローカルネットワークアプリケーシ
ョンサーバ130、およびこのネットワークアプリケーションサーバ内にインス
トールされたモジュールであるTLC140を含む。別の実施形態では、TLC
は、アプリケーションネットワークサーバの内部にあるのではなく、ローカルネ
ットワークを介して通信する別個のユニットであることが可能である。信頼され
るサードパーティクロック(T3CP)150は、TLC140を制御し、セキ
ュアな同期プロトコル160を介してTLC140と通信する。
【0017】
A.信頼されるローカルクロック
図2に示すとおり、信頼されるローカルクロック(TLC)は、ホストネット
ワークアプリケーションサーバによって要求されたタイムスタンプを生成するシ
ステムである。好ましい実施形態では、TLCは、ローカルクロック210と、
タイムスタンプ暗号化エンジン220と、キー管理システム230と、セキュア
な遠隔検査、制御、および認証の暗号化エンジン240と、プロセッサ250と
、バス通信ポート260と、SRC3通信ポート270と、オプションのローカ
ル周波数&時間基準280とを含む。
ワークアプリケーションサーバによって要求されたタイムスタンプを生成するシ
ステムである。好ましい実施形態では、TLCは、ローカルクロック210と、
タイムスタンプ暗号化エンジン220と、キー管理システム230と、セキュア
な遠隔検査、制御、および認証の暗号化エンジン240と、プロセッサ250と
、バス通信ポート260と、SRC3通信ポート270と、オプションのローカ
ル周波数&時間基準280とを含む。
【0018】
ローカルクロック210は、電圧制御された水晶発振器などの周波数ソース2
11を含む。他の実施形態では、外部の水晶発振器、ルビジウム発振器、または
セシウム発振器を使用することが可能である。周波数ソース211に結合してい
るのが、周波数ソース211のサイクルをカウントするカウンタ212である。
周波数ソース211の周波数およびカウンタ212のデータ形式は、カウンタ出
力がタイムスタンプTnであるようになっている。カウンタ212に接続されて
いるのが、カウンタ212内に正しい現在時刻を設定するための監督モードまた
はセットアップモードの動作で、またはSRC3プロトコルによって現在時刻を
読み取るために使用することができる入力/出力の設定/読取りファンクション
213である。カウンタ212は、出力タイムスタンプ回路214内に現在のタ
イムスタンプTn’をラッチするため、タイムスタンプ要求によって時点nに起
動されることが可能である。また、周波数ソース211は、周波数ソース211
の周波数を測定し調整するために使用される入力/出力ステアファンクション2
15および制御および測定回路216にも結合している。出力/出力ステアファ
ンクション215は、通常、周波数を変更するためにカウンタに関する除数を変
更することにより、周波数ソース211の周波数を微調整する。別法では、電圧
制御された水晶発振器に対する制御電圧を使用して周波数を変える、あるいは外
部のルビジウム発振器またはセシウム発振器を使用する場合には「C」フィール
ド発振器コントロールを変更することができる。
11を含む。他の実施形態では、外部の水晶発振器、ルビジウム発振器、または
セシウム発振器を使用することが可能である。周波数ソース211に結合してい
るのが、周波数ソース211のサイクルをカウントするカウンタ212である。
周波数ソース211の周波数およびカウンタ212のデータ形式は、カウンタ出
力がタイムスタンプTnであるようになっている。カウンタ212に接続されて
いるのが、カウンタ212内に正しい現在時刻を設定するための監督モードまた
はセットアップモードの動作で、またはSRC3プロトコルによって現在時刻を
読み取るために使用することができる入力/出力の設定/読取りファンクション
213である。カウンタ212は、出力タイムスタンプ回路214内に現在のタ
イムスタンプTn’をラッチするため、タイムスタンプ要求によって時点nに起
動されることが可能である。また、周波数ソース211は、周波数ソース211
の周波数を測定し調整するために使用される入力/出力ステアファンクション2
15および制御および測定回路216にも結合している。出力/出力ステアファ
ンクション215は、通常、周波数を変更するためにカウンタに関する除数を変
更することにより、周波数ソース211の周波数を微調整する。別法では、電圧
制御された水晶発振器に対する制御電圧を使用して周波数を変える、あるいは外
部のルビジウム発振器またはセシウム発振器を使用する場合には「C」フィール
ド発振器コントロールを変更することができる。
【0019】
周波数ソース211および制御および測定回路216とは、周波数積分および
後続のカウンタ積分が、数回の認証間隔の期間にわたり、指定した精度許容度を
超えてクロック時刻を変更することを最大ステア変更が許容しないように制約さ
れている。これは、単一の誤ったステアコマンドが、タイムスタンプTnを無効
にできないことを意味する。また、制御および測定回路216は、カウンタ21
2を読み取り、SRC3プロトコルを介して現在時刻を渡すこともできる。
後続のカウンタ積分が、数回の認証間隔の期間にわたり、指定した精度許容度を
超えてクロック時刻を変更することを最大ステア変更が許容しないように制約さ
れている。これは、単一の誤ったステアコマンドが、タイムスタンプTnを無効
にできないことを意味する。また、制御および測定回路216は、カウンタ21
2を読み取り、SRC3プロトコルを介して現在時刻を渡すこともできる。
【0020】
タイムスタンプ暗号化エンジン220は、タイムスタンプ要求の暗号化/復号
を管理する。タイムスタンプ暗号化エンジン220は、通常、タイムスタンプさ
れるメッセージのメッセージダイジェストまたはハッシュであるデータH1を含
むタイムスタンプ要求を受信する。次に、タイムスタンプ暗号化エンジン220
は、タイムスタンプ要求をローカルクロック210に送信する。ローカルクロッ
クは、現在時刻Tn’を出力タイムスタンプ回路214内にラッチし、それをタ
イムスタンプ暗号化エンジン220に渡す。タイムスタンプ暗号化エンジン22
0は、タイムスタンプTn、および後の検証のためにタイムスタンプを押すトラ
ンザクションを識別するのに使用することができる何らかの検証データIDに要
求データH1を連結する。この検証データは、割り当てられたクロック名、通し
番号、トランザクションカウンタ、または確立される他のデータを含むことがで
きる。連結したデータH1+ID+Tn’から新しいメッセージダイジェストま
たはハッシュH2を作成する。この新しいメッセージダイジェストまたはハッシ
ュH2には、公開キー暗号(下記に議論する)を介してTLCの秘密署名キーK private で署名する。H1、ID、Tn’、H2および署名は、バス通信
ポート260を介して要求を行うアプリケーションに戻す。
を管理する。タイムスタンプ暗号化エンジン220は、通常、タイムスタンプさ
れるメッセージのメッセージダイジェストまたはハッシュであるデータH1を含
むタイムスタンプ要求を受信する。次に、タイムスタンプ暗号化エンジン220
は、タイムスタンプ要求をローカルクロック210に送信する。ローカルクロッ
クは、現在時刻Tn’を出力タイムスタンプ回路214内にラッチし、それをタ
イムスタンプ暗号化エンジン220に渡す。タイムスタンプ暗号化エンジン22
0は、タイムスタンプTn、および後の検証のためにタイムスタンプを押すトラ
ンザクションを識別するのに使用することができる何らかの検証データIDに要
求データH1を連結する。この検証データは、割り当てられたクロック名、通し
番号、トランザクションカウンタ、または確立される他のデータを含むことがで
きる。連結したデータH1+ID+Tn’から新しいメッセージダイジェストま
たはハッシュH2を作成する。この新しいメッセージダイジェストまたはハッシ
ュH2には、公開キー暗号(下記に議論する)を介してTLCの秘密署名キーK private で署名する。H1、ID、Tn’、H2および署名は、バス通信
ポート260を介して要求を行うアプリケーションに戻す。
【0021】
TLCの秘密キーに対応するTLCの公開キーは、公開してアクセス可能にす
る。受領するアプリケーションは、当分野ではよく知られたアルゴリズムを使用
して、そのTLCの公開キーでタイムスタンプ付きの署名されたメッセージの真
正性を検証することができる。詳細には、受領するアプリケーションは、TLC
の公開キーを使用して署名を復号し、H2Aを生成しようと試みる。また、受領
するアプリケーションは、H1+ID+Tnを再びハッシングしてH2Bを生成
する。復号した署名H2AがハッシュH2Bと一致する場合には、その署名の真
正性およびH1とIDとTnの妥当性が確立される。
る。受領するアプリケーションは、当分野ではよく知られたアルゴリズムを使用
して、そのTLCの公開キーでタイムスタンプ付きの署名されたメッセージの真
正性を検証することができる。詳細には、受領するアプリケーションは、TLC
の公開キーを使用して署名を復号し、H2Aを生成しようと試みる。また、受領
するアプリケーションは、H1+ID+Tnを再びハッシングしてH2Bを生成
する。復号した署名H2AがハッシュH2Bと一致する場合には、その署名の真
正性およびH1とIDとTnの妥当性が確立される。
【0022】
キー管理システム230は、TLCのキーのすべてを管理し、それらを格納す
る。TLCのキーは、タイムスタンプ暗号化エンジン220によって使用される
秘密キーKprivate、ならびにSRC3暗号化エンジンによって使用され
る秘密セッションキーKa’を含む。
る。TLCのキーは、タイムスタンプ暗号化エンジン220によって使用される
秘密キーKprivate、ならびにSRC3暗号化エンジンによって使用され
る秘密セッションキーKa’を含む。
【0023】
SRC3プロトコル暗号化エンジン240は、TLCを調整し、それを制御す
るのに必要な管理−時刻データを暗号化および復号することにより、SRC3プ
ロトコル160を介してT3PCとの通信をサポートする。セキュア同期プロト
コル暗号化エンジン240は、秘密セッションキーKa’を使用し、対称キー暗
号化(下記に議論する)を介してデータを暗号化/復号する。SRC3プロトコ
ルデータは、SRC3プロトコルポート270を介して送信される。このポート
は、デバイスの動作を制限することなく、電話ダイヤルアップチャネル、ネット
ワークチャネル、またはその他のチャネルであることが可能である。
るのに必要な管理−時刻データを暗号化および復号することにより、SRC3プ
ロトコル160を介してT3PCとの通信をサポートする。セキュア同期プロト
コル暗号化エンジン240は、秘密セッションキーKa’を使用し、対称キー暗
号化(下記に議論する)を介してデータを暗号化/復号する。SRC3プロトコ
ルデータは、SRC3プロトコルポート270を介して送信される。このポート
は、デバイスの動作を制限することなく、電話ダイヤルアップチャネル、ネット
ワークチャネル、またはその他のチャネルであることが可能である。
【0024】
プロセッサ250は、TLC140の全体の動作を制御する。オプションの特
徴は、ローカル周波数&時刻基準280の使用を組み込んでいる。E1/T1回
線などのGlobal Position System、Loran、Tel
ecommunicationsキャリアなどのソースからのローカル情報を使
用して、周波数ソース211の周波数およびカウンタ212内に含まれる時刻と
、外部基準ソースの間の比較を提供することができる。この比較は、ローカルク
ロックの「健全さ」の表れを提供し、T3PCにSRC3プロトコルを介して動
作ステータス情報を提供するのに使用することができる。
徴は、ローカル周波数&時刻基準280の使用を組み込んでいる。E1/T1回
線などのGlobal Position System、Loran、Tel
ecommunicationsキャリアなどのソースからのローカル情報を使
用して、周波数ソース211の周波数およびカウンタ212内に含まれる時刻と
、外部基準ソースの間の比較を提供することができる。この比較は、ローカルク
ロックの「健全さ」の表れを提供し、T3PCにSRC3プロトコルを介して動
作ステータス情報を提供するのに使用することができる。
【0025】
B.信頼されるサードパーティクロック
図3に示す信頼されるサードパーティクロック(T3PC)150は、ローカ
ルマスタクロックを含むシステムであり、遠隔クロックの検査、制御、および認
証を行う。好ましい実施形態では、T3PC150は、マスタクロック310と
、クロックコントローラ320と、キーボールト(vault)&管理システム
330と、暗号化エンジン340と、プロセッサ350と、通信ポート360と
、較正ログ370とを含む。また、オプションのローカル周波数−時刻基準38
0も、T3PC 150内に組み込むことが可能である。
ルマスタクロックを含むシステムであり、遠隔クロックの検査、制御、および認
証を行う。好ましい実施形態では、T3PC150は、マスタクロック310と
、クロックコントローラ320と、キーボールト(vault)&管理システム
330と、暗号化エンジン340と、プロセッサ350と、通信ポート360と
、較正ログ370とを含む。また、オプションのローカル周波数−時刻基準38
0も、T3PC 150内に組み込むことが可能である。
【0026】
マスタクロック310は、周波数ソース311を含む。この機能のために高品
質水晶発振器、ルビジウム発振器、またはセシウム発振器を使用することが可能
である。周波数ソース311に結合しているのが、周波数ソース311のサイク
ルをカウントするカウンタ312である。周波数ソース311の周波数およびカ
ウンタ312のデータ形式は、カウンタ出力がタイムスタンプTnであるように
なっている。カウンタ312に接続されているのが、カウンタ312内に正しい
現在時刻を設定するための監督モードまたはセットアップモードの動作で、また
はプロセッサの動作によって現在時刻を読み取るために使用することができる入
力/出力設定/読取りファンクション313である。カウンタ312は、出力タ
イムスタンプ回路314内に現在のタイムスタンプTnをラッチするため、タイ
ムスタンプ要求によって時点nに起動されることが可能である。また、周波数ソ
ース311は、周波数ソース311の周波数を測定し、それを調整するために使
用される入力/出力ステアファンクション315および制御&測定回路316に
も結合している。出力/出力ステアファンクション315は、通常、電圧制御さ
れた水晶発振器に対する制御電圧を変更することにより、あるいは外部のルビジ
ウム発振器またはセシウム発振器を使用する場合には「C」フィールド発振器コ
ントロールを変更することによって周波数ソース311の周波数を微調整する。
周波数ソース311および制御&測定回路316は、周波数積分および後続のカ
ウンタ積分が、数回の認証間隔の期間にわたり、指定した精度許容度を超えてク
ロック時刻を変更することを最大ステア変更が許容しないように制約されている
。これは、単一の誤ったステアコマンドが、タイムスタンプTnを無効にできな
いことを意味する。また、制御&測定回路316は、カウンタ312を読み取り
、SRC3プロトコルを介して遠隔クロックから受信したデータとタイムスタン
プTnを比較することもできる。暗号化エンジン320は、セキュア同期プロト
コル160を使用して、国立時刻研究所クロックおよび信頼されるローカルクロ
ック140との通信のためのプロトコルを含む様々な通信プロトコルの暗号化/
復号を管理する。キーボールト&管理システム330は、T3PCの暗号化キー
のすべてを管理し、それらを格納する。キーボールト&管理システムは、T3P
Cの秘密キー、ならびに要求に応じてTLCに割り当てられた1組のTLC秘密
セッションキーを収納する。また、キーボールト&管理システム330は、秘密
セッションキーが割り当てられたTLCを把握している。
質水晶発振器、ルビジウム発振器、またはセシウム発振器を使用することが可能
である。周波数ソース311に結合しているのが、周波数ソース311のサイク
ルをカウントするカウンタ312である。周波数ソース311の周波数およびカ
ウンタ312のデータ形式は、カウンタ出力がタイムスタンプTnであるように
なっている。カウンタ312に接続されているのが、カウンタ312内に正しい
現在時刻を設定するための監督モードまたはセットアップモードの動作で、また
はプロセッサの動作によって現在時刻を読み取るために使用することができる入
力/出力設定/読取りファンクション313である。カウンタ312は、出力タ
イムスタンプ回路314内に現在のタイムスタンプTnをラッチするため、タイ
ムスタンプ要求によって時点nに起動されることが可能である。また、周波数ソ
ース311は、周波数ソース311の周波数を測定し、それを調整するために使
用される入力/出力ステアファンクション315および制御&測定回路316に
も結合している。出力/出力ステアファンクション315は、通常、電圧制御さ
れた水晶発振器に対する制御電圧を変更することにより、あるいは外部のルビジ
ウム発振器またはセシウム発振器を使用する場合には「C」フィールド発振器コ
ントロールを変更することによって周波数ソース311の周波数を微調整する。
周波数ソース311および制御&測定回路316は、周波数積分および後続のカ
ウンタ積分が、数回の認証間隔の期間にわたり、指定した精度許容度を超えてク
ロック時刻を変更することを最大ステア変更が許容しないように制約されている
。これは、単一の誤ったステアコマンドが、タイムスタンプTnを無効にできな
いことを意味する。また、制御&測定回路316は、カウンタ312を読み取り
、SRC3プロトコルを介して遠隔クロックから受信したデータとタイムスタン
プTnを比較することもできる。暗号化エンジン320は、セキュア同期プロト
コル160を使用して、国立時刻研究所クロックおよび信頼されるローカルクロ
ック140との通信のためのプロトコルを含む様々な通信プロトコルの暗号化/
復号を管理する。キーボールト&管理システム330は、T3PCの暗号化キー
のすべてを管理し、それらを格納する。キーボールト&管理システムは、T3P
Cの秘密キー、ならびに要求に応じてTLCに割り当てられた1組のTLC秘密
セッションキーを収納する。また、キーボールト&管理システム330は、秘密
セッションキーが割り当てられたTLCを把握している。
【0027】
暗号化エンジン340は、TLCと通信するのに必要な管理&時刻データを対
称的に暗号化および復号することにより(対称キー暗号化は、下記に議論する)
、セキュア同期プロトコル160をサポートする。暗号化エンジン340は、各
TLCごとに異なる秘密セッションキーを使用してデータを暗号化/復号する。
称的に暗号化および復号することにより(対称キー暗号化は、下記に議論する)
、セキュア同期プロトコル160をサポートする。暗号化エンジン340は、各
TLCごとに異なる秘密セッションキーを使用してデータを暗号化/復号する。
【0028】
プロセッサ350は、T3PCの全体の動作を制御する。データ入力/出力は
、通信ポート360を介して送信される。好ましくは、通信ポート360は、公
衆インターネットまたは専用ネットワークを介して相互ネットワークを行うTC
P/IPを利用する、または公衆電話システムネットワークPTSNを介する同
様のプロトコルを利用する。別の実施形態では、その他の通信方法を使用するこ
とができる。
、通信ポート360を介して送信される。好ましくは、通信ポート360は、公
衆インターネットまたは専用ネットワークを介して相互ネットワークを行うTC
P/IPを利用する、または公衆電話システムネットワークPTSNを介する同
様のプロトコルを利用する。別の実施形態では、その他の通信方法を使用するこ
とができる。
【0029】
較正ログ370は、時刻認証されたTLCのリストを含む。この情報は、好ま
しくは、TLCの識別、およびいつエントリが行われたかを表すタイムスタンプ
を含む。外部エンティティは、較正ログ370に対する遠隔アクセスを有し、自
らが受信したタイムスタンプが「認証された」TLCから送信されたものである
ことを検証する。
しくは、TLCの識別、およびいつエントリが行われたかを表すタイムスタンプ
を含む。外部エンティティは、較正ログ370に対する遠隔アクセスを有し、自
らが受信したタイムスタンプが「認証された」TLCから送信されたものである
ことを検証する。
【0030】
C.SRC3プロトコル
セキュア同期プロトコル160は、T3PC150が、セキュアな通信を維持
するために暗号化技術を使用して遠隔ロケーションからTLC140の内部クロ
ックを検査し、制御し、認証することができるようにする。本発明の好ましい実
施形態では、セキュア同期プロトコル160は、セキュアな遠隔検査、制御、お
よび認証のプロトコル(SRC3)を含む。信頼されるローカルクロックの内部
ローカルクロック210は、SRC3 160を介し、セキュアな暗号化技術を
使用して、T3PC150だけによって制御される。ローカルクロック210は
、特別監督モードを介する以外は、ローカルでは設定することができない。この
ように、本システムは、通信チャネルを介して攻撃する、あるいはユーザの構内
の何者かと共謀する「ハッカー」によってタイムスタンプが偽造されるのを防止
する。それでも、SRC3プロトコルは、TLCがユーザの構内で、電子商取引
で使用することができる認証されたタイムスタンプを生成する手段を提供できる
ようにする。
するために暗号化技術を使用して遠隔ロケーションからTLC140の内部クロ
ックを検査し、制御し、認証することができるようにする。本発明の好ましい実
施形態では、セキュア同期プロトコル160は、セキュアな遠隔検査、制御、お
よび認証のプロトコル(SRC3)を含む。信頼されるローカルクロックの内部
ローカルクロック210は、SRC3 160を介し、セキュアな暗号化技術を
使用して、T3PC150だけによって制御される。ローカルクロック210は
、特別監督モードを介する以外は、ローカルでは設定することができない。この
ように、本システムは、通信チャネルを介して攻撃する、あるいはユーザの構内
の何者かと共謀する「ハッカー」によってタイムスタンプが偽造されるのを防止
する。それでも、SRC3プロトコルは、TLCがユーザの構内で、電子商取引
で使用することができる認証されたタイムスタンプを生成する手段を提供できる
ようにする。
【0031】
1.暗号化
好ましい実施形態では、SRC3は、T3PCとTLCの間で、構成ステータ
ス、時刻、周波数、および更新情報を転送する。市販される暗号化技術は、T3
PCとTLCの間の高セキュリティ通信を提供する。SRC3は、好ましくは、
対称キー暗号化と公開キー暗号化をともに使用する。
ス、時刻、周波数、および更新情報を転送する。市販される暗号化技術は、T3
PCとTLCの間の高セキュリティ通信を提供する。SRC3は、好ましくは、
対称キー暗号化と公開キー暗号化をともに使用する。
【0032】
対称キー暗号化は、所望のトランザクションに関与する双方のパーティAおよ
びBが、共通秘密キーKを共用する技法である。Aは、Kを使用してメッセージ
を暗号化して、その暗号化したメッセージをBに送信する。Bは、暗号化された
メッセージを受信し、Kを使用してそれを復号する。
びBが、共通秘密キーKを共用する技法である。Aは、Kを使用してメッセージ
を暗号化して、その暗号化したメッセージをBに送信する。Bは、暗号化された
メッセージを受信し、Kを使用してそれを復号する。
【0033】
公開キー暗号化では、AおよびBはそれぞれ、2つの関連するキー、秘密キー
と公開キーを有する。公開キーは、皆に知られている。Aは、Bに対するメッセ
ージをBの公開キーを使用して暗号化し、その暗号化したメッセージをBに送信
する。Bは、暗号化されたメッセージを受信し、それをBの秘密キーを使用して
復号する。「署名」として知られる変形形態では、Aは、Aの秘密キーを使用し
てメッセージのハッシュを暗号化する。Bまたは他の任意のパーティは、Aの公
開キーを使用してメッセージの暗号化されたハッシュを復号することにより、そ
のメッセージがAから発信され、改ざんされていないことを検証することができ
る。公開キー暗号化は、参加者の間における秘密キーの転送が必要ないという利
点を有する。これは、様々な形態の電子商取引通信で広く使用され、公開キーイ
ンフラストラクチャ(PKI)として知られている。PKIの欠点は、それが大
量の処理パワーを必要とし、ホストコンピュータの速度を低下させることである
。
と公開キーを有する。公開キーは、皆に知られている。Aは、Bに対するメッセ
ージをBの公開キーを使用して暗号化し、その暗号化したメッセージをBに送信
する。Bは、暗号化されたメッセージを受信し、それをBの秘密キーを使用して
復号する。「署名」として知られる変形形態では、Aは、Aの秘密キーを使用し
てメッセージのハッシュを暗号化する。Bまたは他の任意のパーティは、Aの公
開キーを使用してメッセージの暗号化されたハッシュを復号することにより、そ
のメッセージがAから発信され、改ざんされていないことを検証することができ
る。公開キー暗号化は、参加者の間における秘密キーの転送が必要ないという利
点を有する。これは、様々な形態の電子商取引通信で広く使用され、公開キーイ
ンフラストラクチャ(PKI)として知られている。PKIの欠点は、それが大
量の処理パワーを必要とし、ホストコンピュータの速度を低下させることである
。
【0034】
ハイブリッドシステムは、対称キー符号で暗号化したメッセージのテキストを
送信し、次に、公開キー技術を使用して対称秘密キーを暗号化する。この手法は
、対称キー暗号化の速度の利点を利用し、また秘密キーを共用することの問題も
解決する。
送信し、次に、公開キー技術を使用して対称秘密キーを暗号化する。この手法は
、対称キー暗号化の速度の利点を利用し、また秘密キーを共用することの問題も
解決する。
【0035】
2.通信プロトコル構成要素
好ましい実施形態では、SRC3は、図4に示す5つの主な通信プロトコル構
成要素を含む。第1に、セキュア(セキュリティ確保された)メッセージ転送開
始410は、T3PCが新しい秘密セッションキーKa’をTLCに渡す1回限
りの交換である。第2に、セキュリティ確保されたメッセージ転送420により
、T3CPおよびTLCは、その間でKaを使用してセキュアなデータを渡すこ
とができる。第3に、時刻転送および比較430が、必要な場合には、T3PC
に対するTLCクロックのオフセットを計算する。通常、この構成要素は、SR
C3プロトコルによる交換で2回、実行される。第4に、コントロール(制御)
440が、TLCのローカルクロック216に対する較正をT3PCが行うこと
を可能にする。第5に、認証450を使用してT3PCからTLCに時刻認証T
certを渡す。
成要素を含む。第1に、セキュア(セキュリティ確保された)メッセージ転送開
始410は、T3PCが新しい秘密セッションキーKa’をTLCに渡す1回限
りの交換である。第2に、セキュリティ確保されたメッセージ転送420により
、T3CPおよびTLCは、その間でKaを使用してセキュアなデータを渡すこ
とができる。第3に、時刻転送および比較430が、必要な場合には、T3PC
に対するTLCクロックのオフセットを計算する。通常、この構成要素は、SR
C3プロトコルによる交換で2回、実行される。第4に、コントロール(制御)
440が、TLCのローカルクロック216に対する較正をT3PCが行うこと
を可能にする。第5に、認証450を使用してT3PCからTLCに時刻認証T
certを渡す。
【0036】
a.セキュアメッセージ転送開始
セキュアメッセージ転送開始410により、T3PCは、秘密セッションキー
をTLCとセキュアに交換することができる。この秘密セッションキーは、T3
PCとTLCの間のほとんどの将来の通信で使用されることになる。図5に示す
とおり、T3PCは、まず、ステップ501で、メッセージデータG1をそのキ
ーボールトからの新しい秘密セッションキーKa’と連結し、新しいメッセージ
G2を作成する。次に、T3PCは、ステップ502で、目標TLCの公開キー
KTLCpublic’を使用してメッセージG2を暗号化し、暗号化したメッ
セージKTLCpublic(G2)を生成する。これは、目標TLCだけがセ
ッションキーKaを回復できることを確実にする。次のステップ503で、T3
PCは、T3PCの秘密キーKT3PCprivate’でKTLCpubli c (G2)のハッシュを暗号化することにより、そのメッセージに「署名」し、
署名KT3PCprivate(KTLCpublic(G2))を生成する。
「署名」の使用は、送信者の公開キーを使用してメッセージを復号することによ
ってその送信者を受信者が検証できるようにして交換を認証するのを助けること
になる。次のステップ504で、T3PCは、暗号化したメッセージKTLCp ublic (G2)および署名KT3PCprivate(KTLCpubli c (G2))をTLCに送信する。
をTLCとセキュアに交換することができる。この秘密セッションキーは、T3
PCとTLCの間のほとんどの将来の通信で使用されることになる。図5に示す
とおり、T3PCは、まず、ステップ501で、メッセージデータG1をそのキ
ーボールトからの新しい秘密セッションキーKa’と連結し、新しいメッセージ
G2を作成する。次に、T3PCは、ステップ502で、目標TLCの公開キー
KTLCpublic’を使用してメッセージG2を暗号化し、暗号化したメッ
セージKTLCpublic(G2)を生成する。これは、目標TLCだけがセ
ッションキーKaを回復できることを確実にする。次のステップ503で、T3
PCは、T3PCの秘密キーKT3PCprivate’でKTLCpubli c (G2)のハッシュを暗号化することにより、そのメッセージに「署名」し、
署名KT3PCprivate(KTLCpublic(G2))を生成する。
「署名」の使用は、送信者の公開キーを使用してメッセージを復号することによ
ってその送信者を受信者が検証できるようにして交換を認証するのを助けること
になる。次のステップ504で、T3PCは、暗号化したメッセージKTLCp ublic (G2)および署名KT3PCprivate(KTLCpubli c (G2))をTLCに送信する。
【0037】
TLCは、ステップ505で、暗号化されたメッセージKTLCpublic
(G2)および署名KT3PCprivate(KTLCpublic(G2)
)を受信する。ステップ506で、TLCは、T3PCの公開キーKT3PCp ublic’ を使用して署名を復号しようと試みる。署名が適切に復号され、暗
号化されたメッセージKTLCpublic(G2)のハッシュと一致した場合
、TLCは、その暗号化されたメッセージがT3PCから送信されたものである
ことを知る。署名が暗号化されたメッセージと一致しなかった場合、TLCは、
エラーメッセージをT3PCに送信する。ステップ507で、TLCは、TLC
の秘密キーKTLCprivate’を使用してメッセージKTLCpubli c (G2)を復号し、メッセージG2を生成する。次にTLCは、ステップ50
8で、メッセージデータG1および秘密セッションキーKa’をメッセージG2 から抽出する。次にTLCは、ステップ509で、元のメッセージデータG1を
自らのファームウェアバージョン情報F1、またはT3PCによって必要とされ
る可能性がある他のTLCを識別するデータと連結し、メッセージG3=G1+
F1を作成する。ステップ510で、TLCは、メッセージG3を秘密セッショ
ンキーKa’を使用して暗号化し、暗号化したメッセージKa(G3)を生成す
る。次にTLCは、ステップ511で、その秘密キーKTLCprivate’ を使用して暗号化したメッセージKa(G3)に「署名」し、署名KTLCpr ivate (Ka(G3))を生成する。最後にTLCは、ステップ512で、
暗号化したメッセージKa(G3)および署名KTLCprivate(Ka(
G3))をT3PCに送信する。
)を受信する。ステップ506で、TLCは、T3PCの公開キーKT3PCp ublic’ を使用して署名を復号しようと試みる。署名が適切に復号され、暗
号化されたメッセージKTLCpublic(G2)のハッシュと一致した場合
、TLCは、その暗号化されたメッセージがT3PCから送信されたものである
ことを知る。署名が暗号化されたメッセージと一致しなかった場合、TLCは、
エラーメッセージをT3PCに送信する。ステップ507で、TLCは、TLC
の秘密キーKTLCprivate’を使用してメッセージKTLCpubli c (G2)を復号し、メッセージG2を生成する。次にTLCは、ステップ50
8で、メッセージデータG1および秘密セッションキーKa’をメッセージG2 から抽出する。次にTLCは、ステップ509で、元のメッセージデータG1を
自らのファームウェアバージョン情報F1、またはT3PCによって必要とされ
る可能性がある他のTLCを識別するデータと連結し、メッセージG3=G1+
F1を作成する。ステップ510で、TLCは、メッセージG3を秘密セッショ
ンキーKa’を使用して暗号化し、暗号化したメッセージKa(G3)を生成す
る。次にTLCは、ステップ511で、その秘密キーKTLCprivate’ を使用して暗号化したメッセージKa(G3)に「署名」し、署名KTLCpr ivate (Ka(G3))を生成する。最後にTLCは、ステップ512で、
暗号化したメッセージKa(G3)および署名KTLCprivate(Ka(
G3))をT3PCに送信する。
【0038】
ステップ513で、T3PCは、暗号化されたメッセージKa(G3)および
署名KTLCprivate(Ka(G3))を受信する。ステップ514で、
T3PCは、TLCの公開キーKTLCpublicを使用してその署名を復号
しようと試み、メッセージを生成する。署名が適切に復号され、暗号化されたメ
ッセージKa(G3)のハッシュと一致する場合、T3PCは、その暗号化され
たメッセージがTLCによって送信されたものであることを知る。ステップ51
5で、T3PCは、秘密セッションキーKaを使用して暗号化されたメッセージ
Ka(G3)を復号し、メッセージG3を生成する。最後に、ステップ516で
、T3PCは、メッセージG3からメッセージデータG2およびファームウェア
バージョン情報F1を抽出する。この時点で、秘密セッションキーKa’は転送
され、検証されており、T3PCとTLCは通信する用意ができている。
署名KTLCprivate(Ka(G3))を受信する。ステップ514で、
T3PCは、TLCの公開キーKTLCpublicを使用してその署名を復号
しようと試み、メッセージを生成する。署名が適切に復号され、暗号化されたメ
ッセージKa(G3)のハッシュと一致する場合、T3PCは、その暗号化され
たメッセージがTLCによって送信されたものであることを知る。ステップ51
5で、T3PCは、秘密セッションキーKaを使用して暗号化されたメッセージ
Ka(G3)を復号し、メッセージG3を生成する。最後に、ステップ516で
、T3PCは、メッセージG3からメッセージデータG2およびファームウェア
バージョン情報F1を抽出する。この時点で、秘密セッションキーKa’は転送
され、検証されており、T3PCとTLCは通信する用意ができている。
【0039】
b.セキュリティ確保されたメッセージ転送
セキュリティ確保されたメッセージ転送420により、一連の要求と応答を介
してT3PCとTLCの間で動作データを転送することができる。これらのトラ
ンザクションは、秘密セッションキーKaを使用して暗号化され、保護される。
好ましくは、メッセージおよび要求/応答データは、以下のものを含む。各メッ
セージをその応答と同期させるメッセージ番号、転送される情報タイプを識別す
るメッセージタイプ、要求/応答データと関連する情報を渡すメッセージ本文、
および内部時刻。各メッセージを一意的にし、処理アルゴリズムによって決めら
れた短い間隔中だけ「活動状態」にするため、メッセージ番号および/または内
部時刻を含める。この特徴は、以前に傍受されたメッセージを使用する「再実行
(replay)」攻撃を防止する一般的な方法である。TLCは、すべてのT
3PCとの最近の対話の履歴、および時刻と周波数の情報の統計を含む、その現
在の証明ステータス/情報を維持し、それを要求時にT3PCに送信する用意が
ある。
してT3PCとTLCの間で動作データを転送することができる。これらのトラ
ンザクションは、秘密セッションキーKaを使用して暗号化され、保護される。
好ましくは、メッセージおよび要求/応答データは、以下のものを含む。各メッ
セージをその応答と同期させるメッセージ番号、転送される情報タイプを識別す
るメッセージタイプ、要求/応答データと関連する情報を渡すメッセージ本文、
および内部時刻。各メッセージを一意的にし、処理アルゴリズムによって決めら
れた短い間隔中だけ「活動状態」にするため、メッセージ番号および/または内
部時刻を含める。この特徴は、以前に傍受されたメッセージを使用する「再実行
(replay)」攻撃を防止する一般的な方法である。TLCは、すべてのT
3PCとの最近の対話の履歴、および時刻と周波数の情報の統計を含む、その現
在の証明ステータス/情報を維持し、それを要求時にT3PCに送信する用意が
ある。
【0040】
TLCとT3PCはともに、他方のパーティにメッセージを送信することがで
きる。図6aは、T3PCがメッセージをTLCに送信する好ましいセキュリテ
ィ確保されたメッセージ転送420を示す。第1に、T3PCは、ステップ60
1で必要なメッセージデータDを作成する。第2に、T3PCは、ステップ60
2で、秘密セッションキーKaを使用してメッセージデータDを暗号化し、暗号
化したメッセージKa(D)を生成する。次に、T3PCは、ステップ603で
、この暗号化したメッセージをTLCに送信する。TLCは、ステップ604で
、暗号化されたメッセージKa(D)受信する。次に、TLCは、ステップ60
5で、秘密セッションキーKaを使用してメッセージを復号し、メッセージDを
生成する。最後に、TLCは、ステップ606で必要な情報をメッセージDから
抽出する。図6bは、TLCが通信を開始する同様な交換を示す。
きる。図6aは、T3PCがメッセージをTLCに送信する好ましいセキュリテ
ィ確保されたメッセージ転送420を示す。第1に、T3PCは、ステップ60
1で必要なメッセージデータDを作成する。第2に、T3PCは、ステップ60
2で、秘密セッションキーKaを使用してメッセージデータDを暗号化し、暗号
化したメッセージKa(D)を生成する。次に、T3PCは、ステップ603で
、この暗号化したメッセージをTLCに送信する。TLCは、ステップ604で
、暗号化されたメッセージKa(D)受信する。次に、TLCは、ステップ60
5で、秘密セッションキーKaを使用してメッセージを復号し、メッセージDを
生成する。最後に、TLCは、ステップ606で必要な情報をメッセージDから
抽出する。図6bは、TLCが通信を開始する同様な交換を示す。
【0041】
他の実施形態では、セキュリティ確保されたメッセージ転送420は、送信側
パーティにメッセージに「署名」させることも含む。これは、メッセージにさら
なるレベルのセキュリティを追加する。
パーティにメッセージに「署名」させることも含む。これは、メッセージにさら
なるレベルのセキュリティを追加する。
【0042】
c.時刻転送および比較
時刻転送および比較430は、T3PCマスタ内で維持される時刻に対するT
LCローカルクロックのオフセットをT3PCが正確に測定できるようにする「
検査」プロセスである。好ましい実施形態では、T3PCは、初期時刻データを
TLCに暗号化せずに、ただしセッションキーで署名して送信する。暗号化せず
に時刻データを送信することにより、伝送待ち時間が最小限に抑えられる。セキ
ュリティリスクを回避するため、TLCは、大きな遅延が許容されず、正しい時
刻転送の後でだけ較正が実現されることを確実にする。
LCローカルクロックのオフセットをT3PCが正確に測定できるようにする「
検査」プロセスである。好ましい実施形態では、T3PCは、初期時刻データを
TLCに暗号化せずに、ただしセッションキーで署名して送信する。暗号化せず
に時刻データを送信することにより、伝送待ち時間が最小限に抑えられる。セキ
ュリティリスクを回避するため、TLCは、大きな遅延が許容されず、正しい時
刻転送の後でだけ較正が実現されることを確実にする。
【0043】
図7に示すとおり、T3PCは、好ましくは、ステップ702で、知られてい
る時刻xに暗号化していない署名した時刻データを送信し、好ましくは、タイム
スタンプxを送信時刻情報Ts[i]=xのアレイ内に保存する。ステップ70
3で時刻データを受信した後、TLCは、ステップ704で、自らが時刻データ
を受信した時刻をタイムスタンプyとして記録する。次に、TLCは、ステップ
705で、受信した時刻データyをエコーして、TLCからの送信時刻としての
新しいエコータイムスタンプvとともにT3PCに返す。T3PCは、ステップ
706で、この時刻データをTLCから返されて受信したとき、ステップ707
で、自らがこのエコーされた時刻データを受信した時刻をタイムスタンプzとし
て、好ましくは、最終リターン時刻情報Tf[i]=zのアレイ内に記録する。
また、T3PCは、受信したタイムスタンプyを受信した時刻情報Tr[i]=
yのアレイ内に保持し、エコー時刻をエコー時刻アレイTe[i]=v内に保持
する。
る時刻xに暗号化していない署名した時刻データを送信し、好ましくは、タイム
スタンプxを送信時刻情報Ts[i]=xのアレイ内に保存する。ステップ70
3で時刻データを受信した後、TLCは、ステップ704で、自らが時刻データ
を受信した時刻をタイムスタンプyとして記録する。次に、TLCは、ステップ
705で、受信した時刻データyをエコーして、TLCからの送信時刻としての
新しいエコータイムスタンプvとともにT3PCに返す。T3PCは、ステップ
706で、この時刻データをTLCから返されて受信したとき、ステップ707
で、自らがこのエコーされた時刻データを受信した時刻をタイムスタンプzとし
て、好ましくは、最終リターン時刻情報Tf[i]=zのアレイ内に記録する。
また、T3PCは、受信したタイムスタンプyを受信した時刻情報Tr[i]=
yのアレイ内に保持し、エコー時刻をエコー時刻アレイTe[i]=v内に保持
する。
【0044】
T3PCは、「while」ループステップ701、708を使用してステッ
プ702〜707を反復することによって示されるとおり、十分な数のメッセー
ジ(i+1、i+2、i+3等)にわたってエコーを送受信する。「十分な」メ
ッセージの数は、必要な精度および通信チャネル内のタイミングエラーによって
決定される。T3PCは、すべての測定の平均が精度要件を満たすように、「十
分メッセージの数」を要求することができる。T3PCは、十分な数のメッセー
ジの後、時刻転送を計算する用意がある。
プ702〜707を反復することによって示されるとおり、十分な数のメッセー
ジ(i+1、i+2、i+3等)にわたってエコーを送受信する。「十分な」メ
ッセージの数は、必要な精度および通信チャネル内のタイミングエラーによって
決定される。T3PCは、すべての測定の平均が精度要件を満たすように、「十
分メッセージの数」を要求することができる。T3PCは、十分な数のメッセー
ジの後、時刻転送を計算する用意がある。
【0045】
好ましい実施形態では、T3PCは、まず、ステップ713で、送信時刻およ
びリターン時刻を使用して往復時間を決定する。
びリターン時刻を使用して往復時間を決定する。
【0046】
往復時間=(Tr[i]−Ts[i])+(Tf[i]−Te[i])−K(
ここで、kは、知られているハードウェア遅延に相当する) 複数メッセージを使用して時間測定雑音を抑える。次に、T3PCは、ステッ
プ714で、一時間方向遅延T1way[i]を計算する。これは、往復時間の
1/2、一時間方向遅延=T1way[i]=往復時間/2であると想定される
。
ここで、kは、知られているハードウェア遅延に相当する) 複数メッセージを使用して時間測定雑音を抑える。次に、T3PCは、ステッ
プ714で、一時間方向遅延T1way[i]を計算する。これは、往復時間の
1/2、一時間方向遅延=T1way[i]=往復時間/2であると想定される
。
【0047】
最後に、T3PCは、ステップ715で、TLCの推定時間誤差を計算する。
【0048】
推定時間誤差=T1way[i]−(Tr[i]−Ts[i])
現在の推定時間誤差、ならびにこの測定と前の測定の間の間隔が分かると、T
3PCは、TLC周波数ソース211の周波数誤差も判定することができる。次
に、T3PCは、収集したデータを使用し、TLCに対する調整を行うべきかど
うかを判定する。別の実施形態では、TLCが、時間測定プロセスを開始するこ
とが可能である。
3PCは、TLC周波数ソース211の周波数誤差も判定することができる。次
に、T3PCは、収集したデータを使用し、TLCに対する調整を行うべきかど
うかを判定する。別の実施形態では、TLCが、時間測定プロセスを開始するこ
とが可能である。
【0049】
d.制御
制御440により、T3PCは、TLCのローカルクロックを制御することが
できる。前述したとおり、一実施形態では、制御は、単にTLCに対する更新情
報を提供することに関与し、この情報によってTCPは自らを更新する。別の実
施形態では、T3PCは、更新コマンドをTLCに送信する。
できる。前述したとおり、一実施形態では、制御は、単にTLCに対する更新情
報を提供することに関与し、この情報によってTCPは自らを更新する。別の実
施形態では、T3PCは、更新コマンドをTLCに送信する。
【0050】
図8に示すとおり、T3PCによって行われる推定時間誤差および周波数誤差
の測定に基づき、T3PCは、ステップ801で、修正をTLCに送信する。T
LCは、ステップ803でこの修正を受信する。TLCでは、ステップ804で
、制御/管理回路216を使用して適切なステアコマンドを実行する。
の測定に基づき、T3PCは、ステップ801で、修正をTLCに送信する。T
LCは、ステップ803でこの修正を受信する。TLCでは、ステップ804で
、制御/管理回路216を使用して適切なステアコマンドを実行する。
【0051】
e.認証
何らかの修正処理が行われた後、別の時刻転送および比較430動作が行われ
る。TLCは、まだ、指定した精度限度内にあると想定すると、T3PCは、T
certをTLCに渡し、ステップ805で、その時刻ならびにTLCの識別を
較正ログ内に記録する。外部エンティティは、タイムスタンプの送信側が認証さ
れていることを検証するするため、T3PCの較正ログに対する遠隔アクセスを
有する。較正トークンを受け取ると、TLCには、ステップ806で「認証され
た」タイムスタンプを提供することが許される。
る。TLCは、まだ、指定した精度限度内にあると想定すると、T3PCは、T
certをTLCに渡し、ステップ805で、その時刻ならびにTLCの識別を
較正ログ内に記録する。外部エンティティは、タイムスタンプの送信側が認証さ
れていることを検証するするため、T3PCの較正ログに対する遠隔アクセスを
有する。較正トークンを受け取ると、TLCには、ステップ806で「認証され
た」タイムスタンプを提供することが許される。
【0052】
好ましい実施形態では、Tcert自体は、
T3PCクロックIDと、
TLCクロックIDと、
発行されたタイムスタンプと、
TLC署名パラメータおよび署名と、
Tcert時刻(T3PCからの)と、
許容度と、
TLCクロックオフセットと、
Tcert有効期限時刻と、
T3PC署名パラメータおよび署名とを含む。
【0053】
別の実施形態では、データは異なる可能性があるが、通常、T3PCは、(一
方ではNational Time Standardに関して確認されている
)T3PCマスタクロックに対してTLCローカルクロックが所定の精度限度内
にあるという署名した証明書を提供しなければならない。
方ではNational Time Standardに関して確認されている
)T3PCマスタクロックに対してTLCローカルクロックが所定の精度限度内
にあるという署名した証明書を提供しなければならない。
【図1】
信頼されるサードパーティクロックと信頼されるローカルクロックの間の対話
を示す本発明の好ましいシステムの高レベルブロック図である。
を示す本発明の好ましいシステムの高レベルブロック図である。
【図2】
信頼されるローカルクロックを示す本発明の好ましいシステムのブロック図で
ある。
ある。
【図3】
信頼されるサードパーティクロックを示す本発明の好ましいシステムのブロッ
ク図である。
ク図である。
【図4】
セキュアな遠隔検査、較正、認証プロトコルを介してセキュアな通信を確実に
する好ましいプロセスを示す高レベル流れ図である。
する好ましいプロセスを示す高レベル流れ図である。
【図5】
信頼されるサードパーティクロックと信頼されるローカルクロックの間の初期
セッション情報を交換する好ましいプロセスを示す流れ図である。
セッション情報を交換する好ましいプロセスを示す流れ図である。
【図6a】
信頼されるサードパーティクロックから信頼されるローカルクロックにメッセ
ージを送信する好ましいプロセスを示す流れ図である。
ージを送信する好ましいプロセスを示す流れ図である。
【図6b】
信頼されるローカルクロックから信頼されるサードパーティクロックにメッセ
ージを送信する好ましいプロセスを示す流れ図である。
ージを送信する好ましいプロセスを示す流れ図である。
【図7】
信頼されるローカルクロックの遠隔検査を行う好ましいプロセスを示す流れ図
である。
である。
【図8】
信頼されるサードパーティクロックによって遠隔較正を行い、信頼されるロー
カルクロックを認証する好ましいプロセスを示す流れ図である。
カルクロックを認証する好ましいプロセスを示す流れ図である。
─────────────────────────────────────────────────────
フロントページの続き
(81)指定国 EP(AT,BE,CH,CY,
DE,DK,ES,FI,FR,GB,GR,IE,I
T,LU,MC,NL,PT,SE),OA(BF,BJ
,CF,CG,CI,CM,GA,GN,GW,ML,
MR,NE,SN,TD,TG),AP(GH,GM,K
E,LS,MW,MZ,SD,SL,SZ,TZ,UG
,ZW),EA(AM,AZ,BY,KG,KZ,MD,
RU,TJ,TM),AE,AG,AL,AM,AT,
AU,AZ,BA,BB,BG,BR,BY,CA,C
H,CN,CR,CU,CZ,DE,DK,DM,DZ
,EE,ES,FI,GB,GD,GE,GH,GM,
HR,HU,ID,IL,IN,IS,JP,KE,K
G,KP,KR,KZ,LC,LK,LR,LS,LT
,LU,LV,MA,MD,MG,MK,MN,MW,
MX,NO,NZ,PL,PT,RO,RU,SD,S
E,SG,SI,SK,SL,TJ,TM,TR,TT
,TZ,UA,UG,UZ,VN,YU,ZA,ZW
(72)発明者 フアン・デル・カーイ,エリツク・エイチ
アメリカ合衆国、カリフオルニア・92625、
コロナ・デル・マー、ダリア・アベニユ
ー・500
(72)発明者 ダウド,グレゴリイ・エル
アメリカ合衆国、カリフオルニア・95119、
サン・ホセ、パープル・グレン・ドライ
ブ・226
Fターム(参考) 5B089 GB02 JA08 JB11 KA17 KB11
KC47 KC58 KH30
5K047 AA11 AA18 GG56
Claims (37)
- 【請求項1】 信頼される時刻を供給するためのシステムであって、 マスタクロックシステムと、 前記マスタクロックシステムと通信する信頼されるローカルクロックシステム
と、 前記マスタクロックシステムと前記信頼されるローカルクロックシステムとの
間のセキュリティ保護された通信とを備えるシステムであって、前記マスタクロ
ックシステムがローカルクロック時刻を検査し、前記検査に基づいて前記ローカ
ルクロックシステムを更新するために前記ローカルクロックシステムに情報を供
給する信頼される時刻を供給するためのシステム。 - 【請求項2】 前記マスタクロックシステムが認証されたクロックを備える
請求項1に記載のシステム。 - 【請求項3】 前記認証されたクロックが国立の時刻管理機関に認証されて
いる請求項2に記載のシステム。 - 【請求項4】 前記マスタクロックシステムおよび前記ローカルクロックシ
ステムが同期通信を確立する請求項1に記載のシステム。 - 【請求項5】 前記マスタシステムクロックが、前記信頼されるローカルク
ロックシステムによって維持されている時刻を、マスタクロックシステムとロー
カルクロックシステムとの間で転送される時刻データに関する送信時刻と受信時
刻とを分析することによって検査する請求項1に記載のシステム。 - 【請求項6】 前記マスタクロックシステムが、 周波数ソースと、 キー管理システムと、 通信ポートと、 前記キー管理システムと通信する暗号化エンジンとをさらに備える請求項1に
記載のシステム。 - 【請求項7】 前記マスタクロックが較正ログをさらに備える請求項6に記
載のシステム。 - 【請求項8】 前記ローカルクロックシステムがローカル基準値と対話する
請求項7に記載のシステム。 - 【請求項9】 前記キー管理システムが、いくつかのキーを含むキーボール
トを備える請求項7に記載のシステム。 - 【請求項10】 前記信頼されるローカルクロックシステムが、 周波数ソースと、 ローカルキー管理システムと、 通信ポートと、 暗号エンジンとをさらに備える請求項1に記載のシステム。
- 【請求項11】 前記マスタクロックシステムが前記信頼されるローカルク
ロックシステムから遠隔にある請求項1に記載のシステム。 - 【請求項12】 マスタクロックによって遠隔クロックを制御するための方
法であって、 信頼されるローカルクロックシステムとマスタクロックシステムとを提供する
ステップと、 セキュリティ保護された通信を使用して前記ローカルクロックから時刻データ
を獲得し、前記データを前記マスタクロックと前記マスタクロックシステムにお
いて比較するステップと、 前記マスタクロックシステムによって前記信頼されるローカルクロックシステ
ムを更新するステップとを含む、マスタクロックによって遠隔クロックを制御す
るための方法。 - 【請求項13】 前記マスタクロックシステムが認証されたマスタクロック
システムを備える請求項12に記載の方法。 - 【請求項14】 前記認証されたマスタクロックシステムが、 認証されたマスタクロックと、 キー管理システムと、 通信ポートと、 前記キー管理システムと通信する暗号エンジンとを備える請求項13に記載の
方法。 - 【請求項15】 前記認証されたマスタクロックが、 周波数ソースと、 前記周波数ソースの周期を数え時刻を出力する調節可能なカウンタとを備える
請求項13に記載の方法。 - 【請求項16】 前記キー管理システムがいくつかのキーを維持する請求項
14に記載の方法。 - 【請求項17】 前記信頼されるローカルクロックシステムが、 ローカルクロックと、 ローカルキー管理システムと、 通信ポートと、 暗号エンジンとを備える請求項12に記載の方法。
- 【請求項18】 前記ローカルクロックが、 周波数ソースと、 前記周波数ソースの周期を数え時刻形式を出力する調節可能なカウンタとをさ
らに備える請求項17に記載の方法。 - 【請求項19】 時刻の遠隔認証を提供する方法であって、 ローカルクロックと認証されたクロックとの間に遠隔通信を確立するステップ
と、 前記認証されたクロックと前記ローカルクロックとの間で初期セッション情報
を交換するステップと、 前記ローカルクロックを前記認証されたクロックによって監視するステップと
、 前記ローカルクロックを前記認証されたクロックによって更新するステップと
、 前記ローカルクロックの精度を認証するステップとを含む方法。 - 【請求項20】 前記交換するステップが、前記認証されたクロックと前記
ローカルクロックとの間で少なくとも1つのセッションキーを交換することを含
む請求項19に記載の方法。 - 【請求項21】 前記交換するステップが、公開キーを交換することを含む
請求項19に記載の方法。 - 【請求項22】 前記監視するステップが、前記ローカルクロックから時刻
情報を収集することをさらに含む請求項19に記載の方法。 - 【請求項23】 前記監視するステップが、前記ローカルクロックから収集
された時刻情報を前記マスタクロックの認証された時刻と比較することをさらに
含む請求項19に記載の方法。 - 【請求項24】 前記更新するステップが、前記ローカルクロックの調節が
必須であるかどうかを判定することをさらに含む請求項19に記載の方法。 - 【請求項25】 ローカルクロックの精度を前記認証するステップが、較正
認証を前記ローカルクロックに渡すことを含む請求項19に記載の方法。 - 【請求項26】 前記認証するステップが、前記ローカルクロックを前記認
証されたクロックの較正ログに追加することを含む請求項19に記載の方法。 - 【請求項27】 信頼される時刻を供給するためのシステムであって、 マスタクロックを備えるマスタクロックシステムと、 前記マスタクロックシステムと通信する信頼されるローカルクロックシステム
であって、前記信頼されるローカルクロックシステムが、ローカルクロック時刻
を有する信頼されるローカルクロックを備える信頼されるローカルクロックシス
テムと、 前記マスタクロックシステムと前記信頼されるローカルクロックシステムとの
間のセキュリティ保護された通信とを含み、前記マスタクロックシステムが、ロ
ーカルクロック時刻を検査し、信頼されるローカルクロックの精度を前記セキュ
リティ保護された通信を介して認証するように構成されているシステム。 - 【請求項28】 前記マスタクロックシステムが、ローカルクロック時刻を
前記セキュリティ保護された通信を介して更新するように構成されている請求項
27に記載のシステム。 - 【請求項29】 前記マスタクロックが認証されたクロックである請求項2
8に記載のシステム。 - 【請求項30】 前記マスタクロックが国立の時刻管理機関に認証されてい
る請求項29に記載のシステム。 - 【請求項31】 前記マスタクロックシステムおよび前記信頼されるローカ
ルクロックシステムが同期通信を確立する請求項27に記載のシステム。 - 【請求項32】 前記マスタクロックシステムがローカルクロック時刻を、
前記マスタクロックシステムと前記信頼されるローカルクロックシステムとの間
で転送されたデータに関する送信時刻と受信時刻とを分析することによって検査
する請求項27に記載のシステム。 - 【請求項33】 前記マスタクロックシステムが、 キー管理システムと、 通信ポートと、 前記キー管理システムと通信する暗号化エンジンとをさらに備える請求項27
に記載のシステム。 - 【請求項34】 前記マスタクロックシステムが較正ログをさらに備える請
求項33に記載のシステム。 - 【請求項35】 前記信頼されるローカルクロックシステムがローカル時刻
基準値と対話する請求項34に記載のシステム。 - 【請求項36】 前記キー管理システムがいくつかのキーを含むキーボール
トを備える請求項33に記載のシステム。 - 【請求項37】 前記信頼されるローカルクロックシステムが、 ローカルキー管理システムと、 通信ポートと、 暗号エンジンとをさらに含む請求項27に記載のシステム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US33807499A | 1999-06-23 | 1999-06-23 | |
| US09/338,074 | 1999-06-23 | ||
| PCT/US2000/040168 WO2000079348A2 (en) | 1999-06-23 | 2000-06-08 | System and method for providing a trusted third party clock and trusted local clock |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003519417A true JP2003519417A (ja) | 2003-06-17 |
Family
ID=23323303
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001505251A Withdrawn JP2003519417A (ja) | 1999-06-23 | 2000-06-08 | 信頼されるサードパーティクロックおよび信頼されるローカルクロックを提供するためのシステムおよび方法 |
Country Status (3)
| Country | Link |
|---|---|
| JP (1) | JP2003519417A (ja) |
| AU (1) | AU5937100A (ja) |
| WO (1) | WO2000079348A2 (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006098113A (ja) * | 2004-09-28 | 2006-04-13 | Toshiba Corp | 放射線モニタシステム |
| JP2006236252A (ja) * | 2005-02-28 | 2006-09-07 | Fujitsu Ltd | セキュリティ装置、時刻校正装置、タイムスタンプ装置、電源供給制御方法および電源供給制御プログラム |
| JP2006318442A (ja) * | 2005-04-13 | 2006-11-24 | Forval Telecom Inc | イベントログ管理サーバ装置、イベント管理システム、イベントログ収集サーバ装置、イベントログ蓄積サーバ装置、イベントログ管理方法およびそのプログラム |
| JP2009118402A (ja) * | 2007-11-09 | 2009-05-28 | National Institute Of Information & Communication Technology | 標準時刻配信装置、タイムスタンプ装置、タイムスタンプ利用者用装置、時刻認証システム、時刻認証方法、および時刻認証プログラム |
| JP2009188608A (ja) * | 2008-02-05 | 2009-08-20 | Seiko Instruments Inc | タイムスタンプ装置及び方法 |
| JP2019530308A (ja) * | 2016-09-23 | 2019-10-17 | アップル インコーポレイテッドApple Inc. | ネットワークタイミング同期 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE60139689D1 (de) * | 2000-06-22 | 2009-10-08 | Univ Iowa Res Found | Kombination von CpG und Antikörpern gegen CD19,CD20,CD22 oder CD40 zur Prävention oder Behandlung von Krebs. |
| JP2002116695A (ja) | 2000-10-05 | 2002-04-19 | Ibm Japan Ltd | データ送受信システム、電子メール配信システム、データ送信方法、データ受信システム |
| GB2372597B (en) * | 2001-02-27 | 2005-08-10 | Hewlett Packard Co | Device and method for data timestamping |
| FI115811B (fi) * | 2001-06-27 | 2005-07-15 | Nokia Corp | Menetelmä aikatiedon tarkistamiseksi, järjestelmä ja päätelaite |
| EP1635529A1 (en) * | 2004-09-09 | 2006-03-15 | Daniel Akenine | Method and computer product for proving time and content of data records in a monitored system |
| DE602006016732D1 (de) * | 2006-03-28 | 2010-10-21 | Fraunhofer Ges Forschung | Flexible Erzeugung vertrauenswürdiger Zeitquellen |
| EP3422119B1 (fr) * | 2017-05-29 | 2021-06-30 | The Swatch Group Research and Development Ltd | Dispositif universel de préparation d'une montre |
| EP3719589A1 (fr) | 2018-05-21 | 2020-10-07 | The Swatch Group Research and Development Ltd | Dispositif universel de remontage et remise a l'heure d'une montre |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5001752A (en) * | 1989-10-13 | 1991-03-19 | Fischer Addison M | Public/key date-time notary facility |
| US5444780A (en) * | 1993-07-22 | 1995-08-22 | International Business Machines Corporation | Client/server based secure timekeeping system |
-
2000
- 2000-06-08 AU AU59371/00A patent/AU5937100A/en not_active Abandoned
- 2000-06-08 WO PCT/US2000/040168 patent/WO2000079348A2/en active Application Filing
- 2000-06-08 JP JP2001505251A patent/JP2003519417A/ja not_active Withdrawn
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006098113A (ja) * | 2004-09-28 | 2006-04-13 | Toshiba Corp | 放射線モニタシステム |
| JP4672321B2 (ja) * | 2004-09-28 | 2011-04-20 | 株式会社東芝 | 放射線モニタシステム |
| JP2006236252A (ja) * | 2005-02-28 | 2006-09-07 | Fujitsu Ltd | セキュリティ装置、時刻校正装置、タイムスタンプ装置、電源供給制御方法および電源供給制御プログラム |
| JP2006318442A (ja) * | 2005-04-13 | 2006-11-24 | Forval Telecom Inc | イベントログ管理サーバ装置、イベント管理システム、イベントログ収集サーバ装置、イベントログ蓄積サーバ装置、イベントログ管理方法およびそのプログラム |
| JP2009118402A (ja) * | 2007-11-09 | 2009-05-28 | National Institute Of Information & Communication Technology | 標準時刻配信装置、タイムスタンプ装置、タイムスタンプ利用者用装置、時刻認証システム、時刻認証方法、および時刻認証プログラム |
| JP2009188608A (ja) * | 2008-02-05 | 2009-08-20 | Seiko Instruments Inc | タイムスタンプ装置及び方法 |
| JP2019530308A (ja) * | 2016-09-23 | 2019-10-17 | アップル インコーポレイテッドApple Inc. | ネットワークタイミング同期 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2000079348A2 (en) | 2000-12-28 |
| WO2000079348A3 (en) | 2002-08-15 |
| WO2000079348A8 (en) | 2003-10-23 |
| AU5937100A (en) | 2001-01-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6393126B1 (en) | System and methods for generating trusted and authenticatable time stamps for electronic documents | |
| CA2378672C (en) | System and methods for proving dates in digital data files | |
| US20060080536A1 (en) | System and method for distributing trusted time | |
| US20050160272A1 (en) | System and method for providing trusted time in content of digital data files | |
| US8868914B2 (en) | System and methods for distributing trusted time | |
| EP2405621B1 (en) | A method of time synchronization communication | |
| EP1229424A2 (en) | Method and apparatus for synchronizing real-time clocks of time stamping cryptographic modules | |
| JP2003519417A (ja) | 信頼されるサードパーティクロックおよび信頼されるローカルクロックを提供するためのシステムおよび方法 | |
| JP2002501218A (ja) | 短寿命証明書によるクライアント側公開鍵認証方法とその装置 | |
| EP3808030B1 (en) | Managing blockchain-based centralized ledger systems | |
| JP4725978B2 (ja) | 時刻証明サーバ、時刻証明方法、及び時刻証明プログラム | |
| US20030041241A1 (en) | Privacy data communication method | |
| WO2003021860A2 (en) | Method and apparatus for constructing digital certificates | |
| US20020144120A1 (en) | Method and apparatus for constructing digital certificates | |
| JP5039931B2 (ja) | 情報処理装置 | |
| US20060129815A1 (en) | Generation of identities and authentication thereof | |
| JP2002182562A (ja) | 日時情報設定装置 | |
| JP3646055B2 (ja) | 時刻署名装置、その署名方法、時刻署名システム | |
| JP2007266797A (ja) | 認証システムおよびその認証方法 | |
| KR100760028B1 (ko) | 전자서명 인증서의 장기검증방법 및 시스템 | |
| JP4499027B2 (ja) | 時刻監査サーバ及び時刻監査方法 | |
| EP4270873A1 (en) | Embedded system support for secure time-aware authentication, acting and sensing devices | |
| JP2021038965A (ja) | タイムスタンプ装置、タイムスタンプシステム、タイムスタンプ方法及びプログラム | |
| CN116781195A (zh) | 桌面可信时间接入系统及其通信方法 | |
| JP2023066063A (ja) | タイムスタンプ発行システム、タイムスタンプ発行方法およびタイムスタンプ発行プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Withdrawal of application because of no request for examination |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20070904 |