JP2628619B2 - セキュア・タイムキーピング装置およびセキュア・タイム・サーバ - Google Patents
セキュア・タイムキーピング装置およびセキュア・タイム・サーバInfo
- Publication number
- JP2628619B2 JP2628619B2 JP6140369A JP14036994A JP2628619B2 JP 2628619 B2 JP2628619 B2 JP 2628619B2 JP 6140369 A JP6140369 A JP 6140369A JP 14036994 A JP14036994 A JP 14036994A JP 2628619 B2 JP2628619 B2 JP 2628619B2
- Authority
- JP
- Japan
- Prior art keywords
- time
- value
- clock
- secure
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1408—Protection against unauthorised use of memory or access to memory by using cryptography
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
- G06F21/725—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits operating on a secure reference time value
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2211/00—Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
- G06F2211/009—Trust
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Electric Clocks (AREA)
Description
【0001】
【産業上の利用分野】本発明は、コンピュータのデータ
のセキュリティ(security)に関し、より詳細にはクラ
イアント・サーバ型コンピュータ・ネットワークに使用
するセキュリティの確保されたセキュア・タイムキーピ
ング(secure timekeeping)装置に関する。
のセキュリティ(security)に関し、より詳細にはクラ
イアント・サーバ型コンピュータ・ネットワークに使用
するセキュリティの確保されたセキュア・タイムキーピ
ング(secure timekeeping)装置に関する。
【0002】
【従来の技術】コンピュータ・システムにおけるメディ
ア(すなわちデータ)のセキュリティは、従来、多重レ
ベルで実現されている。第1のセキュリティ・レベル
は、データへのアクセスを完全に拒否することを含む。
アクセス・レベルのセキュリティを実現するために、パ
スワード保護、論理パーティション、及びデータ暗号化
を含む多くの方法が存在する。暗号化の方法において
は、多数の錠と鍵のアーキテクチャが開発されてきた。
このようなアーキテクチャの1つが米国特許出願第92
8850号(後に米国特許第5224166号となっ
た)に開示されており、ここに参照する。上記特許によ
るアクセス・レベルのセキュリティは、ディジタル・メ
ディアの使用を、メディアの中央処理機構(Media Clea
ringhouse:サーバ)によって与えられた適切な許諾特
権を有するクライアント・ユーザに限定することを目的
としている。元のディジタル・メディアとしては、ファ
イルまたはデータ・オブジェクトに含まれるプログラム
・オブジェクト・コード、プログラム・ソース・コー
ド、イメージ、音声、ビデオ、文書または他の形式の情
報等があるが、これらは、内容作成者またはオーナーの
代わりにメディアの中央処理機構によってメディア・マ
スター鍵(Media Master Key)で暗号化される。次に、
メディア・マスター鍵は、許可されたクライアント・シ
ステムのそれぞれについての固有の専用鍵でさらに暗号
化される。その後、暗号化されたメディア及び暗号化さ
れたメディア・マスター鍵が、オープンで安全確保され
ていないチャネルを介して広範囲に分配される。
ア(すなわちデータ)のセキュリティは、従来、多重レ
ベルで実現されている。第1のセキュリティ・レベル
は、データへのアクセスを完全に拒否することを含む。
アクセス・レベルのセキュリティを実現するために、パ
スワード保護、論理パーティション、及びデータ暗号化
を含む多くの方法が存在する。暗号化の方法において
は、多数の錠と鍵のアーキテクチャが開発されてきた。
このようなアーキテクチャの1つが米国特許出願第92
8850号(後に米国特許第5224166号となっ
た)に開示されており、ここに参照する。上記特許によ
るアクセス・レベルのセキュリティは、ディジタル・メ
ディアの使用を、メディアの中央処理機構(Media Clea
ringhouse:サーバ)によって与えられた適切な許諾特
権を有するクライアント・ユーザに限定することを目的
としている。元のディジタル・メディアとしては、ファ
イルまたはデータ・オブジェクトに含まれるプログラム
・オブジェクト・コード、プログラム・ソース・コー
ド、イメージ、音声、ビデオ、文書または他の形式の情
報等があるが、これらは、内容作成者またはオーナーの
代わりにメディアの中央処理機構によってメディア・マ
スター鍵(Media Master Key)で暗号化される。次に、
メディア・マスター鍵は、許可されたクライアント・シ
ステムのそれぞれについての固有の専用鍵でさらに暗号
化される。その後、暗号化されたメディア及び暗号化さ
れたメディア・マスター鍵が、オープンで安全確保され
ていないチャネルを介して広範囲に分配される。
【0003】別のメディア・セキュリティとしては、一
旦アクセスが許可されると適用されるもので、時刻に基
づいてアクセスを制限するものがある。クライアント/
サーバ型ネットワークにおいては、時刻ベースの制限自
体が、サーバによりアクセスを許可された時間帯と現在
時刻との比較を行うものである。現在時刻は、通常、ク
ライアントのコンピュータ・システムの日時(time of
day:TOD)クロックに記憶された時刻である。しか
しながら、この比較と基本的に時刻ベースによる制限
は、アクセス機構に対してアクセス時間帯が依然として
アクティブであると誤って認識させるようシステム・ク
ロックを進めたり遅らせたり簡単にセットできる侵入
者、倫理観に欠ける管理者、又は精通したユーザによっ
て容易に無効にされてしまいがちである。さらに、たと
えクライアントのTODクロックが侵害を受けにくいも
のであっても、オーバタイムによりその値が現在時刻か
らずれてしまうドリフトや不安定さといった不正確さを
常に含みがちである。クロックのドリフトは、一定の度
合いで時間を遅らせたり進めさせたりする予測可能な定
常的な不正確さである。クロックの不安定さは、クロッ
クのドリフト成分を変化させるような予測不能な不正確
さである。不安定さを引き起こす要因としては、気温、
湿度、電源電圧などが含まれる。最後に、前述の問題点
よりもさらに悪い点は、電源遮断のような致命的な事故
の場合、クライアントのTOD値が実際の現在時刻から
急激にずれることである。
旦アクセスが許可されると適用されるもので、時刻に基
づいてアクセスを制限するものがある。クライアント/
サーバ型ネットワークにおいては、時刻ベースの制限自
体が、サーバによりアクセスを許可された時間帯と現在
時刻との比較を行うものである。現在時刻は、通常、ク
ライアントのコンピュータ・システムの日時(time of
day:TOD)クロックに記憶された時刻である。しか
しながら、この比較と基本的に時刻ベースによる制限
は、アクセス機構に対してアクセス時間帯が依然として
アクティブであると誤って認識させるようシステム・ク
ロックを進めたり遅らせたり簡単にセットできる侵入
者、倫理観に欠ける管理者、又は精通したユーザによっ
て容易に無効にされてしまいがちである。さらに、たと
えクライアントのTODクロックが侵害を受けにくいも
のであっても、オーバタイムによりその値が現在時刻か
らずれてしまうドリフトや不安定さといった不正確さを
常に含みがちである。クロックのドリフトは、一定の度
合いで時間を遅らせたり進めさせたりする予測可能な定
常的な不正確さである。クロックの不安定さは、クロッ
クのドリフト成分を変化させるような予測不能な不正確
さである。不安定さを引き起こす要因としては、気温、
湿度、電源電圧などが含まれる。最後に、前述の問題点
よりもさらに悪い点は、電源遮断のような致命的な事故
の場合、クライアントのTOD値が実際の現在時刻から
急激にずれることである。
【0004】従来の技術において、信頼性のある又は安
全確保された時刻(セキュア・タイム:secure time)
のソースを提供する課題は、サーバ・コンピュータ・シ
ステムから暗号化されたタイムスタンプを定期的に発生
することによってこれまでは解決されてきた。1つの手
法では、タイムスタンプがクライアントに送られ、そこ
で解読され、アクセスを制限するための基本として用い
られる。この手法は、信頼性のある不連続な時刻値を与
えることに限界があるという欠点を有する。すなわちこ
の手法は、クロック自身は信頼性があるので、クライア
ントTODクロックをセットし維持する問題に対処する
ものではない。第2の手法では、クライアントに電子文
書を分配する前に、暗号化されたタイムスタンプがサー
バによってその電子文書に与えられる。クライアント側
において、タイムスタンプはその文書にアクセスするた
めの基本として用いられる。しかしながら、前述の手法
と同様にこのシステムは、安全確保されていない環境で
安全性のあるTODクロックを提供することよりも、一
定数の信用できるタイムスタンプを与えることの方に限
界がある。
全確保された時刻(セキュア・タイム:secure time)
のソースを提供する課題は、サーバ・コンピュータ・シ
ステムから暗号化されたタイムスタンプを定期的に発生
することによってこれまでは解決されてきた。1つの手
法では、タイムスタンプがクライアントに送られ、そこ
で解読され、アクセスを制限するための基本として用い
られる。この手法は、信頼性のある不連続な時刻値を与
えることに限界があるという欠点を有する。すなわちこ
の手法は、クロック自身は信頼性があるので、クライア
ントTODクロックをセットし維持する問題に対処する
ものではない。第2の手法では、クライアントに電子文
書を分配する前に、暗号化されたタイムスタンプがサー
バによってその電子文書に与えられる。クライアント側
において、タイムスタンプはその文書にアクセスするた
めの基本として用いられる。しかしながら、前述の手法
と同様にこのシステムは、安全確保されていない環境で
安全性のあるTODクロックを提供することよりも、一
定数の信用できるタイムスタンプを与えることの方に限
界がある。
【0005】セキュア・タイムを提供する第3の従来の
手法は、サーバよりもむしろクライアントに注目したも
のである。クライアントのTOD機構は、最初は適当な
時刻を用いてセットされる。次に、信頼できる監視者が
このセット時刻を検証することにより、この時刻を信頼
できる時刻(trusted time)とする。各セットの間の正
確さを維持するために、多数のクロックが用いられ、信
頼できる時刻を得るためにそれらの値を平均化する。こ
の方法は個々のタイムスタンプ及びドリフトや不安定の
問題に対処しようとしたものであるが、そのセット自体
に重大な欠点がある。第1に監視者は信頼できる時刻を
確定しなければならないので、かなり小さなシステム以
外では、すなわちネットワークのごく一部以外では実用
的でない。第2に、検証プロセスは人間による介入を必
要とするので、人間により通常被る全ての故障モードす
なわちエラー、怠慢、ごまかしなどを受けやすい。第3
に、正確さを維持するために多数のクロックを使用する
ことは、高価でありかつ一貫性がない。多くの場合、平
均値でさえ実際の時間からすぐにはずれてしまうであろ
う。
手法は、サーバよりもむしろクライアントに注目したも
のである。クライアントのTOD機構は、最初は適当な
時刻を用いてセットされる。次に、信頼できる監視者が
このセット時刻を検証することにより、この時刻を信頼
できる時刻(trusted time)とする。各セットの間の正
確さを維持するために、多数のクロックが用いられ、信
頼できる時刻を得るためにそれらの値を平均化する。こ
の方法は個々のタイムスタンプ及びドリフトや不安定の
問題に対処しようとしたものであるが、そのセット自体
に重大な欠点がある。第1に監視者は信頼できる時刻を
確定しなければならないので、かなり小さなシステム以
外では、すなわちネットワークのごく一部以外では実用
的でない。第2に、検証プロセスは人間による介入を必
要とするので、人間により通常被る全ての故障モードす
なわちエラー、怠慢、ごまかしなどを受けやすい。第3
に、正確さを維持するために多数のクロックを使用する
ことは、高価でありかつ一貫性がない。多くの場合、平
均値でさえ実際の時間からすぐにはずれてしまうであろ
う。
【0006】最後の従来技術の方法は、クライアント及
びサーバの双方に対して提供されるもので、前述したシ
ステムの幾つかの欠点を解消するために開発された。こ
の方法において、サーバは、秘密鍵、時刻値、及び認証
装置IDを用いる暗号化された認証コードを作成する。
次にサーバは、認証装置ID、暗号化認証コード、及び
クライアントからのランダム数字に沿って、要求してい
るクライアント・コンピュータへ時刻を送る。この時刻
を受け取ると、クライアントは暗号化認証コードとラン
ダム数字をチェックし、時刻値のセキュリティを検証す
る。電源遮断により生ずる故障に対して保護するため
に、クライアントは、有効な暗号化認証コードとランダ
ム数字をサーバが受取るまでは立上げを避ける機構を有
する。
びサーバの双方に対して提供されるもので、前述したシ
ステムの幾つかの欠点を解消するために開発された。こ
の方法において、サーバは、秘密鍵、時刻値、及び認証
装置IDを用いる暗号化された認証コードを作成する。
次にサーバは、認証装置ID、暗号化認証コード、及び
クライアントからのランダム数字に沿って、要求してい
るクライアント・コンピュータへ時刻を送る。この時刻
を受け取ると、クライアントは暗号化認証コードとラン
ダム数字をチェックし、時刻値のセキュリティを検証す
る。電源遮断により生ずる故障に対して保護するため
に、クライアントは、有効な暗号化認証コードとランダ
ム数字をサーバが受取るまでは立上げを避ける機構を有
する。
【0007】
【発明が解決しようとする課題】この方法は、前述の問
題点を改善しているけれども、ある欠点も負っており問
題点も残っている。第1に、この方法は信頼できる時刻
が得られなければクライアント・システムが動作しない
ため、クライアント・システムは信頼できる時刻へのア
クセスを必要としないタスクでさえも用いることができ
ない。第2に、クライアント・クロックにおけるドリフ
ト及び不安定の問題に対処していない。従って、クライ
アントのTODクロックが不正確なためにすぐに信頼性
が無くなることになる。
題点を改善しているけれども、ある欠点も負っており問
題点も残っている。第1に、この方法は信頼できる時刻
が得られなければクライアント・システムが動作しない
ため、クライアント・システムは信頼できる時刻へのア
クセスを必要としないタスクでさえも用いることができ
ない。第2に、クライアント・クロックにおけるドリフ
ト及び不安定の問題に対処していない。従って、クライ
アントのTODクロックが不正確なためにすぐに信頼性
が無くなることになる。
【0008】以上のように、クライアント/サーバ型ネ
ットワークに用いるセキュア・タイムキーピング装置の
必要性に対して適切な対応がなされていない。本発明の
目的は、クライアントのTODクロックをセットするた
めにサーバが発生した信頼できる時刻値を提供すること
により、クライアント・システムは信頼できる時刻値が
なくても機能し、さらに一旦信頼できる時刻値を与える
と、クライアント・クロックの正確さを維持するような
装置を提供することである。
ットワークに用いるセキュア・タイムキーピング装置の
必要性に対して適切な対応がなされていない。本発明の
目的は、クライアントのTODクロックをセットするた
めにサーバが発生した信頼できる時刻値を提供すること
により、クライアント・システムは信頼できる時刻値が
なくても機能し、さらに一旦信頼できる時刻値を与える
と、クライアント・クロックの正確さを維持するような
装置を提供することである。
【0009】
【課題を解決するための手段】本発明によれば、クライ
アント/サーバベースの安全確保されたタイムキーピン
グ・コンピュータ・システムを提供する。セキュア・タ
イム・サーバ・コンピュータ・システムは、物理的に信
頼性のある環境に設置されており、クライアント/サー
バ型ネットワークにおけるクライアントに対応する公開
/専用鍵対のテーブルを含む鍵記憶エリアとともに、高
精度の時刻(TOD)クロックを有する。クライアント
ベースの要求に応答して、またはインターバル・ブロー
ドキャスト(interval-broadcasting)方法の一部分と
して、サーバは要求しているクライアントまたは選択さ
れたクライアントに対応する専用鍵を用いてそのTOD
クロックから現在時刻値を暗号化する。次に、暗号化さ
れた時刻値はオープンな通信チャネルを介してクライア
ントへ送られる。
アント/サーバベースの安全確保されたタイムキーピン
グ・コンピュータ・システムを提供する。セキュア・タ
イム・サーバ・コンピュータ・システムは、物理的に信
頼性のある環境に設置されており、クライアント/サー
バ型ネットワークにおけるクライアントに対応する公開
/専用鍵対のテーブルを含む鍵記憶エリアとともに、高
精度の時刻(TOD)クロックを有する。クライアント
ベースの要求に応答して、またはインターバル・ブロー
ドキャスト(interval-broadcasting)方法の一部分と
して、サーバは要求しているクライアントまたは選択さ
れたクライアントに対応する専用鍵を用いてそのTOD
クロックから現在時刻値を暗号化する。次に、暗号化さ
れた時刻値はオープンな通信チャネルを介してクライア
ントへ送られる。
【0010】ネットワークの各クライアントは、公開/
専用鍵の対、中央演算処理装置(CPU)及び解読機構
を含む自分自身のセキュア・タイムキーピング装置を備
えており、そのすべてが、1つの不正対応VLSIチッ
プの安全領域内に格納されている。セキュア・タイムの
伝送を受け取ると、クライアントはその専用鍵の自分自
身のコピーを用いて時刻値を解読し、次に解読された時
刻値をそのTODクロックにロードする。
専用鍵の対、中央演算処理装置(CPU)及び解読機構
を含む自分自身のセキュア・タイムキーピング装置を備
えており、そのすべてが、1つの不正対応VLSIチッ
プの安全領域内に格納されている。セキュア・タイムの
伝送を受け取ると、クライアントはその専用鍵の自分自
身のコピーを用いて時刻値を解読し、次に解読された時
刻値をそのTODクロックにロードする。
【0011】鍵の対、CPU、及び解読機構に加えて、
各クライアントにおける不正対応VLSIチップ(セキ
ュア・タイムキーピング装置)は認証時刻インジケータ
を有する。このインジケータは、TODクロックが信頼
できる時刻を有することを示す場合はTRUEにセット
され、TODクロックの現時刻が信頼できないことを示
す場合はFALSEにセットされる。認証時刻インジケ
ータは、クライアント・システムがパワーオンされると
き、または電圧低下状態が検出されるとき、FALSE
に初期化される。クライアント・プログラムは、認証時
刻インジケータを読取り専用ベースで利用することがで
きる。セキュア・タイムを必要とするプログラムは、実
行前に認証時刻インジケータを検査しなければならな
い。一方、セキュア・タイムを必要としないプログラム
は、無関係に実行することができる。よって、たとえ信
頼できる時刻値が得られなくても、有用な処理タスクは
依然としてクライアント・コンピュータ・システム上で
実行される。
各クライアントにおける不正対応VLSIチップ(セキ
ュア・タイムキーピング装置)は認証時刻インジケータ
を有する。このインジケータは、TODクロックが信頼
できる時刻を有することを示す場合はTRUEにセット
され、TODクロックの現時刻が信頼できないことを示
す場合はFALSEにセットされる。認証時刻インジケ
ータは、クライアント・システムがパワーオンされると
き、または電圧低下状態が検出されるとき、FALSE
に初期化される。クライアント・プログラムは、認証時
刻インジケータを読取り専用ベースで利用することがで
きる。セキュア・タイムを必要とするプログラムは、実
行前に認証時刻インジケータを検査しなければならな
い。一方、セキュア・タイムを必要としないプログラム
は、無関係に実行することができる。よって、たとえ信
頼できる時刻値が得られなくても、有用な処理タスクは
依然としてクライアント・コンピュータ・システム上で
実行される。
【0012】一旦、クライアントTODクロックの信頼
できる時刻値がセットされた後にその正確さを継続的に
維持するために、セキュア・タイムキーピング装置はさ
らに、更正機構とクロック安定性監視機構とを備えてい
る。更正調整レジスタ、精度持続レジスタ、及びクロッ
ク更正器がクライアントの不正対応VLSIチップ内に
設けられる。サーバ・システム内では、CPUはクライ
アント・クロックの更正調整値及びクライアント・クロ
ックの安定値を計算する機能を備えている。さらに別の
サーバ記憶装置が、様々なクライアント・クロックに対
してその更正履歴と安定性履歴とを保持するために設け
られている。
できる時刻値がセットされた後にその正確さを継続的に
維持するために、セキュア・タイムキーピング装置はさ
らに、更正機構とクロック安定性監視機構とを備えてい
る。更正調整レジスタ、精度持続レジスタ、及びクロッ
ク更正器がクライアントの不正対応VLSIチップ内に
設けられる。サーバ・システム内では、CPUはクライ
アント・クロックの更正調整値及びクライアント・クロ
ックの安定値を計算する機能を備えている。さらに別の
サーバ記憶装置が、様々なクライアント・クロックに対
してその更正履歴と安定性履歴とを保持するために設け
られている。
【0013】クライアントがセキュア・タイム値を要求
するとき、その要求の中には、認証時刻インジケータ、
そのTODクロック、その更正調整レジスタ及びその精
度持続レジスタの現在値が含まれる。要求を受け取る
と、サーバはまず認証時刻インジケータの値がTRUE
かどうかを判断する。もしTRUEであれば、サーバは
受け取ったTODクロック値とサーバのTODクロック
の現在値との差(クライアント・クロックのドリフト)
を用いて、クライアント・クロックの新しい更正調整値
を計算する。次に、サーバは、そのクライアントについ
て記憶された安定度データに対するクライアント・クロ
ックのドリフトと受け取ったクライアント精度持続値と
を比較し、新しい精度持続値を計算する。最後に、サー
バは、クライアント・クロックの新しい更正値と精度持
続値を現サーバのTODクロック値とともに暗号化し、
クライアントへの応答を伝送する。
するとき、その要求の中には、認証時刻インジケータ、
そのTODクロック、その更正調整レジスタ及びその精
度持続レジスタの現在値が含まれる。要求を受け取る
と、サーバはまず認証時刻インジケータの値がTRUE
かどうかを判断する。もしTRUEであれば、サーバは
受け取ったTODクロック値とサーバのTODクロック
の現在値との差(クライアント・クロックのドリフト)
を用いて、クライアント・クロックの新しい更正調整値
を計算する。次に、サーバは、そのクライアントについ
て記憶された安定度データに対するクライアント・クロ
ックのドリフトと受け取ったクライアント精度持続値と
を比較し、新しい精度持続値を計算する。最後に、サー
バは、クライアント・クロックの新しい更正値と精度持
続値を現サーバのTODクロック値とともに暗号化し、
クライアントへの応答を伝送する。
【0014】サーバからの応答を受け取ると、クライア
ントはその専用鍵を用いて更正調整値、精度持続値及び
TODクロック値を解読する。更正調整値と精度持続値
は、それぞれのレジスタに記憶される。TODクロック
は、そのTODクロック値でセットされ、認証時刻イン
ジケータはTRUEにセットされる。クライアントのT
ODクロックが進行するにともない、更正機構は更正調
整レジスタの値に従って定期的に時刻を調整する。一
方、クライアントCPUは、精度持続レジスタに対する
TODクロックの進行を追跡する。TODクロックが精
度持続レジスタによって指示された時刻に到達すると、
認証時刻インジケータはFALSEにセットされ、信頼
できる時刻を必要とする処理をそれ以上行わないように
する。
ントはその専用鍵を用いて更正調整値、精度持続値及び
TODクロック値を解読する。更正調整値と精度持続値
は、それぞれのレジスタに記憶される。TODクロック
は、そのTODクロック値でセットされ、認証時刻イン
ジケータはTRUEにセットされる。クライアントのT
ODクロックが進行するにともない、更正機構は更正調
整レジスタの値に従って定期的に時刻を調整する。一
方、クライアントCPUは、精度持続レジスタに対する
TODクロックの進行を追跡する。TODクロックが精
度持続レジスタによって指示された時刻に到達すると、
認証時刻インジケータはFALSEにセットされ、信頼
できる時刻を必要とする処理をそれ以上行わないように
する。
【0015】
【実施例】図1に、本発明によるクライアント/サーバ
ベースの安全確保されたタイムキーピング・システムの
基本的な機能を説明した機能図を示す。コンピュータ・
ネットワーク100は、クライアント・コンピュータ・
システム102とサーバ・コンピュータ・システム12
0とを有する。クライアント・コンピュータ・システム
102は、データ暗号化/解読プロセッサ106を組込
んだクライアント中央処理装置(CPU)104、時刻
(TOD)クロック108、専用鍵レジスタ110、公
開鍵レジスタ112、及びセキュア・タイムのデータ伝
送を要求し受け取る入出力(I/O)ポート114をさ
らに有する。サーバ・コンピュータ・システム120
は、データ暗号化/解読プロセッサ124を組込んだサ
ーバCPU122、TODクロック126、I/Oポー
ト128、及び電子記憶装置130をさらに有する。ク
ライアント及びサーバの双方のTODクロック108及
び126は、時刻クロックと日付カレンダーを有する。
クライアントTODクロック108は、クライアント・
コンピュータ・システムの製品寿命の間には0に戻らな
いことを保証できるだけの十分なビット数を有すること
が好ましい。サーバTODクロック126は、好適には
グリニッジ標準時(GMT)に定期的に同期させられ、
そしてGMTもしくは協定世界時(Coordinated Univer
sal Time)による時刻値またはGMTからずれたいずれ
かの地域における時刻値を報告する。公開鍵レジスタ1
12に記憶されたクライアントの公開鍵の値は、クライ
アント・システムを独自に識別する任意の値である。こ
の値は、クライアント・システムのシステム・シリアル
番号であることが好ましい。専用鍵レジスタ110に記
憶されたクライアントの専用鍵は、サーバの電子記憶装
置130に格納された同様の専用鍵と対応している。ど
ちらの専用鍵もユーザに利用できるようには作成されて
いない。公開/専用鍵システム、そのアーキテクチャ及
び利用の詳細については本発明の要旨ではないが、前述
の米国特許第928850号に開示されている。公開さ
れている文献に記載された鍵ベースの安全確保アーキテ
クチャは、本発明を用いて容易に置換えることができ
る。
ベースの安全確保されたタイムキーピング・システムの
基本的な機能を説明した機能図を示す。コンピュータ・
ネットワーク100は、クライアント・コンピュータ・
システム102とサーバ・コンピュータ・システム12
0とを有する。クライアント・コンピュータ・システム
102は、データ暗号化/解読プロセッサ106を組込
んだクライアント中央処理装置(CPU)104、時刻
(TOD)クロック108、専用鍵レジスタ110、公
開鍵レジスタ112、及びセキュア・タイムのデータ伝
送を要求し受け取る入出力(I/O)ポート114をさ
らに有する。サーバ・コンピュータ・システム120
は、データ暗号化/解読プロセッサ124を組込んだサ
ーバCPU122、TODクロック126、I/Oポー
ト128、及び電子記憶装置130をさらに有する。ク
ライアント及びサーバの双方のTODクロック108及
び126は、時刻クロックと日付カレンダーを有する。
クライアントTODクロック108は、クライアント・
コンピュータ・システムの製品寿命の間には0に戻らな
いことを保証できるだけの十分なビット数を有すること
が好ましい。サーバTODクロック126は、好適には
グリニッジ標準時(GMT)に定期的に同期させられ、
そしてGMTもしくは協定世界時(Coordinated Univer
sal Time)による時刻値またはGMTからずれたいずれ
かの地域における時刻値を報告する。公開鍵レジスタ1
12に記憶されたクライアントの公開鍵の値は、クライ
アント・システムを独自に識別する任意の値である。こ
の値は、クライアント・システムのシステム・シリアル
番号であることが好ましい。専用鍵レジスタ110に記
憶されたクライアントの専用鍵は、サーバの電子記憶装
置130に格納された同様の専用鍵と対応している。ど
ちらの専用鍵もユーザに利用できるようには作成されて
いない。公開/専用鍵システム、そのアーキテクチャ及
び利用の詳細については本発明の要旨ではないが、前述
の米国特許第928850号に開示されている。公開さ
れている文献に記載された鍵ベースの安全確保アーキテ
クチャは、本発明を用いて容易に置換えることができ
る。
【0016】動作中に、サーバ・コンピュータ・システ
ム120は、1又は複数のクライアント・コンピュータ
・システム102によって用いられるセキュア・タイム
情報を提供する。本発明の一実施例では、セキュア・タ
イムの伝送は、クライアント・コンピュータ・システム
102により出された要求で開始される。この要求は公
開鍵レジスタ112の値を含み、そしてI/Oポートを
経て、オープンで安全確保されていない通信チャネルを
介してサーバ120へ送られる。公開鍵の値は、クライ
アント・コンピュータ・システムの製造業者のシリアル
番号、またはクライアント・コンピュータ・システムが
利用できる他の任意の固有の識別子である。ユーザが、
その後に続くサーバの伝送を妨害したり、公開鍵の値を
記録したり、後にクライアントへ再生したり(それによ
って、信頼できる時刻を提供するシステムの機能が損な
われる)できないように、メッセージ認証コード(MA
C)も、クライアントの要求伝送に含まれる。このMA
Cは、個々のセキュア・タイム要求を識別するためにク
ライアントにより作成される固有のストリングである。
これは、伝送に先立ちクライアントによって暗号化され
る。引き続いてサーバが安全確保された時刻値を伝送す
るとき、そのMACはクライアントへ返送される。クラ
イアントは、要求のために作成したMACと返送された
MACを照合することにより、サーバによる伝送が、先
に行ったいずれかの要求に対する応答ではなく本当に今
現在行っている要求に対する応答であることを確認す
る。MACの利用については、公知の暗号文献に詳細に
説明されているので本明細書では繰返して述べない。前
述の識別基準に適合するいずれの利用可能なMAC方法
であっても、CPU104におけるサポート機能と関連
する1又は複数の別のレジスタを用いることにより、本
発明とともに実施することができる。
ム120は、1又は複数のクライアント・コンピュータ
・システム102によって用いられるセキュア・タイム
情報を提供する。本発明の一実施例では、セキュア・タ
イムの伝送は、クライアント・コンピュータ・システム
102により出された要求で開始される。この要求は公
開鍵レジスタ112の値を含み、そしてI/Oポートを
経て、オープンで安全確保されていない通信チャネルを
介してサーバ120へ送られる。公開鍵の値は、クライ
アント・コンピュータ・システムの製造業者のシリアル
番号、またはクライアント・コンピュータ・システムが
利用できる他の任意の固有の識別子である。ユーザが、
その後に続くサーバの伝送を妨害したり、公開鍵の値を
記録したり、後にクライアントへ再生したり(それによ
って、信頼できる時刻を提供するシステムの機能が損な
われる)できないように、メッセージ認証コード(MA
C)も、クライアントの要求伝送に含まれる。このMA
Cは、個々のセキュア・タイム要求を識別するためにク
ライアントにより作成される固有のストリングである。
これは、伝送に先立ちクライアントによって暗号化され
る。引き続いてサーバが安全確保された時刻値を伝送す
るとき、そのMACはクライアントへ返送される。クラ
イアントは、要求のために作成したMACと返送された
MACを照合することにより、サーバによる伝送が、先
に行ったいずれかの要求に対する応答ではなく本当に今
現在行っている要求に対する応答であることを確認す
る。MACの利用については、公知の暗号文献に詳細に
説明されているので本明細書では繰返して述べない。前
述の識別基準に適合するいずれの利用可能なMAC方法
であっても、CPU104におけるサポート機能と関連
する1又は複数の別のレジスタを用いることにより、本
発明とともに実施することができる。
【0017】サーバI/Oポート128においてセキュ
ア・タイム要求を受取ると、電子記憶装置130は、公
開鍵に基づいて相互参照の専用秘密鍵へアクセスされ
る。サーバTODクロック126から値が読取られ、暗
号化/解読プロセッサ124が相互参照の専用鍵を用い
てその値を暗号化する。次にサーバ・システム120
は、暗号化された時刻と日付情報を含む応答伝送を作成
し、I/Oポート128を介してその伝送をクライアン
ト・システム102へ送り返す。
ア・タイム要求を受取ると、電子記憶装置130は、公
開鍵に基づいて相互参照の専用秘密鍵へアクセスされ
る。サーバTODクロック126から値が読取られ、暗
号化/解読プロセッサ124が相互参照の専用鍵を用い
てその値を暗号化する。次にサーバ・システム120
は、暗号化された時刻と日付情報を含む応答伝送を作成
し、I/Oポート128を介してその伝送をクライアン
ト・システム102へ送り返す。
【0018】クライアント・システム102においてセ
キュア・タイムの応答が受取られると、専用鍵レジスタ
110から専用鍵のクライアントによる複写が抽出さ
れ、暗号化されていない時刻及び日付情報を発生するた
めに暗号化/解読プロセッサ106により用いられる。
そしてそれらの情報はクライアントTODクロック10
8へ書込まれる。クライアントTODクロック108の
信頼できる時刻値は、引き続いてメディア・ライセンス
(媒体許可)に設定された時間制限を実効化するために
用いられる。従って、例えばデジタル・ビデオ伝送やソ
フトウェア・パッケージの試用複写とともに受信された
電子的ライセンスによりそのライセンスが時刻Xに切れ
るべきであることが示された場合、そのビデオの映写や
ソフトウェアの実行を行う前にクライアント・システム
の許可ソフトウェアによりTODクロックの検査が行わ
れる。もしTODクロック値が時刻X以前の時刻であれ
ば、許可ソフトウェアは、映写や実行を開始することを
許可する。もしTODクロック値が時刻Xを過ぎていれ
ば、許可ソフトウェアは、許可時間の満了に基づき映写
や実行を禁止する。クライアントの視点からみると、ク
ライアント・システム(消費者)が人間の介入を必要と
することなく高精度のTODクロックを与えられると云
う別の利点が明らかである。さらに、クライアントTO
Dクロックは、所望のフォームで表示することが可能で
ある。そしてまた、ユーザにとっての利点は、サーバ
が、日光節約時間(daylight saving time)等の法令に
より定められた時刻変更に関しても任意に更新を行うこ
とができることである。これにより、消費者はこれらの
頻度の少ない事象を覚えておく必要がなくなる。
キュア・タイムの応答が受取られると、専用鍵レジスタ
110から専用鍵のクライアントによる複写が抽出さ
れ、暗号化されていない時刻及び日付情報を発生するた
めに暗号化/解読プロセッサ106により用いられる。
そしてそれらの情報はクライアントTODクロック10
8へ書込まれる。クライアントTODクロック108の
信頼できる時刻値は、引き続いてメディア・ライセンス
(媒体許可)に設定された時間制限を実効化するために
用いられる。従って、例えばデジタル・ビデオ伝送やソ
フトウェア・パッケージの試用複写とともに受信された
電子的ライセンスによりそのライセンスが時刻Xに切れ
るべきであることが示された場合、そのビデオの映写や
ソフトウェアの実行を行う前にクライアント・システム
の許可ソフトウェアによりTODクロックの検査が行わ
れる。もしTODクロック値が時刻X以前の時刻であれ
ば、許可ソフトウェアは、映写や実行を開始することを
許可する。もしTODクロック値が時刻Xを過ぎていれ
ば、許可ソフトウェアは、許可時間の満了に基づき映写
や実行を禁止する。クライアントの視点からみると、ク
ライアント・システム(消費者)が人間の介入を必要と
することなく高精度のTODクロックを与えられると云
う別の利点が明らかである。さらに、クライアントTO
Dクロックは、所望のフォームで表示することが可能で
ある。そしてまた、ユーザにとっての利点は、サーバ
が、日光節約時間(daylight saving time)等の法令に
より定められた時刻変更に関しても任意に更新を行うこ
とができることである。これにより、消費者はこれらの
頻度の少ない事象を覚えておく必要がなくなる。
【0019】図2は、本発明によるセキュア・タイムキ
ーピング機構を有するクライアント・コンピュータ・シ
ステムの構造と相互関係を詳細に示した機能図である。
クライアント・コンピュータ・システムは102で示さ
れている。このシステムは、クライアント・コンピュー
タ・プロセッサ202、表示画面204、入力装置20
6、外部記憶装置208、及びI/0ポート114を含
む。入力装置206は、キーボード、ジョイスティック
又は他のいずれかのオペレータ−マシン間通信装置であ
る。外部記憶装置208としては、ランダム・アクセス
・メモリ、ディスク記憶装置、テープ記憶装置等があ
る。クライアント・コンピュータ・プロセッサ202
は、セキュア・タイムキーピング機構214を含む。セ
キュア・タイムキーピング機構は、その全体が物理的に
安全確保された電子パッケージ216に格納されてい
る。セキュア・パッケージ216の内部には、クライア
ントCPU104(これはタイムキーピング以外にも多
くの機能を実行する)、クライアントTODクロック1
08、専用鍵レジスタ110と公開鍵レジスタ112、
内部電子記憶装置(キャッシュ)212、認証時刻イン
ジケータ218、精度持続レジスタ220、及び更正調
整レジスタ222がある。クライアントCPU104は
さらに、制御、論理、及び演算回路(図示せず)の他
に、暗号化/解読プロセッサ106とクロック更正器2
24、及びCPUがセキュア・タイムキーピング装置2
14の他の様々な構成要素の設定と読取りを行うための
電子回路を備えている。クライアントTODクロック1
08は、CPU104からの時刻と日付の値及びクロッ
ク更正器224からの更正調整を受信するための入力を
備えている。同様に、CPU又はプログラムの要求に応
じて時刻と日付の値を与えるための出力も備えている。
クライアントTODクロックは、公知の文献による様々
ないずれの手法によって実現されるものでもよく、全て
の構造部品は物理的に安全確保された電子パッケージ2
16に収納されている。好適例は、クロック・パルス発
生器により増分されるクロック・レジスタを含む。
ーピング機構を有するクライアント・コンピュータ・シ
ステムの構造と相互関係を詳細に示した機能図である。
クライアント・コンピュータ・システムは102で示さ
れている。このシステムは、クライアント・コンピュー
タ・プロセッサ202、表示画面204、入力装置20
6、外部記憶装置208、及びI/0ポート114を含
む。入力装置206は、キーボード、ジョイスティック
又は他のいずれかのオペレータ−マシン間通信装置であ
る。外部記憶装置208としては、ランダム・アクセス
・メモリ、ディスク記憶装置、テープ記憶装置等があ
る。クライアント・コンピュータ・プロセッサ202
は、セキュア・タイムキーピング機構214を含む。セ
キュア・タイムキーピング機構は、その全体が物理的に
安全確保された電子パッケージ216に格納されてい
る。セキュア・パッケージ216の内部には、クライア
ントCPU104(これはタイムキーピング以外にも多
くの機能を実行する)、クライアントTODクロック1
08、専用鍵レジスタ110と公開鍵レジスタ112、
内部電子記憶装置(キャッシュ)212、認証時刻イン
ジケータ218、精度持続レジスタ220、及び更正調
整レジスタ222がある。クライアントCPU104は
さらに、制御、論理、及び演算回路(図示せず)の他
に、暗号化/解読プロセッサ106とクロック更正器2
24、及びCPUがセキュア・タイムキーピング装置2
14の他の様々な構成要素の設定と読取りを行うための
電子回路を備えている。クライアントTODクロック1
08は、CPU104からの時刻と日付の値及びクロッ
ク更正器224からの更正調整を受信するための入力を
備えている。同様に、CPU又はプログラムの要求に応
じて時刻と日付の値を与えるための出力も備えている。
クライアントTODクロックは、公知の文献による様々
ないずれの手法によって実現されるものでもよく、全て
の構造部品は物理的に安全確保された電子パッケージ2
16に収納されている。好適例は、クロック・パルス発
生器により増分されるクロック・レジスタを含む。
【0020】動作中に、クライアント・コンピュータ・
システム102は、入力装置206を介して命令を受取
り、内部記憶装置212及び外部記憶装置208に対し
てデータの読取りと書込みを行い、表示画面204上に
状態、結果及び他のフィードバックを出力することによ
り、認証された時刻を用いる又は用いない有用なタスク
を処理する。システムのパワーオン時及びシステムがT
ODクロック108の認証された時刻値なしで動作する
他の全ての時点においては、認証時刻インジケータ21
8はCPU104によりFALSEにセットされる。セ
キュア・タイムと無関係なタスクは、通常どおり実行さ
れる。TODクロック108は、ユーザ、ソフトウェア
又は別のシステム等が任意の値にセットしてもよい。し
かしながら、認証時刻インジケータ218は、物理的に
安全確保された電子パッケージ216内のCPU104
以外のものによってはセットできない。その一方で、認
証時刻インジケータ218は、コンピュータ・システム
102内で実行されるいずれのプログラムも読取り専用
ベースで利用することができる。従って、もし時間制限
のあるライセンスをもつプログラムが開始された場合、
又はユーザが時間制限のあるライセンスをもつメディア
(録音、映画等)を使用しようとする場合、開始ソフト
ウェアは、認証時刻インジケータの値を読取ることによ
りTODクロック値が実行開始を許可するベースとして
信頼できるか否かを速やかに判断することができる。も
しその値がFALSEである場合、実行は拒否される。
さらに好適例においては、妥当性検証プロセスが損われ
ることを防ぐために、開始ソフトウェア自身が暗号化さ
れたコード・セグメントで実行される。このプロセスに
ついての詳細は前述の米国特許出願第928850号に
記載されている。
システム102は、入力装置206を介して命令を受取
り、内部記憶装置212及び外部記憶装置208に対し
てデータの読取りと書込みを行い、表示画面204上に
状態、結果及び他のフィードバックを出力することによ
り、認証された時刻を用いる又は用いない有用なタスク
を処理する。システムのパワーオン時及びシステムがT
ODクロック108の認証された時刻値なしで動作する
他の全ての時点においては、認証時刻インジケータ21
8はCPU104によりFALSEにセットされる。セ
キュア・タイムと無関係なタスクは、通常どおり実行さ
れる。TODクロック108は、ユーザ、ソフトウェア
又は別のシステム等が任意の値にセットしてもよい。し
かしながら、認証時刻インジケータ218は、物理的に
安全確保された電子パッケージ216内のCPU104
以外のものによってはセットできない。その一方で、認
証時刻インジケータ218は、コンピュータ・システム
102内で実行されるいずれのプログラムも読取り専用
ベースで利用することができる。従って、もし時間制限
のあるライセンスをもつプログラムが開始された場合、
又はユーザが時間制限のあるライセンスをもつメディア
(録音、映画等)を使用しようとする場合、開始ソフト
ウェアは、認証時刻インジケータの値を読取ることによ
りTODクロック値が実行開始を許可するベースとして
信頼できるか否かを速やかに判断することができる。も
しその値がFALSEである場合、実行は拒否される。
さらに好適例においては、妥当性検証プロセスが損われ
ることを防ぐために、開始ソフトウェア自身が暗号化さ
れたコード・セグメントで実行される。このプロセスに
ついての詳細は前述の米国特許出願第928850号に
記載されている。
【0021】コンピュータ・システムがTODクロック
108の認証された時間で動作しているとき、認証時刻
インジケータ218はCPU104によりTRUEにセ
ットされている。セキュア・タイムと無関係なタスク
は、尚、通常どおり行われる。もし、もし時間制限のあ
るライセンスをもつプログラムが開始された場合、又は
ユーザが時間制限のあるライセンスをもつメディアを使
用しようとする場合、開始ソフトウェアは認証時刻イン
ジケータの値を読取り、TODクロック108が信頼で
きる時間を有することをTRUE応答から検知する。そ
れからTODクロック108内の現在時刻と日付を読取
り、実行を許可できるか否かを判断するために許可基準
と比較する。表示画面204に示すように、システム・
ユーザは、認証時刻インジケータの値と同様に、暗号化
されていない形の現在時刻と日付に容易にアクセスする
こともできる。
108の認証された時間で動作しているとき、認証時刻
インジケータ218はCPU104によりTRUEにセ
ットされている。セキュア・タイムと無関係なタスク
は、尚、通常どおり行われる。もし、もし時間制限のあ
るライセンスをもつプログラムが開始された場合、又は
ユーザが時間制限のあるライセンスをもつメディアを使
用しようとする場合、開始ソフトウェアは認証時刻イン
ジケータの値を読取り、TODクロック108が信頼で
きる時間を有することをTRUE応答から検知する。そ
れからTODクロック108内の現在時刻と日付を読取
り、実行を許可できるか否かを判断するために許可基準
と比較する。表示画面204に示すように、システム・
ユーザは、認証時刻インジケータの値と同様に、暗号化
されていない形の現在時刻と日付に容易にアクセスする
こともできる。
【0022】信頼できるセキュア・タイムによりTOD
クロック108がセットされた後、精度持続レジスタ2
20、更正調整レジスタ222及びクロック更正器22
4が、CPU104の制御の下に協力することにより、
TODクロック108の現状の精度を維持し、TODク
ロックの精度がもはや信頼できなくなる時点を確定す
る。更正調整の基本的な目的は、クロックの進みや遅れ
を補償することである。更正調整レジスタ222は、サ
ーバにより与えられる値を格納しており、この値はクロ
ック更正器224により用いられて、長期間にわたって
その精度を維持するために必要なTODクロック108
の値を調整する。好適例では、更正調整レジスタ222
は、調整間隔と調整極性とを指定する符号をもつ値を格
納している。この値はクロック更正器224へ与えら
れ、クロック更正器224は、最後の更正調整からのT
ODクロックの増分の数が調整間隔に等しくなるまでそ
の増分を監視する。調整間隔は更正調整レジスタ222
の絶対値である。増分が調整間隔に等しくなったなら
ば、クロック更正器224は増分1つ分だけTODクロ
ック108を調整する。この調整の極性は、更正調整レ
ジスタ222の極性により決定される。よって、もしこ
のレジスタ内の値の符号が正であれば、余分の1つの増
分により正の調整がTODクロック108に適用され
る。もしこのレジスタ内の値の符号が負であれば、1つ
の増分がスキップされこれにより負の調整がTODクロ
ック108に適用される。もしこのレジスタ内の値が0
であれば、調整は行われない(増分は0)。一旦更正調
整が行われると、クロック更正器はリセットされ、この
プロセスが繰返される。
クロック108がセットされた後、精度持続レジスタ2
20、更正調整レジスタ222及びクロック更正器22
4が、CPU104の制御の下に協力することにより、
TODクロック108の現状の精度を維持し、TODク
ロックの精度がもはや信頼できなくなる時点を確定す
る。更正調整の基本的な目的は、クロックの進みや遅れ
を補償することである。更正調整レジスタ222は、サ
ーバにより与えられる値を格納しており、この値はクロ
ック更正器224により用いられて、長期間にわたって
その精度を維持するために必要なTODクロック108
の値を調整する。好適例では、更正調整レジスタ222
は、調整間隔と調整極性とを指定する符号をもつ値を格
納している。この値はクロック更正器224へ与えら
れ、クロック更正器224は、最後の更正調整からのT
ODクロックの増分の数が調整間隔に等しくなるまでそ
の増分を監視する。調整間隔は更正調整レジスタ222
の絶対値である。増分が調整間隔に等しくなったなら
ば、クロック更正器224は増分1つ分だけTODクロ
ック108を調整する。この調整の極性は、更正調整レ
ジスタ222の極性により決定される。よって、もしこ
のレジスタ内の値の符号が正であれば、余分の1つの増
分により正の調整がTODクロック108に適用され
る。もしこのレジスタ内の値の符号が負であれば、1つ
の増分がスキップされこれにより負の調整がTODクロ
ック108に適用される。もしこのレジスタ内の値が0
であれば、調整は行われない(増分は0)。一旦更正調
整が行われると、クロック更正器はリセットされ、この
プロセスが繰返される。
【0023】精度持続レジスタ220は、サーバにより
与えられる値を格納しており、この値はTODクロック
108がもはや信頼できなくなる時点を示す。この値
は、TODクロック108の経時的不安定さに鑑みその
関数として与えられる。つまり、(更正器224により
修正される)TODクロック108に関するクロック・
ドリフトが変動するので定期的な更正調整によっては完
全に修正することはできないとの認識である。好適例で
は精度持続レジスタ220は日付及び時刻の値を格納し
ている。CPU104の制御により、この値は定期的に
TODクロック108の現在値と比較される。この比較
は、時間の加算時点、日付の加算時点、更正調整時、T
ODクロック108の読取り時、又は精度持続値を越え
ないことが十分に保証される他のいずれかの基準時点を
きっかけとして実行される。精度持続値に到達したと
き、CPU104は認証時刻インジケータをFALSE
にセットしてTODクロック108の時刻と日付の値が
もはや信頼できないことを示す。
与えられる値を格納しており、この値はTODクロック
108がもはや信頼できなくなる時点を示す。この値
は、TODクロック108の経時的不安定さに鑑みその
関数として与えられる。つまり、(更正器224により
修正される)TODクロック108に関するクロック・
ドリフトが変動するので定期的な更正調整によっては完
全に修正することはできないとの認識である。好適例で
は精度持続レジスタ220は日付及び時刻の値を格納し
ている。CPU104の制御により、この値は定期的に
TODクロック108の現在値と比較される。この比較
は、時間の加算時点、日付の加算時点、更正調整時、T
ODクロック108の読取り時、又は精度持続値を越え
ないことが十分に保証される他のいずれかの基準時点を
きっかけとして実行される。精度持続値に到達したと
き、CPU104は認証時刻インジケータをFALSE
にセットしてTODクロック108の時刻と日付の値が
もはや信頼できないことを示す。
【0024】好適例においては、セキュア・タイムキー
ピング装置214の種々の構成要素へアクセスしようと
するクライアント・クロック保守ソフトウェア、許可ソ
フトウェア、及びクライアント・システム・ユーザが利
用するために構築された命令が設けられている。SET CU
RRENT TIME命令は、クライアントTODクロック10
8、精度持続レジスタ220、及び更正調整レジスタ2
22のために暗号化された値又は暗号化されていない値
を受取り、これらの値を対応する場所に格納するように
設けられている。SET CURRENT TIME命令については、オ
ペランドが暗号化されている場合に認証時刻インジケー
タがTRUEにセットされ、暗号化されていない場合に
FALSEにセットされる。サーバのみが専用鍵により
暗号化された時刻情報を与えることができるので、ユー
ザは現在時刻をセットすることはできるが、SET CURREN
T TIME命令を呼出して認証時刻インジケータにTRUE
値をセットすることはできない。
ピング装置214の種々の構成要素へアクセスしようと
するクライアント・クロック保守ソフトウェア、許可ソ
フトウェア、及びクライアント・システム・ユーザが利
用するために構築された命令が設けられている。SET CU
RRENT TIME命令は、クライアントTODクロック10
8、精度持続レジスタ220、及び更正調整レジスタ2
22のために暗号化された値又は暗号化されていない値
を受取り、これらの値を対応する場所に格納するように
設けられている。SET CURRENT TIME命令については、オ
ペランドが暗号化されている場合に認証時刻インジケー
タがTRUEにセットされ、暗号化されていない場合に
FALSEにセットされる。サーバのみが専用鍵により
暗号化された時刻情報を与えることができるので、ユー
ザは現在時刻をセットすることはできるが、SET CURREN
T TIME命令を呼出して認証時刻インジケータにTRUE
値をセットすることはできない。
【0025】セキュア・タイムキーピング装置214か
ら値を検索するために、GET CURRENT TIME命令が設けら
れている。この命令は、暗号化されている(信頼性があ
る)か暗号化されていないか(信頼性がない)に拘らず
いずれのクライアント・ソフトウェアであっても、これ
を用いてTODクロック108、認証時刻インジケータ
218、精度持続レジスタ220、及び更正調整レジス
タ222の値を読取ることができる。
ら値を検索するために、GET CURRENT TIME命令が設けら
れている。この命令は、暗号化されている(信頼性があ
る)か暗号化されていないか(信頼性がない)に拘らず
いずれのクライアント・ソフトウェアであっても、これ
を用いてTODクロック108、認証時刻インジケータ
218、精度持続レジスタ220、及び更正調整レジス
タ222の値を読取ることができる。
【0026】SET CURRENT TIME命令及びGET CURRENT TI
ME命令の双方ともマルチプル・アトミック命令として実
動化され、それぞれがセキュア・タイムキーピング装置
214の1つの構成要素をセットし又は検索することを
注記する。さらに、暗号化されたデータを処理する際に
SET CURRENT TIMEにより実行される機能は、外部で構築
された命令を用いることなくセキュア・タイムキーピン
グ装置214内で実動化される。すなわち、I/Oポー
ト114において暗号化された時刻情報を受取ると、C
PU104は、クライアント・ソフトウェアに誘引され
ることなくその時刻情報を解読し、それをTODクロッ
ク108、精度持続レジスタ220、及び更正調整レジ
スタ222に格納する。
ME命令の双方ともマルチプル・アトミック命令として実
動化され、それぞれがセキュア・タイムキーピング装置
214の1つの構成要素をセットし又は検索することを
注記する。さらに、暗号化されたデータを処理する際に
SET CURRENT TIMEにより実行される機能は、外部で構築
された命令を用いることなくセキュア・タイムキーピン
グ装置214内で実動化される。すなわち、I/Oポー
ト114において暗号化された時刻情報を受取ると、C
PU104は、クライアント・ソフトウェアに誘引され
ることなくその時刻情報を解読し、それをTODクロッ
ク108、精度持続レジスタ220、及び更正調整レジ
スタ222に格納する。
【0027】クライアント・コンピュータ・システム1
02は、セキュア・タイムの要求−受信ネットワークに
おいて動作する場合は、定期的にセキュア・タイム伝送
を開始しなければならない。あるいは、セキュア・タイ
ムのブロードキャスト(同報通信)・ネットワークにお
いて動作する場合は、サーバがクライアントの要求を必
要とせずに定期的に伝送を開始する。要求−受信ネット
ワークにおいては、クライアント・コンピュータ・プロ
セッサ202はサーバ120へセキュア・タイム要求を
送ることによりセキュア・タイム伝送を開始する。この
要求はCPU104により生成され、セキュア・タイム
キーピング装置214の種々の構成要素の現在値を含
む。すなわち、TODクロック108、認証時刻インジ
ケータ218、精度持続レジスタ220、更正調整レジ
スタ222、及び公開鍵112の値を含む。好適例で
は、この情報はGET CURRENT TIME命令を用いて簡便に集
積され、さらに記録−再生問題を避けるためにMACを
含む。いずれにしてもこの情報は、暗号化/解読プロセ
ッサ106により、クライアントの公開鍵とともに伝送
に含まれるクライアントの専用鍵を用いて暗号化され、
I/Oポート114を介してサーバ・システムへ伝送さ
れる。引続いて図4に示すように、サーバ・システム
は、新しい精度持続値及び新しい更正調整値を計算し、
新しいクライアントTODクロック値を発生し、クライ
アントの公開鍵に対応する専用鍵を用いて(好適例では
MACも同様に)この情報を暗号化し、そして暗号化さ
れた情報をクライアント・コンピュータ・システム10
2へ返す。この情報を受取ると、暗号化/解読プロセッ
サ106は、専用鍵110を用いてこれらの新しいTO
Dクロック値、精度持続値、及び更正調整値を解読す
る。好適例では、MACもまた解読され、サーバ応答を
クライアント要求と照合するために用いられる。その
後、CPU104は、新しいTODクロック値をTOD
クロック108に、新しい精度持続値を精度持続レジス
タに、そして新しい更正調整値を更正調整レジスタ22
0に格納することによりセキュア・タイムキーピング装
置214の他の種々の構成要素を設定する。最後に、暗
号化された時刻及び日付の値が無事に処理され、認証さ
れた信頼できるTODクロック値が現在用いられている
ことを示すべく認証時刻インジケータ218がTRUE
にセットされる。
02は、セキュア・タイムの要求−受信ネットワークに
おいて動作する場合は、定期的にセキュア・タイム伝送
を開始しなければならない。あるいは、セキュア・タイ
ムのブロードキャスト(同報通信)・ネットワークにお
いて動作する場合は、サーバがクライアントの要求を必
要とせずに定期的に伝送を開始する。要求−受信ネット
ワークにおいては、クライアント・コンピュータ・プロ
セッサ202はサーバ120へセキュア・タイム要求を
送ることによりセキュア・タイム伝送を開始する。この
要求はCPU104により生成され、セキュア・タイム
キーピング装置214の種々の構成要素の現在値を含
む。すなわち、TODクロック108、認証時刻インジ
ケータ218、精度持続レジスタ220、更正調整レジ
スタ222、及び公開鍵112の値を含む。好適例で
は、この情報はGET CURRENT TIME命令を用いて簡便に集
積され、さらに記録−再生問題を避けるためにMACを
含む。いずれにしてもこの情報は、暗号化/解読プロセ
ッサ106により、クライアントの公開鍵とともに伝送
に含まれるクライアントの専用鍵を用いて暗号化され、
I/Oポート114を介してサーバ・システムへ伝送さ
れる。引続いて図4に示すように、サーバ・システム
は、新しい精度持続値及び新しい更正調整値を計算し、
新しいクライアントTODクロック値を発生し、クライ
アントの公開鍵に対応する専用鍵を用いて(好適例では
MACも同様に)この情報を暗号化し、そして暗号化さ
れた情報をクライアント・コンピュータ・システム10
2へ返す。この情報を受取ると、暗号化/解読プロセッ
サ106は、専用鍵110を用いてこれらの新しいTO
Dクロック値、精度持続値、及び更正調整値を解読す
る。好適例では、MACもまた解読され、サーバ応答を
クライアント要求と照合するために用いられる。その
後、CPU104は、新しいTODクロック値をTOD
クロック108に、新しい精度持続値を精度持続レジス
タに、そして新しい更正調整値を更正調整レジスタ22
0に格納することによりセキュア・タイムキーピング装
置214の他の種々の構成要素を設定する。最後に、暗
号化された時刻及び日付の値が無事に処理され、認証さ
れた信頼できるTODクロック値が現在用いられている
ことを示すべく認証時刻インジケータ218がTRUE
にセットされる。
【0028】セキュア・タイムのブロードキャスト・ネ
ットワークにおいては、クライアント要求が発生しない
点を除けばクライアントの動作は上記と同様である。そ
のかわりにサーバは、クライアント専用鍵により暗号化
されクライアント公開鍵に対応させることにより識別さ
れるセキュア・タイム・ブロードキャストを定期的に発
生する。あるいは、全てのクライアントに暗号化された
マスタ鍵を送信した後に1つのセキュア・タイム・ブロ
ードキャストを全てのクライアントに同時に送り、そし
てこのブロードキャストは先に送られた時刻マスタ鍵を
用いてクライアントにおいて解読される。これらのブロ
ードキャストは要求されたものではないので、サーバは
新しい精度持続値及び更正調整値を作成するために十分
なデータをもっていない。つまり、このモードの動作に
は、それらの情報が包含されない。ブロードキャストの
セキュア・タイム伝送を受取ると、上記のように新しい
TODクロック値が解読されてTODクロック108へ
与えられ、認証時刻インジケータ218がTRUEにセ
ットされる。
ットワークにおいては、クライアント要求が発生しない
点を除けばクライアントの動作は上記と同様である。そ
のかわりにサーバは、クライアント専用鍵により暗号化
されクライアント公開鍵に対応させることにより識別さ
れるセキュア・タイム・ブロードキャストを定期的に発
生する。あるいは、全てのクライアントに暗号化された
マスタ鍵を送信した後に1つのセキュア・タイム・ブロ
ードキャストを全てのクライアントに同時に送り、そし
てこのブロードキャストは先に送られた時刻マスタ鍵を
用いてクライアントにおいて解読される。これらのブロ
ードキャストは要求されたものではないので、サーバは
新しい精度持続値及び更正調整値を作成するために十分
なデータをもっていない。つまり、このモードの動作に
は、それらの情報が包含されない。ブロードキャストの
セキュア・タイム伝送を受取ると、上記のように新しい
TODクロック値が解読されてTODクロック108へ
与えられ、認証時刻インジケータ218がTRUEにセ
ットされる。
【0029】好適例においては、メッセージの確認が必
要な場合、クライアントが最初のMACを含む伝送を予
め行うことによりブロードキャスト・モードを開始す
る。それに続いてサーバがセキュア・タイム伝送をクラ
イアントへブロードキャストするとき、これに最初のM
ACを含める。クライアントは、サーバが次のセキュア
・タイム伝送を行うときに用いるための新しいMACを
送ることにより受信を確認する。その後の各ブロードキ
ャストにおいてこのプロセスが繰返される。さらに、こ
のMACを伴うブロードキャスト・モードの動作におい
て、クライアントの確認の中にクライアントTODクロ
ック、認証時刻インジケータ、精度持続レジスタ、及び
更正調整レジスタの値を含めてもよい。それによって、
ブロードキャスト・モードにおける上記の欠点をある程
度改善し、サーバがその次のブロードキャストで更新さ
れた精度持続値及び更正調整値を与えることが可能にな
る。これらの値は要求−受信モードにおけるものと比べ
ると正確ではないであろう。なぜなら、次のブロードキ
ャストはそれらの値のベースとされた確認よりもずっと
後に行われるものだからである。しかしながら、この問
題自体は、クライアントのバンド幅制限内でブロードキ
ャスト頻度を増すことにより対処できるであろう。
要な場合、クライアントが最初のMACを含む伝送を予
め行うことによりブロードキャスト・モードを開始す
る。それに続いてサーバがセキュア・タイム伝送をクラ
イアントへブロードキャストするとき、これに最初のM
ACを含める。クライアントは、サーバが次のセキュア
・タイム伝送を行うときに用いるための新しいMACを
送ることにより受信を確認する。その後の各ブロードキ
ャストにおいてこのプロセスが繰返される。さらに、こ
のMACを伴うブロードキャスト・モードの動作におい
て、クライアントの確認の中にクライアントTODクロ
ック、認証時刻インジケータ、精度持続レジスタ、及び
更正調整レジスタの値を含めてもよい。それによって、
ブロードキャスト・モードにおける上記の欠点をある程
度改善し、サーバがその次のブロードキャストで更新さ
れた精度持続値及び更正調整値を与えることが可能にな
る。これらの値は要求−受信モードにおけるものと比べ
ると正確ではないであろう。なぜなら、次のブロードキ
ャストはそれらの値のベースとされた確認よりもずっと
後に行われるものだからである。しかしながら、この問
題自体は、クライアントのバンド幅制限内でブロードキ
ャスト頻度を増すことにより対処できるであろう。
【0030】図3は、クライアント・コンピュータ・シ
ステム102における電源の保全性を監視するために設
けられた付加的な機構である。電源保全モニタ302
は、物理的に安全確保されたパッケージ216内のセキ
ュア・タイムキーピング装置214に付加される。電源
保全モニタ302は、モニタ用電子回路(破線で示す)
を介して、CPU104、TODクロック108、認証
時刻インジケータ218、精度持続レジスタ220、及
び更正調整レジスタ222を含むセキュア・タイムキー
ピングの他の構成要素に接続される。動作中、電源保全
モニタ302は、クライアント・コンピュータ・システ
ムで使用される電子素子の作動限界に相当する予め設定
された正常範囲に対して継続的に上記の構成要素の電圧
レベルを監視する。もし、供給される通常の電圧又はバ
ックアップ用の電圧が、セキュア・タイムキーピング装
置の構成要素の安定した正確な動作を維持する範囲外に
低下したならば、電源保全モニタ302は認証時刻イン
ジケータ218の値をFALSEにセットし、TODク
ロック108がもはや信頼できないことを示す。
ステム102における電源の保全性を監視するために設
けられた付加的な機構である。電源保全モニタ302
は、物理的に安全確保されたパッケージ216内のセキ
ュア・タイムキーピング装置214に付加される。電源
保全モニタ302は、モニタ用電子回路(破線で示す)
を介して、CPU104、TODクロック108、認証
時刻インジケータ218、精度持続レジスタ220、及
び更正調整レジスタ222を含むセキュア・タイムキー
ピングの他の構成要素に接続される。動作中、電源保全
モニタ302は、クライアント・コンピュータ・システ
ムで使用される電子素子の作動限界に相当する予め設定
された正常範囲に対して継続的に上記の構成要素の電圧
レベルを監視する。もし、供給される通常の電圧又はバ
ックアップ用の電圧が、セキュア・タイムキーピング装
置の構成要素の安定した正確な動作を維持する範囲外に
低下したならば、電源保全モニタ302は認証時刻イン
ジケータ218の値をFALSEにセットし、TODク
ロック108がもはや信頼できないことを示す。
【0031】電源保全モニタ302については多くの変
型が可能である点を注記する。例えば、セキュア・タイ
ムキーピング装置の全ての構成要素を監視するのではな
く、電源保全モニタ302がTODクロック108の電
圧のみを監視する、又は他の構成要素のいずれかのみを
監視するように構成してもよい。別の例として、セキュ
ア・タイムキーピング装置214への電源経路を、単一
の電源入力パスを設けるように設計してもよい。この場
合、電源保全モニタ302は個々の構成要素を監視する
のではなくその電源入力パスを直接監視すればよい。最
終的には、302内で電源保全監視機能を行うべく選択
された特定の電子素子及び低レベル素子が、設計選択の
根拠となる。これについては公知の多くの文献があるの
で、ここでは繰返さない。
型が可能である点を注記する。例えば、セキュア・タイ
ムキーピング装置の全ての構成要素を監視するのではな
く、電源保全モニタ302がTODクロック108の電
圧のみを監視する、又は他の構成要素のいずれかのみを
監視するように構成してもよい。別の例として、セキュ
ア・タイムキーピング装置214への電源経路を、単一
の電源入力パスを設けるように設計してもよい。この場
合、電源保全モニタ302は個々の構成要素を監視する
のではなくその電源入力パスを直接監視すればよい。最
終的には、302内で電源保全監視機能を行うべく選択
された特定の電子素子及び低レベル素子が、設計選択の
根拠となる。これについては公知の多くの文献があるの
で、ここでは繰返さない。
【0032】図4は、本発明によりクライアント・コン
ピュータ・システムへセキュア・タイム伝送を行うサー
バ・コンピュータ・システムの構造と作用を詳細に示し
た機能図である。サーバ・コンピュータ・システム(セ
キュア・タイム・サーバ)120は、物理的に安全確保
されたデータ・センタに設置されている。システム12
0は、サーバCPU122、サーバTODクロック12
6、I/Oポート128、公開鍵及び専用鍵の記憶領域
130、並びに更正/安定度履歴の記憶領域402を含
む。サーバCPU122自身は、暗号化/解読プロセッ
サ124、安定度監視プロセッサ404、及び更正プロ
セッサ406を含む(もちろん、通常CPUが行う多く
の機能のための構成要素も含む)。TODクロック12
6は、時刻クロックと日付カレンダーを備える。これら
は、非常に正確な時間ソースに基づいていることが好ま
しく、協定世界時、グリニッジ標準時、又はいずれかの
地域時にセットされていればよい。I/Oポート128
は、電子通信ネットワークを介して1又は複数のクライ
アント・コンピュータ・システムへ接続され、クライア
ントTODクロック値をクライアントの更正及び安定デ
ータとともに受取りかつ新しいクライアントTODクロ
ック値を新しい更正及び安定データとともにセキュア・
タイム要求者へ送るためのI/O機構を提供する。鍵記
憶領域130及び更正/安定度履歴記憶領域402は、
RAM、ディスク、テープ等の任意のデジタル記憶媒体
に保持される。
ピュータ・システムへセキュア・タイム伝送を行うサー
バ・コンピュータ・システムの構造と作用を詳細に示し
た機能図である。サーバ・コンピュータ・システム(セ
キュア・タイム・サーバ)120は、物理的に安全確保
されたデータ・センタに設置されている。システム12
0は、サーバCPU122、サーバTODクロック12
6、I/Oポート128、公開鍵及び専用鍵の記憶領域
130、並びに更正/安定度履歴の記憶領域402を含
む。サーバCPU122自身は、暗号化/解読プロセッ
サ124、安定度監視プロセッサ404、及び更正プロ
セッサ406を含む(もちろん、通常CPUが行う多く
の機能のための構成要素も含む)。TODクロック12
6は、時刻クロックと日付カレンダーを備える。これら
は、非常に正確な時間ソースに基づいていることが好ま
しく、協定世界時、グリニッジ標準時、又はいずれかの
地域時にセットされていればよい。I/Oポート128
は、電子通信ネットワークを介して1又は複数のクライ
アント・コンピュータ・システムへ接続され、クライア
ントTODクロック値をクライアントの更正及び安定デ
ータとともに受取りかつ新しいクライアントTODクロ
ック値を新しい更正及び安定データとともにセキュア・
タイム要求者へ送るためのI/O機構を提供する。鍵記
憶領域130及び更正/安定度履歴記憶領域402は、
RAM、ディスク、テープ等の任意のデジタル記憶媒体
に保持される。
【0033】要求−受信モードの動作においては、I/
Oポート128を介してセキュア・タイム要求が受信さ
れたときにサーバ動作が開始される。先ず、サーバ暗号
化/解読プロセッサ124により要求が解読される。解
読に続いて、受信した認証時刻インジケータの値が調べ
られる。もしこれがFALSEであれば、クライアント
要求の中の他の情報は無視される。現在時刻及び日付が
TODクロック126から得られ、クライアントの更正
調整値及び精度持続値の履歴が更正/安定度履歴記憶領
域402から得られ(あるいは、そうしない場合は更正
調整値及び精度持続値としてデフォールト値が選択され
る)、全ての情報が暗号化/解読プロセッサ124によ
る暗号化され、そして暗号化されたデータが、I/Oポ
ート128を介して要求を行っているクライアントへ伝
送される。
Oポート128を介してセキュア・タイム要求が受信さ
れたときにサーバ動作が開始される。先ず、サーバ暗号
化/解読プロセッサ124により要求が解読される。解
読に続いて、受信した認証時刻インジケータの値が調べ
られる。もしこれがFALSEであれば、クライアント
要求の中の他の情報は無視される。現在時刻及び日付が
TODクロック126から得られ、クライアントの更正
調整値及び精度持続値の履歴が更正/安定度履歴記憶領
域402から得られ(あるいは、そうしない場合は更正
調整値及び精度持続値としてデフォールト値が選択され
る)、全ての情報が暗号化/解読プロセッサ124によ
る暗号化され、そして暗号化されたデータが、I/Oポ
ート128を介して要求を行っているクライアントへ伝
送される。
【0034】もし、受信された認証時刻インジケータが
TRUEであれば、クライアントのTODクロックがセ
キュア・タイムを用いてセットされ且つ今尚信頼できる
ことを示している。従って、次にサーバ・システム12
0は、受信したクライアントTODクロック値、精度持
続値、及び更正調整値を用いて新しい精度持続値及び更
正調整値を発生する。特に、新しい更正調整値を発生す
るために、更正調整プロセッサ406は、TODクロッ
ク126の現在の値と受信されたクライアントTODク
ロック値とを比較し、それによってクライアントの更正
調整値を修正する。好適例では、前の値の効果を評価し
その情報をフィードバックして最適値に徐々に近づけて
行くことにより新しい更正調整値を決定するような試行
錯誤的手法が用いられている。この手法の特定の実施例
においては、TODクロック126の現在値と受信され
たクライアントTODクロック値との差を、クライアン
トTODクロックがセットされてからこれに対して行わ
れた更正調整の全数と足し合わせ、そしてその結果を、
クライアントTODクロックが新しい更正調整値を決定
するためにセットされてからの期間における増分の全数
で割る。この値は、次にこのクライアントからのセキュ
ア・タイム要求を受信したときに利用できるよう安定度
履歴記憶領域402へ記憶される。
TRUEであれば、クライアントのTODクロックがセ
キュア・タイムを用いてセットされ且つ今尚信頼できる
ことを示している。従って、次にサーバ・システム12
0は、受信したクライアントTODクロック値、精度持
続値、及び更正調整値を用いて新しい精度持続値及び更
正調整値を発生する。特に、新しい更正調整値を発生す
るために、更正調整プロセッサ406は、TODクロッ
ク126の現在の値と受信されたクライアントTODク
ロック値とを比較し、それによってクライアントの更正
調整値を修正する。好適例では、前の値の効果を評価し
その情報をフィードバックして最適値に徐々に近づけて
行くことにより新しい更正調整値を決定するような試行
錯誤的手法が用いられている。この手法の特定の実施例
においては、TODクロック126の現在値と受信され
たクライアントTODクロック値との差を、クライアン
トTODクロックがセットされてからこれに対して行わ
れた更正調整の全数と足し合わせ、そしてその結果を、
クライアントTODクロックが新しい更正調整値を決定
するためにセットされてからの期間における増分の全数
で割る。この値は、次にこのクライアントからのセキュ
ア・タイム要求を受信したときに利用できるよう安定度
履歴記憶領域402へ記憶される。
【0035】新しい精度持続値を発生するために、クラ
イアントTODクロックがセットされてからの期間にク
ライアントTODクロック値に積算されたエラー(先に
更正調整値に関連して決定されている)が、安定度監視
プロセッサ404により、クライアントTODクロック
の許容できる不安定さを時間の関数として定めた予め設
定された基準と比較される。新しい精度持続値は、先の
不安定レベルが、精度持続する全体に亘ってクロック・
エラーの許容量よりも大きくならないように選ばれる。
この値は、次にこのクライアントからのセキュア・タイ
ム要求を受信したときに利用できるよう安定度履歴記憶
領域402に記憶される。更正調整値のときと同様に、
好適例では、前の値の効果を評価しその情報をフィード
バックして最適値に徐々に近づけて行くことにより新し
い更正調整値を決定するような試行錯誤的手法が用いら
れている。
イアントTODクロックがセットされてからの期間にク
ライアントTODクロック値に積算されたエラー(先に
更正調整値に関連して決定されている)が、安定度監視
プロセッサ404により、クライアントTODクロック
の許容できる不安定さを時間の関数として定めた予め設
定された基準と比較される。新しい精度持続値は、先の
不安定レベルが、精度持続する全体に亘ってクロック・
エラーの許容量よりも大きくならないように選ばれる。
この値は、次にこのクライアントからのセキュア・タイ
ム要求を受信したときに利用できるよう安定度履歴記憶
領域402に記憶される。更正調整値のときと同様に、
好適例では、前の値の効果を評価しその情報をフィード
バックして最適値に徐々に近づけて行くことにより新し
い更正調整値を決定するような試行錯誤的手法が用いら
れている。
【0036】精度持続情報及び更正調整情報の履歴を保
持することに関しては、多くの変型が可能であることを
注記する。例えば、精度持続レジスタ及び更正調整レジ
スタの十分な履歴値を、サーバ履歴記憶領域402内に
保持することにより、これらの項目をクライアント要求
から省くことができる。あるいは、精度持続値について
の全履歴情報を保持するが更正調整値については全く保
持しなくてもよい。又はそれと逆に、クライアントに対
してそのセキュア・タイム要求の中で保持していたので
はない値を送るよう要求する。
持することに関しては、多くの変型が可能であることを
注記する。例えば、精度持続レジスタ及び更正調整レジ
スタの十分な履歴値を、サーバ履歴記憶領域402内に
保持することにより、これらの項目をクライアント要求
から省くことができる。あるいは、精度持続値について
の全履歴情報を保持するが更正調整値については全く保
持しなくてもよい。又はそれと逆に、クライアントに対
してそのセキュア・タイム要求の中で保持していたので
はない値を送るよう要求する。
【0037】上記の新しい精度持続値及び更正調整値を
発生の後、サーバTODクロック126の現在値ととも
に双方の値が、暗号化/解読プロセッサ124により要
求しているクライアントに対応する専用鍵を用いて暗号
化される。暗号化されたデータは、I/Oポート128
を介して要求しているクライアントへ伝送される。
発生の後、サーバTODクロック126の現在値ととも
に双方の値が、暗号化/解読プロセッサ124により要
求しているクライアントに対応する専用鍵を用いて暗号
化される。暗号化されたデータは、I/Oポート128
を介して要求しているクライアントへ伝送される。
【0038】サーバ・コンピュータ・システム120が
ブロードキャスト・モードで動作している場合、前述の
ように、新しい精度持続値及び更正調整値を発生するた
めに必要な情報をサーバ・コンピュータ・システム12
0が得ることができない。この場合、安全確保されたT
ODクロック値のみがブロードキャストされる。別の例
として、精度持続値及び更正調整値の履歴を安定度履歴
記憶領域402から得てもよく、あるいはデフォールト
値を発生して暗号化しTODクロック値とともにブロー
ドキャストしてもよい。さらに別の例として、ブロード
キャスト・モードを要求−受信モードの間に適宜挿入す
ることにより、ある選択期間には時刻のみを更新し、別
の選択期間にはセキュア・タイム装置の更新を行うよう
にしてもよい。又は、MACを伴うブロードキャスト手
法を用いることにより、クライアント確認が少なくとも
クライアントTODクロック値を含むようにしてもよ
い。
ブロードキャスト・モードで動作している場合、前述の
ように、新しい精度持続値及び更正調整値を発生するた
めに必要な情報をサーバ・コンピュータ・システム12
0が得ることができない。この場合、安全確保されたT
ODクロック値のみがブロードキャストされる。別の例
として、精度持続値及び更正調整値の履歴を安定度履歴
記憶領域402から得てもよく、あるいはデフォールト
値を発生して暗号化しTODクロック値とともにブロー
ドキャストしてもよい。さらに別の例として、ブロード
キャスト・モードを要求−受信モードの間に適宜挿入す
ることにより、ある選択期間には時刻のみを更新し、別
の選択期間にはセキュア・タイム装置の更新を行うよう
にしてもよい。又は、MACを伴うブロードキャスト手
法を用いることにより、クライアント確認が少なくとも
クライアントTODクロック値を含むようにしてもよ
い。
【0039】まとめとして、本発明の構成に関して以下
の事項を開示する。
の事項を開示する。
【0040】(1)物理的に安全確保されたパッケージ
内に設置された中央演算処理装置と電子記憶装置とを含
むコンピュータ・システムにおいて用いるセキュア(安
全確保された)・タイムキーピング装置であって、時刻
伝送及び日付伝送を暗号化しかつ解読するために専用鍵
を識別するときに用いる公開鍵を保有する公開鍵レジス
タと、前記専用鍵を保有する専用鍵レジスタと、前記専
用鍵を用いて暗号化された時刻及び日付の情報を受信す
る入力と、前記専用鍵を用いて受信された時刻及び日付
の情報を解読するデータ解読手段と、前記解読された時
刻及び日付の情報を受信するための入力及び暗号化され
ていない時刻及び日付の情報を与えるための出力を備
え、時刻クロックと日付カレンダーとを含む日時(time
-of-day:TOD)クロックとを有するセキュア・タイ
ムキーピング装置。 (2)前記TODクロックが前記中央演算処理装置と同
じ物理的に安全確保されたパッケージ内に設置される上
記(1)に記載のセキュア・タイムキーピング装置。 (3)前記公開鍵が、前記コンピュータ・システムのシ
ステム・シリアル番号に対応する上記(1)に記載のセ
キュア・タイムキーピング装置。 (4)前記公開鍵が前記コンピュータ・システムに固有
のものでありかつ物理的に安全確保されたパッケージの
外部からアクセス可能である上記(1)に記載のセキュ
ア・タイムキーピング装置。 (5)前記専用鍵が前記コンピュータ・システムに固有
のものでありかつ物理的に安全確保されたパッケージの
外部からアクセス不能である上記(1)に記載のセキュ
ア・タイムキーピング装置。 (6)前記専用鍵を用いて暗号化された現在の時刻及び
日付の情報のいずれかを時刻サーバに対して要求するセ
キュア・タイム(安全確保された時刻)要求手段を有す
る上記(1)に記載のセキュア・タイムキーピング装
置。 (7)前記セキュア・タイム要求手段により開始された
要求が前記TODクロックの現在値を含む上記(6)に
記載のセキュア・タイムキーピング装置。 (8)時刻及び日付のいずれかの更正値を受信しかつ該
更正値を前記TODクロックに適用するクライアント・
クロック更正手段を有する上記(1)に記載のセキュア
・タイムキーピング装置。 (9)前記更正値が専用鍵を用いて暗号化される上記
(8)に記載のセキュア・タイムキーピング装置。 (10)物理的に安全確保されたパッケージ内に設置さ
れた中央演算処理装置と電子記憶装置とを含むコンピュ
ータ・システムにおいて用いるセキュア(安全確保され
た)・タイムキーピング装置であって、時刻クロックと
日付カレンダーとを含む日時(time-of-day:TOD)
クロックと、前記TODクロックが認証された時刻及び
日付を有するか否かを示す値を記憶する認証時刻インジ
ケータと、前記TODクロックが正確であると見なされ
る持続時間を示す値を記憶する精度持続レジスタと、時
刻、日付、及び精度持続時間のいずれかの値を受信する
入力と、前記TODクロックからの暗号化されていない
時刻及び日付の値と前記認証時刻インジケータからの値
を与える出力とを有するセキュア・タイムキーピング装
置。 (11)前記精度持続レジスタが時刻の値を格納し、前
記認証時刻インジケータが、暗号化された値を用いて前
記TODクロックをセットしたことと、暗号化された値
を用いて前記精度持続レジスタをセットしたことと、該
精度持続レジスタが該TODクロックの値より時間的に
大きい(遅い)値を格納していることとを満たすことに
応答してTRUEにセットされる上記(10)に記載の
セキュア・タイムキーピング装置。 (12)前記認証時刻インジケータが、システムの初期
化、動作電圧低下状態、TODクロックを暗号化されて
いない値を用いてセットしたこと、及び前記精度持続レ
ジスタが該TODクロックの値よりも時間的に小さい
(早い)値を格納していることのいずれかに対してFA
LSEにセットされる上記(11)に記載のセキュア・
タイムキーピング装置。 (13)受信された時刻、日付、及び精度持続の値に基
づいてTODクロックの値及び精度持続レジスタの値を
セットし、受信された時刻、日付、及び精度持続の値が
暗号化されていない場合に前記認証時刻インジケータを
FALSEにセットし、受信された時刻、日付、及び精
度持続の値が暗号化されておりかつ前記精度持続レジス
タにセットされた値が前記TODクロックにセットされ
た値よりも時間的に大きい場合に該認証時刻インジケー
タをTRUEにセットする時刻装置設定手段を有する上
記(10)に記載のセキュア・タイムキーピング装置。 (14)前記セキュア・タイムキーピング装置が、TO
Dクロックが更正調整を受信すべき時間間隔を示す値を
記憶する更正調整レジスタを有し、前記入力が、更正調
整の値を受信するための手段を有し、前記時刻設定手段
が、前記受信された更正調整の値に基づいて前記更正調
整レジスタをセットする手段を有する上記(13)に記
載のセキュア・タイムキーピング装置。 (15)操作により前記TODクロック及び前記更正調
整レジスタに接続されかつ該TODクロックが該更正調
整レジスタの値に増分される毎に該TODクロックに対
する更正調整を行うTODクロック更正器を有する上記
(14)に記載のセキュア・タイムキーピング装置。 (16)前記更正調整レジスタの値が、増分、飛び、及
び非調整のいずれかを示し、更正調整の値が増分を示す
場合は、前記TODクロックに適用される更正調整が1
つの加算的増分であり、更正調整の値が飛びを示す場合
は、前記TODクロックに適用される更正調整が1つの
飛びであり、更正調整の値が非調整を示す場合は、前記
TODクロックに適用される更正調整が増分ゼロである
上記(15)に記載のセキュア・タイムキーピング装
置。 (17)正の更正調整値が増分を示し、負の更正調整値
が飛びを示し、及びゼロの更正調整値が非調整を示す上
記(16)に記載のタイム・キーピング装置。 (18)前記TODクロック、前記認証時刻インジケー
タ、前記精度持続レジスタ、及び前記更正調整レジスタ
の暗号化されていない値を読取る時刻装置読取り手段を
有する上記(16)に記載のセキュア・タイムキーピン
グ装置。 (19)前記更正調整レジスタの値が前記TODクロッ
クを最後にセットしてから該TOD内に積算されたドリ
フト量の関数であり、前記精度持続レジスタの値が該ド
リフト量と該TODクロックの先の設定に対応する予め
測定されたドリフト量との比較に基づく上記(18)に
記載のセキュア・タイムキーピング装置。 (20)現在時刻、日付、及び精度持続の値のいずれか
を時刻サーバから要求するセキュア・タイム要求手段を
有し、前記セキュア・タイム要求手段により開始された
要求が、前記TODクロックの現在値、前記精度持続レ
ジスタの現在値、前記更正調整レジスタの現在値、及び
認証時刻インジケータの現在値のいずれかを含む上記
(13)に記載のセキュア・タイムキーピング装置。 (21)時刻クロックと日付カレンダーを含むサーバ日
時(time-of-day:TOD)クロックを有するコンピュ
ータ・ネットワークにおけるセキュア(安全確保され
た)・タイム・サーバであって、公開鍵を含むセキュア
・タイム要求を受信する入力と、前記公開鍵に対応する
専用鍵を識別するプロセッサ手段と、前記専用鍵を用い
て前記TODクロックからの時刻及び日付の情報を暗号
化するデータ暗号化手段と、前記セキュア・タイム要求
を行った者に対して前記暗号化された時刻及び日付の情
報を送る出力とを有するセキュア・タイム・サーバ。 (22)前記サーバTODクロックの値、クライアント
から受信された時刻、日付及び更正履歴の情報、並びに
前回のクライアント・クロック更正計算から積算された
更正履歴のいずれかに基づいて該クライアント・クロッ
ク更正値を計算する更正調整手段を有する上記(21)
に記載のセキュア・タイム・サーバ。 (23)前記サーバTODクロックの値、クライアント
から受信された時刻、日付及び安定度履歴の情報、並び
に前回のクライアント・クロックの安定度計算から積算
された安定度履歴のいずれかに基づいて該クライアント
・クロックの安定度値を計算するクライアント安定度監
視手段を有する上記(21)に記載のセキュア・タイム
・サーバ。 (24)前記クライアント・クロック更正値が、さら
に、前記クライアント・クロックの最後の設定以降該ク
ライアント・クロックに積算されたドリフト量から計算
される上記(22)に記載のセキュア・タイム・サー
バ。 (25)前記更正値が、前記専用鍵を用いて暗号化され
る上記(22)に記載のセキュア・タイム・サーバ (26)時刻クロックと日付カレンダーを含むサーバ日
時(time-of-day:TOD)クロックを有するコンピュ
ータ・ネットワークにおけるセキュア(安全確保され
た)・タイム・サーバであって、セキュア・タイム伝送
を行うために公開鍵及び専用鍵を識別するプロセッサ手
段と、前記専用鍵を用いて前記TODクロックからの時
刻及び日付の情報を暗号化するデータ暗号化手段と、前
記暗号化された時刻及び日付の情報をブロードキャスト
(同報通信)する出力とを有するセキュア・タイム・サ
ーバ。 (27)前記サーバTODクロックの値、クライアント
から受信された時刻、日付及び更正履歴の情報、並びに
前回のクライアント・クロック更正計算から積算された
更正履歴のいずれかに基づいて該クライアント・クロッ
ク更正値を計算する更正調整手段を有する上記(26)
に記載のセキュア・タイム・サーバ。 (28)前記サーバTODクロックの値、クライアント
から受信された時刻、日付及び安定度履歴の情報、並び
に前回のクライアント・クロックの安定度計算から積算
された安定度履歴のいずれかに基づいて該クライアント
・クロックの安定度値を計算するクライアント安定度監
視手段を有する上記(26)に記載のセキュア・タイム
・サーバ。 (29)前記クライアント・クロック更正値が、さら
に、前記クライアント・クロックの最後の設定以降該ク
ライアント・クロックに積算されたドリフト量から計算
される上記(27)に記載のセキュア・タイム・サー
バ。
内に設置された中央演算処理装置と電子記憶装置とを含
むコンピュータ・システムにおいて用いるセキュア(安
全確保された)・タイムキーピング装置であって、時刻
伝送及び日付伝送を暗号化しかつ解読するために専用鍵
を識別するときに用いる公開鍵を保有する公開鍵レジス
タと、前記専用鍵を保有する専用鍵レジスタと、前記専
用鍵を用いて暗号化された時刻及び日付の情報を受信す
る入力と、前記専用鍵を用いて受信された時刻及び日付
の情報を解読するデータ解読手段と、前記解読された時
刻及び日付の情報を受信するための入力及び暗号化され
ていない時刻及び日付の情報を与えるための出力を備
え、時刻クロックと日付カレンダーとを含む日時(time
-of-day:TOD)クロックとを有するセキュア・タイ
ムキーピング装置。 (2)前記TODクロックが前記中央演算処理装置と同
じ物理的に安全確保されたパッケージ内に設置される上
記(1)に記載のセキュア・タイムキーピング装置。 (3)前記公開鍵が、前記コンピュータ・システムのシ
ステム・シリアル番号に対応する上記(1)に記載のセ
キュア・タイムキーピング装置。 (4)前記公開鍵が前記コンピュータ・システムに固有
のものでありかつ物理的に安全確保されたパッケージの
外部からアクセス可能である上記(1)に記載のセキュ
ア・タイムキーピング装置。 (5)前記専用鍵が前記コンピュータ・システムに固有
のものでありかつ物理的に安全確保されたパッケージの
外部からアクセス不能である上記(1)に記載のセキュ
ア・タイムキーピング装置。 (6)前記専用鍵を用いて暗号化された現在の時刻及び
日付の情報のいずれかを時刻サーバに対して要求するセ
キュア・タイム(安全確保された時刻)要求手段を有す
る上記(1)に記載のセキュア・タイムキーピング装
置。 (7)前記セキュア・タイム要求手段により開始された
要求が前記TODクロックの現在値を含む上記(6)に
記載のセキュア・タイムキーピング装置。 (8)時刻及び日付のいずれかの更正値を受信しかつ該
更正値を前記TODクロックに適用するクライアント・
クロック更正手段を有する上記(1)に記載のセキュア
・タイムキーピング装置。 (9)前記更正値が専用鍵を用いて暗号化される上記
(8)に記載のセキュア・タイムキーピング装置。 (10)物理的に安全確保されたパッケージ内に設置さ
れた中央演算処理装置と電子記憶装置とを含むコンピュ
ータ・システムにおいて用いるセキュア(安全確保され
た)・タイムキーピング装置であって、時刻クロックと
日付カレンダーとを含む日時(time-of-day:TOD)
クロックと、前記TODクロックが認証された時刻及び
日付を有するか否かを示す値を記憶する認証時刻インジ
ケータと、前記TODクロックが正確であると見なされ
る持続時間を示す値を記憶する精度持続レジスタと、時
刻、日付、及び精度持続時間のいずれかの値を受信する
入力と、前記TODクロックからの暗号化されていない
時刻及び日付の値と前記認証時刻インジケータからの値
を与える出力とを有するセキュア・タイムキーピング装
置。 (11)前記精度持続レジスタが時刻の値を格納し、前
記認証時刻インジケータが、暗号化された値を用いて前
記TODクロックをセットしたことと、暗号化された値
を用いて前記精度持続レジスタをセットしたことと、該
精度持続レジスタが該TODクロックの値より時間的に
大きい(遅い)値を格納していることとを満たすことに
応答してTRUEにセットされる上記(10)に記載の
セキュア・タイムキーピング装置。 (12)前記認証時刻インジケータが、システムの初期
化、動作電圧低下状態、TODクロックを暗号化されて
いない値を用いてセットしたこと、及び前記精度持続レ
ジスタが該TODクロックの値よりも時間的に小さい
(早い)値を格納していることのいずれかに対してFA
LSEにセットされる上記(11)に記載のセキュア・
タイムキーピング装置。 (13)受信された時刻、日付、及び精度持続の値に基
づいてTODクロックの値及び精度持続レジスタの値を
セットし、受信された時刻、日付、及び精度持続の値が
暗号化されていない場合に前記認証時刻インジケータを
FALSEにセットし、受信された時刻、日付、及び精
度持続の値が暗号化されておりかつ前記精度持続レジス
タにセットされた値が前記TODクロックにセットされ
た値よりも時間的に大きい場合に該認証時刻インジケー
タをTRUEにセットする時刻装置設定手段を有する上
記(10)に記載のセキュア・タイムキーピング装置。 (14)前記セキュア・タイムキーピング装置が、TO
Dクロックが更正調整を受信すべき時間間隔を示す値を
記憶する更正調整レジスタを有し、前記入力が、更正調
整の値を受信するための手段を有し、前記時刻設定手段
が、前記受信された更正調整の値に基づいて前記更正調
整レジスタをセットする手段を有する上記(13)に記
載のセキュア・タイムキーピング装置。 (15)操作により前記TODクロック及び前記更正調
整レジスタに接続されかつ該TODクロックが該更正調
整レジスタの値に増分される毎に該TODクロックに対
する更正調整を行うTODクロック更正器を有する上記
(14)に記載のセキュア・タイムキーピング装置。 (16)前記更正調整レジスタの値が、増分、飛び、及
び非調整のいずれかを示し、更正調整の値が増分を示す
場合は、前記TODクロックに適用される更正調整が1
つの加算的増分であり、更正調整の値が飛びを示す場合
は、前記TODクロックに適用される更正調整が1つの
飛びであり、更正調整の値が非調整を示す場合は、前記
TODクロックに適用される更正調整が増分ゼロである
上記(15)に記載のセキュア・タイムキーピング装
置。 (17)正の更正調整値が増分を示し、負の更正調整値
が飛びを示し、及びゼロの更正調整値が非調整を示す上
記(16)に記載のタイム・キーピング装置。 (18)前記TODクロック、前記認証時刻インジケー
タ、前記精度持続レジスタ、及び前記更正調整レジスタ
の暗号化されていない値を読取る時刻装置読取り手段を
有する上記(16)に記載のセキュア・タイムキーピン
グ装置。 (19)前記更正調整レジスタの値が前記TODクロッ
クを最後にセットしてから該TOD内に積算されたドリ
フト量の関数であり、前記精度持続レジスタの値が該ド
リフト量と該TODクロックの先の設定に対応する予め
測定されたドリフト量との比較に基づく上記(18)に
記載のセキュア・タイムキーピング装置。 (20)現在時刻、日付、及び精度持続の値のいずれか
を時刻サーバから要求するセキュア・タイム要求手段を
有し、前記セキュア・タイム要求手段により開始された
要求が、前記TODクロックの現在値、前記精度持続レ
ジスタの現在値、前記更正調整レジスタの現在値、及び
認証時刻インジケータの現在値のいずれかを含む上記
(13)に記載のセキュア・タイムキーピング装置。 (21)時刻クロックと日付カレンダーを含むサーバ日
時(time-of-day:TOD)クロックを有するコンピュ
ータ・ネットワークにおけるセキュア(安全確保され
た)・タイム・サーバであって、公開鍵を含むセキュア
・タイム要求を受信する入力と、前記公開鍵に対応する
専用鍵を識別するプロセッサ手段と、前記専用鍵を用い
て前記TODクロックからの時刻及び日付の情報を暗号
化するデータ暗号化手段と、前記セキュア・タイム要求
を行った者に対して前記暗号化された時刻及び日付の情
報を送る出力とを有するセキュア・タイム・サーバ。 (22)前記サーバTODクロックの値、クライアント
から受信された時刻、日付及び更正履歴の情報、並びに
前回のクライアント・クロック更正計算から積算された
更正履歴のいずれかに基づいて該クライアント・クロッ
ク更正値を計算する更正調整手段を有する上記(21)
に記載のセキュア・タイム・サーバ。 (23)前記サーバTODクロックの値、クライアント
から受信された時刻、日付及び安定度履歴の情報、並び
に前回のクライアント・クロックの安定度計算から積算
された安定度履歴のいずれかに基づいて該クライアント
・クロックの安定度値を計算するクライアント安定度監
視手段を有する上記(21)に記載のセキュア・タイム
・サーバ。 (24)前記クライアント・クロック更正値が、さら
に、前記クライアント・クロックの最後の設定以降該ク
ライアント・クロックに積算されたドリフト量から計算
される上記(22)に記載のセキュア・タイム・サー
バ。 (25)前記更正値が、前記専用鍵を用いて暗号化され
る上記(22)に記載のセキュア・タイム・サーバ (26)時刻クロックと日付カレンダーを含むサーバ日
時(time-of-day:TOD)クロックを有するコンピュ
ータ・ネットワークにおけるセキュア(安全確保され
た)・タイム・サーバであって、セキュア・タイム伝送
を行うために公開鍵及び専用鍵を識別するプロセッサ手
段と、前記専用鍵を用いて前記TODクロックからの時
刻及び日付の情報を暗号化するデータ暗号化手段と、前
記暗号化された時刻及び日付の情報をブロードキャスト
(同報通信)する出力とを有するセキュア・タイム・サ
ーバ。 (27)前記サーバTODクロックの値、クライアント
から受信された時刻、日付及び更正履歴の情報、並びに
前回のクライアント・クロック更正計算から積算された
更正履歴のいずれかに基づいて該クライアント・クロッ
ク更正値を計算する更正調整手段を有する上記(26)
に記載のセキュア・タイム・サーバ。 (28)前記サーバTODクロックの値、クライアント
から受信された時刻、日付及び安定度履歴の情報、並び
に前回のクライアント・クロックの安定度計算から積算
された安定度履歴のいずれかに基づいて該クライアント
・クロックの安定度値を計算するクライアント安定度監
視手段を有する上記(26)に記載のセキュア・タイム
・サーバ。 (29)前記クライアント・クロック更正値が、さら
に、前記クライアント・クロックの最後の設定以降該ク
ライアント・クロックに積算されたドリフト量から計算
される上記(27)に記載のセキュア・タイム・サー
バ。
【0041】
【発明の効果】本発明によれば、クライアントのTOD
クロックをセットするためにサーバが発生した信頼でき
る時刻値を提供することにより、クライアント・システ
ムは信頼できる時刻値がなくても機能し、さらに一旦信
頼できる時刻値を与えると、クライアント・クロックの
正確さを維持するような装置が提供される。
クロックをセットするためにサーバが発生した信頼でき
る時刻値を提供することにより、クライアント・システ
ムは信頼できる時刻値がなくても機能し、さらに一旦信
頼できる時刻値を与えると、クライアント・クロックの
正確さを維持するような装置が提供される。
【図1】本発明によるセキュア・タイム・クライアント
/サーバ・システムを示す機能図である。
/サーバ・システムを示す機能図である。
【図2】本発明によるセキュア・タイムキーピング装置
を含むクライアント・コンピュータシステムを示す機能
図である。
を含むクライアント・コンピュータシステムを示す機能
図である。
【図3】本発明によるクライアント・コンピュータ・シ
ステムにおいて用いる電源保全モニタを示す機能図であ
る。
ステムにおいて用いる電源保全モニタを示す機能図であ
る。
【図4】本発明によるセキュア・タイム・サーバ・シス
テムを示す機能図である。
テムを示す機能図である。
100 セキュア・タイム・クライアント/サーバ・シ
ステム 102 クライアント・コンピュータ・システム 104 クライアントCPU 106 暗号化/解読プロセッサ 108 クライアントTODクロック 110 専用鍵 112 公開鍵 120 サーバ・コンピュータ・システム 122 サーバCPU 124 暗号化/解読プロセッサ 126 サーバTODクロック 130 鍵記憶領域 214 セキュア・タイムキーピング装置 216 パッケージ 218 認証時刻インジケータ 220 精度持続レジスタ 222 更正調整レジスタ 224 クロック更正器 302 電源保全モニタ 402 更正/安定度履歴記憶領域 404 安定度監視プロセッサ 406 更正プロセッサ
ステム 102 クライアント・コンピュータ・システム 104 クライアントCPU 106 暗号化/解読プロセッサ 108 クライアントTODクロック 110 専用鍵 112 公開鍵 120 サーバ・コンピュータ・システム 122 サーバCPU 124 暗号化/解読プロセッサ 126 サーバTODクロック 130 鍵記憶領域 214 セキュア・タイムキーピング装置 216 パッケージ 218 認証時刻インジケータ 220 精度持続レジスタ 222 更正調整レジスタ 224 クロック更正器 302 電源保全モニタ 402 更正/安定度履歴記憶領域 404 安定度監視プロセッサ 406 更正プロセッサ
Claims (30)
- 【請求項1】物理的に安全確保されたパッケージ内に設
置された中央演算処理装置と電子記憶装置とを含むコン
ピュータ・システムにおいて用いるセキュア(安全確保
された)・タイムキーピング装置であって、 時刻伝送及び日付伝送を暗号化しかつ解読するための専
用鍵を識別するのに用いる公開鍵を保持する公開鍵レジ
スタと、 前記専用鍵を保持する専用鍵レジスタと、 前記専用鍵を用いて暗号化された時刻及び日付の情報、
並びに時刻更正調整データを受信する入力と、 前記専用鍵を用いて受信された時刻及び日付の情報、並
びに前記時刻更正調整データを解読するデータ解読手段
と、 前記解読された時刻及び日付の情報を受信するための入
力、及び前記時刻更正調整データによる調整を受ける暗
号化されていない時刻及び日付の情報を与えるための出
力を備え、時刻クロックと日付カレンダーとを含む日時
(time-of-day:TOD)クロックとを有するセキュア
・タイムキーピング装置。 - 【請求項2】前記TODクロックが前記中央演算処理装
置と同じ物理的に安全確保されたパッケージ内に設置さ
れる請求項1に記載のセキュア・タイムキーピング装
置。 - 【請求項3】前記公開鍵が、前記コンピュータ・システ
ムのシステム・シリアル番号に対応する請求項1に記載
のセキュア・タイムキーピング装置。 - 【請求項4】前記公開鍵が前記コンピュータ・システム
に固有のものでありかつ物理的に安全確保されたパッケ
ージの外部からアクセス可能である請求項1に記載のセ
キュア・タイムキーピング装置。 - 【請求項5】前記専用鍵が前記コンピュータ・システム
に固有のものでありかつ物理的に安全確保されたパッケ
ージの外部からアクセス不能である請求項1に記載のセ
キュア・タイムキーピング装置。 - 【請求項6】前記専用鍵を用いて暗号化された現在の時
刻及び日付の情報のいずれかを時刻サーバに対して要求
するセキュア・タイム(安全確保された時刻)要求手段
を有する請求項1に記載のセキュア・タイムキーピング
装置。 - 【請求項7】前記セキュア・タイム要求手段により開始
された要求が前記TODクロックの現在値を含む請求項
6に記載のセキュア・タイムキーピング装置。 - 【請求項8】時刻及び日付のいずれかの更正値を受信し
かつ該更正値を前記TODクロックに適用するクライア
ント・クロック更正手段を有する請求項1に記載のセキ
ュア・タイムキーピング装置。 - 【請求項9】前記更正値が専用鍵を用いて暗号化される
請求項8に記載のセキュア・タイムキーピング装置。 - 【請求項10】物理的に安全確保されたパッケージ内に
設置された中央演算処理装置と電子記憶装置とを含むコ
ンピュータ・システムにおいて用いるセキュア(安全確
保された)・タイムキーピング装置であって、 時刻クロックと日付カレンダーとを含む日時(time-of-
day:TOD)クロックと、 前記TODクロックが認証された時刻及び日付を有する
か否かを示す値を記憶する認証時刻インジケータと、 前記TODクロックが正確であると見なされる持続時間
を示す値を記憶する精度持続レジスタと、 時刻、日付、及び精度持続時間のいずれかの値を受信す
る入力と、 前記TODクロックからの暗号化されていない時刻及び
日付の値と前記認証時刻インジケータからの値を与える
出力とを有するセキュア・タイムキーピング装置。 - 【請求項11】前記精度持続レジスタが時刻の値を格納
し、前記認証時刻インジケータが、暗号化された値を用
いて前記TODクロックをセットしたことと、暗号化さ
れた値を用いて前記精度持続レジスタをセットしたこと
と、該精度持続レジスタが該TODクロックの値より時
間的に大きい(遅い)値を格納していることとを満たす
ことに応答してTRUEにセットされる請求項10に記
載のセキュア・タイムキーピング装置。 - 【請求項12】前記認証時刻インジケータが、システム
の初期化、動作電圧低下状態、TODクロックを暗号化
されていない値を用いてセットしたこと、及び前記精度
持続レジスタが該TODクロックの値よりも時間的に小
さい(早い)値を格納していることのいずれかに対して
FALSEにセットされる請求項11に記載のセキュア
・タイムキーピング装置。 - 【請求項13】受信された時刻、日付、及び精度持続の
値に基づいてTODクロックの値及び精度持続レジスタ
の値をセットし、 受信された時刻、日付、及び精度持続の値が暗号化され
ていない場合に前記認証時刻インジケータをFALSE
にセットし、受信された時刻、日付、及び精度持続の値
が暗号化されておりかつ前記精度持続レジスタにセット
された値が前記TODクロックにセットされた値よりも
時間的に大きい場合に該認証時刻インジケータをTRU
Eにセットする時刻装置設定手段を有する請求項10に
記載のセキュア・タイムキーピング装置。 - 【請求項14】前記セキュア・タイムキーピング装置
が、TODクロックが更正調整を受信すべき時間間隔を
示す値を記憶する更正調整レジスタを有し、 前記入力が、更正調整の値を受信するための手段を有
し、 前記時刻設定手段が、前記受信された更正調整の値に基
づいて前記更正調整レジスタをセットする手段を有する
請求項13に記載のセキュア・タイムキーピング装置。 - 【請求項15】操作により前記TODクロック及び前記
更正調整レジスタに接続されかつ該TODクロックが該
更正調整レジスタの値に増分される毎に該TODクロッ
クに対する更正調整を行うTODクロック更正器を有す
る請求項14に記載のセキュア・タイムキーピング装
置。 - 【請求項16】前記更正調整レジスタの値が、増分、減
分、及び非調整のいずれかを示し、 更正調整の値が増分を示す場合は、前記TODクロック
に適用される更正調整が1つの加算的増分であり、 更正調整の値が減分を示す場合は、前記TODクロック
に適用される更正調整が1つの減分であり、 更正調整の値が非調整を示す場合は、前記TODクロッ
クに適用される更正調整が増分ゼロである請求項15に
記載のセキュア・タイムキーピング装置。 - 【請求項17】正の更正調整値が増分を示し、負の更正
調整値が減分を示し、及びゼロの更正調整値が非調整を
示す請求項16に記載のタイム・キーピング装置。 - 【請求項18】前記TODクロック、前記認証時刻イン
ジケータ、前記精度持続レジスタ、及び前記更正調整レ
ジスタの暗号化されていない値を読取る時刻装置読取り
手段を有する請求項16に記載のセキュア・タイムキー
ピング装置。 - 【請求項19】前記更正調整レジスタの値が前記TOD
クロックを最後にセットしてから該TOD内に積算され
たドリフト量の関数であり、前記精度持続レジスタの値
が該ドリフト量と該TODクロックの先の設定に対応す
る予め測定されたドリフト量との比較に基づく請求項1
8に記載のセキュア・タイムキーピング装置。 - 【請求項20】現在時刻、日付、及び精度持続の値のい
ずれかを時刻サーバに対して要求するセキュア・タイム
要求手段を有し、 前記セキュア・タイム要求手段により開始された要求
が、前記TODクロックの現在値、前記精度持続レジス
タの現在値、前記更正調整レジスタの現在値、及び認証
時刻インジケータの現在値のいずれかを含む請求項13
に記載のセキュア・タイムキーピング装置。 - 【請求項21】時刻クロックと日付カレンダーを含むサ
ーバ日時(time-of-day:TOD)クロックを有するコ
ンピュータ・ネットワークにおけるセキュア(安全確保
された)・タイム・サーバであって、 公開鍵を含むセキュア・タイム要求を受信する入力と、 前記公開鍵に対応する専用鍵を識別するプロセッサ手段
と、 前記専用鍵を用いて前記TODクロックからの時刻及び
日付の情報を暗号化するデータ暗号化手段と、 前記セキュア・タイム要求を行った者に対して前記暗号
化された時刻及び日付の情報を送る出力とを有するセキ
ュア・タイム・サーバ。 - 【請求項22】前記サーバTODクロックの値、クライ
アントから受信された時刻、日付及び更正履歴の情報、
並びに前回のクライアント・クロック更正計算から積算
された更正履歴のいずれかに基づいて該クライアント・
クロック更正値を計算する更正調整手段を有する請求項
21に記載のセキュア・タイム・サーバ。 - 【請求項23】前記サーバTODクロックの値、クライ
アントから受信された時刻、日付及び安定度履歴の情
報、並びに前回のクライアント・クロックの安定度計算
から積算された安定度履歴のいずれかに基づいて該クラ
イアント・クロックの安定度値を計算するクライアント
安定度監視手段を有する請求項21に記載のセキュア・
タイム・サーバ。 - 【請求項24】前記クライアント・クロック更正値が、
さらに、前記クライアント・クロックの最後の設定以降
該クライアント・クロックに積算されたドリフト量から
計算される請求項22に記載のセキュア・タイム・サー
バ。 - 【請求項25】前記更正値が、前記専用鍵を用いて暗号
化される請求項22に記載のセキュア・タイム・サーバ - 【請求項26】時刻クロックと日付カレンダーを含むサ
ーバ日時(time-of-day:TOD)クロックを有するコ
ンピュータ・ネットワークにおけるセキュア(安全確保
された)・タイム・サーバであって、 セキュア・タイム伝送を行うために公開鍵及び専用鍵を
識別するプロセッサ手段と、 前記専用鍵を用いて前記TODクロックからの時刻及び
日付の情報を暗号化するデータ暗号化手段と、 前記暗号化された時刻及び日付の情報をブロードキャス
ト(同報通信)する出力とを有するセキュア・タイム・
サーバ。 - 【請求項27】前記サーバTODクロックの値、クライ
アントから受信された時刻、日付及び更正履歴の情報、
並びに前回のクライアント・クロック更正計算から積算
された更正履歴のいずれかに基づいて該クライアント・
クロック更正値を計算する更正調整手段を有する請求項
26に記載のセキュア・タイム・サーバ。 - 【請求項28】前記サーバTODクロックの値、クライ
アントから受信された時刻、日付及び安定度履歴の情
報、並びに前回のクライアント・クロックの安定度計算
から積算された安定度履歴のいずれかに基づいて該クラ
イアント・クロックの安定度値を計算するクライアント
安定度監視手段を有する請求項26に記載のセキュア・
タイム・サーバ。 - 【請求項29】前記クライアント・クロック更正値が、
さらに、前記クライアント・クロックの最後の設定以降
該クライアント・クロックに積算されたドリフト量から
計算される請求項27に記載のセキュア・タイム・サー
バ。 - 【請求項30】前記更正値が、前記専用鍵を用いて暗号
化される請求項27に記載のセキュア・タイム・サーバ
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US96132 | 1993-07-22 | ||
US08/096,132 US5444780A (en) | 1993-07-22 | 1993-07-22 | Client/server based secure timekeeping system |
Publications (2)
Publication Number | Publication Date |
---|---|
JPH0736559A JPH0736559A (ja) | 1995-02-07 |
JP2628619B2 true JP2628619B2 (ja) | 1997-07-09 |
Family
ID=22255621
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP6140369A Expired - Lifetime JP2628619B2 (ja) | 1993-07-22 | 1994-06-22 | セキュア・タイムキーピング装置およびセキュア・タイム・サーバ |
Country Status (4)
Country | Link |
---|---|
US (2) | US5444780A (ja) |
EP (1) | EP0635790B1 (ja) |
JP (1) | JP2628619B2 (ja) |
DE (1) | DE69425793T2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9338010B2 (en) * | 2012-06-18 | 2016-05-10 | Ologn Technologies Ag | Systems, methods and apparatuses for secure time management |
Families Citing this family (158)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5542035A (en) * | 1993-10-27 | 1996-07-30 | Elonex Technologies | Timer-controlled computer system shutdown and startup |
US5564038A (en) * | 1994-05-20 | 1996-10-08 | International Business Machines Corporation | Method and apparatus for providing a trial period for a software license product using a date stamp and designated test period |
US5533123A (en) * | 1994-06-28 | 1996-07-02 | National Semiconductor Corporation | Programmable distributed personal security |
US8639625B1 (en) * | 1995-02-13 | 2014-01-28 | Intertrust Technologies Corporation | Systems and methods for secure transaction management and electronic rights protection |
US5892900A (en) * | 1996-08-30 | 1999-04-06 | Intertrust Technologies Corp. | Systems and methods for secure transaction management and electronic rights protection |
EP0743602B1 (en) * | 1995-05-18 | 2002-08-14 | Hewlett-Packard Company, A Delaware Corporation | Circuit device for function usage control in an integrated circuit |
DE19532617C2 (de) * | 1995-09-04 | 1998-01-22 | Nisl Klaus Dipl Ing | Verfahren und Vorrichtung zur Versiegelung von Computerdaten |
US6802005B1 (en) * | 1995-10-11 | 2004-10-05 | Pitney Bowes Inc. | Method and system for tracking a person's time at a location |
US7168088B1 (en) * | 1995-11-02 | 2007-01-23 | Sun Microsystems, Inc. | Method and apparatus for reliable disk fencing in a multicomputer system |
US5828751A (en) | 1996-04-08 | 1998-10-27 | Walker Asset Management Limited Partnership | Method and apparatus for secure measurement certification |
US8092224B2 (en) | 1995-11-22 | 2012-01-10 | James A. Jorasch | Systems and methods for improved health care compliance |
US7553234B2 (en) | 1995-11-22 | 2009-06-30 | Walker Digital, Llc | Method and apparatus for outputting a result of a game via a container |
US5857020A (en) * | 1995-12-04 | 1999-01-05 | Northern Telecom Ltd. | Timed availability of secured content provisioned on a storage medium |
US5825876A (en) * | 1995-12-04 | 1998-10-20 | Northern Telecom | Time based availability to content of a storage medium |
CA2211692A1 (en) * | 1995-12-11 | 1997-06-19 | Akira Sugiyama | Device for generating characteristic time and authentication apparatus using such device |
US5775994A (en) * | 1995-12-27 | 1998-07-07 | United Microelectronics Corp. | Method for automatically activating a control procedure at a user's game system through a broadcast network when said user's license is expired |
DE19610401A1 (de) * | 1996-03-16 | 1997-09-18 | Deutsche Telekom Ag | Verfahren und Anordnung zum Nachweis des Zeitpunktes der Durchführung eines kryptographischen Prozesses |
US5923763A (en) | 1996-03-21 | 1999-07-13 | Walker Asset Management Limited Partnership | Method and apparatus for secure document timestamping |
US6959387B2 (en) | 1996-03-21 | 2005-10-25 | Walker Digital, Llc | Method and apparatus for verifying secure document timestamping |
US6085320A (en) * | 1996-05-15 | 2000-07-04 | Rsa Security Inc. | Client/server protocol for proving authenticity |
US5825881A (en) * | 1996-06-28 | 1998-10-20 | Allsoft Distributing Inc. | Public network merchandising system |
US6041123A (en) * | 1996-07-01 | 2000-03-21 | Allsoft Distributing Incorporated | Centralized secure communications system |
ATE308175T1 (de) * | 1996-08-20 | 2005-11-15 | Ascom Hasler Mailing Sys Inc | Drucken von postgebührenmit kryptographischer taktsicherheit |
KR100352354B1 (ko) * | 1996-12-25 | 2003-01-24 | 소니 가부시끼 가이샤 | 게임기시스템,방송시스템,데이터분배시스템및방법,프로그램실행장치및방법 |
EP0919960A4 (en) | 1997-03-24 | 2004-08-25 | Akira Sugiyama | SYSTEM FOR OUTPUTING AUTHENTICITY DATA BASED ON A SPECIFIC TIME, MEANS FOR STORING AUTHENTICITY DATA OUTPUT BY THE OUTPUT SYSTEM AND SYSTEM FOR CERTIFYING THE AUTHENTICITY DATA |
US5925107A (en) * | 1997-04-08 | 1999-07-20 | International Business Machines Corporation | Verifying a time-of-day counter |
US6003091A (en) * | 1997-04-08 | 1999-12-14 | International Business Machines Corporation | Verifying a time-of-day counter |
US6209090B1 (en) * | 1997-05-29 | 2001-03-27 | Sol Aisenberg | Method and apparatus for providing secure time stamps for documents and computer files |
US6405315B1 (en) | 1997-09-11 | 2002-06-11 | International Business Machines Corporation | Decentralized remotely encrypted file system |
US5931947A (en) * | 1997-09-11 | 1999-08-03 | International Business Machines Corporation | Secure array of remotely encrypted storage devices |
US5918041A (en) * | 1997-11-26 | 1999-06-29 | International Business Machines Corporation | Method and apparatus for automatically adjusting a clock |
US6081899A (en) * | 1998-01-09 | 2000-06-27 | Netscape Communications Corporation | Time stamp authority hierarchy protocol and associated validating system |
US6226750B1 (en) | 1998-01-20 | 2001-05-01 | Proact Technologies Corp. | Secure session tracking method and system for client-server environment |
US6170014B1 (en) * | 1998-03-25 | 2001-01-02 | Community Learning And Information Network | Computer architecture for managing courseware in a shared use operating environment |
US6052700A (en) * | 1998-09-17 | 2000-04-18 | Bull Hn Information Systems Inc. | Calendar clock caching in a multiprocessor data processing system |
US6327660B1 (en) * | 1998-09-18 | 2001-12-04 | Intel Corporation | Method for securing communications in a pre-boot environment |
US6385642B1 (en) | 1998-11-03 | 2002-05-07 | Youdecide.Com, Inc. | Internet web server cache storage and session management system |
CA2363465A1 (en) * | 1999-02-26 | 2000-08-31 | Authentidate Holding Corp. | Digital file management and imaging system and method including secure file marking |
US6973444B1 (en) * | 1999-03-27 | 2005-12-06 | Microsoft Corporation | Method for interdependently validating a digital content package and a corresponding digital license |
US7136838B1 (en) * | 1999-03-27 | 2006-11-14 | Microsoft Corporation | Digital license and method for obtaining/providing a digital license |
US20020019814A1 (en) * | 2001-03-01 | 2002-02-14 | Krishnamurthy Ganesan | Specifying rights in a digital rights license according to events |
JP2001022272A (ja) * | 1999-05-06 | 2001-01-26 | Akira Sugiyama | 認証・管理装置 |
JP3782259B2 (ja) * | 1999-05-31 | 2006-06-07 | 富士通株式会社 | 署名作成装置 |
US6393126B1 (en) | 1999-06-23 | 2002-05-21 | Datum, Inc. | System and methods for generating trusted and authenticatable time stamps for electronic documents |
WO2000079348A2 (en) * | 1999-06-23 | 2000-12-28 | Datum, Inc. | System and method for providing a trusted third party clock and trusted local clock |
US8868914B2 (en) * | 1999-07-02 | 2014-10-21 | Steven W. Teppler | System and methods for distributing trusted time |
US6948069B1 (en) | 1999-07-02 | 2005-09-20 | Time Certain, Llc | Method and system for determining and maintaining trust in digital image files with certifiable time |
US6898709B1 (en) | 1999-07-02 | 2005-05-24 | Time Certain Llc | Personal computer system and methods for proving dates in digital data files |
US7409557B2 (en) | 1999-07-02 | 2008-08-05 | Time Certain, Llc | System and method for distributing trusted time |
US6895507B1 (en) * | 1999-07-02 | 2005-05-17 | Time Certain, Llc | Method and system for determining and maintaining trust in digital data files with certifiable time |
US6823456B1 (en) * | 1999-08-25 | 2004-11-23 | International Business Machines Corporation | System and method for providing trusted services via trusted server agents |
US6728880B1 (en) * | 1999-09-17 | 2004-04-27 | Adobe Systems Incorporated | Secure time on computers with insecure clocks |
WO2001026277A1 (en) | 1999-10-01 | 2001-04-12 | Infraworks Corporation | Method and apparatus for packaging and transmitting data |
BG63887B1 (bg) * | 1999-10-18 | 2003-04-30 | Ивайло ПОПОВ | Метод и устройство за създаване на сигурен канал за връзка, идентификация и извършване на разплащания |
US6792536B1 (en) | 1999-10-20 | 2004-09-14 | Timecertain Llc | Smart card system and methods for proving dates in digital files |
US7676438B2 (en) * | 1999-10-27 | 2010-03-09 | Ncr Corporation | Personal digital assistant as smart card |
US20050160272A1 (en) * | 1999-10-28 | 2005-07-21 | Timecertain, Llc | System and method for providing trusted time in content of digital data files |
US6571344B1 (en) * | 1999-12-21 | 2003-05-27 | Koninklijke Philips Electronics N. V. | Method and apparatus for authenticating time-sensitive interactive communications |
US6948063B1 (en) * | 1999-12-23 | 2005-09-20 | Checkfree Corporation | Securing electronic transactions over public networks |
JP2001211171A (ja) * | 2000-01-28 | 2001-08-03 | Advantest Corp | 機器認証装置、方法、機器認証プログラムを記録した記録媒体 |
US8055509B1 (en) * | 2000-03-10 | 2011-11-08 | Walker Digital, Llc | Methods and apparatus for increasing and/or for monitoring a party's compliance with a schedule for taking medicines |
JP2001291135A (ja) * | 2000-04-06 | 2001-10-19 | Yunirekku:Kk | 作業時間管理方法、作業時間管理装置 |
US6742048B1 (en) * | 2000-07-10 | 2004-05-25 | Advanced Micro Devices, Inc. | Multilevel network for distributing trusted time and delegating levels of trust regarding timekeeping |
US6708281B1 (en) * | 2000-07-10 | 2004-03-16 | Advanced Micro Devices, Inc. | Methods for providing estimates of the current time in a computer system including a local time source having one of several possible levels of trust with regard to timekeeping |
US6889212B1 (en) | 2000-07-11 | 2005-05-03 | Motorola, Inc. | Method for enforcing a time limited software license in a mobile communication device |
US7272720B2 (en) * | 2000-09-27 | 2007-09-18 | Fujitsu Limited | Date-and-time management device and signature generation apparatus with date-and-time management function |
US20020078243A1 (en) * | 2000-12-15 | 2002-06-20 | International Business Machines Corporation | Method and apparatus for time synchronization in a network data processing system |
ATE368913T1 (de) * | 2000-12-19 | 2007-08-15 | Azoteq Pty Ltd | Verfahren und vorrichtung zum datentransfer |
AU2002222409A1 (en) * | 2000-12-27 | 2002-07-08 | Nettrust Israel Ltd. | Methods and systems for authenticating communications |
US20040102959A1 (en) * | 2001-03-28 | 2004-05-27 | Estrin Ron Shimon | Authentication methods apparatus, media and signals |
KR20020083851A (ko) * | 2001-04-30 | 2002-11-04 | 주식회사 마크애니 | 디지털 컨텐츠의 보호 및 관리를 위한 방법 및 이를이용한 시스템 |
US20020184507A1 (en) * | 2001-05-31 | 2002-12-05 | Proact Technologies Corp. | Centralized single sign-on method and system for a client-server environment |
US7395245B2 (en) * | 2001-06-07 | 2008-07-01 | Matsushita Electric Industrial Co., Ltd. | Content usage management system and server used in the system |
US7725945B2 (en) * | 2001-06-27 | 2010-05-25 | Intel Corporation | Discouraging unauthorized redistribution of protected content by cryptographically binding the content to individual authorized recipients |
FI115811B (fi) * | 2001-06-27 | 2005-07-15 | Nokia Corp | Menetelmä aikatiedon tarkistamiseksi, järjestelmä ja päätelaite |
US7421411B2 (en) * | 2001-07-06 | 2008-09-02 | Nokia Corporation | Digital rights management in a mobile communications environment |
ES2295105T3 (es) * | 2001-07-26 | 2008-04-16 | Irdeto Access B.V. | Sistema para la validacion de tiempo horario. |
US7003654B2 (en) * | 2001-08-16 | 2006-02-21 | Hewlett-Packard Development Company, L.P. | Time-based initialization defaults for an electronic information retrieval device |
US20030165242A1 (en) * | 2001-11-19 | 2003-09-04 | Adrian Walker | Confusion encryption |
SE0104344D0 (sv) * | 2001-12-20 | 2001-12-20 | Au System Ab Publ | System och förfarande |
US20030126447A1 (en) * | 2001-12-27 | 2003-07-03 | Jacques Debiez | Trusted high stability time source |
AU2002367373A1 (en) * | 2002-01-14 | 2003-07-24 | Koninklijke Philips Electronics N.V. | System for providing time dependent conditional access |
US7036013B2 (en) * | 2002-01-31 | 2006-04-25 | Brocade Communications Systems, Inc. | Secure distributed time service in the fabric environment |
JP2003223365A (ja) * | 2002-01-31 | 2003-08-08 | Fujitsu Ltd | データ管理機構及びデータ管理機構を有する装置又はカード |
US7550870B2 (en) * | 2002-05-06 | 2009-06-23 | Cyber Switching, Inc. | Method and apparatus for remote power management and monitoring |
EP1361495A3 (en) * | 2002-05-09 | 2009-06-03 | Panasonic Corporation | Distribution system, distribution apparatus and reception apparatus for distributing digital contents having usage expiry |
US7146504B2 (en) * | 2002-06-13 | 2006-12-05 | Microsoft Corporation | Secure clock on computing device such as may be required in connection with a trust-based system |
JP2004078883A (ja) * | 2002-06-17 | 2004-03-11 | Ntt Docomo Inc | 通信端末、プログラムおよび記録媒体 |
DE60226245T2 (de) * | 2002-10-25 | 2009-05-14 | Sony Ericsson Mobile Communications Ab | Verfahren und Vorrichtung zur Handlung eines vertrauenswürdigen Uhrwertes |
US7076802B2 (en) | 2002-12-31 | 2006-07-11 | Intel Corporation | Trusted system clock |
US20040128528A1 (en) * | 2002-12-31 | 2004-07-01 | Poisner David I. | Trusted real time clock |
DE10301100A1 (de) * | 2003-01-08 | 2004-07-22 | Deutsche Telekom Ag | Telekommunikationsgestützter Zeitstempel |
US7370212B2 (en) | 2003-02-25 | 2008-05-06 | Microsoft Corporation | Issuing a publisher use license off-line in a digital rights management (DRM) system |
DE10308232A1 (de) * | 2003-02-25 | 2004-09-09 | Francotyp-Postalia Ag & Co. Kg | Verfahren zur Ermittlung einer Zeitinformation |
US20050044397A1 (en) * | 2003-08-19 | 2005-02-24 | Telefonaktiebolaget Lm Ericsson | Method and system for secure time management in digital rights management |
US20050110880A1 (en) * | 2003-11-26 | 2005-05-26 | Eastman Kodak Company | Method for correcting the date/time metadata in digital image files |
JP2005301333A (ja) * | 2004-04-06 | 2005-10-27 | Hitachi Global Storage Technologies Netherlands Bv | 利用時間制限機能を備えた磁気ディスク装置 |
US20060242406A1 (en) * | 2005-04-22 | 2006-10-26 | Microsoft Corporation | Protected computing environment |
US7266714B2 (en) * | 2004-06-15 | 2007-09-04 | Dolby Laboratories Licensing Corporation | Method an apparatus for adjusting the time of a clock if it is determined that the degree of adjustment is within a limit based on the clocks initial time |
US7949666B2 (en) * | 2004-07-09 | 2011-05-24 | Ricoh, Ltd. | Synchronizing distributed work through document logs |
CN100535919C (zh) | 2004-08-20 | 2009-09-02 | 松下电器产业株式会社 | 内容再现设备和内容再现方法 |
JP2006085816A (ja) * | 2004-09-16 | 2006-03-30 | Hitachi Ltd | 再生装置及び記録再生装置 |
JP4481141B2 (ja) * | 2004-10-13 | 2010-06-16 | 株式会社日立製作所 | ストレージシステム及び計算機システム |
US8347078B2 (en) | 2004-10-18 | 2013-01-01 | Microsoft Corporation | Device certificate individualization |
US8176564B2 (en) * | 2004-11-15 | 2012-05-08 | Microsoft Corporation | Special PC mode entered upon detection of undesired state |
US8336085B2 (en) | 2004-11-15 | 2012-12-18 | Microsoft Corporation | Tuning product policy using observed evidence of customer behavior |
US7610631B2 (en) * | 2004-11-15 | 2009-10-27 | Alexander Frank | Method and apparatus for provisioning software |
US8464348B2 (en) | 2004-11-15 | 2013-06-11 | Microsoft Corporation | Isolated computing environment anchored into CPU and motherboard |
US20060106920A1 (en) * | 2004-11-15 | 2006-05-18 | Microsoft Corporation | Method and apparatus for dynamically activating/deactivating an operating system |
US8316456B2 (en) * | 2004-12-30 | 2012-11-20 | Nokia Corporation | System and method for representing a secure time in a device based upon an insecure clock |
CN100447776C (zh) * | 2005-03-17 | 2008-12-31 | 联想(北京)有限公司 | 内嵌实时时钟的安全芯片以及校准其实时时钟方法 |
US8438645B2 (en) | 2005-04-27 | 2013-05-07 | Microsoft Corporation | Secure clock with grace periods |
US8725646B2 (en) | 2005-04-15 | 2014-05-13 | Microsoft Corporation | Output protection levels |
US9363481B2 (en) | 2005-04-22 | 2016-06-07 | Microsoft Technology Licensing, Llc | Protected media pipeline |
US9436804B2 (en) * | 2005-04-22 | 2016-09-06 | Microsoft Technology Licensing, Llc | Establishing a unique session key using a hardware functionality scan |
US20060265758A1 (en) | 2005-05-20 | 2006-11-23 | Microsoft Corporation | Extensible media rights |
US8353046B2 (en) | 2005-06-08 | 2013-01-08 | Microsoft Corporation | System and method for delivery of a modular operating system |
US8327448B2 (en) * | 2005-06-22 | 2012-12-04 | Intel Corporation | Protected clock management based upon a non-trusted persistent time source |
US7926096B2 (en) * | 2005-08-31 | 2011-04-12 | Gemalto Sa | Enforcing time-based transaction policies on devices lacking independent clocks |
US7454648B2 (en) * | 2005-09-09 | 2008-11-18 | International Business Machines Corporation | System and method for calibrating a time of day clock in a computing system node provided in a multi-node network |
US20070061535A1 (en) | 2005-09-12 | 2007-03-15 | Microsoft Corporation | Processing unit enclosed operating system |
US7962752B2 (en) * | 2005-09-23 | 2011-06-14 | Intel Corporation | Method for providing trusted time in a computing platform |
JP2007215104A (ja) * | 2006-02-13 | 2007-08-23 | Seiko Instruments Inc | 端末機器 |
JP4918717B2 (ja) * | 2006-02-13 | 2012-04-18 | セイコーインスツル株式会社 | 計測装置 |
JP2007243574A (ja) * | 2006-03-08 | 2007-09-20 | Konica Minolta Business Technologies Inc | タイムスタンプ取得装置、タイムスタンプ取得方法及びタイムスタンプ取得プログラム |
KR101557251B1 (ko) | 2006-05-09 | 2015-10-02 | 인터디지탈 테크날러지 코포레이션 | 무선 장치에 대한 안전 시간 기능 |
US8006094B2 (en) * | 2007-02-21 | 2011-08-23 | Ricoh Co., Ltd. | Trustworthy timestamps and certifiable clocks using logs linked by cryptographic hashes |
US8996483B2 (en) | 2007-03-28 | 2015-03-31 | Ricoh Co., Ltd. | Method and apparatus for recording associations with logs |
US8220031B2 (en) * | 2007-05-01 | 2012-07-10 | Texas Instruments Incorporated | Secure time/date virtualization |
BRPI0721533A2 (pt) * | 2007-05-08 | 2013-02-26 | Thomson Licensing | mÉtodo e aparelho para ajustar cheves de descriptografia |
US8869288B2 (en) * | 2007-06-08 | 2014-10-21 | Sandisk Technologies Inc. | Method for using time from a trusted host device |
US8688588B2 (en) * | 2007-06-08 | 2014-04-01 | Sandisk Technologies Inc. | Method for improving accuracy of a time estimate used in digital rights management (DRM) license validation |
US20080307237A1 (en) * | 2007-06-08 | 2008-12-11 | Michael Holtzman | Method for improving accuracy of a time estimate used to authenticate an entity to a memory device |
US8688924B2 (en) * | 2007-06-08 | 2014-04-01 | Sandisk Technologies Inc. | Method for improving accuracy of a time estimate from a memory device |
WO2008151294A1 (en) * | 2007-06-08 | 2008-12-11 | Sandisk Corporation | Memory device with circuitry for improving accuracy of a time estimate used to authenticate an entity and method for use therewith |
US8249257B2 (en) * | 2007-09-28 | 2012-08-21 | Intel Corporation | Virtual TPM keys rooted in a hardware TPM |
EP2056227B1 (en) | 2007-10-31 | 2016-02-24 | EchoStar Technologies L.L.C. | System and method for employing a controlled-modification current time value |
KR101448122B1 (ko) * | 2007-11-07 | 2014-10-07 | 삼성전자 주식회사 | 시간 기반 drm 권한 관리 장치 및 방법 |
US8117449B2 (en) * | 2007-12-27 | 2012-02-14 | Mastercard International, Inc. | Method to detect man-in-the-middle (MITM) or relay attacks |
US8401192B2 (en) * | 2008-02-29 | 2013-03-19 | Red Hat, Inc. | Mechanism for securely ordered message exchange |
US8812858B2 (en) | 2008-02-29 | 2014-08-19 | Red Hat, Inc. | Broadcast stenography of data communications |
US8195949B2 (en) * | 2008-02-29 | 2012-06-05 | Red Hat, Inc. | Mechanism for generating message sequence order numbers |
KR101025162B1 (ko) * | 2008-06-30 | 2011-03-31 | 삼성전자주식회사 | 휴대단말의 디지털 저작권 관리 타임 확보 방법 및 장치 |
CN101340437B (zh) * | 2008-08-19 | 2011-05-18 | 北京飞天诚信科技有限公司 | 时间源校正方法及其系统 |
CN101782955B (zh) * | 2009-01-16 | 2012-06-20 | 鸿富锦精密工业(深圳)有限公司 | 文件保护系统 |
CN101587523B (zh) * | 2009-07-02 | 2012-04-18 | 飞天诚信科技股份有限公司 | 保护软件的方法和装置 |
US8448009B2 (en) | 2009-08-17 | 2013-05-21 | Sandisk Il Ltd. | Method and memory device for generating a time estimate |
US9559845B2 (en) | 2012-03-01 | 2017-01-31 | Ologn Technologies Ag | Systems, methods and apparatuses for the secure transmission of media content |
CA2865548C (en) | 2012-03-01 | 2021-03-02 | Ologn Technologies Ag | Systems, methods and apparatuses for the secure transmission and restricted use of media content |
TW201349009A (zh) | 2012-04-13 | 2013-12-01 | Ologn Technologies Ag | 用於數位通信之安全區 |
WO2013153437A1 (en) | 2012-04-13 | 2013-10-17 | Ologn Technologies Ag | Apparatuses, methods and systems for computer-based secure transactions |
TW201403375A (zh) | 2012-04-20 | 2014-01-16 | 歐樂岡科技公司 | 用於安全購買之安全區 |
WO2014141202A1 (en) | 2013-03-15 | 2014-09-18 | Ologn Technologies Ag | Systems, methods and apparatuses for securely storing and providing payment information |
US9853949B1 (en) * | 2013-04-19 | 2017-12-26 | Amazon Technologies, Inc. | Secure time service |
US9948640B2 (en) | 2013-08-02 | 2018-04-17 | Ologn Technologies Ag | Secure server on a system with virtual machines |
US10949397B1 (en) * | 2014-12-11 | 2021-03-16 | Amazon Technologies, Inc. | Data locking and state management on distributed storage systems |
US9819696B2 (en) | 2015-11-04 | 2017-11-14 | Bitdefender IPR Management Ltd. | Systems and methods for detecting domain generation algorithm (DGA) malware |
US10862854B2 (en) | 2019-05-07 | 2020-12-08 | Bitdefender IPR Management Ltd. | Systems and methods for using DNS messages to selectively collect computer forensic data |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4310720A (en) * | 1978-03-31 | 1982-01-12 | Pitney Bowes Inc. | Computer accessing system |
US4423287A (en) * | 1981-06-26 | 1983-12-27 | Visa U.S.A., Inc. | End-to-end encryption system and method of operation |
US4825050A (en) * | 1983-09-13 | 1989-04-25 | Transaction Security Corporation | Security transaction system for financial data |
US4575621A (en) * | 1984-03-07 | 1986-03-11 | Corpra Research, Inc. | Portable electronic transaction device and system therefor |
US4736419A (en) * | 1984-12-24 | 1988-04-05 | American Telephone And Telegraph Company, At&T Bell Laboratories | Electronic lock system |
US4933898A (en) * | 1989-01-12 | 1990-06-12 | General Instrument Corporation | Secure integrated circuit chip with conductive shield |
US5189700A (en) * | 1989-07-05 | 1993-02-23 | Blandford Robert R | Devices to (1) supply authenticated time and (2) time stamp and authenticate digital documents |
US5136643A (en) * | 1989-10-13 | 1992-08-04 | Fischer Addison M | Public/key date-time notary facility |
US5001752A (en) * | 1989-10-13 | 1991-03-19 | Fischer Addison M | Public/key date-time notary facility |
US5022080A (en) * | 1990-04-16 | 1991-06-04 | Durst Robert T | Electronic notary |
US5136647A (en) * | 1990-08-02 | 1992-08-04 | Bell Communications Research, Inc. | Method for secure time-stamping of digital documents |
US5136646A (en) * | 1991-03-08 | 1992-08-04 | Bell Communications Research, Inc. | Digital document time-stamping with catenate certificate |
US5166953A (en) * | 1990-10-30 | 1992-11-24 | General Electric Company | Technique for frequency-hopped spread spectrum communications |
EP0566811A1 (en) * | 1992-04-23 | 1993-10-27 | International Business Machines Corporation | Authentication method and system with a smartcard |
US5224166A (en) * | 1992-08-11 | 1993-06-29 | International Business Machines Corporation | System for seamless processing of encrypted and non-encrypted data and instructions |
-
1993
- 1993-07-22 US US08/096,132 patent/US5444780A/en not_active Expired - Lifetime
-
1994
- 1994-06-03 DE DE69425793T patent/DE69425793T2/de not_active Expired - Lifetime
- 1994-06-03 EP EP94304012A patent/EP0635790B1/en not_active Expired - Lifetime
- 1994-06-22 JP JP6140369A patent/JP2628619B2/ja not_active Expired - Lifetime
- 1994-12-29 US US08/365,654 patent/US5500897A/en not_active Expired - Fee Related
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9338010B2 (en) * | 2012-06-18 | 2016-05-10 | Ologn Technologies Ag | Systems, methods and apparatuses for secure time management |
US9654297B2 (en) | 2012-06-18 | 2017-05-16 | Ologn Technologies Ag | Systems, methods and apparatuses for secure time management |
US10374811B2 (en) | 2012-06-18 | 2019-08-06 | Ologn Technologies Ag | Systems, methods and apparatuses for secure time management |
Also Published As
Publication number | Publication date |
---|---|
EP0635790A1 (en) | 1995-01-25 |
DE69425793D1 (de) | 2000-10-12 |
JPH0736559A (ja) | 1995-02-07 |
US5500897A (en) | 1996-03-19 |
US5444780A (en) | 1995-08-22 |
DE69425793T2 (de) | 2001-04-12 |
EP0635790B1 (en) | 2000-09-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2628619B2 (ja) | セキュア・タイムキーピング装置およびセキュア・タイム・サーバ | |
US7146504B2 (en) | Secure clock on computing device such as may be required in connection with a trust-based system | |
US8473745B2 (en) | Rights enforcement and usage reporting on a client device | |
US8438645B2 (en) | Secure clock with grace periods | |
CA2567573C (en) | Adjustable free-running secure clock | |
US7891009B2 (en) | Time data checking unit, electronic device and method for checking a time indication | |
US7272720B2 (en) | Date-and-time management device and signature generation apparatus with date-and-time management function | |
US20040052378A1 (en) | Contents management system | |
KR20080069167A (ko) | 신뢰 시간을 이용한 디지털 권리 관리 | |
US20100024000A1 (en) | Method for improving accuracy of a time estimate used in digital rights management (DRM) license validation | |
JP4489067B2 (ja) | 内蔵電源が備えられていない機器におけるセキュアクロックの実現方法および装置 | |
US20070039046A1 (en) | Proof of execution using random function | |
CN102077213A (zh) | 用于确保通信的认证和完整性的技术 | |
KR20050027278A (ko) | 공개 키 기반구조 내에서 개인 키를 안전하게 위탁하는 방법 및 시스템 | |
JP2002084274A (ja) | 情報処理装置および方法、並びに記録媒体 | |
US20080307237A1 (en) | Method for improving accuracy of a time estimate used to authenticate an entity to a memory device | |
JP5039931B2 (ja) | 情報処理装置 | |
JP2005128960A (ja) | コンテンツの再生装置及び方法 | |
JP2006146744A (ja) | リムーバブルメディア情報管理方法及びシステム | |
JP4760232B2 (ja) | 時刻設定装置及び時刻設定方法 | |
JP2002297547A (ja) | 情報処理装置および方法、情報処理システム、記録媒体、並びにプログラム | |
JP5997604B2 (ja) | ソフトウェア不正使用防止機能を備えた情報処理装置、ソフトウェア不正使用防止方法及びプログラム | |
TW200525976A (en) | A method and system of verifying the authenticity of a set-top-box chip | |
US20240039705A1 (en) | Data Protection with Two Password Asymmetric Encryption | |
TW202347153A (zh) | 有時間限之金鑰導出 |