JP2675806B2 - 情報記憶システム - Google Patents

情報記憶システム

Info

Publication number
JP2675806B2
JP2675806B2 JP63050529A JP5052988A JP2675806B2 JP 2675806 B2 JP2675806 B2 JP 2675806B2 JP 63050529 A JP63050529 A JP 63050529A JP 5052988 A JP5052988 A JP 5052988A JP 2675806 B2 JP2675806 B2 JP 2675806B2
Authority
JP
Japan
Prior art keywords
message
key
messages
kdc
mac
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP63050529A
Other languages
English (en)
Other versions
JPS63225840A (ja
Inventor
アラン・デイ・マーシヤル
クリストフア・ジエイ・ミツチエル
グレーム・ジエイ・プラウドラ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
HP Inc
Original Assignee
Hewlett Packard Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Co filed Critical Hewlett Packard Co
Publication of JPS63225840A publication Critical patent/JPS63225840A/ja
Application granted granted Critical
Publication of JP2675806B2 publication Critical patent/JP2675806B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • H04L9/0836Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2153Using hardware token as a secondary aspect
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Mathematical Physics (AREA)
  • Power Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

【発明の詳細な説明】 〔発明の技術分野〕 本発明は情報を安全に記憶する情報記憶方式に関す
る。
〔従来技術およびその問題点〕
コンピュータやデータ記憶システムにおいて、ユーザ
が情報を安全に(充分高いセキュリィをもって)、すな
わち正当性を確認して、記憶することができることが必
要とされる場合がある。これは情報の破壊に対しての耐
久力があると言うことを意味してはいない。と言うのは
部外者は記憶されている情報をほとんどいつでも破壊し
得るからであり、情報を破壊から保護するには記憶手段
の物理的な安全性(security)が必要とされる。ここで
意味していることは、記憶されているデータが干渉を受
けないということであり、このことはいかなる干渉も検
出されるということを意味する。
実際には、これはメッセージ認証コード(message au
thentication code、MAC)によって達成される。MACを
計算するには情報をMAC発生器に通し、これにより典型
的には64ビット長のMACを得る。このMACを記憶しておく
ことができ、後にMACを再計算することにより情報を認
証する(authenticate)することができる。もし記憶し
ておいたMACと計算で得られたMACが一致すればその情報
は干渉を受けていない。もちろん、このMACはそれ自身
干渉から保護されていなければならない、つまりこのMA
Cを計算する本になっている情報の修正に釣り合うよう
に部外者がはじめのMACを修正することから保護されて
いなければならない。この保護を実現するには、MACの
計算に秘密のキーを用いる。MACを計算するに当たって
の便利な、また以下で選ばれている一つの方法は、DES/
DEA的なアルゴリズムとDES/DEA暗号化/解読ユニットを
使用することにより、キーおよび暗号ブロックチェイニ
ング(cipher block chaining、CBC)技術を用いる事で
ある。このプロセスは情報を暗号化する場合と同じであ
る。ただしMACを計算する際にはDES/DEAユニットからの
出力ブロックのストリーム(暗号化された情報)は捨て
られ、最後のブロックだけがMACとして保存される点が
違っている。この技術を使用する場合は、MACそれ自身
は情報と一緒に記憶され、MACを計算する為に用いられ
たキーだけが秘密に保たれる。
実際には、MACを安全な(正当性が確認された)情報
記憶に用いるというこの技術は幾分面倒なものである。
それはチェックしなければならない情報は非常に大量に
なりがちだからである。セッションの始めにユーザはチ
ェックを始めるが、そのチェックでは記憶されている情
報全体のMACの計算が行われる。セッションの終わりで
はユーザは情報全体についての新たなMACの計算をしな
ければならない。この情報はこのセッション中にその処
理をすることによりユーザによって変更されているの
で、新しいMACはもちろん古いものとは異なってくる。
本願発明者の知見によれば、チェックされるべき情報
は通常は多数の個別的なファイルまたは「メッセージ」
からなっており、一回のセッションではユーザは通常そ
の中の少数のものについてしか作業しない。従って、こ
の情報のMACの計算にあたってはMACの変化に唯一寄与す
るところの変化したファイルに加えて、大量の変化して
いない情報、つまり変化していないファイル、をMAC発
生器を用いてスキャンすることが行われる。しかしなが
ら、変化したファイルだけからMACの変化を計算する簡
単な方法はない。MACは連鎖状のプロセスである。先ず
情報の64ビットの各々のブロックが順に先行するブロッ
ク群より計算されたMACと組み合わされてこの現ブロッ
クまで(このブロックも含む)の全けのブロックについ
てのMACを得る。この情報の途中のあるブロックに変化
によるMACへの影響を計算することはできない。
〔発明の目的〕
本発明の目的は上述した従来技術の問題点を解消し、
情報の一部分しか変化しない場合のMACを簡単に計算す
ることである。
〔発明の概要〕
本発明の一実施例によれば、複数のファイルまたはメ
ッセージからなり、認証を必要とする情報の本体全体に
ついてのグローバルMAC(全体的MAC)の計算が、各メッ
セージについての個別のMACを計算しこれら個別のMACか
らグローバルMACを計算することにより行われる。
最も単純な形では、メッセージの個別的なMACから直
接的に計算され、これらの個別的MACは連結されてそれ
についてグローバルMACを計算すべき更に別のメッセー
ジを実効的に形成すると見なされる。しかし、システム
は階層化されていてよいということが理解できるだろ
う。このため、これらメッセージは夫々がかなりの数の
メッセージを含むブロックに分割される。各ブロック毎
にその全てのメッセージについてMACを計算し、そのブ
ロックの全てのメッセージのMACについてのブロックのM
ACを計算する。次にグローバルMACが全てのブロックの
ブロックMACについて計算される。従って、この場合で
もグローバルMACはメッセージの個別のMACから計算さ
れ、間接的であるが、情報全体、すなわち全てのブロッ
クの全てのメッセージ、正当性を確認する。ブロックMA
Cはもちろん個々のブロックについて見ればそのグロー
バルMACになっており、個々にそのブロック中のメッセ
ージの正当性を確認する。
記憶されている情報を何か改変すれば、それはMACの
突き合わせの失敗を引き起こし、その改変が検出され
る。個々のメッセージの改変はそのMACの変化を引き起
こす。MACは秘密に保たれているキーを用いて計算され
るので、部外者は彼が改変したメッセージのMACを代え
ることはできず、そのメッセージのMACチェックは失敗
する。もし部外者が余計なメッセージを挿入したり、完
全なメッセージを取り除いたり、あるいはメッセージの
順序を変えたりすると、グローバルMACの突き合わせの
失敗が引き起こされる。記憶されている情報に加えられ
た改変の性質を判定することは通常は可能ではないが、
このような改変の事実は常に明白になる。
この技術の利点は、もし実際のセッションでユーザが
少数のメッセージだけを変更したのであれば、このセッ
ションの終わりにおけるMACの計算では変化したメッセ
ージのMACの計算とグローバルMACの計算が行われるだけ
である。この技術では、グローバルMACの計算はMACを一
つだけ計算するものに比べるとオーバーヘッドである
が、しかしこのオーバーヘッドは比較的小さい。それは
個々のメッセージのMACはメッセージそれ自体に比べて
大幅に少ない情報しかないからである。メッセージが処
理される(生成される、あるいは変更される)際にはい
つもそのMACを計算しなければならないが、しかしどの
セッションにおいても、そこで処理されたメッセージだ
けが再計算を必要とし、変化していないメッセージはそ
れにたいしていかなる計算も行われる必要がない。
本発明の補足的な側面は個々のメッセージを秘密を保
って記憶することに関係するが、これはユーザがしばし
ば必要とするもう一つの特徴である。正当性の確認と同
様に、これは情報が誤りに対して耐久力があるというこ
とを意味するものではない。ここで意味されていること
は、記憶されている情報を部外者が読み出すことができ
ないという保証があることである。
従って、本発明の実施例にはまた、安全モジュール内
に一つあるいはもっと多くのキーを格納する手段と、暗
号化/解読手段と、メッセージを記憶する前に暗号化す
る手段も設けられる。好ましくは、2以上の階層のキー
が用いられ、ここで最下層のキーは各メッセージ用に夫
々ランダムに生成されてメッセージ中に格納され、その
階層構造のすぐ上位のキーと組み合わせられて暗号化キ
ーをもたらし、階層構造が2よりも多い階層を有してい
る場合には、その階層構造の上の方に向かって存在する
各キーは最上位のキーを除いてはそのすぐ上にあるキー
によって暗号化された上でメッセージの本体に夫々追加
される。階層構造中の各キーは好ましくは予め定められ
た回数だけ使用された後に変更される。
メッセージは従って暗号化された形で格納され、ここ
で各メッセージはそのメッセージに固有のキーの下で格
納される(なんとなれば、暗号化するためのキーはメッ
セージに固有のキーといくつかのメッセージに対して同
一であるキーの組み合わせによって形成されるからであ
る)。階層的キー構造を持つことおよび所与の量の使用
の後にキーを変えることにより、部外者の暗号解読によ
る攻撃の可能性が最小になる。
本発明は安全通信システムの分野に特に適用できる。
パーソナルコンピュータのような端末が多数相互接続さ
れている通信ネットワークはよく知られている。(以下
の実施例では、セキュリティのため、暗号化キーを管理
する端末であるキー分配センタ(key distribution cen
tre、KDC)とユーザが使用する端末であるユーザ機器
(user agent、UA)がネットワークに接続されてい
る。)このようなシステムでは公衆電話システムのよう
な安全でない、つまりセキュリティが充分でない通信媒
体がしばしば用いられる。このようなあまり安全ではな
い通信媒体においては、受動的妨害(盗聴)や能動的妨
害(メッセージを横取りして除去する、メッセージを改
変する、あるいは不正なメッセージを挿入する)を受け
やすい。これらの問題を克服するためには、暗号システ
ムを設けることが知られている。しかしながら、暗号化
の理論自体は明らかであるが、多数の端末を含むシステ
ムを設計するに当たって係わってくる実際上の問題はか
なりある。そのような問題の中に、情報を安全に記憶す
ることに関連する問題がある。ここでの情報はユーザが
生成したメッセージ(ユーザが生成してそのユーザの端
末に格納されるメッセージと他のユーザによって受信さ
れるメッセージの両者がある)およびシステムの構成上
の目的のために用いられる情報の両方を指す。
本発明の更に別の局面は他の端末から受信したメッセ
ージをこのような端末に秘密裡に記憶することに関連す
る。これもユーザがしばしば求める特徴である。
本発明の他の局面によれば、システムの遠方の端末か
ら階層構造のキーの下で暗号化されたメッセージを受信
してそのようなメッセージを格納する手段と、遠方の端
末でそのメッセージの暗号化のために使用されたキーを
キー階層構造の上の方へ向かって全て、但しその最上位
のキーを除いてそのメッセージに追加する手段と、その
メッセージと付属部のMACを計算しこのMACをグローバル
MACの計算に含める手段を設けた情報記録方式が与えら
れる。
〔発明の実施例〕
本発明の実施例の通信システムについて、図面を参照
して説明することにする。
説明は次の部分に分けて行う。
システムの全般的構成 システムの全般的動作−キーの階層 メッセージの構造とUAの構造 UAとKDCとの連鎖 各UA間の通話 システム・メッセージ・エラーの回復 ローカル・メッセージ記憶装置 UAの変更 KDCのメッセージの記録 本発明の他の特徴は本願と同時に提出した二つの同時
係属特許出願に説明してあり特許請求されていることに
注意すべきである。
システムの全体的構成 第1図を参照して、システムは、すべて共通の通信媒
体11に接続されている複数の端末10、10A、10Bなどと、
キーの制御と分配とに責任を持つKDC12とから構成され
ている。また非電子的物理的キー分配径路13があり、こ
れによりキーはKDC12から端末10に分配されることがで
きる。各端末10は、図示したとうりのパーソナル・コン
ピュータPC14やディスクメモリ15のような従来どうりの
端末装置と、各種暗号キーである安全モジュール(secu
rity module)16とから構成されている。KDC12は安全モ
ジュール17、計算ユニット18、および複数の記憶手段19
から構成されているのでデータが失われる危険は無視で
きる。安全モジュール16と17は、二重の囲み線で示した
ように、外部の妨害に対して保護されている。
安全モジュール16は、制御目的で、PC14から制御線に
より信号も供給され、PC14への双方向データ径路を備え
ているように示してある。この後者の径路はデータをPC
14から他の端末へ送る暗号化のため安全モジュール16に
伝え、また他のモジュールからのデータの暗号を安全モ
ジュール16で解説した後にPC14へ伝えるのに使用され
る。この径路は、端末内の局所的安全化(つまり暗号化
された)ファイルのためおよびそのデータが再びアクセ
スされるとき解読するため、データをPC14から伝え、同
じPC14に戻すのにも使用される。安全モジュール16はま
た直接通信媒体11に接続されているように示してある。
実際には、通信媒体11との或る形態のインターフェース
が必要である。これは安全モジュール16でも行うことが
できるが、実際はこのためにはPC14で行うのが便利であ
る。もちろん、これに関係するPCの部分は安全モジュー
ルとの間で暗号化されていないデータのやり取りをする
部分とは論理的に別である。(また、もちろん、PCは通
常媒体11と直接交信して非安全メッセジを送受信す
る。) 安全モジュール16と17は既知の技術を使用して構成さ
れている。したがって各モジュールは暗号キーや他の秘
密の状態に保持しなければならない情報を格納するデー
タ記憶手段、データの暗号化や解読およびチェック用の
数量の計算やモジュール内で必要なその他の処理のよう
な動作を行う処理手段、および必要な動作を制御する制
御手段を備えている。各モジュールは、万一一時的に局
部的停電が起こった場合にキーのような安全情報が失わ
れないように、電池も備えている。モジュールはまたモ
ジュールに対する物理的攻撃を検知し、このような攻撃
が起った場合にモジュールに格納されているすべての情
報を、敵がモジュールを開き個人の構成要素に接続して
モジュールから有用な情報を抜取ろうとする可能性に反
撃を加えるように、たとえばキーのような格納情報にラ
ンダムなデータを重ね書きすることにより、破壊する手
段を備えている。
各種レジスタ、カウンタ、および後に説明する記憶装
置のような、モジュールの構成要素の多くは、好適には
マイクロプロセッサ、RAM、およびこれら構成要素に使
用するメモリロケーションを規定したりその機能を実現
したりする格納プログラム、により実現される。(ただ
し、乱数発生器や暗号化/解読ユニットのような或る構
成要素は種々な理由から特殊目的のハードウェアで構成
するのが都合がよい。)プログラムは少くとも一部はPR
OMまたは類似のものに格納されるので少くともプログラ
ムの一部は一旦書き込まれてしまったら変更することは
できない。したがってプログラムは格納キーまたは他の
安全情報をモジュールから読み出すことができるように
修正することはできない。
システムは通信媒体11に盗聴を行おうとする部外者20
からの攻撃に対して開いているものと仮定している。こ
のような部外者20はメッセージを傍受し、メッセージを
横取りして取出し、本物のメッセージを修正して為のメ
ッセージを挿入しようとする。通信媒体11は分散してい
て、端末10、10Aなどのいずれかのユーザの単独制御の
もとにはない。たとえば通信媒体11は電話回線網または
格納・先送り(store and forward)手段を備えたバケ
ット・スイッチング・システムのような公共通話システ
ムの一部を含んでいることがある。したがって部外者20
の活動は本質的に検出できる性質のものではない。この
ような部外者による攻撃の可能性に加えて、通信媒体11
は、メッセージが失われたり、その順序が変るようにメ
ッセージに色々な遅れが加わったり、メッセージが重複
(「エコー」)したりというような障害を本質的に受け
やすいものと考えられている。
上記したこのような傍受の可能性や安全モジュールに
対する物理的攻撃の可能性の他に、部外者は合法ユーザ
の留守中にモジュールにアクセスしてシステムに入ろう
とする。これと戦うには、各種の技術を利用することが
できる。安全モジュールがパスワード制御を行うように
設定し、パスワードを合法ユーザが入力して、モジュル
はこうしてそのパスワードにだけ応答するようにでき
る。ユーザが彼の不在期間の長さを知っている場合に
は、時間ロックを使用するとができる。モジュールの内
部電池によ時間ロックが確実に連続的に動作する。パス
ワードがモジュールにより生成され、これが合法ユーザ
が物理的に取外し且つ保持することができるフロッピー
ディスクに送られるようにすることもできる。
もちろん互いに多少異なる保護技術をユーザ端末の安
全モジュールおよびKDCの安全モジュールに使用するこ
とができる。それはKDCは攻撃に対してユーザ端末より
傷つきにくいようであるが、一方KDCに対する攻撃が成
功すればユーザ端末に対するよりもはるかに阻害が大き
くなるからである。
システムの全般動作−キーの階層 本システムの動作はKDC12により二つのレベルで制御
される。第1に、各UAにKDCからユニークなユーザ・マ
スタ・キー(UMK)が割当てられる。このUMKは非電子式
のキー分配径路13を伝わってUAに取込まれる。たとえば
KDCを操作するスタッフの一員により、UA(の安全モジ
ュール16内)に設置される。このキーはその後UAとKDC
との間のメッセージを確立したり確認したりするのに使
用される。第2に、UAが他のUAと通話したい場合には、
KDCを使用して二つのUA間に安全なチャネルを設定しな
ければならない。リンクを要求するUAは、KDCに通知
し、KDCはこれにしたがってリンクを設定するが、その
後リンクの使用には稀にしか(LMKが更新を必要とする
とき)参加しない。第3のレベルのシステム動作も存在
し、これは単独UAにおける情報の安全格納に関するもの
である。この動作はKDCには関係しない。
キーの物理的位置とその階層、および使用する略号を
第1表に示す。各メッセージは、そのメッセージにどの
レベルの階層が関連していようと、そのメッセージのた
めだけに発生された別々のメッセージ・キーで暗号化さ
れるので、メッセージ・キーは階層になっているように
は示してない。事実、各メッセージは一対のキーを使用
して暗号化される。一つのキーは、基本キーと言うが、
階層から取られるキーであり、もう一つはそのメッセー
ジに対するメッセージ・キーである。
第1表 物理的位置 KDC−キー分配センタ UA−ユーザ機器(user agent)(端末またはノード) キー UMK−ユーザ・マスタ・キー (KDCUA) CKD−制御データ・キー MK−メッセージ・キー (UAUA) LMK−リンク・マスタ・キー LDK−リンク・データ・キー MK−メッセージ・キー (UA内部) PMK−パーソナル・マスタ・キー PSMK−パーソナル・サブマスタ・キー PDK−パーソナル・データ・キー MK−メッセージ・キー 部外者が、同じキーで符号化した充分なメッセージを
蓄積することができれば、彼は窮極的にシステムを破っ
てキーを取戻すことができる。したがってこの理由のた
めキーを適切な時間間隔で変更し、またそれ故部外者が
何とかしてキーを手に入れたとしてもこのようなキーの
更新の結果、それは結局彼の役に立たなくなるようにす
る。ただし、UMKは物理的に分散されているのでこれら
を変更するのは困難である。したがってキーの階層シス
テムを使用するのであり、このシステムでは、各キーは
階層的にその上に位置するキーに変更がなされる前に繰
返し変更される。上位のキーを使用して下位キーの変更
に関する情報を伝達することができる。したがってKDC
は比較的稀な時間間隔でキー(新しいUMK)の物理的輸
送に関係するキー変更に関与することになるだけであ
り、このような更新は甚だしく厄介になることはない。
メッセージの構造とUAの構造 各種UAとKDCはメッセージによって互いに通信する。
これらメッセージはすべてほとんど同じ構造をしている
が、以下で示すとうり、変化がある。メッセージの基本
的な分類の一つはシステム・メッセージとユーザ・メッ
セージとに分けることである。前者はユーザからは知る
ことなく、システムにより発生されたシステムにより操
作するが、後者はユーザに応答して発生され、ユーザが
組立てたデータを含んでいる。システム・メッセージは
一般にかなり短く、幾つかの異なる形式がある。ユーザ
・メッセージはその長さが非常に変動するが、実質上一
つの形式しかない。わかるように、幾つかのシステム・
メッセージを時々一つのパケットに組合せることができ
る。
メッセージの一般的構造、および始発UAでその発生に
必要な、およびUAで受信した同様なメッセージに対する
応答に必要なハードウェアについて、始めにUAとKDCと
の間のメッセージを、特にこのような最初のメッセージ
を参照して、ここに説明することにする。他のシステム
・メッセージはおおむね同じ方法で取扱われるが、小さ
な相異が、たとえば関連するキー・レベルに存在する。
システムが始動するのはUMK(ユーザ・マスタ・キ
ー)がすべてのUA(ユーザ機器)に分配され設置されて
いるが他のキーは存在せず通信キーも存在しない状態か
らである。第2図を参照すると、説明すべき各種要素を
備えており、これら要素に対する一般的制御機能は制御
回路30で行われている。UAに対するUMKはキー輸送ユニ
ット31により物理的に輸送されるが、このユニットはUA
の安全モジュール16に一時的に接続されてUMKをUMKレジ
スタ32に移す。使用カウンタ40はUMKレジスタ32と関連
してUMKが使用された回数のカウントを保持する。この
カウンタは、他のすべての使用カウンタと同様に、キー
が使用されるごとにインクリメントし、最初(システム
が最初に始動するとき)は0にセットされ、関連するキ
ーが更新される(すなわち新しいキーで置き換えられ
る)ごとに0にセットされる。
UMKは、比較的永続するが、充分使用してから、新し
いUMKをKDCから物理的に輸送することによって更新する
ことができる。そのためUMKキー番号レジスタ40Aが設け
られており、これは最初0にセットされ、新しいUMKが
設置されるごとにインクリメントする。(その代りに、
UMKキー番号レジスタ40Aを、新しいUMKが設置され、KDC
が新しい値を発生するごとにキー輸送ユニット31からセ
ットすることができる。) UMKがUAに設置されるとすぐ、制御データ・キーCDKが
発生されてUAのCDKレジスタ34に格納される。ここで関
連する使用カウンタ33とCDKキー番号レジスタ33Aも設定
される。キーはランダム信号発生器36から発生される。
ランダム信号発生器は熱雑音発生器または放射性崩壊カ
ウンタのようなランダム信号源を利用してキーが確実に
ランダムになるようにしている。こうして発生したCDK
は、適切なシステム・メッセージにより、即座にKDCに
送られる。実際上は、このようなランダム信号発生器は
比較的ゆっくりした速さでビットを発生し、したがって
(典型的には64ビットの)次のキーのためのレジスタ
(図示せず)を備えている。このレジスタの再補充はそ
の内容が新しいキーのために取出されるとすぐ開始され
るので、次のランダム・キーが即座に利用できる。この
ランダム信号発生器はしたがって、平文の(すなわち暗
号で保護されていない)キーを持っているので、安全モ
ジュールの中に入れられている。
メッセージを更に詳細に考察すると、UAはいくつかの
区画を備えたメッセージ・アセンブリ・レジスタを備え
ており、ここでメッセージ(現在のものを含む)が組立
てられる。メッセージ・アセンブリ・レジスタ37のMB領
域はメッセージ本体あるいはデータ部であり、メッセー
ジの「意味」または「データ」(もしあれば)を入れる
のに使用される。メッセージ・アセンブリ・レジスタ37
にはその左端に、ソース区画SCとデスティネーション区
画DNの二つの部分がある。ソース区画SCにはこのUAを表
わす不変のソースコードが格納されており、デスティネ
ーション区画にはそこに送り込むのに必要なデスティネ
ーションを示すコードが入る。次の区画MTは以下で説明
するメッセージタイプ領域である。次の区画KNは、以下
で説明するキー番号およびメッセージ識別子区画であ
る。その次の区画はMK区画であって、これはメッセージ
のメッセージ・キーMKを入れるのに使用される。MB区画
の次にはメッセージ認証コード(Message Authenticati
on Code)区画MACが続き、前にはPMAC(以前のMAC)区
画があって、これは当面無視する(または0が詰まって
いると考える)ことがある。
メッセージタイプフォーマット記憶領域38は、たとえ
ばCDKが送られているというKDCへのメッセージのよう
な、システム・メッセージについての一組のメッセージ
タイプフォーマットを保持しており、この領域から適切
なメッセージタイプが選択されてレジスタ37のメッセー
ジ本体区画MBに送られる。KDCへのシステム・メッセー
ジについては、この記憶領域はKDCデスティネーション
コードをも保持する。もちろん、他のUAへのメッセージ
(ユーザまたはシステム)については、受信UAのデステ
ィネーションコードを発生しなければならない。他のUA
との通信はほとんどユーザが開始するので、受信UAのデ
スティネーションコードはユーザが決める。このコード
はそのUAへのユーザ・メッセージによって使用される他
に、もちろんそのUAへのシステム・メッセージによって
も使用される。デスティネーションのニモーニックから
デスティネーションコードを得る従来のテーブル探索シ
ステムをもちろん使用することができる。また、通信媒
体11を通してのメッセージの径路決めあるいはアドレス
シングは通常以下に説明するインターフェース・ユニッ
ト43により処理される。
上に注記したとうり、各メッセージは二つのキー、す
なわちキー階層から生ずる基本キーとメッセージキー、
を用いて暗号化される。メッセージ・アセンブリ・レジ
スタ37のキー番号区画KNにはメッセージに使用する基本
キーを識別するとともにメッセージをユニークに識別す
るメッセージ番号としても働く、メッセージ用組合せキ
ー番号が入っている。このメッセージ番号は、キーのキ
ー番号を階層を下りながら基本キーに至るまで連結しま
た基本キーの使用カウントも連結することによって得ら
れる。各キー・レジスタは関連するキー番号記憶部、す
なわちUMKレジスタ32についてはUMK用の40A、CDKレジス
タ34についてはCDK用の33Aを備えている。したがって基
本キーがUMKであれば、UMKキー番号レジスタ40Aおよび
使用カウンタ40の内容を使用し、基本キーがCDKであれ
ば、CMKキー番号レジスタ40A、CDKキー番号レジスタ33
A、および使用カウンタ33の内容を使用うする。各キー
番号は関連キーが変るごとに1だけ増加する。したがっ
て所与のメッセージタイプに対して、メッセージ番号は
厳密に昇順である。何故なら各キーのキー番号は通常上
昇し、このような番号が0にリセットされることにより
下降するときは、上位の番号の増加の結果だからであ
る。関連する階層の分岐および階層を下る距離はメッセ
ージタイプからわかる。たとえば、ここで考えているメ
ッセージタイプ「CDKがKDCに送られている」について
は、キー階層は必然的にUMKだけしか含んでいない。
キーのキー番号は階層中ですぐ上のキーの使用カウン
トと類似しているが、この二つは必ずしも同一ではない
ことに注意すべきである。これは或る状況では階層内の
高い方のキーを使用することができ、したがってその使
用カウントが、階層中で直下のキーを変更せずに、増加
するからである。このような問題を避けるには使用カウ
ントとキー番号とをシステムを通じて別個に維持する。
(このことはまたメッセージ番号は必ずしも連続ではな
いことを意味している。) (このシステムはメッセージタイプを平文で示すMTの
内容にある程度依存している。これはもちろん、たとえ
ばMTの内容を暗号化されるものの一部に含めることによ
り修正することができる。この場合、メッセージ識別子
(すなわちキー番号)の長さ、あるいは、これに相当す
る、階層内のキーのレベルは別々に示さなければならな
い。) 一般に、各メッセージの本体はそのメッセージにユニ
ークなキー、メッセージ・キーMK、を使用して暗号化さ
れる。このメッセージ・キーはランダム信号発生器RND3
6を用いてUAにより発生され、メッセージ・キー・レジ
スタMK39に送られる。
使用する暗号システムは、DES/DEA規格または同様も
ののような、暗号化および解読に同じキーを使用するも
のであると仮定する。(「パブリック・キー」システム
のような、暗号化と解読とに異なるキーを用いるシステ
ムを使用することは可能であるが、キー対の両方のキー
を格納し、また暗号化および解読のために適切な方を使
用する必要がある。)使用する暗号化技術はCBC(Ciphe
r Block Chaining)であり、これには初期設定ベクトル
IVと暗号キーが必要である。(これについてはたとえば
ANSI規格X3.106−1983DEAの動作モードに述べられてい
る。)初期設定ベクトルIVは最初基本キーのもとでメッ
セージ・キーMKを暗号化することにより作られる。次に
メッセージの暗号キーは基本キーのもとで再びIVを暗号
化することにより得られる。メッセージ・キーMKは平文
で送られ、受信側は基本キーのコピーを備えているの
で、メッセージは、メッセージ・キーを基本キーのもと
で暗号化して初期設定ベクトルを得、再び解読キーを得
ることによって、他端では解読することができる。IVと
解読キーは次にメッセージを解読するのに使用される。
各メッセージに異なるMKを使用することは、メッセージ
がほとんど同じ形(たとえば同じユーザ・メッセージが
2回目にはおそらく時間の違いだけで送られる)で繰返
されても異なるキーのもとに暗号化されることになり、
部外者は暗号を侵害しようとするに際し繰返しから多く
の援助を得ることができないことを意味する。
メッセージが暗号化されたら、メッセージ・アセンブ
リ・レジスタ39のMT、KN、MK、PMAC、およびMBの各部の
内容がメッセージ認証コード計算ユニット42に送られ、
ここでMAC値が計算され、この値がメッセージ・アセン
ブリ・レジスタ37のMAC区画に送り返される。このよう
にしてMAC値がメッセージの一部として含まれる。MACは
CBC技術を用いて暗号化類似プロセス(「MAC暗号化」)
により計算される。このプロセスから得られる最終ブロ
ックがMACを形成する。「MAC暗号化」はキーと初期設定
ベクトル(IV)を用いて行われる。キー(「MAC暗号キ
ー」)はメッセージを暗号化するのに使用する基本キー
の固定された関数として得られ、IVは0とされる。ソー
スコードおよびデスティネーションコードは認証される
必要が無い。何故なら、どちらかがどうにかして変化す
れば、実際にメッセージを受けるユニット(UAまたはKD
C)が、MACチェックにより認証を行なおうとする際適格
なキーを使用していないので、メッセージを認証するこ
とができないからである。
暗号化/解読ユニット41とメッセージ認証コード計算
ユニット42はキーを平文で受取らなければならないか
ら、安全モジュールの内部になければならない。同様
に、UMKレジスタ32は、キーを平文で持っているので、
これも安全モジュールの内部になければならない。モジ
ュールの外部に他のキーを格納し、UMKのもとで暗号化
し、必要なときモジュール内で解読することも可能であ
るが、すべてのキーをモジュール内のレジスタに平文で
格納するのがはるかに便利である。メッセージ・アセン
ブリ・レジスタ37ももちろんモジュールの内部にあり、
暗号化され認証される前にメッセージが侵されないよう
にしておく。
送受される各メッセージは、通信媒体11と結合するの
に必要となる低レベルのプロトコル処理を行うインター
フェース・ユニット43を通過する。特に、インターフェ
ース・ユニット43は暗号メッセージの伝達に専念するメ
ールボックス、あるいは、このような、一つはシステム
・メッセージ用の、もう一つはユーザ・メッセージ用
の、二つのメールボックスとすることができる。これに
より更に別のメールボックスを暗号化されないメッセー
ジのために使用することができ、これら暗号化されない
メッセージは平文で(たとえば安全通信システムの一部
分を形成しない端末から)送受信される。上に注記した
ように、このインターフェース・ユニットはPC14(第1
図)により好都合に実現される。
今度は受信回路を考察すると、通信媒体11からインタ
ーフェース・ユニット43を経て受信される着信メッセー
ジを受取るのにメッセージ・アセンブリ・レジスタ37が
使用される。このメッセージのメッセージ番号KNは対応
する基本キーが利用できることをチェックするために調
べられる。次にメッセージのMACが、メッセージ識別子K
Nにより「MAC暗号化」キーとして識別される基本キーを
使用して、メッセージ認証コード発生器ユニット42によ
りチェックされる。得られたMACはコンパレータ44によ
りメッセージの(MAC区画にある)MACと比較される。MA
Cの計算値とメッセージのMACとが合致すれば、メッセー
ジは本物と判定される。合致しなければ、どちらかに
(おそらくは送信雑音の結果)誤りが存在するかあるい
は改竄されているので、メッセージは捨てられる。部外
者20がメッセージを修正しようとしても、部外者には未
知のキーを用いて計算することにより保護されているメ
ッセージのMACを彼は訂正することができないので、変
更されたメッセージと一貫していなければならないメッ
セージのMACを変更することはできないであろう。
次にメッセージのメッセージ番号KNはメッセージが前
に受信されたものの繰返しではないことをチェックする
ために調べられる。メッセージ番号が合理的で前に受取
ったメッセージと関係があるかどうかを知るためにチェ
ックすることができる。(失なわれたメッセージ、重複
メッセージ、および受取り順序が不良のメッセージに関
する備えについては後に詳細に説明する。) メッセージがKN試験およびMAC試験を通過すれば、
(メッセージ本体部分MBが空でないと仮定して)メッセ
ージは解読される。このため、MK区画のメッセージ・キ
ーが(メッセージ番号により識別される)基本キーのも
とに暗号化/解読ユニット41を用いて暗号化されてIVを
得、これが再び基本キーのもとで暗号化されて解読キー
を得る。(解読用のIVおよび解読キーは暗号化用のIVお
よび暗号キーと同じである。)IVおよび解読キーは直接
暗号化/解読ユニット41に送られてMB区画の内容を解読
するのに使用される(或るシステム・メッセージ、たと
えば或る承認メッセージは「本体」を備えていない。そ
のMB区画は空である)。
それでMB区画の内容は或る種のシステム・メッセージ
であり、これは制御回路30により処理される。なおこの
メッセージがKDCから受信されているものとすると、メ
ッセジはCDKキーを備えてよい。もしそうなら、その受
信したキーはCDK1レジスタ46またはCDK2レジスタ47に送
られる。KDCのCDKが変化した場合でも以前のCDKを使用
しているメッセージが新しいCDKが受信された後でも受
信されることがあるため、一対の受信CDKレジスタが存
在する。二つの受信CDK番号レジスタがあり、これらに
は(やはりMB区画から)対応するCDK番号が送り込まれ
ているので、CDKで暗号化されたメッセージを受信した
とき適切なCDKを識別することができる。CDKはそのもと
で暗号化された固定されたかなりの数のメッセージが送
出されてはじめて変えられるから、以前のCDKを二つ以
上保存しておくことは決して必要が無いと仮定しても危
険ではない。(捨てられたCDKが必要になった場合には
何か他に根本的に悪いものがあるであろう。) UAとKDCとのリンク システムは、すべてのUA(ユーザ機器)にUMK(ユー
ザ・マスタ・キー)が設置されているが他にはキーが存
在せず通信リンクも存在しない状態で、始動する。UMK
がUAに設置されるとすぐ、UAとKDCとの間にリンクが設
置されなければならない。これを始めるには、制御デー
タ・キーCDKを発生してUAのCDKレジスタ34に格納し、シ
ステム・メッセージを(レジスタ39にあるそのユニーク
なメッセージ・キーMKを用いて)UMKのもとで暗号化し
て構成し、KDCに送信する。こうしてKDCはUAがUMKを設
置したこと、およびCDKがUAとKDCとの間のリンクの両端
に設置されたことを知るので、CDKをUAからKDCへの将来
の通信に使用することができる。KDCは承認メッセージ
をUAに送り返してCDKを受取ったことを認める。
その他に、KDCは、同じ方法で、このUA用にKDC自身の
CDKを発生し、UMKのもとで暗号化して、UAに送信する。
UAはこのメッセージを受信し、これを解読してKDCから
のCDKを得る。こうしてUAとKDCとの間に、各方向に一つ
づつの一対のCDKを用いてリンクが設置される。リンク
の両端は今後のメッセージを暗号化するために発生され
たCDKを使用するとともに、リンクの他端から受信する
今後のメッセージを解読するため他端から受信したCDK
を使用する。メッセージを送ることができる二つの方向
に対してこのように一対のキーを使用することはUA同志
の間のリンクの場合にも行われる。
UAからのCDKを備えたメッセージをKDCが受取ったこと
の承認を別々の異なったメッセージにする必要はない
が、その代りKDCからそのCDKをUAに送信するメッセージ
の一部として入れることができる。そのメッセージは今
度はUAにより承認される。したがってCDKの交換は三つ
のメッセージで行われる。すなわち、UAからKDCへのCDK
と、KDCからUAへのCDKによる受信の承認と、UAかKDCへ
の承認とである。
このようにUAとKDCとの間のリンクは各方向に別個のC
DKを備えた双方向のものである。この方法でUAとKDCと
の間に一旦リンクが設置されると、両ユニット間の今後
のほとんどすべてのメッセージはCDKを基本キーとして
用いる。CDKの使用が所定限度を超えると、新しいCDKが
作られ、上述のようにUMKによる暗号のもとに送信され
る。UAとKDCとの間のメッセージの流れは比較的少ない
ので、この2レベル(UMKとCDK)の階層は、UMKの変更
を稀にしか必要としないシステムき当分の間動作させる
のに充分である。事実、UMKの使用は、以下でわかるよ
うに、新しいLMKが必要なとき、UA間の或る通信にも依
存する。UAとKDCとの間のメッセージは一般にユーザ(U
A)が他のユーザ(UA)とのリンクを設置または破壊し
たいときにのみ必要であり、これは(リンクは実質的に
永続的であると見なされているので)稀に、しかもLMK
を更新する場合にしか起らない。
一般に、リンクを伝わって二つの方向の流れるメッセ
ージ(ユーザであろうとシステムであろうと)の数は互
いに同じである必要はない。したがって続いて起る新し
いCDKの個々の更新ではリンクのCDKの一方の更新しか行
なわれない。このような更新では新しいCDKを或る方向
へ送出し、これに対する承認メッセージが逆方向に送出
される。
必要ならば、システムが最初に立上げられる際必要な
すべてのリンクを設定するように、KDCをプログラムす
ることができる。これを行なうには各UAのキー輸送ユニ
ット31(第2図)にかなりの数のシステム・メッセージ
を格納する。これからシステム・メッセージは暗号化が
不必要である(このメッセージはUMKと共に輸送され、
その安全性は、UMKの安全性と同様に、物理的であるた
め)。もしこうしなかったなら、これらのシステム・メ
ッセージは、システムが最初に動作状態になったときKD
Cと各UAとの間で送信されなければならないことになる
ものである。これによりKDCに関するシステム・メッセ
ージの最初の数が著しく減少する。KDCの構造はUAの構
造と同じであり、第3図にブロックの形で示してある。
制御ユニット50(第2図に示すUAの制御ユニット30に対
応)と一つのメッセージ・アセンブリ処理回路51が設け
られ、メッセージ・アセンブリ処理回路51にはメッセー
ジ・アセンブリ・レジスタ52(メッセージ・アセンブリ
・レジスタ37に対応)がある。暗号化/解読ユニット、
メッセージ認証コード計算ユニット、およびMACコンパ
レータの関連回路はここではメッセージ・アセンブリ処
理回路51の一部と見なしてあり別個には図示してない。
KDCには各UAに対してキー・レジスタと使用カウンタの
集合体が個別に設けられている。ここでは、送出の場合
KDCが使用するキー(すなわちレジスタ32、34、および3
9、および関連する使用カウンタおよびキー番号レジス
タに対応する)、およびUAがKDCにメッセージを送る場
合に使用するキー(すなわちレジスタ46と47および関連
レジスタ48と49に対応する)の各集合体を、ブロック5
3、54、55、……で示してある。ブロック53、54、55、
……はセレクタ回路61で制御されるマルチプレクサ60に
よりメッセージ・アセンブリ処理回路51に対して多重化
されている。セレクタ回路61の内容により、ブロック5
3、54、55……から適切な一つを選択して受信メッセー
ジを処理し送出すべきメッセージを準備するキーを得
る。このようにしてメッセージが受信されると、セレク
タ回路61にメッセージ・アセンブリ・レジスタ52のSC区
画の内容が入れられる。この区画に受信メッセージのソ
ースコードが入っており、従ってどのUAからメッセージ
が来たかを識別する。受信メッセージを送出したUAに応
答メッセージを送り返さなければならない場合には、セ
レクタの内容は変更されず、これによりブロック53、5
4、55……のうちの適切な一つが応答メッセージの準備
のため選択されたままになる。しかし、メッセージを別
のUAに送出しなければならない場合には、セレクタ回路
61の内容をもちろんそれに従って変えなければならな
い。これは、たとえば、リンクを設置している最中に生
ずる。UA1からKDCへのリンクの設置を要求するメッセー
ジには、そのMB区画に、UA2向けのコードが含まれてお
り、このコードは適切なメッセージをUA2に送出するた
めセレクタ回路61に転送しなければならない。二つのコ
ードはこの場合、メッセージがUA1およびUA2へまたこれ
らから送受されるので、セレクタ回路61により交互に使
用される。
UA間の通信 通信が可能なためには、UA対の間にリンクが設定され
なければならない。このような各リンクはUAがKDCに自
分と他の指定したUAとの間にリンクの設定を要請するこ
とによって設定される。KDCは、リンクに含まれること
になるいずれのUAも他のUAとの間で備えることができる
リンクの数に関する上限を超えていず、要求されたリン
クの「受信」端にあるUAがリンクの受入れを拒絶しなけ
れば、要求されたリンクを設定する。一旦リンクが組立
てられてしまうと、両端のUAは同等の立場に立っている
という点で対称である。どちらも他に対して送信するこ
とができ、あるいはリンクを切る決断をすることができ
る。
リンクを設定するプロセスを第IIA表に要約してある
が、この表ではリンクを要求するUAはUA1と呼ばれ、UA1
がリンクを持ちたい相手のUAをUA2と呼んでいる。
第IIA表 UA1→KDC:UA1がKDCにUA2とのリンクを要請する。
UA2←KDC:KDCがUA2に送信LMKと受信LMKを送る。
UA2→KDC:UA2が受信を確認する。
UA1←KDC:KDCがキーをUA1に送る。
一層詳細には、UA1のユーザが、UA1のユーザにより指
定された他のUAであるUA2とリンクを設定したいとき、U
A1はシステム・メッセージをKDCに送る。このシステム
・メッセージは、UA1がKDCへのシステム・メッセージに
使用する(もちろんCDK更新に関連するシステム・メッ
セージを除く)キーである、UA1のCDKキーを基本キーと
して使用し暗号化して送られる。そのメッセージ・タイ
プはUA1がリンクを設定することを要求していることを
示し、メッセージ本体はUA2のコードを含んでいる。こ
のメッセージを受信すると、KDCは一対のランダムはLMK
を作り、メッセージをUA2に送る。そのメッセージのメ
ッセージタイプはUA2にUA1とのリンクを受入れたいか否
かを尋ね、またメッセージ本体はUA1および二つのLMKの
コードを有している。これらはすべて基本キーとしてKD
CからUA2にメッセージを送るのに使用されるCDKを使用
して暗号化されている。UA2がこのメッセージを受取る
と、そのユーザはリンクを受入れるか否かの意志決定を
しなければならない。リンクが受入れられれば、メッセ
ージはUA2からKDCに送られる。このメッセージはリンク
の受入れを示しまたUA1のコードを含んでいる(UA1のコ
ードをここに入れるのは他のUAに関連する設定用メッセ
ージから区別するためである)。このメッセジはまた、
メッセージをUA2からKDCに送るのに使用されるCDKを基
本キーとして使用して暗号化される。KDCは、このメッ
セージを受取ると、メッセージをUA1に送ってUA2による
リンクの受入れを示すとともに、メッセジをKDCからUA1
に送るのに使用されるCDKを基本キーとして使用して暗
号化したUA2のコードおよび二つのLMKを取入れる。この
結果、二つのUAすなわちUA1およびUA2は今は互いに直接
通信するのに使用することができる一組のLMKを共有す
ることになる。
リンクを設立できない一定の状況が存在する。実際問
題として、UAにはこのようなリンクを維持するための限
られた容量しか設けられていない。したがってUA1が既
に可能最大数リンクを持っている場合には、他のリンク
を設定しようとすることを拒むことになる。ユーザには
現存するリンクを切ってそのUAが新しいリンクを受入れ
る容量を作り出すようにする選択権がある。また、UA2
が既に可能最大数のリンクを持っていることもある。そ
のときはKDCにシステム・メッセージを戻してこの旨を
示し、KDCは今度はシステム・メッセージをUA1に送って
要請したリンクが拒絶されたことを示す。(望むなら
ば、UA2をそのユーザにUA1がリンクを要求していること
を示し、そのユーザが現存するリンクを切って、要求さ
れたUA1とのリンクを受入れる容量を作り出すように構
成することができる。)加えて、上に記したように、UA
2にこのような能力があれば、そのユーザは要求された
リンクを受入れるべきか否かを尋ねられ、もしユーザが
拒絶すれば、UA2は再びKDCにこのことを示すシステム・
メッセージを送る。このようなシステム・メッセジをKD
Cに送るとKDCは何が起ったかを示す対応メッセージをUA
1に送り、UA1のユーザは要求したリンクが拒絶されたこ
とを知る。(安全システムではユーザの要求が拒絶され
たとき、拒絶の理由が示されないのが普通である。) 第4図に、第2図に示したよりも概略的にUAの構成を
示す。メッセージ・アセンブリ処理回路はブロック5で
示してあり、メッセージ・アセンブリ・レジスタ37、暗
号化/解読ユニット41、およびメッセージ認証コード計
算ユニット42を備えている。数ブロックのキー・レジス
タおよび関連回路が存在する。ブロック70は第2図に示
す各種キー・レジスタとそれに関連するカウンタとを含
んでおり、すべてKDCとの通信に関係する。ブロック7
1、72、……は同様なキー・レジスタとカウンタを備え
ているが、各ブロックは別々のUAとの通信と関係する。
従って、これら各ブロックはどのUAがそのブロックに関
連しているかを識別するUAアドレス・コード・レジスタ
(レジスタ73)を備えている。これらレジスタには、当
該UAのユーザが他のUAとのリンクを要求して認可された
とき、および他のUAが当該UAとのリンクを要求し認可さ
れたとき、この他のUAのアドレス・コードが入れられ
る。ブロック70、71、72,……はマルチプレクサ74によ
り選択される。KDC用のブロック70の場合、選択はメッ
セージ・アセンブリ・レジスタ37のSC区画または制御回
路30により直接制御される。他のブロックの場合には、
選択は(着信メッセージに応答して)メッセージ・アセ
ンブリ・レジスタ37のSC区画にあるアドレス・コードと
各種レジスタ73の内容とを比較することにより決定され
る。送信メッセージの選択の場合には、選択はユーザが
決定する(実際にはそのアドレス・コードに対してユー
ザが定義したUA識別子を格納するPC14に格納されている
表を用いて間接的に行なわれる)。
ブロック71、72、……はUMKレジスタが含まれておら
ず、UAにはもちろん、ブロック70に入っていてキーの全
階層の最高レベルを形成する送受用の唯一のUMKだけが
存在することがわかるだろう。これら各ブロックは二つ
の送信キーLMKとLDK、および受信キーの各レベル(この
場合、LDK1およびLDK2)に2つのキーを有している。低
レベル・キーLDKは比較的稀にしか(例えば50メッセー
ジおきに1回)変らないので、現在のおよび直前のバー
ジョン以外のものを保存しておくことは不必要であり、
また高レベル・キーは、たとえ稀でも、変化するので、
直前のバージョンの他に現在のものをも保存して丁度そ
れが変化したときに対処しなければならない。
一旦リンクが設定されると、ユーザ・メッセージをUA
1からUA2にまたはその逆に送ることができる。リンクは
明らかに一つのUAによる要求に応じて設定されなければ
ならないが、一旦設定されてしまえば、それは対象的で
ある。ユーザ・メッセージを送るには、そのプロセスは
システム・メッセージの送出とほとんど同じである。し
かし、メッセージ・アセンブリ・レジスタ37のメッセー
ジ本体区画MBは限られた長さしかない。セレクタ・スイ
ッチ76はメッセージ・アセンブリ・レジスタ37のMB区画
から暗号化/解読ユニット41への接続経路中に入ってお
り、ユーザ・メッセージに対しては、メッセージの本体
は、連続する64ビットのブロックとして、レジスタ部分
からではなくPC14から暗号化/解読ユニット41に送り込
まれ、暗号化されたメッセージは1ブロックづつPC14に
送り返される(PC14はこの点ではインターフェース・ユ
ニット43として動作する)。次にメッセージのMACが計
算されてメッセージ・アセンブリ・レジスタ37のMAC区
画に送り込まれる。メッセージの長さは、たとえば、MT
区画の一部としてあるいはメッセージ本体の最初の部分
として含まれている長さ値によって示される。
メッセージ認証コード計算ユニット42は同時に暗号器
として動作するように構成することができるので、メッ
セージ本体の暗号化が始まる前に、メッセージ・アセン
ブリ・レジスタ37中のMB区画の左側の内容をメッセージ
認証コード計算ユニット42へ与え、次にメッセージ本体
がユニット41から出て来るにつれて、1ブロックづつそ
こへ与える。これにより最後のMACがメッセージ本体の
最後の暗号化ブロックの直後に利用できる。ただし、MA
Cの計算には実際暗号化と同一のプロセスが含まれてい
るので、実際には暗号化/解読ユニット41を用いて行う
のが望ましい。(それ故メッセージ認証コード計算ユニ
ット42は物理的にユニット41とはっきり分れたユニット
としては存在しないが、もちろんその論理的機能は明確
に分かれている)。もちろん、この場合には、MACは暗
号化と並行して計算することはできず、暗号化の後で計
算しなければならない。
ユーザ・メッセージが受信されると、受取りを確認す
る特別なユーザ・メッセージが自動的に発生され、送信
者が要求する場合には、送信元UAに戻される。このよう
な要求は適切なメッセージ・タイプMTで示される。
通信媒体11は信頼性が充分ではないので、通信媒体11
によるメッセージ喪失の可能性、二つのメッセージの順
序の反転、およびメッセージの重複に対する備えを設け
る必要がある。これら設備はユーザ・メッセージとシス
テム・メッセージとでは異なる。ユーザ・メッセージに
対する設備についてここに説明することにする。もちろ
んメッセージが失なわれたということは、以後のメッセ
ージが受信されるまでは検出することは不可能である。
これらの設備は主として、二つの受信LDKレジスタLDK
1とLDK2に関連する1対のビット・レジスタ(ビット・
マップ)77と78から構成されている。各ブロック71、7
2、……はこれらレジスタのそれぞれの組を備えてい
る。ブロック71についての組を第4A図に示す。レジスタ
77と78の長さは、ビット数で表わせば、対応する送信元
UAのLDKキー・カウンタが0にリセットされるときのカ
ウントに等しい。各ユーザ・メッセージが受信されるに
つれて、送信元UAのLDKの使用カウントに対応するビッ
ト(これはメッセージ番号KNの一部である)がセットさ
れる。受信されたメッセージに対応するビットが既にセ
ットされている場合には、メッセージを既に受取ってい
ることを示す。したがって今回受取ったバージョンは重
複しているものであり、システムによって捨てられる。
ユーザ・メッセージが受信されなければ、通常はシス
テム動作は起らない。事実、システムは、メッセージ番
号が必ずしも連続していないので、喪失されたユーザ・
メッセージを識別できるようにはしない。それ故セット
されているビットより順番が若いセットされていないビ
ットは、ユーザ・メッセージが末だ受信されていないと
いうことではなく、その番号を持つユーザ・メッセージ
が存在しないということを意味するかもしれない。
システムは、ユーザ・メッセージが脱落していること
を、次のメッセージを受取った時点で識別することがで
きるように修正することができる。これは、たとえば、
ユーザ・メッセージに、既述のメッセージ番号とともに
厳密に連続した番号をも与えることにより、あるいは各
ユーザ・メッセージに先行ユーザ・メッセージのメッセ
ージ番号を入れることにより行うことができる。ただ
し、これを行ったとしても、メッセージが受信されなか
ったことがわかったときどんな処置を取るかの決定権を
ユーザの手に残しておくのが望ましい。たとえば見掛け
上失なわれたメッセージが無くなったのではなく単に遅
れているだけでまだシステムの途中に存在しているとい
うことがある。ユーザは事態をそのままにしておくかあ
るいは彼自身のユーザ・メッセージを失なわれたメッセ
ージの再発信を要求している他のUAのユーザに送るかの
いずれかを選択することができる。このような再発信は
システムに関するかぎり全く新しいユーザ・メッセージ
の送信として行われることになる。新しいメッセージが
事実前に送ったが失われたメッセージの繰返しであるこ
との指示を入れるのは送信元ユーザの義務である。
上述のとうり、ユーザ・メッセージが受信されると、
確認メッセージの送出が行われる。確認メッセージは特
別な種類のユーザ・メッセージとしてシステムによって
自動的に発生される。したがって、UAは送られたこのよ
うなメッセージの記録を保存し、この記録は受信の確認
が返送されたとき更新されるように構成することができ
る。これを実現するには、たとえばそのメッセージ・タ
イプが自動確認であることを示しているメッセージにつ
いてのみビットがセットされるビット・マップを用いた
り、あるいはこのようなメッセージのメッセージ番号の
記録を保存したりすればよい。これが行われると、ユー
ザは、確認がとられることが必要なそのユーザのユーザ
・メッセージのうちのどれがまだ確認されていないかを
つきとめ、そのユーザが適当と考えるところにしたがっ
てそれらを再送することができる。もちろん、確認の無
いことが必らずしも元のメッセージが意図したデスティ
ネーションに到達していないことを意味するものではな
い。単にそれに対する確認のメッージが意図するデステ
ィネーションに到達しないことを意味することもある。
したがって、ユーザに対して儀礼上の問題および良い慣
習として、正しい繰返しであるメッセージを送ったとき
は必らず、それが前のメッセージの再送であることを示
すようにすることが望まれる。
リンクの最初の設定は二つのUAおよびKDCの間の各種
の可能なメッセージのシーケンスによって行うことがで
きることが理解されるであろう。このようなシーケンス
の二つの例を第IIB表および第IIC表に示す。
第IIB表 UA1→KDC:UA1がKDCにUA2とのリンクを要求する。
UA2←KDC:KDCがUA2にUA1とのリンクを受入れるか尋ね る。
UA2→KDC:UA2が確認し同意する。
UA1およびUA2←KDC:KDCが受信キーをUA1とUA2に送る。
UA1およびUA2→KDC:UA1とUA2が受信を確認する。
UA1およびUA2←KDC:KDCが送信キーをUA1UA2に送る。
第IIC表 UA1→KDC:UA1がKDCにUA2とのリンクを要求する。
UA1およびUA2←KDC:KDCが受信キーをUA1とUA2に送る。
UA1およびUA2→KDC:UA1とUA2が受信を確認し、UA2が受 入れる。
UA1およびUA2←KDC:KDCが送信キーをUA1とUA2に送る。
これらのシーケンスは、或る段階で、二つのメッセー
ジが同時にKDCから送出され、且つ二つのメッセージが
多かれ少かれ同時にKDCに返送されるという点で、第IIA
表のシーケンスより複雑である。また、第IIB表のシー
ケンスは4段階ではなく6段階から成るので、第IIC表
のシーケンスは第IIB表のシーケンスより望ましい。
これら二つのシーケンスにおいて、プロセスはUA2が
提案されたリングの受入れを拒絶すれば3番目のメッセ
ージの段階でアポートする。この事態が発生すれば、UA
2は拒絶のメッセージを3番目のメセージとしてKDCに送
り、KDCは「リンク拒絶」メッセージを4番目および最
終メッセージとしてUA1に送る。最後の二つのシーケン
スの場合、各UAはその受信キーを他のUAがその送信キー
を受信する前に受信することに注意されたい。これはUA
は他のUAがそのメッセージを受信するのに必要なキーを
所有するまではこの他のUAにメッセージを送ることがで
きないことを意味する。
第IIA表のシーケンスの場合、UA1はUA2がUA1の送信キ
ーを受取るまではメッセージを送ることができないが、
UA2は送信キーをUA1がUA2の送信キーを(UA1の受信キー
として)受信する前にその送信キーを得るので、UA2はU
A1がこれを解読するための必要キーを所有する前記にUA
1にメッセージを送信することができる。この状況はリ
ンクが最初に設定されるときにのみ発生し得る。そこ
で、リンクき要求したUA1が最初にメッセージを送りた
くなることはありそうなことである。しかしUA1が解読
用キーを受取る前にUA2がメッセージを送ろうとするこ
とは起る可能性がある。その結果、メッセージは、メッ
セージ番号からそれがメッセージを解読するに必要なキ
ーを所持していないことを知ったUA1により拒絶される
ことになる。ここで一つの選択は単にメッセージを却下
して、それが実際上失われるようにすることである。メ
ッセージがシステム・メッセージである場合には、後に
説明するようにな処置が取られる。それがユーザ・メッ
セージである場合には、これは上述のように処理され、
この送信はおそらくメッセージが受信されないことを見
つけるためのユーザ自身のリソースに委ねられる。ある
いはUAはこのようなメッセージを格納してそられを解読
するためのキーの受信を持つように構成することができ
る。
リンクが確立された後、ユーザがリンクの他端のUAと
これ以上通信する必要がないことを確信していれば、ま
たはユーザが他のリンクを設置したいがこのUAが収容で
きる最大数のリンクを既に持っていてそのため現行のリ
ンクを終結して新しいリンクの余地を作ることだけしか
できなければ、このUAはこのリンクを終結させたいかも
しれない。これを達成するには、UA1はそれ自身からリ
ンクに関する情報をすべて削除してリンク終結システム
・メッセージをKDCに送る。KDCはこれを記録してシステ
ム・メセージをUA2に送りUA2からこのリンクに関するす
べての情報を削除することを指示する。KDCは、削除が
存在しないリンクに関するものである場合にはエラーと
してリンク削除を記録する。(このような「エラー」は
リンクの両端が同時にリンクの終結を要求する場合には
自然に発生する可能性がある。というのは、他のメッセ
ージが他方のメッセージのKDCへの到達前にKDCに到達し
てリンクを終結するからである。) システム・メッセージ・エラーの回復 上に記したように、メッセージは種々な経緯で「失な
われる」ことがあり、また(通信媒体11のくせによるか
または部外者が記録しては故意に再生することにより)
重複することがある。ユーザ・メッセージに関しては、
このような事態を処理する方法について上述した。シス
テム・メッセージに関して、このような事態を処理する
方法を説明しよう。
システム・メッセージの場合、失なわれるものが皆無
で且つ正しい順序で処理されることが肝要である。UAの
各リンク(すなわちKDCとの永続リンクおよび他のUAと
の各リンク)毎に、そのリンク上に送出される(単なる
確認とは別の)システム・メッセージはすべて格納され
る。これらは以下の二つの状況で記憶装置から除去され
る。すなわちそれらに対する確認メッセージを受信した
とき、またはそれらが冗長になったときである。新しい
システム・メッセージが送出されるたびに、新しいパケ
ットが準備され、このパケットに、記憶装置に入ってい
るすべてのシステム・メッセージが新しいシステム・メ
ッセージをパケットの最後に置いて正しい順序で入れら
れる。このようにして新しいシステム・メッセージが発
生するごとに、未確認でかつ冗長でない古いシステム・
メッセージがすべてその前端に付加され、すべてのメッ
セージ(つまり、古いメッセージプラスこの新しいメッ
セージ)はパケットとして送られる。それ故受信側で
は、新しいシステム・メッセージが発生するごとに、す
べての未確認システム・メッセージの新しい組合せを正
しい順序で受信する。そこで、そのパケット中のどのメ
ッセージの前にもすべての未確認かつ非冗長メッセージ
が正しい順序で並んでいるので、受信側は必然的にシス
テム・メッセージを正しい順序で必ず処理することにな
る。もちろん、受信側はその時点までにこれらのシステ
ム・メッセージのうちのあるものを含んだより以前のパ
ケットを受取ったことがありそのシステム・メッセージ
については既に処理がなされていたかもしれない。受信
側は、リンクごとに、処理を行なった最後のメッセージ
の記録(メッセージ番号による)を保存しているので、
重複しているメッセージ、特に今受取ったパケットに入
っているそのようなすべてのメッセージを含めて、すべ
て無視する。受信側は新しいパケットが届くとすぐにそ
のパケットに入っているメッセージへの応答を開始す
る。
確認メッセージはメッセージの受信を確認する以外の
何者でもない単なる確認メッセージであることがあり、
あるいは或る情報を運ぶ普通のシステム・メッセージで
あることもある。後者は着信システム・メッセージに応
答して発せられるので、その先行メッセージを暗黙裡に
確認する。システム・メッセージはその効果が後のもの
により取消されると冗長なものになる。たとえば、リン
クの設定を要求するメッセージはそのリンクの解消を要
求する後のメッセージにより取消される。
厳密に言えば、重複メッセージは完全に無視されるの
ではない。重複メッセージが検出されると、単なる確認
が送信側に送り返されるが、このメッセージにはそれ以
上の処理が加えられることはない。これは通常のメッセ
ージの確認がシステム内で失なわれてしまっていること
があるからである。仮に送信側がそのメッセージに対す
る確認を以前に受取っていれば、そのメッセージは再送
されなかったであろう。そこで、もし重複メッセージの
確認が送られなければ、送信側はそれを繰返して送り続
けるであろう。だが、送信側がメッセージに対する確認
を受取れば、確認メッセージのメッセージ番号以上のメ
ッセージ番号を持つすべてのメッセージを再送記憶装置
から安全に削除することができる。何故なら、メッセー
ジは、すべての先行メッセージが順当に受信されている
場合に限り、受信側によって受信され、処理され、且つ
確認されることができるからである。
これにより、すべてのシステム・メッセージが正しい
順序で確実に処理を受けることが保障され、また新しい
メッセージが発生されるごとに行われる自動再送信によ
り最後のメッセージがより以前のメッセージの再送によ
って遅れることがないということが保障される。その他
に、メッセージを再送する第2の方法がある。メッセー
ジ・パケットの送信後新しいメッセージを発生せずかつ
確認も受取らないままに充分長い時間が過ぎたら、記憶
装置95に記憶されている現メッセージのパケットが自動
的に再送される。
このようなパケットを構成することにより、メッセー
ジは常に正確に同じ形で送信される。ただし、メッセー
ジは現在の基本キーのもとで再暗号化される。パッケー
ジ全体をひとつのユニットとしてまたは単一のメッセー
ジとして送信することが可能である。ただし、その中の
個々のメッセージが解読されるにつれて処理を受けるこ
とができるような形で送ることが望ましい。そうすれ
ば、メッセージが中断されたり傷つけられたりした場
合、その一部分だけが失われ、受信側は最新の状態に向
かって途中まで進んだ状態に居ることができるからであ
る。これが意味しているのは、パッケージの認証は、こ
この事態は発生する可能性はあるがパケットはなお妨害
から保護されていて部外者がシステムを偽のメッセージ
に応答するようにだますことができないように設計しな
ければならないということである。
パケットのフォーマットは、メッセージ・アセンブリ
・レジスタの左端(SC、DN、MT、KN、およびMKの各区
画)にある通常の「ヘッダ」情報で始まる。MT区画の内
容はメッセージが二つ以上のメッセージのパケットであ
ることを示すインジケータ・ビットを含んでいる。KN区
画のメッセージ番号は今のメッセージのメッセージ番号
である(このメッセージはパケットの最後にあるも
の)。パケットの最初のメッセージは格納されているメ
ッセージである。このため、パケットに入っているすべ
ての格納メッセージに関しては、ソースコードやデステ
ィネーションコードは必要がなく、特別なMKも必要がな
い。したがってそれは省略形メッセージとして組立てら
れ、そのメッセージタイプ(もしこれが一連の格納メッ
セージの最後のものでない場合にはインジケータ・ビッ
トが付いている)、メッセージ番号KM、およびメッセー
ジ本体MB(もしあれば)から構成される。またPMAC区画
を備えており、これは(単一メッセージに関して)空白
である。このように組立られたパケットのMACが計算さ
れてMAC区画に入れられる。
パケットの次の区画を今度は、次の格納メッセージ
を、あるいは格納メッセージがもうすべて入れられてし
まった場合には、現行メッセージを、取入れて組立て
る。このため、パケットの前のメッセージに対して計算
したばかりのMACをPMAC(前のMAC)部分に入れ、このPM
AC値を暗号化し、パケットの現在の部分に取入れられて
いるメッセージについて計算された新しいMACによりカ
バーされているフィールドに入れる。このプロセスは現
メッセージがパケットの最終部分を形成するまで続けら
れる。現メッセージのMB区画にはMT区画およびKN区画は
含まれない。なぜならこれらは既にパケットのヘッダに
入っているからである。) このパケット構造ではパケットを1メッセージづつ解
体し、解読し、処理することができることが明らかであ
る。その上、個々のメッセージおよびそのシーケンスは
ともにMACのシーケンス鎖によって認証される。各MACは
それに先行するメッセージの完全性を確認し、各メッセ
ージはそれに入っている前のメッセージのMACを所持し
ているので、シーケンスの変化(メッセージの順序変
え、削除、または繰返し)があれば、シーケンスを逸脱
したメッセージが届くとすぐにそのMACはチェックを通
らなくなることになる。
受信側は、パケット中の個々のメッセージに個別に応
答する。ただし、応答メッセージはどれも(単なる確認
メッセージ以外の)即座には送出されずにメセージ記憶
装置に入れられ、その着信パケットが完全に処理されて
しまってはじめて、これらの応答メッセージは単一パケ
ットとして(古い未確認メッセージとともに)送出され
る。(もしこうしないならば、これら応答は、一連のよ
り長いパケットとして、繰返し送出しなければならなく
なる。) 上記のように、パケットの長さは、メッセージを鎖状
に接続すること、および各メッセージのMTに、以後に続
くメッセージが存在するか否かを示すビットを入れるこ
とにより黙示的に示される。これによりもちろん受信側
は、MB本体にそのMTとKNが入っている再送信メッセージ
と、パケットのヘッダにそのMTとKNが入っている現メッ
セージ(パケットの最後のメッセージ)とを区別するこ
とができる。代りの技法は、ヘッダ中に、たとえばMT区
画またはKN区画の一部としてパケット長さ値(メッセー
ジの数)を入れることである。
新しいシステム・メッセージが発生するごとに未確認
システム・メッセージのすべてをこのように再送信する
方式では、不必要な再送信は非常にわずかしか起らな
い。再送信が不必要であると正当に言うことができるの
は、メッセージは正しく受信されたがその確認を元のUA
が未だ受取っていない場合か、あるいはその確認が道に
迷ってしまった場合だけである。代案といては、受信側
が受取った最後のメッセージのメッセージ番号の記録を
とっておき、新しいメッセージがその番号の次の順番の
メッセージ番号を持っていないことがわかった場合に、
失われたメッセージの再送信の要求を送ることである。
しかしこの技法は厳密に連続したメッセージ番号が使用
することを必要としており、また受信側が現メッセージ
を処理することができる前に二つのメッセージ伝達(要
求と応答)をするという遅れを生じ、これら「回復」メ
ッセージが道に迷った場合には、なお更に遅れる。シス
テム・メッセージは比較的短く、それ故1つのパケット
により未確認メッセージを皆再送信する費用は高価にな
りそうもないということも注目しておいてよい。これは
ユーザ・メッセージの場合とは対照的である。ユーザ・
メッセージの長さは非常にばらつきやすく、且つ非常に
長いことがあるからである。
パケットは(単一のユーザ・メッセージと比較して)
かなりのまた可変の長さを持っているから、パケットは
再送信のためユーザ・メッセージと大まかには同じ方法
で準備され、連続するブロックは暗号化、解読ユニット
に送り込まれ、暗号され認証されたメッセージは、発生
されるに従ってインターフェース・ユニット43として働
くPC14に蓄積される。
これらの動作に関係する装置を第3図、第4図、およ
び第5図に示す。端末(UAまたはKDC)には、その端末
からの各リンク毎にそれぞれのシステム・メッセージ格
納ブロックがある。すなわち、KDC内にはすべての端末U
A1、UA2、UA3、……へのリンクについてブロック85、8
6、87、……(第3図)があり、また各UA端末にはKDCへ
のリンクとリンクされている端末UA−I、UA−II、……
とに関するブロック90、91、92、……(第4図)があ
る。これらブロックはもちろんメッセージアセンブリ処
理回路51または75にマルチプレクサ60または74を介して
接続されている。第5図はブロック85の主要構成要素を
示す。他のブロックは実質的に同じである。未確認シス
テム・メッセージを格納する記憶装置95があり、これは
幾分FIFO(先入れ先出し)記憶装置のように動作する
が、非破壊読出しが行なわれる。システム・メッセージ
は上からこの記憶装置95に送り込まれ、それらが削除さ
れるまで着実に下に移っていく。記憶装置95の中のメッ
セージにはそれと対応してそのメッセージ番号KNが区画
96に格納されている。レジスタ97は最後に確認されたメ
ッセージのメッセージ番号RXKNを格納しており、これが
変ると記憶装置95中のメッセージは、メッセージ番号RX
KNと一致するメッセージ番号を区画96中に有しているメ
ッセージまで上向きに削除される。新しいシステム・メ
ッセージが用意されつつあるときは、なお記憶装置95に
入っている古いメッセージはすべて上向きに、すなわち
最も古いものが最初に、非破壊的に読出される。次に新
しいメッセージが記憶装置95の最上部に入る(また既に
記憶装置95に入っているメッセージはすべて押し下げら
れる)。
事実には、キー階層内の基本キーのレベルによって、
二つのクラスのシステム・メッセージがあり、それらは
シーケンスの異なるメッセージ番号KNを有している。し
たがって記憶装置95とレジスタ97は二重になっているの
で、二つのクラスのメッセージは別々に格納され、ブロ
ック85は二つのクラスのための二つの区画AおよびBか
ら構成されている。高位の基本キー(すなわち階層の高
い基本キー)のメッセージはすべてパケット内で低位の
基本キーのメッセージに先行する。このことはメッセー
ジは元々発生した順序と厳密に同じシーケンスでは送ら
れないということを意味する。ただし、この影響は幾つ
かの新しいキーがそうでない場合よりわずかに早く到達
することがあるということだけである。
ブロック85はまた、システム・メッセージが最後に送
り出されてから経過した時間を測定するのに使用される
タイマTMR98を有し、このタイマ98の時間が予め設定さ
れた限界を超過したときまだ確認されていないシステム
・メッセージの再送信をトリガする。このタイマ98はパ
ケットが送り出されるごとに0にリセットされる。
各UAのブロック90、91、92、……は安全モジュールに
入っていて、再送信を待っているメッセージのリストを
考えられ得る部外者から安全に守るようになっている。
ただし、KDCでは、対応するブロック85、86、87、……
は安全モジュールには入っていなくて、色々な理由のた
め、支援用記憶装置に入っている。KDCにはすべてのUA
とのリンクがあるので、格納されているメッセージの数
はUAのものよりはるかに多いと思われる。格納メッセー
ジの喪失(たとえば計算ユニットコンピュータ)18の故
障による)は、(後に説明するように)KDCはバックア
ップおよび復元の手続を所持しており、またKDCはUAよ
り部外者による攻撃が少いと思われるので、UAでの対応
する喪失ほど重大ではない。支援用記憶装置に格納され
ているこのKDC情報は、偶然のまたは故意の変造に対し
て、次に説明するローカル・メッセージ格納技法によっ
て保護されている。
ローカル・メッセージ記憶装置 UAにメッセージを安全に格納できることが望ましい状
況が存在する。したがってユーザは、ユーザ・メッセー
ジが受信されたときそこにいないかあるいはそのメッセ
ージを保存しておきたいかのいずれかのため、受信した
ユーザ・メッセージを安全に格納しておきたいことがあ
る。またユーザは、UA内に、自分が発生したユーザ・メ
ッセージのような資料を安全に格納したいことがある。
本システムはこれら両方の設備を提供する。
受信したメッセージをUAに格納する場合には、受信し
たときの形、すなわち解読してない形でディスクメモリ
15等の支援用記憶装置に格納する。このことは、部外者
が格納メッセージにアクセスすることができたとして
も、通信媒体11に載っているメッセージを傍受して得る
ことができた以上の知識を得ることができないこと、特
に、通信媒体11に現われたままのメッセージを支援記憶
装置に格納されているメッセージと比較しても何も得る
ところがないことを意味する。ただしユーザはもちろん
自分自身で後にメッセージを解読することができなけれ
ばならない。したがって、メッセージにはそれを暗号化
したLDKが付属している。このLDKは、キーが安全モジュ
ールの外側に平文で存在することを許容され得る状況は
ないので、それ自身暗号化された形になっていなければ
ならない。それでこれはキー階層でその上にあるLMKの
もとで暗号化されて格納されている。そのLMKも、再び
暗号化された形の、階層の最上部にあるLMKのもとで暗
号化された、メッセージに付属している。LMKそれ自身
は、階層の最上部にあるので、暗号化することができ
ず、メッセージの一部として平文で格納することもでき
ない。その代り、メッセージが格納される時にこの識別
番号を付加する。
キーは二つの異なる形で現われるべきではないという
ことが重要である。各キー(UMKは別)基本キー(その
上位のキー)およびメッセージ・キーのもとで暗号化さ
れて受信された。キーは安全モジュールのブロック70、
71、72、……に平文で(すなわち解読されてから)格納
される。各キーはそのため受信されたときの暗号化され
が形で、その暗号化に使用されたMKとともにこれらのブ
ロックに格納される。キーがメッセージに付加される
と、格納されている暗号化された形態および関連するMK
が付属部を形成するのに使用される。
UAはUMK履歴記憶装置UMKH105(第4図)を備えてお
り、これには現在のおよび過去のUMKがそのシリアル番
号(識別番号)とともに格納されている。新しいUMKがK
DCブロック70に入ると、それはUMKH履歴記憶装置105に
も入る。メッセージへの一連の付属部を発生するには、
各種レベルのキーを今度はメッセージ・アセンブリ処理
回路75の中で、それぞれその上位のキーのもとで暗号化
し、最後に現UMKのシリアル番号をブロック70のUMKキー
番号レジスタ40A(第2図)から取る。(UMK履歴記憶装
置105の容量は有限であるから、一杯になれば、過去の
古いUMKがそれから取出されて、もっと最近のUMKのもと
で暗号化された上でディスクメモリ15に格納される。) 格納されたメセージを回復するには、付属部を一つづ
つ第4図の回路に送る。この際、最初のものはUMK履歴
記憶装置105から適切なLMKを得るのに使用するUMKのシ
リアル番号であり、次の付属部はUMKのもとで解読してL
MKを得るためにメッセージ・アセンブリ処理回路75に送
られ、最後の付属部はこのLMKのもとで解読してLDKを得
るためメッセージ・アセンブリ処理回路75に同様に送ら
れ、次にメッセージ自身がLDKおよびメッセージに埋込
まれているMKのもとで解読してメッセージの本体を得る
ためメッセージ・アセンブリ処理回路75に送られる。
実質的に同じ技法がローカルに発生されたメッセージ
を安全に格納するに使用される。安全格納キーブロSSK1
07は、ブロック70、71、72、……と同様であるが、ロー
カル・キー階層PMK、PSMK、およびPDKのための一組のキ
ー・レジスタを備えている。(安全格納キーブロック10
6は、「送信」キーに対応するキーだけしか備えていな
いので同様なブロックより小さく示してある。明らか
に、「受信」キーに対応するキーを格納する必要性はな
い。)メッセージを格納するには、メッセージを、メッ
セージ・キーKMと現行のPDKとを用いて通常の方法で暗
号化する。これにより、メッセージには、PSMKのもとで
暗号化されたPDK、PMKのもとで暗号化されたPSMK、現行
UMKのもとで暗号化されたPMK、および現行UMKのシリア
ル番号が皆格納のため付加される。メッセージは他のUA
から受取られ安全に格納されたメッセージに関して行な
うのと実質的に同様にして解読することにより回復する
ことができる。
システムはまた、他のUAから受信したものであろうと
ローカルに発生したものであろうと、ローカルに格納さ
れているメッセージの認証を行う。このような認証の目
的はローカルに格納されているメッセージを、もちろん
安全モジュール16ではないがPC14やディスクメモリ15等
の記憶装置(第1図)にアクセスすることができる部外
者による妨害から防護することである。このような部外
者はメッセージを削除し、メッセージを変更し、あるい
はメッセージを挿入しようとするかもしれないからであ
る。
ディスクメモリ15等の記憶装置(またはPC14の内部記
憶装置)には長さがいろいろで且つ記憶装置全体に渡っ
ていろいろなロケーションに配置された各種のメッセー
ジ111(第6図)が入っている。(もちろん個々のメッ
セージは、ここに述べた原理に影響を与えることなく、
連続しないページの系列に普通の仕方で配置することが
できる。)これらメッセージと関連してディレクトリ11
2がある。このディレクトリ112は区画113に各メッセー
ジの識別用タイトルとディスクメモリ15の中のメッセー
ジのロケーションをリストするものである。メッセージ
がディスクメモリ15に入ると、それに対応するMACがメ
ッセージ認証コード計算ユニット42により、メッセージ
自身がそのもとで暗号化された基本キーを用いて、計算
される。このMACはディレクトリ112の区画114に、区画1
13に格納されているメッセージのタイトルとロケーショ
ンに関連付けて格納される。その他に、ディレクトリ11
2のMACの全体のリストが特殊メッセージとして取扱わ
れ、これらMACに対してグローバルMACすなわちスーパー
MACが計算される。このグローバルMACは安全モジュール
16の内部に設置されたグローバルMACレジスタ115に格納
される。
ディレクトリ112にリストされているところの格納さ
れているファイルの個々の完全性をチェックしたい場合
には、そのMACを計算し、ディレクトリ112に格納されて
いるMACと比較する。これらMACは暗号化キーを用いて計
算されるので、部外者がファイルを修正しようとして
も、修正したファイルの正しいMACを作ることができな
い。したがってディレクトリ112のMACはその個々のファ
イルを認証する。ファイルの全セットの完全性をチェッ
クしなければならない場合には、ディレクトリのMACの
グローバルMACを計算し、安全モジュール16の中のMACコ
ンパレータ44(第2図)により、グローバルMACレジス
タ115に格納されているグローバルMACと比較する。部外
者がディレクトリ112を何らからの仕方で、たとえばエ
ントリを削除したり、エントリの順序を変更し、あるい
はエントリを挿入したりして、変更すれば、グローバル
MACが変ることになる。そしてグローバルMACは安全モジ
ュール16に格納されていてこれには部外者がアクセスす
ることができないから、弐外者はそれを変更することが
できず、変造されたディレクトリのグローバルMACはグ
ローバルMACレジスタ115に格納されているグローバルMA
Cと合わないことになる。(MACはすべてキーを用いて計
算されているので、部外者は変更されたファイルのグロ
ーバルMACを計算することはできない。しかし仮にグロ
ーバルMACにアクセス可能であったとすれば、部外者は
前のバージョンによりファイル全体およびグローバルMA
Cを交換することができる。) もちろん、個々のファイルのMACを格納されたファイ
ルの一部として格納することができることは理解される
であろう。この場合、グローバルMACの計算にあたって
はディレクトリ112を使用して、そのメッセージから格
納されている各MACが探し出される。また、ディレクト
リ112が充分大きければ、これを区画に分割して、区画M
ACをその区画で識別されるメッセージのMACから各区画
について計算し、グローバルMACを区画MACから計算する
ようにすることができる。区画MACは平文で格納するこ
とができる。この場合これら区画MACは部外者が修正す
ることができるが、そのような区画MACはその区画に関
連するメッセージから計算したMACとうまく合致しない
か、あるいはそのグローバルMACがグローバルMACレジス
タ115に格納されているグローバルMACとうまく合致しな
いことになる。ディレクトリ112はもちろんディスクメ
モリ15に設置することができる。グローバルMACを安全
モジュール16のレジスタに格納するかわりに、これを安
全モジュール16の外部に格納することができる。ただ
し、これは格納された情報のすべてを以前のバージョン
で検出されることなく置換えることができるという上に
記した危険を冒すことになる。
ユーザが格納されているメッセージを、たとえばメッ
セージを変更し、新しいメッセージを追加し、あるいは
メッセージを削除して、変更したい場合には、付与され
た、すなわち加えられたメッセージのMACを計算してデ
ィレクトリ112に格納するか、あるいはディレクトリ112
から削除されたメッセージのMACおよび新しいグローバ
ルMACを計算してグローバルMACレジスタ115に格納する
かしなければならない。これには新しいMACの計算(こ
れはメッセージの内部の認証に必要である)とメッセー
ジMACからの新しいグローバルMACの計算が行なわれるだ
けである。変更されないメッセージのMACは不変であ
り、これらメッセージの処理は不要である。
UAの変更 ユーザがUAを彼自身のUAであるUA1から別のUAであるU
A2に一時的にまたは永久的に変えたいことがある。一時
的に変えたい場合は、ユーザは自分の通常のUAに向けら
れたメッセージを読むのに一時的に新しいUAを使用する
ことができるようにしたくなる。また永久的に変えたい
場合は、ユーザは自分の古いUAから新しいUAに全てを転
送したくなる。これら二つの場合の取扱いは異なる。
前者の場合では、ユーザはKDCに、他のどの端末を使
用したいかを指定して旅行キ−(journey key)を要求
する。KDCはこれを受けると直ぐユーザに旅行キーを発
行し、ユーザが訪問して旅行キーに応答するUAを設定
し、旅行キー(UM2のUMKおよびCDKのキー階層のもとで
暗号化されている)をUA2に送り、ここでUA1のアドレス
・コードとともに旅行キー・レジスタ107に格納され
る。ユーザはまた受信したすべてのメッセージを格納す
るとともにUA2からの呼出しに対してそれらをUA2に送っ
て応答するため、彼自身のUAを設定する。このメッセー
ジの転送はUA1がメッセージを解読し、これを再び旅行
キー(通常のランダムなMKとともに)のもとで暗号化し
てから、修正したメッセージをUA2に送ることにより行
われる。UA2では、ユーザはメッセージを解読するのに
彼の旅行キーを使用する。この技法では同じメッセージ
を相異なる複数キーのもとで暗号化して送信するという
ことがあり、また所与の使用後は旅行キーを更新できな
いので、利用に当っては注意しなければならない。ま
た、後者の場合では、ユーザのUMKをUA2に物理的に輸送
し、そこに設置しなければない。(実際、以前の全ての
UMKも同様に設置して、安全に格納されているメッセー
ジを転送することができる。)次にKDCとのリンクを上
述のように確立し、次に他のUAとのリンクを確立する。
UA2に既に格納されてたキーはすべて、もちろん、新し
いユーザのUMKが設置される前に破壊され、UA1の中のキ
ーもすべて同様に破壊される。UA1に安全に格納されて
いるすべてのキーは、更に暗号化されることなく、すな
わち暗号化されたメッセージの格納形態プラスUMKのシ
リアル番号までの付属部という形で、UA2に送られるの
で、新しく設置されたUMKのもとでUA2において解読する
ことができる。
KDCメッセージの記録 UAでは、キーに対する、すなわち安全モジュールの内
容に対するバックアップ・システムが存在しない。これ
は安全モジュール外で利用できるキーを設けることは重
大な弱点となるからである。UAで起きた障害はUAを再起
動させることによってのみ回復できる。KDCは各UAに対
するUMKの完全なセットを保持しており、適切なセット
をキー分配径路13を通して送り且つ設置することができ
るので、安全に格納されているメセージをすべて読取る
ことができる。そこでUAを再設して安全に格納されたメ
ッセージを読取ることができるようにしなければならな
い。次にUAはまずKDCとのリンクを、次に接続したい他
のUAとのリンクを再び確立しなければならない。(UAリ
ンクの最初の設定の場合のように、この動作のうちの多
くの部分はキー分配径路13を通ってKDCから伝えられた
一組の格納メッセージにより行うことができる。)その
障害期間中それに向けられたメッセージはすべて失なわ
れており取出し不能になる。自分のメッセージが失なわ
れてしまったユーザは、故障したUAが回復し、そのリン
クが再確立された時点で、そのメッセージを再送したい
か否かを決定する責任がある。
KDCの故障を処理する設備はこれとは異なる。KDCは自
分が送受したすべてのメッセージの記録つまりログを、
それが処理を受けた順序に、保持している。このログは
支援用の記憶手段19に保持されている。また、KDCの状
態が記憶手段19に定期的に格納される。KDCに故障が発
生すると、オペレータはKDCを以前に格納された状態ま
で記憶手段19から回復しながらバックアップしなければ
ならない。次にそのとき以後に発生したすべてのメッセ
ージのログをKDCに再生して戻す。これによりKDCがその
正しい現在の状態にまでなる。ただし、その時間中にKD
Cが発生し送出したキーはすべて失なわれている。した
がって、ログの再生中、キーの発生および送出に関係し
ているメッセージは反復され、したがって新しいキーが
UAに送出されて、先に送出されたがKDCでは失なわれた
ものと置き換わる。このようにしてシステム全体が一貫
した状態に回復する。
〔発明の効果〕
以上詳細に説明したように、本発明によれば、通常部
分的な更新しかないシステムで認証コードの再計算が大
幅に簡単になる。
【図面の簡単な説明】
第1図は本発明の一実施例の全体的構成を説明するため
の図、第2図は第1図中の端末の主要部の構成を説明す
るための図、第3図は第1図中のKDCの主要部の構成を
説明するための図、第4図は第1図中の端末の他の主要
部の構成を説明するための図、第4A図は第4図の部分的
構成を示す図、第5図は第3図中のKDCにおける再送動
作を説明するための図、第6図は第1図中の端末の他の
主要部の構成を説明するための図である。 10,10A,10B:端末 11:通信媒体 12:KDC 13:キー分配径路 14,14A:PC 15,15A:ディスクメモリ 16,16A,17:安全モジュール 18:計算ユニット 19:記憶手段 20:部外者 30:制御回路 31:キー輸送ユニット 32:UMKレジスタ 33,40:使用カウンタ 33A:CDKキー番号レジスタ 34:CDKレジスタ 36:ランダム信号発生器 37:メッセージ・アセンブリ・レジスタ 38:メッセージタイプフォーマット記憶領域 39:MKレジスタ 40A:UMKキー番号レジスタ 41:暗号化/解読ユニット 42:メッセージ認証コード計算ユニット 43:インタフェース・ユニット 44:コンパレータ 46:CDK1レジスタ 47:CDK2レジスタ 48,49:CDK番号レジスタ 50:制御ユニット 51:メッセージ・アセンブリ処理回路 52:メッセージ・アセンブリ・レジスタ 60:マルチプレクサ 61:セレクタ回路 73:レジスタ 74:マルチプレクサ 75:メッセージ・アセンブリ処理回路 76:セレクタスイッチ 77,78:ビット・レジスタ 95:記憶装置 97:レジスタ 98:タイマ 105:UMK履歴記憶装置 106:安全格納キー・ブロック 107:旅行キー・レジスタ 111:メッセージ 112:ディレクトリ 115:グローバルMACレジスタ
───────────────────────────────────────────────────── フロントページの続き (72)発明者 グレーム・ジエイ・プラウドラ イギリス国イングランド・ビーエス12・ 6エクスキユー・ブリストルストーク・ ギフオード・ミード・パーク・タツチス トーン・アベニユー5 (56)参考文献 特開 昭60−26387(JP,A) 特開 昭61−275940(JP,A) 情報処理 Vol.25 No.6 p.566−574

Claims (6)

    (57)【特許請求の範囲】
  1. 【請求項1】複数のメッセージから成る情報の本体を記
    憶する記憶手段と、 前記情報の本体を認証するメッセージ認証コードを計算
    する計算手段とを備えた情報記憶システムにおいて、 前記計算手段は、 前記複数のメッセージの各々から該メッセージの認証を
    可能にする各々の個別メッセージ認証コードを計算し、 前記個別メッセージ認証コードを1以上のメッセージと
    して扱い、該個別メッセージ認証コードの認証をするグ
    ローバル・メッセージ認証コードを計算し、 前記メッセージ認証コードのどれがどのメッセージに関
    係するか前記記憶手段に記憶する ことを特徴とする情報記憶システム。
  2. 【請求項2】前記情報の本体を形成する前記メッセージ
    から計算された前記個別メッセージ認証コードが、前記
    グローバル・メッセージ認証コードを計算する際に前記
    計算手段によって、ただ一つのメッセージとして扱われ
    ることを特徴とする請求項第1項に記載の情報記憶装
    置。
  3. 【請求項3】前記情報の本体を形成する前記メッセージ
    から計算された前記個別メッセージ認証コードが、グル
    ープに分割され、個別メッセージ認証コードの各グルー
    プは、前記計算手段によってメッセージとして扱われ、
    グループメッセージ認証コードを計算するのに使用さ
    れ、前記グループメッセージ認証コードは前記計算手段
    によって一つのメッセージとして扱われ、前記グローバ
    ル・メッセージ認証コードを計算することを特徴とする
    請求項第1項に記載の情報記憶装置。
  4. 【請求項4】前記情報の本体の前記メッセージの1以上
    が変更された際に、前記変更された各メッセージに対す
    る個別メッセージ認証コードと前記グローバル・メッセ
    ージ認証コードだけが前記計算手段によって再計算され
    ることを特徴とする請求項第1項に記載の情報記憶装
    置。
  5. 【請求項5】前記情報の本体に1以上のメッセージを付
    加する際に、前記計算手段が前記付加された各メッセー
    ジの個別メッセージ認証コードを計算し、前記計算され
    た新たな個別メッセージ認証コードと既存の個別メッセ
    ージ認証コードを使用して、前記グローバル・メッセー
    ジ認証コードを再計算することを特徴とする請求項第1
    項に記載の情報記憶装置。
  6. 【請求項6】前記情報の本体の前記メッセージの1以上
    が削除された際に、前記計算手段は、残された前記メッ
    セージの前記個別メッセージ認証コードを使用して前記
    グローバル・メッセージ認証コードを再計算することを
    特徴とする請求項第1項に記載の情報記憶装置。
JP63050529A 1987-03-03 1988-03-03 情報記憶システム Expired - Lifetime JP2675806B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GB8704883 1987-03-03
GB878704883A GB8704883D0 (en) 1987-03-03 1987-03-03 Secure information storage

Publications (2)

Publication Number Publication Date
JPS63225840A JPS63225840A (ja) 1988-09-20
JP2675806B2 true JP2675806B2 (ja) 1997-11-12

Family

ID=10613203

Family Applications (1)

Application Number Title Priority Date Filing Date
JP63050529A Expired - Lifetime JP2675806B2 (ja) 1987-03-03 1988-03-03 情報記憶システム

Country Status (5)

Country Link
US (1) US4933969A (ja)
EP (1) EP0281225B1 (ja)
JP (1) JP2675806B2 (ja)
DE (1) DE3889561T2 (ja)
GB (1) GB8704883D0 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013065241A1 (ja) * 2011-10-31 2013-05-10 日本電気株式会社 インクリメンタルmacタグ生成装置、方法及びプログラム並びにメッセージ認証装置
WO2024171317A1 (ja) * 2023-02-14 2024-08-22 日本電気株式会社 情報処理装置、情報処理装置の制御方法、及び、プログラムが格納された非一時的なコンピュータ可読媒体

Families Citing this family (114)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0727511B2 (ja) * 1989-04-17 1995-03-29 株式会社日立製作所 情報処理システム
DE69029759T2 (de) * 1989-05-15 1997-07-17 International Business Machines Corp., Armonk, N.Y. Flexible Schnittstelle für Beglaubigungsdienste in einem verteilten Datenverarbeitungssystem
US5050212A (en) * 1990-06-20 1991-09-17 Apple Computer, Inc. Method and apparatus for verifying the integrity of a file stored separately from a computer
US5235644A (en) * 1990-06-29 1993-08-10 Digital Equipment Corporation Probabilistic cryptographic processing method
EP0464562B1 (en) * 1990-06-29 1997-04-23 Digital Equipment Corporation Method and apparatus for decryption of an information packet having a format subject to modification
DE4101141C1 (ja) * 1991-01-16 1992-07-02 Siemens Nixdorf Informationssysteme Ag, 4790 Paderborn, De
US5185795A (en) * 1991-02-27 1993-02-09 Motorola, Inc. Authentication of rekey messages in a communication system
US5267314A (en) * 1992-11-17 1993-11-30 Leon Stambler Secure transaction system and method utilized therein
EP0609595B1 (en) * 1993-02-05 1998-08-12 Hewlett-Packard Company Method and apparatus for verifying CRC codes by combination of partial CRC codes
FR2703800B1 (fr) * 1993-04-06 1995-05-24 Bull Cp8 Procédé de signature d'un fichier informatique, et dispositif pour la mise en Óoeuvre.
US5757913A (en) * 1993-04-23 1998-05-26 International Business Machines Corporation Method and apparatus for data authentication in a data communication environment
US5576843A (en) * 1993-10-29 1996-11-19 Time Warner Entertainment Co., L.P. System and method for controlling play of multiple dialog audio tracks of a software carrier
US5689700A (en) * 1993-12-29 1997-11-18 Microsoft Corporation Unification of directory service with file system services
US7036019B1 (en) * 1994-04-01 2006-04-25 Intarsia Software Llc Method for controlling database copyrights
JPH07271865A (ja) 1994-04-01 1995-10-20 Mitsubishi Corp データベース著作権管理方法
GB2288476A (en) * 1994-04-05 1995-10-18 Ibm Authentication of printed documents.
US7302415B1 (en) * 1994-09-30 2007-11-27 Intarsia Llc Data copyright management system
US5734819A (en) * 1994-10-12 1998-03-31 International Business Machines Corporation Method and apparatus for validating system operation
EP0715241B1 (en) 1994-10-27 2004-01-14 Mitsubishi Corporation Apparatus for data copyright management system
US6424715B1 (en) * 1994-10-27 2002-07-23 Mitsubishi Corporation Digital content management system and apparatus
DE4442357A1 (de) * 1994-11-29 1996-06-05 Deutsche Telekom Ag Verfahren und Anordnung zur Sicherung von Daten
US5619571A (en) * 1995-06-01 1997-04-08 Sandstrom; Brent B. Method for securely storing electronic records
US5671283A (en) * 1995-06-08 1997-09-23 Wave Systems Corp. Secure communication system with cross linked cryptographic codes
DE19534530A1 (de) * 1995-09-08 1997-03-13 Francotyp Postalia Gmbh Verfahren zur Absicherung von Daten und Programmcode einer elektronischen Frankiermaschine
EP0762337A3 (de) * 1995-09-08 2000-01-19 Francotyp-Postalia Aktiengesellschaft & Co. Verfahren und Anordnung zur Erhöhung der Manipulationssicherheit von kritischen Daten
US5757924A (en) * 1995-09-18 1998-05-26 Digital Secured Networks Techolognies, Inc. Network security device which performs MAC address translation without affecting the IP address
US8595502B2 (en) 1995-09-29 2013-11-26 Intarsia Software Llc Data management system
US5796839A (en) * 1995-10-16 1998-08-18 Sony Corporation Encryption method, encryption apparatus, recording method, decoding method, decoding apparatus and recording medium
US5745576A (en) * 1996-05-17 1998-04-28 Visa International Service Association Method and apparatus for initialization of cryptographic terminal
US6240513B1 (en) 1997-01-03 2001-05-29 Fortress Technologies, Inc. Network security device
US6144745A (en) * 1997-04-07 2000-11-07 Fujitsu Limited Method of and apparatus for retaining and verifying of data on recording medium
US6272631B1 (en) * 1997-06-30 2001-08-07 Microsoft Corporation Protected storage of core data secrets
GB9715684D0 (en) * 1997-07-25 1997-10-01 Computer Forensics Limited Integrity verification and authentication of copies of computer data
US6789080B1 (en) 1997-11-14 2004-09-07 Adobe Systems Incorporated Retrieving documents transitively linked to an initial document
JP3748155B2 (ja) * 1997-11-14 2006-02-22 富士通株式会社 改ざん防止/検出機能を有するファイル管理システム
US6415278B1 (en) 1997-11-14 2002-07-02 Adobe Systems Incorporated Retrieving documents transitively linked to an initial document
US6161198A (en) * 1997-12-23 2000-12-12 Unisys Corporation System for providing transaction indivisibility in a transaction processing system upon recovery from a host processor failure by monitoring source message sequencing
DE19822685A1 (de) 1998-05-20 2000-01-27 Deutsche Telekom Ag Verfahren zur gesicherten Übertragung von Nachrichten
DE69935913T2 (de) * 1998-07-02 2008-01-10 Cryptography Research Inc., San Francisco Leckresistente aktualisierung eines indexierten kryptographischen schlüssels
US6351539B1 (en) * 1998-09-18 2002-02-26 Integrated Device Technology, Inc. Cipher mixer with random number generator
KR100589579B1 (ko) * 1999-01-28 2006-06-15 유따까 야스꾸라 전자 정보의 안전 확보 방법
US6601046B1 (en) * 1999-03-25 2003-07-29 Koninklijke Philips Electronics N.V. Usage dependent ticket to protect copy-protected material
US6335933B1 (en) * 1999-05-21 2002-01-01 Broadcom Homenetworking, Inc. Limited automatic repeat request protocol for frame-based communication channels
EP1056010A1 (en) * 1999-05-28 2000-11-29 Hewlett-Packard Company Data integrity monitoring in trusted computing entity
US6959384B1 (en) 1999-12-14 2005-10-25 Intertrust Technologies Corporation Systems and methods for authenticating and protecting the integrity of data streams and other data
US7966372B1 (en) 1999-07-28 2011-06-21 Rpost International Limited System and method for verifying delivery and integrity of electronic messages
AU6610300A (en) * 1999-07-28 2001-02-19 Terrance A. Tomkow System and method for verifying delivery and integrity of electronic messages
US7171567B1 (en) * 1999-08-02 2007-01-30 Harris Interactive, Inc. System for protecting information over the internet
US7240363B1 (en) 1999-10-06 2007-07-03 Ellingson Robert E System and method for thwarting identity theft and other identity misrepresentations
JP2007184000A (ja) * 2000-01-14 2007-07-19 Mitsubishi Electric Corp 暗号化装置及び暗号化方法及び復号装置及び復号方法及びプログラムを記録したコンピュータ読み取り可能な記録媒体
JP2001352321A (ja) 2000-04-06 2001-12-21 Sony Corp 情報処理システム、情報処理方法、および情報記録媒体、並びにプログラム提供媒体
US6766453B1 (en) * 2000-04-28 2004-07-20 3Com Corporation Authenticated diffie-hellman key agreement protocol where the communicating parties share a secret key with a third party
US6473844B1 (en) * 2000-04-29 2002-10-29 Hewlett-Packard Company System and method to protect vital memory space from non-malicious writes in a multi domain system
JP4366845B2 (ja) * 2000-07-24 2009-11-18 ソニー株式会社 データ処理装置およびデータ処理方法、並びにプログラム提供媒体
US6574455B2 (en) * 2000-08-30 2003-06-03 Lucent Technologies Inc. Method and apparatus for ensuring security of users of bluetooth TM-enabled devices
JP4352600B2 (ja) 2000-09-01 2009-10-28 ソニー株式会社 データ改竄チェック装置および方法、ならびに、記録媒体
ATE405110T1 (de) * 2000-11-17 2008-08-15 Sony Deutschland Gmbh Informationsübertragung via einem ad hoc netz
FI111423B (fi) * 2000-11-28 2003-07-15 Nokia Corp Järjestelmä kanavanvaihdon jälkeen tapahtuvan tietoliikenteen salauksen varmistamiseksi
GB2372592B (en) 2001-02-23 2005-03-30 Hewlett Packard Co Information system
GB2372595A (en) * 2001-02-23 2002-08-28 Hewlett Packard Co Method of and apparatus for ascertaining the status of a data processing environment.
JP2002319932A (ja) * 2001-04-19 2002-10-31 Sony Corp 情報記録装置、情報再生装置、および情報記録方法、情報再生方法、並びにプログラム
JP2002325076A (ja) * 2001-04-26 2002-11-08 Sharp Corp 送信装置、受信装置、通信装置、送信方法、受信方法、および通信方法
DE10131578A1 (de) * 2001-07-02 2003-01-16 Bosch Gmbh Robert Verfahren zum Schutz eines Mikrorechner-Systems gegen Manipulation von in einer Speicheranordnung abgelegten Daten
US6920556B2 (en) * 2001-07-20 2005-07-19 International Business Machines Corporation Methods, systems and computer program products for multi-packet message authentication for secured SSL-based communication sessions
US7310817B2 (en) * 2001-07-26 2007-12-18 Mcafee, Inc. Centrally managed malware scanning
US20030023869A1 (en) * 2001-07-27 2003-01-30 Winfield Augustus W. Assurance of non-alteration of files
GB2378013A (en) * 2001-07-27 2003-01-29 Hewlett Packard Co Trusted computer platform audit system
US7054841B1 (en) * 2001-09-27 2006-05-30 I2 Technologies Us, Inc. Document storage and classification
US7333616B1 (en) 2001-11-14 2008-02-19 Omniva Corp. Approach for managing access to messages using encryption key management policies
US8312265B2 (en) * 2001-12-11 2012-11-13 Pinder Howard G Encrypting received content
JP2003324418A (ja) * 2002-02-27 2003-11-14 Canon Inc 画像処理装置、データ処理装置及びデータ処理方法
GB2390703A (en) 2002-07-02 2004-01-14 Ascent Group Ltd Storage and authentication of data transactions
US7356768B1 (en) 2002-11-27 2008-04-08 Adobe Systems Incorporated Using document templates to assemble a collection of documents
GB0229894D0 (en) 2002-12-21 2003-01-29 Ibm Methods, apparatus and computer programs for generating and/or using conditional electronic signatures and/or for reporting status changes
WO2004068350A1 (ja) * 2003-01-30 2004-08-12 Fujitsu Limited データ改ざん検出方法、データ改ざん検出装置及びデータ改ざん検出プログラム
US7130427B2 (en) * 2003-07-17 2006-10-31 Motorola, Inc. Method for providing point-to-point encryption in a communication system
CN101086880B (zh) * 2004-04-02 2010-06-02 松下电器产业株式会社 未授权内容检测系统
JP2006039206A (ja) * 2004-07-27 2006-02-09 Canon Inc 暗号化装置および復号化装置
JP2008520030A (ja) * 2004-11-12 2008-06-12 ディスクレティックス・テクノロジーズ・リミテッド データを安全に記憶する方法、デバイス、及びシステム
JP4864456B2 (ja) * 2004-12-16 2012-02-01 パナソニック株式会社 改竄検出用データ生成方法
JP3810425B2 (ja) 2004-12-16 2006-08-16 松下電器産業株式会社 改竄検出用データ生成方法、および改竄検出方法及び装置
US7634657B1 (en) * 2004-12-23 2009-12-15 Symantec Corporation Reducing the probability of undetected collisions in hash-based data block processing
US7310149B2 (en) * 2005-04-06 2007-12-18 Agilent Technologies, Inc. Systems and methods for measurement of properties of small volume liquid samples
US20060271796A1 (en) * 2005-05-25 2006-11-30 Kaimal Biju R Method and system for protecting information stored in an electronic device against backup and restore attack
GB0519466D0 (en) * 2005-09-23 2005-11-02 Scansafe Ltd Network communications
US8200971B2 (en) * 2005-09-23 2012-06-12 Cisco Technology, Inc. Method for the provision of a network service
US8095966B1 (en) * 2006-06-28 2012-01-10 Emc Corporation Methods and apparatus for password management
FR2907622A1 (fr) 2006-10-19 2008-04-25 St Microelectronics Sa Procede de transmission de donnees utilisant un code d'accuse de reception comportant des bits d'authentification caches
US8356178B2 (en) * 2006-11-13 2013-01-15 Seagate Technology Llc Method and apparatus for authenticated data storage
JP2008305035A (ja) * 2007-06-06 2008-12-18 Hitachi Ltd 装置、更新方法、および制御ソフト。
JP2008118706A (ja) * 2008-01-10 2008-05-22 Nec Corp 暗号化通信制御方式
CN101625613B (zh) * 2008-07-10 2011-03-30 鸿富锦精密工业(深圳)有限公司 具有触摸显示屏的电子装置及其控制方法
US20100328032A1 (en) * 2009-06-24 2010-12-30 Broadcom Corporation Security for computing unit with femtocell ap functionality
US10454674B1 (en) * 2009-11-16 2019-10-22 Arm Limited System, method, and device of authenticated encryption of messages
DE102010002472A1 (de) * 2010-03-01 2011-09-01 Robert Bosch Gmbh Verfahren zum Verifizieren eines Speicherblocks eines nicht-flüchtigen Speichers
US9553728B2 (en) * 2011-02-25 2017-01-24 Nokia Technologies Oy Method and apparatus for providing end-to-end security for distributed computations
US9160725B2 (en) 2011-09-23 2015-10-13 Rpost Communications Limited Computer implemented system and method for authenticating a sender of electronic data to a recipient
JP5845824B2 (ja) * 2011-11-04 2016-01-20 富士通株式会社 暗号化プログラム、復号化プログラム、暗号化方法、復号化方法、システム、コンテンツの生成方法およびコンテンツの復号化方法
US9460312B2 (en) * 2014-03-11 2016-10-04 Qualcomm Incorporated Data integrity protection from rollback attacks for use with systems employing message authentication code tags
WO2016118523A1 (en) 2015-01-19 2016-07-28 InAuth, Inc. Systems and methods for trusted path secure communication
US10313129B2 (en) * 2015-06-26 2019-06-04 Intel Corporation Keyed-hash message authentication code processors, methods, systems, and instructions
US10284383B2 (en) 2015-08-31 2019-05-07 Mellanox Technologies, Ltd. Aggregation protocol
US10521283B2 (en) * 2016-03-07 2019-12-31 Mellanox Technologies, Ltd. In-node aggregation and disaggregation of MPI alltoall and alltoallv collectives
EP3361408B1 (en) 2017-02-10 2019-08-21 Michael Mertens Verifiable version control on authenticated and/or encrypted electronic documents
US11277455B2 (en) 2018-06-07 2022-03-15 Mellanox Technologies, Ltd. Streaming system
JP7100502B2 (ja) * 2018-06-13 2022-07-13 キヤノン株式会社 情報処理装置とその制御方法、及びプログラム
US11625393B2 (en) 2019-02-19 2023-04-11 Mellanox Technologies, Ltd. High performance computing system
EP3699770A1 (en) 2019-02-25 2020-08-26 Mellanox Technologies TLV Ltd. Collective communication system and methods
US11750699B2 (en) 2020-01-15 2023-09-05 Mellanox Technologies, Ltd. Small message aggregation
US11252027B2 (en) 2020-01-23 2022-02-15 Mellanox Technologies, Ltd. Network element supporting flexible data reduction operations
US11876885B2 (en) 2020-07-02 2024-01-16 Mellanox Technologies, Ltd. Clock queue with arming and/or self-arming features
US11556378B2 (en) 2020-12-14 2023-01-17 Mellanox Technologies, Ltd. Offloading execution of a multi-task parameter-dependent operation to a network device
DE102020216277A1 (de) 2020-12-18 2022-06-23 Siemens Mobility GmbH Verfahren zur initialen Verteilung von schützenswerten Daten in einem ETCS-Zugsicherungssystem
US11922237B1 (en) 2022-09-12 2024-03-05 Mellanox Technologies, Ltd. Single-step collective operations

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4349695A (en) * 1979-06-25 1982-09-14 Datotek, Inc. Recipient and message authentication method and system
US4578530A (en) * 1981-06-26 1986-03-25 Visa U.S.A., Inc. End-to-end encryption system and method of operation
US4423287A (en) * 1981-06-26 1983-12-27 Visa U.S.A., Inc. End-to-end encryption system and method of operation
JPS6026387A (ja) * 1983-07-22 1985-02-09 日本電信電話株式会社 デイジタル署名方式
GB2146815A (en) * 1983-09-17 1985-04-24 Ibm Electronic fund transfer systems
GB2146814A (en) * 1983-09-17 1985-04-24 Ibm Electronic fund transfer systems
US4783798A (en) * 1985-03-14 1988-11-08 Acs Communications Systems, Inc. Encrypting transponder
US4649233A (en) * 1985-04-11 1987-03-10 International Business Machines Corporation Method for establishing user authenication with composite session keys among cryptographically communicating nodes
US4688250A (en) * 1986-01-29 1987-08-18 Rca Corporation Apparatus and method for effecting a key change via a cryptographically protected link
GB8704882D0 (en) * 1987-03-03 1987-04-08 Hewlett Packard Co Secure messaging systems

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
情報処理 Vol.25 No.6 p.566−574

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013065241A1 (ja) * 2011-10-31 2013-05-10 日本電気株式会社 インクリメンタルmacタグ生成装置、方法及びプログラム並びにメッセージ認証装置
JPWO2013065241A1 (ja) * 2011-10-31 2015-04-02 日本電気株式会社 インクリメンタルmacタグ生成装置、方法及びプログラム並びにメッセージ認証装置
WO2024171317A1 (ja) * 2023-02-14 2024-08-22 日本電気株式会社 情報処理装置、情報処理装置の制御方法、及び、プログラムが格納された非一時的なコンピュータ可読媒体

Also Published As

Publication number Publication date
GB8704883D0 (en) 1987-04-08
DE3889561D1 (de) 1994-06-23
US4933969A (en) 1990-06-12
EP0281225A3 (en) 1990-07-11
DE3889561T2 (de) 1994-09-01
JPS63225840A (ja) 1988-09-20
EP0281225B1 (en) 1994-05-18
EP0281225A2 (en) 1988-09-07

Similar Documents

Publication Publication Date Title
JP2675806B2 (ja) 情報記憶システム
JP2637456B2 (ja) メッセージ伝送方法
JP2730902B2 (ja) 通信システム
EP0582395B1 (en) Computer network packet receiver and computer network with modified host-to-host encryption keys as well as respective methods
US5638448A (en) Network with secure communications sessions
US6185680B1 (en) Packet authentication and packet encryption/decryption scheme for security gateway
Popek et al. Encryption and secure computer networks
US6084969A (en) Key encryption system and method, pager unit, and pager proxy for a two-way alphanumeric pager network
JP2610107B2 (ja) ネットワークを管理する方法および装置
JP3595145B2 (ja) 暗号通信システム
US6973568B2 (en) Apparatus and method for implementing spoofing-and replay-attack-resistant virtual zones on storage area networks
Aura Strategies against replay attacks
US5369705A (en) Multi-party secure session/conference
US6339824B1 (en) Method and apparatus for providing public key security control for a cryptographic processor
KR100563611B1 (ko) 안전한 패킷 무선통신망
CN112235382B (zh) 一种基于区块链分片的交易管理系统及方法
US9015488B2 (en) Secure indirect addressing
Galvin et al. SNMP security protocols
US7139891B1 (en) Method and system for timestamped virtual worm in a SAN
Kline et al. Public key vs. conventional key encryption
Kline et al. Encryption protocols, public key algorithms and digital signatures in computer networks
Popek et al. Design issues for secure computer networks
Gong A note on redundancy in encrypted messages
Herbison Developing ethernet enhanced-security system
Galvin et al. RFC1352: SNMP Security Protocols

Legal Events

Date Code Title Description
R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080718

Year of fee payment: 11

EXPY Cancellation because of completion of term
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080718

Year of fee payment: 11