JP2730902B2 - 通信システム - Google Patents

通信システム

Info

Publication number
JP2730902B2
JP2730902B2 JP63050530A JP5053088A JP2730902B2 JP 2730902 B2 JP2730902 B2 JP 2730902B2 JP 63050530 A JP63050530 A JP 63050530A JP 5053088 A JP5053088 A JP 5053088A JP 2730902 B2 JP2730902 B2 JP 2730902B2
Authority
JP
Japan
Prior art keywords
key
message
terminal
kdc
link
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP63050530A
Other languages
English (en)
Other versions
JPS63226149A (ja
Inventor
アラン・デイ・マーシヤル
クリストフア・ジエイ・ミツチエル
グレーム・ジエイ・プラウドラ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
HP Inc
Original Assignee
HP Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by HP Inc filed Critical HP Inc
Publication of JPS63226149A publication Critical patent/JPS63226149A/ja
Application granted granted Critical
Publication of JP2730902B2 publication Critical patent/JP2730902B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • H04L9/0836Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

【発明の詳細な説明】 〔発明の技術分野〕 本発明は安全性の高い通信システムに関する。
〔従来技術およびその問題点〕
パーソナル・コンピュータのようなかなりな数の端末
が接続されている通信ネットワークは周知である。この
ようなシステムは、公衆電話システムのような、安全で
ない通信媒体を使用していることが非常に多く、受動妨
害(盗聴)や能動妨害(メッセージの傍受や抜取り、メ
ッセージの部分的変更、および虚偽メッセージの挿入)
を受けやすい。これらの問題を克服するのに、暗号方式
を使用することが知られている。しかしながら、暗号の
原理は明らかであるが、かなりな数の端末を備えたシス
テムを設計することに関連するかなり実際的な問題が存
在する。
本発明は、更に詳細には、キー管理に関連するもので
ある。いくつかの端末を有するシステムでは、全端末間
に多かれ少なかれ永久接続を設けることと接続を必要と
する端末のみの間に接続を設けることとの間で基本的選
択を行わなければならない。前者の場合には、制御権は
分散させてもよいし、あるいは特別な制御端末、すなわ
ちキー分配センタ(Key distribution center,以下KDC
と称する)に置いてもよい。後者では、制御権をキー分
配センタに置かなければならないので、接続されていな
い二つの端末は、それを通して接続を行うことができる
安全な媒介物を有することができる。
このようなKDCシステムは既知であり、このシステム
では、ある端末(第1の端末)が他の端末(第2の端
末)と安全な通信をしたいときは、第1の端末がKDCに
第2の端末とのリンクを設定するように要求する。二つ
の端末およびKDCの間の通路は各端末とKDCで共有された
キーのもとでの暗号保護によりそれ自身安全である。こ
のようなキーは制御データ・キーと言うことができる。
というのはこれらキーが端末とKDCとの間の通信の制御
機能と、KDCから端末への転送情報(「データ」)とに
関連しているからである。「データ」は互いに通信を行
う際に端末が使用するキーである。この既知のシステム
では、端末は、他の端末と通話したいたびに他の端末と
リンクを設定する、セッションキーと呼ばれるキーをKD
Cに要求する。
このシステムには各端末が他の端末と行なっている現
行の通信セッションに必要なキーを維持するだけでよい
という利点がある。KDCはリンクまたはセッションが要
求されるたびに一対の(各方向に一つづつ)セッション
キーをこのリンクに関する二つの端末に提供しなければ
ならない。二つの端末は、それ以上のKDCの介入なしに
セッション中互いに必要な通信を行なう。
〔発明の目的〕 本発明は上述した従来技術よりも安全性の高いキー管
理を行なう通信システムを提供することを目的とする。
〔発明の概要〕
本発明の一実施例によれば、少くとも三つの端末とキ
ー分配センタ(KDC)とから成り、KDCは第1の端末から
要求があれば、各々が単一の端末とKDCとの間で共有さ
れているキー移送用キーによる暗号のもとで、第1の端
末と第1の端末により指定された第2の端末に対し、こ
れら一組の端末の間での通信のためのキー情報を与える
通信システムが提供される。この通信システムにおいて
は、このようにして与えられたキー手段は上述の二つの
端末によりキー輸送用キーとして使用されて、これら二
つの端末がデータを渡すのに使用されるデータ輸送用キ
ーを交換する。
好ましくは、キー情報は、一つは第1の端末から第2
の端末へのメッセージを暗号化するキー、もう一つは第
2の端末から第1の端末へのメッセージを暗号化するキ
ーの二つのキーから構成される。
この結果、二つの端末の間のリンクは実質的に永久的
なものとなる。一旦これが設定されると、KDCはキー情
報を更新しなければならないだけであるが、これもたま
に行うだけでよい。二つのリンクの間でデータ(ユーザ
・メッセージ)を輸送するのに使用するキーはこれらと
関連して使用カウンタを備えており、各端末はその使用
回数が所定の値に達したらこれらのキーを更新する手段
を備えている。新しいキーはキー輸送用キーによって二
つの端末の間を輸送される。(データ輸送用キーは、各
方向のメッセージの回数の相異により、リンクに沿う二
つの方向について別々の時刻に更新されるかもしれな
い)したがってKDCにかかる作業負担は実質的に減少す
る。
もちろん、キー輸送用キーには階層があって、階層の
高いキーは階層の低いキーを輸送するのに使用され、階
層の最下のキーはデータ・キーを輸送するのに使用され
ることがわかるだろう。従って、階層の最上のキーはデ
ータ・キーを輸送するが、この輸送の階層は低いキーを
使用することによって間接的に行なわれるのである。
好ましくは、システムはまた二つの端末のいずれかか
らKDCにリンクを終結させるメッセージを与え、そのメ
ッセージを送出する端末はそのリンクに関連するキーを
自身から消去し、KDCは他の端末にメッセージを送って
そのリンクに関連するキーをそこから消去させる。
本発明はまた好ましくは、各端末に、各データ輸送用
キーの利用回数をカウントする利用計数手段と、その利
用回数が所定の値に達したときそのようなキーを更新す
る手段と、更新されたキーをその関連するリンクの他端
にある端末に輸送させる手段を備えている。同じ手法は
このようなキーの階層を使用する場合キー輸送用キーに
ついて利用することも望ましい。
本発明はまた、リンクを端末により終結させる手段を
も備えている。この手段は、端末ごとに、その端末中の
リンクに関連するキーを消去する手段を備えており、リ
ンク終結の要求が端末に来るとその端末内の消去手段を
動作させまたKDCにリンク終結メッセージを送り、KDCは
メッセージを記録し、リンク終結メッセージをリンク上
のもう一つの端末に送ってその別の端末の消去手段を動
作させる手段を備えている。
ユーザが一時的に或るUAから他のUAへ切換えたいこと
がある。このユーザはそこで新しいUAを一時的に使用し
てユーザの通常のUAに送られたメッセージを読むことが
できるようにしたくなるであろう。
したがって本発明では好適には、ユーザにその端末
(UA1)から、KDCにユーザが他のどの端末(UA2)を使
用したいかを指定する使用端末変更用キー(journey ke
y)を要求することができるようにしている。KDCはこの
要求を受けるとユーザに使用端末変更用キーを発行する
とともにユーザが使用端末変更用キーに応答して訪問中
のUAを設定し、使用端末変更用キーをUA2に送り(暗号
で)、ここでUA1のアドレス・コードとともに使用端末
変更用キー・レジスタに格納される。ユーザはまた自分
自身のUA(UA1)を設定して受信したすべてのメッセー
ジを格納するとともに、これを、使用端末変更用キーの
もとで暗号にして、UA2に送ることによりUA2からの呼出
しに応答する。UA2で、ユーザは後の使用端末変更用キ
ーを使って自分のメッセージを解読する。
いずれのシステムでも、故障が時々発生する。本発明
のシステムでは、UAに故障から回復するための準備がな
されていない。というのはこうすれば暗号および暗号キ
ーのバックアップ施設を準備することになりシステムの
安全性を損うからである。しかしながら、KDCには故障
から回復する準備がなされている。これはKDCがより安
全な環境にあり、このようなバックアップを備えること
の安全性に対する危険を最少限にする安全方策を一層容
易に講ずることができるからである。
本発明によれば、KDCは好適にはそれが送受したすべ
てのメッセージの記録を、それらが作用した順序に保存
しており、KDCの状態がバックアップとして定期的に格
納される。KDCに故障があれば、KDCはまずあらかじめ格
納されている状態までバックアップされ、以前その状態
になったとき以来発生したすべてのメッセージの記録が
再生されてKDCに与えられる。またキーの発生および送
出に関連するメッセージがすべて繰返されるので、新し
いキーが各UAに送出されて、前に送出されていたがKDC
が失ったものと置き換える。
これによりKDCはその正しい現在状態となり、システ
ムが全体として一貫した状態となる。格納されたメッセ
ージを再生するだけではシステムを完全に回復できな
い。何故なら、システムのバックアップ状態が格納され
た後に発生したキーは失われているからである。したが
って、記録の再生中、キーの発生および送出に関連する
メッセージはすべて繰返されるので、新しいキーをUAに
送出して先に送出したがKDCによって失われたキーと置
き換わる。キーを変更すると或るメッセージが失われる
ことがあるが、これは失われたメッセージを取扱う設備
で処理することができる。
〔発明の実施例〕
本発明の実施例の通信システムについて、図面を参照
して説明することにする。
説明は次の部分に分けて行う。
システムの全般的構成 システムの全般的動作−キーの階層 メッセージの構造とUAの構造 UAとKDCとの連鎖 各UA間の通話 システム・メッセージ・エラーの回復 ローカル・メッセージ記憶装置 UAの変更 KDCのメッセージの記録 本発明の他の特徴は本願と同時に提出した二つの同時
係属特許出願に説明してあり特許請求されていることに
注意すべきである。
システムの全般的構成 第1図を参照して、システムは、すべて共通の通信媒
体11に接続されている複数の端末10、10A、10Bなどと、
キーの制御と分配とに責任を持つKDC12とから構成され
ている。また非電子的物理的キー分配径路13があり、こ
れによりキーはKDC12から端末10に分配されることがで
きる。各端末10は、図示したとうりのパーソナル・コン
ピュータPC14やディスクメモリ15のような従来どうりの
端末装置と、各種暗号キーである安全モジュール(secu
rity module)16とから構成されている。KDC12は安全モ
ジュール17、計算ユニット18、および複数の記憶手段19
から構成されているのでデータが失われる危険は無視で
きる。安全モジュール16と17は、二重の囲み線で示した
ように、外部の妨害に対して保護されている。
安全モジュール16は、制御目的で、PC14から制御線に
より信号も供給され、PC14への双方向データ径路を備え
ているように示してある。この後者の径路はデータをPC
14から他の端末へ送る暗号化のため安全モジュール16に
伝え、また他のモジュールからのデータの暗号を安全モ
ジュール16で解説した後にPC14へ伝えるのに使用され
る。この径路は、端末内の局所的安全化(つまり暗号化
された)ファイルのためおよびそのデータが再びアクセ
スされるとき解読するため、データをPC14から伝え、同
じPC14に戻すのにも使用される。安全モジュール16はま
た直接通信媒体11に接続されているように示してある。
実際には、通信媒体11との或る形態のインターフェース
が必要である。これは安全モジュール16でも行うことが
できるが、実際はこのためにはPC14で行うのが便利であ
る。もちろん、これに関係するPCの部分は安全モジュー
ルとの間で暗号化されていないデータのやり取りをする
部分とは論理的に別である。(また、もちろん、PCは通
常媒体11と直接交信して非安全メッセジを送受信す
る。) 安全モジュール16と17は既知の技術を使用して構成さ
れている。したがって各モジュールは暗号キーや他の秘
密の状態に保持しなければならない情報を格納するデー
タ記憶手段、データの暗号化や解読およびチェック用の
数量の計算やモジュール内で必要なその他の処理のよう
な動作を行う処理手段、および必要な動作を制御する制
御手段を備えている。各モジュールは、万一一時的に局
部的停電が起った場合にキーのような安全情報が失われ
ないように、電池も備えている。モジュールはまたモジ
ュールに対する物理的攻撃を検知し、このような攻撃が
起った場合にモジュールに格納されているすべての情報
を、敵がモジュールを開き個人の構成要素に接続してモ
ジュールから有用な情報を抜取ろうとする可能性に反撃
を加えるように、たとえばキーのような格納情報にラン
ダムなデータを重ね書きすることにより、破壊する手段
を備えている。
各種レジスタ、カウンタ、および後に説明する記憶装
置のような、モジュールの構成要素の多くは、好適には
マイクロプロセッサ、RAM、およびこれら構成要素に使
用するメモリロケーションを規定したりその機能を実現
したりする格納プログラム、により実現される。(ただ
し、乱数発生器や暗号化/解読ユニットのような或る構
成要素は種々な理由から特殊目的のハードウェアで構成
するのが都合がよい。)プログラムは少くとも一部はPR
OMまたは類似のものに格納されるので少くともプログラ
ムの一部は一旦書き込まれてしまったら変更することは
できない。したがってプログラムは格納キーまたは他の
安全情報をモジュールから読み出すことができるように
修正することはできない。
システムは通信媒体11に盗聴を行おうとする部外者20
からの攻撃に対して開いているものと仮定している。こ
のような部外者20はメッセージを傍受し、メッセージを
横取りして取出し、本物のメッセージを修正して偽のメ
ッセージを挿入しようとする。通信媒体11は分散してい
て、端末10、10Aなどのいずれかのユーザの単独制御の
もとにはない。たとえば通信媒体11は電話回線網または
格納・先送り(store and forward)手段を備えたパケ
ット・スイッチング・システムのような公共通話システ
ムの一部を含んでいることがある。したがって部外者20
の活動は本質的に検出できる性質のものではない。この
ような部外者による攻撃の可能性に加えて、通信媒体11
は、メッセージが失われたり、その順序が変るようにメ
ッセージに色々な遅れが加わったり、メッセージが重複
(「エコー」)したりというような障害を本質的に受け
やすいものと考えられている。
上記したこのような傍受の可能性や安全モジュールに
対する物理的攻撃の可能性の他に、部外者は合法ユーザ
の留守中にモジュールにアクセスしてシステムに入ろう
とする。これと戦うには、各種の技術を利用することが
できる。安全モジュールがパスワード制御を行うように
設定し、パスワードを合法ユーザが入力して、モジュー
ルはこうしてそのパスワードにだけ応答するようにでき
る。ユーザが彼の不在期間の長さを知っている場合に
は、時間ロックを使用することができる。モジュールの
内部電池により時間ロックが確実に連続的に動作する。
パスワードがモジュールにより生成され、これが合法ユ
ーザが物理的に取外し且つ保持することができるフロッ
ピーディスクに送られるようにすることもできる。
もちろん互いに多少異なる保護技術をユーザ端末の安
全モジュールおよびKDCの安全モジュールに使用するこ
とができる。それはKDCは攻撃に対してユーザ端末より
傷つきにくいようであるが、一方KDCに対する攻撃が成
功すればユーザ端末に体するよりもはるかに損害が大き
くなるからである。
システムの全般動作−キーの階層 本システムの動作はKDC12により二つのレベルで制御
される。第1に、各UAにKDCからユニークなユーザ・マ
スタ・キー(UMK)が割当てられる。このUMKは非電子式
のキー分配径路13を伝わってUAに取込まれる。たとえば
KDCを操作するスタッフの一員により、UA(の安全モジ
ュール16内)に設置される。このキーはその後UAとKDC
との間のメッセージを確立したり確認したりするのに使
用される。第2に、UAが他のUAと通話したい場合には、
KDCを使用して二つのUA間に安全なチャネルを設定しな
ければならない。リンクを要求するUAは、KDCに通知
し、KDCはこれにしたがってリンクを設定するが、その
後リンクの使用には稀にしか(LMKが更新を必要とする
とき)参加しない。第3のレベルのシステム動作も存在
し、これは単独UAにおける情報の安全格納に関するもの
である。この動作はKDCには関係しない。
キーの物理的位置とその階層、および使用する略号を
第1表に示す。各メッセージは、そのメッセージにどの
レベルの階層が関連していようと、そのメッセージのた
めだけに発生された別々のメッセージ・キーで暗号化さ
れるので、メッセージ・キーは階層になっているように
は示してない。事実、各メッセージは一対のキーを使用
して暗号化される。一つのキーは、基本キーと言うが、
階層から取られるキーであり、もう一つはそのメッセー
ジに対するメッセージ・キーである。
部外者が、同じキーで符号化した充分なメッセージを
蓄積することができれば、彼は窮極的にシステムを破っ
てキーを取戻すことができる。したがってこの理由のた
めキーを適切な時間間隔で変更し、またそれ故部外者が
何とかしてキーを手に入れたとしてもこのようなキーの
更新の結果、それは結局彼の役に立たなくなるようにす
る。ただし、UMKは物理的に分散されているのでこれら
を変更するのは困難である。したがってキーの階層シス
テムを使用するのであり、このシステムでは、各キーは
階層的にその上に位置するキーに変更がなされる前に繰
返し変更される。上位のキーを使用して下位キーの変更
に関する情報を伝達することができる。したがってKDC
は比較的稀な時間間隔でキー(新しいUMK)の物理的輸
送に関係するキー変更に関与することになるだけであ
り、このような更新は甚だしく厄介になることはない。
メッセージの構造とUAの構造 各種UAとKDCはメッセージによって互いに通信する。
これらメッセージはすべてほとんど同じ構造をしている
が、以下で示すとうり、変化がある。メッセージの基本
的な分類の一つはシステム・メッセージとユーザ・メッ
セージとに分けることである。前者はユーザからは知る
ことなく、システムにより発生されシステムにより操作
するが、後者はユーザに応答して発生され、ユーザが組
立てたデータを含んでいる。システム・メッセージは一
般にかなり短く、幾つかの異なる形式がある。ユーザ・
メッセージはその長さが非常に変動するが、実質上一つ
の形式しかない。わかるように、幾つかのシステム・メ
ッセージを時々一つのパケットに組合せることができ
る。
メッセージの一般的構造、および始発UAでその発生に
必要な、およびUAで受信した同様なメッセージに対する
応答に必要なハードウェアについて、始めにUAとKDCと
の間のメッセージを、特にこのような最初のメッセージ
を参照して、ここに説明することにする。他のシステム
・メッセージはおおむね同じ方法で取扱われるが、小さ
な相違が、たとえば関連するキー・レベルに存在する。
システムが始動するのはUMK(ユーザ・マスタ・キ
ー)がすべてのUA(ユーザ機器)に分配され設置されて
いるが他のキーは存在せず通信キーも存在しない状態か
らである。第2図を参照すると、説明すべき各種要素を
備えており、これら要素に対する一般的制御機能は制御
回路30で行われている。UAに対するUMKはキー輸送ユニ
ット31により物理的に輸送されるが、このユニットはUA
の安全モジュール16に一時的に接続されてUMKをUMKレジ
スタ32に移す。使用カウンタ40はUMKレジスタ32と関連
してUMKが使用された回数のカウントを保持する。この
カウンタは、他のすべての使用カウンタと同様に、キー
が使用されるごとにインクリメントし、最初(システム
が最初に始動するとき)は0にセットされ、関連するキ
ーが更新される(すなわち新しいキーで置き換えられ
る)ごとに0にセットされる。
UMKは、比較的永続するが、充分使用してから、新し
いUMKをKDCから物理的に輸送することによって更新する
ことができる。そのためUMKキー番号レジスタ40Aが設け
られており、これは最初0にセットされ、新しいUMKが
設置されるごとにインクリメントする。(その代りに、
UMKキー番号レジスタ40Aを、新しいUMKが設置され、KDC
が新しい値を発生するごとにキー輸送ユニット31からセ
ットすることができる。) UMKがUAに設置されるとすぐ、制御データ・キーCDKが
発生されてUAのCDKレジスタ34に格納される。ここで関
連する使用カウンタ33とCDKキー番号レジスタ33Aも設定
される。キーはランダム信号発生器36から発生される。
ランダム信号発生器は熱雑音発生器または放射性崩壊カ
ウンタのようなランダム信号源を利用してキーが確実に
ランダムになるようにしている。こうして発生したCDK
は、適切システム・メッセージにより、即座にKDCに送
られる。実際上は、このようなランダム信号発生器は比
較的ゆっくりした速さでビットを発生し、したがって
(典型的には64ビットの)次のキーのためのレジスタ
(図示せず)を備えている。このレジスタの再補充はそ
の内容が新しいキーのために取出されるとすぐ開始され
るので、次のランダム・キーが即座に利用できる。この
ランダム信号発生器はしたがって、平文の(すなわち暗
号で保護されていない)キーを持っているので、安全モ
ジュールの中に入れられている。
メッセージを更に詳細に考察すると、UAはいくつかの
区画を備えたメッセージ・アセンブリ・レジスタを備え
ており、ここでメッセージ(現在のものを含む)が組立
てられる。メッセージ・アセンブリ・レジスタ37のMB領
域はメッセージ本体あるいはデータ部であり、メッセー
ジの「意味」または「データ」(もしあれば)を入れる
のに使用される。メッセージ・アセンブリ・レジスタ37
にはその左端に、ソース区画SCとデスティネーション区
画DNの二つの部分がある。ソース区画SCにはこのUAを表
わす不変のソースコードが格納されており、デスティネ
ーション区画にはそこに送り込むのに必要なデスティネ
ーションを示すコードが入る。次の区画MTは以下で説明
するメッセージタイプ領域である。次の区画KNは、以下
で説明するキー番号およびメッセージ識別子区画であ
る。その次の区画はMK区画であって、これはメッセージ
のメッセージ・キーMKを入れるのに使用される。MB区画
の次にはメッセージ認証コード(Message Authenticati
on Code)区画MACが続き、前にはPMAC(以前のMAC)区
画があって、これは当面無視する(または0が詰まって
いると考える)ことがある。
メッセージタイプフォーマット記憶領域38は、たとえ
ばCDKが送られているというKDCへのメッセージのよう
な、システム・メッセージについての一組のメッセージ
タイプフォーマットを保持しており、この領域から適切
なメッセージタイプが選択されてレジスタ37のメッセー
ジ本体区画MBに送られる。KDCへのシステ・メッセージ
については、この記憶領域はKDCデスティネーションコ
ードをも保持する。もちろん、他のUAへのメッセージ
(ユーザまたはシステム)については、受信UAのデステ
ィネーションコードを発生しなければならない。他のUA
との通信はほとんどユーザが開始するので、受信UAのデ
スティネーションコードはユーザが決める。このコード
はそのUAへのユーザ・メッセージによって使用される他
に、もちろんそのUAへのシステム・メッセージによって
も使用される。デスティネーションのニモーニックから
デスティネーションコードを得る従来のテーブル探索シ
ステムをもちろん使用することができる。また、通信媒
体11を通してのメッセージの径路決めあるいはアドレシ
ングは通常以下に説明するインターフェース・ユニット
43により処理される。
上に注記したとうり、各メッセージは二つのキー、す
なわちキー階層から生ずる基本キーとメッセージキー、
を用いて暗号化される。メッセージ・アセンブリ・レジ
スタ37のキー番号区画KNにはメッセージに使用する基本
キーを識別するとともにメッセージをユニークに識別す
るメッセージ番号としても働く、メッセージ用組合せキ
ー番号が入っている。このメッセージ番号は、キーのキ
ー番号を階層を下りながら基本キーに至るまで連結しま
た基本キーの使用カウントも連結することによって得ら
れる。各キー・レジスタは関連するキー番号記憶部、す
なわちUMKレジスタ32についてはUMK用の40A、CDKレジス
タ34についてはCDK用の33Aを備えている。したがって基
本キーがUMKであれば、UMKキー番号レジスタ40Aおよび
使用カウンタ40の内容を使用し、基本キーがCDKであれ
ば、CMKキー番号レジスタ40A、CDKキー番号レジスタ33
A、および使用カウンタ33の内容を使用する。各キー番
号は関連キーが変るごとに1だけ増加する。したがって
所与のメッセージタイプに対して、メッセージ番号は厳
密に昇順である。何故なら各キーのキー番号は通常上昇
し、このような番号が0にリセットされることにより下
降するときは、上位の番号の増加の結果だからである。
関連する階層の分岐および階層を下る距離はメッセージ
タイプからわかる。たとえば、ここで考えているメッセ
ージタイプ「CDKがKDCに送られている」については、キ
ー階層は必然的にUMKだけしか含んでいない。
キーのキー番号は階層中ですぐ上のキーの使用カウン
トと類似しているが、この二つは必ずしも同一ではない
ことに注意すべきである。これは或る状況では階層内の
高い方のキーを使用することができ、したがってその使
用カウントが、階層中で直下のキーを変更せずに、増加
するからである。このような問題を避けるには使用カウ
ントとキー番号とをシステムを通じて別個に維持する。
(このことはまたメッセージ番号は必ずしも連続ではな
いことを意味している。) (このシステムはメッセージタイプを平文で示すMTの
内容にある程度依存している。これはもちろん、たとえ
ばMTの内容を暗号化されるものの一部に含めることによ
り修正することができる。この場合、メッセージ識別子
(すなわちキー番号)の長さ、あるいは、これに相当す
る、階層内のキーのレベルは別々に示さなければならな
い。) 一般に、各メッセージの本体はそのメッセージにユニ
ークなキー、メッセージ・キーMK、を使用して暗号化さ
れる。このメッセージ・キーはランダム信号発生器RND3
6を用いてUAにより発生され、メッセージ・キー・レジ
スタMK39に送られる。
使用する暗号システムは、DES/DEA規格または同様な
もののような、暗号化および解読に同じキーを使用する
ものであると仮定する。(「パブリック・キー」システ
ムのような、暗号化と解読とに異なるキーを用いるシス
テムを使用することは可能であるが、キー対の両方のキ
ーを格納し、また暗号化および解読のために適切な方を
使用する必要がある。)使用する暗号化技術はCBC(Cip
her Block Chaining)であり、これには初期設定ベクト
ルIVと略号キーが必要である。(これについてはたとえ
ばANSI規格X3.106−1983 DEAの動作モードに述べられて
いる。)初期設定ベクトルIVは最初基本キーのもとでメ
ッセージ・キーMKを暗号化することにより作られる。次
にメッセージの暗号キーは基本キーのもとで再びIVを暗
号化することにより得られる。メッセージ・キーMKは平
文で送られ、受信側は基本キーのコピーを備えているの
で、メッセージは、メッセージ・キーを基本キーのもと
で暗号化して初期設定ベクトルを得、再び解読キーを得
ることによって、他端で解読することができる。IVと解
読キーは次にメッセージを解読するのに使用される。各
メッセージに異なるMKを使用することは、メッセージが
ほとんど同じ形(たとえば同じユーザ・メッセージが2
回目にはおそらく時間の違いだけで送られる)で繰返さ
れても異なるキーのもとに暗号化されることになり、部
外者は暗号を侵害しようとするに際し繰返しから多くの
援助を得ることができないことを意味する。
メッセージが暗号化されたら、メッセージ・アセンブ
リ・レジスタ39のMT、KN、MK、PMAC、およびMBの各部の
内容がメッセージ認証コード計算ユニット42に送られ、
ここでMAC値が計算され、この値がメッセージ・アセン
ブリ・レジスタ37のMAC区画に送り返される。このよう
にしてMAC値がメッセージの一部として含まれる。MACは
CBC技術を用いて暗号化類似プロセス(「MAC暗号化」)
により計算される。このプロセスから得られる最終ブロ
ックがMACを形成する。「MAC暗号化」はキーと初期設定
ベクトル(IV)を用いて行われる。キー(「MAC暗号キ
ー」)はメッセージを暗号化するのに使用する基本キー
の固定された関数として得られ、IVは0とされる。ソー
スコードおよびデスティネーションコードは認証される
必要が無い。何故なら、どちらかがどうかにして変化す
れば、実際にメッセージを受けるユニット(UAまたはKD
C)が、MACチェックにより認証を行なおうとする際適格
なキーを使用していないので、メッセージを認証するこ
とができないからである。
暗号化/解読ユニット41とメッセージ認証コード計算
ユニット42はキーを平文で受取らなけばならないから、
安全モジュールの内部になければならない。同様に、UM
Kレジスタ32は、キーを平文で持っているので、これも
安全モジュールの内部になければならない。モジュール
の外部に他のキーを格納し、UMKのもとで暗号化し、必
要なときモジュール内で解読することも可能であるが、
すべてのキーをモジュール内のレジスタに平文で格納す
るのがはるかに便利である。メッセージ・アセンブリ・
レジスタ3.7ももちろんモジュールの内部にあり、暗号
化され認証される前記メッセージが侵されないようにし
ておく。
送受される各メッセージは、通信媒体11と結合するの
に必要となる低レベルのプロトコル処理を行うインター
フェース・ユニット43を通過する。特に、インターフェ
ース・ユニット43は暗号メッセージの伝達に専念するメ
ールボックス、あるいは、このような、一つはシステム
・メッセージ用の、もう一つはユーザ・メッセージ用
の、二つのメールボックスとすることができる。これに
より更に別のメールボックスを暗号化されないメッセー
ジのために使用することができ、これら暗号化されない
メッセージは平文で(たとえば安全通信システムの一部
分を形成しない端末から)送受信される。上に注記した
ように、このインターフェース・ユニットはPC14(第1
図)により好都合に実現される。
今度は受信回路を考察すると、通信媒体11からインタ
ーフェース・ユニット43を経て受信される着信メッセー
ジを受取るのにメッセージ・アセンブリ・レジスタ37が
使用される。このメッセージのメッセージ番号KNは対応
する基本キーが利用できることをチェックするために調
べられる。次にメッセージのMACが、メッセージ識別子K
Nにより「MAC暗号化」キーとして識別される基本キーを
使用して、メッセージ認証コード発生器ユニット42によ
りチェックされる。得られたMACはコンパレータ44によ
りメッセージの(MAC区画にある)MACと比較される。MA
Cの計算値とメッセージのMACとが合致すれば、メッセー
ジは本物と判定される。合致しなければ、どちらかに
(おそらくは送信雑音の結果)誤りが存在するかあるい
は改竄されているので、メッセージは捨てられる。部外
者20がメッセージを修正しようとしても、部外者には未
知のキーを用いて計算することにより保護されているメ
ッセージのMACを彼は訂正することができないので、変
更されたメッセージと一貫していなければならないメッ
セージのMACを変更することはできないであろう。
次にメッセージのメッセージ番号KNはメッセージが前
に受信されたものの繰返しではないことをチェックする
ために調べられる。メッセージ番号が合理的で前に受取
ったメッセージと関係があるかどうかを知るためにチェ
ックすることができる。(失なわれたメッセージ、重複
メッセージ、および受取り順序が不良のメッセージに関
する備えについては後に詳細に説明する。) メッセージがKN試験およびMAC試験を通過すれば、
(メッセージ本体部分MBが空でないと仮定して)メッセ
ージは解読される。このため、MK区画のメッセージ・キ
ーが(メッセージ番号により識別される)基本キーのも
とに暗号化/解読ユニット41を用いて暗号化されてIVを
得、これが再び基本キーのもとで暗号化されて解読キー
を得る。(解読用のIVおよび解読キーは暗号化用のIVお
よび暗号キーと同じである。)IVおよび解読キーは直接
暗号化/解読ユニット41に送られてMB区画の内容を解読
するのに使用される(或るシステム・メッセージ、たと
えば或る承認メッセージは「本体」を備えていない。そ
のMB区間は空である)。
それでMB区間の内容は或る種のシステム・メッセージ
であり、これは制御回路30により処理される。なおこの
メッセージがKDCから受信されているものとすると、メ
ッセージはCDKキーを備えてよい。もしそうなら、その
受信したキーはCDK1レジスタ46またはCDK2レジスタ47に
送られる。KDCのCDKが変化した場合でも以前のCDKを使
用しているメッセージが新しいCDKが受信された後でも
受信されることがあるため、一対の受信CDKレジスタが
存在する。二つの受信CDK番号レジスタがあり、これら
には(やはりMB区画から)対応するCDK番号が送り込ま
れているので、CDKで暗号化されたメッセージを受信し
たとき適切なCDKを識別することができる。CDKはそのも
とで暗号化された固定されたかなりの数のメッセージが
送出されてはじめて変えられるから、以前のCDKを二つ
以上保存しておくことは決して必要が無いと仮定しても
危険ではない。(捨てられたCDKが必要になった場合に
は何か他に根本的に悪いものがあるであろう。) UAとKDCとのリンク システムは、すべてのUA(ユーザ機器)にUMK(ユー
ザ・マスタ・キー)が設置されているが他にはキーが存
在せず通信リンクも存在しない状態で、始動する。UMK
がUAに設置されるとすぐ、UAとKDCとの間にリンクが設
置されなければならない。これを始めるには、制御デー
タ・キーCDKを発生してUAのCDKレジスタ34に格納し、シ
ステム・メッセージを(レジスタ39にあるそのユニーク
なメッセージ・キーMKを用いて)UMKのもとで暗号化し
て構成し、KDCに送信する。こうしてKDCはUAがUMKを設
置したこと、およびCDKがUAとKDCとの間のリンクの両端
に設置されたことを知るので、CDKをUAからKDCへの将来
の通信に使用することができる。KDCは承認メッセージ
をUAに送り返してCDKを受取ったことを認める。
その他に、KDCは、同じ方法で、このUA用にKDC自身の
CDKを発生し、UMKのもとで暗号化して、UAに送信する。
UAはこのメッセージを受信し、これを解読してKDCから
のCDKを得る。こうしてUAとKDCとの間に、各方向に一つ
づつの一対のCDKを用いてリンクが設置される。リンク
の両端は今後のメッセージを暗号化するために発生され
たCDKを使用するとともに、リンクの他端から受信する
今後のメッセージを解読するため他端から受信したCDK
を使用する。メッセージを送ることができる二つの方向
に対してこのように一対のキーを使用することはUA同志
の間のリンクの場合にも行われる。
UAからのCDKを備えたメッセージをKDCが受取ったこと
の承認を別々の異なったメッセージにする必要はない
が、その代りKDCからそのCDKをUAに送信するメッセージ
の一部として入れることができる。そのメッセージは今
度はUAにより承認される。したがってCDKの交換は三つ
のメッセージで行われる。すなわち、UAからKDCへのCDK
と、KDCからUAへのCDKによる受信の承認と、UAからKDC
への承認とである。
このようにUAとKDCとの間のリンクは各方向に別個のC
DKを備えた双方向のものである。この方法でUAとKDCと
の間に一旦リンクが設置されると、両ユニット間の今後
のほとんどすべてのメッセージはCDKを基本キーとして
用いる。CDKの使用が所定限度を超えると、新しいCDKが
作られ、上述のようにUMKによる暗号のもとに送信され
る。UAとKDCとの間のメッセージの流れは比較的少ない
ので、この2レベル(UMKとCDK)の階層は、UMKの変更
を稀にしか必要としないシステムき当分の間動作させる
のに充分である。事実、UMKの使用は、以下でわかるよ
うに、新しいLMKが必要なとき、UA間の或る通信にも依
存する。UAとKDCとの間のメッセージは一般にユーザ(U
A)が他のユーザ(UA)とのリンクを設置または破壊し
たいときにのみ必要であり、これは(リンクは実質的に
永続的であると見なされているので)稀に、しかもLMK
を更新する場合にしか起らない。
一般に、リンクを伝わって二つの方向に流れるメッセ
ージ(ユーザであろうとシステムであろうと)の数は互
いに同じである必要はない。したがって続いて起る新し
いCDKの個々の更新ではリンクのCDKの一方の更新しか行
なわれない。このような更新では新しいCDKを或る方向
へ送出し、これに対する承認メッセージが逆方向に送出
される。
必要ならば、システムが最初に立上げられる際必要な
すべてのリンクを設定するように、KDCをプログラムす
ることができる。これを行なうには各UAのキー輸送ユニ
ット31(第2図)にかなりの数のシステム・メッセージ
を格納する。これらシステム・メッセージは暗号化が不
必要である(このメッセージはUMKと共に輸送され、そ
の安全性は、UMKの安全性と同様に、物理的であるた
め)。もしこうしなかったなら、これらのシステム・メ
ッセージは、システムが最初に動作状態になったときKD
Cと各UAとの間で送信されなければならないことになる
ものである。これによりKDCに関するシステム・メッセ
ージの最初の数が著るしく減少する。KDCの構造はUAの
構造と同じであり、第3図にブロックの形で示してあ
る。制御ユニット50(第2図に示すUAの制御ユニット30
に対応)と一つのメッセージ・アセンブリ処理回路51が
設けられ、メッセージ・アセンブリ処理回路51にはメッ
セージ・アセンブリ・レジスタ52(メッセージ・アセン
ブリ・レジスタ37に対応)がある。暗号化/解読ユニッ
ト、メッセージ認証コード計算ユニット、およびMACコ
ンパレータの関連回路はここではメッセージ・アセンブ
リ処理回路51の一部と見なしてあり別個には図示してな
い。KDCには各UAに対してキー・レジスタと使用カウン
タの集合体が個別に設けられている。ここでは、送出の
場合KDCが使用するキー(すなわちレジスタ32、34、お
よび39、および関連する使用カウンタおよびキー番号レ
ジスタに対応する)、およびUAがKDCにメッセージを送
る場合に使用するキー(すなわちレジスタ46と47および
関連レジスタ48と49に対応する)の各集合体を、ブロッ
ク53、54、55、……で示してある。ブロック53、54、5
5、……はセレクタ回路61で制御されるマルチプレクサ6
0によりメッセージ・アセンブリ処理回路51に対して多
重化されている。セレクタ回路61の内容により、ブロッ
ク53、54、55……から適切な一つを選択して受信メッセ
ージを処理し送出すべきメッセージを準備するキーを得
る。このようにしてメッセージが受信されると、セレク
タ回路61にメッセージ・アセンブリ・レジスタ52のSC区
画の内容が入れられる。この区画に受信メッセージのソ
ースコードが入っており、従ってどのUAからメッセージ
が来たかを識別する。受信メッセージを送出したUAに応
答メッセージを送り返さなければならない場合には、セ
レクタの内容は変更されず、これによりブロック53、5
4、55……のうちの適切な一つが応答メッセージの準備
のため選択されたままになる。しかし、メッセージを別
のUAに送出しなければならない場合には、セレクタ回路
61の内容をもちろんそれに従って変えなければならな
い。これは、たとえば、リンクを設置している最中に生
ずる。UA1からKDCへのリンクの設置を要求するメッセー
ジには、そのMB区画に、UA2向けのコードが含まれてお
り、このコードは適切なメッセージをUA2に送出するた
めセレクタ回路61に転送しなければならない。二つのコ
ードはこの場合、メッセージがUA1およびUA2へまたこれ
らから送受されるので、セレクタ回路61により交互に使
用される。
UA間の通信 通信が可能なためには、UA対の間にリンクが設定され
なければならない。このような各リンクはUAがKDCに自
分と他の指定したUAとの間にリンクの設定を要請するこ
とによって設定される。KDCは、リンクに含まれること
になるいずれのUAも他のUAとの間で備えることができる
リンクの数に関する上限を超えていず、要求されたリン
クの「受信」端にあるUAがリンクの受入れを拒絶しなけ
れば、要求されたリンクを設定する。一旦リンクが組立
てられてしまうと、両端のUAは同等の立場に立っている
という点で対称である。どちらも他に対して送信するこ
とができ、あるいはリンクを切る決断をすることができ
る。
リンクを設定するプロセスを第II A表に要約してある
が、この表ではリンクを要求するUAはUA1と呼ばれ、UA1
がリンクを持ちたい相手のUAをUA2と呼んでいる。
第II A表 UA1→KDC:UA1がKDCにUA2とのリンクを要請する。
UA2←KDC:KDCがUA2に送信LMKと受信LMKを送る。
UA2→KDC:UA2が受信を確認する。
UA1←KDC:KDCがキーをUA1に送る。
一層詳細には、UA1のユーザが、UA1のユーザにより指
定された他のUAであるUA2とリンクを設定したいとき、U
A1はシステム・メッセージをKDCに送る。このシステム
・メッセージは、UA1がKDCへのシステム・メッセージに
使用する(もちろんCDK更新に関連するシステム・メッ
セージを除く)キーである、UA1のCDKキーを基本キーと
して使用し暗号化して送られる。そのメッセージ・タイ
プはUA1がリンクを設定することを要求していることを
示し、メッセージ本体はUA2のコードを含んでいる。こ
のメッセージを受信すると、KDCは一対のランダムなLMK
を作り、メッセージをUA2に送る。そのメッセージのメ
ッセージタイプはUA2にUA1とのリンクを受入れたいか否
かを尋ね、またメッセージ本体はUA1および二つのLMKの
コードを有している。これらはすべて基本キーとしてKD
CからUA2にメッセージを送るのに使用されるCDKを使用
して暗号化されている。UA2がこのメッセージを受取る
と、そのユーザはリンクを受入れるか否かの意志決定を
しなければならない。リンクが受入れられれば、メッセ
ージはUA2からKDCに送られる。このメッセージはリンク
の受入れを示しまたUA1のコードを含んでいる(UA1のコ
ードをここに入れるのは他のUAに関連する設定用メッセ
ージから区別するためである)。このメッセージはま
た、メッセージをUA2からKDCに送るのに使用されるCDK
を基本キーとして使用して暗号化される。KDCは、この
メッセージを受取ると、メッセージをUA1に送ってUA2に
よるリンクの受入れを示すとともに、メッセージをKDC
からUA1に送るのに使用されるCDKを基本キーとして使用
して暗号化したUA2のコードおよび二つのLMKを取入れ
る。この結果、二つのUAすなわちUA1およびUA2は今は互
いに直接通信するのに使用することができる一組のLMK
を共有することになる。
リンクを設立できない一定の状況が存在する。実際問
題として、UAにはこのようなリンクを維持するための限
られた容量しか設けられていない。したがってUA1が既
に可能最大数リンクを持っている場合には、他のリンク
を設定しようとすることを拒むことになる。ユーザには
残存するリンクを切ってそのUAが新しいリンクを受入れ
る容量を作り出すように選択権がある。また、UA2が既
に可能最大数のリンクを持っていることもある。そのと
きはKDCにシステム・メッセージを戻してこの旨を示
し、KDCは今度はシステム・メッセージをUA1に送って要
請したリンクが拒絶されたことを示す。(望むならば、
UA2をそのユーザにUA1がリンクを要求していることを示
し、そのユーザが現存するリンクを切って、要求された
UA1とのリンクを受入れる容量を作り出すように構成す
ることができる。)加えて、上に記したように、UA2に
このような能力があれば、そのユーザは要求されたリン
クを受入れるべきか否かを尋ねられ、もしユーザが拒絶
すれば、UA2は再びKDCにこのことを示すシステム・メッ
セージを送る。このようなシステム・メッセージをKDC
に送るとKDCは何が起ったかを示す対応メッセージをUA1
に送り、UA1のユーザは要求したリンクが拒絶されたこ
とを知る。(安全システムではユーザの要求が拒絶され
たとき、拒絶の理由が示されないのが普通である。) 第4図に、第2図に示したよりも概略的にUAの構成を
示す。メッセージ・アセンブリ処理回路はブロック75で
示してあり、メッセージ・アセンブリ・レジスタ37、暗
号化/解読ユニット41、およびメッセージ認証コード計
算ユニット42を備えている。数ブロックのキー・レジス
タおよび関連回路が存在する。ブロック70は第2図に示
す各種キー・レジスタとそれに関連するカウンタとを含
んでおり、すべてKDCとの通信に関係する。ブロック7
1、72、……は同様なキー・レジスタとカウンタを備え
ているが、各ブロックは別々のUAとの通信と関係する。
従って、これら各ブロックはどのUAがそのブロックに関
連しているかを識別するUAアドレス・コード・レジスタ
(レジスタ73)を備えている。これらレジスタには、当
該UAのユーザが他のUAとのリンクを要求して認可された
とき、および他のUAが当該UAとのリンクを要求し認可さ
れたとき、この他のUAのアドレス・コードが入れられ
る。ブロック70、71、72、……はマルチプレクサ74によ
り選択される。KDC用のブロック70の場合、選択はメッ
セージ・アセンブリ・レジスタ37のSC区画または制御回
路30により直接制御される。他のブロックの場合には、
選択は(着信メッセージに対応して)メッセージ・アセ
ンブリ・レジスタ37のSC区画にあるアドレス・コードと
各種レジスタ73の内容とを比較することにより決定され
る。送信メッセージの選択の場合には、選択はユーザが
決定する(実際にはそのアドレス・コードに対してユー
ザが定義したUA識別子を格納するPC14に格納されている
表を用いて間接的に行なわれる)。
ブロック71、72、……はUMKレジスタが含まれておら
ず、UAにはもちろん、ブロック70に入っていてキーの全
階層の最高レベルを形成する送受用の唯一つのUMKだけ
が存在することがわかるだろう。これら各ブロックは二
つの送信キーLMKとLDK、および受信キーの各レベル(こ
の場合、LDK1およびLDK2)に2つのキーを有している。
低レベル・キーLDKは比較的稀にしか(たとえば50メッ
セージおきに1回)変らないので、現在のおよび直前の
バージョン以外のものを保存しておくことは不必要であ
り、また高レベル・キーは、たとえ稀でも、変化するの
で、直前のバージョンの他に現在のものをも保存して丁
度それが変化したときに対処しなければならない。
一旦リンクが設定されると、ユーザ・メッセージをUA
1からUA2にまたはその逆に送ることができる。リンクは
明らかに一つのUAによる要求に応じて設定されなければ
ならないが、一旦設定されてしまえば、それは対象的で
ある。ユーザ・メッセージを送るには、そのプロセスは
システム・メッセージの送出とほとんど同じである。し
かし、メッセージ・アセンブリ・レジスタ37のメッセー
ジ本体区画MBは限られた長さしかない。セレクタ・スイ
ッチ76はメッセージ・アセンブリ・レジスタ37のMB区画
から暗号化/解読ユニット41への接続経路中に入ってお
り、ユーザ・メッセージに対しては、メッセージの本体
は、連続する64ビットのブロックとして、レジスタ部分
からではなくPC14から暗号化/解読ユニット41に送り込
まれ、暗号化されたメッセージは1ブロックづつPC14に
送り返される(PC14はこの点ではインターフェース・ユ
ニット43として動作する)。次にメッセージのMACが計
算されてメッセージ・アセンブリ・レジスタ37のMAC区
画に送り込まれる。メッセージの長さは、たとえば、MT
区画の一部としてあるいはメッセージ本体の最初の部分
として含まれている長さ値によって示される。
メッセージ認証コード計算ユニット42は同時に暗号器
として動作するように構成することができるので、メッ
セージ本体の暗号化が始まる前に、メッセージ・アセン
ブリ・レジスタ37中のMB区画の左側の内容をメッセージ
認証コード計算ユニット42へ与え、次にメッセージ本体
がユニット41から出て来るにつれて、1ブロックづつそ
こへ与える。これにより最後のMACがメッセージ本体の
最後の暗号化ブロックの直後に利用できる。ただし、MA
Cの計算には実際暗号化と同一のプロセスが含まれてい
るので、実際には暗号化/解読ユニット41を用いて行う
のが望ましい(それ故メッセージ認証コード計算ユニッ
ト42は物理的にユニット41とはっきり分れたユニットと
しては存在しないが、もちろんその論理的機能は明確に
分かれている)。もちろん、この場合には、MACは暗号
化と並行して計算することはできず、暗号化の後で計算
しなければならない。
ユーザ・メッセージが受信されると、受取りを確認す
る特別なユーザ・メッセージが自動的に発生され、送信
者が要求する場合には、送信元UAに戻される。このよう
な要求は適切なメッセージ・タイプMTで示される。
通信媒体11は信頼性が充分ではないので、通信媒体11
によるメッセージ喪失の可能性、二つのメッセージの順
序の反転、およびメッセージの重複に対する備えを設け
る必要がある。これら設備はユーザ・メッセージとシス
テム・メッセージとでは異なる。ユーザ・メッセージに
対する設備についてここに説明することにする。もちろ
んメッセージが失なわれたということは、以後のメッセ
ージが受信されるまでは検出することは不可能である。
これらの設備は主として、二つの受信LDKレジスタLDK
1とLDK2に関連する1対のビット・レジスタ(ビット・
マップ)77と78から構成されている。各ブロック71、7
2、……はこれらレジスタのそれぞれの組を備えてい
る。ブロック71についての組を第4A図に示す。レジスタ
77と78の長さは、ビット数で表わせば、対応する送信元
UAのLDKキー・カウンタが0にリセットされるときのカ
ウントに等しい。各ユーザ・メッセージが受信されるに
ついて、送信元UAのLDKの使用カウントに対応するビッ
ト(これはメッセージ番号KNの一部である)がセットさ
れる。受信されたメッセージに対応するビットが既にセ
ットされている場合には、メッセージを既に受取ってい
ることを示す。したがって今回受取ったバージョンは重
複しているものであり、システムによって捨てられる。
ユーザ・メッセージが受信されなければ、通常はシス
テム動作は起らない。事実、システムは、メッセージ番
号が必ずしも連続していないので、喪失されたユーザ・
メッセージを識別できるようにはしない。それ故セット
されているビットより順番が若いセットされていないビ
ットは、ユーザ・メッセージが未だ受信されていないと
いうことではなく、その番号を持つユーザ・メッセージ
が存在しないということを意味するかもしれない。
システムは、ユーザ・メッセージが脱落していること
を、次のメッセージを受取った時点で識別することがで
きるように修正することができる。これは、たとえば、
ユーザ・メッセージに、既述のメッセージ番号とともに
厳密に連続した番号をも与えることにより、あるいは各
ユーザ・メッセージに先行ユーザ・メッセージのメッセ
ージ番号を入れることにより行うことができる。ただ
し、これを行ったとしても、メッセージが受信されなか
ったことがわかったときどんな処置を取るかの決定権を
ユーザの手に残しておくのが望ましい。たとえば見掛け
上失なわれたメッセージが無くなったのではなく単に遅
れているだけでまだシステムの途中に存在しているとい
うことがある。ユーザは事態をそのままにしておくかあ
るいは後自身のユーザ・メッセージを失なわれたメッセ
ージの再発信を要求している他のUAのユーザに送るかの
いずれかを選択することができる。このような再発信は
システムに関するかぎり全く新しいユーザ・メッセージ
の送信として行われることになる。新しいメッセージが
事実前に送ったが失われたメッセージの繰返しであるこ
との指示を入れるのは送信元ユーザの義務である。
上述のとうり、ユーザ・メッセージが受信されると、
確認メッセージの送出が行われる。確認メッセージは特
別な種類のユーザ・メッセージとしてシステムによって
自動的に発生される。したがって、UAは送られたこのよ
うなメッセージの記録を保存し、この記録は受信の確認
が返送されたとき更新されるように構成することができ
る。これを実現するには、たとえばそのメッセージ・タ
イプが自動確認であることを示しているメッセージにつ
いてのみビットがセットされるビット・マップを用いた
り、あるいはこのようなメッセージのメッセージ番号の
記録を保存したりすればよい。これが行われると、ユー
ザは、確認がとられることが必要なそのユーザのユーザ
・メッセージのうちのどれがまだ確認されていないかを
つきとめ、そのユーザが適当と考えるところにしたがっ
てそれらを再送することができる。もちろ。確認の無い
ことが必らずしも元のメッセージが意図したデスティネ
ーションに到達していないことを意味するものではな
い。単にそれに対する確認のメッセージが意図するデス
ティネーションに到達していないことを意味することも
ある。したがって、ユーザに対して儀礼上の問題および
良い慣習として、正しい繰返しであるメッセージを送っ
たときは必らず、それが前のメッセージの再送であるこ
とを示すようにすることが望まれる。
リンクの最初の設定は二つのUAおよびKDCの間の各種
の可能なメッセージのシーケンスによって行うことがで
きることが理解されるであろう。このようなシーケンス
の二つの例を第II B表および第II C表に示す。
第II B表 UA1→KDC:UA1がKDCにUA2とのリンクを要求する。
UA2←KDC:KDCがUA2にUA1とのリンクを受入れるか尋ね
る。
UA2→KDC:UA2が確認し同意する。
UA1およびUA2←KDC:KDCが受信キーをUA1とUA2に送
る。
UA1およびUA2→KDC:UA1とUA2が受信を確認する。
UA1およびUA2←KDC:KDCが送信キーをUA1とUA2に送
る。
第II C表 UA1→KDC:UA1がKDCにUA2とのリンクを要求する。
UA1およびUA2←KDC:KDCが受信キーをUA1とUA2に送
る。
UA1およびUA2→KDC:UA1とUA2が受信を確認し、UA2が
受入れる。
UA1およびUA2←KDC:KDCが送信キーをUA1とUA2に送
る。
これらのシーケンスは、或る段階で、二つのメッセー
ジが同時にKDCから送出され、且つ二つのメッセージが
多かれ少かれ同時にKDCに返送されるという点で、第II
A表のシーケンスより複雑である。また、第II B表のシ
ーケンスは4段階ではなく6段階から成るので、第II C
表のシーケンスは第II B表のシーケンスより望ましい。
これら二つのシーケンスにおいて、プロセスはUA2が
提案されたリンクの受入れを拒絶すれば3番目のメッセ
ージの段階でアポートする。この事態が発生すれば、UA
2は拒絶のメッセージを3番目のメッセージとしてKDCに
送り、KDCは「リンク拒絶」メッセージを4番目および
最終メッセージとしてUA1に送る。最終の二つのシーケ
ンスの場合、各UAはその受信キーを他のUAがその送信キ
ーを受信する前に受信することに注意されたい。これは
UAは他のUAがそのメッセージを受信するのに必要なキー
を所有するまではこの他のUAにメッセージを送ることが
できないことを意味する。
第II A表のシーケンスの場合、UA1はUA2がUA1の送信
キーを受取るまではメッセージを送ることができない
が、UA2は送信キーをUA1がUA2の送信キーを(UA1の受信
キーとして)受信する前にその送信キーを得るので、UA
2はUA1がこれを解読するための必要キーを所有する前に
UA1にメッセージを送信することができる。この状況は
リンクが最初に設定されるときにのみ発生し得る。そこ
で、リンクき要求したUA1が最初にメッセージを送りた
くなることはありそうなことである。しかしUA1が解読
用キーを受取る前にUA2がメッセージを送ろうとするこ
とは起る可能性がある。その結果、メッセージは、メッ
セージ番号からそれがメッセージを解読するに必要なキ
ーを所持していないことを知ったUA1により拒絶される
ことになる。ここで一つの選択は単にメッセージを却下
して、それが実際上失われるようにすることである。メ
ッセージがシステム・メッセージである場合には、後に
説明するような処置が取られる。それがユーザ・メッセ
ージである場合には、これは上述のように処理され、こ
の送信はおそらくメッセージが受信されないことを見つ
けるためのユーザ自身のリソースに委ねられる。あるい
はUAはこのようなメッセージを格納してそれらを解読す
るためのキーの受信を待つように構成することができ
る。
リンクが確立された後、ユーザがリンクの他端のUAと
これ以上通信する必要がないことを確信していれば、ま
たはユーザが他のリンクを設置したいがこのUAが収容で
きる最大数のリンクを既に持っていてそのため現行のリ
ンクを終結して新しいリンクの余地を作ることだけしか
できなれば、このUAはこのリンクを終結させたいかもし
れない。これを達成するには、UA1はそれ自身からリン
クに関する情報をすべて削除してリンク終結システム・
メッセージをKDCに送る。KDCはこれを記録してシステム
・メッセージをUA2に送りUA2からこのリンクに関するす
べての情報を削除することを指示する。KDCは、削除が
存在しないリンクに関するものである場合にはエラーと
してリンク削除を記録する。(このような「エラー」は
リンクの両端が同時にリンクの終結を要求する場合には
自然に発生する可能性がある。というのは、他のメッセ
ージが他方のメッセージのKDCへの到達前にKDCに到達し
てリンクを終結するからである。) システム・メッセージ・エラーの回復 上に記したように、メッセージは種々な経緯で「失な
われる」ことがあり、また(通信媒体11のくせによるか
または部外者が記録しては故意に再生することにより)
重複することがある。ユーザ・メッセージに関しては、
このような事態を処理する方法について上述した。シス
テム・メッセージに関して、このような事態を処理する
方法を説明しよう。
システム・メッセージの場合、失なわれるものが皆無
で且つ正しい順序で処理されることが肝要である。UAの
各リンク(すなわちKDCとの永続リンクおよび他のUAと
の各リンク)毎に、そのリンク上に送出される(単なる
確認とは別の)システム・メッセージはすべて格納され
る。これらは以下の二つの状況で記憶装置から除去され
る。すなわちそれらに対する確認メッセージを受信した
とき、またはそれらが冗長になったときである。新しい
システム・メッセージが送出されるたびに、新しいパケ
ットが準備され、このパケットに、記憶装置に入ってい
るすべてのシステム・メッセージが新しいシステム・メ
ッセージをパケットの最後に置いて正しい順序で入れら
れる。このようにして新しいシステム・メッセージが発
生するごとに、未確認でかつ冗長でない古いシステム・
メッセージがすべてその前端に付加され、すべてのメッ
セージ(つまり、古いメッセーシプラスこの新しいメッ
セージ)はパケットとして送られる。それ故受信側で
は、新しいシステム・メッセージが発生するごとに、す
べての未確認システム・メッセージの新しい組合せを正
しい順序で受信する。そこで、そのパケット中のどのメ
ッセージの前にもすべての未確認かつ非冗長メッセージ
が正しい順序で並んでいるので、受信側は必然的にシス
テム・メッセージを正しい順序で必らず処理することに
なる。もちろん、受信側はその時点までにこれらのシス
テム・メッセージのうちのあるものを含んだより以前の
パケットを受取ったことがありそのシステム・メッセー
ジについては既に処理がなされていたかもしれない。受
信側は、リンクごとに、処理を行なった最後のメッセー
ジの記録(メッセージ番号による)を保存しているの
で、重複しているメッセージ、特に今受取ったパケット
に入っているそのようなすべてのメッセージを含めて、
すべて無視する。受信側は新しいパケットが届くとすぐ
そのパケットに入っているメッセージへの応答を開始す
る。
確認メッセージはメッセージの受信を確認する以外の
何者でもない単なる確認メッセージであることがあり、
あるいは或る情報を運ぶ普通のシステム・メッセージで
あることもある。後者は着信システム・メッセージに応
答して発せられるので、その先行メッセージを暗黙裡に
確認する。システム・メッセージはその効果が後のもの
により取消されると冗長なものになる。たとえば、リン
クの設定を要求するメッセージはそのリンクの解消を要
求する後のメッセージにより取消される。
厳密に言えば、重複メッセージは完全に無視されるの
ではない。重複メッセージが検出されると、単なる確認
が送信側に送り返されるが、このメッセージにはそれ以
上の処理が加えられることはない。これは通常のメッセ
ージの確認がシステム内で失なわれてしまっていること
があるからである。仮に送信側がそのメッセージに対す
る確認を以前に受取っていれば、そのメッセージは再送
されなかったであろう。そこで、もし重複メッセージの
確認が送られなければ、送信側はそれを繰返して送り続
けるであろう。だが、送信側がメッセージに対する確認
を受取れば、確認メッセージのメッセージ番号以上のメ
ッセージ番号を持つすべてのメッセージを再送記憶装置
から安全に削除することができる。何故なら、メッセー
ジは、すべての先行メッセージが順当に受信されている
場合に限り、受信側によって受信され、処理され、且つ
確認されることができるからである。
これにより、すべてのシステム・メッセージが正しい
順序で確実に処理を受けることが保障され、また新しい
メッセージが発生されるごとに行われる自動再送信によ
り最後のメッセージがより以前のメッセージの再送によ
って遅れることがないということが保障される。その他
に、メッセージを再送する第2の方法がある。メッセー
ジ・パケットの送信後新しいメッセージを発生せずかつ
確認も受取らないままに充分長い時間が過ぎたら、記憶
装置95に記憶されている現メッセージのパケットが自動
的に再送される。
このようなパケットを構成することにより、メッセー
ジは常に正確に同じ形で送信される。ただし、メッセー
ジは現在の基本キーのもとで再暗号化される。パッケー
ジ全体をひとつのユニットとしてまた単一のメッセージ
として送信することが可能である。ただし、その中の個
々のメッセージが解読されるにつれて処理を受けること
ができるような形で送ることが望ましい。そうすれば、
メッセージが中断されたり傷つけられたりした場合、そ
の一部分だけが失われ、受信側は最新の状態に向かって
途中まで進んだ状態に居ることができるからである。こ
れが意味しているのは、パッケージの認証は、ここの事
態は発生する可能性はあるがパケットはなお妨害から保
護されていて部外者がシステムを偽のメッセージに応答
するようにだますことができないように設計しなければ
ならないということである。
パケットのフォーマットは、メッセージ・アセンブリ
・レジスタの左端(SC、DN、MT、KN、およびMKの各区
画)にある通常の「ヘッダ」情報で始まる。MT区画の内
容はメッセージが二つ以上のメッセージのパケットであ
ることを示すインジケータ・ビットを含んでいる。KN区
画のメッセージ番号は今のメッセージのメッセージ番号
である(このメッセージはパケットの最後にあるも
の)。パケットの最初のメッセージは格納されているメ
ッセージである。このため、パケットに入っているすべ
ての格納メッセージに関しては、ソースコードやデステ
ィネーションコードは必要がなく、特別なMKも必要がな
い。したがってそれは省略形メッセージとして組立てら
れ、そのメッセージタイプ(もしこれが一連の格納メッ
セージの最後のものでない場合にはインジケータ・ビッ
トが付いている)、メッセージ番号KN、およびメッセー
ジ本体MB(もしあれば)から構成される。またPMAC区画
を備えており、これは(単一メッセージに関して)空白
である。このように組立てられたパケットのMACが計算
されてMAC区画に入れられる。
パケットの次の区画を今度は、次の格納メッセージ
を、あるいは格納メッセージがもうすべて入れられてし
まった場合には、現行メッセージを、取入れて組立て
る。このため、パケットの前のメッセージに対して計算
したばかりのMACをPMAC(前のMAC)部分に入れ、このPM
AC値を暗号化し、パケットの現在の部分に取入れられて
いるメッセージについて計算された新しいMACによりカ
バーされているフィールドに入れる。このプロセスは現
メッセージがパケットの最終部分を形成するまで続けら
れる。現メッセージのMB区画にはMT区画およびKN区画は
含まれない。なぜならこれらは既にパケットのヘッダに
入っているからである。) このパケット構造ではパケットを1メッセージづつ解
体し、解読し、処理することができることが明らかであ
る。その上、個々のメッセージおよびそのシーケンスは
ともにMACのシーケンス鎖によって認証される。各MACは
それに先行するメッセージの完全性を確認し、各メッセ
ージはそれに入っている前のメッセージのMACを所持し
ているので、シーケンスの変化(メッセージの順序変
え、削除、または繰返し)があれば、シーケンスを逸脱
したメッセージが届くとすぐにそのMACはチェックを通
らなくなることになる。
受信側は、パケット中の個々のメッセージに個別に応
答する。ただし、応答メッセージはどれも(単なる確認
メッセージ以外の)即座には送出されずにメッセージ記
憶装置に入れられ、その着信パケットが完全に処理され
てしまってはじめて、これらの応答メッセージは単一パ
ケットとして(古い未確認メッセージとともに)送出さ
れる。(もしこうしないならば、これら応答は、一連の
より長いパケットとして、繰返し送出しなければならな
くなる。) 上記のように、パケットの長さは、メッセージを鎖状
に接続すること、および各メッセージのMTに、以後に続
くメッセージが存在するか否かを示すビットを入れるこ
とにより黙示的に示される。これによりもちろん受信側
は、MB本体にそのMTとKNが入っている再送信メッセージ
と、パケットのヘッダにそのMTとKNが入っている現メッ
セージ(パケットの最後のメッセージ)とを区別するこ
とができる。代りの技法は、ヘッダ中に、たとえばMT区
画またはKN区画の一部としてパケット長さ値(メッセー
ジの数)を入れることである。
新しいシステム・メッセージが発生するごとに未確認
システム・メッセージのすべてをこのように再送信する
方式では、不必要な再送信は非常にわずかしか起らな
い。再送信が不必要であると正当に言うことができるの
は、メッセージは正しく受信されたがその確認を元のUA
が未だ受取っていない場合か、あるいはその確認が道に
迷ってしまった場合だけである。代案としては、受信側
が受取った最後のメッセージのメッセージ番号の記録を
とっておき、新しいメッセージがその番号の対の順番の
メッセージ番号を持っていないことがわかった場合に、
失なわれたメッセージの再送信の要求を送ることであ
る。しかしこの技法は厳密に連続したメッセージ番号を
使用することを必要としており、また受信側が現メッセ
ージを処理することができる前に二つのメッセージ伝達
(要求と応答)をするという遅れを生じ、これら「回
復」メッセージが道に迷った場合には、なお更に遅れ
る。システム・メッセージは比較的短く、それ故1つの
パケットにより未確認メッセージを皆再送信する費用は
高価になりそうもないということも注目しておいてよ
い。これはユーザ・メッセージの場合とは対照的であ
る。ユーザ・メッセージの長さは非常にばらつきやす
く、且つ非常に長いことがあるからである。
パケットは(単一のユーザ・メッセージと比較して)
かなりのまた可変の長さを持っているから、パケットは
再送信のためユーザ・メッセージと大まかには同じ方法
で準備され、連続するブロックは暗号化、解読ユニット
に送り込まれ、暗号され認証されたメッセージは、発生
されるに従ってインターフェース・ユニット43として働
くPC14に蓄積される。
これらの動作に関係する装置を第3図、第4図、およ
び第5図に示す。端末(UAまたはKDC)には、その端末
からの各リンク毎にそれぞれのシステム・メッセージ格
納ブロックがある。すなわち、KDC内にはすべての端末U
A1、UA2、UA3、……へのリンクについてブロック85、8
6、87……(第3図)があり、また各UA端末にはKDCへの
リンクとリンクされている端末UA−1、UA−II、……と
に関するブロック90、91、92、…(第4図)がある。こ
れらブロックはもちろんメッセージアセンブリ処理回路
51または75にマルチプレクサ60または74を介して接続さ
れている。第5図はブロック85の主要構成要素を示す。
他のブロックは実質的に同じである。未確認システム・
メッセージを格納する記憶装置95があり、これは幾分FI
FO(先入れ先出し)記憶装置のように動作するが、非破
壊読出しが行なわれる。システム・メッセージは上から
この記憶装置95に送り込まれ、それらが削除されるまで
着実に下に移っていく。記憶装置95の中のメッセージに
はそれと対応してそのメッセージ番号KNが区画96に格納
されている。レジスタ97は最後に確認されたメッセージ
のメッセージ番号PXKNを格納しており、これが変ると記
憶装置95中のメッセージは、メッセージ番号PXKNと一致
するメッセージ番号を区画96中に有しているメッセージ
まで上向きに削除される。新しいシステム・メッセージ
が用意されつつあるときは、なお記憶装置95に入ってい
る古いメッセージはすべて上向きに、すなわち最も古い
ものが最初に、非破壊的に読出される。次に新しいメッ
セージが記憶装置95の最上部に入る(また既に記憶装置
95に入っているメッセージはすべて押し下げられる)。
事実には、キー階層内の基本キーのレベルによって、
二つのクラスのシステム・メッセージがあり、それらは
シーケンスの異なるメッセージ番号KNを有している。し
たがって記憶装置95とレジスタ97は二重になっているの
で、二つのクラスのメッセージは別々に格納され、ブロ
ック85は二つのクラスのための二つの区画AおよびBか
ら構成されている。高位の基本キー(すなわち階層の高
い基本キー)のメッセージはすべてパケット内で低位の
基本キーのメッセージに先行する。このことはメッセー
ジは元々発生した順序と厳密に同じシーケンスでは送ら
れないということを意味する。ただし、この影響は幾つ
かの新しいキーがそうでない場合よりわずかに早く到達
することがあるということだけである。
ブロック85はまた、システム・メッセージが最後に送
り出されてから経過した時間を測定するのに使用される
タイマTMR98を有し、このタイマ98の時間が予め設定さ
れた限界を超過したときまだ確認されていないシステム
・メッセージの再送信をトリガする。このタイマ98はパ
ケットが送り出されるごとに0にリセットされる。
各UAのブロック90、91、92、……は安全モジュールに
入っていて、再送信を待っているメッセージのリストを
考えられ得る部外者から安全に守るようになっている。
ただし、KDCでは、対応するブロック85、86、87、……
は安全モジュールには入っていなくて、色々な理由のた
め、支援用記憶装置に入っている。KDCにはすべてのUA
とのリンクがあるので、格納されているメッセージの数
はUAのものよりはるかに多いと思われる。格納メッセー
ジの喪失(たとえば計算ユニットコンピュータ)18の故
障による)は、(後に説明するように)KDCはバックア
ップおよび復元の手続を所持しており、またKDCはUAよ
り部外者による攻撃が少いと思われるので、UAでの対応
する喪失ほど重大ではない。支援用記憶装置に格納され
ているこのKDC情報は、偶然のまたは故意の変造に対し
て、次に説明するローカル・メッセージ格納技法によっ
て保護されている。
ローカル・メッセージ記憶装置 UAにメッセージを安全に格納できることが望ましい状
況が存在する。したがってユーザは、ユーザ・メッセー
ジが受信されたときそこにいないかあるいはそのメッセ
ージを保存しておきたいかのいずれかのため、受信した
ユーザ・メッセージを安全に格納しておきたいことがあ
る。またユーザは、UA内に、自分が発生したユーザ・メ
ッセージのような資料を安全に格納したいことがある。
本システムはこれら両方の設備を提供する。
受信したメッセージをUAに格納する場合には、受信し
たときの形、すなわち解読していない形でディスクメモ
リ15等の支援用記憶装置に格納する。このことは、部外
者が格納メッセージにアクセスすることができたとして
も、通信媒体11に載っているメッセージを傍受して得る
ことができた以上の知識を得ることができないこと、特
に、通信媒体11に現われたままのメッセージを支援記憶
装置に格納されているメッセージと比較しても何も得る
ところがないことを意味する。ただしユーザはもちろん
自分自身で後にメッセージを解読することができなけれ
ばならない。したがって、メッセージにはそれを暗号化
したLDKが付属している。このLDKは、キーが安全モジュ
ールの外側に平文で存在することを許容され得る状況は
ないので、それ自身暗号化された形になっていなければ
ならない。それでこれはキー階層でその上にあるLMKの
もとで暗号化されて格納されている。そのLMKも、再び
暗号化された形の、階層の最上部にあるLMKのもとで暗
号化された、メッセージに付属している。LMKそれ自身
は、階層の最上部にあるので、暗号化することができ
ず、メッセージの一部として平文で格納することもでき
ない。その代り、メッセージが格納される時にこの識別
番号を付加する。
キーは二つの異なる形で現われるべきではないという
ことが重要である。各キー(UMKは別)は基本キー(そ
の上位のキー)およびメッセージ・キーのもとで暗号化
されて受信された。キーは安全モジュールのブロック7
0、71、72、……に平文で(すなわち解読されてから)
格納される。各キーはそのため受信されたときの暗号化
された形で、その暗号化に使用されたMKとともにこれら
のブロックに格納される。キーがメッセージに付加され
ると、格納されている暗号化された形態および関連する
MKが付属部を形成するのに使用される。
UAはUMK履歴記憶装置UMKH105(第4図)を備えてお
り、これには現在のおよび過去のUMKがそのシリアル番
号(識別番号)とともに格納されている。新しいUMKがK
DCブロック70に入ると、それはUMKH履歴記憶装置105に
も入る。メッセージへの一連の付属部を発生するには、
各種レベルのキーを今度はメッセージ・アセンブリ処理
回路75の中で、それぞれその上位のキーのもとで暗号化
し、最後に現UMKのシリアル番号をブロック70のUMKキー
番号レジスタ40A(第2図)から取る。(UMK履歴記憶装
置105の容量は有限であるから、一杯になれば、過去の
古いUMKがそれから取出されて、もっと最近のUMKのもと
で暗号化された上でディスクメモリ15に格納される。) 格納されたメッセージを回復するには、付属部を一つ
づつ第4図の回路に送る。この際、最初のものはUMK履
歴記憶装置105から適切なLMKを得るのに使用するUMKの
シリアル番号であり、次の付属部はUMKのもとで解読し
てLMKを得るためにメッセージ・アセンブリ処理回路75
に送られ、最後の付属部はこのLMKのもとで解読してLDK
を得るためメッセージ・アセンブリ処理回路75に同様に
送られ、次にメッセージ自身がLDKおよびメッセージに
埋込まれているMKのもとで解読してメッセージの本体を
得るためメッセージ・アセンブリ処理回路75に送られ
る。
実質的に同じ技法がローカルに発生されたメッセージ
を安全に格納するのに使用される。安全格納キーブロッ
クSSK 107は、ブロック70、71、72、……と同様である
が、ローカル・キー階層PMK、PSMK、およびPDKのための
一組のキー・レジスタを備えている。(安全格納キーブ
ロック106は、「送信」キーに対応するキーだけしか備
えていないので同様なブロックより小さく示してある。
明らかに、「受信」キーに対応するキーを格納する必要
性はない。)メッセージを格納するには、メッセージ
を、メッセージ・キーKMと現行のPDKとを用いて通常の
方法で暗号化する。これにより、メッセージには、PSMK
のもとで暗号化されたPDK、PMKのもとで暗号化されたPS
MK、現行UMKのもとで暗号化されたPMK、および現行UMK
のシリアル番号が皆格納のため付加される。メッセージ
は他のUAから受取られ安全に格納されたメッセージに関
して行なうのと実質的に同様にして解読することにより
回復することができる。
システムはまた、他のUAから受信したものであろうと
ローカルに発生したものであろうと、ローカルに格納さ
れているメッセージの認証を行う。このような認証の目
的はローカルに格納されているメッセージを、もちろん
安全モジュール16ではないがPC14やディスクメモリ15等
の記憶装置(第1図)にアクセスすることができる部外
者による妨害から防護することである。このような部外
者はメッセージを削除し、メッセージを変更し、あるい
はメッセージを挿入しようとするかもしれないからであ
る。
ディスクメモリ15等の記憶装置(またはPC14の内部記
憶装置)には長さがいろいろで且つ記憶装置全体に渡っ
ていろいろなロケーションに配置された各種のメッセー
ジ111(第6図)が入っている。(もちろん個々のメッ
セージは、ここに述べた原理に影響を与えることなく、
連続しないページの系列に普通の仕方で配置することが
できる。)これらメッセージと関連してディレクトリ11
2がある。このディレクトリ112は区画113に各メッセー
ジの識別用タイトルとディスクメモリ15の中のメッセー
ジのロケーションをリストするものである。メッセージ
がディスクメモリ15に入ると、それに対応するMACがメ
ッセージ認証コード計算ユニット42により、メッセージ
自身がそのもとで暗号化された基本キーを用いて、計算
される。このMACはディレクトリ112の区画114に、区画1
13に格納されているメッセージのタイトルとロケーショ
ンに関連付けて格納される。その他に、ディレクトリ11
2のMACの全体のリストが特殊メッセージとして取扱わ
れ、これらMACに対してグローバルMACすなわちスーパー
MACが計算される。このグローバルMACは安全モジュール
16の内部に設置されたグローバルMACレジスタ115に格納
される。
ディレクトリ112にリストされているところの格納さ
れているファイルの個々の完全性をチェックしたい場合
には、そのMACを計算し、ディレクトリ112に格納されて
いるMACと比較する。これらMACは暗号化キーを用いて計
算されるので、部外者がファイルを修正しようとして
も、修正したファイルの正しいMACを作ることができな
い。したがってディレクトリ112のMACはその個々のファ
イルを認証する。ファイルの全セットを完全性をチェッ
クしなければならない場合には、ディレクトリのMACの
グローバルMACを計算し、安全モジュール16の中のMACコ
ンパレータ44(第2図)により、グローバルMACレジス
タ115に格納されているグローバルMACと比較する。部外
者がディレクトリ112の何らかの仕方で、たとえばエン
トリを削除したり、エントリの順序を変更し、あるいは
エントリを挿入したりして、変更すれば、グローバルMA
Cが変ることになる。そしてグローバルMACは安全モジュ
ール16に格納されていてこれには部外者がアクセスする
ことができないから、弍外者はそれを変更することがで
きず、変造されたディレクトリのグローバルMACはグロ
ーバルMACレジスタ115に格納されているグローバルMAC
と合わないことになる。(MACはすべてキーを用いて計
算されているので、部外者は変更されたファイルのグロ
ーバルMACを計算することはできない。しかし仮にグロ
ーバルMACにアクセス可能であったとすれば、部外者は
前のバージョンによりファイル全体およびグローバルMA
Cを交換することができる)。
もちろん、個々のファイルのMACを格納されたファイ
ルの一部として格納することができることは理解される
であろう。この場合、グローバルMACの計算にあたって
はディレクトリ112を使用して、そのメッセージから格
納されている各MACが探し出される。また、ディレクト
リ112が充分大きければ、これを区画に分割して、区画M
ACをその区画で識別されるメッセージのMACから各区画
について計算し、グローバルMACを区画MACから計算する
ようにすることができる。区画MACは平文で格納するこ
とができる。この場合これら区画MACは部外者が修正す
ることができるが、そのような区画MACはその区画に関
連するメッセージから計算したMACとうまく合致しない
か、あるいはそのグローバルMACがグローバルMACレジス
タ115に格納されているグローバルMACとうまく合致しな
いことになる。ディレクトリ112はもちろんディスクメ
モリ15に設置することができる。グローバルMACを安全
モジュール16のレジスタに格納するかわりに、これを安
全モジュール16の外部に格納することができる。ただ
し、これは格納された情報のすべてを以前のバージョン
で検出されることなく置換えることができないという上
に記した危険を冒すことになる。
ユーザが格納されているメッセージを、たとえばメッ
セージを変更し、新しいメッセージを追加し、あるいは
メッセージを削除して、変更したい場合には、付与され
た、すなわち加えられたメッセージのMACを計算してデ
ィレクトリ112に格納するか、あるいはディレクトリ112
から削除されたメッセージのMACおよび新しいグローバ
ルMACを計算してグローバルMACレジスタ115に格納する
かしなければならない。これには新しいMACの計算(こ
れはメッセージの内部の認証に必要である)とメッセー
ジMACからの新しいグローバルMACの計算が行なわれるだ
けである。変更されないメッセージのMACは不変であ
り、これらメッセージの処理は不要である。
UAの変更 ユーザがUAを彼自身のUAであるUA1から別のUAであるU
A2に一時的にまたは永久的に変えたいことがある。一時
的に変えたい場合は、ユーザは自分の通常のUAに向けら
れたメッセージを読むのに一時的に新しいUAを使用する
ことができるようにしたくなる。また永久的に変えたい
場合は、ユーザは自分の古いUAから新しいUAに全てを転
送したくなる。これら二つの場合の取扱いは異なる。
前者の場合では、ユーザはKDCに、他のどの端末を使
用したいかを指定して使用端末変更用キー(journey ke
y)を要求する。KDCはこれを受けると直ぐユーザに使用
端末変更用キーを発行し、ユーザが訪問して使用端末変
更用キーに応答するUAを設定し、使用端末変更用キー
(UM2のUMKおよびCDKのキー階層のもとで暗号化されて
いる)をUA2に送り、ここでUA1のアドレス・コードとと
もに使用端末変更用キー・レジスタ107に格納される。
ユーザはまた受信したすべてのメッセージを格納すると
ともにUA2からの呼出しに対してそれらをUA2に送って応
答するため、彼自身のUAを設定する。このメッセージの
転送はUA1がメッセージを解読し、これを再び使用端末
変更用キー(通常のランダムなMKとともに)のもとで暗
号化してから、修正したメッセージをUA2に送ることに
より行われる。UA2では、ユーザはメッセージを解読す
るのに彼の使用端末変更用キーを使用する。この技法で
は同じメッセージを相異なる複数キーのもとで暗号化し
て送信するということがあり、また所与の使用後は旅行
キーを更新できないので、利用に当っては注意しなけれ
ばならない。また、後者の場合では、ユーザのUMKをUA2
に物理的に搬送し、そこに設置しなければない。(実
際、以前の全てのUMKも同様に設置して、安全に格納さ
れているメッセージを転送することができる。)次にKD
Cとのリンクを上述のように確立し、次に他のUAとのリ
ンクを確立する。UA2に既に格納されてたキーはすべ
て、もちろん、新しいユーザのUMKが設置される前に破
壊され、UA1の中のキーもすべて同様に破壊される。UA1
に安全に格納されているすべてのキーは、更に暗号化さ
れることなく、すなわち暗号化されたメッセージの格納
形態プラスUMKのシリアル番号までの付属部という形
で、UA2に送られるので、新しく設置されたUMKのもとで
UA2において解読することができる。
KDCのメッセージの記録 UAでは、キーに対する、すなわち安全モジュールの内
容に対するバックアップ・システムが存在しない。これ
は安全モジュール外で利用できるキーを設けることは重
大な弱点となるからである。UAで起きた障害はUAを再起
動させることによってのみ回復できる。KDCは各UAに対
するUMKの完全なセットを保持しており、適切なセット
をキー分配径路13を通して送り且つ設置することができ
るので、安全に格納されているメッセージをすべて読取
ることができる。そこでUAを再設して安全に格納された
メッセージを読取ることができるようにしなければなら
ない。次にUAはまずKDCとのリンクを、次に接続したい
他のUAとのリンクを再び確立しなければならない。(UA
リンクの最初の設定の場合のように、この動作のうちの
多くの部分はキー分配径路13を通ってKDCから伝えられ
た一組の格納メッセージにより行うことができる。)そ
の障害期間中それに向けられたメッセージはすべて失な
われており取出し不能になる。自分のメッセージが失な
われてしまったユーザは、故障したUAが回復し、そのリ
ンクが再確立された時点で、そのメッセージを再送した
いか否かを決定する責任がある。
KDCの故障を処理する設備はこれとは異なる。KDCは自
分が送受したすべてのメッセージの記録つまりログを、
それが処理を受けた順序に、保持している。このログは
支援用の記憶手段19に保持されている。また、KDCの状
態が記憶手段19に定期的に格納される。KDCに故障が発
生すると、オペレータはKDCを以前に格納された状態ま
で記憶手段19から回復しながらバックアップしなければ
ならない。次にそのとき以後に発生したすべてのメッセ
ージのログをKDCに再生して戻す。これによりKDCがその
正しい現在の状態にまでなる。ただし、その時間中にKD
Cが発生し送出したキーはすべて失なわれている。した
がって、ログの再生中、キーの発生および送出に関係し
ているメッセージは反復され、したがって新しいキーが
UAに送出されて、先に送出されたがKDCでは失なわれた
ものと置き換わる。このようにしてシステム全体が一貫
した状態に回復する。
〔発明の効果〕
以上詳細に説明したように、本発明によれば、キーの
階層構造をとることにより極めて安全性の高い通信シス
テムが得られる。
【図面の簡単な説明】
第1図は本発明の一実施例の全体的構成を説明するため
の図、第2図は第1図中の端末の主要部の構成を説明す
るための図、第3図は第1図中のKDCの主要部の構成を
説明するための図、第4図は第1図中の端末の他の主要
部の構成を説明するための図、第4A図は第4図の部分的
構成を示す図、第5図は第3図中のKDCにおける再送動
作を説明するための図、第6図は第1図中の端末の他の
主要部の構成を説明するための図である。 10,10A,10B:端末 11:通信媒体 12:KDC 13:キー分配径路 14,14A:PC 15,15A:ディスクメモリ 16,16A,17:安全モジュール 18:計算ユニット 19:記憶手段 20:部外者 30:制御回路 31:キー輸送ユニット 32:UMKレジスタ 33,40:使用カウンタ 33A:CDKキー番号レジスタ 34:CDKレジスタ 36:ランダム信号発生器 37:メッセージ・アセンブリ・レジスタ 38:メッセージタイプフォーマット記憶領域 39:MKレジスタ 40A:UMKキー番号レジスタ 41:暗号化/解読ユニット 42:メッセージ認証コード計算ユニット 43:インタフェース・ユニット 44:コンパレータ 46:CDK1レジスタ 47:CDK2レジスタ 48,49:CDK番号レジスタ 50:制御ユニット 51:メッセージ・アセンブリ処理回路 52:メッセージ・アセンブリ・レジスタ 60:マルチプレクサ 61:セレクタ回路 73:レジスタ 74:マルチプレクサ 75:メッセージ・アセンブリ処理回路 76:セレクタスイッチ 77,78:ビット・レジスタ 95:記憶装置 97:レジスタ 98:タイマ 105:UMK履歴記憶装置 106:安全格納キー・ブロック 107:使用端末変更用キー・レジスタ 111:メッセージ 112:ディレクトリ 115:グローバルMACレジスタ
───────────────────────────────────────────────────── フロントページの続き (72)発明者 グレーム・ジエイ・プラウドラ イギリス国イングランド・ビーエス12・ 6エクスキユー・ブリストル・ストー ク・ギフオード・ミード・パーク・タツ チストーン・アベニユー5 (56)参考文献 特開 昭61−82547(JP,A) D.W.Dauies,W.L.Pr ice著、上園忠弘監訳「ネットワー ク・セキュリティ」日経マグロウヒル、 (昭和60年)、p.133〜159

Claims (6)

    (57)【特許請求の範囲】
  1. 【請求項1】複数の端末とキー分配センタとを有し、 前記キー分配センタは、前期複数の端末中の第1の端末
    からの要求に応答して、前記第1の端末に対して、また
    前記第1の端末によって指定された前記複数の端末中の
    第2の端末に対して、前記第1の端末と前記第2の端末
    が互いに通信するために使用するキー情報を与え、 前記複数の端末の各々は固有のキー移送用キーを有する
    とともに、前記キー分配センタは前記複数の端末の各々
    の固有のキー移送用キーを有しており、 前記キー分配センタは前記第1の端末と前記第2の端末
    に前記キー情報を与えて前記第1の端末と前記第2の端
    末の間にリンクを張るに当たって、前記キー情報を送り
    先の端末の前記固有のキー移送用キーを用いて暗号化す
    る 通信システムにおいて、 前記第1の端末及び前記第2の端末は前記キー分配セン
    タから与えられたキー情報を用いてキー輸送用キーを与
    え、 前記キー輸送用キーは前記第1の端末と前記第2の端末
    によって作成される一連のデータ輸送用キーを前記第1
    の端末と前記第2の端末の間で送るために使用され、 前記一連のデータ輸送用キーの各々は前記第1の端末と
    前記第2の端末の間でデータを送るために使用されると
    ともに、所定の寿命が尽きた後は次のデータ輸送用キー
    が使用される ことを特徴とする通信システム。
  2. 【請求項2】前記キー情報は前記第1の端末から前記第
    2の端末へのメッセージを暗号化する第1のキーと前記
    第2の端末から前記第1の端末へのメッセージを暗号化
    する第2のキーを含むことを特徴とする請求項1記載の
    通信システム。
  3. 【請求項3】前記端末の各々は 前記データ輸送用キーの使用回数を数え、所定回数に達
    したことに応答して次の前記データ輸送用キーを得るカ
    ウント手段と、 前記次のデータ輸送用キーを前記キー輸送用キーを用い
    て前記リンクの他端の前記端末へ送る手段 とを設けたことを特徴とする請求項1または2記載の通
    信システム。
  4. 【請求項4】前記端末が前記リンクを解除する手段を設
    け、 前記解除する手段は、 前記端末に設けられ、当該解除されるリンクに関連する
    キーを抹消する手段と、 前記端末に設けられ、当該端末中の前記抹消する手段を
    付勢するとともに、前記キー分配センタに対してリンク
    解除メッセージを送出する手段と、 前記キー分配センタに設けられ、前記リンク解除メッセ
    ージに応答して、対応する前記リンクの他端の前記端末
    にリンクが解除されたことを通知する手段 を設けたことを特徴とする請求項1、2、または3記載
    の通信システム。
  5. 【請求項5】前記キー分配センタは、 前記複数の端末の一つの端末から与えられた前記一つの
    端末のユーザによる他の端末への使用端末変更のための
    使用端末変更用キーの要求に応答して、前記使用者に対
    して前記使用端末変更用キーを与え、 前記他の端末に対して前記使用端末変更用キー及び前記
    一つの端末のアドレスコードを与えて保持させ、 前記一つの端末を設定して受信メッセージを全て記憶す
    るとともに前記他の端末からの呼び出しに応答して、前
    記使用端末変更用キーによって暗号化した前記記憶され
    たメッセージを前記他の端末へ送らせる ことを特徴とする請求項1、2、3、または4記載の通
    信システム。
  6. 【請求項6】前記キー分配センタは、自分が送受信した
    全てのメッセージの記録をそれらが処理を受けた順で保
    持しており、 前記キー分配センタの状態はバックアップとして周期的
    に記憶され、 前記キー分配センタに障害が起こった場合には、前記キ
    ー分配センタは前記記録された状態のうちの最新のもの
    に復元されるとともに、前記復元された状態より後の前
    記メッセージの記録は前記キー分配センタに対して再生
    され、前記再生されたメッセージのうちのキーの生成及
    び送出に関するメッセージは繰り返されて新たなキーを
    前記端末へ送り出すことによって前記キー分配センタが
    以前に与えたがキー分配センタからは失われてしまった
    古いキーを置き換える ことを特徴とする請求項1、2、3、4、または5記載
    の通信システム。
JP63050530A 1987-03-03 1988-03-03 通信システム Expired - Lifetime JP2730902B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GB878704920A GB8704920D0 (en) 1987-03-03 1987-03-03 Secure messaging system
GB8704920 1987-03-03

Publications (2)

Publication Number Publication Date
JPS63226149A JPS63226149A (ja) 1988-09-20
JP2730902B2 true JP2730902B2 (ja) 1998-03-25

Family

ID=10613228

Family Applications (1)

Application Number Title Priority Date Filing Date
JP63050530A Expired - Lifetime JP2730902B2 (ja) 1987-03-03 1988-03-03 通信システム

Country Status (5)

Country Link
US (1) US4888800A (ja)
EP (1) EP0281224B1 (ja)
JP (1) JP2730902B2 (ja)
DE (1) DE3888558T2 (ja)
GB (1) GB8704920D0 (ja)

Families Citing this family (135)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2563518B2 (ja) * 1988-09-30 1996-12-11 松下電器産業株式会社 公開鍵暗号を用いた共通鍵配送システム
EP0400362B1 (de) * 1989-05-31 1995-11-29 Siemens Aktiengesellschaft Verfahren zur hierarchischen Schlüsselverwaltung mit Teilschlüsseln zur Übermittlung digitalisierter Information
US5081678A (en) * 1989-06-28 1992-01-14 Digital Equipment Corporation Method for utilizing an encrypted key as a key identifier in a data packet in a computer network
US5010572A (en) * 1990-04-27 1991-04-23 Hughes Aircraft Company Distributed information system having automatic invocation of key management negotiations protocol and method
JP3114991B2 (ja) * 1990-11-30 2000-12-04 株式会社東芝 データ通信システム
JP2901767B2 (ja) * 1991-02-08 1999-06-07 株式会社東芝 暗号通信システム及び携帯可能電子装置
US5146497A (en) * 1991-02-27 1992-09-08 Motorola, Inc. Group rekey in a communication system
US5265164A (en) * 1991-10-31 1993-11-23 International Business Machines Corporation Cryptographic facility environment backup/restore and replication in a public key cryptosystem
US5557518A (en) 1994-04-28 1996-09-17 Citibank, N.A. Trusted agents for open electronic commerce
US7028187B1 (en) 1991-11-15 2006-04-11 Citibank, N.A. Electronic transaction apparatus for electronic commerce
ES2162659T3 (es) * 1992-06-12 2002-01-01 Dow Chemical Co Sistema de comunicacion cabeza-cola seguro y metodo para el procedimiento en ordenadores de control.
CA2136633A1 (en) * 1992-06-12 1993-12-23 James D. Allbery, Jr. Intelligent process control communication system and method
GB9213169D0 (en) * 1992-06-22 1992-08-05 Ncr Int Inc Cryptographic key management apparatus and method
US5317638A (en) * 1992-07-17 1994-05-31 International Business Machines Corporation Performance enhancement for ANSI X3.92 data encryption algorithm standard
JP2519390B2 (ja) * 1992-09-11 1996-07-31 インターナショナル・ビジネス・マシーンズ・コーポレイション デ―タ通信方法及び装置
US5351293A (en) * 1993-02-01 1994-09-27 Wave Systems Corp. System method and apparatus for authenticating an encrypted signal
JPH07162407A (ja) * 1993-12-03 1995-06-23 Fujitsu Ltd ネットワークシステムにおける暗号通信のユーザ支援装置
US6922775B2 (en) * 1993-12-03 2005-07-26 Fujitsu Limited User support system for cryptographic communication in network systems
JPH09506730A (ja) 1993-12-17 1997-06-30 クインテット、インコーポレイテッド 自動署名検証の方法
US5434919A (en) * 1994-01-11 1995-07-18 Chaum; David Compact endorsement signature systems
US6088797A (en) * 1994-04-28 2000-07-11 Rosen; Sholom S. Tamper-proof electronic processing device
US5748735A (en) * 1994-07-18 1998-05-05 Bell Atlantic Network Services, Inc. Securing E-mail communications and encrypted file storage using yaksha split private key asymmetric cryptography
US5557678A (en) * 1994-07-18 1996-09-17 Bell Atlantic Network Services, Inc. System and method for centralized session key distribution, privacy enhanced messaging and information distribution using a split private key public cryptosystem
US5838792A (en) * 1994-07-18 1998-11-17 Bell Atlantic Network Services, Inc. Computer system for centralized session key distribution, privacy enhanced messaging and information distribution using a split private key public cryptosystem
US5588059A (en) * 1995-03-02 1996-12-24 Motorola, Inc. Computer system and method for secure remote communication sessions
US5812666A (en) * 1995-03-31 1998-09-22 Pitney Bowes Inc. Cryptographic key management and validation system
US5680456A (en) * 1995-03-31 1997-10-21 Pitney Bowes Inc. Method of manufacturing generic meters in a key management system
US5661803A (en) * 1995-03-31 1997-08-26 Pitney Bowes Inc. Method of token verification in a key management system
US5742682A (en) * 1995-03-31 1998-04-21 Pitney Bowes Inc. Method of manufacturing secure boxes in a key management system
IL113259A (en) * 1995-04-05 2001-03-19 Diversinet Corp A device and method for a secure interface for secure communication and data transfer
WO1997008868A1 (en) * 1995-08-25 1997-03-06 Quintet, Inc. Method of secure communication using signature verification
EP0768774A3 (en) * 1995-10-16 1999-08-04 Sony Corporation Method and apparatus for data encryption using a key generation hierarchy
US5761421A (en) * 1996-03-25 1998-06-02 Sun Microsystems, Inc. System and method for secure peer-to-peer communication between downloaded programs
US5956409A (en) 1996-04-29 1999-09-21 Quintet, Inc. Secure application of seals
US5987153A (en) * 1996-04-29 1999-11-16 Quintet, Inc. Automated verification and prevention of spoofing for biometric data
US5745576A (en) * 1996-05-17 1998-04-28 Visa International Service Association Method and apparatus for initialization of cryptographic terminal
US5790789A (en) * 1996-08-02 1998-08-04 Suarez; Larry Method and architecture for the creation, control and deployment of services within a distributed computer environment
US6052780A (en) * 1996-09-12 2000-04-18 Open Security Solutions, Llc Computer system and process for accessing an encrypted and self-decrypting digital information product while restricting access to decrypted digital information
US5982896A (en) * 1996-12-23 1999-11-09 Pitney Bowes Inc. System and method of verifying cryptographic postage evidencing using a fixed key set
US6061449A (en) * 1997-10-10 2000-05-09 General Instrument Corporation Secure processor with external memory using block chaining and block re-ordering
US6122743A (en) * 1998-03-31 2000-09-19 Siemens Information And Communication Networks, Inc. System for providing enhanced security for transactions transmitted through a distributed network
US6336187B1 (en) 1998-06-12 2002-01-01 International Business Machines Corp. Storage system with data-dependent security
JP4216475B2 (ja) * 1998-07-02 2009-01-28 クリプターグラフィー リサーチ インコーポレイテッド 漏洩抵抗力を有する暗号索引付き鍵の更新方法及びデバイス
JP2000031956A (ja) * 1998-07-15 2000-01-28 Nippon Telegr & Teleph Corp <Ntt> 個別秘密情報共有交信方法及びシステム装置
DE19847944A1 (de) * 1998-10-09 2000-04-13 Deutsche Telekom Ag Verfahren zum Etablieren eines gemeinsamen Schlüssels zwischen einer Zentrale und einer Gruppe von Teilnehmern
US6397307B2 (en) 1999-02-23 2002-05-28 Legato Systems, Inc. Method and system for mirroring and archiving mass storage
US6636965B1 (en) * 1999-03-31 2003-10-21 Siemens Information & Communication Networks, Inc. Embedding recipient specific comments in electronic messages using encryption
US6335933B1 (en) * 1999-05-21 2002-01-01 Broadcom Homenetworking, Inc. Limited automatic repeat request protocol for frame-based communication channels
US7131006B1 (en) * 1999-11-15 2006-10-31 Verizon Laboratories Inc. Cryptographic techniques for a communications network
AU2724501A (en) * 1999-11-15 2001-05-30 Verizon Laboratories Inc. Cryptographic techniques for a communications network
US6895091B1 (en) 2000-07-07 2005-05-17 Verizon Corporate Services Group Inc. Systems and methods for encryption key archival and auditing in a quantum-cryptographic communications network
US8307098B1 (en) * 2000-08-29 2012-11-06 Lenovo (Singapore) Pte. Ltd. System, method, and program for managing a user key used to sign a message for a data processing system
US7237123B2 (en) 2000-09-22 2007-06-26 Ecd Systems, Inc. Systems and methods for preventing unauthorized use of digital content
EP1352307A2 (en) * 2000-09-22 2003-10-15 EDC Systems, Inc. Systems and methods for preventing unauthorized use of digital content
US7395549B1 (en) * 2000-10-17 2008-07-01 Sun Microsystems, Inc. Method and apparatus for providing a key distribution center without storing long-term server secrets
US6642643B2 (en) * 2000-12-20 2003-11-04 Thomson Licensing S.A. Silicate materials for cathode-ray tube (CRT) applications
US20020101990A1 (en) * 2001-02-01 2002-08-01 Harumi Morino Data receiving apparatus and data reproducing apparatus
US7266687B2 (en) * 2001-02-16 2007-09-04 Motorola, Inc. Method and apparatus for storing and distributing encryption keys
US7123719B2 (en) * 2001-02-16 2006-10-17 Motorola, Inc. Method and apparatus for providing authentication in a communication system
CA2446584A1 (en) 2001-05-09 2002-11-14 Ecd Systems, Inc. Systems and methods for the prevention of unauthorized use and manipulation of digital content
US8929552B2 (en) * 2001-06-01 2015-01-06 No Magic, Inc. Electronic information and cryptographic key management system
WO2002101516A2 (en) * 2001-06-13 2002-12-19 Intruvert Networks, Inc. Method and apparatus for distributed network security
US7316032B2 (en) * 2002-02-27 2008-01-01 Amad Tayebi Method for allowing a customer to preview, acquire and/or pay for information and a system therefor
US7562397B1 (en) 2002-02-27 2009-07-14 Mithal Ashish K Method and system for facilitating search, selection, preview, purchase evaluation, offering for sale, distribution, and/or sale of digital content and enhancing the security thereof
US7783765B2 (en) 2001-12-12 2010-08-24 Hildebrand Hal S System and method for providing distributed access control to secured documents
US7565683B1 (en) 2001-12-12 2009-07-21 Weiqing Huang Method and system for implementing changes to security policies in a distributed security system
US7631184B2 (en) 2002-05-14 2009-12-08 Nicholas Ryan System and method for imposing security on copies of secured items
US10360545B2 (en) 2001-12-12 2019-07-23 Guardian Data Storage, Llc Method and apparatus for accessing secured electronic data off-line
US7260555B2 (en) 2001-12-12 2007-08-21 Guardian Data Storage, Llc Method and architecture for providing pervasive security to digital assets
US7921450B1 (en) 2001-12-12 2011-04-05 Klimenty Vainstein Security system using indirect key generation from access rules and methods therefor
US7380120B1 (en) 2001-12-12 2008-05-27 Guardian Data Storage, Llc Secured data format for access control
US7921288B1 (en) 2001-12-12 2011-04-05 Hildebrand Hal S System and method for providing different levels of key security for controlling access to secured items
USRE41546E1 (en) 2001-12-12 2010-08-17 Klimenty Vainstein Method and system for managing security tiers
US10033700B2 (en) 2001-12-12 2018-07-24 Intellectual Ventures I Llc Dynamic evaluation of access rights
US7562232B2 (en) 2001-12-12 2009-07-14 Patrick Zuili System and method for providing manageability to security information for secured items
US7921284B1 (en) 2001-12-12 2011-04-05 Gary Mark Kinghorn Method and system for protecting electronic data in enterprise environment
US7178033B1 (en) 2001-12-12 2007-02-13 Pss Systems, Inc. Method and apparatus for securing digital assets
US8065713B1 (en) 2001-12-12 2011-11-22 Klimenty Vainstein System and method for providing multi-location access management to secured items
US7478418B2 (en) 2001-12-12 2009-01-13 Guardian Data Storage, Llc Guaranteed delivery of changes to security policies in a distributed system
US7930756B1 (en) 2001-12-12 2011-04-19 Crocker Steven Toye Multi-level cryptographic transformations for securing digital assets
US7681034B1 (en) 2001-12-12 2010-03-16 Chang-Ping Lee Method and apparatus for securing electronic data
US8006280B1 (en) 2001-12-12 2011-08-23 Hildebrand Hal S Security system for generating keys from access rules in a decentralized manner and methods therefor
US7950066B1 (en) 2001-12-21 2011-05-24 Guardian Data Storage, Llc Method and system for restricting use of a clipboard application
US8176334B2 (en) 2002-09-30 2012-05-08 Guardian Data Storage, Llc Document security system that permits external users to gain access to secured files
US8613102B2 (en) 2004-03-30 2013-12-17 Intellectual Ventures I Llc Method and system for providing document retention using cryptography
US7213189B2 (en) * 2002-07-01 2007-05-01 Telefonaktiebolaget Lm Ericsson (Publ) Method for iterative decoder scheduling
US7885896B2 (en) 2002-07-09 2011-02-08 Avaya Inc. Method for authorizing a substitute software license server
US8041642B2 (en) 2002-07-10 2011-10-18 Avaya Inc. Predictive software license balancing
US7707116B2 (en) 2002-08-30 2010-04-27 Avaya Inc. Flexible license file feature controls
US7698225B2 (en) 2002-08-30 2010-04-13 Avaya Inc. License modes in call processing
US7966520B2 (en) 2002-08-30 2011-06-21 Avaya Inc. Software licensing for spare processors
US7216363B2 (en) 2002-08-30 2007-05-08 Avaya Technology Corp. Licensing duplicated systems
US7681245B2 (en) 2002-08-30 2010-03-16 Avaya Inc. Remote feature activator feature extraction
US7228567B2 (en) 2002-08-30 2007-06-05 Avaya Technology Corp. License file serial number tracking
US7512810B1 (en) 2002-09-11 2009-03-31 Guardian Data Storage Llc Method and system for protecting encrypted files transmitted over a network
US7836310B1 (en) 2002-11-01 2010-11-16 Yevgeniy Gutnik Security system that uses indirect password-based encryption
US7890990B1 (en) 2002-12-20 2011-02-15 Klimenty Vainstein Security system with staging capabilities
US7577838B1 (en) 2002-12-20 2009-08-18 Alain Rossmann Hybrid systems for securing digital assets
US7890997B2 (en) 2002-12-26 2011-02-15 Avaya Inc. Remote feature activation authentication file system
US7260557B2 (en) * 2003-02-27 2007-08-21 Avaya Technology Corp. Method and apparatus for license distribution
US7373657B2 (en) 2003-03-10 2008-05-13 Avaya Technology Corp. Method and apparatus for controlling data and software access
US20040181696A1 (en) * 2003-03-11 2004-09-16 Walker William T. Temporary password login
US8707034B1 (en) 2003-05-30 2014-04-22 Intellectual Ventures I Llc Method and system for using remote headers to secure electronic files
US7555558B1 (en) 2003-08-15 2009-06-30 Michael Frederick Kenrich Method and system for fault-tolerant transfer of files across a network
GB0321335D0 (en) * 2003-09-11 2003-10-15 Rogers Paul J Method and apparatus for use in security
US8127366B2 (en) 2003-09-30 2012-02-28 Guardian Data Storage, Llc Method and apparatus for transitioning between states of security policies used to secure electronic documents
US7703140B2 (en) 2003-09-30 2010-04-20 Guardian Data Storage, Llc Method and system for securing digital assets using process-driven security policies
US7418462B2 (en) * 2003-11-24 2008-08-26 Microsoft Corporation Optimized recovery logging
US7353388B1 (en) 2004-02-09 2008-04-01 Avaya Technology Corp. Key server for securing IP telephony registration, control, and maintenance
US7272500B1 (en) 2004-03-25 2007-09-18 Avaya Technology Corp. Global positioning system hardware key for software licenses
US7707427B1 (en) 2004-07-19 2010-04-27 Michael Frederick Kenrich Multi-level file digests
US7707405B1 (en) 2004-09-21 2010-04-27 Avaya Inc. Secure installation activation
US7965701B1 (en) 2004-09-30 2011-06-21 Avaya Inc. Method and system for secure communications with IP telephony appliance
US7747851B1 (en) 2004-09-30 2010-06-29 Avaya Inc. Certificate distribution via license files
US8229858B1 (en) 2004-09-30 2012-07-24 Avaya Inc. Generation of enterprise-wide licenses in a customer environment
US7610610B2 (en) 2005-01-10 2009-10-27 Mcafee, Inc. Integrated firewall, IPS, and virus scanner system and method
KR100703441B1 (ko) * 2005-04-21 2007-04-03 삼성전자주식회사 통신 환경에 적응적인 라운드 트립 타임을 결정하는 데이터통신 시스템 및 방법
US7281652B2 (en) * 2005-05-18 2007-10-16 Foss Jonathan G Point-of-sale provider evaluation
EP1902540B1 (en) * 2005-09-06 2010-12-22 Nero Ag Method and apparatus for establishing a communication key between a first communication partner and a second communication partner using a third party
US7814023B1 (en) 2005-09-08 2010-10-12 Avaya Inc. Secure download manager
DE102005046462B4 (de) * 2005-09-21 2008-09-18 Engel Solutions Ag Netzwerkkomponente für ein Kommunikationsnetzwerk, Kommunikationsnetzwerk und Verfahren zur Bereitstellung einer Datenverbindung
US20070062199A1 (en) * 2005-09-22 2007-03-22 United Technologies Corporation Turbine engine nozzle
GB0519466D0 (en) * 2005-09-23 2005-11-02 Scansafe Ltd Network communications
US8200971B2 (en) * 2005-09-23 2012-06-12 Cisco Technology, Inc. Method for the provision of a network service
JP4828931B2 (ja) * 2005-12-21 2011-11-30 パナソニック株式会社 コンテンツ受信装置
US7649992B2 (en) * 2006-01-06 2010-01-19 Fujitsu Limited Apparatuses for encoding, decoding, and authenticating data in cipher block chaining messaging authentication code
JP4946121B2 (ja) * 2006-03-24 2012-06-06 パナソニック株式会社 認証中継装置、認証中継システム、及び認証中継方法
JP4963425B2 (ja) * 2007-02-23 2012-06-27 日本電信電話株式会社 セッション鍵共有システム、第三者機関装置、要求側装置、および応答側装置
US8005227B1 (en) * 2007-12-27 2011-08-23 Emc Corporation Key information consistency checking in encrypting data storage system
US8848904B2 (en) * 2008-10-24 2014-09-30 University Of Maryland, College Park Method and implementation for information exchange using Markov models
US8601603B1 (en) 2010-12-01 2013-12-03 The United States Of America, As Represented By The Secretary Of The Navy Secure information transmission over a network
US9306737B2 (en) * 2011-05-18 2016-04-05 Citrix Systems, Inc. Systems and methods for secure handling of data
FR2980607B1 (fr) * 2011-09-27 2014-04-25 Proton World Int Nv Procede de derivation de cles dans un circuit integre
CN112243000B (zh) * 2020-10-09 2023-04-25 北京达佳互联信息技术有限公司 应用数据的处理方法,装置、计算机设备及存储介质
CN112422277B (zh) * 2020-11-04 2022-03-25 郑州信大捷安信息技术股份有限公司 差动保护组内差动单元之间加密数据传输系统及方法

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4182933A (en) * 1969-02-14 1980-01-08 The United States Of America As Represented By The Secretary Of The Army Secure communication system with remote key setting
US4193131A (en) * 1977-12-05 1980-03-11 International Business Machines Corporation Cryptographic verification of operational keys used in communication networks
US4203166A (en) * 1977-12-05 1980-05-13 International Business Machines Corporation Cryptographic file security for multiple domain networks
US4386233A (en) * 1980-09-29 1983-05-31 Smid Miles E Crytographic key notarization methods and apparatus
DE3123167C1 (de) * 1981-06-11 1983-02-24 Siemens AG, 1000 Berlin und 8000 München Verfahren und Schaltungsanorndung zum Verteilen von Schluesseln an Schluesselgeraete
US4500750A (en) * 1981-12-30 1985-02-19 International Business Machines Corporation Cryptographic application for interbank verification
US4578531A (en) * 1982-06-09 1986-03-25 At&T Bell Laboratories Encryption system key distribution method and apparatus
NL8301458A (nl) * 1983-04-26 1984-11-16 Philips Nv Werkwijze voor het distribueren en benutten van vercijferingssleutels.
JPS6182547A (ja) * 1984-09-29 1986-04-26 Hitachi Ltd 秘密通信方式
US4691355A (en) * 1984-11-09 1987-09-01 Pirmasafe, Inc. Interactive security control system for computer communications and the like
US4649233A (en) * 1985-04-11 1987-03-10 International Business Machines Corporation Method for establishing user authenication with composite session keys among cryptographically communicating nodes
GB2191661B (en) * 1985-12-11 1989-03-30 Plessey Co Plc Method of secured communications in a telecommunications system
US4771461A (en) * 1986-06-27 1988-09-13 International Business Machines Corporation Initialization of cryptographic variables in an EFT/POS network with a large number of terminals
US4850017A (en) * 1987-05-29 1989-07-18 International Business Machines Corp. Controlled use of cryptographic keys via generating station established control values

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
D.W.Dauies,W.L.Price著、上園忠弘監訳「ネットワーク・セキュリティ」日経マグロウヒル、(昭和60年)、p.133〜159

Also Published As

Publication number Publication date
GB8704920D0 (en) 1987-04-08
DE3888558T2 (de) 1994-06-30
EP0281224B1 (en) 1994-03-23
JPS63226149A (ja) 1988-09-20
EP0281224A3 (en) 1990-01-17
EP0281224A2 (en) 1988-09-07
US4888800A (en) 1989-12-19
DE3888558D1 (de) 1994-04-28

Similar Documents

Publication Publication Date Title
JP2730902B2 (ja) 通信システム
JP2637456B2 (ja) メッセージ伝送方法
JP2675806B2 (ja) 情報記憶システム
Needham et al. Using encryption for authentication in large networks of computers
US5638448A (en) Network with secure communications sessions
EP0582395B1 (en) Computer network packet receiver and computer network with modified host-to-host encryption keys as well as respective methods
US5818939A (en) Optimized security functionality in an electronic system
JP3656688B2 (ja) 暗号データ回復方法及び鍵登録システム
JP3595145B2 (ja) 暗号通信システム
US6339824B1 (en) Method and apparatus for providing public key security control for a cryptographic processor
GB2406762A (en) Ephemeral key system which blinds a message prior to forwarding to encryption/decryption agent with function which can be reversed after en/decryption
JPH0787116A (ja) ネットワークを管理する方法および装置
KR100563611B1 (ko) 안전한 패킷 무선통신망
CN112235382B (zh) 一种基于区块链分片的交易管理系统及方法
US6968458B1 (en) Apparatus and method for providing secure communication on a network
Galvin et al. SNMP Security Protocols
WO2000007355A2 (en) Secure message management system
US7139891B1 (en) Method and system for timestamped virtual worm in a SAN
Kline et al. Public key vs. conventional key encryption
Kline et al. Encryption protocols, public key algorithms and digital signatures in computer networks
Popek et al. Design issues for secure computer networks
JP3501320B2 (ja) 情報金庫保管システム及びその方法
Herbison Developing ethernet enhanced-security system
JP2020028063A (ja) データ受信装置、データ受信方法及び通信システム
Galvin et al. RFC1352: SNMP Security Protocols

Legal Events

Date Code Title Description
R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081219

Year of fee payment: 11

EXPY Cancellation because of completion of term
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081219

Year of fee payment: 11