JPH0524696B2 - - Google Patents

Info

Publication number
JPH0524696B2
JPH0524696B2 JP62228696A JP22869687A JPH0524696B2 JP H0524696 B2 JPH0524696 B2 JP H0524696B2 JP 62228696 A JP62228696 A JP 62228696A JP 22869687 A JP22869687 A JP 22869687A JP H0524696 B2 JPH0524696 B2 JP H0524696B2
Authority
JP
Japan
Prior art keywords
coprocessor
key
user
terminal
pcp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP62228696A
Other languages
English (en)
Other versions
JPS63125030A (ja
Inventor
Naran Chandora Akuhireshiwarii
Deuido Kamaafuoodo Riin
Richaado Howaito Suteiu
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JPS63125030A publication Critical patent/JPS63125030A/ja
Publication of JPH0524696B2 publication Critical patent/JPH0524696B2/ja
Granted legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Description

【発明の詳細な説明】 A 産業上の利用分野 本発明は、上位計算機に対する遠隔端末のアク
セスに対するセキユリテイ機構に関するものであ
る。
B 従来技術 計算機資源を共有したいという希望から、遠隔
端末が通信媒体を介して計算機システムに接続し
て使用されるようになつた。こうした遠隔端末は
計算機システムのセキユリテイに対するアキレス
腱であることがすぐにわかつた。しかし、こうし
た遠隔端末は、遠隔地点からのアクセスを可能に
する点で充分な価値があり、したがつてこの方式
が大部分の大型計算機複合体で一般的に採用され
ている。遠隔端末を介して計算機複合体に無許可
のアクセスを行なう方法は、一般に2通りある。
1つは、有効なユーザのユーザIDとパスワード
を盗んだり推測したり検索して見つけたりするも
のである。もう1つの手法は、ユーザの接続を盗
聴者の端末に切り替えて、進行中の有効なユー
ザ・セツシヨンを「盗む」ことである。
計算機システムをこうした攻撃から保護するこ
とを目指した努力は、主として最初の攻撃形態に
対するものであつた。それが攻撃の大部分を占め
ているためである。ほぼ普遍的に使われている保
護形態は、ユーザのアイデンテイテイの重複確認
である。たとえば、電話による再呼出しシステム
では、ユーザが独自の知識を持つていること、お
よび独自の場所にいることによつてそのアイデン
テイテイが確認される。独自の場所は、再呼出し
技法でそのユーザについて中央計算機複合体に登
録された再呼出し電話番号を使つて確認される。
ユーザ識別に使用できる基準は非常に少ししか
ない。それは独自の知識、独自の所有物、あるい
は独自の物理特性である。独自の場所にいること
である人を識別する方法は、個人の識別には不十
分である。電話転送や電話盗聴などの技術が利用
できる場合、遠隔地にいる人の居場所を確定する
ことは非常に難しく、その居場所からその人のア
イデンテイテイを確認することはなおさらであ
る。
電話再呼出しシステムは、遠隔地にいる人から
電話によるアクセス要求を受け取つた後、その人
を電話で再呼出しすることによりその居場所を決
定しようと試みるものである。この決定は、計算
機センタで制御できない媒体、すなわち電話回線
を介して行なわれる。電話回線は、盗聴されたり
転送によつて行先を変更させることがあり得る。
したがつて独自の場所による識別は容易に偽造さ
れる。こうしたシステムは、旅行中の人に対して
若干のフレキシビリテイを備えなければならない
という別の弱点があり、このフレキシビリテイが
もう1つのアキレス腱となる。
したがつて、一般にこうした端末セキユリテ
イ・システムの強みは、主として、許可を受けた
ユーザが独自の情報を所有していることにある。
通常、この情報はアイデンテイテイ確認のために
セツシヨン開始時にのみ計算機システムからアク
セスされる。
やや趣きは違つているが、米国特許第4430728
号では、物理的セキユリテイ・キーを遠隔端末に
設けられたコネクタに結合して使つている。この
セキユリテイ・キーには、中央計算機にアクセス
するために必要な2つの情報が電子的に記憶され
ている。すなわち、このシステムのセキユリテイ
は、無許可の個人が当該のセキユリテイ・キーを
入手またはコピーし難いことに基づいている。と
はいえ、セキユリテイ・キーは、一度使われる
(セツシヨン開始時に、アイデンテイテイが確認
される)と、再度参照されることがないように思
われる。したがつて、セツシヨンが「盗まれる」
可能性は残る。
米国特許第4238853号では、遠隔端末で、キ
ー・メモリ装置と解読装置からなるデータ・セキ
ユリテイ装置(DSD)を使用することを提案し
ている。DSDは物理的にも論理的にも安全であ
り、ユーザでもその中に記憶されているキーには
アクセスできない。この方法の1つの問題点は、
端末マスタ・キーを明瞭なまたは平文テキストの
形でその端末に移送する必要があることである。
この特許では、キーを人の足、書留郵便、公衆電
話などで運ぶことにより、この移送が実施できる
と示唆している。キーの様々な部分を別々の経路
で運び目的地でそれらを組み合わせることによ
り、敵が移送中にキーを手に入れる可能性を減ら
すことができる。とはいえ、キーを平文テキスト
の形で運ぶことに危険が伴うことは明らかであ
る。
英国特許第2124808号では、下記のトークンと
若干の点で類似している電子ロツクおよびキーに
ついて記載している。しかし、このキーは一般に
かなり複雑(いくつかの実施例ではキー中に暗号
エンジンを要する)で、各キーをそのキーでアク
セスを提供すべき各端末(またはロツク)で初期
設定する必要があり、不必要に長い初期設定・許
可プロトコル(少なくとも2ラウンドの照会・回
答)が必要であり、しかも下記に記載するトーク
ンの1回使用という特徴を示唆してはいない。
C 発明が解決しようとする問題点 この難点、すなわち暗号キーを「明瞭な」また
は平明なテキストの形で移送する必要性を緩和す
ることが、本発明の一目的である。
本発明の第2の目的は、セキユリテイ機構を複
雑なものにせずに、またそれを損なわずに、上記
の目的を達成することである。
すなわち、本発明の一般的目的は、既存の通常
のシステムや上記で参照した各特許に記載されて
いるシステムよりもずつと安全な遠隔端末セキユ
リテイ・システムを提供することにある。
本発明のシステムは、独自の知識および独自の
所有物に基づいてユーザのアイデンテイテイを確
認する。このシステムは、遠隔場所から所有者の
「サイン」を偽造しようとする試みに対する抵抗
力が強く、セツシヨン盗聴と闘うための連続再確
認能力をもたらすものである。
D 問題点を解決するための手段 以下で説明するように、本発明の一要素は、特
開昭61−72345号公報に記載されている特権コプ
ロセツサ(PCP)(上記公報ではサポート・ハー
ドウエアと呼ばれている)を使用することであ
る。
上記公報の記載によれば、PCPはパーソナ
ル・コンピユータまたは単一のオペレーテイン
グ・システムに追加できるハードウエア・オプシ
ヨンである。PCPは、完全に同時的なより高レ
ベルの特権処理環境をもたらす。PCPは、解読
キーとプログラムをより高度の特権処理環境に移
送するための暗号保護システムをもたらす。
PCPは、ユーザによるアクセスに対して物理的
にも論理的にも保護されたメモリ領域で情報を記
憶したプロセツサ内で命令を実行する能力を有す
る。この能力が、遠隔端末セキユリテイへの適用
の基礎となつている。基本的要件は、計算機複合
体へのアクセスを許可される遠隔端末がPCPを
備えること、またはPCPにアクセスできること
である。
本発明のセキユリテイ機構は、遠隔端末に許可
を与え、また計算機複合体を保護するため許可さ
れた遠隔端末によるアクセスを許すものである。
従来の暗号による安全保護システムでは、安全
保護メツセージ転送の両当事者がキーと呼ばれる
共通の知識を共有することが必要である。メツセ
ージ送信者はこのキーを使つてメツセージを暗号
化し、キーを持つていない者には理解できないよ
うにする。メツセージ受信者は同じキー(または
ある暗号体系でそれと正確に対応するキー)を使
つて、メツセージを理解できる形に戻されなけれ
ばならない。
本発明によれば、アクセス許可手順に関連し
て、メツセージ送信者は計算機センタのセキユリ
テイ・オフイスまたはセキユリテイ担当部門であ
り、メツセージ受信者は遠隔端末にある物理的お
よび論理的に安全なPCPである。計算機センタ
のセキユリテイ・オフイスが解読キーを作成し、
それが安全な暗号化された形で、物理的に安全な
PCPに供給される。一実施例によれば、その転
送は、特開昭61−72345号公報に記載されている
ようなフロツピ・デイスクによつて実施できる。
トークンは、そのデータ内容を読み取る行為によ
つて恒久的にかつ不可逆的に変更されるという特
徴をもつ。こうしたトークン装置の特徴により、
PCPをパーソナライズして、フロツピに記憶さ
れているソフトウエアがトークン・データを読み
取るPCPでしか使用できないようにすることが
できる。こうした端末にPCPを導入すると、
PCPは偽造に対する抵抗力のある照合回答プル
トコルでトークンを読み取る。
計算機センタから解読キーを転送するトランザ
クシヨンは、その要点は特開昭61−72345号公報
のAREトランザクシヨンと同じであるが、ソフ
トウエア・プロダクトの商用転送には必要のない
目的をサポートできるように拡張されている。そ
れには、キーとソフトウエアを受け取る特定のユ
ーザの識別、ユーザとキーの対応性の記録、およ
び当該のPCP上で導入が実施されたことの確認
が含まれる。
したがつて、許可プロトコルの第1ステツプ
は、許可デイスクとトークンを入手することから
始まる。この許可デイスクは、ユーザが自ら計算
機センタに出頭して、センタが要求する識別を提
出することによつて入手する。中には個人識別が
可能でない他の手段によつてこのデイスクを分配
する計算機センタもあると考えられる。銀行の顧
客に与えられる計算機アクセス口座がそうしたケ
ースの一例である。遠隔地でユーザを識別する能
力を利用して、ユーザのアクセス特権を制限し、
そのアクセスの文脈内で転送されるデータを保護
できることは、本発明の範囲内に含まれる。許可
されたユーザは、次にそのPCPを装備した端末
で、暗号適用キー(AK)をPCPのメモリ内に転
送するための手順を実行する。このキーは暗号化
された形でデイスクに入つている。PCPは(後
述のように)このキーを解読してから、後で使用
するためにそれを記憶する。通常、適用キー
(AK)はPCPに対して一義的である。すなわち、
他のPCPには使えない。許可プロトコルの次の
ステツプでは、暗号化された解読キーの転送を受
けたPCPから計算機複合体に暗号化されたフア
イルを転送する。たとえば、初期設定中にPCP
は暗号化されたフアイルをキーの転送中に許可デ
イスク(または別のデイスク)に書き込む。この
フアイルは、PCPの「デジタル・サイン」を含
んでいる。このサインは、一実施例ではPCP特
有の通し番号の暗号化されたコピーからなる。こ
のフアイルまたはメツセージが計算機センタに戻
ると、許可デイスクが所期の「正しい」パーソナ
ル・コンピユータまたは端末に導入されたことが
確認できる。許可デイスクが計算機センタに戻
り、かつこのメツセージについてその検査が終わ
つて始め、ユーザに遠隔アクセスが許可される。
別の実施例では、PCPからのデジタル・サイン
がトークンに書き込まれ、次に確認のためトーク
ンを計算機センタに戻すことができる。
許可デイスクの発行からメツセージが戻るまで
にかかる時間に限界を設けて、その許可が偽造さ
れ他の遠隔端末に「許可を与える」ために使われ
る極めて小さな可能性をさらに減らすことが好ま
しいと思われる。
この許可手順の正味の効果は、少なくとも1個
の安全な解読キーを(ユーザに対してそのキーを
露出させずに)ユーザの端末と関連するPCP中
に導入することである。同時に、(計算機センタ
に戻されたメツセージまたはフアイルによつて)
キーが所期のパーソナル・コンピユータまたは端
末に導入されたことを確認する手段が、計算機セ
ンタに与えられた。特開昭61−72345号公報に記
載されているようなトークンとフロツピ・デイス
クの使用が、本発明を実施するための1つの方法
にすぎないことは明らかである。トークンの記憶
容量を拡張することにより、デイスクを使つて
PCP内に解読キーを導入する必要性をなくし、
トークンの使用だけが必要なようにすることがで
きる。
したがつて、一実施態様では、本発明は下記の
各ステツプからなる遠隔端末許可方法を提供す
る。
a 暗号化された解読キーを物理的に安全なコプ
ロセツサ(PCP)に転送する。
b 上記の物理的に安全なコプロセツサを前記の
遠隔端末に結合する。
c 暗号化されたフアイルを上記のコプロセツサ
から中央計算機複合体に転送して、中央計算機
複合体が、暗号化されたフアイルを生成したコ
プロセツサを識別できるようにする。
d 上記の暗号化されたフアイルを上記の中央計
算機複合体で検査して、特定のコプロセツサが
上記の暗号化されたフアイルを作成したと確認
してから、その特定のコプロセツサに結合され
ている上記の遠隔端末によるアクセスを許可す
る。
許可の各ステツプが完了すると、ユーザは計算
機複合体にアクセスを試みることができる。ま
ず、明瞭でユーザ識別(またはユーザID)のみ
を含む(がユーザのパスワードやPINは含まな
い)形で、遠隔端末と計算機複合体の間の通信を
実行することができる。別法として、その計算機
センタのすべてではなくとも複数のユーザに共通
な特別の始動キーを用いて、PCPがこの初期通
信を暗号化することができる。この通信では、後
の通信のためにユーザ特有の暗号化キー(AK)
を選択するために計算機複合体がユーザIDを知
らなければならないので、明瞭なテキストまたは
特別の始動キーを使う。明らかに、始動キーを使
う場合は、それも前述のように暗号化した形で許
可デイスクに入れてPCPに導入してもよく、ま
た別法としてPCP作成時にPCPに導入すること
もできる。
その後のユーザと計算機複合体の間の通信は、
ユーザのパスワードまたはPINを含めることを含
めて、すべて許可手順中にPCPに導入されたユ
ーザの特有のキー(AKとも呼ばれる)を使つて
暗号テキストの形で行なうことができる。ユーザ
の端末ハードウエア(またはパーソナル・コンピ
ユータ)内で走つている端末エミユレーシヨン・
プログラムは、このキーにアクセスできず、した
がつてそれ自体で伝送を暗号化することも解読す
ることもできない。このプログラムはこうした機
能を実行することをPCPに要求しなければなら
ない。キー自体がユーザに対して露出されること
は決してない。
計算機複合体は、その伝送中に、後の伝送のた
めその解読キーを変更せよとのPCPに対する暗
号化されたコマンドをも含むこともできる。こう
すると、計算機センタは、ユーザにどんな影響も
与えずに、事実ユーザがその事実を知ることさえ
ない状態で意のままに解読キーを変更する能力を
もつ。
したがつて、本発明では、計算機複合体の意の
ままにかつ遠隔端末によるアクセス中に、交換さ
れるメツセージの少なくとも一部がそのPCP用
の交換キーを含むことを意図している。この交換
キーは、解読キーまたは以前の交換キーの代りに
使用され、あるいはその特定の接続の持続期間中
だけ使用され、以前に導入されたどのキーの代用
にもならない。
許可手順に関して、トークンとフロツピ・デイ
スクの対を使用する代りに、PCPを計算機セン
タと物理的に同一場所に配置したままで、暗号化
された解読キーをPCPに導入することができる。
このバリエーシヨンでは、正しく許可されユーザ
のアイデンテイテイが検証されたとき、ユージに
PCPが与えられる。別法として、ユーザが自分
のPCPを計算機センタに届けることもできる。
これらの実施態様では許可デイスクは不要であ
り、ユーザが導入検証のためプログラムの実行結
果を含むデイスケツトを持ち帰る必要もない。導
入の検証は、計算機センタでその初期設定の実行
により明示的に提供される。
計算機複合体と遠隔端末の間で伝送されるメツ
セージがすべて確実に暗号化されるため、セキユ
リテイは実現されるが、この手順で暗号化と解読
のために資源が消費されるというオーバヘツドが
生じる。このオーバヘツドは周期的端末確認プロ
トコルを使つて減らすことができる。この方法で
は、(ユーザ許可の確認後の)ユーザ端末と計算
機複合体の間の通信の大部分は明瞭なテキストの
形で行なう。しかし、計算機複合体が決定する間
隔で、必ずユーザにそれに対するアクセスを許可
する前に、計算機複合体はユーザのパーソナル・
コンピユータまたは端末に、計算機複合体が供給
するデータ・ストリームに対して所定のある変形
を実施することを要求する。この変形は、下記の
ような特徴をもつ。
a 変形の結果が入力データ・ストリームおよび
解読キーの一義的関数である。
b 結果を検査することにより、変形を実施する
プロセツサがその解読キーを入手できたことを
確認できる。
c 結果と入力データ・ストリームを検査するこ
とにより、解読キー自体を決定することはでき
ない。
これらの基準に合致する適当な変形の例は、次
の通りである。
(1) 解読キーを用いて入力データ・ストリームを
暗号化する。
(2) 解読キーを用いて入力データ・ストリームを
解読する。
(3) 解読キーを用いて、入力データ・ストリーム
に対して実施した別の操作の結果を暗号化また
は解読する。
(4) 解読キーと入力データ・ストリームを用いて
擬似ランダム数のストリームを生成する。
端末は計算機複合体の要求を受け取ると、
PCPに要求された変形を実行することを要求し、
その結果を計算機複合体に伝送する。計算機複合
体は(計算機センタがAKキーにアクセスできる
ので)PCPと同じ変形を実行し、その計算結果
を端末から送られてきた結果と比較する。両方の
計算の結果が同じであれば、PCPは有効な解読
キーをもち、許可を受けていればまたは続行する
なら遠隔端末にアクセスできる。そうでない場合
は、遠隔端末のアクセスは終了する。
以上の説明では、PCPで使われる解読キーと
計算機センタで使われる解読キーが同一であると
仮定したが、そのことは本発明にとつて不可欠で
はない。その代りに数組のキーを計算機センタか
ら暗号テキストの形で伝送して、PCPに記憶し
ておくこともできる。PCPはこれらのキーのう
ち1つを使つて計算機複合体への伝送を暗号化
し、他のキーを使つて計算機複合体からの通信を
解読することができる。PCPで他の安全保護操
作用にこれらのキーを使うこともできる。
計算機複合体へのアクセスに、許可された解読
キーを記憶するPCPの他に、適当なユーザ・パ
スワードやPINが必要となる場合もあることは明
らかである。PCP内でこの追加識別子を使つて、
PCP自体が盗まれた場合の乱用を防止すること
もできる。ユーザが自分をPCPに対して正しく
識別できる場合に限つて、ユーザ識別キーのもと
でPCPに暗号機能を使用可能にさせることもで
きる。
E 実施例 ある種の適用業務では、端末許可のために解読
キー(または適用キー)を導入するだけでよいこ
とがある。しかし、一般には、端末は、計算機複
合体と通信するための保護された(暗号化され
た)ソフトウエアを走らせる能力をも持たなけれ
ばならない。
本発明に基づく特定の各ステツプについて説明
する前に、第1図と第2図を参照して、典型的な
端末と典型的なトークンのアーキテクチヤについ
て説明する。この説明は、大筋としては1986年11
月5日に出願された米国特許出願第927629号に含
まれるものと同じなので、詳しくはそれを参照の
こと。以下では、「コプロセツサ」の語をPCPと
いう表現と同じ意味で使う。コプロセツサは、そ
れ自体が計算機システムである。コプロセツサ
は、それ自体のプロセツサ、フアームウエアと読
取専用メモリ(ROM)、実時間クロツクおよび
RAMを含んでいる。これは、パーソナル・コン
ピユータまたは端末内に、メモリおよび入出力ア
ドレス空間中にマツプされたアダプタ・カード・
セツトとして設置することも、また単に入出力ポ
ートを介してパーソナル・コンピユータまたは端
末に結合することもできる。(以下では、パーソ
ナル・コンピユータ(PC)および端末の語をユ
ーザ装置と同じ意味で使う)。コプロセツサが携
帯式であることが、上記の特開昭61−72345号公
報に記載されている発明とは異なる本発明の特徴
であることに注目されたい。コプロセツサは、次
の2つの方式のどちらかでパーソナル・コンピユ
ータと通信する。コプロセツサが(カード・セツ
トのように)パーソナル・コンピユータ内に直接
設置されている場合、コプロセツサは、共通メモ
リおよびパーソナル・コンピユータのポート・ア
ドレス空間にある1組のレジスタを介して、パー
ソナル・コンピユータと通信することができる。
この方式では、共通メモリはコプロセツサの一部
になつている。コプロセツサはそのバス・トラン
シーバを制御し、共通メモリをパーソナル・コン
ピユータが読取り操作のために使用できないよう
にすることができる(このアーキテクチヤは、特
開昭61−72345号公報に記載されている)。もう1
つの方法では、コプロセツサは入出力ポートを介
してパーソナル・コンピユータと通信することが
できる。どちらの方式で通信を行なおうとも、コ
プロセツサのメモリの一部分にしかパーソナル・
コンピユータがアドレスできないようにする必要
がある。また、コプロセツサのメモリのうちでパ
ーソナル・コンピユータがアドレスできない部分
が、ユーザが物理的にアクセスできないようにな
つていることも必要である。コプロセツサが適用
業務ソフトウエアの暗号化された部分を解読して
実行するのは、このメモリ中においてである。
プロセツサ、メモリ(RAMとROM)、および
ポート・アドレス・レジスタの他に、コプロセツ
サは物理的にも論理的にも安全な記憶スペースを
有する。この記憶スペースには、ROMと持久メ
モリ装置(バツテリ・バツクアツプCMOS
RAMまたはEEPROM)が含まれる。
ROMは、システム・フアームウエアを内蔵す
る。これは、モニタの形をとり、そのコマンドは
パーソナル・コンピユータがコプロセツサから要
求するサービスである。こうした一揃いのサービ
スは、最小限次のものを含む。
(1) 実行権獲得(ARE) (2) 適用業務ロード/解読/実行(LDR) 持久RAM装置は、コプロセツサが安全な持久
メモリとして使用し、このメモリ内に、初期設定
された適用業務の解読キーAK1,AK2などが、
メーカからPCPと一緒に供給される1組の共通
スーパバイザ・キー(CSK)と一緒に記憶され
る。
コプロセツサは少なくとも2つの特権レベルを
含み、AKを記憶するためのメモリをユーザに対
して適切に保護できるようになつていることに留
意されたい。そうする必要があるのは、たとえば
計算機センタのセキユリテイ・グループなどソフ
トウエア作成者がユーザとなることがあるためで
ある。あるソフトウエア作成者のために実行され
るソフトウエアが他の作成者のAKを読み取るこ
とができるなら、作成者であるユーザが他の作成
者のAKを回復して、その保護されたソフトウエ
アを解読できることになる。AKの導入、使用お
よびAKに対するアクセスの管理は、システムに
対する高い特権レベルでの重要な機能である。
コプロセツサで解読され実行される適用業務ソ
フトウエアはすべて、保護されたソフトウエアの
持久RAMによるアクセス、ロード、解読および
起動を制御するROM内蔵フアームウエアよりも
低い特権レベルにある。
前述のように、コプロセツサは物理的にも論理
的にも安全でなければならない。このセキユリテ
イは、ユーザが論理解析器その他のデジタル制御
装置および記録装置を利用して、安全記憶スペー
スの内容のレコードを、したがつてAKまたは解
読されたソフトウエアを入手するのを防止するた
めに必要である。
パーソナル・コンピユータまたは個別ワーク・
ステーシヨンは、共通単一バス・マイクロプロセ
ツサ・システムである。IBM PCがこのクラスの
マシンの代表である。こうしたシステムは、バス
(間隔を置いてソケツトを備えた伝送線の列でよ
い)を論理的に独立したサブシステム間の通信媒
体として使用する。一部のサブシステムは、バス
をサポートする同じ実装エレメント(この場合は
「システム・ボード」と呼ばれるプリント回路板)
上にあつてもよい。システムの機能に必要なサブ
システム、あるいはシステムの機能を拡張させる
サブシステムは、ソケツトを介してバスに接続す
ることにより処理される。サブシステムを構成す
る部品は、サブシステムの一部が別の実装エレメ
ント上にあるようにしてもよいことに留意された
い。
第1図でホスト10として示した領域にあるサ
ブシステムの全体が、共通パーソナル・コンピユ
ータの例である。PC CPU4は単一チツプ・マ
イクロプロセツサおよび一群のサポート・チツプ
である。PC CPU4にはクロツクと呼ばれる周
期的信号が供給され、サポート・チツプによつて
バスに接続される。マイクロプロセツサには、通
常これより多いサポートが提供されるが、すべて
のサポートは、メモリから命令を取り出し、(ラ
ンダム・アクセス・メモリなど)サブシステムの
選択された一部のエレメントからデータを取り出
し、命令を実行し、必要なときは結果として得ら
れたデータをシステムの選択されたエレメント内
に記憶するという反復するサイクルを実行するこ
とを狙いとするものである。CPU4には、直接
メモリ・アクセス(DMA)と呼ばれるサポート
が提供される。DMAは、アドレス可能なエレメ
ント間でのデータの移動を伴うタスクからマイク
ロプロセツサを解放する。
マイクロプロセツサは、実行される操作の種類
(取出し、記憶など)およびそれによつてバス中
の制御線が「アサート」される(バス定義プロト
コルと呼ばれるプロトコルに基づいて適当な電位
に変更される)選択されたエレメントの種類
(RAM、ポート・アドレス・レジスタなど)を
制御する。これらの手段により、マイクロプロセ
ツサは命令の集合(プログラムと呼ぶ)を獲得
し、1組のデータに対して命令を実行し、命令実
行の結果としてシステムの他のエレメント内に記
憶されたデータを変更させることができる。
RAM6は、CPU4がそこからデータを取り出
しそこにデータを書き込むことができるサブシス
テムである。これは、他のソースからロードされ
るデータと命令を記憶するのに使われるサブシス
テムである。RAM6が意味のある内容を含んで
いる場合、その内容はCPU4によつてそこに書
き込まれたものである。計算機の電源が入つたと
き、RAM6の内容は実際上無意味である。
ROM8は、そこからデータを取り出すことし
かできないサブシステムである。これは、計算機
の有用な処理を開始させるのに必要なプログラム
や残りのサブシステムを制御するのに有用なプロ
グラムの集合を含むことができる。
残りのサブシステム、すなわち端末制御装置
9、表示装置11、手動入力装置13、デイス
ク・システム制御装置15、デイスク駆動装置1
7、入出力ポート19は、アドレス可能なエレメ
ントならびに、人間の感覚に作用し、人間のアク
シヨンによつて影響を受け、あるいは磁気媒体を
操作して磁気媒体上の磁区間の境界の設定と検出
を含めて読取り操作および書込み操作を実施する
ことができる機械式、光学式、電磁式(その他
の)エレメントを共に備えるまたはサポートする
ものとして特徴づけることができる。一部のアド
レス可能エレメントは、その内容がサブシステム
の機械式、光学式、電磁式エレメントのアクシヨ
ンを制御するのに使われ、また他のアドレス可能
エレメントは、その内容が機械式、光学式、電磁
式エレメントによつて制御される。すなわち、こ
うした手段によつて、計算機システムがユーザお
よび磁気媒体その他の媒体と対話することができ
る。ユーザとの対話に必要なエレメントを備えた
サブシステムは、ユーザ・インターフエース制御
サブシステムと呼ばれる。磁気媒体上での読取り
操作および書込み操作を可能にする一般的な形の
サブシステムは、デイスク制御システムと呼ばれ
る。こうしたエレメントによつて、こうしたシス
テムの操作を大まかに説明することが可能であ
る。
電源を入れたとき、マイクロプロセツサはメモ
リ内の固定位置から命令を取り出す。このアドレ
スは、ROM8が占めているアドレスである。そ
の位置にある命令は、システムを使用のためテス
トし初期設定する効果をもつプログラムへの飛越
し命令である。システム初期設定プログラムの1
つは、デイスク・オペレーテイング・システム
(DOS)と呼ばれるプログラムを、デイスクから
読み取つて実行させる。このプログラム(DOS)
は、端末制御システムを使つてユーザからコマン
ドを受諾することができる。こうしたコマンドの
1つは、プログラムが常駐するフアイルを(手動
入力によつて)DOSプログラムに対して指名す
ることにより、ユーザが選んだプログラムをシス
テム上で実行させるコマンドである。
第1図で15として示したサブシステムの全体
が、最小のコプロセツサ・システムの例である。
ハードウエアの諸エレメントは、2つの部分から
なると考えることができる。1つの部分154
は、ハードウエアがパーソナル・コンピユータと
通信して(ユーザと上位システムの間での場合と
大体同じように)コマンドおよびデータを交換で
きるようにする、アドレス可能エレメントを含ん
でいる。もう一方の部分は、パーソナル・コンピ
ユータとの通信に直後には係わらない、コプロセ
ツサのCPU150、RAM151、ROM152、
実時間クロツク156、および持久RAM153
を含んでいる。
持久RAM153は、EEPROM、またはバツ
テリ・バツクアツプCMOS RAMとして、ある
いはそのメモリの内容を消去できる他のどんな技
術で実現してもよい。
持久性と消去可能性という特徴の組み合わせが
必要なのは、ソフトウエア・キー(AK)とコプ
ロセツサ・スーパバイザ・キー(CSK)を、コ
プロセツサの使用の間は保持でき、物理的侵入検
出システム155が不正の試みを検出した場合は
消去できるようにするためである。侵入検出シス
テムの例については、1986年11月5日出願の米国
特許出願第927309号を参照のこと。
実時間クロツク156は、専用カウンタを含む
サブシステムである。これは、バツテリで、通常
は持久メモリおよび不正検出装置に動力を供給す
るのと同じバツテリで電力を供給される。計算機
システムの電源を切つている間は、バツテリでカ
ウンタとそのサポート・チツプに電力を供給す
る。カウンタは、そのサポート・チツプで発生す
るクロツク信号に応じてそのレジスタを増分し
て、そのレジスタがコプロセツサ・メーカの手で
初期設定されて以降の時間を反映するようにさせ
る。すなわち、レジスタが時刻に初期設定されて
いる場合、それらの内容は時刻を近似的に追跡す
ることになる。実時間クロツクのレジスタは、
CPU150が読み取ることができる。
第1図に、保護されたソフトウエアを実行する
ためのパーソナル・コンピユータおよび関連する
コプロセツサの構成を示す。この説明では、ソフ
トウエアがフロツピ・デイスクなどの磁気媒体に
分散されているものと仮定するが、説明が進むに
つれて、ソフトウエアを通常のどんな技術によつ
て分散させてもよいことが明らかになるはずであ
る。特開昭61−72345号公報に記載されている発
明によれば、サポート・ハードウエアはその内部
バスを介してホストと通信するが、通信ポートを
介してコプロセツサをパーソナル・コンピユータ
と結合し、コプロセツサ携帯できるようにするの
が本発明の1つの特徴である。ここではこの構成
を使つてシステムの動作を説明するが、当然のこ
とながら、コプロセツサが内部バスを介してパー
ソナル・コンピユータを通信するときでも、本発
明を用いることができる。
コプロセツサ15は、特開昭61−72345号公報
のサポート・ソフトウエアと共通のいくつかの特
徴を有する。もつと具体的に言えば、コプロセツ
サは各ソフトウエア・ベンダーにユーザよりも高
い特権レベルのインスタンスを与え、しかもどの
ソフトウエア・ベンダーにも他のベンダーの特権
情報にアクセスすることを許さない。コプロセツ
サで解読され実行される適用業務ソフトウエア
は、すべて2つの特権レベルのうち低い方のレベ
ルにある。高い方の特権レベルは、ROM内蔵フ
アームウエアとして実現され、持久RAM153
へのアクセス、ロード、解読および実行操作を制
御する。コプロセツサのこの構造により、フアー
ムウエアと持久メモリ(解読キーを含む)にアク
セスしてその情報をホスト10が使用できるよう
にするためにコプロセツサで実行されるモニタを
ソフトウエア・ベンダー作成することが防止され
る。
したがつて、コプロセツサ15は、RAM15
1にアクセスできる第1の低い特権レベルを備え
ている。すなわち、上記のようにRAM151は
ユーザおよびホスト10から保護される。第1特
権レベルには、保護されているソフトウエアを実
行するための第1レベルの動作命令が含まれる。
しかし、コプロセツサ15には、第2レベルの安
全メモリと第2レベルの動作命令とを含む第2の
特権レベルも定義されている。第2レベルの安全
メモリは、持久RAM153で表され、第2レベ
ルの動作命令はROM152中で定義される。第
2持権レベルは、ユーザおよびなどのソフトウエ
ア作成者に対しても保護される。実行権の獲得に
関係し、したがつてそれに先立つ手順を制御する
のは、コプロセツサ15の第2特権レベルであ
る。またこの同じ第2特権レベルが、保護ソフト
ウエアの実行を求めるユーザの要求に応答し、保
護ソフトウエアのロードと解読を可能にし、保護
ソフトウエアの実行のために第1特権レベルの動
作を開始させる。ただしこうした実行が許可され
ていると第2特権レベルが判定した場合だけであ
る。
本発明によれば、保護ソフトウエアで動作する
モードが2種ある。第1のモードは実行権獲得
(ARE)と呼ばれ、保護された適用業務の実行を
コプロセツサに許可する場合に必要である。各コ
プロセツサは、各適用業務に対するAREトラン
ザクシヨンを実行することにより、多数のソフト
ウエア適用業務を実行する許可を得ることができ
る。その後、許可されたソフトウエア・パツケー
ジを実行するとき、装置はロード/解読/実行
(LDR)モードで動作する。
第3図に、本発明にもとづいて使用されるソフ
トウエアの構成を示す。第3図に示すように、複
数のフアイルをユニツトとして(磁気媒体上にま
た通信リンクを介して)分散させることができ
る。第1のフアイルは、暗号化されたソフトウエ
ア解読キーEAKである。第2のフアイルは、平
文テキストの形のソフトウエアと保護または暗号
化されたソフトウエア(EAK(ソフトウエア))
とを含むソフトウエアである。最後のフアイル
は、暗号化されたトークン・データEAK
(TOKEN DATA)である。暗号化されたソフ
トウエアと暗号化されたトークン・データは、共
通キー(AK)を用いて暗号化され、したがつて
解読キー(AK)を使つてそれぞれ解読できる
が、ソフトウエア解読キーは、別のキー(CSK)
すなわちハードウエア・ベンダーのキーを使つて
暗号化される。この後者のキーは、ソフトウエ
ア・ベンダーには秘密にしておくことができる。
特開昭61−172345号公報によれば、「公衆キー」
暗号システムを用いたキー対を使つてソフトウエ
アキーを暗号化し解読しなければならないが、暗
号化と解読に同じキーを用いるDESまたは他の
「対称」キー・システムを含めて、充分に安全な
暗号システムならどんなものでも使用できること
が本システムの特徴である。
この説明では、第3図のフアイルがフロツピ・
デイスクに内蔵され、デイスク駆動装置に装入さ
れるものと仮定する。コプロセツサを初期設定す
るため、トークン・カートリツジ20をコプロセ
ツサ15または上位パーソナル・コンピユータ1
0に結合する。カートリツジ20は、メモリ装置
に記憶されているトークン・データを含む。この
メモリ装置は、後で説明するように独自の特徴を
もつている。ここでは、カートリツジ20は、一
回だけしか使用できないように構成されているこ
とを指摘するだけに留めておく。すなわち、カー
トリツジ20を使用すると、もはやその所期の目
的には使用できない状態に変わる。
(保護された)ソフトウエアを使用するには、
コプロセツサ15は解読キー(AK)を備えてい
なければならない。この解読キーは、適用業務の
暗号化された部分を実行可能にする。このキー
は、転送機能が再使用または再生できないような
形でコプロセツサ15に転送される。それには、
解読キーをコプロセツサ15の持久メモリに効果
的に転送するために、未使用のトークン・カート
リツジが存在することが必要である。ここで「未
使用」とは、計算機センタ(ソフトウエア複写保
護の場合はソフトウエア作成者)から提供される
トークン・カートリツジの内容がそれまでどんな
形でも読み取られたことがなかつたことを意味す
るにすぎない。前述のように、トークンは後で考
察する理由で偽造が難しく、転送トランザクシヨ
ンで効果的に消去される。トークンが含む情報内
容は、プログラムと関連する暗号化されたフアイ
ル中に列挙されているので、コプロセツサ15に
とつて識別可能である(または下記のような別の
ソースから供給される)。この列挙は、それが計
算機センタから供給されたことの証拠である。適
用業務の保護された部分を暗号化するのに使用さ
れたのと同じキー(AK)を用いてその情報が暗
号化されていることにより、そのことがコプロセ
ツサ15に対して確認される。
転送トークンを記憶するカートリツジ20は、
その目的で設けられたコネクタを介して、コプロ
セツサ(図示せず)の入出力装置154またはパ
ーソナル・コンピユータ(図示)の入出力装置1
9に結合される。カートリツジ20用のコネクタ
は露出しており、したがつてユーザが監視できる
ので、一部のデータが漏れたとしても、このコネ
クタを使用するトランザクシヨンが偽造し難しく
なければならない。この特徴をもつには、各トラ
ンザクシヨンが実際上一義的で、コプロセツサに
よつて検査できるものでなければならない。
カートリツジ20は、物理的にも論理的にも安
全である。物理的セキユリテイを実現する好まし
い方法は、トークンの回路を単一の集積回路チツ
プの形にすることである。カートリツジ20は、
以前に使用されたことがないかどうか、および真
正なものであるかどうか検査できるような形で動
作するメモリを備えている。解読キーAKが将来
使用できるように受諾されるためには、コプロセ
ツサによる両方の検査が必要である。下記で説明
するように、カートリツジ20は、そのコネクタ
とプロトルコが標準化されている限り、第3者が
作成してもよい。その情報内容は、ソフトウエア
作成者またはその代理人の手で決定してロードし
なければならない。データは、照会/回答プロト
コルを使つてカートリツジからコプロセツサに転
送する。照会はランダム数であり、それをトーク
ン・データと組み合わせてトークン回答が決定さ
れる。コプロセツサ15とカートリツジ20の間
の安全でない経路を通るアクセス可能な情報は
「ランダム数」およびカートリツジの回答であり、
どちらもトークン・データを漏らさない。コプロ
セツサは、(たとえばソフトウエア分配媒体から
の暗号化されたトークン・データを解読すること
により)トークン・データのコピーにアクセスす
ることができる。したがつて、コプロセツサは
「正しい」回答を独自に求めることができ、カー
トリツジからの実際の回答をそれ自体で独自に求
めた「正しい」回答と比較することができる。し
たがつて、このランダムな照会と実際の回答だけ
が、トランザクシヨン中に露出される。照会と組
み合せて回答を得るために必要な完全なトークン
情報が漏れることはない。カートリツジ20はそ
の回答を生成すると同時に、その内容を変えて、
カートリツジが再度使用できないようにする。そ
うするために、カートリツジ20内に、読取り操
作中の通常のメモリのように動作しないメモリ領
域を設ける。(カートリツジ20の適切なアーキ
テクチヤを含む構成図は第2図に示されている)。
簡単にいうと、カートリツジ20は少なくとも2
個のメモリ・セグメントを含み、どちらのセグメ
ントも通常の直列入力シフト・レジスタのように
書き込むことができる。しかし、読取りが行なわ
れると、それらの領域のアクセス特性が変化す
る。読取り中に両方のメモリ・セグメントが使用
可能になり、通常の直列出力シフト・レジスタの
ように出力端にデータを発生させる。マルチプレ
クサが、コネクタ内に含まれコプロセツサにより
「ランダム数」で駆動される制御数の状態にもと
づいて、2つ(以上)のセグメントのデータのど
れをコネクタに(したがつてコプロセツサに)送
るのかを選択する。カートリツジのメモリ領域が
読み出されると、両方のセグメントの内容が消去
される。これによつて、侵入者がコプロセツサと
トークン・カートリツジの間でのトランザクシヨ
ンを盗聴しても、カートリツジの情報内容の一部
しか入手できない。トークン情報のこの部分は、
それがコプロセツサにソフトウエア・パツケージ
の使用を許可するための有効なトークンであるこ
とをコプロセツサに対して確認するには充分であ
るが、侵入者がその元の内容を再構成して他のコ
プロセツサを斯して正当に所有していないキーを
受諾させるにはとても充分ではない。
上記のカートリツジ20の一実施例では、2個
のシフト・レジスタを使つて、読取り中にメモリ
内容のうち選択された半分が露出されるようにす
る。別の方法として、メモリ・セグメントを大き
くすること、選択の細分性を1ビツトより大きく
すること、あるいはアドレス可能な記憶されるデ
ータを使つて照会に回答する方法がある。これら
の方法では、システム設計者がコストとセキユリ
テイの兼ね合わせを考えなければならない。
この読取り操作中に、カートリツジ20の内容
の一部がコプロセツサに転送される。どの部分が
選択されるかは、コプロセツサによつて生成され
る「ランダム」数によつて決まる。次に「ランダ
ム」数とカートリツジ20からの回答が共にコプ
ロセツサに記憶される。次にこの情報や、やはり
ソフトウエア分配媒体からコプロセツサに転送さ
れるトークン・データと比較することができる
(第3図)。トークン・データが予想されるトーク
ン・データと一致しないと、トークン・カートリ
ツジが偽造された証拠とみなされ、その結果解読
キーを将来使用することがコプロセツサによつて
拒絶される。もちろん、保護ソフトウエアが実行
できるのは解読キーが将来使用できるように受諾
された場合だけである。
第2図は、カートリツジ20の一実施例の構成
図である。この実施例では、トークン装置は、コ
スト上および物理的セキユリテイ上の理由から、
単一シリコンCMOS集積回路チツプの形をとる。
このチツプは、データ記憶エレメント120,2
20がバツテリ26によつて連続的に電力を供給
されるように、適切な形に実装される。CMOS
集積回路は、これらのレジスタが、読み出されな
い場合、バツテリの有効寿命にほぼ等しい期間存
在されると予想できるほど小さな電力必要条件で
構成できる。データが読み取られる場合は、後述
のように、読取りに必要な他の構成要素に外部か
ら外部電力線と外部接地線27を介して電力が供
給される。第2図に示すように、カートリツジ2
0は、コネクタ23を介してコプロセツサまたは
上位パーソナル・コンピユータに結合される。コ
ネクタ23は、クロツク線、選択線、データ入力
線、データ出力線、外部電力線および外部接地線
を備えている。カートリツジ20は、直列入力お
よび直列出力左シフト式シフト・レジスタ120
と220の形の2つのメモリ・セグメントを備
え、第1のセグメントはセル121−12nを含
み、第2のセグメントはセル221−22nを含
んでいる。この種のシフト・レジスタは、その左
端のセル121,221に記憶されているビツト
の状態がその出力線D1,D2の状態に反映され
るという特性をもつている。これらのシフト・レ
ジスタは、さらに、クロツク・パルスの立下りが
そのクロツク線C1,C2に提示されると、各セ
ルの状況がそのすぐ右側のセルの状態に変わつ
て、レジスタ中のビツト・パターンが左にシフト
するという特性をもつている。右端のセル12
n,22nの場合は、クロツク・パルスの立下り
がくると、これらのセルはデータ入力線D3,D
4の状態をとる。2つのデータ入力線の各々にデ
ータ・ビツトを供給し、次にクロツク・パルスを
供給することにより、セルをデータで充填するこ
とができる。n個のクロツク・パルスの間この手
順を繰り返すと、レジスタのnビツトがすべて充
填される。次にこれらのビツトの(AKで)暗号
化されたコピーを作つてフロツピ・デイスクに記
憶させると、トークン・データの暗号化された解
読が供給できる。ソフトウエア作成者、この場合
は計算機センタが、この手段に従つてコプロセツ
サに対してAKを受諾することの許可を作成す
る。
読取り操作を実施するとき、コプロセツサによ
つて生成されたランダム数の各ビツトが選択線に
連続的に印加される。選択線21の各設定後に、
クロツク・パルスが生じる。両方のシフト・レジ
スタが各クロツク・パルスで左にシフトされる。
第1のシフト・レジスタからのデータは線D1に
印加され、第2のシフト・レジスタからのデータ
は線D2に印加される。どちらもマルチプレクサ
22に対する入力となる。マルチプレクサ22
は、コプロセツサまたは上位パーソナル・コンピ
ユータからの選択線21によつて制御される。選
択線21は、2つの信号D1とD2のどちらかを
ラツチ24を介してデータ出力端子に結合するか
を決定する。ラツチ24は、各クロツク・パルス
毎に選択を2回変更することにより、侵入者がト
ークン・データを入手するのを防止するために使
われる。この構成の結果、データ出力端子に各ビ
ツトが提示されるごとに、2ビツトがレジスタか
らシフト・アウトされ、許可に役立たない2ビツ
トがシフト・インされたことになる。
したがつて、カートリツジ20のメモリ内容全
体が読み出されたと仮定すると、選択線21およ
びデータ出力端子への入力を盗聴した者がいたと
しても、カートリツジ20の内容のせいぜい半分
しか知ることができない。コプロセツサは、暗号
化されたトークン情報から、その半分の中にどの
ビツトが現われるかを正確に知り、したがつてそ
の確認の妥当性を確認するのに充分な情報をもつ
が、侵入者は破壊された半分の内容を持たないた
め、許可を偽造することができない。
計算機センタのメインフレームにアクセスする
のに必要なAKなどのAKを獲得するようにコプ
ロセツサ15に要求が出されると、ARE処理が
開始する。それが始まるのは、暗号化されたソフ
トウエア解読キーと暗号化されたトークン・デー
タが、RAM151または一時メモリ15Tに読
み込まれるときである。さらに、前述のように
「ランダム」数がコプロセツサによつて発生され、
カートリツジ20上で読取り操作を行なう際に使
用される。「ランダム」数は、どのメモリ・セグ
メントのどのビツトをマルチプレクサ22に渡す
かを選択するために使用される。コプロセツサ1
5は、「ランダム」数をカートリツジ20から得
られたデータと一緒にRAM151に記憶する。
当業者なら理解できるはずであるが、トーク
ン・キヤリツジのデザインには非常に多数の変形
があるが、そのすべてが、カートリツジから読み
取られたデータが照会ビツトとトークン・データ
の内容の両者の関数として変形され、トークンの
完全な内容がわかつている場合はトークンから得
られる回答が予測できるという特性をもつてい
る。
コプロセツサはソフトウエア解読キーECSK
(AK)を解読し、得られたソフトウエア解読キ
ー(AK)を使つてトークン・データが解読さ
れ、平明なテキストの形のトークン・データが得
られる。コプロセツサ15の特徴の1つは、コプ
ロセツサ・ベンダーによつて1個または複数の
CSKが導入されていることである。複数のCSK
がある場合、暗号化されたソフトウエア・キーの
ヘツダに、正しいCSKに対する参照を備えるこ
とができる。このようなヘツダは、平明なテキス
トの形での正しいCSKに対する指標、または正
しいCSKを使つた場合にだけ所期のパターンに
解読される認識フラグをもたらすことができる。
他にも多くの方法がある。正しいCSKを用いて
EAKを解読した後、コプロセツサは記憶してい
る「ランダム」数または照会を平明なテキストの
形のトークン・データと組み合わせて、独自に
「正しい」回答を決定することができる。次に実
際の回答(カートリツジ20から受け取つたデー
タ)を「正しい」回答と比較することができる。
2つの量が一致した場合、それはカートリツジ2
0がコプロセツサに、AKを将来使用できるよう
に持久RAMまたは永続メモリ15Pに記憶する
ことを許可した証拠とみなされる。このとき、ユ
ーザは、計算機センタのメインフレームにアクセ
スするために必要なソフトウエアなど新しく獲得
したAKによつて保護されるソフトウエアをコプ
ロセツサが実行することを要求することができ、
その要求は充たされる。キーAKは記憶する前に
プロセツサによつて再暗号化できることに注意さ
れたい。この再暗号化ステツプを用いると、記憶
されているキーの保護が改善され、正しく使用し
た場合、コプロセツサの外部でのキーの記憶をサ
ポートすることができる。
一方、カートリツジの「正しい」回答と実際の
回答が一致しなかつた場合、そのソフトウエア解
読キー(AK)は捨てられ、コプロセツサは暗号
化されたソフトウエアを適正に実行することがで
きず、したがつて適用業務プログラムは適正に動
かない。
また、このトランザクシヨンによつてカートリ
ツジ20の内容が破壊され、それを再使用して他
のコプロセツサにその適用業務プログラムまたは
他の適用業務プログラムの実行を許可することが
できなくなることも自明のはずである。
コプロセツサが作成できるカートリツジの様々
なセグメントの内容の可能な選択の数と、侵入者
が試行鎖誤によつて再構成しなければならない情
報の量が莫大なものであるため、侵入者によるカ
ートリツジ20の再構成の成功に対する障害とな
る。偽造が成功する確率(P(偽造))は、コプロ
セツサが所定の要求ビツトで同じ選択を求める確
率(P(同一))と、侵入者が盗聴したトランザク
シヨンの「失われた」データを正しく推定する確
率(P(推定))と、検査トランザクシヨンでコプ
ロセツサが要求するビツトの数(Nビツト)の関
数である。P(偽造)={P(同一)+(1−P(同
一))×(P(偽造))}のNビツト乗。小さな集積チ
ツプで実際に容易に実現できるP(同一)=0.5、
P(推定)=0.5、Nビツト=128の場合、P(偽造)
は、大体10のマイナス16乗となる。侵入者が自分
の推定をテストする速度(PCPによつて設定さ
れる速度)を1秒に1回とすると、そうした小さ
なカートリツジでも探索に平均で2億年以上かか
ることになる。したがつて、コプロセツサは、読
取り中のカートリツジが、ソフトウエア・ベンダ
ーによつて所有権を検査するために供給されたの
か、それとも偽造されたものであるかを、うまく
偽造を行なうために必要な情報を露出させずに確
実に判定することができる。コプロセツサは、カ
ートリツジが検査された後で、後で使うために解
読キー(AK)のみを記憶する。
上記の装置以外に、第1図には、複合知能端末
が前記の入出力接続に加えてモデル400への接
続を含むことが示されている。モデム400は、
通常電話システムに対するインターフエースをと
つて、遠隔施設を公衆電話回線網を介して端末ま
たはパーソナル・コンピユータに接続させるため
に使用されている。
当業者には自明のように、モデムは、知能端末
を上位計算機複合体に接続する非常に多数の方法
のうちの1つにすぎない。具体的に言うと、ロー
カル・エリア・ネツトワーク、直接同軸ケーブ
ル、より二線式ワイヤ、光波、ラジオ放送が、端
末を計算機複合体に接続するその他の手段の一部
である。一部の上位メインフレーム計算機は、通
信制御装置とチヤネル以外の手段を介して、こう
した接続を受け入れることができる。
第1図では、知能端末が上位システム10とコ
プロセツサ15を含むものとして示してあるが、
それは本発明にとつて不可欠ではない。別の構成
では、コプロセツサは、端末とモデム400の間
のデータ経路内に配置される。この構成では、端
末は、ユーザ・インターフエース制御装置9、表
示装置11、手動入力13、および入出力ポート
19くらいのものから構成される。こうした複合
知能端末は、コプロセツサ15にAKをロードす
ることをサポートせず、したがつてそのトランザ
クシヨンをサポートするにはコプロセツサ15を
一時的に充分な知能システムに接続することが必
要になるはずである。この必要なトランザクシヨ
ンは、「ダム」端末をもつユーザをサポートする
計算機センタでのサービスとして実現すると好都
合である。
第4図は、モデル400を介して公衆電話回線
網410に、またネツトワークを介して遠隔計算
機センタに接続された(第1図の)複合知能端末
35を含むシステムの概略図である。第4図に示
すように、遠隔計算機センタは、通信制御装置4
30(代表的なものはIBM3725)を介してメイ
ンフレーム計算機(代表的なものはIBMシステ
ム1370)440のチヤンネル442に結合された
モデム420のバンクを含んでいる。チヤネル4
42は、メインフレーム440のCPU442と
主記憶装置446をモデムに接続している。第4
図に示すように、モデム400に接続された複合
知能端末35から、遠隔計算機センタにあるメイ
ンフレーム440のモデム・バンク420に至る
経路を421で表す。
本発明によれば、複合知能端末35に許可を与
えるために特定の手順を実施する。この手順を第
5図に概略的に示す。
第5図は、ユーザ500が遠隔端末35を使つ
て計算機センタのメインフレーム計算機440に
アクセスする許可を計算機センタ(または計算機
センタのスタツプ501)から受けるための手順
を示したものである。この手順は、ステツプS1
から始まり、このステツプで、ユーザ500は計
算機センタのスタツプ501に個人識別を提示す
る。ステツプS2でユーザのアイデンテイテイが、
メインフレーム440のフアイル中でそのユーザ
のコプロセツサ15の識別子として使われる独自
のキーと関連づけて記録される。ステツプS3で
ユーザは、そのセンタのメインフレーム440と
の通信をサポートする特別の端末エミユレータ、
またはそのセンタがユーザの複合端末システム3
5で遠隔アクセスする識別プログラムを含む、保
護されたソフトウエア分配セツトのコピーを与え
られる。ステツプS4で、ユーザ500はそのソ
フトウエアを自分のシステムに導入する。導入手
続については前述したが、一般に1986年11月5日
出願の米国特許出願第927629号に具体的に記載さ
れている手順と同様である。この導入手続中に、
複合知能端末システム35は検査メツセージを生
成する(ステツプS5)。この検査メツセージは、
たとえばキーAKを用いて暗号化され、通し番号
などコプロセツサ独自の識別を含んでいる。次に
ステツプS6で、ユーザは通常の任意のやり方で
その検査メツセージを計算機センタのスタツプ5
01に戻す。次にステツプS7で計算機センタの
ステツフ501はその検査メツセージをメインフ
レーム計算機440が使用できるようにする。次
にメインフレーム計算機440は予想されるコプ
ロセツサを識別するキー(ステツプS2で識別さ
れたキー)で検査メツセージを解読して、検査メ
ツセージの妥当性をテストする。検査メツセージ
が有効な場合、メインフレーム440はその後、
複合端末システム35を介してそのユーザ510
と独自に通信できる状態になる。妥当性はAKに
よる暗号化のみに依存するものの、コプロセツサ
独自の識別子(たとえば通し番号)を以前にステ
ツプS2で記憶された情報と比較する必要がある
こともある。
第6図は、遠隔計算機センタ440のメインフ
レーム440とユーザ500、もつと具体的には
その複合知識端末システム35の間の代表的な通
信セツシヨンを示したものである。ステツプ11
で、ユーザは自分の複合知能端末システム35に
ログオン要求を送る。それを受けて、端末システ
ムは公衆電話交換網接続線(第1図および第4図
参照)を使つて遠隔計算機センタにユーザ識別を
そのログオン要求と一緒に送る(ステツプ12)。
先に指摘したように、このメツセージは平文形
式でも、またいくつか(またはすべて)のコプロ
セツサに共通のキーを用いて暗号化してもよい。
次にステツプ13で、遠隔計算機センタ、より具体
的にはメインフレーム計算機440があるメツセ
ージを生成してそれを戻す。このメツセージは、
ステツプS12で送られたログオン要求中で識別さ
れた複合知能端末システム35のコプロセツサ1
5が解読できるものである。たとえば、S13.メツ
セージはAKで暗号化されている。計算機センタ
は、S12で送られたユーザ識別を用いて、識別さ
れた遠隔端末に対する適切なキーAKを識別する
ことができる。このとき複合知能端末システムに
常駐するソフトウエアが、ステツプS14で検証メ
ツセージを作成して送り、メインフレーム440
はそれを受け取ると、それが予想されたコプロセ
ツサおよび正しいソフトウエア・パツケージであ
ることを確認することができる。前述のように、
ステツプS14の検証メツセージは、下記の特徴を
もつデータ・ストリーム(S13でもたらされた)
の変形である。
a 変形の結果が入力データ・ストリームと解読
キーの一義的関数である。
b 結果を検討することにより、解読キーをその
変形を実行するプロセツサが使用できたことを
確認することができた。
c 結果と入力データ・ストリームを検討するこ
とにより、解読キー自体を決定できない。
その後、通常の通信を平明なテキストまたは暗
号化されたテキストの形でどちらかの方向にでも
進めることができる(ステツプS15)。メインフ
レーム440によつて選択される任意の期間で定
期的にまたはランダムに、ステツプS13とS14を
繰り返して、ステツプS15で表される確立された
セツシヨンが許可のないユーザに送られないよう
にする。
代表的な通信セツシヨンについての先の説明で
は、第6図に示すように、計算機センタと遠隔端
末(コプロセツサを介して)が同じ暗号化キー
AKを使うものと仮定してきた。しかし別のオプ
シヨンも使用できる。前述のように単一の解読キ
ー(AK)を導入するのではなく、導入過程でコ
プロセツサの所に1対のキーAK1,AK2を導
入した場合、計算機センタからの送信はAK1で
暗号化し、遠隔端末からの送信はAK2で暗号化
することができる。
遠隔端末でAK1とAK2をともに導入する導
入処理によつて、両方のキーが計算センタのメツ
セージの解読と計算センタへの伝送の暗号化に利
用可能である。
同様に、計算センタは、遠隔端末からのメツセ
ージの解読と遠隔端末へのメツセージの暗号化の
ために利用可能な両方のキー(AK1とAK2)
をもつことになろう。
なお、遠隔端末でコプロセツサまたはPCPに
よつて実行される動作がユーザまたはそのホスト
あるいは端末に対して透過性であることも明らか
であるべきである。たとえば、ユーザもその端末
またはホストも解読キーへのアクセスをもたず、
したがつて、もちろん、それらのキーなしではユ
ーザもその端末またはホストも計算センタとの間
でメツセージを解読または暗号化することができ
ない。そうではなくむしろ、ホストまたは端末で
受信された暗号化されたメツセージは、解読のた
めコプロセツサに渡されなくてはならない。同様
に、ホストまたは端末が計算センタへの伝送のた
め情報を発生する範囲まで、その情報は暗号化の
ためコプロセツサに渡されなくてはならない。ユ
ーザ(またはそのホストあるいは端末)は何らか
の情報が平文で伝送されるという事実を知らない
ということもあり得る。また、遠隔端末へ伝送さ
れる情報が暗号化されるか否かおよびそれは何時
かということは、もちろん計算センタの制御下に
ある。同様に、計算センタは、PCPまたはコプ
ロセツサを制御することによつて、何時およびど
の程度まで、遠隔端末によつて伝送される情報が
暗号化されるべきかを判断することができる。
全く同様に、計算センタとコプロセツサの間の
通信リンクを上位システムと端末のどちらも利用
できないので、計算機センタが単独で決定すると
きに、暗号化/解読に実際に使用されるキーを変
更することができる。たとえば、通信セツシヨン
中に計算機センタがPCPに、キーAK(またはキ
ー対AK1,AK2)から別のキーBK(または別
のキー対BK1,BK2)に切り替えよとのコマ
ンドを送ることができる。こうした操作は、ユー
ザおよびその上位システムまたは端末にとつて完
全に透明である。新しいBK(またはキー対BK
1,BK2)をコプロセツサ内に常駐させること
も可能であるが、別のキー(AK)で開始された
セツシヨン中にこれらのキーをコプロセツサに送
ることも、本発明の範囲に含まれる。
また、計算機センタが初期の暗号化された交換
(ステツプS13、S14)を用いて、単にコプロセツ
サまたはPCPを許可を受けた端末として識別し、
その後に許可を受けた端末との各通信セツシヨン
ごとにそれ用の一義的セツシヨンキーを生成する
ことも、本発明の範囲に含まれる。それぞれキー
またはキー対(あるいはより大きな1組のキー)
にアクセスできるセツシヨン参加者が、その情報
を用いて一義的セツシヨン・キーを生成できるこ
とは、充分に通常の技能の範囲内に含まれ、ここ
で説明する必要はない。当然のことながら許可を
受けた端末と計算機センタは、この共通の情報を
もち、したがつて必要に応じて一義的セツシヨ
ン・キーを生成することができる。
代表的な初期許可プロセスについては、既に第
5図に関して説明した。前述のように、このプロ
セスには、ステツプS1、S3、S4、S5、S6でユー
ザ500がインターフエースをとる必要のないバ
リエーシヨンがある。この方法では、遠隔端末、
または少なくとも許可される遠隔端末のコプロセ
ツサ要素が計算機センタの同じ場所にあり、メイ
ンフレーム440と直接連絡している。この状態
で、ステツプS1、S3、S4、S5、S6の間に転送さ
れた情報は、ユーザ500が存在せずに実施する
ことができる。さらに具体的にいうと、コプロセ
ツサ15は、通常の任意のプロトコルを使つて、
自分自身を(たとえば通し番号などコプロセツサ
特有の番号を含む)メインフレームに対して識別
することができ、メインフレーム440はキー
AKを直接コプロセツサ15に転送することがで
きる。この手順では、明らかに、通し番号をユー
ザに秘密にしておくことが必要である。したがつ
てこの手順では、本願に記載する遠隔端末セキユ
リテイ方式を使うケースの一部分で、計算機セン
タから分配されるコプロセツサが必要になると予
想される。この手順の結果、メインフレーム44
0は特定のコプロセツサおよびそれが使用できる
解読キーを識別する情報を記憶しており、第5図
に関して示唆したすべてのステツプは、ユーザ5
00にコプロセツサまたはPCPが供給される前
に実施される。その後、ユーザはコプロセツサま
たはPCPを所有し、それを遠隔端末に運ぶ。ユ
ーザはその直後に第6図に示すような通信セツシ
ヨンを実施することができる。
別法として、コプロセツサが計算機センタにあ
るメインフレーム440と物理的に同じ場所にあ
るとき、ステツプS1、S3、S4で表される情報を
実施することができる。その後、コプロセツサま
たはPCPがユーザ500に提示され、ユーザは
それを自分の上位システムまたは遠隔端末に運
ぶ。この時点で、コプロセツサが計算機センタか
ら遠隔の場所にある状態で、第5図に示される残
りのステツプ(S5、S6)が実施される。
以上の説明から明らかなように、本発明は先に
述べた目的に合致する。当業者には明らかなよう
に、本発明の精神および範囲から逸脱することな
く、多くの様々な変更を加えることができる。た
とえば、デイスクとトークンの対を用いてPCP
に解読キー(AK)を導入することについて詳し
く説明したが、1986年11月出願の米国特許出願第
927629号および第927299号に記載されているよう
に、トークン/デイスク対を使う以外にも、解読
キー(AK)をPCPに安全に転送するのに使用で
きる様々な方法がある。こうした他の方法の多く
は、PCP対間の直接通信リンクに依存するもの
であり、安全な情報の転送前に、この通信の当事
者は通信の相手方当事者が「フアミリーの一員」
であることに満足することが必要である。したが
つて、本発明は本明細書に記載した特定の例に限
られるものではなく、頭記の特許請求の範囲に基
づいて解釈すべきである。
F 発明の効果 以上述べたように、本発明は、平文テキストの
形による暗号キーの移送要件を軽減するものであ
る。
すなわち、本発明は、既存の一般のシステムよ
りもずつと安全な遠隔端末セキユリテイ・システ
ムを提供する。
【図面の簡単な説明】
第1図は、PCPすなわちコプロセツサを含む
遠隔端末の概略図である。第1図の例では、遠隔
端末は上位計算機またはパーソナル・コンピユー
タを含んでいる。第2図は、平明なテキストによ
るトークン・リングを記憶するのに安全に記憶で
きるハードウエア・カートリツジの概略図であ
る。第3図は、トークン/デイスク対のデイスク
成分の内容の一例である。第4図は、公衆交換網
を介して計算機複合体に結合された第1図の遠隔
端末の概略図である。第5図は、本発明にもとづ
く遠隔端末許可手順の一実施例の説明図である。
第6図は、本発明にもとづく遠隔端末と計算機複
合体の間の典型的な通信セツシヨンの説明図であ
る。

Claims (1)

  1. 【特許請求の範囲】 1 (a) 中央計算機440から、物理的に安全な
    コプロセツサ15に、暗号化された解読キー
    (EAK)を転送する段階と、 (b) 上記物理的に安全なコプロセツサにおいて、
    上記暗号化された解読キーを解読して、解読キ
    ー(AK)として記憶する段階と、 (c) 上記物理的に安全なコプロセツサを端末10
    に接続する段階と、 (d) 上記コプロセツサから上記中央計算機に、上
    記物理的に安全なコプロセツサに固有の情報を
    含むフアイルを、上記キー(AK)を使用して
    暗号化して転送することによつて、上記中央計
    算機が、該暗号化されたフアイルを作成したコ
    プロセツサを識別することを可能ならしめる段
    階と、 (e) 上記端末による上記中央計算機へのアクセス
    を承認する前に、特定のコプロセツサが上記暗
    号化されたフアイルを作成したことを検証する
    ために、上記中央計算機で上記暗号化されたフ
    アイルを検査する段階を有する、 遠隔端末アクセス方法。
JP62228696A 1986-11-05 1987-09-14 遠隔端末アクセス方法 Granted JPS63125030A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US06/927,306 US4916738A (en) 1986-11-05 1986-11-05 Remote access terminal security
US927306 1986-11-05

Publications (2)

Publication Number Publication Date
JPS63125030A JPS63125030A (ja) 1988-05-28
JPH0524696B2 true JPH0524696B2 (ja) 1993-04-08

Family

ID=25454546

Family Applications (1)

Application Number Title Priority Date Filing Date
JP62228696A Granted JPS63125030A (ja) 1986-11-05 1987-09-14 遠隔端末アクセス方法

Country Status (3)

Country Link
US (1) US4916738A (ja)
EP (1) EP0268141A3 (ja)
JP (1) JPS63125030A (ja)

Families Citing this family (108)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5434999A (en) * 1988-11-09 1995-07-18 Bull Cp8 Safeguarded remote loading of service programs by authorizing loading in protected memory zones in a terminal
FR2638868B1 (fr) * 1988-11-09 1990-12-21 Bull Cp8 Systeme de telechargement securise d'un terminal et procede mis en oeuvr
US5128996A (en) * 1988-12-09 1992-07-07 The Exchange System Limited Partnership Multichannel data encryption device
ATE143511T1 (de) * 1989-04-28 1996-10-15 Softel Inc Verfahren und vorrichtung zur fernsteuerung und - überwachung der anwendung von rechnerprogrammen
CA2053261A1 (en) * 1989-04-28 1990-10-29 Gary D. Hornbuckle Method and apparatus for remotely controlling and monitoring the use of computer software
EP0398492B1 (en) * 1989-05-15 1997-01-22 International Business Machines Corporation A flexible interface to authentication services in a distributed data processing system
US5263158A (en) * 1990-02-15 1993-11-16 International Business Machines Corporation Method and system for variable authority level user access control in a distributed data processing system having multiple resource manager
US5056140A (en) * 1990-02-22 1991-10-08 Blanton Kimbell Communication security accessing system and process
GB9010603D0 (en) * 1990-05-11 1990-07-04 Int Computers Ltd Access control in a distributed computer system
US5193114A (en) * 1991-08-08 1993-03-09 Moseley Donald R Consumer oriented smart card system and authentication techniques
US5453601A (en) * 1991-11-15 1995-09-26 Citibank, N.A. Electronic-monetary system
US5557518A (en) 1994-04-28 1996-09-17 Citibank, N.A. Trusted agents for open electronic commerce
US7028187B1 (en) 1991-11-15 2006-04-11 Citibank, N.A. Electronic transaction apparatus for electronic commerce
US5280581A (en) * 1992-02-27 1994-01-18 Hughes Aircraft Company Enhanced call-back authentication method and apparatus for remotely accessing a host computer from a plurality of remote sites
JPH07507893A (ja) * 1992-06-12 1995-08-31 ザ、ダウ、ケミカル、カンパニー プロセス制御コンピュータ用保安フロントエンド通信システムおよび方法
US5692048A (en) * 1993-04-15 1997-11-25 Ricoh Company, Ltd. Method and apparatus for sending secure facsimile transmissions and certified facsimile transmissions
US5521323A (en) * 1993-05-21 1996-05-28 Coda Music Technologies, Inc. Real-time performance score matching
US5590199A (en) * 1993-10-12 1996-12-31 The Mitre Corporation Electronic information network user authentication and authorization system
US6088797A (en) * 1994-04-28 2000-07-11 Rosen; Sholom S. Tamper-proof electronic processing device
KR0152788B1 (ko) 1994-11-26 1998-10-15 이헌조 디지탈 영상 시스템의 복사 방지 방법 및 장치
KR0136458B1 (ko) 1994-12-08 1998-05-15 구자홍 디지탈 자기 기록재생 시스템의 복사 방지장치
US5588059A (en) * 1995-03-02 1996-12-24 Motorola, Inc. Computer system and method for secure remote communication sessions
US5680456A (en) * 1995-03-31 1997-10-21 Pitney Bowes Inc. Method of manufacturing generic meters in a key management system
US7937312B1 (en) * 1995-04-26 2011-05-03 Ebay Inc. Facilitating electronic commerce transactions through binding offers
US7702540B1 (en) * 1995-04-26 2010-04-20 Ebay Inc. Computer-implement method and system for conducting auctions on the internet
US5884277A (en) * 1995-05-01 1999-03-16 Vinod Khosla Process for issuing coupons for goods or services to purchasers at non-secure terminals
US5745886A (en) * 1995-06-07 1998-04-28 Citibank, N.A. Trusted agents for open distribution of electronic money
US5671280A (en) * 1995-08-30 1997-09-23 Citibank, N.A. System and method for commercial payments using trusted agents
US5771291A (en) * 1995-12-11 1998-06-23 Newton; Farrell User identification and authentication system using ultra long identification keys and ultra large databases of identification keys for secure remote terminal access to a host computer
US5923762A (en) * 1995-12-27 1999-07-13 Pitney Bowes Inc. Method and apparatus for ensuring debiting in a postage meter prior to its printing a postal indicia
JP3937475B2 (ja) * 1996-06-14 2007-06-27 キヤノン株式会社 アクセス制御システムおよびその方法
US6026226A (en) * 1996-10-28 2000-02-15 Altera Corporation Local compilation in context within a design hierarchy
US6523119B2 (en) * 1996-12-04 2003-02-18 Rainbow Technologies, Inc. Software protection device and method
US6708221B1 (en) * 1996-12-13 2004-03-16 Visto Corporation System and method for globally and securely accessing unified information in a computer network
US7287271B1 (en) 1997-04-08 2007-10-23 Visto Corporation System and method for enabling secure access to services in a computer network
US20060195595A1 (en) * 2003-12-19 2006-08-31 Mendez Daniel J System and method for globally and securely accessing unified information in a computer network
US6192473B1 (en) 1996-12-24 2001-02-20 Pitney Bowes Inc. System and method for mutual authentication and secure communications between a postage security device and a meter server
US6144743A (en) * 1997-02-07 2000-11-07 Kabushiki Kaisha Toshiba Information recording medium, recording apparatus, information transmission system, and decryption apparatus
US6766454B1 (en) * 1997-04-08 2004-07-20 Visto Corporation System and method for using an authentication applet to identify and authenticate a user in a computer network
US7290288B2 (en) 1997-06-11 2007-10-30 Prism Technologies, L.L.C. Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network
US6678822B1 (en) 1997-09-25 2004-01-13 International Business Machines Corporation Method and apparatus for securely transporting an information container from a trusted environment to an unrestricted environment
US6073240A (en) * 1997-10-28 2000-06-06 International Business Machines Corporation Method and apparatus for realizing computer security
US6301344B1 (en) 1997-11-05 2001-10-09 Protel, Inc. Intelligent public telephone system and method
US7209949B2 (en) 1998-05-29 2007-04-24 Research In Motion Limited System and method for synchronizing information between a host system and a mobile data communication device
US6438585B2 (en) 1998-05-29 2002-08-20 Research In Motion Limited System and method for redirecting message attachments between a host system and a mobile data communication device
JP4289710B2 (ja) * 1999-03-01 2009-07-01 ローム株式会社 認証機能を有する通信システム
US7136838B1 (en) * 1999-03-27 2006-11-14 Microsoft Corporation Digital license and method for obtaining/providing a digital license
US7073063B2 (en) 1999-03-27 2006-07-04 Microsoft Corporation Binding a digital license to a portable device or the like in a digital rights management (DRM) system and checking out/checking in the digital license to/from the portable device or the like
US7383205B1 (en) 1999-03-27 2008-06-03 Microsoft Corporation Structure of a digital content package
US7051005B1 (en) 1999-03-27 2006-05-23 Microsoft Corporation Method for obtaining a black box for performing decryption and encryption functions in a digital rights management (DRM) system
US6829708B1 (en) * 1999-03-27 2004-12-07 Microsoft Corporation Specifying security for an element by assigning a scaled value representative of the relative security thereof
US20020019814A1 (en) * 2001-03-01 2002-02-14 Krishnamurthy Ganesan Specifying rights in a digital rights license according to events
US20020012432A1 (en) * 1999-03-27 2002-01-31 Microsoft Corporation Secure video card in computing device having digital rights management (DRM) system
US7103574B1 (en) 1999-03-27 2006-09-05 Microsoft Corporation Enforcement architecture and method for digital rights management
US7319759B1 (en) 1999-03-27 2008-01-15 Microsoft Corporation Producing a new black box for a digital rights management (DRM) system
US6816596B1 (en) 2000-01-14 2004-11-09 Microsoft Corporation Encrypting a digital object based on a key ID selected therefor
US7024393B1 (en) 1999-03-27 2006-04-04 Microsoft Corporation Structural of digital rights management (DRM) system
US6973444B1 (en) 1999-03-27 2005-12-06 Microsoft Corporation Method for interdependently validating a digital content package and a corresponding digital license
GB2355819A (en) * 1999-10-26 2001-05-02 Marconi Comm Ltd Authentication of data and software
AU2000269232A1 (en) * 2000-01-14 2001-07-24 Microsoft Corporation Specifying security for an element by assigning a scaled value representative ofthe relative security thereof
US6772340B1 (en) 2000-01-14 2004-08-03 Microsoft Corporation Digital rights management system operating on computing device and having black box tied to computing device
US7353209B1 (en) * 2000-01-14 2008-04-01 Microsoft Corporation Releasing decrypted digital content to an authenticated path
US6912528B2 (en) * 2000-01-18 2005-06-28 Gregg S. Homer Rechargeable media distribution and play system
US7010808B1 (en) 2000-08-25 2006-03-07 Microsoft Corporation Binding digital content to a portable storage device or the like in a digital rights management (DRM) system
US20020046055A1 (en) * 2000-09-05 2002-04-18 Mediacom.Net, Llc Biometric verification system and method for internet services
US7194759B1 (en) 2000-09-15 2007-03-20 International Business Machines Corporation Used trusted co-servers to enhance security of web interaction
DE10046614C1 (de) * 2000-09-20 2002-05-29 Teraport Gmbh Verfahren zur Ausführung von elektronischen Ingenieursanwendungen
US7225231B2 (en) * 2000-09-20 2007-05-29 Visto Corporation System and method for transmitting workspace elements across a network
US7039615B1 (en) * 2000-09-28 2006-05-02 Microsoft Corporation Retail transactions involving digital content in a digital rights management (DRM) system
US7149722B1 (en) 2000-09-28 2006-12-12 Microsoft Corporation Retail transactions involving distributed and super-distributed digital content in a digital rights management (DRM) system
US7302703B2 (en) * 2000-12-20 2007-11-27 Aol, Llc A Delaware Limited Liability Company Hardware token self enrollment process
KR100612825B1 (ko) * 2001-02-10 2006-08-14 삼성전자주식회사 발신자 번호와 일회용 암호를 이용한 전화 쇼핑 서비스제공 시스템 및 방법
US6948073B2 (en) * 2001-06-27 2005-09-20 Microsoft Corporation Protecting decrypted compressed content and decrypted decompressed content at a digital rights management client
US7239708B2 (en) 2001-06-27 2007-07-03 Microsoft Corporation Protecting decrypted compressed content and decrypted decompressed content at a digital rights management client
US7904392B2 (en) * 2001-10-25 2011-03-08 Panasonic Corporation Content usage rule management system
US7680743B2 (en) * 2002-05-15 2010-03-16 Microsoft Corporation Software application protection by way of a digital rights management (DRM) system
US20080046592A1 (en) 2002-06-26 2008-02-21 Research In Motion Limited System and Method for Pushing Information Between a Host System and a Mobile Data Communication Device
US8028077B1 (en) * 2002-07-12 2011-09-27 Apple Inc. Managing distributed computers
US7370212B2 (en) 2003-02-25 2008-05-06 Microsoft Corporation Issuing a publisher use license off-line in a digital rights management (DRM) system
US7310423B2 (en) * 2003-04-24 2007-12-18 General Instrument Corporation Processing multiple encrypted transport streams
US8103592B2 (en) * 2003-10-08 2012-01-24 Microsoft Corporation First computer process and second computer process proxy-executing code on behalf of first process
US7788496B2 (en) * 2003-10-08 2010-08-31 Microsoft Corporation First computer process and second computer process proxy-executing code on behalf thereof
US7979911B2 (en) * 2003-10-08 2011-07-12 Microsoft Corporation First computer process and second computer process proxy-executing code from third computer process on behalf of first process
US20060242406A1 (en) * 2005-04-22 2006-10-26 Microsoft Corporation Protected computing environment
US8347078B2 (en) 2004-10-18 2013-01-01 Microsoft Corporation Device certificate individualization
US8336085B2 (en) 2004-11-15 2012-12-18 Microsoft Corporation Tuning product policy using observed evidence of customer behavior
US7890428B2 (en) * 2005-02-04 2011-02-15 Microsoft Corporation Flexible licensing architecture for licensing digital application
US7549051B2 (en) * 2005-03-10 2009-06-16 Microsoft Corporation Long-life digital certification for publishing long-life digital content or the like in content rights management system or the like
US8438645B2 (en) 2005-04-27 2013-05-07 Microsoft Corporation Secure clock with grace periods
US7856404B2 (en) * 2005-04-14 2010-12-21 Microsoft Corporation Playlist burning in rights-management context
US8738536B2 (en) * 2005-04-14 2014-05-27 Microsoft Corporation Licensing content for use on portable device
US8725646B2 (en) 2005-04-15 2014-05-13 Microsoft Corporation Output protection levels
US8290874B2 (en) * 2005-04-22 2012-10-16 Microsoft Corporation Rights management system for streamed multimedia content
US7693280B2 (en) 2005-04-22 2010-04-06 Microsoft Corporation Rights management system for streamed multimedia content
US9507919B2 (en) 2005-04-22 2016-11-29 Microsoft Technology Licensing, Llc Rights management system for streamed multimedia content
US9436804B2 (en) 2005-04-22 2016-09-06 Microsoft Technology Licensing, Llc Establishing a unique session key using a hardware functionality scan
US9363481B2 (en) * 2005-04-22 2016-06-07 Microsoft Technology Licensing, Llc Protected media pipeline
US8091142B2 (en) * 2005-04-26 2012-01-03 Microsoft Corporation Supplementary trust model for software licensing/commercial digital distribution policy
US20060265758A1 (en) * 2005-05-20 2006-11-23 Microsoft Corporation Extensible media rights
US7684566B2 (en) * 2005-05-27 2010-03-23 Microsoft Corporation Encryption scheme for streamed multimedia content protected by rights management system
US7567658B1 (en) 2005-06-22 2009-07-28 Intellicall, Inc. Method to verify designation of pay telephone with an interexchange carrier
US8321690B2 (en) * 2005-08-11 2012-11-27 Microsoft Corporation Protecting digital media of various content types
WO2007030931A1 (en) * 2005-09-14 2007-03-22 Tetraglyph Technologies Inc. System and method for preventing unauthorized use of digital works
RU2469391C2 (ru) * 2006-04-24 2012-12-10 Сипак Аб Устройство и способ для идентификации и аутентификации
US8181038B2 (en) * 2007-04-11 2012-05-15 Cyberlink Corp. Systems and methods for executing encrypted programs
US8320638B2 (en) 2008-04-10 2012-11-27 Pitt Alan M Anonymous association system utilizing biometrics
FR2933564A1 (fr) * 2008-07-02 2010-01-08 Thomson Licensing Procede d'embrouillage et desembrouillage pour le transport de flux de donnees audio video mpeg2
US20220166762A1 (en) * 2020-11-25 2022-05-26 Microsoft Technology Licensing, Llc Integrated circuit for obtaining enhanced privileges for a network-based resource and performing actions in accordance therewith

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS613254A (ja) * 1984-06-15 1986-01-09 Nippon Telegr & Teleph Corp <Ntt> 利用者認証方式
JPS6172345A (ja) * 1984-09-14 1986-04-14 インタ−ナショナル ビジネス マシ−ンズ コ−ポレ−ション ソフトウエアのコピー保護装置

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3798359A (en) * 1971-06-30 1974-03-19 Ibm Block cipher cryptographic system
US3798605A (en) * 1971-06-30 1974-03-19 Ibm Centralized verification system
US3958081A (en) * 1975-02-24 1976-05-18 International Business Machines Corporation Block cipher system for data security
US4193131A (en) * 1977-12-05 1980-03-11 International Business Machines Corporation Cryptographic verification of operational keys used in communication networks
US4238854A (en) * 1977-12-05 1980-12-09 International Business Machines Corporation Cryptographic file security for single domain networks
US4238853A (en) * 1977-12-05 1980-12-09 International Business Machines Corporation Cryptographic communication security for single domain networks
US4227253A (en) * 1977-12-05 1980-10-07 International Business Machines Corporation Cryptographic communication security for multiple domain networks
US4262329A (en) * 1978-03-27 1981-04-14 Computation Planning, Inc. Security system for data processing
US4268715A (en) * 1978-05-03 1981-05-19 Atalla Technovations Method and apparatus for securing data transmissions
US4223403A (en) * 1978-06-30 1980-09-16 International Business Machines Corporation Cryptographic architecture for use with a high security personal identification system
FR2448825A1 (fr) * 1979-02-06 1980-09-05 Telediffusion Fse Systeme de transmission d'information entre un centre d'emission et des postes recepteurs, ce systeme etant muni d'un moyen de controle de l'acces a l'information transmise
US4281216A (en) * 1979-04-02 1981-07-28 Motorola Inc. Key management for encryption/decryption systems
US4264782A (en) * 1979-06-29 1981-04-28 International Business Machines Corporation Method and apparatus for transaction and identity verification
FR2469760A1 (fr) * 1979-11-09 1981-05-22 Cii Honeywell Bull Procede et systeme d'identification de personnes demandant l'acces a certains milieux
FR2477344B1 (fr) * 1980-03-03 1986-09-19 Bull Sa Procede et systeme de transmission d'informations confidentielles
US4326098A (en) * 1980-07-02 1982-04-20 International Business Machines Corporation High security system for electronic signature verification
SE426128B (sv) * 1981-04-08 1982-12-06 Philips Svenska Ab Metod vid overforing av datameddelanden mellan tva stationer, samt overforingsanleggning for utforande av metoden
US4423287A (en) * 1981-06-26 1983-12-27 Visa U.S.A., Inc. End-to-end encryption system and method of operation
US4503287A (en) * 1981-11-23 1985-03-05 Analytics, Inc. Two-tiered communication security employing asymmetric session keys
US4430728A (en) * 1981-12-29 1984-02-07 Marathon Oil Company Computer terminal security system
NL8201077A (nl) * 1982-03-16 1983-10-17 Philips Nv Kommunikatiesysteem, bevattende een centrale dataverwerkende inrichting, toegangsstations en externe stations, waarbij een kryptografische kontrole is voorzien op vervalsing van een extern station, alsmede externe stations voor gebruik in zo een kommunikatiesysteem.
GB2124808B (en) * 1982-07-27 1986-06-11 Nat Res Dev Security system
EP0118995A1 (en) * 1983-02-22 1984-09-19 BRITISH TELECOMMUNICATIONS public limited company Generation of identification keys
US4652990A (en) * 1983-10-27 1987-03-24 Remote Systems, Inc. Protected software access control apparatus and method
US4621321A (en) * 1984-02-16 1986-11-04 Honeywell Inc. Secure data processing system architecture
US4694492A (en) * 1984-11-09 1987-09-15 Pirmasafe, Inc. Computer communications security control system
US4691355A (en) * 1984-11-09 1987-09-01 Pirmasafe, Inc. Interactive security control system for computer communications and the like
US4779224A (en) * 1985-03-12 1988-10-18 Moseley Donald R Identity verification method and apparatus
US4731840A (en) * 1985-05-06 1988-03-15 The United States Of America As Represented By The United States Department Of Energy Method for encryption and transmission of digital keying data
US4677670A (en) * 1985-07-01 1987-06-30 Henderson Jr Paul B Paired-secure message identification controller for computers and the like
US4683968A (en) * 1985-09-03 1987-08-04 Burroughs Corporation System for preventing software piracy employing multi-encrypted keys and single decryption circuit modules

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS613254A (ja) * 1984-06-15 1986-01-09 Nippon Telegr & Teleph Corp <Ntt> 利用者認証方式
JPS6172345A (ja) * 1984-09-14 1986-04-14 インタ−ナショナル ビジネス マシ−ンズ コ−ポレ−ション ソフトウエアのコピー保護装置

Also Published As

Publication number Publication date
EP0268141A3 (en) 1991-03-27
JPS63125030A (ja) 1988-05-28
EP0268141A2 (en) 1988-05-25
US4916738A (en) 1990-04-10

Similar Documents

Publication Publication Date Title
JPH0524696B2 (ja)
RU2147790C1 (ru) Передача лицензии на программное обеспечение для элемента аппаратного обеспечения
EP2267628B1 (en) Token passing technique for media playback devices
US7032240B1 (en) Portable authorization device for authorizing use of protected information and associated method
US4817140A (en) Software protection system using a single-key cryptosystem, a hardware-based authorization system and a secure coprocessor
US6367019B1 (en) Copy security for portable music players
EP0848315B1 (en) Securely generating a computer system password by utilizing an external encryption algorithm
US6871192B2 (en) System and method for preventing unauthorized use of protected software utilizing a portable security device
EP0005179A2 (en) Authenticating the identity of a user of an information system
JPH10508438A (ja) キー・エスクローおよびデータ・エスクロー暗号化のためのシステムおよび方法
CN1326629A (zh) 鉴定及利用计算机系统安全资源的方法和系统
EP0266748B1 (en) A software protection system using a single-key cryptosystem, a hardware-based authorization system and a secure coprocessor
WO2004006075A1 (ja) 開放型汎用耐攻撃cpu及びその応用システム
EP3031001A1 (en) Secure data storage
WO2004044751A1 (fr) Procede de realisation d&#39;un stockage securise et stockage d&#39;algorithme au moyen d&#39;un dispositif de memoire a semi-conducteur
CA2393543C (en) Portable authorization device for authorizing use of protected information and associated method
JPH07123086A (ja) Icカードを利用した著作物通信管理システム
KR101043255B1 (ko) Usb 허브 보안 장치 및 이를 이용한 데이터 보안 방법
CN101008927A (zh) 信息处理装置、便携终端装置及信息处理执行控制方法
KR100423506B1 (ko) 아이씨칩내장카드를 이용한 온라인상에서의 소프트웨어불법복제방지방법
WO1987005175A1 (en) Method and apparatus for distributing and protecting encryption key codes
US6694432B1 (en) Securing data in a machine for testing electronic components
CN117640076A (zh) 基于u盾的文档加解密方法、装置、计算机设备及存储介质
RU2126170C1 (ru) Механизм взаимоаутентификации в распределенных информационно-управляющих системах