JPH09149021A - 暗号のキー管理システム - Google Patents

暗号のキー管理システム

Info

Publication number
JPH09149021A
JPH09149021A JP8114070A JP11407096A JPH09149021A JP H09149021 A JPH09149021 A JP H09149021A JP 8114070 A JP8114070 A JP 8114070A JP 11407096 A JP11407096 A JP 11407096A JP H09149021 A JPH09149021 A JP H09149021A
Authority
JP
Japan
Prior art keywords
key
box
area
computer
master
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP8114070A
Other languages
English (en)
Inventor
Walter J Baker
ジェイ ベイカー ウォルター
Feliks Bator
バトー フェリクス
Robert A Cordery
エイ コーデリー ロバート
Kevin D Hunter
ディー ハンター ケヴィン
Kathryn V Lawton
ヴィー ロートン キャスリン
Louis J Loglisci
ジェイ ログリッチ ルイス
Steven J Pauly
ジェイ パウリー スティーヴン
Leon A Pintsov
エイ ピンツォフ リーオン
Frederick W Ryan Jr
ダブリュー ライアン ジュニア フレデリック
Monroe A Weiant Jr
エイ ワイアント ジュニア モンロー
Gary M Heiden
エム ハイデン ゲアリー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Pitney Bowes Inc
Original Assignee
Pitney Bowes Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Pitney Bowes Inc filed Critical Pitney Bowes Inc
Publication of JPH09149021A publication Critical patent/JPH09149021A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00846Key management
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00846Key management
    • G07B2017/00854Key generation
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00846Key management
    • G07B2017/00862Key storage, e.g. escrowing by trusted third party
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00846Key management
    • G07B2017/0087Key distribution
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00846Key management
    • G07B2017/00895Key verification, e.g. by using trusted party
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00959Cryptographic modules, e.g. a PC encryption board
    • G07B2017/00967PSD [Postal Security Device] as defined by the USPS [US Postal Service]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)
  • Storage Device Security (AREA)
  • Lock And Its Accessories (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

(57)【要約】 【課題】暗号手段を用いる情報トランズアクション・シ
ステムによって用いられる暗号キーを生成し、分配し、
且つ管理するキー管理システムを提供する。 【解決手段】このシステムは、互いに結合された複数の
機能的に別個の安全ボックスを有する。各々の安全ボッ
クスは、キーの生成、キーの取付け、キーの検証或いは
トークンの有効性のための機能を果たす。安全ボックス
に結合されたコンピュータは、システム制御を与え、安
全ボックス間の通信を容易にする。複数の分離した論理
的安全領域は、キー管理機能を用いて領域内にトランズ
アクション証明装置によって作られた前記機能を果たす
ためお領域プロセスを与える。安全領域の各々にそれぞ
れ対応する複数の領域アーカイブは、各領域に対するキ
ー状態の記録とマスター・キーを安全に、且つ確実に記
録する。キー管理システムは、トランズアクション証明
装置にマスター・キーを設け、トークンを確認する。

Description

【発明の詳細な説明】
【0001】この出願は、1995年3月31日に出願
された、米国特許出願番号08/414,563 号の継続出願で
ある。
【0002】
【発明の属する技術分野】本発明は、一般に暗号のキー
管理システムに関し、特に、郵便料金メーターに割当て
られた暗号キーのキー管理システムに関する。
【0003】
【関連出願】本出願は、本発明の譲渡人に譲渡され、1
995年3月31日に同時に出願された米国特許出願番
号 08/414,896 号および 08/414,563 号と関連する。
【0004】
【発明の背景】ディジタル印刷技術は、郵便物宛て名印
刷機がディジタルの、即ちビットマップのアドレス可能
な印刷を便利な方法で行うことを可能にする。郵便料金
の支払いを証明する目的に対して、このよう技術を用い
ることが必要であることがわかっている。ディジタル印
刷技術の技術的進歩は、各郵便物に対して独自の郵便料
金の証印を印刷することを可能にした。例えば、コンピ
ュータ駆動の印刷機は郵便物お表面上の必要な位置に郵
便料金の証印を印刷する。証印は、例えば、郵便物、郵
便料金の値、日付、個数および/または郵便コードに直
接関係する情報を含むために、証印は独特なものであ
る。郵便局の展望から、あるゆる適当なコンピュータと
印刷機が画像の多重コピーを生成するために用いること
ができるので、ディジタル印刷および走査技術が、証印
を有する郵便の価格を偽造することをかなり容易にする
ことは、評価されるであろう。郵便物を確認するため
に、それは、郵便物に印刷された郵便料金の額を計算し
て、例えば、郵便物に印刷された値が正しいかどうかを
知るために、無料配達の値が暗号化から決定されるよう
に、暗号化された数を無料配達の一部として含むことが
知られていることを保証することである。例えば、Ecke
rtにあたえられた米国特許 4,649,266号と同様にEdelma
nn他に与えられた米国特許第 4,757,537号および 4,77
5,246号を参照さたい。Sansone 他に与えられた米国特
許 4,725,718号とFougere 他に与えられた米国特許第
4,743,747号に記載された暗号化の更なる一部として宛
て名を含むことによって、郵便物を証明することも公知
である。
【0005】Pastorに与えられた米国特許第 5,170,044
号は、ピクセル (画素) のバイナリー配列(binary arra
y)を含む証印の形態で、バイナリーデータの表示のため
の方法および装置を開示している。実際のピクセルの配
列は、郵便物の提供者を同定するため、および他の暗号
化された平面のテキスト情報をカバーするために、走査
される。Pastorに与えられた米国特許第 5,142,577号
は、メッセージを符号化し、複号化された郵便の情報を
郵便物の平面のテキスト情報と比較するために、DES 複
号化にたいするいろいろな変更を開示している。Pastor
他に与えられた米国特許第 5,390,251号は、コードを生
成し、各郵便物上にコードを印刷するための各メーター
に配置された装置を含む郵便料金メーターの潜在的に大
きいユーザー数からの郵便物に証印の印刷の有効性を制
御するためのシステムを開示している。コードは、証印
および郵便物の郵便料金の合法性に独自に確定的な他の
情報を印刷する装置を表す暗号化コードである。ディジ
タル・メーターは、2つの“ディジタル・トークン”の
ある封筒上の郵便情報をサインすることによって、郵便
料金の支払いの証明を与える。第1のディジタル・トー
クンは、郵便サービスに対して証明を与え、第2のディ
ジタル・トークンは、本発明の譲受け人のような売り主
に対して証明を与える。ディジタルトークンは、例え
ば、郵便料金の値、個数、提出日および始めの郵便局を
含む証印を暗号化した結果のトランケーション(truncat
ion)である。
【0006】郵便料金の支払いの証明をするために暗号
化の手段を採用するディジタル・メーターの新しいクラ
スが開発されている。暗号化は、暗号キーを用いて行わ
れる。各々のディジタル・メーターにおいて、独立した
キーがディジタル・トークンを生成するために用いられ
る。安全性の理由のために、いろいろなメーターにおけ
るキーも独立である。メーターおよび郵便物についての
情報は結合され、売主および郵便のマスター・キーある
いはそこから引き出されるキーで暗号化される。その結
果生じた情報の部分は、ディジタル・トークンとして郵
便物に印刷される。情報とトークンは、同じ方法におけ
る情報を処理し、その結果生じたディジタル・トークン
を郵便物に印刷されたディジタル・トークンと比較する
装置によって検証される。キー管理システムは、安全、
且つ確実な方法で、暗号化キーをディジタル・メーター
に分配する必要がある。キー管理システムは、証印と複
製された証印の詐欺的に生成されたものを検出するため
に、証印とディジタル・トークンを検証するための手段
を持たねばならない。キー管理システムは、行き先国へ
メーターを割り当てること、即ち、インベントリーされ
た一般的なメーターを作成することなく、メーターを作
成するための能力を有していることが必要である。しか
しながら、一般的なメーターを作成することは、分野に
おけるキーを設けるために必要であるか、或いは領域間
のキーを翻訳するために必要であるかを示唆する問題を
発生する。何れか一方は、重要な安全性とキーの完全性
のスレット(threat)を示す。キー管理システムはこの様
な問題を避ける手段を含む。
【0007】
【本発明の概要】本発明は、情報の完全性の証明をする
ために、暗号手段を用いる情報トランズアクション・シ
ステムによって用いられる暗号キーを生成し、分配し、
且つ管理するキー管理システムを提供する。このシステ
ムは、互いに動作的に結合された複数の機能的に別個の
安全ボックスを有する。各々の安全ボックスは、キーの
生成、キーの取付け、キーの検証、あるいはトークンの
有効性のための機能を果たす。安全ボックスに動作的に
結合されたコンピュータは、システム制御を与え、安全
ボックス間の通信を容易にする。複数の分離した論理的
安全領域は、キー管理機能を用いて領域内にトランズア
クション証明装置によって作られたキーの生成、キーの
取付け、キーの検証、およびトークンの有効性のための
領域プロセスを提供する。安全領域の各々にそれぞれ対
応する複数の領域アーカイブは、各領域に対するキー状
態の記録とマスター・キーを安全に、且つ確実に記録す
る。キー管理システムは、トランズアクション証明装置
にマスター・キーを設け、トークンを確認する。安全ボ
ックスは、マスター・キーを生成し、暗号化し、かつ符
号化するキー生成ボックス;符号化されたマスター・キ
ーを受取り、検証し、且つ解読して、マスター・キーを
トランズアクション証明装置に設けるためのキー取付け
ボックス;トランズアクション証明装置においてマスタ
ー・キーの取付けを検証するためのキー検証ボックス、
トークンを検証するためのトークン検証ボックス、およ
び領域キーを生成し、領域の各々に対する安全ボックス
間に領域キーを分配するための少なくとも一つの作成ボ
ックスを含む。
【0008】本発明の好適な実施の形態によると、キー
管理システムは、ベンダーキー、USPSキーおよび他国の
郵便キーのような、暗号キーを生成し、多重領域に対す
るディジタルメーターに分配する。領域は、データの論
理的な分離および唯一の領域の証明および秘密のキーに
よって実施される機能である。キー管理システムは、キ
ーが領域内で生成され、それらがシステムによって、1
メーターのみに組み込まれるという保証を領域に与え
る。キー管理システムは、多重領域に対する暗号キーを
安全に分配し、維持する。更に、キー管理システムは、
全ての領域に対するキー管理が同一であるように構成さ
れる。キー管理システムは以下の安全性の要件をサポー
トする:(1)メーター・キーは、常に秘密である;
(2)証印情報を検証する能力は、システムの寿命の間
続く;(3)メーターのマスター・キーの状態は、常に
正確に維持されなければならない;(4)領域の分離
は、証印を発生し、検証するために維持されなければな
らない;そして(5)キーは、設けられるか、あるいは
一度だけ設けられるようにされる。幾つかのメーター
は、目的地の国を知ることなく作成される。これは、フ
ィールドにキーを設ける必要、あるいは領域間のキーを
翻訳する必要の何れかを示唆する問題を起こす。何れか
一方は、重要な安全性およびキーの完全性が侵害される
可能性を表している。これらの問題は、地球領域と呼ば
れる分離した領域の創造によって現在のシステムにおい
ては避けられている。
【0009】本発明は、複数の国のためのベンダー・キ
ーおよび郵便キーを含んで、多領域のためのディジタル
・メーターに暗号キーを分配するキー管理システムを提
供することが判る。このキー管理システムは、キーが領
域において生成され、且つ各キーがシステムによって一
つのメーターのみに設けられていることの領域における
保証を与えるために、領域間のキーの翻訳を妨げるよう
に構成される。全ての領域に対するキー管理は同じであ
る。
【0010】
【実施の形態】本発明の記載において、図面が参照さ
れ、キー管理システムとも呼ばれるキー管理と有効シス
テムのいろいろな特徴が判る。システムの概要 図1を参照すると、キー管理システムのブロック図はキ
ー管理システム要素の位置および情報フローの概要を提
供する。包括的に符号10で示されるキー管理システム
は、ベンダー(vendor)設備12と14および郵便設備1
6と18を有している。ベンダーはキー管理システムを
管理する実体(entity)である。キー管理システム10
は、複数の機能的に専門化された安全ボックス、コンピ
ュータおよび通信ラインを有する。本発明によると、キ
ー管理システムは、ディジタル・メーターの製品の新し
い生成に対して、作成および動作上の支持を与える。デ
ィジタル・メーターとディジタル・メーター製品への言
及は、ディジタル・メーター製品の新しい生成である。
本発明は、暗号キーの生成と分配、および同様に他の応
用のための暗号データの検証を管理するのに適している
ことに留意されたい。本発明によると、ベンダーと郵便
のマスター・キーが、キー管理システム10の要素によ
って、メーターに生成され、保管され、設けられる。郵
便のトークン・キーが引き出され、分配され、キー管理
システム10の要素によって、遠隔検証のために用いら
れる。ベンダーと郵便のトークンはキー管理システム1
0の要素によって検証される。
【0011】キー管理システム10は、ディジタル・メ
ーター製品における暗号キーを設けることおよび長期間
の維持をサポートする。マスター・キーの生成は、オー
ク・ボックス(Oak Boxes) とも呼ばれるマスターキー生
成ボックス20と22、KMCとも呼ばれる設けられた
キー管理システムのコンピュータ(Key Management Syst
em computer)24、および保存サーバー25によって、
サポートされる。マスター・キーの分配は、KDCとも
呼ばれるキー分配コンピュータ(Key Distribution Comp
uter) 30によってサポートされる。マスター・キーの
取付けは、スチール・ボックス(Steel Box) とも呼ばれ
るマスター・キー取付けボックス(Master Key Installa
tion Box) 32、および取り付けられたパラメータライ
ゼーション、シーディングおよび登録(Parameterizati
on, Seeding And Resistration(PRS))コンピュータ34
によってサポートされる。印刷されたディジタル・トー
クンの集中化された検証は、ブラス・ボックス(Brass B
oxes) とも呼ばれるトークン検証ボックス21と40、
および取付けられたそれぞれのキー管理システムのコン
ピュータ24と42によって、サポートされる。キーア
ーカイブ(Key Archives)25と45は、キー状態メッセ
ージとキーを安全に、且つ確実に記録する。
【0012】安全領域 図2を参照すると、キー管理システム10は、個々の論
理的安全領域:1つのベンダー領域50と郵便局のため
の1以上の領域を有している。おのおのの領域は、キー
発生、キー分配、キー取付け、およびトークン検証サー
ビスのフルセットを与える。各領域は、ベンダーおよび
郵便設備のような、種々の設備を有することができる。
多重の論理的安全領域は、各安全ボックス内に存在する
ことができる。このような多重の領域の分離は、マスタ
ー・キー・データベースにおいて領域メッセージの暗号
化によって達成される。データベースの暗号キーは、各
々の領域に対して異なっている。安全ボックス内で、領
域の分離は、限定されたプロセスによってそのボックス
において可能にされる。しかし、安全領域は、ディジタ
ル・メーターの内部で、1か所においてのみオバーラッ
プしている。ディジタル・メーターは、支払いトークン
の2つの証明を計算し、1つはベンダーのマスター・キ
ーを用い、他は郵便のマスター・キーを用いる。いずれ
かのディジタル・トークンの検証における失敗は、詐欺
の充分な証明である。図3を参照すると、ベンダーのデ
ータ・センター12は、キー管理システムの要素に対し
て、物理的な、情報アクセス制御を与える。ベンダーの
データ・センター12は、ベンダーのマスター・キー生
成ボックスとして機能する、少なくとも1つのオーク・
ボックス20、ベンダーのトークン検証ボックスとして
機能する、少なくとも1つのブラス・ボックス21、お
よび作成ボックス23を収容する。安全性に対して、各
々のボックスは唯一のIDを有する。追加の安全性に対
しては、生成、検証および作成機能は、互いに物理的に
分離されている。即ち、オーク・ボックス、ブラス・ボ
ックスおよびスチール・ボックスは分離したボックスで
ある。2以上の機能ボックスが、もし必要なら、1つの
物理的なボックスに収容するとができることに留意さる
べきである。
【0013】ベンダーのKMSコンピュータ24は、安
全なオーク、ブラスおよび作成ボックス、およびそれら
間のメッセージを管理する。それは、安全なボックス通
信、ベンダーのキー保管サービス、郵便のキー保管サー
ビス、およびベンダーの作成設備14と郵便のデータ・
センター16との通信をサポートする。図4を参照する
と、ベンダーの作成設備14は、キー管理システム要素
に対する物理的な、情報アクセス制御を与える。ベンダ
ーの作成設備14は、ベンダーのキー分配コンピュータ
30、マスター・キー取付けボックスとして機能する少
なくとも1つの安全スチールボックス32、および対応
するPSRコンピュータ34を収容する。ベンダーのキ
ー分配およびPSRコンピュータ30と34はキー管理
システムコンピュータ24、他の安全ボックスおよびオ
ンライン・ディジタル・メーター36との通信をサポー
トする。PSRコンピュータ30は対応するスチール・
ボックス32とディジタル・メータ36の初期化を管理
する。図5を参照すると、郵便のデータ・センター16
は、キー管理システム10の要素に対する物理的な、情
報アクセス制御を与えることができる。郵便のデータ・
センター16は、郵便のマスター・キー生成ボックスと
して機能する郵便のオーク・ボックス22および郵便の
トークン検証ボックスとして機能する郵便のブッス・ボ
ックス40を収容する。郵便のキー管理システム・コン
ピュータ42は安全ボックス通信、郵便のキー保管サー
ビス、および郵便設備18とベンダーのデータ・センタ
ー12との通信をサポートすることができる。
【0014】図6を参照すると、追加の論理的安全領域
が、キー管理システム要素における全ての他の安全領域
を設けることおよびメンテナンスをサポートするように
要求される。これは、安全領域の生成およびキー管理シ
ステム要素における安全領域の据え付けに対して責任を
もつキー管理システムの監督領域(Key Management Syst
em Administration Domain) 60と呼ばれる。アース安
全領域(Earth Security Domain) における国の特定サブ
領域を設けることは、アース安全領域の責任である。安
全領域内の製品コード・パラメータを設けることは、影
響を受けた安全領域の責任である。これは以下に説明さ
れる。 機能的な特徴 以下のパラグラフは、キー管理システム10における全
ての動作とメッセージの概要を示す。キー管理システム
10は、ディジタル・メーターの製品の作成および動作
をサポートするために、幾つかの必要な機能を与える。
ディジタル・メーターの製品に用いられる全ての暗号キ
ーに対し、生成、分配および長期間の記憶に対して責任
を有している。また、このような暗号キーを用いるディ
ジタル・メーターの製品によって生成されるディジタル
・トークンの検証に対しても責任を有している。
【0015】2以上の安全領域は、キー管理システム1
0によって行われる。ベンダーの安全領域50は、キー
の生成、分配、保管および検証サービスを有している。
郵便の安全領域52は同様なサービスを行う。これらの
領域は、一つの点において、図2に示された、ベンダー
と郵便のマスター・キーの双方を含むディジタル・メー
ターをオーバラップする。即ち、同時に利用できるベン
ダーと郵便のマスター・キーはメーターにのみある。キーの特徴 キーの生成 図7を参照すると、キー管理プロセスのフロー図が示さ
れている。ディジタル・メーター36は、分配前にベン
ダーの作成設備に物理的に位置されるが、ベンダーのマ
スター・キーと郵便のマスター・キーを受ける。キー管
理システムの安全ボックス作成プロセスと領域マスター
・キー生成プロセスは、キー管理システム10とディジ
タル・メーター36に対して暗号キーを与える。ディジ
タル・メーターのための領域マスター・キーは、領域オ
ーク・プロセス70によって生成される。領域マスター
・キーが生成され、保管され、且つ導入されるに従っ
て、領域マスター・キーを暗号化するために用いられる
領域キーは、作成ボックス23により生成される。安全
な、非決定論的キーを与えるために、2つの乱数発生器
処理が行われる。各々のオーク・ボックスと作成ボック
スは、ハードウエアの乱数発生器を含む。ソフトウエア
の疑似乱数発生器も含まれる。これら2つの処理の出力
は、ハードウエアとソフトウエアが受入れ可能な限界内
で動作していることを検証するために、個々にテストさ
れる。2つの発生器の出力は、排他的OR動作を介して
結合される。従って、もしハードウエアの乱数発生器が
失敗するなら、疑似乱数発生器は、ハードウエアの発生
器が直されるまで、受入れ可能なキーイング材料(keyin
g material) を与える。
【0016】他のKMS安全ボックスは、キーイング材
料を生成するために制限された要求を有している。特
に、開始の秘密性キーが、初期化プロセスの間、ブラス
およびスチール・ボックス21と32によって生成され
る。初期化プロセス中に制限された要求および信頼され
た権威の存在のために、ソフトウエア疑似乱数発生器の
みが用いられる。マスター・キーのアイデンティフィケーション キー管理システム10は、マスター・キーが一度だけあ
らゆるディジタル・メーター36で試みられ、あるいは
設けられるという安全要求を強く主張しなければならな
い。例えば、キー管理システム10は、2以上のスチー
ル・ボックス32がシステムにおいて用いれると、領域
マスター・キーは2回設けられないことを保証しなけれ
ばならない。この要求は、領域の特定の単調なシークエ
ンス・カウンターからなる、領域マスター・キーのアイ
デンティフィケーション数の使用をとおして満たされ
る。領域のオーク・プロセスと領域のスチール・プロセ
スは、特定の領域IDに対して受取られた最後の領域マ
スター・キーのアイデンティフィケーション数を追跡す
る。新しく発生したキー或いはインストール・キー・メ
ッセージを受け取ると、領域オーク・プロセス或いは領
域スチール・プロセスは、領域マスター・キーのアイデ
ンティフィケーション数が前のメッセージに含まれるそ
れより大きいことを検証する。
【0017】キー管理システム10が要求キー命令(Re
quest Key command)を受取ると、スチールIDが必要と
される。スチールIDは、分配マスター・キー(Distrib
uteMaster Key) の記録に含まれ、領域スチール・プロ
セス76によってチェックされなければならない。もし
メッセージにおけるスチールIDがスチール・ボックス
のためのスチールIDとマッチしないなら、そのメッセ
ージは拒否される。スチールIDは、メッセージ記号を
解読することなく、メッセージ内で変更されることはで
きない。領域マスター・キーのアイデンティフィケーシ
ョン数、スチールIDおよびメッセージ記号の組み合わ
せは、一時の設置要求を満足する。図8を参照すると、
キー分配コンピュータ30は、記号80においてキーを
要求する。記号82において、キー管理システムのコン
ピュータ24は領域アーカイブ74からの新しく自動的
に増大するキーIDを発生する。記号84において、領
域オーク・プロセス70は、オーク・ボックス・キーI
Dが最後に見られた値に対して新しいかどうかを決定す
る。もし新しくなければ、オーク・ボックスのエラー条
件が記号86において開始される。キーIDが新しけれ
ば、記号88で、オーク・ボックス20はキーを発生
し、暗号化し、そのキーIDを取付け、且つ符号化し
て、メッセージをスチール・ボックス32に送る。記号
90において、領域のスチール・プロセス76は、スチ
ールIDが正しいかどうかを決定する。記号92におい
て、領域のスチール・プロセス76は、キーIDが最後
に見られた値に対して新しいかどうかを決定する。メッ
セージの記号化テストが失敗するか、スチールIDが正
しくないか、あるいはキーIDが新しくないなら、スチ
ール・ボックスのエラーが発生する。もしエラーが発生
しないなら、記号98においてスチール・ボックス32
はキーをメーター36にインストールする。
【0018】作成ボックスおよび領域のキー 図9−12を参照すると、キー管理システム10内の安
全ボックスは領域の形状情報とキーイング材料で初期化
される。これは領域の生成および領域のキー110に対
して責任を有する作成ボックス23の使用を介して達成
される。領域が作られると、唯一の領域IDが必要とさ
れる。領域が作成ボックス23に確立された後、他の安
全ボックスは領域情報で初期化することができる。全て
の領域のキー110は作成ボックス23によって生成さ
れる。領域のキー110は、領域のキーセット103に
よって暗号化された、秘密性、権威および動作キーから
なる。領域のキー110はいろいろな安全ボックス間で
シェアされる。各々の安全ボックスは、キーイング材料
に対する特定の要求を有している。各作成ボックス23
は、3つのシャミールの秘密シェア(Shamir secret sha
res)102に入り込まれる動作の組み合わせ101を要
求する。個々のシェアは取りはずし可能な媒体に書き込
まれ、権限をもたされた者に分配される。各作成ボック
ス23は、秘密性に対するRSAのキー対と証明に対す
るRSAのキー対から成る領域キーのセット103を必
要とする。秘密性と証明のキーは3つのシャミールの秘
密シェア104に入り込まれる。個々のシェアは取りは
ずし可能な媒体に書き込まれ、権限をもたされた者に分
配される。RSAキー対は、Communications of the AM
C, Vol. 21, No. 2, February 1978, pp. 120-127 にお
いて、R. L. Rivest, A. Shamir and L. Adelmanにより
"A Method For Obtaining Digital Signatures And Pu
blic-Key Cryptosystems" に記載されている。シャミー
ル秘密シェアは、Communications of the AMC, Vol. 2
2, No. 11, Nov. 1979, pp. 612-613において、 A. Sha
mirにより"How To Share A Secret" に記載されてい
る。
【0019】好適な実施例において、各々のオーク・ボ
ックス20は、2つのシャミールの秘密シェア106
(図10)に入り込まれる動作の組み合わせ105を必
要とする。個々のシェア106は、取りはずしできるメ
ディアに書き込まれ、権限をもたされた者に分配され
る。全てのシェア106は、オーク・ボックス20が動
作する前に、オーク・ボックス20に入れられなければ
ならない。最後に入ったシェア106は、オーク・ボッ
クスがイネーブルされるようにオーク・ボックスに維持
されなければならない。最後に入ったシェア106が除
かれると、オーク・ボックスはディスエーブルされる。
各領域のオーク・プロセス70は、証明のためにRSA
キー対を要求する。個人的な証明のキー(P'OA) は領域
のオーク・プロセス70と作成ボックス23により知ら
れるのみである。公的な証明キー(POA)は、対応する領
域のスチール・プロセス76と領域のブラス・プロセス
72によって知られる。領域のオーク・プロセス70
は、個人的な秘密性のキーを必要としない。好適な実施
の形態において、ベンダーの作成設備における各スチー
ル・ボックス32は、2つのシャミールの秘密シェア1
20(図11)に入り込まれる動作の組み合わせ119
を必要とする。個々のシェア120は、取りはずし可能
な媒体に書き込まれ、権限を与えられたもの、例えば監
督者やオペレータに分配される。監督者やオペレータの
集合は、スチール・ボックス32が動作する前に、スチ
ール・ボックス32に入れられなければならない。最後
に入れられたシェア106、例えばオペレータのシェア
は、スチール・ボックスがイネーブルされるようにスチ
ール・ボックスに維持されなければならない。オペレー
タのシェアが除かれると、スチール・ボックス32はデ
ィスエーブルされる。
【0020】各々の領域のスチール・プロセス76は、
証明のためにRSAキー対を必要とする。個人的な証明
キーは、領域のスチール・プロセス76によって知られ
るのみである。公的な証明キーは領域のブラス・プロセ
ス72によって知られるのみである。各々の領域のスチ
ール・プロセス76は秘密性のためにRSAキー対を必
要とする。個人的な秘密性(P'sc) キーは領域のスチー
ル・プロセス76によって知られるのみである。公的な
秘密性(Psc)キーは領域のオーク・プロセス70によっ
て知られる。本発明の好適な実施の形態において、各々
のブラス・ボックス21は、2つのシャミールの秘密シ
ェア122(図12)に入りこまれる動作の組み合わせ
121を必要とする。個々のシェア122は取りはずし
可能な媒体に書き込まれ、権限を与えられたものに分配
される。全てのシェア122は、ブラス・ボックス21
が動作する前に、ブラス・ボックス21に入れられなけ
ればならない。最後に入れられたシェア122は、ブラ
ス・ボックス21がイネーブルされるように、ブラス・
ボックス21に維持されなければならない。最後に入れ
られたシェア122が除かれると、ブラス・ボックス2
1はディスエーブルされる。
【0021】各々の領域のブラス・プロセス72は、証
明のためにRSAキー対を必要とする。個人的な、およ
び公的な証明キー(P'BAとPBA)は、領域のブラス・プロ
セスによって知られるのみである。各々の領域のブラス
・プロセスは、秘密性のためにRSAキー対を必要とす
る。個人的な秘密性キー(P'BC)は、領域のブラス・プロ
セス72によって知られるのみである。公的な秘密性
(PBC)キーは、領域のオーク・プロセス70によって知
られる。各々の領域のブラス・プロセス72は、領域の
ブラス・プロセス72によって知られるのみである、秘
密性のためのDESキーのセットを必要とする。各々の
領域のブラス・プロセス72は、領域のブラス・プロセ
ス72によって知られるのみである、証明のためのDE
Sキーのセットを必要とする。安全ボックスを動作する
ために必要な、選択されたシェアの数は、キー管理シス
テムのために具現化される安全戦略に基づかれること
は、この分野の当業者によって理解されるであろう。ディジタル・メーターの要件 製品のコード・ナンバーと関連して、作成シーケンス・
ナンバーは、ベンダーの作成プロセス内にディジタル・
メーター36を独自に定義する。作成シーケンス・ナン
バーの割当ての好適な方法は、以下のとおりである。独
自の製品コード・ナンバーと作成シーケンス・ナンバー
の対をそれぞれが含むアイデンティフィケーション・ラ
ベルの供給は、製造ラインにストックされる。1つのア
イデンティフィケーション・ラベルは、各々のディジタ
ル・メーター36に適用される。これらのナンバーはP
SRコンピュータ34に入れられ、キー取付けプロセス
前にディジタル・メーター36にダウンロードされる。
【0022】メーターは、製造中にキーが取付けられる
ように、安全に形成される。テスト・パターンは、テス
ト・トークンのセットを発生するために用いられ、製造
におけるマスター・キー取付けプロセスをチェックす
る。このテスト・パターンは、2つの予めフォーマット
化された64ビットのバイナリー値から成る。これらは
ターゲット領域マスター・キーと特定の位置で暗号化さ
れ、生じた暗号文からのトークンの数が発生される。テ
スト・パターンは、ソフトウエアを動作する領域のオー
ク・プロセスと領域のブラス・プロセスに含まれる。全
てのディジタル・メーターは、取付けのチェック手続き
の間に同じテスト情報を用いる。テスト・パターンはキ
ー管理システム10とターゲット・ディジタルメーター
間にシェアされた情報のセットである。テスト・パター
ンは、特定のディジタルメーターのためにROMに記憶
することができる。地球領域ディジタルメーター 地球領域のディジタルメーターは、それらが製造設備を
残すときは、国の特定情報を持っていない。これは、デ
ィジタルメーターが地域ベースにストックされ、最後の
時には国が特定されることが可能なようになされる。地
球領域のディジタル・メーターに対する製品コード・ナ
ンバーは、予め決められた数に続く2文字製品コードの
プリフィックス(a two letter product code prefix)
である。国の擬人化の前に、証印の一連番号は、ヌルス
トリング(a null string) である。製品コード番号と証
印の連続番号値は、領域マスター・キーを活性化するた
めに、キーの登録時に定義されなけれはならない。
【0023】図13を参照すると、地球領域ディジタル
メーターのためのプロセス・フロー図が得られる。地球
領域ディジタルメーターのための地球領域マスター・キ
ーが地球領域のオーク・プロセス170によって生成さ
れる。地球領域マスター・キーのコピーは、地球領域ア
ーカイブ174に格納される。地球領域マスター・キー
は、地球領域のディジタル・メーター136に設けら
れ、地球領域のスチール・プロセス176によってチェ
ックされる。地球領域マスター・キーの取付けは、地球
領域のブラス・プロセス172によって検証される。地
球領域マスター・キーの記録は、地球領域のブラス・プ
ロセス172によって現状を取り付けるために更新され
る。地球領域のブラス・プロセス172はキーの登録に
は関係しない。権限を与えられたものは、地球領域のデ
ィジタルメーター136を、ディジタルメーターの製品
コード番号と証印の連続番号をセットすることによっ
て、国の特定安全領域に割り当てる。ディジタルメータ
ー236が国の特定安全領域に一旦割り当てられると、
それは地球領域に戻ることができない。ディジタル的に
サインされたキー登録の記録は、製品コード番号、証印
の連続番号および製造の連続番号を含むディジタルメー
ターによって生成される。ディジタル的にサインされた
キー登録の記録は、キー管理システムのコンピュータ2
4に戻される。
【0024】キー管理システムのコンピュータ24は、
地球領域アーカイブら地球領域マスター・キーの記録を
検索する。地球領域マスター・キーの記録とキー登録の
記録は、国の特定領域のブラス・プロセス272に送ら
れる。それらの記録は検証される。もし問題が見つから
なければ、領域マスター・キーは、国の特定秘密キーで
暗号化される。領域マスター・キーの記録は、国の特定
安全領域の個人キーによって、完全と証明のためにサイ
ンされる。領域マスター・キーの記録は、国の特定領域
アーカイブ274に送られる。システム要件 領域アーカイブ 領域アーカイブ74は、長期間の記憶と領域マスター・
キーの検索をサポートする。これはオーク・ボックス2
0、領域アーカイブ74およびブラス・ボックス21間
の幾つかのトランケーション(trancations) で達成され
る。ディジタル・メーターは、製造、分配および顧客の
場所を通過するので、領域マスター・キーの現状は更新
される。あらゆる現状の変化は、領域マスター・キーの
寿命に対してキー・アクティビティ(key activity) の
完全なヒストリーを与えて、領域のアーカイブの記録に
記入される。
【0025】図14と図15を参照すると、有効なマス
ター・キーの現状の変化を示すプロセス・フロー図が示
されている。オーク・ボックス20がキー生成プロセス
を完成させた後、領域マスター・キーおよび情報の暗号
化されたコピーが記号180で示す"New"(新規) にセッ
トされる。領域アーカイブ74は、データベースを割当
て、情報を書き込む。スチール・ボックス32とブラス
・ボックス21がキーの取付けプロセスを完成した後、
領域マスター・キーの記録は更新される。もしプロセス
が成功したならば、領域マスター・キーの現状は、記号
182の“Installed"にセットすることができる。もし
キーの分配あるいは設置プロセス中に、あらゆる失敗が
おきるなら、領域マスター・キーの現状は、記号184
の"Bad"(悪い) にセットすることができる。これらの失
敗が失われたメッセージ、メッセージ・エラー、領域マ
スター・キーをディジタルメーターのメモリに書き込む
エラー、テスト・トークンのチェックにおけるエラー等
を含む。ディジタルメーターが特定の郵便領域に対して
証印の連続番号を割り当てられると、ベンダーと郵便領
域マスター・キーの記録は更新される。マスター・キー
の現状は、記号186の"Active" (活動的な) にセット
され、検証サービスがそのディジタルメーターに対して
許可される。ディジタルメーターがサービスから取られ
ると、ベンダーと郵便領域マスター・キーの記録は更新
される。マスター・キーの現状は、記号188の"Obsol
ete" (旧式の) にセットされる。
【0026】キー管理システムのアドレス キー管理システム10は、物理的な安全ボックスと論理
的な安全領域から成る。これらの要素間を流れるメッセ
ージは、プロセスとオーディター(auditors)がメッセー
ジの関係者を同定することを可能にするために、充分な
情報を含んでいなければならない。論理的な安全領域は
アドレス・オブジェクト(address object)と呼ばれる領
域IDによって決定される。このアドレスは、キー管理
システム10内の特別な領域の場合を定義する。有効な
領域IDs の例は、ベンダーの安全領域に対するVE、
合衆国の郵便サービスの安全領域の場合に対するUSP
S、および英国の王室郵便の安全領域の場合に対するU
KRMである。安全領域は、いろいろな安全ボックスに
および、いろいろなアーカイブにおよぶ。多重の安全領
域は、1つの安全ボックスの物理的な境界内で共存する
ことができる。1つの領域のみが、与えられた時間に安
全ボックス内でアクティブである。領域間で転送可能な
データはない。論理的な安全ボックスの目的は、アドレ
ス・オブジェクトと呼ばれる安全ボックス型によって決
定される。このアドレスは、メッセージのトランズアク
ションに関係する安全ボックス機能を独自に定義する。
オーク・ボックス20はマスター・キーの発生器であ
る。スチール・ボックス32はマスター・キーの取付け
ボックスである。ブラス・ボックス21はトークン検証
ボックスである。ティン・ボックス(Tin Box) 44は遠
隔トークンの検証ボックスである。
【0027】物理的な安全ボックスのアイデンティフィ
ケーションは、アドレス・オブジェクトと呼ばれる安全
ボックスIDによって決定される。このアドレスはキー
管理システム10内のそのボックスの場合を独自に定義
する。それは、安全ボックス型および数字の識別子から
なる。KMSの形状データ キー管理システム10の各要素は、動作しているソフト
ウエアがキー管理システムのサービス・メッセージに対
する有効性および処理要求を決定することを可能にする
幾つかの形状テーブルを維持する。命令テーブルは、ど
んなキー管理システムのサービス・メッセージおよび命
令が、システムの要素によって予期されるかを確認する
ために用いられる。KMSシステムの命令テーブルは、
システム・レベル上で受け入れられる全ての命令を定義
する。システム・レベルのテーブルのサブセットは、オ
ーク・ボックス20、ブラス・ボックス21、スチール
・ボックス32、作成ボックス23、KMSコンピュー
タ24、キー分配コンピュータ30およびPSRコンピ
ュータ34を有するシステムの要素によって格納され
る。ローカル命令テーブルに含まれない、受信されたメ
ッセージは拒絶される。
【0028】形状テーブルは、どんなキー管理システム
の領域IDsがシステムの要素によって認識されるかを
確認するために用いられる。KMSシステムの形状テー
ブルは、システム・レベル上に受入れられる全ての領域
IDsを定義する。システム・レベルのテーブルのサブ
セットは、オーク・ボックス20、ブラス・ボックス2
1、スチール・ボックス32、作成ボックス23、KM
Sコンピュータ24、キー分配コンピュータ30および
PSRコンピュータ34を有するシステムの要素によっ
て格納される。ローカル形状テーブルに含まれない、領
域IDsに対する受信されたメッセージは拒絶される。
記録テーブルは、どんなキー管理システムの記録がシス
テムの要素によって認識されるかを確認するために用い
られる。KMSシステムの記録テーブルは、システム・
レベル上で認識される全ての情報記録を定義する。シス
テム・レベルのテーブルのサブセットは、オーク・ボッ
クス20、ブラス・ボックス21、スチール・ボックス
32、作成ボックス23、KMSコンピュータ24、キ
ー分配コンピュータ30およびPSRコンピュータ34
を有するシステムの要素によって格納される。ローカル
記録テーブルに含まれない情報を有する受信されたメッ
セージは拒絶される。
【0029】情報フロー 領域のオーク・プロセス70は、領域マスター・キーを
領域アーカイブ74に渡す。図16を参照すると、領域
マスター・キー(Kdm) は、それが領域アーカイブ74
に格納されるまえに、領域のブラス・プロセス・パブリ
ックキー(Pbc)で暗号化される。従って、領域のオー
ク・プロセス70は、領域アーカイブ74から領域マス
ター・キー(Kdm) を解読することはできない。領域の
オーク・プロセス70は、領域マスター・キーが領域ア
ーカイブ74に格納される前に、領域マスター・キーの
記録を領域のオーク・プロセスの個人的なキー(Poa)
で記号化する。従って、領域のブラス・プロセス72
は、領域マスター・キーの記録が領域のオーク・プロセ
ス70によって作られることを信頼することができる。
領域のオーク・プロセス70は、領域マスター・キー
(Kdm) を領域のスチール・プロセス76に渡す。図1
7を参照すると、領域マスター・キー(Kdm) は、それ
が領域のスチール・プロセス76に送られる前に、領域
のスチール・プロセスの公的なキーP(sc)で暗号化され
る。従って、領域のオーク・プロセス70は、分配マス
ター・キーの記録から領域マスター・キー(Kdm) を解
読することはできない。領域のオーク・プロセス70
は、分配マスター・キーの記録を、それが領域のスチー
ル・プロセス76に送られる前に、領域のオーク・プロ
セスの個人的なキーP'(oa) で記号化する。従って、領
域のスチール・プロセス76は、分配のマスター・キー
の記録が領域のオーク・プロセス70によって作られる
ことを委ねることができる。
【0030】図18を参照すると、キー・フレッシュネ
ス検出のためのプロセス・フローが示されている。キー
は、取付けられるか、あるいは、領域マスター・キー・
フレッシュネスを確実にするために一度だけ取付けられ
るようにされる。領域アーカイブは、単調に連続したキ
ーIDs(KID)を全ての領域マスター・キーに割り
当てる。分離したキーIDインデックスは、各々の領域
のIDのために維持される。領域のオーク・プロセス7
0と領域のスチール・プロセス76は、キーIDの値を
追跡し、それらを生成キー・メッセージ(Generate Key
message)および分配マスター・キー記録(Distribute Ma
ster Key record)において受け取ったキーIDの値と比
較する。従って、領域のオーク・プロセス70と領域の
スチール・プロセス76は、何時生成キー・メッセージ
および分配マスター・キー記録が再生されたかを検出す
ることができる。図19を参照すると、領域のスチール
・プロセス76は、それがKMSコンピュータ24に送
られる前に、領域のスチール・プロセスの個人的なキー
P(sa)でマスター・キー取付け記録を符号化する。そう
することによって、領域のブラス・プロセス72は、マ
スター・キー取付け記録が領域のスチール・プロセス7
6によって作られることを信頼することができる。
【0031】キー登録の時に、デジタル・メーターは、
ベンダーのマスター・キーK( VM)と郵便のマスター・
キーK( PM) の両方でキー登録の記録を符号化する。従
って、郵便およびベンダーの領域ブラス・プロセス72
は、領域アーカイブ記録における領域マスター・キーを
領域のブラス・プロセスの秘密DESキーで暗号化す
る。その結果、領域のブラス・プロセス72は、他の領
域のブラス・プロセスがキーイングの資料を読み取らな
いかもしれないことを信頼することができる。領域のブ
ラス・プロセス72は領域マスター・キーの記録を領域
のブラス・プロセスの秘密DESキーで、それを領域ア
ーカイブ74に送る前に、符号化する。従って、領域の
ブラス・プロセス72は、領域マスター・キーの記録が
領域のブラス・プロセス72によって変更されただけで
あることを信頼することができる。ブロス・プロセスの
メッセージに対するメーターの例は図20に示される。追跡記録 キー管理システム10は、領域マスター・キーの寿命に
おける時間イベントの追跡記録を維持する。これらのイ
ベントは、何時アクションがキー管理システムによって
取られたかを示す。リスト化された時間イベントは、成
功した領域マスター・キーの使用のために増加していな
ければならない。前のイベントに先立つ時間イベントを
伴うシステムのメッセージは拒否されるであろう。キー
管理システムのキー登録時間に先立つ日付を伴って受け
た検証要求は拒否されるであろう。
【0032】本発明の好適な実施の形態において、KM
Sコンピュータ24は、要求キー命令がキー分配コンピ
ュータ30から受け取られる時であるKMS要求時間を
記録する。PSRコンピュータ34は、取付けキー命令
がスチール・ボックス32に分配される時であるPSR
取付け時間を記録する。KMSコンピュータ24は、取
付けキー検証命令がキー分配コンピュータ30から受け
取られた時であるKMS取付け時間を記録する。ディジ
タル・メーター36はレジスター証印命令が通信ポート
或いはユーザー・インターフェースから受け取られた時
であるメーター登録日付を記録する。KMSコンピュー
タ24は、レジスター証印検証命令がディジタル・メー
ターから受け取られた時であるKMSキー登録時間を記
録する。他の実施の形態においては、オーク・ボックス
20は、発生キー命令がKMSコンピュータ24から受
け取られたローカル時間を記録する。スチール・ボック
ス32は、取付けキー命令が受け取られたローカル時間
を記録する。ブラス・ボックス21は、キー検証要求が
キー管理システムのコンピュータ24から受け取られた
ローカル時間を記録する。エラーの取扱い キー管理システム10は、キー管理システムのサービス
・メッセージに対するエラー検出のセットと報告メカニ
ズムを与える。問題は、メッセージが用意され、通信ラ
イン上に送られ、受信され、且つ受信パーティーによっ
て処理される時に発生する。システムにおいてエラーが
発生すると、命令源が通知され、エントリーがシステム
・エラー・ログに作られる。
【0033】図21を参照すると、エラー取扱いの概括
を示すブロック図が示されている。システムにおけるエ
ラーは3つの異なるレベルで検出される。エラーの取扱
いの第1のレベルはPB232プロトコール内で実現さ
れる。このプロトコールはSTXとETXの制御文字の
使用によって、メッセージのフレーミングに対して与え
る。メッセージの識別は、予め定義されたクラス・コー
ドの使用によって与えられる。メッセージの完全性は、
エラー検出コードの使用によって与えられる。もし、受
け取ったメッセージがこれらのメカニズムに従うなら、
レシーバーは正の肯定応答制御文字(a positive Acknow
ledgement control character)を送る。もし、そうでな
いなら、レシーバーは否定応答制御文字(a Non-Acknowl
edgementcontrol character) を送る。送り要素はメッ
セージの送信を再び試みようとするか、他の正しいアク
ションを取る。PB232のエラー取扱いメカニズムは
従来の形式である。エラー取扱いの第2のレベルは、キ
ー管理システム10の命令取扱プロセスによって具現化
される。これらは、受け取った命令を命令テーブルにお
いて定義された予期された命令のセットと比較する。命
令フィールドが検証される。予期されたパラメータの数
がチェックされる。個々のパラメータのシンタックスが
チェックされる。もし、命令の中にエラーが見つかった
ら、命令エラー・メッセージが命令源に戻される。
【0034】エラー取扱いの第3のレベルは、キー管理
システム10の命令取扱プロセスによって具現化され
る。これらは、命令におけるパラメータを構成テーブル
に定義された予期されたパラメータのセットに対して比
較する。個々のパラメータは、構成テーブルに対してチ
ェックされる。いろいろなパラメータの関連が構成テー
ブルに対してチェックされる。ハードウエア資源とデー
タベース記録の利用可能性がチェックされる。メッセー
ジ要素の記号と暗号化されたメッセージ要素の有効性が
チェックされる。もし、命令に、あるいは命令の処理中
にエラーが見つかったら、命令応答メッセージが応答コ
ードと共に戻される。もし、応答の中にエラーが見つか
ったら、命令応答エラー・メッセージが応答コードと共
に戻される。初期化プロセス 以下のパラグラフは図22と図23に示されたキー管理
システム10の安全ボックス初期化プロセスを概要を示
す。前述のように、本発明の好適な実施の形態に、4つ
のキー管理システムの安全ボックス型がある。作成ボッ
クス23は、キー管理システムと 安全ボックスの初期
化に対して責任がある。オーク・ボックス20は、領域
マスター・キーの発生に対して責任がある。スチール・
ボックス32は、領域マスター・キーの取付けに対して
責任がある。ブラス・ボックス21は領域マスター・キ
ーの登録およびトークン検証に対して責任がある。他の
実施の形態にでは、ティン・ボックスは遠隔トークン検
証ボックスである。
【0035】図22を参照すると、第1の作成ボックス
23は初期化されなけばならない。作成ボックスの動作
ソフトウエアはロードされ、テストされる。安全ボック
スIDはM00000000に初期化される。作成ボッ
クス23がターンオンすると、安全ボックスIDが問い
合わされる。もし、それがM00000000にセット
されていると、作成ボックス23はKMSコンピュータ
24からのセット第1安全ボックスIDメッセージを待
つ。KMSコンピュータ24は、第1の作成ボックス2
3を命令して、安全ボックスをM00000000にセ
ットするようにする。第1の作成ボックス23はメッセ
ージを受取り、チェックする。もし、エラーが見つから
なければ、第1の作成ボックス23は動作コンビネーシ
ョン101と動作シェア・キー102の集合を生成す
る。動作シェア・キー102は、取外し可能な媒体に書
き込まれる。次に、第1の作成ボックス23は、2つの
RSAキーの対、即ち領域キー・セットの秘密性のため
のものと領域キー・セットの認証のためのものを生成す
る。これらのキーは、領域シェアに入れられ、取外し可
能な媒体に書き込まれる。これらのキーは、それらがK
MSコンピュータ24に送られ、アーカイブに、あるい
は取外し可能な媒体に書き込まれる前に、領域キー・セ
ットを暗号化し、記号化するために用いられる。第1の
作成ボックス23は安全ボックスの認証キーのセットを
生成する。RSAキーの対は、各ボックス型、即ち、作
成、オーク、スチールおよびブラスのために生成され
る。各ボックス型のパブリックキーは取外し可能な媒体
に書き込まれる。キーはソフトウエア技術によって安全
ボックスの動作ソフトウエアに書き込まれなければなら
ない。全ての動作シェアと認証キーが首尾よく書き込ま
れた後に、安全ボックスIDはM00000000にセ
ットされるであろう。
【0036】KMSコンピュータ24は作成ボックスを
領域を作るたように要求する。作成ボックス23は内部
メモリに領域IDを確立し、領域キー・セット103の
秘密キーで暗号化され、領域キー・セット103の認証
キーで符号化される、要求された領域キー110を生成
する。。暗号化され、記号化された領域キーは、アーカ
イブおよび/または取外し可能な媒体に書き込まれる。
追加の作成ボックス23は、ソース作成ボックスによっ
て初期化される。ソース作成ボックスはすでに初期化さ
れているあらゆる作成ボックスである。作成ボックスの
動作ソフトウエアは、各々の追加の作成ボックス23に
ロードされ、テストされる。安全ボックスIDはM00
000000にセットされる。作成ボックス23がまず
ターンオンすると、それは安全ボックスIDを問い合わ
せる。もし、それがM00000000であるなら、作
成ボックス23はソース作成ボックスからのセット安全
ボックスIDのメッセージを待つ。KMSコンピュータ
24はソース作成ボックス23を命令して、各々の追加
の作成ボックス23を初期化する。ソース作成ボックス
は、次の作成安全ボックスIDを割当て、作成ボックス
・プライベート・スタートアップ認証キーでメッセージ
(the ManufacturingBox Private Startup Authenticati
on Key)を記号化し、それを作成ボックス23に送る。
作成ボックス23は安全ボックスIDを記憶し、作成ボ
ックス・スタートアップ秘密キーを生成する。安全ボッ
クスIDとパブリック・スタートアップ秘密キーはソー
ス作成ボックスに送り戻され、作成ボックス・プライベ
ート・スタートアップ認証キーで記号化される。KMS
コンピュータ24はソース作成ボックスを命令して、作
成ボックスのために領域作成プロセスを作る。要求され
た領域キーの要素は、スタートアップ秘密キーを用いて
作成ボックスに渡される。
【0037】領域は作成ボックス23に追加される如何
なる時にも、他の初期化された作成ボックスは、この追
加領域を反映するために更新されなければならない。好
適な実施の形態では、全ての初期化された作成ボックス
は、同一のキーデータで構成される。オーク・ボックス
の初期化に対して、オーク・ボックスの動作ソフトウエ
アがロードされ、テストされる。安全ボックスIDはO
00000000にセットされる。オークボックス20
がまずターンオンすると、それは安全ボックスIDを問
い合わせる。もし、それがO00000000であるな
ら、オーク・ボックス20は作成ボックス23からのセ
ット安全ボックスIDメッセージを待つ。KMSコンピ
ュータ24は作成ボックス23を命令してオーク・ボッ
クス20を初期化する。作成ボックス23は、次のオー
ク安全ボックスIDを割り当てて、プライベート・オー
ク・ボックス・スタートアップ認証キーでメッセージを
記号化し、それをオーク・ボックス20に送る。オーク
・ボックス20は安全ボックスIDを記憶し、オーク・
ボックス・スタートアップ秘密キーを生成する。安全ボ
ックスIDとパブリック・スタートアップ・秘密キーは
作成ボックスに送り戻され、オーク・ボックス・パブリ
ック・スタートアップ認証キーで記号化される。KMS
コンピュータ24は作成ボックス23を命令して、オー
ク・ボックス20のための領域オーク・プロセスを作
る。要求された領域キー要素はスタートアップ秘密キー
を用いてオーク・ボックス20に渡される。このプロセ
スは、オーク・ボックス20が1つの領域に対して領域
オーク・プロセス70を具現化することを可能にする。
このプロセスは、特定のオーク・ボックスに対して要求
された全ての領域に対して繰り返される。
【0038】スチール・ボックスの初期化に対して、ス
チール・ボックスの動作ソフトウエアがロードされ、テ
ストされる。スチール・ボックスIDはS000000
00にセットされる。スチール・ボックス32がまずタ
ーンオンすると、それは安全ボックスIDを問い合わせ
る。もし、それがS00000000であるなら、スチ
ール・ボックス32は作成ボックス23からのセット安
全ボックスIDのメッセージを待つ。KMSコンピュー
タ24は作成ボックス23を命令して、スチール・ボッ
クス32を初期化する。作成ボックス23は次のスチー
ル安全ボックスIDを割当て、スチール・ボックス・プ
ライベート・スタートアップ認証キーでメッセージを記
号化し、それをスチール・ボックス32へ送る。スチー
ル・ボックス32は安全ボックスIDを記憶し、スチー
ル・ボックス・スタートアップ秘密キーを生成する。安
全ボックスIDとパブリック・スタートアップ秘密キー
は、スチール・ボックス・パブリック・スタートアップ
認証キーで記号化される。KMSコンピュータ24は作
成ボックス23を命令して、スチール・ボックス32の
ための領域スチール・プロセス76を作る。要求された
領域キーの要素はスタートアップ秘密キーを用いてスチ
ール・ボックス32に渡される。このプロセスはスチー
ル・ボックス32が1つの領域に対して領域スチール・
プロセス76を具現化することを可能にする。このプロ
セスは特定のスチール・ボックスに対して要求された全
ての領域に対して繰り返される。
【0039】ブラス・ボックスの初期化に対して、ブラ
ス・ボックスの動作ソフトウエアがロードされ、テスト
される。ブラス・ボックスIDはB00000000に
セットされる。ブラズ・ボックス21がまずターンオン
すると、それは安全ボックスIDを問い合わせる。も
し、それがB00000000であるなら、ブラス・ボ
ックス21は作成ボックス23からのセット安全ボック
スIDのメッセージを待つ。KMSコンピュータ24は
作成ボックス23を命令して、ブラス・ボックス21を
初期化する。作成ボックス23は次のブラス安全ボック
スIDを割当て、ブラス・ボックス・プライベート・ス
タートアップ認証キーでメッセージを記号化し、それを
ブラス・ボックス21へ送る。ブラス・ボックス21は
安全ボックスIDを記憶し、ブラス・ボックス・スター
トアップ秘密キーを生成する。安全ボックスIDとパブ
リック・スタートアップ秘密キーは、ブラス・ボックス
・パブリック・スタートアップ認証キーで記号化され
る。KMSコンピュータ24は作成ボックス23を命令
して、ブラス・ボックス21のための領域ブラス・プロ
セスを作る。要求された領域キーの要素はスタートアッ
プ秘密キーを用いてブラス・ボックス21に渡される。
このプロセスはブラス・ボックス21が1つの領域に対
して領域ブラス・プロセスを具現化することを可能にす
る。このプロセスは特定のブラス・ボックスに対して要
求された全ての領域に対して繰り返される。
【0040】生成、取付けおよび登録プロセス 図24−図27を参照すると、キー管理システム10の
領域マスター・キー取付けプロセスの概要が示されてい
る。ベンダーとあらゆる郵便の領域間に差異は存在しな
い。領域マスター・キーの全セットをディジタルメータ
ー36に首尾よく取り付けるために、動作のセットはベ
ンダー領域に対してランされ、動作の他のセットは選択
された郵便領域に対してセットされる。図24、図29
および図30を参照すると、領域マスター・キー要求
は、作成プロセスの作成中に、キー分配コンピュータ3
0から来る。符号300で、要求はキー分配コンピュー
タ30からメッセージM10におけるKMSコンピュー
タ24へスチール・ボックス32の識別番号をともなっ
て送られる。KMSコンピュータ24は領域に対して唯
一のキーIDを生成する領域アーカイブから符号302
でキーIDを要求する。符号304で、領域アーカイブ
74はメッセージM10’においてMKSコンピュータ
24へキーID応答を送る。KMSコンピュータ24は
追跡記録のためのローカル時間を記録し、符号306
で、オーク・ボックス20へ発生キーのメッセージMI
1における情報を送る。オーク・ボックス20は要求を
チェックして、領域の有効性、領域に対するスチール・
ボックスIDの有効性、およびキーIDがこの領域に対
して処理した最後のものより大きいかどうかをきめる。
もし、チェックのいずれもが誤りであることを証明する
なら、オーク・ボックス20は誤りのメッセージをKM
Sコンピュータ24に戻す。もし、そのチェックが正し
ければ、オーク・ボックス24は領域マスター・キーと
テスト・トークンのセットを生成する。符号308で、
オーク・ボックス20は領域マスター・キーの記録をメ
ッセージMI2におけるKMSコンピュータに渡す。符
号310で、KMSコンピュータ24は、領域マスター
・キー記録をメッセージMI3における領域アーカイブ
74に送る。領域アーカイブ74はデータベースに領域
マスター・キー記録を記憶し、応答が符号312におけ
るKMSコンピュータに送られる。符号314で、KM
Sコンピュータ24は、符号316でKMSコンピュー
タ24へ発生応答メッセージを送るオーク・ボックス2
0へ応答を送る。符号318で、MKSコンピュータ2
4は取付けキー記録を要求応答メッセージMI4におけ
るキー分配コンピュータ30へ送る。
【0041】図25を参照すると、ディジタル・メータ
ー36が作成ライン上いあると、PSRコンピュータ3
4は符号330でキー分配コンピュータ30からの取付
け領域キーの記録を要求する。符号330で、キー分配
コンピュータ30は取付け領域キーの記録を、符号33
4のスチール・ボックス32へさらに送られるメッセー
ジMI4’におけるPSRコンピュータへ送る。スチー
ル・ボックス32は情報のためのディジタル・メーター
36を問い合わせ、符号336で、メッセージMI5の
領域マスター・キーをディジタル・メーター36に送
る。ディジタル・メーターがキーをインストールし、チ
ェックして、メーター・テスト・トークンのセットのた
めに、ディジタル・メーターを問い合わせるスチール・
ボックス32にステータスを戻す。符号338で、メー
ター・テスト・トークンは、メッセージMI6におい
て、オーク・ボックス20から受け取ったものに対して
メーター・テスト・トークンをチェックするスチール・
ボックス32に戻される。従って、スチール・ボックス
32は、オーク・ボックス24によって生成された領域
マスター・キーがディジタル・メーター36に取付けら
れたキーと同じであることをチェックする。符号340
で、スチール・ボックス32は取付けステータスとメッ
セージMI7における情報をPSRコンピュータおよび
キー分配コンピュータ30を介してキー管理コンピュー
タ24に送る。キー管理コンピュータ24は領域アーカ
イブからの領域マスター・キー記録を検索し、ローカル
時間のスタンプを調べ、符号342で、メッセージMI
8におけるブラス・ボックス21に情報を送る。ブラス
・ボックス21は、領域アーカイブ74からの領域マス
ター・キーの記録からのテスト・トークンを生成する。
これらは、メーター・テストのトークンと比較される。
これは、領域アーカイブの領域マスター・キーがディジ
タル・メーターに取付けられたキーと同じであることを
チェックする。もし、それらがチェックアウトするな
ら、領域マスター・キー記録は更新され、符号344で
キー管理コンピュータ24にメッセージMI9において
送られる。キー管理コンピュータ24はメッセージMI
9において領域マスター・キー記録を領域アーカイブ7
4に送り、もし、成功するなら、符号346でブラス・
ボックス21へ応答を戻す。ブラス・ボックス21は応
答をチェックし、符号348でKMSコンピュータ24
へ、およびメッセージMI10におけるキー分配コンピ
ュータ30へ成功あるいは失敗の検証を戻す。
【0042】キー登録は登録の国と証印をプロダクト・
コード番号とキーを関連づけることから成っている。キ
ーは、国のサブ領域に特有の秘密キーを用いて、取付け
領域の国のサブ領域に記憶される。本質的な失敗は、そ
の国のサブ領域に特有のブラス・プロセスがキーを安全
に且つ確実に取付けるために、取付け領域に頼ることで
ある。キーは、決して1つの取付け領域から他の取付け
領域へ転送しない。図26−図31を参照すると、ディ
ジタル・メーターが特定の安全領域に対して用意される
と、証印の連続番号および/またはプロダクト・コード
番号はメッセージMR1においてディジタル・メーター
に入れられる。PSRコンピュータ34は符号360で
ディジタル・メーター36からの登録トークンを要求す
る。ディジタル・メーターは2つのディジタル・トーク
ンを生成し、それらを符号362でPSRコンピュータ
を戻す。PRSコンピュータはそれらのトークンを他の
メーター情報と結合して、その結果生じる記録を符号3
64でキー分配コンピュータ30を介してキー管理コン
ピュータ24へ送る。符号366で、キー管理システム
のコンピュータ24は領域アーカイブからの領域マスタ
ー・キー記録を検索し、情報をメッセージMR2におけ
るブラス・ボックス21へ送る。ブラス・ボックス21
は領域アーカイブ74からの漁期マスター・キー記録か
らの登録トークンを生成する。これらは、メーター登録
のトークンと比較される。これは、証印の連続番号、プ
ロダクト・コード番号および作成連続番号がディジタル
・メーターによって正確に報告されたことをチェックす
る。もし、それらがクアウトするなら、領域マスター・
キー記録は更新され、符号368でキー管理コンピュー
タ24に送られる。キー管理コンピュータ24は領域マ
スター・キー記録をメッセージMR3における領域アー
カイブ74に送り、もし、成功するなら、符号370で
ブラス・ボックス21へ応答を戻す。ブラス・ボックス
21は応答をチェックし、符号372でキー管理システ
ムのコンピュータ24へ、およびメッセージMR4にお
ける成功あるいは失敗の検証を戻す。
【0043】あらゆる領域は少なくとも1つのサブ領域
を有しており、そのサブ領域は、キーを証印番号に登録
するための、およびそのサブ領域内で印章の検証を行う
ための役割を有している。特に、地球領域は幾つかの国
のサブ領域を有している。1つの国が地球領域のサブ領
域にメーターを、およびそれ自身の郵便の領域の唯一の
サブ領域にメーターを持つことが可能である。図32に
示された例においては、国3は唯一の郵便の領域と地球
領域の郵便のサブ領域の両方を有している。しかし、国
Aは、その国の唯一の郵便領域内に取り付けられたキー
を有するメーターのみを有している。図27を参照する
と、もし、ディジタル・メーターがサービスの範囲外に
あると、情報は記録され、KMSコンピュータ24へ送
られる。キー管理システムのコンピュータ24は領域ア
ーカイブからの領域マスター・キー記録を検索し、ロー
カル時間のスタンプを調べ、情報を符号380でブラス
・ボックス21に送る。領域マスター・キーの記録は更
新され、符号382でキー管理コンピュータ24に送
る。キー管理のコンピュータは領域マスター・キー記録
を領域アーカイブに送り、もし、成功するなら、応答を
符号384でブラス・ボックス21へ戻す。ブラス・ボ
ックス21は応答をチェックし、符号386でキー管理
コンピュータ24へ成功あるいは失敗の検証を戻す。
【0044】トークンの生成 各々のメーターは領域マスター・キーを用いて、各領域
に対して、ここで、トークン・キーと呼ばれる一時的キ
ーを発生する。そしてそれは郵便物のデータからのトー
クンを生成するために用いられる。キー管理システム
は、ここでティン・ボックス(Tin Box) と呼ばれる分配
器のトークン検証ボックス44(図1)を有する郵便の
検証場所を認定するために、郵便の一時的キーを分配す
る。郵便の一時的キーは、証印のローカルな検証のため
に、ティン・ボックス44によって用いられる。この配
置の下に、郵便局は、多くの場所にマスター・キーのデ
ータベースを配置することなく証印のローカル検証を得
ることができるので、キー管理システムは高レベルの安
全性を提供する。検証プロセス 以下の記述はキー管理システム10の検証プロセスの概
要を示す。ベンダーとあらゆる郵便領域間に差異はな
い。各々は独立して同じ方法で動作する。両方のトーク
ンを首尾よく検証するために、動作のセットはベンダー
領域に対してランされ、動作の他のセットは選択された
郵便領域に対してランされる。トークン検証要求はメー
ル設備18に配置されるデータ捕獲システム(data capt
ure system) 19から来る。要求は物理的な郵便物上に
印刷された情報のASCIIテキスト表現を含む。図2
8を参照すると、符号400で、要求はベンダーあるい
は郵便のデータセンターにあるキー管理システムのコン
ピュータ24に送られる。キー管理システムのコンピュ
ータ24はディジット(digits)をチェックし、もし、必
要なら修正する。キー管理システムのコンピュータ24
は領域アーカイブからの領域マスター・キー記録を検索
し、符号402でブラス・ボックス21へ情報を送る。
ブラス・ボックス21はその要求をチェックし、領域マ
スター・キーがアクティブであることを検証する。ブラ
ス・ボックス21は領域アーカイブおよび郵便物情報か
らの領域マスター・キーを用いて、選択された領域のト
ークンを再計算する。計算されたトークンは、それらが
マッチしているかどうかをみるために、郵便物のトーク
ンと比較される。良し/悪しの比較結果が符号404で
KMSコンピュータ24に送られる。追加の検証が他の
領域トークンを検証するために必要であることを強調す
るために、第2の例が図28に示されている。
【0045】本発明の以上の記載は、郵便局はベンダー
が郵便のマスター・キーを生成し、それらをディジタル
・メーターに取り付ける権限をあたえる好適な実施の形
態である。キーは、郵便のトークンの有効性のために用
いられるように郵便データセンターに送られる。キー管
理システムは機能、安全ボックスおよびデータベースの
いろいろな分配のための能力を有する。例えば、他の実
施の形態において、郵便局は、ベンダーおよび他の関係
者が郵便キーの発生、維持、トークンの有効性そしてキ
ーをベンダーに伝達するの機能を有する郵便のデータセ
ンターを維持し、動作することを任せる。この実施の形
態において、郵便のブラス・ボックス40と郵便のキー
アーカイブ42は、ベンダーあるいは他の関係者の場所
に物理的に位置される。他の実施の形態においては、郵
便局はそのデータセンターを管理し、郵便のオーク・ボ
ックス22は郵便のデータセンター16に物理的に位置
される。他の代替実施形態(図示されず)においては、
キー管理システムの機能、即ち領域オーク・プロセス、
領域スチール・プロセス或いは領域ブラス・プロセスの
あらゆる組み合わせが安全ボックスのいずれかに統合さ
れることができる。
【0046】従って、キー管理システムはいろいろな領
域、即ち、郵便局が同じ論理的なキー管理システムのい
ろいろな物理的態様を実現できる本質的な柔軟性を有し
ていることが理解されるであろう。本キー管理システム
は、システムの高いレベルでの完全性と安全性を維持つ
つ、このような柔軟性を提供するものである。本発明
は、更に多くのベンダー多くの郵便局をサポートするこ
とができることが理解されるであろう。本発明は、ディ
ジタル郵便メーターの証明に関する実施の形態に対して
述べられた。この分野の通常の知識を有する者は、一般
に、本発明が、一時的なトランズアクション、項目のト
ランズアクションおよび情報のトランズアクションのよ
うなトランズアクションの証明に対するキー管理システ
ムとして用いるのに適していることを理解するであろ
う。ここで用いられるように、用語“ディジタル郵便メ
ーター”は、安全な印刷手段に結合されているディジタ
ル郵便メーターの従来の形式、および安全でない印刷手
段に結合されているディジタル郵便メーターの他の形式
に該当し、あるいは従来のディジタル郵便メーターと異
なる他のの構成を有している。
【0047】本発明は、単一の実施の形態に関して開示
され、述べられたが、上述のように変更および変形がな
されることは明らかであろう。従って、特許請求の範囲
は、本発明の真の精神および範囲内にある各々の変更お
よび変形を含むことが意図されている。
【図面の簡単な説明】
【図1】本発明による暗号キーの管理および有効性のシ
ステムのブロック図である。
【図2】図1のキー管理および有効性のシステムにおけ
る安全領域の関係を示すブロック図。
【図3】図1のキー管理および有効性のシステムにおけ
るベンダーのデータセンターのブロック図。
【図4】図1のキー管理および有効性のシステムにおけ
るベンダーの作成設備のブロック図。
【図5】図1のキー管理および有効性のシステムにおけ
る郵便のデータセンターのブロック図。
【図6】図1のキー管理および有効性のシステムにおけ
る作成ボックスの管理上の領域を示すブロック図。
【図7】キー管理プロセスのフロー図。
【図8】キーの識別のためのフロー図。
【図9】作成ボックスのためのキー材料のブロック図。
【図10】オーク・ボックスのためのキー材料のブロッ
ク図。
【図11】スチール・ボックスのためのキー材料のブロ
ック図。
【図12】ブラス・ボックスのためのキー材料のブロッ
ク図。
【図13】地球領域のディジタル・メーター・プロセス
のフロー図。
【図14】有効なマスター・キー状態の変化のフロー
図。
【図15】有効なマスター・キー状態の変化のブロック
図。
【図16】オーク・ボックスからブラス・ボックスへの
メッセージ。
【図17】オーク・ボックスからスチール・ボックスへ
のメッセージ。
【図18】キーのフレッシュネスの検出のための論理
図。
【図19】スチール・ボックスからブラス・ボックスへ
のメッセージ。
【図20】メーターからブラス・ボックスへのメッセー
ジ。
【図21】エラー取扱いのブロック図。
【図22】第1の作成ボックスの初期化のフロー図。
【図23】一般的なボックスの初期化のフロー図。
【図24】キー要求の処理のフロー図。
【図25】キー取付けの処理のフロー図。
【図26】キー登録の処理のフロー図。
【図27】旧式キーの処理のフロー図。
【図28】検証処理のフロー図。
【図29】キー取付けメッセージのフローを示すブロッ
ク図。
【図30】図29のキー取付けメッセージのテーブル。
【図31】キー登録メッセージのテーブル。
【図32】領域およびサブ領域の関係を示すブロック
図。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 ウォルター ジェイ ベイカー アメリカ合衆国 コネチカット州 06497 ストラットフォード ノース エイブラ ム ストリート 378 (72)発明者 フェリクス バトー アメリカ合衆国 コネチカット州 06612 イーストン バローズ ロード 89 (72)発明者 ロバート エイ コーデリー アメリカ合衆国 コネチカット州 06811 ダンバリー ジャネット ストリート 11−1−2 (72)発明者 ケヴィン ディー ハンター アメリカ合衆国 ニューヨーク州 11733 イースト セタンケット フランシーン レーン 1 (72)発明者 キャスリン ヴィー ロートン アメリカ合衆国 コネチカット州 06405 ブランフォード ロック パステュア ロード 47 (72)発明者 ルイス ジェイ ログリッチ アメリカ合衆国 コネチカット州 06907 スタムフォード ホープ ストリート 555 (72)発明者 スティーヴン ジェイ パウリー アメリカ合衆国 コネチカット州 06776 ニュー ミルフォード サリー レーン 10 (72)発明者 リーオン エイ ピンツォフ アメリカ合衆国 コネチカット州 06107 ウェスト ハートフォード マウンテン ロード 365 (72)発明者 フレデリック ダブリュー ライアン ジ ュニア アメリカ合衆国 コネチカット州 06478 オックスフォード ネイプルズ レーン 4 (72)発明者 モンロー エイ ワイアント ジュニア アメリカ合衆国 コネチカット州 06611 トランバル パッティング グリーン ロード 249 (72)発明者 ゲアリー エム ハイデン アメリカ合衆国 コネチカット州 06484 シェルトン ウッドセンド アベニュー 14

Claims (17)

    【特許請求の範囲】
  1. 【請求項1】情報の完全性の証明をするために暗号手段
    を用いる情報のトランズアクション・システムによって
    用いられる暗号キーを生成し、分配し、且つ管理するた
    めのキー管理システムであって、前記システムは、 互いに動作的に結合された、複数の機能的に別個の安全
    ボックスであって、前記安全ボックスの各々は、キーの
    生成、キーの取付け、キーの検証およびトークンの有効
    性のためのキー管理機能の一つを達成する手段を有する
    安全ボックスと、 システム制御を与えるコンピュータ手段であって、前記
    コンピュータ手段は、前記安全ボックスに動作的に結合
    され、前記安全ボックス間の通信を容易にするための手
    段を有するコンピュータ手段と、 複数の分離した論理的安全領域であって、前記安全領域
    の各々は、前記キー管理機能を用いて前記領域内に前記
    トランズアクション証明装置によって作られたキーの生
    成、キーの取付け、キーの検証およびトークンの有効性
    を与える論理的安全領域と、 前記コンピュータ手段に動作的に結合され、前記安全領
    域の各々にそれぞれ対応する複数の領域アーカイブであ
    って、前記領域アーカイブは、各領域に対して、キーの
    状態の記録およびマスター・キーを安全に、且つ確実に
    記録する手段を有する領域アーカイブと、 トランズアクション証明装置において、前記マスター・
    キーを設ける手段と、 前記トークンを有効にするための手段、を有することを
    特徴とする装置。
  2. 【請求項2】前記安全ボックスは、 前記マスター・キーに対する要求が前記コンピュータ手
    段から受けるたときマスター・キーを生成し、暗号化
    し、符号化する手段、および前記キー生成ボックスと前
    記トランズアクション証明装置に動作的に結合されたキ
    ー取付けボックスであって、前記キー取付けボックス
    は、前記符号化されたマスター・キーを受け取り、検証
    し、且つ解読するための手段、および前記マスター・キ
    ーを前記トランズアクション証明装置に設ける手段を有
    するキー取付けボックス、を有することを特徴とする請
    求項1に記載のシステム。
  3. 【請求項3】前記安全ボックスは、更に前記キー生成ボ
    ックスと前記キー取付けボックスに動作的に結合された
    キー検証ボックスであって、前記キー検証ボックス前記
    トランズアクション証明装置に前記マスター・キーの取
    付けを検証するための手段を有するキー検証ボックスを
    有することを特徴とする請求項2に記載のシステム。
  4. 【請求項4】前記安全ボックスは、更に前記キー検証ボ
    ックスに動作的に結合されたトークン検証ボックスであ
    って、前記トークン検証ボックスは前記トークンを検証
    するための手段を有することを特徴とする請求項3に記
    載のシステム。
  5. 【請求項5】前記安全ボックスは、更に前記安全ボック
    スに動作的に結合された少なくとも一つの作成ボックス
    であって、前記作成ボックスは、領域キーを生成し、前
    記領域の各々に対して前記安全ボックス間に前記領域キ
    ーを分配する手段を有することを特徴とする請求項1に
    記載のシステム。
  6. 【請求項6】前記コンピュータ手段は、第1のデータセ
    ンターに位置し、且つ前記安全ボックスに動作的に結合
    された第1のキー管理コンピュータを含み、前記第1の
    キー管理コンピュータは、前記安全ボックスと前記領域
    アーカイブ間の通信を制御することを特徴とする請求項
    4に記載のシステム。
  7. 【請求項7】前記コンピュータ手段は、更に前記作成場
    所に位置し、前記安全ボックスと前記第1のキー管理コ
    ンピュータに動作的に結合されたキー分配コンピュータ
    を有し、前記キー分配コンピュータは、トランズアクシ
    ョン証明装置に取り付けるための前記マスター・キーの
    分配を制御することを特徴とする請求項6に記載のシス
    テム。
  8. 【請求項8】前記コンピュータ手段は、更に第2のデー
    タセンターに位置し、前記安全ボックス、第1のキー管
    理コンピュータおよびキー分配コンピュータに動作的に
    結合された第2のキー管理コンピュータを有し、前記第
    2のキー管理コンピュータは、キー管理システムをモニ
    ターし、前記第2のデータセンターに位置された前記ト
    ークン検証ボックスを制御することを特徴とする請求項
    7に記載のシステム。
  9. 【請求項9】前記コンピュータ手段は、更に前記第1の
    キー管理コンピュータに動作的に接続され、検証場所に
    位置する分配されたキー管理コンピュータを有し、且つ
    前記安全ボックスは、更に分配されたトークン検証ボッ
    クスを有し、前記分配されたキー管理コンピュータは、
    前記トランズアクション証明装置によって作られたトー
    クンの前記分配されたトークン検証ボックスによって、
    検証を制御することを特徴とする請求項7に記載のシス
    テム。
  10. 【請求項10】前記論理的安全領域のサブセットは、前
    記安全ボックスの各々に存在することを特徴とする請求
    項1に記載のシステム。
  11. 【請求項11】前記トランズアクション証明装置は、ト
    ークンの生成のために一時的キーを生成し、且つ前記安
    全ボックスの一つは、同一の一時的キーを生成し、前記
    キー管理コンピュータは、前記一時的キーを前記分配さ
    れたキー管理コンピュータに分配することを特徴とする
    請求項9に記載のシステム。
  12. 【請求項12】前記キー生成ボックスは、独特のキー識
    別子とキー取付けボックスを前記マスター・キーに割当
    て、前記キー取付けボックスは、前記キー識別子がフレ
    ッシュで、前記マスター・キーが前記キー取付けボック
    スに割り当てられることを検証することを特徴とする請
    求項2に記載のシステム。
  13. 【請求項13】前記トランズアクション証明装置は、前
    記安全領域の少なくとも二つから前記マスター・キーの
    少なくとも2つを含み、前記トランズアクション証明装
    置は、前記2つの領域にの各々に対してトークンを生成
    することを特徴とする請求項1に記載のシステム。
  14. 【請求項14】キー生成ボックスは、マスター・キーの
    完全性の証明をするための手段を含み、前記キー取付け
    ボックスは前記マスター・キーの完全性の証明を用い
    て、前記トランズアクション証明装置に設けられた前記
    マスター・キーを検証することを特徴とする請求項2に
    記載のシステム。
  15. 【請求項15】前記トランズアクション証明装置は、マ
    スター・キーの完全性の証明をするための手段を含み、
    前記キー検証ボックスは、前記マスター・キーの完全性
    の証明を用いて、前記トランズアクション証明装置に設
    けられた前記マスター・キーが前記領域アーカイブに記
    録された前記マスター・キーと同一であることを検証す
    ることを特徴とする請求項3に記載のシステム。
  16. 【請求項16】前記トランズアクション証明装置は、郵
    便メーターであることを特徴とする請求項1に記載のシ
    ステム。
  17. 【請求項17】郵便の支払いの証明をするために、暗号
    手段を用いるディジタル郵便メーターによって用いられ
    た暗号キーを生成し、分配し、且つ管理するキー管理シ
    ステムであって、前記システムは、 互いに動作的に結合された複数の機能的に別個の安全ボ
    ックスであって、前記安全ボックスの各々は、キーの生
    成、キーの取付け、キーの検証およびトークンの有効性
    のためのキー管理機能の一つを達成するための手段を含
    む安全ボックスと、 システム制御を与えるコンピュータ手段であって、前記
    コンピュータ手段は、前記安全ボックスに動作的に結合
    され、前記安全ボックス間の通信を容易にするための手
    段を有するコンピュータ手段と、 複数の分離した論理的安全領域であって、論理的安全領
    域の各々は、前記キー管理機能を用いて、前記領域内に
    ディジタル・メーターによって作られるキー生成のため
    の領域プロセス、キーの取付け、キーの検証、およびト
    ークンの有効性を与える論理的安全領域と、 前記コンピュータ手段に動作的に結合され、前記安全領
    域の各々にそれぞれ対応する複数の領域アーカイブであ
    って、前記領域アーカイブは、各領域に対するキー状態
    の記録とマスター・キーを安全に、且つ確実に記録をす
    るための手段を有する前記領域アーカイブと、 ディジタル郵便メーターに前記マスター・キーを設ける
    手段と、 前記トークンを有効にするための手段と、を有するシス
    テム。
JP8114070A 1995-03-31 1996-04-01 暗号のキー管理システム Pending JPH09149021A (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US41456395A 1995-03-31 1995-03-31
US08/553812 1995-10-23
US08/414563 1995-10-23
US08/553,812 US5812666A (en) 1995-03-31 1995-10-23 Cryptographic key management and validation system

Publications (1)

Publication Number Publication Date
JPH09149021A true JPH09149021A (ja) 1997-06-06

Family

ID=27022605

Family Applications (1)

Application Number Title Priority Date Filing Date
JP8114070A Pending JPH09149021A (ja) 1995-03-31 1996-04-01 暗号のキー管理システム

Country Status (7)

Country Link
US (1) US5812666A (ja)
EP (1) EP0735722B1 (ja)
JP (1) JPH09149021A (ja)
CN (1) CN1193314C (ja)
BR (1) BR9601231A (ja)
CA (1) CA2173008C (ja)
DE (1) DE69634220T2 (ja)

Families Citing this family (84)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3769804B2 (ja) * 1996-02-02 2006-04-26 ソニー株式会社 解読化方法および電子機器
JP3486043B2 (ja) * 1996-03-11 2004-01-13 株式会社東芝 ソフトウエア流通システムの動作方法及びソフトウエアシステム
US5805701A (en) * 1996-11-01 1998-09-08 Pitney Bowes Inc. Enhanced encryption control system for a mail processing system having data center verification
US5982896A (en) * 1996-12-23 1999-11-09 Pitney Bowes Inc. System and method of verifying cryptographic postage evidencing using a fixed key set
US5812990A (en) 1996-12-23 1998-09-22 Pitney Bowes Inc. System and method for providing an additional cryptography layer for postage meter refills
GB9702099D0 (en) * 1997-01-31 1997-03-19 Neopost Ltd Secure communication system
JP4268690B2 (ja) * 1997-03-26 2009-05-27 ソニー株式会社 認証システムおよび方法、並びに認証方法
US6122631A (en) * 1997-03-28 2000-09-19 International Business Machines Corporation Dynamic server-managed access control for a distributed file system
US6546377B1 (en) * 1997-06-13 2003-04-08 Pitney Bowes Inc. Virtual postage meter with multiple origins of deposit
US6466921B1 (en) * 1997-06-13 2002-10-15 Pitney Bowes Inc. Virtual postage meter with secure digital signature device
AU7961998A (en) 1997-06-13 1998-12-30 Pitney-Bowes Inc. Virtual postage meter with multiple origins of deposit
US6567794B1 (en) 1997-06-13 2003-05-20 Pitney Bowes Inc. Method for access control in a virtual postage metering system
US7203666B1 (en) 1997-06-13 2007-04-10 Pitney Bowes Inc. Virtual postage metering system
AU757557B2 (en) * 1997-11-13 2003-02-27 Intellectual Ventures I Llc File transfer system
US6253219B1 (en) * 1997-12-23 2001-06-26 Pitney Bowes Inc. Method for utilizing the postal service address as an object in an object oriented environment
US20020065951A1 (en) * 1997-12-23 2002-05-30 Victor Girardi Ole automation server for manipulation of mail piece data
US6069616A (en) * 1997-12-30 2000-05-30 Rozum, Jr.; Andrew L. Postal security device with computer keyboard interface
US6233565B1 (en) 1998-02-13 2001-05-15 Saranac Software, Inc. Methods and apparatus for internet based financial transactions with evidence of payment
FR2783337B1 (fr) * 1998-09-11 2000-12-15 Neopost Ind Procede de controle des consommations de machines a affranchir
JP2002529012A (ja) 1998-10-23 2002-09-03 エル3 コミュニケーションズ コーポレイション 異質の暗号資産におけるキイの資料を管理する装置および方法
US7047416B2 (en) * 1998-11-09 2006-05-16 First Data Corporation Account-based digital signature (ABDS) system
US6820202B1 (en) * 1998-11-09 2004-11-16 First Data Corporation Account authority digital signature (AADS) system
GB9906293D0 (en) * 1999-03-18 1999-05-12 Post Office Improvements relating to postal services
US6834273B1 (en) * 1999-04-23 2004-12-21 Pitney Bowes Inc. System for capturing information from a postal indicia producing device so as to correct improperly paid mail pieces
GB2353682B (en) 1999-07-15 2004-03-31 Nds Ltd Key management for content protection
IL130963A (en) * 1999-07-15 2006-04-10 Nds Ltd Key management for content protection
AU7496300A (en) * 1999-09-17 2001-04-17 Ascom Hasler Mailing Systems, Inc. Payment system and method
US6724894B1 (en) * 1999-11-05 2004-04-20 Pitney Bowes Inc. Cryptographic device having reduced vulnerability to side-channel attack and method of operating same
US6473743B1 (en) * 1999-12-28 2002-10-29 Pitney Bowes Inc. Postage meter having delayed generation of cryptographic security parameters
DE10020904B4 (de) * 2000-04-28 2004-12-09 Francotyp-Postalia Ag & Co. Kg Verfahren zur sicheren Distribution von Sicherheitsmodulen
US6619544B2 (en) * 2000-05-05 2003-09-16 Pitney Bowes Inc. System and method for instant online postage metering
US7222236B1 (en) * 2000-06-30 2007-05-22 Stamps.Com Evidencing indicia of value using secret key cryptography
US6934839B1 (en) 2000-06-30 2005-08-23 Stamps.Com Inc. Evidencing and verifying indicia of value using secret key cryptography
US6789189B2 (en) * 2000-08-04 2004-09-07 First Data Corporation Managing account database in ABDS system
US7010691B2 (en) * 2000-08-04 2006-03-07 First Data Corporation ABDS system utilizing security information in authenticating entity access
EP1316168A4 (en) 2000-08-04 2006-05-10 First Data Corp METHOD AND DEVICE FOR USE OF ELECTRONIC COMMUNICATION IN AN ELECTRONIC CONTRACT
US6983368B2 (en) * 2000-08-04 2006-01-03 First Data Corporation Linking public key of device to information during manufacture
US7558965B2 (en) * 2000-08-04 2009-07-07 First Data Corporation Entity authentication in electronic communications by providing verification status of device
US7552333B2 (en) * 2000-08-04 2009-06-23 First Data Corporation Trusted authentication digital signature (tads) system
US7082533B2 (en) * 2000-08-04 2006-07-25 First Data Corporation Gauging risk in electronic communications regarding accounts in ABDS system
US6978369B2 (en) * 2000-08-04 2005-12-20 First Data Corporation Person-centric account-based digital signature system
US7096354B2 (en) * 2000-08-04 2006-08-22 First Data Corporation Central key authority database in an ABDS system
DE10051818A1 (de) * 2000-10-18 2002-06-20 Deutsche Post Ag Verfahren zur Überprüfung von auf Postsendungen aufgebrachten Frankiervermerken
US7536553B2 (en) * 2001-05-10 2009-05-19 Pitney Bowes Inc. Method and system for validating a security marking
EP1276062A1 (en) * 2001-07-12 2003-01-15 Hewlett-Packard Company, A Delaware Corporation A method of providing user-specific data to an information source, a data carrier and a method of personalising a user's internet experience
US20040128508A1 (en) * 2001-08-06 2004-07-01 Wheeler Lynn Henry Method and apparatus for access authentication entity
US7487363B2 (en) * 2001-10-18 2009-02-03 Nokia Corporation System and method for controlled copying and moving of content between devices and domains based on conditional encryption of content key depending on usage
DE10211265A1 (de) * 2002-03-13 2003-10-09 Deutsche Post Ag Verfahren und Vorrichtung zur Erstellung prüfbar fälschungssicherer Dokumente
AUPS112202A0 (en) * 2002-03-14 2002-04-18 Commonwealth Scientific And Industrial Research Organisation Semiconductor manufacture
US6988204B2 (en) * 2002-04-16 2006-01-17 Nokia Corporation System and method for key distribution and network connectivity
US7092527B2 (en) * 2002-04-18 2006-08-15 International Business Machines Corporation Method, system and program product for managing a size of a key management block during content distribution
US20040030887A1 (en) * 2002-08-07 2004-02-12 Harrisville-Wolff Carol L. System and method for providing secure communications between clients and service providers
DE10305730B4 (de) * 2003-02-12 2005-04-07 Deutsche Post Ag Verfahren zum Überprüfen der Gültigkeit von digitalen Freimachungsvermerken
CN100454807C (zh) * 2003-08-29 2009-01-21 华为技术有限公司 一种信息完整性的保护方法
US20050102513A1 (en) * 2003-11-10 2005-05-12 Nokia Corporation Enforcing authorized domains with domain membership vouchers
US20060153370A1 (en) * 2005-01-07 2006-07-13 Beeson Curtis L Generating public-private key pair based on user input data
US7693277B2 (en) * 2005-01-07 2010-04-06 First Data Corporation Generating digital signatures using ephemeral cryptographic key
US7490239B2 (en) * 2005-01-07 2009-02-10 First Data Corporation Facilitating digital signature based on ephemeral private key
US7593527B2 (en) * 2005-01-07 2009-09-22 First Data Corporation Providing digital signature and public key based on shared knowledge
US7936869B2 (en) * 2005-01-07 2011-05-03 First Data Corporation Verifying digital signature based on shared knowledge
US20060153369A1 (en) * 2005-01-07 2006-07-13 Beeson Curtis L Providing cryptographic key based on user input data
US7869593B2 (en) * 2005-01-07 2011-01-11 First Data Corporation Software for providing based on shared knowledge public keys having same private key
US20060156013A1 (en) * 2005-01-07 2006-07-13 Beeson Curtis L Digital signature software using ephemeral private key and system
US20060153364A1 (en) * 2005-01-07 2006-07-13 Beeson Curtis L Asymmetric key cryptosystem based on shared knowledge
US20060153367A1 (en) * 2005-01-07 2006-07-13 Beeson Curtis L Digital signature system based on shared knowledge
FR2890218B1 (fr) * 2005-08-31 2007-11-09 Neopost Ind Sa Systeme d'affranchissement a comptabilisation distribuee
US7822206B2 (en) * 2006-10-26 2010-10-26 International Business Machines Corporation Systems and methods for management and auto-generation of encryption keys
US8050410B2 (en) * 2006-12-08 2011-11-01 Uti Limited Partnership Distributed encryption methods and systems
US20080144836A1 (en) * 2006-12-13 2008-06-19 Barry Sanders Distributed encryption authentication methods and systems
WO2008122906A1 (en) * 2007-04-05 2008-10-16 Koninklijke Philips Electronics N.V. Wireless sensor network key distribution
US8006295B2 (en) * 2007-06-28 2011-08-23 Microsoft Corporation Domain ID service
CN101400059B (zh) * 2007-09-28 2010-12-08 华为技术有限公司 一种active状态下的密钥更新方法和设备
US8214291B2 (en) * 2007-10-19 2012-07-03 Ebay Inc. Unified identity verification
US8838503B2 (en) * 2008-12-08 2014-09-16 Ebay Inc. Unified identity verification
US8190906B1 (en) * 2008-12-16 2012-05-29 Emc Corporation Method and apparatus for testing authentication tokens
US8971535B2 (en) * 2010-05-27 2015-03-03 Bladelogic, Inc. Multi-level key management
US9026805B2 (en) 2010-12-30 2015-05-05 Microsoft Technology Licensing, Llc Key management using trusted platform modules
US9008316B2 (en) * 2012-03-29 2015-04-14 Microsoft Technology Licensing, Llc Role-based distributed key management
US9003560B1 (en) * 2012-06-05 2015-04-07 Rockwell Collins, Inc. Secure enclosure with internal security components
CN105827397B (zh) 2015-01-08 2019-10-18 阿里巴巴集团控股有限公司 基于可信中继的量子密钥分发系统、方法及装置
JP7228977B2 (ja) * 2018-08-30 2023-02-27 キヤノン株式会社 情報処理装置及び認可システムと検証方法
US11132685B1 (en) 2020-04-15 2021-09-28 Capital One Services, Llc Systems and methods for automated identity verification
DE102020003072B3 (de) 2020-05-22 2021-07-15 Daimler Ag Verfahren zur sicheren Nutzung von kryptografischem Material
CN114070640B (zh) * 2021-11-25 2024-02-06 航天新通科技有限公司 一种安全通信方法及系统

Family Cites Families (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4227253A (en) * 1977-12-05 1980-10-07 International Business Machines Corporation Cryptographic communication security for multiple domain networks
US4238853A (en) * 1977-12-05 1980-12-09 International Business Machines Corporation Cryptographic communication security for single domain networks
US4281216A (en) * 1979-04-02 1981-07-28 Motorola Inc. Key management for encryption/decryption systems
US4447890A (en) * 1980-07-14 1984-05-08 Pitney Bowes Inc. Remote postage meter systems having variable user authorization code
US4578531A (en) * 1982-06-09 1986-03-25 At&T Bell Laboratories Encryption system key distribution method and apparatus
US4590470A (en) * 1983-07-11 1986-05-20 At&T Bell Laboratories User authentication system employing encryption functions
US4972472A (en) * 1985-03-15 1990-11-20 Tandem Computers Incorporated Method and apparatus for changing the master key in a cryptographic system
US4775246A (en) * 1985-04-17 1988-10-04 Pitney Bowes Inc. System for detecting unaccounted for printing in a value printing system
US4725718A (en) * 1985-08-06 1988-02-16 Pitney Bowes Inc. Postage and mailing information applying system
US4757537A (en) * 1985-04-17 1988-07-12 Pitney Bowes Inc. System for detecting unaccounted for printing in a value printing system
US4831555A (en) * 1985-08-06 1989-05-16 Pitney Bowes Inc. Unsecured postage applying system
US4743747A (en) * 1985-08-06 1988-05-10 Pitney Bowes Inc. Postage and mailing information applying system
US4731840A (en) * 1985-05-06 1988-03-15 The United States Of America As Represented By The United States Department Of Energy Method for encryption and transmission of digital keying data
GB8704920D0 (en) * 1987-03-03 1987-04-08 Hewlett Packard Co Secure messaging system
US4850017A (en) * 1987-05-29 1989-07-18 International Business Machines Corp. Controlled use of cryptographic keys via generating station established control values
US4873645A (en) * 1987-12-18 1989-10-10 Pitney Bowes, Inc. Secure postage dispensing system
US4853961A (en) * 1987-12-18 1989-08-01 Pitney Bowes Inc. Reliable document authentication system
US4888801A (en) * 1988-05-02 1989-12-19 Motorola, Inc. Hierarchical key management system
US4888802A (en) * 1988-06-17 1989-12-19 Ncr Corporation System and method for providing for secure encryptor key management
US4935961A (en) * 1988-07-27 1990-06-19 Gargiulo Joseph L Method and apparatus for the generation and synchronization of cryptographic keys
US5016277A (en) * 1988-12-09 1991-05-14 The Exchange System Limited Partnership Encryption key entry method in a microcomputer-based encryption system
US4965804A (en) * 1989-02-03 1990-10-23 Racal Data Communications Inc. Key management for encrypted packet based networks
US5048087A (en) * 1989-02-03 1991-09-10 Racal Data Communications Inc. Key management for encrypted packet based networks
DE69014361T2 (de) * 1989-03-23 1995-04-27 Neopost Ind Verfahren zur Erhöhung der Sicherheit einer elektronischen Frankiermaschine mit Fernaufwertung.
US4956863A (en) * 1989-04-17 1990-09-11 Trw Inc. Cryptographic method and apparatus for public key exchange with authentication
US5148481A (en) * 1989-10-06 1992-09-15 International Business Machines Corporation Transaction system security method and apparatus
US5029206A (en) * 1989-12-27 1991-07-02 Motorola, Inc. Uniform interface for cryptographic services
US5404403A (en) * 1990-09-17 1995-04-04 Motorola, Inc. Key management in encryption systems
US5173938A (en) * 1990-09-27 1992-12-22 Motorola, Inc. Key management system
US5247576A (en) * 1991-02-27 1993-09-21 Motorola, Inc. Key variable identification method
US5208859A (en) * 1991-03-15 1993-05-04 Motorola, Inc. Method for rekeying secure communication units by group
US5243654A (en) * 1991-03-18 1993-09-07 Pitney Bowes Inc. Metering system with remotely resettable time lockout
US5214698A (en) * 1991-03-20 1993-05-25 International Business Machines Corporation Method and apparatus for validating entry of cryptographic keys
US5200999A (en) * 1991-09-27 1993-04-06 International Business Machines Corporation Public key cryptosystem key management based on control vectors
US5241599A (en) * 1991-10-02 1993-08-31 At&T Bell Laboratories Cryptographic protocol for secure communications
US5179591A (en) * 1991-10-16 1993-01-12 Motorola, Inc. Method for algorithm independent cryptographic key management
US5265164A (en) * 1991-10-31 1993-11-23 International Business Machines Corporation Cryptographic facility environment backup/restore and replication in a public key cryptosystem
US5245658A (en) * 1992-01-06 1993-09-14 George Bush Domain-based encryption
JPH05281906A (ja) * 1992-04-02 1993-10-29 Fujitsu Ltd 暗号鍵共有方式
US5237611A (en) * 1992-07-23 1993-08-17 Crest Industries, Inc. Encryption/decryption apparatus with non-accessible table of keys
US5341426A (en) * 1992-12-15 1994-08-23 Motorola, Inc. Cryptographic key management apparatus and method
US5390251A (en) * 1993-10-08 1995-02-14 Pitney Bowes Inc. Mail processing system including data center verification for mailpieces
US5621795A (en) * 1994-12-27 1997-04-15 Pitney Bowes Inc. System and method for fault tolerant key management

Also Published As

Publication number Publication date
DE69634220T2 (de) 2005-12-29
EP0735722B1 (en) 2005-01-26
CN1193314C (zh) 2005-03-16
CA2173008C (en) 2000-05-16
BR9601231A (pt) 1998-01-06
EP0735722A3 (en) 1999-10-06
CN1147656A (zh) 1997-04-16
EP0735722A2 (en) 1996-10-02
DE69634220D1 (de) 2005-03-03
US5812666A (en) 1998-09-22
CA2173008A1 (en) 1996-10-01

Similar Documents

Publication Publication Date Title
JP3881055B2 (ja) トランズアクション情報の完全性の証明を検証する方法
JPH09149021A (ja) 暗号のキー管理システム
CA2173018C (en) Method of manufacturing secure boxes in a key management system
US5680456A (en) Method of manufacturing generic meters in a key management system
US6058193A (en) System and method of verifying cryptographic postage evidencing using a fixed key set
JP4117912B2 (ja) 安全なデジタル署名デバイスを有する仮想郵便料金メーター
US7392377B2 (en) Secured centralized public key infrastructure
US6868406B1 (en) Auditing method and system for an on-line value-bearing item printing system
EP1224627B1 (en) Security system for secure printing of value-bearing items
US7236956B1 (en) Role assignments in a cryptographic module for secure processing of value-bearing items
MXPA96001257A (en) A method of verification of symbols designators in an administration system
MXPA96001259A (es) Un sistema de administracion y validacion de claves criptograficas
MXPA96001258A (en) A manufacturing method of generic subscribers in a cla administration system

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050411

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20050711

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20050714

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050908

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060213

A524 Written submission of copy of amendment under section 19 (pct)

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20060511

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060605

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060928

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061115

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20061120

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20070330