JPH09190555A - キー管理システムにおけるメータの作成方法 - Google Patents

キー管理システムにおけるメータの作成方法

Info

Publication number
JPH09190555A
JPH09190555A JP11407296A JP11407296A JPH09190555A JP H09190555 A JPH09190555 A JP H09190555A JP 11407296 A JP11407296 A JP 11407296A JP 11407296 A JP11407296 A JP 11407296A JP H09190555 A JPH09190555 A JP H09190555A
Authority
JP
Japan
Prior art keywords
key
master key
box
area
token
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP11407296A
Other languages
English (en)
Inventor
Walter J Baker
ジェイ ベイカー ウォルター
Feliks Bator
バトー フェリクス
Robert A Cordery
エイ コーデリー ロバート
Ippolito Frank M D
エム ディッポリト フランク
Kevin D Hunter
ディー ハンター ケヴィン
Kathryn V Lawton
ヴィー ロートン キャスリン
David K Lee
ケィ リー ディヴィッド
Louis J Loglisci
ジェイ ログリッチ ルイス
Steven J Pauly
ジェイ パウリー スティーヴン
Leon A Pintsov
エイ ピンツォフ リーオン
Ian A Siveyer
エイ シーヴェイヤー イアン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Pitney Bowes Inc
Original Assignee
Pitney Bowes Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Pitney Bowes Inc filed Critical Pitney Bowes Inc
Publication of JPH09190555A publication Critical patent/JPH09190555A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/00024Physical or organizational aspects of franking systems
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00435Details specific to central, non-customer apparatus, e.g. servers at post office or vendor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00362Calculation or computing within apparatus, e.g. calculation of postage value
    • G07B2017/00427Special accounting procedures, e.g. storing special information
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00741Cryptography or similar special procedures in a franking system using specific cryptographic algorithms or functions
    • G07B2017/0075Symmetric, secret-key algorithms, e.g. DES, RC2, RC4, IDEA, Skipjack, CAST, AES
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00741Cryptography or similar special procedures in a franking system using specific cryptographic algorithms or functions
    • G07B2017/00758Asymmetric, public-key algorithms, e.g. RSA, Elgamal
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00741Cryptography or similar special procedures in a franking system using specific cryptographic algorithms or functions
    • G07B2017/00758Asymmetric, public-key algorithms, e.g. RSA, Elgamal
    • G07B2017/00766Digital signature, e.g. DSA, DSS, ECDSA, ESIGN
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/0079Time-dependency
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/0079Time-dependency
    • G07B2017/00798Time-dependency using timestamps, i.e. recording time in message
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/0079Time-dependency
    • G07B2017/00806Limited validity time
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00822Cryptography or similar special procedures in a franking system including unique details
    • G07B2017/0083Postal data, e.g. postage, address, sender, machine ID, vendor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00846Key management
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00846Key management
    • G07B2017/00854Key generation
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00846Key management
    • G07B2017/0087Key distribution
    • G07B2017/00887Key distribution using look-up tables, also called master tables with pointers
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00846Key management
    • G07B2017/00895Key verification, e.g. by using trusted party
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00919Random number generator
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00951Error handling, e.g. EDC (Error Detection Codes)
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00959Cryptographic modules, e.g. a PC encryption board
    • G07B2017/00967PSD [Postal Security Device] as defined by the USPS [US Postal Service]

Abstract

(57)【要約】 【課題】ディジタル郵便メーターのようなトランズアク
ション証明装置を作成する方法を提供する。 【解決手段】本発明はキー管理システム(KMS)の論
理的安全領域においてマスター・キー(mk)を生成
し;ディジタル郵便メーターにmkを設け;mkを設け
たことを検証し;KMSにおける論理的安全サブ領域に
mkを登録するステップを有する。前記mkを生成する
ステップは、領域を生成し;少なくとも1つのサブ領域
を生成し;KMSの安全ボックスに領域を取付け;その
領域にmkとテスト・トークンを生成し;そして領域ア
ーカイブにmkを記録するステップを有する。前記mk
を取付けるステップおよび前記mkを登録するステップ
は、更に関連ステップを有す。これらのステップは、デ
ィジタル郵便メーターに割り当てられた各領域に対して
繰り返される。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、一般に暗号のキー
管理システムに関し、特に、郵便料金メーターに割当て
られた暗号キーのキー管理システムに関する。
【0002】
【発明の背景】ディジタル印刷技術は、郵便物宛て名印
刷機がディジタルの、即ちビットマップのアドレス可能
な印刷を便利な方法で行うことを可能にする。郵便料金
の支払いを証明する目的に対して、このよう技術を用い
ることが必要であることがわかっている。ディジタル印
刷技術の技術的進歩は、各郵便物に対して独自の郵便料
金の証印を印刷することを可能にした。例えば、コンピ
ュータ駆動の印刷機は郵便物お表面上の必要な位置に郵
便料金の証印を印刷する。証印は、例えば、郵便物、郵
便料金の値、日付、個数および/または郵便コードに直
接関係する情報を含むために、証印は独特なものであ
る。郵便局の展望から、あるゆる適当なコンピュータと
印刷機が画像の多重コピーを生成するために用いること
ができるので、ディジタル印刷および走査技術が、証印
を有する郵便の価格を偽造することをかなり容易にする
ことは、評価されるであろう。郵便物を確認するため
に、それは、郵便物に印刷された郵便料金の額を計算し
て、例えば、郵便物に印刷された値が正しいかどうかを
知るために、無料配達の値が暗号化から決定されるよう
に、暗号化された数を無料配達の一部として含むことが
知られていることを保証することである。例えば、Ecke
rtにあたえられた米国特許 4,649,266号と同様にEdelma
nn他に与えられた米国特許第 4,757,537号および 4,77
5,246号を参照さたい。Sansone 他に与えられた米国特
許 4,725,718号とFougere 他に与えられた米国特許第
4,743,747号に記載された暗号化の更なる一部として宛
て名を含むことによって、郵便物を証明することも公知
である。
【0003】Pastorに与えられた米国特許第 5,170,044
号は、ピクセル (画素) のバイナリー配列(binary arra
y)を含む証印の形態で、バイナリーデータの表示のため
の方法および装置を開示している。実際のピクセルの配
列は、郵便物の提供者を同定するため、および他の暗号
化された平面のテキスト情報をカバーするために、走査
される。Pastorに与えられた米国特許第 5,142,577号
は、メッセージを符号化し、複号化された郵便の情報を
郵便物の平面のテキスト情報と比較するために、DES 複
号化にたいするいろいろな変更を開示している。Pastor
他に与えられた米国特許第 5,390,251号は、コードを生
成し、各郵便物上にコードを印刷するための各メーター
に配置された装置を含む郵便料金メーターの潜在的に大
きいユーザー数からの郵便物に証印の印刷の有効性を制
御するためのシステムを開示している。コードは、証印
および郵便物の郵便料金の合法性に独自に確定的な他の
情報を印刷する装置を表す暗号化コードである。ディジ
タル・メーターは、2つの“ディジタル・トークン”の
ある封筒上の郵便情報をサインすることによって、郵便
料金の支払いの証明を与える。第1のディジタル・トー
クンは、郵便サービスに対して証明を与え、第2のディ
ジタル・トークンは、本発明の譲受け人のような売り主
に対して証明を与える。ディジタルトークンは、例え
ば、郵便料金の値、個数、提出日および始めの郵便局を
含む証印を暗号化した結果のトランケーション(truncat
ion)である。
【0004】郵便料金の支払いの証明をするために暗号
化の手段を採用するディジタル・メーターの新しいクラ
スが開発されている。暗号化は、暗号キーを用いて行わ
れる。各々のディジタル・メーターにおいて、独立した
キーがディジタル・トークンを生成するために用いられ
る。安全性の理由のために、いろいろなメーターにおけ
るキーも独立である。メーターおよび郵便物についての
情報は結合され、売主および郵便のマスター・キーある
いはそこから引き出されるキーで暗号化される。その結
果生じた情報の部分は、ディジタル・トークンとして郵
便物に印刷される。情報とトークンは、同じ方法におけ
る情報を処理し、その結果生じたディジタル・トークン
を郵便物に印刷されたディジタル・トークンと比較する
装置によって検証される。キー管理システムは、安全
な、信頼できる方法で、暗号化キーをディジタル・メー
ターに分配する必要がある。キー管理システムは、証印
と複製された証印の詐欺的に生成されたものを検出する
ために、証印とディジタル・トークンを検証するための
手段を持たねばならない。キー管理システムは、行き先
国へメーターを割り当てること、即ち、インベントリー
された一般的なメーターを作成することなく、メーター
を作成するための能力を有していることが必要である。
しかしながら、一般的なメーターを作成することは、分
野におけるキーを設けるために必要であるか、或いは領
域間のキーを翻訳するために必要であるかを示唆する問
題を発生する。何れか一方は、重要な安全性とキーの完
全性のスレット(threat)を示す。キー管理システムはこ
の様な問題を避ける手段を含む。
【0005】
【本発明の概要】本発明は、ディジタル郵便料金メータ
ーのような、トランズアクション(transaction) 証明装
置を作成する方法を提供する。幾つかのメーターは行き
先国を知ることなく作成される。これは、分野において
キーを設ける必要性か、あるいは領域間のキーを翻訳す
る必要性を示唆する問題を生じる。何れか一方は、重要
な安全性とキーの完全性のスレット(threat)を示す。本
発明において、この問題は、地球領域(Earthe domain)
と呼ばれる分離領域を作ることによって避けられる。本
発明において、一般的なメーターに関する前述の問題
は、地球領域と呼ばれる分離領域の作成によって避けら
れることが判った。本発明は、行き先国が作成時に判ら
ないとき、ディジタル・メーター・キーを安全に管理す
る能力を提供する。本発明によると、メーター・キーが
作成され、メーターが作られる郵便領域のもとでディジ
タル・メーターに設けられる。メーターのための証印の
連続番号が登録されると、即ち現実的になると、郵便の
国が知られる。その国の検証ボックスはその登録を検証
し、メーター・キーは、蓄えられ、好ましくは、証印の
連続番号によってインデックスされる。各々の国の検証
ボックスは、その国に特定の秘密のキーで暗号化された
その国に対してメーター・キーを蓄える。
【0006】本発明によると、作成プロセス中に、その
国に対して明らかに初期化されていないあらゆる国の受
信メーターは、地球領域メーターを受ける。その国に対
する安全な検証ボックスは、その国に対するデータベー
ス暗号キーで、地球領域検証プロセスとして活性化され
る。もし、ある国がその国の郵便の領域に対して明らか
に作成されたメーターと、そのアース郵便領域にの下で
作成されたメーターを有しているなら、その国に対する
検証ボックスは、その国自身の領域で、およびにおい
て、地球領域の国のサブ領域で動作することができなけ
ればならない。本発明は、キー管理システムの論理的な
安全領域においてマスター・キーを生成するステップ、
ディジタル郵便料金メーターにマスター・キーを設ける
ステップ、およびキー管理システムの論理的な安全サブ
領域にマスター・キーを登録するステップを有してい
る。マスター・キーを生成するステップは、更に領域を
生成するステップ、少なくとも1つのサブ領域を生成す
るステップ、キー管理システムの安全ボックスに領域を
設けるステップ、領域内にマスター・キーとテスト・ト
ークンを生成するステップ、および領域のアーカイブに
マスター・キーを登録するステップを有する。マスター
・キーを設けるステップは、更にディジタル・メーター
にマスター・キーを設けるステップ、およびマスター・
キーを唯一の装置の識別子と関連ずけるステップを有す
る。キー管理システムにおける論理的な安全サブ領域に
マスター・キーを登録するステップは、更にディジタル
・メーターにサブ領域を割り当てるステップ、ディジタ
ル・メーターに郵便の識別子を設けるステップ、唯一の
装置の識別子に郵便の識別子を関連するステップ、郵便
の識別子と唯一の装置の識別子に基づくディジタルメー
ターに登録トークンを生成するステップ、アーカイブに
記録されたマスター・キーを用いて登録トークンを生成
するステップ、登録トークンが同一であることを検証す
るステップ、およびサブ領域にマスター・キーを記録す
るステップを有する。これらのステップはディジタル・
郵便料金メーターに割り当てられた各領域に対して繰り
返される。
【0007】キー管理システムは、情報の完全性の証拠
を作成するために、暗号手段を採用する情報トランズア
クション・システムによって用いられた暗号キーを生成
し、分配し、管理する手段を有する。このシステムは、
互いに作動的に結合された、複数の機能的に個別の安全
ボックスを有する。安全ボックスの各々は、キーの生
成、キーの組み込み、キーの検証、あるいはトークンの
有効性のための機能を果たす。安全ボックスに作動的に
結合されたコンピュータは、システム制御を与え、安全
ボックス間の通信を容易にする。複数の分離した論理的
な安全領域は、キーの生成、キーの組み込み、キーの検
証、およびキー管理機能を用いて、領域内のトランズア
クション証明装置によって生成されたトークンの有効性
を与える。安全性の領域の各々にそれぞれ対応する複数
の領域アーカイブは、各々の領域に対するキー状態の記
録およびマスター・キーを安全に、且つ確実に記録す
る。キー管理システムは、トランズアクション証明装置
にマスター・キーを組み込み、トークンを有効にする。
これらの安全ボックスは、マスター・キーを生成し、暗
号化し、暗号化するためのキー生成ボックス;暗号化さ
れたマスター・キーを受信し、検証し、復号化するた
め、およびトランズアクション証明装置にますたー・キ
ーを組み込むためのキー組み込みボックス;トランズア
クション証明装置のマスター・キーの組み込みを検証す
るための検証ボックス、トークンを検証するための検証
ボックス、および領域キーを生成し、領域の各々に対す
る安全ボックス間に領域キーを分配するための少なくと
も1つの作成ボックスを有している。
【0008】本発明の好適な実施の形態によると、キー
管理システムは、ベンダーキー、USPSキーおよび他国の
郵便キーのような、暗号キーを生成し、多重領域に対す
るディジタルメーターに分配する。領域は、データの論
理的な分離および唯一の領域の証明および秘密のキーに
よって実施される機能である。キー管理システムは、キ
ーが領域内で生成され、それらがシステムによって、1
メーターのみに組み込まれるという保証を領域に与え
る。キー管理システムは、多重領域に対する暗号キーを
安全に分配し、維持する。更に、キー管理システムは、
全ての領域に対するキー管理が同一であるように構成さ
れる。キー管理システムは以下の安全性の要件をサポー
トする:(1)メーター・キーは、常に秘密である;
(2)証印情報を検証する能力は、システムの寿命の間
続く;(3)メーターのマスター・キーの状態は、常に
正確に維持されなければならない;(4)領域の分離
は、証印を発生し、検証するために維持されなければな
らない;そして(5)キーは、設けられるか、あるいは
一度だけ設けられるようにされる。
【0009】
【実施の形態】本発明の記載において、図面が参照さ
れ、キー管理システムとも呼ばれるキー管理と有効シス
テムのいろいろな特徴が判る。システムの概要 図1を参照すると、キー管理システムのブロック図はキ
ー管理システム要素の位置および情報フローの概要を提
供する。包括的に符号10で示されるキー管理システム
は、ベンダー(vendor)設備12と14および郵便設備1
6と18を有している。ベンダーはキー管理システムを
管理する実体(entity)である。キー管理システム10
は、複数の機能的に専門化された安全ボックス、コンピ
ュータおよび通信ラインを有する。本発明によると、キ
ー管理システムは、ディジタル・メーターの製品の新し
い生成に対して、作成および動作上の支持を与える。デ
ィジタル・メーターとディジタル・メーター製品への言
及は、ディジタル・メーター製品の新しい生成である。
本発明は、暗号キーの生成と分配、および同様に他の応
用のための暗号データの検証を管理するのに適している
ことに留意されたい。本発明によると、ベンダーと郵便
のマスター・キーが、キー管理システム10の要素によ
って、メーターに生成され、保管され、設けられる。郵
便のトークン・キーが引き出され、分配され、キー管理
システム10の要素によって、遠隔検証のために用いら
れる。ベンダーと郵便のトークンはキー管理システム1
0の要素によって検証される。
【0010】キー管理システム10は、ディジタル・メ
ーター製品における暗号キーを設けることおよび長期間
の維持をサポートする。マスター・キーの生成は、オー
ク・ボックス(Oak Boxes) とも呼ばれるマスターキー生
成ボックス20と22、KMCとも呼ばれる設けられた
キー管理システムのコンピュータ(Key Management Syst
em computer)24、および保存サーバー25によって、
サポートされる。マスター・キーの分配は、KDCとも
呼ばれるキー分配コンピュータ(Key Distribution Comp
uter) 30によってサポートされる。マスター・キーの
取付けは、スチール・ボックス(Steel Box) とも呼ばれ
るマスター・キー取付けボックス(Master Key Installa
tion Box) 32、および取り付けられたパラメータライ
ゼーション、シーディングおよび登録(Parameterizati
on, Seeding And Resistration(PRS))コンピュータ34
によってサポートされる。印刷されたディジタル・トー
クンの集中化された検証は、ブラス・ボックス(Brass B
oxes) とも呼ばれるトークン検証ボックス21と40、
および取付けられたそれぞれのキー管理システムのコン
ピュータ24と42によって、サポートされる。キーア
ーカイブ(Key Archives)25と45は、キー状態メッセ
ージとキーを安全に且つ確実に記録する。
【0011】安全領域 図2を参照すると、キー管理システム10は、個々の論
理的安全領域:1つのベンダー領域50と郵便局のため
の1以上の領域を有している。おのおのの領域は、キー
発生、キー分配、キー取付け、およびトークン検証サー
ビスのフルセットを与える。各領域は、ベンダーおよび
郵便設備のような、種々の設備を有することができる。
多重の論理的安全領域は、各安全ボックス内に存在する
ことができる。このような多重の領域の分離は、マスタ
ー・キー・データベースにおいて領域メッセージの暗号
化によって達成される。データベースの暗号キーは、各
々の領域に対して異なっている。安全ボックス内で、領
域の分離は、限定されたプロセスによってそのボックス
において可能にされる。しかし、安全領域は、ディジタ
ル・メーターの内部で、1か所においてのみオバーラッ
プしている。ディジタル・メーターは、支払いトークン
の2つの証明を計算し、1つはベンダーのマスター・キ
ーを用い、他は郵便のマスター・キーを用いる。いずれ
かのディジタル・トークンの検証における失敗は、詐欺
の充分な証明である。図3を参照すると、ベンダーのデ
ータ・センター12は、キー管理システムの要素に対し
て、物理的な、情報アクセス制御を与える。ベンダーの
データ・センター12は、ベンダーのマスター・キー生
成ボックスとして機能する、少なくとも1つのオーク・
ボックス20、ベンダーのトークン検証ボックスとして
機能する、少なくとも1つのブラス・ボックス21、お
よび作成ボックス23を収容する。安全性に対して、各
々のボックスは唯一のIDを有する。追加の安全性に対
しては、生成、検証および作成機能は、互いに物理的に
分離されている。即ち、オーク・ボックス、ブラス・ボ
ックスおよびスチール・ボックスは分離したボックスで
ある。2以上の機能ボックスが、もし必要なら、1つの
物理的なボックスに収容するとができることに留意さる
べきである。
【0012】ベンダーのKMSコンピュータ24は、安
全なオーク、ブラスおよび作成ボックス、およびそれら
間のメッセージを管理する。それは、安全なボックス通
信、ベンダーのキー保管サービス、郵便のキー保管サー
ビス、およびベンダーの作成設備14と郵便のデータ・
センター16との通信をサポートする。図4を参照する
と、ベンダーの作成設備14は、キー管理システム要素
に対する物理的な、情報アクセス制御を与える。ベンダ
ーの作成設備14は、ベンダーのキー分配コンピュータ
30、マスター・キー取付けボックスとして機能する少
なくとも1つの安全スチールボックス32、および対応
するPSRコンピュータ34を収容する。ベンダーのキ
ー分配およびPSRコンピュータ30と34はキー管理
システムコンピュータ24、他の安全ボックスおよびオ
ンライン・ディジタル・メーター36との通信をサポー
トする。PSRコンピュータ30は対応するスチール・
ボックス32とディジタル・メータ36の初期化を管理
する。図5を参照すると、郵便のデータ・センター16
は、キー管理システム10の要素に対する物理的な、情
報アクセス制御を与えることができる。郵便のデータ・
センター16は、郵便のマスター・キー生成ボックスと
して機能する郵便のオーク・ボックス22および郵便の
トークン検証ボックスとして機能する郵便のブッス・ボ
ックス40を収容する。郵便のキー管理システム・コン
ピュータ42は安全ボックス通信、郵便のキー保管サー
ビス、および郵便設備18とベンダーのデータ・センタ
ー12との通信をサポートすることができる。
【0013】図6を参照すると、追加の論理的安全領域
が、キー管理システム要素における全ての他の安全領域
を設けることおよびメンテナンスをサポートするように
要求される。これは、安全領域の生成およびキー管理シ
ステム要素における安全領域の据え付けに対して責任を
もつキー管理システムの監督領域(Key Management Syst
em Administration Domain) 60と呼ばれる。アース安
全領域(Earth Security Domain) における国の特定サブ
領域を設けることは、アース安全領域の責任である。安
全領域内の製品コード・パラメータを設けることは、影
響を受けた安全領域の責任である。これは以下に説明さ
れる。 機能的な特徴 以下のパラグラフは、キー管理システム10における全
ての動作とメッセージの概要を示す。キー管理システム
10は、ディジタル・メーターの製品の作成および動作
をサポートするために、幾つかの必要な機能を与える。
ディジタル・メーターの製品に用いられる全ての暗号キ
ーに対し、生成、分配および長期間の記憶に対して責任
を有している。また、このような暗号キーを用いるディ
ジタル・メーターの製品によって生成されるディジタル
・トークンの検証に対しても責任を有している。
【0014】2以上の安全領域は、キー管理システム1
0によって行われる。ベンダーの安全領域50は、キー
の生成、分配、保管および検証サービスを有している。
郵便の安全領域52は同様なサービスを行う。これらの
領域は、一つの点において、図2に示された、ベンダー
と郵便のマスター・キーの双方を含むディジタル・メー
ターをオーバラップする。即ち、同時に利用できるベン
ダーと郵便のマスター・キーはメーターにのみある。キーの特徴 キーの生成 図7を参照すると、キー管理プロセスのフロー図が示さ
れている。ディジタル・メーター36は、分配前にベン
ダーの作成設備に物理的に位置されるが、ベンダーのマ
スター・キーと郵便のマスター・キーを受ける。キー管
理システムの安全ボックス作成プロセスと領域マスター
・キー生成プロセスは、キー管理システム10とディジ
タル・メーター36に対して暗号キーを与える。ディジ
タル・メーターのための領域マスター・キーは、領域オ
ーク・プロセス70によって生成される。領域マスター
・キーが生成され、保管され、且つ導入されるに従っ
て、領域マスター・キーを暗号化するために用いられる
領域キーは、作成ボックス23により生成される。安全
な、非決定論的キーを与えるために、2つの乱数発生器
処理が行われる。各々のオーク・ボックスと作成ボック
スは、ハードウエアの乱数発生器を含む。ソフトウエア
の疑似乱数発生器も含まれる。これら2つの処理の出力
は、ハードウエアとソフトウエアが受入れ可能な限界内
で動作していることを検証するために、個々にテストさ
れる。2つの発生器の出力は、排他的OR動作を介して
結合される。従って、もしハードウエアの乱数発生器が
失敗するなら、疑似乱数発生器は、ハードウエアの発生
器が直されるまで、受入れ可能なキーイング材料(keyin
g material) を与える。
【0015】他のKMS安全ボックスは、キーイング材
料を生成するために制限された要求を有している。特
に、開始の秘密性キーが、初期化プロセスの間、ブラス
およびスチール・ボックス21と32によって生成され
る。初期化プロセス中に制限された要求および信頼され
た権威の存在のために、ソフトウエア疑似乱数発生器の
みが用いられる。マスター・キーのアイデンティフィケーション キー管理システム10は、マスター・キーが一度だけあ
らゆるディジタル・メーター36で試みられ、あるいは
設けられるという安全要求を強く主張しなければならな
い。例えば、キー管理システム10は、2以上のスチー
ル・ボックス32がシステムにおいて用いれると、領域
マスター・キーは2回設けられないことを保証しなけれ
ばならない。この要求は、領域の特定の単調なシークエ
ンス・カウンターからなる、領域マスター・キーのアイ
デンティフィケーション数の使用をとおして満たされ
る。領域のオーク・プロセスと領域のスチール・プロセ
スは、特定の領域IDに対して受取られた最後の領域マ
スター・キーのアイデンティフィケーション数を追跡す
る。新しく発生したキー或いはインストール・キー・メ
ッセージを受け取ると、領域オーク・プロセス或いは領
域スチール・プロセスは、領域マスター・キーのアイデ
ンティフィケーション数が前のメッセージに含まれるそ
れより大きいことを検証する。
【0016】キー管理システム10が要求キー命令(Re
quest Key command)を受取ると、スチールIDが必要と
される。スチールIDは、分配マスター・キー(Distrib
uteMaster Key) の記録に含まれ、領域スチール・プロ
セス76によってチェックされなければならない。もし
メッセージにおけるスチールIDがスチール・ボックス
のためのスチールIDとマッチしないなら、そのメッセ
ージは拒否される。スチールIDは、メッセージ記号を
解読することなく、メッセージ内で変更されることはで
きない。領域マスター・キーのアイデンティフィケーシ
ョン数、スチールIDおよびメッセージ記号の組み合わ
せは、一時の設置要求を満足する。図8を参照すると、
キー分配コンピュータ30は、記号80においてキーを
要求する。記号82において、キー管理システムのコン
ピュータ24は領域アーカイブ74からの新しく自動的
に増大するキーIDを発生する。記号84において、領
域オーク・プロセス70は、オーク・ボックス・キーI
Dが最後に見られた値に対して新しいかどうかを決定す
る。もし新しくなければ、オーク・ボックスのエラー条
件が記号86において開始される。キーIDが新しけれ
ば、記号88で、オーク・ボックス20はキーを発生
し、暗号化し、そのキーIDを取付け、且つ符号化し
て、メッセージをスチール・ボックス32に送る。記号
90において、領域のスチール・プロセス76は、スチ
ールIDが正しいかどうかを決定する。記号92におい
て、領域のスチール・プロセス76は、キーIDが最後
に見られた値に対して新しいかどうかを決定する。メッ
セージの記号化テストが失敗するか、スチールIDが正
しくないか、あるいはキーIDが新しくないなら、スチ
ール・ボックスのエラーが発生する。もしエラーが発生
しないなら、記号98においてスチール・ボックス32
はキーをメーター36にインストールする。
【0017】作成ボックスおよび領域のキー 図9−12を参照すると、キー管理システム10内の安
全ボックスは領域の形状情報とキーイング材料で初期化
される。これは領域の生成および領域のキー110に対
して責任を有する作成ボックス23の使用を介して達成
される。領域が作られると、唯一の領域IDが必要とさ
れる。領域が作成ボックス23に確立された後、他の安
全ボックスは領域情報で初期化することができる。全て
の領域のキー110は作成ボックス23によって生成さ
れる。領域のキー110は、領域のキーセット103に
よって暗号化された、秘密性、権威および動作キーから
なる。領域のキー110はいろいろな安全ボックス間で
シェアされる。各々の安全ボックスは、キーイング材料
に対する特定の要求を有している。各作成ボックス23
は、3つのシャミールの秘密シェア(Shamir secret sha
res)102に入り込まれる動作の組み合わせ101を要
求する。個々のシェアは取りはずし可能な媒体に書き込
まれ、権限をもたされた者に分配される。各作成ボック
ス23は、秘密性に対するRSAのキー対と証明に対す
るRSAのキー対から成る領域キーのセット103を必
要とする。秘密性と証明のキーは3つのシャミールの秘
密シェア104に入り込まれる。個々のシェアは取りは
ずし可能な媒体に書き込まれ、権限をもたされた者に分
配される。RSAキー対は、Communications of the AM
C, Vol. 21, No. 2, February 1978, pp. 120-127 にお
いて、R. L. Rivest, A. Shamir and L. Adelmanにより
"A Method For Obtaining Digital Signatures And Pu
blic-Key Cryptosystems" に記載されている。シャミー
ル秘密シェアは、Communications of the AMC, Vol. 2
2, No. 11, Nov. 1979, pp. 612-613において、 A. Sha
mirにより"How To Share A Secret" に記載されてい
る。
【0018】好適な実施例において、各々のオーク・ボ
ックス20は、2つのシャミールの秘密シェア106
(図10)に入り込まれる動作の組み合わせ105を必
要とする。個々のシェア106は、取りはずしできるメ
ディアに書き込まれ、権限をもたされた者に分配され
る。全てのシェア106は、オーク・ボックス20が動
作する前に、オーク・ボックス20に入れられなければ
ならない。最後に入ったシェア106は、オーク・ボッ
クスがイネーブルされるようにオーク・ボックスに維持
されなければならない。最後に入ったシェア106が除
かれると、オーク・ボックスはディスエーブルされる。
各領域のオーク・プロセス70は、証明のためにRSA
キー対を要求する。個人的な証明のキー(P'OA) は領域
のオーク・プロセス70と作成ボックス23により知ら
れるのみである。公的な証明キー(POA)は、対応する領
域のスチール・プロセス76と領域のブラス・プロセス
72によって知られる。領域のオーク・プロセス70
は、個人的な秘密性のキーを必要としない。好適な実施
の形態において、ベンダーの作成設備における各スチー
ル・ボックス32は、2つのシャミールの秘密シェア1
20(図11)に入り込まれる動作の組み合わせ119
を必要とする。個々のシェア120は、取りはずし可能
な媒体に書き込まれ、権限を与えられたもの、例えば監
督者やオペレータに分配される。監督者やオペレータの
集合は、スチール・ボックス32が動作する前に、スチ
ール・ボックス32に入れられなければならない。最後
に入れられたシェア106、例えばオペレータのシェア
は、スチール・ボックスがイネーブルされるようにスチ
ール・ボックスに維持されなければならない。オペレー
タのシェアが除かれると、スチール・ボックス32はデ
ィスエーブルされる。
【0019】各々の領域のスチール・プロセス76は、
証明のためにRSAキー対を必要とする。個人的な証明
キーは、領域のスチール・プロセス76によって知られ
るのみである。公的な証明キーは領域のブラス・プロセ
ス72によって知られるのみである。各々の領域のスチ
ール・プロセス76は秘密性のためにRSAキー対を必
要とする。個人的な秘密性(P'sc) キーは領域のスチー
ル・プロセス76によって知られるのみである。公的な
秘密性(Psc)キーは領域のオーク・プロセス70によっ
て知られる。本発明の好適な実施の形態において、各々
のブラス・ボックス21は、2つのシャミールの秘密シ
ェア122(図12)に入りこまれる動作の組み合わせ
121を必要とする。個々のシェア122は取りはずし
可能な媒体に書き込まれ、権限を与えられたものに分配
される。全てのシェア122は、ブラス・ボックス21
が動作する前に、ブラス・ボックス21に入れられなけ
ればならない。最後に入れられたシェア122は、ブラ
ス・ボックス21がイネーブルされるように、ブラス・
ボックス21に維持されなければならない。最後に入れ
られたシェア122が除かれると、ブラス・ボックス2
1はディスエーブルされる。
【0020】各々の領域のブラス・プロセス72は、証
明のためにRSAキー対を必要とする。個人的な、およ
び公的な証明キー(P'BAとPBA)は、領域のブラス・プロ
セスによって知られるのみである。各々の領域のブラス
・プロセスは、秘密性のためにRSAキー対を必要とす
る。個人的な秘密性キー(P'BC)は、領域のブラス・プロ
セス72によって知られるのみである。公的な秘密性
(PBC)キーは、領域のオーク・プロセス70によって知
られる。各々の領域のブラス・プロセス72は、領域の
ブラス・プロセス72によって知られるのみである、秘
密性のためのDESキーのセットを必要とする。各々の
領域のブラス・プロセス72は、領域のブラス・プロセ
ス72によって知られるのみである、証明のためのDE
Sキーのセットを必要とする。安全ボックスを動作する
ために必要な、選択されたシェアの数は、キー管理シス
テムのために具現化される安全戦略に基づかれること
は、この分野の当業者によって理解されるであろう。ディジタル・メーターの要件 製品のコード・ナンバーと関連して、作成シーケンス・
ナンバーは、ベンダーの作成プロセス内にディジタル・
メーター36を独自に定義する。作成シーケンス・ナン
バーの割当ての好適な方法は、以下のとおりである。独
自の製品コード・ナンバーと作成シーケンス・ナンバー
の対をそれぞれが含むアイデンティフィケーション・ラ
ベルの供給は、製造ラインにストックされる。1つのア
イデンティフィケーション・ラベルは、各々のディジタ
ル・メーター36に適用される。これらのナンバーはP
SRコンピュータ34に入れられ、キー取付けプロセス
前にディジタル・メーター36にダウンロードされる。
メーターは、製造中にキーが取付けられるように、安全
に形成される。テスト・パターンは、テスト・トークン
のセットを発生するために用いられ、製造におけるマス
ター・キー取付けプロセスをチェックする。このテスト
・パターンは、2つの予めフォーマット化された64ビ
ットのバイナリー値から成る。これらはターゲット領域
マスター・キーと特定の位置で暗号化され、生じた暗号
文からのトークンの数が発生される。
【0021】テスト・パターンは、ソフトウエアを動作
する領域のオーク・プロセスと領域のブラス・プロセス
に含まれる。全てのディジタル・メーターは、取付けの
チェック手続きの間に同じテスト情報を用いる。テスト
・パターンはキー管理システム10とターゲット・ディ
ジタルメーター間にシェアされた情報のセットである。
テスト・パターンは、特定のディジタルメーターのため
にROMに記憶することができる。地球領域ディジタルメーター 地球領域のディジタルメーターは、それらが製造設備を
残すときは、国の特定情報を持っていない。これは、デ
ィジタルメーターが地域ベースにストックされ、最後の
時には国が特定されることが可能なようになされる。地
球領域のディジタル・メーターに対する製品コード・ナ
ンバーは、予め決められた数に続く2文字製品コードの
プリフィックス(a two letter product code prefix)
である。国の擬人化の前に、証印の一連番号は、ヌルス
トリング(a null string) である。製品コード番号と証
印の連続番号値は、領域マスター・キーを活性化するた
めに、キーの登録時に定義されなけれはならない。
【0022】図13を参照すると、地球領域ディジタル
メーターのためのプロセス・フロー図が得られる。地球
領域ディジタルメーターのための地球領域マスター・キ
ーが地球領域のオーク・プロセス170によって生成さ
れる。地球領域マスター・キーのコピーは、地球領域ア
ーカイブ174に格納される。地球領域マスター・キー
は、地球領域のディジタル・メーター136に設けら
れ、地球領域のスチール・プロセス176によってチェ
ックされる。地球領域マスター・キーの取付けは、地球
領域のブラス・プロセス172によって検証される。地
球領域マスター・キーの記録は、地球領域のブラス・プ
ロセス172によって現状を取り付けるために更新され
る。地球領域のブラス・プロセス172はキーの登録に
は関係しない。権限を与えられたものは、地球領域のデ
ィジタルメーター136を、ディジタルメーターの製品
コード番号と証印の連続番号をセットすることによっ
て、国の特定安全領域に割り当てる。ディジタルメータ
ー236が国の特定安全領域に一旦割り当てられると、
それは地球領域に戻ることができない。ディジタル的に
サインされたキー登録の記録は、製品コード番号、証印
の連続番号および製造の連続番号を含むディジタルメー
ターによって生成される。ディジタル的にサインされた
キー登録の記録は、キー管理システムのコンピュータ2
4に戻される。
【0023】キー管理システムのコンピュータ24は、
地球領域アーカイブら地球領域マスター・キーの記録を
検索する。地球領域マスター・キーの記録とキー登録の
記録は、国の特定領域のブラス・プロセス272に送ら
れる。それらの記録は検証される。もし問題が見つから
なければ、領域マスター・キーは、国の特定秘密キーで
暗号化される。領域マスター・キーの記録は、国の特定
安全領域の個人キーによって、完全と証明のためにサイ
ンされる。領域マスター・キーの記録は、国の特定領域
アーカイブ274に送られる。システム要件 領域アーカイブ 領域アーカイブ74は、長期間の記憶と領域マスター・
キーの検索をサポートする。これはオーク・ボックス2
0、領域のアーカイブ74およびブラス・ボックス21
間の幾つかのトランケーション(trancations) で達成さ
れる。ディジタル・メーターは、製造、分配および顧客
の場所を通過するので、領域マスター・キーの現状は更
新される。あらゆる現状の変化は、領域マスター・キー
の寿命に対してキー・アクティビティ(key activity)
の完全なヒストリーを与えて、領域アーカイブの記録に
記入される。
【0024】図14と図15を参照すると、有効なマス
ター・キーの現状の変化を示すプロセス・フロー図が示
されている。オーク・ボックス20がキー生成プロセス
を完成させた後、領域マスター・キーおよび情報の暗号
化されたコピーが記号180で示す"New"(新規) にセッ
トされる。領域のアーカイブ74は、データベースを割
当て、情報を書き込む。スチール・ボックス32とブラ
ス・ボックス21がキーの取付けプロセスを完成した
後、領域マスター・キーの記録は更新される。もしプロ
セスが成功したならば、領域マスター・キーの現状は、
記号182の“Installed"にセットすることができる。
もしキーの分配あるいは設置プロセス中に、あらゆる失
敗がおきるなら、領域マスター・キーの現状は、記号1
84の"Bad"(悪い) にセットすることができる。これら
の失敗が失われたメッセージ、メッセージ・エラー、領
域マスター・キーをディジタルメーターのメモリに書き
込むエラー、テスト・トークンのチェックにおけるエラ
ー等を含む。ディジタルメーターが特定の郵便領域に対
して証印の連続番号を割り当てられると、ベンダーと郵
便領域マスター・キーの記録は更新される。マスター・
キーの現状は、記号186の"Active" (活動的な) にセ
ットされ、検証サービスがそのディジタルメーターに対
して許可される。ディジタルメーターがサービスから取
られると、ベンダーと郵便領域マスター・キーの記録は
更新される。マスター・キーの現状は、記号188の"O
bsolete" (旧式の) にセットされる。
【0025】キー管理システムのアドレス キー管理システム10は、物理的な安全ボックスと論理
的な安全領域から成る。これらの要素間を流れるメッセ
ージは、プロセスとオーディター(auditors)がメッセー
ジの関係者を同定することを可能にするために、充分な
情報を含んでいなければならない。論理的な安全領域は
アドレス・オブジェクト(address object)と呼ばれる領
域IDによって決定される。このアドレスは、キー管理
システム10内の特別な領域の場合を定義する。有効な
領域IDs の例は、ベンダーの安全領域に対するVE、
合衆国の郵便サービスの安全領域の場合に対するUSP
S、および英国の王室郵便の安全領域の場合に対するU
KRMである。安全領域は、いろいろな安全ボックスに
および、いろいろなアーカイブにおよぶ。多重の安全領
域は、1つの安全ボックスの物理的な境界内で共存する
ことができる。1つの領域のみが、与えられた時間に安
全ボックス内でアクティブである。領域間で転送可能な
データはない。論理的な安全ボックスの目的は、アドレ
ス・オブジェクトと呼ばれる安全ボックス型によって決
定される。このアドレスは、メッセージのトランズアク
ションに関係する安全ボックス機能を独自に定義する。
オーク・ボックス20はマスター・キーの発生器であ
る。スチール・ボックス32はマスター・キーの取付け
ボックスである。ブラス・ボックス21はトークン検証
ボックスである。ティン・ボックス(Tin Box) 44は遠
隔トークンの検証ボックスである。
【0026】物理的な安全ボックスのアイデンティフィ
ケーションは、アドレス・オブジェクトと呼ばれる安全
ボックスIDによって決定される。このアドレスはキー
管理システム10内のそのボックスの場合を独自に定義
する。それは、安全ボックス型および数字のアイデンテ
ィファイヤからなる。KMSの形状データ キー管理システム10の各要素は、動作しているソフト
ウエアがキー管理システムのサービス・メッセージに対
する有効性および処理要求を決定することを可能にする
幾つかの形状テーブルを維持する。命令テーブルは、ど
んなキー管理システムのサービス・メッセージおよび命
令が、システムの要素によって予期されるかを確認する
ために用いられる。KMSシステムの命令テーブルは、
システム・レベル上で受け入れられる全ての命令を定義
する。システム・レベルのテーブルのサブセットは、オ
ーク・ボックス20、ブラス・ボックス21、スチール
・ボックス32、作成ボックス23、KMSコンピュー
タ24、キー分配コンピュータ30およびPSRコンピ
ュータ34を有するシステムの要素によって格納され
る。ローカル命令テーブルに含まれない、受信されたメ
ッセージは拒絶される。
【0027】形状テーブルは、どんなキー管理システム
の領域IDsがシステムの要素によって認識されるかを
確認するために用いられる。KMSシステムの形状テー
ブルは、システム・レベル上に受入れられる全ての領域
IDsを定義する。システム・レベルのテーブルのサブ
セットは、オーク・ボックス20、ブラス・ボックス2
1、スチール・ボックス32、作成ボックス23、KM
Sコンピュータ24、キー分配コンピュータ30および
PSRコンピュータ34を有するシステムの要素によっ
て格納される。ローカル形状テーブルに含まれない、領
域IDsに対する受信されたメッセージは拒絶される。
記録テーブルは、どんなキー管理システムの記録がシス
テムの要素によって認識されるかを確認するために用い
られる。KMSシステムの記録テーブルは、システム・
レベル上で認識される全ての情報記録を定義する。シス
テム・レベルのテーブルのサブセットは、オーク・ボッ
クス20、ブラス・ボックス21、スチール・ボックス
32、作成ボックス23、KMSコンピュータ24、キ
ー分配コンピュータ30およびPSRコンピュータ34
を有するシステムの要素によって格納される。ローカル
記録テーブルに含まれない情報を有する受信されたメッ
セージは拒絶される。
【0028】情報フロー 領域のオーク・プロセス70は、領域マスター・キーを
領域のアーカイブ74に渡す。図16を参照すると、領
域マスター・キー(Kdm) は、それが領域のアーカイブ
74に格納されるまえに、領域のブラス・プロセス・パ
ブリックキー(Pbc)で暗号化される。従って、領域の
オーク・プロセス70は、領域のアーカイブ74から領
域マスター・キー(Kdm) を解読することはできない。
領域のオーク・プロセス70は、領域マスター・キーが
領域のアーカイブ74に格納される前に、領域マスター
・キーの記録を領域のオーク・プロセスの個人的なキー
(Poa)で記号化する。従って、領域のブラス・プロセ
ス72は、領域マスター・キーの記録が領域のオーク・
プロセス70によって作られることを信頼することがで
きる。領域のオーク・プロセス70は、領域マスター・
キー(Kdm) を領域のスチール・プロセス76に渡す。
図17を参照すると、領域マスター・キー(Kdm) は、
それが領域のスチール・プロセス76に送られる前に、
領域のスチール・プロセスの公的なキーP(sc)で暗号化
される。従って、領域のオーク・プロセス70は、分配
マスター・キーの記録から領域マスター・キー(Kdm)
を解読することはできない。領域のオーク・プロセス7
0は、分配マスター・キーの記録を、それが領域のスチ
ール・プロセス76に送られる前に、領域のオーク・プ
ロセスの個人的なキーP'(oa) で記号化する。従って、
領域のスチール・プロセス76は、分配のマスター・キ
ーの記録が領域のオーク・プロセス70によって作られ
ることを委ねることができる。
【0029】図18を参照すると、キー・フレッシュネ
ス検出のためのプロセス・フローが示されている。キー
は、取付けられるか、あるいは、領域マスター・キー・
フレッシュネスを確実にするために一度だけ取付けられ
るようにされる。領域のアーカイブは、単調に連続した
キーIDs(KID)を全ての領域マスター・キーに割
り当てる。分離したキーIDインデックスは、各々の領
域のIDのために維持される。領域のオーク・プロセス
70と領域のスチール・プロセス76は、キーIDの値
を追跡し、それらを生成キー・メッセージ(Generate Ke
y message)および分配マスター・キー記録(Distribute
Master Key record)において受け取ったキーIDの値と
比較する。従って、領域のオーク・プロセス70と領域
のスチール・プロセス76は、何時生成キー・メッセー
ジおよび分配マスター・キー記録が再生されたかを検出
することができる。図19を参照すると、領域のスチー
ル・プロセス76は、それがKMSコンピュータ24に
送られる前に、領域のスチール・プロセスの個人的なキ
ーP(sa)でマスター・キー取付け記録を符号化する。そ
うすることによって、領域のブラス・プロセス72は、
マスター・キー取付け記録が領域のスチール・プロセス
76によって作られることを信頼することができる。
【0030】キー登録の時に、デジタル・メーターは、
ベンダーのマスター・キーK( VM)と郵便のマスター・
キーK( PM) の両方でキー登録の記録を符号化する。従
って、郵便およびベンダーの領域ブラス・プロセス72
は、領域のアーカイブ記録における領域マスター・キー
を領域のブラス・プロセスの秘密DESキーで暗号化す
る。その結果、領域のブラス・プロセス72は、他の領
域のブラス・プロセスがキーイングの資料を読み取らな
いかもしれないことを信頼することができる。領域のブ
ラス・プロセス72は領域マスター・キーの記録を領域
のブラス・プロセスの秘密DESキーで、それを領域の
アーカイブ74に送る前に、符号化する。従って、領域
のブラス・プロセス72は、領域マスター・キーの記録
が領域のブラス・プロセス72によって変更されただけ
であることを信頼することができる。ブロス・プロセス
のメッセージに対するメーターの例は図20に示され
る。追跡記録 キー管理システム10は、領域マスター・キーの寿命に
おける時間イベントの追跡記録を維持する。これらのイ
ベントは、何時アクションがキー管理システムによって
取られたかを示す。リスト化された時間イベントは、成
功した領域マスター・キーの使用のために増加していな
ければならない。前のイベントに先立つ時間イベントを
伴うシステムのメッセージは拒否されるであろう。キー
管理システムのキー登録時間に先立つ日付を伴って受け
た検証要求は拒否されるであろう。
【0031】本発明の好適な実施の形態において、KM
Sコンピュータ24は、要求キー命令がキー分配コンピ
ュータ30から受け取られる時であるKMS要求時間を
記録する。PSRコンピュータ34は、取付けキー命令
がスチール・ボックス32に分配される時であるPSR
取付け時間を記録する。KMSコンピュータ24は、取
付けキー検証命令がキー分配コンピュータ30から受け
取られた時であるKMS取付け時間を記録する。ディジ
タル・メーター36はレジスター証印命令が通信ポート
或いはユーザー・インターフェースから受け取られた時
であるメーター登録日付を記録する。KMSコンピュー
タ24は、レジスター証印検証命令がディジタル・メー
ターから受け取られた時であるKMSキー登録時間を記
録する。他の実施の形態においては、オーク・ボックス
20は、発生キー命令がKMSコンピュータ24から受
け取られたローカル時間を記録する。スチール・ボック
ス32は、取付けキー命令が受け取られたローカル時間
を記録する。ブラス・ボックス21は、キー検証要求が
キー管理システムのコンピュータ24から受け取られた
ローカル時間を記録する。エラーの取扱い キー管理システム10は、キー管理システムのサービス
・メッセージに対するエラー検出のセットと報告メカニ
ズムを与える。問題は、メッセージが用意され、通信ラ
イン上に送られ、受信され、且つ受信パーティーによっ
て処理される時に発生する。システムにおいてエラーが
発生すると、命令源が通知され、エントリーがシステム
・エラー・ログに作られる。
【0032】図21を参照すると、エラー取扱いの概括
を示すブロック図が示されている。システムにおけるエ
ラーは3つの異なるレベルで検出される。エラーの取扱
いの第1のレベルはPB232プロトコール内で実現さ
れる。このプロトコールはSTXとETXの制御文字の
使用によって、メッセージのフレーミングに対して与え
る。メッセージの識別は、予め定義されたクラス・コー
ドの使用によって与えられる。メッセージの完全性は、
エラー検出コードの使用によって与えられる。もし、受
け取ったメッセージがこれらのメカニズムに従うなら、
レシーバーは正の肯定応答制御文字(a positive Acknow
ledgement control character)を送る。もし、そうでな
いなら、レシーバーは否定応答制御文字(a Non-Acknowl
edgementcontrol character) を送る。送り要素はメッ
セージの送信を再び試みようとするか、他の正しいアク
ションを取る。PB232のエラー取扱いメカニズムは
従来の形式である。エラー取扱いの第2のレベルは、キ
ー管理システム10の命令取扱プロセスによって具現化
される。これらは、受け取った命令を命令テーブルにお
いて定義された予期された命令のセットと比較する。命
令フィールドが検証される。予期されたパラメータの数
がチェックされる。個々のパラメータのシンタックスが
チェックされる。もし、命令の中にエラーが見つかった
ら、命令エラー・メッセージが命令源に戻される。
【0033】エラー取扱いの第3のレベルは、キー管理
システム10の命令取扱プロセスによって具現化され
る。これらは、命令におけるパラメータを構成テーブル
に定義された予期されたパラメータのセットに対して比
較する。個々のパラメータは、構成テーブルに対してチ
ェックされる。いろいろなパラメータの関連が構成テー
ブルに対してチェックされる。ハードウエア資源とデー
タベース記録の利用可能性がチェックされる。メッセー
ジ要素の記号と暗号化されたメッセージ要素の有効性が
チェックされる。もし、命令に、あるいは命令の処理中
にエラーが見つかったら、命令応答メッセージが応答コ
ードと共に戻される。もし、応答の中にエラーが見つか
ったら、命令応答エラー・メッセージが応答コードと共
に戻される。初期化プロセス 以下のパラグラフは図22と図23に示されたキー管理
システム10の安全ボックス初期化プロセスを概要を示
す。前述のように、本発明の好適な実施の形態に、4つ
のキー管理システムの安全ボックス型がある。作成ボッ
クス23は、キー管理システムと 安全ボックスの初期
化に対して責任がある。オーク・ボックス20は、領域
マスター・キーの発生に対して責任がある。スチール・
ボックス32は、領域マスター・キーの取付けに対して
責任がある。ブラス・ボックス21は領域マスター・キ
ーの登録およびトークン検証に対して責任がある。他の
実施の形態にでは、ティン・ボックスは遠隔トークン検
証ボックスである。
【0034】図22を参照すると、第1の作成ボックス
23は初期化されなけばならない。作成ボックスの動作
ソフトウエアはロードされ、テストされる。安全ボック
スIDはM00000000に初期化される。作成ボッ
クス23がターンオンすると、安全ボックスIDが問い
合わされる。もし、それがM00000000にセット
されていると、作成ボックス23はKMSコンピュータ
24からのセット第1安全ボックスIDメッセージを待
つ。KMSコンピュータ24は、第1の作成ボックス2
3を命令して、安全ボックスをM00000000にセ
ットするようにする。第1の作成ボックス23はメッセ
ージを受取り、チェックする。もし、エラーが見つから
なければ、第1の作成ボックス23は動作コンビネーシ
ョン101と動作シェア・キー102の集合を生成す
る。動作シェア・キー102は、取外し可能な媒体に書
き込まれる。次に、第1の作成ボックス23は、2つの
RSAキーの対、即ち領域キー・セットの秘密性のため
のものと領域キー・セットの認証のためのものを生成す
る。これらのキーは、領域シェアに入れられ、取外し可
能な媒体に書き込まれる。これらのキーは、それらがK
MSコンピュータ24に送られ、アーカイブに、あるい
は取外し可能な媒体に書き込まれる前に、領域キー・セ
ットを暗号化し、記号化するために用いられる。第1の
作成ボックス23は安全ボックスの認証キーのセットを
生成する。RSAキーの対は、各ボックス型、即ち、作
成、オーク、スチールおよびブラスのために生成され
る。各ボックス型のパブリックキーは取外し可能な媒体
に書き込まれる。キーはソフトウエア技術によって安全
ボックスの動作ソフトウエアに書き込まれなければなら
ない。全ての動作シェアと認証キーが首尾よく書き込ま
れた後に、安全ボックスIDはM00000000にセ
ットされるであろう。
【0035】KMSコンピュータ24は作成ボックスを
領域を作るたように要求する。作成ボックス23は内部
メモリに領域IDを確立し、領域キー・セット103の
秘密キーで暗号化され、領域キー・セット103の認証
キーで符号化される、要求された領域キー110を生成
する。。暗号化され、記号化された領域キーは、アーカ
イブおよび/または取外し可能な媒体に書き込まれる。
追加の作成ボックス23は、ソース作成ボックスによっ
て初期化される。ソース作成ボックスはすでに初期化さ
れているあらゆる作成ボックスである。作成ボックスの
動作ソフトウエアは、各々の追加の作成ボックス23に
ロードされ、テストされる。安全ボックスIDはM00
000000にセットされる。作成ボックス23がまず
ターンオンすると、それは安全ボックスIDを問い合わ
せる。もし、それがM00000000であるなら、作
成ボックス23はソース作成ボックスからのセット安全
ボックスIDのメッセージを待つ。KMSコンピュータ
24はソース作成ボックス23を命令して、各々の追加
の作成ボックス23を初期化する。ソース作成ボックス
は、次の作成安全ボックスIDを割当て、作成ボックス
・プライベート・スタートアップ認証キーでメッセージ
(the ManufacturingBox Private Startup Authenticati
on Key)を記号化し、それを作成ボックス23に送る。
作成ボックス23は安全ボックスIDを記憶し、作成ボ
ックス・スタートアップ秘密キーを生成する。安全ボッ
クスIDとパブリック・スタートアップ秘密キーはソー
ス作成ボックスに送り戻され、作成ボックス・プライベ
ート・スタートアップ認証キーで記号化される。KMS
コンピュータ24はソース作成ボックスを命令して、作
成ボックスのために領域作成プロセスを作る。要求され
た領域キーの要素は、スタートアップ秘密キーを用いて
作成ボックスに渡される。
【0036】領域は作成ボックス23に追加される如何
なる時にも、他の初期化された作成ボックスは、この追
加領域を反映するために更新されなければならない。好
適な実施の形態では、全ての初期化された作成ボックス
は、同一のキーデータで構成される。オーク・ボックス
の初期化に対して、オーク・ボックスの動作ソフトウエ
アがロードされ、テストされる。安全ボックスIDはO
00000000にセットされる。オークボックス20
がまずターンオンすると、それは安全ボックスIDを問
い合わせる。もし、それがO00000000であるな
ら、オーク・ボックス20は作成ボックス23からのセ
ット安全ボックスIDメッセージを待つ。KMSコンピ
ュータ24は作成ボックス23を命令してオーク・ボッ
クス20を初期化する。作成ボックス23は、次のオー
ク安全ボックスIDを割り当てて、プライベート・オー
ク・ボックス・スタートアップ認証キーでメッセージを
記号化し、それをオーク・ボックス20に送る。オーク
・ボックス20は安全ボックスIDを記憶し、オーク・
ボックス・スタートアップ秘密キーを生成する。安全ボ
ックスIDとパブリック・スタートアップ・秘密キーは
作成ボックスに送り戻され、オーク・ボックス・パブリ
ック・スタートアップ認証キーで記号化される。KMS
コンピュータ24は作成ボックス23を命令して、オー
ク・ボックス20のための領域オーク・プロセスを作
る。要求された領域キー要素はスタートアップ秘密キー
を用いてオーク・ボックス20に渡される。このプロセ
スは、オーク・ボックス20が1つの領域に対して領域
オーク・プロセス70を具現化することを可能にする。
このプロセスは、特定のオーク・ボックスに対して要求
された全ての領域に対して繰り返される。
【0037】スチール・ボックスの初期化に対して、ス
チール・ボックスの動作ソフトウエアがロードされ、テ
ストされる。スチール・ボックスIDはS000000
00にセットされる。スチール・ボックス32がまずタ
ーンオンすると、それは安全ボックスIDを問い合わせ
る。もし、それがS00000000であるなら、スチ
ール・ボックス32は作成ボックス23からのセット安
全ボックスIDのメッセージを待つ。KMSコンピュー
タ24は作成ボックス23を命令して、スチール・ボッ
クス32を初期化する。作成ボックス23は次のスチー
ル安全ボックスIDを割当て、スチール・ボックス・プ
ライベート・スタートアップ認証キーでメッセージを記
号化し、それをスチール・ボックス32へ送る。スチー
ル・ボックス32は安全ボックスIDを記憶し、スチー
ル・ボックス・スタートアップ秘密キーを生成する。安
全ボックスIDとパブリック・スタートアップ秘密キー
は、スチール・ボックス・パブリック・スタートアップ
認証キーで記号化される。KMSコンピュータ24は作
成ボックス23を命令して、スチール・ボックス32の
ための領域スチール・プロセス76を作る。要求された
領域キーの要素はスタートアップ秘密キーを用いてスチ
ール・ボックス32に渡される。このプロセスはスチー
ル・ボックス32が1つの領域に対して領域スチール・
プロセス76を具現化することを可能にする。このプロ
セスは特定のスチール・ボックスに対して要求された全
ての領域に対して繰り返される。
【0038】ブラス・ボックスの初期化に対して、ブラ
ス・ボックスの動作ソフトウエアがロードされ、テスト
される。ブラス・ボックスIDはB00000000に
セットされる。ブラズ・ボックス21がまずターンオン
すると、それは安全ボックスIDを問い合わせる。も
し、それがB00000000であるなら、ブラス・ボ
ックス21は作成ボックス23からのセット安全ボック
スIDのメッセージを待つ。KMSコンピュータ24は
作成ボックス23を命令して、ブラス・ボックス21を
初期化する。作成ボックス23は次のブラス安全ボック
スIDを割当て、ブラス・ボックス・プライベート・ス
タートアップ認証キーでメッセージを記号化し、それを
ブラス・ボックス21へ送る。ブラス・ボックス21は
安全ボックスIDを記憶し、ブラス・ボックス・スター
トアップ秘密キーを生成する。安全ボックスIDとパブ
リック・スタートアップ秘密キーは、ブラス・ボックス
・パブリック・スタートアップ認証キーで記号化され
る。KMSコンピュータ24は作成ボックス23を命令
して、ブラス・ボックス21のための領域ブラス・プロ
セスを作る。要求された領域キーの要素はスタートアッ
プ秘密キーを用いてブラス・ボックス21に渡される。
このプロセスはブラス・ボックス21が1つの領域に対
して領域ブラス・プロセスを具現化することを可能にす
る。このプロセスは特定のブラス・ボックスに対して要
求された全ての領域に対して繰り返される。
【0039】生成、取付けおよび登録プロセス 図24−図27を参照すると、キー管理システム10の
領域マスター・キー取付けプロセスの概要が示されてい
る。ベンダーとあらゆる郵便の領域間に差異は存在しな
い。領域マスター・キーの全セットをディジタルメータ
ー36に首尾よく取り付けるために、動作のセットはベ
ンダー領域に対してランされ、動作の他のセットは選択
された郵便領域に対してセットされる。図24、図29
および図30を参照すると、領域マスター・キー要求
は、作成プロセスの作成中に、キー分配コンピュータ3
0から来る。符号300で、要求はキー分配コンピュー
タ30からメッセージM10におけるKMSコンピュー
タ24へスチール・ボックス32の識別番号をともなっ
て送られる。KMSコンピュータ24は領域に対して唯
一のキーIDを生成する領域アーカイブから符号302
でキーIDを要求する。符号304で、領域アーカイブ
74はメッセージM10’においてMKSコンピュータ
24へキーID応答を送る。KMSコンピュータ24は
追跡記録のためのローカル時間を記録し、符号306
で、オーク・ボックス20へ発生キーのメッセージMI
1における情報を送る。オーク・ボックス20は要求を
チェックして、領域の有効性、領域に対するスチール・
ボックスIDの有効性、およびキーIDがこの領域に対
して処理した最後のものより大きいかどうかをきめる。
もし、チェックのいずれもが誤りであることを証明する
なら、オーク・ボックス20は誤りのメッセージをKM
Sコンピュータ24に戻す。もし、そのチェックが正し
ければ、オーク・ボックス24は領域マスター・キーと
テスト・トークンのセットを生成する。符号308で、
オーク・ボックス20は領域マスター・キーの記録をメ
ッセージMI2におけるKMSコンピュータに渡す。符
号310で、KMSコンピュータ24は、領域マスター
・キー記録をメッセージMI3における領域アーカイブ
74に送る。領域アーカイブ74はデータベースに領域
マスター・キー記録を記憶し、応答が符号312におけ
るKMSコンピュータに送られる。符号314で、KM
Sコンピュータ24は、符号316でKMSコンピュー
タ24へ発生応答メッセージを送るオーク・ボックス2
0へ応答を送る。符号318で、MKSコンピュータ2
4は取付けキー記録を要求応答メッセージMI4におけ
るキー分配コンピュータ30へ送る。
【0040】図25を参照すると、ディジタル・メータ
ー36が作成ライン上いあると、PSRコンピュータ3
4は符号330でキー分配コンピュータ30からの取付
け領域キーの記録を要求する。符号330で、キー分配
コンピュータ30は取付け領域キーの記録を、符号33
4のスチール・ボックス32へさらに送られるメッセー
ジMI4’におけるPSRコンピュータへ送る。スチー
ル・ボックス32は情報のためのディジタル・メーター
36を問い合わせ、符号336で、メッセージMI5の
領域マスター・キーをディジタル・メーター36に送
る。ディジタル・メーターがキーをインストールし、チ
ェックして、メーター・テスト・トークンのセットのた
めに、ディジタル・メーターを問い合わせるスチール・
ボックス32にステータスを戻す。符号338で、メー
ター・テスト・トークンは、メッセージMI6におい
て、オーク・ボックス20から受け取ったものに対して
メーター・テスト・トークンをチェックするスチール・
ボックス32に戻される。従って、スチール・ボックス
32は、オーク・ボックス24によって生成された領域
マスター・キーがディジタル・メーター36に取付けら
れたキーと同じであることをチェックする。符号340
で、スチール・ボックス32は取付けステータスとメッ
セージMI7における情報をPSRコンピュータおよび
キー分配コンピュータ30を介してキー管理コンピュー
タ24に送る。キー管理コンピュータ24は領域アーカ
イブからの領域マスター・キー記録を検索し、ローカル
時間のスタンプを調べ、符号342で、メッセージMI
8におけるブラス・ボックス21に情報を送る。ブラス
・ボックス21は、領域アーカイブ74からの領域マス
ター・キーの記録からのテスト・トークンを生成する。
これらは、メーター・テストのトークンと比較される。
これは、領域アーカイブの領域マスター・キーがディジ
タル・メーターに取付けられたキーと同じであることを
チェックする。もし、それらがチェックアウトするな
ら、領域マスター・キー記録は更新され、符号344で
キー管理コンピュータ24にメッセージMI9において
送られる。キー管理コンピュータ24はメッセージMI
9において領域マスター・キー記録を領域アーカイブ7
4に送り、もし、成功するなら、符号346でブラス・
ボックス21へ応答を戻す。ブラス・ボックス21は応
答をチェックし、符号348でKMSコンピュータ24
へ、およびメッセージMI10におけるキー分配コンピ
ュータ30へ成功あるいは失敗の検証を戻す。
【0041】キー登録は登録の国と証印をプロダクト・
コード番号とキーを関連づけることから成っている。キ
ーは、国のサブ領域に特有の秘密キーを用いて、取付け
領域の国のサブ領域に記憶される。本質的な失敗は、そ
の国のサブ領域に特有のブラス・プロセスがキーを安全
に且つ確実に取付けるために、取付け領域に頼ることで
ある。キーは、決して1つの取付け領域から他の取付け
領域へ転送しない。図26−図31を参照すると、ディ
ジタル・メーターが特定の安全領域に対して用意される
と、証印の連続番号および/またはプロダクト・コード
番号はメッセージMR1においてディジタル・メーター
に入れられる。PSRコンピュータ34は符号360で
ディジタル・メーター36からの登録トークンを要求す
る。ディジタル・メーターは2つのディジタル・トーク
ンを生成し、それらを符号362でPSRコンピュータ
を戻す。PRSコンピュータはそれらのトークンを他の
メーター情報と結合して、その結果生じる記録を符号3
64でキー分配コンピュータ30を介してキー管理コン
ピュータ24へ送る。符号366で、キー管理システム
のコンピュータ24は領域アーカイブからの領域マスタ
ー・キー記録を検索し、情報をメッセージMR2におけ
るブラス・ボックス21へ送る。ブラス・ボックス21
は領域アーカイブ74からの漁期マスター・キー記録か
らの登録トークンを生成する。これらは、メーター登録
のトークンと比較される。これは、証印の連続番号、プ
ロダクト・コード番号および作成連続番号がディジタル
・メーターによって正確に報告されたことをチェックす
る。もし、それらがクアウトするなら、領域マスター・
キー記録は更新され、符号368でキー管理コンピュー
タ24に送られる。キー管理コンピュータ24は領域マ
スター・キー記録をメッセージMR3における領域アー
カイブ74に送り、もし、成功するなら、符号370で
ブラス・ボックス21へ応答を戻す。ブラス・ボックス
21は応答をチェックし、符号372でキー管理システ
ムのコンピュータ24へ、およびメッセージMR4にお
ける成功あるいは失敗の検証を戻す。
【0042】あらゆる領域は少なくとも1つのサブ領域
を有しており、そのサブ領域は、キーを証印番号に登録
するための、およびそのサブ領域内で印章の検証を行う
ための役割を有している。特に、地球領域は幾つかの国
のサブ領域を有している。1つの国が地球領域のサブ領
域にメーターを、およびそれ自身の郵便の領域の唯一の
サブ領域にメーターを持つことが可能である。図32に
示された例においては、国3は唯一の郵便の領域と地球
領域の郵便のサブ領域の両方を有している。しかし、国
Aは、その国の唯一の郵便領域内に取り付けられたキー
を有するメーターのみを有している。図27を参照する
と、もし、ディジタル・メーターがサービスの範囲外に
あると、情報は記録され、KMSコンピュータ24へ送
られる。キー管理システムのコンピュータ24は領域ア
ーカイブからの領域マスター・キー記録を検索し、ロー
カル時間のスタンプを調べ、情報を符号380でブラス
・ボックス21に送る。領域マスター・キーの記録は更
新され、符号382でキー管理コンピュータ24に送
る。キー管理のコンピュータは領域マスター・キー記録
を領域アーカイブに送り、もし、成功するなら、応答を
符号384でブラス・ボックス21へ戻す。ブラス・ボ
ックス21は応答をチェックし、符号386でキー管理
コンピュータ24へ成功あるいは失敗の検証を戻す。
【0043】トークンの生成 各々のメーターは領域マスター・キーを用いて、各領域
に対して、ここで、トークン・キーと呼ばれる一時的キ
ーを発生する。そしてそれは郵便物のデータからのトー
クンを生成するために用いられる。キー管理システム
は、ここでティン・ボックス(Tin Box) と呼ばれる分配
器のトークン検証ボックス44(図1)を有する郵便の
検証場所を認定するために、郵便の一時的キーを分配す
る。郵便の一時的キーは、証印のローカルな検証のため
に、ティン・ボックス44によって用いられる。この配
置の下に、郵便局は、多くの場所にマスター・キーのデ
ータベースを配置することなく証印のローカル検証を得
ることができるので、キー管理システムは高レベルの安
全性を提供する。検証プロセス 以下の記述はキー管理システム10の検証プロセスの概
要を示す。ベンダーとあらゆる郵便領域間に差異はな
い。各々は独立して同じ方法で動作する。両方のトーク
ンを首尾よく検証するために、動作のセットはベンダー
領域に対してランされ、動作の他のセットは選択された
郵便領域に対してランされる。トークン検証要求はメー
ル設備18に配置されるデータ捕獲システム(data capt
ure system) 19から来る。要求は物理的な郵便物上に
印刷された情報のASCIIテキスト表現を含む。図2
8を参照すると、符号400で、要求はベンダーあるい
は郵便のデータセンターにあるキー管理システムのコン
ピュータ24に送られる。キー管理システムのコンピュ
ータ24はディジット(digits)をチェックし、もし、必
要なら修正する。キー管理システムのコンピュータ24
は領域アーカイブからの領域マスター・キー記録を検索
し、符号402でブラス・ボックス21へ情報を送る。
ブラス・ボックス21はその要求をチェックし、領域マ
スター・キーがアクティブであることを検証する。ブラ
ス・ボックス21は領域アーカイブおよび郵便物情報か
らの領域マスター・キーを用いて、選択された領域のト
ークンを再計算する。計算されたトークンは、それらが
マッチしているかどうかをみるために、郵便物のトーク
ンと比較される。良し/悪しの比較結果が符号404で
KMSコンピュータ24に送られる。追加の検証が他の
領域トークンを検証するために必要であることを強調す
るために、第2の例が図28に示されている。本発明の
以上の記載は、郵便局はベンダーが郵便のマスター・キ
ーを生成し、それらをディジタル・メーターに取り付け
る権限をあたえる好適な実施の形態である。キーは、郵
便のトークンの有効性のために用いられるように郵便デ
ータセンターに送られる。キー管理システムは機能、安
全ボックスおよびデータベースのいろいろな分配のため
の能力を有する。例えば、他の実施の形態において、郵
便局は、ベンダーおよび他の関係者が郵便キーの発生、
維持、トークンの有効性そしてキーをベンダーに伝達す
るの機能を有する郵便のデータセンターを維持し、動作
することを任せる。この実施の形態において、郵便のブ
ラス・ボックス40と郵便のキーアーカイブ42は、ベ
ンダーあるいは他の関係者の場所に物理的に位置され
る。他の実施の形態においては、郵便局はそのデータセ
ンターを管理し、郵便のオーク・ボックス22は郵便の
データセンター16に物理的に位置される。
【0044】他の代替実施形態(図示されず)において
は、キー管理システムの機能、即ち領域オーク・プロセ
ス、領域スチール・プロセス或いは領域ブラス・プロセ
スのあらゆる組み合わせが安全ボックスのいずれかに統
合されることができる。従って、キー管理システムはい
ろいろな領域、即ち、郵便局が同じ論理的なキー管理シ
ステムのいろいろな物理的態様を実現できる本質的な柔
軟性を有していることが理解されるであろう。本キー管
理システムは、システムの高いレベルでの完全性と安全
性を維持つつ、このような柔軟性を提供するものであ
る。本発明は、更に多くのベンダー多くの郵便局をサポ
ートすることができることが理解されるであろう。本発
明は、ディジタル郵便メーターの証明に関する実施の形
態に対して述べられた。この分野の通常の知識を有する
者は、一般に、本発明が、一時的なトランズアクショ
ン、項目のトランズアクションおよび情報のトランズア
クションのようなトランズアクションの証明に対するキ
ー管理システムとして用いるのに適していることを理解
するであろう。ここで用いられるように、用語“ディジ
タル郵便メーター”は、安全な印刷手段に結合されてい
るディジタル郵便メーターの従来の形式、および安全で
ない印刷手段に結合されているディジタル郵便メーター
の他の形式に該当し、あるいは従来のディジタル郵便メ
ーターと異なる他のの構成を有している。
【0045】本発明は、単一の実施の形態に関して開示
され、述べられたが、上述のように変更および変形がな
されることは明らかであろう。従って、特許請求の範囲
は、本発明の真の精神および範囲内にある各々の変更お
よび変形を含むことが意図されている。
【図面の簡単な説明】
【図1】本発明による暗号キーの管理および有効性のシ
ステムのブロック図である。
【図2】図1のキー管理および有効性のシステムにおけ
る安全領域の関係を示すブロック図。
【図3】図1のキー管理および有効性のシステムにおけ
るベンダーのデータセンターのブロック図。
【図4】図1のキー管理および有効性のシステムにおけ
るベンダーの作成設備のブロック図。
【図5】図1のキー管理および有効性のシステムにおけ
る郵便のデータセンターのブロック図。
【図6】図1のキー管理および有効性のシステムにおけ
る作成ボックスの管理上の領域を示すブロック図。
【図7】キー管理プロセスのフロー図。
【図8】キーの識別のためのフロー図。
【図9】作成ボックスのためのキー材料のブロック図。
【図10】オーク・ボックスのためのキー材料のブロッ
ク図。
【図11】スチール・ボックスのためのキー材料のブロ
ック図。
【図12】ブラス・ボックスのためのキー材料のブロッ
ク図。
【図13】地球領域のディジタル・メーター・プロセス
のフロー図。
【図14】有効なマスター・キー状態の変化のフロー
図。
【図15】有効なマスター・キー状態の変化のブロック
図。
【図16】オーク・ボックスからブラス・ボックスへの
メッセージ。
【図17】オーク・ボックスからスチール・ボックスへ
のメッセージ。
【図18】キーのフレッシュネスの検出のための論理
図。
【図19】スチール・ボックスからブラス・ボックスへ
のメッセージ。
【図20】メーターからブラス・ボックスへのメッセー
ジ。
【図21】エラー取扱いのブロック図。
【図22】第1の作成ボックスの初期化のフロー図。
【図23】一般的なボックスの初期化のフロー図。
【図24】キー要求の処理のフロー図。
【図25】キー取付けの処理のフロー図。
【図26】キー登録の処理のフロー図。
【図27】旧式キーの処理のフロー図。
【図28】検証処理のフロー図。
【図29】キー取付けメッセージのフローを示すブロッ
ク図。
【図30】図29のキー取付けメッセージのテーブル。
【図31】キー登録メッセージのテーブル。
【図32】領域およびサブ領域の関係を示すブロック
図。
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 庁内整理番号 FI 技術表示箇所 H04L 9/08 H04L 9/00 601B (72)発明者 ウォルター ジェイ ベイカー アメリカ合衆国 コネチカット州 06497 ストラットフォード ノース エイブラ ム ストリート 378 (72)発明者 フェリクス バトー アメリカ合衆国 コネチカット州 06612 イーストン バローズ ロード 89 (72)発明者 ロバート エイ コーデリー アメリカ合衆国 コネチカット州 06811 ダンバリー ジャネット ストリート 11−1−2 (72)発明者 フランク エム ディッポリト アメリカ合衆国 コネチカット州 06811 ダービー コモドアー コモンズ 47 (72)発明者 ケヴィン ディー ハンター アメリカ合衆国 コネチカット州 06497 ストラットフォード アリンデール ド ライヴ 440 (72)発明者 キャスリン ヴィー ロートン アメリカ合衆国 コネチカット州 06405 ブランフォード ロック パステュア ロード 47 (72)発明者 ディヴィッド ケィ リー アメリカ合衆国 コネチカット州 06468 モンロー アルパイン ロード 12 (72)発明者 ルイス ジェイ ログリッチ アメリカ合衆国 コネチカット州 06907 スタムフォード ホープ ストリート 555 (72)発明者 スティーヴン ジェイ パウリー アメリカ合衆国 コネチカット州 06776 ニュー ミルフォード サリー レーン 10 (72)発明者 リーオン エイ ピンツォフ アメリカ合衆国 コネチカット州 06107 ウェスト ハートフォード マウンテン ロード 365 (72)発明者 イアン エイ シーヴェイヤー アメリカ合衆国 コネチカット州 06468 モンロー ヴェルヴェット ストリート 168

Claims (15)

    【特許請求の範囲】
  1. 【請求項1】取扱証明装置を作成する方法であって、 (a)キー管理システムの論理的安全領域に、マスター
    ・キーを生成するステップ、 (b)取扱証明装置に前記マスター・キーを設けるステ
    ップ、 (c)前記マスター・キーを設けたことを検証するステ
    ップ、および (d)前記キー管理システムにおける論理的安全サブ領
    域に前記マスター・キーを登録するステップを有する方
    法。
  2. 【請求項2】前記マスター・キーを生成するステップ
    は、更に、 領域を生成するステップ、 少なくとも1つのサブ領域を生成するステップ、 前記キー管理システムの安全ボックスに前記領域を設け
    るステップ、 前記領域内にマスター・キーとテスト・トークンを生成
    するステップ、および前記領域アーカイブにマスター・
    キーを記録するステップ、を有する請求項1に記載の方
    法。
  3. 【請求項3】前記マスター・キーを設けるステップは、
    更に、 取扱証明装置にマスター・キーを設けるステップ、およ
    び前記マスター・キーを物理的装置の識別子に関連させ
    るステップを有する請求項1に記載の方法。
  4. 【請求項4】前記マスター・キイーを検証するステップ
    は、更に、 取扱証明装置にトークンを生成するステップ、 前記テスト・トークンおよびトークンを生成した取扱証
    明装置が同一であることを検証するステップ、 前記アーカイブにマスター・キーからのトークンを生成
    するステップ、およびトークンを生成した前記取扱証明
    装置およびトークンを生成した前記アーカイブが同一で
    あることを検証するステップを有する請求項1に記載の
    方法。
  5. 【請求項5】前記キー管理システムにおける論理的安全
    サブ領域に前記マスター・キーを登録するステップは、
    更に、 サブ領域を前記取扱証明装置に割当てるステップ、 論理的装置の識別子を前記取扱証明装置に設けるステッ
    プ、 前記論理的装置の識別子を前記物理的装置の識別子に関
    連付けるステップ、 前記論理的装置の識別子と前記物理的装置の識別子に基
    づいて、前記取扱証明装置に登録トークンを生成するス
    テップ、 アーカイブに記録されたマスター・キーを用いて、登録
    トークンを生成するステップ、 前記登録トークンが同一であることを検証するステッ
    プ、および前記マスター・キーを前記サブ領域に記録す
    るステップを有する請求項1に記載の方法。
  6. 【請求項6】更に、前記取扱証明装置に割当てられた各
    領域に対し、ステップ(a)〜(d)を繰り返すステッ
    プを有する請求項1に記載の方法。
  7. 【請求項7】キー管理システムにおいて取扱証明装置を
    作成する方法であって、 領域を生成するステップ、 少なくとも1つのサブ領域を生成するステップ、 前記キー管理システムの安全ボックスに前記領域を設け
    るステップ、 前記領域内にマスター・キーとテスト・トークンを生成
    するステップ、 前記領域アーカイブに前記マスター・キーを記録するス
    テップ、 前記マスター・キーを取扱証明装置に設け、前記マスタ
    ー・キーを物理的装置の識別子と関連付けるステップ、 前記取扱証明装置にトークンを生成するステップ、 前記テスト・トークンとトークンを生成した前記取扱証
    明装置が同一であることを検証するステップ、 前記アーカイブにマスター・キーからのトークンを生成
    するステップ、 トークンを生成した前記取扱証明装置とトークンを生成
    した前記アーカイブが同一であることを検証するステッ
    プ、 サブ領域を前記取扱証明装置に割当てるステップ、 論理的装置の識別子を前記取扱証明装置に設けるステッ
    プ、 前記論理的装置の識別子を前記物理的装置の識別子に関
    連付けるステップ、 前記論理的装置の識別子と前記物理的装置の識別子に基
    づいて、前記取扱証明装置に登録トークンを生成するス
    テップ、 前記アーカイブに記録されたマスター・キーを用いて、
    登録トークンを生成するステップ、 前記登録トークンが同一であることを検証するステッ
    プ、およびサブ領域にマスター・キーを登録するステッ
    プを有する方法。
  8. 【請求項8】前記取扱証明装置は、ディジタル郵便料金
    メーターであることを特徴とする請求項1に記載の方
    法。
  9. 【請求項9】前記取扱証明装置は、ディジタル郵便料金
    メーターであることを特徴とする請求項1に記載の方
    法。
  10. 【請求項10】ディジタル郵便料金メーターを作成する
    方法であって、 (a)キー管理システムの論理的安全領域に、マスター
    ・キーを生成するステップ、 (b)ディジタル郵便料金メーターに前記マスター・キ
    ーを設けるステップ、 (c)前記マスター・キーを設けたことを検証するステ
    ップ、および (d)前記キー管理システムにおける論理的安全サブ領
    域に前記マスター・キーを登録するステップを有する方
    法。
  11. 【請求項11】前記マスター・キーを生成するステップ
    は、更に、 領域を生成するステップ、 少なくとも1つのサブ領域を生成するステップ、 前記キー管理システムの安全ボックスに前記領域を設け
    るステップ、 前記領域内にマスター・キーとテスト・トークンを生成
    するステップ、および前記領域のアーカイブにマスター
    ・キーを記録するステップ、 を有する請求項10に記載の方法。
  12. 【請求項12】前記マスター・キーを設けるステップ
    は、更に、 ディジタル・メーターにマスター・キーを設けるステッ
    プ、および前記マスター・キーを物理的装置の識別子に
    関連させるステップを有する請求項10に記載の方法。
  13. 【請求項13】前記マスター・キイーを検証するステッ
    プは、更に、 ディジタル・メーターにトークンを生成するステップ、 前記テスト・トークンおよびトークンを生成した前記メ
    ーターが同一であることを検証するステップ、 前記アーカイブにマスター・キーからのトークンを生成
    するステップ、およびトークンを生成した前記メーター
    およびトークンを生成した前記アーカイブが同一である
    ことを検証するステップを有する請求項10に記載の方
    法。
  14. 【請求項14】前記キー管理システムにおける論理的安
    全サブ領域に前記マスター・キーを登録するステップ
    は、更に、 サブ領域を前記メーターに割当てるステップ、 郵便の識別子を前記ディジタルメーターに設けるステッ
    プ、 前記郵便の識別子を唯一の装置の識別子に関連付けるス
    テップ、 前記郵便の識別子と前記唯一の装置の識別子に基づい
    て、前記ディジタル・メーターに登録トークンを生成す
    るステップ、 アーカイブに記録されたマスター・キーを用いて、登録
    トークンを生成するステップ、 前記登録トークンが同一であることを検証するステッ
    プ、および前記マスター・キーを前記サブ領域に記録す
    るステップを有する請求項10に記載の方法。
  15. 【請求項15】更に、前記取扱証明装置に割当てられた
    各領域に対し、ステップ(a)〜(d)を繰り返すステ
    ップを有する請求項10に記載の方法。
JP11407296A 1995-03-31 1996-04-01 キー管理システムにおけるメータの作成方法 Pending JPH09190555A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US08/415,824 US5680456A (en) 1995-03-31 1995-03-31 Method of manufacturing generic meters in a key management system
US08/415824 1995-03-31

Publications (1)

Publication Number Publication Date
JPH09190555A true JPH09190555A (ja) 1997-07-22

Family

ID=23647355

Family Applications (1)

Application Number Title Priority Date Filing Date
JP11407296A Pending JPH09190555A (ja) 1995-03-31 1996-04-01 キー管理システムにおけるメータの作成方法

Country Status (7)

Country Link
US (1) US5680456A (ja)
EP (1) EP0735721B1 (ja)
JP (1) JPH09190555A (ja)
CN (1) CN1128522C (ja)
BR (1) BR9601233A (ja)
CA (1) CA2172861C (ja)
DE (1) DE69636631T2 (ja)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5982896A (en) * 1996-12-23 1999-11-09 Pitney Bowes Inc. System and method of verifying cryptographic postage evidencing using a fixed key set
US6064989A (en) * 1997-05-29 2000-05-16 Pitney Bowes Inc. Synchronization of cryptographic keys between two modules of a distributed system
US6029137A (en) * 1997-05-29 2000-02-22 Pitney Bowes Inc. Updating domains in a postage evidencing system
US6233565B1 (en) 1998-02-13 2001-05-15 Saranac Software, Inc. Methods and apparatus for internet based financial transactions with evidence of payment
US6144950A (en) * 1998-02-27 2000-11-07 Pitney Bowes Inc. Postage printing system including prevention of tampering with print data sent from a postage meter to a printer
US6343361B1 (en) * 1998-11-13 2002-01-29 Tsunami Security, Inc. Dynamic challenge-response authentication and verification of identity of party sending or receiving electronic communication
US6704867B1 (en) 1999-03-30 2004-03-09 Bitney Bowes, Inc. Method for publishing certification information representative of selectable subsets of rights and apparatus and portable data storage media used to practice said method
US6738899B1 (en) 1999-03-30 2004-05-18 Pitney Bowes Inc. Method for publishing certification information certified by a plurality of authorities and apparatus and portable data storage media used to practice said method
US6847951B1 (en) * 1999-03-30 2005-01-25 Pitney Bowes Inc. Method for certifying public keys used to sign postal indicia and indicia so signed
US6711680B1 (en) * 1999-12-09 2004-03-23 Pitney Bowes Inc. Method of limiting key usage in a postage metering system that produces cryptographically secured indicium
US6473743B1 (en) * 1999-12-28 2002-10-29 Pitney Bowes Inc. Postage meter having delayed generation of cryptographic security parameters
PT1348279E (pt) * 2000-11-28 2005-06-30 Nagravision Sa Certificacao das transaccoes
US6867707B1 (en) * 2002-04-24 2005-03-15 Elster Electricity, Llc Automated on-site meter registration confirmation using a portable, wireless computing device
US20040086141A1 (en) * 2002-08-26 2004-05-06 Robinson Arthur E. Wearable buddy audio system
US7319989B2 (en) * 2003-03-04 2008-01-15 Pitney Bowes Inc. Method and system for protection against replay of an indicium message in a closed system meter
US20040177049A1 (en) * 2003-03-04 2004-09-09 Pitney Bowes Incorporated Method and system for protection against parallel printing of an indicium message in a closed system meter
US8670564B1 (en) 2006-08-14 2014-03-11 Key Holdings, LLC Data encryption system and method
DE102007052458A1 (de) 2007-11-02 2009-05-07 Francotyp-Postalia Gmbh Frankierverfahren und Postversandsystem mit zentraler Portoerhebung
US11132685B1 (en) 2020-04-15 2021-09-28 Capital One Services, Llc Systems and methods for automated identity verification
CN115396396A (zh) * 2022-08-24 2022-11-25 珠海安士佳电子有限公司 一种安防设备唯一标识智能分配系统

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4238853A (en) * 1977-12-05 1980-12-09 International Business Machines Corporation Cryptographic communication security for single domain networks
US4227253A (en) * 1977-12-05 1980-10-07 International Business Machines Corporation Cryptographic communication security for multiple domain networks
US4281216A (en) * 1979-04-02 1981-07-28 Motorola Inc. Key management for encryption/decryption systems
US4578531A (en) * 1982-06-09 1986-03-25 At&T Bell Laboratories Encryption system key distribution method and apparatus
US4590470A (en) * 1983-07-11 1986-05-20 At&T Bell Laboratories User authentication system employing encryption functions
US4972472A (en) * 1985-03-15 1990-11-20 Tandem Computers Incorporated Method and apparatus for changing the master key in a cryptographic system
US4731840A (en) * 1985-05-06 1988-03-15 The United States Of America As Represented By The United States Department Of Energy Method for encryption and transmission of digital keying data
US4916738A (en) * 1986-11-05 1990-04-10 International Business Machines Corp. Remote access terminal security
GB8704920D0 (en) * 1987-03-03 1987-04-08 Hewlett Packard Co Secure messaging system
US4850017A (en) * 1987-05-29 1989-07-18 International Business Machines Corp. Controlled use of cryptographic keys via generating station established control values
US4873645A (en) * 1987-12-18 1989-10-10 Pitney Bowes, Inc. Secure postage dispensing system
US4888801A (en) * 1988-05-02 1989-12-19 Motorola, Inc. Hierarchical key management system
US4888802A (en) * 1988-06-17 1989-12-19 Ncr Corporation System and method for providing for secure encryptor key management
US4935961A (en) * 1988-07-27 1990-06-19 Gargiulo Joseph L Method and apparatus for the generation and synchronization of cryptographic keys
US5016277A (en) * 1988-12-09 1991-05-14 The Exchange System Limited Partnership Encryption key entry method in a microcomputer-based encryption system
US4965804A (en) * 1989-02-03 1990-10-23 Racal Data Communications Inc. Key management for encrypted packet based networks
US5048087A (en) * 1989-02-03 1991-09-10 Racal Data Communications Inc. Key management for encrypted packet based networks
DE69014361T2 (de) * 1989-03-23 1995-04-27 Neopost Ind Verfahren zur Erhöhung der Sicherheit einer elektronischen Frankiermaschine mit Fernaufwertung.
US4956863A (en) * 1989-04-17 1990-09-11 Trw Inc. Cryptographic method and apparatus for public key exchange with authentication
US5148481A (en) * 1989-10-06 1992-09-15 International Business Machines Corporation Transaction system security method and apparatus
US5029206A (en) * 1989-12-27 1991-07-02 Motorola, Inc. Uniform interface for cryptographic services
US5173938A (en) * 1990-09-27 1992-12-22 Motorola, Inc. Key management system
US5247576A (en) * 1991-02-27 1993-09-21 Motorola, Inc. Key variable identification method
US5214698A (en) * 1991-03-20 1993-05-25 International Business Machines Corporation Method and apparatus for validating entry of cryptographic keys
US5200999A (en) * 1991-09-27 1993-04-06 International Business Machines Corporation Public key cryptosystem key management based on control vectors
US5241599A (en) * 1991-10-02 1993-08-31 At&T Bell Laboratories Cryptographic protocol for secure communications
US5179591A (en) * 1991-10-16 1993-01-12 Motorola, Inc. Method for algorithm independent cryptographic key management
US5265164A (en) * 1991-10-31 1993-11-23 International Business Machines Corporation Cryptographic facility environment backup/restore and replication in a public key cryptosystem
US5245658A (en) * 1992-01-06 1993-09-14 George Bush Domain-based encryption
JPH05281906A (ja) * 1992-04-02 1993-10-29 Fujitsu Ltd 暗号鍵共有方式
US5237611A (en) * 1992-07-23 1993-08-17 Crest Industries, Inc. Encryption/decryption apparatus with non-accessible table of keys
US5341426A (en) * 1992-12-15 1994-08-23 Motorola, Inc. Cryptographic key management apparatus and method
US5390251A (en) * 1993-10-08 1995-02-14 Pitney Bowes Inc. Mail processing system including data center verification for mailpieces

Also Published As

Publication number Publication date
BR9601233A (pt) 1998-01-06
CN1128522C (zh) 2003-11-19
EP0735721B1 (en) 2006-10-18
US5680456A (en) 1997-10-21
DE69636631T2 (de) 2007-08-23
CA2172861C (en) 2000-05-16
EP0735721A3 (en) 1999-10-06
CA2172861A1 (en) 1996-10-01
EP0735721A2 (en) 1996-10-02
MX9601258A (es) 1997-09-30
DE69636631D1 (de) 2006-11-30
CN1148765A (zh) 1997-04-30

Similar Documents

Publication Publication Date Title
JP3881055B2 (ja) トランズアクション情報の完全性の証明を検証する方法
EP0735722B1 (en) Cryptographic key management and validation system
CA2173018C (en) Method of manufacturing secure boxes in a key management system
JPH09190555A (ja) キー管理システムにおけるメータの作成方法
US6058193A (en) System and method of verifying cryptographic postage evidencing using a fixed key set
JP4117912B2 (ja) 安全なデジタル署名デバイスを有する仮想郵便料金メーター
US6466921B1 (en) Virtual postage meter with secure digital signature device
US6567794B1 (en) Method for access control in a virtual postage metering system
US6073125A (en) Token key distribution system controlled acceptance mail payment and evidencing system
MXPA96001257A (en) A method of verification of symbols designators in an administration system
MXPA96001258A (en) A manufacturing method of generic subscribers in a cla administration system
MXPA96001259A (es) Un sistema de administracion y validacion de claves criptograficas
MXPA99001576A (en) Virtual postage meter with secure digital signature device
CA2221670A1 (en) Method for verifying the expected postage security device in a host system

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060213

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20060511

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20060516

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20060814

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060904

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070104

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070213

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20070216

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20070330