JPH0973415A - センシティブ情報を相対的に安全度の低い記憶媒体に安全にストアする方法および装置 - Google Patents

センシティブ情報を相対的に安全度の低い記憶媒体に安全にストアする方法および装置

Info

Publication number
JPH0973415A
JPH0973415A JP8178188A JP17818896A JPH0973415A JP H0973415 A JPH0973415 A JP H0973415A JP 8178188 A JP8178188 A JP 8178188A JP 17818896 A JP17818896 A JP 17818896A JP H0973415 A JPH0973415 A JP H0973415A
Authority
JP
Japan
Prior art keywords
sensitive information
storage medium
encrypted
identification string
storing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP8178188A
Other languages
English (en)
Inventor
Pankaj Rohatgi
ロハトギ パンカジャ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Technicolor USA Inc
Original Assignee
Thomson Consumer Electronics Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thomson Consumer Electronics Inc filed Critical Thomson Consumer Electronics Inc
Publication of JPH0973415A publication Critical patent/JPH0973415A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Human Computer Interaction (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Abstract

(57)【要約】 【課題】 相対的に安全度の高い記憶媒体と相対的に安
全度の低い記憶媒体を含んでいるコンピュータ・システ
ムにおいてセンシティブ情報を安全にストアする方法お
よび装置が開示されている。 【解決手段】 センシティブ情報は暗号キーを使用して
暗号化される。次に、暗号化されたセンシティブ情報は
相対的に安全度の低い記憶媒体にストアされ、暗号キー
は相対的に安全度の高い記憶媒体にストアされる。ま
た、この装置によれば、暗号キー(302)がストアさ
れる相対的に安全度の高い記憶媒体(208) と、相対
的に安全度の低い記憶媒体 (108,104)とを含ん
でいるコンピュータ・システムにおいて、センシティブ
情報を安全にストアする。暗号化器(202)は暗号キ
ーを使用してセンシティブ情報を暗号化し、暗号化され
たセンシティブ情報を相対的に安全度の低い記憶媒体に
ストアする。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、センシティブ情報
を相対的に安全度の低い記憶媒体にストアする方法およ
び装置に関する。
【0002】なお、本明細書の記述は本件出願の優先権
の基礎たる米国特許出願第08/499,170号(1
995年7月7日出願)の明細書の記載に基づくもので
あって、当該米国特許出願の番号を参照することによっ
て当該米国特許出願の明細書の記載内容が本明細書の一
部分を構成するものとする。
【0003】
【従来の技術】センシティブ情報(例えば、クレジット
カード番号または暗号キー)をコンピュータ・システム
にストアしておく必要がしばしば起こっている。しか
し、かかるセンシティブ情報のストアの仕方が安全でな
いと、その情報が変更されたり、盗まれたりする可能性
がある。コンピュータ・システムへのアクセスを信用の
ある人だけに制限し、信用のあるプログラムだけをコン
ピュータ・システムで実行することは、この問題を解決
する1つの方法である。しかし、この解決方法は常に実
用的であるとは限らない。第三者による使用を目的とし
ていても、第三者によるアクセスを認めなければ、無用
になってしまうコンピュータ・システムが存在するから
である。例えば、インタラクティブ(対話型)テレビジ
ョン・システムのようなマルチメディア・システムで
は、ユーザのデコーダはユーザのセンシティブ情報をス
トアしているが、見知らぬ第三者が書いたプログラムを
実行するために、やむを得ずそのデコーダが利用される
ことがある。
【0004】インタラクティブ・テレビジョン・アプリ
ケーションはビデオ(映像)部分、オーディオ(音声)
部分およびコンピュータ・プログラム部分からなってい
る。このインタラクティブ・テレビジョン・アプリケー
ションは、中央のブロードキャスト・ロケーションから
遠隔地の視聴者(viewer)ロケーションへコンポジット信
号でブロードキャスト(同報通信)されている。各視聴
者のロケーションにはレシーバ/デコーダが置かれてお
り、これらはインタラクティブ・テレビジョン・アプリ
ケーションのコンポジット信号を検出・出力し、ビデオ
部分、オーディオ部分およびコンピュータ・プログラム
部分を分離し、テレビジョン・レシーバが必要とするビ
デオ信号とオーディオ信号を生成し、コンピュータ・プ
ログラムを実行して視聴者と対話している。各デコーダ
は電話インタフェースも備えているので、コンピュータ
・プログラムの制御の下で(およびユーザの許可を得
て)データ・コール(起呼)を行って、リモート・ロケ
ーションとの間で情報(実行すべきコンピュータ・プロ
グラム・コードを含む)を送受信することを可能にして
いる。
【0005】
【発明が解決しようとする課題】ここで検討しようとし
ている1つのインタラクティブ・アプリケーションはシ
ョッピング・アプリケーションであり、このアプリケー
ションでは、以前にデコーダに入力されていた視聴者の
クレジットカード番号は、視聴者がオーダを出したと
き、安全な方法で(ユーザの許可を得て)ショッピング
・プログラム提供者へ送られるようにしている。そのた
めに、視聴者のクレジットカード番号はデコーダにスト
アしておく必要がある。しかし、コンピュータ・プログ
ラムはブロードキャストまたは電話リンクを通してロー
ド可能であるので、そのコンピュータ・プログラムが視
聴者のクレジットカード番号や他のセンシティブ情報を
盗んでそれを、例えば、電話リンクを通して第三者へ中
継しようとすることも起こり得る。
【0006】センシティブ情報を安全に維持するための
1つの方法では、コンピュータ・システムの公用部分
と、センシティブ情報がストアされる部分との間の障壁
となるために、ハードウェアをコンピュータ・システム
に接続することが要件になっている。しかし、ハードウ
ェアによる解決は高価である。これは、コンシューマ・
プロダクトであるインタラクティブ・テレビジョン・シ
ステムでは、コストに非常に敏感であるために特に問題
である。そのために、この種のシステムで利用可能にさ
れる安全保護ハードウェア量は、最小限の情報を収容し
て、保護するような設計になっている。しかし、盗難か
ら保護する必要のあるセンシティブ情報は大量化する潜
在性をもっている。望ましいことは、比較的に大量のセ
ンシティブ情報を変更または盗難から保護し、しかも、
高価な安全保護ハードウェアを大量に使用しないで済む
ようにすることである。
【0007】
【課題を解決するための手段】本発明の原理によれば、
相対的に安全度の高い記憶媒体と相対的に安全度の低い
記憶媒体を備えたコンピュータ・システムにおいて、セ
ンシティブ情報を安全にストアする方法は次のようなス
テップからなっている。センシティブ情報は暗号キーを
使用して暗号化される。暗号化されたセンシティブ情報
は相対的に安全度の低い記憶媒体にストアされ、暗号キ
ーは相対的に安全度の高い記憶媒体にストアされる。
【0008】コンピュータ・システムにおいてセンシテ
ィブ情報を安全にストアする装置は暗号キーがストアさ
れる相対的に安全度の高い記憶媒体と、相対的に安全度
の低い記憶媒体とを含んでいる。暗号化器(encrypter)
は暗号キーを使用してセンシティブ情報を暗号化し、暗
号化されたセンシティブ情報を相対的に安全度の低い記
憶媒体にストアする。
【0009】請求項1にかかる発明は、相対的に安全度
の高い記憶媒体と相対的に安全度の低い記憶媒体とを備
えたコンピュータ・システムにおいて、センシティブ情
報を相対的に安全度の低い記憶媒体にストアする方法で
あって、暗号キーを使用してセンシティブ情報を暗号化
するステップと、暗号化されたセンシティブ情報を相対
的に安全度の低い記憶媒体にストアするステップと、暗
号キーを相対的に安全度の高い記憶媒体にストアするス
テップとを含むことを特徴とする。
【0010】また、請求項2にかかる発明は、請求項1
に記載の方法において、相対的に安全度の高い記憶媒体
はプロセッサとメモリを含んでおり、さらに、暗号キー
をストアするステップは、暗号キーをプロセッサに与え
るステップと、暗号キーをプロセッサからメモリに転送
するステップとを含み、センシティブ情報を暗号化する
ステップは、センシティブ情報をプロセッサに与えるス
テップと、プロセッサ内のセンシティブ情報を、以前に
メモリにストアされた暗号キーを使用して暗号化するス
テップと、相対的に安全度の低い記憶媒体にストアする
ために、暗号化されたセンシティブ情報をプロセッサか
ら返却するステップとを含むことを特徴とする。
【0011】さらに、請求項3にかかる発明は、請求項
1に記載の方法において、暗号化されたセンシティブ情
報を相対的に安全度の低い記憶媒体から取り出すステッ
プと、取り出された暗号化されたセンシティブ情報を暗
号キーを使用して暗号解読するステップとをさらに含む
ことを特徴とする。
【0012】さらに、請求項4にかかる発明は、請求項
1に記載の方法において、相対的に安全度の高い記憶媒
体はプロセッサとメモリを含んでおり、さらに、センシ
ティブ情報を暗号解読するステップは、取り出された暗
号化されたセンシティブ情報をプロセッサに与えるステ
ップと、プロセッサ内の取り出されたセンシティブ情報
を暗号キーを使用して暗号解読するステップと、暗号解
読されたセンシティブ情報をプロセッサから返却するス
テップとを含むことを特徴とする。
【0013】さらに、請求項5にかかる発明は、請求項
3に記載の方法において、センシティブ情報を暗号化す
るステップは暗号化されたセンシティブ情報全体にわた
って暗号チェックサムを計算するステップを含み、暗号
化されたセンシティブ情報をストアするステップは暗号
チェックサムをストアするステップを含み、暗号解読す
るステップは、以前にストアされた暗号チェックサムを
取り出すステップと、ストアされた暗号化されたセンシ
ティブ情報全体にわたって暗号チェックサムを計算する
ステップと、以前にストアされた暗号チェックサムを、
新たに計算された暗号チェックサムと比較するステップ
と、以前にストアされた暗号チェックサムが新たに計算
された暗号チェックサムと不一致であれば、エラーを返
却するステップとを含むことを特徴とする。
【0014】さらに、請求項6にかかる発明は、請求項
3に記載の方法において、取り出すステップの前に、取
出し権限をユーザに要求するステップと、取出し権限を
ユーザから受け取ったときだけ、取出しステップと暗号
解読ステップを実行するステップとをさらに含むことを
特徴とする。
【0015】さらに、請求項7にかかる発明は、請求項
6に記載の方法において、取出し権限を要求するステッ
プは、識別ストリング(string)をユーザに要求するステ
ップと、ユーザから識別ストリングを受け取るステップ
と、受け取った識別ストリングを、あらかじめ決めた識
別ストリングと比較するステップと、受け取った識別ス
トリングがあらかじめ決めた識別ストリングと一致して
いれば、取出し権限がユーザから受け取られたと判定す
るステップとを含むことを特徴とする。
【0016】さらに、請求項8にかかる発明は、請求項
7に記載の方法において、暗号キーをストアするステッ
プはあらかじめ決めた識別ストリングを相対的に安全度
の高い記憶媒体にストアするステップを含むことを特徴
とする。
【0017】さらに、請求項9にかかる発明は、請求項
7に記載の方法において、暗号キーをストアするステッ
プは、あらかじめ決めた識別ストリングを暗号キーを使
用して暗号化するステップと、暗号化されたあらかじめ
決めた識別ストリングを相対的に安全度の低い記憶媒体
にストアするステップとを含み、比較するステップは、
暗号化されたあらかじめ決めた識別ストリングを相対的
に安全度の低い記憶媒体から取り出すステップと、暗号
化されたあらかじめ決めた識別ストリングを暗号ストリ
ングを使用して暗号解読するステップと、ユーザからの
識別ストリングを、暗号解読されたあらかじめ決めた識
別ストリングと比較するステップとを含むことを特徴と
する方法。
【0018】さらに、請求項10にかかる発明は、請求
項9に記載の方法において、あらかじめ決めた識別スト
リングを暗号化するステップはあらかじめ決めた識別ス
トリング全体にわたって暗号チェックサムを計算するス
テップを含み、暗号化されたあらかじめ決めた識別スト
リングをストアするステップは暗号チェックサムも相対
的に安全度の低い記憶媒体にストアするステップを含
み、暗号化されたあらかじめ決めた識別ストリングを取
り出すステップは以前にストアされた暗号チェックサム
も取り出すステップを含み、暗号化されたあらかじめ決
めた識別ストリングを暗号解読するステップは、あらか
じめ決めた識別ストリング全体にわたって暗号チェック
サムを計算するステップと、計算された暗号チェックサ
ムを、取り出された暗号チェックサムと比較するステッ
プと、計算された暗号チェックサムが取り出された暗号
チェックサムと一致しているときだけ、受け取った識別
ストリングを、暗号解読したあらかじめ決めた識別スト
リングと比較するステップを実行するステップとを含む
ことを特徴とする。
【0019】さらに、請求項11にかかる発明は、請求
項1に記載の方法において、センシティブ情報を暗号化
するステップは暗号化されたセンシティブ情報全体にわ
たって暗号チェックサムを計算するステップを含み、暗
号化されたセンシティブ情報をストアするステップは暗
号チェックサムを暗号化されたセンシティブ情報と一緒
にストアするステップを含むことを特徴とする。
【0020】さらに、請求項12にかかる発明は、イン
タラクティブ・テレビジョン・システムにおいてセンシ
ティブ情報を安全にストアするプロセッサ装置であっ
て、暗号キーをストアするための相対的に安全度の高い
記憶媒体(208)と、相対的に安全度の低い記憶媒体
(108,104)と、相対的に安全度の低い記憶媒体
に結合されていて、暗号キー(302)に応答してセン
シティブ情報を暗号化し、暗号化されたセンシティブ情
報を相対的に安全度の低い記憶媒体にストアする暗号化
器(202)とを備えていることを特徴とする。
【0021】さらに、請求項13にかかる発明は、請求
項12に記載の装置において、暗号解読器をさらに含
み、該暗号解読器は相対的に安全度の低い記憶媒体に結
合されていて、暗号キーに応答して暗号化されたセンシ
ティブ情報を相対的に安全度の低い記憶媒体から取り出
し、暗号化されたセンシティブ情報を暗号解読すること
を特徴とする。
【0022】さらに、請求項14にかかる発明は、請求
項13に記載の装置において、暗号解読器は取出し権限
をユーザに要求し、取出し権限をユーザから受け取った
ときだけ、暗号化されたセンシティブ情報を相対的に安
全度の低い記憶媒体から取り出し、暗号化されたセンシ
ティブ情報を暗号解読する回路を含むことを特徴とす
る。
【0023】さらに、請求項15にかかる発明は、請求
項14に記載の装置において、取出し権限を要求する回
路は、識別ストリングをユーザに要求する回路と、受け
取った識別ストリングをあらかじめ決めた識別ストリン
グと比較し、受け取った識別ストリングがあらかじめ決
めた識別ストリングと一致していれば、取出し権限が受
け取られたと判定する回路とを含むことを特徴とする。
【0024】さらに、請求項16にかかる発明は、請求
項15に記載の装置において、あらかじめ決めた識別ス
トリングは暗号化された形態で相対的に安全度の低い記
憶媒体にストアされ、暗号解読器は、さらに、暗号化さ
れたあらかじめ決めた識別ストリングを相対的に安全度
の低い記憶媒体から受け取る回路と、前記受け取った暗
号化されたあらかじめ決めた識別ストリングを暗号解読
する回路とを含むことを特徴とする。
【0025】さらに、請求項17にかかる発明は、請求
項12に記載の装置において、相対的に安全度の高い記
憶媒体は、マイクロプロセッサと、システム・バスを介
してマイクロプロセッサに結合されていて、暗号キーを
ストアするためのメモリとを含んでおり、暗号化器と暗
号解読器はマイクロプロセッサに含まれていることを特
徴とする。
【0026】さらに、請求項18にかかる発明は、請求
項17に記載の装置において、相対的に安全度の低い記
憶媒体は、別のマイクロプロセッサと、システム・バス
を介してマイクロプロセッサに結合されていて、暗号化
されたセンシティブ情報をストアするための読み書きメ
モリとを含んでいることを特徴とする。
【0027】さらに、請求項19にかかる発明は、請求
項18に記載の装置において、相対的に安全度の高い記
憶媒体はさらに入出力ポートを含み、該入出力ポートは
相対的に安定度の高い記憶媒体側のシステム・バスを介
して、相対的に安定度の高い記憶媒体側のマイクロプロ
セッサとメモリに結合されており、相対的に安定度の低
い記憶媒体はさらに入出力ポートを含み、該入出力ポー
トは相対的に安定度の低い記憶媒体側のシステム・バス
を介して、相対的に安定度の低い記憶媒体側の別のマイ
クロプロセッサとメモリに結合されており、相対的に安
定度の高い記憶媒体側の入出力ポートは相対的に安定度
の低い記憶媒体側の入出力ポートに結合されていること
を特徴とする。
【0028】さらに、請求項20にかかる発明は、請求
項12に記載の装置において、さらに、前記暗号化され
たセンシティブ情報全体にわたってチェックサムを生成
し、当該チェックサムを、ストアされた前記暗号化され
たセンシティブ情報に付加する回路と、ストアされた前
記暗号化されたセンシティブ情報全体にわたって別のチ
ェックサムを生成し、当該別のチェックサムを、前記ス
トアされた暗号化されたセンシティブ情報に付加された
前記チェックサムと比較する回路と、前記チェックサム
と前記別のチェックサムが同一であることを条件とし
て、前記ストアされた暗号化されたセンシティブ情報を
暗号解読する暗号解読器とを含むことを特徴とする。
【0029】
【発明の実施の形態】図1は、本発明を取り入れている
イタラクティブ・テレビジョン・デコーダを示すブロッ
ク図である。図1に示すように、セット・トップ・ボッ
クス(set topbox) 10はスマート・カード20に結合
されている。スマート・カード20は例えば、クレジッ
トカードとほぼ同サイズの小型デバイスであり、これは
セット・トップ・ボックス10内のコネクタ30に挿入
される。セット・トップ・ボックス10はCPU102
を内蔵しており、このCPUは、システム・バス110
を介して公知のようにRAM104、ROM106、E
EPROM108および入出力(I/O)ポート112
に結合されている。セット・トップ・ボックス10は他
の入出力ポート(図示せず)も備えており、これらもシ
ステム・バス110に結合されている。これらの入出力
ポートは、例えば、ブロードキャスト・インタラクティ
ブ・テレビジョン・コンポジット信号を受信し、テレビ
ジョン・モニタおよびスピーカ用のビデオ信号とオーデ
ィオ信号を出力し、電話システム経由でリモート・コン
ピュータに接続し、および/または視聴者ロケーション
に置かれたローカル・パーソナル・コンピュータに接続
するためのものである。入出力アダプタをどのように設
計し製造すると、これらのサービスが得られるか、ま
た、これらのアダプタをどのようにシステム・バス11
0に接続するかは、コンピュータ・システム設計分野に
精通したものならば当然に理解されることである。
【0030】スマート・カード20はCPU202を内
蔵し、このCPUは、システム・バス210を介して公
知のようにRAM204、ROM206、EEPROM
208および入出力ポート212に結合されている。セ
ット・トップ・ボックス10側の入出力ポート112
は、コネクタ30を介してスマート・カード20側の入
出力ポート212に結合されている。
【0031】図2は一部がブロック図に、一部がデータ
フロー図になっているが、これは、図1に示すセット・
トップ・ボックス10とスマート・カード20のオペレ
ーションの理解を容易にするためである。図2に示すエ
レメントで、図1に示されているものには、同一の参照
符号を付けてあり、以下で詳しく説明することは省略す
る。図2に示すラインは図示エレメント間のデータの流
れを示すもので、それぞれの物理的接続を示したもので
はない。
【0032】図1を参照してオペレーションを説明する
と、セット・トップ・ボックス10内のCPU102は
RAM104、EEPROM108、および入出力ポー
ト112などの入力ポートからデータを取り出し、その
データを処理し、処理したデータをRAM104やEE
PROM108にストアしておくことも、処理したデー
タを入出力ポート112などの出力ポートへ渡すことも
できるが、これらはすべて、ROM106に格納されて
いるプログラムの制御を受けて公知の方法で行われる。
図2に示すように、EEPROM108は、システムに
関する情報420を収めているシステム部分416と、
ユーザに関する情報422を収めているユーザ部分41
8を含むように区画化されている。同様に、RAM10
4も、システムに関する情報を収めているシステム部分
424と、ユーザに関する情報を収めているユーザ部分
426を含むように区画化されている。
【0033】ブロードキャストまたは電話リンク(図示
せず)を介してセット・トップ・ボックス10に渡され
るインタラクティブ・プログラムはトークンの形体にな
っており、これは、公知のように、セット・トップ・ボ
ックス10内のインタプリタによって解釈される。イン
タラクティブ・プログラムは1つまたは2つ以上のコー
ド・モジュールと、場合によっては、1つまたは2つ以
上のデータ・モジュールとからなっている。図4に示す
ように、コード・モジュールはRAM104内のコード
・セクション402に格納され、データ・モジュールは
データ・セクション404に格納されている。ROM1
06に格納されているインタプリタ406はセット・ト
ップ・ボックス10内のCPU102によって実行さ
れ、それぞれがRAM104のコード・セクション40
2とデータ・セクション404に置かれているコード・
モジュールとデータ・モジュールを解釈するように動作
する。インタラクティブ・プログラムは、インタプリタ
406の制御の下でデータをデータ部分404から読み
取り、そのデータを処理し、変更したデータをデータ部
分404に書き戻すことができる。また、インタプリタ
406は、同じくROM106に格納されているハード
ウェア・ドライバ408へのプログラム・コールを通し
て、公知のようにセット・トップ・ボックス10内のハ
ードウェアともやりとりする。
【0034】ライブラリ・ルーチン群410は、インタ
プリタ406からプログラム・コールを通してアクセス
可能であるが、共通に必要になるファンクション(funct
ions) 用に用意されたものである。スマート・カード入
出力ドライバ408A、EEPROM108、およびR
AM104,424および426のシステム部分とユー
ザ部分がアクセスできるのは、ライブラリ・ルーチン4
10への正しいコールを通してだけである。ライブラリ
・ルーチン410はユーザの許可を要求し、それを受け
取ってからセンシティブ情報を上記ソースのいずれかか
らインタラクティブ・システムへ返却するように事前に
プログラムしておくことが可能である。基本的には、ラ
イブラリ・ルーチン410は、それぞれEEPROM1
08およびRAM104,424,426のシステム部
分とユーザ部分に格納されているデータのソフトウェア
・ゲートキーパ(門番)の働きをする。ライブラリ・ル
ーチン410にゲートキーパ機能があるために、EEP
ROM108およびRAM104,424,426のシ
ステム部分とユーザ部分は、それぞれRAM104,4
02,404のコード部分とデータ部分よりも相対的に
安全度の高い記憶媒体になっている。さらに、EEPR
OM108はRAM104から物理的に切り離されてい
るので、EEPROM108はRAM104よりも相対
的に安全度の高い記憶媒体になっている。
【0035】図1に戻って説明すると、スマート・カー
ド20内のCPU202は、入出力ポート212経由で
セット・トップ・ボックス10からデータを受け取り、
その情報を処理し、入出力ポート212経由で情報をセ
ット・トップ・ボックス10へ返却するようにプログラ
ムされており、これらはすべてROM204に格納され
たプログラムの制御の下で行われる。ROM204に事
前プログラムされているオペレーションだけが、スマー
ト・カード20内のCPU202によって実行される。
例えば、セット・トップ・ボックス10の購入時に、購
入者をユニークに識別すると共に、暗号解読(および暗
号)キーの働きをするマスタ・キーは、入力ポート21
2からスマート・カード20に入力される。マスタ・キ
ーは非常にセンシティブな情報である。スマート・カー
ド20内のCPU202はマスタ・キーをEEPROM
208にストアするようにプログラムされている。図2
に示すように、スマート・カード20内のEEPROM
208はシステム部分とユーザ部分に分割することが可
能である。CPU202はマスタ・キー302をEEP
ROM208のシステム部分にストアする。
【0036】図1に戻って説明すると、暗号化されたデ
ータがブロードキャストからセット・トップ・ボックス
10によって受信され、暗号解読する必要があるとき
は、その暗号化データは入出力ポート212からスマー
ト・カード20に渡される。スマート・カード20内の
CPU202はEEPROM208に以前にストアされ
ていたマスタ・キー302を使用して、暗号化データを
暗号解読し、プレーンテキスト(plaintext) を入出力ポ
ート212経由でセット・トップ・ボックス10へ返却
する。同様に、CPU202は入出力ポート212から
受け取ったプレーンテキストを暗号化し、暗号化された
データを入出力ポート212経由でセット・トップ・ボ
ックス10へ送り返す。CPU202はマスタ・キー3
02をセット・トップ・ボックス10へ戻すようにプロ
グラムされていないので、セット・トップ・ボックス1
0で実行されているプログラムがマスタ・キー302を
変更したり、取得したりすること、場合によっては、マ
スタ・キーを盗むことは不可能である。CPU202は
スマート・カード20に格納されたデータのハードウェ
ア・ゲートキーパ(門番)の働きをするので、セット・
トップ・ボックス10側のEEPROM108またはR
AM104よりも相対的に安全度が高く、非常に安全度
の高い記憶媒体になっている。
【0037】上述したように、セット・トップ・ボック
ス10側のEEPROM108とRAM104はスマー
ト・カード20側のCPU202のようなハードウェア
・ゲートキーパによって保護されていない。その代わり
に、EEPROM108とRAM104の保護はライブ
ラリ・ルーチン410を通してソフトウェアで実現され
ている。しかし、EEPROM108とRAM104は
ソフトウェアによって保護されるので、その保護が偶然
にしろ、意図的にしろ、他のソフトウェアによって違反
される可能性が常にある。インタラクティブ・プログラ
ムは、保護ソフトウェアをだますことによってEEPR
OM108またはRAM104へアクセスできる潜在性
をもっている。例えば、正しくないデータがリロケーシ
ョン(再配置)プロセス期間にプログラム・ローダ(図
示せず)に渡されたり、あるいはプログラム・スタック
(図示せず)がプログラム実行中に意図的にオーバフロ
ーしたりするおそれがある。要するに、ソフトウェア保
護が他のプログラムによって破られるおそれがある。
【0038】上述したように、最も安全度が高い記憶媒
体はスマート・カード20であり、次に安全度が高いの
はセット・トップ・ボックス10内のEEPROM10
8であり、次がRAM104のシステム部分412とユ
ーザ部分414であり、最も安全度が低いのがRAM1
04のコード部分402とデータ部分404である。セ
ンシティブ情報のセキュリティ(安全保護)を最大にす
るには、この情報は、マスタ・キー302と同じよう
に、スマート・カード20側のEEPROM208に置
いておくべきである。しかし、スマート・カード20側
のEEPROM208のサイズは限られているので、セ
ンシティブ情報をストアできるスペースはわずかしか残
っていない場合がある(マスタ・キー302は別とし
て)。あるいは、スペースがまったく残っていない場合
も起こり得る。セット・トップ・ボックス10側のEE
PROM108のサイズも、同様に限られているので、
センシティブ情報をストアできるスペースはわずかしか
残っていない場合もあれば、まったく残っていない場合
もある。従って、ユーザのセンシティブ情報の大部分は
RAM104にストアせざる得ないことになるが、これ
は最も安全度の低い記憶媒体である。
【0039】スマート・カード20にストアできる以上
のセンシティブ情報量を安全にストアするために、ま
ず、センシティブ情報は上述したように、スマート・カ
ード20にストアされたマスタ・キー302を使用してス
マート・カード20側のCPU202によって暗号化さ
れる(例えば、データ暗号化規格(Data Encryption Sta
ndard - DES)を使用して)。そのあと、暗号化され
たセンシティブ情報は相対的に安全度の低いEEPRO
M108にストアすることも、RAM104のシステム
部分412またはデータ部分414にストアすることも
可能である。さらに、センシティブ情報の変更を防止す
るために、センシティブ情報全体にわたる暗号チェック
サムも、例えば、市販されているハッシュ関数 MD5など
の、一方向暗号ハッシュ関数(one-way cryptographic h
ash function) を使用して計算され、情報に付加され
る。(MD5はCounterpane Systems 社、730 Fair Oak
s Ave., Oak Park Illinois, 60302からディスケットに
入って提供されている。)チェックサムはプレーンテキ
ストのセンシティブ情報全体にわたって生成すること
も、暗号化されたセンシティブ情報全体にわたって生成
することも、その両方で生成することも可能である。好
適実施例では、チェックサムは暗号化されたセンシティ
ブ情報全体にわたって生成されている。チェックサム
は、CPU202またはCPU102を使用してソフト
ウェアで生成することも、バス構造に結合された専用ハ
ードウェア・ハッシュ関数エレメント(図示せず)で生
成することも可能である。暗号化されたセンシティブ情
報をアクセスできないプログラムは、スマート・カード
20に格納されているマスタ・キー302がなければ、
その情報を暗号解読して、読み取ることはできない。さ
らに、暗号化された情報を変更しようとしても、その試
みは、以前に計算されて情報に付加された暗号チェック
サムと、新たに取り出したセンシティブ情報全体にわた
って同じように計算された暗号チェックサムとの不一致
によって検出される。
【0040】スマート・カード20はデータを暗号化す
る前に、ユーザの許可を要求する。これは、パーソナル
識別番号(PIN)をユーザに要求することにより行わ
れる。なお、このPINは好ましくは4〜6文字のID
になっている。PINはセット・トップ・ボックス10
のベンダに選択させ、あとでユーザが変更することがで
きる。ユーザが与えたPINが現在格納されているPI
Nに一致していれば、データは暗号解読される。正しく
ないPINがあらかじめ決めた回数(例えば、4回)続
けて入力されると、ユーザ以外のだれかがセット・トッ
プ・ボックス10に侵入しようとしているものとみなさ
れるので、マスタ・キー302は使用禁止にされる。
【0041】図2に示すように、セキュリティを最大に
するために、PIN304はスマート・カード20にス
トアされる。PIN304はわずか4〜6文字であり、
4〜6バイトにストアできるため、スマート・カード2
0側のEEPROM208にはPIN304をストアす
るだけの空きスペースを残すことができる。スマート・
カード20側のCPU202がPIN304をリリース
しないようにプログラムされていれば、PIN304を
より安全に格納しておくことができる。視聴者が正しい
PIN304を与えたときだけ、スマート・カード20
は、要求側プログラムのためにセンシティブ・データを
暗号解読する。これにより、センシティブ・データのリ
リースは安全な状態で視聴者の制御下に置かれることに
なる。
【0042】二次暗号キー、クレジットカード番号など
のように、電源障害が起こったときユーザが残しておき
たいと思っているセンシティブ情報は、セット・トップ
・ボックス10側のEEPROM108にストアされ
る。この情報はスマート・カード20に入っているマス
タ・カード302を使用して暗号化される。暗号化され
たセンシティブ・システム情報420はセット・トップ
・ボックス10側のEEPROM108のシステム部分
416にストアされ、暗号化されたセンシティブ・ユー
ザ情報422はEEPROM108のユーザ部分418
にストアされる。暗号化されたセンシティブ・システム
情報420またはユーザ情報422をアクセスしようと
する不正プログラムはその暗号解読をスマート・カード
20に要求しなければならないので、ユーザから正しい
PINを受け取らない限り、スマート・カード20はそ
の要求を拒否することになる。PINをランダムに送っ
てスマート・カードに侵入しようとすると、その試みが
数回失敗したあとでマスタ・キー302は使用禁止にさ
れる。
【0043】しかし、上述したように、EEPROM1
08も、センシティブ情報をストアできるスペースが限
られている。従って、電源障害が起こったとき残してお
きたい重要な情報だけが上記と同じようにEEPROM
108にストアされる。図3に示すように、相対的に安
定度の低いRAM104には、もっと多くのセンシティ
ブ情報をストアすることが可能である。この情報は暗号
化され、暗号チェックサムはEEPROM108のシス
テム部分416に暗号化形式で格納されている二次暗号
キーの1つを使用して付加される。暗号化されたセンシ
ティブ・システム情報はRAM104のシステム部分4
12にストアされ、暗号化されたセンシティブ・ユーザ
情報はRAM104のユーザ部分414にストアされ
る。RAM104のメモリ要求量は低下しているので、
もっと多くのセンシティブ情報をRAM104にストア
することができる。
【0044】この情報をアクセスするには、EEPRO
M108に格納されている、暗号化された二次暗号キー
がまず暗号解読されなければならない。二次暗号キー自
体も、スマート・カード20に格納されたマスタ・キー
302を使用して以前に暗号化されているので、上述し
たように、この二次暗号キーがスマート・カード20に
よって暗号解読されるのは、これも上述したように、ユ
ーザの許可を受け取ったあとだけである。暗号解読され
た二次キーがスマート・カード20から返されれば、R
AM104にストアされたセンシティブ情報はこのキー
を使用して暗号解読することができる。RAM104に
は、EEPROM108やスマート・カード20よりも
多くのスペースが残っているので、より多くのセンシテ
ィブ情報をRAM104にストアすることができる。そ
の場合でも、この情報が無断アクセスから保護されてい
るのは、その暗号解読のためには、スマート・カード2
0にストアされているマスタ・キーが最終的に必要にな
るためである。
【0045】図4に示すように、上述した手法はユーザ
PINをストアするだけのスペースがスマート・カード
20に残っていない場合でも使用することができる。図
4に示すように、マスタ・キー302だけがスマート・
カード20にストアされている。PINは暗号化され、
暗号チェックサムはマスタ・キー302を使用して付加
され、暗号化されたPIN304′はシステム情報42
0の一部として、セット・トップ・ボックス10側のE
EPROM108のシステム部分416にストアされ
る。図4に示す実施例では、スマート・カード20はデ
ータを暗号解読するように要求されると、暗号化された
PIN304′をEEPROM108から取り出し、そ
れを暗号解読して、その暗号チェックサムを以前にスト
アされた暗号チェックサムと比較する。暗号チェックサ
ムが同一であれば、PINがユーザに要求され、暗号解
読されたPINと比較される。これらが同一であれば、
要求されたデータが暗号解読される。上述したように、
正しくないPIN番号が続けて入力されると、マスタ・
キー302のオペレーションは禁止される。また、上述
したように、センシティブ情報は暗号化してRAM10
4にストアすることができる。
【0046】セット・トップ・ボックス10の特定実施
例によれば、独自の公用−私用キーのペアが生成され、
ストアされ、管理されるようになっている。このような
実施例では、セット・トップ・ボックス、つまり、BO
Xは、シグネーチャ(署名)に対してRivest、 Shamirお
よびAdleman 公用キー・アルゴリズムRSAを採用する
ように構成されている。RSAアルゴリズムでは、2つ
の基数pとq(ただし、p<q)、およびサイズBOX PU
BLIC MODULUS SIZE/2 とサイズBOX EXPONENT SIZE の任
意の指数“e”の各々を生成し、ストアすることが要件
になっている。これらの3つの値p,q,eからは、R
SA暗号化を行うための、他のすべてのパラメータを求
めるとき必要になる一切の情報が得られる。しかし、公
用キーの各シグネーチャまたは照会ごとに他のパラメー
タを求めるために計算負担(penalty) が伴うことは望ま
しくないので、システムはパラメータを一度だけ(また
は少なくともBOXがリセットされるたびに)生成し、
それぞれの値をストアしておいて、反復的に使用するよ
うにしている。これらの値はBOX内の安全保護された
不揮発性メモリにストアしておくべきであるが、この種
の記憶容量は上述したように限られている。従って、こ
れらの値はRAMに安全にストアされて、データの保全
性と機密性が保証されるようにしている。
【0047】上述したことは次のように行われる。値p
とqは生成されるか、あるいは与えられて、BOXモジ
ュラス(modulus) “n”がn=p×qに従ってBOX
CPU102またはスマート・カードCPU202によ
って計算される。BOX EXPONENT値“e”は
選択されるか、あるいはあらかじめ決められて、EEP
ROM108などの不揮発性ストレージ(storage) にス
トアされる。値nとeは、アクセスを容易にするために
プレーンテキストとしてRAM104にストアされる。
値nとeは公用キーとなり、従って、公用キー・システ
ムでは公衆に知らされるので、機密に保持しておく必要
はない。値pとqは、シード・ワード(seed word) が1
28ビットに初期設定されている疑似乱数ジェネレータ
を使用して生成される。この疑似乱数ジェネレータは、
少なくともその一部にMD5などのハッシュ関数を含め
ることができ、CPUによってソフトウェアで実行させ
ることが可能である。
【0048】その他の値(私用キーを得るための)はC
PUによって次のように計算される。
【0049】1.dp=e-1(mod(p−1)) 2.dp=e-1(mod(q−1)) 3.p-1(mod q) 4.p0primeおよびq0prime(Montgomery縮小(reducti
on) のために使用される単一単位値) 値1〜4はランダムに選択したDESキーKを使用して
暗号化され、暗号化されたデータはRAM104にスト
アされる。ハッシュ(例えば、MD5)は、少なくとも
RAM内のこのデータについて行われ、チェックサムC
が生成される。値p,q,e,KおよびCは安全保護さ
れた不揮発性ストレージ208にストアされる。チェッ
クサムは安全保護されたストレージにストアされたデー
タ全体にわたって生成され、データに付加される。この
ようにして、データが相対的に安全度の低いRAM10
4に置かれていても、その保全性と機密性が保持される
ことになる。
【0050】RAM内のデータが利用される前に、不揮
発性メモリ内の安全保護データ全体にわたってチェック
サムがとられ、付加されているチェックサムと突合わせ
検査される。これらのチェックサムが同一であれば、チ
ェックサムCが安全保護された不揮発性ストレージ20
8からアクセスされ、保全性チェックがRAMデータに
ついて行われる。つまり、RAMデータでハッシュが行
われて、別のチェックサムC* が生成され、これは対応
するチェックサムCと比較される。この比較または以前
の比較が失敗したときは、データは壊れているものとみ
なされ、安全保護データとRAM記憶データはデフォル
ト値にセットされる。これらのチェックサムが同一であ
れば、キーKがアクセスされ、RAMデータが暗号解読
され、利用されることになる。つまり、アイテム1〜4
がアクセスされ、私用キー暗号化で使用される。DES
暗号化はスマート・カード20によって行われるが、こ
れは好ましい方法である。別の方法として、BOXに別
の暗号化/暗号解読ハードウェアを含めることも可能で
あり、その場合は、このハードウェアがアクセスされて
RAM内の値のDES暗号化と暗号解読が行われること
になる。
【0051】上述した手法を使用すると、相対的に安全
度の高い記憶媒体に格納された暗号キーを使用して情報
を暗号化し、暗号化されたセンシティブ情報を相対的に
安全度の低い記憶媒体にストアしておくことができるの
で、相対的に大量のセンシティブ情報を安全な状態で相
対的に安全度の低い記憶媒体にストアしておくことがで
きる。
【0052】図5はマルチメディアまたはインタラクテ
ィブ・テレビジョン・レシーバをブロック図で示してい
る。信号はアンテナ80によって検出され、チューナ検
出器81に入力され、そこで受信信号の特定の周波数バ
ンドが抽出され、ベースバンド多重化パケット信号が得
られる。周波数バンドは、システム・コントローラ89
(以下、IRDコントローラという)を通してユーザに
よって選択されるが、その方法は従来と同じである。公
称的には、ブロードキャスト信号は、例えば、Reed-Sol
omon順方向エラー訂正(forward error correcting - F
EC)符号化を使用して、すでにエラー符号化されてい
る。従って、ベースバンド信号はFECデコーダ82に
入力される。FECデコーダ82は受信ビデオを同期化
し、定期的に、あるいは例えば、メモリ・コントローラ
87から要求があったとき、パケットを出力する。どち
らの場合も、パケット・フレーム化または同期信号はF
EC回路から得られ、それぞれのパケット情報がFEC
82から送出された回数を示している。
【0053】単一プログラム信号からのパケットだけが
レシーバによって処理される。この例では、多重化パケ
ット・ストリームからどのパケットが選択されるかは、
ユーザが知らないものと想定している。この情報はプロ
グラム・ガイドに入っているが、このガイド自体もプロ
グラムであり、それぞれのサービス・チャネルID、つ
まり、SCIDを通してプログラム信号コンポーネント
を相互に関係づけるデータからなっている。プログラム
・ガイドは各プログラム別にリストしたもので、そこに
は、それぞれのプログラムのオーディオ、ビデオ、およ
びデータ・コンポーネントのSCIDが含まれている。
プログラム・ガイドには、一定のSCIDが割り当てら
れている。レシーバに電源が入ったとき、IRDコント
ローラ89はプログラム・ガイドに関連するSCIDを
SCID検出器84にロードするようにプログラムされ
ている。なお、SCID検出器は整合フィルタのバンク
にすることができる。プログラム・ガイドSCIDが検
出されると、メモリ・コントローラ87は対応するパケ
ット・ペイロードをメモリ88内のあらかじめ決めたロ
ケーションに送るように条件づけられており、これはI
RDコントローラによって使用される。
【0054】IRDコントローラは、インタフェース9
0を通してユーザからプログラミング・コマンドが送ら
れてくるのを待っている。なお、インタフェースはキー
ボードが図示されているが、これは従来のリモート・コ
ントロールにすることも、レシーバ・フロント・パネル
・スイッチにすることも可能である。ユーザはチャネル
4(アナログTVシステムで通常言われている用語)か
ら送られてきたプログラムを見ることを要求したとす
る。IRDコントローラ89は、チャネル4のプログラ
ム・コンポーネントのそれぞれのSCID別にメモリ8
8にロードされていたプログラム・ガイド・リストをス
キャンし、これらのSCIDをSCID検出器84にロ
ードするようにプログラムされている。
【0055】要求されたプログラムのオーディオ、ビデ
オまたはデータ・プログラム・コンポーネントの受信パ
ケットは、最終的には、それぞれのオーディオ・プロセ
ッサ93、ビデオ・プロセッサ92、または補助データ
信号プロセッサ91(94)へ送らなければならない。
データは相対的に一定のレートで受信されるが、信号プ
ロセッサは、公称的には、データがバーストで入力され
ることを要求している(ただし、例えば、圧縮復元(伸
張)のそれぞれのタイプによる)。図5に例示するシス
テムでは、まず、それぞれのパケットはメモリ88内の
あらかじめ決めたメモリ・ロケーションへ送られる。そ
のあと、それぞれのプロセッサ91〜94はコンポーネ
ント・パケットをメモリ88に要求する。コンポーネン
トをメモリ経由で送るようにすると、ある程度の望まし
い信号データ・レートのバッファリングやスロットリン
グを行うことができる。
【0056】オーディオ、ビデオおよびデータ・パケッ
トはそれぞれのあらかじめ決めたメモリ・ロケーション
にロードされ、各プロセッサがコンポーネント・データ
を容易にアクセスできるようにしている。それぞれのコ
ンポーネント・パケットのペイロードは、対応するSC
IDと、SCID検出器から出された制御信号に応じて
該当のメモリ・エリアにロードされる。この関連付けは
メモリ・コントローラ87 にハードワイヤ(hardwired)
することができるが、プログラマブルにすることも可能
である。
【0057】それぞれの信号パケットはFEC82から
信号デスクランブラ(signal descrambler)86を経由し
てメモリ・コントローラ87に結合されている。それぞ
れの信号パケットはヘッダとペイロードを含んでいる。
信号ペイロードだけがスクランブルされ、パケット・ヘ
ッダは未変更のままデスクランブラによってパスされ
る。パケットがデスクランブルされるかどうかはパケッ
ト・ヘッダのフラグによって決まり、パケットがどのよ
うにデスクランブルされるかはパケット・ヘッダの二番
目のフラグによって決まる。このパケット・デスクラン
ブリングは、上述したアプリケーション・モジュール・
セキュリティ処理からほぼ独立している。
【0058】インタラクティブ・システムには、マルチ
メディア信号のデータ部分と共に動作できる複数のデバ
イスを含めることが可能である。例えば、図5におい
て、AUX1プロセッサとAUX2プロセッサはどちら
も、信号のデータ部分に応答して動作するようになって
いる。AUX1プロセッサは、送信株式市場データを検
出し、そのデータを送信インタラクティブ・アプリケー
ションで操作するように構成されたパーソナル・コンピ
ュータPCにすることができる。AUX2は、送信イン
タラクティブ・コマーシャルと関連づけてインタラクテ
ィブな衝動買いができるように構成されたテレビジョン
・システムにすることができる。なお、インタラクティ
ブは、図5のシステムと相互接続された電話モデム(図
示せず)を使用すると容易化される。さらに、IRDコ
ントローラ89は、特にシステム保守を目的に、送信ア
プリケーションを処理し、実行するようにプログラムす
ることが可能である。
【0059】この例において上述したセンシティブ情報
のストアはシステム・コントローラ89によって行われ
るが、この例では、システム・コントローラはROM、
安全保護された不揮発性ストレージおよびスマート・カ
ードを含んでいるものと想定している。RAM104は
メモリ88のあらかじめ決めたブロックで構成すること
が可能である。ハードウェア・ドライバ408はメモリ
・コントローラ87に含まれている。この例では、図5
に示すアイテムはすべてセット・トップ・ボックスに含
まれている。
【図面の簡単な説明】
【図1】本発明を取り入れているインタラクティブ・テ
レビジョン・デコーダを示すブロック図である。
【図2】本発明を取り入れているセット・トップ・ボッ
クスのオペレーションを、一部はブロック図で、一部は
データフロー図で示した図である。
【図3】本発明を取り入れているセット・トップ・ボッ
クスのオペレーションを、一部はブロック図で、一部は
データフロー図で示した図である。
【図4】本発明を取り入れているセット・トップ・ボッ
クスのオペレーションを、一部はブロック図で、一部は
データフロー図で示した図である。
【図5】本発明を実装できるレシーバを示すブロック図
である。
【符号の説明】
104 相対的に安全度の低い記憶媒体 108 相対的に安全度の低い記憶媒体 202 暗号化器 208 相対的に安全度の高い記憶媒体 302 暗号キー

Claims (20)

    【特許請求の範囲】
  1. 【請求項1】 相対的に安全度の高い記憶媒体と相対的
    に安全度の低い記憶媒体とを備えたコンピュータ・シス
    テムにおいて、センシティブ情報を相対的に安全度の低
    い記憶媒体にストアする方法であって、 暗号キーを使用してセンシティブ情報を暗号化するステ
    ップと、 暗号化されたセンシティブ情報を相対的に安全度の低い
    記憶媒体にストアするステップと、 暗号キーを相対的に安全度の高い記憶媒体にストアする
    ステップとを含むことを特徴とする方法。
  2. 【請求項2】 請求項1に記載の方法において、 相対的に安全度の高い記憶媒体はプロセッサとメモリを
    含んでおり、さらに、 暗号キーをストアするステップは、 暗号キーをプロセッサに与えるステップと、 暗号キーをプロセッサからメモリに転送するステップと
    を含み、 センシティブ情報を暗号化するステップは、 センシティブ情報をプロセッサに与えるステップと、 プロセッサ内のセンシティブ情報を、以前にメモリにス
    トアされた暗号キーを使用して暗号化するステップと、 相対的に安全度の低い記憶媒体にストアするために、暗
    号化されたセンシティブ情報をプロセッサから返却する
    ステップとを含むことを特徴とする方法。
  3. 【請求項3】 請求項1に記載の方法において、 暗号化されたセンシティブ情報を相対的に安全度の低い
    記憶媒体から取り出すステップと、 取り出された暗号化されたセンシティブ情報を暗号キー
    を使用して暗号解読するステップとをさらに含むことを
    特徴とする方法。
  4. 【請求項4】 請求項1に記載の方法において、 相対的に安全度の高い記憶媒体はプロセッサとメモリを
    含んでおり、さらに、 センシティブ情報を暗号解読するステップは、 取り出された暗号化されたセンシティブ情報をプロセッ
    サに与えるステップと、 プロセッサ内の取り出されたセンシティブ情報を暗号キ
    ーを使用して暗号解読するステップと、 暗号解読されたセンシティブ情報をプロセッサから返却
    するステップとを含むことを特徴とする方法。
  5. 【請求項5】 請求項3に記載の方法において、 センシティブ情報を暗号化するステップは暗号化された
    センシティブ情報全体にわたって暗号チェックサムを計
    算するステップを含み、 暗号化されたセンシティブ情報をストアするステップは
    暗号チェックサムをストアするステップを含み、 暗号解読するステップは、 以前にストアされた暗号チェックサムを取り出すステッ
    プと、 ストアされた暗号化されたセンシティブ情報全体にわた
    って暗号チェックサムを計算するステップと、 以前にストアされた暗号チェックサムを、新たに計算さ
    れた暗号チェックサムと比較するステップと、 以前にストアされた暗号チェックサムが新たに計算され
    た暗号チェックサムと不一致であれば、エラーを返却す
    るステップとを含むことを特徴とする方法。
  6. 【請求項6】 請求項3に記載の方法において、 取り出すステップの前に、 取出し権限をユーザに要求するステップと、 取出し権限をユーザから受け取ったときだけ、取出しス
    テップと暗号解読ステップを実行するステップとをさら
    に含むことを特徴とする方法。
  7. 【請求項7】 請求項6に記載の方法において、 取出し権限を要求するステップは、 識別ストリング(string)をユーザに要求するステップ
    と、 ユーザから識別ストリングを受け取るステップと、 受け取った識別ストリングを、あらかじめ決めた識別ス
    トリングと比較するステップと、 受け取った識別ストリングがあらかじめ決めた識別スト
    リングと一致していれば、取出し権限がユーザから受け
    取られたと判定するステップとを含むことを特徴とする
    方法。
  8. 【請求項8】 請求項7に記載の方法において、 暗号キーをストアするステップはあらかじめ決めた識別
    ストリングを相対的に安全度の高い記憶媒体にストアす
    るステップを含むことを特徴とする方法。
  9. 【請求項9】 請求項7に記載の方法において、 暗号キーをストアするステップは、 あらかじめ決めた識別ストリングを暗号キーを使用して
    暗号化するステップと、 暗号化されたあらかじめ決めた識別ストリングを相対的
    に安全度の低い記憶媒体にストアするステップとを含
    み、 比較するステップは、 暗号化されたあらかじめ決めた識別ストリングを相対的
    に安全度の低い記憶媒体から取り出すステップと、 暗号化されたあらかじめ決めた識別ストリングを暗号ス
    トリングを使用して暗号解読するステップと、 ユーザからの識別ストリングを、暗号解読されたあらか
    じめ決めた識別ストリングと比較するステップとを含む
    ことを特徴とする方法。
  10. 【請求項10】 請求項9に記載の方法において、 あらかじめ決めた識別ストリングを暗号化するステップ
    はあらかじめ決めた識別ストリング全体にわたって暗号
    チェックサムを計算するステップを含み、 暗号化されたあらかじめ決めた識別ストリングをストア
    するステップは暗号チェックサムも相対的に安全度の低
    い記憶媒体にストアするステップを含み、 暗号化されたあらかじめ決めた識別ストリングを取り出
    すステップは以前にストアされた暗号チェックサムも取
    り出すステップを含み、 暗号化されたあらかじめ決めた識別ストリングを暗号解
    読するステップは、 あらかじめ決めた識別ストリング全体にわたって暗号チ
    ェックサムを計算するステップと、 計算された暗号チェックサムを、取り出された暗号チェ
    ックサムと比較するステップと、 計算された暗号チェックサムが取り出された暗号チェッ
    クサムと一致しているときだけ、受け取った識別ストリ
    ングを、暗号解読したあらかじめ決めた識別ストリング
    と比較するステップを実行するステップとを含むことを
    特徴とする方法。
  11. 【請求項11】 請求項1に記載の方法において、 センシティブ情報を暗号化するステップは暗号化された
    センシティブ情報全体にわたって暗号チェックサムを計
    算するステップを含み、 暗号化されたセンシティブ情報をストアするステップは
    暗号チェックサムを暗号化されたセンシティブ情報と一
    緒にストアするステップを含むことを特徴とする方法。
  12. 【請求項12】 インタラクティブ・テレビジョン・シ
    ステムにおいてセンシティブ情報を安全にストアするプ
    ロセッサ装置であって、 暗号キーをストアするための相対的に安全度の高い記憶
    媒体と、 相対的に安全度の低い記憶媒体と、 相対的に安全度の低い記憶媒体に結合されていて、暗号
    キーに応答してセンシティブ情報を暗号化し、暗号化さ
    れたセンシティブ情報を相対的に安全度の低い記憶媒体
    にストアする暗号化器とを備えていることを特徴とする
    装置。
  13. 【請求項13】 請求項12に記載の装置において、 暗号解読器をさらに含み、該暗号解読器は相対的に安全
    度の低い記憶媒体に結合されていて、暗号キーに応答し
    て暗号化されたセンシティブ情報を相対的に安全度の低
    い記憶媒体から取り出し、暗号化されたセンシティブ情
    報を暗号解読することを特徴とする装置。
  14. 【請求項14】 請求項13に記載の装置において、 暗号解読器は取出し権限をユーザに要求し、取出し権限
    をユーザから受け取ったときだけ、暗号化されたセンシ
    ティブ情報を相対的に安全度の低い記憶媒体から取り出
    し、暗号化されたセンシティブ情報を暗号解読する回路
    を含むことを特徴とする装置。
  15. 【請求項15】 請求項14に記載の装置において、 取出し権限を要求する回路は、 識別ストリングをユーザに要求する回路と、 受け取った識別ストリングをあらかじめ決めた識別スト
    リングと比較し、受け取った識別ストリングがあらかじ
    め決めた識別ストリングと一致していれば、取出し権限
    が受け取られたと判定する回路とを含むことを特徴とす
    る装置。
  16. 【請求項16】 請求項15に記載の装置において、 あらかじめ決めた識別ストリングは暗号化された形態で
    相対的に安全度の低い記憶媒体にストアされ、暗号解読
    器は、さらに、 暗号化されたあらかじめ決めた識別ストリングを相対的
    に安全度の低い記憶媒体から受け取る回路と、 前記受け取った暗号化されたあらかじめ決めた識別スト
    リングを暗号解読する回路とを含むことを特徴とする装
    置。
  17. 【請求項17】 請求項12に記載の装置において、 相対的に安全度の高い記憶媒体は、 マイクロプロセッサと、 システム・バスを介してマイクロプロセッサに結合され
    ていて、暗号キーをストアするためのメモリとを含んで
    おり、 暗号化器と暗号解読器はマイクロプロセッサに含まれて
    いることを特徴とする装置。
  18. 【請求項18】 請求項17に記載の装置において、 相対的に安全度の低い記憶媒体は、 別のマイクロプロセッサと、 システム・バスを介してマイクロプロセッサに結合され
    ていて、暗号化されたセンシティブ情報をストアするた
    めの読み書きメモリとを含んでいることを特徴とする装
    置。
  19. 【請求項19】 請求項18に記載の装置において、 相対的に安全度の高い記憶媒体はさらに入出力ポートを
    含み、該入出力ポートは相対的に安定度の高い記憶媒体
    側のシステム・バスを介して、相対的に安定度の高い記
    憶媒体側のマイクロプロセッサとメモリに結合されてお
    り、 相対的に安定度の低い記憶媒体はさらに入出力ポートを
    含み、該入出力ポートは相対的に安定度の低い記憶媒体
    側のシステム・バスを介して、相対的に安定度の低い記
    憶媒体側の別のマイクロプロセッサとメモリに結合され
    ており、 相対的に安定度の高い記憶媒体側の入出力ポートは相対
    的に安定度の低い記憶媒体側の入出力ポートに結合され
    ていることを特徴とする装置。
  20. 【請求項20】 請求項12に記載の装置において、 さらに、前記暗号化されたセンシティブ情報全体にわた
    ってチェックサムを生成し、当該チェックサムを、スト
    アされた前記暗号化されたセンシティブ情報に付加する
    回路と、 ストアされた前記暗号化されたセンシティブ情報全体に
    わたって別のチェックサムを生成し、当該別のチェック
    サムを、前記ストアされた暗号化されたセンシティブ情
    報に付加された前記チェックサムと比較する回路と、 前記チェックサムと前記別のチェックサムが同一である
    ことを条件として、前記ストアされた暗号化されたセン
    シティブ情報を暗号解読する暗号解読器とを含むことを
    特徴とする装置。
JP8178188A 1995-07-07 1996-07-08 センシティブ情報を相対的に安全度の低い記憶媒体に安全にストアする方法および装置 Pending JPH0973415A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US49917095A 1995-07-07 1995-07-07
US08/499170 1995-07-07

Publications (1)

Publication Number Publication Date
JPH0973415A true JPH0973415A (ja) 1997-03-18

Family

ID=23984133

Family Applications (1)

Application Number Title Priority Date Filing Date
JP8178188A Pending JPH0973415A (ja) 1995-07-07 1996-07-08 センシティブ情報を相対的に安全度の低い記憶媒体に安全にストアする方法および装置

Country Status (5)

Country Link
EP (1) EP0753816A1 (ja)
JP (1) JPH0973415A (ja)
KR (1) KR970007583A (ja)
BR (1) BR9603000A (ja)
MX (1) MX9602654A (ja)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002528002A (ja) * 1998-10-13 2002-08-27 インデックス システムズ インコーポレイテッド 視聴者ターミナルへ広告メッセージを選択的に供給するための方法及び装置
US6892301B1 (en) 1999-01-12 2005-05-10 International Business Machines Corporation Method and system for securely handling information between two information processing devices
JP2007066293A (ja) * 2005-06-10 2007-03-15 Michihiro Sato 発行機及び発行システム
CN1312876C (zh) * 1999-10-26 2007-04-25 国际商业机器公司 用不可访问的唯一密钥对储存的数据进行加密/解密
US7543159B2 (en) 2001-11-14 2009-06-02 International Business Machines Corporation Device and method with reduced information leakage
JP2011216095A (ja) * 2011-05-19 2011-10-27 Canon Inc 画像処理装置、画像処理装置の制御方法、およびプログラム
US8296212B2 (en) 2001-08-22 2012-10-23 Michihiro Sato Issuing machine and issuing system
JP2013171581A (ja) * 2012-02-17 2013-09-02 Chien-Kang Yang 記録装置および記録装置にアクセスするための方法
JP2020508000A (ja) * 2017-07-28 2020-03-12 エルジー エレクトロニクス インコーポレイティド 放送チャネルを送受信する方法及びそのための装置

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7328350B2 (en) 2001-03-29 2008-02-05 Arcot Systems, Inc. Method and apparatus for secure cryptographic key generation, certification and use
US6170058B1 (en) * 1997-12-23 2001-01-02 Arcot Systems, Inc. Method and apparatus for cryptographically camouflaged cryptographic key storage, certification and use
US7043636B2 (en) * 2000-09-26 2006-05-09 Telefonaktiebolaget Lm Ericsson (Publ) Data integrity mechanisms for static and dynamic data
US6959090B1 (en) * 2000-11-20 2005-10-25 Nokia Corporation Content Protection scheme for a digital recording device
CN1708942B (zh) 2002-10-31 2010-11-03 艾利森电话股份有限公司 设备特定安全性数据的安全实现及利用
FR2846770B1 (fr) * 2002-11-04 2005-01-28 Oberthur Card Syst Sa Carte a microcircuit comportant des moyens de publication de ses objets informatiques
KR100750897B1 (ko) 2006-09-26 2007-08-22 삼성중공업 주식회사 실내 위치측정시스템을 이용한 3차원 측정 시스템 및리스케일 방법
US8971530B2 (en) * 2009-06-24 2015-03-03 Intel Corporation Cryptographic key generation using a stored input value and a stored count value

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0626793B1 (fr) * 1986-04-18 2001-11-28 Nagra Plus S.A. Système de télévision à péage
US5134700A (en) * 1987-09-18 1992-07-28 General Instrument Corporation Microcomputer with internal ram security during external program mode
GB9017683D0 (en) * 1990-08-13 1990-09-26 Marconi Gec Ltd Data security system
JP3114991B2 (ja) * 1990-11-30 2000-12-04 株式会社東芝 データ通信システム
WO1995016238A1 (en) * 1993-12-06 1995-06-15 Telequip Corporation Secure computer memory card

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002528002A (ja) * 1998-10-13 2002-08-27 インデックス システムズ インコーポレイテッド 視聴者ターミナルへ広告メッセージを選択的に供給するための方法及び装置
US6892301B1 (en) 1999-01-12 2005-05-10 International Business Machines Corporation Method and system for securely handling information between two information processing devices
CN1312876C (zh) * 1999-10-26 2007-04-25 国际商业机器公司 用不可访问的唯一密钥对储存的数据进行加密/解密
US8296212B2 (en) 2001-08-22 2012-10-23 Michihiro Sato Issuing machine and issuing system
US7543159B2 (en) 2001-11-14 2009-06-02 International Business Machines Corporation Device and method with reduced information leakage
JP2007066293A (ja) * 2005-06-10 2007-03-15 Michihiro Sato 発行機及び発行システム
JP2011216095A (ja) * 2011-05-19 2011-10-27 Canon Inc 画像処理装置、画像処理装置の制御方法、およびプログラム
JP2013171581A (ja) * 2012-02-17 2013-09-02 Chien-Kang Yang 記録装置および記録装置にアクセスするための方法
JP2020508000A (ja) * 2017-07-28 2020-03-12 エルジー エレクトロニクス インコーポレイティド 放送チャネルを送受信する方法及びそのための装置
US11006387B2 (en) 2017-07-28 2021-05-11 Lg Electronics Inc. Method of transmitting and receiving broadcasting channel and device therefor
US11665712B2 (en) 2017-07-28 2023-05-30 Lg Electronics Inc. Method of transmitting and receiving broadcasting channel and device therefor

Also Published As

Publication number Publication date
MX9602654A (es) 1997-06-28
BR9603000A (pt) 1998-05-05
KR970007583A (ko) 1997-02-21
EP0753816A1 (en) 1997-01-15

Similar Documents

Publication Publication Date Title
US9461825B2 (en) Method and system for preventing revocation denial of service attacks
US7596692B2 (en) Cryptographic audit
EP1832996B1 (en) Circuit security
JP4878602B2 (ja) デジタルオーディオ/ビデオデータの処理ユニット及び前記データへのアクセスの制御方法
EP1370084B1 (en) System for protecting security registers and method thereof
JP4698106B2 (ja) 送信された情報をコピー保護するシステム及び方法
EP1562318B1 (en) System and method for key transmission with strong pairing to destination client
US7200230B2 (en) System and method for controlling and enforcing access rights to encrypted media
JPH0973415A (ja) センシティブ情報を相対的に安全度の低い記憶媒体に安全にストアする方法および装置
EP0583140B1 (en) System for seamless processing of encrypted and non-encrypted data and instructions
US20110113235A1 (en) PC Security Lock Device Using Permanent ID and Hidden Keys
AU770370B2 (en) Secure control of security mode
TW200910900A (en) MAC code verification without disclosure
US20090169000A1 (en) Encryption device and medium, decryption device and method, data delivery device, data receiving device, and data delivery system
US20030194091A1 (en) Method for distributing keys among a number of secure devices, method for communicating with a number of secure devices, security system, and set of secure devices
ES2274557T3 (es) Sistema para proporcionar datos encriptados, sistema para desencriptar datos encriptados y metodo para proporcionar una interfaz de comunicaciones en dicho sistema desencriptador.
KR100845068B1 (ko) 암호화 데이터의 저장 방법
KR100977969B1 (ko) 네트워크에서의 데이터 전송 및 수신 방법
JP2003249932A (ja) デジタルavデータ送信ユニット、デジタルavデータ受信ユニット及び、デジタルavデータ送受信システム、媒体
EP2362574A1 (en) Key correspondence verification in device-smart card systems
EP0259487A1 (en) Method and apparatus for distributing and protecting encryption key codes
JP2001268067A (ja) 鍵リカバリ方法及び鍵管理システム
WO2018231773A1 (en) Combined hidden dynamic random-access devices utilizing selectable keys and key locators for communicating randomized data together with sub-channels and coded encryption keys
CN1156284A (zh) 在相对非可靠的存储媒体上安全地存储高度机密信息的方法和装置
Nigm et al. Cryptography and Database Security: Concepts, Compliance Risks, and Technical Challenges