JPS63225840A - 情報記憶システム - Google Patents

情報記憶システム

Info

Publication number
JPS63225840A
JPS63225840A JP63050529A JP5052988A JPS63225840A JP S63225840 A JPS63225840 A JP S63225840A JP 63050529 A JP63050529 A JP 63050529A JP 5052988 A JP5052988 A JP 5052988A JP S63225840 A JPS63225840 A JP S63225840A
Authority
JP
Japan
Prior art keywords
message
messages
key
mac
kdc
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP63050529A
Other languages
English (en)
Other versions
JP2675806B2 (ja
Inventor
Dei Maashiyaru Aran
アラン・デイ・マーシヤル
Jiei Mitsuchieru Kurisutofua
クリストフア・ジエイ・ミツチエル
Jiei Puraudora Gureemu
グレーム・ジエイ・プラウドラ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Japan Inc
Original Assignee
Yokogawa Hewlett Packard Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Hewlett Packard Ltd filed Critical Yokogawa Hewlett Packard Ltd
Publication of JPS63225840A publication Critical patent/JPS63225840A/ja
Application granted granted Critical
Publication of JP2675806B2 publication Critical patent/JP2675806B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • H04L9/0836Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2153Using hardware token as a secondary aspect
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Power Engineering (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。

Description

【発明の詳細な説明】 〔発明の技術分野〕 本発明は情報を安全に記憶する情報記憶方式に関する。
〔従来技術およびその問題点〕
コンピュータやデータ記憶システムにおいて、ユーザが
情報を安全に(充分高いセキュリイをもって)、すなわ
ち正当性を確認して、記憶することができることが必要
とされる場合がある。これは情報の破壊に対しての耐久
力があると言うことを意味してはいない。と言うのは部
外者は記憶されている情報をほとんどいっても破壊し得
るからであり、情報を破壊から保護するには記憶手段の
物理的な安全性(security)が必要とされる。
ここで意味していることは、記憶されれているデータが
干渉を受けないということであり、このことはいかなる
干渉も検出されるということを意味する。
実際には、これはメッセージ認証コード(nessag
e authentication code 、 M
 A C)によって達成される。MACを計算するには
情報をMAC発生器に通し、これにより典型的には64
ビツト長のMACを得る。このMACを記憶しておくこ
とができ、後にMACを再計算することにより情報を認
証する(authenticate)することができる
もし記憶しておいたMACと計算で得られたMACが一
致すればその情報は干渉を受けていない。
もちろん、このMACはそれ自身干渉から保護されてい
なければならない、つまりこのMACを計算する本にな
っている情報の修正に釣り合うように部外者がはじめの
MACを修正することから保護されていなければならな
い。この保護を実現するには、MACの計算に秘密のキ
ーを用いる。MACを計算するに当たっての便利な、ま
た以下で選ばれている一つの方法は、D E S/D已
A的なアルゴリズムとDES/DEA暗号化/解読ユニ
ットを使用することにより、キーおよび暗号ブロックチ
ェイニング(cipher block chaini
ng 、 CBC)技術を用いる事である。このプロセ
スは情報を暗号化する場合と同じである。ただしMAC
を計算する際にはDBS/DEAユニットからの出力ブ
ロックのストリーム(暗号化された情報)は捨てられ、
最後のブロックだけがMACとして保存される点が違っ
ている。この技術を使用する場合は、MACそれ自身は
情報と一緒に記憶され、MACを計算する為に用いられ
たキーだけが秘密に保たれる。
実際には、MACを安全な(正当性が確認された)情報
記憶に用いるというこの技術は幾分面倒なものである。
それはチェックしなければならない情報は非常に大量に
なりがちだからである。セツションの始めにユーザはチ
ェックを始めるが、そのチェックでは記憶されている情
報全体のMACの計算が行われる。セツションの終わり
ではユーザは情報全体についての新たなMACの計算を
しなければならない。この情報はこのセツション中にそ
の処理をすることによりユーザによって変更されている
ので、新しいMACはもちろん古いものとは異なってく
る。
本願発明者の知見によれば、チェックされるべき情報は
通常は多数の個別的なファイルまたは「メッセージ]か
らなっており、−回のセツシヨンではユーザは通常その
中の少数のものについてしか作業しない。従って、この
情報のMACの計算にあたってはMACの変化に唯一寄
与するところの変化したファイルに加えて、大量の変化
していない情報、つまり変化していないファイル、をM
AC発生器を用いてスキャンすることが行われる。しか
しながら、変化したファイルだけからMACの変化を計
算する簡単な方法はない。MACは連鎖状のプロセスで
ある。先ず情報の64ビツトの各々のブロックが順に先
行するブロック群より計算されたMACと組み合わされ
てこの現ブロックまで(このブロックも含む)の全ての
ブロックについてのMACを得る。この情報の途中のあ
るブロックに変化によるMACへの影響を計算すること
はできない。
〔発明の目的] 本発明の目的は上述した従来技術の問題点を解消し、情
報の一部分しか変化しない場合のMACを簡単に計算す
ることである。
〔発明の概要〕
本発明の一実施例によれば、複数のファイルまたはメッ
セージからなり、認証を必要とする情報の本体全体につ
いてのグローバルMAC(全体的MAC)の計算が、各
メッセージについての個別のMACを計算しこれら個別
のMACからグローバルMACを計算することにより行
われる。
最も単純な形では、メッセージの個別的なMACから直
接的に計算され、これらの個別的MACは連結されてそ
れについてグローバルMACを計算すべき更に別のメッ
セージを実効的に形成すると見なされる。しかし、シス
テムは階層化されていてよいということが理解できるだ
ろう。このため、これらメッセージは夫々がかなりの数
のメッセージを含むブロックに分割される。各ブロック
毎にその全てのメッセージについてMACを計算し、そ
のブロックの全てのメッセージのMACについてのブロ
ックのMACを計算する。次にグローバルMACが全て
のブロックのブロックMACについて計算される。従っ
て、この場合でもグローバルMACはメッセージの個別
のMACから計算され、間接的であるが、情報全体、す
なわち全てのブロックの全てのメッセージ、の正当性を
確認する。ブロックMACはもちろん個々のブロックに
ついて見ればそのグローバルMACになっており、個々
にそのブロック中のメッセージの正当性を確認する。
記憶されている情報を何か改変すれば、それはMACの
突き合わせの失敗を引き起こし、その改変が検出される
。個々のメッセージの改変はそのMACの変化を引き起
こす。MACは秘密に保たれているキーを用いて計算さ
れるので、部外者は彼が改変したメッセージのMACを
代えることはできず、そのメッセージのMACチェック
は失敗する。もし部外者が余計なメッセージを挿入した
り、完全なメッセージを取り除いたり、あるいはメッセ
ージの順序を変えたりすると、グローバルMACの突き
合わせの失敗が引き起こされる。記憶されている情報に
加えられた改変の性質を判定することは通常は可能では
ないが、このような改変の事実は常に明白になる。
この技術の利点は、もし実際のセツションでユーザが少
数のメッセージだけを変更したのであれば、このセツシ
ョンの終わりにおけるMACの計算では変化したメッセ
ージのMACの計算とグローバルMACの計算が行われ
るだけである。この技術では、グローバルMACの計算
はMACを一つだけ計算するものに比べるとオーバーヘ
ッドであるが、しかしこのオーバーヘッドは比較的小さ
い。それは個々のメッセージのMACはメッセージそれ
自体に比べて大幅に少ない情報しかないからである。メ
ッセージが処理される(生成される、あるいは変更され
る)際にはいつもそのMACを計算しなければならない
が、しかしどのセツションにおいても、そこで処理され
たメッセージだけが再計算を必要とし、変化していない
メッセージはそれにたいしていかなる計算も行われる必
要がない。
本発明の補足的な側面は個々のメッセージを秘密を保っ
て記憶することに関係するが、これはユーザがしばしば
必要とするもう一つの特徴である。
正当性の確認と同様に、これは情報が誤りに対して耐久
力があるということを意味するものではない。ここで意
味されていることは、記憶されている情報を部外者が読
み出すことができないという保証があることである。
従って、本発明の実施例にはまた、安全モジュール内に
一つあるいはもっと多くのキーを格納する手段と、暗号
化/解読手段と、メッセージを記憶する前に暗号化する
手段も設けられる。好ましくは、2以上の階層のキーが
用いられ、ここで最下層のキーは各メッセージ用に夫々
ランダムに生成されてメッセージ中に格納され、その階
層構造のすぐ上位のキーと組み合わせられて暗号化キー
をもたらし、階層構造が2よりも多い階層を有している
場合には、その階層構造の上の方に向かって存在する各
キーは最上位のキーを除いてはそのすぐ上にあるキーに
よって暗号化された上でメッセージの本体に夫々追加さ
れる。階層構造中の各キーは好ましくは予め定められた
回数だけ使用された後に変更される。
メッセージは従って暗号化された形で格納され、ここで
各メッセージはそのメッセージに固有のキーの下で格納
される(なんとなれば、暗号化するためのキーはメッセ
ージに固有のキーといくつかのメッセージに対して同一
であるキーの組み合わせによって形成されるからである
)。階層的キー構造を持つことおよび所与の量の使用の
後にキーを変えることにより、部外者の暗号解読による
攻撃の可能性が最小になる。
本発明は安全通信システムの分野に特に適用できる。パ
ーソナルコンピュータのような端末が多数相互接続され
ている通信ネットワークはよく知られている。(以下の
実施例では、セキュリティのため、暗号化キーを管理す
る端末であるキー分配センタ(key distrib
ution centre 、 K D C)とユーザ
が使用する端末であるユーザ機器(useragent
、 U A )がネットワークに接続されている。
)このようなシステムでは公衆電話システムのような安
全でない、つまりセキュリティが充分でない通信媒体が
しばしば用いられる。このようなあまり安全ではない通
信媒体においては、受動的妨害(盗聴)や能動的妨害(
メッセージを横取りして除去する、メッセージを改変す
る、あるいは不正なメッセージを挿入する)を受けやす
い。これらの問題を克服するためには、暗号システムを
設けることが知られている。しかしながら、暗号化の理
論自体は明らかであるが、多数の端末を含むシステムを
設計するに当たって係わってくる実際上の問題はかなり
ある。そのような問題の中に、情報を安全に記憶するこ
とに関連する問題がある。
ここでの情報はユーザが生成したメッセージ(ユーザが
生成してそのユーザの端末に格納されるメッセージと他
のユーザによって受信されるメッセージの両者がある)
およびシステムの構成上の目的のために用いられる情報
の両方を指す。
本発明の更に別の局面は他の端末から受信したメッセー
ジをこのような端末に秘密裡に記憶することに関連する
。これもユーザがしばしば求める特徴である。
本発明の他の局面によれば、システムの遠方の端末から
階層構造のキーの下で暗号化されたメッセージを受信し
てそのようなメッセージを格納する手段と、遠方の端末
でそのメッセージの暗号化のために使用されたキーをキ
ー階層構造の上の方へ向かって全て、但しその最上位の
キーを除いてそのメッセージに追加する手段と、そのメ
ッセージと付属部のMACを計算しこのMACをグロー
バルMACの計算に含める手段を設けた情報記録〔発明
の実施例〕 方式が与えられる。
ン愕り入υし12とから構成されている。また非を参照
して説明することにする。
説明は次の部分に分けて行う。
システムの全般的構成 システムの全般的動作−キーの階層 メッセージの構造とUAの構造 UAとKDCとの連鎖 各UA間の通話 システム・メッセージ・エラーの回復 ローカル・メッセージ記憶装置 UAの変更 KDCのメッセージの記録 本発明の他の特徴は本願と同時に提出した二つの同時係
属特許出願に説明してあり特許請求されていることに注
意すべきである。
システムの全般的構成 第1図を参照して、システムは、すべて共通の通信媒体
11に接続されている複数の端末10.10A、IOB
などと、キーの制御と分配とに責任りキーはKDC12
から端末10に分配されることができる。各端末10は
、図示したとうりのパーソナル拳コンピュータPCl4
やディスクメモリ15のような従来どうりの端末装置と
、各種暗号キーである安全モジュール(5ecurit
y module )16とから構成されている。KD
C12は安全モジ、−ル17、計算ユニット18、およ
び複数の記憶手段19から構成されているのでデータが
失われる危険は無視できる。安全モジュール16と17
は、二重の囲み線で示したように、外部の妨害に対して
保護されている。
安全モジュール16は、制御目的で、PCl4から制御
線により信号も供給され、PCl4への双方向データ径
路を備えているように示しである。
この後者の径路はデータをPCl4から他の端末へ送る
暗号化のため安全モジュール16に伝え、まf、−他の
モジュールからのデータの暗号を安全モジエール16で
解説した後にPCl4へ伝えるのに使用される。この径
路は、端末内の局所的安全め、データをPCl4から伝
え、同じPCl4に戻すのにも使用される。安全モジュ
ール16はまた直接通信媒体11に接続されているよ5
に示しである。実際には、通信媒体11との成る形態の
インターフェースが必要である。これは安全モジュール
16でも行うことができるが、実際はこのためにはPC
l4で行うのが便利である。もちろん、これに関係する
PCの部分は安全モジュールとの間で暗号化されていな
いデータのやり取りをする部分とは論理的に別である。
(また、もちろん、PCは通常媒体11と直接交信して
非安全メッモジを送受信する。) 安全モジュール16と17は既知の技術を使用して構成
されている。したがって各モジュールは暗号キーや他の
秘密の状態に保持しなければならない情報を格納するデ
ータ記憶手段、データの暗号化や解読およびチェック用
の数量の計算やモジニール内で必要なその他の処理のよ
うな動作を行う処理手段、および心安な動作を制御する
制御手段を備えている。各モジュールは、万−一時的に
局部的停電が起った場合にキーのような安全情報が失わ
れたいよ5K、電池も備えている。モジ−一ルはまたモ
ジュールに対する物理的攻撃を検知し、このような攻撃
が起った場合にモジュールに格納されているすべての情
報を、敵がモジュールを開き個人の構成安素に接続して
モジュールから有用な情報を抜取ろうとする可能性に反
撃を加えるようK、たとえばキーのような格納情報にラ
ンダムなデータを重ね書きすることにより、破壊する手
段を備えている。
各種レジスタ、カウンタ、および後に説明するよびこれ
ら構成要素に使用するメモリロケーションを規定したシ
その機能を実現したシする格納プログラム、ICよシ実
現される。(ただし、乱数発生器や暗号化/解読ユニッ
トのような成る構成要素は種々な理由から特殊目的のハ
ードウェアで構成するのが都合がよい。)プログラムは
少くとも一部はFROMまたは類似のものに格納される
ので少くともプログラムの一部は一旦書き込まれてしま
ったら変更することはできない。したがってプログラム
は格納キーまたは他の安全情報をモジー−ルから読み出
すことができるように修正することはできない。
システムは通信媒体11に盗聴を行おうとする部外者2
0からの攻撃に対して開いているものと仮定している。
このような部外者20はメッセージを傍受し、メッセー
ジを横取シして取出し、本物のメッセージを修正して偽
のメッセージを挿入しようとする。通信媒体11は分散
していて、端末10、IOAなどのいずれかのユーザの
単独制御のもとにはない。たとえば通信媒体11は電話
回線網または格納・先送F) (5tore and 
forward )手段を備えたパケット・スイツチン
グ・システムのような公共通話システムの一部を含んで
いることがある。したがって部外者20の活動は本質的
に検出できる性質のものではない。このような部外者に
よる攻撃の可能性に加えて、通信媒体11は、メソセー
ジが失われたシ、その順序が変るようにメッセージに色
々な遅れが加わったり、メソセージが重複(「エコー」
)シたりというような障害を本質的に受けやすいものと
考えられていも上記したこのような傍受の可能性や安全
モジー−ルに対する物理的攻撃の可能性の他に、部外者
は合法ユーザの留守中にモジュールにアクセスしてシス
テムに入ろうとする。これと戦うには、各種の技術を利
用することができる。安全モジュールがパスワード制御
を行うように設定し、パスワードを合法ユーザが入力し
て、モジュールはこうしてそのパスワードにだけ応答す
るようにできる。
ユーザが彼の不在期間の長さを知っている場合には、時
間ロックを使用することができる。モジュールの内部電
池によシ時間ロックが確実に連続的に動作スる。パスワ
ードがモジュールによシ生成され、これが合法ユーザが
物理的に取外し且つ保持することができるフロッピーデ
ィスクに送られるようにすることもできる。
もちろん瓦いに多少異なる保護技術をユーザ端末の安全
モジュールおよびKDCの安全モジ、−ルに使用するこ
とができる。それはKDCは攻撃に対してユーザ端末よ
りsつきにくいようであるが、−万Kl)Cに対する攻
撃が成功すればユーザ端末に対するよりもはるかに損害
が大きくなるからである。
システムの全般動作−キーの階層 本システムの動作はKDC12により二つのレベルで制
御される。第1に、各UAKKDCからユニークなユー
ザ・マスク・キー(UMK)が割当てられる。このU 
M Kは非電子式のキー分配径路13を伝わってUAK
取込まれる。たとえばKDCを操作するスタッフの一員
により、UA、(の安全モジュール16内)に設置され
る。このキーはその後UAとKDCとの間のメッセージ
を確立したり確認したシするのに使用される。第2に、
UAが他のUAと通話したい場合には、KDCを使用し
て二つのUA間に安全なチャネルを設定しなければなら
ない。リンクを要求するUAは、KDCに通知し、K 
D Cはこれにしたがってリンクを設定ロソ′、その後
リンクの使用には稀にしか(LMKが更新を必要とする
とき)参加しない。
第3のレベルのシステム動作も存在し、これは単独UA
における情報の安全格納に関するものである。この動作
はKDCには関係しない。
キーの物理的位置とその階層、および使用する略号を第
1表に示す。各メッセージは、そのメソセージにどのレ
ベルの階層が関連していようと、そのメッセージのため
だけに発生された別々のメッセージ・キーで暗号化され
るので、メッセージ・キーは階層になっているようには
示してない。
事実、各メッセージは一対のキーを使用して暗号化され
る。一つのキーは、基本キーと言うが、階層から取られ
るキーであり、もう一つはそのメソセージに対するメッ
セージ・キーである。
第  1  表 物理的位置 KDC−キー分配センタ UA−ユーザ機器(user agent) (端末ま
たはノード) キー UMK−ユーザ・マスク・キー (KDC4−+ 0人) CKD−制御データ・    MK−メッセージ・キー
キー (UA+ UA) LMK−リンク・マスター キー LDK−IJンク・データー  MK−メッセージ・キ
ーキー (’UA内部) PMK−パーソナル・マス タ・キー PSMK−パーソナル・サ ブマスタ・キー PDK−バーンナル・デーMK−メッセージ・キータ・
キ一 部外者が、同じキーで符号化した充分なメッセージを蓄
積することができれば、彼は窮極的にシステムを破って
キーを取戻すことができる。したがってこの理由のため
キーを適切な時間間隔で変更し、またそれ故部外者が何
とかしてキーを手に入れたとしてもこのようなキーの更
新の結果、それは結局波の役に立たなくなるようKする
。ただし、UMKは物理的に分散されているのでこれら
を変更するのは困難である。したがってキーの階層シス
テムを使用するのであυ、このシステムでは、各キーは
階層的にその上に位置するキーに変更がなされる前に繰
返し変更される。上位のキーを使用して下位キーの変更
に関する情報を伝達することができる。したがってKD
Cは比較的稀な時間間隔でキー(frLいUMK)の物
理的輸送に関係するキー変更に関与することKなるだけ
であシ、このような更新は甚だしく厄介になることはな
い。
メッセージの構造とUAの構造 各1flUAとKDCはメッセージによって互いに通信
する。これらメッセージはすべてほとんど同じ構造をし
ているが、以下で示すとうり、変化がある。メッセージ
の基本的な分類の一つはシステム・メッセージとユーザ
・メッセージとに分けることである。前者はユーザから
は知ることなく、システムにより発生されシステムによ
シ操作するが、後者はユーザに応答して発生され、ユー
ザが組立てたデータを含んでいる。システム・メッセー
ジは一般にかなり短く、幾つかの異なる形式がある。ユ
ーザ・メッセージはその長さが非常に変動するが、実質
上一つの形式しかない。わかるように、幾つかのシステ
ム−メッセージを時々一つのパケットに組合せることが
できる。
メッセージの一般的構造、および始発UAでその発生に
必要な、およびUAで受信した同様なメッセージに対す
る応、答に必要なハードウェアについて、始めにUAと
KDCとの間のメッセージを、特にこのような最初のメ
ッセージを参照して、ここに説明することにする。他の
システム・メッセージはおおむね同じ方法で取扱われる
が、小さな相異が、たとえば関連するキー・レベルに存
在する。
システムが始動するのはUMK(ユーザ・マスク・キー
)がすべてのUA(ユーザ機器)に分配され設置されて
いるが他のキーは存在せず通信キーも存在しない状態か
らである。第2図を参照すると、説明すべき各種安素を
備えており、これら要素に対する一般的制御機能は制御
回路30で行われている。UAに対するUMKはキー輸
送ユニット31により物理的に輸送されるが、このユニ
ットはUAの安全モジー−ル16に一時的に接続されて
UMKをUMKレジスタ32に移す。使用カウンタ40
はUMKレジスタ32と関連してUMKが使用された回
数のカウントを保持する。このカウンタは、他のすべて
の使用カウンタと同様に、キーが使用されるごとにイン
クリメントし、最初(システムが最初に始動するとき)
はOにセットされ、関連するキーが更新される(すなわ
ち新しいキーで置き換えられる)ごとにOにセットされ
る。
UMKは、比較的永続するが、充分使用してから、新し
いUMKをKDCから物理的に輸送することによって更
新することができる。そのためUMKキ一番号レジスタ
40Aが設けられており。
これは最初0にセットされ、新しいUMKが設置される
ごとにインクリメントする。(その代りに、U M K
キ一番号レジスタ40Aを、新しいU M Kが設置さ
れ、KDCが新しい値を発生するごとにキー輸送ユニッ
ト31からセットすることができる。) UMKがUAに設置されるとすぐ、制御データ、キーC
DKが発生されてUAのCD Kレジスタ34に格納さ
れる。ここで関連する使用カウンタ33とCDKキ一番
号レジスタ33Aも設定される。キーはランダム信号発
生器36から発生される。ランダム信号発生器は熱雑音
発生器または放射性崩壊カウンタのようなランダム信号
源を利用してキーが確実にランダムになるようにしてい
る。
こうして発生したCDKは、適切なシステム・メッセー
ジにより、即座にKDCに送られる。実際上は、このよ
うなランダム信号発生器は比較的ゆっくシした速さでビ
ットを発生し、したがって(典型的には64ビツトの)
次のキーのためのレジスタ(図示せず)を備えている。
このレジスタの再補充はその内容が新しいキーのために
取出されるとすぐ開始されるので、次のランダム・キー
が即座に利用できる。このランダム信号発生器はしたが
って、平文の(すなわち暗号で保護されていない)キー
を持っているので、安全モジエールの中に入れられてい
る。
メッセージを更に詳細に考察すると、UAはいくつかの
区画を備えたメッセージ・アセンブリ・レジスタを備え
ており、ここでメッセージ(現在のものを含む)が組立
てられる。メッセージ・アセンブリ・レジスタ370M
B領域はメッセージ本体あるいはデータ部であり、メッ
セージの「意味」または「データ」(もしあれば)を入
れるのに使用される。メッセージ・アセンブリ・レジス
タ37にはその左端に1ソ一ス区画SCとデスティネー
ション区画DNの二つの部分がある。ソース区画SCに
はこのUAを表わす不変のソースコ−ドが格納されてお
り、デスティネーション区画にはそこに送り込むのに必
要なデスティネーションを示すコードが入る。次の区画
MTは以下で説明するメッセージタイプ領域である。次
の2区画KNは、以下で説明するキ一番号およびメッセ
ージ識別子区画である。その次の区画はMK区画であっ
て、これはメッセージのメソセージ・キーMKを入れる
のに使用される。M8区両の次にはメッセージ父1話コ
ード(Message Authentication
 Code )区画MACが続き、前にはPMAC(以
前のMAC)区画があって、これは当面無視する(iた
はOが詰まっていると考える)ことがある。
メッセージタイプフォーマット記憶領域38は、たとえ
ばCDKが送られているというKDCへのメンセージの
ような、システム・メッセージについての一組のメッセ
ージタイプフォーマットを保持しており、この領域から
適切なメッセージタイプが選択されてレジスタ37のメ
ッセージ本体区画MBに送られる。K D Cへのシス
テム・メッセージについては、この記憶領域はKDCデ
スティネーションコードをも保持する。もちろん、他の
UAへのメッセージ(ユーザまたはシステム)について
は、受信UAのデスティネーションコードを発生しなけ
ればならない。他のU Aとの通信はほとんどユーザが
開始するので、受信UAのデスティネーションコードは
ユーザが決める。このコードはそのUAへのユーザ・メ
ッセージによって使用される他に、もちろんそのUAへ
のシステム・メッセージによっても使用される。デステ
ィネーションのニモーニックからデスティネーションコ
ードを得る従来のテーブル探索システムをもちろん使用
することができる。また、通信媒体11を通してのメッ
セージの径路決めあるいはアドレシングは通常以下に説
明するインターフェース・ユニット43により処理され
る。
上に注記したとうり、各メッセージは二つのキー、すな
わちキー階層から生ずる基本キーとメッセージキー、を
用いて暗゛号化される。メッセージ−アセンブリ・レジ
スタ37のキ一番号区画KNにはメッセージに使用する
基本キーを識別するとともにメッセージをユニークに識
別するメッセージ番号としても働く、メッセージ用組合
せキ一番号が入りている。このメッセージ番号は、キー
のキ一番号を階層を下υながら基本キーに至るまで連結
しまた基本キーの使用カウントも連結することによって
得られる。各キー・レジスタは関連するキ一番号記憶部
、すなわちUMKレジスタ32についてはUMK用の4
OA、CDKレジスタ34についてはCD K用の33
Aを備えている。したがって基本キーがUMKであれば
、UMKキ一番号レジスタ4QAおよび使用カウンタ4
0の内容を使用し、基本キーがCDKであれば、CMK
キ一番号ンジスタ40A、CDKキ一番号レジスタ33
A、および使用カウンタ33の内容を使用する。各キ一
番号は関連キーが変るごとに1だけ増加する。したがっ
て所与のメッセージタイプに対して、メッセージ番号は
厳密に昇順である。何故なら各キーのキ一番号は通常上
昇し、このような番号がOにリセットされることによシ
下降するときは、上位の番号の増加の結果だからである
。関連する階層の分岐および階層を下る距離はメッセー
ジタイプかられかる。たとえば、ここで考えているメッ
セージタイプrCDKがKDCに送られている」につい
ては、キー階層は必然的にUMKだけしか含んでいない
キーのキ一番号は階層中ですぐ上のキーの使用カウント
と類似しているが、この二つは必ずしも同一ではないこ
とに注意すべきである。これは成る状況では階層内の高
い方のキーを使用することができ、したがってその使用
カウントが、階層中で直下のキーを変更せずに、増加す
るからである。
このような問題を避けるには使用カウントとキ一番号と
をシステムを通じて別個に維持する。(このことはまた
メッセージ番号は必ずしも連続ではないことを意味して
いる。) (このシステムはメッセージタイプを平文で示すMTの
内容にある程度依存している。これはもちろん、たとえ
ばMTの゛内容を暗号化されるものの一部に含めること
によシ修正することができる。
この場合、メソセージ識別子(すなわちキ一番号)の長
さ、あるいは、これに相当する、階層内のキーのレベル
は別々に示さなければならない。)一般に、各メッセー
ジの本体はそのメッセージにユニークなキー、メッセー
ジ・キーMK、を使用して暗号化される。このメッセー
ジ・キーはランダム信号発生器RND36を用いてUA
により発生され、メッセージ・キー・レジスタMK39
に送られる。
使用する暗号システムは、DES/DEA規格または同
様なもののような、暗号化および解読に同、じキーを使
用するものであると仮定する。(「パブリック・キー」
システムのような、暗号化と解読とに異なるキーを用い
るシステムを使用することは可能であるが、キ一対の両
方のキーを格納しまた暗号化および解読のために適切な
方を使用すO) る必要がある博使用する暗号化技術はCBC(Ciph
er L51ock Chaining )であシ、こ
れには−1983DEAの動作モードに述べられている
。)初期設定ベクトル■は最初基本キーのもとでメッセ
ージ・キーMKを暗号化することにより作られる。次に
メソセージの暗号キーは基本キーのもとで再び■を暗号
化することにより得られる。メッセージ・キーMKは平
文で送られ、受信側は基本キーのコピーを備えているの
で、メッセージは、メッセージ・キーを基本キーのもと
で暗号化して初期設定ベクトルを得、栴び解読キーを得
ることKよって、他端で解読することができる。■と解
読キーは次にメッセージを解読するのに使用される。各
メッセージに異なるMKを使用することは、メッセージ
がほとんど同じ形(たとえば同じユーザ・メッセージが
2回目にはおそらく時間の違いだけで送られる)で繰返
されても異なるキーのもとに暗号化されることになシ、
部外者は暗号を侵害しようとするに際し繰返しから多く
の援助を得ることができないことを意味する。
メッセージが暗号化されたら、メッセージ・アセンブリ
・レジスタ39のMT、KN、MK%PMAC,および
MBの各部の内容がメッセージ認証コード計算ユニット
42に送られ、ここでMAC値が計算され、この値がメ
ッセージ・アセンブリ・レジスタ370MAC区画に送
り返される。
このようにしてMAC値がメッセージの一部として含ま
れる。M A CはCBC技術を用いて暗号化類似プロ
セス(rMAC暗号化」)により計算される。このプロ
セスから得られる最終ブロックがMACを形成する。「
M A C暗号化」はキーと初期設定ベクトル(IV)
を用いて行われる。キー(「MAc暗号キー」)はメッ
セージを暗号化するのに使用する基本キーの固定された
関数として得られ、■はOとされる。ソースコードおよ
びデスティネーションコードは認証される必要が無い。
何故なら、どちらかがどうにかして変化すれば、実際に
メッセージを受けるユニッI−(UAまたはKDC)が
、MACチェックによりg証を行なおうとする際適格な
キーを使用していないので、メッセージを認証すること
ができないからである。
暗号化/解読ユニット41とメッセージ認証コード計算
ユニット42はキーを平文で受取らなければならないか
ら、安全モジー−ルの内部になげればならない。同様に
、UMKレジスタ32は、キーを平文で持っているので
、これも安全モジュールの内部になければならない。モ
ジュールの外部に他のキーを格納し、UMKのもとで暗
号化し必要なときモジー−ル内で解読することも可能で
あるが、すべてのキーをモジュール内のレジスタに平文
で格納するのがはるかに便利である。メッセージ・アセ
ンブリーレジスタ37ももちろんモジュールの内部にあ
り、暗号化され認証される前にメッセージが侵されない
ようにしておく。
送受される各メッセージは、通信媒体11と結合するの
に必要となる低レベルのプロトコル処理を行うインター
フェース・ユニット43を通過する。特に、インターフ
ェース・ユニット43は暗号メッセージの伝達に専念す
るメールボックス、あるいは、このような、一つはシス
テム−メッセージ用の、もう一つはユーザーメッセージ
用の、二つのメールボックスとすることができる。これ
により更に別のメールボックスを暗号化されないメッセ
ージのために使用することができ、これら暗号化されな
いメッセージは平文で(たとえば安全通信システムの一
部分を形成しない端末から)送受信される。上に注記し
たように、このインターフェース・ユニットはPCl3
(第1図)によシ好都合に実現される。
今度は受信回路を考察すると、通信媒体11からインタ
ーフェース・ユニット43を経て受信される着信メッセ
ージを受取るのにメッセージ春アセンブリ・レジスタ3
7が使用される。このメッセージのメッセージ番号KN
は対応する基本キーが利用できることをチェックするた
めに調べられる。次にメッセージのMACが、メッセー
ジ識別子K Nによp l’−MAC暗号化」キーとし
て識別される基本キーを使用して、メッセージ認証コー
ド発生器ユニット42によりチェックされる。得られた
MACはコンパレータ44によυメッセージの(MAC
区画にある)MACと比較される。MACの計算値とメ
ッセージのMACとが合致すれば、メッセージは本物と
判定される。合致しなげれば、どちらかに(おそらくは
送信雑音の結果)誤りが存在するかあるいは数置されて
いるので、メッセージは捨てられる。部外者20がメッ
セージを修正しようとしても、部外者には未知のキーを
用いて計算することにより保護されているメッセージの
MACを彼は訂正することができないので、変更された
メッセージと一貫していなければならないメッセージの
MACを変更することはできないであろう。
次にメッセージのメッセージ番号KNはメッセージが前
に受信されたものの繰返しではないことをチェックする
ために調べられる。メッセージ番号が合理的で前に受取
りたメッセージと関係があるかどうかを知るためにチェ
ックすることができる。(失なわれたメッセージ、重複
メッセージ、および受取シ順序が不良のメッセージに関
する備えについては後に詳細に説明する。) メッセージがKN試験およびMAC試験を通過すれば、
(メッセージ本体部分MBが空でないと仮定して)メッ
セージは解読される。このため、MK区画のメッセージ
・キーが(メッセージ番号により識別される)基本キー
のもとに暗号化/解読ユニット41を用いて暗号化され
てIVを得、これが再び基本キーのもとで暗号化されて
解読キーを得る。(解読用の■および解読キーは暗号化
用の■および暗号キーと同じである。)■および解読キ
ーは直接暗号化/解読ユニット41Vc送られてMB区
画の内容を解読するのに使用される(成るシステム・メ
ッセージ、たとえば成る承認メッセージは「本体」を備
えていない。そのMB区画は空である)。
それでMB区画の内容は成る種のシステム中メッセージ
であシ、これは制御回路30によ多処理される。なおこ
のメッセージがKDCから受信されているものとすると
、メッセージはCDKキーを備えてよい。もしそうなら
、その受信したキーはCDKIレジスタ46またはCD
K2レジスタ47に送られる。KDCのCDKが変化し
た場合でも以前のCDKを使用しているメッセージが新
しいCDKが受信された後でも受信されることがあるた
め、一対の受信CDKレジスタが存在する。
二つの受信CDK番号レジスタがあシ、これらには(や
はυMB区画から)対応するCDK番号が送シ込まれて
いるので、CDKで暗号化されたメッセージを受信した
とき適切なCDKを識別することができる。CDKはそ
のもとで暗号化された固定されたかなシの数のメッセー
ジが送出されてはじめて変えられるから、以前のCD 
Kを二つ以上保存しておくことは決して必要が無いと仮
定しても危険ではない。(捨てられたCDKが必要にな
った場合には何か他に根本的に悪いものがあるであろう
。) UAとKDCとのリンク システムは、すべてのUA(ユーザ機器)KUMK(ユ
ーザーマスタ・キー)が設置されているが他にはキーが
存在せず通信リンクも存在しない状態で、始動する。U
 M KがUAに設置されるとすぐ、UAとKDCとの
間K リンクが設置されなければならない。これを始め
るには、制御データ・キーCDKを発生してUAのCD
Kレジスタ34に格納し、システム・メッセージを(レ
ジスタ39にあるそのユニークなメッセージ・キーMK
を用いて)UMKのもとで暗号化して構成し、KDCに
送信する。こうしてKDCはUAがUMKを設置したこ
と、およびCDKがUAとKDCとの間のリンクの両端
に設置されたことを知るので、CDKをUAからKDC
への将来の通信に使用することができる。KDCは承認
メッセージをUAに送シ返してCDKを受取ったことを
認める。
その他に、KDCは、同じ方法で、このUA用にKDC
自身のCDKを発生し、U M Kのもとで暗号化して
、UAに送信する。U Aはこのメッセージを受信し、
これを解読してKDCからのCDKを得る。こうl−て
UAとKDCとの間に、各方向に一つづつの一対のCD
Kを用いてリンクが設置される。リンクの両端は今後の
メッセージを暗号化するために発生されたCDKを使用
するとともに、リンクの他端から受信する今後のメッセ
ージを解読するため他端から受信したCDKを使用する
。メッセージを送ることができる二つの方向に対してこ
のように一対のキーを使用することはUA同志の間のリ
ンクの場合にも行われる。
UAからのCDKを備えたメッセージをKDCが受取っ
たことの承認を別々の異なったメッセージにする必要は
ないが、その代、9KDCから七のCDKをUAに送信
するメンセージの一部として入れることができる。その
メッセージは今度はUAによシ承認される。したがって
C1)Kの交換は三つのメッセージで行われる。すなわ
ち、UAからKDCへのCDKと、KDCからUAへの
CDKによる受信の承認と、UAからKDCへの承認と
である。
このようにUAとKDCとの間のリンクは各方向に別個
のCDKを備えた双方向のものである。
この方法でUAとKDCとの間に一部リンクが設置され
ると、両ユニット間の今後のほとんどすべてのメッセー
ジはCDKを基本キーとして用いる。
CDKの使用が所定限度を超えると、新しいCDKが作
られ、上述のようにUMKによる暗号のもとに送信され
る。UAとKDCとの間のメッセージの流れは比較的少
ないので、この2レベル(UMKとCDK)の階層は、
UMKの変更を稀にしか必要としないシステムき当分の
開動作させるのに充分である。事実、UMKの使用は、
以下でわかるようK、新しいLMKが必要なとき、UA
間の成る通信にも依存する。UAとKDCとの間のメッ
セージは一般にユーザ(UA)が他のユーザ(UA)と
のリンクを設置または破壊したいときにのみ必要であり
、これは(リンクは実質的に永続的であると見なされて
いるので)稀に、しかもLMKを更新する場合にしか起
らない。
一般に、リンクを伝わって二つの方向に流れるメッセー
ジ(ユーザであろうとシステムであろうと)の数は互い
に同じである必要はない。したがって続いて起る新しい
CDKの個々の更新ではリンクのCDKの一方の更新し
か行なわれない。このような更新では新しいCDKを成
る方向へ送出し、これに対する承認メッセージが逆方向
に送出される。
必要ならば、システムが最初に立上げられる際必要なす
べてのリンクを設定するように、KDCをプログラムす
ることができる。これを行なうには各UAのキー輸送ユ
ニット31(第2図)にかなシの数のシス′テム・メッ
セージを格納する。これらシステム・メッセージは暗号
化が不必要である(このメッセージはUMKと共に輸送
され、その安全性は、UMKの安全性と同様に、物理的
であるため)。もしこうしなかつたなら、これらのシス
テム・メッセージは、システムが最初に動作状態になっ
たときKDCと各UAとの間で送信されなければならな
いことになるものである。これによりKDCIC関する
システム・メッセージの最初の数が著るしく減少する。
KDCの構造はUAの構造と同じであシ、第3図にブロ
ックの形で示しである。制御ユニット50(第2図に示
すUAの制御ユニット30に対応)と一つのメソセージ
・アセンブリ処理回路51が設けられ、メッセージ拳ア
センブリ処理回路51にはメッセージ・アセンブリ・レ
ジスタ52(メッセージ・アセンブリ・レジスタ37に
対応)がある。暗号化/解読ユニット、メッセージ認証
コード計算ユニット、およびMACコンパレータの関連
回路はここではメッセージ・アセンブリ処理回路51の
一部と見なしてちゃ別個には図示してない。KDCには
各UAに対してキー・レジスタと使用カウンタの集合体
が個別に設けられている。ここでは、送出の場合KDC
が使用するキー(すなわちVラスタ32.34、および
39.および関連する便用カウンタおよびキ二番号レジ
スタに対応する)、およびUAがKDCKメッセージを
送る場合に使用するキー(すなわちレジスタ46と47
および関連レジスタ48と49に対応する)の各集合体
を、ブロック53.54.55、・・・・・・で示して
あ不。ブロック53.54.55、・・・・・・はセレ
クタ回路61で制御されるマルチプレクサ60によりメ
ッセージ・アセンブリ処理回路51に対して多重化され
ている。セレクタ回路61の内容によシ、ブロック53
.54.55・・・・・・ から適切な一つを選択して
受信メッセージを処理し送出すべきメッセージを準備す
るキーを得る。このようにしてメッセージが受信される
と、セレクタ回路61にメッセージ・アセンブリ・レジ
スタ52のSC区画の内容が入れられる。この区画に受
信メッセージのソースコードが入ワておシ、従ってとの
UAからメンセージが来たかを識別する。受信メッセー
ジを送出したび人に応答メッセージを送シ返さなければ
ならない場合には、セレクタの内容は変更されず、これ
によジブロック53.54.55・・・・・・のうちの
適切な一つが応答メッセージの準備のため選択されたま
まになる。しかし、メッセージを別のUAに送出しなけ
ればならない場合には、セレクタ回路61の内容をもち
ろんそれに従って変えなければならない。これは、たと
えば、リンクを設置している最中に生ずる。UAIから
KDCへのリンクの設置を要求するメッセージには、そ
のMB区画に、UAI向けのコードが含まれておシ、こ
のコードは適切なメッセージをUA2に送出するためセ
レクタ回路61に転送しなければならない。二つのコー
ドはこの場合、メッセージがUAlおよびUA2へまた
これらから送受されるので、セレクタ回路61によシ交
互に使用される。
UA間の通信 通信が可能なためには、UA対の間にリンクが設定され
なければならない。このような各リンクはUAlOJ′
−KDCに自分と他の指定したUAとの間にリンクの設
定を要請することによって設定される。K D Cは、
リンクに含まれることになるいずれのUAも他ODAと
の間で備えることができるリンクの数に関する上限を超
えていす、要求されたリンクの「受信」端にあるUAが
リンクの受入れを拒絶しなければ、要求されたリンクを
設定する。一旦リンクが組立てられてしまうと、両端の
UAは同等の立場に立っているという点で対称である。
どちらも他に対して送信することができ、あるいはリン
クを切る決断をすることができる。
リンクを設定するプロセスを第[[A表に要約しである
が、この表ではリンクを要求するUAはUAlと呼ばれ
、UAlがリンクを持ちたい相手のtJAをUA2と呼
んでいる。
第[A表 UA1→KDC:UAIがKDCにUA2とのリンクを
要請する。
UA2←KDC:KDCがUA2に送信LMKと受信L
MKを送る。
UA2→KDC:UA2が受信を確認する。
UAI←KDC:KDCがキーをUAIIC送る。
一層詳細には、UAIのユーザが、UAIのユーザによ
シ指定された他のUAであるUA2とリンクを設定した
いとき、UAIはシステム・メッセージをKDCに送る
。このシステム・メッセージは、UAlがKDCへのシ
ステムOメッセージに使用する(もちろんCDK更新に
関連するシステム・メッセージを除く)キーである、U
AIのCDKキーを基本キーとして使用し暗号化して送
られる。そのメッセージ−タイプはUAlがリンクを設
定することを要求していることを示し、メッセージ本体
はUA2のコードを含んでいる。このメッセージを受信
すると、KDCは一対のランダムなLMKを作り、メッ
セージをUA2に送る。
そのメッセージのメッセージタイプはUA2にUA1と
のリンクを受入れたいか否かを尋ね、またメッセージ本
体はUAIおよび二つのLMKのコードを有している。
これらはすべて基本キーとしてK D CからUA2に
メッセージを送るのに使用されるCDKを使用して暗号
化されている。UA2がこのメッセージを受取ると、そ
のユーザはリンクを受入れるか否かの意志決定をしなげ
ればならない。リンクが受入れられれば、メッセージは
UA2からKDCに送られる。このメソセージはリンク
の受入れを示しまたUAIのコードを含んでいる(UA
Iのコードをここに入れるのは他のUAに関連する設定
用メッセージから区別するためである)。このメッセー
ジはまた、メッセージをUA2からKDCに送るのに使
用されるCDKを基本キーとして使用して暗号化される
。KDCは、このメッセージを受取ると、メンセージな
UAIK送ってUA2によるリンクの受入れを示すとと
もに、メッセージをKDCからUAIに送るのに使用さ
れるCDKを基本キーとして使用して暗号化したUA2
のコードおよび二つのLMKを取入れる。この結果、二
つのUAすなわちUAIおよびUA2は今は互いに直接
通信するのに使用することができる一組のLMKを共有
することになる。
リンクを設立できない一定の状況が存在する。
実際問題として、UAにはこのようなリンクを維持する
ための限られた容量しか設けられていない。
したがってUAIが既に可能最大数リンクを持っている
場合には、他のリンクを設定しようとすることを拒むこ
とになる。ユーザには現存するリンクを切ってそのUA
が新しいリンクを受入れる容量を作υ出すようにする選
択権がある。また、UA2が既に可能最大数のリンクを
持っていることもある。そのときはKDCにシステム・
メッセージを戻してこの旨を示し、KDCは今度はシス
テム・メッセージをUAlに送って要請したリンクが拒
絶されたことを示す。(望むならば、UA2をそのユー
ザにUAIがリンクを要求していることを示し、そのユ
ーザが現存するリンクを切って、要求されたUAlとの
リンクを受入れる容量な作)出すように構成することが
できる。)加えて、上に記したように、UA2にこのよ
うな能力があれば、そのユーザは要求されたリンクを受
入れるべきか否かを尋ねられ、もしユーザが拒絶すれば
、UA2は再びK D Cにこのことを示すシステム・
メソセージを送る。このようなシステム・メッモジをK
DCに送るとKDCは何が起ったかを示す対応メッセー
ジをUAIに送、9.UAIのユーザは要求したリンク
が拒絶されたことを知る。(安全システムではユーザの
要求が拒絶されたとき、拒絶の理由が示されないのが普
通である。)第4図に、第2図に示したよシも概略的に
UAの構成を示す。メソセージ・アセンブリ処理回路は
ブロック75で示してあり、メッセージ會アセンブリ・
レジスタ37、暗号化/解読ユニット41、およびメッ
セージ認証コード計算ユニット42を備えている。数ブ
ロックのキー・レジスタおよび関連回路が存在する。ブ
ロック70は第2図に示す各種キー・レジスタとそれに
関連するカウンタとを含んでおシ、すべてKDCとの通
信に関係する。ブロック71.72、・・・・・・は同
様なキー・レジスタとカウンタな備えているが、各ブロ
ックは別々のUAとの通信と関係するみ従って、これら
各ブロックはとのUAがそのブロックに関連しているか
を識別するUAアドレス・コード−レジスタ(レジスタ
73)を備えている。これらレジスタには、当該UAの
ユーザが他のUAとのリンクを要求して認可されたとき
、および他のUAが当該UAとのリンクを要求し認可さ
れたとき、この他のUAのアドレス會コードが入れられ
る。ブロック70.71.72、・・・・・・はマルチ
プレクサ74により選択される。KDC用のブロック7
oの場合、選択はメッセージ・アセンブリ・レジスタ3
7のSC区画または制御回路30により直接制御される
。他のブロックの場合には、選択は(着信メッセージに
応答して)メッセージ・アセンブリ・レジスタ37のS
C区画にあるアドレス・コードと各種レジスタ7.3の
内容とを比較することKより決定される。送信メッセー
ジの選択の場合には、選択はユーザが決定する(実際に
はそのアドレス・コードに対してユーザが定義したDA
識別子を格納するPCl4に格納されている表を用いて
間接的に行なわれる)。
ブロック71.72、・間引まUMKレジスタが含まれ
ておらず、UAにはもちろん、ブロック7゜に入ってい
てキーの全階層の最高レベルを形成する送受用の唯一つ
のU M Kだけが存在することがわかるだろう。これ
ら各ブロックは二つの送信キーLMKとLDK、および
受信キーの各レベル(この場合、LDKIおよびLDK
2)lc2つのキーを有している。低レベル・キーLD
Kは比較的稀にしか(たとえば5oメッセージおき′V
C1回)変らないので、現在のおよび直前のバージョン
以外のものを保存しておくことは不必要であり、また高
レベル・キーは、たとえ稀でも、変化するので、直前の
バージョンの他に現在のものをも保存して丁度それが変
化したときに対処しなければならない。
一部リンクが設定されると、ユーザ・メッセージをUA
IからUA2にまたはその逆に送ることができる。リン
クは明らかに一つのUAによる要求に応じて設定されな
ければならないが、一旦設定されてしまえば、それは対
象的である。ユーザ・メッセージを送るには、そのプロ
セスはシステム・メッセージの送出とほとんど同じであ
る。しかし、メッセージ・アセンブリーレジスタ37の
メッセージ本体区画MBは限られた長さしかない。
セレクタ・スイッチ76はメッセージ・アセンブリ・レ
ジスタ370MB区画から暗号化/解読ユニット41へ
の接続経路中に入っており、ユーザ・メッセージに対し
ては、メッセージの本体は、連続する64ピツトのブロ
ックとして、レジスタ部分からではなくPCl4から暗
号化/解読ユニッ)41に送シ込まれ、暗号化されたメ
ッセージは1ブロツクづつPCl4に送シ返される(P
Cl4はこの点ではインターフェース−ユニット43と
して動作する)。次にメッセージのMACが計算されて
メッセージ・アセンブリ・レジスタ370MAC区画に
送シ込まれる。メッセージの長さは、たとえば、MT区
画の一部としであるいはメッセージ本体の最初の部分と
して含まれている長さ値によって示される。
メッセージ認証コード計算ユニット42は同時に暗号器
として動作するように構成することができるので、メソ
セージ本体の暗号化が始まる前へメッセージ・アセンブ
リ・レジスタ37中のMB区画の左側の内容をメッセー
ジ認証コード計算ユニット42へ与え、次にメッセージ
本体がユニット41から出て来るにつれて、1ブロツク
づつそこへ与える。これにより最後のMACがメッセー
ジ本体の最後の暗号化ブロックの直後に利用できる。た
だし、MACの計算には実際暗号化と同一のプロセスが
含まれているので、実際には暗号化/解読ユニット41
を用いて行うのが望ましい(それ故メッセージ認証コー
ド計算ユニット42は物理的にユニット41とはりき部
分れたユニットとしては存在しないが、もちろんその論
理的機能は明確に分かれている)。もちろん、この場合
には、MACは暗号化と並行して計算することはできず
、暗号化の後で計算しなければならない。
ユーザ・メッセージが受信されると、受取シを確認する
特別なユーザ・メッセージが自動的に発生され、送信者
が要求する場合には、送信元UAに戻される。このよう
な要求は適切なメッセージ・タイプMTで示される。
通信媒体11は信頼性が充分ではないので、通信媒体1
1によるメッセージ喪失の可能性、二つのメッセージの
順序の反転、およびメッセージの重複に対する備えを設
ける必要がある。これら設備はユーザ会メッセージとシ
ステム・メッセージとでは異なる。ユーザ・メッセージ
に対する設備についてここに説明することにする。もち
ろんメッセージが失なわれたということは、以後のメッ
セージが受信されるまでは検出することは不可能である
これらの設備は主として、二つの受信LDKレジスタL
DK1とL D K 2に関連する1対のビット・レジ
スタ(ビット・マツプ)77と78から構成されている
。各ブロック71.72、・・団・はこれらレジスタの
それぞれの組を備えている。ブロック71についての組
を第4A図に示す。レジスタ77と78の長さは、ビッ
ト数で表わせば、対応する送信元UAのLDKキー・カ
ウンタが0にリセットされるときのカウントに等しい。
各ユーザ・メソセージが受信されるにつれて、送信元U
AのL D Kの使用カウントに対応するビット(これ
はメッセージ番号K Nの一部である)がセントされる
。受信されたメッセージに対応するビットが既にセット
されている場合には、メッセージな既に受取っているこ
とを示す。したがって今回受取ったバージョンは重複し
ているものであり。
システムによって捨てられる。
ユーザ・メッセージが受信されなければ、通常はシステ
ム動作は起らない。事実、システムは、メッセージ番号
が必らずしも連続していないので、喪失されたユーザ・
メッセージを識別できるようにはしない。それ故セット
されているビットより順番が若いセットされていないビ
ットは、ユーザ・メッセージが末だ受信されていないと
いうことではなく、その番号を持つユーザ・メッセージ
が存在しないということを意味するかもしれない。
システムは、ユーザ・メッセージが脱落していることを
、次のメッセージを受取った時点で識別することができ
るように修正することができる。
これは、たとえば、ユーザ・メッセージに、既述のメッ
セージ番号とともに厳密に連続した番号をも与えること
によシ、あるいは各ユーザーメッセージに先行ユーザ・
メッセージのメッセージ番号を入れることによシ行5こ
とができる。ただし、これを行ったとしても、メッセー
ジが受信されなかったことがわかったときどんな処置を
取るかの決定権をユーザの手に残しておくのが望ましい
たとえば見掛は上失なわれたメッセージが無くなったの
ではなく単に遅れているだけでまだシステムの途中に存
在しているということがある。ユーザは事態をそのまま
にしておくかあるいは彼自身のユーザーメッセージを失
なわれたメッセージの再発信を要求している他のUAの
ユーザに送るかついずれかを選択することができる。こ
のような再発信はシステムに関するかぎυ全く新しいユ
ーザ・メッセージの送信として行われることになム新し
いメッセージが事実前に送りだが失われたメッセージの
繰返しであることの指示を入れるのは送信元ユーザの義
務である。
上述のとうり、ユーザ・メッセージが受信されると、確
認メッセージの送出が行われる。確認メッセージは特別
な種類のユーザ・メッセージとしてシステムによって自
動的に発生される。したがって、UAは送られたこのよ
うなメッセージの記録を保存し、この記録は受信の確認
が返送されたとき更新されるように構成することができ
る。これを実現するには、たとえばそのメッセージ・タ
イプが自動確認であることを示しているメッセージにつ
いてのみビットがセットされるビット・マツプを用いた
り、あるいはこのようなメッセージのメッセージ番号の
記録を保存したりすればよい。
これが行われると、ユーザは、確認がとられることが必
要なそのユーザのユーザ・メッセージのうちのどれがま
だ確認されていないかをつきとめ、そのユーザが適白と
考えるところにしたがってそれらを再送することができ
る。もちろん、確認の無いことが必らずしも元のメッセ
ージが意図したデスティネーションに到達していないこ
とを意味するものではない。単にそれに対する確認のメ
ッージが意図するデスティネーションに到達していない
ことを意味することもある。したがって、ユーザに対し
て儀礼上の問題および良い慣習として、正しい繰返しで
あるメッセージを送ったときは必らず、それが前のメッ
セージの再送であることを示すようKすることが望まれ
る。
リンクの最初の設定は二つのUAおよびKDCの間の各
種の可能なメッセージのシーケンスによって行うことが
できることが理解されるであろう。
このようなシーケンスの二つの例を第[8表および第■
C表に示す。
第[13表 UAI−一−−→KDC:UAtがKDCKUA2との
リンクを要求する。
UA2←KDC:KDCがUA2に UAIとのリンクを受入れるか尋ねる。
UA2→KDC:UA2が確認し同意する。
UAIおよびUA2←KDC:KDeが受信キーをUA
lとUA2に送る。
UAIおよびUA2→KDC:UAlとUA2が受信を
確認する。
UAIおよびUA2←KDC:KDCが送信キーをUA
IとUA2に送る。
第■C表 UAl−一→KDC:UA1がKDCにUA2とのリン
クを要求する。
UAzおよびUA2←KDC:KDCが受信キーをUA
IとUA2に送る。
UAIおよびUA2→KDC:UAIとUA2が受信を
確認し、UA2が受入れる。
UAIおよびUA2←KDC:KDCが送信キーをUA
IとtJA2に送る。
これらのシーケンスは、成る段階で、二つのメッセージ
が同時にK D Cから送出され、且つ二つのメッセー
ジが多かれ少かれ同時にKDCに返送されるという点で
、第[A表のシーケンスより複雑である。また、第JI
B表のシーケンスは4段階ではなく6段階から成るので
、第■C表のシーケンスは第1B表のシーケンスよシ望
ましい。
これら二つのシーケンスにおいて、プロセスはUA2が
提案されたリンクの受入れを拒絶すれば3番目のメッセ
ージの段階でアボートする。この事態が発生すれば、U
A2は拒絶のメッセージを3番目のメッセージとしてK
 D Cに送り、KDCは「リンク拒絶」メソセージを
4番目および最終メッセージとしてUAIに送る。最後
の二つのシーケンスの場合、各UAはその受信キーを他
のUAがその送信キーを受信する前に受信することに注
意されたい。これはUAは他のU Aがそのメッセージ
を受信するのに必要なキーを所有するまではこの他のU
Aにメッセージを送ることができないことを意味する。
第[A表のシーケンスの場合、UAIはUA2がUAI
の送信キーを受取るまではメッセージを送ることができ
ないが、UA2は送信キーをUAIカU A 2の送信
キーを(UAIの受信キーとして)受信する前にその送
信キーを得るので、UA2はUAIがこれを解読するた
めの必要キーを所有する前にUAIKメッセージを送信
することができる。この状況はリンクが最初に設定され
るときにのみ発生し得る。そこで、リンクき要求したU
Alが最初にメッセージを送りたくなることはありそう
なことである。しかしUAIが解読用キーを受取る前に
UA2がメッセージを送ろうとすることは起る可能性が
ある。その結果、メッセージは。
メッセージ番号からそれがメッセージを解読するに必要
なキーを所持していないことを知ったUAIKより拒絶
されることになる。ここで一つの選択は単にメッセージ
を却下して、それが実際上失われるようにすることであ
る。メッセージがシステム・メッセージである場合には
、後に説明するような処置が取られる。それがユーザ・
メッセージである場合には、これは上述のように処理さ
れ、この送信はおそらくメッセージが受信されないこと
を見つけるだめのユーザ自身のリソースに委ねられる。
あるいはUAはこのようなメッセージを格納してそれら
を解読するためのキーの受信を待つように構成すること
ができる。
リンクが確立された後、ユーザがリンクの他端のUAと
これ以上通信する必要がないことを確信していれば、ま
たは1−ザが他のリンクを設置したいがこのUAが収容
できる最大数のリンクを既に持っていてそのため現行の
リンクを終結して新しいリンクの余地を作ることだけし
かできなけれ&くこのUAはこのリンクを終結させたい
かもしれない。これを達成するには、UAIはそれ自身
からリンクに関する情報をすべて削除してリンク終結シ
ステムφメッセージをK D Cに送る。KL)Cはこ
れを記録してシステム・メンセージをUA2に送りUA
2からこのリンクに関するすべての情報を削除すること
を指示する。KDCは、削除が存在しないリンクに関す
るものである場合にはエラーとしてリンク削除を記録す
る。(このような「エラー」はリンクの両端が同時にリ
ンクの終結を要求する場合には自然に発生する可能性が
ある。というのは、他のメッセージが他方のメッセージ
のKDCへの到達前にKDCに到達してリンクを終結す
るからである。) システム・メッセージ・エラーの回復 上に記したように、メッセージは種々な経緯で「失なわ
れる」ことがあシ、また(通信媒体11のくせによるか
または部外者が記録しては故意に再生することにより)
重複することがある。ユーザ・メッセージに関しては、
このような事態を処理する方法について上述した。シス
テム・メッセージに関して、このような事態を処理する
方法を説明しよう。
システム・メッセージの場合、失なわれるものが皆無で
且つ正しい順序で処理されることが肝要である。UAの
各リンク(すなわちKDCとの永続リンクおよび他のU
Aとの各リンク)毎に、そのリンク上に送出される(単
なる確認とは別の)システム・メソセージはすべて格納
される。これらは以下の二つの状況で記憶装置から除去
される。
すなわちそれらに対する確認メッセージを受信したとき
、またはそれらが冗長になったときである。
新しいシステム・メッセージが送出されるたびに、新し
いパケットが準備され、このパケットに、記憶装置に入
っているすべてのシステム・メッセージが新しいシステ
ム−メッセージをパケットの最後に置いて正しい順序で
入れられる。このようにして新しいシステム・メッセー
ジが発生するごとに、未確認でかつ冗長でない古いシス
テム・メッセージがすべてその前端に付加され、すべて
のメッセージ(つまシ、古いメッセージプラスこの新し
いメッセージ)はパケットとして送られる。それ故受信
側では、新しいシステム・メッセージが発生するごとに
、すべての未確認システム・メッセージの新しい組合せ
を正しい順序で受信する。
そこで、そのパケット中のどのメッセージの前にもすべ
ての未確認かつ非冗長メッセージが正しい順序で並んで
いるので、受信側は必然的にシステム・メッセージを正
しい順序で必らず処理することになる。もちろん、受信
側はその時点までにこれらのシステム・メッセージのう
ちのあるものな含んだより以前のパケットを受取ったこ
とがありそのシステム・メッセージについては既に処理
がなされていたかもしれない。受信側は、リンクごとに
、処理を行なった最後のメッセージの記録(メッセージ
番号による)を保存1−ニーるので、重複しているメッ
セージ、特に今受取ったパケットに入っているそのよう
なすべてのメッセージを含めて、すべて無視する。受信
側は新しいパケットが届くとすぐそのパケットに入って
いるメッセージへの応答を開始する。
確認メッセージはメソセージの受信を確認する以外の何
者でもない単なる確認メッセージであることがあり、あ
るいは成る情報を運ぶ普通のシステム・メッセージであ
ることもある。後者は着信システム・メッセージに応答
して発せられるので、その先行メッセージを暗黙裡に確
認する。システム・メッセージはその効果が後のものに
より取消されると冗長なもの忙なる。たとえば、リンク
の設定を要求するメッセージはそのリンクの解消を要求
する後のメッセージにより取消される。
厳密に言えば、重複メッセージは完全に無視されるので
はない。重複メッセージが検出されると、単なる確認が
送信側に送シ返されるが、このメッセージにはそれ以上
の処理が加えられることはない。これは通常のメッセー
ジの確認がシステム内で失なわれてしまっていることが
あるからである。
仮に送信側がそのメッセージに対する確認を以前に受取
っていれば、そのメッセージは再送されなかったであろ
う。そこで、もし重複メッセージの確認が送られなけれ
ば、送信側はそれを繰返して送シ続けるであろう。だが
、送信側がメッセージに対する確認を受取れば、確認メ
ッセージのメッセージ番号以上のメッセージ番号を持つ
すべてのメッセージを再送記憶装置から安全に削除する
ことができる。何故なら、メッセージは、すべての先行
メッセージが順当に受信されている場合に限り、受信側
によりて受信され、処理され、且つ確認されることがで
きるからである。
これにより、すべてのシステム・メッセージが正しい順
序で確実に処理を受けることが保障され、また新しいメ
ッセージが発生されるごとに行われる自動再送信により
最後のメンセージがより以前のメッセージの再送によっ
て遅れることがないということが保障される。その他に
、メッセージを再送する第2の方法がある。メッセージ
・パケットの送信後新しいメッセージを発生せずかつ確
認も受取らないままに充分長い時間が過ぎたら、記憶装
置95に記憶されている現メッセージのパケットが自動
的に再送される。
このようなパケットを構成することにより、メッセージ
は常に正確に同じ形で送信される。ただし、メッセージ
は現在の基本キーのもとで再暗号化される。パッケージ
全体をひとつのユニットとしてまたは単一のメッセージ
として送信することが可能である。ただし、その中の個
々のメッセージが解読されるにつれて処理を受けること
ができるような形で送ることが望ましい。そうすれば、
メッセージが中断されたbtiつけられたりした場合、
その一部分だけが失われ、受信側は最新の状態に向かっ
て途中まで進んだ状態に居ることができるからである。
これが意味しているのは、パッケージの認証は、ここの
事態は発生する可能性はあるがパケットはなお妨害から
保護されていて部外者がシステムを偽のメッセージに応
答するようにだますことができないようにτ′Lも丁し
なければならないということである。
パケットのフォーマットは、メソセージ・アセンブリ・
レジスタの左端(SC,DN、MT、KN、およびMK
の各区画)にある通常の「ヘッダ」情報で始まる。MT
区画の内容はメッセージが二つ以上のメッセージのパケ
ットであることを示すインジケータ・ビットを含んでい
る。KN区画のメッセージ番号は今のメッセージのメッ
セージ番号である(このメッセージはパケットの最後に
あるもの)。パケットの最初のメッセージは格納されて
いるメッセージである。このため、パケットに入ってい
るすべての格納メッセージに関しては、ソースコードや
デスティネーシコンコードは心安がなく、特別なMKも
心安がない。したがってそれは省略形メッセージとして
組立てられ、そのメッセージタイプ(もしこれが一連の
格納メッセージの最後のものでない場合にはインジケー
タ・−ビットが付いている)、メッセージ番号KN、お
よびメッセージ本体MB(もしあれば)から構成される
。またPMAC区画を備えており、これは(単一メソセ
ージに関して)空白である。このよ517C組立てられ
たパケットのMACが計算されてΔiAC区両に入れら
れる。
パケットの次の区画を今度は、次の格納メッセージを、
あるいは格納メッセージがもうすべて入れられてしまっ
た場合には、現行メッセージを、取入れて組立てる。こ
のため、パケットの前のメッセージに対して計算したば
かシのMACをPMAC(前のMAc)部分に入れ、こ
のPMAC値を暗号化し、パケットの現在の部分に取入
れられているメッセージについて計算された新しいMA
Cによシカバーされているフィールドに入れる。
このプロセスは現メッセージがパケットの最終部分を形
成するまで続けられる。現メッセージのMB区画にはM
T区画およびKN区画は含まれない。
なぜならこれらは既にパケットのヘッダに入っているか
らである。) このパケット構造ではパケットを1メッセージづつ解体
し、解読し、処理することができることが明らかである
。その上、個々のメッセージおよびそのシーケンスはと
もにMACのシーケンス鎖によって認証される。各MA
Cはそれに先行するメッセージの完全性を確認し、各メ
ッセージはそれに入っている前のメンセージのMACを
所持しているので、シーケンスの変化(メッセージの順
序変え、削除、または繰返し)があれば、シーケンスを
逸脱したメッセージが届くとすぐにそのMACはチェッ
クを通らなくなることになる。
受信側は、パケット中の個々のメッセージに個別に応答
する。ただし、応答メッセージはどれも(単なる確認メ
ッセージ以外の)即座には送出されずにメッセージ記憶
装置に入れられ、その着信パケットが完全に処理されて
しまってはじめて、これらの応答メッセージは単一パケ
ットとして(古い未確認メッセージとともに)送出され
る。(もしこうしないならば、これら応答は、一連のよ
シ長いパケットとして、繰返し送出しなければならなく
なる。) 上記のように、パケットの長さは、メッセージを鎖状に
接続すること、および各メッセージのMTに、以後に続
くメッセージが存在するか否かを示すビットを入れるこ
とにより黙示的に示される。
これによりもちろん受信側は、MB本体にそのMTとK
Nが入っている再送信メッセージと、パケットのヘッダ
にそのMTとK Nが入りている現メッセージ(パケッ
トの最後のメッセージ)とを区別することができる。代
シの技法は、ヘッダ中くたとえばMT区画またはKN区
画の一部としてバケット長さ値(メッセージの数)を入
れることである。
新しいシステム・メッセージが発生するととに未確認シ
ステム・メッセージのすべてをこのように再送信する方
式では、不必要な再送信は非常洗わずかしか起らない。
再送信が不必決であると正当に言うことができるのは、
メッセージは正しく受信されたがその確認を元のUAが
未だ受取っていない場合か、あるいはその確認が道に迷
ってしまった場合だけである。代案としては、受信側が
受取った最後のメッセージのメッセージ番号の記録をと
っておき、新しいメンセージがその番号の次の順番のメ
ッセージ番号を持っていないことがわかった場合に、失
なわれたメソセージの再送信の要求を送ることである。
しかしこの技法は厳密に連続したメッセージ番号を使用
することを心安としており、また受信側が現メッセージ
を処理することができる前は二つのメッセージ伝達(要
求と応答)をするという遅れを生じ、これら「回復」メ
ッセージが道に迷りた場合には、なお更に遅れる。シス
テム・メッセージは比較的短く、それ故1つのパケット
によシ未確認メッセージを皆再送信する費用は高価にな
シそうもないということも注目しておいてよい。これは
ユーザ・メッセージの場合とは対照的である。ユーザ・
メッセージの長さは非常にばらつきやすく、且つ非常に
長いことがあるからである。
パケットは(単一のユーザ・メッセージと比較して)か
なシのまた可変の長さを持っているか板パケットは再送
信のためユーザ・メッセージと大まかには同じ方法で準
備され、連続するブロックは暗号化、解読ユニットに送
シ込まれ、暗号され認証されたメッセージは、発生され
るに従りてインターフェースeユニット43として働<
PCl4に蓄積される。
これらの動作に関係する装置を第3図、第4図、および
第5図に示す。端末(UAまたはKDC)Kは、その端
末からの各リンク毎にそれぞれのシステム・メッセージ
格納ブロックがある。すなわち、KDC内にはすべての
1末UAI、UA2.UA3、・・・・・・へのリンク
についてブロック85.86.87、・・・(第3図)
があシ、また各UA端末にはKDCへのリンクとリンク
されている端末UA−I、UA−n、・・・・・・とに
関するブロック90,91.92、・・・(第4図)が
ある。これらブロックはもちろんメッセージアセンブリ
処理回路51または75にマルチプレクサ60または7
4を介して接続されている。第5図はブロック85の主
妾構成要素を示す。他のブロックは実質的に同じである
。未確認システム−メッセージを格納する記憶装f!9
5があシ、これは幾分FIFO(先入れ先出し)記憶装
置のよ5に動作するが、非破1a読出しが行なわれる。
システム・メッセージは上からこの記憶装置95に送シ
込まれ、それらが削除されるまで着実に下に移ってい(
。記憶装置95の中のメッセージにはそれと対応してそ
のメッセージ番号KNが区画96に格納されている。レ
ジスタ97は最後に確認されたメッセージのメッセージ
番号RXKNを格納しており、これが変ると記憶装置9
5中のメッセージは、メッセージ番号RXKNと一致す
るメッセージ番号を区画96中に有しているメッセージ
まで上向きに削除される。新しいシステム・メッセージ
が用意されつつあるときは、なお記憶装置95に入りて
いる古いメッセージはすべて上向きに、すなわち最も古
いものが最初に、非破壊的に読出される。次に新しいメ
ッセージが記憶装置95の最上部に入る(また既に記憶
装置95に入っているメッセージはすべて押し下げられ
る)。
事実には、キー階層内の基本キーのレベルによって、二
つのクラスのシステム・メッセージがあシ、それらはシ
ーケンスの異なるメッセージ番号K Nを有している。
したがって記憶装置95とレジスタ97は二重になって
いるので、二つのクラスのメッセージは別々に格納され
、ブロック85は二つのクラスのための二つの区画Aお
よびBから構成されている。高位の基本キー(すなわち
階層の高い基本キー)のメッセージはすべてパケット内
で低位の基本キーのメッセージに先行する。
このことはメッセージは元々発生した順序と厳密に同じ
シーケンスでは送られないということを意味する。ただ
し、この影響は幾つかの新しいキーがそうでない場合よ
りわずかに早く到達することがあるということだけであ
る。
ブロック85はまた、システム・メンセージが最後に送
シ出されてから経過した時間を測定するのに使用される
タイマTMR98を有し、このタイマ98の時間が予め
設定された限界を超過したときまだ確認されていないシ
ステム・メッセージの再送信をトリガする。このタイマ
98はバケットが送シ出されるごとにOにリセットされ
る。
各UAのブロック90.91.92、・・・・・・は安
全モジュールに入っていて、再送信を待っているメッセ
ージのリストを考えられ得る部外者から安全に守るよう
になっている。ただし、K D Cでは、対応するブロ
ック85.86.87、・・・・・・は安全モジュール
には入っていなくて、色々な理由のため、支援用記憶装
置に入りている。KDCにはすべてのUAとのリンクが
あるので、格納されているメッセージの数はUAのもの
よシはるかに多いと思われる。格納メッセージの喪失(
たとえば計算ユニットコンピュータ)18の故障による
)は、(後に説明するように)KDCはバックアップお
よび復元の手続を所持しており、またKDCはUAより
部外者による攻撃が少いと思われるので、UAでの対応
する喪失はど重大ではない。支援用記憶装置に格納され
ているこのKDC情報は、偶然のまたは故意の変造に対
して、次に説明するローカル・メッセージ格納技法によ
って保護されている。
ローカル・メッセージ記憶装置 UAにメッセージを安全に格納できることが望ましい状
況が存在する。したがってユーザは、ユーザ・メッセー
ジが受信されたときそこにいないかあるいはそのメッセ
ージを保存しておきたいかのいずれかのため、受信した
ユーザ・メッセージを安全に格納しておきたいことがあ
る。またユーザは、UA内に、自分が発生したユーザ・
メッセージのような資料を安全に格納したいことがある
本システムはこれら両方の設備を提供する。
受信したメッセージなUAに格納する場合には、受信し
たときの形、すなわち解読してない形でディスクメモリ
15等の支援用記憶装置に格納する。
このことは、部外者が格納メッセージにアクセスするこ
とができたとしても、通信媒体11に載りているメッセ
ージを傍受して得ることができた以上の知識を得ること
ができないこと、特に、通信媒体11に現われたままの
メッセージを支援記憶装置に格納されているメッセージ
と比較しても何も得るところがないことを意味する。た
だしユーザはもちろん自分自身で後にメッセージを解読
することができなければならない。したがって、メッセ
ージにはそれを暗号化したLDKが付属している。この
LDKは、キーが安全モジュールの外側に平文で存在す
ることを許容され得る状況はないので、それ自身暗号化
された形になっていなければならない。それでこれはキ
ー階層でその上にあるLMKのもとで暗号化されて格納
されていもそのLMKも、再び暗号化された形の、階層
の最上部にあるL M Kのもとで暗号化された、メッ
セージに付属している。LMKそれ自身は、階層の最上
部にあるので、暗号化することができず、メッセージの
一部として平文で格納することもできない。その代り、
メッセージが格納される時にこの識別番号を付加する。
キーは二つの異なる形で現われるべきではないというこ
とが重要である。各キー(UMKは別)は基本キー(そ
の上位のキー)およびメッセージ・キーのもとで暗号化
されて受信された。キーは安全モジュールのブロック7
0.71.72、・・・・・・に平文で(すなわち解読
されてから)格納される。
各キーはそのため受信されたときの暗号化された形で、
その暗号化に使用されたMKとともにこれらのブロック
に格納される。キーがメッセージに付加されると、格納
されている暗号化された形態および関連するMKが付属
部を形成するのに使用される。
UAはUMKa歴記憶装置UMKH105(第4図)を
備えておυ、これには現在のおよび過去のU M Kが
そのシリアル番号(識別番号)とともに格納されている
。新しいU M KがKDCブロック70に入ると、そ
れはUMKH履歴記憶装置105にも入る。メッセージ
への一連の付属部を発生するには、各種レベルのキーを
今度はメッセージ・アセンブリ処理回路75の中で、そ
れぞれその上位のキーのもとで暗号化し、最後に現UM
Kのシリアル番号をブロック70のU M Kキ一番号
レジスタ40A(第2図)から取る。(UkiK履歴記
憶装置105の容量は有限であるから、一杯になれば、
過去の古いU M Kがそれから取出されて、もっと最
近のU M Kのもとで暗号化された上でディスクメモ
リ15に格納される。) 格納されたメッセージを回復するには、付属部を一つづ
つ第4図の回路に送る。この際、最初のものはU M 
K H歴記憶装置105から適切なL M Kを得るの
に使用するU M Kのシリアル番号であり、次の付i
部はU M 1<のもとで解読してLMKを得るために
メッセージ・アセンブリ処理回路75に送られ、最後の
付属部はこのLMKのもとで解読してL D Kを得る
ためメッセージ・アセンブリ処理回路75に同様に送ら
れ、次にメッセージ自身がLDKおよびメッセージに埋
込まれているMKのもとで解読してメッセージの本体を
得るためメッセージ・アセンブリ処理回路75に送られ
る。
実質的に同じ技法がローカルに発生されたメッセージを
安全に格納するのに使用される。安全格納キーブロック
S S K 107は、ブロック70.71.72、・
・・・・・と同様であるが、ローカル・キー階層PMK
%PSMK、およびPDKのための一組のキー・レジス
タを備えている。(安全格納キープロック106は、「
送信」キーに対応するキーだけしか備えていないので同
様なブロックよシ小さく示しである。
明らかに、「受信」キーに対応するキーを格納する必要
性はない。)メッセージを格納するには、メッセージを
、メッセージ・キーKMと現行のPDKとを用いて通常
の方法で暗号化する。これによシ、メッセージには、P
SMKのもとで暗号化されたPDK、PMKのもとで暗
号化されたPSMK、現行UMKのもとで暗号化された
P M K、および現行UMKのシリアル番号が皆格納
のため付加される。メッセージは他のUAから受取られ
安全に格納されたメッセージに関して行なうのと実質的
に同様にして解読することにより回復することができる
システムはまた、他のDAから受信したものであろうと
ローカルに発生したものであろうと、ローカルに格納さ
れているメッセージの認証を行う。
このような認証の目的はローカルに格納されているメッ
セージを、もちろん安全モジュール16ではないがPC
l4やディクスメモIJ 15等の記憶装置(第1図)
にアクセスすることができる部外者による妨害から防護
することである。このような部外者はメンセージを削除
し、メッセージを変更し、あるいはメッセージを挿入し
ようとするかもしれないからである。
ディスクメモリ15等の記憶装置(またはPCl4の内
部記憶装置)には長さがいろいろで巨つ記憶装置全体に
渡っているいろなロケーションに配置された各種のメッ
セージ111(第6図)が入っている。(もちろん個々
のメッセージは、ここに述べた原理に影響を与えること
なく、連続しないページの系列に普通の仕方で配置する
ことができる。)これらメッセージと関連してディレク
トリ112がある。このディレクトリ112は区画11
3に各メッセージの識別用タイトルとディスクメモリ1
5の中のメッセージのロケーションをリストするもので
ある。メッセージがディスクメモリ15に入ると、それ
に対応するMACがメッセージ認証コード計算ユニット
42により、メッセージ自身がそのもとで暗号化された
基本キーを用いて、計算される。このMACはディレク
トリ1120区画114に、区画113に格納されてい
るメッセージのタイトルとロケーションに関連付けて格
納される。その他に、ディレクトリ1120MACの全
体のリストが特殊メッセージとして取扱われ、これらM
ACに対してグローバルMACすなわちスーパーMAC
が計算される。このグローバルMACは安全モジュール
16の内部に設置されたグローμ/L/ M A Cレ
ジスタ115に格納される。
ディレクトリ112にリストされているところの格納さ
れているファイルの個々の完全性をチェックしたい場合
には、そのMACを計算し、ディレクトリ112に格納
されているMACと比較する。
これらMACは暗号化キーを用いて計算されるので、部
外者がファイルを修正しようとしても、イエ正したファ
イルの正しいMACを作ることができない。したがって
ブイレフl−’J 112のMACはその個々のファイ
ルを認証する。ファイルの全セットの完全性をチェック
しなければならない場合には、ディレクトリのMACの
グローバルMACを計算し、安全モジュール16の中の
MACコンパレータ44(第2図)により、グローバル
MACレジスタ115に格納されているグローバルMA
Cと比較する。部外者がブイレフ)IJ112を何らか
らの仕方で、たとえばエントリを削除したシ、エントリ
の順序を変更し、あるいはエンI−IJを挿入したりし
て、変更すれば、グローバルM、ACが変ることになる
。そしてグローバルMACは安全モジュール16に格納
されていてこれKは部外者がアクセスすることができな
いから、部外者はそれを変更することができず、変造さ
れたディレクトリのグローバルMACはグローバルMA
Cレジスタ115に格納されているグローバルMACと
合わないことになる。(MACはすべてキーを用いて計
算されているので、部外者は変更されたファイルのグロ
ーバルMACを計算することはできない。
しかし仮にグローバルMACにアクセス可能であったと
すれば、部外者は前のバージョンによりファイル全体お
よびグローバルMACを交換することができる。) もちろん、個々のファイルのMACを格納されたファイ
ルの一部として格納することができることは理解される
であろう。この場合、グローバルMACの計算にあたっ
てはディレクトリ112を使用して、そのメソセージか
ら格納されている各MACが探し出される。また、ディ
レクトリ112が充分大きければ、これを区画に分割し
て、区画MACをその区画で識別されるメッセージのM
ACから各区画について計算し5グロ一バルMACを区
画MACから計算するようにすることができる。
区画M八〇は平文で格納することができる。この場合こ
れら区画MACは部外者が修正することができるが、そ
のような区画M A Cはその区画に関連するメッセー
ジから計算したMACとうまく合致しないか、あるいは
そのグローバルM A CカyローバルMACレジスタ
115に格納されているグローバルMACとうまく合致
しないことになる。
ディレクトリ112はもちろんディスクメモリ15に設
置することができる。グローバルMACを安全モジュー
ル16のレジスタに格納するかわりに、これを安全モジ
ュール16の外部に格納することができる。ただし、こ
れは格納された情報のすべてを以前のバージョンで検出
されることなく置換えることができるという上に記した
危険を冒すことになる。
ユーザが格納されているメッセージを、たとえばメッセ
ージを変更し、新しいメッセージを追加し、あるいはメ
ッセージを削除して、変更したい場合には、付与された
。すなわち加えられたメッセージのMACを計算してブ
イレフl”1J112に格納するか、あるいはブイレフ
) ’J 112から削除されたメッセージのM A 
Cおよび新しいグローバルMACを計算してグローバル
MACレジスタ115に格納するかしなければならない
。これには析しいMACの計算(これはメッセージの内
部の認証に心安である)とメッセージMACからの新し
いグローバルMACの計算が行なわれるだけである。
変更されないメッセージのMACは不変であり、これら
メッセージの処理は不要である。
UAの変更 ユーザがUAを彼自身のUAであるUAIから別のUA
であるUA2に一時的にまたは永久的に変えたいことが
ある。一時的に変えたい場合は、ユーザは自分の通常の
UAに向けられたメッセージを読むのに一時的に新しい
UAを使用することができるようにしたくなる。また永
久的に変えたい場合は、ユーザは自分の古いUAから新
しいUAに全てを転送したくなる。これら二つの場合の
取扱いは異なる。
前者の場合では、ユーザはKDCに、他のどの端末を使
用したいかを指定して旅行キー(journeykey
 )を要求する。KDCはこれを受けると直ぐユーザに
旅行キーを発行し、ユーザが訪問して旅行キーに応答す
るUAを設定し、旅行キー(UM2のUMKおよびCD
Kのキー階層のもとで暗号化されている)をUA2に送
り、ここでUAlのアドレス・コードとともに旅行キー
−レジスタ107に格納される。ユーザはまた受信した
すべてのメッセージを格納するとともにUA2からの呼
出しに対してそれらをUA2に送って応答するため、彼
自身のUAを設定する。このメッセージの転送はUAl
がメッセージを解読し、これを再び旅行キー(通常のラ
ンダムなMKとともに)のもとで暗号化してから、修正
したメッセージなUA2に送ることによシ行われる。U
A2では、ユーザはメッセージを解読するのに彼の旅行
キーを使用する。この技法では同じメッセージを相異な
る複数キーのもとで暗号化して送信するということがあ
シ、また所与の使用後は旅行キーを更新できないので、
利用に当っては注意しなければならない。また、後者の
場合では、ユーザのU MKをUA2に物理的に輸送し
、そこに設置しなければない。(’tl’9−1以前の
全てのUMKも同様に設置して、安全に格納されている
メッセージを転送することができる。)次1CKDCと
のリンクを上述のように確立し、次に他のUAとのリン
クを確立する。UA2に既に格納されてたキーはすべて
、もちろん、新しいユーザのUMKが設置される前に破
壊され、UAIの中のキーもすべて同様に破壊される。
UAIに安全に格納されているすべてのキーは、更に暗
号化されることなく、すなわち暗号化されたメッセージ
の格納形態プラスU M Kのシリアル番号ずでの付属
部という形で、UA2に送られるので、新しく設置され
たUMKのもとでUA2において解読することができる
KDCメッセージの記録 UAでは、キーに対する、すなわち安全モジュールの内
容に対するバックアップ・システムが存在しない。これ
は安全モジュール外で利用できるキーを設けることは重
大な弱点となるからである。
UAで起きた障害はUAを再起動させることKよっての
み回復できる。KDCは各UAに対するUMKの完全な
セットを保持しており、適切なセットをキー分配径路工
3を通して送り且つ設置することができるので、安全に
格納されて〜・るメッセージをすべて読取ることができ
る。そこでUAを再設して安全に格納されたメッセージ
を読取ることができるよ5KL、なければならない。次
KUAはまずKDCとのリンクを、次に接続したい他の
UAとのリンクを再び確立しなければならない。
(U A IJンクの最初の設定の場合のように、この
動作のうちの多(の部分はキー分配径路13を通ってK
 D Cから伝えられた一組の格納メッセージにより行
うことができる。)その障害期間中それに向けられたメ
ッセージはすべて失なわれており取出し不能になる。自
分のメッセージが失なわれてしまったユーザは、故障し
たUAが回復し、そのリンクが再確立された時点で、そ
のメッセージを再送したいか否かを決定する責任がある
KDCの故障を処理する設備はこれとは異なるKDCは
自分が送受したすべてのメッセージの記録つまりログを
、それが処理を受けた順序に、保持している。このログ
は支援用の記憶手段19に保持されている。また、KD
Cの状態が記憶手段19に定期的に格納される。KDC
K故障が発生すると、オペレータはKDCを以前に格納
された状態まで記憶手段19から回復しながらバックア
ップしなければならない。次にそのとき以後に発生した
すべてのメッセージのログをKDCIC再生して戻す。
これによりKDCがその正しい現在の状態にまでなる。
ただし、その時間中にKDCが発生し送出したキーはす
べて失なわれている。したがって、ログの再生中、キー
の発生および送出に関係しているメッセージは反復され
、したがって新しいキーがUAに送出されて、先に送出
されたがKDCでは失なわれたものと置き換わる。この
ようにしてシステム全体が一貫した状態に回復する。
[発明の効果] 以上詳細に説明したように、本発明によれば、通常部分
的な変更しかないシステムで認証コードの再計算が大幅
に簡単になる。
【図面の簡単な説明】
第1図は本発明の一実施例の全体的構成を説明するため
の図、第2図は第1図中の端末の主要部の構成を説明す
るための図、第3図は第1図中のKDCの主要部の構成
を説明するための図、第4図は第1図中の端末の他の主
要部の構成を説明するための図、第4A図は第4図の部
分的構成を示す図、第5図は第3図中のKDCにおける
再送動作を説明するための図、第6図は第1図中の端末
の他の主要部の構成を説明するための図である。 10 、IOA、IOB:端末 11:通信媒体 12:KDC 13:キー分配径路 14.14A:PC l5.15A:ディスクメモリ 16.16A、17 :安全モジー−ル18二計算ユニ
ット 19:記憶手段 20:部外者 30:制御回路 31:キー輸送ユニット 32:UMKレジスタ 33 、40 :使用カウンタ 33A:CDKキ一番号レジスタ 34:CDKレジスタ 36:ランダム信号発生器 37:メッセージ・アセンブリ・レジスタ38:メッセ
ージタイプフォーマット記憶領域39:MKレジスタ 40A:UMKキ一番号レジスタ 41:暗号化/解読ユニット 42:メッセージ認証コード計算ユニット43:インタ
フェース争ユニット 44:コンパレータ 46:CDKルジスタ 47:CDK2レジスタ 48.49 : CDK番号レジスタ 50:制御ユニット 51:メッセージ・アセンブリ処理回路52:メッセー
ジ・アセンブリ・レジスタ60:マルチプレクサ 61:セレクタ回路 73ニレジスタ フ4:マルチプレクサ 75:メッセージ・アセンブリ処理回路76:セレクタ
スイッチ 77.78:ピット−レジスタ 95:記憶装置 97:レジスタ 98:タイマ 105:UMK履歴記憶装置 106二安全格納キー・ブロック 107:旅行キー・レジスタ 111 :メッセージ 112:ディレクトリ

Claims (1)

  1. 【特許請求の範囲】 複数の部分を含む情報の正しさをメッセー ジ認証コードにより検証する情報記憶方式において、 前記部分の各々について計算された個別の 認証コードに基づいて全体的な認証コードを計算するこ
    とを特徴とする情報記憶方式。
JP63050529A 1987-03-03 1988-03-03 情報記憶システム Expired - Lifetime JP2675806B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GB878704883A GB8704883D0 (en) 1987-03-03 1987-03-03 Secure information storage
GB8704883 1987-03-03

Publications (2)

Publication Number Publication Date
JPS63225840A true JPS63225840A (ja) 1988-09-20
JP2675806B2 JP2675806B2 (ja) 1997-11-12

Family

ID=10613203

Family Applications (1)

Application Number Title Priority Date Filing Date
JP63050529A Expired - Lifetime JP2675806B2 (ja) 1987-03-03 1988-03-03 情報記憶システム

Country Status (5)

Country Link
US (1) US4933969A (ja)
EP (1) EP0281225B1 (ja)
JP (1) JP2675806B2 (ja)
DE (1) DE3889561T2 (ja)
GB (1) GB8704883D0 (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000045358A1 (fr) * 1999-01-28 2000-08-03 Yutaka Yasukura Procede pour assurer la securite d'informations electroniques
WO2002089398A1 (fr) * 2001-04-26 2002-11-07 Sharp Kabushiki Kaisha Dispositif de communication
JP2006197581A (ja) * 2004-12-16 2006-07-27 Matsushita Electric Ind Co Ltd 改竄検出用データ生成方法
JP2006197540A (ja) * 2004-12-16 2006-07-27 Matsushita Electric Ind Co Ltd 改竄検出用データ生成方法、および改竄検出方法及び装置
JP2007184000A (ja) * 2000-01-14 2007-07-19 Mitsubishi Electric Corp 暗号化装置及び暗号化方法及び復号装置及び復号方法及びプログラムを記録したコンピュータ読み取り可能な記録媒体
JP2007274717A (ja) * 2004-04-02 2007-10-18 Matsushita Electric Ind Co Ltd 不正コンテンツ検知システム
JP2008118706A (ja) * 2008-01-10 2008-05-22 Nec Corp 暗号化通信制御方式
US8862886B2 (en) 2002-12-21 2014-10-14 International Business Machines Corporation Methods, apparatus and computer programs for generating and/or using conditional electronic signatures for reporting status changes

Families Citing this family (108)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0727511B2 (ja) * 1989-04-17 1995-03-29 株式会社日立製作所 情報処理システム
EP0398492B1 (en) * 1989-05-15 1997-01-22 International Business Machines Corporation A flexible interface to authentication services in a distributed data processing system
US5050212A (en) * 1990-06-20 1991-09-17 Apple Computer, Inc. Method and apparatus for verifying the integrity of a file stored separately from a computer
US5235644A (en) * 1990-06-29 1993-08-10 Digital Equipment Corporation Probabilistic cryptographic processing method
EP0464562B1 (en) * 1990-06-29 1997-04-23 Digital Equipment Corporation Method and apparatus for decryption of an information packet having a format subject to modification
DE4101141C1 (ja) * 1991-01-16 1992-07-02 Siemens Nixdorf Informationssysteme Ag, 4790 Paderborn, De
US5185795A (en) * 1991-02-27 1993-02-09 Motorola, Inc. Authentication of rekey messages in a communication system
US5267314A (en) * 1992-11-17 1993-11-30 Leon Stambler Secure transaction system and method utilized therein
EP0609595B1 (en) * 1993-02-05 1998-08-12 Hewlett-Packard Company Method and apparatus for verifying CRC codes by combination of partial CRC codes
FR2703800B1 (fr) * 1993-04-06 1995-05-24 Bull Cp8 Procédé de signature d'un fichier informatique, et dispositif pour la mise en Óoeuvre.
US5757913A (en) * 1993-04-23 1998-05-26 International Business Machines Corporation Method and apparatus for data authentication in a data communication environment
US5576843A (en) * 1993-10-29 1996-11-19 Time Warner Entertainment Co., L.P. System and method for controlling play of multiple dialog audio tracks of a software carrier
US5689700A (en) * 1993-12-29 1997-11-18 Microsoft Corporation Unification of directory service with file system services
US7036019B1 (en) * 1994-04-01 2006-04-25 Intarsia Software Llc Method for controlling database copyrights
JPH07271865A (ja) 1994-04-01 1995-10-20 Mitsubishi Corp データベース著作権管理方法
GB2288476A (en) * 1994-04-05 1995-10-18 Ibm Authentication of printed documents.
US7302415B1 (en) * 1994-09-30 2007-11-27 Intarsia Llc Data copyright management system
US5734819A (en) * 1994-10-12 1998-03-31 International Business Machines Corporation Method and apparatus for validating system operation
DE69532434T2 (de) 1994-10-27 2004-11-11 Mitsubishi Corp. Gerät für Dateiurheberrechte-Verwaltungssystem
US6424715B1 (en) * 1994-10-27 2002-07-23 Mitsubishi Corporation Digital content management system and apparatus
DE4442357A1 (de) * 1994-11-29 1996-06-05 Deutsche Telekom Ag Verfahren und Anordnung zur Sicherung von Daten
US5619571A (en) * 1995-06-01 1997-04-08 Sandstrom; Brent B. Method for securely storing electronic records
US5671283A (en) * 1995-06-08 1997-09-23 Wave Systems Corp. Secure communication system with cross linked cryptographic codes
DE19534530A1 (de) * 1995-09-08 1997-03-13 Francotyp Postalia Gmbh Verfahren zur Absicherung von Daten und Programmcode einer elektronischen Frankiermaschine
EP0762337A3 (de) * 1995-09-08 2000-01-19 Francotyp-Postalia Aktiengesellschaft & Co. Verfahren und Anordnung zur Erhöhung der Manipulationssicherheit von kritischen Daten
US5757924A (en) * 1995-09-18 1998-05-26 Digital Secured Networks Techolognies, Inc. Network security device which performs MAC address translation without affecting the IP address
US8595502B2 (en) 1995-09-29 2013-11-26 Intarsia Software Llc Data management system
EP0768774A3 (en) * 1995-10-16 1999-08-04 Sony Corporation Method and apparatus for data encryption using a key generation hierarchy
US5745576A (en) * 1996-05-17 1998-04-28 Visa International Service Association Method and apparatus for initialization of cryptographic terminal
US6240513B1 (en) 1997-01-03 2001-05-29 Fortress Technologies, Inc. Network security device
US6144745A (en) * 1997-04-07 2000-11-07 Fujitsu Limited Method of and apparatus for retaining and verifying of data on recording medium
US6272631B1 (en) * 1997-06-30 2001-08-07 Microsoft Corporation Protected storage of core data secrets
GB9715684D0 (en) * 1997-07-25 1997-10-01 Computer Forensics Limited Integrity verification and authentication of copies of computer data
US6415278B1 (en) 1997-11-14 2002-07-02 Adobe Systems Incorporated Retrieving documents transitively linked to an initial document
US6789080B1 (en) 1997-11-14 2004-09-07 Adobe Systems Incorporated Retrieving documents transitively linked to an initial document
JP3748155B2 (ja) 1997-11-14 2006-02-22 富士通株式会社 改ざん防止/検出機能を有するファイル管理システム
US6161198A (en) * 1997-12-23 2000-12-12 Unisys Corporation System for providing transaction indivisibility in a transaction processing system upon recovery from a host processor failure by monitoring source message sequencing
DE19822685A1 (de) 1998-05-20 2000-01-27 Deutsche Telekom Ag Verfahren zur gesicherten Übertragung von Nachrichten
US6539092B1 (en) * 1998-07-02 2003-03-25 Cryptography Research, Inc. Leak-resistant cryptographic indexed key update
US6351539B1 (en) * 1998-09-18 2002-02-26 Integrated Device Technology, Inc. Cipher mixer with random number generator
US6601046B1 (en) * 1999-03-25 2003-07-29 Koninklijke Philips Electronics N.V. Usage dependent ticket to protect copy-protected material
US6335933B1 (en) * 1999-05-21 2002-01-01 Broadcom Homenetworking, Inc. Limited automatic repeat request protocol for frame-based communication channels
EP1056010A1 (en) * 1999-05-28 2000-11-29 Hewlett-Packard Company Data integrity monitoring in trusted computing entity
US6959384B1 (en) 1999-12-14 2005-10-25 Intertrust Technologies Corporation Systems and methods for authenticating and protecting the integrity of data streams and other data
WO2001010090A1 (en) 1999-07-28 2001-02-08 Tomkow Terrance A System and method for verifying delivery and integrity of electronic messages
US7966372B1 (en) 1999-07-28 2011-06-21 Rpost International Limited System and method for verifying delivery and integrity of electronic messages
US7171567B1 (en) * 1999-08-02 2007-01-30 Harris Interactive, Inc. System for protecting information over the internet
US7240363B1 (en) 1999-10-06 2007-07-03 Ellingson Robert E System and method for thwarting identity theft and other identity misrepresentations
JP2001352321A (ja) 2000-04-06 2001-12-21 Sony Corp 情報処理システム、情報処理方法、および情報記録媒体、並びにプログラム提供媒体
US6766453B1 (en) * 2000-04-28 2004-07-20 3Com Corporation Authenticated diffie-hellman key agreement protocol where the communicating parties share a secret key with a third party
US6473844B1 (en) * 2000-04-29 2002-10-29 Hewlett-Packard Company System and method to protect vital memory space from non-malicious writes in a multi domain system
JP4366845B2 (ja) * 2000-07-24 2009-11-18 ソニー株式会社 データ処理装置およびデータ処理方法、並びにプログラム提供媒体
US6574455B2 (en) * 2000-08-30 2003-06-03 Lucent Technologies Inc. Method and apparatus for ensuring security of users of bluetooth TM-enabled devices
JP4352600B2 (ja) 2000-09-01 2009-10-28 ソニー株式会社 データ改竄チェック装置および方法、ならびに、記録媒体
ATE405110T1 (de) * 2000-11-17 2008-08-15 Sony Deutschland Gmbh Informationsübertragung via einem ad hoc netz
FI111423B (fi) * 2000-11-28 2003-07-15 Nokia Corp Järjestelmä kanavanvaihdon jälkeen tapahtuvan tietoliikenteen salauksen varmistamiseksi
GB2372595A (en) * 2001-02-23 2002-08-28 Hewlett Packard Co Method of and apparatus for ascertaining the status of a data processing environment.
GB2372592B (en) 2001-02-23 2005-03-30 Hewlett Packard Co Information system
JP2002319932A (ja) * 2001-04-19 2002-10-31 Sony Corp 情報記録装置、情報再生装置、および情報記録方法、情報再生方法、並びにプログラム
DE10131578A1 (de) * 2001-07-02 2003-01-16 Bosch Gmbh Robert Verfahren zum Schutz eines Mikrorechner-Systems gegen Manipulation von in einer Speicheranordnung abgelegten Daten
US6920556B2 (en) * 2001-07-20 2005-07-19 International Business Machines Corporation Methods, systems and computer program products for multi-packet message authentication for secured SSL-based communication sessions
US7310817B2 (en) * 2001-07-26 2007-12-18 Mcafee, Inc. Centrally managed malware scanning
US20030023869A1 (en) * 2001-07-27 2003-01-30 Winfield Augustus W. Assurance of non-alteration of files
GB2378013A (en) * 2001-07-27 2003-01-29 Hewlett Packard Co Trusted computer platform audit system
US7054841B1 (en) * 2001-09-27 2006-05-30 I2 Technologies Us, Inc. Document storage and classification
US7333616B1 (en) 2001-11-14 2008-02-19 Omniva Corp. Approach for managing access to messages using encryption key management policies
US8312265B2 (en) * 2001-12-11 2012-11-13 Pinder Howard G Encrypting received content
JP2003324418A (ja) * 2002-02-27 2003-11-14 Canon Inc 画像処理装置、データ処理装置及びデータ処理方法
GB2390703A (en) 2002-07-02 2004-01-14 Ascent Group Ltd Storage and authentication of data transactions
US7356768B1 (en) 2002-11-27 2008-04-08 Adobe Systems Incorporated Using document templates to assemble a collection of documents
JP4208082B2 (ja) * 2003-01-30 2009-01-14 富士通株式会社 データ改ざん検出方法、データ改ざん検出装置及びデータ改ざん検出プログラム
US7130427B2 (en) * 2003-07-17 2006-10-31 Motorola, Inc. Method for providing point-to-point encryption in a communication system
JP2006039206A (ja) * 2004-07-27 2006-02-09 Canon Inc 暗号化装置および復号化装置
GB2434673B (en) * 2004-11-12 2009-10-14 Discretix Technologies Ltd Method, device, and system of securely storing data
US7634657B1 (en) * 2004-12-23 2009-12-15 Symantec Corporation Reducing the probability of undetected collisions in hash-based data block processing
US7310149B2 (en) * 2005-04-06 2007-12-18 Agilent Technologies, Inc. Systems and methods for measurement of properties of small volume liquid samples
US20060271796A1 (en) * 2005-05-25 2006-11-30 Kaimal Biju R Method and system for protecting information stored in an electronic device against backup and restore attack
US8200971B2 (en) * 2005-09-23 2012-06-12 Cisco Technology, Inc. Method for the provision of a network service
GB0519466D0 (en) * 2005-09-23 2005-11-02 Scansafe Ltd Network communications
US8095966B1 (en) * 2006-06-28 2012-01-10 Emc Corporation Methods and apparatus for password management
FR2907622A1 (fr) 2006-10-19 2008-04-25 St Microelectronics Sa Procede de transmission de donnees utilisant un code d'accuse de reception comportant des bits d'authentification caches
US8356178B2 (en) * 2006-11-13 2013-01-15 Seagate Technology Llc Method and apparatus for authenticated data storage
JP2008305035A (ja) * 2007-06-06 2008-12-18 Hitachi Ltd 装置、更新方法、および制御ソフト。
CN101625613B (zh) * 2008-07-10 2011-03-30 鸿富锦精密工业(深圳)有限公司 具有触摸显示屏的电子装置及其控制方法
US20100328032A1 (en) * 2009-06-24 2010-12-30 Broadcom Corporation Security for computing unit with femtocell ap functionality
US10454674B1 (en) * 2009-11-16 2019-10-22 Arm Limited System, method, and device of authenticated encryption of messages
DE102010002472A1 (de) * 2010-03-01 2011-09-01 Robert Bosch Gmbh Verfahren zum Verifizieren eines Speicherblocks eines nicht-flüchtigen Speichers
US9553728B2 (en) * 2011-02-25 2017-01-24 Nokia Technologies Oy Method and apparatus for providing end-to-end security for distributed computations
US9160725B2 (en) 2011-09-23 2015-10-13 Rpost Communications Limited Computer implemented system and method for authenticating a sender of electronic data to a recipient
JPWO2013065241A1 (ja) * 2011-10-31 2015-04-02 日本電気株式会社 インクリメンタルmacタグ生成装置、方法及びプログラム並びにメッセージ認証装置
JP5845824B2 (ja) * 2011-11-04 2016-01-20 富士通株式会社 暗号化プログラム、復号化プログラム、暗号化方法、復号化方法、システム、コンテンツの生成方法およびコンテンツの復号化方法
US9460312B2 (en) * 2014-03-11 2016-10-04 Qualcomm Incorporated Data integrity protection from rollback attacks for use with systems employing message authentication code tags
US10237073B2 (en) 2015-01-19 2019-03-19 InAuth, Inc. Systems and methods for trusted path secure communication
US10313129B2 (en) * 2015-06-26 2019-06-04 Intel Corporation Keyed-hash message authentication code processors, methods, systems, and instructions
US10284383B2 (en) 2015-08-31 2019-05-07 Mellanox Technologies, Ltd. Aggregation protocol
US10521283B2 (en) * 2016-03-07 2019-12-31 Mellanox Technologies, Ltd. In-node aggregation and disaggregation of MPI alltoall and alltoallv collectives
EP3361408B1 (en) 2017-02-10 2019-08-21 Michael Mertens Verifiable version control on authenticated and/or encrypted electronic documents
US11277455B2 (en) 2018-06-07 2022-03-15 Mellanox Technologies, Ltd. Streaming system
JP7100502B2 (ja) * 2018-06-13 2022-07-13 キヤノン株式会社 情報処理装置とその制御方法、及びプログラム
US11625393B2 (en) 2019-02-19 2023-04-11 Mellanox Technologies, Ltd. High performance computing system
EP3699770A1 (en) 2019-02-25 2020-08-26 Mellanox Technologies TLV Ltd. Collective communication system and methods
US11750699B2 (en) 2020-01-15 2023-09-05 Mellanox Technologies, Ltd. Small message aggregation
US11252027B2 (en) 2020-01-23 2022-02-15 Mellanox Technologies, Ltd. Network element supporting flexible data reduction operations
US11876885B2 (en) 2020-07-02 2024-01-16 Mellanox Technologies, Ltd. Clock queue with arming and/or self-arming features
US11556378B2 (en) 2020-12-14 2023-01-17 Mellanox Technologies, Ltd. Offloading execution of a multi-task parameter-dependent operation to a network device
DE102020216277A1 (de) 2020-12-18 2022-06-23 Siemens Mobility GmbH Verfahren zur initialen Verteilung von schützenswerten Daten in einem ETCS-Zugsicherungssystem
US11922237B1 (en) 2022-09-12 2024-03-05 Mellanox Technologies, Ltd. Single-step collective operations
WO2024171317A1 (ja) * 2023-02-14 2024-08-22 日本電気株式会社 情報処理装置、情報処理装置の制御方法、及び、プログラムが格納された非一時的なコンピュータ可読媒体

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6026387A (ja) * 1983-07-22 1985-02-09 日本電信電話株式会社 デイジタル署名方式

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4349695A (en) * 1979-06-25 1982-09-14 Datotek, Inc. Recipient and message authentication method and system
US4423287A (en) * 1981-06-26 1983-12-27 Visa U.S.A., Inc. End-to-end encryption system and method of operation
US4578530A (en) * 1981-06-26 1986-03-25 Visa U.S.A., Inc. End-to-end encryption system and method of operation
GB2146814A (en) * 1983-09-17 1985-04-24 Ibm Electronic fund transfer systems
GB2146815A (en) * 1983-09-17 1985-04-24 Ibm Electronic fund transfer systems
US4783798A (en) * 1985-03-14 1988-11-08 Acs Communications Systems, Inc. Encrypting transponder
US4649233A (en) * 1985-04-11 1987-03-10 International Business Machines Corporation Method for establishing user authenication with composite session keys among cryptographically communicating nodes
US4688250A (en) * 1986-01-29 1987-08-18 Rca Corporation Apparatus and method for effecting a key change via a cryptographically protected link
GB8704882D0 (en) * 1987-03-03 1987-04-08 Hewlett Packard Co Secure messaging systems

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6026387A (ja) * 1983-07-22 1985-02-09 日本電信電話株式会社 デイジタル署名方式

Cited By (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000045358A1 (fr) * 1999-01-28 2000-08-03 Yutaka Yasukura Procede pour assurer la securite d'informations electroniques
AU755577B2 (en) * 1999-01-28 2002-12-19 Yutaka Yasukura Method for securing safety of electronic information
US6957349B1 (en) 1999-01-28 2005-10-18 Yutaka Yasukura Method for securing safety of electronic information
JP2007184000A (ja) * 2000-01-14 2007-07-19 Mitsubishi Electric Corp 暗号化装置及び暗号化方法及び復号装置及び復号方法及びプログラムを記録したコンピュータ読み取り可能な記録媒体
WO2002089398A1 (fr) * 2001-04-26 2002-11-07 Sharp Kabushiki Kaisha Dispositif de communication
US10637667B2 (en) 2002-12-21 2020-04-28 International Business Machines Corporation Generation of a digital signature
US9306752B2 (en) 2002-12-21 2016-04-05 International Business Machines Corporation Generation of a digital signature
US8862886B2 (en) 2002-12-21 2014-10-14 International Business Machines Corporation Methods, apparatus and computer programs for generating and/or using conditional electronic signatures for reporting status changes
US7743261B2 (en) 2004-04-02 2010-06-22 Panasonic Corporation Unauthorized contents detection system
US8972737B2 (en) 2004-04-02 2015-03-03 Panasonic Intellectual Property Management Co., Ltd. Unauthorized contents detection system
JP2008176814A (ja) * 2004-04-02 2008-07-31 Matsushita Electric Ind Co Ltd 不正コンテンツ検知システム
US9270470B2 (en) 2004-04-02 2016-02-23 Panasonic Intellectual Property Management Co., Ltd. Unauthorized contents detection system
JP2007274716A (ja) * 2004-04-02 2007-10-18 Matsushita Electric Ind Co Ltd 不正コンテンツ検知システム
JP4607144B2 (ja) * 2004-04-02 2011-01-05 パナソニック株式会社 不正コンテンツ検知システム
US7900062B2 (en) 2004-04-02 2011-03-01 Panasonic Corporation Unauthorized contents detection system
JP4654258B2 (ja) * 2004-04-02 2011-03-16 パナソニック株式会社 不正コンテンツ検知システム
JP4654219B2 (ja) * 2004-04-02 2011-03-16 パナソニック株式会社 不正コンテンツ検知システム
JP2007274717A (ja) * 2004-04-02 2007-10-18 Matsushita Electric Ind Co Ltd 不正コンテンツ検知システム
US8261084B2 (en) 2004-04-02 2012-09-04 Panasonic Corporation Unauthorized contents detection system
US8667291B2 (en) 2004-04-02 2014-03-04 Panasonic Corporation Unauthorized contents detection system
US8185746B2 (en) 2004-12-16 2012-05-22 Panasonic Corporation Method for generating data for detection of tampering, and method and apparatus for detection of tampering
US7730320B2 (en) 2004-12-16 2010-06-01 Panasonic Corporation Method for generating data for detection of tampering, and method and apparatus for detection of tampering
JP2006197540A (ja) * 2004-12-16 2006-07-27 Matsushita Electric Ind Co Ltd 改竄検出用データ生成方法、および改竄検出方法及び装置
JP2006197581A (ja) * 2004-12-16 2006-07-27 Matsushita Electric Ind Co Ltd 改竄検出用データ生成方法
JP2008118706A (ja) * 2008-01-10 2008-05-22 Nec Corp 暗号化通信制御方式

Also Published As

Publication number Publication date
JP2675806B2 (ja) 1997-11-12
EP0281225A2 (en) 1988-09-07
DE3889561D1 (de) 1994-06-23
DE3889561T2 (de) 1994-09-01
GB8704883D0 (en) 1987-04-08
EP0281225B1 (en) 1994-05-18
EP0281225A3 (en) 1990-07-11
US4933969A (en) 1990-06-12

Similar Documents

Publication Publication Date Title
JP2675806B2 (ja) 情報記憶システム
JP2637456B2 (ja) メッセージ伝送方法
JP2730902B2 (ja) 通信システム
EP0582395B1 (en) Computer network packet receiver and computer network with modified host-to-host encryption keys as well as respective methods
Gong Optimal authentification protocols resistant to password guessing attacks
US8914858B2 (en) Methods and apparatus for security over fibre channel
JP2610107B2 (ja) ネットワークを管理する方法および装置
JP3640331B2 (ja) 2フェーズ暗号キー回復システム
US5638448A (en) Network with secure communications sessions
US6389533B1 (en) Anonymity server
US6339824B1 (en) Method and apparatus for providing public key security control for a cryptographic processor
US20110107086A1 (en) Secure authentication and privacy of data communication links via dynamic key synchronization
JPH04227154A (ja) コンピュータネットワークにおけるメッセージの非拒絶問題を解決するための装置
JPH10508438A (ja) キー・エスクローおよびデータ・エスクロー暗号化のためのシステムおよび方法
WO2000049764A1 (en) Data authentication system employing encrypted integrity blocks
WO2005008950A1 (en) Secure seed generation protocol
US10586065B2 (en) Method for secure data management in a computer network
KR100582546B1 (ko) 암호화/복호화 키를 이용한 메시지 송수신 방법
CN110430057A (zh) 数据传输系统和传输方法
Galvin et al. SNMP Security Protocols
Kline et al. Public key vs. conventional key encryption
Kline et al. Encryption protocols, public key algorithms and digital signatures in computer networks
Popek et al. Design issues for secure computer networks
Gong A note on redundancy in encrypted messages
Birrane Delay-Tolerant Security

Legal Events

Date Code Title Description
R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080718

Year of fee payment: 11

EXPY Cancellation because of completion of term
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080718

Year of fee payment: 11