JPS63125030A - 遠隔端末アクセス方法 - Google Patents

遠隔端末アクセス方法

Info

Publication number
JPS63125030A
JPS63125030A JP62228696A JP22869687A JPS63125030A JP S63125030 A JPS63125030 A JP S63125030A JP 62228696 A JP62228696 A JP 62228696A JP 22869687 A JP22869687 A JP 22869687A JP S63125030 A JPS63125030 A JP S63125030A
Authority
JP
Japan
Prior art keywords
coprocessor
key
user
terminal
software
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP62228696A
Other languages
English (en)
Other versions
JPH0524696B2 (ja
Inventor
アクヒレシワリイ・ナラン・チヤンドラ
リーン・デヴイド・カマーフオード
ステイヴ・リチヤード・ホワイト
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JPS63125030A publication Critical patent/JPS63125030A/ja
Publication of JPH0524696B2 publication Critical patent/JPH0524696B2/ja
Granted legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。

Description

【発明の詳細な説明】 A、産業上の利用分野 本発明は、上位計算機に対する遠隔端末のアクセスに対
するセキュリティ機構に関するものである。
B、従来技術 計算機資源を共有したいという希望から、遠隔端末が通
信媒体を介して計算機システムに接続して使用されるよ
うになった。こうした遠隔端末は計算機システムのセキ
ュリティに対するアキレス脚であることがすぐにわかっ
た。しかし、こうした遠隔端末は、遠隔地点からのアク
セスを可能にする点で充分な価値があり、したがってこ
の方式が大部分の大型計算機複合体で一般的に採用され
ている。遠隔端末を介して計算機複合体に無許可のアク
セスを行なう方法は、一般に2通りある。
1つハ、有効なユーザのユーザよりとパスワードを盗ん
だり推測したり検索して見つけたりするものである。も
う1つの手法は、ユーザの接続を盗聴者の端末に切り替
えて、進行中の有効なユーザ・セツションを「盗む」こ
とである。
計算機システムをこうした攻撃から保護することを目指
した努力は、主として最初の攻撃形態に対するものであ
った。それが攻撃の大部分を占めているためである。は
ぼ普遍的に使われている保護形態は、ユーザのアイデン
ティティの重複確認である。たとえば、電話による再呼
出しシステムでは、ユーザが独自の知識を持っているこ
と、および独自の場所にいることによってそのアイデン
ティティが確認される。独自の場所は、再呼出し技法で
そのユーザについて中央計算機複合体に登録された再呼
出し電話番号を使って確認される。
ユーザ識別に使用できる基準は非常に少ししかない。そ
れは独自の知識、独自の所有物、あるいは独自の物理特
性である。独自の場合にいることである人を識別する方
法は、個人の識別には不十分である。電話転送や電話盗
聴などの技術が利用できる場合、遠隔地にいる人の居場
所を確定することは非常に難しく、その居場所からその
人のアイデンティティを確認することはなおさらである
電話再呼出しシステムは、遠隔地にいる人から電話によ
るアクセス要求を受は取った後、その人を電話で再呼出
しすることによりその居場所を決定しようと試みるもの
である。この決定は、計算機センタで制御できない媒体
、すなわち電話回線を介して行なわれる。電話回線は、
盗聴されたり転送によって行先を変更されることがあり
得る。
したがって独自の場所による識別は容易に偽造される。
こうしたシステムでは、旅行中の人に対して若干のフレ
キシビリティを備えなければならないという別の弱点が
あり、このフレキシビリティがもう1つのアキレス朧と
なる。
したがって、一般にこうした端末セキュリティ・システ
ムの強みは、主として、許可を受けたユーザが独自の情
報を所有していることにある。通常、この情報はアイデ
ンティティ確認のためにセツション開始時にのみ計算機
システムからアクセスされる。
やや趣きは違っているが、米国特許第4430728号
では、物理的セキュリティ・キーを遠隔端末に設けられ
たコネクタに結合して使っている。
このセキュリティ・キーには、中央計算機にアクセスす
るために必要な2つの情報が電子的に記憶されている。
すなわち、このシステムのセキュリティは、無許可の個
人が当該のセキュリティ・キーを入手またはコピーし難
いことに基づいている。
とはいえ、セキュリティ・キーは、−度使われる(セツ
ション開始時に、アイデンティティが確認される)と、
再度参照されることがないように思われる。したがって
、セッシゴンが「盗まれる」可能性は残る。
米国特許第4238853号では、遠隔端末で、キー・
メモリ装置と解読装置からなるデータ・セキュリティ装
置(DSD)を使用することを提案している。DSDは
物理的にも論理的にも安全であり、ユーザでもその中に
記憶されているキーにはアクセスできない。この方法の
1つの問題点は、端末マスタ・キーを明瞭なまたは平文
テキストの形でその端末に移送する必要があることであ
る。
この特許では、キーを人の足、書留郵便、公衆電話など
で運ぶことにより、この移送が実施できると示唆してい
る。キーの様々な部分を別々の経路で運び目的地でそれ
らを組み合わせることにより、敵が移送中にキーを手に
入れる可能性を減らすことができる。とはいえ、キーを
平文テキストの形で運ぶことに危険が伴うことは明らか
である。
英国特許第2124808号では、下記のトークンと若
干の点で類似している電子ロックおよびキーについて記
載している。しかし、このキーは一般にかなり複雑(い
くつかの実施例ではキー中に暗号エンジンを要する)で
、各キーをそのキーでアクセスを提供すべき各端末(ま
たはロック)で初期設定する必要があり、不必要に長い
初期設定・許可プロトコル(少なくとも2ラウンドの照
会・回答)が必要であり、しかも下記に記載するトーク
ンの1回使用という特徴を示唆してはいない。
C9発明が解決しようとする問題点 この難点、すなわち暗号キーを「明瞭な」または平明な
テキストの形で移送する必要性を緩和することか、本発
明の一目的である。
本発明の第2の目的は、セキュリティ機構を複雑なもの
にせずに、またそれを損なわずに、上記の目的を達成す
ることである。
すなわち、本発明の一般的目的は、既存の通常のシステ
ムや上記で参照した各特許に記載されているシステムよ
りもずっと安全な遠隔端末セキュリティ・システムを提
供することにある。
本発明のシステムは、独自の知識および独自の所有物に
基づいてユーザのアイデンティティを確認する。このシ
ステムは、遠隔場所から所有者の「サイン」を偽造しよ
うとする試みに対する抵抗力が強く、セラシロン盗聴と
闘うための連続再確認能力をもたらすものである。
D0問題点を解決するための手段 以下で説明するように、本発明の一要素は、特開昭61
−72345号公報に記載されている特権コプロセッサ
(PCP)(上記公報ではサポート・ハードウェアと呼
ばれている)を使用することである。
上記公報の記載によれば、PCPはパーソナル・コンピ
ュータまたは単一のオペレーティング舎システムに追加
できるハードウェアΦオプションである。PCPは、完
全に同時的なより高レベルの特権処理環境をもたらす。
PCPは、解読キーとプログラムをより高度の特権処理
環境に移送するための暗号保護システムをもたらす。P
CPは、ユーザによるアクセスに対して物理的にも論理
的にも保護されたメモリ領域で情報を記憶しプロセッサ
内で命令を実行する能力を有する。この能力が、遠隔端
末セキユリティへの適用の基礎となっている。基本的要
件は、計算機複合体へのアクセスを許可される遠隔端末
がPCPを備えること、またはPCPにアクセスできる
ことである。
本発明のセキュリティ機構は、遠隔端末に許可を与え、
また計算機複合体を保護するため許可された遠隔端末に
よるアクセスを許すものである。
従来の暗号による安全保護システムでは、安全保護メツ
セージ転送の両当事者がキーと呼ばれる共通の知識を共
有することが必要である。メツセージ送信者はこのキー
を使ってメツセージを暗号化し、キーを持っていない者
には理解できないようにする。メツセージ受信者は同じ
キー(またはある暗号体系でそれと正確に対応するキー
)を使って、メツセージを理解できる形に戻さなければ
ならない。
本発明によれば、アクセス許可手順に関連して、メツセ
ージ送信者は計算機センタのセキュリティ・オフィスま
たはセキュリティ担当部門であり、メツセージ受信者は
遠隔端末にある物理的および論理的に安全なPCPであ
る。計算機センタのセキュリティ・オフィスが解読゛キ
ーを作成し、それが安全な暗号化された形で、物理的に
安全なPCPに供給される。一実施例によれば、その転
送は、特開昭81−72345号公報に記載されている
ようなフロッピ・ディスクによって実施できる。トーク
ンは、そのデータ内容を読み取る行為によって恒久的に
かつ不可逆的に変更されるという特徴をもつ。こうした
トークン装置の特徴により、PCPをバーツナライズし
て、フロッピに記憶されているソフトウェアがトークン
・データを読み取るP’CPでしか使用できないように
することができる。こうした端末にPCPを導入すると
、PCPは偽造に対する抵抗力のある照会回答プルトニ
ルでトークンを読み取る。
計算機センタから解読キーを転送するトランザクシロン
は、その要点は特開昭81−72345号公報のARE
 )ランザクシロンと同じであるが、ソフトウェア・プ
ロダクトの商用転送には必要のない目的をサポートでき
るように拡張されている。
それには、キーとソフトウェアを受は取る特定のユーザ
の識別、ユーザとキーの対応性の記録、および当該のP
CP上で導入が実施されたことの確認が含まれる。
したがって、許可プロトコルの第1ステツプは、許可デ
ィスクとトークンを入手することから始まる。この許可
ディスクは、ユーザが自ら計算機センタに出頭して、セ
ンタが要求する識別を提出することによって入手する。
中には個人識別が可能でない他の手段によってこのディ
スクを分配する計算機センタもあると考えられる。銀行
の顧客に与えられる計算機アクセス口座がそうしたケー
スの一例である。遠隔地でユーザを識別する能力を利用
して、ユーザのアクセス特権を制限し、そのアクセスの
文脈内で転送されるデータを保護できることは、本発明
の範囲内に含まれる。許可されたユーザは、次にそのP
OPを装備した端末で、暗号適用キー(AK)をPCP
のメモリ内に転送するための手順を実行する。このキー
は暗号化された形でディスクに入っている。PCPは(
後述のように)このキーを解読してから、後で使用する
ためにそれを記憶する。通常、適用キー(AK)はPC
Pに対して一義的である。すなわち、他のPCPには使
えない。許可プロトコルの次のステップでは、暗号化さ
れた解読キーの転送を受けたPCPから計算機複合体に
暗号化されたファイルを転送する。たとえば、初期設定
中にPCPは暗号化されたファイルをキーの転送中に許
可ディスク(または別のディスク)に書き込む。このフ
ァイルは、PCPの「デジタル・サイン」を含んでいる
。このサインは、一実施例ではPCP特有の通し番号の
暗号化されたコピーからなる。このファイルまたはメツ
セージが計算機センタに戻ると、許可ディスクが所期の
「正しい」パーソナル・コンピュータまたは端末に導入
されたことが確認できる。許可ディスクが計算機センタ
に戻り、かつこのメツセージについてその検査が終わっ
て始めて、ユーザに遠隔アクセスが許可される。別の実
施例では、PCPからのデジタル・サインがトークンに
書き込まれ、次に確認のためトークンを計算機センタに
戻すことができる。
許可ディスクの発行からメツセージが戻るまでにかかる
時間に限界を設けて、その許可が偽造され他の遠隔端末
に「許可を与える」ために使われる極めて小さな可能性
をさらに減らすことが好ましいと思われる。
この許可手順の正味の効果は、少なくとも1個の安全な
解読キーを(ユーザに対してそのキーを露出させずに)
ユーザの端末と関連するPCP中に導入することである
。同時に、(計算機センタに戻されたメツセージまたは
ファイルによって)キーが所期のパーソナル拳コンピュ
ータまたは端末に導入されたことを確認する手段が、計
算機センタに与えられた。特開昭81−72345号公
報に記載されているようなトークンとフロッピ・ディス
クの使用が、本発明を実施するための1つの方法にすぎ
ないことは明ら゛かである。トークンの記憶容量を拡張
することにより、ディスクを使ってPCP内に解読キー
を導入する必要性をなくし、トークンの使用だけが必要
なようにすることができる。
したがって、一実施態様では、本発明は下記の各ステッ
プからなる遠隔端末許可方法を提供する。
a、 暗号化された解読キーを物理的に安全なコプロセ
ッサ(PCP)に転送する。
b、 上記の物理的に安全なコプロセッサを前記の遠隔
端末に結合する。
C0暗号化されたファイルを上記のコプロセッサから中
央計算機複合体に転送して、中央計算機複合体が、暗号
化されたファイルを生成したコプロセッサを識別できる
ようにする。
d、 上記の暗号化さ′れたファイルを上記の中央計算
機複合体で検査して、特定のコプロセッサが上記の暗号
化されたファイルを作成したと確認してから、その特定
のコプロセッサに結合されている上記の遠隔端末による
アクセスを許可する。
許可の各ステップが完了すると、ユーザは計算機複合体
にアクセスを試みることができる。まず、明瞭でユーザ
識別(またはユーザID)のみを含ム(カユーザのパス
ワードやPINは含まない)形で、遠隔端末と計算機複
合体の間の通信を実行することができる。別法として、
その計算機センタのすべてではなくとも複数のユーザに
共通な特別の始動キーを用いて、PCPがこの初期通信
を暗号化することができる。この通信では、後の通信の
ためにユーザ特有の暗号化キー(=A K )を選択す
るために計算機複合体がユーザIDを知らなければなら
ないので、明瞭なテキストまたは特別の始動キーを使う
。明らかに、始動キーを使う場合は、それも前述のよう
に暗号化した形で許可ディスクに入れてPCPに導入し
てもよく、また別法としてPCP作成時にPCPに導入
することもできる。
その後のユーザと計算機複合体の間の通信は、ユーザの
パスワードまたはPINを含めることを含めて、すべて
許可手順中にPCPに導入されたユーザ特有のキー(A
Kとも呼ばれる)を使って暗号テキストの形で行なうこ
とができる。ユーザの端末ハードウェア(またはパーソ
ナル・コンピュータ)内で走っている端末エミュレーシ
ョン・プログラムは、このキーにアクセスできず、した
がってそれ自体で伝送を暗号化することも解読すること
もできない。このプログラムはこうした機能を実行する
ことをPCPに要求しなければならない。キー自体がユ
ーザに対して露出されることは決してない。
計算機複合体は、その伝送中に、後の伝送のためその解
読キーを変更せよとのPCPに対する暗号化されたコマ
ンドをも含むことができる。こうすると、計算機センタ
は、ユーザにどんな影響も与えずに、事実ユーザがその
事実を知ることさえない状態で意のままに解読キーを変
更する能力をもつ♂ したがって、本発明では、計算機複合体の意のままにか
つ遠隔端末によるアクセス中に、交換されるメツセージ
の少なくとも一部がそのPCP用の交換キーを含むこと
を意図している。この交換キーは、解読キーまたは以前
の交換キーの代りに使用され、あるいはその特定の接続
の持続期間中だけ使用され、以前に導入されたどのキー
の代用にもならない。
許可手順に関して、トークンとフロッピ・ディスクの対
を使用する代りに、PCPを計算機センタと物理的に同
一場所に配置したままで、暗号化された解読キーをPC
Pに導入することができる。
このバリエージロンでは、正しく許可されユーザのアイ
デンティティが検証されたとき、ユーザにPCPが与え
られる。別法として、ユーザが自分のPCPを計算機セ
ンタに届けることもできる。
これらの実施態様では許可ディスクは不要であり、ユー
ザが導入検証のためプログラムの実行結果を含むディス
ケットを持ち帰る必要もない。導入の検証は、計算機セ
ンタでその初期設定の実行により明示的に提供される。
計算機複合体と遠隔端末の間で伝送されるメツセージが
すべて確実に暗号化されるため、セキュリティは実現さ
れるが、この手順で暗号化と解読のために資源が消費さ
れるというオーバヘッドが生じる。このオーバヘッドは
周期的端末確認プロトコルを使って減らすことができる
。この方法では、(ユーザ許可の確認後の)ユーザ端末
と計算機複合体の間の通信の大部分は明瞭なテキストの
形で行なう。しかし、計算機複合体が決定する間隔で、
必ずユーザにそれに対するアクセスを許可する前に、計
算機複合体はユーザのパーソナル・コンピュータまたは
端末に、計算機複合体が供給するデータ拳ストリームに
対して所定のある変形を実施することを要求する。この
変形は、下記のような特徴をもつ。
a、 変形の結果が入力データ・ストリームおよび解読
キーの一義的関数である。
b、 結果を検査することにより、変形を実施するプロ
セッサがその解読キーを入手できたことを確認できる。
C9結果と入力データ・ストリームを検査することによ
り、解読キー自゛体を決定することはできない。
これらの基準に合致する適当な変形の例は、次の通りで
ある。
(1)解読キーを用いて入力データ・ストリームを暗号
化する。
(2)解読キーを用いて入力データ・ストリームを解読
する。
(3)解読キーを用いて、入力データ働ストリームに対
して実施した別の操作の結果を暗号化または解読する。
(4)解読キーと入力データ・ストリームを用いて擬似
ランダム数のストリームを生成する。
端末は計算機複合体の要求を受は取ると、PCPに要求
された変形を実行することを要求し、その結果を計算機
複合体に伝送する。計算機複合体は(計算機センタがA
Kキーにアクセスできるので)PCPと同じ変形を実行
し、その計算結果を端末から送られてきた結果と比較す
る。両方の計算の結果が同じであれば、PCPは有効な
解読キーをもち、許可を受けていればまたは続行するな
ら遠隔端末にアクセスできる。そうでない場合は、遠隔
端末のアクセスは終了する。
以上の説明では、PCPで使われる解読キーと計算機セ
ンタで使われる解読キーが同一であると仮定したが、そ
のことは本発明にとって不可欠ではない。その代りに数
組のキーを計算機センタから暗号テキストの形で伝送し
て、PCPに記憶しておくこともできる。PCPはこれ
らのキーのうち1つを使って計算機複合体への伝送を暗
号化し、他のキーを使って計算機複合体からの通信を解
読することができる。PCPで他の安全保護操作用にこ
れらのキーを使うこともできる。
計算機複合体へのアクセスに、許可された解読キーを記
憶するPCPの他に、適当なユーザ・パスワードやPI
Nが必要となる場合もあることは明らかである。PCP
内でこの追加識別子を使って、PCP自体が盗まれた場
合の乱用を防止することもできる。ユーザが自分をPC
Pに対して正しく識別できる場合に限って、ユーザ識別
キーのもとでPCPに暗号機能を使用可能にさせること
もできる。
E、実施例 ある種の適用業務では、端末許可のために解読キー(ま
たは適用キー)を導入するだけでよいことがある。しか
し、一般には、端末は、計算機複合体と通信するための
保護された(暗号化された)ソフトウェアを走らせる能
力をも持たなければならない。
本発明に基づく特定の各ステップについて説明する前に
、第1図と第2図を参照して、典型的な端末と典型的な
トークンのアーキテクチャについて説明する。この説明
は、大筋としては1986年11月5日に出願された米
国特許出願第927629号に含まれるものと同じなの
で、詳しくはそれを参照のこと。以下では、「コプロセ
ッサ」の語をPCPという表現と同じ意味で使う。コプ
ロセッサは、それ自体が計算機システムである。
コプロセッサは、それ自体のプロセッサ、ファームウェ
アと読取専用メモリ(ROM) 、実時間クロックおよ
びRAMを含んでいる。これは、パーソナル・コンピュ
ータまたは端末内に、メモリおよび入出力アドレス空間
中にマツプされたアダプタ・カード・セットとして設置
することも、また単に入出力ポートを介してパーソナル
・コンピュータまたは端末に結合することもできる。(
以下では、パーソナル・コンピュータ(PC)および端
末の語をユーザ装置と同じ意味で使う)。コプロセッサ
が携帯式であることが、上記の特開昭61−72345
号公報に記載されている発明とは異なる本発明の特徴で
あることに注目されたい。コプロセッサは、次の2つの
方式のどちらかでパーソナル・コンピュータと通信する
。コプロセッサが(カード・セットのように)パーソナ
ル・コンピュータ内に直接設置されている場合、コプロ
セッサは、共通メモリおよびパーソナル・コンピュータ
のポート・アドレス空間にある1組のレジスタヲ介して
、パーソナル・コンピュータと通信することができる。
この方式では、共通メモリはコプロセッサの一部になっ
ている。コプロセッサはそのバス・トランシーバを制御
し、共通メモリをパーソナル・コンピュータが読取り操
作のために使用できないようにすることができる(この
アーキテクチャは、特開昭81−72345号公報に記
載されている)。もう1つの方法では、コプロセッサは
入出力ポートを介してパーソナル・コンピュータと通信
することができる。どちらの方式で通信を行なおうとも
、コプロセッサのメモリの一部分にしかパーソナル・コ
ンピュータがアドレスできないようにする必要がある。
また、コプロセッサのメモリのうちでパーソナル−コン
ピュータがアドレスできない部分が、ユーザが物理的に
アクセスできないようになっていることも必要である。
コプロセッサが適用業務ソフトウェアの暗号化された部
分を解読して実行するのは、このメモリ中においてであ
る。
プロセッサ、メモリ(RAMとROM) 、およびボー
ト・アドレス・レジスタの他に、コプロセッサは物理的
にも論理的にも安全な記憶スペースを有する。この記憶
スペースには、ROMと持久メモリ装置(バッテリ・バ
ックアップCMO8RAMまたはEEFROM)が含ま
れる。
ROMは、システム・ファームウェアを内蔵する。これ
は、モニタの形をとり、そのコマンドはパーソナル・コ
ンピュータがコプロセッサから要求するサービスである
。こうした−揃いのサービスは、最小限次のものを含む
(1)実行権獲得(ARE) (2)適用業務ロード/解読/実行(LDR)持久RA
M装置は、コプロセッサが安全な持久メモリとして使用
し、このメモリ内に、初期設定された適用業務の解読キ
ーAK1、AK2などが、メーカからPCPと一緒に供
給される1組の共通スーパバイザ拳キー(C8K)と−
緒に記憶される。
コプロセッサは少なくとも2つの特権レベルを含み、A
Kを記憶するためのメモリをユーザに対して適切に保護
できるようになっていることに留意されたい。そうする
必要があるのは、たとえば計算機センタのセキュリティ
・グループなどソフトウェア作成者がユーザとなること
があるためである。あるソフトウェア作成者のために実
行されるソフトウェアが他の作成者のAKを読み取るこ
とができるなら、作成者であるユーザが他の作成者のA
Kを回復して、その保護されたソフトウェアを解読でき
ることになる。AKの導入、使用およびAKに対するア
クセスの管理は、システムに対する高い特権レベルでの
重要な機能である。
コプロセッサで解読され実行される適用業務ソフトウェ
アはすべて、保護されたソフトウェアの持久RAMによ
るアクセス、ロード、解読および起動を制御するROM
内蔵ファームウェアよりも低い特権レベルにある。
前述のように、コプロセッサは物理的にも論理的にも安
全でなければならない。このセキュリティは、ユーザが
論理解析器その他のデジタル制御装置および記録装置を
利用して、安全記憶スペースの内容のレコードを、した
がってAKまたは解読されたソフトウェアを入手するの
を防止するために必要である。
パーソナル・コンピュータまたは個別ワーク・ステージ
日ンは、共通単一バス・マイクロプロセッサ中システム
である。IBM  PCがこのクラスのマシンの代表で
ある。こうしたシステムは、バス(間隔を置いてソケッ
トを備えた伝送線の列でよい)を論理的に独立したサブ
システム間の通信媒体として使用する。一部のサブシス
テムは、バスをサポートする同じ実装エレメント(この
場合は「システム・ボード」と呼ばれるプリント回路板
)上にあってもよい。システムの機能に必要なサブシス
テム、あるいはシステムの機能を拡張させるサブシステ
ムは、ソケットを介してバスに接続することにより処理
される。サブシステムを構成する部品は、サブシステム
の一部が別の実装エレメント上にあるようにしてもよい
ことに留意されたい。
第1図でホスト10として示した領域にあるサブシステ
ムの全体が、共通パーソナル・コンピュータの例である
。PCCPU4は単一チップ・マイクロプロセッサおよ
び一部のサポート・チップである。PCCPU4にはク
ロックと呼ばれる周期的信号が供給され、サポート・チ
ップによってバスに接続される。マイクロプロセッサに
は、通常これより多いサポートが提供されるが、すべて
のサポートは、メモリから命令を取り出し、(ランダム
・アクセス・メモリなど)サブシステムの選択された一
部のエレメントからデータを取り出し、命令を実行し、
必要なときは結果として得られたデータをシステムの選
択されたエレメント内に記憶するという反復するサイク
ルを実行することを狙いとするものである。CPU4に
は、直接メモリ・アクセス(DMA)と呼ばれるサポー
トが提供される。DMAは、アドレス可能なエレメント
間でのデータの移動を伴うタスクからマイ。
クロプロセッサを解放する。
マイクロプロセッサは、実行される操作の種類(取出し
、記憶など)およびそれによってバス中の制御線が「ア
サート」される(バス定義プロトコルと呼ばれるプロト
コルに基づいて適当な電位に変更される)選択されたエ
レメントの種類(RAM、ポート・アドレスΦレジスタ
など)を制御する。これらの手段により、マイクロプロ
セッサは命令の集合(プログラムと呼ぶ)を獲得し、1
組のデータに対して命令を実行し、命令実行の結果とし
てシステムの他のエレメント内に記憶されたデータを変
更させることができる。
RAM8は、CPU4がそこからデータを取り出しそこ
にデータを書き込むことができるサブシステムである。
これは、他のソースからロードされるデータと命令を記
憶するのに使われるサブシステムである。RAM8が意
味のある内容を含んでいる場合、その内容はCPU4に
よってそこに書き込まれたものである。計算機の電源が
入ったとき、RAM8の内容は実際上無意味である。
ROM8は、そこからデータを取り出すことしかできな
いサブシステムである。これは、計算機の有用な処理を
開始させるのに必要なプログラムや残りのサブシステム
を制御するのに有用なプログラムの集合を含むことがで
きる。
残りのサブシステム、すなわち端末制御装置9、表示装
置11、手動入力装置13、ディスク・システム制御装
置15、ディスク駆動装置17、入出力ポート19は、
アドレス可能なエレメントならびに、人間の感覚に作用
し、人間のアクションによって影響を受け、あるいは磁
気媒体を操作して磁気媒体上の磁区間の境界の設定と検
出を含めて読取り操作および書込み操作を実施すること
ができる機械式、光学式、電磁式(その他の)エレメン
トを共に備えるまたはサポートするものとして特徴づけ
ることができる。一部のアドレス可能エレメントは、そ
の内容がサブシステムの機械式、光学式、電磁式エレメ
ントのアクシロンを制御するのに使われ、また他のアド
レス可能エレメントは、その内容が機械式、光学式、電
磁式エレメントによって制御される。すなわち、こうし
た手段によって、計算機システムがユーザおよび磁気媒
体その他の媒体と対話することができる。ユーザとの対
話に必要なエレメントを備えたサブシステムは、ユーザ
・インターフェース制御サブシステムと呼ばれる。磁気
媒体上での読取り操作および書込み操作を可能にする一
般的な形のサブシステムは、ディスク制御システムと呼
ばれる。こうしたエレメントによって、こうしたシステ
ムの操作を大まかに説明することが可能である。
電源を入れたとき、マイクロプロセッサはメモリ内の固
定位置から命令を取り出す。このアドレスは、ROM8
が占めているアドレスである。その位置にある命令は、
システムを゛使用のためテストし初期設定する効果をも
つプログラムへの飛越し命令である。システム初期設定
プログラムの1つは、ディスク・オペレーティング・シ
ステム(DO8)と呼ばれるプログラムを、ディスクか
ら読み取って実行させる。このプログラム(D。
S)は、端末制御システムを使ってユーザからコマンド
を受諾することができる。こうしたコマンドの1つは、
プログラムが常駐するファイルを(手動入力によって)
DOSプログラムに対して指名することにより、ユーザ
が選んだプログラムをシステム上で実行させるコマンド
である。
第1図で15として示したサブシステムの全体が、最小
のコプロセッサ・システムの例である。
ハードウェアの諸エレメントは、2つの部分からなると
考えることができる。1つの部分(154)は、ハード
ウェアがパーソナル・コンピュータと通信して(ユーザ
と上位システムの間での場合と大体同じように)コマン
ドおよびデータを交換できるようにする、アドレス可能
エレメントを含んでいる。もう一方の部分は、パーソナ
ル働コンピュータとの通信に直接には係わらない、コプ
ロセッサのCPU150、 RAM151、ROM15
2、実時間クロツク166、および持久RAM153を
含んでいる。
持久RAM153は、EEPROMlまたはバッテリ・
バックアップCMO8RAMとして、あるいはそのメモ
リの内容を消去できる他のどんな技術で実現してもよい
持久性と消去可能性という特徴の組み合わせが必要なの
は、ソフトウェア・キー(AK)とコプロセッサ・スー
パバイザ・キー(C8K)を、コプロセッサの使用の間
は保持でき、物理的侵入検出システム155が不正の試
みを検出した場合は消去できるようにするためである。
侵入検出システムの例については、1988年11月5
日出願の米国特許出願第92730θ号を参照のこと。
実時間クロック158は、専用カウンタを含むサブシス
テムである。これは、バッテリで、通常は持久メモリお
よび不正検出装置に動力を供給するのと同じバッテリで
電力を供給される。計算機システムの電源を切っている
間は、バッテリでカウンタとそのサポート・チップに電
力を供給する。
カウンタは、そのサポート・チップで発生するクロック
信号に応じてそのレジスタを増分して、そのレジスタが
コプロセッサ・メーカの手で初期設定されて以降の時間
を反映するようにさせる。すなわち、レジスタが時刻に
初期設定されている場合、それらの内容は時刻を近似的
に追跡することになる。実時間クロックのレジスタは、
CPU150が読み取ることができる。
第1図に、保護されたソフトウェアを実行するタメノパ
ーソナル・コンピュータおよび関連するコプロセッサの
構成を示す。この説明では、ソフトウェアがフロッピ舎
ディスクなどの磁気媒体に分散されているものと仮定す
るが、説明が進むにつれて、ソフトウェアを通常のどん
な技術によって分散させてもよいことが明らかになるは
ずである。特開昭81−72345号公報に記載されて
いる発明によれば、サポート・ハードウェアはその内部
バスを介してホストと通信するが、通信ポートを介して
コプロセッサをパーソナル・コンピュータと結合し、コ
プロセッサが携帯できるようにするのが本発明の1つの
特徴である。ここではこの構成を使ってシステムの動作
を説明するが、当然のことながら、コプロセッサが内部
バスを介してパーソナル・コンピュータと通信するとき
でも、本発明を用いることができる。
コプロセッサ15は、特開昭61−72345号公報の
サポート・ソフトウェアと共通のいくつかの特徴を有す
る。もっと具体的に言えば、コプロセッサは各ソフトウ
ェア・ベンダーにユーザよりも高い特権レベルのインス
タンスを与え、しかもどのソフトウェア・ベンダーにも
他のベンダーの特権情報にアクセスすることを許さない
。コプロセッサで解読され実行される適用業務ソフトウ
ェアは、すべて2つの特権レベルのうち低い方のレベル
にある。高い方の特権レベルは、ROM内蔵ファームウ
ェアとして実現され、持久RAM153へのアクセス、
ロード、解読および実行操作を制御する。コプロセッサ
のこの構造により、ファームウェアと持久メモリ(解読
キーを含む)にアクセスしてその情報をホスト10が使
用できるようにするためにコプロセッサで実行されるモ
ニタをソフトウェア・ベンダーが作成することが防止さ
される。
したがって、コプロセッサ15は、RAM151にアク
セスできる第1の低い特権レベルを備えている。すなわ
ち、上記のようにRAM151はユーザおよびホスト1
0から保護される。第1特権レベルには、保護されてい
るソフトウェアを実行するための第ルベルの動作命令が
含まれる。
しかし、コプロセッサ15には、第2レベルの安全メモ
リと第2レベルの動作命令とを含む第2の特権レベルも
定義されている。第2レベルの安全メモリは、持久RA
M153で表され、第2レベルの動作命令はROM16
2中で定義される。第2特権レベルは、ユーザおよびど
のソフトウェア作成者に対しても保護される。実行権の
獲得に関係し、したがってそれに先立つ手順を制御する
のは、コプロセッサ15の第2特権レベルである。
またこの同じ第2特権レベルが、保護ソフトウェアの実
行を求めるユーザの要求に応答し、保護ソフトウェアの
ロードと解読を可能にし、保護ソフトウェアの実行のた
めに第1特権レベルの動作を開始させる。ただしこうし
た実行が許可されていると第2特権レベルが判定した場
合だけである。
本発明によれば、保護ソフトウェアで動作するモードが
2種ある。第1のモードは実行権獲得(ARE)と呼ば
れ、保護された適用業務の実行をコプロセッサに許可す
る場合に必要である。各コプロセッサは、各適用業務に
対するARE )ランザクジョンを実行することにより
、多数のソフトウェア適用業務を実行する許可を得るこ
とができる。その後、許可されたソフトウェア・パッケ
ージを実行するとき、装置はロード/解読/実行(LD
R)モードで動作する。
第3図に、本発明にもとづいて使用されるソフトウェア
の構成を示す。第3図に示すように、複数のファイルを
ユニットとして(磁気媒体上にまた通信リンクを介して
)分散させることができる。
第1のファイルは、暗号化されたソフトウェア解読キー
EAKである。第2のファイルは、平文テキストの形の
ソフトウェアと保護または暗号化されたソフトウェア(
EAK (ソフトウェア))とを含むソフトウェアであ
る。最後のファイルは、暗号化されたトークン争データ
E A K (TOKENDATA )である。暗号化
されたソフトウェアと暗号化されたトークン・データは
、共通キー(AK)を用いて暗号化され、したがって解
読キー(AK)を使ってそれぞれ解読できるが、ソフト
ウェア解読キーは、別のキー(C8K)すなわちハード
ウェア・ベンダーのキーを使って暗号化される。この後
者のキーは、ソフトウェア・ベンダーには秘密にしてお
くことができる。特開昭E31−172345号公報に
よれば、「公衆キー」暗号システムを用いたキ一対を使
ってソフトウェアキーを暗号化し解読しなければならな
いが、暗号化と解読に同じキーを用いるDESまたは他
の「対称」キー・システムを含めて、充分に安全な暗号
システムならどんなものでも使用できることが本システ
ムの特徴である。
この説明では、第3図のファイルがフロッピ・ディスク
に内蔵され、ディスク駆動装置に装入されるものと仮定
する。コプロセッサを初期設定するため、トークン拳カ
ートリッジ20をコプロセッサ15または上位パーソナ
ル・コンピュータ10に結合する。カートリッジ20は
、メモリ装置に記憶されているトークン・データを含む
。このメモリ装置は、後で説明するように独自の特徴を
もっている。ここでは、カートリッジ20は、−回だけ
しか使用できないように構成されていることを指摘する
だけに留めておく。すなわち、カートリッジ20を使用
すると、もはやその所期の目的には使用できない状態に
変わる。
(保護された)ソフトウェアを使、用するには、コプロ
セッサ15は解読キー(AK)を備えていなければなら
ない。この解読キーは、適用業務の暗号化された部分を
実行可能にする。このキーは、転送機能が再使用または
再生できないような形でコプロセッサ15に転送される
。それには、解読キーをコプロセッサ15の持久メモリ
に効果的に転送するために、未使用のトークン・カート
リッジが存在することが必要である。ここで「未使用」
とは、計算機センタ(ソフトウェア複写保護の場合はソ
フトウェア作成者)から提供されるトークン・カートリ
ッジの内容がそれまでどんな形でも読み取られたことが
なかったことを意味するにすぎない。前述のように、ト
ークンは後で考察する理由で偽造が難しく、転送トラン
ザクションで効果的に消去される。トークンが含む情報
内容は、プログラムと関連する暗号化されたファイル中
に列挙されているので、コプロセッサ15にとって識別
可能である(または下記のような別のソースから供給さ
れる)。この列挙は、それが計算機センタから供給され
たことの証拠である。適用業務の保護された部分を暗号
化するのに使用されたのと同じキー(AK)を用いてそ
の情報が暗号化されていることにより、そのことがコプ
ロセッサ15に対して確認される。
転送トークンを記憶するカートリッジ20は、その目的
で設けられたコネクタを介して、コプロセッサ(図示せ
ず)の入出力装置154またはパーソナル・コンピュー
タ(図示)の入出力装置19に結合される、カートリッ
ジ20用のコネクタは露出してお1、シたがってユーザ
が監視できるので、一部1データが漏れたとしても、こ
のコネク夕を使用するトランザクションが偽造し難しく
なければならない。この特徴をもつには、各トランザク
ションが実際上一義的で、コプロセッサによって検査で
きるものでなければならない。
カートリッジ20は、物理的にも論理的にも安全である
。物理的セキュリティを実現する好ましい方法は、トー
クンの回路を単一の集積回路チップの形にすることであ
る。カートリッジ20は、以前に使用されたことがない
かどうか、および真正なものであるかどうかが検査でき
るような形で動作するメモリを備えている。解読キーA
Kが将来使用できるように受諾されるためには、コプロ
セッサによる両方の検査が必要である。下記で説明する
ように、カートリッジ20は、そのコネクタとプロトコ
ルが標準化されている限り、第3者が作成してもよい。
その情報内容は、ソフトウェア作成者またはその代理人
の手で決定してロードしなければならない。データは、
照会/回答プロトコルを使ってカートリッジからコプロ
セッサに転送する。照会はランダム数であり、それをト
ークン・データと組み合わせてトークン回答が決定され
る。コプロセッサ15とカートリッジ20の間の安全で
ない経路を通るアクセス可能な情報は「ランダム数」お
よびカートリッジの回答であり、どちらもトークン・デ
ータを漏らさない。コプロセッサは、(たとえばソフト
ウェア分配媒体からの暗号化されたトークン・データを
解読することにより)トークン・データのコピーにアク
セスすることができる。したがって、コプロセッサは「
正しい」回答を独自に求めることができ、カートリッジ
からの実際の回答をそれ自体で独自に求めた「正しい」
回答と比較することができる。したがって、このランダ
ムな照会と実際の回答だけが、トランザクション中に露
出される。照会と組み合せて回答を得るために必要な完
全なトークン情報が漏れることはない。カートリッジ2
0はその回答を生成すると同時に、その内容を変えて、
カートリッジが再使用できないようにする。そうするた
めに、カートリッジ20内に、読取り操作中の通常のメ
モリのようには動作しないメモリ領域を設ける。(カー
トリッジ20の適切なアーキテクチャを含む構成図は第
2図に示されている)。
簡単にいうと、カートリッジ20は少なくとも2個のメ
モリ・セグメントを含み、どちらのセグメントも通常の
直列入力シフト・レジスタのように書き込むことができ
る。しかし、読取りが行なわれると、それらの領域のア
クセス特性が変化する。
読取り中に両方のメモリ・セグメントが使用可能になり
、通常の直列出力シフト・レジスタのように出力端にデ
ータを発生させる。マルチプレクサが、コネクタ内に含
まれコプロセッサにより「ランダム数」で駆動される制
御数の状態にもとづいて、2つ(以上)のセグメントの
データのどれをコネクタに(したがってコプロセッサに
)送るのかを選択する。カートリッジのメモリ領域が読
み出されると、両方のセグメントの内容が消去され、 
 る。これによって、侵入者がコプロセッサとトークン
・カートリッジの間でのトランザクションを盗聴しても
、カートリッジの情報内容の一部しか入手できない。ト
ークン情報のこの部分は、それがコプロセッサにソフト
ウェア・パッケージの使用を許可するための有効なトー
クンであることをコプロセッサに対して確認するには充
分であるが、侵入者がその元の内容を再構成して他のコ
プロセッサを欺して正当に所存していないキーを受諾さ
せるにはとても充分ではない。
上記のカートリッジ20の一実施例では、2個のシフト
・レジスタを使って、読取り中にメモリ内容のうち選択
された半分が露出されるようにする。別の方法として、
メモリ・セグメントを大きくすること、選択の細分性を
1ビツトより大きくすること、あるいはアドレス可能な
記憶されるデータを使って照会に回答する方法がある。
これらの方法では、システム設計者がコストとセキュリ
ティの兼ね合わせを考えなければならない。
この読取り操作中に、カートリッジ20の内容の一部が
コプロセッサに転送される。どの部分が選択されるかは
、コプロセッサによって生成される「ランダム」数によ
って決まる。次に「ランダム」数とカートリッジ20か
らの回答が共にコブロセッサに記憶される。次にこの情
報を、やはりソフトウェア分配媒体からコプロセッサに
転送されるトークン・データと比較することができる(
第3図)。トークン・データが予想されるトークン・デ
ータと一致しないと、トークン・カートリッジが偽造さ
れた証拠とみなされ、その結果解読キーを将来使用する
ことがコプロセッサによって拒絶される。もちろん、保
護ソフトウェアが実行できるのは解読キーが将来使用で
きるように受諾された場合だけである。
第2図は、カートリッジ20の一実施例の構成図である
。この実施例では、トークン装置は、コスト上および物
理的セキュリティ上の理由から、単一シリコンCMO8
集積回路チップの形をとる。
このチップは、データ記憶エレメント120.22oが
バッテリ26によって連続的に電力を供給されるように
、適切な形に実装される。CMOS集積回路は、これら
のレジスタが、読み出されない場合、バッテリの有効寿
命にほぼ等しい期間存在されると予想できるほど小さな
電力必要条件で構成できる。データが読み取られる場合
は、後述のように、読取りに必要な他の構成要素に外部
から外部電力線と外部接地線27を介して電力が供給さ
れる。第2図に示すように、カートリッジ20は、コネ
クタ23を介してコプロセッサまたは上位パーソナル・
コンピュータに結合される。コネクタ23は、クロック
線、選択線、データ入力線、データ出力線、外部電力線
および外部接地線を備えている。カートリッジ20は、
直列入力および直列出力左シフト式シフト・レジスタ1
20と220の形の2つのメモリ・セグメントを備え、
第1のセグメントはセル121−12nを含み、第2の
セグメントはセル221−22nを含んでいる。この種
のシフト・レジスタは、その左端のセル(121,22
1)に記憶されているビットの状態がその出力線(Di
、D2)の状態に反映されるという特性をもっている。
これらのシフト・レジスタは、さらに、クロック・パル
スの立下りがそのクロック線(CL C2)に提示され
ると、各セルの状況がそのすぐ右側のセルの状態に変わ
って、レジスタ中のビット・パターンが左にシフトする
という特性をもっている。右端のセル(12n % 2
2 n )の場合は、クロック・パルスの立下りがくる
と、これらのセルはデータ入力線(D3、D4)の状態
をとる。2つのデータ入力線の各々にデータ・ビットを
供給し、次にクロック・パルスを供給することにより、
セルをデータで充填することができる。n個のクロック
・パルスの間この手順を繰り返すと、レジスタのnビッ
トがすべて充填される。次にこれらのビットの(AKで
)暗号化されたコピーを作うてフロッピ・ディスクに記
憶させると、トークン[相]データの暗号化された解読
が供給できる。ソフトウェア作成者、この場合は計算機
センタが、この手段に従ってコプロセッサに対してAK
を受諾することの許可を作成する。
読取り操作を実施するとき、コプロセッサによって生成
されたランダム数の各ビットが選択線に連続的に印加さ
れる。選択線21の各設定後に、クロック・パルスが生
じる。両方のシフト・レジスタが各クロック・パルスで
左にシフトされる。第1のシフト・レジスタからのデー
タは線D1に印加され、第2のシフト・レジスタからの
データは線D2に印加される。どちらもマルチプレクサ
22に対する入力となる。マルチプレクサ22は、コプ
ロセッサまたは上位パーソナル・コンピュータからの選
択線21によって制御される。選択線21は、2つの信
号D1とD2のどちらをラッチ24を介してデータ出力
端子に結合するかを決定する。ラッチ24は、各クロッ
ク・パルス毎に選択を2回変更することにより、侵入者
がトークン・データを入手するのを防止するために使わ
れる。
この構成の結果、データ出力端子に各ビットが提示され
るごとに、2ビツトがレジスタからシフト・アウトされ
、許可には役立たない2ビツトがシフト・インされたこ
とになる。
したがって、カートリッジ20のメモリ内容全体が読み
出されたと仮定すると、選択線21およびデータ出力端
子への入力を盗聴した者がいたとしても、カートリッジ
20の内容のせいぜい半分しか知ることができない。コ
プロセッサは、暗号化されたトークン情報から、その半
分の中にどのビットが現われるかを正確に知り、したが
ってその確認の妥当性を確認するのに充分な情報をもつ
が、侵入者は破壊された半分の内容を持たないため、許
可を偽造することができない。
計算機センタのメインフレームにアクセスするのに必要
なAKなどのAKを獲得するようにコプロセッサ15に
要求が出されると、ARE処理が開始する。それが始ま
るのは、暗号化されたソフトウェア解読キーと暗号化さ
れたトークン・データが、RAM 151または一時メ
モリ15Tに読み込まれるときである。さらに、前述の
ように「ランダム」数がコプロセッサによって発生され
、カートリッジ20上で読取り操作を行なう際に使用さ
れる。「ランダム」数は、どのメモリ・セグメントのど
のビットをマルチプレクサ22に渡すかを選択するため
に使用される。コプロセッサ15は、「ランダム」数を
カートリッジ20から得られたデータと一緒にRAM1
5.1に記憶する。
当業者なら理解できるはずであるが、トークン・キャリ
ッジのデザインには非常に多数の変形があるが、そのす
べてが、カートリッジから読み取られたデータが照会ビ
ットとトークン・データの内容の両者の関数として変形
され、トークンの完全な内容がわかっている場合はトー
クンから得られる回答が予測できるという特性をもって
いる。
コプロセッサはソフトウェア解読キーEC8K(AK)
を解読し、得られたソフトウェア解読キー(AK)を使
ってトークン会データが解読され、平明なテキストの形
のトークン・データが得られる。コプロセッサ15の特
徴の1つは、コプロセッサ・ベンダーによって1個また
は複数のC8Kが導入されていることである。複数のC
8Kがある場合、暗号化されたソフトウェア・キーのヘ
ッダに、正しいC8Kに対する参照を備えることができ
る。このようなヘッダは、平明なテキストの形での正し
いC8Kに対する指標、または正しいC8Kを使った場
合にだけ所期のパターンに解読される認識フラグをもた
らすことができる。他にも多くの方法がある。正しいC
8Kを用いてEAKを解読した後、コプロセッサは記憶
している「ランダム」数または照会を平明なテキストの
形のトークン・データと組み合わせて、独自に「正しい
」回答を決定することができる。次に実際の回答(カー
トリッジ20から受は取ったデータ)を「正しい」回答
と比較することができる。・2つの量が一致した場合、
それはカートリッジ20がコプロセッサに、AKを将来
使用できるように持久RAMまたは永続メモリ15Pに
記憶することを許可した証拠とみなされる。このとき、
ユーザは、計算機センタのメインフレームにアクセスす
るために必要なソフトウェアなど新、シ<獲得したAK
によって保護されるソフトウェアをコプロセッサが実行
することを要求することができ、その要求は充たされる
。キーAKは記憶する前にプロセッサによって再暗号化
できることに注意されたい。
この再暗号化ステップを用いると、記憶されているキー
の保護が改善され、正しく使用した場合、コプロセッサ
の外部でのキーの記憶をサポートすることかできる。
一方、カートリッジの「正しい」回答と実際の回答が一
致しなかった場合、そのソフトウェア解読キー(AK)
は捨てられ、コプロセッサは暗号化されたソフトウェア
を適正に実行することができず、したがって適用業務プ
ログラムは適正に動かない。
また、このトランザクションによってカートリッジ20
の内容が破壊され、それを再使用して他のコプロセッサ
にその適用業務プログラムまたは他の適用業務プログラ
ムの実行を許可することができなくなることも自明のは
ずである。
コプロセッサが作成できるカートリッジの様々なセグメ
ントの内容の可能な選択の数と、侵入者が試行錯誤によ
って再構成しなければならない情報の量が莫大なもので
あるため、侵入者によるカートリッジ20の再構成の成
功に対する障害となる。
偽造が成功する確率(P(偽造))は、コプロセッサが
所定の要求ビットで同じ選択を求める確率(P(同一)
)と、侵入者が盗聴したトランザクシロンの「失われた
」データを正しく推定する確率(P(推定))と、検査
トランザクシロンでコプロセッサが要求するビットの数
(Nビット)の関数である。P(偽造) = (P (
同一)+ (1−P(同一) ) X (P (偽造)
))のNビット乗。
小さな集積チップで実際に容易に実現できるP(同一)
=0.5、P(推定)=0.5、Nピッ)=128の場
合、P(偽造)は、大体10のマイナス16乗となる。
侵入者が自分の推定をテストする速度(PCPによって
設定される速度)を1秒に1回とすると、そうした小さ
なカートリッジでも探索に平均で2億年以上かかること
になる。
したがって、コプロセッサは、読取り中のカートリッジ
が、ソフトウェア・ベンダーによって所有権を検査する
ために供給されたのか、それとも偽造されたものである
かを、うまく偽造を行なうために必要な情報を露出させ
ずに確実に判定することができる。コプロセッサは、カ
ートリッジが検査された後で、後で使うために解読キー
(AK)のみを記憶する。
上記の装置以外に、第1図には、複合知能端末が前記の
入出力接続に加えてモデム400への接続を含むことが
示されている。モデム400は、通常電話システムに対
するインターフェースをとって、遠隔施設を公衆電話回
線網を介して端末またはパーソナル・コンピュータに接
続させるために使用されている。
当業者には自明のように、モデムは、知能端末を上位計
算機複合体に接続する非常に多数の方法のうちの1つに
すぎない。具体的に言うと、ローカル・エリアΦネット
ワーク、直接同軸ケーブル、より二線式ワイヤ、光波、
ラジオ放送が、端末を計算機複合体に接続するその他の
手段の一部である。一部の上位メインフレーム計算機は
、通信制御装置とチャネル以外の手段を介して、こうし
た接続を受は入れることができる。
第1図では、知能端末が上位シテスム10とコプロセッ
サ15を含むものとして示しであるが、それは本発明に
とって不可欠ではない。別の構成では、コプロセッサは
、端末とモデム400の間のデータ経路内に配置される
。この構成では、端末は、ユーザ・インターフェース制
御装置9、表示装置11、手動入力13、および入出力
ポート19くらいのものから構成される。こうした複合
知能端末は、コプロセッサ15にAKをロードすること
をサポートせず、したがってそのトランザクシロンをサ
ポートするにはコプロセッサ15を一時的に充分な知能
システムに接続することが必要になるはずである。この
必要なトランザクションは、「ダム」端末をもつユーザ
をサポートする計算機センタでのサービスとして実現す
ると好都合である。
第4図は、モデム400を介して公衆電話回線網410
に、またネットワークを介して遠隔計算機センタに接続
された(第1図の)複合知能端末35を含むシステムの
概略図である。第4図に示すように、遠隔計算機センタ
は、通信制御装置430(代表的なものはIBM372
5)を介してメインフレーム計算機(代表的なものはI
BMシステム1370)440のチャネル442に結合
されたモデム420のバンクを含んでいる。チャネル4
42は、メインフレーム440のCPU442と主記憶
装置446をモデムに接続している。
第4図に示すように、モデム400に接続された複合知
能端末35から、遠隔計算機センタにあるメインフレー
ム440のモデム・バンク420に至る経路を412で
表す。
本発明によれば、複合知能端末35に許可を与えるため
に特定の手順を実施する。この手順を第5図に概略的に
示す。
第5図は、ユーザ500が遠隔端末35を使って計算機
センタのメインフレーム計算機440にアクセスする許
可を計算機センタ(または計算機センタのスタッフ50
1)から受けるための手順を示したものである。この手
順は、ステップS1から始まり、このステップで、ユー
ザ500は計算機センタのスタッフ501に個人識別を
提示する。ステップS2でユーザのアイデンティティが
、メインフレーム440のファイル中でそのユーザのコ
プロセッサ15の識別子として使われる独自のキーと関
連づけて記録される。ステップS3でユーザは、そのセ
ンタのメインフレーム440との通信をサポートする特
別の端末エミュレータ、またはそのセンタがユーザの複
合端末システム35で遠隔アクセスする識別プログラム
を含む、保護されたソフトウェア分配セットのコピーを
与えられる。ステップS4で、ユーザ500はそのソフ
トウェアを自分のシステムに導入する。導入手続につい
ては前述したが、一般に1986年11月5日出願の米
国特許出願第927Ei2e号に具体的に記載されてい
る手順と同様である。この導入手続中に、複合知能端末
システム35は検査メツセージを生成する(ステップ8
5)。この検査メツセージは、たとえばキーAKを用い
て暗号化され、通し番号などコプロセッサ独自の識別を
含んでいる。次にステップS6で、ユーザは通常の任意
のやり方でその検査メツセージを計算機センタのスタッ
フ501に戻す。次にステップS7で計算機センタのス
タッフ501はその検査メツセージをメインフレーム計
算機440が使用できるようにする。次にメインフレー
ム計算機440は予想されるコプロセッサを識別するキ
ー(ステップS2で識別されたキー)で検査メツセージ
を解読して、検査メツセージの妥当性をテストする。検
査メツセージが有効な場合、メインフレーム440はそ
の後、複合端末システム35を介してそのユーザ510
と独自に通信できる状態になる。妥当性はAKによる暗
号化のみに依存するものの、コプロセッサ独自の識別子
(たとえば通し番号)を以前にステップS2で記憶され
た情報と比較する必要があることもある。
第6図は、遠隔計算機センタ440のメインフレーム4
40とユーザ500、もっと具体的にはその複合知能端
末システム35の間の代表的な通信セツションを示した
ものである。ステップ11で、ユーザは自分の複合知能
端末システム35にログオン要求を送る。それを受けて
、端末システムは公衆電話交換網接続線(第1図および
第4図参照)を使って遠隔計算機センタにユーザ識別を
そのログオン要求と一緒に送る(ステップ12)。
先に指摘したように、このメツセージは平文形式でも、
またいくつか(またはすべて)のコプロセッサに共通の
キーを用いて暗号化してもよい。次にステップ13で、
遠隔計算機センタ、より具体的にはメインフレーム計算
機440があるメツセージを生成してそれを戻す。この
メツセージは、ステップS12で送られたログオン要求
中で識別された複合知能端末システム35のコプロセッ
サ15が解読できるものである。たとえば、S13のメ
ツセージはAKで暗号化されている。計算機センタは、
S12で送られたユーザ識別を用いて、識別された遠隔
端末に対する適切なキーAKを識別することができる。
このとき複合知能端末システムに常駐するソフトウェア
が、ステップ814で検証メツセージを作成して送り、
メインフレーム440はそれを受は取ると、それが予想
されたコプロセッサおよび正しいソフトウェア・パッケ
ージであることを確認することができる。前述のように
、ステップ314の検証メツセージは、下記の特徴をも
つデータ・ストリーム(813でもたらされた)の変形
である。
a、変形の結果が入力データ・ス) IJ−ムと解読キ
ーの一義的関数である。
b、結果を検討することにより、解読キーをその、変形
を実行するプロセッサが使用できたことを確認すること
ができた。
C0結果と入力データ・ストリームを検討することによ
り、解読キー自体を決定できない。
その後、通常の通信を平明なテキストまたは暗号化され
たテキストの形でどちらの方向にでも進めることができ
る(ステップ515)。メインフレーム440によって
選択される任意の期間で定期的にまたはランダムに、ス
テップ813と814を繰り返して、ステップS15で
表される確立されたセツションが許可のないユーザに送
られないようにする。
代表的な通信セツションについての先の説明では、第6
図に示すように、計算機センタと遠隔端末(コプロセッ
サを介して)が同じ暗号化キーAKを使うものと仮定し
てきた。しかし別のオプションも使用できる。前述のよ
うに単一の解読キー(AK)を導入するのではなく、導
入過程でコプロセッサの所に1対のキー(AKI、AK
2)を導入した場合、計算機センタからの送信はAKI
で暗号化し、遠隔端末からの送信はAK2で暗号化する
ことができる。
遠隔端末でAKIとAK2をともに導入する導入処理に
よって、両方のキーが計算センタのメツセージの解読と
計算センタへの伝送の暗号化に利用可能である。
同様に、計算センタは、遠隔端末からのメツセージの解
読と遠隔端末へのメツセージの暗号化のために利用可能
な両方のキー(AKIとAK2)をもつことになろう。
なお、遠隔端末でコプロセッサまたはPCPによって実
行される動作がユーザまたはそのホストあるいは端末に
対して透過性であることも明らかであるべきである。た
とえば、ユーザもその端末またはホストも解読キーへの
アクセスをもたず、したがって、もちろん、それらのキ
ーなしではユーザもその端末またはホストも計算センタ
との間でメツセージを解読または暗号化することができ
ない。そうではなくむしろ、ホストまたは端末で受信さ
れた暗号化されたメツセージは、解読のためコプロセッ
サに渡されなくてはならない。同様に、ホストまたは端
末が計算センタへの伝送のため情報を発生する範囲まで
、その情報は暗号化のためコプロセッサに渡されなくて
はならない。ユーザ(またはそのホストあるいは端末)
は何らかの情報が平文で伝送されるという事実を知らな
いということもあり得る。また、遠隔端末へ伝送される
情報が暗号化されるか否かおよびそれは何時かというこ
とは、もちろん計算センタの制御下にある。
同様に、計算センタは、PCPまたはコプロセッサを制
御することによって、何時およびどの程度まで、遠隔端
末によって伝送される情報が暗号化されるべきかを判断
することができる。
全く同様に、計算センタとコプロセッサの間の通信リン
クを上位システムと端末のどちらも利用できないので、
計算機センタが単独で決定するときに、暗号化/解読に
実際に使用されるキーを変更することができる。たとえ
ば、通信セラシロン中に計算機センタがPCPに、キー
AK(またはキ一対AKI、AK2)から別のキーBK
(または別のキ一対BKI、BK2)に切り替えよとの
コマンドを送ることができる。こうした操作は、ユーザ
およびその上位システムまたは端末にとって完全に透明
である。新しいBK(またはキ一対BKI、BK2)を
コプロセッサ内に常駐させることも可能であるが、別の
キー(AK)で開始されたセツション中にこれらのキー
をコプロセッサに送ることも、本発明の範囲に含まれる
また、計算機センタが初期の暗号化された交換(ステッ
プ813.814)を用いて、単にコプロセッサまたは
PCPを許可を受けた端末として識別し、その後に許可
を受けた端末との各通信セツションごとにそれ用の一義
的セツションキーを生成することも、本発明の範囲に含
まれる。それぞれキーまたはキ一対(あるいはより大き
な1組のキー)にアクセスできるセツション参加者が、
その情報を用いて一義的セツションのキーを生成できる
ことは、充分に通常の技能の範囲内に含まれ、ここで説
明する必要はない。当然のことながら許可を受けた端末
と計算機センタは、この共通の情報をもち、したがって
必要に応じて一義的セツション・キーを生成することが
できる。
代表的な初期許可プロセスについては、既に第5図に関
して説明した。前述のように、このプロセスには、ステ
ップS1、S3、S4、S5、S8でユーザ500がイ
ンターフェースをとる必要のないバリエージ日ンがある
。この方法では、遠隔端末、または少なくとも許可され
る遠隔端末のコプロセッサ要素が計算機センタの同じ場
所にあり、メインフレーム440と直接連絡している。
この状態で、ステップS1、S3、S4、S5、S6の
間に転送された情報は、ユーザ500が存在せずに実施
することができる。さらに具体的にいうと、コプロセッ
サ15は、通常の任意のプロトコルを使って、自分自身
を(たとえば通し番号などコプロセッサ特有の番号を含
む)メインフレームに対して識別することができ、メイ
ンフレーム440はキーAKを直接コプロセッサ15に
転送することができる。この手順では、明らかに、通し
番号をユーザに秘密にしておくことが必要である。した
がってこの手順では、本願に記載する遠隔端末セキュリ
ティ方式を使うケースの一部分で、計算機センタから分
配されるコプロセッサが必要になると予想される。この
手順の結果、メインフレーム440は特定のコプロセッ
サおよびそれが使用できる解読キーを識別する情報を記
憶しており、第5図に関して示唆したすべてのステップ
は、ユーザ500にコプロセッサまたはPCPが供給さ
れる前に実施される。その後、ユーザはコプロセッサま
たはPCPを所有し、それを遠隔端末に運ぶ。ユーザは
その直後に第6図に示すような通信セツションを実施す
ることができる。
別法として、コプロセッサが計算機センタにあるメイン
フレーム440と物理的に同じ場所にあるとき、ステッ
プS1、S3、S4で表される情報を実施することがで
きる。その後、コプロセッサまたはPCPがユーザ50
0に提示され、ユーザはそれを自分の上位システムまた
は遠隔端末に運ぶ。この時点で、コプロセッサが計算機
センタから遠隔の場所にある状態で、第5図に示される
残りのステップ(S5、S6)が実施される。
以上の説明から明らかなように、本発明は先に述べた目
的に合致する。当業者には明らかなように、本発明の精
神および範囲から逸脱することなく、多くの様々な変更
を加えることができる。たとえば、ディスクとトークン
の対を用いてPCPに解読キー(AK)を導入すること
について詳しく説明したが、1986年11月出願の米
国特許出願第927629号および第927299号に
記載されているように、トークン/ディスク対を使う以
外にも、解読キー(AK)をPCPに安全に転送するの
に使用できる様々な方法がある。こうした他の方法の多
くは、PCP対間の直接通信リンクに依存するものであ
り、安全な情報の転送前に、この通信の当事者は通信の
相手方当事者が「ファミリーの一員」であることに満足
することが必要である。したがって、本発明は本明細書
に記載した特定の例に限られるものではなく、頭記の特
許請求の範囲に基づいて解釈すべきである。
F0発明の効果 以上述べたように、本発明は、平文テキストの形による
暗号キーの移送要件を軽減するものである。
すなわち、本発明は、既存の一般のシステムよりもずっ
と安全な遠隔端末セキュリティ・システムを提供する。
【図面の簡単な説明】
第1図は、PCPすなわちコプロセッサを含む遠隔端末
の概略図である。第1図の例では、遠隔端末は上位計算
機またはパーソナル・コンピュータを含んでいる。 第2図は、平明なテキストによるトークン・リングを記
憶するのに安全に記憶できるハードウェア・カートリッ
ジの概略図である。 第3図は、トークン/ディスク対のディスク成分の内容
の一例である。 第4図は、公衆交換網を介して計算機複合体に結合きれ
た第1図の遠隔端末の概略図である。 第5図は、本発明にもとづく遠隔端末許可手順の一実施
例の説明図である。 第6図は、本発明にもとづく遠隔端末と計算機複合体の
間の典型的な通信セツションの説明図である。 出願人  インターナショナル・ビジネス・マシーンズ
・コーポレーション 代理人  弁理士  山  本  仁  朗(外1名)

Claims (1)

  1. 【特許請求の範囲】 (a)中央計算機から、物理的に安全なコプロセッサに
    、暗号化された解読キーを転送し、 (b)上記物理的に安全なコプロセッサを端末に接続し
    、 (c)上記コプロセッサから上記中央計算機に暗号化さ
    れたファイルを転送することによって、上記中央計算機
    が、該暗号化されたファイルを作成したコプロセッサを
    識別することを可能ならしめ、(d)上記遠隔端末によ
    る上記中央計算機へのアクセスを承認する前に、特定の
    コプロセッサが上記暗号化されたファイルを作成したこ
    とを検証するために上記中央計算機で上記暗号化された
    ファイルを検査する段階を有する、 遠隔端末アクセス方法。
JP62228696A 1986-11-05 1987-09-14 遠隔端末アクセス方法 Granted JPS63125030A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US06/927,306 US4916738A (en) 1986-11-05 1986-11-05 Remote access terminal security
US927306 1986-11-05

Publications (2)

Publication Number Publication Date
JPS63125030A true JPS63125030A (ja) 1988-05-28
JPH0524696B2 JPH0524696B2 (ja) 1993-04-08

Family

ID=25454546

Family Applications (1)

Application Number Title Priority Date Filing Date
JP62228696A Granted JPS63125030A (ja) 1986-11-05 1987-09-14 遠隔端末アクセス方法

Country Status (3)

Country Link
US (1) US4916738A (ja)
EP (1) EP0268141A3 (ja)
JP (1) JPS63125030A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008263577A (ja) * 2007-04-11 2008-10-30 Cyberlink Corp 暗号化されたプログラムを実行するシステムおよび方法

Families Citing this family (107)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5434999A (en) * 1988-11-09 1995-07-18 Bull Cp8 Safeguarded remote loading of service programs by authorizing loading in protected memory zones in a terminal
FR2638868B1 (fr) * 1988-11-09 1990-12-21 Bull Cp8 Systeme de telechargement securise d'un terminal et procede mis en oeuvr
US5128996A (en) * 1988-12-09 1992-07-07 The Exchange System Limited Partnership Multichannel data encryption device
CA2053261A1 (en) * 1989-04-28 1990-10-29 Gary D. Hornbuckle Method and apparatus for remotely controlling and monitoring the use of computer software
DE69028705T2 (de) * 1989-04-28 1997-03-06 Softel Inc Verfahren und vorrichtung zur fernsteuerung und -überwachung der anwendung von rechnerprogrammen
DE69029759T2 (de) * 1989-05-15 1997-07-17 International Business Machines Corp., Armonk, N.Y. Flexible Schnittstelle für Beglaubigungsdienste in einem verteilten Datenverarbeitungssystem
US5263158A (en) * 1990-02-15 1993-11-16 International Business Machines Corporation Method and system for variable authority level user access control in a distributed data processing system having multiple resource manager
US5056140A (en) * 1990-02-22 1991-10-08 Blanton Kimbell Communication security accessing system and process
GB9010603D0 (en) * 1990-05-11 1990-07-04 Int Computers Ltd Access control in a distributed computer system
US5193114A (en) * 1991-08-08 1993-03-09 Moseley Donald R Consumer oriented smart card system and authentication techniques
US7028187B1 (en) 1991-11-15 2006-04-11 Citibank, N.A. Electronic transaction apparatus for electronic commerce
US5453601A (en) * 1991-11-15 1995-09-26 Citibank, N.A. Electronic-monetary system
US5557518A (en) * 1994-04-28 1996-09-17 Citibank, N.A. Trusted agents for open electronic commerce
US5280581A (en) * 1992-02-27 1994-01-18 Hughes Aircraft Company Enhanced call-back authentication method and apparatus for remotely accessing a host computer from a plurality of remote sites
DE69316009T2 (de) * 1992-06-12 1998-04-23 Dow Benelux Sicheres frontendverbindungssystem und verfahren fur prozesssteuerungsrechner
US5692048A (en) * 1993-04-15 1997-11-25 Ricoh Company, Ltd. Method and apparatus for sending secure facsimile transmissions and certified facsimile transmissions
US5521323A (en) * 1993-05-21 1996-05-28 Coda Music Technologies, Inc. Real-time performance score matching
US5590199A (en) * 1993-10-12 1996-12-31 The Mitre Corporation Electronic information network user authentication and authorization system
US6088797A (en) * 1994-04-28 2000-07-11 Rosen; Sholom S. Tamper-proof electronic processing device
KR0152788B1 (ko) 1994-11-26 1998-10-15 이헌조 디지탈 영상 시스템의 복사 방지 방법 및 장치
KR0136458B1 (ko) 1994-12-08 1998-05-15 구자홍 디지탈 자기 기록재생 시스템의 복사 방지장치
US5588059A (en) * 1995-03-02 1996-12-24 Motorola, Inc. Computer system and method for secure remote communication sessions
US5680456A (en) * 1995-03-31 1997-10-21 Pitney Bowes Inc. Method of manufacturing generic meters in a key management system
US7702540B1 (en) * 1995-04-26 2010-04-20 Ebay Inc. Computer-implement method and system for conducting auctions on the internet
US7937312B1 (en) * 1995-04-26 2011-05-03 Ebay Inc. Facilitating electronic commerce transactions through binding offers
US5884277A (en) * 1995-05-01 1999-03-16 Vinod Khosla Process for issuing coupons for goods or services to purchasers at non-secure terminals
US5745886A (en) * 1995-06-07 1998-04-28 Citibank, N.A. Trusted agents for open distribution of electronic money
US5671280A (en) * 1995-08-30 1997-09-23 Citibank, N.A. System and method for commercial payments using trusted agents
US5771291A (en) * 1995-12-11 1998-06-23 Newton; Farrell User identification and authentication system using ultra long identification keys and ultra large databases of identification keys for secure remote terminal access to a host computer
US5923762A (en) * 1995-12-27 1999-07-13 Pitney Bowes Inc. Method and apparatus for ensuring debiting in a postage meter prior to its printing a postal indicia
JP3937475B2 (ja) 1996-06-14 2007-06-27 キヤノン株式会社 アクセス制御システムおよびその方法
US6205579B1 (en) * 1996-10-28 2001-03-20 Altera Corporation Method for providing remote software technical support
US6523119B2 (en) * 1996-12-04 2003-02-18 Rainbow Technologies, Inc. Software protection device and method
US7287271B1 (en) 1997-04-08 2007-10-23 Visto Corporation System and method for enabling secure access to services in a computer network
US20060195595A1 (en) * 2003-12-19 2006-08-31 Mendez Daniel J System and method for globally and securely accessing unified information in a computer network
US6708221B1 (en) * 1996-12-13 2004-03-16 Visto Corporation System and method for globally and securely accessing unified information in a computer network
US6192473B1 (en) 1996-12-24 2001-02-20 Pitney Bowes Inc. System and method for mutual authentication and secure communications between a postage security device and a meter server
US6144743A (en) * 1997-02-07 2000-11-07 Kabushiki Kaisha Toshiba Information recording medium, recording apparatus, information transmission system, and decryption apparatus
US6766454B1 (en) * 1997-04-08 2004-07-20 Visto Corporation System and method for using an authentication applet to identify and authenticate a user in a computer network
US7290288B2 (en) 1997-06-11 2007-10-30 Prism Technologies, L.L.C. Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network
US6678822B1 (en) 1997-09-25 2004-01-13 International Business Machines Corporation Method and apparatus for securely transporting an information container from a trusted environment to an unrestricted environment
US6073240A (en) * 1997-10-28 2000-06-06 International Business Machines Corporation Method and apparatus for realizing computer security
US6301344B1 (en) 1997-11-05 2001-10-09 Protel, Inc. Intelligent public telephone system and method
US6438585B2 (en) 1998-05-29 2002-08-20 Research In Motion Limited System and method for redirecting message attachments between a host system and a mobile data communication device
US7209949B2 (en) 1998-05-29 2007-04-24 Research In Motion Limited System and method for synchronizing information between a host system and a mobile data communication device
JP4289710B2 (ja) * 1999-03-01 2009-07-01 ローム株式会社 認証機能を有する通信システム
US7103574B1 (en) 1999-03-27 2006-09-05 Microsoft Corporation Enforcement architecture and method for digital rights management
US7319759B1 (en) 1999-03-27 2008-01-15 Microsoft Corporation Producing a new black box for a digital rights management (DRM) system
US7136838B1 (en) * 1999-03-27 2006-11-14 Microsoft Corporation Digital license and method for obtaining/providing a digital license
US6973444B1 (en) * 1999-03-27 2005-12-06 Microsoft Corporation Method for interdependently validating a digital content package and a corresponding digital license
US7024393B1 (en) 1999-03-27 2006-04-04 Microsoft Corporation Structural of digital rights management (DRM) system
US7383205B1 (en) 1999-03-27 2008-06-03 Microsoft Corporation Structure of a digital content package
US7073063B2 (en) * 1999-03-27 2006-07-04 Microsoft Corporation Binding a digital license to a portable device or the like in a digital rights management (DRM) system and checking out/checking in the digital license to/from the portable device or the like
US7051005B1 (en) 1999-03-27 2006-05-23 Microsoft Corporation Method for obtaining a black box for performing decryption and encryption functions in a digital rights management (DRM) system
US6816596B1 (en) * 2000-01-14 2004-11-09 Microsoft Corporation Encrypting a digital object based on a key ID selected therefor
US20020012432A1 (en) * 1999-03-27 2002-01-31 Microsoft Corporation Secure video card in computing device having digital rights management (DRM) system
US6829708B1 (en) * 1999-03-27 2004-12-07 Microsoft Corporation Specifying security for an element by assigning a scaled value representative of the relative security thereof
US20020019814A1 (en) * 2001-03-01 2002-02-14 Krishnamurthy Ganesan Specifying rights in a digital rights license according to events
GB2355819A (en) * 1999-10-26 2001-05-02 Marconi Comm Ltd Authentication of data and software
US7353209B1 (en) 2000-01-14 2008-04-01 Microsoft Corporation Releasing decrypted digital content to an authenticated path
US6772340B1 (en) 2000-01-14 2004-08-03 Microsoft Corporation Digital rights management system operating on computing device and having black box tied to computing device
AU2000269232A1 (en) * 2000-01-14 2001-07-24 Microsoft Corporation Specifying security for an element by assigning a scaled value representative ofthe relative security thereof
US6912528B2 (en) * 2000-01-18 2005-06-28 Gregg S. Homer Rechargeable media distribution and play system
US7010808B1 (en) * 2000-08-25 2006-03-07 Microsoft Corporation Binding digital content to a portable storage device or the like in a digital rights management (DRM) system
WO2002021412A1 (en) * 2000-09-05 2002-03-14 Netserve Systems, Inc. Biometric verification system and method for internet services
US7194759B1 (en) 2000-09-15 2007-03-20 International Business Machines Corporation Used trusted co-servers to enhance security of web interaction
US7225231B2 (en) * 2000-09-20 2007-05-29 Visto Corporation System and method for transmitting workspace elements across a network
DE10046614C1 (de) * 2000-09-20 2002-05-29 Teraport Gmbh Verfahren zur Ausführung von elektronischen Ingenieursanwendungen
US7039615B1 (en) * 2000-09-28 2006-05-02 Microsoft Corporation Retail transactions involving digital content in a digital rights management (DRM) system
US7149722B1 (en) 2000-09-28 2006-12-12 Microsoft Corporation Retail transactions involving distributed and super-distributed digital content in a digital rights management (DRM) system
US7302703B2 (en) * 2000-12-20 2007-11-27 Aol, Llc A Delaware Limited Liability Company Hardware token self enrollment process
KR100612825B1 (ko) * 2001-02-10 2006-08-14 삼성전자주식회사 발신자 번호와 일회용 암호를 이용한 전화 쇼핑 서비스제공 시스템 및 방법
US7239708B2 (en) 2001-06-27 2007-07-03 Microsoft Corporation Protecting decrypted compressed content and decrypted decompressed content at a digital rights management client
US6948073B2 (en) * 2001-06-27 2005-09-20 Microsoft Corporation Protecting decrypted compressed content and decrypted decompressed content at a digital rights management client
US7904392B2 (en) * 2001-10-25 2011-03-08 Panasonic Corporation Content usage rule management system
US7680743B2 (en) * 2002-05-15 2010-03-16 Microsoft Corporation Software application protection by way of a digital rights management (DRM) system
US20080046592A1 (en) 2002-06-26 2008-02-21 Research In Motion Limited System and Method for Pushing Information Between a Host System and a Mobile Data Communication Device
US8028077B1 (en) * 2002-07-12 2011-09-27 Apple Inc. Managing distributed computers
US7370212B2 (en) 2003-02-25 2008-05-06 Microsoft Corporation Issuing a publisher use license off-line in a digital rights management (DRM) system
US7310423B2 (en) * 2003-04-24 2007-12-18 General Instrument Corporation Processing multiple encrypted transport streams
US8103592B2 (en) * 2003-10-08 2012-01-24 Microsoft Corporation First computer process and second computer process proxy-executing code on behalf of first process
US7788496B2 (en) * 2003-10-08 2010-08-31 Microsoft Corporation First computer process and second computer process proxy-executing code on behalf thereof
US7979911B2 (en) * 2003-10-08 2011-07-12 Microsoft Corporation First computer process and second computer process proxy-executing code from third computer process on behalf of first process
US20060242406A1 (en) * 2005-04-22 2006-10-26 Microsoft Corporation Protected computing environment
US8347078B2 (en) 2004-10-18 2013-01-01 Microsoft Corporation Device certificate individualization
US8336085B2 (en) 2004-11-15 2012-12-18 Microsoft Corporation Tuning product policy using observed evidence of customer behavior
US7890428B2 (en) * 2005-02-04 2011-02-15 Microsoft Corporation Flexible licensing architecture for licensing digital application
US7549051B2 (en) * 2005-03-10 2009-06-16 Microsoft Corporation Long-life digital certification for publishing long-life digital content or the like in content rights management system or the like
US8438645B2 (en) 2005-04-27 2013-05-07 Microsoft Corporation Secure clock with grace periods
US7856404B2 (en) * 2005-04-14 2010-12-21 Microsoft Corporation Playlist burning in rights-management context
US8738536B2 (en) * 2005-04-14 2014-05-27 Microsoft Corporation Licensing content for use on portable device
US8725646B2 (en) 2005-04-15 2014-05-13 Microsoft Corporation Output protection levels
US8290874B2 (en) * 2005-04-22 2012-10-16 Microsoft Corporation Rights management system for streamed multimedia content
US9507919B2 (en) 2005-04-22 2016-11-29 Microsoft Technology Licensing, Llc Rights management system for streamed multimedia content
US9436804B2 (en) 2005-04-22 2016-09-06 Microsoft Technology Licensing, Llc Establishing a unique session key using a hardware functionality scan
US7693280B2 (en) 2005-04-22 2010-04-06 Microsoft Corporation Rights management system for streamed multimedia content
US9363481B2 (en) * 2005-04-22 2016-06-07 Microsoft Technology Licensing, Llc Protected media pipeline
US8091142B2 (en) * 2005-04-26 2012-01-03 Microsoft Corporation Supplementary trust model for software licensing/commercial digital distribution policy
US20060265758A1 (en) * 2005-05-20 2006-11-23 Microsoft Corporation Extensible media rights
US7684566B2 (en) * 2005-05-27 2010-03-23 Microsoft Corporation Encryption scheme for streamed multimedia content protected by rights management system
US7567658B1 (en) 2005-06-22 2009-07-28 Intellicall, Inc. Method to verify designation of pay telephone with an interexchange carrier
US8321690B2 (en) * 2005-08-11 2012-11-27 Microsoft Corporation Protecting digital media of various content types
US20070078775A1 (en) * 2005-09-14 2007-04-05 Huapaya Luis M System and method for preventing unauthorized use of digital works
CN101438291B (zh) * 2006-04-24 2012-11-21 Cypak股份公司 用于标识和鉴别的设备和方法
US8320638B2 (en) 2008-04-10 2012-11-27 Pitt Alan M Anonymous association system utilizing biometrics
FR2933564A1 (fr) * 2008-07-02 2010-01-08 Thomson Licensing Procede d'embrouillage et desembrouillage pour le transport de flux de donnees audio video mpeg2
US20220166762A1 (en) * 2020-11-25 2022-05-26 Microsoft Technology Licensing, Llc Integrated circuit for obtaining enhanced privileges for a network-based resource and performing actions in accordance therewith

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS613254A (ja) * 1984-06-15 1986-01-09 Nippon Telegr & Teleph Corp <Ntt> 利用者認証方式
JPS6172345A (ja) * 1984-09-14 1986-04-14 インタ−ナショナル ビジネス マシ−ンズ コ−ポレ−ション ソフトウエアのコピー保護装置

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3798359A (en) * 1971-06-30 1974-03-19 Ibm Block cipher cryptographic system
US3798605A (en) * 1971-06-30 1974-03-19 Ibm Centralized verification system
US3958081A (en) * 1975-02-24 1976-05-18 International Business Machines Corporation Block cipher system for data security
US4238853A (en) * 1977-12-05 1980-12-09 International Business Machines Corporation Cryptographic communication security for single domain networks
US4193131A (en) * 1977-12-05 1980-03-11 International Business Machines Corporation Cryptographic verification of operational keys used in communication networks
US4238854A (en) * 1977-12-05 1980-12-09 International Business Machines Corporation Cryptographic file security for single domain networks
US4227253A (en) * 1977-12-05 1980-10-07 International Business Machines Corporation Cryptographic communication security for multiple domain networks
US4262329A (en) * 1978-03-27 1981-04-14 Computation Planning, Inc. Security system for data processing
US4268715A (en) * 1978-05-03 1981-05-19 Atalla Technovations Method and apparatus for securing data transmissions
US4223403A (en) * 1978-06-30 1980-09-16 International Business Machines Corporation Cryptographic architecture for use with a high security personal identification system
FR2448825A1 (fr) * 1979-02-06 1980-09-05 Telediffusion Fse Systeme de transmission d'information entre un centre d'emission et des postes recepteurs, ce systeme etant muni d'un moyen de controle de l'acces a l'information transmise
US4281216A (en) * 1979-04-02 1981-07-28 Motorola Inc. Key management for encryption/decryption systems
US4264782A (en) * 1979-06-29 1981-04-28 International Business Machines Corporation Method and apparatus for transaction and identity verification
FR2469760A1 (fr) * 1979-11-09 1981-05-22 Cii Honeywell Bull Procede et systeme d'identification de personnes demandant l'acces a certains milieux
FR2477344B1 (fr) * 1980-03-03 1986-09-19 Bull Sa Procede et systeme de transmission d'informations confidentielles
US4326098A (en) * 1980-07-02 1982-04-20 International Business Machines Corporation High security system for electronic signature verification
SE426128B (sv) * 1981-04-08 1982-12-06 Philips Svenska Ab Metod vid overforing av datameddelanden mellan tva stationer, samt overforingsanleggning for utforande av metoden
US4423287A (en) * 1981-06-26 1983-12-27 Visa U.S.A., Inc. End-to-end encryption system and method of operation
US4503287A (en) * 1981-11-23 1985-03-05 Analytics, Inc. Two-tiered communication security employing asymmetric session keys
US4430728A (en) * 1981-12-29 1984-02-07 Marathon Oil Company Computer terminal security system
NL8201077A (nl) * 1982-03-16 1983-10-17 Philips Nv Kommunikatiesysteem, bevattende een centrale dataverwerkende inrichting, toegangsstations en externe stations, waarbij een kryptografische kontrole is voorzien op vervalsing van een extern station, alsmede externe stations voor gebruik in zo een kommunikatiesysteem.
GB2124808B (en) * 1982-07-27 1986-06-11 Nat Res Dev Security system
EP0118995A1 (en) * 1983-02-22 1984-09-19 BRITISH TELECOMMUNICATIONS public limited company Generation of identification keys
US4652990A (en) * 1983-10-27 1987-03-24 Remote Systems, Inc. Protected software access control apparatus and method
US4621321A (en) * 1984-02-16 1986-11-04 Honeywell Inc. Secure data processing system architecture
US4691355A (en) * 1984-11-09 1987-09-01 Pirmasafe, Inc. Interactive security control system for computer communications and the like
US4694492A (en) * 1984-11-09 1987-09-15 Pirmasafe, Inc. Computer communications security control system
US4779224A (en) * 1985-03-12 1988-10-18 Moseley Donald R Identity verification method and apparatus
US4731840A (en) * 1985-05-06 1988-03-15 The United States Of America As Represented By The United States Department Of Energy Method for encryption and transmission of digital keying data
US4677670A (en) * 1985-07-01 1987-06-30 Henderson Jr Paul B Paired-secure message identification controller for computers and the like
US4683968A (en) * 1985-09-03 1987-08-04 Burroughs Corporation System for preventing software piracy employing multi-encrypted keys and single decryption circuit modules

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS613254A (ja) * 1984-06-15 1986-01-09 Nippon Telegr & Teleph Corp <Ntt> 利用者認証方式
JPS6172345A (ja) * 1984-09-14 1986-04-14 インタ−ナショナル ビジネス マシ−ンズ コ−ポレ−ション ソフトウエアのコピー保護装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008263577A (ja) * 2007-04-11 2008-10-30 Cyberlink Corp 暗号化されたプログラムを実行するシステムおよび方法

Also Published As

Publication number Publication date
JPH0524696B2 (ja) 1993-04-08
EP0268141A2 (en) 1988-05-25
EP0268141A3 (en) 1991-03-27
US4916738A (en) 1990-04-10

Similar Documents

Publication Publication Date Title
JPS63125030A (ja) 遠隔端末アクセス方法
KR100336259B1 (ko) 스마트 카드 및 스마트 카드내에 파일의 억세스를 허용하는 당사자 상호작용 수단을 설치하는 방법 및 당사자가 개인정보 장치와 통신하는 방법
EP2267628B1 (en) Token passing technique for media playback devices
US5237614A (en) Integrated network security system
JP4091744B2 (ja) コンピュータ装置およびその動作方法
CN100354786C (zh) 开放型通用抗攻击cpu及其应用系统
US5949882A (en) Method and apparatus for allowing access to secured computer resources by utilzing a password and an external encryption algorithm
US5109413A (en) Manipulating rights-to-execute in connection with a software copy protection mechanism
US6400823B1 (en) Securely generating a computer system password by utilizing an external encryption algorithm
JP4603167B2 (ja) コンピューティング装置のモジュール間通信
White et al. ABYSS: An architecture for software protection
US7461249B1 (en) Computer platforms and their methods of operation
US7366916B2 (en) Method and apparatus for an encrypting keyboard
EP0268139A2 (en) Manipulating rights-to-execute in connection with a software copy protection mechanism
JPH0260009B2 (ja)
EP0005179A2 (en) Authenticating the identity of a user of an information system
US20020129261A1 (en) Apparatus and method for encrypting and decrypting data recorded on portable cryptographic tokens
US8799654B2 (en) Methods and apparatus for authenticating data as originating from a storage and processing device and for securing software and data stored on the storage and processing device
WO2015019110A1 (en) Secure data storage
JP2008123490A (ja) データストレージデバイス
GB2404536A (en) Protection of data using software wrappers
WO2004044751A1 (en) A method for realizing security storage and algorithm storage by means of semiconductor memory device
JP2002507025A (ja) 入口及び出口キー利用のインターネット、イントラネット及び他のネットワーク通信保護システム
CN101609489B (zh) 一种计算机安全输入方法及系统
JP2004070828A (ja) 電子機器及びその不正使用防止方法並びにその不正使用防止プログラム