-
Die
vorliegende Erfindung bezieht sich auf Techniken zum Verschlüsseln/Entschlüsseln digitaler Daten,
die zwischen Computern transferiert werden, Konsum- bzw. Haushalts-Informationsverarbeitungsanwendungen
und elektronische Gebühren-Sammelvorrichtungen.
-
Verschlüsselungstechniken
zum Verhindern illegaler Kopie digitaler Daten sind notwendig für digitale
Konsum-Informationsverarbeitungsanwendungen. Wenn beispielsweise
digitale visuelle Daten, die durch einen Rundfunkempfänger empfangen
werden, digital auf einem digitalen Videorekorder aufgezeichnet
werden und die digitalen visuellen Daten ein Urheberrecht haben,
müssen
sowohl der Empfänger als
auch der digitale Videorekorder eine Funktion zum Schützen des
Urheberrechts aufweisen. Um ein derartiges Urheberrechts-Schutzsystem
zu realisieren, ist es notwendig, Veränderung und illegales Kopieren
digitaler Daten zu verhindern, und zwar durch Setzen einer Beschränkung hinsichtlich
des digitalen Datenkopierens, Geräte-Authentifizierung, und kryptografischen
Techniken, wie zum Beispiel Echtzeit-Kryptografie digitaler Daten.
-
Ein
Beispiel herkömmlicher
kryptografischer Techniken ist zum Beispiel ein Algorithmus mit
symmetrischem Schlüssel
oder gemeinsamem Schlüssel,
typischerweise DES-Kryptografie, offenbart in US-Patent 3,962,539.
Die meisten Algorithmen mit gemeinsamem Schlüssel sind gekennzeichnet durch ein
kompliziertes Kryptogramm, das durch Wiederholen einer einfachen
Konversion gebildet wird. Verschiedenartige Vorgehensweisen wurden
versucht, um die Sicherheit von Kryptogrammen zu erhöhen. Beispielsweise
kann ein kryptografischer Angriff erschwert werden durch Erhöhen der
Anzahl von Wiederholungen einfacher Konversionen, um statistische Eigenschaften
von verschlüsselten
Texten weiter zu verwirren.
-
Wenn
jedoch die Anzahl von Konversionswiederholungen erhöht wird,
wird die zur kryptografischen Konversion benötige Verarbeitungszeit lang. Daher
ist eine Sicherheits-Verstärkungsgegenmaßnahme durch
eine Erhöhung
der Anzahl von Wiederholungen einfacher Konversionen nicht geeignet
für Echtzeit-Kryptografie
bei dem Urheberrechtsschutzsystem.
-
Bei
einem elektronischen Gebührensammelsystem
(ETC) einer mautpflichtigen Autobahn, welches zuletzt Aufmerksamkeit
erlangte, wird eine Echtzeit-Kryptografieverarbeitung
benötigt,
so daß das
oben erwähnte
Problem auftritt.
-
Das
elektronische Gebührensammelsystem repräsentiert
ein System, das in der Lage ist, eine Gebühr zu sammeln auf der Basis
einer elektronischen Transaktion durch eine drahtlose Kommunikation
zwischen einer Antenne, die sich bei einer Gebühren-Sammelstation befindet,
und einer mitgeführten
Ausstattung, die in einem Fahrzeug angeordnet ist, wenn das Fahrzeug
durch die Gebühren-Sammelstation hindurchfährt, wobei
deren Einzelheiten zum Beispiel in dem japanischen Magazin "Card Wave", veröffentlicht
durch C-Media, März
1999, S. 42-45, beschrieben sind. Bei dem referenzierten System
ist eine Echtzeit-Kryptografieverarbeitung
unverzichtbar, um Austauschdaten in Echtzeit zu senden und zu empfangen
und um den Austausch von Daten vor Anzapfen und nicht authorisierter
Veränderung zu
schützen.
-
Es
ist ein Ziel der vorliegenden Erfindung, eine Verschlüsselungs-Konversionsvorrichtung,
eine Entschlüsselungs-Konversionsvorrichtung,
ein kryptografisches Kommunikationssystem und eine elektronische
Gebühren-Sammelvorrichtung
zu schaffen, welche in der Lage sind, Algorithmen zur kryptografischen
Konversion zu wechseln, um den verwendeten Algorithmus vor Dritten
zu verbergen, derart, daß die Vorrichtungen
und das System gegen einen kryptografischen Angriff durch Dritte
resistent sind, und mit hoher Geschwindigkeit arbeiten können.
-
Gemäß einem
Aspekt der vorliegenden Erfindung wird eine Verschlüsselungs-Konversionsvorrichtung
geschaffen zum Eingeben mindestens eines Schlüssels, mindestens eines Algorithmus-Parameters
und Normaltextdaten und zum Ausgeben verschlüsselter Textdaten, wobei die
Verschlüsselungsvorrichtung
aufweist: mehrstufige Verschlüsselungs-Konversionsmittel
zum Ausführen
jeder Operation von einer exklusiven logischen Summenoperation,
einer zyklischen Verschiebungsoperation und einer Additionsoperation
zumindest einmal, wobei: die Verschlüsselungs-Konversionsmittel
mindestens eines von jedem von ersten bis dritten Operationsmitteln
aufweisen, wobei das erste Operationsmittel entweder eine exklusive
logische Summenoperation oder eine Additionsoperation von Eingangsdaten
und einem Anteil von Daten, die von Daten des Schlüssels erzeugt
werden, ausführt,
wobei das zweite Operationsmittel entweder eine exklusive logische Summenoperation
oder eine Additionsoperation von Eingangsdaten und einem Anteil
von Daten ausführt, die
durch den Algorithmus-Parameter
bestimmt werden, und wobei das dritte Operationsmittel Eingangsdaten
zyklisch um die Anzahl von Bits verschiebt, die durch den Algorithmus-Parameter bestimmt
wird; und Konversionen, die Kombinationen mehrstufiger konsekutiver
Verschlüsselungs-Konversionsmittel, die
aus allen Verschlüsselungs-Konversionsmitteln optional
ausgewählt
werden, verwenden und die dieselben Eingangsdaten und denselben
Algorithmus-Parameter verwenden, alle unterschiedlich sind.
-
Gemäß einem
weiteren Aspekt der vorliegenden Erfindung wird eine Entschlüsselungs-Konversionsvorrichtung
geschaffen zum Eingeben mindestens eines Schlüssels, mindestens eines Algorithmus-Parameters
und verschlüsselter
Textdaten und zum Ausgeben von Normaltextdaten, wobei die Vorrichtung aufweist:
mehrstufige Entschlüsselungs-Konversionsmittel
zum Ausführen
jeder Operation von einer exklusiven logischen Summenoperation,
einer zyklischen Verschiebungsoperation und einer Additionsoperation
zumindest einmal, wobei: die Entschlüsselungs-Konversionsmittel
mindestens eines von jedem von ersten bis dritten Operationsmitteln
aufweisen, wobei das erste Operationsmittel entweder eine exklusive
logische Summenoperation oder eine Additionsoperation von Eingangsdaten
und einem Anteil von Daten ausführt,
die aus Daten des Schlüssels
erzeugt werden, wobei das zweite Operationsmittel entweder eine
exklusive logische Summenoperation oder eine Additionsoperation
von Eingangsdaten und einem Anteil von Daten ausführt, die durch
den Algorithmus-Parameter
bestimmt sind, und wobei das dritte Operationsmittel Eingangsdaten zyklisch
um die Anzahl von Bits, die durch den Algorithmus-Parameter bestimmt
sind, verschiebt; und Konversionen, die Kombinationen mehrstufiger
konsekutiver Entschlüsselungs-Konversionsmittel,
die aus allen Entschlüsselungs-Konversionsmitteln
optional ausgewählt
werden, verwenden und die dieselben Eingangsdaten und denselben
Algorithmus-Parameter verwenden, alle verschieden sind.
-
Gemäß einem
weiteren Aspekt der vorliegenden Erfindung wird ein kryptografisches
Kommunikationssystem geschaffen mit einem gemeinsamen Schlüsselalgorithmus
zur Kommunikation zwischen einer Übertragervorrichtung und einer
Empfängervorrichtung,
die denselben Schlüssel
haben, wobei die Übertragervorrichtung
einen Normaltext unter Verwendung des Schlüssels verschlüsselt, um
einen Verschlüsselungstext
anzunehmen und zu übertragen,
und die Empfängervorrichtung
den empfangenen Verschlüsselungstext
unter Verwendung des Schlüssels
entschlüsselt,
um den Normaltext wiederzugewinnen, wobei: die Übertragervorrichtung Verschlüsselungs-Konversionsmittel
und erste Algorithmusschlüssel-Speichermittel
aufweist; die Empfängervorrichtung
Entschlüsselungs-Konversionsmittel und
zweite Algorithmusschlüssel-Speichermittel aufweist;
ein durch die Verschlüsselungs-Konversionsmittel
der Übertragervorrichtung
auszuführender Konversionsalgorithmus
durch einen ersten Parameter bestimmt wird, welcher in den ersten
Algorithmusschlüssel-Speichermitteln der Übertragervorrichtung gespeichert
ist; der durch die Entschlüsselungs-Konversionsmittel
der Empfängervorrichtung
auszuführende
Konversionsalgorithmus durch einen zweiten Parameter bestimmt wird,
der in den zweiten Algorithmusschlüssel-Speichermitteln der Empfängervorrichtung
gespeichert ist; und der durch die Übertragervorrichtung unter
Verwendung des Schlüssels verschlüsselte Verschlüsselungstext
durch die Empfängervorrichtung
unter Verwendung des Schlüssels nur
dann korrekt entschlüsselt
werden kann, wenn der Schlüssel
wie auch der erste und der zweite Parameter, der durch die Übertragervorrichtung
und die Empfängervorrichtung
verwendet werden, dieselben sind.
-
Die
Erfindung wird anhand der Zeichnungen näher beschrieben, in welchen:
-
1 ein
Blockdiagramm ist, das ein kryptografisches Kommunikationssystem
mit einem Übertrager
und einem Empfänger
gemäß einem
Ausführungsbeispiel
der Erfindung zeigt,
-
2 ein
Blockdiagramm einer Verschlüsselungs-Konversionseinheit,
gezeigt in 1, ist,
-
3 ein
Blockdiagramm von Verschlüsselungs-Konversionsmitteln,
gezeigt in 2, ist,
-
4 ein
Blockdiagramm von Substitutions-/Permutations-Konversionsmitteln, gezeigt in 2,
ist,
-
5 ein
Blockdiagramm einer Bitzug-Konversionseinheit, gezeigt in 4,
ist,
-
6 ein
Blockdiagramm einer Entschlüsselungs-Konversionseinheit,
gezeigt in 1, ist,
-
7 ein
Blockdiagramm von Substitutions-/Permutations-Konversionsmitteln, gezeigt in 6,
gemäß einem
weiteren Ausführungsbeispiel der
Erfindung ist,
-
8 ein
Blockdiagramm von Schlüssel-Konversionsmitteln
gemäß einem
weiteren Ausführungsbeispiel
der Erfindung ist,
-
9 ein
Blockdiagramm von Substitutions-/Permutations-Konversionsmitteln gemäß einem weiteren
Ausführungsbeispiel
der vorliegenden Erfindung ist,
-
10 ein
Blockdiagramm einer Bitzug-Konversionseinheit gemäß einem
weiteren Ausführungsbeispiel
der vorliegenden Erfindung ist,
-
11 ein
Blockdiagramm ist, das ein elektronisches Gebührensammelsystem als ein weiteres Ausführungsbeispiel
kryptografischer Kommunikation gemäß der Erfindung zeigt,
-
12 ein
Flußdigramm
ist, das Kommunikationsflüsse
des elektronischen Gebührensammelsystems
verdeutlicht, und
-
13 ein
Flußdiagramm
ist, das kryptografische Kommunikation des elektronischen Gebührensammelsystems
verdeutlicht.
-
Ausführungsbeispiele
der Erfindung werden unter Bezugnahme auf die beigefügten Figuren
beschrieben.
-
1 ist
ein Blockdiagramm, das die Konfiguration eines kryptografischen
Kommunikationssystems zeigt, bei welchem ein Datenübertrager,
ausgestattet mit einer Verschlüsselungs-Konversionsvorrichtung
gemäß der Erfindung,
kryptografisch mit einem Datenempfänger kommuniziert, welcher
mit einer Entschlüsselungs-Konversionsvorrichtung
gemäß der Erfindung
ausgerüstet
ist. Unter Bezugnahme auf 1 weist
der Datenübertrager 1 auf
eine Verschlüsselungs-Konversionseinheit 11,
eine Schlüssel-Teilungseinheit 12,
eine Datenverarbeitungseinheit 13, eine Kommunikations-Verarbeitungseinheit 14 und
Schlüssellängen-Datenspeichermittel 15.
Der Datenempfänger 2 weist
auf: eine Entschlüsselungs-Konversionseinheit 31,
eine Schlüssel-Teilungseinheit 32,
eine Datenverarbeitungseinheit 33 und eine Kommunikationsverarbeitungseinheit 34.
Der Datenübertrager 1 kann
ein digitaler Funkempfänger
sein. Der Datenempfänger 2 kann ein
digitaler Videorekorder sein. In diesem Fall verarbeiten die Datenverarbeitungseinheiten 13 und 33 digitale
Programmdaten von beispielsweise MPEG2-TS (Transport Stream, Transportstrom),
verteilt durch digitale Rundfunkdienste. Die Datenverarbeitungseinheit 13 führt einen
Empfangsprozeß,
einen Multiplex-/Separationsprozeß, einen Expansionsprozeß und einen Übertragungsprozeß, jeweils von
digitalen Programmdaten durch, wohingegen die Datenverarbeitungseinheit 33 einen
Empfangsprozeß,
einen Expansionsprozeß und
einen Speicherprozeß ausführt, jeweils
von digitalen Programmdaten.
-
Der
Datenübertrager 1 und
der Datenempfänger 2 teilen
sich gemeinschaftlich Daten, die als ein Schlüssel bezeichnet werden, der
notwendig ist für
Datenverschlüsselung
und -entschlüsselung,
um kryptografische Kommunikation zu beginnen. Gemeinsam Benutzen
dieses Schlüssels
wird durch einen Meldungsaustausch zwischen der Schlüssel-Teilungseinheit 12 des
Datenübertragers 1 und
der Schlüssel-Teilungseinheit 32 des
Datenempfängers über die
Verarbeitungseinheiten 14 und 34 realisiert. In
diesem Fall wird die Schlüssellänge gemäß Schlüssellängendaten,
die in Schlüssellängen-Datenspeichermitteln 15 des
Datenübertragers 1 gespeichert
sind, bestimmt. Es ist erwünscht,
daß der Schlüssel, der
durch den Datenübertrager 1 und
den Datenempfänger 2 gemeinsam
verwendet wird, jedesmal gewechselt wird, wenn Daten transferiert werden.
Deshalb wird, weil ein erzeugtes Kryptogramm verschieden ist, wenn
der Schlüssel
verschieden ist, ein kryptografischer Angriff auf ein Kryptogramm
durch einen Dritten schwierig. Es existieren verschiedene Verfahren
zum gemeinsamen Nutzen eines Schlüssels. Beispielsweise kann
Schlüssel-Austausch
in einem Schlüsselverteilungssystem durch
Diffie-Hellman verwendet werden, detailliert beschrieben zum Beispiel
in "Current Cryptograph" von Tatsuaki Okamoto
et al., veröffentlicht
durch Sangyo Tosho Kabushiki Kaisha auf S. 200 bis 202. Mit diesem
Schlüsselaustausch
ist es für
einen Dritten sehr schwierig, auf einen Schlüssel zu schließen aus einer
abgegriffenen Botschaft, die zum gemeinsamen Benutzen des Schlüssels ausgetauscht
wurde, und es ist möglich,
einen Schlüssel
gemeinsam mit hoher Geheimhaltung jedesmal gemeinschaftlich zu teilen,
wenn Daten transferiert werden.
-
Nachdem
der Schlüssel
gemeinsam geteilt worden ist, führt
die Datenverarbeitungseinheit 13 des Datenübertragers 1 der
Verschlüsselungs-Konversionseinheit 11 zu übertragende
Daten zu. Von der Datenverarbeitungseinheit 13 zugeführte Daten sind
noch nicht verschlüsselt,
und derartige Daten werden im nachfolgenden als "Normaltext" bezeichnet. Die Verschlüsselungs-Konversionseinheit 11 besteht
aus Verschlüsselungs-Konversionsmitteln 20, Schlüssel-Konversionsmitteln 23 und
einem Algorithmusschlüssel-Speichermittel 24.
Die Schlüssel-Konversionsmittel 23 erzeugen
einen Mehrfachsatz von Daten, bezeichnet als Konversionsschlüssel, gemäß dem Schlüssel und
den Schlüssellängen-Daten.
Die Schlüssellängen-Daten
repräsentieren
die Länge
eines Schlüssels,
der durch gemeinsames Schlüsselteilen
bestimmt ist. Das Algorithmusschlüssel-Speichermittel 24 speichert
einen Mehrfachsatz von Daten, bezeichnet als Algorithmus-Schlüssel. Ein
Verschlüsselungs-Konversionsalgorithmus,
der durch die Verschlüsselungs-Konversionsmittel 20 auszuführen ist,
wird durch den Algorithmus-Schlüssel
bestimmt. Durch Verwenden des Konversionsschlüssels, der durch das Schlüssel-Konversionsmittel 23 erzeugt
wurde, und des in dem Algorithmusschlüssel-Speichermittel 24 gespeicherten
Algorithmus-Schlüssels,
verschlüsseln
die Verschlüsselungs-Konversionsmittel 20 den
Normaltext und geben einen Schlüsseltext
aus. Der durch die Verschlüsselungs-Konversionseinheit 11 erzeugte Schlüsseltext
wird von der Kommunikationsverarbeitungseinheit 14 an den
Datenempfänger 2 übertragen.
-
Die
Kommunikationsverarbeitungseinheit 34 des Datenempfängers 2 empfängt den
Schlüsseltext und
führt ihn
der Verschlüsselungs-Konversionseinheit 31 zu.
Die Entschlüsselungs-Konversionseinheit 31 besteht
aus Entschlüsselungs-Konversionsmitteln 40,
einem Schlüssel-Konversionsmittel 43 und
einem Algorithmusschlüssel-Speichermittel 44.
Das Schlüssel-Konversionsmittel 43 hat einen ähnlichen
Aufbau wie das Schlüssel-Konversionsmittel 23 und
erzeugt einen Konversionsschlüssel
gemäß dem Schlüssel und
den Schlüssellängen-Daten. Das Algorithmusschlüssel-Speichermittel 44 hat
eine ähnliche
Struktur wie das Algorithmusschlüssel-Speichermittel 24 und
speichert einen Algorithmusschlüssel.
Ein Entschlüsselungs-Konversionsalgorithmus,
der durch die Entschlüsselungs-Konversionsmittel 40 auszuführen ist,
wird durch den Algorithmus-Schlüssel
bestimmt. Durch Verwenden des Konversionsschlüssels, der durch das Schlüssel-Konversionsmittel 24 erzeugt
wird, und des in dem Algorithmusschlüssel-Speichermittel 44 gespeicherten
Algorithmus-Schlüssels
entschlüsseln
die Entschlüsselungs-Konversionsmittel 40 den
Schlüsseltext.
In diesem Fall können
die Entschlüsselungs-Konversionsmittel 40 nur
dann, wenn die Entschlüsselungs-Konversionsmittel 20 denselben
Algorithmus-Schlüssel verwenden
wie die Verschlüsselungs-Konversionsmittel 20 verwendet
haben, den Schlüsseltext,
der durch die Verschlüsselungs-Konversionsmittel 20 verschlüsselt worden
ist, in den originalen Normaltext entschlüsseln. Die Normaltext-Ausgabe
von der Entschlüsselungs-Konversionseinheit 31 wird
der Datenverarbeitungseinheit 33 zum Verarbeiten der Daten
zugeführt.
-
Wie
oben beschrieben wurde, können
der Datenübertrager 1 und
der Datenempfänger 2 nur dann
miteinander kryptografisch kommunizieren, wenn sie denselben Algorithmus-Schlüssel haben. Kryptografische
Kommunikation mit einer Authentifizierungsfunktion kann realisiert
werden durch Halten dieses Algorithmus-Schlüssels als geheime Information.
Wenn nämlich
der korrekte Algorithmus-Schlüssel
nur durch eine authorisierte Vorrichtung gehalten wird, kann kryptografische
Kommunikation nur für
die authorisierte Kommunikations-Partnervorrichtung durchgeführt werden.
Um dieses zu realisieren, ist eine Schlüsselverwaltungseinrichtung 3 zum
Erzeugen von Algorithmus-Schlüsseln
und gemeinsamem Verwalten dieser vorgesehen, wie in 1 gezeigt ist.
Wie gezeigt ist, nehmen authorisierte Vorrichtungen (in diesem Beispiel
der Datenübertrager 1 und der
Datenempfänger 2)
den Algorithmus-Schlüssel aus
der Schlüsselverwaltungseinrichtung 3 auf,
ohne durch einen Dritten abgegriffen zu werden. Beispielsweise kann
ein Algorithmus-Schlüssel,
der durch die Schlüsselverwaltungseinrichtung 3 verwaltet
wird, in dem Algorithmusschlüssel-Speichermittel 24 und 44 eingebettet
werden, wenn der Datenübertrager 1 und der
Datenempfänger 2 hergestellt
werden. In diesem Fall nimmt der Datenempfänger 11 zur selben
Zeit auch die Schlüssellängen-Daten
auf. In dieser Weise kann ein Schlüsseltext, der von einer authorisierten Vorrichtung übertragen
wurde, die einen korrekten Algorithmus-Schlüssel hat, nur durch eine authorisierte
Vorrichtung entschlüsselt
werden, die den korrekten Algorithmus-Schlüssel hat. Zusätzlich zu
dem Schlüssel
ist der Algorithmus-Schlüssel
auch eine geheime Information, so daß ein kryptografischer Angriff
durch einen Dritten auf einen Schlüsseltext, der sich auf dem
Kommunikationspfad bewegt, schwieriger wird.
-
Da
des weiteren der Datenübertrager 1 einen Schlüssel erzeugt,
der auf den Schlüssellängen-Daten
basiert, die von der Schlüsselverwaltungseinrichtung 3 angenommen
werden, kann die Länge
des Schlüssels
erneuert werden. Wenn beispielsweise erneuerte Schlüssellängen-Daten
in einen von neuem hergestellten Datenübertrager eingebettet werden,
kann kryptografische Kommunikation mit dem neu hergestellten Datenübertrager
durchgeführt
werden durch Verwenden eines Schlüssels, der die erneuerte Länge aufweist.
-
Daher
ist es möglich,
die Schlüssellänge eines
Schlüssels
in der Zukunft zu verlängern,
um hierdurch die Sicherheit weiter zu erhöhen. Die Schlüssellänge kann
in jedem Bereich geändert
werden, wo Vorrichtungen angeliefert werden.
-
2 ist
ein detailliertes Blockdiagramm, das ein Beispiel einer Verschlüsselungs-Konversionseinheit 11 zeigt.
Es wird angenommen, daß die Verschlüsselungs-Konversionseinheit 11 einen
Normaltext von 64 Bit, einen Schlüssel von 40 oder 64 Bit und
Schlüssellängen-Daten
von einem Bit empfängt und
einen Schlüsseltext
von 64 Bit ausgibt. Unter Bezugnahme auf die Schlüssellängen-Daten
konvertiert das Schlüssel-Konversionsmittel 23 den
Schlüssel
in Konversionsschlüssel
K1 und K2, die jeweils 32 Bit aufweisen. Die Schlüssellängen-Daten
nehmen "0" an, wenn der Schlüssel 40
Bit aufweist, und "1", wenn der Schlüssel 64
Bit aufweist. Konversion durch das Schlüssel-Konversionsmittel 32 wird später beschrieben.
Die Verschlüsselungs-Konversionsmittel 20 der Verschlüsselungs-Konversionseinheit 11 bestehen aus
N Substitutions-/Permutations-Konversionsmitteln 211 bis 21N . Ein Verschlüsselungsalgorithmus, der durch
die Substitutions-/Permutations-Konversionsmittel 21n (wobei 1 ≤ n ≤ N) auszuführen ist, wird durch einen
Algorithmus-Schlüssel
Gn bestimmt, der in dem Algorithmusschlüssel-Speichermittel 24 gespeichert
ist.
-
Ein
Normaltext wird in obere 32 Bit R0 und untere
32 Bit L0 separiert und in das Substitutions-/Permutations-Konversionsmittel 211 eingegeben, wo eine erste Verschlüsselungskonversion durchgeführt wird
unter Verwendung der Konversionsschlüssel K1 und K2, um 32 Bits
R1 und 32 Bits L1 auszugeben.
Diese Bits R1 und L1 werden
dem Substitutions-/Permutations-Konversionsmittel 212 eingegeben, wo eine zweite Verschlüsselungs-Konversion
durchgeführt
wird durch Verwenden der Konversionsschlüssel K1 und K2, um 32 Bits
R2 und 32 Bits L2 auszugeben.
Derartige Verschlüsselungskonversion
wird N-male durchgeführt
und die letzten Ausgaben von 32 Bits RN und
32 Bits LN werden kombiniert, um einen Schlüsseltext
von 64 Bits zu erhalten. Die totale Anzahl N von Verschlüsselungs-Konversions-Wiederholungen
wird als eine Runden-Zahl bezeichnet.
-
Es
sei nun der Fall betrachtet, bei welchem der Schlüssel feststeht
und dieselben Daten einer optionalen Kombination von zwei oder mehreren
konsekutiven Substitutions-/Permutations-Konversionsmitteln, die
aus allen Substitutions-/Permutations-Konversionsmitteln
ausgewählt
werden, zugeführt
werden. In diesem Fall wird das Konversionsergebnis durch die Algorithmus-Schlüssel Gn
bestimmt. Bei der Verschlüsselungs-Konversionsvorrichtung
gemäß der Erfindung
wird angenommen, daß nur
Algorithmus-Schlüssel,
die unterschiedliche Konversionsergebnisse für alle Kombinationen schaffen, verwendet
werden. Eine Periodizität
erscheint nicht bei Verschlüsselungskonversionen,
welche eine Mehrzahl von Substitutions-/Permutations-Konversionsmitteln verwenden.
In dieser Weise kann die Geheimhaltung von Verschlüsselungs-Konversion
verbessert werden.
-
3 ist
ein Blockdiagramm, das ein Beispiel des Schlüssel-Konversionsmittels 23,
gezeigt in 2, darstellt. Bezug nehmend
auf 3 besteht das Schlüssel-Konversionsmittel 23 aus einem
Register 26 von 64 Bit Länge, einem Multiplexer 27 und einer
Additions-Operationseinheit 28. Ein Schlüssel wird
zunächst
in das Register 26 geladen. Wenn der Schlüssel 40
Bits aufweist, wird er in die unteren 40 Bits des Registers 26 geladen,
wohingegen, wenn der Schlüssel 64 Bits
aufweist, er in allen Bits des Registers 26 gespeichert
wird. Die unteren 32 Bits des Registers 26 werden als der
Konversionsschlüssel K1
verwendet. Wenn die Schlüssellängen-Daten "0" sind, werden 32 Bits des Registers 26 von
dem 9ten Bit zu dem unteren 40sten Bit als eine Eingabe für den Multiplexer 27 ausgewählt. Wenn
die Schlüssellängen-Daten "1" sind, werden die oberen 32 Bits des Registers 26 als
eine Eingabe für
den Multiplexer 27 ausgewählt. Eine Ausgabe des Multiplexers 27 wird einer
32-Bit-Addition von K1 bei der Additions-Operationseinheit 28 unterzogen,
wobei das Ergebnis K2 ist. Ein Ergebnis der 32 Bit-Addition ist
ein Rest eines gewöhnlichen
Additionsergebnisses, dividiert durch 2 und erhöht zur Potenz von 32.
-
4 ist
ein Blockdiagramm des Substitutions-/Permutations-Konversionsmittels 21n , das in 3 gezeigt
ist, welches die nte (1 ≤ n ≤ N) Verschlüsselungs-Konversion ausführt. Bezug
nehmend auf 4 besteht das Substitutions-/Permutations-Konversionsmittel 21n aus einer Bitzug-Konversionseinheit 61 und
einer Additions-Operationseinheit 62. Rn–1 und
Ln–1 werden
in Rn und Ln konvertiert unter
Verwendung der Konversionsschlüssel
K1 und K2. Zunächst
gibt das Substitutions-/Permutations-Konversionsmittel 21n Ln–1 der
Bitzug-Konversionseinheit 61 ein.
Der Konversions-Algorithmus, der durch die Bitzug-Konversionseinheit 61 auszuführen ist,
wird durch den Algorithmus-Schlüssel
Gn bestimmt. Eine Eingabe U an die Bitzug-Konversionseinheit 61 ist
auf eine Ausgabe Z von der Einheit 61 durch die folgende
Gleichung bezogen: Z = FGn(K1,
K2, U),worin die Funktion FGn eine
Konversion durch die Bitzug-Konversionseinheit 61 bezeichnet.
Der Algorithmus-Schlüssel
Gn besteht aus den folgenden Daten: Gn = (An,
Bn, Cn, Pn, Qn, Sn),worin
An, Bn und Cn 32 Bit-Daten sind und Pn,
Qn und Sn ausgedrückt werden
durch 1 ≤ Pn ≤ 31,
Qn ≤ 31, und
1 ≤ Sn ≤ 31.
Die Werte des Algorithmus-Schlüssels Gn können
verschiedene Werte bei jedem n (1 ≤ n ≤ N) annehmen.
-
Als
nächstes
wird Rn–1 der
Additions-Operationseinheit 62 eingegeben, wo eine 62 Bit-Addition von
Zn durchgeführt wird, wobei das Ergebnis
Ln ist. Ln–1 wird
als Rn verwendet. Die oben beschriebene Konversion
wird in dem folgenden zusammengefaßt: Ln = Rn + FGn(K1, K2, Ln–1) Rn = Ln–1
-
5 ist
ein Blockdiagramm, das ein Beispiel der Bitzug-Konversionseinheit 31,
gezeigt in 4, darstellt.
-
Die
Bitzug-Konversionseinheit 61 besteht aus fünf Bitzug-Konvertern 81 bis 85.
Der Bitzug-Konverter 81 weist eine exklusive logische Summen-(Exklusiv-
oder) Einheit 94 auf. Der Bitzug-Konverter 82 weist
eine Additions-Berechnungseinheit 95 und eine zyklische
Verschiebungseinheit 91 auf. Der Bitzug-Konverter 83 weist
eine Additions-Berechnungseinheit 96 und eine zyklische
Verschiebungseinheit 92 auf. Der Bitzug-Konverter 84 weist eine
Additions- Operationseinheit 97 auf.
Der Bitzug-Konverter 85 weist eine Additions-Berechnungseinheit 98 und
eine zyklische Verschiebungseinheit 93 auf.
-
Die
exklusive logische Summeneinheit 94 des Bitzug-Konverters 81 führt eine
exklusive logische Summenoperation von zwei Eingangswerten aus.
Von den zwei Eingangswerten ist einer K1, gezeigt in 4 und
der andere U, gezeigt in 4, das heißt ein Ausgangswert zu Bitzug-Konversionseinheit 61 oder
Bitzug-Konverter 81.
Eine Konversion durch den Bitzug-Konverter 81 ist gegeben
durch: V = K1 ⊕ U,wobei V ein Ausgangswert
des Bitzug-Konverters 81 ist und ein Ausdruck X Y eine
exklusive logische Summe von X und Y bezeichnet.
-
Die
zyklische Verschiebungseinheit 91 des Bitzug-Konverters 82 verschiebt
zyklisch nach links nur die Daten Pn (1 ≤ n ≤ 31), was
ein Teil des Algorithmus-Schlüssels Gn ist. Die Additions-Operationseinheit 95 führt eine
32 Bit-Addition von drei Eingängen
durch. Von den drei Eingängen
ist einer die Daten An, die ein Teil des
Algorithmus-Schlüssels
Gn, gezeigt in 4 sind. Ein weiterer ist ein
Eingangswert V für
den Bitzug-Konverter 82 und der andere ist die Daten Pn, die zyklisch nach links zu schieben sind.
Eine Konversion durch den Bitzug-Konverter 82 ist
gegeben durch: W = V + (V <<< Pn)
+ An,wobei W ein Ausgangswert des Bitzug-Konverters 82 ist
und ein Ausdruck von X <<< Y eine zyklische Verschiebung von
X nach links um Y Bits angibt.
-
Die
zyklische Verschiebungseinheit 92 des Bitzug-Konverters 83 verschiebt
zyklisch nach links nur die Daten Qn (1 ≤ Qn ≤ 31),
was ein Teil des Algorithmus-Schlüssels Gn ist. Die Additions-Operationseinheit 96 führt eine
32 Bit-Addition von drei Eingängen
durch. Von den drei Eingängen
ist einer die Daten Pn, die ein Teil des
Algorithmus-Schlüssels
Gn, gezeigt in 4 sind.
Ein weiterer ist ein Eingangswert W für den Bitzug-Konverter 83,
und der andere ist die Daten Pn, die zyklisch
nach links zu verschieben sind. Eine Konversion durch den Bitzug-Konverter 83 ist
gegeben durch X = W + (W <<< Qn)
+ Bn wobei W ein Ausgangswert des Bitzug-Konverters 83 ist.
-
Die
Additions-Operationseinheit 97 des Bitzugkonverters 84 führt eine
32 Bit-Addition
von zwei Eingängen
durch. Von den zwei Eingängen
ist einer K2, gezeigt in 2, und der andere ist eine Eingabe X
an den Bitzug-Konverter 84. Eine Konversion durch den Bitzug-Konverter 84 ist
gegeben durch: Y = K2 + X,wobei Y ein Ausgangswert
des Bitzug-Konverters 84 ist.
-
Die
zyklische Verschiebungseinheit 93 des Bitzug-Konverters 85 verschiebt
zyklisch nach links nur die Daten Sn (1 ≤ Sn ≤ 31),
die einen Teil des Algorithmus-Schlüssels Gn sind.
Die Additions-Operationseinheit 98 führt eine 32 Bit-Addition von
drei Eingängen
durch. Von den drei Eingängen
ist einer die Daten Gn, die ein Teil des
Algorithmus-Schlüssels
Gn, gezeigt in 4 sind,
ein weiterer ist ein Eingangswert Y für den Bitzug-Konverter 85,
und der andere sind die Daten Sn, die zyklisch
nach links zu verschieben sind. Eine Konversion durch den Bitzug-Konverter 85 ist
gegen durch: Z = Y + (Y <<< Sn)
+ Cn,wobei Z ein Ausgangswert des Bitzug-Konverters 85 ist.
-
Wie
oben beschrieben wurde, führen
die fünf Bitzug-Konverter 81 bis 85 der
Bitzug-Konversionseinheit 61 eine Bitzug-Konversion durch
Verarbeiten zu konvertierender Daten durch. Die Reihenfolge des Verarbeitens
von Daten durch die Bitzug-Konverter 81 bis 85 der
Bitzug-Konversionseinheit 61 kann geändert werden. Diese geänderte Konfiguration
ist auch in dem Bereich der vorliegenden Erfindung umfaßt. Beispielsweise
kann anstelle der Reihenfolge der Bitzug-Konverter 81 → 82 → 83 → 84 → 85 auch die
Reihenfolge von Bitzug-Konversionsfunktionen 84 → 83 → 81 → 85 → 82 verwendet
werden. Obwohl die fünf
Bitzug-Konverter 81 bis 85 von einer exklusiven
logischen Summeneinheit, drei zyklischen Verschiebungseinheiten
und vier Additions-Operationseinheiten gebildet werden, können diese
auch aus mindestens einer Additions-Operationseinheit und mindestens einer
zyklischen Verschiebungsoperationseinheit gebildet sein, die fähig sind,
Substitutions-/Permutations-/Mischungskonversion
mit ähnlichen
erwarteten Vorteilen der Erfindung auszuführen.
-
6 ist
ein Blockdiagramm, das die Details der in 1 gezeigten
Entschlüsselungs-Konversionseinheit 31 zeigt.
Die Entschlüsselungs-Konversionseinheit 31 entschlüsselt einen
Schlüsseltext,
der durch die Verschlüsselungs-Konversionseinheit 11, gezeigt
in 2, verschlüsselt
worden ist, in den ursprünglichen
Normaltext. Die Entschlüsselungs-Konversionseinheit 31 empfängt einen
Schlüsseltext
von 64 Bit, einen Schlüssel
von 40 Bit oder 64 Bit und Schlüssellängen-Daten
von einem Bit und gibt einen Normaltext von 64 Bit aus. Die Entschlüsselungs-Konversionsmittel 40 der
Entschlüsselungs-Konversionseinheit 31 bestehen
aus N Substitutions-/Permutations-Konversionsmitteln 411 bis 41N . Ein Konversionsalgorithmus, der durch
Substitutions-/Permutations-Konversionsmittel 41n (wobei
1 ≤ n ≤ N) auszuführen ist,
wird durch einen Algorithmus-Schlüssel Gn bestimmt,
der in dem Algorithmusschlüssel-Speichermittel 44 gespeichert
ist.
-
Ein
Schlüsseltext
wird separiert in obere 32 Bit RN und untere
32 Bits LN und dem Substitutions-/Permutations-Konversionsmittel 411 eingegeben, wo eine erste Entschlüsselungskonversion durchgeführt wird
unter Verwendung der Konversionsschlüssel K1 und K2, um 32 Bit RN–1 und
32 Bit LN–1 auszugeben.
Diese Bits RN–1 und
LN–1 werden dem
Substitutions-/Permutations-Konversionsmittel 412 eingegeben, wo eine zweite Entschlüsselungs-Konversion
durchgeführt
wird unter Verwendung der Konversionsschlüssel K1 und K2, um 32 Bit RN–2 und
32 Bit LN–2 auszugeben.
Derartige Entschlüsselungs-Konversion
wird N mal wiederholt und die letzten Ausgaben von 32 Bit R0 und 32 Bit L0 werden
kombiniert, um einen Normaltext von 64 Bit zu erhalten. Ähnlich der
Verschlüsselungs-Konversion wird
die totale Anzahl N von Entschlüsselungs-Konversions-Wiederholungen
als eine Runden-Zahl bezeichnet.
-
Es
sei nun der Fall betrachtet, in welchem der Schlüssel feststeht und dieselben
Daten einer optionalen Kombination von zwei oder mehreren konsekutiven
Substitutions-/Permutations-Konversionsmitteln, die aus allen von
den Substitutions-/Permutations-Konversionsmitteln ausgewählt sind,
zugeführt werden.
In diesem Fall wird das Konversionsergebnis durch die Algorithmus-Schlüssel Gn bestimmt. Bei der Verschlüsselungs-Konversionsvorrichtung
dieser Erfindung wird angenommen, daß nur Algorithmus-Schlüssel verwendet
werden, welche unterschiedliche Konversionsergebnisse für alle Kombinationen
schaffen. Eine Periodizität
erscheint nämlich bei
Entschlüsselungs-Konversionen
nicht, welche Substitutions-/Permutations-Konversionsmittel wiederholt
verwenden.
-
7 ist
ein Blockdiagramm des Substitutions-/Permutations-Konversionsmittels 41n , das in 6 gezeigt
ist, welches die (N + 1 – n)te
(1 ≤ n ≤ N)-Entschlüsselungs-Konversion ausführt. Unter
Bezugnahme auf 7 besteht das Substitutions-/Permutations-Konversionsmittel 41n aus einer Bitzug-Konversionseinheit 61,
die mit Bezug auf 5 beschrieben wird, und einer
Subtraktions-Operationseinheit 72. Rn und
Ln werden in Rn–1 und
Ln–1 konvertiert
unter Verwendung der Konversionsschlüssel K1 und K2. Zuerst gibt
das Substitutions-/Permutations- Konversionsmittel 41n Rn der Bitzug-Konversionseinheit 61 ein.
Der durch die Bitzug-Konversionseinheit 61 auszuführende Konversionsalgorithmus wird
durch den Algorithmus-Schlüssel
Gn bestimmt. Eine Eingabe zu der Bitzug-Konversionseinheit 61 wird
durch U dargestellt, und eine Ausgabe von dieser Einheit 61 wird
durch Z dargestellt. Als nächstes wird
Ln der Subtraktions-Operationseinheit 72 eingegeben,
um eine 32 Bit-Subtraktion von Z durchzuführen, wobei das Ergebnis Rn–1 ist.
Ein Ergebnis der 32 Bit-Subtraktion ist ein gewöhnliches Subtraktionsergebnis,
addiert zu 2, erhöht
zu einer Potenz von 32, wenn das gewöhnliche Subtraktionsergebnis
negativ ist. Als letztes wird Rn für Ln–1 verwendet.
Die oben beschriebene Konversion wird nachfolgend zusammengefaßt: Rn–1 = Ln – FGn(K1, K2, Rn) In–1 = Rn
-
Diese
Konversion ist eine inverse Konversion des Substitutions-/Permutations-Konversionsmittels 21n,
das mit Bezug auf 2 beschrieben wurde. Wenn die
Entschlüsselungs-Konversionseinheit 31 denselben
Schlüssel
und Algorithmus-Schlüssel wie
die Verschlüsselungs-Konversionseinheit 11 hat, kann
die Entschlüsselungs-Konversionseinheit 314 Daten,
die durch die Verschlüsselungs-Konversionseinheit 11 verschlüsselt wurden,
in der oben beschriebenen Weise entschlüsseln.
-
Das
Ausführungsbeispiel
des Datenübertragers 1,
der mit der Verschlüsselungs-Konversionseinheit
ausgestattet ist und des Datenempfängers 2, der mit der
Entschlüsselungs-Konversionseinheit ausgestattet
ist, wurden oben im Detail beschrieben. Es ist offensichtlich, daß eine Konfiguration,
welche die oben beschriebene Konfiguration teilweise ändert, im
Umfang der vorliegenden Erfindung enthalten ist. Obwohl beispielsweise
der Schlüssel
40 Bit oder 64 Bit aufweisen kann, und die Schlüssellängen-Daten ein Bit aufweisen,
ist die Erfindung nicht hierauf beschränkt. Beispielsweise kann der
Schlüssel
die gewünschte
Anzahl von Bits in dem Bereich von 40 bis 128 Bit aufweisen und
die Schlüssellängen-Daten
können
7 Bit aufweisen, um jeden Schlüssel
zu identifizieren. In diesem Fall ist das Schlüssel-Konversionsmittel mit
einem Selektor versehen, der eine Position auswählt, an der ein Schlüssel ausgewählt wird
gemäß den Eingangsschlüssellängen-Daten,
um zwei Konversionsschlüssel
von 32 Bit zu erzeugen. Vier Konversionsschlüssel von 32 Bit können erzeugt
werden für
einen Schlüssel,
der 64 Bit oder mehr aufweist. In diesem Fall sind N Substitutions-/Permutations-Konversionsmittel
in vier Gruppen unterteilt, zu der jeder zwei Konversionsschlüssel zugeführt werden.
-
Um
eine Mehrzahl von Konversionsschlüsseln zu erzeugen, können Substitutions-/Permutations-Konversionsmittel
zur Verschlüsselungs-Konversion
verwendet werden. Als Beispiel wird ein Schlüssel-Konversionsmittel zum
Erzeugen von acht Konversionsschlüsseln von 32 Bit beschrieben.
-
Unter
Bezugnahme auf 8 besteht das Schlüssel-Konversionsmittel 23 aus
acht Substitutions-/Permutations-Konversionsmitteln 211 bis 218 und
einem Erweiterungsschlüssel-Speichermittel 100.
Das Erweiterungsschlüssel-Speichermittel 100 speichert
acht Erweiterungsschlüssel
KE1 bis KE8, die
eine 32 Bit-Länge
aufweisen und als Konversionsschlüssel zu verwenden sind. Ein
Schlüssel
mit 64 Bit wird sequentiell konvertiert durch die acht Substitutions-/Permutations-Konversionsmittel 211 bis 218 .
Ein Konversionsalgorithmus, der durch jedes Substitutions-/Permutations-Konversionsmittel
zu verwenden ist, wird durch jeden Algorithmus-Schlüssel, der
in dem Algorithmus-Speichermittel 24 gespeichert ist, bestimmt.
In dem Erweiterungsschlüssel-Speichermittel 100 gespeicherte
Erweiterungsschlüssel
werden jedem Substitutions-/Permutations-Konversionsmittel eingegeben. Zum Beispiel werden
Erweiterungsschlüssel
KE3 und KE4 dem Substitutions-/Permutations-Konversionsmittel 212 eingegeben.
-
Durch
Durchführen
der Konversion werden Ausgaben L1 bis L8 der acht Substitutions-/Permutations-Konversionsmittel 211 bis 218 als
die acht Erweiterungsschlüssel
verwendet.
-
Dieselben
in dem Erweiterungsschlüssel-Speichermittel
gespeicherten Erweiterungsschlüssel
können
jedesmal verwendet werden, wenn Daten verarbeitet werden, oder können erneuert
werden durch ein Verfahren, das den Algorithmus-Schlüsseln ähnelt. Ein
Schlüsselteilungsprozeß kann auch
ausgeführt
werden für
die Erweiterungsschlüssel
durch ein Verfahren, das demjenigen für den Schlüssel ähnlich ist. Das Schlüssel-Konversionsmittel 23,
das mit Bezug auf 8 beschrieben wird, kann dieselben
Substitutions-/Permutations-Konversionsmittel
verwenden wie diejenigen, die durch Verschlüsselungs-Konversion verwendet werden. Daher kann
zum Beispiel, wenn die Verschlüsselungs-Konversionsvorrichtung
der Erfindung durch Hardware realisiert ist, Verschlüsselungs-Konversion mit
einem kleinen Schaltungs-Maßstab und
hoher Sicherheit realisiert werden.
-
Als
nächstes
werden die Verschlüsselungs-Konversionsvorrichtung
und die Entschlüsselungs-Konversionsvorrichtung
gemäß einem
weiteren Ausführungsbeispiel
der Erfindung beschrieben.
-
Das
Blockdiagramm der Verschlüsselungs-Konversionsvorrichtung
dieses Ausführungsbeispiels
ist dasselbe wie das in 2 gezeigte des zuvor beschriebenen
ersten Ausführungsbeispiels.
-
9 ist
ein Blockdiagramm eines Substitutions-/Permutations-Konversionsmittels 21n dieses Ausführungsbeispiels in der Verschlüsselungs-Konversionseinheit 11,
die in 2 gezeigt ist, welches die n-te Verschlüsselungskonversion
ausführt.
Unter Bezugnahme auf 9 besteht das Substitutions-/Permutations-Konversionsmittel 21n aus einer Bitzug-Konversionseinheit 361 und
einer Operationseinheit 362. Die Operationseinheit 362 führt entweder
eine exklusive logische Summenoperation oder eine Additionsoperation
von zwei Eingängen
aus. Welche Operation die Operationseinheit 362 ausführt, wird
durch einen Algorithmus-Schlüssel
bestimmt. Der durch das Substitutions-/Permutations-Konversionsmittel 21n auszuführende Konversionsprozeß ist derselbe
wie der im Zusammenhang mit dem ersten Ausführungsbeispiel beschriebene.
-
10 ist
ein Blockdiagramm, das ein Beispiel der Bitzug-Konversionseinheit 361,
gezeigt in 9, darstellt. Die Bitzug-Konversionseinheit 361 wird
aus fünf
Bitzug-Konvertern 81 bis 85 gebildet. Der Bitzug-Konverter 81 weist
eine Operationseinheit 394 auf. Der Bitzug-Konverter 82 weist
eine Operationseinheit 395, eine Operationseinheit 396 und
eine zyklische Verschiebungseinheit 91 auf. Der Bitzug-Konverter 83 weist
eine Operationseinheit 397, eine Operationseinheit 398 und
eine zyklische Verschiebungseinheit 92 auf. Der Bitzug-Konverter 84 weist
eine Operationseinheit 399 auf. Der Bitzug-Konverter 85 weist
eine Operationseinheit 400, eine Operationseinheit 401 und
eine zyklische Verschiebungseinheit 93 auf. Ähnlich der
Operationseinheit 362, die in 9 gezeigt
ist, führt
jede der Operationseinheiten 394 bis 401 entweder
eine exklusive logische Summenoperation oder eine Additionsoperation
von zwei Eingängen
aus. Welche Operation die Operationseinheiten 394 bis 401 ausführen, wird durch
einen Algorithmus-Schlüssel
bestimmt. Die Bitzug-Konversionseinheit 361 führt eine
Bitzug-Konversion durch Anwenden der Bitzug-Konverter 81 bis 85 auf
zu konvertierende Daten durch. Wie oben beschrieben wurde, können bei
der Verschlüsselungs-Konversionsvorrichtung
dieses Ausführungsbeispiels
die Anzahl von Additionsoperationen und exklusiven logischen Summenoperationen
durch Algorithmus-Schlüssel
bestimmt werden.
-
Als
nächstes
werden ein kryptografisches Kommunikationssystem, das die Verschlüsselungs-Konversionsvorrichtung
und die Entschlüsselungs-Konversionsvorrichtung
gemäß einem
Ausführungsbeispiel
der Erfindung verwendet, beschrieben.
-
11 ist
ein Blockdiagramm, das ein elektronisches Gebührensammelsystem zeigt. Das
elektronische Gebührensammelsystem
ist in der Lage, durch elektronische Kontoverrechnung eine Gebühr zu erfassen
von einer IC-Karte, die einem Fahrer eines Fahrzeugs gehört, das
auf einer Maut-Straße fährt, bei
einer straßenseitigen
Einrichtung, die auf der Maut-Straße angeordnet ist, ohne das
Fahrzeug anzuhalten. Von einem derartigen elektronischen Gebührensammelsystem
wird erwartet, daß es
die Verkehrsführung
erleichtert und Benutzerfreundlichkeit durch elektronische Kontoverrechnung
mit IC-Karten erhöht.
-
Das
elektronische Gebührensammelsystem, das
in 11 gezeigt ist, weist ein Fahrzeug 200, eine
straßenseitige
Einrichtung 201, eine mitgeführte Einrichtung 202,
eine IC-Karte 203 und eine Schlüsselverwaltungseinrichtung 204 auf.
-
Das
Fahrzeug 200 weist die mitgeführte Einrichtung 202 auf,
in welche die IC-Karte 203 eingeführt ist,
während
das Fahrzeug 200 gefahren wird.
-
Die
straßenseitige
Einrichtung 201 ist auf der Maut-Straße angeordnet und hat eine
Funktion des Sammelns einer Gebühr,
während
das Fahrzeug 200 vorbeifährt.
-
Die
IC-Karte 203 speichert im voraus Vertragsinformation des
elektronischen Gebührensammelsystems.
Während
das Fahrzeug 200 die straßenseitige Einrichtung passiert,
wird die Vertragsinformation durch drahtlose Kommunikation von der mitgeführten Einrichtung 202,
in die eine IC-Karte 203 eingeführt ist, transferiert, um Streckeninformation
und Kontoverrechnungsinformation von der straßenseitigen Einrichtung 201 zu
empfangen.
-
Um
Sicherheit und Zuverlässigkeit
derartiger Prozesse zu gewährleisten,
ist es notwendig, die Authentizität der Vertragsinformation,
der Streckeninformation und der Kontoverrechnungsinformation zu
verifizieren und illegale Veränderung
und Abgreifen der Information zu verhindern. Es ist notwendig, zwischen
der IC-Karte und
der mitgeführten
Einrichtung 202 und zwischen der mitgeführten Einrichtung 202 und
der straßenseitigen
Einrichtung einen Authentifizierungsprozeß für einen Kommunikationspartner,
einen Teilungsprozeß zum
gemeinsamen Verwenden eines zum Verschlüsseln/Entschlüsseln von
Austauschdaten zu verwendenden Schlüssels und eine kryptografische
Kommunikation unter Verwendung des gemeinsam genutzten Schlüssels auszuführen. Für diesen
Drittseiten-Authentifizierungsprozeß, für den Schlüsselteilungsprozeß und die
kryptografische Kommunikation können
die Verschlüsselungs-
und Entschlüsselungs-Konversionsvorrichtungen
gemäß der Erfindung
verwendet werden.
-
Um
die oben beschriebenen Prozesse zu realisieren, müssen die
mitgeführte
Einrichtung 202, die IC-Karte 203 und die straßenseitige
Einrichtung 201 im voraus einen gemeinsam genutzen Algorithmus-Schlüssel und
einen Lizenz-Schlüssel, ausgegeben
durch die Schlüsselverwaltungseinrichtung 204,
speichern. Beispielsweise können
diese Schlüssel
während
der Herstellung eingebettet werden.
-
Einzelheiten
des Algorithmus-Schlüssels und
der durch den Algorithmus-Schlüssel eingestellten
Verschlüsselungs-
und Entschlüsselungs-Konversionen
sind oben beschrieben worden.
-
Der
Lizenz-Schlüssel
wird in eine authorisierte Einrichtung als geheime Information eingebettet
und wird zum zuverlässigen
Ausführen
des Authentizierungsprozesses und des Schlüssel-Teilungsprozesses verwendet.
Es sei zum Beispiel der Fall betrachtet, daß eine Einrichtung B feststellt,
ob eine Einrichtung A eine authorisierte Einrichtung ist, um mit
der Einrichtung A zu kommunizieren. In diesem Fall versorgt die
Einrichtung A die Einrichtung B mit der Bestätigung, daß der Lizenzschlüssel der
Einrichtung A korrekt ist. Da der Lizenz-Schlüssel eine geheime Information
ist, muß die
Einrichtung A die Einrichtung B mit der Bestätigung versehen, daß der Lizenz-Schlüssel korrekt
ist, ohne den Lizenz-Schlüssel
offenzulegen. Diese Bestätigung kann
durch Verwenden von kryptografischen Techniken realisiert sein.
Zum Beispiel ist ein symmetrischer Schlüssel-Algorithmus beschrieben
in ISO 9798-2, welche internationale Spezifikationen für Sicherheitsmechanismen
erhalten. Als spezifisches Beispiel des symmetrischen Schlüssel-Algorithmus können die
Verschlüsselungs-
und Entschlüsselungs-Konversionsvorrichtungen
der Erfindung verwendet werden.
-
Elemente,
welche die in 11 gezeigten Vorrichtungen bilden,
werden nunmehr beschrieben.
-
Die
straßenseitige
Einrichtung 201 besteht aus einer drahtlosen Kommunikationseinheit 232,
einer Verschlüsselungs-/Entschlüsselungsverarbeitungseinheit 230,
einer Partner-Authentifizierungs-/Schlüsselteilungs-Prozeßeinheit 233,
einer Hauptsteuereinheit 235 und einer Datenspeichereinheit 234.
-
Die
mitgeführte
Einrichtung 202 besteht aus einer drahtlosen Kommunikationseinheit 212,
einer Verschlüsselungs-/Entschlüsselungsverarbeitungseinheit 210,
einer IC-Karten-Kommunikationseinheit 211,
einer Partner-Authentifizierungs-/Schlüsselteilungsverarbeitungseinheit 213,
einer Datenspeichereinheit 214 und einer Hauptsteuereinheit 215.
-
Die
IC-Karte 203 wird gebildet aus einer IC-Kartenkommunikationseinheit 221,
einer Verschlüsselungs-/Entschlüsselungsverarbeitungseinheit 220,
einer Partner- Authentifizierungs-/Schlüsselteilungsverarbeitungseinheit 223,
einer Datenspeichereinheit 224 und einer Hauptsteuereinheit 225.
-
Die
Verschlüsselungs-/Entschlüsselungsverarbeitungseinheiten 210, 220 und 230 weisen
Verschlüsselungs-
und Entschlüsselungs-Konversionsvorrichtungen
gemäß der Erfindung
auf, die zuvor beschrieben wurden, und können Daten verschlüsseln und
entschlüsseln.
-
Die
IC-Karten-Kommunikationseinheiten 211 und 221 werden
zur Kommunikation zwischen der mitgeführten Einrichtung 202 und
der IC-Karte 203 verwendet.
-
Die
drahtlosen Kommunikationseinheiten 212 und 232 werden
zur drahtlosen Kommunikation zwischen der mitgeführten Einrichtung 202 und
der straßenseitigen
Einrichtung 201 verwendet.
-
Die
Verschlüsselungs-/Entschlüsselungsverarbeitungseinheiten 210, 220 und 230 führen den
Authentifizierungsprozeß des
Feststellens aus, ob ein Kommunikationspartner authorisiert ist,
und einen Teilungsprozeß des
Teilens eines zur Datenverschlüsselung
und -entschlüsselung
zu verwendenden Schlüssels.
Die Partner-Authentifizierungs-/Schlüsselteilungsverarbeitungseinheit 213 verwendet
eine Verschlüsselungs-/Entschlüsselungs-Konversionsfunktion,
die von der Verschlüsselungs-/Entschlüsselungsverarbeitungseinheit 210 zugeführt wird,
um den Partner-Authentifizierungs- und den Schlüsselteilungsprozeß auszuführen. Um ähnliche
Funktionen zu realisieren, verwendet die Partner-Authentifizierungs-/Schlüsselteilungsverarbeitungseinheit 223 die
Verschlüsselungs-/Entschlüsselungsverarbeitungseinheit 220.
In ähnlicher
Weise verwendet die Partner-Authentifizierungs-/Schlüsselteilungsverarbeitungseinheit 223 die
Verschlüsselungs-/Entschlüsselungsverarbeitungseinheit 230.
-
Die
Datenspeichereinheiten 214, 224 und 234 speichern
den Algorithmus-Schlüssel und
den Lizenz-Schlüssel,
die von der Schlüsselverwaltungseinrichtung 204 angenommen
wurden, und können auch
Vertragsinformationen, Streckeninformationen und Kontoverrechnungsinformation
speichern.
-
12 ist
ein Flußdiagramm,
welches durch das in 11 dargestellte elektronische
Gebührensammelsystem
auszuführende
Kommunikationen verdeutlicht.
-
In
dem in 12 gezeigten Flußdiagramm wird
ein Partner-Authentifizierungs-/Schlüsselteilungsprozeß 240 zuerst
zwischen der IC-Karte 203 und der mitgeführten Einrichtung 202 ausgeführt, wenn
die IC-Karte 203, gezeigt in 11, auf
die mitgeführte
Einrichtung 202 gesetzt wird. Nachdem der Partner-Authentifizierungs-/Schlüsselteilungsprozeß 240 erfolgreich
war, führt
die IC-Karte 203 eine
kryptografische Kommunikation 241 durch, um Vertragsinformation
zu der straßenseitigen
Einrichtung 202 zu transferieren. Auf Empfang der Vertragsinformation
von der IC-Karte 203 speichert die mitgeführte Einrichtung
geheim die Vertragsinformation in der Datenspeichereinheit 214 (11).
-
Als
nächstes
wird ein Partner-Authentifizierungs-/Schlüsselteilungsprozeß 250 zwischen
der mitgeführten
Einrichtung 202 und der straßenseitigen Einrichtung 201 durchgeführt, während das
in 11 gezeigte Fahrzeug die straßenseitige Einrichtung 201 passiert.
Nachdem der Partner-Authentifizierungs-/Schlüsselteilungsprozeß 250 erfolgreich
war, führt
die straßenseitige
Einrichtung 202 eine kryptografische Kommunikation 251 durch,
um die von der IC-Karte zugeführte
Information an die straßenseitige Einrichtung 201 zu
transferieren. Diese kryptografische Kommunikation 251 wird
auch zum Transferieren von Streckeninformation und Kontoverrechnungsinformation
von der straßenseitigen
Einrichtung 201 an die mitgeführte Einrichtung 202 verwendet.
-
Als
nächstes
führt die
mitgeführte
Einrichtung 202 eine kryptografische Kommunikation 261 durch,
um die Streckeninformation und die Kontoverrechnungsinformation,
die von der straßenseitigen Einrichtung 201 angenommen
wurden, zu der IC-Karte 203 zu transferieren.
-
Kontoverrechnung
für Straßengebühr wird zwischen
der IC-Karte 203 und der straßenseitigen Einrichtung 201 durchgeführt. Jedoch
muß Kommunikation
zwischen der IC-Karte 203 und der straßenseitigen Einrichtung 201 die
mitgeführte
Einrichtung 202 verwenden. In diesem Fall, wenn die mitgeführte Einrichtung 202 einen
illegalen Prozeß durchführt, könnte eine
illegale Kontoverrechnung durchgeführt werden. Um einen derartigen
Prozeß zu
vermeiden, ist es für
die straßenseitige
Einrichtung 201 notwendig, die mitgeführte Einrichtung 202,
die mit der IC-Karte 203 für die Kontoverrechnung verwendet wird,
zu identifizieren. Beispielsweise wird der mitgeführten Einrichtung 202 eine
Identifikationsnummer zugeordnet und diese wird der IC-Karte 203 während des
Partner-Authentifizierungs-/Schlüsselteilungsprozesses 240 mit
der IC-Karte transferiert. Die IC-Karte 203 erzeugt eine
digitale Signatur für
sowohl die Identifikationsnummer der mitgeführten Einrichtung 202 als
auch die Kontoverrechnungsgeschichte der IC-Karte 203 und
gibt diese an die mitgeführte Einrichtung 202 zurück. Die
mitgeführte
Einrichtung 202 transferiert die Identifikationsnummer
und die digitale Signatur, die von der IC-Karte 203 angenommen
wurde, an die straßenseitige
Einrichtung 201 während
des Partner-Authentifizierungs-/Schlüsselteilungsprozesses 250.
Hiernach verifiziert die straßenseitige
Einrichtung 201 die durch die IC-Karte 203 erzeugte
digitale Signatur, um die Zeit, zu der die mitgeführte Einrichtung 202 verwendet
wurde, zu überprüfen.
-
Es
ist auch nötig,
einen Dritten davon abzuhalten, verschlüsselte Daten, die auf einem
Kommunikationspfad während
der kryptografischen Kommunikation 241, 251 und 261 fließen, zu
verändern.
Um dieses zu realisieren, ist es notwendig, eine Botschafts-Authentifizierung
durchzuführen,
die in der Lage ist, zu beurteilen, ob eine empfangene Botschaft
korrekt ist. Um die Botschaft-Authentifizierung durchzuführen, teilen
ein Übertrager
und ein Empfänger
im voraus einen Botschafts-Authentifizierungsschlüssel, der
geheimgehalten wird. Gemeinsames Teilen des Botschafts-Authentifizierungsschlüssels wird
zum Beispiel in dem in 12 gezeigten Partner-Authentifizierungs-/Schlüsselteilungsprozess 150 durchgeführt. Der Übertrager
erzeugt Daten, bezeichnet als Botschafts-Authentifizierungscodes (MAC),
von einer zu transferierenden Botschaft und dem Botschafts-Authentifizierungscode.
Der Übertrager überträgt die Botschaft
zusammen mit dem Botschafts-Authentifizierungsschlüssel an
den Empfänger.
Der Empfänger
verifiziert den empfangenen Botschafts-Authentifizierungscode durch
Verwenden des Botschafts-Authentifizierungsschlüssels. Es ist möglich, aus
dieser Verifikation zu beurteilen, ob die empfangene Botschaft geändert wurde.
Als die Botschafts-Authentifizierung
ist zum Beispiel ein Verfahren, das einen symmetrischen Schlüssel-Algorithmus verwendet,
in ISO 9797 beschrieben, die eine internationale Spezifikation für Sicherheitsmechanismen enthält. Als
ein spezifisches Beispiel des symmetrischen Schlüssel-Algorithmus können die
Verschlüsselungs-
und Entschlüsselungs-Konversionsvorrichtungen
gemäß der Erfindung
verwendet werden.
-
13 ist
ein detailliertes Flußdiagramm, das
die kryptografische Kommunikation 241 als ein Beispiel
einer kryptografischen Kommunikation mit Botschafts-Authentifizierung
darstellt. Unter Bezugnahme auf das in 13 gezeigte
Flußdiagramm
erzeugt zunächst
die IC-Karte 203 einen Botschafts-Authentifizierungscode bei einem MAC-Erzeugungsprozeß 261.
Als nächstes
werden die zu übertragende
Botschaft und der Botschafts-Authentifizierungscode in einem Koppelprozeß 262 gekoppelt.
Hiernach werden Daten, welche die gekoppelte Botschaft und den Botschafts-Authentifizierungscode enthalten,
bei einem Verschlüsselungsprozeß 263 verschlüsselt, um
verschlüsselte
Daten zu bilden.
-
Als
nächstes
entschlüsselt
auf Empfang der verschlüsselten
Daten hin die mitgeführte
Einrichtung 202 die Daten in einem Entschlüsselungsprozeß 264.
Hiernach werden bei einem Separationsprozeß 265 die Botschaft
und der Botschafts-Authentifizierungscode, die von der IC-Karte
transferiert wurden, wiedergewonnen. Als nächstes wird der wiedergewonnene
Botschafts-Authentifizierungscode bei
einem MAC-Verifikationsprozeß 266 verifiziert, um
die Korrektheit der empfangenen Botschaft zu verifizieren.
-
In
der obigen Weise können
Daten, die nicht verändert
oder abgegriffen werden dürfen,
wie zum Beispiel Gebühreninformation
und Streckeninformation, mit Sicherheit ausgetauscht werden.
-
Mit
den obigen Prozessen kann eine IC-Karte 203 mit einer Straßengebühr belastet
werden und die Gebühreninformation
kann bei der straßenseitigen
Einrichtung 201 verwaltet werden.
-
Gemäß der vorliegenden
Erfindung ist es möglich,
eine Verschlüsselungs-Konversionsvorrichtung,
eine Entschlüsselungs-Konversionsvorrichtung,
ein kryptografisches Kommunikationssystem und eine elektronische
Gebührensammelvorrichtung zu
realisieren, welche in der Lage sind, Algorithmen zur kryptografischen
Konversion zu wechseln, um den verwendeten Algorithmus vor einem
Dritten zu verbergen, so daß die
Vorrichtungen und das System resistent gegen einen kryptografischen
Angriff sind und mit hoher Geschwindigkeit arbeiten können.