JPH09261220A - 保全プロセッサのための仮想認証ネットワーク - Google Patents

保全プロセッサのための仮想認証ネットワーク

Info

Publication number
JPH09261220A
JPH09261220A JP9019606A JP1960697A JPH09261220A JP H09261220 A JPH09261220 A JP H09261220A JP 9019606 A JP9019606 A JP 9019606A JP 1960697 A JP1960697 A JP 1960697A JP H09261220 A JPH09261220 A JP H09261220A
Authority
JP
Japan
Prior art keywords
group
network
members
confirmation
characteristic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP9019606A
Other languages
English (en)
Inventor
Eric Sprunk
エリック・スプランク
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Arris Technology Inc
Original Assignee
Arris Technology Inc
General Instrument Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Arris Technology Inc, General Instrument Corp filed Critical Arris Technology Inc
Publication of JPH09261220A publication Critical patent/JPH09261220A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/007Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress
    • G06F2211/008Public Key, Asymmetric Key, Asymmetric Encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Multi Processors (AREA)

Abstract

(57)【要約】 通信システムの保全処理要素(10、20、30、4
0、50、60、70、80)のグループの保全性は、
確認スキームで確保される。メンバー要素(10、2
0、30、40、50、60、70、80)は、隣接す
るメンバーによって確認され、メンバーが、グループか
ら有効に除去されたか否かを決定する。メンバーに信頼
性がないとわかった場合、このメンバーへのグループ特
性情報の伝送が中断される。このグループ特性情報は、
このグループを画成し、また、機能するために、各々の
グループメンバーによって要求される。したがって、信
頼性を欠いたメンバーは、グループから効率的に追放さ
れる。効率的なネットワークトポロギーは、メンバー間
メッセージ交通を最小化する一方で、グループの耐久性
を維持する。 【課題】 【解決手段】

Description

【発明の詳細な説明】
【0001】
【発明の属する分野】本発明は、データの保全処理に関
し、特に、多重保全プロセッサを使用するシステムにお
けるデータ保全を向上するための方法及び装置に関す
る。
【0002】
【従来の技術及び発明の解決しようとする課題】システ
ムにおいて保全処理機能を非保全処理機能から分離又は
区別することが標準的に行われている。通常、保全機能
がシステムの一部のみであることから、一部分のみが特
殊な保全レベルを要する場合、システム全体の保全には
効率的ではない。システムの保全領域は、伝統的にRE
Dで表され、非保全領域はBLACKで表される。
【0003】また、システムの動作及び信頼性の要求に
対応するために並列構造を利用することも標準的に行わ
れている。並列システムでは、余分な処理要素が与えら
れ、1個の処理要素が故障した場合に、バックアップ要
素が適用できるようになっている。また、保全処理が並
列構造で起こると、多重保全プロセッサ(SECPRO
C)が必要となる。しかし、異なったRED保全領域で
の多重SECPROCの存在は、SECPROC同士の
間にデータ共有問題を起こす。特に、BLACK又は非
保全領域を通過する別々の保全領域でのSEDPROC
の間での通信全部の保全は、メッセージが途中で交番し
得ることから、信頼性に欠ける。
【0004】通信ネットワークの保全を確実にするため
に、ネットワークは、そのメンバー処理要素の有効性を
確認できる能力をもたなければならない。これは、各々
のプロセッサが他のプロセッサ全部を確認することによ
って達成できる。例えば、処理機能が、ラックに収容さ
れるサーキットボードによって動作され得る。与えられ
たボードに対し、他の全部のボードが有効にされ、ま
た、変更されてしまったか又は取り除かれてしまったこ
とを知らせるために、ボードは、他のボードの各々にポ
ーリング信号を送り、応答を待ち、この応答を評価しな
ければならない。しかし、これは、ボードの間のメッセ
ージ転送量を大きくすることになる。
【0005】このことから、SECPROCがその意図
とする環境から取り除かれ、システム保全を侵害又は侵
害しようとすることの目的のために使用される場合を判
断するための方法及び装置を提供することが望まれる。
特に、SECPROC全部の除去は、SECPROCに
よって通常に動作される機能の存在のため容易に検出さ
れるが、いずれの長さの時間の間、並列SECPROC
の保全グループにおけるSECPROC全部以下の除去
の検出はより困難である。これは、様々のSECPRO
Cを利用するネットワークから少数のSECPROCを
取り除くことが並列グループ全体の出力をやや低下させ
ることになるので、真実である。このことから、除去は
見落とされ、システム保全の侵害となり得る。
【0006】さらに、時間消費要素間メッセージ転送を
最小にする間に他のグループメンバーの存在及び保全
(例えば、信頼性)を確認するためにネットワークのグ
ループメンバーに従う効率的なスキームを与えることが
望まれる。
【0007】有効なスキーム、ネットワークグループの
メンバーである1組のプロセッサ及びグループにおける
メンバーシップを制御する画成特性が与えられることに
よって、グループのメンバーが、内部のグループを確認
し、及び/又は特性を制御するための方法が与えられる
点に利点がある。このような方法は、異なった領域にあ
る多重SECPROCを保全的且つ効率的に動作させ、
一方で、1個以上のSECPROCが不正に取り除かれ
又は変更されてしまったときの検出能力も与えなければ
ならない。全体として、グループの保全を保全し、一方
で、不正な機能損失ではなく、プロセッサのグループが
幾つかの少数のメンバー要素の故障を現存させることが
できるという利点がある。さらに、いずれのSECPR
OCの非確認除去をも検出する一方、グループが、全体
のグループの機能性を低下することなく、単一のSEC
PROCの故障を補償するところの保全スキームを提供
するという利点がある。
【0008】本発明は、上述の、及び他の利点を有する
保全方法及び装置を提供する。
【0009】
【課題を解決するための手段】本発明に従って、保全プ
ロセッサのための仮想確認ネットワークが提供される。
1つの実施例では、ネットワークは、符号化リングから
成り、この符号化リングは、グループのメンバーの間の
内部関係を画成するトポロギー的ネットワーク構造であ
る。この内部関係は、グループ特性の確認及び伝送を行
う機構である。このリングトポロギーは、本発明の最も
簡単な使用を説明するために使用されるが、本発明はま
た、より複雑な構成及びトポロギーに適用できる。
【0010】特に、リング構造とともに、各々のグルー
プ要素は、それぞれの仮想及び/又は物理的通信チャン
ネル又は経路を介して2個の他のグループ要素に直接的
に通信できる。このようなチャンネルは、例えば、同軸
ケーブル、光ファイバー、ねじれ銅対(twisted copper
pair)、人工衛星リンク、及びデジタルマイクロ波ラ
ジオのような電磁気及び/又は光信号を運ぶワイヤー及
び無線経路を含む。また、このような経路は、1個以上
の物理的チャンネルにわたる多くの仮想経路として与え
られる。
【0011】グループ要素は、例えば、同一のデバイス
内に物理的に配置されるASIC(application-specif
ic integrated chip)から成り得る。これらメンバー
は、異なった機能を実行するか、又は必要なときのみに
呼び出されるバックアップ能力又は余剰能力を与えるこ
とができる。変形的に、これらメンバーは、例えば、ビ
ルデイングの異なった部屋又は世界中に異なった場所に
物理的に設置されるコンピュータで見られるような中央
演算処理ユニット(CPU)であってもよい。また、本
発明は、幅広い範囲のネットワークに適用可能である。
本発明は、LAN(local area network)及びWAN
(wide area network)を含む公共的、個人的及び協同
的なネットワークや、ルーター(router)で往復するよ
うな異なったネットワークのインターネットに適用でき
る。本発明は、相互に働く保全要素の仮想的な全てのネ
ットワークに適用でき、他の信頼性の各々を確認し、故
障確認に反応する保全スキームを提供する。
【0012】また、本発明は、統合特性又は特性Cの伝
送、又は変形的にCを得るか又は使用するために各々の
メンバーに必要な情報の伝送を使用するグループメンバ
ーを孤立し、排除し、無力化し、縮小し、又は制御する
ために適用できる。
【0013】本発明は、例えば、放送局(例えば並列)
又はグループ全体が情報を処理するまで1つのメンバー
から他のメンバーへ情報を通過させるところで伝送をす
るところのグループメンバーやそのサブセットの間で秘
密情報を伝送するネットワークを保全するものである。
【0014】注目すべきは、グループメンバーの間の通
信が、物理的及び/又は仮想的通信経路にわたって起こ
ることである。仮想ネットワークでは、各々のメンバー
の間のワイヤーのような別々の直接的、物理的な接続が
不要である。また、メンバーは、共有ホスト又は自宅の
コンピュータを介して相互に通信できる。通信プロトコ
ルでの適当なルーチン又はシンタックスの使用により、
ネットワークでのメッセージフローが、特定のメンバー
に対して、又は同時にプロセッサ全部に対して向けられ
る。例えば、LANが仮想ネットワークである。LAN
は、物理的に、エサーネットのように周知の形状でパー
ソナルコンピュータのような様々のプロセッサにより共
有される単一のワイヤーから成る。また、異なった物理
的なネットワークが、同一の仮想ネットワークを与える
ために形成され、また、単一の物理的ネットワークが、
異なった仮想ネットワークを与えるために形成される。
【0015】さらに、ネットワークメンバーの間の情報
分布接続又はインターフェースが幾つかの特定数Rのメ
ンバーの故障を阻止することを確実にすることによっ
て、情報を分布するネットワークの保全を維持するため
の手段が与えられる。
【0016】さらにまた、メンバーが各々の他の信頼性
を確認して、確認がネットワークメンバーの間の特定の
接続で起こるところで、ネットワークのトポロギーを確
証する。確認の結果が、特性Cを他のメンバーに伝送す
るか否かを判定するための基準として、メンバーによっ
て使用される。
【0017】確認が、幾つかの処理工程又は動作の特定
の繰返し数(F)が終了すると起こる。確認が、Fの起
こる幾つかの数以下ではないように指令され、それは、
ネットワークによって判定された一定又は可変、又は、
ネットワーク外の機構により設定される値である。
【0018】
【発明の実施の形態】保全データ処理システムは、「保
全グループ」、「グループ特性」及び「グループ内確認
(intra-group validation)」を含む様々な概念を用い
て一層容易に解析できる。
【0019】「保全グループ」は、2以上のSECPR
OCのグループであり、このグループは、グループがい
ずれの単一グループメンバーの除去又は簡易平衡(comp
romise)を検出できる自己確認能力を有する。第1のメ
ンバーが第2のメンバーの有効性を確認でき、これは、
例えば、これら両方のメンバーを共有するキー(key)
を使用して符号化されるメッセージを送ることによって
なされる。第2のメンバーは、元々のメッセージと比較
できる結果を得るために第1のメンバーがデコードする
返答メッセージを送る。一致がある場合、第2のメンバ
ーの有効性は、第1のメンバーによって確認されたこと
になる。変形的に、全く返答がない場合、第1のメンバ
ーは、第2のメンバーが故障又は第2のメンバーから除
去されてしまったことを知ることになる。自己確認を達
成できる直接的な方法は、あるグループのN個のメンバ
ーの各々を有し、他のメンバーの全てを確認することで
ある。この手順は、この確認が頻繁に行われるならば、
いずれのメンバーも比較的迅速に他のいずれのメンバー
の欠如を検出できるので、効率的である。
【0020】この方法は、残念ながら、SECPROC
の間の交通量を比較的大きくしなければならない。特
に、少なくとも4個のメッセージが、2個のメンバーの
間で自己確認するためのグループメンバーの各々の対の
間で移動しなけれなばらない。N個のSECPROCの
各々について確認メッセージを他の(N−1)個のSE
CPROCへ送るために、N(N−1)個のメッセージ
がある。同様に、全部で2N(N−1)個のメッセージ
について、N(N−1)個の返答メッセージがある。N
個のSECPROCの全部の存在を確認するためにSE
CPROCの間で移動しなければならないメッセージの
総数は、以下の数1で与えられる。
【0021】
【数1】
【0022】したがって、この確認手順に必要なメッセ
ージの総数は、N2に比例する。Nが大きいと、メッセ
ージ数は、並列(parallelism)のいずれの自明でない
量に対して禁止的に大きくなる。N=10のとき、例え
ば、2×10(10−1)=180個のメッセージを必
要とする。N=100では、19800個のメッセージ
を必要とする。システム保全を維持するために、SEC
PROCの間の自己確認を頻繁に行わなければならない
ことから、この確認手順は、潜在的にメッセージ交通量
を大きくする。この方法は、メッセージに転送されるデ
ータの量が大きい場合、望ましいものではない。また、
メッセージ交通の周波数は制限されるべきであり、これ
により、自己確認スキームの利点が低下される。
【0023】「グループ特性」又は「確認グループ画成
特性」は、保全プロセッサのようなメンバー要素のグル
ープを画成する共有情報である。これは、与えられたS
ECPROCが保全情報を使用してその機能を実行する
点に着目すれば理解できる。SECPROCの保全を維
持するために、保全情報は、保全RED境界内に全体的
に残されるべきであり、また、BLACK領域において
いずれの観察者に対しても分かるか又は見える形で出て
はいけない。しかし、例えば、SECPROCが故障す
るか又は他のSECPROCが故障したSECPROC
の機能に取って代わる場合、他の保全領域の他のSEC
PROCが、保全情報を共有する必要がある。変形的
に、異なったSECPROCの間での保全情報の共有
は、特定のグループ機能を行う必要がある。よって、互
いに有意味にグループ化されるべき1組のメンバー要素
について、これらは、共通の機能演算、符号化キー又は
他のデータのような幾つかの情報の形を共有する。
【0024】例えば、共通の符号化キーのような特性
は、符号化キーがグループメンバー全部により使用され
て個々の又はグループの機能を行う場合、システムのグ
ループメンバーの間で自動的に共有される。符号化キー
は、システムにおいて他の要素を幾つかのキーの生成か
ら効率的に排除するために、任意に生成されるべきであ
る。しかし、キーがグループ特性であるとき、このキー
を作り出したメンバー以外のグループのメンバーと共有
される。各々のグループメンバーは、正確に機能できる
特性を備えなければならない。
【0025】グループメンバーの間でグループ特性を伝
送又は通信できる保全手段が必要である。これは、グル
ープメンバーが別々の保全領域にあり、また、非保全領
域を通過する通信経路又はチャンネルによって相互接続
されるときに、特に必要である。また、グループメンバ
ーの間での特性の伝送は、各々のメンバーの有効性又は
信頼性をアクセスできる機会を与える。つまり、グルー
プ特性の存在は、グループの各々のメンバーのための実
行機構を自動的に作り出し、必要ならば、他のグループ
メンバーの有効性をアクセスしたりメンバーを除去す
る。よって、この実行機構により、グループメンバー
が、グループの機能的メンバーシップを制御できる。
【0026】特に、実行は、グループ特性の伝送を制御
することによって行われる。定義により、グループ特性
情報を備えていない要素は、グループのメンバーになる
ことはなく、また、グループと結合的に機能できない。
メンバーは、メンバーに対してグループ特性の伝送を終
了することによってグループから離れる。
【0027】さらに、グループメンバーの間でのグルー
プ特性の伝送は、直接的又は非直接的である。直接伝送
について、グループメンバーからグループメンバーへ伝
送される特性情報は、その機能を実行するのにグループ
に必要な同一の情報である。例えば、特性情報は、各々
のメンバーがデータをデコードするのに必要な符号化キ
ーであり得る。直接伝送は、グループ画成特性が分布の
容易な情報量が小さいとき、効率的である。
【0028】非直接伝送について、要素間メッセージ交
通量が大きくなりすぎて、実際のグループ特性が伝送さ
れない。グループ特性(例えば、非直接情報)を表すデ
ータは通信される。非直接情報はグループメンバーによ
って使用され、グループ特性自身を導き出す。例えば、
グループ特性は、「グループキー」として知られる符号
化キーのもとで符号化される符号化キーの大きなデータ
ベース又はリストから成り得る。グループキーは、グル
ープメンバーの間で伝送される非直接情報であり、メン
バーはグループ特性を導き出すことができる。グループ
特性は、グループキー及びメンバーに知られる所定の演
算を使用して導き出される。また、グループ特性は、連
続して使用するためのメンバーによって局所的に蓄積さ
れる。よって、メンバーについて、グループ特性を導き
出すために、グループキーは、間違いなく伝送されなけ
ればならない。グループキーがメンバーに対して適切で
なければ、グループ特性は、メンバーに対して適切でな
く、また、メンバーはグループから有効的に排除され
る。
【0029】様々なネットワークの形状が、グループメ
ンバーの間のグループ特性を直接的に伝送するために用
いられる。例えば、情報は、リング形状で、グループメ
ンバーからグループメンバーへと伝送され、ここで、各
々のメンバーは、2個の隣接するメンバーに接続されて
いる。この形状について、伝送がグループメンバーのエ
ラー又は離脱により中止される場合、幾つかのメンバー
は、情報にアクセスせず、また、そのデータを使用する
いずれの機能を連続して実施することができない。
【0030】グループ特性を導き出すために必要な情報
又はグループ特性の伝送を制御できる能力は、グループ
保全を維持するための実行機構を与える。変形的に、判
定プロトコルが、与えられたグループメンバーにわたっ
てこのような制御を実行するときを判定するために要求
される。この判定の基準は、与えられたメンバーにおい
てグループのもつ信頼性の度合いをもたらす。信頼性の
レベルが特定のスレッショルドを越えると、メンバー要
素はグループ内に残り、また、伝送されるグループ特性
を連続して受け取る。しかし、メンバーに信頼性がない
とみなされると、メンバーへの特性の伝送は終了する。
【0031】例えば、メンバーに対する信頼性を判定す
る1つの方法は、メンバーが保全テスト動作を間違えな
く完了した場合に判定することである。メンバーがテス
トに失格した場合、メンバーは、信頼性がないとみなさ
れる。また、テストは、メンバーの存在だけを証明し
て、メンバーがシステムから除去されていないことを判
定する。このテストが十分に行われる場合、メンバーの
物理的な存在が、精度の許容量とともに証明される。こ
れはまた、メンバーの信頼性を判定する上で重要な因子
である。
【0032】「グループ内確認」又は「要素間確認」
は、SECPROCのグループによって使用される処理
であり、グループメンバー全部の存在及び信頼性のレベ
ルを確認する。グループ内確認は、グループがそのSE
CPROCの保全補助(secureattendance)をとるとき
に見られる。例えば、各々のメンバーは、他のグループ
メンバー又はホストコンピュータによって所定のメッセ
ージとともに受信されるときに特定の応答を転送するこ
とを期待される。変形的に、メンバーは、1以上の他の
メンバーへメッセージを転送することによってその存在
を周期的に知らせてもよい。
【0033】また、オーバーラップ又は共有する形状に
おいて1以上のグループに従属することが要素にでき
る。さらに、グループ内確認が、グループ全部の間又は
グループメンバーの特定のサブセットの間で起こる。確
認グループが、内部確認手順で確認されるグループの1
組又はサブセットである。
【0034】さらに、グループ内確認は、最小に許容可
能であるが過度でないレートでグループメンバーの存在
を確認する。グループ内確認の周波数を制御できる1つ
の方法は、グループのメンバー各々が実行する幾つかの
共通的に行われる保全処理機能に関連する。例えば、各
々のSECPROCは、機能を実行する回数の計数を維
持することができ、また、この計数がある値Xになる前
に確認手順を実行することができる。確認は、SECP
ROCが(X+1)回の間に機能を行うよう要求される
前に起こる。確認が成功しない場合、SECPROCは
機能を実行するために拒絶する。この確認の形状は、S
ECPROCが故障してしまったか又は除去されてしま
ったことを定期的に確認するために必要となる。
【0035】次に、2個の保全プロセッサ(SECPR
OC)SP1及びSP2のグループの場合を考える。こ
れら2個のSECPROC(SP1、SP2)は、グル
ープとしてそれらを定義する幾つかの共通情報(特性)
を共有し、それは、幾つかの機能Fを実行する。グルー
プ保全を維持するために、SP1はSP2の信頼性を確
認し、SP2はSP1の信頼性を確認することができ
る。確認は、確認周期が経過した後に起こる。確認周期
は、機能Fの起こった数Xに対応する。さらに、特性C
は、更新周期後に変わり、それは、典型的に、確認周期
よりも長い。グループ特性は、一方のSECPROC
(SP1)によって生成され、他のSECPROC(S
P2)に通信(伝送)される。
【0036】図1は、本発明に従った2個の保全プロセ
ッサのグループの概略図である。符号化キー(Key1
2)は、プロセッサ(SP10)及びプロセッサ(SP
20)の両方に知られている。図1において、Key1
2は、確認を実行するために使用される。例えば、SP
1は、SP2の信頼性を評価するために定期的に実行す
ることができる。SP1は、SP2が確認テストに失格
するか又は合格するかを記録し、今後の参考のためにメ
モリーにその結果を保存する。更新周期が経過した後、
特性Cは変えられる。新しい特性は、SP1によって生
成されるか又はグループ外のソースから得られる。しか
し、SP1は、SP2が確認テストに失格したことを前
もって判定され、信頼性に欠ける場合、SP1はSP2
にCを伝送するために拒絶する。この点で、SP2は、
グループから有効的に排除され、SP1は、単独に機能
するグループメンバーとして残る。
【0037】図1は、確認又は伝送処理を図説する。S
P1は、メッセージを通信経路12にわたってSP2へ
と転送し、経路12上でそれに続く応答メッセージを評
価することによってSP2を確認する。SP2は、通信
経路14にわたってメッセージを転送し、経路14にわ
たって受信した応答を評価することによってSP1を確
認する。上述のように、本発明の通信経路は仮想経路で
ある。よって、経路12及び14は、ワイヤーのような
物理的接続に一致する必要のない仮想経路である。
【0038】例えば、SP1は、メッセージをSP2へ
と送る指令をもつホストプロセッサ(図示せず)を介し
てメッセージを送る。ホストプロセッサは、メッセージ
を受信し、意図とされる受容者のアドレスを判定し、メ
ッセージをSP2へ再度転送する。また、この再度の転
送は、急ぐ必要がなく、ホストがSP2のデータ量を1
以上のメンバーから累積した後に起こってもよい。変形
的に、ホストプロセッサは、SP2によって要求される
異なったデータのフォーマットを与えるために処理を行
う。
【0039】図1に示すように、一対のSECPROC
には、合計少なくとも4個の要素間メッセージが相互に
確認を行うために要求される。この通信処理は、要素間
確認処理又は変形的に要素相互(cross)確認処理と考
えられ、図1の右端部分では仮想経路16によって指示
される。この指示は、他の図面でも同様である。
【0040】図2(a)は、本発明に従った4個の保全
プロセッサのグループの概略図である。これは、一層現
実的且つ図説的なグループトポロギーである。グループ
トポロギーは明解なリング状である。また、4要素ネッ
トワークリングトポロギーでは、各々のメンバーが他の
2個の要素を確認する。グループメンバーSP1(符号
10)は、経路16を介してSP2と通信し、一方、S
P2は経路22を介してSP3(符号30)と通信し、
SP3は経路経路24を介してSP4(符号40)と通
信し、SP4は経路26を介してSP1と通信する。よ
って、グループメンバーは、仮想又はトポロギー的に相
互に隣接している。例えば、SP1がSP2及びSP4
に隣接している。このトポロギーでは、1個の要素が故
障すると、断絶された隣の要素は、まだ生きている他の
要素を通じて通信され、これにより、グループ動作が連
続できる。しかし、最悪の場合、SP4及びSP2のよ
うな2個の要素が故障した場合、残りの要素SP1及び
SP3が通信不能となり、ネットワーク全体が故障す
る。従って、図2(a)のネットワークは1個の要素の
故障にのみにしか耐久性がないと言える。
【0041】図2(a)のネットワークトポロギーは、
各々のSECPROCが他の2個のSECPROCにの
み接続され、4個の通信経路のみが必要とされるだけな
ので、効率的である。本発明に従って、各々のSECP
ROCの確認は、合計8個のメンバー間メッセージで起
こすことができる。一般に、2N個のメンバー間メッセ
ージが、図2(a)のリングトポロギーを使用するN個
のメンバー保全グループに必要とされる。
【0042】図2(b)は、4個の保全プロセッサのグ
ループの変形実施例の概略図である。図2(b)の符号
は図2(a)の符号に対応する。図2(b)は、相互確
認が各々可能性のある一対のSECPROCの間で起こ
る場合を示す。例えば、図2(a)のトポロギーのよう
に、SP1はSP2及びSP4を確認することができ
る。しかし、通信経路32は、SP1がSP3をも確認
できるようになっており、この逆の場合もできる。SP
1は、SP2、SP3及びSP4により確認される。さ
らに、経路34は、SP2(符号20)とSP4(符号
40)との間の相互確認を可能にする。このことから、
N個のグループメンバーがあるとき、各々のメンバー
は、(N−1)回確認されることがわかる。この余剰確
認手順は、メンバーSECPROCの間に比較的大きな
メッセージ交通量を必要とする。例えば、N=4のメン
バーでは、2N(N−1)=2x4x3=24個の要素
間メッセージがある。
【0043】よって、図2(a)のネットワークトポロ
ギーは、図2(b)の余剰トポロギー上で改善し、ここ
で、確認は、全ての対のグループメンバーの間で起こ
る。つまり、各々のSECPROCが、他の全てのSE
CPROCを個々に確認する。改善因数が以下の数2の
関係によって与えられる。
【0044】
【数2】 例えば、N=4のとき、メンバー間メッセージ交通は、
因数3(つまり、24/8=3)だけ減少する。
【0045】よって、メッセージ交通の顕著な減少が、
ネットワークトポロギー及び確認処理を適切に選択する
ことで実現できる。上述のように、図2(a)の比較的
簡単なネットワークトポロギーは、図2(b)のトポロ
ギーと比較してメッセージ交通を小さくする。しかし、
ネットワークトポロギーは、実行距離(performancemet
ric)で定義される最小の信頼性基準にも合致させなけ
ればならない。この実行距離は、重要なネットワーク設
計形状であり、ネットワークが保全グループメンバーの
数Rの故障に対してどの程度の耐久性があるかを計測す
る。Rは、数値0、1、2、・・・N−1(ここでN
は、グループメンバー数である)とする。図2(a)の
ネットワークは、単一のメンバー(R=1)の故郷に対
して耐久性がある。例えば、SP1が故障した場合、他
のメンバー(SP2、SP3及びSP4)は機能し続
け、グループ特性Cを伝送することができる。
【0046】図3(a)は、グループメンバーSP1の
除去又は故障に従う図2(a)のグループの概略図であ
る。図3(a)の要素の符号は、図2(a)の要素の符
号に対応する。SP1、及びSP1とSP2との間及び
SP1とSP4との間の通信経路に損失があっても、メ
ッセージは、例えば、グループ特性を転送するときのよ
うに必要な場合に、残りのグループメンバー全部に取っ
て代えられる。SP3及びSP4は、相互に直接的に通
信し続けることができ、SP3及びSP2もまた同様に
相互に直接的に通信し続けることができる。また、SP
4及びSP2は、SP3を通じてメッセージに応答する
ことにより相互に非直接的に通信できる。
【0047】よって、図2(a)の4個の要素リングに
ついて、各々のメンバーは2個の他の要素を確認する。
1個の要素が故障した場合、不通となった隣接する要素
は、まだ生きている他の要素を通じて伝送する。これに
より、グループを連続して動作することができる。ま
た、ネットワークは、2個の要素が故障した後でさえ生
き続けることができる。例えば、SP1及びSP2の両
方の要素が故障しても、2個の要素グループのメンバー
としてSP3及びSP4が継続して通信及び動作を行う
ことができる。図2(a)のネットワークの4個の要素
のうちの3個の故障は、縮退した残りの1個の要素の場
合になる。
【0048】しかし、最悪の場合の2個のSECPRO
Cの故障は、図2(a)のネットワーク全体を故障させ
ることになる。例えば、要素SP4及びSP2が故障し
た場合、残りの要素SP1及びSP3は通信することが
できず、ネットワーク全体が故障する。このことから、
最悪の場合の故障において耐久性が判定されなければな
らず、図2(a)のネットワークは、1個の要素のみの
故障に対処できると言える。
【0049】よって、1個以上のSECPROCが故障
した場合(例えばR>1)、このような故障は、連続し
て機能することのできるネットワークの配置で起こる。
しかし、ネットワーク設計は、最悪の故障の場合に基づ
かなければならない。ここで、故障は、故障しないメン
バーのすぐ周りのメンバーに集中され、これにより、生
きているグループメンバーを潜在的に孤立させる。メン
バー要素に対し、R個の他の要素の故障が故障した場合
に、他の機能している要素に常に通信(伝送)経路をも
たせるために、各々の要素は、(R+1)個の別々の通
信経路を介して、少なくとも(R+1)個の要素に接続
されなければならない。
【0050】図2(a)のネットワークと同様に、図2
(b)もまた、4個のメンバー要素を有するネットワー
クを示す。しかし、要素は、故障した要素が相互に近い
ところに集中しても、いずれの2個の要素の故障に対し
て耐久性のあるネットワークに適合される。例えば、図
3(b)に示すように、グループメンバーSP1が故障
するか又はグループから除去された場合を考える。図3
(b)の要素の符号は、図2(a)の要素の符号に対応
する。この場合、SP1とSP2、SP1とSP3、及
びSP1とSP4との間の通信経路が損失する。しか
し、直接的な通信経路が、SP4とSP2、SP4とS
P3、及びSP2とSP3との間に残る。このことか
ら、残りの機能する要素全部は、他のものと通信でき、
グループは、連続して機能することができる。
【0051】図2(b)のネットワークは、より複雑な
ネットワークトポロギーを使用することにより、与えら
れた数のメンバー要素をもったネットワークの耐久性を
向上できるところを示す。ネットワークの耐久性を向上
するために、各々のメンバー要素は、最悪の故障の場合
に使用できる付加的な仮想通信経路(チャンネル)を介
して付加的なメンバー要素に接続される。また、付加的
な経路は、典型的に常に確保されている。付加的なメッ
セージ交通が確認処理を実行するために要求されるの
で、ネットワークが複雑になると、その実行が低下す
る。これにもかかわらず、信頼性の増加とともに保全を
低下するトポロギーが多くのネットワークに適用されて
いる。
【0052】図4は、本発明に従った8個の保全プロセ
ッサのグループの概略図である。ネットワークは、いず
れの3個の要素の故障に対して耐久性をもつ。ネットワ
ークの要素(SECPROC)は、SP1(符号1
0)、SP2(符号20)、SP3(符号30)、SP
4(符号40)、SP5(符号50)、SP6(符号6
0)、SP7(符号70)及びSP8(符号80)であ
る。各々の要素は、4個の他の要素をもつ直接的な通信
経路を有する。特に、SP1(符号10)は、それぞ
れ、経路405、410、408及び404を介してS
P2、SP3、SP7及びSP8と通信する。SP2
(符号20)は、それぞれ、経路406、414、40
8及び402を介してSP1、SP3、SP4及びSP
8と通信する。SP4(符号40)は、それぞれ、経路
412、416、422及び424を介してSP2、S
P3、SP5及びSP6と通信する。SP5(符号5
0)は、それぞれ、経路420、422、426及び4
28を介してSP3、SP4、SP6及びSP7と通信
する。SP6(符号60)は、それぞれ、経路424、
426、430及び432を介してSP4、SP5、S
P7及びSP8と通信する。SP7(符号70)は、そ
れぞれ、経路408、428、430及び434を介し
てSP1、SP5、SP6及びSP8と通信する。最後
に、SP8(符号80)は、それぞれ、経路404、4
02、432及び434を介してSP1、SP2、SP
6及びSP7と通信する。
【0053】このことから、ネットワークは、R=N−
1=4−1=3個の故障に対して耐久性がある。例え
ば、SP1は、SP2、SP3、SP7及びSP8と直
接的に通信する。SP2、SP3及びSP7が故障した
場合でも、SP1がSP8と通信をし続け、よって、生
きているグループメンバーを残す。例えば、要素SP1
を考える。最悪の故障の場合(R=3)は、隣接する要
素SP8及びSP2、及びSP7又はSP3のいずれか
の故障である。例えば、図5は、グループメンバーSP
2、SP7及びSP8の除去又は故障のときの図4のグ
ループの概略図である。図5の要素の符号は、図4の要
素の符号に対応する。SP2、SP7及びSP8が故障
した場合、SP1が、経路410を介してSP3と通信
し続ける。同様に、SP2、SP3及びSP8が故障し
た場合、SP1が、経路408を介して要素SP7と通
信し続ける。
【0054】一般に、特定数Rの故障に耐久性のあるト
ポロギーの保全ネットワークの設計は、グラフ理論の問
題と同様である。任意の大きな耐久量Rをもつネットワ
ークがネットワーク確認のメッセージ交通で必要な増加
を与える十分な数をもったグループに対して可能である
ことが明白である。
【0055】確認、保全グループ、このグループの4個
のメンバーの1組、グループのメンバー関係を制御する
グループ特性が与えられ、本発明のグループ内確認スキ
ームの特定の例が与えられる。図2(a)に示すよう
に、SECPROCのSP1及びSP2が確認(例え
ば、key12)のために使用される共通の情報を共有
する。これら2個のSECPROCの各々は、key1
2を備え、確認を実行する。1つの実施例では、各々の
要素は、機能Fの起こる数Xの最大値の後、他の要素を
確認する。長い時間をかけて、特性Cは変わる。
【0056】SP1は、保全符号知識証明プロトコル
(secure cryptographic knowledge proof protocol)
の数のいずれを使用してもSP2を確認できる。例え
ば、基本デジタル署名プロトコルと呼ばれる簡単な知識
証明プロトコルが使用される。図6は、本発明に従った
要素内確認手順の1例のフローチャートである。確認手
順は、ブロック500で開始される。ブロック510で
は、SP1が、SP1とSP2との間で共有される知識
を使用して確認メッセージを生成する。例えば、保有証
明(proof of possession)を所望する共有キーkey
12を備える2個のSECPROC(SP1及びSP
2)について、SP1は、符号化値X1を得るためにk
ey12及び符号機能Fを使用して符号化する任意の値
Vを作り出す。つまり、X1=EK12[V]であり、こ
こで、「EK12」は符号化がkey12に基づいて起こ
ることを表す。ブロック520では、確認メッセージ
(X1)が、SP1及びSP2を直接的に結合する通信
経路を使用してSP1からSP2へと通信される。ブロ
ック530では、SP2は、確認メッセージを受信し、
応答メッセージを生成する。ここで、SP2は、key
12によりX1を符号化し、値X2=EK12[X1]=
K12[EK12[V]]を形成する。ブロック535で
は、値X2がSP1へと戻される。ブロック540で
は、SP1がこの応答メッセージを受信し、評価する。
SP1は、戻ってきた値を2回復号化し、値Yを形成
し、この値Yは、SP2がkey12により符号化され
た場合、Vと同一である。SP2へ送られる情報で使用
される任意の値Vを保有するSP1は、Yと、保存した
値Vとを比較して、これらが等しいことを確認すること
ができる。ブロック550では、SP2が信頼性のある
ものであることがわかった場合、SP2は、SP1によ
って有効であるとみなされ、この情報は、メモリーに保
存される(ブロック560)。この場合、SP1は、S
P2がkey12を実際に備えているという状態にあ
り、したがって、保全が推定的に確保できる。SP2に
信頼性が欠けるということがわかった場合、SP2は、
有効でないとみなされ、この情報は、メモリーに保存さ
れる(ブロック570)。要素間確認手順は、ブロック
580で終了する。
【0057】図7は、本発明に従った保全プロセッサの
ブロック図であり、上述の確認手順を達成するために使
用され得る。プロセッサ10は、ターミナル600を介
して他のグループ要素から受信し、また、他のグループ
要素へメッセージを与えるマイクロプロセッサ620を
含む。付加的に、マイクロプロセッサ620は、グルー
プ外のソースからデータを受信するか又はグループ外の
ソースへデータを転送する。マイクロプロセッサ620
は、例えば、マイクロプロセッサのためのプログラムコ
ードを保存するROM、及び特定のグループメンバーが
有効であるか否かを指示するデータを保存するRAMか
ら成るメモリー630へ接続される。上記のように、S
ECPROCの1つが、その関連するマイクロプロセッ
サでグループ特性を生成する。それで、グループ特性を
他のメンバーに伝送する前に、処理メンバー(SECP
ROC)のマイクロプロセッサ620は、グループ特性
を受信するメンバーの有効性を最初に確認する。メンバ
ーが有効でない場合、SECPROCは、グループ特性
で通過せず、したがって、非有効メンバーを排除する。
【0058】図2(a)のネットワークでは、key1
2がSP1及びSP2の両方に知られている。SP1
は、SP2が上述の手順を使用することによってkey
12を保有することを確かめる。これを行うために、S
P1は、処理したメッセージをSP2へ送り、それをさ
らに処理し、メッセージの結果をSP1へと戻す。戻さ
れたメッセージが、修正した情報(例えば、key1
2)をSP2が保有することを確かめる場合、SP1
は、SP2が確認され且つ有効であることを考慮する。
同様の処理が各々のSECPROC及び少なくともX毎
の実行のそれに隣接する保全グループメンバー機能Fの
ために繰り返される。つまり、確認は、key23を使
用してメンバーSP2とSP3との間、key34を使
用してSP3とSP4との間、key41を使用してS
P4とSP1との間で起こる。図2(b)に示すよう
に、付加的な確認は、key42を使用してSP4とS
P2との間、及びkey13を使用してSP1とSP3
との間で起こる。
【0059】上記の方法は、同一のキーが、含まれるグ
ループメンバーの両方によって使用されることから、対
称式(例えば、在来の)符号化を利用する。他の方法
は、非対称式(例えば、公共キー)符号化を含む。公共
キー符号化では、異なったキー(KE)が、復号のため
に使用されるキー(KD)よりもメッセージを符号化す
るために使用される。また、どちらのキーも他のキーか
ら計算可能ではない。この場合、SP1及びSP2は各
々他の符号化キーのみを保持する。確認は、任意の値V
を生成し、SP2の符号化キー(KE2)により符号化
し、それをSP2へ通過させるSP1によって実行され
る。SP2は、復号化キー(KD2)の在る場所にのみ
であり、このメッセージを復号化してVを得る。SP2
は、次に、SP1の符号化キー(KE1)によりVを符
号化し、その結果の値をSP1へ通過させる。SP1
は、受信した値をその復号化キー(KD1)とともに復
号化し、最初に生成したVと等しい値Yを形成する。こ
の復号化した結果は、Vと比較され、Y及びVが一致す
ると、SP2には信頼性があるとみなされる。
【0060】さらに、特性の更新周期がネットワークで
経過してしまったとき、図2(a)の4個のSECPR
OCのうちの1個が新しい特性Cを生成する。選択した
SECPROCは、内部の乱数生成能力(例えば、図7
の乱数発生器610)を使用し、新しい特性Cを作り出
すことができる。ここで、SP1が設計した要素である
と仮定すると、SP1は、Cを生成し、SP2及びSP
4に信頼性があることをSP1が判定すると、SP2及
びSP4へそれを伝送する。SP1は、隣接したものが
確認手順に失格した場合に隣接したメンバーにCを伝送
することを拒絶する。付加的に、SP2又はSP4のい
ずれかが、特性CをSP3へ伝送するために使用され
る。
【0061】その多の例として、図2(b)のネットワ
ークを参照して、SP2、SP3及びSP4によるSP
1の確認が失格したと仮定する。付加的に、SP3が、
新しいCを生成する修正した要素であるとする。SP3
が予めSP2及びSP4に信頼性があることを確認して
いたと仮定すると、SP3は、Cを隣接する要素SP2
に通信する。この伝送は、確認キーkey34及びke
y23のような幾つかの共有される知識を使用するか又
は幾つかの他の共有される情報を使用してなされる。し
かし、SP1が確認テストに失格しているので、SP3
は、特性CをSP1へ伝送しない。確認の故障がないと
き、一旦、CがSP3からSP2、及びSP3からSP
4へと伝送され、SP2及びSP4の一方又は両方が通
常、CをSP1へと再度伝送する。しかし、確認テスト
に失格しているので、SP2及びSP4は、SP1に信
頼性のないことを予め判定している。このことから、特
性Cの伝送は、SP1に到達する前に停止し、これによ
り、SP1をグループから効率的に排除する。さらに、
この例では、確認テストを頻繁に行う必要があることを
強調する。
【0062】図8は、本発明に従ったグループ確認手順
のフローチャートである。図7では、「char.」は
「特性」を表す。この手順は、図2(a)のグループト
ポロギーに対応するが、その概念は、他のトポロギーに
拡大されている。この手順は、ブロック700で開始す
る。ブロック705において、この例では、SP1は、
新しいグループ特性を生成する。ブロック710では、
SP2が有効である場合、SP1が判定する。この判定
は、図6の確認手順からの予め保存されたデータの検索
を含む。変形的に、SP1は、実時間でSP2を確認す
る。SP2がSP1の判定で有効である場合、SP1
は、ブロック715において、グループ特性をSP2へ
伝送する。ブロック720では、SP3が有効である場
合、SP2が判定する。この場合、SP2は、ブロック
725において、特性をSP3へ伝送する。ブロック7
30では、SP4が有効である場合、SP3が判定す
る。この場合、SP3は、ブロック735において、特
性をSP4へ伝送し、この手順は、ブロック740で終
了する。上記の工程が完了すると、ネットワーク全体
は、グループ特性へのアクセスをもち、連続して機能す
ることができる。
【0063】しかし、要素が非有効(信頼性がない)で
あるとわかった場合、この非有効のメンバーは、グルー
プから排除される。ここで、SP2が、ブロック710
において、SP1によって非有効であるとみなされた場
合、SP2は、ブロック745において排除される。こ
れは、SP1が新しい特性をSP2へ伝送しないという
ことである。SP1は、次に、図2(a)のトポロギー
によって与えられる代替の経路を使用して特性を伝送し
ようとする。グループへのSP1の残りのリンクのみ
が、経路26を介するSP4(符号40)へのものであ
る(図2(a))。よって、ブロック750では、SP
4が有効である場合、SP1が判定する。この場合、S
P1は、ブロック755において、特性をSP4へ伝送
する。SP4は、次に、SP3が有効である場合、ブロ
ック760において、判定する。この場合、SP4は、
ブロック765において、グループ特性をSP3へ伝送
し、この手順はブロック740で終了する。ここで、グ
ループの残りの要素全部(SP1、SP3及びSP4)
はグループ特性へのアクセスをもち、グループは、SP
2を除いて、連続的に機能することができる。
【0064】SP1が、ブロック750において、非有
効であるとみなされた場合、SP1は、残りのいずれの
有効なグループメンバー(例えば、SP3)と通信でき
ず、したがって、単独の残りのグループメンバーとなる
(ブロック770)。ここで、グループは、1個のメン
バーだけで機能することができる。
【0065】SP4が、ブロック760において、SP
3を非有効とみなす場合、SP3は、ブロック775に
おいて、除外され、この手順はブロック740で終了す
る。この場合、SP1及びSP4は、残りの有効なグル
ープメンバーである。
【0066】グループ特性がSP1からSP2へと間違
えなく伝送された場合(ただし、SP2haSP3をブ
ロック780において非有効とみなしている)、SP3
は、ブロック780で示すように排除される。SP2
が、ブロック785において、SP4を非有効とみなし
た場合、SP2は、ブロック790において、グループ
特性をSP4(SP1を介して)へ伝送し、この手順が
ブロック740で終了する。ここで、SP1、SP2及
びSP4は、残りの有効なグループメンバーである。
【0067】しかし、SP2が、ブロック785におい
て、SP4を非有効とみなした場合、SP4は、ブロッ
ク795において示されるように、排除され、SP1及
びSP2は、唯一残る有効なグループメンバーである。
【0068】グループの全てのメンバーが一旦、グルー
プ特性とともに供給されるか又はグループから排除され
ると、グループは、次の新しい特性が生成されるまで連
続して機能する。ここで、SP2は、新しい特性を与え
るために、次の要素であってもよい。図8の手順は、次
に、新しい特性を伝送するために、上述の方法を繰り返
す。
【0069】よって、本発明は、ネットワークのメンバ
ーである保全処理要素の保全を確認するための方法及び
装置を提供する。このグループは、機能するために各々
のグループメンバーが要求する情報であるグループ特性
によって画成される。本発明は、信頼性に欠けるとみな
されたグループメンバーへの特性の伝送を阻止するため
のスキームを提供する。信頼性に欠けるメンバーは、グ
ループから効率的に排除される。
【0070】付加的に、本発明は、1個以上の要素が1
個以上のグループの間で共有されるか又はグループが他
のグループのサブセットとして与えられるような多重グ
ループトポロギーに適用可能である。一般に、本発明
は、独立又は相互依存関係にある1個以上のネットワー
ク又はグループを含むいずれの通信システムにもお手起
用可能である。最後に、本発明は、メンバー間メッセー
ジ交通を最小化し、及びグループ耐久性を維持する効率
的なネットワークトポロギーを与え、上記の利点を得る
ものである。
【0071】本発明が様々な特定的な実施例に関連して
説明されたが、当業者には、様々な適合物及び変更物
が、特許請求の範囲の本発明の精神及び範囲を逸脱せず
になされ得ることがわかる。
【図面の簡単な説明】
【図1】図1は、本発明に従った、2個の保全プロセッ
サのグループの概略図である。
【図2】図2(a)は、本発明に従った、4個の保全プ
ロセッサのグループの概略図であり、図2(b)は、4
個の保全プロセッサのグループの変形例である。
【図3】図3(a)は、グループメンバーSP1の除去
又は故障に従う図2(a)のグループの概略図であり、
図3(b)は、グループメンバーSP1の除去又は故障
に従う図2(b)のグループの概略図である。
【図4】図4は、本発明に従った、8個の保全プロセッ
サのグループの概略図である。
【図5】図5は、グループメンバーSP2、SP7及び
SP8の除去又は故障に従う図4のグループの概略図で
ある。
【図6】図6は、本発明に従った、要素間確認手順のフ
ローチャートである。
【図7】図7は、本発明に従った、保全プロセッサのブ
ロック図である。
【図8】図8は、本発明に従った、グループ確認手順の
フローチャートである。

Claims (21)

    【特許請求の範囲】
  1. 【請求項1】 複数の処理メンバーを含み、前記メンバ
    ーが前記メンバーの他のものと通信するところの通信シ
    ステムであって、 前記メンバーの第1のメンバーが前記メンバーの第2の
    メンバーを確認するための確認手段、及び前記確認手段
    に応答し、前記第2のメンバーが確認基準に合致する場
    合に前記第1のメンバーから前記第2のメンバーへと特
    性を伝送するための手段、から成り、 前記特性が、機能を実行するために前記処理メンバーに
    より要求される情報を与える、ところのシステム。
  2. 【請求項2】 請求項1記載のシステムであって、 前記確認手段に応答し、排除したメンバーへの前記特性
    の伝送を阻止することによって少なくとも1個の前記処
    理メンバーを排除するための排除手段からさらに成る、
    システム。
  3. 【請求項3】 請求項1又は2記載のシステムであっ
    て、 前記確認手段は、前記第2のメンバーが当該システムか
    ら有効に除去されたか否かを検出し、 当該システムが、前記確認手段に応答し、有効に除去し
    たメンバーへの前記特性の伝送を阻止することにより、
    当該システムから有効に除去されてしまった少なくとも
    1個の前記処理メンバーを排除するための排除手段から
    さらに成る、システム。
  4. 【請求項4】 請求項1、2又は3記載のシステムであ
    って、 前記確認手段が、前記機能の起こる数Xが実行されたと
    きを判定するための計数手段を含み、 前記第1のメンバーによる前記第2のメンバーの前記確
    認が前記計数手段によって管理される、ところのシステ
    ム。
  5. 【請求項5】 請求項1、2、3又は4記載のシステム
    であって、 前記確認手段が、前記第1及び第2のメンバーの両方に
    知られているデータに応答する、ところのシステム。
  6. 【請求項6】 請求項5記載のシステムであって、 前記第1及び第2のメンバーの両方に知られている前記
    データが、符号化キーから成る、ところのシステム。
  7. 【請求項7】 請求項1、2、3、4、5又は6記載の
    システムであって、 前記処理メンバーの各々が、少なくとも1個の他の前記
    処理メンバーを確認する情報を処理する、ところのシス
    テム。
  8. 【請求項8】 請求項7記載のシステムであって、 前記情報が、非対称の符号演算キーである、ところのシ
    ステム。
  9. 【請求項9】 請求項1、2、3、4、5、6、7又は
    8記載のシステムであって、 当該システムが、 第1のネットワークであって、少なくとも2個の前記複
    数の処理メンバーが前記第1のネットワークに属する、
    ところの第1のネットワーク、及び少なくとも2個の処
    理メンバーの隣接する対の間に配列され、これらの間で
    通信を行うことのできる、仮想通信経路、からさらに成
    る、システム。
  10. 【請求項10】 請求項9記載のシステムであって、 前記少なくとも2個の処理メンバーが、仮想リングトポ
    ロギーに配列される、ところのシステム。
  11. 【請求項11】 請求項9又は10記載のシステムであ
    って、 当該システムが、第2のネットワークからさらに成り、 前記第2のメンバーが、前記第1のネットワークに属す
    る、ところのシステム。
  12. 【請求項12】 請求項9、10又は11記載のシステ
    ムであって、 当該システムが、第2のネットワークからさらに成り、 前記第2のメンバーが、前記第2のネットワークに属す
    る、ところのシステム。
  13. 【請求項13】 請求項12記載のシステムであって、 前記第2のネットワークが、前記第1のネットワークの
    サブセットである、ところのシステム。
  14. 【請求項14】 請求項9、10、11、12又は13
    記載のシステムであって、 当該システムが、少なくとも4個の前記複数の処理メン
    バーから成り、 仮想通信経路が、隣接していない一対の前記処理メンバ
    ーの間に配列され、これらの間で通信ができる、ところ
    のシステム。
  15. 【請求項15】 通信システムの第1の処理メンバーが
    前記システムの第2の処理メンバーを確認するための方
    法において、前記システムが、前記メンバーの選択した
    他のものと通信する複数のメンバーを含み、 当該方法が、 確認メッセージを生成する工程、及び前記第2のメンバ
    ーの信頼性を判定する際に使用するための前記第2のメ
    ンバーに対して前記第1のメンバーから前記確認メッセ
    ージを伝える工程、から成る方法。
  16. 【請求項16】 請求項15記載の方法であって、 前記確認メッセージに応答して応答メッセージを生成す
    る工程、及び前記第1のメンバーに対し前記第2のメン
    バーから前記応答メッセージを伝える工程であって、前
    記第2のメンバーを確認しようとするために、前記第1
    のメンバーが、前記応答メッセージ及び前記確認メッセ
    ージを使用する、ところの工程、からさらに成る、方
    法。
  17. 【請求項17】 請求項15又は16記載の方法であっ
    て、 前記第2のメンバーが確認されると、前記第1のメンバ
    ーから前記第2のメンバーへと特性を伝送する工程から
    さらに成り、 前記特性が、機能を実行するために、前記ネットワーク
    の前記メンバーにより要求される情報を与える、ところ
    の方法。
  18. 【請求項18】 請求項15、16又は17記載の方法
    であって、 前記機能の起こる数Xが実行されたときを判定する工程
    からさらに成り、 前記機能の起こる数Xに到達したときに、前記第1のメ
    ンバーによる前記第2のメンバーの前記確認が繰り返さ
    れる、ところの方法。
  19. 【請求項19】 請求項15、16、17又は18記載
    の方法であって、 前記特性を前記第2のメンバーに伝送しないことによ
    り、前記第2のメッセージを前記グループから排除する
    工程からさらに成る、方法。
  20. 【請求項20】 請求項15、16、17又は18記載
    の方法であって、 前記第2のグループメンバーが前記ネットワークから有
    効に除去されたか否かを検出する工程、及び前記第2の
    メンバーが前記ネットワークから有効に除去された場合
    に、前記特性を前記第2のメンバーへ伝送されないよう
    にすることによって前記第2のメンバーを前記グループ
    から排除する工程、からさらに成る方法。
  21. 【請求項21】 処理メンバーのグループの間で特性の
    伝送を制御するための方法において、前記メンバーが、
    前記メンバーの選択した他のものと通信し、前記特性
    が、機能するために前記メンバーによって要求される情
    報を与え、当該方法が、 前記メンバーの信頼性を確認する工程、 信頼性があることがわかった前記メンバーの特定のもの
    に情報を伝送する工程、及び排除したメンバーへの前記
    特性の通信を阻止することによって、信頼性のないこと
    がわかった前記メンバーの特定のものを排除する工程、
    から成る方法。
JP9019606A 1996-01-19 1997-01-20 保全プロセッサのための仮想認証ネットワーク Pending JPH09261220A (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US010228 1993-01-28
US1022896P 1996-01-19 1996-01-19
US661968 1996-06-12
US08/661,968 US5822431A (en) 1996-01-19 1996-06-12 Virtual authentication network for secure processors

Publications (1)

Publication Number Publication Date
JPH09261220A true JPH09261220A (ja) 1997-10-03

Family

ID=26680937

Family Applications (1)

Application Number Title Priority Date Filing Date
JP9019606A Pending JPH09261220A (ja) 1996-01-19 1997-01-20 保全プロセッサのための仮想認証ネットワーク

Country Status (6)

Country Link
US (1) US5822431A (ja)
EP (1) EP0794640B1 (ja)
JP (1) JPH09261220A (ja)
AU (1) AU712879B2 (ja)
CA (1) CA2194532C (ja)
DE (1) DE69734621T2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008118325A (ja) * 2006-11-02 2008-05-22 Nec Corp グループメンバー確認システム、及びグループメンバー確認方法、及びプログラム

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6205550B1 (en) * 1996-06-13 2001-03-20 Intel Corporation Tamper resistant methods and apparatus
US6175925B1 (en) 1996-06-13 2001-01-16 Intel Corporation Tamper resistant player for scrambled contents
US6178509B1 (en) 1996-06-13 2001-01-23 Intel Corporation Tamper resistant methods and apparatus
US6330610B1 (en) * 1997-12-04 2001-12-11 Eric E. Docter Multi-stage data filtering system employing multiple filtering criteria
IL126147A0 (en) * 1998-09-09 1999-05-09 Focus Lion Communications & Ad Method and system for the protected distribution of network files
GB9905056D0 (en) 1999-03-05 1999-04-28 Hewlett Packard Co Computing apparatus & methods of operating computer apparatus
JP4176898B2 (ja) * 1999-02-19 2008-11-05 株式会社東芝 個人認証システム、それに使用される携帯装置及び記憶媒体
US7779267B2 (en) * 2001-09-04 2010-08-17 Hewlett-Packard Development Company, L.P. Method and apparatus for using a secret in a distributed computing system
US7986937B2 (en) * 2001-12-20 2011-07-26 Microsoft Corporation Public access point
US7120791B2 (en) * 2002-01-25 2006-10-10 Cranite Systems, Inc. Bridged cryptographic VLAN
US7188364B2 (en) * 2001-12-20 2007-03-06 Cranite Systems, Inc. Personal virtual bridged local area networks
US7698552B2 (en) 2004-06-03 2010-04-13 Intel Corporation Launching a secure kernel in a multiprocessor system
TWI341889B (en) * 2006-09-06 2011-05-11 Formosa Taffeta Co Ltd Color-coated, fouling-resistant conductive clothes and manufacturing method thereof
EP1909436A1 (en) * 2006-10-03 2008-04-09 International Business Machines Corporation System and method of integrating a node into a virtual ring
US11431613B2 (en) 2020-09-02 2022-08-30 Honeywell International Inc. Compressed and efficient byzantine agreement
US11665112B2 (en) 2020-09-02 2023-05-30 Honeywell International Inc. Self-checking node

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5148479A (en) * 1991-03-20 1992-09-15 International Business Machines Corp. Authentication protocols in communication networks
US5533127A (en) * 1994-03-18 1996-07-02 Canon Information Systems, Inc. Encryption system
US5548721A (en) * 1994-04-28 1996-08-20 Harris Corporation Method of conducting secure operations on an uncontrolled network
US5535276A (en) * 1994-11-09 1996-07-09 Bell Atlantic Network Services, Inc. Yaksha, an improved system and method for securing communications using split private key asymmetric cryptography

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008118325A (ja) * 2006-11-02 2008-05-22 Nec Corp グループメンバー確認システム、及びグループメンバー確認方法、及びプログラム

Also Published As

Publication number Publication date
AU1221797A (en) 1997-07-24
DE69734621D1 (de) 2005-12-22
AU712879B2 (en) 1999-11-18
EP0794640A3 (en) 1999-03-03
EP0794640A2 (en) 1997-09-10
US5822431A (en) 1998-10-13
CA2194532C (en) 2000-06-13
CA2194532A1 (en) 1997-07-13
DE69734621T2 (de) 2006-08-10
EP0794640B1 (en) 2005-11-16

Similar Documents

Publication Publication Date Title
JPH09261220A (ja) 保全プロセッサのための仮想認証ネットワーク
Bouachir et al. Blockchain and fog computing for cyberphysical systems: The case of smart industry
RU2708358C1 (ru) Криптографическая интегральная схема специального назначения, включающая в себя закодированную в цепи функцию преобразования
CN101772918B (zh) 服务链的操作、管理和维护(oam)
Shacham et al. Future directions in packet radio architectures and protocols
JP2019536380A (ja) ブロックチェーンのクロスチェーン通信を実現する方法、装置及びシステム
CN110690928B (zh) 一种量子中继链路虚拟化方法与装置
KR101831604B1 (ko) 데이터 전송 방법, 인증 방법 및 이를 수행하기 위한 서버
CN113225736B (zh) 无人机集群节点认证方法、装置、存储介质及计算机设备
CN111052091A (zh) 网络中的共识形成方法以及构成该网络的节点
Zeng et al. Intelligent blockchain‐based secure routing for multidomain SDN‐enabled IoT networks
CN113328997A (zh) 联盟链跨链***及方法
CN112235290B (zh) 基于区块链的物联网设备管理方法及第一物联网设备
Ahmed et al. A novel algorithm for malicious attack detection in uwsn
Rullo et al. Redundancy as a measure of fault-tolerance for the Internet of Things: A review
Chen et al. Eavesdropping prevention for network coding encrypted cloud storage systems
US10187365B2 (en) Method for exchanging numerical data frames and associated communication system
Ma et al. Fault-intrusion tolerant techniques in wireless sensor networks
Devanagavi et al. Secured routing in wireless sensor networks using fault‐free and trusted nodes
CN115865705A (zh) 基于监管机构的多方联邦学习***、方法、设备及介质
Sajeev et al. Secure and ultra-reliable provenance recovery in sparse networks: Strategies and performance bounds
NDIÉ et al. Problem of integrating Blockchain Technologies into Wireless Mesh Networks: Application to Community Wireless Networks
CN220554023U (zh) 嵌入式区块链网关一体机及***
Sei et al. False event message detection robust to burst attacks in wireless sensor networks
Sarkar et al. A study of blockchain-based energy-aware intelligent routing protocols for wireless sensor networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040107

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060301

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060724