用于安全交易管理和电子权利保护的系统和方法

文档序号:2832986阅读:192来源:国知局
专利名称:用于安全交易管理和电子权利保护的系统和方法
技术领域
本发明一般涉及计算机和/或电子安全性。更具体地说,本发明涉及安全交易管理的系统和技木。本发明还涉及基于计算机或其它电子设备的技术,这些技术有助于确保只能以经过授权的方式访问或使用信息,并维护该信息的完整性、可用性和/或保密性和涉及该使用的进程。
本发明还涉及用于保护电子商业活动以及其他电子的或由电子促进的交易中的各种參与者的权利的系统和方法。本发明还涉及用于信息内容和用来控制对该信息内容的使用以及所述使用的结果的信息的安全处理和控制链。它还涉及管理-包括计量和/或限制和/或监视-对电子存贮的或传播的信息的使用的系统和技木。本发明特别涉及使用上述系统和/或技木-包括使用上述系统和/或技术的使用结果-的交易、处理和方案。本发明还涉及分布式的和其他的操作系统、环境和体系结构。它通常还涉及包括(举例来说)基于硬件的防破坏处理器在内的安全体系结构,该安全体系结构可以用来在分布式系统的每个节点建立安全性。
背景技术
目前,电信、金融交易、政府事务、商业运作、娱乐和私人商业生产力等均依赖于电子设备。数以百万计的这种电子设备已经被电子地连接在一起。这些互连的电子设备构成了被日渐称作的“信息高速公路”。许多商业、学术和政府领导都关心着如何保护使用该信息高速公路(也称作“电子高速公路”或“数字高速公路”)的公民和组织的权利。电子信息内容目前,实际上任何能用文字、数字、图形或命令及指令系统代表的事物都可以被格式化成电子数字信息。电视、有线电缆、卫星传输以及通过电话线进行的联机服务相互竞争,将数字信息和娱乐分发到家庭和商业中。这些信息内容的所有者和市场销售人员包括软件开发人员、动画和录制公司、书籍、杂志及报纸的出版商、以及信息数据库提供者。联机服务的普及也已使得个人计算机用户加入到信息提供者的行列。据Microsoft公司估计,1992年的全球电子信息市场大约为400亿美元,而到1997年可望增至2000亿美元。本发明可以显著増加信息提供者的收益,降低分发成本和信息内容成本,更好地支持广告和使用信息收集,更好地满足电子信息用户的需要。这些改进将显著增加电子信息的数量和种类和分发该信息的方法的数量和种类。为适应电子信息提供者和用户的需要而开发的传统产品的功能匮乏与本发明形成明显对比。尽管美国最大的电信、计算机、娱乐和信息提供者公司的代表人物对本发明所提及的某些问题给予了关注,只有本发明为可配置的、通用电子商业交易/分发控制系统提供了商业上的安全有效的解决方案。控制电子信息内容本发明提供了一种新类型的“虚拟分发环境”(在本文件中称为“VDE”),该“虚拟分发环境”保护、管理和审核电子信息使用。VDE还以某些具有根本重要性的功能为其特性,这些功能用来管理“穿过” “信息高速公路”传播的信息内容。这些功能含有服务所有电子団体成员的权利保护方案。这些成员包括信息内容制作者和分发者、财务服务提供者、最終用户以及其他人员。对于计算机、其他电子设备、网络以及信息高速公路的用户来说,VDE是第一个通用的、可配置的交易控制/权利保护方案。
对于电子信息内容提供者来说,ー个根本问题在于扩展他们的能力以控制对有产权信息的使用。信息内容提供者常常需要将使用限制在授权的活动和数量的范围内。涉及(举例来说)在光盘上提供电影和广告的业务模型中的參与者包括演员、导演、剧本作者和其他作者、作曲者、制作室、出版商、分发者、零售商、广告客户、信用卡服务机构、和信息内容最終用户。这些參与者需要下面的能力,即将他们的协定和要求范围-包括使用限制-体现到含有整体电子业务模型的“扩展”协定中。这些扩展协定由可以自动强制执行各方同意的权利和义务的电子信息内容的控制信息来代表。在VDE下,ー个上述扩展协定可以含有一个涉及所有业务模型參与者的电子合同。作为另ー种选择或补充,这种协定可以由在业务模型參与者子集之间达成的协定组成。通过使用VDE,电子商业可以按照与传统商业ー样的方式起作用,即可以通过对不同各方之间的ー个或多个协定的协商来形成涉及产品和服务的商业关系。商业信息内容提供者关心确保使用他们的电子信息应支付的合理报酬。在今天,可以较为容易和廉价地拷贝电子数字信息-例如ー个CD唱片。类似地,按照国际知识产权协会的估算,对软件程序的未经授权的拷贝和使用使合法所有者的年收入蒙受了几十亿美元的损失。信息内容提供者和分发者已经设计出大量功能有限的权利保护机制以保护他们的权利。鉴别ロ令和协议、许可服务器、“加锁/解锁”分发方法、以及强加于紧缩包装软件的用户的非电子合同限制等是较为流行的信息内容保护方案中的几个例子。在商业环境下,上述各种尝试是低效的和有限的解决方案。“电子货币”的提供者也已经为其类型的信息内容创建了保护措施。这些系统没有足够的适用性、有效性或灵活性以支持电子货币的推广使用。而且,它们不提供复杂的审核和控制配置功能。这意味着目前的电子货币工具缺乏许多实际的金融业务模型所需的完善性。VDE提供了用于匿名货币和“有条件”匿名货币的机制,其中,除非在特殊的情况下,否则涉及货币的活动保持匿名。VDE控制功能VDE允许电子数字信息的所有者和分发者可靠地为电子信息计帐,并且安全地控制、审核和预算对电子信息的使用。它可以可靠地检测和监视对商业信息产品的使用。VDE使用了各种各样的电子信息传递措施,包括(举例来说)数字网络、数字广播以及诸如光盘和磁盘之类的物理存贮介质。VDE可以被较大的网络提供者、硬件厂商、电子信息的所有者、这种信息的提供者、以及收集有关电子信息并对电子信息的使用计帐的票据交換所使用。VDE提供全面的和可配置的交易管理、计量和监视技术。它可以改变对电子信息产品的保护、销售、包装、和分发方式。如果使用了 VDE,那么它将会为信息提供者带来更高的收入,并带来更高的用户满意度以及价值。对VDE的使用通常将会带来降低的使用成本、降低的交易成本、对电子信息的更有效访问、权利保护措施和其他交易管理实现的可重用性、在使用被保护信息方面大大提高的灵活性、以及用于电子交易管理的更为标准化的工具和进程。VDE可以用来创建ー个满足电子信息所有者、分发者和用户、财务票据交換所、以及使用信息分析员和再销售者的需要的适用环境。 权利和控制信息一般来说,本发明可以用来保护具有下列利益的団体(a)电子信息所有权或保密利益。本发明(举例来说)有助于确保以授权的方式访问信息;(b)由使用电子分发信息而产生的财务利益。本发明有助于确保信息内容提供者得到被分发信息的使用报酬;以及(C)在包括电子现金、银行业务、和购物等在内的电子信用和电子货币的存贮、传送、和/或使用方面的利益。保护电子団体成员的权利涉及广泛的技术领域。VDE将这些技术合并成一种创建“分布式”电子权利保护“环境”的方法。该环境对交易和其他对权利保护具有重要性的进程进行安全化和保护。VDE (举例来说)提供了禁止或阻止干扰和/或探察涉及重要权利的交易和进程的能力。在其较佳实施例中,VDE使用专用的防破坏安全处理部件(SPU),它有助于向VDE进程和信息存贮和通信提供高度的安全性。本发明所解决的权利保护问题是基本社会问题的电子形式。这些问题包括保护所有权、保护隐私权、适当地给予人们和组织一定的报酬以补偿他们所付出的劳动和所冒的风险、保护钱款和信用、以及通常保护信息的安全性。VDE利用使用了通用进程集的系统以有效、可信和成本高效的方式来管理权利问题。VDE可以用来保护创建诸如唱片或录音带、游戏、电影、报纸、电子图书和參考资料、个人电子邮件、以及机密的记录和通信之类的电子信息的參与者的权利。本发明还可以用来保护诸如出版商和分发者之类的提供电子产品的參与者的权利;诸如票据交換所和银行之类的提供电子信用和货币以支付产品使用费的參与者的权利;使用电子信息内容的參与者(例如消费者、行业人士、政府)的隐私权;以及由电子信息所描述的当事人的隐私权-诸如涉及包含在病历、税务记录、或人事记录中的信息的隐私权。—般来说,本发明可以用来保护具有下列利益的參与者的权利(a)对电子分发信息的商业利益-本发明(举例来说)有助于确保采用与当事人达成的协定相一致的方式为被分发信息的使用向当事人付费;(b)电子信息的所有权和/或机密性利益-本发明有助于(举例来说)确保对数据的使用只能以授权的方式进行;(C)在包括电子现金、银行业务、和购物等活动在内的电子信用和电子货币的存贮、传送、和/或使用方面的利益;以及(d)对至少部分地从使用其他电子信息中获取的电子信息的利益。VDE功能特性VDE是ー个成本高效的和有效的权利保护解决方案,它为保护和管理交易处理提供了统ー的、一致的系统。VDE能够(a)审核和分析对信息内容的使用;(b)确保对信息内容进行使用只能采取授权方式;以及(c)允许对有关信息内容使用的信息只能以由信息内容用户同意的方式使用。另外,VDE:(a)是高度可配置、可修改、和可重复使用的;(b)支持广泛的有用功能,可以采用不同的方式将这些功能合并起来以支持大多数潜在的应用;
(C)运行于各种各样的电子设备之上,其范围可以从手持式廉价设备到大型主计算机;(d)能够同时保证大量不同參与者的权利和大量不同权利保护方案;(e)能够通过一系列可以在不同时间和不同地点发生的交易来保护參与者的权利;(f)能够灵活地支持安全地传递信息和汇报使用的多种方式;以及(g)提供对“实际”货币和信息的电子模拟-包括匿名电子现金,以便为产品和服务付帐,以及支持个人(包括家庭)银行业务和其他金融活动。VDE经济有效地满足了电子团体成员的权利保护需求。VDE的用户将不需要针对不同的信息高速公路产品和权利问题而需要另外的权利保护系统,他们也将不需要为每个新的信息高速公路应用都安装并学会ー个新系统。VDE提供了一个允许所有信息内容制作者、提供者和用户使用同一电子权利保护方案的统ー解决方案。在经过授权的情况下,參与者可以自由地交換信息内容和相关信息内容控制集合。这意味着VDE的用户可以在被允许的情况下使用同一电子系统以处理带有不同信息内容控制信息集合的、不同类型的信息内容。由ー个群体提供的信息内容和控制信息可以由通常使用其他群体提供的信息内容和控制信息的人们使用。VDE允许信息内容可以被“全局”地交換,并且,本发明的实现的用户可以电子地交互作用,而不必担心信息内容控制的不兼容性、权利的侵犯、以及得到、安装或学习新信息内容控制系统的需要。VDE安全地管理规定了权利保护的交易。它可以保护的电子权利包括(举例来说)(a)电子信息内容的作者的所有权;(b)信息内容分发者的商业权利;(c)促进了信息内容分发的任何參与者的权利; (d)信息内容用户的隐私权;(e)由被存贮和/或被分发的信息内容描述的当事人的隐私权;以及(f)涉及强制执行电子协定的任何其他权利。VDE允许十分广泛的、采用电子方式强制执行的商业和社会协定。这些协定可包括采用电子方式实现的合同、许可证、法律、条例、和税收。与传统解决方案的对比传统信息内容控制机制常常要求用户购买超过其所需要的或所希望的电子信息。例如,紧缩包装软件的不经常用户被要求以与经常性用户相同的价格来购买ー个程序,尽管他们可能从他们较为稀少的使用中得到较少的价值。传统系统没有按照使用的程度和特性按比例收费,并且传统系统不能吸引那些认为固定价格太高的潜在消费者。使用传统机制的系统通常不是特别地安全。例如,对于紧缩包装技术而言,一旦软件或者从其物理包装或从其电子包装中被移动出去以后,紧缩包装技术将不能防止不断的非法盗版行为。传统的电子信息权利保护系统通常缺乏灵活性且效率不高,并且迫使信息内容提供者选择昂贵的分发通道,这类分发通道提高了产品的价格。一般来说,这些机制限制了产品定价、配置和销售的灵活性。这些缺点归因于用于控制信息的技术既不支持不同的信息内容模型,也不支持反映了模型參与者的许多不同要求(如信息内容传递策略)的信息内容模型。这样会限制提供者的下述能力,即传递足够的综合性信息以便从许多潜在用户的角度证明ー个给定产品的价格是正当的。VDE允许信息内容提供者和分发者创建反映提供者和用户的优选业务模型的应用和分发网络。它提供给用户唯一地成本高效的并具有丰富特性的系统,该系统支持提供者希望用来分发信息的方式,以及用户希望用来使用该信息的方式。VDE支持确保权利及允许信息内容传递策略为最大商业成效的目的而形成的信息 内容控制模型。 处理和控制链VDE可以保护属于在电子信息中具有权利或对电子信息具有权利的參与者的ー批权利。该信息可以位于ー个地点,也可以分散在多个地点上(或在多个地点之间移动)。该信息可以通过一个分发者“链”和一个用户“链”传递。使用信息也可以通过ー个或多个參与者“链”被汇报出去。通常,VDE允许(a)在电子信息中带有权利的当事人,和/或(b)作为在电子信息中带有权利的当事人的直接或间接代理来保证对信息的移动、访问、修改或使用等可以由涉及如何、在何时、在何地、由谁等执行上述活动的规则安全地控制。VDE应用和软件VDE是用来管理电子活动和商业的安全系统。上述管理由一个或多个參与者放置就位的控制信息来确保。这些參与者可以包括信息内容提供者、电子硬件制造商、财务服务提供者、或诸如电缆或电信公司之类的电子“基础设施”公司。控制信息实现了“权利应用”。权利应用运行在较佳实施例中的“基本软件”之上。该基本软件起ー个安全的、灵活的、通用的基础的作用,该基础可以支持许多不同的权利应用,即许多不同的业务模型及其各自的參与者要求。VDE下的权利应用由专用的部分组成,每ー个部分都可以对应于权利保护环境所需要的、ー个或多个基本的电子进程。这些进程可以象建筑模块一祥被合并在一起,以创建可以保护权利的电子协定,并强制电子信息的用户和提供者履行他们的义务。电子信息的ー个或多个提供者可以容易地合并选定的建筑模块以创建ー个唯一于特定信息内容分发模型的权利应用。ー组这样的模块可以代表执行用户和提供者之间协定所需的功能。这些模块支持电子商业的许多要求,包括使用电子信息许可的分发;控制信息以及管理这些许可的控制信息的集合的持久性;可配置的控制集合信息,这些控制集合信息可以由用户选择以便使用这些信息;电子信息的数据安全性和使用审核;以及用于货币、报酬、和借方管理的安全系统。
对于电子商业,依据本发明较佳实施例的权利应用可以电子化地强制执行所有參与者之间的业务协定。由于可以为不同应用而把不同的部件组放在一起,本发明可以为种类繁多的产品和市场提供电子控制信息。这意味着本发明可以为电子商业和数据安全性提供一个“统一”的、有效的、安全的和成本高效的系统。这可以允许VDE为电子权利保护、数据安全性以及电子货币和银行业务起单ー标准的作用。在VDE中,权利应用及其基础之间的分离允许对适于应用和使用的多种不同类型中的每ー种的控制信息集合进行有效地选择。这 些控制集合既可以反映电子团体成员的权利,也可以反映他们的义务(例如提供某人使用一个产品或为某人的电子购物活动納税的历史信息)。VDE的灵活性允许其用户电子地实现和强制执行共同的社会和商业道德规范和惯例。通过提供ー个统ー的控制系统,本发明支持个人、団体、商业和政府的、范围广阔的、可能的、有关交易的利益和关心。由于它的开放式设计,VDE允许(通常在安全控制的情况下)将使用了由用户独立创建的技术的应用“加入”到系统中,并结合本发明的基础使用该应用。总之,VDE提供了一个可以公平地反映和强制执行各方之间的协定的系统。它是ー个广泛的和系统的解决方案,该方案满足了对安全的、成本高效的、和公平的电子环境的迫切需要。VDE 实现本发明的较佳实施例含有允许系统设计者直接将VDE功能插入到其产品中的各种工具。这些工具包括一个应用程序员接ロ( “API”)和一个权利许可和管理语言(“RPML”)。RPML为使用本发明的特性提供了全面的和详细的控制。VDE还包括用来满足信息内容提供者、分发者和用户的需要的某些用户接ロ子系统。利用VDE分发的信息有多种形式。信息可以(举例来说)被分发以供某个人自己的计算机使用,也就是说,本发明可以用来为本地存贮的数据提供安全性。作为另ー种选择,VDE可以用于由作者和/或出版商传播给一个或多个接收者的信息。该信息可以有多种形式,包括电影、声音录制品、游戏、电子目录购物、多媒体、培训材料、电子邮件和个人文件、面向对象的库、软件编程资源、以及保存參考/记录的信息资源(如业务、医药、法律、科学、政府、和消费者数据库)。本发明提供的电子权利保护还可以为可信的和有效的家庭和商业银行业务、电子信用进程、电子购物、真实的或有条件匿名的电子现金、以及EDI (电子数据交换)提供重要的基础。通过提供比基于密钥和ロ令的“通行/禁行”技术远远有效的“智能”交易管理特性,VDE在提高组织中的数据安全性方面提供重要的加强。VDE通常使用密码技术和其他安全性技术(如加密、数字签名等)的结合,以及其他的技术,包括部件的、分布式的和事件驱动的操作系统技木,以及相关的通信、对象容器、数据库、智能代理、智能卡、和半导体设计技木。I.概述A. VDE解决了重要问题并满足了关键需要世界正在朝着电子信息设备的集成化发展。设备的互连为更大規模的电子交互作用和电子商业的发展提供了基础。为实现电子商业环境需要各种功能。VDE是提供许多上述功能的第一个系统,并且因此而解决了有关信息电子传播的基本问题。电子信息内容
VDE允许电子协定的创建涉及双方或多方。这些协定可以本身含有在处于商业价值链和/或数据安全性链模型中的參与者之间达成的、针对处理、审核、汇报、和付款等的ー批协定。它可以为安全电子信息内容的分发、使用控制、使用付款、使用审核和使用汇报提供有效的、可重用的、可修改的、和一致的方法。信息内容可以(举例来说)包括诸如电子货币和信用之类的财务信息;诸如參考资料数据库、电影、游戏、和广告之类的采用商业手段分发的电子信息;以及诸如文件、电子邮件、和有所有权的数据库信息之类的由个人和组织产生的电子财产。VDE准许ー个支持不同的、有竞争カ业务伙伴关系、协定、以及发展的全面业务模型的电子商业市场。 VDE的特性使它能够作为第一个可信的电子信息控制环境起作用,该环境能够遵守并支持传统电子商业和数据安全性的大量要求。特别地,VDE允许处于业务价值链模型中的參与者创建传统业务协定条款和条件的电子版本,并进ー步允许这些參与者形成并演变他们认定为适合其业务要求的电子商业模型。VDE提供了一个避免反映特殊分发偏见、特殊管理和控制观点、以及特殊信息内容类型的体系结构。相反,VDE提供了ー个范围广阔的、从根本上可配置和可移动的、电子交易控制、分发、使用、审核、汇报和付款操作环境。VDE不限在只是ー个只涵盖了电子交互活动和參与者的有限子集的应用或特定于应用的工具集。相反,VDE支持这样的系统,即通过 该系统,可以创建、修改和/或重用上述的应用。因此,本发明通过提供ー个支持标准化控制环境的系统而满足了迫切的、尚未解决的需求,该标准化控制环境通过使用可编程的、安全的电子交易管理基础和可重用的和可扩展执行的部件促进了电子设备的互相协作性、信息内容容器的互相协作性,以及电子商业设备和模型的有效创建。VDE支持一个单ー的电子“世界”,在该电子“世界”中可以对大多数形式的电子交易活动进行管理。为了满足权利所有者和信息内容提供者正在发展的需要,并提供可支持所有可能參与到电子业务模型中的各方(制作者、分发者、管理员、用户、信用提供者、等等)的要求和协定的ー个系统,VDE提供了一个有效的、大大透明的、低成本的和充分安全的系统(既支持硬件/软件模型,也支持只有软件的模型)。VDE提供了适合下列需要的、变化多端的安全控制和管理功能I.不同类型的电子信息内容;2.不同的电子信息内容传递方案;3.不同的电子信息内容使用方案;4.不同的信息内容使用平台;以及5.不同的信息内容销售和模型策略。VDE可以与许多分离的计算机和/或其他电子设备合并在一起,或集成进它们之中。这些设备通常含有ー个安全子系统,该安全子系统允许控制对信息内容的使用-例如显示、加密、解密、打印、拷贝、保存、抽取、嵌入、分发、审核使用、等等。较佳实施例中的上述安全子系统含有一个或多个“被保护的处理环境”,ー个或多个安全数据库、以及安全“部件组”和其他需要保持安全的项目和进程。VDE可以(举例来说)使用上述的“安全子系统”安全地控制电子货币、付帐、和/或信用的管理(包括电子信用和/或货币接收、付款、留存、和/或分配)。VDE提供了ー个安全的、分布式电子交易管理系统,以便控制对采用电子方式提供的和/或存贮的信息的分发和/或其他使用,VDE控制对电子信息内容和/或设备的使用的审核和汇报。VDE的用户可以包括那些为最終用户组织、个人、以及信息内容和/或设备分发者将涉及信息内容使用、使用汇报、和/或使用付款的控制信息应用到电子信息内容和/或设备的信息内容创建者。VDE还安全地支持一个或多个參与者采用电子信用和/或货币的形式向一个或多个其他參与者支付所欠的款项。在VDE控制下的电子设备代表安全地处理和控制被分发的电子信息和/或设备使用、控制信息配制、以及相关交易的VDE “节点”VDE可以安全地管理由两个或多个參与者提供的控制信息的集成。因此,VDE可以创建VDE參与者之间的ー个电子协定,该电子协定代表了两方或多方的控制要求之间的“协商”,并且制定最终产生的协定的条款和条件。VDE确 保了涉及与电子信息和/或设备使用有关的广泛电子活动的电子协定每ー參与方的权利。 通过使用VDE的控制系统,传统的信息内容提供者和用户可以建立反映传统的、非电子关系的电子关系。他们可以形成和修改商业关系以支持他们不断变化的需要或他们之间不断变化的协定。VDE不要求电子信息内容提供者和用户变更他们的业务惯例和个人喜好以符合某个支持有限的、基本上固定的功能的计量和控制应用程序。而且,VDE允许參与者开发出对于非电子商业来说是不可行的业务模型,例如,涉及信息内容使用信息的详细汇报,在迄今为止尚不可行的低价位水平上进行的大量显著不同的交易,对在强制执行时无须參与者參与或事先了解的控制信息进行的“传递”、等等。本发明允许信息内容提供者和用户配制他们的交易环境,以支持(I)理想的信息内容模型、信息内容控制模型和信息内容使用信息通路;(2)完整范围的电子介质和分发手段;(3)范围广阔的定价、付款和审核策略;(4)非常灵活的隐私和/或汇报模型;(5)现实的和有效的安全体系结构;以及(6)与步骤⑴到(5) —起可以允许包括唯一于电子世界的模型在内的“真实世界”电子商业和数据安全性模型的其他管理过程。VDE的交易管理功能可以强制执行(I)涉及与用户对电子信息和/或设备的使用相关的信息的用户隐私权;(2)诸如保护信息内容用户的权利或收集从电子交易收入中得到的税款的法律之类的社会政策;以及(3)參与者的所有权和/或其他权利,这些权利涉及电子信息的所有权、分发和/或与电子信息有关的其他商业权利。VDE可以支持电子形式的“真实”商业活动,也就是说渐进地创建随着时间推移将形成代表价值链业务模型的相互关联协定的网络的商业关系。利用安全创建的和独立提交的信息内容和/或设备控制信息集合之间的交互作用(或协商)使得信息内容控制信息得以发展,这样可以部分地实现上述功能。不同的信息内容和/或设备控制信息集合可以由在本发明允许的电子业务价值链中的不同參与者提交。这些參与者通过使用他们各自的VDE装置创建控制信息集合。可独立安全传递的、基于部件的控制信息允许由不同參与者提供的控制信息集合之间的有效交互作用。VDE允许在VDE支持的电子价值链模型中的參与者的子集之间形成多个分离的电子协定。这些多个协定一起构成了 VDE价值链“扩展”协定。VDE支持上述构成的电子协定以及因此得到的全面VDE扩展协定在另外的VDE參与者參与VDE信息内容和/或设备控制信息处理的过程中逐渐地演变和重新形成。VDE电子协定还可以在已有參与者提交新控制信息时被扩展。使用VDE,电子商业參与者可以自由地组织和再组织他们的电子商业业务活动和关系。作为结果,由于使用VDE能够支持不同的,种类繁多的、使用同一或共享信息内容的业务模型,于是本发明允许竞争性的电子商业市场得到发展。作为本发明广泛支持电子商业的能力的ー个重要方面,本发明能够安全地管理可独立传递的、含有控制信息的VDE部件对象(通常采用含有ー个或多个方法、数据或加载模块VDE部件的VDE对象的形式)。可以使用本发明的协商机制将上述可独立传递的控制信息与上级的和其他已有的信息内容控制信息集成在一起以便安全地产生被派生的控制信息。由该派生控制信息规定的所有要求必须在VDE控制信息可以被访问或使用之前得到满足。这意味着(举例来说)由派生控制信息列出来作为必需信息的所有加载模块和任意中间数据必须是可用的,并且他们必须安全地执行所要求的功能。结合本发明的其他方面,安全独立传递的控制部件允许电子商业參与者自由地规定他们的业务要求和折衷方案。结果,与传统的非电子商业十分相似,本发明允许电子商业(通过VDE參与者对各种控制要求的渐进规定)演变成最有效、最具有竞争カ和最有用的业务形式。VDE提供对电子商业和电子交易管理的支持进行合理化的功能。该合理化过程归因于针对种类繁多的、与交易管理有关的活动的控制结构和用户接ロ的可重复使用。結果,信息内容使用控制、数据安全性、信息审核、和电子财务活动可以由可重用的、方便的、一致的和熟悉的工具进行支持。另外,ー种合理的手段-交易/分发控制标准-允许VDE中的所有參与者以硬件控制和安全性、创作、经营以及管理工具的同一基础集合,支持种类繁多的信息、业务销售模型和/或个人目标。将VDE作为ー种通用电子交易/分发控制系统加以使用允许用户在他们各自的计算机、网络、通信节点、和/或其他电子设备中的每ー个中维护单一交易管理控制方案。这种通用系统可以满足许多电子交易管理应用的需要,而不是对于不同的用途需要特殊的、不同的装置。結果,VDE的用户可以避免对应于各个不同信息内容和/或业务模型的、不同的、有限用途的交易控制应用所帯来的混淆和花费以及其他缺乏效率的方面。例如,VDE允许信息内容制作者对于信息内容创作以及从其他信息内容制作者那里取得信息内容许可以便将该信息内容加到其产品中或实现其他用途,这两种活动均使用同一 VDE基础控制方案。票据交換所、分发者、信息内容制作者、以及其他VDE用户都可以不管VDE活动的类型而按照完全一致的方式,(大大透明地)使用或再使用相同的分发工具、机制、以及一致的用户接ロ与运行于他们的VDE装置中的应用交互作用,以及在相互之间进行交互作用。通过控制和审核电子地存放和/或传播的信息(或对这些信息进行其他的使用管理),VDE禁止对电子信息进行的许多形式的未经授权的使用。这些信息包括(举例来说) 商业分发的信息内容、电子货币、电子信用、业务交易(例如EDI)、机密通信、等等。VDE可以进一歩用来允许商业上提供的电子信息内容之中用户定义的部分对用户可用,而不是限制用户只能使用信息内容制作者和/或其他提供者为计帐目的而“预定”的信息内容部分。VDE (举例来说)可以使用(I)安全的计量手段用来预算和/或审核电子信息内容和/或设备的使用;(2)安全灵活的装置用来支持对信息内容和/或设备的使用费用进行偿付和/或计帐,包括用作付款手段的电子信用和/或货币机制。(3)安全分布式数据库装置,用来存放有关控制和使用的信息(并使用了确认的划分和标记方案)。(4)安全的电子设备控制装置;(5)由位于每个用户(包括VDE信息内容容器制作者、其他信息内容提供者、客户用户、以及安全VDE信息内容使用信息的接收者)站点上的节点构成的分布式的、安全的 “虚拟黑盒子”。所述虚拟黑盒子的节点通常含有至少带有ー个安全硬件元件(一个半导体元件或其他用来安全地执行VDE控制进程的硬件模块)的安全子系统,所述安全子系统被分发在沿信息存贮、分发、付款、使用和/或审核的路径上的各个节点中。在某些实施例中,对于某些或所有节点来说,所述硬件元件的功能可以(举例来说)由电子设备宿主处理环境中的软件执行;(6)加密和解密装置;(7)使用鉴别、数字签名、和加密传送技术的安全通信装置。所述用户节点中的安全子系统使用ー个协议,该协议创建和鉴别每个节点和/或參与者的身份,并为安全子系统之间的通信创建ー个或多个主机-到-主机的安全加密密钥;以及(8)安全控制装置-该装置可允许各个VDE装置进行VDE信息内容创作(将信息内容与相关控制信息一起放入VDE容器中)、信息内容分发和信息内容使用、以及使用信息内容使用信息的票据交換所活动以及其他管理和分析活动。VDE可以用来将大多数非电子的传统信息传递模型(包括娱乐、參考资料、目录购物、等等)迁移到充分安全的数字化分发和使用管理和付帐环境中。由VDE配置管理的分发和财务通路包括信息内容制作者;分发者;再分发者;客户管理员;客户用户;财务和/或其他票据交換所;以及/或者政府机构。这些分发和财务路径还可以包括广告商;市场调查组织,和/或其他对利用VDE安全传递的和/或存放的信息的用户使用感兴趣的參与者。通常,VDE配置中的參与者使用相同的安全VDE基础。可选实施例支持使用不同VDE基础的VDE系统。这种可选实施例可以使用一些过程来确保某些互相协作性要求得到满足。
安全VDE硬件(也称为SPU-安全处理部件),或使用(由宿主处理环境(HPE)提供的)软件来替代或补充所述硬件的VDE装置,结合安全通信、系统集成软件和分布式软件控制信息以及支持结构一起工作,从而实现本发明的电子合同和/或权利保护环境。这些VDE部件一起构成了ー个安全的、虚拟的、对分发的信息内容和/或设备进行控制、审核(或其他管理)、汇报、以及付帐的环境。在某些实施例中,或者在商业上可以接收的情况下,可以允许某些VDE參与者-诸如通常维护具有充分物理安全性的非VDE处理环境的票据交换所-使用HPE而不是VDE硬件元件,并与(举例来说)VDE最終用户和信息内容提供者进行互相协作。VDE部件一起为电子信息内容和/或设备使用的分布式异步控制构成了ー个可配置的、一致的、安全的和“可信的”体系结构。VDE支持电子信息内容传递、广泛传播、使用汇报、以及涉及使用的付款活动的ー个“通用”环境。VDE提供了广义的可配置性。这种特性部分地归因于将用于支持电子商业和数据安全性的广义要求分解成广泛的构成性“原子”部件和更高层部件(如加载模块、数据元素和方法),这些部件可以不同地聚集在一起,为电子商业应用、商业电子协定和数据安全性方案产生控制方法。VDE提供了使用VDE基础元素以及允许电子商业模型和关系继续发展 的可独立传递的安全VDE部件的安全操作环境。VDE特别支持对下述分发模型的展开在这种分发模型中,随着时间的推移,信息内容提供者可以明确地同意或允许后续的信息内容提供者和/或用户參与对使用电子信息内容和/或设备的控制信息和结果进行塑造。用于支持由简单到特别复杂的电子商业和数据安全性活动的十分广泛的功能属性得到了本发明提供的功能的支持。結果,VDE支持大多数类型的电子信息和/或设备使用控制(包括分发)、安全性、使用审核、汇报、其他管理活动、以及付款方案。在VDE的较佳实施例中,VDE使用了对象软件技术,并使用对象技术为(至少部分地)被加密的或经过安全保护的信息的传递形成“容器”。这些容器可以含有电子信息内容产品或其他电子信息和某些或所有其他相关许可(控制)信息。可以沿着包含信息内容提供者和/或信息内容用户的路径分发上述容器対象。可以安全地在虚拟分发环境(VDE)的节点之间移动这些容器对象,这些节点运行VDE基础软件并执行控制方法以制定电子信息使用控制和/或管理模型。通过使用本发明的较佳实施例而传递的容器可以用于分发VDE控制指令(信息),并且/或者用于密封和电子地分发已经至少部分地经过安全保护的信息内容。使用本发明的信息内容提供者可以包括(举例来说)软件应用和游戏发行者、数据库发行者、有线电视、电视和无线电广播者、电子购物销售商、以及电子文件、书籍、期刊、电子邮件和/或其他形式的信息的分发者。充当电子信息的存放者和/或分发者的公司、政府机构、和/或个人“最終用户”也可以是VDE信息内容提供者(在一个受限制的模型中,一个用户只向其自身提供信息内容,并使用VDE来保护自己的机密信息,以防止其他參与者未经授权地使用这些信息)。电子信息可包括供个人或组织内部使用的有所有权的和/或机密的信息,以及诸如提供给其他団体使用的软件应用、文件、娱乐材料和/或參考信息之类的信息。分发可以通过(举例来说)物理介质传递、广播和/或电信手段进行,并且可以采用“静态”文件和/或数据流的形式进行。VDE也可以用于(举例来说)诸如电话会议、交互式游戏或联机公告版之类的多站点“实时”交互作用,在上述活动中实施了对全部或部分被传送信息的使用限制和/或审核。
VDE为强制执行商业协定和支持隐私权保护提供了重要机制。VDE可以安全地将信息从ー个參与者传递给另ー个关心商业分发的电子信息内容使用的參与者。即使各个參与者被上述信息内容使用信息的处理链(路径)中的若干“歩”分开,这些信息也可以由VDE通过加密和/或其他安全处理手段来保护。由于这种保护,VDE可以保证这些信息的准确性,并且这些信息可以被它们送达的所有參与者所信任。而且,VD E保证所有的參与者都可以相信这些信息不会被除预期的、经过授权的參与者之外的其他任何人所接收,因为这些信息经过了加密,因此只有授权的參与者或其代理可以将它解密。这些信息也可以通过在ー个以前的处理路径地点中执行ー个安全的VDE进程得出,以产生安全的VDE汇报信息,然后该汇报信息被安全地传送给其预期接收方的VDE安全子系统。由于VDE可以安全地传递这些信息,电子协定的參与者不必相信通过除经过VDE控制的装置之外的其他装置传递的商业使用信息和/或其他信息的准确性。商业价值链中的VDE參与者可以“从商业角度”确信(即为商业目的充分相信)他们通过使用VDE而达成的直接(构成的)和/或“扩展”的电子协定可以得到可靠地强制实施。这些协定可以带有“动态”的、涉及交易管理的方面-例如通过电子信息和/或设 备使用情况的预算、计量、和/或汇报而强制执行的信息内容使用控制信息,并且/或者这些信息可以包含“静态”的电子声明,例如最終用户使用该系统来声明他或她同意为服务付费、不会把从信息内容或系统使用情况中得到的电子信息传递给未经授权的參与者,并且/或者该最终用户同意遵守版权法。在本发明控制下,不仅采用电子手段汇报的、涉及交易的信息是可信的,而且通过沿付款路径(该路径与汇报路径可以是同一条,也可以不是同一条)传递付款代价券可以自动地执行付款。付款可以包含在VDE装置为响应控制信息(在较佳实施例中,这些控制信息位于ー个或多个许可记录中)而自动创建的ー个VDE容器中,这些控制信息规定了根据(例如政府、财务信用提供者以及用户)对VDE控制的电子信息内容和/或设备的使用从电子帐户(例如,由用户的VDE装置安全子系统安全维护的帐户)中“提取”信用或电子货币(例如代价券)的方式。VDE允许电子商业參与者的需要得到服务,并且它可以将这些參与者合并在ー个普遍范围的、可信的商业网络中,该商业网络可以充分安全地支持数量庞大的商业活动。VDE的安全性和计量安全子系统核心将出现在有关VDE的信息内容(I)是被分配了涉及使用的控制信息(规则和协调数据)的所有物理地点以及/或者(2)被使用的所有物理地点。该核心可以在“虚拟黑盒子”中执行安全性和审核功能(包括计量),“虚拟黑盒子”是ー批分布的、十分安全的涉及VDE的硬件实例,这些硬件实例被受到安全保护的信息交换(例如电信)进程和分布式数据库装置互连在一起。VDE还含有高度可配置的交易操作系统技术、加载模块的一个或多个相关的库以及附属数据、与VDE有关的管理、数据准备、和分析应用,以及经过设计用来允许将VDE集成进宿主环境和设备中的系统软件。VDE的使用控制信息(举例来说)提供与有所有权的信息内容和/或设备相关的使用授权、使用审核(可以包括审核压縮)、使用计帐、使用付款、隐私过滤、汇报、以及涉及安全性的通信和加密技术。VDE广泛地使用软件对象形式的各种方法来提高VDE环境的可配置性、可移植性和安全性。它还对携帯受保护的信息内容并且还可以既携帯可自由得到的信息(如概要、目录)、也可以携带用来确保控制信息性能的受保护信息内容控制信息的VDE信息内容容器使用软件对象体系结构。信息内容控制信息依照由对象的信息内容的权利持有者和/或拥有与分发该信息内容相关联的权利的參与者(如政府、财务信用提供者、和用户)制定的标准来管理信息内容的使用。本发明所使用的对象方法部分地加强了安全性,因为用来保护对象的加密方案可以有效地进ー步用来保护相关的信息内容控制信息(软件控制信息和相关数据)不被修改。所述的对象技术还可以提高不同计算机和/或其它设备环境之间的可移植性,因为信息内容形式的电子信息可以与(用于所述信息内容的)信息 内容控制信息嵌入在一起(例如,嵌入到与该信息内容控制信息相同的对象容器中),从而产生ー个“公布的”対象。于是,所述控制信息的不同部分可以专用于不同的环境,例如专用于多种计算机平台和操作系统,并且所述不同的部分可以全部由ー个VDE容器携帯。VDE的ー个目标是支持交易/分发控制标准。在安全性要求和相关硬件和通信问题、种类繁多的环境、信息的类型、信息的使用类型、业务和/或数据安全性目标、參与者的多祥性、以及被传递信息的特性的条件下,该标准的开发将遇到许多障碍。VDE的显著特性支持了上述多种的、变化的分发和其他交易变量,其方式是部分地将电子商业和数据安全性功能分解为安全硬件SPU和/或对应的软件子系统中可执行的通用功能模块,并进一歩允许运行于VDE装置基础之上的应用在装配、修改和/或替换上述模块方面具有广泛的灵活性。这种可配置性和可再配置性允许电子商业和数据安全性參与者通过对逐渐演变的扩展电子协定(电子控制模型)进行反复加工的进程来反映他们的优先级和要求。该加工可以在信息内容控制信息从ー个VDE參与者传递给另ー个的时候进行,并且要在“已就位”信息内容控制信息所允许的限度内进行。该进程允许VDE的用户改造现有的控制信息,并且/或者添加必要的新控制信息(包括删除不再需要的元素)。VDE对商业电子信息内容分发和数据安全性应用两者都支持可信的(足够安全的)电子信息分发和使用控制模型。可以对VDE进行配置以便满足互相间联成网络的參与者的多祥化要求,这些參与者可以包括信息内容制作者、信息内容分发者、客户管理员、最终用户、以及/或者票据交換所和/或其他信息内容使用信息的用户。这些參与者可以构成參与到从简单的到复杂的电子信息内容传播、使用控制、使用汇报、和/或使用付款过程中的联网參与者。被传播的信息内容既可以包括被原始提供的信息,也可以包括由VDE产生的信息(例如信息内容使用信息),并且信息内容控制信息可以在通过信息内容和信息内容控制信息处理链(一条或多条路径)以及对信息内容的直接使用过程中持续不变。本发明提供的可配置性对于支持电子商业特别关键,即它允许各行业建立关系和演变策略,以产生有竞争カ的价值。不具有内在可配置性和可互相协作性的电子商业工具最终将不能制造出既满足大多数商业应用的基本要求,又满足其不断演变的要求的产品(和服务)。VDE基本的可配置性将允许广泛的、具有竞争カ的电子商业业务模型纷繁多样地出现。它允许业务模型经过塑造以使收入源、最終用户产品价值、以及操作效率最大化。VDE可以用来支持多种不同的模型、利用新的收入机会、并把用户最希望得到的产品配置交付给用户。不能够!支持广泛的、可能的、补充的收入活动!提供消费者最理想的灵活的信息内容使用特性集合,以及!开发提高操作效率的机会
的电子商业技术(而本发明则支持上述功能)将导致其产品常常固有地较为昂贵而对消费者的吸引力较差,因此在市场中的竞争カ较差。对本发明内在的可配置性具有帮助的某些关键因素包括(a)利用可移植的API和编程语言工具集成进广泛电子设备的基本控制环境。这些API和编程语言工具能够有效地支持在几乎任意的电子设备环境中合并控制和审核功能,同时维护整体系统安全性;(b)模块化数据结构;(c)广义信息内容模型;
(d)基础体系结构部件的一般模块性和独立性;(e)模块化安全结构;(d)可变长度的和带有多个分支的处理链;以及(e)可执行加载模块形式的、独立的、模块化的控制结构,这些加载模块可以维护于ー个或多个库中,并且可以被装配进控制方法和模型中,其中,该模型控制方案可以在控制信息通过VDE信息内容控制信息处理路径中的參与者的VDE装置时发生“演变”。由于本发明所解决问题的广度,本发明可以向正在出现的“电子高速公路”提供单一的交易/分发控制系统,对于十分广泛的商业和数据安全性模型而言,该交易/分发控制系统可以防止对机密的和/或有所有权的信息和商业电子交易的未授权使用。VDE的电子交易管理机制可以强制执行參与到种类多祥的业务和数据安全性模型中的所有參与者的电子权利和协定,并且通过在每个VDE參与者的电子设备中实现单个VDE就可以有效地实现上述功能。VDE支持广泛的、在VDE信息内容和/或信息内容控制信息处理路径的各个“级别”中可以包含广泛的參与者的不断变化的业务和/或数据安全性模型。不同的信息内容控制和/或审核模型以及协定可以在同一 VDE装置中获得。这些模型和协定控制的信息内容可以与(举例来说)一般的VDE装置和/或用户、某些特定用户、装置、种类和/或装置和/或用户的其他分类相关,并且可以与通常在给定装置中的电子信息内容相关,以及与信息内容的特定有产权产品、有产权产品的部分、种类和/或其他分类相关。使用VDE的分发可以把电子信息内容和控制信息两者均包装到同一容器中,并且/或者可以包括将位于大量不同的远程地点中的和/或位于大量独立的VDE信息内容容器中的和/或使用大量独立的传递装置的同一 VDE管理的有产权产品的不同部分传递给最終用户的站点。信息内容控制信息可以放在ー个或多个VDE管理对象中,部分地或全部地与其相关信息内容分开传递到用户VDE装置。所述控制信息的部分可以从ー个或多个的源传递出去。通过从用户的VDE装置安全子系统对ー个或多个远程VDE安全子系统和/或VDE兼容的、经过验证的安全远程地点的访问也可以得到控制信息以供使用。诸如计量、预算、解密和/或加入指纹等与用户的特定信息内容使用活动相关的VDE控制进程可以在用户本地的VDE装置安全子系统中执行。或者所述的进程可以被划分到大量的安全子系统中,这些安全子系统可以位于同一用户VDE装置中,以及/或者位于网络服务器及用户装置中。例如,一个本地VDE装置可以执行解密,并保存任意或所有与信息内容使用相关的使用计量信息,与/或在这ー用户装置上的电子设备使用可采用所述安全子系统之间的安全(如加密)通信而在服务器上执行。所述服务器地点也可以用于近似实时地、频繁地、更为周期性地安全接收来自所述用户装置的信息内容使用信息,而(举例来说)计量得到的信息只是暂时地保存在本地的用户装置中。对VDE管理的信息内容的传递手段可包括诸如光盘之类的、用于传递所述信息的一部分的电子数据存贮手段以及用来传递所述信息的其他部分的广播和/或远程通信手段。电子数据存贮装置可包括磁介质、光介质、组合的磁光系统、快速RAM存贮器、磁泡存贮器、以及/或者其他存贮手段-例如使用全息、频率和/或极性数据存贮技术的大容量光存贮系统。数据存贮手段也可以使用分层盘片技术,例如使用大体透明和/或半透明的材料,这些材料使光线透过带有数据的盘片层,而这些盘片本身被物理地包装在一起形成ー个厚盘片。这些盘片中带有数据的位置可以是至少部分地不透光的。VDE支持通用的基础用于安全的交易管理,包括使用控制、审核、汇报和/或付款。这些通用的基础称为“VDE功能”(“VDEF”)。VDE还支持ー批“原子”应用元素(如加载模块),这些“原子”应用元素可以被有选择地聚合在一起以形成称为控制方法的各种VDEF功能,这些VDEF功能用作VDEF应用和操作系统功能。当一个电子设备的宿主操作环境包含了 VDEF功能的时候,该操作环境称为“权利操作系统”(ROS)。VDEF加载模块、相关数据以 及方法构成了一个信息体,该信息体相对于本发明中的用途被称为“控制信息”。VDEF控制 信息可以特别地与一个或多个电子信息内容相关联,并且/或者它可以用来作为VDE装置的操作系统功能的ー个通用部件。VDEF交易控制元素反映和制定了特定于信息内容的和/或更为通用化的(例如,一般操作系统的)控制信息。VDE參与者可通过使用诸如VDE模板将通常采取或多或少可配置的应用(应用模型)的形式的VDEF功能进行加工以实现特定的功能,这些特定的功能带有功能參数数据,来反映VDE參与者之间关于使用诸如作为商品分发的产品的一个或多个明确电子协议的元素。这些控制功能管理对电子信息内容的使用和/或审核,以及根据信息内容的使用以及对所述的使用进行的任意偿付汇报有关信息。VDEF功能可“演变”以反映接收或提供给定的控制信息组的ー个或多个相继的參与者的要求。对于给定信息内容模型的VDE应用(例如采用CD-ROM分发娱乐产品、从Internet存放库中传递信息内容、或电子目录购物及广告、或上述活动的某些结合),參与者通常将能够安全地从可用的、可选的控制方法中作出选择,并应用相关的參数数据。其中,这种对控制方法的选择和/或对数据的提交将构成他们对控制信息的“贡献”。作为选择或补充,某些已经被明确地验证为可以与所述应用安全地互相协作和兼容的控制方法可以被操作员作为上述贡献的一部分独立地提交出来。在最普通的例子中,ー个通常经过验证的(经过验证可以用于给定的VDE管理和/或信息内容类别的)加载模块可以由许多或任意的运行于所述方案的节点中的VDE应用使用。这些參与者在他们被允许的限度之内可以独立地和安全地添加、删除和/或修改加载模块和方法的详细说明,并添加、删除或修改相关的信息。通常,创建VDE信息内容容器的參与者规定将要和/或可能应用到某些电子信息上的VDEF功能的一般特性。ー个VDE信息内容容器是ー个对象,它既包含信息内容(例如,诸如计算机软件程序、电影、电子出版物或參考材料之类的商业分发的电子信息产品、等等),又包含与该对象的使用相关的某些控制信息。创建的一方可以使ー个VDE容器对其他方可用。由VDE信息内容容器传递的控制信息,或者与VDE信息内容容器结合使用的可用控制信息(为商业信息内容分发目的)构成了电子信息内容的VDEF控制功能(以及任何相关的參数数据)。这些功能可以构成ー个或多个“被提议”的电子协定(以及/或者可供选择和/或与參数数据一起使用的协定功能),这些电子协定管理对上述信息内容的使用和/或使用结果,并且可以制定涉及多方的协定的条款和条件、以及他们各自不同的权利和义务。借助于由ー个或多个參与者-例如由一个从“上级”參与者收到控制信息的“下级”參与者-所接受的用户接ロ,VDE电子协定可以是明确的;或者它可以是单独声明其协定的各平等參与者之间的ー个进程。协定也可以从ー个自动化的电子进程得出,在该进程中,特定的VDE參与者控制信息对条款和条件进行“评估”,这些控制信息评估某些与信息内容相关联的和/或由其他參与者提交的其他电子条款和条件是否是可接受的(没有与可接受的控制信息标准冲突)。这种评估进程可以相当简单,例如它可以是ー个比较过程,用来确保条款和条件表中的部分或所有上级控制条款和条件与信息内容控制信息处理路径中的后续參与者所提交的控制信息之间存在兼容性,或者该进程可以是ー个更为精细的进程,它评估由两个或多个參与者提交的两个或多个控制信息集合的可 能結果,并且/或者在这些控制信息集合之间执行ー个协商进程。VDE还支持半自动化的进程,在该进程中,一个或多个VDE參与者借助用户接ロ通过接受和/或提议对特定控制信息来说是可接受的某些控制信息直接解决控制信息集合之间的“争端”,所述特定控制信息代表一个或多个其他団体的利益和/或对通过特定用户接ロ进行查询以便在某些替代选项和/或某些參数信息中作出选择的响应,如果对适用的上级控制信息来说是可接受的话,上述响应将被采纳。当另ー个參与者(而不是规则的第一个应用者)可能通过ー个协商进程接受、和/或添加、和/或修改“已就位”的信息内容控制信息时,在两方或多方之间的、涉及对该电子信息内容使用的ー个VDE协定可被创建出来(只要任何修改符合上级控制信息)。对涉及某些电子信息内容的条款和条件的接受可以是直接的和明确的,或者也可以作为对信息内容的使用结果而采用隐含的形式(取决于(举例来说)法律要求、以前对上述条款和条件的暴露、以及就位控制信息的要求)。VDEF功能可以被大量的參与者使用,VDE协议可以由大量的參与者达成,而这些VDEF功能不必直接与对某些特定电子信息的控制相关联。例如,特定的ー个或多个VDEF功能可以出现在某个VDE装置中,而特定的VDE协定可以在为某个信息内容分发应用进行注册的进程中达成,该协定由上述装置使用以便安全地控制VDE信息内容使用、审核、汇报和/或付款。类似地,当某个特定的用户和/或其设备向某个VDE信息内容或电子设备提供者注册以便成为ー个VDE装置和/或用户的时候,该特定參与者可以与该提供者达成ー个VDE用户协定。在这种情况下,可供用户VDE装置使用的VDEF就位控制信息可以要求(举例来说)在某些序列中要使用某些VDEF方法,以便能够使用所有和/或某些类型的电子信息内容和/或VDE应用。VDE确保进行给定交易所需的某些前提条件得到满足。这包括安全地执行所要求的任何加载模块以及使所要求的任何相关数据成为可用。例如(如以某个方法的形式的)所要求的加载模块和数据可能规定必须确认来自一个授权来源的充足信用可供使用。它可能进ー步要求特定的一个或多个加载模块在适当的时刻以多个进程的形式执行,以确保为了偿付对上述信息内容的使用而使用上述信用。某个信息内容提供者可能(举例来说)要求计量被制作出来供分发给雇员的给定软件程序拷贝的数目(该程序的一部分可以采用加密的形式被维护起来,并要求VDE装置的存在来运行)。这将要求在毎次为另ー个雇员制作ー个拷贝时,需要为该有所有权的产品的拷贝执行一个计量方法。同一提供者还可以根据用户从他们那里取得使用许可的不同有所有权的产品的总数收取费用,并且要求使用他们获取有所有权的产品使用许可的计量历史以维护上述信息。VDE提供了组织范围、団体范围、和/或普遍范围的安全环境,该安全环境的完整性由安全地受控于VDE參与者用户装置(节点)中的进程所确保。较佳实施例中的VDE装置可以含有软件的和防破坏硬件半导体元件两者。这种半导体方案至少部分地含有设计成可以保护执行VDE控制功能所用的信息和功能、使之免受破坏或被未经授权的观测的专用电路。本发明提供的专用安全电路含有至少ー个称为安全处理部件(STO)的专用的半导体配置和/或一个标准的微处理器、微控制器、以及/或者支持本发明的要求并且可起到STO那样的作用的其他处理逻辑。VDE的安全硬件可以安装 在(举例来说)传真/调制解调器芯片或芯片封装中、I/O控制器中、视频显示控制器中、以及/或者其他可用的数字处理配置中。预计本发明的VDE安全硬件功能的多个部分最終会成为计算机和各种其他电子设备的中央处理单元(CPU)的标准设计元件。将VDE功能设计到一个或多个标准的微处理器、微控制器、以及/或者其他数字处理部件中,通过对本发明所预期的交易管理用途以及其他的宿主电子设备功能都使用相同的硬件资源,可以从实质上降低涉及VDE的硬件成本。这意味着VDE SPU可以使用(共享)“标准”CPU的电路元件。例如,如果ー个“标准”的CPU可以运行于保护模式,并且作为受保护的活动可以执行有关VDE的指令,那么这种实施例可以向各种应用提供充分的硬件安全性,同时专用处理器的花费也将省去。在本发明的一个较佳实施例的控制下,当在(例如由保护模式微处理器支持的)保护模式下执行有关VDE的指令的时候,某些存贮器(如RAM、ROM、NVRAM)得到维护。这些存贮器与处理逻辑(如处理器)位于同一封装中。最好,该处理器的封装和存贮器采用可增强其防破坏能力的安全性技术进行设计。VDE系统的整体安全性的程度主要取决于VDE控制进程执行和相关数据存贮活动的防破坏程度和隐蔽程度。使用专用半导体封装技术可以显著地有助于提高安全性的程度。通过在ー个SPU封装中使用半导体存贮器(如RAM、ROM、NVRAM)、通过在将数据送入外部存贮器(如外部RAM封装)之前首先加密数据,并且首先解密CPU/RAM封装中被加密的数据然后才执行该数据,可以部分地实现上述半导体存贮器中的隐蔽和防破坏。当某些重要的有关VDE的数据存放在未经保护的媒介上时,例如保存在诸如随机访问存贮器、大容量存贮器、等之类的标准宿主存贮器中时,可以使用上述的进程。在这种情况下,VDESPU在把安全VDE执行的结果存放到外部存贮器之前首先对这些数据进行加密。按照本发明的VDE所提供的某些重要特性的综述VDE使用了作为一般用途的基础并向分布式电子商业方案提供充分的安全保护的多种功能。VDE实现了支持发散的、有竞争カ的业务伙伴关系、协定、以及不断演变的整体业务模型的电子商业市场。例如,VDE具有如下特性!通过使用安全的通信、存贮和交易管理技木,“充分”地阻止对电子信息和/或设备的未授权和/或无偿使用。VDE支持ー个模型范围内的、创建了単一安全“虚拟”交易处理和信息存贮环境的、分布式安全性实现。VDE允许分布式VDE装置安全地存贮和传送信息,并远程地控制执行进程以及在其他VDE装置中采用多种方式对电子信息进行的使用的特征。
!支持用于交易控制、审核、汇报、以及相关通信和信息存贮的、低成本、高效率以及有效的安全性体系结构。VDE可以使用涉及标记的安全性技术;解密密钥的时间衰老技术;对被存贮的控制信息(包括对该被存贮的信息进行有差别地标记以防止替换和破坏)和分发的信息内容两者都实行的隔离技术(以便对于许多信息内容应用使用ー个或多个唯一于特定VDE装置和/或用户的信息内容加密密钥);诸如三重DES之类的用于加密信息内容的私有密钥技木;诸如RSA之类的公开密钥技木-用来保护通信,并提供数字签名和鉴别的诸多优点以便将VDE配置中的节点安全地结合在一起;对重要交易管理可执行码的安全处理;将少量的、高度安全的、受硬件保护的存贮器空间与大得多的、“暴露的”、用来安全地存放(通常为加密的和加标记的)控制和审核信息的大容量介质存贮器空间结合在一起;VDE使用了分布在VDE实现方案中的某些或所有地点的专用硬件a)所述硬件控制下列的重要元素信息内容的准备(例如使该信息内容被放入ー个VDE信息内容容器中,并使信息内容控制信息与该信息内容相关联)、信息内容和/或电子设备使用审核、信息内容使用分析、以及信息内容使用控制山)所述硬件已经被设计为安全地处理加载模块控制活动,其中所述控制处理活动可以包括所要求的控制因素的ー个序列。
!支持对VDE电子信息产品(受VDE控制的信息内容)的信息子集的动态用户选择。该特性与下列的限制相反,这些限制是必须使用几个高层的、独立的、预定义的信息内容提供者信息増量,例如,必须选择整个信息产品或产品段以便获取或使用该产品或段的部分。VDE支持对各种増量(包括“原子的”増量、以及不同增量类型的组合)的计量和使用控制,这些增量由用户特别选择出来,它们代表一批预标识的ー个或多个增量(诸如预定义特性的一个或多个块,这些预定义特性的例子包括字节、图像、逻辑相关的块),这些预标识的增量构成了通常为任意的、但对于用户来说是逻辑的、“可传递”的信息内容。VDE控制信息(包括预算、定价、以及计量信息)可以被配置,以便它可以适当地专门应用于信息增量的不同的、变幻莫测的用户选择集合的特别选择,并且,价格标准可以至少部分地根据混合増量选择的数量和/或特性来制定(例如,特定数量的特定正文可意味着相关的图像可以折扣15%;“混合”増量选择中的更大数量的正文可意味着该图像被折扣20% )。所述用户选择的聚合信息増量可以反映用户对信息的实际要求,并且比限制为单ー的、或几种更高层次的(如产品、文件、数据库记录)预定增量要更为灵活。所述高层次増量可能含有用户不希望的大量信息,于是比用户所需要的信息子集(如果可以得到该子集的话)更为昂贵。总而言之,本发明允许包含在电子信息产品中的信息按照用户的规定提供。进行剪裁以适应用户的规定允许本发明向用户提供最大的价值,而这样做又产生了最大数量的电子商业活动。用户(举例来说)将能够定义从ー个可用信息内容产品的不同部分得到的信息内容的ー个聚集,但作为供用户使用的可传递物,所述信息内容聚焦是完全唯一的被聚焦增量。用户可以(举例来说)从ー个诸如參考文献之类的信息产品中的不同部分中选择特定数量字节的信息,将这些信息以未加密的形式拷贝到盘上,并且按照全部数量的字节加上对提供这些字节的“文章”的数量的附加计费而接受计帐。信息内容提供者可能适当地对这种用户定义的信息増量收取较少的费用,因为用户没有要求来自含有所需信息的所有文章的所有信息内容。这种定义用户所需信息增量的进程可能涉及人工智能数据库搜索工具,这种工具有助于从ー个信息产品中定位信息的最相关部分,并使得描述搜索条件命中的信息被自动显示给用户,以便用户进行选择或自动抽取,以及将上述部分传递给用户。VDE还支持种类繁多的预定义增量类型,包括!字节,!图像,!对应于声音或视频的一段时间之内的信息内容,或任何可以由信息内容提供者数据映射方法标识的其他増量,例如!句子,!段落,!文章,
!数据库记录,以及!代表逻辑相关信息增量的字节偏移量。对于任何同时存在的预定义增量类型来说,只要对于给定类型的信息内容和业务模型是现实的,都将得到VDE的支持。!在用户的站点安全地存放反映多种不同信息内容段类型的用户使用的可能非常详细的信息,并在廉价的、“暴露的”宿主大容量存贮器中以加密数据的形式维护详细信息,同时在高度安全的专用VDE装置非易失性存贮器(如果该类型存贮器可用的话)中维护概要信息供安全性测试用。!支持用于被分发的电子信息的路径和/或与信息内容使用相关的信息的可信处理链功能。该链可以(举例来说)从信息内容制作者延伸到分发者、再分发者、客户用户,并且可以提供一条路径,以供把相同的和/或不同使用信息安全地汇报给诸如ー个或多个独立票据交換所之类的ー个或多个审核者,然后把这些信息送回包括信息内容制作者在内的信息内容提供者。用于特定信息内容处理以及相关信息内容控制信息和汇报信息处理的相同和/或不同路径也可以用作用来对电子信息内容和/或设备使用进行电子付款处理(本发明中的付款以管理信息内容为其特征)的一条或多条路径。这些路径用来输送所有或部分信息内容和/或与信息内容相关的控制信息。信息内容制作者以及其他提供者可以规定必须部分或完全用来传播采用商业方式分发的有所有权的信息内容、信息内容控制信息、付款管理信息内容、以及/或者相关使用汇报信息的路径。由信息内容提供者规定的控制信息也可以规定哪些特定的參与者必须或可以(包括(举例来说)可以从中作出选择的ー组合格參与者)处理被输送的信息。它还可以规定必须或可以使用何种传送装置(例如电信载波或介质类型)以及传输集线器(hub)。!支持灵活的审核机制,例如使用“位图计量器”,这可以带来高效的运行和呑吐率,并允许采用可行方式对涉及以前的使用活动和相关模式的信息进行保存和迅速取回。这种灵活性适用于种类多祥的计帐和安全性控制策略,例如!提高价格(例如成套购买)!价格折扣(包括数量折扣)!与计帐相关的时间段变量,例如根据以往购货的计时对新的购货活动进行折扣!根据经过一段时间段使用的电子信息的不同的、逻辑相关的单元的数量的安全性预算使用位图计量器(包括“常规”和“宽”位图计量器)记录对信息的使用和/或购买,同时结合本发明的较佳实施例中的其他元素,能够唯一地支持对使用历史的有效维护,这些使用历史涉及(a)租借,(b)固定费用的许可使用或购买,(C)根据历史使用变量的许可使用或购买折扣,(d)向用户所做的汇报,汇报方式的特点是允许用户确定某一特定条目是否被获取,或者在特定的时间段内被获取(不需要使用对于这些应用来说极为低效的传统数据库机制)。位图计量器方法记录某些活动,这些活动涉及电子设备、所有物、对象、或它们的部分、和/或独立于特定所有物、对象等的管理活动,这些活动由用户和/或电子设备执行,这样信息内容和/或设备的提供者和/或管理活动的控制者可以判断在过去的某些时刻或某段时间内是否发生了某个活动(例如对商业电子信息内容产品和/或设备的某种使用)。此后,这种判断可以用作信息内容和/或设备的提供者和/或管理活动的控制者的定价和/或控制策略的一部分。例如,信息内容提供者可以决定对访问某一所有物的一部分只收费一次,而不管用户对该有产权物的那一部分访问了多少次。!支持“可发布的”信息内容,也就是说,该信息内容可以由ー个信息内容提供者提供给ー个最終用户,然后该最终用户拷贝该信息内容,并将它传递给其他的最終用户方, 而不必要求信息内容提供者直接參与进来以注册和/或初始化该信息内容供后续使用。该信息内容以“移动对象”的形式在“(传统分发)通道外”传送。移动对象是安全地携帯至少某些许可信息和/或使用这些对象所要求的方法(如果所要求的方法将在或可以直接对目的地VDE装置中可用的话,那么这些方法无须由移动对象携帯)的容器。某些移动对象可以在给定VDE配置中的某些或所有VDE装置中使用,因为它们可以使信息内容使用活动所需的信息内容控制信息成为可用信息,而不必要求商业VDE价值链參与者或数据安全性管理员(例如ー个控制官员或网络管理员)參与进来。只要用户VDE装置安全子系统中有移动对象控制信息要求(例如具有从授权信用提供者得到的足量财务信用),那么接收方团体可以无须与一个远程VDE授权机构建立连接(直到预算被用光,或信息内容使用报告时间已到),就可以使用至少某些移动对象信息内容。移动对象可以在“通道外”移动,这种方式允许(举例来说)用户将其中的内容为ー个软件程序、电影或游戏的移动对象的拷贝送给邻居,而该邻居如果能够得到适当的信用(例如在诸如VISA或AT&T之类的票据交換所开立的电子票据交換所帐户)的话便可以使用该移动对象。类似地,通常可以从Internet或类似网络的存放库中得到的电子信息也可以以移动对象的形式提供出来,该移动对象可以被ー个初始下载者下载并接着对之进行拷贝,然后由他传递给其他參与者,而这些參与者又把该对象传给另外的參与者。!根据个人和装置、用诸如类别之类的分类、以及用功能和使用客户标识级别层次的层次性标识(例如客户组织ID、客户部门ID、客户网络ID、客户项目ID、以及客户雇员ID、或上述ID的任意适当子集)而提供了十分灵活和可扩展的用户标识。!提供了通用的、安全的、基于部件的信息内容控制和分发系统,该系统起基础交易操作系统环境的作用,该基础交易操作系统环境使用了经过精心編制用于交易控制和审核的可执行码段。这些码段可以被重用以便优化可信的、分布式交易管理方案的创建和运行过程中的效率。VDE支持以“原子”加载模块和相关数据的形式提供该可执行码。许多这种加载模块固有地是可配置的、可聚合的、可移植的、以及可扩展,并且可以在VDE交易管理操作环境中作为控制方法単独地或结合(相关数据)地运行。通过部分地使用上述通用交易管理基础来安全地处理与VDE交易相关的控制方法,VDE可以满足种类繁多的电子商业和数据安全性应用的要求。控制方法主要通过使用一个或多个所述可执行的、可重用的加载模块代码段(通常处于可执行目标部件的形式)以及相关数据来创建。控制方法的部件特性允许本发明作为ー个高度可配置的信息内容控制系统而有效地运行。在本发明的控制下,信息内容控制模型可以在一定限度内被反复地和异步地加工,或者被更新以便满足VDE參与者的需求,所述的限度是上述加工和更新活动要遵守由VDE应用施加的限制-如果有这些限制的话,例如,是否新的部件组是可以接受的,如果是的话,对于该部件组存在哪些验证要求,或者是否任意的或特定的參与者可以通过从可选的控制信息(许可记录)控制方法中进行选择而加工任意的或特定的控制信息。上述反复的(或并发的)多个參与者进程将作为安全控制信息部件(诸如加载模块和/或方法之类的可执行码和/或相关数据)的提交和使用的结果而发生。这些部件可以通过对控制信息产生影响的每个VDE參与者VDE装置之间的安全通信被独立地提供出来,并且可能要求验证以便给定应用对它们进行使用,其中,这种验证由ー个管理VDE配置的验证服务管理者提供,该管理者确保设备和被提交控制方法之间安全的可互相协作性以及/或者可靠性(如交互作用所引起的错误(bug)控制)。VDE电子设备交易操作环境的交易管理控制功能与非安全交易管理操作系统功能交互作用,以正确地控制与电子信息安全性、使用控制、审核和使用汇报有关的交易进 程和数据。VDE提供这种功能以管理涉及安全VDE信息内容和/或设备控制信息执行和数据存贮的资源。!便利在VDE中对应用和/或系统功能的创建,并便利将按照本发明所创建的加载模块和方法向电子设备环境的集成。为了实现该功能,VDE使用了一个应用程序员接ロ(API)和/或一个带有内置功能的交易操作系统(例如R0S)编程语言,上述两者都支持对功能的使用,并可以用来有效地和紧密地将VDE功能集成进商业和用户应用中。!支持用户交互作用,这个功能借助了 (a) “弹出式”应用,该应用(举例来说)向用户提供消息,并允许用户采取诸如同意某个交易之类的特定动作;(b)独立VDE应用,该应用向用户活动提供管理环境,所述用户活动的例子包括对下列活动进行规定的最終用户优选规定说明限制毎次交易、每单位时间、和/或每次会话的价格,访问有关以前交易的历史信息、审查诸如预算、费用之类的(例如详细的和/或概要的)财务信息以及使用分析信息;以及(c)VDE感知型应用,这些应用作为使用了 VDE API和/或交易管理(例如基于ROS的)编程语言的结果把对VDE的“感知”嵌入到商业或内部软件(应用程序、游戏、等等)中,以便VDE用户控制信息和服务可以被无缝地集成到这些软件中,并且可以被用户直接访问,因为底层功能已经被集成进商业软件本来的设计中。例如,在ー个VDE感知型字处理器应用中,用户可以将ー个文件“打印”到ー个VDE信息内容容器对象中,在此过程中,该用户通过从一系列适用于不同用途的不同菜单模板(例如,ー个用于组织内部用途的机密的备忘录模板可以将功能限制为“保存”,即制作该备忘录的电子拷贝)中进行选择而应用特定的控制信息。!使用“模板”来简化对本发明中涉及特定产业或商业的配置功能的进程。模板是本发明下的应用或应用后加部分。模板支持对涉及特定信息内容类型、分发方法、定价机制、用户与信息内容和/或管理活动之间的交互作用、以及/或者诸如此类等等的标准进行有效的规定和/或操作。在本发明所支持的范围广阔的功能和配置的前提下,将配置的可能范围减小到适用于给定业务模型的可管理子集的范围内允许“典型”用户容易地使用本发明的全面可配置能力,否则这些用户将负担复杂的编程和/或配置设计责任。模板应用还可以通过减少与提供独立开发加载模块相关的风险-包括独立模块和应用之间的代码交互作用的不可预测方面,以及减少涉及在这些模块中可能出现病毒的安全性风险,从而确保与VDE有关的进程是安全的并且是最优地无错的。通过使用模板,VDE将典型用户的配置责任减少到适当集中的一系列活动,包括通过菜单选项选择方法类型(如功能),这些菜单选项的例子包括多重选择、图符选择、和/或对方法參数数据的提示(例如标识信息、价格、预算限制、日期、时间段、对特定信息内容的访问权利、等等),上述菜单选项为控制信息的目的提供了适当的和/或必要的数据。通过将典型(非编程)用户的活动限制到一般配置环境(模板)已经经过预置成反映了对应于该用户、某个信息内容或其他业务模型的一般性要求的配置活动的ー个有限子集中,可以非常实际地限制涉及信息内容容器化(包括在信息内容上加入初始控制信息)、分发、客户管理、电子协定实现、最終用户交互作用、以及票据交換所活动-包括相关的互相协作问题(例如由安全性、操作系统、和/或验证的不兼容性所产生的冲突)-的困难。使用适当的VDE模板可以向用户保证他们的有关信息内容的VDE容器化、提供其他控制信息、通信、加密技术和/或密钥、等等活动将遵从他们的分布式VDE配置的规范。VDE模板构成了预置的配置,配置通常可以是可重新配置的, 以便允许产生新的和/或被修改的模板,这些模板在演变的过程中反映出对新产业的适应性,或者反映出一个现有产业的演变或其他变化。例如,模板的概念可以用来将独立的、全面的框架提供给某些组织和个人,这些组织和个人创建、修改、销售、分发、消费、和/或使用电影、声音录制品和实况表演、杂志、基于电话的零售、目录、计算机软件、信息数据库、多媒体、商业通信、广告、市场调查、通知、游戏、向数控机床提供的CAD/CAM服务、等等诸如此类。在围绕上述模板的上下文变化或演变的时候,按照本发明所提供模板应用可以被修改,以满足上述变化,从而适应更大范围的应用,或适应更集中的活动。一个给定VDE參与者可以带有大量可用的、适用于不同任务的模板。将信息内容放入其初始VDE容器的參与者可以按照与该信息内容相关的信息内容和/或业务模型的类型的不同而带有多种不同的、可配置的模板。一个最终用户可以带有不同的、可配置的模板,这些模板可以适用于不同的文件类型(电子邮件、保密内部文件、数据库记录、等等)和/或用户的子集(将控制信息的不同的一般集合应用到用户的不同群体,例如,选择一系列可以按照某种预定的准则使用某个文件的用户)。当然,在某些情况下,模板可以带有固定的控制信息并且不向用户提供选项或參数数据项。!支持大量的、不同的、控制对电子信息内容的同一特定拷贝的使用和/或审核、以及/或者区分地控制对同一电子信息内容的不同拷贝(出现)的使用和/或审核的控制模型。用于计帐、审核、和安全性的不同模型可以被应用到同一电子信息内容,并且上述不同的控制信息集合可以为控制的目的使用相同的或不同的电子信息控制增量粒度。这包括对于预算和审核使用支持可变的、适用于多种预定义的电子信息增量的控制信息,包括对于给定电子信息使用多种不同的预算和/或计量增量,可以传递上述给定信息用于计帐的度量単位、信用限制、安全性预算限制和安全性信息内容计量增量、以及/或者市场调查和消费者描述的信息内容计量增量。例如,对于ー个带有科学文章数据库的CD-ROM光盘,可以部分地按照基于解密字节的数目、含有所述解密字节的文章的数目的ー个公式对之进行计帐,同时安全预算可能把对该数据库的使用限制为该数据库安装所在的广域网中的每个用户每月对该数据库的使用不超过数据库的5%。
!提供机制以便通过充分安全的信息内容和信息内容控制信息处理链并通过对该信息内容的各种形式的使用而持续地维护可信的信息内容使用和/或汇报控制信息,其中所述的控制持续性可以在上述使用中一直保持。控制的持续性包括从ー个VDE容器对象中抽取信息的能力,其方式是创建ー个新容器,该容器中的信息内容至少部分地受到安全保护并且该容器既含有被抽取出的信息内容又含有至少部分的控制原始容器的信息的控制信息,并且/或者该容器中的信息内容至少部分地由原始容器中的控制信息为上述目的而产生,并且/或者VDE装置控制信息规定应该持续不变并且/或者控制对新创建容器中的信息内容的使用。如果容器被“嵌入”到另ー个受VDE管理的对象(例如ー个含有大量嵌入VDE容器的对象,而其中的每个容器都含有从不同来源获取(抽取)的信息内容)中,那么上述控制信息可以继续管理对该容器信息内容的使用。!允许用户、其他价值链參与者(例如票据交換所和政府机构)、和/或用户组织规定涉及他们对电子信息内容和/或设备的使用的优先选择或要求。如果上级控制信息允许的话,诸如使用商业分发的信息内容(游戏、信息资源、软件程序、等)的最終用户消费者之类的信息内容用户可以规定预算和/或其他控制信息以便管理他们自己的、对信息内容的内部使用。这些使用包括(举例来说)用户为电子文件设置在ー个他希望在没有事先明 确的用户授权的前提下支付的价格上的限制,并且该用户创建他或她允许被收集的计量信息的特性(隐私保护)。这包括向信息内容用户提供手段以保护从他们对VDE装置和信息内容的使用和/或设备使用审核中获得的信息的私有性。特别地,VDE可以防止涉及參与者对电子信息内容的使用的信息在没有得到该參与者默许或明确同意的情况下被提供给其他參与者。!提供允许控制信息至少部分地按照被独立地、安全地传递的其他控制信息而“演变”并被修改的机制。所述控制信息可以包括已被验证为对于应用于特定VDE应用、应用类别、和/或VDE分布式方案来说是可接受的(如可靠的和可信的)可执行码(如加载模块)。一旦信息内容控制信息(加载模块和任何相关数据)流通到控制信息处理路径中的ー个或多个VDE參与者的时候,控制信息的上述修改(演变)便可以发生,或者一旦收到来自ー个VDE參与者的控制信息的时候,上述修改(演变)发生。信息内容控制信息处理路径中的处理者在他们中的每ー个所授权的限度内可以创建、修改、和/或提供与电子信息内容和/或设备的控制、分析、偿付、和/或使用汇报(例如,这些与受VDE控制的有所有权信息内容的使用相关)相关的许可、审核、付款和汇报控制信息。当信息内容控制信息已经在VDE信息内容控制信息处理序列中从ー个參与者流到另ー个參与者的时候,(从ー个除了对于验证来说为不独立之外的独立来源)独立传递的、至少部分安全的控制信息可以用来安全地修改信息内容控制信息。该修改过程使用了(举例来说)安全地在VDE安全子系统中处理的ー个或多个VDE部件组。在一个可选的实施例中,一个上级參与者可以在通常以VDE管理对象的形式从ー个“下级”參与者收到被提交的、至少部分地受到安全保护的控制信息之后,通过使用他们的VDE装置安全子系统来修改控制信息。通过VDE路径传递的控制信息可以代表ー个混合的控制集合,因为它可以含有在通过控制信息处理者序列时没有发生变化的控制信息、被允许修改的其他控制信息、以及代表新控制信息和/或中间数据的其他控制信息。该控制集合代表了被传播信息内容的控制信息的演变。在本例中,当VDE信息内容容器的整个信息内容控制集合安全地(例如,以加密的形式通信并使用鉴别和数字签名技木)至少部分地传递到一个新參与者的、安全地收到和处理所提出的控制信息的VDE装置吋,这些控制集合正在“演变”。借助涉及两个控制信息集合的协商进程,收到的控制信息可以与就位控制信息(通过使用接收方的VDE装置安全子系统)集成在一起。例如,在信息内容提供者的VDE装置的安全子系统中对特定VDE信息内容容器的信息内容控制信息的修改可以是加入了财务信用提供者提供的所要求的控制信息。所述信用提供者可能已经使用了他们的VDE装置准备了所述的所要求的控制信息,并安全地将该信息传送给了所述信息内容提供者。加入所述的所要求的控制信息使信息内容提供者允许信息内容最終用户使用信用提供者的信用以偿付该最终用户对受VDE控制的信息内容和/或设备的使用-只要所述最终用户在所述财务信用提供者那里有ー个信用帐户并且所述信用帐户具有充足的可用信用。类似地,信息内容提供者也可以安全地接收要求支付税款和/或提供由电子商业活动产生的收入信息的控制信息。该控制信息可以(举例来说)从ー个政府机构收到。法律可能要求信息内容提供者将上述控制信息插入到对应于商业分发的信息内容和/或涉及设备使用的服务的控制信息中。对提议的控制信息的使用要在由上级控制信息允许的限度内,并且该限度由满足每ー个集合(接收方的集合和被提议的集合)所规定的优先级的任意协商折衷方案所決定。VDE还适应专门适用于VDE信息内容处理參与者网络中的不同參与者(如个体參与者和/或參与者类别(类型))的不同控制方案。 !支持用于同一信息内容所有权和/或所有权部分的、多个并存的控制模型。这个特性支持(举例来说)依赖于电子商业产品信息内容分发的并发业务活动,例如获取详细市场调查信息和/或支持广告活动,这两种活动都可以增加收入,并给用户带来较低的信息内容成本而给信息内容提供者带来更高的价值。在控制信息的决定或允许下,可以采用不同的方式将上述控制信息和/或整体控制模型应用到信息内容、汇报、付款和/或相关控制信息处理路径中的參与者。VDE允许把不同信息内容控制信息应用到与同一和/或不同信息内容和/或设备使用相关的活动中,并且/或者应用到信息内容和/或设备使用模型中的不同參与者,这样以来,不同的參与者(或(举例来说)VDE用户的类别)将受到管理他们对电子信息内容的使用的不同控制信息的控制。例如,基于作为受VDE控制的信息内容对象的分发者的或作为该信息内容的最終用户的分类的不同控制模型可以产生投入应用的不同预算。作为另ー种选择,(举例来说)一个分发者可以有权(从(举例来说)某个光盘上提供的公用信息内容集合中)分发与另一个分发者不同的有产权物集合。与“典型”的信息内容用户相比,最終用户的个人和/或类别或其他分类可以有不同的花销。(例如,可对学生、老年公民、与/或信息内容的贫穷公民提供相同或不同的折扣)!支持通过从所述最终用户和/或提供者向ー个政府机构转移信用和/或电子货币而由消费者对信息内容和/或设备的使用中、以及/或者提供者和/或最終用户支付的税款中产生的提供者收入信息,作为上述被接收信息的结果,将“自动”出现上述转移过程,该过程导致生成一个其信息内容包括反映了安全的、可信的收入概要信息和/或详细用户交易记录的消费者信息内容使用信息的VDE信息内容容器(详细的程度可能取决于(举例来说)交易的类型或規模-根据法律規定,涉及向消费者支付的银行利息或大宗(例如超过10000美元)转移的信息可以被自动地报告给政府)。这种涉及可征税的事件和/或货币的、以及贷方货币转移的概要和/或详细信息放在ー个VDE容器中可以通过汇报和/或付款路径传递给政府。这种容器还可以用于其他涉及VDE的信息内容使用汇报信息。
!支持信息内容控制信息沿信息内容控制信息处理的不同分支流动,以便在本发明的较佳实施例控制下支持对受VDE控制的信息内容所进行的多祥化的、受控制的分发。这允许不同的參与者以不同的(可能是竞争性的)控制策略使用相同初始电子信息内容。在这种情况下,一个首先对信息内容设置控制信息的參与者可以规定某些控制假设,而这些假设将演变成更为专门的和/或充分的控制假设。这些控制假设可以在分支序列在一旦信息内容模型參与者提交信息内容控制信息时而发生变化(举例来说)以便用来与“就位”信息内容控制信息“协商”的过程中演变。这将产生新的或被修改的信息内容控制信息,并且/或者这将涉及选择特定的ー个或多个已经“就位”的信息内容 使用控制方法,就位的可选方法,以及涉及对相关控制信息參数数据的提交。应用于相同电子所有权信息内容和/或设备的不同拷贝的不同控制信息集合的上述形式的演变是VDE控制信息通过整条处理和控制路径的不同分支向下“流动”,并且在其通过这些不同路径分支向下分散的过程中受到了不同修改的結果。本发明的上述支持用于VDE控制信息和VDE管理的信息内容流动的多个路径分支的功能允许存在这样的电子商业市场,该电子市场支持分散的、竞争性业务伙伴关系、协定、以及正在演变的整体业务模型,该业务模型可以使用被合并(举例来说)到代表至少部分地不同的具有竞争性的产品的信息内容的不同集合中的相同信息内容特性。!允许用户通过使用该用户的VDE装置中的安全子系统安全地抽取包含在VDE信息内容容器中的至少一部分信息内容,以便产生ー个新的、安全的对象(信息内容容器),这样,被抽取的信息在整个抽取进程中维护于一种始终安全的方式中。包含上述被抽取信息内容的新VDE容器的形成应该产生与源VDE信息内容容器的和/或适当的本地VDE装置安全子系统的控制信息相一致的或由上述控制信息所规定的控制信息。诸如至少部分地从父(源)对象的控制信息导出的安全性或管理信息之类的相关控制信息通常将被自动地插入到含有被抽取出来的VDE信息内容的ー个新VDE信息内容容器对象中。该进程的发生通常受到父对象的控制框架和/或执行于用户VDE装置安全子系统中的VDE装置控制信息的控制(同时(举例来说)上述被插入控制信息的至少一部分被安全地以加密形式存放在一个或多个许可记录中)。在一个可选实施例中,应用于被抽取信息内容的导出的信息内容控制信息可以部分地或全部地从存放在远离执行上述安全抽取过程的VDE装置的地方的-例如存放在一个远程服务器地点中的-信息内容控制信息中导出或采用该控制信息。对于用于大多数VDE管理的信息内容的信息内容控制信息来说,本发明的特性允许该信息内容的控制信息(a) “演变”,例如信息内容的抽取者可以在信息内容的就位控制信息允许的限度内添加新控制方法和/或修改控制參数数据-例如依从VDE应用的方法。所述的新控制信息可能规定(举例来说)谁可以使用上述新对象的至少一部分,以及/或者如何使用所述被抽取信息内容的所述至少一部分(例如,何时可以使用所述的至少一部分,或者可以使用哪一部分或多少部分);(b)允许用户把诸如抽取者创作的材料和/或从ー个或多个其他VDE容器对象中抽取出来的信息内容(例如图像、视频、声音和/或正文)之类的另外的信息内容与所述被抽取信息内容的至少一部分合并起来,供直接放入新容器中;(C)允许用户安全地编辑所述信息内容的至少一部分,同时将所述信息内容以安全形式维护于所述信息内容容器中。(d)将被抽取的信息内容添加进ー个已存在的VDE信息内容容器对象中,并加上相关的控制信息-在上述情况下,用户添加的信息可以受到安全保护,例如被部分地或整体地加密,并且可以受到不同于施加到以前就位对象信息内容的使用和/或审核控制信息的控制。(e)在对被抽取对象的ー个或多个部分进行了各种形式的使用之后,保留了对所述部分的VDE控制,例如,以安全存贮的形式维护信息内容同时允许在屏幕上“暂时”显示信息内容,或者允许以安全的形式维护软件程序,但是暂时地解密所述程序的任何被加密的执行部分(所述程序的全部或仅仅一部分可被加密以便保护该程序)。通常,本发明的抽取特性允许用户聚合和/或传播和/或使用从信息内容容器源中抽取出来的、被保护的电子信息内容,同时维护安全的VDE功能,从而保护了经过各种信息内容使用进程之后提供者在所述信息内容信息中的权利。 !支持VDE控制的信息内容的部分的聚合,这些部分受到不同的VDE信息内容容器控制信息的控制,其中,各个所述的信息内容可以已经被独立的、不同的信息内容提供者从远离执行上述聚合的用户的ー个或多个不同的地点提供出来。在本发明的较佳实施例中,上述聚合可以涉及对于各个所述部分的每一部分都保留控制信息(如诸如加载模块之类的可执行码)的至少一部分,例如,将某些或全部的上述部分作为VDE信息内容容器对象独立地嵌入到整体VDE信息内容容器中,或将某些或全部的上述部分直接嵌入到ー个VDE信息内容容器中。在后一种情况下,所述信息内容容器的信息内容控制信息可以(根据所述部分在聚合之前的原始控制信息要求)向各个上述部分施加不同的控制信息集合。每个上述嵌入的VDE信息内容容器都可以带有采用ー个或多个许可记录形式的自身控制信息。作为另ー种选择,与电子信息内容的各种聚合部分相关的控制信息之间的协商可以产生控制某些或所有上述聚合信息内容部分的控制信息集合。由该协商产生的VDE信息内容控制信息可以是统一的(例如带有同样的加载模块和/或部件组),并且/或者它可以将不同的上述信息内容控制信息施加到构成了 VDE控制的信息内容的聚合的两个或多个部分,这些控制信息的例子有不同的计量、预算、计帐、和/或付款模型等。例如,可以通过票据交换所自动为信息内容的使用付款,或者可以为不同的部分直接向不同的信息内容提供者付
示!K。!允许对电子信息内容和/或电子设备的使用进行灵活的计量,或者对有关上述使用的信息的其他收集。本发明的ー个特性使得上述计量控制机制灵活性支持并存的、范围广泛的(a)有关电子信息内容使用的不同參数;(b)该电子信息内容的不同增量单位(字节、文件、特性、段落、图像、等等)和/或其他组织;以及/或者(C)用户和/或VDE装置类型的不同类别,例如客户组织、部门、项目、网络、和/或単独用户。本发明的该特性可以用于信息内容安全性、使用分析(例如市场调查)、和/或基于对VDE管理的信息内容的使用和/或暴露的付款。该计量是ー个用于确保对信息内容版税、许可使用、购买、和/或广告进行付款的灵活基础。本发明的ー个特性提供了支持灵活的电子货币和信用机制的付款手段,包括安全地维护反映涉及对该货币或信用的使用的审核跟踪的能力。VDE支持客户组织控制信息的多个不同层次,其中,组织的客户管理员分发规定了部门、用户和/或项目的使用权利的控制信息。类似地,一个部门(分部)网络经理可以对部门网络、项目和/或用户等起分发者(分发预算、访问权利等)的作用。!提供用于范围从廉价的消耗装置(例如电视机顶置设备)和专业设备(以及掌上型PDA)到服务器、主机、通信交換机等的电子设备的、可伸縮的、可集成的、标准化的控制装置。本发明的上述可伸縮的交易管理和/或审核技术将产生在电子商业和/或数据安全性环境中起作用的各电子设备之间的更有效和更可靠的互相协作性。对于在世界范围内发送实际商品而言,标准化的实际容器已经是必不可少的了,它允许这些实际容器普遍地与卸载设备相“吻合”、有效地利用卡车和火车的空间、并以有效的方式容纳已知的物体组(例如箱子),于是,正如本发明所提供的那样,VDE电子信息内容容器可以在世界范围内有效地移动电子信息内容(例如商业发行的 所有物、电子货币和信用以及信息内容审核信息)以及相关的信息内容控制信息。对于有效的电子商业来说,互相协作性是基础。VDE基础、VDE加载模块、和VDE容器的设计是允许VDE节点操作环境与范围广泛的电子设备之间兼容的重要特性。(举例来说)基于加载模块的控制方法既能在诸如带有极少量读/写存贮器的环境之类的、非常“小”的并且廉价的安全子系统环境中执行同时也能在可能用于更昂贵的电子设备中的大容量存贮器安全子系统中执行的能力支持跨越许多机器的一致性。这种一致的VDE操作环境-包括其控制结构和容器体系结构-允许在范围广泛的设备类型和宿主操作环境中使用标准化VDE信息内容容器。由于VDE功能可以作为扩展、补充和/或修改而被无缝地集成至电子设备和宿主操作系统的基本功能,因此,VDE容器、信息内容控制信息、以及VDE基础将可以与许多设备类型一道工作,同时这些设备类型将可以一致地和有效地解释和加强VDE控制信息。通过上述集成,用户也可以从与VDE许多功能的透明交互作用中得到好处。与运行于宿主电子设备中的软件进行的VDE集成支持多种功能,如果不进行该集成这些功能将得不到或较不安全。通过与ー个或多个设备应用和/或设备操作环境集成,本发明的许多功能都可以作为给定电子设备、操作系统、或设备应用的内在功能被提供出来。例如,本发明的特性包括(a)部分地扩展和/或修改宿主操作系统使之具有诸如支持安全交易处理和电子信息存贮之类的VDE功能的VDE系统软件;(b)部分地代表与VDE操作相关联的工具的一个或多个应用程序;以及/或者(c)要集成到应用程序中的代码,其中,该代码将引用加入到VDE系统软件中以集成VDE功能并使该应用成为VDE感知型应用(例如字处理器、数据库检索应用、电子表格、多媒体展示创作工具、电影编辑软件、诸如MIDI应用之类的音乐编辑软件、诸如与CAD/CAM环境以及NCM软件等相关联的控制系统之类的机器人学控制系统、电子邮件系统、电话会议系统、以及包括上述的组合的其他数据创作、创建、处理、和/或使用应用)。上述的(也可以实现于固件或硬件中的)一个或多个特性可以结合诸如微控制器、微处理器、其他CPU或其他数字处理逻辑之类的VDE节点安全硬件处理功能一起使用。!使用审核协调和使用模式评估进程。这些进程通过某些通常基于网络的交易处理协调和阈值检查活动来评估是否发生了 VDE系统的安全性的某种破坏。这些进程在VDE控制的信息内容的最終用户VDE地点的远方通过评估(举例来说)给定VDE装置购买和/或请求得到电子所有物的活动而执行。用于该协调活动的应用包括评估远程交付的VDE控制的信息内容的数量是否对应于用于对该信息内容的使用的财务信用和/或电子货币的数量。一个信托组织可以从信息内容提供者那里获取与提供给ー个给定VDE装置和/或用户的信息内容的价格相关的信息,并将该信息内容价格与所述装置和/或用户的信用和/或电子货币付款相比较。被交付信息内容的数量与付款的数量之间不一致可以证明和/或表明(根据情况的不同)本地的VDE装置是否已经至少在某种程度上受到了破坏(例如某些重要的系统安全性功能,比如通过解开一个或多个密钥而破解了至少对安全子系统的和/或VDE控制的信息内容的一部分的加密)。判断是否出现信息内容使用的异常模式(例如不同寻常的大量要求)、或者ー个或多个VDE装置和/或用户(例如其使用活动的聚合模式值得怀疑的相关的用户组)在特定的时间段内要求向他们传送某些类型的VDE控制信息在判断是否上述ー个或多个装置的安全性受到了破坏,并且/或者由上述的ー个或多个用户破坏等方面也可以是有用的,特别是结合评估由ー个或多个VDE用户和/或装置的某些和/或所有其电子信用和/或货币提供者提供给这些用户和/或装置的电子信用和/或货币与由这些用户和/或装置提交的付款相比的结果一起使用上述判断过程将更为有用。!支持实际增加了“破坏”系统安全性所需时间的安全技术。这包括使用ー批将由破坏本发明的安全性特性的某些方面而引起的危害降至最低的技木。!提供了构成了本发明的可信的/安全的、普遍的、分布式的交易控制和管理系统的部件的一系列创作、管理、汇报、付款、和计帐工具用户应用。这些部件支持与VDE相关的对象创建(包括为信息内容设置控制信息)、安全对象分发和管理(包括分发控制信息、与财务相关的和其他使用分析)、客户内部VDE活动管理和控制、安全性管理、用户接ロ、付款、以及与票据交换所有关的功能。这些部件被设计为支持高度安全的、统ー的、一致的、和标准化的处理、汇报、和/或付款的电子商业和/或数据安全性路径、信息内容控制和管理、以及人的因素(例如用户接ロ)。!支持大量票据交換所的操作-包括财务和用户票据交換所活动,例如由大组织中的客户管理员为帮助该组织对VDE配置的使用而执行的活动,所述的活动包括使用信息分析、以及对雇员个人或组的VDE活动的控制,例如规定在VDE控制下对客户人员的某些组和/或个人可用的预算和使用权利特性,而这要受到由客户管理员提交的控制信息的控制信息系列的控制。在票据交換所中,ー个或多个VDE装置可以与可信的分布式数据库环境(该分布式数据库环境可包括并发数据库处理装置)一起操作。财务票据交換所通常在其所处位置接收安全传递的信息内容使用信息、以及用户请求(诸如对另外的信用、电子货币和/或更高信用限额的要求)。使用信息的汇报和用户请求可以用于支持与电子货币、计帐、付款和信用有关的活动、以及/或者用户轮廓分析和/或更广泛的市场调查分析和销售(综合的)报告的产生,或其他至少部分地从所述使用信息中导出的信息。可以通过到VDE装置安全子系统的安全的、经过鉴别的加密通信将上述信息提供给信息内容提供者或其他方面。票据交換所处理装置通常连接到专用的I/O装置,该专用I/O装置具有可用于票据交換所与其他的路径參与者之间的安全通信的高速远程通信交換装置。!安全地支持VDE装置上和VDE装置之间的电子货币和信用使用控制、存贮、和传送。VDE进ー步支持包括(例如采用电子货币或信用形式的)付款代价券以及其他付款信息在内的电子货币和/或信用信息通过付款路径的自动化传递,所述的路径可以是也可以不是与信息内容使用信息汇报路径相同的路径。该付款可以被放入ー个由VDE装置为响应规定按照使用VDE控制的电子信息和/或设备而产生的应付款项数额从电子信用或货币帐户中“提取”信用或电子货币的控制信息而自动创建的VDE容器中。然后付款信用或货币可 自动地以被保护(至少被部分地加密)的形式通过ー个VDE容器的电信而被传送到诸如票据交換所、原始所有的信息内容或设备的提供者、或该提供者的ー个代理(而不是ー个票据交換所)之类的ー个适当參与者。付款信息可以与也可以不与诸如计量信息之类的相关信息内容使用信息一起包装在所述VDE信息内容容器中。本发明的ー个方面还允许将涉及货币使用的某些信息规定为对特定、某些或所有VDE參与者不可得到的(从“有条件”到完全匿名的货币),并且/或者还可以控制诸如涉及货币和/或信用使用的信息(以及/或者其他电子信息使用数据)之类的某些信息内容信息只在某些严格的条件下才可以被得到,所述条件的ー个例子是法庭传票(其本身可以通过使用由法庭控制的VDE装置要求得到授权,这种装置可能被要求“有条件”地安全访问匿名信息)。在本发明的较佳实施例下,货币和信用信息被当作管理内容对待。!支持向信息内容中嵌入指纹(也称为水印),这样当受本发明保护的信息内容被以明文的方式从VDE对象中发布出来(显示、打印、传送、抽取和/或保存)的时候,表示负责将信息内容转换成明文形式的用户和/或VDE装置的标识信息被嵌入到发布出的信息内容中。指纹的有用性在于它提供ー种能力用于识别谁从VDE容器中以明文方式抽取信息,或谁制作了 VDE对象的或其信息内容的一部分的拷贝。由于用户的身份和/或其他 标识信息可以以ー种模糊的或通常为隐藏的方式被嵌入到VDE容器信息内容和/或控制信息中,这样可以阻碍潜在的版权侵犯者进行未授权的抽取或拷贝活动。指纹通常被嵌入到未加密的电子信息内容或控制信息中,尽管它也可以先被嵌入加密的信息内容中,以后当携帯该指纹信息的加密的信息内容在安全VDE装置子系统中被解密的时候,再被嵌入到未加密的信息内容中。当诸如VDE容器中的信息内容之类的电子信息离开ー个网络(如Internet)地点而准备到达某个接收方的时候,可以向该电子信息中加入指紋。该存放库中的信息在被传送之前可以被维护于未加密的形式,而在其离开该存放库时则被加密。加入指纹的过程最好在信息内容离开存放库的时候但在加密步骤之前发生。可以在ー个安全VDE子系统中解密被加密的存放库信息内容、插入指纹信息、然后再加密信息内容,以便进行传送。在信息内容离开(举例来说)某个Internet存放库时,将预期的接收方用户和/或VDE装置的标识信息嵌入到信息内容中,将提供可识别或帮助识别任何设法破坏VDE装置或被传递信息内容的安全性的參与者的重要信息。如果ー个參与者制作了经授权的、明文形式的VDE控制的信息内容的拷贝-包括制作了经授权的明文形式拷贝的未授权拷贝,指纹信息将反向地指明那个制作拷贝的个人和/或他或她的VDE装置。该隐蔽信息将充当ー个强有力的阻碍措施以阻止大部分潜在信息内容“盗版者”窃取其他參与者的电子信息。可以在解密、复制VDE信息内容对象、或向接收方传送该对象之前、或者在上述活动的过程中将标识接收方和/或VDE装置的指纹信息嵌入到VDE对象中。在加密电子信息内容以便传送给消费者或其他用户之前向该电子信息内容中加入指纹可以提供对于识别谁收到了某些可能已经以未加密形式分发出去或使之对外可用的信息内容十分有用的信息。在跟踪谁可能已经“破坏了”VDE装置的安全性并且正在非法向他人提供某些电子信息内容方面,上述信息将是具有价值的。指纹还可以提供其他的、诸如所述信息内容信息的发布(例如抽取)时间和/或日期之类的可用信息。插入指纹的位置可以由VDE装置和/或信息内容容器控制信息規定。该信息可以规定所有物中诸如信息和/或信息类型的ー个或多个特定字段之类的特定区域和/或精确位置应该用来加入指紋。可以通过以一般不可被检测的方式修改某些图像像素的颜色频率和/或亮度、通过稍微地修改某些声音信号的频率、通过修改字体特性构成信息等等将指纹信息加入到所有物中。指纹信息本身应该被加密,这样,将受到破坏的指纹解释为有效的将变得异常困难。对于同一所有物的不同拷贝加入不同位置的指纹;“虚假”指纹信息;以及特定所有物或其他信息内容中的、使用了诸如信息分布模式、频率和/或亮度操纵、以及涉及加密的技术的不同指纹技术的指纹信息多个拷贝,是本发明的特性,这些特性用于提高未授权的个人识别指纹位置以及擦除和/或修改指纹信息的难度。!提供可以携带请求、数据和/或方法一包括预算、授权、信用或货币、以及信息内容-的智能对象代理。例如,智能对象可以移至和/或移自远程信息资源地点并执行对电子信息内容的请求。智能对象可以(举例来说)被提交给一个远程地点以代表某个用户执行ー个特定数据库搜索,或“智能地”捜索一个或多个信息存放库以查找用户所需的信息。当智能对象通过(举例来说)执行ー个或多个数据库搜索在一个或多个远程地点识别出所需的信息后,带有检索出的信息的智能对象可以通过向用户的通信以安全“返回对象”的形式返回给用户。可以为信息的远程检索、信息向用户VDE装置的返回、以及/或者对上述信息的使用向用户收取费用。在后一种情况下,可以只对用户实际使用的返回对象中的信息向用户收费。智能对象可以具有请求使用一个或多个服务和/或资源的装置。服务包括定位诸如信息资源、语言或格式翻译、处理、信用(或额外信用)授权等之类的其他服务和/或资源。资源包括參考资料数据库、网络、超级或专用计算资源(智能对象可以携带信息到达另一台计算机,使该信息受到高效地处理,然后将信息返回给发送方VDE装置)、远程对象存放库、等等。智能对象可以有效地使用远程资源(例如集中式数据库、超级计算机等等),同时提供用于根据实际使用的信息和/或资源向用户收费的安全装置。!支持将VDE电子协定元素“翻译”成用现代语言书面表达的协定元素(例如英语协定),以及将电子权利保护/交易管理现代语言协定元素翻译成电子VDE协定元素。该特性要求维护ー个对应于VDE加载模块和/或方法和/或部件组的正文语言库。当ー个VDE方法被提议出来和/或被用于VDE协定的时候,ー个VDE用户应用将产生正文条款和条件的ー个列表,在较佳实施例中,所述VDE用户应用提供已经经过保存并对应于所述方法和/或部件组的短语、句子和/或段落。该特性最好使用人工智能技术以分析并自动确定和/或帮助ー个或多个用户确定对应于被选择的方法和/或部件组的库元素之间的正确顺序和关系,以便组成法律的或说明性文件的某些或所有部分。一个或多个用户,以及/或者最好是某个律师(如果上述文件是ー个法律的约束协定)将在上述过程产生的文件材料一旦生成完毕后审阅该文件材料,并使用和/或编辑描述该协定中的非电子交易元素所必要的上述附加的正文信息,同时进行其他可能必要的改进。这些特性进ー步支持使用允许ー个或多个用户从多个选项中作出选择和回答问题、并从该进程中生成ー个VDE电子协定的现代语言工具。该进程可以是交互式的,并且VDE协定组成进程可以使用人工智能专家系统技木-所述的人工智能专家系统技术从应答中学习,并在合适的时候或至少部分地根据所述应答,产生进一歩的选项和/或问题。于是,上述技木“逐渐形成”所需的VDE电子协定。!支持在单个VDE装置中使用多个VDE安全子系统。通过在单个VDE装置中采用 分布式VDE设计可以实现安全性和/或性能上的多种优点。例如,将ー个基于硬件的VDE安全子系统设计到电子设备VDE显示设备中,以及设计所述子系统与所述显示设备的集成以便该子系统尽可能地接近该显示设备,将提高图像资料的安全性,因为基于上述设计,当被解密的图像信息从图像系统外部移到内部吋,要“窃取”该信息将变得实际更加困难。最好,(举例来说)VDE安全硬件模块与实际显示器处于同一物理包装中,例如位于视频监视器或其他显示设备的包装中,同时,可以在商业可行的限度内将该设备设计为具有合理的防破坏性。作为另ー个例子,从整个系统吞吐量的角度来看,将ー个VDE硬件模块嵌入到一个I/O外围设备中可具有某些优点。如果在同一 VDE装置中使用多个VDE实例,这些实例将在可行的限度内理想地共享资源,例如VDE实例将某些控制信息和信息内容和/或设备使用信息存放在同一大容量存贮设备中以及同一 VDE管理数据库中。!通过利用预算的耗尽和密钥的时间衰老而要求汇报和付款按规定进行。例如,ー个VDE商业配置以及相关的信息内容控制信息可以涉及信息内容提供者的信息内容以及对用来支付最終用户对所述信息内容的使用费的票据交換所信用的使用。涉及该配置的控制信息可以被传递到(所述信息内容的)用户的VDE装置和/或所述财务票据交換所的VDE装置。所述控制信息可能要求所述票据交換所准备好并传递给所述信息内容提供者某种形式的基于信息内容使用的信息以及以电子信用(提供者收到该信用之后可以“拥有”该信用,并使用该信用以代替可用的或足够的电子货币)和/或电子货币的形式的信息内 容使用费用。信息和付款的上述传递过程可以使用可信的VDE装置安全子系统,以安全地并且在某些实施例中自动地、以所述控制信息规定的方式提供所述的使用信息和付款信息内容。本发明的特性有助于确保要求票据交換所汇报上述使用信息和付款信息内容的请求必须得到遵守。例如,如果參与VDE电子协定的某个參与者没有遵守上述信息汇报和/或付款义务,另ー个參与者可以禁止该违法方成功參与涉及该协定的VDE活动。如果所要求的使用信息和付款没有按照信息内容控制信息的规定被汇报出来,那么“受到侵害”方可以通过不再安全地从其VDE装置安全子系统向外传送信息而不提供继续ー个或多个关键进程所必需的安全信息的ー个或多个部分。例如,一个票据交換所没有向信息内容提供者汇报信息和/或付款(以及任何安全性故障或其他干扰性异常)将会使信息内容提供者不向该票据交換所提供密钥和/或预算更新信息,而这些信息对于授权使用票据交換所的信用以便使用提供者的信息内容来说可以是必要的,而且该票据交换所在票据交換所和最終用户之间的信息内容使用汇报通信过程中需要将上述信息传递给最終用户。再举另ー个例子,一个没有向信息内容提供者提供付款和/或汇报使用信息的分发者可能会发现其用来创建向用户分发信息内容提供者的信息内容所用的许可记录的预算,以及/或者限制这些用户对提供者信息内容的使用的ー个或多个其他方面的安全预算,在一旦用尽后或过期(例如在某一预定日期)后没有得到信息内容提供者的更新。在这些或其他情况下,受到侵害的団体可能决定不更新已经“过期”的时间衰老密钥。对时间衰老密钥的上述使用具有不更新预算或时间衰老的授权的类似作用。!支持本发明的智能卡实现,例如以包括用作安全信用、银行业务、和/或货币卡的卡片在内的便携式电子设备的形式。本发明的ー个特征是将便携式VDE用作零售或其他机构的交易卡,其中,所述的卡可以与带有VDE安全子系统的和/或与诸如“可信”财务票据交換所(如VISA、MasterCard)之类的ー个VDE安全和/或安全和兼容子系统之间具有联机连接的机构终端进行对接。VDE卡和终端(和/或联机连接)可以安全地交换有关某个交易的信息,同时信用和/或电子货币被转移到销售商和/或票据交換所,而交易信息则流回该卡。这种卡可以用于所有类型的交易活动。诸如PCMCIA连接器或象个人计算机那样的某个电子设备之类的对接站可以在家接纳消费者的VDE卡。可以采用与永久地安装在上述电子设备中的VDE装置相同的方式将上述的站/卡组合用到联机交易中。该卡可以用作ー个“电子钱包”,并含有票据交換所提供的电子货币以及信用。该卡可以用作消费者涉及销售商、银行业务、以及联机财务交易的财务活动的会聚点,包括支持家庭银行业务活动。消费者可以通过联机交易接收エ资/或投资回报和/或“真实”的、VDE信息内容容器保护的、有关这些接收的详细信息。用户可以向VDE配置中另ー个參与者发送数字货币,包括分送该货币。VDE卡可以以高度安全的和按照数据库组织的方式保存交易的详细信息,这样,有关财务的信息被聚集在一起,并且可以十分容易地被检索出来和/或分析。由于VDE的安全性,包括对有效的加密、鉴别、数字签名、以及安全数据库结构的应用,保存在VDE卡配置中的记录可以作为有效的交易记录为政府和/或公司的簿记要求所接收。在本发明的某些实施例中,VDE卡可以使用对接站和/或电子设备存贮装置,并且/或者共享处于所述设备的本地的和/或可以通过网络使用的其他VDE系统的装置,以便通过(举例来说)存贮过时的和/或存档的备份信息来増加VDE卡的信息存贮容量。根据安全地存放在所述VDE 卡中并可提供使用的“真实”信息,可以自动地计算出涉及个人的某些或所有财务活动的税款。所述信息可以存放在所述卡中、所述对接站中、相关电子设备中、以及/或者被有效连接上的其他设备中、以及/或者远程地存放-例如存放在一个远程服务器站点中。诸如交易历史之类的卡上的数据可以被备份到个人的个人计算机中或其他电子设备中,而该设备可以带有其自身的、集成的VDE装置。在毎次或定期地将卡与站对接以便进行某个财务交易和/或进行诸如用户/销售商交易之类的信息通信吋,当前的交易、最近的交易(为冗余的目的)、或者所有的或其他被选择出来的卡上数据可以被备份到诸如财务票据交換所中的与VDE兼容的存放库之类远程的备份存放库中。在与另ー个參与者的VDE装置(例如一个也处于某个财务或通用电子网络中的VDE装置)连接的过程中通过将交易信息通知远程的票据交換所和/或银行而备份至少当前交易,可以确保进行了足够的备份,以便在卡失效或丢失的情况下支持VDE卡内部信息的完全重建。!支持具有下列特征的验证进程,该验证过程确保各种VDE装置之间的、经过授权的互相协作性,以便防止在规范协议方面与其他VDE系统和/或装置存在不可接受的偏差的VDE配置和/或装置以可能引入安全性(VDE保护的信息的完整性和/或机密性)、进程控制、和/或软件兼容性等方面产生问题的方式进行互相协作。验证过程确认VDE装置和/或其部件的、以及VDE用户的身份。验证数据还可以充当有助于确定涉及VDE站点的退出或其他变化的信息。!通过使用基于事件(触发)的方法控制机制支持基本交易控制进程的分离。这些事件方法触发ー个或多个其他VDE方法(这些方法对VDE安全子系统可用),并用来执行VDE管理的、与交易有关的处理。上述被触发的方法包括可独立地(分别地)和安全地处理的部件计帐管理方法、预算管理方法、计量管理方法、以及相关的预算管理进程。作为本发明的上述特性的、以及对计量、审核、计帐、和预算方法的独立触发的结果,本发明能够有效地、并发地支持多种金融货币(如美元、马克、日元)、以及有关信息内容的预算和/或计帐增量,以及非常灵活的信息内容分发模型。!支持对涉及(I)信息内容事件触发、(2)审核、(3)预算(包括规定没有使用权或无限的使用权)、(4)计帐、以及(5)用户身份(VDE装置、客户名字、部门、网络、以及或者用户等)的控制结构的完全的、模块化的分离。这些VDE控制结构的独立性提供了一个灵活的系统,允许两个或多个上述结构之间存在多重关系,例如能够使一个财务预算与不同的事件触发结构相关联(这些结构被放在适当的地方以允许根据信息内容的逻辑部分对控制信息内容进行控制)。如果在这些基本VDE功能之间没有上述分离,那么下列活动的操作将会变得困难得多即有效地维护对于计量、计帐、预算和用户标识涉及了同样的、不同的(包括重叠的)、或完全不同的信息内容部分的、分离的计量、预算、标识、和/或计帐活动,例如,支付与信息内容使用相关联的费用、开展家庭银行业务、管理广告服务等等。上述基本功能的VDE模块化分离支持对ー个或不同信息内容部分(和/或部分単位)与预算、审核和/或计量控制信息之间的大量的、“任意”的关系的编程。例如,在VDE控制下,对于对某一数据库的解密,根据用户选择的货币,可以强制实施每月200美元或300德国马克的预算限制,并且对于所述被解密数据库中的每ー个记录可收费2美元或3德国马克。可以计量上述使用,同时,可以准备用于用户轮廓用途的另外的审核,该审核记录每ー提交的显示出的标识。另外,还可以进行涉及所述数据库被解密的字节数目的进ー步的计量,并且相关安全性预算可防止毎年解密的字节数超过所述数据库字节总数的5%。用户也可以在VDE控制下(如果经过上级控制信息允许的话)收集反映了不同个人和客户组织部门对数据库 字段的使用的审核信息,并确保不同的访问权利和限制数据库使用的不同预算可以被应用到这些客户个人和群体。允许信息内容提供者和用户实际地使用用户标识、计量、预算和计帐控制信息的上述多种集合部分地归因于使用上述的独立控制功能。于是,VDE可以支持在创建应用于同一电子所有权的大量控制模型、以及应用于不同的或完全不同的信息内容模型的相同的和/或大量的控制模型的过程(例如家庭银行业务对于电子购物)中的高度可配置性。方法、其他控制信息、以及VDE对象一起控制对VDE管理的所有权(数据库、文件、独立商业产品)的使用的VDE控制信息(如方法)或者(例如在信息内容容器中)与信息内容本身一起发送,并且/或者上述控制信息的ー个或多个部分可以在可独立传递的“管理対象”中发送给分发者和/或其他用户。可以部分地将所有权的方法的一个子集与各个所有权一起传递,同时可以将方法的一个或多个其他子集独立地传递给用户,或者使之可用(例如可以通过远程通信手段远程地得到上述方法的子集)。如果要使用VDE控制的信息内容(例如放在ー个VDE信息内容容器中分发出去的知识产权产品),那么必须按照要求使必要方法(被说明为所有权和/或设备使用所需要的方法)可用。控制信息内容的方法可以应用于大量的VDE容器対象-例如这些对象的某个类别或其他分类。某些用户或用户类别和/或VDE装置和/或装置类别也可以要求得到方法以便使用ー个或多个特定的或种类的对象。本发明提供的VDE的ー个特征是特定的ー个或多个方法可以被规定为必要的,以便某个VDE装置和/或用户可以使用某个和/或所有信息内容。例如,“上级”參与者(例如信息内容制作者)可以允许某种类型的信息内容的分发者要求得到某个禁止最終用户电子地保存被解密的信息内容的方法,VDE交易的信用的提供者可以要采得到一个记录电子购买次数的审核方法,并且/或者用户可以要求得到一个总结使用信息(如计帐信息)以便将这些信息以ー种不传送涉及详细使用行为的机密的个人信息的方式汇报给票据交换所的方法。
本发明提供的VDE的另ー个特征是信息内容的制作者、分发者和用户可以从预定义的方法集合(如果可得到的话)中进行选择,以便控制容器信息内容的使用和分发功能,并且/或者他们可以有权提供新的、定制的方法以控制至少某些使用功能(对于VDE装置和/或ー组VDE应用的可信度和互相协作性,可以要求对上述的“新”方法进行验证)。于是,就如何控制对每个所有权或对象(或所希望的和/或适用的的对象或所有权的ー个或多个部分)的分发和其他使用活动而言,VDE提供了程度极高的可配置性。信息内容控制信息VDE路径中的每个VDE參与者都可以为VDE容器中的某些或所有信息内容设定方法,只要该控制信息没有与已经就位的上级控制信息在下列方面冲突,即(I)某些或所有的VDE管理的信息内容,(2)特定的ー个或多个VDE用户和/或用户组别, (3)特定的ー个或多个VDE节点和/或节点组别,以及/或者(4)特定的ー个或多个VDE应用和/或配置。例如,信息内容制作者的特定信息内容的VDE控制信息可以优先于其它被提交的VDE參与者控制信息,并且(举例来说)如果上级控制信息允许的话,信息内容分发者的控制信息本身可以优先于客户管理员的控制信息,而客户管理员的控制信息可以优先于最终用户的控制信息。在一条路径上的分发參与者设置上述电子信息内容控制信息的能力可以被限制到特定控制信息(如协调诸如定价和/或销售日期之类的数据的方法)的范围内,或者这种能力可以仅被限制到參与者提议的一个或多个控制信息与所有权处理链中的參与者以前提交的、或在所述參与者的VDE安全子系统中管理的上级控制信息所设置的控制信息相冲突的限度内。VDE控制信息可以部分地或全部地(a)代表由VDE信息内容控制信息路径參与者直接放置就位的控制信息,和/或(b)含有被上述的參与者代表某个不直接处理电子信息内容(或电子设备)许可记录信息的參与者放置就位的控制信息(例如由一个參与者代表ー个财务票据交換所或政府机构插入的控制信息)。这些控制信息方法(和/或加载模块、和/或协调数据、和/或部件组)也可以被采用电子方式自动化的、或半自动化的和由人协助的控制信息(控制集合)协商进程放置就位,所述的协商过程判断对被提交控制信息的ー个或多个部分的使用是否将被集成进或将替代已存在的控制信息(以及/或者根据与就位控制信息的交互作用在可选的控制信息之间进行选择)以及这些控制信息如何被使用。控制信息可以由ー个不直接參与对电子信息内容(和/或设备)和/或该信息内容(和/或设备)的控制信息的处理的団体提供。可以使用在上述不直接參与的一个或多个团体的VDE装置安全子系统与处于一条路径中的VDE信息内容控制信息參与者的VDE装置安全子系统之间的、由VDE装置安全子系统管理的通信(包括(举例来说)对至少部分地加密的控制信息的传送者进行鉴别)将上述控制信息以安全的形式提供出来。该控制信息可以涉及(举例来说)对财务服务提供者提供的信用的访问权、对由政府机构制定的条例或法律的强制执行、消费者对VDE管理的信息内容的使用信息(反映一个或多个參与者而不是该消费者对信息内容的使用)的要求-该使用信息涉及该消费者收到的使用信息的创建、处理、和/或汇报方式。上述控制信息可以(举例来说)強制执行诸如涉及电子商业的法律等社会要求。VDE信息内容控制信息可以不同地施加到不同路径的信息内容和/或控制信息处理參与者。而且,如果经过允许的话,VDE參与者可以增添、改动和/或删除许可记录权利。VDE參与者的权利定义可以与涉及信息内容和/或信息内容控制信息(如许可记录)处理链中的特定參与者和/或參与者类别和/或其他參与者类别相关。给定的ー个或多个合格參与者对控制信息的修改可以在他们可作修改的数目和/或程度上受到限制。制作者、分发者、作者、票据交換所、客户管理员、和最終用户(要认识到两个或多个的上述类别可以描述单个用户)的电子设备中的至少ー个安全子系统为预期的应用提供了 “充分”安全的环境,用来I.解密所有物和控制信息;2.存贮与控制和计量相关的信息;3.管理通信;
4.处理构成电子信息内容和/或设备权利保护的控制信息的核心控制程序以及相关数据,包括强制执行VDE參与者的优选和要求。通常,大多数使用、审核、汇报、付款、以及分发控制方法本身至少部分地被VDE装置的安全子系统加密和执行。这样(举例来说)可以在安全子系统中安全地生成和更新计帐和计量记录,并安全地使用加密和解密密钥。由于VDE在VDE配置中的參与者地点(节点)安全子系统之间传递信息时还使用了安全(如经过加密的和鉴别的)的通信,因而VDE电子协定的重要组成部分可以得到针对所期望商业目的的(充分可信的)充分安全性的可靠强制执行。针对某个价值链的VDE电子协定可以至少部分地由价值链參与者ー个或多个子集之间的ー个或多个子协定构成。这些子协定由一个或多个确保了 VDE參与者的权利保护的电子合同“依从”元素(包括相关參数数据的方法)构成。VDE配置的可信度主要取决于參与者地点的安全子系统中是否使用了硬件SPU以及SPU硬件安全性体系结构的有效性、当采用软件仿真SPU时的软件安全性技木、以及用于保护信息内容、控制信息、通信、和对VDE节点(VDE装置)安全子系统的访问的加密算法和密钥。在某些节点中可以使用物理设施和用户身份鉴别安全性过程代替硬件SPU,这种节点的ー个例子是某个已建成的财务票据交換所,在该票据交換所中,所述的过程可以对与用户节点处使用了硬件SPU的VDE系统之间可信的互相协作性提供充分的安全性。为了支持新的或经过修改的控制信息而在VDE系统的每个节点中进行的对所有权管理文件的更新执行于VDE安全子系统中,并受到由被保护的子系统执行的安全管理文件更新程序的控制。由于所有的安全通信都至少部分地经过了加密,并且安全子系统内部的处理经过了隐藏而不受外界的探測和干扰,所以本发明确保信息内容控制信息可以被强制执行。于是,每个所有物的制作者和/或分发者和/或客户管理员和/或安全控制信息的其他提供者(例如某个最终用户-该最終用户限制了他或她允许被汇报出去的审核信息的种类,以及/或者某个财务票据交換所-该票据交換所对于支付被分发信息内容的使用费规定了使用其信用的标准)都可以确信他们分发的和接受的控制信息将(在给定VDE安全性实现设计的安全性限度内)被强制执行。该控制信息可以决定(举例来说)(I)如何提供和/或向谁提供电子信息内容,例如,如何分发ー个电子所有物;(2)如何直接使用-例如解密、显示、打印、等等-一个或多个对象和/或所有物、或对象或所有物的部分;(3)可以或必须如何处理对于上述信息内容和/或信息内容部分的使用付款;以及(4)应该如何收集、汇报和/或使用有关涉及所有物的至少一部分的使用信息的
审核信息。被提供出来的控制信息的分级特性-包括解决由多个团体提交的信息内容控制信息之间的冲突-通常由下列的方面建立(I)由不同參与者把控制信息放置就位(就位控制信息通常优先于后续提交的控制信息)的次序;(2)VDE信息内容和/或设备控制信息的详细说明。例如,就位控制信息可以规定哪些来自ー个或多个參与者或參与者类别的后续ー个或多个的控制将优先于由ー个或多个不同參与者和/或參与者类别提交的控制信息,以及/或者 (3)来自多个參与者的控制信息集合之间的协商,该协商确定对于给定的VDE管理的信息内容和/或VDE装置,什么样的控制信息应该构成其最终控制信息。电子协定和权利保护VDE的ー个重要特征是它可以用来确保对通过使用本发明而实现的电子协定的管理,以及其安全性和权利的保护的充分性。这种协定可以涉及ー个或多个(I)电子信息的制作者、出版者、以及其他分发者,(2)财务服务(如信用)提供者,(3)诸如特定于信息内容的人数统计信息和特定于用户的描述性信息之类的、由信息内容使用所产生的信息的用户(非财务服务提供者)。这些用户可包括市场分析人员、为直销和销售导向目的的销售清单编纂人员、以及政府机构,(4)信息内容的最终用户,(5)诸如电信公司和硬件厂家(半导体和电子设备和/或其他计算机系统厂家)之类的基础服务和设备提供者,他们根据对他们的服务和/或设备的使用收取报酬,以及(6)由电子信息描述的某些团体。VDE支持具有商业安全性的“扩展”价值链电子协定。VDE可以被配置成支持构成该扩展协定的參与者间的各种底层协定。这些协定可以规定重要的电子商业考虑事项,包括(I)安全性,(2)信息内容使用控制,包括电子分发,(3)隐私(有关(举例来说)涉及參与者的、由医疗、信用、税务、人事、和/或其他形式的机密信息描述的信息),(4)财务进程管理,以及(5)用于电子信息内容、信息内容和/或设备控制信息、电子信息内容和/或设备使用信息和付款和/或信用的处理路径。VDE协定可以规定价值链中两方或多方的电子商业关系,但是该协定有时可能不直接強迫或直接涉及其他VDE价值链參与者。例如,在某个信息内容制作者和某个分发者之间达成的电子协定可以确定分发者对于制作者的某个信息内容(例如放在VDE容器对象中分发出去的某个所有物)的应付价钱以及该分发者可以在一段给定时间内向最終用户分发的对象的拷贝数目。在第二个协定中,ー个价值链最终用户可能參与到ー个三方协定中,在该协定中,该最终用户同意某些有关使用该分发产品的要求,例如接受分发者针对信息内容的使用而收取的费用,及同意遵守制作者的版权。在分发者和财务票据交換所之间可以存在第三个协定,如果最终用户直接与向该最终用户提供信用的票据交換所之间具有一个单独的(第四个)协定的话,上述第三个协定允许分发者使用票据交換所的信用以便为产品付款。在信息内容控制信息通过其处理链传递的时候,第五个演变着的协定可以在所有价值链參与者之间发展。该演变着的协定可以确定所有參与者对信息内容使用信息的权利,包括(举例来说)每个參与者要收到的信息的特性、以及信息内容使用信息和相关过程的处理路径。本例中的第六个协定可能涉及所有參与者都參与进去以便达成该协定,并且确定诸如安全性技术和可信度(例如,系统的商业完整性可以要求每个VDE装置安全子系统在电子方面保证它们的VDE节点满足了特定的可互相协作性要求)之类的某些一般前提。在上面的例子中,上述六个协定将构成了用于商业价值链实例的扩展协定中的各个协定。VDE协定支持演变的(“活的”)电子协定配置。通过新提议的信息内容控制信息与已经就位的控制信息之间的、或者由多个參与者提交的同时提议出来的信息内容控制信息之间的、从十分简单到十分复杂的“协商”,当前的和/或新的參与者可以修改上述协定。 可以一段时间之内按照已有的上级规则异步地和渐进地修改一个给定的模型,而该修改可以被应用到所有的、某些类别的和/或特定的信息内容、以及/或者某些类别的和/或特定的用户和/或用户节点。给定的信息内容可能受到不同控制信息在不同处理时间或地点的控制,取决于其控制信息的演变(和/或取决于不同的、适用的VDE装置控制信息)。控制信息的演变可以在传递ー个或多个含有对象的VDE控制信息的过程中发生,即控制信息可以在控制信息处理链中的ー个或多个点接受修改-只要这种修改是经过允许的。于是,VDE管理的信息内容可以带有在信息内容处理链中的不同“位置”施加的以及在该信息内容的不同处理链的相同位置施加的不同的控制信息。控制信息的上述不同施加也可以来源于规定特定參与者或參与者类别应该受到不同于其他參与者或參与者类别的信息内容控制信息控制的信息内容控制信息。例如,用于给定的信息内容的信息内容控制信息可以被规定为上级信息,于是该控制信息不能被改变,并且该控制信息可由信息内容制作者放置就位,该控制信息可以规定其给定的信息内容的国内分发者允许每个季度制作100,000拷贝-只要这些拷贝是提供给真实的最終用户,但是只能向本地零售商传送该信息内容的一份拷贝,并且该控制信息限制该零售商毎月为零售给最终用户的目的所制作的拷贝数不超过1,000份。另外,(举例来说)相同的信息内容控制信息可以限制该信息内容的最終用户制作该信息内容的三份拷贝,每份供他或她使用的三台计算机中的每台(ー份对应于ー台办公地点用的桌上型计算机、ー份对应于一台家用的桌上型计算机、ー份对应于一台便携式计算机)。由本发明的较佳实施例支持的电子协定可以从十分简单变化到十分复杂。它们可以支持种类繁多的信息管理模型,这些信息管理模型提供电子信息安全性、使用管理、以及通信,并支持(a)诸如商业著作权之类的信息的安全电子分发,(b)安全的电子信息使用监控和汇报,(C)涉及电子信息和/或设备使用以及其他电子信用和/或货币使用和管理功能的安全财务交易功能,(d)对于用户不希望公开的使用信息的隐私保护,以及(e) “活的”电子信息信息内容传播模型,这些模型灵活地支持(I)广泛的參与者;(2)用于信息内容、信息内容和/或设备的控制信息的处理、与信息内容和/或设备的使用相关的信息的汇报、以及付款的一条或多条路径(链),(3)对加入到信息内容控制信息中的条款和条件的演变的支持,包括对电子协商功能的应用,
(4)支持多个信息内容的组合形成新的信息内容聚集,以及(5)多个并发模型。安全处理部件本发明提供的VDE的ー个重要组成部分是核心安全交易控制配置,此处称为SPU(或SPUs),SPU通常必须出现在每个用户计算机中、其他电子设备中、或网络中。SPU提供了ー个可信的环境,用于生成解密密钥、加密和解密信息、管理电子设备之间(即VDE装置之间和/或在单个VDE装置中的多个VDE实例之间)对密钥和其他信息的安全传送、安全地积累和管理存放在安全的和/或非安全的非易失性存贮器中的审核跟踪、汇报、和预算信息、维护控制信息管理指令的安全数据库、以及为执行某些其他控制和管理功能提供安全环境。如果要求为执行某些VDE活动提供高度可信的环境,那么有必要在VDE节点中使用一个硬件SPU(而不是软件仿真)。可以通过使用特定控制软件、诸如半导体或半导体芯片集之类的用于电子设备之中的或用来有效地连接到电子设备的ー个或多个防破坏硬件模块(包括(举例来说)一个防破坏的硬件电子设备外围设备)而创建出上述可信环境。在本发明中,可以通过将硬件SPU的某些或所有硬件元件封装在防破坏的包装中,并且/或者通过使用其他防破坏技术(如微熔和/或细线检测技术)来增强硬件SPU的可信度。部分地通过使用防破坏半导体设计而实现的本发明的可信环境含有诸如微处理器之类的、安全地执行VDE进程的控制逻辑。VDE节点的硬件SPU是VDE安全子系统的核心部件,它可以使用电子设备的某些或所有基本控制逻辑-例如一个微控制器、微计算机或其他CPU系统。该基本控制逻辑还可以用于诸如对电子设备的某些或所有非VDE功能进行控制之类的非VDE目的。当运行于硬件SPU模式时,所述基本控制逻辑必须具有足够的安全性,以便保护和隐藏重要的VDE进程。例如,一个硬件SPU可以使用运行于保护模式同时执行涉及VDE的活动的宿主电子设备微计算机,于是允许VDE进程的部分能够以特定的安全程度进行执行。上述的可选实施例与较佳实施例实施例相反,在较佳实施例中,可信环境是通过使用并非为所述基本控制逻辑的部分的一个或多个防破坏半导体的组合而被创建的。在这两个实施例中,某些控制信息(软件和參数数据)必须被安全地维护在SPU中,而其他控制信息则可以(例如以加密的和经过标记的形式)安全地存放在在外部,并且在需要的时候被装载进所述硬件SPU中。在许多情况下,特别是对于微计算机来说,针对执行所述VDE进程使用专用安全硬件而不是使用所述基本控制逻辑的较佳实施例方式可能是更为安全的和有效的。可信SPU硬件过程所需的安全性和防破坏级别取决于特殊市场或市场环境的商业要求,并且可以相差悬殊。附图的简要说明通过參看下面结合附图对目前优选的示例性实施例的详述,可以更好地和更完全地理解本发明提供的上述或其他特性和优点,在这些附图中图I示意了按照本发明的较佳示例/实施例提供的“虚拟分发环境”的示例;图IA是对图I所示的“信息服务中心”示例的更为详细的示意;图2示意了处理和控制链的一个示例;图2A示意了规则和控制信息如何在从图2的处理和控制链中的一个參与者到另一个參与者的过程中保持不变的一个例子; 图3示意了可以提供的不同控制信息的示例;图4示意了规则和/或控制信息的某些不同类型的示例;图5A和5B示意了 “对象”的一个示例;图6示意了安全处理部件(“SPU” )的一个示例;图7示意了电子设备的ー个示例;图8是图7所示电子设备示例的ー个更为详细的框图;图9是图6和图8所示安全处理部件(SPU)示例的详细示意图;

图10示意了虚拟分发环境提供的“权利操作系统”(“R0S”)体系结构的ー个示例;图11A-11C示意了应用和权利操作系统之间的功能关系的示例;图11D-11J示意了 “部件”和“部件组”的示例;图12是图10所示的权利操作系统示例的更为详细的图解;图12A例示了如何创建“对象”;图13是用于图12所示的“受保护处理环境”的软件体系结构示例的详细框图;图14A-14C是由图13所示的受保护处理环境提供的SPU存贮器图的示例;图15例示了图13的通道服务管理器和加载模块执行管理器如何支持一个通道的;图15A示意了图15所示的通道头和通道详细记录的示例;图15B是图13中的受保护处理环境为创建一个通道可能执行的程序控制步骤的ー个流程图;图16是ー个安全数据库结构示例的框图;图17示意了逻辑对象结构的示例;图18示意了静止对象结构的示例;图19示意了移动对象结构的示例;图20示意了信息内容对象结构的示例;图21示意了管理对象结构的示例;图22示意了方法核心结构的示例;图23示意了加载模块结构的示例;图24示意了用户数据元素(UDE)和/或方法数据元素(MDE)结构的示例;图25A-25C示意了 “映射计量器”的示例;
图26示意了许可记录(PERC)结构的示例;图26A和26B —起示意了许可记录结构的更为详细的示例;图27示意了发送表结构的示例;图28示意了接收表结构的示例;图29示意了管理事件日志结构的示例;图30示意了图16安全数据库中所示的对 象注册表、主题表、和用户权利表之间的相互关系以及对这些表的使用的示例;图31示意了图16所示对象注册■表的更为详细的示例;图32示意了图16所示主题表的更为详细的示例;图33示意了图16所示用户权利表的更为详细的示例;图34示意了描述站点记录表和组记录表如何跟踪图16所示安全数据库的部分的ー个特定示例;图34A示意了图34站点记录表结构的示例;图34B示意了图34组记录表结构的示例;图35示意了用于更新安全数据库的进程的示例;图36示意了描述新元素如何被插入到图16安全数据库中的一个示例;图37示意了描述如何访问安全数据库的元素的一个示例;图38示意了描述如何保护安全数据库元素的一个流程图示例;图39示意了描述如何备份安全数据库的一个流程图示例;图40示意了描述从备份中恢复安全数据库的一个流程图示例;图41A-41D示意了描述如何利用“交互方法”启动“处理和控制链”的一套示例;图42A-42D示意了 “交互”预算方法的示例;图43A-43D示意了 “交互”注册方法的示例;图44A-43C示意了 “交互”审核方法的示例;图45-48示意了一起使用以便对信息内容或其他信息的发布进行控制的若干方法的示例;图49,49A_49F示意了 OPEN方法的示例;图50,50A-50F示意了 READ方法的示例;图51,51A_51F示意了 WRITE方法的示例;图52示意了 CLOSE方法的示例;图53A-53B示意了 EVENT方法的示例;图53C示意了 BILLING方法的示例;图54示意了 ACCESS方法的示例;图55A-55B 示意了 DECRYPT 和 ENCRYPT 方法的示例;图56示意了 CONTENT方法的示例;图57A和57B示意了 EXTRACT和EMBED方法的示例;图58A示意了 OBSCURE方法的示例;图58B,58C 示意了 FINGERPRINT 方法的示例;图59示意了 DESTROY方法的示例;图60示意了 PANIC方法的示例;
图61示意了 METER方法的示例;图62示意了密钥“卷积”进程的示例;图63示意了描述如何利用密钥卷积进程生成不同密钥以确定ー个“真实”密钥的一个示例;图64和65示意了描述如何初始化受保护处理环境密钥的ー个示例;图66和67示意了用来解密分别包含在静止对象和移动对象中的信息的示例过程;图68示意了描述如何初始化受保护处理环境的一个例子;图69示意了描述如何将固件下载到受保护处理环境中的一个例子; 图70示意了由网络或其他通信手段连接在一起的多个VDE电子设备的示例;图71示意了便携式VDE电子设备的示例;图72A-72D示意了可以由用户通告和异常界面产生的“弹出式”显示的示例;图73示意了 “智能対象”的示例;图74示意了使用“智能対象”的进程的示例;图75A-7 示意了用于电子协商的数据结构的示例;图75E-75F示意了涉及电子协定的结构的示例;图76A-76B示意了电子协商进程的示例;图77示意了处理和控制链的另ー个示例;图78示意了 VDE “存放库”的示例;图79-83示意了ー个说明处理和控制链演变及变换VDE管理的信息内容和控制信息的例子;图84示意了涉及若干类别的VDE參与者的处理和控制链的另ー个示例;图85示意了某个组织内部的分发和处理链的另ー个示例;
图86和86A示意了处理和控制链的另ー个示例;以及图87示意了虚拟硅容器模型的示例。发明详述图1-7和下面的论述对本发明所具特性的几个方面给出了一个概述,在概述之后对根据本发明的实施例进行了更为技术化的详细说明。概述图I示意了根据本发明可以提供的ー个“虚拟分发环境”(“VDE”)100。图I中,信息服务中心200与诸如电话线或有线电视电缆之类的通信设施202相连。电话线或有线电视电缆202可以是“电子信息高速公路”的一部分,它将电子信息在各地间传输。传输线202将信息服务中心200与其它地方的人员相连,举例来说,这些人员可以是消费者208、办公室210、影视制作室204以及出版社214。上述与信息服务中心200相连的每类人员可被称作ー个“VDE參与者”,这是因为他们可以參与虚拟分发环境100中所发生的交易。虚拟分发环境100可以支持几乎任何你能想到的交易类型。下面给出了虚拟分发环境100可以支持的许多交易类型中的几种 家庭银行事务和电子付款; 电子化法律合同;
信息内容分发,这些信息内容可以是电子出版物、影视、声音、图象或计算机程序; 私人信息(如病历和金融信息)的安全通信。虚拟分发环境100之所以是“虚拟的”,是因为它不需要许多以前所必须的“实物”来保护权利、确保可靠和可预测的分发、以及确保对信息内容创建者和分发者的适当报酬。例如,以前,信息以磁带或磁盘为介质分发,而这类介质难以复制。以前,私人或秘密的信息内容是放在封ロ的信封或上锁的公文包中由信使传送从而完成分发。为了保证适当的报酬,用户只有付给卖主现金后才能得到商品和服务。尽管信息服务中心200可以通过传送诸如电子存贮介质之类的“实物”来进行信息的交付,虚拟分发环境100则实现了方便的、完全电子化的“处理和控制链”虚拟分发环境的灵活性支持交易活动信息服务中心200可灵活地支持多种不同的信息交易。不同的VDE參与者可以定 义和(或)參与ー项交易的不同部分。信息服务中心200可以协助发布交易信息,此外它本身即可以是交易參与者之一。例如,图I右上角的影视制作室204可以创作影视节目。影视制作室204可以通过传输线202发送这些节目,或者使用其它发送途径,例如卫星链路205和CD ROM传送服务216。影视制作室204可以将节目直接发送给消费者206、208、210,或者可以将节目发送到信息服务中心200,信息服务中心200可以先把节目保存起来,以后再发送给消费者。每个消费者206、208、210都能够接收和使用由影视制作室204创作的节目,前提是影视制作室204或信息服务中心200已经为这些消费者安排了具有给予消费者这些节目的使用权的适当的“规则和控制”(控制信息)。即使消费者得到影视节目的拷贝,如果她没有得到用以授权使用节目的“规则和控制”,她也无法观看或复制这些节目。用户只有经“规则和控制”允许才能使用这些节目。例如,影视制作室204可能放送半小时体操录像节目,并希望尽可能多的观众将收看该节目。影视制作室204希望每次收看收费2. 00美元。影视制作室204可以通过信息服务中心200使体操录像节目以“保护”形式提供给所有消费者206、208、210。影视制作室204也可以提供该录像的“规则和控制”。比方说,这些“规则和控制”可以限定(I)任何消费者,只要具有良好信用,也即在独立金融提供者212 (如Mastercard或VISA)提供的信用帐户上存有至少2. 00美元,可以收看该录像。(2)虚拟分发环境100可以在消费者每次收看录像时进行“计量”,并经常地将使用情况报告给影视制作室204。(3)金融提供者212可以从收看录像的每位消费者的信用卡帐户上以电子方式收取付款(2. 00美元),并将这些付款传送给影视制作室204。信息服务中心200甚至允许ー个小的影视制作室向用户销售影视节目,并收取其劳动报酬。而且只要向影视制作室支付适当报酬,其它影视出版商可以使用该影视节目用来增值,或充当二次包装商或二次销售商。图I还示意了出版社214。出版社214可以充当作者206的分发商。出版社214可以向诸如办公室210之类的消费者分发使用“信息内容”(如计算机软件、电子报纸、出版社214制作的录像节目、声音或任何其它形式的数据)的权利。可以用出版社216分发的“规则和控制”定义这些使用权利。出版社216可以将这些“规则和控制”与信息内容一同分发,但这不是必须的。由于信息内容只能由那些得到适当“规则和控制”的用户使用,信息内容和其相关“规则和控制”可能在不同时间、以不同方式、由不同的VDE參与者分发。VDE能够与“规则和控制”所适用的信息内容分开安全地分发和实施“规则和控制”,其优点是显著的。由出版商14分发的使用权利可以允许办公室210制作井向其雇员分发该信息内容的拷贝。办公室210可以通过将“处理和控制链”延长至其雇员而充当二次销售商。办公室210可以增加或修改“规则和控制”(要和从出版社214收到的“规则和控制”相容)从而产生办公室内部的控制信息和机制。例如,办公室210可以为办公室中的每个用户和(或)小组设定ー个最大使用预算,或者只允许指定的雇员和(或)小组访问特定的信息。图I中给出了信息传送服务216,信息传送服务216将诸如“⑶ROM”光盘之类的电子存贮介质传送给消费者206。虽然电子存贮介质本身未经信息服务中心200通过传输线202传送,它们仍然是虚拟分发环境100的一部分。电子存贮介质可以用来分发信息内 客、“规则和控制”或其它信息。信息服务中心200内部组成举例图I中的信息服务中心200可以是许多參与者的集合,这些參与者可以是分发商、金融票据交換所或管理员。图IA示意了信息服务中心200内部组成的例子。每ー个信息服务中心參与者200a-200g均可以是ー个独立的组织/企业。可以有任意数量的參与者200a-200go在本例中,电子“开关”200a将信息服务中心200内部各部分相互连接,并将内部各部分与外部參与者相连,或者也可以将各外部參与者相互连接。信息服务中心200可以包含“交易处理器”200b,它根据来自參与者和(或)报告接收者200e的请求处理交易(如转移电子基金)。信息服务中心200还可以包含“使用情况分析员” 200c,他对汇报上来的使用情况信息作出分析。“报告生成者” 200d可以根据使用情况生成报告,并且可以将这些报告提供给外部參与者和(或)信息服务中心200内部的參与者。“报告接收者”200e可以从信息内容用户那里接收诸如使用情况之类的报告。“许可代理”200f可以根据用户的信用概况分放批准使用权和分发许可权的“规则和控制”。管理员200h可以发出信息以便使虚拟分发环境100正常工作。信息内容和消息存贮设备200g可以存放信息,以供信息服务中心200内部或外部的參与者使用。使用处理和控制链分发信息内容的例子如上所述,虚拟分发环境100可以用来管理几乎任何类型的交易。可以用虚拟分发环境100管理的ー种重要的交易类型是分发或传送“信息内容”或其它重要信息。图2更加抽象地示意了ー个“模型”,该模型说明了如何利用图I的虚拟分发环境100为信息内容的分发提供“处理和控制链”。图2中的每个框对应于图I所示的ー个或多个VDE參与者。在图2中的例子中,VDE信息内容制作者102制作了 “信息内容”。信息内容制作者102还可以为分发该信息内容規定“规则和控制”。这些与分发有关的“规则和控制”可以规定谁有权分发信息内容的使用权,以及可以允许多少用户使用该信息内容。箭头104表示信息内容制作者102通过电子高速公路108 (或其它途径,如由美国邮件之类的投递服务传送的光盘)向VDE权利分发者106 ( “分发者”)发送与信息内容相关的“规则和控制”。信息内容的分发途径可以与发送“规则和控制”所使用的相同或不同。分发者106生成其自己的、与信息内容的使用相关的“规则和控制”。与使用相关的“规则和控制”可以限定用户对信息内容能做什么,不能做什么,以及使用信息内容要花费多少。这些与使用相关的“规则和控制”必须与信息内容制作者102所规定的“规则和控制”相一致。箭头110表示分发者106通过向诸如消费者等信息内容用户112发送信息内容的“规则和控制”来分发信息内容的使用权。信息内容用户112遵照与使用相关的“规则和控制”使用信息内容。在图2的例子中,如箭头114所示,与信息内容使用相关的信息被汇报给了金融票据交換所116。根据此汇报,金融票据交換所116可以生成帐单,并通过“报告和付款”网络118将帐单发送给信息内容用户112。箭头120表示信息内容用户112向金融票 据交換所116交纳信息内容的使用费用。金融票据交換所116可以根据收到的报告和付款,向分发者106提交报告和(或)付款。如箭头122所示,分发者106可以向信息内容制作者102提交报告和(或)付款。金融票据交換所116可以直接向制作者102提交报告和付款。汇报和付款可以不同地进行。例如,金融票据交換所116可以直接地或通过代理向每个VDE信息内容制作者102以及权利分发者106提交报告和(或)付款,井向信息内容用户112提交 艮告。分发者106以及信息内容制作者102可以是同一个人,也可以是不同的人。例如,某个音乐表演小组可以通过制作和分发其本身的音乐录制品从而既充当信息内容制作者102也充当分发者106。另一个例子中,出版社可以作为分发者106而分发由作者型信息内容制作者102制作的作品的使用权。信息内容制作者102可以利用分发者106有效地管理信息内容分发的财务結果。图2所示的金融票据交換所116也可以是“VDE管理员”。作为管理员的金融票据交換所116向VDE參与者发送“管理”信息。这些管理信息有助于维持虚拟分发环境100正常工作。“VDE管理员”和金融票据交換所的角色可以由不同的人员和公司来担任,并且担任该角色的人员和公司可以多于ー个。有关“规则和控制”的更多内容虚拟分发环境100禁止使用被保护信息,除非使用该信息是“规则和控制”(控制信息)所允许的。例如,图2所示的“规则和控制”可以给予特定的个人或信息内容用户组112对某个信息内容的使用权。这些“规则和控制”可以规定在信息内容的使用类型中哪些是允许的,哪些是禁止的,还可以规定如何交纳信息内容的使用费以及交纳多少。在另ー个的例子里,“规则和控制”可以要求将信息内容使用信息的报告返回给分发者106和(或)信息内容制作者102。“处理和控制链”中的每ー个VDE參与者一般均要服从“规则和控制”。“规则和控制”定义了每个不同VDE參与者各自的权利和义务。“规则和控制”提供了在參与者之间建立相互依赖性和相关性的信息和机制。“规则和控制”具有灵活性,允许虚拟分发环境100支持绝大多数“传统”的商业交易,例如规则和控制”可以规定哪个(哪些)金融票据交換所116可以处理付款,规则和控制”可以规定哪个(或那些)參与者可以接收何种使用报告,以及今“规则和控制”可以规定向一定的參与者公开一定的信息,而其它信息对他们保密。
“规则和控制”可以限制其自身是否可以被修改,如何修改。通常,由ー个VDE參与者规定的“规则和控制”不能被另ー个VDE參与者修改。例如,某个信息内容用户112通常不能修改由分发者106规定的、要求用户按某种价格支付信息内容使用费的“规则和控制”。“规则和控制”可以在通过“处理和控制链”时“保持不变”,而在从ー个VDE參与者传递给下一个的过程中被“继承”下来。根据需要,VDE參与者可以规定他们的“规则和控制”在其本身或其它“规则和控制”所指定的条件下可以被修改。例如,由信息内容制作者102规定的“规则和控制”可以允许參与者106 “抬高”使用价格,正如零售店“抬高”批发商品的价格一祥。图2A示意了ー个例子,其中某些“规则和控制”在从信息内容制作者102传递到信息内容用户112的过程中保持不变;其它“规则和控制”被分发者106修改和删除;而另外一些“规则和控制”则被该分发者添加进来。“规则和控制”可以对报告给其它VDE參与者的信息进行限制,从而保护信息内容用户的隐私权。例如,“规则和控制”可以规定以匿名方式报告信息内容的使用信息而不暴 露信息内容用户的身份,或者根据要求,在允许的前提下只将某些信息暴露给某些參与者(例如从使用情况中得到的信息)。这种功能安全地控制了哪些信息可被暴露以及可向哪些VDE參与者暴露,从而保护了所有VDE參与者的隐私权。规则和信息内容可以被分开传递如上所述,虚拟分发环境100将信息内容和相应“规则和控制”联系在一起,并禁止在没有ー组相应“规则和控制”的前提下使用或访问信息内容。分发者106无需为控制信息内容的分发而传递信息内容。较佳实施例通过保护授以使用权的相应“规则和控制”使之避免被未经授权地分发和使用,从而可以安全地保护信息内容。在某些例子中,“规则和控制”可以与它们所适用的信息内容一起传送。虚拟分发环境100也可以允许“规则和控制”与信息内容分开传送。由于任何人在未得到相应“规则和控制”的允许时都无法使用或访问被保护的信息内容,因而分发者106可以控制对已经(或将要)传送出去的信息内容的使用。“规则和控制”的传送途径和时间可以与信息内容的不同。信息内容制作者102可以通过电子高速公路108将信息内容传送给信息内容用户112,或者通过该“高速公路”将信息内容传送给所有人。信息内容可以在发出后即可用,也可以存贮起来留待以后使用或再使用。虚拟分发环境100还允许分开传递付款和报告。例如,信息内容用户112可以具有ー个虚拟“信用卡”,该卡可扩大信用(最大到一特定极限)用以支付任何信息内容的使用费。“信用交易”可以发生在用户所在地点,而无需任何“在线”连接或进ー步授权。本发明有助于安全地保护虚拟“信用卡”,使之避免被未授权地使用。规则和信息内容的定义过程图3示意的例子描述了基于“规则和控制”的一个全过程。它包含“事件”过程402,计量过程404、记帐过程406和预算过程408。并非所有图3所示的过程都要被每套“规则和控制”所采用。“事件过程” 402检测发生的事情(“事件”),并决定哪些事件需要其它“过程”作出反应。事件可以包括使用信息内容的请求,也可以产生ー个使用许可。某些事件可能需要额外处理,而其它的则不必。事件是否需要额外处理取决于相应于信息内容的“规则和控制”。例如,没有许可的用户其请求将得不到满足(“禁止通行”)。另ー个例子中,每个“翻看电子书籍新ー页”的用户请求均可得到满足(“通行”),但可能无需对这些请求进行计量、记帐或预算。购买了小说的拷贝的用户可得到许可只要他愿意便可以任意多次地以打开和阅读该小说而不必进行额外计量、记帐或预算。在这个简单例子中,“事件过程”402可以在用户第一次要求打开被保护小说时(于是可以要求用户支付购买费用)对计量、记帐和(或)预算过程发出请求,而将后续的打开同一小说的请求视为“无意义事件”。对于其它信息内容(如检索电子电话簿)则可以要求用户在每次访问时都要交纳费用。“计量”过程404对事件进行记录,并可将使用情况报告给分发者106和(或)其他适当的VDE參与者。图4示意的是过程404可以建立在大量不同因素的基础上,这些因素的例子包括(a)需收费的使用类型(b)收费所基于的计量单位 (C)每个单位需收取的费用(d)何时产生报告(e)如何付款这些因素可以由控制计量过程的“规则和控制”进行規定。记帐过程406决定对事件收取多少费用。它记录并报告付款信息。预算过程408对信息内容的允许使用量进行限制。例如,预算过程408可以根据信用卡帐户上的可用金额来限制信息内容被访问或复制的次数,或者限制信息内容可被使用的页数或其它量度。预算过程408记录并报告有关上述限制的财经和其它交易信息一旦这些过程成功地执行完毕后,便可将信息内容交付给用户了。容器和目标图5A示意的是在ー个较佳实施例中,虚拟分发环境100如何将信息元素(信息内容)包装到“容器” 302中,从而保证在没有其“规则和控制”的提供下无法访问这些信息。通常,容器302是电子的而不是物理的。在一个例子中,电子容器302包含了“数字”信息,该“数字”信息含有严格定义的数据结构。容器302及其信息内容可被称作“对象300”。图5A中的例子示意了容器302内含和封装的项。然而,容器302也可以包含没有实际存贮在该容器内的项。例如,容器302可以引用保存在任何地方(如在远程的其它容器中)的可用的项。容器302可引用在不同时间上或只在有限的时间中可利用的项。某些内容可能太大以至无法保存在容器302中。可以在特定时间以录像的“实况传送”方式将项传递给用户。即使在这种情况下,本例中容器302即(通过引用方式)“包含”了这种“实况传送”。容器302可以包含电子(如数字)形式的信息内容304。信息内容304可以是小说正文、图片、音乐表演或朗读之类的声音、电影或其它录像、计算机软件,或你能够想到的任何电子信息。其它类型的“对象”300 (如“管理対象”)可以包含“管理”或其它类型信息,作为信息内容304的替代或补充。在图5A的例子中,容器302也可以包含下列形式的“规则和控制”(a) “许可记录”808(b) “预算 ”308
(c) “其它方法” 1000图5B给出了有关许可记录808、预算308和其它方法1000的一些补充细节。“许可记录”808规定了与对象300有关的权利,如谁可以打开容器302,谁可以使用对象的内容,谁可以分发对象,以及应该使其它哪些控制机制生效。举例来说,许可记录808可以规定用户使用、分发和(或)管理容器302及其内容的权利。许可记录808还可以规定由预算308和“其它方法”1000所申请的要求。许可记录808还可以含有有关安全的信息,如カロ密和解密密钥。图5B所示的“预算” 308是ー种特殊类型的“方法” 1000,它可以规定的内容包括信息内容304的使用限制,以及使用费用的付款方式。预算308可以规定整个信息内容304可被使用和(或)复制的量有多少。方法310可以禁止使用超过ー个特定预算所规定的量。“其它方法” 1000定义了 “规则和控制”所采用的基本操作。该“方法” 1000可以 包含如何计量使用情况,信息内容304和其它信息是否或如何被加密和解密,以及其它与管理和控制信息内容304有关的过程。例如,方法1000可以记录任何打开了电子容器302的人的身份,并可根据“计量”来控制如何收取信息内容的使用费用。方法1000可以适用于ー个或多个不同的信息内容304及其相关容器302,也可适用于信息内容304的所有或指定部分。安全处理单元(SPU)每个“VDE參与者”可以带有一个“电子设备”,该设备可以是或者包含一台计算机。该设备可以通过电子高速公路108进行通讯。图6示意了本例中每个VDE參与者所使用“电子设备”中的安全处理单元(“SPU”)500部分。SPU 500在安全处理环境503中处理信息,并安全地保存重要信息。SPU 500可以由运行于宿主电子设备中的软件进行仿真。SPU 500封装干“防破坏安全屏障”502中,并受其保护。安全屏障502将安全环境503与外界分隔开来。它防止安全环境503中的信息和过程在非安全条件下被观察、干扰和离开。屏障502还控制外部对SPU 500内部安全资源、过程和信息的访问。在ー个例子中,防破坏安全屏障502的组成包括诸如“加密”之类的安全特性和用来检测破坏,以及(或者)在检测到破坏时销毁安全环境503中敏感信息的硬件设施。本例中的SPU 500是ー个集成电路(“1C”)芯片504,它包括“硬件” 506和“固件” 508。SPU 500通过“设备链”510与其余电子设备相连。本例中的SPU “固件” 508是“软件”,例如“嵌入”到芯片504中的“计算机程序”。固件508使硬件506能够工作。硬件506最好含有一个处理器以执行由固件508指定的指令。“硬件” 506还包含长有效期和短有效期存贮器,以安全地保存信息,使之避免破坏。SPU 500还可以含有ー个受保护的时钟/日历用来对事件计时。本例中的SPU硬件506可以包含经过专门设计的专用电子线路用以快速有效的执行特定过程(如“加密”和“解密”)。SPU 500的特定应用环境将决定SPU 500应具备处理能力的多寡。本例中的SPU硬件506所提供的处理功能至少足够支持图3所示过程的安全部分。在某些环境中,SPU500的功能可能需要加强,从而可以执行所有的电子设备处理,而且可以集成到通用处理器内部。在另外的环境中,SPU 500可以与ー个通用处理器协同工作,因而只需有足够的能力来完成安全过程即可。VDE电子设备和权利操作系统
图7示意了包含SPU 500的电子设备600的ー个例子。电子设备600实际上可以是任何电气或电子设备,例如 计算机·电视“机顶置”控制盒 寻呼机·电话机 声音系统 影像再生系统
视频游戏机 “智能”信用卡本例中的电子设备600可以含有键盘612、声音识别器613和显不器614。用户可以通过键盘612和(或)声音识别器613输入命令,并在显示器614上观看信息。设备600可以通过电子设备中通常使用的任何连接/设备与外界通信。图下部示意了连接/设备的ー些例子,它们是“调制解调器” 618或其它电信链路;⑶ROM盘620或其它存贮介质或设备;打印机622;广播接收装置624;文件扫描器626 ;以及将设备与网络相连的“电缆”628。虚拟分发环境100提供了“权利操作系统”602,“权利操作系统”602通过控制设备600和SPU 500两者的硬件资源,对两者进行管理。操作系统620也可支持至少ー个“应用” 608。“应用” 608通常是ー个专用于设备600所在环境的硬件和(或)软件。例如,如果设备600是一台个人计算机,那么“应用”608可以是用户装载的ー个程序,如ー个字处理器、ー个通信系统或ー个录音系统。如果设备600是ー个电视控制器盒,那么应用608可以是某种硬件或软件,它允许用户视频点播,或进行其它操作,如快进或快倒。在本例中,操作系统602提供了一个标准的、严格定义的、通用的界面,以支持多种不同的“应用”608。本例中的操作系统602提供了 “权利和检查操作系统功能” 604和“其它操作系统功能” 606。“权利和检查操作系统功能” 604安全地处理与虚拟分发环境100相关的任务。SPU 500提供或支持“权利和检查操作系统功能”604中的许多安全功能。“其它操作系统功能”606处理一般的设备功能。可以从头设计整个操作系统602,使之包含“权利和检查操作系统功能” 604和“其它操作系统功能” 606,或者将“权利和检查操作系统功能”加入到现有的、提供“其它操作系统功能”的操作系统之上。本例中的“权利操作系统”602可以支持多种不同的设备600。例如,它可以支持大型计算机,“小型计算机”和诸如个人计算机和便携式计算机之类的微型计算机。它也可以支持置于电视机上方的控制盒、小型便携寻呼机、桌上型收音机、立体声系统、电话机、电话交换机或其它任何电子设备。这种既能支持大型设备又能支持小型设备的能力称为“具有可伸縮性”。ー个“具有可伸縮性”的操作系统602意味着存在一个标准界面,该界面能够跨越多种不同的设备并完成多种不同的任务。
在本例中,“权利操作系统功能” 604是“基于服务的”。例如,“权利操作系统功能” 604处理由应用608发来的概要请求,而不是要求该应用不断地发出更详细的“子请求”,或者使之陷入涉及满足ー个概要请求所需进行的底层繁琐处理之中。例如,应用608可以简单地请求阅读指定的信息;然后“权利操作系统功能”604可以判断所需信息是否为受VDE保护的信息内容,如果是的话,执行使该信息可用的过程。这种特性称为“透明性”。“透明性”使应用608可以更加容易地执行任务。“权利操作系统功能”604支持的应用可以丝毫“不了解”虚拟分发环境100。知道虚拟分发环境100的应用608可以更深入地利用虚拟分发环境100。在本例中,“权利操作系统功能” 604是“事件驱动”的。“权利操作系统功能” 604直接响应设备600中发生的事件,而不是反复检查电子设备600的状态,以确定是否发生了 ー个事件。在本例中,由“权利操作系统功能” 604完成的某些服务可以根据递送给操作系统602的附加“组件”进行扩展。“权利操作系统功能”604可以收集和使用由不同參与者在不同时间传送来的“组件”。“组件”有助于使操作系统602 “具有可伸縮性”。某些组件可以根据设备是小型的还是大型的(如多用户环境)来改变它们在其上的服务工作方式。另外一些组件的设计则可以支持特定应用或某类应用(如某种计量和某种预算)。电子设备600较佳实施例中的电子设备600可以是任意具有如下特征的电子装置它含有一个或多个微处理器和(或)微控制器,以及(或者)其它完成逻辑和(或)数学计算的设备。这些设备包括计算机、计算机終端、计算机用设备控制器、数字显示设备、电视机、视像和声/像投影系统、广播和(或)有线传送用频道选择器以及(或者)解码器、遥控设备、录像机或录音机、包括光盘播放器、视盘播放器和磁带播放器在内的媒体播放器、声频和(或)视频放大器、虚拟现实机、电子游戏机、多媒体机、收音机、电话、可视电话、传真机、机器人、包括机器工具等在内的数值控制机器、以及其它具有如下特征的(包括那些尚未面世的)设备它含有一个或多个微计算机和(或)微控制器以及(或者)其它CPU。图8不意了电子设备600的一个例子。该电子设备600含有一个系统总线653。在本例中,总线653连接了一个或多个传统通用中央处理单元(CPU)654。总线653将CPU654与RAM 656,ROM 658和I/O控制器660相连。系统总线653也可以连接ー个或多个SPU500。系统总线653可以允许SPU 500与CPU 654通信,也可以允许CPU和SPU两者(通过公用地址和数据线)与RAM 656,ROM 658和I/O控制器660通信。电源659可以向SPU500、CPU 654和所示的其它系统组件提供电源。在图中的例子中,I/O控制器660与ニ级存贮设备652、键盘/显示器612,614、通信控制器666和备份存贮设备668相连。备份存贮设备668可以将信息存贮在如磁带670、软盘或可拆卸存储卡等之类的大容量介质上。通信控制器666可以使得电子设备600通过网络672或其它电信链路与其它电子设备通信。对于不同的电子设备600,即使它们采用了不同的CPU或不同的ROS 602实例,而只要通常使用兼容的通信协议和(或)安全措施,它们便可以相互协作。在本例中,I/O控制器660允许CPU 654和SPU 500读取和写入ニ级存贮器652、键盘/显示器612,614、通信控制器666和备份存贮设备668。ニ级存贮器652可以包含ー个或多个相同且不安全的ニ级存贮设备(例如磁盘和光盘驱动器),以供电子设备600完成一般的ニ级存贮功能之用。在某些实现中,部分或全部ニ级存贮器652可以包含ー个ニ级存贮设备,该设备被物理地封装在ー个安全包装中。然而,由于在许多实现中使用物理措施来保障ニ级存贮器652的安全并非现实和廉价,因此先将信息加密后再保存到ニ级存贮器652中,从而使ニ级存贮器652能够安全地保存信息。如果在存贮前先对信息进行加密,那么对ニ级存贮器652或其内容的物理存取将不会轻而易举地泄露或破坏该信息。本例中的ニ级存贮器652保存了 CPU 654和(或)SPU 500所使用的代码和数据,这些代码和数据用来控制电子设备600的整体运行。例如,从图8中可以看到,图7所示的“权利操作系统”(“R0S” ) 602 (包括ROS的部分604以及部分606,其中部分604提供VDE功能,而部分606则提供其它OS功能)可以存贮在ニ级存贮器652中。ニ级存贮器652也可以保存ー个或多个VDE对象300。从图8中还可以看到,图7所示的安全文件610可以采用“安全数据库”或管理文件系统610的形式存贮在ニ级存贮器652中。该安全数据库610可以保存和组织由ROS 602使用的、用来执行VDE功能604的信息。这样,ニ级存贮器652 便可以保存用来完成VDE或其它功能604、606的可执行代码,以及与这些功能有关的安全文件610 (还包括VDE对象300)。ニ级存贮器652还可以保存“其它信息”673,例如其它操作系统功能606进行任务管理所使用的信息、非VDE文件等等。在ニ级存贮器652中所指出的部分元素也可以存贮在ROM 658中,只要这些元素没有修改要求(除了在更换ROM 658的时候)。ROS 602的某些部分尤其以保存在ROM 658中为好(例如,在加电时用来为电子设备600创建操作环境的“引导”程序、POST程序等等)。从图8可以看到,ニ级存贮器652也可以用来存贮图7所示的用户应用608所含代码(“应用程序”)。如图8所示,可以有两种通用类型的应用程序608 :“VDE感知”应用608a,及非VDE感知应用608b。VDE感知应用608a可以在意识到VDE存在的情况下至少对某一部分进行特殊设计,从而能够访问和充分利用VDE功能604的详尽功能。由于ROS 602具有“透明”特性,非VDE感知应用608b (如那些不是专门为VDE 100所设计的应用)也可以访问和充分利用VDE功能604的功能。安全处理单元500较佳实施例中的每个VDE节点或其它电子设备600都可以含有ー个或多个SPU500。SPU 500可以用来完成VDE 100要求的所有安全处理。例如,SPU 500可用来对VDE保护的目标300进行解密(或解除安全)。它还可以用来管理加密的和(或)安全化的通信(如通过对信息进行验证和(或)纠错有效性检查)。SPU 500还可以完成安全数据管理过程,包括管理VDE对象300的使用、核算以及适时的付款情况(通过使用预付款、信用、银行帐户上的实时电子借方记帐以及(或者)VDE节点代用货币存款帐户等方式)进行控制。SPU 500可以执行与VDE对象300有关的其它交易。SPU物理封装和安全屏障502如图6所示,在较佳实施例中,SPU 500可以由单个集成电路“芯片” 505实现以提供ー个安全的处理环境,在该环境中可以对机密的和(或)具有商业价值的信息进行安全地处理、加密和(或)解密。IC芯片505可以包含ー个拇指指甲大小的小型半导体“圆片”。该半导体圆片可含有半导体和金属导线通路。这些通路定义了 SPU 500的电路,从而也就定义了其功能。某些通路电连通着芯片505的外部“管脚” 504。
如图6和图9所示,SPU 500可被一个防破坏硬件安全屏障502所包围。安全屏障502的某些部分由塑料或其它包装材料构成,SPU圆片被置于其中。由于SPU 500内部进行的处理及其存贮的信息不易被外界访问,因而这些处理和信息相对比较安全,可避免受到未授权的访问和干扰。所有信号都需经过由BIU 530提供的受控安全通道才可通过屏障502,该通道限制了外界对SPU 500内部组件的访问。受控安全通道可阻挡外界企图访问SPU 500内部的安全信息和资源。可以除去IC芯片上的塑料包装,从而可访问到“圆片”。也可以对“圆片”本身进行分析和“反向工程”(如,使用各种逻辑分析仪和微探针在电路工作的同时收集和分析圆片上的信号,使用酸洗或其它技术除去半导体层从而暴露其它层,通过电子显微镜对圆片进行观察和拍照,等等)。虽然没有一种系统或电路能够绝对避免上述侵害,SPU屏障502可以包含附加的硬件保护措施使侵害的成功变得极其昂贵和费时。例如,可使用离子植入和(或)其它制造技术,使实际分辨SPU圆片导线通路变得异常困难,可以制造SPU内部电路使之在暴露于空气和(或)光线中的时候能够“自销毀”。SPU 500可以在那种掉电后内容即消失的内存中保存机密信息。可以在SPU 500中安置某种电路以检测微探针探測或者 其它破坏,并在检测到破坏时自销毁(或破坏SPU的其它部分)。这些或其它基于硬件的物理安全措施是防破坏硬件安全屏障502重要技术因素。为了进一步提高安全屏障502的安全性,可以将SPU 500纳入或包含在一个或多个更进一歩的物理封装中,这些封装包括环氧树脂或其它封装化合物;更进ー步的模块封装,包含具有附加的、检测到干扰时即激活的自销毀、自禁用或其它功能;更进ー步的模块,该模块提供附加的安全保护措施,例如在询问ロ令或其它验证信息后才工作;以及诸如此类的其它装置。另外,可以进一歩向底板添加金属层,以使得酸洗、微探针探测之类的操作更加困难。可以安置将内存清零的电路,以作为自销毁处理的一部分;塑料包装本身可经过设计用来抵御化学以及物理上的侵害;而SPU的内存可带有专用的寻址和刷新电路,该电路将数位的位置进行重新组合,这将使采用电手段判断内存单元的值变得相当复杂。这些或其它措施可以对保证屏障502的安全性发挥作用。在某些电子设备600中,可以将SPU 500与设备微控制器或同等物,或者设备I/O或通信微控制器一起集成到同一芯片(或芯片集)505中。例如,在一个较佳实施例中,可以将SPU 500与ー个或多个另外的CPU(如电子设备的CPU 654) 一起集成到单个元件或封装中。另外的CPU 654可以是任意中央控制逻辑配置,如微处理器、其它微控制器和(或)阵列或其它并行处理器。这种集成配置可以使总体成本较低、总体体积较小,以及SPU 500和CPU 654潜在的交互作用速度加快。假如ー个集成的SPU/CPU元件成为某个已广泛销售的微处理器产品线中的标准部件,那么集成化还可以拓宽销售范围。将SPU 500合并到电子设备600的主CPU 654中(或者合并到其它设备,或设备外围微计算机或其它微控制器中)可以从实质上降低VDE 100的实现开销。集成化所需考虑的的问题可以包括实现成本、生产成本、所需安全级别、以及密集性值。SPU 500也可以与除CPU之外的其它元件一起集成。例如,对于视频或多媒体应用,(根据总体设计)将SPU 500集成到视频控制器芯片或芯片集之中可以带来性能和(或)安全性的提高。SPU 500也可以直接集成进网络通信芯片或芯片集等之中。将SPU500集成到调制解调器芯片或芯片集之中也可以为高速通信应用带来一定的性能提高。这将使得在诸如可独立操作的传真机之类的通信设备中安装SPU 500的过程得到简化。SPU500也可以集成到其它外围设备中,例如CD-ROM设备、机顶置有线设备、游戏设备、以及其它多种电子设备,这些设备使用分布式信息、允许对分布式信息进行访问、完成与分布式信息相关的交易、或者消耗分布式信息。SPU的内部结构图9是ー个SPU 500实例内部结构的详细示意图。本例中的SPU500含有单个微处理器520和容量有限的存贮器,该存贮器配置为R0M532和RAM 534。更详细地说,该SPU 500实例含有微处理器520、加密/解密机522、DMA控制器526、实时时钟528、总线接ロ单元(“BIU”)530、只读存贮器(ROM) 532、随机存取存贮器(RAM) 534、和存贮器管理单元(“MMU”)540。DMA控制器526和MMU 540虽是可选的,但如果没有的话,SPU 500的性能将受影响。SPU 500还可以包含可选的模式匹配机524、可选的随机数发生器542、可选的数学运算加速电路544,以及可选的压缩/解压缩电路546。公用地址/数据总线536可以在微处理器520和(或)DMA控制器526的控制之下在上述各种部件之间传送信息。利用附 加的或补充的专用通路538可将微处理器520与其它部件相连(如通过连线538a与加密/解密机522相连,通过连线538b与实时时钟528相连,通过连线538c与总线接ロ单元530相连,通过连线538d与DMA控制器526相连,通过连线538e与存贮器管理单元(MMU) 540相连)。下面将对上述每个SPU部件进行详细说明。微处理器520微处理器520是SPU 500的大脑。在本例中,它执行由(至少暂时地)保存在ROM532和(或)RAM 534中的代码所指定的一系列步骤。在较佳实施例中,微处理器520含有一个专用中央处理装置(例如,RISC和(或)CISC处理器単元,微控制器,以及(或者)其它中央处理装置,或者在许多应用中不太想要的过程特有的专用控制逻辑),用以执行保存在ROM 532和(或)其它存贮器中的指令。微处理器520可以是安全SPU 500中的电路设计的独立元件或者独立封装。在较佳实施例中,微处理器520通常处理电子设备600的操作中与安全性最敏感的方面。例如,微处理器520可以管理VDE加密、解密、特定信息内容和(或)设备使用的控制信息,跟踪VDE中安全化信息内容的使用,以及完成其它与VDE使用控制相关的功能。在每个SPU 500和(或)电子设备的ニ级存贮器652中,所保存的内容可以是下述各部分的ー个实例,即=ROS 620软件;应用程序608 ;对象300-它含有由VDE控制的所有物的内容及相关信息;以及管理数据库610-它保存与对象和VDE控制信息有关的信息。R0S602含有供SPU微处理器520执行的软件,用来使电子设备600部分地控制对VDE相关对象300的使用。这些SPU程序含有用来完成基本控制功能的“加载模块”,这在后面将要解释到。上述各种程序以及相关数据将主要由微处理器520执行和处理。实时时钟(RTC)528在较佳实施例中,SPU 500含有ー个实时时钟电路(“RTC”)528,它为SPU提供可靠的、防破坏的时基。在较佳实施例中RTC 528记录日期时间(如月份、日期和年份),因而可以含有日历和时钟的组合。对于实现基于时间的使用计量措施、“带有有效期的解密密钥”以及其它基于时间的SPU功能来说,可靠的时基是重要的。
RTC 528必须上电才能工作。最佳情况下,RTC 528的电源可含有ー个装载于SPU500或其它安全封装内部的小型电池。不过,RTC528使用的电源也可以是SPU 500外部的电源,如外部电池。这种外部电源可以向RTC 528提供相对不易中断的电源,也可以使SPU500中本来易丢失信息的至少部分RAM 534保持信息不丢。在一种实现中,电子设备电源659也用来为SPU 500供电。将任意一种外部电源作为RTC 528的唯一电源来使用,将显著地降低基于时间的安全技术的有用性,除非SPU 500能够至少识别出外部电源供电的任何中断(或任何部件中断),记录该中断,并做出可能的适当响应,如禁止SPU 500执行某种或所有VDE过程的能力。为识别电源中断,可以使用一个在电源失效时将被触发的电路。该电源失效感测电路可为另外的电路进行供电,而另外的这些电路又含有用以记录ー个或多个电源失效事件的相关逻辑。电容放电电路可以提供运行该逻辑所必需的短暂电源。附加或者作为ー种替代,如果可以获得宿主电子设备600 的时钟输出,那么SPU 500可以经常地将RTC 528的输出与宿主电子设备600的时钟输出进行比较。如果发现误差,SPU 500可以做出适当响应,包括记录该误差,以及(或者)禁止SPU 500在至少某些情况下执行至少某些过程部分。如果电源失效和(或)RTC 528误差、以及(或者)其它事件表明了出现破坏的可能性,SPU 500可自动地将其所保存的一部分或多部分敏感信息破坏或使之不经过特权的干预便无法访问,此处的敏感信息的例子包括有关执行的信息和(或)有关加密密钥的信息。为再次提供SPU操作,作为ー种恰当的作法,上述被破坏的信息将必须由VDE金融票据交換所、管理员和(或)分发者来复原。通过远程下载更新的和(或)复原的数据和(或)代码可以实现上述过程。如果出现上述的过程和/或信息禁用和/或破坏事件,为重新初始化RTC 528,电子设备600可请求与管理员、金融票据交換所、和(或)分发者进行一次安全的VDE通信。在此之前,SPU 500的某些或所有安全过程不得运行。最好提供一种机制以便对RTC 528进行设置和(或)同歩。在较佳实施例中,当VDE电子设备600与另外的VDE设备之间发生通信时,在授权为“高级的”、有控制权一方的控制下,可将RTC 528的输出与受控RTC 528的输出时间比较。一旦出现误差将采取适当措施,包括重新设置參加通信的“低级的”受控一方的RTC 528。SPU加密/解密机522在较佳实施例中,SPU加密/解密机522提供专用硬件(如硬件状态机),以迅速有效地对数据进行加密和(或)解密。在某些实现中,加密/解密功能可以由微处理器520在软件控制下来承担,但是设置专用加密/解密硬件机522通常提高性能。如果需要的话,微处理器520可以包含处理器电路和专用加密/解密逻辑,它们被集成在同一电路布局中,从而比如可以最佳地共享ー个或多个电路元件。通常最好采用具有计算高效性但又高度安全的“批量”加密/解密技术来保护大多数由SPU 500处理的数据和对象。最好使用极为安全的加密/解密技术作为ー种方式,对正在建立通信信道的电子设备600的身份进行验证,并保障被传送的许可、方法和管理信息的安全性。在较佳实施例中,加密/解密机522含有对称密钥加密/解密电路(如DES,Skip jack/Clipper,IDEA,RC-2,RC-4等等)和反对称(非对称)或公开密钥(“PK”)加密/解密电路。公开/私有密钥加密/解密电路主要作为ー种方式来保障SPU 500与VDE管理员以及其它处于VDE安全子系统间的电子设备600之间通信的安全性。对称密钥加密/解密电路可用来“批量”地加密和解密保存于SPU 500所在电子设备600的ニ级存贮器662中的大多数数据。该对称密钥加密/解密电路也可用来加密/解密保存于VDE对象300中的信息内容。DES或公用/私有密钥方法可用于所有加密功能。在另ー个实施例中,除DES和公用/私有密钥方法之外的其它加密和解密方法可用于各种有关加密的功能。例如,可用其它类型如使用相同密钥进行加密和解密的对称加密/解密技术来代替DES加密和解密。较佳实施例可以支持多种加密/解密技术,这些技术使用了加密/解密机522中的多个专用电路,并且(或者)使用了 SPU 500中的处理结构。模式匹配机524可选的模式匹配机524可提供专用硬件用以完成模式匹配功能。SPU 500可以执行的ー种功能是对VDE对象和其它项进行有效性检查/验证。有效性检查/验证经常涉及对长数据串进行比较,以判断它们是否按照预定方式匹配。另外,某些使用形式(如被访问元素的逻辑和/或物理(连续)相关性)可能需要捜索长数据串,以寻找某些位模式或其它与有意义的模式相关的量度。尽管可以由SPU微处理器520在软件的控制下进行模式匹配,而提供专用硬件模式匹配机524将加速模式匹配的过程。压缩/解压缩机546SPU 500中可含有可选的压缩/解压缩机546用以压缩和(或)解压缩VDE目标300中保存或发布的信息内容。压缩/解压缩机546可以采用硬件电路来实现ー种或多种压缩算法,从而提高压缩/解压缩操作的性能。如果不用硬件电路,则要使用运行于微处理器520上或SPU 500之外的软件来进行压縮/解压缩操作。在视像或声音之类的数据发布时,解压缩有重大意义,这是因为这类数据在发布之前通常是被压缩的,而其解压速度又是很重要的。在某些情况下,将供使用监视目的所用的信息(如记录分隔符或其它分界符)由ー个压缩层加以隐藏,该压缩层在SPU内部检测和使用上述信息之前必须被除去。随机数发生器542可选的随机数发生器542可提供专用硬件电路,用以产生随机数(例如从量子噪声之类的、本来就无法预知的物理过程中产生随机数)。这种随机数在创建加密密钥或唯ー的标识符时、或在伪随机数序列生成过程的初始化时特别有用。随机数发生器542可以产生合适长度的数值,包括毎次提供小至一个位的数值。通过将随机数发生器542产生的数值串接在一起便可以构造任意大小的随机数。用随机数发生器542产生随机数密钥和种子,再通过加密/解密机522或SPU 500中的加密算法对之进行循环加密,就可以产生具有强的保密特性的伪随机数序列。这种序列可以用于私有头信息,以阻止通过加密分析手段来推断密钥。运算加速器544SPU 500中可设有ー个可选的、采用硬件电路形式的运算加速器544,它可以快速地完成数学运算,例如涉及大数的乘法和指数运算。可由(举例来说)微处理器520或加密/解密机522发出执行这些运算的请求,以协助完成进行特定非対称加密/解密运算所需的计算。该运算加速器是此项技术的熟练人员所熟知的。再某些实现中,可以省去単独的运算加速器544,而所有必需的运算均可以在软件的控制下由微处理器520完成。
DMA 控制器 526
DMA控制器526控制信息在地址/数据总线536上传输,而无须要求微处理器520去处理每个单独的数据传输。典型地,微处理器520可向DMA控制器526写入目标和目的地地址以及需传输的字节个数,然后DMA控制器526可自动地在SPU 500的部件之间(如从ROM 532到RAM 534、在加密/解密机522和RAM 534之间、在总线接ロ部件530和RAM534之间,等等)传输ー块数据。DMA控制器526可以含有多个通道以同时处理多个传输。在某些实现中,可省去単独的DMA控制器526,而所有必需的数据传输均可在软件的控制下由微处理器520完成。总线接ロ部件(BIU) 530总线接ロ部件(BIU) 530使信息穿过安全屏障502在SPU 500和外界之间进行传送。图9所示的BIU 530加上适当的驱动软件可构成图6所示的“设备链”510。在较佳实施例中,总线接ロ部件530可能根据USART或PCI总线接ロ进行设计。在本例中,BIU 530将SPU 500与图8所示的电子设备系统总线653相连。经过设计,BIU 530禁止对SPU 500内部部件及其内容的未授权访问。其实现方法是BIU 530只允许与SPU 500相关联的信号被运行于微处理器520中的控制程序所处理,而不支持对SPU 500内部部件的直接访问。 内存管理部件540内存管理部件(MMU) 540如果存在的话,则对内存管理和虚拟内存管理功能提供硬件支持。它也可以通过对安全执行空间实行強制性硬件隔离来提高安全性(例如,禁止不甚可信的任务修改较为可信的任务)。下面将结合讨论SPU 500所支持的安全处理环境(“SPE”)503的体系结构,对MMU 540进行更详细地说明。MMU 540也可以在硬件层次提供与内存管理有关的支持功能,如地址映射。SPU存贮器体系结构在较佳实施例中,SPU 500使用3种通用类型的存贮器(I)内部 ROM 532;⑵内部RAM 534 ;及(3)外部存贮器(通常为宿主电子设备提供的RAM和/或盘)。SPU 500内部的ROM 532和RAM 534提供了安全的操作环境和执行空间。由于成本限制、芯片制造规模、复杂度以及其它限制,在SPU 500中不可能提供充足的存贮器以存贮SPU需以安全方式进行处理的所有信息。由于SPU 500内部可以包含的ROM 532和RAM534具有容量的实际限制,SPU 500可以将信息保存在外部存贮器中,并根据需要将该信息移入或移出其安全的内部存贮器空间。在此情况下,通常必须将SPU执行的安全处理步骤分成小块的、经过安全封装了的単元,而这些単元可能被“页调入”或“页调出”有限可用的内部存贮器空间。SPU 500外部的存贮器可能没有安全性。由于外部存贮器可能没有安全性,SPU 500可以首先对代码和其它信息进行加密并加入密封码,然后再保存到外部存贮器中。类似地,SPU 500通常必须首先对取自外部存贮器中的代码和其它信息进行解密,然后再根据该信息进行处理(如执行)。在较佳实施例中,针对SPU 500中可能的存贮器限制,有两种通用的解决途径。在第一种情况下,小块的、经过安全封装了的単元代表安全数据库610中所包含的信息。在第二种情况下,上述单元可以代表被保护的(如被加密的)虚拟内存页。尽管虚拟内存页可以对应于保存于安全数据库610中的信息単元,而在本例的SPU存贮器体系结构中并不要求如此。
下面将对三种SPU存贮器资源进行详细说明。SPU 内部 ROMSPU 500的只读存贮器(ROM) 532或具有类似功能的设备为特定程序以及其它信息提供了非易失性的内部安全存贮。例如,ROM 532可能保存“核心”程序,如SPU控制固件508,或者在需要的情况下保存加密密钥信息和某些重要的“加载模块”。“核心”程序、加载模块信息和加密密钥信息启动对SPU500某些基本功能的控制。可以在ROM 532中装入一些至少部分依赖于设备配置的组成部分(如POST、存贮器分配模块,以及调度模块),以及另外ー些经确定为特定安装和应用所需要的加载模块。在较佳实施例中,ROM 532可以含有带掩模的ROM 532a和EEPROM以及(或者)等价“快速”存贮器532b。EEPROM或快速存贮器532b用来保存需要更新和/或初始化的项, 如特定加密密钥。提供EEPROM和/或快速存贮器532b的另ー个好处是可以根据特定位置的典型使用情況,对始终保存在SPU 500中的任何加载模块和库函数进行优化。尽管这些项也可以保存在NVRAM 534b中,但EEPROM和/或快速存贮器532b可能更廉价ー些。带掩模的ROM 532a可能比快速存贮器和/或EEPROM 532b更为廉价,它可用来存贮SPU软件/固件的永久性部分。这些永久性部分可以包含硬件部件如RTC 528、加密/解密机522、中断处理器、密钥发生器等的接ロ代码。操作系统的某些部分、库调用、库函数以及由SPU500提供的许多核心服务也可以存贮在掩模ROM 532a中。另外,某些较为常用的执行代码也比较适合存入掩模ROM 532a中。那些需要被更新或者在下电后应该从SPU 500中消失的信息不应存贮在掩模R0M532a中。在某些情况下,RAM 534a和/或NVRAM 534b (NVRAM 534b可以是(举例来说)被一直供电的传统RAM)可以至少部分地充当ROM 532的角色。SPU 内部 RAMSPU 500的通用RAM 534与其它部件一道为安全过程提供了安全的执行空间。在较佳实施例中,RAM 534由不同类型的RAM组成,例如,这些RAM可以是高速RAM 534a和NVRAM( “非易失性”的RAM) 534b的组合。RAM 534a可以是易失性的,而NVRAM则最好由电池供电,或采用其它方法使之具有“非易失性”(即在下电后其内容不会丢失)。高速RAM 534a存贮需要执行的活跃代码及相关数据结构。NVRAM 534b最好保存在SPU 500与VDE管理员要进行通信的一个初始化过程中预加载的某些密钥和概要数值,它也可以存贮与SPU500操作有关的、可变或正在变化的信息。基于安全的原因,某些特别敏感的信息(例如某些加载模块,以及某些加密密钥的相关信息如内部产生的私有密钥)需要经常装入SPU 500或由SPU 500内部产生,但是,一旦被装入或内部产生,这些信息绝不能离开SPU。在较佳实施例中,SPU 500非易失性随机访问存贮器(NVRAM) 534b可以用来安全地保存这种特别敏感的信息。SPU 500也用NVRAM 534b来保存那些可能经常改变的、但在下电或电源故障时最好又不应丢失的数据。NVRAM最好是ー个快速存贮器阵列,但也可以是电可擦除可编程只读存贮器(EEPROM)、静态RAM(SRAM)、磁泡存贮器、三维全息或其它光电存贮器或诸如此类的存贮器、或任何其它可写的(如可随机访问的)、具有非易失性的存贮器,这些存贮器还应具有足够高的速度,并且价格低廉。SPU外部存贮器
SPU 500可以将某些信息存贮在SPU外部的存贮设备中。电子设备600的存贮器如果可用的话也可以用来支持SPU 500软件中任何设备外部部分。允许SPU 500使用外部存贮器可能带来某些好处。作为ー个例子,通过使用宿主电子设备600中的非易失性读/写存贮器(如RAM656和/或ROM 658的非易失性部分),可以减少SPU 500内部存贮器的容量。这种外部存贮器可用来存贮SPU程序、数据和/或其它信息。例如,ー个VDE控制程序可以至少部分地被加载到存贮器中,并在执行前首先传送到SPU 500中进行解密。该控制程序可以被重新加密并传回外部存贮器进行保存,留待SPU 50 0以后执行。SPU 500可以将“核心”程序和/或部分或全部非核心的“加载模块”保存在其外部存贮器中。由于安全数据库610可以相对较大,SPU 500可以将部分或全部安全数据库保存在外部存贮器中,并且在需要的时候将某些部分调进SPU500。如上所述,SPU 500的外部存贮器可以不具安全性。因此,当需要确保安全性的时候,SPU 500必须一方面首先对安全性信息进行加密,然后再将该信息写入外部存贮器中;另ー方面首先对取自外部存贮器的安全性信息进行解密,然后再使用该信息。由于该加密层依赖于SPU 500中的安全过程和信息(如加密算法和密钥),所以它有效地“延伸”了 SPU安全屏障502,从而保护了 SPU 500存贮在其外部存贮器中的信息。SPU 500可以使用各种不同的外部存贮器。例如,外部存贮器可以包括诸如磁盘之类的电子设备ニ级存贮器652、外部EEPROM或快速存贮器658、以及/或者外部RAM 656。外部RAM 656可以包括外部的非易失性(如持续供电的)RAM和/或高速缓存RAM。使用SPU 500本地的外部RAM可以显著地提高对SPU外部所保存信息的访问速度。例如,外部RAM可以用来 首先缓存内存图象页和数据结构,再将之保存到快速存贮器或外部硬盘(假设在发生严重电源或系统故障时需要向快速存贮器或外部硬盘传送数据)。 为VDE对象300输出的数据提供加密和解密缓冲区。 高速缓存目前正在被使用的“交换块”和VDE数据结构,作为向SPU 500提供安全虚拟内存环境的ー个方面。 高速缓存其它信息,例如用来减少SPU访问ニ级存贮器652的频率,以及/或者为其它目的。双端口外部RAM在提高SPU 500性能方面尤其有效,原因在于它可以减少SPU总线接ロ部件530和SPU微处理器520的数据移动开销。使用SPU 500本地的外部快速存贮器可以显著地提高对实际上所有数据结构的访问速度。由于大多数可用的快速存贮设备写入寿命有限,快速存贮器要考虑在快速存贮器的使用寿命期中需要进行多少次写入操作。因而,不主张用快速存贮器来保存那些需要频繁写入的临时内容。如果外部RAM具有非易失性,那么向快速存贮器(或硬盘)传输数据可以是不必要的。SPU 500使用的外部存贮器可以含有两种类型今SPU 500专有的外部存贮器今与电子设备600共享的存贮器对于某些VDE实现,与CPU 654或电子设备600的其它部件共享存贮器(如电子设备的RAM 656、ROM 658和/或ニ级存贮器652)可以是ー种最廉价的方法用来保存VDE安全数据库管理文件610和需要保存在SPU 500外部的信息。用以完成通用文件存贮功能的宿主系统硬盘ニ级存贮器652也可用来存贮VDE管理文件610。可以使SPU 500对外部存贮器具有排它的访问权(例如,通过BIU 530提供的局部总线高速连接),还可以同时提供专有的和共享的外部存贮器。上面对电子设备600 —个例子的硬件配置进行了说明。下面将描述由较佳实施例提供的电子设备600软件体系结构的ー个例子,包括较佳实施例“权利操作系统” (“R0S,,)602的结构和操作。权利操作系统602较佳实施例中的权利操作系统(“R0S”)602是ー个紧凑的、安全的、事件驱动的、基于服务的、面向“部件”的、分布多处理操作系统环境,它将VDE信息安全控制信息、部件和协议以传统的操作系统概念集成在一起。象传统操作系统一祥,较佳实施例提供的ROS 602是一段程序,它管理计算机系统中的硬件资源,并将管理功能延伸至输入和/或输出设备,包括通信设备。同时,也类似于传统操作系统,较佳实施例ROS 602提供了一致的ー组基本功能和抽象层,用来隐藏具体硬件实现之间的差别和有关实现的许多复杂细节。除了许多或大多数操作系统所具有的这些特征之外,ROS 602提供了其它操作系统所不具备的安全VDE交易管理和其它先进特性。下面是ー个非穷举的列表,它列举了较佳实施例ROS602提供的部分先进特性。标准接ロ提供了一致的基本功能集今简化了编程今相同的程序可以运行于许多不同的平台上事件驱动+便于功能分解+可扩展令支持状态转换和/或面向进程的事件+简化了任务管理+简化了进程间通信基于服务+支持简化的和透明的可伸縮性+简化了多处理器支持今隐藏了机器相关性+便于网络管理和支持基于部件的体系结构+基于可独立传送的安全部件的处理今处理控制的部件模型支持不同的串行步骤,这些步骤可根据需求重新配置今可以增加、删除和修改部件(需经许可)今针对预定义的和用户定义的应用事件的全面控制信息+事件可由独立的可执行程序进行单独控制安全
今安全的通信今安全的控制功能+安全的虚拟内存管理+信息控制结构受到保护而不致泄露令数据元素受到确认、关联和访问控制+部件被单独加密和确认今部件是紧密相关的,从而防止对元素的未授权使用今控制结构和安全化的可执行程序在使用之前首先经过确认,从而防止了破坏
今在I/O层集成了安全措施今提供了发布时的快速信息解密+支持安全的商业交易网络今灵活的密钥管理特性可伸缩件今可高度伸縮于多种不同平台之间今支持多处理器环境中的并行处理+支持多个相互协作的处理器今可以支持任意数量的主机或安全处理器今控制结构和核心可以被很容易地移植到各种主平台以及目标平台中的不同处理器上,而无须进行重新编译。令支持远程处理今可使用远程过程调用以实现内部的OS通信高度的可集成性今可以作为操作系统的附加层与宿主平台高度地集成在一起+允许使用位于传统OS平台之上的ー个OS层,对安全化的部件和信息进行非安全的存贮今可以与宿主操作系统无缝地集成在一起,从而为交易管理和信息内容访问提供了ー个公共使用模式+集成可以采取多种形式用于桌上型计算机的操作系统层(如DOS、Windows,Macintosh);用于网络服务的设备驱动程序和操作系统接ロ(如Unix和Netware);以及用干“低端”顶置设备的专用部件驱动程序,以上是其中的一些例子令可以与传统的和实时的操作系统集成在一起分布件+提供控制信息的分布和互换控制信息和机制+支持受控进程在分布式异步配置中任何VDE节点上的有条件执行令分布式环境中的受控权利分派+支持处理和控制链+为分布式的、偶尔连接但其它情况下异步的连网数据库提供了管理环境今实时及与时间无关的数据管理今支持“代理”进程
诱明件今可以无缝地集成进现有的操作系统中+可以支持不是专门为使用它编写的应用网络友好件今内部OS结构可以使用RPC分配处理+可将子网作为单个节点或独立地进行无缝操作有关操作系统的一般背景知识“操作系统”提供了管理计算机系统资源的控制机制,从而允许程序员更加方便地创建计算机系统的应用。为此,操作系统提供了通用的功能,并确保在(可能(举例来说) 由不同厂家生产的)不同计算机硬件和体系结构之间的兼容性。操作系统还使得计算机“外部设备”生产厂家更加方便地向计算机生产厂家和用户提供兼容设备。计算机系统通常由若干不同硬件部件组成。这些硬件部件包括如ー个中央处理单元(CPU),用来执行指令;一个主存贮器单元阵列(如“RAM”或“ROM”),用来保存供执行的指令,以及被这些指令所作用的、或充当这些指令的參数的数据;以及ー个或多个ニ级存贮设备(如硬盘驱动器、软盘驱动器、⑶-ROM驱动器、磁带机、读卡机或“快速”存贮器),该设备被组织成反映命名的元素(“文件系统”),用来存贮主存贮器单元的映像。大多数计算机系统还含有输入/输出设备,如键盘、鼠标、显示系统、打印机、扫描仪和通信设备。为了使CPU的执行功能与可用的RAM、ROM和ニ级存贮设备组织在一起,也为了向程序员提供通用功能,通常与其它部件一起包含一段称为“操作系统”的软件。通常如此设计该段软件,即使之在计算机系统上电并且硬件诊断完成之后开始执行。此后,所有对CPU、主存贮器和ニ级存贮设备的使用通常都由该“操作系统”软件进行管理。大多数计算机操作系统还通常含有将其管理功能延伸至I/O及其它外部设备的机制,包括与这些设备相关的通用功能。通过利用操作系统对CPU、存贮器和外部设备进行管理,可提供出一致的ー套基本功能和隐藏硬件细节的抽象层,从而允许程序员更加方便地创建复杂的应用。另外,用操作系统管理计算机的硬件资源,可以使得不同生产厂家之间在设计上和设备要求上的许多差别得到隐藏。此外,可以更加方便地与其它具有相同操作系统的计算机用户共享应用程序,而这只需在支持不同厂家的基本硬件和外部设备方面投入较少的工作。ROS 602是ー个具有显著优点的操作系统ROS 602是ー个“操作系統”。它管理电子设备600的资源,并提供通用的功能集合供程序员为电子设备编写应用608。较佳实施例中的ROS 602对SPU 500中的硬件(如CPU、存贮器、安全RTC、以及加密/解密机)进行管理。ROS也对电子设备600的一个或多个通用处理器中的硬件(如CPU和存贮器)进行管理。ROS 602还管理其它电子设备硬件资源,如与电子设备相连的外部设备。例如(參看图7),ROS 602可以管理键盘612、显示器614、调制解调器618、盘驱动器620、打印机622、扫描仪624。ROS 602还可以管理安全数据库610以及用来存贮安全数据库610的存贮设备(如“ニ级存贮器” 652)。
ROS 602支持多处理器。较佳实施例中的ROS 602支持任意数量的本地和/或远程处理器。至少可以支持两种类型的处理器ー个或多个电子设备处理器654,和/或ー个或多个SPU 500。宿主处理器CPU654可以提供存贮、数据库和通信服务。SPU 500可以提供加密和安全化进程执行服务。由ROS 602所支持的多种控制和执行结构可以要求对控制信息要在可控制的执行空间中进行处理。这种可控制的执行空间可以由SPU 500提供。附加的宿主和/或SPU处理器可以提高处理效率和/或能力。ROS 602可以(如通过网络或其它通信链路)访问、协调和/或管理电子设备600的其它远程处理器,以提供更多的处理器资源和/或能力。ROS 602是基于服务的。在较佳实施例中,通过使用“远程过程调用”(“RPC”)内部处理请求结构,把利用宿主处理器654和/或安全处理器(SPU 500)所提供的各项ROS服务链接在一起。相互协作的处理器可使用RPC机制请求进程间服务,RPC机制具有最小的时间依赖性,并且可以分布于网络中众多主机的相互协作处理器之中。R0S602提供的多处理器体系结构易于扩展,以便支持任意数量的主机和安全处理器。这种可扩展性带来了高度的可伸縮性。ROS服务还允许在不同设备上实现不同的功能。例如,对于那种只服务ー 个用户的、使用水平较低的小型设备来说,在其上实现数据库服务所采用的技术可以大大不同于那种可服务大量用户的、使用水平较高的大型设备。这是可伸縮性的另ー个方面。ROS 602提供了分布式处理环境。例如,它可以如满足用户请求所要求的使信息和控制结构自动、安全地来往于各个地点之间。基于R0S602的分布式处理特征,VDE节点之间的通信可以包括如上所述的进程间服务请求。ROS 602支持任意VDE节点中受控处理器的有条件和/或状态依赖执行。进程的执行位置以及所使用的控制信息或可位于本地,或可远程访问,或者由进程携帯以支持在远程系统中执行。ROS 602提供控制信息的分布,包括如控制结构的分布,用以支持在远程环境中运行“代理”(agent)。因而,ROS 602提供了ー套机制,可以将执行和/或信息控制作为对于“代理”进程出现的请求的一部分进行传递。如果需要,ROS 602可以独立地通过低带宽连接通路将控制信息分布,这种低带宽连接通路可以是也可以不是“实时”的连接。较佳实施例中的ROS 602具有“网络友好性”,可以用网络协议的任意层来实现。电子邮件和直接连接是其中的ー些例子,它们大约实现在ISO模型的“第5层”。ROS 602的分布进程(以及对分发信息的相关审核)是ー个受控事件,它本身使用上述控制结构。这种“映像式”分布处理机制允许R0S602以受控的方式安全地分发权利和许可,并且有效地限制信息内容的使用特征。这种分布式环境中的受控权利分派以及ROS602为支持该方式所采用的安全处理技术具有显著的优点。ROS 602中的某些控制机制是“交互”的。交互控制机制将ー个或多个控制部件放置于ー个或多个地点,而该控制部件以受控方式与同一或不同地点处的ー个或多个部件交互作用。例如,位于用户一方的、与对象信息内容相关的使用控制可以在分发者一方含有交互控制,该分发者一方管理上述使用控制的分布、使用控制的审核以及与使用控制相关的用户请求处理逻辑。位于用户一方的使用控制(除了对使用的一方面或多方面进行控制以夕卜)可以为分发者做审核准备,并对有关使用控制的请求进行格式化,供分发者处理。位于交互控制任何一端的进程都可以进一歩被其它进程所控制(例如,分发者可以被使用控制机制所产生的数量的预算所限制)。交互控制机制可以延伸及许多地点和许多层次(例如从制作者到分发者,到用户),并且可考虑到任何关系(例如,制作者/分发者、分发者/用户、用户/用户、用户/制作者、用户/制作者/分发者,等等)。在VDE 100中,交互控制机制在表示分布式环境中的关系和协定方面有许多用途。ROS 602是可伸缩的。ROS 602控制结构和核心中的许多部分不必重新编译即可方便地移植到各种宿主平台上。如果得到授权允许这种活动的话,任何控制结构都可以被分布(或重新分布)。ROS 602中可执行程序的引用可在目标平台内移植。ROS 602的不同实例使用不同的资源来执行该引用。例如,ROS 602的ー个实例可以使用SPU 500来执行某个任务,同时ROS 602的另ー个实例可以使用宿主处理环境来执行相同的任务,该宿主处理环境运行于受保护的存贮器中并用软件来仿真SPU。ROS 602的控制信息同样是可移植的。在许多情况下事件过程结构都可以在机器和主机平台间进行传送,这与在单个计算机内部各相互协作的处理器之间进行传送一祥容易。具有不同使用级别和/或ROS 602功能可用资源的设备可以采用非常不同的方式来实现上述功能。如果没有足够资源的话,某些服务就可以被整个省去。如上所述,ROS 602 “知道”哪些服务是可获得的,以及在任何给 定事件的前提下如何进行进一歩的处理。在资源缺乏或不足的情况下,并非所有的事件都是可处理的。ROS 602是基于部件的。较佳实施例ROS 602所提供的许多功能都可能是基于“部件”的,“部件”可以(例如,在适当的安全条件和授权前提下)被安全独立地传送,可被替换,并且可被修改。另外,“部件”本身可以由可独立传送的元素构成。ROS 602可以(使用较佳实施例提供的、名为“通道”的结构)在执行时刻将这些元素装配到一起。例如,由SPU500执行的“加载模块”可以引用ー个或多个“方法核心”、方法參数以及其它相关的数据结构,而ROS 602可以将上述这些元素收集和组装在一起以便执行诸如计帐或计量之类的任务。不同的用户可以拥有不同的元素组合,并且在适当的授权之下,某些元素可以由用户来定制。这个特征可以提高灵活性,允许重用元素,并且还具有其它优点。ROS 602具有高度安全性。ROS 602提供了ー套机制,用来保护信息控制结构,使之不被最终用户和管道主机所泄露。利用牢靠的加密和验证机制,ROS 602可以对信息、VDE控制结构和可执行控制程序进行保护。这些加密和验证机制经过设计可充分抵御未探測到的破坏。ROS 602对存贮在ニ级存贮设备652中的信息进行加密以防止破坏。ROS 602还分别加密和验证其各种部件。ROS 602将控制和数据结构部件关联在一起,以防止对元素进行未授权的使用。这些特征允许R0S602独立地分布元素,而且还允许将VDE功能604与非安全的“其它” OS功能606集成在一起。较佳实施例所提供的ROS 602将诸如访问控制表(ACL)结构之类的传统功能延伸到了用户和进程定义的事件,包括状态转移。R0S602可以向预定义和用户定义的应用事件提供全面的控制信息。这些控制机制包括“通行/禁行”许可,还包括可选的、特定于事件的可执行程序,这种执行程序使得对事件进行的处理和/或控制具有完善的灵活性。这样的结构允许事件被单独控制,于是(举例来说)可使用独立的可执行程序进行计量和预算处理。例如,ROS 602扩展了 ACL结构以控制任意粒度的信息。传统的操作系统在文件或资源级提供了静态的“通行-禁行”控制机制;R0S 602采用通用方法并使用灵活的控制结构,将上述控制概念从最大的元素扩展到最小的子元素。ROS 602可以(举例来说)控制从文档文件中打印出单ー的一段。较佳实施例提供的ROS 602允许对管理各个部件的控制信息进行安全的修改和更新。控制信息可以以诸如方法选项之类的模板格式提供给最终用户。最終用户于是可以定制由分发者或信息内容制作者提供的准则中所使用的实际控制信息。对现有控制结构的修改或更新最好是一个可控制的事件,该事件受到审核和控制信息的控制。较佳实施例中的ROS 602在使用控制结构和安全化可执行程序之前首先对之进行验证。该验证能够确保控制结构和可执行程序未受最终用户的破坏。该验证还使得ROS602能够安全地实现包括文件段及其它操作系统结构在内的部件。较佳实施例中的ROS602将安全性措施集成在操作系统的I/O层(位于访问层之下),并提供了发布时刻的“快速”信息解密。这些特性允许使用位于传统操作系统平台之上的ー个OS层对ROS 602的安全化部件和信息进行非安全化的存贮。 ROS 602可以作为操作系统的附加层与宿主平台高度地集成在一起。于是,ROS602的创建可以通过对现有操作系统进行“添加”来实现。它包括将VDE “添加部分”在设备驱动程序和网络接ロ层上挂接到宿主操作系统。作为另ー种选择,ROS 602可以含有一个全新的操作系统,该操作系统将VDE功能和其它操作系统功能集成在一起。实际上,至少有3种通用的方法,用来在可能基于现有操作系统前提下将VDE功能集成进ー个新操作系统中从而创建权利操作系统602。这3种方法是(I)根据VDE交易管理的要求重新设计操作系统;(2)将VDE API功能调用编译进ー个现有的操作系统中;(3)将ー个VDE解释程序集成进ー个现有的操作系统中。在设计新操作系统时,或计划对现有操作系统进行重大升级时,第一种方法可能是最有效的适用方法。可以将VDE功能所提供的交易管理和安全要求添加到用来设计新操作系统的设计要求列表中,这样就能够以ー种优化的有效方式将“传统”操作系统功能与VDE功能集成在一起。例如,负责设计操作系统新版本或实例的工程师可以将VDE计量/交易管理的要求补充到其它ー些他们用以形成设计方法、规范和实际实现的要求(如果有的话)之中。这种方法通过在贯穿整个系统设计和实现过程中穿插进计量/交易管理功能,可以实现VDE功能的无缝集成。第二种方法将涉及到使用现有的API (应用程序员接ロ)集合,并且把对操作系统代码的调用纳入VDE功能调用中。这类似于将目前的Windows操作系统与DOS集成的方法,其中,DOS充当Windows操作系统的启动点和重要核心支撑部分两重角色。该方法还可提供高度无缝的集成(尽管“无缝”的程度不象第一种方法那样强)。该方法的优点在干有可能花费不大就可以将计量/交易管理功能納入操作系统的ー个新版本或实例中(通过使用API所含有的现有代码,以及借鉴API功能方法的设计思想来影响纳入了计量/交易管理功能的元素的设计)。第三中方法区别于前两种的地方在于它没有将有关计量/交易管理和数据安全性的VDE功能直接納入操作系统代码中,而是向操作系统添加了通用化的新功能,用来执行计量/交易管理功能。在这种情况下,含有计量/交易管理功能的解释程序将采用“独立”的方式与其它操作系统代码集成在一起。该解释程序可以根据脚本或其它输入来决定应该执行哪些计量/交易管理功能,以及按什么顺序或在什么情况或条件下执行。
除了将VDE功能集成进电子设备操作系统中之外,也可以在传统操作系统之上运行ー个应用,使该应用提供某些可用的VDE功能。ROS软件体系结构图10是中的框图示意了较佳实施例提供的权利操作系统(“R0S”)602的软件组织/体系结构示例。在该例中,ROS 602含有操作系统(“OS”)“核心”679、用户应用程序接ロ ( “API”)682、“重定向器” 684、“截获器” 692、用户通告/异常接ロ 686、以及文件系统687。本例中的ROS 602还含有ー个或多个宿主事件处理环境(“ΗΡΕ”) 655和/或一个或多个安全事件处理环境(“SPE”) 503 (这些环境可通称为“受保护的处理环境” 650)。HPE 655和SPE 503是自包含的计算和处理环境,它们可以含有其本身的操作系统核心688,操作系统核心688包含代码和数据处理资源。给定的电子设备600可以含有任意数量的SPU 503和/或HPE 655。HPE 655和SPE 503可以安全的方式处理数据,并为 ROS 602提供安全处理支持。例如,它们都可以根据ー个或多个VDE部件组690来执行安全处理,而且它们都可以向OS核心680提供安全处理服务。在较佳实施例中,SPE 503是ー个安全的处理环境,其中至少一部分是由SPU 500所提供。因而,SPU 500提供了环绕SPE 503的硬件的防破坏屏障502。较佳实施例中的SPE 503最好具有如下特征■小且紧凑今可被加载进具有资源限制的环境,例如最小配置的SPU 500+可被动态地更新+可被授权用户扩展今可集成进对象或过程环境中今具有安全性在较佳实施例中,HPE 655是ー个安全的处理环境,它由除SPU之外的其它处理器所支持,如电子设备CPU 654通用微处理器,或者其它处理系统或设备。在较佳实施例中,由于HPE 655可以用软件来提供本来由SPU硬件和/或固件所提供的部分或全部处理资源,在这个意义上,可以认为HPE 655是用来“仿真” SPU 500的。在本发明的ー个较佳实施例中,HPE 655是全功能的,并且与SPE 503完全兼容-这就是说,HPE 655可以处理SPE503可处理的每个或所有服务调用,这样,从外界接ロ的角度来看,SPE和HPE是“插接兼容的”(plug compatible)(例外情况是,HPE所提供的安全性可能不及SPE)。HPE 655可以有两种类型安全的和非安全的。例如,为使电子设备600能够使用快速通用处理器或计算机的全部资源从而有效地运行非敏感性的VDE任务,可希望提供非安全的HPE 655版本。这种非安全HPE 655版本的运行可以受ROS 602的ー个实例的监管,而该R0S602同时还含有ー个SPE 503。采用这种方式,ROS 602可以在SPE 503中运行所有安全进程,而只在HPE 655中运行那些无需安全性的进程,但这些进程同时又可能要求使用(或满足高效运行而需要)由支持HPE655的通用计算机或处理器所提供的、可能较多的资源。非安全的和安全的HPE 655可以与安全的SPE 503 —起运行。(如图10所示)HPE655可以带有基于软件的防破坏屏障674以增加其安全性。这种基于软件的防破坏屏障674可以由运行于通用CPU654中的软件来创建。这种“安全”的HPE 655可以被ROS 602用来执行某些进程,这些进程虽然仍需要安全性,但可以不需要SPU 500所提供的那种高安全性。在含有SPE 503和HPE 655两者的体系结构中,这个特性将特别有益。SPE 503可以用来执行所有真正的安全处理,而ー个或多个HPE 655可以用来执行另外的安全(虽然可能不如SPE安全)处理,HPE 655此处使用了电子设备600中可用的宿主处理器或其它通用资源。这种安全的HPE 655可以提供任何服务。在较佳实施例中,“通道处理”的某些特征看起来比较适合随时从SPE 503转移到HPE 655中。HPE 655提供的基于软件的防破坏屏障674可以有下面的实现方法,如使用时间检查和/或代码修改等手段,使得利用调试程序对含有核心688a部分和/或部件组690部分的代码进行单步跟踪变得相当困难;对存贮设备(如硬盘、存贮器卡等)使用缺陷图而形成内部测试值,从而阻止从HPE 655往其它电子设备600移动或复制内容;使用在控制流中含有伪跳转及其它复杂流程控制的核心代码,从而在一定程度上伪装内部处理过程,使之避免被反汇编或受到其它试图掲示其处理细节的行为的影响;使用“自生成”代码(例如,基于余弦变换的输出),这样ー来,不再把详细的和/或完整的指令序列明确地保存在存贮设备和/或活动存贮器中,而是在需要的时候生成这些指令;使用那种基于运算參数而“打乱” 了存贮单元的代码,而在这些存贮单元中放有数据,这样就使得对这些数据进行操纵变得相当困难;使用 电子设备600所提供的任何软件和/或硬件内存管理资源,以“保护” HPE 655中的操作使之免受其它进程、操作等的破坏。尽管这种基于软件的防破坏屏障674能够提供相当程度的安全性,它通常不如由SPU500(至少部分)提供的基于硬件的防破坏屏障502安全。在诸如SPU500所提供的那些硬件安全性措施的帮助下,安全性可以得到更有效地加强,基于此原因(以及其它因素,如SPU 500的专用电路所带来的性能提高),对于许多或大多数安全性较高的应用来说,最好至少提供ー个SPE 503。然而,对于那些可允许较低安全性和/或无カ支付SPU 500的应用来说,可以需要省去SPE 503,而所有的安全处理都要由执行于通用CPU 654中的ー个或多个HPE 655来代替执行。如果未向特定VDE进程提供足够的安全性,那么可能就不允许这些进程在上述那种降低了安全性的电子设备中执行。只有那些完全在SPE 503 (有时候也包括H PE 655)中执行的进程才可能被看作是真正安全的。用来存贮和/或处理安全进程所使用的代码和/或数据的存贮器以及SPE503和HPE 655的其它外部资源只能以加密的形式接收和处理这些信息,除非SPE 503/HPE655可以保护安全进程的代码和/或数据以避免遭受非安全进程的破坏。较佳实施例中的OS “核心”679含有核心680、RPC管理器732和“对象开关”734。API 682,HPE 655以及SPE 503可以通过OS “核心” 679相互传送“事件”消息。它们也可以使消息不经过OS “核心” 679而直接进行相互间的消息通信。核心680可以管理电子设备600的硬件。例如,它可以提供适当的驱动程序和硬件管理器以便与输入/输出和/或外部设备进行交互作用。外部设备的例子有键盘612、显示器614、其它设备如“鼠标”指示设备和语音识别器613、调制解调器618、打印机622和网络适配器672。核心680也可以负责初始加载ROS 602的其余部分,并且可以在各种ROS任务执行时对之(及其底层相关硬件资源)进行管理。OS核心680也可管理和访问安全数据库610和文件系统687。OS核心680也可为应用608a (I)、608a (2)等以及其它应用提供执行时的服务。RPC管理器732为核心680完成信息路由选择和/或资源管理/集成。例如,它接收来自API 682,HPE 655和SPE 503的“调用”,或选择合适的路由将“调用”送至API 682、ΗΡΕ 655 和 SP E 503。对象开关734可管理VDE对象300的创建、拆除及其它操纵。较佳实施例中的用户通告/异常接ロ 686(可以将之看作是API 682的一部分或与该API相结合的另ー个应用)在显示器614上提供了 “弹出式”窗ロ /显示。这可以使ROS 602直接与用户通信,而不必使需要传递的信息经过应用608。对于非“VDE感知型”的应用,用户通告/异常接ロ 686可以提供ROS 602与用户之间的通信。较佳实施例中ΑΡΙ682提供给应用608 —个标准化的、具有文档说明的软件接ロ。ΑΡΙ682可以部分地把应用608产生的操作系统“调用”翻译成指定了“事件”的远程过程调用(“RPC”)。RPC管理器732可以将这些RPC按照合适的路由发送至核心680或其它地方(如HPE 655和/或SPE503,或远程电子设备600、处理器或VDE參与者)以供处理。API 682也可以对RPC请求进行服务,其方法是将这些RPC请求发送到经过注册负责接收和处理指定请求的应用608。API 682提供了一个“应用编程接ロ ”,该接ロ最好是标准化的且具有文档说明。它 提供了一组简明的函数调用,应用程序可使用这组函数调用访问由ROS 602提供的服务。在至少ー个优选例中,API 682将包括两部分VDE功能604的应用程序接ロ,以及其它OS功能606的应用程序接ロ。这些部分可以融合在同一软件中,也可以是ニ个或多个分离的软件部分(举例而言)。某些应用,例如图11所示的应用608a(l),可以属于“VDE感知型”的,于是它们可以直接访问API 682中的那两部分。图IlA对此进行了示例。“VDE感知型”应用可以(举例来说)包含对ROS 602的明确调用,以便请求创建新的VDE对象300、对VDE对象的使用进行计量、以VDE保护形式存贮信息等等。因此,“VDE感知型”应用可以起动(在某些例子中还可以增强和/或扩展)由ROS 602提供的VDE功能。另外,“VDE感知型”应用可以在用户和ROS 602之间提供更直接的接ロ(如抑制或消除由用户通告/异常接ロ产生的“弹出式”显示接ロ,取而代之的是ー个集成了应用和ROS消息的、更加无缝的接ロ)。其它应用,例如图IlB所示应用608b,可以属于非“VDE感知型”的,因而它可能不“知道”如何直接访问由API 682所提供的VDE功能604接ロ。为此,ROS 602可以含有一个“重定向器” 684,而“重定向器” 684可以允许“非VDE感知型”应用608b访问VDE对象300和函数604。较佳实施例中的重定向器684将发向“其它OS功能” 606的OS调用翻译成发向“VDE函数” 604的调用。举ー个简单的例子,重定向器684可以截获发自应用608的“打开文件”调用,然后判断要打开的文件是否位于VDE容器300之中,如果是的话,产生适当的VDE函数调用,将之发向文件系统687,以便打开VDE容器(也可能产生事件,将之发向HPE 655和/或SPE 503,以确定可能存贮在VDE对象300中的文件的名字,建立与VDE对象300相关的控制结构,执行对VDE对象300的注册等等)。本例中如果没有重定向器684,那么“非VDE感知型”应用如608b就只能访问提供其它OS函数606接ロ的API 682中的一部分,因而无法访问任何VDE函数。重定向器684的这种“翻译”特性提供了 “透明性”。它允许将VDE函数以“透明”的方式提供给应用608 (b),而使该应用无需陷入有关生成ー个或多个VDE函数604调用的复杂性细节之中。ROS 602这ー方面的“透明”特性至少有两个重要优点(a)它允许不是专门为VDE函数604编写的应用(“非VDE感知型应用”)仍然可以访问关键的VDE函数;以及
(b)它减少了应用和ROS 602之间接ロ的复杂性。由于第二个优点(減少复杂性)使应用编程人员能更容易地编写应用,甚至可将“VDE感知型”应用608a (2)设计成使得某些对VDE函数604的调用在“其它OS函数”调用层上被请求,然后由重定向器684将之“翻译”成VDE函数调用(在这个意义上,可将重定向器684看作是API 682的一部分)。图Ilc对此进行了示例。向VDE函数604发出的其它调用则可以被直接发送,而无需经过重定向器684翻译。回到图10,ROS 602还可以含有ー个“截获器”692,“截获器”692传送和/或接收ー个或多个实时数据输入694 (例如可以通过有线电视电缆628产生这些数 据输入),并适当地按照正确路由发送ー个或多个这种数据输入,与此同时对电子设备600所发送和/或接收的实时数据进行“翻译”,从而为这类信息提供了类似由重定向器684所产生的那种“透明性”(并且/或者它可以产生ー个或多个实时数据输入)。安全的ROS部件和部件组如上所述,较佳实施例中的ROS 602具有基于部件的体系结构。ROS VDE函数604可以基于分段的、可独立加载的可执行“部件组”690。这些部件组690可以被独立安全地传递。较佳实施例中的部件组690含有本身可独立传递的代码和数据元素。因此,较佳实施例中的每个部件组690都包含可独立安全传递的元素,可以使用VDE安全通信技术在VDE安全子系统之间传递这些元素。这些部件组690是ROS 602所提供的基本功能単元。部件组690经过执行可以完成操作系统或应用的任务。因而,可以将某些部件组690看作是ROS操作系统602的一部分,而将其它部件组690看作是操作系统支持之下运行的“应用”。象所有集成了“应用”和“操作系统”的那些系统ー样,上述整个系统的各部分之间的界限可以是非常模糊的。例如,可以将某些通用的“应用”功能(如用来确定信息内容容器结构和/或其它属性的功能)集成到操作系统中去。另外,某些“操作系统”功能(如任务管理或存贮器分配)可由应用进行修改和/或替换。较佳实施例ROS 602中的ー个常用思路就是部件组690提供用户执行其预定任务所需的功能,这些功能中的一部分可以“类似应用”,一部分可以“类似操作系统”。部件组690最好设计成是容易分离的并且可以単独加载。R0S602首先将各个元素装配成可执行的部件组690,然后再(例如在诸如SPE 503和/或HPE 655之类的安全操作环境中)加载和执行该部件组。ROS提供了元素标识和引用机制,该机制包含了必要的信息,用以在执行前或执行中自动以安全方式将元素装配成部件组690。用以形成部件组690的ROS 602应用结构和控制參数可由不同的団体来提供。由于组成部件组690的各部件可以单独安全地递送,于是这些部件便可以在不同时间并且/或者由不同団体来递送(“递送”可能发生在一个本地VDE安全子系统内部,也就是说,用信息内容控制信息链来控制參与者对已被修改的控制信息集合的制备,在此基础上,通过使用控制信息的安全子系统,便可完成对部件独立安全的递送过程)例如,信息内容制作者可以制作某个ROS 602应用,该应用规定了在何种情况下VDE对象300所含信息内容才可被批准使用。该应用可以引用其它团体提供的结构。这种引用(举例来说)可以采用如下的控制过程使用信息内容制作者的结构对用户行为进行计量;使用金融提供者所创建/拥有的结构处理信息内容分发交易中的金融部分(如规定控制结构中必须出现的信用预算以建立信用值,规定必须由获得准许者才能执行的审核过程,等等)。作为另ー个例子,分发者可能把规定了不同定价的不同数据元素传递给不同用户,从而实现对某一用户的定价相对另ー用户的定价更为优惠。这种支持多个团体可安全独立地传递控制信息的特性对于电子商业来说是相当重要的,即定义信息内容和/或设备控制信息集合,而该控制信息集合代表了ー组独立団体的要求。所述独立団体的例子有信息内容制作者、其它信息内容提供者、金融服务提供者、和/或用户。在较佳实施例中,ROS 602部分地依据上下文參数(如对象、用户)将可安全独立递送的元素装配成部件组690。因而(举例来说),R0S 602可以把不同元素安全地装配成不同的部件组690,以便使不同的用户可以对同一 VDE对象执行同一任务。类似地,ROS 602可把可能含有一个或多个相同重用部件的不同元素集合装配成不同的部件组690,以便使同一用户可以对不同VDE对象300执行同一任务。R0S602所提供的部件装配机制是“递归”的,这是因为,部件组690可以含有ー个或多个部件“子組”,这些“子组”本身就是可被独立 加载和执行的部件组690。这些部件子组又可以包含一个或多个“子子組”。通常,部件组690可以包含N层部件子组。因此(举例来说),部件组690(k)可以含有部件子组690(k+l),部件子组690 (k+Ι)又可以含有部件子子组690(3)...这样继续下去一直到N层子子组690 (k+N)。ROS 602这种从其它部件组创建部件组690的能力(举例来说)在代码/数据可重用性以及允许不同団体管理整个部件中的不同部分等方面具有很大的优点。较佳实施例中的每个部件组包含了不同的部件。图11D-11H是对各种不同部件的抽象表示,这些部件可以被装配成图IlI所示的部件组690 (k)。这些相同的部件可以按照不同方式进行组合(如部件数量可以多ー些或少ー些)以形成不同的部件组690,从而提供完全不同的功能表现。图IlJ抽象地示意了相同的部件以不同方式(如与添加部件)组合在一起形成不同的部件组690 (J)。部件组690 (k)和690 (j)每个都含有ー个共同的装置691,该装置与ROS 602定义的“通道”594互锁在一起。“通道”594将部件组690装配在一起,并且成为它们与ROS 602 (其余部分)的接ロ。ROS 602以安全的方式生成部件组690。如图IlI和IlJ所示,组成部件组690的不同元素可以是互锁的,这是在VDE參与者创建了这些元素并且/或者限定了该部件组,使这些元素只能按照VDE參与者的意图一起工作的意义上而言的。ROS 602含有安全保护措施,可防止未经授权的人员修改和替换元素可以想象ー个未经授权的人员制作了一个新元素使之与图11D-11H中所示的某一元素具有相同的“形状”,然后试图用此新元素替换原有元素。假设图IlH中的某个元素用来规定VDE对象300所含内容的使用价格,如果ー个未经授权的人员能够以他自己规定的“价格”元素来替换VDE信息内容分发者所规定的价格元素,那么此人可以不使用信息内容分发者所希望的价格,而将价格定为零。类似地,如果某一元素规定了一个电子信用卡,那么假如将之替换成另一元素将会允许某人利用他人的(或ー个不存在的)信用卡为其使用行为进行付帐,这就会带来灾难性的后果。这些只是几个例子,它们说明了 ROS 602确保以安全方式创建某些部件组690的重要性。ROS 602提供各种各样的保护措施以防止各种各样的“威胁”,从而确保部件组690的安全处理和执行。在较佳实施例中,ROS 602基于下列元素来装配部件组690 许可记录(“PERC”)808;
方法“核心”1000;加载模块1100;数据元素(如用户数据元素(“UDE”)1200和方法数据元素(“MDE”)1202);以及其它部件组690。简要地说,较佳实施例中的PERC 808是ー个对应于某个VDE对象300的记录,可用来为ROS 602标记出若干元素,利用这些元素ROS可以装配出某个部件组690。于是PERC808实际上含有一个“装配指令列表”或者说ー个“规划”,用来指定哪些元素602要被装配成部件组,以及如何将这些元素连接在一起。PERC 808本身可以含有数据或将要成为部件 组690组成部分的其它元素。PERC 808可以引用ー个或多个方法“核心”1000N。方法核心1000N可以定义基本的“方法” 1000 (如“控制”、“计帐”、“计量”等)。在较佳实施例中,方法1000是ー组基本指令以及与基本指令相关的信息,它提供上下文、数据、要求、和/或关系,以供执行和/或准备执行基本指令之用。这些基本指令与ー个或多个电子设备600的操作有夫。基本指令可以包括(举例来说)今计算机编程中的通用机器代码;以及由运行于计算机中的解释程序或其它指令处理程序所使用的伪码;令与电子设备600 —起用的、电子化表示的逻辑操作序列;今指令、源码、目标码、和/或伪码的其它电子化表示,这些在本领域中都是众所周知的。与所述基本指令相关的信息可以包括(举例来说)与基本指令内在相关的数据,如ー个用来标识基本指令加上其内部数据、地址、常数等所形成联合体的标识符。该信息也可以(举例来说)包含下列一个或多个信息令标识相关基本指令及上述内部数据的信息,用于完成访问、关联和/或验证等目的;今与基本指令和上述内部数据一同使用的、必要和/或可选的參数;+定义与其它方法之间关系的信息;+可以含有数值、信息字段等的数据元素;今限定和/或定义了数据元素、基本指令和/或内部数据之间关系的信息;今限定了与外部数据元素间关系的信息;+限定了内部的与外部的数据元素、方法等(如果存在的话)之间关系的信息;今用于操作基本指令和内部数据的附加信息,该信息用于完成或准备完成用户或方法的某项目的。在需要时它还包括附加的指令和/或内部数据。这种与某种方法相关联的信息可以部分或全部地与基本指令和内部数据分开存贮。当分开存贮这些部件时,方法仍然可能含有其它信息、以及基本指令和内部数据的ー个或多个集合(之所以包含后者,是因为上述其它信息可以引用基本指令和内部数据的ー个或多个集合),而不管上述基本指令和内部数据的ー个或多个集合是否能在给定时刻得到及时访问。“事件代码”可以向方法核心1000提供參数,从而允许方法核心1000以不同方式对不同事件做出响应例如,一个计量(METER)方法为响应“使用”事件,可以将使用信息存贮在计量数据结构中。而同一个计量(METER)方法为响应“管理”事件,可以将计量数据结构报告给VDE票据交換所或其它VDE參与者。在较佳实施例中,方法核心1000可以“包含” 一个或多个“加载模块” 1100和ー个或多个数据元素(UDE 1200,MDE 1202),这种“包含”或者是明确的,或者是通过引用来实现。在较佳实施例中,“加载模块” 1100是某个方法的一部分,该方法反映了基本指令和内部数据。较佳实施例中的加载模块含有可执行码,也可以含有与该可执行码相关的数据元素(“DTD”1108)。在较佳实施例中,加载模块1100提供实际由硬件“执行”的程序指令,以完成由方法规定的进程。加载模块可以包含或引用其它加载模块。较佳实施例中的加载模块1100是模块化的,并且是“纯代码”,这样一来就可以重入和重用单个加载模块。为了使部件690可被动态更新,可允许在全局公用名字空间内对它们进行访问。从这些设计目标来看,加载模块1100最好是较小的、具有纯代码(及纯类代 码)特征的模块,并且可以单独命名和寻址。ー个单一方法可以提供不同的加载模块1100,这些加载模块1100能够在不同的平台上完成相同或相似的功能,这样可以使方法具有可伸縮性,并且/或者可以使之在多种不同电子设备之间移植。UDE 1200和MDE 1202可能存贮某些数据,将其作为可执行部件组690的输入或输出(也可以存贮说明这些输入或输出的数据)。在较佳实施例中,UDE 1200可以与用户有关,而MDE 1202可以与用户无关。图IlE中的部件组690 (k)含有方法核心1000,UDE 1200a和1200b,MDE 1202、加载模块1100a-1100d、以及另ー个部件组690(k+l)。如上所述,PERC 808 (k)定义了部件组690 (k)的“装配指令”,并可以含有或引用了要用来装配部件组的部分或全部部件之中的一部分。本例中的加载模块IOOOb之一本身含有多个加载模块1000c、IOOOcL本例中的某些加载模块(如1000a,IOOOd)含有ー个或多个“DTD”数据元素1108(如1108a,1108b)。“DTD”数据元素1108可以用来(举例来说)将MDE 1202和/或UDE 1200a、1200b中数据元素报告给加载模块。另外,DTD 1108还可用来參与生成一个应用部分,该应用部分可以把有关ー个或多个加载模块1100或者其它部件元素所需要和/或所处理的信息通知给用户。这种应用程序也可以含有某些功能用来创建和/或处理UDE 1200、MDE 1202、或其它部件元素、子组等等。部件组690中的部件可以被重用,从而形成另外的部件组。如上所述,图IlF抽象地示意了用来装配部件组690 (k)的相同部件如何经过重用(例如,添加ー些部件进来,这些部件由另ー PERC 808(1)所提供的另一“装配指令”集来指定)以产生另ー个部件组690(1)。尽管部件组690 (I)由用来装配部件组690 (k)的一些同样的部件构成,这两个部件组却可以以完全不同的方式执行完全不同的过程。如上所述,ROS 602提供了若干安全保护层以确保部件组690的安全性。ー个重要的安全层涉及确保某个部件组690的生成、加载和执行都只能在诸如由SPU 500中所提供的那种安全执行空间内进行。采用本地SPU 500所生成的密钥和/或分发者所提供的密钥完成加密以后,部件690及/或其所含元素可存贮在外部介质上。ROS 602还提供了标记和定序措施,用于可加载的部件组690内部,以便探测由替代而造成的破坏。部件组690所含的每个元素都可先被加载进SPU 500,然后经过加密/解密机522解密,再经过测试/比较,从而确保所加载的是正确的元素。可以进行几个不相干的比较过程以确保没有出现非法替换。例如,可以将公开的元素标识和秘密的元素标识进行比较,确保它们相等,这样可以防止对元素的大批替换。另外,可以对保存在可加载元素已加密层之下的某个验证/关联标记进行比较,确保该标记与ー个或多个由请求进程所提供的标记相匹配。这样可以防止未经授权就使用信息。作为第三种保护措施,可以检查保存在可加载元素已加密层之下的某个设备赋值标记(如某个序列号),确保该标记与SPU 500所期望的某个相关标记相匹配。这样可以防止对较旧的元素进行替换。通常只用安全的包装物来传递验证/关联标记,这是为了防止由于使用明文而将该信息泄露到SPU 500外部。ROS 602这种基于安全部件的体系结构带有重要优点。例如,它适应有限资源的执行环境,比如由较低价SPU 500所提供执行环境。它还提供了极高的可配置性。实际上,ROS 602可以适应的信息内容类型、信息内容提供者对象、交易类型和客户要求几乎是不胜枚举的。另外,它还能够在执行过程中根据特定对象和用户的要求动态装配可独立提供的部件,这种能力提供了高度的灵活性,简化或者支持了分布式的数据库、处理和执行环境。 ROS 602基于部件体系结构所具优点的ー个方面在于ROS 602可以随着时间的推移而“分阶段地”増加功能和能力。根据设计要求,实现ROS 602所做的工作是有限的。在实际市场情况决定要实现相关的VDE应用功能之前,ROS 602丰富功能的某些方面可能一直无法开发。因此,最初产品实现的投入和复杂性可以是有限的。随着时间的推移,ROS602在制作、管理和人工智能应用等方面将会不断提供更全面的功能。而且为了适应不断变化的需求,可在任何时间对已有的R0S602功能进行修改或加强。权利操作系统602体系结构详述图12示意了图10中的ROS 602的详细体系结构。ROS 602可以含有一个文件系统687,文件系统687包含一个商业数据库管理程序730和外部对象仓库728。商业数据库管理程序730可以对安全数据库610进行维护。对象仓库728可以存贮VDE对象300、为VDE对象300提供访问、和/或维护VDE对象300。图12还示意了 ROS 602可以提供ー个或多个SPE 503和/或ー个或多个HPE 655。如上所述,HPE 655可以“仿真”SPU 500设备,并且,为了支持需要较高吞吐率的系统,可以将HPE 655进行集成以代替物理SPU 500,或作为物理SPU 500的补充。由于HPE 655通常由操作系统的安全性来保护,所以上述过程可能会损失一部分安全性而不能提供真正安全的处理。因而,在较佳实施例中,至少是为了高安全性应用,所有安全处理都应在SPE 503中进行,这是因为SPE 503在物理SPU 500中拥有ー个执行空间,而不象HPE 655那样使用的是电子设备600中随处运行的软件。如上所述,ROS 602的三个基本部件分别是核心680、远程过程调用(RPC)管理器732和对象开关734。下面将就这些部件以及它们与ROS 602其它部分交互作用的原理进行讨论。核心680核心680管理电子设备600的基本硬件资源,并控制ROS 602所提供的基本任务分配过程。较佳实施例中的核心680可以含有内存管理器680a、任务管理器680b和I/O管理器680c。任务管理器680b可对可执行任务的起动过程进行起动和/或管理,并对任务进行调度,使之可以在运行有ROS 602的处理器(如图8中的CPU 654)上执行。例如,任务管理器680b可以含有ー个“弓I导装入程序”,或与该“弓I导装入程序”相关联。“引导装入程序”加载ROS 602的其它部分。任务管理器680b可管理所有与ROS 602有关的任务分配工作,包括与应用程序608相关的任务。内存管理器680a可以管理电子设备600的存贮器(如图8中的RAM 656)分配、回收、共享和/或使用,还可以(举例来说)提供虚拟内存功能,如电子设备和/或相关应用所需采的。I/O管理器680c可以管理所有ROS 602的输入和输出,并可以与驱动程序和其它硬件管理器交互作用,其中这些驱动程序和硬件管理器提供了与物理设备进行通信和交互作用。RPC 管理器 732较佳实施例中的ROS 602是围绕“基于服务”的远程过程调用体系结构/接ロ进行设计的。ROS 602所执行的所有功能都可使用这个通用接ロ来请求服务和共享信息。例如,SPE 503支持对ー个或多个基于RPC的服务进行处理。除了支持SPU 500,RPC接ロ还利用现有操作系统部件,支持对外部服务的动态集成,并提供了ー组配置选项。R0S602也可以通过RPC接ロ与外部服务进行通信,从而无缝地提供了分布式和/或远程处理。在ROS602的较小型实例中,为节省资源,可以使用较简单的消息传递IPC协议。这种方法可能限 制了 ROS 602服务的可配置性,但在某些电子设备中,这点可能的限制还是可以接受的。采用RPC结构,调用进程在调用或请求服务时,不必知道或指定在物理上的何处提供服务、何种系统或设备将对请求进行服务、以及如何对请求进行服务。该特性可为特定应用对各种服务集进行增减和/或定制。服务请求可由不同的处理器或不同的地点进行传递或服务,这ー过程就象本地的服务系统对服务请求进行传递或服务ー样容易。由于较佳实施例中的ROS 602使用相同的RPC接ロ对操作系统之中或之外发出服务的请求,因而对分布式和/或远程处理的请求实质上不会带来额外的操作系统开销。可以容易而简便地将远程处理进行集成,将之加入到ROS 602为请求基于本地的服务所使用的相同服务调用中。另外,使用标准RPC接ロ( “RSI”)可带来ROS 602的模块化,不同的模块向操作系统其余部分提供的是标准的接ロ。这种模块化和标准化接ロ使不同的出售者/操作系统编写人员能够独立地制作操作系统的不同部分,同时还允许根据不同要求和/或平台灵活地更新和/或改变ROS 602的功能。RPC管理器732对RPC接ロ进行管理。它接收服务请求,这些服务请求的形式是由服务请求者发出的一个或多个“远程过程调用”(RPC)。接收到之后,它选择合适的路由将这些服务请求转发给能够对之进行服务的服务提供者。例如,当权利操作系统602收到由用户应用通过用户API 682发出的请求后,RPC管理器732可通过“RPC服务接ロ”( “RSI”)将该服务请求发往ー个适当的服务提供者。RSI是RPC管理器732、请求服务者、及资源之间的ー个接ロ,该资源将接受请求并对之提供服务。在较佳实施例中,RPC接ロ(RSI)由ROS 602的若干主要子系统所使用。在较佳实施例中,ROS 602所提供的RPC服务又分成了子服务,子服务即为特定服务的单个实例,每个这样的实例均可被RPC管理器732単独跟踪。采用这种机制,在具有较高呑吐率的系统中ー个特定服务可以有多个实例,同时在各种实现之间又存在着共同的接ロ。子服务的概念加以延伸可以支持多处理器、多SPE 503、多HPE 655以及多种通信服务。较佳实施例ROS 602提供了下列基于RPC的服务提供者/请求者(每ー个提供者/请求者都具有RPC接ロ或“RSI”,以便与RPC管理器732进行通信)
SPE设备驱动程序736 (在较佳实施例中,该驱动程序与SPE 503相连);HPE设备驱动程序738 (在较佳实施例中,该驱动程序与HPE 738相连);通告服务740(在较佳实施例中,该通告服务与用户通告接686相连);API服务742 (在较佳实施例中,该API服务与用户API 682相连);重定向器684; 安全数据库(文件)管理程序744 (该安全数据库管理程序或文件管理程序744可以通过高速缓存管理器746、数据库接ロ 748和数据库驱动程序750与商业数据库730和安全文件610进行连接和交互作用);名字服务管理器752;输出管理对象管理器754 ;输入管理对象管理器756 ;到达对象开关734的网关(gateway) 734 (这是一条通路,它用来在RPC管理器732和对象管理器734之间建立直接通信);以及通信管理器776在前面已经论述了 HPE 655、SPE 503、用户通告686、API 742和重定向器684所提供的服务类型。现在简要地介绍ー下OS资源744、752、754、756和776所提供的服务类型。安全数据库管理器744对访问安全数据库610的请求进行服务;名字服务管理器752对有关用户、主机或服务标识之类的请求进行服务;输出管理对象管理器754对有关输出管理对象的请求进行服务;输入管理对象管理器756对有关输入管理对象的请求进行服务;通信管理器776对有关电子设备600与外界进行通信的请求进行服务;对象开关734对象开关734 (可在局域或远程)对VDE对象300进行处理、控制和递送。在较佳实施例中,对象开关可以含有下列元素流路由器758;实时流接ロ 760 (实时流接ロ 760可以与实时数据输入694相连);时间相关性流接ロ 762;截获器692 ;容器管理器764;一个或多个路由表766 ;以及缓冲区/存贮区768。流路由器758负责选择合适的路由以到达/离开分别由实时流接ロ 760和时间相关性流接ロ 762处理的“实吋”数据流和“时间无关性”数据流。截获器692截获带有实时信息流(如实时输入694)的I/O请求。流路由器758可根据路由表766来决定路由的选择。缓冲区/存贮区768提供临时的存贮转发、缓冲及相关服务。容器管理器764可以(通常与SPE 603 一起)对VDE对象300执行各种处理,如对一部分对象进行构造、销毁和定位处理。对象开关734通过对象开关接ロ( “0SI”)与ROS 602的其它部分进行通信。在较佳实施例中,对象开关接ロ可以类似于(举例来说)Unix的套接字(socket)的接ロ。图12所示的每个“0SI”接ロ均能够与对象开关734通信。ROS 602含有下列的对象开关服务提供者/资源(每个提供者/资源都可以通过“0SI”与对象开关734通信)输出管理对象管理器754 ;输入管理对象管理器756 ;网关734 (网关734可以将RPC调用翻译成对象开关调用,或反向翻译,这样一来,RPC管理器732就可以与对象开关734或其它任何带有OSI的元素进行通信,从而(举例来说)可以提供和/或请求服务); 外部服务管理器772 ; 对象提交管理器774 ;以及通信管理器776。简要地说,对象仓库管理器770提供有关访问对象仓库728的服务;外部服务管理器772提供的服务涉及到请求和接收外部服务,例如该服务可以来自某个网络资源或另ー个地点;对象提交管理器774提供的服务涉及到用户应用如何与对象开关734交互作用(由于对象提交管理器向应用程序608提供了接ロ,所以可以将它看成是用户API 682的一部分);以及通信管理器776提供有关与外界通信的服务。在较佳实施例中,通信管理器776可以含有网络管理器780和邮件网关(管理器)782。邮件网关782可以含有一个或多个邮件过滤器784,用以(举例来说)在对象开关734和外界电子邮件服务之间自动地选择与VDE相关的电子邮件的路由。外部服务管理器772可通过服务传输层786与通信管理器776接ロ。服务传输层786a可允许外部服务管理器772使用各种协议与外部计算机和系统进行通信,这些协议要通过服务传输层786进行管理。下面将详细论述图12中ROS 602各个子系统的特性及接ロ。RPC管理器732及其RPC服务接ロ如上所述,ROS 602所提供的基本系统服务要通过使用RPC服务接ロ(RSI)进行调用。该RPC服务接ロ向ROS 602中的各种服务系统和子系统提供了通用的标准化接ロ。RPC管理器732将RPC所请求的服务选择路由到适当的RPC服务接ロ。在较佳实施例中,一旦接收到ー个RPC请求,RPC管理器732对ー个或多个服务管理器进行判断并确定哪ー个应该服务该请求。然后RPC管理器732 (通过与某个服务相关的RSI)将服务请求路由选择到适当的服务,以便该适当服务管理器提供服务。例如,如果SPE 503应该服务某个请求,那么RPC管理器732将该请求路由选择到RSI 736a,RSI 736a将该请求传递给SPE设备驱动程序736以便再转发给SPE。同样,如果HPE 655应该服务某个请求,那么RPC管理器732将该请求路由选择到RSI 738a以便再转发给ΗΡΕ。在一个较佳实施例中,SPE 503和HPE 655可以提供实质上相同的服务,这样,RSI 736a和738a便成了同一 RSI的不同实例。一旦SPE 503 (或HPE 655)收到了ー个服务请求,该SPE (或ΗΡΕ)通常使用其内部RPC管理器对该请求进行内部调度(后面马上就会讲到这一点)。SPE 503和HPE 655内部的进程也可以产生RPC请求。这些请求可以被SPE/HPE内部处理,但如果不能在内部服务的话,这些请求就会被传出SPE/HPE,由RPC管理器732进行调度。RPC管理器732可使用“RPC服务表”对远程(或本地)过程调用进行调度。RPC服务表说明了为得到特定服务需将请求路由选择到何处供处理。在较佳实施例中,RPC服务注册表中的每一行都含有ー个服务标识、服务的地点以及为服务请求将控制要传递到的地址。RPC服务表还可以含有控制信息,以指明RPC调度者中的哪ー个实例应该取得该服务的控制权。RPC管理器732以及连入的任何SPE 503和HPE 655都可以拥有RPC服务表的对称副本。如果某个RPC服务没有出现在RPC服务表中,其原因有ニ 或者它被拒绝,或者它被传送给外部服务管理器772用来进行远程服务。假设RPC管理器732在RPC服务表中发现某一行与请求相对应,它便可将该请求调度给适当的RSI。接收的RSI从RPC管理器732处接收到一个请求(RPC管理器732可以 已经在RPC服务表中查到了该请求),然后根据与特定服务相关的内部优先级对该请求做 出处理。在较佳实施例中,由RPC管理器732支持的RPC服务接ロ可以是标准化的并且被公布出来,以便支持由第三方厂家开发的增加服务模块,同时还使得对ROS 602编程更加容易,最终带来方便的可伸縮性。较佳实施例RSI严格遵循DOS和Unix为块设备设计的设备驱动程序模块,这样,花费最小的代价就可以开发出适用于许多平台的公用代码。下表列出了可能的公用入口点集合的一个示例。
权利要求
1.ー个安全对象处理系统,该系统包括包括至少部分受保护的可执行信息内容和规定为了执行所述可执行信息内容所述对象处理系统必须满足的ー个或多个条件的至少ー个至少部分受保护的控制的至少ー个安全对象,通过将所述可执行信息内容放置在安全电子容器内而使所述可执行信息内容受保护,以及 经由电子防破坏安全屏障来保护并包括至少ー个安全处理单元的至少ー个安全执行环境,,配置成如果所述ー个或多个条件被满足则执行该可执行信息内容。
2.一个安全对象处理方法,该方法包括 提供包括至少部分受保护的可执行信息内容和规定为了执行所述可执行信息内容至少ー个安全执行环境必须满足的ー个或多个条件的至少ー个至少部分受保护的控制的至少ー个安全对象,通过将所述可执行信息内容放置在安全电子容器内而使所述可执行信息内容受保护,如果所述ー个或多个条件被满足,在所述至少ー个安全执行环境中处理该可执行信息内容,所述的至少ー个安全执行环境经由电子防破坏安全屏障来保护并包括至少ー个安全处理单元。
全文摘要
本发明的名称是“用于安全交易管理和电子权利保护的系统和方法”。本发明提供了用于包括安全交易管理和电子权利保护的电子商业活动的系统和方法。遵照本发明而使用的诸如计算机之类的电子设备有助于确保只能以经过授权的方式访问和使用信息,并维护了信息的完整性、可用性和/或保密性。结合上述电子设备使用的安全子系统提供了一个虚拟分发环境(VDE),所述虚拟分发环境强制执行了一个安全的处理和控制链(举例来说)以控制和/或计量或监视对电子存贮的或传播的信息的使用。该虚拟分发环境可以用来保护电子商业活动中以及其他电子的或由电子促进的交易中的各种参与者的权利。采用诸如可在各节点上建立安全的、受保护的环境的安全半导体处理配置来保障分布式与其它操作系统环境及体系结构。这些技术可以用来支持(举例来说)使用“电子高速公路”可能用到的端到端电子信息分发功能。
文档编号G10L21/02GK102693378SQ201210039940
公开日2012年9月26日 申请日期1996年2月13日 优先权日1995年2月13日
发明者D·M·范维, F·J·斯帕恩, K·L·吉特尔, V·H·希尔 申请人:英特特拉斯特技术公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1