JP2000503154A - デジタル所有権のアクセスと分配を制御するためのシステム - Google Patents

Abstract

(57)【要約】 デジタル・データのアクセスおよび分配システム（１００）は、データ・ディストリビュータ（１０２）とユーザ（１０４）の２つの主要コンポーネントを含む。データ・ディストリビュータ（１０２）はデータ（１０６）を取り出し、おそらく何らかの形態での支払（１１０）と引き替えに、通信チャンネル（１０５）経由でユーザ（１０４）に提供されるパッケージ化データ（１０８）を作成する。ディストリビュータ（１０２）とユーザ（１０４）の各々に対応するのはシステムのオーサリング機構（１１２）とアクセス機構（１１４）である。ディストリビュータ（１０２）のオーサリング機構（１１２）はパッケージ化すべきデータ（１０６）を取り出して、分配機構（１１８）によってユーザ（１０４）に提供されるパッケージ化データ（１０８）を作成する。

Description

【発明の詳細な説明】 デジタル所有権のアクセスと分配を制御するためのシステム １．発明の分野 本発明はデジタル属性の分配およびアクセスの制御ならびにそのための支払に 関する。 ２．発明の背景 デジタル情報ネットワークの発達と展開は、データおよび情報に対する権利保 護に関して新たな関心を惹起した。最近では一層のインタラクティビティと広い データ分散が可能な分散型コンピューティングへの全体的移動が起こった。大量 のデジタル情報を長距離でコピーし分配するのが今までになく簡単であまりコス トがかからなくなり、分散データは一般にオリジナルとの品質で区別できなくな っている。 知的財産、または情報は、特に所有者からコピーすることができるが、所有者 がオリジナルをまだ保持している形で実現される点で物的財産とは異なっている 。 情報がアナログ形式で保存されていたとき、このような情報のコピーと再分配 は今日可能なほどの経済的損失を考慮していなかった。これは大部分がアナログ 情報の大規模で多世代にわたるコピーに付随する品質の回避しがたい段階的劣化 によるものだった。 デジタル形式での情報の保存は、他方で、アナログ副本の劣化の問題に苦しむ ことがない。デジタル・ファイルはコピーの世代間で忠実度の損失なしにコピー することができる。エラー訂正を用いると、不可避の瑕疵を１００億ビットに１ 回未満の発生率に押さえることさえできる。 忠実度の損失なしにデジタル・ファイルをコピーできる能力の結果として、デ ジタルのオリジナルからデジタル・コピーを区別することは、現時点でほとんど 不可能である。結果として、デジタル領域で不正コピーの作成を禁止する閾値が （アナログ領域と比較して）有意に低くなっている。 知的所有権に関する法律は、目まぐるしく変化する技術と一般に歩調を合わせ てこなかった。時間とともに、また国同士での法的保護が結果として不確実にな っていることは、情報およびデータにおける知的所有権の技術的保護の重要性な らびに必要性を強調するためにしか役立っていない。 知的財産を保護するために用いられてきた主要な技術は暗号化である。しかし 、販売代理店(distributor)から消費者へ知的財産を供給するための現実的な小 売りシステムを工夫することは、信頼され取扱許可を持つ職員同士の機密通信と は区別されて、革新を必要とした。 実行形式ソフトウェアに基づく暗号化は、公認ユーザだけにデータが分配され ることを保証できる。保護すべき情報が暗号化されて公認ユーザに送信される。 これとは別に、解読鍵が公認ユーザにだけ提供される。鍵はこのあと公認ユーザ にだけ利用できるように情報の解読を可能にするために使用される。 データまたはソフトウェアへのアクセスを制御する他の方法としては、データ またはプログラムの選択された機能にアクセスするために必要とされる外部装置 またはトークン（ドングル）の使用を含んでいる。トークンのコンピュータへの 物理的装着によって、コンピュータ・システムに対してトークンの保有を明らか にする。トークンは一般に、プリンタ、ゲーム、またはネットワーク・ポートに 取り付けておき、アクセスを許可する前に実行形式ソフトウェアが存在をチェッ クできる。ディスケットもドングルとして使用されてきた。ディスケットはディ スケット駆動装置内で実行ソフトウェアによって存在をチェックされる。ドング ルは一般に、プログラム機能へのアクセスを制限し、情報へのアクセスを制限し ないために使用されている。 何らかの暗号化保護を利用しているこれら従来技術のシステムのいずれも、解 読された後のデータを保護しない。つまり、データの二次的配布や複数使用が可 能である。 さらに、従来技術のすべてにおいて、一旦アクセスが許可されると、他の何ら かの方法で制御できない。つまりアクセスはオール・オア・ナッシングである。 これがコピーや二次的配布の制御、ならびに全使用についての支払いの取得を困 難にしている。 暗号化処理、トークン、ドングル、いわゆる「コピー不可能な」媒体、各種実 行形式ソフトウェア保護方式、ヒトには見えない形で全てのプリント出力に識別 子を配置するプリント用実行形式ソフトウェアを含む従来技術は、二次的配布ま たは派生著作物の分配のいずれかを制限することができない。 この欠点は機構上の障害ではなく、むしろアーキテクチャ上の設計遺漏(omiss ion)である。公認ユーザによってコピーする問題は簡単に対処されない。それぞ れの場合で、データを公認ユーザが利用できるようになると、データは基本的に 無保護であり好きなようにコピー、変更、または送信できる。印刷物上に識別子 を含む方式はコピーされたものの供給源を識別する上で補助にはなるものの、二 次的配布を防止するものではない。 実行可能なソフトウェアに基づく暗号化は、データが公認ユーザにだけ配布さ れることを保証できる。しかし、データを受け取ってしまえば自由に取り扱い再 配布できる。 従来技術のシステムでは、保護しようとする情報が暗号化されて公認ユーザに 送信されるか、あるいはある種のシステムにおいては自由に利用できるようにな る。これとは別に、解読鍵が公認ユーザだけに提供される。この後で鍵を使用す ると情報を解読でき、公認ユーザが利用できるようになる。この時点で情報は、 更なる制限なしに取り扱いと再配布が行えるようになる。 ドングルまたはトークンを使用して実行可能なソフトウェアへのアクセスを管 理する場合でも、情報へのアクセスが許可されてしまえば、その情報は更なる制 限なしに取り扱いと再配布が行える。さらに、ドングルはこれを追跡しkeeptrac k)、別々に管理されることを保証する必要があることからポピュラーではないこ とがはっきりしている。 一般に、情報の配布制御または実行可能ソフトウェアの使用形態の制御のどち らかに使用されるコピー不可能な媒体は、ユーザがバックアップ・コピーを作成 できないことからポピュラーではない。さらに、多くのいわゆるコピー不可能な ディスクは、汎用複製プログラムの犠牲となって保護が無効になってしまう。つ まり、部分的には有効でも、コピー不可能なディスクは情報の取り込みと再配布 に対する抑止力としては機能しない。 従来のシステムの更なる欠点は、データを選択的に保護できないか、あるいは 異なる度合いでデータを保護できないことである。つまり、データへの制御され たアクセスを提供していない。 データ保護の度合いは代表的にはデータの所有者および／または代理店が機密 性分析に基づいて行う。危険性、脅威（データに対する攻撃の強度として脅威を 特徴付けることができる）、脆弱性、対抗策に関して機密性分析を実行するのが 普通である。特定の脅威が具体化する可能性を所有者が推定することは、所有権 を保護する適当な規則を選択する上で非常に重要である。 従来技術は一般に保護の度合いに対する制御を所有者に提供しなかった。 コピーを防止し、データの再配布を制限し、データの制御されたアクセスを提 供するデータ（知的所有権）配布システムを備えるのが望ましい。 発明の要約 本発明はデータへのアクセスと、データの使用と配布を制御することにより、 上述のおよびその他の問題を解決するものである。 例えば、データが文字およびグラフィック情報の形式になっている場合、本発 明はどの程度の情報をどのような形式で表示するかを制御できる。また、データ がコンピュータ・ソフトウェア・プログラムを表わしている場合、本発明はソフ トウェアの機能をどの程度利用できるかを制御できる。極秘データも同様に制御 される。 さらに、本発明は二次的配布や派生著作物(derivative works)の作成を制御す る。従来技術のシステムは機密のためのソフトウェアに依存している。本発明の 不正検出／リセット機構なしでは、ソフトウェアは変更することができ、または データが横取りされて制御しようと試みても役に立たなくなってしまう。 コンピュータ・システム・ハードウェアで使用される保護の度合い（例えば、 不正防止と不正検出機能）と暗号化ツールは、保護すべきデータおよびユーザ環 境の性質に依存することになる。 ある実施例において、本発明はデータの一部を保護し、データへのアクセス権 に関する規則を決定し、利用できない形式以外でのデータの保護された部分への アクセスを防止し、不正検出機構によって施行された通りの規則によってのみユ ーザにデータへのアクセスを許容することにより、データへのアクセスを制御す る方法である。 別の好適実施例において、本発明はデジタル・データへのアクセスを制御する ための装置であって、デジタル・データは保護されたデータ部分とデジタル・デ ータに対するアクセス権に関する規則とを含む。この装置は、規則を記憶するた めの記憶手段と、規則にしたがってのみ保護されたデータ部分にアクセスするた めの手段とを含み、保護されたデータ部分へのユーザ・アクセスは、ユーザがデ ータの部分にアクセスを許容されていることを規則が示している場合にだけ許可 される。 別の態様において、本発明はデジタル・データを配布し、その後にユーザが制 御されたデータ使用をするための方法である。本方法はデジタル・データの一部 を保護するステップと、使用できない形式以外でのデータの保護部分へのアクセ スを防止するステップと、データへのアクセス権に関する規則を決定するステッ プと、規則を保護するステップと、デジタル・データの保護された部分と保護さ れた規則とを提供するステップを含む。ユーザは不正検出アクセス機構により強 制された通り、規則にしたがってのみデータへの制御されたアクセスが提供され る。 別の態様において、本発明はマシン(machine)で読み取り可能な記憶装置であ って、デジタル・データの保護された部分を含むデジタル・データのパッケージ と、デジタル・データへのアクセス権に関する規則とを具体的に実現し、これに よって、ユーザには不正検出アクセス機構により強制された通りに規則にしたが ってのみデジタル・データへの制御されたアクセスが提供される。 データはコンピュータ・ソフトウェア、テキスト、グラフィックス、オーディ オ、ビデオを単独で、あるいは組み合わせで表現する。 保護はデータの一部を暗号化することによって行われ、暗号化された形式以外 でのデータの暗号化部分へのアクセスが防止される。 幾つかの実施例において、規則はデータと併せて提供され、一方で他の実施例 では規則は別々に提供される。規則は、データの更なる配布の権利を含め、様々 なアクセス権や制御を指定できる。 好適実施例において、不正が検出されるとデータは破壊される。 本発明の機構を含む装置（device）はファクシミリ装置、テレビジョン、ＶＴ Ｒ（ＶＣＲ）、レーザ・プリンタ、電話機、レーザディスク・プレーヤ、コンピ ュータ・システム、あるいは同様なスタンドアロン型装置とすることができる。 前述のように、規則、ポリシー、およびデータ保護は各種脅威に対する機密性 分析に基づきデータ所有者および／または代理店によって行われるのが代表的で ある。上記に列挙した各種脅威は、本発明における対抗策によって処理される。 出力信号の保護は、デジタル信号の暗号化とアナログ信号のスクランブル化で （本発明で行うのと同様に）実現される。この解決方法では、出力装置、ＴＶ、 またはモニタに適当な不正検出能力と併せて解読またはスクランブル解除機能を 導入する必要がある。暗号化またはスクランブルは、出力装置に付属する公開鍵 を使用して（認証権威から取得して出力装置からではないいわゆる「スプーフィ ング(spoofing)」を防止するために）行うことができる。これ以外にも、指定さ れた出力装置だけで利用できる（これも何らかの認証機構を経由して保証される ）秘密鍵を使用して出力を暗号化、またはスクランブル化することができる。出 力信号は秘密鍵を使用して出力装置で解読またはスクランブル解除され、装置の 保護されたエンクロージャの外部では平文テキストの形で利用できない。 出力信号はアクセス機構の外側で利用できないようにすることで保護される。 不正検出のある封止ユニット・コンピュータは、必要な保護を提供する。このよ うなパッケージの受け入れの例としては、ラップトップ・コンピュータやオリジ ナル版マッキントッシュ・コンピュータ、ならびに複合型テレビジョン、ＶＴＲ およびビデオ、またはオーディオ、レーザ、ディスク・プレーヤなどが挙げられ る。 各種脅威は次のように取り扱う。 機密コプロセッサの選択は、オペレーティングシステム（ＯＳ）が信頼できな いと判定した場合に、すなわち、ＯＳが予想される脅威に対して十分な抵抗を提 供できないと保護を実施するように指示される。ＯＳが信頼できない場合、ＯＳ に実装されるか、またはこれによって保護された何らかの処理方法をＯＳ経由で 、あるいはＯＳをバイパスして回避できる。 コプロセッサにより提供される保護が、不正によって回避されることがある。 コプロセッサは、規則、暗号化データ、および解読された保護データを破壊させ る不正検出によって保護されている。受動的および能動的両方の手段を使用して 、このような破壊を実行する。半導体メモリは揮発性であり、電力を取り除いた 場合にはデータを保持しない。長寿命バッテリは、例えば秘密鍵を含む不揮発性 メモリの上書き（ゼロ化）を行うのに十分なエネルギーを提供する。秘密鍵がな ければシステムは保護されたデータを解読することができなくなり、公認サービ ス工場へ返送して秘密鍵の再導入を行う必要がある。 情報が出力目的でコプロセッサから出ていくだけであればアクセスを制御でき る。解読された情報は、主メモリにではなく、コプロセッサ上のメモリに保持さ れる。プログラムの実行はコプロセッサ（例えば、ユーザが８０１８６システム に８０２８６プロセッサを導入できるような、いわゆる「アクセラレータ」コプ ロセッサで行われているのと同じ方法で動作して、ユーザがソフトウェア・コマ ンドを使用して全ての機能をより高速なコプロセッサへシフトさせ、あるいはそ こからシフトさせることができる）で発生する。情報がコプロセッサから出て行 く必要がある場合、例えば出力装置へ送出する場合には、付随する規則によって 暗号化されることがある。暗号化データを受け取って処理するには、出力装置は アクセス機構、秘密鍵と公開鍵、および不正検出能力を保有しなければならない 。ある種の出力周辺装置は再送信機能を有していないことから、この装置はプロ セッサまたはコンピュータ・システムに付随する完全アクセス機構のサブセット である。 図面の簡単な説明 本発明の上記およびその他の目的と利点は、添付の図面と関連させて以下の詳 細な説明を勘案することで明らかになろう。図面において、参照番号は全体を通 して同様な部材を表わす。図面において、 図１は本発明によるデジタル・データ・アクセスおよび分配システムの実施例 の摸式ブロック図である。 図２および図３は図１に図示してあるシステムで使用される論理データ構造を 示す。 図４は図１に図示してある本発明の実施例のオーサリング機構のフローチャー トである。 図５は本発明によるデジタル・データ・アクセスおよび分配システムの別の実 施例の摸式ブロック図である。 図６は図５に図示してある実施例で使用される論理データ構造である。 図７は図５に図示してある本発明の実施例のオーサリング機構のフローチャー トである。 図８および図９は本発明によるアクセス機構の実施例の摸式ブロック図を示す 。 図１０（ａ）から図１３は図８、図９、図１５に図示してあるアクセス機構を 使用するデータ・アクセスのフローチャートである。 図１４は外部ユーザ・ステータス決定機構を使用する本発明の実施例を示す。 図１５は本発明による派生著作物の分配システムの実施例の摸式的ブロック図 である。 図１６は図１５に図示したアクセス機構を使用するデータ・アクセスのフロー チャートである。 図１７（ａ）および図１７（ｂ）は図２および図６に図示してある論理データ 構造によるパケット化データを示す。 図１８（ａ）から図２３（ｂ）は本発明によるデータとそのパッケージ化の各 種実施例を示す。 図２４は本発明によるアクセス機構を使用する代表的なコンピュータ・システ ムの各種実装レベルを示す。現時点で好適な例示的実施例の詳細な説明 本発明によるデジタル・データ・アクセスおよび分配システム１００の現時点 で好適な例示的実施例の摸式的ブロック図が、図１に図示してある。システム１ ００にはデータ・ディストリビュータ１０２とユーザ１０４の２つの主要コンポ ーネントを含む。データ・ディストリビュータ１０２はデータ１０６を取り出し てパッケージ化データ１０８を作成し、これが通信チャンネル１０５経由で、恐 らくは何らかの形式での支払い１１０の代償としてユーザ１０４に提供される。 ディストリビュータ１０２とユーザ１０４の各々に対応するのが、システムの オーサリング機構１１２とアクセス機構１１４である。ディストリビュータ１０ ２のオーサリング機構１１２はパッケージ化すべきデータ１０６を取り出してパ ッケージ化データ１０８を作成し、これが分配機構１１８によってユーザ１０４ に提供される。パッケージ化データ１０８は、暗号化された形で一緒に符号化さ れるアクセス規則１１６を含むか、またはアクセス規則１１６が別々にユーザ１ ０４に提供されることがある（図５の実施例に図示してある）。 ユーザ１０４のアクセス機構１１４は、アクセス規則１１６の暗号化されたバ ージョンを含むか別々にアクセス規則が提供されるパッケージ化データ１０８を 取り出し、アクセス規則に応じて各種の制御された方法でユーザがデータにアク セスできるようにする。 データ・ディストリビュータ１０２に提供されるか、あるいは生成されるデー タ１０６は、例えばコンピュータ・ソフトウェア、テキスト、グラフィックス、 オーディオ、ビデオ、および類似のものを単独で、または組み合わせによって表 わすバイナリ・データの何らかの組み合わせとすることができる。（図１５に図 示する実施例を参照して）後述するように、ある種の実施例において、データ１ ０６は本発明によるオーサリング機構によって作成された他のパッケージ化デー タを含むこともできる。 図１と図１５に図示してあるディストリビュータ１０２と１９０各々の実施例 の相違は、ディストリビュータ１０２（図１）がアクセス機構１１４を含まない ことである。従って、ディストリビュータ１０２は新規に作成されたデータ（つ まり、派生ではないデータ）だけを取り扱う。図１５に図示した実施例（後述す る）は図１に図示した実施例の機能を含み、保護データ（ディストリビュータに よって既にパッケージ化されている）の入力を取り扱うこともできる。図１に図 示したディストリビュータ１０２の実施例は純粋にソフトウェアとして実装でき る（発行元の従業員の信用レベルによって左右される）が、図１５に図示したデ ィストリビュータ１９０の実施例は何らかのハードウェア実装を必要とする。 データ１０６は、非デジタル形式でディストリビュータに提供して、既知の適 当な方法でディストリビュータによりデジタル形式に変換することもできる。デ ータ１０６の内容としては、例えば、ニュース、エンタテインメント、教育、分 析その他を単独で、または組み合わせて含むことができる。 本明細書で使用しているようなコンピュータ・ソフトウェアは、コンピュータ ・プロセッサを制御するために使用される何らかのソフトウェアプログラムを表 わすものである。これは、スタンドアロン型コンピュータのプロセッサ、ビデオ およびオーディオ装置、例えばテレビジョン、ビデオレコーダ、その他のプロセ ッサ、プリンタ、ディスプレイ装置、ファクシミリ装置、その他等の出力装置の プロセッサ、民生機器、自動車、電話機、その他のプロセッサを含み、またこれ に何らかの意味で限定されるものではない。 データ１０６は、代表的には制御対象となる知的財産である。場合によって、 ディストリビュータ１０２はデータへアクセスするために、ユーザ１０４から何 らかの形の支払い１１０を受け取ることがある。この支払い、またはその一部は 、データ１０６の実際の所有者（図示しない）に直接提供されることがある。更 に、支払いまたはその一部をデータの使用前、使用中、または使用後に行なうこ とがある。 前述したように、パッケージ化データ１０８は暗号化バージョンのアクセス規 則１１６を含むか、あるいはこれらの規則がユーザに別々に提供されることがあ る。パッケージ化データ１０８の論理データ構造は図２に図示してあり、暗号化 された本体部分１２０と暗号化されていない本体部分１２２、暗号化された規則 １２４（パッケージ化データに提供されている場合）、および暗号化された補助 情報１２６を含む。暗号化された規則１２４は、アクセス規則１１６の暗号化さ れたバージョンである。 データの実際のフォーマットとレイアウトは、データの種類、意図される使用 目的、アクセスされる方法、およびデータに実施すべき制御の細分性（granular ity）によって変わる。例えば百科事典は、映画や選曲集とは違った構成になる ことが多い。データはバイナリ・データのあらゆる組み合わせとすることができ るので、パッケージ化データ１０８の別の部分を適宜、別の構造にすることがで きる。従って、暗号化された本体部分１２０は可能性として暗号化された本体要 素で構成され、同様に、暗号化されていない本体部分１２２は可能性として暗号 化されていない本体要素で構成される。 しかし現時点での好適な実施例においては、どの規則を適用するかにしたがい 、またこれらのデータに適した方法で、データを横断または移動(navigate)でき るようにするヘッダ情報をある種のデータ部分や要素に有するように、データを 構成することが想定される。 規則１１６の構造の例が図３に図示してあり、規則は、例えばバージョン番号 １２７、認証データ１２８、ライセンス番号１３０、知的財産識別子１３２、プ ロダクト(product)の第１および最終の有効世代１３４および１３６等の有効性 チェックと識別情報を様々な形で含んでいる。規則１１６は更に、暗号化された データ・キー１３８、ならびにユーザによりデータへのアクセスが行なわれた時 に適用されるべき実際の規則１４０、１４２、１４４〜１４６を含む。実際の規 則は標準、拡張、カスタム・パーミッション(Custom permission)１４０、１４ ２、１４４〜１４６、およびソース・データの同時に適用すべき規則（パーミッ ション・リスト）１４５を含み、これに限定されない。 図３に図示した規則で各フィールドの機能は以下の表Ｉに掲載する。 暗号および暗号化技術と機構に関する更なる書籍の完全な詳解と参照は、本明 細書で参照に含まれているエイブラムズとポデル共著の「暗号」 (Abrams，M．D．and Podell，H．J.，"Cryptography," Security-An Integrated Collection of Essays，Abrams，M．D．et al.，eds．IEEE Computer Society Press，1995)に詳解されている。オーサリング機構 図１に図示してあるように、ディストリビュータ１０２のオーサリング機構１ １２はデータ１０６を取り出して配布用のパッケージ化データ１０８を作成する 。規則１１６を含むパッケージ化データを作成する工程は図１から図４を参照し て説明する。 オーサリング機構１１２は、既存のソース・データ１０６を頒布のためのパッ ケージ化フォーマットに組み込む。前述のように、データ１０６はコンピュータ ・ソフトウェア、テキスト、グラフィックス、オーディオ、ビデオ、その他の組 み合わせを含み、これに限定されない。データ１０６はベンダー・ソフトウェア ・パッケージで使用され、またグラフィックス、テーブル、チャート、スプレッ ドシート、テキスト、静止画および動画、オーディオその他のための低レベル・ フォーマットを有している各種の専用データ・フォーマットで、オーサリング機 構１１２に提供される。 オーサリング機構１１２を使用すると、暗号化すべきデータ１０６のこれらの 要素が選択され、使用すべき暗号化アルゴリズムおよびプロトコル、データ使用 に関する支払方法やユーザ１０４がデータをどのように使えるようになるかを管 理するその他の決定も同様に選択される。これらの決定は、規則１１６に含めよ うとするパーミッション・リストを構築する際に使用される。ユーザの異なるク ラスを、例えば年齢、支払い料金、資格、その他に基づいて定義することができ る。 現時点での好適な実施例は、オーサリングおよびアクセス機構で非対称暗号化 アルゴリズムを使用する。これらのアルゴリズムの鍵はシステム内部に保護され ており、絶対に露出しない。データ暗号化鍵Ｋ_D はデータの全コピーについて同 一である。データ暗号化鍵Ｋ_D はディストリビュータ１０２で選択され、各プロ ダクトで（すなわち各々のパッケージ化データ１０８で）異なることがある。デ ータを暗号化するために使用される対称暗号化アルゴリズムはデータ暗号化鍵Ｋ_D に関連し、これもディストリビュータによって選択される。データ暗号化鍵Ｋ_D は規則暗号化鍵Ｋ_R で暗号化される。規則がプロダクト（パッケージ化データ １０８）と一緒に配布されるときは、規則暗号化鍵Ｋ_R はシステムの全プロダク トおよび全実施例について同一である。規則がプロダクトとは別に配布されると きは、Ｋ_R はシステムの各バージョンについて固有のものにできる。規則暗号化 鍵Ｋ_R は、各ユーザの各々受信するコンピュータだけに分かっている（その内部 で保護される）。 図４を参照すると、オーサリング機構の本発明バージョンのフローチャートが 図示してあり、規則がパッケージ化データ１０８と一緒に配布され、ディストリ ビュータ１０２（データ１０６の所有者を表わすものとして機能する）がデータ 暗号化アルゴリズム（ＤＥＡ）（ステップＳ４００）を選択し、データ暗号化鍵 Ｋ_D （ステップＳ４０２）を選択し、Ｋ_R を用いてデータ暗号化鍵Ｋ_D を暗号化 する（ステップＳ４０４）。暗号化されたデータ暗号化鍵Ｋ_D は、パッケージ化 データ１０８の暗号化された補助情報１２６に格納される（ステップＳ４０６） 。 アルゴリズム選択（ステップＳ４００）は、危険の評価、所望する保護の度合 い、ならびに速度、信頼性、エクスポータビリティ(exportability)、その他と いった他の要因に基づいている。本明細書で用いている危険とは、システムの脆 弱性と、関連する脅威エージェントの強度または決定に鑑みて予想される脅威に よるか、あるいはその影響での想定される損失を表わす。これ以外に、危険は特 定の脅威がシステムの特定の脆弱性を侵害する可能性を表わすこともできる。危 険、脅威、脆弱性の分析は以下で提供する。考えられるデータ暗号化アルゴリズ ムの例としては、ＤＥＳ、ＲＳＡ、ＰＧＰ、ＳＫＩＰＪＡＣＫを含み、これに限 定されない。システムは好適な暗号化アルゴリズムを使用し、またデータ所有者 によるデータ１０６に提供されたアルゴリズムを使用するための機構も提供でき る。 データ暗号化鍵Ｋ_D は、選択したデータ暗号化アルゴリズムに適した代表的な 方法で生成できる。所有者への値が低いデータか、または損失の危険が少ないデ ータでは、全ての配布は単一のデータ暗号化鍵（あるいは、恐らく少数のデータ 暗号鍵）に依存することがある。別の暗号化方式では、配布しようとするデータ 項目の各々について固有のデータ暗号化鍵を使用する。 データ暗号化アルゴリズムと鍵Ｋ_D を選択し（Ｓ４００〜Ｓ４０２）、鍵を暗 号化して格納したら（Ｓ４０４〜Ｓ４０６）、ディストリビュータ１０２はデー タ１０６の各種要素の処理に進む。データは、使用時に必要とされる制限の種類 とデータそれ自体の形態、すなわちデータが提供された形態によって変化する細 分性で処理される。ディストリビュータはデータの各部分または各要素を（所望 の細分性で）取得して（ステップＳ４０７）検証し、処理しようとする要素がデ ータ本体に含まれているか否かを（規則または補助情報であるかと対抗して）判 定する（ステップＳ４０８）。検証している現在の要素がデータ本体にあると判 定された場合、ディストリビュータは現在のデータ要素を保護すべきか否か、す なわちデータのその要素へのアクセスを制御すべきか、またデータ要素を暗号化 すべきかどうか判定する（ステップＳ４１０）。 現在のデータ要素が保護されない場合、パッケージ化データ１０８の暗号化さ れていない本体部分１２２に格納される（ステップＳ４１２）。それ以外の場合 、現在のデータ要素を保護すべきであれば、データ暗号化鍵Ｋ_D を使用して暗号 化してから（ステップＳ４１４）、暗号化された現在のデータ要素をパッケージ 化データ１０８の暗号化された本体部分１２０に格納し（ステップＳ４１６）、 その後で次の要素を処理する（ステップＳ４０７から始める）。 例えば、データ１０６がテキストからなる記事の場合、記事の要約は保護され ない（暗号化されない）が、記事の残りの部分は暗号化される。 現在のデータ要素がデータ本体に含まれないと判定された場合（ステップＳ４ ０８）、ディストリビュータは現在のデータ要素がデータ所有者により提供され たアクセス規則かどうか判定する（ステップＳ４１８）。規則である場合には、 規則暗号化鍵Ｋ_R を使用して規則を暗号化する（ステップＳ４２０）ことによっ て規則を保護し、暗号化された規則はパッケージ化データ１０８の暗号化さ れた規則部分１２４に格納される（ステップＳ４２２）。 （処理している）現在のデータ要素がアクセス規則ではない場合、これが補助 情報かどうかディストリビュータにより判定する（ステップＳ４２４）。この情 報は、発行元の識別その他と言った事柄を含んでいる。現在のデータ要素が補助 情報であると判定された場合、データ暗号化鍵Ｋ_D を使用して補助情報を暗号化 し（ステップＳ４２６）、然る後に暗号化された補助情報はパッケージ化データ １０８の暗号化された補助情報部分１２６に格納される（ステップＳ４２８）。 データが暗号化すべき規則または補助情報である場合には、適当な処理を行な った後、次のデータを処理する（ステップＳ４０７）。 現在のデータ要素が本体部分、アクセス規則、あるいは補助情報ではない場合 、何らかの形のエラーが発生したものと仮定して処理する（ステップＳ４３０） 。エラーが処理された後で、機構は次のデータ要素の処理を継続するか（ステッ プＳ４０７）、あるいは実装によって終了することができる。 図５に図示したシステム１０１の動作は、規則１１６がパッケージ化データ１ ０８とは別にユーザ１０４に配布される点で、図１のシステム１００とは異なっ ている。これは、入力としてデータ１０６と規則１１６を取り出し、パッケージ 化データ１５０とパッケージ化規則１５２を別々に作成するオーサリング機構１ ４８によって実現される。規則なしでのパッケージ化データ１５０は図６に図示 した形態を有しており、これは基本的に図２に図示してある構造と同一であるが 、暗号化された規則１２４がない。 幾つかの規則がデータと一緒にパッケージされ、他の規則は別々にパッケージ されるようなハイブリッド・システムが、図１および図５に図示した機構の組合 せを用いることで予想されることに注意されたい。このようなシステムでは、オ ペレータがどの動作モードを使用するか選択する。 図７は本発明のオーサリング機構１４８のバージョンのフローチャートを示し ており、規則１１６はパッケージ化データ１５０と分離してディストリビュータ １０２によって配布される。規則１１６とデータ１０６はどのような順番でも、 あるいはインタリーブ方式でも、オーサリング機構１４８に存在し得る。実際 に、規則１１６が全て一緒に提供されなくても良い。ディストリビュータ１０２ は最初にデータ暗号化アルゴリズム、データ暗号化鍵Ｋ_D を選択する（ステップ Ｓ７００）。次に、オーサリング機構１４８は要素ごとにデータを処理する（ス テップＳ７０２から始まる）。図４に図示した機構の場合と同様に、データ要素 は本体部分、補助情報、またはアクセス規則のいずれか１つであると仮定される 。 最初に、現在のデータ要素が本体部分か否かを判定する(ステップＳ７１６)。 （ステップＳ７１６で）現在のデータ要素が本体部分であると判定された場合に は、（ステップＳ７１８で）データを保護すべきか否か判定する必要がある。規 則がパッケージ化データ１０８と一緒に配布される場合と同様に、特定のデータ 要素を保護すべきか否かといった決定はデータの所有者と規則に実装された配布 ポリシーによって変化する。 データを保護すべき場合（ステップＳ７１８）、現在のデータ要素にあるデー タはデータ暗号化鍵Ｋ_D を使用して暗号化され（ステップＳ７２０）、暗号化さ れたデータは暗号化された本体部分１２０のパッケージ化データ部分１５０に格 納される（ステップＳ７２２）。一方で、現在のデータ要素のデータが保護しな くても良い場合、データはパッケージ化データ１５０の暗号化されていない本体 部分１２２に格納される（ステップＳ７２４）。いずれかの場合で、データ要素 を格納した後（ステップＳ７２２またはステップＳ７２４）、次のデータ要素を 処理する（ステップＳ７０２から始める）。 現在のデータ要素が本体要素ではないと判定された場合（ステップＳ７１６） には、機構は現在のデータ要素が補助情報か否か判定する(ステップＳ７２６)。 現在のデータ要素が補助情報であると判定された場合、データ暗号化鍵Ｋ_D を使 用して暗号化することによって保護し（ステップＳ７２８）、次に暗号化された 現在のデータ要素が暗号化された補助情報部１２６のパッケージ化データ１５０ に格納される（ステップＳ７３０）。この後、ステップＳ７０２から始めて次の データ要素を処理する。 現在のデータ要素が本体要素（ステップＳ７１６）でも補助情報（ステップＳ ７２６）でもない場合、現在のデータ要素がアクセス規則か否か判定する（ステ ップＳ７３２）。アクセス規則である場合には、規則はパッケージ化データ１５ ０とは別に配布すべきであり、以下に説明するように処理される。 アクセス機構でこのデータ・セットについて規則を処理するのが初めての場合 には、規則暗号化鍵Ｋ_R を決定する必要がある。したがって、このデータ・セッ トについて処理すべき最初の規則があるかどうかを判定する（ステップＳ７３４ ）。その場合には、システムのシリアル番号ＳＮを取得して検証する（ステップ Ｓ７３６とステップＳ７３８）。次に、何らかの適当な関数ｆについて検証した シリアル番号の関数として規則暗号化鍵Ｋ_R （Ｋ_R＝ｆ（ＳＮ））を計算する（ ステップＳ７４０）。関数ｆは、例えば公開鍵を取得してシリアル番号が真正で あることを保証するようにするための認証データベース、または認証権威へ問い 合せとすることがある。規則暗号化鍵を決定したら（ステップＳ７４０）、計算 した規則暗号化鍵Ｋ_R でデータ・キーＫ_D を暗号化し（ステップＳ７４２）、鍵 を格納する（ステップＳ７４４）。次に、規則暗号化鍵Ｋ_R を用いて規則を暗号 化する（ステップＳ７４６）。暗号化された規則と暗号化されたデータ・キーＫ_D は、次の配布のためにパッケージされた規則１５２として格納される。規則暗 号化鍵Ｋ_R は必要な時には何時でも格納したり、あるいはシリアル番号から再計 算したりできる。 （ステップＳ７３４で）このデータ・セットについて処理しようとする最初の 規則ではないと判定した場合、規則暗号化鍵Ｋ_R は既に計算されて（ステップＳ ７４０）、格納されている（ステップＳ７４４）。この場合、現在のデータ要 素の規則は規則暗号化鍵Ｋ_R を使用して暗号化される（ステップＳ７４２）。 現在のデータ要素の規則が処理されると、処理は次のデータ要素に継続する（ ステップＳ７０２）。 オーサリング機構１４８で現在のデータ要素が本体部分(ステップＳ７１６)、 補助情報（ステップＳ７２６）、または規則（ステップＳ７３２）ではないと判 定した場合、何らかの形のエラーが発生したことになり処理される（ステップＳ ７４８）。エラーが発生した後、機構１４８は処理を中止するか（ステップＳ７ ５０）、あるいは幾つかの実施例においては、さらにデータ要素の処理を継続す る（ステップＳ７０２）ことが出来る。 ディストリビュータ１０２に提供されたデータ１０６とユーザ１０４に提供さ れたパッケージ化データ１０８（あるいは、別々に提供される場合には１５０と パッケージ化規則１５２）は、デジタル通信ネットワーク（例えばインターネッ ト、あるいは計画されている国内情報インフラストラクチャ(ＮＩＩ：National Information Infrastructure)など）、磁気媒体（例えばテープまたはディスク ）、ＣＤ−ＲＯＭ、半導体メモリ・モジュール（例えばフラッシュメモリ、ＰＣ ＭＣＩＡのＲＡＭカード）、および無線（例えば放送）を含み、これに限定され ない様々な方法で提供し、配布することが出来る。パッケージ化データ１０８は 、単一のパッケージ化された実体として、またはデータの連続ストリームとして ユーザに提供できる。例えば、ユーザはパッケージ化データとして映画を記録し てあるＣＤ−ＲＯＭを入手したり、あるいはユーザが１回の視聴のため放送デー タの連続ストリームとして映画を取得することがあり得る。 情報（例えばディストリビュータ１０２からユーザ１０４へのパッケージ化デ ータ１０８等）は、オープンに送信、すなわちアクセスしたりコピーしたりされ る機構と媒体を使用して送信できる。換言すると、通信チャンネル１０５は機密 化されていない。アクセス機構 アクセス機構１１４は、パッケージ化データで提供された（またはパッケージ 化規則１５２として別々に提供された）規則にしたがってユーザ１０４がパッ ケージ化データ１０８（または１５０）にアクセスできるようにし、ユーザまた は誰かが規則によって許可されている以外のデータへアクセスできないようにす る。しかし、（規則にしたがって）データへの制御されたアクセスをユーザに許 可してしまうと、ユーザや第三者がデータへの不正アクセスを獲得するのを防止 する必要がある。さらに、無許可でデータがさらに配布されるのを防止する必要 もある。 ユーザ１０４がデータにアクセスするために使用するアクセス機構１１４は図 ８を参照して説明し、処理ユニット１５４、リード・オンリ・メモリ（ＲＯＭ） １５６、揮発性メモリ（ＲＡＭ）１５８、Ｉ／Ｏコントローラ１６５、および何 らかの形のエネルギー供給源１６６、例えばバッテリ等を含む。アクセス機構１ １４は電気的に書き換え可能な不揮発性メモリ１６０、ハードディスク１６２、 ディスプレイ１６４、および特殊用途コンポーネント、例えば暗号化ハードウェ ア１６８も含む。 アクセス機構１１４は、機密化されていないチャンネル１７４および１７６と Ｉ／Ｏコントローラ１６５経由で各種制御されたディスプレイまたは出力装置、 例えば制御されたプリンタ１７８や制御されたディスプレイ・モニタ１８０に接 続される（これらの制御された装置との相互作用については後述する）。 他の各種装置または機構、例えばディスプレイ１５５、プリンタ１５７、ネッ トワーク接続装置１５９、フロッピー・ディスク１６１、モデム１６３等もＩ／ Ｏコントローラ１６５に接続できる。これらの装置はＩ／Ｏコントローラ１６５ から平文テキストだけを受信するもので、これらだけが規則によって許可されて いる。ネットワーク接続装置１５９は、さらなる配布のために平文テキストまた は暗号化されたテキストのどちらかを受信できる。 アクセス機構１１４の全てのコンポーネントは、ユーザによる未知のアクセス を全て排除して、コンポーネントまたはその内容へのユーザのこのようなアクセ スの試みを発見するような方法でパッケージ化されている。つまり、アクセス機 構１１４は不正を検出できる方法でパッケージ化されており、一旦、不正が検出 されるとアクセス機構が無効になる。図８に図示してある線１６７は、アクセス 機構１１４のコンポーネントについてのいわゆる機密性境界である。不正検出の 要求される全てのコンポーネント（不正検出機構１６９）もアクセス機構１１４ の一部として含まれる。不正検出機構１６９は、何らかの適当な方法で処理ユニ ット１５４、エネルギー供給源１６６、不揮発性メモリ１６０に接続してある。 本発明は、自己保護が欺かれたことや、自己保護方式を欺こうとする試みがな されつつあることまたはなされたことを検出するための手段と結合させた物理的 自己保護方式の組合せを使用する。このような侵入が検出されると、受動的また は能動的機構を使用してデータを破壊させることが出来る。例えば、次のような ことが（必ずしも説明する順番ではなく、一般に平行して）発生することがある 。アクセス機構１１４が動作できないようになり、機構内部の全ての暗号化鍵、 秘密鍵、およびその他の鍵やデータが破壊され（ゼロ化され）、電力を不揮発性 メモリ１６０に印加してクリアし、結果として揮発性メモリ１５８に格納されて いる全データが失われ、解読鍵へのアクセスおよびこれらのメモリにある全ての 平文テキストへのアクセスが拒絶されるようになる。前述したように、不正侵入 が検出された時点で、幾つかの動作を同時に対応させるかまたは実行することが 出来る。これはハードウェア回路によって行うことが出来る。危険評価と特定技 術の利用性に基づいて、他の実装を選択しても良い。 不正検出によりアクセス機構１１４は、不正侵入者が入手できる前に全ての内 部データ（システムのデータと全てのユーザ・データの両方）を破壊することが 確実に行える。 アクセス機構１１４内部のデータへのアクセスを拒否する１つの方法は、ユー ザ・アクセスから除外された領域を形成する物理ケース内部に全てのコンポーネ ントをパッケージ化することである。一例として、代表的なポータブル・ラップ トップ・コンピュータは同一の物理パッケージまたはケース内部に全てのコンポ ーネントを有する要件に適合する。ケースが開けられたことを検出するのは簡単 であり、周知である。 アクセス機構１１４の別の実施例として、アクセス機構１１４のコンポーネン トを別のプロセッサまたはコンピュータのコプロセッサとして使用することが出 来る。この場合、図９に図示したように、アクセス機構１１４は通信チャンネル １７２経由で別のコンピュータ１７０と通信する。コプロセッサは回路基板とし て実装することが出来、別のコンピュータ１７０のメインボード（すなわちマザ ーボードまたはプレーナボード）上のバス１７２に差し込むように設計される。 この場合、当該コンピュータ１７０は制御されたデータにアクセスする必要がな い限り通常に動作し、必要な時には制御をアクセス機構１１４へ渡す。 アクセス制御で使用される保護の度合い（例えば、不正検出機能）と使用され る暗号化ツールは、保護しようとするデータの性質とユーザ環境によって変化す る。 物理的にコプロセッサを保護するための幾つかの技術がイーによって記述され ている(Yee，B.，Using Secure Coprocessors，Carnegie Mellon University,Sc hool of Computer Science，CMU-CS-94-149，1994(防衛技術情報センターでもAD -A281 255 として入手可能))。イーによれば、物理的保護は不正検出エンクロー ジャとして記述されている。エンクロージャを通過する唯一の公認方法はコプロ セッサによって制御されたインタフェースを介することである。コプロセッサ・ モジュールのコンポーネントへのアクセスを得るために物理的保護を侵害しよう とする試みが検出され、適当な対策がとられる。例えば、攻撃(attack)の検出に よって攻撃者がセンサを無効にするか、メモリ内容を読み取れるほど深くまで侵 入できる前に不揮発性メモリを消去する。 必要に応じてデータを破壊するように機能する限り、何らかの既知の形の不正 保護および検出を使用できる。 機密性境界１６７の外へ送出しなければならないデータは、アクセス機構１１ ４の制御下におかれる。全てのＩ／Ｏ要求と割り込みはアクセス機構１１４によ って処理される。 アクセス機構１１４のコンポーネントと封入されたハードディスク１６２の間 の全ての通信は暗号化される。したがってハードディスクを機構から取り外した 場合、ここに記憶されているデータは適当な鍵なしにはアクセスできない。ハー ドディスク上に記録されるデータの暗号化はアクセス機構内部で生成される暗号 化鍵を使用でき、暗号化鍵は機構の外側では決して分からない。このようにする と、不正侵入を検出した時点で、暗号化鍵は失われる。 一般に、システム内部でデータは不揮発性記憶装置に暗号化されて不正侵入の 場合には利用できないままになる。暗号化されていないデータはコンポーネント の機密性境界１６７の内側でアクセス機構１１４内部にだけ存在し、アクセス機 構１１４の不正侵入が検出された時点でデータを破壊できる。 図８および図９を参照すると、アクセス機構１１４は機密化されていないチャ ンネル１７４および１７６とバス１７７経由で制御されるか制御されない各種デ ィスプレイや、前述したような出力装置等にも接続される。これによりシステム は、制御されない装置（いわゆる標準装置）ならびにネットワークと規則／パー ミッション・リストのコンテキスト内で通信できるようになる（これらの制御さ れる装置との相互作用については、詳しく後述する。）。機密でないチャンネル １７４および１７６とバス１７７での全ての通信はアクセス機構１１４（または オーサリング機構１１２）により暗号化され、制御される出力装置１７８および １８０は受信するデータを解読し処理するため、内部に（アクセス機構１１４を 含む）適当な処理能力を有していなければならない。使用されるディスプレイま た出力装置は用途とデータの種類によって異なり、プリンタ、ビデオ・ディスプ レイ・モニタ、オーディオ出力装置、その他を含むがこれに限定されない。 図９に図示した実施例は（バス１７７に接続された）他の標準装置、例えば標 準プリンタ１８１、フロッピー・ディスク１８５、モデム１８７、その他も含む ことが出来る。アクセス動作 ユーザ１０４がディストリビュータ１０２からパッケージ化データ１０８（ま たは１５０）を取得した時点で、ユーザは併せて提供されるか別々に提供される 規則にしたがってデータにアクセスできる。データ・アクセスはアクセス機構１ １４によってサポートされ、図８、図９、図１０（ａ）を参照して説明するが、 図１０（ａ）は図８および図９に図示したアクセス機構を使用するデータ・アク セスのフローチャートである。 最初に、アクセスしビューしようとするデータおよび規則の種類によって、 ビュー処理はインタラクティブ(interactive)なこともそうでないこともある点 に注意されたい。例えば、ユーザがテキスト文書にアクセスしている場合、ユー ザはその文書の選択した部分にだけアクセスするように選択でき、文書の目次を ビューすることによって選択を行う。一方で、ユーザが動画をアクセスする場合 、ビューは（規則でユーザが追加支払いなしには動画の一部を再視聴できない場 合）連続的である。アクセスおよびビュー処理はインタラクティブな場合につい て説明するが、これは、インタラクティブでないアクセスは単一の（“ビュー開 始”）相互作用によるアクセスとみなすことが出来るためである。 さらに、アクセス機構の初期化は割り込みのモニタとアクセス機構１１４によ るポーリングを有効にする点に注意されたい。ユーザは、システムにより保護さ れているオブジェクト（データ）にアクセスすることにより、アクセス機構を黙 示的に呼び出すことも出来る。この呼び出しは、割り込みのモニタとポーリング も有効にする。 以下の説明では一般性を失わずに、アクセス機構１１４を呼び出す機密でない オペレーティング・システム（ＯＳ）を経由して、アプリケーションによりデー タがアクセスされていることを仮定する。この意図は、データの制御されたアク セスが行われる方法を示すことである。幾つかの想定される環境において、オペ レーティング・システムは簡単なランタイム・システム程度だったり、あるいは 全ての時点で１つだけのプログラムしか動作しないことがある。例えば、ビデオ カセット記録再生装置（ＶＴＲ）では、全ての時点で単一の制御プログラムを動 作させてＶＴＲの動作を制御している。この場合、制御プログラムはアプリケー ションと考えられ、制御されたデータへのアクセス全部がアクセス機構１１４を 呼び出す制御プログラムによって開始される。 データ要素への入力アクセスを開始するには、ユーザはこのようなデータをＩ ／Ｏ装置からメモリへ読み込むようにオペレーティング・システムに要求しなけ ればならない。Ｉ／Ｏの開始はアクセス機構１１４に制御を渡す。 入力データ要素への入力アクセスでは、アクセス機構１１４は、最初にデータ 要素を含むデータ・セットが既にオープンされているか判定する（ステップＳ１ ０００）。データ・セットが未だオープンされていなければこれをオープン する（ステップＳ１００１）。オープンすると、データ・セットが保護されてい るか否かを判定する（ステップＳ１００２）。アクセスしようとするデータは、 パッケージ化データの一部をなすこともなさないこともある。幾つかの実施例で 、アクセス機構１１４はどのオープンされたデータ・セットが保護されるかのレ コードを保持できる。 データ・セットが保護されていないと判定した場合（ステップＳ１００２）、 制御は呼び出しプロセスに戻る（ステップＳ１００６）。一方で、データ・セッ トが保護されている場合（ステップＳ１００２）、このデータ・セットについて の規則が利用できる（存在し、利用可能かつ有効である）か否かを判定する（ス テップＳ１００４）（規則が利用可能か判定する処理、すなわちステップＳ１０ ０４については図１１を参照して後述する）。 規則が利用可能であると判定された場合（ステップＳ１００４）、アクセスし ようとするデータ要素が最近アクセスされたデータ要素とは異なるかどうか判定 する（ステップＳ１００８）。異なっている場合にはデータ要素をオープンする （ステップＳ１０１０）（それ以外の場合にはデータ要素は既にオープンされて 利用できるようになっている）。 次に、データ要素が保護されているか否かを判定する（ステップＳ１０１２） 。データ要素が保護されていない場合には、制御は呼び出しプロセスに戻る（ス テップＳ１００６）。それ以外の場合には、（規則にしたがって）アクセスが許 可されるか否かを判定する（ステップＳ１０１４）。データ要素へのアクセスが 許可されない場合には、アクセス拒否動作が実行される（ステップＳ１０１６） 。例えば、規則によっては、アクセス機構１１４が呼び出しプロセス（例えばオ ペレーティング・システム）に戻るか、または中止するか、または他の何らかの 動作を実行する。アクセス拒否動作（ステップＳ１０１６）に続けて、制御は呼 び出しプロセスへ戻る（ステップＳ１００６）。 データ要素へのアクセスが許可される場合（ステップＳ１０１４）には、規則 に準拠してデータ要素は利用できるようになり（ステップＳ１０１８）、制御は 呼び出しプロセスへ戻る（ステップＳ１００６）。 ステップＳ１００４で規則が利用できないと判定した場合、アクセス拒否動作 が実行され（ステップＳ１０１６）、その後、制御は呼び出しプロセスに戻る（ ステップＳ１００６）。 幾つかの実施例および／またはシステムの用途において、システムは何らかの データ・アクセスまたは選択の前に暗号化された規則１２４の全規則を取得し、 強制のためにセットアップする。他の実施例および／または用途において、規則 は必要に応じてセットアップされるか、または取り調べられる。データの種類お よび意図している用途に応じて、全体的規則（データへの何らかの管理、または 全アクセスの管理をする）の最少セットがデータ・アクセスに先立ってセットア ップされるのが代表的である。したがって、規則の幾つかの強制はパッケージを 取得した時点で何らかのユーザ・アクセスの前にセットアップされる。 幾つかの実施例において、要求された規則の幾つかが実際には提供されないが 、参照によって示されることがある。これらの場合、参照された規則は、データ 処理を継続する前に必要とされる時点で取得しなければならない。 適当な規則がある場合には（アクセス機構１１４に格納されている）これをセ ットアップすると、アクセス機構は強制できる状態になるので、規則にしたがっ てユーザはデータの要素をアクセスできる。 オペレーティング・システムには各プログラムの終了（正常またはそれ以外） が通知されるので、プログラムによってオープンされたファイルを閉じることが 出来る。複数のプログラムを同時に実行できることから、システムは（何らかの 保護されたデータがアクセスされた場合には）全ての動作中のプログラムが実行 を完了するまで保護状態に留まる。その時点でアドレス可能なメモリ内の全ての 保護されたデータは破壊され、作成されたファイルの規則／パーミッション・リ スト全部が更新され、全てのファイルを閉じてシステム・ステータス・フラグが リセットされる。 ユーザが保護されたデータにアクセスを希望する場合にはいつも、アクセス機 構１１４はそのアクセスを許可するかしないかの決定に規則が利用できるように なっていないと判定することがある。規則の存在に関しては３種類の可能性が存 在する。 １．規則がデータと一緒にパッケージされている。 ２．規則はデータと一緒にパッケージされていないがアクセス機構１１４（つ まりメモリ）に既に存在している。この状況は、例えばユーザが規則を含 むディスクをロードしてからアクセス機構１１４がディスクの存在を通知 する割り込みを受信した時に最初のレコードを読み取り、これを規則と認 識して解読し、後で使用するために記憶した場合に発生する（実際の使用 に先立ってディスク内容を読み込むのは、現時点では、例えばある種の ウィルスチェック・プログラムで行われていることである）。装置がロー ドされた時に実行者が割り込みに応答しないと選択した場合、規則が要求 されるとアクセス機構１１４は全ての「準備が出来ている(ready)」装置 をチェックし、存在する規則を入力する。これは規則がハードディスク上 に存在するような場合を包括する。 ３．規則が存在しない。つまり、規則はデータと一緒にパッケージされておら ず、システムに接続されているどの装置にも常駐していない。この場合、 アクセス機構１１４は規則が要求されていることをユーザに通知する。 ユーザは以下のいずれかで応答する。 （ａ）規則が利用できないことを示す（この場合、アクセス機構１１４ はプログラムへのパーミッションを拒否する）か、または （ｂ）規則をロードする（この場合、アクセス機構１１４は同一性を確 認して継続する）。アクセス機構が同一性を確認できない場合、規則の 要求を再発行できる。 図１１を参照すると、最初にアクセス機構１１４は、規則が利用できると既に 判定されているか否か判定する（ステップＳ１１００）。利用できる場合、処理 は「サクセス」表示を呼び出し、プロセスに返す（ステップＳ１１０２）。 規則が利用できるとまだ判定されていない場合（ステップＳ１１００）、規則 がロードされる。最初に、規則がデータと一緒にパッケージされているか否かを 判定する（ステップＳ１１０４）。パッケージされている場合には、規則は利用 できる（必要なら解読する）（ステップＳ１１０６）。規則がうまく利用できる ようになると（例えば解読に成功すると）（ステップＳ１１０８）、規則は完全 性をチェックされる（ステップＳ１１１０）。規則が完全性チェックに通ると、 「サクセス」表示が呼び出しプロセスに返され（ステップＳ１１１２）、それ以 外の場合には「フェイル」表示が返される（ステップＳ１１２７）。 規則がデータと一緒にパッケージされていない場合（ステップＳ１１０４）、 アクセス機構１１４はアクセス機構１１４に接続された装置上に規則があるか否 かを判定する（ステップＳ１１１６〜Ｓ１１１８）。規則がどの装置にも見付か らない場合、ユーザに規則を提供するように求める（ステップＳ１１１４）。そ の時点でユーザはプロセスをアボートすることが出来（ステップＳ１１２０）、 この場合には「フェイル」表示が呼び出しプロセスに返される（ステップＳ１１ ２７）。ユーザがアボートしないで規則を提供する選択をした場合、これらの規 則が読み込まれ（ステップＳ１１２２）、規則の正しいセットが存在すれば（ス テップＳ１１２４）、利用できるようになる（ステップＳ１１０６）。規則が正 しい規則のセットではない場合（ステップＳ１１２４）、ユーザに通知され（ス テップＳ１１２６）、規則について入力を求められる（ステップＳ１１１４）。 規則がパッケージ化データに提供されているか否かと無関係に、規則が解読さ れるとアクセス機構１１４に格納される。 格納された規則にしたがってデータにアクセスするアプリケーションを実行す る処理は、図１２に図示したフローチャートを参照して説明する。アプリケーシ ョンによって実行されるべきデータ・アクセス動作の各々で最初に動作が識別さ れ（ステップＳ１２００）、規則がチェックされて（ステップＳ１２０２）、そ の動作が許可されているか判定する（ステップＳ１２０４）。 動作が規則によって許可されていないと判定した場合（ステップＳ１２０４） は「フェイル」リターン・コードがセットされ（ステップＳ１２０６）、制御は 呼び出し側（オペレーティング・システム）に戻る（ステップＳ１２０８）。一 方で、動作が許可されている場合（ステップＳ１２０４）には支払いが受け入れ 可能であると判定され（ステップＳ１２１０）、処理が継続する。（支払いにつ いては以下でさらに説明する。）支払いが受け入れ不可能であると判定した場合 （ステップＳ１２１０）は「フェイル」リターン・コードがセットされ、制御は 呼び出しアプリケーション（ステップＳ１２０６およびＳ１２０８）に戻る。 支払いが受け入れ可能であると判定された場合（ステップＳ１２１０）は、規 則がデータに対して何らかの制限を適用するか否かを判定（ステップＳ１２１２ ）する（例えば、規則が出力フォーマットまたは何らかの方法でデータ量を制限 するか否か）。規則がデータを制限すると判定した場合、制限が適用され（ステ ップＳ１２１４）、Ｉ／Ｏが制限に基づいて実行される（ステップＳ１２１６） が、それ以外の場合にはＩ／Ｏは制限なしに実行される（ステップＳ１２１６） 。 Ｉ／Ｏを実行した後（ステップＳ１２１６）、「サクセス」リターン・コード がセットされ（ステップＳ１２１８）、制御は呼び出しアプリケーションに戻る 。書き込み動作 データ書込み処理については図１０（ｂ）を参照してここで説明する。アプリ ケーションがデータ・セットの書き込みを行おうとした場合、制御はアクセス機 構１１４に渡され、アクセス機構が既にオープンされていない場合には書き込み のためにデータ・セットをオープンする（ステップＳ１０２０、Ｓ１０２２）。 オープンすると、データ・セットは保護すべきか否かを判定する（ステップＳ１ ０２４）。例えばアクセス機構１１４が最後にメモリをクリアした時以降の保護 されたデータ・セットがオープンされた場合、または出力ファイルを保護するよ うにユーザが指示した場合には（著作物をオーサリングする場合等）、データ・ セット（出力ファイル）が保護される。 出力データ・セットは保護されていない状態で開始し、保護されないまま書き 込みでき（すなわちアクセス機構１１４を備えていない装置上にある形で）、後 にデータ・セットへの追加には保護が必要とされるので、適当なフォーマットで 書き込まれることに注意されたい。データ・セットで保護されていない／保護さ れているデータの間の変換については後述する。 データ・セットを保護しない場合（ステップＳ１０２４）、制御は呼び出し処 理に戻り、保護されていないデータを書き込む（ステップＳ１０２６）。一方 で、データ・セットを保護する場合には（ステップＳ１０２４、規則をチェック して出力アクセスが許可されているか否か判定する（ステップＳ１０２８）。出 力アクセスが許可されていない場合、拒否動作が実行される（ステップＳ１０３ ０）。例えば、規則によっては、拒否動作の一環としてアクセス機構１１４は出 力データを破壊しその代わりとしてランダム化したデータを書き込むか、関数を アボートするか、あるいはジョブをアボートすることが出来る。アクセスが許可 されている場合（ステップＳ１０２８）、新規データ要素を書き込もうとしてい るのか、あるいは新規規則が最後の書き込み以降に組み込まれたかを判定する（ ステップＳ１０３２）。どちらかに当てはまる場合には規則が書き込まれる（ス テップＳ１０３４）。規則を書き込んだ後（ステップＳ１０３４）、あるいはど ちらにも当てはまらない場合（ステップＳ１０３２）、規則が要求していればデ ータを暗号化し（ステップＳ１０３６）、制御は呼び出しプロセスに返り（ステ ップＳ１０２６）、ここで（恐らく暗号化されている）データが書き込まれる。互換性の問題 本発明によるアクセス機構１１４を使用しないシステムで読み込まれる保護さ れたデータ・セット、すなわちパッケージ化データ（あるいは、保護されていな いモードでシステムに読み込まれるデータ・セット）は、（アクセス機構による ）解読を行わないデータとして取り扱われる。このようなシステムでは、保護さ れたデータ要素をユーザが利用できない。これにより、データ・セット（パッケ ージ化データ）は自由にコピーでき送信できる。受け手は、このようなデータ・ セットの暗号化データを読み込みできるようになる前に必要な全てのパーミッシ ョン・リスト（規則）を入手しておく必要がある。 保護されていない（例えばレガシーな）データ・セット（アクセス機構１１４ を使用するシステムを用いて読み込まれる）は保護されたデータ・セットとして 取り扱われるので、アクセスする前に規則が存在している必要がある。このよう な誤認識(mis-identification)の発生確率は、例えばデータのハッシュ関数を計 算することにより、無視できる程に小さくできる。 ユーザには、データ・セットを保護されていないように取り扱うべきであると 示す機会を提供し得る。これを行うため、図１０（ａ）と図１１を参照して前述 したアクセス処理によって、データ・セットが保護されているか否かについての ステップＳ１００２で行った判定をユーザが無効にできる。保護されたデータ・ セットが保護されていないとユーザが正しくない指示をした場合には、暗号化さ れた（利用不可能な）形以外でのデータへのアクセスは利用できないことに注意 されたい。不正侵入の検出 不正侵入を検出した場合、アクセス機構１１４は少なくとも図１３に図示した 次のような動作を実行する。暗号化変数（例えば鍵）が破壊され（ステップＳ１ ３０５）、全ての規則が破壊され（ステップＳ１３０２）、全ての平文（暗号化 されていない）情報が破壊され（ステップＳ１３００）、全てのファイルを閉じ （ステップＳ１３０４）、装置は他の部分で動作停止する（ステップＳ１３０６ ）。これらの動作は順番に説明するが、好適実施例において図１３に図示してあ るように、動作は同時か、または何らかの同時発生的または並列順序で行われる 。これらの動作に対して何らかの順序を付ける必要がある場合、第１の優先順位 は暗号化変数を消去すること（ステップＳ１３０５）である。動作の考察 幾つかの動作手順も、本発明が備える保護と制御を維持するために重要である 。特定の動作手順を用いて本発明によるアクセス機構で動作し、アクセス機構の 保護と制御を妨害するための方法も含むような装置が作成されるのを防止するこ とが出来る。 これらの動作手順は検査、分析、試験、そして恐らくは他の手順とそれに続く 公認のアクセス機構実装の認証(certificate)が関係する。検査は設計分析と物 理チップ検査を含むことがある。検査に合格すると、暗号的に封止された認証が 保護境界内部に記憶される。この認証は不正侵入の検出時に破壊されるデータ項 目の１つであることに注意すべきである。認証は公認の認証権威（ＣＡ）によっ て発行され、そのＣＡから発行された解読鍵を内蔵している。 幾つかの好適実施例において、規則暗号化鍵Ｋ_R は各装置の認証に含まれる解 読鍵に対応する暗号鍵を用いて暗号化されている。さらに、装置内のＫ_R を取得 するためには、装置はＣＡによって認証に格納された解読鍵を有する必要がある 。支払い 市場経済において、物品およびサービスの製作者と提供者は補償を想定してい る。知的財産の制作者と配布者も例外ではない。商業的必要性は、歴史を通じて 情報技術発展の重要な要因となっていた。今日の情報インフラストラクチャ活動 の多くも課金と支払いを取り扱う。 既存の支払い機構は、当事者がある時点で互いの物理的存在となるか、あるい は支払い処理に充分な遅延を設けて詐欺、貸越し、その他の望ましくない状態を 識別し訂正するかのどちらかを仮定している。これら支払い機構の多くは、ネッ トワーク上でのビジネス開始に応じて既に対応を開始している。全面的に新規な 電子支払いの形が発展しつつある。 ある種の電子支払いシステムはインターネット経由で、または直接ダイアルで 通信することによってリアルタイムで動作する。その他のシステムは、取引先ク レジットに対して借り入れてある前払い勘定残高を用いて定期的にバッチ更新し 、送信している。 本発明の実施例は、従来技術で周知となっているような適当な支払い機構を使 用することを想定している。したがって、実際の支払い機構については詳述しな い。規則とポリシー （パッケージ化データと一緒に、または別々に提供される）規則はデータに対 するユーザのアクセス権に関してデータ所有者の制御ポリシーを実現する。 本発明では、知的財産の所有者が財産へのアクセス権の各種レベルを販売した りライセンスし、さらにこれらの権利を超えたアクセスが得られないように保証 することにより利益を実現できる。本発明は、所有者がリリースした通りの（一 般に支払いとの交換で）アクセスの質と量だけが許容されることを保証する。 規則はパーミッション・リストで実現するのが望ましい。このようなリストで のパーミッションの例が図３に図示してあり、これは上記で説明した。 許容される規則はオープンエンド型であるが、規則（アクセス制御パラメータ ）のセットの例を以下に示す。アクセス制御パラメータは組み合わせて各種機能 のセットを提供し、各種ポリシーの強制を実現することが出来る。幾つかのパラ メータは他のパラメータとは独立しており、幾つかのパラメータは相互に排他的 であり、他のパラメータは組み合わせて使用して、アクションを許容するかまた は許容しないかを完全に定義する必要がある。 制限なし これは制限なしが関連データに配置された場合のステータス(status)で ある。このパラメータが明示的に記述された場合、存在することのある 対立パラメータを無効にする。データを読み取り、プリントし、実行 し、変更し、コピーすることが出来る。 変更なし 関連データは編集または変更が出来ない。 コピーなし データはコピーできず、関連著作物をデータから作ることが出来ない。 実行なし データを実行できない。 プリントなし データをプリントできない。 ｎ型制限付きプリント ユーザがデータにアクセス後にプリントする場合、背景にシミュレー ションの透かしがプリントされるか、ヘッダおよび／またはフッタが各 ページに配置される。数値ｎは適用されるべき特定の制限を指定する、 例えば標準の透かし（例えば「コピーできません」）、パーソナルな透 かし（例えば「“ユーザ名”のためにプリント」）、標準ヘッダ／フッ タ（例えば“企業名社外秘”）、またはパーソナル・ヘッダ・フッタ （例えば「“ユーザ名”のためにプリント」）。 アクセスなし 実行の試みを含むユーザ・アクセスは暗号化データ（暗号文）だけを取 り出せる。これはデータに関連する規則が存在しない場合、または規則 が混乱している場合の初期設定である。 未成年アクセスなし ユーザが成人として識別されていなければ（例えばパスワードまたは トークンを用いることで）、「成人向けマテリアル」として認識された 項目についてのアクセスは許容されない。 アクセス・コスト＝（単位、価格） ある単位のデータ（例えば図書、ボリューム、章、ページ、段落、単 語、マップ、レコード、歌、画像、キロバイト等）がオープンされる度 に、「価格」分のコストが付加される。 プリント・コスト＝（単位、価格） ある単位（例えば、ページ、ファイル、画像等）がプリントされる度 に、「価格」分のコストが付加される。 コピー／送信コスト＝（単位、価格） ある単位（例えば、ボリューム、ファイル、レコード、ページ、キロバ イト、画像等）が出力される度に、「価格」のコストが付加される。 実行のみ ユーザはプログラムを実行できるが、読み込み、プリント、変更または コピーは出来ない。この規則はアルゴリズムの開示に対する保護であ る。 パーミッション・リストは、所有者が特定のユーザまたはユーザのグループま たはクラスに利用できるようにするアクセスの量と質を管理する規則で構成され 、ユーザが所有者のデータ／情報と相互作用できる（または出来ない）方法を定 義する。暗号化されたパーミッション・リスト（例えば図２の暗号化された規則 １２４）は、（商業分野で）一般に料金（例えば図１の支払い１１０）との引き 替えで所有者によりユーザが利用できるようにする。システムは、ユーザが直接 アクセスしてパーミッション・リストを取り扱うのを拒否するが、場合によって ユーザはパーミッション・リストをビューすることが出来る。（パーミッション ・リストはパーミッション・リスト自体へのアクセスを管理する規則を含むこと がある。）パーミッション・リストの使用は特定のコンピュータ・システム、特 定のトークン（例えばスマート・カード）、ユーザの供給したパスワード、ある いは、これらやその他の項目の何らかの組合せに制限される。 知的財産（データ）所有者の裁量で、パーミッション・リストはデータの将来 のリリースについても有効に出来る。これによって、例えば、ソフトウェア所有 者が将来のリリースについて計画し、初期のソフトウェア・リリースで発見され た問題を解決することができる。この例では、プログラムの特定バージョン、例 えばバージョン６のユーザはプログラムの次のバージョンであるバージョン６． １をさらなる支払いなし、または新規のパーミッション・リストやライセンスを 取得する必要なしに使用できる。まだプログラム・バージョン６のライセンスを 受けていない者は、プログラム・バージョン６．１を使用するためには新規のパ ーミッション・リスト／ライセンスを購入する必要がある。 パーミッション・リストは、オリジナルの所有者が権利を有するか有していな い派生プロダクトを知的財産のユーザが作成することを認可し、許可することが 出来る。オリジナルの知的財産の所有者が権利を有していない派生プロダクトの 場合、派生知的財産の所有者はその知的財産の使用を管理するパーミッション・ リストを一方的に発行できる。 プログラムの実行は、コンピュータ装置がある種の記号で表現された一連のス テップ、または命令にしたがう場合に行われる。プログラムは１つのステップが 変形なしに必ず先行ステップにしたがうような線形であったり、あるいはプログ ラムは内部または外部イベントおよびステータスに関連した変数の比較に基づく 分岐に関係する。コンピュータ・サイエンスの分野では、コンピュータの動作を 制御するためにプログラムを含む命令がコンピュータのマシン語に翻訳される時 点によって区別されることがしばしば見られる。したがって、アセンブリ、コン パイルする、およびインタプリテーション等の術語を使用する。この区別は本発 明に関しては重要でない。術語実行はプログラム実行の全ての形を表わすために 本明細書で使用している。一次配布の制御 前述のように、デジタル情報はオープンに送信される。したがってデータは代 表的に暗号化した形で配布される。公認ユーザ・リストの強制 幾つかの場合に、ある種の特定のユーザまたはユーザのクラスでデータのアク セスを制御する規則を有するのが有用である。例えば、データは１８歳を超える 人にだけ、またはキャプテンより上かそれに等しい階級を有する人にだけ、また は極秘より機密の機密許可証を有する管理者だけにアクセス可能にすることが出 来る。これらの場合、各ユーザにはその特定のユーザについて別のセットの規則 を提供できる。換言すると、各ユーザに固有の規則のセットを提供できる。しか し、あるユーザのステータスが変化した場合、そのユーザのための規則を変更す る必要がある。したがって、ユーザのステータスに基づいて規則をパラメータ化 しておき、ユーザのステータスを機密的にアクセス機構１１４に提供するのが有 用、かつ便利である。 本発明は、ソフトウェアおよびその他の認識技術（例えば、生体計測センサ等 ）との組合せで使用して、適当な物理的または論理的トークン（例えばドングル またはパスワード）または個人的特徴（例えば指紋）を保有するユーザにデータ ・アクセスを制限できる。（不正検出経由で）機密ハードウェアが認識ソフトウ ェアの変更や転覆の可能性を排除する。 このような構成を有する実施例を図１４に図示してあり、アクセス機構１１４ はユーザのステータスを取得するために外部機密装置１８２と接続してある。外 部機密装置１８２とアクセス機構１１４を接続するチャンネル１８３は（機密性 境界１６７内部にある）機密チャンネルが望ましいが、機密性ではない場合には 装置１８２が保護された（例えば暗号化された）方法でアクセス機構１１４に情 報を送信する必要がある。アクセスと使用の制御 本発明は計算できるか列挙できる何らかの方法でデータへのアクセスの質と量 を制限することが出来る。網羅的ではなく代表的な一セットの例を以下に示す。 アクセス制御の質 （ａ） ローカル・ディスプレイ（例えばコンピュータのモニタ上のデータ 表示） （ｂ） プリント（すなわち、人に理解できる形での固定） （ｃ） コピー（すなわち、ディスクまたはテープ等の電子媒体上の固定） （ｄ） 送信（二次配布の制御に関しては下記を参照） （ｅ） 変更（すなわち一次配布物のコピーへの変更） アクセス制御の量 （ａ） 読み込みアクセスの個数（ここで「読み込みアクセス」はデータ／ 情報のあらゆる種類の検証または取り込みを表わす） （ｂ） 読み込みアクセスの大きさ （ｃ） 有効期限 （ｄ） アクセスの強度（単位時間での読み込みアクセスの回数／総量） （ｅ） アクセスの解像度（例えば、地図のコンテクストにおいては許容 される最大縮尺である。センサデータではユーザへ返される精度 （ビット数）である）。 （ｆ） 遅延量（ｎ時間単位の遅延の後にデータへのアクセスが許容され る。これにより、異なるユーザ・グループがクイエリー(queries) に対し異なる結果で同一データ・セットをビュー出来る。例えば、 株式ブローカーは最新データをビューできるが、顧客はサービスに 少額しか支払っていないので１５分遅れたデータを受信する）。 アクセス制御の細分性 上記のアクセス制御のポリシーは知的財産の異なる部分に異なる方法で適用で きる。例えば、文書の章を異なるレベルの質と量で制御する、地図情報を緯度と 経度の違いで異なる方法で制御する、画像の一部を利用可能性、解像度その他に おいて制限するなど。二次配布の制御 本発明はデータの二次配布の（例えば潜在的使用を防止、あるいは制限する） 絶対制御を提供する。 一時配布データ（の暗号化されていないコピー）の（ネットワーク上またはテ ープまたはディスクなどの出力装置への）送信は、所有者のパーミッション・リ ストに実現された規則のもとで動作するシステムが外部出力を許可した場合にだ け行うことができる。暗号化されていないコピーの送信許可を拒否すると、出力 が得られないか、あるいは暗号化されたコピーの送信が得られる（この場合、受 け手は使用するために許可を交渉しなければならない）。これ以外では、送信許 可の拒否によりランダム・データの送信が得られることがあり、これによって暗 号化データが送信されたか否かについてユーザが知ることを拒否する。 内蔵不揮発性メモリ装置（例えばディスク、フラッシュ・メモリ、その他）上 のデータの全ての記憶が暗号化されているので、これによりシステムへの物理的 攻撃によって平文テキストが危険に曝されないことを保証する。プリントまたは表示の制御 データのプリントまたは表示は二次配布を制御するために用いられる方法と同 様の方法で制御される。一つのオプションとしては特定の情報をプリンタまたは ディスプレイ装置へ送信する機能を許可しないことが挙げられる。プリントまた は表示が許可されている場合、出力装置へのデータ・ストリームは暗号化されて 、不正ユーザが外部プリンタまたはディスプレイ装置へ（すなわち、不正検出保 護エンクロージャの外側にあるプリンタまたはディスプレイ装置へ）送信された データを横取りできないように保証する。これには受信側装置が解読サブシステ ムを含む必要がある。つまり、図８に図示してるように、アクセス機構１１４か らＩ／Ｏコントローラ１６５を介して制御されたプリンタ１７８または制御され たディスプレイ装置１８０へのデータは、それぞれチャンネル１７４と１７６で 暗号化されている。 出力信号取り込みの脅威に対処する場合に、前述したように、暗号化機構を使 用してプリンタまたはディスプレイ装置へのデータ転送を保護しておき、データ 所有者が希望する場合には、特定のプリンタまたはディスプレイ装置はプリント または表示を制限されるようにする。 プリントまたは表示を許可しない代わりに、これらの機能は所有者が付加した 制限付きで許可し得る。例えば、出力は公認ユーザの識別を表わすヘッダ／フッ タを各ページに含むことがあり、背景に透かし文字がプリントされたり、あるい は他の認識マテリアルが各画像に配置される。当然のことながら、データ・スト リームは横取りを防止するために（前述のように）暗号化される。 文書マーキングおよび認識技術を使用して、紙または電子的形態のどちらかで 配布される文書の不正コピーを防止することができる。プリンタの文字の正確な 形ならびに行と単語のシフトが文書マーキングと認識に使用されてきた。(「行 と単語のシフト両方を用いた文書マーキングおよび認識」、ローら("Document M arking and Identification using both Line and Word Shifting,”Low，S.H. ，et al.，1995 INFOCOM Proceedings，IEEE，pp．853-,1995)) 電子出版の直面している主な技術的、経済的問題の一つは、個人が簡単にコピ ーしたり非合法または無許可で電子文書を配布するのを防止する問題である。非 合法電子コピーの配布を防止するために使用される暗号化手順はChoudhury，A． K.，他著「コンピュータ・ネットワーク上での電子出版の著作権保護」("Copyri ght Protection for Electronic Publishing over Computer Networks,”Choudhury，A．K.，et al.，IEEE Netowrk，pp．12-20，May-June19 95)に記載されている。 望ましくは、制御される各周辺装置（例えば制御されたプリンタ１７８または ディスプレイ装置１８０）には装置が受信するデータを処理できるアクセス機構 が設けてある。これによって、制御された周辺装置へアクセス機構を使用するシ ステムから送出されるデータは、別のユーザ（周辺装置の場合もある）へ送信さ れるデータのコピーまたは派生著作物のどちらかとして取り扱われる。換言する と、周辺装置がアクセス機構を含む場合、その装置へ送信されるデータはパッケ ージ化データにできる。このアプローチを使用すると、データを解読してプリン トまたは表示するのに必要とされる鍵を取得するために、受信側アクセス機構（ 周辺装置のアクセス機構）が規則（パーミッション・リスト）を含む必要がある 。パーミッション・リストが含まれずデータがプリンタの公開鍵で暗号化される 場合、（標準プリンタで暗号化されていないデータ・ストリームを受信してプリ ントしたのと同じように）プリンタのアクセス機構はデータを解読してプリント する。 制御される周辺装置のアクセス機構は、周辺装置が例えばデータをプリントす るだけか表示するだけに機能的に制限されている場合には、完全なシステムでな くとも良い。周辺装置とそのアクセス機構サブシステムは不正検出エンクロージ ャ内におく必要がある。 前述したように、アクセス機構を備えたコンピュータまたはその他の装置は、 同様の装備の制御された出力装置（プリンタまたはディスプレイ装置）で使用さ れることを想定している。データの所有者が（規則を介して）制御された（アク セス機構を備えた）出力装置（例えばプリンタ）へ出力（例えばプリント）出来 る場合、２種類の可能性がある。ユーザのコンピュータにあるアクセス機構はあ らゆる要求された支払いを処理し、装置の公開鍵で暗号化したデータを出力のた めにプリンタまたはディスプレイへ送信する。これ以外に、アクセス機構は派生 著作物としてデータを処理し（後述）、データと一緒に規則をパッケージ化し、 出力装置が別々の（例えば、保存と複数コピーを許可する）支払いを担当する。 コピー出力の枚数を制限するためには、短時間のウィンドウを規則に含めてお き、受信側がファイルを取り込んで（記録して）複数回、出力装置に出力し直す ことができないようにする。さらに、出力装置のアクセス機構がある程度の時間 間隔の間、例えば最初の出力から１５分間は再出力されるべきでないファイルの チェックサムを保持する比較的少量の不揮発性メモリを含めておく（あるいは規 則の出力パーミッション・リストでＸからＸ＋１５まで１５分間の間だけ有効な ｎ枚のコピーを指定する）。 標準出力装置（制御されていない、すなわちアクセス機構がない）の場合、デ ータは暗号化されずに（規則が許可し支払いが提供されている範囲で）提供され る。派生著作物の配布制御 知的財産が作成される多くのアプリケーション環境では、他の知的財産からの 引用を含むのが共通である。このような環境には、学位論文、レビュー、規定の 執筆などが含まれる。引用を含む知的財産はいわゆる派生著作物である。引用が コピーされた知的財産は親著作物と呼ばれる。 本発明は派生著作物（すなわち他社の所有する情報を使用して作成された著作 物）の配布を制御する。派生著作物（暗号化されていないコピー）の（ネットワ ークへ、テープまたはディスクなどの出力装置へ、あるいはプリンタまたはディ スプレイ装置または同様の装置へ）の送信は、何らかの知的財産の所有者それぞ れによって作成されたパーミッション・リストに実現された規則のもとに機能す るシステムが外部出力を許容する場合にのみ行うことができる。暗号化されてい ないコピーの送信許可を拒否すると、出力が得られないか、暗号化されたコピー の送信が行われることがある（あるいは、前述したようにランダム・データの送 信が行われる）。派生著作物の暗号化コピーの使用は、一般に、派生著作物の所 有者ならびにオリジナル著作物の所有者からの許可を必要とする。著作物に付随 するパーミッション・リストは直接または参照のどちらかで、全ての派生著作物 のパーミッション・リストに組み込まれる。著作物の所有者により付加されるラ イセンス料と制限は派生著作物にも継承される。ｎ番目の世代の派生著作物 はｎ−１先代のそれぞれのライセンス料と制限とを継承する。パーミッション・ リスト（規則）が参照として含まれる場合、アクセス機構では参照されたパーミ ッション・リスト（規則）が存在することを保証する（あるいはアクセスを拒否 する）。 例えば、オリジナル著作物のプリントには透かしを必要とする場合、いずれか の派生著作物のプリント（許容されている場合）は透かしを必要とする。制限の 一様性／縦続性（すなわち、著作物の各世代が少なくとも直前の世代と同じ制限 を受ける）は、オリジナルからの子細な変更だけの派生著作物がオリジナルによ って付加される制限を免れないように保証する。 後続の配布のための派生著作物の作成は、図１および図５に図示したディスト リビュータ１０２に類似のディストリビュータ１９０を必要とする。しかし、派 生著作物ディストリビュータ１９０（図１５に図示してある）はアクセス機構１ １４を含み、入力データとしてパッケージ化データ１０８ａを処理する。ディス トリビュータ１９０によって作成された出力は、入力パッケージ化データ１０８ ａから派生したデータで必要とされる全ての規則（あるいは規則への参照）を含 むパッケージ化データ１０８ｂである。ディストリビュータ１９０内部のアクセ ス機構１１４は派生著作物と併せて規則の配布を強制するグローバルな規則を含 む。 前述のように、図１および図１５に各々図示してあるディストリビュータ１０ ２と１９０の実施例の間の相違点は、図１に図示してあるディストリビュータ１ ０２がアクセス機構１１４を含まないことである。したがって、ディストリビュ ータ１０２は新規に作成されたデータだけを取り扱う（すなわち、非派生データ を取り扱う）。図１５に図示した実施例は図１のそれを含み、（ディストリビュ ータによって既にパッケージ化された）保護データの入力も取り扱うことが出来 る。図１に図示したシステムの実施例は純粋にソフトウェアで実装できるが、図 １５に図示した実施例は何らかのハードウェア実装を必要とする。 アクセス機構１１４を備えた標準的コンピュータがオーサリング／配布システ ムとして機能することを想定している。これによって、全てのコンピュータ・ユ ーザが著作物になることが出来、それまでに発行されたマテリアルを派生著作 物に含めることが出来る。 親著作物に付随する規則は、派生した知的財産の作成、ならびに親の規則を派 生著作物に含めるための継承規則が許可されるかを決定する。親に由来する規則 は引用にだけ適用されるもので、引用に適用するこれらの規則は親の規則と同一 である必要がないことに注意されたい。引用に適用する規則は親の所有者によっ て指定されるもので、派生著作物の作者によるものではない。 例えば、引用に適用する規則は引用を含む派生著作物の使用について親の所有 者への支払いを必要とすることがある。派生著作物の作者も支払いを要求する場 合、派生著作物の使用者は派生著作物の使用について２人の所有者に支払いを行 うことになる。自動化システムにおいて、このような多重支払いの明細はユーザ には見えない。 本発明は、他の方法では不可能な程難しく複雑になるこのような支払いの取り 決めを可能にする。 別の例は親の所有者の完全性と倫理上の権利に関連する。所有者は引用が改変 または削除なしに行われること、あるいはある種の関連情報が含まれること（例 えば引用が文脈から切り離されないようにする）を保証するように希望すること がある。 親から引用されたデータは既に添付されているか付随する規則と一緒にくる。 これらの規則は派生著作物に伝播するが、引用にだけ適用される。同じ親からの 引用は規則を共有することもしないこともある。複数の親からの引用は複数の規 則が異なる引用に適用されることになる。前述のように、派生著作物は実際のデ ータおよび規則の代わりにデータおよび規則への参照を含むことがある。ある種 の商品では、最終的にパッケージ化されたデータ１０８ｂが完全に自己充足型で あることが望ましい。したがって、このディストリビュータ１９０から出力され たパッケージ化データ１０８ｂは、商業的配布に最適化するためにはさらに処理 する必要がある。このような最適化には、例えば、パッケージで参照される全て の規則とデータのコピーを入手することと含むことが含まれる。引用の認証 デジタル署名は、受信した情報が変更のない正確に送信されたままの情報であ ることの証明を提供することによって、デジタル情報を認証する。このシステム は情報の引用（抽出物）の認証と同様の能力を提供する。 アプリケーション環境、例えば証拠の法的痕跡を提供するか引用が正確である ことを認証するなどは、情報が不正な改編を受けなかったことを証明する能力に よって拡張される。 認証された引用はアクセス機構１１４で動作する引用エディタを作成すること によって実現される。この引用エディタは、おそらく人間の指示により、選択さ れたテキストを引用できるが、引用文を変更することはできない。引用が完了す ると、アクセス機構１１４は引用文にデジタル署名でデジタル的に署名する。こ のデジタル署名は、アクセス機構１１４が実行されている特定のコンピュータの 識別、ならびに使用された特定の引用エディタの識別を含む。 引用エディタは、オプションとして、削除を示すための省略符合を挿入するこ とが許可されるかまたは要求され、ある種の指定された挿入、例えば“［ｓｉｃ ］，”が許されることがある。 別の実施例において、新規に作成したデータでいわゆるハイパーリンクを使用 して引用の挿入位置を示すことが出来る。出力演算が実行される時点で、アクセ ス機構１１４はそれ自身のチェックサムとデジタル署名を備えた独立した引用を 作成する。ハイパーリンクを含むデータの受け手は、ハイパーリンクの内容がア クセス機構１１４によって取り込まれ、変更されずに供給されたことを確認でき る。一次配布の実行可能ソフトウェア制御の使用制御 本発明により、実行可能ソフトウェアの作者が各種の能力について許可を得て いる使用者にだけ、ソフトウェアの使用を制限することが出来る。実行可能ソフ トウェアは暗号化された形で配布され、前述のようにデータとして外部的に処理 される。一般に、プログラムの実行は複数の方法で複数目的について制御できる 。ソフトウェアを実行するライセンスの購入は、アクセス機構１１４によって 内部的に解読される暗号的に保護された認証によって証明できる。実行可能ソフ トウェアは、実行中に１回または複数回に渡り、認証の存在を調べるか、あるい は認証に含まれる許可鍵やその他の情報について調べることが出来る。実行可能 プログラムで実現されるアルゴリズムは有価知的財産たり得るので、アクセス機 構１１４はライセンスが暗号化されていない実行可能コードを読み取ったり、コ ピーしたり、あるいは変更するのを防止することが出来る。暗号化されていない 実行可能コードは、開示防止のために、実行のためのアクセス機構１１４の機密 性境界内部に完全に保持している。ディストリビュータの排除（ミドルマン） 本発明では、実行可能ソフトウェア所有者が暗号化された形でネットワーク・ サーバ上でのコピー作成を簡単に利用できるようにする。ユーザは、実行可能ソ フトウェアをダウンロードしてから、実行可能ソフトウェアを使用する権利を別 途購入する。つまり、標準的なソフトウェア購入は電子的に実現され、所有者の 電子商業システムと取り引きすることが出来る。これによって、実行可能ソフト ウェア・パッケージを取得してこれを使用する権利を購入する処理全体がディス トリビュータを通すことなく行える。 ソフトウェア・ライセンス所有者の割引更新の提供も簡略化される。ライセン ス所有者が割引更新の資格を請求する場合、実行可能ソフトウェア所有者はプロ ダクトの以前のバージョンについて権利購入記録をチェックできる。ここでも処 理全体を自動化できる。設定管理の簡略化 実行可能ソフトウェア所有者はネットワーク・サーバ上で既存のパーミッショ ン・リストで動作するプロダクトの改良版を利用するように選択でき、プロダク トの改良版や修正版をすぐにリリースできる。 複数レベルのプロダクト能力を単一のリリースに組み込むことが出来、異なる パーミッション・リストによって選択的に有効に出来る。異なる能力を備えた異 なる配布の調整はもはや必要ない。実行可能ソフトウェアの能力の能動的制御 データまたは情報（実行可能ソフトウェアではない）の配布の本発明による制 御は、データまたは情報を保護するためにこれを変更する必要がない点で受動的 、すなわち即応型であると特徴付けることができる。使用を制御するパーミッシ ョン・リストは別々に作成、パッケージ化、供給が可能である。 データまたは情報の一時配布、ならびにデータまたは情報の二次配布や変更（ 派生物）の制御は受動的である。しかし、本発明の実行可能ソフトウェアの制御 能力は能動的であり、実行可能ソフトウェア開発者がシステムによって提供され たプログラミング・インタフェースを使用することを必要とする。開発者が認可 を必要とする各点で、実行可能ソフトウェアがパーミッション・チェックを要求 する。その結果、図１６の処理が実行される。要求した認可を受信すると、ソフ トウェアの関数が実行される。認可が拒否されると別の動作が選択される。シス テムは、例えば認可が拒否されたときにプログラムを終了するか、あるいはデー タを消去することを含む幾つかの動作をそれ自体がとれるようになっている。実 行可能ソフトウェアは暗号化された形で配布されるので、本発明のアクセス機構 を使用する装置上でのみ、解読して実行（使用）することができる。 図１６を参照すると、最初に動作が認識され（ステップＳ１６００）、規則が チェックされる（ステップＳ１６０２）。次に、規則が動作を許可するかを判定 する（ステップＳ１６０４）。動作が許可されない場合（あるいは、許可される が支払いが受け入れ可能でない場合（ステップＳ１６０６））には、何らかのシ ステム動作が要求されるかどうか判定する（ステップＳ１６０８）。システム動 作が要求されない場合には「不許可」リターン・コードがセットされて制御が返 され（ステップＳ１６１０）、それ以外の場合にはシステム動作が実行され（ス テップＳ１６１２）、その後でリターン・コード「不許可」がセットされて制御 が返される（ステップＳ１６１０）。 動作が許可される場合（ステップＳ１６０４）で支払いが受け入れ可能な場合 （ステップＳ１６０６）には、リターン・コード「許可」がセットされる（ステ ップＳ１６１６）。 本発明は、計算または列挙できる何らかの方法で実行可能ソフトウェア実行の 量や質を制限するために使用できる。制限の代表的で非網羅的な例を以下に示す 。これらの制限は、何らかの方法で組み合わせることが出来る。能力のレベル コードまたは機能の特定部分へのアクセス 取り扱える大きさまたは量の制御。例えば、ファイルは特定の大きさまで許容 される。解決方法の複雑さ、または正確度を制限し、パラメータ、またはデータ 点の個数を制限するなど。 能力レベルの定量的変更物 有効期限、使用時間、使用回数および頻度、許可ユーザの制御。例えば、デー タ（何を含んでいても良い）のファイルの使用権がある日時で切れるか、ある種 のデータへのアクセスが１日のある時間、週のある曜日、または特定の日時に制 限されるか、ある種のデータを特定の回数（あるいは、一日当たりで指定された 回数）だけユーザがアクセスを許可されるか、あるいは何らかのデータへのアク セスがユーザの身分に基づいて制限される。 二次的および派生的実行可能ソフトウェア配布の制御 これは前述したようなデータファイルと同じ方法で取り扱われる。他の実行可能ソフトウェアのモジュールとしての 実行可能ソフトウェアの制御 保護された実行可能ソフトウェアがライセンスされたシステム上の他の実行可 能ソフトウェアに組み込まれるかこれによって使用される場合、実行に対する制 限は新規の状況で維持される。 認証されたソフトウェアの使用制限 アクセス機構１１４は、認証を受けたソフトウェアにだけ動作を制限するよう に工場設定できる（例えば、デジタル署名を用いることにより認証された供給源 から改変されずに受信されたことを保証する）。その他の企図されるアプリケー ションとしてはキー・エスクロー（「データ・リカバリ」とも呼ばれる）システ ム（後述）、選挙の投票数を集計するためのシステム、暗号化データまたはアル ゴリズムを交換するためのシステム、および、経済、医学、またはその他の個人 データを保護するためのシステムが挙げられる。さらに、アクセス機構を使用す るシステムを使用して、このようなソフトウェアが受信されたあとで、または実 行のためにアクセスされたあとで変更されていないことを保証することができる 。 プロセス制御 プロセスのコンピュータ制御は、多くの業種においてオートメーションと品質 管理の基礎である。この技術は各種の専門性、例えばコンピュータ援用製造、制 御システム・エンジニアリング、コンカレント・エンジニアリング、エキスパー ト・システム、インテリジェント・センサ、ジャスト・イン・タイム製造、プロ グラマブル・ロジック・コントローラ、ロボット、ロボット・プログラミング言 語、および、工学的視覚化技術等の範囲に広がっている。 構造式、プロセス、手順、技術はプロダクトの差別化、審美的および機能的革 新をもたらし、コスト効果を増加させる。プロセス制御に関係するコンピュータ ・プログラムおよびデータは有価知的財産を形成する。本発明の機構によりこの ようなデータをプロセス制御コンピュータに記憶し、不正な開示、置換または変 更なしに供給業者および下請け業者に送信できる。 プロセス制御データに付随するパーミッションは、例えば、実行だけを許可す る。データの読み込みまたは観察が禁止される。実行は特定の機器と特定の時間 に制限される。一般に、プロセス・コントローラはプロセスを実施する機器の外 部にある。そのため、プロセス・コントローラとプロセス機器の間の通信は暗号 による保護を必要とする。本明細書で説明した制御されたコンピュータ周辺機器 におけるアクセス機構と同様に、プロセス機器でのアクセス機能は周辺装置が制 限されデータを出力できない場合には完全なシステムである必要がない。キー・エスクロー（データ・リカバリ）システム このシステムは、キー・エスクロー(key escrow)暗号化実行可能ソフトウェア の提供者が規則を使用することにより、実行可能ソフトウェアを機能させるため に鍵が導入され指定された認証権威に預託されている認証を要求できる。アクセ ス機構は（キー・エスクローであろうとなかろうと）暗号化実行可能ソフトウェ アを使用する実行可能ソフトウェアの完全性を保証し、変更または置き換えに対 して保護する。 極秘(classified)データの制御 本発明はデータが極秘になっている場合のデータの（一次的および二次的）配 布、データへのアクセス、派生データの配布に対する制限をサポートするために 使用できる。同様に、極秘プログラム、または極秘データについて動作するプロ グラムの実行を本システムで制御できる。 保証された受領証の発行 本システムは、以下に示す代表的な例で示されるような、多くの状況下で受領 証が発行されることを保証するために使用できる。ソフトウェア・プログラム（ あるいは電子メール・メッセージ）はロードされるか実行されたときに（あるい は、メール・メッセージを受信した時点で）、受領証を発行するように要求する ことがある。受領証はメール・メッセージが最初に読まれたときに発行され、ま たプログラムは、ユーザが受領証を発行することに最初に同意しない限りロード されたり実行されたりしない（あるいは、読み込みのためにメールがオープンさ れない）。守秘 本システムを使用して、データベース内のマル秘レコードの秘密を守ることが できる。例としては、経営、国勢調査、医学、政治的データベース、その他が挙 げられる。本システムは統計的摘要を提供する問い合わせを許容できるが、個人 情報は漏らさない。規則を用いて、提出されるであろうクイエリー(query)を制 限できる。 所有者制御／特権 購入時点で所有者の同一性がアクセス機構内部に記憶される。アクセス機構は 、所有者が機構にグローバルな一セットの規則（グローバル・パーミッション・ リスト）を配置できるようにする。これらのグローバル規則は、例えば、アクセ ス機構内部のクロックまたはアクセス機構が通信する外部の時刻基準に基づいて （例えば、コンピュータが動作できるとき）アクセス時間を制御したり、アクセ ス機構を使用して動作することの出来る受け入れ可能なソフトウェア（すなわち 、使用が許可されるソフトウェア・プロダクトのリストで、システム管理者の設 定制御規則を適用する）や、ユーザおよびパスワード・リストや、その他を制御 したりできる。ユーザはこれによって特定のアクセス機構をカスタマイズできる 。 規則はある種の条件下で実行させるべきある種のプログラムを含んだり、ある いは指定することもできる。例えば、全てのプリント出力が透かしを含む必要が あると規則で指定している場合、規則は透かし生成プログラムも提供できる。こ のような場合、プログラムはアクセス機構１１４に前もってロードしておくか、 必要な時点でロードされるかのどちらかである。これらのプログラムは、対応す る規則または関数が呼び出された時点で実行されることになる。例えば、各種の 透かしプログラムをアクセス機構１１４に常駐させることができ、規則にしたが ってこれらのうちの適当な一つを選択して実行できる。 図２および図６のデータ構造がデータの論理的構成を図示していることに注意 されたい。しかし、データの実際の物理フォーマットはデータの種類ならびにデ ータが使用されるべき方法に依存する。さらに、前述したように、データ・パッ ケージは、ネットワーク、磁気媒体、ＣＤ−ＲＯＭ、半導体メモリ・モジュール 、および無線放送その他を含む多数の方法で配布できる。ある種のデータ配布で は、例えば、連続的な有線または無線放送で、ユーザは配布中の任意の点でデー タへのアクセスを開始したいと思うことがある。例えば、データが午後８時に始 まる映画放送を表わす場合、特定のユーザは午後８時３０分にしか視聴 を開始できないことがある。この場合、ユーザは進行中に配布の受信を開始しな ければならない。したがって、図１７（ａ）に図示してあるように、幾つかの実 施例において、パッケージ化データは別個のデータパケット２３６で配布される 。パケット２３６は、ユーザがデータ配布と同期させることができ、更にユーザ が規則にしたがってデータへのアクセスを開始できる情報２３８を含む。このよ うなパケット化データ・ストリームの一例が図１７（ｂ）に図示してあり、ここ でストリーム２３４は別個のデータのパケット２３６から構成され、各パケット は同期データ２３８を含む。例 ： 以下の例は、幾つかの予想されるデータとそのパッケージ化と規則を示してい る。これらの例は本発明の想定される用途を幾つか示すことを意図しているにす ぎず、何らかの方法で用途を限定するものではない。図書 図１８（ａ）を参照すると、デジタル図書１９１は要約１９２、目次１９４、 および各章１９６で構成される。各章１９６は節１９８を含み、各節は本文２０ ０と図２０２を含む。ディストリビュータは、要約１９２と目次１９４がブラウ ジングで利用できるが、他の全てのデータが保護される（暗号化される）ように 図書１９１をパッケージするように決定できる。本文が何らかの方法で制限され ることを規則で指定している場合、パッケージ化データ構造１０８は図１８（ｂ ）に図示した形を有し、ここでは暗号化された本体部分１２０は全ての章１９６ を含み、暗号化されていない本体部分１２２は要約１９２と目次１９４を含み、 暗号化された規則１２４は規則の暗号化されたバージョンを含む。映画 図１９（ａ）を参照すると、映画２０４は、映画の別の部分を組み合わせて予 告編２０６、（Ｇ指定部２０８からの）Ｇ指定版、（Ｇ指定部２０８とＲ指定部 ２１０から形成した）Ｒ指定版、（Ｇ指定部２０８とＲ指定部２１０とＸ指定部 ２１２から形成した）Ｘ指定版、のいずれかを形成するように作ることが出来る 。この映画のためのパッケージ化データ構造１０８は図１９（ｂ）に図示した形 を有し、ここで暗号化された本体部分１２０はＧ、Ｒ、Ｘ指定部２０８〜２１２ の全部を含み、暗号化されていない本体部分１２２は予告編２０６を含み、暗号 化された規則１２４は映画の各種版の視聴を制御するように年齢に基づく規則の 暗号化されたバージョンを含む。 １つの実施例において、図１９（ｃ）に図示してあるように、映画は本体部分 ２０７（３つの版全部に共通の要素を有する）とＧ、Ｒ、Ｘ指定部（各々２０８ ，２１０，２１２）の各々についてのセクションでリリースされる。映画のセク ションはパーミッション・レベル（Ｇ、ＲまたはＸ）のセットによって、指定部 の１つから選択される。図１９（ｄ）はこのような構造でのパッケージ化データ 構造１０８を示す。ソフトウェア 図２０（ａ）を参照すると、例えばワードプロセッサ２１４等のソフトウェア ・プログラムは制御されたファイル・アクセス部分２１６、エディタ２１８、文 法チェッカ２２０、およびその他の機能２２２を含む。ユーザによって取得され た規則は、使用されるソフトウェアの機能と処理できるデータの量を管理する。 図２０（ｃ）に図示した規則は、ユーザが文法チェッカを使用できず、９個を 超えるファイルでは動作できないことを示す。このソフトウェア（規則なし）に ついてのパッケージ化データ構造１５０は図２０（ｂ）に図示してあり、暗号化 された本体部分１２０はファイル・アクセス機構２１６、文法チェッカ２２０、 およびその他各種機能２２２を含み、暗号化されていない本体部分１２２はエデ ィタ２１８を含む。暗号化された規則１２４は図２０（ｃ）に別に図示してあ る。文書 図２１（ａ）を参照すると、リーガル文書２２４等の文書は単語２２８が入っ た段落２２６を含む。文書の校訂されていない部分へのアクセスを制限するため 、規則は全ての校訂された単語の遮蔽(blacking out)を要求する。したがって、 対応するパッケージ化データ構造が図２１（ｂ）に図示してある。ここで暗号化 された本体部分１２０は文書の校訂された部分を含み、暗号化されていない本体 部分１２２は文書の校訂されていない部分を含む。地図画像データ 図２２（ａ）を参照すると、地図画像データ２３０は３種類の（高、中、低） 解像度で利用できる。規則は「最高機密」以上の機密取扱許可を持った人が高解 像度でデータをビューでき、非軍事ユーザ全員が低解像度でしか地図データをビ ューできないことを指定している。対応するパッケージ化データ構造が図２２（ ｂ）に図示してあり、暗号化された本体部分１２０は低解像度を超える全データ （すなわち中解像度および高解像度で要求されるデータ）を含み、暗号化されて いない本体部分１２２は低解像度データを含む。グローバル・ポジショニング・システム（ＧＰＳ）ソフトウェア 図２３（ａ）を参照すると、ＧＰＳソフトウェアは各種の精度で出力を発生で きる出力ルーチン２３２を含む。精度はユーザの機密取扱許可に左右される。対 応するパッケージ化データ構造を図２３（ｂ）に示し、ここで、暗号化された本 体部分１２０は解像度計算ルーチン２３２を含み、暗号化されていない本体部分 １２２はＧＰＳソフトウェア２３０の他の部分を含む。規則セット間の関連性 幾つかの実施例において、アクセス機構には一セットの内蔵規則が供給される 。このようなアクセス機構では、内蔵規則はパッケージ化データに提供された 規則で改められる（制限を緩和させる）か、あるいは改められない規則を含むこ とがある。これらの初期規則は多くの関数(function)を実行でき、多くのポリシ ーを実現できる。例として、制御された出力装置に設けたアクセス機構は（改め ることのできない）内蔵規則を含むことができ、この規則はその装置を出力装置 であるようにのみ制限する。あるいは、ＶＴＲまたはビデオディスク・プレーヤ に設けたアクセス機構は（改めることのできない）規則を含むことができ、この 規則は装置が販売されている国の著作権法を装置に適用することを要求する。内 部の内蔵規則が外部的に提供された規則で改められるか否かは、内部規則それ自 体で指定することができる。 本発明は知的財産へのアクセスを制御することにより知的財産を保護するため に使用できるが、本明細書で説明した機構は本質において技術的なものであって 何らかの形の法的保護から独立している−−データへのアクセスを制御する点で 純粋に技術的なアプローチを提示した。実際に、本発明は知的財産所有者に法的 に利用できる保護を超えて、データの使用とアクセスを制限する機会を提供する 。本発明により提供される保護は、法の下での保護が著作権、職業上の秘密、契 約、または他の物として分類されていようがいまいが、知的財産における権利を 強化するために使用できる。法の下での保護を求めるコストと利益の取捨につい ての考量は、知的財産に広い興味をもつ者によってなされる必要がある。 代表的なコンピュータ・システムは、各々のレベルで効果的に異なる仮想マシ ンを定義する各種レベルで実装される。一般に、実装の各々のレベルはそれより 低いレベルにアクセスできる。多くのシステムでは、各々のレベルがそれよりす ぐ下にあるレベルにのみアクセスさせるのが望ましい。この方法だと、各種ポリ シーを強制できる。 代表的には高レベルの仮想マシンはソフトウェアで実装され、低レベルのマシ ンはハードウェアで実装される。しかし、レベル間の正確なハードウェア／ソフ トウェアの境界は存在しない。 図２４を参照すると、例えば、コンピュータ・システムは高レベルのアプリケ ーション環境（レベルＬ４）を有する。これらのアプリケーションはオペレーテ ィング・システム・レベル（Ｌ３）のプロセスを呼び出（コール）して各種シ ステム機能を実行する。ＯＳレベル（Ｌ３）のプロセスはさらに低レベルのＢＩ ＯＳマシン（Ｌ２）に依存する要求された命令を呼び出す。アプリケーション・ レベル（Ｌ４）のプログラムはＯＳレベル（Ｌ３）をバイパスして直接ＢＩＯＳ レベル（Ｌ２）のプロセスを呼び出すことが許されるが、これによってＯＳレベ ル（Ｌ３）のポリシー・チェックと強制を回避することになることに注意された い。 一例として、特定の名前のファイルをオープンしたいアプリケーション・プロ グラム（レベルＬ４を実行する）が、その名前のファイルに対してオペレーティ ング・システムの「オープン」プロシージャを呼び出す。ＯＳはファイルの場所 を決定し（例えばファイル名と場所の間の内部マップを使用する）、さらに低レ ベル（Ｌ２）のＢＩＯＳルーチンを起動してファイルの実際の検索とオープンお よび読み取りを実行する。しかし、アプリケーション・プログラムはオペレーテ ィング・システムの「オープン」プロセスをバイパスしてＢＩＯＳルーチンを直 接呼び出すことが許容される。 本発明のアクセス制御機構は低レベルで、望ましくはＢＩＯＳレベルまたはそ れ以下（レベルＬ１）で実装するのが望ましい。これによって、ユーザが本発明 のアクセス制御機構をバイパスすることで規則の強制を回避するのを防止する。 以上で、デジタル財産のアクセスと配布を制御するためのシステムを提供した 。本発明は、限定のためではなく図示を目的として提示されている説明した実施 例以外で実現でき、本発明は後続の請求の範囲によってのみ限定されることを、 当業者は理解されよう。

───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.⁷ 識別記号 ＦＩ テーマコート゛(参考） Ｈ０４Ｌ 9/32 Ｈ０４Ｌ 9/00 ６７５Ａ Ｈ０４Ｎ 7/167 Ｈ０４Ｎ 7/167 Ｚ (81)指定国 ＥＰ(ＡＴ，ＢＥ，ＣＨ，ＤＥ， ＤＫ，ＥＳ，ＦＩ，ＦＲ，ＧＢ，ＧＲ，ＩＥ，ＩＴ，Ｌ Ｕ，ＭＣ，ＮＬ，ＰＴ，ＳＥ)，ＯＡ(ＢＦ，ＢＪ，ＣＦ ，ＣＧ，ＣＩ，ＣＭ，ＧＡ，ＧＮ，ＭＬ，ＭＲ，ＮＥ， ＳＮ，ＴＤ，ＴＧ)，ＡＰ(ＫＥ，ＬＳ，ＭＷ，ＳＤ，Ｓ Ｚ，ＵＧ)，ＵＡ(ＡＭ，ＡＺ，ＢＹ，ＫＧ，ＫＺ，ＭＤ ，ＲＵ，ＴＪ，ＴＭ)，ＡＬ，ＡＭ，ＡＴ，ＡＵ，ＡＺ ，ＢＢ，ＢＧ，ＢＲ，ＢＹ，ＣＡ，ＣＨ，ＣＮ，ＣＵ， ＣＺ，ＤＥ，ＤＫ，ＥＥ，ＥＳ，ＦＩ，ＧＢ，ＧＥ，Ｈ Ｕ，ＩＬ，ＩＳ，ＪＰ，ＫＥ，ＫＧ，ＫＰ，ＫＲ，ＫＺ ，ＬＫ，ＬＲ，ＬＳ，ＬＴ，ＬＵ，ＬＶ，ＭＤ，ＭＧ， ＭＫ，ＭＮ，ＭＷ，ＭＸ，ＮＯ，ＮＺ，ＰＬ，ＰＴ，Ｒ Ｏ，ＲＵ，ＳＤ，ＳＥ，ＳＧ，ＳＩ，ＳＫ，ＴＪ，ＴＭ ，ＴＲ，ＴＴ，ＵＡ，ＵＧ，ＵＺ，ＶＮ

Claims (1)

1. 【特許請求の範囲】 １．データへのアクセスを制御する方法であって、 前記データの一部を保護するステップと、 前記データへのアクセス権に関する規則を決定するステップと、 利用不可能な形以外での前記データの前記保護された部分への非公認アクセス を防止するステップと、 不正検出により保護された機構により強制される通り前記規則にしたがっての み、前記データへの各々または全てのアクセスを制限するステップと を含むことを特徴とする方法。 ２．ユーザが後にデータを制御されて使用するためのデータ配布方法であって、 前記データの一部を保護するステップと、 利用不可能な形以外での前記データの前記保護された部分へのアクセスを防止 するステップと、 前記データへのアクセス権に関する規則を決定するステップと、 前記規則を保護するステップと、 前記データの前記保護された部分と前記保護された規則を提供するステップと を含み、 前記ユーザに、不正検出により保護された機構により強制される通り前記規則 にしたがってのみ、前記データへの制御されたアクセスが提供されることを特徴 とする方法。 ３．ユーザが後にデータを制御されて使用するために前記データを配布し、前記 データの幾つかはこれに既に付随したアクセス規則を有する方法であって、 前記データの一部を保護するステップと、 利用不可能な形以外での前記データの前記保護された部分へのアクセスを防止 するステップと、 前記データへのアクセス権に関する規則を決定するステップと、 前記データにそれまでに付随してた全ての規則と前記決定した規則とを組み合 わせるステップと、 前記組み合わせた規則を保護するステップと、 前記データの前記保護された部分と前記保護された組み合わせ規則とを提供す るステップとを含み、 前記ユーザに、不正検出により保護されたアクセス機構により強制される通り 前記組み合わせ規則にしたがってのみ、前記データへの制御されたアクセスが提 供されることを特徴とする方法。 ４．データの二次配布を制御するための方法であって、 前記データの一部を保護するステップと、 利用不可能な形以外での前記データの前記保護された部分へのアクセスを防止 するステップと、 前記データへのアクセス権に関する規則を決定するステップと、 前記規則を保護するステップと、 前記データの前記保護された部分と前記保護された規則を不正検出により保護 されたアクセス機構を備える装置に提供するステップと、 保護されたデータとして、または前記アクセス機構により強制される通り前記 規則にしたがってのみ、前記装置から前記データの保護された部分の送信を制限 するステップと を含むことを特徴とする方法。 ５．全部の入出力（Ｉ／Ｏ）装置に、または当該装置からデータを転送するため のＩ／Ｏシステムを有するコンピュータ・システムでデータへのアクセスを制御 する方法であって、前記Ｉ／Ｏシステムは前記コンピュータ・システムに特定の もので、 前記データの一部を保護するステップと、 前記データへのアクセス権に関する規則を決定するステップと、 利用不可能な形以外での前記データの前記保護された部分へのアクセスを防止 するステップと、 前記Ｉ／Ｏシステムによって強制される通り前記規則にしたがってのみ、前記 データへの各々または全てのアクセスを制限するステップと を含むことを特徴とする方法。 ６．保護されたデータ部分と前記保護された部分へのアクセス権に関する規則と を有するデータをアクセスする方法であって、 利用不可能な形以外での前記保護された部分へのアクセスを防止するステップ と、 不正検出により保護された機構により強制される通り前記規則にしたがっての み、前記データへの各々または全てのアクセスを制限するステップと、 を含むことを特徴とする方法。 ７．前記データの一部を保護する前記ステップは前記データの前記部分を暗号化 するステップを含み、 前記アクセスを防止する前記ステップにより、暗号化された形以外で前記デー タの前記暗号化された部分へのアクセスを防止する ことを特徴とする請求項１，３，４，５のいずれか１つに記載の方法。 ８．前記暗号化するステップは前記データの前記部分をデータ暗号化鍵で暗号化 し、前記データ暗号化キーは対応するデータ解読鍵を有する方法であって、 前記データ暗号化鍵を暗号化するステップ をさらに含むことを特徴とする請求項７に記載の方法。 ９．前記鍵暗号化鍵に対応する解読鍵を提供するステップをさらに含むことを特 徴とする請求項８に記載の方法。 １０．前記規則を保護する前記ステップは前記規則を暗号化するステップを含 む ことを特徴とする請求項２または３のいずれか一方に記載の方法。 １１．前記データの一部を保護する前記ステップは前記データの前記部分を暗号 化するステップを含み、 アクセスを防止する前記ステップにより、暗号化された形以外で前記データの 前記暗号化された部分へのアクセスを防止する ことを特徴とする請求項１０に記載の方法。 １２．前記規則を暗号化する前記ステップは規則暗号化鍵で前記規則を暗号化す るステップを含み、 前記データの前記部分を暗号化する前記ステップはデータ暗号化鍵で前記デー タの前記部分を暗号化するステップを含み、 前記方法は前記データ暗号化鍵を暗号化するステップをさらに含む ことを特徴とする請求項１１に記載の方法。 １３．前記規則が少なくとも （ａ）どのユーザが前記データの前記保護された部分にアクセスを許可されて いるのか、 （ｂ）前記データの配布権、 （ｃ）前記ユーザのアクセス制御権、 （ｄ）アクセス制御量、および （ｅ）支払い要件 のうちの１つを表わし、 前記規則がどのユーザが前記データの前記保護された部分にアクセスを許可さ れているのかを示す場合には、前記方法はさらに 前記規則が前記ユーザが前記データの保護された部分にアクセスを許可されて いることを示している場合にだけ前記データの当該保護部分への前記ユーザのア クセスを許容するステップを含み、 前記規則が前記データの配布権を示す場合には、前記方法はさらに 前記規則に示された前記配布権にしたがってのみ、前記データの配布を許容す るステップを含み、 前記規則が前記ユーザのアクセス制御権を示す場合には、前記方法はさらに 前記規則に示された前記アクセス制御権にしたがってのみ、前記ユーザに前記 データへのアクセスを許容するステップを含み、 前記規則がアクセス制御量を示す場合には、前記方法はさらに 前記規則に示された前記アクセス制御量にしたがってのみ、前記データへのア クセスを許容するステップを含み、 前記規則が支払い要件を示す場合には、前記方法はさらに 前記規則に示された前記支払い要件が満たされた場合にのみ、前記データへの アクセスを許容するステップを含む ことを特徴とする請求項１，２，３，４，５，６のいずれか１つに記載の方法 。 １４．前記アクセス制御権は少なくとも （ａ）ローカル表示権、 （ｂ）プリント権、 （ｃ）コピー権、 （ｄ）実行権、 （ｅ）送信権、および （ｆ）変更権、 の１つを含み、 前記アクセス制御量は少なくとも （ｇ）前記データへの許容された読み込みアクセスの回数、 （ｈ）前記データへの読み込みアクセスの許容可能な大きさ、 （ｉ）前記データの有効期限、 （ｊ）前記データへのアクセスの強度、 （ｋ）精度と忠実度の許容レベル、 （ｌ）前記データへのアクセスの許容解像度 の１つを含むことを特徴とする請求項１３に記載の方法。 １５．不正侵入が検出された時点で前記機構に記憶されているデータを破壊させ るステップをさらに含むことを特徴とする請求項１，２，３，４，５，６のいず れか１つに記載の方法。 １６．前記提供するステップにより、パッケージとして前記保護された部分と前 記保護された規則を一緒に提供することを特徴とする請求項２，３，４のいずれ か１つに記載の方法。 １７．前記提供するステップにより、前記保護された部分と前記保護された規則 を別々に提供することを特徴とする請求項２，３，４のいずれか１つに記載の方 法。 １８．前記保護されたデータ部分は暗号化され、 前記アクセスを防止するステップにより、暗号化された形以外での前記データ の前記暗号化された部分へのアクセスを防止する ことを特徴とする請求項６に記載の方法。 １９．保護されたデータ部分とデータへのアクセス権に関する規則とを含む前記 データで表現された画像を表示するための装置であって、 不正検出機構と、 前記規則を記憶するための手段と、 前記規則にしたがってのみ前記データにアクセスする手段であって、前記保護 されたデータ部分へのユーザ・アクセスは前記規則が前記データの前記部分へ前 記ユーザがアクセスを許容されていることを表わす場合にのみ許可され、前記ア クセスは前記不正検出機構によって強制されるようにするための手段と、 前記アクセスしたデータによって表現される前記画像を表示するための手段 と を備えることを特徴とする装置。 ２０．保護されたデータ部分とデータへのアクセス権に関する規則とを含む前記 データで表現された画像を出力するための装置であって、 不正検出機構と、 前記規則を記憶するための手段と、 前記規則にしたがってのみ前記データにアクセスする手段であって、前記保護 されたデータ部分へのユーザ・アクセスは前記規則が前記データの前記部分へ前 記ユーザがアクセスを許容されていることを表わす場合にのみ許可され、前記ア クセスは前記不正検出機構によって強制されるようにするための手段と、 前記アクセスしたデータによって表現される前記画像を出力するための手段と を備えることを特徴とする装置。 ２１．保護されたデータ部分とデータへのアクセス権に関する規則とを含む前記 データで表現されたオーディオ信号を出力するための装置であって、 不正検出機構と、 前記規則を記憶するための手段と、 前記規則にしたがってのみ前記データにアクセスする手段であって、前記保護 されたデータ部分へのユーザ・アクセスは前記規則が前記データの前記部分へ前 記ユーザがアクセスを許容されていることを表わす場合にのみ許可され、前記ア クセスは前記不正検出機構によって強制されるようにするための手段と、 前記アクセスしたデータによって表現される前記オーディオ信号を出力するた めの手段と を備えることを特徴とする装置。 ２２．保護されたデータ部分とデータへのアクセス権に関する規則とを含む前記 データへのアクセスを制御するための装置であって、 前記規則を記憶するための記憶手段と、 前記規則にしたがってのみ前記保護されたデータ部分にアクセスする手段であ って、前記規則が前記データの前記部分へのアクセスを前記ユーザが許容されて いることを表す場合にのみ、前記保護されたデータ部分へのユーザ・アクセスが 許可されるようにするための手段と を備えることを特徴とする装置。 ２３．前記アクセスするための手段によってアクセスされたデータを記憶するた めの手段をさらに備えることを特徴とする請求項２２に記載の装置。 ２４．保護されたデータ部分とデータへのアクセス権に関する規則とを含む前記 データに基づいて出力信号を出力するための装置であって、 不正検出機構と、 前記規則を記憶するための手段と、 前記規則にしたがってのみ前記データにアクセスする手段であって、前記保護 されたデータ部分へのユーザ・アクセスは前記規則が前記データの前記部分へ前 記ユーザがアクセスを許容されていることを表わす場合にのみ許可され、前記ア クセスは前記不正検出機構によって強制されるようにするための手段と、 前記アクセスしたデータによって表現される前記出力信号を出力するための手 段と を備えることを特徴とする装置。 ２５．前記保護されたデータ部分はデータ暗号化鍵を用いて暗号化され、前記デ ータ暗号化鍵は鍵暗号化鍵で暗号化され、 前記鍵暗号化鍵に対応する鍵解読鍵を用いて前記データ暗号化鍵に対応するデ ータ解読鍵を取得するための手段と、 前記データ解読鍵を記憶するための手段とをさらに備え、 前記アクセスするための手段は、前記データ解読鍵を用いて前記保護されたデ ータ部分を解読するための手段を備える ことを特徴とする請求項２２に記載の装置。 ２６．前記装置で不正を検出するための不正検出機構をさらに備えることを特徴 とする請求項２２に記載の装置。 ２７．前記装置で不正を検出するための不正検出機構をさらに備えることを特徴 とする請求項２５に記載の装置。 ２８．前記不正検出手段は、不正が検出された場合に前記装置内に記憶されてい る鍵とその他の暗号化変数を含むデータを破壊するための手段を備える ことを特徴とする請求項２７に記載の装置。 ２９．前記不正検出機構は、不正が検出された場合に前記装置内に記憶されてい るデータを破壊するための手段を備える ことを特徴とする請求項１９，２１，２３，２４，２６のいずれか１つに記載 の装置。 ３０．ユーザが後にデータを制御されて使用するためのデータ配布装置であって 、 前記データの一部を保護するための手段と、 利用不可能な形以外での前記データの前記保護された部分へのアクセスを防止 するための手段と、 前記データへのアクセス権に関する規則を決定するための手段と、 前記規則を保護するための手段と、 前記データの前記保護された部分と前記保護された規則を提供するための手段 とを備え、 ユーザに、不正保護により保護されたアクセス機構により強制される通り前記 規則にしたがってのみ、前記データへの制御されたアクセスが提供されることを 特徴とする装置。 ３１．ユーザが後にデータを制御されて使用するためのデータ配布装置であっ て、前記データの幾らかには既にアクセス規則が付随しており、 前記データの一部を保護するための手段と、 利用不可能な形以外での前記データの前記保護された部分へのアクセスを防止 するための手段と、 前記データへのアクセス権に関する規則を決定するための手段と、 前記データにそれまでに付随してた全ての規則と前記決定した規則とを組み合 わせるための手段と、 前記組み合わせた規則を保護するための手段と、 前記データの前記保護された部分と前記保護された組み合わせられた規則とを 提供するための手段とを備え、 前記ユーザに、不正検出により保護されたアクセス機構により強制される通り 前記組み合わせ規則にしたがってのみ、前記データへの制御されたアクセスが提 供されることを特徴とする装置。 ３２．前記提供するための手段は、パッケージとして前記保護された部分と前記 保護された規則を一緒に提供する ことを特徴とする請求項３０または３１のいずれか一方に記載の装置。 ３３．前記提供するための手段は、前記保護された部分と前記保護された規則を 別々に提供する ことを特徴とする請求項３０または３１のいずれか一方に記載の装置。 ３４．前記データの一部を保護するための前記手段は前記データの前記部分を暗 号化するための手段を備え、 アクセスを防止するための前記手段により、暗号化された形以外での前記デー タの前記暗号化された部分へのアクセスを防止する ことを特徴とする請求項３０または３１のいずれか一方に記載の装置。 ３５．前記規則を保護するための前記手段は前記規則を暗号化するための手段を 備えることを特徴とする請求項３０または３１のいずれか一方に記載の装置。 ３６．前記データの一部を保護するための前記手段は前記データの前記部分を暗 号化するための手段を備え、 アクセスを防止するための前記手段により、暗号化された形以外での前記デー タの前記暗号化された部分へのアクセスを防止すること を特徴とする請求項３５に記載の装置。 ３７．前記規則はビューでき変更できないように保護されることを特徴とする請 求項３０または３１のいずれか一方に記載の装置。 ３８．前記規則を暗号化するための前記手段は規則暗号化鍵で前記規則を暗号化 するための手段を備え、 前記データの前記部分を暗号化するための前記手段は前記データの前記部分を データ暗号化鍵で暗号化するための手段を備え、 前記装置は、前記データ暗号化鍵を暗号化するための手段をさらに備える ことを特徴とする請求項３６に記載の装置。 ３９．前記データの保護されていない部分を提供するための手段をさらに備える ことを特徴とする請求項３０または３１のいずれか一方に記載の装置。 ４０．前記データの保護されていない部分を前記パッケージに提供するための手 段をさらに備えることを特徴とする請求項３２に記載の装置。 ４１．前記アクセス機構で不正を検出するための手段と、 前記不正検出手段により不正が検出された場合に前記アクセス機構に記憶され ているデータを破壊するための手段と をさらに備えることを特徴とする請求項３０または３１のいずれか一方に記載 の装置。 ４２．前記規則が少なくとも （ａ）どのユーザが前記データの前記保護された部分にアクセスを許可されて いるのか、 （ｂ）前記データの配布権、 （ｃ）前記ユーザのアクセス制御権、 （ｄ）アクセス制御量、および （ｅ）支払い要件 のうちの１つを表わし、 前記規則がどのユーザが前記データの前記保護された部分にアクセスを許可さ れているのかを示す場合には、前記装置はさらに 前記規則が前記ユーザが前記データの保護された部分にアクセスを許可されて いることを示している場合にだけ前記データの当該保護部分への前記ユーザのア クセスを許容するための手段を備え、 前記規則が前記データの配布権を示す場合には、前記装置はさらに 前記規則に示された前記配布権にしたがってのみ、前記データの配布を許容す るための手段を備え、 前記規則が前記ユーザのアクセス制御権を示す場合には、前記装置はさらに 前記規則に示された前記アクセス制御権にしたがってのみ、前記ユーザに前記 データへのアクセスを許容するための手段を備え、 前記規則がアクセス制御量を示す場合には、前記装置はさらに 前記規則に示された前記アクセス制御量にしたがってのみ、前記データへのア クセスを許容するための手段を備え、 前記規則が支払い要件を示す場合には、前記装置はさらに 前記規則に示された前記支払い要件が満たされた場合にのみ、前記データへの アクセスを許容するための手段を備える ことを特徴とする請求項１９，２０，２２，２４，３０，３１のいずれか１つ に記載の装置。 ４３．前記アクセス制御権は少なくとも （ａ）ローカル表示権、 （ｂ）プリント権、 （ｃ）コピー権、 （ｄ）実行権、 （ｅ）送信権、および （ｆ）変更権、 の１つを含み、 前記アクセス制御量は少なくとも （ｇ）前記データへの許容された読み込みアクセスの回数、 （ｈ）前記データへの読み込みアクセスの許容可能な大きさ、 （ｉ）前記データの有効期限、 （ｊ）前記データへのアクセスの強度、 （ｋ）精度と忠実度の許容レベル、 （ｌ）前記データへのアクセスの許容解像度 の１つを含む ことを特徴とする請求項４２に記載の装置。 ４４．保護されたデータ部分とデータへのアクセス権に関する規則とを含む前記 データへのアクセスを制御するための装置を含むプロセス制御システムであって 、 前記装置が、 不正検出機構と、 前記規則を記憶するための手段と、 前記規則にしたがってのみ前記保護されたデータにアクセスするための手段で あって、保護されたデータ部分の出力が前記規則によって許可されるような方法 でのみ許可され、前記アクセスは前記不正検出機構によって強制される手段と を備えることを特徴とするシステム。