DE3751678T2

DE3751678T2 - Verfahren und einrichtung zum schutz und zur benutzungszählung von datenbanken

Info

Publication number: DE3751678T2
Application number: DE3751678T
Authority: DE
Inventors: Victor Shear
Original assignee: ELECTRONIC PUBLISHING RESOURCE
Current assignee: ELECTRONIC PUBLISHING RESOURCE
Priority date: 1986-10-14
Filing date: 1987-10-08
Publication date: 1996-11-14
Anticipated expiration: 2007-10-09
Also published as: US4827508A; EP0329681B1; ATE133305T1; EP0329681A4; EP0329681A1; WO1988002960A1; DE3751678D1

Description

Die Erfindung betrifft das Regeln der Benutzung einer Computer-Datenbank. Insbesondere betrifft die Erfindung Verfahren zum Verhindern einer nichtautorisierten Benutzung einer Datenbank für elektronische digitale Informationen und zum Messen der Benutzung der Datenbank durch autorisierte Benutzer.
In elektronischer Form gelieferte Informationen werden schnell zu einem äußerst wertvollen Produkt. Elektronische digitale Datenbanken existieren jetzt für eine Vielzahl unterschiedlicher Anwendungen und Betätigungsgebiete, und viele Geschäfte verlassen sich heute auf ihre Fähigkeit, auf diese Datenbanken zuzugreifen.
Der Wert, auf wichtige, genaue Informationen sofort elektronisch zugreifen zu können, kann nicht hoch genug eingeschätzt werden. Viele unserer täglichen Aktivitäten hängen von unserer Fähigkeit ab, sachdienliche Informationen rechtzeitig zu erhalten. Während gedruckte Publikationen und elektronische Massenmedien zusammen die meisten Informationsanforderungen einer durchschnittlichen Person erfüllen und meistens die einzige Quelle für Volltextreferenzinformationen sind, kann fast jede Bemühung, auf Informationen zuzugreifen, von den breiten Informationshandhabungsfähigkeiten des Computers Nutzen ziehen. In der heutigen schnell fortschreitenden Welt kommen wir schnell dazu, auf die gründlichsten verfügbaren und minutenschnellen Informationen zu bestehen und auf sie zu vertrauen - was häufig nur durch die elektronische Datenverarbeitung und die Informationsmanagementtechnologie ermöglicht wird. Öffentliche Online-Datenbanken, nunmehr eine Industrie von 2 Mrd. Dollar pro Jahr, sind ein treffendes Beispiel.
Da die "Informationsexplosion" ihren Lauf nimmt, werden mehr und mehr Leute von elektronisch gespeicherten Informationen abhängig und man ist fortlaufend bereit, für den Zugang zu derartigen Informationen und deren Benutzung aufgrund ihrer Nützlichkeit und ihres Wertes (erforderlichenfalls) eine Gebühr zu bezahlen. Gegenwärtig sind die Hauptquellen für große Datenbanken für elektronische Informationen (öffentliche) Online-Datenbankdienstleistungen wie Dialog Information Services, Mead Data Central, Dow Jones Information Services, Source, Compuserve und viele andere. Die meisten Online-Datenbanken enthalten Zusammenfassungen und/oder bibliographische Daten, und viele werden hauptsächlich verwendet, um Zugang zu Dokumentstellen mit speziellen Informationen zu haben, als daß sie für die Abfrage des originalen Gesamttextes des Dokuments verwendet werden würden.
Historisch sind Personalcomputer hauptsächlich für die Textverarbeitung, graphische Gestaltung und in geringerem Ausmaß für das strukturierte Datenbankmanagement von Aufzeichnungen verwendet worden. Eine Technologie, die es dem Benutzer z. B. eines Personalcomputers ermöglicht, nach themabezogenen Volltext-Informationen aus großen Volltext- Datenbanken zu suchen, diese an eine gewisse Stelle zu bringen und wieder zu erlangen, würde äußerst nützlich und wertvoll sein.
Der einzige gangbare Weg, gewisse Arten von Informationen verfügbar zu machen (z. B. Informationen, die ständig aktualisiert werden müssen), besteht darin, zentrale Datenbanken zu unterhalten und Benutzern zu erlauben, auf die zentralen Datenbanken über Telefonleitungen oder andere Kommunikationsmittel zuzugreifen. Bis vor sehr kurzer Zeit ist dieses Verfahren der kosteneffektivste Weg gewesen, um einen Zugang zu den elektronischen Datenbanken anzubieten. Der Zugriff auf eine zentrale Datenbank kann relativ leicht gesteuert werden, und die Benutzer können für die Benutzung einer zentralen Datenbank gemäß Parametern belastet werden, die relativ einfach zu messen sind (beispielsweise die Zeitdauer, für welche der Benutzer mit dem Datenbankcomputer verbunden ist, der Anzahl und der Art von Aufgaben, welche der Benutzer anfordert, etc.). Da die Datenbank niemals den Zentralcomputer verläßt (jedem Benutzer würde typischerweise nur Zugriff auf kleine Bereiche der Datenbank zu einem Zeitpunkt gegeben), besteht keine Gefahr, daß irgendjemand unberechtigte Kopien der Datenbank anfertigt.
Zentrale Datenbanken haben jedoch bedeutende Nachteile. Beispielsweise nimmt es eine relativ lange Zeit in Anspruch, die Informationen in einer zentralen Datenbank aufzubereiten, da die Datenübertragungsgeschwindigkeiten von Standard-Kommunikationskanälen relativ langsam sind und da der Computer der zentralen Datenbank typischerweise seine Resourcen unter Hunderte oder Tausende von Benutzern gleichzeitig teilt. Dies kann ein ernster Nachteil sein, wenn der Benutzer auf ein großes Informationsvolumen Zugriff haben oder besonders komplexe Aufgaben der Datenaufbereitung durchführen möchte. Während Spitzenbenutzungszeiten der Datenbank kann es auch eine lange Zeit in Anspruch nehmen, bevor die Verbindung mit einem Computer der zentralen Datenbank erfolgreich eingerichtet ist, was die Benutzung der Datenbank verringert und Frustrationen bei einigen Benutzern verursacht. Weitere Nachteile sind die Kosten beim Einrichten von Kommunikationswegen über weite Entfernungen (beispielsweise Aufrechterhaltungsgebühren für WATS-Telefonleitungen, Telefongebühren beim Direktwählen über weite Entfernungen, Kosten für Satellitenkanäle etc.) zwischen entfernten Benutzerterminals und dem Computer der zentralen Datenbank, sowie Zuverlässigkeitsprobleme, die mit derartigen Übertragungswegen verbunden sind. Darüber hinaus ist die Einrichtung für einen zentralen Computer, der zum gleichzeitigen Handhaben der Zugangsanforderungen vieler entfernter Benutzer erforderlich ist, extrem teuer zu erwerben und zu unterhalten.
Mit dem Aufkommen von kostengünstigerer Computerhardware und Einrichtungen zum Speichern von Informationen mit hoher Dichte (wie beispielsweise die optischen Platten und Bubble-Speicher) ist es praktikabel geworden, Benutzern ihre eigenen Kopien der großen und komplexen Datenbanken zu geben und den Benutzern zu erlauben, auf die Datenbanken unter Benutzung ihrer eigenen Computerausstattung zuzugreifen und diese aufzubereiten. Optische Scheiben können riesige Informationsmengen bei relativ niedrigen Kosten speichern, sind klein genug, um über Postwege versendet zu werden und können Daten mit extrem hohen Geschwindigkeiten liefern. Bubble-Speichereinrichtungen bieten einige ähnliche Fähigkeiten.
CD- und ähnliche digitale Plattengeräte können gegenwärtig bis zu 225.000 Seiten Volltextinformationen pro entfernbare Platte speichern und kostengünstig über 1.800.000 Textseiten gleichzeitig Online halten. Diese Technologien sind ideal für Bibliotheken von Personalcomputer-Informationsbanken. CD-Antriebe verwenden entfernbare Compaktdiscs (die im wesentlichen identisch zu Audio-Compaktdiscs sind), von denen vorhergesagt worden ist, daß aufgrund der sehr niedrigen Kosten und enormer Speicherkapazität eine Million bis 10 Millionen Antriebe (einschließlich Nicht- CD, jedoch mit verwandter optischer Speichertechnologie) bis zum Ende von 1990 installiert sein werden. Besitzer von "CD-ROM" und verwandte Abspielgeräte erzeugen eine gewaltige Nachfrage sowohl für lexikalische Software als auch für elektronisch veröffentlichte Informationsbankenprodukte. Mitsubishi Research Institute of Japan schätzt beispielsweise, daß zwischen 8.000 und 12.000 unterschiedliche CD-ROM-Publikationstitel Ende 1990 auf dem Markt sein werden.
Es ist somit nunmehr möglich, einige Datenbanken auf transportablen Informationsspeichereinrichtungen mit hoher Dichte zu speichern und auf einfache Weise jedem Benutzer seine eigene Kopie der Datenbanken zuzuschicken. Dem Benutzer kann auf diese Weise ein exklusiver Zugriff über sein eigenes Computersystem auf lokale Onsite-Datenbanken eingeräumt werden. Es wird eine sehr schnelle Zugriffszeit geschaffen, da der Zugriff auf die Datenbanken nicht geteilt, sondern exklusiv ist, und da die Daten von der Datenbankspeichereinrichtung über lokale Hochgeschwindigkeits-I/O-Geräte gelesen und über lokale Hochgeschwindigkeits-I/O-Kanäle oder NetzWerke übertragen werden können. Die gespeicherten Datenbanken können erforderlichenfalls periodisch akutalisiert werden, indem dem Benutzer Speichereinrichtungen mit einer neuen Version der (oder neuen Teilen der) Datenbanken zugeschickt werden.
Das Aufbauen einer Datenbank ist sehr kostenintensiv. Ein Weg, die Aufbau- und Unterhaltungskosten einer Datenbank abzudecken ("Return On Investment" oder ROI) besteht darin, jeden Benutzer, der unterschreibt, die Datenbank zu benutzen, mit einem einheitlichen Subskriptions- oder Zugangspreis zu belasten. Ist dies jedoch die einzige Zahlungsmethode, werden Benutzer, die die Datenbank nur selten benutzen, vom Unterschreiben abgehalten, da sie die gleichen Kosten wie Benutzer zahlen müßten, die die Datenbank häufig benutzen. Viele Datenbankbesitzer belasten daher Teilnehmer mit einer nominellen Teilnahmegebühr und anschließend periodisch (beispielsweise monatlich) mit einer Gebühr, die gemäß dem Umfang berechnet wird, in dem der Benutzer die Datenbank benutzt hat.
Während es einfach ist, das Ausmaß zu messen, in welchem jemand eine zentrale Datenbank benutzt (beispielsweise durch einfaches Erfassen der Zeitdauer einer jeden Zugriffssitzung und durch Speichern der Zeitinformation mit einer Benutzeridentifikationsinformation), gibt es keinen geeigneten Weg, die Benutzung einer Datenbank bei Verwendung des eigenen Computers des Benutzers zu messen oder eine derartige Benutzungsinformation dem Datenbankinhaber zu übermitteln. Es sind Verfahren für das automatische elektronische Messen des Verbrauchs eines Produkts wie Elektrizität, Wasser oder Gas, für das Speichern der Messungen in einer Speichereinrichtung und für das periodische Überspielen der gespeicherten Messungen über eine Telefonleitung zu einem zentralen Abrechnungscomputer bekannt. Unglücklicherweise sind diese bekannten Verfahren nicht ohne weiteres beim Messen einer Datenbankbenutzung anwendbar und sind darüber hinaus nicht sicher genug, um die Sicherheit gegen Datenbankpiraterie zu bieten, welche die meisten Datenbankinhaber fordern.
Die Verhinderung einer nichtberechtigten Datenbankbenutzung wird zu einem gewaltigen Problem, wenn eine gespeicherte Datenbank den Besitz und die Steuerung des Datenbankinhabers verläßt. Hersteller von Computerprogrammen verlieren jedes Jahr Millionen von Dollar an "Piraten", welche unberechtigte Kopien der Software anfertigen und diese Kopien mit Profit weiter verteilen. Komplexe Datenbanken sind häufig noch teurer als Programme herzustellen, so daß potentielle Mitwirkende an Datenbankeigentumsrechten sowie die Datenbankinhaber selbst extrem zögerlich sein können, elektronische Kopien ihrer Eigentumsrechte oder Datenbanken anfertigen zu lassen, so daß sie ihrer Kontrolle entzogen werden, ohne daß sie absolut sicher sein können, daß keine unberechtigten Kopien gemacht werden können. Die Urheberrechte und vertragsmäßigen Lizenzabkommen können vor einer unberechtigten Benutzung und dem Kopieren der Datenbanken abschrecken, werden dieses jedoch nicht verhindern.
Die WO-A-85/03584 lehrt die Verwendung einer Verschlüsselung und von verteilten Schlüsseln, um den Zugriff auf Informationen zu schützen, die auf der Kundenseite gespeichert sind. Das Dokument offenbart jedoch nicht das Speichern einer Datenbank in verschlüsselter Form. Das Dokument lehrt auch nicht, eine Budgetbegrenzungsinformation zu speichern und lehrt nicht das Testen der gespeicherten gemessenen Informationen, um zu bestimmen, ob ein Budget, das durch die gespeicherte Begrenzungsinformation bestimmt ist, überschritten wird (oder andere weitere Grenzen, die auf ein derartiges Testen basieren). Das Dokument schlägt nicht vor, eine Grenze für die maximale Mengenbenutzung und/oder für die Bearbeitung zu setzen, die für die Datenbankinformationen erlaubt ist. Im Dokument wird, falls die erforderlichen Schlüssel vorhanden sind, um den Zugriff zu erlauben, die Benutzung nur solange erlaubt, bis das Register gefüllt ist. Aufgrund dieser und anderer Nachteile ist das in dem Dokument offenbarte System nicht ausreichend, um Datenbankinhalte zu schützen, die an Benutzer verteilt werden.
Die WO-A-88/02202 fällt unter Artikel 54 (3) und ist daher für die Frage des erfinderischen Schritts nicht relevant. Diese Druckschrift offenbart das Einrichten einer Online- Verbindung (beispielsweise über Telefonleitungen) zwischen einem zentralen Berechtigungsterminal und einem Kundenterminal zur Datenabrufung, um durch das Kundenterminal einen Dokumentenzugang zu autorisieren. Der Autorisierungsprozeß wird nicht beim Benutzer, sondern am zentralen Terminal durchgeführt. Da dieses Dokument auf die Echtzeiteinbindung auf der zentralen Seite setzt, ist seine Lösung im wesentlichen unpraktikabel und auf eine nicht wettbewerbsfähige Weise teuer, wenn sie mit der anmeldungsgemäßen Erfindung verglichen wird, und zwar sowohl für eine große Benutzerzahl als auch für viele Anwendungen. Von Bedeutung ist weiterhin, daß das Dokument keine Lehre vermittelt, den Meßvorgang lokal zu schützen oder zu sichern, und keinen Weg angibt, mit dem der Benutzer auf gespeicherte "Kredit"-Informationen zugreifen kann. Das Dokument lehrt auch nicht, daß die Informationen verschlüsselt werden sollten, die in einer Historie-Speichereinheit oder einem Schuldenregister gespeichert sind, und lehrt nicht die Anwendung physikalischer Sicherungsverfahren zum Schützen derartiger Informationen. Demgemäß ist aus diesen und anderen Gründen das durch das Dokument gelehrte System für viele Anwendungen nicht so praktisch und sicher wie das von der Anmelderin geschaffene System.

ZUSAMMENFASSUNG DER ERFINDUNG

Die vorliegende Erfindung schafft ein Datenbankzugriffssystem und ein Verfahren an einem Benutzerort, welches berechtigten Benutzern den Zugang und die Benutzung der Datenbank erlaubt und ein unberechtigtes Datenbankbenutzen und -kopieren absolut verhindert. Die Erfindung schafft auch eine Anordnung zum Messen der Benutzung der Datenbank am Ort der Anlage zum Zweck, mit dem Benutzer gemäß dem Ausmaß abzurechnen, in dem er die Datenbank benutzt hat, und zum periodischen Überliefern der gemessenen Benutzungsinformationen zum Datenbankinhaber (oder seinem Vermittler), während verhindert wird, daß der Benutzer die gemessene Benutzungsinformation unberechtigt manipuliert.
Die Erfindung löst fundamentale, medienbasierende elektronische Veröffentlichungsprobleme einschließlich:
Sicherheit der Informationsbank. Die vorliegende Erfindung schafft ein Codierungs/Decodierungs-Interlocksystem, das sowohl Software als auch ein verfälschungssicheres Hardwaremodul umfaßt, das einen unberechtigten und/oder nicht gemessenen Gebrauch einer geschützten Informationsbank verhindert. Die vorliegende Erfindung unterstützt auch ein codiertes vielschichtiges Sicherheitszugriffssystem, das den Zugang zu verschiedenen Bereichen einer Datenbank nur auf diejenige begrenzt, welche den (die) richtigen Sicherheitscode(s) besitzen;
Feststellen des Benutzungsgrads der Informationsbank. Die vorliegende Erfindung speichert in einer der verfügbaren Formen eines nicht flüchtigen Speichers die Daten und Zeitdauer bezüglich des Zugriffs auf irgendwelche Files (oder Dokumente, Abschnitte, Eigentumsrechte etc.) und speichert auch die Informationsmenge, die von jedem File in den Speicher durch den Benutzer eingelesen wurde.
Bei der vorliegenden Erfindung könnte beispielsweise eine CD-ROM-Scheibe alle Ausgaben von zehn getrennten Publikationen (technisch, medizinisch, geschäftlich, etc.) für fünf zurückliegende Jahre enthalten. Jeder Herausgeber könnte den Preis für die Benutzung seiner Publikation oder Publikationen festsetzen und jeder Herausgeber könnte dann ein Return-On-Investment der "Copyright-Lizenzgebühr" auf der Basis der tatsächlichen Benutzung der Produkte des Herausgebers durch den Kunden erhalten. Hersteller, die zur Entwicklung eines lexikalischen Informationsbankeigentums auf wichtigere, populärere oder kostenintensivere Weise beitragen, könnten daher Einnahmen erzielen, die im Einklang mit den Marktanforderungen und den Preisstrategien für ihre Produkte stehen.
Die vorliegende Erfindung beseitigt das Erfordernis zu bestimmen, wieviel der Nettoeinnahmen eines CD-Informationsbankprodukts jeder mitwirkende Herausgeber erhalten sollte (gegenwärtig ein Problem mit beträchtlicher Bedeutung für die Herausgeber). Die Erfindung stellt auch die Datensicherheit von Informationsbanken sicher - ein kritisches, häufig erwähntes und bislang unbeantwortetes Problem, das eine beträchtliche Ängstlichkeit bei den Herausgebern verursacht. Es würde ziemlich schwierig sein (und ein hohes Ausmaß an spezialisierter Erfahrung und kostenintensiver leistungsfähiger Computer erfordern), um das Hardware/Software-Datensicherheitssystem "aufzubrechen", das durch die Erfindung geschaffen wird, und Material zu kopieren, ohne daß man mit einer angemessenen Gebühr belastet würde.
Herausgeber können ihre Produkte mit außergewöhnlich geringen Anfangskosten an Kunden lizensieren (d. h. für eine Anfangsgebühr von 25 Dollar anstelle einer jährlichen Gebühr von 1.000 Dollar oder mehr). Die niedrigen Anfangslizenzgebühren würden sich aus der erfindungsgemäßen Fähigkeit der Benutzungsüberprüfung ergeben und würden neuen Kunden erlauben, mit dem Produkt mit geringem oder keinem Risiko zu experimentieren. In ähnlicher Weise könnten Kunden, die eine geringe Benutzung eines bestimmten Informationsbankprodukts voraussehen, die niedrigeren Kosten einer auf der Benutzung basierenden Gebührenberechnung als eine praktikable und erschwingliche Rechtfertigung für den Erwerb eines Produkts ansehen, das anderweitig nicht gekauft werden würde.
Zusammengefaßt wird die vorliegende Erfindung:
1. Die Marktdurchdringung von elektronisch veröffentlichten Produkten aufgrund wesentlich niedrigerer Anfangslizenzkosten bedeutend beschleunigen.
2. Die äußerste Marktdurchdringung von CD-veröffentlichten Produkten stark erhöhen, indem CD-Publikationen für einen sehr großen Kundenkreis erschwinglich werden.
3. Höhere Endeinnahmen pro veröffentlichter Scheibe von denjenigen Kunden erzeugen, die anderweitig eine teurere Version des Datenbankprodukts gekauft haben würden.
Der durch die Erfindung gebotene Sicherheitsschutz gibt Herausgebern bedeutende Vorteile beim Sichern exklusiver Verträge für wichtige Veröffentlichungsinformationsbankeigentumsrechte, da die Erfindung den Besitzern der Informationsbankeigentumsrechte die folgenden Vorteile bietet:
1. eine wesentlich höhere Kopierschutzsicherheit,
2. letztlich größere Einnahmen,
3. Freiheit in der Preisgestaltung für den Herausgeber,
4. ein Return-On-Investment, das im Einklang mit der Marktnachfrage für ihr Informationsbankeigentum steht.
Gemäß einem wichtigen Merkmal der Erfindung speichert ein Speichermedium die Datenbank in verschlüsselter Form und speichert auch eine Indexinformation, welche Bereiche der verschlüsselten Datenbank mit Indexschlüsseln korreliert. Die Indexinformation kann selbst verschlüsselt sein, falls gewünscht. Ein digitaler Signalprozessor auf' dem Host, der wirkungsmäßig mit dem Speichermedium verbunden ist, ist derart vorprogrammiert, daß er eine Datenbankzugriffsanforderung erzeugt, die Indexinformation vom Speichermedium liest, die Teile der verschlüsselten Datenbank, welche der Zugriffsanforderung genügen (gemäß der Indexinformation) identifiziert, und die identifizierten verschlüsselten Datenbankteile aus dem Speichermedium liest.
Eine mit dem Host-Prozessor gekoppelte Sicherheitsdecodiersteuerlogikeinrichtung empfängt die verschlüsselten Datenbankteile, die vom Host-Prozessor gelesen werden, entschlüsselt die Teile der verschlüsselten Datenbank, die vom Host-Prozessor gelesen werden, um entsprechende entschlüsselte Informationen zu erzeugen, und überträgt die entschlüsselten Informationen zurück zum Host-Prozessor. Die Decodiersteuerlogikeinrichtung mißt auch das Ausmaß der Benutzung und/oder anderer Parameter, welche die Informationen betreffen, die von der Entschlüsselungseinrichtung entschlüsselt werden, und speichert diese Messungen in einer nicht flüchtigen (und in vielen Fällen fälschungssicheren) Speichereinrichtung. Die Erfindung liefert somit eine detaillierte Aufzeichnung der Datenbankbenutzung - einschließlich einer Auflistung der Benutzung eines jeden Files oder "Eigentums", das auf einem lokalen Speichermedium gespeichert ist. Eine zusätzliche Entschlüsselung der Datenbankinformationen kann verhindert werden, falls mehr als ein gewisser Prozentsatz einer Datenbank (oder mehr als ein festgelegter kontinuierlicher Teil einer Datenbank) vom Benutzer kopiert worden ist, was eine zusätzliche Sicherungseinrichtung darstellt, welche ein unberechtigtes Kopieren verhindert.
Das System kann ferner eine Einrichtung zum Verhindern eines Abänderns der Speichereinrichtung und/oder der Decodiersteuerlogikeinrichtung aufweisen.
Gemäß einem weiteren wichtigen Merkmal der Erfindung wird die Datenbankbenutzungsinformation am Benutzerort gespeichert und wird periodisch an eine zentrale Abrechnungsstelle übertragen. Beispielsweise kann die nicht flüchtige Speichereinrichtung, welche die die Datenbankbenutzung angebenden Daten speichert, in einem austauschbaren Modul aufgenommen sein. Der Benutzer löst periodisch das Modul von seinem Computersystem und sendet es zu einer zentralen Abrechnungsstelle. In der zentralen Abrechnungsstelle wird der Inhalt der Speichereinrichtung gelesen und verwendet, um mit dem Benutzer in Übereinstimmung mit der Datenbankbenutzung abzurechnen.
Gemäß einem weiteren wichtigen Aspekt der Erfindung werden zwischen der Seite des Benutzers und einer zentralen Stelle periodisch Verbindungen aufgebaut, um auf dem Telekommunikationsweg Datenbankbenutzungsinformationen, die auf der Seite des Benutzers gespeichert sind, zur Zentralstelle zu übertragen.
Gemäß einem weiteren wichtigen Merkmal der Erfindung wird automatisch verhindert, daß der Benutzer die verschlüsselte Datenbank entschlüsselt, nachdem ein vorbestimmtes Ereignis auftritt (beispielsweise "Ablauf" eines Speichermoduls oder eine übermäßige Datenbankbenutzung, welche Kopierversuche anzeigt), ohne daß der Benutzer ein "Gegenmittel" eingegeben hat (beispielsweise eine geheime Information in sein Computersystem eingegeben und/oder eine Ersatzkomponente installiert hat)
Da die Datenbank in verschlüsselter Form gespeichert ist (und/oder das Datenbankverzeichnis verschlüsselt oder anderweitig codiert ist), besteht der einzige Weg, nutzvolle Datenbankinformationen zu erhalten, darin, Teile davon unter Verwendung der fälschungssicheren Entschlüsselungseinrichtung der Erfindung zu entschlüsseln. Schutzmethoden können somit genutzt werden, um nichtautorisierte Datenbankentschlüsselungen zu verhindern.
Die vorliegende Erfindung löst damit verschiedene fundamentale Probleme, die anderweitig die Wachstumsrate des Marktes für CD-ROM und CDI-elektronische Veröffentlichung behindern würden. Beispielsweise ist es ein kostenintensiver Prozeß, die Kerndaten zu erzeugen, die in einer Informationsdatenbank aufgenommen werden, und der Aufbau der Datenbank selbst kann unter gewissen Umständen ein kostenintensives Bemühen sein. Ein Weg für Datenbankhersteller, die Kosten für den Aufbau und den Unterhalt einer Datenbank abzudecken, besteht darin, eine pauschale Subskriptions- oder Zugangsgebühr für jeden Benutzer zu verrechnen, welcher die Benutzung der Datenbank abonniert. Ist dies die einzige Abrechnungsmethode, können jedoch Benutzer, die die Datenbank nur selten benutzen, vom Abonnieren abgehalten werden, da sie dieselben Kosten wie ein Benutzer zahlen müßten, der die Datenbank häufig benutzt. Ferner können potentielle Benutzer zögern, eine beträchtliche Einmal- oder Anfangsgebühr für den Erwerb einer Technologie oder eines Produkts zu zahlen, mit dem sie nicht vertraut sind.
Mit der vorliegenden Erfindung kann ein Benutzer gemäß seiner Benutzung des Produkts zahlen (falls entsprechend vom Datenbankanbieter vorgesehen), und es können sowohl das wahrgenommene Risiko als auch - bei geringer Benutzung
- die hohen Kosten für die Benutzung der Technologie verringert oder beseitigt werden. Ferner kann die vorliegende Erfindung, da sie die Installationsrate und die Einkommenswachstumsrate für ein gegebenes Produkt beschleunigen sollte, die Kosten auch für Benutzer mit einem hohen Volumen genauso senken können.
Darüber hinaus kann die Datenbankbenutzung einfach durch Messen der Menge der Informationen gemessen werden, die entschlüsselt wird. Andere Parameter, die sich auf die Datenbankbenutzung beziehen (beispielsweise welche Datenbanken und/oder Datenbankunterabteilungen verwendet worden sind; und die Zeit, das Datum und die Dauer der Benutzung einer jeden Datenbank und/oder Unterabteilung), können ebenfalls überwacht und gespeichert werden. Die gespeicherte Benutzungsinformation kann periodisch zu einer zentralen Stelle übertragen werden, um mit dem Benutzer gemäß seiner Datenbankbenutzung abzurechnen. Darüber hinaus kann das am Benutzerort gelegene Datenbankzugriffssystem derart gestaltet werden, daß es nicht mehr funktioniert, wenn der Benutzer nicht eine neue Komponente installiert und/oder "Geheim"-Informationen eingibt - und die zentrale Stelle kann den Benutzer mit derartigen Ersatzkomponenten und/oder Geheim-Informationen nur dann versorgen, wenn der Benutzer seine Rechnung bezahlt hat.
Da die Erfindung eine detaillierte Aufzeichnung darüber liefert, welche Literaturrechte verwendet worden sind und wie oft und wie lange jedes Recht benutzt worden ist, können vom Benutzer gezahlte Benutzungszahlungen gerecht auf die Rechtseigentümer gemäß der tatsächlichen Benutzung ihrer entsprechenden Rechte aufgeteilt werden. Lizensiert beispielsweise ein Benutzer ein Speichermedium, das eine Bibliothek mit hunderten verschiedener Literaturrechten speichert, und verwendet er anschließend nur zwei Rechte in der Bibliothek, können den Eigentümern dieser zwei Rechte im wesentlichen alle Lizenzgebühren, mit denen der Benutzer belastet wurde, gezahlt werden.
Eine freie Marktwirtschaft wird somit in einem Bereich aufrecht erhalten, der anderweitig nicht für einen freien Marktwettbewerb zugängig ist. Herausgeber und Autoren können sicher sein, daß sie Einnahmen auf der Basis der Kundennachfrage für ihre Rechte erhalten, und die Herausgeber können die absolute Kontrolle über die Preisgestaltung behalten - trotz der Tatsache, daß die Rechte auf einem Speichermedium zusammen mit hunderten anderer Rechte an Benutzer verteilt werden. "Bestseller" können noch von unpopulären Werken unterschieden werden, und den Autoren können Tantiemen auf der Basis der Kundennachfrage für ihre Werke bezahlt werden.
Diese Erfindung löst somit das fundamentale CD- und Optische Veröffentlichungsproblem, wie Endverbraucher mit Disc-Bibliotheken zu versorgen sind, die viele unterschiedliche Publikationen von unterschiedlichen Verkäufern enthalten. Verschiedene Rechte von verschiedenen Herausgebern haben unterschiedliche Bedeutungen im heutigen Markt. Diese Produkte haben Preise, welche jeweils das Investment des Verkäufers, die spezifische Marktnachfrage nach dem Produkt und andere Marketingerwägungen des Produktverkäufers reflektieren. Die vorliegende Erfindung ermöglicht es, daß jeder Verkäufer einen Preis für sein(e) Produkt(e) festsetzt, der (die) sich auf CD- oder anderen Medienpublikationen befindet (n). Die Erfindung weist ein Verriegelungssystem auf, das den Zugang zu den nicht flüchtigen Speichermedien (wie beispielsweise CD-ROM-Discs) verhindert, wenn der Benutzer nicht für die Benutzung der Disc einen Vertrag geschlossen hat, und weist ein Hardware- Einsteckmodul mit Software auf.
Macht ein Kunde von den gespeicherten Daten Gebrauch, überwacht die Erfindung, auf welche Files zugegriffen wird und wieviele Informationen vom Benutzer zum Anschauen verlangt werden. Gemäß einer Ausführungsform der Erfindung können Informationen, die angesehen werden, von Informationen unterschieden werden, welche in einem Host-Computer zum Zweck des Kopierens, Veränderns oder der Telekommunikation gelesen werden, wobei unterschiedliche Kostenbeträge den unterschiedlichen Aktivitäten zugeteilt werden (so daß beispielsweise die Kosten für ein flüchtiges Ansehen viel niedriger als die Kosten für Kopieren oder Drucken sein können). In Abhängigkeit der spezifischen Anwendung und der Art des Benutzervertrags kann es für den Benutzer erforderlich sein:
1. Mit dem Herausgeber einmal alle drei Monate zu telefonieren, wobei eine Modem-Verbindung eingerichtet wird, über die eine Anforderung übertragen wird, um dem Herausgeber die gemessenen Benutzungsdaten über Telekommunikation zurückzuübertragen, oder
2. dem Herausgeber einmal alle drei Monate ein entfernbares EPROM-Modul zu schicken, das die gemessenen Benutzungsdaten enthält.
Die Erfindung verhindert somit das Kopieren oder Ansehen einer geschützten Informationsbank ohne adäquate Kompensation für den Herausgeber und seine Zulieferer für die Rechte (Daten) der Informationsbank. Jeder Informationszulieferer für ein Informationsbankprodukt erhält ein Return-On-Investment, das sowohl die Marktnachfrage nach seinem speziellen Besitz als auch die Preisgestaltung sowie andere Marketingstrategien reflektiert, welche der Zulieferer für sein Produkt als geeignet hält.
Die vorliegende Erfindung erlaubt es, daß eine sehr große Anzahl von Kunden Bibliothek-Discs zu sehr niedrigen Anfangskosten erwerben kann, da die Abrechnung des Kunden zum großen Teil auf der Benutzung basieren kann, und nicht einfach auf den Besitz der Bibliotheks-Disc. Infolgedessen können potentielle Kunden ohne Berücksichtigung ihrer Größe oder ihrer Finanzkraft vor Ort und Stelle sehr breite Bibliotheken halten. Benutzt eine bestimmte Gruppe regelmäßig nur einen Teil der Informationsbank, können die Benutzer in der Gruppe doch die gesamte Datenbank absuchen, wann immer dies erforderlich ist. Dies bedeutet, daß die meisten Benutzerabrechnungen auf diejenigen Referenzquellen konzentriert werden, welche die Benutzer häufig nutzen, aber daß gleichzeitig eine gesamte umfassende Referenzbibliothek, die sich über die häufigen Anforderungen des Benutzers hinaus erstreckt, unmittelbar zur Benutzung verfügbar ist. Ein Herausgeber ist in einer viel besseren Position, große Informationsbank-Referenzbibliotheken zu liefern. Bei vielen Anwendungen fördert die Größe und die Reichhaltigkeit dieser enzyklopädischen Bibliotheken eine viel häufigere Benutzung und einen viel größeren Benutzerkreis.
Die vorliegende Erfindung antwortet damit sowohl auf das Bedürfnis einer potentiell sehr großen Kundenbasis nach einem kostengünstigen Anfangszugang zu umfassenden digitalen disc-basierenden Referenzbibliotheken, während sie zur gleichen Zeit den Herausgebern die Kontrolle über die Preisgestaltung läßt und ein angemessenes Return-On-Investment auf der Basis der Kundennachfrage für ihre Produkte garantiert.
Die Erfindung kann insbesondere für die Inhaber der führenden Eigentumsrechte in einem gegebenen hochspezialisierten Veröffentlichungsmarkt attraktiv sein, da diese Inhaber wahrscheinlich besonders besorgt über die Probleme des unberechtigten Zugriffs auf ihr Produkt und über dessen Kopieren, über die Preisgestaltung ihres Produkts und über eine angemessene Entschädigung für den Wert sind, den ihr Produkt zur Informationsbankbibliothek beiträgt. Diese Herausgeber erhöhen wahrscheinlich in großem Umfang ihr Einkommen durch die Teilnahme an der Bibliothekspublikation und -verteilung gemäß der Erfindung - und das Vorhandensein derartiger Herausgeber im Markt wird es für andere Herausgeber, die weniger bekannte Eigentumsrechte haben, ökonomisch notwendig (und durchführbar) machen, einen Beitrag zum gleichen Informationsbankprodukt beizusteuern.
Die folgende Erfindung kann auch ein optionales Sicherheitssystem aufweisen, welches erlaubt, daß eine Organisation die Benutzung der gesamten oder eines Teils der Informationsbank verhindert, wenn der Benutzer nicht seinen Sicherheitscode eingibt. Ein vielschichtiges Sicherheitscodesystem kann unterstützt werden, um den Zugriff einer Person entsprechend ihres Sicherheitsberechtigungslevels verhindern zu können.
Es besteht ein bedeutender Wert, wenn die Erfindung mit gewissen Arten von Nichtvolltext-Informationsbanken verwendet wird. Beispielsweise kann mit der Erfindung eine elektronische CD-Disc verwendet werden, die vollständige Telefonbuchinformationen enthält und als zusätzliche Option persönliche spezifische Zusatzinformationen (einschließlich geschätztem Einkommensniveau, empfangenen Publikationen, Berufsart und -position, Sozialversicherungsnummer und anderen Informationen, die kompatibel sind und legal von einer oder mehreren der verschiedenen Adressenfirmen verfügbar sind) enthält.
Infolge der vorliegenden Erfindung können die Telefonbetreibergesellschaften, welche Telefonverzeichnisse liefern, nach der Benutzung ihrer Datenbank entschädigt werden, während Versandhäuser auch einen Einkommensstrom auf der Basis sowohl der Nützlichkeit ihrer Datenbanken für Kunden als auch des Ausmaßes der Benutzung ihrer Informationen durch Kunden erhalten können. Die Erfindung liefert zum ersten Mal die Voraussetzungen, unter denen Firmen wie Telefonbetreibergesellschaften und andere Anbieter von Informationsrechten sicher und profitabel Informationen für elektronische Desktop- Informationsbanken-Produkte liefern können.

KURZBESCHREIBUNG DER ZEICHNUNGEN

Diese und weitere Merkmale und Vorteile der Erfindung ergeben sich besser und vollständiger aus der folgenden detaillierten Beschreibung der bevorzugten Ausführungsformen in Verbindung mit den beigefügten Zeichnungen:
Fig. 1 ist ein schematisches Diagramm einer gegenwärtig bevorzugten beispielshaften Ausführungsform eines Meß- und Schutzsystems für die Datenbankbenutzung gemäß der Erfindung,
Fig. 2 ist ein schematisches Diagramm der Informationen, die in dem in Fig. 1 gezeigten Speichermediumblock gespeichert werden,
Fig. 3 ist ein detaillierteres schematisches Diagramm des in Fig. 1 gezeigten Dekodier/Abrechnungsblocks,
Fig. 4(a) - 4(b) sind zusammen ein Ablaufdiagramm der Schritte, die von dem in Fig. 1 gezeigten System ausgeführt werden, und
Fig. 5 ist ein schematisches Diagramm einer weiteren gegenwärtig bevorzugten beispielshaften Ausführungsform eines Meß- und Schutzsystems für die Datenbankbenutzung gemäß der Erfindung.

DETAILLIERTE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN

Fig. 1 ist ein schematisches Blockdiagramm einer gegenwärtig bevorzugten beispielhaften Ausführungsform eines Datenbankbenutzungs-Meß- und Schutzsystems 10 gemäß der Erfindung. Das System 10 weist drei Hauptblöcke auf: Einen Speichermediumblock 100, einen Hostcomputer 200 und einen Dekodier/Abrechnungsblock 300.
Eine oder mehrere vorbestimmte Datenbanken sind auf dem Speichermedium 100 in verschlüsselter Form gespeichert, und selektive Teile der Datenbank(en) werden vom Speichermedium mittels des Hostcomputers 200 gelesen (einige verschiedene Datenbanken können auf dem gleichen Medium gespeichert werden, obwohl die vorliegende Erfindung in ihrer einfachsten Form lediglich eine einzige gespeicherte Datenbank verwendet, die eine Vielzahl von Files, Segmenten, "Rechten" oder ähnliches enthält. Der Hostcomputer 200 kann ein Computer sein, der für die Aufgabe des Zugreifens auf die gespeicherten Datenbanken besonders bestimmt ist, was jedoch nicht sein muß (beispielsweise kann der Hostcomputer ein für Allgemeinzwecke geeigneter digitaler Computer sein, der für eine Vielzahl unterschiedlicher Aufgaben verwendet wird).
Der Dekodier/Abrechnungsblock 300 ist mit dem Hostcomputer 200 verbunden und führt wenigstens zwei wichtige Funktionen aus. Der Dekodierer/Abrechner 300 entschlüsselt Teile der gespeicherten Datenbanken auf einer vom Benutzer geforderten Basis (beispielsweise nachdem bestätigt wurde, daß der Benutzer eine ordnungsgemäße Berechtigung für den Zugriff auf die Datenbanken hat). Der Dekodierer/Abrechner 300 mißt auch die Datenbankbenutzung und erzeugt eine Benutzungsinformation in einer Form, die periodisch dem Inhaber der Datenbanken gesendet werden kann (oder seinem Vertreter, beispielsweise einer Servicegesellschaft). Die Benutzungsinformation wird typischerweise verwendet, um eine Datenbankzugriffsgebühr zu berechnen, mit welcher der Benutzer zu belasten ist.
Der Dekodier/Abrechnungsblock 300 kann die Form eines Hardware-Teiles (oder Karte) haben, das elektrisch mit dem Hostcomputer 200 verbunden und in der Nähe (oder innerhalb) von diesem angeordnet ist, oder einer Computersoftware, die auf dem Hostcomputer ausgeführt wird. Alternativ könnte der Dekodier/Abrechnungsblock 300 fern vom Hostcomputer 200 angeordnet sein und mit dem Hostcomputer über ein DatenkommunikationsnetzWerk oder eine Telefonleitung kommunizieren.
Das Speichermedium 100 besteht vorzugsweise aus irgendeiner Form eines kostengünstigen Massenspeichers für digitale Informationen (beispielsweise eine optische Scheibe, ein Bubble-Speicher oder eine große Festplatte oder einer anderen Magnetspeichertechnologie mit schneller Übertragungsrate), der vom Datenbankinhaber vorbereitet und dem Benutzer für die Benutzung lizensiert wird. CD-ROM, CDI, WORM und andere verwandte optische/digitale Ausführungsarten von Speichern mit sehr großer Kapazität kommen nun auf den Personalcomputer-Markt und können für diesen Zweck verwendet werden. Diese Produkte sind sehr zuverlässig und speichern auf sehr wirtschaftliche Weise Daten von hunderten von Megabyte bis zu mehreren Gigabyte.
Beispielsweise speichert eine CD-ROM-Disc 550 Megabyte Informationen auf einer einzigen 12 cm-Laserdiskette. Die CD-ROM-Technologie, die jetzt verfügbar gemacht wird, unterstützt auf wirtschaftliche Weise bis zu acht parallele Antriebe (4 Gigabyte oder 1.800.000 gedruckte Seiten) und greift auf jeden gewünschten Sektor in einer Sekunde zu. In den nächsten paar Jahren sollten die technologischen Fortschritte die Zugriffszeit auf 1/4 Sekunde verringern und die Speicherkapazität wird verdoppelt werden (450.000 Seiten pro Diskette und 3.600.000 Seiten Online), falls sich die CD-ROM-Hersteller für doppelseitige Scheiben und Abspielgeräte entscheiden. CD-ROM, CDI und WORM-Produkte werden in den nächsten 30 Monaten zunehmend erschwinglich, wobei die geschätzten CD-ROM-Preise von 800 Dollar auf 400 Dollar oder weniger pro Abspielgerät einschließlich Steuerungseinheit fallen, und die geschätzten OEM- und Volumenpreise 1990 auf 175 Dollar pro Einheit fallen. Mit CD-ROM, WORM und anderen optischen/digitalen Technologien können die Benutzer sowohl große Informationsbanken kaufen als auch sich selbst leicht organisationsspezifische Informationsbanken bauen.
Die Datenbank ist vorzugsweise "vorbearbeitet" und wird anschließend auf das Medium 100 gespeichert. Die Art der durchgeführten Vorbearbeitung hängt von der Datenbank und der Anwendung ab, umfaßt jedoch typischerweise das Erzeugen einer verschlüsselten Ausgabe der Datenbank und das Laden der verschlüsselten Ausgabe auf das Medium 100. Für das Verschlüsseln der Datenbank können ein oder mehrere der vielen ausgeklügelten üblichen Datenverschlüsselungsschematas verwendet werden, die gegenwärtig existieren. Die Vorbearbeitung umfaßt vorzugsweise auch das Erzeugen eines Index für die Datenbank und das Speichern des Index zusammen mit der verschlüsselten Version der Datenbank auf dem Speichermedium 100. Der Index kann verschlüsselt sein oder nicht.
Die vorbearbeitete Datenbank kann auf das Speichermedium 100 in üblicher Weise geladen werden. Beispielsweise kann ein "Master"-Medium vorbereitet werden und anschließend einfach dupliziert werden, um eine Anzahl von duplizierten Speichermedien 100 zu erhalten. Die Speicherung der gesamten vorbearbeiteten Datenbank (oder Datenbanken) kann mehrere Speichermediumeinheiten erfordern (beispielsweise mehrere optische Scheiben), wobei jede Einheit einen Teil der Datenbank speichert. Die Datenbank kann eine oder mehrere Datenbanken indizieren, von denen jede eine oder mehrere Files, Dokumente oder "Eigentumsrechte" enthält (der Ausdruck "Eigentumsrechte" bezieht sich auf literarische oder andere textliche Werke, die durch Copyright geschützt sind).
Fig. 2 zeigt ein beispielhaftes Schema für das Speichern der Datenbankinformationen auf dem Medium 100. Die auf dem Medium 100 gespeicherten Informationen umfassen ein Indexteil 102 und einen verschlüsselten Datenbankteil 104. Der Datenbankteil 104 umfaßt eine Vielzahl vorbestimmter Mengen oder "Blöcke" 106 von digitalen Daten. Jeder Block 106 umfaßt drei Informations-"Felder": Ein Indexschlüsselfeld 108a, ein verschlüsseltes Datenbankinformationsfeld 108b und ein Entschlüsselungsschlüssel/Fehlerprüffeld 108c.
Der Indexteil 102, der verschlüsselt sein kann, liefert Informationen, die zum Übersetzen einer Datenbankzugriffsanforderung in die Adressen von einem oder mehreren Blöcken 106 verwendet werden. Der Inhalt des Indexteils 102 hängt von der Art der auf dem Medium 100 gespeicherten Datenbank und von der Art der Betätigungen ab, die auf der Datenbank durchzuführen sind. Ist beispielsweise eine Wort suche vorzusehen, kann der Indexteil 102 eine Liste aller Wörter enthalten, die in der Datenbank enthalten sind, und die Blöcke 106, in denen das aufgelistete Wort erscheint. Der Indexteil 102 kann alternativ (oder zusätzlich) ein "Inhaltsverzeichnis" der Datenbank und eine Bezeichnung der Blöcke 106 enthalten, die jede Unterteilung im Verzeichnis abdecken. Der Indexteil 102 kann nicht nur ausdrücklich gespeichert, sondern durch übliche Verarbeitungsverfahren jedes Mal erzeugt werden, wenn auf die Datenbank zugegriffen wird. Andere Wege, Strukturen und Verfahren zum Indizieren einer Datenbank sind bekannt, und die Erfindung ist nicht auf irgendein besonderes Indexschema begrenzt. Die bevorzugte Ausführungsform verwendet ausdrücklich gespeicherte Indexinformationen aufgrund von Geschwindigkeitsleistungserwägungen, alternative Indexierungsanordnungen können jedoch bei spezifischen Anwendungen wünschenswert sein.
Der Indexschlüssel 108a eines jeden Blocks 106 speichert Daten, auf die in Übereinstimmung mit den Informationen Bezug genommen werden kann, die im Indexinformationsteil 102 gespeichert sind. Der Indexschlüssel 108a kann explizit sein (beispielweise ein digitales Datenwort, das einen Indexcode oder eine Indexadresse repräsentiert), oder implizit (beispielsweise physikalische "Adressen" des Speichermediums 100 können selbst als Indexschlüssel verwendet werden).
Das verschlüsselte Datenbankinformationsfeld 108b enthält vorbestimmte Teile der verschlüsselten Datenbank (die Informationen, die in diesen Feldern gespeichert sind, können aus Text, Grafiken oder sowohl aus Text und Grafiken bestehen). Die Größe dieser Teile kann durch die gegebene Hardware und/oder die verwendeten Verschlüsselungsverfahren bestimmt werden und ist vorzugsweise (jedoch nicht notwendigerweise) festgesetzt. Falls es die Art der Datenbank erlaubt, sollten verwandte Informationen in den gleichen Blöcken 106 gespeichert werden (d. h. die Datenbank sollte vorsortiert und hierarchisch organisiert werden), um die Anzahl der Zugriffe auf das Speichermedium 100 zu verringern, die erforderlich ist, um auf eine einzige Anfrage eines Benutzers zu antworten. Verfahren zum Organisieren von Datenbanken sind den Fachleuten auf dem Gebiet der Informationsgewinnung und des Datenbankaufbaus und -managements bekannt.
Das Entschlüsselungsschlüssel/Fehlerprüffeld 108c führt zwei Funktionen bei der bevorzugten Ausführungsform aus. Erstens liefert es eine übliche Fehlerprüfinformation (beispielsweise CRC oder Parität), die für das Erfassen von Informationslesefehlern nützlich ist. Zweitens kann das Feld Informationen liefern, die für anspruchsvolle Datenentschlüsselungsschematas erforderlich sind, um die im zugeordneten Feld 108b gespeicherten Informationen zu entschlüsseln. In vielen Datenentschlüsselungsschematas wird ein Entschlüsselungsschlüsselwort (das selbst verschlüsselt sein kann), das den verschlüsselten Daten mitgegeben wird, in Verbindung mit einem zusätzlichen Datenentschlüsselungsschlüssel verwendet, der von der Datenentschlüsselungsvorrichtung geliefert wird, um die Daten zu entschlüsseln. Das Feld 108c kann in Abhängigkeit der verwendeten Fehlerprüf- und Entschlüsselungsschematas entweder erforderlich sein oder nicht.
Der Hostcomputer 200 enthält eine residente Software und eine Hardware, die ein Interface für alle Datenbanktransaktionen bietet. Der Computer 200 weist eine oder mehrere geeignete I/O-Handhabungseinrichtungen und zugeordnete Hardwaregerätetreiber auf, die es erlauben, daß der Computer die Informationen vom Speichermedium 100 liest. Der Hostcomputer 200 weist auch eine geeignete Datenkommunikationssoftware und eine zugeordnete Hardware auf, welche ermöglicht, daß er Daten mit dem Dekodier/Abrechnungsblock 300 austauscht. Der Datenkommunikationsweg zwischen dem Hostcomputer 200 und dem Dekodier/Abrechnungsblock 300 kann ein geteilter Datenbus, ein spezieller I/O-Kanal, ein geteiltes Datenkommunikationsnetzwerk oder ähnliches sein.
Falls erforderlich, können die digitalen Signale auf dem Medium 100 in komprimierter Form gespeichert werden (beispielsweise wo redundante Bitmuster nicht gespeichert werden, um den erforderlichen Speicherplatz zu verringern), und der Dekodier/Abrechnungsblock 300 kann eine Dekompressionskomponente aufweisen (beispielsweise einen üblichen Hardwaredatendekompressionschip oder einen Prozessor, der einen üblichen Datendekompressionsalgorithmus unter der Steuerung einer Software durchführen kann), um in üblicher Weise die vom Medium gelesenen Daten zu "dekomprimieren" (entweder vor oder nach dem Dekodieren und der Entschlüsselung). Da das Medium 100 typischerweise eine begrenzte Speicherkapazität hat und die Größe einer Datenbank beliebig sein kann, wird die Datenkompression vorzugsweise durchgeführt, um die Informationsmenge zu erhöhen, die auf dem Medium 100 gespeichert werden kann. Eine transparente Dekompression ist besonders nützlich, wenn das Ziel darin besteht, eine maximale Informationsmenge oder Datenquellen insbesondere auf optischen oder verwandten Medien mit begrenzter Kapazität zu speichern. Die Dekompression wird in der bevorzugten Ausführungsform von einer bestimmten integrierten Schaltung zur Hochgeschwindigkeitshardwaredatendekompression durchgeführt, um die Dekompressionsgeschwindigkeit zu maximieren und die auftretende Verzögerungszeit zu minimieren oder wirksam auszuschalten, obwohl Softwaredekompressionsalgorithmen bei gewissen Anwendungen wünschenswert sein können.
Fordert ein Benutzer Informationen von einer auf dem Speichermedium 100 gespeicherten Datenbank an, steuert das sich auf dem Computer 200 befindliche Computerprogramm die Hardware des Computers, so daß er die auf dem Medium 100 gespeicherte Indexinformation 102 liest, um festzustellen, welche Datenbankblöcke 106 die durch die Benutzeranfrage spezifizierten Informationen enthalten. Das Computerprogramm steuert anschließend den Hostcomputer 200 derart, daß er eine oder mehrere Blöcke 106 der gespeicherten Datenbankinformationen in den Speicher des Hostcomputers lädt. Der Hostcomputer 200 streift anschließend unter der Steuerung der Software die Inhalte der verschlüsselten Felder 108b von den Informationsblöcken ab, die nunmehr in seinem Speicher vorliegen (zusammen mit einem Teil oder dem gesamten Inhalt des Verschlüsselungsschlüssels/CRC- Feldes 108c) und sendet einen Teil oder den gesamten Inhalt dieser Informationen zu dem Dekodier/Abrechnungsblock 300 zur Verarbeitung.
Da der Indexteil 102 nicht verschlüsselt ist, kann der Hostcomputer 200 die Indexinformationen bearbeiten, ohne daß der Dekodier/Abrechnungsblock 300 eingeschaltet wird. Obwohl dies ein wichtiger Vorteil bei einigen Anwendungen ist (da der Benutzer durch den Index "umsonst" einen unverbindlichen "Einblick" haben darf), können andere Anwendungen einen Sicherheitsgrad erfordern, der durch das Vorhandensein eines unverschlüsselten Verzeichnisses kompromitiert werden würde. Beispielsweise könnten unverschlüsselte, sehr vollständige Indizes verwendet werden, um bedeutende Teile der Datenbank selbst zu rekonstruieren. Es kann daher wünschenswert sein, den Indexteil 102 sowie den Datenbankteil 104 zu verschlüsseln, um eine höhere Sicherheit zu schaffen.
Ist der Indexteil 102 verschlüsselt, muß er entschlüsselt werden, bevor ein Benutzer aus diesem auswählen oder diesen anderweitig benutzen kann, um die Blöcke 106 zu finden. Die Entschlüsselung des Indexteil 102 sollte auf eine sichere Art durchgeführt werden (beispielsweise im Dekodier/Abrechnungsblock 300 oder in einer speziellen "Ansicht-Bearbeitungsstation", die im Zusammenhang mit Fig. 5 erläutert wird). Alternativ kann der Dekodier/Abrechnungsblock 300 temporär den Hostcomputer 200 mit der Entschlüsselungsschlüsselinformation beliefern, die zum Entschlüsseln des Indexteils 102 erforderlich ist (der Indexteil kann unter Verwendung eines Entschlüsselungsverfahrens entschlüsselt werden, das unterschiedlich von demjenigen ist, das für die Entschlüsselung des Datenbankteils 104 verwendet wird), und der Hostcomputer kann Abschnitte des Indexteils entschlüsseln, wenn dies vom Benutzer gefordert wird.
Bei einer möglichen Abänderung der Erfindung wird weder die Datenbank noch der Index, die auf dem Medium 100 gespeichert sind, unter Verwendung eines formalen Verschlüsselungsalgorithmus "verschlüsselt", sondern es wird anstelle dessen die Art und Weise, in der die Datenbank und/oder der Index auf dem Speichermedium gespeichert wird, selbst zur Bildung von Informationen verwendet, die zusammenhanglos sind, wenn sie nicht vom Medium unter Verwendung eines vorbestimmten Zugangsalgorithmus gelesen werden.
Beispielsweise können Aufzeichnungen der Datenbank unzusammenhängend auf dem Medium in einer Pseudozufallsreihenfolge gespeichert werden, so daß ein sequentielles Lesen der Aufzeichnungen lediglich unzusammenhängende Informationen erzeugt. Ein auf dem Medium 100 gespeicherter Index enthält die Informationen, die erforderlich sind, um auf logische Weise sequentielle Datenbankaufzeichnungen zu lokalisieren. Dieser Index ("Verzeichniszuordnung") kann auch in einer gewissen Weise "zerhackt" sein (beispielsweise verschlüsselt sein, wobei formale Verschlüsselungsverfahren verwendet werden, vielleicht einfach unvollständig, so daß er mit Informationen und/oder Algorithmen ergänzt werden muß, die im Dekodier/Abrechnungsblock 300 enthalten sind, oder ein anderes Schema kann verwendet werden, um die Verzeichniszuordnung ordnungsgemäß zu interpretieren, wobei die Interpretation der Verzeichniszuordnung notwendig ist, um die Stellen der Komponenten einer gegebenen Datenbank oder eines anderen "Eigentumsrechts" auf dem Medium 100 zu bestimmen). Unterschiedliche Indexzerhackungsschematas können für unterschiedliche Kopien der Speichermedien 100 verwendet werden, um die Entwicklung einer "universellen" De-Zerhackungseinrichtung oder eines entsprechenden Algorithmus zu verhindern.
Der Dekodier/Abrechnungsblock 300 mißt die Menge und/oder die Art der Informationen, die zu ihm zur Entschlüsselung gesendet worden sind und speichert von derartigen gemessenen Mengen die Informationen, welche die Datenbankbenutzung über längere Zeit angeben. Der Dekodier-/Abrechnungsblock 300 speichert alle notwendigen Abrechnungs- und Benutzungsinformationen in einer geschützten nicht flüchtigen Speichereinrichtung (oder in einer geschützten nicht flüchtigen Speicherstelle innerhalb des Hostcomputers 200) für eine spätere Abrufung und Verwendung bei der Berechnung der Datenbankbenutzungsgebühren.
Da die aus dem Medium 100 gelesenen Datenbankinformationen nutzlos sind, wenn sie nicht zuerst entschlüsselt werden, und der Dekodier/Abrechnungsblock 300 der einzige Teil des Systems 10 ist, welcher die verschlüsselten Datenbankinformationen entschlüsseln kann, kann der Dekodier/Abrechnungsblock genau die Menge und die Art der Daten messen, auf die von der gespeicherten Datenbank zugegriffen worden ist (z. B. durch Zählen der Anzahl der Blöcke 106, die entschlüsselt werden, wobei die Gruppe von logisch bezogenen Informationen (beispielsweise "Eigentumsrechte") bestimmt wird, die auf dem Medium 100 gespeichert wird, welche den zu entschlüsselnden Daten logisch zugeordnet ist, und/oder durch Bestimmen anderer geeigneter Parameter, welche die Quantität und/oder Identität der entschlüsselten Daten angeben). Der Dekodier/Abrechnungsblock 300 entschlüsselt die zu ihm gesendeten Informationen und führt die entschlüsselten Informationen zum Hostcomputer 200 zum Anzeigen, Speichern, Drucken, zur Teleübertragung oder zu ähnlichem zurück (oder macht anderweitig die entschlüsselten Informationen für den Benutzer verfügbar).
Fig. 3 ist ein detaillierteres schematisches Diagramm des Dekodier/Abrechnungsblocks 300, der in Fig. 1 gezeigt ist. Der Block 300 umfaßt folgendes: Einen fälschungssicheren Mechanismus 302, eine Datenverbindungseinrichtung 304 zur Verbindung mit dem Hostcomputer 200, eine Datenverbindungseinrichtung 306 zur Verbindung mit einer auswärts gelegenen Servicegesellschaft, eine Hostcomputer-Interfacelogik 308, eine Datenbankentschlüsselungslogik 310, eine Interfacelogik 312, einen nichtflüchtigen Speicher 314, eine Dekodiersteuerlogik 316 und eine Echtzeituhr/Kalender 318.
Der fälschungssichere Mechanismus 302 verhindert, daß unberechtigte Personen eine Fälschung mit dem Dekodier/Abrechnungsblock 300 elektronisch oder mechanisch durchführen und weist vorzugsweise sowohl mechanische als auch elektronische Sicherungseinrichtungen auf. Beispielsweise sollte die physikalische Verschlüsselungseinrichtung, welche die Komponenten des Blocks 300 einschließt, verhindern, daß unberechtigte Personen auf die eingeschlossenen Komponenten zugreifen. Die Komponenten können mit Epoxidharz verklebt oder eingegossen sein, falls erwünscht, und/oder der Verschluß kann mit einer mechanischen Dichtung versehen sein, welche irgendeine Beeinflussung klar offenkundig macht.
Eine weitere Sicherungseinrichtung gegen eine Manipulation kann vorgesehen werden, indem eine oder mehrere funktionelle Blöcke 308/318 in der Form eines maßgefertigten integrierten Schaltkreises eingerichtet werden. Derartige maßgefertigte integrierte Schaltkreise sind nicht auf einfache Weise durch eine unberechtigte Person reproduzierbar und es könnten keine funktionellen Äquivalente gebaut werden ("black-boxed"), solange die zum Verschlüsseln und Entschlüsseln der Datenbank verwendeten Verfahren technisch hochstehend sind. Dieses Niveau der technisch hochstehenden Datenentschlüsselung ist mit der heutigen Technologie durchaus machbar.
Die Verbindungseinrichtung 304 und die Interfacelogik 308 übertragen Daten zwischen dem Dekodier/Abrechnungsblock 300 und dem Hostcomputer 200. Die Interfacelogik 308 umfaßt eine gewöhnliche Elektronik, welche den Hostcomputer 200 mit der Dekodiersteuerlogik 316 verbindet. Die Interfacelogik 308 ist elektronisch mit der physikalischen Elektronikverbindungseinrichtung 304 verbunden, die ihrerseits mit einer passenden Verbindungseinrichtung des Hostcomputers 200 verbunden ist.
Die genaue Konfiguration der Interfacelogik 308 und der Verbindungseinrichtung 304 hängt von der Art des Hostcomputers 200 und der Art des gewünschten Datenübertragungswegs ab. Beispielsweise weist bei einer beispielshaften Anordnung die Verbindungseinrichtung 304 eine Busverbindungseinrichtung des Hostcomputers auf (die mit dem Hauptbus des Hostcomputers 200 verbunden ist und direkt vom Hostcomputerprozessor adressiert wird), und die Interfacelogik 308 umfaßt ein Businterface. Selbstverständlich könnte die Verbindungseinrichtung 304 einen Standard RS- 232 Port-Verbinder und die Interfacelogik 308 eine übliche Port-Interfacelogik aufweisen - oder die Interfacelogik könnte einen Kommunikationskontroller (beispielsweise einen Kontroller für das DatenkommunikationsnetzWerk oder ein Modem) aufweisen, und die Verbindungseinrichtung 304 könnte eine Standard-Kommunikationsverbindungseinrichtung sein (falls der Dekodier/Abrechnungsblock 300 vom Hostcomputer 200 entfernt angeordnet wäre)
Andere Kommunikationsverbindungseinrichtungen und/oder Ports könnten für die Verbindungseinrichtung 304 verwendet werden, wobei die verwendete spezifische Anordnung auf der Basis der Anwendung, der passenden Leistung und/oder der Kosten gewählt wird. Andere mögliche Anordnungen einschließlich dem Plazieren des Dekodier/Abrechnungsblocks 300 im gleichen Gehäuse, welches das LaufWerk enthält, das auf das Medium 100 zugreift, oder der mit einer Verkabelung verbunden ist (oder tatsächlich als Teil von ihr verbunden ist), welche das Laufwerk für das Medium 100 mit dem Hostcomputer 200 verbindet, können verwendet werden.
Die Dekodier/Steuerlogik 316 umfaßt vorzugsweise einen herkömmlichen Mikroprozessor, der mit einem vorbestimmten Computersteuerprogramm vorprogrammiert ist, könnte jedoch in anderer Weise ausgestaltet sein (beispielsweise als ein diskretes digitales Logikgerät für sequentielle Zustände). Die Dekodiersteuerlogik 316 steuert alle Funktionen des Dekodier/Abrechnungsblocks 300 in der bevorzugten Ausführungsform. Die Dekodiersteuerlogik 316 überwacht auch die Datenbankbenutzung, erzeugt digitale Daten, welche das Ausmaß einer derartigen Benutzung angeben, und speichert diese Daten in dem nichtflüchtigen Speicher 314 für eine spätere Abrufung (beispielsweise durch eine Servicegesellschaft oder den Datenbankinhaber).
Die Echtzeituhr/Kalender 318 erlaubt das Messen der Datenbankbenutzung, um die Zeit und das Datum einer jeden Benutzung und die Benutzungsdauer anzugeben, wodurch ein wichtiges ÜberwachungsWerkzeug sowohl für die Kunden als auch für die Servicegesellschaft geschaffen wird. Zusätzlich kann diese Echtzeituhr/Kalender 318 vorprogrammiert werden, um zu erlauben, daß der Benutzer auf gewisse Datenbanken nur zu vorprogrammierten Zeiten zugreift (beispielsweise durch Begrenzen des Zugriffs für vorgegebene Benutzersicherheitszugriffscodes).
Die Interfacelogik 312 und die Verbindungseinrichtung 306 können verwendet werden, um Daten mit einer auswärtigen Stelle auszutauschen, beispielsweise mit dem zentralen Computer des Datenbankinhabers oder einer Servicegesellschaft, welche die periodische Abrechnung der Datenbankbenutzung abwickelt. In einer beispielshaften Ausführungsform umfaßt die Verbindungseinrichtung 316 eine Standard- Telefonverbindungseinrichtung und die Interfacelogik 312 umfaßt ein Standardmodem. Falls erwünscht können die Verbindungseinrichtungen 304 und 306 die gleiche Verbindungseinrichtung umfassen, und die Interfacelogik 308 und die Interfacelogik 312 können die gleichen Komponenten aufweisen.
Die Datenbankentschlüsselungslogik 310 nimmt digitale Eingangsdatensignale auf, die zu ihr mittels der Dekodiersteuerlogik 316 geliefert werden (wobei diese Signale die entschlüsselten digitalen Daten repräsentieren, welche vom Hostcomputer 200 aus dem Speichermedium 100 gelesen und zur Dekodiersteuerlogik über die Verbindungseinrichtung 304 und die Interfacelogik 308 übertragen werden), entschlüsselt diese digitalen Datensignale unter Verwendung eines vorbestimmten Entschlüsselungsalgorithmus und gibt die entschlüsselten Datensignale zur Dekodiersteuerlogik zum Anzeigen, Drucken oder ähnlichem aus. Ein oder mehrere unterschiedliche vorbestimmte Entschlüsselungsalgorithmen können in der Entschlüsselungslogik 310 gespeichert (oder in dieser fest verdrahtet) sein und zusätzliche Entschlüsselungsalgorithmen können erforderlichenfalls über die Interfacelogik 312 in den Dekodier/Abrechnungsblock 300 geladen werden.
Es sind viele übliche Verfahren zum Verschlüsseln/Entschlüsseln von Daten bekannt, wobei die Spannweite von einfachen Sichttafeln bis zu komplexen mathematischen Algorithmen reicht. Das verwendete Verfahren zur Verschlüsselung/Entschlüsselung der Daten hängt vom Betrag der zusätzlichen Verarbeitungskosten des Computers und vom Datenspeicherplatz ab, den die Anwendung erlaubt. Es ist nicht unüblich, daß die Handhabung verschlüsselter Daten bedeutende Kosten mit sich bringt.
Um das System 10 zu installieren, wird das Speichermedium 100 (zusammen mit seiner zugeordneten Antriebs/Zugriffseinrichtung) mit dem Hostcomputer 200 verbunden, und die Dekodier/Abrechnungseinrichtung 300 wird ebenfalls mit dem Hostcomputerport und/oder dem Bus verbunden (indem die Verbindungseinrichtung 304 in der beschriebenen Weise verbunden wird). Ein nichtflüchtiger Speicher 314 ist vorgesehen, der mit den folgenden Informationen vorher beladen worden ist (oder nach der Installation beladen wird)
a) (einem) Datenbankschlüssel(n) und/oder einem Benutzerpaßwort (Paßwörtern),
b) Abrechnungspreisen (optional - kann vom Datenbankinhaber im eigenen Betrieb durchgeführt werden),
c) dem Auslaufdatum und "Gegenmittel"-Informationen, und
d) Benutzeridentifikations-Sicherheitsgrade (falls erwünscht).
Die Fig. 4(a) - 4(b) bilden zusammen ein Überblicks- Ablauf-Diagramm der Routine 400, die vom System 10 durchgeführt wird, um auf einen Teil der gespeicherten Datenbank zuzugreifen.
Um auf die Datenbankinformationen zuzugreifen, veranlaßt der Benutzer, daß der Computer 200 die in diesem vorhandene Software ausführt, welche es erlaubt, daß der Benutzer eine Datenbankzugriffsanforderung formuliert (Block 402). Wie vorstehend erläutert, hängt die Art der Zugriffsanforderung von der Art der Datenbank und den Erfordernissen des Benutzers ab. Die meisten Benutzer fordern, lexikalische Datenbankrecherchen durchführen zu können (d. h. Recherchen nach Wörtern, Strings und ähnlichem). Andere Verfahren des Informationszugriffs sind ebenfalls möglich. Ist beispielsweise die Datenbank ein Roman, könnte die Zugriffsanforderung des Benutzers eine Kapitelzahl und/oder Seitenzahl sein. Personal Library Software, Inc. aus Bethesda, Maryland, bietet eine fortgeschrittene Indizierungssoftwaretechnologie an, welche es ermöglicht, daß der Benutzer sowohl Schlüsselwort- als auch örtliche Recherchen durchführt (im Gegensatz zu anderen kommerziellen Produkten, die auf Schlüsselwortsuchverfahren begrenzt sind). Die Software von Personal Library kann zusammen mit der Erfindung mit großem Vorteil verwendet werden.
Der Benutzer gibt dann eine Zugriffsanforderung ein (Block 404), indem eine Tastatur oder ein anderes Standard-I/O- Gerät verwendet wird, das mit dem Hostcomputer 200 verbunden ist. In Reaktion auf die Zugriffsanforderung des Benutzers greift der Hostcomputer 200 auf den Indexteil 102 zu, der auf dem Medium 100 gespeichert ist, und erhält vom Indexteil die Andressen von jedem Block 106 (oder Indexschlüssel, welche diesem entsprechen) der verschlüsselten Datenbank, welche der Zugriffsanforderung des Benutzers genügt (Block 406) (falls erforderlich, wird die Indexteilentschlüsselung zu dieser Zeit durchgeführt). Der Hostcomputer 200 liest anschließend den (die) geeigneten Block (Blöcke) 106 der verschlüsselten Datenbank aus dem Speichermedium 100 und speichert diese Informationsblöcke in seinen eigenen internen Random Access Speicher (Block 408)
Das System 10 kann fordern, daß der Benutzer Identifikations- und/oder Paßwortinformationen zusammen mit seiner Zugriffsanforderung eingibt (Block 404). Das System 10 überprüft die Berechtigung des Benutzers, auf die Datenbank zuzugreifen, indem die eingegebene ID-Paßwortinformation zum Dekodier/Abrechnungsblock 300 für einen Vergleich mit einer Liste von berechtigten IDs-Paßwörtern übertragen wird, die im Speicher 314 gespeichert sind (Block 410) Lehnt die Dekodiersteuerlogik 316 des Dekodier/Abrechnungsblocks die Berechtigung ab, mit dem Datenbankzugriff fortzufahren (da die eingegebene Benutzerinformation nicht korrekt ist, da die Zugriffsanforderung nicht zur gegenwärtigen Zeit/Datum durchgeführt werden kann, etc.) (Block 412), verweigert der Dekodier/Abrechnungsblock das Entschlüsseln irgendwelcher zu ihm gesandter Daten (Block 414) - und kann die Kommunikation mit dem Hostcomputer 200 beenden und/oder einfach irgendeine verschlüsselte Information ignorieren, welche der Hostcomputer zu ihm sendet. Während die verschlüsselte Datenbankinformation schon im Speicher des Hostcomputers 200 vorhanden ist, ist diese verschlüsselte Information zusammenhanglos und kann nicht für irgendeinen nutzvollen Zweck verwendet werden.
Bewilligt andererseits die Dekodiersteuerlogik 316 der Dekodier/Abrechnungseinheit 300 die Berechtigung fortzufahren (Block 412), beginnt die Dekodiersteuerlogik einen "Abrechnungszyklus" und speichert Informationen, wobei der Abrechnungszyklus in den nicht flüchtigen Speicher 314 gebracht wird (Block 416). Die im Speicher 314 gespeicherten Informationen können umfassen: a) den Namen des Datenbankfiles, auf den zugegriffen wird, b) den Abschnitt der Datenbank, auf den zugegriffen wird (Name, "Bezeichnung des Eigentumsrechts", File-Name oder andere Identifikationsinformationen), c) die Identifikation des Benutzers, welcher auf die Datenbank zugreift, und d) das Datum und die Zeit, zu der der Datenbankzugriff beginnt.
Die im nichtflüchtigen Speicher 314 gespeicherten Informationen können somit verwendet werden, um deinen "Überwachungspfad" zu erzeugen, welcher die Datenbankbenutzung durch unterschiedliche Benutzer (oder Gruppen von Benutzern) verfolgt (und falls erwünscht abrechnet). Spezielle Benutzerpaßwörter können gefordert werden, um auf ausgewählte Datenbanken zuzugreifen und die tatsächliche Benutzung aller Datenbanken kann später aus den im Speicher 314 gespeicherten Informationen überprüft werden. Derartige gespeicherte Informationen sind nicht nur extrem wertvoll, um eine unbewachte Datenbankbenutzung aufzuspüren, sondern erlauben auch die Erzeugung detaillierter Abrechnungen und helfen zu bestimmen, welche Benutzer unter einer Vielzahl von Benutzern für die Erzeugung von Benutzungskosten verantwortlich sind. Ein derartiger detaillierter Überprüfungspfad kann verwendet werden, um zu ermöglichen, daß Herausgeber und Benutzer die detaillierten Aktivitäten der Benutzer bestimmen. Diese Informationen können von den Benutzern verwendet werden, um zu bestimmten, für was sie belastet werden. Die Überprüfungspfadinformationen können auch von den Herausgebern und den Inhabern von Eigentumsrechten verwendet werden, um Marketingnachforschungen durchzuführen - was zu einer detaillierteren Information über die demografischen Daten von Benutzern und über die Informationsverwendung liefert, als gegenwärtig verfügbar ist.
Zusätzlich kann es wünschenswert sein, das Speichermedium 100 (oder spezielle Datenbanken oder Files, die auf dem Medium gespeichert sind) mit einzigartigen (beispielsweise zufallserzeugten) Benutzerpaßwörtern zu kodieren, indem eine geheime Paßwortinformation in die Datenbankinformationen eingebettet wird. Der nichtflüchtige Speicher 314 kann die Informationen speichern, welche mit dem Code zusammenpassen, welcher der speziellen Kopie des Speichermediums zugeordnet ist, der einem speziellen Benutzer lizensiert ist. Diese kodierte Information kann verschlüsselt sein und Kodierschemata und/oder die kodierten Informationen können periodisch geändert werden. Verschiedenen Benutzern können unterschiedliche Codes zugeordnet werden, um zu verhindern, daß die Benutzer die Speichermedien 100 austauschen oder teilen. Derartige, verschiedenen Benutzern entsprechende unterschiedliche Codes können auch verwendet werden, um die Datenbankbenutzung durch einzelne Benutzer aufzuspüren (und zu budgetieren, falls erwünscht), um die Budgetierung und Kostenverteilung zu unterstützen - oder sogar um zu ermöglichen, daß spezifischen Benutzern selektiv der Zugriff zu allen oder einigen gespeicherten Datenbanken verweigert wird.
Dieses zusätzliche Sicherheitsmerkmal behindert auch die Verwendung von unberechtigten Dekodiereinheiten (beispielsweise heimliche Einheiten, die hergestellt werden, um Block 300 zu ähneln). Derartige unberechtigte Einheiten würden nicht mit der korrekten kodierten Information ausgestattet sein, und auch wenn es der Fall wäre, würden sie lediglich für ein ähnlich kodiertes Speichermedium arbeiten (oder lediglich für eine oder wenige Datenbanken, die auf einem speziellen Speichermedium gespeichert sind). Die Kodierung des Speichermediums 100 mit den eingebetteten Benutzeridentifikationscodes würde auch die Identifikation unterstützen, wie irgendwelche unberechtigten Kopien der Datenbankinformationen zustande kamen, da die kodierten Informationen in den Datenbankinformationen selbst eingebettet sein würde und daher auch in jeder Kopie vorhanden wäre, die vom Original angefertigt wird. Benutzer, die auf diese Weise als an einer Copyright-Verletzung beteiligt aufgefunden werden, könnten zivil- und strafrechtliche Strafen wegen eines Verstoßes gegen das Urheberrecht erhalten sowie aufgrund eines Bruches ihrer vertraglichen Verpflichtungen.
Die Dekodiersteuereinheit 316 kann zu dieser Zeit auch beginnen, a) die zu ihr vom Hostcomputer 200 gesendeten Informationen zu entschlüsseln und b) die entschlüsselte Information zum Hostcomputer zurückzusenden (Block 418). Die Dekodiersteuerlogik 316 mißt die Menge und/oder andere Benutzungsparameter der entschlüsselten Daten und speichert diese Benutzerinformationen in den nichtflüchtigen Speicher 314 zusammen mit den anderen Abrechnungsinformationen (Block 420) (die Dekodiersteuerlogik kann Mengeninformationen direkt in den Speicher speichern oder diese zuerst in Abrechnungsinformationen umwandeln, wobei beispielsweise die Kosten für die Benutzung des Datenbankfiles berücksichtigt werden, auf das zugegriffen wurde). Dieser Vorgang dauert an, bis die Anfrage des Benutzers zufriedengestellt worden ist (wie vom Block 422 getestet)
Dem Benutzer kann eine jährliche Gebühr für eine unbegrenzte Benutzung einiger Datenbanken oder Datenbankeigentumsrechte, und nur die tatsächliche Benutzung anderer Datenbanken oder Datenbankeigentumsrechten berechnet werden. Auf diese Weise kann der Benutzer eine Pauschalgebühr für die Datenbanken oder für die speziellen Datenbankeigentumsrechte oder "Bücher" bezahlen, die er am häufigsten verwendet, und kann noch auf der Basis einer benutzungsabhängigen Zahlweise Zugriff auf andere Datenbanken haben, die er gelegentlich nutzen möchte, jedoch nicht ausreichend, um die Kosten für eine unbegrenzte Benutzung zu rechtfertigen. Dieses Abrechnungsverfahren bietet dem Benutzer Datenbankresourcen, die er sich anderweitig nicht leisten könnte, und fördert die Benutzung von Datenbanken, die nicht häufig benutzt werden, die nichtsdestotrotz manchmal extrem wertvoll sind.
Die spezifischen Schritte, die zum Entschlüsseln der Daten durchgeführt werden (Block 418), hängen von dem verwendeten speziellen Datenverschlüsselungs/Entschlüsselungsschema ab. Der Hostcomputer 200 überträgt in der bevorzugten Ausführungsform die verschlüsselten Daten in vorbestimmten Mengen (beispielsweise in Blöcken mit fester Länge) über die Verbindungseinrichtung 304 zur Interfacelogik 308. Die Interfacelogik 308 überträgt diese verschlüsselten Daten zur Dekodiersteuerlogik 316, welche sie zur Datenentschlüsselungs/Verschlüsselungslogik 310 überträgt. Die Logik 310 übersetzt die verschlüsselten Daten in intelligente Informationen unter Verwendung eines vorbestimmten üblichen Entschlüsselungsalgorithmus und überträgt die entschlüsselten Daten zurück zur Dekodiersteuerlogik 316. Die Dekodiersteuerlogik 316 überträgt dann die entschlüsselten Daten zum Hostcomputer 200 über die Interfacelogik 308 und die Verbindungseinrichtung 304.
Das im Hostcomputer residente Datenbankzugriffsprogramm steuert anschließend den Hostcomputer so, daß er die entschlüsselten Informationen anzeigt und/oder ausdruckt. Falls erwünscht, kann das im Hostcomputer 200 residente Programm verhindern, daß der Benutzer irgendetwas anderes macht als die entschlüsselten Daten anzuzeigen (und/oder auszudrucken). Alternativ kann dieses Programm erlauben, daß der Benutzer den entschlüsselten Text manipuliert (beispielsweise die Daten in einem Disc-File oder im Speicher des Hostcomputers speichert), um zu erlauben, daß der Benutzer eine Schnellansicht der Volltextdaten nach seinem Gutdünken durchführt und/oder diese Daten zur Textverarbeitung, Telekommunikation oder ähnlichem verwendet.
Die Dekodiersteuerlogik 316 mißt die Datenbankbenutzung (Block 420) beispielsweise durch Messen der Informationsmenge, welche entschlüsselt wird (beispielsweise durch Zählen der Anzahl von Blöcken mit fester Länge, die entschlüsselt werden; Bestimmen der Quellendokumente, denen die entschlüsselten Informationen zugeordnet sind; und Messen der Zeit, des Datums und/oder der Dauer des Zugriffs auf die entschlüsselten Informationen). Die Steuerlogik 316 kann auch andere Abrechnungsinformationen aufzeichnen, wie beispielsweise die Länge des geöffneten Datenbankfiles. Die Steuerlogik 316 kann derart angeordnet sein, daß sie die Namen oder andere Bezeichnungen von Unterabschnitten der Datenbank erkennt, auf die zugegriffen wird, wobei unterschiedliche Gebührensätze in Abhängigkeit der Art oder dem Zulieferer der Informationen erlaubt werden (so daß die Benutzung von teureren Datenbanken zu höheren Sätzen abgerechnet werden kann).
Es kann wünschenswert sein, dem Benutzer für das einfache Durchsuchen der Datenbank nichts zu berechnen (oder wenigstens nicht den vollen Satz zu berechnen), sondern nur oder zu einem höheren Satz für Daten eine Rechnung zu stellen, die entschlüsselt und angezeigt, gedruckt ober übertragen werden. Aus diesem Grund ist der Datenbankindex selbst in einer Ausführungsform nicht verschlüsselt, so daß der Benutzer eine Schnelldurchsicht durch den Index "umsonst" (oder zu einem niedrigeren Preis) machen kann. Wie vorher erwähnt, kann es jedoch in einigen Fällen wünschenswert sein, eine zusätzliche Sicherheit durch Verschlüsseln des Index sowie der Datenbank vorzusehen. Falls der Dekodier/Abrechnungsblock 300 den Index entschlüsselt, kann er die Indexbenutzung messen und diese Benutzungsinformationen in den nichtflüchtigen Speicher 314 abspeichern - wodurch ermöglicht wird, daß dem Benutzer für die Schnellansicht des Index vergleichsweise niedrige Sätze berechnet werden. Bei einigen Anwendungen kann ein spezielles "Schnellansichtsterminal" (das kurz erläutert wird) verwendet werden, um eine sichere Umgebung zu schaffen, in welcher die Schnellansicht vorgenommen und mit einem Satz abgerechnet werden kann, der von demjenigen für die Datenbankinformationsbenutzung (beispielsweise drucken, telekommunizieren, kopieren etc.) unterschiedlich sein kann.
Nachdem die Zugriffsanfrage des Benutzers erfüllt worden ist (wie durch den Block 422 überprüft), speichert die Dekodiersteuerlogik die Zeit, zu der der Benutzer den Zugriff auf die Datenbank beendet (Block 424) in den nichtflüchtigen Speicher 314. Das residente Programm erlaubt anschließend, daß der Benutzer andere Zugriffsanforderungen eingibt (unter Benutzung der gleichen oder einer unterschiedlichen Datenbank) (Block 426). Gibt der Benutzer eine weitere Zugriffsanforderung ein, werden die Schritte der Blöcke 404 - 426 wieder ausgeführt, wobei die Blöcke 416, 420 und 424 veranlassen, daß eine zusätzliche Abrechnungs-Protokoll-Eintragung im Speicher 314 gespeichert wird)
Die im Speicher 314 gespeicherten Informationen werden periodisch zur Servicegesellschaft übertragen und verwendet, um mit dem Benutzer für die Datenbankbenutzung abzurechnen. In einer beispielshaften Ausführungsform ist der Speicher 314 in einem Speichermodul 314a aufgenommen, das auf einfache Weise vom System 10 getrennt werden kann. Der Benutzer löst periodisch das Speichermodul 314 aus dem Dekodier/Abrechnungsblock 300, schickt das Modul zur Servicegesellschaft und installiert ein alternatives Ersatzmodul (das "nächste" Modul) im System 10. Die Dekodiersteuerlogik 316 verhindert eine Datenentschlüsselung, wenn das Modul 314a nicht mit ihr verbunden ist (und wahrscheinlich auch, wenn die Steuerlogik bestimmt hat, daß der nichtflüchtige Speicherbereich nahezu voll ist)
Wie vorstehend erwähnt, ist das Speichermodul 314 in der bevorzugten Ausführungsform ein nichtflüchtiges Speichermodul, das elektrisch mit dem System 10 verbindbar ist. Bei einigen Anwendungen kann es jedoch wünschenswert sein, eine übliche magnetische "Streifen"-Karte und einen zugeordneten Leser (oder eine äquivalente Technologie) für das Speichermodul 314 (oder für die Ergänzung des Speichermoduls) zu verwenden. Beispielsweise kann vom Datenbankanbieter an den Benutzer eine magnetische Streifenkarte ausgegeben werden, die magnetisch mit Kredit- oder anderen Informationen vorkodiert ist (beispielsweise mit einem Dollarbetrag und einer Benutzeridentifikation). Das System kann fordern, daß der Benutzer als Voraussetzung für den Zugriff auf die auf dem Medium 100 gespeicherten Datenbanken eine magnetische Streifenkarte in den Leser einführt. Der Benutzer kann für den Zugriff auf die Datenbanken "belastet" werden, indem der auf dieser persönlichen magnetischen Streifenkarte gespeicherte Dollarbetrag vermindert wird - und er kann an einem weiteren Zugriff gehindert werden, wenn der Dollarbetrag auf null abgenommen hat.
Der Zugriff auf das System 10 kann in Abhängigkeit des Einführens einer Magnetkarte erfolgen, welche eine Benutzeridentifikation speichert, die einem geheimen Paßwort entspricht, das zur Zeit des Zugriffs eingegeben wird - was unberechtigten Benutzern den Zugriff auf das System 10 erschwert. Die Magnetkarte könnte auch Indizes der spezifischen Datenbanken speichern, auf welche der Karteninhaber zugreifen kann, und das System 10 kann den Zugriff des Benutzers auf lediglich diejenigen Datenbanken und/oder Eigentums rechte beschränken, welche den auf der Benutzerkarte gespeicherten Informationen entsprechen, und kann spezifische Budgets enthalten, welche das Benutzungsausmaß für jede dieser Datenbanken und/oder Benutzungsrechte bestimmen, für die der Benutzer eine Berechtigung hat.
In anderen Ausführungsformen wird die Kommunikation zwischen dem Dekodier/Abrechnungsblock 300 und der Servicegesellschaft periodisch eingerichtet, um die Inhalte des Speichers 314 auf den Abrechnungscomputer der Servicegesellschaft zu laden. Weisen die Verbindungseinrichtung 306 und die Programminterfacelogik 312 eine übliche Standard- Telefonverbindungseinrichtung und ein zugeordnetes Modem auf, können derartige Übertragungen über Standard-Telefonleitungen eingerichtet werden. Die im Speicher 314 gespeicherten Informationen werden über die Telefonleitung zum Computer der Servicegesellschaft übertragen und der Computer der Servicegesellschaft überträgt anschließend Befehle, welche die Dekodiersteuerlogik 316 derart steuern, daß sie den Speicher zurücksetzt. Zusätzlich kann die Servicegesellschaft Kommunikationen mit dem Dekodier/Abrechnungsblock 300 einrichten, um die Benutzung der auf dem Medium 100 gespeicherten Datenbanken zu überwachen (und einen Mißbrauch und unberechtigten Gebrauch aufzudecken). Die Servicegesellschaft kann auch den Dekodier/Abrechnungsblock 300 fernsteuern (beispielsweise um dessen Betrieb zu verhindern, wenn der Kunde seine Rechnung nicht bezahlt, oder um ferngesteuert Budgetparameter, Paßwörter, Entschlüsselungsschlüssel und andere im Speicher 314 gespeicherte Parameter zu verändern)
Das System 10 kann einen Freigabe/Sperrmechanismus umfassen, der verhindert, daß ein Benutzer auf die gespeicherten Datenbankinformationen zugreift, wenn er seine Rechnung nicht bezahlt. Beispielsweise kann in der oben erläuterten Ausführungsform, welche ein separierbares Speichermodul 314a aufweist, sich die Servicegesellschaft weigern, dem Benutzer ein Ersatzmodul zu schicken, bis alle ausstehenden Konten bezahlt sind. Bezahlt der Kunde seine Rechnungen nicht, füllt er eventuell das Speichermodul auf, das er installiert hat, wodurch veranlaßt wird, daß die Dekodiersteuerlogik 316 die Datenentschlüsselung sperrt (oder die Module 314a können alternativ elektronisch datenkodiert werden und die Dekodiersteuerlogik kann sich weigern, daß eine Entschlüsselung durchgeführt wird, wenn bestimmt wird, daß der Moduldatencode vor dem gegenwärtigen Datum liegt, das von der Echtzeituhr/Kalender 318 erzeugt wird).
Der Betrieb der Dekodiersteuerlogik 316 kann gesperrt werden, wenn die Echtzeituhr zu arbeiten aufhört (beispielsweise kann die Uhr von einer Batterie versorgt und die Batterie beispielsweise nach einem Jahr unbrauchbar werden, wenn keine vorsorgliche Wartung durchgeführt wird). Ist die Echtzeituhr instandgesetzt, kann eine Kommunikationsverbindung zwischen dem Dekodier/Abrechnungsblock 300 und der Zentralstelle eingerichtet werden. Die Zentralstelle kann anschließend die Inhalte des nichtflüchtigen Speichers 314 lesen. Sind keine verdächtigen oder unberechtigten Aktivitäten aufgetreten, kann die Zentralstelle die Echtzeituhr 318 zurücksetzen oder eine lokal eingesetzte Echtzeituhr überprüfen, um zuzulassen, daß die normalen Datenbankentschlüsselungsoperationen wieder aufgenommen werden.
Eine andere Anordnung kann die Dekodiersteuerlogik 316 so steuern, daß berechtigte Paßwörter periodisch und automatisch geändert werden - und die Servicegesellschaft kann sich weigern, dem Kunden die neuen Paßwörter mitzuteilen, bis der Kunde seine Rechnung bezahlt hat.
Alternativ oder zusätzlich zu den oben erläuterten Anordnungen kann das System 10 mit einem automatischen "Selbstzerstörungs"-Mechanismus versehen sein, der automatisch einen kritischen Teil des Systems (beispielsweise die auf dem Medium 100 gespeicherten Informationen oder das im nicht flüchtigen Speicher 314 gespeicherte Paßwortverzeichnis) zu einem voreingestellten Echtzeit-Ablauftermin (der von der Echtzeituhr/Kalender 318 erfaßt wird) "zerstört", wenn der Kunde kein "Gegenmittel" vor dem Ablauftermin implementiert (beispielsweise eine Reihe von geheimen Codewörtern eingibt). Die Servicegesellschaft kann Gegenmittelinstruktionen nur denjenigen Kunden zukommen lassen, die ihre Rechnungen bezahlt haben. Dieser automatische "Selbstzerstörungs"-Mechanismus kann auch jedesmal aktiviert werden, wenn der Kunde eine vorbestimmte maximale und/oder minimale Benutzungsgrenze überschreitet (um zu verhindern, daß ein Kunde eine riesige Rechnung auflaufen läßt, daß er versucht, wesentliche Teile der unverschlüsselten Datenbank zu entschlüsseln und zu speichern, oder daß er die Benutzung der Datenbank in dem unwahrscheinlichen Fall fortsetzt, daß er erfolgreich die Aufzeichnung der Benutzungsinformationen verhindert hat). Ist ein zusätzlicher Schutz gegen Datenbankpiraterie erwünscht, kann der automatische "Selbstzerstörungs"-Mechanismus auch jedesmal aktiviert werden, wenn der Benutzer versucht, in einer Sitzung oder während einer Mehrzahl unterschiedlicher Sitzungen oder innerhalb eines vorgegebenen Zeitrahmens auf mehr als einen gewissen Prozentsatz der gegebenen Datenbank und/oder auf mehr als eine gewisse Anzahl zusammenhängender Blöcke derselben Datenbank (oder logisch verwandte Aufzeichnungen oder andere Unterabteilungen von dieser) zuzugreifen. Eine permanente Aufzeichnung der Blöcke (Aufzeichnungen oder anderen Unterabteilungen), auf die zugegriffen worden ist, kann in dem nichtflüchtigen Speicher 314 zurückgehalten werden, so daß verhindert werden kann, daß der Benutzer eine übermäßige Menge an ausgewählten Datenbankschutzrechten oder -segmenten während einer Zeitdauer kopiert, die vom Datenbankinhaber bestimmt wird.
Es kann auch wünschenswert sein, dem Benutzer zu ermöglichen, daß er im nicht flüchtigen Speicher 314 gespeicherte Parameter programmiert, welche die Verwendung der auf dem Medium 100 gespeicherten Datenbankinformationen durch den Benutzer begrenzen. Die in den Fig. 4(A) - 4(B) gezeigte Routine kann das Benutzerinterface mit dem Dekodier/Abrechnungsblock 300 versehen, die zuläßt, daß ein Benutzer optional in einem benutzerzugänglichen File innerhalb des Speichers 314 Informationen speichert, welche Höchstgrenzen der Datenbankbenutzung oder Benutzungskosten über eine Zeitdauer repräsentieren (beispielsweise eine maximale monatliche Dauer oder Kosten für die Datenbankbenutzung, Begrenzungen hinsichtlich der Art der Informationen, die entschlüsselt werden können, etc). Der Dekodier/Abrechnungsblock 300 hält eine laufende Summe des (der) Parameter(s), den(die) der Benutzer spezifiziert hat, und beendet das Entschlüsseln der Datenbankinformationen, wenn die Stimme den vom Benutzer spezifizierten Parameterwert übersteigt. Dieses Merkmal erlaubt es, daß der Benutzer seine Datenbankbenutzung vorausplant und ist insbesondere im geschäftlichen Bereich wertvoll - da es ermöglicht, daß eine Organisation die Kosten des Datenbankzugriffs durch Angestellte direkt auf ein Maß begrenzt, das von der Organisation ausgewählt wurde.
Obwohl die in Fig. 1 gezeigte Ausführungsform besonders für die Installation auf der Seite des Kunden geeignet ist, könnten einige Anwendungen es erfordern, daß der Dekodier/Abrechnungsblock 300 und das Speichermedium 100 fern vom Kunden betrieben werden, wobei die Informationen über eine Kommunikationsverbindung (beispielsweise eine Standard-Telefonleitung) zum Kunden übertragen werden. Bei dieser Betriebsart einer "direkten Verbindungsentschlüsselung" wird die Datenentschlüsselung in einer Zentralstelle der Servicegesellschaft durchgeführt. Da lediglich ein kleiner Teil der Datenbank zu einem Zeitpunkt entschlüsselt wird, bietet eine Telefonleitung eine ausreichende Bandbreite, um die entschlüsselten Daten mit Geschwindigkeiten zu übertragen, die zum Display durch den Computer des Kunden geeignet sind.
Bei Verwendung der "Direktverbindungs"-Betriebsart besteht kein Erfordernis für einen periodischen Austausch von Servicespeichermodulen oder für vorgeplante periodische Kommunikationen mit dem lokalen Hostcomputer. Abrechnungsdaten könnten in Echtzeit entstehen und die Servicegesellschaft könnte die Dienstleistungen für einen Kunden zu jeder Zeit unterbrechen oder ändern. Die Datenbankaktualisierung wird ebenfalls vereinfacht, und die aktuellen Informationen oder sich ändernden Daten sind immer zur Hand (da sie automatisch in einer Datenbankabfrage des Benutzers eingeschlossen sein können). Darüberhinaus kann der Benutzer praktisch jede Art von Computer verwenden, um auf die Zentralstelle der Servicegesellschaft zuzugreifen. Ferner fallen die Verbindungszeitgebühren für die KommunikationsnetzWerke hinsichtlich des Preises stetig, was diese "Direktverbindungs"-Betriebsart für einige Anwendungen attraktiv macht.
Die Hauptnachteile dieser "Direktverbindung"-Lösung sind die folgenden: Die Datenbankzugriffsgeschwindigkeit ist wesentlich niedriger als bei der vorstehend erläuterten, lokal installierten Ausführungsform (wegen der Aufteilung der Zentralstelle und wegen der relativ niedrigen Datenübertragungsgeschwindigkeit von Standard-Telefonleitungen), die Kommunikationskosten sind wesentlich höher und die Servicegesellschaft muß eine teure Computervorrichtung für viele Benutzer kaufen und betreiben.
Die Merkmale der "Direktverbindung" und der lokal gespeicherten Datenbank könnten bei einigen Anwendungen zusammen benutzt werden. Beispielsweise kann der Großteil einer Datenbank auf einem lokalen Speichermedium 100 gespeichert und es könnte hierauf lokal zugegriffen werden. Datenbankinformationen zur Aktualisierung der Files können an einer entfernten zentralen Stelle gespeichert und aktualisiert und über eine Telekommunikationsverbindung abgerufen werden, um die allerneuesten Informationen zusätzlich zu den "älteren" Informationen zu liefern, die vom Ort der Benutzeranlage geliefert werden.
Es gibt daher sowohl Vorteile als auch Nachteile bei der "Direktverbindungs"-Betriebsart. Diese Betriebsart kann als eine Option Benutzern angeboten werden, welche minütlich aktualisierte Datenbanken benötigen.
Sind die Daten im Speicher des Hostcomputers 200 entschlüsselt und gespeichert (beispielsweise mehr für eine Recherche oder Manipulation als einfach für das Display), sind sie für ein Abfangen durch ein "Piraten"-Abfangprogramm empfänglich. Das System 10 rechnet für die Daten ab, welche entschlüsselt werden (so daß der Benutzer eine hohe Rechnung verursachen würde, wenn er versuchen würde, einen großen Teil einer Datenbank zu kopieren). Nichtsdestoweniger kann es bei einigen Anwendungen wünschenswert sein, die Art und Weise zu beschränken, in welcher ein Kunde entschlüsselte Daten benutzen kann, während zur gleichen Zeit eine Handhabung (beispielsweise eine Schnellübersicht) der entschlüsselten Daten nicht beschränkt wird.
Eine Schlüsselwortabfrage erfordert beispielsweise kein Datenbild der Datenbank (vielmehr wird diese am wirkungsvollsten durch Verwenden der Indexinformationen 102 durchgeführt). Andere Abfrageverfahren (beispielsweise ein am Ende durchgeführtes "Einzoomen" auf die recherchierten Informationen) können jedoch eine Handhabung einer Datenabbildung erfordern. Es kann wünschenswert sein, auf absolute Weise zu verhindern, daß der Benutzer die entschlüsselten Datenabbildungsinformationen kopiert. Der Benutzer sollte jedoch Datenbilder auf andere Weise handhaben können (beispielsweise indem er die Volltextdaten schnell durchsieht). Es könnte unmöglich sein, derartige Beschränkungen Daten aufzuerlegen, die im eigenen Hostcomputer 200 des Benutzers gespeichert sind (oder der Benutzer könnte einfach derartige, einmal auferlegte Beschränkungen durch geschicktes Programmieren zunichte machen).
Fig. 5 ist ein Blockdiagramm einer alternativen Ausführungsform eines Meß- und Schutzsystems 500 für die Datenbankbenutzung gemäß der Erfindung. Die Ausführungsform in Fig. 5 weist eine spezielle unabhängige Hardwareeinheit ("Schnellansicht-Arbeitsstation") 501 auf, die entweder "alleinstehend" arbeitet oder so gestaltet sein kann, daß sie mit zusätzlichen Datenverarbeitungskomponenten in Verbindung steht.
Die Schnellansichts-Workstation 501 weist in der bevorzugten Ausführungsform einen eigenen Einkartencomputer 502 auf, der mit einer speziellen eigenen Anzeigestation 504 verbunden ist und eine sichere Schnellansicht erlaubt. Der Computer 502 weist eine Busverbindungseinrichtung 506, ein Hostinterface 508, eine CPU 510, einen flüchtigen geschützten Speicher 512, einen nichtflüchtigen Speicher 513 und einen Displaytreiber 514 auf. Der Computer 502 ist in einem manipulationssicheren Gehäuse 516 eingeschlossen, um den Zugriff zu seinen inneren Komponenten außer durch autorisiertes Servicepersonal vollständig zu verhindern.
Der Computer 502 führt die vorstehend erläuterten Entschlüsselungs- und Abrechnungsfunktionen durch und speichert anschließend die entschlüsselten Daten in seinen eigenen Speicher 512. Diese Anordnung ermöglicht es, daß der Benutzer die Informationen (an der speziellen Displaystation 504) ansieht ("überblicksmäßig betrachtet"), bevor die gewünschten Informationen zu seinem Hostcomputer (über das Interface 508 und die Verbindungseinrichtung 506) zum Drucken oder anderweitiger Verwendung gesendet werden. Das entschlüsselte Datenbankdatenbild wird somit zuerst vom Computer 502 abgespeichert und bearbeitet. Der Benutzer kann mit einer Gebühr für das überblicksmäßige Durchsehen oder für eine anderweitigen Handhabung der Daten im Computer 502 belastet werden und kann mit einer höheren Gebühr für die Übertragung der Daten zu seinem Hostcomputer belastet werden (von dem aus die Daten gedruckt, gespeichert, ausgegeben oder über Telekommunikation zu anderen Computern und Benutzern übertragen werden kann).
Der Benutzer kann die Daten auswerten, während sie im Computerspeicher 512 vorhanden sind (über die Displaystation 504), um zu entscheiden, ob er die Informationen auf seinen eigenen Hostcomputer tatsächlich übertragen haben möchte oder nicht. Auf diese Weise können sehr unterschiedliche Berechnungsgebühren vorgesehen werden für a) überblickmäßiges Ansehen großer Mengen an Volltextinformationen und b) tatsächliche Benutzung der Informationen im Hostcomputer (beispielsweise für die Textverarbeitung, Telekommunikation, Drucken, etc).
Die Schnellansichts-Workstation 501 kann einen Teil der Hardware und/oder Software eines Hostcomputers gemeinsam nutzen, um die Hardwarekosten zu verringern - solange die Informationssicherheit nicht bedeutend beeinträchtigt wird. Beispielsweise könnte eine der Workstations, die normalerweise mit dem Hostcomputer verbunden ist, und sein zugeordnetes Steuergerät anstelle einer speziellen Displaystation 504 und Displaysteuergerät 514 verwendet werden, falls nur eine geringe oder keine Möglichkeit besteht, daß der Benutzer einen bedeutenden Teil einer Datenbank durch Lesen der Informationen kopieren könnte, die vom Displaysteuerteil des Hostcomputers erzeugt werden, während ein überblickmäßiges Ansehen abläuft.
Bei einer weiteren Ausführungsform könnte eine hochentwickelte Software (die gegenüber einer Manipulation oder einem anderem Mißbrauch unempfindlich ist) temporär in den Hostcomputer geladen werden (beispielsweise vom Speichermedium 100) und so ausgeführt werden, daß sie die Funktionen von einigen oder allen Hardware-"Blöcken" bietet, die in den Fig. 3 oder 5 gezeigt sind. Eine derartige Software könnte das Sicherheitssystem benutzen, das vom Hostcomputer vorgesehen wird (und/oder hochentwickelte Verfahren, die schwer zu entdecken und "aufzubrechen" sind), um eine geschützte Umgebung innerhalb des Hostcomputers selbst zur Entschlüsselung der Datenbankinformationen und zum nichtflüchtigen Speichern der Datenbankbenutzungsinformationen zu schaffen, die für verschiedene Anwendungen adäquat sicher sein könnten. Beispielsweise könnte ein üblicher Minicomputer mit einer einzigen Hardwarekarte versehen werden, die Informationen wie beispielsweise Verschlüsselungsschlüssel und Benutzerzugangcodes speichern könnte (wobei diese Karte wahrscheinlich einige Signalverarbeitungsfähigkeiten haben würde) und auf die Karte könnte mit einer speziellen Software zugegriffen werden, um die Datenbankentschlüsselungs- und zugriffsfunktionen durchzuführen.
Um die Systemsicherheit weiter zu erhöhen, kann die Arbeitsstation 501 automatisch die vom Speichermedium 100 gelesene Informationsmenge mit der über den Hostcomputer benutzten Informationsmenge vergleichen. Es kann ,eine statistische Analyse verwendet werden, um festzustellen, ob ein angemessenes Verhältnis zwischen der Menge an "überblickmäßig angesehenen" Informationen und der über den Host benutzen Informationsmenge besteht.
Eine derartige statistische Analyse kann beispielsweise auf der Benutzungsgeschichte und den Gewohnheiten des spezifischen Benutzers, auf statistischen mittleren Benutzungsparametern, die für eine Anzahl von Benutzern berechnet werden, oder auf beidem basieren. Bestimmt die Workstation 501, daß der Benutzer viel mehr Informationen "überblickmäßig ansieht" als "normal" relativ zur Informationsmenge, die er tatsächlich benutzt, kann die Workstation eine Korrektivmaßnahme durchführen (beispielsweise eine Nachricht zum Datenbankanbieter über Telekommunikationsleitungen senden, wodurch er informiert wird, daß ein möglicher Mißbrauch - oder wenigstens sehr uneffektive Rechercheverfahren - aufgetreten ist oder sogar ein weiterer Datenbankzugriff verhindert wird, bis der Benutzer den Datenbankanbieter kontaktiert). Diese Art der statistischen Analyse ist besonders nützlich, um beispielsweise eine zusätzliche Sicherheit denjenigen Einrichtungen hinzuzufügen, in denen der Datenbankzugriff über eine Software durchgeführt wird, die unter einem Betriebssystem für einen Allgemeinzweckcomputer ausgeführt wird. Eine derartige Datenbankzugriffssoftware macht typischerweise von Betriebssystemparametern Gebrauch, die möglicherweise einer Manipulation durch den Benutzer ausgesetzt sind, was das Gesamtsystem verwundbarer macht. Die statistische Analyse und der Vergleich der gemessenen Datenbankbenutzung und der vom Speichermedium 100 gelesenen Informationsmenge kann Diskrepanzen bei Benutzungsmeßparametern erfassen, die durch Manipulation dieser Parameter durch einen unberechtigten Benutzer verursacht worden sein könnten.
Obwohl es unerwünscht sein könnte zuzulassen, daß die Daten-Entschlüsselungsschlüsselinformation im Hostcomputer dauerhaft vorhanden ist, können die Entschlüsselungsschlüsselinformationen temporär von einer geschützten Speichereinrichtung zum Hostcomputer geliefert werden. Der Hostcomputer kann anschließend die Datenbankinformationen unter Verwendung der Entschlüsselungsschlüsselinformationen entschlüsseln und die Schlüsselinformationen nach der Verwendung zerstören. Der Hostcomputer kann die Datenbankinformationen "on the Fly" entschlüsseln und nur wenig verschlüsselte oder entschlüsselte Informationen im Speicher zu einem Zeitpunkt zurückbehalten, um die Kopierverhinderung zu unterstützen.
Eine weitere Vorsichtsmaßnahme, die für eine weitere zusätzliche Sicherheit durchgeführt werden kann, besteht darin, die Verschlüsselungs/Entschlüsselungsschlüssel (und/oder den Verschlüsselungs/Entschlüsselungsalgorithmus) periodisch in Reaktion auf ein Ereignis (beispielsweise Echtzeit, Anzahl der Kontakte mit dem Host oder beides) zu ändern, das unabhängig sowohl vom Hostcomputer als auch von der Workstation 501, jedoch nicht ohne weiteres von einem Außenstehenden feststellbar ist. Diese Ereignisse können dem Benutzer bekannt sein (beispielsweise wenn eine vorbestimmte Echtzeitdauer abläuft oder der Echtzeitzähler eine vorbestimmte Zeit und ein vorbestimmtes Datum erreicht) oder ein dem Benutzer unbekanntes Ereignis (beispielsweise eine vorprogrammierte, jedoch geheime Beziehung zu einem "output" der Echtzeituhr oder ein pseudo-zufälliges Austauschen von "handshakes" zwischen der Workstation und dem Benutzer, die für den Benutzer transparent sind). Da das Ändern des(der) Schlüssel(s) und/oder der Algorithmen, die für die Verschlüsselung und Entschlüsselung verwendet werden, pseudo-zufällig (oder zufällig) vom Standpunkt eines außenstehenden Benutzers aus auftritt, wird ein unberechtigtes Entschlüsseln der Datenbankinformationen des Hostcomputers wesentlich schwieriger. Bei Verwendung dieses Merkmals für das Ändern des Verschlüsselungsschlüssels und/oder Algorithmus ist von der Zeit an, zu der ein unberechtigter Benutzer einen speziellen Schlüssel oder Algorithmus entdecken kann, dieser Schlüssel oder Algorithmus nicht länger in Gebrauch, und ein vollkommen unterschiedlicher Schlüssel und/oder ein modifizierter oder gänzlich unterschiedlicher Algorithmus ist erforderlich, um die Datenbankinformationen erfolgreich zu entschlüsseln. Zusätzlich wird eine Person, welche das Abbrechen eines Entschlüsselungscodes und/oder -schlüssels organisiert, keinen Markt für das Ergebnis seiner Bemühungen finden, da andere Systeme gänzlich unterschiedliche Verschlüsselungsschlüssel und/oder Algorithmen verwenden können.
Obwohl ein spezielles Hardware-/Softwaresystem typischerweise die beste Sicherheit gegen Manipulation bietet, können Techniken, die in der Software implementiert sein können, welche auf einem nichtspezifischen System ausgeführt werden, einen ausreichenden Manipulationswiderstand für einige Anwendungen bieten. Beispielsweise können sichere Programmsteuerungs- und Benutzungsinformationen auf einer Floppy-Disk gespeichert werden, auf die über das Disklauf- Werk eines für allgemeine Zwecke geeigneten, nicht spezifischen Personalcomputers zugegriffen werden kann. Ein nichtflüchtiger Speicher und eine Logikvorrichtung, die mit dem Personalcomputer verbunden sind, können (in Verbindung mit der Sicherheitsprogrammsteuersoftware, welche auf dem Computer ausgeführt wird, und/oder einem Hardwarekontroller, der mit dem Computer verbunden ist) die Position des Lese/Schreibkopfes auf dem DisklaufWerk steuern und überwachen, die laufende Kopfposition im nichtflüchtigen Speicher speichern und die Ausführung der Sicherheitsprogrammsteuersoftware überwachen. Die Datenbankbenutzungsinformationen können von der Programmsteuersoftware gesammelt und auf der Floppy-Disk gespeichert werden. Irgendwelche Versuche, die Floppy-Disk zu manipulieren, welche die letzte Position des Lese/Schreibkopfes verändern, können verursachen, daß eine Warnmitteilung auf der Floppy-Disk in einem Datenbankprüfpfadabschnitt der Scheibe gespeichert wird (möglicherweise zusammen mit angehäuften Nachrichten, welche frühere derartige Vorkommnisse angeben) und können auch zu einer Zerstörung und/oder Sperrung der Sicherheitsprogrammsteuersoftware führen.
Während die Erfindung im Zusammenhang mit den gegenwärtig als praktischste angesehene und bevorzugten Ausführungsformen beschrieben worden ist, ist zu beachten, daß die Ansprüche nicht auf die offenbarten Ausführungsformen beschränkt sind, sondern im Gegenteil Modifikationen, Veränderungen und/oder gleichwärtige Anordnungen abdecken sollen, welche irgendwelche der neuartigen Merkmale und Vorteile dieser Erfindung aufweisen.

Claims

1. Verfahren zum Verteilen einer geschützten Datenbank zur Verwendung durch einen Benutzer, wobei das Verfahren die folgenden Schritte aufweist:

- Liefern einer Datenbank zum Benutzer, wobei die Datenbank wenigstens teilweise verschlüsselt ist;

- Auswählen wenigstens eines Teils der Datenbank;

- Entschlüsseln wenigstens eines Teils des (der) ausgewählten Datenbankabschnittes (-abschnitte) durch die Verwendung einer Datenbankschutzanordnung (300);

- Messen wenigstens eines Parameters, der auf die Benutzung und/oder Verarbeitung wenigstens eines Teils der Datenbank bezogen ist, um eine Meßinformation zu erzeugen, mittels Verwendung der Datenbankschutzanordnung (300);

dadurch gekennzeichnet, daß

(a) der Lieferschritt die Datenbank zum Ort des Benutzers zum Gebrauch an diesem Ort auf einem Speichermedium (100) liefert, wobei wenigstens ein Teil der Datenbank durch die Datenbankschutzanordnung (300) geschützt ist; und durch die folgenden Schritte:

(b) sicheres Speichern wenigstens eines Teils der Meßinformation in einem nicht flüchtigen Speicher am Ort des Benutzers unter Verwendung der Datenbankschutzanordnung (300);

(c) sicheres Speichern am Ort des Benutzers und durch die Verwendung der Datenbankschutzanordnung (300) einer Budgetinformation, die sich darauf bezieht dem Benutzer die Benutzung und/oder Verarbeitung wenigstens eines Teils der Datenbank zu ermöglichen und/oder den Benutzer am Benutzen und/oder Verarbeiten wenigstens eines Teils der Datenbank zu hindern;

(d) Ermöglichen, daß der Benutzer wenigstens auf einen Teil der gespeicherten Benutzungsbudgetinformation Zugriff hat;

(e) Testen am Ort des Benutzers und durch die Verwendung der Datenbankschutzanordnung (300) wenigstens eines Teils der gespeicherten Meßinformation zum Bestimmen, ob die Benutzung und/oder die Verarbeitung wenigstens eines Teils der Datenbank zu wenigstens einer Budgetgrenze führt, die durch die gespeicherte Budgetinformation angegeben wird, welche überschritten wird;

(f) wahlweises Nichtermöglichen oder wahlweises Verhindern am Ort des Benutzers durch die Verwendung der Datenbankschutzanordnung (300) die Benutzung und/oder die Verarbeitung wenigstens eines Teils der Datenbank in Reaktion auf den Testschritt (e), wobei bestimmt wird, daß die Benutzung und/oder Verarbeitung zu der wenigstens einen Budgetgrenze führt, die überschritten wird.

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die wenigstens eine Budgetgrenze einen Prozentsatz der Datenbank spezifiziert und der Testschritt (e) bestimmt, ob die Benutzung und/oder Verarbeitung des wenigstens eines Teils der Datenbank zur spezifizierten Benutzung und/oder Verarbeitung wenigstens einer Prozentgrenze führt, die überschritten wird, und wobei der wahlweise Ermöglichungs- oder Verhinderungsschritt (f) den Gebrauch und/oder die Verarbeitung wenigstens eines Teils der Datenbank in Reaktion auf den Testschritt (e) nicht ermöglicht oder verhindert.

3. Verfahren nach Anspruch 1 oder 2, wobei das Verfahren das Liefern der Datenbankschutzanordnung (300) zum Benutzer innerhalb wenigstens einer integrierten Schaltung enthält, wobei die Datenbankschutzanordnung (300) eine Spezialzweck-, programmierbare, verfälschungssichere integrierte Schaltungsanordnung enthält, wobei die integrierte Schaltungsanordnung wenigstens teilweise gegen eine unberechtigte Benutzung und/oder Verarbeitung wenigstens eines Teils der Datenbank Sicherheit bietet; und wobei das Verfahren ferner die Schritte enthält:

(a) Speichern wenigstens eine der Paßwortinformation und Benutzeridentifikationsinformation in einer nicht flüchtigen Speicheranordnung innerhalb der integrierten Schaltungsanordnung;

(b) Durchführen wenigstens eines Teils des Messens innerhalb der integrierten Schaltungsanordnung;

(c) Speichern wenigstens eines Teils der Meßinformation in der nicht flüchtigen Speicheranordnung innerhalb der integrierten Schaltungsanordnung; und

(d) Durchführen wenigstens eines Teils des Entschlüsselungsschritts innerhalb der integrierten Schaltungsanordnung.

4. Verfahren nach Anspruch 3, wobei das Verfahren ferner das Speichern einer Abrechnungsinformation innerhalb der integrierten Schaltungsanordnung enthält, wobei wenigstens ein Teil der Abrechnungsinformation auf der Basis wenigstens eines Teils der erzeugten Meßinformation und wenigstens eines vorbestimmten Abrechnungspreises berechnet wird.

5. Verfahren nach einem der Ansprüche 3 und 4, wobei die integrierte Schaltungsanordnung eine Modemschaltung enthält und das Verfahren ferner das Übertragen von Information zu einem entfernten Ort wenigstens teilweise durch die Verwendung der Modemschaltung enthält.

6. Verfahren nach einem der Ansprüche 1 bis 5, wobei der selektive Nichtermöglichungs- oder selektive Verhinderungsschritt (f) in Reaktion auf den Testschritt (e) die Benutzung der Datenbank für einen ersten Teil der Datenbank mit einem Einheitspreis erlaubt, und für einen zweiten Teil der Datenbank, der vom ersten Teil der Datenbank verschieden ist, die Benutzung und/oder Verarbeitung auf der Basis einer Rechnungsstellung erlaubt, wobei die Kosten der Benutzung des zweiten Teils am Ort des Benutzers unter Verwendung wenigstens eines Teils der Meßinformation berechnet werden.

7. Verfahren nach einem der Ansprüche 1 bis 6, wobei der Schritt des sicheren Speicherns (e) das Speichern wenigstens eines Teils der Meßinformation in einem lösbaren Speichermodul enthält, das wirkungsmäßig mit der Datenbankschutzanordnung (300) verbunden und von dieser lösbar ist; und wobei das Verfahren ferner die Schritte enthält:

- Lösen des lösbaren Speichermoduls; und

- Verwenden der im gelösten Speichermodul gespeicherten Daten für den Zweck, eine Benutzungshistorie für den Benutzer zu bestimmen.

8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, daß der Benutzer ein Kunde ist und das Verfahren ferner das Spezifizieren wenigstens eines Teils der gespeicherten Budgetinformation durch den Kunden und am Ort des Kunden enthält, wobei die kundenspezifizierte Budgetinformation wenigstens eine Grenze für die Benutzung und/oder der Verarbeitung wenigstens eines Teils der Datenbasis durch wenigstens einen der Angestellten des Kunden spezifiziert.

9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, daß die Datenbank mehrere diskrete Eigentumsrechte enthält, und wobei ein erster Eigentümer wenigstens ein Recht an einem ersten Eigentum und ein zweiter Eigentümer wenigstens ein Recht an einem zweiten Eigentum besitzt, und wobei es sich beim Benutzer um eine Organisation mit Angestellten handelt, wobei das Verfahren ferner die Schritte enthält:

- Ermöglichen, daß die Organisation wenigstens einen Teil der Begrenzungsinformation einrichtet, indem eine Begrenzung für die Benutzung und/oder Verarbeitung wenigstens eines Teils der vielerlei diskreten Eigentumsrechte durch wenigstens einen Angestellten der Organisation spezifiziert wird;

- Ermöglichen, daß ein Veröffentlicher wenigstens einen Teil der Begrenzungsinformation spezifiziert; und

- wobei der selektive Nichtermöglichungs- oder selektive Verhinderungsschritt (f) das wahlweise Nichtermöglichen oder wahlweise Verhindern der Benutzung und/oder Verarbeitung wenigstens eines Teils einer Datenbank enthält, die wenigstens zum Teil auf der von der Organisation spezifizierten und/oder dem Veröffentlicher spezifizierten Begrenzungsinformation basiert.

10. Verfahren nach einem der Ansprüche 1 bis 9, wobei das Verfahren ferner das Verarbeiten wenigstens eines Teils der Meßinformation enthält, um eine Marktübersichtsinformation zu erzeugen.

11. Verfahren nach einem der Ansprüche 1 bis 7 und 10, wobei es sich beim Benutzer um eine Organisation mit Angestellten handelt, wobei das Verfahren ferner den Schritt enthält, daß die Organisation am Ort der Organisation wenigstens einen Teil der Budgetinformation spezifizieren kann, wobei die von der Organisation spezifizierte Budgetinformation wenigstens ein Budget zum Begrenzen der Quantität wenigstens einer Untermenge des Datenbankinhalts einrichtet, die von wenigstens einem der Angestellten der Organisation benutzt und/oder verarbeitet wird; wobei der selektive Nichtermöglichungs- oder Verhinderungsschritt (f) wahlweise die Benutzung und/oder Verarbeitung wenigstens eines Teils der Datenbank wahlweise nicht ermöglicht oder wahlweise verhindert, wobei dies wenigstens teilweise auf dem von der Organisation spezifizierten Budget basiert.

12. Verfahren nach einem der Ansprüche 1 bis 11, wobei es sich beim Benutzer um eine Organisation handelt und wobei die Meßinformation wenigstens teilweise aus dem Messen auf der Basis von mehreren Gruppen von Benutzern innerhalb der Organisation resultiert; wobei das Verfahren ferner das Versorgen der Organisation mit wenigstens einem Teil der gruppenbezogenen Meßinformation enthält.

13. Verfahren nach einem der Ansprüche 1 bis 12, das ferner den Schritt des Herstellens einer Kopie wenigstens eines Teils der Datenbank enthält, wobei der Kopierschritt das Vorsehen wenigstens eines eingebetteten Kopierursprungsidentifikationscodes in der Kopie enthält.

14. Verfahren nach einem der Ansprüche 1 bis 13, das ferner den Schritt enthält, dem Benutzer die örtliche Suche in der Datenbank zu ermöglichen, um Datenbankteile zu identifizieren, welche wenigstens teilweise eine thematische Beziehung zu den vom Benutzer spezifizierten Versuchskriterien haben.

15. Verfahren nach einem der Ansprüche 1 bis 14, wobei die Budgetinformation wenigstens eine Grenze für die kumulative Benutzung und/oder Verarbeitung von logisch verbundenen Teilen der Datenbank enthält, und wobei das Verfahren ferner den Schritt enthält:

(a) Bestimmen, ob die Benutzung und/oder Verarbeitung wenigstens eines Datenbankteils in Verbindung mit der Benutzung und/oder Verarbeitung von Datenbankteilen, die vom Benutzer vorher benutzt und/oder verarbeitet wurden, eine Grenze übersteigt, die von der Begrenzungsinformation für die Benutzung und/oder Verarbeitung der Datenbankteile spezifiziert wird, die eine gewisse logische Beziehung aufweisen;

(b) wobei der selektive Nichtermöglichungs- oder selektive Verhinderungsschritt (f) wahlweise die Benutzung und/ oder Verarbeitung wenigstens eines Teils des wenigstens einen Datenbankteils in Reaktion auf den Testschritt (e) wahlweise nicht ermöglicht oder wahlweise verhindert, der zeigt, daß eine Datenbankbenutzung und/oder Verarbeitung wenigstens eine Grenze für die Benutzung und/oder Verarbeitung der Datenbankteile übersteigt, die eine gewisse logische Beziehung aufweisen.

16. Verfahren nach einem der Ansprüche 1 bis 15, wobei der selektive Nichtermöglichungs- oder Verhinderungsschritt (f) die Benutzung und/oder Verarbeitung von mehr als einer gewissen Menge der benachbarten Datenbankinformation wahlweise nicht ermöglicht oder wahlweise verhindert.

17. System zum Verteilen eines geschützten, gespeicherten, digitalcodierten Datenbankteils, wobei das System ein Speichermedium (100) zum Speichern wenigstens einer Datenbank am Ort des Benutzers zur Verwendung durch den Benutzer enthält, wobei die Datenbank wenigstens teilweise gegen unberechtigte Benutzung und/oder Verarbeitung geschützt ist; gekennzeichnet durch eine Spezialzweck-, verfälschungssichere, eingeschlossene Datenbankschutzanordnung (300), die am Ort des Benutzers angeordnet ist, wobei die Datenbankschutzanordnung geeignet ist, gegen unberechtigte Benutzung und/oder Verarbeitung der Datenbank(en) ein Sichern vorzunehmen, wobei das Sichern das sichere Messen wenigstens eines Parameters enthält, der zu wenigstens einem der Vorgänge Verarbeiten und Benutzen wenigstens eines Teils der Datenbank gehört, wobei die Datenbankschutzanordnung (300) aufweist:

(a) einen nichtflüchtigen Speicher (314) zur Verwendung beim sicheren Speichern der Budgetinformation, wobei wenigstens eine Budgetgrenze eingerichtet wird, die sich auf die Benutzung und/oder Verarbeitung wenigstens eines Teils der Datenbank(en) durch den Benutzer bezieht, wobei der nichtflüchtige Speicher (314) ebenso geeignet ist für:

(i) sicheres Speichern einer Information, die auf wenigstens einem Teil des Datenbankmessens basiert,

(ii) Speichern einer Abrechnungspreisinformation, und

(iii) Abspeichern einer Information auf der Basis des Berechnens wenigstens eines Teils der Kosten für die Benutzung und/oder Verarbeitung wenigstens eines Teils der Datenbank(en) durch den Benutzer; und

(b) eine Decodiersteuerlogikanordnung (316), die geeignet ist für

(i) das sichere Messen wenigstens eines Parameters, der sich auf wenigstens einen der Vorgänge Verarbeiten und Benutzen wenigstens eines Teils der Datenbank bezieht;

(ii) sicheres Testen der auf dem Messen basierenden gespeicherten Information, um zu bestimmen, ob die Benutzung und/oder Verarbeitung wenigstens eines Teils der Datenbank zum Überschreiten wenigstens einer Budgetgrenze führt; und

(iii) wahlweises Nichtermöglichen oder wahlweises Verhindern der Benutzung und/oder Verarbeitung wenigstens eines Teils des geschützten Datenbankteils, wenn auf der Basis des Testschritts (ii) bestimmt wird, daß die Benutzung und/oder Verarbeitung die wenigstens eine Budgetgrenze übersteigt.

18. System nach Anspruch 17, wobei die wenigstens eine Budgetgrenze einen Prozentsatz der Datenbank spezifiziert und der Bestimmungsschritt (ii) bestimmt, wenn die Benutzung und/oder Verarbeitung des wenigstens eines Teils der Datenbank zu einer spezifizierten Benutzung und/oder Verarbeitung bei wenigstens einer Prozentsatzgrenze führt, die überschritten wird, und wobei die selektive Nichtermöglichungs- oder selektive Verhinderungseinrichtung der Decodiersteuerlogik die Benutzung und/oder Verarbeitung des wenigstens eines Teils der Datenbank in Reaktion auf den Bestimmungsschritt wahlweise nicht ermöglicht oder wahlweise verhindert.

19. System nach einem der Ansprüche 17 und 18, wobei die Datenbankschutzanordnung (300) eine Modemschaltung umfaßt.

20. System nach einem der Ansprüche 17 bis 19, wobei die eingeschlossene verfälschungssichere Datenbankschutzanordnung (300) innerhalb einer integrierten Schaltung enthalten ist.

21. System nach einem der Ansprüche 17 bis 20, wobei die Datenbank erste und zweite diskrete Eigentums rechte aufweist, und wobei ein erster Eigentümer wenigstens ein Recht an einem ersten Eigentumsrecht und ein zweiter Eigentümer wenigstens ein Recht an einem zweiten Eigentumsrecht besitzt, wobei das System ferner aufweist: eine Marketingübersichtseinrichtung zum Ableiten einer Marketingübersichtsinformation von der Information, die auf wenigstens einem Teil der Messung basiert.

22. System nach einem der Ansprüche 17 bis 21, wobei das System ferner eine Einfügungseinrichtung zum Einfügen wenigstens eines originalen Identifizierungssicherheitscodes in eine Kopie von wenigstens einem Teil der Datenbank aufweist.

23. System nach einem der Ansprüche 17 bis 22, wobei der Benutzer ein Kunde ist und wobei die Datenbank über einen Verteiler an den Kunden verteilt wird, wobei das System aufweist:

- eine Spezifizierungseinrichtung, die es ermöglicht, daß der Verteiler der Datenbank eine erste Budgetgrenze spezifiziert, wobei die erste Budgetgrenze zum Begrenzen der Benutzung und/oder Verarbeitung von wenigstens einem Teil der Datenbank durch den Kunden verwendet wird;

- eine Einrichtung, die es dem Kunden ermöglicht, auf der Kundenseite ein zweites Budget zu spezifizieren, welches die Benutzung und/oder Verarbeitung von wenigstens einem Teil der Datenbank begrenzt, wobei die zweite Budgetgrenze zum Begrenzen der Benutzung und/ oder Verarbeitung wenigstens eines Teils der Datenbank von wenigstens einem der Kundenangestellten verwendet wird.

24. System nach einem der Ansprüche 17 bis 23, wobei: die Decodiersteuerlogikeinrichtung (316) die Benutzung und/oder Verarbeitung einer Untermenge der Datenbank wahlweise nicht ermöglicht oder wahlweise verhindert, wenn der Testschritt (ii) bestimmt, daß die Benutzung und/oder Verarbeitung einer Untermenge in Kombination mit der vorhergehenden Benutzung und/oder Verarbeitung der Datenbankteile zu der die Benutzung und/oder Verarbeitung einer Bezugsdatenbankinformation begrenzenden Budgetgrenze führt, die überschritten wird.

25. System nach einem der Ansprüche 17 bis 24, wobei die Decodiersteuerlogikeinrichtung (316) wahlweise die Benutzung und/oder Verarbeitung von mehr als einer bestimmten Menge von benachbarten Datenbankinformationen nicht ermöglicht.

26. System nach einem der Ansprüche 17 bis 25, wobei die Datenbankschutzanordnung (300) eine Displaytreibereinrichtung (514) enthält.

27. System nach einem der Ansprüche 17 bis 26, wobei die Datenbankschutzanordnung (300) eine speziell für diesen Zweck gedachte Schnellüberprüfungs-Workstation (501) ist.