JP2002077136A - 電子著作物の保護方法及び保護システム - Google Patents

電子著作物の保護方法及び保護システム

Info

Publication number
JP2002077136A
JP2002077136A JP2001087859A JP2001087859A JP2002077136A JP 2002077136 A JP2002077136 A JP 2002077136A JP 2001087859 A JP2001087859 A JP 2001087859A JP 2001087859 A JP2001087859 A JP 2001087859A JP 2002077136 A JP2002077136 A JP 2002077136A
Authority
JP
Japan
Prior art keywords
document
user
digital work
polarized
polarization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001087859A
Other languages
English (en)
Inventor
Xin Wang
ワン シン
Thanh T Ta
ティー.タ サン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Contentguard Holdings Inc
Original Assignee
Contentguard Holdings Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Contentguard Holdings Inc filed Critical Contentguard Holdings Inc
Publication of JP2002077136A publication Critical patent/JP2002077136A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/3013Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the discrete logarithm problem, e.g. ElGamal or Diffie-Hellman systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3093Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/007Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/605Copy protection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 (修正有) 【課題】盲目的変換関数を用いて暗号化電子著作物を暗
号化プレゼンテーションデータに変換する電子著作物保
護方法の提供。 【解決手段】発信者の電子コンテンツ410は、復号さ
れない事により元の形式で保護され、この方法により、
解釈用又は再生用アプリケーションは、暗号化された文
書を初めに復号せずに暗号化プレゼンテーションデータ
426に処理することができる。そして、暗号化プレゼ
ンテーションデータは、ユーザに表示430する直前に
復号428される。盲目的変換関数は、元の変換関数の
一関数であり、例えば、盲目的変換関数を、元の変換関
数の多項式とすることができる。或いは、盲目的変換関
数及び元の変換関数の双方を、任意の多変量の整数係数
のアフィン関数とすることができる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、文書に対する権利
の管理に係り、特に、盲目的変換を用いて暗号化電子著
作物を暗号化プレゼンテーションデータに変換する、電
子著作物の保護方法に関する。
【0002】
【従来の技術】電子商取引を介して電子文書又は著作物
が広範囲に普及するのを妨げている重要な問題の1つ
は、現段階では、これらの電子文書又は著作物の配布及
び使用時にコンテンツ所有者の知的所有権の保護が十分
でない点である。この問題を解決する試みは、「知的所
有権管理」(IPRM)、「デジタル所有権管理」(D
PRM)、「知的所有管理」(IPM)、「権利管理」
(RM)、「デジタル権利管理」(DRM)、及び「電
子版権管理」(ECM)等と呼ばれている。デジタル権
利管理の核心には、許可を受けたユーザのみが、取得し
た電子文書又は著作物を操作できることを保証する、と
いう根本的な論点がある。コンテンツにアクセスされて
も、コンテンツ所有者の権利の主張に違反したコンテン
ツの配布及び使用を行われてはならない。
【0003】ここで言う文書又は著作物とは配布または
譲渡等が行われる、あらゆる単位の情報のことで、通信
文書、書籍、雑誌、ジャーナル、新聞、他の書類、ソフ
トウェア、写真及び他の画像、オーディオ及びビデオク
リップ、その他のマルチメディアプレゼンテーション等
であるが、これらに限られているわけではない。文書の
具体的な形式は、紙に印刷するか、記憶媒体上の電子デ
ータか、または各種媒体上に他の既存の形式で記録され
たものである。本明細書に用いられる電子著作物とは、
デジタル形式で維持され、デバイス又はソフトウェアプ
ログラムを用いた再生又は解釈が可能なあらゆる文書、
テキスト、オーディオ、マルチメディア、又は他のタイ
プの著作物もしくはその一部分である。
【0004】印刷された文書の場合、著者が作成した著
作物は通常は出版業者に渡され、そこで著作物の形式が
整えられ大量のコピーが印刷される。これらのコピー
は、配送業者により書店または他の小売店に送られ、エ
ンドユーザが購入する。
【0005】印刷文書の場合、通常はコピーの品質が悪
く配布費用も高価であったため、違法コピーは抑止され
ていた。これに対し、電子文書の場合は保護されていな
いとコピー、修正、及び再配布がきわめて容易である。
したがって、電子文書を保護するための何等かの方法を
採用し、違法コピーを簡単に行えないようにする必要が
ある。このような方法が確立すれば、印刷文書のハード
コピーを作成して従来の方法で複写する等は可能であっ
ても、コピーの抑止には役立つと思われる。
【0006】印刷文書の場合、文書をデジタル化すると
いうステップを踏まないと、電子的に再配布することは
できない。この制限は抑止として役立つ。しかし、一般
的には、ローカルエリアネットワーク(LAN)、イン
トラネット、及びインターネットを介して接続したパー
ソナルコンピュータ、ワークステーション、他の装置等
の現在の汎用コンピューティング及び通信システムの下
では、電子文書を許可を受けずに配布することを防止す
る有効な方法がないことも現実である。無許可コピーを
防止するためにハードウェアを使用して解決する方法も
何度か試みられたが、成功したとは言えない。
【0007】文書保護の問題を解決する試みとして、セ
キュアコンテナー(暗号化メカニズムに依存するシステ
ム)及び高信頼性システムといった2つの基本的な方式
が用いられている。
【0008】暗号化メカニズムは文書を暗号化する。次
に、暗号化された文書はパブリックに配布されて保存さ
れ、最終的には許可を受けたユーザによってプライベー
トに復号される。暗号化メカニズムは、パブリックネッ
トワークを介して文書配布業者から目的ユーザに文書を
配送する際と、安全でない媒体に文書を記憶する際に、
基本形式の保護を提供する。デジタル権利管理の解決法
の多くは、電子著作物を暗号化して暗号化メッセージ及
び復号鍵の双方を消費者のシステムに配布することに依
存している。消費者から復号鍵を隠すために様々な方式
が用いられているが、実際には、必要な情報は全て、悪
意のあるユーザが電子著作物の保護を破るために利用可
能である。現在の汎用コンピュータ及び消費者のオペレ
ーティングシステムが高度なセキュリティメカニズムと
して提供されることが殆どないことを考慮すると、この
脅威は現実であり、明白である。
【0009】「セキュアコンテナー」(又は単に暗号化
文書ともいう)は、許可条件のセットが要件を満たし、
著作権料金(例えば、使用料の支払い)が認められるま
で文書のコンテンツを暗号化したままにする方法を提供
する。種々の条件及び料金を文書提供者と確認した後、
文書を平文の形でユーザに公開する。IBM社のCryptolop
eやInterTrust社のDigiboxなどの市販品はこの部類に属
する。セキュアコンテナーのアプローチにより、安全で
ないチャネルを介する配送の際に文書を保護する解決法
が提供されていることは明らかであるが、正当なユーザ
が平文の文書を入手し、コンテンツ所有者の著作権を違
反してその文書を使用したり再配布したりするのを防ぐ
メカニズムが全く提供されていない。
【0010】暗号化メカニズム及びセキュアコンテナー
は、許可を受けたユーザ/購入者に電子著作物を転送す
る際に電子著作物を保護することに焦点を合わせてい
る。しかしながら、電子著作物は、その使用において
も、悪意のあるユーザや悪意のあるソフトウェアプログ
ラムから保護されなくてはならない。たとえユーザが信
頼されている人物であるとしても、そのユーザのシステ
ムが攻撃を受ける可能性がある。電子著作物の電子商取
引が直面する顕著な問題は、目標消費者のデバイス上で
の著作物の保護を保証する、ということである。電子著
作物の保護が危うくなると、貴重で重要な情報が失われ
てしまう。今日の汎用コンピュータ及び消費者のオペレ
ーティングシステムは安全性及び完全性の領域が不十分
であるため、事が複雑になる。著作物をその使用にわた
り保護することははるかに複雑な問題であり、この問題
の大部分は未解決のままである。
【0011】「高信頼性システム」のアプローチでは、
システム全体が文書の無許可の使用及び配布を防ぐ責任
がある。通常、高信頼性システムの構築は、安全なプロ
セッサ、安全な記憶装置、及び安全な解釈デバイスなど
の新しいハードウェアの導入を伴う。この場合でも、高
信頼性システムで実行する全てのソフトウェアアプリケ
ーションの信頼性の高さが保証されなくてはならない。
変更が困難な高信頼性システムの構築は未だに既存の技
術に対するかなりの挑戦であり、現在の市場の傾向によ
ると、PC及びワークステーションのようなオープンで信
頼性の低いシステムが、著作権を所有する文書へのアク
セスに用いられる主要のシステムになるであろうことが
示唆されている。この意味で、一般的なオペレーティン
グシステム(例えば、Windows(登録商標)及び
UNIX(登録商標))及び解釈用アプリケーション
(例えば、Microsoft社の Word)を備えたPC及びワーク
ステーションのような既存のコンピューティング環境は
高信頼性システムではなく、これらの構造を大幅に変え
なくては信頼されることは不可能である。
【0012】従って、信頼性の高い一定の構成要素を備
えることはできるが、ユーザは、未知で信頼性の低い種
々のエレメント及びシステムに頼り続けなくてはならな
い。このようなシステムでは、たとえ安全であることが
期待されていても、予期せぬバグや弱点が見つかり、利
用されることがよくある。
【0013】従来の対称及び非対称の暗号化方法は、暗
号化されるメッセージを、基本的にバイナリのストリン
グとして処理する。従来の暗号化方法を文書に適用する
と、欠点がいくつか生じる。文書は、通常は比較的長い
メッセージであり、長いメッセージの暗号化は、使用前
に文書の復号を必要とするあらゆるアプリケーションの
性能に大きな衝撃を与えうる。さらに重要なことに、文
書は、表示、再生、印刷、そして編集さえも適切な解釈
用アプリケーションに依存する、形式化されたメッセー
ジである。一般に、文書を暗号化すると形式化された情
報が破壊されるため、殆どの解釈用アプリケーション
は、解釈前に文書を平文の形式に復号することを必要と
する。解釈前に復号をすると、文書のインターセプトを
望む者に復号ステップ後の平文の文書を公開してしまう
可能性が生じる。
【0014】権利の管理には、認証、許可、会計、支払
いと金銭上の決済、権利の主張、権利の検証、権利の行
使、及び文書の保護等様々な問題がある。この中でも、
文書の保護は重要な問題である。ユーザがコンテンツ所
有者の権利を認めて文書に対し特別な操作を行うことが
許されている場合(印刷したり、画面に表示したり、音
楽を演奏したり、ソフトウェアを実行する等)、文書は
通常は平文である。つまり、暗号化されていない。簡単
に説明すると、文書保護の問題は、文書がもっとも危険
な状態(ユーザの管理下にあるマシン上で平文で記憶さ
れている)のときにコンテンツ所有者の権利が侵されな
いようにすることである。
【0015】文書が配布業者からユーザに安全に配布さ
れた(通常は暗号化された形式)場合でも、その文書を
表示データ形式にしないと、ユーザは文書を表示したり
操作したりすることはできない。したがって、十分な保
護を実現するためには、最終的な段階でユーザに表示さ
れ、しかも使用可能な形式に戻しにくい形式で、文書の
コンテンツを保護することが重要である。
【0016】
【発明が解決しようとする課題】暗号化を使用する電子
文書配布の既知の方法では、次のようないくつかのステ
ップを経て処理される。まず、ユーザは暗号化文書を受
け取る。次に、ユーザは自分の(公開鍵暗号化システム
における)秘密鍵を使用してデータを復号し、文書の平
文の内容を取り出す。最後に、平文の内容は解釈用アプ
リケーションに渡され、そのアプリケーションがコンピ
ュータ可読文書を最終的な文書に変換し、ユーザのコン
ピュータ画面で表示したりハードコピーに印刷したりで
きるようにする。平文のコンテンツを解釈しなければな
らない理由は、解釈用アプリケーションは通常、サード
パーティプロダクト(Microsoft社のWord(商標)やAdo
be社のAcrobat Reader(商標)等)であり、入力される
文書の形式がそのプロダクトに特有の形式であるからで
ある。しかしながら、上記従来の文書の保護方法では、
データを平文に復号化する第2のステップとコンテンツ
を解釈する第3のステップとの間で、それ以前は保護さ
れていた文書であっても危険な状態に置かれる。つま
り、復号されていて、しかも、ユーザのコンピュータ上
に平文の電子形式で記憶されたままになっているからで
ある。従って、ユーザが不注意だったりまたは経費を節
約しようとする場合など、文書はコンテンツ所有者の許
可を得ずに容易に再配布されてしまう可能性があるとい
う問題点があった。
【0017】どのシステムも不正を完全に防止したり攻
撃の影響を受けたりしないわけではないが、近年の技術
では、電子著作物の使用をユーザ指定の物理的デバイス
に限定することによって電子著作物を保護するものがあ
る。これらの技術により、ユーザは、電子著作物の解釈
に使用する意図であるシステム又は物理的デバイスから
のプライベート情報又はシステム状態情報を提供しなく
てはならない。システム状態情報とは、通常、CPU識別
子、デバイス識別子、NIC識別子、及びドライブ構造な
どのシステム構造情報として定義される。これらの技術
において、電子コンテンツはセッション鍵を用いて暗号
化され、次いで、ユーザの暗号鍵を用いずに、システム
状態情報及びユーザの信用証明の組み合わせを用いて、
セッション鍵を暗号化する。次に、暗号化されたコンテ
ンツ及び鍵の双方を目的のリポジトリに送信する。受け
取った暗号化著作物を使用するために、ユーザは信頼性
の高い許可エンティティ(通常は遠隔に配置されたソフ
トウェアプログラム)に接触しなくてはならない。許可
エンティティはユーザのアイデンティティ及び信用証明
を確認し、次いでシステム状態を用いてセッション鍵を
復号し、最後に使用のためにコンテンツを復号する。
【0018】安全なAdobe社のAcrobat Readerや安全なM
icrosoft社のMediaPlayerなどの市販のアプリケーショ
ンは、ライセンスバウチャーにおいて適切なユーザ信用
証明及び使用権を調べることによって電子著作物の使用
を有効にしている。ユーザの信用証明の中には、CPU識
別子や一定のデバイスのシリアル番号などのシステムデ
バイス識別子がある。ユーザが電子著作物に対して操作
を行う際、アプリケーションは指定のデバイスが存在す
るか否かを確認する。これにより、未許可のユーザ(実
際は未許可のデバイス)には電子著作物が送信されない
ことが保証される。このプログラムのチェックによって
最小限レベルの保証が提供されるが、このチェックはユ
ーザのデバイスに存在する秘密の安全性に依存してい
る。暗号鍵が侵されるのみでなく、デバイスの識別子自
体も不正の脅威を特に受けやすい。
【0019】Acrobat Reader及びMediaPlayerといった
保護方式は、電子著作物のために発行されたライセンス
バウチャーに指定されるユーザシステム上の必要なデバ
イスを解釈用アプリケーションに識別させることによっ
て作動している。このことにより、多くの状況で(即
ち、ユーザが信頼をおかれた者であり、ユーザの指定し
た解釈用デバイスが攻撃を受けやすくないものである場
合)適切な保護のレベルが提供される。これらの方式の
弱点は、暗号鍵の保護もライセンスバウチャーの完全性
も侵されないであろう、という前提に基づいていること
である。
【0020】ユーザのアイデンティティ及び信用情報、
並びにシステム状態情報が確認されるか又はライセンス
バウチャーが受け取られると、コンテンツは平文に復号
され、攻撃を受けやすくなる、という点で、これらの技
術は実に保護技術というよりは認証技術である。電子著
作物は、その使用にわたり保護を受けない。更に、ユー
ザ情報のアプローチは、ユーザが個人的な情報を流すの
を十分に抑止することを仮定している、という点で問題
がある。即ち、ユーザ情報のアプローチをうまく実行さ
せるには、個人のアイデンティティ及び信用情報を公に
するユーザに対して容赦のない結果をもたらさなければ
ならない。
【0021】特定のデバイスに許可を与える方式の大き
な欠点は、重要な情報(例えば、CPU番号又は他の個人
情報)を漏らすことをユーザに要求することであり、こ
れにより、プライバシーの問題に関して懸念が生じる。
ユーザは自発的に情報を漏らすが(ユーザがこの情報を
漏らしたくない場合、ユーザの唯一のオプションは電子
著作物を受け取らないことである)、個人情報を必要と
せずにユーザのデバイス上の電子著作物を保護すること
のできる保護方式を提供することが望ましい。また、暗
号鍵の保護やライセンスバウチャーの完全性に依存しな
いDRM解決法を提供することが望ましい。電子コンテン
ツの復号をできるだけ最後の段階まで遅らせるDRM解決
法を提供することが望ましい。
【0022】従って、既知のシステムの欠点を解消する
電子文書配布方式を提供することが有益であろう。この
ような方式が提供されれば、ユーザは復号処理及び解釈
処理時に、電子配布文書を再配布可能な形式で入手でき
なくなる。
【0023】
【課題を解決するための手段】本発明の自己保護文書
(SPD)は、上記の従来技術の欠点に対処できる。自
己保護文書は、暗号化文書と許可セット及びその暗号化
文書を抽出して使用するために必要なソフトウェアの大
部分が組み込まれた実行可能なコードセグメントとを組
み合わせることで、特別なハードウェア及びソフトウェ
アを使用しなくても文書のコンテンツを保護できる。
【0024】SPDシステムは、コンテンツ作成者(従
来のモデルの著者及び出版社と類似したもの)とコンテ
ンツ配布業者とに分けられる。著者/出版社はオリジナ
ル文書を作成し、許可する権利を決定する。次に、配布
業者が文書をカスタマイズして様々なユーザが使用でき
るようにするが、その過程で、ユーザの購入した許可範
囲をユーザ自身が逸脱しないようにカスタマイズする。
【0025】ユーザのシステムでは、自己保護文書は最
後の段階で復号される。本発明の1実施形態では、SP
D自身に各種解釈機能も備わっている。そのため、この
SPDを使用すれば、信頼度が低い(また許可を受けず
に使用することにもなる)外部アプリケーションに頼ら
なくても済む。別の実施形態では、サードパーティの解
釈用アプリケーションのインターフェースとプロトコル
を指定し、SPDと対話的に処理して解釈の信頼度を高
めるようにしている。
【0026】本発明の1実施形態では、暗号化文書はユ
ーザシステムにより復号されるが、同時に、その文書は
ユーザシステムの状態に少なくとも一部依存している鍵
により「秘話化(polarizing)」される。この秘話化は
暗号の面からは配布に使用される暗号化処理に比べ安全
度は低いが、偶発的なコピーの抑止には役立つ。本発明
では、解釈の処理時及びそれ以降に秘話解除が行われ、
その結果、文書の中間形式は実質上使用不能になる。
【0027】本発明の別の実施形態では、電子著作物の
保護方法は盲目的変換関数を使用し、暗号化された電子
著作物を暗号化プレゼンテーションデータに変換する。
発信者の電子コンテンツは、復号されないことにより元
の形式で保護される。この方法により、解釈用又は再生
用アプリケーションは、初めに暗号化文書を復号せず
に、暗号化文書を処理して暗号化プレゼンテーションデ
ータにすることができる。次に暗号化プレゼンテーショ
ンデータは復号され、その直後にユーザに表示される。
この方法は、復号オーバーヘッドを最小にし(解釈前の
復号は一般に時間及びリソースをより多く消費するた
め)、復号を解釈処理の最後の段階まで延ばすことによ
り、(復号及び解釈双方の)処理の全体的な性能を向上
させる。
【0028】盲目的変換又は盲目的コンピューティング
は、複数の方法のうち一つの方法で達成することができ
る。電子著作物の殆どが形式情報を含み、これは暗号化
の際に再生用又は解釈用アプリケーション(電子著作物
をプレゼンテーションデータに変換する変換関数)によ
って処理することができない。電子著作物が、形式を保
つ暗号化方式で暗号化される場合、あらゆる変換関数を
用いることができる。このことは、どの市販の再生用又
は解釈用アプリケーションも暗号化された電子著作物を
処理して暗号化プレゼンテーションデータにすることが
できる、という点で特に有用である。その他に、盲目的
変換関数は、元の変換関数の一関数である。例えば、盲
目的変換関数を、元の変換関数の多項式関数とすること
ができる。あるいは、盲目的変換関数及び元の変換関数
の双方を、任意の多変量の整数係数であるアフィン関数
とすることができる。
【0029】全ての暗号化方式が、形式を保つ暗号化方
式であるわけではない。加法的暗号化方式を、全ての文
書タイプ及び全ての関連変換関数に用いることができ
る。いくつかの再生用又は解釈用アプリケーションで
は、あるタイプの文書に対しては、形式情報の部分が平
文のまま残される場合がある。他のタイプの文書では、
全ての形式情報を暗号化することができる。あるタイプ
の文書では、加法的暗号化方式を用いて形式情報を暗号
化することができ、あらゆる暗号化方式を用いて文書の
コンテンツ又はデータ部分を暗号化することができる。
【0030】特に、加法的暗号化方式を用いて文書の座
標情報を暗号化することができ、これにより、暗号化さ
れた座標データに対してある程度の解釈変換を行うこと
ができるようになる。例えば、特殊な種類の文書やトー
クンベースの文書では、形式保存暗号化の際に暗号化方
式を用いる場所は2つある。即ち、一方は文書内の特定
のトークンの座標、即ち位置情報x及びy用であり、もう
一方は個々のトークン画像の辞書用である。文書内の特
定のトークンの個々の座標に対して盲目的変換を行うに
は、初めの暗号化方式は加法的暗号化方式でなくてはな
らない。しかしながら、トークン辞書はあらゆる暗号化
方式で暗号化することができる。
【0031】暗号化されたトークン辞書からは、なおト
ークン画像のサイズなどの情報が漏洩する場合がある。
このことが問題になる場合(トークン辞書が小さい場合
など)は、暗号化の前にトークンをいくつかの余分なビ
ットで埋め込む(pad)ことができる。この埋め込みによ
り、同一サイズ又はいくつかの固定サイズの暗号化トー
クン画像を生じることができる。トークンベースの文書
に対しては、辞書内のトークンの座標情報を符号化しな
い場合がある。例えばハフマン符号語としての座標の符
号化を望む場合、識別子の暗号化に用いられるのと同一
のアプローチを用いてこの状況に対処することができ
る。基本的には、位置テーブル内の符号語を平文のまま
にし、符号語辞書内の符号語を、ある一方向ハッシュ関
数を用いてハッシュし、対応する座標情報を暗号化す
る。解釈の際は、まず位置テーブル内の符号語をハッシ
ュし、次に、暗号化された座標情報の探索に用いる。
【0032】本発明の別の実施形態では、電子著作物及
びシステムコンテクスト(又はリソース情報又はシステ
ムリソース)を秘話化し、電子コンテンツを秘話解除す
ることなく電子著作物の高信頼性の解釈又は再生を可能
にする。この実施形態では、電子著作物は電子コンテン
ツ及びリソース情報を含むタイプのものである。リソー
ス情報は、電子著作物をプレゼンテーションデータにフ
ォーマット又は処理するために再生用アプリケーション
が用いる情報を含みうる。リソース情報は、例えば、フ
ォントテーブル、色パレット、システム座標及び音量設
定など、特定のシステム上の再生用ソフトウェアに利用
できるシステムリソースの集まりを含みうる。
【0033】様々なタイプの電子著作物を秘話化するこ
とができる。一般的な文書タイプの電子著作物の秘話化
に加えて、オーディオ及びビデオの電子著作物を秘話化
することができる。通常、電子著作物及びシステムコン
テクストは、秘話化エンジンを用いて製造者又はコンテ
ンツ所有者の場所で秘話化される。秘話化エンジンは、
電子著作物及びシステムコンテクストを各々の秘話化形
式に変換するのに用いられる構成要素である。秘話化エ
ンジンは、秘話化エンジンの初期化及びカスタマイズに
用いられるエレメントである秘話化シードに依存する秘
話化方式を用いる。
【0034】種々の秘話化方式を用いて電子著作物を秘
話化することができる。例えば、無状態の秘話化は乱数
をシードとして用い、電子著作物を秘話化された電子著
作物に変換する。状態ベースの秘話化方式は、システム
の状態又は特性に基づいたシードを用い、電子著作物
を、そのシステム状態又は特性に関連づけられた秘話化
電子著作物に変換する。動的状態ベースの秘話化方式
は、動的なシステムの状態又は特性に基づいたシードを
用い、電子著作物を秘話化された電子著作物に変換す
る。この実施形態では、秘話化された電子著作物には一
般に秘話化エンジンが備えられており、この秘話化エン
ジンは、システムが電子著作物の再生を要求する度に、
符号化された電子著作物及び符号化されたシステムコン
テクストを動的状態ベースの秘話化方式に従って再び秘
話化する。許可ベースの秘話化方式は、信頼のおけるソ
ースから受け取った許可情報に基づいたシードを用い、
電子著作物を秘話化された電子著作物に変換する。安全
性を更に高めるために、秘話化されたシステムコンテク
ストを、秘話化された電子著作物とは別に、取り外し可
能なコンテクストデバイスに保存することができる。こ
のデバイスは、電子著作物を使用する前にシステムに接
続される必要がある。
【0035】秘話化シードは、最終的なエンドユーザ又
は最終的なエンドユーザシステムに特定の電子著作物を
関連づけるために用いることのできる情報を含むことが
好ましい。一般に、所有者又は配布業者は、電子著作物
の秘話化に使用する秘話化方式のタイプと、使用する秘
話化鍵のタイプとを、電子著作物の価値によって選択す
る。暗号化方式と同様、秘話化方式は複雑性及び強度の
レベルが様々である。電子著作物が注文されると、シス
テムコンテクストと呼ばれる、その電子著作物のリソー
ス情報の一部のコピーを作成する。秘話化シードを選択
し、電子著作物及びシステムコンテクストの双方を秘話
化する。電子著作物に対して使用されるものとは異なる
秘話化方式を、システムコンテクストに対して使用して
もよい。しかしながら、秘話化シードは双方とも同一の
ものである。次に、秘話化された電子著作物及び秘話化
されたシステムコンテクストをユーザに提供し、ユーザ
は再生又は解釈システムにおいて再生又は解釈を行う。
【0036】形式保存暗号化及び高信頼性解釈を提供す
る本発明の実施形態では、暗号化されたプレゼンテーシ
ョンデータを平文のプレゼンテーションデータに復号す
る必要性が生じるまで保護が提供される。本発明のこの
実施形態では、再生用アプリケーションは秘話化された
リソース情報を用いて、秘話化電子著作物を平文のプレ
ゼンテーションデータに変換する。
【0037】電子著作物の電子コンテンツのみを秘話化
してリソース情報を秘話化しないでおく、即ち平文のま
まにしておく場合でも、再生用アプリケーションは、秘
話化された電子著作物を処理して秘話化されたプレゼン
テーションデータにすることができる。このことは、秘
話解除部がプレゼンテーションデータの秘話解除を行
い、ユーザによる表示又は使用に好適な平文のプレゼン
テーションデータにしなくてはならないことを意味して
いる。電子著作物のリソース情報の一部もこれに従って
秘話化される場合は、再生用アプリケーションが秘話化
された電子著作物を変換する際に、再生用アプリケーシ
ョンは秘話化されたシステムリソース情報を用いて、秘
話化された電子著作物を平文のプレゼンテーションデー
タに変換する。必要とされるリソース情報を全て秘話化
してもよいし、その一部のみを秘話化してもよい。再生
用アプリケーションが、元の秘話化されていない電子コ
ンテンツを見ていない、という点で再生は盲目的であ
る。
【0038】この実施形態では、秘話化されたシステム
コンテクスト(リソース情報)を用いて、秘話化された
電子著作物を再生用アプリケーションによって変換し、
平文のプレゼンテーションデータを生成する。再生用ア
プリケーションは、あらゆる市販の又はサードパーティ
のアプリケーションが可能である。再生用アプリケーシ
ョンは、プレゼンテーションデータを秘話解除するため
にカスタマイズされる必要はなく、秘話解除部のエンジ
ンも不要である。再生用アプリケーションは、(秘話化
されたシステムリソースを用いて秘話化された電子コン
テンツを処理する)盲目的再生システムとして作動し、
電子著作物を変換又は符号化する秘話化のタイプに依存
する。これにより、ソフトウェアプログラムを用いて電
子著作物を再生する能力が特定のリソース情報に関連づ
けられ、従って使用にわたりコンテンツが保護される。
【0039】暗号化を用いて電子著作物を保護し、最後
に電子著作物を復号して平文の形式にし、それから電子
著作物を再生用アプリケーションに提供するシステムと
は異なり、盲目的再生システムは、再生処理のできる限
り後段まで電子著作物を秘話化の形式で符号化したまま
にする(盲目的な再生には、はっきりとした復号ステッ
プはない)。盲目的再生システムでは、秘話化された電
子著作物そのものは、平文に秘話解除されない。プレゼ
ンテーションデータの品質は一般にオリジナルの電子著
作物よりも劣るため、たとえプレゼンテーションデータ
が平文の形式で取得されても、オリジナルの電子著作物
に(変換されるとしても)容易に変換することはできな
い。
【0040】多くの様々なタイプの電子著作物及びその
リソース情報を秘話化して、盲目的再生システムで再生
することができる。文書、テキスト、オーディオファイ
ル、グラフィックファイル及びビデオファイルなどの電
子著作物を、適切なリソース情報の秘話化により、本発
明の盲目的再生システムで再生することができる。
【0041】本発明の構造及び機能は、本明細書と共に
含まれる図面を参照することで最も良く理解される。
【0042】
【発明の実施の形態】本発明の実施の形態について図面
を参照しながら説明する。本発明を様々な形で具体化す
ることができ、その中には、開示される実施の形態の形
とは非常に異なりうるものもあることは明白であろう。
結果的には、本明細書において開示される特定の構造及
び機能の詳細は代表的なものであるにすぎず、本発明の
範囲を限定するものではない。
【0043】図1は、文書の電子配布のシステムの最上
位機能モデルを表している。上記で定義したように、こ
れらの文書には、通信文書、書籍、雑誌、ジャーナル、
新聞、他の書類、ソフトウェア、オーディオ及びビデオ
クリップ、及び他のマルチメディアプレゼンテーション
が含まれる。
【0044】著者(または出版社)110は文書のオリ
ジナルコンテンツ112を作成し、配布業者114に渡
して配布する。著者が他人を配布業者として使用せずに
文書を直接配布することも考えられるが、図1に示した
ように作業を分割すると効率は向上する。それは、著者
/出版社110が、配布業者114が行う機械的で平凡
な役割ではなく、コンテンツの作成に集中できるからで
ある。さらに、このように作業を分担することで、配布
業者114も多数の著者及び出版社(図示されている著
者/出版社110も含め)と連携することで、規模の節
約を実現できるからである。
【0045】次に、配布業者114は、変換されたコン
テンツ116をユーザ118へ渡す。標準的な電子配布
モデルでは、変換されたコンテンツ116はオリジナル
コンテンツ112の暗号化版を表している。つまり、配
布業者114はユーザ118の公開鍵を使用してオリジ
ナルコンテンツ112を暗号化し、変換されたコンテン
ツ116は特定のユーザ118のためにだけカスタマイ
ズされる。次に、ユーザ118は自分自身の秘密鍵を使
用して変換されたコンテンツ116を復号すれば、オリ
ジナルコンテンツ112を表示できる。
【0046】コンテンツ112に対する支払い120
は、ユーザ118から配布業者114へ決済機関122
を介して渡される。決済機関122は、ユーザ118か
ら、及び特定の文書の表示を希望する他のユーザから要
求を収集する。決済機関122は、支払い取引、クレジ
ットカード取引、及び他の既知の電子支払い方式等の支
払い情報も収集し、収集したユーザの支払いを配布業者
114へ支払いバッチ124として送信する。もちろ
ん、決済機関122はユーザの支払い120の分け前の
一部を受け取る。また配布業者114も、支払いバッチ
124の一部を受け取った上で、著者と出版社110へ
支払い126(印税も含む)を送信する。この方式の1
実施形態では、配布業者114は特定の1文書に関する
ユーザ要求をまとめてから送信する。このようにする
と、変換されたコンテンツ116が含まれた1文書を、
すべての要求ユーザが復号できるように生成できる。こ
の生成方法は、本分野では既知である。
【0047】また、ユーザ118が文書を要求(または
使用)するたびに、会計メッセージ128を監査サーバ
130へ送る。監査サーバ130は、ユーザ118の各
要求が配布業者114が送信する文書と一致することを
確認する。そのために、監査サーバ130は、会計情報
131を配布業者114から直接受け取る。矛盾が生じ
たら、その矛盾を報告書132を介して決済機関122
へ送る。これにより決済機関では配布業者114へ送る
支払いバッチ124を調整できる。このような会計方式
が確立されているため、この電子文書配布モデルでは詐
欺行為が行われる確率が低く、また、使用時間または使
用度に応じて料金が変わる時間依存型の使用許可を扱う
こともできる。
【0048】図1に示した上記の文書の電子商取引のモ
デルは、現在一般的に使用されているものである。以下
で詳細に説明するように、このモデルは自己保護文書の
配布用に説明するシステム及び方法にも同様に適用され
る。
【0049】図2には、電子文書配布に関する従来技術
のシステムでユーザ118(図1)が実行するステップ
が示されている。上記で説明したように、通常は暗号化
装置を使用して文書を暗号化する。次に、暗号化された
これらの文書をパブリックに配布及び保管し、許可され
たユーザがプライベートに復号する。この形式は、文書
の配布業者から目的ユーザまでパブリックネットワーク
を介して文書を配送したり、安全でない媒体上に文書を
記憶したりするときの保護の基本形式である。
【0050】最初に、ユーザ118が暗号化文書210
を受け取り、復号ステップ212へ移る。この分野では
既知のように、復号ステップ212ではユーザ118の
秘密鍵を受け取る。この鍵は、ユーザのコンピュータに
ローカルに記憶しておくか、または必要に応じユーザが
入力する。文書210を復号すると、オリジナルコンテ
ンツ112(図1)と類似または一致する平文コンテン
ツ216が生成される。
【0051】平文コンテンツ216が解釈用アプリケー
ション218へ渡されると、このアプリケーションはプ
レゼンテーションデータ220(つまり、文書のオリジ
ナルコンテンツ112の使用可能版)を作成する。通
常、このようなシステムでは、プレゼンテーションデー
タ220は文書タイプに従って、ただちにビデオ画面に
表示したり、ハードコピーとして印刷したり、または他
の目的で使用したりできる。
【0052】上記で説明したように、このようなシステ
ムでは文書に弱点がある。平文コンテンツ216は、配
布業者114または著者/出版社110の承諾または同
意なしに、コピー、記憶、または他のユーザへの譲渡が
可能である。また、正当なユーザでも、コンテンツ所有
者の所有権に配慮せず、文書を平文の形式で受け取って
自由に再配布及び使用することでライセンス料の節約を
図ろうとするユーザがいる。既に説明したように、本発
明では、ユーザシステムでの解釈の処理時に、ユーザが
文書を再配布可能な形式で入手できない方式を提供して
いる。
【0053】したがって、本発明のシステム及び方法で
は、ユーザ118のシステムにおいて暗号化文書を処理
する別の方式を提供している。この方式の簡単な実施例
を図3に示す。
【0054】図3は、暗号化文書310が復号ステップ
312(秘密鍵314を使用する)及び解釈用アプリケ
ーション316へ渡され最終的にプレゼンテーションデ
ータ318が作成されるという点において、図2と似て
いる。しかし、保護シェル320により、保護層が別個
に用意されている。保護シェル320が提供されている
ため、平文コンテンツを取り込み可能(インターセプト
可能)な状態にせずに(図2の平文コンテンツ216の
ように)、文書310を復号及び解釈できる。これは、
以下に図5を参照して説明するように、文書310に復
号要素及び解釈要素を組み込むことで実現する。組み込
む復号及び解釈要素はユーザのSPDとの対話を制限す
るように調整され、ユーザ許可に応じて特定の操作(文
書の保存またはカットアンドペースト操作の実行)等を
制限する。
【0055】図4はさらに高度なバージョンである。図
4の方式には中間「秘話化」(polarizing)ステップ、
すなわち、簡易暗号化のステップが含まれていて、復号
後で解釈前の文書の安全を確保するように改良されてい
る。まず、暗号化された文書コンテンツ410は秘話化
部412へ渡される。秘話化部412はユーザの秘密鍵
414を受け取り、復号ステップ416を介して、文書
コンテンツ410を復号する。同時に、秘話化部412
はユーザのシステムから秘話化鍵418を受け取る。
【0056】秘話化部412は、この秘話化鍵418を
使用し、文書を秘話コンテンツ420を内容とするバー
ジョンへ変換する。これらの操作はすべて、秘話化部4
12が文書の復号と秘話化処理との間で文書の平文バー
ジョンを記憶していない限り、保護機構を使用せずにオ
ープンで行うことができる。
【0057】本発明の1実施形態では、秘話化鍵418
はユーザシステムの内部状態から取り出したデータ要素
を組み合わせたものを表している。これらのデータ要素
には、日付と時刻、最後のキーストロークからの経過時
間、プロセッサの速度とシリアル番号、及びユーザシス
テムから継続的に取り出すことができる他の情報等が含
まれる。秘話化鍵418には、秘話化コンテンツ420
を取り込んだり獲得したりしてもそのコンテンツが役立
たなくなるような時間関連情報を組み込んでおくと便利
である。このようにしておけば、システム時間は大幅に
変わるため、秘話化文書の解釈は不可能になる。
【0058】次に、再び保護シェル422内で、秘話化
されたコンテンツ420は解釈用アプリケーション42
4へ渡される。上記で説明したように、標準的な解釈用
アプリケーションとしては、Microsoft社のWord(商
標)またはAdobe社のAcrobat Reader(商標)等のサー
ドパーティ・アプリケーションがある。しかし、このよ
うな外部の解釈用アプリケーションは、秘話化されたコ
ンテンツ420を処理できない場合も考えられる。これ
は、コンテンツ、フォーマットコード、及び解釈処理側
で使用する指示符号が秘話化処理時にスクランブルされ
るからである。
【0059】したがって、解釈用アプリケーション42
4には互換性(又は少なくともフォルト・トレラント
性)が要求され、若しくは、ほぼ完全にアプリケーショ
ンが処理可能な秘話化コンテンツ420を受け取らなけ
ればならない。後者の可能性については、図9と関連し
て以下に説明する。
【0060】解釈用アプリケーションの出力は秘話化プ
レゼンテーションデータ426(秘話化解釈コンテン
ツ)で、これは解釈用アプリケーション424によりフ
ォーマットされているが、まだ秘話化されたままである
ため、ユーザがそのまま読み取ることはできない。秘話
化プレゼンテーションデータ426は秘話解除部428
に渡され、その秘話解除部が秘話化鍵418を受け取っ
て文書の元の形式をプレゼンテーションデータ430
(平文解釈コンテンツ)として復元する。本発明の1実
施形態では、この秘話解除機能は解釈の機能または表示
機能と組み合わされている。この場合、秘話化プレゼン
テーションデータ426は表示装置が直接受け取る。こ
の表示装置はユーザシステムと別個のもので、通信チャ
ネルを介してデータを受け取るものであっても構わな
い。
【0061】秘話化鍵418の作成、解釈用アプリケー
ション424、及び秘話解除ステップ428は、すべて
保護シェル422の構成要素である。これらは変更が困
難なプログラム要素である。保護シェル422の内部で
実行されるすべての計算(又は変換)ステップはローカ
ルデータだけを使用し、グローバルにアクセス可能な記
憶媒体やメモリー領域へは一時データを格納しない。最
終的に明示できる結果だけを保護シェル422からエク
スポートする。この方法により、中間データをインター
セプトしたり、利用したりする目的で、ユーザが簡便な
手法をとることができなくなる。例えばオペレーティン
グシステムのエントリー・ポイントを修正したり、シス
テム資源を窃取したりすることができなくなる。
【0062】本発明の別の実施の形態では、図4のプレ
ゼンテーションデータ430はデバイス非依存型データ
またはデバイス依存型データのいずれでも構わない。デ
バイス非依存型の場合、解釈処理を完了するためには、
通常、デバイスドライバ(ディスプレイドライバまたは
プリンタドライバ等)による追加処理が必要になる。現
時点での好ましいデバイス非依存型データの場合、プレ
ゼンテーションデータに対する各デバイスへの適合補正
は(解釈用アプリケーション424または秘話解除ステ
ップ428のいずれかで)すでに行われていて、プレゼ
ンテーションデータ430を目的の出力装置に直接出力
できる。
【0063】図3及び図4を使用して説明した上記の復
号方式は、図5で詳細に示している独自の文書のデータ
構造により実現される。上記で説明したように、本発明
のシステム及び方法が実行する特定の操作では、高信頼
性の構成要素が必要である。特定の純正コード(修正さ
れていないコード)を使用して本発明の信頼性を向上さ
せる方法の1つは、このコードを文書と共に提供するこ
とである。かかる方法を具現化する本発明による自己保
護文書の各種データ構成要素については、図5で説明す
る。
【0064】本発明による文書保護の問題解決方法は、
ユーザシステム側で高信頼性ハードウェア装置またはソ
フトウェアモジュールを用意していないという前提で使
用される。これを実現するために、文書の機能を強化
し、アクティブなメタ文書オブジェクトにする。コンテ
ンツ所有者(つまり著者または出版社)は、文書に権利
情報を付加し、使用目的のタイプ、必要な許可と関連料
金、及びユーザに許可を与えるソフトウェアモジュール
を指定する。文書と、関連する権利と、権利の行使を実
現する付加ソフトウェアモジュールを組み合わせたもの
が、本発明にいう自己保護文書(SPD)である。自己
保護文書では許可されていなかったり、想定されていな
い管理外の使い道や文書の配布が防止されるため、コン
テンツ所有者の権利が保護される。
【0065】自己保護文書510は、次の3種類の主要
機能セグメントにより構成されている。実行可能コード
セグメント512には、ユーザが暗号化文書を使用する
ために必要な実行可能コード部分が含まれている。権利
及び許可セグメント514には、さまざまなユーザに許
可する各種アクセスレベルを表すデータ構造体が含まれ
ている。コンテンツセグメント516には、ユーザが表
示する暗号化コンテンツ116(図1)が含まれてい
る。
【0066】本発明の好適な実施形態では、SPD51
0のコンテンツセグメント516は、文書メタ情報51
8(文書のタイトル、フォーマット、及び改訂日等の情
報)、権利ラベル情報520(テキストと共に表示する
著作権の表示と権利及び許可情報)、及び保護コンテン
ツ522(暗号化された文書自身)の3種類のサブセク
ションで構成される。
【0067】本発明の1実施形態では、権利及び許可セ
グメント514には、各許可ユーザごとの権利情報が含
まれる。料金及び条件の一覧を、各ユーザの権利に加え
ても構わない。例えば、John Doeというユーザに特定の
文書を表示する権利と、2回だけ印刷する権利とを10
ドルで与えることができる。この場合、権利及び許可セ
グメント514ではJohn Doeを識別し、彼に2種類の権
利を関連付け(表示権及び印刷権)、価格(10ドル)
及び印刷の制限(2回)等の料金と条件を指定する。権
利及び許可セグメント514には、他のユーザの情報を
組み込んでも構わない。
【0068】別の実施形態では、権利及び許可セグメン
ト514には権利情報を指定する外部情報へのリンクだ
けを組み込む。この場合、実際の権利及び許可はネット
ワークで接続された許可サーバ等の別の場所に記憶され
ていて、文書を使用するたびに照会を行う必要がある。
この方法では、権利及び許可をコンテンツ所有者が動的
に更新できるという利点がある。例えば、表示のための
価格を引き上げたり、許可されていない態様での使用を
検出したらユーザの権利を無効にしたりできる。
【0069】いずれの場合にも、権利及び許可セグメン
ト514は暗号で署名し(本技術分野では既知の方法に
より実現できる)、指定された権利及び許可を不正に変
更できないようにするのが好ましい。また、ユーザが自
分自身及び他人の権利及び許可を直接表示できないよう
に暗号化することも好ましい。
【0070】実行可能コードセグメント512(「SP
D制御」とも呼ばれる)にも幾つかのサブセクションが
含まれていて、各サブセクションは、少なくとも一部が
実行可能コードセグメントに含まれるソフトウェアモジ
ュールで構成されている。本発明の1実施形態では、こ
のSPD制御にJavaプログラミング言語を使用してい
る。しかし、本発明を実現するには、プラットフォーム
に依存しない言語であるかプラットフォームに固有の言
語(インタプリタ型またはコンパイラ)であるかに関わ
らず、任意の言語を使用できる。
【0071】権利行使部524は、ユーザのIDを確認
し、ユーザが要求するアクションと権利及び許可セグメ
ント514に列挙されているアクションとを比較し、指
定された権利に基づいて要求されたアクションを許可ま
たは拒否するために用意されている。権利行使部524
の処理は、図7を参照して以下に詳細に説明する。
【0072】秘話化エンジン526も、実行可能コード
セグメント512に、保護された状態で含まれている。
このエンジンは、既に説明したように、システムの状態
(または他の秘話化鍵)に従ってデータを読み取り、秘
話化する。本発明の好適な実施形態では、秘話化エンジ
ン526は文書の記憶前または復号前にその文書を処理
するため、ユーザシステムに文書が平文で記憶されるこ
とはない。秘話化エンジン526は保護されていて(つ
まり、暗号署名及び暗号化されていて)、変更、リバー
スエンジニアリング、及び逆アセンブルできないように
なっている。
【0073】対応する秘話解除エンジン528も実行可
能コードセグメント512に含まれていて、秘話化コン
テンツから平文のプレゼンテーションデータを生成でき
るようにしている(図4を参照されたい)。秘話解除エ
ンジンにはセキュアウィンドウオブジェクトの組が含ま
れていて、ユーザシステムの解釈用API(Applicatio
n Program Interface)に対する変更防止インターフェ
ースになっている。セキュアウィンドウオブジェクトは
インターセプトが困難である。このため、オペレーティ
ングシステム用のデータをインターセプト、又は受信し
て平文形式の文書を再構築する機会を少なくできる。
【0074】実行可能コードセグメント512に含まれ
ている、対応する秘話解除エンジン528は、秘話化さ
れたコンテンツから平文のプレゼンテーションデータを
生成できる(図4を参照されたい)。また、この秘話解
除エンジン528は、論理出力装置または物理出力装置
(例えば、ユーザの表示装置)に対する変更防止インタ
ーフェースである。秘話解除エンジン528に入力され
るのは、秘話化プレゼンテーションデータである。した
がって、そのデータがインターセプトされても、ユーザ
のシステム状態等に依存する秘話解除の処理を実行しな
いと平文コンテンツは得られない。
【0075】セキュア表示部530は、実行可能コード
セグメント512にオプションで組み込まれる。セキュ
ア表示部530は、権利及び許可セグメント514に基
づき、許可されているアクセスレベルだけを許可するた
めに使用される。例えば、ユーザが文書を表示する権利
しか買っていない(保存(セーブ)や印刷の権利は買っ
ていない)場合には、表示部は、ユーザに対し保存や印
刷は許可せず、また、現在の大部分のオペレーティング
システムで実行可能なカットアンドペーストの実行も許
可しない。
【0076】また、解釈用エンジン532が実行コード
セグメント512に含まれているか、または、実行コー
ドセグメント512により参照される。解釈用エンジン
532は、保護する必要はない。したがって、解釈用エ
ンジン532のコードはSPDアプレット内に組み込ま
れていてもよいし、他の場所から(セキュアリンクを介
して)取得することとしても構わない。どちらの場合
も、解釈用エンジン532は、秘話化文書コンテンツの
入力を受けて、当該コンテンツデータから秘話化プレゼ
ンテーションデータを作成するように設定されている
(図4を参照されたい)。
【0077】自己保護文書510の上記の態様及び要素
を、システムの動作と共に、以下に詳細に説明する。
【0078】図6は、自己保護文書510が作成され、
配布されるときに実行されるステップを示したものであ
る。汎用(generic)SPD610には、ユーザ固有の
権利情報は組み込まれておらず、特定のユーザ用に暗号
化もされていない。汎用SPD610は、3つの項目、
すなわち、平文(暗号化されていない)形式のオリジナ
ル文書コンテンツ612、高レベル権利指定614、及
びオプションの電子透かし616から作成される。
【0079】コンテンツ612は、著者または出版社の
希望に合わせて、文書のレイアウトを決定するように事
前処理(プリプロセス)される(ステップ618)。例
えば、希望するページサイズ、フォント、及びページレ
イアウトを選択できる。コンテンツ612は、ユーザシ
ステム及びSPDと互換性がある形式になるように、コ
ンテンツ事前処理ステップで「事前解釈」される。例え
ば、コンテンツ612はMicrosoft Word(「.DOC」)ま
たはAdobe Acrobat(「.PDF」)形式から解釈用エンジ
ン532が読み取れるように特別に設定された別の形式
に変換される(図5)。本発明の1実施形態では、コン
テンツ612の複数のバージョンがコンテンツ事前処理
ステップで生成され、汎用SPD610に記憶される。
ユーザは、これらの異なったバージョンを、要求に応じ
て個別に購入できる。
【0080】高レベル権利指定614では、アクセス権
利の可能な組合せを記述する。この権利指定は、文書ご
とに合わせて設定され、下流のユーザの様々なクラスの
様々な権利グループを記述できる。例えば、1コピー当
り1.00ドル、追加コピーに2.00ドルの使用料で
最大100,000部の文書を配布する権利を出版社に
与えることができる。同様に、1ヶ月後や1年後に「期
限切れ」する文書または期限のない文書等、各バージョ
ンの文書購入オプションをユーザに与えることができ
る。考えられるいくつかの制限について、詳細な例を参
照して説明する。以下に例を述べる。
【0081】Digital Property Rights Language(DP
RL)は、デジタル著作の権利を指定するために使用さ
れる言語である。この言語は、権利に関する各種料金及
び条件を指定し、権利を行使する機能を提供している。
権利指定は、DPRLのステートメントとして表現され
る。詳細については、Stefikに付与された米国特許第
5,715,403号、「System for Controlling the
Distribution and Useof Digital Works Having Attac
hed Usage Rights Where the Usage Rights areDefined
by a Usage Rights Grammar」等を参照。権利の行使及
び権利に関連する条件の検証は、SPD技術を使用して
行われる。
【0082】各種権利は、「work(ワーク)」指定
を使用してデジタル著作物の各要素について指定でき
る。work指定では、各著作に適用可能な各種の権利
のセットを指定できる。権利は、「right group」と呼
ばれる名前付きグループに分類できる。権利グループ内
の各権利は、条件セットに関連付けられる。条件には、
支払う料金、使用時間、アクセスタイプ、電子透かしタ
イプ、処理を行う装置タイプ等様々な種別がある。DP
RLでは、譲渡、表現権、派生著作権、ファイル管理
権、及び構成権等の各種権利カテゴリに対応している。
トランスポート権は、ある格納場所(リポジトリ)から
別のリポジトリへの著作物の移動に関する。表現権は、
著作物の印刷及び表示、より一般的には、変換装置を介
して著作物を外部媒体へ送信することに関する(これに
は、平文のコピーを作成するために使用する「エクスポ
ート」権も含まれる)。派生著作権は、新しい著作物を
作成する場合に著作物の再使用をすることに関する。フ
ァイル管理権は、バックアップコピーの作成及び復元に
関する。また、構成権はリポジトリのソフトウェアのイ
ンストールに関する。
【0083】DPRLのワーク指定の例を以下に示す。
【0084】
【外1】
【0085】このwork指定には「Regular」と呼ば
れる権利グループがある。「Regular」は、「Zuke-Zac
k, the Moby Dog Story」という題名の書籍の標準小売
版の権利を指定している。このワーク指定は、表示再生
(play)、印刷(print)、転送(trans
fer)、コピー(copy)、削除(delet
e)、バックアップ(backup)、及びリストア
(restore)等の幾つかの権利の条件を表してい
る。この例の著作物には、他のソースから組み込まれ
た、さらに2つの構成要素として、写真と犬の種類表
(chart of breeds)とが含まれている。「bundle」指
定は、グループ内のすべての権利に適用される共通の条
件セットをまとめている。この指定は、グループ内のす
べての権利が1998年の1月1日まで有効で、料金を
アカウント「Jones-PBLSH-18546789」に支払うことを表
している。この取引の決済機関はVisaである。さら
に以下に述べる契約が適用される。著作物の再生には1
時間当り1.00ドル支払い、料金は秒単位で累算され
る。著作物は「DPT」により保証されるTrustedPrint
er-6で印刷でき、1回の印刷当り10.00ドルの料金
である。印刷されたコピーには、(上記のように設定さ
れた)電子透かし文字列と印刷時に分かっている「指紋
(finger print)」としてのトークンリストとを付け
る。この著作物は、10.00ドル支払うかまたはMu
rphy出版から配布業者証明書を入手してコピーでき
る。この著作物の無制限の譲渡、削除、またはバックア
ップが許されている(リストア・コスト5.00ド
ル)。
【0086】高レベル権利指定614も事前処理ステッ
プの対象になる(ステップ620)。この場合、高レベ
ル(人間が読み取り可能な)指定は、より効果的なデー
タ構造表現にコンパイルされ、本発明で使用できるよう
な形式になる。
【0087】次に、事前処理されたコンテンツ612、
事前処理された権利指定614、及び電子透かし616
を組み合わせることで汎用SPD610を作成する(ス
テップ622)。電子透かしは、本技術分野で知られて
いる任意の方法で付加できる。SPDにおける電子透か
しは、目で確認できる形式でも、できない形式でもよ
い。汎用SPD610は、著者/出版社110によりオ
プションで暗号化し、配布業者114へ送信してもよい
(図1)。
【0088】次に、配布業者114は汎用SPD610
を受け取り、後でカスタマイズできるように記憶する。
配布業者114がユーザ要求624を受け取ると(直
接、または決済機関122あるいは他の中間機関を介し
て)、配布業者114は、ユーザ要求624、及び権利
指定614の両方と互換性のあるユーザ許可のセットを
作成する(ステップ626)。このような互換性のある
許可セットがない場合は、ユーザのためのアクションは
これ以上実行されない(オプションでユーザに対し出さ
れる通知メッセージを除く)。
【0089】次にユーザ許可及びユーザの公開鍵628
を使用し、ユーザが使用できる形式に設定されたカスタ
マイズSPD632を生成する(ステップ630)。ス
テップ626で入手したユーザ許可をSPD632の権
利及び許可セグメント514に記憶し、ユーザの公開鍵
628を使用してSPD632のコンテンツセグメント
516のコンテンツを暗号化する。ここでは公開鍵暗号
化機構を使用して、SPDを汎用形式からカスタマイズ
SPD632へ変換できる。この機構は、著者、出版
社、小売店、顧客等、様々な関係者間で、各段階で権利
を保護しながらSPDの機密を守って受け渡しする場合
に便利である。さらに、複数のユーザ要求を1つのSP
D632内に作成し、格納できることにも注意する必要
がある。この技術としては、複数の公開鍵を使用して文
書を暗号化し、しかも、任意のユーザ秘密鍵を使用して
復号できるような技術が知られている。
【0090】その結果得られるカスタムSPD632
は、コンピュータネットワーク等の利用可能な手段によ
りユーザ118へ送信するか、または物理媒体(磁気デ
ィスクまたは光ディスク等)に格納して頒布される。
【0091】ユーザがSPDを受け取ったときに実行す
る操作を図7のフロー図に示してある。まず、SPDが
受け取られ、ユーザシステムに記憶される(ステップ7
10)。通常は、SPDをただちに使用する必要はな
い。使用したいとき、通常はユーザ名とパスワードまた
は鍵を用いて、最初にユーザの認証が行われる(ステッ
プ712)。次に、システムはユーザが希望するアクシ
ョンを判別する(ステップ714)。アクションが選択
されると、本発明の権利行使ステップ(ステップ71
6)が実行され、希望するアクションに関連する条件を
検査する(料金、時間、アクセスレベル、電子透かし、
または他の条件等)。これは、実行可能コードであるS
PDアプレット512(図5)によりローカルに行う
か、または権利実施サーバにアクセスすることで実行で
きる。
【0092】権利行使ステップ(ステップ716)が失
敗すると、更新手順(ステップ718)が実行される。
ここでユーザは、追加料金を承認するなど、自分の許可
を更新する機会が与えられる。条件の検査が正常に終了
すると、事前監査手順(ステップ718)が実行され、
SPDシステムは検査状態をトラッキングサービス(図
1の監査サーバ130等)へ記録する。これで、コンテ
ンツは既に説明したように確実に解釈され、画面に表示
再生される(ステップ722)。ユーザの処理が終了す
ると、事後監査手順(ステップ724)が実行され、使
用量がトラッキングサービスにより更新される。そし
て、SPDシステムは次のアクションを待つ。
【0093】SPDによる保護において特徴的なこと
は、解釈処理時の中間段階では、ユーザが文書を再配布
等の不正利用可能な形式では入手できないようにしてい
ることである。これは、できるだけ後段で、できれば最
後のステップで文書コンテンツを復号することで実現さ
れている。
【0094】図8に、SPD復号モデルを示す。Eは出
版社が実行する暗号機能を示し、Dはユーザシステムで
実行される復号を示し、Rは解釈変換処理を示す。従来
システムの多くは最初の変換シーケンスである経路81
0、つまり、D(E(x))を実行した後、引き続いて
R(D(E(x)))を行っている。既に述べたよう
に、初期の段階で行われる復号では文書は危険な状態に
置かれる。できれば、変換は逆順である経路812、つ
まりR'(E(x))を実行した後、引き続いてD(R'
(E(x)))を実行するとよい。これにより、復号は
可能な限り後段で行われる。
【0095】R'が可能かどうか、つまり、復号の前に
解釈の処理を実行できるかどうかは、以下の式により判
別する。 D(R'(E(x)))=R(D(E(x)))
【0096】ここで、暗号化関数と復号関数とが可換で
ある場合、つまり、任意のxに対してE(D(x))=
D(E(x))となる場合には、R'が可能かどうかは
次の式で確認できる。 y=E(x)である時R'(y)=E(R(D
(y)))
【0097】実際には、RSAシステム及びElGam
al離散対数システム等の一般的な公開鍵暗号システム
の暗号化及び復号関数はこの可換性の要求を満足する。
つまり、暗号化及び復号にこれらの復号システムを使用
する場合、変換R'は可能である。
【0098】パスx'=D(R'(E(x)))は、許可
されない文書の使用及び配布に対する文書保護の理想的
なSPDによる解決方法を示している。文書の配布及び
使用のシナリオを以下に説明する。ユーザが文書を購入
すると、文書はユーザの公開鍵情報を使用して暗号化
し、インターネット等の安全でないネットワークチャネ
ルを介して送信する。暗号化した文書には権利情報が追
加されており、権利及び許可を実行する保護アプレット
512がコンテンツ所有者によりユーザに付与されてい
る。ユーザが文書の使用を要求すると、このアプレット
は権利及び許可を確認し、オリジナル文書のプレゼンテ
ーション形式を暗号化文書から生成する。最終的なプレ
ゼンテーションデータ形式になる前の文書の中間形式は
どの形式でもユーザの秘密情報により暗号化されている
ため、文書保護のSPDモデルでは、この文書の中間形
式がインターセプトされても他のシステムでは使用でき
ないことが保証されている。
【0099】この理想的なモデルは、解釈変換処理Rに
対応する変換処理R'の計算が効果的に行えるかどう
か、特に、R'実行時に復号関数Dを呼び出すことが必
要かどうか、に依存していることは明らかである。R'
を効果的に実行できる場合で問題にしなくてもよい自明
なケースは、Rが暗号化関数Eと可換である場合であ
る。この場合、y=E(x)について R'(y)=E
(R(D(y)))=R(E(D(y)))=R(y)
となる。尚、この場合、R'=Rである。
【0100】図8から分かることは、2つの極端なケー
スx'=R(D(E(x)))、つまりx=D(E
(x))に対し保護がない場合とx'=D(R'(E
(x)))(理想的な保護)との間には、文書保護の問
題に対するいくつかの中間的な解決方法(例えば、中間
解決方法814、816、及び818)が(上記の想定
の下で)存在するということである。図8に示してある
ように、暗号化された文書E(x)からプレゼンテーシ
ョンデータx'を得るには様々なパスがあり、それら
は、部分的な解釈変換処理と部分的な復号変換処理が様
々に組み合わされたデータに対応していることが分か
る。この場合も、どのパスでも復号Dを遅らせることで
文書の保護レベルが向上することがわかる。
【0101】上述のように、復号処理をできるだけ遅ら
せるという代替的方法では、文書全体や形式ではなく文
書のコンテンツだけを暗号化する秘話化技術を採用して
いる。この実現方法を図9に示す。文書コンテンツ91
0は最初は平文である(これは、ユーザ処理時に認識可
能な単一の箇所でではなく、図4のステップ412実行
時に発生する一時的な状態である)。文書は、データ部
分914と形式部分916とに分割される(ステップ9
12)。データ部分914は秘話化鍵920を使用して
秘話化され(ステップ918)、平文形式部分916と
マージされる(ステップ922)。これにより、秘話化
コンテンツ924が得られる。この秘話化コンテンツ
は、コンテンツを復号しなくても秘話化プレゼンテーシ
ョンデータに解釈可能である。この秘話化形式の安全性
は、秘話化鍵による本格的な暗号化よりも低い。なぜな
ら、文書のレイアウト、ワードの長さ、行の長さ等から
大量の情報が得られ、従って概略の内容が判明してしま
うからである。しかし、この方式は、偶発的な著作権侵
害を抑止できる。
【0102】盲目的変換関数を用いた、再生の際の電子
著作物の保護方法は、図10を参照して示される。図1
0において、暗号化電子著作物1010が再生用アプリ
ケーションに提供される。電子著作物1010は、再生
用アプリケーション1012が暗号化プレゼンテーショ
ンデータ1016を生成できるようにする形式保存暗号
化方式で暗号化されている。次に、暗号化プレゼンテー
ションデータ1016を復号エンジン1018に送り、
ここで平文のプレゼンテーションデータ1020に復号
する。プレゼンテーションデータは今や平文であるが、
元のデジタル形式に再び生成されることは恐らくない。
ユーザがプレゼンテーションデータ1020を直接表示
したり使用したりすることができる場合、更なる処理は
不要である。しかしながら、プリンタなどの表示システ
ムによっては更なる解釈が必要な場合がある。このよう
な場合、プレゼンテーションデータ1020を表示シス
テムの解釈用アプリケーション(プリンタの場合、これ
は分析装置(decomposer)になりうる)に提供し、このア
プリケーションは画像データ1024を生成する。画像
データ1024は次に表示装置1026へ提供される。
【0103】一般に、盲目的変換の問題を以下のように
述べることができる。キャシー(Cathy)というクライア
ントがサーバーであるスティーヴ(Steve)に、彼の(パ
ブリック又はプライベートな)データaと彼女のプライ
ベートデータを用いて関数値F(a,x)を計算してほしいと
希望しており、キャシーは、プライバシー保護の観点か
ら、彼女のプライベートデータxと関数値F(a,x)をステ
ィーヴに知られずにこの変換が行われることを望んでい
る、と仮定する。スティーヴから見れば、これは、キャ
シーのために目隠しをしたままF(a,x)を計算する、とい
うことである。これは、キャシーがサーバーのスティー
ヴに、キャシーの鍵kで暗号化されたデータEk(x)のみ
を用いて変換処理を行い、彼女の鍵kを用いて再び暗号
化された関数値Ek(F(a,x))を彼女に戻してほしいと願っ
ていることを意味する。スティーヴが暗号化データを用
いて変換処理を行うことができれば、キャシーはデータ
x及び結果F(a,x)の平文形式での公開を避けることがで
きる。部分的に暗号化されたデータを用いた盲目的変換
の理想的なモデルを以下に示す。
【0104】
【外2】
【0105】この図を可換にする関数F'はスティーヴが
実際に計算するもので、変換の結果F'(a,Ek(x))=Ek(F
(a,x))は所望の関数値F(a,x)を明らかにする復号処理を
受ける準備ができている。スティーヴは平文データxと
関数値F(a,x)を「見て」いないため、「盲目的な」変換
をキャシーのために行っていることになる。
【0106】関数F(a,x)の盲目的評価に関しては、盲目
的変換のプロトコルを以下のように説明することができ
る。 (i)キャシーは暗号鍵kを用いてxを暗号化し、Ek(x)を生
成する (ii)キャシーはEk(x)をスティーヴに送る (iii)スティーヴは平文データa及び暗号化データEk(x)
における関数Fの変換バージョンF'を評価する (iv)スティーヴは結果F'(a,Ek(x))をキャシーに戻す (v)キャシーは復号鍵k-1を用いてF'(a,Ek(x))を復号
し、F(a,x)を得る
【0107】ここで紹介される盲目的変換の理想的なモ
デルは、盲目的署名及びインスタンスの隠蔽を一般化し
たものとしてみなすことができる。盲目的変換は、部分
的に暗号化されたデータを入力として許容し、より重要
なことには、サーバーが計算する関数F'を目的の関数F
とは異なるものにすることができる。Fの代わりにF'を
計算することにより、サーバーは、なお目隠し状態では
あるが、入力が部分的に暗号化されていることを認識
し、従ってクライアントに協力することができる。盲目
的変換及び安全で融通性のある計算は、サーバが計算す
る関数値をクライアントの秘密として保つことを共通の
目標としているが、盲目的変換ではクライアントがデー
タ入力を供給するとサーバーが関数(を評価するプログ
ラム)を供給し、安全で融通性のある計算ではその逆で
ある、という点で異なっている。盲目的変換は、データ
のある部分(例えばa)が平文の形式であることを許容
することに注意する。これにより、動的だがなお平文の
形式であるいくつかのデータを、表示ウィンドウのサイ
ズ、コンテンツ移動のための参照位置、回転操作におけ
る倍率及びスケーリング係数などの解釈処理に使用する
ことができる。
【0108】盲目的変換は、暗号化データを計算するた
めの関数F及びF'が可能である場合のみに有効である。
加法的暗号化方式を用いた、多変量の整数係数のアフィ
ン関数により、x座標及びy座標上のアフィンタイプの文
書解釈関数の多くを盲目的変換で評価できることを示す
ことができる。与えられた暗号化方式Sに対し、ある関
数F':X→Xが可能である場合、関数F:X→Xは「Sによる盲
目的計算が可能」と言われる。これにより、F'を評価す
るための計算の複雑性はFを評価するための計算の複雑
性の多項式となり、任意のk∈K及びx∈Xに対してF(a,x)
=Dk-1(F'(a,Ek(x)))となる。暗号化方式Sが可能である
場合、関数F:X→Xは「盲目的計算が可能」と言われ、S
によるFの盲目的計算が可能であるようにXはメッセージ
スペースの部分集合である。
【0109】多変量の整数係数のアフィン関数はいずれ
も、任意の加法的暗号化方式に対してSによる盲目的計
算が可能である。
【外3】 実に、F'y0,b1,,bkの定数y0及び整数係数biを取り入
れてy0=Ek(x0), bi=ai,i=1,…,kとすることができる。
本明細書に記載の、文書の形式保存暗号化及び高信頼性
解釈の理論上の基礎を条件とする場合、加法的暗号化方
式を用いた多変量の整数係数アフィン関数の盲目的変換
により、x及びy座標上のアフィンタイプの文書解釈関数
の多くを盲目的に評価することができる。
【0110】文書は、通常は一定の形式にならったメッ
セージである。文書を暗号化するには、文書全体を単に
暗号化する他に、文書のある部分のみを暗号化する多く
の様々な方法がある。本明細書での目標は、暗号化され
ていない部分に関する情報の漏洩を使用できないように
すること、即ち、情報が漏洩しても平文のオリジナル文
書の再構築を計算上困難なものにすることである。
【0111】暗号化方式が電子著作物の形式情報を保つ
場合、任意の変換関数(再生用アプリケーション又は解
釈用アプリケーション)を使用することができる。形式
保存暗号化方法の一例を、便宜上トークンベースの文書
を参照して説明する。形式保存暗号化の方法を、他の形
式(例えばHTML/XML、Microsoft WORD、Acrobat PDFな
ど)の文書に容易に拡張又は適用することができる。Xe
rox社の DigiPaperのようなトークンベース形式では、
文書の各ページ画像はトークン画像(文字及びグラフィ
ックエレメントなど)の「辞書」及び位置情報(トーク
ン画像がページのどこに現れるかを示す)として表され
る。従って、文書中に同一のトークンが複数回現れて
も、辞書内のそのトークンの画像を1つだけ用いて表す
ことが可能である。
【0112】このような形式で文書を解釈する方法は、
トークンの位置を連続的に読み取り、トークンの画像を
辞書から取り出し、そして指定の位置で画像を描くこと
によって達成される。トークンベースの文書の利点は、
ファイルサイズがコンパクトであり、電子文書の配布、
表示及び印刷に使用する際の解釈速度が速いことであ
る。DigiPaper形式では、トークンはCCITT グループ4圧
縮形式を用いてバイナリ画像として記憶されるか又はJP
EG圧縮を用いてカラー画像として記憶され、トークンの
位置情報はハフマン符号を用いて更に圧縮される。
【0113】便宜上、P枚のページからなるトークンベ
ースの文書Dを、P枚のページの画像を表すサイズ|Lk|の
位置LkのテーブルP個のシーケンス(1≦i≦P)と共に、サ
イズ|T|のトークンTのテーブル(辞書)として正式にモ
デル化する。各エントリT[j](1≦j≦|T|)は、j番目の
トークンの識別子id[j]及び画像t[j]を有する組(id[j],
t[j])である。i番目の画像位置テーブルLiにおける各エ
ントリLi[k]( 1≦k≦|Li|)は、i番目のページ画像に
おけるk番目のトークンの発生を表す組(id[k],x[k],y
[k])であり、ここでid[k]は識別子、そしてx[k]及びy
[k]はページ内の前の(k-1)番目のトークン発生からのx
座標及びy座標の差である。例えば、図11に示す簡潔
な文書を考える。この文書のトークン辞書及び(x、y座
標を用いた)位置テーブルをそれぞれ図12及び図13
に示す。
【0114】下記の概略的な擬似コードRender(D)は、
文書Dのページ画像を解釈する態様を示している。この
コードにおいて、x0,y0は各ページ毎のx座標及びy座標
のベース参照であり、Lookup(T,id[k])は、辞書T及びト
ークン識別子id[k]が入力されると所与の識別子に対応
する辞書T内のトークン画像に戻るサブルーチンであ
り、Draw(x,y,t)は位置(x,y)でトークン画像tを描くサ
ブルーチンである。
【0115】
【外4】
【0116】前述の概略的な解釈方法に使用されるよう
なシフト変換x'=x+a, y'=y+bの他に、文書の解釈の際に
生じうるいくつかの他の座標変換がある。
【0117】スケーリング スケーリング変換はx'=ax, y'=byという形からなり、こ
こでa及びbはそれぞれx座標及びy座標の倍率である。ス
ケーリングは、表示ウィンドウ又は印刷用紙をリサイズ
することによって生じうる。
【0118】回転
【外5】
【0119】アフィン変換 アフィン変換は、いくつかの定数a、b、c、d、e、fに対
してx=ax+by+e、 y=cx+dy+fの形をとるものである。
【外6】 シフト変換、スケーリング変換及び回転変換がアフィン
変換の特殊なケースであることは明らかである。後述す
る加法的暗号化方式を用いた座標情報の暗号化において
高レベルの信頼性の解釈を達成することができるのは、
これらのアフィンタイプの変換である。
【0120】特殊な類の暗号化方式、即ち加法的暗号化
方式は、文書の高信頼性解釈の基礎を提供するアフィン
タイプの関数の盲目的変換を実行するために用いられ
る。暗号化文書の解釈変換R及びR'による盲目的変換
は、D(R'(E(x)))=R(D(E(x)))の関係を満たす。式中、E
は暗号化関数で、DはEのための復号関数である。E(x)が
加法的暗号化方式である場合、R'=Rである。
【0121】暗号化方式Sは一般に、(i)可能なメッセー
ジの集まりであるメッセージスペースX、(ii)可能な暗
号化メッセージの集まりである暗号化テキストスペース
Y、(iii)可能な鍵の集合である鍵スペースK、(iv)計算
上効率的な暗号化関数E:K×X→Y、及び(v)計算上効率的
な復号関数D:K×Y→X、といった基本的に5つの構成要
素からなる。各鍵k∈K毎に固有の鍵k-1∈Kがあり、これ
により、暗号化関数Ek=E(k,):X→Y及び復号関数Dk-1=D
(k-1,):Y→Xは、各メッセージx∈X毎にDk-1=(Ek(x))=x
を満たす。鍵kは暗号鍵と呼ばれ、k-1はこれに対応する
復号鍵と呼ばれる。
【0122】このように定義された暗号化方式をいくつ
かの方法で変更し、実際に用いられる広範囲の具体的な
暗号化方式をカバーすることができる。1つの変形例
は、暗号化及び復号に用いる鍵が互いに異なるか否かを
考慮することである。全ての暗号鍵kが対応する復号鍵k
-1と同一である場合、この方式は対称的(又は秘密鍵)
であり、そうでない場合、この方式は非対称的である。
全ての可能なkに関して、k-1がkとは異なり、kからの導
出が計算上困難である場合、この方式は公開鍵暗号化方
式である。
【0123】別の変形例は、決定的暗号化方式と確率的
暗号化方式とを区別することである。決定的方式では、
全ての暗号化関数Ek及び復号関数Dk-1は決定的な関数で
あるが、確率的方式では暗号化関数Ekを非決定的とする
ことができ、即ちこの関数をメッセージに2度適用する
ことによって2つの異なる暗号化メッセージを生成する
ことができる。
【0124】加法的な暗号化方式とは、メッセージスペ
ースX及び暗号化テキストスペースYがある加法的構造を
有し、暗号化関数Ek=E(k,):X→Yが加法的構造に対して
準同型である暗号化方式である。
【外7】
【0125】
【外8】
【0126】一般に、加法的(及び乗算)暗号化方式は
非順応的ではない。なぜなら、暗号化メッセージが与え
られると、各々の平文メッセージが関連付けられるよう
な異なる暗号化メッセージの生成が(少なくとも計算上
は)不可能である、ということが、非順応性の方式には
必要とされるからである。従って、加法的暗号化方式
は、攻撃者が暗号化メッセージを他の方法で削除、追
加、又は変更しようとするアクティブな攻撃に対して弱
点を有する。しかしながら、これらの方式を文書の暗号
化に用いた場合、文書の完全性及び機密性に対するこれ
らのアクティブな攻撃によって生じるリスクを減少させ
るように、データの完全性及びメッセージの認証に対し
て更なる手段を講じることができる。更に、これらの攻
撃は、ユーザが使用及び消費しようとする文書のコンテ
ンツに影響を及ぼすため、エンドユーザの、アクティブ
な攻撃を開始しようとする動機は薄くなる。
【0127】全ての暗号化方式を加法的なものである
と、容易に、そして当然のこととして定義することはで
きない。実際に、非加法的であるか又は少なくとも非加
法的なものに変換可能であることを要件として設計され
た暗号化方式もある。しかしながら、形式保存暗号化及
び高信頼性の文書解釈の方法に用いることのできる付加
的暗号化方式の例はたくさんある。Mult、Exp及びEG
(3つの決定的方式)、OU(確率的)、並びにRSAは、
形式保存方法に用いることのできる付加的暗号化方式の
例である(攻撃を受ける程度は様々である)。
【0128】乗算暗号(Mult)は対称的暗号化方式であ
り、ある整数n>0に対してX=Y=Zn={0,1,…n-1}であ
る。鍵aを用いたメッセージxの暗号化はy=Ea(x)=ax(mod
n)であり、鍵aを用いたメッセージyの復号はx=Da(y)=a
-1y(mod n)であり、式中a-1はモジューロnの乗算逆数で
ある。
【0129】指数関数暗号(Exp)は対称的暗号であり、
ある素数pに対してX=Zp-1及び暗号テキストスペースY=Z
pであり、Kは乗算群Z* pの全ての生成元の集合である。
任意の生成元g∈Kに対して、暗号化関数は指数関数E
g(x)=gx(mod p)として定義され、復号関数は対数関数Dg
(y)=loggy(mod (p-1))として定義される。
【0130】準確率的ElGamal暗号(EG)は、指数関数暗
号をElGamal暗号に拡張しており、ElGamal暗号を準確率
的なモードで実行する。各メッセージに対してx∈Z
p(ある素数pに対してZp={[1,…p-1})であり、gは乗
算群Z* p内の生成元であり、ユーザ用の秘密復号鍵は乱
数a∈Z* p-1であり、公開暗号鍵はα=ga(mod p)∈Zpであ
り、暗号化Eα(x,r)は一様に選択される乱数r∈Z* p-1
依存する。即ち、Eα(x,r)=(gr(mod p),xαr(mod p))=
(s,t)である。暗号化メッセージ(s,t)に対し、復号関数
はDα(s,t)=t(sα)-1(mod p)である。
【0131】
【外9】
【0132】オカモト−ウチヤマ(Okamoto-Uchiyama)暗
号(OU) オカモトとウチヤマは、T.オカモト及びS.ウチヤマの"A
New Public-Key Cryptosystem as Secure as Factorin
g"(Eurocrypt'98, Lecture Notes in ComputerScience
1403, 308-318, 1998)において、加法的な公開鍵暗号化
方式を提唱した。この方式は確率的であり、おそらく消
極的な攻撃者に対してn=p2qのファクタリングの処理が
困難であるのと同じ位安全度が高いであろう。k>0であ
るk個のビットのうち2つの大きな素数p、qを選択し、n
=p2qとする。gp=gp-1(mod p2)の位数がpになるように、
g∈Z* nをランダムに選択する。h=gn(mod n)とする。OU
方式のメッセージスペースXは(オカモト及びウチヤマ
が主張するような集合{1,…2k-1}ではなく)集合Z* p
であり、暗号テキストスペースYはZnである。ユーザに
対しては、公開鍵は組(n,g,h,k)であり、対応する秘密
鍵は素数の対(p,q)である。メッセージx∈Xを暗号化す
るには、乱数r∈Znを一様に選択する。すると、暗号化
メッセージはy=E(n,g,h,k)(x,r)=gxhr(mod n)となる。
暗号化メッセージyを復号するには、「対数」関数L:Γ
→Γ、L(x)=(x-1)p-1(mod p2)を用いる。式中、ΓはZ*
p2のp-Sylow半群であり、即ち、Γ={x∈Z* p2|x≡1(mod
p)}である。関数Lを用いた場合、復号関数はx=D
p,q(y)=L(yp-1(mod p2))L(gp)-1(mod p2)である。
【0133】新しい加法的暗号化方式を、暗号化方式の
合成構築によって既存のものから構築することができ
る。また、非加法的暗号化方式から加法的暗号化方式を
構築する際にも合成構築を用いることができる。例え
ば、指数関数暗号Exp及び任意の乗算暗号化方式S(RSA
など)の合成によって加法的暗号化方式が生じる。
【0134】前述のように、文書の高信頼性解釈の基礎
として機能する、部分的に暗号化されたデータを用いる
盲目的変換は、加法的暗号化方式によって可能になる。
特に、加法的暗号化方式を使用して、平文係数及び暗号
化変数を用いたアフィン関数の盲目的変換を行うことが
できる。
【0135】トークンベースの文書の例に戻ると、トー
クンベースの文書Dはトークン画像の辞書T及び位置テー
ブルLi(各ページ画像につき1つ)のシーケンスから構成
されるため、辞書T及び位置テーブルLiのコンテンツを
暗号化し、暗号化されたトークン画像の辞書T'、及び暗
号化された位置のテーブルL'iを生成することを意図す
る。辞書Tは、対(id[j],t[j])(j=1,…|T|)の集まりか
らなることを想起する。Tに関連づけされているのは、
有効なトークン識別子idが与えられるとT内の対応トー
クン画像tを返す、解釈処理のサブルーチンLookupであ
る。辞書Tを暗号化する際、トークン識別子の暗号化、
トークン画像の暗号化、又は両方といった3つの基本的
な選択肢がある。識別子又はトークン画像を暗号化する
ことにより、識別子とそのトークン画像との間のつなが
りをアンリンクする手助けをする。更に、トークン画像
を暗号化することによって所有権のあるトークン画像が
保護される。いずれにせよ、解釈処理Pのみでの辞書へ
の有効なアクセスを許容する一方、辞書の平文コンテン
ツ全体のコピーを得ることを計算上難しくすることが望
ましい。このことは可能である。なぜなら、多くの場
合、有効な識別子(例えばハフマン符号語)は、全てが
特定長のバイナリストリングからなる非常に小さな部分
集合にすぎず、結果的に、識別子の全数探索はどれも効
率的ではないからである。
【0136】より形式的には、辞書T及びこれにアクセ
スするLookupサブルーチンが与えられた場合、辞書の暗
号化の要件は、暗号化された辞書T'及び対応するサブル
ーチンLookup'が下記の制約を満たすことである。 (1)任意の暗号化識別子Ek(id)に対し、Lookup'(T', E
k(id))= Ek(Lookup(T,id)) (2)T'及びLookup'を与えられてもTの再構築が計算上不
可能である
【0137】暗号化方式Sに対し、T'及びLookup'を以下
のように構築することができる。IDを構文的に可能な全
ての識別子の集合とし、特に、ID*⊆ID(式中、ID*={i
d|(id,t)∈T})とする。hを、ドメインがIDである一方
向ハッシュ関数とする。次に、T内の各対(id,t)毎に、
対(h(id),Ek(t))をT'に挿入することにより、暗号化ト
ークン辞書T'をTから取り出す。変換されたサブルーチ
ンLookup'は下記のアルゴリズムを用いる。
【外10】 Lookup'の戻り値は暗号化トークン画像であることに注
意する。この画像の復号は、後述する高信頼性解釈の一
部である解釈処理の最終サブルーチンDraw'まで延ばさ
れる。
【0138】この辞書の暗号化は、記憶スペースオーバ
ーヘッド及び実行時オーバーヘッド双方の点で、トーク
ン辞書の暗号化版を用いた計算を、計算上実行すること
ができる。Lookup'サブルーチンで用いたハッシュアル
ゴリズム及び暗号化アルゴリズムが安全性の十分に高い
ものである場合、T'及びLookup'を与えられてもTの回復
は計算上非常に困難である。
【0139】位置テーブルLiへの各エントリは、識別
子、並びにx座標及びy座標における位置の差からなるた
め、これら3つの要素のどの組み合わせでも暗号化する
ことができる。位置情報を暗号化するには、アフィンタ
イプのあらゆる解釈変換を位置座標に適用できるよう
に、加法的暗号化方式が推奨される。識別子に関して
は、文書圧縮と文書保護との間のトレードオフ(妥協
点)を決めなくてはならない。トークンベースの文書で
は、トークン識別子は通常、圧縮を目的とするある符号
化方式の符号語である。例えば、ハフマン符号を文書の
圧縮に用いる場合、識別子は、文書内の発生回数に基づ
いた、トークンのバイナリのハフマン符号語である。こ
の場合、これらの識別子を暗号化するために単に決定的
暗号化方式を用いても、識別子は有効に保護されない。
これは、この方式が各トークンの発生回数を変えないた
め、誰でも暗号化識別子の発生回数を再カウントでき、
識別子であるハフマン符号語を再構築できてしまうから
である。従って、文書内のトークンの発生回数を隠すた
めには、確率的暗号化方式を用いて識別子を暗号化する
のが好ましい。しかしながら、この暗号化により、識別
子(符号語)に保持される最適な符号化が妨げられ、文
書の圧縮比が小さくなってしまう。良好な文書圧縮の達
成はトークンベースの文書の設計目標の1つであるた
め、これはトークンベースの文書には望ましくない場合
がある。
【0140】Liを暗号化するための穏当な妥協案を提案
する。暗号化及び復号の効率が大きな問題でない場合
は、加法的暗号化方式S、好ましくは、オカモト-ウチヤ
マ暗号OUのように確率的で非対称のものを選択する。Li
への各エントリ(id,x,y)毎に、(id,Ek(x),Ek(y))をL'i
に挿入する。識別子の暗号化も必要である場合は、(E
k(id),Ek(x),Ek(y))のようなエントリを位置テーブルL'
iに挿入することができる。しかしながら、この場合、
暗号化辞書T'へのエントリを(Ek(id),Ek(t))に変える必
要があり、前述のサブルーチンLookup'も、この変更を
反映するように修正する必要がある。
【0141】前述のトークンベースの文書の形式保存暗
号化を用いて、解釈処理の際に文書のコンテンツも保護
することができる。Draw'(x,y,t)への暗号化を遅らせる
ことを意図とする。解釈処理は、下記に示されるような
ものである。
【0142】
【外11】 この処理の際、サブルーチンDraw'(x,y,t)を呼び出す前
は、座標及びトークン画像の情報は全て暗号化されたま
まである。この暗号化方式は加法的であるため、これは
座標情報に対して可能である。結果的に、解釈処理のコ
ンテンツ保護レベル及び解釈処理の性能は、用いる方式
の秘密保持強度及び計算の複雑性に依存する。
【0143】本発明の他の実施形態では、電子コンテン
ツ又はプレゼンテーションデータを秘話解除せずに電子
著作物を高信頼性で解釈又は再生することができるよう
に、電子著作物を秘話化する。この実施形態では、電子
著作物は、電子コンテンツ及びリソース情報(システム
コンテクストとも呼ばれる)を含むタイプのものであ
る。リソース情報は、電子著作物をプレゼンテーション
データに変換するために再生用又は解釈用アプリケーシ
ョンが用いる形式情報又は他の情報を含む。
【0144】秘話化は、元のコンテンツを読み取り不能
又は使用不能にする変換処理の一種である。電子著作物
wに対しては、シードsを用いる秘話化方式Tが秘話化電
子著作物w'をw'=T(w,s)に従って生成する。同一の変換T
を用い、秘話化リソース情報S'をS'=T(S,s)に従って生
成することもできる。この例では、秘話化方式のリバー
ス・エンジニアリングをより難しくするためにシードs
を用いる。
【0145】例えば(For example)、簡潔な秘話化方式
を用いて文書タイプの電子著作物を秘話化することがで
きる。文書において、電子コンテンツは一連の文字を特
定の順序で又は特定の位置に含んでいる。この文書を表
示装置上で表示する場合、各文字を特定の位置に表示し
て、ユーザがモニタなどの表示装置で眺めることができ
るようにしなくてはならない。各文字をモニタに表示す
るには座標系が必要であり、これによって文書の各文字
をモニタに表示することができる。電子コンテンツは座
標情報を含み、この情報はモニタの座標系によって参照
される。例えば、この段落では、"F"の文字が最上行に
現れており、行頭より5字分だけ下げられている。
【0146】上の段落のテキストを無秩序(jumbling)に
するための簡潔な秘話化方式は、文字の位置を座標系に
対して移動させることである。段落内の各文字は(x,y)
の位置を有する。上の段落の各文字の位置(x,y)を、ユ
ーザシステムからのシード(a,b)を用いて秘話化すると
想定する。下記の秘話化関数を用いて、上の段落を秘話
化することができる。 縦軸についてY=by 横軸についてX=x/a
【0147】この例において、再生用アプリケーション
が電子コンテンツをプレゼンテーションデータに変換す
るには、即ち段落をスクランブルしていない状態でモニ
タに表示するには、ユーザの装置の座標系を秘話化しな
くてはならない。秘話化座標系を生成するには、ユーザ
の装置の座標系を、同一のシード(a,b)を用いて秘話化
しなくてはならない。下記の変換関数を用いて、所与の
点のx及びy双方の位置を計算する。 縦軸についてY=logb(Y)(logbは底bを有する対数) 横軸についてX=aX
【0148】再生用アプリケーションが秘話化された電
子著作物における文字の位置を得る際、この位置は(X,
Y)=(x/a,by)によって与えられる。そして、この値を装
置の座標系に適用し、(X,Y)=(logb(Y),aX)=(x,y)とす
る。"F"の正確な位置はこのようにしてユーザのモニタ
に表示される。双方の秘話化の場合において、リソース
情報及び電子著作物の秘話化形式は固有の連関を保って
いる。リソース情報及び電子著作物の、これらの相補的
な秘話化形式により、電子著作物を保護する有効なメカ
ニズムの基礎が生じる。再生用アプリケーションは秘話
化された電子著作物を表示することはできるが、再生用
アプリケーションは、秘話化されたシステムのコンテク
ストを用いてのみ、平文のプレゼンテーションデータを
提供することができる。
【0149】一般に、秘話化は暗号化ほど保護が厳密で
はないが、保護する電子著作物の重要性により、異なる
レベルの秘話化を用いることができる。重要性の高い著
作物は高レベルの秘話化を必要とし、重要性の値がより
低い著作物はより弱いタイプの秘話化を必要としうる。
ユーザの環境が高信頼性のものである場合、低レベルの
秘話化を用いることができる。低レベルの秘話化の使用
に際する有利な点は、秘話化電子著作物の作成や秘話化
電子著作物の解釈又は再生に必要とするシステムリソー
スの数が少なくてよいことにある。また、秘話化シード
のタイプ及び品質を秘話化方式と組み合わせて用い、秘
話化のレベル及び強度を決定することもできる。例え
ば、より複雑な秘話化シード(高信頼性ソースからの許
可情報を含むもの、又は動的シードなど)は、より高レ
ベルの秘話化及び強度をもたらすであろう。
【0150】秘話化は一般に、配布場所又は製造場所に
おいて生じる。電子著作物は通常、ユーザ又はカスタマ
に配布される前に、製造者又は配布業者が選択した秘話
化方式を用いて秘話化される。秘話化されるリソース情
報も、配送前に予め選択することができる。各秘話化方
式毎にシードを用いることが好ましい。また、ユーザシ
ステムのコンテクストによって提供される情報を用いて
シードを生成することが好ましい。
【0151】ユーザが電子著作物を購入する際に、ユー
ザは、その電子著作物の再生のために指定するユーザシ
ステムからの情報を提供することが好ましい。この情報
を用いて、秘話化電子著作物及び秘話化リソース情報
(秘話化システムコンテクストと呼ばれることもある)
双方の秘話化シードを生成することができる。それか
ら、秘話化電子著作物及び秘話化システムコンテクスト
又は秘話化リソース情報をユーザに提供する。また、本
発明のこの実施形態の作用では不要であるが、一般に、
秘話化電子著作物及び秘話化システムコンテクストを、
ユーザへの配布前に暗号化することができる。使用する
復号方式によっては、秘話化電子著作物及び秘話化シス
テムコンテクスト双方の復号を、秘話化電子著作物のプ
レゼンテーションデータへの再生前に行わなくてはなら
ない場合がある。
【0152】秘話化電子著作物の生成方法は3つのステ
ップに分けられる。これらのステップは、秘話化シード
の生成、電子著作物の秘話化、及びリソース情報の秘話
化である。秘話化シードが生成されると、秘話化エンジ
ンに秘話化シードが与えられる。秘話化エンジンは、電
子著作物又はリソース情報を入力として用い、秘話化シ
ードが与えられた変換関数に基づいて、電子著作物又は
リソース情報の秘話化形式を生成する。秘話化電子著作
物の再生の際は、秘話化リソース情報を用いてプレゼン
テーションデータ及び/又は画像データを生成する。同
一の又は異なる秘話化変換関数を、電子著作物及びリソ
ース情報に対して使用することができる。
【0153】秘話化電子著作物の生成方法は、図14に
関連して示される。電子著作物1410は、電子コンテ
ンツと、ユーザが使用可能又は表示可能な形式に電子コ
ンテンツをフォーマットし、解釈するのに用いられるリ
ソース情報のセットとを含む。電子著作物1410はコ
ンテンツ秘話化1420の処理を受け、この処理におい
て電子コンテンツを秘話化してリソース情報を保存し、
秘話化電子著作物1422を生成する。コンテンツ秘話
化1420を、図9に関連して示すように生じることが
できる。電子著作物は一般に、コンテンツ、命令、及び
フォーマットを含む。電子著作物全体を秘話化すること
ができるが、コンテンツのみを秘話化し、命令及びフォ
ーマットを秘話化しないことが好ましい。しかしなが
ら、いくつかの場合では、電子著作物に含まれるリソー
ス情報の一部をいくつかの再生用アプリケーションのた
めに秘話化することもできる。これは、前述の形式保存
暗号化方式に関しても同様である。
【0154】リソース抽出1412は、電子著作物14
10に関連するリソース情報のセットから少なくとも1
つのリソース情報を抽出する。抽出は、リソース情報を
システムリソースファイル1414にコピーすることに
よりなされる。それから、リソース秘話化1416にお
いてシステムリソース1414を秘話化し、秘話化シス
テムリソース1424にする。コンテンツ秘話化及びリ
ソース秘話化のための秘話化方式を同一にする必要はな
い。各秘話化方式は、シード生成装置1426によって
生成される秘話化シード1418を用いることが好まし
い。例示的なシード生成方法をいくつか後述する。特
に、好適な実施形態では、秘話化シードはユーザシステ
ムからの固有の情報に基づいている。
【0155】秘話化シードの生成技術をいくつか使用す
ることができる。例えば、乱数生成装置から数を生成す
るシード生成装置を用いることができる。無状態秘話化
と呼ばれるこの方法は、秘密鍵情報及びユーザシステム
情報のいずれにも依存しない。無状態秘話化の方法は、
秘話化用のシステムに対して特定の値を生じる。電子セ
キュリティシステム固有の弱点が、秘密情報の誤った取
り扱い、数学的な複雑性、及びアルゴリズムの複雑性に
みられる場合がある。秘密情報を取り除くことにより、
攻撃の的が1つ減る。無状態秘話化により、乱数生成装
置は秘話化シードを生成する。この場合、秘話化処理が
完了すると、シードは跡を残さずに廃棄される。従っ
て、システムの安全性は秘密情報の漏洩に集中した攻撃
を免れ、ユーザはプライバシーの侵害とされうる重要な
情報を漏らす必要がなくなる。
【0156】使用することのできる他のシード生成装置
は、状態ベースの生成装置である。状態ベースのシード
生成装置は、まずシステムの状態の情報をユーザの再生
システム又は解釈装置から取得することによってシード
を構築する。システムの状態の情報は、ハードウェア識
別子、システム設定、及び他のシステム関連情報を含
む。無状態秘話化の評価は高いが、他の安全性の要件に
より、特定のユーザシステム又は装置への不可分なリン
クを使用しなくてはならない場合がある。システム/装
置に特有の情報から秘話化シードを生成することによ
り、秘話化エンジンは、特定のシステム/装置に対応す
る形式に秘話化された電子著作物を生成する。
【0157】秘話化シード生成装置を許可処理に関連さ
せることもできる。許可ベースの秘話化では、シードの
生成を許可処理の結果に関連させることができる。(高
信頼性ソースである)別個の許可リポジトリは、電子著
作物へのアクセス権をユーザに配送することに関連する
他の安全性機能の一部としての許可情報を提供する。許
可情報の高信頼性ソースを、米国特許第5,629,9
80号に記載のようなオンライン許可リポジトリとする
ことができる。そして、この許可情報を使用して秘話化
シードを生成する。
【0158】無状態秘話化シードを用いる場合、電子著
作物及びそのリソース情報を秘話化し、一緒に記憶し
て、ユーザが特定の電子著作物に関連する使用権利を購
入した際にユーザに送ることができる。これらの他の秘
話化シード生成方法のうちの1つを使用する場合、一般
に、ユーザがシステム情報又は許可情報を提供するまで
秘話化の実行を待たなくてはならず、その後に電子著作
物及びリソース情報を秘話化することができる。
【0159】電子著作物を特定の物理システム又は装置
で再生可能にすることを確実にするという点でより高度
なレベルの保護を提供する実施形態は、動的状態ベース
の秘話化シードを用いる。この実施形態では、電子著作
物及びリソースの情報と共に秘話化エンジン及び秘話化
シード生成装置を再生用アプリケーション又は解釈装置
に提供しなくてはならない。この実施形態では、再生及
び解釈前に、特定のシステム又は装置の動的状態に基づ
いて生成されたシードを用いて電子著作物及びリソース
の情報を秘話化する。動的状態は、例えばシステムクロ
ック、CPUの利用、ハードドライブの配置、カーソル
の座標などから生じうる。動的状態のスナップショット
を用いて著作物を秘話化することにより、著作物は特定
のシステム構成(即ち、状態)に調子を合わせてロック
される。電子著作物の秘話化、そして最終的にその盲目
的再生(後述)は、動的進展状態に基づいている。動的
状態の進展は、秘話化処理の再現を可能にする固有の秘
密情報を生じないため、動的状態ベースの秘話化によ
り、秘話化された電子著作物及びシステムコンテクスト
の漏洩が難しくなる。秘話化処理は高信頼性システム内
で行われるため、このことは、この処理の構築を解くこ
とが不可能であることを意味している。
【0160】前の例で説明したように、秘話化の実際の
処理を、秘話化シードによってアルゴリズムベースの変
換でパラメータ化することができる。秘話化の際、電子
著作物のデータ及びリソース識別子を前述のように変換
する。しかしながら、電子著作物の構造は変わらず、PD
F、DOC、WAV、又は他の形式などの元の形式は、形式保
存暗号化の際と同様に維持される。同様に、リソース情
報の秘話化によってリソース情報の秘話化形式が生じ、
これによってリソース識別子、エレメント識別子及びリ
ソース特性は変換されるが、システムコンテクストの構
造は変わらないままになる。ユーザの特定の装置又はシ
ステム情報に基づいて、電子著作物及びリソースの情報
を同一シードによって秘話化することによって不可分の
関係が確立され、いずれの他の装置又はユーザシステム
を用いても著作物をその平文の形式に再生することがで
きなくなる。たとえ未許可で配布されても、保護は有効
のままである。
【0161】盲目的再生の際、秘話化リソース情報の固
有の特性により、再生用アプリケーションは秘話化電子
著作物を適切に再生し、秘話化されていない、即ち平文
のプレゼンテーションデータを生成することができる。
電子著作物及びリソース情報を相補的に変換したため、
リソース識別子及びデータなどの電子著作物の秘話化エ
レメントは、システムコンテクストのリソース内の相補
エレメントを、内容を知らないまま参照する。照合変換
により、コンテクスト内の適切なエレメントは再生用ア
プリケーションによって識別され、これによって生じる
プレゼンテーションデータが平文で現れる。従って、著
作物は再生後できる限り後段まで保護される。
【0162】前述したように、電子著作物のウェブを介
する従来の配布は比較的簡単である。著作物は、エディ
タを用いて作成され、ウェブサイトに掲載され、ユーザ
読者によってアクセスされ、表示装置又は表示システム
で再生される。コンテンツ所有者が自分の電子著作物の
保護を望まない場合(又はコンテンツ所有者が著作物を
受け取るユーザ全員を信頼する場合)、電子著作物は
「平文で」、即ち符号化、暗号化又は他の保護を全くせ
ず、どのユーザでも直接使用することができる態様で提
供される。
【0163】電子著作物がユーザシステムにダウンロー
ドされる場合、電子著作物は一般にメモリに記憶され
る。電子著作物が、フロッピー(登録商標)ディスク、
CD-ROM又はDVD-ROMなどの記憶媒体を介して提供される
場合、電子著作物は通常記憶媒体から直接アクセスされ
る。
【0164】図15を参照すると、電子著作物を再生す
るために、電子著作物1510を再生用アプリケーショ
ン1512に提供する。形式情報又はリソース情報を必
要とする文書又は他のタイプの著作物の場合、電子著作
物は、電子コンテンツと、再生用アプリケーションが電
子コンテンツを処理するのに必要な特定のシステムコン
テクスト又はシステムリソースを示すリソース情報と、
を含む。例えば、電子著作物1510を、テキストがAr
ialフォントを用いて表示されるテキスト文書とするこ
とができる。再生用アプリケーション1512が、Aria
lフォントを用いていることを示す電子著作物1510
のリソース情報にアクセスする際、再生用アプリケーシ
ョン1512は適切なシステムリソース1516(この
場合はArialフォントテーブル)にアクセスし、システ
ムリソース情報を用いて電子コンテンツをプレゼンテー
ションデータ1514に変換する。
【0165】いくつかの再生用アプリケーションでは、
電子コンテンツのプレゼンテーションデータへの変換
は、ユーザが使用するのに十分である。他の再生用アプ
リケーションでは、プレゼンテーションデータは中間形
式にすぎず、更なる変換が必要である。例えば、プリン
タである表示システム1524の場合、プレゼンテーシ
ョンデータ1514を解釈用アプリケーション1518
によって更に解釈しなくてはならない。解釈用アプリケ
ーション1518を、プリンタ内の分析装置とすること
ができる。解釈用アプリケーション1518は、他のシ
ステムリソース1516を用いてプレゼンテーションデ
ータ1514を画像データ1520に変換する。画像デ
ータ1520の形式は、表示装置1522で直接表示す
る(プリンタの場合、プリント文書として出力する)こ
との可能なものである。
【0166】再生の際に電子著作物を保護する前述のシ
ステム及び方法に加え、秘話化コンテンツを生成し電子
著作物のリソース情報を保存する第1の秘話化方式に従
って電子著作物を秘話化することにより、電子著作物を
再生の際に保護することができる。電子著作物のリソー
ス情報の一部をコピーし、第2の秘話化方式に従って秘
話化する。図16を参照すると、再生用アプリケーショ
ン1612は秘話化リソース情報1614(及び必要と
されうるあらゆる他のシステムリソース情報1616)
を用いて秘話化電子著作物1610を平文のプレゼンテ
ーションデータ1618に変換する。プレゼンテーショ
ンデータは必然的に平文の形式であり、これは、このプ
レゼンテーションデータが他のプログラム(スクリーン
・キャプチャ・ユーティリティ・プログラムなど)によ
って入手可能であることを意味する。しかしながら、こ
のような他のプログラムの出力はオリジナルの電子著作
物と同一の形式ではなく、同一の忠実度ではないことが
よくある。
【0167】秘話化リソース情報は、秘話化電子コンテ
ンツを平文の画像(プレゼンテーションデータ)にする
秘話化フィルタのように作用するものと考えることがで
きる。あらゆる市販のアプリケーションでありうる再生
用アプリケーションが、平文の電子コンテンツを知らな
い、又は知る必要がないという点で、このシステムは盲
目的再生システムである。盲目的再生は任意の変換関数
Rに対して作用し、R(w',s')=R(w,s)となる。式中、w'は
秘話化電子コンテンツ、wは平文の電子コンテンツ、s'
は秘話化リソース情報、及びsは秘話化されていないリ
ソース情報である。秘話化リソース情報を用いた秘話化
電子著作物の盲目的再生は、盲目的再生が秘話化解除を
必要とせずに平文のプレゼンテーションデータを生成す
るという点で、前述の盲目的変換とは異なっている。盲
目的変換では、再生用アプリケーションは暗号化電子著
作物を暗号化プレゼンテーションデータに変換し、それ
からその復号をしなくてはならない。双方の場合におい
て、ユーザはオリジナルの電子著作物を平文の形式で見
ることはない。
【0168】秘話化電子著作物及び秘話化リソース情報
を用いた盲目的再生(盲目的解釈とも呼ばれる)のみを
用いて、通常の暗号化に加え、再生の際に電子著作物を
保護することができる。例えば、秘話化電子著作物及び
秘話化リソース情報を暗号化して配布の際に電子著作物
を保護し、それからユーザシステムでこれらを秘話化電
子著作物及び秘話化リソース情報に復号することができ
る。ユーザはまず、コンテンツ所有者又はコンテンツ所
有者に代わって(暗号化電子著作物を復号するために)
働く配布業者から許可を得なくてはならない。ユーザが
認可されると、暗号化された秘話化電子著作物及び暗号
化された秘話化リソース情報を復号し、秘話化リソース
情報を用いて秘話化電子著作物を再生用アプリケーショ
ンで再生する。
【0169】ユーザが表示するための使用可能な形式に
電子著作物を解釈することの複雑性を用いて、電子著作
物を再生の際に更に保護することができる。図17を参
照すると、秘話化電子著作物1710が再生用アプリケ
ーション1712に提供されており、再生用アプリケー
ション1712は秘話化システムリソース1716及び
他のシステムリソース1718を用いて秘話化電子著作
物1710を部分的に秘話化されたプレゼンテーション
データ1714に変換する。この実施形態では、プレゼ
ンテーションデータをユーザによって使用可能な形式に
変換するには表示システム1728が必要である。部分
的に秘話化されたプレゼンテーションデータ1714は
解釈用アプリケーション1720に提供され、解釈用ア
プリケーション1720は秘話化システムリソース17
16、ローカルシステムリソース1722、及びシステ
ムリソース1718を用いて、部分的に秘話化されたプ
レゼンテーションデータ1714を平文の画像データ1
724に変換する。次に、ユーザの使用のために平文の
画像データ1724を表示装置1726上に表示する。
この実施形態では、プレゼンテーションデータはなお秘
話化されており、平文データの場所を表示処理のうちで
もより後の時点まで分からないようにし、更なる保護を
提供している。
【0170】電子著作物を秘話化するシステムの有用性
を高めるために、秘話化リソース情報を電子著作物から
分離させ、スマートカードなどの持運び可能なデバイス
に関連させてもよい。この実施形態では、再生用アプリ
ケーション1712は秘話化システムリソース1716
を用いて著作物を再生する。秘話化システムリソース1
716をローカルメモリに記憶する代わりに、秘話化シ
ステムリソース1716を秘話化電子著作物1710と
共にスマートカードなどの持運び可能なデバイスに記憶
する。また、ハードウェア強化機能を有しうるスマート
カードは、変更を困難にする属性を備えることができ
る。持運び可能なコンテクスト内では、秘話化データを
再生用アプリケーション1712によって処理して部分
的に秘話化されたプレゼンテーションデータを生じ、そ
れからそのデータを解釈用アプリケーション1720に
提供する。
【0171】多くの様々なタイプの電子著作物を、その
使用にわたり秘話化方式を用いて保護することができ
る。例えば、電子著作物が文書又はテキストファイルで
ある場合、再生用アプリケーションをワードプロセッサ
とすることができ、システムリソース又はリソース情報
はフォントテーブル、ページレイアウト、及びカラーテ
ーブルを含むことができる。電子著作物がオーディオ又
はビデオデータ(例えばストリーム)である場合、再生
用アプリケーションをオーディオ又はビデオプレーヤー
とすることができる。プレゼンテーションデータはオー
ディオ/ビデオ最終データのストリームである。表示シ
ステムを、オーディオ/ビデオ装置とすることができ
る。解釈用アプリケーションを、オーディオ/ビデオ装
置のドライバとすることができる。画像データをオーデ
ィオ/ビデオ装置のデータストリームとし、表示装置を
オーディオ/ビデオ装置の解釈装置(例えばスピーカー
又はモニタ)とすることができる。
【0172】オーディオ/ビデオのデータストリームで
ある電子著作物に関しては、システムリソース又はリソ
ース情報は、オーディオ/ビデオ装置の特徴、即ちサン
プリング・レート(1秒あたりのサンプリング、例えば
8kHz、44.1kHz)、サンプリング品質(サンプリングあ
たりのビット数、例えば8、16)、サンプリング・タ
イプ(チャネルの数、例えばモノラルは1、ステレオは
2)、及びサンプリング形式(命令及びデータのブロッ
ク)を含むことができる。秘話化のために選択可能ない
くつかのオーディオ/ビデオデータストリーム及び対応
するリソース情報又は可変パラメータの表を以下に示
す。
【0173】
【表1】
【0174】電子著作物の構造を、秘話化のために有意
に使用することができる。電子著作物全体を秘話化する
ことができるが、電子著作物の一部のみを秘話化するこ
とがより好ましい。電子著作物の殆どは、命令、デー
タ、及びリソースといった3つの主要エレメントを含ん
でいる。前述の形式保存暗号化方法とほぼ同様に、電子
著作物のデータ及びリソースのみを秘話化することが好
ましい。データ及びリソースのみを選択的に変換するこ
とにより、コンテンツは元の形式のままであるがデータ
及びリソースは理解できなくなるように電子著作物を変
換することができる。
【0175】文書タイプの電子著作物の一般的なレイア
ウトを図18に示す。図18において、電子著作物15
0はページ(Page)記述子152、制御(Control)コード
154、158及び162、リソース(Resource)識別子
156、並びにデータ(Data)160及び164を含む。
ページ記述子152は、著作物の一般的なレイアウトを
定める。例えば、ページサイズ、ページ数、及び余白
は、電子文書に関してはページ記述子の範囲に属する。
制御コード154、158及び162は、コンテンツの
プレゼンテーションを記述するという点で類似してい
る。例としては、テキスト位置設定コマンド、テキスト
出力コマンド、フォントタイプ設定コマンド、及び現行
画面の座標設定コマンドが挙げられる。リソース識別子
156は単に所望のリソースを参照する。電子文書の分
野では、リソースは書体から背景色まで様々である。最
後に、データ160及び164は、電子著作物によって
伝達される情報の核を表す。これは、マルチメディアク
リップに用いられる描画座標、又は電子文書として解釈
するための文字コードでありうる。
【0176】電子著作物(この場合は簡潔な電子文書)
とその秘話化形式の1つの例を、平文及び秘話化された
形式のHTML文書として図19及び図20に示す。<html>
及び<body>のタグはページ記述子である。<font>から<
\font>までのタグはフォントリソース特性を設定する
制御コードの一例であり、"Arial"及び"14"はArial書体
で14ポイントのフォントのためのリソース識別子であ
る。"Hello World"のテキストはデータ、即ち著作物の
情報の核である。<p>は、段落の初めを示す他の制御コ
ードである。最後に、文書は文書の終わりを識別するた
めのページ記述子<\body>及び<\html>で終わってい
る。
【0177】図20は、図19の電子著作物が秘話化形
式でどのように見えるかを示している。ページ記述子及
び制御コードのタグは変わらぬままであり、即ち、<htm
l>、<body>及び<font>のタグは変わっていないことがわ
かる。これに対し、リソース識別子、"Arial"及び"14"
は復号不可能な値に変換されている。同様に、データで
ある"Hello World"も、復号不可能な値に変換されてい
る。リソース識別子及びデータを変換することにより、
コンテンツは秘話化形式であり、意味のないものにな
る。しかしながら、ページ記述子及び制御コードが不変
のままであるという事実により、文書は元の形式を保つ
ことができ、元の形式としては一般にHTML、Adobe社の
PDF、RealNetworks社のRAM、Apple社のQuickTimeなどが
可能である。
【0178】システムコンテクスト(又はシステムリソ
ース又はリソース情報)を、特定のシステムの再生用ア
プリケーションに対して利用可能なシステムリソースの
集まりとして考えることができる。例えば、システムコ
ンテクストは、フォントテーブル、色パレット、システ
ム座標及び音量設定を含みうる。電子著作物を再生用ア
プリケーションに入力すると、再生用アプリケーション
は電子著作物内に含まれる特定のリソース情報を用いて
電子コンテンツをプレゼンテーションデータに変換す
る。電子著作物内に含まれる各システムコンテクスト又
はリソース情報をシステムに対して固有になるように変
更し、そのシステムのために再生可能にすることができ
る。システムコンテクストは電子著作物の使用に不可欠
なエレメントであり、再生のために、電子著作物の使用
を特定のシステム、物理的な装置又は再生用アプリケー
ションに関連づける。電子著作物内のリソース識別子及
びデータは、システムコンテクスト内に含まれるエレメ
ントを直接的又は間接的に参照することができる。電子
著作物及びシステムコンテクストの秘話化により、平文
のプレゼンテーションデータへの盲目的解釈が可能にな
る。固有のシステムに関連する秘話化シードを用いてシ
ステムコンテクストを秘話化することにより、生じる秘
話化システムコンテクストを固有の環境とすることがで
き、この固有の環境内で、同一の秘話化シードで秘話化
された相補的な秘話化電子著作物にアクセスし、再生す
ることができる。
【0179】図21は、システムコンテクストの一般的
な構造を示している。これらのエレメントは、リソース
識別子(ResID)、エレメント識別子(ElemID)、及びリソ
ース特性(Characteristics)を含む。ResIDは、リソース
を参照するための、他のシステム構成要素の関連情報を
含む。ElemIDは、リソース内の個々のエレメントの識別
子である。最後に、Characteristicsは、個々のリソー
スエレメントの表現に用いられる実際のリソース特性で
ある。
【0180】図22は、Arial書体に関するフォントテ
ーブルのリソースの図である。この場合の主要リソース
識別子はフォント名"Arial"である。ASCIIの規則になら
い、番号48は個々のリソースエレメント識別子を識別
する。ElemIDのリソースエレメント特性は、文字'a'を
表すための情報を表している。
【0181】図23は、図22に示すフォントリソース
の秘話化システムコンテクストの図である。リソース識
別子そのものが"k13k2"に変換されている。エレメント
識別子そのものは、リソース特性のみを変換するには十
分であるため、変換の必要はない。この場合、"48"
は、'a'の代わりに'Y'の特性を表すために変換されたも
のとして示されている。
【0182】秘話化及び盲目的解釈を、多くの様々なタ
イプの電子著作物に対して使用することができる。秘話
化及び盲目的解釈を、文書の他にオーディオ/ビデオデ
ータに対して用いることができる。前述のように、オー
ディオ/ビデオデータは一般にストリームの形式で提供
される。再生用アプリケーションは、デジタルオーディ
オ/ビデオストリームを最終データストリームに変換す
るオーディオ/ビデオプレーヤーであり、この最終デー
タストリームを変換装置(スピーカー)によってオーデ
ィオ出力に処理したり、表示によってビデオ画像に処理
したりすることができる。
【0183】図17を参照すると、再生用アプリケーシ
ョン1712はオーディオ/ビデオプレーヤーに相当
し、これは一般に、目的のオーディオ/ビデオ装置によ
って許容されたあるサンプリング・レート、品質及びタ
イプでオーディオ/ビデオ入力ストリーム1710を抽
出することによって作動する。オーディオ/ビデオプレ
ーヤーは、オーディオ/ビデオストリームの抽出、混合
及び生成にオーディオ/ビデオシステムリソースを用
い、次に再抽出されたオーディオ/ビデオストリームを
混合して、最終的なオーディオ/ビデオストリームを目
的装置が望む形式で生成する。オーディオ/ビデオプレ
ーヤーの場合、プレゼンテーションデータ1714は、
目的のオーディオ/ビデオ装置が望むサンプリング・レ
ート、品質、タイプ、及び形式である、最終の混合オー
ディオ/ビデオストリームである。
【0184】目的のオーディオ/ビデオ装置(例えば、
解釈用アプリケーション1720)は、オーディオ/ビ
デオストリーム(プレゼンテーションデータ1714)
を特定のサンプリング・レート、品質、タイプ(チャネ
ル)、及び形式(例えば、PAL又はNTSC)で装置のオー
ディオ/ビデオデータ1724に変換することのでき
る、ハードウェアシステムである。オーディオ装置の例
としては、サウンドカード、スピーカー、モニタ、及び
オーディオ/ビデオ装置内に配置されるデジタル−アナ
ログ変換器が挙げられる。装置の多くは、様々なサンプ
リング・レートの範囲でオーディオ/ビデオストリーム
を再生することができる。画像データ1724(例え
ば、オーディオ信号又はビデオ画像のストリーム)はオ
ーディオ/ビデオ装置のドライバ1720によって生成
され、表示装置1726によって「消費」される。
【0185】例えば、オーディオ/ビデオデータストリ
ームを秘話化するために、このストリームを2つ以上の
別個のストリームに分割することができる。一方のスト
リームは秘話化し、もう一方のストリームは秘話化しな
い。各ストリームは、関連するサンプリング・レート、
チャネル、品質及び形式といった、様々な装置特性(リ
ソース情報)を有することができる。装置特性(ストリ
ームのサンプリング・レート、チャネル、品質及び/又
は形式のうち1つ以上)を秘話化して、秘話化リソース
情報を生成することもできる。
【0186】秘話化オーディオ/ビデオストリームの盲
目的再生は、秘話化電子文書と同様にして達成される。
再生用アプリケーション(オーディオ/ビデオプレーヤ
ー)は秘話化されていないストリームと秘話化ストリー
ムとを共に混合し、秘話化リソース情報を用いて、目的
のオーディオ/ビデオ装置用に、リソース情報の正しい
セットを有する秘話化された最終データストリームを生
成する。目的装置(1720)は、秘話化リソース情報
を用いて秘話化データストリームを再生し、平文の音声
/視覚効果(1724)を生成する。
【0187】本発明の例示的な実施形態のいくつかを先
に詳しく説明したが、本発明の他の形式、代替物、変更
物、及び変形物も同様に作用し、これらが当業者にとっ
て明白であることを認識すべきである。この開示内容は
本発明を特定の実施形態に限定する意図ではなく、この
ような形式、代替物、変更物、及び変形物を全て含むも
のと意図される。例えば、ソフトウェアの構成要素とし
て説明された前述の本発明の一部をハードウェアとして
実施することができる。更に、いくつかの機能ブロック
を、本明細書では別個で互いから独立したものとして説
明したが、これらの機能ブロックを統合し、単一の汎用
コンピュータで実行することもできるし、あるいは、当
該分野において認識されるように、更に副機能に分割す
ることもできる。従って、本発明の真の範囲は全ての代
替物、変更物及び等価物を含むように意図されており、
この範囲は後述の請求の範囲を参照して決定されるべき
である。
【図面の簡単な説明】
【図1】安全な環境または安全でない環境における電子
文書の作成及び商用配布のモデルを表す最上位レベルブ
ロック図である。
【図2】従来技術による保護電子文書の復号を表すフロ
ーチャート図である。
【図3】本発明の簡単な実施形態による保護電子文書の
復号を表すフローチャート図である。
【図4】本発明の好適な実施形態による保護電子文書の
復号を表すフローチャート図である。
【図5】本発明の1実施形態による自己保護文書のデー
タ構造を表す機能ブロック図である。
【図6】本発明の1実施形態による自己保護文書の作成
及びカスタマイズを表すフローチャート図である。
【図7】ユーザの立場から見た、本実施形態による自己
保護文書の処理及び使用時に実行される処置を表すフロ
ーチャート図である。
【図8】未解釈・暗号化文書と解釈済み・復号化プレゼ
ンテーションデータ間の考えられるパスを表すグラフで
ある。
【図9】文書形式情報を解釈用に平文の状態にした、本
発明による秘話化処理を表すフローチャート図である。
【図10】本発明による、形式保存暗号化及び高信頼性
解釈の方法のブロック図である。
【図11】トークン化される文書の簡単な例を示す図で
ある。
【図12】図11の文書用のトークン辞書を示す図であ
る。
【図13】図11の文書用の位置テーブルを示す図であ
る。
【図14】本発明による秘話化電子著作物及び秘話化シ
ステムリソースの生成方法を表すブロック図である。
【図15】従来技術による電子著作物の画像データへの
変換を表すブロック図である。
【図16】本発明による秘話化電子著作物の盲目的再生
システムを表すブロック図である。
【図17】本発明による秘話化電子著作物の別の盲目的
再生システムを表すブロック図である。
【図18】電子文書の構造の一例を表すブロック図であ
る。
【図19】電子文書の一例を表す図である。
【図20】図16の電子文書を秘話化した後の一例を表
す図である。
【図21】電子文書用のリソース情報又はシステムコン
テクストの構造の一例を表すブロック図である。
【図22】フォントテーブルの一例を表すブロック図で
ある。
【図23】図22のフォントテーブルを秘話化した後の
ブロック図である。
【符号の説明】
1010、1410、1710 電子著作物 1012、1612、1712 再生用アプリケーシ
ョン 1016 暗号化プレゼンテーションデータ 1018 復号エンジン 1020 プレゼンテーションデータ 1022、1720 解釈用アプリケーション 1024、1724 画像データ 1026、1726 表示装置 1412 リソース抽出 1414、1616、1718 システムリソース 1416 リソース秘話化 1418 秘話化シード 1420 コンテンツ秘話化 1422、1610 秘話化電子著作物 1424、1614、1716 秘話化システムリソ
ース 1426 シード生成装置 1618 平文のプレゼンテーションデータ 1714 部分的に秘話化されたプレゼンテーション
データ 1722 ローカルシステムリソース 1728 表示システム
フロントページの続き (71)出願人 500470703 103 Foulk Road, Suit e 205−M, Wilmington, Delaware 19803, Unit ed States of Americ a (72)発明者 シン ワン アメリカ合衆国 90007 カリフォルニア 州 ロサンゼルス シュライン プレイス 3005 ナンバー8 (72)発明者 サン ティー.タ アメリカ合衆国 92648 カリフォルニア 州 ハンティントン ビーチ ストラット ン レーン 18694 Fターム(参考) 5B017 AA03 BA07 CA16 5J104 AA16 AA41 EA06 JA19 NA02 PA07

Claims (2)

    【特許請求の範囲】
  1. 【請求項1】 変換関数Fによるプレゼンテーションデ
    ータF(z)への変換の際に電子著作物zを保護する方法で
    あって、 前記電子著作物zを暗号化方式Eに従って暗号化するステ
    ップと、 盲目的変換関数F'を用いて、暗号化された電子著作物E
    (z)を暗号化プレゼンテーションデータF'(E(z))に変換
    するステップであって、F'はFの関数である、ステップ
    と、 前記暗号化プレゼンテーションデータF'(E(z))を復号関
    数Dに従って復号し、前記プレゼンテーションデータF
    (z)を得るステップであって、D(F'(E(z))=F(z)である、
    ステップと、 を有する電子著作物zを保護する方法。
  2. 【請求項2】 変換関数Fによるプレゼンテーションデ
    ータF(z)への変換の際に電子著作物zを保護するシステ
    ムであって、 前記電子著作物zを暗号化方式Eに従って暗号化する暗号
    化エンジンと、 暗号化された電子著作物E(z)を暗号化プレゼンテーショ
    ンデータF'(E(z))に変換する盲目的変換関数F'であっ
    て、F'はFの関数である、盲目的変換関数F'と、 前記暗号化プレゼンテーションデータF'(E(z))を復号関
    数Dに従って復号し、前記プレゼンテーションデータF
    (z)を得るための復号エンジンであって、D(F'(E(z))=F
    (z)である、復号エンジンと、 を有する電子著作物zを保護するシステム。
JP2001087859A 2000-03-24 2001-03-26 電子著作物の保護方法及び保護システム Pending JP2002077136A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US53632500A 2000-03-24 2000-03-24
US536325 2000-03-24

Publications (1)

Publication Number Publication Date
JP2002077136A true JP2002077136A (ja) 2002-03-15

Family

ID=24138042

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001087859A Pending JP2002077136A (ja) 2000-03-24 2001-03-26 電子著作物の保護方法及び保護システム

Country Status (3)

Country Link
EP (1) EP1146715A1 (ja)
JP (1) JP2002077136A (ja)
CA (1) CA2341931C (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005339273A (ja) * 2004-05-27 2005-12-08 Canon Inc 電子機器
KR100631587B1 (ko) 2005-01-14 2006-10-11 삼성전자주식회사 함수를 이용하여 컨텐츠를 관리하는 장치 및 그 방법
WO2009148119A1 (ja) * 2008-06-05 2009-12-10 日立オムロンターミナルソリューションズ株式会社 情報処理システム

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6678825B1 (en) 2000-03-31 2004-01-13 Intel Corporation Controlling access to multiple isolated memories in an isolated execution environment
US6633963B1 (en) 2000-03-31 2003-10-14 Intel Corporation Controlling access to multiple memory zones in an isolated execution environment
US6754815B1 (en) 2000-03-31 2004-06-22 Intel Corporation Method and system for scrubbing an isolated area of memory after reset of a processor operating in isolated execution mode if a cleanup flag is set
US6795905B1 (en) 2000-03-31 2004-09-21 Intel Corporation Controlling accesses to isolated memory using a memory controller for isolated execution
US6507904B1 (en) 2000-03-31 2003-01-14 Intel Corporation Executing isolated mode instructions in a secure system running in privilege rings
US6769058B1 (en) 2000-03-31 2004-07-27 Intel Corporation Resetting a processor in an isolated execution environment
US6760441B1 (en) 2000-03-31 2004-07-06 Intel Corporation Generating a key hieararchy for use in an isolated execution environment
US6976162B1 (en) 2000-06-28 2005-12-13 Intel Corporation Platform and method for establishing provable identities while maintaining privacy
US7793111B1 (en) 2000-09-28 2010-09-07 Intel Corporation Mechanism to handle events in a machine with isolated execution
US7818808B1 (en) 2000-12-27 2010-10-19 Intel Corporation Processor mode for limiting the operation of guest software running on a virtual machine supported by a virtual machine monitor
JP4051484B2 (ja) 2001-10-11 2008-02-27 株式会社ヤッパ Web3D画像表示システム
US7024555B2 (en) 2001-11-01 2006-04-04 Intel Corporation Apparatus and method for unilaterally loading a secure operating system within a multiprocessor environment
US7631196B2 (en) 2002-02-25 2009-12-08 Intel Corporation Method and apparatus for loading a trustable operating system
US7069442B2 (en) 2002-03-29 2006-06-27 Intel Corporation System and method for execution of a secured environment initialization instruction
US6820177B2 (en) 2002-06-12 2004-11-16 Intel Corporation Protected configuration space in a protected environment
US7318141B2 (en) 2002-12-17 2008-01-08 Intel Corporation Methods and systems to control virtual machines
US7900017B2 (en) 2002-12-27 2011-03-01 Intel Corporation Mechanism for remapping post virtual machine memory pages
US7415708B2 (en) 2003-06-26 2008-08-19 Intel Corporation Virtual machine management using processor state information
US7739521B2 (en) 2003-09-18 2010-06-15 Intel Corporation Method of obscuring cryptographic computations
US20050080934A1 (en) 2003-09-30 2005-04-14 Cota-Robles Erik C. Invalidating translation lookaside buffer entries in a virtual machine (VM) system
US8156343B2 (en) 2003-11-26 2012-04-10 Intel Corporation Accessing private data about the state of a data processing machine from storage that is publicly accessible
US8037314B2 (en) 2003-12-22 2011-10-11 Intel Corporation Replacing blinded authentication authority
US7802085B2 (en) 2004-02-18 2010-09-21 Intel Corporation Apparatus and method for distributing private keys to an entity with minimal secret, unique information
US7620949B2 (en) 2004-03-31 2009-11-17 Intel Corporation Method and apparatus for facilitating recognition of an open event window during operation of guest software in a virtual machine environment
US7840962B2 (en) 2004-09-30 2010-11-23 Intel Corporation System and method for controlling switching between VMM and VM using enabling value of VMM timer indicator and VMM timer value having a specified time
US8146078B2 (en) 2004-10-29 2012-03-27 Intel Corporation Timer offsetting mechanism in a virtual machine environment
US8924728B2 (en) 2004-11-30 2014-12-30 Intel Corporation Apparatus and method for establishing a secure session with a device without exposing privacy-sensitive information
US8533777B2 (en) 2004-12-29 2013-09-10 Intel Corporation Mechanism to determine trust of out-of-band management agents
US7395405B2 (en) 2005-01-28 2008-07-01 Intel Corporation Method and apparatus for supporting address translation in a virtual machine environment
US7809957B2 (en) 2005-09-29 2010-10-05 Intel Corporation Trusted platform module for generating sealed data
US8014530B2 (en) 2006-03-22 2011-09-06 Intel Corporation Method and apparatus for authenticated, recoverable key distribution with no database secrets
FR2966953B1 (fr) * 2010-11-02 2015-08-28 St Microelectronics Rousset Procede de contremesure cryptographique par derivation d'une donnee secrete
CN110321470B (zh) * 2019-05-23 2024-05-28 平安科技(深圳)有限公司 文档处理方法、装置、计算机设备和存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5586186A (en) * 1994-07-15 1996-12-17 Microsoft Corporation Method and system for controlling unauthorized access to information distributed to users
US5768390A (en) * 1995-10-25 1998-06-16 International Business Machines Corporation Cryptographic system with masking
US5991402A (en) * 1997-09-23 1999-11-23 Aegisoft Corporation Method and system of dynamic transformation of encrypted material
US6513118B1 (en) * 1998-01-27 2003-01-28 Canon Kabushiki Kaisha Electronic watermarking method, electronic information distribution system, image filing apparatus and storage medium therefor

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005339273A (ja) * 2004-05-27 2005-12-08 Canon Inc 電子機器
JP4498012B2 (ja) * 2004-05-27 2010-07-07 キヤノン株式会社 電子機器
KR100631587B1 (ko) 2005-01-14 2006-10-11 삼성전자주식회사 함수를 이용하여 컨텐츠를 관리하는 장치 및 그 방법
WO2009148119A1 (ja) * 2008-06-05 2009-12-10 日立オムロンターミナルソリューションズ株式会社 情報処理システム

Also Published As

Publication number Publication date
EP1146715A1 (en) 2001-10-17
CA2341931A1 (en) 2001-09-24
CA2341931C (en) 2006-05-30

Similar Documents

Publication Publication Date Title
JP5331920B2 (ja) コンピュータ可読記憶媒体
EP1146714B1 (en) System and method for protection of digital works
US7068787B1 (en) System and method for protection of digital works
JP2002077136A (ja) 電子著作物の保護方法及び保護システム
JP4304220B2 (ja) 自己保護文書が記録されたコンピュータ読み取り可能な記録媒体及び自己保護文書を使用する方法
US9171136B2 (en) Data protection method and device
Dwork et al. Digital signets: Self-enforcing protection of digital information (preliminary version)
US8407466B2 (en) Controlling download and playback of media content
JPH10301904A (ja) 取引コード化された解読キーを有する暗号システム
JP2007515723A (ja) アクティブなエンティティを使用するソフトウェア実行保護
DECODE ‘DIGITAL ‘ID Portion of Format

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050802

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20051101

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060328