JP2003510713A

JP2003510713A - データの使用を制限するトラステッドコンピューティングプラットフォーム

Info

Publication number: JP2003510713A
Application number: JP2001526683A
Authority: JP
Inventors: ピアソン，シアニ; チェン，リクン
Original assignee: Hewlett Packard Co
Current assignee: HP Inc
Priority date: 1999-09-25
Filing date: 2000-09-25
Publication date: 2003-03-18
Anticipated expiration: 2020-09-25
Also published as: GB9922665D0; EP1224516A1; WO2001023980A1; DE60041145D1; US7526785B1; JP4746233B2; EP1224516B1

Abstract

(57)【要約】クライアント /サーハ゛システムはサーハ゛1109により提供されるテ゛ータの制限的な使用を提供するよう構成されるクライアントフ゜ラットフォーム1001を有する。クライアントフ゜ラットフォーム1001は、テ゛ィスフ゜レイ1005とセキュアな通信手段と該セキュアな通信手段によりサーハ゛1109からテ゛ータを受信しかつ該テ゛ータを表示するイメーシ゛受信コート゛1004を含むメモリとを備える。クライアントフ゜ラットフォーム1001は、サーハ゛1109から受信したテ゛ータが非認可の目的ではなく該テ゛ータの表示のために使用されるよう構成される。テ゛ータをクライアントフ゜ラットフォームに提供して、クライアントフ゜ラットフォームにより制限的な使用を行うよう構成されるサーハ゛1109は、サーハ゛1109上で実行されるテ゛ータのイメーシ゛を提供するイメーシ゛送信コート゛1103を含むメモリと、クライアントフ゜ラットフォーム1001に対するテ゛ータのイメーシ゛のセキュアな通信を行うセキュアな通信手段とを備える。サーハ゛1109は、クライアントフ゜ラットフォーム1001がテ゛ータの制限的な使用をイメーシ゛送信コート゛1103によりテ゛ータが送信される前に確実に行うよう構成されることを判定するよう構成される。

Description

【発明の詳細な説明】

【０００１】

【発明の属する技術分野】

本発明は、クライアント／サーバシステムにおいて信頼できる端末機能を提供
すること、及びコンテンツ又はソフトウェアが誤用されるリスクを該コンテンツ
又はソフトウェアの所有者に与えることなくユーザに対するコンテンツの提供又
はユーザによるソフトウェアの試用を提供することに関する。

【０００２】

【従来の技術】

本明細書において、「データ」は、イメージ、ソフトウェア、及びストリーミ
ングメディアといったディジタル的に作成することが可能なあらゆるものを表す
。

【０００３】将来には、コンピュータシステムは、よりセキュアな起動を実現すると共に、
他のコードに対する完全性チェックを行ってウイルスその他による未認証の修正
がオペレーティングシステム及び実装されているソフトウェアに対して行われて
いないことを確実にすることが可能になるであろう。更に、次世代のタンパープ
ルーフ（改ざん防止）装置が、既に市場に現れており、又はまもなく現れると思
われるものがあり、これらは、外部又は携帯モジュール（スマートカード等）と
内部モジュール（セキュリティ機能を有する埋め込み式プロセッサ、半埋め込み
式プロセッサ、又はコプロセッサ、すなわち、マザーボード、ＵＳＢ（ユニバー
サルシリアルバス）及びＩＳＡ（業界標準アーキテクチャ）機器を含む）との両
方を含むものである。これらのタンパープルーフモジュールを使用してシステム
のハードウェアが改ざんされていないかチェックし、これにより、現在入手可能
なもの（例えばイーサネット名）よりも信頼できる形のマシン識別(identity)が
提供されることになる。

【０００４】

【発明が解決しようとする課題】

これにもかかわらず、データの著作権侵害や、ソフトウェア開発者とエンドユ
ーザとの両者にとって許容可能な態様でのソフトウェアのライセンス制(licensi
ng)又は従量制(metering）での使用に関する対策は、依然として重大な問題とな
っている。

【０００５】ソフトウェアライセンシングは、ハッキングや著作権侵害にさらされており、
現在使用されているソフトウェアライセンシング法の全てはそれらに関連する問
題を有している。ライセンシングのソフトウェアによる実施（ライセンス管理シ
ステム等）は柔軟性のあるものではあるが、格別安全でも高速でもない。特に、
これらは、セキュリティの欠如（例えば一般的な「ハッキング」を受け易い）及
びソフトウェアの真正な交換(genuine replacement)の困難性といった問題を有
している。逆に、ハードウェアによる実施（ドングル）は、ソフトウェアによる
実施に比べて高速であり一般により安全であるが柔軟性に欠けるものである。こ
れは、特定の個々のソフトウェアに専用設計されるものであるため、エンドユー
ザにとっては不便なものとなる。

【０００６】コンテンツ保護の分野における従来技術として、コンテンツのウォーターマー
キング、コンテンツを囲むソフトウェアラッパー、パスワード保護、及び指紋技
術といった技術が挙げられる。更に、クライアントマシンに送信されるコンテン
ツの暗号化や、クライアントマシンに送信されてコンテンツを復号できるように
する復号鍵を含む、様々なアプローチが存在する。これらのアプローチは全て、
潜在的な欠点を有するものであり、すなわち、クライアントマシンが信頼できな
いものである可能性があり、また、データが復号され又は他の方法で（例えば、
保護機構のハッキング若しくはクリアバージョン(clear version)のコピーによ
り）クライアントマシンにとって使用可能になった際に、該データが誤用される
可能性がある。

【０００７】

【課題を解決するための手段】

本発明の第１の態様では、サーバにより提供されるデータの制限を伴った使用
を提供するよう構成されたクライアントプラットフォームが提供される。該クラ
イアントプラットフォームは、ディスプレイと、セキュアな通信手段と、該セキ
ュアな通信手段によりサーバからデータを受信して該データを表示するためのイ
メージ受信コードを含むメモリとを備えており、未認証の目的ではなくデータの
表示を目的として、サーバから受信したデータを使用するように構成される。

【０００８】本発明の第２の態様では、クライアントプラットフォームによる制限を伴った
データの使用のために該クライアントプラットフォームにデータを提供するよう
構成されたサーバが提供される。該サーバは、該サーバ上で実行されたデータの
イメージを提供するためのイメージ送信コードを含むメモリと、クライアントプ
ラットフォームに対するデータのイメージのセキュアな通信のためのセキュアな
通信手段とを備えており、これにより、前記イメージ送信コードによりデータが
送信される前に該データの制限を伴った使用が確実になるようクライアントプラ
ットフォームが構成されていることを判定するよう該サーバが構成される。

【０００９】本発明の第３の態様では、イメージデータをその制限を伴った使用のためにユ
ーザにセキュアに提供するシステムが提供される。該システムは、上述のクライ
アントプラットフォームと上述のサーバとを備えたものであり、該クライアント
プラットフォームのユーザは、該サーバからのイメージデータを該クライアント
プラットフォームにおいて見ることを要求する。

【００１０】本発明の第４の態様では、イメージデータをその制限を伴った使用のためにク
ライアントプラットフォームに提供する方法が提供される。該方法は、該クライ
アントプラットフォームが、サーバからのイメージデータを要求し、該サーバが
、該クライアントプラットフォームが該イメージデータを受信する許可を有して
いると共に制限を伴った使用のためだけに該イメージデータを使用するよう構成
されていることを判定し、セキュアな通信チャネルを介して該イメージデータを
提供する、という各ステップを含むものである。

【００１１】本発明の好適な実施形態は、全機能を有する(full function)プラットフォー
ムにおいて強化された信頼できる端末機能を提供するものとなる。これにより、
リモートで処理されたデータを表示すると共に該データの誤用を防止することが
可能となる。本システムは、個人情報の保護、データのライセンシング、又は複
製又は誤用のリスクを伴うことなく試用版ソフトウェアに全機能を持たせるとい
った、広範なサービスに使用することができるため、クライアント、サーバ、又
は開発者に利益をもたらすものとなる。かかる利益が得られるのは、データ自体
を複製又は修正することができないようにデータを忠実に出力するものであると
該クライアントプラットフォームを信頼することができるからである。このため
、例えば、試用ソフトウェアで全機能を使用することが可能であるが、これはセ
キュリティの危険性を伴うため、現時点では稀なケースである。エンドユーザに
も利点があり、その１つとして、電子メールメッセージといった機密情報(sensi
tive information)をクライアントマシンのハードディスクに格納する必要がな
くなるため、ホットデスキング(hot desking)状況（公共の場での共有端末の使
用等）においてかかる情報の秘匿性(confidentiality)又は完全性に対する攻撃
から該情報を効果的に保護することができることが挙げられる。

【００１２】コンテンツ保護に対する本発明の複数の実施形態におけるアプローチは、既存
の従来技術のモデルとは異なり、本発明の場合には、情報の少なくとも一部が、
耐改ざん性（tamper-resistant）のハードウェアの内部にある保護されたメモリ
、又は該耐改ざん性のハードウェアによってのみアクセス可能な保護されたメモ
リに一般に一時的に記憶された後に削除され、該部分はハードディスクには格納
されない。該耐改ざん性ハードウェアは、認証のために、イメージの出力を制御
するために、そして随意選択的に課金のために使用される。クライアントマシン
は、上述した従来のモデルの場合のようにデータパッケージ全体（保護されてい
ても保護されていなくても良い）を取得することが決してないため、従来のアプ
ローチが被りやすい態様でクライアントマシンを介してソフトウェアを誤用する
ことが不可能となる。このため、例えば、ユーザは、画面をコピーしたり、又は
画面からテキストをリタイプすることは可能であるが、オリジナルドキュメント
をコピーすることはできず、また音楽の場合には、ユーザは、サウンドトラック
を聴き、その音を部屋で録音することは可能であるが、そのディジタルオブジェ
クトを直接コピーすることはできないことになる。これは、著作権侵害の興味を
顕著に削ぐものとなる。

【００１３】本発明の実施形態は、データのコピー及び未認証での使用からの保護、並びに
ペイ・パー・ユーズ(pay-per-use : 従量制／使った分だけ支払う方式)及び時間
依存モデル(time-dependent model)といったライセンシングモデルの柔軟性の増
大という利点に加えて、クライアントプラットフォームに格納されているデータ
ラッパーの修正又は削除といったハッキングの試行からの保護を提供するものと
なる。これは、かかる格納が本モデルでは決して行われず、また、クライアント
プラットフォーム内の耐改ざん性ハードウェアが、該プラットフォーム内のあら
ゆるイメージの改変に対する保護を行うからである。より詳細には、試用の度に
ユーザにデータアクセスが許可される場合には、現時点では、かかるデータにお
ける使用制御(usege control)の複製又は修正の危険性が高すぎるため、一層質
の低い(inferior)製品しか試用のために送信することができない、と一般に考え
られている。本発明の実施形態により提供されるシステムは、完全な機能を有す
るソフトウェア又は完全な解像度を有するイメージを、エンドユーザが吟味する
ことを可能にする。

【００１４】本発明の実施形態によるシステムは、ソフトウェアライセンシング、又は上述
の完全な機能を有する試用ソフトウェアの提供を目的として使用することが可能
であるが、該目的の代わりに、又は該目的に加えて、クライアントの個人情報を
保護するために試用することが可能である。例えば、エンドユーザが耐改ざん性
ハードウェアを内蔵する共有端末にログインして（場合によってはリモートログ
インを使用して）個人情報にアクセスする場合には、該情報は、ハードディスク
上ではなく、該耐改ざん性ハードウェアの内部にあり又は該耐改ざん性ハードウ
ェアでしかアクセスできない保護されたメモリのみに記憶され、ユーザがログア
ウトした後には完全に削除することができる。

【００１５】本発明の好適な実施形態では、クライアントプラットフォーム（及びサーバ）
は、タンパープルーフ構成要素（又は「トラステッド(trusted：信頼できる)モ
ジュール」）を、好ましくは該タンパープルーフ構成要素内で実行しているソフ
トウェアと共に使用する。該ソフトウェアは、かかるコンピュータプラットフォ
ーム間で転送されるデータイメージの操作及び該データイメージに関する選択を
制御するものである。１つ又は複数の該トラステッドモジュールは、トラステッ
ド端末機能が完全な機能を有するプラットフォームにおいて提供されることを確
実にする際に重要な役割を果たすものである。従量記録(metering record)をタ
ンパープルーフ装置又はスマートカードに記憶し、必要に応じて再び管理者に報
告することが可能である。データに関する登録及び支払いを可能にするための関
連するクリアリングハウス機構が存在することも可能である。

【００１６】トラステッドモジュール又は構成要素は好適には、内部データの未認証の修正
又は検査に対する免疫性を有するものとなる。該トラステッドモジュールは、偽
造(forgery)を防止するための物理的なものであり、模造(counterfeiting)を防
止するための耐改ざん性を有し、好適には距離をおいたセキュアな通信を行うた
めの暗号機能を有するものとなる。トラステッドモジュールの構築方法は、本質
的に当業者に周知のところである。トラステッドモジュールは、暗号方法を使用
して、該モジュール自体に暗号的な識別（cryptographic identity）を提供し、
及び真正性(authenticity)、完全性(integrity)、秘匿性(confidentiality)を提
供し、リプレイ攻撃(replay attack)から保護し、ディジタル署名を行い、必要
に応じてディジタル証明書を使用することが可能である。上述その他の暗号方法
及びその初期設定については、セキュリティに関わる当業者に周知のところであ
る。

【００１７】特に好適な構成では、本発明の実施形態を採用したライセンシングシステムは
、セキュアな通信経路により互いに接続された少なくとも２台のコンピュータプ
ラットフォーム（１台がサーバとして、もう１台がクライアントとして機能する
）から構成される。各コンピュータプラットフォームは、内部的な改ざんに耐性
を有すると共に第三者の公開鍵証明書を格納するトラステッドモジュールと、リ
モートイメージングコード（サーバの場合には、該サーバ上で実行するデータの
イメージに対応する情報をサーバから他のトラステッド（信頼できる）プラット
フォームに送信するためのインタフェイスを提供するリモートイメージングコー
ドであり、クライアントの場合には、クライアントプラットフォームのモニタに
表示することが可能なデータのイメージに対応する情報を他のトラステッドプラ
ットフォームから受信するため及び／又はかかるイメージの実行に関連するユー
ザ選択を捕捉しこれを中継してサーバプラットフォームに返すためのインタフェ
イスを提供するリモートイメージ受信コード）を格納する手段と、第三者の秘密
鍵を用いて署名されたリモートイメージングコードをハッシュしたバージョン（
変形したもの）を格納する手段とを有しており、該コンピュータプラットフォー
ムは、該プラットフォームの起動時にリモートイメージングコードの完全性を前
記署名されたバージョン及び公開鍵証明書を参照してチェックし、該完全性チェ
ックに失敗した場合にリモートイメージングコードのロードを阻止するようプロ
グラムされる。この完全性チェックに失敗した場合に、プラットフォームの全て
の完全性が失敗するように構成することが可能である。随意選択的に、リモート
イメージングコードの機能の一部を、ソフトウェアではなくローカルのトラステ
ッド構成要素内のハードウェアにより実行することが可能である。１つ又は２つ
以上のスマートカードは、それに関連するリーダと共に、コンピュータプラット
フォームの追加の随意選択的な構成要素であり、該スマートカードは、（プラッ
トフォームではなく）ユーザライセンスを提供してイメージデータへのアクセス
を可能とするものである。

【００１８】トラステッド端末機能は、多数の異なる方法で使用されることが可能である。
極端な形態の一般的なモデルは、ライセンスを受けたデータをクライアントでは
なくサーバ上で実行することである。支払いと引き替えに、クライアントは、ト
ラステッドサーバ上でのデータの実行に対応するイメージング情報を受信する。
これは、サーバ上のリモートイメージ送信コードを介して送信される。その後、
クライアントマシン上のリモートイメージ受信コードが、ユーザの選択に対応す
るキーボードストロークをサーバに送信し、次いでアプリケーションの実行の変
化に対応するイメージング情報を受信する。該イメージング情報は、トラステッ
ドサーバからＰＰＴＰといったセキュアなチャネルを介してクライアント内のト
ラステッド構成要素に直接送信される。該トラステッド構成要素は、コンピュー
ティング装置のアントラステッド（信頼できない）構成要素を全く伴わずにイメ
ージング情報を直接表示するよう構成されたものである。

【００１９】実際に如何なる量のソフトウェアをクライアント上で実行するかに関して得る
ことができる他の見込みが存在する。全てのソフトウェアをクライアントではな
くサーバ上で実行することは、全ての場合において効率的ではない。比較的機密
性の高い情報の場合（これはデータアクセスに該当し、又はソフトウェアが実行
する度に実質的な重複が存在し得る場合）、全てのイメージをクライアントの保
護されたメモリに一時的に格納して、ソフトウェア（実際にはサーバ上で実行さ
れているもの）をクライアント上に表示させるのが適切である。クライアントは
、保護されたメモリに格納されているイメージとは別にソフトウェアを格納する
段階がないため、ハードディスクその他の記憶媒体を介したデータのライセンス
侵害攻撃を受けにくい。機密性のより低い情報の場合、特に、ゲームソフトウェ
アの場合に普通であるようにアプリケーションがその実行の度に異なるイメージ
を生成する可能性がある場合には、ソフトウェアの一部のみをサーバで実行する
のがおそらく一層適切であり、例えば、実質的にローカルでソフトウェアが実行
されるが、該ソフトウェアを実行するために（オンラインサービスといった）サ
ーバからの所定の重要な入力が必要となる、といった具合である。サーバは、依
然として全体的な制御を掌握している必要があるため、クライアントマシンがプ
ログラムを実行できる場合であっても、サーバの介在なしでかかる実行を成功さ
せることはできない。これを実行する様々な方法が存在し、例えば、サーバは、
情報のキービットを供給し、全てのクライアントにとって同一となる共同ブロッ
ク(communal block)でイメージを送信し、クライアントのトラステッド構成要素
が、サーバのトラステッド構成要素に対して個人情報又はキービットの認証を繰
り返し行うことが可能であり、又は、データの一部をローカルに格納し、サーバ
が追加データを保護されたメモリに送信することが可能である。効率化のために
、実行中又は実行後に、情報の一部（キービット等）のみを保護されたメモリに
格納し、残りの情報をハードディスクその他の記憶媒体に格納することが可能で
ある。このイメージ転送の部分的なモデル(partial model)は、同一サーバ上の
異なるデータに関する全体的なモデル(total model)と同時に使用することが可
能である。

【００２０】サーバは、トラステッド環境にあり、データ又はラッパーの改変又は複製から
保護されている。したがって、ペイ・パー・ユーズ及び時間依存モデルといった
ライセンシングモデル並びにより伝統的なモデルをセキュアな態様で使用するこ
とが可能である。

【００２１】好適には、表示処理は、ユーザに対する表示を破壊する(subvert)ことができ
ないようにトラステッド構成要素内から制御される。ユーザのスマートカードが
イメージデータを入手する必要がある場合には、リーダに挿入されたスマートカ
ードの所有者のみがその正しい印章イメージであることを知っている印章イメー
ジをクライアントのディスプレイに表示して、クライアントとサーバとの接続の
セキュリティをチェックすることができる。課金情報の提供といった機密性のあ
るタスクをスマートカードの所有者が実行する前に、スマートカードは、クライ
アントプラットフォームのトラステッド構成要素からの認証を必要とすることが
可能であり（この認証はクライアントモニタに印章イメージを表示することによ
り強化することが可能である）、このため、あらゆる機密情報の伝送前にスマー
トカードの所有者からの許可を必要とすることが可能である。

【００２２】随意選択的に、トラステッドクライアントプラットフォームにおける選択され
た画素領域の表示を、（おそらくは第三者の代わりに）サーバのトラステッドプ
ラットフォームにより代替的に使用するために確保することができる。この所定
の画素領域は、時間と共に変動することが可能であり、トラステッドサーバプラ
ットフォーム上で実行されているデータと直接関係がないと思われる情報を伝送
することも可能である。これにより、サーバのトラステッドプラットフォーム又
は信頼できる第三者により送信された表示イメージ中に、広告又は他の所有権を
有する情報を組み込むことが可能となる。

【００２３】

【発明の実施の形態】

次に、本発明の一実施形態を実例を介して説明する。この好適な実施形態のシ
ステムの一部が、トラステッド構成要素を含む（後述する）クライアントプラッ
トフォームであり、該トラステッド構成要素は、ユーザ、又は該クライアントプ
ラットフォームと通信している他者が該クライアントプラットフォームとセキュ
アで信頼できる対話を行うことを可能にする。かかるトラステッド構成要素につ
いては、以下で説明するが、「Trusted Computing Platform」と題する2000年2
月15日付けで出願された本出願人の同時係属中の国際特許出願第PCT/GB00/00528
号でより完全に説明されている。該クライアントプラットフォーム内のトラステ
ッド構成要素はまた、クライアントプラットフォームのディスプレイを制御して
、ディスプレイ上に表示されたものが、クライアントプラットフォーム上で動作
している非認可プロセスによって破壊されていないことを、ユーザが確信できる
ようにする。本実施形態のトラステッド構成要素についても後述するが、「Syst
em for Digitally Signing a Document」と題する2000年5月25日付けで出願され
た本出願人の同時係属中の国際特許出願第PCT/GB00/01996号でより完全に説明さ
れている。本システムはまた、好適な実施形態においてユーザの個人的なトラス
テッドトークンを使用する。該トラステッドトークンは、本書で詳述する一実施
形態ではユーザスマートカードである。更に、本書で解説する実施形態では、ク
ライアントプラットフォームだけでなくサーバもまたトラステッド構成要素を含
むものとなる（但し、この場合にはトラステッド（信頼できる）表示機能を有し
ている必要がある）。

【００２４】本システムの特定の構成要素、すなわち、トラステッド表示機能を含むトラス
テッド構成要素及びユーザスマートカードについて、図１ないし図９を参照して
詳述する。本発明において、トラステッドコンピューティングプラットフォーム
（及びトラステッド構成要素）、トラステッドディスプレイ、及びスマートカー
ドの特定の形態は重要ではなく、特許請求の範囲から逸脱することなく変更する
ことが可能である、ということが当業者には理解されよう。

【００２５】トラステッドコンピューティングプラットフォームを達成するために、物理的
なトラステッドデバイスがコンピューティングプラットフォームに組み込まれる
。該トラステッドデバイスは、プラットフォームの完全性に関する基準(integri
ty metric)を提供する信頼性の尺度となる(reliably measured)データにプラッ
トフォームの識別を結びつける機能を有するものである。該トラステッドデバイ
スは、（後述するように）トラステッド表示プロセッサとして機能することも可
能である。

【００２６】トラステッド表示プロセッサ（又はそれと同様の特性を有するデバイス）は、
標準的なホストコンピュータソフトウェアによりデータを操作できるポイントを
越えたビデオ処理の一段階でビデオデータと関連するものである。これにより、
トラステッド表示プロセッサは、ホストコンピュータソフトウェアによる干渉又
は破壊を受けることなく、データをディスプレイ画面上に表示することが可能と
なる。このため、トラステッド表示プロセッサは、ユーザに対して如何なるイメ
ージが現在表示されているかを確認することができる。識別及び完全性に関する
基準は、プラットフォームの信頼性を保証する用意のある信頼できる第三者（Ｔ
Ｐ：trusted party）により提供された期待値と比較される。それらが一致する
場合、これは、完全性基準の範囲に依存してプラットフォームの少なくとも一部
が正常に動作していることを意味する。

【００２７】ユーザは、プラットフォームの正常な動作を確認した後、該プラットフォーム
と他のデータをやり取りする。ユーザは、トラステッドデバイスの識別及び完全
性の基準を提供するよう該トラステッドデバイスに要求することにより該確認を
行う（随意選択的に、トラステッドデバイスは、それ自体がプラットフォームの
正常な動作を確認できなかった場合に、識別の証明(evidence)の提供を拒否する
ことが可能である）。ユーザは、識別及び完全性の基準の証拠(proof)を受け取
り、該証拠を正しいと確信している値と比較する。該正しい値は、ＴＰ、又はユ
ーザが信頼している別のエンティティ(entity)により提供される。トラステッド
デバイスにより報告されたデータがＴＰにより提供されたものと同一である場合
、ユーザは該プラットフォームを信頼することになる。これは、ユーザが該エン
ティティを信頼しているからである。該エンティティが該プラットフォームを信
頼しているのは、該エンティティが以前に該プラットフォームの識別の正当性を
立証する(validate)と共にその完全性基準が正しいと判定したからである。

【００２８】ユーザは、プラットフォームのトラステッド動作を確立すると、他のデータを
プラットフォームと交換する。ローカルユーザの場合、該交換は、該プラットフ
ォーム上で動作しているソフトウェアアプリケーションとの対話により行うこと
が可能である。またリモートユーザの場合には、該交換は、セキュアなトランザ
クションを伴う可能性がある。いずれの場合であっても、交換されたデータは、
トラステッドデバイスにより「署名」される。これにより、ユーザは、信頼でき
る挙動を有するプラットフォームとの間でデータが交換されている、という一層
大きな確信を持つことができる。

【００２９】トラステッドデバイスは、暗号プロセスを使用するが、必ずしもこれらの暗号
プロセスに対する外部的なインタフェイスを提供する必要はない。また、ほとん
どの望ましい実施形態は、トラステッドデバイスをタンパープルーフにし、該ト
ラステッドデバイスが他のプラットフォーム機能にアクセスできないようにする
ことにより秘密を保護し、及び権限なき修正に対して十分な免疫性を有する環境
を提供するものとなる。タンパープルーフは不可能であるため、最も近いものは
、耐改ざん性を有する又は改ざんを検出するトラステッドデバイスである。この
ため、トラステッドデバイスは、耐改ざん性を有する物理的な構成要素からなる
ことが好ましい。

【００３０】耐改ざん性に関する技術は、セキュリティ分野における当業者には周知のとこ
ろである。かかる技術として、改ざんに抗する方法（トラステッドデバイスの適
当なカプセル化等）、改ざんを検出する方法（仕様外の電圧、Ｘ線、又はトラス
テッドデバイス筐体内における物理的な完全性の損失の検出等）、及び改ざんの
検出時におけるデータの除去方法が挙げられる。適当な技術に関する更なる説明
については、http://www.cl.cam.ac.uk/-mgk25/tamper.htmlに見られる。タンパ
ープルーフは、本発明の最も望ましい特徴であるが、本発明の通常動作に含まれ
るものではなく、このため本発明の範囲を超えているため、本明細書では詳述し
ないこととする。

【００３１】トラステッドデバイスは、物理的なものであることが好ましい。これは、トラ
ステッドデバイスが、偽造(forge)の困難なものでなければならないからである
。最も好ましくは、トラステッドデバイスは、耐改ざん性を有するものとなる。
これは、トラステッドデバイスが、模造(counterfeit)が困難なものでなければ
ならないからである。トラステッドデバイスは典型的には、暗号プロセスを使用
することが可能なエンジンを有するものとなる。これは、ローカル又はリモート
で識別を証明する必要があるからであり、トラステッドデバイスはまた、関連す
ることになるプラットフォームの完全性基準を測定する少なくとも１つの方法を
含むものとなる。

【００３２】図１は、ホストコンピュータシステムを示している。この場合、ホストコンピ
ュータは、（例えば）WindowsNT^TMオペレーティングシステムの元で動作するパ
ーソナルコンピュータすなわちＰＣである。図１によれば、ホストコンピュータ
100は、視覚表示装置(ＶＤＵ)105、キーボード110、マウス115、スマートカード
リーダ120、及びローカルエリアネットワーク(ＬＡＮ)125に接続され、該ＬＡＮ
125がインターネット130に接続される。ここで、スマートカードリーダは、独立
したユニットであるが、キーボードの一体部分とすることも可能である。ＶＤＵ
、キーボード、マウス、及びトラステッドスイッチは、ホストコンピュータのヒ
ューマン／コンピュータインタフェイス(ＨＣＩ)と考えることができる。より具
体的には、ディスプレイは、信頼できるコントロールの下で動作する場合には、
後述するように「トラステッドユーザインタフェイス」の一部として考えること
ができる。図１はまた、後述するように本実施形態において使用されるスマート
カード122を示している。

【００３３】図２は、図１のホストコンピュータのハードウェア構成を示す。

【００３４】図２によれば、ホストコンピュータ100は、中央処理装置(ＣＰＵ)200すなわち
メインプロセッサが、ＲＡＭ205及びＲＯＭ210からなる主メモリに接続され、こ
れらは全てホストコンピュータ100のマザーボード215上に実装されている。この
場合のＣＰＵはPentium^TMプロセッサである。該ＣＰＵは、ＰＣＩ（Peripheral
Component Interconnect）ブリッジ220を介してＰＣＩバス225に接続され、該Ｐ
ＣＩバスにホストコンピュータ100の他の主要な構成要素が接続される。該ＰＣ
Ｉバス225は、適当なコントロール、アドレス及びデータ部分からなるが、ここ
では詳述しないこととする。Pentium^TMプロセッサ及びＰＣＩアーキテクチャに
関する本記載の範囲を超える詳細については、Hans-Peter Messmer著の書籍「Th
e Indispensable PC Hardware Handbook」（第3版、Addison-Wesley出版、ISBN0
-201-40399-4)を参照されたい。勿論、本実施形態は、Pentium^TMプロセッサ、Wi
ndows^TMオペレーティングシステム、又はＰＣＩバスを使用した実施に限定され
るものではない。

【００３５】ＰＣＩバス225に装着されるホストコンピュータ100の他の主要な構成要素とし
て、ＳＣＳＩ(small computer system interface)バス235を介してハードディス
クドライブ2600及びCD−ROMドライブ2605に接続されるＳＣＳＩアダプタ、ホス
トコンピュータ100をＬＡＮ（local area network）125に接続すると共に該ＬＡ
Ｎ125を介してホストコンピュータ100がファイルサーバ、プリントサーバ、又は
電子メールサーバ等の他のホストコンピュータ（図示せず）及びインターネット
130と通信することを可能にするＬＡＮアダプタ250、キーボード110、マウス115
、及びスマートカードリーダ120を装着するためのＩＯ（入出力）デバイス225、
及びトラステッドデバイス260（トラステッド表示プロセッサ機能を組み込んだ
もの）が挙げられる。該トラステッド表示プロセッサは、全ての標準的な表示機
能に加えて多数の更なるタスクを扱うものである。これについて以下で詳述する
。「標準的な表示機能」とは、任意の標準的なホストコンピュータ100（例えば
、WindowsNT^TMオペレーティングシステムの下で動作しているＰＣ）においてオ
ペレーティングシステム又はアプリケーションソフトウェアに関連したイメージ
を表示する場合に見られることが通常期待される機能である。

【００３６】全ての主要な構成要素（特にトラステッドデバイス260）は、ホストコンピュ
ータ100のマザーボード215に一体化されることが好ましいが、場合によっては、
ＬＡＮアダプタ250及びＳＣＳＩアダプタ230をプラグインタイプのものとするこ
とが可能である。

【００３７】通常、パーソナルコンピュータにおいて、ＢＩＯＳプログラムは、特別に予約
されたメモリ領域215、すなわち、システムメモリの最初の1メガバイトの上位64
K（アドレスF000h〜FFFFh）にあり、メインプロセッサは、業界全体の標準にし
たがって最初にこのメモリロケーションを参照するよう構成される。

【００３８】本プラットフォームと従来のプラットフォームとの大きな違いは、リセット後
に、メインプロセッサが最初にトラステッドデバイスにより制御され、次いでプ
ラットフォームに固有のＢＩＯＳプログラムに制御が渡され、次いで全ての入出
力デバイスが通常通りに初期化される点である。ＢＩＯＳプログラムの実行後に
は、ＢＩＯＳプログラムによって通常通りにWindowsNT（TM）等のオペレーティ
ングシステムプログラムに制御が渡され、該オペレーティングシステムプログラ
ムが典型的にはハードディスクドライブから主メモリへとロードされる。

【００３９】明らかに、通常の手順からの該変更は、業界標準の実施に修正を加えることを
必要とし、該修正により、メインプロセッサ200は、トラステッド構成要素（ト
ラステッドデバイスとも記載する）260にアドレス指定を行ってその最初の命令
を受信するよう命令されることになる。この変更は、単に異なるアドレスをメイ
ンプロセッサ200にハードコード化(hard-coding)することにより実施することが
可能である。代替的には、トラステッドデバイス260に標準的なＢＩＯＳプログ
ラムアドレスを割り当てることも可能であり、この場合には、メインプロセッサ
の構成を修正する必要がなくなる。

【００４０】ＢＩＯＳブートブロックをトラステッドデバイス260内に包含させることが非
常に望ましい。これにより、完全性基準を取得する際の破壊（不正なソフトウェ
アプロセスが存在する場合にも発生し得る）が防止されると共に、ＢＩＯＳが（
それ自体が正しい場合であっても）オペレーティングシステムの適正な環境を構
築することができなくなる状況を不正なソフトウェアプロセスが生成することが
防止される。

【００４１】本書で説明する好適な形態では、トラステッドデバイス260は、単一の独立し
た構成要素であるが、代替的にトラステッドデバイス260の機能を、マザーボー
ド上の多数のデバイスへと分離すること、又はプラットフォームの既存の標準的
なデバイスのうちの１つ又は２つ以上に一体化することが予想される。例えば、
トラステッドデバイスの機能の１つ又は２つ以上をメインプロセッサ自体に一体
化することは、上記機能及びその通信が破壊され得ない場合には実施可能である
。しかし、これは、トラステッド機能によってのみ使用される別個のリード線が
プロセッサ上に必要になる可能性がある。該実施形態に加えて、又は該実施形態
の代わりに、本実施形態ではトラステッドデバイスはマザーボード215と一体化
させるよう構成されたハードウェアデバイスであるが、トラステッドデバイスは
、必要に応じてプラットフォームに装着されるドングルといった「リムーバブル
」デバイスとして実施可能であることが考えられる。トラステッドデバイスを一
体化させるか又は取り外し可能とするかは設計上の選択事項である。しかし、ト
ラステッドデバイスを分離可能とする場合には、トラステッドデバイスとプラッ
トフォームとの間の論理的な結合を提供する機構が存在する必要がある。

【００４２】システムのリセット後に、トラステッドデバイス260は、セキュアブートプロ
セスを実行して、プラットフォーム100のオペレーティングシステム（システム
クロック及びモニタ上の表示を含む）が正常かつセキュアな態様で動作している
ことを確実にする。該セキュアブートプロセスにおいて、トラステッドデバイス
260は、コンピューティングプラットフォーム100の完全性基準を取得する。該ト
ラステッドデバイス260はまた、セキュアなデータ転送、及び、例えば該デバイ
ス260とスマートカードとの間での暗号／復号及び署名／検証を介した認証を実
行することができる。トラステッドデバイス260はまた、ユーザインタフェイス
のロックといった様々なセキュリティ制御ポリシーをセキュアに強化することが
可能である。更に、本構成では、トラステッドデバイス260は、トラステッド表
示プロセッサとしても作用し、これにより、表示プロセッサの標準的な表示機能
と共に、トラステッドユーザインタフェイスを提供するための特別な非標準的な
機能も提供する。

【００４３】図３によれば、トラステッドデバイス260は、コントローラ300と、該マイクロコントローラ300の動作を制御するための個々の制御プログラム命
令（すなわちファームウェア）を含むフラッシュメモリ等の不揮発性メモリ305
であって、該制御プログラムが、完全性基準をコンピューティングプラットフォ
ームから取得する測定機能370と、スマートカード（又は他のトラステッド構成
要素）の認証を行う認証機能380とを含む、不揮発性メモリ305（代替的にはトラ
ステッドデバイス260はＡＳＩＣで実施することが可能であるが、ＡＳＩＣは一
般に大量生産ではより優れた性能及びコスト効率を提供するが一般に開発コスト
が高く柔軟性に劣るものとなる）と、トラステッドデバイス260をＰＣＩバスに接続し、イメージデータ（すなわち
グラフィクスプリミティブ）を含む情報をＣＰＵ200から受信すると共に後述す
るように信頼できるイメージデータをスマートカード122から受信するための、
インタフェイス310と、少なくとも１つの完全なイメージフレームを格納するための十分なＶＲＡＭ（
ビデオＲＡＭ）を備えたフレームバッファメモリ315（典型的なフレームバッフ
ァメモリ315のサイズは１〜２Mbyteであり、この場合の画面解像度は最大1,670
万色をサポートする1280×768となる）と、ピクスマップ(pixmap)データをアナログ信号に変換するビデオＤＡＣ（ディジ
タルアナログ変換器）320であって、ビデオインタフェイス325を介して該ビデオ
ＤＡＣ320に接続している（アナログ）ＶＤＵ105を駆動する、ビデオＤＡＣ320
と、状況情報、特に受信した暗号鍵を格納し、及びマイクロコントローラ300に作
業領域を提供する、揮発性メモリ335（例えばＤＲＡＭ（ダイナミックＲＡＭ）
又はより高価なＳＲＡＭ（スタティックＲＡＭ）と、ハードウェア暗号アクセラレータ及び／又はソフトウェアを含む暗号プロセッ
サ340であって、トラステッドデバイス260に暗号識別を提供し、及び以下で詳述
するように、真正性、完全性、及び秘匿性を提供し、リプレイ攻撃からの保護を
提供し、ディジタル署名を行い、及びディジタル証明書を使用するように構成さ
れた、暗号プロセッサ340と、トラステッドデバイス260の識別子I_DP（例えば、単純なテキストストリング名
。これは、トラステッドデバイスに関連するデータのインデックス及びラベルに
使用可能であるが、それ自体は、トラステッド状況下でプラットフォームの識別
を証明するには不十分なものである）、トラステッドデバイス260の秘密鍵S_DP、
及びVerSign Inc.といった信頼できる第三者認証機関(certification agency)（
ＴＰ）により署名され提供された証明書Cert_DPであって、トラステッドデバイス
260を、署名(signature)公開鍵−秘密鍵対及び機密(confidentiality)公開鍵−
秘密鍵対と結びつけ、及びトラステッドデバイス260の対応する公開鍵を含む、
証明書Cert_DPを格納する、不揮発性メモリ345（例えばフラッシュメモリ）とを備えたものとなる。

【００４４】証明書は典型的には、上記情報を含むが、ＣＡの公開鍵は含まない。該公開鍵
は典型的には、「公開鍵インフラストラクチャ（ＰＫＩ）」を使用して入手する
ことが可能である。ＰＫＩの動作は、セキュリティ技術に関する当業者には周知
のものである。

【００４５】証明書Cert_DPは、トラステッドデバイス260の公開鍵を第三者に提供するため
に使用される。これは、第三者が該公開鍵の出所を確信すると共に該公開鍵が有
効な公開−秘密鍵対の一部であることを確信するよう行われる。このように、第
三者がトラステッドデバイス260の公開鍵を事前に知っていること又はこれを取
得することは必要ない。

【００４６】証明書Cert_DP（又は随意選択的な更に別の証明書）は、トラステッドデバイス
260の公開鍵だけでなく、信頼できる第三者（ＴＰ）により判定されたプラット
フォームの完全性基準の認証された値も含む。後の通信セッションにおいて、プ
ラットフォーム100のユーザは、取得した完全性基準を証明書における認証され
た完全性基準と比較することにより、プラットフォーム100の完全性を検証する
ことができる。それらの値が一致した場合、ユーザは、プラットフォーム10が破
壊されていないことを確信することができる。ＴＰの一般的に入手可能な公開鍵
を知ることにより、証明書の単純な検証が可能となる。

【００４７】トラステッドデバイス260には、該デバイスが関係するコンピューティングプ
ラットフォーム100の完全性基準を確実に測定し又は取得する少なくとも１つの
方法が搭載されている。本実施形態では、完全性基準は、ＢＩＯＳメモリ中のＢ
ＩＯＳ命令のダイジェストを生成することにより測定機能370により取得される
。かかる取得された完全性基準は、上述のように検証された場合に、プラットフ
ォーム100がハードウェアレベル又はＢＩＯＳプログラムレベルで破壊されてい
ないという一層高いレベルの信頼性(confidence)をプラットフォーム100の潜在
的なユーザに与えるものとなる。典型的には、他の周知のプロセス（例えばウイ
ルスチェッカ）が適所に配設されてオペレーティングシステム及びアプリケーシ
ョンプログラムコードが破壊されていないことをチェックすることになる。

【００４８】測定機能370は、ハッシュプログラム390及びトラステッドデバイス260の秘密
鍵S_DPを格納する不揮発性メモリ305,345、並びに取得された完全性基準をダイジ
ェスト361という形で格納する揮発性メモリ335に対するアクセスを有するもので
ある。適当な実施形態では、揮発性メモリ335を使用して、プラットフォーム100
に対するアクセスを得るために使用することができる１つ又は２つ以上の真正な
スマートカード122の公開鍵及び関連するIDラベル360a〜360nを格納することも
可能である。

【００４９】一好適実施形態では、ダイジェストと同様に、完全性基準がブール値を含み、
該ブール値が測定機能370により揮発性メモリ335に格納される。この理由は後に
明らかとなろう。

【００５０】次に、完全性基準を取得する好適なプロセスについて図４を参照して説明する
。

【００５１】ステップ500において、スイッチONで、測定機能370がＰＣＩバス225上のメイ
ンプロセッサ200の活動を監視して、アクセスされた最初のメモリがトラステッ
ドデバイス260があるか否かを判定する。従来の動作では、メインプロセッサは
、ＢＩＯＳプログラムを実行するためにまずＢＩＯＳメモリに向かう。しかし、
図示の構成によれば、メインプロセッサ200は、メモリとして作用するトラステ
ッドデバイス260に向かう。ステップ505で、アクセスされた最初のメモリがトラ
ステッドデバイス260である場合には、ステップ510で、測定機能370は、アクセ
スされた最初のメモリがトラステッドデバイス260であったことを示すブール値
を揮発性メモリ335に書き込む。それ以外の場合には、ステップ515で、アクセス
された最初のメモリがトラステッドデバイス260でなかったことを示すブール値
を書き込む。

【００５２】勿論、アクセスされた最初のメモリがトラステッドデバイス260でない場合に
は、トラステッドデバイス260が全くアクセスされない可能性がある。これは、
例えば、最初にＢＩＯＳプログラムを実行させるようメインプロセッサ200が操
作された場合に該当する。かかる状況では、プラットフォームは動作するが、そ
の完全性をオンデマンドで検証することができない。これは、完全性基準を入手
できないことになるからである。更に、ＢＩＯＳプログラムがアクセスされた後
にトラステッドデバイス260がアクセスされた場合には、ブール値は、明らかに
プラットフォームの完全性の欠如を示すものとなる。

【００５３】ステップ520で、メインプロセッサ200によりメモリとしてアクセスされたとき
（又はアクセスされた場合には）、メインプロセッサ200は、ステップ525で測定
機能370から格納されている元のハッシュ命令390を読み出す。該ハッシュ命令39
0がメインプロセッサ200により処理するためにデータバス225を介して渡される
。ステップ530において、メインプロセッサ200は、該ハッシュ命令390を実行し
、ステップ535においてこれらを使用して、ＢＩＯＳメモリ215のコンテンツ（内
容）を読み出し、及び該コンテンツをハッシュプログラムに従って処理すること
により、ＢＩＯＳメモリ215のダイジェストを計算する。ステップ540において、
メインプロセッサ200が、該計算されたダイジェスト361をトラステッドデバイス
260の適当な不揮発性メモリロケーション335に書き込む。次いでステップ545に
おいて、測定機能370が、ＢＩＯＳメモリ215中のＢＩＯＳプログラムを呼び出し
て、従来の態様で実行を続行する。

【００５４】必要とされる信頼の範囲に応じて完全性基準を計算することが可能な多数の異
なる方法が存在することは明らかである。ＢＩＯＳプログラムの完全性の測定は
、プラットフォームの根底にある処理環境の完全性についての基本的なチェック
を提供する。該完全性基準は、ブートプロセスの妥当性についての推論を可能に
する（すなわち、該完全性基準の値を使用してプラットフォームが正しいＢＩＯ
Ｓを使用して起動されたか否かを確認することができる）形であるべきである。
随意選択的に、ＢＩＯＳ内の個々の機能ブロックは、独自のダイジェスト値を有
することが可能であり、全体のＢＩＯＳダイジェストは、これら個々のダイジェ
ストのダイジェストである。これにより、意図する目的にとってＢＩＯＳ動作の
どの部分が重大であるか及びどの部分が無関係であるかを特定するポリシーが可
能となる（この場合には、該ポリシー下で動作の妥当性を確立することができる
ように個々のダイジェストを格納しなければならない）。

【００５５】他の完全性チェックとして、プラットフォームに装着された様々な他のデバイ
ス、構成要素、又は装置が存在すると共に、かつ正しい動作順(working order)
になっていることを確立することが挙げられる。一例では、ＳＣＳＩコントロー
ラに関連するＢＩＯＳプログラムを検証して、周辺機器との通信を確実に信頼で
きるものにすることが可能である。別の例では、プラットフォーム上の他のデバ
イス（例えばメモリデバイス又はコプロセッサ）の完全性を、固定のチャレンジ
／レスポンス(challenge/response)対話を実施して一貫した結果を保証すること
により検証することができる。トラステッドデバイス260が分離可能な構成要素
である場合には、かかる何らかの形態の対話が、トラステッドデバイス260とプ
ラットフォームとの間の適当な論理的結合を提供することが望ましい。また、ト
ラステッドデバイス260は、本実施形態ではプラットフォームの他の部品と通信
する主要な手段としてデータバスを使用しているが、有線経路又は光学経路等の
代替的な通信経路を提供するよう実施することが可能であり、かかる構成を図８
及び図９を参照して更に詳述する。更に、本実施形態では、トラステッドデバイ
ス260は、完全性基準を計算するようメインプロセッサ200に命令するが、他の実
施形態では、トラステッドデバイス自体が１つ又は２つ以上の完全性基準を測定
するように構成される。

【００５６】好適には、ＢＩＯＳブートプロセスは、ブートプロセス自体の完全性を検証す
るための機構を含む。かかる機構は、例えばIntel社の草案「Wired for Managem
ent baseline specification v 2.0 - Boot Integrity Service)」からすでに周
知であり、ソフトウェア又はファームウェアをロードする前に該ソフトウェア又
はファームウェアのダイジェストを計算することを含む。かかる計算されたダイ
ジェストは、信頼できるエンティティ（その公開鍵はＢＩＯＳにとって既知であ
る）により提供された証明書に格納されている値と比較される。次いで、計算さ
れた値が証明書から期待される値と一致し、及び該信頼できるエンティティの公
開鍵を使用することにより証明書が有効であることが証明された場合にのみ、ソ
フトウェア／ファームウェアがロードされる。それ以外の場合には、適当な例外
処理ルーチンが呼び出される。

【００５７】随意選択的に、計算されたＢＩＯＳダイジェストを受信した後、トラステッド
デバイス260は、証明書におけるＢＩＯＳダイジェストの正しい値を調べ、計算
されたダイジェストが該正しい値と一致しない場合にはＢＩＯＳに制御を渡さな
いようにすることができる。これに加えて、又は代替的に、トラステッドデバイ
ス260は、ブール値を調べ、アクセスされた最初のメモリがトラステッドデバイ
ス260でなかった場合には制御をＢＩＯＳに戻さないようにすることができる。
これらのいずれの場合にも、適当な例外処理ルーチンを呼び出すことができる。

【００５８】図５は、ＴＰ、プラットフォームに組み込まれるトラステッドデバイス260、
及びトラステッドプラットフォームの完全性を検証することを望む（リモートプ
ラットフォームの）ユーザによる動作フローを示している。ユーザがローカルユ
ーザである場合にも、図５に示すものと実質的に同一のステップが呼び出される
ことが理解されよう。いずれの場合にも、ユーザは典型的には、検証確認を実施
するために、何らかの形のソフトウェアアプリケーションに依存することになる
。該ソフトウェアアプリケーションをリモートプラットフォーム又はトラステッ
ドプラットフォーム上で動作させることは可能である。しかし、リモートプラッ
トフォーム上であっても、何らかの方法でソフトウェアアプリケーションが破壊
される可能性がある。したがって、高レベルの完全性のためには、ソフトウェア
アプリケーションは、検証を目的として適当なリーダに挿入されることになるユ
ーザのスマートカード上に存在することになると考えられる。図５は、一般的な
場合の動作の流れを示しており、ユーザのスマートカードによる検証動作のより
具体的な流れについては図６を参照して更に後述する。

【００５９】第１の例では、トラステッドプラットフォームを保証するＴＰは、プラットフ
ォームの種類を調べてその保証をするか否かを判定する。これは、ポリシー上の
問題である。全てが良好であれば、ステップ600において、ＴＰは、プラットフ
ォームの完全性基準の値を測定する。次いで、ＴＰは、ステップ605においてプ
ラットフォームの証明書を生成する。該証明書は、トラステッドデバイスの公開
鍵（及び随意選択的にそのIDラベル）を、測定された完全性基準に追加し、及び
該ストリングにＴＰの秘密鍵を署名することにより、ＴＰにより生成される。

【００６０】次いで、トラステッドデバイス260は、該秘密鍵を使用して、ユーザから受信
した入力データを処理して出力データを生成することにより、その識別を検証す
ることができる。この場合、該入出力対は、秘密鍵を知らなければ生成すること
が統計的に不可能なものである。このため、秘密鍵に関する知識は、この場合の
識別の基本を形成するものとなる。対称暗号を使用して識別の基本を形成するこ
とが実施可能であることは明らかである。しかし、対称暗号を使用する欠点は、
ユーザが該ユーザ自身の秘密をトラステッドデバイスと共有する必要があること
にある。更に、秘密をユーザと共有する必要がある結果として、対称暗号は基本
的にユーザに対する識別を証明するには十分であるが、トラステッドデバイス又
はユーザから発信された検証を完全に確信することができない第三者に対して識
別を証明するには不十分なものとなる。

【００６１】ステップ610において、トラステッドデバイス260は、トラステッドデバイス26
0の適当な不揮発性メモリロケーションに証明書を書き込むことにより初期化さ
れる。これは、好適には、マザーボード215へのインストール後のトラステッド
デバイス260との間のセキュアな通信によって行う。トラステッドデバイス260へ
の証明書の書き込み方法は、スマートカードに秘密鍵を書き込むことにより該ス
マートカードを初期化する際に使用される方法と同様である。セキュアな通信は
、トラステッドデバイス（又はスマートカード）に対してその製造時に書き込ま
れる「マスタキー」（ＴＰしか知らないもの）によってサポートされる。該マス
タキーは、トラステッドデバイス260に対するデータの書き込みを可能にするた
めに使用され、該マスタキーを知らなければトラステッドデバイス260に対する
データの書き込みは不可能となる。

【００６２】プラットフォームの動作時の後の時点、例えば、プラットフォームがスイッチ
ON又はリセットされた場合に、ステップ615において、トラステッドデバイス260
は、プラットフォームの完全性基準を取得して格納する。

【００６３】ユーザは、プラットフォームとの通信を行いたい場合には、ステップ620にお
いて、乱数等のナンス(nonce)を作成し、ステップ625において、トラステッドデ
バイス260にチャレンジを行う（プラットフォームのオペレーティングシステム
、又は適当なソフトウェアアプリケーションは、このチャレンジを認識し、これ
を典型的にはＢＩＯＳタイプのコールを介してトラステッドデバイス260に適当
な態様で渡すよう構成される）。ナンスは、信頼できないプラットフォームによ
る古いが真正の署名のリプレイによって引き起こされるなりすまし(deception)
（リプレイ攻撃と呼ばれる）からユーザを保護するために使用される。該ナンス
を提供しレスポンスを検証するプロセスは、周知の「チャレンジ／レスポンス」
プロセスの一例である。

【００６４】ステップ630において、トラステッドデバイス260は、チャレンジを受信して、
適当なリプレーを作成する。これは、測定された完全性基準及びナンスのダイジ
ェスト並びに随意選択的にそのIDラベルとすることが可能である。次いでステッ
プ635において、トラステッドデバイス260は、その秘密鍵を使用して前記ダイジ
ェストに署名し、該署名したダイジェストを証明書Cert_DPと共にユーザに返送す
る。

【００６５】ステップ640において、ユーザは、該チャレンジレスポンスを受信し、ＴＰの
周知の公開鍵を使用して証明書を検証する。次いでユーザは、ステップ650にお
いて、トラステッドデバイス260の公開鍵を証明書から抽出し、該公開鍵を使用
して、署名されたダイジェストをチャレンジレスポンスから復号する。次いでス
テップ660において、ユーザは、チャレンジレスポンス中のナンスを検証する。
次いでステップ670において、ユーザは、計算された（チャレンジレスポンスか
ら抽出した）完全性基準を、証明書から抽出した正しいプラットフォーム完全性
基準と比較する。ステップ645,655,665,又は675において、上記の検証ステップ
のいずれかに失敗した場合には、ステップ680において全ての処理が終了し、こ
れ以上の通信は行われない。

【００６６】全て成功したものと仮定すると、ステップ685,690において、ユーザ及びトラ
ステッドプラットフォームが、他のプロトコルを使用して、他のデータについて
のセキュアな通信を確立し、好適には該プラットフォームからのデータがトラス
テッドデバイス260により署名される。

【００６７】この検証プロセスを更に洗練させることが可能である。チャレンジャが、チャ
レンジを介して、プラットフォーム完全性基準の値と、これを入手した方法との
両方に理解していることが望ましい。これらの部分的な情報は共に、プラットフ
ォームの完全性についての正しい判定をチャレンジャに行わせるものであること
が望ましい。また、チャレンジャは、多数の異なるオプションも使用可能であり
、すなわち、トラステッドデバイス260において完全性基準が有効であると識別
されることを許容することが可能であり、また代替的に、完全性基準の値がチャ
レンジャにより保持される値と等しい場合にのみ、プラットフォームが関連する
レベルの完全性を有することを許容することが可能である（又は、これら２つの
場合に異なるレベルの信頼があると考えることも可能である）。

【００６８】署名、証明書の使用、及びチャレンジ／レスポンス、並びにこれらを使用した
識別の証明といった技術は、セキュリティ技術に関する当業者に周知のものであ
るため、本書ではこれ以上詳述する必要はない。

【００６９】本システムの好適な構成において、ユーザは、スマートカード122を使用して
トラステッドプラットフォームを検証する。この好適な実施形態に従った使用に
適したスマートカードの処理エンジンを図７に示す。該処理エンジンは、標準的
な暗号及び復号機能を実施して他の場所から受信した情報の検証をサポートする
プロセッサ400を備える。本実施形態において、プロセッサ400は、８ビットマイ
クロコントローラであり、組み込みオペレーティングシステムを有しており、及
びISO 7816-3, 4, T=0, T=1, T=14の各規格により指定される非同期プロトコル
を介して外界と通信するよう構成されている。スマートカードはまた、不揮発性
メモリ420（例えばフラッシュメモリ）から構成され、スマートカード122の識別
子I_SC、データのデジタル署名に使用される秘密鍵S_SC、及び信頼できる第三者認
証機関により提供された証明書Cert_SC（スマートカードを公開−秘密鍵対と結び
つけ、及びスマートカード122の対応する公開鍵を含むもの−本質的にはトラス
テッドデバイス260の証明書Cert_DPと同一）を収容する。更に、該スマートカー
ドは、詳細を後述する、プロセスがユーザのスマートカードにより安全に動作し
ていることをユーザに示すためにトラステッド表示プロセッサ260によりグラフ
ィカルに表すことができる「印章」データSEALを不揮発性メモリ420に含む。本
実施形態では、印章データSEALは、ユーザにより一意の識別子（例えばユーザ自
身のイメージ）として当初に選択されて周知の技術によりスマートカード122に
ロードされるピクスマップイメージという形のものである。プロセッサ400は、
状況情報（受信した鍵等）を格納し、及びプロセッサ400に作業領域を提供する
、揮発性メモリ430（例えばＲＡＭ）と、スマートカードリーダと通信するため
のインタフェイス440（例えば電気接点）とのアクセスも有する。

【００７０】印章イメージは、ピクスマップとして格納される場合には比較的大量のメモリ
を消費し得る。これは、メモリ容量が比較的制限されるスマートカード122にイ
メージが格納される必要がある状況において明らかに不利となる可能性がある。
メモリ要件は、多数の異なる技術によって低減できる。例えば、印章イメージは
、トラステッドデバイス260により解凍可能な圧縮イメージと、トラステッドデ
バイス260により生成されるモザイクの繰り返しのプリミティブ要素を形成する
サムネイルイメージと、トラステッドデバイス260により単一の大きなイメージ
として表示することが可能であり又は上述のサムネイルイメージとして使用する
ことができる自然圧縮(naturally compressed)イメージ（例えば一組の英数字キ
ャラクタ）とを含むことが可能である。これら代替例のいずれにおいても、印章
データ自体は暗号化形式とし、その表示を行う前に該データを復号するためにト
ラステッドデバイス260が必要となるようにすることが可能である。代替的に、
印章データは、ホストコンピュータ100又はネットワークサーバにより格納され
た多数の考え得るイメージのうちの１つを識別する暗号化されたインデックスと
することが可能である。この場合には、該インデックスがセキュアなチャネルを
介してトラステッドデバイス260によりフェッチされ復号され、これにより、正
しいイメージを読み出して表示することが可能となる。更に、印章データは、適
当にプログラムされたトラステッドデバイス260により解釈されてイメージを生
成することが可能な命令（例えばPostScript^TM命令）から構成することが可能で
ある。

【００７１】上述のように、図６は、ユーザがスマートカード122を用いてトラステッドプ
ラットフォームと対話することによりプラットフォームの完全性を検証する実例
の動作フローを示している。後述するように、本プロセスは、チャレンジ／レス
ポンスルーチンを有利に実施する。多数の使用可能なチャレンジ／レスポンス機
構が存在する。本実施形態において使用される認証プロトコルの実施形態は、IS
O/IEC9798-3「Information technology - Security techniques - Entity authe
ntication mechanisms; Part 3; Entity authentication using a public key a
lgorithm)」(国際標準化機構、11月 12293)に記載されるような相互（又は３ス
テップ）認証である。勿論、例えば、同参考文献に記載されているような２ステ
ップ又は４ステップといった他の認証手順を使用できない理由はない。

【００７２】まず、ユーザは、ステップ700において、プラットフォームのスマートカード
リーダ120に自分のスマートカード122を挿入する。

【００７３】予め、このようにユーザによって使用されるよう構成されたプラットフォーム
は、典型的には、標準的なオペレーティングシステムの制御下で動作し、認証プ
ロセスを実行するものであり、ユーザが自分のスマートカード122を挿入するま
で待機する。このようにしてスマートカードリーダ120がアクティブになってい
る場合を除き、該プラットフォームは、典型的には、ユーザインタフェイス（す
なわち、画面、キーボード、及びマウス）を「ロック」することにより、ユーザ
に対してアクセス不能な状態にされる。

【００７４】スマートカード122がスマートカードリーダ120に挿入されると、トラステッド
デバイス260がトリガされて、ステップ705でナンスAを生成してスマートカード1
22に送信することにより、同期をとって(in step)相互認証を試行する。乱数等
のナンスは、信頼できない第三者による古いが真正のレスポンスのリプレイ（「
リプレイ攻撃」と呼ばれる）により引き起こされるなりすまし(deception)から
発信者を保護するために使用される。

【００７５】これに応じて、ステップ710において、スマートカード122が、ナンスA、スマ
ートカード122により生成された新たなナンスB、トラステッドデバイス260のID
、及び幾つかの冗長の平文と、スマートカード122の秘密鍵を使用して該平文に
署名することにより生成される平文の署名と、スマートカード122のIDと公開鍵
とを含む証明書との連結(concatenation)を含むレスポンスを生成して返送する
。

【００７６】トラステッドデバイス260は、ステップ715において、証明書中の公開鍵を使用
して平文の署名を検証することによりレスポンスの認証を行う。レスポンスが真
正(authentic)でない場合には、本プロセスはステップ720において終了する。ま
たレスポンスが真正である場合には、ステップ725において、トラステッドデバ
イス260が、ナンスA、ナンスB、スマートカード122のID、及び取得した完全性基
準の平文と、トラステッドデバイス260の秘密鍵を使用して該平文に署名するこ
とにより生成される平文の書名と、トラステッドデバイス260の公開鍵と真正な
完全性基準と（双方ともＴＰの秘密鍵により署名されたもの）を備えた証明書と
の連結を含む更なるレスポンスを生成して送信する。

【００７７】スマートカード122は、ステップ730において、ＴＰの公開鍵を使用し、及び取
得した完全性基準を真正な完全性基準と比較することにより、前記レスポンスの
認証を行う。この場合の一致は検証の成功を示すものとなる。該更なるレスポン
スが真正でない場合には、本プロセスはステップ735において終了する。

【００７８】該手順が成功した場合には、トラステッドデバイス260がスマートカード122の
認証を完了すると共に、スマートカード122がトラステッドプラットフォームの
完全性の検証を完了し、ステップ740において、認証プロセスがユーザのセキュ
アなプロセスを実行する。

【００７９】特定のタイプの対話では、この時点で認証プロセスが終了することができる。
しかし、ユーザとトラステッドプラットフォームの間でセッションが続行される
べき場合には、該ユーザがプラットフォームに対して認証された状態を維持する
ことを確実にすることが望ましい。

【００８０】継続した認証が必要とされる場合には、本認証プロセスは、ステップ745にお
いてインターバルタイマを設定する。その後、本認証プロセスは、適当なオペレ
ーティングシステムの割り込みルーチンを使用してインターバルタイマを周期的
に作動(service)させて、ステップ750において、該タイマが所定のタイムアウト
時間に到達し又はこれを越えたときを検出する。

【００８１】明らかに、本認証プロセス及びインターバルタイマは、セキュアなプロセスと
並行して動作するものである。タイムアウト時間に到達し又はこれを超過した場
合には、本認証プロセスは、ステップ760において、トラステッドデバイス260を
トリガしてスマートカード122の再認証を行わせる。該再認証は、ステップ760に
おいて、スマートカード122の身元を確認するためのチャレンジを該スマートカ
ード122へ送信することにより行われる。スマートカード122は、ステップ765に
おいて、そのID及びその公開鍵を含む証明書を返送する。ステップ770において
、（例えばスマートカード122が取り外されている結果として）レスポンスがな
い場合、又は何らかの理由により証明書が有効でなくなっている場合（例えばス
マートカードが別のスマートカードと交換された場合）には、ステップ775にお
いて、トラステッドデバイス260により本セッションが終了される。ステップ770
において、それ以外の場合には、インターバルタイマをリセットすることにより
ステップ745からのプロセスを繰り返す。

【００８２】実施形態によっては、上記に加えて、又は上記の代替策として、ユーザプロフ
ィールを暗号化し署名してプライバシー及び完全性を保護する必要がある。かか
る場合には、トラステッドデバイス260とスマートカード122との間にセキュアな
データ転送プロトコルが必要となる可能性がある。セキュアなクレデンシャル(c
redential)を２つのエンティティ間で転送する多数の使用可能な機構が存在する
。本実施形態において使用することが可能な考え得る実施形態は、ISO/IEC DIS
11770-3「Information technology - Security techniques - Key management -
Part 3: Mechanisms using asymmetric techniques」(ＩＳＯ、1997年3月)から
の安全鍵転送機構(secure key transport mechanisms)である。

【００８３】他の周知のチャレンジ／レスポンス技法を使用した検証プロセスの変形例は、
当業者により容易に実施可能なものである。同様に、異なる態様で（すなわち、
スマートカードを備えたユーザとしてでなく）プラットフォームと対話する複数
のユーザが複数の代替的な検証プロセスを使用することが可能である。

【００８４】上述のように、トラステッドデバイス260は、その識別及びトラステッドプロ
セスをホストコンピュータに提供し、トラステッド表示プロセッサは、その耐改
ざん性、偽造(forgery)に対する耐性、及び模造(counterfeiting)に対する耐性
に基づく特性を有する。適当な認証機構を備えた選択されたエンティティのみが
、トラステッドデバイス260の内部で動作しているプロセスに作用することが可
能である。ホストコンピュータの一般的なあらゆるユーザ、該ホストコンピュー
タにネットワークを介して接続される一般的なあらゆるユーザ又は一般的なあら
ゆるエンティティは、トラステッドデバイス260内で動作しているプロセスにア
クセスし又は干渉することが不可能となる。トラステッドデバイス260は「侵さ
れていない(inviolate)」という特性を有するものとなる。

【００８５】フレームバッファメモリ315がＣＰＵ200ではなくトラステッド表示プロセッサ
260自体によってのみアクセス可能であることは図３から明らかである。これは
本好適な実施形態の重要な特徴である。ＣＰＵ200（又はより重要には破壊的な
アプリケーションプログラム又はウイルス）がトラステッド動作中にピクスマッ
プを修正できないことが必要不可欠であるからである。勿論、ＣＰＵ200がフレ
ームバッファメモリ315に直接アクセスすることができる場合であっても、トラ
ステッド表示プロセッサ260が、該ＣＰＵ200がフレームバッファメモリ315にア
クセスできるときについて最終的な制御を有するよう構成される限り、同一レベ
ルのセキュリティを提供することが可能である。明らかに、この後者の方式の方
が実施が困難なものとなる。

【００８６】次いで、ホストコンピュータ100によりグラフィクスプリミティブが生成され
る典型的なプロセスを技術的背景として説明する。まず、特定のイメージを表示
しようとするアプリケーションプログラムは、グラフィカルＡＰＩ（アプリケー
ションプログラミングインタフェイス）を介して適当なコールをオペレーティン
グシステムに対して行う。ＡＰＩは典型的には、イメージを表示することを目的
としてWindowsNT^TMにより提供されるような特定の根本的な表示機能にアクセス
するための標準的なインタフェイスをアプリケーションプログラムに提供するも
のである。ＡＰＩコールにより、オペレーティングシステムに個々のグラフィク
スドライバライブラリルーチンコールを行わせ、その結果として、表示プロセッ
サ（この場合にはトラステッド表示プロセッサ260）に固有のグラフィクスプリ
ミティブが生成される。かかるグラフィクスプリミティブは、最終的にはＣＰＵ
200によってトラステッド表示プロセッサ260に渡される。グラフィクスプリミテ
ィブの例としては、「ラインを太さｚで点ｘから点ｙまで描く」又は「各点ｗ,
ｘ,ｙ,ｚにより囲まれた領域を色ａで塗りつぶす」といったものが挙げられる。

【００８７】マイクロコントローラ300の制御プログラムは、受信したグラフィクスプリミ
ティブを処理するための標準的な表示機能が提供されるように該マイクロコント
ローラを制御し、詳細には、グラフィクスプリミティブをＣＰＵ200から受信し処理して、ＶＤＵ105の画面
上に表示されるべきイメージを直接表すピクスマップデータを形成し、ここで、
該ピクスマップデータが、ＶＤＵ105画面上のアドレス指定可能な各画素の赤、
緑、及び青の各ドットの各々毎に強度値を一般に含み、該ピクスマップデータをフレームバッファメモリ315に格納し、周期的に（例えば１秒間に６回）フレームバッファメモリ315からピクスマッ
プデータを読み出し、該データをビデオＤＡＣを使用してアナログ信号へと変換
し、該アナログ信号をＶＤＵ105に送信して必要なイメージを画面に表示させる
、といった制御を行う。

【００８８】標準的な表示機能と別に、制御プログラムは、ＣＰＵ200からのなりすましの(
deceived)表示イメージデータを信頼できるイメージデータと合成して単一のピ
クスマップを形成する機能を含む。制御プログラムはまた、暗号プロセッサとの
対話も管理する。

【００８９】トラステッド表示プロセッサ260は、ホストコンピュータ100の全体的な「表示
システム」の一部を形成し、その他の部分は典型的にはオペレーティングシステ
ムの表示機能である。該オペレーティングシステムの表示機能は、アプリケーシ
ョンプログラムにより「コール」することが可能なものであり、グラフィクスプ
ロセッサ及びＶＤＵ105の標準的な表示機能にアクセスするものである。換言す
れば、ホストコンピュータ100の「表示システム」は、イメージの表示に関する
ハードウェア又は機能のあらゆる部分から構成されるものである。

【００９０】次いで図８を参照する。同図は、トラステッド構成要素260が使用するための
トラステッド通信経路が配設された好適な構成を示している。かかる構成につい
ては、「Communication between Modules of a Computing Apparatus」と題する
、2000年2月15日付けで出願された本出願人の同時係属中の国際特許出願第PCT/G
B00/00504号に一層完全に記載されている。図８（同図では図２の各要素の一部
のみが示されている）において、ホストコンピュータ100は、メインＣＰＵ200と
、ＳＣＳＩインタフェイス230と、ＰＣＩネットワークインタフェイスカード106
と、ＤＲＡＭメモリ205とを有し、それらの間に従来の（通常の）通信経路110（
ＩＳＡ、ＥＩＳＡ、ＰＣＩ、ＵＳＢ等）が設けられている。該ネットワークイン
タフェイスカード106はまた、ホストコンピュータ100の外部の世界との外部通信
経路112を更に有している。

【００９１】ネットワークインタフェイスカード106は、「赤」データ領域114と「黒」デー
タ領域116とに論理的に分割され、該領域間にインタフェイス118が配設される。
赤領域114では、通常データは平文であり、検出不能な改変や望ましくない盗聴
を受けやすく脆弱である。黒データ領域116では、データは、検出不能な改変や
望ましくない盗聴から保護される（好適には標準的な暗号機構により暗号化され
る）。インタフェイス118は、赤情報が黒領域116に漏出しないようにする。イン
タフェイス118は、好適には標準的な暗号方法及び電子的な隔離技術を使用して
赤及び黒領域114,116を分離する。かかる赤／黒領域114,116及びインタフェイス
118の設計及び構造は、セキュリティ及び電子の分野、特に軍事分野の当業者に
は周知のところである。通常の通信経路110及び外部通信経路112は、ネットワー
クインタフェイスカード106の黒領域116と接続している。

【００９２】ホストコンピュータ100はまたトラステッドモジュール260を含み、該トラステ
ッドモジュール260は、通常の通信経路110に対してだけでなく、ＣＰＵ220、Ｓ
ＣＳＩインタフェイス230、及びネットワークインタフェイスカード106の赤領域
114に対しても、相互に別個の追加の通信経路122（符号122a,122b,122c）により
接続される。他の構成も可能であり、かかる専用の通信経路が全ての構成要素に
配設されるわけではなく、その一例として、トラステッドモジュール260は、メ
モリ205に対しては、かかる別個の追加の通信経路122を有していない。

【００９３】トラステッドモジュール260は、それぞれ追加の通信経路122a,122b,122cを介
して、ＣＰＵ102、ＳＣＳＩインタフェイス230、及びネットワークインタフェイ
スカード106の赤領域114と通信することができる。トラステッドモジュール260
はまた、通常の通信経路110を介して、ＣＰＵ260、ＳＣＳＩインタフェイス230
、ネットワークインタフェイスカード106の黒領域116、及びメモリ205と通信す
ることができる。トラステッドモジュール260はまた、該トラステッドモジュー
ル260に格納されているポリシーの制御下で、該トラステッドモジュール260及び
追加の通信経路122を介して、ＣＰＵ200、ＳＣＳＩインタフェイス230、及びネ
ットワークインタフェイスカード106の赤領域114の間で特定の情報をルーティン
グする100VGスイッチセンタとしても機能することができる。トラステッドモジ
ュール260はまた、暗号鍵を生成して、該暗号鍵を、追加の通信経路122a,122b,1
22cをそれぞれ介して、ＣＰＵ200、ＳＣＳＩインタフェイス230、及びネットワ
ークインタフェイスカード106の赤領域114に分配することができる。

【００９４】図９は、トラステッドモジュール260がプラットフォームにおける暗号機能を
有する唯一のモジュールである場合に、到来する外部のセキュアなメッセージを
処理するプロセスを示している。外部メッセージ146は、外部通信経路112を使用
してネットワークインタフェイスカード106の黒領域116により受信される。ネッ
トワークインタフェイスカード106は、何らかのデータ並びに認証及び完全性チ
ェックの要求を含むプロトコルデータユニット148を、通常の通信経路110を使用
してトラステッドモジュール260へ送信する。トラステッドモジュール260は、該
トラステッドモジュール260の内部にある長期鍵（トラステッドモジュール260の
外部には決して露呈しないはずのもの）を使用して認証及び完全性チェックを実
行し、「OK」の指示を含むプロトコルデータユニット150を追加の通信経路122c
を使用してネットワークインタフェイスカード106の赤領域114に送信する。次い
でネットワークインタフェイスカード106は、何らかのデータと復号の要求とを
含むプロトコルデータユニット152を通常の通信経路110を使用してトラステッド
モジュール260に送信する。トラステッドモジュール260は、該トラステッドモジ
ュール260の内部にある一時鍵又は長期鍵を使用してデータを復号し、該復号さ
れたデータを含むプロトコルデータユニット154を追加の通信経路122aを使用し
てＣＰＵ200に送信する。次いでＣＰＵが適当な処置を行う。

【００９５】次いで、本発明の特定の実施形態を実施するシステムについて図１０を参照し
て説明する。

【００９６】好適な構成では、ユーザは、スマートカードリーダ1007を介してクライアント
のトラステッドプラットフォーム1001に接続するユーザスマートカード1008の支
援を伴って、クライアントのトラステッドプラットフォーム1001にログインする
。クライアントのトラステッドプラットフォーム、スマートカード、及びその間
の対話は、基本的には図１ないし図９に関して上述した通りである（但し、これ
は本発明の全ての実施形態の実施にとって不可欠なものではない）。したがって
、クライアントのトラステッドプラットフォーム内には、表示プロセッサを含む
クライアントのトラステッド構成要素1003が存在し、ディスプレイ1005上の出力
が該クライアントのトラステッド構成要素により制御され、これにより該出力が
信頼できるようになっている。クライアントのトラステッドプラットフォーム10
01内にはまた、リモートイメージングコードを含むメモリ領域1004と保護された
メモリ領域1009とが含まれる。これらは、トラステッド用途のために利用可能で
ある必要がある。これらは、トラステッド構成要素1003自体の内部に位置するこ
とが理想的であるが、これはトラステッド構成要素の製造コストが高くなる結果
となる場合がある（保護されたメモリ1009の一部又は全部をトラステッド構成要
素内部に設けることはセキュリティとコストとのバランスである）。図１０に示
す潜在的により安価な代替例では、保護されたメモリ1009及びリモートイメージ
ングコード1004は、トラステッド構成要素1003の外部に配置されているが、セキ
ュアな通信経路1102（基本的には図８及び図９に関して説明したように専用の通
信リンク、理想的にはハードワイヤードであってクライアントのトラステッドプ
ラットフォーム1001の他のあらゆる構成要素から分離されたもの）により該トラ
ステッド構成要素1003に接続されている。保護されたメモリ1009及びリモートイ
メージングコード1004が、クライアントのトラステッドプラットフォーム上に配
置されており、該クライアントのトラステッドプラットフォームの構成要素のう
ちトラステッド構成要素1003以外のあらゆる構成要素にアクセスできるようにな
っている場合には、例えば「Data Integrity Monitoring in Trusted Computing
Entity」と題する、2000年5月25日付けで出願された本出願人の同時係属中の国
際特許出願第PCT/GB00/02003号において記載されるように、少なくともそれらの
完全性がクライアントのトラステッド構成要素により監視されることが望ましい
。クライアントのトラステッドプラットフォーム1001は、図１に示すような構成
要素（ユーザ入力のためのキーボードその他のデバイスを含む）を含むことにな
るが、これについてはここで更に説明する必要はない。

【００９７】ディスプレイ1005は、クライアントのトラステッド構成要素1003の制御下で動
作する。好適な構成では（以下で更に説明するが）、ディスプレイにおける選択
された一領域の画素1006は、本システムがクライアント／サーバモードで動作す
る場合には、リモートサーバの直接的な制御下で動作するよう構成される。ディ
スプレイ1005は、データをユーザに提供する唯一の可能な方法ではなく、すなわ
ち、サーバは、イメージデータではなく、オーディオプレーヤ（好適にはディス
プレイ1005と同じ方法で破壊から保護されるセキュアなオーディオプレーヤ……
なお、オーディオプレーヤの場合には、再生されたコンテンツの再録音が極めて
容易であるため、セキュリティの有効性が低くなる）により部分的に再生される
ことになるオーディオデータ又はビデオデータを提供することが可能であり、又
は他の形式の出力を全てユーザに提供することも可能である、ということが理解
されよう。本発明を実施する場合には、データの機能的な目的は重要ではなく、
権限のない使用からデータを保護することが重要である。

【００９８】クライアントのトラステッド構成要素1003は、ディスプレイ1005に出力された
イメージが、データの実行に確実に対応するものとなるようにする。クライアン
トのトラステッド構成要素はまた、サーバのトラステッド構成要素1106（以下参
照）の認証にも必要とされる。有利にも、クライアントのトラステッド構成要素
はまた、サーバのトラステッド構成要素1106のデータ保護能力を検証するように
構成される。クライアントのトラステッド構成要素1003に必要とされる考え得る
他の役割は、ユーザスマートカード1008（但しこれが使用される場合）を検証す
ること、及び信頼できる性能関連情報を提供することである。この場合には、該
情報の提供が、コードの実行時におけるプラットフォームの信頼性の表示であろ
うと、コード又はデータの実行に関する信頼できる測定(metering)であろうと、
報告の提供又は課金情報の提供が行われる。

【００９９】サーバ1109は、本構成では、図１ないし図９を参照して説明した種類のトラス
テッドプラットフォームでもある（但し、トラステッド表示機能はおそらく必要
なく、他の構成も明らかに実施可能である）。該サーバ1109は、サーバのトラス
テッド構成要素1106と、リモートイメージ送信コード1103を含むメモリ領域と、
アプリケーションデータ1107を格納するためのメモリとを含む。この場合も、特
に、リモートイメージ送信コード1103は、サーバのトラステッド構成要素1106内
に、又は使用されるクライアントのトラステッド構成要素1103を参照して説明し
た複数の代替的な構成のうちの１つ内に存在することができる。

【０１００】サーバのトラステッド構成要素1106は、利用形態に応じて、クライアントのト
ラステッド構成要素1003、ユーザスマートカード1008、又はその両者を認証する
ことができる必要がある。また、クライアントに関連する情報（登録情報、クラ
イアントデータ、又はクライアント課金データ）を、サーバのトラステッド構成
要素1106自体の内部に、又はサーバのトラステッド構成要素1106により監視され
る関連のメモリ内に、セキュアに保持するよう構成される必要がある。この場合
にも、課金、報告、及び測定機能をサーバのトラステッド構成要素1106に含める
ことが望ましい。

【０１０１】ユーザスマートカード1008は一般に、その使用時に、クライアントのトラステ
ッド構成要素1003、サーバのトラステッド構成要素1106、又はその両者を認証で
きることを必要とすることになる。ユーザスマートカード1008はまた、サーバの
トラステッド構成要素1106のデータ保護機能を検証できることが望ましい。

【０１０２】イメージ送信コード1103は、クライアントプラットフォームがイメージコード
をセキュアに扱い（好適には該操作はクライアントのトラステッド構成要素の認
証を含み、サーバのトラステッド構成要素内で最良に操作されることになる）、
及びクライアントプラットフォーム（又はそれに伴うスマートカード）がイメー
ジデータを受信するようライセンス供与その他の態様で許可されているか否かを
扱うよう構成されなければならない。イメージ送信コードはまた、クライアント
プラットフォームから受信されるイメージデータ（又はデータ実行）に関する要
求を受信し解釈するよう構成されなければならない。イメージ送信コードはまた
、クライアントプラットフォーム又はユーザスマートカードからユーザアカウン
ト情報を入手する必要がある場合もある。イメージ送信コード1103はまた、クラ
イアントプラットフォームとのセキュアな通信に関与できる必要もある（おそら
くはサーバのトラステッド構成要素内の暗号プロセッサの支援を伴うことになる
）。

【０１０３】イメージ受信コード1004は、イメージデータに関する要求を直接的に行い、又
はサーバ上で実行するコードに関する要求を行い、及びサーバからイメージデー
タを受信するために、サーバと通信するよう構成されなければならない。イメー
ジ受信コードは、サーバ、ユーザ、又はクライアントプラットフォームと対話す
る任意の他者により信頼されることが望ましい。したがって、クライアントプラ
ットフォームのブート後に、クライアントのトラステッド構成要素がイメージ受
信コード1004の完全性基準を測定する（及び該完全性基準が格納されている基準
と一致しない場合にユーザに警告し又はブートを失敗させる）ことが好ましい。
この場合も、イメージ受信コード1004は、サーバとセキュアに通信するために、
おそらくは図８に示すタイプのセキュアな通信経路に沿って（おそらくはクライ
アントのトラステッド構成要素内部の）暗号プロセッサと対話する必要がある。

【０１０４】基本的な動作原理は、アプリケーションがサーバ1109上で（全体的に又は部分
的に）実行されることである。サーバのトラステッド構成要素1106とクライアン
トのトラステッド構成要素1003と（又はおそらくはスマートカード1008上のユー
ザのトラステッド構成要素と）の相互の認証が最初に達成されて（実質的に図５
において説明した通り）、アプリケーションを実行することが可能となる。アプ
リケーションが実行されると、サーバ1109は、クライアントのトラステッド構成
要素1003にイメージデータ1108をセキュアに提供し、次いで該イメージデータ11
08を使用してディスプレイ1005が駆動される。ユーザデータは有用な動作のため
に必要とされることになる。該ユーザデータは、クライアントプラットフォーム
におけるユーザ入力により（また場合によってはクライアントプラットフォーム
に格納されているデータから）提供され、再びサーバ1109にセキュアに返送され
て（ユーザデータメッセージ1010）、アプリケーションにより使用されることに
なる。かかる通信は、ディスプレイ1005に対する更新が必要になる度に、又はユ
ーザ入力が必要となる際に、繰り返される。

【０１０５】本プロセスは、多数の異なる任意の動作モデルに従って動作することが可能で
ある。トラステッドサーバ1109は、ソフトウェア開発者により制御することが可
能であり、試用ソフトウェアをユーザに提供する方法として、又はユーザが従量
制でソフトウェアを使用することを可能にするために、使用することが可能であ
る。トラステッドサーバのオペレータは、かかる目的のためであっても、ソフト
ウェア開発者である必要はなく、データを自分のプラットフォーム上で実行する
（また代替的には開発者から入手したイメージを中継する）、ソフトウェア開発
者により信頼された他人とすることも可能である。更に、トラステッドサーバが
、ユーザとソフトウェア開発者の間の媒介として作用することを提供するインタ
ーネットサービスプロバイダにより制御されることが考えられる。

【０１０６】要するに、本構成により、（最も一般的な意味では）「サービスプロバイダ」
が、情報を、該サービスプロバイダにより提供された情報が意図されない用途に
使用されることが決してない程度のセキュリティを持たせて、ユーザの画面の一
部又は全部に提供する（実際には制御する）ことが可能となる。したがって、こ
れは、コンテンツを従量ベースで提供する際に有効な（おそらくは対話形式のコ
ンテンツにとって特に有効な）方法となり得る。サービスプロバイダがディスプ
レイ1005の事実上の制御を行うため、予約された領域1006は、ユーザではなくサ
ービスプロバイダにより選択された目的（広告、所有権を有する情報、又はその
他のユーザが要求したサービス（試用ソフトウェア、コンテンツ提供等）とは直
接関係のない情報の表示等）で使用することが可能となる。該サーバにより決定
される情報は、（図１０に示すような）既定の領域中に、又は様々な領域に（例
えば、所定の時間間隔で、又はコード動作又はユーザにより要求された情報にお
ける中断(pause)中に画面全体にわたり）提供することが可能であり、該情報は
静的なもの又は時間的に変化するものとすることが可能であり（例えばストリー
ミングビデオ）、また音声情報を補足することも可能である。

【０１０７】かかる構成においてサービスを行う際に多数の異なるモデルが使用可能である
。最も単純な形態では、「ライセンス供与された」データはクライアント上では
なくサーバ上で実行される。支払いと引き替えに、クライアントは、トラステッ
ドサーバ上でのデータの実行に対応するイメージング情報を受信する。これは、
サーバ上のリモートイメージ送信コードを介して送信される。その後、クライア
ントマシン上のリモートイメージ受信コードは、ユーザの選択に対応するキーボ
ードストロークをサーバに送信し、折り返しアプリケーションの実行の変化に対
応するイメージング情報を受信する。該イメージング情報は、トラステッドサー
バからＰＰＴＰ等のセキュアなチャネルを介してクライアント内のトラステッド
構成要素に直接送信され、該構成要素は、コンピューティング装置の信頼できな
い部品を全く伴わずに直接イメージング情報を表示するよう構成される。

【０１０８】全てのソフトウェアをクライアントではなくサーバ上で実行することは、全て
の場合に効率的なものとはならない。比較的機密性の高い情報の場合には（これ
は、データアクセス、又はソフトウェアが実行する度に実質的な重複が存在する
おそれがある場合に該当する）、全てのイメージをクライアントの保護されたメ
モリに一時的に格納し、ソフトウェアをクライアント上に表示させるが、実際に
はサーバ上で実行しているようにするのが適当である。クライアントは、保護さ
れたメモリに格納されているイメージとは別にソフトウェアを格納する段階がな
いため、ハードディスク又は他の格納媒体を介したデータのライセンス侵害攻撃
を受ける余地がない。より機密性の低い情報の場合には、特に、通常ゲームソフ
トウェアの場合のように動作の度にアプリケーションが異なるイメージを生成し
得る場合には、おそらくはソフトウェアを部分的にサーバから実行する方が適当
であり、例えば、実質的にはローカルで実行するが、当該ソフトウェアを実行す
るためにサーバからの所定の重要な入力（オンラインサービス等）が必要となる
。サーバは依然として全体的な制御を行う必要があり、このため、クライアント
マシンがプログラムを実行する能力を有していても、サーバの関与なしに該実行
が成功することはない。これを達成するための様々な方法が存在し、例えば、サ
ーバが、情報のキービットを供給し、全てのクライアントにとって同一となる共
同(communal)ブロックでイメージを送信し、クライアントのトラステッド構成要
素がサーバのトラステッド構成要素に対して個人情報又はキービットの認証を繰
り返し行うことが可能であり、又は、データの一部をローカルに格納し、サーバ
が更なるデータを保護されたメモリに送信することが可能である。効率化のため
、実行中又は実行後に、保護されたメモリに情報の一部（キービット等）のみを
格納し、残りをハードディスクその他の格納媒体に格納することが可能である。
このイメージ転送を行う部分的なモデルは、同一サーバ上の異なるデータに関す
る全体のモデルと同時に使用することが可能である。

【０１０９】次いで、クライアントのトラステッドプラットフォーム1001がトラステッドサ
ーバ1109からのイメージデータの表示を行う「トラステッド端末」として働くよ
うに図１０の構成を動作させる手順について図１１を参照して説明する。本構成
は、上述の「サービス」の何れについても有用なものとなり、例えば、クライア
ントのトラステッドプラットフォーム1001のユーザが文書を見たい（が取得しな
い）場合、又はペイ・パー・ユーズ・ベースでソフトウェアを使用したい場合に
有用なものとなる。

【０１１０】図１１に示す構成において、ユーザスマートカード1008は、サーバ1109とのユ
ーザ対話を提供するために使用され、クライアントのトラステッド構成要素1003
は、クライアント1001が信頼できる表示を提供できることを確認するよう機能す
ると共に、ユーザスマートカード1008とクライアントのトラステッド構成要素10
03との間の媒介として作用する。代替的な構成では、クライアントのトラステッ
ド構成要素1003は、ユーザスマートカード1008のためでなくユーザのために動作
することが可能であり、この場合には、ユーザスマートカード1008とサーバ1109
（通常はサーバのトラステッド構成要素1106）との対話は、クライアントのトラ
ステッド構成要素1003とサーバ1109との対話に置き換えることが可能である。

【０１１１】クライアントのトラステッドプラットフォーム1001の「トラステッド端末」動
作を機能させるための初期設定からなる第１の段階は、トラステッド端末機能が
要求された時点又はそれよりも早期に発生することができる。トラステッドサー
バ1109とユーザスマートカード1008との間で対話がなされる場合には、初期設定
段階は、クライアントのトラステッドプラットフォーム1001を使用する必要が全
くなく、すなわち、他のクライアントのトラステッドプラットフォームを使用す
ることが可能である（この場合には、スマートカードに登録する利点は、実質的
に任意のクライアントのトラステッドプラットフォームをトラステッド表示機能
と共に使用して該スマートカードが登録されたデータ又は動作にアクセスできる
ことである）。代替的には、全ての設定ステップを、トラステッドサーバ1109上
の特定のデータ又は動作についてトラステッド端末の実行を可能にするよう構成
された特定のスマートカード1008の発行と置き換えることが可能である（これは
、ユーザの主たるスマートカードに対する補助として使用されるスマートカード
とすることが可能であり、これを実行する構成については、「Computing Appara
tus and Method of Operating Computing Apparatus」と題する、2000年3月3日
付けで出願された本出願人の同時係属中の国際特許出願第PCT/GB00/00751号に記
載されている）。

【０１１２】第１の段階の開始時に、ユーザは、自分のスマートカード1008（又は上述のク
ライアントプラットフォーム1001…スマートカードの登録ではなくクライアント
プラットフォームの登録については以下では明示的には説明しないこととする）
をトラステッドサーバ1109に登録する（ステップ1100）。この段階で支払い機構
を構成することが可能である。単純なアプローチ（ステップ1105）として、所定
量のデータ購入又はコード使用をカバーするようにスマートカード1008にクレジ
ットで請求することが挙げられるが、他のモデル（スマートカード、クライアン
トプラットフォーム、トラステッドサーバ、又はその他の場所による又はそれに
対する請求の詳細の提供及びセキュアなログを行う機構の確立及び使用データの
報告等）も可能である。登録ステップ1100で既に受信されていない場合には、ス
マートカード1008は、今度はその公開鍵をトラステッドサーバ1109に提供する（
ステップ1110）。折り返し、トラステッドサーバ1109は、サーバのトラステッド
構成要素1106の公開鍵証明書をユーザスマートカード1008にインストールする（
ステップ1115）。これにより、該スマートカード1008によるトラステッドサーバ
1109の認証が可能になり、すなわち、ナンスを含むユーザスマートカード1008に
よる認証要求に応じて、トラステッドサーバ1109が、その公開鍵証明書及びナン
スを含みその秘密鍵で署名したメッセージを返送し、こうして、ユーザスマート
カードは、メッセージが真にトラステッドサーバ1109から発信されたことを確認
することができる。好ましくは（ステップ1120）、ユーザは、ユーザスマートカ
ード1008を使用してサーバのトラステッド構成要素1106の保護能力を（サーバの
トラステッド構成要素1106により又はこれを参照して保持され又は入手すること
ができる完全性基準その他の信頼できるデータから）検証して、トラステッドサ
ーバが実際に信頼できることを確認する。

【０１１３】第２の段階は、データ実行であり、トラステッドディスプレイを有するクライ
アントプラットフォームの使用を必要とする。第１のステップは、トラステッド
サーバ1109からのみ入手可能なデータを表示するための（通常はクライアントの
トラステッドプラットフォーム1001のオペレーティングシステムを介した）要求
である（ステップ1125）。スマートカードモデルの場合には、ユーザスマートカ
ード1008は、クライアントのトラステッドプラットフォーム1001とセッション中
である必要がある。次のステップ（ステップ1130）は、存在する異なるトラステ
ッド構成要素（すなわち、図１１に示す構成の場合、ユーザスマートカード1008
、クライアントのトラステッド構成要素1003、及びサーバのトラステッド構成要
素1106）の間の相互認証の１つである。随意選択的に、ユーザスマートカード10
08とクライアントのトラステッド構成要素1003との間の認証の場合に、この時点
でユーザスマートカード1008に固有の特殊な表示メッセージ（印章イメージ）を
ディスプレイ1005に表示して（このプロセスについては「System for Digitally
Signing a Document」と題する2000年5月25日付けで出願された本出願人の同時
係属中の国際特許出願第PCT/GB00/012296号により詳細に記載されている）、本
プロセスを続行したい旨の確認（及びおそらく例えばパスワードを入力すること
によるスマートカードと本人の関連性の更なる認証）を与えるようユーザに要求
し、この場合には、ユーザスマートカード1008をスマートカードリーダ1107に残
すことができる。

【０１１４】次いで、クライアントプラットフォーム1001のオペレーティングシステムによ
り要求されるイメージデータが、トラステッドサーバ1109により、好ましくはセ
キュアな通信チャネル又はプロセス（ＰＰＴＰといった）により、保護されたメ
モリ1009に提供される（ステップ1140）。随意選択的に、イメージ転送ログが作
成又は更新される（ステップ1145）。イメージ転送ログの作成及び維持に対する
代替的なアプローチについては更に後述する。別の随意選択的なステップ（ステ
ップ1150）は、イメージデータの署名をサーバのトラステッド構成要素の公開鍵
によりチェックし、このデータが実際に期待される発信源からのものであるかを
検証することにより、ユーザスマートカード1008により完全性チェックを実行す
ることである。

【０１１５】次いで、トラステッドサーバ1109から受信されたイメージデータが、クライア
ントのトラステッド構成要素1003のトラステッド表示プロセッサ機能の制御下で
動作するディスプレイ1005に表示される（ステップ1155）。表示されたイメージ
の少なくとも一部は保護されたメモリ1009に格納されたものであり、表示された
イメージの他の部分は、適当な構成においてクライアントプラットフォーム1001
において完全に動作するプロセスからのものとすることが可能である。次いで、
ユーザは、入力を通常のユーザインタフェイスを介してクライアントのトラステ
ッドプラットフォーム1001に提供し、該情報は、この場合も好ましくはセキュア
な通信チャネルを使用してトラステッドサーバ1109に（メッセージ1010として）
提供される（ステップ1160）。次いで、ユーザ選択に従って、トラステッドサー
バ1109上でのデータの実行が修正され、又は代替的なデータが選択され、その結
果として、修正されたイメージデータがトラステッドサーバ1109により提供され
る（ステップ1165）。次いでステップ1145〜1165のプロセスを必要な頻度で繰り
返すことが可能である。本セッションを終了する要求（例えばクレジットを使い
果たした場合）は、トラステッドサーバ1109又はユーザによりなされる（ステッ
プ1170）。随意選択的に、この後に、使用ログの作成又は更新を行うことが可能
であり（かかるログの代替策の可能性については後述する）、これに加えて又は
代替的にユーザに請求を行うことが可能である（ステップ1175）。

【０１１６】イメージデータの提供が無料又は無制限である場合（例えば、トラステッド端
末構成を使用する目的が個々のユーザに対する実行コードの開放を防止すること
のみである場合、又は要求される唯一の「支払い」がトラステッドサーバにより
提供される広告である場合）には、使用ログ（又は課金情報）を提供する必要が
ない場合もある。使用ログが必要である場合には、これを提供するために使用可
能な選択肢が少なくとも３つ存在する。

【０１１７】第１の選択肢は、使用情報をトラステッドサーバ1109に格納することである。
クライアントプラットフォーム1001に対するイメージデータ転送の度にトラステ
ッドサーバ1109により使用ログを採取することができる。課金情報（クレジット
カードその他の使用を課金できる口座等）は、登録プロセスにおいてユーザから
（スマートカード若しくはクライアントのトラステッド構成要素により又は他の
場所から）取得することが可能であり、またトラステッドサーバ1109に格納する
ことができる。好適には、かかる情報の全て（特にユーザ口座情報）がサーバの
トラステッド構成要素1106内に保持される。代替的には、情報をトラステッドサ
ーバ1109内の他のメモリに保持し、サーバのトラステッド構成要素1106内に保持
されている暗号鍵によりセキュアに保管することである。

【０１１８】第２の選択肢は、使用情報をクライアントのトラステッドプラットフォーム10
01に、好ましくはクライアントのトラステッド構成要素1003内に格納する（また
代替的には、保護されたメモリ1009内に保持し、又はクライアントのトラステッ
ド構成要素1003内に保持されている暗号鍵によりセキュアにしてクライアントの
トラステッドプラットフォーム1001内の保護されたメモリ1009若しくはその他の
メモリ内に保管する）ことである。次いでトラステッドサーバ1109（好ましくは
、サーバのトラステッド構成要素1106）は、必要に応じてクライアントのトラス
テッドプラットフォーム1001に問い合わせをして使用情報を見つけ出し、代替的
には、クライアントのトラステッドプラットフォーム1001が使用情報をトラステ
ッドサーバ1109に所定の時間又は間隔で報告することが可能である。これに対す
る１つのアプローチとして、トラステッドサーバ1109がクライアントのトラステ
ッドプラットフォーム1001にアプレットをダウンロードして使用又は課金情報の
報告を行わせること、又はどのイメージデータが既にユーザにより表示されたか
をトラステッドサーバ1109が判定することを可能にすることである。トラステッ
ドサーバ1109は、クリアリングハウスとして作用することが可能であり、この場
合には、課金に関する情報は、ダウンロードされたソフトウェアを介してクライ
アントのトラステッドプラットフォーム1106に返送される。この場合も、支払い
は、ユーザのクレジットカードの詳細情報をトラステッドサーバ1109に提供する
ことにより行われるのが適当であり、該詳細情報を、クライアントのトラステッ
ド構成要素1003内に保持し（又はクライアントのトラステッド構成要素1003を介
してユーザスマートカード1008により提供し）、及びトラステッドサーバ1109に
使用情報と共に転送することができる。

【０１１９】第３の選択肢は、使用情報をユーザスマートカード1008に格納することである
。これは、特定のトラステッドプラットフォームではなく特定のユーザによる使
用を測定するという利点を有するものであり、特にホットデスキング環境（又は
図書館又は空港のラウンジの場合のように公共利用可能なトラステッドプラット
フォームが提供された環境）に特に適したものとなり得る。この場合も、トラス
テッドサーバ1109は、（クライアントのトラステッドプラットフォーム1001を介
して）スマートカード1008に問い合わせして使用又は口座情報を見つけ出すこと
が可能であり、又は該情報を、上記第２の選択肢に関して説明したように、おそ
らくはスマートカード1008にアプレットをダウンロードすることにより、一定の
時間又は間隔でトラステッドサーバ1109に提供することが可能である。

【０１２０】上述のように、データ使用は、勘定をつけるため並びにユーザがアクセスした
データをチェックするために重要なものとなる場合がある。これが関係する１つ
の状況として、ユーザが、データに対する特定の数のアクセスを許可される場合
（固定使用(fixed usage)ライセンシングモデル等―トラステッドコンピューテ
ィングプラットフォームにおいて全て又は一部が実行されるデータの使用に適し
たライセンシングモデルについては、「Computer Platform and Their Methods
of Operation」と題する2000年8月11日付けで出願された本出願人の同時係属中
の国際特許出願第PCT/GB00/03101号に更に記載されている）、又は購入前の試用
のための限定されたアクセスのみが許可される場合が挙げられる。かかる構成で
は、トラステッドサーバ1109が、関連するユーザ又はクライアントプラットフォ
ームに関するログファイルを（それが何処に格納されていようと）チェックして
、許可された使用を超過していないこと又は決して超過しないことを確実にする
ことが必要となる可能性がある。使用が超過しているというログからの証拠が存
在する（おそらくは当該ソフトウェアを過去に試用している）場合には、トラス
テッドサーバ1109は、エラーメッセージを生成してクライアントのトラステッド
プラットフォーム1001上で（おそらくは（例えばソフトウェアの多数回の試用が
許可されないことを示す）ディスプレイ1005により）ユーザに提供し、関連する
コードはトラステッドサーバ1109上では決して実行されない（但しこれが適当な
場合）。このアプローチにより、開発者は、非認可使用というリスクを伴うこと
なく、試用ソフトウェアの完全な機能を該ソフトウェアの試用時にユーザに提供
することが可能となる。

【０１２１】かかる構成において、試用ソフトウェアは、例えば、開発者により設定された
制限された回数だけトラステッドサーバ1109上で利用可能となるように提供する
ことが可能となる。上述のクライアント／サーバ構成のトラステッド端末機能を
使用することにより、（クライアントを操作している）ユーザが、ソフトウェア
をコピーすること、割り当てられた期間より長期間にわたり使用すること、又は
該ソフトウェアがライセンスされた契約の他のあらゆる条項に違反できないよう
にすることが確実となる。この構成は、ソフトウェアの試用に関して特に有効な
ものであるが、開発者がオブジェクトコードをユーザに提供したくはないがその
コードをユーザに提供してペイ・パー・ユーズのサービスとしてアクセスさせた
い場合にも、実施可能な使用モデルを提供するものとなる、ということが理解さ
れよう。

【０１２２】別の考え得るモデルは、多数の試用の後に試用ライセンスを完全ライセンスに
変更することである。この場合には、ユーザがライセンス契約に署名する際に、
該ユーザのスマートカード（又はクライアントのトラステッド構成要素）にログ
ファイル（好ましくはセキュアに保持されたログファイル）が設けられることに
なることが同意される。該ログファイルは、試用ソフトウェアがダウンロードさ
れたこと、該試用ソフトウェアがその使用時に適当なあらゆる機構によりアップ
デートすることが可能であると共に必要に応じてトラステッドサーバ1109により
アクセスできるものであることを示すものである。例えば、イメージデータをク
ライアントに送信する前にログファイルをチェックして、その試用が以前に使用
されたか又はどの程度の頻度で使用されたかを確認することができ、試用を続行
するか否かをサーバが判断し、イメージデータを送信した場合にはログファイル
を更新する。所定の時間又は使用回数の後、ソフトウェアの継続的な使用のため
の支払いを行うことをユーザに促し、又は、所定の使用回数を超過した場合に支
払いを行うことを試用契約の一部として同意させることが可能である（この場合
には、所定の使用回数を超過した時点で、又はそれよりも早期に、トラステッド
サーバ1109に口座情報が提供される）。

【０１２３】上記から分かるように、本発明による構成は、ソフトウェア開発者又はコンテ
ンツプロバイダが、その製品の経済的価値の損失というリスクを負うことなく、
ソフトウェアを完全な機能を持たせて試用させ、又はメータリングベースで提供
し、又はコンテンツを試用又はメータリングベースで提供し、又は広告コンテン
ツを付随させることが可能となるといった大きな価値を提供することができる。

【図面の簡単な説明】

【図１】本発明の実施形態のうちトラステッドクライアントプラットフォームとしての
使用に適したホストコンピュータの構成要素を示す説明図である。

【図２】図１のホストコンピュータのハードウェアアーキテクチャを示すブロック図で
ある。

【図３】本発明の実施形態での使用に適したトラステッドデバイスの構成要素を示すブ
ロック図である。

【図４】完全性基準を得るための好適なプロセスを示すフローチャートである。

【図５】トラステッドプラットフォームの完全性を検証するプロセスを示すフローチャ
ートである。

【図６】スマートカードを用いたユーザによるトラステッドプラットフォームの完全性
の検証プロセスを示すフローチャートである。

【図７】図６のプロセスでの使用に適したユーザスマートカードの処理エンジンを示す
ブロック図である。

【図８】トラステッドデバイスとホストコンピュータの他の構成要素との間のトラステ
ッド通信経路を提供するための図２の構成の変形例を示すブロック図である。

【図９】暗号機能を有するホストコンピュータの唯一の構成要素がトラステッドデバイ
スである場合に図８の構成において到来するメッセージを復号するプロセスを示
すブロック図である。

【図１０】本発明の一実施形態によるクライアント／サーバシステムの基本的な構成要素
を示すブロック図である。

【図１１】本発明の一実施形態による図１０のクライアント／サーバシステムのトラステ
ッド端末動作のためのプロセスを示す説明図である。

【符号の説明】

1001 クライアント 1002 セキュアな通信経路 1004 メモリ（リモートイメージ受信コード） 1005 ディスプレイ 1006 サーバにより制御される選択領域の画素 1007 カードリーダ 1008 スマートカード 1009 保護されたメモリ 1010 ユーザデータ 1103 メモリ（リモートイメージ送信コード） 1107 データ／コード 1108 イメージデータ 1109 サーバ

───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.⁷ 識別記号ＦＩテーマコート゛(参考）Ｈ０４Ｎ 5/91 Ｈ０４Ｎ 7/16 Ｚ 7/16 Ｇ０６Ｆ 9/06 ６６０ＡＨ０４Ｎ 5/91 Ｐ (72)発明者チェン，リクンイギリス国ブリストル・ビーエス32・９ディーキュー，ブラッドレイ・ストーク，ハーベスト・クローズ・１Ｆターム(参考） 5B058 CA01 CA27 KA31 KA35 YA20 5B076 FA13 FB05 FB16 5B085 AC04 AE04 AE12 BA06 BG02 BG07 5C053 FA13 LA15 5C064 BA01 BB01 BB02 BC06 CA14

Claims

【特許請求の範囲】

【請求項１】サーバにより提供されるデータの制限的な使用を提供するよう構成されたクラ
イアントプラットフォームであって、ディスプレイと、セキュアな通信手段と、該セキュアな通信手段によりサーバからデータを受信して該データを表示する
ためのイメージ受信コードを含むメモリとを備えており、該クライアントプラットフォームが、サーバから受信した前記データを非認可
の目的のためではなく該データの表示のために使用するよう構成されている、ク
ライアントプラットフォーム。
【請求項２】修正から物理的及び論理的に保護されるクライアントトラステッド構成要素を
含み、該クライアントトラステッド構成要素が、サーバから受信したデータが非
認可の目的のために使用されることを防止するよう構成されている、請求項１に
記載のクライアントプラットフォーム。
【請求項３】前記クライアントトラステッド構成要素が、該クライアントプラットフォーム
上で動作するコードの完全性の基準を提供するよう構成された完全性監視手段を
含み、該完全性監視手段が、前記イメージ受信コードの完全性を監視するよう構
成される、請求項２に記載のクライアントプラットフォーム。
【請求項４】前記イメージ受信コードが、前記クライアントトラステッド構成要素内に配設
される、請求項２に記載のクライアントプラットフォーム。
【請求項５】該クライアントプラットフォームのディスプレイが前記クライアントトラステ
ッド構成要素の内部から制御されるように該クライアントトラステッド構成要素
内にディスプレイコントローラが配設される、請求項２に記載のクライアントプ
ラットフォーム。
【請求項６】該クライアントプラットフォームが、前記クライアントトラステッド構成要素
に対する直接的なユーザ入力を提供するセキュアなユーザインタフェイスを備え
ており、前記イメージ受信コードが、前記セキュアなユーザインタフェイスから
受信したユーザ入力をサーバへ提供するよう構成される、請求項２ないし請求項
５の何れか一項に記載のクライアントプラットフォーム。
【請求項７】前記クライアントトラステッド構成要素が、他の信頼できる構成要素又はセキ
ュアなトークンを認証するよう構成される、請求項２ないし請求項６の何れか一
項に記載のクライアントプラットフォーム。
【請求項８】前記クライアントトラステッド構成要素が、他のプラットフォームの信頼でき
る状況を判定するよう構成される、請求項２ないし請求項７の何れか一項に記載
のクライアントプラットフォーム。
【請求項９】ユーザのセキュアなトークンを含むスマートカードを受容するためのスマート
カードリーダを更に備えている、請求項１ないし請求項８の何れか一項に記載の
クライアントプラットフォーム。
【請求項１０】前記ディスプレイの一部が、前記クライアントプラットフォームによる如何な
る要求にも関わりなく前記サーバにより決定されたデータを表示するために確保
される、請求項１ないし請求項９の何れか一項に記載のクライアントプラットフ
ォーム。
【請求項１１】クライアントプラットフォームによるデータの制限的な使用のために該クライ
アントプラットフォームにデータを提供するよう構成されたサーバであって、該サーバ上で実行されるデータのイメージを提供するためのイメージ送信コー
ドを含むメモリと、前記クライアントプラットフォームに対するデータのイメージのセキュアな通
信を行うためのセキュアな通信手段とを備えており、前記イメージ送信コードによりデータが送信される前に、前記クライアントプ
ラットフォームが前記データの制限的な使用を確実に行うよう構成されているこ
とを判定するように構成される、サーバ。
【請求項１２】修正から物理的及び論理的に保護されるサーバトラステッド構成要素を含み、
該サーバトラステッド構成要素が、前記クライアントプラットフォーム上で動作
するコードの完全性の基準を提供するよう構成された完全性監視手段を含む、請
求項１１に記載のサーバ。
【請求項１３】前記サーバトラステッド構成要素が、他の信頼できる構成要素及びセキュアな
トークンを認証するよう構成される、請求項１２に記載のサーバ。
【請求項１４】イメージデータをユーザにセキュアに提供して制限的な使用を行うシステムで
あって、請求項１ないし請求項１０の何れか一項に記載のクライアントプラットフォー
ムと、請求項１１ないし請求項１３の何れか一項に記載のサーバとを備えており、前記クライアントプラットフォームのユーザが、前記サーバから
のイメージデータを該クライアントプラットフォームにおいて見ることを要求す
る、システム。
【請求項１５】ユーザが、前記クライアントプラットフォームにおいて見られるイメージデー
タを提供するよう前記クライアントプラットフォーム上でのコードの実行を要求
する、請求項１４に記載のシステム。
【請求項１６】ユーザがコードの実行を要求し、該コードが前記クライアントプラットフォ
ーム上で部分的に実行すると共に前記サーバ上で部分的に実行して、前記クライ
アントプラットフォームにおいて見られるイメージデータを提供し、該イメージ
データが、前記クライアントプラットフォーム上で実行されたコードの結果に関
連して該クライアントプラットフォームにおいて見られる、請求項１４に記載の
システム。
【請求項１７】ユーザスマートカードを更に備えており、該ユーザスマートカードが前記クラ
イアントプラットフォームへの前記イメージデータの送信を可能にするものであ
ることを判定するよう前記サーバが構成される、請求項９に依存する請求項１４
ないし請求項１６の何れか一項に記載のシステム。
【請求項１８】イメージデータをクライアントプラットフォームに提供して制限的な使用を行
う方法であって、クライアントプラットフォームがサーバからのイメージデータを要求し、該クライアントプラットフォームが、イメージデータを受信する許可を有して
いると共に該イメージデータを前記制限的な使用のためだけに使用するよう構成
されることを、前記サーバが判定し、セキュアな通信チャネルを介して前記イメージデータを提供する、という各ステップを含む方法。
【請求項１９】前記クライアントプラットフォームから前記サーバへ要求データを提供し、該
要求データに基づき修正されたイメージデータを提供する、という各ステップを
更に含む、請求項１８に記載の方法。
【請求項２０】前記要求データを提供するステップ及び前記修正されたイメージデータを提供
するステップが、必要に応じて多数回繰り返される、請求項１９に記載の方法。
【請求項２１】イメージデータ又は修正されたイメージデータが前記クライアントプラットフ
ォームに提供された後に使用ログを更新するステップを更に含む、請求項１８な
いし請求項２０の何れか一項に記載の方法。
【請求項２２】許可を判定する前記ステップが、ユーザ許可を含むスマートカードが前記クラ
イアントプラットフォームとセッション中であるか否かを判定することを含む、
請求項１８ないし請求項２１の何れか一項に記載の方法。
【請求項２３】前記イメージデータの一部が、前記クライアントプラットフォームからの何れ
の要求とも関わりなく前記サーバによって決定される、請求項１８ないし請求項
２２の何れか一項に記載の方法。
【請求項２４】前記イメージデータの一部が広告コンテンツを含む、請求項２３に記載の方法
。