JP2004005558A

JP2004005558A - 安全な取引管理方法及びポータブル式権利管理システムの操作方法

Info

Publication number: JP2004005558A
Application number: JP2003102185A
Authority: JP
Inventors: Karl L Ginter; ジンター，カール　エル．; Victor H Shear; シェアー，ビクター　エイチ．; Francis J Spahn; スパーン，フランシス　ジェイ．; Wie David M Van; バン　ウィー，デイビッド　エム．
Original assignee: Intertrust Technologies Corp
Current assignee: Intertrust Technologies Corp
Priority date: 1995-02-13
Filing date: 2003-04-04
Publication date: 2004-01-08
Anticipated expiration: 2016-02-13
Also published as: JP4237802B2; JP4084392B2; JP2010061668A; DE69637799D1; JP2010218575A; JP2009080830A; CN101359350B; JP3905489B2; US20060224903A1; CN1912885A; US20060200392A1; EP0861461A2; US6640304B2; EP0861461B1; JP2006085691A; JP2011227929A; US20090043652A1; EP1643340A3; DE69637733D1; HK1099098A1

Abstract

【課題】安全な取引管理および電子権利保護のためのシステムと方法の提供。
【解決手段】コンピュータ等を装備した電子機器は、承認様式でのみアクセスや使用を確実にし、情報の完全性、利用性及び／又は秘匿性の維持を補助する。このような電子機器は、電子的に格納又は広められた情報の使用を制御及び／又は計量もしくはモニタするために、処理と制御の安全なチェーンを実施し得る配布された仮想配布環境（ＶＤＥ）を提供する。ＶＤＥは、電子商取引及び他の電子取扱又は電子的に容易になった取扱において様々な参加者の権利保護のため使用される。配布された及び他の動作システム、環境及びアーキテクチャは、例えば耐不正改変ハードウェアベースのプロセッサを用いたものであり、各ノードで安全を確立し得る。これら技術は「電子ハイウェイ」を利用した全電子情報配布の支持のため使用できる。
【選択図】　　　なし

Description

【０００１】
発明の分野
本発明は、概して、コンピュータおよび／または電子セキュリティに関する。
【０００２】
より詳細には、本発明は、安全な取引管理のためのシステムおよび技術に関する。本発明はまた、情報へのアクセス、および／または情報の使用が承認された方法のみでおこなわれることを保証するコンピュータベースおよび他の電子機器ベースの技術にも関し、本発明によってそのような使用に関連するそのような情報およびプロセスの完全性、利用可能性、および／または機密性が維持される。
【０００３】
本発明はまた、電子商取引および他の電子取引または電子的に促進される取引における様々な参加者の権利を保護するためのシステムおよび方法に関する。
【０００４】
本発明はまた、情報コンテンツ、およびそのようなコンテンツの使用およびそのような使用結果を規制するために用いられる情報のための取扱いおよび制御の安全なチェーンに関する。また、本発明は、電子的に格納されたおよび／または配信された情報の使用の計量および／または制限および／またはモニタを含む管理を行う、システムおよび技術に関する。本発明は、特に、そのようなシステムおよび／または技術の使用の結果を含む、そのようなシステムおよび／または技術を利用する取引、運営および取り決めに関する。
【０００５】
本発明はまた、分散型および他のオペレーティングシステム、環境およびアーキテクチャに関する。また、本発明は、概して、例えば、分散型システムの各ノードでセキュリティを確立するために用いられ得る、例えば、不正改変不可能なハードウェアベースのプロセッサを含む安全なアーキテクチャに関する。
発明の背景および要旨
現在、遠隔通信、金融取引、行政手続、業務作業、娯楽、および個人事業生産のすべてが、電子機器に依存している。これらの何百万もの電子機器が電子的に互いに接続されている。これらの相互接続された電子機器は、次第に「情報ハイウエイ」と称されるようになっているものを備えている。多くの企業、学者および政治指導者が、この情報（「電子的」あるいは「ディジタル」である）ハイウエイを用いる市民および組織の権利をどのように保護するかを案じている。
電子コンテンツ
今日では、単語、数字、図形、またはコマンドおよび命令体系によって表され得るものは事実上すべて、電子ディジタル情報にフォーマット化され得る。テレビ、ケーブル、衛星伝送、および電話線を通って伝送されるオンラインサービスは、家庭および企業へのディジタル情報および娯楽の配布をするために競合している。このコンテンツの所有者および販売者には、ソフトウェア開発者、動画およびレコード会社、本、雑誌および新聞の出版社、情報データベースプロバイダが含まれる。オンラインサービスの大衆化によって、個人のパーソナルコンピュータユーザがコンテンツのプロバイダとして参加することも可能になった。　Ｍｉｃｒｏｓｏｆｔ　Ｃｏｒｐｏｒａｔｉｏｎによると、１９９２年の電子情報の世界規模の市場は約４００億ドルであり、１９９７年までに２０００億ドルまでに増加することが見込まれていると見積もられている。本発明は、コンテンツプロバイダの総収入を大幅に増加させ、配布コストおよびコンテンツのコストを大幅に下げ、広告および使用情報収集をよりよくサポートし、電子情報ユーザの要求をより満足させることを可能にする。これらの改善によって、電子情報の量および種類ならびにそのような情報が配布される方法が大幅に増加する。
【０００６】
従来の製品が電子情報プロバイダおよびユーザの要求に合い得ないことは、本発明と明確な差をなす。アメリカの最も大きい代表的な遠隔通信、コンピュータ、娯楽および情報プロバイダ会社は、本発明によって述べられる問題のうちの幾つかに目を向けたが、本発明のみが、構成可能な汎用電子商取引／配布制御システムのための商業的に安全で且つ効果的な解決方法を提供する。
【０００７】
電子コンテンツの制御
本発明は、電子情報使用を安全化し、管理し、監査する新しい種類の「仮想配布環境（ｖｉｒｔｕａｌ　ｄｉｓｔｒｉｂｕｔｉｏｎ　ｅｎｖｉｒｏｎｍｅｎｔ）」（本明細書において、「ＶＤＥ」と称する）を提供する。ＶＤＥはまた、「情報ハイウエイ」を「通る」コンテンツを管理する、基本的に重要なケーパビリティを特徴とする。これらのケーパビリティは、すべての電子共同体メンバーに役立つ権利保護解決法を含む。これらのメンバーは、コンテンツのクリエータおよび配布者、金融サービスプロバイダ、エンドユーザ、その他を含む。ＶＤＥは、コンピュータ、他の電子機器、ネットワークおよび情報ハイウエイのユーザのための最初の構成可能な汎用取引制御／権利保護解決法である。
【０００８】
電子コンテンツプロバイダが有する根本的な問題は、所有権のある情報の使用を制御する能力を拡張することである。コンテンツプロバイダは、承認された活動および量に使用を制限する必要がしばしばある。例えば、映画の配給および光ディスクの広告に関する企業モデルの参加者には、役者、監督、脚本家およびその他のライター、音楽家、撮影所、出版社、配布者、小売り人、広告者、クレジットカードサービス、およびコンテンツエンドユーザが含まれ得る。これらの参加者は、使用制限を含む契約および要件の範囲を、電子企業モデル全体を含む「拡張された」契約に具現化する能力が必要となる。この拡張された契約は、権利および義務によって自動的に契約を強制し得る電子コンテンツ制御情報によって表される。ＶＤＥ下では、そのような拡張された契約は、すべての企業モデル参加者を含む電子契約を含み得る。またはあるいはさらに、そのような契約は、企業モデル参加者のサブセット間の電子契約から構成され得る。ＶＤＥを用いることによって、電子取引は従来の取引と同様に機能し得る。すなわち、商品およびサービスに関する商業関係は、様々なパーティ間の１つ以上の契約のネゴシエーションによって実現され得る。
【０００９】
商業的なコンテンツプロバイダは、それらの電子情報の使用の適切な補償を保証することに執心している。例えば、ＣＤ録音である電子ディジタル情報は、今日、比較的容易かつ安価にコピーされ得る。同様に、権利を有する所有者は、Ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｉｎｔｅｌｌｅｃｔｕａｌ　Ｐｒｏｐｅｒｔｙ　Ａｌｌｉａｎｃｅによると、ソフトウェアプログラムの非許可コピーおよび使用によって、歳入で何十億ドルの損害を被る。コンテンツプロバイダおよび配布者は、自分自身の権利を保護するために数多くの制限された機能権利保護メカニズムを考案した。より流布したコンテンツ保護スキームのうちのいくつかには、承認パスワードおよびプロトコル、ライセンスサーバ、「ロック／ロック解除」配布方法、および収縮包装された（ｓｈｒｉｎｋ−ｗｒａｐｐｅｄ）ソフトウェアのユーザに課せられる非電子契約制限がある。商業的コンテクストでは、これらの労力は効果的ではなく、制限された解決法となっている。
【００１０】
「電子通貨」のプロバイダも、このタイプのコンテンツに対する保護を作り出した。これらのシステムは、一般的な電子通貨の使用をサポートするほどに、十分に適合可能でも、効率的でも、フレキシブルでもない。さらに、これらのシステムは、精巧な監査および制御構成ケーパビリティを提供しない。これは、現在の電子通貨ツールが、現実世界の多くの金融企業モデルに必要である精巧さを欠いていることを意味している。ＶＤＥは匿名の通貨および「条件つき」匿名である通貨のための手段を提供し、この場合、通貨に関連する活動は、特別な状況下にある以外は匿名のままである。
ＶＤＥ制御ケーパビリティ
ＶＤＥによって、電子ディジタル情報の所有者および配布者が電子情報の使用に対する課金を信頼性をもって行うこと、および電子情報の使用を安全に制御し、監査し、かつ予算を作成することが可能になる。これによって、市販の情報製品の使用を信頼性をもって検出およびモニタし得る。ＶＤＥは、例えば、ディジタルネットワーク、ディジタル放送、および光ディスクおよび磁気ディスクのような物理的な記憶媒体を含む、幅広い異なる電子情報配送手段を使用する。ＶＤＥは、主要なネットワークプロバイダ、ハードウェア製造者、電子情報の所有者、そのような情報のプロバイダ、および電子情報に関する使用情報を収集し、電子情報の使用に対して課金を行う情報交換所（ｃｌｅａｒｉｎｇｈｏｕｓｅ）によって用いられ得る。
【００１１】
ＶＤＥは、包括的かつ構成可能な取引管理、計量、およびモニタ技術を提供する。ＶＤＥは、電子情報製品の保護方法、販売方法、包装方法、および配布方法を変え得る。使用時には、ＶＤＥは、情報プロバイダに、より大きな歳入をもたらし、ユーザに、より大きな満足および価値を与えるべきである。ＶＤＥの使用によって、通常、使用コストおよび取引コストが低くなり、電子情報へのアクセスがより効率的になり、権利保護およびその他の取引管理実施が再利用可能になり、安全化された情報の使用におけるフレキシビリティが大幅に改善され、電子取引管理についてのツールおよびプロセスがより標準化される。ＶＤＥは、電子情報所有者、配布者、およびユーザ；金融情報交換所；ならびに使用情報分析者および転売者の要求を満たす適合可能な環境を作るために用いられ得る。
権利および制御情報
本発明は、概して以下を有するパーティの権利を保護するために用いられ得る：
（ａ）電子情報における所有権または機密的利益。これによって、例えば、情報が承認された方法のみで用いられることが保証され得る；
（ｂ）電子的に配布された情報の使用によって生じる金融利益。これによって、コンテンツプロバイダは配布された情報の使用に対して支払いを受けることが保証され得る；
（ｃ）電子クレジットおよび電子通貨保管、通信、および／または電子キャッシュ、バンキングおよび購入を含む使用における利益。
【００１２】
電子共同体メンバーの権利の保護には、広範な技術が関連している。ＶＤＥは、「分散型の」電子権利保護「環境」を作り出すように、これらの技術を組み合わせる。この環境は、権利保護に重要な取引および他のプロセスを安全化し、および保護する。例えば、ＶＤＥは、重要な権利に関連する取引およびプロセスの防止、あるいは妨害、干渉および／または観察を提供する。好ましい実施の形態において、ＶＤＥは、ＶＤＥプロセスならびに情報格納および通信について高レベルのセキュリティを提供し得るようにするために、特殊目的不正改変不可能な安全処理ユニット（ＳＰＵ）を用いる。
【００１３】
本発明によって解決される権利保護問題は、基本的な社会問題を電子的な面で考えたものである。これらの問題は、財産権の保護、プライバシー権の保護、人々および組織の仕事およびリスクについての適切な補償、金銭およびクレジットの保護、および情報のセキュリティの包括的な保護を含む。ＶＤＥは、効率的で信用のあるコスト的に有効な方法で権利問題を管理するために、共通した組のプロセスを用いるシステムを使用している。
【００１４】
ＶＤＥは、例えば、レコード、ゲーム、映画、新聞、電子ブックおよび参考資料、個人電子メール、ならびに機密記録および通信などの電子コンテンツを作成するパーティの権利を保護するために用いられ得る。本発明はまた、出版社および配布者などの電子製品を供給するパーティの権利；例えば、クレジット情報交換所および銀行などの、製品の使用について支払いを行うための電子クレジットおよび通貨を供給するパーティの権利；電子コンテンツを用いるパーティ（消費者、実業家、政府など）のプライバシーに対する権利、および医学的記録、税金記録あるいは個人記録に含まれている情報に関するプライバシー権などの電子情報によって示されるパーティのプライバシー権を保護するために用いられ得る。
【００１５】
本発明は、概して以下を有するパーティの権利を保護し得る：
（ａ）電子的に配布された情報の商業的利益。本発明は、例えば、パーティが、彼らの契約と一致する方法で、配布された情報の使用に対して支払いを受けることを保証し得る；
（ｂ）電子情報における所有権および／または機密的利益。本発明は、例えば、データが承認された方法のみで安全に用いられるようにし得る；
（ｃ）電子クレジットおよび電子通貨保管、通信、および／または使用における利益。これは、電子キャッシュ、バンキングおよび購入を含み得る；および
（ｄ）少なくとも一部が他の電子情報の使用から得られる電子情報における利益。
ＶＤＥ機能特性
ＶＤＥは、取引処理を安全化し管理するための、統一された一貫的なシステムを提供する、コスト的に有効で効率的な権利保護解決法である。ＶＤＥは以下のことを行い得る。
【００１６】
（ａ）コンテンツの使用を監査および分析する、
（ｂ）コンテンツが承認された方法のみで用いられることを保証する、
（ｃ）コンテンツユーザによって許可された方法のみで、コンテンツ使用に関する情報を使用し得るようにする。
【００１７】
さらに、ＶＤＥは、
（ａ）構成可能性、改変性および再利用性が高い；
（ｂ）ほとんどの潜在的なアプリケーションを提供するために種々の方法で組み合わされ得る、広範囲の有用なケーパビリティをサポートする；
（ｃ）手持ち可能な安価な装置から大型のメインフレームコンピュータにわたる広い範囲の電子機器上で動作する；
（ｄ）多数の異なるパーティの様々な権利および多数の異なる権利保護スキームを同時に保証し得る；
（ｅ）異なる時間および異なる場所で生じ得る一連の取引を介してパーティの権利を保護し得る；
（ｆ）情報を安全に配送し、使用を報告する種々の方法をフレキシブルに受け入れ得る；および、
（ｇ）商品およびサービスに対する支払いを行うため、かつ、個人（家庭を含む）のバンキングおよび他の金融活動をサポートするために、匿名の電子キャッシュを含む、「本物の」金銭およびクレジットの電子類似物を提供する。
【００１８】
ＶＤＥは、電子共同体メンバーの権利保護要求を経済的かつ効率的に満たす。ＶＤＥのユーザは、異なる情報ハイウエイ製品および権利問題のための付加的な権利保護システムを必要とせず、また、新しい情報ハイウエイアプリケーションについての新しいシステムをインストールおよび学習する必要もない。
【００１９】
ＶＤＥは、すべてのコンテンツクリエータ、プロバイダおよびユーザが同一の電子権利保護解決法を用いることを可能にする統一された解決法を提供する。承認された状況下では、参加者は、コンテンツおよび関連付けられたコンテンツ制御セットを自由に交換し得る。これは、ＶＤＥのユーザが、許可された場合、異なるセットのコンテンツ制御情報を有する異なる種類のコンテンツと共に作動するために同一の電子システムを用い得ることを意味している。ある一つのグループによって供給されるコンテンツおよび制御情報は、通常は異なるグループによって供給されるコンテンツおよび制御情報を用いる人々によって用いられ得る。ＶＤＥによってコンテンツが「普遍的に」交換され得、本発明を実施するユーザは、コンテンツ制御における非互換性に対する懸念、権利の侵害、または新しいコンテンツ制御システムを入手、インストールまたは学習することを必要とせずに電子的に相互作用し得る。
【００２０】
ＶＤＥは、権利の保護を指定する取引を安全に管理する。これは、例えば、以下を含む電子権利を保護し得る：
（ａ）電子コンテンツの作者の所有権、
（ｂ）コンテンツの配布者の商業的権利、
（ｃ）コンテンツの配布を促進させた任意のパーティの権利、
（ｄ）コンテンツのユーザのプライバシー権、
（ｅ）保管されたおよび／または配布されたコンテンツによって表されるパーティのプライバシー権、
（ｆ）電子契約の施行に関するその他の任意の権利。
【００２１】
ＶＤＥは、非常に幅広い電子的に施行された商業的および社会的契約を可能にし得る。これらの契約は、電子的に実施される契約、ライセンス、法律、規則および税金徴収を含み得る。
従来の解決法との対比
従来のコンテンツ制御メカニズムは、ユーザが必要とするあるいは望むよりも多くの電子情報をユーザが購入することをしばしば要求する。例えば、収縮包装されたソフトウェアをたまにしか用いないユーザは、あまり頻繁に用いないことではるかに少ない見返りしか受け取り得ないにもかかわらず、頻繁に使用するユーザと同一の価格でプログラムを購入する必要がある。従来のシステムは、使用程度または使用の性質に従ってコストを決定せず、購入可能性がある消費者は固定価格が高すぎると感じ、それらの消費者を引きつけ得ない。また、従来のメカニズムを用いるシステムは、通常、特別に安全なものではない。例えば、収縮包装は、いったん物理的パッケージまたは電子パッケージから取り出されると、不断のソフトウェアの違法著作権侵害を防止しない。
【００２２】
従来の電子情報権利保護システムはしばしばフレキシブルではなく、非効率的であり、これによってコンテンツプロバイダは費用のかかる配布チャネルを選択し、製品の価格が上昇する。一般的に、これらのメカニズムは、商品の価格決定、構成、および市場売買のフレキシビリティを制限する。これらの侵犯は、異なるコンテンツモデル、およびコンテンツ配送戦略などのモデル参加者の多くの様々な要求を反映するコンテンツモデルの両方を受け入れ得ない情報を制御する技術があることによって生じる。これによって、多くの潜在的なユーザの面前で与えられた製品のコストを正当化するために十分な全体価値を配送する、プロバイダの能力が制限され得る。ＶＤＥによって、コンテンツプロバイダおよび配布者が、コンテンツプロバイダおよびユーザの好ましい企業モデルを反映するアプリケーションおよび配布ネットワークを製作することが可能になる。これによって、プロバイダの所望の情報配布方法およびユーザのそのような情報の所望の使用法をサポートする、一義的にコスト有効で、特徴に富んだシステムがユーザに提供される。ＶＤＥは、権利を保障し、かつ、最大の商業的成果のためにコンテンツ配送戦略を適合させ得るコンテンツ制御モデルをサポートする。
取扱いおよび制御のチェーン
ＶＤＥは、電子情報におけるあるいは電子情報に対する権利を有する様々なパーティに属する権利の収集を保護し得る。この情報は、一つの場所にあっても、複数の位置にわたって分散されていても（および／または複数の位置の間を移動しても）よい。情報は、配布者の「チェーン」およびユーザの「チェーン」を通って通過し得る。使用情報は、パーティの１つ以上の「チェーン」を通っても報告され得る。一般的には、ＶＤＥによって、（ａ）電子情報において権利を有し、および／または（ｂ）電子情報において権利を有するパーティのための直接的または間接的な代理人として働くパーティが、情報の移動、アクセス、改変または使用が、そのような活動がどのように、いつ、どこで、およびだれによって行われ得るかに関する規則によって、安全に制御され得ることを保証することができる。
ＶＤＥアプリケーションおよびソフトウェア
ＶＤＥは、電子処理および商取引を規制するための安全なシステムである。規制は、１つ以上のパーティによって適所に配置された制御情報によって保証される。これらのパーティは、コンテンツプロバイダ、電子ハードウェア製造者、金融サービスプロバイダ、またはケーブルあるいは遠隔通信会社などの電子「インフラストラクチャ」企業を含み得る。制御情報は、「権利アプリケーション」を実施する。権利アプリケーションは、好ましい実施の形態の「基本ソフトウェア」上で「走る」。この基本ソフトウェアは、多くの異なる権利アプリケーション、すなわち、異なる企業モデルおよびそれらのそれぞれの参加者要求を受け入れ得る、安全でフレキシブルな汎用基礎（ｆｏｕｎｄａｔｉｏｎ）として働く。
【００２３】
ＶＤＥ下での権利アプリケーションは、特別の目的を持つ部分から構成され、各部分は、権利保護環境のために必要とされる１つ以上の基礎的な電子プロセスに対応し得る。これらのプロセスは建築用ブロックのように組み合わせされ、それによって電子情報のユーザおよびプロバイダの権利を保護することができ、かつ、義務の遂行を実施させ得る電子契約が作られ得る。電子情報の１つ以上のプロバイダは選択された建築用ブロックを容易に組み合わせ、それによって特殊なコンテンツ配布モデルに特有の権利アプリケーションを作りだし得る。これらの部分のグループは、ユーザとプロバイダとの間の契約を遂行するために必要なケーパビリティを提示し得る。これらの部分は、以下を含む電子契約の多くの要件を受け入れ得る：
！　電子情報を使用するためのパーミッションの配布；
！　制御情報およびこれらのパーミッションを管理する制御情報のセットの持続性；
！　そのような情報と共に用いるためにユーザによって選択され得る構成可能な制御セット情報；
！　電子情報のデータセキュリティおよび使用監査；および、
！　通貨、補償、および借方（ｄｅｂｉｔ）管理のための安全なシステム。
【００２４】
電子商取引のためには、本発明の好ましい実施の形態においては、権利アプリケーションはすべての参加者の間での企業契約の電子的施行を提供し得る。異なるアプリケーションについて異なるグループのコンポーネントが組み立てられ得るので、本発明は、幅広い範囲の異なる製品および市場のために電子制御情報を供給し得る。これは、本発明が、電子商取引およびデータセキュリティのために「統合された」効率的な安全かつコスト有効なシステムを提供し得ることを意味している。これによって、ＶＤＥが電子権利保護、データセキュリティ、および電子通貨および銀行業務のための単一の基準となることが可能になる。
【００２５】
ＶＤＥにおいて、権利アプリケーションとその基礎との間の分離によって、多くの異なるタイプのアプリケーションおよび使用のそれぞれについて適切な制御情報のセットを効率的に選択することが可能になる。これらの制御セットは、電子共同体メンバーの権利および義務（ある人物の製品の使用履歴の提供、またはある人物の電子購入に課せられる税金の支払いなど）の両方を反映し得る。ＶＤＥのフレキシビリティによって、ＶＤＥのユーザが共通の社会的および商業的倫理および慣習を電子的に実行および施行することができる。統一された制御システムを提供することによって、本発明は、個人、共同体、企業および政府の幅広い範囲の生じる可能性のある取引関連利益および関心事をサポートする。オープン設計であるので、ＶＤＥによって、ユーザによって独立して作り出された技術を用いたアプリケーションが（通常は、安全に制御された状況下で）システムに「付加され」、本発明の基礎と共に用いられることが可能になる。要するに、ＶＤＥは、パーティ間での契約を高く反映し施行し得るシステムを提供する。このシステムは、安全でコスト有効かつ公正な電子環境に対する差し迫った必要性に応える、幅広い体系的な解決法である。
【００２６】
ＶＤＥ実施
本発明の好ましい実施の形態は、システム設計者にＶＤＥケーパビリティの製品への直接の挿入を可能にする様々なツールを含む。これらのツールは、アプリケーションプログラマーズインタフェース（「ＡＰＩ」）および権利パーミッションおよび管理言語（「ＲＰＭＬ」）を含む。ＲＰＭＬは、本発明の特徴の使用に対する包括的で詳細な制御を提供する。ＶＤＥはまた、コンテンツプロバイダ、配布者およびユーザの要求を満たすための、あるユーザインタフェースサブシステムも含む。
【００２７】
ＶＤＥを用いて配布される情報は、多くの形態をとり得る。例えば、情報は、個人自身のコンピュータ上で用いるために「配布」され得る。すなわち、本発明は、局所的に格納されたデータにセキュリティを与えるために用いられ得る。あるいは、１以上の受け手に対する著作者および／または出版社によってばらまかれる情報と共にＶＤＥを用いてもよい。この情報は、以下を含む多くの形態をとり得る。それらは、映画、音声録音、ゲーム、電子カタログショッピング、マルチメディア、トレーニング材料、Ｅメール、および個人文書、オブジェクト指向ライブラリ、ソフトウェアプログラミングリソース、および参照／記録維持情報リソース（企業データベース、医学データベース、法データベース、科学データベース、行政データベース、および消費者データベースなど）である。
【００２８】
本発明によって提供される電子権利保護はまた、信用があり効率的なホームバンキングおよび商業的バンキング、電子クレジットプロセス、電子購入、真の（ｔｒｕｅ）または暫定的に匿名の電子キャッシュ、およびＥＤＩ（電子データ交換）に重要な基礎も提供する。ＶＤＥは、鍵およびパスワードベースの「ｇｏ／ｎｏ　ｇｏ」技術よりもはるかに有効であり得る「スマート」取引管理特徴を提供することによって、組織におけるデータセキュリティを改善するための重要な強化を行う。
【００２９】
ＶＤＥは通常、暗号手法技術およびその他のセキュリティ技術（例えば、暗号化、ディジタル署名など）と、コンポーネント型、分散型およびイベント起動されるオペレーティングシステム技術、ならびに関連する通信、オブジェクトコンテナ、データベース、スマートエージェント、スマートカード、および半導体設計技術を含む他の技術との統合を用いている。
Ｉ．概観
Ａ．ＶＤＥは重要課題を解決し、重大な必要性を満たす。
【００３０】
世界は、電子情報機器の統合に向かって動いている。機器のこの相互接続によって、さらに大きな電子相互作用および電子取引の発展のための基礎を与える。様々なケーパビリティが、電子商取引環境を実施するために要求される。ＶＤＥは、これらのケーパビリティの多くを提供するので、従って、情報の電子配信に関連する基本的な問題を解決する最初のシステムである。
【００３１】
電子コンテンツ
ＶＤＥは、２つ以上のパーティを伴う電子的な取り決めを行うことを可能にする。これらの契約は、それ自体が、商業的な価値チェーンおよび／または取扱い、監査、報告および支払いのためのデータセキュリティチェーンモデルにおける参加者間の契約の収集を含み得る。これによって、配布、使用制御、使用支払い、使用監査、および使用報告などの、安全な電子コンテンツのための有効で再利用可能かつ改変可能な一貫した手段が提供され得る。コンテンツは、例えば、以下を含む。
【００３２】
！　電子通貨およびクレジットなどの金融情報、
！　参照データベース、映画、ゲームおよび広告などの商業的に配布された電子情報、および
！　文書、Ｅメールおよび所有権データベース情報などの、個人および組織によって生じる電子プロパティ。
【００３３】
ＶＤＥによって、異なる競合する企業の提携、契約、および発展する企業モデル全体をサポートする電子商取引市場が可能になる。
【００３４】
ＶＤＥの特徴によって、ＶＤＥは、大量の従来の電子商取引およびデータセキュリティ要件に合い、それらをサポートし得る最初の信用のある電子情報制御環境として機能し得る。特に、ＶＤＥによって、企業価値チェーンモデルにおける参加者が従来の企業契約約定および条件の電子バージョンを作り出し、さらに、これらの参加者が企業要件に対して適切であると考えるように電子商取引モデルを適合させ発展させることが可能になる。
【００３５】
ＶＤＥは、特定の配布の偏り、管理および制御見通し、およびコンテンツタイプを反映することを避けるアーキテクチャを提供する。その代わりに、ＶＤＥは、広いスペクトルの、基本的に構成可能で移植可能な（ｐｏｒｔａｂｌｅ）電子取引制御、配布、使用、監査、報告および支払い動作環境を提供する。ＶＤＥは、電子相互作用活動および参加者の制限されたサブセットのみをカバーするアプリケーションまたはアプリケーションに特定的なツールセットに限られない。むしろ、ＶＤＥは、そのようなアプリケーションが作成、改変および／再利用され得るシステムをサポートする。その結果、本発明は、プログラム可能で安全な電子取引管理基礎および再利用可能で拡張可能な実行可能コンポーネントの使用によって、電子機器の相互動作性、コンテンツコンテナの相互動作性、および電子商取引アプリケーションおよびモデルの効率的な作成を促進する標準化された制御環境をサポートするシステムを提供し、それによって、差し迫った未解決の要求に応える。ＶＤＥは、電子取引活動の大半の形態が管理され得る単一の電子「世界」をサポートし得る。
【００３６】
権利所有者およびコンテンツプロバイダの高まる要求に応え、かつ、電子企業モデルに関わり得るすべてのパーティ（クリエータ、配布者、管理者、ユーザ、クレジットプロバイダなど）の要件および契約を受け入れ得るシステムを提供するために、ＶＤＥは効率的かつ大部分においてトランスペアレントで、低コストかつ十分に安全なシステム（ハードウェア／ソフトウェアモデルおよびソフトウェア限定モデルの両方をサポートする）を供給する。ＶＤＥは、以下に要求される広範な安全制御および管理ケーパビリティを提供する。
【００３７】
１．種々のタイプの電子コンテンツ、
２．異なる電子コンテンツ配送スキーム、
３．異なる電子コンテンツ使用スキーム、
４．種々のコンテンツ使用プラットホーム、および
５．異なるコンテンツ市場売買およびモデル戦略。
【００３８】
ＶＤＥは、多くの別々のコンピュータおよび／または他の電子機器と組み合わせ、または一体化され得る。これらの機器は、代表的には、表示、暗号化、復号化、印刷、コピー、保存、抽出、埋込み、配布、監査のためなどの使用のコンテンツ使用の制御を可能にし得る安全なサブシステムを含む。好ましい実施の形態における安全なサブシステムは、１つ以上の「保護下の処理環境」と、１つ以上の安全なデータベースと、安全な状態で維持されることが必要である安全な「コンポーネントアセンブリ」ならびに他のアイテムおよびプロセスとを備えている。例えば、ＶＤＥは、そのような「安全なサブシステム」を用いて、電子通貨、支払い、および／またはクレジット管理（電子クレジットおよび／または通貨受け取り、支払い、債務を課すこと、および／または配分を含む）を安全に制御し得る。
【００３９】
ＶＤＥは、電子的に供給および／または格納された情報の配布および／または他の使用を制御するための安全な分散電子取引管理システムを提供する。ＶＤＥは、電子コンテンツおよび／または機器使用の監査および報告を制御する。ＶＤＥのユーザには、コンテンツ使用、使用報告、および／または使用支払いに関する制御情報を、エンドユーザ組織、個人、およびコンテンツおよび／または機器配布者などのユーザのための電子コンテンツおよび／または機器へ適用するコンテンツクリエータを含み得る。ＶＤＥはまた、電子クレジットおよび／または通貨の形態での、１つ以上のパーティが１つ以上の他のパーティに対して負う金銭（コンテンツおよび／または機器の使用に対して支払われる金銭を含む）の支払いをサポートする。
【００４０】
ＶＤＥの制御下の電子機器は、配布された電子情報および／または機器使用、制御情報公式化（ｆｏｒｍｕｌａｔｉｏｎ）、および関連する取引を安全に処理および制御するＶＤＥ「ノード」を表す。ＶＤＥは、２つ以上のパーティによって提供される制御情報の統合を安全に管理し得る。その結果、ＶＤＥは、２つ以上のパーティの制御要件間の「ネゴシエーション」を表すＶＤＥ参加者間の電子契約を構成し得、その結果行われる契約の約定および条件を規定する。ＶＤＥによって、電子情報および／または機器使用に関連する広範な電子活動に関する電子契約に対する各パーティの権利が保証される。
【００４１】
ＶＤＥの制御システムの使用を介して、従来のコンテンツプロバイダおよびユーザは、伝統的かつ非電子的な関係を反映する電子関係を確立し得る。コンテンツプロバイダおよびユーザは、プロバイダおよびユーザ間で大きくなる要求および彼らの間の契約に適応するように商業的関係を適合させ改変し得る。制限され大半が固定された機能性をサポートする計量および制御アプリケーションプログラムにあわせるために電子コンテンツプロバイダおよびユーザの企業規定および個人の好みを変えることを、ＶＤＥは電子コンテンツプロバイダおよびユーザに要求しない。さらに、ＶＤＥによって、例えば、コンテンツ使用情報の詳細な報告、今まで実行不可能であった低価格での多くの個別取引、参加者が関わることまたは参加者が事前に知っていることを必要とせずに実施される「パスアロング（ｐａｓｓ−ａｌｏｎｇ）」制御を含む非電子取引と共に実行不可能な企業モデルを、参加者は発展させることができる。
【００４２】
本発明によって、コンテンツプロバイダおよびユーザは、以下に適合するように取引環境を公式化し得る。
【００４３】
（１）所望のコンテンツモデル、コンテンツ制御モデル、およびコンテンツ使用情報経路、
（２）全ての範囲の電子メディアおよび配布手段、
（３）広範な価格設定、支払いおよび監査戦略、
（４）非常にフレキシブルなプライバシーおよび／または報告モデル、
（５）実用的かつ有効なセキュリティアーキテクチャ、および
（６）ステップ（１）〜（５）と共に、電子世界に独特のモデルを含む大半の「現実世界の」電子商取引およびデータセキュリティモデルを可能にし得る、他の管理手続き。
【００４４】
ＶＤＥの取引管理ケーパビリティは以下を施行し得る。
【００４５】
（１）電子情報および／または機器の使用に関する情報に関連するプライバシー権、
（２）コンテンツユーザの権利を保護する、または電子取引歳入から生じる税金徴収を必要とする法律などの社会的政策、
（３）電子情報の所有、配布および／または電子情報に関連する他の商業権に関連する、パーティの所有権および／または他の権利。
【００４６】
ＶＤＥは、「現実の」商取引を電子形態でサポートし得る。それは、価値チェーン企業モデルを表す相互関連契約のネットワークを経時的に形成する、商関係の進歩的な世界である。これは、一部には、安全に作成され、かつ独立して提出されたコンテンツおよび／または機器制御情報のセットの相互作用（それらの間のネゴシエーション）によってコンテンツ制御情報を発展させ得ることによって達成される。コンテンツおよび／または機器制御情報の異なるセットは、本発明により可能にされた電子企業価値チェーンにおいて異なるパーティによって提出され得る。これらのパーティは、それぞれのＶＤＥインストレーション（設備）の使用によって制御情報セットを作成する。独立して安全に配送可能なコンポーネントベースの制御情報によって、異なるパーティによって供給される制御情報セット間での有効な相互作用が可能になる。
【００４７】
ＶＤＥによって、ＶＤＥにサポートされた電子価値チェーンモデルにおけるパーティのサブセット間で、複数の別々の電子協定を行うことが可能になる。これらの複数の契約は統合されると、ＶＤＥ価値チェーン「拡張された」契約を含む。付加的なＶＤＥ参加者がＶＤＥコンテンツおよび／または機器制御情報取扱いに関わるようになると、ＶＤＥによって、そのような構成を成す電子契約、従って、ＶＤＥ拡張契約全体が経時的に発展および再適合し得る。ＶＤＥ電子契約は、新しい制御情報が既存の参加者によって提出されても拡張され得る。ＶＤＥを用いると、取引参加者は、自分自身の電子商取引企業活動および関係を自由に構成および再構成し得る。その結果、ＶＤＥを用いることによって同一のまたは共有されるコンテンツを用いて異なった非常に様々な企業モデルが可能になるので、本発明によって、競合する電子商取引市場が発展し得る。
【００４８】
電子商取引を概してサポートする本発明の能力の重要な側面は、（通常は、１つ以上の方法、データ、ロードモジュールＶＤＥコンポーネントを含むＶＤＥオブジェクトの形態である）制御情報を含む独立して配送されたＶＤＥコンポーネントオブジェクトを安全に管理する能力である。この独立して配送された制御情報は上位の（ｓｅｎｉｏｒ）他の既存のコンテンツ制御情報と統合され、本発明のネゴシエーションメカニズムを用いて誘導された制御情報を安全に形成し得る。この得られた制御情報によって指定されるすべての要件は、ＶＤＥ制御されたコンテンツがアクセスまたは使用され得ないうちに満たされなければならない。これは、例えば、必要とされる得られた制御情報によって列挙されるすべてのロードモジュールおよびいずれもの介在データは、利用可能であり、かつ、それらの要求される機能を安全に行わなければならないことを意味している。本発明の別の側面と組み合わされると、安全に、独立して配送される制御コンポーネントによって、電子商取引参加者が、自分自身の企業要件およびトレードオフを自由に規定することが可能になる。その結果、従来の非電子商取引と同様に、本発明によって、（ＶＤＥ参加者による様々な制御要件の進歩的な規定を介する）電子商取引が最も効率的で競合する有用な企業形態に発展し得る。
【００４９】
ＶＤＥは、電子商取引および電子取引管理のサポートを合理化するケーパビリティを提供する。この合理化は、取引管理に関連する広範な活動のための制御構造およびユーザインタフェースが再利用可能であることから生じる。その結果、コンテンツ使用制御、データセキュリティ、情報監査および電子金融活動は、再利用可能で、便利で一貫し普及しているツールを用いてサポートされ得る。さらに、合理的なアプローチ−−取引／配布制御規格−−によって、ＶＤＥのすべての参加者に対して、非常に様々なタイプの情報、企業市場モデル、および／または秘密目的をサポートするための、ハードウェア制御およびセキュリティ、オーサリング、管理および管理ツールの同一の基本セットが可能になる。
【００５０】
汎用電子取引／分散制御システムとしてＶＤＥを用いることによって、ユーザは、各コンピュータ、ネットワーク、通信ノード、および／または他の電子機器上で単一の取引管理制御アレンジメントを維持し得る。このような汎用システムは、異なる目的のために個別に異なるインストレーション（設備）を必要とせずに、多くの電子取引管理アプリケーションの必要性を満たす。その結果、ＶＤＥのユーザは、各異なるコンテンツおよび／または企業モデルについて異なる制限された目的の取引制御アプリケーションの混乱、費用および他の不都合を避けることができる。例えば、コンテンツオーサリングのため、および商品へ含めるためあるいは他の使用について他のコンテンツクリエータからコンテンツをライセンス取得するために同一のＶＤＥ基礎制御構成を用いることが、ＶＤＥによってコンテンツクリエータに可能になる。情報交換所、配布者、コンテンツクリエータ、および他のＶＤＥユーザはすべて、ＶＤＥ活動のタイプとは無関係に、同一の配布ツール、メカニズム、および一貫したユーザインタフェースを（概してトランスペアレントに）利用および再利用して完全に一貫して、ＶＤＥインストレーションで動作するアプリケーションと相互動作し、かつ、互いに相互作用し得る。
【００５１】
電子的に格納され、および／または配布された情報の制御および監査（および使用のその他の管理）によって、ＶＤＥは電子情報が多くの形態で不許可使用されることを防止する。これは、例えば、市販されたコンテンツ、電子通貨、電子クレジット、企業取引（ＥＤＩなど）、機密通信などを含む。ＶＤＥはさらに、課金のためにコンテンツクリエータおよび／または他のプロバイダによって「予め決定された」コンテンツの部分をユーザが使用するように制限するのではなく、ユーザが規定した部分において商業的に供給された電子コンテンツをユーザに利用可能にするために用いられ得る。
【００５２】
ＶＤＥは、例えば、以下を利用し得る：
（１）電子コンテンツおよび／または機器使用の予算作成および／または監査するための安全な計量手段、
（２）支払い手段のための電子クレジットおよび／または通貨メカニズムを含む、コンテンツおよび／または機器使用についての補償および／または課金率を可能にする、安全でフレキシブルな手段；
（３）制御および使用に関連する情報を格納する（および有効であると認められた区分化およびタグ付けスキームを用いる）ための安全な配分されたデータベース手段；
（４）安全な電子機器制御手段；
（５）（ＶＤＥコンテンツコンテナクリエータ、他のコンテンツプロバイダ、クライアントユーザ、および安全なＶＤＥコンテンツ使用情報の受け手を含む）すべてのユーザの所在地に位置するノードを含む、分散型の安全な「仮想ブラックボックス」。この仮想ブラックボックスのノードは、通常は、少なくとも一つの安全なハードウェア素子（半導体素子あるいはＶＤＥ制御プロセスを安全に実行するための他のハードウェアモジュール）を有する安全なサブシステムを含んでいる。安全なサブシステムは、情報格納、配布、支払い、使用および／または監査の経路に沿ってノードに分散されている。いくつかの実施の形態において、ハードウェア素子の機能は、ノードの一部あるいはすべてについて、例えば、電子機器のホスト処理環境においてソフトウェアによって行われ得る；
（６）暗号化および復号化手段；
（７）認証、ディジタル署名、および暗号化された伝送を用いる安全な通信手段。ユーザノードでの安全なサブシステムは、各ノードのおよび／または参加者のアイデンティティを確立および認証し、安全なサブシステム間での通信のための１つ以上の安全なホスト−ホスト暗号化鍵を確立するプロトコルを用いる；および、
（８）各ＶＤＥインストレーション毎に、ＶＤＥコンテンツオーサリング（関連づけられた制御情報を有するＶＤＥコンテナへのコンテンツの配置）、コンテンツ配布、およびコンテンツ使用、ならびにコンテンツ使用情報を用いて情報交換所およびその他の管理活動および分析活動を行うことを可能にし得る安全な制御手段。
【００５３】
ＶＤＥは、大半の非電子的な従来の情報配送モデル（娯楽、参考資料、カタログショッピングなどを含む）を、安全なディジタル配布および使用管理および支払いコンテクストに適切に移行させるために用いられ得る。ＶＤＥ構成によって管理される分散および金融経路は、以下を含む：
！　コンテンツクリエータ、
！　配布者、
！　再配布者、
！　クライアント管理者、
！　クライアントユーザ、
！　金融情報交換所および／またはその他の情報交換所、
！　および／または行政機関。
【００５４】
これらの配布経路および金融経路はまた、以下を含み得る：
！　広告者、
！　市場調査組織、および／または
！　ＶＤＥを用いて安全に配送されたおよび／または格納された情報のユーザ使用に関心を持つその他のパーティ。
【００５５】
通常は、ＶＤＥ構成における参加者は、同一の安全なＶＤＥ基礎を用いる。別の実施の形態は、異なるＶＤＥ基礎を用いるＶＤＥ構成をサポートする。このような別の実施の形態は、ある相互動作要件が満たされることを保証するためにプロシジャを用い得る。
【００５６】
安全なＶＤＥハードウェア（安全処理ユニットを表すＳＰＵとしても知られる）または、ソフトウェアを用いてハードウェア（ホスト処理環境（ＨＰＥ）によって提供される）ＶＤＥに替わるまたは補足するＶＤＥインストレーションは、本発明の電子契約／権利保護環境を達成するために、安全な通信、システム統合ソフトウェア、および配布ソフトウェア制御情報およびサポート構造と共同して動作する。これらのＶＤＥコンポーネントは全体として、安全な、仮想、配布コンテンツおよび／または機器制御、監査（および他の管理）、報告および支払い環境を含む。商業的に許容可能ないくつかの実施の形態において、十分に物理的に安全な非ＶＤＥ処理環境を通常維持する情報交換所などのある種のＶＤＥ参加者は、ＶＤＥハードウェアエレメントではなくＨＰＥを用い、例えば、ＶＤＥエンドユーザおよびコンテンツプロバイダと相互動作することが可能であり得る。ＶＤＥコンポーネントは全体で、電子コンテンツおよび／または機器使用の、分散型の非同期的な制御のための、構成可能で一貫した安全で「信頼される」アーキテクチャを含む。ＶＤＥは、電子コンテンツ配送、広範囲な配信、使用報告および使用に関連する支払い活動のための「全世界的な」環境をサポートする。
【００５７】
ＶＤＥは、一般化された構成可能性を提供する。これは、一部には、電子商取引およびデータセキュリティをサポートするための一般化された要件を、様々に集まって電子商取引アプリケーション、商業電子契約およびデータセキュリティ構成のためのコントロールメソッドを形成し得る広範な構成要素となり得る、「原子」レベルおよびそれよりも高レベルのコンポーネント（ロードモジュール、データエレメント、およびメソッドなど）に分解することによって生じる。ＶＤＥは、電子商取引モデルおよび関係を発展させ得る、安全な独立して配送可能なＶＤＥコンポーネントと共にＶＤＥ基礎エレメントを用いる、安全な動作環境を提供する。ＶＤＥは、後続のコンテンツプロバイダおよび／またはユーザが電子コンテンツおよび／または電子機器の使用のためおよびその使用結果として、制御情報の適合化に参加することに対してコンテンツプロバイダが経時的に合意を明示し得る、あるいはそれを許可し得る配布モデルの開放を、特にサポートする。電子商取引およびデータセキュリティ活動を単純なものから非常に複雑なものまでサポートするために重要な非常に広範な機能属性は、本発明のケーパビリティによってサポートされる。その結果、ＶＤＥは、大半のタイプの電子情報および／または機器、すなわち、使用制御（配分を含む）、セキュリティ、使用監査、報告、他の管理および支払い構成をサポートする。
【００５８】
好ましい実施の形態において、ＶＤＥは、（少なくとも一部が）暗号化または安全化されている情報の配送のための「コンテナ」を形成するためにオブジェクトソフトウェア技術を用い、オブジェクト技術を用いる。これらのコンテナは、電子コンテンツ製品あるいは他の電子情報およびそれらの関連するパーミッション（制御）情報の一部あるいはすべてを含み得る。これらのコンテナオブジェクトは、コンテンツプロバイダおよび／またはコンテンツユーザに関連する経路に沿って配分され得る。これらは、仮想配布環境（ＶＤＥ）構成のノードの間を安全に移動し得る。これらのノードは、ＶＤＥ基礎ソフトウェアを動作させ、コントロールメソッドを実行することによって電子情報使用制御および／または管理モデルを成立させる。本発明の好ましい実施の形態を使用することによって配送されるコンテナは、ＶＤＥ制御命令（情報）を配布するため、および／または少なくとも一部が安全化されたコンテンツをカプセル化し電子的に配布するための両方に用いられ得る。
【００５９】
本発明を用いるコンテンツプロバイダには、例えば、ソフトウェアアプリケーションおよびゲーム発行者、データベース発行者、ケーブル、テレビおよびラジオ放送者、電子ショッピング販売者、および電子文書、本、定期刊行物、Ｅメールおよび／またはその他の形態での情報の配布者が含まれる。電子情報の格納者および／または配布者として働く法人（ｃｏｒｐｏｒａｔｉｏｎｓ）、行政機関および／または個人の「エンドユーザ」は、ＶＤＥコンテンツプロバイダであってもよい（制限されたモデルでは、ユーザはコンテンツを自分自身のみに供給し、別のパーティによる非許可使用から自分自身の機密情報を守るためにＶＤＥを用いる）。電子情報は、個人的な使用または内部組織での使用のための所有権および／または機密情報、ならびに他のパーティに供給され得るソフトウェアアプリケーション、文書、娯楽材料、および／または参考情報を含み得る。配布は、例えば、「スタティック」ファイルおよび／またはデータストリームの形態での、物理的媒体配送、放送および／または遠隔通信手段によって行われ得る。ＶＤＥはまた、例えば、通信された情報の一部またはすべての使用に対する制限および／または監査が実施される電子会議、インタラクティブゲーム、またはオンライン掲示板などのマルチサイト「リアルタイム」インタラクションのために用いられ得る。
【００６０】
ＶＤＥは、商業契約を実施し、かつ、プライバシー権の保護を可能にするための重要なメカニズムを提供する。ＶＤＥは、販売された電子コンテンツの使用に関してある一つのパーティから別のパーティに情報を安全に配送し得る。そのようなコンテンツ使用情報のための取扱いのチェーン（経路）におけるいくつかの「段階」によってパーティが分離される場合でも、そのような情報は暗号化および／または別の安全な処理を介してＶＤＥによって保護される。その保護があるために、そのような情報が正確であることはＶＤＥによって保証され、情報が配送されるすべてのパーティから情報が信用され得る。さらに、そのような情報は承認されたパーティまたはそのエージェントのみが復号化し得るように暗号化されているので、この情報は意図され承認されたパーティ以外によって受け取られ得ないことをすべてのパーティが信用し得ることがＶＤＥによって保証される。このような情報は、前の取扱い経路位置において安全なＶＤＥ処理を介して得られ、それによって安全なＶＤＥ報告情報を生成し、次いでこの情報は、意図された受け手のＶＤＥ安全サブシステムに安全に通信され得る。ＶＤＥはそのような情報を安全に配送し得るので、電子契約を行うパーティは、ＶＤＥの制御下にある手段以外の手段を介して配送される商業的使用情報および／または他の情報の正確さを信用する必要はない。
【００６１】
商業的価値チェーン中のＶＤＥ参加者は、ＶＤＥを用いることによって結ばれた直接的な（構成する）および／または「拡張された」電子契約が信頼性をもって実施され得ることを「商業的に」信頼し得る（すなわち、商業目的には十分に信頼し得る）。これらの契約は、電子情報および／または機器使用の予算作成、計量および／または報告によって実施されるコンテンツ使用制御情報などの「動的な」取引管理に関連する側面を有しても、および／またはサービスに対する支払い、コンテンツまたはシステムの使用から得られる電子情報を非許可パーティに渡さない、および／または著作権を守ることに同意するなどの「静的」電子主張を含んでもよい。電子的に報告された取引に関連する情報が本発明によって信用され得るだけではなく、支払い経路（報告のための経路と同じでも同じでなくともよい）を介した支払いトークンの通過によって支払いが自動化され得る。このような支払いは、ＶＤＥ制御電子コンテンツおよび／または機器（行政機関、金融クレジットプロバイダ、およびユーザなど）に基づいて電子アカウント（例えば、ユーザのＶＤＥインストレーション安全サブシステムによって安全に維持されるアカウント）からのクレジットまたは電子通貨（トークンなど）の「引き出し」を規定する制御情報（好ましい実施の形態においては、１つ以上のパーミッションレコード内に配置されている）に応答して、ＶＤＥインストレーションによって自動的に生成されたＶＤＥコンテナ内に含まれ得る。
【００６２】
ＶＤＥによって電子商取引参加者の要求が満たされ、そのような参加者全体を、非常に大きな商取引をサポートするために十分に安全であり得る世界規模の信用される商業ネットワーク中でまとめ得る。ＶＤＥのセキュリティおよび計量安全サブシステムコア（ｃｏｒｅ）は、ＶＤＥに関連するコンテンツが（ａ）割当てられた使用に関連する制御情報（規則および調停データ）であり、および／または（ｂ）使用される、すべての物理的位置に存在する。このコアは、「仮想ブラックボックス」と称される、安全化された情報交換（例えば、遠隔通信）プロセスおよび分散されたデータベース手段によって相互接続された分散型の非常に安全なＶＤＥ関連ハードウェアの例の集まり内で動作するセキュリティおよび監査機能（計量を含む）を行い得る。ＶＤＥはさらに、高度に構成可能な取引オペレーティングシステム技術、提携されたデータを伴うロードモジュールの１つ以上の関連ライブラリ、ＶＤＥ関連管理、データ準備および分析アプリケーション、ならびにホスト環境及びアプリケーションへのＶＤＥ統合を可能にするように設計されたシステムソフトウェアを含む。ＶＤＥの使用制御情報は、例えば、プロパティコンテンツおよび／または機器に関連する、使用承認、使用監査（監査割引も含み得る）、使用課金、使用支払い、プライバシーの漏洩、報告およびセキュリティに関連する通信および暗号化技術を提供する。
【００６３】
ＶＤＥは、ＶＤＥ環境の構成性、移植可能性およびセキュリティを向上させるためにソフトウェアオブジェクト形態の方法を広範囲に用いる。ＶＤＥはまた、保護下のコンテンツを保持するＶＤＥコンテンツコンテナのためのソフトウェアオブジェクトアーキテクチャを用いる。またＶＤＥは、自由に利用可能な情報（例えば、コンテンツの要旨、表）および制御情報の性能を保証する安全化されコンテンツ制御情報の両方を保持してもよい。コンテンツ制御情報は、オブジェクトのコンテンツに対する権利の保持者によって設定される規格に従って、および／またはそのようなコンテンツの配布に関連する権利を有するパーティ（行政機関、金融クレジットプロバイダ、およびユーザ）に従って、コンテンツ使用を決定する。
【００６４】
一部には、オブジェクトを保護するために用いられる暗号化スキームは改変から関連づけられたコンテンツ制御情報（ソフトウェア制御情報および関連するデータ）を保護するために効率的にさらに用いられ得るので、本発明によって用いられるオブジェクト方法によってセキュリティが高まる。コンテンツの形態での電子情報が（例えば、同一のオブジェクトコンテナ内でコンテンツ情報として）コンテンツ制御情報と共に挿入され、それによって（前記コンテンツについての）「発行された（ｐｕｂｌｉｓｈｅｄ）」オブジェクトを生成させ得るので、このオブジェクト技術によって、様々なコンピュータおよび／または別の機器環境間での移植可能性が高まる。その結果、制御情報の様々な部分は、様々なコンピュータプラットフォームおよびオペレーティングシステムなどの異なる環境に特に適合され得る。様々な部分はすべて、ＶＤＥコンテナに搭載され得る。
【００６５】
ＶＤＥの目的は、取引／配布制御規格をサポートすることである。そのような規格の発展には、多くの障害、与えられたセキュリティ要件および関連するハードウェアおよび通信問題、非常に異なる環境、情報タイプ、情報使用のタイプ、企業および／またはデータセキュリティ目的、様々な参加者および配送された情報の所有権がある。ＶＤＥの重要な特徴は、一部には、電子商取引およびデータセキュリティ機能を安全なハードウェアＳＰＵおよび／または対応するソフトウェアサブシステム内で実行可能な一般化されたケーパビリティモジュールに多くの異なる配布および他の取引変数を分解すること、さらにはＶＤＥインストレーション基礎上で動作するアプリケーションでのそのようなモジュール（例えば、ロードモジュールおよび／またはメソッド）の組立、改変および／または置換において大きいフレキシビリティを可能にすることによって、多くの様々な配布および他の取引変数を含む。この構成性および再構成性によって、電子商取引およびデータセキュリティ参加者が、発展する拡張された電子契約（電子制御モデル）を反復して適合させるプロセスによってそれらの優先度および要件を反映させ得る。この適合化は、１つのＶＤＥ参加者から別の参加者へのコンテンツ制御情報受け渡しとして、「インプレース（ｉｎ　ｐｌａｃｅ）」コンテンツ制御情報によって可能になる範囲で生じ得る。このプロセスによって、ＶＤＥのユーザは既存の制御情報を再構成（ｒｅｃａｓｔ）し、および／または必要に応じて新しい制御情報を追加すること（もはや必要のないエレメントを除去することを含む）が可能になる。
【００６６】
ＶＤＥは、商業的な電子コンテンツ分散およびデータセキュリティアプリケーションのための信用のある（十分に安全な）電子情報配布および使用制御モデルをサポートする。ＶＤＥは、コンテンツクリエータ、コンテンツ配布者、クライアント管理者、エンドユーザおよび／または情報交換所および／または他のコンテンツ使用情報ユーザを含み得る相互に関連する参加者のネットワークの様々な要件を満たすように構成され得る。これらのパーティは、電子コンテンツ配布、使用制御、使用報告および／または使用支払いの単純なものから複雑なものまでに関わる参加者ネットワークを構成し得る。配布されたコンテンツは、元々供給された情報およびＶＤＥ生成情報（コンテンツ使用情報など）の両方を含み得、コンテンツ制御情報は、コンテンツおよびコンテンツ制御情報取扱いのチェーン（１つ以上の経路）およびコンテンツの直接の使用の両方を介して持続し得る。本発明によって提供される構成性は、企業が関係を作り、競合する価値を提供する戦略を発展させることを可能にする電子取引をサポートするために特に重要である。本質的に構成可能でも相互動作可能でもない電子取引ツールは、基本的な要件および大半の取引アプリケーションの発展する要求の両方を満たす製品（およびサービス）を最終的に製造し得ない。
【００６７】
ＶＤＥの基本的な構成性によって、幅広い範囲の競合する電子商取引企業モデルが成功し得る。これによって、歳入源、エンドユーザ製品価値、および動作効率を最大化するように企業モデルが適合され得る。ＶＤＥは、複数の異なるモデルをサポートするため、新しい歳入機会を利用するため、およびユーザによって最も望まれる製品構成を配送するために用いられ得る。本発明が行う以下の事、すなわち、
！　広範囲の可能な相補的歳入活動のサポート、
！　顧客によって最も望まれるコンテンツ使用特徴のフレキシブルなアレイの提供、および、
！　効率を上げるための機会の利用、
を行わない電子商取引技術を用いると、しばしばより本質的にコストが高く、魅力に乏しく、従って、市場での競合性が低い製品になる。
【００６８】
本発明に本質的な構成性に貢献するキーファクタには、以下が含まれる。
【００６９】
（ａ）システムセキュリティ全体を維持しながら、ほぼすべての電子機器環境における制御および監査ケーパビリティの併合（ｍｅｒｇｉｎｇ）を効率的にサポートする移植可能ＡＰＩおよびプログラミング言語ツールを介する、広範な電子機器の基礎的な制御環境への統合；
（ｂ）モジュラーデータ構造；
（ｃ）包括的なコンテンツモデル；
（ｄ）基礎アーキテクチャ構成要素の一般的なモジュール性および独立性；
（ｅ）モジュラーセキュリティ構造；
（ｆ）可変長および制御の複数の分岐チェーン；および
（ｇ）１つ以上のライブラリ中に維持され得、コントロールメソッドおよびモデルに組立てられ得る、実行可能なロードモジュールの形態の独立したモジュラー制御構造であり、制御情報がＶＤＥコンテンツ制御情報取扱いの経路の参加者のＶＤＥインストレーションを通過すると、そのようなモデル制御スキームは「発展」し得る。
【００７０】
本発明によって解決される問題に幅があるために、非常に広範な商業およびデータセキュリティモデルのために、秘匿のおよび／または所有権情報および商業電子取引の不許可使用を防止し得る単一の取引／配布制御システムを、新たに生じた（ｅｍｅｒｇｉｎｇ）「電子ハイウエイ」に備え得る。ＶＤＥの電子取引管理メカニズムは、非常に様々な企業およびデータセキュリティモデルに参加するすべてのパーティの電子権利および契約を実行し得、各ＶＤＥ参加者の電子機器内の単一のＶＤＥインストレーションによって有効に達成され得る。ＶＤＥは、ＶＤＥコンテンツおよび／または取扱いのコンテンツ制御情報経路の様々な「レベル」で幅広い参加者を伴い得る、非常に様々な企業および／またはデータセキュリティモデルをサポートする。異なるコンテンツ制御および／または監査モデルおよび契約は、同一のＶＤＥインストレーションで利用可能になり得る。これらのモデルおよび契約は、例えば、一般のＶＤＥインストレーションおよび／またはユーザ、ある特定のユーザ、インストレーション、クラスおよび／またはインストレーションおよび／またはユーザのの他のグループ分けに関するコンテンツ、ならびに広く所与のインストレーション上にある電子コンテンツ、特定の特性、特性部分、クラスおよび／またはコンテンツの他のグループ分けに関するコンテンツを制御し得る。
【００７１】
ＶＤＥを用いる配布は、電子コンテンツおよび制御情報の両方を同一のＶＤＥコンテナにパッケージし、および／または複数の別々の遠隔位置からおよび／または複数の別々のＶＤＥコンテンツコンテナにおいておよび／または複数の異なる配送主端を用いて同一のＶＤＥ管理特性の異なる部分のエンドユーザサイトへの送達を伴い得る。コンテンツ制御情報は、関連づけられたコンテンツから１つ以上のＶＤＥ管理オブジェクト中でのユーザＶＤＥインストレーションへ一部あるいは全体が別々に配送され得る。上記制御情報の部分は、１つ以上の供給源から配送され得る。制御情報は、使用のためにユーザのＶＤＥインストレーション安全サブシステムから１つ以上の遠隔ＶＤＥ安全サブシステムおよび／またはＶＤＥ互換性の認定された安全遠隔位置へのアクセスによって利用可能になり得る。計量、予算作成、復号化および／指紋刻印などのＶＤＥ制御プロセスは、あるユーザコンテンツ使用活動に関連するように、ユーザの遠隔ＶＤＥインストレーション安全サブシステムにおいて行われても、同一のユーザＶＤＥインストレーションおよび／またはネットワークサーバおよびユーザインストレーション内に配置され得る複数の安全なサブシステムに分割され得る。例えば、遠隔ＶＤＥインストレーションは、復号化および関連する使用計量情報のいずれかまたはすべての保存を行い得、および／またはそのようなユーザインストレーションにおける電子機器使用は、上記の安全なサブシステム間で安全な（例えば、暗号化された）通信を用いるサーバで行われ得る。上記のサーバ位置は、上記のユーザインストレーションからのコンテンツ使用情報のほぼリアルタイムの頻繁な、またはより定期的な安全な受け取りのために用いられ得、例えば、計量された情報は、遠隔ユーザインストレーションでは一時的にのみ維持されている。
【００７２】
ＶＤＥ管理コンテンツのための送達手段は、上記情報の一部を送達および放送するための光ディスク電子データ格納手段および／または上記の情報の他の部分のための遠隔通信手段などの電子データ格納手段を含み得る。電子データ格納手段は、磁気媒体、光媒体、光磁気システムの組み合わせ、フラッシュＲＡＭメモリ、バブルメモリおよび／またはホログラフィ、周波数および／または極性データ格納技術を用いた大容量光学格納システムなどの他のメモリ格納手段を含む。データ格納手段は、それ自体は単一の厚いディスクとしてまとめて物理的にパッケージされるデータ保持ディスクの層を通って光を通過させる、概して透明および／またはトランスルーセントな材料多層ディスク技術を用いてもよい。そのようなディスク上のデータ保持位置は、少なくとも一部が不透明であり得る。
【００７３】
ＶＤＥは、使用制御、監査、報告および／または支払いを含む安全な取引管理のための汎用基礎をサポートする。この汎用基礎は「ＶＤＥ機能」（「ＶＤＥＦ」）と称される。ＶＤＥはまた、選択的に集められ、ＶＤＥＦアプリケーションおよびオペレーティングシステム機能として働く様々なＶＤＥＦケーパビリティ（コントロールメソッドと称される）を形成し得る「原子サイズの」アプリケーションエレメント（例えば、ロードモジュール）の収集もサポートする。電子機器のホスト動作環境がＶＤＥＦケーパビリティを含むときは、「権利オペレーティングシステム」（ＲＯＳ）と称される。ＶＤＥＦロードモジュール、関連するデータおよびメソッドは、本発明の目的については「制御情報」と称される情報の主要部を形成する。ＶＤＥＦ制御情報は、電子コンテンツの１つ以上の部分と特に関連づけられても、ＶＤＥインストレーションのオペレーティングシステムケーパビリティの通常の構成要素として用いられてもよい。
【００７４】
ＶＤＥＦ取引制御エレメントは、コンテンツに特定のおよび／またはより一般化された管理（例えば、一般的なオペレーティングシステム）制御情報を反映および規定する。特定のケーパビリティを用いるための、例えば、ＶＤＥテンプレートを使用してＶＤＥ参加者によって適合化され得る構成性を多少有するアプリケーション（アプリケーションモデル）の形態を概してとり得るＶＤＥＦケーパビリティは、例えば、１つ以上のエレメントを反映するためのケーパビリティパラメータデータと共に、市販されている商品などの電子コンテンツの使用に関してＶＤＥ参加者間の電子契約を表す。これらの制御ケーパビリティは、電子コンテンツの使用および／または使用の監査、およびコンテンツ使用に基づく報告情報、ならびにその使用に対するいずれもの支払いを管理する。ＶＤＥＦケーパビリティは、制御情報の与えられたセットを受け取るか、もしくはそのセットに寄与する１つ以上の連続するパーティの要件を反映するために「発展」し得る。与えられたコンテンツモデル（ＣＤ−ＲＯＭ上での娯楽の配布、インターネット容器、または電子カタロクショッピングおよび広告、あるいは上記の組み合わせのいくつかなど）のためのＶＤＥアプリケーションについては、しばしば、参加者は、利用可能な代替的なコントロールメソッドを選択し、関連するパラメータデータを与え得る。この場合、このようなコントロールメソッドの選択および／またはデータの提出（ｓｕｂｍｉｓｓｉｏｎ）は、制御情報の「寄与」を構成する。あるいは（または、そのうえ）、上記のアプリケーションと安全に相互動作可能で互換性があると明確に認定されているあるコントロールメソッドは、そのような寄与の一部として参加者によって独立して提出され得る。最も一般的な例において、概して認定されたロードモジュール（与えられたＶＤＥ構成および／またはコンテンツクラスについて認定されている）は、その構成のノードにおいて動作する多くのあるいはいずれものＶＤＥアプリケーションと共に用いられ得る。これらのパーティは、許可される範囲で、ロードモジュールおよびメソッドの仕様を独立して安全に付加、削除、および／または改変すると共に、関連する情報を付加、削除および改変し得る。
【００７５】
通常、ＶＤＥコンテンツコンテナを製作するパーティは、ある電子情報に適用するおよび／または適用し得るＶＤＥＦケーパビリティの一般的な性質を規定する。ＶＤＥコンテンツコンテナは、コンテンツ（例えば、コンピュータソフトウェアプログラム、映画、電子刊行物、または参考資料などの市販の電子情報）およびオブジェクトのコンテンツの使用に関連するある制御情報の両方を含むオブジェクトである。製作するパーティは、ＶＤＥコンテナを他のパーティに利用可能にし得る。ＶＤＥコンテンツコンテナによって配送され、および／またはＶＤＥコンテンツコンテナを用いた使用について利用可能な制御情報は、（コンテンツ市販のために）電子コンテンツのためのＶＤＥＦ制御ケーパビリティ（およびいずれもの関連するパラメータデータ）を含む。これらのケーパビリティは、そのようなコンテンツの使用および／または使用の結果を管理し、複数のパーティに関連する約定および条件ならびにそれらのパーティの様々な権利および義務を規定し得る１つ以上の「提案される」電子契約（および／またはパラメータデータの選択および／または使用のために利用可能な契約機能）を構成し得る。
【００７６】
ＶＤＥ電子契約は、１つ以上のパーティ−−例えば、「上位の」パーティから制御情報を受けとった「下位の」パーティ−−によるユーザインタフェース受領によって明らかにされてもよいし、また、自分自身の契約を個々に主張する同等のパーティ間のプロセスであってもよい。契約は、コンテンツに付加されているおよび／または別のパーティによって提出されているある別の電子約定および条件が許容可能か（許容可能な制御情報基準に違反していないか）を判断するあるＶＤＥ参加者制御情報によって約定および条件が「評価される」、自動化電子プロセスから生じてもよい。そのような評価プロセスは非常に単純なプロセス、例えば、約定および条件のテーブル内での制御約定および条件の一部またはすべての上位制御約定および条件と、コンテンツ制御情報取扱いの経路における次の参加者の提出された制御情報との間の互換性を保証するための比較などであっても、２つ以上のパーティによって提出される２つ以上の制御情報のセット間の交渉プロセスの潜在的な結果を評価および／または交渉プロセスを実行するより複雑なプロセスであってもよい。ＶＤＥはまた、１つ以上の他のパーティの利益および／または別の選択肢の選択および／またはあるパラメータ情報のためのあるユーザインタフェース問い合わせに対する回答を表す制御情報に対して許容可能であり得るある制御情報を許容および／または提案することによってユーザインタフェース手段により１つ以上のＶＤＥ参加者が制御情報セット間の「不一致」を決定する、半自動化プロセスを含む。ここで、応答は、適用可能な上位の制御情報に許容可能である場合に適合される。
【００７７】
別のパーティ（最初の規則適用者以外）が、おそらくは交渉プロセスを介して、「インプレース」コンテンツ制御情報を受け取り、および／または制御情報に付加し、および／または改変すると、そのような電子コンテンツの使用に関連する２つ以上のパーティ間のＶＤＥ契約が（いずれもの改変が上位の制御情報と一致する限り）行われ得る。ある電子コンテンツに関連する約定および条件の許容は直接的で明確であっても、（例えば、法的要件、そのような約定および条件を前もって与えること、および適切な制御情報の要件に依存した）コンテンツの使用の結果として暗示的（ｉｍｐｌｉｃｉｔ）であってもよい。
【００７８】
ＶＤＥＦケーパビリティをある特定の電子情報の制御と直接関連付けずに複数のパーティによってＶＤＥＦケーパビリティが用いられても、ＶＤＥ契約が行われてもよい。例えば、ＶＤＥインストレーションにおいてある一つ以上のＶＤＥＦケーパビリティが存在してもよく、ＶＤＥコンテンツ使用の安全な制御、監査、報告および／または支払いのためのそのようなインストレーションによって使用されるために、コンテンツ配布アプリケーションのための登録プロセスの間に、あるＶＤＥ契約が行われてもよい。同様に、ユーザおよび／またはその機器がＶＤＥインストレーションおよび／またはユーザとしてそのようなプロバイダに登録するときに、特定のＶＤＥ参加者はＶＤＥコンテンツまたは電子機器プロバイダとＶＤＥユーザ契約を行い得る。そのような場合には、ユーザＶＤＥインストレーションに利用可能なＶＤＥＦに適した制御情報は、電子コンテンツおよび／またはＶＤＥアプリケーションのすべておよび／またはいくつかのクラスを使用し得るようにするために、例えば、あるシーケンスにおいていくつかのＶＤＥＦメソッドが用いられることを必要とし得る。
【００７９】
ＶＤＥによって、与えられた取引に必要なある必須条件が安全に満たされる。これは、いずれもの必要とされるモジュールの安全な実行およびいずれもの必要とされる関連づけられたデータが利用可能であることを含む。例えば、（メソッドの形態などでの）必要とされるロードモジュールおよびデータは、許可された供給源からの十分なクレジットが利用可能であると確認されなければならないことを指定し得る。これは、そのようなクレジットがコンテンツのユーザの使用に対する支払いを行うために安全に用いられるようにするために、適切な時間でのプロセスとしてある一つ以上のロードモジュールを実行することをさらに必要とし得る。あるコンテンツプロバイダは、例えば、与えられたソフトウェアプログラム（プログラムの一部は暗号化された形態で維持され、実行のためにはＶＤＥインストレーションが存在することを必要とし得る）の使用者への配布のために行われるコピー部数を計量することを必要とし得る。これには、別の使用者に対してコピーが作られるたびに、プロパティのコピーのための計量法を実行することを必要とする。この同一のプロバイダはまた、ユーザによってプロパティから認可された異なるプロパティの合計数に基づいて料金を請求し、プロパティの認可の計量履歴がこの情報を維持するために必要になり得る。
【００８０】
ＶＤＥは、組織、共同体および／またはＶＤＥ参加者ユーザインストレーション（ノード）において安全に制御されるプロセスによって保証される統合性を有する世界規模の安全な環境を提供する。好ましい実施態様において、ＶＤＥインストレーションは、ソフトウェアおよび不正改変不可能なハードウェア半導体素子の両方を含み得る。そのような半導体構造は、ＶＤＥの制御機能を行う際に用いられる情報および機能を用いる不正改変あるいはその不許可観測を防止するように設計された特殊目的回路を、少なくとも一部が備えている。本発明による、特殊目的安全回路は、安全処理ユニット（ＳＰＵ）として知られている専用半導体構成および／または標準マイクロプロセッサ、マイクロコントローラ、および／または本発明の要件を満たし、ＳＰＵとして機能する別の処理論理の少なくとも一つを含む。ＶＤＥの安全ハードウェアは、例えば、ファックス／モデムチップまたはチップパック、Ｉ／Ｏコントローラ、映像表示コントローラ、および／または別の利用可能なディジタル処理構成に組み込まれることが見出され得る。本発明のＶＤＥ安全ハードウェアケーパビリティの一部は、最終的には、コンピュータおよび他の様々な電子処理装置のための中央処理装置（ＣＰＵ）の標準設計装置になり得ることが予期される。
【００８１】
ＶＤＥケーパビリティを１つ以上の標準マイクロプロセッサ、マイクロコントローラおよび／または他のディジタル処理コンポーネント内に設計することにより、本発明によって考慮される取引管理使用および他のホスト電子機器機能の両方について同一のハードウェアリソースを用いることができ、それによって、材料面においてＶＤＥ関連ハードウェアコストを下げ得る。これは、ＶＤＥ　ＳＰＵは、「標準」ＣＰＵの回路素子を用い（共有）し得ることを意味している。例えば、「標準」プロセッサが保護モードで動作し、ＶＤＥ関連命令を保護下の活動として実行し得る場合、そのような実施の形態は様々なアプリケーションについて十分なハードウェアセキュリティを提供し、特殊目的プロセッサの出費が抑えられ得る。本発明の１つの好ましい実施の形態では、あるメモリ（例えば、ＲＡＭ、ＲＯＭ、ＮＶＲＡＭ）は、保護モードで（例えば、保護モードマイクロプロセッサによってサポートされるように）ＶＤＥ関連命令処理の間に維持される。このメモリは、処理論理（例えば、プロセッサ）として同一パッケージ内に配置される。望ましくは、そのようなプロセッサのパッケージングおよびメモリは、耐不正改変性を高めるセキュリティ技術を用いて設計される。
【００８２】
ＶＤＥシステム全体のセキュリティの程度は、耐不正改変性およびＶＤＥ制御プロセス実行および関連するデータ格納活動の隠蔽の程度に主に依存する。特殊目的半導体パッケージ技術の使用は、セキュリティの程度に非常に寄与し得る。半導体メモリ（例えば、ＲＡＭ、ＲＯＭ、ＮＶＲＡＭ）における隠蔽および耐不正改変性は、そのようなメモリをＳＰＵパッケージ内で用い、データが外付けメモリ（外付けＲＡＭパッケージなど）に送られる前にデータを暗号化し、暗号化されたデータが実行される前に暗号化されたデータをＣＰＵ／ＲＡＭパッケージ内で復号化することによって、一部が達成され得る。このプロセスは、このようなデータが保護されない媒体、例えば、ランダムアクセスメモリ、大容量記憶装置などの標準ホスト記憶装置に格納されるとき、重要なＶＤＥ関連データのために用いられる。このような場合、ＶＤＥ　ＳＰＵは、そのようなデータが外付けメモリに格納される前に安全なＶＤＥ実行から得られるデータを暗号化する。
本発明によるＶＤＥによって提供される重要な一部の特徴の概要
ＶＤＥは、汎用の、十分に安全な分散型電子取引解決法のための基礎となる様々なケーパビリティを用いる。ＶＤＥによって、散在する、競合する企業提携、契約および発展する全体的な企業モデルをサポートする電子取引市場が可能になる。例えば、ＶＤＥは、以下の特徴を有する。
【００８３】
安全な通信、格納および取引管理技術による、電子情報および／または機器の非許可および／または補償されない使用の「十分な」防止。ＶＤＥは、単一の安全な「仮想」取引処理および情報格納環境を形成するモデルワイド（ｍｏｄｅｌ　ｗｉｄｅ）の分散型のセキュリティ実施をサポートする。ＶＤＥによって、分散型のＶＤＥ実施が、情報を安全に格納および通信し、別のＶＤＥ実施において幅広い方法で実施プロセスおよび電子情報の使用の特徴を遠隔に制御することが可能になる。
【００８４】
！　取引制御、監査、報告および関連する通信および情報格納のための低コストの効率的で有効なセキュリティアーキテクチャをサポートする。ＶＤＥは、タグ付けに関連するセキュリティ技術、暗号化鍵のエージング、格納された制御情報（置換および不正改変に対する保護を行うためのそのような情報の差動（ｄｉｆｆｅｒｅｎｔｉａｌｌｙ）タグ付けを含む）および配布されたコンテンツ（多くのコンテンツアプリケーションについて、特定のＶＤＥインストレーションおよび／またはユーザに独特の１つ以上のコンテンツ暗号化鍵を用いるため）の両方の区分化、コンテンツを暗号化するためのトリプルＤＥＳなどの暗号鍵技術、通信を保護し、ディジタル署名および認証の利点を与え、それによってＶＤＥ構成のノードを互いに安全に結合させるＲＳＡなどの公開鍵技術、重要な取引管理実行可能コードの安全な処理、および少量の非常に安全なハードウェア保護記憶スペースと安全化された（通常は暗号化およびタグ付けされている）制御および監査情報を格納するより大きな「露出された（ｅｘｐｏｓｅｄ）」マスメディア格納スペースとの組み合わせを用い得る。ＶＤＥは、ＶＤＥ実施の一部あるいはすべての位置に配布されている特殊目的ハードウェアを用いている。ａ）上記ハードウェアは、コンテンツ準備（そのようなコンテンツをＶＤＥコンテンツコンテナ内に配置し、コンテンツ制御情報をそのコンテンツと関連づけるなど）、コンテンツおよび／または電子機器使用監査、コンテンツ使用分析、ならびにコンテンツ使用制御の重要な要素を制御し、ｂ）上記ハードウェアは、処理ロードモジュール制御活動を安全に取り扱うように設計され、この制御処理活動は必要とされている制御要因のシーケンスを伴い得る。
【００８５】
！　ＶＤＥ電子情報製品（ＶＤＥ制御されたコンテンツ）の情報サブセットの動的なユーザ選択をサポートする。これは、そのような製品あるいはセクションの一部を得るためまたは用いるために情報製品全体または製品セクションを選択することが必要となるようないくつかの高レベルの個別の前もって規定されたコンテンツプロバイダ情報インクリメントを用いなければならない制約と対照をなす。ＶＤＥは、形成するユーザによってそのためだけに選択され、概して任意であるが、ユーザにとって論理的コンテンツを「配送可能」にする前もって識別された１つ以上のインクリメント（例えば、バイト、イメージ、論理に関連づけられたブロックなどの前もって識別された性質を有する１つ以上のブロックなど）が収集されたものを表す様々なインクリメント（「原子的」インクリメント、および異なるインクリメントタイプの組み合わせを含む）への計量および使用制御をサポートする。ＶＤＥ制御情報（予算作成、価格決定および計量を含む）は、情報インクリメントの異なる予期されない可変的ユーザ選択の集積のそのためだけの選択に、適切なように特定的に適用され得るように、かつ、価格決定レベルが、少なくとも一部が、混合されたインクリメント選択の量および／または性質（例えば、ある量のあるテキストの、関連づけられたイメージが１５％割引され得ることを意味し、「混合」インクリメント選択におけるより多い量のテキストは、イメージが２０％割引され得ることを意味する）に基づき得るように構成され得る。このようなユーザ選択の集積情報インクリメントは、情報についてのユーザの実際の要件を反映し得、単一の、またはいくつかの高レベルの（例えば、製品、文書、データベース記録）所定インクリメントに限定されるものよりもフレキシブルである。そのような高レベルインクリメントは、ユーザによって望まれない量の情報を含み、その結果、サブセットが利用可能である場合にユーザが必要とする情報のサブセットよりもよりコストが高くなり得る。要するに、本発明によって電子情報製品に含まれている情報をユーザ仕様に従って供給することが可能になる。ユーザ仕様に適合することによって、本発明はユーザに最大の価値を与えることが可能になり、そのことによって最大量の電子取引活動が生じる。ユーザは、例えば、入手可能なコンテンツ製品の様々な部分から得られるコンテンツの集積を規定し得るが、これらの部分は、ユーザによる使用のために配送可能なものとして、完全に独特の集積インクリメントである。ユーザは、例えば、参考資料などの情報製品の様々な部分からの情報のある数のバイトを選択し、それらのバイトを非暗号化形態でディスクにコピーし、バイトの総数に加えてそのバイトを提供した「商品」の数に対する追加金に基づいて課金され得る。ユーザは、所望の情報を含むすべての商品からのすべてのコンテンツは必要としていないので、コンテンツプロバイダは、そのようなユーザ規定情報インクリメントについては合理的にはより低い金額を請求され得る。ユーザが所望とする情報インクリメントを規定するこのプロセスは、情報製品からの情報の最も関連する部分の位置に寄与し、ユーザ選択またはそのような部分のユーザへの自動的な抽出および配送のためのサーチ基準ヒットを示す情報のユーザに自動的な表示を行う、人工的知能データベースサーチツールを含み得る。ＶＤＥは、以下を含む非常に様々な前もって規定されているインクリメントタイプをさらにサポートする。
【００８６】
！バイト、
！イメージ、
！音声または映像のための経時的コンテンツ、または
！文、
！段落、
！章、
！データベース記録、および
！論理的に関連づけられた情報のインクリメントを表すバイトオフセット
などのコンテンツプロバイダデータマッピング労力によって識別され得る他のいずれものインクリメント。
【００８７】
ＶＤＥは、与えられたタイプのコンテンツおよび企業モデルについて実用的であり得る数と同じ数の、前もって規定された同時のインクリメントタイプをサポートする。
！　暗号化データ形態で詳細な情報を維持するため、かつ、非常に安全な特殊目的ＶＤＥインストレーション不揮発性メモリ（利用可能である場合）でセキュリティテストのために概要情報を維持するための安価な「露出」ホスト大容量記憶装置を用い、様々な異なるコンテンツセグメントタイプのユーザの使用を反映する潜在的に非常に詳細な情報をユーザの位置に安全に格納する。
！　配布された電子情報の経路および／またはコンテンツ使用関連情報のための取扱いケーパビリティの信用されたチェーンをサポートする。このようなチェーンは、例えば、コンテンツクリエータから配布者、再配布者、クライアントユーザに拡張し、次いで、同一のおよび／または異なる使用情報を、１つ以上の独立した情報交換所などの１つ以上の監査者に安全に報告し、次いで、コンテンツクリエータを含むコンテンツプロバイダに戻すための経路を提供し得る。あるコンテンツ取扱い、関連する制御情報および報告情報取扱いのために用いられる同一および／または異なる経路は、電子コンテンツおよび／または機器仕様のための電子支払い処理（本発明において支払いは管理コンテンツとして特徴づけられる）のための１つ以上の経路としても用いられ得る。これらの経路は、コンテンツ全体および一部および／またはコンテンツ関連制御情報の搬送に用いられる。コンテンツクリエータおよび他のプロバイダは、商業的に配布されるプロパティコンテンツ、コンテンツ制御情報、支払い管理コンテンツ、および／または関連する使用報告情報を配信するために一部あるいは全体が用いられなければならない経路を指定し得る。コンテンツプロバイダによって指定される制御情報は、特定のパーティが運搬された情報を取り扱わなければならないあるいは取扱い得る（例えば、選択が行われ得る適当なパーティのグループを含む）ものを指定し得る。これはまた、どの伝達手段（例えば、遠隔通信キャリアあるいは媒体タイプ）および伝達ハブが用いられなければならないあるいは用いられ得るかを指定し得る。
！　高い効率の動作およびスループットを達成し、それまでの使用活動に関連する情報および関連するパターンの保持および実行可能なリコールを実用的な方法で可能にする「ビットマップ計量」を用いるなどのフレキシブルな監査メカニズムをサポートする。このフレキシブルさは、非常に様々な以下の課金およびセキュリティ制御戦略に適合可能である。
【００８８】
Ｐ　アップグレード価格設定（例えば、継続購入）、
Ｐ　価格割引（量による割引を含む）、
Ｐ　過去の購入のタイミングに基づく新たな購入の割引などの課金関連期間変
数、および
Ｐ　ある時間間隔にわたって用いられる電子情報の異なる、論理に関連するユ
ニットの量に基づくセキュリティ予算。
【００８９】
本発明の好ましい実施の形態の他の要素と共に情報の使用および／購入を記録するためのビットマップ計量（「正規」および「ワイド」ビットマップ計量を含む）の使用は、（ａ）レンタル、（ｂ）均一料金ライセンス認可あるいは購入、（ｃ）履歴使用変数に基づくライセンス認可または購入の割引、および（ｄ）あるアイテムが獲得されたかあるいはある期間内に獲得されたかを（これらのアプリケーションについては非常に非効率的な従来のデータベースメカニズムの使用を必要とせずに）決定することをユーザに可能にするようにユーザへ報告を行うこと、についての使用履歴の効率的な維持を一義的にサポートする。ビットマップ計量法は、コンテンツおよび／または機器プロバイダおよび／または管理活動のコントローラが過去のいくつかの時点あるいはある期間の間（例えば、商業的電子コンテンツ製品および／または機器）にある活動が生じたかを決定し得るように、ユーザおよび／または電子機器によって行われる、特定の特性、オブジェクトなどとは無関係の電子機器、特性、オブジェクト、またはそれらの一部、および／または管理と関連する活動を記録する。次いで、そのような決定は、コンテンツおよび／または機器プロバイダの価格決定および／制御戦略の一部、および／または管理活動のコントローラとして用いられ得る。例えば、コンテンツプロバイダは、プロパティの一部がユーザによってアクセスされる回数とは無関係に、プロパティの一部へのアクセスに対して１度のみ課金することを選択し得る。
！　コンテンツプロバイダによってエンドユーザに供給され得るコンテンツである「ランチ可能な（ｌａｕｎｃｈａｂｌｅ）」コンテンツをサポートすることであり、エンドユーザは、次いで使用のためのコンテンツを登録および／または初期化するためにコンテンツプロバイダが直接参加することを必要とせずに、コンテンツを別のエンドユーザパーティにコピーするかあるいは受け渡し得る。このコンテンツは、「移動オブジェクト（ｔｒａｖｅｌｉｎｇ　ｏｂｊｅｃｔ）」の形態で「（従来の配布）チャネル外」で進む。移動オブジェクトは、少なくともいくつかのパーミッション情報および／または使用のために必要とされるメソッド（そのようなメソッドは、必要とされるメソッドが、目的地ＶＤＥインストレーションにおいて利用可能、あるいは目的地ＶＤＥインストレーションに対して直接利用可能である場合は、移動オブジェクトによって運ばれる必要はない）を安全に運ぶコンテナである。ある移動オブジェクトは、所与のＶＤＥ構成の一部またはすべてのＶＤＥインストレーションの一部またはすべてにおいて用いられ得る。なぜなら、商業的なＶＤＥ価値チェーン参加者またはデータセキュリティ管理者（例えば、制御員あるいはネットワーク管理者）が関わることを必要とせずにコンテンツ使用に必要なコンテンツ制御情報を利用可能にし得るからである。移動オブジェクトの制御情報要件がユーザＶＤＥインストレーション安全サブシステム（承認されたクレジットプロバイダからの十分な量の金融クレジットがあることなど）で利用可能である限り、少なくともいくつかの移動オブジェクトコンテンツは、遠隔ＶＤＥ権限との関係を確立する必要なしに、受け取りパーティによって用いられ得る（例えば、予算が使い尽くされるか、あるいは時間コンテンツ使用報告間隔が生じるまで）。移動オブジェクトは、「チャネル外で」移動し、ユーザが、例えば、コンテンツがソフトウェアプログラム、映画、またはゲームである移動オブジェクトのコピーを近隣者に与えることを可能にする。近隣者は、適切なクレジット（例えば、ＶＩＳＡあるいはＡＴ＆Ｔなどの情報交換所からの情報交換所アカウント）が利用可能である場合、移動オブジェクトを用いることができる。同様に、インターネット上（あるいは類似のネットワーク）の格納場所で一般的に入手可能な電子情報は、ダウンロードされ、次いで初期のダウンロード者によってコピーされ、オブジェクトを付加的なパーティに受け渡し得る他のパーティに受け渡され得る移動オブジェクトの形態で提供され得る。
！　個人、インストレーション、クラスなどのグループ、ならびに機能およびクライアント識別（例えば、クライアント識別ＩＤ、クライアント部門ＩＤ、クライアントネットワークＩＤ、クライアントプロジェクトＩＤ、およびクライアント雇用者ＩＤ、あるいはいずれもの上記の適切なサブセット）のレベルの階層を用いた階層識別による、非常にフレキシブルで拡張可能なユーザ識別を提供する。
！　取引制御および監査のために製作された実行可能なコード部分を用いる基礎取引オペレーティングシステム環境として機能する汎用の安全なコンポーネントベースのコンテンツ制御および配布システムを提供する。これらのコード部分は、信用される分散型の取引管理構成の形成および動作における効率を最適化するために再利用され得る。ＶＤＥは、「原子的」ロードモジュールおよび関連づけられたデータの形態のそのような実行可能なコードの提供をサポートする。多くのそのようなロードモジュールは、本質的に構成可能、集積可能、移植可能、拡張可能であり、単一であるいは組み合わせられて（関連づけられたデータと共に）、ＶＤＥ取引動作環境下でコントロールメソッドとして実行される。ＶＤＥは非常に異なる電子取引およびデータセキュリティアプリケーションの要件を、一部には、ＶＤＥ取引関連コントロールメソッドを安全に処理するためにこの汎用取引管理基礎を用いることによって満たし得る。コントロールメソッドは、主に、一つ以上の上記の実行可能な再利用可能なロードモジュールコード部分（通常は、実行可能なオブジェクトコンポーネントの形態である）および関連付けられたデータの使用によって形成される。コントロールメソッドのコンポーネント性質によって、本発明が高度に構成可能なコンテンツ制御システムとして効率的に動作することが可能になる。本発明では、コンテンツ制御モデルは、もし行われる場合（新しいコンポーネントアセンブリが許容されるか、もし許容される場合、認定要件がそのようなコンポーネントアセンブリに対して存在するか、あるいはいずれかのあるいはある参加者が選択的な制御情報（パーミッション記録）コントロールメソッドからの選択によっていずれかのあるいはある制御情報を適合化し得るか）、そのような適合および更新がＶＤＥアプリケーションによって与えられる制約に合う程度にＶＤＥ参加者の要求を満たすように反復的および非同期的に適合化されるか、更新され得る。この反復的な（または同時の）複数参加者プロセスは、安全な制御情報コンポーネント（ロードモジュールおよび／またはメソッド、および／または関連するデータなどの実行可能なコード）の提出および使用の結果として生じる。これらのコンポーネントは、ＶＤＥ参加者のＶＤＥインストレーションに影響を与える各制御情報間の安全な通信によって独立して与えられ得、与えられたアプリケーションとともに用いるための証明を必要とし得、この場合そのような証明は、機器および提示されるコントロールメソッド間の安全な相互動作性および／信頼性（例えば、相互作用から得られるバグ制御）を確実にするＶＤＥ構成のための証明サービスマネージャによって与えられる。ＶＤＥ電子機器取引動作環境の取引管理制御機能は、安全ではない取引管理オペレーティングシステム機能とインタラクトし、それによって取引プロセスおよび電子情報セキュリティ、使用制御、監査および使用報告に関連するデータを適切に導く。ＶＤＥは、安全なＶＤＥコンテンツおよび／または機器制御情報実行およびデータ格納に関連するリソースを管理するためのケーパビリティを提供する。
！　ＶＤＥ下のアプリケーションおよび／またはシステム機能性の形成を促進し、本発明によって形成されたロードモジュールおよびメソッドの電子機器環境への統合を促進する。これを達成するためには、ＶＤＥはアプリケーションプログラマのインタフェース（ＡＰＩ）および／または組み込み関数をもつ取引オペレーティングシステム（ＲＯＳなど）プログラミング言語を用いる。これらは両方とも、ケーパビリティの使用をサポートし、ＶＤＥ機能性を商業的およびユーザアプリケーションに効率的かつしっかりと統合するために用いられ得る。
！　（ａ）例えば、ユーザにメッセージを与え、取引の認可などの特定の行動をユーザが取り得るようにするための「ポップアップ」アプリーション、（ｂ）取引毎、時間ユニット毎および／またはセッション毎の価格を制限するため、前の取引に関する履歴情報にアクセスするため、予算、消費（例えば、詳細なおよび／または大まかな）および使用分析情報を再検討するためのエンドユーザ嗜好仕様などのユーザ活動に管理環境を提供するスタンドアロンＶＤＥアプリケーション、および（ｃ）基礎となる機能性は商業的なソフトウェアの元の設計に組み込まれるので、ＶＤＥユーザ制御情報およびサービスはそのようなソフトウェアに継ぎ目なく組み込まれ、ユーザによって直接アクセスされ得るように、ＶＤＥ「認識」を商業的または内部ソフトウェア（アプリケーションプログラム、ゲームなど）を、ＶＤＥ　ＡＰＩおよび／または取引管理（例えば、ＲＯＳベースの）プログラミング言語を使用した結果として埋め込むＶＤＥ認識アプリケーションを通してユーザインタラクションをサポートする。例えば、ＶＤＥ認識ワードプロセッサアプリケーションにおいて、文書をＶＤＥコンテンツコンテナオブジェクトに「印刷」し、異なる目的のための一連の異なるメニューテンプレートから選択することによって（例えば、内部組織目的のための安全なメモテンプレートは、「保持」する能力すなわち、メモの電子コピーを行う能力を制限し得る）特定の制御情報を与えることができ得る。
！　本発明の構成ケーパビリティのプロセスが特定の産業または企業に関連するとき、それらのプロセスを容易にするために「テンプレート」を使用する。テンプレートは、本発明によるとアプリケーションあるいはアプリケーションアドオンである。テンプレートは、特定のコンテンツタイプに関連する効率的な仕様および／または基準に対する操作、配布アプローチ、価格設定メカニズム、コンテンツおよび／または管理活動とのユーザ相互作用などをサポートする。本発明によってサポートされる非常に広範なケーパビリティおよび構成を与えると、与えられた企業モデルに特に適した管理可能なサブセットに対する構成の機会の幅を減少させることによって、複雑なプログラミングおよび／または構成設計責任に負担を感じている「一般的な」ユーザが本発明の全構成可能能力を容易に用いることが可能になり、また、テンプレートアプリケーションは、独立したモジュールおよびアプリケーション間のコード相互作用の予測不可能な側面およびそのようなモジュールにおけるウイルス存在の可能性と関連するセキュリティ危険性を含む、独立して開発されたロードモジュールの寄与に関連する危険性を低減することによって、ＶＤＥ関連プロセスが安全で最適にはバグがないものであることを確実にし得る。テンプレートを使用することによって、複数の選択肢、アイコン選択、および／またはメソッドパラメータデータ（識別情報、価格、予算制限、日付、期間、特定のコンテンツへのアクセス権など）のプロンプトなどの制御情報目的のために適切なおよび／または必要なデータを供給するメニュー選択によるメソッドタイプ（例えば、機能性）の選択を含む適切にしぼられた組の活動に対する一般的なユーザ構成責任がＶＤＥにより低減される。そのユーザ、コンテンツまたは他の企業モデルに対応する一般的な要件を反映するために前もって設定された一般的な構成環境（テンプレート）を有する構成活動の制限されたサブセットに一般的な（非プログラミング）ユーザを制限することによって、関連する相互動作性問題（セキュリティ、オペレーティングシステム、および／または証明非互換性から生じる矛盾など）を含む、コンテンツコンテナ化（初期制御情報をコンテンツ上に配置することを含む）、配布、クライアント管理、電子契約実施、エンドユーザ相互作用および情報交換所活動と関連する問題を実質的に大幅に制限し得る。適切なＶＤＥテンプレートを用いることによって、コンテンツＶＤＥコンテナ化、他の制御情報の寄与、通信、暗号化技術および／または鍵などに関連するユーザの活動が、分散型のＶＤＥ構成のための仕様に応じることがユーザに保証され得る。ＶＤＥテンプレートは、発展するか、発展するときに新しい企業への適合を反映する新しいおよび／または改変されたテンプレートを可能にする、あるいは既存の企業の発展他の変化を反映するために通常は再構成可能であり得る前もって設定された構成を構成する。例えば、テンプレートの概念は、映画、音声記録およびライブパフォーマンス、雑誌、電話ベースの小売り、カタログ、コンピュータソフトウェア、情報データベース、マルチメディア、商業通信、広告、市場観測、情報提供（ｉｎｆｏｍｅｒｃｉａｌ）、ゲーム、数により制御される機械のためのＣＡＤ／ＣＡＭサービス、などを形成、改変、市場で販売、配布、消費および／または使用する組織および個人のための個々の枠組み全体を提供するために用いられ得る。これらのテンプレートを取り巻くコンテクストは変化あるいは発展するので、本発明によって提供されるテンプレートアプリケーションは、幅広い仕様のためあるいはよりしぼられた活動のためにこれらの変化に適合するように改変され得る。初期ＶＤＥコンテナ中にコンテンツを配置するパーティは、コンテンツのタイプおよび／またはコンテンツに関連する企業モデルに依存して、様々な異なる構成可能なテンプレートを有し得る。エンドユーザは、異なる文書タイプ（ｅメール、安全な内部文書、データベース記録など）および／または（異なるユーザに制御情報の異なる一般的な組を与える、例えば、ある前もって設定された基準である文書を用い得るユーザのリストを選択する）ユーザのサブセットに適用され得る異なる構成可能なテンプレートを有し得る。ある状況下では、テンプレートは固定された制御情報を有し得、ユーザ選択およびパラメータデータ入力に対して与えなくてもよいことは明らかである。
！　電子情報コンテンツの同一の特定のコピーおよび／または同一の電子情報コンテンツの複数の異なる制御モデルの異なって規制された異なるコピー（発生）のいずれかの使用および／または監査を規制する複数の異なる制御モデルをサポートする。課金、監査およびセキュリティのための異なるモデルは、電子情報コンテンツの同一の部分に適用され得、そのような異なるセットの制御情報は、制御のためには、電子情報制御インクリメントの同一のあるいは異なる細分性を用い得る。これは、様々な異なる予算および／または、計量の課金ユニット、クレジット制限、セキュリティ予算制限およびセキュリティコンテンツ計量インクリメント、および／または市場観測および顧客プロファイリングコンテンツ計量インクリメントのために配送可能な与えられた電子情報のための計量インクリメントを用いることを含む、電子情報の前もって規定された様々なインクリメントに適用されるように、予算作成および監査使用のための可変性使用情報をサポートすることを含む。例えば、科学記事のデータベースを有するＣＤ−ＲＯＭディスクは、復号化されたバイト数、復号化されたバイトを含む記事の数に基づく公式に従って、一部は課金され得るが、セキュリティ予算は、インストールされているワイドエリアネットワーク上のユーザにデータベースの使用を毎月データベースの５％までに制限し得る。
！　コンテンツおよびコンテンツ制御情報の取扱いの十分に安全なチェーンおよびそのようなコンテンツの使用の様々な形態を介する信用されるコンテンツ使用および報告制御情報を持続して維持するためのメカニズムを提供し、制御の持続性によってそのような使用が継続され得る。制御の持続性は、少なくとも一部が安全化されたコンテンツを有し、元のコンテナの情報を制御し、および／またはこの目的のために元のコンテナの制御情報によって少なくとも一部が生成された、抽出されたコンテンツおよび制御情報の少なくとも一部の両方を含む新しいコンテナを作成することによって、ＶＤＥコンテナオブジェクトから情報を抽出する能力を含み、および／またはＶＤＥインストレーション制御情報規定は、新たに形成されたコンテナ内のコンテンツの使用を持続および／または制御するべきである。そのような制御情報は、各々が異なる供給源から誘導された（抽出された）コンテンツを含む、複数の埋め込まれたＶＤＥコンテナを含むオブジェクトなどの他のＶＤＥ管理オブジェクトにコンテナが「埋め込まれる」場合、コンテナコンテンツの使用を管理し続け得る。
！　ユーザ、他の価値チェーン参加者（情報交換所および行政機関など）および／またはユーザ組織に、電子コンテンツおよび／または機器の使用に関連する嗜好または要件を特定することを可能にする。市販のコンテンツ（ゲーム、情報リソース、ソフトウェアプログラムなど）を用いるエンドユーザ顧客コンテンツユーザなどのコンテンツユーザは、上位の制御情報、予算および／または他の制御情報によって許可された場合、コンテンツのそれ自体の内部使用の管理を規定し得る。使用は、例えば、ユーザ承認を事前に表明せずにユーザが支払いを行いたい電子文書の価格に制限を設定するユーザ、およびユーザが収集されることを許可したい計量情報の特徴を確立するユーザ（プライバシー保護）を含む。これには、ＶＤＥインストレーションの使用から得られる情報およびコンテンツおよび／または機器使用監査のプライバシーを保護するための、コンテンツユーザのための手段を提供することを含む。特に、ＶＤＥは、参加者の暗黙のあるいは明示的な契約なしで電子コンテンツの参加者の使用に関連する情報を他のパーティに与えることを防止し得る。
！　少なくとも一部が独立して安全に配送される付加的な制御情報に従って制御情報を「発展」させ、改変することを可能にするメカニズムを提供すること。この制御情報は、特定のＶＤＥアプリケーション、アプリケーションのクラス、および／またはＶＤＥ配布構成と共に用いるために許容可能な（例えば、信頼性のある、および信用された）であるとして認定された実行可能なコードを含み得る。制御情報のこの改変（発展）は、制御情報の取扱い経路において一人以上のＶＤＥ参加者に循環するコンテンツ制御情報（ロードモジュールおよびいずれもの関連づけられたデータ）上で生じ得るか、あるいはＶＤＥ参加者から受け取られる制御情報上で生じてもよい。コンテンツ制御情報の取扱いは、各々が承認されている範囲で、電子コンテンツおよび／または機器（例えば、ＶＤＥ制御特性コンテンツの使用に関連するように）制御、分析、支払いおよび／または報告使用に関連するパーミッション、監査、支払いおよび報告制御情報を確立、改変および／またはそれらに寄与し得る。（認定に関して以外は独立している独立供給源から）独立して配送された、少なくとも一部が安全な制御情報は、コンテンツ制御情報がＶＤＥコンテンツ制御情報取扱いのシーケンス中である一つのパーティから他のパーティに流れるときに、コンテンツ制御情報を安全に改変するために用いられ得る。この改変は、例えば、ＶＤＥ安全サブシステム中で安全に処理される１つ以上のＶＤＥコンポーネントアセンブリを用いる。別の実施の形態において、通常はＶＤＥ管理オブジェクトの形態である「下位」のパーティから提出された少なくとも一部が安全化された制御情報を受け取った後に、ＶＤＥインストレーション安全サブシステムを使用して、制御情報は上位のパーティによって改変され得る。ＶＤＥ経路に沿って通過する制御情報は、制御情報ハンドラのシーケンスを介して持続された制御情報、改変され得る他の制御情報、および新しい制御情報および／または介在するデータを表す別の制御情報を含み得る点で、混合された制御セットを表し得る。そのような制御セットは、配信されたコンテンツについての制御情報の発展を表す。本実施例において、　提案される制御情報が安全に受け取られ取り扱われる新しい参加者のＶＤＥインストレーションに少なくともコンテンツ制御セットの一部が安全に受け渡されるに従って（例えば、暗号化された形態で通信され、認証およびディジタル署名技術を用いて）、　ＶＤＥコンテンツコンテナのためのコンテンツ制御セット全体は「発展」していく。受け取られた制御情報は、両方の制御情報セットを伴うネゴシエーションプロセスを介して適所にある制御情報と（受け取りを行うパーティのＶＤＥインストレーション安全サブシステムの使用によって）統合され得る。例えば、コンテンツプロバイダのＶＤＥインストレーション内での、あるＶＤＥコンテンツコンテナのためのコンテンツ制御情報の改変は、金融クレジットプロバイダによって提供される要求される制御情報の組み込みの結果として生じ得る。このクレジットプロバイダは、この必要とされる制御情報を準備し、そのコンテンツプロバイダに（直接的または間接的に）通信するためにＶＤＥインストレーションを用い得る。この必要とされる制御情報の組み込みによって、エンドユーザが金融クレジットプロバイダとクレジットアカウントを有し、そのクレジットアカウントが十分な利用可能なクレジットを有している限り、ＶＤＥ制御コンテンツおよび／または機器のエンドユーザの使用を保証するためにコンテンツエンドユーザがクレジットプロバイダのクレジットを使用することが可能になる。同様に、税金の支払いを必要とする制御情報および／または電子商取引活動から生じる歳入情報は、コンテンツプロバイダによって安全に受け取られ得る。この制御情報は、例えば、行政機関から受け取られ得る。コンテンツプロバイダは、市販のコンテンツおよび／または機器使用に関連するサービスについての制御情報に、そのような制御情報を組み込む法律によって必要とされ得る。提案される制御情報は、上位の制御情報によって許容される範囲で、各セット（受け取られたセットおよび提案されたセット）によって規定される優先度を満たすいずれものネゴシエーショントレードオフによって決定されるように用いられる。ＶＤＥはまた、ＶＤＥコンテンツ取扱い参加者のネットワーク内で異なる参加者（例えば、個人の参加者および／または参加者クラス（タイプ））に特に適合する異なる制御スキームも考慮する。
！　同一のコンテンツプロパティおよび／またはプロパティの部分のための複数の同時的制御モデルをサポートする。これによって、例えば、歳入を増加させ、その結果、ユーザに対するコンテンツコストを下げ、コンテンツプロバイダに対する価値を上げる、詳細な市場観測情報の獲得および／または広告のサポートなどの電子商取引製品コンテンツ配布に依存する同時的企業活動が可能になる。そのような制御情報および／または制御モデル全体は、制御情報によって決定あるいは許可されるように、コンテンツ、報告、支払いおよび／または関連する制御情報取扱いの経路において異なる参加者に対して異なる方法で与えられ得る。ＶＤＥは、異なるパーティ（または例えば、ＶＤＥユーザのクラス）が電子情報コンテンツの使用を管理する異なる制御情報を受け取るように、同一のおよび／または異なるコンテンツおよび／または機器使用に関連する活動、および／またはコンテンツおよび／または機器使用モデルにおける異なるパーティへの異なるコンテンツ制御情報の供給をサポートする。例えば、ＶＤＥ制御されたコンテンツオブジェクトの配布者またはそのようなコンテンツのエンドユーザとしての使用者のカテゴリーに基づいて制御モデルが異なる結果、適用される予算作成が異なり得る。あるいは、例えば、ある一つの配布者は、別の配布者（例えば、光ディスク上に設けられる共通のコンテンツ収集から）とは異なるプロパティのアレイを配布する権利を有し得る。個人および／またはエンドユーザのクラスあるいは他のグループ分けは、「一般的な」コンテンツユーザとは異なるコストを有し得る（例えば、学生、年輩の市民、および／または低所得者のコンテンツユーザであり、同一のあるいは異なる割引を受け得る）。
！　コンテンツおよび／または機器の顧客使用、および／またはプロバイダおよび／またはエンドユーザの税金支払いから、クレジットおよび／または電子通貨のエンドユーザおよび／またはプロバイダからの行政機関への移動によって生じるプロバイダ歳入情報のサポートは、安全な信用される歳入概要情報および／または詳細なユーザ取引リスト（詳細さのレベルは、例えば、取引のタイプまたはサイズに依存し得る、すなわち、顧客への銀行利子支払いまたは大金（例えば、＄１０，０００を超える）の振替に関する情報は、法律によって自動的に管理機関に報告され得る）を反映する顧客コンテンツ使用情報を含むコンテンツを有するＶＤＥコンテンツコンテナを、そのような受け取られた制御情報が生じさせた結果として「自動的に」生じ得る。課税の対象となる事象および／または通貨および／またはクレジット者通貨振替に関連するそのような概要および／詳細情報は、ＶＤＥコンテナ内の管理機関への報告および／または支払い経路に沿って受け渡され得る。そのようなコンテナは、他のＶＤＥ関連コンテンツ使用報告情報のためにも用いられ得る。
！　本発明の好ましい実施の形態によると、ＶＤＥ制御されたコンテンツの制御された多様な配布を受け入れるように、コンテンツ制御情報取扱いの異なる「ブランチ」を介するコンテンツ制御情報の流れをサポートする。それによって、異なるパーティが異なる（おそらくは競合する）制御戦略を用いて、同一の初期電子コンテンツを用いることが可能になる。本例において、コンテンツに対する制御情報を初めに与えたパーティはある制御仮定を行い得、これらの仮定は、より特定的なおよび／または広範囲の制御仮定に発展する。これらの制御仮定は、例えば、「適切な」コンテンツ制御情報との「ネゴシエーション」において用いるための制御情報交換をコンテンツモデル参加者が提出する際のブランチングシーケンスの間に発展し得る。この結果、新しいあるいは改変されたコンテンツ制御情報が得られ得、および／または適切な別の方法に対するある１つ以上の既に「適切な」コンテンツ使用コントロールメソッドの選択、ならびに関連する制御情報パラメータデータの提出を含み得る。同一の電子プロパティコンテンツ／および機器の異なるコピーに適用される制御情報セットのこの発展形態は、取扱いおよび制御経路全体における異なるブランチを通って「下方に」流れ、これらの異なる経路ブランチを分出するときに異なって改変されるＶＤＥ制御情報から生じる。ＶＤＥコンテンツ制御情報およびＶＤＥ管理コンテンツの両方の流れのための複数の経路ブランチをサポートする本発明の能力によって、相違する競合する企業提携、契約、および例えば、異なる少なくとも一部が競合する商品を表すコンテンツの異なる収集において組み合わされる同一のコンテンツプロパティを用い得る、発展する企業全体をサポートする電子商取引市場が可能になる。
！　抽出された情報が抽出プロセスを介して継続的に安全に維持されるように、ユーザのＶＤＥインストレーションで安全なサブシステムを用いて、ＶＤＥコンテンツコンテナ内に含まれるコンテンツの少なくとも一部をユーザが安全に抽出することを可能にすることによって、新しい安全なオブジェクト（コンテンツコンテナ）を作る。そのような抽出されたコンテンツを含む新しいＶＤＥコンテナが形成される結果、供給源ＶＤＥコンテンツコンテナおよび／または適切であれば遠隔ＶＤＥインストレーション安全サブシステムコンテンツ制御情報と一致する、あるいはそれによって指定される制御情報が得られる。少なくとも一部がペアレント（供給源）オブジェクトの制御情報から誘導されるセキュリティおよび管理情報などの関連する制御情報は、通常は、抽出されたＶＤＥコンテンツを含む新しいＶＤＥコンテンツコンテナオブジェクトに自動的に挿入される。このプロセスによって、ユーザのＶＤＥインストレーション安全サブシステムで（例えば、１つ以上のパーミッション記録中に暗号化された形態で安全に格納されるこの挿入された制御情報の少なくとも一部を用いて）実行するペアレントオブジェクトの制御枠組みおよび／またはＶＤＥインストレーション制御情報下で一般的に生じる。別の実施の形態において、抽出されたコンテンツに適用される誘導されたコンテンツ制御情報は、遠隔サーバ位置などの安全な抽出を行うＶＤＥインストレーションから遠隔に格納されたコンテンツ制御情報から一部あるいは全体が得られ得るか、あるいはそのコンテンツ情報を用い得る。大半のＶＤＥ管理コンテンツについてのコンテンツ制御情報を用いた場合と同様に、本発明の特徴によってコンテンツの制御情報は以下のことが可能になる。
（ａ）「発展」すること。例えば、コンテンツのエクストラクタ（ｅｘｔｒａｃｔｏｒ）は、コンテンツの適した制御情報によって可能にされる範囲で、新しい制御情報の追加、および／またはＶＤＥアプリケーションに従う方法などの制御パラメータデータの改変を行い得る。そのような新しい制御情報は、例えば、新しいオブジェクトの少なくとも一部を誰が用い得るか、および／またはどのように抽出されたコンテンツの少なくとも一部が用いられ得るか（例えば、いつ少なくとも一部が用いられ得るか、あるいは一部のどの部分およびどの量が用いら得るか）を指定し得る。
（ｂ）エクストラクタによって作られるマテリアルおよび／または新しいコンテナへの直接的な配置のために１つ以上の他のＶＤＥコンテナオブジェクトから抽出されたコンテンツ（例えば、イメージ、映像、音声、およびまたはテキスト）などの抽出されたコンテンツの少なくとも一部と付加的なコンテンツを組み合わせることをユーザに可能にすること。
（ｃ）コンテンツをＶＤＥコンテンツコンテナ内に安全な形態で維持しつつ、ユーザがコンテンツの少なくとも一部を安全に編集することを可能にする。
（ｄ）既存のＶＤＥコンテンツコンテナオブジェクトに抽出されたコンテンツを追加し、関連づけられた制御情報を添付すること。これらの場合、ユーザによって付加される情報は安全化、例えば、一部あるいは全体として暗号化され、および適所にあるオブジェクトコンテンツに前に与えられたものとは異なる使用／およびまたは監査制御情報を与えられ得る。
（ｅ）抽出されたコンテンツの１つ以上の部分に対するＶＤＥ制御を、その部分の様々な形態の使用後に保護すること。例えば、スクリーンディスプレイ上にコンテンツを「一時的に」可能にしながら、あるいは、ソフトウェアが安全な形態で保持することを可能にしながら、安全に格納された形態にコンテンツを保持するが、そのプログラムの暗号化された実行部分のいずれもを遷移的に復号化する（そのプログラムのすべてあるいは一部が、プログラムを安全化するために暗号化され得る）こと。
【００９０】
一般的に、本発明の抽出特徴によって、安全なＶＤＥケーパビリティを維持しつつ、従って、様々なコンテンツ使用プロセス後にそのコンテンツ情報においてプロバイダの権利を保護しつつ、コンテンツコンテナ供給源から抽出された保護下の電子コンテンツ情報をユーザが集合させ、および／または配信し、および／または使用することが可能になる。
！　ＶＤＥによって制御されたコンテンツの部分の集合をサポートする。このような部分は、異なるＶＤＥコンテンツコンテナ制御情報を受ける。様々なこの部分は、集合を行うユーザとは遠隔の１つ以上の異なる位置から独立して異なるコンテンツプロバイダによって提供され得る。本発明の好ましい実施の形態において、このような集合は、例えば、全ＶＤＥコンテンツコンテナ内にＶＤＥコンテンツコンテナオブジェクトとしてそのような部分の一部あるいはすべてを個別に埋め込むことおよび／またはそのような部分の一部あるいはすべてをＶＤＥコンテンツコンテナに直接埋め込むことによって、その様々な部分の各々について制御情報（例えば、ロードモジュールなどの実行可能なコード）の少なくとも一部を保護することを含み得る。後者の場合では、このコンテンツコンテナのコンテンツ制御情報は、集合前のこの部分の元の制御情報要件に基づいて様々なそのような部分に異なる制御セットを与え得る。そのような埋込みＶＤＥコンテンツコンテナの各々は、１つ以上のパーミッション記録の形態でそれ自体の制御情報を有し得る。あるいは、電子コンテンツの様々な集合された部分と関連づけられる制御情報間のネゴシエーションによって、集合されたコンテンツ部分の一部あるいはすべてを管理する制御情報セットが生成され得る。ネゴシエーションによって生じるＶＤＥコンテンツ制御情報は均一であっても（同一ロードモジュールおよび／またはコンポーネントアセンブリを有するなど）、および／または異なる計量、予算作成、課金および／または支払いモデルなどのＶＤＥ制御コンテンツの集合を構成する２つ以上の部分に異なるそのようなコンテンツ制御情報を与えてもよい。例えば、コンテンツ使用支払いは、情報交換所を介してあるいは直接に、異なる部分について異なるコンテンツプロバイダに行われ得る。
！　電子コンテンツおよび／または電子機器の使用に関連する情報のフレキシブルな計量あるいは他の収集を可能にする。本発明の特徴は、計量制御メカニズムが以下の同時の広いアレイを含むことを可能にする。（ａ）電子情報コンテンツ使用に関連する異なるパラメータ、（ｂ）異なるインクリメントユニット（バイト、文書、プロバティ、パラグラフ、イメージなど）および／またはそのような電子コンテンツの他の編成、および／または（ｃ）クライアント組織、部署、プロジェクト、ネットワーク、および／または個人ユーザなどの、ユーザの異なるカテゴリーおよび／またはＶＤＥインストレーションタイプ。本発明の特徴は、コンテンツセキュリティ、使用分析（例えば、市場観測）、および／または使用および／またはＶＤＥ管理コンテンツへの露出に基づく補償のために用いられ得る。そのような計量は、コンテンツ使用料、ライセンス取得、購入、および／または広告に対する支払いを保証するためのフレキシブルな基礎である。本発明の特徴によって、電子通貨およびクレジットの使用に関連する情報を反映する監査追跡を安全に維持する能力を含む、フレキシブルなそのような通貨およびクレジットのメカニズムをサポートする支払い手段が提供される。ＶＤＥは、クラインアント組織制御情報の複数の異なる階層をサポートし、ここで、組織クラインアント管理者は、部署、ユーザおよび／またはプロジェクトの使用権を指定する制御情報を配布する。同様に、部署（部門）ネットワークマネージャは、部署ネットワーク、プロジェクトおよび／またはユーザなどのための配布者（予算作成、アクセス権など）として機能し得る。
！　安価な消費者（例えば、テレビセットトップ機器）および専門機械（および手のひらサイズのＰＤＡ）からサーバ、メインフレーム、通信スイッチなどにわたる電子機器上で使用するための規模可変（ｓｃａｌａｂｌｅ）で統合可能な標準化された制御手段を提供する。本発明の規模可変な取引管理／監査技術によって、電子商取引および／またはデータセキュリティ環境において機能する装置間でのより効率的で信頼性のある相互動作性が得られる。標準化された物理的コンテナが、世界中への物理的商品の出荷に必要不可欠になり、これらの物理的コンテナが積み下ろし機器に普遍的に「適合」し、トラックおよび列車の空間を有効に用い、効率的にオブジェクトの公知のアレイ（例えば、箱）を収容することが可能になると、ＶＤＥ電子コンテンツコンテナは、本発明によって提供されるように、電子情報コンテンツ（商業的に発行されたプロパティ、電子通貨およびクレジットおよびコンテンツ監査情報）および関連づけられたコンテンツ制御情報を効率的に世界中に移動させることが可能になる。相互動作性は、効率的な電子商取引の基礎である。ＶＤＥ基礎、ＶＤＥロードモジュール、およびＶＤＥコンテナの設計は、ＶＤＥノード動作環境を、非常に広範な電子機器と互換性を有させる重要な特徴である。例えば、ロードモジュールに基づくコントロールメソッドを、非常に小さい読み出し／書込みメモリを有する環境などの非常に「小型の」および安価な安全なサブシステム環境において実行し、同時により高価な電子機器において実行し得る能力は、多くの機械にわたって一貫性をサポートする。その制御構造およびコンテナアーキテクチャを含むこの一貫したＶＤＥ動作環境によって、幅広い装置タイプおよびホスト動作環境にわたって標準化されたＶＤＥコンテンツコンテナの使用を可能にする。ＶＤＥケーパビリティは、電子機器およびホスト動作システムの基本的なケーパビリティに対する拡張、付加および／または改変として継ぎ目なく統合され得るので、ＶＤＥコンテナ、コンテンツ制御情報およびＶＤＥ基礎は、多くの装置タイプと共に作動することが可能であり、これらの装置タイプは一貫しておよび効率的にＶＤＥ制御情報を翻訳および実施することができる。この統合化を介してユーザは、ＶＤＥの多くのケーパビリティとのトランスペアレントな相互作用からの利益を得ることができる。ホスト電子機器上で動作するソフトウェアとのＶＤＥ統合化は、そのような統合がなければ利用不可能であるかあるいは安全性が低い様々なケーパビリティをサポートする。１つ以上の装置アプリケーションおよび／または装置動作環境との統合化を介して、本発明の多くのケーパビリティが与えられた電子機器、オペレーティングシステムあるいは機器アプリケーションの本質的なケーパビリティとして提示され得る。例えば、本発明の特徴は、（ａ）ホストオペレーティングシステムが安全な取引処理および電子情報格納を可能にするなどのＶＤＥケーパビリティを所有するように、ホストオペレーティングシステムを一部拡張および／または改変するためのＶＤＥシステムソフトウェア、（ｂ）ＶＤＥ動作と関連づけられるツールを一部表す１つ以上のアプリケーションプリグラム、および／または（ｃ）アプリケーションプログラムに組み込まれるコードであって、そのようなコードはＶＤＥケーパビリティを統合するためにリファレンスをＶＤＥシステムソフトウェアに組み込み、そのようなアプリケーションをＶＤＥ認識にする（例えば、ワードプロセッサ、データベース検索アプリケーション、スプレッドシート、マルチメディアプレゼンテーションオーサリングツール、映画編集ソフトウェア、ＭＩＤＩアプリケーションなどの音楽編集ソフトウェア、ＣＡＤ／ＣＡＭ環境およびＮＣＭソフトウェアなどに関連づけれたものなどのロボット制御システム、電子メールシステム、電子会議ソフトウェア、および他のデータのオーサリング、生成、取扱い、および／または上記の組み合わせを含む使用アプリケーション）。これらの一つ以上の特徴（ファームウェアあるいはハードウェアにおいても実施され得る）は、マイクロコントローラ、マイクロプロセッサ、他のＣＰＵまたは他のディジタル処理論理などのＶＤＥノード安全なハードウェア処理ケーパビリティと共に用いられ得る。
！　通常はネットワークベースの取引処理再調停（ｒｅｃｏｎｃｉｌｉａｔｉｏｎ）およびしきい値チェック活動を介して、ＶＤＥ構成のセキュリティのある侵害が生じたかを評価する監査再調停および使用パターン評価プロセスを用いる。これらのプロセスは、例えば、与えられたＶＤＥインストレーションによって電子プロパティについて例えば、購入および／または要求を評価することによってＶＤＥ制御されたコンテンツエンドユーザＶＤＥ位置に遠隔に行われる。そのような調停活動のためのアプリケーションは、遠隔に配達されたＶＤＥ制御されたコンテンツの量がそのようなコンテンツの使用のために用いられる金融クレジットおよび／または電子通貨の量に対応するかの評価を含む。信頼できる組織は、与えられたＶＤＥインストレーションおよび／またはユーザに与えられたコンテンツのコストに関してコンテンツプロバイダから情報を獲得し、このコンテンツのコストをそのインストレーションおよび／またはユーザのクレジットおよび／または電子通貨支出と比較する。支出量に対する配送されたコンテンツ量における非一貫性は、状況に応じて、遠隔ＶＤＥインストレーションが少なくともある程度侵犯されたか（例えば、１つ以上の鍵を暴露することによって安全なサブシステムおよび／またはＶＤＥ制御されたコンテンツの少なくとも一部の暗号を解読するなどの、ある重要なシステムセキュリティ機能）を証明および／または示し得る。コンテンツ使用の不規則なパターン（例えば、非常に高い要求）、または１つ以上のＶＤＥインストレーションおよび／またはユーザ（例えば、疑わしい使用の集合パターンを有する、関連するユーザのグループを含む）は、そのような１つ以上のインストレーションにおけるおよび／またはそのような１人以上のユーザによるセキュリティが、特に、１つ以上のＶＤＥユーザおよび／またはインストレーションに与えられる電子クレジットおよび／または通貨の判断と組み合わせられて用いられたときに、そのようなユーザおよび／またはインストレーションによって行われる支出と比較すると、それらのクレジットおよび／または通貨供給者の一部あるいは全体によって侵犯されたかの判定にも有用であり得る。
！　システムの統合性を「壊す」ために必要な時間を物質的に増加させるセキュリティ技術をサポートする。これは、本発明のセキュリティ特性のいくつかの面を含むことから生じる損害を最小化する技術の集まりを用いることを含む。
！　本発明の信頼できる／安全な、世界規模の分散型の取引制御および管理システムのコンポーネントを含む、オーサリング、管理上、報告、支払いおよび課金ツールユーザアプロケーションの集合を提供すること。これらのコンポーネントは、ＶＤＥに関連する、オブジェクト生成（制御情報をコンテンツ上に配置することを含む）、安全なオブジェクト配布および管理（配布制御情報、金融関連および他の使用分析を含む）、クライアント内部ＶＤＥ活動管理および制御、セキュリティ管理、ユーザインタフェース、支払い支出、および情報交換所関連機能をサポートする。これらのコンポーネントは、非常に安全で、均一かつ一貫し標準化された、処理、報告および／または支払いの電子商取引および／またはデータセキュリティ経路、コンテンツ制御および管理、および人的ファクタ（例えば、ユーザインタフェース）をサポートするように設計されている。
！　例えば、使用情報管理を含むＶＤＥ構成の組織の使用における補助を行うために大型組織においてクライアント管理者によって行われる活動などの、金融およびユーザ情報交換所活動、およびクライアント管理者によって提出される情報を制御するために一連の制御情報に供されるクライアント人員のあるグループおよび／または個人のためのＶＤＥ下で利用可能な予算および使用権の特徴を指定するなどの、雇用人個人あるいはグループによるＶＤＥ活動の制御を含む、複数の情報交換所の動作をサポートする。情報交換所では、１つ以上のＶＤＥインストレーションが、信頼できる分散データベース環境（同時データベース処理手段を含み得る）と共に動作し得る。金融情報交換所は、通常、その位置で安全に配送されたコンテンツ使用情報およびユーザ要求（別のクレジット、電子通貨および／またはより高いクレジット制限など）を受け取る。使用情報およびユーザ要求の報告は、電子通貨、課金、支払いおよびクレジット関連活動、および／またはユーザプロファイル分析および／またはより広い市場観測分析をサポートするため、および（統合された）リスト生成あるいは、少なくとも一部が上記の使用情報から得られる他の情報のマーケティングのために用いられ得る。この情報は、ＶＤＥインストレーション安全サブシステムに安全な認証された暗号化通信を介して、コンテンツプロバイダあるいは他のパーティに与えられ得る。情報交換所処理手段は、通常は、情報交換手段と他のＶＤＥ経路参加者との間の安全な通信のために用いられ得る高速遠隔通信切替手段を含み得る特殊化されたＩ／Ｏ手段に接続される。
！　電子通貨およびクレジット使用制御、格納およびＶＤＥインストレーションにおけるおよびＶＤＥインストレーション間の通信を安全にサポートする。ＶＤＥはさらに、支払い経路を介する支払いトークン（電子通貨またはクレジットの形態でのような）あるいは他の支払い情報を含む、電子通貨および／またはクレジット情報の自動化された通過をサポートし、この経路は、コンテンツ使用情報報告経路と同じであっても同じでなくてもよい。このような支払いは、ＶＤＥ制御電子コンテンツおよび／または機器の使用から生じる所有された量に基づく電子クレジットまたは通貨アカウントからのクレジットまたは電子通貨の「引き出し」を規定する制御情報に応答してＶＤＥインストレーションによって自動的に生成されたＶＤＥコンテナ中に配置され得る。そして、支払いクレジットまたは通貨は、ＶＤＥコンテナの遠隔通信を介して、情報交換所、元のプロパティコンテンツまたは機器のためのプロバイダ、またはそのようなプロバイダ（情報交換所以外）のためのエージェントなどの適切なパーティと自動的に通信し得る。支払い情報は、計量情報などの関連するコンテンツ使用情報を有するあるいは有さない上記のＶＤＥコンテンツコンテナ中にパッケージされ得る。本発明の一つの局面によって、通過使用に関するある情報を、ある、一部のあるいはすべてのＶＤＥパーティ（「条件付きで」完全に匿名の通貨）に利用不可能であるものとして指定することを可能にし、および／または、通貨および／またはクレジット使用関連情報（および／または電子情報使用データ）などのあるコンテンツ情報を、裁判所の命令（「条件付きで」匿名の情報に安全にアクセスするために必要であり得る裁判所により制御されるＶＤＥインストレーションの使用を介する承認をそれ自体が必要とし得る）などのある厳しい条件下のみで利用可能にするように規制し得る。通貨およびクレジット情報は、本発明の好ましい実施の形態では、管理上のコンテンツとして扱われる。
！　本発明により保護下のコンテンツが（表示され、印刷され、通信され、抽出され、および／または保存された）ＶＤＥオブジェクトから明確な形態で放出されると、ユーザの身分を表す情報および／またはコンテンツを明確な形態に変形させる責任を負うＶＤＥインストレーションが放出されたコンテンツの中に埋めこまれるように、コンテンツへの埋込みのための指紋刻印（透かし模様としても知られる）をサポートする。指紋刻印は、ＶＤＥコンテナから明確な形態で情報を抽出した人、あるいはＶＤＥオブジェクトのコピーあるいはそのコンテンツの一部を作成した人を識別する能力の提供に有用である。ユーザの識別および／または他の識別情報は不明瞭に、あるいは概して隠匿されてＶＤＥコンテナコンテンツおよび／または制御情報に埋め込まれ得るので、潜在的な著作権侵害者が非承認抽出あるいはコピーを行うことを防止し得る。指紋は暗号化されたコンテンツに埋め込まれ、後に、指紋情報を有する暗号化されたコンテンツが復号化されると安全なＶＤＥインストレーションサブシステム中の非暗号化コンテンツ中に配置され得るが、指紋は、通常、非暗号化電子コンテンツあるいは制御情報に埋め込まれる。ＶＤＥコンテナのコンテンツなどの電子情報は、受け取りを行うパーティに向けたネットワーク（インターネットなど）位置を離れるので、指紋刻印がされ得る。そのような格納場所情報は、通信の前には非暗号化形態で維持され、格納場所を離れるときに暗号化され得る。指紋刻印は、好ましくは、コンテンツが格納場所を離れるときに、暗号化ステップの前に生じ得る。暗号化された格納場所コンテンツは、例えば、安全なＶＤＥサブシステム中で復号化され、指紋情報が挿入され、次いで、コンテンツは伝送のために再暗号化され得る。意図された受取人ユーザの識別情報および／またはＶＤＥインストレーションを、コンテンツが、例えば、インターネット格納場所から離れるときにコンテンツに埋め込むことによって、ＶＤＥインストレーションあるいは配送されたコンテンツのセキュリティの侵犯を管理したいずれものパーティを識別あるいはその識別の補助をする重要な情報を提供する。承認された明確な形態のコピーの非承認コピーの作成を含む、ＶＤＥ制御コンテンツの承認された明確な形態のコピーをパーティが作る場合は、指紋情報は、個人および／またはその個人のＶＤＥインストレーションを再び指し示す。そのような隠された情報は、潜在的なコンテンツ「侵害」の大半の部分に他のパーティの電子情報を盗むことを行わせなくすべきである、行動を妨げる強力な行為として働く。受け取りを行うパーティおよび／またはＶＤＥインストレーションを認識する指紋情報は、ＶＤＥコンテンツオブジェクトの復号化、複製あるいは受取者への通信の前あるいは間に、ＶＤＥオブジェクトに埋め込まれ得る。消費者あるいは他のユーザへの移動のために電子情報を暗号化する前に電子情報の指紋刻印は、非暗号化形態で配布されたあるいは利用可能にされ得るあるコンテンツを受け取った人を識別するために非常に有用であり得る情報を提供する。この情報は、ＶＤＥインストレーションのセキュリティを「破り」得、非合法的にある電子情報を他人に利用可能にした人の追跡に有用である、指紋刻印によって、上記のコンテンツ情報の放出（例えば、抽出）時間および／または日などの、付加的な利用可能な情報を提供し得る。指紋を挿入するための位置は、ＶＤＥインストレーションおよび／またはコンテンツコンテナ制御情報によって指定され得る。この情報は、１つ以上のある情報フィールドあるいは情報タイプなどの、プロパティ内のある領域および／または正確な位置が、指紋刻印のために用いられるべきであることを指定し得る。指紋情報は、色周波数および／またはある画像画素の輝度を通常は検出不可能に改変することによって、周波数に関してある音声信号をわずかに改変することによって、フォント文字形成を改変することなどによってプロパティに組み込まれ得る。指紋情報自体は、不正改変された指紋を有効であると解釈することを特に困難にするように暗号化されるべきである。同一プロパティの異なるコピーのための指紋位置の変化、「偽の」指紋情報、および特定のプロパティあるいは他のコンテンツ内の指紋情報の複数のコピーであって、情報配布パターン、周波数および／または輝度加工および暗号化関連技術などの異なる指紋刻印技術を用いるコピーは、非承認個人が、指紋位置を識別し、指紋情報を消去および／または改変することをさらに困難にするための本発明の特徴である。
！　予算作成、承認、クレジットまたは通貨、およびコンテンツを含む要求、データ、および／またはメソッドを運搬し得るスマートオブジェクトエージェントを提供する。例えば、スマートオブジェクトは、遠隔情報リソース位置へおよび／またはから移動し、電子情報コンテンツについての要求を満たし得る。スマートオブジェクトは、例えば、遠隔位置に伝達され、それによってユーザを代表して指定されたデータベース検索を行うか、あるいはユーザが望む情報についての情報の１つ以上の格納場所を「知的に」遠隔に検索する。例えば、１つ以上のデータベース検索を行うことによって、１つ以上の遠隔位置で所望の情報を識別した後は、スマートオブジェクトは、検索された情報を含む安全な「リターンオブジェクト」の形態で通信を介してユーザに戻り得る。ユーザは、情報の遠隔検索、ユーザのＶＤＥインストレーションへの情報の帰還、および／またはそのような情報の使用に対して課金され得る。後者の場合では、ユーザは、ユーザが実際に使用するリターンオブジェクトにおける情報についてのみ課金され得る。スマートオブジェクトは、１つ以上のサービスおよび／またはリソースの使用を要求する手段を有し得る。サービスは、他のサービスおよび／または情報リソースなどのリソースの配置、言語またはフォーマット変換、処理、クレジット（あるいは付加的なクレジット）承認などを含む。リソースは、参照データベース、ネットワーク、高電力あるいは特殊化演算リソース（スマートオブジェクトは、他のコンピュータに情報を運搬し、それによって情報を効率的に処理し、次いで情報を送り出しＶＤＥインストレーションに戻し得る）、遠隔オブジェクト格納場所などを含む。スマートオブジェクトは、実際使用された情報および／またはリソースに基づいてユーザに課金を行うための安全な手段を提供すると同時に、遠隔リソース（例えば、集中データベース、スーパーコンピュータなど）を効率的に使用させ得る。
！　ＶＤＥ電子契約エレメントの近代言語印刷契約エレメント（英語の契約など）への「翻訳」および電子権利保護／取引管理近代言語契約エレメントの電子ＶＤＥ契約エレメントへの翻訳の両方をサポートする。この特徴は、ＶＤＥロードモジュールおよび／またはメソッドおよび／またはコンポーネントアセンブリに対応するテキスト言語のライブラリの維持を必要とする。ＶＤＥメソッドがＶＤＥ契約について提案および／または用いられるので、テキスト用語および条件のリストは、好ましい実施の形態において、格納され、上記のメソッドおよび／またはアセンブリに対応する句、文、および／または段落を提供するＶＤＥユーザアプリケーションによって生成され得る。この特徴は、好ましくは、法律的あるいは記述的文書の一部あるいはすべてを構成するように選択されたメソッドおよび／またはアセンブリに対応するライブラリエレメント間の適切な順序および関係を、分析および自動的に決定するおよび／または１人以上のユーザの決定を補助するための人工知能ケーパビリティを用いる。１人以上のユーザおよび／または好ましくは法定代理人（文書が法的な拘束力のある契約である場合）、完成時に作成された文書資料を再検討し、そのような付加的なテキスト情報および／または契約の非電子取引エレメントを記載し、必要であり得る他のいずれもの改善を行うために必要であるような編集を用いる。これらの特徴はさらに、一人以上のユーザが選択肢から選択を行い、質問に答えを与え、そのようなプロセスからＶＤＥ電子契約を生じさせることを可能にする近代言語ツールの使用をサポートする。このプロセスはインタラクティブであり、ＶＤＥ契約公式化プロセスは、応答から学習し、また、適切でありその応答に少なくとも一部が基づく場合、所望のＶＤＥ電子契約を「発展」させるさらなる選択肢および／または質問を提供する、人工知能エキスパートシステム技術を用い得る。
！　単一のＶＤＥインストレーションにおける複数のＶＤＥ安全サブシステムの使用をサポートする。様々なセキュリティおよび／または性能の利点は、分散型のＶＤＥ設計を単一のＶＤＥインストレーション内で用いることによって実現され得る。例えば、ハードウェアベースのＶＤＥ安全サブシステムを電子機器ＶＤＥディスプレイ装置内に設計すること、および表示点にできるだけ近づくようにディスプレイ装置とサブシステムとの統合化を設計することによって、ビデオシステム外部から内部へ移動するに従って復号化されたビデオ情報を「盗む」ことを物質的により困難にし、それによって、ビデオ材料に対するセキュリティが増す。理想的には、例えば、ＶＤＥ安全ハードウェアモジュールは、ビデオモニタあるいは他の表示装置のパッケージ内にあるように、実際の表示モニタと同じ物理的パッケージ内にあり、そのような装置は、商業的に実用可能な範囲で合理的に不正改変不可能なものとして設計される。別の実施例において、ＶＤＥハードウェアモジュールのＩ／Ｏ周辺装置への埋め込みは、システムスループット全体の見地からある利点を有し得る。複数のＶＤＥ例が同一のＶＤＥインストレーション内で用いられる場合、ＶＤＥ例が同一の大容量記憶装置上におよび同一のＶＤＥ管理データベース内にある制御情報およびコンテンツおよび／または機器使用情報を格納するなどのように、これらの例は理想的には実用的な程度にまでリソースを共有する。
！　予算の枯渇および鍵の経時エージング（ｔｉｍｅ　ａｇｅｉｎｇ）の使用によって報告および支払いコンプライアンスを要求する。例えば、ＶＤＥ商業的構成および関連づけられるコンテンツ制御情報は、コンテンツプロバイダのコンテンツおよびそのコンテンツのエンドユーザ使用に対する支払いのための情報交換所クレジットの使用を伴い得る。この構成に関する制御情報は、（そのコンテンツの）ユーザのＶＤＥインストレーションおよびその金融情報交換所のＶＤＥインストレーションに配送され得る。この制御情報は、ある形態のコンテンツ使用ベース情報、および電子クレジット（そのようなクレジットは、受け取り後にプロバイダによって「所有」され、電子通貨の利用可能性および妥当性の代わりに用いられ得る）および／または電子通貨の形態のコンテンツ使用支払いの両方を、上記の情報交換所が準備し、コンテンツプロバイダに遠隔通信することを必要とする。情報および支払いのこの配達は、安全に、およびいくつかの実施の形態においては自動的に、上記の制御情報によって指定される方法で提供するために、信頼できるＶＤＥインストレーション安全サブシステムを用い得る。本発明の特徴によって、そのような使用情報および支払いコンテンツの情報交換所の報告が見られ得るという要件を保証し得る。例えば、ＶＤＥ電子契約への１人の参加者がそのような情報報告および／または支払い義務を見ることができない場合、別の参加者は、法律侵犯パーティのそのような契約に関連するＶＤＥ活動への参加を停止し得る。例えば、要求される使用情報および支払いがコンテンツ制御情報によって指定されるように報告されない場合、「傷ついた（ｉｎｊｕｒｅｄ）」パーティは、そのＶＤＥインストレーション安全サブシステムから安全に通信できないことによって、一連の１つ以上の重大なプロセスに必要な機密情報の１つ以上の部分を提供し得ない。例えば、情報交換所からコンテンツプロバイダに情報および／または支払いを報告できない（ならびにいずれものセキュリティ欠陥または他の妨害的な不正行為がある）と、コンテンツプロバイダは情報交換所に鍵および／または予算リフレッシュ情報を与え得ない。この情報は、プロバイダのコンテンツの使用についての情報交換所のクレジットの使用を承認するために必要になり得、この情報交換所は、情報交換所とエンドユーザとの間のコンテンツ使用報告通信間にエンドユーザと通信する。別の実施例として、支払いおよび／またはコンテンツプロバイダへの使用情報の報告を行えなかった配布者は、ユーザにコンテンツプロバイダのコンテンツを配布するためにパーミッション記録を作成するための予算および／またはプロバイダのコンテンツのユーザの使用の一つ以上の他の側面を制限するセキュリティ予算は、一旦消耗されるまたは一次中止になると（例えば、所定の日付に）、コンテンツプロバイダによってリフレッシュされないことを見出し得る。これらのおよび他の場合においては、違反したパーティは「エージアウト（ａｇｅｄ　ｏｕｔ）」した経時エージング鍵をリフレッシュしないことを決定し得る。そのような経時エージング鍵の使用は、予算および経時エイジング承認をリフレッシュし得ないので、同様の影響を有する。
！　安全なクレジット、銀行、および／または金銭カードとして用いられ得るカードを含む、携帯電子機器の形態で本発明のスマートカード実施をサポートする。本発明の特徴は、小売りおよび他の制度で取引カードとしての携帯ＶＤＥの使用である。ここで、そのようなカードは、ＶＤＥ安全サブシステムおよび／またはＶＤＥ安全および／または、「信頼できる」金融情報交換所（例えば、ＶＩＳＡ、Ｍａｓｔｅｒｃａｒｄ）などの安全な互換性のあるサブシステムを有する秩序端末と「接続（ｄｏｃｋ）」し得る。クレジットおよび／または電子通貨が商人および／または情報交換所に転送され、取引情報がカードに再び流れる状態で、ＶＤＥカードおよび端末（および／またはオンライン接続）は取引に関連する情報を安全に交換し得る。このようなカードは、すべての種類の取引活動のために用いられ得る。パーソナルコンピュータなどの電子機器上のＰＣＭＣＩＡコネクタなどのドッキングステーションは、家で消費者のＶＤＥカードを受け取り得る。そのようなステーション／カードの組み合わせは、そのような電子機器において永続的にインストールされるＶＤＥインストレーションと同じ方法で、オンライン取引のために用いられ得る。カードは「電子財布」として用いられ、電子通貨および情報交換所によって供給されるクレジットを含む。カードは、ホームバンキング活動を含む（すべてではないにせよ）多くの商業、銀行業務およびオンライン金融取引に関する消費者の金融活動のための収束点として働き得る。消費者は、オンライン接続を介して、給料支払い小切手および／または投資収入および／またはそのような受け取りに関する「信頼のおける」ＶＤＥコンテンツコンテナに安全化された詳細情報を受け取り得る。ユーザは、ＶＤＥ構成を用いて他のパーティにディジタル通貨を送り得、これはそのような通貨を与えることを含む。ＶＤＥカードは、金融的に関連する情報が合併され、かつ非常に容易に検索および／または分析されるように、非常に安全かつデータベースによって組織化された方法で取引の詳細を保持し得る。効率的な暗号化、認証、ディジタル署名、および安全なデータベース構造を含むＶＤＥセキュリティがあるために、ＶＤＥカード構造内に含まれる記録は、管理のための有効な取引記録および／または一体の記録保護要件として許容され得る。本発明のいくつかの実施の形態において、ＶＤＥカードは、ドッキングステーションおよび／または電子機器記憶手段を使用および／または上記の機器に遠隔なおよび／またはネットワークを介して利用可能な他のＶＤＥ構成手段を共有して、例えば、日付をつけたおよび／または保管されたバックアップ情報を格納することによって、ＶＤＥカードの情報格納容量を増加させる。個人の金融活動の一部あるいはすべてに関連する税金は、安全に格納され上記のＶＤＥカードに利用可能な「信頼のおける」情報に基づいて、自動的に演算され得る。上記の情報は、上記のカード、上記のドッキングステーション、上記の関連づけられた電子機器、および／またはそれらに動作可能に取り付けられた、および／または遠隔サーバサイトなどに遠隔に取り付けられた他の装置に格納され得る。カードのデータ、例えば、取引履歴は、個人のパーソナルコンピュータあるいは他の電子機器にバックアップされ得、そのような機器は、それ自体の統合化されたＶＤＥインストレーションを有し得る。現在の取引、最近の取引（リダンダンシーのため）、あるいはすべてのまたは他の選択されたカードデータは、ユーザ／商人取引などの金融取引および／または情報通信のための各々のまたは周期的なドッキングの間に、金融情報交換所のＶＤＥ互換格納場所などの遠隔バッアップ格納場所にバックアップされ得る。取引情報を遠隔情報交換所および／または銀行に輸送することによって、別のパーティのＶＤＥインストレーション（例えば、金融あるいは汎用電子ネットワーク上のＶＤＥインストレーション）との接続の間に少なくとも現在の取引をバックアップすることは、カード不良または紛失の場合にＶＤＥカード内部情報の完全な再構築を可能にするために十分なバックアップが行われることを保証し得る。
！　仕様プロトコルが他のＶＤＥ構成および／またはインストレーションから許容不可能に偏差しているＶＤＥ構成および／またはインストレーションが、セキュリティ（ＶＤＥ安全化情報の統合性および／または安全性）、プロセス制御、および／またはソフトウェア互換性の問題を導入し得るように相互動作することを防止するように、様々なＶＤＥインストレーション間の承認された相互動作性を保証する証明プロセスをサポートする。証明は、ＶＤＥインストレーションの識別および／またはそれらのコンポーネント、ならびにＶＤＥユーザの有効性を示す。証明データは、ＶＤＥサイトに関連する撤退、あるいは他の変更の決定に寄与する情報となり得る。
！　イベントベースの（イベントによってトリガされる）メソッド制御メカニズムの使用による、基本的取引制御プロセスの分離をサポートする。これらのイベントメソッドは、１つ以上の他のＶＤＥメソッド（安全なＶＤＥサブシステムに有効である）をトリガし、ＶＤＥによって管理された取引に関連する処理を実行するために用いられる。これらのトリガされたメソッドは、独立して（別々に）および安全に処理可能なコンポーネント課金管理メソッド、予算作成管理メソッド、計量管理メソッド、および関連する監査管理プロセスを含む。本発明がこの特徴、すなわち計量、監査、課金および予算作成メソッドの独立したトリガ、を有する結果、本発明は、複数の金融通貨（例えば、ドル、マルク、円）およびコンテンツに関連する予算、および／または課金インクリメントならびに非常にフレキシブルなコンテンツ配布モデルを効率的に並行してサポートすることができる。
！（１）コンテンツイベントトリガ、（２）監査、（３）予算作成（使用権がないことあるいは使用権に制限がないことの指定を含む）、（４）課金、および（５）ユーザアイデンティティ（ＶＤＥインストレーション、クライアントの名前、部署、ネットワーク、および／またはユーザなど）に関連する制御構造の完全なモジュラー分離をサポートする。これらのＶＤＥ制御構造が独立していることによって、これらの構成の２つ以上の間の複数の関係を可能にするフレキシブルなシステム、例えば、金融予算を異なるイベントトリガ構造（その論理的部分に基づくコンテンツの制御を可能にするために適切な場所に配置される）と関連づける能力を提供する。これらの基本ＶＤＥケーパビリティ間にそのような分離がなければ、別々の計量、課金、予算作成および識別、および／または、例えば、コンテンツ使用と関連づけられる料金支払い、ホームバンキングを行うこと、広告サービスを管理することなどの、計量、課金、予算作成およびユーザ識別のための同一の、異なる（重畳を含む）、または全く異なる部分を含む課金活動を効率的に維持することはより困難になる。これらの基本ケーバビリティのＶＤＥモジュラー分離は、１つまたは異なるコンテンツ部分（および／または部分ユニット）の間の複数の「任意の」関係のプログラミング、予算作成、監査および／または課金制御情報をサポートする。例えば、ＶＤＥ下では、一月に２００ドルまたは３００ドイツマルクの予算制限があるデータベースの復号化のために適用され、その復号化されたデータベースが記録される度に（ユーザが選択した通貨に依存して）２Ｕ．Ｓ．ドルまたは３ドイツマルクが請求され得る。そのような使用は計量され、ユーザプロファイル目的のための付加的な監査が準備され、各ファイルされ表示されたアイデンティティを記録し得る。さらに、さらなる計量が、復号化されたデータベースバイト数に関して行われ得る。また、関連するセキュリティ予算によって、毎年そのデータベースの全バイトの５％を越える復号化を防止し得る。また、ユーザは、ＶＤＥ下で（上位の制御情報によって許可される場合）、異なる個人およびクライアント組織部署によってデータベースフィールドの使用を反映する監査情報を収集し得る。また、ユーザは、アクセスの異なる権利およびデータベースを制限する異なる予算が、これらのクライアント個人およびグループに適用され得ることを保証する。コンテンツプロバイダおよびユーザによるユーザ識別、計量、予算作成、および課金制御情報のそのような異なるセットの実際の使用は、一部は、そのような独立制御ケーパビリティの使用の結果として行われる。その結果、ＶＤＥは、同一の電子プロパティに適用される複数の制御モデル、異なるまたは完全に異なるコンテンツモデル（例えば、ホームバンキングに対する電子ショッピング）に適用される同一のおよび／または複数の制御モデルの形成において、高い構成性をサポートし得る。
メソッド、他の制御情報およびＶＤＥオブジェクト
ＶＤＥ管理プロパティ（データベース、文書、個人の商業的製品）の使用をひとまとめに制御するＶＤＥ制御情報（例えば、メソッド）は、コンテンツ自体と共に（例えば、コンテンツコンテナに入れられて）輸送されるか、および／またはそのような制御情報の一つ以上の部分が配布者および／または別々に配送可能な「管理上のオブジェクト」中の他のユーザに輸送される。プロパティのためのメソッドのサブセットは各プロパティと共に一部が配送され、メソッドの１つ以上の他のサブセットがユーザに別々に配送されるか、または使用のために利用可能に（遠隔通信手段によって遠隔に利用可能になるなどのように）され得る。要求されるメソッド（プロパティおよび／または機器使用に必要になるように列挙されたメソッド）は、ＶＤＥ制御コンテンツ（ＶＤＥコンテンツコンテナ内で配布される知的プロパティなど）が使用される場合に指定されるように利用可能であるべきである。コンテンツを制御するメソッドは、そのようなオブジェクトのクラスあるいは他のグループわけのような、複数のＶＤＥコンテナオブジェクトにあてはまり得る。また、そのようなパーティについてのあるユーザ、あるいはユーザのクラスおよび／またはＶＤＥインストレーションおよび／またはインストレーションのクラスによって、メソッドが１つ以上の特定的なオブジェクトあるいはオブジェクトのクラスを使用することが要求され得る。
【００９１】
本発明によって提供されるＶＤＥの特徴は、ＶＤＥインストレーションおよび／またはユーザがあるコンテンツの一部および／またはすべてを使用し得るようにするために必要になるように、ある一つ以上のメソッドが指定され得ることである。例えば、エンドユーザに復号化されたコンテンツを電子的にセーブすることを禁止するメソッドをあるタイプのコンテンツの配布者が必要とすることを、「上位の」参加者（例えば、コンテンツクリエータ）によって許可され、ＶＤＥ取引のためのクレジットのプロバイダは、電子購入の時間を記録する監査メソッドを必要とし、および／またはユーザは、使用行為の詳細に関する秘密の秘密情報を運ばないように情報交換所に報告するための使用情報（例えば、課金情報）を要約するメソッドを必要とし得る。
【００９２】
本発明によって提供されるＶＤＥのさらなる特徴は、コンテンツのクリエータ、配布者およびユーザが、コンテナコンテンツ使用および配布機能を制御するために予め定義されたメソッド（利用可能である場合）のセットから選択することができ、および／またはコンテンツのクリエータ、配布者およびユーザが、少なくとも一部の使用機能を制御するためのカスタマイズされた新しいメソッド（そのような「新しい」メソッドは、ＶＤＥインストレーションおよび／またはＶＤＥアプリケーションのグループへの信頼性および相互動作性について証明される必要があり得る）を提供する権利があり得る。その結果、ＶＤＥは、各プロパティまたはオブジェクト（または、所望のようにおよび／または適用可能なようにオブジェクトまたはプロパティの一つ以上の部分）の配布および他の使用がどのように制御されるかに関して非常に高い程度の構成性を提供する。コンテンツ制御情報のＶＤＥ経路における各ＶＤＥ参加者は、そのような制御情報が既に所定位置にある上位の制御情報と以下に関して対立しない限り、ＶＤＥコンテナ内のコンテンツの一部またはすべてのためのメソッドを設定し得る。
【００９３】
（１）ＶＤＥ管理コンテンツの一部またはすべて、
（２）ある一つ以上のＶＤＥユーザおよび／またはユーザのグループ、
（３）ある一つ以上のＶＤＥノードおよび／またはノードのグループ、および／または
（４）ある１つ以上のＶＤＥアプリケーションおよび／または構成。
【００９４】
例えば、あるコンテンツについてのコンテンツクリエータのＶＤＥ制御情報は、他の提出されたＶＤＥ参加者制御情報に対して優位になる。また、例えば、上位の制御情報が許可する場合、コンテンツ配布者の制御情報自体がクライアント管理者の制御情報に対して優位になり得、エンドユーザの制御情報に対して優位になり得る。そのような電子コンテンツ制御情報を設定する配布参加者の能力の経路は、ある制御情報（例えば、価格設定および／または販売日などの方法を介在するデータ）に限定されるか、あるいは、１つ以上の参加者の提案制御情報が、プロパティの取扱いのチェーンにおいて参加者によって前もって提出された、あるいは上記の参加者のＶＤＥ安全サブシステムにおいて管理される上位の制御情報によって設定される制御情報と対立する程度のみに制限され得る。
【００９５】
ＶＤＥ制御情報は、一部あるいは全てが、（ａ）ＶＤＥコンテンツ制御情報経路参加者によって所定位置に直接置かれた制御情報を表し、および／または（ｂ）電子コンテンツ（または電子機器）パーミッション記録情報（例えば、金融情報交換所あるいは行政機関を代表する参加者によって挿入された制御情報）を直接取り扱わないパーティを代表するそのような参加者によって所定位置に置かれた制御情報を含む。そのような制御情報メソッド（および／またはロードモジュールおよび／または介在するデータおよび／またはコンポーネントアセンブリ）は、提出された制御情報の１つ以上の部分の使用が既存の制御情報に組み込まれるか、および／または既存の制御情報の代わりになるか（および／またはインプレース制御情報との相互作用に基づいて別の制御情報の間で選択を行うか）およびどのような制御情報がどのように用いられ得るかを判断する電子自動化された、または半自動化され人間によって補助される制御情報（制御セット）ネゴシエーションプロセスによって、インプレースに配置され得る。
【００９６】
制御情報は、電子コンテンツ（および／または機器）および／またはそのようなコンテンツ（および／または機器）のための制御情報の取扱いに直接参加しないパーティによって提供され得る。そのような制御情報は、そのような直接に参加しない１つ以上のパーティのＶＤＥインストレーション安全サブシステムとＶＤＥコンテンツ制御情報参加者のＶＤＥインストレーション安全サブシステムの経路との間のＶＤＥインストレーション安全サブシステムによって管理された通信（例えば、少なくとも一部が暗号化された制御情報の配送者の認証を含む）を用いた安全な形態で提供され得る。この制御情報は、例えば、金融サービスプロバイダによって供給されるクレジットへのアクセス権、行政機関によって制定される規定または法律の施行、または顧客によって受け取られる使用情報の生成、取扱いおよび報告方法に関するＶＤＥによって管理されたコンテンツ使用情報（そのような顧客以外の１つ以上のパーティによってコンテンツの使用を反映する）の顧客の要件に関連し得る。そのような制御情報は、たとえば、電子商取引に関連した法律のような社会的用件を強要し得る。
【００９７】
ＶＤＥコンテンツ制御情報は、コンテンツの異なる経路および制御情報取扱い参加者に異なって与えられ得る。さらに、ＶＤＥ参加者がそのような行動をとることを許可された場合、パーミッション記録権利は、ＶＤＥ参加者によって付加、変化および／または取り除かれ得る。ＶＤＥ参加者の権利は、コンテンツおよび／またはコンテンツ制御情報（例えば、パーミッション記録）の取扱いのチェーンにおいて特定のパーティおよび／またはパーティのカテゴリーおよび／またはパーティの他のグループに関連して規定され得る。与えられた、資格のある単数のあるいは複数のパーティによって行われ得る制御情報の改変は、それらのパーティが行い得る改変の数、およびまたは改変の程度において制限され得る。
【００９８】
クリエータ、配布者、監査者、情報交換所、クライアント、管理者およびエンドユーザ（上記の分類の２つ以上が単一のユーザを記載し得ることを理解しつつ）の電子機器における少なくとも１つの安全なサブシステムは、（意図されたアプリケーションに対して）以下のための「十分に」安全な環境を提供する。
【００９９】
１．プロパティおよび制御情報の復号化、
２．制御および計量に関連する情報の格納、
３．通信の管理、
４．ＶＤＥ管理者の嗜好および要件の施行を含む、電子コンテンツおよび／または機器権利保護のための制御情報を構成するコア制御プログラムを、関連づけられたデータと共に処理すること。
【０１００】
通常、大半の使用、監査、報告、支払いおよび配布コントロールメソッド自体は、少なくとも一部が暗号化されたＶＤＥインストレーションの安全なサブシステムによって実行される。従って、例えば、安全なサブシステム内で課金および計量記録は安全に生成および更新され得、暗号化および復号化鍵は安全に利用される。ＶＤＥはまた、ＶＤＥ構成の参加者位置（ノード）安全サブシステム間に情報を通過させるとき、安全な（例えば、暗号化および認証された）通信を用いるので、ＶＤＥ電子契約の重要はコンポーネントが、意図された商業目的のために十分なセキュリティをもって（十分に信頼されて）信頼性をもって施行され得る。価値チェーンについてのＶＤＥ電子契約は、少なくとも一部が、価値チェーン参加者の１つ以上のサブセット間での１つ以上の副契約（ｓｕｂａｇｒｅｅｍｅｎｔ）からなり得る。これらの副契約は、ＶＤＥ参加者の権利の保護を保証する１つ以上の電子契約「コンプライアンス」エレメント（関連づけられたパラメータデータを含むメソッド）からなる。
【０１０１】
ＶＤＥ構成の信頼性の程度は、参加者位置安全サブシステムでハードウェアＳＰＵが用いられるかどうか、ＳＰＵハードウェアセキュリティアーキテクチャの有効性、ＳＰＵがソフトウェアにおいてエミュレートされるときのソフトウェアセキュリティ技術、およびコンテンツ、制御情報、通信およびＶＤＥノード（ＶＤＥインストレーション）安全サブシステムへのアクセスを安全に行うために用いられる暗号化アルゴリスムおよび鍵に主に依存する。物理的機能およびユーザ識別認証セキュリティ手順は、そのようなセキュリティ手順がユーザノードでハードウェアＳＰＵを用いるＶＤＥ構成との信頼できる相互動作性に十分なセキュリティを提供し得る、確立された金融情報交換所などのあるノードにおいてハードウェアＳＰＵの代わりに用いられ得る。
【０１０２】
新しいまたは改変された制御情報を収容するための、ＶＤＥ構成の各位置でのプロパティ管理ファイルの更新は、ＶＤＥ安全サブシステム中で、保護下のサブシステムによって実行されるプログラムを更新する安全な管理ファイルの制御下で行われる。すべての安全な通信の少なくとも一部は暗号化され、安全なサブシステム内の処理が外部の観察および妨害から隠匿されるので、コンテンツ制御情報が施行され得ることが本発明によって保証される。その結果、クリエータおよび／または配布者および／またはクライアント管理者および／または各プロパティについての安全な制御情報の他の寄与者（例えば、報告し得る監査情報の種類を限定するエンドユーザ、および／または配布されたコンテンツの使用についての支払いのためのそのクレジットの使用についてある基準を確立する金融情報交換所）は、それらの寄与され許容された制御情報が（与えられたＶＤＥセキュリティ実施設計のセキュリティ制限内で）施行されることを確信し得る。この制御情報は、例えば、以下を決定し得る。
【０１０３】
（１）どのようにおよび／または誰に電子コンテンツが提供されるか、例えば、どのように電子プロパティが配布され得るか、
（２）１つ以上のオブジェクトおよび／またはプロパティ、またはオブジェクトまたはプロパティの一部がどのように、直接使用、例えば、復号化、表示、印刷などされ得るか、
（３）そのようなコンテンツおよび／コンテンツの一部の使用に対する支払いが、どのように取扱いされ得るか、あるいはされなければならないか、および、
（４）プロパティの少なくとも一部に関連する使用情報について監査情報がどのように収集、報告および／または使用されるか。
【０１０４】
複数のパーティによって提出されたコンテンツ制御情報間の対立の解消を含む寄与された制御情報の上位性は、通常、以下によって確立される。
【０１０５】
（１）様々なパーティによってインプレースに制御情報が置かれるシーケンス（インプレース制御情報は、次に提出された制御情報に対して通常優位である）、
（２）ＶＤＥコンテンツおよび／または機器制御情報の特定詳細。例えば、インプレース制御情報は、１つ以上のパーティまたはパーティのクラスからの制御の１つ以上の次の部分のいずれが、１つ以上のさらに異なるパーティおよびパーティのクラスによって提出される制御情報に対して優位になるかを規定し得る、
（３）どの制御情報が、ＶＤＥ管理コンテンツの与えられた部分および／またはＶＤＥインストレーションについての結果として得られる制御情報セットを構成するかを確立する、複数のパーティからの制御情報セット間のネゴシエーション。
電子契約および権利保護
ＶＤＥの重要な特徴は、ＶＤＥが、本発明の使用によって実行される電子契約のためのセキュリティおよび権利保護の管理および適切さを保証するために用いられることである。そのような契約には、以下の一つ以上が関わり得る。
【０１０６】
（１）電子情報のクリエータ、出版社、および他の配布者、
（２）金融サービス（例えば、クレジット）プロバイダ、
（３）コンテンツ指定統計的情報およびユーザ指定記述情報などのコンテンツ使用から生じる情報の（サービスプロバイダ以外の）ユーザ。そのようなユーザは、市場分析、直接の指示された市場売買のための市場リストコンパイラ、および政府機関、
（４）コンテンツのエンドユーザ、
（５）それらのサービスおよび／または装置の使用に基づいて補償を受け取る遠隔通信会社およびハードウェア製造者（半導体および電子機器および／または他のコンピュータシステム製造者）などの下部構造サービスおよび装置プロバイダ、および
（６）電子情報によって記述されるあるパーティ、
を含み得る。
【０１０７】
ＶＤＥは、商業的に安全な「拡張」価値チェーン電子契約をサポートする。ＶＤＥは、この拡張された契約を含むパーティ間の様々な基礎を成す契約をサポートするように構成され得る。これらの契約は、以下を含む重要な電子商取引に考慮されるものを規定し得る。
【０１０８】
（１）セキュリティ、
（２）電子配布を含むコンテンツ使用制御、
（３）プライバシー（例えば、医学的、クレジット、税金、個人的および／または他の形態の秘密情報によって記述されるパーティに関する情報に関する）、
（４）金融プロセスの管理、
（５）電子コンテンツ、コンテンツおよび／または機器制御情報、電子コンテンツおよび／または機器使用情報および支払いおよび／またはクレジットのための取扱い経路。
【０１０９】
ＶＤＥ契約は、価値チェーンの２つ以上のパーティの電子商取引関係を規定し得るが、そのような契約は、ときどき、他のＶＤＥ価値チェーン参加者を直接強制し、あるいは直接巻き込み得ない。例えば、コンテンツクリエータと配布者との間の電子契約は、クリエータのコンテンツに対する（ＶＤＥコンテナオブジェクト中に配布されたプロパティに対してなどの）配布者への価格、およびこの配布者が与えられた期間にエンドユーザに配布し得るこのオブジェクトのコピーの数の両方を規定し得る。第２の契約において、コンテンツ使用のための配布者請求の受容およびクリエータの著作権を保持することに同意するなどの配布された商品を用いるためのある要件にエンドユーザが同意する第３者契約に、価値チェーンエンドユーザが関連し得る。第３の契約は、配布者と、エンドユーザが、エンドユーザにクレジットを拡張する情報交換所と直接別の（第４の）契約を有する場合は、製品についての支払いのための情報交換所のクレジットを使用することを配布者に可能にする金融情報交換所との間に存在し得る。第５の発展する契約は、コンテンツ制御情報が取扱いのそのチェーンに沿って通過するに従って、すべての価値チェーン参加者間で進展し得る。この発展する契約は、例えば、各パーティによって受け取られる情報の性質およびコンテンツ使用情報および関連する手順の取扱い経路を含む、コンテンツ使用情報に対するすべてのパーティの権利を確立し得る。本実施例における第６の契約は、すべてのパーティを契約に関係させ得、セキュリティ技術および信頼性の程度など（例えば、システムの商業的統合には、各ＶＤＥインストレーション安全サブシステムが、それらのＶＤＥノードがある相互動作要件を満たすことを電子的に保証することを必要とする）のある一般的な仮定を確定する。上記の例において、これらの６つの契約は、この商業価値チェーン例についての拡張された契約の契約を含む。
【０１１０】
ＶＤＥ契約は、既にインプレースである制御情報と相互作用する新たに提案されたコンテンツ制御情報間の、非常に単純なものから精巧な「ネゴシエーション」までを介して現在のおよび／または新しい参加者によって、および／または複数のパーティによって提出された、同時に提案されたコンテンツ制御情報間のネゴシエーションによって改変され得る発展する（「生きている」）電子契約構成をサポートする。与えられたモデルは、既存の上位の規則に従って経時的に非同期的に漸次改変され得る。そのような改変は、全てに、特定のコンテンツ、および／またはクラスおよび／または特定のユーザおよび／またはユーザノードに、および／またはこれらのクラスに適用され得る。コンテンツの与えられた部分は、そのコンテンツ制御情報の発展に依存して（および／または、異なる適用可能なＶＤＥインストレーションコンテンツ制御情報に依存して）異なる時間あるいは異なる取扱いに供され得る。制御情報の発展は、オブジェクトを含む１つ以上の制御情報に沿う通過の間に生じ得る。すなわち、制御情報は、改変が許容される限り、制御情報取扱いのチェーンに沿って１つ以上の点で改変され得る。その結果、ＶＤＥによって管理されるコンテンツは、コンテンツ取扱いのチェーンにおける異なる「位置」およびそのようなコンテンツの取扱いの異なるチェーンにおける同様の位置の両方において与えられる異なる制御情報を有し得る。また、制御情報のそのような異なるアプリケーションは、あるパーティあるいはパーティのグループが、別のパーティあるいはパーティのグループとは異なるコンテンツに供されることを指定するコンテンツ制御情報から得られ得る。例えば、コンテンツの与えられた部分についてのコンテンツ制御情報は上位情報として、従って、変更不可能な情報として規定され、コンテンツクリエータによってインプレースに置かれ、これらのコンテンツの与えられた部分の国内配布者は、コピーが　ｂｏｎｉ　ｆｉｄｅ　エンドユーザに供給される限り、３ヶ月毎に１０００００部のコピーを作成することが許可され得るが、そのようなコンテンツの単一のコピーのみを遠隔小売業者に受け渡し、制御情報は、そのような小売業者がエンドユーザへの小売りのためにコピーを毎月１０００部を越えずに作成することを制限することを規定し得る。さらに、そのようなコンテンツのエンドユーザは、同一のコンテンツ制御情報によってそのようなコンテンツの３部のコピーを作成するように制限され、３部のコピーの各々は、エンドユーザが用いる３つの異なるコンピュータ（１つは仕事場のデスクトップコンピュータ、１つは家でのデスクトップコンピュータ、もう一つは携帯用コンピュータ）用である。
【０１１１】
本発明の好ましい実施の形態によってサポートされる電子契約は、非常に単純なものから非常に精巧なものまで幅があり得る。これらの契約は、電子情報セキュリティ、使用管理、および通信を提供する非常に様々な情報管理モデル、および以下をサポートし得る。
【０１１２】
（ａ）　情報、例えば、商業リテラルな（ｌｉｔｅｒａｒｙ）プロパティの安全な電子配布、
（ｂ）　安全な電子情報使用モニタおよび報告、
（ｃ）　電子情報および／または機器使用および他の電子クレジットおよび／または通貨使用および管理ケーパビリティの両方に関連する安全な金融取引ケーパビリティ、
（ｄ）　ユーザが放出することを望まない使用情報のプライバシー保護、および、
（ｅ）　以下をフレキシブルに収容する「活動的」電子情報コンテンツ分散モデル、
（１）ある幅の参加者、
（２）コンテンツの取扱い、コンテンツおよび／または機器制御情報、コンテンツおよび／または機器使用関連情報の報告、および／または支払いのための１つ以上の経路（チェーン）、
（３）電子ネゴシエーションケーパビリティの使用を含むコンテンツ制御情報に組み込まれる約定および条件の発展のサポート、
（４）新しいコンテンツ集合体を形成するための複数の部分のコンテンツの組み合わせのサポート、および、
（５）　複数の並行モデル。
安全な処理ユニット
本発明によって提供されるＶＤＥの重要な部分は、各ユーザのコンピュータ、他の電子機器あるいはネットワークに代表的に存在しなければならない、本明細書においてＳＰＵと称されるコア安全取引制御構成である。ＳＰＵは、復号化鍵の生成、情報の暗号化および復号化、電子機器（すなわち、ＶＤＥインストレーション間および／または単一のＶＤＥインストレーション内の複数のＶＤＥインスタンスの間）の鍵および他の情報の安全な通信の管理、安全なおよび／非安全な不揮発性メモリ中の監査追跡、報告および予算作成情報の安全な累算および管理、制御情報管理命令の安全なデータベースの維持、およびある他の制御および管理上の機能を行うための安全な環境の提供のための信頼できる環境を提供する。
【０１１３】
あるＶＤＥ活動を行うための信頼できる環境が要求される場合、ＶＤＥノード中のハードウェアＳＰＵ（ソフトウェアエミュレーションではない）が必要となる。そのような信頼できる環境は、電子機器内で用いられるための、および／または電子機器に動作可能に接続される、ある制御ソフトウェア、半導体あるいは半導体チップセットなどの１つ以上の不正改変不可能なハードウェアモジュール（例えば、不正改変不可能なハードウェア電子機器周辺装置）によって作り出され得る。本発明によって、ハードウェアＳＰＵの信頼性は、そのハードウェアエレメントの一部あるいはすべてを不正改変不可能なパッケージング内に封入することによって、および／または他の不正改変不可能な技術（例えば、マイクロフュージョン（ｍｉｃｒｏｆｕｓｉｎｇ）および／または薄配線検出技術）を用いることによって高くされ得る。実施される本発明の信頼できる環境は、一部には、不正改変半導体設計の使用によって、マイクロプロセッサなどのＶＤＥプロセスを安全に実行する制御論理を含む。
【０１１４】
ＶＤＥノードのハードウェアＳＰＵはＶＤＥ安全サブシステムのコアコンポーネントであり、マイクロコントローラ、マクロコンピュータ、または他のＣＰＵ構成などの電子機器の主要な制御論理の一部あるいはすべてを用い得る。あるいは、このような制御は、電子機器の非ＶＤＥ機能の一部あるいはすべての制御などの非ＶＤＥ目的に用いられ得る。ハードウェアＳＰＵモードにおける動作時には、一次制御論理は、重要なＶＤＥプロセスを保護および隠匿するように十分に安全でなければならない。例えば、ハードウェアＳＰＵは、ＶＤＥ関連活動を行うと同時に、従って、ＶＤＥプロセスの一部がある程度のセキュリティをもって実行することを可能にすると同時に、保護モードで動作するホスト電子機器マイクロコンピュータを用い得る。この別の実施の形態は、一次制御論理の一部ではない１つ以上の不正改変不可能な半導体の組み合わせを用いて信頼できる環境が作り出される好ましい実施の形態とは対照的である。いずれの実施の形態でも、ある制御情報（ソフトウェアおよびパラメータデータ）は、ＳＰＵ内で安全に保持されなければならず、さらに制御情報は外部に安全に（例えば、暗号化されタグ付けされた形態で）格納され、必要なときは上記のハードウェアＳＰＵ内にロードされる。多くの場合において、特にマイクロコンピュータと共に用いるとき、上記の一次制御論理を用いるのではなく、上記ＶＤＥプロセスを実行するために特殊目的安全ハードウェアを用いる好ましい実施の形態のアプローチは、より安全で効率的であり得る。信頼できるＳＰＵハードウェアプロセスに要求されるセキュリティおよび不正改変不可能性のレベルは、特定の市場または市場ニッチの商業的要件に依存し、広範なばらつきがあり得る。
【０１１５】
本発明によって提供されるこれらのおよび他の特徴および利点は、図面に関連して現時点で好ましい実施例の実施の形態の以下の詳細な説明を参照することによって、よりよくおよびより完全に理解され得る。
【０１１６】
より詳細な説明
図１〜図７および以下の検討は、本発明によって提供される特徴のいくつかの局面の概要を示す。本発明による実施の形態のより技術的な「詳細な説明」が、この概要の後に示される。
概要
図１は、本発明に従って提供され得る「仮想配布環境」（「ＶＤＥ」）１００を示す。図１において、情報ユーティリティ２００は、例えば、電話あるいはケーブルＴＶラインなどの通信手段２０２に接続する。電話あるいはケーブルＴＶライン２０２は、電子情報を場所から場所へ運搬する「電子ハイウエイ」の一部であり得る。ライン２０２は、情報ユーティリティ２００を、例えば、消費者２０８、オフィス２１０、ビデオ製作スタジオ２０４および出版社２１４などの他の人々に接続する。情報ユーティリティ２００に接続される人々は仮想配布環境１００内で生じる取引に参加し得るので、各々が「ＶＤＥ参加者」と称され得る。
【０１１７】
考えられ得るほぼすべての種類の取引が、仮想配布環境１００によってサポートされ得る。仮想配布環境１００によってサポートされ得る取引の多くの例のいくつかには、以下が含まれる：
Ｃ　ホームバンキングおよび電子支払い；
Ｃ　電子法的契約；
Ｃ　電子印刷物、映像、音声、イメージおよびコンピュータプログラムなどの「コンテンツ」の配布；および
Ｃ　医学記録および金融情報などの秘密情報の安全な通信。
【０１１８】
仮想配布環境１００は、権利を保護し、信頼性があり予測可能な配布を保証し、かつ、コンテンツクリエータおよび配布者に対する適切な補償を保証するために必要なものとして用いられる多くの物理的な「物」を要求しないので、「仮想」である。例えば、過去には、情報はコピーが困難であったレコードあるいはディスク上で配布された。過去には、秘密あるいは秘密コンテンツは、特使によって配送される封をされた封筒あるいはロックされたブリーフケースに入れられて配布された。適切な補償を保証するために、消費者は販売人に現金を渡した後にしか商品およびサービスを受け取れなかった。情報ユーティリティ２００は、電子記録媒体などの物理的な「物」を移動させることによって情報を配送し得るが、仮想配布環境１００は完全に電子的な「処理および制御のチェーン」を促進させる。ＶＤＥフレキシビリティによる取引のサポート
情報ユーティリテイ２００は、多くの異なる種類の情報取引をフレキシブルにサポートする。異なるＶＤＥ参加者は、取引の異なる部分を規定し、および／またはそれに参加し得る。情報ユーティリティ２００は、取引に関する情報の配送を補助してもよいし、あるいは取引参加者の一つであってもよい。
【０１１９】
例えば、図１の右上角のビデオ製作スタジオ２０４は、ビデオ／テレビプログラムを製作し得る。ビデオ製作スタジオ２０４は、これらのプログラムをライン２０２を通って送ってもよく、衛星リンク２０５およびＣＤ　ＲＯＭ配送サービス２１６などの他の経路を用いてもよい。ビデオ製作スタジオ２０４は、プログラムを消費者２０６、２０８および２１０に直接送り得る。あるいは、ビデオ製作スタジオは、例えば、情報ユーティリティ２００にプログラムを送り、プログラムをそこに格納し、その後にプログラムを消費者に送り得る。すなわち、ビデオ製作スタジオあるいは情報ユーティリティ２００が、プログラムを使用する権利を消費者に与える適切な「規則および制御」（制御情報）を有するようにこれらの消費者をアレンジすると仮定すると、消費者２０６、２０８、２１０の各々は、ビデオ製作スタジオ２０４によって製作されたプログラムを受け取り、使用することができる。
【０１２０】
消費者がビデオプログラムのコピーを有していても、消費者がプログラムの使用を承認する「規則および制御」を有さない限り、プログラムを見たりコピーしたすることはできない。消費者は、「規則および制御」によって許可されるようにしかプログラムを使用し得ない。
【０１２１】
例えば、ビデオ製作スタジオ２０４は、できるだけ多くの視聴者が見ることを希望して３０分の試用ビデオを放送し得る。ビデオ製作スタジオ２０４は、放送毎に２．００ドルを受け取ることを望む。ビデオ製作スタジオ２０４は、情報ユーティリティを介して、すべての消費者２０６、２０８、２１０に対して試用ビデオを「保護された」形態で利用可能にし得る。ビデオ製作スタジオ２０４はまた、ビデオに「規則および制御」も与え得る。これらの「規則および制御」は、例えば、以下を指定し得る：
（１）独立した金融プロバイダ２１２（ＭａｓｔｅｒｃａｒｄまたはＶＩＳＡなど）のクレジットアカウントに基づいて少なくとも２．００ドルの十分な（ｇｏｏｄ）クレジットを有する消費者は誰でもビデオを見てもよい、
（２）仮想配布環境１００は、消費者がビデオを見る毎に「計量し」、時折ビデオ製作スタジオ２０４に使用を報告する、および
（３）金融プロバイダ２１２は、ビデオを見る各消費者のクレジットアカウントから支払い（２．００ドル）を電子的に徴収し、これらの支払いをビデオ製作スタジオ２０４に振替し得る。
【０１２２】
情報ユーティリティ２００によって、小さいビデオ製作スタジオでも消費者にビデオを売り、その労力に対する補償を受け取ることが可能になる。さらに、ビデオ製作スタジオへの適切な支払いを行えば、価値を付加し、および／または再パッケージ者または再配布者となり得る他のビデオ製作会社に、ビデオが利用可能になり得る。
【０１２３】
図１は出版社２１４も示している。出版社２１４は、著者２０６のための配布者となり得る。出版社２１４は、「コンテンツ」（コンピュータソフトウェア、電子新聞、出版社２１４によって製作されたビデオ、音声あるいは他のいずれものデータ）を使用する権利を、オフィス２１０などの消費者に配布し得る。使用権は、出版社２１６によって配布される「規則および制御」によって規定され得る。出版社２１６は、これらの「規則および制御」をコンテンツと共に配布するが、これは必要なことではない。コンテンツは適切な「規則および制御」を有する消費者によってのみ使用され得るので、コンテンツおよびそれに関連する「規則および制御」は、異なる時間に異なる方法で異なるＶＤＥ参加者によって配布され得る。規則および制御が適用されるコンテンツとは別に、「規則および制御」を安全に配布し施行するＶＤＥの能力は、大きな利点を提供する。
【０１２４】
出版社２１４によって配布される権利を用いることによって、オフィス２１０が、例えば、コンテンツのコピーを製作し、それを従業員に配布することが可能になる。オフィス２１０は、「処理および制御のチェーン」を従業員まで拡張することによって再配布者となり得る。オフィス２１０は「規則および制御」（出版社２１４から受け取る「規則および制御」と一致する）を付加あるいは改変して、オフィス内部制御情報およびメカニズムを提供し得る。例えば、オフィス２１０は、オフィス内の各個人ユーザおよび／またはグループのための最大使用予算を設定してもよく、指定された従業員および／またはグループにある情報へのアクセスを許可してもよい。
【０１２５】
図１は、消費者２０６に「ＣＤ　ＲＯＭ」ディスクなどの電子記憶媒体を消費者２０６に配送する情報配送サービス２１６も示している。電子記憶媒体自体はライン２０２を通って情報ユーティリティ２００によって電子的に配送されないが、仮想配布環境１００の一部のままである。電子記憶媒体は、コンテンツ、「規則および制御」あるいは他の情報を配布するために用いられ得る。
情報ユーティリティ２００の内にあるものの例
図１における「情報ユーティリティ」２００は、配布者、金融情報交換所、および管理者として働き得る参加者の集合であり得る。図１Ａは、情報ユーティリティ２００の一例の内部にあり得るものの例を示している。情報ユーティリティ参加者２００ａ〜２００ｇは、各々が独立した組織／企業であり得る。各参加者２００ａ〜２００ｇは、それぞれいくつ存在してもよい。本実施例においては、電子「スイッチ」２００ａは、情報ユーティリティ２００の内部構成要素を互いにおよび外部の参加者と接続する。また、電子スイッチは、外部参加者を互いに接続してもよい。
【０１２６】
情報ユーティリティ２００は、参加者および／またはレポート受け取り者２００ｅからの要求に基づいて取引（例えば、電子資金の振替のため）を処理する「取引プロセッサ」２００ｂを含んでいてもよい。また、報告された使用情報を分析する「使用分析者」２００ｃを含んでいてもよい。「レポート作成者」２００ｄは、例えば、使用に基づいてレポートを作成してもよいし、外部参加者および／または情報ユーティリティ２００内の参加者にこれらのレポートを提供してもよい。「レポート受け取り者」２００ｅは、コンテンツユーザからの使用レポートなどのレポートを受け取り得る。「パーミッションエージェント」２００ｆは、例えば、消費者のクレジット価値のプロフィールに基づいて、使用あるいは配布パーミッションを与える「規則および制御」を配布し得る。管理者２００ｈは、仮想配布環境１００の適切な動作を維持する情報を提供し得る。コンテンツおよびメッセージ記憶装置２００ｇは、情報ユーティリティ２００内あるいは外部の参加者によって使用される情報を格納し得る。
「処理および制御のチェーン」を用いた「コンテンツ」の配布の例
上記で説明したように、仮想配布環境１００は、ほぼすべての種類の取引を管理するために用いられ得る。管理のために仮想配布環境１００が用いられ得る重要な取引のタイプの一つには、「コンテンツ」あるいは他の重要な情報の配布あるいは通信がある。図２は、図１の仮想配布環境１００がコンテンツを配布するための「処理および制御のチェーン」を提供するためにどのように用いられ得るかの「モデル」をより抽象的に示している。図２の各ブロックは、図１に示されている１つ以上のＶＤＥ参加者に対応し得る。
【０１２７】
図２の例において、ＶＤＥコンテンツクリエータ１０２は、コンテンツを作成する。コンテンツクリエータ１０２はまた、コンテンツを配布するための「規則および制御」を指定し得る。これらの配布に関連する「規則および制御」は、コンテンツを使用するための権利を配布するパーミッションを有する人物およびコンテンツ使用を許可された人数を指定し得る。
【０１２８】
矢印１０４は、コンテンツに関連付けられた「規則および制御」を電子ハイウエイ１０８を通って（あるいは米国郵便などの配送サービスによって送られる光ディスクなどの他の経路によって）ＶＤＥ権利配布者１０６（「配布者」）に送るコンテンツクリエータ１０２を示している。コンテンツは、「規則および制御」を送るために用いられたものと同一のあるいは異なる経路を通って配布され得る。配布者１０６は、コンテンツの使用に関連する自分自身の「規則および制御」を作る。使用に関連する「規則および制御」は、例えば、コンテンツを用いてユーザができることおよびできないこと、ならびにコンテンツを使用するためにかかる費用を指定し得る。これらの使用に関連する「規則および制御」は、コンテンツクリエータ１０２によって指定される「規則および制御」と一致しなければならない。
【０１２９】
矢印１１０は、コンテンツの「規則および制御」を消費者などのコンテンツユーザ１１２に送ることによってコンテンツを使用する権利を配布する配布者１０６を示している。コンテンツユーザ１１２は、使用に関連する「規則および制御」に従ってコンテンツを用いる。
【０１３０】
この図２の例において、コンテンツ使用に関する情報は、矢印１１４によって示されるように、金融情報交換所１１６に報告される。この「報告」に基づいて、金融情報交換所１１６は請求書を作り、その請求書を「レポートおよび支払い」ネットワーク１１８を通ってコンテンツユーザ１１２に送り得る。矢印１２０は、内容使用に対する支払いを金融情報交換所１１６に行うコンテンツユーザ１１２を示している。受け取るレポートおよび支払いに基づいて、金融情報交換所１１６は配布者にレポートおよび／または支払いを与え得る。配布者１０６は、矢印１２２が示すように、コンテンツクリエータ１０２へレポートおよび／または支払いを与え得る。金融情報交換所１１６は、クリエータ１０２にレポートおよび支払いを直接与え得る。報告および／または支払いは、異なるように行われ得る。例えば、情報交換所１１６は、直接あるいはエージェントを介して、ＶＤＥコンテンツクリエータ１０２および権利配布者１０６の各々にレポートおよび／または支払いを与え、ならびにコンテンツユーザ１１２にレポートを与え得る。
【０１３１】
配布者１０６およびコンテンツクリエータ１０２は、同一人物でも、異なる人物でもよい。例えば、音楽活動を行うグループは、自分自身の音楽レコーディングを行い配布することによって、コンテンツクリエータ１０２および配布者１０６の両方となり得る。別の例として、出版社は、著者であるコンテンツクリエータ１０２によって作成された作品を使用する権利を配布する配布者１０６となり得る。コンテンツクリエータ１０２は、コンテンツ配布の金融目的を効率的に管理するために配布者１０６を用い得る。
【０１３２】
図２に示される「金融情報交換所」１１６は、「ＶＤＥ管理者」でもあり得る。ＶＤＥ管理者の役割を行う金融情報交換所１１６は、「管理」情報をＶＤＥ参加者に送る。この管理上の情報によって、仮想配布環境１００の適切な動作が維持され得る。「ＶＤＥ管理者」および金融情報交換所の役割は、異なる人あるいは会社によって行われ得る。また、これらは各々１つを越える数であり得る。
さらに「規則および制御」について
仮想配布環境１００は、「規則および制御」（制御情報）によって許可されるときを除いて、保護下の情報の使用を防止する。例えば、図２に示される「規則および制御」はあるコンテンツを使用する「パーミッション」をコンテンツユーザ１１２の特定の個人あるいはクラスに与え得る。これらの規則および制御は、どの種類のコンテンツ使用が許可され、どの種類が許可されないかを指定し得る。これらの規則および制御は、コンテンツ使用に対する支払い方法、およびそれにかかる費用を指定し得る。別の例として、「規則および制御」は、再び配布者１０６および／またはコンテンツクリエータ１０２にコンテンツ使用情報を報告することを必要とし得る。
【０１３３】
「処理および制御のチェーン」の各ＶＤＥ参加者は、通常は「規則および制御」を受ける。「規則および制御」は、様々なＶＤＥ参加者の各々のそれぞれの権利および義務を規定する。「規則および制御」は、参加者間の相互依存性および関係を確立し得る情報およびメカニズムを提供する。「規則および制御」はフレキシブルであり、「仮想配布環境」１００が大半の「従来の」企業取引をサポートすることを許可する。例えば、
Ｃ　「規則および制御」は、金融情報交換所１１６がどの支払いを処理し得るかを指定し得る。
Ｃ　「規則および制御」は、参加者がどの種類の使用情報を受け取るかを指定し得る。および
Ｃ　「規則および制御」は、ある情報が一部の参加者にさらされ（ｒｅｖｅａｌ）、他の情報はそれらの参加者には秘密にされることを指定し得る。
【０１３４】
「規則および制御」は、それらが変更され得るか否か、およびどのように変更され得るかを自己制限し得る。しばしば、ある１人のＶＤＥ参加者によって指定される「規則および制御」は、他のＶＤＥ参加者によって変更され得ない。例えば、コンテンツユーザ１１２は、一般的に、ユーザがある料金をコンテンツ使用に対して支払うことを要求する配布者１０６によって指定される「規則および制御」を変更し得ない。「規則および制御」は「処理および制御のチェーン」を通って渡されるときに「持続」し、あるＶＤＥ参加者から次の参加者に渡されるときに「引き継がれ」得る。
【０１３５】
要求に基づいて、ＶＤＥ参加者は、それらの参加者の「規則および制御」が同一のあるいは別の「規則および制御」によって指定される条件で変更され得ることを指定し得る。例えば、コンテンツクリエータ１０２によって指定される「規則および制御」は、まさに小売店が商品の卸売り価格に「上乗せ」するように、配布者１０６が使用価格に「上乗せ」するのを許可し得る。図２Ａは、ある「規則および制御」がコンテンツクリエータ１０２からコンテンツユーザ１１２に変化しない状態で持続し、別の「規則および制御」は配布者１０６によって改変あるいは削除され、さらに別の「規則および制御」が配布者によって付加される例を示している。
【０１３６】
「規則および制御」は、他のＶＤＥ参加者に報告される情報を制限することによってコンテンツユーザのプライバシーを保護するために用いられ得る。一例として、「規則および制御」は、コンテンツユーザのアイデンティティを明らかにせずに、コンテンツ使用情報を匿名で報告させ得る。あるいは、「規則および制御」は、必要である場合は、「適切なパーミッション」を用いてある参加者へある情報（例えば、使用から得られた情報）のみを知らせ得る。どの情報が知らされ、その情報がどのＶＤＥ参加者に知らされるかを安全に制御するこの能力によって、すべてのＶＤＥ参加者のプライバシー権が保護されることが可能になる。
別々に配送され得る「規則およびコンテンツ」
上述のように、仮想配布環境１００は、コンテンツを対応する「規則および制御」と関連づけ、対応する「規則および制御」のセットが利用可能にならない限り、コンテンツが使用あるいはアクセスされることを防止する。配布者１０６は、コンテンツの配布を制御するためにコンテンツを配送する必要がない。好ましい実施の形態は、非許可配布および使用から「許可および制御」を可能にする対応する使用を保護することによって、コンテンツを安全に保護し得る。
【０１３７】
いくつかの例では、「規則および制御」は、それらが適用されるコンテンツと共に移動し得る。仮想配布環境１００によって、「規則および制御」がコンテンツとは別に配送されることも可能になる。対応する「規則および制御」からの「パーミッション」がなければ保護下のコンテンツを誰も使用できず、あるいはコンテンツにアクセスし得ないので、配送者１０６は既に配送された（あるいは将来配送される）コンテンツの使用を制御し得る。「規則および制御」は、コンテンツ配送に用いられるものとは異なる経路を通って配送され得る。「規則および制御」もまた、別の時間に配送され得る。コンテンツクリエータ１０２は、電子ハイウエイ１０８を通ってコンテンツユーザ１１２にコンテンツを配送し得る。あるいは、コンテンツクリエータは、コンテンツをハイウエイ上で誰にでも利用可能にし得る。コンテンツは、配送時に用いられても、後の使用あるいは再使用のために格納されてもよい。
【０１３８】
仮想配布環境１００はまた、支払いおよびレポート手段を別々に配送することを可能にする。例えば、コンテンツユーザ１１２は、いずれものコンテンツの使用に対する支払いを行うためにクレジットを（ある制限まで）拡張する仮想「クレジットカード」を有し得る。「クレジット取引」は、「オンライン」接続あるいはさらなる承認をいずれも必要とせずに、ユーザのサイトで生じ得る。本発明は、仮想「クレジットカード」の非許可使用からの安全な保護を補助するために用いられ得る。
「規則およびコンテンツ」はプロセスを規定する
図３は、「規則および制御」に基づく全プロセスの例を示す。この例は、「イベント」プロセス４０２と、計量プロセス４０４と、課金プロセス４０６と、予算プロセス４０８とを含む。図３に示されるすべてのプロセスが、「規則および制御」の各セットについて用いられるわけではない。
【０１３９】
「イベントプロセス」４０２は、生じたもの（「イベント」）を検出し、これらの「イベント」のいずれが他の「プロセス」による行動を必要とするかを決定する。「イベント」は、例えば、コンテンツを使用するためまたは使用パーミッションを出すための要求を含む。いくつかのイベントは付加的な処理を必要とし得るが、他のイベントは必要とし得ない。「イベント」がさらなる処理を必要とするか否かは、コンテンツに対応する「規則および制御」に依存する。例えば、パーミッションを欠くユーザは、自分の要求を満足させない（「Ｎｏ　Ｇｏ」）。別の例として、電子ブックの新しいページを開くための各ユーザ要求は満たされ得るが（「Ｇｏ」）、これらの要求は計量、課金あるいは予算作成するためにはなくてもよい。小説を一部購入したユーザは、さらなる計量、課金または予算作成を行わずに、ユーザが望む回数だけ小説を開いて読むことを許可され得る。この単純な例において、「イベントプロセス」４０２は、ユーザが保護下の小説を初めて開きたいと思ったときに（すなわち、購入価格がユーザに請求され得るときに）計量、課金、および／または予算作成プロセスを要求し、後のすべての同一の小説を開くための要求を「重要ではないイベント」として取扱い得る。別のコンテンツ（例えば、電子電話帳のサーチ）は、アクセス毎に料金を支払うことをユーザに要求し得る。
【０１４０】
「計量」プロセス４０４はイベントの記録をとり、配布者１０６および／または他の適切なＶＤＥ参加者に使用を報告し得る。図４は、以下のような複数の異なる因子にプロセス４０４が基づき得ることを示している。
【０１４１】
（ａ）請求される使用のタイプ
（ｂ）請求が基づくユニットの種類、
（ｃ）ユニット毎の請求料金、
（ｄ）報告を行う時期、
（ｅ）支払い方法。
これらの要素は、計量プロセスを制御する「規則および制御」によって指定され得る。
【０１４２】
課金プロセス４０６は、イベントついての請求額を決定する。このプロセスは、支払い情報を記録および報告する。
【０１４３】
予算作成プロセス４０８は、許可されるコンテンツ使用量を制限する。例えば、予算作成プロセス４０８は、コンテンツがアクセスあるいはコピーされ得る回数を制限してもよいし、例えば、クレジットアカウントにおいて利用可能なドル金額に基づいて用いられ得るページ数あるいは他のコンテンツの量を制限してもよい。予算作成プロセス４０８は、そのような制限と関連づけられる金融および他の取引情報を記録および報告する。
【０１４４】
これらのプロセスの実行が成功すると、コンテンツがユーザに供給され得る。コンテナおよび「オブジェクト」
図５Ａは、好ましい実施の形態において、情報の「規則および制御」によって与えられるとき以外に情報がアクセスされ得ないように、仮想配布環境１００が情報エレメント（コンテンツ）を「コンテナ」３０２にどのようにパッケージし得るかを示している。通常は、コンテナ３０２は、物理的ではなく電子的である。１つの実施例における電子コンテナ３０２は、明確に規定された構造を有する「ディジタル」情報を含む。コンテナ３０２およびそのコンテンツは、「オブジェクト３００」と称され得る。
【０１４５】
図５Ａの実施例は、コンテナ３０２「内」に入れられるアイテムを示している。しかし、コンテナ３０２は、これらのアイテムを実際にコンテナ内に格納せずに、アイテムを「含み」得る。例えば、コンテナ３０２は、遠隔サイト（ｓｉｔｅ）の他のコンテナ中などの他の位置で利用可能なアイテムを参照し得る。コンテナ３０２は、異なる時間または制限された時間の間のみに利用可能なアイテムを参照し得る。アイテムには大きすぎてコンテナ３０２内に格納され得ないものもあり得る。アイテムは、例えば、ある時間での映像の「ライブ供給（ｌｉｖｅ　ｆｅｅｄ）」の形態でユーザに配送され得る。その時でも、本実施例において、コンテナ３０２は（参照によって）ライブ供給を「含む」。
【０１４６】
コンテナ３０２は、電子（「ディジタル」など）形態で情報コンテンツ３０４を含み得る。情報コンテンツ３０４は、小説のテキスト、写真、音楽演奏あるいは朗読などの音声、映画あるいは他のビデオ、コンピュータソフトウェア、あるいは考えられ得る他のほぼあらゆる種類の電子情報などであり得る。他のタイプの「オブジェクト」３００（「管理オブジェクト」）は、情報コンテンツ３０４の代わりあるいはそれに加えて「管理上の」あるいは他の情報を含み得る。
【０１４７】
図５Ａの例において、コンテナ３０２は以下の形態の「規則および制御」も含み得る。
【０１４８】
（ａ）「パーミッション記録」８０８
（ｂ）「予算」３０８、および
（ｃ）「他のメソッド」１０００。
【０１４９】
図５Ｂは、パーミッション記録８０８、予算３０８および他のメソッド１０００に関していくつかの付加的な詳細を示す。「パーミッション記録」８０８は、例えば、コンテナ３０２を開けることができる人、オブジェクトのコンテンツを使用できる人、オブジェクトを配布し得る人、およびアクティブでなければならない他の制御メカニズムなどの、オブジェクト３００に関連する権利を指定する。例えば、パーミッション記録８０８は、コンテナ３０２およびそのコンテンツを使用、配布および／または管理するユーザの権利を指定し得る。パーミッション記録８０８はまた、予算３０８および「他のメソッド」１０００によって適用される要件も指定し得る。パーミッション記録８０８は、スクランブリングおよびデスクランブリング「鍵」などのセキュリティ関連情報も含み得る。
【０１５０】
図５Ｂに示される「予算」３０８は、とりわけ、情報コンテンツ３０４の使用への制限、および使用に対する支払いがどのようになされるかを指定し得る、特別のタイプの「メソッド」１０００である。予算３０８は、例えば、情報コンテンツ３０４全体のどの程度が用いられおよび／コピーされ得るかを指定し得る。メソッド３１０は、特定の予算によって指定される量を越える量の使用を防止し得る。
【０１５１】
「他のメソッド」１０００は、「規則および制御」によって用いられる基本的な動作を規定する。そのような「メソッド」１０００は、例えば、使用がどのように「計量」されるか、コンテンツ３０４および他の情報がスクランブルおよびデスクランブルされるか否かおよびどのようにスクランブルおよびデスクランブルされるか、および情報コンテンツ３０４の取扱いおよび制御に関連する他のプロセスを含み得る。例えば、メソッド１０００は、電子コンテナ３０２を開けるすべての人のアイデンティティを記録し得、「計量」に基づいて情報内容がどのように請求がされるかを制御し得る。メソッド１０００は、１つあるいは複数の異なる情報コンテンツ３０４および関連するコンテナ３０２、ならびに情報コンテンツ３０４のすべてのあるいは特定の部分に当てはまり得る。
安全な処理ユニット（ＳＰＵ）
「ＶＤＥ参加者」は各々「電子機器」を有し得る。機器はコンピュータであってもよいし、コンピュータを含んでいてもよい。機器は、電子ハイウエイ１０８を通って通信し得る。図６は、各ＶＤＥ参加者によって本実施例で用いられる「電子機器」の安全な処理ユニット（「ＳＰＵ」）５００の部分を示している。ＳＰＵ５００は、安全な処理環境５０３において情報を処理し、重要な情報を安全に格納する。ＳＰＵは、ホスト電子機器において動作するソフトウェアによってエミュレートされ得る。
【０１５２】
ＳＰＵ５００は、「不正改変不可能なセキュリティバリア」５０２中に封入され保護される。セキュリティバリア５０２は、他の領域から安全な環境５０３を分離する。これによって、安全な環境５０３内の情報およびプロセスが観察され、干渉され、適切な安全な条件下以外に置くことを防止する。バリア５０２はまた、ＳＰＵ５００内の安全なリソース、プロセスおよび情報への外部アクセスを制御する。１つの実施例において、不正改変不可能なセキュリティバリア５０２は、「暗号化」、ならびに不正改変を検出し、および／または不正改変が検出されると安全な環境５０３内の影響を受けやすい（ｓｅｎｓｉｔｉｖｅ）情報を破壊するハードウェアなどのセキュリティ特徴によって形成される。
【０１５３】
本実施例におけるＳＰＵ５００は、「ハードウェア」５０６および「ファームウェア」５０８を含む集積回路（「ＩＣ」）「チップ」５０４である。ＳＰＵ５００は、「機器リンク」５１０を介して電子機器の残りの部分と接続する。本実施例におけるＳＰＵ「ファームウェア」５０８は、チップ５０４に「埋め込まれた」「コンピュータプログラム」などの「ソフトウェア」である。ファームウェア５０８は、ハードウェア５０６を動作させる。ハードウェア５０６は、好ましくは、ファームウェア５０８によって指定される命令を行うためのプロセッサを含む。「ハードウェア」５０６はまた、情報が不正改変され得ないように情報を安全に格納するための長期メモリおよび短期メモリを含む。ＳＰＵ５００はまた、イベントの時間を決定するために用いられる保護下のクロック／カレンダーも有し得る。本実施例におけるＳＰＵハードウェア５０６は、あるプロセス（「暗号化」および「復号化」など）を迅速かつ効率的に行うように特別に設計された特殊目的電子回路を含み得る。
【０１５４】
ＳＰＵ５００が用いられている特別なコンテクストは、ＳＰＵ５００がどの程度の処理能力を有するべきかを決定する。本実施例において、ＳＰＵハードウェア５０６は、図３に示されるプロセスの安全な部分をサポートするために十分な処理能力を少なくとも提供する。いくつかのコンテクストにおいて、ＳＰＵ５００の機能は、ＳＰＵがすべての電子機器処理を行い、汎用プロセッサに組み込まれ得るように向上され得る。別のコンテクストにおいて、ＳＰＵ５００は汎用プロセッサと共に作動し得るので、安全なプロセスを取り扱うために十分な処理能力のみを必要とする。
ＶＤＥ電子機器および「権利オペレーティングシステム」
図７は、ＳＰＵ５００を含む電子機器６００の一例を示す。電子機器６００は、実質的に以下のようなどのような種類の電気装置あるいは電子装置であってもよい。
Ｃ　コンピュータ
Ｃ　ＴＶ「セットトップ」コントロールボックス、
Ｃ　ページャ
Ｃ　電話
Ｃ　サウンドシステム
Ｃ　ビデオ再生システム
Ｃ　ビデオゲームプレーヤ
Ｃ　「スマート」クレジットカード
である。
【０１５５】
本実施例における電子機器６００は、キーボードあるいはキーパッド６１２、音声認識器６１３、およびディスプレイ６１４を含み得る。人であるユーザは、キーボード６１２および／または音声認識器６１３を介してコマンドを入力することができ、ディスプレイ６１４上の情報を見得る。機器６００は、電子機器内で通常用いられるいずれもの接続／機器を介して外界と通信し得る。図の底部に沿って示される接続／装置は以下のような例である：
「モデム」６１８または他の遠隔通信リンク；
ＣＤ　ＲＯＭディスク６２０、あるいは他の記憶媒体または装置；
プリンタ６２２；
放送受信器６２４；
文書スキャナ６２６；および
「ネットワーク」に機器を接続する「ケーブル」６２８。
【０１５６】
仮想配布環境１００は、それらのハードウェアリソースを制御することによって機器６００およびＳＰＵ５００を管理する「権利オペレーティングシステム」６０２を提供する。オペレーティングシステム６０２はまた、少なくとも一つの「機器」６０８をサポートし得る。概して、「アプリケーション」６０８は、機器６００のコンテクストに特定的なハードウェアおよび／またはソフトウェアである。例えば、機器６００がパーソナルコンピュータである場合、「アプリケーション」６０８は、例えば、ワードプロセッサ、通信システムあるいはサウンドレコーダなどの、ユーザによってロードされるプログラムであり得る。機器６００がテレビコントローラボックスである場合、アプリケーション６０８は、要求されるビデオをユーザが注文し、早送りおよび巻き戻しなどの他の機能を行うことを可能にするハードウェアまたはソフトウェアであり得る。本実施例において、オペレーティングシステム６０２は、多くの異なる「アプリケーション」６０８を用いてサポートおよび作動し得る、基準化され明確に規定され総合された「インタフェース」を提供する。
【０１５７】
本実施例におけるオペレーティングシステム６０２は、「権利および監査オペレーティングシステム機能」６０４および「他のオペレーティングシステム機能」６０６を提供する。「権利および監査オペレーティングシステム機能」６０４は、仮想配布環境１００に関連するタスクを安全に取り扱う。ＳＰＵ５００は、「権利および監査オペレーティングシステム機能」４０２のセキュリティ機能の多くを提供あるいはサポートする。「他のオペレーティングシステム機能」６０６は、一般的な機器機能を取り扱う。オペレーティングシステム全体６０２は、始めから「権利および監査オペレーティングシステム機能」６０４プラス「他のオペレーティングシステム機能」６０６を含むように設計されても、「権利および監査オペレーティングシステム機能」が「他のオペレーティングシステム機能」を提供する既存のオペレーティングシステムに付加されてもよい。
【０１５８】
本実施例における「権利オペレーティングシステム」６０２は、多くの異なるタイプの機器６００と共に作動し得る。例えば、権利オペレーティングシステムは、大型のメインフレームコンピュータ、「ミニコンピュータ」、およびパーソナルコンピュータおよび携帯用計算機器などの「マイクロコンピュータ」と共に作動し得る。また、権利オペレーティングシステムは、テレビジョンセットの上部のコントロールボックス、小型の携帯用「ページャ」、デスクトップラジオ、ステレオサウンドシステム、電話、電話スイッチ、または他のいずれもの電子機器中でも作動し得る。小型機器のみではなく大型機器上でも動作するこの能力は、「規模変更可能性（ｓｃａｌａｂｌｅ）」と称される。「規模変更可能」オペレーティングシステム６０２とは、非常に様々なタスクを行う多くの異なる機器を通る基準化されたインタフェースがあり得ることを意味している。
【０１５９】
「権利オペレーティングシステム機能」６０４は、本実施例において「サービスベース」である。例えば、「権利オペレーティングシステム機能」６０４は、より詳細な「サブ要求」を常に行うのではなく、または概要要求を満たすことに伴う基礎にある複雑さと関連させることをアプリケーションに要求するのではなく、アプリケーション６０８からの概要要求を取り扱う。例えば、アプリケーション６０８は、指定された情報を読み出すようにただ単に要求するだけでよい。すると、「権利オペレーティングシステム機能」６０４は、所望の情報がＶＤＥ保護コンテンツであるか否かを決定し、そうである場合は、情報を利用可能にするために必要となるプロセスを行い得る。この特徴は、「トランスペアレンシ（ｔｒａｎｓｐａｒｅｎｃｙ）」と称される。「トランスペアレンシ」によって、アプリケーション６０８のためにタスクが容易になる。「権利オペレーティングシステム機能」６０４は、仮想配布環境１００について何も知らないアプリケーション６０８をサポートし得る。仮想配布環境１００を「認識している」アプリケーション６０８は、仮想配布環境１００のより詳細な利用を行い得る。
【０１６０】
本実施例において、「権利オペレーティングシステム機能」６０４は「イベント駆動」される。「権利オペレーティングシステム機能」６０４は、条件が生じるか否かを決定するために電子機器６００の状態を繰り返し検討するのではなく、機器６００内の「イベント」あるいは「出来事」に直接応答し得る。
【０１６１】
本実施例において、「権利オペレーティングシステム機能」６０４によって行われるサービスには、オペレーティングシステム６０２に配送される付加的な「コンポーネント」に基づいて拡張され得るものがある。「権利オペレーティングシステム機能」６０４は、異なる時点に異なる参加者によって送られる「コンポーネント」を集め、使用することができる。「コンポーネント」はオペレーティングシステム６０２を「規模変更可能」にする補助を行う。コンポーネントには、サービスが大型機器（例えば、マルチユーザ）上でどのように動作するかに対する小型機器上でどのように動作するかを変えることができるものもある。他のコンポーネントは、特定のアプリケーションあるいはアプリケーションのクラス（例えば、いくつかのタイプの計量およびいくつかのタイプの予算作成）と共に動作するように設計される。
電子機器６００
好ましい実施の形態によって提供される電子機器６００は、例えば、１つ以上のマイクロプロセッサおよび／またはマイクロコントローラおよび／または論理および／または数学計算を行う他の装置を含む電子装置のいずれもであり得る。これは、コンピュータ、コンピュータ端末、コンピュータと共に用いるための装置コントローラ、コンピュータと共に用いるための周辺機器、ディジタル表示装置、テレビ、映像および音声／映像投影システム、放送および／またはケーブル伝送と共に用いるためのチャネルセレクタおよび／またはデコーダ、遠隔制御装置、ビデオおよび／または音声レコーダ、コンパクトディスクプレーヤ、ビデオディスクプレーヤ、およびテーププレーヤを含むメディアプレーヤ、音声および／映像増幅器、バーチャルリアリティ機械、電子ゲームプレーヤ、マルチメディアプレーヤ、ラジオ、電話、ビデオ電話、ファックス、ロボット、機械ツールなどを含む定格制御機械、および１つ以上のマイクロコンピュータおよび／マイクロコントローラおよび／または未だ存在していないものを含む他のＣＰＵを含む他の装置であり得る。
【０１６２】
図８は、電子機器６００の一例を示す。電子機器６００のこの例は、システムバス６５３を含む。この例において、１つ以上の従来の汎用中央処理装置（「ＣＰＵ」）６５４がバス６５３に接続されている。バス６５３は、ＣＰＵ６５４をＲＡＭ６５６、ＲＯＭ６５８およびＩ／Ｏコントローラ６６０に接続する。１つ以上のＳＰＵ５００もまた、システムバス６５３に接続され得る。システムバス６５３は、ＳＰＵ５００がＣＰＵ６５４と通信するのを許可し、また、ＣＰＵおよびＳＰＵの両方がＲＡＭ６５６、ＲＯＭ６５８およびＩ／Ｏコントローラ６６０と通信すること（例えば、共有されたアドレスおよびデータラインを通って）を可能にし得る。電源６５９は、ＳＰＵ５００、ＣＰＵ６５４および図示されている他のシステムコンポーネントに電力を供給し得る。
【０１６３】
図示されている例において、Ｉ／Ｏコントローラ６６０は第２の記憶装置６５２、キーボード／ディスプレイ６１２、６１４、通信コントローラ６６６およびバックアップ記憶装置６６８と接続される。バックアップ記憶装置６６８は、例えば、テープ６７０、フロッピィディスク、着脱可能なメモリカードなどのマスメディア上に情報を格納し得る。通信コントローラ６６６によって、ネットワーク６７２あるいは他の遠隔通信リンクを介して電子機器が他の電子機器と通信することが可能になり得る。異なる電子機器６００は、異なるＣＰＵおよびＲＯＳ６０２の異なる例を用いても、互換性のある通信プロトコルおよび／またはセキュリティメソッドを代表的に用いる限り、相互動作し得る。この例において、Ｉ／Ｏコントローラ６６０は、ＣＰＵ６５４およびＳＰＵ５００が第２の記憶装置６６２、キーボード／ディスプレイ６１２、６１４、通信コントローラ６６６およびバックアップ記憶装置６６８からの読み出しおよび書込みを行うことを許可する。
【０１６４】
第２の記憶装置６６２は、一般的な第２の記憶装置機能のために電子機器６００が用いる同一の１つ以上の非安全な（ｎｏｎ−ｓｅｃｕｒｅ）第２の記憶装置（一例として磁気ディスクおよびＣＤ−ＲＯＭドライブ）を備えてもよい。いくつかの実施態様においては、第２の記憶装置６５２の一部あるいは全体が、安全なエンクロージャに物理的に封入されている第２の記憶装置を備えていてもよい。しかし、多くの実施態様において第２の記憶装置を物理的に安全化することは実用的でもコスト有効的でもあり得ないので、第２の記憶装置６５２は、情報を第２の記憶装置６５２中に格納する前に情報を暗号化することによって安全に情報を格納するために用いられ得る。情報が格納される前に暗号化される場合、第２の記憶装置６５２への物理的アクセスあるいはそのコンテンツが、情報を容易にさらしたり、傷つけることはない。
【０１６５】
この例における第２の記憶装置は、ＣＰＵ６５４および／またはＳＰＵ５００によって使用されるコードおよびデータを、電子機器６００全体の動作を制御するために格納する。例えば、図８は、図７に示される「権利オペレーティングシステム」（「ＲＯＳ」）６０２（ＶＤＥ機能を提供するＲＯＳの一部６０４および他のＯＳ機能を提供する部分６０６を含む）が第２の記憶装置６５２上に格納され得ることを示している。第２の記憶装置６５２はまた、１つ以上のＶＤＥオブジェクト３００を格納し得る。また、図８は、図７に示される安全なファイル６１０が、「安全なデータベース」あるいは管理ファイルシステム６１０の形態で第２の記憶装置６５２に格納され得ることを示している。この安全なデータベース６１０は、ＲＯＳ６０２によって使用される情報を格納および組織化することによってＶＤＥ機能６０４を行い得る。従って、ＶＤＥおよび他のＯＳ機能６０４および６０６を行うために実行されるコードおよびこれらの機能に関連づけられる安全なファイル６１０（ＶＤＥオブジェクト３００も同様に）、第２の記憶装置６５２に格納され得る。第２の記憶装置６５２はまた、例えば、タスク管理、非ＶＤＥファイルなどのための他のオペレーティングシステム機能６０６によって使用される情報などの「他の情報」６７３も格納し得る。第２の記憶装置６５２中に示されているエレメントの部分は、これらのエレメントが変更を必要としないかぎり（ＲＯＭ６５８が置き換えられた時を除いて）ＲＯＭ６５８に格納され得る。特にＲＯＳ６０２の部分は、望ましくはＲＯＭ６５８（例えば、電力が与えられたときに電子機器６００のための動作環境を確立する際に使用するための「ブートストラップ」ルーチン、ＰＯＳＴルーチン、など）中に含まれ得る。
【０１６６】
図８は、第２の記憶装置６５２が、図７に示されるユーザアプリケーション６０８を提供するコード（「アプリケーションプログラム」）を格納するためにも用いられ得ることを示している。図８は、２つの一般的なタイプのアプリケーションプログラム６０８、すなわち、「ＶＤＥ認識」アプリケーション６０８ａおよび非ＶＤＥ認識アプリケーション６０８ｂ、があり得ることを示している。ＶＤＥ認識アプリケーション６０８ａは、アクセスを行い、かつ、ＶＤＥ機能６０４を詳細に利用するために、特にＶＤＥ１００を考慮して少なくとも一部が設計され得る。ＲＯＳ６０２が「トランスペアレンシ」の特徴を有しているために、非ＶＤＥ認識アプリケーション６０８ｂ（例えば、ＶＤＥ１００に特定的に設計されないアプリケーション）はまた、アクセスおよびＶＤＥ機能６０４を利用することもできる。
安全な処理ユニット５００
好ましい実施の形態における各ＶＤＥノードあるいは他の電子機器６００は、１つ以上のＳＰＵ５００を含み得る。ＳＰＵ５００は、ＶＤＥ１００についてのすべての安全な処理を行うために用いられ得る。例えば、ＳＰＵ５００は、ＶＤＥ保護オブジェクト３００を復号化（あるいは非安全化）するために用いられる。また、ＳＰＵ５００は、暗号化および／または安全化された通信を（情報の認証および／またはエラー訂正有効性検査を用いることなどによって）管理するために用いられ得る。ＳＰＵ５００はまた、（銀行アカウントおよび／またはＶＤＥノードトークン貯金アカウントからの前払い、クレジット、リアルタイム電子借方を介する）ＶＤＥオブジェクト３００の使用管理、監査、また適切な場合は、支払いを含む安全なデータ管理プロセスも行い得る。ＳＰＵ５００は、そのようなＶＤＥオブジェクト３００に関連する他の取引も行い得る。
ＳＰＵ物理的パッケージングおよびセキュリティバリア５０２
図６に示されるように、好ましい実施の形態において、ＳＰＵ５００は、機密および／または商業的に価値のある情報が安全に処理、暗号化および／または復号化され得る安全な処理環境を提供するための単一の集積回路「チップ」５０５として実装され得る。ＩＣチップ５０５は、例えば、親指の爪程度のサイズの小型の半導体「ダイ」を備え得る。この半導体ダイは、半導体および金属導電性経路を含み得る。これらの経路は回路、従って、ＳＰＵ５００の機能性を規定する。これらの経路には、チップ５０５の外側「ピン」５０４に電気的に接続されるものがある。
【０１６７】
図６および図９に示されるように、ＳＰＵ５００は、不正改変不可能なハードウェアセキュリティバリア５０２によって取り囲まれ得る。このセキュリティバリア５０２の一部は、ＳＰＵ「ダイ」が入れられているプラスチックあるいは他のパッケージによって形成されている。ＳＰＵ５００内で生じる処理およびＳＰＵ５００によって格納される情報は、外界から容易にアクセス可能ではないので、これらは非許可アクセスおよび不正改変から比較的安全である。すべての信号は、ＳＰＵ５００内の内部コンポーネントへの外界のアクセスを制限するＢＩＵ５３０によって提供される安全な制御された経路を介してバリア５０２を通過する。この安全な制御された経路は、ＳＰＵ５００内の秘密の情報およびリソースにアクセスする外界からの試みを妨げようとする。
【０１６８】
ＩＣチップのプラスチックパッケージを除去し、「ダイ」へのアクセスを達成することが可能である。また、（例えば、回路を動作させ、酸エッチングあるいは半導体層を除去して他の層を露出させる他の技術を用い、電子顕微鏡を用いてダイを観察および写真撮影するのと同時に、ダイ上の信号を収集および分析するために様々なタイプの論理アナライザおよびマイクロプローブを用いて）「ダイ」自体を分析および「リバースエンジニアリング」することも可能である。そのような攻撃を全く受けないシステムあるいは回路はないが、ＳＰＵバリア５０２は、攻撃を成功させるためには非常にコストがかかり、時間を消費する付加的なハードウェア保護も含み得る。例えば、イオン注入および／または他の制御技術がＳＰＵダイ導電性経路を視覚的に認識することを非常に困難にし、ＳＰＵ内部回路は空気および／または光にさらされると「自己有意破壊」するように製造され得る。ＳＰＵ５００は、電力を失うとコンテンツを失う内部メモリ中に秘密情報を格納し得る。回路は、マイクロプローブあるいは他の不正改変を検出し、不正改変が検出されると自己有意破壊する（あるいはＳＰＵの他の部分を破壊する）ＳＰＵ５００に組み込まれ得る。これらおよび他のハードウェアベースの物理的セキュリティ技術は、不正改変不可能なハードウェアセキュリティバリア５０２に寄与する。
【０１６９】
セキュリティバリア５０２のセキュリティをさらに増すために、例えば、以下のような１つ以上の物理的エンクロージャにＳＰＵ５００を入れる、あるいは含ませることが可能である。エポキシあるいは他の「埋込み用樹脂」、付加的な自己有意破壊、自己使用不可能（ｓｅｌｆ−ｄｉｓａｂｌｉｎｇ）あるいは不正改変が検出されると活性化される他の特徴を含む別のモジュールエンクロージャ、パスワードあるいは動作のための他の認証の要求などの付加的なセキュリティ保護を提供する別のモジュールなどである。さらに、金属の別の層がダイに付加されることによって、酸エッチング、マイクロプロービングなどが複雑になり得る。メモリを「ゼロ化」するように設計された回路は、自己有意破壊の局面として含まれ得る。プラスチックパッケージ自体は、化学的および物理的「攻撃」に抵抗するように設計され得る。ＳＰＵ５００の内部のメモリは、ビットの位置を「シャッフル」し、それによってメモリ位置の値を電気的に決定する、特殊化されたアドレス指定およびリフレッシュ回路を有し得る。これらのおよび他の技術は、バリア５０２のセキュリティに寄与し得る。
【０１７０】
いくつかの電子機器６００において、ＳＰＵ５００は、装置マイクロコントローラまたは等価物、あるいは装置Ｉ／Ｏあるいは通信マイクロコントローラと共に、共通チップ（またはチップセット）５０５に集積化され得る。例えば、一つの好ましい実施の形態において、ＳＰＵ５００は、１つ以上の他のＣＰＵ（例えば、電子機器のＣＰＵ６５４）と単一のコンポーネントあるいはパッケージ中に集積化され得る。他のＣＰＵ６５４は、例えば、マイクロプロセッサ、他のマイクロコントローラ、および／またはアレイあるいは他の並列プロセッサなどのいずれもの中心制御論理構成であり得る。この集積化された構成によって、コスト全体が低下し、サイズ全体が小さくなり、ＳＰＵ５００とＣＰＵ６５４との間のより速い潜在的な相互作用が行われ得る。また、集積化されたＳＰＵ／ＣＰＵコンポーネントが広範に配布されたマイクロプロセッサラインの標準的な特徴である場合は、集積化によって、より広い配布が行われ得る。電子機器６００のメインＣＰＵ６５４へ（あるいは、他の機器、または機器周辺マイクロコンピュータ、あるいは他のマイクロコントローラへ）のＳＰＵ５００の組み込みによって、ＶＤＥ１００を実施する通常経費コストを実質的に低減し得る。集積化の際に考慮されるべきことには、実施コスト、製作コスト、所望の程度のセキュリティ、および小ささが含まれ得る。
【０１７１】
ＳＰＵ５００は、ＣＰＵ以外の装置とも集積化され得る。例えば、ビデオおよびマルチメディアアプリケーションについて、性能および／またはセキュリティ利点（全体の設計に依存する）には、ＳＰＵ５００をビデオコントローラあるいはチップセットに集積化することから得られ得るものもある。ＳＰＵ５００はまた、ネットワーク通信チップあるいはチップセットなどに直接集積化され得る。高速通信アプリケーションにおけるある性能は、ＳＰＵ５００をモデムチップあるいはチップセットと集積化することからも得られ得る。これによって、スタンドアローンファックス機械などの通信機器へのＳＰＵ５００の組み込みを促進し得る。ＳＰＵ５００は、ＣＤ−ＲＯＭ装置、セットトップケーブル装置、ゲーム装置、および配布された情報を使用する、その情報へのアクセスを可能にする、その情報に関連する取引を行う、または配布された情報を消費する、様々な他の電子機器に集積化され得る。
ＳＰＵ５００内部アーキテクチャ
図９は、ＳＰＵ５００の一例の内部構造の詳細な図である。この例におけるＳＰＵ５００は、単一のマイクロプロセッサ５２０と、ＲＯＭ５３２およびＲＡＭ５３４として構成された、制限された量のメモリとを含む。より詳細には、ＳＰＵ５００のこの例は、マイクロプロセッサ５２０と、暗号化／復号化エンジン５２２と、ＤＭＡコントローラ５２６と、リアルタイムクロック５２８と、バスインタフェースユニット（「ＢＩＵ」）５３０と、読み出し専用メモリ（ＲＯＭ）５３２と、ランダムアクセスメモリ（ＲＡＭ）５３４と、メモリ管理ユニット（「ＭＭＵ」）５４０とを備えている。ＤＭＡコントローラ５２６およびＭＭＵ５４０は選択的であるが、これらがないとＳＰＵ５００の性能に悪影響が与えられ得る。ＳＰＵ５００は、選択的なパターンマッチングエンジン５２４と、選択的な乱数ジェネレータ５４２と、選択的な算術アクセレータ回路５４４と、選択的な圧縮／圧縮解除回路５４６とを備え得る。共有されたアドレス／データバス構成５３６は、マイクロプロセッサ５２０および／またはＤＭＡコントローラ５２６の制御下でこれらの様々なコンポーネント間で情報を移動させ得る。付加的なあるいは代替的な専用経路５３８は、マイクロプロセッサ５２０を他のコンポーネント（例えば、ライン５３８ａを介して暗号化／復号化エンジン５２２に、ライン５３８ｂを介してリアルタイムクロック５２８に、ライン５３８ｃを介してバスインタフェースユニット５３０へ、およびライン５３８ｄを介してＤＭＡコントローラへ、ライン５３８ｅを介してメモリ管理ユニット（ＭＭＵ）５４０へ）接続し得る。
【０１７２】
以下の章では、これらのＳＰＵコンポーネントを各々詳細に検討する。
【０１７３】
マイクロプロセッサ５２０
マイクロプロセッサ５２０は、ＳＰＵ５００の「ブレーン」である。この例において、マイクロプロセッサは、ＲＯＭ５３２および／またはＲＡＭ５３４内に（少なくとも一時的に）格納されたコードによって指定される一連のステップを実行する。好ましい実施形態におけるマイクロプロセッサ５２０は、ＲＯＭ５３２および／または他のメモリに格納されている命令を実行するための専用中央処理構成（例えば、ＲＩＳＣおよび／またはＣＩＳＣプロセッサユニット、マイクロコントローラ、および／または他の中央処理手段、あるいは望ましさの程度は低くなるが、大半のアプリケーションにおいて、プロセス特定専用制御論理）を備える。マイクロプロセッサ５２０は、回路設計（ｌａｙｏｕｔ）の別々のエレメントであっても、安全なＳＰＵ５００内の別々のパッケージであってもよい。
【０１７４】
好ましい実施の形態において、マイクロプロセッサ５２０は、通常、電子機器６００の動作の最もセキュリティに影響を受けやすい面を取り扱う。例えば、マイクロプロセッサ５２０は、ＶＤＥ復号化、暗号化、あるコンテンツおよび／または機器使用制御情報、ＶＤＥ安全化されたコンテンツの使用の記録、および他のＶＤＥ使用規則関連機能を管理し得る。
【０１７５】
各ＳＰＵ５００および／または電子機器の第２のメモリ６５２に格納されているのは、例えば、ＲＯＳ６０２ソフトウェア、アプリケーションプログラム６０８、ＶＤＥ制御されたプロパティコンテンツおよび関連する情報を含むオブジェクト３００、およびオブジェクトに関連づけられた情報およびＶＤＥ制御情報の両方を格納する管理データベース６１０の一例であり得る。ＲＯＳ６０２は、一部には、ＶＤＥに関するオブジェクト３００の使用を電子機器６００によって制御するためのＳＰＵマイクロプロセッサ５２０によって実行されることを意図されたソフトウェアを含む。以下で説明されるように、これらのＳＰＵプログラムは、基本的な制御機能を行うための「ロードモジュール」を含む。これらの様々なプログラムおよび関連づけられたデータは、主にマイクロプロセッサ５２０によって実行および加工される。
【０１７６】
リアルタイムクロック（ＲＴＣ）５２８
好ましい実施の形態において、ＳＰＵ５００は、ＳＰＵのための信頼性のある不正改変不可能な時間ペースとなるリアルタイムクロック回路（「ＲＴＣ」）５２８を含んでいる。ＲＴＣ５２８は、好ましい実施の形態において一日の時間および日付け（例えば、月、日および年）を記録し、従って、カレンダとクロックとの組み合わせを有し得る。信頼性のある時間ベースは、時間ベースの時間計量メソッド、「時間的に古い復号化鍵」および他の時間ベースＳＰＵ機能を実行するために重要である。
【０１７７】
ＲＴＣ５２８は、動作のために電力を受け取らなければならない。最適には、ＲＴＣ５２８電源は、ＳＰＵ５００内に位置する小型バッテリあるいは他の安全なエンクロージャを備え得る。しかし、ＲＴＣ５２８は、ＳＰＵ５００の外部にある外部に位置するバッテリなどの電源を用い得る。このような外部に位置するバッテリは、比較的途切れのない電力をＲＴＣ５２８を提供し、またＳＰＵ５００内の揮発性ＲＡＭ５３４の少なくとも一部を非揮発性に維持する。
【０１７８】
一つの実施態様において、電子機器電源６５９は、ＳＰＵ５００に電力を与えるためにも用いられる。ＲＴＣ５２８のための唯一の電源としていずれもの外部電源を用いることによって、少なくとも、ＳＰＵ５００が、外部電力の供給のいずれもの中断（あるいは重要な中断のいずれか）を認識し、そのような中断を記録し、ＶＤＥプロセスの一部あるいはすべてを行うＳＰＵ５００の能力を不能にするなど、適切であり得るように応答しない限り、時間ベースのセキュリティ技術の有用性を大幅に低減させる。電力の中断は、例えば、電力不良によって活性化される回路を用いることによって達成され得る。電力不良感知回路は、１つ以上の電力不良イベントを記録するための関連づけられた論理を含む別の回路に電力を与え得る。キャパシタ放電回路は、この論理を動作させるために必要な一時的な電力を供給し得る。さらにまたはあるいは、ＳＰＵ５００は、ＲＴＣ５２８の出力を、利用可能である場合は、ホスト電子機器６００のクロック出力と時折比較し得る。相違が検出された場合には、ＳＰＵ５００は適切に応答し得、その応答は、相違の記録および／または少なくともいくつかの状況下でＳＰＵ５００によって行われるプロセスの少なくとも一部を使用不能にすることを含む。
【０１７９】
電力不良および／またはＲＴＣ５２８相違および／または他のイベントが、不正改変の可能性を示す場合、ＳＰＵ５００は、実行に関連する情報および／または暗号化鍵に関連する情報などの、ＳＰＵが格納する影響を受けやすい情報の一つ以上の部分を自動的に破壊するか、特権化された介入なしにアクセス不可能にし得る。さらなるＳＰＵ動作を提供するために、適切であるように、ＶＤＥ情報交換所、管理者および／または配布者が破壊された情報に代わらなければならない。これは、更新および／または置換データおよび／またはコードを遠隔的にダウンロードすることによって達成され得る。上記のようにプロセスおよび／または情報が不能にされるおよび／または破壊される場合、電子機器６００は、ＲＴＣ５２８を再初期化するために、適切なように管理者、情報交換所および／または配布者との安全なＶＤＥ通信を必要とし得る。それまでは安全なＳＰＵ５００プロセスの一部あるいは全てが動作し得ない。
【０１８０】
ＲＴＣ５２８を設定および／または同期化するためのメカニズムを提供することが望ましくあり得る。好ましい実施の形態において、ＶＤＥ電子機器６００と別のＶＤＥ機器との間で通信が生じると、ＲＴＣ５２８の出力は、「上位（ｓｅｎｉｏｒ）」であることが承認され制御を行うパーティの制御下で、制御されたＲＴＣ５２８出力時間と比較され得る。相違の場合は、通信において「下位（ｊｕｎｉｏｒ）」によって制御される参加者のＲＴＣ５２８をリセットすることを含む、適切な行動がとられ得る。
【０１８１】
ＳＰＵ暗号化／復号化エンジン５２２
好ましい実施形態において、ＳＰＵ暗号化／復号化エンジン５２２は、データを迅速かつ効率よく暗号化および／または復号化するための特定目的ハードウェア（例えば、ハードウェア状態マシン（ｓｔａｔｅ　ｍａｃｈｉｎｅ））を提供する。ある実施態様においては、暗号化／復号化機能は、ソフトウェアの制御下でマイクロプロセッサ５２０によって代わりに行われ得るが、一般的に、特定目的暗号化／復号化ハードウェアエンジン５２２を設けると性能があがる。所望であれば、例えば１つ以上の回路素子を最適に共用するために、マイクロプロセッサ５２０は、同じ回路レイアウトに共に統合しうるプロセッサ回路部および専用暗号化／復号化論理の組合せを含み得る。
【０１８２】
一般的に、ＳＰＵ５００によって扱われる大抵のデータおよびオブジェクトを保護するためには、計算上効率的かつ非常に安全な「バルク（ｂｕｌｋ）」暗号化／復号化技術を使用することが好ましい。通信チャネルを確立し、いかなる転送されたパーミッション、メソッド、および管理情報も安全化する電子機器６００のアイデンティティを認証するための局面として、非常に安全な暗号化／復号化技術を使用することが好ましい。好ましい実施形態において、暗号化／復号化エンジン５２２は、対称鍵暗号化／復号化回路（例えば、ＤＥＳ、Ｓｋｉｐｊａｃｋ／Ｃｌｉｐｐｅｒ、ＩＤＥＡ、ＲＣ−２、ＲＣ−４など）および反対称（非対称）または公開鍵（「ＰＫ」）暗号化／復号化回路の両方を含む。公開／秘密鍵暗号化／復号化回路は、ＳＰＵ５００と、ＶＤＥ管理者または他の電子機器６００との間、つまりＶＤＥ安全サブシステム間の安全な通信の局面として主に使用される。対称的な暗号化／復号化回路は、ＳＰＵ５００が内在する電子機器６００の補助記憶装置６６２に格納される大抵のデータを、「バルク」暗号化および復号化するために使用され得る。対称鍵暗号化／復号化回路はまた、ＶＤＥオブジェクト３００内に格納されているコンテンツを暗号化および復号化するためにも使用され得る。
【０１８３】
ＤＥＳまたは公開／秘密鍵メソッドは、全ての暗号化機能に使用され得る。代替の実施形態においては、種々の暗号化に関連した機能に、ＤＥＳおよび公開／秘密鍵メソッド以外の暗号化および復号化メソッドを使用し得る。例えば、同じ鍵を暗号化および復号化に使用する他のタイプの対称暗号化／復号化技術を、ＤＥＳ暗号化および復号化の代わりに使用することができる。好ましい実施形態は、暗号化／復号化エンジン５２２内の多数の専用回路、および／またはＳＰＵ５００内の処理配置部（ｐｒｏｃｅｓｓｉｎｇ　ａｒｒａｎｇｅｍｅｎｔ）を用いて複数の暗号化／復号化技術をサポートすることができる。
【０１８４】
パターンマッチングエンジン５２４
任意のパターンマッチングエンジン５２４によって、パターンマッチング機能を行う特定目的ハードウェアを得ることができる。ＳＰＵ５００の行いうる機能の１つに、ＶＤＥオブジェクト３００および他のアイテムを有効性検査／認証することが挙げられる。有効性検査／認証ではよく、特定の手法で同じかどうかを決めるために、長いデータストリングを比較する。さらに、（アクセスされたエレメントの論理的および／または物理的な（連続した）関係などの）特定の使用形式においては、特定のビットパターンに対してもしかしてあるかもしれない長いデータストリング（ｐｏｔｅｎｔｉａｌｌｙ　ｌｏｎｇ　ｓｔｒｉｎｇｓ　ｏｆ　ｄａｔａ）、または他の重要なパターンに関連した測定基準（ｍｅｔｒｉｃ）のサーチを必要としうる。パターンマッチングは、ソフトウェアの制御下でＳＰＵマイクロプロセッサ５２０によって行うことができるが、特定目的ハードウェアパターンマッチングエンジン５２４を設けることによって、パターンマッチング処理の速度をあげ得る。
【０１８５】
圧縮／圧縮解除エンジン５４６
ＶＤＥオブジェクト３００に格納された、またはそこから放出されたコンテンツを、例えば圧縮および／または圧縮解除するために、ＳＰＵ５００内に任意の圧縮／圧縮解除エンジン５４６を設置し得る。圧縮／圧縮解除エンジン５４６は、ハードウェア回路部を用いて１つ以上の圧縮アルゴリズムを実施し、圧縮／圧縮解除動作のパフォーマンス（これは、さもなくばマイクロプロセッサ５２０、またはＳＰＵ５００の外部で動作しているソフトウェアによって行われる）を改善し得る。通常配布前に圧縮され、その圧縮解除速度が重要である映像または音声などのデータの放出において、圧縮解除が重要となる。場合によって、使用をモニタリングする目的に有用な情報（レコード分離部または他のデリミッタなど）は圧縮層の下に「隠れて」おり、この層は、この情報が検出されＳＰＵ５００内で使用される前に削除しなければならない。
【０１８６】
乱数発生器５４２
任意の乱数発生器５４２は、（例えば、量子雑音のような本質的に予期し得ない物理的過程から）無作為な値を発生するために、専用のハードウェア回路部を提供し得る。そのような無作為な値は、特に、暗号化鍵または固有の識別子を構成するのに、また疑似ランダム列の発生を初期化するのに有用である。乱数発生器５４２は、使用あたり単一ビットほどの小さい値も含めて、いかなる都合の良い長さの値も発生し得る。乱数発生器５４２によって発生された値を連鎖（ｃｏｎｃａｔｅｎａｔｉｎｇ）させることによって、任意の大きさの乱数を構成し得る。乱数発生器５４２によって発生される無作為鍵およびシードと、ＳＰＵ５００内の暗号化／復号化エンジン５２２または暗号技術的アルゴリズムによる繰り返しの暗号化とから暗号技術上強力な疑似ランダム列を発生し得る。このような列は例えば秘密ヘッダに使用されて、暗号化分析によって暗号鍵を判定しようとする試みをくじくことができる。
【０１８７】
演算アクセレレータ５４４
大きい数値を伴った乗算およびべき乗などの数学的な計算を迅速に行いうるハードウェア回路部の形態で、任意の演算アクセレレータ５４４をＳＰＵ５００内に設置しうる。特定の非対称的暗号化／復号化演算に必要となる計算を援助するために、これらの計算は、例えば、マイクロプロセッサ５２０または暗号化／復号化エンジン５２２によってリクエストされ得る。そのような演算アクセレレータは、当業者によく知られている。実施態様によっては、独立した演算アクセレレータ５４４は省略され、いかなる必要となる計算もソフトウェアの制御下でマイクロプロセッサ５２０によって行われ得る。
【０１８８】
ＤＭＡコントローラ５２６
ＤＭＡコントローラ５２６は、マイクロプロセッサ５２０に各個別のデータ転送を処理させる必要なしに、アドレス／データバス５３６への情報転送を制御する。典型的には、マイクロプロセッサ５２０は、転送すべきターゲット、行き先アドレスおよびバイト数をＤＭＡコントローラ５２６に書き込み、次いでＤＭＡコントローラ５２６は、ＳＰＵ５００のコンポーネント間（例えば、ＲＯＭ５３２からＲＡＭ５３４へ、暗号化／復号化エンジン５２２とＲＡＭ５３４との間、バスインターフェースユニット５３０とＲＡＭ５３４との間など）にデータブロックを自動的に転送し得る。ＤＭＡコントローラ５２６は、多数の転送を同時に扱うために多数のチャネルを有し得る。いくつかの実施態様において、独立のＤＭＡコントローラ５２６は省略することができ、いかなる必要なデータ移動も、ソフトウェアの制御下でマイクロプロセッサ５２０によって行われ得る。
【０１８９】
バスインターフェースユニット（ＢＩＵ）５３０
バスインターフェースユニット（ＢＩＵ）５３０は、ＳＰＵ５００と、安全性バリア５０２を越えた外界との間で情報を通信する。適切なドライバソフトを加えた図９に示されるＢＩＵ５３０は、図６に示される「機器リンク（ａｐｐｌｉａｎｃｅ　ｌｉｎｋ）」５１０を含み得る。好ましい実施形態において、バスインターフェースユニット５３０は、ＵＳＡＲＴまたはＰＣＩバスインターフェースにならってモデル化（ｍｏｄｅｌｌｅｄ）され得る。本例においては、ＢＩＵ５３０は、図８に示される電子機器システムバス６５３にＳＰＵ５００を接続する。ＢＩＵ５３０は、ＳＰＵ５００内の内部コンポーネントおよびそれらのコンテンツへの承認されていないアクセスを防ぐように設計される。これは、ＳＰＵ５００に関連する信号をマイクロプロセッサ５２０上でランされる制御プログラムによって処理することだけを許可し、ＳＰＵ５００の内部エレメントへの直接アクセスをサポートしないことによって実施される。
【０１９０】
メモリ管理ユニット５４０
メモリ管理ユニット（ＭＭＵ）５４０は、存在すれば、メモリ管理および仮想メモリ管理機能のためのハードウェアサポートを提供する。また、安全な実行空間のハードウェアコンパートメント化（ｈａｒｄｗａｒｅ　ｃｏｍｐａｒｔｍｅｎｔａｌｉｚａｔｉｏｎ）を強化する（例えば、比較的低信頼なタスクが、より高信頼なタスクを改変することを防ぐ）ことにより、向上した安全性も提供し得る。ＳＰＵ５００によってサポートされる安全処理環境（「ＳＰＥ」）５０３のアーキテクチャの論議に関連して、以下により詳細に説明する。
【０１９１】
ＭＭＵ５４０は、また、例えばアドレスマッピングなど、メモリ管理に関連したハードウェアレベルのサポート機能も提供し得る。
【０１９２】
ＳＰＵメモリアーキテクチャ
好ましい実施形態において、ＳＰＵ５００は、３種類の汎用メモリを使用する：
（１）内部ＲＯＭ５３２；
（２）内部ＲＡＭ５３４；および
（３）外部メモリ（典型的には、ホスト電子機器によって供給されるＲＡＭおよび／またはディスク）
ＳＰＵ５００内の内部ＲＯＭ５３２およびＲＡＭ５３４は、安全動作環境および実行空間を提供する。コスト制限、チップ加工サイズ、複雑性および他の制限から、ＳＰＵが安全に処理するために必要となる情報を全て格納するために十分なメモリをＳＰＵ５００内に設置できないかもしれない。ＳＰＵ５００内に含まれ得るＲＯＭ５３２およびＲＡＭ５３４の容量には実際的な限界があるため、ＳＰＵ５００は、外部メモリに情報を格納し、必要に応じて、この情報を移動させて安全内部メモリ空間へ出し入れし得る。この場合、ＳＰＵによって行われる安全処理ステップは、典型的に、制限のある利用可能な内部メモリ空間に「ページイン」、およびそこから「ページアウト」し得る、小さく安全にパッケージングされたエレメントに分割されなければならない。ＳＰＵ５００の外部にあるメモリは安全でないかもしれない。外部メモリは安全でないかもしれないため、ＳＰＵ５００は、コードおよび他の情報を、外部メモリに格納する前に暗号化し、かつ暗号技術的にシールし得る。同様に、ＳＰＵ５００は、典型的には、外部メモリから得た暗号化形式のコードおよび他の情報を、それに基づく処理（例えば実行）前に復号化しなければならない。好ましい実施形態において、ＳＰＵ５００内の潜在的なメモリ制限に取り組むために使用される一般的なアプローチが２つある。第１の場合、小さい、安全にパッケージングされたエレメントは、安全データベース６１０に含まれる情報を表す。第２の場合、そのようなエレメントは、保護された（例えば、暗号化された）仮想メモリページを表し得る。仮想メモリページは、安全データベース６１０に格納された情報エレメントと対応し得るが、これは本例のＳＰＵメモリアーキテクチャにおいて必要でない。
【０１９３】
以下に、これらの３つのＳＰＵメモリリソースのそれぞれをより詳細に議論する。
【０１９４】
ＳＰＵ内部ＲＯＭ
ＳＰＵ５００読み出し専用記憶素子（ＲＯＭ）５３２、または匹敵する目的の（ｃｏｍｐａｒａｂｌｅ　ｐｕｒｐｏｓｅ）装置は、特定のプログラムおよび他の情報の安全内部不揮発性記憶装置を提供する。例えば、ＲＯＭ５３２は、ＳＰＵ制御ファームウェア５０８などの「カーネル」プログラム、また所望であれば、暗号化鍵情報および特定の主要な「ロードモジュール」を格納し得る。「カーネル」プログラム、ロードモジュール情報、および暗号化鍵情報は、ＳＰＵ５００の特定の基本的な機能の制御を可能にする。装置の構成に少なくとも部分的に依存しているコンポーネント（例えば、ＰＯＳＴ、メモリアロケーション、およびディスパッチャ）は、特定のインストレーションまたはアプリケーションに必要であると判定された追加のロードモジュールと共に、ＲＯＭ５３２にロードされ得る。
【０１９５】
好ましい実施形態において、ＲＯＭ５３２は、マスクされたＲＯＭ５３２ａと、ＥＥＰＲＯＭおよび／または等価の「フラッシュ」メモリ５３２ｂとの組合せを含み得る。ＥＥＰＲＯＭまたはフラッシュメモリ５３２ｂは、更新および／または初期化する必要のある、特定の暗号化鍵などのアイテムを格納するために使用される。ＥＥＰＲＯＭおよび／またはフラッシュメモリ５３２ｂを設置することによるさらなる利点は、ＳＰＵ５００に永続的に格納されているいかなるロードモジュールおよびライブラリ機能も、特定サイトにおける代表的な用途に基づいて最適化できることである。これらのアイテムはまた、ＮＶＲＡＭ５３４ｂにも格納され得るが、ＥＥＰＲＯＭおよび／またはフラッシュメモリ５３２ｂの方がコスト効率がより高い。
【０１９６】
マスクされたＲＯＭ５３２ａは、フラッシュおよび／またはＥＥＰＲＯＭ５３２ｂよりコストが低くなり得、ＳＰＵソフトウェア／ファームウェアの永久部分（ｐｅｒｍａｎｅｎｔ　ｐｏｒｔｉｏｎｓ）を格納するために使用され得る。そのような永久部分は、例えば、ＲＴＣ５２８、暗号化／復号化エンジン５２２、割り込み処理ハンドラ（ｉｎｔｅｒｒｕｐｔ　ｈａｎｄｌｅｒｓ）、鍵発生器などのハードウェア素子とインターフェースをとるコードを含み得る。ＳＰＵ５００によって提供されるいくつかのオペレーティングシステム、ライブラリコール、ライブラリ、および多くのコアサービスもまた、マスクされたＲＯＭ５３２ａに内蔵され得る。さらに、いくつかのより一般的に使用される実行可能物（ｅｘｅｃｕｔａｂｌｅｓ）もまた、マスクされたＲＯＭ５３２ａに多分に内蔵され得る。更新の必要な、またはＳＰＵ５００からパワーが解除された場合に消失する必要のあるアイテムは、マスクされたＲＯＭ５３２ａに格納されるべきではない。
【０１９７】
状況によっては、ＲＡＭ５３４ａおよび／またはＮＶＲＡＭ５３４ｂ（ＮＶＲＡＭ５３４ｂは、例えば、コンスタントに電力が供給される従来のＲＡＭである）は、ＲＯＭ５３２の役割の少なくとも一部を実施し得る。
【０１９８】
ＳＰＵ内部ＲＡＭ
ＳＰＵ５００汎用ＲＡＭ５３４は、とりわけ、安全処理のための安全実行空間を提供する。好ましい実施形態において、ＲＡＭ５３４は、高速ＲＡＭ５３４ａとＮＶＲＡＭ（「不揮発性ＲＡＭ」）５３４ｂとの組合せのような異なるタイプのＲＡＭを含む。ＲＡＭ５３４ａが揮発性を有し得る一方で、ＮＶＲＡＭ５３４ｂは、好ましくはバッテリ支援されるか（ｂａｃｋｅｄ）、さもなくば不揮発性である（すなわち、電源がオフにされた場合もその内容を失わない）ように配置される。
【０１９９】
高速ＲＡＭ５３４ａは、実行されるアクティブコード、および関連データストラクチャを格納する。
【０２００】
ＮＶＲＡＭ５３４ｂは、好ましくは、ＳＰＵ５００がＶＤＥ管理者と通信する初期化処理の一部として予めロードされた特定の鍵およびサマリ値（ｓｕｍｍａｒｙ　ｖａｌｕｅｓ）を含み、またＳＰＵ５００の動作に関連した変換可能または変換している情報も格納し得る。安全性の理由のために、特定の非常に影響を受けやすい情報（例えば、内部発生秘密鍵などの特定のロードモジュールおよび特定の暗号鍵関連情報）は、ＳＰＵ５００にロード、またはＳＰＵ５００によって内部発生される必要が時にあるが、いったんロードまたは内部発生されるとＳＰＵから出てはならない。この好ましい実施形態においては、ＳＰＵ５００の不揮発性ランダムアクセスメモリ（ＮＶＲＡＭ）５３４ｂが、そのような非常に影響を受けやすい情報を安全に格納するために使用され得る。ＮＶＲＡＭ５３４ｂはまた、頻繁に変換し得るデータであるが、電源が落とされた際、または電源停止モードの際には消失してはならないデータを格納するためにもＳＰＵ５００によって使用される。
【０２０１】
ＮＶＲＡＭ５３４ｂは、好ましくは、フラッシュメモリアレイであるが、それに加えてまたはその代わりに、十分な速度およびコスト効率を有する、電気的に消去可能なプログラム可能な読み取り専用メモリ（ＥＥＰＲＯＭ）、スタティックＲＡＭ（ＳＲＡＭ）、バブルメモリ、３次元ホログラフィックまたは他の電気光学メモリなど、もしくは他の書き込み可能（例えば、ランダムアクセス可能な）不揮発性メモリであり得る。
【０２０２】
ＳＰＵ外部メモリ
ＳＰＵ５００は、ＳＰＵの外部にあるメモリ装置に特定の情報を格納できる。利用可能であれば、電子機器６００のメモリはまた、ＳＰＵ５００ソフトウェアのいかなる装置外部部分もサポートするために使用され得る。ＳＰＵ５００に外部メモリを使用させることによって特定の利益が得られる。一例として、ホスト電子機器６００内の、ＲＡＭ６５６および／またはＲＯＭ６５８の不揮発性部分などの不揮発性読み取り／書き込みメモリを使用することによって、ＳＰＵ５００の内部メモリのサイズを小さくし得る。
【０２０３】
そのような外部メモリは、ＳＰＵプログラム、データおよび／または他の情報を格納するために使用され得る。例えば、ＶＤＥ制御プログラムは、少なくともその一部は、実行前に、メモリにロードされ、ＳＰＵ５００に通信され、その中において復号化される。そのような制御プログラムは、再び暗号化され、その後のＳＰＵ５００による実行のために格納され得る外部メモリに通信されて戻される（ｃｏｍｍｕｎｉｃａｔｅｄ　ｂａｃｋ）。「カーネル」プログラムおよび／もしくは一部または全ての非カーネル「ロードモジュール」が、ＳＰＵ５００によってその外部にあるメモリに格納され得る。安全データベース６１０は比較的大きくなり得るため、ＳＰＵ５００は、一部または全ての安全データベース６１０を外部メモリ内に格納し、必要に応じてＳＰＵ５００に部分的にコールすることができる。
【０２０４】
前述したように、ＳＰＵ５００の外部にあるメモリは安全でないかもしれない。従って、安全性が必要となる場合、ＳＰＵ５００は、外部メモリに書き込む前に安全情報を暗号化し、外部メモリから読み出した安全情報を使用前に復号化しなければならない。暗号化層はＳＰＵ５００内に存在する安全化処理および情報（例えば、暗号化アルゴリズムおよび鍵）に依存するため、暗号化層はＳＰＵ安全バリア５０２を効果的に「拡張」して、ＳＰＵ５００の外部にあるメモリに格納された情報を保護する。
【０２０５】
ＳＰＵ５００は、幅広い異なる種類の外部メモリを使用することができる。例えば、外部メモリは、ディスク；外部ＥＥＰＲＯＭまたはフラッシュメモリ６５８；および／または外部ＲＡＭ６５６などの電子機器補助記憶装置６５２を含み得る。外部ＲＡＭ６５６は、外部不揮発性（例えば、コンスタントに電圧が供給される）ＲＡＭおよび／またはキャッシュＲＡＭを含み得る。
【０２０６】
ＳＰＵ５００のローカルにある外部ＲＡＭを使用することによって、ＳＰＵの外部に格納された情報へのアクセス時間が有意に改善される。例えば、外部ＲＡＭは以下のことに使用され得る：
Ｃ　（有意な電源またはシステム故障中の、フラッシュまたはハードディスクへの転送を想定して）メモリイメージページおよびデータストラクチャを、それらをフラッシュメモリまたは外部ハードディスクへ格納する前にバッファリングすること；
Ｃ　ＶＤＥオブジェクト３００から放出されたデータのための暗号化および復号化バッファを提供すること。
Ｃ　ＳＰＵ５００に安全仮想メモリ環境を設けるための局面として、その時点で使用されている「スワップブロック（ｓｗａｐ　ｂｌｏｃｋｓ）」およびＶＤＥデータストラクチャをキャッシュ（ｃａｃｈｅ）すること。
Ｃ　例えば、補助記憶装置６５２へのＳＰＵによるアクセスの頻度を減少するために、および／または他の理由により、他の情報をキャッシュすること。
【０２０７】
デュアルポート外部ＲＡＭは、ＳＰＵバスインターフェースユニット５３０およびＳＰＵマイクロプロセッサ５２０のデータ移動オーバーヘッドを減少できるため、ＳＰＵ５００の性能を改善するために特に効果的であり得る。
【０２０８】
実質的に全てのデータ構造へのアクセス時間を有意に改善するために、ＳＰＵ５００のローカルにある外部フラッシュメモリを使用することができる。最も利用可能なフラッシュ記憶装置は書き込み寿命に限界があるため、フラッシュ記憶装置は、フラッシュメモリの寿命期間の間に生じる書き込みの回数を考慮する必要がある。従って、頻繁に書き込みされる一時的なアイテムを一時的に格納すること（ｆｌａｓｈ　ｓｔｏｒａｇｅ）は好ましくない。外部ＲＡＭが不揮発性である場合には、フラッシュ（またはハードディスク）への転送は必要でないかもしれない。
【０２０９】
ＳＰＵ５００によって使用される外部メモリは、以下の２つのカテゴリを含み得る：
Ｃ　ＳＰＵ５００専用の外部メモリ、および
Ｃ　電子機器６００と共用されるメモリ。
【０２１０】
ＶＤＥ実施態様によっては、電子機器６００のＣＰＵ６５４または他の素子と、メモリ（例えば、電子機器ＲＡＭ６５６、ＲＯＭ６５８、および／または補助記憶装置６５２）を共用することは、ＶＤＥ安全データベース管理ファイル６１０、およびＳＰＵ５００の外部に格納される必要のある情報を格納するために最もコスト効果のある手法である。汎用ファイル格納のために使用されるホストシステムハードディスク補助メモリ６５２は、例えば、ＶＤＥ管理ファイル６１０を格納するためにも使用され得る。ＳＰＵ５００は、外部メモリへの独占的なアクセス（例えば、ＢＩＵ５３０によって提供されるローカルバス高速接続）を与えられ得る。専用および共用外部メモリの両方を設置することもあり得る。
＊＊＊＊＊＊
上では、電子機器６００の一例のハードウェア構成を説明した。以下の節においては、好ましい実施形態である「権利オペレーティングシステム」（「ＲＯＳ」）６０２のストラクチャおよび動作を含む、好ましい実施形態によって提供される電子機器６００のソフトウェアアーキテクチャの一例を説明する。
権利オペレーティングシステム６０２
好ましい実施形態における権利オペレーティングシステム（「ＲＯＳ」）６０２は、コンパクト、安全、イベント駆動型、サービスベース、「コンポーネント」志向の分散型多処理オペレーティングシステム環境であり、ＶＤＥ情報安全制御情報、コンポーネント、およびプロトコルと、従来のオペレーティングシステムの概念とを統合している。従来のオペレーティングシステムと同様、好ましい実施形態によって提供されるＲＯＳ６０２は、コンピュータシステムのハードウェアリソースを管理し、通信装置を含むインプットおよび／またはアウトプット装置にまで管理機能の範囲を拡張するソフトウェアの一部である。また従来のオペレーティングシステムと同様に、好ましい実施形態ＲＯＳ６０２は、特定のハードウェア実施態様間の差、およびそれらの多くの細部にわたる複雑性を隠すための基本機能と抽象層との首尾一貫したセットを提供する。多くのまたはほとんどのオペレーティングシステムにおいて見られるこれらの特性に加えて、ＲＯＳ６０２は、安全ＶＤＥ取引管理および他のオペレーティングシステムでは見られない他の有利な特徴を提供する。以下は、好ましい実施形態におけるＲＯＳ６０２によって提供される有利な特徴の一部の部分的なリストである：
規格化されたインターフェースにより基本機能の首尾一貫したセットが提供される
Ｃ　プログラミングを単純化する
Ｃ　同じアプリケーションを多くの異なるプラットホーム上でランできる
イベント駆動型
Ｃ　機能分解（ｆｕｎｃｔｉｏｎａｌ　ｄｅｃｏｍｐｏｓｉｔｉｏｎ）を容易にする
Ｃ　拡張可能
Ｃ　状態遷移および／または処理志向イベントを適合させる
Ｃ　タスク管理を単純化する
Ｃ　内部処理通信を単純化する
サービスベース
Ｃ　単純かつトランスペアレントな規模変更性（ｓｃａｌａｂｉｌｉｔｙ）を可能にする
Ｃ　マルチプロセッササポートを単純化する
Ｃ　マシーン依存性（ｍａｃｈｉｎｅ　ｄｅｐｅｎｄｅｎｃｉｅｓ）を隠蔽する
Ｃ　ネットワーク管理およびサポートを容易にする
コンポーネントベースアーキテクチャ
Ｃ　独立的に送達可能な安全コンポーネントに基づく処理
Ｃ　処理制御のコンポーネントモデルは、要件に基づいて再構成できる異なる一連のステップを許容することができる
Ｃ　コンポーネントは（許可を受けて）追加、削除、または改変され得る
Ｃ　予め定義されたおよびユーザ定義されたアプリケーションイベントにわたる完全な制御情報
Ｃ　独立した実行可能物でイベントを個別に制御できる
安全
Ｃ　安全通信
Ｃ　安全制御機能
Ｃ　安全仮想メモリ管理
Ｃ　曝されること（ｅｘｐｏｓｕｒｅ）から保護された情報制御ストラクチャ
Ｃ　データエレメントは有効性が検査され、相互に関連され、およびアクセス制御される
Ｃ　コンポーネントは独立的に暗号化され、有効性検査される
Ｃ　コンポーネントは、エレメントの非承認的な使用を防ぐために強く相互関連される
Ｃ　制御ストラクチャおよび安全化された実行可能物を、不正改変に対する保護のために使用する前に有効性検査する
Ｃ　Ｉ／Ｏレベルで安全性に対する考慮を統合する
Ｃ　放出時に情報のオンザフライ復号化を提供する
Ｃ　安全商用取引ネットワークを可能にする
Ｃ　フレキシブルな鍵管理を特色とする
規模変更性
Ｃ　多くの異なるプラットホームに対して高い規模変更性を有する
Ｃ　マルチプロセッサ環境における同時処理をサポートする
Ｃ　多数の協同プロセッサをサポートする
Ｃ　いなかる数のホストまたは安全プロセッサもサポートする
Ｃ　制御構造およびカーネルは、リコンパイルすることなく、種々のホストプラットホーム、およびターゲットプラットホーム内の異なるプロセッサに容易に移植可能である
Ｃ　遠隔処理をサポートする
Ｃ　リモートプロシージャコール（Ｒｅｍｏｔｅ　Ｐｒｏｃｅｄｕｒｅ　Ｃａｌｌｓ）を内部ＯＳ通信に使用し得る
高統合性
Ｃ　追加のオペレーティングシステム層として、ホストプラットホームと共に高度に統合できる
Ｃ　従来ＯＳプラットホーム「の上にある」ＯＳ層を使用して、安全化されたコンポーネントおよび情報の非安全格納を許可する
Ｃ　取引管理およびコンテンツアクセスのための一般的用途パラダイムを提供するために、ホストオペレーティングシステムと共にシームレスに統合することができる
Ｃ　統合は多くの形態をとり得る：デスクトップのためのオペレーティングシステム層（例えば、ＤＯＳ、Ｗｉｎｄｏｗｓ、Ｍａｃｉｎｔｏｓｈ）；デバイスドライバおよびネットワークサービスのためのオペレーティングシステムインターフェース（例えば、ＵｎｉｘおよびＮｅｔｗａｒｅ）；ならびに「ロウエンド」セットトップのための専用コンポーネントドライバは、多くの例の中の一部であり、従来およびリアルタイムオペレーティングシステムに統合され得る。
分散型
Ｃ　制御情報および相互制御情報の配布およびメカニズムを提供する
Ｃ　分散された、非同期配置にされたどのＶＤＥノードにおいても、制御された処理の条件付きの実行をサポートする
Ｃ　分散環境における制御された権利委譲
Ｃ　取り扱いおよび制御のチェーンをサポートする
Ｃ　分散され、時に接続され、それ以外においては非同期的にネットワーク化されたデータベースのための管理環境
Ｃ　リアルタイムおよび時間に無関係なデータ管理
Ｃ　「代理人（ａｇｅｎｔ）」処理をサポートする
トランスペアレント
Ｃ　既存のオペレーティングシステムにシームレスに統合され得る
Ｃ　その使用のために特に書かれたわけでないアプリケーションをサポートできる
ネットワークフレンドリ
Ｃ　内部ＯＳストラクチャは、処理を分散するためにＲＰＣを使用し得る
Ｃ　サブネットは、単一ノードとしてまたは独立的にシームレスに動作し得る
オペレーティングシステムに関する一般背景
「オペレーティングシステム」は、プログラマーがコンピュータシステムのためのアプリケーションをより簡単に作成することができるように、コンピュータシステムリソースを組織化するための制御メカニズムを提供する。オペレーティングシステムは、一般的に使用される機能を提供し、（例えば、異なる販売者によって製造され得る）異なるコンピュータハードウェアおよびアーキテクチャ間の互換性を確実にすることを助けることによってこれを行う。オペレーティングシステムは、また、コンピュータ「周辺機器」製造業者がより簡単に互換性のある装備をコンピュータ製造業者およびユーザに供給できるようにする。
【０２１１】
コンピュータシステムは、通常いくつかの異なるハードウェアコンポーネントから作られる。これらのハードウェアコンポーネントは、例えば以下を含んでいる：
命令を実行するための中央処理ユニット（ＣＰＵ）；
実行命令、およびそれらの命令によって動作、またはそれらをパラメータ表示（ｐａｒａｍｅｔｅｒｉｚｉｎｇ）するデータを格納するためのメインメモリセル（例えば、「ＲＡＭ」または「ＲＯＭ」）のアレイ；ならびに
メインメモリセルのイメージを格納するための名前付きエレメント（「ファイルシステム」）を反映するように組織化された１つ以上の補助記憶装置（例えば、ハードディスクドライブ、フロッピーディスクドライブ、ＣＤ−ＲＯＭドライブ、テープ読み取り器、カード読み取り器、または「フラッシュ」メモリ）。
【０２１２】
ほとんどのコンピュータシステムはまた、キーボード、マウス、ビデオシステム、プリンタ、スキャナ、および通信装置などのインプット／アウトプット装置も含む。
【０２１３】
ＣＰＵの実行能力を、利用可能なＲＡＭ、ＲＯＭ、および補助記憶装置と組織化し、プログラマーにより使用される際に一般的に使用される機能を提供するために、「オペレーティングシステム」と称されるソフトウェアの１つが通常他のコンポーネントと共に含まれる。代表的には、この１つのソフトウェアは、電源がコンピュータシステムに入り、ハードウェアの診断が終了した後に実行を開始するように設計される。その後、ＣＰＵ、メインメモリ、および補助メモリ装置の使用は全て、通常、この「オペレーティングシステム」ソフトウェアによって管理される。また、ほとんどのコンピュータオペレーティングシステムは、典型的に、これらの装置に伴う一般的に使用される機能を含めて、それらの管理機能をＩ／Ｏおよび他の周辺機器にまで範囲を拡張するためのメカニズムを含む。
【０２１４】
オペレーティングシステムを通じてＣＰＵ、メモリ、および周辺機器を管理することによって、基本機能およびハードウェア細部を覆い隠すための抽象層の首尾一貫したセットによって、プログラマーは複雑なアプリケーションをより簡単に作成することができる。さらに、コンピュータのハードウェアリソースをオペレーティングシステムで管理することによって、異なる製造業者間の設計および装備要件の多くの差を隠すことができる。さらに、異なる製造業者の基本ハードウェアおよび周辺機器をかなり少ない作業でサポートすることができ、アプリケーションを同じオペレーティングシステムを有する他のユーザとより簡単に共用できる。
有意な利点を提供するオペレーティングシステムであるＲＯＳ６０２
ＲＯＳ６０２は「オペレーティングシステム」である。ＲＯＳ６０２は、電子機器６００のリソースを管理し、電子機器のためのアプリケーション６０８を書くプログラマーに、一般的に使用される機能のセットを提供する。好ましい実施形態における「ＲＯＳ６０２」は、ＳＰＵ５００内のハードウェア（例えば、ＣＰＵ、メモリ、安全ＲＴＣ、および暗号化／復号化エンジン）を管理する。ＲＯＳはまた、電子機器６００内の１つ以上の汎用プロセッサ内のハードウェア（例えば、ＣＰＵおよびメモリ）も管理し得る。ＲＯＳ６０２は、電子機器に取り付けられた周辺装置などの他の電子機器ハードウェアリソースも管理する。例えば、図７を参照すると、ＲＯＳ６０２は、キーボード６１２、ディスプレイ６１４、モデム６１８、ディスクドライブ６２０、プリンタ６２２、およびスキャナ６２４を管理し得る。ＲＯＳ６０２はまた、安全なデータベース６１０、および安全なデータベース６１０を格納するために使用される記憶装置（例えば、「補助記憶装置」６５２）も管理し得る。
【０２１５】
ＲＯＳ６０２は、多数のプロセッサをサポートする。好ましい実施形態におけるＲＯＳ６０２は、いくつもの局所および／または遠隔プロセッサをサポートする。サポートされるプロセッサは、少なくとも２つのタイプ（１つ以上の電子機器プロセッサ６５４、および／または１つ以上のＳＰＵ５００）を含み得る。ホストプロセッサＣＰＵ６５４は、格納、データベース、および通信サービスを提供し得る。ＳＰＵ５００は、暗号技術的および安全化された処理実行サービスを提供し得る。ＲＯＳ６０２によってサポートされる多様な制御および実行ストラクチャは、制御情報の処理が制御可能な実行スペース内で生じることを要件とし得る−−この制御可能な実行スペースはＳＰＵ５００によって提供され得る。追加のホストおよび／またはＳＰＵプロセッサは、効率および／または能力を増加し得る。ＲＯＳ６０２は、追加のプロセッサリソースおよび／または能力を提供するために、電子機器６００の遠隔にあるさらなるプロセッサを、（例えば、ネットワーク、または他の通信リンクを通じて）アクセス、コーディネイトおよび／または管理し得る。
【０２１６】
ＲＯＳ６０２は、サービスベースである。好ましい実施形態において、ホストプロセッサ６５４および／または安全プロセッサ（ＳＰＵ５００）を使用して提供されるＲＯＳサービスは、「遠隔プロシージャコール」（「ＲＰＣ」）内部処理リクエストストラクチャを使用してリンクされている。最小限に時間に依存し、ホストのネットワーク上の協同プロセッサに分散され得る内部処理サービスを、協同プロセッサは、ＲＰＣメカニズムを用いてリクエストし得る。ＲＯＳ６０２によって提供されるマルチプロセッサアーキテクチャは、任意の数のホストまたは安全プロセッサをサポートするために、簡単に拡張することができる。この拡張性は、高いレベルの規模変更性をサポートする。また、サービスにより、機能は、異なる装備に異なって実行され得る。例えば、１人のユーザによる使用度が低い小型機器は、多くのユーザによる使用度の高い非常に大型な機器とはかなり異なる技術を使用したデータベースサービスを実行し得る。これは規模変更性の他の局面である。
【０２１７】
ＲＯＳ６０２は、分散処理環境を提供する。例えば、ユーザのリクエストを履行するために、情報および制御ストラクチャが、必要に応じて自動的、かつ安全にサイトの間を渡ることを可能にする。ＲＯＳ６０２の分散処理特色の下にあるＶＤＥノード間の通信は、前述したように内部処理サービスリクエストを含み得る。ＲＯＳ６０２は、いかなるＶＤＥノード内においても制御されたプロセッサの条件および／または状態に依存した実行をサポートする。処理が実行されるロケーションおよび使用される制御ストラクチャは、局所的に常駐し、遠隔アクセス可能であり、または遠隔システムでの実行をサポートする処理によって支援される。
【０２１８】
ＲＯＳ６０２は、例えば、「代理人」が遠隔環境において動作することを許可するために必要となる制御ストラクチャの配布を含む制御情報の配布を提供する。従って、ＲＯＳ６０２は、「代理人」処理のために生じる要件の一部として、実行および／または情報制御を渡すための施設を提供する。
【０２１９】
所望であれば、ＲＯＳ６０２は、「リアルタイム」接続であり得るかもしれない非常に狭い帯域幅の接続にわたって、制御情報を独立的に配布し得る。好ましい実施形態により提供されるＲＯＳ６０２は、「ネットワークフレンドリ」であり、どのレベルのネットワークプロトコルとも実行され得る。いくつかの例として、ｅ−メール、およびＩＳＯモデルの「Ｌａｙｅｒ　５」付近における直接接続が含まれる。
【０２２０】
ＲＯＳ６０２配布処理（および配布情報の関連監査）は、自らがそのような制御ストラクチャを用いる制御されたイベントである。この「反映型」配布処理メカニズムは、ＲＯＳ６０２が、権利およびパーミッションを制御下で安全に配布し、情報コンテンツの使用特性を効果的に限定できるように許可する。分散環境での制御された権利委譲およびこのアプローチをサポートするためにＲＯＳ６０２によって使用される安全処理技術は、有意な利点を提供する。
【０２２１】
ＲＯＳ６０２内の特定の制御メカニズムは「相互的」である。相互制御メカニズムは、同じまたは他のロケーションにおける１つ以上のコンポーネントと制御された状態で相互作用する１つ以上の制御コンポーネントを、１つ以上のロケーションに位置させる。例えば、ユーザのロケーションにおけるオブジェクトコンテンツに関連した使用制御は、使用制御の配布、使用制御の監査、および使用制御に伴うユーザリクエストを処理するための論理を統治する配布者のロケーションにおける相互制御を有し得る。ユーザのロケーションにおける使用制御は（１つ以上の使用の局面を制御することに加えて）、配布者のための監査、および配布者による処理のための使用制御に関連したフォーマットリクエストを用意し得る。相互制御の両エンドにおける処理は、さらに他の処理によって制御され得る（例えば、配布者は、使用制御メカニズムの製造数の予算によって限定され得る）。相互制御メカニズムは、多くのサイト、および多くのレベルにまで（例えば、作成者から配布者からユーザへと）拡張し得、いかなる関係（作成者／配布者、配布者／ユーザ、ユーザ／ユーザ、ユーザ／作成者、ユーザ／作成者／配布者など）も考慮し得る。相互制御メカニズムは、ＶＤＥ１００において、分散環境における関係およびアグリーメントを示すための使用が多い。
【０２２２】
ＲＯＳ６０２は規模変更可能である。ＲＯＳ６０２制御ストラクチャおよびカーネルの大部分が、リコンパイルなしに種々のホストプラットホームに容易に移植可能である。許可機関がこの種の活性化を許可すれば、いかなる制御ストラクチャも配布（または再配布）され得る。ＲＯＳ６０２内の実行可能なリファランスは、ターゲットプラットホームに移植可能である。ＲＯＳ６０２の異なる実例では、リファランスを異なるリソースを用いて実行し得る。例えば、ＲＯＳ６０２の１つの例においてはＳＰＵ５００を使用してタスクを実行する一方で、ＲＯＳ６０２の他の例においては、ソフトウェアにおいてＳＰＵをエミュレートしている保護されたメモリにおいてランされるホスト処理環境を使用して同じタスクを実行し得る。ＲＯＳ６０２制御情報は同様に移植可能である；多くの場合、イベント処理ストラクチャは、単一のコンピュータ内の協同プロセッサ間の場合と同じくらい簡単に、機械とホストプラットホームとの間を渡される。使用度が異なる機器、および／またはＲＯＳ６０２機能が利用可能なリソースは、これらの機能を非常に異なった手法で実行し得る。十分なリソースがなければ、サービスによっては完全に省略され得る。他の箇所において説明したように、ＲＯＳ６０２は、どのサービスが利用可能で、与えられたイベントに基づいてどのように続行すればよいのかを「知っている」。リソースが欠けていたり、不十分である場合、全てのイベントが処理可能ではないかもしれない。
【０２２３】
ＲＯＳ６０２はコンポーネントベースである。好ましい実施形態においてＲＯＳ６０２によって提供される多くの機能性は、（例えば、適切に安全な状態および承認の下で）安全かつ独立的に送達可能、置換可能、および改変可能な「コンポーネント」に基づき得る。さらに、「コンポーネント」は自らが独立的に送達可能なエレメントから作られ得る。ＲＯＳ６０２は、実行時に、（好ましい実施形態によって提供される「チャネル」と称される構造を用いて）これらのエレメントを共にアセンブルし得る。例えば、ＳＰＵ５００による実行のための「ロードモジュール」は、課金または計量（ｍｅｔｅｒｉｎｇ）などのタスクを行うために、１つ以上の「メソッドコア」、メソッドパラメータ、および、ＲＯＳ６０２が共にコレクトしアセンブルし得る他の関連データストラクチャを参照し得る。異なるユーザは、異なる組合せのエレメントを有し得、いくつかのエレメントは、適切な認証を受けたユーザによってカスタマイズ可能であり得る。これにより、フレキシビリティが上がり、エレメントが再利用されることが可能になり、他の利点も生じる。
【０２２４】
ＲＯＳ６０２は、非常に安全である。ＲＯＳ６０２は、情報制御構成をエンドユーザまたはコンジットホスト（ｃｏｎｄｕｉｔ　ｈｏｓｔ）によって曝されることから保護するメカニズムを提供する。ＲＯＳ６０２は、情報、ＶＤＥ制御ストラクチャ、および制御実行可能なものを強力な暗号化および有効性検査メカニズムを用いることにより保護することができる。これらの暗号化および有効性検査メカニズムは、検知されない不正改変に対して高い防御を有するように設計される。ＲＯＳ６０２は、不正改変を阻止するために、補助記憶装置６５２に格納された情報を暗号化する。ＲＯＳ６０２また、その種々のコンポーネントを別々に暗号化および有効性の検査を行う。ＲＯＳ６０２は、エレメントが非認証的に使用されることを防ぐために制御およびデータストラクチャコンポーネントを相関させる。これらの特徴により、ＲＯＳ６０２が、独立的にエレメントを配布し、また非安全な「他の」ＯＳ機能６０６とＶＤＥ機能６０４との統合が可能になる。
【０２２５】
好ましい実施形態によって提供されるＲＯＳ６０２は、例えば、アクセス制御リスト（ＡＣＬ）ストラクチャなどの従来の能力の範囲を、状態遷移を含むユーザおよび処理定義されたイベントに拡張する。ＲＯＳ６０２は、フル制御情報を、予め定義され、ユーザ定義されたアプリケーションイベントに提供し得る。これらの制御メカニズムは、「ｇｏ／ｎｏ−ｇｏ」パーミッションを含み、またイベントの処理および／または制御において完全なフレキシビリティを許可する任意のイベント固有実行を含む。このストラクチャは、イベントが個別に制御されることを許可し、例えば、計量および予算立てが独立的な実行を使用して提供され得るようにする。例えば、ＲＯＳ６０２は、情報の任意の細分性を制御するために、ＡＣＬストラクチャを拡張する。従来のオペレーティングシステムは、ファイルまたはリソースレベルにおいて、静的な「ｇｏ／ｎｏ−ｇｏ」制御メカニズムを提供し；ＲＯＳ６０２は、フレキシブルな制御ストラクチャを使用して、一般的な手法によって、制御概念の範囲を最も大きいサブエレメントから最も小さいサブエレメントまで拡張する。ＲＯＳ６０２は、例えば、ドキュメントファイルの一段落の印刷を制御する。
【０２２６】
好ましい実施形態によって提供されるＲＯＳ６０２は、各コンポーネントを統治する制御情報の安全な改変および更新を許可する。制御情報はメソッドオプションなどのテンプレートフォーマットでエンドユーザに提供され得る。すると、エンドユーザは、配布者またはコンテンツ作成者によって提供されるガイドラインにおいて使用される実際の制御情報をカスタマイズし得る。好ましくは、既存の制御構成の改変および更新も、監査および制御情報を条件に制御可能なイベントである。
【０２２７】
好ましい実施形態によって提供されるＲＯＳ６０２は、制御ストラクチャおよび安全化された実行を使用前に有効性の検査をする。この有効性検査は、制御ストラクチャおよび実行がエンドユーザによって不正改変されていないことを確認する。有効性検査によりまた、ＲＯＳ６０２が、ファイルおよび他のオペレーティングシステムストラクチャのフラグメントを含むコンポーネントを安全に実行することができる。好ましい実施形態によって提供されたＲＯＳ６０２は、オペレーティングシステムの（アクセスレベルより下の）Ｉ／Ｏレベルにおいて安全化の配慮を統合し、放出時に情報の「オンザフライ」復号化を提供する。これらの特徴は、従来オペレーティングシステムプラットホーム「の上にある」ＯＳ層を使用しＲＯＳ６０２安全コンポーネントおよび情報の非安全な格納を許可する。
【０２２８】
ＲＯＳ６０２は、追加のオペレーティングシステム層としてホストプラットホームと高度に統合可能である。従って、ＲＯＳ６０２は、既存のオペレーティングシステムに「追加すること」によって作成され得る。これは、装置ドライバ、およびネットワークインターフェースレベルにおいて、ＶＤＥ「アドオン」のホストオペレーティングシステムへのフッキング（ｈｏｏｋｉｎｇ）を伴う。また、ＲＯＳ６０２は、ＶＤＥ機能および他のオペレーティングシステム機能の両方を統合した完全に新しいオペレーティングシステムを含み得る。
【０２２９】
まさに、権利オペレーティングシステム６０２を作るために、場合によっては既存のオペレーティングシステムに基づいてＶＤＥ機能を新しいオペレーティングシステムに統合するには、少なくとも３つの一般的なアプローチがある：
（１）　ＶＤＥ取引管理要件に基づいて、オペレーティングシステムを再設計する；
（２）　ＶＤＥ　ＡＰＩ機能を、既存のオペレーティングシステムにコンパイルする；および
（３）　ＶＤＥインタプリタを、既存のオペレーティングシステムに統合する。
【０２３０】
第１のアプローチは、新しいオペレーティングシステムが設計される際に、または既存のオペレーティングシステムの有意なアップグレードの計画がある場合に最も効果的に適用される。「従来」オペレーティングシステム能力とＶＤＥ能力との統合を最適かつ効率的な方法で提供する新しいオペレーティングシステムの設計のために、設計要件リストには、ＶＤＥ機能によって提供される取引管理および安全要件が加えられ得る。例えば、オペレーティングシステムのニューバージョンまたは実例の設計を担当するエンジニアは、設計アプローチ、仕様、および実際の実施を形成するための要件（仮にあるとすれば）に加えて、ＶＤＥ計量／取引管理の要件を含み得る。このアプローチにより、計量／取引管理の機能性をシステム設計および実施態様におりこむことによって、ＶＤＥ機能の「シームレス」な統合化および能力が得られる。
【０２３１】
第２のアプローチは、ＡＰＩ（アプリケーションプログラマインターフェース：Ａｐｐｌｉｃａｔｉｏｎ　Ｐｒｏｇｒａｍｍｅｒ　Ｉｎｔｅｒｆａｃｅ）機能の既存セットを採用すること（ｔａｋｉｎｇ）、およびオペレーティングシステムコード内のリファレンスをＶＤＥ機能コールに取り入れることを伴う。これは、現在のＷｉｎｄｏｗｓオペレーティングシステムが、出発ポイントおよびＷｉｎｄｏｗｓオペレーティングシステムのカーネル土台の重要な部分を兼ねたＤＯＳと共に統合される手法に類似している。このアプローチはまた、（第１のアプローチと比較した場合ほど「シームレス」ではないが）高度な「シームレス」統合化を提供する。このアプローチの利点には、オペレーティングシステムのニューバージョンまたは実例に、低コストで計量／取引管理機能性を取り入れることが（ＡＰＩ内に具現化されている既存のコードを使用し、また、ＡＰＩ機能アプローチの設計含意を組んで計量／取引管理機能性が取り入れられているエレメントの設計に影響を及ぼすことによって）実現されることが含まれる。
【０２３２】
第３のアプローチは、計量／取引管理およびデータ安全に関連したＶＤＥ機能性を直接オペレーティングシステムコードに取り入れず、代わりに、新しく生成された能力をオペレーティングシステムに加えて計量／取引管理機能性を実行する点において、最初の２つのアプローチと異なる。この場合、計量／取引管理機能を含むインタプリタは、他のオペレーティングシステムコードと「スタンドアロン」モードで統合される。このインタプリタは、スクリプトまたは他のインプットを取り、計量／取引管理機能が、何を、どの順序で、どのような状況あるいは条件下で行えばいいかを決定し得る。
【０２３３】
電子機器オペレーティングシステムに／とともにＶＤＥ機能を統合する代わりに（またはそれに加えて）、従来のオペレーティングシステム上でランされるアプリケーションとして特定のＶＤＥ機能性を提供することが可能である。
ＲＯＳソフトウェアアーキテクチャ
図１０は、好ましい実施形態によって提供される権利オペレーティングシステム（「ＲＯＳ」）６０２のためのソフトウェア構成／アーキテクチャの一例のブロック図である。この例において、ＲＯＳ６０２は、オペレーティングシステム（「ＯＳ」）「コア」６７９、ユーザアプリケーションプログラムインターフェース（「ＡＰＩ」）６８２、「リディレクタ」６８４、「インタセプト」６９２、ユーザ通知／例外インターフェース（Ｎｏｔｉｆｉｃａｔｉｏｎ／Ｅｘｃｅｐｔｉｏｎ　Ｉｎｔｅｒｆａｃｅ）６８６、およびファイルシステム６８７を含む。この例のＲＯＳ６０２はまた、１つ以上のホストイベント処理環境（「ＨＰＥ」）６５５および／または１つ以上の安全イベント処理環境（「ＳＰＥ」）５０３を含んでいる（これらの環境は、総称的に「保護された処理環境」６５０と称され得る）。
【０２３４】
ＨＰＥ６５５およびＳＰＥ５０３は、コードおよびデータ処理リソースを含む自身のオペレーティングシステムカーネル６８８を含み得る独立した計算および処理環境である。所与の電子機器６００は、いくつものＳＰＥ５０３および／またはいくつものＨＰＥ６５５を含み得る。ＨＰＥ６５５およびＳＰＥ５０３は、安全な手段で情報を処理し、ＲＯＳ６０２のための安全処理サポートを提供し得る。例えば、それぞれが、１つ以上のＶＤＥコンポーネントアセンブリ６９０に基づいて、安全な処理を行い、それぞれＯＳカーネル６８０に安全な処理サービスを提供し得る。
【０２３５】
好ましい実施形態においては、ＳＰＥ５０３は、少なくとも部分的にＳＰＵ５００によって提供される安全処理環境である。従って、ＳＰＵ５００は、ＳＰＥ５０３を囲むハードウェア不正改変不可能なバリア５０３を提供する。好ましい実施形態によって提供されるＳＰＥ５０３は、好ましくは：
Ｃ　小型かつコンパクトである
Ｃ　例えば、最小に構成されたＳＰＵ５００などのリソース制約環境へのロードが可能である
Ｃ　動的に更新可能である
Ｃ　認証されたユーザによって拡張可能である
Ｃ　オブジェクトまたはプロシージャ環境に統合可能である
Ｃ　安全である
好ましい実施形態においては、ＨＰＥ６５５は、例えば、電子機器ＣＰＵ６５４汎用マイクロプロセッサもしくは他の処理システムまたは装置などＳＰＵ以外のプロセッサにサポートされた安全処理環境である。好ましい実施形態において、ＳＰＵによってハードウェアおよび／またはファームウェアに設けられる処理リソースの一部または全てを提供するためにソフトウェアを使用し得るという点で、ＨＰＥ６５５はＳＰＵ５００をエミュレートすると考えられ得る。本発明の１つの好ましい実施形態におけるＨＰＥ６５５は、全ての機能を有し、ＳＰＥ５０３との完全な互換性を有している、つまり、ＨＰＥ６５５は、ＳＰＥ５０３が扱うことが可能なサービスコールの全てを扱うことが可能であるため、外部インターフェースの観点からは、ＳＰＥおよびＨＰＥは「プラグ互換性」を有する（ＨＰＥはＳＰＥほどは安全性を提供しないという点を除いて）。
【０２３６】
ＨＰＥ６５５は、２タイプ（安全、および非安全）で提供され得る。例えば、電子機器６００が、高速汎用プロセッサまたはコンピュータの全てのリソースを用いて効率的に影響を受けにくいＶＤＥタスクをランさせる場合には、非安全バージョンのＨＰＥ６５５を設置することが望ましくあり得る。そのような非安全なバージョンのＨＰＥ６５５は、ＳＰＥ５０３も含むＲＯＳ６０２の実例の監視下でランされ得る。このように、ＲＯＳ６０２は、全ての安全処理をＳＰＥ５０３内でランさせ、安全性は必要としないが、ＨＰＥ６５５をサポートする汎用コンピュータまたはプロセッサによって提供される、場合によっては大きいリソースの下で必要となり得る（またはより効率的にランする）処理のためにのみＨＰＥ６５５を使用し得る。非安全および安全なＨＰＥ６５５は、安全なＳＰＥ５０３とともに動作し得る。
【０２３７】
ＨＰＥ６５５は、（図１０に示されるように）それらをより安全にするソフトウェアベース不正改変不可能バリア６７４を備えている。そのようなソフトウェアベース不正改変不可能バリア６７４は、汎用ＣＰＵ６５４上で実行しているソフトウェアによって作成され得る。そのような「安全」なＨＰＥ６５５は、なお安全性を必要とする一方で、ＳＰＵ５００によって提供される安全の程度を要件としない処理を実行するためにＲＯＳ６０２によって使用されることができる。これは、特にＳＰＥ５０３およびＨＰＥ６５５の両方を提供するアーキテクチャにおいて利点が多い。ＳＰＵ５０２が、全ての安全処理を正確に行うために使用される一方で、１つ以上のＨＰＥ６５５は、電子機器６００内で利用可能となりうるホストプロセッサまたは他の汎用リソースを用いて追加的な安全処理（ＳＰＥよりも安全性が場合によっては低いかもしれないが）を提供するために使用され得る。そのような安全なＨＰＥ６５５によって、いかなるサービスも提供され得る。好ましい実施形態において、「チャネル処理」の特定の局面は、ＳＰＥ５０３からＨＰＥ６５５に容易にエクスポートし得る要素が多分にあるように思われる。
【０２３８】
ＨＰＥ６５５によって提供されるソフトウェアベースの不正改変不可能バリア６７４は、例えば以下によって提供される：タイムチェックおよび／またはコード改変を導入し、デバッガを用いてカーネル６８８ａおよび／またはコンポーネントアセンブリ６９０の一部を含むコードに通してステッピングする処理を複雑化する；記憶装置（例えば、ハードディスク、メモリカードなど）の欠陥マップを用いて、内部テストの値を形成し、ＨＰＥ６５５を他の電子機器６００へ移動および／またはコピーすることを妨げる；制御の流れにおいて、偽りブランチおよび他の複雑化の要素を含むカーネルコードを用いて、ディスアセンブリ、または処理の詳細を明らかにする努力から、内部処理をある程度隠蔽する；（例えば、コサイン変換の出力に基づく）「自己発生」コードを用いて、詳細および／または完全な命令シーケンスが記憶装置および／またはアクティブメモリに明確に格納される代わりに必要に応じて発生されるようにする；動作パラメータに基づくデータ値に用いられるメモリロケーションを「シャッフル」するコードを用いて、そのような値を操作する努力を困難にする；電子機器６００の任意のソフトウェアおよび／またはハードウェアメモリ管理リソースを用いて、ＨＰＥ６５５の動作を他の処理、機能などから「保護」する。そのようなソフトウェアベースの不正改変不可能バリア６７４は、かなり高い程度の安全性を提供し得るが、典型的に、ＳＰＵ５００によって（少なくともその一部が）提供されるハードウェアベース不正改変不可能バリア５０２ほどには安全ではない。ＳＰＵ５００によって提供されるようなハードウェア安全機能の援助によって、安全性がより効果的に強化されるため（またＳＰＵ５００内の特定目的回路によって性能が向上するなどの他の要因のため）、多くのまたはほとんどの高位安全アプリケーションにおいて、少なくも１つのＳＰＥ５０３があることが好ましい。しかし、より低い安全が許容されるおよび／またはＳＰＵ５００のコストが許容されないアプリケーションにおいては、ＳＰＥ５０３は省略され、代わりに、汎用ＣＰＵ６５４上で実行している１つ以上の安全なＨＰＥ６５５によって全ての安全処理が行われ得る。関係する特定の処理において不十分な安全性が提供される場合には、ＶＤＥ処理によっては、この種の安全性の低減した電子機器での実行が許可されないかもしれない。
【０２３９】
ＳＰＥ５０３（場合によっては、ＨＰＥ６５５）内において完全に実行する処理のみが、真に安全であると考慮され得る。ＳＰＥ５０３の外部にあるメモリおよび他のリソース、ならびに安全処理で使用されるコードおよび／またはデータを格納および／または処理するために使用されるＨＰＥ６５５は、ＳＰＥ５０３／ＨＰＥ６５５が非安全処理から安全処理コードおよび／またはデータを保護できない限り、暗号化形式の情報のみを受けて扱うべきである。
【０２４０】
好ましい実施形態における、ＯＳ「コア」６７９は、カーネル６８０、ＲＰＣマネージャ７３２、および「オブジェクトスイッチ」７３４を含む。ＡＰＩ６８２、ＨＰＥ６５５、およびＳＰＥ５０３は、ＯＳ「コア」６７９を介して「イベント」メッセージを互いと通信し得る。それらはまた、ＯＳ「コア」６７９を通さずにメッセージを互いと直接通信し得る。
【０２４１】
カーネル６８０は、電子機器６００のハードウェアを管理し得る。例えば、インプット／アウトプットおよび／または、キーボード６１２、ディスプレイ６１４、「マウス」ポインティング装置および音声認識器６１３、モデム６１８、プリンタ６２２、およびネットワーク６７２のためのアダプターなど他の装置周辺機器と相互作用するために適切なドライバおよびハードウェアマネージャを提供し得る。また、カーネル６８０は、ＲＯＳ６０２の残り部分（ｒｅｍａｉｎｄｅｒ）を初めにロードする役割を担当し、実行の間種々のＲＯＳタスク（および関連した下層（ｕｎｄｅｒｌｙｉｎｇ）ハードウェアリソース）を管理し得る。ＯＳカーネル６８０は、また、安全データベース６１０およびファイルシステム６８７を管理およびアクセスし得る。ＯＳカーネル６８０はまた、アプリケーション６０８ａ（１）、６０８ａ（２）、および他のアプリケーションの実行サービスを提供する。
【０２４２】
ＲＰＣマネージャ７３２は、ＲＯＳ６８０のために、ルーチングおよびリソース管理／統合のメッセージングを行う。例えば、ＡＰＩ６８２、ＨＰＥ６５５およびＳＰＥ５０３からの／への、「コール」を受けおよびルートする。
【０２４３】
オブジェクトスイッチ７３４は、ＶＤＥオブジェクト３００の構築、解体、および他の操作を管理し得る。
【０２４４】
好ましい実施形態における（ＡＰＩ６８２またはＡＰＩに連結した他のアプリケーションの一部とも考えられる）ユーザ通知／例外インターフェース６８６は、「ポップアップ（ｐｏｐ　ｕｐ）」ウィンドウ／ディスプレイをディスプレイ６１４に提供する。これにより、ＲＯＳ６０２が、情報をアプリケーション６０８に渡して通信することなく、ユーザと直接通信することが可能になる。「ＶＤＥ認識（ａｗａｒｅ）」アプリケーションではないアプリケーションに関してはユーザ通知／例外インターフェース６８６は、ＲＯＳ６０２とユーザとの通信を提供し得る。
【０２４５】
好ましい実施形態におけるＡＰＩ６８２は、アプリケーション６０８に、標準化され、文書化されたソフトウェアインタフェースを提供する。ＡＰＩ６８２は、部分的に、アプリケーション６０８によって発生されるオペレーティングシステム「コール」を、「イベント」を特定する遠隔プロシージャコール（「ＲＰＣ」）に翻訳し得る。ＲＰＣマネージャ７３２は、処理のために、これらのＲＰＣを、カーネル６８０またはその他の場所（例えば、ＨＰＥ６５５および／またはＳＰＥ５０３、または遠隔電子機器６００、プロセッサ、またはＶＤＥ参加者）へルートする。またＡＰＩ６８２は、ＲＰＣリクエストを、特定のリクエストを受けて処理するために登録するアプリケーション６０８へ渡すことによってサービスし得る。
【０２４６】
ＡＰＩ６８２は、好ましくは標準化され文書化された「アプリケーションプログラミングインターフェース（Ａｐｐｌｉｃａｔｉｏｎｓ　Ｐｒｏｇｒａｍｍｉｎｇ　Ｉｎｔｅｒｆａｃｅ）」を提供する。アプリケーションプログラムがＲＯＳ６０２によって提供されるサービスにアクセスするために使用できる機能コールの簡潔な（ｃｏｎｃｉｓｅ）セットを提供する。少なくとも１つの好ましい例において、ＡＰＩ６８２は、２部分（ＶＤＥ機能６０４とのアプリケーションプログラムインターフェース；および他のＯＳ機能６０６とのアプリケーションプログラムインターフェース）を含む。これらの部分は、（例えば）同じソフトウェアに組み込まれ（ｉｎｔｅｒｗｏｖｅｎ）、またはソフトウェアの２つ以上の離散的ピース（ｄｉｓｃｒｅｔｅ　ｐｉｅｃｅｓ）として提供され得る。
【０２４７】
図１１に示すアプリケーション６０８ａ（１）など、アプリケーションによっては、「ＶＤＥ認識」し、従ってＡＰＩ６８２のこれらの部分の両方に直接アクセスし得る。図１１Ａは、この例を示している。「ＶＤＥ認識」アプリケーションは、例えば、新たなＶＤＥオブジェクト３００の作成をリクエストし、ＶＤＥオブジェクトの使用を計量し、ＶＤＥ保護形式で情報を格納するなど、ＲＯＳ６０２に対する明示的なコールを含み得る。従って、「ＶＤＥ認識」アプリケーションは、ＲＯＳ６０２によって提供されるＶＤＥ機能性を開始（例によっては、向上および／または拡張）することができる。さらに、「ＶＤＥ認識」アプリケーションは、ユーザとＲＯＳ６０２との間により直接的なインターフェースを（例えば、ユーザ通知／例外インターフェース６８６によって提供される「ポップアップ」ディスプレイを抑制さもなくば省き、代わりに、アプリケーションおよびＲＯＳメッセージを統合する、より「シームレス」なインターフェースを提供することによって）提供し得る。
【０２４８】
図１１Ｂに示されるアプリケーション６０８ｂのような他のアプリケーションは、「ＶＤＥ認識」し得ず、従って、ＡＰＩ６８２によって提供されるＶＤＥ機能６０４に対するインターフェースにどのように直接アクセスするかを「知」らないかもしれない。これを提供するために、ＲＯＳ６０２は、そのような「非ＶＤＥ認識」アプリケーション６０８ｂがＶＤＥオブジェクト３００および機能６０４にアクセス可能にする「リディレクタ」６８４を含み得る。好ましい実施形態におけるリディレクタ６８４は、「他のＯＳ機能」６０６に向けられたＯＳコールを、「ＶＤＥ機能」６０４へのコールへと翻訳する。１つの簡単な例として、リディレクタ６８４は、アプリケーション６０８ｂからの「ファイルを開く」というコールをインタセプトし、開かれるべきファイルがＶＤＥコンテナ３００内に含まれているか否かを決定し、含まれていれば、ＶＤＥコンテナを開くためにファイルシステム６８７への適切なＶＤＥ機能コールを発生する（また、場合によっては、ＶＤＥオブジェクト３００に格納され得るファイルネームを決定し、ＶＤＥオブジェクト３００に関連した制御ストラクチャを確立し、ＶＤＥオブジェクト３００などへの登録を行うために、ＨＰＥ６５５および／またはＳＰＥ５０３へのイベントを発生する）。この例において、リディレクタ６８４がない場合、６０８ｂなどの非ＶＤＥ認識アプリケーションは、他のＯＳ機能６０６とのインターフェースを提供するＡＰＩ６８２の一部のみにしかアクセスできず、従ってどのＶＤＥ機能にもアクセスできない。
【０２４９】
リディレクタ６８４のこの「翻訳」機能は、「トランスペアレンシ」を提供する。これは、ＶＤＥ機能６０４への１つ以上のコールを発生することに伴う複雑性、および細部にアプリケーションが影響されることなしに、ＶＤＥ機能をアプリケーション６０８（ｂ）に「トランスペアレト」な方法で設けられるようにする。ＲＯＳ６０２のこの「トランスペアレンシ」の特徴の局面は、少なくとも以下の２つの重要な利点を有している：
（ａ）ＶＤＥ機能６０４用に特別に書かれたわけではないアプリケーション（「非ＶＤＥ認識アプリケーション」）でも、重要なＶＤＥ機能とアクセスすることを可能にする；および
（ｂ）アプリケーションとＲＯＳ６０２との間のインターフェースの複雑さを低減する。
【０２５０】
第２の利点（複雑性の低減）は、アプリケーション作成者が容易にアプリケーションを作成できるようにするため、たとえ「ＶＤＥ認識」アプリケーション６０８ａ（２）であっても、ＶＤＥ機能６０４を呼び出すコールの一部が「他のＯＳ機能」コールレベルでリクエストされ、リディレクタ６８４（この場合、リディレクタ６８４はＡＰＩ６８２の一部と考えられる）によってＶＤＥ機能コールに「翻訳」されるように設計され得る。図１１Ｃは、これを例示する。ＶＤＥ機能６０４を呼び出す他のコールは、リディレクタ６８４による翻訳なしに直接渡され得る。
【０２５１】
図１０を再度参照すると、ＲＯＳ６２０はまた、１つ以上のリアルタイムデータフィード６９４を転送および／または受信し（これは、例えばケーブル６２８を介して行われ得る）、またそのような１つ以上のデータフィードを適切にルートする一方で、電子機器６００に送信および／または受信されるリアルタイムデータのための「翻訳」機能を提供して、この種の情報にリディレクタ６８４によって得られるトランスペアレンシと同様の「トランスペアレンシ」を付与する（および／または１つ以上のリアルタイムデータフィードを生成し得る）「インタセプタ」６９２を含み得る。
安全ＲＯＳコンポーネントおよびコンポーネントアセンブリ
前述したように、好ましい実施形態におけるＲＯＳ６０２は、コンポーネントベースアーキテクチャである。ＲＯＳ　ＶＤＥ機能６０４は、区分され、独立的にロード可能かつ実行可能な「コンポーネントアセンブリ」６９０に基づき得る。これらのコンポーネントアセンブリ６９０は、独立的に安全に送達可能である。好ましい実施形態によって提供されるコンポーネントアセンブリ６９０は、自ら独立的に送達可能なコードおよびデータエレメントを含む。従って、好ましい実施形態により提供される各コンポーネントアセンブリ６９０は、ＶＤＥ安全サブシステムの間でＶＤＥ安全通信技術を用いて通信され得る、独立的に安全に送達可能なエレメントを含んでいる。
【０２５２】
これらのコンポーネントアセンブリ６９０は、ＲＯＳ６０２によって提供される基本機能ユニットである。コンポーネントアセンブリ６９０は、オペレーティングシステムまたはアプリケーションタスクを行うために実行される。従って、あるコンポーネントアセンブリ６９０は、ＲＯＳオペレーティングシステム６０２の一部と考えられ、他のコンポーネントアセンブリは、オペレーションシステムのサポートの下でランする「アプリケーション」と考えられ得る。「アプリケーション」および「オペレーティングシステム」を取り入れたいかなるシステムにおいても、システム全体のこれらの局面の間の境界は曖昧であり得る。例えば、（コンテンツコンテナのストラクチャおよび／または他の属性を決定するなどの）一般的に使用される「アプリケーション」機能が、オペレーティングシステムに取り入れられ得る。さらに、（タスク管理、またはメモリアローケーションなどの）「オペレーティングシステム」機能は、新たなアプリケーションに改変されおよび／または置き換えられ得る。好ましい実施形態のＲＯＳ６０２において、コンポーネントアセンブリ６９０が、ユーザが意図する活性化を遂行するために一般的なつなぎ（ｔｈｒｅａｄ）が必要となる、このつなぎは場合によっては「アプリケーション的」であり、また場合によっては「オペレーションシステム的」である機能を提供することである。
【０２５３】
コンポーネント６９０は、好ましくは、容易に分離可能かつ独立的にロード可能なように設計される。ＲＯＳ６０２は、コンポーネントアセンブリを（例えば、ＳＰＥ５０３および／またはＨＰＥ６５５などの安全な動作環境において）ロードおよび実行する前に、これらのエレメントを一緒にして、実行可能なコンポーネントアセンブリ６９０を構成する。ＲＯＳ６０２は、実行前および／または実行の間に、エレメントを自動的かつ安全にコンポーネントアセンブリ６９０を構成するために必要な情報を含むエレメント識別および照会メカニズムを提供する。
【０２５４】
コンポーネントアセンブリ６９０を形成するために使用されるＲＯＳ６０２アプリケーションストラクチャおよび制御パラメータは、異なるパーティによって提供され得る。コンポーネントアセンブリ６９０を形成するコンポーネントは、独立的かつ安全に送達可能であるために、異なる時間および／または異なるパーティによって送達され得る（「送達」は局所ＶＤＥ安全サブシステムにおいて実施され得る、すなわち、改変された制御情報セットの用意のために参加者を取り扱うコンテンツ制御情報のチェインによる、制御情報のそのような安全なサブシステムの使用を通しての依頼は、独立的かつ安全な送達を構成する）。例えば、コンテンツ作成者は、ＶＤＥオブジェクト３００に含まれるコンテンツをライセンス認可するために必要な状況を定義するＲＯＳ６０２アプリケーションを作成し得る。このアプリケーションは、他のパーティによって提供されるストラクチャを照会し得る。そのような照会は、例えば、ユーザ作業を計量するためにはコンテンツ作成者ストラクチャを使用し；コンテンツ配布取引きの金融関連部分（例えば、制御ストラクチャになくてはならない貸し方予算を定義して、許可された者によって行われなければならない信用貸しする価値、監査処理を確立するなど）を扱うためには金融プロバイダー（ｆｉｎａｎｃｉａｌ　ｐｒｏｖｉｄｅｒ）によって作成／所有される構成を使用する制御パスの形態を取り得る。他の例として、配布者は、異なるユーザへの値段を規定する異なるデータエレメントを送達することによって、１名のユーザに対して他のユーザよりも好都合な値段を付け得る。安全かつ独立的に送達可能な多数パーティ用の制御情報をサポートするこの属性は、電子商取引、すなわち、コンテンツクリエータ、他のコンテンツプロバイダー、金融サービスプロバイダー、および／またはユーザなどの独立パーティの集合（ｃｏｌｌｅｃｔｉｏｎ）の要件を示すコンテンツおよび／または機器制御情報セットの定義を可能にするために必須である。
【０２５５】
好ましい実施形態において、ＲＯＳ６０２は、コンテンツパラメータ（例えば、オブジェクト、ユーザ）に部分的に基づき、安全かつ独立的に送達可能な、エレメントをコンポーネントアセンブリ６９０を構成する。従って、例えば、ＲＯＳ６０２は、同じＶＤＥオブジェクト３００に同じタスクを行う異なるユーザのために、異なるエレメントを一緒に安全に構成し、異なるコンポーネントアセンブリ６９０に形成し得る。同様に、ＲＯＳ６０２は、異なるＶＤＥオブジェクト３００に同じタスクを行う同じユーザのために、１つ以上の同じコンポーネントを含み得るすなわち再利用し得る異なるエレメントセットを構成して、異なるコンポーネントアセンブリ６９０を形成し得る。
【０２５６】
自らが独立的にロード可能かつ実行可能なコンポーネントアセンブリ６９０である１つ以上のコンポーネント「サブアセンブリ」を、コンポーネントアセンブリ６９０が含み得るという点から、ＲＯＳ６０２によって提供されるコンポーネントアセンブリ組織（ｏｒｇａｎｉｚａｔｉｏｎ）は「再帰的（ｒｅｃｕｒｓｉｖｅ）」である。これらのコンポーネント「サブアセンブリ」は、また１つ以上のコンポーネント「サブサブアセンブリ」からなり得る。一般的な場合において、コンポーネントアセンブリ６９０は、Ｎレベルのコンポーネントサブアセンブリを含み得る。
【０２５７】
従って、例えば、コンポーネントアセンブリ６９０（ｋ）は、コンポーネントサブアセンブリ６９０（ｋ＋ｌ）を含み得る。またコンポーネントサブアセンブリ６９０（ｋ＋ｌ）は、コンポーネントサブサブアセンブリ６９０（３）を含み得、以下同様にＮレベルサブアセンブリ６９０（ｋ＋Ｎ）まで続く。他のコンポーネントアセンブリからコンポーネントアセンブリ６９０を築く（ｂｕｉｌｄ）ＲＯＳ６０２の能力は、例えば、コード／データ再利用性、および異なるパーティがコンポーネント全体の異なる部分を管理することを可能にする能力の点で多大な利点を提供する。
【０２５８】
好ましい実施形態における各コンポーネントアセンブリ６９０は、異なるコンポーネントからなる。図１１Ｄ〜１１Ｈは、図１１Ｉに示されるコンポーネントアセンブリ６９０（ｋ）を形成するために構成され得る種々の異なるコンポーネントの抽象描写である。これらの同様のコンポーネントは、異なる手法（例えば、より多くのコンポーネントまたはより少ないコンポーネント）で構成されて、完全に異なる機能作用を提供する異なるコンポーネントアセンブリ６９０を形成し得る。図１１Ｊは、同じコンポーネントを異なる手法で（例えば、コンポーネントを追加して）共に合わせ、異なるコンポーネントアセンブリ６９０（ｊ）を形成した場合の抽象描写である。コンポーネントアセンブリ６９０（ｋ）および６９０（ｊ）はそれぞれ、ＲＯＳ６０２によって規定された「チャネル」５９４と嵌合する共通部（ｃｏｍｍｏｎ　ｆｅａｔｕｒｅ）６９１を含む。この「チャネル」５９４はコンポーネントアセンブリ６９０を組合せ、（残りの）ＲＯＳ６０２とインターフェースさせる。
【０２５９】
ＲＯＳ６０２は、コンポーネントアセンブリ６９０を安全に生成する。図１１Ｉおよび１１Ｊに視覚的に示されるように、コンポーネントアセンブリ６９０を含む異なるエレメントは、エレメントを作成しおよび／またはコンポーネントアセンブリを特定したＶＤＥ参加者によって意図されたようにしか「嵌合」しないようにし得る。ＲＯＳ６０２は、非承認者がエレメントを改変すること、また非承認者がエレメントを置換えることを防ぐ安全保護を含む。非承認者が、図１１Ｄ〜１１Ｈに示されるエレメントの１つと同じ「形」を有する新しいエレメントを作り、元のエレメントをその新しいエレメントと置換えることを試みることが考えられる。図１１Ｈに示されるエレメントの１つが、ＶＤＥオブジェクト３００内のコンテンツを使用するための値段を確立するものとする。非承認者が、自らの「値段」エレメントを、ＶＤＥコンテンツ配布者によって意図される値段エレメントとを置換え得るとしたら、その者はコンテンツ配布者が請求しようとしている値段の代わりにゼロという値段を付けることができる。同様に、エレメントが電子クレジットカードを確立している場合、異なるエレメントと置換えることが可能であれば、人が自分の使用額を他人の（または存在しない）クレジットカードに請求することができ、大損害な結果を招き得る。これらは、特定のコンポーネントアセンブリ６９０が安全に形成されることを確実にするＲＯＳ６０２の重要性を示す単なる数少ない例でしかない。ＲＯＳ６０２は、コンポーネントアセンブリ６９０の安全な取り扱いおよび実行に関する多くの「脅威」に対する広い保護範囲を提供する。
【０２６０】
好ましい実施形態において、ＲＯＳ６０２は、以下のタイプのエレメントに基づいてコンポーネントアセンブリ６９０を構成する：
パーミッション記録（「ＰＥＲＣ」）８０８；
メソッド「コア」１０００；
ロードモジュール１１００；
データエレメント（例えば、ユーザデータエレメント（「ＵＤＥ」）１２００およびメソッドデータエレメント（「ＭＤＥ」）１２０２）；および
他のコンポーネントアセンブリ６９０。
【０２６１】
簡潔に言えば、好ましい実施形態によって提供されるＰＥＲＣ８０８は、ＲＯＳ６０２に付随した（ｉｄｅｎｔｉｆｉｅｓ　ｔｏ）ＶＤＥオブジェクト３００に対応する記録であり、とりわけエレメントＲＯＳは共に組み合わせられてコンポーネントアセンブリ６９０を形成する。従って、ＰＥＲＣ８０８は実質的に、どのエレメントとＲＯＳ６０２とが共に構成されてコンポーネントアセンブリを形成するのか、またどのようにエレメントを共に接続するのかを特定する「構成命令のリスト」または「プラン」を含む。ＰＥＲＣ８０８は、自らデータまたはコンポーネントアセンブリ６９０の一部となる他のエレメントを含み得る。
【０２６２】
ＰＥＲＣ８０８は、１つ以上のメソッド「コア」１０００Ｎを照会し得る。メソッド「コア」１０００Ｎは、基本「メソッド」１０００（例えば、「制御」、「課金」、「計量」など）を定義し得る。
【０２６３】
好ましい実施形態において、「メソッド」１０００は、１つ以上の電子機器６００の動作に関係した基本命令の集合、および基本命令に関連した情報であり、実施および／または実施の準備における使用のコンテクスト、データ、要件および／または関係を提供する。基本命令は、例えば、以下を含み得る：
Ｃ　コンピュータのプログラミングにおいて一般的に使用されるタイプの機械コード；コンピュータ上で動作しているインタプリタまたは他の命令処理プログラムによって使用される疑似コード；
Ｃ　電子機器６００とともに使用される、電子的に示される論理動作のシーケンス；
Ｃ　または、技術分野において一般的にその用語が理解されるように、命令、ソースコード、オブジェクトコード、および／または疑似コードの他の電子的な表現。
【０２６４】
基本命令に関連する情報は、例えば、基本命令に本質的に伴うデータ、例えば、組み合わされた基本命令のための識別子、および本質データ、アドレス、定数などを含み得る。情報はまた、例えば、以下の内１つ以上を含み得る：
Ｃ　アクセス、相関、および／または有効性検査目的のための関連する基本命令および本質データを識別する情報；
Ｃ　基本命令および本質データの使用のための必須のおよび／または任意のパラメータ；
Ｃ　他のメソッドとの関係を定義する情報；
Ｃ　データ値、情報分野などを含み得るデータエレメント；
Ｃ　データエレメント、基本命令、および／または本質データの関係を特定および／または定義する情報；
Ｃ　外部データエレメントとの関係を特定する情報；
Ｃ　存在すれば、内部および外部データエレメント、メソッドなどの関係を特定する情報；ならびに
Ｃ　必要であれば、追加命令および／または本質データを含むメソッドのユーザによって意図される基本命令および本質データを完了するための動作、または完了させる試みに必要とされる追加情報。
【０２６５】
メソッドに関連したそのような情報はその一部分またはその全体が、基本命令および本質データとは別に格納され得る。これらのコンポーネントが別々に格納された場合でも、メソッドは、所与の時点において基本命令および本質データの１つ以上のセットがアクセス可能であるか否かに関わらず、他の情報、ならびに基本命令および本質データの１つ以上のセット（後者は、他の情報が基本命令および本質データの１つ以上のセットを参照するために含まれる）を含み、封じ（ｅｎｃｏｍｐａｓｓ）得る。
【０２６６】
メソッドコア１０００’は、「事象コード」によってパラメータ表示されて異なる事象に対して異なるメソッドで応答することを可能にし得る。例えば、ＭＥＴＥＲメソッドは、計量データ構成に使用情報を格納して「使用」事象に応答し得る。同じＭＥＴＥＲメソッドは、ＶＤＥ情報交換所または他のＶＤＥ参加者へ計量データ構成を報告して、「管理」事象に対して応答し得る。
【０２６７】
好ましい実施形態において、メソッドコア１０００’は、明確にまたは参照することによって、１つ以上の「ロードモジュール」１１００および１つ以上のデータエレメント（ＵＤＥ１２００、ＭＤＥ１２０２）を「含み」得る。好ましい実施形態において、「ロードモジュール」１１００は、基本命令および本質データを反映するメソッドの一部である。好ましい実施形態におけるロードモジュール１１００は、実行可能なコードを含み、またその実行可能なコードに関連したデータエレメント（「ＤＴＤ」１１０８）を含み得る。好ましい実施形態において、ロードモジュール１１００は、メソッドによって定義された処理を行うために実際にハードウェアによって「実行される」プログラム命令を与える。ロードモジュール１１００は、他のロードモジュールを含むか、または参照し得る。
【０２６８】
好ましい実施形態におけるロードモジュール１１００は、個々のロードモジュールが再エンターおよび再利用可能であるように、モジュラー化され、および「コードピュア（ｃｏｄｅ　ｐｕｒｅ）」である。コンポーネント６９０が動的に更新することができるために、それらはグローバル公開ネームスペース（ｇｌｏｂａｌ　ｐｕｂｌｉｃ　ｎａｍｅ　ｓｐａｃｅ）内で個々にアドレスされることが可能であり得る。これらの設計上の目標の観点から、ロードモジュール１１００は、好ましくは、小さく、個々に名指しされ（ｎａｍｅｄ）、アドレス可能なコード（およびコード状）ピュアモジュールである。単一のメソッドは、異なるプラットホームにおいて同じまたは類似の機能を行う異なるロードモジュール１１００を提供し、異なる電子機器の幅広い範囲にわたってメソッドを規模変更可能および／または移植可能にし得る。
【０２６９】
ＵＤＥ１２００およびＭＤＥ１２０２は、実行可能なコンポーネントアセンブリ６９０への入力または実行可能なコンポーネントアセンブリ６９０からの出力のためのデータ（またはそのような入力および／または出力を記述するデータ）を格納し得る。好ましい実施形態において、ＵＤＥ１２００はユーザ依存し、ＭＤＥ１２０２はユーザから独立し得る。
【０２７０】
図１１Ｅに示されたコンポーネントアセンブリ例６９０（ｋ）は、メソッドコア１０００’、ＵＤＥ１２００ａおよび１２００ｂ、ＭＤＥ１２０２、ロードモジュール１１００ａ〜１１００ｄ、さらにコンポーネントアセンブリ６９０（ｋ＋１）を含む。前述したように、ＰＥＲＣ８０８（ｋ）は、とりわけ、コンポーネントアセンブリ６９０（ｋ）のための「構成命令」を定義し、コンポーネントアセンブリを作成するために構成されたコンポーネントのいくらかを、部分的または全体的に含み、または参照し得る。
【０２７１】
この例に示されるロードモジュール１１００ｂの１つは、自らが複数のロードモジュール１１００ｃおよび１１００ｄを含む。この例のいくつかのロードモジュール（例えば、１１００ａ、１１００ｄ）は、１つ以上の「ＤＴＤ」データエレメント１１０８（例えば、１１０８ａ、１１０８ｂ）を含む。「ＤＴＤ」データエレメント１１０８は、例えば、ＭＤＥ１２０２および／またはＵＤＥ１２００ａおよび１２００ｂに含まれるデータエレメントのロードモジュール１１００ａを知らせるために使用され得る。さらに、ＤＴＤ１１０８は、１つ以上のロードモジュール１１００、またはその他のコンポーネントエレメントに必要とされるおよび／または操作される情報とユーザに知らせるために使用されるアプリケーションの一部を形成する局面として使用され得る。そのようなアプリケーションプログラムはまた、ＵＤＥ１２００、ＭＤＥ１２０２、または他のコンポーネントエレメント、サブアセンブリなどを作成し、および／または操作するための機能を含み得る。
【０２７２】
コンポーネントアセンブリ６９０内のコンポーネントは、異なるコンポーネントアセンブリを形成するために「再利用」され得る。前述したように、図１１Ｆは、再利用されるコンポーネントアセンブリ６９０（ｋ）を構成するために使用されたコンポーネントと同じコンポーネントの一例を示す抽象的な描写であり、（例えば、異なるＰＥＲＣ８０８（ｌ）が提供する「構成命令」の異なるセットによって特定されるいくつかの追加のコンポーネントとともに）異なるコンポーネントアセンブリ６９０（ｌ）を形成する。コンポーネントアセンブリ６９０（ｋ）を形成するために使用されたコンポーネントのいくつかと同じコンポーネントからコンポーネントアセンブリ６９０（ｌ）が形成されるにも関わらず、これらの２つのコンポーネントアセンブリは完全に異なる処理を完全に異なるメソッドで行いうる。
【０２７３】
前述したように、ＲＯＳ６０２は、コンポーネントアセンブリ６９０の安全を確実にするために何層かの安全層を提供する。重要な安全層の内の１つは、例えばＳＰＵ５００内に設置される安全な実行スペースにおいてのみ、特定のコンポーネントアセンブリ６９０が形成され、ロードされ、実行されることを確実にすることに関する。コンポーネント６９０および／またはそれらを含むエレメントは、局所ＳＰＵ５００が発生した鍵および／または配布者の供給した鍵を使用して暗号化された外部媒体に格納され得る。
【０２７４】
ＲＯＳ６０２はまた、置換による不正改変を検出するために、ロード可能なコンポーネントアセンブリ６９０内において使用され得るタギング（ｔａｇｇｉｎｇ）および順序づけスキームを提供する。コンポーネントアセンブリ６９０を含む各エレメントは、ＳＰＵ５００にロードされ、暗号化／復号化エンジン５２２を用いて復号化され、その後適切なエレメントがロードされたことを確実にするためにテスト／比較され得る。非承認な置換がなかったことを確実にするために、いくつかの独立的な比較が用いられ得る。例えば、エレメントＩＤの公開および秘密コピーを比較し、それらが同じであることを確実にし、エレメントの著しい置換を防ぎ得る。さらに、ロード可能なエレメントの暗号化層の下に格納された有効性検査／相関タグを、それがリクエスト処理によって提供された一つ以上のタグと一致することを確実にするために比較し得る。これにより、非承認な情報の使用を防ぐことができる。第３の保護として、ＳＰＵ５００の予期する対応タグ値と一致することを確実にする為にロード可能なエレメントの暗号化層の下に格納された装置割り当てタグ（ｄｅｖｉｃｅ　ａｓｓｉｇｎｅｄ　ｔａｇ）（例えば、シーケンス番号）がチェックされる。これにより、古いエレメントの置換を防ぐ。典型的に、有効性検査／相関タグは安全ラッパ（ｗｒａｐｐｅｒｓ）にのみ渡され、ＳＰＵ５００の外にこの情報が普通文書で曝される（ｐｌａｉｎｔｅｘｔ　ｅｘｐｏｓｕｒｅ）ことを防ぐ。
【０２７５】
ＲＯＳ６０２の安全コンポーネントベースアーキテクチャは重要な利点を有している。例えば、比較的低コストのＳＰＵ５００によって提供されるような限られたリソース実行環境を許容する。また、非常に高レベルの構成性（ｃｏｎｆｉｇｕｒａｂｉｌｉｔｙ）も提供する。実際、ＲＯＳ６０２は、ほとんど無限に多様なコンテンツタイプ、コンテンツプロバイダー目的、取引タイプおよびクライアント要件を許容する。さらに、特定のオブジェクトおよびユーザに基づいた実行時に、独立的に送達可能なコンポーネントを動的に構成する能力は、高い度合いのフレキシビリティを提供し、配布されたデータベース、処理、および実行環境を容易または可能にする。
【０２７６】
ＲＯＳ６０２によって提供されるコンポーネントベースアーキテクチャの利点の局面の１つは、時間の間ずっと機能性および能力を「計画的に実施（ｓｔａｇｅ）」する能力に関係する。設計されれば、ＲＯＳ６０２の実施は制限のある（ｆｉｎｉｔｅ）タスクである。市場実体が対応したＶＤＥアプリケーション機能性の実施を要求するまで、機能性の多くの局面は、未開発のままであり得る。その結果、初期製品実施の投資および複雑性が抑えられ得る。ＲＯＳ６０２によって提供される、承認、認証、および人工知能アプリケーションに関する能力の全範囲を「表面化」する過程は時間をかけて実現され得る。また、すでに設計されたＲＯＳ６０２の機能性は、変更の必要または要求に適合するために常に変更または向上され得る。
権利オペレーティングシステム６０２アーキテクチャのより詳細な議論
図１２は、図１０に示されるＲＯＳ６０２の詳細なアーキテクチャの一例を示す。ＲＯＳ６０２は、商用データベースマネージャ７３０および外部オブジェクト容器７２８を含むファイルシステム６８７を含み得る。商用データベースマネージャ７３０は、安全データベース６１０を維持し得る。オブジェクト容器７２８は、ＶＤＥオブジェクト３００を格納し、ＶＤＥオブジェクト３００へのアクセスを提供し、および／またはＶＤＥオブジェクト３００を維持する。
【０２７７】
図１２はまた、ＲＯＳ６０２が、１つ以上のＳＰＥ５０３および／または１つ以上のＨＰＥ６５５を提供し得ることを示している。前述されたように、ＨＰＥ６５５は、ＳＰＵ５００装置を「エミュレート」し、そのようなＨＰＥ６５５は、より高い処理量を必要とするシステムのために、物理的なＳＰＵ５００の代わりに（またはそれに加えて）統合され得る。ＨＰＥ６５５はオペレーティングシステム安全化によって保護され、高信頼の安全処理を提供し得ないかもしれないため、いくらかの安全性は消えうる。従って、好ましい実施形態において、少なくとも安全性の高いアプリケーションのために、全ての安全化処理は、電子機器６００の他の場所において動作しているソフトウェアを使用するＨＰＥ６５５よりも、物理的なＳＰＵ５００内に実行スペースを有するＳＰＥ５０３内で実施されるべきである。
【０２７８】
前述されたように、ＲＯＳ６０２の３つの基本コンポーネントは、カーネル６８０、遠隔プロシージャコール（ＲＰＣ）マネージャ７３２およびオブジェクトスイッチ７３４である。これらのコンポーネント、およびそれらがＲＯＳ６０２の他の部分と相互作用する手法を以下に記載する。
カーネル６８０
カーネル６８０は、電子機器６００の基本ハードウェアリソースを管理し、ＲＯＳ６０２によって提供される基本タスキング（ｔａｓｋｉｎｇ）を制御する。好ましい実施形態におけるカーネル６８０は、メモリマネージャ６８０ａ、タスクマネージャ６８０ｂ、およびＩ／Ｏマネージャ６８０ｃを含み得る。タスクマネージャ６８０ｂは、実行可能なタスクを初期化しおよび／またはその初期化を管理し、ＲＯＳ６０２がランしているプロセッサ（例えば、図８に示されるＣＰＵ６５４）によってそれらが実行されるようにスケジュールし得る。例えば、タスクマネージャ６８０ｂは、ＲＯＳ６０２の他の部分をロードする「ブートストラップローダ（ｌｏａｄｅｒ）」を含む、または伴い得る。タスクマネージャ６８０ｂは、アプリケーションプログラム６０８を伴うタスクを含む、ＲＯＳ６０２に関する全てのタスキングを管理し得る。メモリマネージャ６８０ａは、電子機器６００のメモリ（例えば、図８に示されるＲＡＭ６５６）のアロケーション、ディアロケーション、共有、および／または使用を管理し、例えば、電子機器および／または関連アプリケーションに必要とされれば仮想メモリ能力を提供し得る。Ｉ／Ｏマネージャ６８０ｃは、ＲＯＳ６０２へのインプット／ＲＯＳ６０２からのアウトプットの全てを管理し、物理的な装置との通信および相互作用を提供するドライバおよび他のハードウェアマネージャと相互作用し得る。
ＲＰＣマネージャ７３２
好ましい実施形態におけるＲＯＳ６０２は、「サービスベースの」遠隔プロシージャコールアーキテクチャ／インターフェースの周囲に設計される。ＲＯＳ６０２によって行われる全機能が、サービスおよび共有情報をリクエストするためにこの共通インターフェースを使用し得る。例えば、ＳＰＥ５０３は、１つ以上のＲＰＣベースサービスのための処理を提供する。ＳＰＵ５００をサポートすることに加えて、ＲＰＣインターフェースは、外部サービスの動的な統合を可能にし、既存のオペレーティングシステムコンポーネントを使用した構成オプションのアレイ（ＯＳＩａｎ　ａｒｒａｙ　ｏｆ　ｃｏｎｆｉｇｕｒａｔｉｏｎ　ｏｐｔｉｏｎｓ）を提供する。ＲＯＳ６０２はまた、配布されたおよび／または遠隔的な処理をシームレスに提供するために、ＲＰＣインターフェースを介して外部サービスと通信する。ＲＯＳ６０２の小規模変更の事例においては、リソースを保存するために、比較的簡単なメッセージを渡すＩＰＣプロトコルを使用し得る。これは、ＲＯＳ６０２サービスの構成性を限定し得るが、この可能な限定は、電子機器によっては許容され得る。
【０２７９】
ＲＰＣ構成は、どの場所にサービスが物理的に提供されるのか、どのシステムまたは装置がリクエストをサービスするのか、またはどのようにサービスリクエストが遂行されるのかをコール処理において知ることまたは特定することなしに、サービスがコール／リクエストされることを可能にする。この機能は、特定のアプリケーションのために規模変更および／またはカスタマイズされ得るサービスの群（ｆａｍｉｌｉｅｓ）をサポートする。サービスリクエストは、ローカルサービスシステムによって継続されサービスされ得る場合と同じくらい容易に、異なるプロセッサおよび／または異なるサイトによって、継続されサービスされ得る。好ましい実施形態において、オペレーティングシステムの中または外にサービスをリクエストするために、同じＲＰＣインターフェースがＲＯＳ６０２によって用いられているため、配布されたおよび／または遠隔的な処理のためのリクエストは、その上に（ｏｖｅｒｈｅａｄ）追加のオペレーティングシステムを実質的に必要としない。遠隔処理は、局所ベースサービスをリクエストするためにＲＯＳ６０２によって使用される同じサービスコールの一部として，容易かつ簡単に統合される。さらに、標準ＲＰＣインターフェース（「ＲＳＩ」）の使用により、ＲＯＳ６０２がモジュラー化され、異なるモジュールが、オペレーションシステムの残りとの標準化されたインターフェースを提示する（ｐｒｅｓｅｎｔｉｎｇ）ことを可能にする。そのようなモジュラー化および標準化されたインタフェースにより、異なる販売者／オペレーティングシステムプログラマーがオペレーティングシステムの異なる部分を独立的に作成し、要求および／またはプラットホームに基づいて、ＲＯＳ６０２の機能性がフレキシブルに更新および／または変更されることを可能にする。
【０２８０】
ＲＰＣマネージャ７３２は、ＲＰＣインターフェースを管理する。ＲＰＣマネージャ７３２は、サービスリクエスタからサービスリクエストを、１つ以上の「遠隔プロシージャコール」（ＲＰＣ）の形態で受け、サービスリクエストを、リクエストをサービスできるサービスプロバイダーにルートする。例えば、権利オペレーティングシステム６０２が、ユーザアプリケーションからユーザＡＰＩ６８２を介してリクエストを受けた場合、ＲＰＣマネージャ７３２は、「ＲＰＣサービスインターフェース」（「ＲＳＩ」）を介してサービスリクエストを適切なサービスにルートし得る。ＲＳＩは、ＲＰＣマネージャ７３２と、サービスリクエスタと、リクエストを受容しサービスするリソースとのインターフェースである。
【０２８１】
ＲＰＣインターフェース（ＲＳＩ）は、好ましい実施形態において、いくつかの主要ＲＯＳ６０２サブシステムのために使用される。
【０２８２】
好ましい実施形態におけるＲＯＳ６０２によって提供されるＲＰＣサービスは、サブサービス、すなわちそれぞれが個別にＲＰＣマネージャ７３２によってトラック（ｔｒａｃｋ）され得る特定サービスの個別の事例、に分けられる。このメカニズムにより、実施のスペック（ｓｐｅｃｔｒｕｍ）にわたる共通インターフェースを維持しながら、比較的高い処理量システム上で多数の特定サービスの事例が許容される。サブサービスコンセプトは、多数のプロセッサ、多数のＳＰＥ５０３、多数のＨＰＥ６５５、および多数の通信サービスをサポートするにまで拡張する。
【０２８３】
好ましい実施形態のＲＯＳ６０２は、以下のＲＰＣベースサービスプロバイダ／リクエスタ（それぞれ、ＲＰＣマネージャ７３２と通信するＲＰＣインターフェースまたは「ＲＳＩ」を有する）を提供する：
ＳＰＥ装置ドライバ７３６（このＳＰＥ装置ドライバは、好ましい実施形態においてＳＰＥ５０３に接続される）；
ＨＰＥ装置ドライバ７３８（このＨＰＥ装置ドライバは、好ましい実施形態においてＨＰＥ７３８と接続される）；
通知サービス７４０（この通知サービスは、好ましい実施形態においてユーザ通知インターフェース６８６と接続される）；
ＡＰＩサービス７４２（このＡＰＩサービスは、好ましい実施形態においてユーザＡＰＩ６８２と接続されている）；
リディレクタ６８４；
安全データベース（ファイル）マネージャ７４４（この安全データベースまたはファイルマネージャ７４４は、キャッシュマネージャ７４６、データベースインターフェース７４８、およびデータベースドライバ７５０を介して、商用データベースマネージャ７３０および安全ファイル６１０と接続および相互作用し得る）；
ネームサービスマネージャ７５２；
出力管理オブジェクトマネージャ７５４；
入力管理オブジェクトマネージャ７５６；
オブジェクトスイッチ７３４へのゲートウェイ７３４（これは、ＲＰＣマネージャ７３２とオブジェクトスイッチ７３４との直接通信に使用されるパスである）；および
通信マネージャ７７６。
【０２８４】
ＨＰＥ６５５、ＳＰＥ５０３、ユーザ通知６８６、ＡＰＩ７４２、およびリディレクタ６８４によって提供されるサービスのタイプは、すでに前述した。以下に、ＯＳリソース７４４、７５２、７５４、７５６、および７７６によって提供されるサービスのタイプの簡単な説明をする：
安全データベースマネージャ７４４は、安全データベース６１０へのアクセスのためのリクエストをサービスする；
ネームサービスマネージャ７５２は、ユーザ、ホスト、またはサービスＩＤに関連したリクエストをサービスする；
出力管理オブジェクトマネージャ７５４は、出力管理オブジェクトに関連したリクエストをサービスする；
入力管理オブジェクトマネージャ７５６は、入力管理オブジェクトに関連したリクエストをサービスする；および
通信マネージャ７７６は、電子機器６００と外界との通信に関連したリクエストをサービスする。
オブジェクトスイッチ７３４
オブジェクトスイッチ７３４は、ＶＤＥオブジェクト３００を（局所的にも遠隔的にも）扱い、制御し、通信する。好ましい実施形態においては、オブジェクトスイッチは、以下のエレメントを含み得る：
ストリームルータ７５８；
（リアルタイムデータフィード６９４に接続され得る）リアルタイムストリームインターフェース７６０；
時間依存的ストリームインターフェース７６２；
インタセプト６９２；
コンテナマネージャ７６４；
１つ以上のルーティングテーブル７６６；および
バッファリング／格納７６８。
【０２８５】
ストリームルータ７５８は、リアルタイムストリームインターフェース７６０および時間依存ストリームインターフェース７６２によってそれぞれ扱われる「リアルタイム」および「時間依存」データストリームへ／からルートする。インターセプト６９２は、例えばリアルタイムフィード６９４などのリアルタイム情報ストリームを伴うＩ／Ｏリクエストをインターセプトする。ストリームルータ７５８によって行われるルーティングは、ルーティングテーブル７６６によって決定され得る。バッファリング／格納７６８は、一時的な蓄積交換（ｓｔｏｒｅ−ａｎｄ−ｆｏｒｗａｒｄ）、バッファリング、および関連サービスを提供する。コンテナマネージャ７６４は（代表的にはＳＰＥ５０３と共に）、オブジェクトの一部をコンストラクトし、ディコンストラクトし、突き止めるなど、ＶＤＥオブジェクト３００を処理し得る。
【０２８６】
オブジェクトスイッチ７３４は、オブジェクトスイッチインターフェース（「ＯＳＩ」）を介して、ＲＯＳ６０２の他の部分と通信する。好ましい実施形態において、オブジェクトスイッチインターフェースは、例えば、Ｕｎｉｘソケット用のインターフェースに類似し得る。図１２に示される各「ＯＳＩ」インターフェースは、オブジェクトスイッチ７３４と通信する能力を有している。
【０２８７】
ＲＯＳ６０２は、以下のオブジェクトスイッチサービスプロバイダー／リソース（それぞれ「ＯＳＩ」を介してオブジェクトスイッチ７３４と通信できる）を含んでいる：
出力管理オブジェクトマネージャ７５４；
入力管理オブジェクトマネージャ７５６；
ゲートウェイ７３４（ＲＰＣマネージャ７３２が、例えばサービスを提供および／またはリクエストするために、オブジェクトスイッチ７３４またはＯＳＩを有する他のエレメントと通信し得るように、ＲＰＣコールをオブジェクトスイッチコールにまたはその逆に翻訳する）；
外部サービスマネージャ７７２；
オブジェクト実行依頼マネージャ７７４；および
通信マネージャ７７６。
【０２８８】
簡単にいえば、
オブジェクト容器マネージャ７７０は、オブジェクト容器７２８へのアクセスに関連したサービスを提供する；
外部サービスマネージャ７７２は、ネットワークリソースまたは他のサイトからなど、外部的にリクエストおよび受けとることに関連したサービスを提供する；オブジェクト実行依頼マネージャ７７４は、ユーザアプリケーションがどのようにオブジェクトスイッチ７３４と相互作用するのかということに関連したサービスを提供する（オブジェクト実行依頼マネージャは、アプリケーションプログラム６０８へのインターフェースを提供するため、ユーザＡＰＩ６８２の一部と考えられ得る）；および
通信マネージャ７７６は、外界との通信に関連したサービスを提供する。
【０２８９】
好ましい実施形態において、通信マネージャ７７６は、ネットワークマネージャ７８０およびメールゲートウェイ（マネージャ）７８２を含み得る。メールゲートウェイ７８２は、例えば、オブジェクトスイッチ７３４と外界電子メールサービスとの間に自動的にＶＤＥ関連電子メールをルートするために、１つ以上のメールフィルタ７８４を含み得る。外部サービスマネージャ７７２は、サービストランスポート層７８６を介して、通信マネージャ７７６とインターフェースをとり得る。サービストランスポート層７８６ａは、外部サービスマネージャ７７２が、サービストランスポート層７８６を用いて管理された種々のプロトコルを用いて、外部コンピュータおよびシステムと通信することを可能にし得る。
【０２９０】
図１２に示されるＲＯＳ６８０の種々のサブシステムの特性およびそれに対するインタフェースを以下に詳細に説明する。
ＲＰＣマネージャ７３２およびそのＲＰＣサービスインターフェース
前述されたように、ＲＯＳ６０２によって提供される基本システムサービスは、ＲＰＣサービスインターフェース（ＲＳＩ）を使用することによって呼び出される。このＲＰＣサービスインターフェースは、ＲＯＳ６０２によって提供される異なるサービスシステムおよびサブシステムのための包括的な、標準化されたインターフェースを提供する。
【０２９１】
ＲＰＣマネージャ７３２は、ＲＰＣのリクエストするサービスを適切なＲＰＣサービスインターフェースにルートする。好ましい実施形態において、ＲＰＣコールを受け取ると同時に、ＲＰＣマネージャ７３２は、リクエストをサービスする１つ以上のサービスマネージャを決定する。ＲＰＣマネージャ７３２は次いで、適切なサービスマネージャによる作業のために、サービスリクエストを適切なサービスへ（サービスに関連したＲＳＩを介して）ルートする。
【０２９２】
例えば、ＳＰＥ５０３がリクエストをサービスする場合、ＲＰＣマネージャ７３２は、リクエストをＲＳＩ７３６ａへルートし、ＲＳＩ７３６ａはリクエストをＳＰＥ装置ドライバ７３６へ渡し、ＳＰＥへ進む。同様に、ＨＰＥ６５５がリクエストをサービスする場合には、ＲＰＣマネージャ７３２は、リクエストをＲＳＩ７３８ａにルートし、ＨＰＥへ進む。１つの好ましい実施形態において、ＲＳＩ７３６ａおよび７３８ａが同じＲＳＩの異なる事例となるように、ＳＰＥ５０３およびＨＰＥ６５５は本質的に同じサービスを行い得る。いったんサービスリクエストがＳＰＥ５０３（またはＨＰＥ６５５）に受け取られると、典型的にＳＰＥ（またはＨＰＥ）は、自らの内部ＲＰＣマネージャを用いてリクエストを内部的にディスパッチする（後で簡単に説明される）。ＳＰＥ５０３およびＨＰＥ６５５内での処理はまた、ＲＰＣリクエストを発生し得る。これらのリクエストは、ＳＰＥ／ＨＰＥによって内部処理され、内部的にサービス可能でない場合には、ＲＰＣマネージャ７３２によってディスパッチするためにＳＰＥ／ＨＰＥの外に渡される。
【０２９３】
遠隔（および局所）プロシージャコールは、「ＲＰＣサービステーブル」を使用してＲＰＣマネージャ７３２によってディスパッチされ得る。ＲＰＣサービステーブルは、特定のサービスのためのリクエストが処理のためにどこにルートされるかを示す。好ましい実施形態におけるＲＰＣサービステーブルの各ロウは、サービスＩＤ、サービスのロケーション、およびリクエストをサービスするために制御が渡されるアドレスを含む。ＲＰＣサービステーブルはまた、ＲＰＣディスパッチャのどの事例がサービスを制御するかを示す制御情報を含み得る。ＲＰＣマネージャ７３２、ならびに取り付けられたＳＰＥ５０３およびＨＰＥ６５５のいずれも、ＲＰＣサービステーブルの対称的なコピーを有し得る。ＲＰＣサービスが、ＲＰＣサービステーブルにおいて見つからなかった場合、拒絶されるかもしくは遠隔サービスのために外部サービスマネージャ７７２に渡される。
【０２９４】
ＲＰＣマネージャ７３２が、ＲＰＣサービステーブル内のリクエストに対応するロウを見つけたとすると、リクエストを適切なＲＳＩにディスパッチし得る。受け取るＲＳＩは、（ＲＰＣサービステーブル内のリクエストを探索（ｌｏｏｋ−ｕｐ）したかもしれない）ＲＰＣマネージャ７３２からのリクエストを受容し、特定サービスに関連した内部性質に従ってそのリクエストを処理する。
【０２９５】
好ましい実施形態において、ＲＰＣマネージャ７３２によってサポートされるＲＰＣサービスインターフェースは、サードパーティ販売者によって開発されたアドオンサービスモジュールをサポートするため、またＲＯＳ６０２をプログラムすることを簡単にして規模変更を容易にするために標準化および公開され得る。好ましい実施形態のＲＳＩは、最小限の努力で多くのプラットホームのために共通コードを開発し得るように、ほぼ完全にブロック装置のためのＤＯＳおよびＵｎｉｘ装置ドライバモデルに従っている。共通エントリポイント（ｅｎｔｒｙ　ｐｏｉｎｔｓ）の１つの可能なセットの例を、以下の表にリストした。
【０２９６】
【表１】

【０２９７】
ロード
好ましい実施形態において、サービス（およびＲＰＣマネージャ７３２に提示する関連ＲＳＩ）は、ＲＰＣ　ＬＯＡＤを発行するインストレーションブート処理によって、ブートの間活動化され得る。この処理は、構成ファイルからＲＰＣサービステーブルを読みとり、（カーネルリンク（ｋｅｒｎｅｌ　ｌｉｎｋｅｄ）装置ドライバとは対照的に）ランタイムロード可能（ｒｕｎ　ｔｉｍｅ　ｌｏａｄａｂｌｅ）であればサービスモジュールをロードし、次いでサービスのためにＬＯＡＤエントリポイントをコールする。ＬＯＡＤエントリポイントからの首尾良いリターンは、サービスが適切にロードされ、リクエストを受容する用意があることを示す。
ＲＰＣ　ＬＯＡＤコール例：ＳＶＣ　ＬＯＡＤ（ｌｏｎｇ　ｓｅｒｖｉｃｅ　ｉｄ）
このＬＯＡＤインターフェースコールは、権利オペレーティングシステム６０２初期化の間に、ＲＰＣマネージャ７３２によってコールされる。サービスマネージャが、いずれの動的にロード可能なコンポーネントもロードすること、およびサービスによって必要となる装置およびメモリを初期化することを可能にする。サービスがロードされる際のサービス番号は、ｓｅｒｖｉｃｅ　ｉｄパラメータとして渡される。好ましい実施形態においては、初期化処理が首尾良く完了した場合にはサービスは０、また何らかのエラーが生じた場合にはエラー番号をリターンする。
マウント
いったんサービスがロードされると、全てのサブサービスに対して完全には機能しないかもしれない。サブサービスによっては（例えば、通信ベースサービス）は、追加の接続の確立を必要とし、またはロードされる追加のモジュールを必要とし得る。サービスが「マウント可能」と規定されれば、ＲＰＣマネージャ７３２は、サブサービスの例を開くのに先だって、リクエストされたサブサービスＩＤでＭＯＵＮＴサブサービスエントリポイントをコールする。
ＲＰＣ　ＭＯＵＮＴコール例：
ＳＶＣ　ＭＯＵＮＴ（ｌｏｎｇ　ｓｅｒｖｉｃｅ　ｉｄ、ｌｏｎｇ　ｓｕｂｓｅｒｖｉｃｅ　ｉｄ、ＢＹＴＥ^＊　ｂｕｆｆｅｒ）　このＭＯＵＮＴインターフェースコールはサービスを命令し、特定のサブサービスを用意する。これは、ネットワーキング、通信、他のシステムサービス、または外部リソースに関係したサービスを含み得る。ｓｅｒｖｉｃｅ　ｉｄ、およびｓｕｂｓｅｒｖｉｃｅ　ｉｄパラメータは、リクエストされた特定のサービスに固有であり得る。バッファパラメータは、特定サービスに適切な制御ストラクチャを参照するメモリアドレスである。
開く
いったんサービスがロードされ、「マウント」されると、サービスの特定の事例が使用のために「開かれ」得る。サービスの事例を「開くこと」によって、メモリが制御およびステータス情報を格納するようにアロケートし得る。例えば、ＢＳＤソケットベースネットワーク接続において、ＬＯＡＤコールが、ソフトウェアおよびプロトコル制御テーブルを初期化し、ＭＯＵＮＴコールがネットワークおよびハードウェアリソースを特定し、そしてＯＰＥＮが遠隔インストレーションに対してソケットを実際に開く。
【０２９８】
安全なデータベースサービスの根底にある商用データベースマネージャ７３０などサービスによっては、「マウント可能」でないかもしれない。この場合、ＬＯＡＤコールは、データベースマネージャ７３０と接続し、記録が読み取り可能であることを確実にし得る。ＯＰＥＮコールは、種々のクラスの記録のための内部キャッシュマネージャ７４６の事例を作成し得る。
ＲＰＣＯＰＥＮコール例：
ＳＶＣ　ＯＰＥＮ（ｌｏｎｇ　ｓｅｒｖｉｃｅ　ｉｄ、ｌｏｎｇ　ｓｕｂｓｅｒｖｉｃｅ　ｉｄ、ＢＹＴＥ　^＊ｂｕｆｆｅｒ、ｉｎｔ（^＊ｒｅｃｅｉｖｅ）（ｌｏｎｇ　ｒｅｑｕｅｓｔ　ｉｄ））
このＯＰＥＮインターフェースコールは、特定のサブサービスを開くサービスを命令する。ｓｅｒｖｉｃｅ　ｉｄおよびｓｕｂｓｅｒｖｉｃｅ　ｉｄパラメータは、リクエストされる特定のサービスに固有であり、バッファパラメータは特定サービスに適切な制御ストラクチャを参照するメモリアドレスである。
【０２９９】
任意の受け取りパラメータは、メッセージがそれを検索するサービスに対する用意ができ次第サービスによってコールされる通知コールバック機能のアドレスである。このアドレスへのコールの１つは、受け取られる各入力メッセージに対して作られる。コールする者（ｃａｌｌｅｒ）が、インターフェースにＮＵＬＬを渡せば、ソフトウェアは各メッセージに対してコールバックを発生しない。
クローズ、アンマウント、およびアンロード
ＯＰＥＮ、ＭＯＵＮＴ、およびＬＯＡＤコールの反対は、ＣＬＯＳＥ、ＵＮＭＯＵＮＴ、およびＵＮＬＯＡＤである。これらのインターフェースコールは、アロケートされたリソースをいずれもＲＯＳ６０２（例えば、メモリマネージャ６８０ａ）に戻す。
ＲＰＣ　ＣＬＯＳＥコール例：ＳＶＣ　ＣＬＯＳＥ（ｌｏｎｇ　ｓｖｃ　ｈａｎｄｌｅ）
このＬＯＡＤインターフェースコールは、開いたサービス「ハンドル」を閉じる。サービス「ハンドル」は、ユーザが閉じたいと思っているサービスおよびサブサービスを描写する。ＣＬＯＳＥリクエストが首尾良く行われればコールは０をリクエストし（ハンドルは無効となり）、さもなければエラー番号をリターンする。
ＲＰＣ　ＵＮＬＯＡＤコール例：ＳＶＣ　ＵＮＬＯＡＤ（ｖｏｉｄ）
このＵＮＬＯＡＤインターフェースコールは、権利オペレーティングシステム６０２のシャットダウンまたはリソースリアロケーションの間にＲＰＣマネージャ７３２によってコールされる。開いているどの接続もサービスが閉じ、バッファをフラッシュ（ｆｌｕｓｈ）し、アロケートし得たいずれのオペレーティングシステムリソースも放出することを可能にする。サービスは０をリターンする。
ＲＰＣ　ＵＮＭＯＵＮＴコール例：ＳＶＣ　ＵＮＭＯＵＮＴ（ｌｏｎｇ　ｓｅｒｖｉｃｅ　ｉｄ、ｌｏｎｇ　ｓｕｂｓｅｒｖｉｃｅ　ｉｄ）　このＵＮＭＯＵＮＴインターフェースコールは、特定のサブサービスを非活性化するようにサービスを命令する。ｓｅｒｖｉｃｅ　ｉｄおよびｓｕｂｓｅｒｖｉｃｅ　ｉｄパラメータは、リクエストされる特定のサービスに固有であり、ＳＶＣ　ＭＯＵＮＴ（）リクエストを使用して予めマウントされていなければならない。コールは、サブサービスに関連した全てのシステムリソースを、そのリターンに先だって放出する。
読み取りおよび書き込み
ＲＥＡＤおよびＷＲＩＴＥコールは、マウントされ、開かれたサービスへ情報を送り、応答を受け取るための基本的なメカニズムを提供する。例えば、サービスは、ＲＰＣリクエストの形で書き込まれたリクエストを有し、その応答がでるとＲＰＣマネージャ７３２によって読まれ得るようにする。
ＲＰＣ　ＲＥＡＤコール例：
ＳＶＣ　ＲＥＡＤ（ｌｏｎｇ　ｓｖｃ　ｈａｎｄｌｅ、ｌｏｎｇ　ｒｅｑｕｅｓｔ　ｉｄ、ＢＹＴＥ　^＊ｂｕｆｆｅｒ、ｌｏｎｇ　ｓｉｚｅ）
このＲＥＡＤコールは、サービスからメッセージ応答を読みとる。ｓｖｃ　ｈａｎｄｌｅおよびｒｅｑｕｅｓｔ　ｉｄパラメータは、リクエストを一義的に識別する。リクエストの結果は、ユーザ指定バッファにその限界バイト（ｓｉｚｅ　ｂｙｔｅｓ）に達するまで格納される。バッファが小さすぎる場合、メッセージの第１の限界バイトは、バッファに格納され、エラーがリターンされる。
【０３００】
メッセージ応答が、コールする者のバッファに正確にリターンされた場合、機能は０をリターンする。さもなくば、エラーメッセージがリターンされる。
ＲＰＣ　ＷＲＩＴＥコール例：
ＳＶＣ　ｗｒｉｔｅ（ｌｏｎｇ　ｓｅｒｖｉｃｅ　ｉｄ、ｌｏｎｇ　ｓｕｂｓｅｒｖｉｃｅ　ｉｄ、ＢＹＴＥ　^＊ｂｕｆｆｅｒ、ｌｏｎｇ　ｓｉｚｅ、ｉｎｔ（^＊ｒｅｃｅｉｖｅ）（ｌｏｎｇ　ｒｅｑｕｅｓｔ　ｉｄ））
このＷＲＩＴＥコールは、ｓｅｒｖｉｃｅ　ｉｄ／ｓｕｂｓｅｒｖｉｃｅ　ｉｄパラメータペアに特定されたサービスおよびサブサービスにメッセージを書き込む。メッセージはバッファに格納され（そして通常ＶＤＥ　ＲＰＣメッセージフォーマットに適合する）、限界バイト長である。機能は、メッセージのためにリクエストｉｄをリターンする（その送達が受容された場合）さもなくばエラー番号をリターンする。仮に、ユーザが受取りコールバック機能を特定した場合、発生されたメッセージコールバックの代わりにリクエスト特定コールバックルーチンにリクエストに関する全てのメッセージが送られる。
インプット／アウトプット制御
ＩＯＣＴＬ（「インプット／アウトプット制御」）コールは、ロードされたサービスのステータスの照会および制御のためのメカニズムを提供する。各サービスタイプは、特定の汎用ＩＯＣＴＬリクエスト、全ての必要とされるクラスＩＯＣＴＬリクエスト、およびサービス特定ＩＯＣＴＬリクエストに応答する。
ＲＰＣ　ＩＯＣＴＬコール例：ＲＯＩ　ＳＶＣ　ＩＯＣＴＬ（ｌｏｎｇ　ｓｅｒｖｉｃｅ　ｉｄ、ｌｏｎｇ　ｓｕｂｓｅｒｖｉｃｅ　ｉｄ、ｉｎｔ　ｃｏｍｍａｎｄ、ＢＹＴＥ^＊ｂｕｆｆｅｒ）
このＩＯＣＴＬ機能は、ＲＳＩのための汎用化された制御インターフェースを提供する。ユーザは、制御したいｓｅｒｖｉｃｅ　ｉｄパラメータ、およびｓｕｂｓｅｒｖｉｃｅ　ｉｄパラメータを指定する。制御コマンドパラメータ、およびコマンドパラメータが書き込ま／読み取られ得るバッファを指定する。コマンドおよび適切なバッファストラクチャのリストの例を以下に示す。
【０３０１】
【表２】

【０３０２】
＊　＊　＊　＊　＊
好ましい実施形態によって提供される包括的なＲＰＣサービスインターフェースを説明してきた。以下の説明は、ＲＯＳ６０２によって提供されるサービスの特定の例に関する。
ＳＰＥ装置ドライバ７３６
ＳＰＥ装置ドライバ７３６は、ＲＯＳ６０２とＳＰＥ５０３とのインターフェースを提供する。好ましい実施形態におけるＳＰＥ５０３は、ＳＰＵ５００の境界内でランされるため、この装置ドライバ７３６の１つの局面は、ＳＰＵ５００ハードウェアとの低レベル通信サービスを提供することである。ＳＰＥ装置ドライバ７３６の他の局面は、特にＳＰＥ５０３に、ＲＰＣサービスインターフェース（ＲＳＩ）７３６ａを提供することである（この同じＲＳＩは、ＨＰＥ装置ドライバ７３８を介してＨＰＥ６５５と通信するために使用され得る）。
【０３０３】
ＳＰＥ　ＲＳＩ７３６ａおよびドライバ７３６は、簡潔な機能セットを提供する基本インターフェースポイントのセットを提供することによって、ＲＯＳ６０２内（またはＲＯＳの外部）のコーリング処理を、ＳＰＥ５０３によって提供される細目にわたるサービスから孤立させる。これには、いくつかの利点がある。例えば、外界には共通の機能性を提供するが、詳細な内部ストラクチャおよびアーキテクチャが異なり得る規模変更されたＳＰＵ５００のフルライン（ｆｕｌｌ　ｌｉｎｅ）が許容される。装置内のメモリ常駐容量、プロセッサ速度、およびＳＰＵ５００内でサポートされているサービスの数などのＳＰＵ５００の特性は、特定ＳＰＵ製造業者によって決定され得、とにかく一方のＳＰＵ構成と他方とでは異なり得る。互換性を維持するために、ＳＰＥ装置ドライバ７３６およびＲＳＩ７３６ａは、サポートし得るＳＰＵ５００および／またはＳＰＥ５０３の詳細な構成の差異を「隠す」基本共通ＲＰＣインターフェース規格への適合を提供する。
【０３０４】
そのような適合性を提供するために、好ましい実施形態におけるＳＰＥ　ＲＳＩ７３６ａは、簡単なブロックベース規格に従う。好ましい実施形態において、ＳＰＥ　ＲＳＩ７３６ａは、ネットワークＥｔｈｅｒｎｅｔカードのパケットインターフェースの後にモデル化され得る。この規格は、好ましい実施形態におけるＳＰＵ５００のブロックモードインターフェース特性を綿密にモデル化する。
【０３０５】
ＳＰＥ　ＲＳＩ７３６ａは、ＲＰＣマネージャ７３２からのＲＰＣコールが、ＳＰＥ７３６によって提供された特定のサービスにアクセスすることを可能にする。これを実現するために、ＳＰＥ　ＲＳＩ７３６ａは、「サービス通知アドレスインターフェース」のセットを提供する。これらは、ＳＰＥ５０３によって提供される個別のサービスに、外界とのインターフェースを提供する。ＲＰＣコールをＳＰＥ　ＲＳＩ７３６ａを向け、ＲＰＣコール内の対応する「サービス認知アドレス」を特定することによって、ＲＯＳ６０２内のいかなるコーリング処理もこれらのＳＰＥに提供サービスにアクセスし得る。特定された「サービス認知アドレス」は、ＳＰＥ５０３に、ＳＰＥ内の特定のサービスにＲＰＣコールを内部的にルートさせる。以下は、個別のサービス認知アドレスが提供され得るＳＰＥサービス故障の一例の一覧である：
チャネルサービスマネージャ
認証マネージャ／安全通信マネージャ
安全データベースマネージャ
チャネルサービスマネージャは、主要サービスプロバイダであり、残りのＲＯＳ６０２のためのＳＰＥ５０３へのアクセスポイントである。後述されるように、イベント処理はこのサービスによって主に管理される（ＳＰＥ５０３の外部における処理の観点から）。認証マネージャ／安全通信マネージャは、ＲＯＳ６０２のユーザのためのログイン／ログアウトサービスを提供し、コンポーネントアセンブリ６９０、ＶＤＥオブジェクト３００などに関連した（典型的には暗号化、もしくは保護された）通信を管理するための直接サービスを提供し得る。情報表示のリクエスト（例えば、金融予算の残高）は、ＳＰＥ５０３内の安全データベースマネージャへの直接サービスリクエストによって提供され得る。認証マネージャ／安全通信マネージャおよび安全データベースマネージャの事例は、たとえ入手可能であったとしても、ＳＰＥ５０３内で動作している処理に利用可能な情報および／または能力のサブセットのみを提供し得る。前記されたように、ＳＰＥにエンターするほとんどの（場合によっては全てかもしれない）サービスリクエストは、処理のためにチャネルサービスマネージャにルートされる。その詳細が後述されるように、ほとんどの制御ストラクチャおよびイベント処理論理が、チャネルサービスマネージャの管理の下でコンポーネントアセンブリ６９０を伴う。
【０３０６】
ＳＰＥ５０３は、この例において、関連ＳＰＥドライバ７３６を介してアクセスされなければならない。一般的に、ＳＰＥドライバ７３６へのコールは、ＲＰＣコールに応答してつくられる。この例においては、ＳＰＥドライバＲＳＩ７３６ａは、ＳＰＥドライバ７３６についての情報を制御または確かめるために向けられるＲＰＣコールを、ドライバコールに翻訳し得る。ＳＰＥドライバＲＳＩ７３６ａは、ＳＰＥを介してドライバ７３６とともにＳＰＥ５０３に向けられたＲＰＣコールを渡し得る。
【０３０７】
以下の表は、ＳＰＥ装置ドライバ７３６の一例を示す：
【０３０８】
【表３】

【０３０９】
以下に、上記の表に記載される各ＳＰＥドライバコールのより詳細な例である。「ＳＰＥ情報」ドライバコールの例：ＳＰＥ　ｉｎｆｏ（ｖｏｉｄ）
この機能は、ＳＰＥ装置ドライバ７３６ａを定義するＳＰＥ　ＩＮＦＯデータストラクチャにポインターをリターンする。このデータストラクチャは、ＳＰＥ装置ドライバ７３６、ＲＳＩ７３６ａ、および／またはＳＰＵ５００についての特定の情報を提供し得る。ＳＰＥ　ＩＮＦＯストラクチャの例を以下に示す：
【０３１０】
【表４】

【０３１１】
ＳＰＥ「初期化インターフェース」ドライバコールの例
ＳＰＥ　ｉｎｉｔｉａｌｉｚｅ　ｉｎｔｅｒｆａｃｅ（ｉｎｔ（ｆｃｎ^＊ｒｅｃｅｉｖｅｒ）（ｖｏｉｄ））　ｓｅｔ　ｎｏｔｉｆｙ（）コールを用いて宛先サービスが置き換え（ｏｖｅｒ−ｒｉｄｄｅｎ）られない限り、ＳＰＥ５０３から受け取った全てのパケットに対して、パラメータによって渡されるレシーバ機能がコールされる。受け取り機能は、ＲＯＳ６０２が、ＲＰＣマネージャ７３２とＳＰＥ５０３との間のパケット通信のためのフォーマットを特定することを可能にする。
【０３１２】
好ましい実施形態において、この機能は、インターフェースの初期化が成功すれば「０」をリターンし、失敗すれば非ゼロをリターンする。機能が失敗した場合、失敗の理由を説明するコードを関数値としてリターンする。
ＳＰＥ「終了インターフェース」ドライバコールの例
ＳＰＥ　ｔｅｒｍｉｎａｔｅ　ｉｎｔｅｒｆａｃｅ（ｖｏｉｄ）
好ましい実施形態において、この機能は、ＳＰＥドライバ７３６をシャットダウンし、全ての通知アドレスをクリアし、ＳＰＥとＲＯＳ　ＲＰＣマネージャ７３２との間の全ての未決着の（ｏｕｔｓｔａｎｄｉｎｇ）リクエストを終了する。この機能はまた、全てのリクエストの決着がついた（ｒｅｓｏｌｖｅ）後に、ＳＰＥ５０３を（例えば、ＳＰＵ５００のウォームリブートによって）リセットする。
【０３１３】
ドライバ７３６の終了は、オペレーティングシステムがシャットダウンを始める時にＲＯＳ６０２によって行われる。また、ＳＰＥにおける全ての処理が既知の状態（ｋｎｏｗｎ　ｓｔａｔｅ）にリセットされなければならないほど、ＳＰＥ５０３およびＲＯＳ６０２が同期しなくなれば、コールを発行することが必要となる。
ＳＰＥ「リセットインターフェース」ドライバコールの例：
ＳＰＥ　ｒｅｓｅｔ　ｉｎｔｅｒｆａｃｅ（ｖｏｉｄ）
この機能は、ドライバ７３６をリセットし、ＳＰＥ５０３とＲＯＳ　ＲＰＣマネージャ７３２との間の全ての未決着のリクエストを終了し、全ての統計カウントをクリアする。この機能は、ＳＰＵ５００をリセットせず、単純にドライバ７３６を既知の安定状態に復元する。
ＳＰＥ「ゲット（Ｇｅｔ）統計」ドライバコールの例：ＳＰＥ　ｇｅｔ　ｓｔａｔｓ　（ｌｏｎｇ　ｓｅｒｖｉｃｅ　ｉｄ）
この機能は、一般的に、特定のサービス通知インターフェースまたはＳＰＥドライバ７３６のために統計をリターンする。この機能は、これらの統計、または（インターフェースが初期化されていないためか、レシーバアドレスが特定されていないためのいずれかの理由によって）統計がなければＮＵＬＬを含む統計バッファにポインタをリターンする。ＳＰＥ　ＳＴＡＴＳストラクチャの一例は、以下の定義を有し得る：
【０３１４】
【表５】

【０３１５】
ユーザがサービスＩＤを特定した場合、そのサービスによって送られたパケットに関連した統計がリターンされる。ユーザがパラメータとして０を特定した場合、インターフェースのための合計パケット統計がリターンされる。
ＳＰＥ「クリア統計」ドライバコールの例：
ＳＰＥ　ｃｌｅａｒ　ｓｔａｔｓ（ｌｏｎｇ　ｓｅｖｉｃｅ　ｉｄ）
この機能は、特定されたＳＰＥ　ｓｅｒｖｉｃｅ　ｉｄに関連した統計をクリアする。ｓｅｒｖｉｃｅ　ｉｄが特定されなかった場合（すなわち、コールする者が０で渡した場合）、グローバル統計がクリアされる。この機能は、統計が首尾良くクリアされた場合には０をリターンし、エラーが発生した場合にはエラー番号をする。
ＳＰＥ「セット通知アドレス」ドライバコールの例：
ＳＰＥ　ｓｅｔ　ｎｏｔｉｆｙ（ｌｏｎｇ　ｓｅｒｖｉｃｅ　ｉｄ，　ｉｎｔ（ｆｃｎ^＊ｒｅｃｅｉｖｅｒ）（ｖｏｉｄ））
この機能は、特定のサービスのために、通知アドレス（レシーバ）をセットする。通知アドレスがＮＵＬＬにセットされた場合、ＳＰＥ装置ドライバ７３６は、特定されたサービスへのパケットの通知をデフォルト通知アドレスへ送る。
ＳＰＥ「ゲット通知アドレス」ドライバコールの例
ＳＰＥ　ｇｅｔ　ｎｏｔｉｆｙ（ｌｏｎｇ　ｓｅｒｖｉｃｅ　ｉｄ）
この機能は、ネームサービスに関連した通知アドレスをリターンし、もしくは特定の通知アドレスが特定されなければＮＵＬＬをリターンする。
ＳＰＥ「送りパケット（Ｓｅｎｄ　Ｐａｃｋｅｔ）」ドライバコールの例：
ｓｅｎｄ　ｐｋｔ（ＢＹＴＥ^＊ｂｕｆｆｅｒ，　ｌｏｎｇ　ｓｉｚｅ，　ｉｎｔ（ｆａｒ^＊ｒｅｃｅｉｖｅ）（ｖｏｉｄ））
この機能は、「長さ」サイズのバッファに格納されたパケットを送る。パケットが首尾良く送られた場合には０を送り、さもなくば失敗に関連したエラーコードを送る。
リディレクタサービスマネージャ６８４
リディレクタ６８４は、既存するオペレーティングシステムへの「アドオン」によってＲＯＳ６０２が設けられる場合、または先において説明したように、何らかのＶＤＥ機能のために「トランスペアレント」オペレーションが望ましい場合に主に使用されるシステム統合ソフトウェアの一部である。１つの実施形態において、カーネル６８０、通信マネージャ７７６の一部、ファイルシステム６８７、およびＡＰＩサービス７４２の一部は、ＤＯＳ、Ｗｉｎｄｏｗｓ、ＵＮＩＸ、Ｍａｃｉｎｔｏｓｈ　Ｓｙｓｔｅｍ、ＯＳ９、ＰＳＯＳ、ＯＳ／２、または他のオペレーティングシステムプラットホームなどの既存するオペレーティングシステムの一部をなし得る。図１２に示すＲＯＳ６０２サブシステムの残りは、既存のオペレーティングシステムへの「アドオン」として設けられ得る。いったんこれらのＲＯＳサブシステムが供給され、「アドオン」されると、統合された全体が図１２に示すＲＯＳ６０２を含む。
【０３１６】
この種の統合の摘要においては、ＲＯＳ６０２は、継続して既存のＯＳカーネル６８０によってサポートされるが、例えば、仮想メモリマネージャなど追加のアドオン部分を設けることによってその機能の多くを補足（または置換）し得る。
【０３１７】
また、この統合摘要においては、既存のＡＰＩサービスと容易に統合するＡＰＩサービス７４２のアドオン部分が、ＶＤＥ機能コールをサポートするために設けられる。アドオン部分を統合された既存ＡＰＩサービスは、ＶＤＥ機能６０４へのコール、およびＶＤＥ機能以外の機能６０６へのコールの両方（図１１Ａを参照）を含むオペレーティングシステムコールの向上したセットをサポートする。ＡＰＩサービス７４２のアドオン部分は、ＲＰＣマネージャ７３２によるルーティングのために、ＶＤＥ機能コールをＲＰＣコールに翻訳し得る。
【０３１８】
ＲＯＳ６０２は、既存のオペレーティングシステムの提供する標準通信マネージャ７７６を使用、または容易に統合し得る「アドオン」および／またはその代用品を設け得る。リディレクタ６８４は、この統合機能を提供し得る。
【０３１９】
これは、ＲＯＳ６０２を既存のファイルシステム６８７と統合するという要件を残す。リディレクタ６８４は、この統合機能を提供する。
【０３２０】
この統合摘要において、既存のオペレーティングシステムのファイルシステム６８７は、補助記憶装置への全てのアクセスのために使用される。しかし、ＶＤＥオブジェクト３００は、補助記憶装置に外部オブジェクト容器７２８、ファイルシステム６８７の形態で、または通信マネージャ７７６を通して遠隔的にアクセス可能に格納され得る。オブジェクトスイッチ７３４は、外部オブジェクト容器７２８にアクセスしたい場合には、オブジェクト容器マネージャ７７０にリクエストし、オブジェクト容器マネージャ７７０はリクエストをオブジェクト容器７２８またはリディレクタ６９２（これは次いでファイルシステム６８７内のオブジェクトにアクセスする）にルートする。
【０３２１】
一般に、リディレクタ６８４は、ＶＤＥオブジェクト容器７２８コンテンツを、ファイルシステム６８７への既存コールへマップする。リディレクタ６８４は、オブジェクトを既存のＯＳのネームスペースへのマッピングを含む、ＶＤＥオブジェクト３００についての既存ＯＳレベル情報を提供する。これにより、既存のオペレーティングシステムによって提供される「ノーマル」ファイルシステム６８７アクセス技術を用いたＶＤＥ保護されたコンテンツへのシームレスなアクセスが許可される。
【０３２２】
前述された統合摘要において、各既存ターゲットＯＳファイルシステム６８７は、異なるインターフェース要件を有しており、それにより、リディレクタメカニズム６８４が「フック」され得る。通常、今日の既製のオペレーティングシステムは、ネットワークベースボリューム、ファイルシステム、および他の装置（例えば、プリンタ、モデムなど）に対するサポートを提供するため、リディレクタ６８４は、低レベルネットワークおよびファイルアクセス「フック」を使用して、既存のオペレーティングシステムと統合し得る。ＶＤＥ機能６０２をサポートするための「アドオン」は、これらの既存のフックを使用して、既存のオペレーティングシステムに統合し得る。
ユーザ通知サービスマネージャ７４０
ユーザ通知サービスマネージャ７４０および関連ユーザ通知例外インターフェース（「ポップアップ」）６８６は、電子機器６００のユーザとの通信能力が向上したＲＯＳ６０２を提供する。全てのアプリケーション６０８が、ＡＰＩ６８２を通って渡されるＲＯＳ６０２からのメッセージに応答するように設計されうるわけではなく、とにかくアプリケーションがどのような状態にあってもユーザと通信する能力をＲＯＳ６０２に与えることが重要または望ましい。ユーザ通知サービスマネージャ７４０およびインターフェース６８６は、ＡＰＩ６８２およびアプリケーション６０８を通してリターンコールを渡す代わりにまたはそれに加えて、直接ユーザと通信するメカニズムをＲＯＳ６０２に提供する。これは、例えば、Ｗｉｎｄｏｗｓオペレーティングシステムが、ランしているアプリケーションの「上に」、アプリケーションの状態とは無関係に、ユーザメッセージを「ダイアログボックス」に表示する能力に類似する。
【０３２３】
好ましい実施形態におけるユーザ通知６８６ブロックは、アプリケーションコードとして実施され得る。インターフェース７４０ａの実施は、好ましくは、ＡＰＩサービスマネージャ７２４の一部として実施され得る通知サービスマネージャ７４０の上に形成される。好ましい実施形態における通知サービスマネージャ７４０は、特定通知を、適切なＡＰＩリターンまたはその他の通路を介して、適切なユーザ処理にディスパッチするために、通知サポートを提供する。このメカニズムによって、通知が、通知メカニズムを特定した処理に単に戻るのではなく、どの承認された処理にもルートされることを可能になる。
ＡＰＩサービスマネージャ７４２
好ましい実施形態のＡＰＩサービスマネージャ７４２は、ＲＰＣサービスマネージャ７３２とのサービスインターフェースとして実施される。全てのユーザＡＰＩリクエストが、この基本インターフェースの上に形成される。ＡＰＩサービスマネージャ７４２は、好ましくはランしている各ユーザアプリケーションのためのサービスの事例を提供する。
【０３２４】
好ましい実施形態において、ＡＰＩサービスマネージャ７４２にサポートされるＲＯＳ機能へのＲＰＣコールのほとんどが、何らかの追加のパラメータチェックを伴って、サービスコールに直接マップされ得る。このメカニズムは、開発者が、自らの拡張ＡＰＩライブラリを、機能性を追加または変更して作成することを可能にする。
【０３２５】
「アドオン」を既存のオペレーティングシステムと統合することによって、ＲＯＳ６０２が形成される前述された摘要においては、ＡＰＩサービス７４２コードは、アプリケーションプログラマーの実施決定、および／または電子機器６００のタイプによって、共有され得る（例えば、Ｗｉｎｄｏｗｓ　ＤＬＬのようなホスト環境なかのレジデント（ｒｅｓｉｄｅｎｔ））、またはアプリケーションのコードと直接リンクされ得る。通知サービスマネージャ７４０は、ＡＰＩ６８２内で実施され得る。これらのコンポーネントは、システムとユーザスペースとの間の遷移（ｔｒａｎｓｉｔｉｏｎ）を提供するために、通知サービスコンポーネント６８６とのインターフェースをとる。
安全データベースサービスマネージャ（「ＳＤＳＭ」）７４４
安全データベース６００を管理するために使用されうる手法は少なくとも２つある：
Ｃ　商用データベースアプローチ；および
Ｃ　サイト記録番号アプローチ。
【０３２６】
ＶＤＥサイトが安全データベース６１０に格納された記録の数に基づいて、どちらかの手法が選択され得る。
【０３２７】
商用データベースアプローチは、商用データベースを使用して、安全にラップされた記録を安全に商用データベースに格納する。この手法は、安全データベース６１０に格納された記録の数が多い場合に好ましい。この手法により、リソース使用の費用で（ほとんどの商用データベースマネージャが、多くのシステムリソースを用いる）、高速アクセス、効率的な更新、およびホストシステムへの簡単な統合が提供される。
【０３２８】
サイト記録数アプローチは、「サイト記録数」（「ＳＲＮ」）を使用して、システム内の記録を突き止める。この体系は、安全データベース６１０に格納された記録の数が少なく、大幅に経時変化しないと思われる場合に好ましい。この手法により、更新能力が限定された、効率的なリソースの使用が可能になる。ＳＲＮは、アクセスを速くし、性能を向上させるために、類似したデータ記録のグルーピングをさらに許可する。
【０３２９】
ＶＤＥ１００は、大幅に規模変更可能なため、異なる電子機器６００によって、多くの手法のなかの１つの手法が示唆され得る。例えば、セットトップ（ｓｅｔ　ｔｏｐ）、ＰＤＡ、または他のロウエンド電子機器のような限定された環境において、必要となるリソース（メモリ、およびプロセッサ）の容量を限定する好ましいＳＲＮ体系があり得る。ＶＤＥが、デスクトップコンピュータ、サーバ、および情報交換所などのより能力の高い電子機器６００に配備される場合、リソースが限定されない環境において高い性能を提供するため、商用データベース体系がより望ましい。
【０３３０】
２つのアプローチにおけるデータベース記録の差異の１つは、フルＶＤＥ　ＩＤまたはＳＲＮを用いて記録が特定されるかどうかという点である。２つの体系間で翻訳するために、ＳＲＮ参照は、それが生じるたびに、ＶＤＥ　ＩＤデータベース照会と置換し得る。同様に、インデックスまたは他のアイテムへの照会として使用されるＶＤＥ　ＩＤは、適切なＳＲＮ値と置換され得る。
【０３３１】
好ましい実施形態においては、既製のデータベースマネージャ７３０は、安全なデータベース６１０を維持するために使用される。ＲＯＳ６０２は、データベースドライバ７５０およびデータベースインタフェイス７４８を通して、商用データベースマネージャ７３０と相互作用する。ＲＯＳ６０２と外部サードパーティ販売者のデータベース商用データベースマネージャ７３０との間にあるデータベースインタフェイス７４８は、いかなるデータベース販売者もが自身の製品にＶＤＥ承諾（ｃｏｍｐｌｉａｎｔ）データベースドライバ７５０を実施することを可能にするオープン規格（ｏｐｅｎ　ｓｔａｎｄａｒｄ）であり得る。
【０３３２】
ＲＯＳ６０２は、ＶＤＥの提供する安全層が商用データベースストラクチャ「の上」にあるように、それぞれの安全データベース６１０の記録を暗号化し得る。換言すれば、ＳＰＥ７３６は、商用データベースマネージャ７３０によってサポートされるデータベース記録ストラクチャ内に格納され得る安全記録を大きさおよびフォーマットで書き込み得る。商用データベースマネージャ７３０は、記録を組織化、格納、および検索するために使用され得る。ある実施形態においては、商用データベースマネージャ７３０の代わりに、専有および／または新しく作成されたデータベースマネージャを使用することが望ましい。しかし、商用データベースマネージャ７３０によて、例えば、既存のデータベース管理製品を使用する能力などの何らかの利点が得られる。
【０３３３】
安全データベースサービスマネージャ（「ＳＤＳＭ」）７４４は、安全データベース６１０内の記録を得て、改変し、格納するために、下層の（ｕｎｄｅｒｌｙｉｎｇ）商用データベースマネージャ７３０をコールする。好ましい実施形態において、「ＳＤＳＭ」７４４は、商用データベースマネージャ７３０のストラクチャ「の上」に層を形成する。例えば、全てのＶＤＥ安全情報は、暗号化された形式で商用データベースマネージャ７３０に送られる。ＳＤＳＭ７４４は、キャッシュマネージャ７４６およびデータベースインタフェース７４８とともに、記録管理、（キャッシュマネージャ７４６を使用した）キャッシング、および商用データベースシステム７３０および／または記録マネージャ（の上）の関係サービスを提供し得る。好ましい実施形態におけるデータベースインターフェース７４８およびキャッシュマネージャ７４６は、自身のＲＳＩを提示するのではなく、安全データベースマネージャＲＳＩ７４４ａを通してＲＰＣマネージャ７３２がそれらと通信する。
ネームサービスマネージャ７５２
ネームサービスマネージャ７５２は、以下の３つのサブサービスをサポートする：ユーザネームサービス、ホストネームサービス、およびサービスネームサービス。ユーザネームサービスは、ユーザネームと、ユーザＩＤ番号との間のマッピングおよび探索を提供し、またユーザベースリソースおよび情報安全の他の局面をサポートし得る。ホストネームサービスは、他の処理リソース（および例えば、他のホスト電子機器）のネーム（例えば、アドレス、通信接続／ルーティング情報などの他の情報と）とＶＤＥノードＩＤとの間にマッピングおよび探索を提供する。サービスネームサービスは、サービスネームと、接続情報（例えば、遠隔的なサービスルーティングおよびコンタクト情報）およびサービスＩＤなどの他の直接関係のある情報との間のマッピングおよび探索を提供する。
【０３３４】
好ましい実施形態におけるネームサービスマネージャ７５２は、外部サービスルーティング情報を直接外部サービスマネージャに提供し得るように、外部サービスマネージャ７７２に接続される。ネームサービスマネージャ７５２はまた、安全データベースマネージャ７４４に接続され、ネームサービスマネージャ７５２が、安全データベース６１０に格納されたネームサービス記録にアクセスすることを許可する。
【０３３５】
外部サービスマネージャ７７２およびサービストランスポート７８６
外部サービスマネージャ７７２は、外部サービスプロバイダとのインタフェイスをとるために、プロトコルサポート能力を提供する。外部サービスマネージャ７７２は、例えば、ネームサービスマネージャ７５２から外部サービスルーティング情報を得て、通信マネージャ７７６を通して、特定の外部サービス（例えば、他のＶＤＥ電子機器６００、金融情報交換所など）とのコンタクトを初期化する。外部サービスマネージャ７７２は、通信を提供するために必要な通信プロトコルおよび他の情報を供給するサービストランスポート層７８６を使用する。
【０３３６】
外部サービスマネージャ７７２の重要な使用例がいくつかある。いくつかのＶＤＥオブジェクトにおいては、そのコンテンツの一部あるいは全部が、そのＶＤＥオブジェクトについての何らかの使用権を持っているあるいはそれを取得したいと思っているユーザが操作しているものではない電子機器６００のオブジェクト容器７２８に格納され得る。この場合、外部サービスマネージャ７７２は、所望のＶＤＥオブジェクト（あるいはそのコンテンツ）が格納されている電子機器６００への接続を管理し得る。さらに、ファイルシステム６８７は、リディレクタ６８４を用いたＶＤＥオブジェクトへのアクセスを許可するネットワークファイルシステム（例えば、Ｎｅｔｗａｒｅ、ＬＡＮｔａｓｔｉｃ、ＮＦＳ等）であり得る。オブジェクトスイッチ７３４もまたこの能力をサポートする。
【０３３７】
外部サービスマネージャ７７２を用いてＶＤＥオブジェクトにアクセスする場合、多数の異なる技術が可能である。例えば、関連ヘッダ、コンテンツタグ、（例えば、ネームサービスマネージャ７５２を用いた）ホストＩＤからＵＲＬへの変換、およびＨＴＴＰを意識したサービストランスポート層７８６のインスタンスを含めることにより、ＶＤＥオブジェクトをワールドワイドウェブプロトコル（ＨＴＭＬ、ＨＴＴＰ、およびＵＲＬ）用にフォーマットすることが可能である。
【０３３８】
他の例においては、外部サービスマネージャ７７２を用いて、遠隔イベント処理サービス、（これらのサービスを提供および位置決定（ｌｏｃａｔｅ）するための）スマートエージェント実行サービス、公開鍵の証明書サービス、遠隔ネームサービス、ならびに、（ＲＳＩを有する等）ＲＯＳ　６０２　ＲＰＣによってサポートされるか若しくはサービストランスポート層７８６がサポートするプロトコルの使用によってサポートされる他の遠隔機能を位置決定し（ｌｏｃａｔｅ）、接続し、そしてそれを利用することができる。
発信管理的オブジェクトマネージャ７５４
発信管理的オブジェクトマネージャ７５４は、オブジェクトスイッチ７３４、オブジェクト容器マネージャ７７０あるいは他のソースから管理的オブジェクトを受け取り、これを別のＶＤＥ電子機器に送信する。発信管理的オブジェクトマネージャ７５４は、正しいデスティネーションへの発信オブジェクトの送信を管理する。発信管理的オブジェクトマネージャ７５４は、ネームサービスマネージャ７５２からルーティング情報を取得し、通信サービス７７６を用いてオブジェクトを送信することができる。典型的に、発信管理的オブジェクトマネージャ７５４は、オブジェクトがいつ首尾良く送信されたか、オブジェクトがいつ送信されるべきか、およびオブジェクトの送信に関する他の情報を反映するレコードを、安全なデータベース６１０（例えば、発送テーブル４４４）に（ＳＰＥ　５０３と協力して）保持する。
着信管理的オブジェクトマネージャ７５６
着信管理的オブジェクトマネージャ７５６は、通信マネージャ７７６を介して他のＶＤＥ電子機器６００から管理的オブジェクトを受け取る。着信管理的オブジェクトマネージャ７５６は、オブジェクト容器マネージャ７７０、オブジェクトスイッチ７３４あるいは他のデスティネーションにオブジェクトをルーティングし得る。典型的に、着信管理的オブジェクトマネージャ７５６は、受信したオブジェクト、受信されることが予想されるオブジェクト、ならびに受信したオブジェクトおよび／または予想されているオブジェクトに関する他の情報を記録するレコードを安全なデータベース６１０（例えば、受信テーブル４４６）に（ＳＰＥ　５０３と協力して）保持する。
オブジェクト容器マネージャ７７０
オブジェクト容器マネージャ７７０は、データベースあるいはファイルマネージャの一形態である。オブジェクト容器マネージャ７７０は、オブジェクト容器７２８内、データベース内あるいはファイルシステム６８７内におけるＶＤＥオブジェクト３００の格納を管理する。オブジェクト容器マネージャ７７０は、例えばＶＤＥオブジェクト３００に関連するＩＮＦＯＲＭＡＴＩＯＮメソッドを用いて、（コンテンツの要約、アブストラクト、校閲者の注釈、スケジュール、プロモーショナルマテリアル等の）オブジェクトに関する情報をブラウズおよび／またはサーチする能力をも提供し得る。
オブジェクト提出マネージャ７７４
好適な実施形態におけるオブジェクト提出マネージャ７７４は、アプリケーション６０８とオブジェクトスイッチ７３４との間のインターフェースを提供するので、ある面ではＡＰＩ　６８２の一部と考えられ得る。例えば、オブジェクト提出マネージャ７７４は、ユーザアプリケーションが新たなＶＤＥオブジェクト３００を作成することを可能にし得る。オブジェクト提出マネージャ７７４は、着信／発信管理的オブジェクトマネージャ７５６および７５４がＶＤＥオブジェクト３００（管理的オブジェクト）を作成することをも可能にし得る。
【０３３９】
図１２Ａは、電子機器６００のユーザと通信することにより新ＶＤＥオブジェクト３００の生成を助長するためには、オブジェクト提出マネージャ７７４をどのように用いればよいのかを示す。図１２Ａは、好適な実施形態において、オブジェクトの生成がオブジェクト定義ステージ１２２０およびオブジェクト作成ステージ１２３０の２つのステージで行われ得ることを示している。図１２Ａに示される２つの異なる「ユーザ入力」の図示（７７４（１）および７７４（２））によってオブジェクト提出マネージャ７７４の役割が表されている。
【０３４０】
オブジェクト提出マネージャ７７４は、その役割あるいはインスタンスの１つとして、ユーザインターフェース７７４ａを提供する。ユーザインターフェース７７４ａは、作成されるＶＤＥオブジェクト３００の特定の特性を指定（ｓｐｅｃｉｆｙｉｎｇ）するオブジェクトコンフィギュレーションファイル１２４０をユーザが作成することを可能にする。例えば、このユーザインターフェース７７４ａは、ユーザがオブジェクトを生成したいと思っていることをユーザが指定することを可能にし、オブジェクトが有するコンテンツをユーザが指定（ｄｅｓｉｇｎａｔｅ）することを可能にし、また、オブジェクト内に含まれる情報の他の特定の局面（例えば、規則および制御情報、識別情報（ｉｄｅｎｔｉｆｙｉｎｇ　ｉｎｆｏｒｍａｔｉｏｎ）等）をユーザが指定することを可能にし得る。
【０３４１】
好適な実施形態におけるオブジェクト定義タスク１２２０の一部は、オブジェクトに入れられるコンテンツあるいは他の情報を分析することであり得る。オブジェクト定義ユーザインターフェース７７４ａは、作成されるオブジェクト内に含まれる「コンテンツ」あるいは他の情報を分析することによって、ユーザが指定する「原子的エレメント」としてそのコンテンツを定義若しくは組織化するコールをオブジェクトスイッチ７３４に対して発行し得る。本明細書中の他の箇所に説明されているように、例えば、この「原子的エレメント」組織は、コンテンツを、ユーザが指定するパラグラフ、ページあるいは他の細区分（ｓｕｂｄｉｖｉｓｉｏｎｓ）に分解し得るとともに、明示的（例えば、各「原子的エレメント」間に制御文字を挿入）あるいは暗示的であり得る。オブジェクトスイッチ７３４は、（例えば、非時間依存ストリームインターフェース７６２およびリアルタイムストリームインターフェース７６０によって）静的および動的コンテンツを受け取ることができるとともに、ファイルシステム６８７内に格納された格納コンテンツあるいは他の情報にアクセスしてこれを検索することができる。
【０３４２】
オブジェクト定義１２４０の結果は、作成されるオブジェクトに関する特定のパラメータを指定するオブジェクトコンフィギュレーションファイル１２４０であり得る。このようなパラメータには、例えば、マップテーブル、鍵管理仕様（ｋｅｙ　ｍａｎａｇｅｍｅｎｔ　ｓｐｅｃｉｆｉｃａｔｉｏｎｓ）、およびイベントメソッドパラメータが含まれ得る。オブジェクト構築ステージ１２３０は、オブジェクトコンフィギュレーションファイル１２４０および新オブジェクト内に含まれる情報あるいはコンテンツを入力とし、それらの入力に基づいてオブジェクトを構築するとともにそのオブジェクトをオブジェクト容器７２８内に格納し得る。
【０３４３】
オブジェクト構築ステージ１２３０は、オブジェクトコンフィギュレーションファイル１２４０内の情報を用いてコンテナの組立あるいは改変を行い得る。典型的に、このプロセスにおいては、１つ以上のＰＥＲＣ　８０８、公開ヘッダ、秘密ヘッダを作成し、コンテンツを暗号化し、これらを全て新オブジェクト内（あるいは新オブジェクトに関連するレコードの中の安全なデータベース６１０内）に格納する一連のイベントがＳＰＥ　５０３に通信される。
【０３４４】
オブジェクトコンフィギュレーションファイル１２４０は、オブジェクトスイッチ７３４内のコンテナマネージャ７６４に引き渡され得る。コンテナマネージャ７３４は、オブジェクトコンフィギュレーションファイル１２４０と、さらなるユーザ入力とに基づいてオブジェクト３００を構築する役割を果たす。ユーザは、別のインスタンス７７４（２）のオブジェクト提出マネージャ７７４を介してオブジェクト構築１２３０とインタラクトし得る。オブジェクト提出マネージャ７７４によって提供されるこのさらなるユーザインタラクションにおいて、ユーザは、新オブジェクト３００に適用あるいは関連付けされるパーミッション（ｐｅｒｍｉｓｓｉｏｎｓ）、規則および／または制御情報を指定し得る。パーミッション、規則および制御情報を指定するためには、一般に、先に述べたように、オブジェクト提出マネージャ７７４および／またはオブジェクトスイッチ７３４内のコンテナマネージャ７６４が（例えば、ゲートウェイ７３４を介して）ＳＰＥ　５０３にコールを発行することにより、ＳＰＥに、安全なデータベース６１０から適切な情報を取得させ、適切なデータベース項目を生成させ、そして、そのデータベース項目を安全なデータベース６１０内に格納させるおよび／またはそのデータベース項目を暗号化されプロテクトされた形式でオブジェクトスイッチに提供させてオブジェクトにこれを組み込む必要が生じ得る。ＳＰＥ　５０３が提供する上記情報には、暗号化されたコンテンツあるいは他の情報に加えて、１つ以上のＰＥＲＣ　８０８、１つ以上のメソッドコア１０００’、１つ以上のロードモジュール１１００、ＵＤＥ　１２００および／またはＭＤＥ　１２０２等の１つ以上のデータ構造、様々な鍵ブロック、タグ、公開および秘密ヘッダならびにエラーコレクション情報が含まれる。
【０３４５】
コンテナマネージャ７６４は、オブジェクトコンフィギュレーションファイル１２４０によって指定される新オブジェクトコンテンツあるいは他の情報についてのパラメータに少なくとも部分的に基づいて、ＳＰＥ　５０３と協力して、オブジェクトコンテナ３０２を構築し得る。その後、コンテナマネージャ７６４は、新オブジェクト内に含まれるべき（ＳＰＥ　５０３によって暗号化された）コンテンツあるいは他の情報をコンテナ３０２内に挿入し得る。コンテナマネージャ７６４は、適切なパーミッション、規則および／または制御情報をもコンテナ３０２内に挿入し得る（このパーミッション、規則および／または制御情報は、オブジェクト提出マネージャ７７４を介したユーザインタラクションによって少なくとも部分的に定義することができるとともに、少なくとも部分的にＳＰＥ　５０３によって処理することによって安全なデータ制御構造を作成することができる）。その後、コンテナマネージャ７６４は新オブジェクトをオブジェクト容器６８７に書き込むことができ、ユーザあるいは電子機器は、安全なデータベース６１０内に適切な情報を入れることによって新オブジェクトを「登録」することができる。
通信サブシステム７７６
上記のように、通信サブシステム７７６は、ネットワークマネージャ７８０およびメールゲートウェイマネージャ７８２を提供する従来型の通信サービスであり得る。オブジェクト３００および他のＶＤＥ情報を外界へ／から自動的にルーティングするためにメールフィルタ７８４を設けてもよい。通信サブシステム７７６は、ケーブル、衛星あるいは他の遠距離通信リンクからのリアルタイムコンテンツフィード６８４をサポートし得る。
安全な処理環境５０３
図１２を参照しながら先に説明したように、好適な実施形態において、電子機器６００はそれぞれ、１つ以上のＳＰＥ　５０３および／または１つ以上のＨＰＥ　６５５を含む。これらの安全な処理環境はそれぞれ、安全な方法でタスクを行うためのプロテクト下の実行スペースを提供する。これらの安全な処理環境は、ＲＯＳ　６０２から引き渡されたサービス要求を実行（ｆｕｌｆｉｌｌ）することができるとともに、それら自身が、ＲＯＳ　６０２内の他のサービスによってまたは他のＶＤＥ電子機器６００若しくはコンピュータが提供するサービスによって満足されるサービス要求を生成することも可能である。
【０３４６】
好適な実施形態において、ＳＰＥ　５０３はＳＰＵ　５００のハードウェア資源によってサポートされる。ＨＰＥ　６５５は、汎用プロセッサ資源によってサポートされ得るとともに、セキュリティ／保護用のソフトウェア技術に依存（ｒｅｌｙ）し得る。従って、ＨＰＥ　６５５は、マイクロコンピュータ、ミニコンピュータ、メインフレームコンピュータあるいはスーパーコンピュータプロセッサ等の汎用ＣＰＵ上で特定のコンポーネントアセンブリ６９０を組み立てて、それを実行する能力をＲＯＳ　６０２に与える。好適な実施形態においては、ＳＰＥ　５０３の全体ソフトウェアアーキテクチャはＨＰＥ　６５５のソフトウェアアーキテクチャと同じであり得る。ＨＰＥ　６５５は、ＳＰＥ　５０３および関連ＳＰＵ　５００を「エミュレート」し得る。即ち、（ＲＯＳ　６０２が、ＳＰＵ　５００内でのみ実行されるべき安全性の高い特定のタスクをＨＰＥに送ることは制限され得るが、）ＲＯＳ　６０２からの同一セットのサービス要求をサポートするのに必要なサービスおよび資源をそれぞれが有し得る。
【０３４７】
一部の電子機器６００コンフィギュレーションは、ＳＰＥ　５０３とＨＰＥ　６５５とを両方含む場合がある。例えば、ＨＰＥ　６５５が行い得るタスクはセキュリティ保護をそれ程（あるいは全く）必要としないものであり、ＳＰＥ　５０３は高度なセキュリティを必要とする全てのタスクを行い得る。多重ＳＰＥおよび／またはＨＰＥアレンジメントを用いてシリアルまたは同時処理を提供するこの能力は、さらなる柔軟性を提供するとともに、実用上あるいは費用効果上の理由によりＳＰＵ　５００内の資源が限られていることによる制限を克服し得る。ＳＰＥ　５０３とＨＰＥ　６５５との協力は、特定の用途において、ＶＤＥ　１００が要求する安全な処理をサポートおよび提供するためのより効率的、経費効果的、且つ安全な全体処理環境につながり得る。１つの例として、ＨＰＥ　６５５は、リリースされたオブジェクト３００「コンテンツ」をユーザが操作することを可能にする全体処理を提供し得るが、安全なオブジェクトにアクセスしてそのオブジェクトから情報を開放するのにはＳＰＥ　５０３が用いられる。
【０３４８】
図１３は、好適な実施形態の安全な処理環境（ＳＰＥ）５０３のソフトウェアアーキテクチャを示す。このアーキテクチャは、好適な実施形態のホスト処理環境（ＨＰＥ）６５５にも適用し得る。「プロテクト下の処理環境」（「ＰＰＥ」）６５０は、広義には、ＳＰＥ　５０３および／またはＨＰＥ　６５５を指し得る。以下、コンテキストによってそうでないことが示される場合を除いて、「ＰＰＥ　６５０」、「ＨＰＥ　６５５」および「ＳＰＥ　５０３」のいずれかに言及すれば、それは、それら全てを指し得る。
【０３４９】
図１３に示されるように、好適な実施形態において、ＳＰＥ　５０３（ＰＰＥ　６５０）は以下のサービスマネージャ／重要機能的ブロックを含む。
カーネル／ディスパッチャ５５２
Ｃ　　　チャネルサービスマネージャ５６２
Ｃ　　　ＳＰＥ　ＲＰＣマネージャ５５０
Ｃ　　　時間ベースマネージャ５５４
Ｃ　　　暗号化／復号化マネージャ５５６
Ｃ　　　鍵およびタグマネージャ５５８
Ｃ　　　要約サービスマネージャ５６０
Ｃ　　　認証マネージャ／サービス通信マネージャ５６４
Ｃ　　　乱数値発生器５６５
Ｃ　　　安全なデータベースマネージャ５６６
Ｃ　　　その他のサービス５９２
以下、ＰＰＥ　６５０の上記重要機能的ブロックのそれぞれを詳細に説明する。
Ｉ．ＳＰＥカーネル／ディスパッチャ５５２
カーネル／ディスパッチャ５５２は、ＳＰＵ　５００のハードウェア資源上で動いてこれを管理するオペレーティングシステム「カーネル」を提供する。このオペレーティングシステム「カーネル」５５２は、ＳＰＵ　５００の自立オペレーティングシステムを提供するとともに、（ＲＯＳが制御／管理しているＳＰＥおよびＨＰＥのそれぞれにつき１つのＯＳカーネルを含む複数のＯＳカーネルを有し得る）ＲＯＳ　６０２全体の一部でもある。カーネル／ディスパッチャ５５２は、ＳＰＵタスクおよびメモリ管理を提供し、内部ＳＰＵハードウェア割込みをサポートし、特定の「ローレベルサービス」を提供し、「ＤＴＤ」データ構造を管理し、そして、ＳＰＵバスインターフェースユニット５３０を管理する。また、カーネル／ディスパッチャ５５２は、ＳＰＵ　５００による実行のためにプログラムを安全な実行スペースにロードすることができるロードモジュール実行マネージャ５６８をも含む。
【０３５０】
好適な実施形態においては、カーネル／ディスパッチャ５５２は以下のソフトウェア／機能的構成部材を含み得る。
【０３５１】
ロードモジュール実行マネージャ５６８
タスクマネージャ５７６
メモリマネージャ５７８
仮想メモリマネージャ５８０
「ローレベル」サービスマネージャ５８２
内部割込みハンドラー５８４
ＢＩＵハンドラー５８６（ＨＰＥ　６５５内に存在しない場合もある）
サービス割込みキュー５８８
ＤＴＤインタプリタ５９０
好ましくは、カーネル／ディスパッチャ５５２の少なくとも一部が、ＳＰＵ　ＲＯＭ　５３２内にロードされたＳＰＵファームウェア（ｆｉｒｍｗａｒｅ）内に格納される。ＳＰＵ　ＲＯＭ　５３２のメモリマップの一例を図１４Ａに示す。このメモリマップは、ＳＰＵ　ＲＯＭ　５３２ａおよび／またはＥＥＰＲＯＭ　５３２ｂ内に常駐するカーネル／ディスパッチャ５５２の様々な構成部材（および図１３に示される他のＳＰＥサービス）を示す。図１４Ｂに示すＮＶＲＡＭ　５３４ｂのメモリマップの例には、タスクマネージャ５７６およびＮＶＲＡＭにロードされる他の情報が示されている。
【０３５２】
カーネル／ディスパッチャ５５２によって行われる機能の１つは、ＲＯＳ　ＲＰＣマネージャ７３２からＲＰＣコールを受け取ることである。先に説明したように、ＲＯＳカーネルＲＰＣマネージャ７３２は、ＲＰＣコールを、ＳＰＥによる処理（ａｃｔｉｏｎ）のために、（ＳＰＥデバイスドライバ７３６およびその関連ＲＳＩ　７３６ａを介して）ＳＰＥ　５０３にルーティングすることができる。ＳＰＥカーネル／ディスパッチャ５５２はこれらのコールを受け取り、そして、それらを処理するか、またはそれらをＳＰＥ　ＲＰＣマネージャ５５０に引き渡してＳＰＥ　５０３内にルーティングする。ＳＰＥ　５０３に基づく処理によって、ＲＰＣ要求を生成することも可能である。これらの要求の一部は、ＳＰＥ　５０３によって内部処理され得る。これらの要求が内部でサービス不可能である場合、これらをＳＰＥカーネル／ディスパッチャ５５２を介してＳＰＥ　５０３の外部のＲＯＳ　ＲＰＣマネージャ７３２に引き渡して、ＳＰＥ　５０３外部のサービスへとルーティングすることが可能である。
【０３５３】
Ａ．カーネル／ディスパッチャタスク管理
カーネル／ディスパッチャタスクマネージャ５７６は、ＳＰＥ　５０３（ＰＰＥ　６５０）内で実行するタスクをスケジュールおよび監視する。ＳＰＥ　５０３は多くの種類のタスクをサポートする。「チャネル」（好適な実施形態におけるコンポーネントアセンブリ６９０の実行を制御する特別な種類のタスク）は、タスクマネージャ５７６によってタスクの１種として扱われる。タスクは、実行のためにタスクマネージャ５７６に提出される。次に、タスクマネージャ５７６は、そのタスクを実行するために必要なＳＰＥ　５０３／ＳＰＵ　５００資源が利用可能であることを確実にし、そして、ＳＰＵマイクロプロセッサ５２０の手配を整えてタスクを実行する。
【０３５４】
カーネル／ディスパッチャ５５２へのあらゆるコールは、ＳＰＥ　５０３の支配権を握って現在実行している１つあるいは複数のタスクを変更する機会をカーネルに与える。従って、好適な実施形態のカーネル／ディスパッチャタスクマネージャ５７６は、（仮想メモリマネージャ５８０および／またはメモリマネージャ５７８に関連して）現在アクティブのタスクの中のいずれかあるいはその全てを実行スペースから「スワップアウト」して、付加的なあるいは異なるタスクを「スワップイン」し得る。
【０３５５】
タスクマネージャ５７６によって管理されるＳＰＥタスク処理は、「単一タスク処理」（一度に１つのタスクのみがアクティブであり得るという意味）あるいは「多重タスク処理」（一度に複数のタスクがアクティブであり得るという意味）のいずれかである。好適な実施形態において、ＳＰＥ　５０３は、単一タスク処理あるいは多重タスク処理をサポートし得る。例えば、（サーバデバイス内等の）ＳＰＥ　５０３の「ハイエンド」インプリメンテーションは、好ましくは「先制スケジューリング」を用いた多重タスク処理を含む。デスクトップアプリケーションでも数個のタスクを同時に実行することが要求され得るが、デスクトップアプリケーションの場合、比較的シンプルなＳＰＥ　５０３の使用が可能であり得る。セットトップアプリケーションの場合、比較的シンプルなＳＰＥ　５０３のインプリメンテーションを使用して、一度に１タスクのみの実行をサポートすることが可能であり得る。例えば、ＳＰＵ　５００の典型的なセットトップインプリメンテーションは、様々なメソッドが単一タスク処理環境で実行できるようにＶＤＥメソッドの部分集合を組み合わせた単一の「集合（ａｇｇｒｅｇａｔｅ）」ロードモジュールを用いて簡単な計量、予算作成、および課金を行い得る。しかし、単一タスク処理のみをサポートする実行環境は、比較的複雑な制御構造の使用を制限し得る。このようなＳＰＥ　５０３の単一タスク処理バージョンは、計量および予算作成処理の数および種類における柔軟性と引き替えに、より小さいランタイムＲＡＭサイズ要件を得る。このようなＳＰＥ　５０３のインプリメンテーションもまた、（メモリの制限に依存して）一度に１オブジェクト３００の計量に制限され得る。無論、改変や組み合わせによって、「フル多重タスク処理」をサポートするために必要となる付加的なコストを生じずに簡単な単一タスク処理環境以上に能力を向上させることが可能である。
【０３５６】
好適な実施形態において、ＳＰＥ　５０３における各タスクは、伝統的な多重タスク処理アーキテクチャにおいて「タスク」と考えられ得る「スワップブロック」によって表される。好適な実施形態における「スワップブロック」は、タスクおよびサブタスクを追跡するためにタスクマネージャ５７６が用いる記帳メカニズム（ｂｏｏｋｋｅｅｐｉｎｇ　ｍｅｃｈａｎｉｓｍ）である。スワップブロックは、ＳＰＵ　５００によって提供される安全な実行環境内に「適合する」コードのチャンクおよび関連リファレンスに相当する。好適な実施形態において、スワップブロックは、共有されているデータエレメント（例えば、ロードモジュール１１００およびＵＤＥ　１２００）、秘密データエレメント（メソッドデータおよびローカルスタック）、ならびにスワップされたプロセス「コンテキスト」情報（例えば、処理を行っていない時にそのプロセスのために設定されたレジスタ）に対するリファレンスのリストを含んでいる。図１４Ｃは、「チャネル」タスク、「制御」タスク、「イベント」タスク、「計量」タスク、「予算」タスク、および「課金」タスク等の複数の異なるタスク／メソッドの「スワップブロック」の数個の例を格納するＳＰＵ　ＲＡＭ　５３２のスナップショットの一例を示す。ＳＰＵ　ＲＡＭ　５３２のサイズによっては、「スワップブロック」をＲＡＭからスワップアウトして、その実行が継続できるようになるまで二次記憶装置６５２内に一時的に格納しておくことが可能である。従って、多重タスク処理モードで動作しているＳＰＥ　５０３は、「スリープ状態」のタスクを１つ以上有し得る。最も単純な形態の場合、これは、現在処理中のアクティブタスクと、「スリープ状態」にあってアクティブ実行スペースから「スワップアウト」されたもう１つのタスク（例えば、その下で上記アクティブタスクが動いている制御タスク）とが存在する。カーネル／ディスパッチャ５２２はいつでもタスクをスワップアウトし得る。
【０３５７】
タスクマネージャ５７６は、メモリマネージャ５７８を用いて上記スワップ処理の実行を助長し得る。例えばＲＡＭおよびＳＰＵ　５００内部の他の記憶装置から適切な情報を読み出して、「スワップブロック」を二次記憶装置６５２に書き込むことによって、タスクを安全な実行スペースからスワップアウトさせることができる。二次記憶装置６５２からスワップブロックを読み出して、適切な情報をＳＰＵ　ＲＡＭ　５３２内に書き込んで戻すことによって、カーネル５５２はタスクをスワップして安全な実行スペースに戻すことができる。二次記憶装置６５２は安全ではないので、ＳＰＥ　５０３がそのスワップブロックを二次記憶装置に書き込む前に、各スワップブロックを暗号化し且つ（例えば、ＳＰＵ　５００内部でのみ知られている秘密の値で初期化した一方向ハッシュ関数を用いて）暗号学的に封印しなければならない。さらなる実行のためにスワップブロックを安全な実行スペースに戻す前に、ＳＰＥ　５０３は、二次記憶装置６５２から読み出された各スワップブロックの暗号学的封印を復号化および検証（ｖｅｒｉｆｙ）しなければならない。
【０３５８】
「スワップブロック」をＳＰＵメモリ内にロードするには、１回以上の「ページング処理」を行うことにより、以前にロードされたスワップブロックに関連するあらゆる「汚いページ」（即ち、ＳＰＥ　５０３によって変更されたページ）を、できれば先ずセーブしてから、フラッシングし（ｆｌｕｓｈ）、そして、新たなブロックコンテキストのために必要とされるページを全てロードする必要が生じ得る。
【０３５９】
好ましくは、カーネル／ディスパッチャ５２２は、サービス割込みキュー５８８を用いて「スワップブロック」を管理する。これらのサービス割込みキュー５８８は、タスク（スワップブロック）およびそのステータス（実行中、「スワップアウト済」、あるいは「スリープ状態」）をカーネル／ディスパッチャ５５２が追跡することを可能にする。好適な実施形態において、カーネル／ディスパッチャ５５２は、「スワップブロック」の管理を助長するために、以下のサービス割込みキュー５８８を維持し得る。
【０３６０】
ＲＵＮキュー
ＳＷＡＰキュー
ＳＬＥＥＰキュー
実行スペースに完全にロードされ、マイクロプロセッサ５０２からの実行サイクルを待っているおよび／または使用しているタスクは、ＲＵＮキューにある。（例えば、他のスワップ可能なコンポーネントがロードをされるのを待っているために）「スワップ」アウトされたタスクは、ＳＷＡＰキューにおいて参照される。（例えば、プロセッササイクル以外の何らかの資源上でブロックされているか、あるいはその時点では必要でないために）「スリープ状態」にあるタスクは、ＳＬＥＥＰキューにおいて参照される。カーネル／ディスパッチャタスクマネージャ５７６は、例えば、「ラウンドロビン」スケジューリングアルゴリズムに基づいて、ＲＵＮキューおよびＳＷＡＰキューの間でタスクを移行させ得る。「ラウンドロビン」スケジューリングアルゴリズムは、サービスを待っている次のタスクを選択し、ページインする必要があるもの（ｐｉｅｃｅｓ）を全てをスワップインし、そして、タスクを実行する。カーネル／ディスパッチャ５５２タスクマネージャ５７６は、必要に応じて、ＳＬＥＥＰキューと「アウェイク（ａｗａｋｅ）」（即ち、ＲＵＮあるいはＳＷＡＰ）キューとの間でタスクを移行させ得る。
【０３６１】
多重タスク処理環境において、２つ以上のタスクが同一のデータ構造に書き込みを行おうとした場合、結果的に「デッドロック」あるいは「タスク不足（ｔａｓｋ　ｓｔａｒｖａｔｉｏｎ）」となる場合がある。「多重糸」タスク処理アレンジメントを用いて「デッドロック」あるいは「タスク不足」を防ぐことができる。好適な実施形態のカーネル／ディスパッチャ５５２は、「単一糸」あるいは「多重糸」タスク処理をサポートし得る。
【０３６２】
単一糸アプリケーションの場合、カーネル／ディスパッチャ５５２は、個々のデータ構造をそれらがロードされた時の状態で「ロック」する。「ロック」されると、他のどのＳＰＥ　５０３タスクもそれらをロードすることができず、「ブロック」されているため、データ構造が利用可能になるのを待つことになる。現実問題として、単一糸ＳＰＥ　５０３を用いると、外部ベンダがロードモジュール１１００を作成する能力が制限され得る。なぜなら、外部ベンダがほとんどあるいは全く知らない他のＶＤＥプロセスによる「デッドロック」が起こらないという保証はどこにもないからである。また、部分的に更新されたレコードのコンテキストスワップを行うと、システムの完全性を損ない、未計量使用を可能にし、および／またはデッドロックを引き起こす可能性がある。さらに、このような「ロッキング」は、典型的に時間クリティカルであるプロセスに不確定であり得る遅延をもたらすとともに、ＳＰＥ　５０３のスループットを制限し、オーバーヘッド［間接費］を増大させ得る。
【０３６３】
この問題を別にしても、ある状況において有用性あるいは能力を制限し得る、ＳＰＥ　５０３の単一糸バージョンの作成に関する処理上の重大な問題が他にも存在する。例えば、多重同時実行タスクは、単一糸ＳＰＥ　５０３内にあって頻繁に必要とされる同一のデータ構造を用いた処理を行うことができないかもしれない。これは、実効的に、同時タスクの数を１つに制限し得る。さらに、単一糸性（ｓｉｎｇｌｅ−ｔｈｒｅａｄｅｄｎｅｓｓ）は、複数の同時タスクに基づいて正確な合計予算を作成する能力を排除し得る。なぜなら、多重同時タスクは、同一の合計予算データ構造を効果的に共有することができないかもしれないからである。単一糸性は、監査処理を他の処理と同時にサポートする能力をも排除し得る。例えば、モニタリングプロセスに関連する予算および計量を監査するために、リアルタイムフィード処理がシャットダウンされなければならないかもしれない。
【０３６４】
より実施可能性の高い「単一糸」能力を提供する１つの方法は、カーネル／ディスパッチャ５５２が仮想ページ処理（ｈａｎｄｌｉｎｇ）アルゴリズムを用いることにより、データ領域への書き込みが行われる際に「汚いページ」を追跡することである。「汚いページ」は、そのスワップブロックに関連するローカルデータの一部としてタスクスワップブロックを用いてスワップインおよびスワップアウトされ得る。タスクが存在する場合、３方向マージアルゴリズム（即ち、オリジナルデータ構造と、現データ構造と、「汚いページ」とをマージして、新たな現データ構造を形成すること）を用いて、「汚いページ」を（ＳＰＵ　５００の他のタスクによって更新されているかもしれない）現データ構造とマージすることが可能である。更新プロセスにおいて、ページが比較およびスワップされる際にデータ構造はロックされ得る。この仮想ページング解決法は、一部のアプリケーションにおいては単一糸を可能にする方法として実行可能であり得るが、このような単一糸インプリメンテーションの使用は、先に述べたベンダ制限によって、専用ハードウェアに限定され得る場合がある。多重ユーザをサポートするあらゆるインプリメンテーション（例えば、「スマートホーム」セットトップ、多くのデスクトップおよび特定のＰＤＡアプリケーション等）は、特定の状況において単一糸デバイスの制限に直面し得る。
【０３６５】
フル「多重糸」データ構造書込み能力を使用する際にこれらの制限が許容不可能であることが好ましい。例えば、データベースベンダが用いる種類のある種の「２フェーズコミット」処理を用いて、プロセス間でのデータ構造の共有を可能にすることができる。この「２フェーズコミット」プロセスを実現するために、各スワップブロックは、変更された情報の格納に用いられる付加的なメモリブロックのページアドレスを有し得る。変更ページは、ＳＰＥプロセスによって書き込まれたデータエレメントの１つのローカルコピーである。好適な実施形態において、特定のデータ構造に関連付けられた変更されたページリファレンスは、スワップブロックにローカルに格納される。
【０３６６】
例えば、ＳＰＥ　５０３は、２（変更ページ）／データ構造をサポートし得る。スワップブロック構造のサイズを変更して、更新アルゴリズムが変更ページの全てを処理できるようにすることによって、この制限は容易に改変可能である。変更されたページを参照するスワップブロックが破棄されようとしているときに、上記「コミット」プロセスを呼び出すことができる。コミットプロセスは、初めにロードされたオリジナルデータエレメント（例えば、ＵＤＥ_０）、現データエレメント（例えば、ＵＤＥ_ｎ）、および変更されたページについて、これらをマージして新たなデータエレメントのコピー（例えば、ＵＤＥ_ｎ＋１）を作成する。ＤＴＤインタプリタ５９０によって、そのデータエレメントのＤＴＤを用いて、差を求めることができる。他にそれを参照するスワップブロックがなければ、オリジナルデータエレメントは破棄される（例えば、そのＤＴＤ使用カウントによって決定）。
【０３６７】
Ｂ．カーネル／ディスパッチャメモリ管理
好適な実施形態のメモリマネージャ５７８および仮想メモリマネージャ５８０は、好適な実施形態におけるＳＰＵ　５００内のＲＯＭ　５３２およびＲＡＭ　５３４メモリを管理する。仮想メモリマネージャ５８０は、フル「仮想」メモリシステムを提供することによって、ＳＰＥ安全実行スペースにおいて利用可能な「仮想」ＲＡＭの容量を、ＳＰＵ　５００によって提供される物理的ＲＡＭ　５３４ａの容量以上に大きくする。メモリマネージャ５７８は、安全な実行スペース内のメモリを管理するものであり、メモリのアクセス、割当および割当解除を制御する。ＳＰＵ　ＭＭＵ　５４０が存在する場合、ＳＰＵ　ＭＭＵ　５４０は、好適な実施形態における仮想メモリマネージャ５８０およびメモリマネージャ５７８をサポートする。一部のＳＰＵ　５００の「最小」コンフィギュレーションにおいては、仮想メモリ能力が全くなく、メモリ管理機能が全てメモリマネージャ５７８によって処理される場合がある。メモリ管理を利用して、ＳＰＥ　５０３によって提供されるセキュリティの実施を助長することも可能である。例えば、一部のクラスのＳＰＵ　５００においては、カーネルメモリマネージャ５７８がハードウェアメモリ管理ユニット（ＭＭＵ）５４０を用いて、ＳＰＵ　５００内におけるページレベル保護を提供することができる。このようなハードウェアベースのメモリ管理システムは、「不正な（ｒｏｇｕｅ）」ロードモジュールによる侵犯からＶＤＥコンポーネントアセンブリ６９０を保護する効果的なメカニズムを提供する。
【０３６８】
さらに、少なくとも部分的にはハードウェアベースＭＭＵ　５４０に基づいて動作するメモリマネージャ５７８が提供するメモリ管理は、多重保護ドメイン（ｍｕｌｔｉｐｌｅ　ｐｒｏｔｅｃｔｉｏｎ　ｄｏｍａｉｎｓ）を提供するメモリアーキテクチャを安全に実現および実施し得る。このようなアーキテクチャにおいては、メモリが複数のドメインに分割される。この複数のドメインは、互いに大きく隔てられており、メモリマネージャ５７８の制御下で特定のメモリ領域のみを共有している。実行プロセスはそのドメインの外部にあるメモリにはアクセスできず、他のプロセスとの通信は、ＳＰＵ　５００内の特権的（ｐｒｉｖｉｌｅｇｅｄ）カーネル／ディスパッチャソフトウェア５５２によって提供および仲介されるサービスによってしか行うことができない。ＳＰＵ　５００内で実行するソフトウェアベースのどんなプロセスによっても改変不可能なＭＭＵ　５４０内のハードウェアによって少なくとも部分的に実施される場合、このようなアーキテクチャはより安全である。
【０３６９】
好適な実施形態においては、ＲＯＭ　５３２内で実施されるサービスへのアクセスならびにＮＶＲＡＭ　５３４ｂおよびＲＴＣ　５２８等の物理的資源へのアクセスは、特権的カーネル／ディスパッチャソフトウェア５５２とＭＭＵ　５４０内のハードウェアとの組み合わせによって仲介される。クリティカルシステムコンポーネントルーチン（例えば、ＲＴＣ　５２８）を保護するために、ＲＯＭ　５３２およびＲＴＣ　５２８要求には特権が与えられる。
【０３７０】
メモリマネージャ５７８は、メモリの割当および割当解除を行い、プロセス間でのメモリ資源の共有を監督し（ｓｕｐｅｒｖｉｓｉｎｇ）、メモリのアクセス／使用制限を実施する役割を果たす。典型的に、ＳＰＥカーネル／ディスパッチャメモリマネージャ５７８は、全てのメモリを初期的にカーネル５５２に割り当て、ページが特定のプロセスによってロードされるときに、そのページへのプロセスレベルのアクセスのみを許可するように構成され得る。ＳＰＥ処理システムコンフィギュレーションの１つの例においては、メモリマネージャ５７８は、単純化された割当メカニズムを用いてメモリの割当を行う。ＳＰＥ　５０３内でアクセス可能な各メモリページのリストは、例えばビットマップ割当ベクトルを用いて表され得る。１つのメモリブロックにおいて、一群の連続するメモリページは、ある特定のページ番号から始まり得る。ブロックのサイズは、そのブロックが占めるメモリページの数によって計られる。メモリの割当は、割当ベクトル内に適切なビットをセット／クリアすることによって記録され得る。
【０３７１】
メモリ管理機能を助長するために、「ドープベクトル」がメモリブロックの前に付加され得る。「ドープベクトル」は、メモリマネージャ５７８がそのメモリブロックを管理することを可能にする情報を有し得る。最も単純な形態の場合、メモリブロックは、そのブロックの実際のメモリ領域の手前の「ドープベクトル」として構成され得る。この「ドープベクトル」は、ブロック番号と、データエレメントのダイナミックページングのサポートと、メモリの上書きを検出するためのマーカとを含み得る。メモリマネージャ５７８は、そのブロック番号によってメモリブロックを追跡して、使用前にブロック番号をアドレスに変換することができる。メモリ領域への全アクセスは、ブロックメモリから物理的アドレスへの変換を行う際に、「ドープベクトル」のサイズ分だけ自動的にオフセットされ得る。また、「ドープベクトル」は、仮想メモリの管理を助長するために仮想メモリマネージャ５８０によって使用され得る。
【０３７２】
好適な実施形態において、メモリマネージャ５７８によって行われるＲＯＭ　５３２メモリ管理タスクは比較的単純である。ＲＯＭ　５３２ページを全て、「読出し専用」および「ページング不可」としてフラッグ付けすることができる。ＥＥＰＲＯＭ　５３２Ｂメモリ管理は、これよりも若干複雑であり得る。なぜなら、各ＥＥＰＲＯＭページの「バーンカウント」を保持する必要があるかもしれないからである。この種のメモリにおける限られた書込み可能寿命を長持ちさせるために、あらゆる非制御の書込みからＳＰＵ　ＥＥＰＲＯＭ　５３２Ｂをプロテクトすることが必要であり得る。さらに、ＥＥＰＲＯＭページと、メモリ管理アドレスページとが同一サイズではない場合がある。
【０３７３】
好ましくは、ＳＰＵ　ＮＶＲＡＭ　５３４ｂは、アクセスの制限が少ないバッテリ付きＲＡＭである。メモリマネージャ５７８は、ＮＶＲＡＭ　５３４ｂ内に配置されていなければならない制御構造が「ゴミ回収」プロセスの間に再配置されないことを確実にすることができる。上記のように、メモリマネージャ５７８（および、存在する場合、ＭＭＵ　５４０）は、ＮＶＲＡＭ　５３４ｂおよびＲＡＭ　５３４ａをページレベルで保護し、他のプロセスによる不正改変を防ぐことができる。
【０３７４】
仮想メモリマネージャ５８０は、ＳＰＵ外部メモリとＳＰＵ内部ＲＡＭ　５３４ａとの間でのプログラムおよびデータのページングを行う。データ構造および実行可能プロセスは、あらゆるＳＰＵ　５００内部メモリの限界を越える可能性が高い。例えば、ＰＥＲＣ　８０８および他の基本制御構造はかなり大きく、「ビットマップ計量」は非常に大きい、あるいは非常に大きくなる可能性がある。これについては、最終的に２通りの対処法があり得る。
【０３７５】
（１）　ロードモジュール１１００を細分化する
（２）　仮想ページングをサポートする
多くの場合ロードモジュールは別々のコンポーネントに分割され、実行するためにロードする必要があるのはその部分集合のみであるので、ロードモジュール１１００は「細分化」可能である。この例において、ロードモジュール１１００はページング可能且つ実行可能な最小エレメントである。このようなロードモジュール１１００は、別々のコンポーネント（例えば、実行可能なコードおよび複数のデータ記述ブロック）に分割可能であり、単純なロードモジュールを実行するためにロードする必要があるのはその中の１つだけである。この構成によれば、ロードモジュール１１００によって初めに実行可能なコードのみをロードしておいて、要求（ｄｅｍａｎｄ）に応じて他のシステムページ内にデータ記述ブロックをロードすることが可能になる。大きすぎてＳＰＵ　５００内には適合しない実行可能セクションを有するロードモジュール１１００の多くを、２つ以上のより小さい単独ロードモジュールに再構築することができる。明示的なロードモジュールリファレンスを用いれば、大きいロードモジュールを、「連鎖した」複数のロードモジュールにマニュアル「分割」することができる。
【０３７６】
「要求ページング（ｄｅｍａｎｄ　ｐａｇｉｎｇ）」を用いて上記制限を一部緩和することができるが、好適な実施形態においては、仮想ページングを用いて大きなデータ構造および実行可能物を管理している。仮想メモリマネージャ５８０は、情報（例えば、実行可能コードおよび／またはデータ構造）を、ＳＰＵ　ＲＡＭ　５３４ａに／から「スワップ」イン／アウトするとともに、他の関連仮想メモリ管理サービスを提供し、これにより、フル仮想メモリ管理能力を実現している。仮想メモリ管理は、資源が限られたＳＰＵ　５００コンフィギュレーションによる大型および／または多重タスクの実行を可能にする上で重要であり得る。
【０３７７】
Ｃ．ＳＰＥロードモジュール実行マネージャ５６８
ＳＰＥ（ＨＰＥ）ロードモジュール実行マネージャ（「ＬＭＥＭ」）５６８は、メモリマネージャ５７８によって管理されるメモリ内に実行可能物をロードして、それらを実行する。ＬＭＥＭ　５６８は、プロテクト下の実行環境内に現在ロードされているロードモジュールを追跡するメカニズムを提供する。ＬＭＥＭ　５６８は、ＳＰＥ　５０３内に格納されていてそれ故にＳＰＥ　５０３が常時利用可能な基本ロードモジュールおよびコードフラグメントへのアクセスをも提供する。ＬＭＥＭ　５６８は、例えば、他のロードモジュールを実行しようとするロードモジュール１１００によってコールされ得る。
【０３７８】
好適な実施形態においては、ロードモジュール実行マネージャ５６８は、ロードモジュールエグゼキュータ（「プログラムローダ」）５７０と、１つ以上の内部ロードモジュール５７２と、ライブラリルーチン５７４とを有する。ロードモジュールエグゼキュータ５７０は、（例えば、メモリマネージャ５７８からメモリ割当を受け取った後、）実行可能物をメモリ内にロードしてこれを実行する。内部ロードモジュールライブラリ５７２は、１セットの一般的に使用される基本ロードモジュール１１００（例えば、ＲＯＭ　５３２あるいはＮＶＲＡＭ　５３４ｂ内に格納されている）を提供し得る。ライブラリルーチン５７４は、ＳＰＥ　５０３によって実行される１セットの一般的に使用されるフラグメント／ルーチン（例えば、ブートストラップルーチン）を提供し得る。
【０３７９】
ライブラリルーチン５７４は、標準的な１セットのライブラリ機能をＲＯＭ　５３２内に提供し得る。標準的な上記ライブラリ機能のリストならびにその入口点（ｅｎｔｒｙ　ｐｏｉｎｔｓ）およびパラメータを使用することが可能である。ロードモジュール１１００は、（例えば、その目的のために用意された割込みを用いて）これらのルーチンをコールし得る。広く使用されるコードを中央に移動してコード再利用の度合いを向上することによって、ライブラリコールはロードモジュールのサイズを低減し得る。好ましくは、ＳＰＥ　５０３が使用するロードモジュール１１００は全て、利用可能なロードモジュールのリストを維持およびスキャンするとともに適切なロードモジュールを選択して実行するロードモジュール実行マネージャ５６８によって参照される。ＳＰＥ　５０３内にロードモジュールが存在しなければタスクは「スリープ状態（ｓｌｅｐｔ）」になり、ＬＭＥＭ　５６８は、ロードモジュール１１００を二次記憶装置５６２からロードすることを要求し得る。この要求は、安全なデータベースマネージャ５６６にロードモジュールおよび関連データ構造を検索させるＲＰＣコール、および、メモリマネージャ５７８によって割り当てられたメモリへのロードモジュールの格納前に、暗号化／復号化マネージャ５５６にそのロードモジュールを復号化させるコールの形態であり得る。
【０３８０】
もう少し詳細に述べると、好適な実施形態では、所望のロードモジュール１１００の名前（例えば、ＶＤＥ　ＩＤ）をロードモジュール実行マネージャ５６８に渡すことによって、ロードモジュール１１００が実行される。ＬＭＥＭ　５６８は先ず、「メモリ内」および「ビルトイン」ロードモジュール５７２のリストをサーチする。もし所望のロードモジュール１１００をリスト内に見つけることができなかった場合、ＬＭＥＭ　５６８はＲＰＣ要求を発行して安全なデータベース６１０からのコピーを要求する。このＲＰＣ要求は、図１２に示されるＲＯＳ安全データベースマネージャ７４４によって処理され得る。その後、ロードモジュール実行マネージャ５６８は、メモリマネージャ５７８に、ロードモジュール１１００格納用のメモリページを割り当てることを要求し得る。ロードモジュール実行マネージャ５６８は、そのメモリページ内にロードモジュールをコピーし、暗号化／復号化マネージャ５５６ならびに鍵およびタグマネージャ５５８による復号化およびセキュリティチェックのためにそのページをキューイングし得る。ページの復号化およびチェックが終わると、ロードモジュール実行マネージャ５６８は、有効性検査タグをチェックし、ページインされたモジュールのリストにそのロードモジュールを挿入し、そして、ページアドレスを発信者に返す。その後、発信者は、ロードモジュール１１００に直接コールするか、あるいはロードモジュール実行モジュール５７０がそのコールを行うことを許可することができる。
【０３８１】
図１５ａは、チャネルヘッダ５９６およびチャネル詳細レコード５９４（１）、５９４（２）、．．．５９４（Ｎ）を含んでいるチャネル５９４の可能なフォーマットの詳細な例を示す。チャネルヘッダ５９６は、チャネルＩＤフィールド５９７（１）と、ユーザＩＤフィールド５９７（２）と、オブジェクトＩＤフィールド５９７（３）と、「権利」（即ち、ＰＥＲＣ　８０８および／または「ユーザ権利テーブル」４６４において参照されるメソッドによってサポートされるイベントの収集物（ｃｏｌｌｅｃｔｉｏｎ））に対するリファレンスあるいは他の識別子（ｉｄｅｎｔｉｆｉｃａｔｉｏｎ）を有するフィールド５９７（４）と、イベントキュー５９７（５）と、チャネル詳細レコード（「ＣＤＲ」）で特定のイベントコードを相互参照する１つ以上のフィールド５９８とを有し得る。チャネルヘッダ５９６は、単数あるいは複数の関連コンポーネントアセンブリ６９０内のエレメントのアドレッシングを可能にする「ジャンプ」あるいは参照テーブル５９９をも含み得る。ＣＤＲ　５９４（１）、．．．５９４（Ｎ）は、各々、チャネル５９４が応答し得る特定のイベント（イベントコード）に対応し得る。好適な実施形態において、これらのＣＤＲは、各メソッドコア１０００Ｎ（あるいはそのフラグメント）と、ロードモジュール１１００と、対応するイベントを処理するために必要なデータ構造（例えば、ＵＲＴ、ＵＤＥ　１２００および／またはＭＤＥ　１２０２）とを、明示的におよび／または参照として有し得る。好適な実施形態においては、１つ以上のＣＤＲ（例えば、５９４（１））が、制御メソッドおよびデータ構造としてのＵＲＴ４６４を参照し得る。
【０３８２】
図１５ｂは、好適な実施形態において、チャネル５９４を「開く」ためにＳＰＥ　５０３によって行われるプログラム制御ステップの一例を示す。好適な実施形態において、チャネル５９４は、特定のＶＤＥオブジェクト３００、特定の承認されたユーザ、および特定の「権利」（即ち、イベントの種類）のイベント処理を行う。これらの３つのパラメータは、ＳＰＥ　５０３に渡され得る。「ブートストラップ」ルーチンにおいてローレベルサービス５８２によって構築される「チャネル０」内で実行するＳＰＥカーネル／ディスパッチャ５５２の一部は、ＳＰＥ　５０３の処理資源によってサポートされる利用可能なチャネルを割り当てて（ブロック１１２５）、初期的に「オープンチャネル」イベントに応答し得る。その後、この「チャネル０」「オープンチャネル」タスクは、安全なデータベースマネージャ５６６に、チャネル５９４に関連付けられる１つ以上のコンポーネントアセンブリ６９０を構築するための「ブループリント」を取得させる一連の要求を発行し得る（ブロック１１２７）。好適な実施形態において、「ブループリント」は、ＰＥＲＣ　８０８および／またはＵＲＴ４６４を包含し得る。「オープンチャネル」ルーチンに引き渡された「オブジェクト、ユーザ、権利」パラメータを用いて、オブジェクト登録テーブル４６０レコードと、ユーザ／オブジェクトテーブル４６２レコードと、ＵＲＴ４６４レコードと、ＰＥＲＣ　８０８レコードとを互いに「連鎖」させることによって、ブループリントを得ることができる。好ましくは、この「オープンチャネル」タスクが鍵およびタグマネージャ５５８にコールして、上記の様々なレコードに関連するタグについて有効性検査および関連付けを行い、これにより、それらのタグが本物であり且つ符合することを確実にする。次に、好適な実施形態のプロセスは、適切な情報をチャネルヘッダ５９６に書き込み得る（ブロック１１２９）。このような情報は、例えば、ユーザＩＤ、オブジェクトＩＤ、およびチャネルが処理するであろう「権利」に対するリファレンス等を含み得る。好適な実施形態のプロセスは次に、「ブループリント」を用いて、適切な「制御メソッド」に（例えば、安全なデータベース５６６および／またはロードモジュール実行マネージャライブラリ５６８から）アクセスし得る（ブロック１１３１）。この制御メソッドは、チャネル５９４内の他の全てのメソッド１０００の実行を実効的に監督するために用いられ得るものである。プロセスは次に、制御メソッドを上記チャネルに「結合させ（ｂｉｎｄ）」得る（ブロック１１３３）。このステップは、ＵＲＴ４６４からの情報を上記制御メソッドのデータ構造としてチャネル内に結合させることを含み得る。次にプロセスは、チャネル５９４内に「初期化」イベントを引き渡すことができる（ブロック１１３５）。この「初期化」イベントは、チャネルサービスマネージャ５６２（作成されたチャネルによって実行されたサービスを要求するオリジナルのコールを発行したプロセス）によって作成され得る。あるいは、チャネルに結合されたばかりの上記制御メソッド自身が、実効的にそれ自身に渡される初期化イベントを生成し得る。
【０３８３】
この「初期化」イベントに応答して、上記制御メソッドは「初期化」イベント以外のさらなるイベントを処理するために用いられるチャネル詳細レコード５９４（１）、．．．５９４（Ｎ）を構築し得る。チャネル「内」で実行する制御メソッドは、ステップ１１２７でアクセスした「ブループリント」に基づいて関連コンポーネントアセンブリ６９０を構築する必要がある様々なコンポーネントにアクセスし得る（ブロック１１３７）。メソッドコア１０００Ｎを特定する関連チャネル詳細レコード、ロードモジュール１１００、および、イベントに応答するために必要な関連データ構造（例えば、ＵＤＥ　１２００および／またはＭＤＥ　１２０２）を構築することによって、上記コンポーネントが各々チャネル５９４に結合される（ブロック１１３９）。チャネル詳細レコードの数は、「ブループリント」（即ち、ＵＲＴ４６４）によって特定される「権利」がサービスし得るイベントの数に依存する。このプロセスの間、制御メソッドは「スワップブロック」を構築し、これにより実効的に、要求されるタスクを全てセットアップするとともに必要なメモリの割当をカーネル５６２から取得する。上記制御メソッドは、必要に応じて、安全なデータベースマネージャ５６６に安全なデータベース６１０から必要なコンポーネントを検索させるコールを発行し、暗号化／復号化マネージャ５５６に検索暗号情報を復号化させるコールを発行し、そして、検索コンポーネントが全て有効であることを鍵およびタグマネージャ５５８に確認させるコールを発行する。このように構築された様々なコンポーネントアセンブリ６９０のそれぞれは、チャネル詳細レコード５９４（１）、．．．５９４（Ｎ）によって参照される適切なスワップブロックを構築することによって、チャネルヘッダイベントコード／ポインタレコード５９８を介してチャネルに「結合される」。このプロセスが完了した時、チャネル５９４は完全に構築され、さらなるイベントに応答できるようになっている。最終ステップとして、図１５ｂのプロセスは、それが望まれる場合、「初期化」イベントタスクの割当解除を行って資源を開放（ｆｒｅｅ　ｕｐ）し得る。
【０３８４】
このようにしてチャネル５９４が構築されると、チャネル５９４は到達するイベントに応答する。チャネルサービスマネージャ５６２は、チャネル５９４にイベントをディスパッチする役割を果たす。（例えば、ＲＰＣコールによって）新たなイベントが到達する度に、チャネルサービスマネージャ５６２はイベントを検査（ｅｘａｍｉｎｅｓ）して、そのイベントを処理できるチャネルが既に存在するかどうかを判定する。チャネルが存在する場合、チャネルサービスマネージャ５６２はそのイベントをそのチャネルに引き渡す。イベントを処理するためには、チャネル詳細レコードによってアクティブタスクであるとされる特定の「スワップ可能ブロック」をタスクマネージャ５７６によって「スワップイン」する必要が生じ得る。このようにして、図１５ｂに示されるチャネルオープンプロセスの間に形成された実行可能コンポーネントアセンブリ６９０がアクティブ安全実行スペースに入れられ、そして、受信したイベントコードに応答して、アクティベートされた特定のコンポーネントアセンブリが選択される。その後、アクティベートされたタスクは、イベントに応答して所望の機能を行う。
【０３８５】
あるチャネルを破棄（ｄｅｓｔｒｏｙ）する際には、チャネル詳細レコードによって定義される様々なスワップブロックが破棄されるとともにチャネルヘッダ５９６内の識別情報が消去され（ｗｉｐｅｄ　ｃｌｅａｎ）、これにより、そのチャネルが「チャネル０」「オープンチャネル」タスクによって再割当可能になる。
【０３８６】
Ｄ．ＳＰＥ割込みハンドラ５８４
図１３に示されるように、カーネル／ディスパッチャ５５２は内部割込みハンドラ５８４をも提供する。これらは、ＳＰＵ　５００の資源の管理を助長する。好ましくは、全ての重要なコンポーネントについて、ＳＰＵ　５００は「割込み」あるいは「ポーリング」モードで実行する。ポーリングモードにおいて、カーネル／ディスパッチャ５５２は、ＳＰＵ　５００内のセクション／回路を各々ポーリングし、それらに対する割込みをエミュレートすることができる。好適な実施形態において、好ましくは、以下の割込みがＳＰＵ　５００によってサポートされる。
Ｃ　　　ＲＴＣ　５２８の「チック」
Ｃ　　　バスインターフェース５３０からの割込み
Ｃ　　　電源異常割込み
Ｃ　　　ウォッチドッグタイマ割込み
Ｃ　　　暗号化／復号化エンジン５２２からの割込み
Ｃ　　　メモリ割込み（例えば、ＭＭＵ　５４０から）
割込みが発生すると、マイクロプロセッサ５２０内の割込みコントローラは、マイクロプロセッサに適切な割込みハンドラーの実行を開始させ得る。割込みハンドラーは、カーネル／ディスパッチャ５５２によって提供される１つのソフトウェア／ファームウェアであり、割込みが発生した際にマイクロプロセッサ５２０が特定の機能を行うことを可能にする。異なる割込み源によって異なる割込みハンドラーが効果的に実行され得るように、割込みは「ベクトル化」され得る。
【０３８７】
「タイマチック（ｔｉｍｅｒ　ｔｉｃｋ）」割込みは、リアルタイムＲＴＣ　５２８が「拍動する（ｐｕｌｓｅｓ）」際に発生する。タイマチック割込みをタイマチック割込みハンドラーによって処理することにより、内部デバイスデータ／時間を算出するとともにチャネル処理用のタイマイベントを生成する。
【０３８８】
バスインターフェースユニット５３０は、一連の割込みを発生し得る。好適な実施形態においては、ＵＳＡＲＴを手本にしたバスインターフェース５３０が、様々な状態（例えば、「受信バッファ満杯（ｒｅｃｅｉｖｅ　ｂｕｆｆｅｒ　ｆｕｌｌ）」、「送信用バッファ空」、および「ステータスワード変更（ｃｈａｎｇｅ）」）に対して割込みを発生する。カーネル／ディスパッチャ５５２は、送信キューからの次のキャラクタをバスインターフェース５３０に送ることによって、送信用バッファ空割込みをサービスする。カーネル／ディスパッチャ割込みハンドラー５８４は、あるキャラクタを読み込み、それを現バッファに添付し、そして、バスインターフェース５３０のサービスエンジンの状態に基づいてバッファを処理することによって、受信バッファ満杯割込みをサービスし得る。好ましくは、カーネル／ディスパッチャ５５２は、ステータスワード変更割込みを処理するとともに、これに従って適切な送信／受信バッファをアドレスする。
【０３８９】
ＳＰＵ　５００は、緊急の電力異常状態を検出すると、電源異常割込みを発生する。これには、情報の損失を防ぐために、迅速な対応（ａｃｔｉｏｎ）が要求され得る。例えば、好適な実施形態において、電力異常割込みは、新しく書き込まれた全ての情報（即ち、「汚いページ」）を不揮発性のＮＶＲＡＭ　５３４ｂ内に移動させ、全てのスワップブロックを「スワップアウト済」とマークし、そして、適切な電力異常フラッグを設定し、これにより、リカバリ処理を容易にする。その後、カーネル／ディスパッチャ５５２は、データがクリアされるか電源が完全に取り除かれるまでの間、ステータスワード内の「電力異常ビット」を定期的にポーリングし得る。
【０３９０】
この例におけるＳＰＵ　５００は、ウォッチドッグタイマ割込みを定期的に発生する従来型のウォッチドッグタイマを有する。ウォッチドッグタイマ割込みハンドラーは内部デバイスチェックを行って、不正改変が起こっていないことを確認する。ウォッチドッグタイマの内部クロックとＲＴＣ　５２８とを比較することにより、ＳＰＵ５００が一時停止あるいはプロービングされていないことを確認するとともに、ＳＰＵ　５００の動作に関する他の内部チェックを行って不正改変を検出する。
【０３９１】
１ブロックのデータの処理が完了すると、暗号化／復号化エンジン５２２は割込みを発生する。カーネル割込みハンドラー５８４は、暗号化あるいは復号化されているブロックの処理ステータスを調節し、そのブロックを次の処理ステージに引き渡す。その後、暗号化サービスを行うことがスケジュールされている次のブロックは、その鍵を暗号化／復号化エンジン５２２内に移動させるとともに、次の暗号化プロセスを開始する。
【０３９２】
あるタスクがそれに割り当てられた（ａｓｓｉｇｎｅｄ）領域外のメモリにアクセスしようとした時に、メモリ管理ユニット５４０割込みが発生する。メモリ管理割込みハンドラーは、その要求をトラップして、（例えば、メモリマネージャ５７８および／または仮想メモリマネージャ５８０への制御の移行（ｔｒａｎｓｆｅｒ）を開始することによって）必要な対応をとる。一般には、そのタスクが失敗（ｆａｉｌｅｄ）するか、ページフォールトイクセプションが生成されるか、あるいは適切な仮想メモリページがページインされる。
【０３９３】
Ｅ．カーネル／ディスパッチャローレベルサービス５８２
好適な実施形態におけるローレベルサービス５８２は、「ローレベル」機能を提供する。好適な実施形態において、これらの機能には、例えば、電源投入時の初期化、デバイスＰＯＳＴ、および失敗リカバリルーチンが含まれ得る。好適な実施形態において、ローレベルサービス５８２は、（それら自身によって、あるいは、認証マネージャ／サービス通信マネージャ５６４との組み合わせによって）ダウンロード応答チャレンジおよび認証通信プロトコルをも提供し得るとともに、（単独で、あるいは、メモリマネージャ５７８および／または仮想メモリマネージャ５８０との組み合わせで）ＥＥＰＲＯＭおよびＦＬＡＳＨメモリ等のＳＰＵ　５００メモリ装置の特定のローレベル管理を提供し得る。
【０３９４】
Ｆ．カーネル／ディスパッチャＢＩＵハンドラー５８６
好適な実施形態において、ＢＩＵハンドラー５８６は、（存在する場合）バスインターフェースユニット５３０を管理する。ＢＩＵハンドラー５８６は、例えば、ＢＩＵ５３０の読込みおよび書込みバッファを維持し、ＢＩＵスタートアップ初期化等を提供し得る。
【０３９５】
Ｇ．カーネル／ディスパッチャＤＴＤインタプリタ５９０
好適な実施形態において、ＤＴＤインタプリタ５９０は、データフォーマットに関する問題を処理する。例えば、ＤＴＤインタプリタ５９０は、ＤＴＤ内に含まれるフォーマッティング命令に基づいてＵＤＥ　１２００等のデータ構造を自動的に開き得る。
【０３９６】
上記のＳＰＥカーネル／ディスパッチャ５５２は、ＳＰＥ　５０３によって提供される他の全てのサービスをサポートする。他のサービスについて以下に説明する。
ＩＩ．ＳＰＵチャネルサービスマネージャ５６２
好適な実施形態において、「チャネル」はＳＰＥ　５０３（ＨＰＥ　６５５）の基本タスク処理メカニズムである。ＲＯＳ　６０２は、「メソッド」のためのイベント駆動型インターフェースを提供する。「チャネル」は、コンポーネントアセンブリ６９０がイベントをサービスすることを可能にする。「チャネル」は、「イベント」を、ＳＰＥ　５０３（ＨＰＥ　６５５）によってサポートされるサービスから、それらのイベントを処理するために指定された様々なメソッドおよびロードモジュールに引き渡すための導管（ｃｏｎｄｕｉｔ）であるとともに、コンポーネントアセンブリ６９０の組立およびコンポーネントアセンブリ間のインタラクションをサポートする。より具体的には、チャネルマネージャ５９３によって維持されるデータ構造の１つである「チャネル」５９４は、１つ以上のロードモジュール１１００とデータ構造（例えば、ＵＤＥ　１２００および／またはＭＤＥ　１２０２）とを１つのコンポーネントアセンブリ６９０に「結合する」する。チャネルサービスマネージャ５６２はロードモジュール実行マネージャ５６９に、実行のためにコンポーネントアセンブリ６９０をロードさせるとともに、コンポーネントアセンブリ６９０によるレスポンスのためにチャネル５９４へとイベントを引き渡すものでもあり得る。好適な実施形態において、イベント処理は、チャネルサービスマネージャ５６２へのメッセージとして扱われる。
【０３９７】
図１５は、好適な実施形態のチャネルサービスマネージャ５６２が「チャネル」５９４をどのようにして構築するのかを示すとともに、チャネルとコンポーネントアセンブリ６９０との関係を示す図である。簡潔に述べれば、ＳＰＥチャネルマネージャ５６２は、「チャネル」５９４およびこれに関連付けられた「チャネルヘッダ」５９６を確立する。チャネル５９４およびそのヘッダ５９６は、１つ以上のコンポーネントアセンブリ６９０のエレメントを「結合」あるいは参照するデータ構造を含んでいる。従って、好適な実施形態において、チャネル５９４は、図１１Ｅに示されるエレメントをよせ集めてあるいは組み立てて、イベント処理に使用され得るコンポーネントアセンブリ６９０にするメカニズムである。
【０３９８】
チャネル５９４は、イベントの発生に応答してチャネルサービスマネージャ５６２によってセットアップされる。チャネルが作成されると、チャネルサービスマネージャ５６２は、チャネル５９４に基づいてロードモジュール実行マネージャ５６８へ機能コールを発行し得る。ロードモジュール実行マネージャ５６８は、チャネル５９４によって参照されるロードモジュール１１００をロードし、カーネル／ディスパッチャタスクマネージャ５７６による実行サービスを要求する。カーネル／ディスパッチャ５５２は、そのイベント処理要求を１つのタスクとして扱い、チャネルによって参照されるロードモジュール１１００内のコードを実行することによってこれを実行する。
【０３９９】
チャネルサービスマネージャ５６２には、そのイベントの識別子（例えば、「イベントコード」）が引き渡され得る。チャネルサービスマネージャ５６２は、チャネルサービスマネージャがアセンブルするコンポーネントアセンブリ６９０の一部である１つ以上のメソッドコア１０００’を分解する（ｐａｒｓｅｓ）。チャネルサービスマネージャ５６２は、この分解処理を行うことにより、その種類のイベントによってどのメソッドおよびデータ構造が呼び出されるのかを判定する。その後、チャネルマネージャ５６２は、コンポーネントアセンブリ６９０を形成するのに必要なメソッドおよびデータ構造を取得させるコールを（例えば、安全なデータベースマネージャ５６６に）発行する。これらのコールされたメソッドおよびデータ構造（例えば、ロードモジュール１１００、ＵＤＥ　１２００および／またはＭＤＥ　１２０２）は、（必要であれば）暗号化／復号化マネージャ５５６を用いてそれぞれ復号化され、その後、鍵およびタグマネージャ５５８を用いてそれぞれ有効性が検査される。チャネルマネージャ５６２は、あらゆる必要な「ジャンプテーブル」を構築してエレメントを実効的に単一の凝集性（ｃｏｈｅｓｉｖｅ）実行可能物に「リンク」あるいは「結合」し、これにより、ロードモジュールはコンポーネントアセンブリにおいてデータ構造および他のあらゆるロードモジュールを参照できる。その後、チャネルマネージャ５６２は、ＬＭＥＭ　５６８に実行可能物をアクティブタスクとしてロードさせるコールを発行し得る。
【０４００】
図１５は、チャネル５９４が別のチャネルを参照し得ることを示している。チャネルマネージャ５９４によって任意の数のチャネル５９４を形成して、互いにインタラクトさせることが可能である。
【０４０１】
好適な実施形態における「チャネルヘッダ」５９６は、チャネルイベント資源からイベントをキューイングし、これらのイベントを処理し、そして「チャネル詳細レコード」において指定された適切なタスクを、処理のために開放するデータ構造および関連制御プログラム（あるいはそれを参照するもの）である。好適な実施形態における「チャネル詳細レコード」は、あるイベントを、そのイベントに関連付けられた「スワップブロック」（即ち、タスク）にリンクする。「スワップブロック」は、そのイベントを正しく処理するのに必要とされる１つ以上のロードモジュール１１００、ＵＤＥ　１２００および秘密データ領域を参照し得る。チャネルが応答できる異なるイベントのそれぞれについて、１つのスワップブロックおよびこれに対応するチャネル詳細項目が作成される。
【０４０２】
好適な実施形態において、チャネルサービスマネージャ５６２は、以下の（内部）コールをサポートすることにより、チャネル５６２の作成および維持をサポートし得る。
【０４０３】
【表６】

【０４０４】
ＳＰＥ　ＲＰＣマネージャ５５０
図１２を参照しながら説明したように、好適な実施形態においては、ＲＯＳ　６０２のアーキテクチャは遠隔プロシージャコールに基づいている。ＲＯＳ　６０２は、それぞれＲＰＣサービスインターフェース（「ＲＳＩ」）をＲＰＣマネージャに提示する（ｐｒｅｓｅｎｔ）サービス間においてＲＰＣコールの引渡しを行うＲＰＣマネージャ７３２を有する。好適な実施形態においては、ＳＰＥ　５０３（ＨＰＥ　６５５）もまた、同じＲＰＣコンセプトに基づいて形成される。ＳＰＥ　５０３（ＨＰＥ　６５５）は、それぞれがＲＳＩをＳＰＥ（ＨＰＥ）の内部にあるＲＰＣマネージャ５５０に提示する複数の内部モジュール式サービスプロバイダを有し得る。これらの内部サービスプロバイダは、ＲＰＣサービス要求を用いて、互いと、および／またはＲＯＳ　ＲＰＣマネージャ７３２と（よって、ＲＯＳ　６０２によって提供される他のあらゆるサービスおよび外部のサービスと）通信し得る。
【０４０５】
ＳＰＥ　５０３（ＨＰＥ　６５５）内のＲＰＣマネージャ５５０は、図１２に示されるＲＰＣマネージャ７３２と同じではないが、ＳＰＥ（ＨＰＥ）内で同様の機能を行う。即ち、ＲＰＣマネージャ５５０は、ＲＰＣ要求を受信し、それらを、その要求を実行するサービスによって提示されるＲＳＩに引き渡す。好適な実施形態においては、ＲＯＳ　ＲＰＣマネージャ７３２と外界（即ち、ＳＰＥデバイスドライバ７３６）との間で、ＳＰＥ（ＨＰＥ）カーネル／ディスパッチャ５５２を介した要求の引渡しが行われる。カーネル／ディスパッチャ５５２は特定のＲＰＣ要求をそれ自身でサービスすることができるが、一般には、受信した要求をＲＰＣマネージャ５５０に引き渡して、ＳＰＥ（ＨＰＥ）の内部の適切なサービスにルーティングする。代替的な実施形態においては、要求は、ＲＯＳ　ＲＰＣマネージャ７３２を介してルーティングするのではなく、ＨＰＥ、ＳＰＥ、ＡＰＩ、通知書インターフェースおよび他の外部サービスの間で直接引き渡される。どの実施形態を用いるかの決定は、システムの尺度可能性（ｓｃａｌａｂｉｌｉｔｙ）の一部である。即ち、多様なトラフィック負荷（ｔｒａｆｆｉｃ　ｌｏａｄ）およびシステムコンフィギュレーションの下では、ある実施形態が別の実施形態よりも効率的になる。サービスによる応答（およびサービス自身が生成し得る付加的なサービス要求）は、ＲＰＣマネージャ５５０に提供されて、ＳＰＥ　５０３（ＨＰＥ　６５５）の内部あるいは外部にある他のサービスにルーティングされる。
【０４０６】
ＳＰＥ　ＲＰＣマネージャ５５０およびその一体化されたサービスマネージャは、ＲＰＣサービステーブルおよび任意に省略可能なＲＰＣディスパッチテーブルの２つのテーブルを使用して遠隔プロシージャコールをディスパッチする。ＲＰＣサービステーブルは、特定のサービスへの要求がどこにルーティングされて処理されるのかを示す。好適な実施形態において、ＳＰＵ　ＲＡＭ　５３４ａあるいはＮＶＲＡＭ　５３４ｂ内で構築されるこのテーブルは、ＳＰＵ　５００内に「登録された」各ＲＰＣサービスを列記したものである。ＲＰＣサービステーブルの各行は、サービスＩＤと、その場所およびアドレスと、制御バイトとを有する。単純なインプリメンテーションの場合、制御バイトは、サービスが内部で提供されるのか外部で提供されるのかを表すのみである。より複雑なインプリメンテーションの場合、制御バイトはサービスのインスタンスを表し得る（例えば、多重タスク処理環境において各サービスは複数の「インスタンス」を有し得る）。好適な実施形態において、ＲＯＳ　ＲＰＣマネージャ７３２およびＳＰＥ　５０３はＲＰＣサービステーブルの対称的なコピーを有し得る。ＲＰＣサービスがＲＰＣサービステーブル内で見つからない場合、ＳＰＥ　５０３は、それを拒否（ｒｅｊｅｃｔ）するか、あるいは、それをサービスのためにＲＯＳ　ＲＰＣマネージャ７３２に引き渡す。
【０４０７】
ＳＰＥ　ＲＰＣマネージャ５５０はＲＰＣサービステーブルからの要求を受け入れて、特定のサービスに関連する内部優先順位に従ってその要求を処理する。ＳＰＥ　５０３においては、ＲＰＣサービステーブルはＲＰＣディスパッチテーブルによって拡張される。好適な実施形態のＲＰＣディスパッチテーブルは、ＳＰＥ　５０３によって内部でサポートされる各ＲＰＣサービスについてのロードモジュールリファレンスのリストとしてまとめられる（ｏｒｇａｎｉｚｅｄ）。テーブルの各行は、コールをサービスするロードモジュールＩＤと、外部の発信者がそのコールを発することが可能かどうかおよびそのコールをサービスするのに必要なロードモジュールがＳＰＵ　５００内に恒久的に常駐しているかどうかを表す制御バイトとを有している。ＳＰＵファームウェア５０８がＳＰＵ　５００内にロードされている場合、ＲＰＣディスパッチテーブルはＳＰＵ　ＲＯＭ　５３２（あるいはＥＥＰＲＯＭ）内に構築され得る。ＲＰＣディスパッチテーブルがＥＥＰＲＯＭ内にある場合、ＲＰＣディスパッチテーブルは、ロードモジュール位置およびバージョン制御問題無しでサービスに対する更新を柔軟に許可する。
【０４０８】
好適な実施形態においては、ＳＰＥ　ＲＰＣマネージャ５５０は先ず、ＲＰＣサービステーブルに対する（ａｇａｉｎｓｔ）サービス要求を参照することにより、その要求をサービスし得るサービスマネージャの位置を決定する。その後、ＲＰＣマネージャ５５０は、サービス要求を、適切なサービスマネージャにルーティングして実行（ａｃｔｉｏｎ）する。サービス要求は、ＳＰＥ　５０３内のサービスマネージャによって、ＲＰＣディスパッチテーブルを用いて処理され、これにより、要求がディスパッチされる。ＲＰＣマネージャ５５０によってＲＰＣディスパッチテーブル内のサービスリファレンスの位置が決定されると、その要求をサービスするロードモジュールがコールされ、ロードモジュール実行マネージャ５６８を用いてロードされる。ロードモジュール実行マネージャ５６８は、要求される全てのコンテキストコンフィギュレーションを行った後、要求されるロードモジュールに制御を引き渡すか、あるいは、そうする必要がある場合、制御を外部管理ファイル６１０からロードする要求を初めに発行してもよい。
ＳＰＵ時間ベースマネージャ５５４
時間ベースマネージャ５５４は、リアルタイムクロック（「ＲＴＣ」）５２８に関するコールをサポートする。好適な実施形態において、時間ベースマネージャ５５４は常に、ロードされており、時間ベースの要求に応答する準備ができている。
【０４０９】
以下の表は、時間ベースマネージャ５５４によってサポートされ得る基本コールの例をリストにしたものである。
【０４１０】
【表７】

【０４１１】
ＳＰＵ暗号化／復号化マネージャ５５６
暗号化／復号化マネージャ５５６は、ＳＰＥ　５０３／ＨＰＥ　６５５によってサポートされる様々な暗号化／復号化技術に対するコールをサポートする。暗号化／復号化マネージャ５５６は、ＳＰＵ　５００内のハードウェアベース暗号化／復号化エンジン５２２によってサポートされ得る。ＳＰＵ暗号化／復号化エンジン５２２によってサポートされていない暗号化／復号化技術は、暗号化／復号化マネージャ５５６によってソフトウェアとして提供される。一次バルク暗号化／復号化ロードモジュールは、好ましくは常にロードされており、他のアルゴリズムのために必要なロードモジュールは好ましくは必要に応じてページインされる。従って、一次バルク暗号化／復号化アルゴリズムがＤＥＳである場合、ＳＰＥ　５０３／ＨＰＥ　６５５のＲＡＭ　５３４ａ内に恒久的に常駐している必要があるのはＤＥＳロードモジュールのみである。
【０４１２】
以下に示すのは、好適な実施形態において、暗号化／復号化マネージャ５５６によってサポートされるＲＰＣコールの例である。
【０４１３】
【表８】

【０４１４】
引き渡されるコールパラメータには、使用する鍵、モード（暗号化あるいは復号化）、必要とされるあらゆる初期化ベクトル、所望の暗号的処理（例えば、フィードバックの種類）、使用する暗号的インスタンスの識別子（ｉｄｅｎｔｉｆｉｃａｔｉｏｎ）、ならびに、暗号化あるいは復号化するブロックの開始アドレス、デスティネーションアドレスおよび長さが含まれ得る。
ＳＰＵ鍵およびタグマネージャ５５８
ＳＰＵ鍵およびタグマネージャ５５８は、鍵保管（ｋｅｙ　ｓｔｏｒａｇｅ）、鍵および管理ファイルタグルックアップ、鍵旋回、ならびに、ランダム鍵、タグおよび取引番号の生成のコールをサポートする。
【０４１５】
以下の表は、ＳＰＥ／ＨＰＥ鍵およびタグマネージャサービス５５８コールのリストの一例を示す。
【０４１６】
【表９】

【０４１７】
好適な実施形態において、鍵およびタグはＳＰＥ　５０３（ＨＰＥ　６５５）内で安全に生成され得る。典型的に、鍵生成アルゴリズムは、サポートされている暗号化の各種類について特異的である。生成された鍵は、使用前に、暗号的弱点についてチェックされる。好ましくは、鍵およびタグマネージャ５５８に鍵、タグおよび／または取引番号を生成させる要求は、その入力パラメータとしてある長さをとる。その要求は、出力として、要求された長さの乱数（あるいは他の適切な鍵値）を生成する。
【０４１８】
鍵およびタグマネージャ５５８は、ＳＰＵ　５００内の鍵保存領域の特定の鍵およびＳＰＵの外部に格納されているあらゆる鍵を検索するコールをサポートし得る。これらのコールの基本フォーマットは、鍵の種類および鍵番号によって鍵を要求するというものである。鍵の多くは、ＶＤＥ管理者との接触によって定期的に更新され、ＮＶＲＡＭ　５３４ｂあるいはＥＥＰＲＯＭにおいてＳＰＵ　５００内に保持される。なぜなら、これらのメモリは安全、更新可能、且つ不揮発性だからである。
【０４１９】
ＳＰＥ　５０３／ＨＰＥ　６５５は、公開鍵タイプの鍵およびバルク暗号化タイプの鍵の両方をサポートし得る。ＳＰＵ　５００によって格納され、鍵およびタグマネージャ５５８によって管理される公開鍵（ＰＫ）暗号化タイプの鍵には、例えば、デバイス公開鍵、デバイス秘密鍵、ＰＫ証明書、および証明書の公開鍵が含まれ得る。一般に、公開鍵および証明書は、そうすることが望まれる場合、外部の非保証（ｎｏｎ−ｓｅｃｕｒｅｄ）メモリに格納され得るが、デバイス秘密鍵および証明書の公開鍵は、内部のＳＰＵ　５００ＥＥＰＲＯＭあるいはＮＶＲＡＭ　５３４ｂ内にのみ格納されるべきである。ＳＰＵ　５００によって使用されるバルク暗号化鍵の種類には、例えば、汎用バルク暗号化鍵、管理的オブジェクト秘密ヘッダ鍵、静止オブジェクト秘密ヘッダ鍵、移動オブジェクト秘密ヘッダ鍵、ダウンロード／初期化鍵、バックアップ鍵、追跡鍵（ｔｒａｉｌ　ｋｅｙｓ）、および管理ファイル鍵が含まれ得る。
【０４２０】
上記のように、好適な実施形態の鍵およびタグマネージャ５５８は、鍵を調節あるいは旋回して新たな鍵を作る要求をサポートする。この新たな鍵は、例えばサイトおよび／または時間に依存する確定的な方法で作成される。鍵の旋回は、鍵と何らかの入力パラメータセットに作用して新たな鍵を生み出すアルゴリズム的プロセスである。鍵の旋回を利用すれば、例えば、付加的な鍵保存スペースを生じることなく使用できる鍵の数を増やすことができる。また、鍵の旋回は、例えば、リアルタイムＲＴＣ　５２８の値をパラメータとして組み込んで鍵を「経時変化させる」プロセスとしても利用できる。鍵の旋回を利用して、サイトＩＤの局面をパラメータとして組み込んで鍵をサイト特異的にすることが可能である。
【０４２１】
鍵およびタグマネージャ５５８は、タグの生成および管理に関するサービスをも提供し得る。好適な実施形態において、取引およびアクセスタグは、好ましくは、（例えば、ＳＰＵ　５００のＮＶＲＡＭ　５３４ｂ内の）プロテクトされたメモリ内にＳＰＥ　５０３（ＨＰＥ　６５５）によって格納される。これらのタグは、鍵およびタグマネージャ５５８によって生成され得る。これらのタグは、例えば、データエレメントへのアクセス権のチェック、データエレメントの有効性検査および相互関連付けを行うために使用され得る。例えば、これらのタグを用いて、安全なデータ構造のコンポーネントがＳＰＵ　５００の外部によって不正改変されていなことを確実にすることができる。鍵およびタグマネージャ５５８は、追跡取引タグおよび通信取引タグをもサポートし得る。
ＳＰＵ要約サービスマネージャ５６０
ＳＰＥ　５０３は、ＳＰＵ　５００内の再プログラム可能不揮発性メモリおよび／または安全なデータベース６１０内に監査追跡を維持する。この監査追跡は、金融目的の予算活動の監査要約と、ＳＰＵが使用するセキュリティ要約で構成され得る。ＳＰＵに対して要求がなされると、その要求が生じたことが記録（ｌｏｇｓ）され、そして、その要求が成功したか失敗したかが付記される。成功した要求は全て合計されて、種類毎にＳＰＵ　５００内に格納される。以下に挙げるするエレメントを含む失敗情報は、その失敗の詳細とともにセーブされ得る。
【０４２２】
【表１０】

【０４２３】
この情報を分析して、クラッキングの試み（ｃｒａｃｋｉｎｇ　ａｔｔｅｍｐｔ）の検出、あるいは、予期される（および予算編成された）基準（ｎｏｒｍ）から外れた使用パターンの決定を行うことができる。ＳＰＵ　５００内の監査追跡歴（ａｕｄｉｔ　ｔｒａｉｌ　ｈｉｓｔｏｒｉｅｓ）は、監査が適切なパーティに報告されるまで維持される。これにより、正当な失敗分析（ｌｅｇｉｔｉｍａｔｅ　ｆａｉｌｕｒｅ　ａｎａｌｙｓｉｓ）およびＳＰＵを暗号解析する試みを付記することが可能になる。
【０４２４】
要約サービスマネージャ５６０は、この内部要約監査情報の格納および維持を行い得る。この監査情報を用いて、セキュリティ突破口（ｓｅｃｕｒｉｔｙ　ｂｒｅａｃｈｅｓ）あるいはＳＰＥ　５０３の動作の他の局面のチェックを行うことができる。イベント要約は、電子機器６００の不正使用を特定し、可能であればこれを制限するために、ＳＰＥ　５０３（ＨＰＥ　６５５）あるいはＶＤＥ管理者によって維持、分析および使用される。好適な実施形態においては、このようなパラメータは安全なメモリ内（例えば、ＳＰＵ　５００のＮＶＲＡＭ　５３４ｂ内）に格納され得る。
【０４２５】
好適な実施形態において、要約サービスが使用される基本構造は２つある。その内の１つ（「イベント要約データ構造」）は、ＶＤＥ管理者特異的であり、イベントを追跡する。イベント要約構造は、ＶＤＥ管理者との定期的な接触の間、維持および監査され得る。もう１つは、ＶＤＥ管理者および／または配布者によって、全体予算のために使用される。ＶＤＥ管理者は、電子機器６００が初期化される時点で、イベント要約および全体予算要約の登録を行い得る。全体予算要約は、ＶＤＥ管理者に報告され、ＶＤＥ管理者によって、（例えば）安全な管理ファイル６１０の不正行為（ｃｏｒｒｕｐｔｉｏｎ）があった場合に、消費された予算の配布を決定するために使用される。適切なパーミッションを受け取る参加者は、そのプロセス（例えば、特定の予算）を、要約サービスマネージャ５６０を用いて登録し得る。その後、要約サービスマネージャ５６０は、（例えば、ＮＶＲＡＭ　５３４ｂ内の）プロテクトされたメモリスペースをリザーブするとともに、所望の使用および／またはアクセスパラメータを維持し得る。各要約へのアクセスおよびその改変は、それ自身のアクセスタグによって制御できる。
【０４２６】
以下の表は、ＰＰＥ要約サービスマネージャ５６０サービスコールのリストの一例を示す。
【０４２７】
【表１１】

【０４２８】
好適な実施形態においては、イベント要約データ構造は固定イベント番号を使用して、ルックアップテーブル内への索引付けを行う。ルックアップテーブルは、カウンタあるいはカウンタ＋リミットとして構成され得る値を有する。カウンタモードは、ＶＤＥ管理者によって、デバイスの使用法を決定するために用いられ得る。リミットモードを利用して、電子機器６００の不正改変および不正使用の試みを制限することができる。リミットを越えると、ＳＰＥ　５０３（ＨＰＥ　６５５）は、それがＶＤＥ管理者によってリセットされるまでの間、ユーザ要求のサービスを拒否することになる。システム規模のイベント要約プロセスに対するコールは、好ましくは、関係するイベントを処理する全てのロードモジュール内にビルトインされる。
【０４２９】
以下の表は、好適な実施形態のイベント要約データ構造によって別々に計量され得るイベントの例を示す。
【０４３０】
【表１２】

【０４３１】
好適な実施形態の要約サービスマネージャ５６０によって維持されるもう１つの「全体通貨予算」要約データ構造は、ＶＤＥ電子機器６００の登録を可能にする。初めのエントリは、全体通貨予算消費値（ｏｖｅｒａｌｌ　ｃｕｒｒｅｎｃｙ　ｂｕｄｇｅｔ　ｃｏｎｓｕｍｅｄ　ｖａｌｕｅ）のために用いられ、ＶＤＥ管理者によって登録される。ＶＤＥ管理者は、先ずＳＰＥ　５０３（ＨＰＥ　６５５）を初期化する。特定の通貨消費ロードモジュールと、消費通貨予算の監査プロセスを完了する監査ロードモジュールとは、通貨消費値を更新するように要約サービスマネージャ５６０をコールし得る。特別承認ロードモジュールは全体通貨要約へのアクセスを有し得、付加的要約は個々のプロバイダによって登録され得る。
ＳＰＥ認証マネージャ／サービス通信マネージャ５６４
認証マネージャ／サービス通信マネージャ５６４は、ユーザパスワードの有効性検査ならびに「チケット」の生成および有効性検査のコールをサポートする。認証マネージャ／サービス通信マネージャ５６４はまた、ＳＰＥ　５０３と外部ノードあるいはデバイス（例えば、ＶＤＥ管理者あるいは配布者）との間の安全な通信をサポートする。認証マネージャ／サービス通信マネージャ５６４は、好適な実施形態における認証関連サービス要求の以下の例をサポートし得る。
【０４３２】
【表１３】

【０４３３】
上記の表に含まれていないのは、安全な通信サービスに対するコールである。マネージャ５６４によって提供される安全な通信サービスは、（例えば、それが望まれる場合、ローレベルサービスマネージャ５８２と関連して）公開鍵（あるいは他の）チャレンジ−レスポンスプロトコルに基づく安全な通信を提供し得る。このプロトコルについては、本明細書の他の箇所により詳細に説明されている。機器が複数のユーザによって使用され得る場合、チケットは、電子機器６００に関してユーザを識別する。チケットは、チケット交付プロトコル（例えば、Ｋｅｒｂｅｒｏｓ）を用いて、ＶＤＥソフトウェアアプリケーションによって要求され、ＶＤＥソフトウェアアプリケーションに返される。ＶＤＥコンポーネントは、特定のサービスが許可されるようにチケットが提示されることを要求し得る。
ＳＰＥ安全データベースマネージャ５６６
安全なデータベースマネージャ５６６は、ＳＰＥ　５０３の外部にあるメモリの安全なデータベース６１０内の安全なデータベースレコードを検索、維持、および格納する。安全なデータベースファイル６１０の多くは、暗号形式である。従って、安全なデータベースマネージャ５６６によって検索された全ての安全な情報は、使用前に、暗号化／復号化マネージャ５５６によって復号化されなければならない。安全な実行環境の外部に格納されなければならない、ＳＰＥ　５０３（ＨＰＥ　６５５）が生成する安全な情報（例えば、使用のレコード）もまた、安全なデータベースマネージャ５６６によってそれらが安全なデータベースファイル６１０内に格納される前に、暗号化／復号化マネージャ５５６によって暗号化される。
【０４３４】
ＳＰＥ　５０３内にロードされるＶＤＥ項目のそれぞれについて、好適な実施形態の安全なデータベースマネージャ５６６は、提供された項目が現在の項目であることを確実にするために、ＶＤＥ項目ＩＤのマスタリストをサーチし、その後、その項目内の取引タグに対して対応取引タグをチェックし得る。安全なデータベースマネージャ５６６は、ＶＤＥ項目ＩＤおよび取引タグのリストを「ハッシュ構造」で保持することができ、これらを、ＳＰＥ　５０３にページインして適切なＶＤＥ項目ＩＤの位置を迅速に決定することができる。比較的小規模のシステムにおいては、ルックアップテーブルアプローチが用いられ得る。いずれの場合も、リストは、ＶＤＥ項目ＩＤの位置が迅速に決定できるページング可能な構造として構成されるべきである。
【０４３５】
「ハッシュベース」アプローチを用いて、リストを「ハッシュバケツ」にソートし得る。その後「ハッシュバケツ」にアクセスして、より高速且つ効率的なリスト内の項目の位置決定を行うことができる。「ハッシュベース」アプローチにおいては、ＶＤＥ項目ＩＤは、完全な項目ＩＤの部分集合で「ハッシュされ」、そして、「ハッシュされた」テーブルのページとしてまとめられる。「ハッシュされた」ページのそれぞれは、ＶＤＥ項目ＩＤの残りと、そのページに関連する各項目の現在の取引タグとを含み得る。「ハッシュ」テーブルページ番号は、配布ＩＤ、項目ＩＤ、サイトＩＤ、ユーザＩＤ、取引タグ、クリエータＩＤ、種類および／またはバージョン等のＶＤＥ項目ＩＤのコンポーネントから求められ得る。ハッシュ処理アルゴリズム（アルゴリズム自身およびハッシュされるパラメータの両方）は、最適なハッシュページの使用を提供するように、ＶＤＥ配布者によってサイト毎に構成可能であり得る。ハッシュページ構造の例を以下に示す。
【０４３６】
【表１４】

【０４３７】
この例において、各ハッシュページは、同一の配布者ＩＤ、項目ＩＤ、およびユーザＩＤフィールド（サイトＩＤは所与の電子機器６００について固定される）を有するＶＤＥ項目ＩＤおよび取引タグの全てを含み得る。従って、これらの４つの情報はハッシュアルゴリズムパラメータとして使用され得る。
【０４３８】
「ハッシュ」ページは、それら自身が頻繁に更新される可能性があり、「ハッシュ」ページがロードされる度にチェックされる取引タグを有するべきである。また、取引タグは「ハッシュ」ページが書き出される度に更新され得る。
【０４３９】
ハッシュベースアプローチの代替物として、更新可能項目の数を小さく抑えることが可能な場合（専用消費者電子機器６００の場合のように）、更新可能項目のそれぞれにＶＤＥ項目ＩＤの一部として固有のシーケンシャルサイトレコード番号を割り当てることによって、ルックアップテーブルアプローチの使用が可能になり得る。項目毎に必要なのは少数の取引タグのバイトのみであり、頻繁に更新可能な全ての項目のテーブル取引タグがＳＰＵ　ＮＶＲＡＭ　５３４ｂ等のプロテクトされたメモリ内に保持され得る。
乱数値発生器５６５
乱数値発生器マネージャ５６５は、乱数値を発生し得る。ハードウェアベースＳＰＵ乱数値発生器５４２が存在する場合、乱数値発生器マネージャ５６５はハードウェアベースＳＰＵ乱数値発生器５４２を用いて乱数値の発生を助長することができる。
他のＳＰＥ　ＲＰＣサービス５９２
他の承認されたＲＰＣサービスは、それらにそれら自身をＲＰＣサービステーブル内に「登録」させて、それらのエントリをＲＰＣディスパッチテーブルに追加することによって、ＳＰＵ　５００内に含めることができる。例えば、１つ以上のコンポーネントアセンブリ６９０を用いて、付加的なサービスを、ＳＰＥ　５０３の一部分およびそれに関連するオペレーティングシステムとして提供することができる。これらのテーブルに登録されていない要求は、外部サービスのために、ＳＰＥ　５０３（ＨＰＥ　６５５）の外部に引き渡される。
ＳＰＥ　５０３の性能の考察
ＳＰＥ　５０３（ＨＰＥ　６５５）の性能は、
Ｃ　　　使用するコンポーネントアセンブリの複雑さ
Ｃ　　　同時コンポーネントアセンブリ処理の数
Ｃ　　　利用可能な内部ＳＰＵメモリの容量
Ｃ　　　ブロック暗号化／復号化のアルゴリズムのスピード
の関数である。
【０４４０】
同時コンポーネントアセンブリ処理の数とともに、コンポーネントアセンブリの複雑さは、おそらく性能を決定する主要な要因である。これらの要因の組合わせによって、どの時点においてもＳＰＵ　５００内に常駐していなければならないコードおよびデータの量（最小デバイスサイズ）が決定され、これにより、プロセスを何個のデバイスサイズ「チャンク」に分割しなければならないのかについても決定される。セグメント化は、本質的に、より単純なモデルよりもランタイムサイズを増大させる。無論、ずっと少ない容量のＲＡＭ　５３４を用いて、機能限定バージョンのＳＰＵ　５００を実現することが可能である。上記のような「合計（ａｇｇｒｅｇａｔｅ）」ロードモジュールは、ＶＤＥ構造を構成する際の柔軟性を排除するとともに、参加者が個々に、更新しなければ分離するエレメントを更新する能力をも制限するが、より小さな最小デバイスサイズをもたらし得る。非常に単純な計量バージョンのＳＰＵ　５００を、最小デバイス資源で動作するように構築することができる。
【０４４１】
ＳＰＵ　５００の内部にあるＲＡＭ　５３４の容量がＳＰＥ　５０３の性能に与える影響は、おそらくＳＰＵの他のあらゆる局面よりも大きい。ＶＤＥプロセスの柔軟な性質は、多数のロードモジュール、メソッド、およびユーザデータエレメントの使用を可能にする。ＳＰＵ　５００内のＲＯＭ　５３２内にこれらの項目を多数保存するのは非実用的である。特定のＶＤＥプロセスをサポートするのに必要なコードおよびデータ構造のほとんどは、そのプロセスが呼び出された時に、その特定のＶＤＥプロセスのためにＳＰＵ　５００内にダイナミックにロードされる必要がある。その後、ＳＰＵ　５００内のオペレーティングシステムは、そのプロセスを行うために必要なＶＤＥ項目をページインし得る。ＳＰＵ　５００内のＲＡＭ　５３４の容量は、あるＶＤＥプロセスを実行するために必要なページスワップの数と、任意の単一ＶＤＥロードモジュール＋要求されるデータがどれ位大きくなり得るかとを直接的に決定する。ＳＰＵ　Ｉ／Ｏスピード、暗号化／復号化スピード、および内部メモリ５３２および５３４の容量は、そのデバイスにおいて要求されるページスワップの数に直接的に影響する。安全でない外部メモリは、スワップされたページがＳＰＵ　５００内にロードされる際の待ち時間を低減し得るが、それでも、暗号化／復号化に関する重大な不都合を各ページについて生じるであろう。
【０４４２】
セキュリティを維持するために、ＳＰＥ　５０３は、サポートしているＳＰＵ　５００の外部にある記憶装置にスワップアウトされる各ブロックを暗号化し且つ暗号学的に封印しなければならなず、また同様に、ＳＰＵ　５００にブロックがスワップインされる際には、各ブロックを復号化し、その暗号学的封印を検証し、そして、有効性検査を行わなければならない。各スワップブロックについてのデータ移動および暗号化／復号化オーバーヘッドは、ＳＰＥ性能に非常に大きな影響を与える。
【０４４３】
そのプロセッサが暗号化／復号化エンジン５２２を介したデータの移動を行うものでない場合、そのプロセッサによってサポートされるＳＰＥ　５０３の性能にＳＰＵマイクロプロセッサ５２０の性能が与える影響は重大ではないかもしれない。
ＶＤＥ安全データベース６１０
ＶＤＥ　１００は、別々に配送可能なＶＤＥエレメントを、各ＶＤＥ電子機器６１０に交付される安全な（例えば、暗号化された）データベース６１０内に格納する。好適な実施形態において、データベース６１０は、３つの基本的なクラスのＶＤＥ項目を格納および／または管理し得る。
【０４４４】
ＶＤＥオブジェクト
ＶＤＥプロセスエレメント、および
ＶＤＥデータ構造
以下の表は、安全なデータベース６１０内に格納される、あるいは安全なデータベース６１０内に格納された情報によって管理されるＶＤＥ項目の一部の例をリストにしたものである。
【０４４５】
【表１５】

【０４４６】
各電子機器６００は、ＶＤＥ項目を安全に維持する安全なデータベース６１０のインスタンスを有し得る。図１６は、安全なデータベース６１０の一例を示す。この例において示される安全なデータベース６１０は、以下のＶＤＥプロテクトされた項目を含む。
【０４４７】
Ｃ　　１つ以上のＰＥＲＣ　８０８、
Ｃ　　メソッド１０００（静的および動的なメソッド「コア」１０００およびＭＤＥ　１２０２を含む）、
Ｃ　　静的ＵＤＥ　１２００ａおよび動的ＵＤＥ　１２００ｂ、ならびに
Ｃ　　ロードモジュール１１００
安全なデータベース６１０は、管理上の目的で使用および維持される以下の付加的なデータ構造をも含み得る。
【０４４８】
Ｃ　　１つ以上のＶＤＥオブジェクトを有するオブジェクト記憶装置７２８を参照する「オブジェクトレジストリ」４５０
Ｃ　　ネームサービスレコード４５２、および
Ｃ　　コンフィギュレーションレコード４５４（サイトコンフィギュレーションレコード４５６およびユーザコンフィギュレーションレコード４５８を含む）
好適な実施形態において、安全なデータベース６１０は、ＶＤＥオブジェクト３００を含んでおらず、例えば、ファイルシステム６８７上および／または別個のオブジェクト容器７２８内に格納されたＶＤＥオブジェクトを参照する。しかし、ＶＤＥプロテクトされた情報を理解する適切な「第一歩」は、ＶＤＥオブジェクト３００の説明であろう。
【０４４９】
ＶＤＥオブジェクト３００
ＶＤＥ　１００は、コンテンツをカプセル化するメディア独立型コンテナモデルを提供する。図１７は、好適な実施形態によって提供されるオブジェクト３００の「論理」構造あるいはフォーマット８００の一例を示す。
【０４５０】
好適な実施形態において用いられる図１７に示す一般化された「論理オブジェクト」構造８００は、現在使用されているあらゆるメディアよるデジタルコンテンツの配送をサポートする。好適な実施形態において、「論理オブジェクト」は、コンテンツと、上記コンテンツの使用を操作（ｍａｎｉｐｕｌａｔｅ）、記録、および／または制御するために用いられるコンピュータソフトウェアおよび／またはメソッドと、上記コンテンツおよび／または上記コンピュータソフトウェアおよび／またはメソッドに適用可能なパーミッション、制限、管理的制御情報および／または要件とのことを集合的に指し得る。論理オブジェクトは、格納される場合もされない場合もあり、また、あらゆる所与の電子機器６００に存在するあるいはアクセス可能である場合もそうでない場合もある。論理オブジェクトのコンテンツ部分は、１つ以上のオブジェクト内に含まれる、含まれない、あるいは部分的に含まれる情報として組織化され得る。
【０４５１】
簡潔に述べれば、好適な実施形態において、図１７の「論理オブジェクト」構造８００は、公開ヘッダ８０２と、秘密ヘッダ８０４と、１つ以上のメソッド１０００を有する「秘密ボディ（ｐｒｉｖａｔｅ　ｂｏｄｙ）」８０６と、（１つ以上の鍵ブロック８１０を含み得る）パーミッションレコード（ＰＥＲＣ）８０８と、１つ以上のデータブロックあるいは領域８１２とを含む。これらのエレメントは、「コンテナ」３０２内に「梱包（ｐａｃｋａｇｅｄ）」され得る。好適な実施形態において、この一般化された論理オブジェクト構造８００は、そのコンテンツの種類および位置によって分類される異なる種類のＶＤＥオブジェクト３００に用いられる。
【０４５２】
「コンテナ」の概念は、コンテンツの利用あるいは管理的な種類のアクティビティの実行に要求されるエレメントの収集物（ｃｏｌｌｅｃｔｉｏｎ）を名付けるのに好都合なメタファーである。コンテナ３０２は、典型的に、識別情報（ｉｄｅｎｔｉｆｙｉｎｇ　ｉｎｆｏｒｍａｔｉｏｎ）、制御構造およびコンテンツ（例えば、プロパティあるいは管理的データ）を含む。「コンテナ」という用語はしばしば（例えば、Ｂｅｎｔｏ／ＯｐｅｎＤｏｃおよびＯＬＥ）用いられ、コンピュータシステムの２次記憶装置システムに格納された情報、あるいは、「サーバの」２次記憶装置システム上の通信ネットワークを介してコンピュータシステムにアクセス可能な情報の収集物を表す。好適な実施形態によって提供される「コンテナ」３２０は、このように限定あるいは制限されるものではない。ＶＤＥ　１００の場合、この情報は、一緒に格納されている必要はなく、同時に受信される必要はなく、同時に更新される必要はなく、単一のオブジェクトに対してのみ使用される必要はなく、あるいは同一のエンティティによって所有されている必要はない。むしろ、ＶＤＥ　１００においては、コンテナ概念が広げられ、一般化されて、ケーブルを介して一斉通信によって（ｂｙ　ｂｒｏａｄｃａｓｔ）電子機器に引き渡された、あるいは他の電子通信手段によって通信されたリアルタイムコンテンツおよび／またはオンラインインタラクティブコンテンツもが含まれる。
【０４５３】
従って、「完全な」ＶＤＥコンテナ３０２あるいは論理オブジェクト構造８００が、任意の時点で、ユーザの位置（あるいはそのことに関する他のあらゆる位置）に存在しないかもしれない。「論理オブジェクト」は、一度に全て存在するのではなくて、特定の期間（あるいは複数の期間）にわたって存在し得る。この概念は、重要なコンテナエレメントが、複数の位置としておよび／またはある順序だった（互いに重なっている、あるいは重なっていない）複数の期間にわたって存在し得る「仮想コンテナ」の観念（ｎｏｔｉｏｎ）を含む。無論、ＶＤＥ　１００コンテナは、必要な制御構造およびコンテンツと一緒に格納されてもよい。これは、単一のコンテナ内に存在する全てのコンテンツおよび制御構造から、ローカルにアクセス不可能なコンテンツあるいはコンテナ特異的制御構造に至る連続体を表す。
【０４５４】
典型的に、オブジェクトを表すデータの少なくとも一部は暗号化されており、それゆえに、その構造は認知不可能であるが、ＰＰＥ　６５０内では、論理的に、オブジェクトを「コンテナ」３０２として見ることができる。なぜなら、その構造およびコンポーネントが自動的に透明に復号化されるからである。
【０４５５】
コンテナモデルはイベント駆動型プロセスおよび好適な実施形態によって提供されるＲＯＳ　６０２と良好にマージする。このモデルにおいて、コンテンツは小さく管理し易いもの（ｐｉｅｃｅ）に容易に細分化（ｓｕｂｄｉｖｉｄｅｄ）されるが、暗号化されていないコンテンツに固有の構造的な濃厚さ（ｒｉｃｈｎｅｓｓ）を維持するように格納される。また、オブジェクト指向のコンテナモデル（Ｂｅｎｔｏ／ＯｐｅｎＤｏｃあるいはＯＬＥ等）は、必要なオペレーティングシステム一体コンポーネントを挿入するために、また、様々なコンテンツ特異的なメソッドを規定する（ｄｅｆｉｎｉｎｇ）ために必要な「フック」を多数提供する。
【０４５６】
より詳細に述べると、好適な実施形態によって提供される論理オブジェクト構造８００は、公開（あるいは暗号化されていない）ヘッダ８０２を含む。このヘッダ８０２は、オブジェクトを識別するとともに、オブジェクト内の権利の１人以上の所有者および／またはオブジェクトの１人以上の配布者をも識別する。秘密（あるいは暗号化された）ヘッダ８０４は、公開ヘッダ内の情報の一部あるいは全てを含み得、さらに、好適な実施形態においては、サービス情報交換所、ＶＤＥ管理者、あるいはＳＰＵ　５００によってユーザがオブジェクトのユーザとしての登録を行おうとする際にオブジェクト３００の有効性を検査し、識別する付加的なデータを含む。あるいは、１人以上の権利所有者および／またはオブジェクトの配布者を識別する情報は、暗号化された形式で、暗号化されたヘッダ８０４内に、上記付加的な有効且つ識別的なデータとともに配置され得る。
【０４５７】
論理オブジェクト構造８００は、オブジェクト３００の使用および配布を制御する１セットのメソッド１０００（即ち、プログラムあるいはプロシージャ）を有するあるいは参照する「秘密ボディ」８０６をも含み得る。各オブジェクトに異なるメソッド１０００を任意に組み込む能力は、ＶＤＥ　１００を高度に構成可能にするために重要である。メソッド１０００は、オブジェクト３００に対してユーザ（それが適切な場合、配布者、クライアント管理者等を含む）が何ができて何ができないのかを規定する基本的な機能を行う。従って、他のオブジェクトがそれよりもずっと複雑な（例えば、課金および使用制限）メソッドによって制御され得る一方で、あるオブジェクト３００には、（新聞発行から１週間の間その新聞を読むための新聞スタンド価格のように）固定期間の間、固定料金で無制限に見ることを許可する等の比較的簡単なメソッドが備わっている場合がある。
【０４５８】
図１７に示される論理オブジェクト構造８００は、１つ以上のＰＥＲＣ　８０８をも含み得る。ＰＥＲＣ　８０８は、オブジェクト３００の使用を管理し（ｇｏｖｅｒｎ）、オブジェクトあるいはそのコンテンツにアクセスする、あるいはそれを使用するために用いられなければならないメソッドあるいはメソッドの組み合わせを特定する。あるオブジェクトについてのパーミッションレコード８０８は、オブジェクト３００内に格納された暗号化コンテンツの内容にアクセスするための復号化鍵を格納することができる鍵ブロック８１０を含み得る。
【０４５９】
オブジェクトのコンテンツ部分は、典型的には、データブロック８１２と呼ばれる部分に分割される。データブロック８１２は、コンピュータプログラム、画像、音声、ＶＤＥ管理的情報等を含む「コンテンツ」等のあらゆる種類の電子情報を有し得る。データブロック８１２のサイズおよび数は、そのプロパティのクリエータによって選択され得る。データブロック８１２が全て同一のサイズである必要はない（サイズは、コンテンツの使用法、データベースフォーマット、オペレーティングシステム、セキュリティおよび／または他の要因（ｃｏｎｓｉｄｅｒａｔｉｏｎ）によって影響され得る）。オブジェクト内のデータブロック８１２のそれぞれについて少なくとも１つの鍵ブロック８１０を使用することによってセキュリティは高められるが、そうすることは必須ではない。鍵ブロック８１０はまた、一貫してあるいは疑似ランダム式に、複数のデータブロック８１２の部分にまたがり得る（ｓｐａｎ）。このまたがり（ｓｐａｎｎｉｎｇ）は、オブジェクト３００、データベース、あるいは他の情報エンティティ内に含まれる寸断されたあるいは見かけ上ランダムなコンテンツ片に対して１つ以上の鍵を適用することによって、さらなるセキュリティを提供し得る。
【０４６０】
物理的メディアによっておよび／または「チャネル外」手段（例えば、受領後ある顧客から別の顧客に再配布される）によって配布されるオブジェクト３００の多くは、鍵ブロック８１０を、その鍵ブロックによって保護されるコンテンツの転送に用いた同一のオブジェクト３００内に含んでいない可能性がある。これは、ＶＤＥオブジェクトが、ＶＤＥノードの範囲（ｃｏｎｆｉｎｅｓ）の外から電子的にコピーできるデータを有し得るからである。コンテンツが暗号化されていれば、そのコピーもまた暗号化されており、そのコピー者は、そのコピー者が適切な復号化鍵を持っていない限りそのコンテンツへのアクセスを獲得することができない。セキュリティの維持が特に重要なオブジェクトについては、送信者および受信者のＶＤＥノードによって制御される（以下に述べる）安全な通信技術を用いて、パーミッションレコード８０８および鍵ブロック８１０が頻繁に電子的に配布される。結果的に、パーミッションレコード８０８および鍵ブロック８１０は、好適な実施形態において、登録ユーザの電子機器６００上にのみ頻繁に格納される（また、それら自身も登録／初期化プロセスの一部としてユーザに配送される）。この例においては、各プロパティのパーミッションレコード８０８および鍵ブロック８１０はＳＰＵ　５００の安全なメモリ内にのみ格納される秘密ＤＥＳ鍵で暗号化して、鍵ブロックを他のいかなるユーザのＶＤＥノードにも使用不可能にすることができる。あるいは、鍵ブロック８１０をエンドユーザの公開鍵で暗号化して、こららの鍵ブロックが対応する秘密鍵を格納しているＳＰＵ　５００に対してしか使用できないようにすることができる（あるいは、他の許容可能な程度に安全な、暗号化／セキュリティ技術が使用できる）。
【０４６１】
好適な実施形態においては、各パーミッションレコード８０８あるいは他の管理情報レコードを暗号化するために用いられる１つ以上の鍵は、レコードが更新される度に（あるいは、特定の１つ以上のイベントの後で）変更される。この場合、更新されたレコードは、新たな１つ以上の鍵を用いて再暗号化される。あるいは、管理情報を暗号化および復号化するのに用いられる１つ以上の鍵は、ある期間を経過すると自動的に無効になる「経時変化する」鍵であってもよい。経時変化鍵と他のイベント誘発（ｅｖｅｎｔ　ｔｒｉｇｇｅｒｅｄ）鍵との組み合わせもまた望ましいものであり得る。例えば、特定回数のアクセス後および／または特定期間経過後あるいは絶対時刻に鍵に変化が生じるものであってもよい。所与の鍵あるいは鍵の組み合わせに対して、上記の技術を併用することも可能である。経時変化鍵を構築する好適な実施形態におけるプロシージャは、ＳＰＵ　ＲＴＣ　５２８が提供するリアルタイム値の特定部分ならびにユーザおよびサイト情報を含む入力パラメータを用いた１方向旋回アルゴリズムである。例えば、ユーザあるいはサイト情報、絶対時刻、および／または、ＶＤＥ安全コンテンツの使用／復号化若しくはＶＤＥシステムの使用に関するアクティビティの部分集合に関連する期間のみを用いる技術等の、経時変化を生じさせるための他の技術を用いることも可能である。
【０４６２】
ＶＤＥ　１００は、図１７に示される論理オブジェクト構造８００を有する多数の異なる種類の「オブジェクト」３００をサポートする。ある意味において、オブジェクトは、プロテクション情報がプロテクトされる情報と結合しているかどうかによって分類され得る。例えば、その制御によって特定のＶＤＥノードに結合されているコンテナは「静止オブジェクト」と呼ばれる（図１８参照）。その制御情報によって特定のＶＤＥノードに結合されておらず、数カ所のサイトにおける全体的なあるいは部分的な使用を可能にするのに十分な制御およびパーミッションを有しているコンテナは「移動オブジェクト」と呼ばれる（図１９参照）。
【０４６３】
また別の意味においては、オブジェクトは、そのオブジェクトが有する情報の性質によって分類され得る。情報コンテンツを有するコンテナは「コンテンツオブジェクト」と呼ばれる（図２０参照）。取引情報、監査追跡、ＶＤＥ構造および／または他のＶＤＥ制御／管理的情報を包含するコンテナは、「管理的オブジェクト」と呼ばれる（図２１参照）。（ＶＤＥ制御情報であることに対して）ＶＤＥ制御下で動作する、実行可能なコードを包含する一部のコンテナは、「スマートオブジェクト」と呼ばれる。スマートオブジェクトは、ユーザエージェントをサポートし、遠隔サイトにおけるその実行を制御する。そのコンテンツに関連する位置、種類およびアクセスメカニズムによるオブジェクトの他の分類も存在する。これは、上記した種類の組み合わせを含み得る。ＶＤＥ　１００によってサポートされるこれらのオブジェクトのいくつかを以下で説明する。図１７に示されるデータブロック８１２の一部あるいはその全ては、「埋込み」コンテンツ、管理的、静止、移動および／または他のオブジェクトを含み得る。
【０４６４】
１．静止オブジェクト
図１８は、好適な実施形態によって提供される「静止オブジェクト」構造８５０の一例を示す。「静止オブジェクト」構造８５０は、その静止オブジェクトの１つ以上の部分を使用する明示的なパーミッションを受け取った特定のＶＤＥ電子機器／インストレーション（ｉｎｓｔａｌｌａｔｉｏｎ）でのみ使用するように意図されている。従って、静止オブジェクト構造８５０は、パーミッションレコード（ＰＥＲＣ）８０８を有しておらず、このパーミッションレコードは別に（例えば、異なる時刻に、異なるパスを介して、および／または異なるパーティによって）、機器／インストレーション６００に供給および／または配送される。一般的なＰＥＲＣ　８０８を多数の異なる静止オブジェクトとともに用いることが可能である。
【０４６５】
図１８に示されるように、公開ヘッダ８０２は好ましくは「平文」（即ち、暗号化されていない文）である。秘密ヘッダ８０４は好ましくは、多数の「秘密ヘッダ鍵」の少なくとも１つを用いて暗号化される。秘密ヘッダ８０４は好ましくは、公開ヘッダ８０２からの識別情報エレメントのコピーを１つ有しており、これにより、平文公開ヘッダ内の識別情報が不正改変された場合に、システムは、不正改変者が改変しようとしたものが何であるのかを正確に決定することができる。メソッド１０００は、オブジェクトローカルメソッド、ロードモジュール、および／またはユーザデータエレメントの形式の「秘密ボディ」８０６と呼ばれるセクション内に含まれ得る。この秘密ボディ（メソッド）セクション８０６は、好ましくは、別個のパーミッションレコード８０８内に含まれる１つ以上の秘密ボディ鍵を用いて暗号化される。データブロック８１２は、やはりパーミッションレコード８０８内に提供される１つ以上のコンテンツ鍵を用いて暗号化され得る（情報あるいは管理的）コンテンツを有する。
【０４６６】
２．移動オブジェクト
図１９は、好適な実施形態によって提供される「移動オブジェクト」構造８６０の一例を示す。移動オブジェクトは、それらがＶＤＥノードに到達したときにそれらのコンテンツの少なくとも一部の少なくとも部分的な使用を可能にするのに十分な情報を持っているオブジェクトである。
【０４６７】
秘密ヘッダ８０４内にパーミッションレコード（ＰＥＲＣ）８０８を有していることを除けば、移動オブジェクト構造８６０は、図１８に示される静止オブジェクト構造８５０と同じである。移動オブジェクト構造８６０内にＰＥＲＣ　８０８を有していることによって、（メソッド１０００および包含されるＰＥＲＣ　８０８に従って）あらゆるＶＤＥ電子機器／参加者６００において移動オブジェクトを使用することが可能になる。
【０４６８】
「移動」オブジェクトは、「チャネル外」配布を特にサポートし得るクラスのＶＤＥオブジェクト３００である。従って、移動オブジェクトは鍵ブロック８１０を有し、ある電子機器６００から他の電子機器にトランスポート（ｔｒａｎｓｐｏｒｔａｂｌｅ）可能である。移動オブジェクトには非常に限定された使用に関連する予算が付随している場合があり、これにより、ユーザは、（コンピュータプログラム、ゲーム、あるいはデータベース等の）コンテンツを全体的あるいは部分的に使用して、ライセンスを取得するのか、さらにライセンスするのか、あるいはオブジェクトコンテンツを購入するのかを判断することができる。あるいは、移動オブジェクトＰＥＲＣ　８０８は、例えば、
（ａ）　将来のライセンシングあるいは購入のために以前に購入した権利あるいは貸し方を反映するとともに、少なくとも１種類以上のオブジェクトコンテンツの使用を可能にする予算、および／または、
（ｂ）　オブジェクトコンテンツの使用を可能にするためにローカルＶＤＥノードにおいて格納および管理された残っている（ａｖａｉｌａｂｌｅ）貸し方を採用する（およびこれを借方に記入し得る）予算、および／または、
（ｃ）　ローカルＶＤＥノードへのレポート（さらに、任意に、情報交換所へのレポート）が要求される前の１つ以上の最大使用基準（ｍａｘｉｍｕｍ　ｕｓａｇｅ　ｃｒｉｔｅｒｉａ）を反映するとともに、その後でリセットを行って、オリジナルの１つ以上の予算の中の１つ以上のさらなる使用および／または改変を可能にし得る予算、
を有する、あるいは、これを用いて予算レコードを参照することができる。
【０４６９】
標準的なＶＤＥオブジェクト３００の場合のように、利用可能な予算を使いきった後にユーザがその移動オブジェクトを継続して使用しようとする場合、または、移動オブジェクト（あるいはそのコピー）が異なる電子機器に移動され、その新しい機器が、パーミッションレコード８０８によって要求される要件に対応する利用可能な貸し方予算を有していない場合、ユーザは、情報交換所サービスにコンタクトをとって付加的な予算を獲得するように要求される場合がある。
【０４７０】
例えば、移動オブジェクトＰＥＲＣ　８０８は、要求される予算ＶＤＥ１２００あるいは利用可能であると認められるおよび／または利用可能になることが予想される予算オプションに対するリファレンスを有し得る。予算ＶＤＥは、消費者のＶＩＳＡ、ＭＣ、ＡＭＥＸ、またはオブジェクト独立型であり、且つ特定のあるいは複数クラスの移動オブジェクトコンテンツの使用に適用可能な他の「一般（ｇｅｎｅｒｉｃ）」予算（例えば、Ｂｌｏｃｋｂｕｓｔｅｒ　Ｖｉｄｅｏレンタルであり得るあるクラスの移動オブジェクトからのあらゆる映画オブジェクト（ｍｏｖｉｅ　ｏｂｊｅｃｔ））を参照し得る。予算ＶＤＥ自身は、それと共に使用され得る１つ以上のクラスのオブジェクトを要求し得、あるオブジェクトは特定の１つ以上の一般予算を特に参照し得る。このような場合、典型的に、ＶＤＥプロバイダは、正しい参照を可能にするとともに課金処理および結果的な支払を可能にするような方法で情報を提供する。
【０４７１】
機器が、一般に若しくは特定の１つ以上のユーザあるいはユーザクラスに対して、正しい予算あるいは予算の種類（例えば、ＶＩＳＡ予算等の情報交換所から利用可能な十分な貸し方）を有する限り、または、その移動オブジェクト自身が十分な予算割当額（ｂｕｄｇｅｔ　ａｌｌｏｗａｎｃｅ）若しくは適切な承認を有する限り、移動オブジェクトは受信ＶＤＥノード電子機器６００において使用できる（例えば、その移動オブジェクトが特定の１つ以上のインストレーション若しくはインストレーションクラスあるいはユーザ若しくはユーザクラスに対して使用可能であるという規定（ｓｔｉｐｕｌａｔｉｏｎ）。但し、クラスは、安全なデータベース６１０に格納され予め定義されたクラス識別名（ｉｄｅｎｔｉｆｉｅｒｓ）によって表されるインストレーション若しくはユーザの特定の部分集合に対応）。移動オブジェクトを受け取った後、ユーザ（および／またはインストレーション）が適切な予算および／または承認を有していない場合、ユーザは、電子機器６００によって（その移動オブジェクト内に格納された情報を用いて）、どの１つ以上のパーティに対してユーザがコンタクトをとり得るのかを知らされる。そのパーティは、（そこからユーザが所望のコンタクトを選択する）移動オブジェクトの情報交換所プロバイダの択一的なリストを構成し得る。
【０４７２】
上記のように、移動オブジェクトは、「チャネル外に」オブジェクト３００を配布することを可能にする。つまり、オブジェクトは、不許可のあるいは明示的には許可されていない個人から別の個人に配布され得る。「チャネル外」は、例えばユーザがあるオブジェクトを別の個人に直接的に再配布することを可能にする配布経路（ｐａｔｈ　ｏｆ　ｄｉｓｔｒｉｂｕｔｉｏｎ）を含む。例えば、オブジェクトプロバイダは、ユーザがあるオブジェクトのコピーをそのユーザの友人若しくは同僚に（例えば、記憶媒体の物理的な配送、あるいは、コンピュータネットワーク上での配送によって）再配布することを可能にして、これにより、友人若しくは同僚がそのオブジェクトを使用するために要求される何らかの特定の基準を満たした場合にその友人若しくは同僚に使用を許可することが可能である。
【０４７３】
例えば、ソフトウェアプログラムが移動オブジェクトとして配布された場合、そのプログラムのユーザが、そのソフトウェアあるいはそのソフトウェアの使用可能なコピーを友人に供給したいと願っている場合、通常は自由にそうすることができる。移動オブジェクトには、大きな商業的価値が秘められている。なぜなら、有用なコンテンツは主にユーザおよび電子掲示板によって配布され得、「オリジナル」コンテンツプロバイダおよび／または情報交換所への登録の他には配布オーバーヘッドがほとんどあるいは全く必要でないからである。
【０４７４】
「チャネル外」配布は、プロバイダが、使用に対する支払を受け取ることおよび／または再配布されたオブジェクトの少なくともある程度の制御を別の方法で維持することをも可能にし得る。このような特定の基準は、例えば、その使用のために十分に利用可能な貸し方のあるクレジットカード等の承認されたサードパーティ金融関係のユーザＶＤＥノードにおける登録された存在を含み得る。
【０４７５】
従って、ユーザがＶＤＥノードを持っていた場合、もしユーザが、ユーザのＶＤＥノード上で利用可能な（また、必要な場合、ユーザに割り当てられた）適切な利用可能な予算を持っていたならば、および／または、もしユーザまたはユーザのＶＤＥノードが、特別に承認されたグループのユーザ若しくはインストレーションに属していたならば、および／または、もし移動オブジェクトがそれ自身の予算を持っていたならば、そのユーザはその移動オブジェクトを使用することができるかもしれない。
【０４７６】
移動オブジェクトのコンテンツは暗号化されており、そのオブジェクトに用いられている移動オブジェクト秘密ヘッダ鍵が破損していない限り、移動オブジェクトのコンテンツは、承認された状況下でのみ使用できる。これは、例えば、パーミッションおよび／または予算情報に比べた場合、移動オブジェクトの比較的容易なタスクであり得る。なぜなら、多数のオブジェクトが同一の鍵を共有しており、分析すべきよりたくさんの暗号文情報と暗号解析を行うより強い動機の両方を暗号解析者に与え得るからである。
【０４７７】
「移動オブジェクト」の場合、コンテンツの所有者は、そのコンテンツがカプセル化されているオブジェクト３００内に含まれている鍵ブロック８１０の一部あるいはその全てとともに情報を配布し得る。配布されるオブジェクト３００内に鍵を置けば、秘密ヘッダの保護に用いられている暗号化アルゴリズムを破るあるいは暗号解析することによって（例えば、ヘッダの暗号化の鍵を決定することによって）セキュリティメカニズムを突破しようとする試みに曝される危険性が増大する。セキュリティの突破は通常、相当な技術と時間を要するが、もし突破された場合、そのアルゴリズムおよび鍵が公開されて、これと同一の鍵およびアルゴリズムによってプロテクトされているオブジェクトを持っている多数の個人がプロテクトされた情報を不正使用できるようになる。結果的に、配布されるオブジェクト３００内に鍵を置くことは、「時間に左右される」（特定の期間経過後には値が減少している）あるいはその値が幾分制限されるコンテンツ、または、鍵をオブジェクト内に置く商業的価値（例えば、エンドユーザにとっての便利さ、遠距離通信あるいは鍵および／またはパーミッション情報を配送する他の手段および／または「チャネル外」に出ていくオブジェクトのサポートに対する能力を排除する比較的低いコスト）が、高度なハッカーに対する被攻撃性のコストを上回る場合に限定され得る。他の箇所で述べられているように、旋回技術を採用して移動オブジェクト内に「真性（ｔｒｕｅ）」鍵を格納しないようにすることによって、鍵のセキュリティを高めることができるが、ほとんどの場合、サイトＩＤおよび／または時刻ではなくて、ＶＤＥ管理者によってほとんどあるいは全てのＶＤＥノードに入力として提供される共有のシークレット（ｓｈａｒｅｄ　ｓｅｃｒｅｔ）を用いることによってオブジェクトをこれらの値から独立した状態に維持する。
【０４７８】
図１９に示し、先に述べたように、移動オブジェクトは、好ましくは少なくとも何らかの予算（一般的な場合、一方、他方、あるいは両方）を提供するパーミッションレコード８０８を有する。上記のように、パーミッションレコード８０８は、重要な鍵情報を格納している鍵ブロックを有し得る。ＰＥＲＣ　８０８は、有価数量（ｖａｌｕａｂｌｅ　ｑｕａｎｔｉｔｉｅｓ）／値（ｖａｌｕｅｓ）を有する可能性のある予算を持っているか、あるいはこれを参照し得る。このような予算は、移動オブジェクト自身の中に格納されるか、あるいは、別々に配送されて高度安全通信鍵および管理的オブジェクト鍵および管理データベース技術によって保護され得る。
【０４７９】
移動オブジェクトに含まれるメソッド１０００は、典型的に、オブジェクト内のパーミッションレコード８０８（例えば、ＲＥＧＩＳＴＥＲメソッド）を用いてそのオブジェクトを「自己登録」するためのインストレーションプロシージャを含む。これは、時間制限値を有するオブジェクトと、エンドユーザが料金を請求されないあるいは所定料金しか請求されないオブジェクト（あるいはプロパティ）（例えば、公開情報に実際にアクセスしたエンドユーザの数に基づいて広告主および／または情報発行者が料金請求されるオブジェクト）と、広く利用可能な予算を要求するとともにチャネル外配布から特に恩恵を受け得るオブジェクト（例えば、クレジットカードから派生する、映画、ソフトウェアプログラム、ゲーム等のプロパティを有するオブジェクトのための予算）とに特に有用であり得る。このような移動オブジェクトは、予算ＵＤＥを含んであるいは含まずに供給され得る。
【０４８０】
移動オブジェクトの１つの使用方法であるソフトウェアの発行においては、顧客になる可能性のある者が、ライセンス料金を支払う前あるいは初期試用料金以上の料金を支払う前に、そのソフトウェアをデモンストレーションモードで使用する、あるいは可能であれば限られた期間内において完全なプログラム機能を使用することを、包含されるパーミッションレコードによって許可し得る。例えば、時間ベースの課金方法および小さな時間予算が予備インストールされた予算レコードを用いて、短い期間の間そのプログラムを完全に使用することを許可する。オブジェクトコンテンツの不正使用を回避するために様々な制御メソッドを用いることが可能である。例えば、移動オブジェクトの最小登録期間をある適切な長い期間（例えば、１ヶ月、６ヶ月あるいは１年間）に設定することによって、ユーザが同一の移動オブジェクト内の予算レコードを繰り返し使用することを防ぐことができる。
【０４８１】
移動オブジェクトの使用を制御するもう１つの方法は、その移動オブジェクト内に組み込まれたパーミッションレコードに経時変化鍵を含めることである。これは、移動オブジェクトが、再登録を行うことなく特定日以降に使用されないようにするためのもので、一般に移動オブジェクトに有用であり、一斉通信、ネットワークあるいは（１方向および２方向ケーブルの両方を含む）遠距離通信によって電子的に配布される移動オブジェクトに特に有用である。なぜなら、このような移動オブジェクト経時変化鍵の配送の日付および時刻は、ユーザがそのオブジェクトの所有権を得た時刻に正確に対応するように設定できるからである。
【０４８２】
移動オブジェクトを使用して、ある電子機器６００から別の電子機器への「移動」を助長することも可能である。ユーザは、１つ以上のパーミッションレコード８０８が組み込まれた移動オブジェクトを、例えばデスクトップコンピュータから同じユーザのノートブックコンピュータへと移動させることができる。移動オブジェクトがそのユーザをオブジェクト自身の中に登録して、その後はそのユーザしか使用できないようにすることが可能である。移動オブジェクトは、基本配布予算レコード用に１つ、および、登録ユーザの「アクティブ」配布予算レコード用のもう１つといった別々の予算情報を維持し得る。このようにすれば、オブジェクトをコピーしてユーザになり得る別の者に引き渡して、その後は、これを、そのユーザのためのポータブルオブジェクトとすることが可能である。
【０４８３】
移動オブジェクトが他のオブジェクトを有するコンテナ内に入っている場合もある。例えば、移動オブジェクトコンテナは、コンテンツオブジェクトをエンドユーザオブジェクトレジストリ内に登録するため、および／または、パーミッションおよび／または他のセキュリティ機能を施行するためのメカニズムを提供するための、１つ以上のコンテンツオブジェクトおよび１つ以上の管理的オブジェクトを有し得る。包含された管理的オブジェクトを用いて必要なパーミッションレコードおよび／または予算情報をエンドユーザの電子機器内に設置（ｉｎｓｔａｌｌ）することが可能である。
【０４８４】
コンテンツオブジェクト
図２０は、ＶＤＥコンテンツオブジェクト構造８８０の一例を示す。コンテンツオブジェクト８８０は、概して、情報コンテンツを有するあるいは提供する。この「コンテンツ」は、任意の種類の電子情報であり得る。例えば、コンテンツには、コンピュータソフトウェア、映画、本、音楽、情報データベース、マルチメディア情報、バーチャルリアリティ情報、機械命令、コンピュータデータファイル、通信メッセージおよび／または信号、ならびに、少なくともその一部が１つ以上の電子機器によって使用あるいは操作される他の情報が含まれる。また、銀行間での取引、電子購入通信、ならびに、電子的に署名された契約書および他の法的な書類の送信、監査および秘密保護された商業記録等の電子商取引および通信について、これらの認証、制御および／または監査用にＶＤＥ　１００を構成することも可能である。これらの取引に用いられる情報もまた、「コンテンツ」と呼ぶことができる。先に述べたように、このコンテンツは物理的にオブジェクトコンテナ内に格納される必要はなく、異なる時刻に別々に提供され得る（例えば、ケーブルによるリアルタイム供給）。
【０４８５】
図２０に示される特定の例におけるコンテンツオブジェクト構造８８０は、ＰＥＲＣ　８０８を含んでいないので静止オブジェクトの一種である。この例の場合、コンテンツオブジェクト構造８８０は、そのコンテンツ８１２の少なくとも一部として、図５Ａに示されるような埋込みコンテンツオブジェクト８８２を少なくとも１つ含んでいる。コンテンツオブジェクト構造８８０は、管理的オブジェクト８７０をも含み得る。従って、好適な実施形態によって提供されるオブジェクトは、１つ以上の「埋込み」オブジェクトを含み得る。
【０４８６】
管理的オブジェクト
図２１は、好適な実施形態によって提供される管理的オブジェクト構造８７０の一例を示す。「管理的オブジェクト」は、一般に、パーミッション、管理的制御情報、コンピュータソフトウェアおよび／またはＶＤＥ　１００の動作に関連するメソッドを有する。使用レコード、および／またはＶＤＥ　１００の動作において使用されるあるいはその動作に関連する他の情報を、さらにまたは択一的に有し得る。管理的オブジェクトは、例えばエンドユーザに対して開放されるＶＤＥプロテクトされた「コンテンツ」が存在しないことによって、コンテンツオブジェクトからは区別できる。オブジェクトが他のオブジェクトを有している場合もあるので、単一のオブジェクトが１つ以上のコンテンツを有するオブジェクトと１つ以上の管理的オブジェクトとを有する可能性もある。管理的オブジェクトを用いて、更新、使用報告、課金および／または制御の目的で、電子機器間での情報の送信を行うことができる。管理的オブジェクトは、ＶＤＥ　１００の管理およびＶＤＥ　１００の正しい動作の維持を助長する情報を有する。一般に、管理的オブジェクトは、ＶＤＥ情報交換所サービス、配布者、あるいはクライアント管理者およびエンドユーザの電子機器６００等のＶＤＥノードの２者の間で送信される。
【０４８７】
この例における管理的オブジェクト構造８７０は、公開ヘッダ８０２と、秘密ヘッダ８０４（「ＰＥＲＣ」８０８を含む）と、メソッド１０００を有する「秘密ボディ」８０６とを含む。図２０に示されるこの特定の例における管理的オブジェクト構造８７０は、ＰＥＲＣ　８０８を有しているので移動オブジェクトの一種であるが、管理的オブジェクトからＰＥＲＣ　８０８を除外して静止オブジェクトとしてもよい。管理的オブジェクト構造８７０は、情報コンテンツを格納するのではなく、「管理的情報コンテンツ」８７２を格納する。管理的情報コンテンツ８７２は、例えば、それぞれ異なる「イベント」に対応する複数のレコード８７２ａ、８７２ｂ、．．．８７２ｎを包含し得る。各レコード８７２ａ、８７２ｂ、．．．８７２ｎは、「イベント」フィールド８７４を含み得るとともに、パラメータフィールド８７６および／またはデータフィールド８７８を任意に含み得る。これらの管理的コンテンツレコード８７２は、ＶＤＥ　１００によって、取引の途中に処理できるイベントを規定するために使用され得る。例えば、レコードを安全なデータベースに追加するように設計されたイベントは、その記録がどのようにして何処に格納されるべきかを示すパラメータ８９６、ならびに、追加すべきレコードを有するデータフィールド８７８を含み得る。別の例においては、購入、購入指示書、インボイス等の、管理的オブジェクトのクリエータと受取人との間の金融取引が、イベントの収集物によって表され得る。各イベントレコード８７２は、例えばエンドユーザの安全なデータベース６１０に追加あるいは変更を行うためにエンドユーザの電子機器６００によって実行される命令セットであり得る。イベントは、例えば次のような多数の基本的な管理機能を行うことができる：関連するユーザ／グループレコード、権利レコード、パーミッションレコードおよび／またはメソッドレコードの提供を含むオブジェクトレジストリへのオブジェクトの追加；（監査追跡情報を例えばより密な要約形式に「まとめる（ｒｏｌｌｉｎｇ　ｕｐ）」ことによる、あるいは、実際に消去することによる）監査レコードの消去；以前に登録したオブジェクトのパーミッションレコード８０８の追加あるいは更新；予算レコードの追加あるいは更新；ユーザ権利レコードの追加あるいは更新；および、ロードモジュールの追加あるいは更新。
【０４８８】
好適な実施形態において、管理的オブジェクトは、例えば、配布者、クライアント管理者、またおそらくは情報交換所若しくは他の金融サービスプロバイダからエンドユーザへと送信されるか、または例えばオブジェクトクリエータによって配布者若しくはサービス情報交換所へと送信され得る。例えば、管理的オブジェクトは、管理的オブジェクトの送信先である受信ＶＤＥノードの予算および／またはパーミッションを増大あるいは調節し得る。同様に、イベントレコード８７２のデータ領域８７８内に監査情報を有する管理的オブジェクトは、エンドユーザから、配布者および／または情報交換所および／またはクライアント管理者へと送信され得る。配布者および／または情報交換所および／またはクライアント管理者は、それ自身も、オブジェクトクリエータあるいはオブジェクト処理連鎖の中の他の参加者への送信を行い得る。
【０４８９】
メソッド
好適な実施形態におけるメソッド１０００は、オブジェクトの使用および配布者との通信の際にユーザが出くわす処理の多くをサポートする。また、メソッド１０００は、ユーザに対してどのメソッドフィールドが表示可能であるか（例えば、使用イベント、ユーザ要求イベント、ユーザレスポンスイベント、およびユーザ表示イベント）をも特定し得る。さらに、配布能力がそのメソッドにおいてサポートされている場合、そのメソッドは、配布アクティビティ、メソッドについてのユーザと配布者との通信、メソッド改変、配布者に対してどのメソッドフィールドが表示可能であるか、および、あらゆる配布データベースチェックおよび記録付け（例えば、配布イベント、配布者要求イベント、および配布者レスポンスイベント）をサポートし得る。
【０４９０】
現存するメソッド構造の一般性、およびメソッドの組立に関する可能性の様々な配列（ｄｉｖｅｒｓｅ　ａｒｒａｙ　ｏｆ　ｐｏｓｓｉｂｉｌｉｔｉｅｓ）が与えられると、一般化された構成を用いてメソッド間の関係を確立することができる。メソッド１０００は、あらゆる所与のセッションの間にそれらのメソッドを要求するオブジェクトから独立している場合があるので、それらのメソッド自身の中での関係を規定することは不可能である。好適な実施形態においては、「制御メソッド」を用いてメソッド間の関係を規定している。制御メソッドは、オブジェクト特異的であり得るとともに、各セッションにおける個々のオブジェクトの要件に対処し得る。
【０４９１】
オブジェクトの制御メソッドは、他のメソッド間の関係を確立する。これらの関係は、要求されるメソッド各々の所望のメソッドオプションを反映したレコードセットを登録プロセスにおいて構築する際に、明示的なメソッド識別名を用いてパラメータ化される。
【０４９２】
好適な実施形態における「集合メソッド（ａｇｇｒｅｇａｔｅ　ｍｅｔｈｏｄ）」は、単一ユニットとして扱われ得るメソッドの収集物を表す。例えば、特定のプロパティに関するメソッドの収集物は、１つの集合メソッド内に格納され得る。この種の集合化（ａｇｇｒｅｇａｔｉｏｎ）は、実施の観点から見て有用であり得る。なぜなら、これは、記帳のオーバーヘッドを軽減するとともにデータベース全体の効率を向上させ得るからである。その他の場合、メソッドは、論理的に結合している（ｃｏｕｐｌｅｄ）がゆえに集合化され得る。例えば、２つの予算は、その予算の一方が全体の制限を表し、第２の予算が使用について現在利用可能な制限を表すために、リンクされ（ｌｉｎｋｅｄ）得る。これは、例えば大きな予算が短い超過時間（ｏｖｅｒ　ｔｉｍｅ）で開放された場合に起こり得る。
【０４９３】
例えば、３つの別々のメソッドを用いる代わりに、計量、課金および予算プロセスを含んだ１つの集合メソッドを用いることが可能である。このような集合メソッドは、３つの別々のロードモジュールの機能を全てを行い且つ計量、課金および予算データを含んだ唯一のユーザデータエレメントを用いる単一の「ロードモジュール」１１００を参照し得る。３つの別々のメソッドの代わりに１つの集合メソッドを用いることによって、全メモリ要件、データベースサーチ、復号化、および安全なデータベース６１０へのユーザデータエレメント書込の回数が最小限に抑えられ得る。３つの別々のメソッドの代わりに１つの集合メソッドを用いることの欠点は、プロバイダおよびユーザ側の柔軟性が幾分損なわれることである。なぜなら、様々な機能を個別に交換することはもはや不可能だからである。
【０４９４】
図１６は、安全なデータベース６１０の一部としてのメソッド１０００を示す。
【０４９５】
基本命令および基本命令に関する情報の収集物である、好適な実施形態による「メソッド」１０００は、１つ以上の電子機器６００の動作に関する基本命令を行うおよび／または行う準備をする際に用いるコンテキスト、データ、要件および／または関係を提供するものである。図１６に示されるように、好適な実施形態におけるメソッド１０００は、安全なデータベース６１０内において、
Ｃ　メソッド「コア」１０００Ｎ、
Ｃ　メソッドデータエレメント（ＭＤＥ）１２０２、
Ｃ　ユーザデータエレメント（ＵＤＥ）１２００、および
Ｃ　データ記述（Ｄｅｓｃｒｉｐｔｉｏｎ）エレメント（ＤＴＤ）、
によって表される。
【０４９６】
好適な実施形態におけるメソッド「コア」１０００Ｎは、ＭＤＥ　１２０２およびＵＤＥ　１２００等の１つ以上のデータエレメントを包含あるいは参照し得る。好適な実施形態において、ＭＤＥ　１２０２およびＵＤＥ　１２００は同一の一般特性を有し得る。これら２種類のデータエレメント間の主な差異は、ＵＤＥは好ましくは特定のメソッドならびに特定のユーザあるいはユーザグループに結びつけら、一方、ＭＤＥは特定のメソッドに結びつけられ得るがユーザ独立型であり得ることである。好適な実施形態において、これらのＭＤＥおよびＵＤＥデータ構造１２００および１２０２は、メソッド１０００に入力データを提供するため、メソッドによって出力されるデータを受信するため、あるいはその両方のために使用される。ＭＤＥ　１２０２およびＵＤＥ　１２００を、これらを参照するメソッドコア１０００Ｎから独立して配送するか、あるいは、データ構造をメソッドコアの一部として配送することが可能である。例えば、好適な実施形態におけるメソッドコア１０００Ｎは、１つ以上のＭＤＥ　１２０２および／またはＵＤＥ　１２００（あるいはその一部）を有し得る。メソッドコア１０００Ｎは、それらを参照するメソッドコアから独立して配送される１つ以上のＭＤＥおよび／またはＵＤＥデータ構造を、択一的あるいは付加的に参照し得る。
【０４９７】
好適な実施形態におけるメソッドコア１０００Ｎは、１つ以上の「ロードモジュール」１１００をも参照する。好適な実施形態におけるロードモジュール１１００は、実行可能コードを包含し得るとともに、「データディスクリプタ」（「ＤＴＤ」）情報と呼ばれる１つ以上のデータ構造をも包含あるいは参照し得る。この「データディスクリプタ」情報は、例えば、データ入力情報をＤＴＤインタプリタ５９０に提供し得る。ＤＴＤは、ロードモジュール１１００によるＭＤＥおよび／またはＵＤＥデータエレメント１２０２および１２００へのアクセス（例えば、読み出しおよび／または書込み）を可能にし得る。
【０４９８】
メソッドコア１０００’は、電子契約書の一部として含めるのに適したテキスト形式によるその動作の記述を有する１つ以上のＤＴＤおよび／またはＭＤＥデータ構造をも参照し得る。ＤＴＤおよびＭＤＥデータ構造への参照は、メソッドコア１０００’の秘密ヘッダ内で行われてもよいし、あるいは、以下に説明するイベントテーブルの一部として特定されてもよい。
【０４９９】
図２２は、好適な実施形態によって提供されるメソッドコア１０００Ｎ用のフォーマットの一例を示す。好適な実施形態におけるメソッドコア１０００Ｎは、メソッドイベントテーブル１００６およびメソッドローカルデータ領域１００８を有する。メソッドイベントテーブル１００６は「イベント」を列記する。これらの各「イベント」は、あるイベントの処理を制御する「ロードモジュール」１１００および／またはＰＥＲＣ　８０８を参照する。上記リスト内の各イベントには、そのイベントをサポートするのに必要なロードモジュール１０００あるいはパーミッションレコード８０８ならびにメソッドユーザデータ領域１００８へのリファレンスをパラメータ化するのに必要なあらゆる統計的データが関連付けられる。ロードモジュール１１００をパラメータ化するデータは、部分的に、そのロードモジュールに対する特定の機能コールと考えることができ、また、それに対応するデータエレメントはその特定の機能コールのための入力および／または出力データと考えることができる。
【０５００】
メソッドコア１０００Ｎは、単一のユーザに特異的であってもよく、あるいは、（例えば、そのメソッドコアおよび／または特定のユーザデータエレメントの固有性に依存して）複数のユーザ間で共有されていてもよい。具体的には、各ユーザ／グループが独自のＵＤＥ　１２００を有し、共有メソッドコア１０００Ｎを使用することが可能である。この構成により、メソッドコア１０００Ｎ全体を１つのユーザ／グループに関連付ける場合に比べて、データベースオーバーヘッドを削減することが可能になる。あるユーザがあるメソッドを使用することを可能にするために、そのユーザには、ＵＤＥ　１２００を特定するメソッドコア１０００Ｎが送信され得る。そのメソッドコア１０００Ｎがサイトの安全なデータベース６１０内に既に存在する場合、追加する必要があるのはＵＤＥ　１２００のみであり得る。あるいは、メソッドは、登録時刻において要求されるあらゆるＵＤＥ　１２００を生成し得る。
【０５０１】
好適な実施形態によって提供されるメソッドコア１０００Ｎの図２２に示される例は、公開（暗号化されていない）ヘッダ８０２、秘密（暗号化された）ヘッダ８０４、メソッドイベントテーブル１００６、およびメソッドローカルデータ領域１００８を含む。
【０５０２】
メソッドコア１０００Ｎ公開ヘッダ８０２の可能なフィールドレイアウトの一例を以下のテーブルに示す。
【０５０３】
【表１６】

【０５０４】
秘密ヘッダ８０４の可能なフィールドレイアウトの一例を以下に示す。
【０５０５】
【表１７】

【０５０６】
図２２を再び参照して、好適な実施態様におけるメソッドイベントテーブル１００６は、１〜Ｎメソッドイベントレコード１０１２を有していてもよい。これらメソッドイベントレコード１０１２の各々は、メソッドコア１０００Ｎによって表されるメソッド１０００が応答し得る、異なるイベントに対応する。好適な実施態様におけるメソッド１０００は、その応答するイベントに依存して全く異なる振る舞いをし得る。例えば、ＡＵＤＩＴメソッドは、ユーザによるオブジェクトその他のリソースの使用に対応するイベントに応答して、監査追跡ＵＤＥ１２００に情報を格納し得る。この同じＡＵＤＩＴメソッドは、管理イベント、例えばＶＤＥノード内においてタイマーが切れることや他のＶＤＥ参加者からの監査追跡の報告の要求（ｒｅｑｕｅｓｔ）等に応答して、格納された監査追跡をＶＤＥ管理者またはその他の参加者に対して報告し得る。好適な実施態様において、これらの異なるイベントの各々を「イベントコード」によって表すことができる。この「イベントコード」は、メソッドがコールされたときにパラメータとしてメソッドに渡され、メソッドイベントテーブル１００６中の適切なメソッドイベントレコード１０１２を「ルックアップ」するために用いられ得る。選択されたメソッドイベントレコード１０１２は次に、起こったイベントに応答して実行されるコンポーネントアセンブリ６９０を構築するために用いられる適切な情報（例えばロードモジュール１１００、データエレメントＵＤＥおよびＭＤＥ１２００、１２０２および／またはＰＥＲＣ８０８）を指定する（ｓｐｅｃｉｆｙ）。
【０５０７】
従って、好適な実施態様において、各メソッドイベントレコード１０１２は、イベントフィールド１０１４、ＬＭ／ＰＥＲＣリファレンスフィールド１０１６、および任意の数のデータリファレンスフィールド１０１８を有し得る。好適な実施態様においてイベントフィールド１０１４は、対応イベントを識別する「イベントコード」またはその他の情報を含んでいてもよい。ＬＭ／ＰＥＲＣリファレンスフィールド１０１６は、ロードされて実行されることによってイベントに応答してメソッドを実行する実行可能コードを提供（または参照）する、ロードモジュール１１００および／またはＰＥＲＣ８０８を識別する、安全データベース（ｓｅｃｕｒｅ　ｄａｔａｂａｓｅ）６１０へのリファレンス（またはその他の「ポインタ」情報）を提供し得る。データリファレンスフィールド１０１８は、ＵＤＥ１２００またはＭＤＥ１２０２を参照する情報を含み得る。これらのデータ構造は、メソッドコア１０００Ｎのメソッドローカルデータ領域１００８中に含まれていてもよく、または安全データベース６１０中に独立のデリバラブル（ｄｅｌｉｖｅｒａｂｌｅｓ）として格納されてもよい。
【０５０８】
以下のテーブルは、メソッドイベントレコード１０１２のより詳細なフィールドレイアウトの可能性例である：
【０５０９】
【表１８】

【０５１０】
ロードモジュール
図２３は、好適な実施態様において提供されるロードモジュール１１００の例を示す。一般に、ロードモジュール１１００は、制御動作に用いられる基本機能群を表す。
【０５１１】
ロードモジュール１１００は、コードおよびスタティックデータ（機能的にコードと同等なもの）を含んでおり、ＶＤＥ１００の基本動作を行うために用いられる。ロードモジュール１１００は一般に、システム中の全オブジェクトのための全ての制御構造によって共有されるが、専有（ｐｒｏｐｒｉｅｔａｒｙ）ロードモジュールもまた許容される。ロードモジュール１１００は、管理オブジェクト構造８７０内においてＶＤＥ参加者間で受け渡しされ、通常は安全データベース６１０内に格納される。これらは常に暗号化されており、これら両ケースにおいて認証（ａｕｔｈｅｎｔｉｃａｔｅ）される。メソッドコア１０００Ｎがロードモジュール１１００を参照するとき、ロードモジュールはＳＰＥ５０３にロードされ、復号化され、電子機器のマイクロプロセッサに渡されてＨＰＥ６５５内で実行されるか（そこが実行場所であれば）、またはＳＰＥ内に保持される（そこが実行場所であれば）。ＳＰＥ５０３が存在しなければ、ロードモジュールは、実行以前にＨＰＥ６５５によって復号化される。
【０５１２】
パーティによるロードモジュール作成は、好ましくは証明プロセスまたはリング型ＳＰＵアーキテクチャで制御される。このようにして、すでに安全化データベース６１０に格納されているロードモジュールのリプレース（ｒｅｐｌａｃｅ）、更新、または削除するプロセスもそうであるように、新しいロードモジュール１１００を作成するプロセス自体もまた、制御されたプロセスとなる。
【０５１３】
ロードモジュール１１００は、ＳＰＥ５０３またはＨＰＥ６５５の保護された環境内で実行されたときのみ、その機能を果たすことができる。なぜなら、その場合においてのみ、ロードモジュール１１００が動作する対象である保護されたエレメント（例えば、ＵＤＥ１２００、他のロードモジュール１１００）へアクセスすることが可能になるからである。この環境におけるロードモジュールの実行の開始は、アクセスタグ、有効性検査タグ、暗号化鍵、デジタル署名、および／またはコリレーションタグの組み合わせによって厳しく制御される。このようにして、ロードモジュール１１００は、発信者（ｃａｌｌｅｒ）がそのＩＤを知っていてそのロードモジュールに特異的な共有された秘密のコリレーションタグをアサートした場合にのみ、参照され得る。復号化ＳＰＵは、復号化後に、ロードモジュールのローカルアクセスタグと識別トークンとをマッチしてもよい。これらの技術は、いかなるロードモジュール１１００の物理的なリプレースをも、ロードモジュールの次の物理的なアクセス時において、検知可能にする。さらに、好適な実施態様において、ロードモジュール１１００は「リードオンリー」にされてもよい。ロードモジュール１１００を「リードオンリー」属性にすることにより、安全でない空間で不正改変されたロードモジュールによる書き換えが防がれる。
【０５１４】
ロードモジュールは、これらを制御するＰＥＲＣ８０８によって直接支配される必要はなく、また、時刻／日付情報または失効日（ｅｘｐｉｒａｔｉｏｎ　ｄａｔｅ）を含んでいる必要もない。好適な実施態様における唯一の制御上の考慮は、一つ以上のメソッド１０００がコリレーションタグ（ロードモジュールのオーナーによって作成された保護されたオブジェクトの値、承認されたパーティに対して彼らのメソッドに含めるために配布され、そのアクセスおよび使用は一つ以上のＰＥＲＣ８０８によって制御される）を用いてこれらを参照することである。もしメソッドコア１０００Ｎがロードモジュール１１００を参照して正しいコリレーションタグをアサートすれば（そしてロードモジュールがＳＰＥ５０３の内部不正改変チェックを満足すれば）、ロードモジュールはロードし実行されることが可能になり、あるいは他のシステムから入手されるか、他のシステムに送られるか、他のシステムによって更新されるか削除されることが可能になる。
【０５１５】
図２３に示すように、好適な実施態様におけるロードモジュール１１００は、公開（非暗号化）ヘッダ８０２、秘密（暗号化）ヘッダ８０４、暗号化された実行可能コードを含む秘密本体１１０６、および一つ以上のデータ記述エレメント（ＤＴＤ）１１０８から構成され得る。ＤＴＤ１１０８は、ロードモジュール１１００に格納されてもよく、あるいは、安全データベース６１０中のスタティックデータエレメントへのリファレンスであってもよい。
【０５１６】
以下は、ロードモジュール公開ヘッダ８０２のフィールドレイアウトの可能性例である：
【０５１７】
【表１９】

【０５１８】
多くのロードモジュール１１００は、ＳＰＥ５０３で実行するコードを含んでいる。ＨＰＥ６５５で実行するコードを含んでいるロードモジュール１１００もある。このことは、メソッド１０００がどちらでも適切な方の環境で実行することを可能にする。例えば、ＩＮＦＯＲＭＡＴＩＯＮメソッド１０００は、政府クラスの安全性のためＳＰＥ５０３安全空間中のみで実行するように構築されるか、あるいは商業アプリケーションのためにＨＰＥ６５５中でのみ実行するように構築され得る。上述のように、公開ヘッダ８０２は、ロードモジュール１１００をどこで実行する必要があるかを示す「実行空間コード」フィールドを含んでいてもよい。この機能性は、異なるユーザプラットホームだけでなく、異なるＳＰＥ命令セットを可能にし、その基礎となるロードモジュール命令セットに依存することなくメソッドを構築することを可能にする。
【０５１９】
ロードモジュール１１００は、３つの主要データ領域上で動作する。すなわち、スタック、ロードモジュールパラメータ、およびデータ構造である。ロードモジュール１１００を実行するために必要なスタックおよび実行メモリサイズは好ましくは、ロードモジュールコール、リターン時のスタックイメージおよび任意のリターンデータ領域からのデータ記述と同様、秘密ヘッダ８０４に記述されている。スタックおよびダイナミック領域は、同じＤＴＤメカニズムを用いて記述される。以下は、ロードモジュール秘密ヘッダ１１０４のフィールドレイアウトの可能性例である：
【０５２０】
【表２０】

【０５２１】
各ロードモジュール１１００はまた、ロードモジュールからメソッドを構築することをサポートするために必要な情報を提供するために、ＤＴＤ１１０８情報を用いてもよい。このＤＴＤ情報は、ロードモジュールがサポートする全てのメソッドデータフィールドの名前およびデータタイプの、ＳＧＭＬ等の言語で表現された定義および、フィールドに置くことのできる値の容認可能範囲を含む。他のＤＴＤは、例えば、電子契約へ含めるため用にロードモジュール１１００の機能を英語で記述してもよい。
【０５２２】
ロードモジュール１１００の次のセクションは、一つ以上の暗号化コードブロックを含む、暗号化された実行可能本体１１０６である。ロードモジュール１１００は好ましくは、効率およびコンパクトさのため、その実行環境における「ネイティブ」命令セットでコードされる。ＳＰＵ５００およびプラットホームプロバイダは、その製品をＶＤＥ１００で考えられている配布メカニズムのコンテンツと協力（ｃｏｏｐｅｒａｔｅ）できるように、標準ロードモジュール１１００の様々なバージョンを提供してもよい。好適な実施態様では、　有限リソースＳＰＵの性能を最適化するために、インタープリトされたあるいは「ｐ−コード」ソリーションではなく、ネイティブモードロードモジュール１１００を作成し使用する。しかし、十分なＳＰＥ（またはＨＰＥ）リソースが存在するときおよび／またはプラットホームが十分なリソースを有するときは、これら他のインプリメンテーションアプローチにより、ロードモジュールコードのクロスプラットホーム的有用性が改善される。
【０５２３】
以下は、ロードモジュールＤＴＤ１１０８のフィールドレイアウト例である：
【０５２４】
【表２１】

【０５２５】
ロードモジュール１１００がＤＴＤ１１０８を使用し得る方法の一例：
Ｃ　データ領域ＤＴＤ４中のデータエレメント（ＤＴＤ３内の名前により定義される）の値をＤＴＤ１中の値だけインクリメントする
Ｃ　データ領域ＤＴＤ４中のデータエレメント（ＤＴＤ３内の名前により定義される）の値をＤＴＤ３中の値にセットする
Ｃ　ＤＴＤ３中のテーブルからのＤＴＤ１中のイベントからの原子エレメントを計算してＤＴＤ２内にリターンする
Ｃ　ＤＴＤ３中の等式からのＤＴＤ１中のイベントからの原子エレメントを計算してＤＴＤ２内にリターンする
Ｃ　ＤＴＤ３中で参照されたロードモジュール作成テンプレートからロードモジュールを作成する
Ｃ　ＤＴＤ４内のコンテンツを用いてＤＴＤ３内のロードモジュールを改変する
Ｃ　ＤＴＤ３内に名前があるロードモジュールを破棄（ｄｅｓｔｒｏｙ）する
スペースが許す限り、共通に用いられるロードモジュール１１００をＳＰＵ５００中にビルドインしてもよい。ビルトインのロードモジュール１１００を用いるＶＤＥプロセスは、外部ロードモジュールを見つけ、ロードして復号化しなければならないプロセスよりも大きく改善されたパフォーマンスを示す。ＳＰＵ内にビルドインされ得るロードモジュール１１００で最も有用なものは、スケーラ計量（ｓｃａｌｅｒ　ｍｅｔｅｒ）、固定価格課金、予算およびこれらの３つのプロセスを行う混合メソッド（ａｇｇｒｅｇａｔｅｍｅｔｈｏｄ）のためのロードモジュールなどである。
【０５２６】
ユーザデータエレメント（ＵＤＥ）１２００およびメソッドデータエレメント（ＭＤＥ）１２０２
好適な実施態様におけるユーザデータエレメント（ＵＤＥ）１２００およびメソッドデータエレメント（ＭＤＥ）１２０２は、データを格納する。好適な実施態様で提供されるＵＤＥ１２００およびＭＤＥ１２０２には、多くのタイプがある。好適な実施態様において、これら異なるタイプのデータ構造の各々は、共通ヘッダ定義および名前付けスキームを含む、共通の全体フォーマットを共有する。この共通構造を共有する他のＵＤＥ１２００は、「ローカルネームサービスレコード」（すぐ下に説明する）および他のＶＤＥ参加者に接続するためのアカウント情報を含む。これらのエレメントは必ずしも個々のユーザに関連付けられていず、従ってＭＤＥ１２０２と見なされてもよい。好適な実施態様で提供される全てのＵＤＥ１２００および全てのＭＤＥ１２０２は、所望であれば（図１６に示すように）、安全データベース６１０内の共通の物理テーブル内に格納されてもよく、データベースアクセスプロセスは、これらの異なるタイプのデータ構造の全てへのアクセスのために共通に用いられてもよい。
【０５２７】
好適な実施態様において、ＰＥＲＣ８０８およびユーザ権利テーブルレコードは、ＵＤＥ１２００のタイプである。他にも多くのタイプのＵＤＥ１２００／ＭＤＥ１２０２があり、例えば、計量、計量追跡、予算、予算追跡、および監査追跡がこれに含まれる。これら異なるタイプのＵＤＥ／ＭＤＥのための異なるフォーマットが、上述のように、ＤＴＤ１１０８中に含まれるＳＧＭＬ定義によって定義される。メソッド１０００は、適切にＵＤＥ／ＭＤＥ１２００、１２０２にアクセスするためにこれらのＤＴＤを用いる。
【０５２８】
安全データベース６１０は、２つのタイプのアイテムを格納する。すなわちスタティックとダイナミックである。スタティックデータ構造およびその他のアイテムは、実質的にスタティックな情報のために用いられる。これは、ロードモジュール１１００、ＰＥＲＣ８０８およびメソッドの多くのコンポーネントを含む。これらのアイテムは頻繁には更新されず、情報の「古い」コピーが新しく受け取られたアイテムによって置換される（ｓｕｂｓｔｉｔｕｔｅ）ことを防ぐために用いることができる失効日、を含んでいる。これらのアイテムは、安全データベース６１０に格納される際に、サイト特異的な安全データべースファイル鍵を用いて暗号化され、ＳＰＥにロードされる際にその鍵を用いて復号化されてもよい。
【０５２９】
ダイナミックアイテムは、頻繁に更新されなければならない安全なアイテムをサポートするために用いられる。多くのメソッドのＵＤＥ１２００は、各使用後に、更新されＳＰＥ５０３から書き出されなければならない（ｗｒｉｔｔｅｎ　ｏｕｔ）。計量および予算は、この通常例である。失効日は、予算ＵＤＥ１２００の以前のコピーによる置き換えを防ぐためには効果的に用いられ得ない。これらの頻繁に更新されるアイテムを安全にするためには、取引タグが発生され、そのアイテムが更新される度毎に暗号化されたアイテムに含められる。全てのＶＤＥアイテムＩＤのリストおよび各アイテムの現在の取引タグは、安全データベース６１０の一部として維持される。
【０５３０】
図２４は、好適な実施態様で提供されるユーザデータエレメント（ＵＤＥ）１２００の一例である。図２４に示すように、好適な実施態様におけるＵＤＥ１２００は公開ヘッダ８０２、秘密ヘッダ８０４、およびデータ領域１２０６を有している。これらユーザデータエレメント１２００の各々のレイアウトは一般に、ＵＤＥ１２００上で動作する一つ以上のロードモジュール１１００に関連するＤＴＤ１１０８内に含まれるＳＧＭＬデータ定義によって定義される。
【０５３１】
ＵＤＥ１２００は好ましくは、いったんサイトにロードされるとサイト特異的な鍵を用いて暗号化される。ＳＰＥ５０３によって暗号学的に強い疑似ランダムシーケンス（ｐｓｅｕｄｏ−ｒａｎｄｏｍ　ｓｅｑｕｅｎｃｅ）から得られ得、レコードが安全データベース６１０に書き戻される度毎に更新され得る有効性検査タグを、このサイト特異的な鍵はマスクする。この技術は、ＵＤＥ１２００が、次回の使用時にシステムに要求されたときに、不正改変されたり置き換えられたりしていないことの適度な（ｒｅａｓｏｎａｂｌｅ）保証を提供する。
【０５３２】
計量および予算は、おそらくＶＤＥ１００中において最も普通に見られるデータ構造である。これらは、イベントをカウントおよび記録するため、またイベントを制限するために用いられる。各計量および予算のためのデータ構造は、情報を変更することを承認されたコンテンツプロバイダまたは配布者／再配布者によって決定される。しかし、計量および予算は一般に、共通ヘッダフォーマットで格納された共通情報（例えばユーザＩＤ、サイトＩＤおよび関連の識別情報）を有している。
【０５３３】
コンテンツプロバイダまたは配布者／再配布者は、各計量および予算ＵＤＥに対してデータ構造を指定し得る。これらのデータ構造は特定のアプリケーションに依存して変化し得るが、共通性の高いものもある。以下のテーブルに、ＭＥＴＥＲおよびＢＵＤＧＥＴメソッドにおける共通性の高いデータ構造の一部を挙げる：
【０５３４】
【表２２】

【０５３５】
上記テーブル中の情報は、完全あるいは包括的ではなく、計量および予算関連のデータ構造中に格納され得るタイプの情報の数例を示すことを意図している。特定の計量および予算の実際の構造は、そのデータ構造を作成し操作（ｍａｎｉｐｕｌａｔｅ）するロードモジュール１１００に関連する一つ以上のＤＴＤ１１０８によって決定される。ＶＤＥ１００中のＤＴＤインタプリタ５９０によって許可されたデータタイプのリストは、正しく承認されたパーティには利用可能（ｅｘｔｅｎｓｉｂｌｅ）である。
【０５３６】
図２５は、特に有利な種類のＵＤＥ１２００データ領域１２０６の一例を示す。このデータ領域１２０６は、使用（ｕｓａｇｅ）情報を記録するために用いられ得る「マップ」を定義する。例えば、計量メソッド１０００は、一つ以上の「ユーセージマップ（ｕｓａｇｅ　ｍａｐ）」データ領域１２０６を維持してもよい。ユーセージマップは、数タイプまたはカテゴリーの使用の各々に対応する、１ビット以上の情報（すなわち単次元または多次元ビットイメージ）を格納するという意味において、「使用ビットマップ」であり得る。ユーセージマップは、以前の使用を参照するための効率的な手段である。例えば、ユーセージマップデータ領域は、ユーザが使用するために支払いを行った情報コンテンツの全ての該当部分を、計量メソッド１０００が記録するために用いられ得、このことにより情報コンテンツの同じ部分を後にユーザが使用することを可能にするための、非常に効率的かつ柔軟な手段をサポートする。これは、「連続性（ｃｏｎｔｉｇｕｏｕｓｎｅｓｓ）」、「論理的関連性」、「使用のランダム化」および他の使用タイプなどの、ある種のＶＤＥ関連セキュリティ機能を、可能にし得る。ユーセージマップは、他の使用パターン（例えば、量ディスカウンティング、すなわちあるユーザが過去に無制限使用のために支払いを行った対象である情報コンテンツに再アクセスすることを可能にする）についても分析され得る。
【０５３７】
好適な実施態様の提供する「ユーセージマップ」コンセプトは、「原子エレメント」のコンセプトに結びつけることができる。好適な実施態様において、オブジェクト３００の使用は、「原子エレメント」単位で計量し得る（ｍｅｔｅｒ）。好適な実施態様において、計量文脈における「原子エレメント」とは、計量に記録されるのに「十分有意である」使用の単位を定義する。何をもって「原子エレメント」とするのかの定義は、オブジェクト３００の作成者によって決定される。例えば、オブジェクト３００に含まれる情報コンテンツの１「バイト」を「原子エレメント」と定義してもよく、または、データベースの１レコードを「原子エレメント」と定義してもよく、または、電子出版された本の各章を「原子エレメント」と定義してもよい。
【０５３８】
オブジェクト３００は、互いに重なる複数の原子エレメントのセットを有していてもよい。例えば複数のデータべース中の任意のデータべースへのアクセスを、原子エレメントと定義してもよい。同時に、任意のレコード、レコードのフィールド、情報のセクタ、および／または複数のデータベースのうち任意のものに含まれるバイトへのアクセスもまた、「原子エレメント」と定義され得る。電子出版された新聞の場合、１つの記事の１００ワード毎を「原子エレメント」と定義する一方、ある長さ以上の記事を別の「原子エレメント」のセットと定義してもよい。新聞中のある部分（例えば公告、求人欄など）は原子エレメントにマップされないかもしれない。
【０５３９】
好適な実施態様は、原子エレメントタイプの定義に関して、オブジェクトの作成者にとって実質的に無制限の能力を提供する。このような原子エレメントの定義は、様々な異なるコンテンツ使用を包含するように、非常に柔軟にされ得る。好適な実施態様でサポートされる原子エレメントタイプの例として、バイト、レコード、ファイル、セクタ、オブジェクト、一定量のバイト、連続的または相対的に連続的な（ｒｅｌａｔｉｖｅｌｙ　ｃｏｎｔｉｇｕｏｕｓ）バイト（または他の予め定義された単位タイプ）、トピック、場所またはユーザ指定可能なその他の論理関係による、何らかの論理的関係を含む論理的に関連したバイト等がある。コンテンツ作成者は好ましくは、柔軟に他のタイプの原子エレメントを定義し得る。
【０５４０】
本発明の好適な実施態様は、使用イベントと原子エレメントとの間のマッピングを提供するために、ＥＶＥＮＴメソッドを提供する。一般に、オブジェクト３００について定義される原子エレメントの異なるセットの各々に対して一つのＥＶＥＮＴメソッドがあり得る。多くの場合において、オブジェクト３００は、課金に関連した計量のための少なくとも一つのタイプの原子エレメントおよび、非課金関連の計量のための少なくとも別の一つのタイプの原子エレメント（例えば、詐欺を検知したり、広告者に課金したり、および／またはエンドユーザの行動に関するデータを収集したりするために用いられる）を有するであろう。
【０５４１】
好適な実施態様において、使用関連文脈における各ＥＶＥＮＴメソッドは、２つの機能を果たす：（１）アクセスされたイベントをゼロ以上の原子エレメントのセットにマップすること、および（２）オブジェクト使用を計量するための一つ以上のＭＥＴＥＲメソッドに情報を提供することである。このアクセスイベントと原子エレメントとの間のマッピングを定義するために用いられる定義は、数学的定義、テーブル、ロードモジュール、またはその他の形態を取り得る。ＥＶＥＮＴメソッドがアクセス要求を「ゼロ」個の原子エレメントにマップするときは、ユーザによりアクセスされたイベントは、特定の当てはまる原子エレメント定義に基づいたいかなる原子エレメントにもマップされない。これは、例えば、オブジェクトのオーナーが、そのようなアクセスに基づいて使用を計量することに興味がない場合（例えばオブジェクトのオーナーが計量の観点上そのようなアクセスは重要でないと見なすために）であり得る。
【０５４２】
「ユーセージマップ」は、使用履歴情報を高い効率で格納するために、「ビットマップイメージ」を用いてもよい。ユーセージマップにおける個々の格納エレメントは、原子エレメントに対応し得る。一つのユーセージマップ中の異なるエレメントは、異なる原子エレメントに対応し得る（例えば、一つのマップエレメントは読まれたバイト数に対応し、別のマップエレメントは特定の章が開かれたか否かに対応し、更に別のマップエレメントが他の使用イベントに対応していてもよい。）
本発明の好適な実施態様で提供されるユーセージマップの特徴の一つは、マップエレメントの重要性が、少なくとも部分的には、ユーセージマップ中の位置によって特定されることである。このようにして、好適な実施態様で提供されるユーセージマップにおいて、マップエレメントによって示されたあるいは符号化された情報は、マップ構造中のその位置（物理的または論理的な）の関数である。一つの単純な例として、１２章からなる小説のためのユーセージマップは、小説の各章に対して１つのエレメントずつ、１２のエレメントからなっていてもよい。ユーザが第１章を開くとき、第１章に対応するエレメント中の一つ以上のビットが値を変更され得る（例えば「１」にセットされる）。この単純例において、小説を含むコンテンツオブジェクトのオーナーが、どの章がユーザによって開かれたかを計量することのみに興味がある場合は、ある章に対応するユーセージマップエレメントをユーザがその対応章を最初に開いたときに「１」にセットし、そのユーザがその章をさらに何回追加的に開こうが「１」のままに維持されることができる。オブジェクトのオーナーまたはその他の興味があるＶＤＥ参加者は、単にコンパクトなユーセージマップを調べてどのエレメントが「１」にセットされたかを決定することにより、どの章（単数または複数）がユーザにより開かれたかを素早く効率的に知ることができる。
【０５４３】
ユーザが小説の各章を何回開いたかを、コンテンツオブジェクトのオーナーが知りたいとする。この場合、ユーセージマップは、１２章からなる小説の場合、各々がその小説の１２章のうちの異なる１つと１対１の対応を有するような、１２のエレメントを含み得る。ユーザが特定の章を開く各回毎に、対応するＭＥＴＥＲメソッドが、対応するユーセージマップエレメントに含まれる値をインクリメントし得る。このようにして、アカウントを小説の各章に対して容易に維持することができる。
【０５４４】
ユーセージマップ中のエレメントの位置は、多変数関数を符号化していてもよい。例えば、ユーセージマップ中のエレメントは、図２５Ｂに示すような２次元アレイに並べられてもよい。異なるアレイ座標は、例えば、原子エレメントおよび時間などの独立変数に対応してもよい。例として、コンテンツオブジェクトのオーナーが、音声録音のコレクションを含むオブジェクトを配布するとする。更に、コンテンツオブジェクトのオーナーは、ユーザがコレクション中の各録音を聴く回数を追い（ｔｒａｃｋ）、かつ月別に使用を追いたいとする。従って、コンテンツオブジェクトのオーナーは、１月の間にユーザが、各録音毎に、録音を何回聴いたかを知りたいと思っており、同様にこの同じ情報を２月、３月などに関して知りたいとする。この場合、ユーセージマップ（図２５Ｂ参照）は、エレメントの２次元アレイとして定義され得る。アレイの１つの次元は、音声録音ナンバーを符号化していてもよい。アレイの別の次元は、月を符号化していてもよい。１月の間、対応するＭＥＴＥＲメソッドが、アレイ中の「１月」の列においてアレイ中のエレメントをインクリメントし、録音ナンバーの関数としてどのエレメントをインクリメントするかを選択する。１月が終わりに来れば、ＭＥＴＥＲメソッドは１月の列のアレイエレメントへの書き込みをやめて、代わりに２月のための別のアレイエレメントのセットに値を書き込む−−この場合もやはりこの列中の特定のアレイエレメントを録音ナンバーの関数として選択する。このコンセプトは、Ｎ個の異なる変数を符号化するＮ次元にまで拡張することができる。
【０５４５】
ユーセージマップ計量は、このように、以前の使用を参照するための効率的な手段である。ユーセージマップ計量は、連続性（相対的な連続性を含む）のテスト、論理的関連性（相対的な論理的関連性を含む）のテスト、使用のランダム化、および他の使用パターンなどの、ある種のＶＤＥ関連セキュリティ機能を可能にし得る。例えば、あるユーザによるコンテンツ使用の「ランダムさ」の程度や性質は、ＶＤＥコンテンツ予算制限を避けるための試みの、潜在的なインジケータとして機能し得る。ユーザまたはユーザのグループは、多数回のセッションを用いることによって、連続性、論理的関連性または量制限に違反はしないが、所与の価値あるコンテンツ単位の実質的な部分あるいは全部を再構築できるようなやり方で、コンテンツを抽出しようとするかも知れない。例えば、ある一定量の任意のあるいは特定のアトミックユニットの使用後の量ディスカウンティング、すなわちあるユーザが過去に無制限アクセス（またはある時間内における無制限アクセス）のために支払いを行った対象である情報コンテンツに再アクセスすることを可能にすることなどの、その他の有料使用パターン（ｐａｔｔｅｒｎ　ｏｆ　ｕｓａｇｅ　ｆｏｒ　ｐｒｉｃｉｎｇ）を決定するために、ユーセージマップを分析することができる。その他の有用な分析としては、所与のアトミックユニットについての複数回の使用に対するディスカウンティングがある。
【０５４６】
マップ計量の更なる例としては、ユーザが使用するために支払いを行った（あるいは、使用したことが計量された−−支払いまたは請求がまだであっても）全ての該当する原子エレメントの記録を格納することがある。そのようなユーセージマップは、同じ原子エレメントを後にユーザが使用することを可能にするための、非常に効率的かつ柔軟な手段をサポートできる。
【０５４７】
更なるユーセージマップを、同じオブジェクトの不正使用（ｆｒａｕｄｌｅｎｔ　ｕｓａｇｅ）を検知するために維持することができる。例えば、オブジェクトは、長いブロックのシーケンシャルなアクセスが絶対に起こらないように格納され得る。そして、ＭＥＴＥＲメソッドは、例えば、任意の指定された時間のインクリメントの間（例えば１０分、１時間、１日、１ヶ月、１年またはその他の期間）、全ての該当する原子エレメントアクセスを記録することができる。指定された時間インクリメントの終わりに、ユーセージマップを分析して、アクセスされたブロックのセットのうち異常に長い連続したものをチェックしたり、および／またはユーセージマップを該当する原子エレメントへの各アクセスの開始時に分析したりすることができる。もし各期間にもとづいた分析の後に何らの不正使用が検知されなければ、ユーセージマップをクリア（あるいは部分的にクリア）しマッピングプロセス全体あるいはその一部を新しく開始することができる。もし不正使用が疑われるときあるいは検知されたときは、その情報を記録し、オブジェクトの使用を停止することができる。例えば、ユーザは、コンテンツプロバイダにコンタクトすることを要求されるかも知れない。するとコンテンツプロバイダは更に、使用情報を分析して更なるアクセスが許可されるべきか否かを決定する。
【０５４８】
図２５ｃは、特定のタイプの「ワイドビットマップ」使用レコード１２０６を示す。ここで、使用レコードの各エントリは、特定の期間中の使用に対応する（例えば、今月の使用、先月の使用、先々月の使用など）。このように、図示の使用レコードは、「フラグ」のアレイまたはフィールド１２０６を含み、アレイ中の各エレメントは、この特定の例における異なる期間における使用を示すために用いられる。ある期間が終了すると、アレイ中の全てのエレメント１２０６を１ポジションずらすことによって、一連の複数期間における使用情報（またはユーザのアクセス権利の購入）を、一連の連続アレイエレメントに反映することができる。この図２５ｃに示す特定の例においては、ワイドアレイ１２０６全体が各月毎に１アレイポジションずらされ、最も古いアレイエレメントは削除され、新しいアレイエレメントが現期間に対応する新しいアレイマップに挿入（”ｔｕｒｎｅｄ”　ｉｎ）される。この例において、レコード１３０２は、暦の今月ならびに今月の直前５ヶ月間中における、使用アクセス権利および／または使用関連行動を追っている。対応する課金および／または課金メソッド４０６はマップを検査し（ｉｎｓｐｅｃｔ）、レコードに格納された使用データを用いる数式に基づいて、現使用についての課金および／またはセキュリティ監視に関連しての使用を決定し、ワイドレコードを、使用が起こったなどの該当アレイエレメントを示すように、更新する。ワイドビットマップは、エレメント単位の使用カウントの維持、または連続性、関連性などの上述の機能、または機能性の組み合わせなど、他の多くの目的に用い得る。
【０５４９】
監査追跡マップは、制御、計量、予算、および課金メソッドならびに、これらメソッドに関連するロードモジュールによって決定される任意の頻度で、生成され得る。監査追跡は、計量および予算と同様な構造を有しており、監査追跡が生成される原因となった使用イベントに関する情報に加えて、ユーザ特異的な情報を含む。計量および予算と同様に、監査追跡は、コンテンツプロバイダまたはその承認された被指名人（ｄｅｓｉｇｎｅｅ）によって定義されるダイナミックなフォーマットを有し、上記テーブルに示した計量および予算と、基本エレメントタイプを共有している。これらのタイプに加えて、以下のテーブルに、監査追跡において見られる他の重要なデータフィールドの例を挙げる：
【０５５０】
【表２３】

【０５５１】
ヘッダスペースを残すために、監査追跡レコードは、自動的に単一のレコードに結合されてもよい。結合プロセスは、例えば、個々の監査追跡レコードを作成するロードモジュールの制御下で起こり得る。
【０５５２】
パーミッションレコードの概観（Ｏｖｅｒｖｉｅｗ）
図１６はまた、ＰＥＲＣ８０８が安全データベース６１０の一部として格納され得ることを示している。パーミッションレコード（ＰＥＲＣ）８０８は、ＶＤＥ１００の好適な実施態様によって提供されるデータ駆動制御階層の最高レベルに位置する。基本的に、ＶＤＥ１００によって配布される各情報および／または取引コンテンツに対応して、少なくとも一つのＰＥＲＣ８０８が存在する。従って、好適な実施態様において、各ＶＤＥオブジェクト３００に対して少なくとも一つのＰＥＲＣ８０８が存在する。複数の対応ＰＥＲＣ８０８を有するオブジェクトもある。ＰＥＲＣ８０８は、アクセスおよび／または操作パーミッションがどのように配布されるか、および／またはコンテンツおよび／またはその他の情報が他にどのように使用されるかを制御する。ＰＥＲＣ８０８はまた、コンテンツおよび／またはその他の情報における、あるいはこれらに対するＶＤＥ参加者の「権利」を指定する。
【０５５３】
好適な実施態様において、いかなるエンドユーザも、パーミッションレコード８０８がそのエンドユーザに配送（ｄｅｌｉｖｅｒ）されなければ、ＶＤＥオブジェクトを使用またはアクセスしてはならない。上述したように、ＰＥＲＣ８０８は、移動（ｔｒａｖｅｌｉｎｇ）オブジェクト８６０の一部として配送されるか、あるいは別途配送される（例えば管理オブジェクトの中で）。電子機器６００は、対応するＰＥＲＣ８０８が存在しなければオブジェクトにアクセスしてはならず、ＰＥＲＣに含まれる制御構造によって許可されたオブジェクトおよび関連情報のみを使用できる。
【０５５４】
端的に言えば、ＰＥＲＣ８０８は、対応するＶＤＥオブジェクト３００に関するメソッド、メソッドオプション、復号化鍵および権利についての情報を格納する。
【０５５５】
ＰＥＲＣ８０８は、高レベルの動作カテゴリーあるいは分類を定義する、制御構造を含んでいる。これらの高レベルカテゴリーは、「権利」と呼ばれる。「権利」制御構造は、それ自体、「メソッド」１０００を参照する内部制御構造を提供する。好適な実施態様のＰＥＲＣ８０８における内部構造は、オブジェクトまたは関連制御構造（ＰＥＲＣ自体に対して行われる動作を含む）に対して許される各動作を行うために必要な「メソッド」を組織（ｏｒｇａｎｉｚｅ）する。例えば、ＰＥＲＣ８０８は、オブジェクトに対する復号化鍵を含んでおり、鍵の使用は、ＰＥＲＣが「権利」の行使に関連する動作を行うために必要とするメソッドによって、制御される。
【０５５６】
あるオブジェクトに対するＰＥＲＣ８０８は典型的には、オブジェクトが作成されるときに作成され、ＰＥＲＣの将来における実質的な改変物は、許されれば、動作に関連するメソッドにより、同じ（または異なる）ＰＥＲＣによって定義される配布権利（単数または複数）を用いて、制御される。
【０５５７】
図２２は、好適な実施態様の提供するＰＥＲＣ８０８の一例において存在する、内部構造を示す。図示した構造の全ては、対応オブジェクトを特定の方法で処理するために必要なメソッドの集合（ｃｏｌｌｅｃｔｉｏｎ）を表す（または参照する）。ＰＥＲＣ８０８は階層構造として組織され、その階層の基本エレメントは以下の通りである：
「権利」レコード９０６
「制御セット」９１４
「必須（ｒｅｑｕｉｒｅｄ）メソッド」レコード９２０　および
「必須メソッドオプション」９２４。
【０５５８】
ＰＥＲＣ８０８階層に含められ得るエレメントで、規則セットのネゴシエーションをサポートするための規則および規則オプション、ならびにスマートオブジェクトおよびユーザのパーソナル情報をプライバシーフィルタによって保護するための制御情報を記述する、他のエレメントもある。これらの別エレメントは以下を含み得る：
オプション権利レコード
オプション制御セット
オプションメソッドレコード
パーミッションを与えられた権利レコード
パーミッションを与えられた権利制御セット
パーミッションを与えられたメソッドレコード
必須ＤＴＤ記述
オプションＤＴＤ記述
パーミッションを与えられたＤＴＤ記述
これら別フィールドは、これらフィールドのコンテンツに対するその動作に関するネゴシエーションまたは決定の基盤に部分的になる他のプロセスを、制御し得る。権利ネゴシエーション、スマートオブジェクト制御情報、および関連プロセスは、その動作のより正確な制御のために、これらのフィールドを用い得る。
【０５５９】
図２６に示すＰＥＲＣ８０８は、ＰＥＲＣヘッダ９００、ＣＳ０（「制御セット０」）９０２、秘密本体鍵（ｐｒｉｖａｔｅ　ｂｏｄｙ　ｋｅｙ）９０４、および一つ以上の権利サブレコード９０６を含む。好適な実施態様における制御セット０９０２は、オブジェクト３００に関連する一つ以上の「権利」に共通の情報を含んでいる。例えば、ある特定の「イベント」メソッドまたは複数のメソッドは、使用権利、抽出権利および／またはその他の権利について同一であるかも知れない。この場合、「制御セット０」９０２は、複数の「権利」にわたって共通なこのイベントを参照し得る。実際には、ＰＥＲＣ８０８の複数の「権利」レコード９０６の各々内に共通に用いられるイベントの異なるインスタンスを格納することが可能であるので、「制御セット０」９０２の提供は最適化ということになる。
【０５６０】
各権利レコード９０６は、１つのオブジェクトに対応する異なる１つの「権利」を定義する。「権利」レコード９０６は、ＰＥＲＣ８０８に存在する組織の最高レベルである。ＰＥＲＣ８０８中にはいくつかの異なる権利が存在し得る。「権利」とは、ＶＤＥ１００の基本アーキテクチャの参加者によって望まれる主要な機能的区分（ｆｕｎｃｔｉｏｎａｌ　ｐａｒｔｉｔｉｏｎ）を表す。例えば、オブジェクトを使用する権利と、オブジェクトを使用する権利を配布する権利とは、ＶＤＥ１００内における主要な機能グループをなす。可能性のある権利の例としては、コンテンツへのアクセス、コンテンツへアクセスするパーミッションを配布する権利、コンテンツおよび／または制御構造に関連する監査追跡を読みかつ処理する能力、コンテンツおよび／または関連する制御構造（銀行取引、カタログ購入、税徴収、ＥＤＩ取引など）に関連する取引または関連しない取引を行う権利、ならびに他のユーザへの配布のために作成されたＰＥＲＣの内部構造の全部または一部を変更する能力がある。ＰＥＲＣ８０８は、ＰＥＲＣが賦与（ｇｒａｎｔ）するオブジェクトアクセス／使用権利の各タイプについて、権利レコード９０６を含む。
【０５６１】
通常、ＶＤＥのエンドユーザにとって、最も頻繁に賦与される権利は使用権である。他のタイプの権利としては「抽出権」、エンドユーザの監査追跡情報にアクセスするための「監査権」、およびオブジェクトを配布するための「配布権」がある。これら各々のタイプの権利は、異なる権利レコード９０６の形で実現し得る（または１つのオブジェクトに対応する異なるＰＥＲＣ８０８を異なる権利を賦与するために用いてもよい）。
【０５６２】
各権利レコード９０６は、権利レコードヘッダ９０８、ＣＳＲ（「権利のための制御セット」）９１０、一つ以上の「権利鍵」９１２、および一つ以上の「制御セット」９１４を有している。各「権利」レコード９０６は、その「権利」の行使においてオブジェクトを制御するための必須のあるいは選択可能なオプションである、一つ以上の制御セット９１４を有している。従って、次のレベルにおいて、「権利」９０６の内側に、制御セット９１４がある。各制御セット９１４は、それ自体、制御セットヘッダ９１６、制御メソッド９１８、および一つ以上の必須メソッドレコード９２０を有する。各必須メソッドレコード９２０は、それ自体、必須メソッドヘッダ９２２および一つ以上の必須メソッドオプション９２４を有する。
【０５６３】
ＶＤＥ１００において、２つのタイプの制御セット９１４が存在する：「制御セット０」または「権利のための制御セット」というデジグネータを与えられる共通必須制御セットと、制御セットオプションのセットとである。「制御セット０」９０２は、全ての制御セットオプションに共通の必須メソッドのリストを含んでおり、共通に必須であるメソッドが各制御セットオプション内で複製されなくてもよいようになっている。「権利のための制御セット（「ＣＳＲ」）」９１０は、所与の権利内において、制御セットの同様なリストを含んでいる。「制御セット０」および任意の「権利のための制御セット」は従って、上述のように、最適化と言うことになる。各制御セットオプションにおける全ての共通の必須メソッドをリストしかつ「制御セット０」および任意の「権利のための制御セット」を省略することによっても、制御セットの関して同じ機能性が達成できる。
【０５６４】
制御セットオプションの一つ、「制御セット０」、および適切な「権利のための制御セット」は、権利を行使するために必要な完全な制御セットを、全体として形成する。
【０５６５】
各制御セットオプションは、必須メソッド１０００のリストを含み、権利が行使され得る異なる方法を表している。好適な実施態様において権利を行使する任意の１回につき、可能な完全制御セット９１４のうち１つのみが用いられる。
【０５６６】
各制御セット９１４は、作成者および／または配布者が権利を行使するための全ての要件を満足するために必要なだけの数の、必須メソッドレコード９２０を含む。権利を行使し得る複数の方法または、所与の権利が行使される方法を支配する複数の制御セットの両方が、サポートされる。例として、単一の制御セット９１４が、オブジェクトのコンテンツを読むために多数の計量および予算メソッドを必要とし、またオブジェクトのコンテンツを印刷するために異なる計量および予算を必要とするかも知れない。オブジェクトのコンテンツを読むことおよび印刷することの両方が、単一の制御セット９１４において制御され得る。
【０５６７】
または、２つの異なる制御セットオプションによっても、一方の制御セットオプションを用いて読まれたバイト数の計量および予算決めをサポートし、他方の制御セットオプションを用いて読まれた段落の数の計量および予算決めをサポートすることによって、オブジェクトのコンテンツを読むことをサポートできる。ある１つの時点においてこれらのオプションの一方または他方がアクティブとなる。
【０５６８】
典型的には、各制御セット９１４は関連メソッドの１セットを参照し、従って異なる制御セットはメソッドオプションの異なるセットを提供し得る。例えば、ある制御セット９１４は１つの種類の固有の（ｄｉｓｔｉｎｃｔ）計量方法論を表し、別の制御セットが別の全く異なる固有の計量方法論を表してもよい。
【０５６９】
次のレベルにおいて、制御セット９１４の内側に、必須メソッドレコード９２０がある。好適な実施態様において、メソッドレコード９２０は、メソッド１０００を含むか、あるいは参照する。メソッド１０００は、「イベント」の集合、これらのイベントと関連するロードモジュールへのリファレンス、スタティックデータ、および、イベントを処理するために必要であり得る他の任意の別途デリバラブルなデータエレメント（例えばＵＤＥ）の自動的な検索（ｒｅｔｒｉｅｖａｌ）のための、安全データベース６１０へのリファレンスである。制御セット９１４は、特定の権利（すなわち権利に関連する処理イベント）を行使するために用いられなければならない必須メソッドのリストを含む。制御セット９１４中にリストされた必須メソッドレコード９２０は、制御セットがサポートする、権利を行使するためのメソッドが存在しなければならないことを示す。必須メソッドは、後述の「ロードモジュール」１１００を参照し得る。簡単に言えば、ロードモジュール１１００は、必須メソッドを実行するために用い得る実行可能コードの断片である。
【０５７０】
各制御セット９１４は、その必須メソッドの１つとして、制御メソッドレコード９１８を有し得る。参照された制御メソッドは、制御セット９０６によって定義される様々なメソッド１０００の一部または全部の間の関係を、定義し得る。例えば、制御メソッドは、どの必須メソッドが、特定のイベントを処理するための機能的に同一なグループに入れられるか、および必須メソッドを処理するための順序を示し得る。従って、制御メソッドは、レコード９２０（ａ）（１）（ｉ）によって参照される必須メソッドが最初にコールされるものであり、そしてその出力はレコード９２０（ａ）（１）（ｉｉ）によって参照必須メソッドに行く、などのことを指定し得る。このようにして、計量メソッドは、１つ以上の課金メソッドに結びつけられ得、課金メソッドは異なる予算メソッドなどに個々に結びつけられ得る。
【０５７１】
必須メソッドレコード９２０は、一つ以上の必須メソッドオプション９２４を指定する。必須オプションは、好適な実施態様におけるＰＥＲＣ８０８における制御構造の最低レベルである。必須メソッドをパラメータ化し、必須メソッドオプション９２４を必須メソッドとは独立に指定することにより、必須メソッドを多くの異なる状況において再使用することが可能になる。
【０５７２】
例えば、必須メソッドレコード９２０は、その必須メソッドについての必須メソッドオプションリストの予算メソッドＩＤのリストから、実際の予算メソッドＩＤが選ばれなければならないことを示し得る。この場合の必須メソッドレコード９２０は、必須とされるメソッドのタイプに関する情報については、メソッドＩＤを含まず、あるメソッドが必須とされていることを示すだけである。必須メソッドオプション９２４は、この必須メソッドオプションが選択された場合、使用されるメソッドの、メソッドＩＤを含む。更なる最適化として、もし特定の必須メソッドに対してオプションが一つしか存在しないならば、実際のメソッドＩＤを格納してもよい。これにより、このデータ構造のサイズが減少する。
【０５７３】
ＰＥＲＣ８０８はまた、オブジェクト３００のための基本復号化鍵およびその他の任意の「権利」（例えば監査追跡を符号化および／または非符号化（ｄｅｃｏｄｉｎｇ）するための）とともに使用される鍵を含んでいる。オブジェクトコンテンツの鍵または、オブジェクトのコンテンツを復号化するために用い得る他の鍵を含むようなオブジェクトの一部を復号化するための鍵を、含んでいてもよい。鍵の使用は、ＰＥＲＣ８０８内の同じ「権利」９０６中の制御セット９１４によって制御される。
【０５７４】
より詳細には、図２６に示すＰＥＲＣ８０８は秘密本体鍵９０４、および権利鍵９１２を含んでいる。秘密本体鍵９０４は、対応するＶＤＥオブジェクト３００の秘密本体鍵８０６中に含まれる情報を復号化するために用いられる。このような情報は例えば、メソッド１０００、ロードモジュール１１００および／またはＵＤＥ１２００を含む。権利鍵９１２は、好適な実施態様において権利を行使するために用いられる鍵である。そのような鍵９１２は例えば、ＰＥＲＣ８０８によって指定されたメソッドがコンテンツを復号化してＶＤＥノードによってエンドユーザに放出することを可能にするための、暗号化鍵を含む。これらの権利鍵９１２は、好適な実施態様において、オブジェクト３００に対してユニークである。好適な実施態様において、その使用は好ましくは予算によって制御される。
ＰＥＲＣ８０８の詳細例
図２６Ａおよび２６Ｂは、好適な実施態様のＰＥＲＣ８０８の一例を示す。本例において、ＰＥＲＣヘッダ９００は、以下を有する：
サイトレコードナンバー９２６、
秘密本体鍵ブロックの長さを指定するフィールド９２８、
ＰＥＲＣの長さを指定するフィールド９３０、
ＰＥＲＣの失効日および／または時刻を指定する失効日／時刻フィールド
９３２、
ＰＥＲＣ８０８が改変された最後の日および／または時刻を指定する最終改変日／時刻フィールド９３４、
誰が元々ＰＥＲＣおよび／または対応オブジェクトを配布したかを指定する、オリジナル配布者ＩＤフィールド９３６、
誰がＰＥＲＣおよびまたはオブジェクトの最終配布者だったかを指定する最終配布者フィールド９３８、
対応するＶＤＥオブジェクト３００を識別するオブジェクトＩＤフィールド９４０、　詳細（ｐａｒｔｉｃｕｌａｒｓ）において異なり得る同じタイプのＰＥＲＣをレコードクラスが区別するための、ＰＥＲＣおよび／またはインスタンスＩＤのクラスおよび／またはタイプを指定するフィールド９４２、
ＰＥＲＣ内の「権利」サブレコード９０６の数を指定するフィールド９４４、および
有効性検査タグ９４８。
【０５７５】
図２６ａ、図２６ｂに示すＰＥＲＣ８０８はまた、秘密本体鍵ブロック９５０に格納される秘密本体鍵を有する。
【０５７６】
このＰＥＲＣ８０８は、ＰＥＲＣ内の全ての権利９０６によつて共通に使用される制御セット０サブレコード９１４（０）を有する。この制御セット０レコード９１４（０）は、以下のフィールドを有し得る：
制御セット０レコードの長さを指定する長さフィールド９５２
制御セット内の必須メソッドレコード９２０の数を指定するフィールド９５４
レコードの改変を制御するためのアクセスタグを指定するアクセスタグフィールド９５６および
一つ以上の必須メソッドレコード９２０。
【０５７７】
各必須メソッドレコード９２０は、それ自体、以下を有し得る：
必須メソッドレコードの長さを指定する長さフィールド９５８
必須メソッドレコード９２０のメソッドオプションレコード数を指定するフィールド９６０
レコードの改変を制御するためのアクセスタグを指定するアクセスタグフィールド９６２および
一つ以上の必須メソッドオプションレコード９２４。
【０５７８】
各メソッドオプションサブレコード９２４は、以下を有し得る：
メソッドオプションレコードの長さを指定する長さフィールド９６４
メソッドオプションレコードに対応するデータ領域（あれば）の長さを指定する長さフィールド９６６
メソッドＩＤ（例えばタイプ／オーナー／クラス／インスタンス）を指定するメソッドＩＤフィールド９６８
フィールド９６８で指定されたメソッドと関連付けるためのコリレーションタグを指定するコリレーションタグフィールド９７０
このレコードの改変を制御するためのアクセスタグを指定するためのアクセスタグフィールド９７２
メソッド特異的属性フィールド９７４
データ領域９７６および
有効性検査用のチェック値フィールド９７８
本例のＰＥＲＣ８０８はまた、一つ以上の権利レコード９０６および全体（ｏｖｅｒａｌｌ）チェック値フィールド９８０を有する。図２３ｂは、図１６ａに示す権利レコード９０６の一つの例である。この特定の例において、権利レコード９０６ａは、以下を有する権利レコードヘッダ９０８を有する：
権利鍵ブロック９１２の長さを指定する長さフィールド９８２
権利レコード９０８の長さを指定する長さフィールド９８４
権利レコードの失効日および／または時刻を指定する失効日／時刻フィールド９８６
権利を識別する権利ＩＤフィールド９８８
権利レコード９０６内の制御セット９１４の数を指定する数フィールド９９０、および権利レコードの改変を制御するためのアクセスタグを指定するアクセスタグフィールド９９２。
【０５７９】
本例の権利レコード９０６は、以下を有する：
この権利のための制御セット（ＣＳＲ）９１０
権利鍵ブロック９１２
一つ以上の制御セット９１４、および
チェック値フィールド９９４。
オブジェクトリジストリ（ｏｂｊｅｃｔ　ｒｅｇｉｓｔｒｙ）
図１６を再び参照して、安全データベース６１０は、「登録された」オブジェクトのための「ルックアップ」メカニズムをサポートする、データ構造を提供する。この「ルックアップ」メカニズムは、電子機器６００が、ＶＤＥオブジェクト３００を、安全な方法でＰＥＲＣ８０８、メソッド１０００およびロードモジュール１１００と対応付ける（ａｓｓｏｃｉａｔｅ）ことを可能にする。好適な実施態様において、このルックアップメカニズムは、オブジェクトリジストリ４５０内部に含まれるデータ構造に一部基づいている。
【０５８０】
一実施態様において、オブジェクトリジストリ４５０は、以下のテーブルを有する：
・オブジェクト登録テーブル４６０；
・サブジェクト（ｓｕｂｊｅｃｔ）テーブル４６２；
・ユーザ権利テーブル（「ＵＲＴ」）４６４；
・管理的イベントログ４４２；
・発送（ｓｈｉｐｐｉｎｇ）テーブル４４４；および
・受信（ｒｅｃｅｉｖｉｎｇ）テーブル４４６。
【０５８１】
本実施態様例におけるオブジェクトリジストリ４６０は、登録されたＶＤＥオブジェクト３００およびこれらオブジェクトに関するユーザおよびユーザグループの権利に関する情報のデータべースである。電子機器６００が新しい予算またはロードモジュール１１００を含むオブジェクト３００を受信するとき、電子機器は通常、オブジェクトに含まれる情報を安全データベース６１０に追加する必要がある。また、任意の新しいＶＤＥオブジェクト３００が電子機器６００に到着したとき、電子機器は、オブジェクトをオブジェクトリジストリ４５０に「登録」することによってアクセス可能にしなければならない。新しいオブジェクト３００のためのリストおよびレコードは、好適な実施態様において、オブジェクトが電子機器６００によって「登録される」ときに構築される。オブジェクトについての情報は、オブジェクトの暗号化された秘密ヘッダ、オブジェクト本体、暗号化された名前サービスレコードから得られ得る。この情報は、ＳＰＥ５０３によってオブジェクト３００から導かれても、抽出されてもよく、その後安全データベース６１０中に暗号化レコードとして格納され得る。
【０５８２】
一実施態様において、オブジェクト登録テーブル４６０は、情報識別オブジェクトを、オブジェクト格納部（ｓｔｏｒａｇｅ）（格納場所（ｒｅｐｏｓｉｔｏｒｙ））７２８内に有する。オブジェクト格納部７２８内に格納されたこれらのＶＤＥオブジェクト３００は、この実施態様例において、安全データベース６１０の必要部分ではない。なぜなら、オブジェクトは典型的には自分自身のセキュリティ（必要に応じて）を導入しており、安全データベースを維持するために用いられるものとは異なるメカニズムを用いて維持されるからである。ＶＤＥオブジェクト３００は厳密には安全データベース６１０の一部ではないかも知れないが、オブジェクトリジストリ４５０（および特にオブジェクト登録テーブル４６０）は、オブジェクトを参照（ｒｅｆｅｒ　ｔｏ）するため、結果としてオブジェクトを安全データベース６１０内に「援用」することになる。好適な実施態様において、電子機器６００は、対応登録レコードをオブジェクト登録テーブル４６０内に格納して適切に登録されていないオブジェクト３００を使用することを、不可能にされる（ｄｉｓａｂｌｅｄ）ことができる。
【０５８３】
本実施態様例におけるサブジェクトテーブル４６２は、オブジェクト登録テーブル４６０によって参照されるオブジェクトと電子機器６００のユーザ（またはユーザグループ）との間に、対応関係を確立する。サブジェクトテーブル４６２は、以下に説明するように、アクセス制御リスト（「ＡＣＬ」）の属性の多くを提供する。
【０５８４】
実施態様例におけるユーザ権利テーブル４６４は、パーミッションその他の特定のユーザまたはユーザグループに特異的な情報および、サブジェクトテーブル４６２中に述べられるオブジェクトの組み合わせを提供する。実施態様例において、パーミッションレコード８０８（図１６にも示され、安全データベース６１０内に格納されている）は、特定のオブジェクト−ユーザ組み合わせにおけるパーミッションの全体（ｕｎｉｖｅｒｓｅ）を提供し得る。ユーザ権利テーブル４６４内のレコードは、例えばオブジェクト登録時におけるインタラクション中にユーザによってなされた選択に基づいて、このパーミッション全体のサブセットを指定し得る。
【０５８５】
管理的イベントログ４４２、発送テーブル４４４、および受信テーブル４４６は、ＶＤＥオブジェクト３００の受け取りと配送に関する情報を提供する。これらのデータ構造は、電子機器６００によって送り受けされる管理的オブジェクトを追い、例えば、管理的オブジェクトの目的および動作を簡略化形式および詳細形式にしたものを含む。端的には、発送テーブル４４４は、電子機器６００によって別のオブジェクト参加者に送られた（または送ることが予定（ｓｃｈｅｄｕｌｅ）されている）各管理的オブジェクトに対する発送レコードを含む。好適な実施態様における受信テーブル４４６は、電子機器６００によって受信された（または受信されることが予定されている）各管理的オブジェクトに対する受信レコードを含む。管理的イベントログ４４２は、各発送された管理的オブジェクトおよび各受信された管理的オブジェクトに対するイベントログレコードを含み、受信された管理的オブジェクトによって指定された各別のイベントに関する詳細を含み得る。
【０５８６】
管理的オブジェクト発送および受信
図２７は、発送テーブル４４４のための詳細なフォーマットの一例を示す。好適な実施態様において、発送テーブル４４４は、ヘッダ４４４Ａおよび任意の数の発送レコード４４５を含む。ヘッダ４４４Ａは、発送テーブル４４４を維持するために使用される情報を有している。発送テーブル４４４内の各発送レコード４４５は、発送イベントに関する詳細を提供する（すなわち、別のＶＤＥ参加者への管理的オブジェクトの完了した発送であるか、管理的オブジェクトの予定された発送であるか）。
【０５８７】
本実施態様例の安全データベース６１０においては、発送テーブルヘッダ４４４Ａは、サイトレコードナンバー４４４Ａ（１）、ユーザ（またはグループ）ＩＤ　４４４Ａ（２）、一連のリファレンスフィールド４４４Ａ（３）〜４４４Ａ（６）、有効性検査タグ４４４Ａ（７）〜４４４Ａ（８）、およびチェック値フィールド４４４Ａ（９）を含み得る。一連のリファレンスフィールド４４４Ａ（３）〜４４４Ａ（６）は、発送テーブル４４４内の発送レコード４４５のリストをデジグネートする特定の最近のＩＤを、参照する。例えば、フィールド４４４Ａ（３）は、管理的オブジェクトの完了した出発側の発送（ｏｕｔｇｏｉｎｇ　ｓｈｉｐｐｉｎｇ）を表す「最初の」発送レコードを参照し、フィールド４４４Ａ（４）は、管理的オブジェクトの完了した出発側の発送を表す「最後の」発送レコードを参照し得る。この例において、「最初」および「最後」は、所望であれば、一つの例として、発送の時刻または順序を指していてもよい。同様に、フィールド４４５Ａ（５）および４４４Ａ（６）は、予定された出発側の発送の「最初」および「最後」の発送レコードを参照してもよい。有効性検査タグ４４４Ａ（７）は、ヘッダ中のユーザ（グループ）ＩＤに対応する名前サービスレコードテーブル４５２内の名前サービスレコードから、有効性検査を提供し得る。このことにより、発送レコードから、発送レコードに記述されたオブジェクトの送り手を記述する名前サービスレコードへと戻るアクセスが、可能になる。有効性検査タグ４４４Ａ（８）は、一つ以上のポインタ４４４Ａ（３）〜４４４Ａ（６）によって参照される「最初の」出発側発送レコードに対し、有効性検査を提供する。予定された発送レコードの有効性検査のために、他の有効性検査タグを提供してもよい。
【０５８８】
図示の発送レコード４４４（１）は、サイトレコードナンバー４４５（１）（Ａ）を含む。また、最初および最後の予定された発送日／時刻４４５（１）（Ｂ）、４４５（１）（Ｃ）も含んでおり、管理的オブジェクト発送のスケジューリングに使用される時刻のウィンドウを提供する。フィールド４４５（１）（Ｄ）は、管理的オブジェクトの完了した発送の実際の日付／時刻を指定する。フィールド４４５（１）（Ｅ）は、発送されたまたは発送されるべき管理的オブジェクトのＩＤを提供することによって、オブジェクト格納部７２８内のどの管理的オブジェクトがこの特定の発送レコードに属するかを識別する。リファレンスフィールド４４５（１）（Ｇ）は、名前サービスレコードテーブル４５２内の、発送されたまたは発送されるべき管理的オブジェクトの実際のまたは意図された受信者（ｒｅｃｉｐｉｅｎｔ）を指定する、名前サービスレコードを参照する。名前サービスレコードテーブル４５２内のこの情報は、例えば、図１２に示す出発側の管理的オブジェクトマネージャ７５４が、管理的オブジェクトを意図された受信者に発送するようにオブジェクトスイッチ７３４に告知（ｉｎｆｏｒｍ）することを可能にするのに十分なルーティング情報を提供してもよい。フィールド４４５（１）（Ｈ）は、管理的オブジェクトの発送の目的を指定し得（例えば一連のビットフラグを用いて）、フィールド４４５（１）（Ｉ）は発送のステータスを指定し得る。リファレンスフィールド４４５（１）（Ｊ）、４４５（１）（Ｋ）は、リンクされたリスト中の「前回」および「次回」発送レコード４４５を参照し得る（好適な実施態様において、一方が完了した発送レコード用、他方が予定された発送レコード用の、２つのリンクされたリストがあってもよい）。フィールド４４５（１）（Ｌ）〜４４５（１）（Ｐ）は各々、ヘッダ４４４Ａからの有効性検査タグ、ポインタ４４５（１）（Ｆ）によって指し示された管理的イベントログ４４２中のレコードへの有効性検査タグ、フィールド４４５（１）（Ｇ）によって参照された名前サービスレコードへの有効性検査タグ、４４５（１）（Ｊ）によって参照された前レコードからの有効性検査タグ、およびフィールド４４５（１）（Ｋ）によって参照される次レコードへの有効性検査タグを、提供してもよい。発送レコード４４５の有効性検査のためにチェック値フィールド４４５（１）（Ｑ）を用いてもよい。
【０５８９】
図２８は、受信テーブル４４６の詳細なフォーマットの一つの可能性の例を示している。一実施例において、受信テーブル４４６は、図２７に示す発送テーブル４４４の構造と同様な構造を有する。従って、例えば、受信テーブル４４６はヘッダ４４６ａおよび、各々が管理的オブジェクトの特定の受信または予定された受信に関する詳細を含む、複数の受信レコード４４７を有し得る。受信テーブル４４６は、一方が完了した受信用、他方が予定された受信用の、２つのリンクされたリストを含んでもよい。受信テーブルレコード４４７は各々、名前サービスレコードテーブル４５２内の、管理的オブジェクトの送り手を指定するエントリを参照し、管理的イベントログ４４２内のエントリを各々指し示してもよい。受信レコード４４７はまた、予定されたおよび／または完了した受信に関しての追加的な詳細（例えば予定されたまたは実際の受信日付／時刻、受信の目的および、受信のステータス）を含んでいてもよく、また各々、他の安全データベースのレコードへの参照を有効性検査するための有効性検査タグを含んでいてもよい。
【０５９０】
図２９は、管理的イベントログ４４２の詳細なフォーマットの一例を示す。好適な実施態様において、管理的イベントログ４４２は、各発送された管理的オブジェクトおよび各受信された管理的オブジェクトに対する、イベントログレコード４４２（１）．．．４４２（Ｎ）を有する。各管理的イベントログレコードは、ヘッダ４４３ａおよび、１〜Ｎのサブレコード４４２（Ｊ）（１）．．．４４２（Ｊ）（Ｎ）を有していてもよい。好適な実施態様において、ヘッダ４４３ａはサイトレコードナンバーフィールド４４３Ａ（１）、レコード長フィールド４４３Ａ（２）、管理的オブジェクトＩＤフィールド４４３Ａ（３）、イベント数を指定するフィールド４４３Ａ（４）、発送テーブル４４４または受信テーブル４４６からの有効性検査タグ４４３Ａ（５）、およびチェックサムフィールド４４３Ａ（６）を有していてもよい。フィールド４４３Ａ（４）で指定されたイベント数は、管理的イベントログレコード４４２（Ｊ）内のサブレコード４４２（Ｊ）（１）．．．４４２（Ｊ）（Ｎ）の数に対応する。これらサブレコードの各々は、フィールド４４３（Ａ）（３）内に指定された管理的オブジェクトに影響されるあるいは対応する、特定の「イベント」に関する情報を指定する。管理的イベントは、管理的イベントログ４４２内に保持されることにより、システムから送られたあるいは受信された管理的オブジェクトの再構築（および構築または処理のための準備）を可能にする。これにより、失われた管理的オブジェクトを、後に再構築することが可能になる。
【０５９１】
各サブレコードは、サブレコード長フィールド４４２（Ｊ）（１）（ａ）、データ領域長フィールド４４２（Ｊ）（１）（ｂ）、イベントＩＤフィールド４４２（Ｊ）（１）（ｃ）、レコードタイプフィールド４４２（Ｊ）（１）（ｄ）、レコードＩＤフィールド４４２（Ｊ）（１）（ｅ）、データ領域フィールド４４２（Ｊ）（１）（ｆ）、およびチェック値フィールド４４２（Ｊ）（１）（ｇ）を有していてもよい。データ領域４４２（Ｊ）（１）（ｆ）は、イベントＩＤフィールド４４２（Ｊ）（１）（ｃ）で指定されたイベントによって安全データベース６１０内のどの情報が影響されるか、またはどのような新しい安全データベースアイテムが追加されたかを示すために用いられ得、また、イベントの結果を明示（ｓｐｅｃｉｆｙ）してもよい。
【０５９２】
好適な実施態様におけるオブジェクト登録テーブル４６０は、オブジェクト格納部（格納場所）７２８内の各ＶＤＥオブジェクト３００に対応するレコードを、含む。新しいオブジェクトが到着したか、あるいは検知されたとき（例えばリダイレクタ（ｒｅｄｉｒｅｃｔｏｒ）６８４によって）、好適な実施態様における電子機器６００は、適切なオブジェクト登録レコードを作成してオブジェクト登録テーブル４６０に格納することにより、オブジェクトを「登録」する。好適な実施態様において、オブジェクト登録テーブルは、ユーザ非依存であって所与のＶＤＥ電子機器６００に登録されたオブジェクトのみに依存する情報を、格納する。登録動作は典型的には、オブジェクトに関連するＲＥＧＩＳＴＥＲメソッドによって管理される。
【０５９３】
本例において、サブジェクトテーブル４６２は、ユーザ（またはユーザのグループ）を、登録されたオブジェクトと対応付ける。例におけるサブジェクトテーブル４６２は、どのユーザがどの登録されたＶＤＥオブジェクト３００にアクセスすることを承認されているかを指定することによって、アクセス制御リストの機能を果たす。
【０５９４】
上述のように、安全データベース６１０は、各登録されたＶＤＥオブジェクト３００に対応する少なくとも一つのＰＥＲＣ８０８を、格納する。ＰＥＲＣ８０８は、対応するＶＤＥオブジェクト３００を使用またはこれにアクセスするために行使され得る、権利のセットを指定する。好適な実施態様においては、ユーザは、対応するＰＥＲＣ８０８によって承認された権利のサブセットを選択することおよび／またはＰＥＲＣ８０８によって付与される権利の一部または全部に対応するパラメータまたは選択を指定することによって、そのアクセス権利を「カスタマイズ」することが可能にされる。これらのユーザによる選択は、好適な実施態様において、ユーザ権利テーブル４６４中において述べられる。ユーザ権利テーブル（ＵＲＴ）４６４は、各々が一人のユーザ（またはユーザグループ）に対応する、ＵＲＴレコードを有する。これらのＵＲＴレコードの各々は、対応するＶＤＥオブジェクト３００についての、ユーザ選択を指定する。これらのユーザ選択は、独立にまたはＰＥＲＣ８０８と協力して、ＵＲＴレコード内に含まれる選択によって指定される方法で、ＰＥＲＣ８０８によってユーザに付与された権利を行使するために、一つ以上のメソッド１０００を参照し得る。
【０５９５】
図３０は、これらの様々なテーブルが、互いに相互作用して安全データベースルックアップメカニズムを提供する様子を示す、一例である。図３０に図示するオブジェクト登録テーブル４６０は、複数のオブジェクト登録レコード４６０（１）、４６０（２）、．．．を有する。これらのレコードは、オブジェクト格納場所７２８内に格納されたＶＤＥオブジェクト３００（１）、３００（２）．．．に対応する。図３１は、好適な実施態によって提供されるオブジェクト登録レコード４６０のフォーマットの一例を示す。オブジェクト登録レコード４６０（Ｎ）は、以下のフィールドを含み得る：
サイトレコードナンバーフィールド４６６（１）
オブジェクトタイプフィールド４６６（２）
作成者ＩＤフィールド４６６（３）
オブジェクトＩＤフィールド４６６（４）
サブジェクトテーブル４６２を参照するリファレンスフィールド４６６（５）
属性フィールド４６６（６）
最小登録インタバルフィールド４６６（７）
サブジェクトテーブルレコードへのタグ４６６（８）、および
チェック値フィールド４６６（９）。
【０５９６】
サイトレコードナンバーフィールド４６６（１）は、このオブジェクト登録レコード４６０（Ｎ）に対するサイトレコードナンバーを指定する。安全データベース６１０の一実施態様において、安全データベース内に格納された各レコードは、サイトレコードナンバーによって識別される。このサイトレコードナンバーは、安全データベース６１０内の全てのレコードを追うために、データベースルックアッププロセスの一部として、用い得る。
【０５９７】
オブジェクトタイプフィールド４６６（２）は、ＶＤＥオブジェクト３００のタイプを指定し得る（例えばコンテンツオブジェクト、管理的オブジェクトなど）。
【０５９８】
本例における作成者ＩＤフィールド４６６（３）は、対応するＶＤＥオブジェクト３００の作成者を識別し得る。
【０５９９】
本例におけるオブジェクトＩＤフィールド４６６（４）は、登録されたＶＤＥオブジェクト３００をユニークに識別する。
【０６００】
好適な実施態様におけるリファレンスフィールド４６６（５）は、サブジェクトテーブル４６２中のレコードを識別する。このリファレンスの使用により、電子機器６００は、サブジェクトテーブル４６２にリストされている、対応するＶＤＥオブジェクト３００にアクセスすることを承認された全てのユーザ（またはユーザグループ）を決定し得る。タグ４６６（８）は、フィールド４６６（５）を用いてアクセスされたサブジェクトテーブルレコードが、オブジェクト登録レコード４６０（Ｎ）とともに用いられる適切なレコードであることの有効性検査のために、用い得る。
【０６０１】
属性フィールド４６６（６）は、ＶＤＥオブジェクト３００に対応する一つ以上の属性または属性フラグを、格納し得る。
【０６０２】
最小登録インタバルフィールド４６６（７）は、エンドユーザがＶＤＥオブジェクト３００のユーザとして、情報交換所サービス、ＶＤＥ管理者、またはＶＤＥプロバイダに何回再登録し得るかを指定し得る。頻繁な再登録を防ぐことの一つの理由は、ユーザが、移動オブジェクト（ｔｒａｖｅｌｉｎｇ　ｏｂｊｅｃｔ）において予算量を再使用することを、指定された時間が経過するまで禁止する（ｆｏｒｅｃｌｏｓｅ）ことである。オブジェクトのオーナーが再登録を制限したくないときは、最小登録インタバルフィールド４６６（７）は、未使用にしておいてもよい。
【０６０３】
チェック値フィールド４６６（９）は、レコードの安全性および完全性を確実にするためにレコード４６０（Ｎ）の不正化（ｃｏｒｒｕｐｔｉｏｎ）または改変を検知するために使用される、有効性検査情報を含んでいる。好適な実施態様において、（安全データベース６１０内の他のレコードと同様に）レコード４６０（Ｎ）内の多くのまたは全てのフィールドは、全体的にあるいは部分的に暗号化されているか、および／または各レコードに冗長に格納されたフィールドを含んでいる（非暗号化形態で一度、および暗号化形態でもう一度）。同じフィールドの暗号化バージョンおよび非暗号化バージョンは、レコードの不正または改変を検知するために、様々な時点においてクロスチェックされる。
【０６０４】
上述のように、リファレンスフィールド４６６（５）は、サブジェクトテーブル４６２を参照し、特に、サブジェクトテーブル内の一つ以上のユーザ／オブジェクトレコード４６０（Ｍ）を参照する。図３２は、本例で提供されるユーザ／オブジェクトレコード４６２（Ｍ）のためのフォーマットの一例を示す。レコード４６２（Ｍ）は、ヘッダ４６８およびサブジェクトレコード部４７０を有し得る。ヘッダ４６８は、サブジェクト登録テーブル４６２内に含まれる「最初の」サブジェクトレコード４７０を参照するフィールド４６８（６）を含み得る。「最初の」サブジェクトレコード４７０（１）は、それ自身、サブジェクト登録テーブル４６２内の「次の」サブジェクトレコード４７０（２）を参照するリファレンスフィールド４７０（５）を含み得る、と続いていく。この「リンク化リスト」構造により、単一のオブジェクト登録レコード４６０（Ｎ）が１〜Ｎのサブジェクトレコード４７０を参照することが可能になる。
【０６０５】
本例におけるサブジェクト登録テーブルヘッダ４６８は、ヘッダを安全データベース６１０内のレコードとしてユニークに識別し得る、サイトレコードナンバーフィールド４６８（１）を有している。ヘッダ４６８はまた、オブジェクト登録テーブル作成者ＩＤフィールド４６６（３）のコンテンツのコピーであってもよい、作成者ＩＤフィールド４６８（２）を有し得る。同様に、サブジェクト登録テーブルヘッダ４６８は、オブジェクト登録テーブル４６０内のオブジェクトＩＤフィールド４６６（４）のコピーであってもよい、オブジェクトＩＤフィールド４６８（５）を有し得る。これらのフィールド４６８（２）、４６８（５）は、ユーザ／オブジェクト登録レコードを、明示的に（ｅｘｐｌｉｃｉｔｌｙ）特定のＶＤＥオブジェクト３００に対応させる。
【０６０６】
ヘッダ４６８はまた、有効性検査を可能にするタグ４６８（７）を有し得る。一構成例において、ユーザ／オブジェクト登録ヘッダ４６８内のタグ４６８（７）は、このユーザ／オブジェクト登録ヘッダを指し示すオブジェクト登録レコード４６０（Ｎ）内のタグ４６６（８）と同じであってもよい。これらタグ４６８（７）および４６６（８）間の対応により、オブジェクト登録レコードおよびユーザ／オブジェクト登録ヘッダがマッチすることの、有効性検査が可能になる。
【０６０７】
ユーザ／オブジェクトヘッダ４６８はまた、対応ＶＤＥオブジェクト３００の元々の配布者を示すオリジナル配布者ＩＤフィールド４６８（３）と、オブジェクトの処理チェーン中において、電子機器６００に受け取られる以前の最終配布者を示す最終配布者ＩＤフィールド４６８（４）とを、含んでいる。
【０６０８】
ヘッダ４６８はまた、ヘッダと、フィールド４６８（６）が参照する「最初の」サブジェクトレコード４７０（１）との間の有効性検査を可能にする、タグ４６８（８）を含んでいる。
【０６０９】
サブジェクトレコード４７０（１）は、サイトレコードナンバー４７２（１）、ユーザ（またはユーザグループ）ＩＤフィールド４７２（２）、ユーザ（またはユーザグループ）属性フィールド４７２（３）、ユーザ権利テーブル４６４を参照するフィールド４７２（４）、（存在すれば）「次の」サブジェクトレコード４７０（２）を参照するフィールド４７２（５）、ヘッダタグ４６８（８）によって有効性検査を行うために使用されるタグ４７２（６）、フィールド４７２（４）によって参照されるユーザ権利テーブルレコード中の対応タグによって有効性検査を行うために使用されるタグ４７２（７）、フィールド４７２（５）によって参照される「次の」サブジェクトレコードタグによって有効性検査を行うために使用されるタグ４７２（９）、およびチェック値フィールド４７２（９）を有している。
【０６１０】
ユーザまたはユーザグループＩＤ４７２（２）は、フィールド４６８（５）中で識別されるオブジェクトを使用することを承認されたユーザまたはユーザグループを、識別する。このように、フィールド４６８（５）および４７２（２）は共に、サブジェクトテーブル４６２によって提供されるアクセス制御リストの中核を形成する。ユーザ属性フィールド４７２（３）は、フィールド４７２（２）に指定されたユーザまたはユーザグループによるオブジェクト３００の使用／アクセスに属する属性を、指定し得る。「リンク化リスト」構造中に追加的なサブジェクトレコード４７０を設けることにより、任意の数の異なるユーザまたはユーザグループが、アクセス制御リスト（各々は異なる属性セット４７２（３）を有する）に追加され得る。
【０６１１】
サブジェクトレコードリファレンスフィールド４７２（４）は、ユーザ権利テーブル４６４内の一つ以上のレコードを参照する。図３３は、ユーザ権利テーブルレコード４６４（ｋ）の、好適なフォーマットの一例を示す。ユーザ権利レコード４６４（ｋ）は、ＵＲＴヘッダ４７４、レコード権利ヘッダ４７６、およびユーザ選択レコード４７８のセットを有し得る。ＵＲＴヘッダ４７４は、サイトレコードナンバーフィールド、ＵＲＴレコード４６４（ｋ）内の権利レコード数を指定するフィールド４７４（２）、「最初の」権利レコード（すなわち権利レコードヘッダ４７６）を参照するフィールド４７４（３）、サブジェクトテーブル４６２からのルックアップの有効性検査に使用されるタグ４７４（４）、権利レコードヘッダ４７６に対するルックアップの有効性検査に使用されるタグ４７４（５）、およびチェック値フィールド４７４（６）を有する。
【０６１２】
好適な実施態様における権利レコードヘッダ４７６は、サイトレコードナンバーフィールド４７６（１）、権利ＩＤフィールド４７６（２）、「次の」権利レコード４７６（２）を参照するフィールド４７６（３）、ユーザ選択レコード４７８（１）の最初のセットを参照するフィールド４７６（４）、ＵＲＴヘッダタグ４７４（５）による有効性検査を可能にするタグ４７６（５）、ユーザ選択レコードタグ４７８（６）による有効性検査を可能にするタグ４７６（６）、およびチェック値フィールド４７６（７）を有し得る。権利ＩＤフィールド４７６（２）は、例えば、権利レコード４７６によって伝えられる（ｃｏｎｖｅｙｅｄ）権利（例えば、使用する権利、配布する権利、読む権利、監査する権利など）のタイプを指定し得る。
【０６１３】
権利レコードヘッダ４７６によって参照される一つ以上のユーザ選択レコード４７８は、対応するＶＤＥオブジェクト３００へのアクセスおよび／または使用に対応する、ユーザ選択を表示する。対応するユーザまたはユーザグループに対して承認された各権利に対して、典型的には一つの権利レコード４７６が存在する。これらの権利は、そのユーザまたはユーザグループによるＶＤＥオブジェクト３００の使用を支配する。例えば、ユーザは「アクセス」権利および「抽出」権利は有しても、「コピー」権利は有さないかも知れない。権利レコード４７６（好適な実施態様においてはＲＥＧＩＳＴＥＲメソッドを用いてＰＥＲＣ８０８から導かれる）によって制御される他の権利には、配布権利、監査権利、および価格付け権利（ｐｒｉｃｉｎｇ　ｒｉｇｈｔ）がある。オブジェクト３００が電子機器６００に登録され、特定のユーザまたはユーザグループに登録されたとき、ユーザは、ＰＥＲＣ８０８に表示された様々な使用メソッド中からの選択を許可され得る。例えば、ＶＤＥオブジェクト３００は、２つの計量方法を必要とし得る。すなわち、課金目的のための一つと、ユーザによって使用されたプロモーションマテリアルに関するデータを蓄積するためのもう一つとである。ユーザは、様々な計量／課金メソッドの選択を許され得る。例えば、ＶＩＳＡによる支払いか、あるいはＭａｓｔｅｒＣａｒｄによる支払いか；情報データベースから検索されたマテリアルの量に基づく課金か、使用時間に基づく課金か、および／またはその両方による課金かなどである。ユーザは、そのコンテンツの検索に関するある種の詳細を第三者に提供すること（例えば人口統計学目的のために）に同意するならば、時間制および／または従量制課金において割引を受け得る。オブジェクトおよび／またはそのオブジェクトのユーザの登録時に、ユーザは、最初に得る計量用の「アクティブな計量メソッド」として、特定の計量方法を選択するように訊ねられるであろう。ＶＤＥ配布者は、ユーザ用の利用可能な選択肢の全体（ｕｎｉｖｅｒｓｅ）を、ＰＥＲＣ８０８によって規定されるオリジナル選択アレイのサブセットに狭め得る。これらのユーザ選択およびコンフィギュレーション設定は、ユーザ選択レコード４８０（１）、４８０（２）、４８０（Ｎ）に格納される。ユーザ選択レコードは、ユーザ権利テーブル４６４内に明示的に述べられる必要はなく、代わりに、ユーザ選択レコード４８０が、特定のＶＤＥメソッドおよび／またはそれらメソッドをパラメータ化する情報を参照する（例えばサイトリファレンスナンバーによって）ことも可能である。そのようなユーザ選択レコード４８０によるメソッド１０００への参照は、ユーザ選択レコード内に含まれる有効性検査タグによって有効性検査されなけばならない。このようにして、好適な実施態様におけるユーザ選択レコード４８０は、対応するＶＤＥオブジェクト３００（図２７に示すように）に使用するための一つ以上のメソッド１０００を、選択し得る。これらのユーザ選択レコード４８０は、それ自体、メソッド１０００およびメソッドを実現するための適切なコンポーネントアセンブリ６９０を構築するために用いられるその他の情報を、完全に定義し得る。または、ユーザ権利レコード４６４を参照するために用いられるユーザ／オブジェクトレコード４６２は、ＶＤＥオブジェクト３００に対応するＰＥＲＣ８０８を参照することによって、コンポーネントアセンブリ６９０を構築するために必要な追加的な情報を提供したり、および／または他にもＶＤＥオブジェクト３００にアクセスし得る。例えば、ＰＥＲＣ８０８は、選択されたメソッド、オブジェクトコンテンツの復号化用および／または暗号化用の、秘密本体および／または権利鍵に属するＭＤＥ１２０２を得るためにアクセスされ得、また、ユーザ権利レコードが、ＰＥＲＣ内に実現される現在の承認機構（ａｕｔｈｏｒｉｚａｔｉｏｎ）によって承認された権利のみを伝えることを確実にするためのチェック能力を提供するためにも使用され得る。
【０６１４】
本発明の一実施態様において、安全データベース６１０を格納しかつ組織化するために従来のデータベースエンジンを用いることができ、上述の暗号化層は、従来のデータベース構造の「上に」（ｏｎ　ｔｏｐ　ｏｆ）位置してもよい。しかし、そのような従来のデータベースエンジンが、安全データベース６１０中のレコードを組織化して上述したセキュリティ上の考慮事項をサポートすることが不可能な場合、電子機器６００が、別のインデックス化構造を暗号化形態で維持してもよい。これらの別のインデックス化構造は、ＳＰＥ５０３によって維持することができる。この実施態様は、ＳＰＥ５０３が、インデックスを復号化し、復号化されたインデックスブロックをサーチして適切な「サイトレコードＩＤ」その他のポインタを探すことを必要とする。次にＳＰＥ５０３は示されたレコードを、従来のデータベースエンジンから要求してもよい。もしレコードＩＤをレコードリストに対してチェックし得ない場合、ＳＰＥ５０３は、所望のレコードを検索できるようにデータファイル自体を求めることが必要になるかもしれない。ＳＰＥ５０３はその場合、ファイルが不正改変されていず、適正なブロックがリターンされることを確実にするために、適切な認証を行う。ＳＰＥ５０３は、単純にインデックスを従来のデータベースエンジンに渡してはいけない（データベースエンジン自体が安全でない限り）。なぜなら、そうすることにより、要求されたレコードが不正な（ｉｎｃｏｒｒｅｃｔ）レコードに交換されることを許してしまうからである。
【０６１５】
図３４は、上述のサイトレコードナンバーが安全データベース６１０内の様々なデータ構造にアクセスするために使用され得る様子の一例を示す。この例において、安全データベース６１０は更に、複数のサイトレコードナンバーを格納するサイトレコードテーブル４８２を有する。サイトレコードテーブル４８２は、安全データベース６１０内の全てのレコードのいわば「マスターリスト」を格納し得る。サイトレコードテーブル４８２に格納されるこれらのサイトレコードナンバーは、安全データベース６１０内の任意のレコードへのアクセスを可能にする。このようにして、サイトレコードテーブル４８２内のサイトレコードの一部はオブジェクト登録テーブル４６０内のレコードをインデックスし、サイトレコードテーブル内の他のサイトレコードナンバーはユーザ／オブジェクトテーブル４６２内のレコードをインデックスし、サイトレコードテーブル内のさらに他のサイトレコードナンバーはＵＲＴ４６４内のレコードにアクセスし、サイトレコードテーブル内のさらに他のサイトレコードナンバーはＰＥＲＣ８０８にアクセスし得る。さらに、メソッドコア１０００’の各々は、サイトレコードテーブル４８２にアクセスされ得るように、サイトレコードナンバーを有し得る。
【０６１６】
図３４Ａは、サイトレコードテーブル４８２内のサイトレコード４８２（ｊ）の一例を示す。サイトレコード４８２（ｊ）は、レコードのタイプを示すフィールド４８４（１）、レコードのオーナーまたは作成者を示すフィールド４８４（２）、サイトレコード４８２（ｊ）が指し示すレコードに関する追加的な情報を提供する「クラス」フィールド４８４（３）および「インスタンス」フィールド４８４（４）；レコードに関連する何らかの特異的なデスクリプタ（例えばオブジェクトＩＤ）を示す特異的デスクリプタフィールド４８４（５）；テーブルその他の、サイトレコードが参照するデータ構造の識別子（ｉｄｅｎｔｉｆｉｃａｔｉｏｎ）４８４（６）；レコードが開始する場所を示す、そのデータ構造内の参照および／またはオフセット；ルックアップされているレコードの有効性検査を行うための有効性検査タグ４８４（８）、およびチェック値フィールド４８４（９）を有し得る。フィールド４８４（６）および４８４（７）は共に、サイトレコード４８４（ｊ）によって参照されるレコードが実際に物理的に安全データベース６１０内に位置するためのメカニズムを提供し得る。
【０６１７】
安全データベース６１０の更新
図３５は、情報交換所、ＶＤＥ管理者またはその他ＶＤＥ参加者によってエンドユーザの電子機器６００に維持されている安全データベース６１０を更新するために使用され得るプロセス１１５０の一例を示す。例えば、図３５に示すプロセス１５００は、安全データベース６１０内の「監査追跡」レコードを収集し、および／またはエンドユーザの要求に応じて新しい予算およびパーミッション（例えばＰＥＲＣ８０８）を提供するために、使用され得る。
【０６１８】
典型的には、エンドユーザの電子機器６００は、情報交換所（ブロック１１５２）と通信を開始し得る。この接触（ｃｏｎｔａｃｔ）は、例えば、ユーザコマンドに応答して、もしくは自動的に確立され得る。電子ハイウェイ１０８を介して開始されてもよく、また、他の通信ネットワークを介して、例えばＬＡＮ、ＷＡＮ、双方向ケーブルまたはポータブルメディアによる交換（ｅｘｃｈａｎｇｅ）を行って、電子機器間で開始され得る。管理情報の交換プロセスは、一回の「オンライン」セッション中で行われる必要はなく、ある時間にわたって、いくつかの異なる一方向および／または双方向通信に基づき、同じまたは異なる通信手段上で行われてもよい。しかし、図３５に示すプロセス１１５０は、エンドユーザの電子機器６００およびその他のＶＤＥ参加者（例えば情報交換所）が、電話線、ネットワーク、電子ハイウェイ１０８などを介して双方向リアルタイムインタラクティブ通信交換を行う、具体的な例である。
【０６１９】
エンドユーザの電子機器６００は一般に、特定のＶＤＥ管理者または情報交換所に接触する。特定の情報交換所の識別は、ユーザがアクセスしたいあるいはすでにアクセスしたＶＤＥオブジェクト３００に基づく。例えば、ユーザがすでに特定のＶＤＥオブジェクト３００にアクセスし、さらなるアクセスを行うための予算を使い切ってしまったとする。ユーザは、その特定のオブジェクトに責任を有するＶＤＥ管理者、配布者および／または金融情報交換所（ｆｉｎａｎｃｉａｌ　ｃｌｅａｒｈｏｕｓｅ）にユーザの電子機器６００を自動的に接触させるような、要求を発することができる。接触すべき適切なＶＤＥ参加者の識別は、本例において、例えば、ＵＤＥ１２００、ＭＤＥ１２０２、オブジェクト登録テーブル４６０および／またはサブジェクトテーブル４６２内の情報によって提供される。電子機器６００は、複数のＶＤＥ参加者に接触しなければならないかも知れない（例えば、監査レコードをある参加者に配布し、追加的な予算その他のパーミッションを別の参加者から得るためなど）。接触１１５２は、一例において、図２７の発送テーブル４４４および図２９の管理的イベントログ４４２に基づいてスケジューリングされ得る。
【０６２０】
いったん接触が確立されると、エンドユーザの電子機器および情報交換所は、典型的には、互いに認証しあい、リアルタイム情報交換で用いるセッション鍵について合意する（ブロック１１５４）。いったん安全な接続が確立されると、エンドユーザの電子機器は、（例えば発送テーブル４４４に基づいて）情報交換所に送るべき監査情報を含む管理的オブジェクトを有するものであるか否かを、決定し得る（決定ブロック１１５６）。いくつかのＶＤＥオブジェクト３００に属する監査情報が、同じ送信用の管理的オブジェクト内に置かれてもよいし、異なる管理的オブジェクトは異なるオブジェクトに関する監査情報を含んでいてもよい。エンドユーザの電子機器がこの特定の情報交換所に送るべきそのような管理的オブジェクトを少なくとも一つ有しているとすると（決定ブロック１１５６の「ｙｅｓ」出口）、電子機器は、今回確立された安全なリアルタイム通信を介して、その管理的オブジェクトを情報交換所に送る（ブロック１１５８）。一つの具体的例として、単一の管理的オブジェクトが、各異なるオブジェクトについての監査情報が管理的オブジェクト内の別の「イベント」を侵犯する（ｃｏｍｐｒｏｍｉｓｅ）ような複数のＶＤＥオブジェクトに属する監査情報を含む管理的オブジェクトとして、送られ得る。
【０６２１】
情報交換所は、管理的オブジェクトを受信し、そのコンテンツを処理してコンテンツが「有効」（ｖａｌｉｄ）で「正当」（ｌｅｇｉｔｉｍａｔｅ）なものであるか否かを決定する。例えば、情報交換所は、含まれた監査情報を分析して、該当するＶＤＥオブジェクト３００の不適正使用（ｍｉｓｕｓｅ）を示すか否かを決定する。情報交換所は、この分析の結果として、一つ以上の応答（ｒｅｓｐｏｎｓｉｖｅ）管理的オブジェクトを生成し、そしてエンドユーザの電子機器６００に送り得る（ブロック１１６０）。エンドユーザの電子機器６００は、受信された管理的オブジェクトに基づいてその安全データベース６１０および／またはＳＰＵ５００コンテンツを更新するイベントを、処理し得る（ブロック１１６２）。例えば、情報交換所が受信した監査情報が正当であれば、情報交換所は、電子機器に送信された監査情報を削除および／または圧縮することを要求する、管理的オブジェクトをエンドユーザの電子機器６００に送り得る。これに代えてあるいは追加的に、情報交換所は、この段階でエンドユーザ電子機器６００から追加的な情報を要求し得る（例えば初期の送信中に不正化した特定の情報の再送信、以前には送信されなかった追加的な情報の送信）。もし情報交換所が受信した監査情報に基づいて不正使用を検知した場合は、エンドユーザが関連ＶＤＥオブジェクト３００にさらにアクセスする権利を取り消しその他改変する管理的オブジェクトを、送信し得る。
【０６２２】
情報交換所は、これに代えてあるいは追加的に、エンドユーザの電子機器６００に、電子機器が一つ以上のメッセージを表示するように命令する管理的オブジェクトを、送り得る。これらのメッセージは、ユーザに特定の状態（ｃｏｎｄｉｔｉｏｎｓ）を告知し、および／またはユーザから追加的な情報を要求し得る。例えば、メッセージはエンドユーザに、電話その他により情報交換所に直接接触して表示された問題を解決するように指示してＰＩＮを入力したり、またはユーザに新しいサービス会社に接触して関連ＶＤＥオブジェクトを再登録することを、指示し得る。または、メッセージは、オブジェクトに関して新しい使用許可を得る必要があることをエンドユーザに告げ、ユーザに費用、ステータスその他の関連情報を告知し得る。
【０６２３】
同じまたは異なる通信交換中に、同じまたは異なる情報交換所が、ＶＤＥオブジェクト３００に属する追加的な予算および／またはパーミッションを求めるエンドユーザの要求を、扱い得る。例えば、エンドユーザの電子機器６００（例えば、特定のＶＤＥオブジェクト３００にアクセスを求めるユーザ入力要求に応答して）は、情報交換所に、アクセスを可能にするための予算および／またはその他のパーミッションを要求する、管理的オブジェクトを送り得る（ブロック１１６４）。上述のように、そのような要求は、一つ以上の管理的オブジェクトの形態、例えば、同じまたは異なるＶＤＥオブジェクト３００のための、複数の要求された予算および／またはその他のパーミッションに関連する複数の「イベント」を有する、単一の管理的オブジェクトで送信され得る。情報交換所は、そのような要求を受信すると、エンドユーザのクレジット、財政レコード、ビジネス契約（ａｇｒｅｅｍｅｎｔ）および／または監査履歴をチェックすることにより、要求された予算および／またはパーミッションが与えられるべきか否かを決定する。情報交換所は、この分析に基づいて、イベントユーザの電子機器６００にその安全データベースを応答して更新させる、一つ以上の応答管理的オブジェクトを送り得る（ブロック１１６６、１１６８）。この更新は、例えば、失効したＰＥＲＣ８０８を新しいものにリプレースすること、追加的な（またはより少ない）権利を提供するようにＰＥＲＣを改変すること、などを含み得る。ステップ１１６４〜１１６８は、同じまたは異なる通信において複数回繰り返されることによって、更なる更新物をエンドユーザの安全データベース６１０に提供し得る。
【０６２４】
図３６は、新しいレコードまたはエレメントが安全データベース６１０中に挿入され得る様子の一例を示す。図３５に示すロードプロセス１０７０は、ロードされた各データエレメントまたはアイテムを、不正改変、リプレース、あるいは置換されていないことを確実にするためチェックする。図３５に示すプロセス１０７０において、最初に行われるべきステップは、電子機器６００の現在のユーザがアイテムを安全データベース６１０に挿入することを承認されているか否かをチェックすることである（ブロック１０７２）。このテストは、好適な実施態様において、適切なメソッド１０００およびＵＤＥ１２００などのその他のデータ構造をＳＰＥ５０３にロードすること（あるいはすでにロードされたものを使用する）によって、安全データベース６１０（ブロック１０７４）にその変更を加えることのユーザ承認を認証することを包含し得る。もしユーザが安全データベース６１０にその変更を行うことを承認されていることが認められれば、ＳＰＥ５０３は、安全データベースに追加されるべきエレメントを復号化して（ブロック１０７６）損傷を受けたか不正化したか（ブロック１０７８）を決定することにより、その完全性をチェックし得る。エレメントは、所定の管理ファイル鍵（ｍａｎａｇｅｍｅｎｔ　ｆｉｌｅ　ｋｅｙ）を用いて、正しく復号化されることを確かめるためにチェックされ、チェック値が有効性検査され得る。また、正しいエレメントが供給されかつ置換されていないことを確実にするため、公開および秘密ヘッダＩＤタグ（もし存在すれば）が比較され得、ユニークなエレメントタグＩＤが所定のエレメントタグに対して比較され得る。もしこれらのテストのうちいずれかに失敗すれば、エレメントは自動的に拒絶され、エラー訂正などが行われる。エレメントが完全性を有することが見いだされれば、ＳＰＥ５０３は、例えば新しい鍵を用いて、情報を再暗号化（ブロック１０８０）し得る（下記の図３７の説明を参照）。同じプロセスステップにおいて、適切なタグが好ましくは提供され、情報が適切なタグを含むセキュリティラッパ（ｗｒａｐｐｅｒ）内において暗号化される（ブロック１０８２）。ＳＰＥ５０３は、適切なタグ情報を保持することにより、後にアイテムが再び安全データベース６１０（ブロック１０８４）から読まれた際に、有効性検査を行うその他によりアイテムを認証し得る。セキュリティラッパ内の今や安全となったエレメントは次に、安全データベース６１０内に格納され得る。
【０６２５】
図３７は、好適な実施態様におけるデータベースで、安全データベース６１０に格納されたアイテムに安全にアクセスするために用いられる、プロセス１０５０の一例を示す。好適な実施態様において、ＳＰＥ５０３はまず安全データベース６１０レコードからのアイテムにアクセスしてこれを読み込む（ｒｅａｄ　ｉｎ）。ＳＰＥ５０３は、安全データベース６１０からの暗号化された形態にあるこの情報を読み、ＳＰＵ５００のプロテクテッドメモリに内部的に格納されたアクセス鍵に基づいてこれを復号化する（ブロック１０５３）ことによって、「開梱（ｕｎｗｒａｐ）」し得る（ブロック１０５２）。好適な実施態様において、この「開梱」プロセス１０５２は、暗号化／復号化エンジン５２２に、情報ブロックを管理ファイル鍵および復号化に必要なその他の必要な情報とともに送ることを、包含する。復号化エンジン５２２は「平文（ｐｌａｉｎｔｅｘｔ）」情報をリターンし得、ＳＰＥ５０３がこれをチェックすることによりオブジェクトのセキュリティが破られていなくオブジェクトが使用されるべき正しいオブジェクトであることを確実にする（ブロック１０５４）。読み込みエレメントが置換されていないことを確実にし他のセキュリティ上の脅威に対して保護するために、ＳＰＥ５０３は次に、全てのコリレーションおよびアクセスタグをチェックし得る（ブロック１０５４）。この「チェック」プロセスの一部は、安全データベース６１０から得たタグを、安全なメモリまたはＳＰＵ５００内に含まれるタグに対してチェックすることを包含する（ブロック１０５６）。ＳＰＵ５００内に格納されたこれらのタグは、ＳＰＵのプロテクテッドメモリからアクセスされ得（ブロック１０５６）、今や開梱されたオブジェクトをさらにチェックするために用いられ得る。この「チェック」プロセス１０５４によっても何らの不適さ（ｉｍｐｒｏｐｒｉｅｔｙ）が示されないとき（かつブロック１０５２もオブジェクトが不正化その他の損傷を受けていないことを示しているとき）、ＳＰＥ５０３はアイテムにアクセスしたりその他使用する（ブロック１０５８）。アイテムの使用が完了すると、ＳＰＥ５０３は、アイテムが変更されたのであればもう一度安全データベース６１０内に格納する必要があり得る。もしアイテムが変更されていれば、ＳＰＥ５０３は、アイテムをその変更された形態で、暗号化のために暗号化／復号化エンジン５２２に送る一方、オブジェクトが適切に暗号化されるように、適切な必要情報（例えば適切な同じまたは異なる管理ファイル鍵およびデータ）を暗号化／復号化エンジンに提供する（ブロック１０６０）。この段階において、アイテムセキュリティラッパをユニークにタグ付けおよび／または暗号化するために、ユニークな新しいタグおよび／または暗号化鍵を用い得る（ブロック１０６２。図３７の詳細な下記説明も参照）。オブジェクトが再び安全データベース６１０から読まれたときにＳＰＥがオブジェクトを復号化して有効性検査を行うことができるように、ＳＰＥ５０３は、ＳＰＵ５００のプロテクテッドメモリ内に鍵および／またはタグのコピーを保持してもよい（ブロック１０６４）。
【０６２６】
安全データベース６１０レコードを復号化するための鍵は、好適な実施態様においては、ＳＰＵ５００のプロテクテッドメモリの中にのみ維持される。ＳＰＵ５００を出る各インデックスまたはレコード更新物は、タイムスタンプを受け、ＳＰＥ５０３によって決定されるユニークな鍵によって暗号化される。例えば、レコードが次に検索されたときにどの鍵を使用すべきかをＳＰＥ５０３が決定できるように、安全データベース６１０のレコードの前に、鍵識別ナンバーを「普通に見えるように（ｉｎ　ｐｌａｉｎ　ｖｉｅｗ）」置いてもよい。ＳＰＥ５０３は、レコードまたはインデックスのサイトＩＤ、それに関連付けられた鍵識別ナンバー、およびＳＰＥ内部のリスト中の実際の鍵を維持することが可能である。ある時点で、この内部リストは満杯になるかも知れない。この時点において、ＳＰＥ５０３は、変更された情報を含む安全データベース６１０内のアイテムを再暗号化する、メンテナンスルーチンをコールし得る。変更された情報を含むデータ構造中のアイテムの一部または全部が、読み込まれ、暗号化され、次に同じ鍵を用いて再復号化され得る。これらのアイテムには、その際同じ鍵識別ナンバーが発行され得る。これらのアイテムは次に、ＳＰＥ５０３から再び安全データベース６１０に書き出され得る。ＳＰＥ５０３はその後、アイテムＩＤおよび対応鍵識別ナンバーの内部リストをクリアし得る。次に、各新しいまたは変更されたアイテムに異なる鍵および新しい鍵識別ナンバーを割り当てるプロセスを、再び開始し得る。このプロセスを用いることにより、ＳＰＥ５０３は、安全データベース６１０の（インデックスを含む）データ構造を、古いアイテムによる置換および、現在のアイテムのインデックスの置換から、保護できる。このプロセスはまた、検索されたアイテムＩＤを、期待されるＩＤの暗号化されたリストに対して、ＳＰＥ５０３が有効性検査することを可能にする。
【０６２７】
図３８は、このプロセスをより詳細に示すフローチャートである。安全データベース６１０のアイテムが更新または改変されたときは必ず、更新されたアイテムに対して新しい暗号化鍵が発生されることが可能である。新しい鍵を用いた暗号化は、セキュリティを加え、安全データベース６１０レコードのバックアップコピーの不適正使用を防ぐために行われる。各更新された安全データベース６１０レコードの新しい暗号化鍵は、ＳＰＵ５００の安全なメモリ内に、該当する安全データベースレコード（単数または複数）の識別子（ｉｄｅｎｔｉｆｉｃａｔｉｏｎ）とともに、格納され得る。
【０６２８】
ＳＰＥ５０３は、安全データベース６１０内に格納しようとする各新しいアイテムに対して、新しい暗号化／復号化鍵を発生し得る（ブロック１０８６）。ＳＰＥ５０３は、この新しい鍵を、安全データベースに格納する前に暗号化するために使用し得る（ブロック１０８８）。ＳＰＥ５０３は、後にレコードを読み復号化できるように、鍵を保持することを確実にする。そのような復号化鍵は、好適な実施態様において、ＳＰＵ５００内のプロテクトされた不揮発性メモリ（例えばＮＶＲＡＭ５３４ｂ）中に維持される。このプロテクテッドメモリは有限サイズを有しているので、新しい鍵をプロテクテッドメモリが格納する余地がない場合があり得る。好適な実施態様において、決定ブロック１０９０によってこの状態についてテストする。メモリ内に新しい鍵を格納するための余地がない場合（または、メモリ中に格納された鍵の数が所定の数を越えた、タイマが切れた（ｅｘｐｉｒｅ）などの他のイベントの場合）、好適な実施態様は、使用されている暗号化／復号化鍵の数を減らす（または変える）ために安全データベース６１０内の他のレコードを同じ新しい鍵で再暗号化することで、これらの状況に対処する。このようにして、安全データベース６１０の一つ以上のアイテムが安全データベースから読まれ得（ブロック１０９２）、最後に格納されたときに暗号化するために使用された古い鍵を用いて、復号化され得る。好適な実施態様において、一つ以上の「古い鍵」が選択され、古い鍵を用いて暗号化された全ての安全データベースアイテムが、読まれて復号化される。これらのレコードは今度は、ブロック１０８６において新しいレコードのために発生された新しい鍵を用いて、再暗号化され得る（ブロック１０９４）。他のレコードを復号化するために用いた古い鍵は、今やＳＰＵプロテクテッドメモリから除かれ得（ブロック１０９６）、新しい鍵がその場所に格納され得る（ブロック１０９７）。古い鍵（単数または複数）を用いて暗号化された安全データベース６１０内の全てのレコードが、ブロック１０９２で読まれ、新しい鍵を用いてブロック１９０４で再暗号化されたことをＳＰＥ５０３が確信できない限り、古い鍵（単数または複数）は、ブロック１０９６によって安全メモリから除かれることはない。新しい鍵を用いて暗号化（または再暗号化）された全てのレコードは今や、安全データベース６１０内に格納され得る（ブロック１０９８）。決定ブロック１０９０が、ＳＰＵ５００プロテクテッドメモリ内に新しい鍵を格納するための余地があると決定すれば、ブロック１０９２、１０９４、１０９６の動作は不必要になり、ＳＰＥ５０３は代わりに、単に新しい鍵をプロテクテッドメモリ内に格納し（ブロック１０９７）、新しく暗号化されたレコードを安全データベース６１０内に格納し得る（ブロック１０９８）。
【０６２９】
安全データベース６１０のファイルのセキュリティは、レコードを「区画（ｃｏｍｐａｒｔｍｅｎｔ）」に細分化することにより、さらに改善され得る。異なる「区画」を保護するために、異なる暗号化／復号化鍵を用い得る。この戦略は、安全データベース６１０中の単一の鍵で暗号化される情報の量を制限するために、用いることが可能である。安全データベース６１０のセキュリティを増すための別の技術は、同一レコードの異なる部分を異なる鍵を用いて暗号化することにより、これらのレコードを復号化するために一つ以上の鍵が必要になるようにすることである。
【０６３０】
安全データベース６１０のバックアップ
好適な実施態様における安全データベース６１０は、安全データベースが含む情報を保護するために、周期的（ｐｅｒｉｏｄｉｃ）その他の時間間隔でバックアップされる。この安全データベース情報は、多くのＶＤＥ参加者にとって実質的な価値がある。安全データベース６１０のバックアップは、ユーザにとって大きな不便さを感じさせないようになされなければならず、また、いかなるセキュリティ違反になってもいけない。
【０６３１】
安全データベース６１０をバックアップする必要は、電子機器６００のパワーオンの際、ＳＰＥ５０３が最初に呼ばれた（ｉｎｖｏｋｅ）された際、周期的時間間隔、およびＳＰＥ５０３に維持される「監査ロールアップ」値その他の簡略（ｓｕｍｍａｒｙ）サービス情報が、ユーザ設定その他のしきいを越えた場合、または一つ以上のコンテンツ出版者（ｐｕｂｌｉｓｈｅｒ）および／または配布者および／または情報交換所サービスプロバイダおよび／またはユーザによって確立される条件によって誘因（ｔｒｉｇｇｅｒ）される場合に、チェックされ得る。ユーザは、ある時点までにバックアップしていない場合、またはある期間または使用量後にバックアップするように促され得る。あるいは、バックアップは、ユーザの介入なしに自動的に進められてもよい。
【０６３２】
図８を参照して、バックアップ格納部６６８および格納媒体６７０（例えば磁気テープ）を用いてバックアップ情報を格納してもよい。勿論、任意の不揮発性媒体（例えば一つ以上のフロッピーディスク、書き込み可能光学ディスク、ハードドライブなど）をバックアップ格納部６６８に用いてもよい。
【０６３３】
安全データベース６１０をバックアップするために、少なくとも２つのシナリオがある。第１のシナリオは「サイト特異的」であり、ＳＰＵ５００のセキュリティを用いてバックアップ情報の復元（ｒｅｓｔｏｒｅ）をサポートするものである。この第１の方法は、例えば２次的格納装置（ｓｅｃｏｎｄａｒｙ　ｓｔｏｒａｇｅ　ｄｅｖｉｃｅ）６５２の故障、ユーザ過失によるファイル損傷その他の、安全データベース６１０一部または全部損傷または不正化するような出来事により、安全データベース６１０に損傷があった場合に用いられる。この第１のサイト特異的バックアップシナリオは、ＳＰＵ５００が依然として正しく機能し、バックアップ情報を復元するために利用可能であることを想定している。
【０６３４】
第２のバックアップシナリオは、ユーザのＳＰＵ５００がもはや動作不能であり、取り替えられる必要があるかすでに取り替えられたことを想定している。この第２のアプローチは、重要データの損失を防ぐためおよび／またはユーザがエラーから回復する（ｒｅｃｏｖｅｒ）ことを助けるために、承認されたＶＤＥ管理者その他の承認されたＶＤＥ参加者が、格納されたバックアップ情報にアクセスすることを可能にする。
【０６３５】
これらの両シナリオとも、図３９に示すＲＯＳ６０２によって行われるプログラム制御ステップ例によって提供される。図３９は、安全データベース６１０（およびその他の情報）をバックアップ格納部６６８にバックアップするために電子機器６００によって行われる、バックアップルーチン１２５０の一例を示す。バックアップが開始されると、上述のように、バックアップルーチン１２５０は、一つ以上のバックアップ鍵を発生する（ブロック１２５２）。バックアップルーチン１２５０は次に、全ての安全データベースアイテムを読み、安全データベース６１０に格納される前に、暗号化に用いられた元の鍵を用いて各アイテムを復号化する（ブロック１２５４）。典型的には、ＳＰＵ５００が、安全データベース６１０のインスタンス内のこの情報を復号化するための鍵が格納される唯一の場所であるので、またバックアップルーチン１２５０によって提供されるシナリオの一つはＳＰＵ５００が完全に故障したか破壊された場合であるので、バックアップルーチン１２５０は、バックアップからの回復がＳＰＵ内のこれらの鍵の知識に依存しないように、この読みおよび復号化ステップ１２５４を行う。むしろ、バックアップルーチン１２５０は、新しく発生されたバックアップ鍵（単数または複数）を用いて各安全データベース６１０アイテムを暗号化し（ブロック１２５６）、暗号化されたアイテムをバックアップ格納部６６８に書き戻す（ブロック１２５８）。このプロセスは、安全データベース６１０中の全てのアイテムが読まれ、復号化され、新しく発生されたバックアップ鍵（単数または複数）を用いて暗号化され、バックアップ格納部に書き戻されるまで、続けられる（決定ブロック１２６０によってそのテストを行う）。
【０６３６】
好適な実施態様はまた、ＳＰＵ５００のプロテクテッドメモリ内にＳＰＥ簡略サービスマネージャ５６０によって格納された簡略サービス監査情報を読み、この情報を新しく発生されたバックアップ鍵（単数または複数）を用いて暗号化し、この簡略サービス情報をバックアップ格納部６６８に書く（ブロック１２６２）。
【０６３７】
最後に、バックアップルーチン１２５０は、ブロック１２５２で発生されブロック１２５６、１２６２での暗号化に用いられたバックアップ鍵（単数または複数）を、バックアップ格納部６６８にセーブする。上述した復元シナリオの両方をカバーするために、バックアップルーチン１２５０は、これを、２つの安全な方法で行う。バックアップルーチン１２５０は、バックアップ鍵（単数または複数）を（バックアップ時刻などの他の情報および、バックアップを識別するための他の適切な情報とともに）、ＳＰＵ５００のみが復号化し得るようなさらなる鍵（単数または複数）を用いて、暗号化し得る。この暗号化された情報は、次にバックアップ格納部６６８に書き込まれる（ブロック１２６４）。例えば、このステップは、ＳＰＵ５００のみが対応する秘密鍵を知る、一つ以上の公開鍵を用いた、複数の暗号化を含み得る。または、ＳＰＵ５００によって発生され、ＳＰＵによってのみ保持される第２のバッアップ鍵が、公開鍵の代わりに最終暗号化のために使用され得る。バックアップ鍵を保護するためにもちいられる暗号化を「クラック（ｃｒａｃｋ）」することによってバックアップのセキュリティを攻撃することを困難にするために、ブロック１２６４は複数の暗号化を含むことが好ましい。ブロック１２６２は暗号化された簡略サービス情報をバックアップ上に有するが、ＳＰＵ装置秘密鍵、共有鍵、ＳＰＵコードその他の内部セキュリティ情報を有さないことが好ましい。これらの情報が、暗号化形態であっても決してユーザに入手可能にならないようにするためである。
【０６３８】
ブロック１２６４に格納された情報は、バックアップルーチン１２５０を行った（または少なくとも一部行った）同じＳＰＵ５００がバックアップ情報を回復するために、十分である。しかし、この情報はこの同じＳＰＵ５００以外にとっては役に立たない。なぜなら、このＳＰＵのみがバックアップ鍵を保護するために用いられる特定の鍵を知っているからである。ＳＰＵ５００が回復不能な故障をしてしまう他方の可能なシナリオをカバーするために、承認されたＶＤＥ管理者によって読まれ得る一つ以上のさらなる鍵のセットのプロテクション下で、バックアップ鍵（単数または複数）をセーブする追加的なステップ（ブロック１２６６）を、バックアップルーチン１２５０は提供する。例えば、ブロック１２６６は、バックアップ鍵を、ＳＰＵ５００の初期化（ｉｎｉｔｉａｌｉｚａｔｉｏｎ）中にＶＤＥ管理者から受信された「ダウンロード承認鍵」を用いて、暗号化し得る。この暗号化されたバージョンの鍵はまた、格納部６６８に書き戻される（ブロック１２６６）。これはＳＰＵ５００の故障時のバックアップファイルの復元をサポートするために使用され得る。すなわち、ブロック１２６６で用いられる「ダウンロード承認（またはその他の）鍵（単数または複数）」を知るＶＤＥ管理者は、バックアップ格納部６６８中のバックアップ鍵（単数または複数）を回復することができ得、続いてバックアップ安全データベース６１０を同じまたは異なる電子機器６００に復元し得る。
【０６３９】
好適な実施態様において、ルーチン１２５０によってバックアップファイル中にセーブされた情報は、承認されたＶＤＥ管理者からバックアップ承認を受信された後のみ、復元され得る。
【０６４０】
ほとんどの場合、復元プロセスは単に、バックアップが起こってからの使用を考慮した若干の調整とともに、安全データベース６１０を復元することである。これは、ユーザがさらなるプロバイダに接触して監査および課金データを送信してもらい、最後のバックアップからの行動を反映する新しい予算を受信することを、必要とし得る。最も最近の使用行動を決定または見積もる（ｅｓｔｉｍａｔｅ）するために、ＳＰＵ５００内に維持されている現在の簡略サービス情報が、バックアップ上に格納された簡略サービス情報と比較され得る。
【０６４１】
ＳＰＵ５００の故障の場合には、代替（ｒｅｐｌａｃｅｍｅｎｔ）ＳＰＵ５００を初期化するためおよびバックアップファイルを復号化するために、承認されたＶＤＥ管理者に接触しなければならない。これらのプロセスは、ＳＰＵ故障および新しいＳＰＵへの更新の両方を可能にする。復元の場合には、ユーザのシステムに必要な情報を復元するためにバックアップファイルが使用される。更新の場合には、バックアップファイルは、更新プロセスを有効性検査するために使用され得る。
【０６４２】
バックアップファイルは、場合によっては、電子機器６００間の管理情報（ｍａｎａｇｅｍｅｎｔ　ｉｎｆｏｒｍａｔｉｏｎ）の送信に、使用され得る。しかし、好適な実施態様では、一部または全部の情報を、適切な承認により、電子機器間で輸送可能にすることを制限し得る。バックアップファイルの一部または全部を管理的オブジェクト内にパッケージし、分析、輸送、その他の使用のために送信され得る。
【０６４３】
バックアップファイルからの復元を必要とするもののより詳細な例として、電子機器６００が、安全データベース６１０の一部または全部を消去（ｗｉｐｅ　ｏｕｔ）または不正化するようなハードディスク故障その他の事故に遭ったが、ＳＰＵ５００は依然として機能可能であると仮定する。ＳＰＵ５００は、安全データベース６１０を復元するために必要な全ての情報（例えば秘密鍵（ｓｅｃｒｅｔ　ｋｅｙ）その他）を含み得る。しかし、ＶＤＥ管理者から復元承認が受信されるまで、ＲＯＳ６０２が安全データベースの復元を禁止（ｐｒｅｖｅｎｔ）し得る。復元承認は、例えば、ＳＰＥ５０３が期待する値にマッチしなければならない「秘密値」を有していてもよい。ＶＤＥ管理者は、所望であれば、この復元承認の提供を、例えばＳＰＵ５００内に格納された簡略サービス情報が分析のため管理的オブジェクトに入れられて管理者に送信された後でのみ、初めて行うようにしてもよい。ある状況下においては、ＶＤＥ管理者は、ユーザによる不正行動（ｆｒａｕｄｕｌｅｎｔ　ａｃｔｉｖｉｔｙ）の痕跡をチェックするために、バックアップファイルの（部分的または完全な）コピーが管理的オブジェクトに入ってＶＤＥ管理者に送信されることを、要求し得る。復元プロセスは、いったん承認されると、上述のように、最終バックアップからの行動を反映するように、復元された予算レコードを調節することなどを、必要とし得る。
【０６４４】
図４０は、安全データベース６１０を図３８に示すルーチンによって提供されるバックアップに基づいて復元するための、電子機器６００によって行われるプログラム制御された「復元」ルーチン１２６８の、一例を示す。この復元は、例えば、電子機器６００が故障したが、例えばＶＤＥ管理者に接触することによって回復または「再初期化」可能である場合に、使用され得る。好適な実施態様では、ＶＤＥ管理者によって承認されない限りまた承認されるまでは、ＳＰＵ５００がバックアップから復元を行うことを許可しないため、復元ルーチン１２６８は、復元を行うことを承認することが可能なＶＤＥ管理者と安全な通信を確立することから、開始する（ブロック１２７０）。いったんＳＰＵ５００とＶＤＥ管理者が互いを認証すると（ブロック１２７０の一部）、ＶＤＥ管理者は、「進行中の作業（ｗｏｒｋ　ｉｎ　ｐｒｏｇｒｅｓｓ）」および簡略値をＳＰＵ５００の内部不揮発性メモリから抽出し得る（ブロック１２７２）。ＶＤＥ管理者は、この抽出された情報を、例えば、セキュリティ違反があったか否かを決定することを助けるために使用し得、また、故障したＳＰＵ５００がそのコンテンツを効果的にＶＤＥ管理者に「ダンプ」することによって、ＶＤＥ管理者がコンテンツを扱うことを可能にすることを許可する。ＳＰＵ５００は、この情報を暗号化して一つ以上の管理的オブジェクト中にパッケージし、ＶＤＥ管理者に供給し得る。ＶＤＥ管理者は次に、安全データベース６１０の現バックアップの一部または全部のコピーをＳＰＵ５００から要求し得る（ブロック１２７４）。この情報は、ＳＰＵ５００によって、例えば一つ以上の管理的オブジェクトにパッケージし、ＶＤＥ管理者に送られ得る。情報を受信するとＶＤＥ管理者は、簡略サービス監査情報をバックアップボリューム（すなわち図３８のブロック１２６２で格納された情報）から読むことにより、バックアップ時に格納された簡略値およびその他の情報を、決定し得る。ＶＤＥ管理者はまた、図３８のブロック１２６４で格納された情報を読むことにより、バックアップがなされた時刻および日付を決定し得る。
【０６４５】
ＶＤＥ管理者は、この時点において、ブロック１２７２およびバックアップから得られた情報に基づき、簡略値およびその他の情報を復元し得る（ブロック１２７６）。例えば、ＶＤＥ管理者は、ＳＰＵの内部簡略値およびカウンタをリセットして、最終バックアップと一致するようにし得る。これらの値は、ブロック１２７２において回復された「進行中の作業」、バックアップから経過した時間量などに基づき、ＶＤＥ管理者によって調整され得る。目的は典型的には、故障が起こらなければ取られたであろう値に等しい内部ＳＰＵ値を、提供しようとすることにある。
【０６４６】
ＶＤＥ管理者は次に、ＳＰＵ５００が、バックアップファイルから安全データベース６１０を回復することを承認し得る（ブロック１２７８）。この復元プロセスは、全ての安全データベース６１０レコードを、バックアップからのレコードでリプレースする。ＶＤＥ管理者は、これらのレコードを必要に応じて、復元プロセス中または後でＳＰＵ５００にコマンドを渡すことによって、調整し得る。
【０６４７】
ＶＤＥ管理者は次に、回復された値に基づいて請求書（ｂｉｌｌ）を計算し（ブロック１２８０）、ＳＰＵダウンタイムから回復するためのその他の行動をとる（ブロック１２８２）。典型的には、目的は、ユーザに課金し、故障した電子機器６００に属する他のＶＤＥ１００値を、最終バックアップ以降だが故障以前に起こった使用に関して、調整することである。このプロセスは、ＶＤＥ管理者が、故障以前の電子機器の使用に属する報告その他の情報を他のＶＤＥ管理者から得て、これを安全データベースバックアップと比較することにより、どの使用およびその他のイベントが未だ考慮されていないかを決定することを、包含する。
【０６４８】
別の実施態様において、ＳＰＵ５００は、安全データベース６１０の一部または全部を格納することを可能にするのに十分な、内部不揮発性を有し得る。この実施態様において、複数の集積回路要素を含む例えば不正改変不可能な金属容器または何らかのチップパック形態などの、安全なエンクロージャ内に含まれ得る一つ以上の追加的な集積回路を用いて、不正改変の試みの防止および／または証拠となり、ならびに／または不正改変の際にＳＰＵ５００または関連する重要鍵および／またはその他の制御情報を使用禁止にする（ｄｉｓａｂｌｅ）ことによって、追加的なメモリが提供され得る。図３８に示す同じバックアップルーチン１２５０がこのタイプの情報をバックアップするために使用され得る。唯一の相違点は、ブロック１２５４は安全データベースアイテムをＳＰＵの内部メモリから読み得、バックアップ鍵を用いて暗号化する以前に復号化することが不必要であり得ることである。
【０６４９】
イベント駆動型（ｅｖｅｎｔ−ｄｒｉｖｅｎ）ＶＤＥプロセス
上述のように、好適な実施態様による／おける権利オペレーティングシステム（ＲＯＳ）６０２は、「イベント駆動型」であり得る。この「イベント駆動型」能力は、集積化および拡張性を容易にする。
【０６５０】
「イベント」は、任意の時刻における出来事である。「イベント」の例としては、ユーザがキーボードのキーを打鍵することや、メッセージまたはオブジェクト３００が到着すること、タイマーが切れること、または、別のプロセスからの要求などがある。
【０６５１】
好適な実施態様において、ＲＯＳ６０２は「イベント」に応えてプロセスを行うことによって、「イベント」に応答する。ＲＯＳ６０２は、イベントの発生に応答して、アクティブプロセスおよびタスクを動的に作成する。例えば、ＲＯＳ６０２は、一つ以上のコンポーネントアセンブリ６９０を作成し、イベントの発生に応答して単数または複数のプロセスを行うようにその実行を開始し得る。アクティブプロセスおよびタスクは、ＲＯＳ６０２がイベントに応答した時点で、終了し得る。この、イベントに応答して動的にタスクを作成する（また終了する）能力は、大きな柔軟性を提供し、また、例えばＳＰＵ５００によって提供されるような有限の実行リソースで、実質的に無限の多様な異なるプロセスを、異なる文脈で行うことを可能にする。
【０６５２】
「イベント」はあるゆるタイプの出来事であり得るので、無限の異なるイベントがある。従って、イベントを異なるタイプにカテゴリー化するどのような試みも、概括に過ぎない。これを念頭に置きながら、好適な実施態様によって提供／サポートされるイベントを、２つの広いカテゴリーに分類することができる：
・ユーザ開始型イベント、および
・システム開始型イベント、である。
【０６５３】
一般に、「ユーザ開始型」イベントは、ユーザ（またはユーザアプリケーション）に帰せられる出来事である。よく見られる「ユーザ開始型」イベントは、ユーザによる、オブジェクト３００その他のＶＤＥ保護された情報にアクセスしたいという、要求（例えばキーボードのボタンを押下すること、またはリダイレクタ６８４を透過的に用いることによる）である。
【０６５４】
「システム開始型」イベントは、一般に、ユーザに帰せられない出来事である。システム開始型イベントの例としては、情報が不揮発性メモリにバックアップされなければならないことを示すタイマーが切れること、別の電子機器６００からのメッセージの受信、および別のプロセス（システム開始型イベントおよび／またはユーザ開始型に応答するように開始されたかも知れない）によって発生されるサービスコールなどである。
【０６５５】
好適な実施態様で提供されるＲＯＳ６０２は、イベントを処理するためのプロセスを指定して開始することによって、イベントに応答する。これらのプロセスは、好適な実施態様において、メソッド１０００に基づく。無限の異なるタイプのイベントがあるため、好適な実施態様は、イベントを処理するための無限の異なるプロセスをサポートする。この柔軟性は、例えばメソッドコア１０００’、ロードモジュール１１００、およびＵＤＥ１２００などのデータ構造といった独立的に配送可能なモジュールから、コンポーネントアセンブリを動的に作成することによってサポートされる。好適な実施態様によってサポート／提供される無限の潜在的なプロセスタイプをどのようにカテゴリー化しても概括でしかないが、プロセスは、以下の２つのカテゴリーに概して分類可能である：
・ＶＤＥ保護された情報の使用に関連するプロセス、および
・ＶＤＥ管理に関連するプロセス、である。
「使用」および「管理的」プロセス
「使用」プロセスは、ＶＤＥ保護された情報の使用に何らかの関係を有する。好適な実施態様で提供されるメソッド１０００は、ＶＤＥ保護された情報の使用についての制御チェーンを作成し維持するプロセスを、提供し得る。「使用」タイプのプロセスの一つの具体例は、ユーザが、ＶＤＥオブジェクト３００を開いてそのコンテンツにアクセスすることを許可するプロセスである。メソッド１０００は、詳細な使用関連プロセス、例えばコンテンツの要求に応じた（許可された場合）ユーザへの放出、および計量、予算、監査追跡の更新など、を提供し得る。使用関連プロセスはユーザ開始型であることが多いが、使用プロセスの一部は、システム開始型であり得る。ＶＤＥ使用関連プロセスを誘起する（ｔｒｉｇｇｅｒ）イベントを、「使用イベント」と呼び得る。
【０６５６】
「管理的」プロセスは、ＶＤＥ１００が機能し続けることを助けるものであり、ＶＤＥ１００を安全かつ効率的に動作させ続ける、取引管理（ｍａｎａｇｅｍｅｎｔ）「インフラストクラクチャ」をサポートすることを助ける処理を、提供する。管理的プロセスは、例えば、ＶＤＥの処理および制御チェーンを確立し維持する、ＶＤＥ保護されたデータ構造の作成、改変および／または破棄のある側面に関連する、処理を提供し得る。例えば、「管理的」プロセスは、ＶＤＥ電子機器６００の安全データベース６１０内に含まれる情報を格納、更新、改変、または破棄し得る。管理的プロセスはまた、異なるＶＤＥ電子機器６００間の安全な通信を、確立、維持およびサポートする通信サービスを提供し得る。管理的プロセスを誘起するイベントを、「管理的イベント」と呼び得る。
【０６５７】
相互的メソッド（ｒｅｃｉｐｒｏｃａｌ　ｍｅｔｈｏｄ）
一部のＶＤＥプロセスは、それらが互いに相互作用しあう様子に基づいて、対にされる。あるＶＤＥプロセスは、別のＶＤＥプロセスからの処理サービスを「要求」し得る。処理サービスを要求するプロセスを、「要求プロセス」と呼び得る。「要求」は、対の中の他方のＶＤＥプロセスによる処理を誘起するため、「イベント」である。「要求イベント」に応答するＶＤＥプロセスは、「応答プロセス」と呼び得る。「要求プロセス」および「応答プロセス」を、「相互的プロセス」と呼び得る。
【０６５８】
「要求イベント」は、例えば、一つのＶＤＥノード電子機器６００から発行されるメッセージまたは、ある情報のためのプロセスを有し得る。対応する「応答プロセス」は、例えばメッセージ中で要求された情報を送ることによって、「要求イベント」に応答し得る。この応答自体、さらなるＶＤＥ「応答プロセス」を誘起するならば、「要求イベント」であり得る。例えば、先に発生した要求に応答するメッセージを受信することは、「返答（ｒｅｐｌｙ）プロセス」を誘起し得る。この「返答プロセス」は、別の「応答プロセス」からの「返答」に応答して誘起される、特殊なタイプの「応答プロセス」である。所与のＶＤＥ取引中において、任意の数の「要求」および「応答」プロセスの対があり得る。
【０６５９】
「要求プロセス」およびその対になる「応答プロセス」は同じＶＤＥ電子機器６００上で行われてもよく、また、これら２つのプロセスは、異なるＶＤＥ電子機器上で行われてもよい。対をなす２つのプロセス間の通信は、安全な（ＶＤＥ保護された）通信、「チャネル外（ｏｕｔ　ｏｆ　ｃｈａｎｎｅｌ）」通信、またはその２つの組み合わせによってなされてもよい。
【０６６０】
図４１ａ〜４１ｄは、処理および制御チェーンが「相互的メソッド」を用いて可能にされる様子を示す１組の例である。処理および制御チェーンは、その一部分、要求−応答式に協力する「相互的イベント」の一つ以上の対を用いて構築される。好適な実施態様において、一つ以上の「相互的メソッド」において相互的イベントの対が管理（ｍａｎａｇｅ）され得る。上述のように、「相互的メソッド」は、一つ以上の「相互的イベント」に応答し得るメソッド１０００である。相互的メソッドは、物理的および／または時間的に離れたＶＤＥノードにおいて、安全に実行され得る協力するプロセスの２つの半分を、含む。相互的プロセスは、柔軟に定義された情報渡しプロトコル（ｉｎｆｏｒｍａｔｉｏｎ　ｐａｓｓｉｎｇ　ｐｒｏｔｏｃｏｌ）および情報コンテンツ構造を有し得る。相互的メソッドは実際、同じまたは異なるＶＤＥノード６００上で動作する、同じまたは異なるメソッドコア１０００’に基づき得る。図４１ａに示すＶＤＥノード６００Ａおよび６００Ｂは、同一の物理的な電子機器６００または、別々の電子機器であってもよい。
【０６６１】
図４１ａは、一対の相互的イベントの動作の一例を示す。ＶＤＥノード６００Ａにおいて、メソッド１０００ａは、ＶＤＥノード６００Ｂで処理されなければならない要求を有するイベントを処理している。この「要求」イベントに応答するメソッド１０００ａ（例えば、関連ロードモジュール１１００およびデータを含むコンポーネントアセンブリ６９０に基づく）を、図４１ａにおいて１４５０として示す。プロセス１４５０は、要求（１４５２）および、オプションとして、他方のＶＤＥノード１０００ｂに送られて相互的イベントに関連づけられたプロセスによって処理される何らかの情報またはデータを作成する。要求およびその他の情報は、本明細書で他記した任意の輸送メカニズムによって、送信され得る。
【０６６２】
ＶＤＥノード６００ｂによる要求の受信は、そのノードにおける応答イベントを包含する。要求の受信に際して、ＶＤＥノード６００ｂは、同じまたは異なる方法１０００ｂによって定義される「相互的」プロセス１４５４を行うことにより、応答イベントに応答し得る。相互的プロセス１４５４は、コンポーネントアセンブリ６９０（例えば、一つ以上のロードモジュール１１００、データ、およびオプションとして、ＶＤＥノード６００Ｂ中に存在するその他のメソッド）に基づき得る。
【０６６３】
図４１ｂは、図４１ａに示したコンセプトを、ＶＤＥノード６００ＢからＶＤＥノード６００Ａへと戻る応答を含むように、拡張したものである。図４１ａに示したように、要求イベントおよび情報である１４５２の、ＶＤＥノード６００Ｂ中の応答プロセス１４５４による受信および処理によって、プロセスは、開始する。応答プロセス１４５４は、その処理の一部として、別の要求プロセス（１４６８）と協力して、応答１４６９を開始ＶＤＥノード６００Ａに送り返す。メソッド１０００Ａによって提供される、対応する相互的プロセス１４７０は、この要求イベント１４６９に応答し、これを処理し得る。このようにして、２つ以上のＶＤＥノード６００Ａ、６００Ｂは、協力してコンフィギュレーション可能な情報および要求を、ノードにおいて実行しているメソッド１０００Ａ、１０００Ｂ間で渡す。第１および第２の要求−応答シーケンス［（１４５０、１４５２、１４５４）および（１４６８、１４６９、１４７０）］は、時間的および空間的距離によって隔たれ得る。効率性のために、要求（１４６８）および応答（１４５４）プロセスは、同じメソッド１０００上に基づいても、同じまたは異なるメソッドコア１０００’中の２つのメソッドとして実現されてもよい。メソッド１０００は、異なるイベントに対して異なる振る舞い／結果を提供するように、あるいは異なるメソッドが異なるイベントに対して提供されるように、「イベントコード」によってパラメータ化され得る。
【０６６４】
図４１ｃは、図４１ａ〜４１ｂ制御メカニズムの３つのノード（６００Ａ、６００Ｂ、６００Ｃ）への拡張（ｅｘｔｅｎｓｉｏｎ）を示している。各要求−応答対は、図４１ｂで説明したように動作し、いくつかの対は互いにリンクされて、数個のＶＤＥノード６００Ａ、６００Ｂ、６００Ｃの間に、制御および処理チェーンを形成する。このメカニズムは、制御および処理チェーンを、任意のコンフィギュレーションのノードを使用した任意の数のＶＤＥノードに拡張するために、用い得る。例えば、ＶＤＥノード６００Ｃは、ＶＤＥノード６００Ａに直接通信し、ＶＤＥ６００Ｂに直接通信してもよい。ＶＤＥ６００Ｂはそれ自体、ＶＤＥノード６００Ａに通信する。または、ＶＤＥノード６００ＣがＶＤＥノード６００Ａと直接通信し、ＶＤＥノード６００ＡがＶＤＥノード６００Ｂと通信し、ＶＤＥノード６００ＢがＶＤＥノード６００Ｃと通信してもよい。
【０６６５】
メソッド１０００は、関連的または協力的（ｒｅｌａｔｅｄ　ｏｒ　ｃｏｏｐｅｒａｔｉｖｅ）機能を指定する、イベントのセットによってパラメータ化し得る。イベントは、機能によって論理的にグループ分けされてもよく（例えば、使用、配布など）、また、互いと協力して（ｉｎ　ｃｏｎｊｕｎｃｔｉｏｎ　ｗｉｔｈ　ｅａｃｈ　ｏｔｈｅｒ）動作し得るプロセスを指定する相互的イベントのセットでもよい。図４１ｄは、予算の配布をサポートする、コンテンツ配布モデル中の、数個のＶＤＥノード１０２、１０６、１１２間の協力的処理をサポートする「相互的イベント」のセットを図示している。本例における処理および制御チェーンは、ＢＵＤＧＥＴメソッド内で指定される「相互的イベント」のセットを用いて可能にされる。図４１ｄは、例示のＢＵＤＧＥＴメソッド（１５１０）内での相互的イベントの振る舞いが、協力して作動し、数個のＶＤＥノード間の処理および制御チェーンを確立する様子を示している。本例のＢＵＤＧＥＴメソッド１５１０は、プロセスが予算付けされるメカニズムを定義する「使用」プロセス１４７６を行うことによって、「使用」イベント１４７８に応答する。ＢＵＤＧＥＴメソッド１５１０は、例えば、計量カウントを予算値と比較し、計量カウントが予算値を越えていれば動作を中止させる（ｆａｉｌ）、使用プロセス１４７６を指定し得る。また、前記ＢＵＤＧＥＴ決定の結果を記載する監査追跡を、書き込み得る。予算メソッド１５１０は、予算のさらなる配布のためのプロセスおよび／または制御情報を定義する、配布プロセス１４７２を行うことにより、「配布」イベントに応答し得る。「要求」イベント１４８０には、ユーザが配布者からの配布権利および／または使用をどのように要求し得るかを指定する、要求プロセス１４８０を行うことによって、応答し得る。「応答」イベント１４８２には、配布者が、その予算の一部（または全部）を配布した他のユーザからの要求に応答する方法を、指定する応答プロセス１４８４を行うことによって、応答し得る。「返答」イベント１４７４には、（より多くの）予算を再賦与または否定するメッセージにユーザがどのように応答すべきかを指定する、返答プロセス１４７５を行うことによって、応答し得る。
【０６６６】
好適な実施態様において、イベント処理、相互的イベント、ならびにその関連メソッドおよびメソッドコンポーネントの制御は、ＰＥＲＣ８０８によって提供される。これらのＰＥＲＣ（８０８）は、データ構造の作成、改変および配布を支配する管理的メソッドおよび、これらのアイテムのアクセス、改変およびさらなる配布を許可する管理的メソッドを参照し得る。このようにして、処理および制御チェーン中の各リンクは、例えば、監査情報をカスタマイズし、コンテンツを使用するための予算要件を変更し、および／またはこれらの権利のさらなる配布を、配布チェーン上の先行メンバー（要素）によって指定された方法で制御する能力を、有し得る。
【０６６７】
図４１ｄに示す例において、ＶＤＥ配布者ノード（１０６）の配布者は、別のノード（１０２）のコンテンツ作成者から、予算を要求し得る。この要求は、安全ＶＤＥ通信の文脈でなされるかも知れないし、また、「チャネル外」通信（例えば電話または手紙により）において渡されるかも知れない。作成者１０２は、予算を配布者１０６に賦与することを決定し得、配布イベント（ＶＤＥノード１０２のＢＵＤＧＥＴメソッド１５１０中の１４５２）を処理する。ＢＵＤＧＥＴメソッド中のこの配布イベントを処理する結果として、使用および再配布権利を賦与する予算が作成者１０２から配布者に送信され得るような安全な通信（１４５４）が、ＶＤＥノード１０２および１０６間に、得られ得る。配布者のＶＤＥノード１０６は、予算情報の受信に対して、ＢＵＤＧＥＴメソッド１５１０の返答プロセス１４７５Ｂを用いて通信を処理することによって、応答し得る。返答イベント処理１４７５Ｂは例えば、配布者ＶＤＥ１０６ノード内に予算およびＰＥＲＣ８０８をインストールして、アクセスが少なくとも部分的には予算および／またはＰＥＲＣによって制御されるコンテンツまたはプロセスに、配布者がアクセスすることを可能にする。ある時点において、配布者１０６はまた、配布者１０６がアクセス権利を賦与されたコンテンツを使用することを望み得る。
【０６６８】
コンテンツオブジェクトの使用を登録後、ユーザ１１２は、使用プロセスの一環としてコンテンツオブジェクトを例えば開き、読み、書き、および／または閉じるために、「使用」プロセス１４７６Ｃのアレイを利用することを必要とすることになるだろう。
【０６６９】
配布者１０６は、その予算の全部を使い切ってしまうと、追加的な予算を得ることを所望し得る。その場合、配布者１０６は、ＢＵＤＧＥＴメソッド要求プロセス（１４８０Ｂ）を用いるプロセスを、開始し得る。要求プロセス１４８０Ｂは、コンテンツ作成者ＶＤＥノード１０２と、より多くの予算およびもしかしたら今日までの使用行動の詳細（例えば監査追跡）を提供することを要求して、通信（１４８２ＡＢ）を開始し得る。コンテンツ作成者１０２は、作成者のＢＵＤＧＥＴメソッド１５１０Ａ内の応答プロセス（１４８４Ａ）を用いて、「より多くの予算を得る」要求イベント１４８２ＡＢを処理する。応答プロセス１４８４Ａは、例えば、使用情報がコンテンツの正しい使用を示し、および／または配布者がより多くの予算に値するほど信頼に足るか否かを決定し得る。ＢＵＤＧＥＴメソッド応答プロセス１４８４Ａはまた、上記使用についての支払いのために配布者からファンドを送信するための金融取引を開始するか、配布プロセス１４７２Ａを用いて予算を配布者１０６に配布し得る。より多くの予算を賦与する（またはより多くの予算を否定する）配布者１０６への応答は、要求通信１４８２ＡＢへの応答として直ちに送られるか、別の通信の一環として後に送られ得る。応答通信は、配布者のＶＤＥノード１０６で受信されると、ＢＵＤＧＥＴメソッド１５１０Ｂの配布者が有するコピー内の返答プロセス１４７５Ｂを用いて、処理され得る。返答プロセス１４７５Ｂは次に、追加的な予算を上述と同じように処理し得る。
【０６７０】
処理および制御チェーンは、予算情報を掲示（ｐｏｓｔ）することに加え、上記予算を利用する方法を支配する制御情報も、渡し得る。例えば、上記例において指定されている制御情報はまた、配布者による作成者のコンテンツオブジェクトを使用する権利の再配布に適用される、プロセスおよび制限を記述する、制御情報を含み得る。このように、ＢＵＤＧＥＴメソッド１５１０Ｂの配布者が有するコピー内の配布プロセス１４７２Ｂを用いて配布者がユーザからの予算要求に応答するとき（上述のＶＤＥノード１０６と１０２との間の通信と同様の性質である、ＶＤＥノード１１２のユーザＶＤＥとノード１０６の配布者との間の通信）、上述のものと同様の配布および要求／応答／返答プロセスが開始され得る。
【０６７１】
このように、本例において、単一のメソッドによって、異なる「誘起」イベントに基づいた複数の動的な振る舞いが得られる。例えば、単一のＢＵＤＧＥＴメソッド１５１０で、下記に挙げるイベントの任意のものあるいは全てをサポートし得る：
【０６７２】
【表２４】

【０６７３】
【表２５】

【０６７４】
相互的メソッドプロセスの例
Ａ．予算
図４２ａ、４２ｂ、４２ｃおよび４２ｄはそれぞれ、好適な実施態様で提供されるＢＵＤＧＥＴメソッド２２５０の代表例で行われる、プロセス制御ステップ例を示すフローチャートである。好適な実施態様において、ＢＵＤＧＥＴメソッド２２５０は、以下の４つの異なるモードのいずれかで動作し得る：
・使用（図４２ａ）
・管理的要求（図４２ｂ）
・管理的応答（図４２ｃ）
・管理的返答（図４２ｄ）
一般に、ＢＵＤＧＥＴメソッド２２５０の「使用」モードは、オブジェクトまたはそのコンテンツの使用に関係するイベントに応答して、呼び出される。ＢＵＤＧＥＴメソッド２２５０の「管理的要求」モードは、ＶＤＥ金融プロバイダと接触する必要のある何らかのユーザ行動に応答してユーザによってあるいはユーザのために呼び出され、そのタスクは基本的に、管理的要求をＶＤＥ金融プロバイダに送ることである。ＢＵＤＧＥＴメソッド２２５０の「管理的応答」モードは、図４２ｂのＢＵＤＧＥＴメソッド２２５０の「管理的要求」の呼び出しによってＶＤＥノードからＶＤＥ金融プロバイダへ送られた管理的要求の受信に応答して、ＶＤＥ金融プロバイダにおいて行われる。ＢＵＤＧＥＴメソッド２２５０の「管理的応答」の呼び出しの結果として、ＶＤＥ金融プロバイダからＶＤＥユーザノードに管理的オブジェクトが送信される。最後に、図４２ｂのＢＵＤＧＥＴメソッド２２５０の「管理的返答」の呼び出しが、図４２ｃに示すメソッドの「管理的応答」呼び出しによって送られた管理的要求の受信に応答して、ユーザＶＤＥノードにおいて行われる。
【０６７５】
好適な実施態様において、同じＢＵＤＧＥＴメソッド２２５０が、図４２ａ〜４２ｄに示す４つの異なるステップシーケンスの各々を行う。好適な実施態様において、異なるイベントコードがＢＵＤＧＥＴメソッド２２５０に渡されることにより、これらの様々な異なるモードを呼び出され得る。勿論、４つの異なる「動的人格（ｄｙｎａｍｉｃ　ｐｅｒｓｏｎａｌｉｔｉｅｓ）」を有する単一のＢＵＤＧＥＴメソッドの代わりに、４つの別々のＢＵＤＧＥＴメソッドを使用することも可能であるが、好適な実施態様において、同じＢＵＤＧＥＴメソッドをこれら４つのタイプの呼び出しの各々に用いることにより、特定の効果が得られる。
【０６７６】
図４２ａを見て、ＢＵＤＧＥＴメソッド２２５０の「使用」呼び出しはまず、予算監査追跡（ブロック２２５２、２２５４）を用意（ｐｒｉｍｅ）し、次に予算ＵＤＥのためのＤＴＤを得る。これは、予算ＵＤＥを得て読むために用いられる（ブロック２２５６〜２２６２）。この「使用」呼び出しにおけるＢＵＤＧＥＴメソッド２２５０は次に、予算監査日が切れたか否かを決定し、もし切れていたらこれを終了する（ｔｅｒｍｉｎａｔｅ）（決定ブロック２２６４の「ｙｅｓ」出口、ブロック２２６６、２２６８）。予算監査日が切れていない限り、メソッドは次に、原子エレメントおよびイベントカウントを用いて（他の情報も用いるか可能性がある）予算を更新し得（ブロック２２７０、２２７２）、次に予算ユーザ監査レコードを、終了前に（終了点２２７８）予算監査追跡ＵＤＥにセーブする（ブロック２２７４、２２７６）。
【０６７７】
図４２ｂを見て、最初の６個のステップ（ブロック２２８０〜２２９０）が、何らかのユーザ行動（例えば新しい情報にアクセスすることを求める要求、新しい予算の要求など）に応答してユーザＶＤＥノードによって行われ得る。ＢＵＤＧＥＴメソッド２２５０のこの「管理的要求」呼び出しは、監査追跡を用意し得る（ブロック２２８０、２２８２）。メソッドは次に、適切な予算の管理的処理の要求を、要求キューに入れ得る（ブロック２２８４、２２８６）。最後に、メソッドは、適切な監査追跡情報をセーブし得る（ブロック２２８８、２２９０）。しばらくたった後、ユーザＶＤＥノードは、通信監査追跡を用意し得（ブロック２２９２、２２９４）、次に予算管理的要求を管理的オブジェクトに書き込み得る（ブロック２２９６）。このステップは、例えば、予算ＵＤＥ、予算監査追跡ＵＤＥ（単数または複数）、および予算管理的要求レコード（単数または複数）などのソースから必要になるような情報を、安全データベースから入手し得る（ブロック２２９８）。
【０６７８】
ブロック２２９６は次に、管理的オブジェクトをＶＤＥ金融プロバイダに通信するか、または、ブロック２２９６は、管理的オブジェクトをそのような通信が起こるように取り決めを行う別の通信プロセスまたはメソッドに渡してもよい。所望であれば、メソッド２２５０は次に、終了前に（終了点２３０４）通信監査追跡（ブロック２２３０、２３０２）をセーブし得る。
【０６７９】
図４２ｃは、「管理的応答」モードで動作する、好適な実施態様で提供される例のＢＵＤＧＥＴメソッド２２５０によって行われるプロセス制御ステップの一例を示す、フローチャートである。図４２ｃに示すステップは、例えば、図４２ｂ（ブロック２２９６）によって作成された（そして例えばＶＤＥ管理者に通信された）予算管理的要求を含む、管理的オブジェクトを受信した、ＶＤＥ金融プロバイダによって行われる。
【０６８０】
管理的オブジェクトを受信すると、ＢＵＤＧＥＴメソッド２２５０は、ＶＤＥ金融プロバイダサイトにおいて、予算通信および応答監査追跡を用意し得（ブロック２３０６、２３０８）、次に管理的オブジェクトをアンパック（ｕｎｐａｃｋ）して、その中に含まれる予算要求（単数または複数）、監査追跡（単数または複数）、およびレコード（単数または複数）を取り出す（ｒｅｔｒｉｅｖｅ）（ブロック２３１０）。管理的オブジェクトから取り出されたこの情報は、ＶＤＥ金融プロバイダによって、その安全データベース内に書き込まれる（ブロック２３１２）。ＶＤＥ金融プロバイダは次に、予算要求（単数または複数）を取り出して、要求を処理するために実行することが必要な応答メソッドを決定する（ブロック２３１４、２３１６）。ＢＵＤＧＥＴメソッド２２５０は、要求レコード（単数または複数）に含まれるイベント（単数または複数）を、適切な応答メソッドに送り得、ＲＥＳＰＯＮＳＥメソッドに基づいて応答レコードおよび応答要求を生成し得る（ブロック２３１８）。ブロック２３１８で行われるプロセスは、適切な新しい応答レコードをＶＤＥ金融プロバイダの安全データベースに書き込むことによって、予算要求を満足し得る（ブロック２３２０）。ＢＵＤＧＥＴメソッド２２５０は次に、これらの予算管理的応答レコードを管理的オブジェクト中に書き込み（ブロック２３２２、２３２４）、これを次に、予算要求を開始したユーザノードに通信し戻し得る。ＢＵＤＧＥＴメソッド２２５０は次に、通信および応答処理監査追跡情報を、終了前に（終了点２３３０）適切な監査追跡ＵＤＥ（単数または複数）にセーブし得る（ブロック２３２６、２３２８）。
【０６８１】
図４２ｄは、「管理的返答」モードで動作する、代表例のＢＵＤＧＥＴメソッド２２５０によって行われるプログラム制御ステップの一例を示す、フローチャートである。図４２ｄに示すステップは、例えば、予算関連情報を含む管理的オブジェクトを受信した、ＶＤＥユーザノードによって行われ得る。ＢＵＤＧＥＴメソッド２２５０はまず、予算管理的および通信監査追跡を用意し得る（ブロック２３３２、２３３４）。次にＢＵＤＧＥＴメソッド２２５０は、レコードおよび要求を受信した管理的オブジェクトから抽出し、返答レコードをＶＤＥ安全データベースに書き込む（ブロック２３３６、２３３８）。ＶＤＥユーザノードは次に、予算管理的および通信監査追跡情報を、適切な監査追跡ＵＤＥ（単数または複数）（ブロック２３４０、２３４１）にセーブする。
【０６８２】
しばらくたった後に、ユーザＶＤＥノードは、返答レコードを安全データベースから取り出して、その処理のためにどのメソッドが必要であるかを決定し得る（ブロック２３４４、２３４６）。ＶＤＥユーザノードは、オプションとして、返答イベントの処理結果を記録するために通信監査追跡を用意し得る（ブロック２３４２、２３４３）。ＢＵＤＧＥＴメソッド２２５０は次に返答レコード（単数または複数）に含まれるイベント（単数または複数）をＲＥＰＬＹメソッドに送り得、安全データベースレコードを、新しい予算レコードを挿入する、古い予算レコードを削除するおよび／または予算レコードに変化を適用するなど必要に応じて生成／更新する（ブロック２３４８、２３５０）。ＢＵＤＧＥＴメソッド２２５０は次に、監査追跡を（必要であれば）書き込む（ブロック２３５４、２３５５）終了（終了点２３５６）前に、返答レコードを安全データベースから削除し得る（ブロック２３５２、２３５３）。
Ｂ．登録
図４３ａ〜図４３ｄは、好ましい実施の形態により提供されるＲＥＧＩＳＴＥＲ（登録）メソッド２４００の代表例によりおこなわれるプログラム制御ステップの一例を示すフローチャートである。この例では、ＲＥＧＩＳＴＥＲメソッド２４００は、「使用」モードで動作する時には図４３ａに示されているステップ例をおこない、「管理リクエスト」モードで動作する時には図４３ｂに示されているステップ例をおこない、「管理応答」モードで動作する時には図４３ｃに示されているステップをおこない、「管理返答」モードで動作する時には図４３ｄに示されているステップをおこなう。
【０６８３】
図４３ａに示されているステップは、例えば、何らかのアクションに応答して、ユーザによって、またはユーザのために、ユーザＶＤＥノードでおこなわれうる。例えば、ユーザは、自分自身に対してまだ（つまり、今でも）正しく登録されていないオブジェクトへのアクセスを要請できる。このようなユーザリクエストに応答して、ＲＥＧＩＳＴＥＲメソッド２４００は、リクエストされているオブジェクトが既に登録されたかどうかを判定する（判定ブロック２４０６）前に、登録監査追跡ＵＤＥ（ブロック２４０２、２４０４）を予めおこなうことができる。もし、オブジェクトが既に登録されているのなら（判定ブロック２４０６に対する「イエス」エグジット）、ＲＥＧＩＳＴＥＲメソッドは、（終端点２４０８で）終了することができる。もし、オブジェクトがまだ登録されていないのなら（判定ブロック２４０６に対する「ノー」エグジット）、ＲＥＧＳＩＴＥＲメソッド２４００は、ＶＤＥノードの安全データベースＰＥＲＣ　８０８および／または登録ＭＤＥ（ブロック２４１０）にアクセスすることができる。ＲＥＧＩＳＴＥＲメソッド２４００は、このＰＥＲＣ　８０８および／または登録ＭＤＥから適当な登録記録セットを抽出することができ（ブロック２４１２）、かつそのオブジェクトを登録するのに必要とされる、要求されたエレメントのすべてが存在しているかどうかを判定することができる（判定ブロック２４１４）。もし（少なくとも１つの）何らかの部分が欠けているのなら（判定ブロック２４１４に対する「ノー」エグジット）、ＲＥＧＩＳＴＥＲメソッド２４００は、登録リクエストが通信マネージャへと記録されるのをキューイングし、その後、キューイングされたリクエストが満たされるまでＲＥＧＩＳＴＥＲメソッドをサスペンドすることができる（ブロック２４１６、２４１８）。ブロック２４１６は、例えば、登録リクエストをＶＤＥ配付者へと通信する効果を有しうる。そのリクエストが満たされ、登録リクエスト記録が受け取られる（ブロック２４２０）と、判定ブロック２４１４のテストが満たされ（判定ブロック２４１４に対する「イエス」エグジット）、ＲＥＧＩＳＴＥＲメソッド２４００は進むことができる。この段階で、ＲＥＧＩＳＴＥＲメソッド２４００は、ブロック２４１０でアクセスされたＰＥＲＣ　８０８により許可されたメソッドオプションセットの中から登録オプションをユーザが選択できるようにする（ブロック２４２２）。１つ簡単な例を挙げれば、ＰＥＲＣ　８０８は、ユーザに対して、ＶＩＳＡまたはマスターカードによる支払いは許可するが、アメリカンエクスプレスによる支払いは許可しない。ブロック２４２２は、ユーザに対して、そのＶＩＳＡカードを使って支払うのか、あるいはそのマスターカードを使って支払うのか選択するように要請するプロンプトを表示することができる（ブロック２４２４）。ＲＥＧＩＳＴＥＲメソッド２４００は、好ましくは、ユーザの選択した登録オプションの有効性を検査し、もし初期ユーザオプションが無効であるのなら、ユーザに対して別のオプションを選択するようにリクエストする（ブロック２４２６、判定ブロック２４２８に対する「ノー」エグジット）。いったんユーザが、要求された登録オプションの選択をすべて完了し、それらの選択すべての有効性が認められれば（判定ブロック２４２８に対する「イエス」エグジット）、ＲＥＧＩＳＴＥＲメソッド２４００は、このオブジェクトおよびこのユーザに対応し、このユーザによりなされたユーザ登録選択を具体的に表すユーザ登録テーブル（ＵＲＴ）を、ＰＥＲＣ　８０８および／または登録ＭＤＥにより要求されるその他の登録情報と共に書き込むことができる（ブロック２４３０、２４３２）。その後、ＲＥＧＩＳＴＥＲメソッド２４００は、（終端点２４３６で）終了する前に、登録監査記録を安全データベースへと書き込むことができる（ブロック２４３２、２４３４）。
【０６８４】
図４３ｂは、ＲＥＧＩＳＴＥＲメソッド２４００の「管理リクエスト」モードの一例を示している。この管理リクエストモードは、ＶＤＥ配付者へと、または登録情報をリクエストしているその他の適切なＶＤＥ加入者へと通信するための、適切な管理オブジェクトを発生するために、ＶＤＥユーザシステム上でおこなわれうる。よって、例えば、図４３ｂに示されているステップは、図４３ａに示されている「登録リクエストの記録をキューイングする」ブロック２４１６の一部としてもおこなわれうる。登録管理リクエストをおこなうために、ＲＥＧＩＳＴＥＲメソッド２４００は、まず通信監査追跡を予めおこない（ブロック２４４０、２４４２）、その後、安全データベースにアクセスして登録に関するデータを得ることができる（ブロック２４４４）。このように安全データベースへとアクセスすることにより、例えば、登録されているオブジェクトの保有者および／または出版者が、人口統計、ユーザ自身、またはそのユーザに関するその他の情報を見出すことが可能になる。具体的な例として、現在、登録されているオブジェクトがスプレッドシートソフトウェアプログラムである場合を考える。そのオブジェクトの配付者は、そのユーザが登録した他のソフトウェアは何であるかを知りたいと思うことがある。例えば、配付者は、もし、その同じ配付者により配付されている多数のソフトウェア製品の「組み物」をユーザが登録するのなら、進んで優先的な価格を提示しようとするかもしれない。よって、標準的なソフトウェアパッケージの大半で中に入れてある「ユーザ登録」カードにより懇請されている情報の種類は、好ましい実施の形態では、登録時に懇請され、自動的に得られるようにすることができる。ユーザのプライバシー権を保護するために、ＲＥＧＩＳＴＥＲメソッド２４００は、このようなユーザ固有のデータをプライバシーフィルタに通すことができる（ブロック２４４６）。このフィルタは、ある種の情報が外界に顕示されることをユーザが防止できるように、少なくとも部分的にはユーザによりカスタマイズされうる。ＲＥＧＩＳＴＥＲメソッド２４００は、結果として得られた情報を、オブジェクトおよびその他の適切なパラメータを識別する適切な登録リクエスト情報とともに管理オブジェクトへと書き込むことができる（ブロック２２４８、２４５０）。ＲＥＧＩＳＴＥＲメソッド２４００は、その後、この管理オブジェクトを通信操作者にわたすことができる。ＲＥＧＩＳＴＥＲメソッド２４００は、その後、（終端点２４５６で）終了する前に、通信監査追跡を保存することができる（ブロック２４５２、２４５４）。
【０６８５】
図４３ｃは、図４３ｂのブロック２４４８により送られた登録管理オブジェクトを受け取ると、直ちにＶＤＥ配付者によりおこなわれうるＲＥＧＩＳＴＥＲメソッド２４００のステップを含んでいる。ＲＥＧＩＳＴＥＲメソッド２４００は、この「管理応答」モードでは、まず適切な監査追跡を予めおこない（ブロック２４６０、２４６２）、その後、受け取った管理オブジェクトの包みを開いて、関連する（１つ以上の）登録リクエストのコンフィギュレーション情報を安全データベースへと書き込むことができる（ブロック２４６４、２４６６）。ＲＥＧＩＳＴＥＲメソッド２４００は、その後、安全データベースから管理リクエストを取り出し、リクエストを処理するためには、どの応答メソッドをランさせればよいかを決定する（ブロック２４６８、２４７０）。もし、ユーザがそのオブジェクトを登録するのに十分な情報を提供しなければ、ＲＥＧＩＳＴＥＲメソッド２４００は、失敗することがある（ブロック２４７２、２４７４）。そうでなければ、ＲＥＧＩＳＴＥＲメソッド２４００は、適切な（１つ以上の）リクエスト記録に含まれている（１つ以上の）イベントを適切な応答メソッドに送り、応答記録および応答リクエスト（例えば、（１つ以上の）ＰＥＲＣおよび／またはＵＤＥ）を発生して、それらを安全データベースへと書き込むことができる（ブロック２４７６、２４７８）。その後、ＲＥＧＩＳＴＥＲメソッド２４００は、適切な登録管理応答記録を管理オブジェクトへと書き込むことができる（ブロック２４８０、２４８２）。このような情報としては、例えば、１つ以上の置き換えＰＥＲＣ　８０８、メソッド、（１つ以上の）ＵＤＥなどがある（ブロック２４８２）。これにより、例えば、配付者が、オブジェクトを登録するのに十分な情報のみをユーザに与える限定権利パーミッションを配付し、その後、登録されると直ちに、その限定権利パーミッションをより広いパーミッション範囲に置き換えることによって、ユーザに対して、それらのオブジェクトへのより完全なアクセスを承認することができる。ＲＥＧＩＳＴＥＲメソッド２４００は、その後、（終端点２４８８で）終了する前に、通信および応答処理監査追跡を保存することができる（ブロック２４８４、２４８６）。
【０６８６】
図４３ｄは、図４３ｃのブロック２４８０により発生／伝送された管理オブジェクトを受け取ると直ちにＶＤＥユーザノードによりおこなわれうるステップを示している。図４３ｄに示されているステップは、ＢＵＤＧＥＴメソッドの管理返答処理のための、図４２ｄに示されているステップに非常によく似ている。
Ｃ．監査
図４４ａ〜図４４ｃは、好ましい実施の形態により提供されるＡＵＤＩＴ（監査）メソッド２５２０の代表例によりおこなわれるプログラム制御ステップのいくつかの例を示すフローチャートである。上述した例と同様に、ＡＵＤＩＴメソッド２５２０は、好ましい実施形態例では、３つの異なる動作モードを提供する。図４４ａは、「管理リクエスト」モードでＡＵＤＩＴメソッドによりおこなわれる各種ステップを示しており、図４４ｂは、「管理応答」モードでこのメソッドによりおこなわれる各種ステップを示しており、図４４ｃは、「管理返答」モードでこのメソッドによりおこなわれる各種ステップを示している。
【０６８７】
図４４ａに示されているように「管理リクエスト」モードで動作するＡＵＤＩＴメソッド２５２０は、典型的には、ユーザによる、またはユーザのためのあるリクエストに基づいて、例えばＶＤＥユーザノードにおいておこなわれる。例えば、ユーザは、監査をリクエストしたかもしれないし、ＶＤＥ内容プロバイダまたはその他のＶＤＥ加入者への監査情報の通信を開始するタイマーが時間切れになったかもしれない。好ましい実施の形態では、同一の処理全体についてそれぞれ異なる監査が、それぞれ異なるＶＤＥ加入者によりおこなわれてもよい。ある特定の「監査」メソッド２５２０の実施（ｉｎｖｏｃａｔｉｏｎ）は、関係するＶＤＥ加入者のいずれか一人（または全員）に対して開始されうる。ＡＵＤＩＴメソッド２５２０を実施すると直ちに、このメソッドは、管理監査追跡の監査を予めおこなうことができる（よって、好ましい実施の形態では、監査処理そのものが監査されうる）（ブロック２５２２、２５２４）。その後、ＡＵＤＩＴメソッド２５２０は、管理処理リクエストをキューイングし（ブロック２５２６、２５２８）、そして、管理監査追跡の監査を安全データベースに保存することができる（ブロック２５３０、２５３２）。しばらくたった後で、ＡＵＤＩＴメソッド２５２０は、通信監査追跡を予めおこない（ブロック２５３４、２５３６）、その後、（１つ以上の）監査管理リクエストを、具体的なＵＤＥ、（１つ以上の）監査追跡ＵＤＥおよび／または安全データベースに格納されている（１つ以上の）管理記録に基づいて、１つ以上の管理オブジェクトへと書き込むことができる（ブロック２５３８、２５４０）。ＡＵＤＩＴメソッド２５２０は、その後、（終端点２５４６で）終了する前に、適切な情報を通信監査追跡に保存することができる（ブロック２５４２、２５４４）。
【０６８８】
図４４ｂは、図４４ａのブロック２５３８により発生され、通信された管理オブジェクトを受け取ると直ちに、ＶＤＥ内容プロバイダ、財務プロバイダあるいはその他の監査ＶＤＥノードによりおこなわれるステップの例を示している。この「管理応答」モードでのＡＵＤＩＴメソッド２５２０は、まず、通信および応答監査追跡の監査を予めおこない（ブロック２５５０、２５５２）、その後、受け取った管理オブジェクトの包みを開き、そこに含まれている（１つ以上の）監査リクエスト、（１つ以上の）監査追跡および（１つ以上の）監査記録を取り出して、それらを安全（ｓｅｃｕｒｅｄ）データベースへと格納することができる（ブロック２５５４、２５５６）。その後、ＡＵＤＩＴメソッド２５２０は、それら（１つ以上の）監査リクエストを安全データベースから取り出し、そのリクエストを処理するためにランすべき応答メソッドを決めることができる（ブロック２５５８、２５６０）。この段階で、ＡＵＤＩＴメソッド２５２０は、（１つ以上の）リクエスト記録に含まれている（１つ以上の）イベントを適切な応答メソッドに送り、このメソッドに基づいて、（１つ以上の）応答記録およびリクエストを発生することができる（ブロック２５６２、２５６４）。処理ブロック２５６２は、外界への通信を含んでいてもよい。
【０６８９】
例えば、ＡＵＤＩＴメソッド２５２０は、この時点で、例えばユーザの銀行口座またはその他の銀行口座に対する電子財産転送をおこなうために、外部の処理をコールしてもよい。ＡＵＤＩＴ管理応答は、もし望みとあれば、ＶＤＥを既存の１つ以上のコンピュータシステムにインタフェースする外部処理をコールすることもできる。この外部処理には、ユーザの口座番号、ＰＩＮ、残高のドル、あるいは、現在処理されているＶＤＥ監査追跡で設定されている、またはそれに関連づけられたその他何らかの情報を通すことができる。この外部処理は、非ＶＤＥのホストと通信することができ、それに通された情報をこれらの通信の一部として用いることができる。例えば、外部処理は、銀行へと提出するファイルの中に自動化された手形交換所（ＡＣＨ）記録を発生することができる。このメカニズムは、どのような財務団体における銀行口座でも自動的に貸し方あるいは借り方に記入する能力を提供できる。この同じメカニズムは、請求口座に対してＶＤＥベースの請求金額を提出することによって、既存のクレジットカード（例えば、ＶＩＳＡ）ネットワークと通信するのに用いられうる。
【０６９０】
いったん（１つ以上の）適切な監査応答記録が発生されると、ＡＵＤＩＴメソッド２５２０は、（１つ以上の）監査管理記録を管理オブジェクトへと書き込み、その監査リクエストを発生したＶＤＥユーザノードに通信し返すことができる（ブロック２５６６、２５６８）。その後、ＡＵＤＩＴメソッド２５２０は、（終端点２５７４で）終了する前に、通信および応答処理監査情報を（１つ以上の）適切な監査追跡に保存することができる（ブロック２５７０、２５７２）。
【０６９１】
図４４ｃは、図４４ｂのブロック２５６６により発生され、送られた管理オブジェクトを受け取ると直ちに、ＶＤＥユーザノードにおいて再びＡＵＤＩＴメソッド２５２０によりおこなわれうるステップの一例を示している。図４４ｃに示されているステップ２５８０〜２５９９は、「管理返答」モードにおけるＲＥＧＩＳＴＥＲメソッド２４００のための、図４３ｄに示されているステップに似ている。簡単にいうと、これらのステップは、管理オブジェクトから適切な応答記録を受け取り、抽出すること（ブロック２５８４）と、その後、受け取った情報を適切に処理することによって、安全データベースの記録を更新し、その他の必要なアクションをおこなうこと（ブロック２５９５、２５９６）とを伴う。
イベントによりドライブされた、内容ベースのメソッドの例
ＶＤＥメソッド１０００は、安全処理に対して非常にフレキシブルで、きわめてモジュール性の高いアプローチを提供するように設計される。「ユーザイベント」にサービスするための完全なＶＤＥ処理は、典型的には、いくつかのメソッド１０００の組み合わせとして構成されうる。一例を挙げれば、オブジェクト３００から内容あるいはその他の情報を読み出すための典型的な処理は、以下のメソッドを伴うことがある。
【０６９２】
・　ＥＶＥＮＴメソッド
・　ＭＥＴＥＲメソッド
・　ＢＩＬＬＩＮＧメソッド
・　ＢＵＤＧＥＴメソッド
図４５は、あるイベントに応答して、ＶＤＥ　１００により順次おこなわれる一連のメソッドの一例である。この例では、あるイベントが発生すると、ＥＶＥＮＴメソッド４０２は、そのイベントの「重要性を判定する」ことによって、それが有意であるかどうかを判定する。すべてのイベントが有意であるわけではない。例えば、もし制御処理におけるＥＶＥＮＴメソッド１０００が、使用法は、読まれたページの数に基づいて計量処理される（ｍｅｔｅｒｅｄ）べきであることを命ずるのなら、１ページ未満の情報を読みたいというユーザリクエスト「イベント」は、無視されることがある。別の例では、もしシステムイベントが、いくつかの数のバイトを読みたいというリクエストを表し、かつＥＶＥＮＴメソッド１０００が、パラグラフを計量処理するように設計された制御処理の一部であるのなら、このＥＶＥＮＴメソッドは、読み出しリクエストを評価することによって、リクエストされたバイトには、いくつのパラグラフが表現されているかを決めることができる。この処理は、以下にさらに詳細に説明する「原子エレメント」へのマッピングを伴うことがある。
【０６９３】
ＥＶＥＮＴメソッド４０２は、関連する具体的な制御メソッドには有意ではないイベントをフィルタリングして除く。ＥＶＥＮＴメソッド４０２は、重要性の判定されたイベントをＭＥＴＥＲ処理１４０４に渡すことができる。この処理は、それ固有の特定の基準に基づいて、イベントを計量処理するか、または破棄する。
【０６９４】
加えて、この好ましい実施の形態は、「プリチェック」と呼ばれる最適化を実現する。ＥＶＥＮＴメソッド／処理４０２は、計量処理、課金および予算に関する情報に基づきこの「プリチェック」をおこなうことによって、あるイベントに基づく処理が許可されるかどうかを判定する。例えば、ユーザが、ある情報の内容にアクセスする時、その予算を既に超えている結果、それ以上のアクセスが許可されない場合を考える。ＢＵＤＧＥＴメソッド４０８はこのような判定を下すことができるとはいうものの、ＢＵＤＧＥＴメソッド４０４および／またはＢＩＬＬＩＮＧメソッド４０６によりおこなわれる記録および処理は、例えば、実際には拒絶されたアクセスについてユーザが請求を受けることを防止するために、「やりなおし」しなければならないこともある。また、「やりなおし」しなければならない取引の数を少なくするために、ＥＶＥＮＴメソッド４０２内で「プリチェック」をおこなうほうが、効率がいいこともある。
【０６９５】
ＭＥＴＥＲメソッド４０４は、監査記録を例えば、計量「追跡」ＵＤＥ　１２００に格納し、そのイベントに関する情報も計量ＵＤＥ　１２００に格納することができる。例えば、ＭＥＴＥＲメソッド４０４は、内容がアクセスされる度に、計量ＵＤＥ　１２００内の「計量」値をインクリメントまたはデクリメントすることができる。これら２つの異なるデータ構造（計量ＵＤＥおよび計量追跡ＵＤＥ）は、例えば、内部操作を目的としてつけられている記録とは別に保守される、リポートを目的とした記録をつけることを許可するように保守されうる。
【０６９６】
いったん、イベントがＭＥＴＥＲメソッド４０４により計量処理されると、計量処理されたそのイベントは、ＢＩＬＬＩＮＧメソッド４０６により処理されうる。ＢＩＬＬＩＮＧメソッド４０６は、どのぐらいの予算がそのイベントにより消費されるかを決め、計量と予算との間の調停に役立つ記録をつける。よって、例えば、ＢＩＬＬＩＮＧメソッド４０６は、予算ＵＤＥから予算情報を読み出し、課金情報を課金ＵＤＥに記録し、１つ以上の監査記録を課金追跡ＵＤＥに書き込むことができる。ある課金追跡の情報が計量および／または予算追跡の情報を複製することはあるものの、その課金追跡の情報は、例えば、内容の作成者１０２が、一定額の支払いを期待できるようにするのに役立ち、また、作成者１０２に送られた計量追跡の情報を、例えば独立採算プロバイダへと送られた予算追跡の情報と調停する調停チェックとしてもはたらく。
【０６９７】
その後、ＢＩＬＬＩＮＧメソッド４０６は、その後、イベントをＢＵＤＧＥＴメソッド４０８に渡すことができる。ＢＵＤＧＥＴメソッド４０８は、限界を設定し、その限界に関連づけられた取引の情報を記録する。例えば、ＢＵＤＧＥＴメソッド４０８は、予算情報を予算ＵＤＥに格納し、監査記録を予算追跡ＵＤＥに格納することができる。ＢＵＤＧＥＴメソッド４０８は、結果的には、ＢＩＬＬＩＮＧメソッド４０６により指定される量だけデクリメントされる予算ＵＤＥにおける「予算残高」フィールドになることがある。
【０６９８】
いったん各種メソッド４０２、４０４、４０６および４０８がそのイベントを処理し終わったら、その情報の内容が明らかにされてもよいし、またはその他のアクションが起こされてもよい。
【０６９９】
前述したように、好ましい実施の形態におけるＰＥＲＣ　８０８には、制御処理におけるその他の要求されたメソッドのパフォーマンスを実際に「監督する」、「制御メソッド」が提供されてもよい。図４６は、図４５の要求されたメソッド／処理４０２、４０４、４０６および４０８が、制御メソッド４１０によりどのように組織され、制御されうるかを示している。制御メソッド４１０は、イベントをコールして迅速に処理するか、さもなくば他のすべてのメソッド４０２、４０４、４０６および４０８を実施するか、さもなくば、ある「イベント」に応答しておこなわれる処理を監督する。
【０７００】
制御メソッドは、ＰＥＲＣ　８０８内の制御セット９０６のレベルではたらく。これらのメソッドは、獲得された異種のメソッド１０００間の構造、論理および制御の流れを提供する。このメカニズムにより、内容プロバイダが、望みのどのような処理の連鎖でも生成することが可能になり、また、その具体的な処理の連鎖を、下流側の再配付者たちが（許容された限界内で）改変することも可能になる。このような制御メソッドの概念により、大きな柔軟性が実現する。
【０７０１】
図４７は、ＭＥＴＥＲメソッド４０４、ＢＵＤＧＥＴメソッド４０６およびＢＩＬＬＩＮＧメソッド４０８を「集合」処理フローの中に集結する「集合」メソッド４１２の一例を示している。集合メソッド４１２は、例えば、計量処理、予算作成および課金のさまざまな要素を単一のメソッド１０００の中に組み合わせることができる。集合メソッド４１２は、ＭＥＴＥＲメソッド４０４、ＢＵＤＧＥＴメソッド４０６およびＢＩＬＬＩＮＧメソッド４０８を一括処理する結果として効率の向上を実現可能とするが、モジュール性が低下するので柔軟性を低下させてしまう。
【０７０２】
多数の異なるメソッドを、同時に実施することができる。図４８は、多数のＭＥＴＥＲメソッド４０４および多数のＢＵＤＧＥＴメソッド１４０８を用いる、好ましい実施の形態によるイベント処理の一例を示している。いくつかのイベントを、独立して、または累積するように作用する異なる多数の要求されたメソッドにかけることができる。例えば、図４８に示されている例では、計量メソッド４０４ａは、ＭＥＴＥＲメソッド４０４ｂにより保守されている計量追跡および計量情報記録からは独立した計量追跡および計量情報記録を保守することができる。同様に、ＢＵＤＧＥＴメソッド４０８ａは、ＢＵＤＧＥＴメソッド４０８ｂにより保守されている記録からは独立して、記録を保守することができる。いくつかのイベントは、ＢＩＬＬＩＮＧメソッド４０８をバイパスとしながら、それでも計量メソッド４０４ａおよびＢＵＤＧＥＴメソッド４０８ａにより処理されうる。それぞれ異なる変形からなる多種多様な組み合わせが可能である。
ＶＤＥメソッドの代表例
メソッド１０００には、実質的に無限の組み合わせがあり、またそのうちのいくつかはユーザにより規定されうるものもあるが、好ましい実施の形態では、ＶＤＥ　１００により提供されるより基本的なオブジェクト操作およびその他の機能の大半を制御するために、いくつかの基本的な「使用」型のメソッドが好ましくは用いられる。例えば、典型的には、以下の高レベルメソッドが、オブジェクト操作用に提供されることになる。
【０７０３】
・　ＯＰＥＮメソッド
・　ＲＥＡＤメソッド
・　ＷＲＩＴＥメソッド
・　ＣＬＯＳＥメソッド
ＯＰＥＮメソッドは、ある入れ物の内容にアクセスできるように、その入れ物を開くことを制御するのに用いられる。ＲＥＡＤメソッドは、ある入れ物の内容へのアクセスを制御するのに用いられる。ＷＲＩＴＥメソッドは、ある入れ物への内容の挿入を制御するのに用いられる。ＣＬＯＳＥメソッドは、開かれていたある入れ物を閉じるのに用いられる。
【０７０４】
ＯＰＥＮ、ＲＥＡＤ、ＷＲＩＴＥおよび／またはＣＬＯＳＥ法により要求されるステップのうちのいくつかをおこなうために、補助的なメソッドがいくつか提供される。このような補助的メソッドには、以下のものがある。
【０７０５】
・　ＡＣＣＥＳＳメソッド
・　ＰＡＮＩＣメソッド
・　ＥＲＲＯＲメソッド
・　ＤＥＣＲＹＰＴメソッド
・　ＥＮＣＲＹＰＴメソッド
・　内容ＤＥＳＴＲＯＹメソッド
・　ＩＮＦＯＲＭＡＴＩＯＮメソッド
・　ＯＢＳＣＵＲＥメソッド
・　ＦＩＮＧＥＲＰＲＩＮＴメソッド
・　ＥＶＥＮＴメソッド
・　ＣＯＮＴＥＮＴメソッド
・　ＥＸＴＲＡＣＴメソッド
・　ＥＭＢＥＤメソッド
・　ＭＥＴＥＲメソッド
・　ＢＵＤＧＥＴメソッド
・　ＲＥＧＩＳＴＥＲメソッド
・　ＢＩＬＬＩＮＧメソッド
・　ＡＵＤＩＴメソッド
ＡＣＣＥＳＳメソッドは、開かれた入れ物に関連づけられた内容（その内容は、どこにあってもよい）に物理的にアクセスするのに用いられうる。ＰＡＮＩＣメソッドは、もし安全性の侵害が検出されれば、ＶＤＥノードの少なくとも一部をディセーブルするのに用いられうる。ＥＲＲＯＲメソッドは、エラー状況を操作するのに用いられうる。ＤＥＣＲＹＰＴメソッドは、暗号化された情報を復号化するのに用いられる。ＥＮＣＲＹＰＴメソッドは、情報を暗号化するのに用いられる。内容ＤＥＳＴＲＯＹメソッドは、入れ物の中の具体的な内容にアクセスする能力を破壊するのに用いられる。ＩＮＦＯＲＭＡＴＩＯＮメソッドは、入れ物の内容に関する公開情報を提供するのに用いられる。ＯＢＳＣＵＲＥメソッドは、開かれた入れ物から読み出された内容の価値を減ずる（例えば、表示されている画像の上に単語「ＳＡＭＰＬＥ」を書き込む）のに用いられる。ＦＩＮＧＥＲＰＲＩＮＴメソッドは、内容にマークをつけることによって、誰がその内容を安全な入れ物から明らかにしたかを示すために用いられる。イベントメソッドは、他のメソッドによる応答のために、イベントを異なるイベントに変換するのに用いられる。
オープン
図４９は、ＯＰＥＮメソッド１５００の一例について好ましい実施の形態による処理制御ステップの一例を示すフローチャートである。異なるＯＰＥＮメソッドでは、詳細なステップもそれぞれ異なってくる。しかし、図４９に示されているＯＰＥＮメソッドは、好ましい実施の形態により提供される比較的、多くの特徴を備えた「オープン」メソッドの代表例である。図４９は、ＯＰＥＮメソッドの巨視的な図を示している。図４９ａ〜図４９ｆは、全部合わせると、図４９に示されているメソッドを実施するためにおこなわれる詳細なプログラム制御されたステップの一例を示している。
【０７０６】
ＯＰＥＮメソッドの処理は、「オープンイベント」からスタートする。このオープンイベントは、ユーザアプリケーションによって、または制御を獲得するか、それに割り込む、オペレーティングシステムの割り込みあるいはその他さまざまなメカニズムによって発生される。例えば、ユーザアプリケーションは、ＶＤＥの入れ物の中に格納されている特定の内容物にアクセスするリクエストを発することができる。別の例としては、別のメソッドが、コマンドを発することもある。
【０７０７】
図示されている例では、オープンイベントは、制御メソッド１５０２により処理される。制御メソッド１５０２は、他のメソッドにそのイベントの処理をコールすることもできる。例えば、制御メソッド１５０２は、ＥＶＥＮＴメソッド１５０４、ＭＥＴＥＲメソッド１５０６、ＢＩＬＬＩＮＧメソッド１５０８およびＢＵＤＧＥＴメソッド１５１０をコールすることもできる。必ずしもＯＰＥＮ制御メソッドのすべてが、このような追加のメソッドをコールするわけではなく、図４９に示されているＯＰＥＮメソッド１５００は、代表例にすぎない。
【０７０８】
制御メソッド１５０２は、オープンイベントの記述をＥＶＥＮＴメソッド１５０４に渡す。ＥＶＥＮＴメソッド１５０４は、例えば、オープンイベントにパーミッションが与えられているかどうかを判定し、そのオープンイベントが、ＭＥＴＥＲメソッド１５０６、ＢＩＬＬＩＮＧメソッド１５０８および／またはＢＵＤＧＥＴメソッド１５１０により処理される必要があるという意味合いで有意であるかどうかを判定する。ＥＶＥＮＴメソッド１５０４は、監査追跡ＵＤＥ内で監査追跡情報を保守し、イベントメソッドデータエレメント（ＭＤＥ）を用いることによって、イベントのパーミッションおよび有意性を判定することができる。ＥＶＥＮＴメソッド１５０４はまた、オープンイベントを「原子エレメント」へとマッピングし、ＭＥＴＥＲメソッド１５０６、ＢＩＬＬＩＮＧメソッド１５０８および／またはＢＵＤＧＥＴメソッド１５１０により処理されうるカウントの中にマッピングすることもできる。
【０７０９】
ＯＰＥＮメソッド１５００では、いったんＥＶＥＮＴメソッド１５０４がコールされ、そのリターンに成功すると、制御メソッド１５０２は、次にＭＥＴＥＲメソッド１５０６をコールし、そのＭＥＴＥＲメソッドに原子エレメントおよびＥＶＥＮＴメソッド１５０４によりリターンされたカウントを渡すことができる。ＭＥＴＥＲメソッド１５０６は、監査追跡情報をＭＥＴＥＲメソッドの監査追跡ＵＤＥの中で保守し、計量情報をＭＥＴＥＲメソッドのＵＤＥの中で保守することができる。好ましい実施の形態では、ＭＥＴＥＲメソッド１５０６は、完了に成功したとすると、計量値を制御メソッド１５０２にリターンする。
【０７１０】
好ましい実施の形態では、制御メソッド１５０２は、ＭＥＴＥＲメソッド１５０６が完了に成功したという通知を受け取ると直ちに、ＢＩＬＬＩＮＧメソッド１５０８をコールする。制御メソッド１５０２は、ＭＥＴＥＲメソッド１５０６により提供された計量値をＢＩＬＬＩＮＧメソッド１５０８に渡すことができる。ＢＩＬＬＩＮＧメソッド１５０８は、ＢＩＬＬＩＮＧメソッドのマップＭＤＥにおいて保守されている課金情報を読み出して更新し、監査追跡をＢＩＬＬＩＮＧメソッドの監査追跡ＵＤＥにおいて保守し更新することができる。ＢＩＬＬＩＮＧメソッド１５０８は、課金額と完了コードとを制御メソッド１５０２にリターンすることができる。
【０７１１】
ＢＩＬＬＩＮＧメソッド１５０８が完了に成功したとすると、制御メソッド１５０２は、ＢＩＬＬＩＮＧメソッド１５０８により提供された課金価格をＢＵＤＧＥＴメソッド１５１０に渡すことができる。ＢＵＤＧＥＴメソッド１５１０は、ＢＵＤＧＥＴメソッドのＵＤＥ内の予算情報を読み出して更新し、ＢＵＤＧＥＴメソッドの監査追跡ＵＤＥ内の監査追跡情報を保守することができる。ＢＵＤＧＥＴメソッド１５１０は、予算金額を制御メソッド１５０２にリターンし、（このタイプのイベントの場合）オープンイベントがユーザの予算を超えたかどうかを示す完了コードをリターンすることができる。
【０７１２】
ＢＵＤＧＥＴメソッド１５１０が完了すると、制御メソッド１５０２は、チャネルを生成し、後でおこなわれるＲＥＡＤメソッドへのコールに備えて、読み出し／使用制御情報を確定することができる。
【０７１３】
図４９ａ〜図４９ｆは、図４９に示されているＯＰＥＮメソッド１５００の例のより詳細な記述である。図４９ａを参照すると、オープンイベントに応答して、制御メソッド１５０２は、まず開かれるべきオブジェクトの識別子と、開かれるべきオブジェクトをリクエストしたユーザの識別子とを判定する（ブロック１５２０）。次に、制御メソッド１５０２は、開かれるべきオブジェクトが、このユーザに登録されているかどうかを判定する（判定ブロック１５２２）。好ましい実施の形態では、この判定は、少なくとも部分的には、ブロック１５２０により判定された特定のオブジェクトおよび特定のユーザに関連づけられたＰＥＲＣ　８０８およびユーザ権利テーブル（ＵＲＴ）エレメントを読み出すことによっておこなわれる（ブロック１５２４）。もしユーザがこの特定のオブジェクトについて登録されていないのなら（判定ブロック１５２２に対する「ノー」エグジット）、制御メソッド１５０２は、そのオブジェクトについてＲＥＧＩＳＴＥＲメソッドをコールし、いったん登録が完了すれば、ＯＰＥＮメソッド１５００を再開することができる（ブロック１５２６）。ＲＥＧＩＳＴＥＲメソッドのブロック１５２６は、独立した処理でありうるし、時間非依存でもありうる。例えば、ＲＥＧＩＳＴＥＲメソッドを完了するのに比較的長い時間を要することがある（例えば、ＶＤＥ配付者や、登録を提供する責任をもつその他の加入者が、この特定のオブジェクトについてユーザを登録する前に、そのユーザについてクレジットチェックをおこなうことを望む時など）。
【０７１４】
このユーザおよびオブジェクトについて正しいＵＲＴが存在しており、そのオブジェクトはこのユーザについて登録されていることを示したとする（判定ブロック１５２２に対する「イエス」エグジット）と、制御メソッド１５０２は、そのオブジェクトが既にこのユーザに対して開かれているかどうか判定することができる（判定ブロック１５２８）。このテストにより、既に開かれているオブジェクトを開くために冗長なチャネルを生成するのを避けることができる。そのオブジェクトがまだ開かれていないものとする（判定ブロック１５２８に対する「ノー」エグジット）と、制御メソッド１５０２は、チャネルを生成し、適切なオープン制御エレメントをそのチャネルに結びつける（ブロック１５３０）。このメソッドは、適切なオープン制御エレメントを安全データベース（または、例えば、移動するオブジェクトの場合には入れ物）から読み出し、このユーザに対してそのオブジェクトを開くことを制御するために、これら特定の適切な制御エレメントを「結びつける」か、「連結」する。よって、ブロック１５３０は、１つのイベントに、１つ以上の適切なメソッドコア、適切なロードモジュール、適切なユーザデータエレメント、および安全データベース（または入れ物）から読み出された適切なメソッドデータエレメントを関連づける（ブロック１５３２）。この時点で、制御メソッド１５０２は、（開始すべきＯＰＥＮメソッドをスタートした）オープンイベントと、（ブロック１５２０により判定された）オブジェクトＩＤおよびユーザＩＤと、安全データベース「取引」（ブロック１５３６）を実現するための後続するＥＶＥＮＴメソッド１５０４、ＭＥＴＥＲメソッド１５０６、ＢＩＬＬＩＮＧメソッド１５０８およびＢＵＤＧＥＴメソッド１５１０に対する、ブロック１５３０により生成されたチャネルのチャネルＩＤとを指定する。そうする前に、制御メソッド１５０２は、監査処理を予めおこない（ブロック１５３３）、たとえ取引が失敗したり、干渉を受けたりしても、その取引の記録が存在しているように、監査情報を監査ＵＤＥへと書き込む（ブロック１５３４）。
【０７１５】
ＥＶＥＮＴメソッド１５０４によりおこなわれる詳細なステップは、図４９ｂに述べられている。ＥＶＥＮＴメソッド１５０４は、まず、もし必要なら、イベント監査追跡を予めおこなう（ブロック１５３８）ことができる。これにより、ＥＶＥＮＴメソッドの監査追跡ＵＤＥへと書き込む（ブロック１５４０）ことができる。ＥＶＥＮＴメソッド１５０４は、次に、マップＭＤＥを用いて、オープンイベントを原子エレメント番号およびカウントへとマッピングするステップ（ブロック１５４２）をおこなうことができる。ＥＶＥＮＴメソッドのマップＭＤＥは、安全データベースから読み出されうる（ブロック１５４４）。ブロック１５４２によりおこなわれるこのマッピング処理は、例えば、オープンイベントが計量処理可能、課金可能あるいは予算作成可能であるかどうかを判定することができ、また、オープンイベントを、計量処理、課金および／または予算作成するための何らかの別個の原子エレメントに変換することができる。一例を挙げれば、ブロック１５４２は、オープンイベントと「オープン」原子エレメントとの間で１対１のマッピングをおこなうことができるし、そのオブジェクトが５回開かれるごとに１個のオープン原子エレメントを提供するにとどめることもできる。マップブロック１５４２は、好ましくは、オープンイベント、イベントカウント、原子エレメント番号、オブジェクトＩＤおよびユーザＩＤをリターンする。この情報は、ＥＶＥＮＴメソッドの監査追跡ＵＤＥ内に書き込まれうる（ブロック１５４６、１５４８）。好ましい実施の形態では、次に、ＥＶＥＮＴメソッドが失敗したかどうかを判定するために、テスト（判定ブロック１５５０）がおこなわれる。具体的には、判定ブロック１５５０は、原子エレメント番号が発生されたかどうかを判定することができる。もし何の原子エレメント番号も発生されていなければ（これは、例えば、このオープンイベントが、ＭＥＴＥＲメソッド１５０６、ＢＩＬＬＩＮＧメソッド１５０８および／またはＢＵＤＧＥＴメソッド１５１０により処理するほど有意ではないことを意味する）、ＥＶＥＮＴメソッド１５０４は、「失敗」完了コードを制御メソッド１５０２にリターンすることができる（判定ブロック１５５０に対する「ノー」エグジット）。
【０７１６】
制御メソッド１５０２は、ＥＶＥＮＴメソッド１５０４によりリターンされた完了コードをテストすることによって、それが失敗したのか、あるいは成功したのかを判定する（判定ブロック１５５２）。もし、ＥＶＥＮＴメソッドが失敗したのなら（判定ブロック１５５２に対する「ノー」エグジット）、制御メソッド１５０２は、安全データベース取引を「ロールバックし」て（ブロック１５５４）、ＯＰＥＮメソッドが失敗したことを表示して自らをリターンする（ブロック１５５６）。この文脈において、安全データベース取引を「ロールバックする」とは、例えば、ブロック１５４０、１５４８により監査追跡ＵＤＥに施された変更を「元に戻す」ことを意味する。しかし、好ましい実施の形態においてブロック１５５４によりおこなわれるこの「ロールバック」は、ブロック１５３２、１５３４により制御メソッドの監査ＵＤＥに施された変更を「元に戻さない」。
【０７１７】
ＥＶＥＮＴメソッド１５０４が完了に成功したものとすると、制御メソッド１５０２は、次に、図４９ｃに示されているＭＥＴＥＲメソッド１５０６をコールする。好ましい実施の形態では、ＭＥＴＥＲメソッド１５０６は、もし必要なら計量監査追跡を予めおこなう（ブロック１５５８）。このことは、典型的には、ＭＥＴＥＲメソッドの監査追跡ＵＤＥへの書き込みを伴う（ブロック１５６０）。ＭＥＴＥＲメソッド１５０６は、その後、ＭＥＴＥＲメソッドのＵＤＥを安全データベースから読み出し（ブロック１５６２）、計量ＵＤＥに含まれている計量値に適切なイベントカウントを加えることによって、計量ＵＤＥを修正し（ブロック１５６４）、その後、修正した計量ＵＤＥを安全データベースに再び書き込む（ブロック１５６２）。換言すれば、ブロック１５６４は、計量ＵＤＥを読み出し、それが含む計量カウントをインクリメントし、変更した計量ＵＤＥを安全データベースに再び書き込む。好ましい実施の形態では、ＭＥＴＥＲメソッド１５０６は、その後、もし必要なら、ＭＥＴＥＲメソッドの監査追跡ＵＤＥへと計量監査追跡情報を書き込むことができる（ブロック１５６６、１５６８）。ＭＥＴＥＲメソッド１５０６は、好ましくは、次にテストをおこなうことによって、計量のインクリメントが成功したかどうかを判定する（判定ブロック１５７０）。ＭＥＴＥＲメソッド１５０６は、完了コード（例えば、成功または失敗）およびブロック１５６４により決定された計量値を伴って制御メソッド１５０２にリターンする。
【０７１８】
制御メソッド１５０２は、例えば、完了コードを調べることによって、ＭＥＴＥＲメソッドが成功したかどうかをテストする（判定ブロック１５７２）。もしＭＥＴＥＲメソッドが失敗したのなら（判定ブロック１５７２に対する「ノー」エグジット）、制御メソッド１５０２は、安全データベース取引を「ロールバックし」（ブロック１５７４）、ＯＰＥＮメソッドが失敗したという表示を伴ってリターンする（ブロック１５７６）。ＭＥＴＥＲメソッドが成功した（判定ブロック１５７２に対する「イエス」エグジット）ものとすると、制御メソッド１５０２は、ＢＩＬＬＩＮＧメソッド１５０８をコールし、このメソッドに、ＭＥＴＥＲメソッド１５０６により提供された計量値を渡す。
【０７１９】
ＢＩＬＬＩＮＧメソッド１５０８によりおこなわれるステップの一例は、図４９ｄに述べられている。ＢＩＬＬＩＮＧメソッド１５０８は、もし必要なら、安全データベース内のＢＩＬＬＩＮＧメソッドの監査追跡ＵＤＥへと書き込む（ブロック１５８０）ことによって、課金監査追跡を予めおこなうことができる（ブロック１５７８）。ＢＩＬＬＩＮＧメソッド１５０８は、その後、安全データベースから読み出されたＢＩＬＬＩＮＧメソッドのマップＭＤＥを用いて、原子エレメント番号、カウントおよび計量値を課金額にマッピングすることができる（ブロック１５８２、１５８４）。例えば、価格リスト情報を含む、独立したＢＩＬＬＩＮＧメソッドのマップＭＤＥを提供することによって、この課金処理で、別々に配送可能な価格決定をおこなうことが可能になる。ブロック１５８２により発生される、結果として生じる課金額は、ＢＩＬＬＩＮＧメソッドの監査追跡ＵＤＥへと書き込まれ（ブロック１５８６、１５８８）てもよいし、制御メソッド１５０２へとリターンされてもよい。加えて、ＢＩＬＬＩＮＧメソッド１５０８は、課金額が、ブロック１５８２により正しく選択されたかどうかを判定する（判定ブロック１５９０）ことができる。この例では、ブロック１５９０によりおこなわれるテストは、広くいうと、リターンされた課金額を単に調べること以上のことを要求する。なぜなら、課金額は、ＢＩＬＬＩＮＧメソッドのマップＭＤＥにより指定される予想できないいくつかのメソッドで変更されうるからである。次に、制御は、制御メソッド１５０２にリターンする。このメソッドは、ＢＩＬＬＩＮＧメソッド１５０８により提供された完了コードをテストすることによって、ＢＩＬＬＩＮＧメソッドが成功したのか、あるいは失敗したのか判定する（ブロック１５９２）。もし、ＢＩＬＬＩＮＧメソッドが失敗した（判定ブロック１５９２に対する「ノー」エグジット）のなら、制御メソッド１５０２は、安全データベース取引を「ロールバックし」て（ブロック１５９４）、ＯＰＥＮメソッドが失敗したという表示をリターンする（ブロック１５９６）。判定ブロック１５９２によりおこなわれたテストが、ＢＩＬＬＩＮＧメソッドの成功を示す（判定ブロック１５９２に対する「イエス」エグジット）と、制御メソッド１５０２は、ＢＵＤＧＥＴメソッド１５１０をコールすることができる。
【０７２０】
その他のＢＩＬＬＩＮＧメソッドは、例えば、価格決定情報を確定するために、サイト、ユーザおよび／または使用法情報を用いることができる。例えば、オブジェクトの存在または不在に関する情報は、「揃い物」の購入、競合値引きなどを確定するのに用いられうる。使用法のレベルは、使用法のそれぞれ異なるレベルについて価格の分かれ目を確定するＢＩＬＬＩＮＧメソッドへと分解されうる。ＢＩＬＬＩＮＧメソッドは、通貨を換金する特徴をもっているので、購入および／または価格決定を多数の異なる通貨でおこなうことを可能にする。あるイベントにより消費される予算金額を決定するためには、ＢＩＬＬＩＮＧメソッドの中に取り入れることができる、その他多くの可能性が存在する。
【０７２１】
ＢＵＤＧＥＴメソッド１５１０によりおこなわれる詳細な制御ステップの一例は、図４９ｅに述べられている。ＢＵＤＧＥＴメソッド１５１０は、もし必要なら、予算追跡ＵＤＥへと書き込むことによって、予算監査追跡を予めおこなうことができる（ブロック１５９８、１６００）。ＢＵＤＧＥＴメソッド１５１０は、次に、課金額を予算価格に加算することによって、課金操作をおこなうことができる（ブロック１６０２）。この操作は、例えば、ＢＵＤＧＥＴメソッドのＵＤＥを安全データベースから読み出し、それを修正した後、それを安全データベースに再び書き込むことによっておこなわれうる（ブロック１６０４）。ＢＵＤＧＥＴメソッド１５１０は、その後、予算監査追跡情報をＢＵＤＧＥＴメソッドの監査追跡ＵＤＥに書き込むことができる（ブロック１６０６、１６０８）。この例では、ＢＵＤＧＥＴメソッド１５１０は、最後に、ブロック１６０２により計算された予算価格が範囲外であるかどうかを判定する（判定ブロック１６１０）ことによって、ユーザが予算を使い果たしたかどうかを判定することができる。もしユーザが予算を使い果たしたのなら（判定ブロック１６１０に対する「イエス」エグジット）、ＢＵＤＧＥＴメソッド１５１０は、「失敗完了」コードを制御メソッド１５０２にリターンすることができる。ＢＵＤＧＥＴメソッド１５１０は、その後、制御メソッド１５０２にリターンし、制御メソッド１５０２は、ＢＵＤＧＥＴメソッドの完了コードが成功したかどうかをテストする（判定ブロック１６１２）。もしＢＵＤＧＥＴメソッドが失敗したのなら（判定ブロック１６１２に対する「ノー」エグジット）、制御メソッド１５０２は、安全データベース取引を「ロールバックし」て、ＯＰＥＮメソッドが失敗したという表示を伴って自らをリターンする（ブロック１６１４、１６１６）。制御メソッド１５０２が、ＢＵＤＧＥＴメソッドは成功したと判定したものとすると、この制御メソッドは、図４９ｆに示されている追加のステップをおこなうことができる。例えば、制御メソッド１５０２は、もし必要なら、ブロック１５３２において予めおこなわれた監査ＵＤＥへと監査情報を書き込むことによって、オープン監査追跡を書き込むことができる（ブロック１６１８、１６２０）。制御メソッド１５０２は、その後、チャネルを確定するためにオブジェクトとユーザとに関連づけられたユーザ権利テーブルおよびＰＥＲＣを用いて（ブロック１６２４）、読み出しイベント処理（ブロック１６２２）を確定することができる。このチャネルは、望みとあればＶＤＥノード６００のユーザ間で共有されてもよいし、指定されたユーザのみによって用いられてもよい。
【０７２２】
制御メソッド１５０２は、その後、好ましい実施の形態では、読み出しチャネルの確立が成功したかどうかをテストする（判定ブロック１６２６）。もし読み出しチャネルが、確立に成功していなかったのなら（判定ブロック１６２６に対する「ノー」エグジット）、制御メソッド１５０２は、安全（ｓｅｃｕｒｅｄ）データベース取引を「ロールバックし」て、ＯＰＥＮメソッドが失敗したという表示を与える（ブロック１６２８、１６３０）。読み出しチャネルが確立に成功したものとすると（判定ブロック１６２６に対する「イエス」エグジット）、制御メソッド１５０２は、安全データベース取引を「委託する（ｃｏｍｍｉｔ）」ことができる（ブロック１６３２）。この安全データベース取引を「委託する」ステップは、好ましい実施の形態では、例えば、今おこなわれたばかりの安全取引に関連づけられた中間価格を削除し、かつ、ある例では、変更したＵＤＥおよびＭＤＥを安全データベースに書き込むことを伴う。いったん、安全な取引がブロック１６３２により委託されれば、それを「ロールバックする」ことは一般に不可能である。次に、制御メソッド１５０２は、終了する（ブロック１６３６）前にオープン処理のためのチャネルを「解体」する（ブロック１６３４）ことができる。マルチタスクＶＤＥノード環境のようなある種の構成では、オープンチャネルは、コンスタントに保守され、スタートするいかなるＯＰＥＮメソッドによりいつでも用いられるようにしてもよい。その他の実現形態では、オープン処理のためのチャネルは、ＯＰＥＮメソッドがスタートするたびに、構成しなおされ、スタートしなおされてもよい。
読み出し
図５０、図５０ａ〜図５０ｆは、ＲＥＡＤメソッド１６５０の代表例をおこなうための処理制御ステップの例を示している。図５０を図４９と比較すれば、典型的には、ＯＰＥＮメソッド１５００について説明したように、全体的には同様に高レベル処理が、ＲＥＡＤメソッド１６５０についてもおこなわれることがわかる。よって、ＲＥＡＤメソッド１６５０が、ある読み出しイベントに応答して、制御メソッド１６５２をコールすると、制御メソッドは、これに応答して、ＥＶＥＮＴメソッド１６５４、ＭＥＴＥＲメソッド１６５６、ＢＩＬＬＩＮＧメソッド１６５８およびＢＵＤＧＥＴメソッド１６６０を実施する。好ましい実施の形態では、ＲＥＡＤ制御メソッド１６５２は、復号化された内容を明らかにする前に、内容の指紋を採る、および／またはそれを曖昧にするためのメソッドをリクエストすることができる。
【０７２３】
図５０ａ〜図５０ｅは、図４９ａ〜図４９ｅと同様である。もちろん、ＯＰＥＮメソッド１５００およびＲＥＡＤメソッド１６５０の両方に同じユーザデータエレメントを用いることはできるものの、ＲＥＡＤメソッドのためのメソッドデータエレメントは全く違っていてもよい。加えて、ユーザデータエレメントは、読み出し用にオープン処理の場合とは対照的な、異なる監査、計量処理、課金および／または予算作成基準を設けてもよい。
【０７２４】
図５０ｆを参照すると、ＲＥＡＤ制御メソッド１６５２は、もし復号化された内容をユーザに明らかにしようとしているのなら、内容を復号化するのにどのキーを用いるべきかを決定しなければならない（ブロック１７５８）。ＲＥＡＤ制御メソッド１６５２は、部分的には、そのオブジェクト用のＰＥＲＣ　８０８に基づいて（ブロック１７６０）、このキー決定をおこなうことができる。ＲＥＡＤ制御メソッド１６５２は、次に、ＡＣＣＥＳＳメソッドをコールすることによって、復号化されるべき暗号化された内容を実際に得る（ブロック１７６２）。この内容は、ブロック１７５８により決定されたキーを用いて復号化される（ブロック１７６４）。ＲＥＡＤ制御メソッド１６５２は、次に「指紋」が望ましいかどうかを判定することができる（判定ブロック１７６６）。もしその内容の指紋採取が望まれるのなら（判定ブロック１７６６に対する「イエス」エグジット）、ＲＥＡＤ制御メソッド１６５２は、ＦＩＮＧＥＲＰＲＩＮＴメソッドをコールすることができる（ブロック１７６８）。そうでなければ、ＲＥＡＤ制御メソッド１６５２は、復号化された内容を曖昧にするのが望ましいかどうかを判定する（判定ブロック１７７０）。もしそうなら、ＲＥＡＤ制御メソッド１６５２は、ＯＢＳＣＵＲＥメソッドをコールしてこの機能を実行することができる（ブロック１７７２）。最後に、ＲＥＡＤ制御メソッド１６５２は、安全データベース取引を委託し（ブロック１７７４）、望みとあれば読み出しチャネルを解体して（不図示）、終了することができる（ブロック１７７６）。
書き込み
図５１、図５１ａ〜図５１ｆは、好ましい実施の形態において、ＷＲＩＴＥメソッド１７８０の代表例を実施するために用いられる処理制御ステップの例を示すフローチャートである。ＷＲＩＴＥメソッド１７８０は、この例では、制御メソッド１７８２を用いて、ＥＶＥＮＴメソッド１７８４、ＭＥＴＥＲメソッド１７８６、ＢＩＬＬＩＮＧメソッド１７８８およびＢＵＤＧＥＴメソッド１７９０をコールする。よって、好ましい実施の形態では、（既に入れ物に格納されている情報を上書きすることによって、またはその入れ物に情報を追加することによって）情報を入れ物に書き込むことは、入れ物を開いたり、入れ物から読み出したりすることが、計量処理され、課金され、かつ予算作成されるやり方と同様に、計量処理され、課金され、かつ予算作成されうる。図５１に示されているように、ＷＲＩＴＥメソッド１７８０の最終結果は、典型的には、内容を暗号化し、内容および関連する情報の入れ物テーブルを更新することによって新しい内容を反映させ、その内容をオブジェクトに書き込むことである。
【０７２５】
ＷＲＩＴＥ制御メソッド１７８２のための図５１ａは、それぞれＯＰＥＮ制御メソッドおよびＲＥＡＤ制御メソッドのための図４９ａおよび図５０ａに類似している。しかし、図５１ｂは、オープンおよびリードの対応する図とはわずかに異なっている。具体的には、ブロック１８２０は、もしＷＲＩＴＥ　ＥＶＥＮＴメソッド１７８４が失敗すれば、おこなわれる。このブロック１８２０は、ＥＶＥＮＴメソッドのマップＭＤＥを更新することによって、新しいデータを反映させる。このことは、ブロック１８１０により書き込まれた情報が、同じ（だが今や更新されている）ＥＶＥＮＴメソッドのマップＭＤＥに基づいて図５１ｂのＲＥＡＤメソッドのブロック１６７８により読み出されるようにする必要がある。
【０７２６】
図５１ｆを見れば、いったんＥＶＥＮＴ、ＭＥＴＥＲ、ＢＩＬＬＩＮＧおよびＢＵＤＧＥＴメソッドが上首尾にＷＲＩＴＥ制御メソッド１７８２にリターンすると、ＷＲＩＴＥ制御メソッドは、監査情報を監査ＵＤＥへと書き込んだ（ブロック１８９０、１８９２）後、内容が入れ物の中に書き込まれる前に、その内容を暗号化するのにどの鍵を用いるべきかを（そのオブジェクトおよびユーザに対するＰＥＲＣおよび選択可能な演算アルゴリズムに基づいて）決定する（ブロック１８９４、１８９６）。その後、ＣＯＮＴＲＯＬメソッド１７８２は、一例としてはＥＮＣＲＹＰＴメソッドをコールすることによって、内容を暗号化し（ブロック１８９８）、暗号化された内容をオブジェクトに書き込む（ブロック１９００）。ＣＯＮＴＲＯＬメソッド１７８２は、その後、入れ物に対する内容（および関連する情報）を含むテーブルを更新することによって、新たに書き込まれた情報を反映させ（ブロック１９０２）、安全データベース取引（ブロック１９０４）を委託した後、リターンする（ブロック１９０６）。
クローズ
図５２は、好ましい実施の形態において、ＣＬＯＳＥメソッド１９２０の代表例をおこなうための処理制御ステップの一例を示すフローチャートである。ＣＬＯＳＥメソッド１９２０は、開いているオブジェクトを閉じるのに用いられる。好ましい実施の形態では、ＣＬＯＳＥメソッド１９２０は、監査追跡を予めおこない、監査情報を監査ＵＤＥに書き込む（ブロック１９２２、１９２４）。その後、ＣＬＯＳＥメソッド１９２０は、１以上の開いているオブジェクトをサポートする、および／または処理するために用いられている現在の（１つ以上の）チャネルを破壊することができる（ブロック１９２６）。上述したように、ある種の（例えば、マルチユーザあるいはマルチタスク）インストレーションでは、チャネルを破壊するステップは必要ない。なぜなら、チャネルは、同じユーザまたは異なるユーザに対して追加のオブジェクトを処理するために動作させたままにしておいてもよいからである。また、ＣＬＯＳＥメソッド１９２０は、この時点で、オブジェクトに関連づけられた適切な記録および資源を解放する（ブロック１９２６）。ＣＬＯＳＥメソッド１９２０は、その後、終了する前に、（もし必要なら）監査追跡を監査ＵＤＥへと書き込んでもよい（ブロック１９２８、１９３０）。イベント
図５３ａは、好ましい実施の形態により提供されるＥＶＥＮＴメソッド１９４０のより一般的な例により設けられる処理制御ステップの例を示すフローチャートである。ＥＶＥＮＴメソッドの例は、既に説明した図４９ｂ、図５０ｂおよび図５１ｂに述べられている。図５３ａに示されているＥＶＥＮＴメソッド１９４０は、上述した例よりもいくらか一般化されている。上述したＥＶＥＮＴメソッドの例と同様に、ＥＶＥＮＴメソッド１９４０も、イベントカウントおよびイベントパラメータと共に、イベントの識別子を受け取る。ＥＶＥＮＴメソッド１９４０は、まず、適切な情報をＥＶＥＮＴメソッドの監査追跡ＵＤＥに書き込むことによって、（もし必要なら）ＥＶＥＮＴ監査追跡を予めおこなうことができる（ブロック１９４２、１９４４）。その後、ＥＶＥＮＴメソッド１９４０は、安全データベースからＥＶＥＮＴメソッドのマップＤＴＤを得て、ロードすることができる（ブロック１９４６、１９４８）。このＥＶＥＮＴメソッドのマップＤＴＤは、この例では、引き続いて（ブロック１９５０、１９５２により）直ちに読み出され、アクセスされるＥＶＥＮＴメソッドのマップＭＤＥのフォーマットを記述している。好ましい実施の形態では、ＭＤＥおよびＵＤＥは、さまざまな異なるフォーマットのどれをもっていてもよく、それらのフォーマットは、インストレーション、ユーザなどに依存してフレクシブルに指定されたり、動的に変更されてもよい。実際に、ＤＴＤは、ＥＶＥＮＴメソッド１９４０に対して、ＥＶＥＮＴメソッドのマップＭＤＥからどのようにして読み出すかを記述する。ＤＴＤはまた、メソッドがどのようにしてＭＤＥおよびＤＴＤへと書き込むべきかを指定するのに用いられる。よって、ＤＴＤは、例えば、サードパーティに報告されるかもしれないデータ構造に、ある種の秘匿ユーザ情報が書き込まれるのを防止することによって、プライバシーフィルタを実施するのに用いられうる。
【０７２７】
ブロック１９５０（「マップＭＤＥを用いて、原子エレメント番号およびイベントカウントにイベントをマッピングする」）は、ある意味では、ＥＶＥＮＴメソッド１９４０の「心臓」である。このステップは、イベントを、引き続いてコールされるメソッドが応答する対象である「原子エレメント番号」へと「マッピングする」。この「マッピング」ステップ１９５０の代表例といいうるものによりおこなわれる処理制御ステップの一例は、図５３ｂに示されている。
【０７２８】
図５３ｂの例は、ある具体的な内容の断片からバイト範囲１００１〜１５００をリクエストすることに関連づけられたＲＥＡＤイベントを、適切な原子エレメントに変換する処理を示している。この例によるＥＶＥＮＴメソッドのマッピング処理（図５３ａにおけるブロック１９５０）を、図５３ｂに示されている代表的処理として詳しく述べることができる。
【０７２９】
ＥＶＥＮＴメソッドのマッピング処理１９５０は、まず、ＥＶＥＮＴメソッドのマップＤＴＤ（１９４８）を用いてＥＶＥＮＴメソッドのＭＤＥ（１９５２）内のイベントコード（ＲＥＡＤ）を調べることによって、ＭＤＥの構造および内容を判定する。次に、イベントコードがＭＤＥで見つかったかどうかを判定する（１９５６）ためにテストをおこなうことができる。もし見つからなければ（「ノー」分岐）、ＥＶＥＮＴメソッドのマッピング処理は、イベントを原子エレメント番号およびカウントにマッピングすることなく、終了することがある（１９５８）。もしＭＤＥにそのイベントが見つかったのなら（「イエス」分岐）、ＥＶＥＮＴメソッドのマッピング処理は、その後、イベントの範囲（例えば、バイト１００１〜１５００）を、ＭＤＥに格納されているイベント範囲マッピングテーブルに対する原子エレメントと比較する（ブロック１９６０）。この比較の結果、１つ以上の原子エレメント番号が生じることもあるし、そのイベント範囲が、マッピングテーブルで見つからないこともある。次に、この比較の結果をテストする（ブロック１９６２）ことによって、何らかの原子エレメント番号がそのテーブルに見つかったかどうかを判定する。もし見つからなかったのなら（「ノー」分岐）、ＥＶＥＮＴメソッドのマッピング処理は、原子エレメント番号あるいはカウントを１つも選択することなく、終了することがある（１９６４）。もし原子エレメント番号が見つかったのなら、この処理は、次に、イベント範囲から原子エレメントカウントを計算することができる（１９６６）。この例では、この処理は、上位バイト範囲を下位バイト範囲から減算する（例えば、１５００−１００１＋１＝５００）ことによってリクエストされたバイト数を計算することができる。この例によるＥＶＥＮＴメソッドのマッピング処理は、その後、終了し（ブロック１９６８）、（１つ以上の）原子エレメント番号およびカウントをリターンすることができる。
【０７３０】
その後、ＥＶＥＮＴメソッド１９４０は、もし必要なら、ＥＶＥＮＴの監査追跡をＥＶＥＮＴメソッドの監査追跡ＵＤＥへと書き込むことができる（ブロック１９７０、１９７２）。ＥＶＥＮＴメソッド１９４０は、その後、（エグジットポイント１９７８で）原子エレメント番号およびイベントカウントを、コールしているＣＯＮＴＲＯＬメソッド（あるいはその他の制御処理）にわたす準備をすることができる。しかし、その前に、ＥＶＥＮＴメソッド１９４０は、原子エレメントが選択されたかどうかをテストすることができる（判定ブロック１９７４）。もし選択された原子エレメントがなければ、ＥＶＥＮＴメソッドは失敗することがある（ブロック１９７４）。このことは、いくつかの理由により起こりうる。例えば、ＥＶＥＮＴメソッドは、もし、ＥＶＥＮＴメソッドのＭＤＥが記述していない内容の具体的なエリアにアクセスする権限がユーザに認められていないのなら、イベントを原子エレメントにマッピングしそこなうことがある。このメカニズムは、例えば、内容の断片のカスタマイズされたバージョンを配付するのに用いることができ、また、ユーザに配送されるＥＶＥＮＴメソッドのＭＤＥを改変することによって、その内容オブジェクトにおけるさまざまなバージョンへのアクセスを制御するのに用いることができる。この技術の具体的な使用法としては、内容のある断片について異なるさまざまな言語（例えば、英語、フランス語、スペイン語）によるバージョンの配付を制御することが挙げられよう。
課金
図５３ｃは、ＢＩＬＬＩＮＧメソッド１９８０によりおこなわれる処理制御ステップの一例を示すフローチャートである。ＢＩＬＬＩＮＧメソッドの例は、既に説明した図４９ｄ、図５０ｄおよび図５１ｄにも述べられている。図５３ｃに示されているＢＩＬＬＩＮＧメソッド１９８０は、上記例よりもいくらか一般化されている。上述した例のＢＩＬＬＩＮＧメソッドと同様に、ＢＩＬＬＩＮＧメソッド１９８０も、計量値を受け取って、課金すべき金額を決定する。ＢＩＬＬＩＮＧメソッド１９８０はまず、（もし必要なら）適切な情報をＢＩＬＬＩＮＧメソッドの監査追跡ＵＤＥに書き込むことによって、ＢＩＬＬＩＮＧ監査追跡を予めおこなう（ブロック１９８２、１９８４）ことができる。その後、ＢＩＬＬＩＮＧメソッド１９８０は、安全データベースからＢＩＬＬＩＮＧメソッドのマップＤＴＤを得て、ロードする（ブロック１９８５、１９８６）ことができる。このマップは、このＢＩＬＬＩＮＧメソッドにより用いられるべきＢＩＬＬＩＮＧメソッドのマップＭＤＥ（例えば、価格リスト、表、あるいは課金額計算アルゴリズムに対するパラメータ）を記述している。ＢＩＬＬＩＮＧメソッドのマップＭＤＥは、内容オブジェクトの一部としても、あるいは、登録時に制御情報と組みあわされる、別々に配送可能な成分としても、配送されうる。
【０７３１】
ＢＩＬＬＩＮＧメソッドのマップＭＤＥは、この例では、このＢＩＬＬＩＮＧメソッドにおいて用いられるべき価格決定アルゴリズム（例えば、放出された内容の１バイトにつき０．００１ドルの課金）を記述することができる。ブロック１９８８（「計量値を課金額にマッピングする」）は、ＥＶＥＮＴメソッドのブロック１９５０と同様に作用する。すなわち、このブロックは、計量値を課金価格にマッピングする。処理ステップ１９８８は、また、安全データベース（プライバシーフィルタにより制限されている）に問い合わせることによって、その他のオブジェクトまたは情報（例えば、ユーザ情報）が、ＢＩＬＬＩＮＧメソッドのアルゴリズムの一部として存在してかどうかを判定する。
【０７３２】
その後、ＢＩＬＬＩＮＧメソッド１９８０は、もし必要なら、ＢＩＬＬＩＮＧ監査追跡を、ＢＩＬＬＩＮＧメソッドの監査追跡ＵＤＥに書き込み（ブロック１９９０、１９９２）、課金額をコールしているＣＯＮＴＲＯＬメソッド（あるいはその他の制御処理）へとリターンする準備をすることができる。しかし、その前に、ＢＩＬＬＩＮＧメソッド１９８０は、課金額が決定されたかどうかをテストすることができる（判定ブロック１９９４）。もし決定された課金額がなかったら、ＢＩＬＬＩＮＧメソッドは失敗することがある（ブロック１９９６）。このことは、もし、ＢＩＬＬＩＮＧメソッドのＭＤＥが記述する価格決定テーブルの具体的なエリアにアクセスする権限がユーザに認められていない（例えば、この内容オブジェクトから１００．００ドルを超えない情報なら購入できることがある）のなら、生じることがある。
アクセス
図５４は、ＡＣＣＥＳＳメソッド２０００によりおこなわれるプログラム制御ステップの一例を示すフローチャートである。上述したように、ＡＣＣＥＳＳメソッドは、オブジェクト３００に埋め込まれている内容にアクセスする、すなわち書き込み、読み出し、またはその他の操作あるいは処理を施すために用いられうる。多くの場合、このＡＣＣＥＳＳメソッドは比較的、簡単でありうる。なぜなら、オブジェクトは、例えば、容易にアクセス可能なローカル記憶装置に格納されうるからである。しかし、一般的な例では、ＡＣＣＥＳＳメソッド２０００は、オブジェクトを得るために、もっと複雑なプロシージャを経なければならない。例えば、あるオブジェクト（あるいはオブジェクトの一部）が、リモートサイトでしか入手できず、リアルタイムのダウンロードまたはフィードのかたちで提供されることがある（例えば、ブロードキャスト伝送の場合）。たとえ、そのオブジェクトがＶＤＥノードに局所的に格納されるとしても、このオブジェクトは、コールしている処理に直接、アクセスできないように、安全なオブジェクト、つまり保護されたオブジェクトとして格納されうる。ＡＣＣＥＳＳメソッド２０００は、オブジェクトにアクセスするのに必要とされる接続、ルーティングおよび安全上の各種要件を確立する。これらのステップは、コールしている処理が、アクセスリクエストを発しさえすればよいように、また、そのオブジェクトまたはオブジェクトのクラスに対応する特定のＡＣＣＥＳＳメソッドが、そのオブジェクトに実際にアクセスする際に伴う詳細およびロジスティクス（ｌｏｇｉｓｔｉｃｓ）のすべてを操作できるように、コールしている処理に対してトランスペアレントにおこなわれてもよい。
【０７３３】
ＡＣＣＥＳＳメソッド２０００は、まず、（もし必要なら）、ＡＣＣＥＳＳ監査追跡ＵＤＥへと書き込むことによって、ＡＣＣＥＳＳの監査追跡を予めおこなうことができる（ブロック２００２、２００４）。次に、ＡＣＣＥＳＳメソッド２０００は、ＡＣＣＥＳＳ　ＭＤＥのフォーマットを決定するために、ＡＣＣＥＳＳメソッドのＤＴＤを読み出し、ロードすることができる（ブロック２００６、２００８）。ＡＣＣＥＳＳメソッドのＭＤＥは、好ましい実施の形態では、アクセスされる特定のオブジェクトについての、ソースおよびルーティング情報を指定する。ＡＣＣＥＳＳメソッドのＤＴＤを用いて、ＡＣＣＥＳＳメソッド２０００は、（例えば、電話番号、アカウントＩＤ、パスワードおよび／またはリモート資源依存言語によるリクエストスクリプトにより）訂正パラメータをロードすることができる。
【０７３４】
ＡＣＣＥＳＳメソッド２０００は、安全データベースからＡＣＣＥＳＳメソッドのＭＤＥを読み出し、それをＡＣＣＥＳＳメソッドのＤＴＤに従って読み、そしてこのＭＤＥに基づいて、暗号化された内容ソースおよびルーティング情報をロードする（ブロック２０１０、２０１２）。このソースおよびルーティング情報は、暗号化された内容のロケーションを指定する。その後、ＡＣＣＥＳＳメソッド２０００は、この内容に対する接続が利用可能であるかどうかを判定する（判定ブロック２０１４）。この「接続」は、例えば、リモートサイトへのオンライン接続でも、リアルタイムの情報フィードでも、例えば安全な／保護された資源へのパスであってもよい。もしこの内容に対する接続が現在、利用可能ではないのなら（判定ブロック２０１４に対する「ノー」エグジット）、ＡＣＣＥＳＳメソッド２０００は、その接続をオープンするためのステップをおこなう（ブロック２０１６）。もし（例えば、保護された安全な資源にアクセスする権限がユーザに認められていないために）接続に失敗すれば、ＡＣＣＥＳＳメソッド２０００は、失敗を表示してリターンする（終端点２０１８）。一方、オープン接続に成功すれば、ＡＣＣＥＳＳメソッド２０００は、暗号化された内容を得る（ブロック２０２０）。その後、ＡＣＣＥＳＳメソッド２０００は、もし必要なら、ＡＣＣＥＳＳ監査追跡を安全データベースのＡＣＣＥＳＳメソッドの監査追跡ＵＤＥに書き込んだ（ブロック２０２２、２０２４）後、終了する（終端点２０２６）。
復号化および暗号化
図５５ａは、好ましい実施の形態により提供されるＤＥＣＲＹＰＴメソッド２０３０の代表例によりおこなわれる処理制御ステップの一例を示すフローチャートである。好ましい実施の形態では、ＤＥＣＲＹＰＴメソッド２０３０は、適切なＰＥＲＣ　８０８から復号化鍵を得るか、または引き出し、それを用いて暗号化された内容の１ブロックを復号化する。ＤＥＣＲＹＰＴメソッド２０３０には、暗号化された内容の１ブロック、またはその暗号化されたブロックが格納されている場所を示すポインタが渡される。ＤＥＣＲＹＰＴ　２０３０は、鍵ブロックから鍵番号を選択する（ブロック２０３２）。安全のために、内容オブジェクトは、１つよりも多くの鍵を用いて暗号化されてもよい。例えば、映画は、その最初の１０分間のあいだは第１の鍵を用いて暗号化され、次の１０分間のあいだは第２の鍵を用いて暗号化されてもよい（以下も同様）。これらの鍵は、ＰＥＲＣ　８０８内の「鍵ブロック」と呼ばれる構造に格納される。この選択処理は、内容を復号化するために、その鍵ブロックから用いるべき正しい鍵を判定することを伴う。この選択のための処理は、イベントを原子エレメント番号にマッピングするためにＥＶＥＮＴメソッドにより用いられる処理に類似している。ＤＥＣＲＹＰＴメソッド２０３０は、その後、安全データベース６１０から適切なＰＥＲＣ　８０８にアクセスし、ＰＥＲＣから鍵（または「シード」）をロードすることができる（ブロック２０３４、２０３６）。この鍵情報は、内容を復号化するのに用いられる実際の復号化鍵であってもよいし、復号化鍵の少なくとも一部の導出、計算を可能にする情報であってもよい。もし必要なら、ＤＥＣＲＹＰＴメソッド２０３０は、ブロック２０３４においてＰＥＲＣ　８０８から読み出された情報に基づいて、復号化鍵を計算する（ブロック２０３８）。その後、ＤＥＣＲＹＰＴメソッド２０３０は、このようにして得られた、および／または計算された復号化鍵を用いて、暗号化された情報のブロックを実際に復号化する（ブロック２０４０）。ＤＥＣＲＹＰＴメソッド２０３０は、復号化されたブロック（または、それがどこで見つけられるかを示すポインタ）を出力して、終了する（終端点２０２４）。
【０７３５】
図５５ｂは、ＥＮＣＲＹＰＴメソッド２０５０の代表例によりおこなわれる処理制御ステップの一例を示すフローチャートである。ＥＮＣＲＹＰＴメソッド２０５０には、入力として、暗号化すべき情報の１ブロック（または、それがどこで見つけられるかを示すポインタ）が渡される。次に、ＥＮＣＲＹＰＴメソッド２０５０は、鍵ブロックから用いるべき暗号化鍵を決めることができる（ブロック２０５２）。暗号化鍵の選択に際しては、書き込まれるべき内容のある具体的なブロックに対する鍵が、ＰＥＲＣ　８０８に格納されている鍵ブロックに既に存在しているかどうかを判定する。もしその鍵が既に鍵ブロック内に存在しているのなら、適切な鍵番号が選択される。もしそのような鍵が鍵ブロックには存在しないのなら、暗号化アルゴリズムに適したアルゴリズムを用いて、新しい鍵が計算される。この鍵は、その後、ＤＥＣＲＹＰＴメソッド２０３０が、その鍵にアクセスして、その内容オブジェクトに格納されている内容を復号化できるように、ＰＥＲＣ　８０８の鍵ブロック内に格納される。その後、ＥＮＣＲＹＰＴメソッド２０５０は、適切なＰＥＲＣにアクセスすることによって、情報ブロックを暗号化するのに用いられる暗号化鍵を得、導出し、および／または計算する（図５５ａのブロック２０３４、２０３６、２０３８に類似するブロック２０５４、２０５６、２０５８）。その後、ＥＮＣＲＹＰＴメソッド２０５０は、得られたおよび／または導出された暗号化鍵を用いて情報ブロックを実際に暗号化し（ブロック２０６０）、その後、終了する（終端点２０６２）前に、暗号化された情報ブロックまたはそれがどこで見つけられるかを示すポインタを出力する。
内容
図５６は、好ましい実施の形態により提供されるＣＯＮＴＥＮＴメソッド２０７０の代表例によりおこなわれる処理制御ステップの一例を示すフローチャートである。ＣＯＮＴＥＮＴメソッド２０７０は、好ましい実施の形態では、安全処理を用いて、保護されている内容の「一覧表」を作成する。例えば、ＣＯＮＴＥＮＴメソッド２０７０は、安全な内容から安全ではない（「公開の」）情報を引き出すのに用いられうる。引き出されたこのような公開情報としては、例えば、要約、索引、内容一覧、ファイルのディレクトリ、内容が利用可能になるスケジュール、あるいは、例えば映画の「予告編」のような抜粋がある。
【０７３６】
ＣＯＮＴＥＮＴメソッド２０７０は、まず始めに、提供され、引き出されるべき内容が、安全な内容から引き出されなければならないのか、あるいは、その内容は、スタティックな値のかたちで既にオブジェクト内で利用可能であるかを判定する（判定ブロック２０７０）。いくつかのオブジェクトは、例えば、明らかにＣＯＮＴＥＮＴメソッド２０７０により抽出される目的で提供される、予め格納された要約、索引、内容一覧などを含んでいることがある。もしオブジェクトがそのようなスタティックな値を含んでいるのなら（判定ブロック２０７２に対する「スタティック」エグジット）、ＣＯＮＴＥＮＴメソッド２０７０は、単にこのスタティック値の内容情報をオブジェクトから読み出し（ブロック２０７４）、望みとあれば復号化した後、この内容記述を明らかにする（ブロック２０７６）。一方、もしＣＯＮＴＥＮＴメソッド２０７０が、この一覧表／内容記述を安全なオブジェクトから引き出さなければならないのなら（判定ブロック２０７２に対する「引き出し」エグジット）、ＣＯＮＴＥＮＴメソッドは、一覧表アルゴリズムに従って、入れ物から情報を安全に読み出し、一覧表を作成することができる（ブロック２０７８）。
抽出および埋め込み
図５７ａは、好ましい実施の形態により提供されるＥＸＴＲＡＣＴメソッド２０８０の代表例によりおこなわれる処理制御ステップの一例を示すフローチャートである。ＥＸＴＲＡＣＴメソッド２０８０は、あるオブジェクトから内容をコピーまたは抜き出し、その内容を新しいオブジェクトに入れるのに用いられる。好ましい実施の形態では、ＥＸＴＲＡＣＴメソッド２０８０は、内容を明らかにすることを全く伴わず、単にある入れ物から内容を取り出して、別の入れ物に入れるだけである。ここで、これらの入れ物は、ともに安全でありうる。内容の抽出が明らかにすることと異なるのは、その内容が、決して安全な入れ物の外部に曝されることがないことである。抽出と埋め込みとは、相補的な機能である。すなわち、抽出では、内容をある入れ物から取り出し、抽出されたその内容と、その内容に関連づけられた何らかの具体的な制御情報とを含む新しい入れ物をつくる。これに対して、埋め込みでは、既にある入れ物の中にある内容を取り出し、それ（つまり、その完全なオブジェクト）を、直接および／または参照の上、別の入れ物に格納し、現存する内容に関連づけられた制御情報を、新しい内容の情報と一体化する。
【０７３７】
ＥＸＴＲＡＣＴメソッド２０８０は、まず始めに、監査ＵＤＥを予めおこなう（ブロック２０８２、２０８４）。次に、ＥＸＴＲＡＣＴメソッドは、ＢＵＤＧＥＴメソッドをコールし、ユーザが、内容をオリジナルオブジェクトから抽出するのに十分な予算をもっているか（そしてその権利が認められているか）を確かめる（ブロック２０８６）。もしユーザの予算がこの抽出にパーミッションを与えないのなら（判定ブロック２０８８に対する「ノー」エグジット）、ＥＸＴＲＡＣＴメソッド２０８０は、失敗監査追跡を書いて（ブロック２０９０）、終了する（終端点２０９２）。もしユーザの予算がこの抽出にパーミッションを与えるのなら（判定ブロック２０８８に対する「イエス」エグジット）、ＥＸＴＲＡＣＴメソッド２０８０は、具体的規則および制御情報を含む、抽出されたオブジェクトのコピーを作成する（ブロック２０９４）。好ましい実施の形態では、このステップは、そのコピーを実際に制御するメソッドをコールすることを伴う。このステップは、例えば、オリジナルオブジェクトに関連づけられた特定のＰＥＲＣ　８０８次第では、復号化および暗号化を伴うことも、伴わないこともある。次に、ＥＸＴＲＡＣＴメソッド２０８０は、開始すべき抽出を承認する権利によって、制御の何らかの変更にパーミッションが与えられるかどうかをチェックする（判定ブロック２０９６）。いくつかのケースでは、抽出権を得るためには、オリジナルオブジェクトに関連づけられたＰＥＲＣ　８０８（または、この目的で含められたＰＥＲＣ）の正確なコピーを、新しい（デスティネーションの）入れ物に入れることが要求されることがある（判定ブロック２０９６に対する「ノー」エグジット）。もし制御の変更にパーミッションが与えられないのなら、抽出メソッド２０８０は、終了する（終端点２１０２）前に、単に監査情報を監査ＵＤＥに書き込む（ブロック２０９８、２１００）だけである。一方、もし抽出権が、ユーザに対して、制御変更のパーミッションを与えるのなら（判定ブロック２０９６に対する「イエス」）、ＥＸＴＲＡＣＴメソッド２０８０は、（例えば、ユーザから、抽出権を発生／許可した配付者から、またはその他の何らかのソースからの）新しい、つまり変更された制御情報をユーザから請求するメソッドまたはロードモジュールをコールすることができる（ブロック２１０４、２１０６）。ＥＸＴＲＡＣＴメソッド２０８０は、その後、メソッドまたはロードモジュールをコールすることによって、ユーザの指定したこれらの制御情報を反映した新しいＰＥＲＣを生成することができる（ブロック２１０４）。この新しいＰＥＲＣは、新しい（デスティネーション）オブジェクトに入れられ、監査ステップがおこなわれた後、処理は終了する。
【０７３８】
図５７ｂは、好ましい実施の形態により提供されるＥＭＢＥＤメソッド２１１０の代表例によりおこなわれる処理制御ステップの一例である。ＥＭＢＥＤメソッド２１１０は、図５７ａに示されているＥＸＴＲＡＣＴメソッド２０８０に似ている。しかし、ＥＭＢＥＤメソッド２１１０は、わずかに異なる機能を果たす。すなわち、このメソッドは、オブジェクト（または参照）をデスティネーションの入れ物に書き込む。図５７ｂに示されているブロック２１１２〜２１２２は、図５７ａに示されているブロック２０８２〜２０９２に類似している。ブロック２１２４において、ＥＭＢＥＤメソッド２１１０は、ソースオブジェクトをデスティネーションの入れ物に書き込む。また、同時に、このデスティネーションの入れ物の制御情報を抽出したり、変更したりしてもよい。ある選択肢としては、ただデスティネーションの入れ物の制御情報のみをそのままにしておき、オリジナルの入れ物の制御情報に加えて、埋め込まれているオブジェクトに関連づけられた制御情報のセットのすべてを含ませるというやりかたがある。しかし、最適化のために、好ましい実施の形態では、現在、埋め込まれているオブジェクトに関連づけられた制御情報が「要約され」、デスティネーションの入れ物の制御情報内に取り込まれるようにする技術を提供する。ブロック２１２４は、この制御情報を要約するか、または変更するメソッドをコールすることができる。次に、ＥＭＢＥＤメソッド２１１０は、図５７ａに示されているステップ２０９６、２１０４および２１０６に類似するステップ２１２６〜２１３０をおこなうことによって、もし承認されれば、ユーザが、埋め込まれたオブジェクトおよび／またはデスティネーションの入れ物に関連づけられた制御情報を変更および／または指定できるようにする。そして、ＥＭＢＥＤメソッド２１１０は、終了する（終端点２１３６）前に、監査情報を監査ＵＤＥに書き込む（ブロック２１３２、２１３４）。
曖昧化
図５８ａは、好ましい実施の形態により提供されるＯＢＳＣＵＲＥメソッド２１４０の代表例によりおこなわれる処理制御ステップの一例を示すフローチャートである。ＯＢＳＣＵＲＥメソッド２１４０は、典型的には、安全な内容を、価値を減じた（ｄｅｖａｌｕｅｄ）形態で明らかにするために用いられる。例えば、ＯＢＳＣＵＲＥメソッド２１４０は、視聴者がイメージを識別することはできるが、その完全な価値を享受することはできないように、高解像度のイメージを低解像度で放出することができる。別の例としては、ＯＢＳＣＵＲＥメソッド２１４０は、イメージの上にわたってそれを曖昧にするラベル（例えば、「ＣＯＰＹ」、「ＰＲＯＯＦ」など）を置くことにより、その価値を曖昧にする。ＯＢＳＣＵＲＥメソッド２１４０は、テキスト、イメージ、オーディオ情報あるいはその他のタイプの内容を「曖昧にする」ことができる。
【０７３９】
ＯＢＳＣＵＲＥメソッド２１４０は、まずＥＶＥＮＴメソッドをコールし、その内容が曖昧化するのに適しているか、そしてその範囲にあるかどうかを判定する（ブロック２１４２）。もしこの内容が曖昧にするのに適していないのなら、ＯＢＳＣＵＲＥメソッドは終了する（判定ブロック２１４４の「ノー」エグジット、終端点２１４６）。この内容が曖昧にされるべきであるとする（判定ブロック２１４４に対する「イエス」エグジット）と、ＯＢＳＣＵＲＥメソッド２１４０は、この内容を不明瞭にするために以前にコールされたことがあるかどうかを判定する（判定ブロック２１４８）。ＯＢＳＣＵＲＥメソッド２１４０がこのオブジェクト／内容のために以前にコールされたことがないものとすると（判定ブロック２１４８に対する「イエス」エグジット）、ＯＢＳＣＵＲＥメソッド２１４０は、適切なＯＢＳＣＵＲＥメソッドのＭＤＥを安全データベースから読み出し、曖昧化の式および／またはパターンをＭＤＥからロードする（ブロック２１５０、２１５２）。その後、ＯＢＳＣＵＲＥメソッド２１４０は、ブロック２１５０によりロードされたパターンおよび／または式に基づいて、適切な曖昧化変換を施す（ブロック２１５４）。そして、ＯＢＳＣＵＲＥメソッドは終了することができる（終端ブロック２１５６）。
指紋
図５８ｂは、好ましい実施の形態により提供されるＦＩＮＧＥＲＰＲＩＮＴメソッド２１６０の代表例によりおこなわれる処理制御ステップの一例を示すフローチャートである。好ましい実施の形態では、ＦＩＮＧＥＲＰＲＩＮＴメソッド２１６０は、明らかにされた内容に、誰がその内容を明らかにしたかを示す「指紋」識別子を「マーク」し、および／またはそのようなマークをチェックするように作用する。これにより、内容を調べることによって、誰が安全にされていない内容を明らかにしたかを後に判定することが可能になる。ＦＩＮＧＥＲＰＲＩＮＴメソッド２１６０は、例えば、オーディオ、ビデオあるいは２進フォーマットの情報を表現するデータストリーム内にユーザＩＤを挿入することができる。ＦＩＮＧＥＲＰＲＩＮＴメソッド２１６０は、ＦＩＮＧＥＲＰＲＩＮＴメソッドのブロック２１７４により施される変換が、明らかにされた内容を曖昧にするのではなく、それに「指紋をつける」という点を別にすれば、図５８ａに示されているＯＢＳＣＵＲＥメソッド２１４０によく似ている。
【０７４０】
図５８ｃは、明らかにされた内容、および／または明らかにされた日時、および／または明らかにされた内容のその他の識別基準をリクエストした、オブジェクト、および／またはプロパティ、および／またはユーザを識別する「指紋」２１６１を明らかにされた内容に挿入する、「指紋刻印」プロシージャ２１６０の一例を示している。
【０７４１】
このような指紋２１６１は、「埋もれさせる」ことができる。すなわち、ファイルのフォーマット、挿入アルゴリズムの精巧さおよび／または多様性、およびオリジナルの指紋の印されていない内容（（１つ以上の）アルゴリズムの逆エンジニアリングについての比較のため）に依存して、典型的なユーザ、高度な「ハッカー」および／またはすべてのユーザから指紋を隠すように挿入される。挿入された、あるいは埋め込まれた指紋２１６１は、好ましい実施の形態では、より安全にするために、少なくとも部分的には暗号化されてもよい。このように暗号化された指紋２１６１は、「平明な」（平文）の形式で与えられた、明らかにされた内容の中に埋め込まれうる。
【０７４２】
指紋２１６１は、多種多様な目的のために用いられうる。そのような目的には、例えば、明らかにされたマテリアルの誤用を実証したり、明らかにされた内容のソースを実証したりするといったしばしば相互に関連する目的が含まれている。ソフトウェアのプライバシーは、指紋の刻印が非常に有用になりうる好例である。また、指紋刻印は、映画や、オーディオ記録や、マルチメディアや、情報データベースや、伝統的な「文学系の」素材などを含む、ほとんどのタイプの電子的に配送される情報について、内容プロバイダの権利を守らせる一助になりうる。指紋刻印は、著作権保護の代替としても、あるいはそれを補強するものとしても望ましい。
【０７４３】
ソフトウェアアプリケーションの著作権侵害は、たいていの場合、ある個人が、当該個人の所有する別のコンピュータで使用するために違法コピーを作成するときに発生するのではなく、むしろコピーをサードパーティに与える場合に発生する。これにより、違法コピーの連鎖（より正確に言えば、ピラミッド）がスタートすることがしばしばある。なぜなら、コピーは、個人から個人へと手渡されていくからである。指紋２１６１を埋め込ませることで身元が判明する結果になることを恐れると、（現在でも、多くの人がそうであるように）たいていの個人は、広く行き渡る「カジュアルな」著作権侵害への参加を思いとどまることになりやすい。あるケースでは、内容は、指紋刻印メソッドにより指紋の存在についてチェックされることによって、内容プロバイダの権利を守らせる一助とすることがある。
【０７４４】
異なる複数の指紋２１６１により、異なる複数のレベルの安全性を保つことができる（例えば、ある指紋２１６１（１）は、営利団体により判読可能／識別可能であるが、別の指紋２１６１（２）は、より信頼性の高いエージェンシーだけが判読可能でありうる）。より安全性の高い指紋２１６１を生成するためのメソッドは、より複雑な暗号化技術（例えば、ディジタル署名）および／または位置検出方法論（ｌｏｃａｔｉｏｎ　ｍｅｔｈｏｄｏｌｏｇｉｅｓ）の曖昧化を用いることができる。２つ以上の指紋２１６１をそれぞれ異なる位置に埋め込ませること、および／または異なる複数の技術を用いることは、指紋の刻印された情報をハッカーから保護する一助になる。より安全性の高い指紋を提供するために用いられる技術が、望ましくない量の過剰負荷をもたらすのなら、より安全性の高い指紋は、内容の明らかにされるたびではなく、むしろ周期的に用いられてもよい。とはいうものの、毎回用いるほうが有効でありうる。なぜなら、指紋刻印の主要な目的は、抑止（すなわち、違法コピーを作成する側の、そのコピーが発覚するのではないかという懸念による抑止）にあるからである。
【０７４５】
例えば、承認済みのパーティ（例えば、配付者、サービスパーソネル、クライアント管理者、あるいはＶＤＥ電子器具６００を用いる情報交換所）であれば、容易に識別できるような指紋２１６１の複製を埋め込むことがあるかもしれない。また、ある指紋２１６１について１つ以上の追加コピーあるいは変形（例えば、関連する識別情報の一部または全部を記述する情報を有する指紋）を埋め込むかもしれない。その場合、これら１つ以上の追加の指紋２１６１は、より安全性の高いメソッドで維持されうる。
【０７４６】
指紋刻印は、また、プライバシー関連事項も保護することができる。例えば、指紋２１６１を識別するのに必要なアルゴリズムおよび／またはメカニズムは、特に高信頼のエージェントを通してのみ利用可能とすることができる。
【０７４７】
指紋刻印２１６１は、多くの形態をとりうる。例えば、イメージの場合、（イメージ全体、またはそのイメージの１サブセットにわたって広がっている）Ｎ個の画素ごとの色を（少なくとも、通常の、何の手段もない観察者には）視覚的に認識できないように、微妙にシフトさせることができる。これらのシフトは、（オリジナルのイメージにアクセスしても、しなくても）イメージを分析することによって解釈可能である。ここで、１回ごとに発生する、または発生しない色（または階調）のシフトは、ディジタル情報記憶での１つ以上の２進「オンまたはオフ」ビットに相当する。また、Ｎ個の画素は、所定の順序（ｃｏｎｓｉｓｔｅｎｔ）で並んでいてもよいし、あるいは疑似ランダム的に（とはいうものの、少なくとも部分的には、オブジェクト作成者、オブジェクトプロバイダ、クライアント管理者および／またはＶＤＥ管理者により解釈可能なように）並んでいてもよい。
【０７４８】
また、アプリケーションによっては、同様の利益を生む（すなわち、ソース情報のある種の修正の結果、通常は認識不可能な形態で情報を格納すること）その他のイメージ（つまり動画、オーディオなど）の修正が適切であることもある。例えば、格納されているオーディオ情報の周波数を何らかのかたちで微妙に変調すれば、この周波数は、通常は聴取者に認識不可能であるが、それでも正しいツールを用いれば判別可能であるように修正することができる。情報記憶のある種の特性は、同様の結果を達成できるように光学的に格納されたある情報の極性を、微妙だが解釈可能な範囲内で変化させるように、修正可能である。その他の電子的、磁気的、および／または光学的特性を利用したその他の変化を利用することもできる。
【０７４９】
グラフィカルフォーマットを用いるファイル（例えば、マイクロソフトウィンドウズワードプロセシングファイル）に格納されている内容は、指紋２１６１を「埋もれさせる」のに有意な機会を提供する。イメージおよび／またはオーディオを含む内容は、アクセス権限のない個人が識別するのは困難であるような指紋２１６１を埋め込ませる機会を提供する。なぜなら、比較のために用いられる「指紋刻印されていない」オリジナルがない場合には、オリジナルの性格が通常は未知であり、イメージおよび音声データの両方ともに大量のデータが用いられている（このような場合、ごく小さい変化には特に敏感なわけではない）のであるから、オーディオ周波数の１つ以上の時間事例において、あるいは１つ以上のビデオイメージなどにおいて微妙でごく小さい変化を施したとしても、そのような変化自体は、通常、識別不可能である。フォーマットされたテキスト文書、特にグラフィカルワードプロセッサ（例えば、マイクロソフトウィンドウズあるいはアップルマッキントッシュワードプロセッサ、およびそれらのＤＯＳおよびＵｎｉｘ版の等価物など）を用いて作成された文書の場合、指紋２１６１は、通常、エンドユーザには通常不可視である文書データ表現の一部（ヘッダフィールドあるいはその他の表示されないデータフィールド）に目立たないかたちで挿入されうる。
【０７５０】
さらに別の形態の指紋刻印（いくつかのテキスト文書には特に好適でありうる）は、文字の形状をある与えられたフォントについて利用し、制御する。個々の文字は、ある種の「指紋」情報を包含する、わずかに異なる視覚的形状をもつことができる。ある与えられた文字の形状のこのような変形は、通常は識別不可能である。これは、一つには、異なる別々の供給者から入手可能な同一フォントの複数のバージョンには、わずかな変化が多数見受けられるからであり、また、一つには、そのような変化がごく小さいものであるからである。例えば、好ましい実施の形態では、Ａｄｏｂｅ　Ｔｙｐｅ　Ａｌｉｇｎのようなプログラムを用いることができる。このプログラムは、そのオフザシェルフバージョンでは、ユーザがフォント文字を多種多様なメソッドで修正できるようにする能力をサポートしている。フォント文字の数学的定義がユーザの命令により修正されることによって、具体的な修正セットが文字またはフォントに施されるようになる。情報の内容は、通常の状況ではユーザが認識するにはあまりにも微細ではあるが、それでも指紋２１６１を適切に符号化可能とするかたちで一部またはすべての文字を修正できるように、（ユーザの選択に対する一選択肢として）アナログ的に用いられてもよい。ある与えられた文字の多種多様な微妙に異なるバージョンを単一の文書内に用いることによって、取引に関連し、フォントにより指紋刻印された情報をもつ能力の向上が可能になる。
【０７５１】
指紋刻印のためのアプリケーション例としては、他にも以下のようなものがある。
【０７５２】
１．ソフトウェアプログラムにおいて、多少なりとも同一性の高い動作を生じるように、しかし分析すれば、指紋情報を詳細に示す差を生じるように、いくつかの相互に置換可能なコード断片を選択すること。
【０７５３】
２．データベースを用いて、いくつかのフィールド（例えば、日付など）が様々に異なるしかたで現れるようにフォーマットする選択をおこなうこと。
【０７５４】
３．ゲームで、背景を調整したり、いくつかのイベントの順序を変更したりすること。ゲームの各種要素のタイミングおよび／または出現順序を認識可能なかたちで、あるいはごく微妙に変化させること、あるいは、ゲームの各種要素の外見をわずかに変化させることもこれに含まれる。
【０７５５】
指紋刻印メソッド２１６０は、（もしおこなわれるとすれば）典型的には、内容が内容オブジェクト３００から明らかにされる時点でおこなわれる。しかし、依然として暗号化された形態であるままで内容に「マークをつける」ために、オブジェクトの配付後、ただちにおこなわれてもよい。例えば、ネットワークベースのオブジェクト格納場所は、あるオブジェクトをリクエスト者に送信する前に、そのオブジェクトの内容に指紋２１６１を埋め込ませることができる。その場合、指紋情報は、内容のリクエスト者／エンドユーザを識別可能とする。このことは、承認を得ずに内容を明らかにするのに用いられる「偽物の」電子器具６００を検出する一助になる。
破壊
図５９は、好ましい実施の形態により提供されるＤＥＳＴＲＯＹメソッド２１８０によりおこなわれる代表例によりおこなわれる処理制御ステップの一例を示すフローチャートである。ＤＥＳＴＲＯＹメソッド２１８０は、オブジェクトにアクセスするためにユーザがリクエストするＵＲＴを破壊することによって、ユーザがそのオブジェクトを使用する能力を奪う。好ましい実施の形態では、ＤＥＳＴＲＯＹメソッド２１８０は、まず、監査情報を監査ＵＤＥに書き込む（ブロック２１８２、２１８４）ことができる。その後、ＤＥＳＴＲＯＹメソッド２１８０は、ＷＲＩＴＥおよび／またはＡＣＥＳＳメソッドをコールし、オブジェクトのヘッダおよび／またはその他の重要な部分を劣化させ（よって破壊もする）情報を書き込む（ブロック２１８６）。ＤＥＳＴＲＯＹメソッド２１８０は、その後、適切な情報を制御構造に書き込むことによってダメージを受けた制御構造（例えば、ＵＲＴ）の１つ以上にマークをつけることができる（ブロック２１８８、２１９０）。最後に、ＤＥＳＴＲＯＹメソッド２１８０は、終了する（終端点２１９６）前に、追加の監査情報を監査ＵＤＥに書き込むことができる（ブロック２１９２、２１９４）。
パニック
図６０は、好ましい実施の形態により提供されるＰＡＮＩＣメソッド２２００の代表例によりおこなわれる処理制御ステップの一例を示すフローチャートである。ＰＡＮＩＣメソッド２２００は、安全性の侵害が検出された時に、コールされうる。ＰＡＮＩＣメソッド２２００は、例えば、現在、オブジェクトにアクセスするのに用いられているチャネルを破壊し、かつダメージを受けた時のユーザおよびオブジェクトに関連づけられた制御構造（例えば、ＵＲＴ）の１つ以上にマークをつけることによって、ユーザが、現在、アクセスしているオブジェクトにそれ以上アクセスできないようにすることができる（それぞれ、ブロック２２０６および２２０８〜２２１０）。制御構造がダメージを受けているので、ＶＤＥノードは、ユーザが同じオブジェクトに再びアクセスできるようになる前に、（１つ以上の）有効な制御構造を得ることができるように、管理者にコンタクトをとる必要がある。ＶＤＥノードが管理者にコンタクトをとる時、管理者は、安全性の侵害が起こらないと安心できるのに十分な情報をリクエストすることができる。もし安全性の侵害が起こったのなら、そのような安全性侵害が繰り返されないことを保証するための適切なステップを講じる。
計量
図６１は、好ましい実施の形態により提供されるＭＥＴＥＲメソッドの代表例によりおこなわれる処理制御ステップの一例を示すフローチャートである。ＭＥＴＥＲメソッドについては、図４９、図５０および図５１を参照して既に説明したが、図６１に示されているＭＥＴＥＲメソッド２２２０は、おそらく、それよりもいくらか代表的な例である。好ましい実施の形態では、ＭＥＴＥＲメソッド２２２０はまず、ＭＥＴＥＲ監査追跡ＵＤＥにアクセスすることによって、監査追跡を予めおこなう（ブロック２２２２、２２２４）。その後、ＭＥＴＥＲメソッド２２２０は、安全データベースから計量ＵＤＥ用のＤＴＤを読み出すことができる（ブロック２２２６、２２２８）。ＭＥＴＥＲメソッド２２２０は、その後、安全データベースから計量ＵＤＥを読み出すことができる（ブロック２２３０、２２３２）。次に、ＭＥＴＥＲメソッド２２２０は、得られた計量ＵＤＥをテストすることによって、それが失効しているかどうかを判定する（判定ブロック２２３４）。好ましい実施の形態では、それぞれの計量ＵＤＥには、失効の日付がマークされうる。もし現在の日付／時刻が、計量ＵＤＥの失効日よりも後であれば（判定ブロック２２３４に対する「イエス」エグジット）、ＭＥＴＥＲメソッド２２２０は、失敗を監査記録に記録し、失敗状態を示して終了する（ブロック２２３６、２２３８）。
【０７５６】
計量ＵＤＥがまだ失効していないものとすると、計量メソッド２２２０は、原子エレメントと、例えば、ＥＶＥＮＴメソッドからＭＥＴＥＲメソッドに渡されたイベントカウントとを用いて、それを更新することができる（ブロック２２３９、２２４０）。ＭＥＴＥＲメソッド２２２０は、その後、（終端点２２４６で）終了する前に、計量使用監査記録を、計量監査追跡ＵＤＥに保存することができる（ブロック２２４２、２２４４）。
好ましい実施の形態により提供されるその他の安全性特徴
好ましい実施の形態により提供されるＶＤＥ　１００は、「強行攻撃（ｂｒｕｔｅ　ｆｏｒｃｅ　ａｔｔａｃｋ）」の成功の場合以外は、安全性が侵犯されることがないことを保証する助けとなるのに十分な安全性を有している。よって、そのような「強行攻撃」に成功するだけの時間およびコストは、実質的に導き出されるどの値も超えている。加えて、ＶＤＥ　１００により提供される安全性は、ＶＤＥの内部のはたらきを区分する。よって、「強行攻撃」に成功しても、全システムではなく、保護されている情報のうち厳密に境界の定められた１サブセットのみが侵犯されるだけである。
【０７５７】
以下は、好ましい実施の形態により提供される安全性の局面および特徴の中からいくつかを挙げたものである。
【０７５８】
・　ＰＰＥ　６５０の安全性およびそれがおこなう処理
・　安全データベース６１０の安全性
・　ＰＰＥ　６５０によりおこなわれる暗号化／復号化の安全性
・　鍵の管理、暗号化／復号化鍵および共有される秘密の安全性
・　認証／外部通信の安全性
・　安全データベースバックアップの安全性
・　電子器具６００間のＶＤＥ内部情報の安全な伝搬能力
・　ＶＤＥ安全情報にアクセスするパーミッションの安全性
・　ＶＤＥオブジェクト３００の安全性
・　ＶＤＥ安全性の完全性
このような安全性の局面および考察のうちいくつかについては、既に説明した。以下では、他の箇所では十分に取り扱っていない、好ましい実施の形態による安全性の特徴についてさらに詳しく議論する。
鍵の管理および共有される秘密
ＶＤＥ１００は、安全性を確保するために、鍵と、共有される秘密とを用いる。好ましい実施の形態では、鍵の使用について以下の特徴が実現される。
【０７５９】
・　異なる暗号化システム／鍵のタイプ
・　安全な鍵の長さ
・　鍵の発生
・　鍵の「旋回」および鍵の「老化（ａｇｉｎｇ）」
これらのタイプのそれぞれについて以下に説明する。
Ａ．公開鍵および対称鍵暗号化システム
本質を隠すために情報を隠匿したり、変換したりする処理は、暗号化と呼ばれる。暗号化により、「暗号文」が生じる。暗号文から本質を復元するための、暗号化処理とは逆の処理は、「復号化」と呼ばれる。暗号化アルゴリズムは、暗号化および復号化のために用いられる数学的関数である。
【０７６０】
最も現代的な暗号化アルゴリズムでは、「鍵」を用いる。この「鍵」は、提供される変換系列（ｆａｍｉｌｙ）のうちの一つを指定する。鍵によって、標準的で、公開されており、既に試験済みの暗号化アルゴリズムを用いながら、このアルゴリズムを用いておこなわれる具体的な変換を確実に秘密のままにしておくことができる。このように、特定の変換の秘密性は、アルゴリズムの秘密性にではなく、鍵の秘密性に依存している。
【０７６１】
鍵に基づくアルゴリズムには、大まかに分けると以下の２つの形態がある。好ましい実施の形態によるＰＰＥ　６５０では、これらのうちの一方または両方を用いることができる。
【０７６２】
対称鍵、および
公開鍵（「ＰＫ」）
対称アルゴリズムは、暗号化鍵が復号化鍵から計算されうる（かつ逆も同様な）アルゴリズムである。このような多くのシステムでは、暗号化鍵と復号化鍵とは同じである。「シークレット鍵（ｓｅｃｒｅｔ−ｋｅｙ）」アルゴリズム、「単一の鍵」アルゴリズムあるいは「共有される秘密」アルゴリズムとも呼ばれるこれらのアルゴリズムは、送り手により作成された暗号文が受け手により復号化される前に、送り手および受け手の両方が鍵について同意することを要求する。この鍵は、秘密のままにしておかなければならない。対称アルゴリズムの安全性は、鍵に存する。この鍵を外部に漏らすことは、このような暗号化システムでは、誰でも情報を暗号化し、復号化できるようになることを意味している。ＳｃｈｎｅｉｅｒのＡｐｐｌｉｅｄ　Ｃｒｙｐｔｏｇｒａｐｈｙ、第３頁を参照のこと。好ましい実施の形態で使用可能な対称鍵アルゴリズムの例をいくつか挙げれば、ＤＥＳ、Ｓｋｉｐｊａｃｋ／Ｃｌｉｐｐｅｒ、ＩＤＥＡ、ＲＣ２およびＲＣ４がある。
【０７６３】
公開鍵暗号化システムでは、暗号化に用いられる鍵は、復号化に用いられる鍵とは異なる。さらに、一方の鍵を他方の鍵から導き出すことは、計算的に実行不可能である。これらの暗号化システムにおいて用いられるアルゴリズムが「公開鍵」と呼ばれるのは、これら２つの鍵の一方が、他方の鍵の安全性を危うくすることなく、公にされうるからである。また、時には、それらは「非対称」暗号化システムと称される。なぜなら、それらのシステムは、暗号化と復号化でそれぞれ異なる鍵を用いるからである。公開鍵アルゴリズムとしては、例えば、ＲＳＡ、Ｅｌ　ＧａｍａｌおよびＬＵＣがある。
【０７６４】
好ましい実施の形態によるＰＰＥ　６５０は、対称鍵暗号化システムのみに基づいて、公開鍵暗号化システムのみに基づいて、もしくは対称鍵暗号化システムおよび公開鍵暗号化システムの両方に基づいて、動作することができる。ＶＤＥ　１００には、何か特殊な暗号化アルゴリズムが必要になるわけではない。好ましい実施の形態により提供されるアーキテクチャは、ＰＫおよび／またはシークレット鍵（非ＰＫ）アルゴリズムを含む多数のアルゴリズムをサポートできる。あるケースでは、暗号化／復号化アルゴリズムの選択は、コスト、市場の需要、その他の市販されているシステムとの互換性、輸出法のようなビジネス上のさまざまな判断に依存することになる。
【０７６５】
好ましい実施の形態は、特定のタイプの暗号化システムには依存せず、（１つ以上の）暗号化／復号化アルゴリズムにも依存しないが、好ましい例では、ＰＰＥ　６５０間の安全な通信のためにＰＫ暗号化システムを用い、ＶＤＥオブジェクト３００間の「膨大な」暗号化／復号化のためにはシークレット鍵暗号化システムを用いる。「膨大な」暗号化／復号化システムのためにシークレット鍵暗号化システムを用いること（例えば、多数の鍵および多数のパスを用いるＤＥＳ実現形態である、Ｓｋｉｐｊａｃｋ、ＲＣ２あるいはＲＣ４など）によって、大量の情報を暗号化し、復号化する際の効率がよくなり、ＰＫ能力をもたないＰＰＥ　６５０が、多種多様なアプリケーションでＶＤＥオブジェクト３００を処理できるようになる。通信にＰＫ暗号化システムを用いることにより、通信を成立させるのに秘密の共有される外部通信鍵に頼る必要性がなくなり、ＰＰＥ　６５０を認証するのに共有される内部秘密に依存しないチャレンジ／レスポンスを実現することができ、共有されるシークレット鍵に依存しなくても公衆が利用可能な証明処理を実現することができるといった、さまざまな利点が得られる。
【０７６６】
内容プロバイダの中には、その内容の使用をＰＫ実現形態に限定したいと望む者もいる。このような要望は、例えば、ＲＥＧＩＳＴＥＲメソッドでこのようなオブジェクトに必要とされるものを、登録の継続を許可する前にＰＰＥ　６５０の具体的な、あるいは一般的なＰＫ能力について調べるロードモジュールのかたちで設けることにより、ＰＰＥ　６５０でのＰＫ能力の利用可能性とＰＫ能力の具体的な性格またはタイプとをＶＤＥオブジェクト３００登録の際の１ファクタとすることによってサポートされうる。
【０７６７】
ＶＤＥ１００は、何ら特定のアルゴリズムを要求するわけではないが、すべてのＰＰＥ　６５０が、同一のアルゴリズムを膨大な暗号化／復号化に用いることができることは、非常に望ましい。もし、ＶＤＥオブジェクト３００を暗号化するのに用いられる膨大な暗号化／復号化アルゴリズムが標準化されないのなら、すべてのＶＤＥ電子器具６００がすべてのＶＤＥオブジェクト３００を操作できるわけではないこともありうる。もし標準化された膨大な暗号化／復号化アルゴリズムの全部または一部が、ハードウェアベースの暗号化／復号化エンジン５２２により実施されず、その代わりソフトウェアのかたちで実施されるのなら、異なる複数のＰＰＥ　６５０およびそれに付随する電子器具６００の間にパフォーマンスの差が存在することになる。暗号化／復号化エンジン５２２によりその全部または一部が実施されないアルゴリズムをサポートするためには、このようなアルゴリズムを実施するコンポーネントアセンブリが、ＰＰＥ　６５０に利用可能でなければならない。
Ｂ．鍵の長さ
鍵の長さを長くすれば、安全性を増すことができる。暗号化システムに対する「強行」攻撃は、可能なすべての鍵を試してみることを伴う。鍵が長ければ長いほど、試してみるべき可能な鍵も多くなる。ある鍵の長さでは、現在利用可能な計算資源からすると、強行攻撃者が可能なあらゆる鍵を試してみるには、とても実用的ではない莫大な量の時間が必要になることになる。
【０７６８】
好ましい実施の形態により提供されるＶＤＥ　１００は、鍵について異なる多数の長さに対応可能であり、それらを利用することができる。好ましい実施の形態においてＶＤＥ　１００により用いられる鍵の長さは、暗号化／復号化に用いられる（１つ以上の）アルゴリズム、望まれる安全性のレベル、およびスループット上の要件により決定される。鍵の長さが長くなると、高速な暗号化／復号化応答時間を保証するためには、一般に、処理能力をさらに向上させることが必要になる。よって、（ａ）安全性と、（ｂ）処理時間および／または資源との間でのトレードオフがおこなわれる。ハードウェアベースのＰＰＥ暗号化／復号化エンジン５２２は、ソフトウェアベースの暗号化／復号化よりも高速な処理時間を実現することができるので、一般に、ハードウェアベースのアプローチにより、より長い鍵の使用が可能になる。
【０７６９】
好ましい実施の形態では、ＰＫ暗号化／復号化用に１０２４ビットモジュラス（鍵）のＲＳＡ暗号化システムを用いてもよい。また、「膨大な」暗号化／復号化用には５６ビットのＤＥＳを用いてもよい。標準的なＤＥＳにより提供される５６ビットの鍵は、少なくとも最も敏感なＶＤＥ情報については、十分な安全性を提供できるほど長くないこともありうるので、さらなる安全性を実現するためには、多数のパスを用い、多数のＤＥＳ鍵を用いるマルチプルＤＥＳ暗号化を用いてもよい。ＤＥＳは、もし異なる複数の鍵と共に多数のパスを用いるように動作させれば、はるかに安全性の高いものにすることができる。例えば、２つまたは３つの別々の鍵を用いた３つのパスでは、安全性がずっと高くなる。なぜなら、これにより鍵の長さを効果的に長くすることができるからである。ＲＣ２およびＲＣ４（ＤＥＳの代替手段）は、４０ビットの鍵サイズまでではエクスポートされうるが、ＤＥＳレベルの安全性を実現するだけでも、鍵のサイズは、おそらくずっと長くすることが必要であろう。ＮＳＡのＳｋｉｐｊａｃｋにより提供される８０ビットの鍵長さは、ほとんどのＶＤＥ安全性要求に適切でありうる。
【０７７０】
コードおよびその他の情報をダイナミックにＰＰＥ　６５０にダウンロードする能力により、莫大な数のＶＤＥ電子器具６００が用いられた後でも、鍵の長さを調整し、ダイナミックに変更することが可能になる。ＶＤＥ管理者が、それぞれのＰＰＥ　６５０と効率よく通信する能力をもっていれば、このような事後的なダイナミックな変更が可能になり、しかもコスト的にも有効にすることができる。新しい、つまり改良された暗号化システムを現存するＰＰＥ　６５０へとダウンロードすることによって、ＰＰＥ内で利用可能な暗号化システムのレパートリーを取り替えたり、これに追加することが可能になり、旧式ＰＰＥが、新型ＰＰＥおよび／または新発売のＶＤＥオブジェクト３００およびその他のＶＤＥにより保護された情報と互換性を保つことが可能になる。例えば、異なる鍵の長さ能力を提供することによって、暗号化／復号化エンジン５２２のハードウェアベースの機能性を補強するためには、ソフトウェア暗号化／復号化アルゴリズムをいつでもＰＰＥ　６５０にダウンロードすることができる。柔軟性の向上を実現するためには、ＰＰＥ暗号化／復号化エンジン５２２は、多数のパス、および／または可変および／またはより長い鍵の長さを予想できるように構成されてもよい。加えて、より長いＰＫ鍵を内部で発生する能力をＰＰＥ　６５０に提供するのも望ましい。
Ｃ．鍵の発生
好ましい実施の形態により提供される鍵発生技術により、ＰＰＥ　６５０は、自らにのみ「わかっている」鍵およびその他の情報を発生することができる。
【０７７１】
暗号化された情報の安全性は、それを暗号化するのに用いられた鍵の安全性に存する。もし暗号化的には弱い処理を鍵の発生に用いれば、安全性全体が弱くなる。良好な鍵は、鍵空間における可能なあらゆる鍵が等しい可能性を有している（ｅｑｕａｌｌｙ　ｌｉｋｅｌｙ）ような、ランダムなビットストリングである。よって、鍵は一般に、例えば、高信頼ランダムソースからシードされた暗号化的に安全な疑似乱数発生器により、そのようなソースから導き出されるべきである。このような鍵発生器は、例えば、ＳｃｈｎｅｉｅｒのＡｐｐｌｉｅｄ　Ｃｒｙｐｔｏｇｒａｐｈｙ（Ｊｏｈｎ　Ｗｉｌｅｙ　ａｎｄ　Ｓｏｎｓ、１９９４）、第１５頁に記載されている。もし鍵がある与えられたＰＰＥ　６５０の外側で（例えば、別のＰＰＥ　６５０により）発生されたのなら、それらの鍵は、使用される前に高信頼ソースから得られたことを確かめるために検証されなければならない。鍵を検証するためには、「証明」を用いればよい。
【０７７２】
好ましい実施の形態によるＰＰＥ　６５０は、鍵の自動的な発生も実現する。例えば、好ましい実施の形態によるＰＰＥ　６５０は、ＰＫベースの外部通信を保護するのに用いられ、その他の理由でも用いられる、それ固有の公開／秘密鍵のペアを発生することができる。ＰＰＥ　６５０はまた、初期化中、および初期化後に、さまざまな目的で、それ固有の対称鍵を発生することもできる。ＰＰＥ　６５０は安全な鍵環境を提供するので、好ましい実施の形態では、ほとんどの鍵発生は、ＰＰＥ内でおこなわれうる（ただし、ＰＰＥが、自らに対する初期ダウンロードメッセージを認証できるようにするために、製造時またはインストレーション時に用いられる初期ＰＰＥ鍵は、可能な例外である）。
【０７７３】
良好な鍵発生は、ランダム性に依存する。好ましい実施の形態によるＰＰＥ　６５０は、図９を参照して前述したように、高信頼の乱数を発生するのに必要な特性を有する、ハードウェアベースの乱数発生器５４２を備えうる。これらの乱数は、ランダムなシードから導出された追加的な鍵値を発生するための、暗号化的に強力な疑似乱数発生器（例えば、出力フィードバックモードで演算されたＤＥＳ）を「シード」するのに用いられうる。好ましい実施の形態では、乱数発生器５４２は、「ノイズダイオード」、あるいはその他の物理ベースの乱数値ソース（例えば、放射線崩壊（ｒａｄｉｏａｃｔｉｖｅ　ｄｅｃａｙ））から構成されうる。
【０７７４】
もしＰＰＥ　６５０において、利用可能な乱数発生器５４２がないのなら、ＳＰＥ　５０３は、ＳＰＥ内部で保護された秘密値から導き出された疑似乱数値系列を発生するために、暗号化アルゴリズム（例えば、出力フィードバックモードでのＤＥＳ）を用いることができる。これらの数は、真の乱数でなく、疑似乱数ではあるものの、ＳＰＥ　５０３外部の未知の値から暗号化的に導き出されるので、ある種のアプリケーションでは十分満足のいくものでありうる。
【０７７５】
ＳＰＥ　５０３なしにＨＰＥ　６５５を取り入れる実施の形態では、乱数値発生器５６５のソフトウェアは、予測できない外部物理事象（ディスクＩ／Ｏ完了、または取り付けられたキーボード６１２のユーザキーストロークの高分解能タイミング）から信頼性の高い乱数を導出することができる。
【０７７６】
このような「シード」に基づいてＰＫ鍵および非ＰＫ鍵を発生するには、従来の技術を用いればよい。よって、もしパフォーマンスおよび製造コストが許すのなら、ＰＰＥ　６５０は、好ましい実施の形態では、それ固有の公開／秘密鍵のペアを、このような乱数または疑似乱数「シード」値に基づいて発生する。この鍵のペアは、その後、その鍵のペアを発生したＰＰＥ　６５０と、それと通信することを望んでいるその他のＰＰＥとの間での外部通信に用いられうる。例えば、発生用ＰＰＥ　６５０が、この鍵のペアの公開鍵を他のＰＰＥに漏らすこともありうる。これにより、公開鍵を用いるその他のＰＰＥ　６５０が、発生用ＰＰＥのみにより復号化可能なメッセージを暗号化することが可能になる（発生用ＰＰＥは、対応する「秘密鍵」を「知っている」唯一のＰＰＥである）。同様に、発生用ＰＰＥ　６５０は、その秘密鍵を用いてメッセージを暗号化することもできる。この秘密鍵は、その他のＰＰＥが発生用ＰＰＥの公開鍵を用いて復号化に成功すると、発生用ＰＰＥがメッセージを送ったことを、その他のＰＰＥが認証できるようにする。
【０７７７】
あるＰＰＥ　６５０が、別のＰＰＥ　により発生された公開鍵を用いる前に、その公開鍵に対して認証証明書を発行するために、公開鍵証明処理が用いられるべきである。公開鍵の証明書は、例えば認証済みのＰＰＥ　６５０またはＶＤＥ管理者のような信頼のおけるエンティティにより「署名された」誰かの公開鍵である。証明書は、実際にはそうではない（例えば、実際には、ＰＰＥ　６５０の安全性を破壊しようと企てている人物と通信している）のに、認証済みのＰＰＥと通信しているとＰＰＥ　６５０を言いくるめようとする企てを妨害するのに用いられる。好ましい実施の形態では、１つ以上のＶＤＥ管理者が、証明機関を構成しうる。ＰＰＥ　６５０により発生された公開鍵と、ＰＰＥおよび／または対応するＶＤＥ電子器具６００に関する情報（例えば、サイトＩＤ、ユーザＩＤ、失効日、名前、アドレスなど）との両方に「署名する」ことによって、ＶＤＥ管理者証明機関は、ＰＰＥおよび／またはＶＤＥ電子器具に関する情報が正しいこと、およびその公開鍵が特定のＶＤＥモードに属することを証明できる。
【０７７８】
証明書は、ディジタル署名の信頼度については重要な役割を果たす。また、公開鍵認証通信プロトコル（後述する）においても重要である。好ましい実施の形態では、これらの証明書は、ある特定のＶＤＥ電子器具６００の信頼度／安全性レベルに関する情報（例えば、ハードウェアベースのＳＰＥ　５０３をもっているかどうか、あるいは信頼度の劣るソフトウェアエミュレーションタイプのＨＰＥ　６５５を代わりにもっているのか）を含んでいてもよい。この情報は、非常に安全性の高い情報を信頼度／安全性の劣るＶＤＥインストレーションに送信するのを避けるのに用いられうる。
【０７７９】
証明書は、非委託型の悪質（ｄｅｃｏｍｍｉｓｓｉｏｎｉｎｇ　ｒｏｇｕｅ）ユーザおよび／またはサイトにおいても重要な役割を果たしうる。サイトおよび／またはユーザＩＤを証明書に含ませることによって、ＰＰＥは、この情報を認証の一局面として評価することができる。例えば、もしＶＤＥ管理者または情報交換所が、ある種の（例えば、非委託型および／またはさもなくば疑わしいユーザおよび／またはサイトのリストに載っているような）基準を満たしているＩＤ（またはその他の情報）をもつ証明書に遭遇すれば、これらの基準に基づいて、通信の拒否、ディセーブル情報の通信、ユーザへの状況の通知といったいくつかのアクションのいずれかを選択することができる。また、証明書は、典型的には、例えば、サイトおよび／またはユーザはＶＤＥ管理者と常にコンタクトをとっていなければならないことを確認し、および／または証明鍵を定期的に変更可能とするため、証明書は定期的に書き換えられなければならないことを確認するための失効日を含んでいる。たとえある与えられた証明鍵が侵犯されても、１つ以上の「バックアップ」証明書を用いることができるように、異なる複数の鍵に基づく１つよりも多くの証明書を、サイトおよび／またはユーザに対して発行することができる。もしある証明鍵が侵犯されれば、ＶＤＥ管理者は、このような鍵を用いて発行された証明書に基づいて認証するのを拒否し、さらに続くＶＤＥ加入者とのインタラクションにおいて、侵犯された鍵のすべての使用と、その鍵に関わるあらゆる証明書とを無効にする「バックアップ」証明書を用いて認証した後、信号を送ることができる。新しい１つ以上の「バックアップ」証明書および鍵は、このような侵犯の後、認証されたサイト／ユーザに対して作成され、送られうる。
【０７８０】
もし多数の証明書を利用可能であるのなら、それらの証明書中のいくつかをバックアップとしてとっておくことができる。あるいは、またはそれに加えて、一群の証明書の中からある証明書をある与えられた認証で（例えば、ＲＮＧ　５４２を用いて）選択することによって、侵犯された証明鍵に関連する証明書が用いられる可能性を低くすることができる。さらに、ある与えられた認証で１つよりも多くの証明書を用いてもよい。
【０７８１】
証明アルゴリズムが（例えば、このアルゴリズムの元になっている数学的基礎の予測不可能な進歩により）侵犯される可能性に対して防衛策を講じるためには、異なる複数の数学的基礎に基づく異なる複数の証明書に、別々のアルゴリズムを用いてもよい。
【０７８２】
侵犯される可能性を低下させるのに用いられうる別の技術としては、それらの証明書の元になっている「公開」値を（ＰＰＥ　６５０の保護された記憶装置で）秘密のままにしておくことによって、攻撃の助けになるような値への攻撃者のアクセスを拒否するやりかたがある。これらの値は、名目上は「公開」であるものの、それらの値は、実際に証明書の有効性を検査するこれらの構成員（つまり、ＰＰＥ　６５０）のみに知らせておく必要がある。
【０７８３】
好ましい実施の形態では、ＰＰＥ　６５０がそれ固有の証明書を発行してもよいし、あるいは、この証明書は、外部から（例えば、証明機関であるＶＤＥ管理者などから）得られるようにしてもよい。このディジタル証明書がどこで発行されたかには関わりなく、その証明書は、最終的には、他のＶＤＥ電子器具６００がこの公開鍵にアクセスする（かつそれを信頼する）ことができるように、ＶＤＥ管理者証明機関により登録される。例えば、ＰＰＥ　６５０は、その公開鍵およびその他の情報を証明機関へと通信することができる。これに応答して、証明機関は、証明機関の秘密鍵を用いて、その公開鍵およびその他の情報を暗号化する。その他のインストレーション６００は、この「証明書」を信頼することができる。なぜなら、この証明書は、その復号化に証明機関の公開鍵を用いて認証されるからである。別の例としては、証明機関は、発生用ＰＰＥ　６５０から受け取った公開鍵を暗号化し、かつ証明機関の秘密鍵を暗号化にこの公開鍵を用いることができる。その後、証明機関は、この暗号化された情報を発生用ＰＰＥ　６５０に送り返すことができる。発生用ＰＰＥ６５０は、その後、内部でディジタル証明書を作成するのに、証明機関の秘密鍵を用いることができる。その後、発生用ＰＰＥ　６５０は、証明機関の秘密鍵のコピーを破壊することができる。発生用ＰＰＥ　６５０は、次に、もし望みとあれば、ディジタル証明書を送り出して、ＶＤＥ管理者（あるいは他のどこでもよいが）にある証明格納場所に格納されるようにする。この証明処理は、また、外部鍵ペア発生器および証明書発行器を用いて実施することもできるが、安全設備の性格によっては、安全性がいくらか劣ることもある。そのような場合、ＰＰＥ　６５０では、関連するその他の鍵に曝される程度を制約するために、製造鍵が用いられるべきである。
【０７８４】
ＰＰＥ　６５０は、１つよりも多くの証明書を必要とすることもある。例えば、ＰＰＥが認証済みであることを他のユーザに確認させ、かつそのＰＰＥを識別するために、証明書が必要なこともある。さらにいくつかの証明書が、ＰＰＥ　６５０の個々のユーザに必要になることもある。これらの証明書は、ユーザおよびサイト両者の情報を取り入れることもできるし、ユーザの情報のみを含ませることもできる。一般に、証明機関は、ある与えられたユーザに対して証明書を作成する以前に、有効なサイト証明書の提示を要求するものである。ユーザはそれぞれ、証明書を得るためには、自らの公開鍵／秘密鍵ペアを必要とする。ＶＤＥ管理者、情報交換所、およびその他の加入者は、通常、通信している、または他のかたちでインタラクションしているサイト（ＰＰＥ　６５０）およびユーザの両方について認証を要求することができる。鍵の発生およびＰＰＥ　６５０への証明に関する上記処理は、サイト／ユーザ証明書あるいはユーザ証明書をつくるのに用いられてもよい。
【０７８５】
上述した証明書は、ロードモジュール１１００の源（ｏｒｉｇｉｎ）および／または管理操作の認証性（ａｕｔｈｅｎｔｉｃｉｔｙ）を証明するのに用いられてもよい。上述した安全性および保証技術は、このような証明書（ＶＤＥ電子器具６００のアイデンティティ証明書以外の証明書を含む）のどれでも、それが侵犯される可能性を低くするのに用いられうる。
Ｄ．鍵の老化と旋回
ＰＰＥ　６５０もまた、好ましい実施の形態では、シークレット鍵と、多数のＰＰＥ　６５０の間で共有されるその他の情報とを発生する能力を有している。好ましい実施の形態では、このようなシークレット鍵およびその他の情報は、共有される秘密情報が電子器具間で明示的に通信されることを少しも必要とせずに、多数のＶＤＥ電子器具６００間で共有されうる。もっと具体的にいえば、ＰＰＥ　６５０は、多数のＶＤＥ電子器具６００間で共有されるシード情報に応答し、決定論的処理に基づいて鍵を導き出すための、いわゆる「鍵旋回（ｋｅｙ　ｃｏｎｖｏｌｕｔｉｏｎ）」技術を用いる。多数の電子器具６００は、その「シード」情報が何であるかを「知っており」、しかもこの情報に基づいて鍵を発生するのに用いられる決定論的処理も「知っている」ので、これらの電子器具はそれぞれ、「真の鍵」を独立して発生することができる。これにより、共通のシークレット鍵を安全ではないチャネル上で通信することで、その安全性が侵犯される可能性もなく、多数のＶＤＥ電子器具６００が、同一の共通シークレット鍵を共有することができる。
【０７８６】
暗号化鍵は、はっきりと決められていない期間のあいだ用いられるべきではない。鍵が用いられる期間が長くなればなるほど、それが侵犯される可能性も高くなり、もしその鍵が侵犯されているのに、それでも新しい情報を保護するのに用いられているのなら、それが失われる可能性も高くなる。また、鍵が用いられる期間が長くなればなるほど、その鍵はより多くの情報を保護することになるので、誰かがそれを破壊するのに必要な努力を払ったとすれば、それにより得られる可能性のある報酬もそれだけ高くなる。さらには、鍵が用いられる期間が長くなればなるほど、暗号文ベースの攻撃を用いて、その鍵を破壊しようと企てている攻撃者が入手可能な暗号文の量もそれだけ増えることになる。Ｓｃｈｎｅｉｅｒの第１５０〜１５１頁を参照のこと。鍵の旋回は、好ましい実施の形態では、周期的なルーチンまたはその他の基準に基づき、鍵の変更に伴う周辺の鍵管理問題を簡単にしつつ、安全データベース６１０に格納されている鍵を効率よく変更するためのメソッドを提供する。加えて、鍵の旋回は、鍵の使用および／または有効性について「失効日」を設けるための「時間老化した鍵」（後述する）を実現するのにも用いられうる。
【０７８７】
図６２は、好ましい実施の形態における鍵旋回の一実現形態例を示している。鍵の旋回は、サイトＩＤ　２８２１と、ＲＴＣ　５２８の上位ビットとの組み合わせを用いることによって、大きな尺度（例えば、１時間または１日単位）で時間依存のサイト固有値である「Ｖ」を生じるようにおこなわれうる。この値「Ｖ」は、旋回シード値２８６１を「現在の旋回鍵」２８６２に変換する暗号化処理２８７１用の鍵として用いられうる。シード値２８６１は、ユニバーサルである範囲、またはグループの範囲で共有される秘密値でありうる。また、この値は、安全鍵記憶装置（例えば、ＰＰＥ　６５０内の保護されたメモリ）内に格納されうる。シード値２８６１は、製造処理中にインストールされ、ＶＤＥ管理者により随時更新されうる。異なる複数セットのオブジェクト３００に対応する複数のシード値２８６１があってもよい。
【０７８８】
現在の旋回鍵２８６２は、サイトＩＤ　２８２１および現在の時刻の符号化を表す。この変換された値２８６２は、オブジェクトのＰＥＲＣ　８０８に格納されている鍵８１０を、そのオブジェクトの内容に合わせた真の秘密本文鍵（ｐｒｉｖａｔｅ　ｂｏｄｙ　ｋｅｙ）２８６３に変換する別の暗号化処理２８７２用の鍵として用いられうる。
【０７８９】
ブロック２８６１、２８７１によりおこなわれる「旋回関数」は、例えば、内容作成者のサイトおよび内容ユーザのサイトの両方において独立しておこなわれうる一方向関数でありうる。もし内容ユーザが、内容作成者の用いたものと正確に同じ旋回関数および正確に同じ入力値（例えば、時刻および／またはサイトおよび／またはその他の情報）を用いないのなら、内容ユーザによりおこなわれる旋回関数の結果は、内容作成者の結果とは違ってくることもある。もしその結果が、内容作成者により暗号化のための対称鍵として用いられるのなら、内容ユーザは、内容ユーザの結果が内容作成者の結果と同じでない限り、復号化はできなくなる。
【０７９０】
鍵旋回関数への入力の時間成分は、ＲＴＣ　５２８から導出されうる（なお、ＶＤＥ電子器具間のＲＴＣ同期におけるわずかな差によって、異なる複数の電子器具が異なる複数の時間成分を用いることにならないことが確実になるように注意されたい）。ＲＴＣ　５２８出力の異なる部分は、複数の鍵に異なる複数の有効持続時間を与えるのに用いられうる。あるいは、処理中で、いくつか異なる鍵値を試してみるためにある程度の許容誤差を導入してもよい。例えば、時間許容誤差を日、週あるいはその他の期間を単位として設けるように、「時間細分性（ｇｒａｎｕｌａｒｉｔｙ）」パラメータを調整することができる。一例としては、もし「時間細分性」が２日に設定され、許容誤差が±２日であるのなら、３つのリアルタイム入力値が、旋回アルゴリズムへの入力として試されうる。結果として得られる鍵値はそれぞれ、可能な複数の鍵のうちのどれが実際に用いられているかを決定するために試されうる。この例では、これらの鍵は、わずか４日の寿命しかないことになる。
【０７９１】
図６３は、ユーザのＲＴＣ　５２８と作成者のＲＴＣ　５２８との間のスキュー（ｓｋｅｗ）を補償するために、適切に旋回された鍵がどのようにして取り上げられるかを示している。旋回鍵２８６２（ａ〜ｅ）のシーケンスは、異なる複数の入力値２８８１（ａ〜ｅ）を用いることによって発生されうる。これらの入力値はそれぞれ、サイトＩＤ　２８２１およびＲＴＣ　５２８の値±差分値（例えば、−２日、−１日、Δなし、＋１日、＋２日）として導出される。旋回ステップ２８７１（ａ〜ｅ）は、鍵２８６２（ａ〜ｅ）のシーケンスを発生するのに用いられる。
【０７９２】
一方、作成者のサイトは、自らのＲＴＣ　５２８の値（鍵の意図された有効期間（ｖａｌｉｄｉｔｙ　ｔｉｍｅ）に対応するように調整されている）に基づき、旋回ステップ２８７１（ｚ）を用いることによって、旋回された鍵２８６２（ｚ）を発生することができる。この鍵は、その後、オブジェクトのＰＥＲＣ　８０８で内容鍵２８６３を発生するのに用いられうる。オブジェクトの内容を復号化するために、ユーザサイトは、その旋回鍵２８６２（ａ〜ｅ）のシーケンスのそれぞれを用いることによって、親内容鍵８１０を発生しようと試みる。これが試みられる時、作成者サイトのＲＴＣ　５３８がユーザサイトのＲＴＣ　５２８と比べて許容可能な誤差範囲内にある限り、鍵２８６２（ａ〜ｅ）の１つが鍵２８６２（ｚ）と一致し、復号化に成功することになる。この例では、一致しているかどうかは、鍵同士の直接の比較によってではなく、復号化された出力の有効性によって判定される。
【０７９３】
上述した鍵旋回は、必ずしもサイトＩＤおよび時刻の両方を一つの値として用いる必要はない。いくかの鍵は、現在のリアルタイムに基づいて発生されてもよい。他の鍵は、サイトＩＤに基づいて発生されてもよい。さらに他の鍵は、現在のリアルタイムおよびサイトＩＤの両方に基づいて発生されてもよい。
【０７９４】
鍵の旋回は、「時間老化した」鍵を設けるために用いられてもよい。これらの「時間老化した」鍵は、鍵を失効させ、「新しい」鍵に取り替えられるようにする自動的メカニズムを提供する。これらの鍵は、ユーザに再登録を要求することなく、また、内容プロバイダや管理者の手に大きな制御権を委ねたままにしておくことなく、１個のオブジェクトの全部または一部について、ユーザに時間の限定された使用を許可する時間の限定された権利を与えるためのメソッドを提供する。もし安全データベース６１０が十分に安全であるのなら、同様の能力は、鍵に関連づけられた失効日／時刻をチェックすることによっても実現されうる。しかし、これにより、それぞれの鍵または鍵のそれぞれのグループについてより大きな記憶空間を用いることが必要になる。
【０７９５】
好ましい実施の形態では、ＰＥＲＣ　８０８は、失効日および／または失効時刻を含むことができる。この失効日／時刻の後、それらに対応するＶＤＥにより保護された情報へのアクセスは、もはや承認されない。あるいは、またはこれに加えて、電子器具６００あるいは１つ以上のＶＤＥオブジェクト３００の使用のある局面に関わる持続時間の後、ＰＥＲＣ　８０８は、（１つ以上の）オブジェクトを使用する権利を再び得る、または保持するために、監査履歴情報を情報交換所、配付者、クライアント管理者あるいはオブジェクト作成者に送ることをユーザに強制することができる。ＰＥＲＣ　８０８は、鍵の使用および／または承認された使用の過去の利用可能時間を限定するパラメータをチェックする／強要することによって、このような時間ベースの制約を強要することができる。「時間老化した」鍵は、このタイプの時間に関連するアクセス制御をＶＤＥにより保護された情報に強要したり、強化するのに用いられうる。
【０７９６】
「時間老化した」鍵は、ある限定された期間のあいだに、１セットの情報を暗号化／復号化するのに用いられうる。よって、再登録、または新しいパーミッションの受け取り、あるいは監査情報の受け渡しが必要になる。そうしなければ、新しい鍵が提供されてユーザが使用できるようにはならない。時間老化した鍵は、また、システムの安全性を改善するためにも用いられうる。なぜなら、１つ以上の鍵が、時間老化基準に基づいて自動的に取り替えられるからである。よって、安全データベース６１０を破壊して（ｃｒａｃｋｉｎｇ）、１つ以上の鍵の位置を突き止めても、本当の値がないことになりうる。時間老化した鍵を用いることにより得られるさらに別の利点としては、それらの鍵がダイナミックに発生されうるということである。これにより、復号化鍵を２次的なおよび／または安全なメモリに格納する必要がなくなる。
【０７９７】
「時間老化した」鍵は、好ましい実施の形態では、暗号化／復号化に用いられうる「真の鍵」ではなく、ＰＰＥ　６５０が、その他の情報を参照して、「真の鍵」を発生するのに用いることができる情報の断片である。この他の情報は、時間ベースであるか、ＰＰＥ　６５０の特定の「ＩＤ」に基づくものであるか、あるいはこれらの両者に基づくものでありうる。「真の鍵」は決して曝されることはなく、常に安全なＰＰＥ　６５０環境内で発生されるものであり、また安全なＰＰＥには、「真の鍵」を発生することが要求されるので、ＶＤＥ　１００は、「時間老化した」鍵を、システムの安全性および柔軟性の大幅な強化に用いることができる。
【０７９８】
鍵を「老化させる」処理は、好ましい実施の形態では、（ａ）「真の鍵」および（ｂ）その他の何らかの情報（例えば、リアルタイムパラメータ、サイトＩＤパラメータなど）の関数である時間老化した「真の鍵」を発生することを必然的に伴う。この情報は、「真の鍵」を復元するか、または提供するために、（例えば、上述した「鍵の旋回」技術を用いて）組みあわされ／変換される。「真の鍵」は復元されうるので、これにより、「真の鍵」をＰＥＲＣ　８０８内に格納することを避けることができ、かつ異なる複数の「真の鍵」が、ＰＥＲＣ　８０８内の同一の情報に対応するようにすることができる。「真の鍵」は、ＰＥＲＣ　８０８には格納されないので、ＰＥＲＣにアクセスしても、「真の鍵」により保護されている情報へのアクセスが可能になることはない。よって、「時間老化した」鍵は、内容作成者／プロバイダが情報のアクセスに（例えば、サイトベースのおよび／または時間ベースの）制約を課すことを可能にする。情報へのアクセスは、ある意味では、１つ以上のＰＥＲＣ　８０８により提供されるパーミッションの「外部」にあるか、あるいはそれを補助するものである。例えば、「時間老化した」鍵は、ある種の保護された情報へのアクセスに追加の時間制限を強要することができる。この追加の時間制限は、ＰＥＲＣ　８０８内に含まれるどの情報あるいはパーミッションからも独立しているが、その代わり１つ以上の時間および／またはサイトＩＤ値に基づくものである。
【０７９９】
一例として、時間老化した暗号化鍵は、電子的に出版された新聞を「暫定予約購読」のかたちで購入する者が、一週間のあいだ、この新聞のそれぞれの版にアクセスできるようにするために用いられうる。一週間の経過後、暗号化鍵は、もはや機能しなくなる。この例では、ユーザが、その一週間の間に得られた版以外の版にアクセスするには、１つ以上の新しいＰＥＲＣ　８０８を購入したり、現存する１つ以上のパーミッション記録への更新を受け取ったりする必要がある。これらその他の版へのアクセスは、全く別の価格決定構造（例えば、無料あるいは最少額の「暫定」予約購読レートとは対照的な「通常の」予約購読レート）を用いても操作されうる。
【０８００】
好ましい実施の形態では、時間老化ベースの「真の鍵」は、一方向の、または可逆的な「鍵旋回」関数を用いて発生されうる。旋回関数への入力パラメータは、供給された時間老化した鍵と、ユーザおよび／またはサイト特異値と、ＲＴＣ　５２８からの時間値の指定された部分（例えば、ある数の上位ビット）あるいは所定の手法によりこのような時間値から導き出された値と、時間老化した鍵がユニークなものであることを確かめるのに用いられうるブロックあるいはレコード識別子とを含みうる。「鍵旋回」関数の出力は、破棄されるまで復号化を目的として用いられる「真の鍵」でありうる。時間老化した鍵と、適切ではない時間値とを用いてこの関数をランしても、典型的には、復号化できない無用な鍵が生じるだけである。
【０８０１】
新しい時間老化した鍵の発生は、経過した絶対時間あるいは相対時間のある値に基づいて（例えば、ＲＴＣ　５２８のようなクロックからのリアルタイム値に基づいて）トリガされうる。その時、旋回は、間違った鍵を生成する。また、復号化は、時間老化した鍵が更新されるまで、おこなわれない。いつ新しい「時間老化した鍵」が作成されるべきであるかを決定するのに用いられる基準は、さらに別の安全性レベルを実現するために、時間あるいはその他の入力変数に基づいて、それ自体が変更されてもよい。よって、旋回関数および／またはそれを実施するイベントは、可変量をパラメータとして変更したり、シフトさせたり、用いたりすることができる。
【０８０２】
時間老化した鍵の使用例としては、以下のものがある。
【０８０３】
１）作成者が、「真の鍵」を作成し、それを用いて内容を暗号化する。
【０８０４】
２）作成者が、「逆旋回」への入力パラメータとして
ａ）「真の」鍵、
ｂ）時間パラメータ（例えば、ＲＴＣ　５２８の有効な上位時間ビット）および
ｃ）その他のオプションの情報（例えば、サイトＩＤおよび／またはユーザＩＤ）
を用いて「時間老化した鍵」を生じるために、「逆旋回」をおこなう。
【０８０５】
３）作成者が、「時間老化した」鍵を内容ユーザに配付する（作成者は、もし内容ユーザのＰＰＥ　６５０に既に利用可能な旋回アルゴリズムを用いていないのなら、旋回アルゴリズムおよび／またはパラメータをも配付する必要がある）。
【０８０６】
４）内容ユーザのＰＰＥ　６５０が、
ａ）「時間老化した」鍵、
ｂ）上位時間ビット、および
ｃ）要求されたその他の情報（２ｃと同）
を組みあわせる。
【０８０７】
内容ユーザのＰＰＥ　６５０は、「真の」鍵を得るために、旋回関数（つまり、上記ステップ（２）の「逆旋回」アルゴリズムの逆）をおこなう。もし供給された時間および／またはその他の情報が「間違っている」のなら、旋回関数は、「真の」鍵を生成しないので、内容は復号化されえない。
【０８０８】
ＶＤＥオブジェクト３００あるいはその他のアイテムに関連づけられた鍵ブロックはいずれも、オブジェクトコンフィギュレーション処理の間にオブジェクト作成者により指定されたとおりに、あるいはそれが適切な場合には、配付者またはクライアント管理者により指定されたとおりに、通常の鍵ブロックあるいは時間老化した鍵ブロックのいずれかでありうる。
【０８０９】
「時間老化した」鍵は、また、ＰＰＥ　６５０間の安全な通信を実現するためのプロトコルの一部としても用いられうる。例えば、「真の」鍵を通信用のＰＰＥ　６５０に提供する代わりに、ＶＤＥ　１００は、「部分的な」通信鍵のみをＰＰＥに供給することもできる。これらの「部分的な」鍵は、例えば初期化のあいだにＰＰＥ　６５０に供給されうる。所定のアルゴリズムによって、安全な通信のために情報を暗号化／復号化するのに用いられる「真の鍵」を生成することができる。この所定のアルゴリズムは、すべてのＰＰＥ　６５０でこれらの鍵を同じように「老化させる」ことができる。あるいはＰＰＥ　６５０には、部分通信鍵の新しいセットがＰＰＥへとダウンロードされうるように、ある所定の時刻にＶＤＥ管理者とコンタクトをとることが要求されることもある。もしＰＰＥ　６５０が「新しい」部分鍵を発生しないか、さもなくば得ないのなら、ＰＰＥ　６５０は、その他のＰＰＥとの通信についてディセーブルされる（ＰＰＥが、再初期化を目的としてＶＤＥ管理者と確実に通信できるように、別の「フェールセーフ（ｆａｉｌ　ｓａｆｅ）」鍵が提供されてもよい）。２セットの部分鍵をＰＰＥ　６５０内に維持することによって、すべてのＶＤＥ器具６００間で固定された量のオーバーラップ時間を実現することができる。これら２セットの部分鍵のうち古いほうのセットは、周期的に更新されうる。
【０８１０】
好ましい実施の形態では、以下の追加タイプの鍵（後述する）も、「老化」されうる。
【０８１１】
個々のメッセージ鍵（すなわち、特定のメッセージに用いられる鍵）、
管理用の、静止および移動オブジェクト共有鍵、
安全データベース鍵、および
秘密本文鍵および秘密内容鍵
初期インストレーション鍵管理
図６４は、ＰＰＥ　６５０を生成する間のユニバーサル範囲の、すなわち「親」鍵のフローを示している。好ましい実施の形態では、ＰＰＥ　６５０は、製造者およびＰＰＥ自身によって発生された鍵を用いて初期化される、安全不揮発性鍵記憶装置２８０２（例えば、ＳＰＵ　５００の不揮発性ＲＡＭ　５３４ＢまたはＨＰＥ　６５５により保守される保護された記憶装置）を含んでいる。
【０８１２】
製造者は、サイト識別証明書２８２１に署名したり、それの有効性を検査するのに用いられる１つ以上の公開鍵２８１１／秘密鍵２８１２の鍵ペアを保有している（すなわち、それを知っており、開示または改変からそれを保護する）。それぞれのサイトについて、製造者は、サイトＩＤ　２８２１およびサイト特性リスト２８２２を発生する。加えて、製造者は、ロードモジュールおよび初期化コードダウンロードの有効性を検査するための公開鍵２８１３、２８１４をも保有している。安全性を強化するために、このような証明鍵は複数個あってもよいし、それぞれのＰＰＥ　６５０が、それぞれのタイプのこのような鍵のうち１サブセットのみを用いて初期化されてもよい。
【０８１３】
初期化処理の一部として、ＰＰＥ　６５０は、１ペア以上のサイト特異的な公開鍵２８１５および秘密鍵２８１６を内部で発生してもよいし、あるいは製造者がそれを発生して供給してもよい。これらは、ＰＰＥ　６５０により、そのアイデンティティを証明するために用いられる。同様に、そのサイトに対する（１つ以上の）サイト特異的なデータベース鍵２８１７が発生される。もし必要なら（つまり、もし乱数発生器５４２が利用可能ではないのなら）、乱数初期化シード２８１８が発生される。
【０８１４】
初期化は、サイトのＩＤ　２８２１および特性２８２２ならびにサイトの公開鍵２８１５／秘密鍵２８１６のペア（１つ以上）を発生することにより始まってもよい。これらの値は組み合わされ、１つ以上のサイトアイデンティティ証明書２８２３を発生するのに用いられうる。サイトアイデンティティ証明書２８２３は、公開鍵発生処理２８０４により発生されうるし、ＰＰＥの保護された鍵記憶装置２８０２および製造者のＶＤＥサイト証明書データベース２８０３の両方に格納されうる。
【０８１５】
証明処理２８０４は、製造者によっても、あるいはＰＰＥ　６５０の内部でもおこなわれうる。もしＰＰＥ　６５０によりおこなわれるのなら、ＰＰＥは、アイデンティティ証明秘密鍵２８１２を一時的に受け取り、証明書２８２３を発行し、その証明書を局所鍵記憶装置２８０２に格納した後、それを製造者に伝送する。その後、ＰＰＥ　６５０は、アイデンティティ証明秘密鍵２８１２のコピーを消去しなければならない。
【０８１６】
引き続いて、初期化は、ＰＰＥ　６５０あるいは製造者による、（１つ以上の）サイト特異的なデータベース鍵２８１７および（１つ以上の）サイト特異的なシード値２８１８の発生を要求しうる。これらは、鍵記憶装置２８０２に格納される。加えて、（１つ以上の）ダウンロード証明鍵２８１４およびロードモジュール証明鍵２８１３が、製造者により供給されて、鍵記憶装置２８０２に格納されうる。これらは、ＰＰＥ　６５０により、外部エンティティとのさらなる通信のすべての有効性を検査するために用いられうる。
【０８１７】
この時点において、ＰＰＥ　６５０は、（１つ以上の）ロードモジュール鍵２８１３および（１つ以上の）ダウンロード鍵２８１４により証明された情報をダウンロードすることによって、実行可能なコードおよびデータを用いてさらに初期化されうる。好ましい実施の形態では、これらの鍵は、その有効性を保証するＰＰＥ　６５０にロードされるデータにディジタル的に署名するのに用いられる。また、（１つ以上の）サイト特異的な公開鍵２８１５を用いて暗号化された（１つ以上の）追加の鍵は、このようなデータを暗号化し、それを開示から保護するのに用いられうる。
インストレーションおよび更新鍵管理
図６５は、製造者、またはＶＤＥ管理者による後続更新のいずれかによるさらなる鍵インストレーションの例を示している。製造者または管理者は、（１つ以上の）秘密ヘッダ鍵２８３１、（１つ以上の）外部通信鍵２８３２、管理オブジェクト鍵２８３３あるいはその他の（１つ以上の）共有鍵２８３４に対する初期値または新しい値を供給することができる。これらの鍵は、グローバル証明鍵２８１１、２８１３および２８１４と同じ意味合いでユニバーサル範囲でありうる。あるいは、これらの鍵は、ＶＤＥ事例のある規定されたグループ内での使用に限定されてもよい。
【０８１８】
このインストレーションをおこなうために、インストーラは、デスティネーションサイトの（１つ以上の）アイデンティティ証明書２８２３を取り出し、そこから（１つ以上の）サイトの公開鍵２８１５を抽出する。これら（１つ以上の）鍵は、暗号化処理２８４１において、インストールされている鍵を保護するのに用いられうる。インストールされているこれら（１つ以上の）鍵は、その後、デスティネーションサイトのＰＰＥ　６５０内部で伝送される。ＰＰＥ　６５０の内部では、復号化処理２８４２は、伝送を復号化するために、（１つ以上の）サイトの秘密鍵２８１６を用いることができる。その後、ＰＰＥ　６５０は、インストールされたあるいは更新された鍵を鍵記憶装置２８０２に格納する。
オブジェクト固有の鍵の使用
図６６および図６７は、ＶＤＥオブジェクト３００に関連づけられたデータおよび制御情報を保護する際の鍵の使用を示している。
【０８１９】
図６６は、静止内容オブジェクト８５０を示している。その制御情報は、管理オブジェクト８７０から導き出される。これらのオブジェクトは、ＰＰＥ　６５０により受け取られうる（例えば、ネットワークを介してオブジェクト格納場所７２８から取り出されたり、ローカル記憶装置から取り出されたりする）。管理オブジェクト復号化処理２８４３は、（１つ以上の）秘密ヘッダ鍵２８１５を用いて管理オブジェクト８７０を復号化することによって、内容オブジェクト８５０へのアクセスを支配するＰＥＲＣ　８０８を取り出すことができる。その後、（１つ以上の）秘密本文鍵８１０が、ＰＥＲＣ　８０８から抽出され、その内容をＰＰＥ　６５０外部でも利用できるように内容復号化処理２８４５により用いられる。加えて、（１つ以上の）データベース鍵２８１７が、ＰＰＥ　６５０外部の安全データベース６１０にＰＥＲＣを格納する準備のため暗号化処理２８４４により用いられる。内容オブジェクト８５０へと後にアクセスする時には、ＰＥＲＣ　８０８は、安全データベース６１０から取り出され、（１つ以上の）データベース鍵２８１７を用いて復号化された後、管理オブジェクト８７０から抽出されるのではなく、直接、使用される。
【０８２０】
図６７は、移動オブジェクト８６０を伴う同様の処理を示している。図６６と図６７との間の主な違いは、ＰＥＲＣ　８０８が移動オブジェクト８６０の中に直接、格納されることであり、よって、（１つ以上の）秘密ヘッダ鍵２８３１を提供するために、復号化処理２８４３の直後に用いられうることである。この秘密ヘッダ鍵２８３１は、移動オブジェクト８６０内の内容を処理するのに用いられる。
シークレット鍵の変化
図６４〜図６７は、好ましい公開鍵の実施の形態を示しているが、シークレット鍵バージョンを理解する一助としても用いられうる。シークレット鍵の実施の形態では、証明処理および公開鍵暗号化／復号化の代わりに、秘密鍵暗号化がおこなわれ、公開鍵／秘密鍵ペアの代わりに、ＰＰＥ　６５０の事例とその他のパーティ（例えば、（１つ以上の）ロードモジュール供給者、ＰＰＥ製造者など）との間で共有される個々のシークレット鍵が用いられる。加えて、証明処理２８０４は、シークレット鍵による実施の形態ではおこなわれず、サイトアイデンティティ証明書２８２３もＶＤＥ証明書データベース２８０３も存在しない。
鍵のタイプ
以下に述べる鍵のタイプの詳細な説明では、シークレット鍵の実施の形態をさらに説明している。しかし、この要旨は、完全な記述を意図しているわけではない。好ましい実施の形態によるＰＰＥ　６５０は、異なる複数のタイプの鍵および／または異なる複数の「共有される秘密」を異なるさまざまな目的で用いることができる。いくつかの鍵タイプは、公開鍵／シークレット鍵の実現形態に適用され、他の鍵は、シークレット鍵の実現形態のみに適用され、さらに他の鍵タイプは、それらの両者に適用される。以下の表は、好ましい実施の形態において用いられるさまざまな鍵および「共有される秘密」情報の例をリストアップしたものである。この情報は、用いられ、格納される場所もリストアップしている。
【０８２１】
【表２６】

【０８２２】
親鍵
「親」鍵は、その他の鍵を暗号化するのに用いられる鍵である。初期鍵つまり「親」鍵は、安全なメソッドでその他の鍵と通信するために、ＰＰＥ　６５０内に設けることができる。ＰＰＥ　６５０の初期化の間、コードと共有鍵とがＰＰＥにダウンロードされる。このコードは、安全旋回アルゴリズムおよび／または係数を含んでいるので、このコードは、「親鍵」に相当する。共有鍵もまた、「親鍵」と見なすことができる。
【０８２３】
もし公開鍵暗号化が、ＰＰＥ　６５０との外部通信の基礎として用いられるのなら、ＰＰＥ公開鍵ペアの証明処理の間に親鍵が必要になる。この親鍵は、例えば、ディジタル証明書（暗号化された公開鍵およびＰＰＥのその他の情報）を成立させるために、製造者もしくはＶＤＥ管理者により用いられる秘密鍵でありうる。また、この親鍵は、別の例では、証明書格納場所内のエントリを暗号化するためにＶＤＥ管理者により用いられる秘密鍵であってもよい。いったん証明がおこなわれれば、ＰＰＥ　６５０間の外部通信は、ＰＰＥと通信していることの証明書を用いて、成立させることができる。
【０８２４】
もし共有シークレット鍵が、外部通信の基礎として用いられるのなら、ＰＰＥ　６５０初期化のための外部通信を成立させるためには、初期シークレット鍵が必要になる。この初期シークレット鍵は、その他の鍵を暗号化するのに用いられるという意味合いで、「親鍵」である。ＰＰＥ初期化処理の間に、共有部分外部通信鍵（上述した）のセットがダウンロードされてもよい。また、これらの鍵は、後続する外部ＰＰＥ通信を成立させるのに用いられる。
製造鍵
製造鍵は、初期化時にＰＰＥにダウンロードされるＰＰＥ固有の鍵情報について製造スタッフが知るのを防止するために、ＰＰＥの製造時に用いられる。例えば、製造設備の一部として動作するＰＰＥ　６５０は、初期化されているＰＰＥにダウンロードするための情報を発生することができる。この情報は、ＰＰＥ　６５０間の通信のあいだに、その秘匿性を維持するために暗号化されなければならない。そうしなければ、製造スタッフがこの情報を読むことができるからである。製造鍵は、この情報を保護するために用いられる。また、製造鍵は、例えば、証明秘密鍵や、ＰＰＥの公開／秘密鍵ペアや、および／またはＰＰＥに固有の共有シークレット鍵のようなその他の鍵といった、ＰＰＥにダウンロードされるその他さまざまな鍵を保護するのに用いられうる。製造鍵は、他の鍵を暗号化するのに用いられるので、これも「親鍵」である。
【０８２５】
製造鍵は、公開鍵に基づいていてもよいし、共有の秘密に基づいていてもよい。いったん情報がダウンロードされれば、現在初期化されているＰＰＥ　６５０は、この製造鍵を破棄する（あるいは単に使用しない）ことができる。製造鍵は、製造時にＰＰＥ　６５０へと結線されうるし、ＰＰＥへとその最初の鍵として送られ、もはや必要なくなった後で破棄されてもよい。上記テーブルおよび前節の議論で示したように、もしＰＫ能力がＰＰＥに設けられていれば、製造鍵は、必要ではない。
証明鍵のペア
証明鍵のペアは、ＰＰＥ　６５０およびＶＤＥ電子器具６００用の「証明」処理の一部として用いられうる。この証明処理は、好ましい実施の形態では、ＶＤＥ電子器具が、それ（すなわち、その鍵）が信頼されうることを認証する１つ以上の「証明書」を提示できるようにするのに用いられうる。上述したように、この「証明」処理は、１つのＰＰＥ　６５０により、それが認証済みのＶＤＥ　ＰＰＥであること、一定のレベルの安全性および能力セット（例えば、単なるソフトウェアベースのものではなく、ハードウェアベースのものであること）を有していることなどを「証明する」ために用いられうる。簡単にいうと、「証明」処理は、別のＶＤＥノードの公開鍵を含むメッセージを暗号化するために証明鍵ペアのうち証明書秘密鍵の使用を伴うことがある。証明鍵ペアの秘密鍵は、好ましくは、ＰＰＥ証明書を発行するのに用いられる。この鍵は、ＰＰＥの公開鍵を暗号化するのに用いられる。ＰＰＥ証明書は、ＰＰＥに格納されてもよいし、証明書格納場所に格納されてもよい。
【０８２６】
選択された認証技術次第では、証明鍵ペアの公開鍵および秘密鍵は、保護される必要があることもある。好ましい実施の形態では、１つ以上の証明公開鍵が、認証の一局面として証明書を復号化するのに用いることができるように、ＰＰＥ間に配付される。好ましい実施の形態では、この公開鍵はＰＰＥ　６５０の内部で用いられるので、この公開鍵が、平文で利用可能である必要はない。いずれにせよ、このような鍵が完全性を保ったままで（例えば、ＶＤＥ管理者による初期化および／または更新の間に）保守され、伝送されるようにすることは重要である。もし証明公開鍵の秘匿性が維持されれば（すなわち、ＰＰＥ　６５０内部で平文のかたちでのみ利用可能であるのなら）、その安全性を破壊する（ｃｒａｃｋｉｎｇ）ことは、ずっと困難になる。証明鍵ペアの秘密鍵は、その秘匿性が維持されるべきであり、また証明機関のみによって格納されるべきである（つまり、配付されるべきではない）。
【０８２７】
好ましい実施の形態において、互いに異なるレベル／程度の信頼性／安全性をもつ複数のインストレーションを差別化する能力を可能にするためには、異なる複数の証明鍵ペアを用いればよい（例えば、異なる複数の証明鍵は、ＳＰＥ　５０３を証明するために用いられた後、ＨＰＥ　６５５を証明するために用いられてもよい）。
ＰＰＥ公開／秘密鍵ペア
好ましい実施の形態では、ＰＰＥ　６５０はそれぞれ、それ固有のユニークな「デバイス」（および／またはユーザ）の公開／秘密鍵ペアを有していてもよい。好ましくは、この鍵ペアのうちの秘密鍵は、ＰＰＥ内で発生され、いかなる形態でもＰＰＥの外部に曝されることは決してない。よって、ある実施の形態では、ＰＰＥ　６５０には、鍵のペアを内部で発生する内部能力が設けられてもよい。もしＰＰＥ　がそれ固有の公開鍵暗号化システムの鍵ペアを内部で発生すれば、上述した製造鍵は、必要でなくなることもある。しかし、もしコスト上の理由から望ましいのなら、鍵のペアは、ＰＰＥ　６５０の製造時のみに曝されてもよいし、その時、製造鍵を用いて保護されてもよい。ＰＰＥ　６５０がその公開鍵ペアを内部で発生できるようにすれば、この鍵ペアを隠すことが可能になる。しかし、ある種のアプリケーションでは、公開鍵の鍵ペア発生器をＰＰＥ　６５０内に導入することによるコストのほうが、より重要になることもある。
初期シークレット鍵
初期シークレット鍵は、初期化の間にＰＰＥにダウンロードされた情報を保護するために、ＰＰＥ　６５０に基づいて、シークレット鍵のみにより親鍵として用いられうる。この鍵は、ＰＰＥ　６５０により発生され、ＰＰＥから、製造鍵を用いて暗号化された安全製造データベースへと送られる。この安全データベースは、これに応答して、初期シークレット鍵を用いて暗号化されたユニークなＰＰＥ製造ＩＤを送り返す。
【０８２８】
この初期シークレット鍵は、それがＰＰＥ初期化において果たす特殊な役割のために、「標準的な」暗号化に用いられる鍵よりもずっと長い鍵である可能性が高い。結果として復号化オーバーヘッドは、この初期化処理のあいだのみ生じるので、この鍵の選択された部分を用いて復号化ハードウェアを通る多数のパスは、許容可能である。
ＰＰＥ製造ＩＤ
ＰＰＥ製造ＩＤは、「鍵」ではなく、「共有秘密」の範疇定義内に入る。このＩＤは、好ましくは、ＰＰＥ　６５０をユニークに識別し、ＰＰＥ初期化処理の間にＰＰＥの初期シークレット鍵を決定するために、安全データベース６１０により用いられうる。
サイトＩＤ、共有コード、共有鍵および共有秘密
ＶＤＥサイトＩＤは、共有コード、鍵および秘密と共に、好ましくは、ＰＰＥ初期化処理の間にＰＰＥ　６５０へとダウンロードされるか、または、その処理の一部としてＰＰＥにより内部で発生される。好ましい実施の形態では、この情報の大半または全部が、ダウンロードされる。
【０８２９】
ＰＰＥのサイトＩＤは、ＰＰＥ　６５０をユニークに識別する。このサイトＩＤは、好ましくは、ＰＰＥ　６５０をユニークに識別し、かつそのＰＰＥをその他すべてのＰＰＥから区別することができるように、ユニークなものされる。このサイトＩＤは、好ましい実施の形態では、さまざまな目的（例えば、「アドレスプライバシー」機能の提供）に用いられうるユニークなアドレスを提供する。あるケースでは、このサイトＩＤは、ＰＰＥ　６５０の公開鍵でありうる。別のケースでは、ＰＰＥのサイトＩＤは、製造および／または初期化処理の間に割り当てられうる。公開鍵の能力を持たないＰＰＥ　６５０の場合、デバイスのシークレット鍵をユニークなサイトＩＤとして用いることは望ましくないことがある。なぜなら、このことは、鍵のうちあまりにも多くのビットを曝すことになるからである。よって、異なる情報列をサイトＩＤとして用いるべきである。
【０８３０】
共有コードは、制御プログラムのうちの少なくとも一部をＰＰＥ　６５０に提供する、これらのコード断片を含んでいる。好ましい実施の形態では、ＰＰＥ製造の間に、そのＰＰＥがブートストラップし、初期化処理を始めることを可能にする基本コード断片がインストールされる。この断片は、初期化処理のあいだに、または後続するダウンロード処理のあいだに、更新された制御ロジックに置き換え可能である。
【０８３１】
共有鍵は、初期化処理の間にＰＰＥ　６５０へとダウンロードされうる。これらの鍵は、例えば、多数のオブジェクト構造の秘密ヘッダを復号化するのに用いられうる。
【０８３２】
ＰＰＥ　６５０が、シークレット鍵のみのモードで動作している時、初期化およびダウンロード処理は、共有秘密をＰＰＥ　６５０へとインポートすることができる。これらの共有秘密は、通信処理の間に、ＰＰＥ　６５０が、その他のＰＰＥおよび／またはユーザのアイデンティティを認証できるようにするために用いられうる。
ダウンロード承認鍵
ダウンロード承認鍵は、初期化ダウンロード処理のあいだに、ＰＰＥ　６５０により受け取られる。この鍵は、さらにＰＰＥ　６５０のコード更新、鍵更新を承認するのに用いられ、また、ＰＰＥの安全データベース６１０のバックアップを保護することによって、たとえＰＰＥが故障しても（例えば）ＶＤＥ管理者により復元可能とするためにも用いられうる。また、この鍵は、サイトＩＤ固有の鍵を導き出すために、サイトＩＤ、時間および旋回アルゴリズムと共に用いられうる。ダウンロード承認鍵は、また、安全データベース６１０のバックアップを暗号化するのに用いられた鍵ブロックを暗号化するのにも用いられうる。さらに、ＰＰＥ　６５０への未来のダウンロードをイネーブルするのに用いられるサイト特異的な鍵をつくるのにも用いられうる。このダウンロード承認鍵は、好ましい実施の形態では、すべてのＰＰＥ　６５０の間で共有されるわけではない。つまり、この鍵は、承認済みのＶＤＥ管理者によりおこなわれる機能に固有である。
外部通信鍵および関連する秘密および公開情報
ＰＰＥ　６５０が通信するときに、鍵が必要になるいくつかのケースがある。安全な通信を成立させる処理もまた、電子器具６００との通信についての、関連する公開および秘密情報の使用を必要とすることもある。外部通信鍵およびその他の情報は、安全な通信をサポートし、認証するのに用いられる。これらの鍵は、好ましい実施の形態では、公開鍵のペアを含んでいる。ただし、共有シークレット鍵を、それの代わりに、またはそれに加えて用いてもよい。
管理オブジェクト鍵
好ましい実施の形態では、管理オブジェクト共有鍵は、管理オブジェクト８７０の秘密ヘッダを復号化するのに用いられうる。管理オブジェクトの場合、パーミッションレコード８０８が、秘密ヘッダに存在していてもよい。あるケースでは、パーミッションレコード８０８は、その他の管理オブジェクトの内容を処理する権利を提供する機能をおこなう管理オブジェクトとして（またはその中で）配付されうる。パーミッションレコード８０８は、好ましくは、秘密本文のための鍵を含んでいる。また、アクセスされうる内容のための鍵は、パーミッションレコード８０８で参照される予算でありうる。管理オブジェクト共有鍵は、時間を一成分として導入することができ、失効すれば、取り替えられうる。
静止オブジェクト鍵
静止オブジェクト共有鍵は、静止オブジェクト８５０の秘密ヘッダを復号化するのに用いられうる。既に説明したように、あるケースでは、パーミッションレコード８０８は、静止オブジェクトの秘密ヘッダに存在していることもある。もし存在しているのなら、このパーミッションレコード８０８は、秘密本文のための鍵を含んでいてもよいが、その内容のための鍵は含んでいない。これらの共有鍵は、時間を一成分として導入することができ、失効すれば、取り替えられうる。
移動オブジェクト共有鍵
移動オブジェクト共有鍵は、移動オブジェクト８６０の秘密ヘッダを復号化するのに用いられうる。好ましい実施の形態では、移動オブジェクトは、その秘密ヘッダにパーミッションレコード８０８を含んでいることもある。このパーミッションレコード８０８は、好ましくは、秘密本文のための鍵と、パーミッションレコード８０８によりパーミッションが与えられる時にはアクセスされうる内容のための鍵とを含んでいる。これらの共有鍵は、時間を一成分として導入することができ、失効すれば、取り替えられうる。
安全データベース鍵
ＰＰＥ　６５０は、好ましくは、これらの安全データベース鍵を発生し、それらをＰＰＥの外部に決して曝すことがない。これらの鍵は、好ましい実施の形態では、サイト特異的であり、上述したように、「老化」されうる。上述したように、更新されたレコードが安全データベース６１０に書き込まれるたびに、新しい鍵を用いることができ、ＰＰＥ　内の鍵リストに載せておくことができる。周期的に（内部リストにもう余地がない時に）、ＰＰＥ　６５０は、新しいまたは古いレコードを暗号化する新しい鍵を発生することができる。安全データベース６１０のサイズ次第では、単一の鍵の代わりに、鍵のグループを用いることもできる。
秘密本文鍵
秘密本文鍵は、オブジェクト３００にユニークなものであり、ＰＰＥ　６５０の間で共有される鍵情報には依存しない。これらの鍵は、好ましくは、秘密本文が暗号化される時にＰＰＥ　６５０により発生され、それらを「老化」させる一成分としてリアルタイムを取り入れることができる。これらの鍵は、パーミッションレコード８０８において受け取られ、その使用法は、予算により制御されうる。
内容鍵
内容鍵は、オブジェクト３００にユニークなものであり、ＰＰＥ　６５０の間で共有される鍵情報には依存しない。これらの鍵は、好ましくは、内容が暗号化される時にＰＰＥ　６５０により発生され、それらを「老化」させる一成分として時間を取り入れることができる。これらの鍵は、パーミッションレコード８０８において受け取られ、その使用法は、予算により制御されうる。
承認共有秘密
ＰＰＥ　６５０内または安全データベース６１０内の情報へのアクセスおよびその使用は、鍵ではなく、むしろ承認「共有秘密」を用いて制御されうる。承認共有秘密は、それらが承認するレコード（パーミッションレコード８０８、予算レコードなど）内に格納されうる。承認共有秘密は、対応するレコードが作成される時に書式化（ｆｏｒｍｕｌａｔｅｄ）されうる。承認共有秘密は、承認ＰＰＥ　６５０により発生されうる。また、レコードの更新が生じる時に取り替えられうる。承認共有鍵は、能力ベースのオペレーティングシステムにおいて用いられる「能力」に関連づけられた何らかの特性を有している。アクセスタグ（後述する）は、好ましい実施の形態では、重要な承認共有秘密セットである。
バックアップ鍵
上述したように、安全データベース６１０のバックアップは、安全データベースレコードのすべてと、ＰＰＥ　６５０および外部の両方に格納されている現在の監査「ロールアップ」とを読み出すことからなる。その後、バックアップ処理は、発生された鍵の新しいセットを用いて、この情報を復号化し、再暗号化する。これらの鍵、バックアップ時刻、およびこのバックアップを識別するためのその他の適切な情報は、何度でも暗号化され、以前に暗号化された安全データベースファイルおよびロールアップデータと共に、バックアップファイル内に格納されうる。これらのファイルは、その後、ＰＰＥ　６５０内で発生され、格納された「バックアップ」鍵を用いて、すべて暗号化されうる。このバックアップ鍵５００は、もし必要であれば、ＰＰＥにより、バックアップを復元するのに用いられうる。これらのバックアップ鍵は、また、（例えば、ダウンロード認証鍵および／またはＶＤＥ管理者の公開鍵を用いて）安全に暗号化され、バックアップ自体の中に格納されることによって、ＰＰＥ　６５０が故障した場合でも、ＶＤＥの管理者が、バックアップを復元できるようにする。
暗号化封印
封印は、情報が、偶然にまたはＶＤＥの安全性への攻撃として、ＰＰＥ　６５０の制御外で改変を受けうる時に、その情報の完全性を保護するために用いられる。具体的なアプリケーションを２つ挙げれば、データベースレコード用の検査値の計算と、ＳＰＥ　５００から交換されて出力された（ｓｗａｐｐｅｄ　ｏｕｔ）データブロックの保護とがある。
【０８３３】
封印には２つのタイプがある。暗号化ハッシュ方式としても知られている鍵を用いない封印と、鍵を用いた封印の２つである。これらの両方とも、ＭＤ５やＳＨＡのような暗号化的に強力なハッシュ関数を用いる。このような関数は、任意のサイズの入力を受け取り、固定されたサイズのハッシュすなわち「ダイジェスト」を生じる。このダイジェストは、同一のダイジェストを生じる２つの入力を計算することが実行不可能であり、具体的なダイジェスト値を生じる１つの入力を計算することが実行不可能であるという特性を有する。ここで、「実行不可能」であるとは、ビットで表されるダイジェスト値の大きさに基づく、仕事関数を参照していうものである。もし、例えば、２５６ビットのハッシュ関数を強力であると称するならば、複製された、あるいは指定されたダイジェスト値が生成される可能性が高くなるまでには、平均すると、およそ１０＾３８（２＾１２８）の試算を必要としなければならない。
【０８３４】
鍵を用いない封印は、データベースレコード（例えば、ＰＥＲＣ　８０８）および類似のアプリケーションにおいて検査値として用いられうる。鍵を用いない封印は、レコード本文の内容、およびレコードの残りの部分に格納されている封印に基づいて計算されうる。封印とレコードとの組み合わせは、記憶装置内でそれを保護するために、暗号化されうる。もし誰かが、暗号化鍵を知らずにその暗号化された鍵を（例えば、データを表す部分あるいは封印を表す部分を）改変すれば、復号化された内容は違ってくるし、復号化された検査値は、レコードのデータから計算されたダイジェストと一致しなくなる。たとえハッシュアルゴリズムが知られているとしても、レコードのデータおよびその封印を対応するように改変することは実行不可能である。なぜなら、それらの両方とも暗号化されているからである。
【０８３５】
鍵を用いた封印は、暗号化なしに保護された環境の外部に格納されたデータに対する保護として用いられうる。また、２つの保護された環境間の有効性を示す証拠（ｖａｌｉｄｉｔｙ　ｐｒｏｏｆ）としても用いられうる。鍵を用いた封印は、鍵を用いない封印と同様に計算されるが、ただし、封印されているデータには、秘密初期値が論理的にプレフィクスされたものとして置かれる。よって、ダイジェスト値は、秘密およびデータの両方に依存しているので、データそのものは攻撃者に可視であるものの、改変されたデータに対応する新しい封印を計算することは、実行不可能である。鍵を用いた封印は、単一の秘密値を用いて記憶装置内のデータを保護することができるし、あるいは、単一の秘密値を共有する２つの環境の間で遷移するデータを保護することもできる。
【０８３６】
鍵を用いた封印あるいは鍵を用いない封印のいずれを選択するかは、保護されているデータの性格に依存しており、また、そのデータが暗号化によりさらに保護されるかにも依存している。
タグ付加
タグの付加は、重要なコンポーネントアセンブリの安全記憶装置および２次記憶メモリ６５２上の関連する情報をサポートするのに特に役に立つ。情報への「タグ付加」と暗号化戦略とを一体化して用いることにより、ＶＤＥノードの構成、管理および動作、ならびにＶＤＥの保護された内容の使用を（部分的にはイネーブルするものの）限定し、および／または記録する情報を安全に格納する、安価な大容量記憶装置の使用が可能になる。
【０８３７】
暗号化されているか、またはその他の手法により安全にされた情報が、ユーザの安全なＶＤＥ処理エリア（例えば、ＰＰＥ　６５０）へと配送される時、この情報の一部は、「タグ」として用いられうる。このタグは、まず復号化されるか、さもなくば安全性が解除された（ｕｎｓｅｃｕｒｅｄ）後、予想された値と比較されることによって、その情報が予想された情報を表していることを確認する。よって、このタグは、受け取られ、ＶＤＥ保護された情報のアイデンティティおよび正しさを確認する処理の一部として用いられうる。
【０８３８】
好ましい実施の形態による制御構造に設けられうるタグには、以下の３つのクラスがある。
【０８３９】
・アクセスタグ
・有効性検査タグ
・相関性タグ
これらのタグは、それぞれ別々の目的をもっている。
【０８４０】
アクセスタグは、ＶＤＥ保護されたエレメントと、（１つ以上の）タグの付加されたエレメントを読み出す、および／または改変することの承認されたエンティティとの間で「共有秘密」として用いられうる。このアクセスタグは、異なる複数のアクティビティをそれぞれ独立して制御するために、別々のフィールドに分解されてもよい。もしアクセスタグがメソッドコア１０００のようなエレメントにより用いられるのなら、このようなエレメントに影響を及ぼす管理イベントは、影響を受けた（１つ以上の）エレメント用のアクセスタグ（またはそのアクセスタグの一部）を備えていなければならないし、イベントが処理にかけられる時には、そのタグをアサートしなければならない。もしアクセスタグが安全に保守され（例えば、エレメントが作成される時にＰＰＥ　６５０内部で作成され、暗号化された構造においてのみＰＰＥ　６５０から明らかにされ）承認済みのパーティのみに配付されるのなら、構造の改変は、さらに安全に制御されうる。もちろん、制御構造（例えば、ＰＥＲＣ　８０８）は、管理イベントに現れる改変あるいはその他のアクションをさらに限定したり、その重要性を判定することができる。
【０８４１】
相関性タグは、１つのエレメントが別のエレメントを参照する時に用いられる。例えば、作成者は、作成者のＰＥＲＣ内でその予算を参照する前に、パーミッションを得て、ビジネス関係を樹立することを予算所有者により要求されることがある。このような関係がつくられた後、予算所有者は、作成者に対して、予算所有者の予算を参照するＰＥＲＣを生成することを許可する一つの局面として、１つ以上の相関性タグを作成者に送信することができる。
【０８４２】
有効性検査タグは、改竄者側のレコード置換の企てを検出する一助とするために用いられうる。
【０８４３】
いくつかの点で、これら３つのクラスのタグは、その機能面で重複している。例えば、相関性タグの不一致は、アクセスタグの検査がおこなわれる前に、アクセスタグの不一致により通常は防止されうる、あるクラスの改変の企てを防止することができる。好ましい実施の形態は、あるケースでは、例えば、アクセスタグを上述した有効性検査タグと同様の役割で用いることによって、オーバーヘッドを減らすために、この重複を利用することができる。
【０８４４】
一般に、タグ付加プロシージャは、ＳＰＥ　５０３内で、（１つ以上の）暗号化鍵と（１つ以上の）安全化技術とを変更することを伴い、および／または固有の、（１つ以上の）格納されたタグを設けることを伴う。これらのプロシージャは、上述した安価な大容量記憶装置６５２内に格納されている情報であって、ハードウェアＳＰＵ　５００内で、ＶＤＥ保護された内容および管理データベース情報を用い、利用可能とすることによって、認証、復号化、またはその他の分析に利用される安全データベース６１０情報を用いておこなわれうる。通常、有効性検査タグの変更には、ＶＤＥノードのハードウェア（例えば、ＰＰＥ　６５０）内に、タグの変更に対応する１つ以上の情報エレメントを格納することを伴う。ハードウェアＳＰＥの物理的に安全で、信頼のおける環境の外部での情報の格納は、安全に格納をおこなう上でコストの大幅な削減を可能にする手段である。また、格納されている重要な管理データベース情報の安全性は、このように情報にタグを付加することによって、強化される。このようなタグの「変更」を頻繁に（例えば、ある与えられたレコードが復号化されるたびに）おこなえば、「正しい」情報が「正しくない」情報に置き換えられるのを防止することができる。なぜなら、このような置換は、後に情報を取り出す時に、ハードウェアＳＰＥに格納されているタグ付加情報と一致する情報をもっていないからである。
【０８４５】
情報にタグを付加することにより得られる別の効果としては、２つ以上のパーティの間で作用している情報および／または制御メカニズムを強要する、および／または検証する一助としてのタグの使用がある。もしあるパーティにより情報にタグが付加された後、別の１つ以上のパーティに渡されたのなら、タグの付加されたその情報に関して、それら２つのパーティ間でおこなわれる通信および／または取引に関連づけられた、予想された値としてあるタグを用いることができる。例えば、もしパーティＡによりパーティＢに渡されるデータエレメントにあるタグが関連づけられるのなら、パーティＢは、そのデータエレメントに関連する情報（および／またはその一部）がパーティＢによりパーティＡへと明らかにされる前に、パーティＡに対して、そのタグの少なくとも一部について正しい値を知っていることを証明するように要求することができる（逆の場合も同様）。別の例では、タグは、パーティＢにより送られた情報が、タグの付加されたデータエレメント（および／またはその一部）に実際に関連づけられているかどうかを検証するために、パーティＡにより用いられうる（逆の場合も同様である）。
安全で認証された通信チャネルの確立
２つのパーティ（例えばＰＰＥ　ＡおよびＢ）は時折、両パーティにとって既知の通信チャネルを確立して、盗聴および不正改変がないこと、ならびにＩＤを互いに正確に知っているこれら２つのパーティによってのみ使用されていることを確実にする必要がある。
【０８４６】
以下にこのようなチャネルを確立するプロセスの１つの例を述べ、セキュリティおよび認証のための要件がどのようにして確立され両パーティによって有効性が検査されるかを明らかにする。このプロセスは各パーティが確立しなければならないクレームおよび信用という用語で抽象的に述べられており、特定のプロトコルの仕様書としてみなされない。特に、各ステップの個々の下位ステップは個別の動作を用いて実現されるように要求されてはいない。実際には、関係するプルーフの確立および有効性検査は組み合わされて単一の動作とされることが多い。
【０８４７】
下位ステップは、クレームが他方のパーティによってなされる前にはそのクレームの有効性を証明することはできないというような場合を除いては、以下に詳述する順序で行う必要はない。情報の「伝送」自体がいくつかの下位ステップに分割され得るため、ステップは、列挙された下位ステップにより暗示されるより多い、両パーティ間の追加の通信を含み得る。また、クレームまたはプルーフが伝送中に曝露または改変されないように保護する必要はない。クレームについての知識（特定の通信提案およびそれらの受け取り通知を含む）は保護情報であるとはみなされない。プルーフが改変されればそのプルーフは無効となりプロセスは失敗に終わる。
【０８４８】
このプロセスを実現するために標準的な公開鍵または秘密鍵暗号技術（例えば、Ｘ．５０９、Ａｕｔｈｅｎｔｉｃａｔｅｄ　Ｄｉｆｆｉｅ−Ｈｅｌｌｍａｎ、Ｋｅｒｂｅｒｏｓ）を用いることができる。この好適な実施態様では、３方向Ｘ．５０９公開鍵プロトコルのステップが用いられる。
【０８４９】
この例示したプロセスの最初の２つのステップは以下の通りである。
【０８５０】
Ａ．（先駆ステップ）：Ａが有効性検査可能なクレームを作成する手段を確立する。
【０８５１】
Ｂ．（先駆ステップ）：Ｂが有効性検査可能なクレームを作成する手段を確立する。
【０８５２】
これら２つのステップにより、各パーティが、例えば、両パーティが秘密鍵を保持し、証明機関のデジタル署名によってそれ自体が認証される公開鍵を利用可能にする公開鍵署名スキームを用いることによって、他方のパーティにより有効性が検査され得るクレームを作成する手段が確実に得られる。
【０８５３】
次のステップは以下の通りである。
【０８５４】
Ａ（提案ステップ）：
１．ＢのＩＤを決定する。
【０８５５】
２．Ｂにより作成されたクレームの有効性を検査する手段を得る。
【０８５６】
３．この特定の提案された通信のための固有のＩＤを作成する。
【０８５７】
４．両パーティおよび特定の通信を識別する通信提案を作成する。
【０８５８】
５．ＡのＩＤおよび通信提案の出所の有効性検査可能なプルーフを作成する。
【０８５９】
６．通信提案および関係するプルーフをＢに配送する。
【０８６０】
これらのステップにより、対応するパーティＢのＩＤが確立され、通信が提案される。通信の確立にはＢによって作成されたクレームの有効性検査が必要となるため、Ａがこれらのクレームの有効性を検査する手段が提供されなければならない。通信の確立は、Ａによる通信のための特定の要件に固有のものでなければならないため、この通信提案およびすべての関係する交信は、他のこのような交信のすべてから明瞭に区別可能でなければならない。Ｂはその提案をＡからの正当な提案として有効性を検査する必要があるため、その提案が有効であるというプルーフを提供しなければならない。
【０８６１】
次のステップは以下の通りである。
【０８６２】
Ｂ（受け取り通知ステップ）
１．通信提案からＡのＩＤを抽出する。
【０８６３】
２．Ａにより作成されたクレームの有効性を検査する手段を得る。
【０８６４】
３．ＩＤおよび通信提案の出所についてのＡのクレームの有効性を検査する。
【０８６５】
４．通信提案の固有のＩＤを決定する。
【０８６６】
５．通信提案が前の提案の複写でないことを決定する。
【０８６７】
６．この特定の通信提案を識別する受け取り通知を作成する。
【０８６８】
７．ＢのＩＤおよび受け取り通知の出所の有効性検査可能なプルーフを作成する。
【０８６９】
８．受け取り通知および関係するプルーフをＡに配送する。
【０８７０】
これらのステップにより、パーティＢはＡの通信提案を受け取りこれについて行動する準備ができていることが確立される。Ｂは提案の有効性を検査する必要があるため、Ｂは先ずその出所を決定しその正当性の有効性を検査しなければならない。Ｂは、そのレスポンスが特定の提案に関係することおよびその提案がリプレイではないことを確実にしなければならない。Ｂは提案を受け入れる場合は、Ｂ自体のＩＤとＢが特定の提案を受け取ったことを証明しなければならない。次のステップは以下の通りである。
【０８７１】
Ａ（確立ステップ）：
１．Ａの特定の提案に対するＢのクレーム受け取り通知の有効性を検査する。
【０８７２】
２．受け取り通知から特定の通信提案のＩＤを抽出する。
【０８７３】
３．受け取り通知が未解決の通信提案に関係することを決定する。
【０８７４】
４．提案された通信に使用される固有のセッション鍵を作成する。
【０８７５】
５．Ａがセッション鍵を作成したというプルーフを作成する。
【０８７６】
６．セッション鍵が特定の通信提案と関係するというプルーフを作成する。
【０８７７】
７．Ｂの受け取り通知を受け取ったというプルーフを作成する。
【０８７８】
８．セッション鍵が伝送中に曝露されることから保護する。
【０８７９】
９．セッション鍵が伝送中に改変されることから保護する。
【０８８０】
１０．保護されたセッション鍵とすべてのプルーフをＢに配送する。
【０８８１】
これらのステップにより、Ａはセッション鍵を特定して、これをＡの特定の通信提案に関連する今後のすべての交信に結びつけることができる。Ａは鍵を作成し、Ａがこれを作成したことを証明し、そしてこれが特定の提案された通信に連結することを証明しなければならない。さらに、Ａはセッション鍵が提案を受け取ったというＢの受け取り通知に応答して生成されることを証明しなければならない。セッション鍵は曝露または改変から保護され、攻撃者が異なる値に換字することができないようにしなけれならない。
ＶＤＥ設備のＰＰＥ　６５０間の伝送可能性
１つの好適な実施態様では、ＶＤＥオブジェクト３００および他の安全な情報は、適切であれば、上記に概略を示した様々な鍵を用いて、１つのＰＰＥ　６５０から別のＰＰＥ６５０ヘ確実に伝送され得る。ＶＤＥ　１００はＶＤＥ管理情報の再配布を用いて、ＶＤＥオブジェクト３００の所有権を交換し、オブジェクトの電子機器６００間を移動を可能にする。
【０８８２】
ＶＤＥオブジェクト３００のパーミッション記録８０８は、オブジェクトの全体が、一部が、またはほんの少しが再配布され得るのかどうかを決定するために用いられ得る権利情報を含む。ＶＤＥオブジェクト３００が再配布され得る場合は、電子機器６００は、通常は、「予算」および／または機器がオブジェクトを再配布するのを可能にする他の許可するもの（ｐｅｒｍｉｓｓｉｏｎｉｎｇ）を持たなければならない。例えば、オブジェクトを再配布する権限が与えられた電子機器６００は、機器が所有する予算または権利より少ないかまたはこれらに等しい予算または権利を含む管理オブジェクトを作成し得る。いくつかの管理オブジェクトは他のＰＰＥ　６５０に送られ得る。管理オブジェクトの１つを受け取るＰＰＥ　６５０は、関連するオブジェクトへの予算の少なくとも一部または権利を使用する能力を有し得る。
【０８８３】
ＶＤＥオブジェクト３００の所有権の移譲は、ＶＤＥオブジェクトのためのパーミッションおよび／または予算のすべてが異なるＰＰＥ　６５０に再配布される特別なケースである。ＶＤＥオブジェクトの中にはすべてのオブジェクト関連情報が配送されることを要求するものがあるかもしれない（例えば、すべての権利をオブジェクトに「売却」することは可能である）。しかし、ＶＤＥオブジェクト３００の中にはこのような移譲を禁止しているものがあるかもしれない。所有権移譲の場合には、ＶＤＥオブジェクト３００の最初の提供者は、所有権移譲が完了する前に、新しい所有者からの接触、移譲についての通知、および再承認を伴う承認共有秘密を用いた有効性検査を必要とするかもしれない。
【０８８４】
電子機器６００が構成要素アセンブリを受け取るとき、アセンブリの暗号化部分は、アセンブリを供給したパーティまたはＰＰＥ　６５０しか知らない値を含み得る。この値は、最終的にはアセンブリ供給者に戻す必要がある情報（例えば、監査、課金および関連する情報）と共に保存され得る。構成要素供給者がその情報を報告するように要求すると、供給者はその値を提供し、これによりローカル電子機器６００はこの値を最初に供給された値と比べてチェックし要求が正当であると確信することができるようにし得る。新しい構成要素が受け取られると、値は古い構成要素と比べてチェックされ、新しい構成要素が正当であるかどうかを決定し得る（例えば、次の報告プロセスで使用するための新しい値が新しい構成要素と共に含まれ得る）。
ＶＤＥセキュリティの完全性
ＰＰＥ　６５０は多くのメソッドによって侵犯され得る。ＶＤＥ　６５０によって提供されるセキュリティの目標は、システムが侵犯される可能性を減らし、侵犯された場合には悪影響を最小限にすることである。
【０８８５】
ＶＤＥ　１００を実現するために用いられる基本的な暗号化アルゴリズムは安全である（暗号書記法においては強い）と仮定されている。これらには、コンテンツの秘密鍵暗号化、完全性検証のための公開鍵署名、ＰＰＥ　６５０間またはＰＰＥとＶＤＥ管理者間のプライバシのための公開鍵暗号化などが含まれる。これらのアルゴリズムへの直接の攻撃は、攻撃者の能力を超えると仮定されている。制御情報のための基本的な構築ブロックは十分に長い鍵を持ちまた十分に証明可能であるため、ＶＤＥ　１００の家庭用バージョンにとってはこれのいくつかは恐らくは安全な仮定である。
【０８８６】
以下の脅しまたは攻撃のリスクは顕著であり得る。
・構成要素アセンブリ（例えば予算）の非承認の作成または改変
・コンテンツの非承認の大量曝露
・１つ以上の鍵の侵犯
・ハードウェアＰＰＥのソフトウェアによるエミュレーション
・新しい記録に古い記録を換字
・「悪党」（すなわち本物ではない）ロードモジュールの導入
・リプレイアタック
・「指紋」の無効化
・個々のコンテンツ項目の非承認曝露
・個々のコンテンツ項目の再配布
１つ以上の暗号化鍵が侵犯されると、顕著な潜在セキュリティ侵害が起こり得る。しかし、上述のように、ＶＤＥ　１００によって用いられる暗号化鍵は十分に変動および区画化されているため、ほとんどの場合、１つの鍵を侵犯しても、攻撃者には制限された価値しか与えない。例えば、証明書秘密鍵が曝露されると、攻撃者は、上述のようにチャレンジ／レスポンスプロトコルを通過することはできるが、次のレベルのセキュリティに直面し、ここでは初期化チャレンジ／レスポンスまたは外部通信鍵のいずれかをクラックする必要がある。初期化チャレンジ／レスポンスセキュリティも無効にされると、初期化コードおよび様々な初期化鍵もまた曝露される。しかし、共有ＶＤＥ鍵を見つけて鍵生成（「回旋」）アルゴリズムを複写するためにはコードおよびデータを理解する必要がある。さらに、正確なリアルタイムクロック値をだまし（ｓｐｏｏｆ）によって維持しなければならない。攻撃者がこれすべてを成功裏に実現することができるならば、偽のＰＰＥへの安全な通信すべてが侵犯され得る。オブジェクトのパーミッション記録８０８に関連する通信が偽のＰＰＥに送られるならば、そのオブジェクトが侵犯され得る。
【０８８７】
ＰＰＥダウンロード承認鍵と、安全データベース６１０のバックアップのための鍵を暗号化する鍵を引き出すために用いられるアルゴリズムとを知れば、特定の電子機器６００の安全データベース全体が侵犯され得る。しかし、ＶＤＥオブジェクト３００のコンテンツを侵犯するためにこの情報を用いるためには、適切なＶＤＥの属性を理解することもまた必要となる。１つの好適な実施態様では、安全データベース６１０に格納された秘密の本体鍵およびコンテンツ鍵は、時間エレメントを含むことによって「老化」する。コンテンツを暗号化するのに必要な「本当の鍵」を得るために、時間が格納された値と共に回旋される。このプロセスもまた侵犯されるならば、オブジェクトのコンテンツまたはメソッドが曝露され得る。この好適な実施態様では、承認されたＶＤＥ管理者の介入がなければ安全データベース６１０のバックアップはＰＰＥ　６５０に戻されないため、この情報を利用するためには「偽の」ＰＰＥを使用しなければならない。
【０８８８】
この好適な実施態様では、外部通信共有鍵がサイトＩＤおよび時間に基づいた鍵回旋アルゴリズムと共に用いられる。侵犯される場合は、ＰＰＥ　６５０との通信を可能にするのに必要なステップのすべてもまた知られ、この知識が利用されなければならない。さらに、復号化パーミッション記録８０８へのアクセスを得るためには管理オブジェクト共有鍵の少なくとも１つが侵犯されなければならない。
【０８８９】
管理オブジェクト共有鍵を侵犯しても、「クラッカー」が外部通信鍵についての知識も持っているのでなければ価値はない。すべての管理オブジェクトは、共有外部通信鍵、サイトＩＤおよび時間を用いて交換される固有の鍵によって暗号化される。管理オブジェクトのコンテンツをさらに復号化するためには、ＰＰＥ　６５０の内部詳細についての知識が必要となる。
【０８９０】
静止オブジェクト（または同じ共有鍵を使用する他の静止オブジェクト）の秘密ヘッダは、侵犯された場合、共有鍵が「老化」して秘密ヘッダを復号化できなくなるまで攻撃者にコンテンツへのアクセスを提供する。オブジェクトの秘密本体もコンテンツも、そのオブジェクトのパーミッション情報８０８もまた侵犯されるまでは曝露されない。これらのオブジェクトの秘密ヘッダは、鍵が「老化」して秘密ヘッダを復号化できなくなるまで侵犯されたままである。
【０８９１】
この好適な実施態様の安全データベース暗号化鍵は頻繁に変更され、またサイト特異的である。安全データベース６１０のファイルまたは記録の侵犯の結果は、侵犯された情報により異なる。例えば、パーミッション記録８０８は、ＶＤＥオブジェクト３００の曝露本体およびコンテンツのための鍵を含む。パーミッション記録８０８が侵犯されると、「本当の鍵」を生成するアルゴリズムもまた知られている場合は、パーミッション記録によって提供される鍵によって保護されたこのオブジェクトの各面もまた侵犯される。秘密本体鍵が知られると、オブジェクトの秘密本体は、鍵が「老化」して期限切れとなるまでは侵犯される。この鍵の「老化」プロセスも侵犯される場合は、侵害は永久に続く。秘密本体は、多くの異なるオブジェクトが共有するメソッドを含み得るため、これらのメソッドもまた侵犯され得る。侵害が検出されると、予算およびパーミッション記録を提供するすべての管理オブジェクトは侵犯されたメソッドを更新すべきである。安全データベース６１０に格納されているメソッドはより最近のバージョンに単に置き換えられ、従って更新が完了すると侵犯されたバージョンは使用不能になる。
【０８９２】
コンテンツ鍵が侵犯される場合は、コンテンツのその鍵で暗号化された部分もまた、鍵が「老化」して期限切れとなるまで侵犯される。その鍵の「老化」プロセスも侵犯されると、侵害は永久に続く。多数レベルの暗号化が用いられているか、またはコンテンツの一部が異なる鍵で暗号化されている場合は、１つの鍵を知ってもコンテンツの一部またはすべてを解除するには十分ではない。
【０８９３】
承認共有秘密（例えばアクセスタグ）が知られると、「クラッカー」がその秘密を適切に使用するメソッドを知っている場合は、その秘密を含む記録は承認された手段によって改変され得る。概して、外部通信鍵、管理オブジェクト鍵および管理ファイルもまた、共有秘密が有用となる前に「クラック」されていなければならない。当然ながら、この情報を利用するためにはプロトコルについての詳細な知識もまた必要となる。
【０８９４】
この好適な実施態様では、ＰＰＥ　６５０は侵犯されているかどうかを検出し得る。例えば、ＳＰＥ　５０３に格納されている情報（例えば概要サービス情報）を安全データベース６１０に格納されおよび／またはＶＤＥ参加者（例えばＶＤＥ情報交換所）に伝送された情報と比較することによって、不一致が明らかとなる。ＰＰＥ　６５０（またはその活動を見張っているかまたはこれと通信しているＶＤＥ管理者）が自らが侵犯されていることを検出すると、初期化により更新され、新しいコード、鍵および新しい暗号化／復号化アルゴリズムを用い得る。これにより、暗号化スキームが壊れたとき存在していたＶＤＥオブジェクト３００の曝露が制限される。新しいコードおよび鍵のダウンロードが行われない場合は、ＰＰＥ　６５０に一定の期間後に機能を停止するように要求することが可能である。また、ＶＤＥ管理者に更新を行うように強制することも可能である。また、新しいＶＤＥオブジェクト３００を得たいと望むことで、ユーザに対して自分のＰＰＥ　６５０を規則的な時間間隔で更新しようという誘因が提供され得る。
【０８９５】
最後に、一方の方向にはコンテンツ１０８が流れ、他方の方向には報告および請求書１１８が生成される、ＶＤＥアプリケーションの端と端とつなぐ（ｅｎｄ−ｔｏ−ｅｎｄ）性質により、「裏−端」一致チェックを行うことが可能である。このようなチェックは情報交換所１１６で行われ、詐欺（例えば、対応する支払をせずに保護されたコンテンツを、そして対応する課金記録なしに使用記録を過剰に獲得すること）を示し得るかまたは実際に示す使用パターンを検出することができる。使用報告が詳細であること、ならびに使用記録および報告が電子形態で容易に利用可能であることにより、高度な詐欺検出メカニズムを構築し、これにより詐欺関連コストを受け入れ可能なレベルに維持することができる。
ＰＰＥ初期化
各ＰＰＥ　６５０は使用する前に初期化する必要がある。初期化は、製造業者のサイトで、ＰＰＥ　６５０が現場に設置された後で、またはその両方で行われ得る。ＰＰＥ　６５０の製造プロセスは、典型的には、装置を後でもっと完全に初期化し得る十分なソフトウェアをＰＰＥ内に埋め込むことを含む。この製造プロセスは、例えば、ＰＰＥ　６５０内に永久に格納されるブートストラップローダーおよびチャレンジ−レスポンスソフトウェアを試験すること、ならびにＰＰＥの固有のＩＤをロードすることを含む。これらのステップにより基本的なＶＤＥ可能ＰＰＥ　６５０が提供され、これは、（例えば、電子機器６００内にインストールされ現場に設置された後）さらに初期化され得る。場合によっては、製造プロセスとさらなる初期化プロセスとを組み合わせて、「ＶＤＥインストレーション」ＰＰＥ　６５０を製造してもよい。以上、図６４および図６５に関連して上述した概要をさらに詳細に述べた。
【０８９６】
図６８は、１つの好適な実施態様により行われ得るＰＰＥ　６５０を初期化するステップの例を示す。このフローチャートに示すステップのいくつかは、製造サイトで行われ得、いくつかはＶＤＥ管理者とＰＰＥ　６５０との間の接触を介して遠隔操作で行われ得る。もしくは、図に示すステップのすべてが製造サイトで行われるか、または図示したステップのすべてがＰＰＥ　５００とＶＤＥ管理者との間の遠隔通信を介して行われ得る。
【０８９７】
初期化プロセス１３７０が製造サイトで行われる場合、ＰＰＥ　６５０は先ず試験台に取り付けられる。製造試験台は先ずＰＰＥ　６５０を（例えばパワーオンクリアで）リセットし得る（ブロック１３７２）。このリセットが製造サイトで行われる場合は、ＰＰＥ　６５０は、好ましくは、ソフトウェアの観点からＰＰＥの動作を完全に試験し、ＰＰＥに異変があると失敗する特別な試験台ブートストラップコードを実行する。次に、好ましくは試験台ブートストラッププロセスの一部として提供される最初のチャレンジ−レスポンス対話を使用して製造試験台とＰＰＥ　６５０との間に安全な通信交換が確立され得る。この安全な通信が確立されると、ＰＰＥ　６５０は実行したブートストラップ試験の結果を製造試験台に報告し得る。ＰＰＥ　６５０による試験が成功した場合は、製造試験台は新しいコードをＰＰＥ　６５０にダウンロードして内部ブートストラップコードを更新し（ブロック１３７６）、この結果、試験台は次にリセットを受けると試験台ブートストラッププロセスを最後まで行わない（ブロック１３７６）。製造試験台は次に新しいファームウェアをＰＰＥ内部の非揮発性メモリにロードし、これにより、追加の標準および／またはカスタマイズされた能力を提供する（ブロック１３７８）。例えば、製造試験台は、特定の製造ロットにとって適切なロードモジュールをＰＰＥ　６５０に予めロードしておいてもよい。このステップにより、ＰＰＥ　５００は特定のアプリケーションに対して工場でカスタマイズされ得る。
【０８９８】
製造試験台は次に固有の装置ＩＤをＰＰＥ　６５０にロードし得る（ブロック１３８０）。これによりＰＰＥ　６５０は固有のＩＤを所持し、これは次の対話で使用され得る。
【０８９９】
この好適な実施態様では、ブロック１３７２〜１３８０Ｒは典型的には製造サイトで行われる。ブロック１３７４および１３８２〜１３８８は製造サイトで、ＰＰＥ　６５０が設置された後で、または両方で行われ得る。
【０９００】
ＰＰＥ　６５０をさらに初期化するためには、ＰＰＥと製造試験台またはＶＤＥ管理者との間に安全な通信が確立されると（ブロック１３７４）、必要な鍵、タグまたは証明書がＰＰＥ　６５０にロードされる（ブロック１３８２）。例えば、製造試験台はその情報をＰＰＥ　６５０にロードして、ＰＰＥが後で初期化され得るようにし得る。これらの値のいくつかはＰＰＥ　６５０の内部で生成され得る。製造試験台またはＶＤＥ管理者はＰＰＥリアルタイムクロック５２８を現在のリアルタイム値に初期化し得る（ブロック１３８４）。これにより、ＰＰＥ　６５０のための時間および日付基準が与えられる。製造試験台またはＶＤＥ管理者は次にＰＰＥ　５００の内部に維持されている概要値を初期化し得る（ブロック１３８６）。ＰＰＥ　６５０が電子機器６００の一部として既にインストールされている場合は、ＰＰＥはこの時点で安全データベース６１０を初期化し得る（ブロック１３８８）。
【０９０１】
図６９は、ファームウェアダウンロードプロセス（図６８、ブロック１３７８参照）の一部としてＰＰＥ　６５０によって行われるプログラム制御ステップの例を示す。ＰＰＥダウンロードプロセスは、外部から提供されるファームウェアおよび／またはデータエレメントをＰＰＥにロードするために用いられる。ファームウェアロードは２つの形態、すなわちＰＰＥ　６５０内にとどまるソフトウェアのための永久ロードと、実行のためにロードされるソフトウェアのための短期ロードとを含む。安全データベース６１０に格納するための関連プロセスは、ＶＤＥ電子機器６００に送られたエレメントのために行われる。
【０９０２】
ＰＰＥ　６５０はいくつかのチェックを自動的に行って、ＰＰＥにダウンロードされているファームウェアがロードが完了する前に不正改変、置換または換字が行われていないことを確実にする。図に示すダウンロードルーチン１３９０はこのようなチェックの１つの例を示す。ＰＰＥ　６５０が新しいファームウェア項目を受け取ると（ブロック１３９２）、この項目をチェックして、これが所定のダウンロードまたは管理オブジェクト鍵（エレメント源に依存する）を用いて適切に復号化されることを確かめる（決定ブロック１３９４）。ファームウェアが適切に復号化されると（決定ブロック１３９４の「ＹＥＳ」退出）、チェック値としてのファームウェアが計算され、ファームウェアの暗号化ラッパーの下に格納されているチェック値と比較され得る（決定ブロック１３９６）。これら２つのチェック合計値が同じ場合（決定ブロック１３９６の「ＹＥＳ」退出）、ＰＰＥ　６５０はファームウェアに関係する曝露および秘密ヘッダ識別タグを比較して、適切なファームウェアが提供され換字されていないことを確かめる（このステップは図示せず）。この試験もまたパスする場合は、ＰＰＥ　５００はファームウェアのディジタル署名（ディジタル署名がＰＰＥ　６５０によってサポートされ、ファームウェアが「署名」されていると仮定して）を計算し得、計算された署名をチェックして、ファームウェア暗号化ラッパーの下のディジタル署名と同じであることを確かめる（ブロック１３９８、１４００）。これらの試験が１つでも失敗すると、ダウンロードは中断される（「失敗」終了１４０１）。
【０９０３】
上記の試験のすべてにパスした場合、ＰＰＥ　６５０は、ファームウェアをＰＰＥ内（例えば内部非揮発性メモリ）に格納するかどうか、または安全データベース６１０に格納するかどうかを決定する（決定ブロック１４０２）。ファームウェアをＰＰＥ内に格納する場合は（決定ブロック１４０２の「ＹＥＳ」退出）、ＰＰＥ　５００は単に情報を内部に格納し得る（ブロック１４０４）。ファームウェアを安全データベース６１０に格納する場合は（決定ブロック１４０２の「ＮＯ」退出）、ファームウェアには記録の換字を避けるために設計された固有のＰＰＥ特定タグが付けられ（ブロック１４０６）、次に適切な安全データベース鍵を用いて暗号化され安全データベース６１０に放出され得る（ブロック１４０８）。
ＳＰＵ　５００および／またはＶＤＥ電子機器６００をネットワーク化
多くのコンピュータがローカルまたはワイドエリアネットワークによって相互接続される場合、それらのうちの１つまたは２〜３のコンピュータがＶＤＥ電子機器６００であることは有り得る。例えば、ＶＤＥ可能サーバは１つ以上のＳＰＵ　５００を含み得る。この集中化されたＶＤＥサーバは、ネットワーク内で必要なすべてのＶＤＥサービスを提供し得るか、またはＶＤＥサービスをＶＤＥサーバノードと共有し得る。すなわち、２〜３の、いくつかの、またはほとんどのＶＤＥサービス活動を行い得る。例えば、ユーザの非ＶＤＥコンピュータがＶＤＥ保護コンテンツを求める要求をネットワークを通じて発行するかも知れない。この要求に応答して、ＶＤＥサーバは、適切なＶＤＥオブジェクト３００にアクセスし、要求されたコンテンツを放出し、ネットワーク６７２を通じて要求したユーザにコンテンツを配送し得る。このようなアレンジメントにより、ＶＤＥの能力を、ネットワークに接続した様々なコンピュータおよび他の装置の改変または置換を必要とせずに現在のネットワークに容易に統合させることができる。
【０９０４】
例えば、１つ以上の保護下の処理環境６５０を有するＶＤＥサーバは、保護下の処理環境を持たないワークステーションとネットワークを通じて通信し得る。ＶＤＥサーバはすべての安全なＶＤＥ処理を行って、得られるコンテンツおよび他の情報をネットワーク内のワークステーションに放出し得る。このアレンジメントにより、ワークステーションはいかなるハードウェアまたはソフトウェアの改変も必要としない。
【０９０５】
しかし、アプリケーションによっては、もっと高いセキュリティ、柔軟性および／または性能を必要とするものもあり、これは同じネットワーク６７２に多数のＶＤＥ電子機器６００を接続することによって得られ得る。通常使用されるローカルエリアネットワークは、不正改変および／または盗聴が起こり得る安全でないチャネルを構成するため、最も安全なアプリケーションでは、ネットワークを横断して通信される情報を保護することが望まれる。ＶＤＥ電子機器６００と非ＶＤＥ電子機器間をネットワーク６７２を横断して伝達されるＶＤＥ放出コンテンツまたは他のＶＤＥ情報を保護するために、従来のネットワークセキュリティ技術を用いることは可能であろう。しかし、同じシステム内に多数のネットワーク化されたＶＤＥ電子機器６００を配備することによっていくつかの利点が得られる。
【０９０６】
図８に関連して上述したように、多数のＶＤＥ電子機器６００は、ネットワーク６７２または他の通信通路を通じて互いに通信し得る。このようなＶＤＥ電子機器６００のネットワーク化にはいくつかの利点がある。例えば、ＶＤＥ資源を集中化し、計量情報をサーバＶＤＥに格納および／または集積し、そして情報およびサービスをネットワーク６７２を横断して多数の電子機器６００に効率的に配送する可能性がある。
【０９０７】
例えば、ローカルエリアネットワークのトポロジーでは、「ＶＤＥサーバ」電子機器６００はＶＤＥ保護情報を格納し、これをネットワーク６７２を通じてサーバと通信し得る１つ以上の追加の電子機器６００またはコンピュータに利用可能にし得る。１つの例としては、ＶＤＥオブジェクトを格納しているオブジェクト格納場所が集中化サーバ内に維持され、多くのネットワーク化された電子機器６００の各ユーザは、必要に応じてネットワーク６７２を通じて集中化されたオブジェクト格納場所にアクセスすることができる。ユーザが特定のＶＤＥオブジェクト３００にアクセスする必要があるときは、このユーザの電子機器６００はネットワーク６７２を通じて要求を発行し、オブジェクトのコピーを得ることができる。「ＶＤＥサーバ」はこの要求に応答して要求されたオブジェクト３００のすべてまたは一部を配送し得る。このような集中化されたオブジェクト格納場所７２８を提供することにより、ネットワーク６７２に接続した各電子機器６００に対する多量格納要件を最小限にするという利点が得られ、同じ情報の冗長な複製がなくなり、情報管理の負担が緩和され、サーバで行われる特に重要なＶＤＥプロセスおよび／または情報に対して物理的なおよび／または他のセキュリティがさらに提供される。このようなセキュリティをＶＤＥノードで提供することは、ビジネスモデルによっては商業的に非実用的であり得る。
【０９０８】
また、ローカルエリアネットワークのトポロジーで安全データベース６１０を集中化することは望ましい。例えば、ローカルエリアネットワークの場合、安全データベース６１０のサーバが中心位置に配備され得る。ローカルエリアネットワーク６７２に接続するいくつかの電子機器６００のそれぞれは、ネットワークを通じて安全データベース６１０の記録を求める要求を発行し、ネットワークを介してこれらの記録を受け取り得る。記録はネットワークを通じて暗号化形態で提供され得る。記録を復号化するのに必要な「鍵」は、安全な通信交換でネットワークを横断して伝送することによって共有され得る。ネットワーク６７２内の安全データベース６１０を集中化することにより、ネットワーク化された電子機器６００のそれぞれに対する二次格納および／または他のメモリ要件が最小限となるかまたは不要となり、冗長な情報格納が回避され、集中化したバックアップサービスが提供でき、情報管理の負担が緩和されるなどの潜在的な利点が得られる。
【０９０９】
ネットワークを横断してＶＤＥ電子機器６００を低コストで便利よく配置する多くの事例を得るための１つのメソッドは、ネットワークのワークステーションにＨＰＥ　６５５を定義するソフトウェアを配備することであろう。このアレンジメントはワークステーションのハードウェア的な改変を必要としない。ＨＰＥ　６５５はソフトウェアのみを用いて定義され得る。ＳＰＥ　５０３および／またはＨＰＥ　６５５もまたＶＤＥサーバ内に配備され得る。このアレンジメントは、ワークステーションをカスタマイズも改変もする必要なく、配布されたＶＤＥネットワーク処理（新しいプログラムのロードを除く）が可能であるという利点を有する。高レベルのセキュリティを必要とするＶＤＥの機能は、ＳＰＵベースのＶＤＥサーバに制約され得る。「安全な」ＨＰＥベースのワークステーションはもっと低レベルのセキュリティを必要とするＶＤＥ機能を行い、またその活動をＶＤＥサーバと調和させ得る。
【０９１０】
従って、同じネットワーク内に多数のＶＤＥ電子機器６００を配備することは有利であり得る。また、同じワークステーションまたは他の電子機器６００内に多数のＶＤＥ電子機器６００を配備することもまた有利であり得る。例えば、電子機器６００は、多数の電子機器６００を含み得、これらのそれぞれはＳＰＵ　５００を有しＶＤＥの機能を行うことができる。
【０９１１】
例えば、１つ以上のＶＤＥ電子機器６００はコンピュータシステムの入出力装置として使用され得る。これにより、１つの装置内で情報を復号化し、これを非暗号化形態でバスまたは他の安全でないチャネルを通って周辺装置などの別の装置に移動させる必要がなくなる。周辺装置自体がＳＰＵ　５００を有するＶＤＥ電子機器６００である場合は、ＶＤＥ保護情報は、周辺装置での処理（例えば復号化）のために安全でないチャネルを通って周辺装置に確実に送られることができる。周辺装置にＶＤＥ保護情報を直接扱う能力を与えても柔軟性が増大する。例えば、ＶＤＥ電子機器６００の周辺装置は、ＶＤＥオブジェクト３００の使用を制御し得る。例えば、装置が処理する情報に関係する使用または他のパラメータを計量し得、またＶＤＥオブジェクトの使用についてもっと多くの情報を集めるために、装置が行う処理に特異的な監査トライアルおよび他の情報を集めてもよい。多数の協働するＶＤＥ電子機器６００を配備することにより、暗号化された情報をＶＤＥ電子機器６００に移し次に再びこれを非暗号化形態で非ＶＤＥ装置に移す必要がなくなるため、性能が向上し得る。ＶＤＥ保護情報は目的の装置に直接移され得、この目的の装置がＶＤＥ可能であれば、他のＶＤＥ電子機器６００を巻き込む必要はなく情報を処理し得る。
【０９１２】
図７０は、多数のＶＤＥ電子機器６００（１）、６００（２）、６００（３）、．．．、６００（Ｎ）を有するアレンジメント２６３０の例を示す。ＶＤＥ電子機器６００（１）．．．６００（Ｎ）は通信通路２６３１（例えば、ワークステーションのシステムバス、電話線または他のワイヤ、ケーブル、バックプレイン、ネットワーク６７２、または他の通信メカニズム）を通じて互いに通信し得る。図示する電子機器６００のそれぞれは、図８に示すのと同じ一般的な構造を有し得る。すなわち、それぞれＣＰＵ（またはマイクロコントローラ）６５４、ＳＰＵ　５００、ＲＡＭ　６５６、ＲＯＭ　６５８、およびシステムバス６５３を含み得る。図示する電子機器６００のそれぞれは、インタフェース／コントローラ２６３２（これは図８に示す特定の種類のＩ／Ｏコントローラ６６０および／または通信コントローラ６６６であると考えられ得る）を有し得る。このインタフェース／コントローラ２６３２により、電子機器システムバス６５３と適切な電気コネクタ２６３４との間のインタフェースが提供される。電子機器６００（１）、．．．６００（Ｎ）のそれぞれの電気コネクタ２６３４は、共通のネットワーク６７２または他の通信通路への接続を提供する。
【０９１３】
図示する電子機器６００はほぼ類似の構造を有するが、異なる特殊なタスクを行い得る。例えば、電子機器６００（１）は、ワークステーションの全体的な動作を管理し計算資源を提供する責任を負うワークステーションの中央処理部を備え得る。電子機器６００（２）は、同じワークステーションのための多量記憶装置６２０であり得、例えば二次記憶装置６５２から情報を読み出しこれに情報を書き込み得る格納メカニズム２６３６を備え得る。電子機器６００（３）は、表示タスクを行う責任を負う表示装置６１４であり得、グラフィックスコントローラおよび関係するビデオまたは他の表示装置などの表示メカニズム２６３８を備え得る。電子機器６００（Ｎ）は、関連するタスクの印刷を行うプリンタ６２２で有り得、例えば印刷メカニズム２６４０を含み得る。
【０９１４】
電子機器６００（１）、．．．６００（Ｎ）のそれぞれは、すべてが共通のハウジング内に含まれる同じワークステーション装置の異なるモジュールを備えるか、または各電子機器は異なるシステム構成要素内に位置し得る。例えば、電子機器６００（２）は、ディスクコントローラユニット内に配置され得、電子機器６００（３）は表示装置６１４のハウジング内に配置され得、電子機器６００（Ｎ）はプリンタ６２２のハウジング内に配備され得る。図７を参照して、スキャナー６２６、モデム６１８、遠隔通信手段６２４、キーボード６１２および／または音声認識ボックス６１３はそれぞれ、それ自体のＳＰＵ　５００を有するＶＤＥ電子機器６００を備え得る。別のいくつかの例では、ＲＦまたは無線インタフェースコントローラ、直列インタフェースコントローラ、ＬＡＮコントローラ、ＭＰＥＧ（ビデオ）コントローラなどが含まれる。
【０９１５】
電子機器６００（１）．．．６００（Ｎ）はそれぞれＶＤＥ可能であるため、それぞれＶＤＥ保護情報の暗号化および／または復号化を行う能力を有する。これは、ネットワーク６７２または電子機器に接続する他の通信通路２６３１を横断して伝達される情報はＶＤＥ保護され得ることを意味する（例えば、上述のように、情報はＶＤＥ管理および／またはコンテンツオブジェクトの形態でパッケージ化され暗号化される）。このアレンジメントの結果の１つは、通信通路２６３１を盗聴する盗聴者はＶＤＥ保護形態で得る以外には情報を得ることができないということである。例えば、電子機器６００（１）によって生成される印刷される予定の情報は、ＶＤＥコンテンツオブジェクト３００でパッケージ化され、通路２６３１を通じて印刷用電子機器６００（Ｎ）に伝送される。この情報は保護形態で伝送されるため攻撃者はこの情報を横取りしても利益はほとんどない。非保護形態のときにこの情報にアクセスするためには、電子機器６００（１）または６００（Ｎ）（もしくはＳＰＵ　５００（１）、５００（Ｎ））を侵犯しなければならない。
【０９１６】
図示したアレンジメントで提供される別の利点は、電子機器６００（１）、．．．６００（Ｎ）のそれぞれは各自の計量、制御および／または他のＶＤＥ関連機能を行い得ることである。例えば、電子機器６００（Ｎ）は、計量および／または印刷される情報に関連する他のＶＤＥ制御機能を行い得、電子機器６００（３）は、計量および／または表示される情報に関連する他のＶＤＥ制御機能を行い得、電子機器６００（２）は、計量および／または多量記憶手段６２０に格納および／またはこれから取り出される情報に関連する他のＶＤＥ制御機能を行い得、そして、電子機器６００（１）は、計量および／または処理する情報に関連する他のＶＤＥ制御機能を行い得る。
【０９１７】
１つの特定のアレンジメントでは、電子機器６００（１）、．．．６００（Ｎ）のそれぞれは、電子機器によって受け取られるかまたはこれに送られる情報は、その機器のＳＰＵ　５００を用いて次の情報を処理することであることを示すコマンドを受け取り得る。例えば、電子機器６００（Ｎ）は、印刷のために受け取ろうとしている情報はＶＤＥ保護形態であることを示すコマンドを受け取り得る（または機器に送られる情報自体がこれを示す）。このコマンドまたは情報を受け取ると、電子機器６００（Ｎ）は、ＳＰＵ　５００を用いて受け取った情報を暗号化し、またＳＰＵが印刷のために印刷メカニズム２６４４に提供する情報を計量し得る。復号化プロセスを不能にするために電子機器６００（Ｎ）に追加のコマンドを送ってもよい。または、６００（Ｎ）のＶＤＥ安全下位システムが、情報は復号化および／または印刷すべきではないことを決定し得る。追加のコマンドは、例えば、暗号化／復号化鍵をロードするために、「制限」をロードするために、「指紋」要件を確立するために、および計量された使用を読み出すために存在し得る。これらの追加のコマンドは必要に応じて暗号化または非暗号化の形態で送られ得る。
【０９１８】
例えば電子機器６００（１）が情報を作成しこれをＶＤＥ可能プリンタ６２２によって印刷したいと望むとする。ＳＰＵ　５００（１）は、通路２６３１を通じてＳＰＵ　５００（Ｎ）と安全な通信を確立して、ＳＰＵ　５００（Ｎ）にデータの次のブロックを復合化しこれを復号化鍵および制限として格納するように命令するコマンドを提供し得る。ＳＰＵ５００（１）はさらにＳＰＵ　５００（Ｎ）に復号化鍵および関係する制限を用いてこれに続く暗号化されたプリントストリームを処理するように命令するコマンドを送ってもよい（もしくは、このコマンドはＣＰＵ　６５４（１）によってマイクロコントローラ６５４（Ｎ）に送られ得る）。電子機器６００（１）は次に、プリンタ６２２による復号化および印刷のために暗号化情報を通路６７２に送ることを開始し得る。プリンタ６２２が新しい情報ブロックを受け取るたびに直ちにＳＰＵ　５００（Ｎ）は先ず制限がゼロより大きいことを確かめる。ＳＰＵ　５００（Ｎ）は次に維持している使用計量値を増分して制限値を減分する。制限値がゼロでない場合は、ＳＰＵ５００（Ｎ）は受け取った情報を復号化して、これを印刷のために印刷メカニズム２６４０に提供する。制限がゼロの場合は、ＳＰＵ５００（Ｎ）は受け取った情報を印刷メカニズム２６４０に送ることもこれを復号化することもしない。停止せよというコマンドを受け取ると直ちにプリンタ６２２は「非安全」モードに戻り得る。このモードでは、プリンタは、ＶＤＥ処理を許可せずに通路２６３１を通じて受け取ったものすべてを印刷する。
【０９１９】
プリンタ６２２に関係するＳＰＵ　５００（Ｎ）はプリンタのハウジング内に配置する必要はなく、代わりに例えばＩ／Ｏコントローラ６６０内に配置し得る（図８参照）。これにより、上述の利点と同様の利点の少なくともいくつかが特別なＶＤＥ可能プリンタ６２２を必要とせずに提供され得る。もしくは、ＳＰＵ　５００（Ｎ）はプリンタ６２２内とプリンタと通信するＩ／Ｏコントローラ６６０内の両方に配備され得、Ｉ／Ｏ制御に調和し、中央処理電子機器６００（１）と関係するＳＰＵ　５００から処理負担をなくするという点で利点を提供し得る。１つの電子機器内に多数のＶＤＥ事例が生じるときは、１つ以上のＶＤＥ安全下位システムが「中央」下位システムであり得る。すなわち、「二次の」ＶＤＥ事例は、暗号化された使用関連情報を１つ以上の安全な中央下位システムに通し、これによりこの中央下位システムが使用関連情報の格納を直接制御することができる。一定の制御情報はまた中央下位システムによって中央に格納され得、このような情報のすべてまたは一部は、その安全なＶＤＥ要求に応じて二次の安全下位システムに確実に提供される。
携帯電子機器
本発明によって提供される電子機器６００は携帯型であり得る。図７１は携帯電子機器２６００の１つの例を示す。携帯機器２６００は、１つの例ではほぼクレジットカードサイズであり得る携帯ハウジング２６０２を含み得る。ハウジング２６０２は、例えば１つ以上の電気コンタクトピン（図示せず）を有する電気コネクタ２６０４を介して外部世界に接続し得る。コネクタ２６０４は、ハウジング２６０２の内部の外部バスインタフェース２６０６をホストシステム２６０８の対のコネクタ２６０４ａに電気的に接続させ得る。外部バスインタフェース２６０６は、例えば、ＰＣＭＣＩＡ（または他の標準）バスインタフェースを備え、携帯機器２６００がバス２６０７を通じてホストシステム２６０８とインタフェースおよび通信することを可能にする。ホスト２６０８は、例えば、コンピュータ、有料電話、別のＶＤＥ電子機器６００、テレビ、ゲームセンターのビデオゲーム、または洗濯機など想像し得るほとんどすべての機器であり得る。
【０９２０】
ハウジング２６０２は不正改変を防止し得る（上記のＳＰＵバリアー５０２の不正改変防止に関する記述を参照）。
【０９２１】
この好適な実施態様の携帯機器２６００は、ハウジング２６０２内に配置され得る１つ以上のＳＰＵ　５００を含む。ＳＰＵ５００は、ハウジング２６０２内のバス２６１０によって外部バスインタフェース２６０６に接続され得る。ＳＰＵ　５００はこの内部バス２６１０を通じて（外部バスインタフェース２６０６を介して）ホスト２６０８と通信する。
【０９２２】
ＳＰＵ　５００は、好ましくはハウジング２６０２内に配置されるバッテリ２６１２または他の携帯用電源によって電力供給される。バッテリ２６１２は、例えば、腕時計またはクレジットカードサイズの計算器に見られるタイプの小型バッテリであり得る。バッテリ２６１２は、太陽電池、再充電可能バッテリ、容量性蓄電池などによって補完（または交換）され得る。
【０９２３】
ランダムアクセスメモリ（ＲＡＭ）２６１４は好ましくはハウジング２６０２内に配備される。ＲＡＭ　２６１４はＳＰＵ　５００に接続され得るが、バス２６１０には直接は接続されない。このため、ＲＡＭ　２６１４のコンテンツはＳＰＵによってのみアクセスされ、ホスト２６０８によっては（ＳＰＵによって許可された場合にこれを通して行う場合を除いて）アクセスされない。図９に示すように、ＲＡＭ　２６１４はＳＰＵ　５００内のＲＡＭ　５３４の一部であり得る。但し、必ずしも同じ集積回路またはＳＰＵの残りの部分を収容する他のパッケージ内に含まれる必要はない。
【０９２４】
携帯機器２６００のＲＡＭ　５３４は、例えば、携帯機器の各事例を個別に識別するために用いられ得る情報を含み得る。この情報は、認証、検証、復号化および／または暗号化プロセスで（例えば、鍵またはパスワード情報の少なくとも一部として）用いられ得る。
【０９２５】
１つの実施態様では、携帯機器２６００はＶＤＥ電子機器６００の実質的にすべての機能を行う手段を備え得る。従って、例えば、携帯機器２６００は、パーミッション、メソッド、鍵、プログラムおよび／または他の情報を格納し使用する手段を含み得、「スタンドアロン」型ＶＤＥノードとして作動し得る。
【０９２６】
別の実施態様では、携帯機器２６００は、追加の外部電子機器６００に連結されると、好適な実施態様のＶＤＥ機能を行い得る。データベース管理パーミッション、メソッド、鍵および／または他の重要な情報（管理、ユーザインタフェース、分析などの他のＶＤＥプログラムの少なくとも一部など）のような一定の情報は、（例えば記録として）携帯機器２６００と情報を共有し得る外部ＶＤＥ電子機器６００に格納され得る。
【０９２７】
不正改変を防止し得る携帯機器２６００アレンジメントのための１つの可能な「スタンドアロン」構成としては、１つ以上のプロセッサ（５００、２６１６）および／または他の計算装置および／または他の制御ロジック、ならびにランダムアクセスメモリ２６１４を有する不正改変防止可能なパッケージ（ハウジング２６０２）を含む。プロセッサ５００、２６１６は、完全に携帯機器２６００内で（または少なくともその一部で）パーミッションおよびメソッドを実行し得る。携帯機器２６００は、情報がハウジング２６０２の外部に伝達される前に情報を暗号化する、および／または情報がハウジングの外部から受け取られるとき受け取った情報を復号化する能力を有し得る。このバージョンの機器はまた、パーミッション、メソッドおよび／または鍵情報の少なくとも一部を非揮発性メモリの上記不正改変を防止し得る携帯ハウジング２６０２内に確実に格納する能力を有し得る。
【０９２８】
携帯機器２６００の別のバージョンは、携帯機器２６００の外部のローカルＶＤＥ電子機器６００からパーミッションおよび／またはメソッドおよび／または鍵を得て、ＶＤＥ保護オブジェクトのユーザによる使用を制御、制限さもなくば管理し得る。このような携帯機器６００は、別の電子機器２６００内に含まれるか、これによって受け取られるか、この内部にインストールされるか、もしくはこれに直接接続され得る。
【０９２９】
携帯域２６００の「極小」構成の１つの例は、ＳＰＵ　５００およびバッテリ２６１２をハウジング２６０２内に含み得る（この場合には、外部バスインタフェース２６０６およびＲＡＭ　２６１４はそれぞれ図示するＳＰＵブロックに組み込まれ得る）。携帯機器２６００の他のもっと高度な例では、以下のオプションの構成要素のいずれかまたはすべてもまたハウジング２６０２内に含まれ得る。
【０９３０】
１つ以上のＣＰＵ　２６１６（ＲＡＭ−ＲＯＭ　２６１７、Ｉ／Ｏコントローラ（図示せず）などの関係するサポート構成要素と共に）、
１つ以上の表示装置２６１８、
１つ以上のキーパッドまたは他のユーザ入力ボタン／制御情報２６２０、
１つ以上の取り外し／交換可能なメモリ装置２６２２、および
１つ以上の印刷装置２６２４。
【０９３１】
このような高度なバージョンでは、表示装置２６１８、キーパッド２６２０、メモリ装置２６２２およびプリンタ２６２４はバス２６１０に接続され得る。もしくは、ＣＰＵのＩ／Ｏポート／コントローラ部（図示せず）を介してＣＰＵ２６１６に接続され得る。表示装置２６１８はＳＰＵ　５００、ＣＰＵ　２６１６および／またはホスト２６０８からの情報を表示するために用いられ得る。キーパッド２６２０は、ＳＰＵ　５００、ＣＰＵ　２６１６および／またはホスト２６０８に情報を入力するために用いられ得る。プリンタ２６２４は、これらの供給源のいずれか／すべてからの情報を印刷するために用いられ得る。取り外し／交換可能なメモリ２６２２は、メモリカートリッジまたはバルク記憶装置などのメモリ媒体を備え、追加の長期または短期の格納を提供する。メモリ２６２２は、所望であればハウジング２６０２から容易に取り外され得る。
【０９３２】
１つの実施態様では、携帯機器２６００は、「スマートカード」のフォームファクターを有し得る（「スマートカード」フォームファクターはいくつかの利点を提供し得るが、ハウジング２６０２のフォームファクターは「従来の」スマートカードと同じであってもこれとは異なってもよい）。もしくは、このような携帯電子機器２６００は、例えば、パーソナルコンピュータにおいて現在極めて有名になりつつあり、デスクトップ型計算装置およびＰｅｒｓｏｎａｌ　Ｄｉｇｉｔａｌ　Ａｓｓｉｓｔａｎｔｓにおいて一般的になると予想されるＰＣＭＣＩＡカード構成（など）でパッケージ化され得る。携帯電子機器ハウジング２６０２のための１つの有利なフォームファクターは、例えば、クレジットカードまたはこれより幾分大きい寸法のタイプ１、２または３のＰＣＭＣＩＡカード（もしくはこれから派生した他のもの）であり得る。このようなフォームファクターは好都合に携帯可能であり、広範囲のコンピュータおよび消費者用機器に、さらに、小売店および銀行などの商業施設で、ならびに電話または他の遠隔通信「ブース」などの公衆通信地点のレセプタクルに挿入可能であり得る。
【０９３３】
ハウジング２６０２は、ポート、スロットまたは他のホスト２６０８によって提供されるレセプタクルに挿入またこれから取り外しされ得、これによりコンピュータまたは他の電子機器に物理的に（さもなくば作動可能に）接続され得る。携帯機器コネクタ２６０４は容易に取り外し可能なように構成され得、これにより機器２６００は異なる位置の別のコンピュータまたは他の電子機器まで移動させて、その装置と物理的な接続または他の作動可能な接続を行い得る。
【０９３４】
携帯電子機器２６００は、ユーザが、ノートブック型コンピュータ、デスクトップ型コンピュータおよびオフィスコンピュータ間などの（互換の）様々な電子機器６００間でパーミッションおよびメソッドを移動させる貴重な比較的簡単な手段を提供し得る。また、例えば、消費者が隣人の家を訪問し、その消費者が鑑賞のライセンスを取得している映画を隣人に見せるか、または恐らく消費者が無制限再生のライセンスを取得している大容量光ディスクでの音声記録を隣人に聴かせるためにも使用され得る。
【０９３５】
携帯電子機器２６００はまた、ユーザが例えば商業用アプリケーションなどの他の様々なアプリケーションで用いる金融および他の取引のための「スマートカード」としても機能し得る。携帯電子機器２６００は、例えば、商業プロセスおよびサービスを承認（および恐らく記録）するために用いられるパーミッションおよび／またはメソッドの情報を所持し得る。
【０９３６】
この好適な実施態様のＶＤＥ携帯機器２６００を典型的には銀行およびクレジットカード会社によって行われるような金融取引のために使用することの１つの利点は、ＶＤＥは金融情報交換所（ＶＩＳＡ、ＭａｓｔｅｒＣａｒｄまたはＡｍｅｒｉｃａｌ　Ｅｘｐｒｅｓｓなど）が運転コストを著しく削減することができることである。情報交換所でコストを低減し得るのは、携帯機器２６００などのＶＤＥ電子機器６００を使用することによりユーザサイトでローカルな計量および予算管理が行われるため、取引毎に情報交換所が巻き込まれることがなくなるからである。現在の要件とは対照的に、情報交換所は記録を定期的に（月一回など）更新することによってその機能を行うことができる。監査および／または予算の「巻き上げ」は、このような監査および／または予算情報を伝達するために起動された接続の間に、および／または定期的なまたは比較的定期的な間隔で行われる接続を介して、および／またはクレジット更新、購入、もしくは他の携帯機器２６００の取引の間に行われ得る。
【０９３７】
情報交換所ＶＤＥディジタル配分取引は、はるかにコストのかかる各セッション中の接続ではなく、時折の承認および／または中央サービスへの監査または他の管理の「巻き上げ」を必要とするだけである。クレジットカード購入の「書面による追跡」（クレジットカード伝票の承認および転送）を維持する必要はないため、通信コスト、情報の同時処理を扱う設備、および取引処理コストの書面扱い部分の低減により、情報交換所での実質的なコスト低減（および潜在的にはユーザのコスト低減）が実現され得る。このように携帯機器２６００を使用することにより、各ＶＤＥ電子機器６００の計算能力を用いる配分処理を開発するクレジット実施が可能になる。これらのクレジットコストおよび処理面での利点はまた、非スマートカードおよび非携帯型ＶＤＥ電子機器６００の使用にも適用され得る。
【０９３８】
ＶＤＥ　１００は高度に安全な商業環境として構成され得るため、そしてＶＤＥによってサポートされる認証プロセスは、紙面書類および手書きの署名と同等の公式の有効性検査を提供するディジタル署名プロセスを用いるため、費用のかかる取引においても、携帯機器２６００が紙面による追跡を維持する必要はなくなる。監査可能な課金および制御メカニズムがＶＤＥ　１００内に組み込まれ自動化されているため、ＶＩＳＡ、ＭａｓｔｅｒＣａｒｄ、ＡＭＥＸおよび銀行の借方アカウントへの従来の電子インタフェースを、ディジタル配分された他の製品およびサービスに置き換え、情報交換所での実質的な運転コストを節約し得る。
【０９３９】
所望であれば、携帯機器２６００は、消費者に対して携帯電子履歴を維持し得る。携帯履歴は、例えば、コンピュータまたは他の消費者ホスト機器２６０８の電子「ドック」または他のレセプタクルに移動されるか、またはこれに作動可能に接続され得る。ホスト機器２６０８は、例えば、マイクロコンピュータの形態で少なくとも一部に制御ロジックを有し、例えば税金および／または他の取引カテゴリー（使用または活動タイプなど）により組織化されたメソッドで情報を格納するする電子オーガナイザであり得る。このアレンジメントを用いることによって、消費者はレシートさもなくば手動による追跡取引を維持する必要はなく、それにもかかわらず、取引および取引明細書の非常に安全な電子監査追跡を維持することができる。取引明細書は、例えば、ユーザのディジタル署名および、選択により、サービスまたは商品提供者のディジタル署名を確実に含み得る。
【０９４０】
携帯機器２６００が、パーソナルコンピュータまたは他の電子機器（電子オーガナイザなど）のようなホスト２６０８に「ドック」されるときは、携帯機器２６００はホストに中間監査情報を伝達することができる。１つの実施態様では、この情報は、直接にまたは間接に、コンピュータまたは電子オーガナイザおよび／または税金管理プログラム（例えば、ＱｕｉｃｋｅｎまたはＭｉｃｒｏｓｏｆｔ　Ｍｏｎｅｙおよび／またはＴｕｒｂｏ　Ｔａｘおよび／またはＡｎｄｒｅｗ　Ｔｏｂｉａｓ’　Ｍａｎａｇｉｎｇ　Ｙｏｕｒ　Ｍｏｎｅｙ）に読み出すことができる。このレシート管理の自動化は消費者にとっては大層な恩恵であり得る。なぜなら、レシートの管理および保守は困難で時間が掛かり、レシートは無くなったり忘れられたりすることが多く、そしてクレジットカード課金は通常は購入項目についての十分なデータまたは有意な取引パラメータを提供しないため、クレジットカード課金の詳細は課金および返済のためには概して不十分であることが多いからである。
【０９４１】
１つの実施態様では、携帯機器２６００は、ＶＤＥ電子機器６００を含むかもしくは小売業者または第三者の提供者のＶＤＥ電子機器６００と通信し得る小売端末と安全な（この例では暗号化および／または認証された）２方向通信をサポートし得る。例えば各参加者の安全なＶＤＥ下位システム間のこのような安全な２方向通信の間に、各携帯機器２６００の安全なＶＤＥ下位システムは、認証および適切なクレジットまたはデビットカード情報を小売端末のＶＤＥ安全下位システムに提供し得る。同じまたは異なる通信セッションの間に、端末は同様に携帯機器２６００のＶＤＥ安全下位システムに、小売取引に関する詳細（例えば、購入商品および価格、小売施設のディジタル署名、小売端末の識別子、税金関係情報など）を確実に送り返し得る。
【０９４２】
例えば、携帯機器２６００を受容するためのおよび／またはこれに接着するためのホスト２６０８のレセプタクルは、小売店または他の商業施設の端末に組み込まれるかまたはこれに作動可能に接続され得る。ホスト端末２６０８は、商業施設の従業員または携帯機器２６００の保持者のいずれかによって操作され得る。例えば、ホスト端末は誰がディナーに招待されたか、何故購入したか、または各情報が属するカテゴリーなどの特定の情報を特定のキーボードおよび／または音声入力するために用いられ得る。情報は次に自動的に「解剖」され、携帯機器２６００内の確実に維持された（例えば暗号化された）適切なデータベース管理記録へと通路が定められる。これら「解剖」およびルーティングはＶＤＥ安全下位システムプロセスによって確実に制御され、例えば、ユーザによって入力されたカテゴリー情報および／または施設のクラスおよび／または出費情報（または他の使用）のタイプ（カテゴリー）に基づくものとされ得る。カテゴリー化は、例えば、電子カテゴリー情報を例えば電子レシート情報の一部として確実に伝達することによって、もしくはプリンタ２６２４を用いてハードコピーレシートを印刷することによって、小売店によって提供され得る。このカテゴリー化のプロセスは、携帯機器２６００で行われ得るか、もしくは小売店によって行われ定期的に携帯機器２６００の保持者に「巻き上げ」られ通信される。
【０９４３】
小売店、情報交換所または他の商業組織は、情報に記録への解剖を自動化するために、および／またはデータベース情報「巻き上げ」のために、および／または携帯機器２６００または１つ以上の関係するＶＤＥノードにおいて用いられ得る（例えば政府の徴税規則によって特定されているような）取引タイプの１つ以上の一般的な分類を、機器２６００に確実に伝達することによって維持および使用し得る。このような例では、ホスト２６０８は例えば補助端末を備えるか、もしくは、商業施設キャッシュレジスターまたは他の小売取引装置を備えるか、またはこれに直接組み込まれ得る。補助端末はメニューおよび／またはアイコンにより駆動され得、ユーザは非常に容易にカテゴリー化の選択を行うことができる。また、取引タイプによっては、有用なまたは必要な取引に特異的な情報（例えば、ビジネスディナーの目的および／またはディナーの出席者）を特定することによりユーザを誘導することができるテンプレートを提供し得る。例えば、ユーザはビジネスアイコンを選択して、例えば出張、販売、食事、管理または購入アイコンを選択し、非常に特異的な情報および／またはキーワードもしくは他のコードを入力して、取引の詳細を携帯機器２６００にダウンロードすることができる。この情報はまた、商業施設によって格納され得、そして報告された取引の有効性検査のために適切な政府および／またはビジネス組織に伝達され得る（高レベルセキュリティのＶＤＥの監査、通信、認証および有効性検査は十分に信頼され、平行監査履歴の維持を必要としないようにすべきであるが、平行維持はサポートされ、少なくとも限られた期間は維持されるため、携帯機器２６００および／または履歴および／または状態情報記録維持のために機器２６００によって使用される１つ以上のＶＤＥ装置２６００に関係するＶＤＥインストレーションが失われるかまたは「故障」した場合にはバックアップ情報を提供し得る。例えば、小売端末が維持する機器２６００を巻き込む取引に関する必要な取引情報については、小売端末はこのような情報を保管（および／または他の行為）のために情報交換所に伝達するか、または、定期的に、例えばビジネス日の終わりに、このような情報を例えばＶＤＥコンテンツコンテナオブジェクトの形態で情報交換所または情報交換所エージェントに確実に伝達し得る。このような取引履歴（および利用可能なクレジットなどのすべての必要なＶＤＥ関連状態情報）は維持され得、必要であれば、携帯機器２６００内で情報を再構築して、機器２６００のユーザに置換機器を配備するか、またはデータ内の内部情報を適切にリセットするために用いられ得る。このとき、このような置換および／またはリセットはすべての必要な取引および状態情報を提供する。
【０９４４】
小売店では、補助端末ホスト２６０８は、例えば食事の終わりにユーザに提示される携帯装置の形態を取り得る。ユーザは自分の携帯機器２６００をＰＣＭＣＩＡスロットなどのスマートカードレセプタクルに挿入して追加の情報を入力する。この情報は、取引を適切に説明し、また必要とされる電子機器６００識別手順を満たすものであり得る。十分なクレジットが利用可能な場合は、取引は認められ、取引関連情報は補助端末から直接携帯機器２６００に戻される。これはクレジット使用および記録管理の非常に便利なモードである。
【０９４５】
携帯装置補助端末は「オンライン」であり得、セルラー、衛星、無線周波数または他の通信手段を用いることにより商業施設および／または第三者の情報収集ポイントに電子的に返送される。補助端末は、収集ポイントでの一定の識別情報の受け取りに応答して商業パーティによってチェックされた後、クレジット記録が不良であることまたは携帯機器２６００の盗難などの他の情報に基づいて携帯機器２６００を受け入れるかどうかを補助端末に返送し得る。このような携帯補助端末はまた、他の商業施設、例えばガソリンステーション、レンタルカー返却領域、街やスタジアムの売り子、バー、ならびに店員および他のスタッフが従来のキャッシュレジスタの位置以外の地点での取引を完了させ得ることによって効率が最適化され得る他の商業施設でも非常に有用であり得る。
【０９４６】
上述のように、携帯機器２６００は、時折、例えばＶＤＥ管理者などの他の電子機器６００と通信し得る。携帯機器２６００使用セッション中の通信は、接続が携帯機器の使用の現在のセッション（もしくは次のまたは他のセッション）中に行われるように指示する内部に格納されたパラメータに基づく。携帯機器６００は、適切であれば、（例えば、恐らく取引またはそのセッションのためにユーザによって考慮された他のプロセス前に、その間に、またはその直後に）通信を行うことを要求するリアルタイムの日付または時間帯もしくは期間に関する情報を所持し得る。このような通信は直ちに実現され得、安全なＶＤＥ２方向通信であり得、この通信の間、情報は中央情報取り扱い者に伝達される。一定の他の情報は携帯機器２６００および／または携帯機器２６００が接続しているコンピュータまたは他の電子機器に伝達され得る。このような伝達された他の情報は、考慮されたプロセスが進行するのを可能にするかまたは阻止し、および／または携帯機器２６００を少なくとも一部は使用不能にまたは使用可能にし得る。携帯機器２６００に伝達される情報は、１つ以上の予算のリセットまたは増加、一定ののパーミッションの追加または削除などのパーミッションおよびメソッドへの１つ以上の改変を含み得る。
【０９４７】
携帯機器２６００によって所持されるパーミッションおよび／またはメソッド（すなわち予算）は、別の、静止の、または他の携帯ＶＤＥ電子機器６００の「負担」に関連して割り当てられたものであり得る。１つの実施態様では、携帯機器２６００の保持者または他のＶＤＥ電子機器６００および／またはＶＤＥ電子機器６００のユーザは、別のパーティによって行われる取引の金融面の「保証人」として働き得る。保持者の携帯機器２６００は「負担」を記録し、これは、情報交換所との安全な通信中は、他方のパーティの債務責任のすべてまたは一部が支払われるかもしくは満たされるまで、情報交換所および／または他の金融サービスパーティによって記録および維持され得る。もしくはまたはこれに加えて、負担はまた携帯機器２６００内に維持され得、保証人の付随債務を表す。形式によっては、負担は保証人に利用可能なクレジットの決定に含まれ得る。クレジットの移譲、受け入れおよび／または記録管理ならびに関連プロセスは、本発明の局面によって提供されるセキュリティ特性によって確実に維持され得る。携帯機器６００は、１つ以上のＶＤＥオブジェクト３００のためのパーミッションおよび／またはメソッドにとっての唯一の場所であり得る。もしくは、携帯機器は、別の非携帯型ＶＤＥ電子機器６００で見出されるこれらオブジェクトのための予算から独立したこれらオブジェクトのための予算を所持し得る。これにより、予算は、例えば、「負担」および予算の調停を必要とせずに移動可能となる。
【０９４８】
携帯ＶＤＥ電子機器２６００は、（上述の他のＶＤＥ電子機器６００と同様に）クレジット履歴詳細についての情報、承認の概要、および無コストまたは低コストで一定のＶＤＥ保護情報の再使用を可能にする使用履歴情報（例えば、取引履歴または一定のタイプ／クラスの情報の使用などの関連概要情報のある程度の監査）を所持し得る。このような使用または使用コストは、少なくとも一部は、ＶＤＥ保護情報の１つ以上のオブジェクトまたはオブジェクトクラスの以前の使用、もしくは使用量などに依存し得る。
【０９４９】
携帯機器２６００はまた、少なくとも一部は、識別のために使用され得る一定の情報を所持し得る。この情報は、一定の順序（例えば、擬似乱数アルゴリズムに基づくパターン）で使用され、携帯機器２６００の所持者のＩＤを検証し得る。このような情報は、例えば、自分自身のまたは妻のおよび／または他の親類の旧姓、自分自身のおよび／または他人の社会保障番号、誕生日、生まれた病院、および他の身元証明情報を含み得る。また、もしくは、音声プリントおよび網膜スキャン情報などの個人のＩＤを識別するかもしくは検証／認証するために用いられる１つ以上のパスワードまたは他の情報を提供または含み得る。例えば、携帯機器２６００は、承認および予算のための様々なパーミッションおよび／またはメソッド情報を所持するスマートカードとして使用され得る。この情報は、安全データベース６１０アレンジメントの携帯機器２６００内に確実に格納され得る。ユーザが電子機器を購入するかまたはライセンスを得ようとするとき、もしくは「スマートカード」を使用してプロセスを承認しようとするとき、携帯機器２６００はユーザに自己証明情報を質問するか、もしくはスキャンまたは入力された情報（ユーザの指紋、網膜または音声分析、もしくは、例えば、提供された特徴の携帯機器２６００内に確実に格納されている情報へのマッピングおよび／またはマッチングを用い得る他の技術など）を用いる自己証明プロセスを開始し得る。携帯機器２６００は異なる時間に異なる質問を用い得（および／またはスキャンするためのもしくは自己証明情報を入力するための複数の質問または要求を提供し得）、これにより、１つ以上のＩＤ「試験」のための適切な情報を所有した個人が携帯機器２６００を成功裏に使用するのを妨げる。
【０９５０】
携帯機器６００はまた、例えば安全なＶＤＥ下位システム間の関連コンテンツの安全なＶＤＥ通信を用いて、電子通貨またはクレジットを他の携帯機器２６００にまたは別の個人口座に振り替える能力を有し得る。このような振替は、例えば、クレジットおよび／または通貨を他の口座に振り替え得る銀行への遠隔通信または銀行に出向くことによって実現され得る。振替はまた、同じ携帯機器２６００のドッキングステーションで２つのカードを用いることによっても行われ得る。例えば、クレジット取引ワークステーションは、２つのＰＣＭＣＩＡスロットおよび適切なクレジットおよび／または通貨振替アプリケーションソフトウェアを含み得る。このソフトウェアは、１つの携帯機器２６００を確実に借方にし、別の携帯機器を「貸方」にすることができる（すなわち、一方の機器を借方にすることは、対応するクレジットおよび／または通貨を他方の機器に発行することにより生じ得る）。一方の携帯機器６００は、例えば、別のユーザに認証されたクレジットを提供し得る。２つの「スマートカード」携帯機器６００を用いることにより、「クレジット」「スマートカード」を提供するユーザは取引プロセスを無事通り抜けることができる。このプロセスでは、ユーザは適切な自己証明（例えばパスワード）を提供し、別の「スマートカード」携帯機器２６００を識別する「公開鍵」を識別する。他方の携帯機器２６００は受け入れプロセスを用い、ディジタル署名のための適切な自己証明を提供し得る（および、クレジットおよび／または通貨の送り元はまた、取引証明書にディジタル署名し得、これにより送付行為は否認されず、この証明書はＶＤＥコンテナコンテンツとしてクレジットおよび／または通貨に添付し得る）。取引は、例えば、振替の利率および／または他の条件を規定するユーザインタフェース対話を含み得る。クレジットの提供者がパーティ間の同意を記述する一定のパラメータについて質問される通常の取引タイプのためのテンプレートを用い得る。受信する携帯機器２６００は、条件の受け入れについて繰り返してまたは全体として質問され得る。電子クレジットおよび／または通貨の別のＶＤＥスマートカードまたは他のＶＤＥインストレーションへのスマートカード振替において、本出願のどこかに記載したＶＤＥネゴシエーション技術が用いられ得る。
【０９５１】
このようなＶＤＥ電子機器６００／携帯機器２６００クレジット振替という特徴により、クレジットカードにより始められデビットカードにより拡張されたクレジット制御およびクレジット利用可能性の計算を拡張することを通じてこれらのプロセスを顕著に自動化することにより、一定の電子クレジットおよび／または通貨活動を管理する間接費が著しく低減され得る。クレジット拡張および／または通貨振替の自動化、ならびに上述の関係する配分処理の利点、さらに各取引中の集中化処理および遠隔通信のための要件がないことにより、多くの消費者および他の電子通貨および／またはクレジットユーザにとって、クレジットおよび／または通貨は実際に効率的で信頼性があり携帯可能な商品となる。
【０９５２】
１つの実施態様では、携帯機器２６００または他のＶＤＥ電子機器６００はまた、多くの徴税機能を自動化し得る。ＶＤＥ電子機器６００は、高いセキュリティで、金融取引を記録し、取引の性質を識別し、必要なセールスまたは関連する政府の取引税を識別し、ユーザの利用可能なクレジットから税金を借方にし、そして一定の間隔で（例えば毎月）直接１つ以上の政府の代理機関にこの情報を確実に伝達し、および／または例えば金融情報交換所にこの情報を確実に転送し、情報交換所は１つ以上の安全な暗号化された（または安全でない、情報交換所によって計算された、もしくはコンピュータで計算された）情報監査パケット（例えば、ＶＤＥコンテンツコンテナおよび使用する安全なＶＤＥ通信技術）を、１つ以上の適切な参加政府代理機関に転送し得る。ＶＤＥ　１００の全体的な完全性およびセキュリティにより、税金関連情報の電子報告（１つ以上の電子商業活動から引き出される）は有効でわかりやすいことが、一貫した集中化されたメソッドによって確実となる。また、売上税徴収の振替についての情報の有効性を検査する源としても作用し得る（例えば、資金が商業上の操作により政府に直接転送され、および／または報告された税金関連情報が税金情報を扱うＶＤＥ通路内の他のパーティによって不正改変され得ないようなメソッドで転送される。政府の代理機関は取引をランダムに選択するか、または一定の商業上の操作のために報告された取引のある部分またはすべてが選択され得る。これは、商業上の操作により税金に必要なすべての適切な徴収資金が実際に政府に支払われていることを確実にするために用いられ得、また、取引（銀行口座からの利子の受け取り、投資、贈与などを含む）に対する適切な税金が最終ユーザに課されていることも確実となり得る。
【０９５３】
携帯機器２６００の金融および税金プロセスは、本明細書のどこかに記載したテンプレートメカニズムを含み得る。このような電子クレジットおよび／または通貨管理能力は、少なくとも部分的に携帯機器２６００を使用することにより管理されるならば、特に興味深いものとなり得る一方で、クレジットおよび／または通過振替および類似の特徴はまた、非携帯型ＶＤＥ電子機器６００をコンピュータまたは他の電子装置に接続するかまたはこれの内部にインストールする場合にも適用可能である。
ユーザ通知除外インタフェース（「ポップアップ」）６８６
上述のように、ユーザ改変除外インタフェース（Ｕｓｅｒ　Ｍｏｄｉｆｉｃａｔｉｏｎ　ＥｘｃｅｐｔｉｏｎＩｎｔｅｒｆａｃｅ）６８６は、共通のＶＤＥ機能を扱うユーザインタフェースプログラムセットであり得る。これらのアプリケーションはＶＤＥテンプレートの形態であり、特に、一定のＶＤＥユーザモデルにとって適切な重要な選択、および報告された一定のイベントであるにちがいない重要なメッセージに関する一定の仮定に基づいて設計される。「ポップアップ」ユーザインタフェース６８６の主要な機能は、簡単な一貫したユーザインタフェースを提供して、例えば、計量イベントおよび除外（例えば、自動処理が不可能であるかまたは論証可能に望ましくない条件）をユーザに報告し、ユーザが自分の電子機器６００の操作の一定のいくつかの面を構成するのを可能にし、そして、適切であれば、ユーザが一定の取引プロセスを進めるかどうかを対話式に制御するのを可能にすることである。オブジェクトが除外扱いメソッドを含む場合は、このメソッドが、「ポップアップ」ユーザインタフェース６８６が特定のクラスの除外を如何に扱うかを制御する。
【０９５４】
「ポップ−ユーザ」インタフェース６８６は、通常は、例えば以下に述べるような、特定のオブジェクト３００に振り分けられないタスクを扱うことができる。
・電子機器６００にログすること、および／またはＶＤＥに関連する活動または活動クラスに入ること。
・登録ユーザのために、および／または一般に設置のために、ユーザの好みを考慮して電子機器６００を構成すること、および一定のタイプの除外を自動的に扱うこと。
・適切であれば、ユーザが特定の特性と共に使用するための計器を選択すること。
・配給者からコンテンツを要求および／または購入もしくはリースすることを含む、他の電子機器６００との通信のためのインタフェースを提供すること、情報交換所のクレジットおよび／または予算を情報交換所から要求すること、他の電子機器へ情報を送るおよひ／または他の電子機器から情報を受け取ることなど。
【０９５５】
図７２Ａは、ユーザインタフェース６８６を使用し得る共通の「ログオン」ＶＤＥ電子機器６００の機能の一例を示す。「ログオン」は、ユーザ名、口座名および／またはパスワードを入力することによって行われ得る。この例に示すように、「ポップアップ」ユーザインタフェース６８６ダイアログによって提供される構成オプションは「セットアップでのログイン」であり、これは、選択されれば、ユーザの電子機器６００に電源が入るかまたはリセットされる度に自動的にＶＤＥログイン手順を開始する。同様に、「ポップアップ」ユーザインタフェース６８６は、「タイプでのログイン」と呼ばれるインタフェースオプションを提供し得る。これは、選択されれば、例えば、一定のディレクトリのファイル、一定の自己証明拡張子を有するコンピュータアプリケーションまたはファイルなどの一定のタイプのオブジェクトまたは特定のコンテンツタイプのアプリケーションが開けられる度に自動的に手順を開始する。
【０９５６】
図７２Ｂは、ユーザによる行為が「トラップ」された場合に起動される「ポップアップ」ユーザインタフェース６８６ダイアログの一例を示す。この場合では、ユーザの行為によって掛かる出費額についてユーザに知らせ、また要求されたオブジェクト３００についておよびこの特定のオブジェクトを使用するのに掛かる費用についてユーザに注意を促している。この例では、インタフェースダイアログは、全文記載、関係ファイルのリスト、および恐らくはオブジェクトまたは関係するディスカウントを使用する残された権利を含むオブジェクトの過去の使用の履歴を含む、オブジェクトについてのさらに詳細な情報をユーザが要求するのを可能にするボタンが提供され得る。
【０９５７】
図７２Ｂの「ＣＡＮＣＥＬ」ボタン２６６０はユーザのトラップされた要求を取り消す。「ＣＡＮＣＥＬ」はこの例ではこのダイアログのデフォルトであり、例えば、ユーザのキーボード６１２ではリターンおよびエンターキーによって、ボタンでは「マウスクリック」によって、音声コマンドによって、または他のコマンドメカニズムによって起動され得る。「ＡＰＰＲＯＶＥ」ボタン２６６２は、マウスクリックまたは他のコマンド手順によって明確に選択されなければならないボタンであって、ユーザが費用を認め先へ進むのを可能にする。「ＭＯＲＥ　ＯＰＴＩＯＮＳ」制御２６６４は、ダイアログを、さらなるオプションを提供する別のレベルの詳細へと拡張する。この例を図７２Ｃに示す。
【０９５８】
図７２Ｃは、図７２Ｂの「ＭＯＲＥ　ＯＰＴＩＯＮＳ」ボタン２６６４がユーザによって選択されるとき、「ポップアップ」ユーザインタフェース６８６によってユーザに提示される二次ダイアログを示す。図示するように、このダイアログは、さらなる情報を得、様々なタスクを行うための多くのボタンを含む。
【０９５９】
この特定の例では、ユーザは、例えば、セッションドル制限額（フィールド２６６６）、合計取引ドル制限額（フィールド２６６８）、時間制限（分）（フィールド２６７０）および「単位制限」（段落、頁などの単位数）（フィールド２６７２）などの「制限」を設定することが許される。ユーザが選択を完了すると、ＯＫボタン（２６７４）を「クリック」して制限の選択を確認しこれらを有効にする。
【０９６０】
従って、ポップアップユーザインタフェースダイアログは、１つのセッション中のまたは一定の期間にわたるもしくは一定の時間までの予算および／またはオブジェクトコンテンツの使用の他の面について制限を設定するなど、ユーザの好みを特定するために提供され得る。ダイアログはまた、１つ以上のオブジェクトと共に使用される計器および予算を選択するなどのオブジェクト関係使用オプションを選択するためにも提供され得る。オプションの選択は、命令を、所望する１つ以上のタイプに関連する１つ以上の自己証明パラメータに関係付けることによって複数のタイプ（すなわちクラス）のオブジェクトに適用され得る。ユーザ特定構成情報は、様々な状況で使用されるべきデフォルト値を設定し得、またユーザによるオブジェクトの使用が「ポップアップ」インタフェース６８６ダイアログによって割り込まれる事態の頻度またはタイプを制限するために用いられ得る。例えば、ユーザは、要求された情報の処理が＄２５．００を超えない場合、現在のセッション（および／または日、および／または週など）の全体に対する料金の合計が＄２００．００を超えない場合、ならびにユーザに対する未決および未払い料金の合計が＄２５００．００を超えない場合、　ＶＤＥ保護コンテンツを求めるユーザの要求は（除外行為により生じる）割り込みなしに自動的に処理されるべきであると特定し得る。
【０９６１】
ポップアップユーザインタフェースダイアログはまた、顕著な条件およびイベントについてユーザに知らせるために使用され得る。例えば、インタフェース６８６は以下のために用いられ得る。
・監査情報を情報交換所に送るようユーザに確認する。
・予算額が低く補充が必要であることをユーザに知らせる。
・安全データベース６１０をバックアップするようにユーザに確認する。そして
・ＰＥＲＣまたは他の日付／時間イベントの期限切れについてユーザに知らせる。
【０９６２】
他の重要な「ポップアップ」ユーザインタフェース６８６の機能としては、ローカルに格納されているＶＤＥ保護オブジェクトからおよび／または１つ以上の様々な遠隔地のコンテンツ提供者からのライセンス取得または購入が可能なプロパティまたはオブジェクトのライブラリーを柔軟にブラウジングし得るダイアログを含む。このような機能は、ユーザのコンピュータが遠隔の配布者のまたは情報交換所の電子機器６００に接続されているときに、または選択（プロパティ、資源の位置、またはあるクラスのオブジェクトまたは資源などが選択される）の後に遠隔の供給源への電子接続を作動させることによって提供され得る。ブラウジングインタフェースにより、ユーザが項目を選択するとこの電子接続が自動的に行われるか、または接続自体がユーザによって明確に作動され得る。このような「ブラウジング」ダイアログの一例として図７２Ｄを参照せよ。
スマートオブジェクト
ＶＤＥ　１００はその制御能力および特徴を「情報エージェント」に拡張する。一般に、「情報エージェント」は密使として働き、この密使を派遣するプロセスが最初のプロセスが特定する結果を実現するのを可能にする。派遣プロセスが存在しないときに行動し得る情報エージェントは、派遣プロセスが遠隔の電子機器の資源にそのエージェントを介してアクセスするのを可能にするために特に有利である。このようなシナリオでは、派遣プロセスは、特定の所望のタスクを特定するエージェント（例えば、コンピュータプログラムおよび／またはコンピュータプログラムに関係する制御情報）を作成し、このエージェントを遠隔システムに派遣し得る。遠隔システムに到達すると、「エージェント」は、遠隔システムの資源を用いて指定されたタスクを実行し得る。これにより、派遣プロセスは、このプロセスが存在しない遠隔システムにその能力を実質的に拡張することができる。
【０９６３】
このようにして「エージェント」を用いることにより柔軟性が増大する。派遣プロセスは、遠隔システムには存在しないかまたは利用できない特定の所望のタスクをエージェントを介して特定することができる。また、このようなエージェントを用いることにより信用度がさらに増大する。派遣プロセスは遠隔システム全体ではなくそのエージェントだけを「信頼」すればよい。
【０９６４】
ソフトウェアエージェントは、高レベルの制御および説明義務（ａｃｃｏｕｎｔａｂｉｌｉｔｙ）が有効、安全且つ有用であることを必要とする。コンピュータウィルスの形態のエージェントは世界中に破壊的な影響をもたらしている。従って、エージェントがアクセスすることを許すシステムは、エージェントを制御し得るか、さもなくばエージェントが重要な資源に損害を与えるのを防ぐべきである。さらに、エージェントがアクセスするのを許すシステムは、エージェントを十分に信頼し、および／またはエージェントの活動に責任があるエージェントの本当の派遣者を保持し得るメカニズムを備えるべきである。同様に、派遣プロセスは、派遣するエージェントの権威を十分に制限および／または制御し得るべきである。さもなくば、エージェントによる不測の活動に対して責任を負うべきである（例えば、エージェントは、エージェントを派遣したプロセスによって引き続いて与えられる不正確な命令により莫大な額の請求書をためることになるかもしれない）。
【０９６５】
ソフトウェアエージェントを用いる場合のこれらの顕著な問題は過去に十分に取り組まれていない。ＶＤＥ　１００によって提供される開放的で柔軟性のある制御構造は、ソフトウェアエージェント（例えばエージェントオブジェクト）のための所望の制御および説明義務を提供することによってこれらの問題に取り組む。例えば、ＶＤＥ　１００はコンテンツアクセスおよび使用を積極的に制御し、使用されるコンテンツのための支払いの保証を提供し、アクセスされたコンテンツのための予算制限を実施する。これらの制御能力は、派遣されたエージェントの活動をエージェントを派遣するプロセスおよび派遣されたエージェントによってアクセスされる資源の両方によって制御するのによく適している。
【０９６６】
本発明によって提供されるこの好適な実施態様の１つの局面は、エージェントを含む「スマートオブジェクト」を提供する。一般に、「スマートオブジェクト」は、ＶＤＥ電子機器６００でＶＤＥ制御情報と共に使用するためのあるタイプのソフトウェアプログラム（「エージェント」）を含むＶＤＥオブジェクト３００であり得る。基本的な「スマートオブジェクト」は、例えば以下のものを（物理的におよび／または仮想として）含むＶＤＥオブジェクト３００を備え得る。
【０９６７】
ソフトウェアエージェント、および
ソフトウェアエージェントの動作を支配する、エージェントに関係する少なくとも１つの規則および／または制御。
【０９６８】
「スマートオブジェクト」を定義するにはこの基本構造で十分であるが、図７３は、ソフトウェアエージェントの動作を確実に管理および制御するための特に有利なスマートオブジェクト構造の一例を提供する、コンテナと制御情報との組み合わせを示す。
【０９６９】
図７３に示すように、スマートオブジェクト３０００はコンテナ３００により構成され、コンテナ内には、１つ以上のさらに別のコンテナ（３００ｚ、３００ｙなど）が埋め込まれている。コンテナ３００はさらに、これらの埋め込まれたコンテナ３００ｚ、３００ｙなどにアクセスしこれらを用いるための規則および制御情報を含み得る。コンテナ３００に埋め込まれたコンテナ３００ｚは、オブジェクト３０００を「スマートオブジェクト」にするものである。これはＶＤＥ　１００によって管理および制御される「エージェント」を含む。
【０９７０】
コンテナ３００ｚに関係する規則および制御情報８０６ｆは、例えば実行コストに基づく実行の制限を含む、エージェントが遠隔のＶＤＥサイトで放出され実行され得る環境を支配する。この規則および制御情報は全くコンテナ３００ｚ内で特定され得、および／またはコンテナ３００の一部として、または別のコンテナの一部として（コンテナ３００内または別個に送達可能なコンテナ）として送達され得、および／または遠隔ＶＤＥサイトに既に存在し得る。
【０９７１】
第２のコンテナ３００ｙはオプションであり、コンテナ３００ｚに格納されたエージェントが実行され得る位置を記述するコンテンツを含む。コンテナ３００ｙはまた、コンテナ３００ｙのコンテンツが使用されるかまたは改変されるメソッドを記述する規則および制御情報８０６ｅを含み得る。この規則および制御情報８０６ｅおよび／またはコンテナ３００ｙ内に含まれるさらに別の規則３００ｙ（１）は、スマートオブジェクト３０００を所望の遠隔情報資源に向けるために使用され得る検索およびルーティングメカニズムを記述し得る。コンテナ３００ｙは、検索およびルーティングの使用および変更に対して支払いを行い得るメソッドを特定する規則および制御情報３００ｙ（１）を含み得るおよび／または参照し得る。
【０９７２】
コンテナ３００ｘはオプションのコンテンツコンテナであり、スマートオブジェクト３０００が遠隔サイトに派遣されるとき最初は「空」である。これは、コンテナ３００ｚに含まれるエージェントの実行によって取り出されるコンテンツを格納するための規則および制御情報３００ｘ（１）を含む。コンテナ３００ｘはまた、検索コンテナに格納されているコンテンツの値についての制限も含み、これにより検索されるコンテンツの量を制限する。
【０９７３】
コンテナ３００内の他のコンテナは、コンテナ３００ｚのエージェントの行動および遠隔ＶＤＥノードでエージェントを実行させるために掛かる料金を記述する監査および課金追跡を含む管理オブジェクトを含み得る。スマートオブジェクト３０００の正確な構造は、制御されるエージェントのタイプ、実行のために必要とする資源、および検索される情報のタイプに依存する。
【０９７４】
図７３に示す例のスマートオブジェクト３０００は、ＶＤＥ　１００内のエージェントの動作を制御および管理するために用いられ得る。図７４に示すスマートオブジェクト取引の例についての以下の詳細な説明は、理解を助けるものではあるがこれに限定されない。この特別な例では、ユーザは、「非常に速くて効率的な（Ｖｅｒｙ　Ｆａｓｔａｎｄ　Ｅｆｆｉｃｉｅｎｔ）」ソフトウェアエージェントを用いてライブラリ検索を行い、興味ある主題（例えば「ｆｉｒｅ　ｆｌｉｅｓ（蛍）」）について書かれた本を検索するスマートオブジェクト３０００を作成しようとしていると仮定する。検索手段は本のリストをユーザに戻すように設計されている。この例での検索手段は、適切な本を見つけるのに＄１０．００を超えない金額を使い、ライブラリに入るためのライブラリアクセスまたは通信料金に＄３．００を超えない金額を使い、そして情報の検索に＄１５．００を超えない金額を使う。検索または使用に関連するすべての情報はユーザに戻され、ユーザは、ユーザまたはエージェントに属する情報が第三者に放出されるのを認めない。
【０９７５】
この例では、派遣するＶＤＥ電子機器３０１０は、図７３に示すスマートオブジェクトに類似するスマートオブジェクト３０００を構成する。８０６ａの規則セットは、以下のエレメントを含む制御セットとして特定される。
【０９７６】
１．スマートエージェントが埋め込まれたコンテナ３００ｚに格納されこのコンテナで特定される実行を制御する規則を有するということを特定するｓｍａｒｔ＿ａｇｅｎｔ＿ｅｘｅｃｕｔｉｏｎイベント、
２．スマートエージェントがコンテナ３００に格納されている情報およびパラメータを用いて作動することを特定するｓｍａｒｔ＿ａｇｅｎｔ＿ｕｓｅイベント、
３．情報ルーティング情報がコンテナ３００ｙに格納され、このコンテナに格納されているこの情報を制御する規則を有することを特定するｒｏｕｔｉｎｇ＿ｕｓｅイベント、および
４．書かれた情報がそのタイプ（ルーティング、検索または管理）に依存してコンテナ３００ｙ、３００ｘまたは３００ｗに格納され、これらのコンテナは情報をどのように書くかを制御する個別の規則を有することを特定するｉｎｆｏｒｍａｔｉｏｎ＿ｗｒｉｔｅイベント。
【０９７７】
制御セット８０６ｂの規則セットは、このスマートオブジェクト３０００によって所望される権利を特定する規則を含む。特に、この制御セットは、ソフトウェアエージェントが以下のものを所望することを明示する。
【０９７８】
１．遠隔ＶＤＥサイトで「エージェント実行」サービスを使用する権利。この権利のための特定の課金および料金情報はコンテナ３００ｚに所持される。
【０９７９】
２．遠隔ＶＤＥサイトで「ソフトウェア記載リスト」サービスを使用する権利。このための特定の課金および料金情報はコンテナ３００ｙに所持される。
【０９８０】
３．遠隔ＶＤＥサイトで「情報ロケータサービス」を使用する権利。
【０９８１】
４．情報を無料（情報の放出に掛かる料金、支払いはＶＩＳＡ予算によって行われる）でユーザに戻す権利。
【０９８２】
５．監査情報すべてを送り元によってのみ可読な形態で戻す権利。
【０９８３】
制御セット８０６ｃの規則セットは、コンテナ３００ｗがその使用に関連するすべてのイベントの扱いを特定することを明示する。制御セット８０６ｄの規則セットは、コンテナ３００ｘがその使用に関連するすべてのイベントの扱いを特定することを明示する。制御セット８０６ｅの規則セットは、コンテナ３００ｙがその使用に関連するすべてのイベントの扱いを特定することを明示する。制御セット８０６ｆの規則セットは、コンテナ３００ｚがその使用に関連するすべてのイベントの扱いを特定することを明示する。
【０９８４】
コンテナ３００ｚは、「非常に速くて効率的な」エージェントコンテンツを含むものとして特定され、これは以下の規則セットに関連する。
【０９８５】
１．実行を所有者のＶＩＳＡカードに対して請求される＄１０．００に制限する計量器およびＶＩＳＡ予算を特定する使用イベント。使用の監査が必要とされ、これはオブジェクト３００ｗに、このオブジェクトで特定される制御情報の下で格納される。
【０９８６】
コンテナ３００ｚおよびそのセットが特定された後、これらはスマートオブジェクトコンテナ３００内で構成されこれに埋め込まれる。
【０９８７】
コンテナ３００ｙは、２つのタイプのコンテンツを有するコンテンツオブジェクトとして特定される。コンテンツタイプＡはルーティング情報であり、本質的に読出し／書込みが行われる。コンテンツタイプＡは以下を特定する規則セットに関係する。
【０９８８】
１．コンテンツの放出のためのいかなる動作も特定しない使用イベント。これはコンテンツの使用に対して料金の請求がないという効果を有する。
【０９８９】
２．書込みの値を＄３．００に制限する計量器およびＶＩＳＡ予算を特定する書込みイベント。書込みによって用いられる課金メソッドは特定しないでおき、この規則を使用する制御メソッドによって特定され得る。
【０９９０】
３．使用の監査が必要とされ、オブジェクト３００ｗに、このオブジェクトに特定される制御情報の下で格納され得る。
【０９９１】
コンテンツタイプＢはソフトウェアエージェントによって使用され、エージェントのためのパラメータを特定する。このコンテンツは文字列「ｆｉｒｅ　ｆｌｙ」または「ｆｉｒｅ　ｆｌｉｅｓ」として特定される。コンテンツタイプＢは以下の規則セットに関係する。
【０９９２】
１．使用はソフトウェアエージェントまたはルーティングエージェントによってのみ行われることを特定する使用イベント。ソフトウェアエージェントは読出しのみのパーミッションを有し、ルーティングエージェントは情報への読出し／書込みアクセスを有する。情報の使用に関係する料金の請求はないが、２つの計量器、読出しによるものと書込みによるものがプロセスの様々なステップによって情報の使用を追跡するために保持される。
【０９９３】
２．使用の監査が必要とされ、オブジェクト３００ｗに、このオブジェクトに特定される制御情報の下で格納され得る。
【０９９４】
コンテナ３００ｙおよびその制御セットが特定された後、これらはスマートオブジェクトコンテナ３００内で構成されこれに埋め込まれる。
【０９９５】
コンテナ３００ｘは、コンテンツが空であるコンテンツオブジェクトとして特定される。これは以下の規則を含む制御セットを含む。
【０９９６】
１．書込みの金額を＄１５．００に制限する計量器および一般予算を特定するｗｒｉｔｅ＿ｗｉｔｈｏｕｔ＿ｂｉｌｌｉｎｇイベント。
【０９９７】
２．使用の監査が必要とされ、オブジェクト３００ｗに、このオブジェクトで特定される制御情報の下で格納され得る。
【０９９８】
３．所定のメソッド（メソッドオプション）を用いて情報の所有者によって満たされ得る空の使用制御セット。
【０９９９】
コンテナ３００ｘおよびその制御セットが特定された後、これらはスマートオブジェクトコンテナ３００内で構成されこれに埋め込まれる。
【１０００】
コンテナ３００ｗは、以下の規則を含む制御セットにより空の管理オブジェクトとして特定される。
【１００１】
１．管理オブジェクトに含まれる情報はスマートオブジェクトコンテナ３００の作成者にのみ放出され得ることを特定する使用イベント。
【１００２】
２．コンテナ３００ｗの管理コンテンツにはいかなる他の規則も付けられない。
【１００３】
コンテナ３００ｗおよびその制御セットが特定された後、これらはスマートオブジェクトコンテナ３００内で構成されこれに埋め込まれる。
【１００４】
この時点で、スマートオブジェクトの構成は完了し、遠隔ＶＤＥサイトに派遣される準備が整っている。スマートオブジェクトは（例えば、電子メールまたは他の伝送メカニズムを用いて）通路３０１４を介して情報ロケータサービス３０１２を含む遠隔ＶＤＥサイトに送られる。スマートオブジェクトは「項目ロケータサービス」のための遠隔サイト３０１２で登録される。「項目ロケータサービス」に関連するコンテナの制御セットが選択され、この中に含まれる規則が遠隔サイト３０１２で起動される。遠隔サイト３０１２は次に、コンテナ３００ｙのコンテンツを規則セット８０６ｆおよび３００ｙ（１）の制御の下で読み出し、これらの規則に従ってローカル情報リストをコンテナ３００ｙに書き込むのを許可する。項目ロケータサービスは三つの項目よりなるリストをスマートオブジェクトに書き出し、次にスマートオブジェクト（この時点では位置情報を含んでいる）を「再登録」し、これを、通路３０１８を介してスマートオブジェクトに書き込まれたリストで特定されたサイト３０１６に送る。この例では、ユーザは伝送のための特定の電子メールを有し得、所望の情報を有し得る遠隔サイトのリストが転送リストとして格納される。
【１００５】
第２の遠隔サイト３０１６に到着すると、スマートオブジェクト３０００はこの第２のサイトに登録される。サイト３０１６は、スマートオブジェクトへのサービスとしてＶＤＥと互換性のあるエージェント実行およびソフトウェア記述リストサービスを提供する。このサイトはこれらのサービスを公表し、エージェントを開始するのに＄１０．００、そしてすべての情報を戻すのに単位当たり＄２０が必要であることを特定する。登録プロセスは、公表されたサービス情報をオブジェクト内に格納されている規則と比較し、受け入れ不可能な重複は存在しないと決定する。これらの活動すべての監査情報が管理オブジェクト３００ｗに書き込まれる。登録プロセスは失敗し（オブジェクトは登録されず）、スマートオブジェクトはサイト３０１６によってリストの次のＶＤＥサイト３０２０に通路３０２２を介して転送される。
【１００６】
第３の遠隔サイト３０２０に到着すると、スマートオブジェクト３０００はこのサイトに登録される。サイト３０２０は、スマートオブジェクトへのサービスとしてＶＤＥと互換性のあるエージェント実行およびソフトウェア記述リストサービスを提供する。このサイトはこれらのサービスを公表し、エージェントを開始するのに＄１．００、そしてすべての情報を戻すのに単位当たり＄０．５０が必要であることを特定する。登録プロセスは、公表されたサービス情報をオブジェクト内に格納されている規則と比較し、受け入れ可能な重複が存在すると決定する。登録プロセスは、同意された制御情報を特定するＵＲＴを作成する。このＵＲＴは他の制御情報と合わせて用いられ、ＶＤＥ制御下でソフトウェアエージェントを実行する。
【１００７】
エージェントソフトウェアは始動しコンテナ３００ｙからそのパラメータを読み出す。次に、データベースの検索を開始し、データベースの２５３個の「ヒット」を得る。ヒットリストが、各項目の細分性および各項目の料金が＄０．５０であることを特定する完全制御セットと共に、コンテナ３００ｘに書き込まれる。検索が完了すると、サービス使用のための予算は＄１．００だけ増加し、このサービスの使用料金を反映する。これら活動のすべてに対する監査情報は管理オブジェクト３００ｗに書き込まれる。
【１００８】
遠隔サイト３０２０は、「満杯」になったスマートオブジェクト３０００をＶＤＥノード３０１０で通路３０２４を介して最初の送り元（ユーザ）に戻す。スマートオブジェクト３０００は登録されデータベース記録が利用可能となる。コンテナ３００ｘで特定された制御情報は、この時点では、最初の制御情報とこれらの情報の遠隔放出に関するサービスによって特定された制御情報との混合である。ユーザは次にスマートオブジェクト３０００から２０個の記録を抽出し、抽出時に＄１０．００がＶＩＳＡ予算に請求される。
【１００９】
上記のスマートエージェントＶＤＥの例では、スマートオブジェクト３０００およびこれを構成するコンテナの一定の組織について述べた。他のＶＤＥおよびスマートオブジェクト関連制御情報およびパラメータデータの組織も作成され得、上記の例のオブジェクト３０００に帰する目的と同じ目的のために使用され得る。
ネゴシエーションおよび電子契約
電子契約は、契約を結ぶパーティの権利、制約および義務を含む契約の電子形態である。多くの場合、電子契約とはディジタルで提供されるコンテンツの使用を取り巻くものであり得、例えばディジタルで配布される映画を鑑賞するための許可書が挙げられる。しかし、電子契約は、契約を結ぶ一つ以上のパーティによって電子コンテンツの存在または使用について条件付けられる必要はない。この最も簡単な形態では、電子契約は権利およびこの権利がどのように行使されるかを支配する制御を含む。
【１０１０】
電子契約は、従来の契約のように、パーティ間でネゴシエートされ得る（１つ以上のパーティによって提出される条件は、一つ以上の他のパーティによって単に受け入れられる（コヒーレント契約）、および／またはこの他のパーティはこのような条件のいくつかを選択する（その他の条件は必須）権利を有し得る）。ネゴシエーションは、辞書では「相互の同意によって和解する行為」と定義されている。この好適な実施態様では、一つ以上の権利および関係する制御が自動化された条件の電子ネゴシエーションを介して確立され得る電子ネゴシエーションプロセスが提供される。ネゴシエーションは、通常は、権利の正確な特定とこれらの権利に関係する制御とを必要とする。ＰＥＲＣおよびＵＲＴ構造は、権利の正確な電子表現およびこれらの権利に関係する制御を提供するために使用され得るメカニズムを提供する。従って、ＶＤＥは、ユーザおよび作成者が両者の所望を特定し得る「ボキャブラリ」およびメカニズムを提供する。自動化されたプロセスはこれらの所望を解釈し、これらの所望に基づく共通の中間地点に到達するようにネゴシエートする。このネゴシエーションの結果は構造体に簡潔に記載され、これが電子契約の結果を制御および実施さするために使用され得る。ＶＤＥは、ネゴシエーションプロセスがその動作における完全性および秘匿性を確実にする安全な実行スペースを提供することによって、このプロセスをさらに可能にする。ネゴシエーションプロセスはまた、ネゴシエーションが外部から不正改変されるのを防ぐようなメソッドで実行され得る。
【１０１１】
一般的に契約（および特に契約の電子表現体）の最終的な望ましい特徴は、契約が不履行不能な形態で正確に記録されることである。従来では、これは、関係するすべてのパーティの権利、制約および義務を記載する書面による書類（契約）を作成することを包含する。この書類は読まれ、すべてのパーティによって契約の正確な表現体であるとして署名される。電子契約は、その性質上、最初は書面で提出されない。ＶＤＥにより、このような契約が正確に電子的に記述され次に不履行を防ぐために電子的に署名されることが可能である。さらに、この好適な実施態様では、電子契約の条件を人間可読に記述することができるメカニズムが提供される。
【１０１２】
ＶＤＥは、ＶＤＥサイトが解釈可能な制御セットを特定するための簡潔なメカニズムを提供する。機械が解釈可能なメカニズムは人間可読でないことが多い。ＶＤＥは、少なくとも一人の人間のユーザの代わりにネゴシエーションプロセスを操作することが多い。従って、ネゴシエーションは「人間可読フォーム」で表現されることが望ましい。オブジェクト、メソッドおよびロードモジュールのためのＶＤＥデータ構造はすべて、それらの構造内に１つ以上のＤＴＤを特定する条項を有する。これらのＤＴＤは項目の一部として格納されるか、または独立して格納され得る。ＤＴＤは、この項目の機能の自然言語による記述を含み得る１つ以上のデータエレメント（ＭＤＥ、ＵＤＥまたは他の関連データエレメント）を記述する。これらの自然言語による記述は、各項目に対して言語独立型の人間可読の記述を提供する。項目の集合体（例えばＢＵＤＧＥＴメソッド）は、その機能を記述し電子的に特定され実施可能な契約の条件を形成する自然言語によるテキストと関係付けることができる。条件の集合体（制御セット）は特定の権利に関係する契約を定義する。従って、ＶＤＥは、人間が理解し遵守することができる電子契約の電子的な特定化、ネゴシエーションおよび実施を可能にする。
【１０１３】
ＶＤＥ　１００は、以下に述べるようにして電子契約のネゴシエーションおよび実施を可能にする。
・ネゴシエーションのための共通のボキャブラリおよび手順を許す権利および制御情報の簡潔な特定化を可能にする。
・ネゴシエーションを行うための安全な処理環境を提供する。
・権利および制御の特定化が確実に配分され得る配分環境を提供する。
・ネゴシエートされた契約が、契約をネゴシエートするプロセスによって電子的に受け取られ署名される安全な処理環境を提供する。
・ネゴシエートされた電子契約を確実に実施するメカニズムを提供する。
ネゴシエーションのタイプ
ネゴシエーションの１つの簡単な形態は、１つのパーティが「コヒーレント」契約を形成するように要請することである。ネゴシエーションにおいて他方のパーティによって選択され得るオプションはあるとしてもほとんどない。要請の受け取り側には１つのオプションしかない。すなわち、要請の中の条件（制御情報）を受け入れるか拒絶するかである。条件を受け入れる場合は、特定化された制御情報という条件付きの権利が与えられる。条件を拒絶する場合は、権利は与えられない。ＰＥＲＣおよびＵＲＴの構造は要請によるネゴシエーションをサポートし得る。すなわち、ＰＥＲＣまたはＰＥＲＣからの制御セットが要請として提示され、受け取り側は要請を受け入れるかまたは拒絶し得る（許可されたメソッドオプションが提示される場合はこれから選択する）。
【１０１４】
今日のこのタイプのネゴシエーションの一般的な例は、「シュリンク包装ライセンス」という条件下でのソフトウェアの購入である。多くの広く出回っている電子配布メソッドはこのタイプのネゴシエーションを使用している。ＣｏｍｐｕＳｅｒｖｅは同じメソッドで動作するオンラインサービスの一例である。選択は簡単である。すなわち、特定の料金を支払うか、サービスまたはソフトウェアを使用しないかのいずれかである。ＶＤＥは、権利および制御情報を記述するＰＥＲＣおよびＵＲＴを提供する能力により、およびコンテンツ所有者が、ユーザが所定のメソッドオプションセットから選択するのを可能にするＲＥＧＩＳＴＥＲメソッドを提供するのを可能にすることによって、このタイプのネゴシエーションをサポートする。このシナリオでは、ＲＥＧＩＳＴＥＲメソッドは簡単なネゴシエーションプロセスである構成要素を含み得る。
【１０１５】
ネゴシエーションのもっと複雑な形態は「押し問答（ｈａｇｇｌｉｎｇ）」に類似するものである。このシナリオでは、条件のほとんどは固定されるが、一つ以上の条件（例えば価格または支払い条件）は固定されない。これらの条件に対しては、オプション、制限、およびネゴシエーションの余地があるエレメントが存在する。所望の、許可された、および選択可能な条件を決定するために、２つのパーティ間のＶＤＥ電子ネゴシエーションが用いられ得る。電子ネゴシエーションの結果が、完成した電子契約を特定する規則および制御情報の最終セットであり得る。１つの簡単な例は、購入者が支払いメソッド（ＶＩＳＡ、ＭａｓｔｅｒＣａｒｄまたはＡｍｅｒｉｃａｌ　Ｅｘｐｒｅｓｓ）を選択する能力が加わった上記のソフトウェアを購入するシナリオである。もっと複雑な例は、支払われる価格が使用監査追跡に沿って戻されるユーザについての情報量に依存する購入情報のシナリオである。この第２の例では、コンテンツを使用する権利は２つの制御セットに関係し得る。１つの制御セットは、コンテンツの使用に対して固定（「より高い」）価格を記述し得る。別の制御セットは、制御情報の追加およびユーザの個人情報の収集および返却を必要とするフィールド仕様を伴ったコンテンツの使用に対して固定（「より低い」）価格を記述し得る。これらの場合の両方で、ＰＥＲＣの選択可能で許可されたフィールドおよび制御セットは、ネゴシエーションの一部として選択され得るオプションを記述し得る。ネゴシエーションを行うためには、一方のパーティは、ＰＥＲＣによって特定される特定のフィールド、制御情報および制限を含む制御セットを提案する。他方のパーティは、提案された制御セットから取り出して受け入れるか、これらを拒絶するか、または使用され得る代替の制御セットを提案する。ネゴシエーションプロセスは、ＰＥＲＣの許可され、必要とされ、選択可能な指定を使用して、最終的な規則セットのための受け入れ可能なパラメータ領域を決定し得る。同意に達すると、ネゴシエーションプロセスは、ネゴシエーションの結果を記述する新しいＰＥＲＣおよび／またはＵＲＴを作成し得る。得られるＰＥＲＣおよび／またはＵＲＴは、後日の契約の不履行を防ぐために、ネゴシエーションに係わったネゴシエーションプロセスのすべてによって（例えばディジタル署名を用いて）「署名」され得る。
【１０１６】
ネゴシエートされるエレメントのさらに他の例としては、電子キャッシュ、注文書、購入証明書（贈与証明書、クーポン）、入札および仕様書、予算「引き下げ（ｒｏｌｌｂａｃｋｓ）」および調停、通貨為替レート、株購入、ならびに課金レート（ｂｉｌｌｉｎｇ　ｒａｔｅ）がある。
【１０１７】
上述の第２の例をサポートするために用いられるＰＥＲＣセットを図７５Ａ（コンテンツ所有者によって送られるＰＥＲＣ）、図７５Ｂ（ユーザの選択および権利を提示するためにユーザによって作成されるＰＥＲＣ）、および図７５Ｃ（ネゴシエーションプロセスを制御するためのＰＥＲＣ）に示す。
【１０１８】
これらのＰＥＲＣは、このセクションで後述するネゴシエーションプロセスおよびプロトコルのいずれかと共に用いられ得る。
【１０１９】
図７５Ａは、自らの権利のオプションを記述するためにコンテンツ提供者によって作成され得るＰＥＲＣ　３１００の一例を示す。この例では、ＰＥＲＣは１つのＵＳＥ権利に関する情報を含む。２つの択一の制御セット３１０２ａ、３１０２ｂがこの例での権利のために提示される。制御セット３１０２ａは、ユーザについての情報を戻さなくてもコンテンツの使用を許可し、もう１つの制御セット３１０２ｂは、コンテンツの使用を許可すると共にユーザからの「レスポンスカード」タイプの情報を回収する。制御セット３１０２ａ、３１０２ｂの両方とも制御情報のほとんどに対して共通のメソッドセットを用い得る。この共通の制御情報はＣＳＲ　３１０４およびＣＳＯ　３１０６によって表される。
【１０２０】
このＰＥＲＣ　３１００の制御セット３１０２ａは、コンテンツ提供者にユーザについての情報を提供せずにユーザがコンテンツを使用し得るメカニズムを示している。この制御セット３１０２ａは周知の販売制御メソッドならびに必要なメソッドおよびメソッドオプションセットを特定している。詳しくは、この例では、制御セット３１０２ａはＢＵＤＧＥＴメソッド３１０８（例えばＶＩＳＡ、ＭａｓｔｅｒＣａｒｄまたはＡｍｅｒｉｃａｎ　Ｅｘｐｒｅｓｓ）を定義し、また料金を特定するＢＩＬＬＩＮＧメソッド３１１０（例えば一回の料金が＄１００．００）を定義している。
【１０２１】
このＰＥＲＣ　３１００の制御セット３１０２ｂは、ユーザがコンテンツを得る別のメカニズムを示している。この例では、制御セット３１０２ｂは異なる販売制御メソッドならびに必要なメソッドおよびメソッドオプションセットを特定している。この第２の制御セット３１０２ｂはＢＵＤＧＥＴメソッド３１１６（例えばＶＩＳＡ、ＭａｓｔｅｒＣａｒｄまたはＡｍｅｒｉｃａｎ　Ｅｘｐｒｅｓｓ）、料金を特定するＢＩＬＬＩＮＧメソッド３１１０（例えば一回の料金がもっと低い＄２５．００）、ならびに所望され且つ必要なフィールドセットを特定するＡＵＤＩＴメソッド３１１４を特定している。必要で且つ所望のフィールド仕様３１１６はＤＴＤ仕様の形態をとり得る。ここでは、例えば、フィールド名がリストされる。
【１０２２】
コンテンツ作成者は２つの制御セットのうちの一方（例えば制御セット２）を他方より「優先」させる。この場合、ネゴシエーションプロセスでは先ず「優先」された制御セットが「提案」され、ネゴシエーションの他方のパーティがこの「優先」された制御セットを「拒絶」する場合は、これは引っ込められ「非優先」の制御セットに替えられる。
【１０２３】
この例では、これら２つの制御セット３１０２ａ、３１０２ｂは共通のＢＵＤＧＥＴメソッド仕様を共有し得る。ＢＵＤＧＥＴメソッド仕様は、所望であれば、ＣＳＲ　３１０４またはＣＳＯ　３１０６の制御セットに含まれ得る。制御セット３１０２ａ（情報を戻さずに使用）を選択すると、ＰＥＲＣ　３１００によって特定されるような固有の構成要素アセンブリが組み立てられる。詳しくは、この例では、「販売」ＣＯＮＴＲＯＬメソッド３１１８、＄１００の固定料金のＢＩＬＬＩＮＧメソッド３１１０、およびＣＳＲ　３１０４およびＣＳＯ　３１０６によって特定される制御情報の残りが選択される。また、ユーザは（例えばＶＩＳＡ、ＭａｓｔｅｒＣａｒｄおよびＡｍｅｒｉｃａｎ　Ｅｘｐｒｅｓｓからの）受け入れ可能なＢＵＤＧＥＴメソッドの選択を特定する必要がある。制御セット３１０２ｂを選択することにより、「レスポンスカードによる販売」ＣＯＮＴＲＯＬメソッド３１２０、ＢＩＬＬＩＮＧメソッド３１１６（例えば＄２５の固定料金）、および必要なフィールドＤＴＤ　３１１６にリストされるフィールドを必要とするＡＵＤＩＴメソッド３１１４を用いる異なる構成要素アセンブリが組み立てられる。プロセスはまた、所望のフィールドＤＴＤ３１１６にリストされるフィールドのうち利用可能なすべてのフィールドを選択し得る。制御情報の残りは、ＣＳＲ　３１０４およびＣＳＯ　３１０６によって特定される。制御セット３１０２ｂを選択する場合も、ユーザは（例えばＶＩＳＡ、ＭａｓｔｅｒＣａｒｄおよびＡｍｅｒｉｃａｎ　Ｅｘｐｒｅｓｓを含むリストからの）受け入れ可能なＢＵＤＧＥＴメソッドの選択を特定する必要がある。
【１０２４】
図７５Ｂは、ネゴシエーションプロセスでユーザの所望および要件を特定するためにユーザによって用いられ得る制御セット３１２５の例を示す。この制御セットは、集合されたＣＳＲ予算仕様３１２９およびコンテンツの使用のための２つの制御セット３１３１ａ、３１３１ｂを含むＵＳＥ権利セクション３１２７を有する。制御セット３１３１ａは、特定のＣＯＮＴＲＯＬメソッド３１３３およびＡＵＤＩＴメソッド３１３５の使用を必要とする。特定されたＡＵＤＩＴメソッド３１３５は、監査追跡で放出され得るフィールド３１３７のリストによりパラメータ化される。制御セット３１３１ａはまた、一定の金額（例えば＄３０．００）を超えない費用とし得るＢＩＬＬＩＮＧメソッド３１３９を特定し得る。この例の制御セット３１３１ｂは、特定のＣＯＮＴＲＯＬメソッド３１４１を記述し、このオプションが選択される場合は、一定の金額（例えば＄１５０．００）を超えない費用とし得るＢＩＬＬＩＮＧメソッド３１４３を参考として示し得る。
【１０２５】
図７５Ｅは、上述のネゴシエーションプロセスの「結果」として形成される電子契約３２００のより高レベルの図を示す。電子契約３２００は多数の条項３２０２および多数のディジタル署名３２０４を含み得る。各条項３２０２は、上記に述べられ図７５Ｄに示される項目３１６０などのＰＥＲＣ／ＵＲＴを含み得る。従って、電子契約３２００の各「条項」３２０２は、ＶＤＥ電子機器６００によって組み立てられ実行され得る構成要素アセンブリ６９０に対応する。通常の契約のように、電子契約３２００には「パーティ」間の「同意」を具体化するのに必要なだけの契約条項３２０２が存在し得る。条項３２０２のそれぞれは電子的にネゴシエートされたものであり、従ってパーティ間の「同意」（例えば「折衷」）の一部を具体化し得る。電子契約３２００は、機械、すなわち様々な電子条項３２０２によって特定されるような構成要素アセンブリ６９０を組み立てるＶＤＥ電子機器６００によって文字通り実行され得るという意味で、「自己実行」的である。電子契約３２００は、構成要素アセンブリ６９０と共に使用される上述の同じＶＤＥメカニズムを用いて自動的に「実施」される。例えば、条項３２０２（２）が支払いまたはＢＩＬＬＩＮＧ条件に対応すると仮定すると、その対応する構成要素アセンブリ６９０は、ユーザのＶＤＥ電子機器６００によって組み立てられると、支払い条件が正しいかどうかを自動的に決定し、正しいときは、適切な支払いメカニズム（例えばユーザに対する仮想「クレジットカード」オブジェクト）に自動的にアクセスして、その支払いが行われるように調整する。別の例としては、電子契約条項Ｎ３２０２（Ｎ）が特定のＶＤＥ参加者に監査情報を提供するユーザの義務に対応すると仮定すると、電子契約３２００によって、ＶＤＥ電子機器６００は、例えば、安全データベース６１０内の適切な監査追跡にアクセスし、管理オブジェクト内の監査追跡を正しい参加者に提供し得る対応する構成要素アセンブリ６９０を組み立てる。図７５Ｆは、条項３２０２（Ｎ）が、例えば、取引３２０６に多数のステップが生じるように調整する構成要素アセンブリ６９０を特定し得ることを示す。このようなステップのいくつか（例えばステップ３２０８（４）、３２０８（５））は、例えば、コンテンツ使用が一定の量を超えているかどうか、一定の期間が過ぎたかどうか、一定のカレンダー日に達したかどうかなどの試験において条件付きであり得る（例えば３２０８（３））。
【１０２６】
図７５Ｅの電子契約に示すディジタル署名３２０４は、例えば、上述のような公開鍵技術を用いる従来のディジタル署名を含み得る。電子契約３２００の中にはディジタル署名３２０４を含まないものもある。しかし、電子契約３２００のパーティであるユーザの電子機器６００に電子契約にディジタル署名するよう要求して、ユーザが証拠となる目的のために後で契約の履行を拒むことができないようにするようにすることが望ましい。同じ契約に多数のパーティが存在する場合は、書面による書類に記録された契約の多数のパーティがインクペンを用いて書類に署名するのと同様に、同じ電子契約３２００にそれぞれがディジタル「署名」し得る。
【１０２７】
電子契約３２００の条項３２０２のそれぞれは、最終的には、ＰＰＥ　６５０によって実行され得るデータおよびコードの集合体に対応し得るが、場合によっては、電子契約の人間可読バージョンを提供する必要があり得る。この必要は、上述のように、契約を「自己実行」するために用いられる構成要素アセンブリ６９０に関係する１つ以上のＤＴＤ内にテキストを提供することによって実現され得る。このようなテキストは、例えば、対応する電子契約条項３２０２が何を意味または包含するかを機能的観点から記述し、および／または契約の下での法的義務が何であるかまたは何を表しているかを法的に実施可能な用語で記載し得る。このようなテキストをテキストライブラリから供給するために「テンプレート」（本明細書のどこかに記載）が用いられ得る。異なるテキストエレメントを結合してコヒーレントで人間可読の契約書類にまとめるシンタックス規則を確立するために、エキスパートシステムおよび／または人工頭脳能力が用いられ得る。このようなテキストは、必要であれば、「人間」の代理人によって検討および改変されて、パーティ間の特定の契約のためにこれをカスタマイズし、および／または内部で具体化され、ＶＤＥ電子機器６００で実行する関係する構成要素アセンブリ６９０によって実施されるる「自己実行」電子義務を増やして法的義務をさらにつけ加えることができる。このようなテキストは、電子契約の実行により自動的にまたは要請があり次第表示され得るか、または契約の印刷された人間可読バージョンを生成するためにいつでも使用され得る。電子契約３２００のこのような書類バージョンは、（望まない場合は）契約のパーティによってインクで署名される必要はない。なぜなら、ディジタル署名３２０４が、契約のすべての条件へのパーティの相互の同意を提供する十分に安全で信頼のある証拠となる基礎を提供するからである。
【１０２８】
この好適な実施態様では、ネゴシエーションプロセスは、プロセスを特定する別のＰＥＲＣの指示の下でＰＰＥ　６５０内で実行される。図７５Ｃは、ネゴシエーションプロセスを特定するＰＥＲＣ　３１５０の一例を示す。ＰＥＲＣ　３１５０は、ネゴシエーションのための単一の権利３１５２、およびこの権利のための２つの許可された制御セット３１５４ａ、３１５４ｂを有する。第１の制御セット３１５４ａは「信頼されたネゴシエーション」のために用いられ得る。すなわち、これは、所望のネゴシエーションＣＯＮＴＲＯＬメソッド（「ネゴシエーション」）を参考として示し、このＣＯＮＴＲＯＬメソッドが用いる２つのＵＤＥを（フィールド３１５７ａ、３１５７ｂで）参考として示してる。これらのＵＤＥは、例えば、図７５Ａおよび図７５Ｂに示されるＰＥＲＣ３１００、３１２５であり得る。第２の制御セット３１５４ｂは、ネゴシエーションを管理するために「多ネゴシエーション」プロセスによって用いられ得、２つのネゴシエーションメソッド、「ネゴシエーション１」および「ネゴシエーション２」を提供し得る。両方のネゴシエーションプロセスは、それぞれＰＥＲＣ３１００、３１２５を入力とする必要なメソッド（「ネゴシエーション１」および「ネゴシエーション２」）３１５６、３１５８として記述され得る。この例のこの制御セットのためのＣＯＮＴＲＯＬメソッド３１５８は、２つのネゴシエーションプロセスが互いに通信するために用いるサービスの名前を特定し得、またネゴシエーションから得られるＵＲＴの作成を管理し得る。
【１０２９】
図７５Ｃに示すＰＥＲＣ３１５０によって特定されるネゴシエーションプロセスが実行されるときは、このプロセスには、ネゴシエーションのための基礎として用いられ得る入力としてＰＥＲＣ３１００、３１２５が配備され得る。この例では、ネゴシエーションプロセスのタイプ（信頼されたネゴシエーションまたは多ネゴシエーション）の選択は、ＶＤＥノードを実行することによって行われ得る。図７５Ｃに示すＰＥＲＣ　３１５０は、例えば、ユーザからの登録要求に応答してＲＥＳＩＳＴＥＲメソッドによって作成され得る。このＰＥＲＣ３１５０によって特定されるプロセスは、次にＲＥＳＩＳＴＥＲメソッドによって用いられ、これにより電子契約の条件のネゴシエーションが開始され得る。
【１０３０】
この例のネゴシエーションプロセスの間、図７５Ａおよび図７５Ｂに示すＰＥＲＣ　３１００、３１２５は、図７５Ｃに示すＰＥＲＣ　３１５０に基づいて作成された構成要素アセンブリによって比較される入力データ構造として働く。制御セットによって特定される構成要素アセンブリは、ネゴシエーションの進行と共に、組み立てられそして比較され、必要な「条件」から始まって、好適な／所望の「条件」に進み、次に許可された「条件」へと移動する。メソッドオプションの選択は、ＰＥＲＣ　３１００、３１２５に特定された所望のメソッドおよびメソッドオプションを用いて行われる。この例では、図７５Ａに示すＰＥＲＣ　３１００のための制御セットは、図７５Ｂに示すＰＥＲＣ　３１２５と比較され得る。「一致」するとネゴシエーションは成功裏に完了し、「結果」が生成される。
【１０３１】
この実施態様では、このようなネゴシエーションの結果は通常はＵＲＴとして書かれ、同意に達したことを示すためにネゴシエーションプロセスによって「署名」され得る。これらの電子署名は、（仮想の）「心の会合（ｍｅｅｔｉｎｇ　ｏｆ　ｍｉｎｄｓ）」に達した（契約が存在するための従来の法的前提条件の１つ）ことを示す手段を提供する。上記の例によって作成されたはずのＵＲＴ　３１６０の一例を図７５Ｄに示す。このＵＲＴ　３１６０（これ自体ＰＥＲＣ　８０８であり得る）は、ネゴシエーションで「同意された」「条件」を反映する制御セット３１６２を含む。この例では、「同意された」条件は、これらのＰＥＲＣによって必要とされる条件と「同じ位に有利」でなければならないという意味で、入力されたＰＥＲＣ　３１００、３１２５によって必要とされる条件と「一致」しなければならない。示されたネゴシエーション結果は、例えば、ある意味では図７５ＡのＰＥＲＣ　３１００の制御セット３１０２ａおよび図７５Ｂの制御セット３１３１ａに対応する「ネゴシエートされた」制御セット３１６２を含む。従って、得られる「ネゴシエートされた」制御セット３１６２は、必要とされるＡＵＤＩＴメソッド３１６６を含み、このメソッドは、制御セット３１２５の所望のＢＵＤＧＥＴメソッド３１４２に対応するが、制御セット３１００が必要とするＢＵＤＧＥＴメソッド３１１２によって許容される制御セット範囲「内」である必要なＢＵＤＧＥＴメソッド３１６４含む。同様に、得られるネゴシエートされた制御セット３１６２は、必要とされるＡＵＤＩＴメソッド３１６６を含み、このメソッドは、ＰＥＲＣ　３１００が必要とするＡＵＤＩＴメソッド３１１４およびＰＥＲＣ　３１２５が必要とするＡＵＤＩＴメソッド３１３５の両方の要件に従う。同様に、得られるネゴシエートされた制御セット３１６２は、必要とされるＢＩＬＬＩＮＧメソッド３１７０を含み、このメソッドは、ＰＥＲＣ　３１００が必要とするＢＩＬＬＩＮＧメソッド３１１６およびＰＥＲＣ３１２５が必要とするＢＩＬＬＩＮＧメソッド３１７０のそれぞれに「一致」するまたはこれに従う。
【１０３２】
別のクラスのネゴシエーションとして、規則は固定されず所望の目標のみが特定されるものがある。このタイプのネゴシエーションのためのネゴシエーションプロセスは非常に複雑となり得る。これは、人工頭脳、ファジー論理、および／または目標に到達するための関連アルゴリズムを利用し得る。ＶＤＥは、権利、制御情報、フィールドおよび目標を（所望の権利、制御情報およびフィールドの形態で）簡潔に特定するメカニズムを提供することによってこれらのタイプのプロセスをサポートする。これらのタイプのプロセスのための目標は、オプションの、許可された、または所望のエレメントと名付けられる特定のエレメントを含む１つ以上の制御セットとして特定され得る。
ネゴシエーションのタイプ
この好適な実施態様におけるネゴシエーションは以下のいずれかで構築され得る。
【１０３３】
１．共有知識
２．信頼されるネゴシエータ
３．「ゼロベース」の知識
「共有知識」ネゴシエーションは、ネゴシエーションに関係する規則および規制のすべてをすべてのパーティが知っていることに基づく。要請によるネゴシエーションは共有知識によるネゴシエーションの簡単な例である。要請者は、まとめて受け入れられるかまたは拒絶される要請リストを提示する。要請リストは、リストの各項目を受け入れるかまたは拒絶するために必要な完全な知識セットを備えている。ＶＤＥは、要請を符号化し、確実に通過させ、そしてＶＤＥ安全処理および通信能力を用いる安全なＶＤＥ下位システム間でおよびこれらにより確実に処理され得るメカニズムを提供することによって、このクラスのネゴシエーションが電子的に行われるのを可能にする。ＶＤＥによって用いられる別のタイプの共有知識によるネゴシエーションは、２つ以上のネゴシエーションパーティ間の情報の交換を含む。すなわち、ネゴシエーションプロセスは、所望の最終出費を個々のプロパティに基づいて個別に決定する。次にプロセスはこれらの間に相違があればこれをネゴシエートし得る。共有知識によるネゴシエーションは（要請タイプのネゴシエーションにおけるように）１つのネゴシエーションプロセスしか必要としないか、または２つ以上の協働プロセスを含み得る。図７６Ａおよび図７６Ｂは、共有知識によるネゴシエーションで２つのネゴシエーションプロセスが使用される場合のシナリオを示す。
【１０３４】
図７６Ａは、（例えば、異なるパーティによって供給される）ＰＥＲＣ　８０８をいくつでもネゴシエーションへの入力とする単一のネゴシエーションプロセス３１７２を示す。ネゴシエーションプロセス３１７２は、別のＰＥＲＣ（例えば図７５Ｃに示されるＰＥＲＣ　３１５０）によって供給され得る「ネゴシエーションプルセス規則および制御情報」の監督下でＶＤＥノードで実行される。プロセス３１７２は、ネゴシエーションの結果として１つ以上のＰＥＲＣ／ＵＲＴ　３１６０を生成する。
【１０３５】
図７６Ｂは、それぞれが１つのパーティからのＰＥＲＣ　８０８およびネゴシエーションプロセスを制御する別のＰＥＲＣ　３１５０を入力とし、またそれぞれがネゴシエートされた「結果」であるＰＥＲＣ／ＵＲＴ　３１６０を出力として生成する多数のネゴシエーションプロセス３１７２Ａ〜３１７２Ｎを示す。プロセス３１７２Ａ〜３１７２Ｎは、同じまたは異なるＶＤＥで実行し得、また「ネゴシエーションプロトコル」を用いて通信し得る。
【１０３６】
単一のおよび多数のネゴシエーションプロセスは特定のＶＤＥサイトのために使用され得る。ネゴシエーションプロセスは名称を持ち、周知のメソッド名を用いてアクセスすることができる。ＰＥＲＣおよびＵＲＴは、ネゴシエーションを制御する制御ＰＥＲＣおよびＲＥＧＩＳＴＥＲメソッドのように、サイトでの処理のために管理またはスマートオブジェクトにおいて遠隔ＶＤＥサイトに伝送され得る。
【１０３７】
多ネゴシエーションプロセスは、物理的に離れたＶＤＥサイトに存在する安全プロセス（安全下位システム）間の安全な通信を含む、これらのプロセス３１７２間で通信する能力を必要とする。ＶＤＥは、プロセス間通信を、構成により必要であれば使用され得る確実に提供されるサービスに一般化する。プロセス間通信はネゴシエーションプロトコルを用いて規則セットについての情報をプロセス３１７２間で交換する。ネゴシエーションプロトコルの１つの例は以下のネゴシエーション「原始関数」を含む。
【１０３８】
ＷＡＮＴ　　　　条件セットを望む
ＡＣＣＥＰＴ　　　条件セットを受け入れる
ＲＥＪＥＣＴ　　　条件セットを拒絶する
ＯＦＦＥＲ　　　　条件セットの代わりに他の条件セットを提案する
ＨＡＶＥ　　　　条件セットが可能であるかまたは望ましいと主張する
ＱＵＩＴ　　　　同意に達することなくネゴシエーションの終了を主張する
ＡＧＲＥＥＭＥＮＴ　　ネゴシエーションを終了し署名のために規則セットを通過させる
ＷＡＮＴ原始関数は、権利および制御セット（または制御セットの一部）の情報を取り出し、特定の条件が所望されるかまたは必要であることを他のプロセス３１７２に主張する。要請によるネゴシエーションは、ＷＡＮＴ原始関数が要請を主張するために用いられる簡単な例である。この例のプロトコルは、ＷＡＮＴ原始関数の洗練された形態であるＲＥＱＵＩＲＥを導入し得る。この例では、ＲＥＱＵＩＲＥは、１つのパーティが契約を形成するために必要であると決定する条件をそのパーティが設定するのを可能にする。一方、ＷＡＮＴは、所望であるが必須ではない条件をパーティが設定するのを可能にする。これにより、「持たなければならない」と「持ちたい」とが区分され得る。
【１０３９】
この例では、ＷＡＮＴ原始関数はいつでも、ＡＣＣＥＰＴ、ＲＥＪＥＣＴまたはＯＦＦＥＲ原始関数によって返答されなければならない。ＡＣＣＥＰＴ原始関数は、ネゴシエーションプロセス３１７２が条件セットを受け入れるのを可能にする。ＲＥＪＥＣＴ原始関数は、プロセス３１７２が提案された条件セットを拒絶することを可能にする。必要な条件セットを拒絶するとネゴシエーションは終了する。ＯＦＦＥＲは対案の提出を可能にする。
【１０４０】
ＨＡＶＥ、ＱＵＩＴおよびＡＧＲＥＥＭＥＮＴ原始関数は、ネゴシエーションプロトコルが規則セットについての情報を通過させるのを可能にする。共有知識によるネゴシエーションは、例えば、すべてのネゴシエーションプロセス３１７２Ａ〜３１７２Ｎが（私のＰＥＲＣを）ＨＡＶＥすることを他のプロセスに主張することで開始される。ＨＡＶＥはまた手詰まり状態になったときに使用され、一方のプロセス３１７２が他方のプロセス３１７２に許可されたオプションについて知らせる必要がある。ＱＵＩＴは、同意に達しないでネゴシエーションが不成功に終了することを示す。ＡＧＲＥＥＭＥＮＴは、同意が成功したことを示し、得られる「ネゴシエートされた」ＰＥＲＣ／ＵＲＴ　３１６０を署名のために他のプロセス３１７２に渡す。
【１０４１】
「信頼されたネゴシエータ」ネゴシエーションでは、すべてのパーティがそれぞれの要請および好みを「信頼された」ネゴシエータに提供し、ネゴシエータの決定に拘束されることに同意する。これは今日の社会での拘束力のある仲裁に類似する。ＶＤＥは、「信頼された」ネゴシエーションサービスが形成され得る環境を提供することによってこのネゴシエーションモードを可能にする。ＶＤＥは、要請、所望および制限を（例えばＰＥＲＣに）簡潔に特定し得るメカニズムだけではなく、ＰＥＲＣが、ネゴシエーションが如何に行われるかを特定する規則セットと共に「信頼された」ネゴシエーションサービスに確実に転送されるメカニズムを提供する。このネゴシエーションモードはまた、ネゴシエーションプロセスが不正改変されないように安全な実行環境を提供することによって可能となる。信頼されたネゴシエータサービスは、サイトの完全性が周知であるＶＤＥサイトで用いられ得る。信頼された遠隔ネゴシエーションサービスは、１つ以上のネゴシエーションプロセスを実行するのに十分な計算資源を所有しないＶＤＥサイトによって使用され得る。すなわち、このサービスを提供しこのサービスが代わってネゴシエーションを扱うのを可能にするＶＤＥサイトへの通信リンクを確立し得る。
【１０４２】
「ゼロベース」知識のよるネゴシエーションは、認証のために用いられるゼロベース知識プロトコルのいくつかの特徴を共有する。遠隔サイトが特定の項目の保持者であるかどうかをその項目が交換も曝露もされなくても決定し得るプロトコルを構築するメソッドは当該分野では十分理解される。このタイプのプロトコルは、制御セットをその知識ベースとして使用する少なくとも１つのＶＤＥサイトで作動する２つのネゴシエーションプロセス間で構築され得る。ネゴシエーションプロセスは、それらの制御セットについての情報を交換し得、それらの個別の規則セットを用いることに関しての要請および対案を作成し得る。例えば、ネゴシエーションプロセスＡはネゴシエーションプロセスＢと通信してある本を読む権利をネゴシエートする。ネゴシエーションプロセスＡは本を読む権利に対して＄１０．００を超えない金額を支払い、この権利に対して＄５．００から＄６．００の間の金額を支払うのが好ましいと特定する。プロセスＡの規則セットはまた、＄５．００オプションに対しては読者の氏名および住所の放出を認めると特定する。プロセスＢの規則セットは、その本を読む権利に対して＄５０．００の支払いを望み、ユーザが自分自身についての情報を放出することに同意するならば＄５．５０で本を提供すると特定する。ネゴシエーションは以下のように進み得る。
【１０４３】

上記の例では、プロセスＡは、制限または他の情報放出はなしに本を読む権利を所望すると特定する。この開始位置は、プロセスＡが規則として用いるＰＥＲＣの権利オプションとして特定される。プロセスＢはこの規則をチェックして、非制限の読む権利は実際には＄５０の価格で許可されると決定する。プロセスＢは、この条件が利用可能であるとプロセスＡに返答する。プロセスＡはこの返答を受け取り、プロセスＡが規則ベースとして用いるＰＥＲＣ内の制御セットに対してこれをチェックする。＄５０はこの規則セットに対して特定された＄１０の制限から外れるため、プロセスＡはこの提案を受け入れることはできない。プロセスＡは、非制限の読む権利を読者の名前および住所の放出と組み合わせた（別の選択可能権利オプションで述べたような）対案を作成する。名前および住所フィールドはプロセスＡのＰＥＲＣが参考とするＤＴＤに記述されている。プロセスＢはＰＥＲＣのその規則をチェックし、個人情報の放出と組み合わせた非制限の読む権利が許可されたオプションであると決定する。プロセスＢは、プロセスＡによって提供されるＤＴＤに記述されている放出される予定のフィールドを、それ事態のＰＥＲＣのＤＴＤの所望のフィールドと比較し、受け入れ可能な一致があったと決定する。プロセスＢは次に特定情報の放出を伴う非制限の権利を＄５．５０で許可する提案をプロセスＡに送る。プロセスＡは、権利、制約およびフィールドをその規則セットと比較し、＄５．５０がその規則セットに受け入れ可能であると記載されている＄５〜＄６の範囲内であると決定する。プロセスＡはこの提案をそのまま受け入れる。この提案は両パーティが、最終ネゴシエーションの結果（非制限権利、ユーザ情報の放出、＄５．５０）を記述する新しいＰＥＲＣに「署名」することによって封印される。新しいＰＥＲＣは、プロセスＡの所有者によって、記述された条件に従ってコンテンツ（本）サブジェクトを読むために利用され得る。
別の取り扱いモデルチェーン
図２に関連して述べたように、例えばコンテンツ配布のために使用されるＶＤＥ取り扱いおよび制御チェーンの１つの例では、ＶＤＥ　１００の４つの「参加者」事例がある。これらの参加者事例の第１はコンテンツ作成者１０２であり、出版者、作家、権利所有者、または消費者への配布のために情報を準備する著作権の配布者によって操作される。第２の参加者事例はＶＤＥ権利配布者１０６であり、権利を配布しまたＶＤＥ承認情報の消費者の使用を管理および分析し得る。第３の参加者事例はコンテンツユーザ１１２であり、ユーザが情報を使用するときユーザ（最終ユーザおよび配布者を含む）によって操作される。第４の参加者事例は金融情報交換所１１６であり、ＶＤＥ関連の情報交換所活動を可能にする。さらに別の参加者、ＶＤＥ管理者は、ＶＤＥ　１００を適切に作動させ続けるためのサポートを提供し得る。適切な承認およびインストールされた権利作動システム（Ｒｉｇｈｔｓ　Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）の構成要素により、いかなるＶＤＥ電子機器６００でもこれら参加者の役割のいずれかまたはすべてを演じることができる。
【１０４４】
著作権はＶＤＥ　１００にとって原料の１つの例である。この原料を最終商品に転換するために、出版者、作家または権利所有者は、ディジタル情報（電子ブック、データベース、コンピュータソフトウェアおよび映画など）を「オブジェクト」と呼ばれる保護されたディジタルパッケージに変換するツールを使用する。配布者１０６からパーミッションを受ける消費者（または再配布者などの所有チェーンに沿った他の者）のみがこれらのパッケージを開けることができる。ＶＤＥのパッケージ化されたコンテンツは、コンテンツ作成者１０２および／またはコンテンツ配布者１０６によって、またはコンテンツの配布通路の他のＶＤＥ参加者、すなわち、通常は、制約される参加者ではなくＶＤＥ安全パッケージの作成に「より近い」参加者によって提供される「規則および制御情報」によって束縛され得る。
【１０４５】
コンテンツが「オブジェクト」にパッケージ化されると、ディジタル配布プロセスが開始され得る。情報パッケージ自体は保護されているので、ＣＤ−ＲＯＭディスクでまたはコンピュータネットワークを介して自由に配布され得、もしくはケーブルを介してまたは放送波により放送され得る。保護されたパッケージの最終ユーザ間の非公式の「チャネル外」交換はコンテンツの所有権にとって危険とはならない。なぜなら、承認された個人のみがこれらのパッケージを使用し得るからである。実際には、このような「チャネル外」の配布は、マーケット浸透の限界原価メソッドとしていくつかのコンテンツ提供者によって奨励されている。使用の承認（例えば、一定のドル使用額を許すＶＩＳＡ情報交換所予費）を得ている消費者は、例えば隣人によって提供されるチャネル外のＶＤＥ保護パッケージのライセンスを自由に得ることができる。
【１０４６】
最終ユーザは、ＶＤＥパッケージを開けてそのコンテンツを利用するためにはパーミッションを得なければならない。配布者１０６はこのようなパーミッションを与えることができ、また（上位の制御情報によって許可される場合は）非常に柔軟にパッケージコンテンツを使用するメソッドに制限を加えるかさもなくばこれを特定することができる。配布者１０６および金融情報交換所１１６はまた、典型的には、金融責任を持つ（これらは、所望であれば、ある環境下では同じ組織であり得る）。これらは、最終ユーザからの必要な支払いがこれら自体のおよび他の参加者の要件を満たすことを確実にする。これは監査の使用によって実現される。
【１０４７】
ＶＤＥ　１００を使用する配布者１０６は、ソフトウェア出版者、データベース出版者、ケーブル、テレビおよびラジオ放送者、ならびに他の電子形態での情報配布者を含み得る。ＶＤＥ　１００は、放送または遠隔通信による、または電子記憶媒体の物理的な転送による配布を含む、すべての形態の電子配布をサポートする。また、パーミッション、制御メカニズムおよびコンテンツの個別の配送による多数の配布タイプからの情報を途切れなく統合する、均質な形態でのコンテンツの配送もサポートする。
【１０４８】
配布者１０６および金融情報交換所１１６はそれら自体が、それらの管理活動の安全な記録に基づいて監査され得、信頼性の高い「信頼された」プロセスチェーンにより、ディジタル配布プロセス全体の完全性が確実となる。これにより、コンテンツ所有者が、例えば、かれらが実際のコンテンツ使用または他の同意された基本に基づいて適切な補償を受けていることを検証することが可能となる。
【１０４９】
最終ユーザ１１２はこの例ではコンテンツの最終消費者であるため、ＶＤＥ　１００は、最終ユーザが受け取ったパーミッションの制限内にいる限り、保護されたコンテンツを途切れのない透明なメソッドで提供するように設計されている。最終ユーザ１１２の活動は、配布者１０６によって監査を行うことができるように計量され得る。監査プロセスはユーザのプライバシの懸念を満足させるようにフィルタリングおよび／または一般化され得る。例えば、計量され記録されたＶＤＥコンテンツおよび／または機器使用情報は、配布者１０６への報告の前にフィルタリングされ、これにより、コンテンツ使用者１１２および／またはその使用についての必要以上の情報が曝露されないようにし得る。
【１０５０】
ＶＤＥ　１００は、コンテンツ提供者に、それらの従来の配布戦略の重要な局面を電子形態に作成し直し、それらの個々の必要性および環境にとって適切な新しい配布メカニズムを革新的に構築する能力を与える。ＶＤＥ　１００は配布チェーン内の関連する参加者をサポートし、また所望の価格戦略、アクセスおよび再配布パーミッション、使用規則、ならびに関連する管理および分析手順を可能にする。ＶＤＥ　１００の再使用可能な機能的原始関数は、コンテンツ提供者によって柔軟に組み合わされて、それぞれの配布目的を反映させることができる。この結果、コンテンツ提供者は、情報を確立された配布チャネルの供給し、また自らの個人化された配布チャネルを作成することができる。
【１０５１】
仮想配布環境１００の様々な参加者の役割の概要を以下の表に示す。
【１０５２】
【表２７】

【１０５３】
これらの様々なＶＤＥ参加者の中で、「再配布者」、「ＶＤＥ管理者」、「独立した監査処理者」および「エージェント」は、ある面では、多くの「従来の」ビジネスモデルでは対応するもののない「新しい」参加者である。他のＶＤＥ参加者（すなわち、コンテンツ提供者、コンテンツ所有者、配布者、監査人、情報交換所、ネットワーク提供者および金融提供者）は、従来の配布モデルは多くの場合仮想配布環境１００内で果たすのと同じビジネス上の役割のいくつかを実行する非電子参加者を含むという意味で「従来の」なビジネスモデルの対応するものを有する。
【１０５４】
ＶＤＥ配布者１０６はまた、電子情報を他の最終ユーザに提供する「最終ユーザ」を含み得る。例えば、図７７は、本発明によって提供される仮想配布環境１００の取り扱いおよび制御チェーンの別の例を示す。図２に較べて、図７７は新しい「クライアント管理者」参加者７００を含む。さらに、図７７は、すべてがクライアント管理者７００の「管轄権」に依存し得る、いくつかの異なるコンテンツユーザ１１２（１）、１１２（２）、．．．、１１２（ｎ）を示す。クライアント管理者７００は、例えば、組織特異的な「規則および制御情報」に依存して、雇用者または他の組織参加者ユニット（課、部、ネットワークおよび／またはグループなど）に権利を配布する企業または他の組織内の別の権利配布者であり得る。クライエント管理者７００は、作成者１０２および／または配布者１０６によって特定される「規則および制御」に依存して、配布のための規則および制御情報を形成し得る。
【１０５５】
上述のように、ＶＤＥ管理者１１６ｂは、ＶＤＥ　１００をサポートし、これが適切に動作するように保持する信頼されたＶＤＥノードである。この例では、ＶＤＥ管理者１１６ｂは、とりわけ、以下のうちのいずれかまたはすべてを提供し得る。
【１０５６】
・ＶＤＥ機器初期化サービス
・ＶＤＥ機器再初期化／更新サービス
・鍵管理サービス
・「悪党」ＶＤＥサイトの「ホットリスト」
・証明書承認サービス
・公開鍵登録
・クライアント参加者ユニットコンテンツ予算および他の承認
ＶＤＥ　１００のすべての参加者は、いかなる役割にも参加する内在的な能力を有する。例えば、ユーザは、現在の保護されたパッケージを集め、自らのパッケージを加え（新しいコンテンツを作成し）、そして新しい商品を作成し得る。ユーザは自らの配布者として働くかまたはこの責任を他者に転付するかを選択し得る。これらの能力は、今日市場に入りつつあるオブジェクト志向のパラダイムでは特に重要である。複合オブジェクトの作成、オブジェクトの結合および埋め込み、ならびに他の多源プロセスにより、ＶＤＥのこれらの能力に対する必要性が生じている。ＶＤＥ　１００によって提供される配布プロセスは対称性がある。最終ユーザは、再配布を統制している配布チェーンＶＤＥ制御情報によって確立された規則からパーミッションを得てこれに従うならば、受け取った情報を他の最終ユーザに再配布し得る。また、最終ユーザは、同じ規則およびパーミッションの制約内で、他者に所有されるコンテンツを新しく発行された作品内に入れ込み、これらの作品を個別に配布し得る。新しい作品のためのロイヤリティの支払いは、出版者、配布者または最終ユーザによってアクセスされ、追跡され、チェーンのいずれかの段階で電子的に回収され得る。
【１０５７】
独立した金融提供者はＶＤＥ　１００で重要な役割を果たし得る。ＶＤＥ金融提供者の役割は、従来の配布シナリオにおいてＶＩＳＡなどの組織が果たす役割と類似している。いかなる配布モデルにおいても、商品またはサービスの使用に対する支払いを承認することおよび使用の一貫性および不規則性を監査することは重要である。ＶＤＥ　１００では、これらは独立した金融提供者によって満たされる役割である。独立した金融提供者はまた、監査サービスをコンテンツ提供者に提供し得る。従って、使用についての予算または制限および監査または使用の記録は、情報交換所１１６によって処理され得（そして情報交換所によって定位置に配置され得る）。情報交換所は次にユーザ１１２からの使用の支払いを回収し得る。いかなるＶＤＥユーザ１１２も、上位の制御情報によって許される程度までは、それらに代わって情報の処理またはサービスの実行を行う権利を与えられ得る。１つのＶＤＥ参加者が別のＶＤＥ参加者に代わって働くアレンジメントは「代理」と呼ばれる。監査、配布および他の重要な権利は、コンテンツ提供者によって許可されるならば、「代理」が立てられ得る。「代理」の１つの特別なタイプはＶＤＥ管理者１１６ｂである。ＶＤＥ管理者は、ＶＤＥ電子機器のためのＶＤＥ安全下位システム制御情報の一部またはすべてを管理する（例えば「介入」してリセットする）パーミッションを有する（金融情報交換所１１６としても働き得る）組織である。この管理権は、ＶＤＥ下部構造に新しい機器を認めること、および「潰された」さもなくば動作不能の機器を改修すること、およびＶＤＥを定期的に更新することのみに拡張され得る。
オブジェクトの作成、配布方法、予算、および監査の更なる説明
好適な実施形態におけるＶＤＥノード電子機器６００は、本発明によるオブジェクトの作成、配布、監査収集および使用制御機能を行う能力を有し得る。この範囲の能力を、好適な実施形態によって提供された多くの電子機器６００の各々に組み込むことが、インストレーションの統合において、安全な、信頼できる、仮想取引／配布管理環境を構成する、電子取引計量、制御、および課金に対する単一の（または卓越した）標準を作成するという一般的な目標にとって重要である。一般的に考えて、少なくとも汎用ＶＤＥノード電子機器６００において、ある種のキーとなる機能が概してまたは頻繁になくなるとすると、電子取引／配布管理用の広範囲なアプリケーションを満足させるために、様々な異なるプロダクトおよび異なる標準が出てくる。進化する「電子ハイウェイ」の逼迫した必要性に応答するために、ツールの単一の一貫したセットおよび単一の「合理的な」信頼できるセキュリティおよび商用配布環境を導入する必要はない。ある形態のビデオカセットプレーヤおよびケーブルテレビコンバータなどの、埋め込まれた専用ＶＤＥマイクロコントローラを組み込んだＶＤＥノードを含むある種の電子機器６００のある種の形態は、必ずしも完全なＶＤＥ能力を有していないことがあり得、また必要としないこともあり得る。しかし、好適な実施形態は、多くの分散され離散的に位置する電子機器６００を提供する。電子機器６００の各々は、オブジェクト著作能力に加えて、著作能力、配布、抽出、監査、および監査リダクション（ａｕｄｉｔ　ｒｅｄｕｃｔｉｏｎ）能力を有することが望ましい。
【１０５８】
好適な実施形態によって提供されるＶＤＥオブジェクト著作能力は、著者に、例えば、ＶＤＥオブジェクト３００に、メソッドを組み込むための様々なメニューを提供する。メニューは以下を含む、
●ＶＤＥオブジェクトのコンテンツ部分の使用がどのように制御されるべきかを規定する計量及び／又は課金メソッド用メニュー、
●ＶＤＥオブジェクトのユーザがそのオブジェクトから情報を抽出することを制限する及び／又は可能にする抽出メソッドに関連するメニューであって、このような情報を新しく作成された及び／又は予め存在するＶＤＥコンテンツコンテナ内に入れることを含み得るメニュー、
●監査メソッド、すなわち、ある種の監査情報が生成されて何らかの安全な様式でオブジェクトプロバイダ、オブジェクトクリエータ、管理者、及び／又は情報交換所に通信で戻されるべきかどうかを特定するメニュー、そして、
●オブジェクトがどのように配布されるかを制御するメソッドを配布するメニューであって、例えば、異なる参加者の配布権を、参加者がＶＤＥコンテンツコンテナ取り扱いのチェーンのどこに存在するかによって制御することを含むメソッドを配布するメニュー。
【１０５９】
著作能力はまた、管理予算、オブジェクト配布制御鍵、および監査制御鍵を配布者および、著者、配布者及び／又は自分たち自身のために配布及び／又は監査機能を果たすことを承認された他のＶＤＥ参加者に配布する手続きを含み得る。著作能力はまた、配布メソッド、監査メソッド、および監査リダクションメソッドを選択および配布する手続きを含み得る。上記メソッドは、例えば、配布者がＶＤＥチェーンの次のコンテンツ取り扱い参加者にオブジェクトを再配布するための予算を安全に書き込む及び／又は制御するメソッドを含む。
【１０６０】
著者により作成されたオブジェクト３００のコンテンツは、ＶＤＥ認識アプリケーションプログラムまたは非ＶＤＥ認識アプリケーションプログラムの援助を得て生成され得る。このようなプログラムとの組み合わせにより著者により作成されたオブジェクトのコンテンツは、テキスト、フォーマットされたテキスト、画像、動画像、音声、コンピュータソフトウェア、マルチメディア、電子ゲーム、電子トレーニングマテリアル、様々なタイプのファイルなどを、何らの制限もなく含み得る。著作プロセスは、著者によって生成されたコンテンツをオブジェクト内にカプセル化し、１以上の鍵でコンテンツを暗号化し、１以上のメソッドを追加することにより、ユーザ（及び／又は承認されたユーザのみ）によるオブジェクトの許可された使用並びに／又は上記使用に対して必要とされる監査及び／又は支払いのパラメータを規定し得る。著作プロセスはまた、オブジェクトを配布する局面のいくつかまたは全部を含み得る。
【１０６１】
一般に、好適な実施形態において、著者は、以下のことをし得る。
【１０６２】
Ａ．オブジェクト内にどのコンテンツを含むべきかを特定する。
【１０６３】
Ｂ．以下を含むコンテンツベースのメソッドを特定する。
【１０６４】
情報−−典型的には、コンテンツ及び／又は著者に関する、抽象的な、プロモーション用、識別用、予定作成用、及び／又は他の情報。
【１０６５】
コンテンツ−−例えば、ファイルリスト及び／又はコンテンツ、時間、変数などを含む他の情報リソース。
【１０６６】
Ｃ．制御情報（典型的には、変数を規定するいずれかのメソッドを含む、１以上の許可記録により互いに関連づけられるメソッドのひとまとまり）、および例えば以下を含む初期の承認されたユーザリストを特定する。
【１０６７】
アクセスおよび抽出に対する制御情報
配布に対する制御情報
監査処理に対する制御情報
ＶＤＥノードが、オブジェクトおよび関連する配布鍵情報を配布するための管理予算情報をオブジェクトプロバイダから受け取る場合、ＶＤＥノード電子機器６００は、例えば、オブジェクトプロバイダの代わりにオブジェクトを配布し得る。
【１０６８】
ＶＤＥノードが、いずれかの必要な管理予算、監査メソッド、および（例えば、監査追跡を復号化するために用いられる）監査鍵情報をオブジェクトプロバイダから受け取る場合、ＶＤＥノード電子機器６００は、オブジェクトプロバイダの代わりに監査記録を受け取り且つ処理し得る。監査能力を有するＶＤＥ電子機器６００は、監査リダクションメソッドの実行を制御し得る。好適な実施形態における「監査リダクション」は、オブジェクトプロバイダ（例えば、オブジェクトの取り扱いチェーン上のいずれかのオブジェクトプロバイダ）がオブジェクト配布者、オブジェクトクリエータ、クライアント管理者、及び／又は監査情報のいずれかの他のユーザに報告されると特定した監査記録及び／又はプロセスから情報を抽出するプロセスである。これは、例えば、ユーザがオブジェクトコンテンツを使用することに対する支払いをすることが必要とされ得る広告者を含み得る。１つの実施形態において、例えば、情報交換所は、予算、監査メソッド、及び／又は監査鍵情報を、ユーザサイトに位置するか、またはオブジェクトプロバイダサイトに位置するオブジェクト、またはオブジェクトのクラス若しくは他のグルーピングに「追加する」能力を有し得る。それにより、所望の監査プロセスが「信頼される」様式で行われることが保証される。ＶＤＥコンテンツコンテナ及び／又はコンテンツコンテナ制御情報オブジェクトを取り扱うチェーンの参加者は、オブジェクトコンテンツの使用に関連する使用監査情報を取り扱うチェーン内の別のパーティ（例えば、情報交換所、広告者、または市場調査及び／又は特定の顧客使用情報に関心を持つパーティ）の「プロキシ」として作用し得る。これは、上記他のパーティのために、予算、監査メソッド、及び／又は監査情報が集められ及び／又は適切な様式で上記追加のパーティに提供されることを保証するために必要であり得る鍵情報を特定すること、例えば、上記他のパーティにより提供される仕様情報を採用することにより行われ得る。
オブジェクト作成および初期制御ストラクチャ
ＶＤＥの好適な実施形態における、オブジェクト作成および制御ストラクチャ設計プロセスは、制御情報の基本的構成調整可能性（ｃｏｎｆｉｇｕｒａｂｉｌｉｌｔｙ）をサポートする。このことは、ＶＤＥ１００が、可能性のあるコンテンツタイプ、配布通路、使用制御情報、監査条件、およびユーザとユーザグループという完全な範囲をサポートすることを可能にする。好適な実施形態におけるＶＤＥオブジェクト作成は、原子エレメント（ａｔｏｍｉｃ　ｅｌｅｍｅｎｔ）が少なくとも部分的にモジュール制御プロセスを表すＶＤＥテンプレートを採用する。ユーザは、ＶＤＥ作成ソフトウェア（好適な実施形態においてはＧＵＩプログラミングプロセス）およびＶＤＥテンプレートを採用して、ＶＤＥオブジェクト３００を作成し得る。ＶＤＥオブジェクト３００の作成は、例えば、オブジェクトを分割し、「メタデータ」（例えば、著者の名前、作成日など）をオブジェクト内に入れ、オブジェクトに関連する権利及び／又はオブジェクトコンテンツを例えばパブリッシャ及び／又はコンテンツクリエータに割り当てることにより行われる。オブジェクトクリエータは、このプロセスを行うとき、通常必要なデータを要求するコンテンツ仕様手続きを行う。コンテンツ仕様プロセスは、満足されると、例えば、データをテンプレートに挿入してコンテンツをカプセル化することにより進行し得る。さらに、好適な実施形態において、オブジェクトはまたその存在をローカルＶＤＥノード電子機器６００の安全なサブシステムに自動的に登録し得る。そして、テンプレート命令と原子メソッド（ａｔｏｍｉｃ　ｍｅｔｈｏｄ）とのインタラクションの結果、１以上のメソッド、予算及び／又はその他のものを含み得る１以上の制御ストラクチャピースと共に、少なくとも１つの許可記録８０８が作成され得る。登録プロセスは、予算がオブジェクト用に作成されることを必要とし得る。オブジェクト作成プロセスが初期の配布を特定する場合、管理オブジェクトはまた、１以上の許可記録８０８、他の制御ストラクチャ、メソッド、及び／又はロードモジュールをも含み得る。
【１０６９】
許可記録８０８は、オブジェクトとユーザとの間の様々な制御関係を特定し得る。例えば、ＶＤＥ１００は、単一のアクセス（例えば、ユーザと権利ユーザとの間の１対１の関係）とグループアクセス（いずれの数の人間もグループとして承認され得る）との両方をサポートする。単一の許可記録８０８は、単一およびグループアクセスの両方を規定する。ＶＤＥ１００は、複数のユーザが単一の制御予算を予算として共有することを可能にするプロセスである「共有」を提供し得る。追加の制御ストラクチャという概念は、配布、再配布、および監査を含み、最後のものは、計量および予算情報の減少及び／又は移送をサポートする。これらのプロセスの全ては、通常１以上のＶＤＥの安全なサブシステムにより安全に制御される。
テンプレートおよびクラス
ＶＤＥテンプレート、クラス、およびフレキシブルな制御ストラクチャは、映画、オーディオレコーディングおよびライブパフォーマンス、雑誌、電話ベースの小売り、カタログ、コンピュータソフトウェア、情報データベース、マルチメディア、商用通信、広告、市場調査、インフォマーシャル、ゲーム、数的に制御されたマシン用のＣＡＤ／ＣＡＭサービスなどを作成、改変、販売、配布、再配布、消費、および使用する組織および個人のためのフレームワークをサポートする。これらのクラスを取り囲むコンテキストが変化または進化すると、本発明の好適な実施形態によって提供されるテンプレートが、より広い使用またはより集中したアクティビティのための、これらの変化に適合するように改変され得る。
【１０７０】
ＶＤＥ１００の著作は、３つのインプット、すなわち、テンプレート、ユーザインプット、およびオブジェクトコンテンツを作成プロセスに提供し得る。テンプレートは、ユーザ命令および提供されたコンテンツとインタラクトしてＶＤＥオブジェクトを作成するプロセス内において、ＶＤＥオブジェクトを作成（及び／又は改変）することができるオブジェクト制御ソフトウェア用の１セットの制御命令及び／又はデータとして作用する。テンプレートは通常、オブジェクト作成及び／又は制御ストラクチャと特に関連している。クラスは、部署の社員、特定のセキュリティクリアランスレベルなど、又は個人及び／又はＶＤＥノードの特別のケースのためのリストなどの、組織内の「自然な」グループを含み得るユーザグループを表す。
【１０７１】
例えば、テンプレートは、特定のストラクチャ及び／又はコンポーネントアセンブリを規定するテキストファイルとして表され得る。ストラクチャ及び／又はコンポーネントアセンブリを有するテンプレートは、ＶＤＥオブジェクト著作またはオブジェクト制御アプリケーションとして役立ち得る。作成テンプレートは、多くのサブテンプレートから構成され得、上記サブテンプレートは、最低のレベルにおいて、オブジェクト仕様の記述の「原子レベル」（ａｔｏｍｉｃ　ｌｅｖｅｌ）を表す。テンプレートは、コンテンツオブジェクトの様々な局面を記述する１以上のモデルと、オブジェクトがどのように作成されるべきかとを表し得る。オブジェクトがどのように作成されるべきかということは、許可記録８０８及び／又は関連する予算などを作成、変更、及び／又は破棄するために用いられる安全な原子メソッドを採用することを含む。
【１０７２】
テンプレート、クラス（グループアクセス下でオブジェクトを採用するユーザグループを含む）、およびオブジェクト「独立」許可記録（複数のオブジェクトに関連し得る許可）と別々のＶＤＥプロセスとしての予算および監査をサポートするストラクチャとを含むフレキシブルな制御ストラクチャは、特定の産業及び／又はビジネス及び／又はアプリケーションというコンテキストにおいて本発明により提供され著作に固有の、フレキシブルで構成調整可能な能力に焦点を当てることを補助する。ＶＤＥは、広範囲のパワフルな産業において現在採用されている配布シナリオを（部分的にはアプリケーションまたは産業に特異なテンプレートを用いることにより）合理化し且つ含む。従って、現存する産業及び／又はアプリケーション及び／又はビジネスが、コンテンツタイプ、配布方法、価格決定機構、コンテンツ及び／又は関連する管理アクティビティとユーザとのインタラクション、予算などに関連する馴染みの概念を操作することを可能にするために、動作及び／又はストラクチャのフレームワークを提供することが重要である。
【１０７３】
ＶＤＥテンプレート、クラス、および制御ストラクチャは、元来フレキシブルおよび構成調整可能に、情報配布および安全な格納条件の範囲を反映し、新しい産業が出現したときにそれに対する効率的な適用を可能にし、現存する産業及び／又はビジネスの進化及び／又は変化を反映し、さらにある許可並びに／又は予算およびオブジェクトタイプに関連し得る１以上のユーザグループをサポートする。ＶＤＥテンプレート、クラス、および基本的制御ストラクチャのフレキシビリティは、オブジェクト制御に対して複合的な条件付きプロセスインパクトを有する、ＶＤＥの統合および制御メソッドを使用することにより高められる。本発明は、一体的に採用され且つＶＤＥ管理オブジェクトとＶＤＥセキュリティ配置およびプロセスと共に採用された場合、ほとんどの商用配布の実施形態に合わせて構成され得るコンテンツ制御および監査アーキテクチャを真に達成する。従って本発明は、予め決められたアプリケーションモデルに適合するように強制することなく、コンテンツプロバイダの条件および好みを完全にサポートする。本発明は、コンテンツプロバイダが配布チャネルを介してコンテンツの権利、制御情報、および流れ（および監査情報の返却）を規定することを可能にする。
オブジェクトコンテンツの改変（追加、隠匿、改変、除去、及び／又は拡張）
オブジェクトに新しいコンテンツを追加することは、本発明により提供される著作の重要な局面である。プロバイダは、１以上のユーザが、プロバイダが提供するコンテンツを追加、隠匿、改変、除去、及び／又は拡張することを許可したいと望むことがあり得る。このようにして、他のユーザは、現存するコンテンツに価値を追加すること、新しい目的のために変更すること、維持すること、及び／又は他の変更を加えることを行い得る。空の及び／又は新規に作成されたオブジェクトにコンテンツを追加する能力もまた重要である。
【１０７４】
プロバイダは、コンテンツおよび付随する制御情報を提供するとき、上記コンテンツに対する追加、改変、隠匿、及び／又は消去を可能にする及び／又は制限する制御情報を追加することを選択し得る。この制御情報は、以下のことに関し得る。
【１０７５】
●追加、隠匿、改変、及び／又は消去され得るコンテンツの性質及び／又はロケーション、
●改変、隠匿、消去、及び／又は追加され得る、コンテンツの部分、
●追加、隠匿、及び／又は改変されたコンテンツの制御チェーン中及び／又ローカルな位置における、次のＶＤＥコンテナコンテンツ使用に対して必要とされる安全な制御情報、
●プロバイダが特定する告知及び／又はコンテンツ部分は、追加、隠匿、消去及び／又は改変されたコンテンツ、並びに／又は上記追加、隠匿、改変、及び／又は消去が起こったという事実を伴わなければならないという条件、
●コンテンツから除去、隠匿、及び／又は消去され得るコンテンツに関する制限及び／又は条件であって、コンテンツの追加、隠匿、改変、及び／又は消去の量及び／又は程度を含む、制限及び／又は条件の安全な管理、
●改変、隠匿、追加、及び／又は消去が起こったということ、及び／又は上記起こったことの性質をプロバイダに知らせるということ、そして、
●プロバイダコンテンツを改変、追加、隠匿、及び／又は消去することに関する他の制御情報。
【１０７６】
プロバイダは、他のユーザが制御された方法で現存するコンテンツに価値を加える及び／又は現存するコンテンツを維持する機会を確立するために、この制御情報を用い得る。例えば、ソフトウェア開発ツールのプロバイダは、自分達自身が提供したオブジェクトにコメント及び／又は類似のもの及び／又はコメントツールを追加することを可能にし得る。映画のプロバイダは、そのマテリアルにコメント及び／又はプロモーションマテリアルが追加されることを可能にし得る。マシーンツールの所有者にＣＡＤ／ＣＡＭ仕様を提供するプロバイダは、他のユーザが、仕様に関連する命令を含むオブジェクトを改変して、ユーザの装置に用いるために上記命令を改良及び／又は翻訳することを可能にし得る。データベースの所有者は、データベースのフレキシビリティ及び／又は維持を許可するために、他のユーザが、提供されたデータベースオブジェクトに記録を追加するか及び／又はデータベースオブジェクトから記録を除去することを可能にし得る。
【１０７７】
制御情報を導入する別の利点は、ユーザが新しい目的のためにコンテンツを変更することをプロバイダが可能にする機会である。プロバイダは、他のユーザが新しいセッティングにコンテンツを提供することを可能にする。
【１０７８】
この制御情報をコンテンツに添付するために、プロバイダは、コンテンツの追加、隠匿、改変及び／又は消去を支配するオブジェクト用のメソッドを提供され得、また許可されれば、上記メソッドを設計および実行し得る。このような１以上のメソッドの設計および実行は、ＰＰＥ６５０と組み合わされたＶＤＥソフトウェアツールを用いて行われ得る。プロバイダは、その後、オブジェクトにメソッドを添付するか、及び／又はメソッドを別途提供し得る。許可記録８０８は、他の制御情報と組み合わされた制御情報に関連する条件を含み得る。または、別の許可記録８０８が用いられ得る。
【１０７９】
コンテンツを追加または改変することの重要な一局面は、暗号化／復号化鍵及び／又は新しい又は変更されたコンテンツを安全化するための他の関連する局面の選択である。プロバイダは、これらのプロセスに関連するメソッド中で、暗号化／復号化鍵並びに／又は新しい及び／又は変更されたコンテンツを安全化するための他の関連する局面を作成及び／又は選択するために用いられるべき技術を特定し得る。例えば、プロバイダは、ひとまとまりの鍵、新しい鍵を生成する技術、鍵を生成するロードモジュールに対するリファレンス、コンテンツを安全化するプロトコル、及び／又は他の類似の情報を含み得る。
【１０８０】
別の重要な影響は、新しい鍵が作成及び／又は使用された場合、その新しい鍵の管理である。プロバイダは、このような鍵、およびいずれの鍵が用いられなければならないかというリファレンスがプロバイダに伝送されることを必要とし得る。または、プロバイダは、鍵及び／又は安全化戦略をプロバイダの知識及び／又は制御の範囲外にしておくことを許可し得る。プロバイダはまた、いくつかの鍵は伝送されなければならないが他の鍵はプロバイダの知識及び／又は制御の範囲外にしておくという中間的な立場を選択し得る。
【１０８１】
鍵の管理に関連する別の局面は、コンテンツの追加、隠匿、改変、及び／又は消去から生じるオブジェクトに関連する許可の管理である。プロバイダは、ＶＤＥの制御情報ユーザのチェーンが、ＶＤＥ管理コンテンツにアクセスすること及び／又はＶＤＥ管理コンテンツを操作することを許可することに関するＶＤＥ規則および制御情報、並びに／又は得られたオブジェクトに関連する規則および制御情報の一部または全部を得ることを許可することもあり得るし、しないこともあり得る。例えば、プロバイダは、第１のユーザがオブジェクト内の新しいコンテンツに対するアクセスを制御することを許可して、それによりコンテンツのその部分を用いたいと望む他のいずれのユーザもが第１のユーザから許可を受け取ることを必要とすることを可能にし得る。これにより、プロバイダの裁量によって、ユーザがオブジェクトにアクセスすることの許可をプロバイダから得る必要をなくすことがあり得るし、なくさないこともあり得る。
【１０８２】
追加、改変、隠匿、及び／又は消去に関連する鍵は、独立した許可記録または記録８０８に格納され得る。上記許可記録８０８は、プロバイダに配送され得、現存する許可記録と混合される可能性がある。または、新しいコンテンツプロバイダの制御下において単独のままにされる可能性もある。初期許可記録８０８の作成及びコンテンツ、並びに許可記録に関するいずれの制御情報もが、プロバイダによるアクティビティに関連するメソッドにより収集される。上記許可記録の次の改変及び／又は使用は、プロバイダのメソッド、ユーザの行為、またはその両方を含み得る。許可記録８０８を改変する及び／又は使用するユーザの能力は、少なくとも部分的に、プロバイダの許可記録に関連する上位の制御情報に依存する。
配布制御情報
広範囲でフレキシブルな商用取引環境を可能にするためには、プロバイダは、制御チェーン内での次のパーティの可能性を不当に制限することなく、配布プロセスに対する確実な制御情報を確立する能力を有するべきである。本発明により提供される配布制御情報は、フレキシブルな積極的制御を可能にする。いずれのプロバイダも、上位の制御情報によって必要とされる以外は、いずれかの特定の制御を含むことも、いずれかの特定の戦略を用いることも必要とされない。むしろ、本発明は、プロバイダが、包括的な制御コンポーネント（例えば、ＶＤＥアプリケーション内に含まれる及び／又はＶＤＥアプリケーションと直接コンパチブルである、プロバイダの特定の市場に適したコンポーネントのサブセットとして提供され得る）から選択して、与えられた取り扱い／制御チェーンに適したストラクチャを確立することを可能にする。プロバイダはまた、プロバイダの制御情報を他のユーザが改変することを可能にして制限する制御情報に対する制御情報を確立し得る。
【１０８３】
本発明により提供された管理システムは、管理「イベント」を生成する。これらの「イベント」は、システムまたはユーザのいずれかにより開始され、ＶＤＥ内で保護されている可能性があるプロセスに対応するアクティビティに対応する。これらのプロセスは、許可記録をコピーする、予算をコピーする、監査追跡記録を読む、メソッドをコピーする、予算を更新する、許可記録を更新する、メソッドを更新する、管理ファイルをバックアップする、管理ファイルを修復するなどのアクティビティを含む。いずれかのＶＤＥ記録の部分に対する情報の、読み出し、書き込み、改変、更新、処理、及び／又は消去は、管理イベントである。管理イベントは、１以上の記録の１以上の部分に対する１以上の上記アクティビティを行うプロセスを表し得る。
【１０８４】
ＶＤＥ電子機器６００が管理イベントに遭遇すると、そのイベントは、典型的には、ＶＤＥ　ＰＰＥ６５０と共に処理される。多くの場合、コンテンツへのアクセス及び／又はコンテンツの使用に一般に関連するイベントの場合のように、管理イベントは、コンテンツプロバイダ（例えば、コンテンツクリエータ、配布者、及び／又はクライアント管理者を含む）により、オブジェクト、オブジェクトのグループ及び／又はクラスに対して特定された制御の一局面として特定される。
【１０８５】
例えば、ユーザが、あるオブジェクトを、デスクトップコンピュータからノートブックコンピュータに使用する許可を配布してほしいという要求を開始した場合、生成される管理イベントの１つは、オブジェクトに対応する許可記録のコピーを作成することであり得る。この管理イベントがＲＯＳ６０２により検出されると、このタイプのイベント用のＥＶＥＮＴメソッドが存在し得る。ＥＶＥＮＴメソッドが存在する場合、ＥＶＥＮＴメソッドに関連する計量、課金、および予算もまたあり得る。計量、課金、および予算作成は、プロバイダが許可記録８０８をコピーすることを可能にし且つ制限することを許可し得る。
【１０８６】
例えば、制御プログラムを処理している間に、計量、課金、予算及び／又は監査記録が生成及び／又は更新され得る。上記監査記録は、管理イベントと上記イベントの処理を取り囲む環境に関する情報を記録し得る。例えば、監査記録は、イベントを開始したユーザ及び／又はシステムアクティビティに対するリファレンス、上記イベントの処理の成功または失敗、日付及び／又は時間、並びに／又は関連する情報を含み得る。
【１０８７】
デスクトップコンピュータとノートブックコンピュータとの両方を有するユーザの上記の例を参照すると、許可記録のプロバイダは、上記許可記録をコピーする計量器が処理される毎に監査記録を必要とすることがあり得る。監査記録は、プロバイダに、フレキシブルで構成調整可能な制御及び／又は記録環境のオプションを提供する。
【１０８８】
ある環境においては、プロバイダが、制御コンポーネントのいずれの局面が、改変、更新、及び／又は消去され得るかを制限することが望ましいことがあり得る。「原子エレメント規定」は、イベント（および従って制御プロセスが残っている場合はその残り）の適用性を、制御コンポーネントのうちのいくつかの「原子エレメント」に制限するために用いられ得る。例えば、許可記録８０８が図２６に示すフィールド上の「原子エレメント」に分解される場合、イベント処理チェーンは、原子エレメント規定内でこのフィールドのみを特定することにより、例えば、期限切れの日付／時間に関する情報の、ある回数の改変に制限され得る。別の実施例において、許可記録８０８は、制御セットに基づいて原子エレメントに分解され得る。本実施例において、イベントチェーンは、ある制御セットに作用するイベントに制限され得る。
【１０８９】
ある環境においては、プロバイダが、管理プロセスがどのように行われるかを制御することが望ましいことがあり得る。プロバイダは、安全なデータベース６１０内に格納された配布記録内に、例えば、与えられたイベントが与えられたメソッド及び／又は記録に関連してどのように処理されるべきかを制御および特定するコンポーネントアセンブリ６９０と共に用いられる情報を、含むことを選択し得る。例えば、プロバイダが、ユーザが許可記録８０８のコピーを取ることを許可したいと望む場合、プロバイダは内部で許可記録を変更したいと望んでいることがあり得る。例えば、上記のデスクトップコンピュータとノートブックコンピュータとを有するユーザにおいて、プロバイダは、ユーザが、デスクトップコンピュータ内に存在する情報に基づいてノートブックコンピュータを動作させるために必要な情報のコピーを取ることは許可するが、上記情報の更なるコピーがノートブックＶＤＥノードによりなされることは許可しないということがあり得る。本実施例において、上記の配布制御ストラクチャは、デスクトップコンピュータに存在し続けるが、ノートブックコンピュータに送られた動作用の情報は、ノートブックコンピュータからの配布を行うために必要な配布制御ストラクチャを欠く。同様に、配布制御ストラクチャが、あるコンテンツプロバイダにより、配布者であるコンテンツプロバイダに提供され得る。上記配布者において、制御ストラクチャは、許可記録の関連コピーと共にＶＤＥコンテンツコンテナオブジェクトからのコピーがある回数取られることは可能にする。しかし、配布者が作成したコピーを受け取ったエンドユーザが他のＶＤＥノードに配布するために更なるコピーを行うことを許可しないように、許可記録が（例えば、コンテンツプロバイダの仕様ごとに）変更される。
【１０９０】
上記の実施例は、１つの可能性のある場合の１つの特定のイベント（コピーすること）に焦点を当てたが、本発明によって考えられるいずれの制御関係の下においても、記録及び／又はメソッドに対する読み出し、書き込み、改変、更新、処理、及び／又は消去のために、同様のプロセスが用いられ得る。他の例は、予算のコピー、計量器のコピー、予算の更新、計量器の更新、監査追跡の圧縮などを含む。
カスタムメソッドの作成
本発明の好適な実施形態において、メソッドは「意のままに」作成され得るか、又は他のメソッドの名前を付けられ得る。これらの２つのモードは、ＶＤＥ配布プロセスのより高い構成調整可能性、フレキシビリティ、および積極的制御に寄与する。一般に、メソッドを作成することは、メソッドのデータ部分のための必要なアトリビュートまたはパラメータを特定すること、およびその後メソッドを「タイプする」ことを含む。タイピングプロセスは、典型的には、メソッドのいずれかのデータ部分を処理するために１以上のロードモジュールを選択することを含む。メソッド自体に加えて、メソッド作成のプロセスはまた、許可記録に含めるべきおよび許可記録の改変物であるメソッドオプションサブ記録、および配布された記録内の注釈（ｎｏｔａｔｉｏｎ）を生じ得る。メソッドの実行に必要な、いずれかの「標準」ロードモジュールに加えて、追加のロードモジュールおよびこれらのロードモジュールと共に用いられるデータが、許可されるならば特定され得る。これらのイベント処理ストラクチャ制御は、メソッドの配布を制御する。
【１０９１】
例えば、セキュリティ予算の場合を考える。典型的な予算の１つの形態は、ユーザを月ごとに１０メガバイトの復号化されたデータに制限することであり得る。ユーザは、関連するＶＤＥコンテンツコンテナオブジェクトを使用する権利をノートブックに移動（ｍｏｖｅ）させたいと望み得る。予算クリエータは、ノートブックを同一の量、オリジナルの量の半分、オブジェクトに割り当てられた、移動回数に基づいた量などに制限し得る。予算と関連する配布メソッド（または内部イベント処理ストラクチャ）は、予算クリエータが、含まれる方法論およびパラメータに関して決定を行うことを許可する。言うまでもなく、メソッドの再配布または正式な配布の際には、互いに異なる配布メソッドが必要となり得る。これらの選択を統合したものが、メソッドに関する許可記録内に格納される。
【１０９２】
予算記録の移動のために用いられるプロセスステップの一例は、以下のようなものであり得る。
【１０９３】
１）移動する予算をチェックする（例えば、許可された移動の回数を決定するために行われる）。
【１０９４】
２）新しい記録に静止フィールドをコピーする（例えば、負担として）。
【１０９５】
３）古い記録（オリジナルの予算）内でＤｅｃｒカウンタをデクリメントする。
【１０９６】
４）古い記録内でＥｎｃｕｍｂｒａｎｃｅカウンタをインクリメントする。
【１０９７】
５）配布記録を書き込む。
【１０９８】
６）新しい記録に配布イベントＩＤを書き込む。
【１０９９】
７）移動計量器をインクリメントする。
【１１００】
８）移動予算をデクリメントする。
【１１０１】
９）新しい記録内でＤｅｃｒカウンタをインクリメントする。
予算の作成
好適な実施形態において、予算を作成するために、ユーザは、グラフィカルユーザインターフェース予算配布アプリケーション（例えば、ＶＤＥテンプレートアプリケーション）を操作する。ユーザは、予算のタイプ、満期サイクル、監査などのいずれの必要なフィールドをも書き込む。予算は、ドル、ドイツマルク、円、及び／又は他のいずれの金銭またはコンテンツ測定スキーム及び／又は組織によっても特定され得る。好適な実施形態によるアプリケーションのアウトプットは、通常３つの基本的エレメント、すなわち、作成された各予算記録に対する安全なデータベース６１０の配布部分における注釈、実際の予算記録、および許可記録に含めるメソッドオプション記録を有する。ある環境においては、現存するメソッドオプションが用いられているため、予算プロセスは、メソッドオプションの作成を生じないことがあり得る。通常、このアウトプットの全体が、安全なデータベース６１０及び／又は１以上の管理オブジェクト内において格納により保護されている。
【１１０２】
これらは、好適な実施形態における予算配布アプリケーションのための２つの基本的動作モードである。第１の場合において、オペレータは、予算を特定する無制限の権限を有する。このタイプのアクティビティから生じる予算は、オペレータが権利を有する配布プロセスのいずれの局面をも制御するために自由に用いられ得る。上記権利は、使用のある局面を制限する量などの「セキュリティ」予算での使用を含む。例えば、オペレータが「普通の人」である場合、オペレータは、これらの予算を、パーソナルアカウンティングモデルまたはスケジュールに基づいてオブジェクトを自分自身で利用することを制御するために用い得る。オペレータがＶＩＳＡで承認された人である場合、得られた予算は、配布システム全体に広い影響を与え得る。核となる考えは、このモードが厳密にオペレータによって制御されるということである。
【１１０３】
動作の第２のモードは、「別名」予算を作成するために用いられる。これらの予算は、オペレータのシステム内にすでに存在する予算と連結される。オペレータが予算を扱うとき、別名予算上で負担を引き起こす。これらのタイプの予算が作成されると、アウトプットは、互いに連結された２つのメソッドオプションサブ記録、すなわち、名前予算用のメソッドオプションサブ記録と新しく作成された予算用のメソッドオプションサブ記録とを含む。多くの場合、別名予算は、予算クリエータが、許可記録の適切な必要メソッド記録内でメソッドオプションを改変することを承認される場合、オリジナルの予算の代わりに用いられる。
【１１０４】
例えば、会社のユーザ（クライアント管理者）が電子機器６００内に会社のＶＩＳＡ予算を有すると仮定する。ユーザは、様々な既存の予算および条件を有する社内ユーザのネットワークに予算を配布したいと望む。ユーザはまた、会社のＶＩＳＡ予算の使用を、ある種のオブジェクトに制限したいと望む。これを行うため、ユーザは、ある会社の予算にＶＩＳＡ予算という別名を付ける。その後ユーザは、会社がユーザに操作を許可する全てのオブジェクトに対する許可記録を（もし承認されていれば）改変して、ＶＩＳＡ予算に加えて又はＶＩＳＡ予算の代わりに会社の予算を認識するようにする。次いで、ユーザは、他のユーザに新しい許可記録と予算とを配布する。これらのユーザからの監査データが、その後、会社のＶＩＳＡ予算に対する負担に対して削減されて、それにより定期的な課金が行われる。
【１１０５】
別の実施例においては、顧客が、家族がＶＩＳＡカードで電子機器を購入することを制御したいと望み、子供たちが過剰な数のビデオゲームで遊ぶことを防止するが、他方では百科事典の使用は無制限に許可したいと望む。この場合、顧客は、２つの予算を作成し得る。第１の予算は、ＶＩＳＡカードに別名を付けられ、百科事典オブジェクト（個々の百科事典オブジェクト及び／又は百科事典オブジェクトの１以上のクラスとして参照符号をつけられる）のみに用いられ得る。上記百科事典オブジェクトは、明確に改変された許可記録内で別名予算を参照する。第２の予算は、例えば、顧客がビデオゲームオブジェクト（ビデオゲームクラス）に使用するために家族に再配布する時間予算であり得る。この場合、第２の予算は、例えば、１日２時間の使用を許可する「自己補充型」セキュリティ／制御予算である。第１の予算は、上記の例と同一の様式で動作する。第２の予算は、ビデオゲーム用の許可記録に新しく必要となったメソッドとして追加される。時間予算はビデオゲームにアクセスするために必要であるため、第２の予算を必要とする効果的な制御路が導入される。すなわち、家族予算を容認するために改変された許可記録のみが、子供達によってビデオゲームのために用いられ得、１日２時間に制限される。
権利および予算の共有および配布
移動
好適な実施形態によって提供されるＶＤＥの「移動」という概念は、権利および予算の「友好的共有」というケースをカバーする。「移動」の典型的なケースは、いくつかのマシンを所有し１を越えるマシン上で同一のオブジェクトを用いたいと望むユーザである。例えば、ユーザはデスクトップコンピュータとノートブックコンピュータとを所有している。これらは、ユーザがいずれのマシン上でも読みたいと望む、すなわちユーザが一方のマシンから他方のマシンへ権利を移動したいと望む電子新聞を購読している。
【１１０６】
「移動」内の重要な概念は、独立した行為という考えである。権利が移動される先の電子機器６００は、独立して配布者または情報交換所にコンタクトし得る。例えば、上記のユーザは、長期間の旅行にノートブックを持っていき、デスクトップにローカルに接続することなく情報交換所および配布者にコンタクトしたいと望むことがあり得る。
【１１０７】
独立した動作をサポートするために、ユーザは、接続に使用している電子機器６００とは独立した配布者または情報交換所で、アカウントを規定する。取引は、エンドユーザと情報交換所または配布者との間で、複数のマシン間で独立してトレース可能であり調停可能である。マシン間での権利、予算、およびビットマップまたは組み合わせ計量器の移動の、基本的な動作もまた、サポートされる。
【１１０８】
再配布
再配布は、「移動」の「友好的な共有」と正式な再配布との間のＵＤＥ中間グラウンドを形成する。再配布は、クリエータ、情報交換所、または配布者および再配布者間に特別なインタラクションを必要としないという意味で、「匿名配布」と考えられ得る。言うまでもなく、クリエータまたは配布者は、再配布を制限する能力も妨害する能力も有していない。
【１１０９】
「移動」概念とは異なり、再配布は、独立した動作を示唆しない。再配布者は、再配布された権利及び／又は予算などを受け取るユーザに対する１接点として寄与する。これらのユーザは、再配布者の情報交換所（または及び／又は配布者）アカウントを知らないし、それに対するアクセスも有していない。再配布者は、配布者及び／又は情報交換所からの制限により特に拒絶されない限り、自分自身が再配布する権利及び／又は予算などの監査役として寄与する。再配布先（再配布された権利及び／又は予算などの受け手）が比較的定量化できないワークロードを情報交換所に課しており、さらに再配布者が自分自身で監査可能なリスクを負っている（再配布される全ての権利及び／又は予算などの責任を負っている）ため、再配布者による、再配布先の権利および予算などの監査は、好適な実施形態ではデフォルトケースと考えられる。
【１１１０】
配布
配布は、３つのエンティティを含む。クリエータが通常、配布の源である。クリエータは典型的には、制御ストラクチャ「コンテキスト」を設定し、配布ネットワークに送られる権利を制御し得る。配布者は、オブジェクト（コンテンツ）のエンドユーザとオブジェクト（コンテンツ）のクリエータとの間のリンクを形成するユーザである。配布者は、権利および監査データのための双方向コンジットを提供する。情報交換所は、クレジット及び／又は課金サービスなどの独立した金融サービスを提供し得、配布者及び／又はクリエータとして寄与し得る。許可および予算作成プロセスを介して、これらのパーティは共に、権利の使用及び／又は監査アクティビティのタイプと程度とに対する精密な制御を確立し得る。
【１１１１】
負担
「負担」は特別なタイプのＶＤＥ予算である。いずれかのタイプの予算配布が起こると、「負担」が生成され得る。負担は、権利行使（例えば、使用に対する支払い）目的のオリジナルの予算と区別できないが、負担の額、および負担の場所を追跡するための送出記録を完成させるために必要な全情報に関して配布記録内で独自の様式で識別される。権利行使目的のためには、負担は、オリジナルの予算と同一であるが、追跡目的のためには、独自の様式で識別可能である。
【１１１２】
本発明の好適な実施形態において、負担を追跡して調停するために、非対称な監査の場合であっても、ユーザＶＤＥノードと情報交換所とにより、配布イベントＩＤが用いられる。すなわち、「新しい」負担予算は、追跡の観点からみると独自的であるが、使用の観点からみると区別できない。
【１１１３】
回収不能な負担は、ＶＤＥ配布プロセスにとって良好な中間制御である。負担が回収されなければならない、適切な「グレースピリオド」が導入され得る。この期間が過ぎると、実際の課金または支払いが起こり得る。しかし、インターバルの期間が切れて課金及び／又は支払いがなされた後でも、負担は残り得、後の調停をサポートし得る。この場合、監査役が、ユーザがクレジットを獲得することを許可するか、又はユーザが、負担のかかった予算を含むＶＤＥノードに接続して金額を内部クレジットとして回収し得る。場合によっては、負担が「グレースピリオド」内に回収されない場合、グレースピリオド違反が繰り返された場合、または回収されない負担が過剰に多い場合は、失われた監査追跡が再配布の特権を無効にするために十分なほど配布者を懸念させ得る。
【１１１４】
負担は様々な配布モードにおいて用いられ得る。予算に別名を付すことと共に用いられた場合、負担は、重要な追加の配布可能性を提供する。予算に別名を付す場合、ユーザは、オブジェクトの制御通路に自分自身を置く。すなわち、別名を付された予算は、それを認識するために改変された許可記録と共にのみ用いられ得る。負担は、そのような制限を有していない。
【１１１５】
例えば、ユーザは、子供たちが電子ＶＤＥノードのＶＩＳＡ予算を用いることを制限したいと望むことがあり得る。この場合、ユーザは、子供たちの、家族の別名を付した予算用のＶＩＳＡ予算上に負担を生成し、オリジナルのＶＩＳＡ予算の透明な負担である、別の負担を妻用に生成し得る。ＢｉｇＣｏは、部署のトップにＶＩＳＡ予算を配布し、別名の付されたＢｉｇＣｏ予算をユーザに直接配布する、同様の機構を用い得る。
【１１１６】
アカウントナンバおよびユーザＩＤ
好適な実施形態において、情報交換所へのアクセスを制御するために、ユーザは情報交換所においてアカウントナンバを割り当てられる。アカウントナンバは、安全なデータベース記録に対して、外部者の観点から独自の「インスタンス」価値を提供する。電子機器６００サイトの観点からみると、ユーザ、グループ、またはグループ／ユーザＩＤは記録の独自のインスタンスを提供する。例えば、ＶＩＳＡの観点からみると、あなたのゴールドカードは、アカウントナンバ１２３４５６７８９に属する。電子機器サイト（例えば企業におけるサーバ）の観点からみると、ゴールドカードはユーザＩＤ１０２３に属し得る。ＶＤＥノードを用いている複数のユーザ及び／又はユーザグループを有する組織において、このようなユーザ及び／又はユーザグループも同様に独自のユーザＩＤを割り当てられる可能性が高い。異なる予算及び／又は他のユーザ権利は、異なるユーザ及び／又はユーザグループに割り当てられ得、そして／又は、ＶＤＥ制御情報は、このような異なるＩＤを割り当てられたユーザにより、異なる様式で電子コンテンツ及び／又は機器使用に与えられ得る。言うまでもなく、情報交換所とローカルサイトとの両方が、両方の情報を有している可能性があるが、「使用されたデータ」対「コメントデータ」は視点に基づいて異なる。
【１１１７】
「移動」の好適な実施形態のケースにおいて、権利と共に格納されたアカウントナンバはそのままである。配布の他の形態の好適な実施形態においては、配布先に新しいアカウントナンバが必要とされる。これは、システムにより自動的に生成され得るか、または配布者または再配布者により開発された方法に対応している。配布者は、アカウントナンバ（および関連するアクセスシークレット）を各配布先のローカル名前サービス内に維持している。逆に、配布先の名前サービスは、各配布者のユーザＩＤに基づいてアカウントナンバを格納し得る。この記録は通常、移動の場合、他の記録と共に移動されるか、他の形態の配布中に生成される。
【１１１８】
組織（家族を含む）は、新しいユーザまたはユーザグループ用の制御情報（例えば、予算）を作成するときに、独自のユーザＩＤを自動的に割り当て得る。
【１１１９】
条件記録
ＶＤＥコンテンツコンテナオブジェクトに対する１以上の必要な許可記録が受け取られる前に上記オブジェクトに関連する権利を行使するための条件および可能性のあるオプションを確立するために、上記オブジェクトのプライベートヘッダ内に条件記録が存在し得る。この記録は、ユーザが、自分自身が何を有しているか、および接続を行う前に配布者から何を必要とするかを確立することを補助する。特定の権利を行使するための条件または可能性が、上記オブジェクトが公になってから変化した場合、改変された条件記録がコンテナ内にオブジェクト（入手可能であり許可されれば）と共に含まれ得るか、または登録が開始される前に配布者から新しい条件記録が要求され得る。配布者は、自分自身が権利を獲得する及び／又は他のユーザに権利を与える能力を有し得るオブジェクトに対応する、条件記録のコレクション及び／又は記述的情報の「カタログ」をオンライン上に維持するか、及び／又はユーザに配布し得る。
【１１２０】
監査の通過
ＶＤＥの好適な実施形態において、少なくとも２つのタイプの監査があり得る。予算配布の場合、一般に予算の消費を反映する課金記録が収集および処理される必要がある。許可配布の場合、オブジェクトに関連する使用データもまた頻繁に必要とされる。
【１１２１】
オブジェクトに対する制御を発効させるため、クリエータはオブジェクトに関連する基本的制御情報を確立し得る。このことは、許可の形成、様々なセキュリティの配布、管理及び／又は金融面での予算、および許可された再配布のレベルなどにおいて行われる。配布者（および再配布者）はさらに、配布者が受け取った権利、予算など（上位制御情報）の範囲内でこのプロセスを制御し得る。
【１１２２】
例えば、オブジェクトクリエータは、追加の必要メソッドが、許可記録に自由に追加され、このアクティビティに対して何らの予算も確立せず、この権利の無制限な再配布を許可し得るということを特定し得る。別の例として、クリエータは、使用権が、配布者によって６人のサブ配布者に移動されることを許可し得る。上記サブ配布者の各々は、１０，０００部のコピーを配布し得るが、再配布の権利がサブ配布者（再配布者）の顧客に割り当てられることは許可されない。別の例として、クリエータは、使用権が僅か１０のＶＤＥノードに１レベルのみの配布（再配布なし）で移動されることを承認し得る。コンテンツプロバイダおよび制御情報の他のコントリビュータは、許可記録及び／又はコンポーネントアセンブリの使用を介して、他のユーザが送られた許可記録内で代理人として行使することを承認された権利を、制御する能力を有する。上記能力は、他のユーザのこのような権利の１つ、いくつか、または全部を制御する権利が許可されるか制限される（制御情報配布モデルに依存して）限りにおいて存在する。配布者が次のユーザのある種の権利を制御することを制限され他の権利を制御することを許可されるという混合モデルを、ＶＤＥを用いて構築することが可能であり、望ましいことがしばしばある。いくつかのＶＤＥモデルにおける権利配布のＶＤＥ制御は、部分的に又は全体的に、少なくとも配布チェーンのある１以上の「レベル」については、電子コンテンツ制御情報プロバイダによって制御される。上記電子コンテンツ制御情報プロバイダは、関連するコンテンツのプロバイダではないか、または上記コンテンツ制御情報により制御されるコンテンツの一部分のみを提供するかである。例えば、あるモデルにおいては、情報交換所はまた、ある価値チェーンの参加者に１以上の権利を提供する権利配布エージェントとして寄与し得る。上記１以上の権利は、情報交換所のクレジットを用いる１以上の権利に「添付」され得る。（上記情報交換所が少なくとも部分的に金融情報交換所である場合、このような制御情報プロバイダは、これに代えてまたはこれに加えて他のユーザの権利を反映し得る。）
コンテンツクリエータまたは他のコンテンツ制御情報プロバイダは、ユーザ（配布者など）の予算を作成し得る。これにより、コンテンツオブジェクト用の無制限な数の許可記録が作成されるが、ユーザが時間内の１以上の予期された時点、及び／又はある期間の後に使用を報告しない（監査レポートを提供しない）場合（及び／又はユーザが使用に対する支払いをしない場合、またはユーザとコンテンツプロバイダとの間の契約の他の局面に違反した場合）は、期限切れ／終了プロセスを介してこの権利及び／又は他の重要な使用権が取り消される。この終了（または一時停止または他の特定された結果）は、例えば、制御情報の１以上の局面を暗号化するために採用された時間エージング暗号化鍵の期限切れにより実施される。この同一の終了（または予算削減、価格上昇、ユーザのスクリーン上でのメッセージ表示、管理者へのメッセージなどの、他の特定された結果）もまた、ユーザまたはユーザＶＤＥインストレーションが監視されたプロセスを完了しなかった結果であり得る。上記監視されたプロセスとは、使用に対する電子通貨での支払い、重要な格納された情報（例えば、コンテンツ及び／又は機器使用情報、制御情報など）のバックアップを取ることができないこと、適切なパスワードまたは他の識別子などを用いないことを繰り返すこと）を含む。
【１１２３】
一般に、ある監査役に報告するために収集された監査情報のコレクションは、期限切れ及び／又は他の終了プロセスにより実施され得る。例えば、ユーザのＶＤＥノードは、（ａ）外部ソースからあるタスクをもう行わないようにと命令されるか、（ｂ）あるタスクをもう行っていないことを知らせる情報をその制御ストラクチャ内に保持しているか、または（ｃ）あるタスクをもう行うことができないかのいずれかである。あるタスクとは、ユーザ（またはインストレーション）が上記監査情報を上記監査役に報告しなかったこと並びに／又は上記監査情報の安全な受け取り確認及び／又は了承を受け取らなかったことによる、１以上の動作開始オペレーションを含み得る。監査役がユーザから監査情報を受け取ることができなかった場合（または他の起こるべきイベントが適切に起こらなかった場合）、例えば本発明の１つの実施形態のセキュリティコンポーネントとして用いられている１以上の時間エージングの鍵がそのエージングを突然加速（完了）し、それによって上記時間エージングの鍵に関する１以上のプロセスがもはや実行され得ないということになり得る。
承認アクセスタグおよび改変アクセスタグ
ユーザＶＤＥインストレーションが監査情報を、情報交換所などのＶＤＥ監査パーティに送ることを可能にするために、ＶＤＥは、ＶＤＥ監査パーティが安全に電子的にユーザＶＤＥインストレーションと通信し且つ、上記監査パーティの権利に応じて、上記インストレーションの安全なサブシステム内に格納されているある種の又は全ての情報に関して上記インストレーションに質問をすることを可能にする。（上記パーティは通常、上記パーティが明確にアクセスを承認されていない、安全に格納された情報にはアクセスすることができない。１つのコンテンツプロバイダは通常、異なるコンテンツプロバイダによって提供されたコンテンツに関連するコンテンツ使用情報にアクセスすることを承認されない。）監査パーティは、上記サブシステムにより維持されるある種の情報にアクセスする、監査役の権利のセットを表す、安全なシークレット（例えば、シークレットタグ）を明確に示す。上記サブシステムが、上記タグの有効性を検査した場合、監査パーティは、要求して受け取ることを許可された監査情報を受け取り得る。
【１１２４】
監査追跡条件の実施には大きなフレキシビリティがある。例えば、クリエータ（又はオブジェクトまたは監査レポートの取り扱いチェーン内の、他のコンテンツプロバイダまたは制御情報プロバイダまたは監査役）は、イベント追跡用の監査役による変更を許可するが、クリエータ以外の誰もがそれらの追跡を読むことを許可せず、この権利の再配布を例えば６レベルに制限するということがあり得る。これに代えて、クリエータまたは他の制御パーティは、配布者に例えば１００，０００の監査記録を処理する権利（及び／又は、例えば与えられたユーザからの１２の監査記録を処理する権利）を、その使用を報告する前に、配布者に与え得る。クリエータまたは他の制御パーティは、望めば、監査情報を含む別々の（および異なる、サブセット形態の、重複した、または同一の情報を含む）監査「パケット」を許可（及び／又は要求）し得る。上記監査情報のある部分は、配布者によって処理されるべきものであり、上記監査情報の他の部分は、クリエータ及び／又は他の監査役（各々が同一の、重複した、サブセット形態の、または異なる監査情報を受け取る）に戻されるべきものである。同様に、例えばオブジェクトクリエータによって許可される限り、配布者（または他のコンテンツ及び／又は制御情報プロバイダ）は、監査情報が、例えば約５０，０００の監査記録が処理された後（または他のいずれかの数の監査記録、及び／又はある時間が経った後に、及び／又は予め決められたある日付に）、再配布者によって、元に返却されることを必要とし得る。好適な実施形態において、監査規則は、他の制御ストラクチャ同様、上記規則を特定する権利がより「上位」のオブジェクト及び／又は制御情報を配布する（監査するなど）参加者により制限されていない限り、取り扱いの配布チェーンのいずれかの段階で特定され得る。
【１１２５】
異なる監査役に予定されている監査情報は、異なる１以上の暗号化鍵により暗号化され得る。上記暗号化鍵は、各監査役のＶＤＥノードにより安全に提供されてユーザの許可記録に含めるために、例えばオブジェクト登録中に必要なステップとして通信される。これは、監査役が承認された監査情報のみにアクセスし得ることをさらに保証するために追加の（パスワード及び／又は他の識別情報および他のＶＤＥセキュリティ特徴を越えた）セキュリティを提供する。一実施形態において、監査情報の暗号化された（及び／又は暗号化されていない）「パケット」（例えば、管理オブジェクトという形態にある）は、異なる監査役に向けられ得る。上記異なる監査役は、情報交換所及び／又は他のコンテンツプロバイダ及び／又は他の監査情報ユーザ（例えば、市場アナリスト及び／又はリストプロバイダを含む）を含む。情報は、ＶＤＥ監査制御ストラクチャおよびパラメータにより特定されるように、例えば、単一の取り扱いユーザのチェーンを介して、情報交換所から再配布者、さらに配布者からパブリッシャ／オブジェクトクリエータまで、うまく送られ得る。これに代えて、暗号化された（または通常あまり好適ではないが暗号化されていない）監査パケットは、ユーザから複数の監査役に直接分散されることが必要とされ得る。上記監査役の一部は、他の監査役に監査パケットを「パスする」責任を有する。別の実施形態において、監査情報は、例えば、情報交換所に送られ得る。その後、情報交換所は、上記情報（及び／又はいくらかの処理された結果）の全て及び／又は適切なサブセットを１以上の他のパーティに再配布し得る。上記再配布は、上記情報交換所によって作成されたＶＤＥの安全なオブジェクトを用いて行われる。
【１１２６】
監査役（監査情報の受け手）の重要な機能は、監査情報が受け取られ及び／又は「認識された」ことを認めた上で、管理イベントをユーザＶＤＥノードに戻すことである。好適な実施形態において、監査情報の受け取り及び／又は容認に続いて、２つのプロセスが行われ得る。第１のイベントは、監査レポートを準備したＶＤＥノードの監査データを消去させるか、または１以上のサマリーバリューに圧縮または追加する。第２のイベントまたはイベントセットは、上記ＶＤＥノードの関係するセキュリティ（例えば終了及び／又は他の結果）の制御情報に、監査の受け取りを「告知」し、満期日を改変し、鍵更新及び／又はその他のことを提供する。ほとんどの場合、これらのイベントは、監査追跡が受け取られた後すぐにサイトに送られる。場合によっては、この伝送は、例えば、まず監査追跡及び／又はユーザによる監査役又は他のパーティへの支払いの処理を可能にするために遅延され得る。
【１１２７】
好適な実施形態において、コンテンツオブジェクト用の監査イベントと別々に配布されたメソッド／コンポーネントアセンブリとは類似であるが、必ずしも同一ではない。例えば、予算のための鍵更新は、オブジェクトコンテンツの復号化よりもむしろ課金追跡の暗号化を制御し得る。予算のための課金追跡は全ての点で、メソッドイベント追跡である。一実施形態において、この追跡は、情報交換所による調停を可能にするために、負担の配布記録に対する十分なリファレンスを含み得る。これは、例えば、グレースピリオドが過ぎて、期限切れの負担がクリエータに「返却」された場合に、予算のクリエータが、未回収の負担が最終的に自動クレジットを生み出すことを許可すれば、起こる。
【１１２８】
取り扱い通路を介した監査記録の配送は、部分的に、逆（情報の返却）監査メソッドにより保証され得る。多くのＶＤＥメソッドは、少なくとも２つのピース、すなわち、ユーザのＶＤＥノードにおいて監査情報を生成するプロセスを管理する部分と、その後監査データに作用する部分とを有する。複数の監査役に割り当てられた監査情報を取り扱う一実施例において、単一のコンテナオブジェクトが、情報交換所（又は他の監査役）に受け取られる。このコンテナは、（ａ）情報交換所自体が使用する、ある種の暗号化された監査情報、および（ｂ）１以上の他の監査役パーティに向けられた、ある種の他の暗号化された監査情報を含み得る。２つの情報セットは、同一の、重複した、および部分的に異なる、又は完全に異なる情報コンテンツを有し得る。これに代えて、情報交換所のＶＤＥノードは、提供された監査情報の一部または全部で仕事をすることができることがあり得る。監査情報は、部分的に又は全体的に、情報交換所で更に処理された、ある種の要約及び／又は分析された形態にあり得る。そして／又は、上記監査情報は、他の情報と組み合わされて、引き出された情報セットまたは少なくともその一部を形成し、そして１以上の少なくとも部分的に安全なＶＤＥオブジェクトに挿入されて上記１以上の（更なる）監査パーティと通信されることがあり得る。監査情報コンテナが上記情報交換所のＶＤＥノードにおいて上記逆（返却）監査メソッドにより安全に処理されると、情報交換所のＶＤＥノードは、監査情報を他の監査役に安全に運搬し且つ上記情報交換所によって使用されることが特定された安全な監査情報を別途処理する、１以上のＶＤＥ管理オブジェクトを作成し得る。ＶＤＥ参加者間の安全な監査処理およびクレジット情報配布は、通常、安全なＶＤＥ「ブラックボックス」内で起こる。すなわち、監査情報は、安全なＶＤＥ　ＰＰＥ６５０内で処理が安全に行われ、監査情報は、ＶＤＥ参加者のＶＤＥの安全なサブシステム間で、ＶＤＥの安全な通信技術（例えば、公的な鍵暗号化および認証）を用いて安全に通信される。
【１１２９】
このタイプの逆監査メソッドは、例えば監査情報のローカルな処理及び／又は監査情報の１以上の監査パーティへの安全な送付を含む、返却された監査情報の取り扱いを特定し得る。必要とされ得るように、及び許可記録仕様及び／又は改変プロセス中に、１以上の他の監査パーティ及び／又はコンテンツプロバイダ及び／又は制御情報プロバイダにより設定されていることがあり得る基準に応じて、監査情報が１以上の監査パーティに送られない場合、例えば、監査パーティ、例えばコンテンツプロバイダが必要とされる監査情報がうまく移送されたことを知らせることに失敗すると、その結果、パーティのＶＤＥノードを介した送信の多少の性能がなくなり得る（例えば、上記監査又はパーティに関連するオブジェクトに関する、ある１以上のＶＤＥ管理ビジネス機能を更に行う能力がなくなり得る）。この好適な実施形態においては、オブジェクトが監査役に受け取られると、オブジェクトは自動的に登録され、許可記録のコンテンツが監査役のＶＤＥノードの安全な管理データベースに入れられる。
【１１３０】
監査レポートオブジェクトの作成および使用を管理する（そしてオブジェクトの使用の他の局面もまた管理し得る）１以上の許可記録が、監査情報レポート交換（又は、ユーザと監査役または監査エージェントとの間の他の電子インタラクション）中に、ユーザのシステムにより受け取られ得る。受け取られた許可記録の各々は、次の監査レポートオブジェクトを支配し得る。監査情報の報告後、次の監査レポートサイクル用の監査レポート作成および監査情報移送を管理する能力をリフレッシュするために、新しい許可記録がユーザのＶＤＥノードで必要とされ得る。上記の実施例において、監査レポートの目的で監査役が１以上の許可記録をユーザに供給することを可能にすることは、監査役（情報交換所など）がある種の特定された許可記録自体を「上流の」監査役（例えば、コンテンツ及び／又は他のコンテンツ制御情報プロバイダなど）から受け取っていることを必要とし得る。これらの上流の許可記録により提供された情報は、監査役のＶＤＥ（例えば情報交換所）インストレーションにおいて、１以上の許可記録に一体化され得る。上記インストレーションは、監査情報レポート交換中に、ユーザに向けられた許可記録を含む管理オブジェクトを生成する許可記録作成サイクルを管理する。上流の監査役が必要とされる監査情報を受け取れない場合及び／又は処理できない場合、この上流の監査役は、情報交換所（本実施例の場合）に、与えられた１以上のオブジェクト（またはオブジェクトクラス）用の次の許可記録作成／監査サイクルを配布者がサポートすることを可能にする、必要な許可記録情報を提供することができないことがあり得る。その結果、情報交換所のＶＤＥノードは、ユーザ用の次のサイクルの許可を記録生成すること及び／又は何らかの他の重要なプロセスを行うことができないことがあり得る。このＶＤＥ監査レポート制御プロセスは、全体的に、意図された監査情報の受け手と送り手との両方におけるイベント駆動型ＶＤＥアクティビティを含み、安全なＰＰＥ６５０と安全なＶＤＥ通信技術との両方を採用する、電子プロセス管理である。
【１１３１】
好適な実施形態において、ユーザが新しいオブジェクトをユーザ自身のＶＤＥノード、及び／又はこれに代えて遠隔の情報交換所及び／又は配布者のＶＤＥノードに登録する毎に、１以上の許可記録が少なくとも部分的に上記オブジェクトの使用を支配するために提供される。許可記録は、安全なＵＤＥ登録プロセス中にダイナミックに（ＶＤＥインストレーションの安全なサブシステムを用いて）提供され得るか、及び／又は初期登録後に提供されて、それに続く何らかの時点で、例えば、１以上の別々の安全なＶＤＥ通信を介して、受け取られることがあり得る。上記安全な通信は、例えば、上記情報を含む又は運搬する物理的配置を含む。１以上の許可記録をユーザに提供することに関連する少なくとも１つのプロセスは、計量イベントを引き起こし得る。計量イベントの結果、監査情報が、ユーザのＶＤＥノード、情報交換所、及び／又は配布者の許可記録提供プロセスを反映して作成される。この計量プロセスは、１以上の許可記録が作成されたことを記録するのみでないことがあり得る。計量プロセスはまた、ＶＤＥノードの名前、ユーザネーム、関連するオブジェクト識別情報、時間、日付、及び／又は他の識別情報をも記録し得る。この情報の一部または全部は、情報交換所または配布者により、例えば、監査コンテンツクリエータ及び／又は他のコンテンツプロバイダに安全に報告された監査情報の一部となり得る。この情報は、受け取る監査役のサイトにおいて、上記情報交換所または配布者により上記監査役に送られたユーザの監査情報に対して、安全なＶＤＥアプリケーションソフトウェアにより調停され得る。ある種の１以上のＶＤＥオブジェクトを管理し及び／又はＶＤＥオブジェクト監査レポートの作成を管理するために、あるユーザ（及び／又はＶＤＥノード）のために作成された、計量された１以上の許可記録（または記録セット）の各々について、監査役が、少なくとも部分的に暗号化された監査レポートに組み込まれた、対応する監査情報を受け取ることが望ましいことがあり得る。許可記録の作成の計量、安全な暗号化された監査情報の報告プロセス、登録及び／又は受け取られた監査レポート詳細を含む監査報告許可の作成を反映する計量情報の、安全なＶＤＥサブシステムによる調停、および１以上の安全なＶＤＥインストレーション期限切れ及び／又は他の終了及び／又は他の結果プロセスは、組み合わせられると、信頼できる、効率的な商用環境としての、ＶＤＥの安全な監査報告プロセスの完全性を高める。
安全な文書管理例
安全な文書管理環境を提供するために、ＶＤＥ１００が使用され得る。以下は、いかにしてこれが達成され得るかのいくつかの例である。
【１１３２】
１つの実施例において、法律事務所が文書を管理するためにＶＤＥ１００を用いることを望んでいるとする。この実施例において、訴訟チームの一部である法律事務所は、以下の様式でＶＤＥを用い得る。
【１１３３】
１．秘匿なクライアント記録へのアクセス及び／又は上記クライアント記録の他の使用を安全に制御する様式。
【１１３４】
２．法律事務所で作成された文書および覚書へのアクセス、上記文書および覚書の配布、及び／又は上記文書および覚書に関する他の権利を安全に制御する様式。
【１１３５】
３．事件に関連する調査資料へのアクセスおよび上記調査資料の他の使用を安全に制御する様式。
【１１３６】
４．事件に関連する記録、文書およびメモへのアクセス、および上記記録、文書およびメモの、配布を含む、他の使用を安全に制御する様式。
【１１３７】
５．コメントおよび検討用に配布された法的文書（ｂｒｉｅｆ）を訴訟チームの他の法律事務所がどのように使用し得るか及び変更し得るかを安全に制御する様式。
【１１３８】
６．クライアントへの請求の管理を補助する様式。
【１１３９】
法律事務所はまた、裁判所に法的文書を電子的に提出するために（裁判所もＶＤＥを使用可能であると考えて）ＶＤＥを用い得る。この使用は、提出者のＩＤ（例えば、ディジタル署名）の監査の検証および上記提出手続に関連する他の情報を含む。
【１１４０】
本実施例において、法律事務所は、ＶＤＥコンテンツコンテナ内に、クライアントの、ＶＤＥにインストールされた安全なサブシステムから文書を受け取る。これに代えて又はこれに加えて、法律事務所は、スキャンされて電子形態にされ得る紙媒体の文書を受け取ってもよいし、及び／又はＶＤＥコンテナ内にまだ入れられていない電子文書を受け取ってもよい。電子形態の文書は、特定のクライアント及び／又は事件に関連するＶＤＥコンテナ（オブジェクト）として格納される。ＶＤＥコンテナ機構は、コンテナ内でファイルおよび他の情報を系統立てるための階層命令スキームをサポートする。この機構は、コンテナ内で文書の電子コピーを系統立てるために用いられ得る。ＶＤＥコンテナは、コンテナに関連する１以上のパーミッション制御（ＰＥＲＣ）情報セットに記述された特定のアクセス制御情報および権利に関連する。本実施例において、法律事務所の所員のうち、ＶＤＥインスタンス、適切なＰＥＲＣ、および所望の文書を含むＶＤＥオブジェクトを有する所員のみが文書を用い得る。これに代えて又はこれに加えて、法律事務所の所員は、法律事務所のネットワークサーバにインストールされているＶＤＥインスタンスを用い得る。この場合、所員は、（サーバＶＤＥインストレーションを用いるためには）適切なＰＥＲＣにより識別され且つＶＤＥオブジェクトを含む文書へのアクセスを有していなければならない。電子文書に対する基本的なアクセス制御は、１以上のユーザＶＤＥにインストールされた安全なサブシステムを用いることにより可能になる。
【１１４１】
ＶＤＥは、いくつかの方法で基本的使用制御を提供するために用いられ得る。第１に、単一のオブジェクト内に複数のコンテナを「埋め込む」ことを許可する。埋め込まれたオブジェクトは、コンテナ内の制御ストラクチャを「ネスティング」することを許可する。ＶＤＥはまた、使用制御情報を、任意の細分性レベル（従来のオペレーティングシステムにより提供されるファイルベースのレベルではなく）にまで拡張し、ＶＤＥ制御されたプロセスとして記述され得る情報に関連するいずれのアクションに関するフレキシブルな制御情報をも提供する。例えば、簡単な制御情報は、文書の１以上の部分を見ることに関連し得、追加の制御情報は、これらの同一の文書の同一の及び／又は１以上の異なる部分を編集、印刷およびコピーすることに関連し得る。
【１１４２】
本実施例において、「クライアント」コンテナは、クライアントにより提供された全ての文書を含む（他のコンテナ内に受け取られた文書は、ＶＤＥ抽出埋め込み能力を用いて安全に抽出されてＶＤＥクライアントコンテナに埋め込まれ得る）。本実施例中の各文書は、ペアレントであるクライアントＶＤＥコンテナ内にオブジェクトとして格納される。「クライアント」コンテナはまた、内部に埋め込まれた他のいくつかのオブジェクトを有する。そのうちの１つは各弁護士がクライアントに関するメモを格納するためであり、１つ（またはそれ以上）は、調査結果および関連情報用であり、そして少なくとも１つは、法律事務所によって作成されたレター、ワークペーパーおよび法的文書の副本用である。クライアントコンテナはまた、課金、時間、決算および支払いの電子記録を含む、クライアントに関する他の情報を含み得る。ペアレントＶＤＥコンテンツコンテナ内にＶＤＥオブジェクトを埋め込むことは、類似の制御情報を共有する異なる情報を安全に類別及び／又は格納するための便利な方法を提供する。クライアントにより提供された全ての文書は、例えば、使用および非開示に関する同一の制御ストラクチャに供され得る。弁護士のメモは、制御情報に供され、例えばその使用は、メモを作成した弁護士と作成した弁護士がアクセス権を明確に許可した弁護士とに限られ得る。埋め込まれたコンテナはまた、異なる情報の集まりを制御するための便利な機構を提供する。例えば、調査オブジェクトは、オブジェクトによってなされる調査の結果を含むＶＤＥ「スマートオブジェクト」という（またはそれから由来した）形態で格納され得る。ＶＤＥにより与えられたＬＥＸＩＳサイトから検索された、事件の一局面に関する調査結果は、１つのスマートオブジェクトとしてカプセル化され得る。事件の別の（または同一の）局面に関連する別のセッションの結果は、異なるオブジェクトとしてカプセル化され得る。本実施例において、スマートオブジェクトは、完全に離散し且つ別々に配送された制御情報が、プロバイダ（コンテンツの所有者など）の権利を行使するために望まれ及び／又は必要とされるクライアントコンテナに組み込まれ得るということを示すことを補助するために用いられる。
【１１４３】
制御ストラクチャは、いずれの所望の細分性及び／又は論理的文書コンテンツの、文書、ページ、段落、トピックの面で関連する資料などによるグルーピングをも管理するために用いられ得る。本実施例において、以下のように仮定する。クライアントにより提供された文書はページレベルで制御され、弁護士のメモは弁護士別に文書レベルで制御され、裁判所の記録および法的文書は、文書レベルで制御され、調査情報は、調査が行われたときにコンテンツのプロバイダが特定する何らかののレベルで制御される。上記の様々なコンテンツ内に位置するある種の非常に秘匿性の高い情報は、表示およびリードパートナーである弁護士による追加コメントのためのみのサブジェクトとして識別され、与えられたコンテンツのクリエータ及び／又は埋め込み者のみが他の方法による使用（印刷、抽出、配布など）を行う権利を有する。
【１１４４】
概して、本実施例におけるコンテナのコンテンツは、権利の配布に関して制御される。この制御情報は、内部で作成された全ての文書に関しては文書レベルで、クライアントレベルの文書に関してはページレベルで、そして調査文書に関してはコンテンツプロバイダにより特定されたレベルで関連づけられる。
【１１４５】
ＶＤＥ制御情報は、参加者の要望に応じて、複雑なストラクチャまたは単純なストラクチャのいずれかで構成され得る。ある場合には、ＶＤＥクリエータが、使用したいと望む（そして規則および制御情報の仕様を管理するＶＤＥアプリケーションにより、直接、またはアプリケーションとコンパチブルであることが証明されたＶＤＥコンポーネントアセンブリを介してサポートされている）一連の制御ストラクチャ定義を適用する。
【１１４６】
本実施例において、法律事務所は、新規クライアントに対して、事件を引き受けた時点で、標準ＶＤＥクライアントコンテンツコンテナをセットアップする。法律事務所のＶＤＥ管理者は、新規クライアント用のＶＤＥグループを設立し、その事件に関して作業をすることを承認された法律事務所の弁護士のＶＤＥ　ＩＤを加え、且つ適切であれば、１以上のユーザテンプレートアプリケーションを提供する。これらのテンプレートは、例えば、（上位制御情報により許可されれば）追加の及び／または代わりの制御機能のユーザによる選択、制御パラメータデータのエントリ、及び／またはユーザが特定する管理タスクの実行のための１以上のユーザインターフェースおよび関連するストラクチャを提供する。管理者は、コンテナを作成するために予め規定された作成テンプレートに沿って作成ツールを用いる。この作成テンプレートは、上記の文書の使用形態（配布制御情報を含む）を特定する。次いで、クライアントからの各電子文書（レター、覚書、Ｅメール、スプレッドシートなど）が別途埋め込まれたオブジェクトとしてコンテナに追加される。新しいオブジェクトの各々は、与えられたタイプの新しいオブジェクトの各々にとって必要とされるコンテナに対して特定されたデフォルト制御ストラクチャを満足する作成テンプレートを用いて作成される。
【１１４７】
各弁護士は、事件に関する作業を行う際に、クライアントのＶＤＥコンテナ内に格納されたオブジェクトにメモをエンターし得る。これらのメモは、すでに法律事務所で用いられている、ＶＤＥ認識ワードプロセッサを用いて取られ得る。本実施例において、ＶＤＥリディレクタは、ワードプロセッサファイルの要求を、１以上のＶＤＥ　ＰＰＥで動作するＶＤＥ制御プロセスを用いて、ＶＤＥコンテナおよびそのオブジェクトに安全にマッピングする。弁護士のメモのオブジェクトは、文書タイプがコンテンツから自動的に決定され得ない場合は、弁護士の援助を得て文書タイプ用のデフォルト作成テンプレートを用いて作成される。これにより、ＶＤＥが、予め決められたレベル、例えば文書、ページ、段落レベルで、メモを自動的に検出および保護することが可能になる。
【１１４８】
調査は、ＶＤＥを用いて自動的に管理され得る。スマートオブジェクトは、安全なサーチを行い、必要であれば、インフォーメーションハイウェイ上のＶＤＥイネーブルド情報リソースから情報に対して支払いを行い且つ情報を検索するために用いられ得る。
【１１４９】
このようなリソースの例は、ＬＥＸＩＳ、Ｗｅｓｔｌａｗ、および他の法律関係のデータベースを含み得る。情報は、一旦検索されれば、ＶＤＥコンテンツクライアントコンテナ内に安全に埋め込まれ得る。スマートオブジェクトがまだ、未放出の情報を含んでいる場合、スマートオブジェクト全体がクライアントのＶＤＥコンテナ内に埋め込まれ得る。このことは、未放出の情報を二重のＶＤＥ制御条件下、すなわち、スマートオブジェクトからの情報（支払い及び／又は監査に関する必要条件）を放出することに関する必要条件下、および特定のタイプのクライアント情報へのアクセスまたは上記クライアントの情報の他の使用に関連する必要条件下に置く。
【１１５０】
法的文書および他のファイリングは、弁護士のメモに類似の様式で制御され得る。ファイリングは、法律事務所の標準のワードプロセッサを用いて、編集され得る。この編集は、使用制御ストラクチャが誰が文書（またはより高度な例においては、文書のある部分）を検討し、変更し、及び／又は追加を行い得るかを制御する状態で行われる。ＶＤＥはまた、時間／日付のスタンプを押すことおよびファイルされた文書の有効性検査のための信頼できるソースを提供することにより法的文書の電子ファイリングをサポートし得る。
【１１５１】
クライアントおよび弁護士が電子メールまたは他の手段で秘匿情報を交換したいと望むとき、ＶＤＥは、情報が、特権により守秘が許可され（ｐｒｉｖｉｌｅｇｅｄ）且つ適切に制御され、不適に放出される及び／又は用いられることがないことを保証する上で重要な役割を果たし得る。ＶＤＥコンテンツコンテナオブジェクト内に格納されたマテリアル（コンテンツ）は通常暗号化される。このようにラップされた状態において、ＶＤＥオブジェクトは、承認されないアクセス及び／又は他の使用が行われるおそれなく、受け手に配布される。オブジェクトを受け取った１人以上の承認されたユーザが、そのオブジェクトを開いて見る及び／又はそのコンテンツを操作及び／又は改変し得る唯一のパーティであり、ＶＤＥの安全な監査は、全てのこのようなユーザコンテンツのアクティビティの記録を保証する。ＶＤＥはまた、必要であれば、例えば、ユーザの使用監査情報を管理者が検討した後に、クライアントと弁護士との間の、特権により守秘が許可された情報を用いる権利を取り消すことを許可する。
大組織の例
より一般的な例において、広い地域に亘って数千〜数十万人の従業員および多数の事務所をかかえる組織（例えば、企業または政府の官庁）が、その組織（または協会）に属する情報の配布を制御することを望んでいるとする。この情報は、公式文書、電子メールメッセージ、テキストファイル、マルチメディアファイルなどの形態をとり得、これらを総合して「ドキュメント」と呼ぶ。
【１１５２】
このようなドキュメントは、人間（「ユーザ」と呼ぶ）及び／又はユーザの代わりに動作するコンピュータにより取り扱われ得る。ドキュメントは、格納および伝送用の電子形態と手動取り扱い用の書類形態との両方で存在し得る。
【１１５３】
これらのドキュメントは、全体的に組織から発される場合もあるし、全体もしくは一部が組織外から受け取られた情報から作成される場合もある。組織内の承認された人は、ドキュメントの全体または一部を、組織外のエンティティに放出することを選択し得る。このようなエンティティのなかには、ドキュメント制御のためにＶＤＥ１００を採用し得るものも、し得ないものもある。
ドキュメント制御ポリシー
組織は全体として、ドキュメントへのアクセス制御及び／又はドキュメントの他の使用制御に関する十分に定義されたポリシーを有し得る。このポリシーは、情報の流れの「格子モデル」に基づき得る。情報の流れにおいて、ドキュメントは１以上の階層「分類」セキュリティアトリビュート９９０３と０以上の非階層「コンパートメント」セキュリティアトリビュートとを有するとして特徴づけられ、これら全てが共にセンシティビティセキュリティアトリビュートを構成する。
【１１５４】
分類アトリビュートは、ドキュメントのセンシティビティの全体的なレベルを、順序がつけられたセットのエレメントとして指定し得る。例えば、政府関係においては「アンクラシファイド」「コンフィデンシャル」「シークレット」「トップシークレット」というセットが適切であり得、企業関係においては、「パブリック」「インターナル」「コンフィデンシャル」「レジスタードコンフィデンシャル」というセットが適切であり得る。
【１１５５】
コンパートメントアトリビュートは、部署のサブディビジョン（例えば、「調査」「開発」「マーケティング」）などの、組織内の１以上の特定のアクティビティ、または組織内の特定のプロジェクトの、ドキュメントとの関係を指定し得る。
【１１５６】
電子機器６００を用いる各人は、承認されたユーザにより、これらのドキュメントまたはあるドキュメントタイプの１以上の部分を指定するための、１セットの許可されたセンシティビティアトリビュートを割り当てられる。上記文書又は部分は、その人の電子機器によって１以上の方法で処理され得る。ドキュメントのセンシティビティアトリビュートは、アクセス可能となるためには、許可されたセンシティビティ値のユーザセットに属していなければならない。
【１１５７】
さらに、組織は、ユーザがある規定された責任を有する特定のドキュメントに関しては、ユーザが制御することを許可することを望み得る。例えば、ユーザ（作成ユーザ（ｏｒｉｇｉｎａｔｉｎｇ　ｕｓｅｒ））があるドキュメントに対して「作成者により制御された」（「ＯＲＣＯＮ」）制約をつけたいと望むことがあり得る。上記制約は、例えば、ドキュメントが、そのユーザが指定する特定の他のユーザのみによって（しかもある明確に承認された方法によってのみ）伝送および使用され得るようにつけられる。ドキュメントの作成の後、特に誰かが承認された受け手のオリジナルリスト以外の受け手に作成ユーザからドキュメントを伝送することを要求した場合に、「配布リスト」が改変され得るならば、このような制約はフレキシブルであり得る。発信ユーザは、特定のユーザ、規定されたユーザグループ、規定された地域、特定の組織的役割内で行動することを承認されたユーザ、またはこのようなアトリビュートのいずれか若しくは全てのみに対する配布を許可したいと望むことがあり得る。
【１１５８】
本実施例において、組織はまた、ドキュメントへのアクセスは上記のように制限されるがドキュメント内の情報の一部または全体が受け手による更なる制約なしに抽出および再配布され得るというような、より弱い配布制約をユーザが規定することを許可したいと望むことがあり得る。
【１１５９】
組織及び／又は発信ユーザは、ドキュメントがどのような使用のために、またはいずれの地域に配布されているかを知りたいことがあり得る。組織は、ある種の保護アトリビュートを有するドキュメントがどこに配布されているかを、例えば、サイトコンフィギュレーション記録及び／又はネームサービス記録に格納された地理的情報に基づいて、知りたいと望むことがあり得る。
【１１６０】
ユーザは、配布されたドキュメントに対する「リターンレシート」を要求したいと望むことがあり得、またはドキュメントが受け手によりどのように取り扱われているか（例えば見られているのか、印刷されているのか、編集されているのか、及び／又は格納されているのか）を、例えば、そのドキュメントに関連するＰＥＲＣ内の１以上の監査必要条件（または監査必要条件を有することが知られているメソッド）を特定することにより、知りたいと望むことがあり得る。
ユーザ環境
上述したような組織（または協会）において、ユーザはドキュメントを処理および管理するための様々な電子機器６００を利用し得る。これは、ネットワークに接続された又はされていないパーソナルコンピュータ、パワフルシングルユーザワークステーション、およびサーバまたはメインフレームコンピュータを含み得る。本実施例に記載する制御情報に対するサポートを提供するために、ＶＤＥ保護ドキュメントの使用および管理に参加している各電子機器が、ＳＰＥ５０３及び／又はＨＰＥ６５５をサポートする、ＶＤＥの安全なサブシステムにより向上され得る。
【１１６１】
安全な動作に関する脅威が比較的低いいくつかの組織においては、ＨＰＥ６５５で十分であり得る。他の組織（例えば政府の安全保障機関）においては、ＶＤＥ保護ドキュメントが処理される全ての状況においてＳＰＥ５０３を採用する必要があり得る。向上した環境および技術の選択は、異なる組織においては異なる。異なる必要条件を満たすために異なるタイプのＰＰＥ６５０が組織内で用いられている場合であっても、それらは互いにコンパチブルであり得、同一のタイプ（または同一のタイプのサブセット）のドキュメント上で動作し得る。
【１１６２】
ユーザは、ＶＤＥ保護ドキュメントを扱うためにＶＤＥと協同して動作するようにカスタマイズされたアプリケーションプログラムを用い得る。上記アプリケーションプログラムの例は、ＶＤＥ認識ドキュメントビューワ、ＶＤＥ認識電子メールシステム、および類似のアプリケーションを含み得る。これらのプログラムは、ＶＤＥ保護ドキュメントを入手可能としながらも、そのコンテンツがコピーされ、格納され、見られ、改変され、及び／又は伝送され、及び／又はさらに特定の電子機器の外部に配布される程度を制限するために、ユーザの電子機器６００のＰＰＥ６５０コンポーネントと通信し得る。
【１１６３】
ユーザは、ＶＤＥ保護ドキュメントを処理するために、市販の既製（「ＣＯＴＳ」）オペレーティングシステムおよびアプリケーションプログラムを採用したいと望み得る。ＣＯＴＳアプリケーションプログラムおよびオペレーティングシステムの使用を許可する１つのアプローチは、再配布に関する制約なしにドキュメントのみのために、上記の使用を可能にすることである。標準ＶＤＥオペレーティングシステムリディレクタは、ユーザが、ファイルへのアクセスと等価な様式でＶＤＥ保護ドキュメントにアクセスすることを可能にする。しかし、このようなアプローチの場合、使用を計量及び／又は監査する制御のチェーンが、保護されたオブジェクトがＣＯＴＳアプリケーションに入手可能になったときに、ある程度「壊れ」得る。いずれの放出された情報の更なるトラッキングを容易にするためにも、ＶＤＥの指紋刻印（ウォーターマーキング）技術が用いられ得る。
【１１６４】
保護されたドキュメントの印刷を保護するために、例えばサーバベースの復号化エンジン、「指紋刻印」用特別フォントなどの、様々な技術が用いられ得る。
【１１６５】
ＣＯＴＳソフトウェアをサポートするための別のアプローチは、ＣＯＴＳオペレーティングシステムおよびアプリケーションプログラムが走り得るが、ＶＤＥの制御下以外では、いかなる情報も永久的に格納されることもなく伝送されることもない、１以上の「仮想マシン」環境を生成するために、ユーザの電子機器上で走るＶＤＥソフトウェアを用いることである。このような環境は、ＶＤＥが全てのＶＤＥ保護情報を管理することを許可するが、限定された環境内で情報を処理するためにＣＯＴＳアプリケーションを無制限に用いることを許可し得る。このような環境のコンテンツ全体が、ＶＤＥ１００により、環境に読み込まれたいずれのＶＤＥ保護ドキュメントに対する拡張としても扱われ得る。環境外部への情報の伝送は、オリジナルドキュメントと同一の規則で支配される。
「粗い」制御能力
上記のように、組織は、ドキュメント全体のセキュリティ、配布、完全な状態の維持、および制御を管理するために、ＶＤＥ強化制御能力を用い得る。これらの能力のいくつかの例は、以下のものを含み得る。
【１１６６】
１）２以上の電子機器６００を接続する通信チャネルは、１セットの許可されたセンシティビティアトリビュートを割り当てられ得る。センシティビティアトリビュートがこのセットに属するドキュメントのみが、チャネルを介して伝送されることを許可される。このことは、Ｔｒｕｓｔｅｄ　Ｃｏｍｐｕｔｅｒ　Ｓｙｓｔｅｍ　Ｅｖａｌｕａｔｉｏｎ　Ｃｒｉｔｅｒｉａ　（ＴＣＳＥＣ）のＤｅｖｉｃｅ　Ｌａｂｅｌｓ必要条件をサポートするために用いられ得る。
【１１６７】
２）電子機器６００に接続された又は組み込まれた書き込み可能記憶装置（例えば、固定ディスク、ディスケット、テープドライブ、光ディスク）は、１セットの許可されたセンシティビティアトリビュートを割り当てられ得る。センシティビティアトリビュートがこのセットに属するドキュメントのみが、装置に格納されることを許可される。このことは、ＴＣＳＥＣ　Ｄｅｖｉｃｅ　Ｌａｂｅｌｓ必要条件をサポートするために用いられ得る。
【１１６８】
３）ドキュメントは、ドキュメントを「取り扱う」ことを許可されたユーザを表す、ドキュメントに関連したユーザのリストを有し得る。このユーザリストは、例えば、ドキュメントを見ることができるユーザのみを表し得る。他のユーザは、たとえドキュメントコンテナを受け取っても、コンテンツを操作し得ない。このことは、標準ＯＲＣＯＮ取り扱い警告をサポートするために用いられ得る。
【１１６９】
４）ドキュメントは、その作成者を指定してドキュメントのコンテンツが見られ得る前に作成者による明確な許可が下されることを必要とするアトリビュートを有し得る。この許可に対する要求は、ドキュメントがユーザによってアクセスされたとき、または例えばあるユーザが他のユーザにドキュメントを配布したときになされ得る。許可が下りない場合、ドキュメントは操作も使用もされ得ない。
【１１７０】
５）ドキュメントは、ドキュメントの各使用がドキュメントの作成者に報告されることを必要とするアトリビュートを有し得る。このことは、ドキュメントの配布を計測（ｇａｕｇｅ）するために作成者により用いられ得る。その使用が使用時に制御パーティに知られていることを保証するために、必要であれば、ドキュメントのいずれの使用もが許可される前に、レポートがうまくなされていることが必要とされ得る。これに代えて、例えばレポートは据え置き（「バッチ」）様式でなされ得る。
【１１７１】
６）ドキュメントは、ドキュメントの各使用が中央ドキュメントトラッキング情報交換所に報告されることを必要とするアトリビュートを有し得る。このことは、特定のドキュメントをトラッキングするため、特定のアトリビュート（例えばセンシティビティ）を有するドキュメントをトラッキングするため、いずれかの特定のユーザ及び／又はユーザグループにより用いられたドキュメントを識別するためなどに、組織により用いられ得る。必要であれば、例えば、ドキュメントのいずれかの使用が許可される前に、レポートがうまく行われていることが必要であり得る。
【１１７２】
７）ＶＤＥ保護ドキュメントは、ドキュメントの各使用が作成者への「リターンレシート」を生成することを必要とするアトリビュートを有し得る。ドキュメントを用いる人は、リターンレシートを生成するために、例えば、ドキュメントがなぜ興味を引くのかを示すことにより、またはドキュメントコンテンツのリターンレシートに関する知識を（読んだ後）示すことにより、特定の質問に答えることを必要とされ得る。このことは、ドキュメントが自動化されたソフトウェア機構によってではなく人によって取り扱われたことを保証するために用いられ得る。
【１１７３】
８）ＶＤＥ保護ドキュメントのコンテンツは、独自の様式で、コンテンツを放出したユーザまで識別可能（トレース可能）であるように、ＶＤＥを認識しないアプリケーションプログラムにとって、入手可能とされ得る。従って、ドキュメントの放出された形態がさらに配布されても、その源は決定され得る。このことは、コンテンツ放出用ＶＤＥ「指紋刻印」を採用することにより行われ得る。同様に、印刷されたＶＤＥ保護ドキュメントは、コピーがなされていても、類似のＶＤＥ指紋刻印された独自の様式で、はじめにドキュメントを印刷した人が決定され得るように、マークされ得る。
【１１７４】
９）ＶＤＥ保護ドキュメントの使用は、ドキュメントコンテンツへのアクセスまたは上記コンテンツの他の使用を（サイズ、アクセス時間などに基づいて）制限する予算の制御下において許可され得る。このことは、固定期間中に個人にアクセス可能なＶＤＥドキュメントの数を制限することにより、大規模な開示を防止することを補助し得る。例えば、このような制御の１つは、ユーザが、何らかの特定の分類レベルのドキュメントに関して、１日最大１００ページを見るが１日１０ページのみを印刷することを許可し、印刷を平日の９時から５時までのみ許可することである。さらなる例として、ユーザは、例えば（通常またはいずれかの合理的な状況下における）１以上のタイプの超過データベース使用が起こったことを識別するために、ＶＤＥ保護ドキュメントの使用の、ある量の論理的に関連する比較的「連続した」及び／又は何らかの他のパターン（フィールド内のある識別子を共有する記録量に基づいてデータベースの記録の使用を制限するなど）に制限され得る。その結果、ＶＤＥコンテンツのプロバイダは、ＶＤＥコンテンツの使用を、容認可能な使用特性に制限し得、例えば情報データベースリソースの、ユーザによる不適切な使用の試みを（例えばＶＤＥ管理者または組織監督者用の例外レポート（ｅｘｃｅｐｔｉｏｎ　ｒｅｐｏｒｔ）を生成することにより）防止及び／又は識別し得る。
【１１７５】
これらの制御能力は、センシティブなドキュメントをトラッキングし管理するためのフレキシブルでインタラクティブな環境を提供するために、ＶＤＥがどのように用いられ得るかのいくつかの例を示す。このような環境は、人から人へのドキュメントの流れを直接、物理的位置、組織などごとにトレースし得る。さらに、「Ｒ＆Ｄ部外のどの人がＲ＆Ｄ制御されたドキュメントを受け取ったか」というような特定の質問に答えることを許可する。制御情報は、ＶＤＥ保護ドキュメントの各コピーと共に伝送され、中央レジストリが更新されること及び／又は作成者がドキュメントの使用を知らされることを保証し得るため、トラッキングは即刻行われ得、且つ正確であり得る。
【１１７６】
このことは、紙のドキュメントをトラッキングする従来の手段と矛盾する。従来の手段によると、典型的には手動で収集され且つ取り扱われたレシートの紙ベースのシステムが用いられる。ドキュメントは個々にコピーナンバが付され署名されるが、一旦配布されれば能動的に制御されない。従来の紙ベースのシステムにおいては、ドキュメントの実際の位置を決定することは実際不可能である。どのような制御が示され得るかは、全てのパーティが厳密に取り扱い規則（最高の状態であっても不便である）を守った場合のみ決定可能である。
【１１７７】
上記状況は、通常のコンピュータおよびネットワークシステムのコンテキスト内でドキュメントを処理するために、たいして都合よくはない。上記システムはユーザアイデンティティに基づくアクセス制御情報を強化し得、且つファイルへのアクセスをトラッキングする監査機構を提供し得るが、これらはコンテンツの流れのトラッキングも制御も許可しない低レベルの機構である。このようなシステムにおいては、ドキュメントコンテンツが自由にコピーされ且つ操作され得るため、ドキュメントコンテンツがどこに行ったか、またどこから来たかを決定することは不可能である。さらに、通常のコンピュータオペレーティングシステム内の制御機構は抽象的な低レベルで動作するが、オペレーティングシステムが制御するエンティティは、必ずしもユーザによって操作されるエンティティと同じではない。このことは特に、監査追跡を、興味を引かないアクティビティを記述する大量の情報により混乱させる。
「細かい」制御能力
ドキュメント全体を制御および管理することに加えて、ユーザは、ドキュメントの個々の改変を制御および管理するために、カスタマイズされたＶＤＥ認識アプリケーションソフトウェアを採用し得る。これらの能力の例は以下を含む。
【１１７８】
１）ＶＤＥコンテンツユーザは、提案された代わりのワーディングを示すために、ＶＤＥドキュメントに更なる情報を追加することを許可され得る。この提案された変更は、（オリジナルテキストに加えて）ドキュメントの全ての他のユーザに可視であるが、（例えば）ドキュメントの所有者によってのみ実際のテキストに組み込むことができる。
【１１７９】
２）ＶＤＥユーザグループは、個々の変更がそれを行った特定のユーザにまで明確にトレース可能であるような様式で、ドキュメントの１以上の部分を改変することを許可され得る。ドキュメントのある部分を改変する権利、および異なるユーザに対する異なる権利セットの拡張は、組織または安全な環境が、同一のコンテンツのユーザに異なる権利を与える異なる許可を提供することを可能にする。
【１１８０】
３）ユーザグループは、ＶＤＥドキュメントを、個々の寄稿物（ｃｏｎｔｒｉｂｕｔｉｏｎ）から作り上げることにより量を増加する様式で作成し得る。これらの寄稿物は、単一の制御されたドキュメント内でまとめられ得るが、各々の寄稿物は、例えば埋め込まれたコンテナオブジェクトとしてＶＤＥコンテンツコンテナ内に組み込まれることにより個々に識別される。
【１１８１】
４）ＶＤＥ制御および管理能力は、例えばドキュメントの各セクションが何回見られたかを記録する、個々のドキュメントエリアに関連するアクティビティをトラッキングするために用いられ得る。
実施例：ＶＤＥ保護コンテンツ格納場所
「ディジタルハイウェイ」が出現すると、ネットワーク、特にインターネットなどの公的なネットワークでのコンテンツの配布に関する議論が増す。コンテンツは、以下を含むいくつかの方法で公衆ネットワークを介して入手可能にされ得る。
【１１８２】
●要求による又は事前の購入（物を購入するために電子基金またはクレジットの債務を表すトークンを送ること）に応答してユーザへコンテンツを「メールする」こと。
【１１８３】
●組織自体のコンテンツ格納場所からダウンロード可能なコンテンツをサポートすること。このような格納場所は、例えば、通常１以上のデータベースに系統立てられる大量の製品（ソフトウェアプログラムなど）及び／又は大量の情報リソースを含む。
【１１８４】
●他のパーティが顧客への再配布のために製品を預け得る公的な格納場所をサポートすること（通常、要求に応答して顧客への配布のために電子コピーを作成することによって行われる）。
【１１８５】
ＶＤＥノードの１つの可能性のあるは、１以上の「格納場所」の使用を含む。例えば、格納場所はＶＤＥ参加者がそこからＶＤＥコンテンツコンテナを検索し得るロケーションとして作用し得る。この場合、ＶＤＥユーザは、１人以上のＶＤＥユーザがＶＤＥコンテンツコンテナを含むオブジェクト格納場所にアクセスすることを可能にする「サーバ」システムへのアクセスを獲得するためにネットワークを利用し得る。
【１１８６】
何人かのＶＤＥ参加者は、コンテンツ及び／又はＶＤＥコンテンツコンテナオブジェクトを作成または提供し、その後他の参加者が知られた及び／又は（検索用に）効果的に系統立てられたロケーションにアクセスし得るように格納場所にコンテンツ及び／又はコンテンツオブジェクトを格納し得る。例えば、ＶＤＥ格納場所（ＶＤＥ格納場所の一部、複数のＶＤＥ格納場所、及び／又はそのような格納場所へのコンテンツのプロバイダ）は、ネットワークユーザのリストにＥメールを送信することにより、あるタイプのＶＤＥ保護コンテンツが入手可能であることを宣伝し得る。ネットワークユーザが電子機器内に安全なＶＤＥサブシステムを有している場合は、ネットワークユーザは、そのような格納場所に直接または１以上のスマートエージェントを介してアクセスすることを選択し得る。そして、ネットワークユーザは、例えばアプリケーションプログラムを用いて、格納場所において入手可能なＶＤＥ管理コンテンツの提供をブラウズ（及び／又は電気的にサーチ）し、所望のＶＤＥコンテンツコンテナをダウンロードし、そのようなコンテナを利用し得る。格納場所がうまくそのようなコンテンツに興味を持つユーザを引き付けれた場合、ＶＤＥコンテンツのプロバイダは、そのような格納場所がそのコンテンツをユーザにとって容易にアクセス可能にするための望ましいロケーションであると決定し得る。ＣｏｍｐｕＳｅｒｖｅのような格納場所が暗号化されていない（平文）形態でコンテンツを格納する場合、格納場所は、所望の制御情報を有するＶＤＥコンテンツ内に「送出する」コンテンツを入れることによって、「送出する」コンテンツを「必要に応じて」暗号化し得、ＶＤＥ参加者へのコンテンツの通信用の、ＶＤＥの安全な通信技術を採用し得る。
【１１８７】
ＶＤＥ格納場所はまた、他のＶＤＥサービスをも提供し得る。例えば、格納場所は、格納場所から得られるＶＤＥオブジェクトの使用に関連する料金を支払うために用いられ得る、格納場所からのクレジットという形態で、金融サービスを提供することを選択し得る。これとは別にまたはこれに加えて、ＶＤＥ格納場所は、ＶＤＥユーザにより報告された使用情報に関して、ＶＤＥクリエータまたは他の参加者（例えば、配布者、再配布者、クライアント管理者など）に代わって監査情報交換所サービスを行い得る。このようなサービスは、このような使用情報を分析すること、レポートを作成すること、料金を収集することなどを含み得る。
【１１８８】
「フルサービス」のＶＤＥ格納場所は、ＶＤＥ管理コンテンツのプロバイダとユーザとの両者にとって非常に魅力のあるものであり得る。ＶＤＥ管理コンテンツのプロバイダは、そのコンテンツをユーザによく知られたロケーションに置くこと、クレジットを提供すること、及び／又はユーザのための監査サービスを行いたいと望むことがあり得る。この場合、プロバイダは、コンテンツを「小売り」様式で入手可能にすること、多くのＶＤＥユーザから監査情報を収集すること、請求書を送付して料金を受け取ることなどに関連する管理上のプロセスを監督するよりも、コンテンツを作成することに集中できる。ＶＤＥユーザは、単一のロケーション（またはまとめて配置された複数の格納場所）の便利さが、興味を引くコンテンツを探そうと試みたときに魅力的であることを理解し得る。さらに、フルサービスＶＤＥ格納場所は、ＶＤＥ格納場所から受け取られたＶＤＥ管理コンテンツを使用した結果生じる使用情報を報告するため及び／又は例えば更新されたソフトウェア（例えば、ＶＤＥ認識アプリケーション、ロードモジュール、コンポーネントアセンブリ、非ＶＤＥ認識アプリケーションなど）を受け取るための単一のロケーションとして作用し得る。ＶＤＥ格納場所サービスは、ＶＤＥユーザのコンテンツに対するニーズを満たすために、ブラウズされ、サーチされ、及び／又はフィルタをかけられ得るコンテンツリソースの統合的アレイを構成するために、放送による及び／又はＣＤ−ＲＯＭなどの物理的媒体上でのＶＤＥコンテンツ配送と共に用いられ得る。
【１１８９】
公的な格納場所システムは、非営利または営利サービスとして設立されて維持され得る。サービスを提供する組織は、例えば取引ベース及び／又は料金のパーセンテージベースで、及び／又はユーザの負担で、ユーザへのコンテンツごとにサービス料金を課金し得る。格納場所サービスは、コンテンツクリエータ、パブリッシャ、配布者、及び／又は付加価値プロバイダにＶＤＥ著作ツールを供給し得、上記の人々がコンテンツの使用を管理するガイドラインの一部または全体を規定する規則および制御を適用し、そのようなコンテンツをＶＤＥコンテンツコンテナオブジェクトに入れることができるようになっている。
【１１９０】
格納場所は、１つのロケーションに維持されてもよいし、異なるロケーションにあるが単一のリソースを構成し得る様々なサーバ（例えばビデオサーバなど）のような様々な電子機器に配布されてもよい。ＶＤＥ格納場所の配置は、ＶＤＥの安全な通信およびＶＤＥノードの安全なサブシステム（「保護課の処理環境」）を採用し得る。ユーザが望む情報の与えられたひとまとまり又はユニットを含むコンテンツは、様々な物理的ロケーションに散らばっていることがあり得る。例えば、会社の株式終値と株式に関する活動（付け値、安値、高値など）とを表すコンテンツは、ニューヨークのＷｏｒｌｄ　Ｗｉｄｅ　Ｗｅｂサーバに位置し、会社の分析（社史、人事、製品、市場、及び／又は競合相手に関する考察）を表すコンテンツは、ダラスのサーバに位置するというようなことがあり得る。コンテンツは、使用を安全にし監査するために、ＶＤＥ機構を用いて格納され得る。コンテンツは、このような１以上のサイトで他の形態のセキュリティ（例えば、物理的セキュリティ、パスワード、保護されたオペレーティングシステム、データ暗号化、またはあるコンテンツタイプに適した他の技術）が十分入手可能であれば、クリアな形態に維持され得る。後者の場合、コンテンツは、少なくとも部分的に暗号化され、格納場所から送出されるときにＶＤＥコンテナ内に置かれ、それにより、安全な通信ならびにそれに続くＶＤＥユーザ使用制御および使用結果管理を可能にする。
【１１９１】
ユーザは、株式および他の情報を含む、会社に関する情報を要求し得る。この要求は、例えば、まずディレクトリまたはボストンにあるより高度なデータベース配置を介してルートされ得る。このアレンジメントは、ニューヨークとダラスの両方の格納場所へのポインタを含み、両方の格納場所からコンテンツを検索し得る。この情報コンテンツは、例えば、２つのコンテナ（例えば、ダラスからのＶＤＥコンテンツコンテナオブジェクトとニューヨークからのＶＤＥコンテンツコンテナオブジェクト）内のユーザに直接ルートされ得る。これらの２つのコンテナは、ユーザの電子機器により処理されたとき、単一のＶＤＥコンテナ内に２つのＶＤＥオブジェクトを形成し得る（上記単一のＶＤＥコンテナは、ダラスとニューヨークとからのそれぞれのコンテンツを含む２つのコンテンツオブジェクトを含み得る）。これに代えて、このようなオブジェクトは共に統合されてボストンの単一のＶＤＥコンテナを形成し得、それにより、情報が単一のコンテナでユーザに配送されてユーザサイトでの登録および制御を簡素化する。両方のロケーションからの情報コンテンツは、別々の情報オブジェクトとして格納されてもよいし、単一の統合された情報オブジェクトとしてまとめられてもよい（情報形態またはテンプレートの、あるフィールド及び／又はカテゴリは、１つのリソースで満たされ得、他のフィールド及び／又はカテゴリは、異なるリソースにより提供された情報によって満たされ得る）。配布されたデータベースは、ＶＤＥ制御のＶＤＥの電子的実施を介した情報の格納、送信、監査及び／又は使用を安全化するために、このような配布された格納場所リソース環境を管理しＶＤＥを用い得る。この場合、ＶＤＥは、一貫したコンテンツコンテナとコンテンツコンテナサービスとの両方を提供するために用いられ得る。
【１１９２】
１つの可能性のある格納場所配置３３００の実施例を図７８に示す。本実施例において、格納場所３３０２は、ネットワーク３３０４に接続され、ネットワーク３３０４は、著者３３０６Ａ、３３０６Ｂ、３３０６Ｃおよび３３０６Ｄ、パブリッシャ３３０８、ならびに１人以上のエンドユーザ３３１０が格納場所３３０２と通信すること及び互いに通信することを可能にする。第２のネットワーク３３１２は、パブリッシャ３３０８、著者３３０６Ｅおよび３３０６Ｆ、エディタ３３１４、ならびに司書３３１６が互いに通信すること及びローカル格納場所３３１８と通信することを可能にする。パブリッシャ３３０８はまた、著者３３０６Ｅと直接接続されている。本実施例において、著者３３０６とパブリッシャ３３０８とは、エンドユーザ３３１０が共通のロケーションから広範囲のコンテンツにアクセスすることができる環境にコンテンツを置くために、格納場所３３０２に接続されている。
【１１９３】
本実施例において、格納場所は２つの主要な機能領域、すなわち、コンテンツシステム３３０２Ａと情報交換所システム３３０２Ｂとを有する。コンテンツシステム３３０２Ａは、ユーザ／著者登録システム３３２０と、コンテンツカタログ３３２２と、サーチ機構３３２４と、コンテンツ格納部３３２６と、コンテンツリファレンス３３２８と、送出システム３３３０とを含む。送出システム３３３０は、制御パッケージャ３３２２と、コンテナパッケージャ３３３４と、取引システム３３３６とを含む。情報交換所システム３３０２Ｂは、ユーザ／著者登録システム３３３８と、テンプレートライブラリ３３４０と、制御ストラクチャライブラリ３３４２と、分配システム３３４４と、承認システム３３４６と、課金システム３３５２と、監査システム３３６０とを含む。承認システム３３４６は、金融システム３３４８と、コンテンツシステム３３５０とを含む。課金システム３３５２は、ペーパーシステム３３５４と、クレジットカードシステム３３５６と、電子基金送金システム（ＥＦＴ）３３５８とを含む。監査システム３３６０は、レシートシステム３３６２と、レスポンスシステム３３６４と、取引システム３３６６と、分析システム３３６８とを含む。
【１１９４】
本実施例において、著者３３０６Ａは、著者３３０６Ａが多くのエンドユーザ３３１０に広く入手可能にし且つＶＤＥの使用を介して自分の権利を保護しようと意図するコンテンツを電子形態で作成する。著者３３０６Ａは、メッセージを格納場所３３０２に伝送して、自分のコンテンツを配布するために格納場所に登録したいという要望を示す。このメッセージに応答して、コンテンツシステム３３０２Ａのユーザ／著者登録システム３３２０と、情報交換所システム３３０２Ｂのユーザ／著者登録システム３３３８とが、ネットワーク３３０４を用いて登録情報に対する要求を著者３３０６Ａに伝送する。これらの要求は、オンラインインタラクティブモードにおいてなされてもよいし、著者３３０６Ａにバッチ様式で伝送されてもよい。その後、著者３３０６Ａは、要求された情報を完成させて格納場所３３０２にバッチ様式で伝送する。または、ある局面はオンラインで（基本的な識別情報として）取り扱われ、他の情報はバッチ様式で交換されてもよい。
【１１９５】
コンテンツシステム３３０２Ａに関連する登録情報は、例えば、以下を含む。
【１１９６】
●著者３３０６Ａが、格納場所を用いて格納およびアクセスすることを提案されたコンテンツのタイプ及び／又はカテゴリに関する情報を提供すべきであるという要求。
【１１９７】
●アブストラクト及び／又は格納場所によって必要とされた他の識別情報の形態。これは、著者３３０６Ａに、著者３３０６Ａが概してコンテンツ提出と共に他の情報（プロモーションマテリアル、提出されたコンテンツのフォーマットに関する詳細な情報、提出されたコンテンツを使用する可能性のあるユーザがうまくその価値を利用するために満たすべき又は満たさなければならない装置条件など）を含むかどうかを示す機会を与えることに加えてである。
【１１９８】
●コンテンツがどこに位置されるか（格納場所内に格納されるのか、著者３３０６Ａのロケーションに格納されるのか、どこか他の場所か又は組み合わされた複数のロケーションに格納されるのか）に関して著者３３０６Ａから情報を得たいという要求。
【１１９９】
●いずれの一般的なサーチ特性がコンテンツ提出と関連すべきかということ（例えば、アブストラクトが格納場所のユーザがサーチできるように自動的にインデックスを付されるのかどうか、コンテンツのタイトル、アブストラクト、プロモーションマテリアル、関連する日付、パフォーマー及び／又は著者の名前、またはコンテンツ提出に関連する他の情報が、コンテンツのタイプリストにおいて及び／又はサーチに応答して用いられ得るか、又は用いられるべきであるかなど）。そして／又は、
●格納場所内に格納されている及び／又は格納場所を通過するコンテンツがいかにして送出されるべきかということ（コンテンツ伝送に関するコンテナ基準、暗号化条件、取引条件、他の制御基準など）。
【１２００】
情報交換所のユーザ／著者登録システムにより著者３３０６Ａから要求された情報は、例えば、以下のものを含む。
【１２０１】
●制御情報を正確にフォーマットするために、著者３３０６Ａが利用し得るか、又は利用しなければならないＶＤＥテンプレート。上記フォーマットは、例えば、情報交換所システム３３０２Ｂの監査システム３３６０が、著者３３０６Ａにより提出されたコンテンツに関連する使用情報を受け取ること及び／又は処理することを適切に承認されるように行われる。
【１２０２】
●提出されたコンテンツに関連して著者３３０６Ａにより作成及び／又は使用されるＶＤＥコンポーネントアセンブリの一部または全部において、著者３３０６Ａにより使用され得るか又は使用されなければならない（及び／又は参照のため含まれ得る又は含まれなければならない）情報交換所３３０２Ｂから入手可能なＶＤＥ制御情報。
【１２０３】
●格納場所情報交換所システム３３０２Ｂにより提供されるか、これを通過するか、またはこれにより収集されるコンテンツの使用に関連するいずれかの基金の分配が行われるべき様式。
【１２０４】
●提出されたコンテンツ及び／又はコンテンツに関連する金融取り引きを用いることを承認する形態及び／又は基準。
【１２０５】
●コンテンツ及び／又はコンテンツに関連する情報（他人によって用いられ得る分析レポートなど）の使用に対する課金の容認可能な形態。
【１２０６】
●ＶＤＥにおいて生成された監査情報がいかにして受け取られるべきかということ。
【１２０７】
●ユーザからの要求に対するレスポンスをいかにして管理すべきかということ。
【１２０８】
●監査情報の受け取りに関連する取り引きがいかにしてフォーマットされ承認されるべきかということ。
【１２０９】
●使用情報に関して、どのような形態の分析がいかにして行われるべきかということ。そして／又は
●ＶＤＥ制御コンテンツ使用情報からの使用情報及び／又は分析結果が管理されるべき状況というものがあるならば、その状況はどのようなものかということ（誰に配送され得るか又は配送されなければならないかということ、配送の形態、そのような情報の使用に関連するいかなる制御情報などをも含む）。
【１２１０】
格納場所３３０２は、著者３３０６Ａから完成した登録情報を受け取り、この情報を用いて著者３３０６Ａのアカウントプロフィールを作成する。さらに、著作プロセスに関連するソフトウェアが著者３３０６Ａに伝送され得る。このソフトウェアは、例えば、著者３３０６Ａが、適切な制御で、ＶＤＥコンテンツコンテナ内にコンテンツを置くことを可能にする。適切な制御とは、このようなコンテナを作成することに関連する決定の多くが、コンテンツシステム及び／又は情報交換所システムとしての格納場所３３０２の使用を反映させるように自動的になされるように、行われる（上記決定とは、例えば、コンテンツのロケーション、コンテンツ及び／又はコンテンツに関連する制御を更新するためにコンタクトすべきパーティ、監査情報が伝送され得る及び／又はされなければならないパーティとこのような通信のための通信路、使用中に収集される監査情報の特性、コンテンツの使用に対して容認可能な支払いの形態、監査伝送が必要である頻度、課金の頻度、コンテンツに関連するアブストラクト及び／又は他の識別情報の形態、コンテンツ使用制御情報の少なくとも一部分の性質などである）。
【１２１１】
著者３３０６Ａは、自分自身がＶＤＥコンテンツコンテナ内に置きたいと望む制御およびコンテンツを特定するためにＶＤＥ著作アプリケーションを利用し、格納場所３３０２のいかなる必要条件にも応じて、そのようなコンテナを作成する。ＶＤＥ著作アプリケーションは、例えば、格納場所３３０２によって提供されるアプリケーションであり得、上記アプリケーションは、格納場所コンテンツ制御条件に忠実であることを保証する助けになり得る。上記制御条件とは、１以上のタイプのコンポーネントアセンブリまたは他のＶＤＥ制御ストラクチャ及び／又は必要であるパラメータデータ、別のパーティから受け取ったアプリケーション、並びに／又は全体的にまたは部分的に著者３３０６Ａが作成したアプリケーションを含むことなどである。その後著者３３０６Ａは、ネットワーク３３０４を用いて、コンテナと、上記コンテンツに関連し得る著者３３０６Ａのアカウントプロフィールからの何らかの偏差とを、格納場所３３０２に伝送する。格納場所３３０２は、提出されたコンテンツを受け取り、その後、本実施例においては何らかのアカウントプロフィール条件、偏差及び／又は所望のオプションに応じて、コンテンツがコンテンツ及び／又は格納場所の制御情報条件の範囲内で作成されたか否か、そして従ってコンテンツ格納部内に置かれるべきか又はロケーションポインタなどにより参照されるべきか否かを判定する。提出されたコンテンツをコンテンツ格納部内に置くこと、又はそのようなコンテンツのロケーションを参照することに加えて、格納場所３３０２はまた、サーチ機構３３２４、コンテンツリファレンス３３２８、送出システム３３３０、並びに／又は情報交換所システム３３０２Ｂの、テンプレートおよび制御ストラクチャ、承認、課金及び／又は支払い、分配、及び／又は使用情報に関連するシステム内の、上記提出されたコンテンツに関連する特性に留意し得る。
【１２１２】
著作プロセス中に、著者３３０６Ａは、ＶＤＥテンプレートを使用し得る。このようなテンプレートは、ＶＤＥ著作アプリケーションの一局面として用いられ得る。例えば、このようなテンプレートは、上記のようにコンテナの構築において用いられ得る。これに代えて又はこれに加えて、このようなテンプレートはまた、提出されたコンテンツが格納場所３３０２に受け取られたときに用いられ得る。このようなテンプレートに対するリファレンスは、提出されたコンテンツのコンテナを構築する一局面として、著者３３０６Ａにより組み込まれ得る。（この意味では、格納場所に配送されたコンテナは、ある意味では、指示されたテンプレートの使用を介して格納場所がコンテナを「完成させる」までは「不完全」であり得る。）このようなリファレンスは、格納場所３３０２による使用にとって必要とされ得る。（格納場所３３０２による使用とは、例えば、格納場所のビジネスまたはセキュリティモデルの一局面を満たすために、ＶＤＥ制御情報を適所に置くことである。格納場所のビジネスまたはセキュリティモデルの一局面とは、格納場所のある種の計量、課金、予算作成、及び／又は他の使用及び／又は分配に関連する制御を提供するために、他のＶＤＥ制御ストラクチャとインタラクトするために必要な、コンテンツのエレメントに対応する１以上のマップテーブルなどである。）
例えば、著者３３０６Ａによって提出されたコンテンツが、定期刊行物により構成される場合、著者が格納場所に登録したときに格納場所３３０２により著者に配送されるテンプレートは、著者がそのような定期刊行物のためのＶＤＥコンテンツコンテナを作成する際に操作される著作アプリケーションの一局面として用いられ得る。これに代えて又はこれに加えて、定期刊行物に使用されるように設計されたテンプレートは、格納場所３３０２にあり得、このようなテンプレートは上記コンテナに関連する制御ストラクチャを全体的に又は部分的に定義づけるために格納場所により使用され得る。例えば、定期刊行物用の制御ストラクチャを形成することを補助するように設計されたＶＤＥテンプレートは（特に）以下のことを示し得る。
【１２１３】
●使用制御は、ユーザが開く刊行物内の各記事を記録するメータメソッドを含むべきである。
【１２１４】
●定期刊行物を開くためには、開かれる記事の数にかかわらず、ある一定の一律料金が適用されるべきである。そして／又は
●ユーザが見た全ての広告の記録が維持されるべきである。
【１２１５】
コンテンツが、知られた及び／又は識別可能なフォーマットで維持されている場合、このようなテンプレートは、このような記録および課金行為をサポートするために必要とされ得るいずれかのマップテーブルを識別するために著者３３０６Ａが介入することなしに、コンテナの初期構築中に用いられ得る。このようなＶＤＥテンプレートが著者３３０６Ａに入手可能でない場合、著者３３０６Ａは、提出されたコンテナが、あるテンプレートまたはある分類レベルのテンプレートにおいて特定されたＶＤＥ制御情報を含むように格納場所によって再構築（例えば、増大）されるべきであるということを示すことを選択し得る。コンテンツのフォーマットが、知られた及び／又は格納場所により識別可能なものである場合、格納場所はこのようなコンテナを自動的に再構築する（または「完成する」）ことができることがあり得る。
【１２１６】
格納場所と著者３３０６Ａとの間の潜在的な金融面での関係の１つの要因は、提出されたコンテンツの、エンドユーザ３３１０による使用に関連し得る。例えば、著者３３０６Ａは、格納場所が、格納場所のサービス（例えば、エンドユーザ３３１０に対してコンテンツを入手可能にすること、電子クレジットを提供すること、課金アクティビティを行うこと、料金を集めることなど）を維持することと交換に、エンドユーザ３３１０から発生した全収益の２０％を確保することを承認する、格納場所との取り決めをネゴシエートし得る。金融面での関係は、フレキシブルで構成変更可能な方法で制御ストラクチャ内に記録され得る。例えば、上述した金融面での関係は、著者３３０６Ａの金融面での条件と、収益を格納場所と分けて２０％を取る必要性とを反映させるために著者３３０６Ａが考案したＶＤＥコンテナ及び／又はインストレーション制御ストラクチャ内で作成され得る。上記の場合、提出されたコンテンツの使用に関連する全ての課金アクティビティが格納場所によって処理され得、著者３３０６Ａの提出したコンテンツを使用するために必要とされる様々なコンポーネントアセンブリに関連する反復的方法を表す制御ストラクチャが収益の２０％を計算するために用いられ得る。これに代えて、格納場所は、価格の上昇を反映させるために、著者３３０６Ａからの制御ストラクチャを独立に且つ安全に追加及び／又は改変し得る。ある場合においては、著者３３０６Ａは、格納場所が使用アクティビティに対して課する実際の価格には直接関与しない（または実際の価格を知らない）こともあり得る。著者３３０６Ａは、収益の量と、ＶＤＥ制御コンテンツの使用および使用の結果を支配するＶＤＥ制御情報内で著者３３０６Ａが特定する、自分自身の目的のために必要である使用分析情報の特性のみに関心があるということがあり得る。
【１２１７】
著者と格納場所との関係の別の局面は、ＶＤＥ制御コンテンツの配送とＶＤＥ制御コンテンツ使用監査情報の受け取りとに関連する取り引き記録条件の特性を含み得る。例えば、著者３３０６Ａは、格納場所が格納場所からコンテンツのコピーを受け取った各ユーザの記録を取ることを必要とし得る。著者３３０６Ａはさらに、このようなユーザへのコンテンツの配送の環境（例えば、時間、日付など）に関する情報の集まりを必要とし得る。さらに、格納場所は、このような取り引きを内部で使用する（例えば、システムを最適化するための使用パターンを決定する、詐欺を検出するなど）ために行うことを選択し得る。
【１２１８】
このようなＶＤＥ制御コンテンツの配送に関する情報を記録することに加えて、著者３３０６Ａは、格納場所がある種のＶＤＥコンテナ関連プロセスを行うことを必要としたか又は要求したということがあり得る。例えば、著者３３０６Ａは、異なる分類レベルのユーザには、異なるアブストラクト及び／又はその他の記述的情報を配送したいと望み得る。さらに、著者３３０６Ａは、例えば、特定のユーザによって提示された使用の特性に応じて、提出されたコンテンツと同一のコンテナで、プロモーションマテリアルを配送したいと望み得る（上記使用の特性とは、例えば、ユーザはこれまで著者３３０６Ａからコンテンツを受け取ったことがあるか否か、ユーザは著者３３０６Ａのマテリアルをよく購読しているか否か、及び／又はある種のＶＤＥコンテンツエンドユーザに配送されるプロモーションマテリアルを混ぜたものを決定することを補助するために用いられる、著者３３０６Ａ及び／又はエンドユーザに関連し得る他のパターンである）。別の実施例においては、著者３３０６Ａは、コンテンツがエンドユーザに伝送される前に、このようなコンテンツに対してＶＤＥ指紋刻印が行われることを必要とし得る。
【１２１９】
エンドユーザに送出されるコンテンツの形態及び／又は特性に加えて、著者はまた、ある種の暗号化関連プロセスが、コンテンツを配送することの一局面として格納場所によって行われることを必要とし得る。例えば、著者３３０６Ａは、格納場所が、コンテンツのよりよい保護を維持することを補助するために、異なる暗号化鍵を用いて、送出されるコンテンツの各コピーを暗号化することを必要としたということがあり得る。（上記コンテンツのよりよい保護とは、例えば、暗号化鍵が「クラックした」すなわち誤って開示されても、その「ダメージ」は配送可能なあるコンテンツの特定のコピーの一部分に制限され得るということである。）他の実施例においては、暗号化機能は、環境による条件を満たすために（例えば、輸出のための制限に従うために）、完全に異なる暗号化アルゴリズム及び／又は技術を用いる必要性を含み得る。さらに別の実施例においては、暗号化関連プロセスは、コンテンツが配送されるＶＤＥサイトの信頼性レベル及び／又は不正改変不可能性レベルに基づいて、暗号化技術及び／又はアルゴリズムを変更することを含み得る。
【１２２０】
コンテンツがＶＤＥ格納場所からエンドユーザに送出されるときに集められる取り引き情報に加えて、格納場所は、使用情報、要求、及び／又はエンドユーザ３３１０からの及び／又はエンドユーザ３３１０へのレスポンスに関連する取り引き情報を保持することを必要とされ得る。例えば、著者３３０６Ａは、格納場所が、著者３３０６Ａのコンテンツの使用に関する情報（例えば、監査情報のエンドユーザレポート、追加の許可情報に対するエンドユーザからの要求など）の送信及び受信に関連して、エンドユーザ３３１０が行う接続の一部または全部の記録を取ることを必要とし得る。
【１２２１】
格納場所を介してエンドユーザ３３１０に提供されるＶＤＥ管理コンテンツのうちのいくつかは、コンテンツ格納部に格納され得る。他の情報は、他の場所に格納され、コンテンツリファレンスを介して参照され得る。コンテンツリファレンスが使用されている場合、格納場所は、コンテンツ格納部に格納されているか他の場所（別のサイトなど）に格納されているかにかかわらず、全ての格納場所のコンテンツが、例えば一貫した又は同一のユーザインターフェースのように均一な様式でエンドユーザ３３１０により選択されるために提示されるように、ユーザインターフェースを管理し得る。エンドユーザが、コンテンツ格納部に格納されていないコンテンツの配送を要求した場合、ＶＤＥ格納場所は、コンテンツリファレンスに格納されている情報（例えば、コンテンツが位置し得るネットワークアドレス、ＵＲＬ、ファイルシステムリファレンスなど）を用いてコンテンツの実際の格納サイトを探し出し得る。コンテンツが探し出された後、コンテンツはネットワークを介して格納場所まで伝送されてもよいし、又は格納されている場所から要求しているエンドユーザに直接伝送されてもよい。ある状況においては（例えば、コンテナの改変が必要であるとき、暗号化が変更されなければならないとき、金融取り引きが放出前に必要であるときなど）、このようなＶＤＥ管理コンテンツ及び／又はＶＤＥコンテンツコンテナをエンドユーザに伝送するために準備するために、格納場所による更なる処理が必要であり得る。
【１２２２】
ＶＤＥ格納場所のエンドユーザ３３１０にとって入手可能なコンテンツへの管理可能なユーザインターフェースを提供し、エンドユーザ３３１０に送出されるＶＤＥコンテンツコンテナ内にパッケージされた制御情報の決定において用いられる管理情報を提供するために、本実施例の格納場所は、コンテンツカタログ３３２２を含む。このカタログは、コンテンツ格納部内のＶＤＥコンテンツに関連する情報、及び／又はコンテンツリファレンス内に反映された格納場所を介して入手可能なコンテンツを記録するために用いられる。コンテンツカタログ３３２２は、コンテンツのタイトル、アブストラクト、および他の識別情報から構成され得る。更に、カタログはまた、電子契約及び／又は契約ＶＤＥテンプレートアプリケーション（オプションの選択可能な制御ストラクチャ及び／又は関連するパラメータデータを提供する１以上の機会）という形態を示し得る。上記契約およびアプリケーションは、例えば以下のことに対するオプション及び／又は必要条件を決定する際に、与えられたコンテンツ用の格納場所を介してエンドユーザ３３１０に入手可能である。いずれのタイプの情報がコンテンツの使用中に記録されるか、あるコンテンツの使用アクティビティに対する請求金額、ある使用情報が記録されたか並びに／又は格納場所及び／又はコンテンツプロバイダに入手可能であるかどうかに基づく請求金額の相違、このようなコンテンツに関連する再配布の権利、監査伝送の報告頻度、このようなコンテンツの使用に関連する何らかの料金を支払うために用いられ得るクレジット及び／又は通貨の形態、ある量の使用に関連するディスカウント、同一の及び／又は異なるコンテンツプロバイダからの他のコンテンツに関連する権利の存在によって入手可能なディスカウント、販売、など。さらに、ＶＤＥコンテンツカタログ３３２２は、コンテンツを利用するために必要とされるコンポーネントアセンブリの一部または全体を示し得る。コンテンツは、エンドユーザのシステムと格納場所とがメッセージを交換していずれの必要なＶＤＥコンポーネントアセンブリ又は他のＶＤＥ制御情報もが識別され、さらに必要であり且つ承認されれば、（例えば上記アセンブリ又は情報がないということが、登録中及び／又は使用を試みているときに検出されて後に要求されるよりも）このようなコンテンツに沿ってエンドユーザに配送されることを保証することを補助できるように行われる。
【１２２３】
本実施例において、ＶＤＥ格納場所を利用するためには、エンドユーザは格納場所に登録しなければならない。著者の場合に上述したものと類似の様式で、ＶＤＥエンドユーザが自分自身のＶＤＥインストレーションからネットワークを介して格納場所までメッセージを伝送し、エンドユーザが格納場所により提供されているサービス（例えば、格納場所に格納された及び／又は格納場所により参照されたコンテンツへアクセスする、格納場所により提供されているクレジットを使用するなど）を利用したいということを示す。このメッセージに応答して、格納場所のコンテンツシステム３３０２Ａのユーザ／著者登録システムと情報交換所システム３３０２Ｂのユーザ／著者登録システムとが、エンドユーザからの情報に対する要求を（例えば、オンラインで及び／又はバッチインタラクションにより）伝送する。コンテンツシステム３３０２Ａのユーザ／著者登録システムにより要求された情報は、ユーザがアクセスしたいコンテンツのタイプ、ユーザの電子機器６００の特性などを含み得る。情報交換所システム３３０２Ｂのユーザ／著者登録システムにより要求された情報は、ユーザが情報交換所システム３３０２Ｂでクレジットアカウントを設立したいと望んでいるか否か、ユーザは課金目的のためにどのような他のクレジット形態を用いたいと望んでいるか、格納場所から得られたコンテンツとインタラクトする間にどのような他の情報交換所がエンドユーザによって用いられ得るか、使用分析情報の放出および取り扱いに対する好みに関してユーザが確立した如何なる一般的規則などをも含み得る。一旦エンドユーザが登録情報を完成させて格納場所に伝送すれば、格納場所はユーザのアカウントプロフィールを構築し得る。本実施例においては、このような要求およびレスポンスは、送信パーティおよび受信パーティの安全なＶＤＥサブシステム間の安全なＶＤＥ通信により取り扱われる。
【１２２４】
格納場所を利用するために、エンドユーザはアプリケーションソフトウェアを動作し得る。本実施例において、エンドユーザは、標準アプリケーションプログラム（例えば、ＭｏｓａｉｃなどのＷｏｒｌｄ　Ｗｉｄｅ　Ｗｅｂブラウザ）を利用してもよいし、又は登録プロセスが完了した後に格納場所によって提供されるアプリケーションソフトウェアを利用してもよい。エンドユーザが格納場所によって提供されるアプリケーションソフトウェアを利用することを選択する場合、標準パッケージが用いられた場合に起こり得るインタラクションのある種の複雑さを回避することができることがあり得る。標準パッケージは、比較的使い易いことがしばしばあるが、ＶＤＥ認識機能を組み込んだカスタマイズされたパッケージは、ユーザにとってより使い易いインターフェースを提供し得る。さらに、サービスの使用を簡素化するために、格納場所のある種の特性がインターフェースに組み込まれ得る（例えば、Ａｍｅｒｉｃａ　Ｏｎｌｉｎｅにより提供されるアプリケーションプログラムに類似している）。
【１２２５】
エンドユーザは、ネットワークを用いて格納場所に接続し得る。本実施例においては、ユーザが格納場所に接続した後、認証プロセスが起こる。　このプロセスは、（例えば、ログインおよびパスワードプロトコルの使用を介して）ユーザによって行われるか、又はＶＤＥ認証において格納場所の電子機器とインタラクトするエンドユーザの電子機器の安全なサブシステムによって確立されるかのいずれかによってなされ得る。いずれの場合も、格納場所とユーザとは、まず初めに正しい他のパーティと接続していることを確認しなければならない。本実施例においては、安全な状態になった情報が両パーティ間に流れると、ＶＤＥの安全な認証が起こらなければならず且つ安全なセッションが確立されなければならない。一方、交換されるべき情報がすでに安全な状態になっている及び／又は認証なしに入手可能である場合（例えば、ある種のカタログ情報、すでに暗号化されており特別な取り扱いを必要としないコンテナなど）は、「より弱い」形態のログイン／パスワードが用いられ得る。
【１２２６】
一旦エンドユーザがＶＤＥ格納場所に接続して認証が起これば、ユーザは、ユーザインターフェースソフトウェアを操作して、格納場所のコンテンツカタログ３３２２（例えば、刊行物、ソフトウェア、ゲーム、映画などのリスト）をブラウズし、サーチ機構の助けを借りて興味のあるコンテンツを探し出し、コンテンツの配送の予定を立て、アカウント状況、使用分析情報の入手可能性、課金情報、登録およびアカウントプロフィール情報などを問い合わせる。ユーザがコンテンツを獲得するために接続している場合、そのコンテンツの使用条件がユーザに配送され得る。ユーザが格納場所に使用情報を配送するために接続している場合、その伝送に関する情報がユーザに配送され得る。これらのプロセスのうちのいくつかを以下により詳細に記載する。
【１２２７】
本実施例において、エンドユーザがＶＤＥ格納場所から（例えば入手可能なオプションのメニューから選択することにより）コンテンツを要求すると、コンテンツシステム３３０２Ａは、コンテンツリファレンス及び／又はコンテンツ格納部のいずれか内にコンテンツを探し出す。その後コンテンツシステム３３０２Ａは、コンテンツカタログ３３２２、エンドユーザのアカウントプロフィール、及び／又は著者のアカウントプロフィール内に格納された情報を参照することにより、エンドユーザの要求を満たすためのＶＤＥコンテンツコンテナを作成するために必要であり得るコンテナフォーマット及び／又は制御情報の厳密な性質を決定する。その後送出システムが情報交換所システム３３０２Ｂにアクセスすることにより、コンテナに含むべきいかなる追加の制御ストラクチャをも収集し、コンテンツをエンドユーザに配送することに関連する取り引きか、取り引きがプロセスされ得るか否かのいずれかに影響を与え得る著者及び／又はエンドユーザのアカウントプロフィールの特徴を決定する。取り引きが承認されてコンテナに必要な全てのエレメントが入手可能である場合、制御パッケージャがエンドユーザによる要求に適した制御情報のパッケージを形成し、コンテナパッケージャがこの制御情報のパッケージとコンテンツとを取って適切なコンテンツ（コンテナと共に配送可能であり得る許可を含む、いずれの暗号化条件をも組み込んでいる、など）を形成する。格納場所または著者のアカウントプロフィールにより必要とされた場合、コンテンツの配送に関連する取り引きは、送出システムの取り引きシステムにより記録される。コンテナ、および配送に関連する何らかの取り引きが完了すると、コンテナはネットワークを介してエンドユーザに伝送される。
【１２２８】
エンドユーザは、格納場所から受け取るＶＤＥコンテンツの使用に関連する請求金額を支払うために、エンドユーザの、ＶＤＥをインストールした安全なサブシステム内に安全に格納されたクレジット及び／又は通貨を利用し得る。そして／又はユーザは、エンドユーザによって上記コンテンツの受け取りのために支払いが行われる「仮想」格納場所を含む遠隔の格納場所に、安全なクレジット及び／又は通貨アカウントを維持し得る。後者のアプローチは、エンドユーザがＨＰＥベースの安全なサブシステムしか有していない場合に特に、格納場所及び／又はコンテンツプロバイダへの支払いに対してより大きな保証を提供する。本実施例において、エンドユーザの電子クレジット及び／又は通貨アカウントが格納場所に維持されている場合、エンドユーザが格納場所からコンテンツを受け取ることに基づいて、上記アカウントに請求が行われる。このような遠隔のエンドユーザアカウントに対する更なる請求は、受け取られたコンテンツのエンドユーザによる使用に基づいて、および格納場所の情報交換所システム３３０２Ｂへ通信されるコンテンツ使用情報に基づいて行われ得る。
【１２２９】
本実施例において、エンドユーザが（格納場所の使用を介してコンテンツが獲得され得るコンテンツプロバイダが、プロバイダのコンテンツに関連する使用料金を支払うために通貨及び／又はクレジットを利用することを、承認している）金融プロバイダとの関係を確立していない場合、そして／又はエンドユーザがこのようなクレジットの新しい源を欲している場合、エンドユーザは格納場所の情報交換所システム３３０２Ｂからのクレジットを要求し得る。エンドユーザがクレジットを認められた場合、格納場所は、格納場所により管理される予算メソッドに関連するクレジット額（例えば、１以上のＵＤＥに記録される）という形態でクレジットを認める。定期的に、このような予算メソッドに関連する使用情報がエンドユーザにより格納場所の監査システムに伝送される。このような伝送の後（しかし可能性としては接続が断たれる前に）、課金システムによる処理のためにクレジット額が記録され、格納場所のビジネス慣習に応じて、エンドユーザにより使用可能なクレジット額が同一のまたはそれに続く伝送で補充され得る。本実施例において、格納場所の情報交換所は、メールを介してクレジット額を回収するペーパーシステムによる課金システムと、１以上のクレジットカードに請求することによりクレジット額を回収するクレジットカードシステムと、銀行口座から直接引き落とすことによりクレジット額を回収する電子基金送金システムとをサポートする。格納場所は、類似の手段を用いることにより、著者に借りている金額に対して分配システムにより決定された支払いを自動的に行い得る。監査プロセスに関する更なる詳細を以下に述べる。
【１２３０】
上記のように、本実施例におけるエンドユーザ３３１０は、定期的にＶＤＥ格納場所にコンタクトすることにより、コンテンツ使用情報（例えば、予算の消費、他の使用アクティビティの記録などに関する）を伝送し、予算を補充し、アカウントプロフィールを改変し、使用分析情報にアクセスし、そして他の管理および情報交換アクティビティを行う。場合によっては、エンドユーザが更なる制御ストラクチャを得るために格納場所にコンタクトしたいと望むことがあり得る。例えば、エンドユーザが格納場所からＶＤＥコンテンツコンテナを要求して獲得した場合、そのコンテナは典型的にはコンテンツ、著者の条件とアカウントプロフィール、エンドユーザのアカウントプロフィール、コンテンツカタログ３３２２、及び／又は配送の環境に適した制御ストラクチャに沿ってエンドユーザに送出される（配送の環境とは、例えば、特定の著者からの初めての配送、定期購読、販売促進、ある種の広告マテリアルの存在及び／又は不在、ユーザのローカルＶＤＥインスタンスによりユーザのために形成された要求などである）。本実施例においては、格納場所が全ての関連する制御ストラクチャを配送しようと試みたことがあり得たとしても、いくつかのコンテナはエンドユーザが行うことを予期していなかった（そして他の基準もコンテナに含むことを自動的に選択しなかった）がそれにもかかわらずエンドユーザが行いたいと望むオプションを加える余裕のある制御ストラクチャを含み得る。この場合、エンドユーザは格納場所にコンタクトして、このようなオプション下でコンテンツを利用するために必要な追加の制御情報（例えば制御ストラクチャを含む）要求したいと望み得る。
【１２３１】
例えば、エンドユーザが全体的な制御ストラクチャ、すなわち、あるタイプのアクセスがコンテナに対して行われた回数とこのようなアクセスに対する基本的な使用料金とを記録するというオプションを含む全体的な制御ストラクチャを有するＶＤＥコンテンツコンテナを獲得し、全体的な制御ストラクチャ内の別のオプションによってエンドユーザが特定のコンテナへのアクセスに対する支払いを、コンテナのコンテンツを用いて、費やした時間に基づいて行うことが可能となり、さらにエンドユーザが後者の形態の使用をサポートする制御を元々受けとらなかった場合、格納場所はこのような制御を、後に、すなわちユーザが要求したときに配送し得る。別の実施例においては、著者は、ユーザが変更された制御ストラクチャを有するコンテンツコンテナを用いるために受け取り得るか又は受け取らなければならない制御ストラクチャを（例えば、販売、新しいディスカウントモデル、改変されたビジネス戦略などを反映させるために）変更したことがあり得る。例えば、あるＶＤＥコンテンツコンテナに関連する１以上の制御ストラクチャが、このようなストラクチャを引き続いて承認するための「リフレッシュ」を必要とすることがあり得るし、または制御ストラクチャの期限が切れることがあり得る。このことは（所望であれば）、ＶＤＥコンテンツプロバイダが、エンドユーザのサイトで（ローカルなＶＤＥの安全なサブシステムを用いて）定期的にＶＤＥ制御情報を改変及び／又は追加することを可能にする。
【１２３２】
本実施例の（格納場所から受け取られたコンテンツの使用に関する）監査情報は、情報交換所のレシートシステム３３６２によりエンドユーザ３３１０から安全に受け取られる。上記のように、このシステムは、監査情報を処理し、このような処理のアウトプットの一部または全部を課金システムへ送り、及び／又はこのようなアウトプットを適切なコンテンツ著者に伝送し得る。このような監査情報の送信は、情報取り扱い技術を報告する安全なＶＤＥ通路を用いる。監査情報はまた、エンドユーザ、格納場所、第三のパーティであるマーケットリサーチャ、及び／又は１以上の著者による使用のための、エンドユーザコンテンツの使用の分析結果を生成するために、分析システムに送られ得る。分析結果は、単一の監査伝送、監査伝送の一部、単一のエンドユーザ及び／又は複数のエンドユーザ３３１０からの監査伝送の集まり、または分析の対象（例えば、与えられたコンテンツエレメントまたはエレメントの集まりの使用パターン、あるカテゴリのコンテンツの使用、支払い履歴、人口統計的使用パターンなど）に基づいた監査伝送のある種の組み合わせに基づき得る。エンドユーザに情報を送って、例えば予算を補充するため、使用制御を配送するため、許可情報を更新するため、および情報交換所とのインタラクションの間にエンドユーザによって要求された及び／又は必要とされたある種の他の情報及び／又はメッセージを伝送するために、レスポンスシステム３３６４が用いられる。エンドユーザが情報交換所に接続して伝送する間に、ある種の取り引き（例えば、時間、日付、並びに／又は接続及び／又は伝送の目的）が、監査システムの取り引きシステムによって記録され、それによって格納場所及び／又は著者の必要条件を反映させる。
【１２３３】
ある種の監査情報は、著者に伝送され得る。例えば、著者３３０６Ａは、エンドユーザから集められたある種の情報が監査システムによって処理されることなく著者３３０６Ａに伝送することを必要とすることがあり得る。この場合、伝送の事実は監査システムによって記録されるが、著者３３０６Ａは格納場所がこの情報にアクセスすること、情報を処理すること、及び／又は情報を用いることを許可しないで（または許可することに加えて）著者自身の使用分析を行うことを選択したということがあり得る。本実施例において、格納場所は、１以上のエンドユーザ３３１０から受け取られて、著者３３０６Ａによって提供されたコンテンツをこのようなユーザが使用したことに関する料金の支払いにより生成された、格納場所の予算に関連する使用情報の一部を、著者３３０６Ａに提供し得る。この場合、著者３３０６Ａは、コンテンツに関連するある種の使用情報と、コンテンツに対する格納場所の予算に関する使用情報とを比較することにより、使用パターンを分析する（例えば、料金の面での使用を分析する、可能性のある詐欺を検出する、ユーザのプロフィール情報を生成するなど）ことができる。著者３３０６Ａのコンテンツに関連して著者３３０６Ａに支払われるべき、情報交換所により収集される使用料金は、情報交換所の分配システムによって決定される。分配システムは、このような決定の結果生じる著者３３０６Ａへの支払いに関する使用情報を（完全な又は要約形態で）含み得る。このような支払いおよび情報のレポートは、エンドユーザのＶＤＥの安全なサブシステムから情報交換所の安全なサブシステム、さらに著者の安全なサブシステムにつながるＶＤＥ通路内で起こる、完全に自動化されたプロセスシークエンスであり得る。
【１２３４】
本実施例において、エンドユーザ３３１０は、ＶＤＥ許可及び／又は他の制御情報を格納場所３３０２に伝送して、分析システムにより使用される監査システムによって収集される使用情報へのアクセスを許可及び／又は禁止する。このことは、部分的に、このような情報の使用に関連する場合のエンドユーザのプライバシー権利を保証することを補助し得る。いくつかのコンテナは、制御ストラクチャの一局面として、使用情報を分析の目的のためにエンドユーザにとって入手可能にすることを必要とし得る。他のコンテナは、エンドユーザに、使用情報が分析のために使用されることを許可するか、このような情報のこのような使用を部分的にまたは全体的に禁止するかのオプションを与える。何人かのユーザは、ある種の情報の分析を許可して他の情報に対する許可を禁止することを選択し得る。本実施例において、エンドユーザ３３１０は、例えば、分析の目的のために使用され得る情報の細分性を制限することを選択し得る（例えば、エンドユーザが、ある期間に見られた映画の数の分析は許可するが特定の映画の使用は許可しないということがあり得る、エンドユーザが、人工統計分析のためのＺＩＰコードの放出は許可するが氏名および住所などの使用は許可しないということがあり得る、などである）。著者及び／又は格納場所３３０２は、例えば、エンドユーザが分析の目的のためにある種の使用情報を放出することに同意した場合、エンドユーザ３３１０により低い料金を課すことを選択し得る。
【１２３５】
本実施例において、格納場所３３０２は、１人より多い著者により作成されたコンテンツを受け取り得る。例えば、著者Ｂ、著者Ｃ、および著者Ｄが各々、単一のコンテナ内でエンドユーザ３３１０に配送されるコンテンツの一部分を作成することがあり得る。例えば、著者Ｂがリファレンスワークを作成し、著者Ｃが著者Ｂのリファレンスワークに対するコメントを作成し、著者Ｄが著者Ｂのリファレンスワークと著者Ｃのコメントとに対する１セットのイラストを作成するということがあり得る。著者Ｂが、著者Ｃと著者Ｄのコンテンツをまとめて更なるコンテンツ（例えば、上記のリファレンスワーク）を追加し、そのようなコンテンツを単一のコンテナに入れて、上記単一のコンテナが格納場所３３０２に伝送されるということがあり得る。これに代えて、各々の著者が自分自身のワークを別々に格納場所３３０２に伝送してもよい。その場合、コンテナをエンドユーザに送出する前に著者のそれぞれのワークを組み合わせるためにテンプレートが用いられるべきであることを指示しておく。さらにこれに代えて、全体のコンテンツストラクチャを反映するコンテナが格納場所３３０２に伝送されて、コンテンツの一部または全部が、コンテンツ格納部内に格納されるために格納場所３３０２に配送されるのではなく、コンテンツリファレンス内で参照されることがあり得る。
【１２３６】
エンドユーザがコンテナコンテンツを利用するとき、コンテンツ使用情報は、例えば、少なくとも部分的にはそのセグメントを作成した著者に基づいて使用情報を系統立てる制御ストラクチャに応じて分離され得る。これに代えて、著者及び／又はＶＤＥ格納場所３３０２は、ＶＤＥ制御情報に応じて使用情報を安全に分割及び／又は共有する１以上の他の技術をネゴシエートし得る。さらに、コンテナに関連する制御ストラクチャは、コンテナの特定の部分の使用、コンテナ全体の使用、使用する特定のページ、または著者によってネゴシエートされた（又は同意された）他の機構に基づいて、コンテンツの一部分に関連する使用料金を異ならせるモデルを実行し得る。使用情報、分析結果、分配、および他の情報交換所プロセスのレポートはまた、このようなプロセスに関して、格納場所３３０２の参加者（著者、エンドユーザ３３１０、及び／又は格納場所３３０２）が達した同意内容を反映する様式で、生成され得る。これらの同意内容は、これらの参加者間のＶＤＥ制御情報ネゴシエーションの結果であり得る。
【１２３７】
本実施例において、１つのタイプの著者は、パブリッシャ３３０８である。本実施例において、パブリッシャ３３０８は、「内部の」ネットワークを介して、ＶＤＥベースのローカル格納場所３３０２と通信し、上記のネットワークを介して公的な格納場所３３０２と通信する。パブリッシャ３３０８は、「内部の」ネットワークへのアクセスを有する他の参加者により使用されるローカル格納場所３３０２に配送されるコンテンツ及び／又はＶＤＥ制御ストラクチャテンプレートを作成または提供し得る。これらのテンプレートは、コンテナのストラクチャを記述するために用いられ得、さらにパブリッシャ３３０８の組織内の誰に、格納場所３３０２への配送される（及び／又は格納場所３３０２により参照される）刊行物に関連する、組織内で作成されたコンテンツに関して、どのような行為をなし得るかを記述し得る。例えば、パブリッシャ３３０８は、定期刊行物がコンテンツのストラクチャと含まれ得る情報のタイプ（例えば、テキスト、グラフィクス、マルチメディア表現、広告など）、コンテンツの相対的ロケーション及び／又は提示の順序、あるセグメントの長さなどに関して、あるフォーマットを有すると決定（且つ上記テンプレートの使用により制御）し得る。さらに、パブリッシャ３３０８は、例えば、刊行物のエディタがコンテナへの書き込みを許可し得る唯一のパーティであること、および組織の司書がコンテンツにインデックス及び／又はアブストラクトを付し得る唯一のパーティであることを（適切な許可の配布を介して）決定し得る。さらに、パブリッシャ３３０８は、例えば、ある１以上のパーティのみがコンテナを、格納場所３３０２へ配送するために入手可能な形態で最終的なものにすることを許可し得る（例えば、上記許可は、格納場所のエンドユーザ３３１０に関連する次の配布アクティビティを行うために格納場所３３０２が必要とし得る、配布許可を含む許可のタイプに対する制御を維持することにより行われる）。
【１２３８】
本実施例において、著者３３０６Ｅは、パブリッシャ３３０８に直接接続しており、パブリッシャ３３０８が著者３３０６Ｅのコンテンツ用のコンテナの特徴を確立する著者用テンプレートを提供し得るようになっている。例えば、著者３３０６Ｅがパブリッシャ３３０８により配布される本を作成した場合、パブリッシャ３３０８は、著者３３０６Ｅ選択用の制御メソッドオプションを提供し、且つ著者３３０６Ｅのワークを安全に配布するためのＶＤＥ制御ストラクチャを提供する、ＶＤＥ制御ストラクチャテンプレートを定義し得る。著者３３０６Ｅとパブリッシャ３３０８とは、著者３３０６Ｅが用いるテンプレート特性、特定の制御ストラクチャ、及び／又はパラメータデータのためのＶＤＥネゴシエーションを採用し得る。著者３３０６Ｅは、その後コンテンツコンテナ用の制御ストラクチャを作成するテンプレートを用い得る。パブリッシャ３３０８は、その後、著者３３０６Ｅとパブリッシャ３３０８との間の電子契約、ならびに格納場所３３０２とパブリッシャ３３０８との間の電子契約を含むＶＤＥ拡張契約下において、格納場所３３０２にこれらのワークを配送し得る。
【１２３９】
本実施例において、パブリッシャ３３０８はまた、著者３３０６Ｅのワークをローカル格納場所３３０２にとって入手可能にし得る。エディタは、著者Ｆが刊行物のコンテンツの一部分を作成することを（例えば、適切な許可の配布により）承認する。本実施例において、エディタは、著者Ｆのワークを検討及び／又は改変し得、さらにそれを著者３３０６Ｅにより提供されたコンテンツを有するコンテナ（ローカル格納場所３３０２で入手可能である）内に含み得る。エディタは、著者３３０６Ｅのコンテンツを改変することをパブリッシャ３３０８から許可されている場合もあるし、許可されていない場合もある（許可されるかされないかは、パブリッシャ３３０８と著者３３０６Ｅとの間に起こり得たネゴシエーション、および著者３３０６Ｅのコンテンツを改変する許可がパブリッシャ３３０８により再配布可能な形態で保持されている場合に、このような権利をエディタまで拡張しようというパブリッシャ３３０８の決定に依存する）。エディタはまた、（ａ）著者がコンテナに直接書き込むことを許可するプロセスを用いること、及び／又は（ｂ）含有のためにローカル格納場所３３０２からコンテナを検索することにより、他の著者からのコンテンツを含み得る。ローカル格納場所３３０２はまた、パブリッシャ３３０８の組織により用いられた他のマテリアル（例えば、データベース、他のリファレンスワーク、内部ドキュメント、検討用ドラフトワーク、トレーニングビデオなど）用にも用いられ得る。このようなマテリアルは、適切な許可を与えられれば、エディタにより作成されたコンテンツのＶＤＥコンテナコレクション内で採用され得る。
【１２４０】
本実施例において、司書は、反転されたインデックス、（例えば制限されたボキャブラリからの）キーワードリスト、コンテンツのアブストラクト、改訂の履歴などを作成及び／又は編集する責任を有する。パブリッシャ３３０８は、例えば、このタイプのコンテンツを作成する許可を司書のみに与える得る。パブリッシャ３３０８はさらに、この作成及び／又は編集が格納場所３３０２へのコンテンツの放出前に起こることを必要とし得る。
実施例−−ＶＤＥ管理コンテンツおよび制御情報の進化および変形
ＶＤＥコンテンツ制御アーキテクチャは、コンテンツ制御情報（コンテンツ使用を支配する制御情報など）が複数のパーティのＶＤＥ制御情報必要条件に準拠するように整形されることを可能にする。このような複数のパーティのコンテンツ制御情報を形成することは、通常、コンテンツ取り扱いおよび制御モデルにおいて役割を果たすパーティ（例えば、コンテンツクリエータ、プロバイダ、ユーザ、情報交換所など）により安全に寄与された制御情報から安全に制御情報を引き出すことを含む。別々に管理されたＶＤＥコンテンツの複数のピースを組み合わせて単一のＶＤＥコンテナオブジェクトにするためには（特に、このような別々に管理されたコンテンツピースが、異なる、例えば相反するコンテンツ制御情報を有する場合には）、複数のパーティの制御情報が必要になり得る。ＶＤＥ管理コンテンツピースをこのように安全に組み合わせるためには、それぞれのＶＤＥ管理コンテンツピースの、いずれの組み合わせに関する規則をも含む、制御情報必要条件を満たし、且つこのような複数の制御情報セット間の容認可能な一致を反映するコンテンツ制御条件を安全に引き出す、ＶＤＥの能力を必要とすることが頻繁にある。
【１２４１】
ＶＤＥ管理コンテンツピースの組み合わせの結果、ＶＤＥ管理コンテンツ複合体が生成され得る。ＶＤＥ管理コンテンツは、上記コンテンツピースに関連するコンテンツ管理情報に応じて実行され且つ１以上の安全なＶＤＥサブシステムＰＰＥ６５０の使用を介して処理されなければならない。様々なＶＤＥコンテンツピースを有する組み合わせプロダクトを作成するために、ＶＤＥ管理コンテンツピースを埋め込むこと又は組み合わせることをサポートするＶＤＥの能力は、ＶＤＥコンテンツプロバイダがＶＤＥ電子コンテンツプロダクトを最適化することを可能にする。ＶＤＥ管理コンテンツピースの組み合わせの結果、統合されたコンテンツ及び／又は同時に生じる、別々の、ネスティングされたＶＤＥコンテンツコンテナを「保持する」ＶＤＥコンテンツコンテナが生成され得る。
【１２４２】
以前は別々に管理されていたＶＤＥコンテンツ部分の異なるピースを保持するコンテンツコンテナを作成する、ＶＤＥの能力は、ＶＤＥコンテンツプロバイダがプロダクトを開発することを可能にする。上記プロダクトのコンテンツ制御情報は、コンテンツピースのプロバイダの目的と一致し、且つ、商用配布用プロダクトとしてあるコンテンツ組み合わせ物を作成し得るコンテンツ統合者の目的とも一致する、価値に関する提案を反映している。例えば、あるコンテンツプロバイダによって商用チャネル（ネットワーク格納場所など）に「送り出された」コンテンツプロダクトは、異なるコンテンツプロバイダ及び／又はエンドユーザによってＶＤＥコンテンツコンテナに組み込まれ得る（このような組み込みが送り出されたプロダクトのコンテンツ制御情報によって許可される限り）。これらの異なるコンテンツプロバイダ及び／又はエンドユーザは、例えば、このようなコンテンツの使用を規制する異なる制御情報を提出し得る。これらの異なるコンテンツプロバイダ及び／又はエンドユーザはまた、適切な承認を与えられれば、送り出されたコンテンツのある部分と他のパーティから受け取った（及び／又は自分自身で作成した）コンテンツとを異なる様式で組み合わせて異なるコンテンツコレクションを作成し得る。
【１２４３】
このようにＶＤＥは、ＶＤＥ管理コンテンツの与えられたピースのコピーが安全に組み合わされて異なるコンテンツ統合物になることを可能にする。上記統合物の各々は、異なるＶＤＥコンテンツ統合者のプロダクト戦略を反映する。ＶＤＥのコンテンツ統合能力の結果、広範囲の互いに競合する電子コンテンツが作成される。上記互いに競合する電子コンテンツは、異なるコンテンツコレクション全体を提供し、このような複数のプロダクトに共通し得るコンテンツ用の異なるコンテンツ制御情報を採用し得る。重要なことは、ＶＤＥは安全に且つフレキシブルに、ＶＤＥコンテンツコンテナ内のコンテンツを編集すること、ＶＤＥコンテンツコンテナからコンテンツを抽出すること、ＶＤＥコンテンツコンテナにコンテンツを埋め込むこと、およびＶＤＥコンテンツコンテナのコンテンツ複合物を整形および再整形することをサポートするということである。このような能力は、ＶＤＥサポートプロダクトモデルが電子商用モデル内の「次の」参加者の必要条件を次々と反映させることにより進化することを可能にする。その結果、与えられたＶＤＥ管理コンテンツが、取り扱いおよび分岐の通路を移動するときに、多くの異なるコンテンツコンテナおよびコンテンツ制御情報商用モデルに参加し得る。
【１２４４】
ＶＤＥコンテンツおよび上記コンテンツに関連する電子契約は、非電子プロダクト用の従来のビジネス慣習を反映する商業的方法において採用され且つ次々と操作され得る（ＶＤＥは、このような従来のモデルの大半に比べて、より高いフレキシビリティおよび効率性をサポートするが）。ＶＤＥ制御情報は、コンテンツクリエータ、他のプロバイダ、並びに取り扱いおよび制御参加者という他の通路により採用されたＶＤＥ制御情報によってのみ制限されて、電子コンテンツプロダクトモデルの「自然な」且つ妨害されない流れおよび上記モデルの作成を可能にする。ＶＤＥは、ＶＤＥプロダクトおよびサービスのこの流れを、仮想配布環境内でコンテンツの組み合わせ、抽出、および編集を介してプロダクト複合物をうまく且つ安全に整形および再整形するクリエータ、プロバイダおよびユーザのネットワークを介して、提供する。
【１２４５】
ＶＤＥは、異なる時に、異なる源により、及び／又は異なるコンテンツタイプを表すように提供されたコンテンツを安全に組み合わせる手段を提供する。これらのコンテンツのタイプ、タイミング、及び／又は異なる源は、ＶＤＥコンテンツコンテナ内において複雑なコンテンツアレイを形成するために採用され得る。例えば、ＶＤＥコンテンツコンテナは、複数の異なるコンテンツコンテナオブジェクトを含み得、上記コンテンツコンテナオブジェクトの各々は、使用が少なくとも部分的に所有者のＶＤＥコンテンツ制御情報セットによって制御され得る、異なるコンテンツを含む。
【１２４６】
ＶＤＥコンテンツコンテナオブジェクトは、安全なＶＤＥサブシステムの使用を介して、「ペアレント」ＶＤＥコンテンツコンテナ内に「無事に」埋め込まれ得る。この埋め込みプロセスは、埋め込まれたオブジェクトの作成、または以前は別々であって現在埋め込まれているオブジェクトを、少なくとも上記オブジェクトをそのロケーションとして適切に参照することによりＶＤＥコンテンツコンテナ内に含めることを含む。
【１２４７】
ペアレントＶＤＥコンテンツコンテナ内に埋め込まれたコンテンツオブジェクトは、
（１）ＶＤＥ安全サブシステムＰＰＥ６５０内で、１つ以上のＶＤＥコンポーネントアセンブリの安全な処理によって独立オブジェクトから埋め込まれたオブジェクトへと安全に変換することによりペアレントＶＤＥコンテンツコンテナに埋め込まれた、以前に作成されたＶＤＥコンテンツコンテナでありうる。この場合、埋め込まれたオブジェクトは、ペアレントコンテナに関連する１つ以上のパーミッションレコードを含むコンテンツ制御情報に供されうるが、例えば、コンテンツ識別情報とは別の固有のコンテンツ制御情報を有していない場合もあり、あるいは、その埋め込まれたオブジェクトが、固有のコンテンツ制御情報（例えば、パーミッションレコード）によってより重点的に制御されてもよい。
【１２４８】
（２）別のＶＤＥコンテンツコンテナから（コンテンツ制御情報とともに）、埋め込まれたＶＤＥコンテンツコンテナオブジェクトの形態で、ペアレントＶＤＥコンテンツコンテナへの内包に適用できうるように抽出したコンテンツを含みうる。この場合、抽出および埋め込みは、ＶＤＥ安全サブシステムＰＰＥ６５０内で安全に実行され、かつ、所望のコンテンツをソースＶＤＥコンテンツコンテナから取り出して（あるいはコピーして）、そのようなコンテンツを、そのどちらかがペアレントＶＤＥコンテンツコンテナに埋め込まれうる、あるいは埋め込まれるようになりうる新しいまたは既存のコンテナオブジェクトに配置し得る、１つ以上のＶＤＥ処理を用いて行いうる。
【１２４９】
（３）まず作成され、その後ＶＤＥコンテンツコンテナオブジェクトに配置されたコンテンツを含みうる。この受容コンテナは、すでにペアレントＶＤＥコンテンツコンテナに埋め込まれている場合があり、そして他のコンテンツをすでに含んでいる場合がある。そのようなコンテンツが配置されるコンテナは、コンテンツとインタラクトするＶＤＥを意識しているアプリケーションと、そのようなＶＤＥコンテナを安全に作成し、かつそのようなコンテナをデスティネーションであるペアレントコンテナに安全に埋め込んだ後にそのようなコンテンツをＶＤＥコンテナに配置する安全なＶＤＥサブシステムとを用いて指定されうる。あるいは、コンテンツは、ＶＤＥを意識しているアプリケーションを使用せずに指定され、その後、ＶＤＥコンテンツコンテナへのコンテンツの移動を管理するために、ＶＤＥを意識しているアプリケーションを用いて操作されうる。そのようなアプリケーションは、ＶＤＥを意識しているワードプロセッサ、デスクトップおよび／またはマルチメディアパブリッシングパッケージ、グラフィックスおよび／またはプレゼンテーションパッケージ等でありうる。また、そのようなアプリケーションは、オペレーティングシステム機能（例えば、ＶＤＥを意識しているオペレーティングシステムまたはＭｉｃｒｏｓｏｆｔ　Ｗｉｎｄｏｗｓと互換性のあるパッケージングアプリケーションのようなＯ／Ｓとともに作動するミニアプリケーション）であり得、ＶＤＥの「外」からＶＤＥオブジェクトの内部へのコンテンツの移動は、例えば、マウスなどのポインティングデバイスを用いてファイルをＶＤＥコンテナオブジェクトに「ドラッギング」することに伴う「ドラッグとドロップ」のメタファーに基づきうる。あるいは、ユーザがコンテンツの一部を「カット」し、最初にコンテンツを「クリップボード」に配置し、その後、目標コンテンツオブジェクトを選択して、そのコンテンツをそのようなオブジェクトにペーストすることによって、そのような部分をＶＤＥコンテナに「ペースト」しうる。このような処理により、ＶＤＥコンテンツ制御情報の管理およびＶＤＥ安全サブシステムの制御の下、そのコンテンツを目標オブジェクトにおけるある位置、例えばオブジェクトの最後、またはフィールド識別子などのコンテンツによって、あるいはそのコンテンツとともに運ばれる識別子に対応するオブジェクトの一部に、自動的にコンテンツを配置し得、あるいは、その埋め込み処理により、目標オブジェクトのコンテンツおよび／またはコンテンツのテーブルおよび／または他のディレクトリ、インデックス等をユーザが走査検索できるユーザインタフェースがポップアップされうる。このような処理はさらに、このような埋め込まれたコンテンツに適用されるＶＤＥコンテンツ制御情報に関する特定の決定（予算の制限使用、レポーティング通路、使用登録要件など）をユーザが下すことを可能にし得、および／またはコンテンツを埋め込む特定の位置を選択することに伴い、このような処理は全て、実用的に適用される程度にトランスペアレントに行われなければならない。
【１２５０】
（４）オブジェクトの埋め込みおよびリンクのための１つ以上のオペレーティングシステムユーティリティ、例えばＭｉｃｒｏｓｏｆｔ　ＯＬＥ規格に準じたユーティリティと連係してアクセスされうる。この場合、ＶＤＥコンテナは、ＯＬＥ「リンク」と関連しうる。ＶＤＥ保護されたコンテナへのアクセス（ＶＤＥ保護されたコンテナからのコンテンツの読み出しおよびそのコンテナへのコンテンツの書き込みを含む）は、ＯＬＥを意識しているアプリケーションから、保護されたコンテンツと関連する制御情報と連係してその保護されたコンテンツにアクセスするＶＤＥを意識しているＯＬＥアプリケーションへと渡されうる。
【１２５１】
ＶＤＥを意識しているアプリケーションはまた、ＰＰＥ内で、コンポーネントアセンブリとインタラクトし得、これによって、コンテンツがペアレントまたは埋め込まれたＶＤＥコンテンツコンテナのどちらにある場合でも、ＶＤＥコンテナのコンテンツの直接編集が可能となる。これは、例えばＶＤＥコンテナのコンテンツを直接編集する（追加、削除、または改変する）ためのＶＤＥを意識しているワードプロセッサの使用を含みうる。ＶＤＥコンテナコンテンツの編集の基礎を成す安全なＶＤＥ処理は、編集者（ユーザ）にとって大部分あるいは完全にトランスペアレントであり得、トランスペアレントに、編集者がＶＤＥコンテンツコンテナ階層のコンテンツのいくつか、あるいは全てを（ＶＤＥを意識しているアプリケーションを用いて）安全に走査検索でき、かつ、ＶＤＥコンテンツコンテナ階層に埋め込まれたＶＤＥコンテンツコンテナのうちの１つ以上を安全に改変することができうる。
【１２５２】
全てのＶＤＥ埋め込みコンテンツコンテナの埋め込み処理は通常、埋め込まれたコンテンツに対する適切なコンテンツ制御情報を安全に識別することに伴う。例えば、ＶＤＥインストレーションおよび／またはＶＤＥコンテンツコンテナ用のＶＤＥコンテンツ制御情報を、安全かつ埋め込み者（ユーザ）にトランスペアレントに、コンテナの予め「適所」にあるコンテンツの１つ以上の部分（例えばすべての部分を含む）に適用されるように、同一のコンテンツ制御情報を、編集された（例えば、改変された、または追加された）コンテナコンテンツに適用しうる、および／または、制御セット間のＶＤＥ制御情報ネゴシエーションによって生成された制御情報を安全に適用する、および／または、そのコンテンツに以前に適用された制御情報を適用しうる。制御情報の適用は、編集されたコンテンツがペアレントまたは埋め込まれたコンテナのどちらにあるかとは無関係に起こり得る。安全にコンテンツ制御情報を適用する（このコンテンツ制御情報は、自動的および／または気付かれずに適用され得る）この同じ機能は、ＶＤＥコンテナオブジェクトのコンテンツの抽出および埋め込みによって、すなわちＶＤＥコンテナオブジェクトの移動、またはコピーおよび埋め込みによってＶＤＥコンテナに埋め込まれたコンテンツにも用いられうる。コンテンツ制御情報の適用は通常、１つ以上のＶＤＥ安全サブシステムＰＰＥ６５０内で安全に行われる。この処理は、使い易いＧＵＩユーザインタフェースツールによって、ユーザが、特定の、または全ての埋め込まれたコンテンツに対してＶＤＥコンテンツ制御情報を指定することができるＶＤＥテンプレートを用いてもよく、異なる制御機能を絵で示す（記号化する）異なるアイコンによって表され得、かつ、そのような機能を、オブジェクトディレクトリ表示にリストされた埋め込まれたオブジェクトなどの、ＶＤＥ保護されたコンテンツの増分に適用しうる代替の制御メソッドの中から（例えば、異なる計量の形態間で）選択するなどの、メニュー方式の、ユーザが選択できる、および／または、限定できるオプションを含みうる。
【１２５３】
ＶＤＥコンテンツコンテナからコンテンツを抽出する、または、ＶＤＥを意識しているアプリケーションを用いて、ＶＤＥコンテンツを編集する、あるいはＶＤＥコンテンツを作成することにより、ペアレントＶＤＥコンテナに埋め込まれる新しいＶＤＥコンテンツコンテナオブジェクト内に配置され得るコンテンツが提供される。あるいは、そのようなコンテンツは、既存のコンテンツコンテナに直接配置されてもよい。これらの処理はすべて、１つ以上のＶＤＥインストレーション安全サブシステム内で、ＶＤＥコンテンツ制御情報を処理することによって管理されうる。
【１２５４】
ＶＤＥコンテンツコンテナオブジェクトは、埋め込まれたオブジェクトの位置および／またはコンテンツを解明するペアレントオブジェクトパーミッションレコードによって参照される制御情報によって、ペアレントオブジェクトに埋め込まれてもよい。この場合、埋め込まれたオブジェクトの既存のコンテンツ制御情報に対して、ほとんどあるいは全く改変がないことが要求されうる。あるＶＤＥコンテンツコンテナに再配置されるＶＤＥの安全に管理されたコンテンツは、例えば、再配置／埋め込み処理の間、暗号化されたあるいは保護された内容として（例えば、安全な不正改変不可能なバリア５０２によって）再配置されるコンテンツを維持し続けることが可能なＶＤＥサブシステムの安全処理を用いることによって、再配置され得る。
【１２５５】
埋め込まれたコンテンツ（および／またはコンテンツオブジェクト）は、異なる複数のパーティによって寄与される場合があり、１つ以上の安全なＶＤＥサブシステムの使用によって安全に管理されたＶＤＥコンテンツおよびコンテンツ制御情報一体化処理により、ＶＤＥコンテナに一体化しうる。この処理は、例えば、以下に記載の１つ以上の項目を含みうる。
【１２５６】
（１）埋め込みおよび／またはその提示されたコンテンツの使用を制御する命令を安全に適用し、その命令は、少なくとも部分的にコンテンツプロバイダおよび／またはそのＶＤＥコンテナのユーザによって適所に安全に配置された命令である。例えば、そのユーザおよび／またはプロバイダは、コンテンツの埋め込みの選択および／または制御オプション（例えば、ＶＤＥテンプレートの形で）を提供する１つ以上のユーザインタフェースとインタラクトしうる。そのようなオプションは、１つ以上の制御のうちどれが、コンテンツおよび／またはコンテンツ制御パラメータデータ（それ以前にはそのコンテンツが使用できない期間、コンテンツの使用コスト、および／またはソフトウェアプログラムの継続販売値引きなどの価格設定値下げ制御パラメータ）の入力の１つ以上の部分に適用されるべきか、および／または、１つ以上の制御が前記の１つ以上の部分に適用されるべきか否かのオプションを含みうる。必須および／または任意のコンテンツ制御情報が、プロバイダおよび／またはユーザによって一旦確立されれば、それは、ＶＤＥコンテンツコンテナに埋め込まれる特定あるいは全てのコンテンツに、部分的あるいは完全に自動的に適用できうるコンテンツ制御情報として機能できる。
【１２５７】
（２）受け取りＶＤＥインストレーションのユーザと埋め込みのために提示されているコンテンツに関連するＶＤＥコンテンツ制御情報との間のユーザインタフェースインタラクションの使用を含む、安全なＶＤＥの管理されたネゴシエーション活動。例えば、そのような関連の制御情報は、あるコンテンツ情報を提案し得、コンテンツの受け手は、例えば、受け取る、複数から選択する、拒否する、代替の制御情報を提供する、および／または、あるコンテンツ制御情報の使用に条件を適用する（例えば、ある１人以上のユーザによってコンテンツが使用される場合に、および／または、あるコンテンツの使用量が、あるレベルを超えた場合に、ある１つ以上の制御を受け取る）ことができる。
【１２５８】
（３）受けとりＶＤＥコンテンツコンテナおよび／またはＶＤＥインストレーションのＶＤＥコンテンツ制御情報と、提示されたコンテンツ（寄与されたＶＤＥオブジェクトのパーミッションレコードにおける制御情報、あるコンポーネントアセンブリ、１つ以上のＵＤＥおよび／またはＭＤＥにおけるパラメータデータ等）に関連するコンテンツ制御情報に伴う、安全で自動化されたＶＤＥの電子ネゴシエーションプロセス。
【１２５９】
ＶＤＥコンテンツコンテナに埋め込まれたコンテンツは、下記（１）および／または（２）の形態で埋め込まれうる。
【１２６０】
（１）新しいコンテナオブジェクトの形成を行わずに、ＶＤＥコンテンツコンテナ（このコンテナは、ペアレントまたは埋め込まれたコンテンツコンテナでもよい）の既存のコンテンツへと、直接的かつ安全に一体化されたコンテンツの形態。埋め込み後のコンテンツに関連するコンテンツ制御情報は、埋め込み後に必要とされる制御情報の確立を少なくとも部分的に制御する、前もって埋め込むどのコンテンツ制御情報とも一貫性がなければならない。このように直接的に一体化された、埋め込まれたコンテンツに対するコンテンツ制御情報は、ＶＤＥコンテナ用の制御情報（例えば、コンテンツ制御情報を含む１つ以上のパーミッションレコード）に一体化されてもよく、および／または、その制御情報の一部を構成してもよい。
【１２６１】
（２）ＶＤＥコンテンツコンテナオブジェクト内にネストされる１つ以上のオブジェクトにおいてコンテナに一体化されるコンテンツの形態。この場合、このコンテンツ用の制御情報は、ペアレントＶＤＥコンテンツコンテナ用のコンテンツ制御情報によって運ばれてもよい。あるいは、この制御情報は、例えば、その中に含まれる、および／または、ネストされたＶＤＥオブジェクトを含む１つ以上のコンテンツに特に関連した、１つ以上のパーミッションレコードによって、部分的に、または完全に運ばれうる。ペアレントＶＤＥコンテンツコンテナ内にオブジェクトを含むＶＤＥコンテンツのこのようなネスティングは、複数のレベルを用いてもよい。すなわち、ＶＤＥコンテンツコンテナにネストされたＶＤＥコンテンツコンテナ自体が、１つ以上のネストされたＶＤＥコンテンツコンテナを含んでもよい。
【１２６２】
ＶＤＥコンテンツコンテナは、１つ以上のネストされたコンテナ（オブジェクト）を含むネスト化構造を有してもよい。この１つ以上のネストされたコンテナ（オブジェクト）はそれ自体が、コンテナ、および／または、１つ以上のタイプのコンテンツ、例えば、テキスト、画像、音声、および／またはその他のタイプの電子情報をさらに含みうる（オブジェクトコンテンツは、例えば記憶媒体上のバイトオフセット位置を参照するコンテンツ制御情報によって指定されうる）。このようなコンテンツは、ストリーム（動的に蓄積する、および／または流れる等の）形態で、および／または、静的（定義済みといった、固定された完全ファイル）な形態で、保存、通信、および／または、使用されうる。そのようなコンテンツは、１つ以上のＶＤＥコンテンツコンテナのコンテンツのサブセットを抽出することによって得られうり、結果として生じる１つ以上のＶＤＥコンテンツコンテナが直接作成される。ＶＤＥの安全に管理されたコンテンツは、（例えば、ＶＤＥを意識しているアプリケーション、または抽出能力を有するオペレーティングシステムの使用によって）１つ以上のＶＤＥコンテンツコンテナ内の１つ以上の位置のそれぞれから抽出を行うために識別され得、その後、安全サブシステムＰＰＥ６５０におけるＶＤＥ制御を実行するプロセスによって、新しいまたは現存するＶＤＥコンテンツコンテナに安全に埋め込まれうる。このような抽出および埋め込み（ＶＤＥ「エクスポーティング」）は、安全に実行することを含む、安全に保護を行うＶＤＥエクスポーティングシステムを伴う。
【１２６３】
ＶＤＥエクスポーティングおよび埋め込みに関係するＶＤＥ活動は、ある安全な形態から１つ以上の他の安全な形態へのＶＤＥコンテンツの１つ以上の変換を行うことを伴う。このような変換は、変換されたコンテンツを新しいＶＤＥコンテンツコンテナに移動させるとともに、または移動させることなしに行いうる（例えば、コンテンツの少なくとも１部分の使用を抑制するさらなるＶＤＥ処理なしに、このような変換処理の結果または他の出力を、保護されていない形態では明らかにしないＰＰＥ内で動作するコンポーネントアセンブリによって）。このような変換処理の一例は、その上で変換が行われたコンテンツ情報を全く保持しない、または、そのコンテンツ情報のある部分あるいは全部を保持する一方で、数学的変換を行うことと、数学的結果のような結果を生むこととを伴いうる。このような変換の他の例としては、文書のフォーマットを変換する（例えば、Ｗｏｒｄ　ＰｅｒｆｅｃｔからＷｉｎｄｏｗｓ用のＷｏｒｄのフォーマットへ、または、ＳＧＭＬ文書からＰｏｓｔｓｃｒｉｐｔ文書への変換）、ビデオフォーマットを改変する（例えば、ＱｕｉｃｋＴｉｍｅビデオフォーマットからＭＰＥＧビデオフォーマットへの改変）、人工知能処理を行う（例えば、テキストを分析することによってサマリーレポートを作る）、および、他のＶＤＥ保護されたコンテンツからＶＤＥ保護されたコンテンツを得る他のプロセスを含む。
【１２６４】
図７９は、商用ＶＤＥユーザのアレンジメントの一例を示す。この例におけるユーザは、様々なメソッドでコンテンツを作成、配布、再配布、および使用する。この例は、コンテンツに関連する制御情報のある局面が、制御情報が処理および制御のチェーンを通して渡される際にどのように進化し得るかを示す。これらのＶＤＥユーザおよび制御は、より詳細に以下に説明する。
【１２６５】
この例におけるクリエーターＡは、ＶＤＥコンテナを作成し、（特に）ＶＤＥ制御情報の可能な「タイプ」の数例への参照を含む、関連のコンテンツ制御情報を提供する。この例を説明する一助とするために、別のＶＤＥ参加者に渡されたＶＤＥ制御情報のいくらかを、以下のより詳細な説明において、３つのカテゴリー、すなわち、配布制御情報、再配布制御情報、および使用制御情報にグループ化する。この例では、埋め込む制御情報の４番目のカテゴリーを、前述の３つのカテゴリー全てのエレメントとして考えることができる。制御情報の他のグループ化も可能である（ＶＤＥは、このメソッドで制御情報を組織化することを要求しない）。クリエーターＡによって作成されたコンテナのこの例に関連するコンテンツ制御情報は、図８０に、Ｃ_Ａとして示される。図８０はさらに、クリエーターＡのＶＤＥコンテンツコンテナに関係するイネーブルする制御情報を受けとり得るＶＤＥ参加者を示す。この例における制御情報のいくつかを、より詳細に以下に説明する。
【１２６６】
クリエーターＡによって指定される配布制御情報のいくつか（本例では、配布者による制御情報の作成、改変、および／または使用に主に関連する制御情報）は、（ａ）配布者が、クリエーターＡに、コンテナのコンテンツの使用中ユーザのそれぞれに対して、ユーザ１人につき１ヶ月１０ドルの料金で報酬を支払うこと、（ｂ）配布者が、予算を補充することなしには、１００人を超える独立ユーザがそのようなコンテンツにアクセスすることを許可し得ないように（例えば、コンテンツアクセス権を表す、１００を超えるパーミッションレコードを作り得ないように）予算を組むこと、および、（ｃ）他の参加者への配布用に作成されたイネーブルする制御情報（例えば、パーミッションレコードおよび関連のコンポーネントアセンブリ）において、配布権が譲渡され得ないことを含む。
【１２６７】
クリエーターＡによって指定されるコンテンツ再配布制御情報のいくつか（本例では、処理および制御のチェーンにおけるよりシニアな参加者によって許可される範囲内で配布者によって作成され、ユーザ／プロバイダ（本例では、ユーザ／配布者）に渡され、かつ、制御および／またはそのようなユーザ／配布者による再配布活動に関連する他の要件に関連する制御情報）は、（ａ）コンテンツアクセスをイネーブルする制御情報が、ユーザ／配布者によって、２レベルのみで再配布されうる要件を含み、そしてさらに、第１の再配布者が２レベルの再配布に制限され、第１の再配布者がパーミッションを配送する相手である第２の再配布者は、１レベル追加された再配布に制限され、第２の再配布者からパーミッションを受け取るユーザはさらなる再配布を行うことができないような、各再配布が値を１つずつ減少することを必要とする（このような制限は、例えば、新しいパーミッションの作成に関連するＶＤＥ制御メソッドの１局面として、以下の１つ以上のメソッドを促す要件を含むことによって強制されうる。この１つ以上のメソッドは、（ｉ）１つ以上のメソッドに関連するＵＤＥにおいて、例えば整数値として保存される再配布の現在のレベルを探しだし、（ｉｉ）再配布のレベル値を制限値と比較し、そして、（ｉｉｉ）そのような再配布のレベル値が制限値よりも少なければ、ＶＤＥ管理されたコンテンツに関連するコンテンツ制御情報の１局面として、ユーザにそのようなＵＤＥを配送する前に、再配布のレベル値を１つ増やし、再配布のレベル値が制限値と同じである場合は、そのプロセスが不履行となる）。そして、（ｂ）他の特別な制限が、再配布者に課せられることはない。
【１２６８】
クリエーターＡによって指定される使用制御情報のいくつかは（本例においては、ユーザおよび／またはユーザ／配布者に渡される制御情報において、配布者が提供することをクリエーターが求める制御情報）、例えば、（ａ）コンテンツの移動（本明細書中で説明される配布の形態）は、許可されない、および、（ｂ）配布者は、一ヶ月の内にコンテナにアクセスしたユーザの数を計算し、かつ、レンタルが失効した後のさらなる使用を防止するために、使用パーミッション内で（少なくとも）十分な計量情報を（例えば、処理および報告のチェーン、および／または、失効日および／またはパーミッションレコードあるいは他の必要制御情報内で時間老化した（ｔｉｍｅ−ａｇｅｄ）暗号化鍵の使用によって、クリエーターＡにアクセス使用を報告するように設計された計量メソッドの使用によって）保存することを要求される。
【１２６９】
本例で、クリエーターＡによって指定された抽出および／または埋め込み制御情報のいくつかは、コンテンツの抽出および／または埋め込みが、クリエーターＡによって提供されるＶＤＥの保護されたコンテンツに関係する再配布権を持たないユーザを除いて、処理およびこの制御情報に関連した制御のチェーンにいるパーティによって許可されないという要件を含みうる。あるいは、または、さらに、そのコンテンツの異なる部分に関して、ある抽出および／または埋め込みをイネーブルする制御情報は、本例で説明される再配布権とともに、ユーザ／配布者（ユーザ／配布者は、ユーザコンテンツアグリゲーターを含み得、ユーザコンテンツアグリゲーターは、異なるソースによって作成される、および／または、異なるソースから受け取るコンテンツを提供することによって彼ら自身のコンテンツプロダクトを作成し得る）による使用のために提供されうる。
【１２７０】
本例の配布者Ａは、イネーブルするコンテンツ制御情報を、コンテンツアクセス権のレンタルを好むユーザおよび／またはユーザ／配布者に提供する場合に、他のアプローチよりも配布者Ａが好む基本的アプローチを選択した。本例では、クリエーターによって提供される制御情報のいくつかによって、配布者Ａがこの好ましいアプローチを直接実行することが許可され、そして、（例えば、配布者Ａがそのようなアプローチを許可し、かつ、適切な制御情報を支持する、成功したＶＤＥネゴシエーションを完了しない限りは）他の制御構成がこの好ましいアプローチを許可し得ない。本例では、配布者Ａが受け取る制御構成の多くは、配布者Ａが、レンタルをベースとした使用権を反映する使用制御情報の作成を承認する配布制御情報に対する選択を示すＶＤＥネゴシエーションプロセスから得られる（そして、ＶＤＥネゴシエーションプロセスの結果を反映する）。このような配布制御情報によって、ユーザおよび／またはユーザ／配布者に配布するための制御情報を作成し、結果的にアクセス権を「レンタル」するようなメソッドでクリエーターによって提供される制御構成を、配布者Ａが紹介および／または改変することが可能となる。さらに、本例における配布者Ａは、再配布権に対するユーザ／配布者からのリクエストを処理し、従って、配布者Ａによって作成された制御情報の１局面として、配布者Ａがそのような権利を包含することを許可するクリエーターとネゴシエート（または、同意）した配布制御情報もまた選択することになる。
【１２７１】
本例では、配布者ＡとクリエーターＡとが、ＶＤＥを用いて配布関係に関するネゴシエーション（例えば、ＶＤＥネゴシエーション）を行いうる。本例では、クリエーターＡが、ＶＤＥコンテンツコンテナと、使用権のレンタルに基づいて報酬を受け取るというクリエーターＡの望みを表す関連の制御情報とを作成し、そして、そのような制御情報が、配布者Ａがユーザ／配布者からのリクエストを処理するために使用し得る再配布制御情報に、クリエーターＡが許容可能な制限を課したことをさらに示すので、配布者Ａは、ネゴシエーションによる改変を全く行わずに、クリエーターＡの配布制御情報を受け入れうる。
【１２７２】
クリエーターＡからのイネーブルする配布制御情報を受け取った後、配布者Ａは、アプリケーションプログラムを操作することによって、（よりシニアな制御情報によって許可される、または阻止されない場合に）配布者Ａによってイネーブルされたユーザおよび／またはユーザ／配布者のための使用制御情報の詳細のある部分または全部を指定しうる。配布者Ａは、例えば、ユーザ１人当たり１ヶ月につき１５ドルの価格が、クリエーターＡのコンテナに対するユーザの支払いに対する配布者Ａの事業目的にかなうと決定しうる。配布者Ａは、クリエーターＡによって配布者Ａに与えられた配布制御情報の要件を満たす使用制御情報を指定しなければならない。例えば、配布者Ａは、クリエーターＡの要件に応じて、制御情報の仕様書に、必要とされる失効日および／または時間老化した暗号化鍵を入れてもよい。配布者Ａが、制御情報の仕様書にそのような情報を入れなかった（または、他の要件を満たさなかった）場合には、クリエーターＡのパーミッションレコードで参照され、この制御情報を実際に作成するためにＰＰＥ６５０内で安全に行使される制御メソッドは、本例においては、許容可能な情報が配布者Ａの制御情報の仕様書に入れられるまでは、望ましいメソッド（例えば、あるフィールドにおける提案値のチェックに基づくメソッド、特定のメソッドがパーミッションに含まれることを求めるといった要件に基づくメソッド等）で実行されない。
【１２７３】
本例では、ユーザＡが配布者ＡからＶＤＥの管理されたコンテンツ使用制御情報を配布者Ａから受け取りうるように、ユーザＡが配布者Ａとのアカウントを設定しうる。ユーザＡは、配布者Ａからのコンテンツ使用制御情報を受け取ることによって、クリエーターＡのコンテンツにアクセスし、そのコンテンツを使用しうる。使用制御情報は、配布者Ａを含む処理のチェーンを通して渡される（および、そのチェーンに加えられる、および／または、そのチェーンによって改変される）ので、クリエーターＡのコンテンツを利用するために配布者Ａからリクエストされた使用制御情報は、本例においては、クリエーターＡおよび配布者Ａからの制御情報の複合体を表す。例えば、あるユーザがクリエーターＡのＶＤＥ制御されたコンテンツコンテナにアクセスし、そのユーザが同じ月のうちにそのコンテナに以前にアクセスしていない場合に、監査レコードを生成する計量メソッドを（例えば、そのような計量メソッドのメソッドコアで参照されるオープンコンテナ事イベントに関連するＵＤＥに、ユーザの最後のアクセス日を格納し、次のアクセス時に、そのアクセスが同じ月のうちに行われたかどうかを決定するためにその日付を比較することによって）確立しうる。１つ以上の課金、および／または、上記のような１ヶ月ごとの使用に対する料金を反映するように配布者Ａによって作成される、改変される、１つ以上のパーミッションレコードに参照される、および／または、パラメタライズされる予算メソッドを発動させる、クリエーターＡのコンテナのオープンに関連する制御メソッド（この制御メソッドは、例えば、クリエーターＡによっても作成および／または提供される、または、配布者Ａによって作成および／または提供される）において、配布者Ａは、そのような計量メソッドを利用しうる。クリエーターＡのシニア制御情報によって許可される範囲内で、配布者Ａが使用および／または再配布制御情報を指定した場合は、制御情報の新しいセット（図８０にＤ_Ａ（Ｃ_Ａ）で示される）が、配布者Ａによるそのコンテナに関連する制御情報が、ユーザおよび／またはユーザ／配布者（本例では、ユーザＡ、ユーザＢ、およびユーザ／配布者Ａ）に配送されるときに、クリエーターＡのＶＤＥコンテンツコンテナに関連づけられうる。
【１２７４】
本例では、ユーザＡが、クリエーターＡのＶＤＥコンテンツコンテナに関係する制御情報を配布者Ａから受け取りうる。この制御情報は、ユーザＡと配布者Ａとの間の拡張契約（例えば、コンテンツの使用に関連する料金、制限のある再配布権等に関する）、および、配布者ＡとクリエーターＡとの間の拡張契約（例えば、ＶＤＥの制御されたコンテンツ使用情報および／または例えば配布者ＡがクリエーターＡから受け取る、またはクリエーターＡが配布者Ａから受け取るコンテンツ制御情報の使用および／または作成の特徴、範囲、処理、報告、および／または他の局面に関して、あるいは、他のＶＤＥのコンテンツ使用情報処理における契約）を表しうる。このような拡張契約は、各参加者のＶＤＥインストレーションの安全サブシステム内で動作する処理によって強制されうる。本例においては、配布者Ａによって改変されるような、クリエーターＡの制御情報を表すそのような拡張契約の部分は、　Ｄ_Ａ（Ｃ_Ａ）によって示され、例えば、（ａ）制御構成（例えば、１つ以上のコンポーネントアセンブリ、１つ以上のパーミッションレコード等）と、（ｂ）そのような制御情報に記された要件に従って、クリエーターＡのコンテンツを使用する間に生成された使用情報の記録と、（ｃ）そのような使用の結果として（そのような結果は、ＶＤＥの使用によって配送される請求書を電子的に、安全に、かつ自動的に受け取ることも包含し得、そのような請求書は該使用から得られる）、支払い（そのような使用に応答して「実行される」自動電子クレジットおよび／または電子通貨による支払いを含む）を行うことと、（ｄ）ユーザＡ、および／または、ユーザＡのＶＤＥインストレーションのＶＤＥ安全サブシステムによる、そのような使用および／またはそのような制御情報の結果である他の活動とを含む。
【１２７５】
制御情報Ｄ_Ａ（Ｃ_Ａ）に加えて、ユーザＡは、自分自身の制御情報を、（シニアコンテンツ制御情報の制限内で）クリエーターＡのＶＤＥコンテンツコンテナを使用する際に強制することができる。この制御情報は、例えば、（ａ）しきい値（例えば、数量制限、例えばアクティビティパラメタ当たりの出費額に対して自己的に課した制限）が超過した場合に、継続を行う前に、ユーザＡが明確な承認を与えなければならないように、使用に課した取引、セッション、時間ベースの、および／または他のしきい値、（ｂ）クリエーターＡのコンテンツに対するユーザＡの使用に関係する詳細に関係したある使用の記録および／または送信に対するユーザＡのプライバシー要件、（ｃ）クリエーターＡのコンテンツコンテナに残る価値の保存および／またはシステムの不履行または他の原因によって失い得る電子クレジットおよび／または電子通貨の局所的格納を確実にする一助とするために、ユーザＡが自分自身に課すバックアップ要件を含みうる。ユーザＡの制御情報に関するこれらの例のうちのいくつかまたは全部における実行する権利は、ある例においては配布者とネゴシエートしうる。そのようにユーザに指定される他の制御情報は、いかなるコンテンツプロバイダから受け取るどのような制御情報とも無関係に強制され得、コンテンツおよび／または電子機器の使用の１つ以上のクラス、または全てのクラスに対する、ユーザの制御情報、より一般的には、ＶＤＥインストレーションの制御情報と関係するようにセットされうる。クリエーターＡのコンテンツコンテナをユーザＡが使用する間、適所に位置しうるＶＤＥ制御情報の完全なセットは、図８０にＵ_Ａ（Ｄ_Ａ（Ｃ_Ａ））として示される。このセットは、クリエーターＡによって発生した制御情報、配布者Ａによって改変されたとき、ユーザＡによってさらに改変されたときの制御情報を表し得、これらの情報はすべて、よりシニアな制御情報を提供するバリューチェーンのパーティからの制御情報に従っており、それゆえに、本例に関しては、クリエーターＡのＶＤＥコンテンツコンテナに関する、ユーザＡと、配布者Ａと、クリエーターＡとの間の「完全な」ＶＤＥ拡張契約を構成する。ユーザＢは、例えば、配布者Ａからそのような制御情報　Ｄ_Ａ（Ｃ_Ａ）も受け取り得、自分自身の制御情報を承認されたメソッドで追加することにより、セットＵ_Ｂ（Ｄ_Ａ（Ｃ_Ａ））を形成しうる。
【１２７６】
ユーザ／配布者Ａは、クリエーターＡのＶＤＥコンテンツコンテナに関係するＶＤＥ制御情報も配布者Ａから受け取りうる。ユーザ／配布者Ａは、例えば、ユーザとしてクリエーターＡのコンテンツを使用することと、制御情報の再配布者として行動することの両方を行いうる。本例では、制御情報　Ｄ_Ａ（Ｃ_Ａ）は、これら２つの活動を可能とし、かつ制限もする。　Ｄ_Ａ（Ｃ_Ａ）によって許可される程度にまで、ユーザ／配布者Ａは、ユーザ／配布者Ａの使用を制御し（ユーザＡとユーザＢとに関連して上述した様式と類似の様式で）、かつ、ユーザ／配布者Ａによって再配布される制御情報を制御する（配布者Ａと関連して上述した様式と類似の様式で）、Ｄ_Ａ（Ｃ_Ａ）に基づいた自分自身の制御情報、すなわちＵＤ_Ａ（Ｄ_Ａ（Ｃ_Ａ））を作成しうる。例えば、ユーザ／配布者Ａが、ＵＤ_Ａ（Ｄ_Ａ（Ｃ_Ａ））をユーザ／配布者Ｂに再配布する場合、クリエーターＡまたは配布者Ａのどちらからも要求されなかった特定の使用情報を、ユーザ／配布者Ｂはユーザ／配布者Ａに報告することを要求されうる。あるいは、または、さらに、ユーザ／配布者Ｂは、例えば、ユーザ／配布者ＢがクリエーターＡのコンテンツを使用する時間数（分）に基づいて（ユーザ／配布者Ｂの使用に対して配布者Ａが、ユーザ／配布者Ａに請求する月々の料金ではなく）、ユーザ／配布者Ａに、クリエーターＡのコンテンツの使用料金を支払うことに同意してもよい。
【１２７７】
本例では、ユーザ／配布者Ａが、クリエーターＡのコンテンツに関連する制御情報をさらに再配布することをユーザ／配布者Ｂに許可する制御情報ＵＤ_Ａ（Ｄ_Ａ（Ｃ_Ａ））を、ユーザ／配布者Ｂに配布しうる。ユーザ／配布者Ｂは、制御情報の新しいセットであるＵＤ_Ｂ（ＵＤ_Ａ（Ｄ_Ａ（Ｃ_Ａ）））を作成しうる。制御情報ＵＤ_Ａ（Ｄ_Ａ（Ｃ_Ａ））が、ユーザ／配布者Ｂに再配布を許可する場合、本例におけるクリエーターＡからの再配布に対する制限により、セットＵＤ_Ｂ（ＵＤ_Ａ（Ｄ_Ａ（Ｃ_Ａ）））がさらに再配布権を含むこと（例えば、再配布権をユーザＢに提供すること）が禁止され、その理由は、配布者Ａからユーザ／配布者Ａへの処理のチェーン（配布）と、ユーザ／配布者Ａからユーザ／配布者Ｂへのそのチェーンの継続（再配布の第１のレベル）と、別のユーザへのそのチェーンのさらなる継続とは、再配布の２つのレベルを表し、その結果、セットＵＤ_Ｂ（ＵＤ_Ａ（Ｄ_Ａ（Ｃ_Ａ）））は、本例においては、さらなる再配布権を包含しえない。
【１２７８】
図７９に示されるように、ユーザＢは、（数ある中で）ユーザ／配布者Ｂと配布者Ａとの両方からコンテンツを使用しうる。この例では、図８０に図示されるように、ユーザＢは、クリエーターＡのコンテンツに関連する制御情報を、配布者Ａおよび／またはユーザ／配布者Ｂから受け取りうる。どちらの場合も、ユーザＢは、自分自身の制御情報を、（そのような制御情報に許可された場合）　Ｄ_Ａ（Ｃ_Ａ）および／または　ＵＤ_Ｂ（ＵＤ_Ａ（Ｄ_Ａ（Ｃ_Ａ）））上にそれぞれ確立できうる。その結果それぞれ生じる制御情報のセット、　Ｕ_Ｂ（Ｄ_Ａ（Ｃ_Ａ））および／またはＵ_Ｂ（ＵＤ_Ｂ（ＵＤ_Ａ（Ｄ_Ａ（Ｃ_Ａ））））は、異なる制御シナリオを表し得、各シナリオが、ユーザＢにとって利益を有しうる。先述の例に関連して説明したように、ユーザ／配布者Ａを含む処理のチェーンに沿って、ユーザＢがクリエーターＡのコンテンツを利用する分数に料金を基づかせる（そして、ユーザ／配布者Ａに、その月中のユーザＢによる使用量とは無関係に、ユーザ１人当たり月々１５ドルの料金を配布者Ａに支払うことを要求する）制御情報を、ユーザＢはユーザ／配布者Ｂから受け取ったかもしれない。これは、配布者Ａによって提供される制御情報の直接的な使用によって要求される料金よりも、ある状況下では、より好ましいかもしれないが、再配布の使い尽くされたチェーン、そして例えば、　ＵＤ_Ｂ（ＵＤ_Ａ（Ｄ_Ａ（Ｃ_Ａ）））に含まれるさらなる使用情報報告要件という、不都合も有しうる。制御情報の２つのセット、Ｄ_Ａ（Ｃ_Ａ）とＵＤ_Ｂ（ＵＤ_Ａ（Ｄ_Ａ（Ｃ_Ａ）））とが許可する（例えば、あるコンテナに関係する制御情報の異なるセットの登録破棄および再登録（または、異なる制御情報を有する、および／または、異なるコンテンツプロバイダによって提供される、同一のコンテンツの複数のコピーの再登録）を、処理およびＤ_Ａ（Ｃ_Ａ）とＵＤ_Ｂ（ＵＤ_Ａ（Ｄ_Ａ（Ｃ_Ａ）））に反映される制御のチェーンに対する拡張契約の１局面として、ある特定の時間の間隔内で防止する、ユーザＢのＶＤＥインストレーションの安全なサブシステムによって使用されるオブジェクトレジストリーにおける登録間隔を例えば使って強制される排他を必要としない）場合、ユーザＢは、登録された制御情報の両方のセットを有し得、ある使用シナリオのもとで、より望ましい方のセットを利用しうる。
【１２７９】
本例では、クリエーターＢが、ＶＤＥコンテンツコンテナを作成し、ＶＤＥ制御情報のセットを、図８１にＣ_Ｂとして示されるようなコンテナに関連づける。図８１はさらに、クリエーターＢのＶＤＥコンテンツコンテナに関係するイネーブルする制御情報を受け取りうるＶＤＥ参加者を示す。本例では、制御情報が以下のことを示しうる。クリエーターＢのコンテンツの配布者が、（ａ）そのような配布者に承認されたユーザおよび／またはユーザ／配布者によって復号化された情報の１キロバイトにつき０．５０ドルをクリエーターＢに支払わねばならない、（ｂ）クリエーターＢが、復号化されたコンテンツの１キロバイトにつき０．５０ドルを受け取る要件を維持する一方で、ユーザおよび／またはユーザ／配布者は、自分達のコンテンツコンテナを別のコンテナに埋め込むことを許可しうる、（ｃ）ユーザおよび／またはユーザ／配布者のために生成されうるイネーブルする制御情報セットの数に制限を持たない、（ｄ）ある時間間隔で（例えば、少なくとも１ヶ月に１回）、そのような配布された制御情報の数に関する情報を報告しなければならない、（ｅ）ユーザおよび／またはユーザ／配布者が、自分達の制御情報の移動を３回まで行うことを許可する制御情報を作成しうる、（ｆ）ユーザ／配布者による制御情報の再配布を、再配布の３つのレベルまで許可しうる、（ｇ）再配布された制御情報をユーザ／配布者から受け取るユーザ１人につき１回まで移動を許可しうる。
【１２８０】
本例では、配布者Ａが、クリエーターＢに関連して上述したＶＤＥコンテナに関連する制御情報をユーザおよび／またはユーザ／配布者に配布することが可能な制御情報を、配布者ＡがクリエーターＢから要請しうる。先述のように、配布者Ａは、配布者Ａからアクセス権を受け取るユーザおよびユーザ／配布者へのアクセス権の「レンタル」をより好む事業モデルを確立した。本例におけるクリエーターＢの配布制御情報は、権利の「レンタル」を含むモデルを強制せず、むしろ、ユーザまたはユーザ／配布者によって復号化されたコンテンツの量に支払い額を基づかせる。本例では、ＶＤＥを用いることによって、クリエーターＢによって許可される異なる使用情報記録モデルを含むことを、配布者ＡがクリエーターＢとネゴシエートしうる。このモデルは、エンドユーザによって復号化されたバイト数を記録するクリエーターＢのコンテナに関連する制御構造において、１つ以上の計量メソッドを含むことを基調としうるが、そのような復号化に基づいて料金をユーザに請求することはしないで、むしろ、配布者Ａは、「レンタル」モデルによってユーザに請求することを提唱し、クリエーターＢの制御情報は、「レンタル」モデルによってユーザに請求できることに同意し、そして、クリエーターＢに対する支払い額を、バイト復号化計量メソッドによって記録された情報、および／または、ユーザからの支払いの集積に基づいて決定する。
【１２８１】
クリエーターＢは、例えば、（ａ）監査人の役目を果たす（例えば、配布者ＡのサイトでＶＤＥ安全サブシステムを用いて、クリエーターＢのコンテンツのユーザから配布者Ａが受け取る監査情報の処理に関連する制御メソッドを信頼し、そしてさらに、配布者ＡがクリエーターＢに返済すべき額を安全に計算すること、そして、例えば、配布者Ａの所有するクレジットおよび／または通貨によるクリエーターＢへの支払いを管理する、互いに許容可能な予算メソッドを用いて、クリエーターＢに支払いを行う）配布者Ａとの、そのような新しい制御モデルを承諾し得、（ｂ）このコンテンツに関連するあらゆる監査機能を行う第３パーティに対する配布者Ａの承諾に基づいて、そのような新しい制御モデルを承諾し得、（ｃ）ユーザによって復号化されたバイト数を記録する１つ以上の計量メソッドに関連する情報が、配布者ＢのＶＤＥ安全サブシステムによって安全にパッケージされ、ＶＤＥ通信技術を用いて、配布者Ａに加えてクリエーターＢに安全に送られた場合に、そのようなモデルを承諾し得、および／または、（ｄ）他の互いに許容可能な条件を承諾しうる。Ｃ_Ｂによって許可されるような、配布者Ａによって行われる改変に基づいて、配布者Ａによって作成された制御情報は、本例では、Ｄ_Ａ（Ｃ_Ｂ）として参照される。
【１２８２】
ユーザＡは、制御情報のセットＤ_Ａ（Ｃ_Ｂ）を配布者Ａから受け取りうる。配布者Ａを含む処理のチェーンを介して、クリエーターＡから受け取るコンテンツに関連して上述したように、ユーザＡは、　Ｄ_Ａ（Ｃ_Ｂ）に許可される範囲で、自分自身の制御情報を、制御情報Ｄ_Ａ（Ｃ_Ｂ）に適用し、それによって、制御情報のセットＵ_Ａ（Ｄ_Ａ（Ｃ_Ｂ））を作成しうる。制御情報のセットＤ_Ａ（Ｃ_Ｂ）は、（復号化された情報の１キロバイトにつき、０．５０ドルの支払いを要求する制御情報Ｃ_Ｂに従って、クリエーターＢのコンテンツに対するユーザＡの使用に対して、配布者ＡがクリエーターＢに返済すべき額の正しい計算を可能とするために）ユーザＡによって、クリエーターＢのコンテナから復号化されたコンテンツのバイト数を記録する１つ以上の計量メソッド、および、クリエーターＢのコンテンツに対するユーザＡの使用に関連し、かつ、「レンタル」モデル（例えば、配布者Ａが、ユーザＡがクリエーターＢのコンテンツを利用する月をそれぞれ記録し、そして、ユーザＡがそのようなコンテンツを利用するそのような各月ごとに、一月あたり１０ドルをユーザＡに請求するさらなる制御情報に関連する、計量メソッドを例えば含み得る）に基づく課金を安全に発生させるのに十分な情報を配布者Ａが集めうるような、使用の記録に関連するさらなる計量メソッドを含みうる。
【１２８３】
ユーザ／配布者Ａは、クリエーターＢから直接制御情報Ｃ_Ｂを受け取りうる。この場合、クリエーターＢは、ＶＤＥを使用することによってユーザ／配布者Ａとネゴシエートし得、クリエーターＢと配布者Ａとの間に確立された配布関係に関連して上述したのと同じでありうる、または、異なりうる制御情報Ｃ_Ｂのセットを配送しうる。例えば、ユーザ／配布者Ａは、ユーザ／配布者Ａ（および配布されたおよび／または再配布された制御情報をユーザ／配布者Ａから受け取るいかなる参加者）によって復号化されたコンテンツに対して、１キロバイトあたり０．５０ドルの値段で、ユーザ／配布者ＡがクリエーターＢに支払うという要件を含む制御情報Ｃ_Ｂを受け取りうる。上述のように、ユーザ／配布者Ａはまた、クリエーターＢのＶＤＥコンテンツコンテナに関連する制御情報を、配布者Ａから受け取りうる。本例では、ユーザ／配布者Ａは、配布者Ａへと渡る処理のチェーンを通した「レンタル」料金の支払いと、クリエーターＢに向けた処理のチェーンを介した復号化の量に基づく料金の支払いとの間で選択しうる。本例では、Ｃ_ＢとＤ_Ａ（Ｃ_Ｂ）のどちらか一方の使用、または、その両方の使用を選択する能力を有しうる。クリエーターＡおよび配布者Ａを含む処理のチェーンに関連して上述したように、ユーザ／配布者Ａは、Ｃ_Ｂおよび／またはＤ_Ａ（Ｃ_Ｂ）に許可される範囲で、自分自身の制御情報を適応することによって、制御情報のセットＵＤ_Ａ（Ｃ_Ｂ）およびＵＤ_Ａ（Ｄ_Ａ（Ｃ_Ｂ））をそれぞれ形成しうる。
【１２８４】
図８１に示されるように、本例においては、ユーザＢが、クリエーターＢのＶＤＥコンテンツコンテナに関連する制御情報を、６つの異なるソース、すなわち、クリエーターＢから直接のＣ_Ｂ、配布者ＡからのＤ_Ａ（Ｃ_Ｂ）、ユーザ／配布者ＢからのＵＤ_Ｂ（ＵＤ_Ａ（Ｄ_Ａ（Ｃ_Ｂ）））および／またはＵＤ_Ｂ（ＵＤ_Ａ（Ｃ_Ｂ））、配布者ＣからのＤ_Ｃ（Ｃ_Ｂ）、および／または配布者ＢからのＤ_Ｂ（Ｄ_Ｃ（Ｃ_Ｂ））から受け取りうる。これは、それを通してユーザＢが、本例における他の参加者との拡張契約に入りうる処理の６つのチェーンを表す。これらのチェーンのうち２つは、ユーザ／配布者Ｂを通過する。ユーザ／配布者ＢとユーザＢとの間のＶＤＥネゴシエーションに基づいて、ユーザＢが、制御情報の１つまたは両方のセットを使用しうるような条件を反映する拡張契約に（両方のパーティを支配する制御情報に許可された場合）達しうる。この例では、処理および制御の２つのチェーンが、ユーザ／配布者Ｂの位置で「一つになり」得、その後ユーザＢへと渡されうる（そして、制御情報が許可すれば、ユーザＢによる配布および／または再配布に基づいて、あとでもう一度分岐する）。
【１２８５】
本例においては、クリエーターＣは、図８２に示されるように、クリエーターＣによって作成されるＶＤＥコンテンツコンテナに関連する、制御情報Ｃ_Ｃの１つ以上のセットを作成する。図８２はさらに、クリエーターＣのＶＤＥコンテンツコンテナに関係するイネーブルする制御情報を受け取りうるＶＤＥ参加者を示す。そのようなコンテナ内のコンテンツは、本例においては、テキスト項目のセットに系統だてられる。本例においては、制御情報が、そのようなコンテナ内の項目を説明する１つ以上のコンポーネントアセンブリ（例えば、各項目の範囲を説明するマップテーブルおよび／またはアルゴリズムを参照する１つ以上のイベントメソッド）を含みうる。Ｃ_Ｃはさらに、例えば以下のものを含みうる。（ａ）配布者が、ユーザおよび／またはユーザ／配布者によってアクセスされた項目１つにつき１ドルをクリエーターＣが受け取り、その支払いによって、ユーザは、そのような項目に６ヶ月間のみアクセスすることが許可されることを（例えば、１ヶ月に１度エージングするマップタイプの計量メソッド、時間老化した復号化鍵、関係のあるパーミッションレコードに関連する失効日などを用いて）確実にするという要件、（ｂ）クリエーターＣのコンテナからの項目が、抽出／埋め込み１回あたりの料金１０ドルで、別のコンテナへと抽出および埋め込まれることを許可する制御情報、（ｃ）抽出された／埋め込まれた項目が、再び抽出されることを禁止する制御情報、（ｄ）配布者が、１ヶ月につき上限１０００人のユーザまたはユーザ／配布者に対して、イネーブルする制御情報を作成することを許可する制御情報、（ｅ）１人の配布者によってイネーブルされるユーザおよびユーザ／配布者の数に関する情報が、少なくとも１週間に１回、クリエーターＣに報告されることを要求する制御情報、（ｆ）ユーザまたはユーザ／配布者がイネーブルする制御情報の移動を１回まで行なえるようにすることを配布者に許可する制御情報、そして、（ｇ）ユーザ／配布者による再配布を２つのレベルまで許可する制御情報。
【１２８６】
本例では、配布者Ｂが、クリエーターＣとの配布関係を確立しうる。また、本例における配布者Ｂは、配布者Ｂに対する支払いを、そのようなＶＤＥ参加者によって行われるアクセス数に基づかせる制御情報をユーザおよびユーザ／配布者に配布することをより好む事業モデルを確立し得たかもしれない。本例では、配布者Ｂが、ユーザおよび／またはユーザ／配布者へ配布するイネーブルする制御情報の改変されたセットＤ_Ｂ（Ｃ_Ｃ）を作成しうる。このセットＤ_Ｂ（Ｃ_Ｃ）は、例えば、配布者Ｂから制御情報を受け取るユーザおよび／またはユーザ／配布者に対して、ユーザ１人あたり、アクセスごとに０．１０ドルの料金を確立するための、ＶＤＥを用いたネゴシエーションに基づきうる。例えば、　Ｃ_Ｃに基づいて、配布者ＢによるクリエーターＣへの正確な支払いを確実にするために、ユーザおよび／またはユーザ／配布者から十分な情報を集められうることを確実とするために、１つ以上のマップタイプの計量メソッドがＣ_Ｃに含められた場合、そのようなメソッドは、セットＤ_Ｂ（Ｃ_Ｃ）に保存され得、そして、１つ以上のさらなる計量メソッド（および課金および／または予算メソッドのような他の必要な制御構造）が含まれ得、それによって、セットＤ_Ｂ（Ｃ_Ｃ）が、配布者Ｂが各アクセスに基づいて料金を受け取ることも確実とするように、各アクセスを記録する。
【１２８７】
本例におけるクライアント管理者は、例えば、配布者ＢからユーザＢが受け取った管理情報とは異なるコンテンツ制御情報のセットＤ_Ｂ（Ｃ_Ｃ）を受け取りうる。例えば、クライアント管理者は、ＶＤＥを用いることによって、あらゆるクリエーター（これらのクリエーターのために配布者Ｂがイネーブルするコンテンツ制御情報をクライアント管理者に提供しうる）からのコンテンツのための制御情報のセットを確立することを、配布者Ｂとネゴシエートしうる。例えば、クライアント管理者は、クライアント管理者と配布者Ｂとの間のＶＤＥネゴシエーションの結果を反映する制御情報のセットＤ_Ｂ（Ｃ_Ｃ）をうけとりうる。クライアント管理者は、Ｄ_Ｂ（Ｃ_Ｃ）に対する改変のセットを含み得、かつ、クライアント管理者と同じ組織内にいるユーザおよびユーザ／配布者（例えば、同僚、雇用人、コンサルタント等）のみに利用可能となりうる制御情報を含みうる新しいセットＣＡ（Ｄ_Ｂ（Ｃ_Ｃ））を形成しうる。そのようなアレンジメントを強制するためには、　ＣＡ（Ｄ_Ｂ（Ｃ_Ｃ））は、例えば、登録中に、ユーザまたはユーザ／配布者に関連するネームサービス情報を検査し、クライアント管理者に管理され、コンテンツの使用に必要とされる新しい予算メソッド等を確立する制御構造を含みうる。
【１２８８】
配布者は、再配布権をクライアント管理者に提供し得、その再配布権によって、管理者は、あるコンテンツのためのパーミッションレコードを作成する権利（そのコンテンツを使用するための再配布権）を、管理者の組織内においてのみ再配布でき、そして他のパーティには再配布がおこなえない。同様に、そのような管理者は、そのような「制限された」権利を拡張することにより、自分の組織内の部署および／または他の管理者に再配布でき、そのような権利を再配布することにより、個人および／またはクラスおよび／または管理者によって規定されるような組織人事の他の分類の１つ以上の制限されたリストに基づいてコンテンツを使用しうる。再配布をある１つ以上のパーティおよび／またはクラスおよび／またはＶＤＥユーザの他の分類および／またはインストレーションに限定するこのＶＤＥの能力は、そのような制御がシニア制御情報によって許可される限り、どのようなＶＤＥコンテンツプロバイダによっても、コンテンツに適応することができる。
【１２８９】
本例におけるユーザＤは、クライアント管理者とユーザ／配布者Ｃのどちらか一方から、または両方から制御情報を受け取りうる。ユーザ／配布者Ｃは、例えば、ユーザＤのアクションに対して、追加的なレベルの制御を維持することをユーザ／配布者Ｃに許可する、ユーザ／配布者Ｃによって管理される各部門ごとの予算メソッドを含む制御情報ＵＤ_Ｃ（ＣＡ（Ｄ_Ｂ（Ｃ_Ｃ）））を、ユーザＤに配布しうる。本例では、ＵＤ_Ｃ（ＣＡ（Ｄ_Ｂ（Ｃ_Ｃ）））は、商用の配布チャンネルから生じる制御に加え、複数のレベルの組織的制御（例えば、クライアント管理者に起源を持つ制御およびユーザ／配布者Ｃに起源を持つさらなる制御）を含みうる。さらに、または、あるいは、クライアント管理者が、ポリシー、プロシージャ、および／または他の管理プロセスに従って、クライアント管理者の組織を通って流れる制御情報を確実にする一助となる十分な制御情報（例えば、ユーザＤなどのユーザへの再配布を許可する、ユーザ／配布者Ｃに配布された制御情報）を有していたとしても、クライアント管理者が、あるクラスの制御情報を、ユーザＤに配布することを拒絶しうる。
【１２９０】
本例では、ユーザＥが、クライアント管理者および／または配布者Ｂから制御情報を受け取りうる。例えば、ある制御情報がクライアント管理者から受け取られ得たとしても、ユーザＥは、配布者Ｂとのアカウントを有しうる。この場合、ユーザＥは、制限なしに、配布者Ｂから制御情報を要請および受け取ることを許可されうる、または、組織的ポリシーとして、クライアント管理者は、ユーザＥと配布者Ｂとのインタラクションの範囲を制限するユーザＥの電子機器に関連する場所に制御情報を有してもよい。後者の場合、クライアント管理者は、ユーザＥが、クライアント管理者からは利用不可能で、１つ以上の特定のクラスの配布者および／またはクリエーターからは利用可能で、および／または一定のプライスポイント（例えば１時間の使用につき５０ドル）などの使用に対するコストを有するユーザＥの電子機器の安全サブシステムに制御情報を登録することを制限しうる。あるいは、または、さらに、クライアント管理者は、例えば、ユーザＥが、クライアント管理者からの制御情報において利用可能な価格（または、他の基準）よりも好ましい価格（または他の制御情報基準）を受け取るような制御情報を、ユーザＥが配布者Ｂから受け取ることを制限しうる。
【１２９１】
本例では、クリエーターＤが、他のコンテンツ、例えば、クリエーターＢおよびクリエーターＣに提供されたコンテンツと一体化するように主に設計されたＶＤＥコンテンツコンテナを、（例えば、ＶＤＥ抽出／埋め込みプロセスの使用によって）作成しうる。図８３は、クリエーターＤによって作成されたＶＤＥコンテンツコンテナに関係するイネーブルする制御情報を受け取りうるＶＤＥ参加者を示す。クリエーターＤのコンテンツに関連する制御情報（図８３におけるＣ_Ｄ）は、例えば以下のものを含みうる。（ａ）１回のオープンにつきユーザ１人あたり１．５０ドルまたはユーザ１人あたり無制限のオープンに対して２５ドルのどちらかの支払いを配布者が行うという要件、（ｂ）クリエーターＤによって作成された他のあるコンテンツに対する無制限のオープンに対して予め支払いをすませたユーザに対する２０％の割引（例えば、そのような他のコンテナのいずれかが登録されたかどうかを決定する、そしてさらに、このコンテナに対する権利を購入するユーザが所有する権利の特徴を決定するために、ユーザのＶＤＥインストレーションの安全データベースを分析する１つ以上の課金メソッドを含むことで実行される）、（ｃ）配布者が、Ｃ_Ｄに従って作成された制御情報によってイネーブルされたユーザおよびユーザ／配布者の数を、１０００人を超えた後に報告するという要件、（ｄ）配布者が、ユーザおよび／またはユーザ／配布者による移動の数を１回のみに限定するという要件、（ｅ）配布者が、ユーザ／配布者に、再配布のレベルが４を超えないように限定する要件、および、（ｆ）配布者は、他の配布者が制御情報を配布者として作成することを許可するイネーブルする制御情報を作成しうるが、配布者は、そのようなイネーブルされた配布者にこの能力を渡し得ず、そして、そのようにイネーブルされた配布者による制御情報の使用に関連する監査情報が、処理を行うことなしに、そのようなイネーブルする配布者によって直接クリエーターＤに渡され、かつ、クリエーターＤが、そのようなイネーブルする配布者に、そのようなイネーブルされた配布者からクリエーターＤが受け取る支払いの１０％を支払うことをさらに要求する、イネーブリング制御情報を配布者が作成しうるという要件。
【１２９２】
本例では、配布者Ｃが、クリエーターＢ，クリエーターＣ，および、クリエーターＤからのＶＤＥコンテンツコンテナと、関連の制御情報のセットＣ_Ｂ、Ｃ_ＣおよびＣ_Ｄとを受け取りうる。配布者Ｃは、埋め込み制御情報および他の制御情報を利用することによって、クリエーターＢ、クリエーターＣ，およびクリエーターＤから受け取った２つ以上のＶＤＥオブジェクトを有する新しいコンテナを作成しうる。さらに、または、あるいは、配布者Ｃは、そのような受け取られたコンテナのそれぞれに対して、ユーザおよび／またはユーザ／配布者（　Ｃ_Ｄの場合は配布者）に配布されるイネーブルする制御情報を作成しうる。　例えば、配布者Ｃは、クリエーターＢ，クリエーターＣ，およびクリエーターＤからのコンテンツ部分を含むコンテナ（例えば、埋め込まれたコンテナ）を作成し得、そのコンテナ内では、そのような部分のそれぞれが、配布者Ｃによってイネーブルされたユーザおよび／またはユーザ／配布者に関係する使用アクティビティに基づいて、そのようなクリエーターがそれぞれ、配布者Ｃからの支払いを安全かつ確実に受け取るための十分な情報を記録し、かつ、監査人がその十分な情報を集めることを許可する、アクセスおよび使用に関係する制御情報を有しうる。さらに、配布者Ｃは、ＶＤＥを用いてそのようなクリエーターのうちの数人または全員とネゴシエートすることによって、　Ｃ_Ｂ、Ｃ_Ｃおよび／またはＣ_Ｄに基づいた、配布者Ｃによるそのようなクリエーターへの支払いに関する、そして例えば、コンテンツの使用情報および関連の（例えば、公告）情報の集合に対する異なるモデルのそれぞれから生じた、そのようなクリエーターそれぞれのモデルを維持する一方で、配布者Ｃが、ユーザおよび／またはユーザ／配布者に請求される「一定の」料金（例えば、１ヶ月ごと、または、アクセスごとに合同モデルから計算される等）に基づいて、コンテナ全体に対する総合的な制御情報を提供するモデルをイネーブルしうる。
【１２９３】
本例では、配布者Ｂは、図８３に示されるように、クリエーターＥから、ＶＤＥコンテンツコンテナおよび関連のコンテンツ制御情報Ｃ_Ｅを受け取りうる。Ｃ_Ｅが許可するなら、配布者Ｂは、そのようなコンテナのコンテンツの１部分を抽出しうる。配布者Ｂは、その後、例えば、クリエーターＢ、クリエーターＣ、およびクリエーターＤによって作成されたＶＤＥオブジェクトの集合を含む、配布者Ｃから受け取ったコンテナにこの部分を埋め込みうる。各クリエーターおよび配布者Ｃから受け取った制御情報のセットにおける特定の制限および／またはパーミッションに応じて、配布者Ｂは、例えば、そのような抽出された部分を、配布者Ｃから受け取ったコンテナに、独立したＶＤＥオブジェクトとして埋め込むこと、または、クリエーターＢ、クリエーターＣ，および／またはクリエーターＤからの「適所にある」オブジェクトのコンテンツに直接埋め込むことができうる。あるいは、または、さらに、配布者Ｂは、もしＣ_Ｅが許可するなら、そのような抽出されたコンテンツの部分を、独立したＶＤＥオブジェクトとして配布することを選択しうる。
【１２９４】
本例では、ユーザＢは、クリエーターＢ、クリエーターＣおよびクリエーターＤによって作成されたＶＤＥオブジェクトから成るＶＤＥコンテンツコンテナを、配布者Ｃから受け取りうる。さらに、ユーザＢは、クリエーターＥによって作成されたコンテンツの１つ以上の抽出された／埋め込まれた部分に加えて、クリエーターＢ、クリエーターＣ，およびクリエーターＤによって作成された同一のコンテンツを含むＶＤＥコンテンツコンテナを、配布者Ｂから受け取りうる。ユーザＢは、そのようなコンテナのうちどれを使用するかの選択（埋め込まれたコンテナのどれを使用したいかを含む）に関する決定を、例えば、そのような抽出された／埋め込まれた部分の特徴（例えば、コンテンツの残りの部分において可能性のある興味分野を示すマルチメディアプレゼンテーション、解説的に説明するおよび／または解説するコンテンツの他のエレメント、関連の仕事、コンテンツのエレメントとして配送される向上したアプリケーションソフトウェアなど）；そのような部分の品質、有用性、および／または価格（あるいは制御情報の他のアトリビュート）；コンテナ、および／または、本例においては配布者Ｂおよび配布者Ｃから受け取ったコンテンツ制御情報を区別する他の要件に基づかせうる。
【１２９５】
ユーザＢは、ユーザがその中に含まれるコンテンツを追加および／または改変することを許可するそのようなＶＤＥコンテンツコンテナのためのコンテンツ制御情報を、配布者Ｂから受け取りうる。ユーザＢは、例えば、ＶＤＥを意識しているワードプロセッサまたは他のアプリケーションを使用するようなコンテナにおいて、コンテンツに注釈をつける能力を要望しうる。シニア制御情報に許可されるならば、コンテンツのある部分または全部が、改変および／または追加を行うために、ユーザＢに使用可能となりうる。この場合、ユーザＢは、追加されたおよび／または改変されたコンテンツのＶＤＥクリエーターとしての役目をはたしている。ユーザＢは、例えば、そのようなコンテンツに対する新しい制御情報を提供しうる、または、そのようなコンテンツを（そのようなコンテナおよび／または含有されたオブジェクトに関係する制御情報に基づいて）管理するために、現存する制御情報（または、この目的のために、処理のチェーンにおけるシニアメンバーによって含まれる制御情報）を利用することを要求されうる（または望まれうる）。
【１２９６】
本例では、ＶＤＥ１００は、例えば、コンテンツの配布、再配布、アグリゲーション（抽出および／または埋め込み）、リアグリゲーション、改変、および使用を含む環境をイネーブルするために使用された。本例における環境によって、制御情報とコンテンツの両方がネゴシエートされ得、かつ、それを通して制御情報および／またはコンテンツが渡された処理のチェーンに基づいた異なる事項を有しうる競争的なモデルが可能となる。さらに、本例における環境によって、そのような活動をイネーブルする制御情報を受け取るＶＤＥ参加者にコンテンツを追加すること、および／または、そのようなＶＤＥ参加者によってコンテンツが改変されることが許可される。
例‐コンテンツＶＤＥチェーン処理を通したコンテンツ配布
図８４は、ＶＤＥ参加者の幾つかのカテゴリーを含む、ＶＤＥコンテンツ配布の比較的簡単なモデル３４００の特定の局面を表している。この事例において、リファレンス目的の簡略化のために、コンテンツの多様な部分がＶＤＥコンテンツコンテナオブジェクトの形式で、別個のアイテムとして表されている。そのような１以上のコンテンツ部は、単一オブジェクトに一体化され得、また（コンテンツ制御情報によって許可されるなら、いずれのＶＤＥコンテンツコンテナのコンテンツでもあり得る）ユーザによって全体もしくは部分で抽出され得る。この例において、歴史／教育マルチメディアコンテンツの発行者は、３つのコンテンツ資源から利用可能なコンテンツオブジェクトを使用することにより、ＶＤＥコンテンツコンテナを作成している。
・発行者に利用可能な、光ディスク上のビデオライブラリ３４０２プロダクトであり、多様な歴史的場面を表すビデオクリップＶＤＥオブジェクトを含む。
・歴史情報テキストおよび画像資源をＶＤＥオブジェクトに格納するインターネット容器３４０４であり、ＶＤＥオブジェクトは発行者および他のユーザにダウンロードできる。
・光ディスク上で利用可能なオーディオライブラリ３４０６であり、単独もしくは他の教育的、歴史的材料と共に使用することができる多様な演奏および音声（例えば、歴史ナレーション）ピースを含む。
【１２９７】
ライブラリ３４０２、容器３４０４、およびライブラリ３４０６に提供された情報は、異なる発行者３４０８（ａ）、３４０８（ｂ）〜３４０８（ｎ）に提供され得る。その後発行者３４０８は、得た情報の一部もしくは全部をユーザ３４１０に提供する。
【１２９８】
この例において、ビデオライブラリ３４０２制御情報は、発行者がビデオライブラリプロダクトコンテナからオブジェクトを抽出することを許可し、オブジェクトが５０ドルより少ないライセンスコストであり、および持続時間が４５分より短く、および抽出した他のオブジェクトのいずれもがそれぞれ２０，０００コピーであり、さらに全てのビデオオブジェクトに複号上へのＶＤＥ指紋刻印を要求する場合、各抽出したオブジェクトを１年間使用可能にするコンテンツ制御情報を抽出することを許可する。オーディオライブラリ３４０６は、ビジネスモデルに合致する、同様の制御を確立している。インターネット容器３４０４ＶＤＥは、オブジェクトのダウンロードというユーザの要求であるオンラインに応答して、選択されたオブジェクトコンテンツが容器から流れ出す時に、選択されたオブジェクトコンテンツを、暗号を含めてコンテナライズする。容器３４０６は、暗号化および発行者への通信に先だって、コンテンツ内に、受け取るＶＤＥインストレーションの識別を指紋刻印し得る、および発行者もしくは他のコンテンツユーザによって複号化される際に、コンテンツのユーザ識別指紋刻印をさらに要求し得る。
【１２９９】
提供資源とネゴシエートした（もしくは同意した）条件および状況下で、この例における発行者３４０８は、顧客の教師のためのＶＤＥオブジェクトコンテナプロダクトを形成するために複合させる、多様なコンテンツピースを選択する。発行者３４０８（Ａ）は、ビデオライブラリ３４０２から抽出されたビデオオブジェクト（円で表されている）、インターネット容器３４０４から抽出されたテキストおよびイメージオブジェクト（ダイアモンドで表されている）、およびオーディオライブラリ３４０６から抽出された１つの演奏曲および歴史ナレーション（長方形で表される）を複合する。発行者３４０８（Ｂ）は、発行者３４０８（Ｂ）のプロダクトに複合する、同様の配列のオブジェクトを抽出し、プロダクトをさらにエンハンスするために、発行者３４０８（Ｂ）によって作成されたグラフィックエレメント（六角形であらわされる）をさらに加える。発行者３４０８（Ｃ）はまた、インターネット容器３４０４およびオーディオライブラリ３４０６から抽出されたオブジェクトを複合することによって、プロダクトを作成する。この例において、組み込んだオブジェクトを伴うＶＤＥコンテンツコンテナオブジェクトの形式の、それぞれの光ディスク上の全ての発行者プロダクトは、高校のコンピュータネットワークにインストールするために、現代の高校に配送される。
【１３００】
この特定の例においてエンドユーザ３４１０は教師であり、発行者のプロダクトをサポートする、教師の高校のサーバ上のＶＤＥインストレーションにアクセスするために、教師のＶＤＥノードの安全サブシステムを使用する（代替例において、高校はサーバベースのＶＤＥインストレーションのみを維持する）。教師は、１以上の発行者からのＶＤＥプロダクトをライセンスし、ＶＤＥプロダクトコンテンツコンテナから所望のオブジェクトを抽出、およびもしくは抽出したＶＤＥコンテンツをＶＤＥコンテンツコンテナの形式で、教師の教室のコンピュータに適度に、および／もしくは効率的に格納するために、ダウンロードする。教師は抽出されたコンテンツをＶＤＥコンテンツコンテナの形式で、サーバマスストレージ上に格納し得る（および／もしくは、もしエンドユーザにとって望ましく役に立つのならば、およびさらには容認できるプライシングおよび／もしくは他の条件および状況および／もしくはシニアコンテンツ制御情報に従うならば、教師は、教師のノードおよび／もしくはサーバ格納手段に、抽出した情報を「クリア」な暗号化されていない形式で格納し得る）。このことにより、教師は、発行者のプロダクトの選択された部分をプレイおよび／もしくは使用することができ、およびこの例の２つの事例に示されるように、教師はオブジェクトに、コンテンツを作成した教師および／もしくは生徒をさらに加えることができる。エンドユーザ３４１０（２）は、例えば、発行者Ａから受け取ったビデオピース１を選択しており、発行者Ａはビデオライブラリからそのオブジェクトを受け取っている。ピースは発行者３４０８（Ｂ）からも利用できるが、おそらくは好ましい条件および状況下（サポートコンサルテーションテレホンラインなど）にないため、エンドユーザ３４１０（３）も同じ発行者３４０８（Ａ）からビデオピース３を受け取っている。加えて、エンドユーザ３４１０（３）は、歴史リファレンスピース７のコンテンツに対応するオーディオ歴史ナレーションを、発行者３４０８（Ｂ）から受け取る。エンドユーザ３４１０（３）はまた、発行者３４０８（２）から、対応する歴史リファレンスピース７（本）を受け取っており、発行者３４０８（２）はその本をインターネット容器３４０４から受け取っている。この事例において、エンドユーザ３４１０（３）は、同じ本をキャリーする発行者３４０８（１）ではなく、発行者３４０８（２）から歴史リファレンスピース７をライセンスしているため、おそらく少なめの料金をその本に対して課される。エンドユーザ３４１０（３）は、教師として、彼女が彼女のクラスに最も適当と思うアイテムを選択し、ＶＤＥの使用を通じて、そのようなアイテムを、彼女に利用可能な資源から意のままに抽出することが可能となっている（この場合、発行者によって提供される、および地元高校ネットワークサーバ上で利用可能な多様な光プロダクトからオブジェクトを抽出すること）
例−−組織内でのコンテンツ制御情報の配布
図８５は、２つのＶＤＥコンテンツコンテナである、コンテナ３００（Ａ）およびコンテナ３００（Ｂ）を表し、それらは大きな組織におけるＶＤＥクライアント管理者３４５０に配布されている。図に示すように、コンテナ３００（Ａ）およびコンテナ３００（Ｂ）は、会社に到着する際に、組織が利用可能な使用権を指定する、特定の制御情報を運んでいる。さらに図８５に示すように、クライアント管理者３４５０は、セールスおよびマーケティング管理者３４５２（１）、プランニング管理者３４５２（２）、および調査開発管理者３４５２（ｋ）などの、組織の特定の部門管理者３４５２にこれらの権利の特定のサブセットを分散させる。各場合において、クライアント管理者３４５０は、各部門にどの使用オプションが利用させるか、および予算はいくらかを決定する。
【１３０１】
図８５は簡略化された例であり、例えば、クライアント管理者３４５０は、クライアント管理者３４５０によって作成されたＶＤＥ制御をさらに加え得る、および／もしくは位置制御において改変および／もしくは削除し得る（制御情報によって許可された場合）、および／もしくはさらには利用可能な財政予算（または他の予算）を特定の使用活動の間で分割し得る。この例において、部門別管理者は、クライアント管理者が部門に関して有するような、部門別エンドユーザの権利を決定するための、同一の権利を有している。加えて、この例において（しかし、図８５には図示せず）、クライアント管理者３４５０および／もしくはコンテンツプロバイダはまた、エンドユーザコンテンツ使用および／もしくはエンドユーザの全てまたは特定のクラスの使用の結果を直接的に制御する（関連する配布権利を含む）、特定の制御情報を決定し得る。図８５に示す例において、組織内にはたった３つのレベルのＶＤＥ参加者しかいない。
【１３０２】
クライアント管理者３４５０
部門管理者３４５２、および
エンドユーザ３４５４
である。
【１３０３】
他の例において、ＶＤＥは組織（例えば、部局、部門、プロジェクト、ネットワーク、グループ、エンドユーザ等）内の多くのレベルのＶＤＥ管理（重複するグループを含む）をサポートする。加えて、ＶＤＥモデルにおける管理者は、それ自体もまたＶＤＥコンテンツユーザであり得る。
【１３０４】
組織内において、ＶＤＥインストレーションは、各エンドユーザ３４５４ノードにおいて行われ得、サーバのみもしくは他の複合的なユーザコンピュータ、もしくは他の電子器具、もしくは混合環境であり得る。ＶＤＥサーバおよび／もしくはノード使用の混合に関する決定は、組織および／もしくはコンテンツプロバイダセキュリティ、性能、間接費、もしくは他の理由に基づき得る。
【１３０５】
この例において、図８５におけるＶＤＥ参加者間の通信には、ＶＤＥ安全通信技術を、ＰＰＥをサポートするＶＤＥ安全サブシステム間に用いており、また他のＶＤＥ安全システム構成要素を、組織内における各ＶＤＥインストレーションに用いている。
例−−他のコンテンツ配布例
ＶＤＥ保護化コンテンツのクリエータは、多くの異なる方法で他のＶＤＥ参加者と対話し得る。ＶＤＥクリエータ１０２は、例えば、コンテンツおよび／もしくはコンテンツ制御情報を直接的にユーザに配布し得、コンテンツおよび／もしくはコンテンツ制御情報を商業コンテンツ容器に配布し得、コンテンツおよび／もしくはコンテンツ制御情報を会社コンテンツ容器に配布し得、および／もしくはコンテンツおよび／もしくはコンテンツ制御情報を他のＶＤＥ参加者に配布し得る。クリエータ１０２が、クリエータのコンテンツの全てのユーザと直接的に対話しない場合、クリエータは、ＶＤＥ参加者がコンテンツおよび／もしくはコンテンツ制御情報をさらに配布することを許可する配布パーミッションを、他のＶＤＥ参加者に伝送し得る。クリエータはまた、例えば、制御情報の再配布を制限しないことによって、もしくは他のパーティに受け渡すことのできる１以上のパーミッション記録のための「コンジット」としてＶＤＥ参加者が働くことを許可することによって、ＶＤＥコンテンツおよび／もしくはコンテンツ制御情報のさらなる配布を許可し得、そのパーミッション記録は、第１の受け取りパーティおよび／もしくは第２の受け取りパーティの識別を含むことを認める。
【１３０６】
図８６は、ＶＤＥ参加者の可能な配置を示している。この例において、クリエータ１０２は、ＶＤＥ保護化形式（例えば、１以上のＶＤＥコンテンツコンテナ内に）内に非暗号化されたコンテンツを配置するために、１以上のアプリケーションソフトウェアプログラムおよび１以上のＶＤＥ安全サブシステムを用い得る。加えて、クリエータ１０２は１以上の配布パーミッション３５０２および／もしくは使用パーミッション３５００を、そのようなＶＤＥ保護化コンテンツと関係する制御情報の局面として生成し得る。そのような配布および／もしくは使用パーミッション３５００、３５０２は同一であり得（例えば、全ての配布パーミッションは実質的に、全く同一の特徴を有し得る）、もしくはそれらが生成された対象である参加者のカテゴリーおよび／もしくはクラス、それらが要求および／または伝送される際の環境、クリエータ１０２もしくは受け手等いずれかのコンテンツ制御モデルの変化などに基づいて異なり得る。
【１３０７】
この例において、クリエータ１０２は、ＶＤＥ保護化コンテンツをユーザ１１２ａ、ユーザ１１２ｂ、および／もしくはユーザ１１２ｃに伝送する（例えば、ネットワーク上で、放送を介して、および／もしくは物理的媒体のトランスファーを通じて）。加えて、クリエータ１０２はＶＤＥ安全通信技術を用いて、そのようなユーザに使用パーミッションを伝送する。ユーザ１１２ａ、ユーザ１１２ｂ、およびユーザ１１２ｃは、クリエータ１０２から受け取った使用パーミッションによって指定された制御情報の制限内で、そのようなＶＤＥ保護化コンテンツを用い得る。このケースにおいて、クリエータ１０２は例えば、クリエータ１０２によってユーザに伝送されたＶＤＥ保護化コンテンツに関連する、そのようなユーザ活動の全ての局面を管理し得る。あるいは、クリエータ１０２は例えば、ユーザに利用可能でなくてはならない、クリエータによって提供されない（例えば、他のパーティによって管理される構成要素アセンブリ）情報を制御するために、リファレンスを含み得る。
【１３０８】
商業コンテンツ容器２００ｇは、この例において、ＶＤＥ保護化（もしくは、異なった方法で、安全に配送された）コンテンツおよび配布、パーミッションおよび／もしくは他のコンテンツ使用制御情報を、クリエータ１０２から受け取り得る。商業コンテンツ容器２００ｇはコンテンツを安全に格納し得るために、いずれの必要とされるコンディションが揃った際、ユーザはそのようなコンテンツを容器２００ｇから手に入れ得る。配布パーミッション３５０２は、例えば、商業コンテンツ容器２００ｇが、クリエータ１０２から受け取ったコンテンツ制御情報に記載される、特定の制限をうけたＶＤＥ保護化サブシステムを用いて、再配布パーミッションおよび／もしくは使用パーミッション３５００、３５０２を生成することを可能にし得る（例えば、特定の枚数のコピーを超過しないこと、商業コンテンツ容器２００ｇによる、クリエータ１０２への特定の支払いを要求すること、そのようなパーミッションの受け手に、コンテンツ使用情報等に関する特定の報告要求に合致するように要求すること）。そのようなコンテンツ制御情報は容器インストレーションに格納され得、またユーザの要求に応答してその容器から伝送される際に、非暗号化されたコンテンツに適用され得、そのコンテンツは、そのようなコンテンツをユーザに通信する安全なプロセスにおけるステップとしてＶＤＥコンテナ内に配置される。再配布パーミッションは、例えば、そのようなパーミッションの受け手が、特定の制限（例えば、同一の家族、他のビジネス組織のメンバーに限る等）を受けた、特定の数の使用パーミッションを生成することを許可し得る。容器２００ｇは、例えば、クリエータ１０２から受けとった制御情報によって、容器がパーミッションを配布した対象であるすべてのＶＤＥ参加者からのコンテンツ使用情報を、集めて報告することが要求され得る。
【１３０９】
この例において、パワーユーザ１１２ｄは、デスクトップコンピュータ３５０４を用いて、商業コンテンツ容器２００ｇからＶＤＥ保護化コンテンツおよび再配布パーミッションを受け取り得る。パワーユーザ１１２ｄはその後、例えば、デスクトップコンピュータ３５０４、ラップトップコンピュータ３５０６、および／もしくはセットトップ器具３５０８のための使用パーミッションを生成するために、そのようなデスクトップコンピュータ３５０４のＶＤＥ安全サブシステムとの接続にアプリケーションソフトウェアを用い得る（商業コンテンツ容器２００ｇから受け取った再配布パーミッションが、そのような活動を許可すると仮定して）。シニア制御情報（例えば、クリエータ１０２から。容器２００ｇによって改変されている）によって許可される場合、パワーユーザ１１２ｄは、そのような使用パーミッションに独自の制限を加え得る（例えば、ユーザ識別情報に基づいて、パワーユーザ１１２ｄの家族の特定のメンバーのセットトップ器具の使用を、１日あたり特定の回数、使用量等に制限する）パワーユーザ１１２ｄは、その後そのようなＶＤＥ保護化コンテンツおよび使用パーミッションを、ＶＤＥ安全通信技術を用いて、ラップトップコンピュータ３５０６およびセットトップ器具３５０８に伝送し得る。このケースにおいて、パワーユーザ１１２ｄは、デスクトップコンピュータ３５０４からセットトップ器具３５０８およびラップトップコンピュータ３５０６にパーミッションを再配布し、セットトップ器具およびラップトップコンピュータは、デスクトップコンピュータに定期的にコンテンツ使用情報を報告することを要求され得る。その後、デスクトップコンピュータはユーザ使用情報を収集し、および／もしくは処理し、および容器２００ｇにユーザ使用情報を報告し得る。
【１３１０】
ユーザ１１２ｅおよび／もしくは１１２ｆは、商業コンテンツ容器２００ｇから使用パーミッションおよびＶＤＥ保護化コンテンツを受け取り得る。このようなユーザは、そのような使用情報によって承認された方法で、そのようなコンテンツを用いることができ得る。パワーユーザ１１２ｄとは対照に、これらのユーザは、容器２００ｇから再配布パーミッションを要求され得ないおよび／もしくは受け取り得ない。このケースにおいて、そのようなトランスファーおよび／もしくはが、容器２００ｇから受け取った使用パーミッションによって許可される場合、これらのユーザは、幾つかもしくは全ての使用パーミッションを他の電子器具６００にトランスファーすることができ得、および／もしくはユーザは権利の幾らかを他の電子器具に移行させることができ得る。このケースにおいて、そのような他の器具は、容器２００ｇに直接的に使用情報を報告することができ得る。
【１３１１】
この例において、会社７００内における会社コンテンツ容器７０２は、ＶＤＥ保護化コンテンツおよび配布パーミッションをクリエータ１０２から受け取り得る。会社容器７０２によって受け取られた配布パーミッションは、例えば、容器７０２の配布活動を会社７００内に限定する制限を含み得る。
【１３１２】
容器７０２は、例えば、ＶＤＥ保護化コンテンツ、および／もしくは再配布および／もしくは使用パーミッションを受け取るおよび／もしくは伝送するために、ＶＤＥ安全サブシステムに連結して作動する、自動化されたシステムを用い得る。このケースにおいて、自動化されたシステムは、例えば、パーミッションの特徴および／もしくは会社７００内の多様なパーティ（会社グループおよび／もしくは個人）に配送されたコンテンツを決定するために、会社の方針、部門別の方針、およびユーザの好みによって規定される標準に頼り得る。そのようなシステムは、例えば、クリエータ１０２から配布パーミッションを受け取る会社７００に応答して、自動的に部門別コンテンツ容器７０４に対して再配布パーミッションを生成し得る、および／もしくはユーザ１１２ｊおよび／もしくはユーザ１１２ｋに対して使用パーミッションを生成し得る。
【１３１３】
部門別容器７０４は、ユーザ１１２ｇ、ユーザ１１２ｈ、および／もしくはユーザ１１２ｉに対して自動的に使用パーミッションを生成し得る。そのようなユーザは、部門別容器７０４から使用パーミッションを受け取るにも関わらず、会社コンテンツ容器７０２からコンテンツをアクセスし得る。このケースにおいて、ユーザ１１２ｇ、ユーザ１１２ｈ、および／もしくはユーザ１１２ｉは、シニア制御情報によって強いられる制限に加えて、部門別制限を含む部門別容器７０４から、使用パーミッションを受け取り得る（この例において、例えばクリエータ１０２から。会社容器７０２によって改変されている場合、部門別容器７０４によってさらに改変されている場合があり、会社および／もしくは部門別の方針および会社７００の会社の人事への同意に加えた、クリエータ１０２および会社７００の商業的要求を含む、ＶＤＥ拡張化同意を反映する）
例―「仮想シリコンコンテナ」
上述したように、ある例におけるＶＤＥは、「仮想シリコンコンテナ」（仮想ブラックボックス）を提供し、ＳＰＵ５００の幾つかの異なる事例は、複合的な位置および電子器具６００に「仮想に」存在する総合安全ハードウェア環境を提供するために、共に安全に通信し得る。図８７は、仮想シリコンコンテナのモデル３６００を表す。この仮想コンテナモデル３６００は、コンテンツクリエータ１０２、コンテンツ配布者１０６、１以上のコンテンツ再配布者１０６ａ、１以上のクライアント管理者７００、１以上のクライアントユーザ３６０２、および１以上の手形交換所１１６を含む。これらの多様なＶＤＥ参加者のそれぞれは、少なくとも一部、シリコン基板半導体ハードウェア素子安全処理ユニット５００を包含し得る保護された処理環境６５５を含む電子器具６００を有する。多様なＳＰＵ５００は、仮想配布環境の一部をそれぞれカプセル化し、その後一緒に仮想シリコンコンテナ３６００を形成する。
例−−テスト実施／試験
高校最上級生のための、予定されたＳＡＴ試験は、Ｅｄｕｃａｔｉｏｎａｌ　Ｔｅｓｔｉｎｇ　Ｓｅｒｖｉｃｅによって準備される。発表予定の１９９４年１１月１５日の東部標準時１：００ＰＭまで、試験はＶＤＥコンテナ内に配置される。ＳＡＴは、各学校もしくは試験を行う他の場所のために、コンテナのコピーを１つづつ用意する。学校もしくは他の場所（テスト予定地）は、配布された、テスト予定地の「管理」電子器具および／もしくはテスト管理者（テスト組織など）および、例えば２００のテストＶＤＥコンテンツコンテナの生成を可能とする予算のためのＶＤＥ識別を安全に含んでいる試験コンテナを備えることになる。テスト予定地で生成された各コンテナは、各電子器具６００のための安全識別情報を含むパーミッション記録をテスト予定地のネットワーク上に有し得、例えばテストを受ける生徒のための識別と同様に、テスト受験者によって用いられる。生徒の識別は、例えば、テストを受けるに先だって生徒によって入力される安全ＰＩＮパスワードの形式であり得る（テストモニタもしくは管理者は、ＰＩＮパスワードを入力することによって生徒の識別を検証し得る）。当然、識別は、自動音声認識、筆跡認識（署名認識）、指紋情報、目視認識、もしくは同様の１以上の認識形式をとり得、それらはテスト受験者（および／もしくはテストモニタ／管理者）のＩＤを確認するために用いられ得る、および／もしくはＶＤＥコンテナ等に、または特定のコンテナ情報によって指された場所に、テスト結果と共に格納し得る。この識別は、暗号化されたもしくは非暗号化された形式で格納され得る。暗号化された形式もしくは他の保護形式で格納された場合、エラー修正情報などの特定の概要情報は、識別に対応するとして、関連したテストを認証するために、識別情報と共に格納され得る。
【１３１４】
生徒がコンピュータ端末を用いてテストを受けるにつれて、選択された解答は速やかに、安全に格納され得る（しかし、解答は生徒によってテスト時間中に変更され得る）。テストが完了すると、テストのリファレンスに沿って、生徒の解答はＶＤＥ報告オブジェクトに安全に格納され、ＶＤＥ報告オブジェクトはネットワークに沿って、テスト管理者および管理電子器具６００に受け渡される。全ての生徒のための全てのテストオブジェクトは、その後、Ｅｄｕｃａｔｉｏｎａｌ　Ｔｅｓｔｉｎｇ　Ｓｅｒｖｉｃｅへの通信のために、平均および平均得点を示す概要情報、および要約するために望ましい情報、および／もしくは送られたテストオブジェクトの認証として働き得る情報を含む他の関連情報（ＶＤＥ１００によって安全にされてもよい）と一緒に、ＶＤＥオブジェクト３００内に配置でき得る。例えば、「真正の」テストオブジェクトとしてのオブジェクトの有効性を検査するものを助ける情報を含む、各生徒の概要オブジェクトから、特定の情報が別々に送られ得る。
【１３１５】
ＶＤＥをテスト実施シナリオに適用することは、テスト実施に先だってテストにアクセスすることから生じるカンニングを、大幅に排除し得る（普通、テストは教師もしくはテスト管理者から盗まれる）。ＥＴＳにおいて、テストへのアクセスを有する個人は、テスト「全体」の盗難のリスクを排除するために、（そのアクセスは）テストの一部に限定され得る。完全に真正のテスト結果は、妥当な期間保管出来るため、ＶＤＥを用いることことにより、処理エラーもしくはテスト解答の他の操作が防ぎ得る。
【１３１６】
全体としては、ＶＤＥ１００を電子テスト実施のために用いることは、電子格納、電子通信、およびテスト材料およびテスト実施結果の電子処理に関連する実質的リスクなしで、電子テスト実施の利点を提供することを可能にする。電子テスト実施は効率を大きく改善し、印刷、積出し、出荷、およびテストの人間による処理を排除することによって、テストの実施および処理のコストを著しく低下させる。同時に、電子テスト実施は、テスト期間が過ぎた際にユーザがテスト結果のコピー（暗号化された、もしくは非暗号化された）を受け取ることを可能にする。これは、テストを受けた個人がテスト結果を紛失する、もしくはテスト結果が不適当に処理されることを防ぐ。ＶＤＥ１００を用いた電子テスト実施はまた、テスト実施のタイミング関連変数（例えば、正確な開始、持続時間、および停止時間）を信頼性高く管理でき得ることを可能にし得る。当然、テスト実施処理にＶＤＥ１００を適切に使用することは、テスト実施に先だった、テストコンテンツへの不適切なアクセスを防ぐことができ、また誰がどのテストを受け、いつ、どの電子器具で、どの予定地でテストを受けるかというテスト受験が、適切に監査および認証されることを確実にする。紛失、盗難、不適切な時間合わせ、もしくは他の変数による再テスト実施は、避けられるもしくは排除することができる。
【１３１７】
ＶＤＥを補助したテスト実施は、当然、安全／認証目的のため、雇用（例えば仕事申し込み）申し込みのため、および全ての範囲の評価テスト実施のためを含む多くの異なる応用のために用いられ得る。例えば、航空路のパイロット、もしくはトラック、電車、もしくはバス運転手は、疲労、薬物使用等に対する警告度を評価するテストと共に、出発に先だってもしくは旅行の最中に速やかにテストを受け得る。特定のテストは、テストを受ける度にもしくはグループ毎に、異なる順序および／もしくは組合せのテスト活動を有し得る。テストもしくはマスターテストは、ＶＤＥコンテナに格納され得る（テスト問題の順序、およびどの問題かは、ＰＰＥ６５０で安全に実行された処理によって決定され得る）。テスト応答はそれらが生じた際に暗号化され得、またアグリゲートされた（もしくは他のテスト結果）伝送のために局部的に格納され得る、もしくは動的に伝送され得る（例えば、中央テスト管理コンピュータへ）。テスト受験者がテストを「失敗した」場合、おそらく彼もしくは彼女は、乗り物（ｖｅｈｉｃｌｅ）の電気制御システムの部分の幾つかに影響を与える制御命令を出す局部ＰＰＥ６５０によって、もしくは乗り物の作動に要求される特定のキー情報を複合化もしくは提供しない局部ＰＰＥいずれかによって、その後乗り物を作動することを阻まれる。
例−−器具レンタル
本発明の使用を通じて、限定されない使用のために所定の器具を購入するよりは器具（ＶＣＲ、テレビ、電子レンジ等）を手に入れて、１以上の使用の局面に従って料金を課されることを選ぶ顧客に、電子器具を「賃借」もしくは提供することができる。例えば、電子レンジは、品を用意するために使用される毎に、および／もしくは使用された時間に対して料金が課され得る。常にもしくは定期的にのいずれかで、テレホンジャックは、電子レンジ内に操作的に取り付けられた安いモデムに取り付けられ得る（あるいはモデムは、複数の品をサービスし、および／もしくは盗難警報機、照明および／もしくは温度制御などとして機能する位置に配置され得る）。あるいは、そのような器具は、シグナルを伝送および受け取るために、電力ケーブルによって形成されたネットワークを利用し得る。
【１３１８】
定期的な間隔で、使用情報（概要の形式および／もしくは詳細な形式で）は、器具使用についての情報を集める遠隔情報ユーティリティに、自動的に送られ得る（ユーティリティは、特定のブランド、特定の器具のタイプ、および／もしくはブランドおよび／もしくはタイプの集まりをサービスし得る）。使用情報は、ＶＤＥ形式で送られ得る（例えば、ＶＤＥオブジェクト３００）。情報ユーティリティそれ自体が課金機能を行わない場合、情報ユーティリティはその後、情報を金融手形交換所に配布し得る、もしくは各器具製造者および／もしくは貸し主（小売業者）に「属し」ている情報を、彼らもしくは彼らの代理人に送り得る。このようにして、新しい事業は器具をリースで使用することが可能となり得、器具のリースは車のリースと同様となり得る。
【１３１９】
ＶＤＥをインストールすることにより、器具を安全識別によって管理することもでき得る（ＰＩＮ、音声もしくは署名認識等）。これは、ユニットが使用される毎に、もしくは定期的基準に従って要求され得る。ＰＰＥ６５０が、器具の機能の一部もしくは全ての使用を防ぐ１以上の命令を出した場合（もしくは複合化もしくは器具作動にとって重要な特定の情報を提供することに失敗した場合）、安全識別の使用の失敗もしくは適時基準に従った使用の失敗は、器具を不能にでき得る。この特徴は、電子器具の盗難のしやすさを大いに減少させ得る。さらに、ＶＤＥを提携した使用とは、家もしくはビジネスの場の制御位置にある、ＶＤＥ安全サブシステムを備えた所定の器具におけるＶＤＥ安全サブシステムの「登録」である。この制御位置はまた、ＶＤＥ遠隔通信および／もしくは中央化された管理（例えば、所定の映画、歌、チャンネル、ゲーム等がＲ指定であることを示すデータの認識を通じて、子どもがＲ指定の映画をテレビもしくはビデオカセットいずれかで観ることを制限すること、および親が子供に観ることもしくは聴くことを制限することが可能にすることを含む）に責任がある。そのような制御位置は、例えば、水、ガス、電気の消費量、電話使用量等（そのような消費を測定および／もしくは制御するための制御手段内に一体化されたＰＰＥ６５０の使用を通じて、もしくは非ＶＤＥシステムによって生成され、例えば処理、使用制御（例えば、使用制限）、および／もしくは課金のためのＶＤＥ安全サブシステムに配送される、１以上のシグナルを通じてのいずれか）の情報を集め、そのような情報を１以上のユーティリティに伝送し、ＶＤＥ安全化電子通貨および／もしくはクレジット等を用いて、そのような消費に対して支払い得る。
【１３２０】
加えて、使用のための１以上の予算をＶＤＥによって管理することができ、ＶＤＥは特定の賃借された器具の、例えばデューティサイクルによって指定されたよりも多いコピーを写真式複写機を用いて作ってしまうなどの、器具の機能不全につながる不適切で過剰な使用を防止し得る。そのような不適切な使用は、ユーザがよりしっかりしたモデルへとアップグレードするべきことを知らせる、例えばディスプレイパネル上もしくはテレビ画面上のメッセージとなって、もしくは中央手形交換所からの通信という形式のメッセージとなって現れる。
【１３２１】
本発明は、最も実際的で好適な実施態様と現在考えられているものと関連させて説明されてきたが、本発明は、開示された実施態様に制限されるものではなく、それどころか、添付された請求項の意図および範囲に含まれる、多様な改変および同等のアレンジメントを含むことを意図する。
【図面の簡単な説明】
【図１】本発明の好ましい実施例／実施の形態に従って提供される「仮想配布環境」の一例を示す図である。
【図１Ａ】図１に示される「情報ユーティリティ」の一例をより詳細に示す図である。
【図２】処理および制御のチェーンの一例を示す図である。
【図２Ａ】図２の処理および制御のチェーンにおいて一人の参加者から別の参加者へ規則および制御情報がどのように持続し得るかの一例を示す図である。
【図３】提供され得る異なる制御情報の一例を示す図である。
【図４】いくつかの異なるタイプの規則および／または制御情報の例を示す図である。
【図５Ａ】「オブジェクト」の例を示す図である。
【図５Ｂ】「オブジェクト」の例を示す図である。
【図６】安全な処理ユニット（「ＳＰＵ」）の一例を示す図である。
【図７】電子機器の一例を示す図である。
【図８】図７に示されている電子機器の一例のより詳細なブロック図である。
【図９】図６および図８に示されている安全な処理ユニット（「ＳＰＵ」）の一例の詳細な図である。
【図１０】仮想配布環境によって提供される「権利オペレーティングシステム」（「ＲＯＳ」）アーキテクチャの一例を示す図である。
【図１１Ａ】アプリケーションと権利オペレーティングシステムとの間の機能上の関係の例を示す図である。
【図１１Ｂ】アプリケーションと権利オペレーティングシステムとの間の機能上の関係の例を示す図である。
【図１１Ｃ】アプリケーションと権利オペレーティングシステムとの間の機能上の関係の例を示す図である。
【図１１Ｄ】「コンポーネント」および「コンポーネントアセンブリ」の例を示す図である。
【図１１Ｅ】「コンポーネント」および「コンポーネントアセンブリ」の例を示す図である。
【図１１Ｆ】「コンポーネント」および「コンポーネントアセンブリ」の例を示す図である。
【図１１Ｇ】「コンポーネント」および「コンポーネントアセンブリ」の例を示す図である。
【図１１Ｈ】「コンポーネント」および「コンポーネントアセンブリ」の例を示す図である。
【図１１Ｉ】「コンポーネント」および「コンポーネントアセンブリ」の例を示す図である。
【図１１Ｊ】「コンポーネント」および「コンポーネントアセンブリ」の例を示す図である。
【図１２】図１０に示される権利オペレーティングシステムの一例のより詳細な図である。
【図１２Ａ】どのように「オブジェクト」が作成されるかの一例を示す図である。
【図１３】図１２に示される「プロテクト下の処理環境」のためのソフトウェアアーキテクチャの一例の詳細なブロック図である。
【図１４Ａ】図１３に示されるプロテクト下の処理環境によって提供されるＳＰＵメモリマップの例である。
【図１４Ｂ】図１３に示されるプロテクト下の処理環境によって提供されるＳＰＵメモリマップの例である。
【図１４Ｃ】図１３に示されるプロテクト下の処理環境によって提供されるＳＰＵメモリマップの例である。
【図１５】図１３のチャネルサービスマネジャおよびロードモジュール実行マネージャがチャネルをどのようにサポートし得るかの一例を示す図である。
【図１５Ａ】図１５に示されるチャネルヘッダおよびチャネル詳細レコードの一例である。
【図１５Ｂ】チャネルを形成するために図１３のプロテクト下の処理環境によって行われ得るプログラム制御ステップの一例のフローチャートである。
【図１６】安全なデータベース構造の一例のブロック図である。
【図１７】論理オブジェクト構造の一例の図である。
【図１８】静止オブジェクト構造の一例を示す図である。
【図１９】移動オブジェクト構造の一例を示す図である。
【図２０】コンテンツオブジェクト構造の一例を示す図である。
【図２１】管理的オブジェクト構造の一例を示す図である。
【図２２】メソッドコア構造の一例を示す図である。
【図２３】ロードモジュール構造の一例を示す図である。
【図２４】ユーザデータエレメント（ＵＤＥ）および／またはメソッドデータエレメント（ＭＤＥ）構造の一例を示す図である。
【図２５Ａ】「マップ計量」の例を示す図である。
【図２５Ｂ】「マップ計量」の例を示す図である。
【図２５Ｃ】「マップ計量」の例を示す図である。
【図２６】パーミッションレコード（ＰＥＲＣ）構造の一例を示す図である。
【図２６Ａ】パーミッションレコード構造のより詳細な例を示す図である。
【図２６Ｂ】パーミッションレコード構造のより詳細な例を示す図である。
【図２７】発送（ｓｈｉｐｐｉｎｇ）テーブル構造の一例を示す図である。
【図２８】受信テーブル構造の一例を示す図である。
【図２９】管理的イベントログ構造の一例を示す図である。
【図３０】図１６の安全なデータベース中に示されるオブジェクト登録テーブル、サブジェクトテーブル、およびユーザ権利テーブル間の相互関係および使用の例を示す図である。
【図３１】図１６に示されるオブジェクト登録テーブルのより詳細な例である。
【図３２】図１６に示されるサブジェクトテーブルのより詳細な例である。
【図３３】図１６に示されるユーザ権利テーブルのより詳細な例である。
【図３４】サイト記録テーブルおよびグループ記録テーブルが図１６に示される安全なデータベースの部分をどのようにトラッキングし得るかの指定例を示す図である。
【図３４Ａ】図３４のサイトレコードテーブル構造の一例である。
【図３４Ｂ】図３４のグループレコードテーブル構造の一例である。
【図３５】安全データベースを更新するためのプロセスの一例を示す図である。
【図３６】新しいエレメントがどのように図１６の安全なデータベースに挿入され得るかの一例を示す図である。
【図３７】安全なデータベースのエレメントがどのようにアクセスされ得るかの一例を示す図である。
【図３８】安全なデータベースエレメントをどのように保護するかのフローチャート例である。
【図３９】安全なデータベースをどのようにバックアップするかのフローチャート例である。
【図４０】バックアップからどのように安全データベースを回復するかのフローチャート例である。
【図４１Ａ】「相互的メソッド」を用いてどのように「処理および制御チェーン」が使用可能にされ得るかを示す一組の例である。
【図４１Ｂ】「相互的メソッド」を用いてどのように「処理および制御チェーン」が使用可能にされ得るかを示す一組の例である。
【図４１Ｃ】「相互的メソッド」を用いてどのように「処理および制御チェーン」が使用可能にされ得るかを示す一組の例である。
【図４１Ｄ】「相互的メソッド」を用いてどのように「処理および制御チェーン」が使用可能にされ得るかを示す一組の例である。
【図４２Ａ】「相互的」ＢＵＤＧＥＴメソッドの一例を示す図である。
【図４２Ｂ】「相互的」ＢＵＤＧＥＴメソッドの一例を示す図である。
【図４２Ｃ】「相互的」ＢＵＤＧＥＴメソッドの一例を示す図である。
【図４２Ｄ】「相互的」ＢＵＤＧＥＴメソッドの一例を示す図である。
【図４３Ａ】「相互的」ＲＥＧＩＳＴＥＲメソッドの一例を示す図である。
【図４３Ｂ】「相互的」ＲＥＧＩＳＴＥＲメソッドの一例を示す図である。
【図４３Ｃ】「相互的」ＲＥＧＩＳＴＥＲメソッドの一例を示す図である。
【図４３Ｄ】「相互的」ＲＥＧＩＳＴＥＲメソッドの一例を示す図である。
【図４４Ａ】「相互的」ＡＵＤＩＴメソッドの一例を示す図である。
【図４４Ｂ】「相互的」ＡＵＤＩＴメソッドの一例を示す図である。
【図４４Ｃ】「相互的」ＡＵＤＩＴメソッドの一例を示す図である。
【図４５】コンテンツまたは他の情報の放出を制御するために共に用いられる幾つかのメソッドの例を示す図である。
【図４６】コンテンツまたは他の情報の放出を制御するために共に用いられる幾つかのメソッドの例を示す図である。
【図４７】コンテンツまたは他の情報の放出を制御するために共に用いられる幾つかのメソッドの例を示す図である。
【図４８】コンテンツまたは他の情報の放出を制御するために共に用いられる幾つかのメソッドの例を示す図である。
【図４９】ＯＰＥＮメソッドの一例を示す図である。
【図４９Ａ】ＯＰＥＮメソッドの一例を示す図である。
【図４９Ｂ】ＯＰＥＮメソッドの一例を示す図である。
【図４９Ｃ】ＯＰＥＮメソッドの一例を示す図である。
【図４９Ｄ】ＯＰＥＮメソッドの一例を示す図である。
【図４９Ｅ】ＯＰＥＮメソッドの一例を示す図である。
【図４９Ｆ】ＯＰＥＮメソッドの一例を示す図である。
【図５０】ＲＥＡＤメソッドの一例を示す図である。
【図５０Ａ】ＲＥＡＤメソッドの一例を示す図である。
【図５０Ｂ】ＲＥＡＤメソッドの一例を示す図である。
【図５０Ｃ】ＲＥＡＤメソッドの一例を示す図である。
【図５０Ｄ】ＲＥＡＤメソッドの一例を示す図である。
【図５０Ｅ】ＲＥＡＤメソッドの一例を示す図である。
【図５０Ｆ】ＲＥＡＤメソッドの一例を示す図である。
【図５１】ＷＲＩＴＥメソッドの一例を示す図である。
【図５１Ａ】ＷＲＩＴＥメソッドの一例を示す図である。
【図５１Ｂ】ＷＲＩＴＥメソッドの一例を示す図である。
【図５１Ｃ】ＷＲＩＴＥメソッドの一例を示す図である。
【図５１Ｄ】ＷＲＩＴＥメソッドの一例を示す図である。
【図５１Ｅ】ＷＲＩＴＥメソッドの一例を示す図である。
【図５１Ｆ】ＷＲＩＴＥメソッドの一例を示す図である。
【図５２】ＣＬＯＳＥメソッドの一例を示す図である。
【図５３Ａ】ＥＶＥＮＴメソッドの一例を示す図である。
【図５３Ｂ】ＥＶＥＮＴメソッドの一例を示す図である。
【図５３Ｃ】ＢＩＬＬＩＮＧメソッドの一例を示す図である。
【図５４】ＡＣＣＥＳＳメソッドの一例を示す図である。
【図５５Ａ】ＤＥＣＲＹＰＴおよびＥＮＣＲＹＰＴメソッドの例を示す図である。
【図５５Ｂ】ＤＥＣＲＹＰＴおよびＥＮＣＲＹＰＴメソッドの例を示す図である。
【図５６】ＣＯＮＴＥＮＴメソッドの一例を示す図である。
【図５７Ａ】ＥＸＴＲＡＣＴおよびＥＭＢＥＤメソッドの例を示す図である。
【図５７Ｂ】ＥＸＴＲＡＣＴおよびＥＭＢＥＤメソッドの例を示す図である。
【図５８Ａ】ＯＢＳＣＵＲＥメソッドの一例を示す図である。
【図５８Ｂ】ＦＩＮＧＥＲＰＲＩＮＴメソッドの例を示す図である。
【図５８Ｃ】ＦＩＮＧＥＲＰＲＩＮＴメソッドの例を示す図である。
【図５９】ＤＥＳＴＲＯＹメソッドの一例を示す図である。
【図６０】ＰＡＮＩＣメソッドの一例を示す図である。
【図６１】ＭＥＴＥＲメソッドの一例を示す図である。
【図６２】鍵「旋回（ｃｏｎｖｏｌｕｔｉｏｎ）」プロセスの一例を示す図である。
【図６３】「真の」鍵を決定するための鍵旋回プロセスを用いてどのように異なる鍵が生成され得るかの一例を示す図である。
【図６４】保護下の処理環境鍵がどのように初期化されるかの一例を示す図である。
【図６５】保護下の処理環境鍵がどのように初期化されるかの一例を示す図である。
【図６６】静止オブジェクトおよび移動オブジェクト内にそれぞれ含まれる情報を復号化するためのプロセスの例を示す図である。
【図６７】静止オブジェクトおよび移動オブジェクト内にそれぞれ含まれる情報を復号化するためのプロセスの例を示す図である。
【図６８】保護下の処理環境がどのように初期化され得るかの一例を示す図である。
【図６９】ファームウェアが保護下の処理環境にどのようにダウンロードされ得るかの一例を示す図である。
【図７０】ネットワークあるいは他の通信手段と共に接続された複数のＶＤＥ電子機器の例を示す図である。
【図７１】携帯ＶＤＥ電子機器の例を示す図である。
【図７２Ａ】ユーザ通知および例外（ｅｘｃｅｐｔｉｏｎ）インタフェースによって生成され得る「ポップアップ」ディスプレイの例を示す図である。
【図７２Ｂ】ユーザ通知および例外（ｅｘｃｅｐｔｉｏｎ）インタフェースによって生成され得る「ポップアップ」ディスプレイの例を示す図である。
【図７２Ｃ】ユーザ通知および例外（ｅｘｃｅｐｔｉｏｎ）インタフェースによって生成され得る「ポップアップ」ディスプレイの例を示す図である。
【図７２Ｄ】ユーザ通知および例外（ｅｘｃｅｐｔｉｏｎ）インタフェースによって生成され得る「ポップアップ」ディスプレイの例を示す図である。
【図７３】「スマートオブジェクト」の一例を示す図である。
【図７４】「スマートオブジェクト」を用いるプロセスの一例を示す図である。
【図７５Ａ】電子ネゴシエーションのために用いられるデータ構造の例を示す図である。
【図７５Ｂ】電子ネゴシエーションのために用いられるデータ構造の例を示す図である。
【図７５Ｃ】電子ネゴシエーションのために用いられるデータ構造の例を示す図である。
【図７５Ｄ】電子ネゴシエーションのために用いられるデータ構造の例を示す図である。
【図７５Ｅ】電子契約に関連する構造の例を示す図である。
【図７５Ｆ】電子契約に関連する構造の例を示す図である。
【図７６Ａ】電子ネゴシエーションプロセスの例を示す図である。
【図７６Ｂ】電子ネゴシエーションプロセスの例を示す図である。
【図７７】取扱いおよび制御のチェーンの別の例を示す図である。
【図７８】ＶＤＥ「格納場所（ｒｅｐｏｓｉｔｏｒｙ）」の一例を示す図である。
【図７９】ＶＤＥ管理コンテンツおよび制御情報を発展および変形させるための処理および制御のチェーンを図示する例を示す図である。
【図８０】ＶＤＥ管理コンテンツおよび制御情報を発展および変形させるための処理および制御のチェーンを図示する例を示す図である。
【図８１】ＶＤＥ管理コンテンツおよび制御情報を発展および変形させるための処理および制御のチェーンを図示する例を示す図である。
【図８２】ＶＤＥ管理コンテンツおよび制御情報を発展および変形させるための処理および制御のチェーンを図示する例を示す図である。
【図８３】ＶＤＥ管理コンテンツおよび制御情報を発展および変形させるための処理および制御のチェーンを図示する例を示す図である。
【図８４】ＶＤＥ参加者のいくつかのカテゴリーに関する処理および制御のチェーンの別の例を示す図である。
【図８５】組織内の配布および処理のチェーンの別の例を示す図である。
【図８６】処理および制御のチェーンの別の例を示す図である。
【図８６Ａ】処理および制御のチェーンの別の例を示す図である。
【図８７】仮想シリコンコンテナモデルの例を示す図である。

Claims

−　音楽を内含するデジタルファイルを受理する段階、
−　前記デジタルファイルを第１のデバイスの第１の安全なメモリー内に記憶する段階、
−　前記第１のデバイス上に記憶した安全なデータベースの中に前記デジタルファイルに関連する情報を記憶する段階であって、前記情報が少なくとも１つの予算制御及び少なくとも１つのコピー制御を内含し、前記少なくとも１つの予算制御が、前記デジタルファイルから作ることのできるコピーの数を特定する予算を内含し、前記少なくとも１つのコピー制御が、前記デジタルファイルから作られたコピーを制御する段階、
−　少なくとも前記コピー制御に基づき前記デジタルファイルをコピーし、第２のデバイス上に記憶できるか否かを決定する段階、
−　前記デジタルファイルの少なくとも一部分がコピーされ第２のデバイス上に記憶されるのを前記コピー制御が可能にする場合には、
−　前記デジタルファイルの少なくとも一部分をコピーする段階、
−　メモリ及びオーディオ及び／又はビデオ出力を内含する第２のデバイスに対して前記デジタルファイルの少なくとも一部分を転送する段階、
−　前記第２のデバイスの前記メモリ内に前記デジタルファイルを記憶する段階、及び
−　前記オーディオ出力を通して前記音楽を再生することを内含する段階、
を含んで成る安全な取引管理方法。
前記転送段階と実質的に同時の時点で、前記転送が発生したことを示す情報を前記第１のデバイス内に記録する段階をさらに含んで成る、請求項１に記載の方法。
前記転送が発生したことを示す前記情報が、前記予算に対する負担を内含する、請求項２に記載の方法。
前記負担が、前記予算により認可された前記デジタルファイルのコピー数を削減するように動作する、請求項３に記載の方法。
−　前記転送段階の後の或る時点で、前記デジタルファイルの前記コピーを前記第２のデバイスで使用不可能にするための少なくとも１つの対策を講じる段階、及び
−　前記第１のデジタルデバイスにおいて、前記予算に対する前記負担を除去する段階、
をさらに含んで成り、前記除去には、前記予算により認可された前記デジタルファイルのコピーの数を増大させる段階が含まれる、請求項４に記載の方法。
−　前記予算が前記負担に先立ち１つのコピーを認可し、
−　前記予算が前記負担中にコピーを全く認可せず、
−　前記予算が前記負担の除去後に１つのコピーを認可する、
請求項５に記載の方法。
−　ビデオディスク上に記憶されたデジタルファイルを受理する段階、
−　前記デジタルファイルを第１のデバイスの第１の安全なメモリー内に記憶する段階、
−　前記第１のデバイス上に記憶した安全なデータベースの中に前記デジタルファイルに関連する予算情報を記憶する段階であって、前記予算情報が前記デジタルファイルの許可された使用に関係し、少なくとも１つの制御を内含し、前記予算情報がビデオディスク上で受理されている、段階、
−　前記少なくとも１つの制御に基づき前記デジタルファイルをコピーし第２のデバイス上に記憶することができるか否かを決定する段階、
−　前記デジタルファイルの少なくとも一部分がコピーされ第２のデバイス上に記憶されるのを前記少なくとも１つの制御が可能にする場合には、
−　前記デジタルファイルの少なくとも一部分をコピーする段階、
−　前記転送段階が認可されているか否かを決定するべく前記予算をチェックした後、第２のデバイスに対して前記デジタルファイルの少なくとも一部分を転送する段階、
−　メモリー及びオーディオ及び／又はビデオ出力を内含する段階、及び
−　前記出力を通して前記デジタルファイルをレンダリングする段階、
を含んで成る安全な取引管理方法。
−　前記ビデオディスクが、前記ビデオディスクを識別する識別情報を内含し、
−　前記第１のデバイスが、前記第１のデバイスを識別する識別情報を内含し、
−　前記第２のデバイスが、前記第２のデバイスを識別する識別情報を内含する、
請求項７に記載の方法。
−　前記デジタルファイルが、前記ビデオディスク上に暗号化された形で記憶される、請求項８に記載の方法。
前記デジタルファイルが、暗号化された形で前記第２のデバイスに転送され、
さらに、
−　前記レンダリング段階に先立ち、前記第２のデバイスで前記デジタルファイルを解読する段階、
を含んで成り、
−　前記解読が、少なくとも部分的に、キーとしての前記第２のデバイス識別情報の使用に基づいている、請求項９に記載の方法。
−　デジタルファイルを受理する段階、
−　第１のデバイスの第１の安全なメモリ内に前記デジタルファイルを記憶する段階、
−　前記第１のデバイスに記憶された安全なデータベース内に、第１の制御を内含するとともに前記デジタルファイルに関連する情報を記憶する段階、
−　前記第１の制御に基づいて前記第１のデジタルファイルをコピーし第２のデバイス上に記憶することができるか否かを決定する段階であって、前記第２のデバイスを識別し、前記第１の制御が前記コピーされたファイルの前記第２のデバイスへの転送を可能にするか否かを決定する段階を内含し、前記決定は、前記コピーされたファイルが転送されるべきデバイスに存在するフィーチャに少なくとも一部分基づいている段階、
−　前記デジタルファイルの少なくとも一部分がコピーされ第２のデバイス上に記憶されるのを前記第１の制御が可能にする場合には、
−　前記デジタルファイルの少なくとも一部分をコピーする段階、
−　メモリー及びオーディオ及び／又はビデオ出力を内含する第２のデバイスに、前記第２のデジタルファイルの少なくとも一部分を転送する段階、
−　前記第２のデバイスの前記メモリー内に前記デジタルファイルを記憶する段階、及び
−　前記出力を通して前記デジタルファイルをレンダリングする段階、
を含んで成る安全な取引管理方法。
−　デジタルファイルを受理する段階、
−　第１のデバイスの第１の安全なメモリ内に前記デジタルファイルを記憶する段階、
−　前記第１のデバイスに記憶された安全なデータベース内に、少なくとも１つの制御を内含するとともに前記デジタルファイルに関連する情報を記憶する段階であって、該記録段階は、前記第１のデバイスで前記デジタルファイルを登録するプロセスの間に行なわれ、該登録プロセスにはさらに前記デジタルファイルの許可された少なくとも１人のユーザを識別する情報を記憶する、ことが含まれている段階、
−　前記少なくとも１つの制御に基づいて前記第１のデジタルファイルをコピーし第２のデバイス上に記憶することができるか否かを決定する段階、
−　前記デジタルファイルの少なくとも一部分がコピーされ第２のデバイス上に記憶されるのを前記少なくとも１つの制御が可能にする場合には、
−　前記デジタルファイルの少なくとも一部分をコピーする段階、
−　メモリー及びオーディオ及び／又はビデオ出力を内含する第２のデバイスに、前記第２のデジタルファイルの少なくとも一部分を転送する段階、
−　前記第２のデバイスの前記メモリー内に前記デジタルファイルを記憶する段階、及び
−　前記出力を通して前記デジタルファイルをレンダリングする段階、
を含んで成る安全な取引管理方法。
前記転送段階には、前記少なくとも１つの認可されたユーザを識別する前記情報をコピーし、前記コピーされた情報を前記第２のデバイスに転送する段階が内含される、請求項１２に記載の方法。
前記レンダリング段階に先立ち、前記第２のデバイスのユーザが認可されたユーザであるか否かを決定するために、前記少なくとも１人の認可済みユーザを識別する前記転送された情報を使用する段階をさらに含んで成る、請求項１３に記載の方法。
−　デジタルファイルを受理する段階、
−・第１のデバイス又は前記第１のデバイスのユーザに関連づけられた少なくとも１つの識別子にアクセスすること、及び
・前記識別子が、前記デジタルファイルを記憶するために認可されたデバイス及び／又はユーザと関連づけられているか否かを決定すること、
を含む認証段階、
−　前記デバイス及び／又はユーザがそのように認可を受けている場合にのみ前記第１のデバイスの第１の安全なメモリー内に前記デジタルファイルを記憶し、前記デバイス及び／又はユーザが認可を受けていない場合には前記記憶作業を進めない段階、
・　前記第１のデバイス上に記憶された安全なデータベース内に、前記デジタルファイルに関連し、かつ少なくとも１つの制御を内含する情報を記憶する段階、
・　前記少なくとも１つの制御に基づいて前記デジタルファイルをコピーし第２のデバイス上に記憶することができるか否かを決定する段階、
−　前記デジタルファイルの少なくとも一部分がコピーされ第２のデバイス上に記憶されるのを前記少なくとも１つの制御が可能にする場合には、
−　前記デジタルファイルの少なくとも一部分をコピーする段階、
−　メモリー及びオーディオ及び／又はビデオ出力を内含する第２のデバイスに、前記デジタルファイルの少なくとも一部分を転送する段階、
−　前記第２のデバイスの前記メモリー内に前記デジタルファイルを記憶する段階、及び
−　前記出力を通して前記デジタルファイルをレンダリングする段階、
を含んで成る安全な取引管理方法。
−　前記デジタルファイルが暗号化された形で受理され、−　さらに、前記認可段階の後で、しかも前記第１のデバイスの前記メモリ内に前記デジタルファイルを記憶する前記段階より前に、前記デジタルファイルを解読する段階を含んで成る、
請求項１５に記載の方法。
前記識別子が前記解読段階においてキーとして使用される、請求項１６に記載の方法。
−　デジタルファイルを受理する段階、
−　第１のデバイスの第１の安全なメモリ内に前記デジタルファイルを記憶する段階、
−　前記第１のデバイスに記憶された安全なデータベース内に、少なくとも１つの制御を内含するとともに前記デジタルファイルに関連する情報を記憶する段階、
−　前記少なくとも１つの制御に基づいて前記第１のデジタルファイルをコピーし第２のデバイス上に記憶することができるか否かを決定する段階、
−　前記デジタルファイルの少なくとも一部分がコピーされ第２のデバイス上に記憶されるのを前記少なくとも１つの制御が可能にする場合には、
−　前記デジタルファイルの少なくとも一部分をコピーする段階、
−　メモリー及びオーディオ及び／又はビデオ出力を内含する第２のデバイスに、前記第２のデジタルファイルの少なくとも一部分を転送する段階であって、前記第２のデバイスに転送された前記デジタルファイルの部分が、前記第２のデバイスでレンダリングされた時点で、前記第１のデバイスで前記デジタルファイルがレンダリングされた時に提供される品質レベルよりも低い品質レベルを提供するような、前記デジタルファイルの１バージョンを表す段階、
−　前記第２のデバイスの前記メモリー内に前記デジタルファイルを記憶する段階、及び
−　前記出力を通して前記デジタルファイルをレンダリングする段階、
を含んで成る安全な取引管理方法。
−　第１のデバイスにおいてデジタルファイルを受理する段階、
−　前記第１のデバイスと該第１デバイスから遠隔の場所にあるクリアリングハウスとの間の通信を設立する段階、
ここで、前記第１のデバイスは、前記クリアリングハウスからキーを内含する認可情報を得、
前記第１のデバイスは、前記第１のデジタルファイルの少なくとも一部分を解読するべき前記キーを使用することを含め、前記第１のデジタルファイルにアクセスを得るか又はこのデジタルファイルを少なくとも１回使用するために前記認可情報を使用し、
−　前記第１のデバイスにおいて前記クリアリングハウスから第１の制御を受理する段階、
−　前記第１のデバイスのメモリーにおいて前記第１のデジタルファイルを記憶する段階、
−　前記第１の制御を用いて、前記第１のデジタルファイルをコピーし第２のデバイス上に記憶することができるか否かを決定する段階、
−　前記デジタルファイルの少なくとも一部分がコピーされ第２のデバイス上に記憶されるのを前記第１の制御が可能にする場合には、
−　前記第１のデジタルファイルの少なくとも一部分をコピーする段階、
−　メモリー及びオーディオ及び／又はビデオ出力を内含する第２のデバイスに、前記第１のデジタルファイルの少なくとも一部分を転送する段階、
−　前記第２のデバイスの前記メモリー内に前記第１のデジタルファイル部分を記憶する段階、及び
−　前記出力を通して前記第１のデジタルファイル部分をレンダリングする段階、
を含んで成る安全な取引管理方法。
前記第１のデバイスで前記第１のデジタルファイルを受理する段階に先立ち、前記第１のデジタルファイルをポータブルメモリ上に記憶する段階をさらに含んで成り、前記第１のデバイスのメモリー内に前記第１のデジタルファイルを記憶する前記段階が、前記第１のデバイスの前記メモリーに前記ポータブルメモリから前記第１のデジタルファイルをコピーする段階を含む、請求項１９に記載の方法。
前記ポータブルメモリが１つのディスクを構成する、請求項２０に記載の方法。
前記ディスクが光ディスクを構成する、請求項２１に記載の方法。
ポータブルメモリ上に前記第１のデジタルファイルを記憶する前記段階にはさらに、前記ポータブルメモリ上に少なくとも１つの識別子を記憶する段階が含まれる、請求項２２に記載の方法。
前記識別子が、前記第１のデジタルファイルを使用するために認可されたユーザの識別を構成する、請求項２３に記載の方法。
前記識別子が、前記第１のデバイスの識別を構成する、請求項２３に記載の方法。
前記識別子が、前記解読段階におけるキーとして使用される、請求項２３に記載の方法。
−　前記第１のデジタルファイルが音楽を内含し、
−　前記レンダリング段階が、前記オーディオ出力を通して前記音楽を再生することを内含する、
請求項２２に記載の方法。
前記転送段階が、前記第２のデバイスの前記メモリに少なくとも第２の制御を転送することを内含する、請求項２７に記載の方法。
前記第２の制御が、前記第２のデバイスにおいて前記第１のデジタルファイルについて行なうことのできる少なくとも一回の使用を制限している請求項２８に記載の方法。
前記第２の制御が、前記第２のデバイスにおける前記第１のデジタルファイルのコピーを禁じるように動作する、請求項２９に記載の方法。
少なくとも１つの予算が前記第１のデバイスで記憶される、請求項３０に記載の方法。
前記予算が前記第１のデジタルファイルについて作成することのできるコピーの数を特定する、請求項３１に記載の方法。
−　前記転送段階に先立つ１時点で、前記予算が前記転送に充分なものであるか否かを決定するため前記予算をチェックする段階、及び
−　前記予算が前記転送に充分なものである場合、この転送を進める段階、
をさらに含んで成る、請求項３２に記載の方法。
前記転送段階と実質的に同時期の一時点で、前記転送が発生したことを示す情報を前記第１のデバイス内に記録する段階をさらに含んで成る、請求項３３に記載の方法。
前記転送が発生したことを示す前記情報が、前記予算に対する負担を内含する、請求項３４に記載の方法。
前記負担が、前記予算により認可された前記第１のデジタルファイルのコピーの数を削減するように動作する、請求項３５に記載の方法。
−　前記転送段階の後の或る時点で、前記第１のデジタルファイルの前記コピーを前記第２のデバイスで使用不可能にするための少なくとも１つの対策を講じる段階、及び
−　前記第１のデジタルデバイスにおいて、前記予算に対する前記負担を除去する段階、をさらに含んで成り、
前記除去には、前記予算により認可された前記第１のデジタルファイルのコピーの数を増大させる段階が含まれる、請求項３６に記載の方法。
−　前記予算が前記負担に先立ち１回のコピーを認可し、
−　前記予算が前記負担中にコピーを全く認可せず、
−　前記予算が前記負担の除去に引き続いて１回のコピーを認可する、
請求項３７に記載の方法。
前記通信を樹立する段階にはさらに、前記第１のデバイスが前記クリアリングハウスから前記予算を受理する段階が含まれる、請求項３３に記載の方法。
−　前記第１のデバイスにおいて前記第１のデジタルファイルを受理する前記段階に先立ち、前記ポータブルメモリ上に前記予算を記憶する段階、及び
−　前記ポータブルメモリから前記第１のデバイスのメモリーに前記予算をコピーする段階、
をさらに含んで成る、請求項３３に記載の方法。
前記第２のデバイスがポータブルデバイスである、請求項３７に記載の方法。
−　前記第２のデバイスが、前記第２のデバイスを識別する識別情報を内含し、
−　前記第２のデバイスに転送された前記制御のうちの少なくとも１つが、前記転送された第１のデジタルファイルが前記第２のデバイス上でのみ使用され得るように、この前記転送された第１のデジタルファイルの使用を制限するように動作する、
請求項４０に記載の方法。
−　前記第１のデジタルファイルが、暗号化された形で前記第２のデバイスに転送され、
さらに、
−　前記レンダリング段階に先立ち、前記第２のデバイスで前記デジタルファイルを解読する段階、
を含んで成り、
−　前記解読が、少なくとも部分的に、キーとしての前記第２のデバイス識別情報の使用に基づいている、請求項４２に記載の方法。
前記少なくとも１つの対策には、前記第２のデバイスの前記メモリーから前記第１のデジタルファイルを削除することが含まれている、
請求項３７に記載の方法。
前記少なくとも１つの対策には、その指示がリセットされるまで前記第２のデバイスが前記第１のデジタルファイルをレンダリングしないようにさせる１つの指示をセットすることが含まれる、請求項３７に記載の方法。
前記第１のデバイスにおいて、前記第１のデジタルファイルを受理する前記段階に先立ち、
−　第１の安全なコンテナ内に前記第１のデジタルファイルを入れる段階、
−　前記第１の安全なコンテナを前記第１のデバイスに送る段階、
をさらに含む、請求項４２に記載の方法。
前記第１のデバイスのメモリ内に前記第１のデジタルファイルを記憶する前記段階にはさらに、前記第１の安全なコンテナから前記第１のデジタルファイルを除去する段階が含まれる、請求項４６に記載の方法。
前記第１のデバイスのメモリー内に前記第１のデジタルファイルを記憶する前記段階がさらに、前記第１のデバイスの前記メモリ内に前記第１の安全なコンテナを記憶する段階を含んで成る、請求項４６に記載の方法。
第２のデバイスに対し前記第１のデジタルファイルの少なくとも一部分を転送する前記段階が、
−　前記第１の安全なコンテナから前記第１のデジタルファイルの前記部分を除去する段階、
−　第２の安全なコンテナ内に前記第１のデジタルファイルの前記部分を挿入する段階及び、
−　前記第２の安全なコンテナを前記第２のデバイスに転送する段階、
をさらに含んで成る、請求項４８に記載の方法。
−　前記第１の安全なコンテナにはさらに、前記第１のデジタルファイルが前記第１の安全なコンテナ内に収納されている間、前記第１のデジタルファイルに対するアクセス又はこのデジタルファイルの使用を管理するために使用される少なくとも１つの制御が含まれており、
−　前記第２の安全なコンテナにはさらに、前記第１のデジタルファイル部分が前記第２の安全なコンテナ内に収納されている間、前記第１のデジタルファイルの部分に対するアクセス又はその使用を管理するために使用される少なくとも１つの制御が含まれている、請求項４９に記載の方法。
−　第１のデバイスにおいてデジタルファイルを受理する段階、
−　前記第１のデバイスと該第１のデバイスから遠隔の場所にあるクリアリングハウスとの間の通信を設立する段階、
ここで、前記第１のデバイスは、前記クリアリングハウスから認可情報を得、かつ前記第１のデバイスは、前記第１のデジタルファイルにアクセスを得るか又はこのデジタルファイルを少なくとも１回使用するために前記認可情報を使用し、
−　前記第１のデバイスのメモリーにおいて前記第１のデジタルファイルを記憶する段階、
−　少なくとも第１の制御を用いて、前記第１のデジタルファイルをコピーし第２のデバイス上に記憶することができるか否かを決定する段階であって、該決定が、少なくとも一部分、
（１）　前記第２のデバイスに関する識別情報と、
（２）前記第２のデバイスの機能的属性と、に基づいている段階、
−　少なくとも一部分、前記識別情報に基づいて、前記第１のデジタルファイルの少なくとも一部分がコピーされ第２のデバイス上に記憶されるのを前記第１の制御が可能にする場合には、
−　前記第１のデジタルファイルの少なくとも一部分をコピーする段階、
−　メモリー及びオーディオ及び／又はビデオ出力を内含する第２のデバイスに、前記第１のデジタルファイルの少なくとも一部分を転送する段階、
−　前記第２のデバイスの前記メモリー内に前記第１のデジタルファイルの部分を記憶する段階、及び
−　前記出力を通して前記第１のデジタルファイルの部分をレンダリングする段階、
を含んで成る安全な取引管理方法。
−　第１のデバイスにおいて第１のデジタルファイルを受理する段階、
−　前記第１のデバイスにおいて前記第１のデジタルファイルを登録する段階、
ここで、前記登録プロセスにはさらに、前記第１のデジタルファイルの少なくとも１人の認可されたユーザを識別する情報を記憶する段階が含まれており、
−　前記第１のデバイスとこの第１のデバイスから遠隔の場所にあるクリアリングハウスとの間の通信を設立する段階、
ここで、前記第１のデバイスは、前記クリアリングハウスから認可情報を得、かつ前記第１のデバイスは、前記第１のデジタルファイルにアクセスを得るか又はこのデジタルファイルを少なくとも１回使用するために前記認可情報を使用し、
−　前記第１のデバイスのメモリーにおいて前記第１のデジタルファイルを記憶する段階、
−　少なくとも第１の制御を用いて、前記第１のデジタルファイルをコピーし第２のデバイス上に記憶することができるか否かを決定する段階、
−　前記第１のデジタルファイルの少なくとも一部分がコピーされ第２のデバイス上に記憶されるのを前記第１の制御が可能にする場合には、
−　前記第１のデジタルファイルの少なくとも一部分をコピーする段階、
−　メモリー及びオーディオ及び／又はビデオ出力を内含する第２のデバイスに、前記第１のデジタルファイルの少なくとも一部分を転送する段階、
−　前記第２のデバイスの前記メモリー内に前記第１のデジタルファイルの部分を記憶する段階、及び
−　前記出力を通して前記第１のデジタルファイル部分をレンダリングする段階、
を含んで成る安全な取引管理方法。
前記第１のデジタルファイルの部分を前記第２のデバイスに転送する前記段階が、前記第２のデバイスにおいて前記第１のデジタルファイルの部分の少なくとも１人の認可されたユーザを識別する情報を記憶する段階をさらに含んで成る、請求項５２に記載の方法。
前記レンダリング段階に先立ち、前記第２のデバイスのユーザが認可されたユーザであるか否かを決定するため少なくとも１人の認可済みユーザを識別する前記情報を使用する段階をさらに含んで成る、請求項５３に記載の方法。
−　第１のデバイスにおいてデジタルファイルを受理する段階、
−　前記第１のデバイスと該第１のデバイスから遠隔の場所にあるクリアリングハウスとの間の通信を設立する段階、
ここで、前記第１のデバイスは、前記クリアリングハウスから認可情報を得、前記第１のデバイスは、前記第１のデジタルファイルにアクセスを得るか又はこのデジタルファイルを少なくとも１回使用するために前記認可情報を使用し、
認可する段階は、
−・前記第１のデバイス又は前記第１のデバイスのユーザに関連づけられた少なくとも１つの識別子にアクセスすること、及び
・前記識別子が、前記第１のデジタルファイルを記憶するために認可されたデバイス及び／又はユーザと関連づけられているか否かを決定すること、
を含み、
−　前記デバイス及び／又はユーザがその認可を受けている場合に前記第１のデバイスのメモリー内に前記第１のデジタルファイルを記憶し、前記デバイス及び／又はユーザが認可を受けていない場合には前記記憶を進めない段階、
−　前記少なくとも第１の制御を用いて、前記第１のデジタルファイルをコピーし第２のデバイス上に記憶することができるか否かを決定する段階、
−　前記デジタルファイルの少なくとも一部分がコピーされ第２のデバイス上に記憶されるのを前記第１の制御が可能にする場合には、
−　前記第１のデジタルファイルの少なくとも一部分をコピーする段階、
−　不揮発性ＲＡＭ、耐不正改変ハウジング、バッテリー及びオーディオ及び／又はビデオ出力を内含する第２のデバイスに、前記第１のデジタルファイルの少なくとも一部分を転送する段階、
−　前記第２のデバイスの前記不揮発性ＲＡＭ内に前記第１のデジタルファイルの部分を記憶する段階、及び
−　前記出力を通して前記第１のデジタルファイルの部分をレンダリングする段階、
を含んで成る安全な取引管理方法。
前記認証段階が、前記クリアリングハウスから受理した少なくとも１つの制御の制御下で、少なくとも一部分が起こる、請求項５５に記載の方法。
前識識別子が、前記解読段階においてキーとして使用される、請求項５６に記載の方法。
−　第１のデバイスにおいてデジタルファイルを受理する段階、
−　前記第１のデバイスと該第１のデバイスから遠隔の場所にあるクリアリングハウスとの間の通信を設立する段階、
ここで、前記第１のデバイスは、前記クリアリングハウスから認可情報を得、かつ前記第１のデバイスは、前記第１のデジタルファイルにアクセスを得るか又は該第１のデジタルファイルを少なくとも１回使用するために前記認可情報を使用し、
−　前記第１のデバイスのメモリーにおいて前記第１のデジタルファイルを記憶する段階、
−　少なくとも一つの第１の制御を用いて、前記第１のデジタルファイルがコピーでき第２のデバイス上に記憶できるか否かを決定する段階、
−　前記第１のデジタルファイルの少なくとも一部分がコピーされ第２のデバイス上に記憶されるのを前記第１の制御が可能にする場合には、
−　前記第１のデジタルファイルの少なくとも一部分をコピーする段階、
−　メモリー及びオーディオ及び／又はビデオ出力を内含する第２のデバイスに、前記第１のデジタルファイルの少なくとも一部分を転送する段階であって、前記転送された部分が、前記デジタルファイルのバージョンを表わすものであり、前記第２のデバイスにおいてレンダリングされた時点で、前記第１のデジタルファイルが前記第１のデバイスでレンダリングされたときに提供される品質レベルよりも低い品質レベルを提供する段階、
−　前記第２のデバイスの前記メモリー内に前記第１のデジタルファイルの部分を記憶する段階、及び
−　前記出力を通して前記第１のデジタルファイルの部分をレンダリングする段階、
を含んで成る安全な取引管理方法。
−　第１の安全なコンテナ内に第１のデジタルファイル及び第１の制御を記憶する段階であって、前記第１の安全なコンテナが、第１のポータブルメモリディスク上に記憶されており、前記第１の制御が、前記第１のデジタルファイル又はその一部分について単一のコピーを作成することができるようにする第１の予算を構成する段階、
−　第１のデバイスにおいて前記第１の安全なコンテナを内含する前記第１のポータブルメモリディスクを受理する段階、
−　前記第１のデバイスと該第１のデバイスから遠隔の場所にある第１のクリアリングハウスとの間の通信を設立する段階、
−　前記第１のクリアリングハウスから情報を得る段階、
ここで、前記第１のデバイスは、前記第１のデジタルファイルにアクセスを得るか又は該第１のデジタルファイルを少なくとも１回使用するために前記情報を使用し、
−　前記第１のデジタルファイルを前記第１の安全なコンテナから除去する段階、
−　前記第１のデバイスのメモリ内に前記第１のデジタルファイルを記憶する段階、
−　第２の安全なコンテナ内に第２のデジタルファイル及び第２の制御を記憶する段階、
ここで、前記第２の安全なコンテナは、前記第１のポータブルメモリディスクとは異なる第２のポータブルメモリディスク上に記憶されており、前記第２の制御が、前記第２のデジタルファイル又はその一部分について単一のコピーを作成することができるようにする第２の予算を構成しており、
−　前記第１のデバイスにおいて前記第２の安全なコンテナを内含する前記第２のポータブルメモリディスクを受理する段階、
−　前記第１のデバイスと該第１のデバイスから遠隔の場所にある第２のクリアリングハウスとの間に通信を設立する段階であって、前記第１のデバイスが、前記第２のクリアリングハウスから情報を得、前記第２のデバイスが、前記第２のデジタルファイルへのアクセスを得るか又は該第２このデジタルファイルを少なくとも１回使用するために前記情報を使用する段階、
−　前記第２の安全なコンテナから前記第２のデジタルファイルを除去する段階、
−　前記第１のデバイスのメモリ内に前記第２のデジタルファイルを記憶する段階、
−　前記第１のデジタルファイルの一部又は全てをコピーし第２のデバイス上に記憶することができるか否かを決定するために少なくとも第３の制御を使用する段階、
−　前記第１のデジタルファイルの少なくとも一部分がコピーされ第２のデバイス上に記憶されるのを前記第３の制御が可能にする場合には、
−　前記第１のデジタルファイルの少なくとも一部分をコピーする段階、
−　前記第１のデジタルファイル部分を第３の安全なコンテナ内に記憶する段階であって、前記第３の安全なコンテナが、前記第１のデジタルファイルの部分及び前記第３の安全なコンテナ内に収納された任意のファイルの使用又はアクセスの少なくとも１つの局面を管理する少なくとも１つの制御を内含する段階、
−　前記第２のデジタルファイルの一部又は全てをコピーし前記第２のデバイス上に記憶させることができるか否かを決定するべく少なくとも第４の制御を使用する段階、
−　前記第２のデジタルファイルの少なくとも一部分がコピーされ前記第２のデバイス上に記憶されるのを前記第４の制御が可能にする場合には、
−　前記第２のデジタルファイルの少なくとも一部分をコピーする段階、
−　前記第２のデジタルファイルの部分を前記第３の安全なコンテナ内に記憶する段階、
−　前記第１のデジタルファイルの部分及び前記第２のデジタルファイルの部分を含む前記第３の安全なコンテナを、メモリー及びオーディオ及び／又はビデオ出力を内含する前記第２のデバイスに転送する段階であって、前記第３の安全なコンテナ制御のうちの少なくとも１つは、前記第１のデジタルファイルの部分と前記第２のデジタルファイルの部分が前記第２のデバイスの前記メモリー内に記憶されている間、前記第２のデバイスのユーザが前記第１のデジタルファイルの部分及び前記第２のデジタルファイルの部分のコピーを作成するのを禁止する段階、
−　前記第１のデジタルファイル部分がまた前記メモリ内に記憶されている間、前記第２のデバイスの前記メモリー内に前記第１のデジタルファイルの部分及び前記第２のデジタルファイルの部分を記憶する段階、及び
−　前記第１又は前記第２のデジタルファイルの部分を前記出力を通してレンダリングする段階、
を含んで成る安全な取引管理方法。
−　第１のデジタルファイル及び第１の制御を第１の安全なコンテナ内に記憶する段階であって、前記第１の制御が、前記第１のデジタルファイルが前記第１の安全なコンテナ内に収納されている間に、前記第１のデジタルファイル又は該第１のデジタルファイルの一部分を作成することのできるコピーの数を管理する第１の予算を構成し、前記第１の安全なコンテナが第１のポータブルメモリディスク上に記憶される段階、
−　第１のデバイスにおいて前記第１の安全なコンテナを内含する前記第１のポータブルメモリディスクを受理する段階、
−　前記第１のデバイスと該第１のデバイスから遠隔の場所にある第１のクリアリングハウスとの間の通信を設立する段階、
−　前記第１のクリアリングハウスから情報を得る段階、
ここで、前記第１のデバイスは、前記第１のデジタルファイルへのアクセスを得るか又は該第１のデジタルファイルを少なくとも１回使用するために前記情報を使用し、
−　前記第１のデジタルファイルを前記第１の安全なコンテナから除去する段階、
−　前記第１のデバイスのメモリ内に前記第１のデジタルファイルを記憶する段階、
−　第２の安全なコンテナ内に第２のデジタルファイル及び第２の制御を記憶する段階であって、前記第２の制御が、前記第２のデジタルファイルが前記第２の安全なコンテナ内に収納されている間、前記第２のデジタルファイル又は該第２のデジタルファイルの一部を作成することのできるコピーの数を制御する第２の予算を構成し、前記第２の安全なコンテナが前記第１のポータブルメモリディスクとは異なる第２のポータブルメモリディスク上に記憶される段階、
−　前記第１のデバイスにおいて前記第２の安全なコンテナを内含する前記第２のポータブルメモリディスクを受理する段階、
−　前記第１のデバイスと該第１のデバイスから遠隔の場所にある第２のクリアリングハウスとの間に通信を設立する段階であって、前記第１のデバイスが前記第２のクリアリングハウスから情報を得、前記第１のデバイスが、前記第２のデジタルファイルへのアクセスを得るか又は該第２のデジタルファイルを少なくとも１回使用するために前記情報を使用する、段階、
−　前記第２の安全なコンテナから前記第２のデジタルファイルを除去する段階、
−　前記第１のデバイスのメモリ内に前記第２のデジタルファイルを記憶する段階、
−　前記第１のデジタルファイルの一部又は全てをコピーし第２のデバイス上に記憶することができるか否かを決定するために少なくとも第３の制御を使用する段階、
−　前記第１のデジタルファイルの少なくとも一部分がコピーされ第２のデバイス上に記憶されるのを前記第３の制御が可能にする場合には、
−　前記第１のデジタルファイルの少なくとも一部分をコピーする段階、
−　前記第１のデジタルファイルの部分を第３の安全なコンテナ内に記憶する段階であって、前記第３の安全なコンテナが、前記第１のデジタルファイルの部分を含み、かつ前記第３の安全なコンテナ内に収納された任意のファイルの使用又はアクセスの少なくとも１つの局面を管理する少なくとも１つの制御を含む段階、
−　前記第２のデジタルファイルの一部又は全てをコピーし、メモリー及びオーディオ及び／又はビデオ出力を内含する第２のデバイス上に記憶させることができるか否かを決定するべく少なくとも第４の制御を使用する段階、
−　前記第２のデジタルファイルの少なくとも一部分がコピーされ前記第２のデバイス上に記憶されるのを前記第４の制御が可能にする場合には、
−　前記第２のデジタルファイルの少なくとも一部分をコピーする段階、
−　前記第２のデジタルファイルの部分を前記第３の安全なコンテナ内に記憶する段階、
−　前記第１のデジタルファイルの部分及び前記第２のデジタルファイルの部分を含む前記第３の安全なコンテナを、前記第２のデバイスに転送する段階であって、前記第３の安全なコンテナ制御のうちの１つは、前記第１のデジタルファイルの部分と前記第２のデジタルファイルの部分が前記第２のデバイスの前記メモリー内に記憶されている間、前記第２のデバイスのユーザが前記第１のデジタルファイルの部分及び前記第２のデジタルファイルの部分のコピーを作成するのを禁止する段階、
−　前記第２のデバイスに前記第１のデジタルファイル部分を転送する前記段階と実質的に同時に、前記第１の予算上に第１の負担を置く段階、
ここで前記第１の負担は、前記第１のデジタルファイルの部分を作成することのできるコピーの数を削減し、
−　前記第２のデバイスに前記第２のデジタルファイルの部分を転送する前記段階と実質的に同時に、前記第２の予算上に第２の負担を置く段階、
ここで、前記第２の負担は、前記第２のデジタルファイル部分を作成し得るコピーの数を削減し、
−　前記第２のデバイスの前記メモリ内に前記第１のデジタルファイルの部分を記憶する段階、
−　前記第１のデジタルファイルの部分がまた前記メモリ内に記憶されている間、前記第２のデバイスの前記メモリー内に前記第２のデジタルファイル部分を記憶する段階、及び
−　前記出力を通して前記第１又は前記第２のデジタルファイルの部分をレンダリングする段階、
を含んで成る安全な取引管理方法。
前記第１の負担及び前記第２の負担が各々前記コピー数をゼロまで低減させる、請求項６０に記載の方法。
−　前記第２のデバイスへの前記第１のデジタルファイル部分の前記転送に引き続く或る時点で、前記第１のデジタルファイル部分が前記のデバイスにおいてもはや使用され得なくなるように少なくとも１つの対策を講じる段階、及び
−　前記対策に引き続き、前記第１の予算上の前記第１の負担を除去する段階、
をさらに含んで成る、請求項６０に記載の方法。
−　前記第２のデバイスへの前記第２のデジタルファイル部分の前記転送に引き続く或る時点で、前記第２のデジタルファイル部分が前記第２のデバイスにおいてもはや使用され得なくなるように少なくとも１つの対策を講じる段階、及び
−　前記対策に引き続き、前記第２の予算上の前記第２の負担を除去する段階、
をさらに含んで成る、請求項６２に記載の方法。
−　耐不正改変型でポータブル式のハードウェアハウジング装置の中で保護された処理環境を提供する段階、
−　スピーカを内含する電子機器に対し前記ハウジング装置を動作可能に結合する段階、
−　前記ハウジング装置と前記機器の両方の識別及び／又はかかる装置と機器のユーザを確認することを含めた、前記ハウジング装置と前記機器との間の安全な通信を確保する段階、
−　少なくとも一部分前記電子機器上で動作する少なくとも１つのプロセスを制御する上で、少なくとも一部分、使用するための情報を前記ハウジング装置から通信する段階、
−　少なくとも一部分が、前記ハウジング構成と前記機器構成の間の安全な通信及び／又は前記少なくとも１つの動作プロセスに由来する情報を、前記ハウジング装置内で安全に記録する段階、
−　前記保護された処理環境内で第１のデジタルファイルを記憶する段階、
−　前記保護された処理環境内で第１の制御を記憶する段階であって、該第１の制御が、前記第１のデジタルファイルの少なくとも一部分に対するアクセス又はその使用の少なくとも１つの局面を管理している、段階、
−　前記第１のデジタルファイル又はその一部分について作成することのできるコピーの数を特定する前記第１の予算を前記保護された処理環境内で記憶する段階、
−　前記ハードウェアハウジング装置から前記電子機器へと前記第１のデジタルファイルの少なくとも一部分のコピーを通信する段階、及び
−　前記スピーカーを通して前記第１のデジタルファイルを少なくとも一部分出力する段階、
を内含する、ポータブル式権利管理システムの操作方法。
前記コピー数が１である、請求項６４に記載の方法。
前記通信段階がさらに、前記電子機器に少なくとも第２の制御を通信する段階、及び前記第１のデジタルファイル部分が前記電子機器で記憶されている間、前記第１のデジタルファイル部分のアクセス又は使用の少なくとも１つの局面を管理するべく前記第２の制御を使用する段階を含んで成る、請求項６４に記載の方法。
前記第１のデジタルファイルの部分が前記電子機器で記憶されている間、前記第２の制御が、前記第１のデジタルファイルの部分の他のコピーを禁止する、請求項６６に記載の方法。
前記電子機器に対する前記第１のデジタルファイルの部分の前記通信と実質的に同時に、前記第１の予算上に負担を置く段階をさらに含んで成る、請求項６７に記載の方法。
前記負担が、前記第１の予算により許容されるコピー数を削減する、請求項６８に記載の方法。
前記負担が、前記第１の予算により許容されるコピー数をゼロまで削減する、請求項６９に記載の方法。
前記電子機器に対する前記第１のデジタルファイルの部分の前記通信に引き続き、前記第１のデジタルファイルの部分を前記電子機器において使用不可能にするための少なくとも１つの対策を講じる段階をさらに含んで成る、請求項６９に記載の方法。
前記対策に引き続いて又はそれと実質的に同時に、前記第１の予算から前記負担を除去する段階をさらに含んで成る、請求項７１に記載の方法。