用於安全交易管理和電子權利保護的系統和方法

2023-04-26 10:30:51 2

專利名稱：用於安全交易管理和電子權利保護的系統和方法
技術領域：
本發明一般涉及計算機和/或電子安全性。更具體地說，本發明涉及安全交易管理的系統和技木。本發明還涉及基於計算機或其它電子設備的技術，這些技術有助於確保只能以經過授權的方式訪問或使用信息，並維護該信息的完整性、可用性和/或保密性和涉及該使用的進程。
本發明還涉及用於保護電子商業活動以及其他電子的或由電子促進的交易中的各種參與者的權利的系統和方法。本發明還涉及用於信息內容和用來控制對該信息內容的使用以及所述使用的結果的信息的安全處理和控制鏈。它還涉及管理-包括計量和/或限制和/或監視-對電子存貯的或傳播的信息的使用的系統和技木。本發明特別涉及使用上述系統和/或技木-包括使用上述系統和/或技術的使用結果-的交易、處理和方案。本發明還涉及分布式的和其他的作業系統、環境和體系結構。它通常還涉及包括(舉例來說)基於硬體的防破壞處理器在內的安全體系結構，該安全體系結構可以用來在分布式系統的每個節點建立安全性。
背景技術：
目前，電信、金融交易、政府事務、商業運作、娛樂和私人商業生產力等均依賴於電子設備。數以百萬計的這種電子設備已經被電子地連接在一起。這些互連的電子設備構成了被日漸稱作的「信息高速公路」。許多商業、學術和政府領導都關心著如何保護使用該信息高速公路(也稱作「電子高速公路」或「數字高速公路」)的公民和組織的權利。電子信息內容目前，實際上任何能用文字、數字、圖形或命令及指令系統代表的事物都可以被格式化成電子數字信息。電視、有線電纜、衛星傳輸以及通過電話線進行的聯機服務相互競爭，將數字信息和娛樂分發到家庭和商業中。這些信息內容的所有者和市場銷售人員包括軟體開發人員、動畫和錄製公司、書籍、雜誌及報紙的出版商、以及信息資料庫提供者。聯機服務的普及也已使得個人計算機用戶加入到信息提供者的行列。據Microsoft公司估計，1992年的全球電子信息市場大約為400億美元，而到1997年可望增至2000億美元。本發明可以顯著増加信息提供者的收益，降低分發成本和信息內容成本，更好地支持廣告和使用信息收集，更好地滿足電子信息用戶的需要。這些改進將顯著增加電子信息的數量和種類和分發該信息的方法的數量和種類。為適應電子信息提供者和用戶的需要而開發的傳統產品的功能匱乏與本發明形成明顯對比。儘管美國最大的電信、計算機、娛樂和信息提供者公司的代表人物對本發明所提及的某些問題給予了關注，只有本發明為可配置的、通用電子商業交易/分發控制系統提供了商業上的安全有效的解決方案。控制電子信息內容本發明提供了一種新類型的「虛擬分發環境」(在本文件中稱為「VDE」)，該「虛擬分發環境」保護、管理和審核電子信息使用。VDE還以某些具有根本重要性的功能為其特性，這些功能用來管理「穿過」 「信息高速公路」傳播的信息內容。這些功能含有服務所有電子団體成員的權利保護方案。這些成員包括信息內容製作者和分發者、財務服務提供者、最終用戶以及其他人員。對於計算機、其他電子設備、網絡以及信息高速公路的用戶來說，VDE是第一個通用的、可配置的交易控制/權利保護方案。
對於電子信息內容提供者來說，ー個根本問題在於擴展他們的能力以控制對有產權信息的使用。信息內容提供者常常需要將使用限制在授權的活動和數量的範圍內。涉及(舉例來說)在光碟上提供電影和廣告的業務模型中的參與者包括演員、導演、劇本作者和其他作者、作曲者、製作室、出版商、分發者、零售商、廣告客戶、信用卡服務機構、和信息內容最終用戶。這些參與者需要下面的能力，即將他們的協定和要求範圍-包括使用限制-體現到含有整體電子業務模型的「擴展」協定中。這些擴展協定由可以自動強制執行各方同意的權利和義務的電子信息內容的控制信息來代表。在VDE下,ー個上述擴展協定可以含有一個涉及所有業務模型參與者的電子合同。作為另ー種選擇或補充，這種協定可以由在業務模型參與者子集之間達成的協定組成。通過使用VDE，電子商業可以按照與傳統商業ー樣的方式起作用，即可以通過對不同各方之間的ー個或多個協定的協商來形成涉及產品和服務的商業關係。商業信息內容提供者關心確保使用他們的電子信息應支付的合理報酬。在今天，可以較為容易和廉價地拷貝電子數字信息-例如ー個CD唱片。類似地，按照國際智慧財產權協會的估算，對軟體程序的未經授權的拷貝和使用使合法所有者的年收入蒙受了幾十億美元的損失。信息內容提供者和分發者已經設計出大量功能有限的權利保護機制以保護他們的權利。鑑別ロ令和協議、許可伺服器、「加鎖/解鎖」分發方法、以及強加於緊縮包裝軟體的用戶的非電子合同限制等是較為流行的信息內容保護方案中的幾個例子。在商業環境下，上述各種嘗試是低效的和有限的解決方案。「電子貨幣」的提供者也已經為其類型的信息內容創建了保護措施。這些系統沒有足夠的適用性、有效性或靈活性以支持電子貨幣的推廣使用。而且，它們不提供複雜的審核和控制配置功能。這意味著目前的電子貨幣工具缺乏許多實際的金融業務模型所需的完善性。VDE提供了用於匿名貨幣和「有條件」匿名貨幣的機制，其中，除非在特殊的情況下，否則涉及貨幣的活動保持匿名。VDE控制功能VDE允許電子數字信息的所有者和分發者可靠地為電子信息計帳，並且安全地控制、審核和預算對電子信息的使用。它可以可靠地檢測和監視對商業信息產品的使用。VDE使用了各種各樣的電子信息傳遞措施，包括(舉例來說)數字網絡、數字廣播以及諸如光碟和磁碟之類的物理存貯介質。VDE可以被較大的網絡提供者、硬體廠商、電子信息的所有者、這種信息的提供者、以及收集有關電子信息並對電子信息的使用計帳的票據交換所使用。VDE提供全面的和可配置的交易管理、計量和監視技術。它可以改變對電子信息產品的保護、銷售、包裝、和分發方式。如果使用了 VDE，那麼它將會為信息提供者帶來更高的收入，並帶來更高的用戶滿意度以及價值。對VDE的使用通常將會帶來降低的使用成本、降低的交易成本、對電子信息的更有效訪問、權利保護措施和其他交易管理實現的可重用性、在使用被保護信息方面大大提高的靈活性、以及用於電子交易管理的更為標準化的工具和進程。VDE可以用來創建ー個滿足電子信息所有者、分發者和用戶、財務票據交換所、以及使用信息分析員和再銷售者的需要的適用環境。 權利和控制信息一般來說，本發明可以用來保護具有下列利益的団體(a)電子信息所有權或保密利益。本發明(舉例來說)有助於確保以授權的方式訪問信息；(b)由使用電子分發信息而產生的財務利益。本發明有助於確保信息內容提供者得到被分發信息的使用報酬；以及(C)在包括電子現金、銀行業務、和購物等在內的電子信用和電子貨幣的存貯、傳送、和/或使用方面的利益。保護電子団體成員的權利涉及廣泛的技術領域。VDE將這些技術合併成一種創建「分布式」電子權利保護「環境」的方法。該環境對交易和其他對權利保護具有重要性的進程進行安全化和保護。VDE (舉例來說)提供了禁止或阻止幹擾和/或探察涉及重要權利的交易和進程的能力。在其較佳實施例中，VDE使用專用的防破壞安全處理部件(SPU)，它有助於向VDE進程和信息存貯和通信提供高度的安全性。本發明所解決的權利保護問題是基本社會問題的電子形式。這些問題包括保護所有權、保護隱私權、適當地給予人們和組織一定的報酬以補償他們所付出的勞動和所冒的風險、保護錢款和信用、以及通常保護信息的安全性。VDE利用使用了通用進程集的系統以有效、可信和成本高效的方式來管理權利問題。VDE可以用來保護創建諸如唱片或錄音帶、遊戲、電影、報紙、電子圖書和參考資料、個人電子郵件、以及機密的記錄和通信之類的電子信息的參與者的權利。本發明還可以用來保護諸如出版商和分發者之類的提供電子產品的參與者的權利；諸如票據交換所和銀行之類的提供電子信用和貨幣以支付產品使用費的參與者的權利；使用電子信息內容的參與者(例如消費者、行業人士、政府)的隱私權；以及由電子信息所描述的當事人的隱私權-諸如涉及包含在病歷、稅務記錄、或人事記錄中的信息的隱私權。—般來說，本發明可以用來保護具有下列利益的參與者的權利(a)對電子分發信息的商業利益-本發明(舉例來說)有助於確保採用與當事人達成的協定相一致的方式為被分發信息的使用向當事人付費；(b)電子信息的所有權和/或機密性利益-本發明有助於(舉例來說)確保對數據的使用只能以授權的方式進行；(C)在包括電子現金、銀行業務、和購物等活動在內的電子信用和電子貨幣的存貯、傳送、和/或使用方面的利益；以及(d)對至少部分地從使用其他電子信息中獲取的電子信息的利益。VDE功能特性VDE是ー個成本高效的和有效的權利保護解決方案，它為保護和管理交易處理提供了統ー的、一致的系統。VDE能夠(a)審核和分析對信息內容的使用；(b)確保對信息內容進行使用只能採取授權方式；以及(c)允許對有關信息內容使用的信息只能以由信息內容用戶同意的方式使用。另外，VDE:(a)是高度可配置、可修改、和可重複使用的；(b)支持廣泛的有用功能，可以採用不同的方式將這些功能合併起來以支持大多數潛在的應用；
(C)運行於各種各樣的電子設備之上，其範圍可以從手持式廉價設備到大型主計算機；(d)能夠同時保證大量不同參與者的權利和大量不同權利保護方案；(e)能夠通過一系列可以在不同時間和不同地點發生的交易來保護參與者的權利；(f)能夠靈活地支持安全地傳遞信息和匯報使用的多種方式；以及(g)提供對「實際」貨幣和信息的電子模擬-包括匿名電子現金，以便為產品和服務付帳，以及支持個人(包括家庭)銀行業務和其他金融活動。VDE經濟有效地滿足了電子團體成員的權利保護需求。VDE的用戶將不需要針對不同的信息高速公路產品和權利問題而需要另外的權利保護系統，他們也將不需要為每個新的信息高速公路應用都安裝並學會ー個新系統。VDE提供了一個允許所有信息內容製作者、提供者和用戶使用同一電子權利保護方案的統ー解決方案。在經過授權的情況下，參與者可以自由地交換信息內容和相關信息內容控制集合。這意味著VDE的用戶可以在被允許的情況下使用同一電子系統以處理帶有不同信息內容控制信息集合的、不同類型的信息內容。由ー個群體提供的信息內容和控制信息可以由通常使用其他群體提供的信息內容和控制信息的人們使用。VDE允許信息內容可以被「全局」地交換，並且，本發明的實現的用戶可以電子地交互作用，而不必擔心信息內容控制的不兼容性、權利的侵犯、以及得到、安裝或學習新信息內容控制系統的需要。VDE安全地管理規定了權利保護的交易。它可以保護的電子權利包括(舉例來說)(a)電子信息內容的作者的所有權；(b)信息內容分發者的商業權利；(c)促進了信息內容分發的任何參與者的權利； (d)信息內容用戶的隱私權；(e)由被存貯和/或被分發的信息內容描述的當事人的隱私權；以及(f)涉及強制執行電子協定的任何其他權利。VDE允許十分廣泛的、採用電子方式強制執行的商業和社會協定。這些協定可包括採用電子方式實現的合同、許可證、法律、條例、和稅收。與傳統解決方案的對比傳統信息內容控制機制常常要求用戶購買超過其所需要的或所希望的電子信息。例如，緊縮包裝軟體的不經常用戶被要求以與經常性用戶相同的價格來購買ー個程序，儘管他們可能從他們較為稀少的使用中得到較少的價值。傳統系統沒有按照使用的程度和特性按比例收費，並且傳統系統不能吸引那些認為固定價格太高的潛在消費者。使用傳統機制的系統通常不是特別地安全。例如，對於緊縮包裝技術而言，一旦軟體或者從其物理包裝或從其電子包裝中被移動出去以後，緊縮包裝技術將不能防止不斷的非法盜版行為。傳統的電子信息權利保護系統通常缺乏靈活性且效率不高，並且迫使信息內容提供者選擇昂貴的分發通道，這類分發通道提高了產品的價格。一般來說，這些機制限制了產品定價、配置和銷售的靈活性。這些缺點歸因於用於控制信息的技術既不支持不同的信息內容模型，也不支持反映了模型參與者的許多不同要求(如信息內容傳遞策略)的信息內容模型。這樣會限制提供者的下述能力，即傳遞足夠的綜合性信息以便從許多潛在用戶的角度證明ー個給定產品的價格是正當的。VDE允許信息內容提供者和分發者創建反映提供者和用戶的優選業務模型的應用和分發網絡。它提供給用戶唯一地成本高效的並具有豐富特性的系統，該系統支持提供者希望用來分發信息的方式，以及用戶希望用來使用該信息的方式。VDE支持確保權利及允許信息內容傳遞策略為最大商業成效的目的而形成的信息 內容控制模型。 處理和控制鏈VDE可以保護屬於在電子信息中具有權利或對電子信息具有權利的參與者的ー批權利。該信息可以位於ー個地點，也可以分散在多個地點上(或在多個地點之間移動)。該信息可以通過一個分發者「鏈」和一個用戶「鏈」傳遞。使用信息也可以通過ー個或多個參與者「鏈」被匯報出去。通常，VDE允許(a)在電子信息中帶有權利的當事人，和/或(b)作為在電子信息中帶有權利的當事人的直接或間接代理來保證對信息的移動、訪問、修改或使用等可以由涉及如何、在何時、在何地、由誰等執行上述活動的規則安全地控制。VDE應用和軟體VDE是用來管理電子活動和商業的安全系統。上述管理由一個或多個參與者放置就位的控制信息來確保。這些參與者可以包括信息內容提供者、電子硬體製造商、財務服務提供者、或諸如電纜或電信公司之類的電子「基礎設施」公司。控制信息實現了「權利應用」。權利應用運行在較佳實施例中的「基本軟體」之上。該基本軟體起ー個安全的、靈活的、通用的基礎的作用，該基礎可以支持許多不同的權利應用，即許多不同的業務模型及其各自的參與者要求。VDE下的權利應用由專用的部分組成，每ー個部分都可以對應於權利保護環境所需要的、ー個或多個基本的電子進程。這些進程可以象建築模塊一祥被合併在一起，以創建可以保護權利的電子協定，並強制電子信息的用戶和提供者履行他們的義務。電子信息的ー個或多個提供者可以容易地合併選定的建築模塊以創建ー個唯一於特定信息內容分發模型的權利應用。ー組這樣的模塊可以代表執行用戶和提供者之間協定所需的功能。這些模塊支持電子商業的許多要求，包括使用電子信息許可的分發；控制信息以及管理這些許可的控制信息的集合的持久性；可配置的控制集合信息，這些控制集合信息可以由用戶選擇以便使用這些信息；電子信息的數據安全性和使用審核；以及用於貨幣、報酬、和借方管理的安全系統。
對於電子商業，依據本發明較佳實施例的權利應用可以電子化地強制執行所有參與者之間的業務協定。由於可以為不同應用而把不同的部件組放在一起，本發明可以為種類繁多的產品和市場提供電子控制信息。這意味著本發明可以為電子商業和數據安全性提供一個「統一」的、有效的、安全的和成本高效的系統。這可以允許VDE為電子權利保護、數據安全性以及電子貨幣和銀行業務起單ー標準的作用。在VDE中，權利應用及其基礎之間的分離允許對適於應用和使用的多種不同類型中的每ー種的控制信息集合進行有效地選擇。這 些控制集合既可以反映電子團體成員的權利，也可以反映他們的義務(例如提供某人使用一個產品或為某人的電子購物活動納稅的歷史信息)。VDE的靈活性允許其用戶電子地實現和強制執行共同的社會和商業道德規範和慣例。通過提供ー個統ー的控制系統，本發明支持個人、団體、商業和政府的、範圍廣闊的、可能的、有關交易的利益和關心。由於它的開放式設計，VDE允許(通常在安全控制的情況下)將使用了由用戶獨立創建的技術的應用「加入」到系統中，並結合本發明的基礎使用該應用。總之，VDE提供了一個可以公平地反映和強制執行各方之間的協定的系統。它是ー個廣泛的和系統的解決方案，該方案滿足了對安全的、成本高效的、和公平的電子環境的迫切需要。VDE 實現本發明的較佳實施例含有允許系統設計者直接將VDE功能插入到其產品中的各種工具。這些工具包括一個應用程式員接ロ( 「API」)和一個權利許可和管理語言(「RPML」)。RPML為使用本發明的特性提供了全面的和詳細的控制。VDE還包括用來滿足信息內容提供者、分發者和用戶的需要的某些用戶接ロ子系統。利用VDE分發的信息有多種形式。信息可以(舉例來說)被分發以供某個人自己的計算機使用，也就是說，本發明可以用來為本地存貯的數據提供安全性。作為另ー種選擇，VDE可以用於由作者和/或出版商傳播給一個或多個接收者的信息。該信息可以有多種形式，包括電影、聲音錄製品、遊戲、電子目錄購物、多媒體、培訓材料、電子郵件和個人文件、面向對象的庫、軟體編程資源、以及保存參考/記錄的信息資源(如業務、醫藥、法律、科學、政府、和消費者資料庫)。本發明提供的電子權利保護還可以為可信的和有效的家庭和商業銀行業務、電子信用進程、電子購物、真實的或有條件匿名的電子現金、以及EDI (電子數據交換)提供重要的基礎。通過提供比基於密鑰和ロ令的「通行/禁行」技術遠遠有效的「智能」交易管理特性，VDE在提高組織中的數據安全性方面提供重要的加強。VDE通常使用密碼技術和其他安全性技術(如加密、數字籤名等)的結合，以及其他的技術，包括部件的、分布式的和事件驅動的作業系統技木，以及相關的通信、對象容器、資料庫、智能代理、智慧卡、和半導體設計技木。I.概述A. VDE解決了重要問題並滿足了關鍵需要世界正在朝著電子信息設備的集成化發展。設備的互連為更大規模的電子交互作用和電子商業的發展提供了基礎。為實現電子商業環境需要各種功能。VDE是提供許多上述功能的第一個系統，並且因此而解決了有關信息電子傳播的基本問題。電子信息內容
VDE允許電子協定的創建涉及雙方或多方。這些協定可以本身含有在處於商業價值鏈和/或數據安全性鏈模型中的參與者之間達成的、針對處理、審核、匯報、和付款等的ー批協定。它可以為安全電子信息內容的分發、使用控制、使用付款、使用審核和使用匯報提供有效的、可重用的、可修改的、和一致的方法。信息內容可以(舉例來說)包括諸如電子貨幣和信用之類的財務信息；諸如參考資料資料庫、電影、遊戲、和廣告之類的採用商業手段分發的電子信息；以及諸如文件、電子郵件、和有所有權的資料庫信息之類的由個人和組織產生的電子財產。VDE準許ー個支持不同的、有競爭カ業務夥伴關係、協定、以及發展的全面業務模型的電子商業市場。 VDE的特性使它能夠作為第一個可信的電子信息控制環境起作用，該環境能夠遵守並支持傳統電子商業和數據安全性的大量要求。特別地，VDE允許處於業務價值鏈模型中的參與者創建傳統業務協定條款和條件的電子版本，並進ー步允許這些參與者形成並演變他們認定為適合其業務要求的電子商業模型。VDE提供了一個避免反映特殊分發偏見、特殊管理和控制觀點、以及特殊信息內容類型的體系結構。相反，VDE提供了ー個範圍廣闊的、從根本上可配置和可移動的、電子交易控制、分發、使用、審核、匯報和付款操作環境。VDE不限在只是ー個只涵蓋了電子交互活動和參與者的有限子集的應用或特定於應用的工具集。相反，VDE支持這樣的系統，即通過 該系統，可以創建、修改和/或重用上述的應用。因此，本發明通過提供ー個支持標準化控制環境的系統而滿足了迫切的、尚未解決的需求，該標準化控制環境通過使用可編程的、安全的電子交易管理基礎和可重用的和可擴展執行的部件促進了電子設備的互相協作性、信息內容容器的互相協作性，以及電子商業設備和模型的有效創建。VDE支持一個單ー的電子「世界」，在該電子「世界」中可以對大多數形式的電子交易活動進行管理。為了滿足權利所有者和信息內容提供者正在發展的需要，並提供可支持所有可能參與到電子業務模型中的各方(製作者、分發者、管理員、用戶、信用提供者、等等)的要求和協定的ー個系統，VDE提供了一個有效的、大大透明的、低成本的和充分安全的系統(既支持硬體/軟體模型，也支持只有軟體的模型)。VDE提供了適合下列需要的、變化多端的安全控制和管理功能I.不同類型的電子信息內容；2.不同的電子信息內容傳遞方案；3.不同的電子信息內容使用方案；4.不同的信息內容使用平臺；以及5.不同的信息內容銷售和模型策略。VDE可以與許多分離的計算機和/或其他電子設備合併在一起，或集成進它們之中。這些設備通常含有ー個安全子系統，該安全子系統允許控制對信息內容的使用-例如顯示、加密、解密、列印、拷貝、保存、抽取、嵌入、分發、審核使用、等等。較佳實施例中的上述安全子系統含有一個或多個「被保護的處理環境」，ー個或多個安全資料庫、以及安全「部件組」和其他需要保持安全的項目和進程。VDE可以(舉例來說)使用上述的「安全子系統」安全地控制電子貨幣、付帳、和/或信用的管理(包括電子信用和/或貨幣接收、付款、留存、和/或分配)。VDE提供了ー個安全的、分布式電子交易管理系統，以便控制對採用電子方式提供的和/或存貯的信息的分發和/或其他使用，VDE控制對電子信息內容和/或設備的使用的審核和匯報。VDE的用戶可以包括那些為最終用戶組織、個人、以及信息內容和/或設備分發者將涉及信息內容使用、使用匯報、和/或使用付款的控制信息應用到電子信息內容和/或設備的信息內容創建者。VDE還安全地支持一個或多個參與者採用電子信用和/或貨幣的形式向一個或多個其他參與者支付所欠的款項。在VDE控制下的電子設備代表安全地處理和控制被分發的電子信息和/或設備使用、控制信息配製、以及相關交易的VDE 「節點」VDE可以安全地管理由兩個或多個參與者提供的控制信息的集成。因此，VDE可以創建VDE參與者之間的ー個電子協定，該電子協定代表了兩方或多方的控制要求之間的「協商」，並且制定最終產生的協定的條款和條件。VDE確 保了涉及與電子信息和/或設備使用有關的廣泛電子活動的電子協定每ー參與方的權利。 通過使用VDE的控制系統，傳統的信息內容提供者和用戶可以建立反映傳統的、非電子關係的電子關係。他們可以形成和修改商業關係以支持他們不斷變化的需要或他們之間不斷變化的協定。VDE不要求電子信息內容提供者和用戶變更他們的業務慣例和個人喜好以符合某個支持有限的、基本上固定的功能的計量和控制應用程式。而且，VDE允許參與者開發出對於非電子商業來說是不可行的業務模型，例如，涉及信息內容使用信息的詳細匯報，在迄今為止尚不可行的低價位水平上進行的大量顯著不同的交易，對在強制執行時無須參與者參與或事先了解的控制信息進行的「傳遞」、等等。本發明允許信息內容提供者和用戶配製他們的交易環境，以支持(I)理想的信息內容模型、信息內容控制模型和信息內容使用信息通路；(2)完整範圍的電子介質和分發手段；(3)範圍廣闊的定價、付款和審核策略；(4)非常靈活的隱私和/或匯報模型；(5)現實的和有效的安全體系結構；以及(6)與步驟⑴到(5) —起可以允許包括唯一於電子世界的模型在內的「真實世界」電子商業和數據安全性模型的其他管理過程。VDE的交易管理功能可以強制執行(I)涉及與用戶對電子信息和/或設備的使用相關的信息的用戶隱私權；(2)諸如保護信息內容用戶的權利或收集從電子交易收入中得到的稅款的法律之類的社會政策；以及(3)參與者的所有權和/或其他權利，這些權利涉及電子信息的所有權、分發和/或與電子信息有關的其他商業權利。VDE可以支持電子形式的「真實」商業活動，也就是說漸進地創建隨著時間推移將形成代表價值鏈業務模型的相互關聯協定的網絡的商業關係。利用安全創建的和獨立提交的信息內容和/或設備控制信息集合之間的交互作用(或協商)使得信息內容控制信息得以發展，這樣可以部分地實現上述功能。不同的信息內容和/或設備控制信息集合可以由在本發明允許的電子業務價值鏈中的不同參與者提交。這些參與者通過使用他們各自的VDE裝置創建控制信息集合。可獨立安全傳遞的、基於部件的控制信息允許由不同參與者提供的控制信息集合之間的有效交互作用。VDE允許在VDE支持的電子價值鏈模型中的參與者的子集之間形成多個分離的電子協定。這些多個協定一起構成了 VDE價值鏈「擴展」協定。VDE支持上述構成的電子協定以及因此得到的全面VDE擴展協定在另外的VDE參與者參與VDE信息內容和/或設備控制信息處理的過程中逐漸地演變和重新形成。VDE電子協定還可以在已有參與者提交新控制信息時被擴展。使用VDE，電子商業參與者可以自由地組織和再組織他們的電子商業業務活動和關係。作為結果，由於使用VDE能夠支持不同的，種類繁多的、使用同一或共享信息內容的業務模型，於是本發明允許競爭性的電子商業市場得到發展。作為本發明廣泛支持電子商業的能力的ー個重要方面，本發明能夠安全地管理可獨立傳遞的、含有控制信息的VDE部件對象(通常採用含有ー個或多個方法、數據或加載模塊VDE部件的VDE對象的形式)。可以使用本發明的協商機制將上述可獨立傳遞的控制信息與上級的和其他已有的信息內容控制信息集成在一起以便安全地產生被派生的控制信息。由該派生控制信息規定的所有要求必須在VDE控制信息可以被訪問或使用之前得到滿足。這意味著(舉例來說)由派生控制信息列出來作為必需信息的所有加載模塊和任意中間數據必須是可用的，並且他們必須安全地執行所要求的功能。結合本發明的其他方面，安全獨立傳遞的控制部件允許電子商業參與者自由地規定他們的業務要求和折衷方案。結果，與傳統的非電子商業十分相似，本發明允許電子商業(通過VDE參與者對各種控制要求的漸進規定)演變成最有效、最具有競爭カ和最有用的業務形式。VDE提供對電子商業和電子交易管理的支持進行合理化的功能。該合理化過程歸因於針對種類繁多的、與交易管理有關的活動的控制結構和用戶接ロ的可重複使用。結果，信息內容使用控制、數據安全性、信息審核、和電子財務活動可以由可重用的、方便的、一致的和熟悉的工具進行支持。另外，ー種合理的手段-交易/分發控制標準-允許VDE中的所有參與者以硬體控制和安全性、創作、經營以及管理工具的同一基礎集合，支持種類繁多的信息、業務銷售模型和/或個人目標。將VDE作為ー種通用電子交易/分發控制系統加以使用允許用戶在他們各自的計算機、網絡、通信節點、和/或其他電子設備中的每ー個中維護單一交易管理控制方案。這種通用系統可以滿足許多電子交易管理應用的需要，而不是對於不同的用途需要特殊的、不同的裝置。結果，VDE的用戶可以避免對應於各個不同信息內容和/或業務模型的、不同的、有限用途的交易控制應用所帯來的混淆和花費以及其他缺乏效率的方面。例如，VDE允許信息內容製作者對於信息內容創作以及從其他信息內容製作者那裡取得信息內容許可以便將該信息內容加到其產品中或實現其他用途，這兩種活動均使用同一 VDE基礎控制方案。票據交換所、分發者、信息內容製作者、以及其他VDE用戶都可以不管VDE活動的類型而按照完全一致的方式，(大大透明地)使用或再使用相同的分發工具、機制、以及一致的用戶接ロ與運行於他們的VDE裝置中的應用交互作用，以及在相互之間進行交互作用。通過控制和審核電子地存放和/或傳播的信息(或對這些信息進行其他的使用管理)，VDE禁止對電子信息進行的許多形式的未經授權的使用。這些信息包括(舉例來說) 商業分發的信息內容、電子貨幣、電子信用、業務交易(例如EDI)、機密通信、等等。VDE可以進一歩用來允許商業上提供的電子信息內容之中用戶定義的部分對用戶可用，而不是限制用戶只能使用信息內容製作者和/或其他提供者為計帳目的而「預定」的信息內容部分。VDE (舉例來說)可以使用(I)安全的計量手段用來預算和/或審核電子信息內容和/或設備的使用；(2)安全靈活的裝置用來支持對信息內容和/或設備的使用費用進行償付和/或計帳，包括用作付款手段的電子信用和/或貨幣機制。(3)安全分布式資料庫裝置，用來存放有關控制和使用的信息(並使用了確認的劃分和標記方案)。(4)安全的電子設備控制裝置；(5)由位於每個用戶(包括VDE信息內容容器製作者、其他信息內容提供者、客戶用戶、以及安全VDE信息內容使用信息的接收者)站點上的節點構成的分布式的、安全的 「虛擬黑盒子」。所述虛擬黑盒子的節點通常含有至少帶有ー個安全硬體元件(一個半導體元件或其他用來安全地執行VDE控制進程的硬體模塊)的安全子系統，所述安全子系統被分發在沿信息存貯、分發、付款、使用和/或審核的路徑上的各個節點中。在某些實施例中，對於某些或所有節點來說，所述硬體元件的功能可以(舉例來說)由電子設備宿主處理環境中的軟體執行；(6)加密和解密裝置；(7)使用鑑別、數字籤名、和加密傳送技術的安全通信裝置。所述用戶節點中的安全子系統使用ー個協議，該協議創建和鑑別每個節點和/或參與者的身份，並為安全子系統之間的通信創建ー個或多個主機-到-主機的安全加密密鑰；以及(8)安全控制裝置-該裝置可允許各個VDE裝置進行VDE信息內容創作(將信息內容與相關控制信息一起放入VDE容器中)、信息內容分發和信息內容使用、以及使用信息內容使用信息的票據交換所活動以及其他管理和分析活動。VDE可以用來將大多數非電子的傳統信息傳遞模型(包括娛樂、參考資料、目錄購物、等等)遷移到充分安全的數位化分發和使用管理和付帳環境中。由VDE配置管理的分發和財務通路包括信息內容製作者；分發者；再分發者；客戶管理員；客戶用戶；財務和/或其他票據交換所；以及/或者政府機構。這些分發和財務路徑還可以包括廣告商；市場調查組織，和/或其他對利用VDE安全傳遞的和/或存放的信息的用戶使用感興趣的參與者。通常，VDE配置中的參與者使用相同的安全VDE基礎。可選實施例支持使用不同VDE基礎的VDE系統。這種可選實施例可以使用一些過程來確保某些互相協作性要求得到滿足。
安全VDE硬體(也稱為SPU-安全處理部件)，或使用(由宿主處理環境(HPE)提供的)軟體來替代或補充所述硬體的VDE裝置，結合安全通信、系統集成軟體和分布式軟體控制信息以及支持結構一起工作，從而實現本發明的電子合同和/或權利保護環境。這些VDE部件一起構成了ー個安全的、虛擬的、對分發的信息內容和/或設備進行控制、審核(或其他管理)、匯報、以及付帳的環境。在某些實施例中，或者在商業上可以接收的情況下，可以允許某些VDE參與者-諸如通常維護具有充分物理安全性的非VDE處理環境的票據交換所-使用HPE而不是VDE硬體元件，並與(舉例來說)VDE最終用戶和信息內容提供者進行互相協作。VDE部件一起為電子信息內容和/或設備使用的分布式異步控制構成了ー個可配置的、一致的、安全的和「可信的」體系結構。VDE支持電子信息內容傳遞、廣泛傳播、使用匯報、以及涉及使用的付款活動的ー個「通用」環境。VDE提供了廣義的可配置性。這種特性部分地歸因於將用於支持電子商業和數據安全性的廣義要求分解成廣泛的構成性「原子」部件和更高層部件(如加載模塊、數據元素和方法)，這些部件可以不同地聚集在一起，為電子商業應用、商業電子協定和數據安全性方案產生控制方法。VDE提供了使用VDE基礎元素以及允許電子商業模型和關係繼續發展 的可獨立傳遞的安全VDE部件的安全操作環境。VDE特別支持對下述分發模型的展開在這種分發模型中，隨著時間的推移，信息內容提供者可以明確地同意或允許後續的信息內容提供者和/或用戶參與對使用電子信息內容和/或設備的控制信息和結果進行塑造。用於支持由簡單到特別複雜的電子商業和數據安全性活動的十分廣泛的功能屬性得到了本發明提供的功能的支持。結果，VDE支持大多數類型的電子信息和/或設備使用控制(包括分發)、安全性、使用審核、匯報、其他管理活動、以及付款方案。在VDE的較佳實施例中，VDE使用了對象軟體技術，並使用對象技術為(至少部分地)被加密的或經過安全保護的信息的傳遞形成「容器」。這些容器可以含有電子信息內容產品或其他電子信息和某些或所有其他相關許可(控制)信息。可以沿著包含信息內容提供者和/或信息內容用戶的路徑分發上述容器対象。可以安全地在虛擬分發環境(VDE)的節點之間移動這些容器對象，這些節點運行VDE基礎軟體並執行控制方法以制定電子信息使用控制和/或管理模型。通過使用本發明的較佳實施例而傳遞的容器可以用於分發VDE控制指令(信息)，並且/或者用於密封和電子地分發已經至少部分地經過安全保護的信息內容。使用本發明的信息內容提供者可以包括(舉例來說)軟體應用和遊戲發行者、資料庫發行者、有線電視、電視和無線電廣播者、電子購物銷售商、以及電子文件、書籍、期刊、電子郵件和/或其他形式的信息的分發者。充當電子信息的存放者和/或分發者的公司、政府機構、和/或個人「最終用戶」也可以是VDE信息內容提供者(在一個受限制的模型中，一個用戶只向其自身提供信息內容，並使用VDE來保護自己的機密信息，以防止其他參與者未經授權地使用這些信息)。電子信息可包括供個人或組織內部使用的有所有權的和/或機密的信息，以及諸如提供給其他団體使用的軟體應用、文件、娛樂材料和/或參考信息之類的信息。分發可以通過(舉例來說)物理介質傳遞、廣播和/或電信手段進行，並且可以採用「靜態」文件和/或數據流的形式進行。VDE也可以用於(舉例來說)諸如電話會議、交互式遊戲或聯機公告版之類的多站點「實時」交互作用，在上述活動中實施了對全部或部分被傳送信息的使用限制和/或審核。
VDE為強制執行商業協定和支持隱私權保護提供了重要機制。VDE可以安全地將信息從ー個參與者傳遞給另ー個關心商業分發的電子信息內容使用的參與者。即使各個參與者被上述信息內容使用信息的處理鏈(路徑)中的若干「歩」分開，這些信息也可以由VDE通過加密和/或其他安全處理手段來保護。由於這種保護，VDE可以保證這些信息的準確性，並且這些信息可以被它們送達的所有參與者所信任。而且，VD E保證所有的參與者都可以相信這些信息不會被除預期的、經過授權的參與者之外的其他任何人所接收，因為這些信息經過了加密，因此只有授權的參與者或其代理可以將它解密。這些信息也可以通過在ー個以前的處理路徑地點中執行ー個安全的VDE進程得出，以產生安全的VDE匯報信息，然後該匯報信息被安全地傳送給其預期接收方的VDE安全子系統。由於VDE可以安全地傳遞這些信息，電子協定的參與者不必相信通過除經過VDE控制的裝置之外的其他裝置傳遞的商業使用信息和/或其他信息的準確性。商業價值鏈中的VDE參與者可以「從商業角度」確信(即為商業目的充分相信)他們通過使用VDE而達成的直接(構成的)和/或「擴展」的電子協定可以得到可靠地強制實施。這些協定可以帶有「動態」的、涉及交易管理的方面-例如通過電子信息和/或設 備使用情況的預算、計量、和/或匯報而強制執行的信息內容使用控制信息，並且/或者這些信息可以包含「靜態」的電子聲明，例如最終用戶使用該系統來聲明他或她同意為服務付費、不會把從信息內容或系統使用情況中得到的電子信息傳遞給未經授權的參與者，並且/或者該最終用戶同意遵守版權法。在本發明控制下，不僅採用電子手段匯報的、涉及交易的信息是可信的，而且通過沿付款路徑(該路徑與匯報路徑可以是同一條，也可以不是同一條)傳遞付款代價券可以自動地執行付款。付款可以包含在VDE裝置為響應控制信息(在較佳實施例中，這些控制信息位於ー個或多個許可記錄中)而自動創建的ー個VDE容器中，這些控制信息規定了根據(例如政府、財務信用提供者以及用戶)對VDE控制的電子信息內容和/或設備的使用從電子帳戶(例如，由用戶的VDE裝置安全子系統安全維護的帳戶)中「提取」信用或電子貨幣(例如代價券)的方式。VDE允許電子商業參與者的需要得到服務，並且它可以將這些參與者合併在ー個普遍範圍的、可信的商業網絡中，該商業網絡可以充分安全地支持數量龐大的商業活動。VDE的安全性和計量安全子系統核心將出現在有關VDE的信息內容(I)是被分配了涉及使用的控制信息(規則和協調數據)的所有物理地點以及/或者(2)被使用的所有物理地點。該核心可以在「虛擬黑盒子」中執行安全性和審核功能(包括計量)，「虛擬黑盒子」是ー批分布的、十分安全的涉及VDE的硬體實例，這些硬體實例被受到安全保護的信息交換(例如電信)進程和分布式資料庫裝置互連在一起。VDE還含有高度可配置的交易作業系統技術、加載模塊的一個或多個相關的庫以及附屬數據、與VDE有關的管理、數據準備、和分析應用，以及經過設計用來允許將VDE集成進宿主環境和設備中的系統軟體。VDE的使用控制信息(舉例來說)提供與有所有權的信息內容和/或設備相關的使用授權、使用審核(可以包括審核壓縮)、使用計帳、使用付款、隱私過濾、匯報、以及涉及安全性的通信和加密技術。VDE廣泛地使用軟體對象形式的各種方法來提高VDE環境的可配置性、可移植性和安全性。它還對攜帯受保護的信息內容並且還可以既攜帯可自由得到的信息(如概要、目錄)、也可以攜帶用來確保控制信息性能的受保護信息內容控制信息的VDE信息內容容器使用軟體對象體系結構。信息內容控制信息依照由對象的信息內容的權利持有者和/或擁有與分發該信息內容相關聯的權利的參與者(如政府、財務信用提供者、和用戶)制定的標準來管理信息內容的使用。本發明所使用的對象方法部分地加強了安全性，因為用來保護對象的加密方案可以有效地進ー步用來保護相關的信息內容控制信息(軟體控制信息和相關數據)不被修改。所述的對象技術還可以提高不同計算機和/或其它設備環境之間的可移植性，因為信息內容形式的電子信息可以與(用於所述信息內容的)信息 內容控制信息嵌入在一起(例如，嵌入到與該信息內容控制信息相同的對象容器中)，從而產生ー個「公布的」対象。於是，所述控制信息的不同部分可以專用於不同的環境，例如專用於多種計算機平臺和作業系統，並且所述不同的部分可以全部由ー個VDE容器攜帯。VDE的ー個目標是支持交易/分發控制標準。在安全性要求和相關硬體和通信問題、種類繁多的環境、信息的類型、信息的使用類型、業務和/或數據安全性目標、參與者的多祥性、以及被傳遞信息的特性的條件下，該標準的開發將遇到許多障礙。VDE的顯著特性支持了上述多種的、變化的分發和其他交易變量，其方式是部分地將電子商業和數據安全性功能分解為安全硬體SPU和/或對應的軟體子系統中可執行的通用功能模塊，並進一歩允許運行於VDE裝置基礎之上的應用在裝配、修改和/或替換上述模塊方面具有廣泛的靈活性。這種可配置性和可再配置性允許電子商業和數據安全性參與者通過對逐漸演變的擴展電子協定(電子控制模型)進行反覆加工的進程來反映他們的優先級和要求。該加工可以在信息內容控制信息從ー個VDE參與者傳遞給另ー個的時候進行，並且要在「已就位」信息內容控制信息所允許的限度內進行。該進程允許VDE的用戶改造現有的控制信息，並且/或者添加必要的新控制信息(包括刪除不再需要的元素)。VDE對商業電子信息內容分發和數據安全性應用兩者都支持可信的(足夠安全的)電子信息分發和使用控制模型。可以對VDE進行配置以便滿足互相間聯成網絡的參與者的多祥化要求，這些參與者可以包括信息內容製作者、信息內容分發者、客戶管理員、最終用戶、以及/或者票據交換所和/或其他信息內容使用信息的用戶。這些參與者可以構成參與到從簡單的到複雜的電子信息內容傳播、使用控制、使用匯報、和/或使用付款過程中的聯網參與者。被傳播的信息內容既可以包括被原始提供的信息，也可以包括由VDE產生的信息(例如信息內容使用信息)，並且信息內容控制信息可以在通過信息內容和信息內容控制信息處理鏈(一條或多條路徑)以及對信息內容的直接使用過程中持續不變。本發明提供的可配置性對於支持電子商業特別關鍵，即它允許各行業建立關係和演變策略，以產生有競爭カ的價值。不具有內在可配置性和可互相協作性的電子商業工具最終將不能製造出既滿足大多數商業應用的基本要求，又滿足其不斷演變的要求的產品(和服務)。VDE基本的可配置性將允許廣泛的、具有競爭カ的電子商業業務模型紛繁多樣地出現。它允許業務模型經過塑造以使收入源、最終用戶產品價值、以及操作效率最大化。VDE可以用來支持多種不同的模型、利用新的收入機會、並把用戶最希望得到的產品配置交付給用戶。不能夠!支持廣泛的、可能的、補充的收入活動!提供消費者最理想的靈活的信息內容使用特性集合，以及!開發提高操作效率的機會
的電子商業技術(而本發明則支持上述功能)將導致其產品常常固有地較為昂貴而對消費者的吸引力較差，因此在市場中的競爭カ較差。對本發明內在的可配置性具有幫助的某些關鍵因素包括(a)利用可移植的API和程式語言工具集成進廣泛電子設備的基本控制環境。這些API和程式語言工具能夠有效地支持在幾乎任意的電子設備環境中合併控制和審核功能，同時維護整體系統安全性；(b)模塊化數據結構；(c)廣義信息內容模型；
(d)基礎體系結構部件的一般模塊性和獨立性；(e)模塊化安全結構；(d)可變長度的和帶有多個分支的處理鏈；以及(e)可執行加載模塊形式的、獨立的、模塊化的控制結構，這些加載模塊可以維護於ー個或多個庫中，並且可以被裝配進控制方法和模型中，其中，該模型控制方案可以在控制信息通過VDE信息內容控制信息處理路徑中的參與者的VDE裝置時發生「演變」。由於本發明所解決問題的廣度，本發明可以向正在出現的「電子高速公路」提供單一的交易/分發控制系統，對於十分廣泛的商業和數據安全性模型而言，該交易/分發控制系統可以防止對機密的和/或有所有權的信息和商業電子交易的未授權使用。VDE的電子交易管理機制可以強制執行參與到種類多祥的業務和數據安全性模型中的所有參與者的電子權利和協定，並且通過在每個VDE參與者的電子設備中實現單個VDE就可以有效地實現上述功能。VDE支持廣泛的、在VDE信息內容和/或信息內容控制信息處理路徑的各個「級別」中可以包含廣泛的參與者的不斷變化的業務和/或數據安全性模型。不同的信息內容控制和/或審核模型以及協定可以在同一 VDE裝置中獲得。這些模型和協定控制的信息內容可以與(舉例來說)一般的VDE裝置和/或用戶、某些特定用戶、裝置、種類和/或裝置和/或用戶的其他分類相關，並且可以與通常在給定裝置中的電子信息內容相關，以及與信息內容的特定有產權產品、有產權產品的部分、種類和/或其他分類相關。使用VDE的分發可以把電子信息內容和控制信息兩者均包裝到同一容器中，並且/或者可以包括將位於大量不同的遠程地點中的和/或位於大量獨立的VDE信息內容容器中的和/或使用大量獨立的傳遞裝置的同一 VDE管理的有產權產品的不同部分傳遞給最終用戶的站點。信息內容控制信息可以放在ー個或多個VDE管理對象中，部分地或全部地與其相關信息內容分開傳遞到用戶VDE裝置。所述控制信息的部分可以從ー個或多個的源傳遞出去。通過從用戶的VDE裝置安全子系統對ー個或多個遠程VDE安全子系統和/或VDE兼容的、經過驗證的安全遠程地點的訪問也可以得到控制信息以供使用。諸如計量、預算、解密和/或加入指紋等與用戶的特定信息內容使用活動相關的VDE控制進程可以在用戶本地的VDE裝置安全子系統中執行。或者所述的進程可以被劃分到大量的安全子系統中，這些安全子系統可以位於同一用戶VDE裝置中，以及/或者位於網絡伺服器及用戶裝置中。例如，一個本地VDE裝置可以執行解密，並保存任意或所有與信息內容使用相關的使用計量信息，與/或在這ー用戶裝置上的電子設備使用可採用所述安全子系統之間的安全(如加密)通信而在伺服器上執行。所述伺服器地點也可以用於近似實時地、頻繁地、更為周期性地安全接收來自所述用戶裝置的信息內容使用信息，而(舉例來說)計量得到的信息只是暫時地保存在本地的用戶裝置中。對VDE管理的信息內容的傳遞手段可包括諸如光碟之類的、用於傳遞所述信息的一部分的電子數據存貯手段以及用來傳遞所述信息的其他部分的廣播和/或遠程通信手段。電子數據存貯裝置可包括磁介質、光介質、組合的磁光系統、快速RAM存貯器、磁泡存貯器、以及/或者其他存貯手段-例如使用全息、頻率和/或極性數據存貯技術的大容量光存貯系統。數據存貯手段也可以使用分層碟片技術，例如使用大體透明和/或半透明的材料，這些材料使光線透過帶有數據的碟片層，而這些碟片本身被物理地包裝在一起形成ー個厚碟片。這些碟片中帶有數據的位置可以是至少部分地不透光的。VDE支持通用的基礎用於安全的交易管理，包括使用控制、審核、匯報和/或付款。這些通用的基礎稱為「VDE功能」(「VDEF」)。VDE還支持ー批「原子」應用元素(如加載模塊)，這些「原子」應用元素可以被有選擇地聚合在一起以形成稱為控制方法的各種VDEF功能，這些VDEF功能用作VDEF應用和作業系統功能。當一個電子設備的宿主操作環境包含了 VDEF功能的時候，該操作環境稱為「權利作業系統」(ROS)。VDEF加載模塊、相關數據以 及方法構成了一個信息體，該信息體相對於本發明中的用途被稱為「控制信息」。VDEF控制 信息可以特別地與一個或多個電子信息內容相關聯，並且/或者它可以用來作為VDE裝置的作業系統功能的ー個通用部件。VDEF交易控制元素反映和制定了特定於信息內容的和/或更為通用化的(例如，一般作業系統的)控制信息。VDE參與者可通過使用諸如VDE模板將通常採取或多或少可配置的應用(應用模型)的形式的VDEF功能進行加工以實現特定的功能，這些特定的功能帶有功能參數數據，來反映VDE參與者之間關於使用諸如作為商品分發的產品的一個或多個明確電子協議的元素。這些控制功能管理對電子信息內容的使用和/或審核，以及根據信息內容的使用以及對所述的使用進行的任意償付匯報有關信息。VDEF功能可「演變」以反映接收或提供給定的控制信息組的ー個或多個相繼的參與者的要求。對於給定信息內容模型的VDE應用(例如採用CD-ROM分發娛樂產品、從Internet存放庫中傳遞信息內容、或電子目錄購物及廣告、或上述活動的某些結合)，參與者通常將能夠安全地從可用的、可選的控制方法中作出選擇，並應用相關的參數數據。其中，這種對控制方法的選擇和/或對數據的提交將構成他們對控制信息的「貢獻」。作為選擇或補充，某些已經被明確地驗證為可以與所述應用安全地互相協作和兼容的控制方法可以被操作員作為上述貢獻的一部分獨立地提交出來。在最普通的例子中，ー個通常經過驗證的(經過驗證可以用於給定的VDE管理和/或信息內容類別的)加載模塊可以由許多或任意的運行於所述方案的節點中的VDE應用使用。這些參與者在他們被允許的限度之內可以獨立地和安全地添加、刪除和/或修改加載模塊和方法的詳細說明，並添加、刪除或修改相關的信息。通常，創建VDE信息內容容器的參與者規定將要和/或可能應用到某些電子信息上的VDEF功能的一般特性。ー個VDE信息內容容器是ー個對象，它既包含信息內容(例如，諸如計算機軟體程序、電影、電子出版物或參考材料之類的商業分發的電子信息產品、等等)，又包含與該對象的使用相關的某些控制信息。創建的一方可以使ー個VDE容器對其他方可用。由VDE信息內容容器傳遞的控制信息,或者與VDE信息內容容器結合使用的可用控制信息(為商業信息內容分發目的)構成了電子信息內容的VDEF控制功能(以及任何相關的參數數據)。這些功能可以構成ー個或多個「被提議」的電子協定(以及/或者可供選擇和/或與參數數據一起使用的協定功能)，這些電子協定管理對上述信息內容的使用和/或使用結果，並且可以制定涉及多方的協定的條款和條件、以及他們各自不同的權利和義務。藉助於由ー個或多個參與者-例如由一個從「上級」參與者收到控制信息的「下級」參與者-所接受的用戶接ロ，VDE電子協定可以是明確的；或者它可以是單獨聲明其協定的各平等參與者之間的ー個進程。協定也可以從ー個自動化的電子進程得出，在該進程中，特定的VDE參與者控制信息對條款和條件進行「評估」，這些控制信息評估某些與信息內容相關聯的和/或由其他參與者提交的其他電子條款和條件是否是可接受的(沒有與可接受的控制信息標準衝突)。這種評估進程可以相當簡單，例如它可以是ー個比較過程，用來確保條款和條件表中的部分或所有上級控制條款和條件與信息內容控制信息處理路徑中的後續參與者所提交的控制信息之間存在兼容性，或者該進程可以是ー個更為精細的進程，它評估由兩個或多個參與者提交的兩個或多個控制信息集合的可 能結果，並且/或者在這些控制信息集合之間執行ー個協商進程。VDE還支持半自動化的進程，在該進程中，一個或多個VDE參與者藉助用戶接ロ通過接受和/或提議對特定控制信息來說是可接受的某些控制信息直接解決控制信息集合之間的「爭端」，所述特定控制信息代表一個或多個其他団體的利益和/或對通過特定用戶接ロ進行查詢以便在某些替代選項和/或某些參數信息中作出選擇的響應，如果對適用的上級控制信息來說是可接受的話，上述響應將被採納。當另ー個參與者(而不是規則的第一個應用者)可能通過ー個協商進程接受、和/或添加、和/或修改「已就位」的信息內容控制信息時，在兩方或多方之間的、涉及對該電子信息內容使用的ー個VDE協定可被創建出來(只要任何修改符合上級控制信息)。對涉及某些電子信息內容的條款和條件的接受可以是直接的和明確的，或者也可以作為對信息內容的使用結果而採用隱含的形式(取決於(舉例來說)法律要求、以前對上述條款和條件的暴露、以及就位控制信息的要求)。VDEF功能可以被大量的參與者使用，VDE協議可以由大量的參與者達成,而這些VDEF功能不必直接與對某些特定電子信息的控制相關聯。例如，特定的ー個或多個VDEF功能可以出現在某個VDE裝置中，而特定的VDE協定可以在為某個信息內容分發應用進行註冊的進程中達成，該協定由上述裝置使用以便安全地控制VDE信息內容使用、審核、匯報和/或付款。類似地，當某個特定的用戶和/或其設備向某個VDE信息內容或電子設備提供者註冊以便成為ー個VDE裝置和/或用戶的時候，該特定參與者可以與該提供者達成ー個VDE用戶協定。在這種情況下，可供用戶VDE裝置使用的VDEF就位控制信息可以要求(舉例來說)在某些序列中要使用某些VDEF方法，以便能夠使用所有和/或某些類型的電子信息內容和/或VDE應用。VDE確保進行給定交易所需的某些前提條件得到滿足。這包括安全地執行所要求的任何加載模塊以及使所要求的任何相關數據成為可用。例如(如以某個方法的形式的)所要求的加載模塊和數據可能規定必須確認來自一個授權來源的充足信用可供使用。它可能進ー步要求特定的一個或多個加載模塊在適當的時刻以多個進程的形式執行，以確保為了償付對上述信息內容的使用而使用上述信用。某個信息內容提供者可能(舉例來說)要求計量被製作出來供分發給僱員的給定軟體程序拷貝的數目(該程序的一部分可以採用加密的形式被維護起來，並要求VDE裝置的存在來運行)。這將要求在毎次為另ー個僱員製作ー個拷貝時，需要為該有所有權的產品的拷貝執行一個計量方法。同一提供者還可以根據用戶從他們那裡取得使用許可的不同有所有權的產品的總數收取費用，並且要求使用他們獲取有所有權的產品使用許可的計量歷史以維護上述信息。VDE提供了組織範圍、団體範圍、和/或普遍範圍的安全環境，該安全環境的完整性由安全地受控於VDE參與者用戶裝置(節點)中的進程所確保。較佳實施例中的VDE裝置可以含有軟體的和防破壞硬體半導體元件兩者。這種半導體方案至少部分地含有設計成可以保護執行VDE控制功能所用的信息和功能、使之免受破壞或被未經授權的觀測的專用電路。本發明提供的專用安全電路含有至少ー個稱為安全處理部件(STO)的專用的半導體配置和/或一個標準的微處理器、微控制器、以及/或者支持本發明的要求並且可起到STO那樣的作用的其他處理邏輯。VDE的安全硬體可以安裝 在(舉例來說)傳真/數據機晶片或晶片封裝中、I/O控制器中、視頻顯示控制器中、以及/或者其他可用的數字處理配置中。預計本發明的VDE安全硬體功能的多個部分最終會成為計算機和各種其他電子設備的中央處理單元(CPU)的標準設計元件。將VDE功能設計到一個或多個標準的微處理器、微控制器、以及/或者其他數字處理部件中，通過對本發明所預期的交易管理用途以及其他的宿主電子設備功能都使用相同的硬體資源，可以從實質上降低涉及VDE的硬體成本。這意味著VDE SPU可以使用(共享)「標準」CPU的電路元件。例如，如果ー個「標準」的CPU可以運行於保護模式，並且作為受保護的活動可以執行有關VDE的指令，那麼這種實施例可以向各種應用提供充分的硬體安全性，同時專用處理器的花費也將省去。在本發明的一個較佳實施例的控制下，當在(例如由保護模式微處理器支持的)保護模式下執行有關VDE的指令的時候，某些存貯器(如RAM、ROM、NVRAM)得到維護。這些存貯器與處理邏輯(如處理器)位於同一封裝中。最好，該處理器的封裝和存貯器採用可增強其防破壞能力的安全性技術進行設計。VDE系統的整體安全性的程度主要取決於VDE控制進程執行和相關數據存貯活動的防破壞程度和隱蔽程度。使用專用半導體封裝技術可以顯著地有助於提高安全性的程度。通過在ー個SPU封裝中使用半導體存貯器(如RAM、ROM、NVRAM)、通過在將數據送入外部存貯器(如外部RAM封裝)之前首先加密數據，並且首先解密CPU/RAM封裝中被加密的數據然後才執行該數據，可以部分地實現上述半導體存貯器中的隱蔽和防破壞。當某些重要的有關VDE的數據存放在未經保護的媒介上時，例如保存在諸如隨機訪問存貯器、大容量存貯器、等之類的標準宿主存貯器中時，可以使用上述的進程。在這種情況下，VDESPU在把安全VDE執行的結果存放到外部存貯器之前首先對這些數據進行加密。按照本發明的VDE所提供的某些重要特性的綜述VDE使用了作為一般用途的基礎並向分布式電子商業方案提供充分的安全保護的多種功能。VDE實現了支持發散的、有競爭カ的業務夥伴關係、協定、以及不斷演變的整體業務模型的電子商業市場。例如，VDE具有如下特性!通過使用安全的通信、存貯和交易管理技木，「充分」地阻止對電子信息和/或設備的未授權和/或無償使用。VDE支持ー個模型範圍內的、創建了単一安全「虛擬」交易處理和信息存貯環境的、分布式安全性實現。VDE允許分布式VDE裝置安全地存貯和傳送信息，並遠程地控制執行進程以及在其他VDE裝置中採用多種方式對電子信息進行的使用的特徵。
!支持用於交易控制、審核、匯報、以及相關通信和信息存貯的、低成本、高效率以及有效的安全性體系結構。VDE可以使用涉及標記的安全性技術；解密密鑰的時間衰老技術；對被存貯的控制信息(包括對該被存貯的信息進行有差別地標記以防止替換和破壞)和分發的信息內容兩者都實行的隔離技術(以便對於許多信息內容應用使用ー個或多個唯一於特定VDE裝置和/或用戶的信息內容加密密鑰)；諸如三重DES之類的用於加密信息內容的私有密鑰技木；諸如RSA之類的公開密鑰技木-用來保護通信，並提供數字籤名和鑑別的諸多優點以便將VDE配置中的節點安全地結合在一起；對重要交易管理可執行碼的安全處理；將少量的、高度安全的、受硬體保護的存貯器空間與大得多的、「暴露的」、用來安全地存放(通常為加密的和加標記的)控制和審核信息的大容量介質存貯器空間結合在一起；VDE使用了分布在VDE實現方案中的某些或所有地點的專用硬體a)所述硬體控制下列的重要元素信息內容的準備(例如使該信息內容被放入ー個VDE信息內容容器中，並使信息內容控制信息與該信息內容相關聯)、信息內容和/或電子設備使用審核、信息內容使用分析、以及信息內容使用控制山)所述硬體已經被設計為安全地處理加載模塊控制活動，其中所述控制處理活動可以包括所要求的控制因素的ー個序列。
!支持對VDE電子信息產品(受VDE控制的信息內容)的信息子集的動態用戶選擇。該特性與下列的限制相反，這些限制是必須使用幾個高層的、獨立的、預定義的信息內容提供者信息増量，例如，必須選擇整個信息產品或產品段以便獲取或使用該產品或段的部分。VDE支持對各種増量(包括「原子的」増量、以及不同增量類型的組合)的計量和使用控制，這些增量由用戶特別選擇出來，它們代表一批預標識的ー個或多個增量(諸如預定義特性的一個或多個塊，這些預定義特性的例子包括字節、圖像、邏輯相關的塊)，這些預標識的增量構成了通常為任意的、但對於用戶來說是邏輯的、「可傳遞」的信息內容。VDE控制信息(包括預算、定價、以及計量信息)可以被配置，以便它可以適當地專門應用於信息增量的不同的、變幻莫測的用戶選擇集合的特別選擇，並且，價格標準可以至少部分地根據混合増量選擇的數量和/或特性來制定(例如，特定數量的特定正文可意味著相關的圖像可以折扣15%;「混合」増量選擇中的更大數量的正文可意味著該圖像被折扣20% )。所述用戶選擇的聚合信息増量可以反映用戶對信息的實際要求，並且比限制為單ー的、或幾種更高層次的(如產品、文件、資料庫記錄)預定增量要更為靈活。所述高層次増量可能含有用戶不希望的大量信息，於是比用戶所需要的信息子集(如果可以得到該子集的話)更為昂貴。總而言之，本發明允許包含在電子信息產品中的信息按照用戶的規定提供。進行剪裁以適應用戶的規定允許本發明向用戶提供最大的價值，而這樣做又產生了最大數量的電子商業活動。用戶(舉例來說)將能夠定義從ー個可用信息內容產品的不同部分得到的信息內容的ー個聚集，但作為供用戶使用的可傳遞物，所述信息內容聚焦是完全唯一的被聚焦增量。用戶可以(舉例來說)從ー個諸如參考文獻之類的信息產品中的不同部分中選擇特定數量字節的信息，將這些信息以未加密的形式拷貝到盤上，並且按照全部數量的字節加上對提供這些字節的「文章」的數量的附加計費而接受計帳。信息內容提供者可能適當地對這種用戶定義的信息増量收取較少的費用，因為用戶沒有要求來自含有所需信息的所有文章的所有信息內容。這種定義用戶所需信息增量的進程可能涉及人工智慧資料庫搜索工具，這種工具有助於從ー個信息產品中定位信息的最相關部分，並使得描述搜索條件命中的信息被自動顯示給用戶，以便用戶進行選擇或自動抽取，以及將上述部分傳遞給用戶。VDE還支持種類繁多的預定義增量類型，包括!字節，!圖像，!對應於聲音或視頻的一段時間之內的信息內容，或任何可以由信息內容提供者數據映射方法標識的其他増量，例如!句子，!段落，!文章，
!資料庫記錄，以及!代表邏輯相關信息增量的字節偏移量。對於任何同時存在的預定義增量類型來說，只要對於給定類型的信息內容和業務模型是現實的，都將得到VDE的支持。!在用戶的站點安全地存放反映多種不同信息內容段類型的用戶使用的可能非常詳細的信息，並在廉價的、「暴露的」宿主大容量存貯器中以加密數據的形式維護詳細信息，同時在高度安全的專用VDE裝置非易失性存貯器(如果該類型存貯器可用的話)中維護概要信息供安全性測試用。!支持用於被分發的電子信息的路徑和/或與信息內容使用相關的信息的可信處理鏈功能。該鏈可以(舉例來說)從信息內容製作者延伸到分發者、再分發者、客戶用戶，並且可以提供一條路徑，以供把相同的和/或不同使用信息安全地匯報給諸如ー個或多個獨立票據交換所之類的ー個或多個審核者，然後把這些信息送回包括信息內容製作者在內的信息內容提供者。用於特定信息內容處理以及相關信息內容控制信息和匯報信息處理的相同和/或不同路徑也可以用作用來對電子信息內容和/或設備使用進行電子付款處理(本發明中的付款以管理信息內容為其特徵)的一條或多條路徑。這些路徑用來輸送所有或部分信息內容和/或與信息內容相關的控制信息。信息內容製作者以及其他提供者可以規定必須部分或完全用來傳播採用商業方式分發的有所有權的信息內容、信息內容控制信息、付款管理信息內容、以及/或者相關使用匯報信息的路徑。由信息內容提供者規定的控制信息也可以規定哪些特定的參與者必須或可以(包括(舉例來說)可以從中作出選擇的ー組合格參與者)處理被輸送的信息。它還可以規定必須或可以使用何種傳送裝置(例如電信載波或介質類型)以及傳輸集線器(hub)。!支持靈活的審核機制，例如使用「位圖計量器」，這可以帶來高效的運行和呑吐率，並允許採用可行方式對涉及以前的使用活動和相關模式的信息進行保存和迅速取回。這種靈活性適用於種類多祥的計帳和安全性控制策略，例如!提高價格(例如成套購買)!價格折扣(包括數量折扣)!與計帳相關的時間段變量，例如根據以往購貨的計時對新的購貨活動進行折扣!根據經過一段時間段使用的電子信息的不同的、邏輯相關的單元的數量的安全性預算使用位圖計量器(包括「常規」和「寬」位圖計量器)記錄對信息的使用和/或購買，同時結合本發明的較佳實施例中的其他元素，能夠唯一地支持對使用歷史的有效維護，這些使用歷史涉及(a)租借，(b)固定費用的許可使用或購買，(C)根據歷史使用變量的許可使用或購買折扣，(d)向用戶所做的匯報，匯報方式的特點是允許用戶確定某一特定條目是否被獲取，或者在特定的時間段內被獲取(不需要使用對於這些應用來說極為低效的傳統資料庫機制)。位圖計量器方法記錄某些活動，這些活動涉及電子設備、所有物、對象、或它們的部分、和/或獨立於特定所有物、對象等的管理活動，這些活動由用戶和/或電子設備執行，這樣信息內容和/或設備的提供者和/或管理活動的控制者可以判斷在過去的某些時刻或某段時間內是否發生了某個活動(例如對商業電子信息內容產品和/或設備的某種使用)。此後，這種判斷可以用作信息內容和/或設備的提供者和/或管理活動的控制者的定價和/或控制策略的一部分。例如，信息內容提供者可以決定對訪問某一所有物的一部分只收費一次，而不管用戶對該有產權物的那一部分訪問了多少次。!支持「可發布的」信息內容，也就是說，該信息內容可以由ー個信息內容提供者提供給ー個最終用戶，然後該最終用戶拷貝該信息內容，並將它傳遞給其他的最終用戶方， 而不必要求信息內容提供者直接參與進來以註冊和/或初始化該信息內容供後續使用。該信息內容以「移動對象」的形式在「(傳統分發)通道外」傳送。移動對象是安全地攜帯至少某些許可信息和/或使用這些對象所要求的方法(如果所要求的方法將在或可以直接對目的地VDE裝置中可用的話，那麼這些方法無須由移動對象攜帯)的容器。某些移動對象可以在給定VDE配置中的某些或所有VDE裝置中使用，因為它們可以使信息內容使用活動所需的信息內容控制信息成為可用信息，而不必要求商業VDE價值鏈參與者或數據安全性管理員(例如ー個控制官員或網絡管理員)參與進來。只要用戶VDE裝置安全子系統中有移動對象控制信息要求(例如具有從授權信用提供者得到的足量財務信用)，那麼接收方團體可以無須與一個遠程VDE授權機構建立連接(直到預算被用光，或信息內容使用報告時間已到)，就可以使用至少某些移動對象信息內容。移動對象可以在「通道外」移動，這種方式允許(舉例來說)用戶將其中的內容為ー個軟體程序、電影或遊戲的移動對象的拷貝送給鄰居，而該鄰居如果能夠得到適當的信用(例如在諸如VISA或AT&T之類的票據交換所開立的電子票據交換所帳戶)的話便可以使用該移動對象。類似地，通常可以從Internet或類似網絡的存放庫中得到的電子信息也可以以移動對象的形式提供出來，該移動對象可以被ー個初始下載者下載並接著對之進行拷貝，然後由他傳遞給其他參與者，而這些參與者又把該對象傳給另外的參與者。!根據個人和裝置、用諸如類別之類的分類、以及用功能和使用客戶標識級別層次的層次性標識(例如客戶組織ID、客戶部門ID、客戶網絡ID、客戶項目ID、以及客戶僱員ID、或上述ID的任意適當子集)而提供了十分靈活和可擴展的用戶標識。!提供了通用的、安全的、基於部件的信息內容控制和分發系統，該系統起基礎交易作業系統環境的作用，該基礎交易作業系統環境使用了經過精心編制用於交易控制和審核的可執行碼段。這些碼段可以被重用以便優化可信的、分布式交易管理方案的創建和運行過程中的效率。VDE支持以「原子」加載模塊和相關數據的形式提供該可執行碼。許多這種加載模塊固有地是可配置的、可聚合的、可移植的、以及可擴展，並且可以在VDE交易管理操作環境中作為控制方法単獨地或結合(相關數據)地運行。通過部分地使用上述通用交易管理基礎來安全地處理與VDE交易相關的控制方法，VDE可以滿足種類繁多的電子商業和數據安全性應用的要求。控制方法主要通過使用一個或多個所述可執行的、可重用的加載模塊代碼段(通常處於可執行目標部件的形式)以及相關數據來創建。控制方法的部件特性允許本發明作為ー個高度可配置的信息內容控制系統而有效地運行。在本發明的控制下，信息內容控制模型可以在一定限度內被反覆地和異步地加工，或者被更新以便滿足VDE參與者的需求，所述的限度是上述加工和更新活動要遵守由VDE應用施加的限制-如果有這些限制的話，例如，是否新的部件組是可以接受的，如果是的話，對於該部件組存在哪些驗證要求，或者是否任意的或特定的參與者可以通過從可選的控制信息(許可記錄)控制方法中進行選擇而加工任意的或特定的控制信息。上述反覆的(或並發的)多個參與者進程將作為安全控制信息部件(諸如加載模塊和/或方法之類的可執行碼和/或相關數據)的提交和使用的結果而發生。這些部件可以通過對控制信息產生影響的每個VDE參與者VDE裝置之間的安全通信被獨立地提供出來，並且可能要求驗證以便給定應用對它們進行使用，其中，這種驗證由ー個管理VDE配置的驗證服務管理者提供，該管理者確保設備和被提交控制方法之間安全的可互相協作性以及/或者可靠性(如交互作用所引起的錯誤(bug)控制)。VDE電子設備交易操作環境的交易管理控制功能與非安全交易管理作業系統功能交互作用，以正確地控制與電子信息安全性、使用控制、審核和使用匯報有關的交易進 程和數據。VDE提供這種功能以管理涉及安全VDE信息內容和/或設備控制信息執行和數據存貯的資源。!便利在VDE中對應用和/或系統功能的創建，並便利將按照本發明所創建的加載模塊和方法向電子設備環境的集成。為了實現該功能，VDE使用了一個應用程式員接ロ(API)和/或一個帶有內置功能的交易作業系統(例如R0S)程式語言，上述兩者都支持對功能的使用，並可以用來有效地和緊密地將VDE功能集成進商業和用戶應用中。!支持用戶交互作用，這個功能藉助了 (a) 「彈出式」應用，該應用(舉例來說)向用戶提供消息，並允許用戶採取諸如同意某個交易之類的特定動作；(b)獨立VDE應用，該應用向用戶活動提供管理環境，所述用戶活動的例子包括對下列活動進行規定的最終用戶優選規定說明限制毎次交易、每單位時間、和/或每次會話的價格，訪問有關以前交易的歷史信息、審查諸如預算、費用之類的(例如詳細的和/或概要的)財務信息以及使用分析信息；以及(c)VDE感知型應用，這些應用作為使用了 VDE API和/或交易管理(例如基於ROS的)程式語言的結果把對VDE的「感知」嵌入到商業或內部軟體(應用程式、遊戲、等等)中，以便VDE用戶控制信息和服務可以被無縫地集成到這些軟體中，並且可以被用戶直接訪問，因為底層功能已經被集成進商業軟體本來的設計中。例如，在ー個VDE感知型字處理器應用中，用戶可以將ー個文件「列印」到ー個VDE信息內容容器對象中，在此過程中，該用戶通過從一系列適用於不同用途的不同菜單模板(例如，ー個用於組織內部用途的機密的備忘錄模板可以將功能限制為「保存」，即製作該備忘錄的電子拷貝)中進行選擇而應用特定的控制信息。!使用「模板」來簡化對本發明中涉及特定產業或商業的配置功能的進程。模板是本發明下的應用或應用後加部分。模板支持對涉及特定信息內容類型、分發方法、定價機制、用戶與信息內容和/或管理活動之間的交互作用、以及/或者諸如此類等等的標準進行有效的規定和/或操作。在本發明所支持的範圍廣闊的功能和配置的前提下，將配置的可能範圍減小到適用於給定業務模型的可管理子集的範圍內允許「典型」用戶容易地使用本發明的全面可配置能力，否則這些用戶將負擔複雜的編程和/或配置設計責任。模板應用還可以通過減少與提供獨立開發加載模塊相關的風險-包括獨立模塊和應用之間的代碼交互作用的不可預測方面，以及減少涉及在這些模塊中可能出現病毒的安全性風險，從而確保與VDE有關的進程是安全的並且是最優地無錯的。通過使用模板，VDE將典型用戶的配置責任減少到適當集中的一系列活動，包括通過菜單選項選擇方法類型(如功能)，這些菜單選項的例子包括多重選擇、圖符選擇、和/或對方法參數數據的提示(例如標識信息、價格、預算限制、日期、時間段、對特定信息內容的訪問權利、等等)，上述菜單選項為控制信息的目的提供了適當的和/或必要的數據。通過將典型(非編程)用戶的活動限制到一般配置環境(模板)已經經過預置成反映了對應於該用戶、某個信息內容或其他業務模型的一般性要求的配置活動的ー個有限子集中，可以非常實際地限制涉及信息內容容器化(包括在信息內容上加入初始控制信息)、分發、客戶管理、電子協定實現、最終用戶交互作用、以及票據交換所活動-包括相關的互相協作問題(例如由安全性、作業系統、和/或驗證的不兼容性所產生的衝突)-的困難。使用適當的VDE模板可以向用戶保證他們的有關信息內容的VDE容器化、提供其他控制信息、通信、加密技術和/或密鑰、等等活動將遵從他們的分布式VDE配置的規範。VDE模板構成了預置的配置，配置通常可以是可重新配置的， 以便允許產生新的和/或被修改的模板，這些模板在演變的過程中反映出對新產業的適應性，或者反映出一個現有產業的演變或其他變化。例如，模板的概念可以用來將獨立的、全面的框架提供給某些組織和個人，這些組織和個人創建、修改、銷售、分發、消費、和/或使用電影、聲音錄製品和實況表演、雜誌、基於電話的零售、目錄、計算機軟體、信息資料庫、多媒體、商業通信、廣告、市場調查、通知、遊戲、向數控工具機提供的CAD/CAM服務、等等諸如此類。在圍繞上述模板的上下文變化或演變的時候，按照本發明所提供模板應用可以被修改，以滿足上述變化，從而適應更大範圍的應用，或適應更集中的活動。一個給定VDE參與者可以帶有大量可用的、適用於不同任務的模板。將信息內容放入其初始VDE容器的參與者可以按照與該信息內容相關的信息內容和/或業務模型的類型的不同而帶有多種不同的、可配置的模板。一個最終用戶可以帶有不同的、可配置的模板，這些模板可以適用於不同的文件類型(電子郵件、保密內部文件、資料庫記錄、等等)和/或用戶的子集(將控制信息的不同的一般集合應用到用戶的不同群體，例如，選擇一系列可以按照某種預定的準則使用某個文件的用戶)。當然，在某些情況下，模板可以帶有固定的控制信息並且不向用戶提供選項或參數數據項。!支持大量的、不同的、控制對電子信息內容的同一特定拷貝的使用和/或審核、以及/或者區分地控制對同一電子信息內容的不同拷貝(出現)的使用和/或審核的控制模型。用於計帳、審核、和安全性的不同模型可以被應用到同一電子信息內容，並且上述不同的控制信息集合可以為控制的目的使用相同的或不同的電子信息控制增量粒度。這包括對於預算和審核使用支持可變的、適用於多種預定義的電子信息增量的控制信息，包括對於給定電子信息使用多種不同的預算和/或計量增量，可以傳遞上述給定信息用於計帳的度量単位、信用限制、安全性預算限制和安全性信息內容計量增量、以及/或者市場調查和消費者描述的信息內容計量增量。例如，對於ー個帶有科學文章資料庫的CD-ROM光碟，可以部分地按照基於解密字節的數目、含有所述解密字節的文章的數目的ー個公式對之進行計帳，同時安全預算可能把對該資料庫的使用限制為該資料庫安裝所在的廣域網中的每個用戶每月對該資料庫的使用不超過資料庫的5%。
!提供機制以便通過充分安全的信息內容和信息內容控制信息處理鏈並通過對該信息內容的各種形式的使用而持續地維護可信的信息內容使用和/或匯報控制信息，其中所述的控制持續性可以在上述使用中一直保持。控制的持續性包括從ー個VDE容器對象中抽取信息的能力，其方式是創建ー個新容器，該容器中的信息內容至少部分地受到安全保護並且該容器既含有被抽取出的信息內容又含有至少部分的控制原始容器的信息的控制信息，並且/或者該容器中的信息內容至少部分地由原始容器中的控制信息為上述目的而產生，並且/或者VDE裝置控制信息規定應該持續不變並且/或者控制對新創建容器中的信息內容的使用。如果容器被「嵌入」到另ー個受VDE管理的對象(例如ー個含有大量嵌入VDE容器的對象，而其中的每個容器都含有從不同來源獲取(抽取)的信息內容)中，那麼上述控制信息可以繼續管理對該容器信息內容的使用。!允許用戶、其他價值鏈參與者(例如票據交換所和政府機構)、和/或用戶組織規定涉及他們對電子信息內容和/或設備的使用的優先選擇或要求。如果上級控制信息允許的話，諸如使用商業分發的信息內容(遊戲、信息資源、軟體程序、等)的最終用戶消費者之類的信息內容用戶可以規定預算和/或其他控制信息以便管理他們自己的、對信息內容的內部使用。這些使用包括(舉例來說)用戶為電子文件設置在ー個他希望在沒有事先明 確的用戶授權的前提下支付的價格上的限制，並且該用戶創建他或她允許被收集的計量信息的特性(隱私保護)。這包括向信息內容用戶提供手段以保護從他們對VDE裝置和信息內容的使用和/或設備使用審核中獲得的信息的私有性。特別地，VDE可以防止涉及參與者對電子信息內容的使用的信息在沒有得到該參與者默許或明確同意的情況下被提供給其他參與者。!提供允許控制信息至少部分地按照被獨立地、安全地傳遞的其他控制信息而「演變」並被修改的機制。所述控制信息可以包括已被驗證為對於應用於特定VDE應用、應用類別、和/或VDE分布式方案來說是可接受的(如可靠的和可信的)可執行碼(如加載模塊)。一旦信息內容控制信息(加載模塊和任何相關數據)流通到控制信息處理路徑中的ー個或多個VDE參與者的時候,控制信息的上述修改(演變)便可以發生,或者一旦收到來自ー個VDE參與者的控制信息的時候，上述修改(演變)發生。信息內容控制信息處理路徑中的處理者在他們中的每ー個所授權的限度內可以創建、修改、和/或提供與電子信息內容和/或設備的控制、分析、償付、和/或使用匯報(例如，這些與受VDE控制的有所有權信息內容的使用相關)相關的許可、審核、付款和匯報控制信息。當信息內容控制信息已經在VDE信息內容控制信息處理序列中從ー個參與者流到另ー個參與者的時候，(從ー個除了對於驗證來說為不獨立之外的獨立來源)獨立傳遞的、至少部分安全的控制信息可以用來安全地修改信息內容控制信息。該修改過程使用了(舉例來說)安全地在VDE安全子系統中處理的ー個或多個VDE部件組。在一個可選的實施例中，一個上級參與者可以在通常以VDE管理對象的形式從ー個「下級」參與者收到被提交的、至少部分地受到安全保護的控制信息之後，通過使用他們的VDE裝置安全子系統來修改控制信息。通過VDE路徑傳遞的控制信息可以代表ー個混合的控制集合，因為它可以含有在通過控制信息處理者序列時沒有發生變化的控制信息、被允許修改的其他控制信息、以及代表新控制信息和/或中間數據的其他控制信息。該控制集合代表了被傳播信息內容的控制信息的演變。在本例中，當VDE信息內容容器的整個信息內容控制集合安全地(例如，以加密的形式通信並使用鑑別和數字籤名技木)至少部分地傳遞到一個新參與者的、安全地收到和處理所提出的控制信息的VDE裝置吋，這些控制集合正在「演變」。藉助涉及兩個控制信息集合的協商進程，收到的控制信息可以與就位控制信息(通過使用接收方的VDE裝置安全子系統)集成在一起。例如，在信息內容提供者的VDE裝置的安全子系統中對特定VDE信息內容容器的信息內容控制信息的修改可以是加入了財務信用提供者提供的所要求的控制信息。所述信用提供者可能已經使用了他們的VDE裝置準備了所述的所要求的控制信息，並安全地將該信息傳送給了所述信息內容提供者。加入所述的所要求的控制信息使信息內容提供者允許信息內容最終用戶使用信用提供者的信用以償付該最終用戶對受VDE控制的信息內容和/或設備的使用-只要所述最終用戶在所述財務信用提供者那裡有ー個信用帳戶並且所述信用帳戶具有充足的可用信用。類似地，信息內容提供者也可以安全地接收要求支付稅款和/或提供由電子商業活動產生的收入信息的控制信息。該控制信息可以(舉例來說)從ー個政府機構收到。法律可能要求信息內容提供者將上述控制信息插入到對應於商業分發的信息內容和/或涉及設備使用的服務的控制信息中。對提議的控制信息的使用要在由上級控制信息允許的限度內，並且該限度由滿足每ー個集合(接收方的集合和被提議的集合)所規定的優先級的任意協商折衷方案所決定。VDE還適應專門適用於VDE信息內容處理參與者網絡中的不同參與者(如個體參與者和/或參與者類別(類型))的不同控制方案。 !支持用於同一信息內容所有權和/或所有權部分的、多個並存的控制模型。這個特性支持(舉例來說)依賴於電子商業產品信息內容分發的並發業務活動，例如獲取詳細市場調查信息和/或支持廣告活動，這兩種活動都可以增加收入，並給用戶帶來較低的信息內容成本而給信息內容提供者帶來更高的價值。在控制信息的決定或允許下，可以採用不同的方式將上述控制信息和/或整體控制模型應用到信息內容、匯報、付款和/或相關控制信息處理路徑中的參與者。VDE允許把不同信息內容控制信息應用到與同一和/或不同信息內容和/或設備使用相關的活動中，並且/或者應用到信息內容和/或設備使用模型中的不同參與者，這樣以來，不同的參與者(或(舉例來說)VDE用戶的類別)將受到管理他們對電子信息內容的使用的不同控制信息的控制。例如，基於作為受VDE控制的信息內容對象的分發者的或作為該信息內容的最終用戶的分類的不同控制模型可以產生投入應用的不同預算。作為另ー種選擇，(舉例來說)一個分發者可以有權(從(舉例來說)某個光碟上提供的公用信息內容集合中)分發與另一個分發者不同的有產權物集合。與「典型」的信息內容用戶相比，最終用戶的個人和/或類別或其他分類可以有不同的花銷。(例如，可對學生、老年公民、與/或信息內容的貧窮公民提供相同或不同的折扣)!支持通過從所述最終用戶和/或提供者向ー個政府機構轉移信用和/或電子貨幣而由消費者對信息內容和/或設備的使用中、以及/或者提供者和/或最終用戶支付的稅款中產生的提供者收入信息，作為上述被接收信息的結果，將「自動」出現上述轉移過程，該過程導致生成一個其信息內容包括反映了安全的、可信的收入概要信息和/或詳細用戶交易記錄的消費者信息內容使用信息的VDE信息內容容器(詳細的程度可能取決於(舉例來說)交易的類型或規模-根據法律規定，涉及向消費者支付的銀行利息或大宗(例如超過10000美元)轉移的信息可以被自動地報告給政府)。這種涉及可徵稅的事件和/或貨幣的、以及貸方貨幣轉移的概要和/或詳細信息放在ー個VDE容器中可以通過匯報和/或付款路徑傳遞給政府。這種容器還可以用於其他涉及VDE的信息內容使用匯報信息。
!支持信息內容控制信息沿信息內容控制信息處理的不同分支流動，以便在本發明的較佳實施例控制下支持對受VDE控制的信息內容所進行的多祥化的、受控制的分發。這允許不同的參與者以不同的(可能是競爭性的)控制策略使用相同初始電子信息內容。在這種情況下，一個首先對信息內容設置控制信息的參與者可以規定某些控制假設，而這些假設將演變成更為專門的和/或充分的控制假設。這些控制假設可以在分支序列在一旦信息內容模型參與者提交信息內容控制信息時而發生變化(舉例來說)以便用來與「就位」信息內容控制信息「協商」的過程中演變。這將產生新的或被修改的信息內容控制信息，並且/或者這將涉及選擇特定的ー個或多個已經「就位」的信息內容 使用控制方法，就位的可選方法，以及涉及對相關控制信息參數數據的提交。應用於相同電子所有權信息內容和/或設備的不同拷貝的不同控制信息集合的上述形式的演變是VDE控制信息通過整條處理和控制路徑的不同分支向下「流動」，並且在其通過這些不同路徑分支向下分散的過程中受到了不同修改的結果。本發明的上述支持用於VDE控制信息和VDE管理的信息內容流動的多個路徑分支的功能允許存在這樣的電子商業市場，該電子市場支持分散的、競爭性業務夥伴關係、協定、以及正在演變的整體業務模型，該業務模型可以使用被合併(舉例來說)到代表至少部分地不同的具有競爭性的產品的信息內容的不同集合中的相同信息內容特性。!允許用戶通過使用該用戶的VDE裝置中的安全子系統安全地抽取包含在VDE信息內容容器中的至少一部分信息內容，以便產生ー個新的、安全的對象(信息內容容器)，這樣，被抽取的信息在整個抽取進程中維護於一種始終安全的方式中。包含上述被抽取信息內容的新VDE容器的形成應該產生與源VDE信息內容容器的和/或適當的本地VDE裝置安全子系統的控制信息相一致的或由上述控制信息所規定的控制信息。諸如至少部分地從父(源)對象的控制信息導出的安全性或管理信息之類的相關控制信息通常將被自動地插入到含有被抽取出來的VDE信息內容的ー個新VDE信息內容容器對象中。該進程的發生通常受到父對象的控制框架和/或執行於用戶VDE裝置安全子系統中的VDE裝置控制信息的控制(同時(舉例來說)上述被插入控制信息的至少一部分被安全地以加密形式存放在一個或多個許可記錄中)。在一個可選實施例中，應用於被抽取信息內容的導出的信息內容控制信息可以部分地或全部地從存放在遠離執行上述安全抽取過程的VDE裝置的地方的-例如存放在一個遠程伺服器地點中的-信息內容控制信息中導出或採用該控制信息。對於用於大多數VDE管理的信息內容的信息內容控制信息來說，本發明的特性允許該信息內容的控制信息(a) 「演變」，例如信息內容的抽取者可以在信息內容的就位控制信息允許的限度內添加新控制方法和/或修改控制參數數據-例如依從VDE應用的方法。所述的新控制信息可能規定(舉例來說)誰可以使用上述新對象的至少一部分，以及/或者如何使用所述被抽取信息內容的所述至少一部分(例如，何時可以使用所述的至少一部分，或者可以使用哪一部分或多少部分)；(b)允許用戶把諸如抽取者創作的材料和/或從ー個或多個其他VDE容器對象中抽取出來的信息內容(例如圖像、視頻、聲音和/或正文)之類的另外的信息內容與所述被抽取信息內容的至少一部分合併起來，供直接放入新容器中；(C)允許用戶安全地編輯所述信息內容的至少一部分，同時將所述信息內容以安全形式維護於所述信息內容容器中。(d)將被抽取的信息內容添加進ー個已存在的VDE信息內容容器對象中，並加上相關的控制信息-在上述情況下，用戶添加的信息可以受到安全保護，例如被部分地或整體地加密，並且可以受到不同於施加到以前就位對象信息內容的使用和/或審核控制信息的控制。(e)在對被抽取對象的ー個或多個部分進行了各種形式的使用之後，保留了對所述部分的VDE控制，例如，以安全存貯的形式維護信息內容同時允許在屏幕上「暫時」顯示信息內容，或者允許以安全的形式維護軟體程序，但是暫時地解密所述程序的任何被加密的執行部分(所述程序的全部或僅僅一部分可被加密以便保護該程序)。通常，本發明的抽取特性允許用戶聚合和/或傳播和/或使用從信息內容容器源中抽取出來的、被保護的電子信息內容，同時維護安全的VDE功能，從而保護了經過各種信息內容使用進程之後提供者在所述信息內容信息中的權利。 !支持VDE控制的信息內容的部分的聚合，這些部分受到不同的VDE信息內容容器控制信息的控制，其中，各個所述的信息內容可以已經被獨立的、不同的信息內容提供者從遠離執行上述聚合的用戶的ー個或多個不同的地點提供出來。在本發明的較佳實施例中，上述聚合可以涉及對於各個所述部分的每一部分都保留控制信息(如諸如加載模塊之類的可執行碼)的至少一部分，例如，將某些或全部的上述部分作為VDE信息內容容器對象獨立地嵌入到整體VDE信息內容容器中，或將某些或全部的上述部分直接嵌入到ー個VDE信息內容容器中。在後一種情況下，所述信息內容容器的信息內容控制信息可以(根據所述部分在聚合之前的原始控制信息要求)向各個上述部分施加不同的控制信息集合。每個上述嵌入的VDE信息內容容器都可以帶有採用ー個或多個許可記錄形式的自身控制信息。作為另ー種選擇，與電子信息內容的各種聚合部分相關的控制信息之間的協商可以產生控制某些或所有上述聚合信息內容部分的控制信息集合。由該協商產生的VDE信息內容控制信息可以是統一的(例如帶有同樣的加載模塊和/或部件組)，並且/或者它可以將不同的上述信息內容控制信息施加到構成了 VDE控制的信息內容的聚合的兩個或多個部分，這些控制信息的例子有不同的計量、預算、計帳、和/或付款模型等。例如，可以通過票據交換所自動為信息內容的使用付款，或者可以為不同的部分直接向不同的信息內容提供者付
示!K。!允許對電子信息內容和/或電子設備的使用進行靈活的計量，或者對有關上述使用的信息的其他收集。本發明的ー個特性使得上述計量控制機制靈活性支持並存的、範圍廣泛的(a)有關電子信息內容使用的不同參數；(b)該電子信息內容的不同增量單位(字節、文件、特性、段落、圖像、等等)和/或其他組織；以及/或者(C)用戶和/或VDE裝置類型的不同類別，例如客戶組織、部門、項目、網絡、和/或単獨用戶。本發明的該特性可以用於信息內容安全性、使用分析(例如市場調查)、和/或基於對VDE管理的信息內容的使用和/或暴露的付款。該計量是ー個用於確保對信息內容版稅、許可使用、購買、和/或廣告進行付款的靈活基礎。本發明的ー個特性提供了支持靈活的電子貨幣和信用機制的付款手段，包括安全地維護反映涉及對該貨幣或信用的使用的審核跟蹤的能力。VDE支持客戶組織控制信息的多個不同層次，其中，組織的客戶管理員分發規定了部門、用戶和/或項目的使用權利的控制信息。類似地，一個部門(分部)網絡經理可以對部門網絡、項目和/或用戶等起分發者(分發預算、訪問權利等)的作用。!提供用於範圍從廉價的消耗裝置(例如電視機頂置設備)和專業設備(以及掌上型PDA)到伺服器、主機、通信交換機等的電子設備的、可伸縮的、可集成的、標準化的控制裝置。本發明的上述可伸縮的交易管理和/或審核技術將產生在電子商業和/或數據安全性環境中起作用的各電子設備之間的更有效和更可靠的互相協作性。對於在世界範圍內發送實際商品而言，標準化的實際容器已經是必不可少的了，它允許這些實際容器普遍地與卸載設備相「吻合」、有效地利用卡車和火車的空間、並以有效的方式容納已知的物體組(例如箱子)，於是，正如本發明所提供的那樣，VDE電子信息內容容器可以在世界範圍內有效地移動電子信息內容(例如商業發行的 所有物、電子貨幣和信用以及信息內容審核信息)以及相關的信息內容控制信息。對於有效的電子商業來說，互相協作性是基礎。VDE基礎、VDE加載模塊、和VDE容器的設計是允許VDE節點操作環境與範圍廣泛的電子設備之間兼容的重要特性。(舉例來說)基於加載模塊的控制方法既能在諸如帶有極少量讀/寫存貯器的環境之類的、非常「小」的並且廉價的安全子系統環境中執行同時也能在可能用於更昂貴的電子設備中的大容量存貯器安全子系統中執行的能力支持跨越許多機器的一致性。這種一致的VDE操作環境-包括其控制結構和容器體系結構-允許在範圍廣泛的設備類型和宿主操作環境中使用標準化VDE信息內容容器。由於VDE功能可以作為擴展、補充和/或修改而被無縫地集成至電子設備和宿主作業系統的基本功能，因此，VDE容器、信息內容控制信息、以及VDE基礎將可以與許多設備類型一道工作，同時這些設備類型將可以一致地和有效地解釋和加強VDE控制信息。通過上述集成，用戶也可以從與VDE許多功能的透明交互作用中得到好處。與運行於宿主電子設備中的軟體進行的VDE集成支持多種功能，如果不進行該集成這些功能將得不到或較不安全。通過與ー個或多個設備應用和/或設備操作環境集成，本發明的許多功能都可以作為給定電子設備、作業系統、或設備應用的內在功能被提供出來。例如，本發明的特性包括(a)部分地擴展和/或修改宿主作業系統使之具有諸如支持安全交易處理和電子信息存貯之類的VDE功能的VDE系統軟體；(b)部分地代表與VDE操作相關聯的工具的一個或多個應用程式；以及/或者(c)要集成到應用程式中的代碼，其中，該代碼將引用加入到VDE系統軟體中以集成VDE功能並使該應用成為VDE感知型應用(例如字處理器、資料庫檢索應用、電子表格、多媒體展示創作工具、電影編輯軟體、諸如MIDI應用之類的音樂編輯軟體、諸如與CAD/CAM環境以及NCM軟體等相關聯的控制系統之類的機器人學控制系統、電子郵件系統、電話會議系統、以及包括上述的組合的其他數據創作、創建、處理、和/或使用應用)。上述的(也可以實現於固件或硬體中的)一個或多個特性可以結合諸如微控制器、微處理器、其他CPU或其他數字處理邏輯之類的VDE節點安全硬體處理功能一起使用。!使用審核協調和使用模式評估進程。這些進程通過某些通常基於網絡的交易處理協調和閾值檢查活動來評估是否發生了 VDE系統的安全性的某種破壞。這些進程在VDE控制的信息內容的最終用戶VDE地點的遠方通過評估(舉例來說)給定VDE裝置購買和/或請求得到電子所有物的活動而執行。用於該協調活動的應用包括評估遠程交付的VDE控制的信息內容的數量是否對應於用於對該信息內容的使用的財務信用和/或電子貨幣的數量。一個信託組織可以從信息內容提供者那裡獲取與提供給ー個給定VDE裝置和/或用戶的信息內容的價格相關的信息，並將該信息內容價格與所述裝置和/或用戶的信用和/或電子貨幣付款相比較。被交付信息內容的數量與付款的數量之間不一致可以證明和/或表明(根據情況的不同)本地的VDE裝置是否已經至少在某種程度上受到了破壞(例如某些重要的系統安全性功能，比如通過解開一個或多個密鑰而破解了至少對安全子系統的和/或VDE控制的信息內容的一部分的加密)。判斷是否出現信息內容使用的異常模式(例如不同尋常的大量要求)、或者ー個或多個VDE裝置和/或用戶(例如其使用活動的聚合模式值得懷疑的相關的用戶組)在特定的時間段內要求向他們傳送某些類型的VDE控制信息在判斷是否上述ー個或多個裝置的安全性受到了破壞，並且/或者由上述的ー個或多個用戶破壞等方面也可以是有用的，特別是結合評估由ー個或多個VDE用戶和/或裝置的某些和/或所有其電子信用和/或貨幣提供者提供給這些用戶和/或裝置的電子信用和/或貨幣與由這些用戶和/或裝置提交的付款相比的結果一起使用上述判斷過程將更為有用。!支持實際增加了「破壞」系統安全性所需時間的安全技術。這包括使用ー批將由破壞本發明的安全性特性的某些方面而引起的危害降至最低的技木。!提供了構成了本發明的可信的/安全的、普遍的、分布式的交易控制和管理系統的部件的一系列創作、管理、匯報、付款、和計帳工具用戶應用。這些部件支持與VDE相關的對象創建(包括為信息內容設置控制信息)、安全對象分發和管理(包括分發控制信息、與財務相關的和其他使用分析)、客戶內部VDE活動管理和控制、安全性管理、用戶接ロ、付款、以及與票據交換所有關的功能。這些部件被設計為支持高度安全的、統ー的、一致的、和標準化的處理、匯報、和/或付款的電子商業和/或數據安全性路徑、信息內容控制和管理、以及人的因素(例如用戶接ロ)。!支持大量票據交換所的操作-包括財務和用戶票據交換所活動，例如由大組織中的客戶管理員為幫助該組織對VDE配置的使用而執行的活動，所述的活動包括使用信息分析、以及對僱員個人或組的VDE活動的控制，例如規定在VDE控制下對客戶人員的某些組和/或個人可用的預算和使用權利特性，而這要受到由客戶管理員提交的控制信息的控制信息系列的控制。在票據交換所中，ー個或多個VDE裝置可以與可信的分布式資料庫環境(該分布式資料庫環境可包括並發資料庫處理裝置)一起操作。財務票據交換所通常在其所處位置接收安全傳遞的信息內容使用信息、以及用戶請求(諸如對另外的信用、電子貨幣和/或更高信用限額的要求)。使用信息的匯報和用戶請求可以用於支持與電子貨幣、計帳、付款和信用有關的活動、以及/或者用戶輪廓分析和/或更廣泛的市場調查分析和銷售(綜合的)報告的產生，或其他至少部分地從所述使用信息中導出的信息。可以通過到VDE裝置安全子系統的安全的、經過鑑別的加密通信將上述信息提供給信息內容提供者或其他方面。票據交換所處理裝置通常連接到專用的I/O裝置，該專用I/O裝置具有可用於票據交換所與其他的路徑參與者之間的安全通信的高速遠程通信交換裝置。!安全地支持VDE裝置上和VDE裝置之間的電子貨幣和信用使用控制、存貯、和傳送。VDE進ー步支持包括(例如採用電子貨幣或信用形式的)付款代價券以及其他付款信息在內的電子貨幣和/或信用信息通過付款路徑的自動化傳遞，所述的路徑可以是也可以不是與信息內容使用信息匯報路徑相同的路徑。該付款可以被放入ー個由VDE裝置為響應規定按照使用VDE控制的電子信息和/或設備而產生的應付款項數額從電子信用或貨幣帳戶中「提取」信用或電子貨幣的控制信息而自動創建的VDE容器中。然後付款信用或貨幣可 自動地以被保護(至少被部分地加密)的形式通過ー個VDE容器的電信而被傳送到諸如票據交換所、原始所有的信息內容或設備的提供者、或該提供者的ー個代理(而不是ー個票據交換所)之類的ー個適當參與者。付款信息可以與也可以不與諸如計量信息之類的相關信息內容使用信息一起包裝在所述VDE信息內容容器中。本發明的ー個方面還允許將涉及貨幣使用的某些信息規定為對特定、某些或所有VDE參與者不可得到的(從「有條件」到完全匿名的貨幣)，並且/或者還可以控制諸如涉及貨幣和/或信用使用的信息(以及/或者其他電子信息使用數據)之類的某些信息內容信息只在某些嚴格的條件下才可以被得到，所述條件的ー個例子是法庭傳票(其本身可以通過使用由法庭控制的VDE裝置要求得到授權，這種裝置可能被要求「有條件」地安全訪問匿名信息)。在本發明的較佳實施例下，貨幣和信用信息被當作管理內容對待。!支持向信息內容中嵌入指紋(也稱為水印)，這樣當受本發明保護的信息內容被以明文的方式從VDE對象中發布出來(顯示、列印、傳送、抽取和/或保存)的時候，表示負責將信息內容轉換成明文形式的用戶和/或VDE裝置的標識信息被嵌入到發布出的信息內容中。指紋的有用性在於它提供ー種能力用於識別誰從VDE容器中以明文方式抽取信息，或誰製作了 VDE對象的或其信息內容的一部分的拷貝。由於用戶的身份和/或其他 標識信息可以以ー種模糊的或通常為隱藏的方式被嵌入到VDE容器信息內容和/或控制信息中，這樣可以阻礙潛在的版權侵犯者進行未授權的抽取或拷貝活動。指紋通常被嵌入到未加密的電子信息內容或控制信息中，儘管它也可以先被嵌入加密的信息內容中，以後當攜帯該指紋信息的加密的信息內容在安全VDE裝置子系統中被解密的時候，再被嵌入到未加密的信息內容中。當諸如VDE容器中的信息內容之類的電子信息離開ー個網絡(如Internet)地點而準備到達某個接收方的時候，可以向該電子信息中加入指紋。該存放庫中的信息在被傳送之前可以被維護於未加密的形式，而在其離開該存放庫時則被加密。加入指紋的過程最好在信息內容離開存放庫的時候但在加密步驟之前發生。可以在ー個安全VDE子系統中解密被加密的存放庫信息內容、插入指紋信息、然後再加密信息內容，以便進行傳送。在信息內容離開(舉例來說)某個Internet存放庫時，將預期的接收方用戶和/或VDE裝置的標識信息嵌入到信息內容中，將提供可識別或幫助識別任何設法破壞VDE裝置或被傳遞信息內容的安全性的參與者的重要信息。如果ー個參與者製作了經授權的、明文形式的VDE控制的信息內容的拷貝-包括製作了經授權的明文形式拷貝的未授權拷貝，指紋信息將反向地指明那個製作拷貝的個人和/或他或她的VDE裝置。該隱蔽信息將充當ー個強有力的阻礙措施以阻止大部分潛在信息內容「盜版者」竊取其他參與者的電子信息。可以在解密、複製VDE信息內容對象、或向接收方傳送該對象之前、或者在上述活動的過程中將標識接收方和/或VDE裝置的指紋信息嵌入到VDE對象中。在加密電子信息內容以便傳送給消費者或其他用戶之前向該電子信息內容中加入指紋可以提供對於識別誰收到了某些可能已經以未加密形式分發出去或使之對外可用的信息內容十分有用的信息。在跟蹤誰可能已經「破壞了」VDE裝置的安全性並且正在非法向他人提供某些電子信息內容方面，上述信息將是具有價值的。指紋還可以提供其他的、諸如所述信息內容信息的發布(例如抽取)時間和/或日期之類的可用信息。插入指紋的位置可以由VDE裝置和/或信息內容容器控制信息規定。該信息可以規定所有物中諸如信息和/或信息類型的ー個或多個特定欄位之類的特定區域和/或精確位置應該用來加入指紋。可以通過以一般不可被檢測的方式修改某些圖像像素的顏色頻率和/或亮度、通過稍微地修改某些聲音信號的頻率、通過修改字體特性構成信息等等將指紋信息加入到所有物中。指紋信息本身應該被加密，這樣，將受到破壞的指紋解釋為有效的將變得異常困難。對於同一所有物的不同拷貝加入不同位置的指紋；「虛假」指紋信息；以及特定所有物或其他信息內容中的、使用了諸如信息分布模式、頻率和/或亮度操縱、以及涉及加密的技術的不同指紋技術的指紋信息多個拷貝，是本發明的特性，這些特性用於提高未授權的個人識別指紋位置以及擦除和/或修改指紋信息的難度。!提供可以攜帶請求、數據和/或方法一包括預算、授權、信用或貨幣、以及信息內容-的智能對象代理。例如，智能對象可以移至和/或移自遠程信息資源地點並執行對電子信息內容的請求。智能對象可以(舉例來說)被提交給一個遠程地點以代表某個用戶執行ー個特定資料庫搜索，或「智能地」捜索一個或多個信息存放庫以查找用戶所需的信息。當智能對象通過(舉例來說)執行ー個或多個資料庫搜索在一個或多個遠程地點識別出所需的信息後，帶有檢索出的信息的智能對象可以通過向用戶的通信以安全「返回對象」的形式返回給用戶。可以為信息的遠程檢索、信息向用戶VDE裝置的返回、以及/或者對上述信息的使用向用戶收取費用。在後一種情況下，可以只對用戶實際使用的返回對象中的信息向用戶收費。智能對象可以具有請求使用一個或多個服務和/或資源的裝置。服務包括定位諸如信息資源、語言或格式翻譯、處理、信用(或額外信用)授權等之類的其他服務和/或資源。資源包括參考資料資料庫、網絡、超級或專用計算資源(智能對象可以攜帶信息到達另一臺計算機，使該信息受到高效地處理，然後將信息返回給發送方VDE裝置)、遠程對象存放庫、等等。智能對象可以有效地使用遠程資源(例如集中式資料庫、超級計算機等等)，同時提供用於根據實際使用的信息和/或資源向用戶收費的安全裝置。!支持將VDE電子協定元素「翻譯」成用現代語言書面表達的協定元素(例如英語協定)，以及將電子權利保護/交易管理現代語言協定元素翻譯成電子VDE協定元素。該特性要求維護ー個對應於VDE加載模塊和/或方法和/或部件組的正文語言庫。當ー個VDE方法被提議出來和/或被用於VDE協定的時候，ー個VDE用戶應用將產生正文條款和條件的ー個列表，在較佳實施例中，所述VDE用戶應用提供已經經過保存並對應於所述方法和/或部件組的短語、句子和/或段落。該特性最好使用人工智慧技術以分析並自動確定和/或幫助ー個或多個用戶確定對應於被選擇的方法和/或部件組的庫元素之間的正確順序和關係，以便組成法律的或說明性文件的某些或所有部分。一個或多個用戶，以及/或者最好是某個律師(如果上述文件是ー個法律的約束協定)將在上述過程產生的文件材料一旦生成完畢後審閱該文件材料，並使用和/或編輯描述該協定中的非電子交易元素所必要的上述附加的正文信息，同時進行其他可能必要的改進。這些特性進ー步支持使用允許ー個或多個用戶從多個選項中作出選擇和回答問題、並從該進程中生成ー個VDE電子協定的現代語言工具。該進程可以是交互式的，並且VDE協定組成進程可以使用人工智慧專家系統技木-所述的人工智慧專家系統技術從應答中學習，並在合適的時候或至少部分地根據所述應答，產生進一歩的選項和/或問題。於是，上述技木「逐漸形成」所需的VDE電子協定。!支持在單個VDE裝置中使用多個VDE安全子系統。通過在單個VDE裝置中採用 分布式VDE設計可以實現安全性和/或性能上的多種優點。例如，將ー個基於硬體的VDE安全子系統設計到電子設備VDE顯示設備中，以及設計所述子系統與所述顯示設備的集成以便該子系統儘可能地接近該顯示設備，將提高圖像資料的安全性，因為基於上述設計，當被解密的圖像信息從圖像系統外部移到內部吋，要「竊取」該信息將變得實際更加困難。最好，(舉例來說)VDE安全硬體模塊與實際顯示器處於同一物理包裝中，例如位於視頻監視器或其他顯示設備的包裝中，同時，可以在商業可行的限度內將該設備設計為具有合理的防破壞性。作為另ー個例子，從整個系統吞吐量的角度來看，將ー個VDE硬體模塊嵌入到一個I/O外圍設備中可具有某些優點。如果在同一 VDE裝置中使用多個VDE實例，這些實例將在可行的限度內理想地共享資源，例如VDE實例將某些控制信息和信息內容和/或設備使用信息存放在同一大容量存貯設備中以及同一 VDE管理資料庫中。!通過利用預算的耗盡和密鑰的時間衰老而要求匯報和付款按規定進行。例如，ー個VDE商業配置以及相關的信息內容控制信息可以涉及信息內容提供者的信息內容以及對用來支付最終用戶對所述信息內容的使用費的票據交換所信用的使用。涉及該配置的控制信息可以被傳遞到(所述信息內容的)用戶的VDE裝置和/或所述財務票據交換所的VDE裝置。所述控制信息可能要求所述票據交換所準備好並傳遞給所述信息內容提供者某種形式的基於信息內容使用的信息以及以電子信用(提供者收到該信用之後可以「擁有」該信用，並使用該信用以代替可用的或足夠的電子貨幣)和/或電子貨幣的形式的信息內 容使用費用。信息和付款的上述傳遞過程可以使用可信的VDE裝置安全子系統，以安全地並且在某些實施例中自動地、以所述控制信息規定的方式提供所述的使用信息和付款信息內容。本發明的特性有助於確保要求票據交換所匯報上述使用信息和付款信息內容的請求必須得到遵守。例如，如果參與VDE電子協定的某個參與者沒有遵守上述信息匯報和/或付款義務，另ー個參與者可以禁止該違法方成功參與涉及該協定的VDE活動。如果所要求的使用信息和付款沒有按照信息內容控制信息的規定被匯報出來，那麼「受到侵害」方可以通過不再安全地從其VDE裝置安全子系統向外傳送信息而不提供繼續ー個或多個關鍵進程所必需的安全信息的ー個或多個部分。例如，一個票據交換所沒有向信息內容提供者匯報信息和/或付款(以及任何安全性故障或其他幹擾性異常)將會使信息內容提供者不向該票據交換所提供密鑰和/或預算更新信息，而這些信息對於授權使用票據交換所的信用以便使用提供者的信息內容來說可以是必要的，而且該票據交換所在票據交換所和最終用戶之間的信息內容使用匯報通信過程中需要將上述信息傳遞給最終用戶。再舉另ー個例子，一個沒有向信息內容提供者提供付款和/或匯報使用信息的分發者可能會發現其用來創建向用戶分發信息內容提供者的信息內容所用的許可記錄的預算，以及/或者限制這些用戶對提供者信息內容的使用的ー個或多個其他方面的安全預算，在一旦用盡後或過期(例如在某一預定日期)後沒有得到信息內容提供者的更新。在這些或其他情況下，受到侵害的団體可能決定不更新已經「過期」的時間衰老密鑰。對時間衰老密鑰的上述使用具有不更新預算或時間衰老的授權的類似作用。!支持本發明的智慧卡實現，例如以包括用作安全信用、銀行業務、和/或貨幣卡的卡片在內的可攜式電子設備的形式。本發明的ー個特徵是將可攜式VDE用作零售或其他機構的交易卡，其中，所述的卡可以與帶有VDE安全子系統的和/或與諸如「可信」財務票據交換所(如VISA、MasterCard)之類的ー個VDE安全和/或安全和兼容子系統之間具有聯機連接的機構終端進行對接。VDE卡和終端(和/或聯機連接)可以安全地交換有關某個交易的信息，同時信用和/或電子貨幣被轉移到銷售商和/或票據交換所，而交易信息則流回該卡。這種卡可以用於所有類型的交易活動。諸如PCMCIA連接器或象個人計算機那樣的某個電子設備之類的對接站可以在家接納消費者的VDE卡。可以採用與永久地安裝在上述電子設備中的VDE裝置相同的方式將上述的站/卡組合用到聯機交易中。該卡可以用作ー個「電子錢包」，並含有票據交換所提供的電子貨幣以及信用。該卡可以用作消費者涉及銷售商、銀行業務、以及聯機財務交易的財務活動的會聚點，包括支持家庭銀行業務活動。消費者可以通過聯機交易接收エ資/或投資回報和/或「真實」的、VDE信息內容容器保護的、有關這些接收的詳細信息。用戶可以向VDE配置中另ー個參與者發送數字貨幣，包括分送該貨幣。VDE卡可以以高度安全的和按照資料庫組織的方式保存交易的詳細信息，這樣，有關財務的信息被聚集在一起，並且可以十分容易地被檢索出來和/或分析。由於VDE的安全性，包括對有效的加密、鑑別、數字籤名、以及安全資料庫結構的應用，保存在VDE卡配置中的記錄可以作為有效的交易記錄為政府和/或公司的簿記要求所接收。在本發明的某些實施例中，VDE卡可以使用對接站和/或電子設備存貯裝置，並且/或者共享處於所述設備的本地的和/或可以通過網絡使用的其他VDE系統的裝置，以便通過(舉例來說)存貯過時的和/或存檔的備份信息來増加VDE卡的信息存貯容量。根據安全地存放在所述VDE 卡中並可提供使用的「真實」信息，可以自動地計算出涉及個人的某些或所有財務活動的稅款。所述信息可以存放在所述卡中、所述對接站中、相關電子設備中、以及/或者被有效連接上的其他設備中、以及/或者遠程地存放-例如存放在一個遠程伺服器站點中。諸如交易歷史之類的卡上的數據可以被備份到個人的個人計算機中或其他電子設備中，而該設備可以帶有其自身的、集成的VDE裝置。在毎次或定期地將卡與站對接以便進行某個財務交易和/或進行諸如用戶/銷售商交易之類的信息通信吋，當前的交易、最近的交易(為冗餘的目的)、或者所有的或其他被選擇出來的卡上數據可以被備份到諸如財務票據交換所中的與VDE兼容的存放庫之類遠程的備份存放庫中。在與另ー個參與者的VDE裝置(例如一個也處於某個財務或通用電子網絡中的VDE裝置)連接的過程中通過將交易信息通知遠程的票據交換所和/或銀行而備份至少當前交易，可以確保進行了足夠的備份，以便在卡失效或丟失的情況下支持VDE卡內部信息的完全重建。!支持具有下列特徵的驗證進程，該驗證過程確保各種VDE裝置之間的、經過授權的互相協作性，以便防止在規範協議方面與其他VDE系統和/或裝置存在不可接受的偏差的VDE配置和/或裝置以可能引入安全性(VDE保護的信息的完整性和/或機密性)、進程控制、和/或軟體兼容性等方面產生問題的方式進行互相協作。驗證過程確認VDE裝置和/或其部件的、以及VDE用戶的身份。驗證數據還可以充當有助於確定涉及VDE站點的退出或其他變化的信息。!通過使用基於事件(觸發)的方法控制機制支持基本交易控制進程的分離。這些事件方法觸發ー個或多個其他VDE方法(這些方法對VDE安全子系統可用)，並用來執行VDE管理的、與交易有關的處理。上述被觸發的方法包括可獨立地(分別地)和安全地處理的部件計帳管理方法、預算管理方法、計量管理方法、以及相關的預算管理進程。作為本發明的上述特性的、以及對計量、審核、計帳、和預算方法的獨立觸發的結果，本發明能夠有效地、並發地支持多種金融貨幣(如美元、馬克、日元)、以及有關信息內容的預算和/或計帳增量，以及非常靈活的信息內容分發模型。!支持對涉及(I)信息內容事件觸發、(2)審核、(3)預算(包括規定沒有使用權或無限的使用權)、(4)計帳、以及(5)用戶身份(VDE裝置、客戶名字、部門、網絡、以及或者用戶等)的控制結構的完全的、模塊化的分離。這些VDE控制結構的獨立性提供了一個靈活的系統，允許兩個或多個上述結構之間存在多重關係，例如能夠使一個財務預算與不同的事件觸髮結構相關聯(這些結構被放在適當的地方以允許根據信息內容的邏輯部分對控制信息內容進行控制)。如果在這些基本VDE功能之間沒有上述分離，那麼下列活動的操作將會變得困難得多即有效地維護對於計量、計帳、預算和用戶標識涉及了同樣的、不同的(包括重疊的)、或完全不同的信息內容部分的、分離的計量、預算、標識、和/或計帳活動，例如，支付與信息內容使用相關聯的費用、開展家庭銀行業務、管理廣告服務等等。上述基本功能的VDE模塊化分離支持對ー個或不同信息內容部分(和/或部分単位)與預算、審核和/或計量控制信息之間的大量的、「任意」的關係的編程。例如，在VDE控制下，對於對某一資料庫的解密，根據用戶選擇的貨幣，可以強制實施每月200美元或300德國馬克的預算限制，並且對於所述被解密資料庫中的每ー個記錄可收費2美元或3德國馬克。可以計量上述使用，同時，可以準備用於用戶輪廓用途的另外的審核，該審核記錄每ー提交的顯示出的標識。另外，還可以進行涉及所述資料庫被解密的字節數目的進ー步的計量，並且相關安全性預算可防止毎年解密的字節數超過所述資料庫字節總數的5%。用戶也可以在VDE控制下(如果經過上級控制信息允許的話)收集反映了不同個人和客戶組織部門對資料庫 欄位的使用的審核信息，並確保不同的訪問權利和限制資料庫使用的不同預算可以被應用到這些客戶個人和群體。允許信息內容提供者和用戶實際地使用用戶標識、計量、預算和計帳控制信息的上述多種集合部分地歸因於使用上述的獨立控制功能。於是，VDE可以支持在創建應用於同一電子所有權的大量控制模型、以及應用於不同的或完全不同的信息內容模型的相同的和/或大量的控制模型的過程(例如家庭銀行業務對於電子購物)中的高度可配置性。方法、其他控制信息、以及VDE對象一起控制對VDE管理的所有權(資料庫、文件、獨立商業產品)的使用的VDE控制信息(如方法)或者(例如在信息內容容器中)與信息內容本身一起發送，並且/或者上述控制信息的ー個或多個部分可以在可獨立傳遞的「管理対象」中發送給分發者和/或其他用戶。可以部分地將所有權的方法的一個子集與各個所有權一起傳遞，同時可以將方法的一個或多個其他子集獨立地傳遞給用戶，或者使之可用(例如可以通過遠程通信手段遠程地得到上述方法的子集)。如果要使用VDE控制的信息內容(例如放在ー個VDE信息內容容器中分發出去的智慧財產權產品)，那麼必須按照要求使必要方法(被說明為所有權和/或設備使用所需要的方法)可用。控制信息內容的方法可以應用於大量的VDE容器対象-例如這些對象的某個類別或其他分類。某些用戶或用戶類別和/或VDE裝置和/或裝置類別也可以要求得到方法以便使用ー個或多個特定的或種類的對象。本發明提供的VDE的ー個特徵是特定的ー個或多個方法可以被規定為必要的，以便某個VDE裝置和/或用戶可以使用某個和/或所有信息內容。例如，「上級」參與者(例如信息內容製作者)可以允許某種類型的信息內容的分發者要求得到某個禁止最終用戶電子地保存被解密的信息內容的方法，VDE交易的信用的提供者可以要採得到一個記錄電子購買次數的審核方法，並且/或者用戶可以要求得到一個總結使用信息(如計帳信息)以便將這些信息以ー種不傳送涉及詳細使用行為的機密的個人信息的方式匯報給票據交換所的方法。
本發明提供的VDE的另ー個特徵是信息內容的製作者、分發者和用戶可以從預定義的方法集合(如果可得到的話)中進行選擇，以便控制容器信息內容的使用和分發功能，並且/或者他們可以有權提供新的、定製的方法以控制至少某些使用功能(對於VDE裝置和/或ー組VDE應用的可信度和互相協作性，可以要求對上述的「新」方法進行驗證)。於是，就如何控制對每個所有權或對象(或所希望的和/或適用的的對象或所有權的ー個或多個部分)的分發和其他使用活動而言，VDE提供了程度極高的可配置性。信息內容控制信息VDE路徑中的每個VDE參與者都可以為VDE容器中的某些或所有信息內容設定方法，只要該控制信息沒有與已經就位的上級控制信息在下列方面衝突，即(I)某些或所有的VDE管理的信息內容，(2)特定的ー個或多個VDE用戶和/或用戶組別， (3)特定的ー個或多個VDE節點和/或節點組別，以及/或者(4)特定的ー個或多個VDE應用和/或配置。例如，信息內容製作者的特定信息內容的VDE控制信息可以優先於其它被提交的VDE參與者控制信息，並且(舉例來說)如果上級控制信息允許的話，信息內容分發者的控制信息本身可以優先於客戶管理員的控制信息，而客戶管理員的控制信息可以優先於最終用戶的控制信息。在一條路徑上的分發參與者設置上述電子信息內容控制信息的能力可以被限制到特定控制信息(如協調諸如定價和/或銷售日期之類的數據的方法)的範圍內，或者這種能力可以僅被限制到參與者提議的一個或多個控制信息與所有權處理鏈中的參與者以前提交的、或在所述參與者的VDE安全子系統中管理的上級控制信息所設置的控制信息相衝突的限度內。VDE控制信息可以部分地或全部地(a)代表由VDE信息內容控制信息路徑參與者直接放置就位的控制信息，和/或(b)含有被上述的參與者代表某個不直接處理電子信息內容(或電子設備)許可記錄信息的參與者放置就位的控制信息(例如由一個參與者代表ー個財務票據交換所或政府機構插入的控制信息)。這些控制信息方法(和/或加載模塊、和/或協調數據、和/或部件組)也可以被採用電子方式自動化的、或半自動化的和由人協助的控制信息(控制集合)協商進程放置就位，所述的協商過程判斷對被提交控制信息的ー個或多個部分的使用是否將被集成進或將替代已存在的控制信息(以及/或者根據與就位控制信息的交互作用在可選的控制信息之間進行選擇)以及這些控制信息如何被使用。控制信息可以由ー個不直接參與對電子信息內容(和/或設備)和/或該信息內容(和/或設備)的控制信息的處理的団體提供。可以使用在上述不直接參與的一個或多個團體的VDE裝置安全子系統與處於一條路徑中的VDE信息內容控制信息參與者的VDE裝置安全子系統之間的、由VDE裝置安全子系統管理的通信(包括(舉例來說)對至少部分地加密的控制信息的傳送者進行鑑別)將上述控制信息以安全的形式提供出來。該控制信息可以涉及(舉例來說)對財務服務提供者提供的信用的訪問權、對由政府機構制定的條例或法律的強制執行、消費者對VDE管理的信息內容的使用信息(反映一個或多個參與者而不是該消費者對信息內容的使用)的要求-該使用信息涉及該消費者收到的使用信息的創建、處理、和/或匯報方式。上述控制信息可以(舉例來說)強制執行諸如涉及電子商業的法律等社會要求。VDE信息內容控制信息可以不同地施加到不同路徑的信息內容和/或控制信息處理參與者。而且，如果經過允許的話，VDE參與者可以增添、改動和/或刪除許可記錄權利。VDE參與者的權利定義可以與涉及信息內容和/或信息內容控制信息(如許可記錄)處理鏈中的特定參與者和/或參與者類別和/或其他參與者類別相關。給定的ー個或多個合格參與者對控制信息的修改可以在他們可作修改的數目和/或程度上受到限制。製作者、分發者、作者、票據交換所、客戶管理員、和最終用戶(要認識到兩個或多個的上述類別可以描述單個用戶)的電子設備中的至少ー個安全子系統為預期的應用提供了 「充分」安全的環境，用來I.解密所有物和控制信息；2.存貯與控制和計量相關的信息；3.管理通信；
4.處理構成電子信息內容和/或設備權利保護的控制信息的核心控制程序以及相關數據，包括強制執行VDE參與者的優選和要求。通常，大多數使用、審核、匯報、付款、以及分發控制方法本身至少部分地被VDE裝置的安全子系統加密和執行。這樣(舉例來說)可以在安全子系統中安全地生成和更新計帳和計量記錄，並安全地使用加密和解密密鑰。由於VDE在VDE配置中的參與者地點(節點)安全子系統之間傳遞信息時還使用了安全(如經過加密的和鑑別的)的通信，因而VDE電子協定的重要組成部分可以得到針對所期望商業目的的(充分可信的)充分安全性的可靠強制執行。針對某個價值鏈的VDE電子協定可以至少部分地由價值鏈參與者ー個或多個子集之間的ー個或多個子協定構成。這些子協定由一個或多個確保了 VDE參與者的權利保護的電子合同「依從」元素(包括相關參數數據的方法)構成。VDE配置的可信度主要取決於參與者地點的安全子系統中是否使用了硬體SPU以及SPU硬體安全性體系結構的有效性、當採用軟體仿真SPU時的軟體安全性技木、以及用於保護信息內容、控制信息、通信、和對VDE節點(VDE裝置)安全子系統的訪問的加密算法和密鑰。在某些節點中可以使用物理設施和用戶身份鑑別安全性過程代替硬體SPU，這種節點的ー個例子是某個已建成的財務票據交換所，在該票據交換所中，所述的過程可以對與用戶節點處使用了硬體SPU的VDE系統之間可信的互相協作性提供充分的安全性。為了支持新的或經過修改的控制信息而在VDE系統的每個節點中進行的對所有權管理文件的更新執行於VDE安全子系統中，並受到由被保護的子系統執行的安全管理文件更新程序的控制。由於所有的安全通信都至少部分地經過了加密，並且安全子系統內部的處理經過了隱藏而不受外界的探測和幹擾，所以本發明確保信息內容控制信息可以被強制執行。於是，每個所有物的製作者和/或分發者和/或客戶管理員和/或安全控制信息的其他提供者(例如某個最終用戶-該最終用戶限制了他或她允許被匯報出去的審核信息的種類，以及/或者某個財務票據交換所-該票據交換所對於支付被分發信息內容的使用費規定了使用其信用的標準)都可以確信他們分發的和接受的控制信息將(在給定VDE安全性實現設計的安全性限度內)被強制執行。該控制信息可以決定(舉例來說)(I)如何提供和/或向誰提供電子信息內容，例如，如何分發ー個電子所有物；(2)如何直接使用-例如解密、顯示、列印、等等-一個或多個對象和/或所有物、或對象或所有物的部分；(3)可以或必須如何處理對於上述信息內容和/或信息內容部分的使用付款；以及(4)應該如何收集、匯報和/或使用有關涉及所有物的至少一部分的使用信息的
審核信息。被提供出來的控制信息的分級特性-包括解決由多個團體提交的信息內容控制信息之間的衝突-通常由下列的方面建立(I)由不同參與者把控制信息放置就位(就位控制信息通常優先於後續提交的控制信息)的次序；(2)VDE信息內容和/或設備控制信息的詳細說明。例如，就位控制信息可以規定哪些來自ー個或多個參與者或參與者類別的後續ー個或多個的控制將優先於由ー個或多個不同參與者和/或參與者類別提交的控制信息，以及/或者 (3)來自多個參與者的控制信息集合之間的協商，該協商確定對於給定的VDE管理的信息內容和/或VDE裝置，什麼樣的控制信息應該構成其最終控制信息。電子協定和權利保護VDE的ー個重要特徵是它可以用來確保對通過使用本發明而實現的電子協定的管理，以及其安全性和權利的保護的充分性。這種協定可以涉及ー個或多個(I)電子信息的製作者、出版者、以及其他分發者，(2)財務服務(如信用)提供者，(3)諸如特定於信息內容的人數統計信息和特定於用戶的描述性信息之類的、由信息內容使用所產生的信息的用戶(非財務服務提供者)。這些用戶可包括市場分析人員、為直銷和銷售導向目的的銷售清單編纂人員、以及政府機構，(4)信息內容的最終用戶，(5)諸如電信公司和硬體廠家(半導體和電子設備和/或其他計算機系統廠家)之類的基礎服務和設備提供者，他們根據對他們的服務和/或設備的使用收取報酬，以及(6)由電子信息描述的某些團體。VDE支持具有商業安全性的「擴展」價值鏈電子協定。VDE可以被配置成支持構成該擴展協定的參與者間的各種底層協定。這些協定可以規定重要的電子商業考慮事項，包括(I)安全性，(2)信息內容使用控制，包括電子分發，(3)隱私(有關(舉例來說)涉及參與者的、由醫療、信用、稅務、人事、和/或其他形式的機密信息描述的信息)，(4)財務進程管理，以及(5)用於電子信息內容、信息內容和/或設備控制信息、電子信息內容和/或設備使用信息和付款和/或信用的處理路徑。VDE協定可以規定價值鏈中兩方或多方的電子商業關係，但是該協定有時可能不直接強迫或直接涉及其他VDE價值鏈參與者。例如，在某個信息內容製作者和某個分發者之間達成的電子協定可以確定分發者對於製作者的某個信息內容(例如放在VDE容器對象中分發出去的某個所有物)的應付價錢以及該分發者可以在一段給定時間內向最終用戶分發的對象的拷貝數目。在第二個協定中，ー個價值鏈最終用戶可能參與到ー個三方協定中，在該協定中，該最終用戶同意某些有關使用該分發產品的要求，例如接受分發者針對信息內容的使用而收取的費用，及同意遵守製作者的版權。在分發者和財務票據交換所之間可以存在第三個協定，如果最終用戶直接與向該最終用戶提供信用的票據交換所之間具有一個單獨的(第四個)協定的話，上述第三個協定允許分發者使用票據交換所的信用以便為產品付款。在信息內容控制信息通過其處理鏈傳遞的時候，第五個演變著的協定可以在所有價值鏈參與者之間發展。該演變著的協定可以確定所有參與者對信息內容使用信息的權利，包括(舉例來說)每個參與者要收到的信息的特性、以及信息內容使用信息和相關過程的處理路徑。本例中的第六個協定可能涉及所有參與者都參與進去以便達成該協定，並且確定諸如安全性技術和可信度(例如，系統的商業完整性可以要求每個VDE裝置安全子系統在電子方面保證它們的VDE節點滿足了特定的可互相協作性要求)之類的某些一般前提。在上面的例子中，上述六個協定將構成了用於商業價值鏈實例的擴展協定中的各個協定。VDE協定支持演變的(「活的」)電子協定配置。通過新提議的信息內容控制信息與已經就位的控制信息之間的、或者由多個參與者提交的同時提議出來的信息內容控制信息之間的、從十分簡單到十分複雜的「協商」，當前的和/或新的參與者可以修改上述協定。 可以一段時間之內按照已有的上級規則異步地和漸進地修改一個給定的模型，而該修改可以被應用到所有的、某些類別的和/或特定的信息內容、以及/或者某些類別的和/或特定的用戶和/或用戶節點。給定的信息內容可能受到不同控制信息在不同處理時間或地點的控制，取決於其控制信息的演變(和/或取決於不同的、適用的VDE裝置控制信息)。控制信息的演變可以在傳遞ー個或多個含有對象的VDE控制信息的過程中發生，即控制信息可以在控制信息處理鏈中的ー個或多個點接受修改-只要這種修改是經過允許的。於是，VDE管理的信息內容可以帶有在信息內容處理鏈中的不同「位置」施加的以及在該信息內容的不同處理鏈的相同位置施加的不同的控制信息。控制信息的上述不同施加也可以來源於規定特定參與者或參與者類別應該受到不同於其他參與者或參與者類別的信息內容控制信息控制的信息內容控制信息。例如，用於給定的信息內容的信息內容控制信息可以被規定為上級信息，於是該控制信息不能被改變，並且該控制信息可由信息內容製作者放置就位，該控制信息可以規定其給定的信息內容的國內分發者允許每個季度製作100，000拷貝-只要這些拷貝是提供給真實的最終用戶，但是只能向本地零售商傳送該信息內容的一份拷貝，並且該控制信息限制該零售商毎月為零售給最終用戶的目的所製作的拷貝數不超過1，000份。另外，(舉例來說)相同的信息內容控制信息可以限制該信息內容的最終用戶製作該信息內容的三份拷貝，每份供他或她使用的三臺計算機中的每臺(ー份對應於ー臺辦公地點用的桌上型計算機、ー份對應於一臺家用的桌上型計算機、ー份對應於一臺可攜式計算機)。由本發明的較佳實施例支持的電子協定可以從十分簡單變化到十分複雜。它們可以支持種類繁多的信息管理模型，這些信息管理模型提供電子信息安全性、使用管理、以及通信，並支持(a)諸如商業著作權之類的信息的安全電子分發，(b)安全的電子信息使用監控和匯報，(C)涉及電子信息和/或設備使用以及其他電子信用和/或貨幣使用和管理功能的安全財務交易功能，(d)對於用戶不希望公開的使用信息的隱私保護，以及(e) 「活的」電子信息信息內容傳播模型，這些模型靈活地支持(I)廣泛的參與者；(2)用於信息內容、信息內容和/或設備的控制信息的處理、與信息內容和/或設備的使用相關的信息的匯報、以及付款的一條或多條路徑(鏈)，(3)對加入到信息內容控制信息中的條款和條件的演變的支持，包括對電子協商功能的應用，
(4)支持多個信息內容的組合形成新的信息內容聚集，以及(5)多個並發模型。安全處理部件本發明提供的VDE的ー個重要組成部分是核心安全交易控制配置，此處稱為SPU(或SPUs)，SPU通常必須出現在每個用戶計算機中、其他電子設備中、或網絡中。SPU提供了ー個可信的環境，用於生成解密密鑰、加密和解密信息、管理電子設備之間(即VDE裝置之間和/或在單個VDE裝置中的多個VDE實例之間)對密鑰和其他信息的安全傳送、安全地積累和管理存放在安全的和/或非安全的非易失性存貯器中的審核跟蹤、匯報、和預算信息、維護控制信息管理指令的安全資料庫、以及為執行某些其他控制和管理功能提供安全環境。如果要求為執行某些VDE活動提供高度可信的環境，那麼有必要在VDE節點中使用一個硬體SPU(而不是軟體仿真)。可以通過使用特定控制軟體、諸如半導體或半導體晶片集之類的用於電子設備之中的或用來有效地連接到電子設備的ー個或多個防破壞硬體模塊(包括(舉例來說)一個防破壞的硬體電子設備外圍設備)而創建出上述可信環境。在本發明中，可以通過將硬體SPU的某些或所有硬體元件封裝在防破壞的包裝中，並且/或者通過使用其他防破壞技術(如微熔和/或細線檢測技術)來增強硬體SPU的可信度。部分地通過使用防破壞半導體設計而實現的本發明的可信環境含有諸如微處理器之類的、安全地執行VDE進程的控制邏輯。VDE節點的硬體SPU是VDE安全子系統的核心部件，它可以使用電子設備的某些或所有基本控制邏輯-例如一個微控制器、微計算機或其他CPU系統。該基本控制邏輯還可以用於諸如對電子設備的某些或所有非VDE功能進行控制之類的非VDE目的。當運行於硬體SPU模式時，所述基本控制邏輯必須具有足夠的安全性，以便保護和隱藏重要的VDE進程。例如，一個硬體SPU可以使用運行於保護模式同時執行涉及VDE的活動的宿主電子設備微計算機，於是允許VDE進程的部分能夠以特定的安全程度進行執行。上述的可選實施例與較佳實施例實施例相反，在較佳實施例中，可信環境是通過使用並非為所述基本控制邏輯的部分的一個或多個防破壞半導體的組合而被創建的。在這兩個實施例中，某些控制信息(軟體和參數數據)必須被安全地維護在SPU中，而其他控制信息則可以(例如以加密的和經過標記的形式)安全地存放在在外部，並且在需要的時候被裝載進所述硬體SPU中。在許多情況下，特別是對於微計算機來說，針對執行所述VDE進程使用專用安全硬體而不是使用所述基本控制邏輯的較佳實施例方式可能是更為安全的和有效的。可信SPU硬體過程所需的安全性和防破壞級別取決於特殊市場或市場環境的商業要求，並且可以相差懸殊。附圖的簡要說明通過參看下面結合附圖對目前優選的示例性實施例的詳述，可以更好地和更完全地理解本發明提供的上述或其他特性和優點，在這些附圖中圖I示意了按照本發明的較佳示例/實施例提供的「虛擬分發環境」的示例；圖IA是對圖I所示的「信息服務中心」示例的更為詳細的示意；圖2示意了處理和控制鏈的一個示例；圖2A示意了規則和控制信息如何在從圖2的處理和控制鏈中的一個參與者到另一個參與者的過程中保持不變的一個例子； 圖3示意了可以提供的不同控制信息的示例；圖4示意了規則和/或控制信息的某些不同類型的示例；圖5A和5B示意了 「對象」的一個示例；圖6示意了安全處理部件(「SPU」 )的一個示例；圖7示意了電子設備的ー個示例；圖8是圖7所示電子設備示例的ー個更為詳細的框圖；圖9是圖6和圖8所示安全處理部件(SPU)示例的詳細示意圖；

圖10示意了虛擬分發環境提供的「權利作業系統」(「R0S」)體系結構的ー個示例；圖11A-11C示意了應用和權利作業系統之間的功能關係的示例；圖11D-11J示意了 「部件」和「部件組」的示例；圖12是圖10所示的權利作業系統示例的更為詳細的圖解；圖12A例示了如何創建「對象」；圖13是用於圖12所示的「受保護處理環境」的軟體體系結構示例的詳細框圖；圖14A-14C是由圖13所示的受保護處理環境提供的SPU存貯器圖的示例；圖15例示了圖13的通道服務管理器和加載模塊執行管理器如何支持一個通道的；圖15A示意了圖15所示的通道頭和通道詳細記錄的示例；圖15B是圖13中的受保護處理環境為創建一個通道可能執行的程序控制步驟的ー個流程圖；圖16是ー個安全資料庫結構示例的框圖；圖17示意了邏輯對象結構的示例；圖18示意了靜止對象結構的示例；圖19示意了移動對象結構的示例；圖20示意了信息內容對象結構的示例；圖21示意了管理對象結構的示例；圖22示意了方法核心結構的示例；圖23示意了加載模塊結構的示例；圖24示意了用戶數據元素(UDE)和/或方法數據元素(MDE)結構的示例；圖25A-25C示意了 「映射計量器」的示例；
圖26示意了許可記錄(PERC)結構的示例；圖26A和26B —起示意了許可記錄結構的更為詳細的示例；圖27示意了發送表結構的示例；圖28示意了接收表結構的示例；圖29示意了管理事件日誌結構的示例；圖30示意了圖16安全資料庫中所示的對 象註冊表、主題表、和用戶權利表之間的相互關係以及對這些表的使用的示例；圖31示意了圖16所示對象註冊■表的更為詳細的示例；圖32示意了圖16所示主題表的更為詳細的示例；圖33示意了圖16所示用戶權利表的更為詳細的示例；圖34示意了描述站點記錄表和組記錄表如何跟蹤圖16所示安全資料庫的部分的ー個特定示例；圖34A示意了圖34站點記錄表結構的示例；圖34B示意了圖34組記錄表結構的示例；圖35示意了用於更新安全資料庫的進程的示例；圖36示意了描述新元素如何被插入到圖16安全資料庫中的一個示例；圖37示意了描述如何訪問安全資料庫的元素的一個示例；圖38示意了描述如何保護安全資料庫元素的一個流程圖示例；圖39示意了描述如何備份安全資料庫的一個流程圖示例；圖40示意了描述從備份中恢復安全資料庫的一個流程圖示例；圖41A-41D示意了描述如何利用「交互方法」啟動「處理和控制鏈」的一套示例；圖42A-42D示意了 「交互」預算方法的示例；圖43A-43D示意了 「交互」註冊方法的示例；圖44A-43C示意了 「交互」審核方法的示例；圖45-48示意了一起使用以便對信息內容或其他信息的發布進行控制的若干方法的示例；圖49,49A_49F示意了 OPEN方法的示例；圖50，50A-50F示意了 READ方法的示例；圖51，51A_51F示意了 WRITE方法的示例；圖52示意了 CLOSE方法的示例；圖53A-53B示意了 EVENT方法的示例；圖53C示意了 BILLING方法的示例；圖54示意了 ACCESS方法的示例；圖55A-55B 示意了 DECRYPT 和 ENCRYPT 方法的示例；圖56示意了 CONTENT方法的示例；圖57A和57B示意了 EXTRACT和EMBED方法的示例；圖58A示意了 OBSCURE方法的示例；圖58B，58C 示意了 FINGERPRINT 方法的示例；圖59示意了 DESTROY方法的示例；圖60示意了 PANIC方法的示例；
圖61示意了 METER方法的示例；圖62示意了密鑰「卷積」進程的示例；圖63示意了描述如何利用密鑰卷積進程生成不同密鑰以確定ー個「真實」密鑰的一個示例；圖64和65示意了描述如何初始化受保護處理環境密鑰的ー個示例；圖66和67示意了用來解密分別包含在靜止對象和移動對象中的信息的示例過程;圖68示意了描述如何初始化受保護處理環境的一個例子；圖69示意了描述如何將固件下載到受保護處理環境中的一個例子； 圖70示意了由網絡或其他通信手段連接在一起的多個VDE電子設備的示例；圖71示意了可攜式VDE電子設備的示例；圖72A-72D示意了可以由用戶通告和異常界面產生的「彈出式」顯示的示例；圖73示意了 「智能対象」的示例；圖74示意了使用「智能対象」的進程的示例；圖75A-7 示意了用於電子協商的數據結構的示例；圖75E-75F示意了涉及電子協定的結構的示例；圖76A-76B示意了電子協商進程的示例；圖77示意了處理和控制鏈的另ー個示例；圖78示意了 VDE 「存放庫」的示例；圖79-83示意了ー個說明處理和控制鏈演變及變換VDE管理的信息內容和控制信息的例子；圖84示意了涉及若干類別的VDE參與者的處理和控制鏈的另ー個示例；圖85示意了某個組織內部的分發和處理鏈的另ー個示例；
圖86和86A示意了處理和控制鏈的另ー個示例；以及圖87示意了虛擬矽容器模型的示例。發明詳述圖1-7和下面的論述對本發明所具特性的幾個方面給出了一個概述，在概述之後對根據本發明的實施例進行了更為技術化的詳細說明。概述圖I示意了根據本發明可以提供的ー個「虛擬分發環境」(「VDE」)100。圖I中，信息服務中心200與諸如電話線或有線電視電纜之類的通信設施202相連。電話線或有線電視電纜202可以是「電子信息高速公路」的一部分，它將電子信息在各地間傳輸。傳輸線202將信息服務中心200與其它地方的人員相連，舉例來說，這些人員可以是消費者208、辦公室210、影視製作室204以及出版社214。上述與信息服務中心200相連的每類人員可被稱作ー個「VDE參與者」，這是因為他們可以參與虛擬分發環境100中所發生的交易。虛擬分發環境100可以支持幾乎任何你能想到的交易類型。下面給出了虛擬分發環境100可以支持的許多交易類型中的幾種 家庭銀行事務和電子付款； 電子化法律合同；
信息內容分發，這些信息內容可以是電子出版物、影視、聲音、圖象或電腦程式; 私人信息(如病歷和金融信息)的安全通信。虛擬分發環境100之所以是「虛擬的」，是因為它不需要許多以前所必須的「實物」來保護權利、確保可靠和可預測的分發、以及確保對信息內容創建者和分發者的適當報酬。例如，以前，信息以磁帶或磁碟為介質分發，而這類介質難以複製。以前，私人或秘密的信息內容是放在封ロ的信封或上鎖的公文包中由信使傳送從而完成分發。為了保證適當的報酬，用戶只有付給賣主現金後才能得到商品和服務。儘管信息服務中心200可以通過傳送諸如電子存貯介質之類的「實物」來進行信息的交付，虛擬分發環境100則實現了方便的、完全電子化的「處理和控制鏈」虛擬分發環境的靈活性支持交易活動信息服務中心200可靈活地支持多種不同的信息交易。不同的VDE參與者可以定 義和(或)參與ー項交易的不同部分。信息服務中心200可以協助發布交易信息，此外它本身即可以是交易參與者之一。例如，圖I右上角的影視製作室204可以創作影視節目。影視製作室204可以通過傳輸線202發送這些節目，或者使用其它發送途徑，例如衛星鏈路205和CD ROM傳送服務216。影視製作室204可以將節目直接發送給消費者206、208、210，或者可以將節目發送到信息服務中心200，信息服務中心200可以先把節目保存起來，以後再發送給消費者。每個消費者206、208、210都能夠接收和使用由影視製作室204創作的節目，前提是影視製作室204或信息服務中心200已經為這些消費者安排了具有給予消費者這些節目的使用權的適當的「規則和控制」(控制信息)。即使消費者得到影視節目的拷貝，如果她沒有得到用以授權使用節目的「規則和控制」，她也無法觀看或複製這些節目。用戶只有經「規則和控制」允許才能使用這些節目。例如，影視製作室204可能放送半小時體操錄像節目，並希望儘可能多的觀眾將收看該節目。影視製作室204希望每次收看收費2. 00美元。影視製作室204可以通過信息服務中心200使體操錄像節目以「保護」形式提供給所有消費者206、208、210。影視製作室204也可以提供該錄像的「規則和控制」。比方說，這些「規則和控制」可以限定(I)任何消費者,只要具有良好信用，也即在獨立金融提供者212 (如Mastercard或VISA)提供的信用帳戶上存有至少2. 00美元，可以收看該錄像。(2)虛擬分發環境100可以在消費者每次收看錄像時進行「計量」，並經常地將使用情況報告給影視製作室204。(3)金融提供者212可以從收看錄像的每位消費者的信用卡帳戶上以電子方式收取付款(2. 00美元)，並將這些付款傳送給影視製作室204。信息服務中心200甚至允許ー個小的影視製作室向用戶銷售影視節目，並收取其勞動報酬。而且只要向影視製作室支付適當報酬，其它影視出版商可以使用該影視節目用來增值，或充當二次包裝商或二次銷售商。圖I還示意了出版社214。出版社214可以充當作者206的分發商。出版社214可以向諸如辦公室210之類的消費者分發使用「信息內容」(如計算機軟體、電子報紙、出版社214製作的錄像節目、聲音或任何其它形式的數據)的權利。可以用出版社216分發的「規則和控制」定義這些使用權利。出版社216可以將這些「規則和控制」與信息內容一同分發，但這不是必須的。由於信息內容只能由那些得到適當「規則和控制」的用戶使用，信息內容和其相關「規則和控制」可能在不同時間、以不同方式、由不同的VDE參與者分發。VDE能夠與「規則和控制」所適用的信息內容分開安全地分發和實施「規則和控制」，其優點是顯著的。由出版商14分發的使用權利可以允許辦公室210製作井向其僱員分發該信息內容的拷貝。辦公室210可以通過將「處理和控制鏈」延長至其僱員而充當二次銷售商。辦公室210可以增加或修改「規則和控制」(要和從出版社214收到的「規則和控制」相容)從而產生辦公室內部的控制信息和機制。例如，辦公室210可以為辦公室中的每個用戶和(或)小組設定ー個最大使用預算，或者只允許指定的僱員和(或)小組訪問特定的信息。圖I中給出了信息傳送服務216，信息傳送服務216將諸如「⑶ROM」光碟之類的電子存貯介質傳送給消費者206。雖然電子存貯介質本身未經信息服務中心200通過傳輸線202傳送，它們仍然是虛擬分發環境100的一部分。電子存貯介質可以用來分發信息內 客、「規則和控制」或其它信息。信息服務中心200內部組成舉例圖I中的信息服務中心200可以是許多參與者的集合，這些參與者可以是分發商、金融票據交換所或管理員。圖IA示意了信息服務中心200內部組成的例子。每ー個信息服務中心參與者200a-200g均可以是ー個獨立的組織/企業。可以有任意數量的參與者200a-200go在本例中，電子「開關」200a將信息服務中心200內部各部分相互連接,並將內部各部分與外部參與者相連，或者也可以將各外部參與者相互連接。信息服務中心200可以包含「交易處理器」200b，它根據來自參與者和(或)報告接收者200e的請求處理交易(如轉移電子基金)。信息服務中心200還可以包含「使用情況分析員」 200c，他對匯報上來的使用情況信息作出分析。「報告生成者」 200d可以根據使用情況生成報告，並且可以將這些報告提供給外部參與者和(或)信息服務中心200內部的參與者。「報告接收者」200e可以從信息內容用戶那裡接收諸如使用情況之類的報告。「許可代理」200f可以根據用戶的信用概況分放批准使用權和分發許可權的「規則和控制」。管理員200h可以發出信息以便使虛擬分發環境100正常工作。信息內容和消息存貯設備200g可以存放信息，以供信息服務中心200內部或外部的參與者使用。使用處理和控制鏈分發信息內容的例子如上所述，虛擬分發環境100可以用來管理幾乎任何類型的交易。可以用虛擬分發環境100管理的ー種重要的交易類型是分發或傳送「信息內容」或其它重要信息。圖2更加抽象地示意了ー個「模型」，該模型說明了如何利用圖I的虛擬分發環境100為信息內容的分發提供「處理和控制鏈」。圖2中的每個框對應於圖I所示的ー個或多個VDE參與者。在圖2中的例子中，VDE信息內容製作者102製作了 「信息內容」。信息內容製作者102還可以為分發該信息內容規定「規則和控制」。這些與分發有關的「規則和控制」可以規定誰有權分發信息內容的使用權，以及可以允許多少用戶使用該信息內容。箭頭104表示信息內容製作者102通過電子高速公路108 (或其它途徑，如由美國郵件之類的投遞服務傳送的光碟)向VDE權利分發者106 ( 「分發者」)發送與信息內容相關的「規則和控制」。信息內容的分發途徑可以與發送「規則和控制」所使用的相同或不同。分發者106生成其自己的、與信息內容的使用相關的「規則和控制」。與使用相關的「規則和控制」可以限定用戶對信息內容能做什麼，不能做什麼，以及使用信息內容要花費多少。這些與使用相關的「規則和控制」必須與信息內容製作者102所規定的「規則和控制」相一致。箭頭110表示分發者106通過向諸如消費者等信息內容用戶112發送信息內容的「規則和控制」來分發信息內容的使用權。信息內容用戶112遵照與使用相關的「規則和控制」使用信息內容。在圖2的例子中，如箭頭114所示，與信息內容使用相關的信息被匯報給了金融票據交換所116。根據此匯報，金融票據交換所116可以生成帳單，並通過「報告和付款」網絡118將帳單發送給信息內容用戶112。箭頭120表示信息內容用戶112向金融票 據交換所116交納信息內容的使用費用。金融票據交換所116可以根據收到的報告和付款，向分發者106提交報告和(或)付款。如箭頭122所示，分發者106可以向信息內容製作者102提交報告和(或)付款。金融票據交換所116可以直接向製作者102提交報告和付款。匯報和付款可以不同地進行。例如，金融票據交換所116可以直接地或通過代理向每個VDE信息內容製作者102以及權利分發者106提交報告和(或)付款，井向信息內容用戶112提交 艮告。分發者106以及信息內容製作者102可以是同一個人，也可以是不同的人。例如，某個音樂表演小組可以通過製作和分發其本身的音樂錄製品從而既充當信息內容製作者102也充當分發者106。另一個例子中，出版社可以作為分發者106而分發由作者型信息內容製作者102製作的作品的使用權。信息內容製作者102可以利用分發者106有效地管理信息內容分發的財務結果。圖2所示的金融票據交換所116也可以是「VDE管理員」。作為管理員的金融票據交換所116向VDE參與者發送「管理」信息。這些管理信息有助於維持虛擬分發環境100正常工作。「VDE管理員」和金融票據交換所的角色可以由不同的人員和公司來擔任，並且擔任該角色的人員和公司可以多於ー個。有關「規則和控制」的更多內容虛擬分發環境100禁止使用被保護信息，除非使用該信息是「規則和控制」(控制信息)所允許的。例如，圖2所示的「規則和控制」可以給予特定的個人或信息內容用戶組112對某個信息內容的使用權。這些「規則和控制」可以規定在信息內容的使用類型中哪些是允許的，哪些是禁止的，還可以規定如何交納信息內容的使用費以及交納多少。在另ー個的例子裡，「規則和控制」可以要求將信息內容使用信息的報告返回給分發者106和(或)信息內容製作者102。「處理和控制鏈」中的每ー個VDE參與者一般均要服從「規則和控制」。「規則和控制」定義了每個不同VDE參與者各自的權利和義務。「規則和控制」提供了在參與者之間建立相互依賴性和相關性的信息和機制。「規則和控制」具有靈活性，允許虛擬分發環境100支持絕大多數「傳統」的商業交易，例如規則和控制」可以規定哪個(哪些)金融票據交換所116可以處理付款，規則和控制」可以規定哪個(或那些)參與者可以接收何種使用報告，以及今「規則和控制」可以規定向一定的參與者公開一定的信息，而其它信息對他們保密。
「規則和控制」可以限制其自身是否可以被修改，如何修改。通常，由ー個VDE參與者規定的「規則和控制」不能被另ー個VDE參與者修改。例如，某個信息內容用戶112通常不能修改由分發者106規定的、要求用戶按某種價格支付信息內容使用費的「規則和控制」。「規則和控制」可以在通過「處理和控制鏈」時「保持不變」，而在從ー個VDE參與者傳遞給下一個的過程中被「繼承」下來。根據需要，VDE參與者可以規定他們的「規則和控制」在其本身或其它「規則和控制」所指定的條件下可以被修改。例如，由信息內容製作者102規定的「規則和控制」可以允許參與者106 「抬高」使用價格，正如零售店「抬高」批發商品的價格一祥。圖2A示意了ー個例子，其中某些「規則和控制」在從信息內容製作者102傳遞到信息內容用戶112的過程中保持不變；其它「規則和控制」被分發者106修改和刪除；而另外一些「規則和控制」則被該分發者添加進來。「規則和控制」可以對報告給其它VDE參與者的信息進行限制，從而保護信息內容用戶的隱私權。例如，「規則和控制」可以規定以匿名方式報告信息內容的使用信息而不暴 露信息內容用戶的身份，或者根據要求，在允許的前提下只將某些信息暴露給某些參與者(例如從使用情況中得到的信息)。這種功能安全地控制了哪些信息可被暴露以及可向哪些VDE參與者暴露，從而保護了所有VDE參與者的隱私權。規則和信息內容可以被分開傳遞如上所述，虛擬分發環境100將信息內容和相應「規則和控制」聯繫在一起，並禁止在沒有ー組相應「規則和控制」的前提下使用或訪問信息內容。分發者106無需為控制信息內容的分發而傳遞信息內容。較佳實施例通過保護授以使用權的相應「規則和控制」使之避免被未經授權地分發和使用，從而可以安全地保護信息內容。在某些例子中，「規則和控制」可以與它們所適用的信息內容一起傳送。虛擬分發環境100也可以允許「規則和控制」與信息內容分開傳送。由於任何人在未得到相應「規則和控制」的允許時都無法使用或訪問被保護的信息內容，因而分發者106可以控制對已經(或將要)傳送出去的信息內容的使用。「規則和控制」的傳送途徑和時間可以與信息內容的不同。信息內容製作者102可以通過電子高速公路108將信息內容傳送給信息內容用戶112，或者通過該「高速公路」將信息內容傳送給所有人。信息內容可以在發出後即可用，也可以存貯起來留待以後使用或再使用。虛擬分發環境100還允許分開傳遞付款和報告。例如，信息內容用戶112可以具有ー個虛擬「信用卡」，該卡可擴大信用(最大到一特定極限)用以支付任何信息內容的使用費。「信用交易」可以發生在用戶所在地點，而無需任何「在線」連接或進ー步授權。本發明有助於安全地保護虛擬「信用卡」，使之避免被未授權地使用。規則和信息內容的定義過程圖3示意的例子描述了基於「規則和控制」的一個全過程。它包含「事件」過程402，計量過程404、記帳過程406和預算過程408。並非所有圖3所示的過程都要被每套「規則和控制」所採用。「事件過程」 402檢測發生的事情(「事件」)，並決定哪些事件需要其它「過程」作出反應。事件可以包括使用信息內容的請求，也可以產生ー個使用許可。某些事件可能需要額外處理，而其它的則不必。事件是否需要額外處理取決於相應於信息內容的「規則和控制」。例如，沒有許可的用戶其請求將得不到滿足(「禁止通行」)。另ー個例子中，每個「翻看電子書籍新ー頁」的用戶請求均可得到滿足(「通行」)，但可能無需對這些請求進行計量、記帳或預算。購買了小說的拷貝的用戶可得到許可只要他願意便可以任意多次地以打開和閱讀該小說而不必進行額外計量、記帳或預算。在這個簡單例子中，「事件過程」402可以在用戶第一次要求打開被保護小說時(於是可以要求用戶支付購買費用)對計量、記帳和(或)預算過程發出請求，而將後續的打開同一小說的請求視為「無意義事件」。對於其它信息內容(如檢索電子電話簿)則可以要求用戶在每次訪問時都要交納費用。「計量」過程404對事件進行記錄，並可將使用情況報告給分發者106和(或)其他適當的VDE參與者。圖4示意的是過程404可以建立在大量不同因素的基礎上，這些因素的例子包括(a)需收費的使用類型(b)收費所基於的計量單位 (C)每個單位需收取的費用(d)何時產生報告(e)如何付款這些因素可以由控制計量過程的「規則和控制」進行規定。記帳過程406決定對事件收取多少費用。它記錄並報告付款信息。預算過程408對信息內容的允許使用量進行限制。例如，預算過程408可以根據信用卡帳戶上的可用金額來限制信息內容被訪問或複製的次數，或者限制信息內容可被使用的頁數或其它量度。預算過程408記錄並報告有關上述限制的財經和其它交易信息一旦這些過程成功地執行完畢後，便可將信息內容交付給用戶了。容器和目標圖5A示意的是在ー個較佳實施例中，虛擬分發環境100如何將信息元素(信息內容)包裝到「容器」 302中，從而保證在沒有其「規則和控制」的提供下無法訪問這些信息。通常，容器302是電子的而不是物理的。在一個例子中，電子容器302包含了「數字」信息，該「數字」信息含有嚴格定義的數據結構。容器302及其信息內容可被稱作「對象300」。圖5A中的例子示意了容器302內含和封裝的項。然而，容器302也可以包含沒有實際存貯在該容器內的項。例如，容器302可以引用保存在任何地方(如在遠程的其它容器中)的可用的項。容器302可引用在不同時間上或只在有限的時間中可利用的項。某些內容可能太大以至無法保存在容器302中。可以在特定時間以錄像的「實況傳送」方式將項傳遞給用戶。即使在這種情況下，本例中容器302即(通過引用方式)「包含」了這種「實況傳送」。容器302可以包含電子(如數字)形式的信息內容304。信息內容304可以是小說正文、圖片、音樂表演或朗讀之類的聲音、電影或其它錄像、計算機軟體，或你能夠想到的任何電子信息。其它類型的「對象」300 (如「管理対象」)可以包含「管理」或其它類型信息，作為信息內容304的替代或補充。在圖5A的例子中，容器302也可以包含下列形式的「規則和控制」(a) 「許可記錄」808(b) 「預算 」308
(c) 「其它方法」 1000圖5B給出了有關許可記錄808、預算308和其它方法1000的一些補充細節。「許可記錄」808規定了與對象300有關的權利，如誰可以打開容器302，誰可以使用對象的內容，誰可以分發對象，以及應該使其它哪些控制機制生效。舉例來說，許可記錄808可以規定用戶使用、分發和(或)管理容器302及其內容的權利。許可記錄808還可以規定由預算308和「其它方法」1000所申請的要求。許可記錄808還可以含有有關安全的信息，如カロ密和解密密鑰。圖5B所示的「預算」 308是ー種特殊類型的「方法」 1000，它可以規定的內容包括信息內容304的使用限制，以及使用費用的付款方式。預算308可以規定整個信息內容304可被使用和(或)複製的量有多少。方法310可以禁止使用超過ー個特定預算所規定的量。「其它方法」 1000定義了 「規則和控制」所採用的基本操作。該「方法」 1000可以 包含如何計量使用情況，信息內容304和其它信息是否或如何被加密和解密，以及其它與管理和控制信息內容304有關的過程。例如，方法1000可以記錄任何打開了電子容器302的人的身份，並可根據「計量」來控制如何收取信息內容的使用費用。方法1000可以適用於ー個或多個不同的信息內容304及其相關容器302，也可適用於信息內容304的所有或指定部分。安全處理單元(SPU)每個「VDE參與者」可以帶有一個「電子設備」，該設備可以是或者包含一臺計算機。該設備可以通過電子高速公路108進行通訊。圖6示意了本例中每個VDE參與者所使用「電子設備」中的安全處理單元(「SPU」)500部分。SPU 500在安全處理環境503中處理信息，並安全地保存重要信息。SPU 500可以由運行於宿主電子設備中的軟體進行仿真。SPU 500封裝幹「防破壞安全屏障」502中，並受其保護。安全屏障502將安全環境503與外界分隔開來。它防止安全環境503中的信息和過程在非安全條件下被觀察、幹擾和離開。屏障502還控制外部對SPU 500內部安全資源、過程和信息的訪問。在ー個例子中，防破壞安全屏障502的組成包括諸如「加密」之類的安全特性和用來檢測破壞，以及(或者)在檢測到破壞時銷毀安全環境503中敏感信息的硬體設施。本例中的SPU 500是ー個集成電路(「1C」)晶片504，它包括「硬體」 506和「固件」 508。SPU 500通過「設備鏈」510與其餘電子設備相連。本例中的SPU 「固件」 508是「軟體」，例如「嵌入」到晶片504中的「電腦程式」。固件508使硬體506能夠工作。硬體506最好含有一個處理器以執行由固件508指定的指令。「硬體」 506還包含長有效期和短有效期存貯器，以安全地保存信息，使之避免破壞。SPU 500還可以含有ー個受保護的時鐘/日曆用來對事件計時。本例中的SPU硬體506可以包含經過專門設計的專用電子線路用以快速有效的執行特定過程(如「加密」和「解密」)。SPU 500的特定應用環境將決定SPU 500應具備處理能力的多寡。本例中的SPU硬體506所提供的處理功能至少足夠支持圖3所示過程的安全部分。在某些環境中，SPU500的功能可能需要加強，從而可以執行所有的電子設備處理，而且可以集成到通用處理器內部。在另外的環境中，SPU 500可以與ー個通用處理器協同工作，因而只需有足夠的能力來完成安全過程即可。VDE電子設備和權利作業系統
圖7示意了包含SPU 500的電子設備600的ー個例子。電子設備600實際上可以是任何電氣或電子設備，例如 計算機·電視「機頂置」控制盒 尋呼機·電話機 聲音系統 影像再生系統
視頻遊戲機 「智能」信用卡本例中的電子設備600可以含有鍵盤612、聲音識別器613和顯不器614。用戶可以通過鍵盤612和(或)聲音識別器613輸入命令，並在顯示器614上觀看信息。設備600可以通過電子設備中通常使用的任何連接/設備與外界通信。圖下部示意了連接/設備的ー些例子，它們是「數據機」 618或其它電信鏈路；⑶ROM盤620或其它存貯介質或設備；印表機622;廣播接收裝置624;文件掃描器626 ；以及將設備與網絡相連的「電纜」628。虛擬分發環境100提供了「權利作業系統」602，「權利作業系統」602通過控制設備600和SPU 500兩者的硬體資源，對兩者進行管理。作業系統620也可支持至少ー個「應用」 608。「應用」 608通常是ー個專用於設備600所在環境的硬體和(或)軟體。例如，如果設備600是一臺個人計算機，那麼「應用」608可以是用戶裝載的ー個程序，如ー個字處理器、ー個通信系統或ー個錄音系統。如果設備600是ー個電視控制器盒,那麼應用608可以是某種硬體或軟體，它允許用戶視頻點播，或進行其它操作，如快進或快倒。在本例中，作業系統602提供了一個標準的、嚴格定義的、通用的界面，以支持多種不同的「應用」608。本例中的作業系統602提供了 「權利和檢查作業系統功能」 604和「其它作業系統功能」 606。「權利和檢查作業系統功能」 604安全地處理與虛擬分發環境100相關的任務。SPU 500提供或支持「權利和檢查作業系統功能」604中的許多安全功能。「其它作業系統功能」606處理一般的設備功能。可以從頭設計整個作業系統602，使之包含「權利和檢查作業系統功能」 604和「其它作業系統功能」 606，或者將「權利和檢查作業系統功能」加入到現有的、提供「其它作業系統功能」的作業系統之上。本例中的「權利作業系統」602可以支持多種不同的設備600。例如，它可以支持大型計算機，「小型計算機」和諸如個人計算機和可攜式計算機之類的微型計算機。它也可以支持置於電視機上方的控制盒、小型便攜尋呼機、桌上型收音機、立體聲系統、電話機、電話交換機或其它任何電子設備。這種既能支持大型設備又能支持小型設備的能力稱為「具有可伸縮性」。ー個「具有可伸縮性」的作業系統602意味著存在一個標準界面，該界面能夠跨越多種不同的設備並完成多種不同的任務。
在本例中，「權利作業系統功能」 604是「基於服務的」。例如，「權利作業系統功能」 604處理由應用608發來的概要請求，而不是要求該應用不斷地發出更詳細的「子請求」，或者使之陷入涉及滿足ー個概要請求所需進行的底層繁瑣處理之中。例如，應用608可以簡單地請求閱讀指定的信息；然後「權利作業系統功能」604可以判斷所需信息是否為受VDE保護的信息內容，如果是的話，執行使該信息可用的過程。這種特性稱為「透明性」。「透明性」使應用608可以更加容易地執行任務。「權利作業系統功能」604支持的應用可以絲毫「不了解」虛擬分發環境100。知道虛擬分發環境100的應用608可以更深入地利用虛擬分發環境100。在本例中，「權利作業系統功能」 604是「事件驅動」的。「權利作業系統功能」 604直接響應設備600中發生的事件，而不是反覆檢查電子設備600的狀態，以確定是否發生了 ー個事件。在本例中，由「權利作業系統功能」 604完成的某些服務可以根據遞送給作業系統602的附加「組件」進行擴展。「權利作業系統功能」604可以收集和使用由不同參與者在不同時間傳送來的「組件」。「組件」有助於使作業系統602 「具有可伸縮性」。某些組件可以根據設備是小型的還是大型的(如多用戶環境)來改變它們在其上的服務工作方式。另外一些組件的設計則可以支持特定應用或某類應用(如某種計量和某種預算)。電子設備600較佳實施例中的電子設備600可以是任意具有如下特徵的電子裝置它含有一個或多個微處理器和(或)微控制器，以及(或者)其它完成邏輯和(或)數學計算的設備。這些設備包括計算機、計算機終端、計算機用設備控制器、數字顯示設備、電視機、視像和聲/像投影系統、廣播和(或)有線傳送用頻道選擇器以及(或者)解碼器、遙控設備、錄像機或錄音機、包括光碟播放器、視盤播放器和磁帶播放器在內的媒體播放器、聲頻和(或)視頻放大器、虛擬實境機、電子遊戲機、多媒體機、收音機、電話、可視電話、傳真機、機器人、包括機器工具等在內的數值控制機器、以及其它具有如下特徵的(包括那些尚未面世的)設備它含有一個或多個微計算機和(或)微控制器以及(或者)其它CPU。圖8不意了電子設備600的一個例子。該電子設備600含有一個系統總線653。在本例中，總線653連接了一個或多個傳統通用中央處理單元(CPU)654。總線653將CPU654與RAM 656，ROM 658和I/O控制器660相連。系統總線653也可以連接ー個或多個SPU500。系統總線653可以允許SPU 500與CPU 654通信，也可以允許CPU和SPU兩者(通過公用地址和數據線)與RAM 656，ROM 658和I/O控制器660通信。電源659可以向SPU500、CPU 654和所示的其它系統組件提供電源。在圖中的例子中，I/O控制器660與ニ級存貯設備652、鍵盤/顯示器612，614、通信控制器666和備份存貯設備668相連。備份存貯設備668可以將信息存貯在如磁帶670、軟盤或可拆卸存儲卡等之類的大容量介質上。通信控制器666可以使得電子設備600通過網絡672或其它電信鏈路與其它電子設備通信。對於不同的電子設備600，即使它們採用了不同的CPU或不同的ROS 602實例，而只要通常使用兼容的通信協議和(或)安全措施，它們便可以相互協作。在本例中，I/O控制器660允許CPU 654和SPU 500讀取和寫入ニ級存貯器652、鍵盤/顯示器612，614、通信控制器666和備份存貯設備668。ニ級存貯器652可以包含ー個或多個相同且不安全的ニ級存貯設備(例如磁碟和光碟驅動器)，以供電子設備600完成一般的ニ級存貯功能之用。在某些實現中，部分或全部ニ級存貯器652可以包含ー個ニ級存貯設備，該設備被物理地封裝在ー個安全包裝中。然而，由於在許多實現中使用物理措施來保障ニ級存貯器652的安全並非現實和廉價，因此先將信息加密後再保存到ニ級存貯器652中，從而使ニ級存貯器652能夠安全地保存信息。如果在存貯前先對信息進行加密，那麼對ニ級存貯器652或其內容的物理存取將不會輕而易舉地洩露或破壞該信息。本例中的ニ級存貯器652保存了 CPU 654和(或)SPU 500所使用的代碼和數據，這些代碼和數據用來控制電子設備600的整體運行。例如，從圖8中可以看到，圖7所示的「權利作業系統」(「R0S」 ) 602 (包括ROS的部分604以及部分606，其中部分604提供VDE功能，而部分606則提供其它OS功能)可以存貯在ニ級存貯器652中。ニ級存貯器652也可以保存ー個或多個VDE對象300。從圖8中還可以看到，圖7所示的安全文件610可以採用「安全資料庫」或管理文件系統610的形式存貯在ニ級存貯器652中。該安全資料庫610可以保存和組織由ROS 602使用的、用來執行VDE功能604的信息。這樣，ニ級存貯器652 便可以保存用來完成VDE或其它功能604、606的可執行代碼，以及與這些功能有關的安全文件610 (還包括VDE對象300)。ニ級存貯器652還可以保存「其它信息」673，例如其它作業系統功能606進行任務管理所使用的信息、非VDE文件等等。在ニ級存貯器652中所指出的部分元素也可以存貯在ROM 658中，只要這些元素沒有修改要求(除了在更換ROM 658的時候)。ROS 602的某些部分尤其以保存在ROM 658中為好(例如，在加電時用來為電子設備600創建操作環境的「引導」程序、POST程序等等)。從圖8可以看到，ニ級存貯器652也可以用來存貯圖7所示的用戶應用608所含代碼(「應用程式」)。如圖8所示，可以有兩種通用類型的應用程式608 :「VDE感知」應用608a，及非VDE感知應用608b。VDE感知應用608a可以在意識到VDE存在的情況下至少對某一部分進行特殊設計，從而能夠訪問和充分利用VDE功能604的詳盡功能。由於ROS 602具有「透明」特性，非VDE感知應用608b (如那些不是專門為VDE 100所設計的應用)也可以訪問和充分利用VDE功能604的功能。安全處理單元500較佳實施例中的每個VDE節點或其它電子設備600都可以含有ー個或多個SPU500。SPU 500可以用來完成VDE 100要求的所有安全處理。例如，SPU 500可用來對VDE保護的目標300進行解密(或解除安全)。它還可以用來管理加密的和(或)安全化的通信(如通過對信息進行驗證和(或)糾錯有效性檢查)。SPU 500還可以完成安全數據管理過程，包括管理VDE對象300的使用、核算以及適時的付款情況(通過使用預付款、信用、銀行帳戶上的實時電子借方記帳以及(或者)VDE節點代用貨幣存款帳戶等方式)進行控制。SPU 500可以執行與VDE對象300有關的其它交易。SPU物理封裝和安全屏障502如圖6所示，在較佳實施例中，SPU 500可以由單個集成電路「晶片」 505實現以提供ー個安全的處理環境，在該環境中可以對機密的和(或)具有商業價值的信息進行安全地處理、加密和(或)解密。IC晶片505可以包含ー個拇指指甲大小的小型半導體「圓片」。該半導體圓片可含有半導體和金屬導線通路。這些通路定義了 SPU 500的電路，從而也就定義了其功能。某些通路電連通著晶片505的外部「管腳」 504。
如圖6和圖9所示，SPU 500可被一個防破壞硬體安全屏障502所包圍。安全屏障502的某些部分由塑料或其它包裝材料構成，SPU圓片被置於其中。由於SPU 500內部進行的處理及其存貯的信息不易被外界訪問，因而這些處理和信息相對比較安全，可避免受到未授權的訪問和幹擾。所有信號都需經過由BIU 530提供的受控安全通道才可通過屏障502，該通道限制了外界對SPU 500內部組件的訪問。受控安全通道可阻擋外界企圖訪問SPU 500內部的安全信息和資源。可以除去IC晶片上的塑料包裝，從而可訪問到「圓片」。也可以對「圓片」本身進行分析和「反向工程」(如，使用各種邏輯分析儀和微探針在電路工作的同時收集和分析圓片上的信號，使用酸洗或其它技術除去半導體層從而暴露其它層，通過電子顯微鏡對圓片進行觀察和拍照，等等)。雖然沒有一種系統或電路能夠絕對避免上述侵害，SPU屏障502可以包含附加的硬體保護措施使侵害的成功變得極其昂貴和費時。例如，可使用離子植入和(或)其它製造技術，使實際分辨SPU圓片導線通路變得異常困難，可以製造SPU內部電路使之在暴露於空氣和(或)光線中的時候能夠「自銷毀」。SPU 500可以在那種掉電後內容即消失的內存中保存機密信息。可以在SPU 500中安置某種電路以檢測微探針探測或者 其它破壞，並在檢測到破壞時自銷毀(或破壞SPU的其它部分)。這些或其它基於硬體的物理安全措施是防破壞硬體安全屏障502重要技術因素。為了進一步提高安全屏障502的安全性，可以將SPU 500納入或包含在一個或多個更進一歩的物理封裝中，這些封裝包括環氧樹脂或其它封裝化合物；更進ー步的模塊封裝，包含具有附加的、檢測到幹擾時即激活的自銷毀、自禁用或其它功能；更進ー步的模塊，該模塊提供附加的安全保護措施，例如在詢問ロ令或其它驗證信息後才工作；以及諸如此類的其它裝置。另外，可以進一歩向底板添加金屬層，以使得酸洗、微探針探測之類的操作更加困難。可以安置將內存清零的電路，以作為自銷毀處理的一部分；塑料包裝本身可經過設計用來抵禦化學以及物理上的侵害；而SPU的內存可帶有專用的尋址和刷新電路，該電路將數位的位置進行重新組合，這將使採用電手段判斷內存單元的值變得相當複雜。這些或其它措施可以對保證屏障502的安全性發揮作用。在某些電子設備600中，可以將SPU 500與設備微控制器或同等物，或者設備I/O或通信微控制器一起集成到同一晶片(或晶片集)505中。例如,在一個較佳實施例中，可以將SPU 500與ー個或多個另外的CPU(如電子設備的CPU 654) 一起集成到單個元件或封裝中。另外的CPU 654可以是任意中央控制邏輯配置，如微處理器、其它微控制器和(或)陣列或其它並行處理器。這種集成配置可以使總體成本較低、總體體積較小，以及SPU 500和CPU 654潛在的交互作用速度加快。假如ー個集成的SPU/CPU元件成為某個已廣泛銷售的微處理器產品線中的標準部件，那麼集成化還可以拓寬銷售範圍。將SPU 500合併到電子設備600的主CPU 654中(或者合併到其它設備，或設備外圍微計算機或其它微控制器中)可以從實質上降低VDE 100的實現開銷。集成化所需考慮的的問題可以包括實現成本、生產成本、所需安全級別、以及密集性值。SPU 500也可以與除CPU之外的其它元件一起集成。例如，對於視頻或多媒體應用，(根據總體設計)將SPU 500集成到視頻控制器晶片或晶片集之中可以帶來性能和(或)安全性的提高。SPU 500也可以直接集成進網絡通信晶片或晶片集等之中。將SPU500集成到數據機晶片或晶片集之中也可以為高速通信應用帶來一定的性能提高。這將使得在諸如可獨立操作的傳真機之類的通信設備中安裝SPU 500的過程得到簡化。SPU500也可以集成到其它外圍設備中，例如CD-ROM設備、機頂置有線設備、遊戲設備、以及其它多種電子設備，這些設備使用分布式信息、允許對分布式信息進行訪問、完成與分布式信息相關的交易、或者消耗分布式信息。SPU的內部結構圖9是ー個SPU 500實例內部結構的詳細示意圖。本例中的SPU500含有單個微處理器520和容量有限的存貯器，該存貯器配置為R0M532和RAM 534。更詳細地說，該SPU 500實例含有微處理器520、加密/解密機522、DMA控制器526、實時時鐘528、總線接ロ單元(「BIU」)530、只讀存貯器(ROM) 532、隨機存取存貯器(RAM) 534、和存貯器管理單元(「MMU」)540。DMA控制器526和MMU 540雖是可選的，但如果沒有的話，SPU 500的性能將受影響。SPU 500還可以包含可選的模式匹配機524、可選的隨機數發生器542、可選的數學運算加速電路544，以及可選的壓縮/解壓縮電路546。公用地址/數據總線536可以在微處理器520和(或)DMA控制器526的控制之下在上述各種部件之間傳送信息。利用附 加的或補充的專用通路538可將微處理器520與其它部件相連(如通過連線538a與加密/解密機522相連，通過連線538b與實時時鐘528相連，通過連線538c與總線接ロ單元530相連，通過連線538d與DMA控制器526相連，通過連線538e與存貯器管理單元(MMU) 540相連)。下面將對上述每個SPU部件進行詳細說明。微處理器520微處理器520是SPU 500的大腦。在本例中，它執行由(至少暫時地)保存在ROM532和(或)RAM 534中的代碼所指定的一系列步驟。在較佳實施例中，微處理器520含有一個專用中央處理裝置(例如，RISC和(或)CISC處理器単元，微控制器，以及(或者)其它中央處理裝置，或者在許多應用中不太想要的過程特有的專用控制邏輯)，用以執行保存在ROM 532和(或)其它存貯器中的指令。微處理器520可以是安全SPU 500中的電路設計的獨立元件或者獨立封裝。在較佳實施例中，微處理器520通常處理電子設備600的操作中與安全性最敏感的方面。例如，微處理器520可以管理VDE加密、解密、特定信息內容和(或)設備使用的控制信息，跟蹤VDE中安全化信息內容的使用，以及完成其它與VDE使用控制相關的功能。在每個SPU 500和(或)電子設備的ニ級存貯器652中，所保存的內容可以是下述各部分的ー個實例，即=ROS 620軟體；應用程式608 ;對象300-它含有由VDE控制的所有物的內容及相關信息；以及管理資料庫610-它保存與對象和VDE控制信息有關的信息。R0S602含有供SPU微處理器520執行的軟體，用來使電子設備600部分地控制對VDE相關對象300的使用。這些SPU程序含有用來完成基本控制功能的「加載模塊」，這在後面將要解釋到。上述各種程序以及相關數據將主要由微處理器520執行和處理。實時時鐘(RTC)528在較佳實施例中，SPU 500含有ー個實時時鐘電路(「RTC」)528，它為SPU提供可靠的、防破壞的時基。在較佳實施例中RTC 528記錄日期時間(如月份、日期和年份)，因而可以含有日曆和時鐘的組合。對於實現基於時間的使用計量措施、「帶有有效期的解密密鑰」以及其它基於時間的SPU功能來說，可靠的時基是重要的。
RTC 528必須上電才能工作。最佳情況下，RTC 528的電源可含有ー個裝載於SPU500或其它安全封裝內部的小型電池。不過，RTC528使用的電源也可以是SPU 500外部的電源，如外部電池。這種外部電源可以向RTC 528提供相對不易中斷的電源，也可以使SPU500中本來易丟失信息的至少部分RAM 534保持信息不丟。在一種實現中，電子設備電源659也用來為SPU 500供電。將任意一種外部電源作為RTC 528的唯一電源來使用，將顯著地降低基於時間的安全技術的有用性，除非SPU 500能夠至少識別出外部電源供電的任何中斷(或任何部件中斷)，記錄該中斷，並做出可能的適當響應，如禁止SPU 500執行某種或所有VDE過程的能力。為識別電源中斷，可以使用一個在電源失效時將被觸發的電路。該電源失效感測電路可為另外的電路進行供電，而另外的這些電路又含有用以記錄ー個或多個電源失效事件的相關邏輯。電容放電電路可以提供運行該邏輯所必需的短暫電源。附加或者作為ー種替代，如果可以獲得宿主電子設備600 的時鐘輸出，那麼SPU 500可以經常地將RTC 528的輸出與宿主電子設備600的時鐘輸出進行比較。如果發現誤差，SPU 500可以做出適當響應，包括記錄該誤差，以及(或者)禁止SPU 500在至少某些情況下執行至少某些過程部分。如果電源失效和(或)RTC 528誤差、以及(或者)其它事件表明了出現破壞的可能性，SPU 500可自動地將其所保存的一部分或多部分敏感信息破壞或使之不經過特權的幹預便無法訪問，此處的敏感信息的例子包括有關執行的信息和(或)有關加密密鑰的信息。為再次提供SPU操作，作為ー種恰當的作法，上述被破壞的信息將必須由VDE金融票據交換所、管理員和(或)分發者來復原。通過遠程下載更新的和(或)復原的數據和(或)代碼可以實現上述過程。如果出現上述的過程和/或信息禁用和/或破壞事件，為重新初始化RTC 528，電子設備600可請求與管理員、金融票據交換所、和(或)分發者進行一次安全的VDE通信。在此之前，SPU 500的某些或所有安全過程不得運行。最好提供一種機制以便對RTC 528進行設置和(或)同歩。在較佳實施例中，當VDE電子設備600與另外的VDE設備之間發生通信時，在授權為「高級的」、有控制權一方的控制下，可將RTC 528的輸出與受控RTC 528的輸出時間比較。一旦出現誤差將採取適當措施，包括重新設置參加通信的「低級的」受控一方的RTC 528。SPU加密/解密機522在較佳實施例中，SPU加密/解密機522提供專用硬體(如硬體狀態機)，以迅速有效地對數據進行加密和(或)解密。在某些實現中，加密/解密功能可以由微處理器520在軟體控制下來承擔，但是設置專用加密/解密硬體機522通常提高性能。如果需要的話，微處理器520可以包含處理器電路和專用加密/解密邏輯，它們被集成在同一電路布局中，從而比如可以最佳地共享ー個或多個電路元件。通常最好採用具有計算高效性但又高度安全的「批量」加密/解密技術來保護大多數由SPU 500處理的數據和對象。最好使用極為安全的加密/解密技術作為ー種方式，對正在建立通信信道的電子設備600的身份進行驗證，並保障被傳送的許可、方法和管理信息的安全性。在較佳實施例中，加密/解密機522含有對稱密鑰加密/解密電路(如DES，Skip jack/Clipper，IDEA，RC-2，RC-4等等)和反對稱(非對稱)或公開密鑰(「PK」)加密/解密電路。公開/私有密鑰加密/解密電路主要作為ー種方式來保障SPU 500與VDE管理員以及其它處於VDE安全子系統間的電子設備600之間通信的安全性。對稱密鑰加密/解密電路可用來「批量」地加密和解密保存於SPU 500所在電子設備600的ニ級存貯器662中的大多數數據。該對稱密鑰加密/解密電路也可用來加密/解密保存於VDE對象300中的信息內容。DES或公用/私有密鑰方法可用於所有加密功能。在另ー個實施例中，除DES和公用/私有密鑰方法之外的其它加密和解密方法可用於各種有關加密的功能。例如，可用其它類型如使用相同密鑰進行加密和解密的對稱加密/解密技術來代替DES加密和解密。較佳實施例可以支持多種加密/解密技術，這些技術使用了加密/解密機522中的多個專用電路，並且(或者)使用了 SPU 500中的處理結構。模式匹配機524可選的模式匹配機524可提供專用硬體用以完成模式匹配功能。SPU 500可以執行的ー種功能是對VDE對象和其它項進行有效性檢查/驗證。有效性檢查/驗證經常涉及對長數據串進行比較，以判斷它們是否按照預定方式匹配。另外，某些使用形式(如被訪問元素的邏輯和/或物理(連續)相關性)可能需要捜索長數據串，以尋找某些位模式或其它與有意義的模式相關的量度。儘管可以由SPU微處理器520在軟體的控制下進行模式匹配，而提供專用硬體模式匹配機524將加速模式匹配的過程。壓縮/解壓縮機546SPU 500中可含有可選的壓縮/解壓縮機546用以壓縮和(或)解壓縮VDE目標300中保存或發布的信息內容。壓縮/解壓縮機546可以採用硬體電路來實現ー種或多種壓縮算法，從而提高壓縮/解壓縮操作的性能。如果不用硬體電路，則要使用運行於微處理器520上或SPU 500之外的軟體來進行壓縮/解壓縮操作。在視像或聲音之類的數據發布時，解壓縮有重大意義，這是因為這類數據在發布之前通常是被壓縮的，而其解壓速度又是很重要的。在某些情況下，將供使用監視目的所用的信息(如記錄分隔符或其它分界符)由ー個壓縮層加以隱藏，該壓縮層在SPU內部檢測和使用上述信息之前必須被除去。隨機數發生器542可選的隨機數發生器542可提供專用硬體電路，用以產生隨機數(例如從量子噪聲之類的、本來就無法預知的物理過程中產生隨機數)。這種隨機數在創建加密密鑰或唯ー的標識符時、或在偽隨機數序列生成過程的初始化時特別有用。隨機數發生器542可以產生合適長度的數值，包括毎次提供小至一個位的數值。通過將隨機數發生器542產生的數值串接在一起便可以構造任意大小的隨機數。用隨機數發生器542產生隨機數密鑰和種子，再通過加密/解密機522或SPU 500中的加密算法對之進行循環加密，就可以產生具有強的保密特性的偽隨機數序列。這種序列可以用於私有頭信息，以阻止通過加密分析手段來推斷密鑰。運算加速器544SPU 500中可設有ー個可選的、採用硬體電路形式的運算加速器544，它可以快速地完成數學運算，例如涉及大數的乘法和指數運算。可由(舉例來說)微處理器520或加密/解密機522發出執行這些運算的請求，以協助完成進行特定非対稱加密/解密運算所需的計算。該運算加速器是此項技術的熟練人員所熟知的。再某些實現中，可以省去単獨的運算加速器544，而所有必需的運算均可以在軟體的控制下由微處理器520完成。
DMA 控制器 526
DMA控制器526控制信息在地址/數據總線536上傳輸，而無須要求微處理器520去處理每個單獨的數據傳輸。典型地，微處理器520可向DMA控制器526寫入目標和目的地地址以及需傳輸的字節個數，然後DMA控制器526可自動地在SPU 500的部件之間(如從ROM 532到RAM 534、在加密/解密機522和RAM 534之間、在總線接ロ部件530和RAM534之間，等等)傳輸ー塊數據。DMA控制器526可以含有多個通道以同時處理多個傳輸。在某些實現中，可省去単獨的DMA控制器526，而所有必需的數據傳輸均可在軟體的控制下由微處理器520完成。總線接ロ部件(BIU) 530總線接ロ部件(BIU) 530使信息穿過安全屏障502在SPU 500和外界之間進行傳送。圖9所示的BIU 530加上適當的驅動軟體可構成圖6所示的「設備鏈」510。在較佳實施例中，總線接ロ部件530可能根據USART或PCI總線接ロ進行設計。在本例中，BIU 530將SPU 500與圖8所示的電子設備系統總線653相連。經過設計，BIU 530禁止對SPU 500內部部件及其內容的未授權訪問。其實現方法是BIU 530隻允許與SPU 500相關聯的信號被運行於微處理器520中的控制程序所處理，而不支持對SPU 500內部部件的直接訪問。 內存管理部件540內存管理部件(MMU) 540如果存在的話，則對內存管理和虛擬內存管理功能提供硬體支持。它也可以通過對安全執行空間實行強制性硬體隔離來提高安全性(例如，禁止不甚可信的任務修改較為可信的任務)。下面將結合討論SPU 500所支持的安全處理環境(「SPE」)503的體系結構，對MMU 540進行更詳細地說明。MMU 540也可以在硬體層次提供與內存管理有關的支持功能，如地址映射。SPU存貯器體系結構在較佳實施例中，SPU 500使用3種通用類型的存貯器(I)內部 ROM 532;⑵內部RAM 534 ;及(3)外部存貯器(通常為宿主電子設備提供的RAM和/或盤)。SPU 500內部的ROM 532和RAM 534提供了安全的操作環境和執行空間。由於成本限制、晶片製造規模、複雜度以及其它限制，在SPU 500中不可能提供充足的存貯器以存貯SPU需以安全方式進行處理的所有信息。由於SPU 500內部可以包含的ROM 532和RAM534具有容量的實際限制，SPU 500可以將信息保存在外部存貯器中，並根據需要將該信息移入或移出其安全的內部存貯器空間。在此情況下，通常必須將SPU執行的安全處理步驟分成小塊的、經過安全封裝了的単元，而這些単元可能被「頁調入」或「頁調出」有限可用的內部存貯器空間。SPU 500外部的存貯器可能沒有安全性。由於外部存貯器可能沒有安全性，SPU 500可以首先對代碼和其它信息進行加密並加入密封碼，然後再保存到外部存貯器中。類似地，SPU 500通常必須首先對取自外部存貯器中的代碼和其它信息進行解密，然後再根據該信息進行處理(如執行)。在較佳實施例中，針對SPU 500中可能的存貯器限制，有兩種通用的解決途徑。在第一種情況下，小塊的、經過安全封裝了的単元代表安全資料庫610中所包含的信息。在第二種情況下，上述單元可以代表被保護的(如被加密的)虛擬內存頁。儘管虛擬內存頁可以對應於保存於安全資料庫610中的信息単元，而在本例的SPU存貯器體系結構中並不要求如此。
下面將對三種SPU存貯器資源進行詳細說明。SPU 內部 ROMSPU 500的只讀存貯器(ROM) 532或具有類似功能的設備為特定程序以及其它信息提供了非易失性的內部安全存貯。例如，ROM 532可能保存「核心」程序，如SPU控制固件508，或者在需要的情況下保存加密密鑰信息和某些重要的「加載模塊」。「核心」程序、加載模塊信息和加密密鑰信息啟動對SPU500某些基本功能的控制。可以在ROM 532中裝入一些至少部分依賴於設備配置的組成部分(如POST、存貯器分配模塊，以及調度模塊)，以及另外ー些經確定為特定安裝和應用所需要的加載模塊。在較佳實施例中，ROM 532可以含有帶掩模的ROM 532a和EEPROM以及(或者)等價「快速」存貯器532b。EEPROM或快速存貯器532b用來保存需要更新和/或初始化的項， 如特定加密密鑰。提供EEPROM和/或快速存貯器532b的另ー個好處是可以根據特定位置的典型使用情況，對始終保存在SPU 500中的任何加載模塊和庫函數進行優化。儘管這些項也可以保存在NVRAM 534b中，但EEPROM和/或快速存貯器532b可能更廉價ー些。帶掩模的ROM 532a可能比快速存貯器和/或EEPROM 532b更為廉價，它可用來存貯SPU軟體/固件的永久性部分。這些永久性部分可以包含硬體部件如RTC 528、加密/解密機522、中斷處理器、密鑰發生器等的接ロ代碼。作業系統的某些部分、庫調用、庫函數以及由SPU500提供的許多核心服務也可以存貯在掩模ROM 532a中。另外，某些較為常用的執行代碼也比較適合存入掩模ROM 532a中。那些需要被更新或者在下電後應該從SPU 500中消失的信息不應存貯在掩模R0M532a中。在某些情況下，RAM 534a和/或NVRAM 534b (NVRAM 534b可以是(舉例來說)被一直供電的傳統RAM)可以至少部分地充當ROM 532的角色。SPU 內部 RAMSPU 500的通用RAM 534與其它部件一道為安全過程提供了安全的執行空間。在較佳實施例中，RAM 534由不同類型的RAM組成，例如，這些RAM可以是高速RAM 534a和NVRAM( 「非易失性」的RAM) 534b的組合。RAM 534a可以是易失性的，而NVRAM則最好由電池供電，或採用其它方法使之具有「非易失性」(即在下電後其內容不會丟失)。高速RAM 534a存貯需要執行的活躍代碼及相關數據結構。NVRAM 534b最好保存在SPU 500與VDE管理員要進行通信的一個初始化過程中預加載的某些密鑰和概要數值，它也可以存貯與SPU500操作有關的、可變或正在變化的信息。基於安全的原因，某些特別敏感的信息(例如某些加載模塊，以及某些加密密鑰的相關信息如內部產生的私有密鑰)需要經常裝入SPU 500或由SPU 500內部產生，但是，一旦被裝入或內部產生，這些信息絕不能離開SPU。在較佳實施例中，SPU 500非易失性隨機訪問存貯器(NVRAM) 534b可以用來安全地保存這種特別敏感的信息。SPU 500也用NVRAM 534b來保存那些可能經常改變的、但在下電或電源故障時最好又不應丟失的數據。NVRAM最好是ー個快速存貯器陣列，但也可以是電可擦除可編程只讀存貯器(EEPROM)、靜態RAM(SRAM)、磁泡存貯器、三維全息或其它光電存貯器或諸如此類的存貯器、或任何其它可寫的(如可隨機訪問的)、具有非易失性的存貯器，這些存貯器還應具有足夠高的速度，並且價格低廉。SPU外部存貯器
SPU 500可以將某些信息存貯在SPU外部的存貯設備中。電子設備600的存貯器如果可用的話也可以用來支持SPU 500軟體中任何設備外部部分。允許SPU 500使用外部存貯器可能帶來某些好處。作為ー個例子，通過使用宿主電子設備600中的非易失性讀/寫存貯器(如RAM656和/或ROM 658的非易失性部分)，可以減少SPU 500內部存貯器的容量。這種外部存貯器可用來存貯SPU程序、數據和/或其它信息。例如，ー個VDE控制程序可以至少部分地被加載到存貯器中，並在執行前首先傳送到SPU 500中進行解密。該控制程序可以被重新加密並傳回外部存貯器進行保存，留待SPU 50 0以後執行。SPU 500可以將「核心」程序和/或部分或全部非核心的「加載模塊」保存在其外部存貯器中。由於安全資料庫610可以相對較大，SPU 500可以將部分或全部安全資料庫保存在外部存貯器中，並且在需要的時候將某些部分調進SPU500。如上所述，SPU 500的外部存貯器可以不具安全性。因此，當需要確保安全性的時候，SPU 500必須一方面首先對安全性信息進行加密，然後再將該信息寫入外部存貯器中；另ー方面首先對取自外部存貯器的安全性信息進行解密，然後再使用該信息。由於該加密層依賴於SPU 500中的安全過程和信息(如加密算法和密鑰)，所以它有效地「延伸」了 SPU安全屏障502，從而保護了 SPU 500存貯在其外部存貯器中的信息。SPU 500可以使用各種不同的外部存貯器。例如，外部存貯器可以包括諸如磁碟之類的電子設備ニ級存貯器652、外部EEPROM或快速存貯器658、以及/或者外部RAM 656。外部RAM 656可以包括外部的非易失性(如持續供電的)RAM和/或高速緩存RAM。使用SPU 500本地的外部RAM可以顯著地提高對SPU外部所保存信息的訪問速度。例如，外部RAM可以用來 首先緩存內存圖象頁和數據結構，再將之保存到快速存貯器或外部硬碟(假設在發生嚴重電源或系統故障時需要向快速存貯器或外部硬碟傳送數據)。 為VDE對象300輸出的數據提供加密和解密緩衝區。 高速緩存目前正在被使用的「交換塊」和VDE數據結構，作為向SPU 500提供安全虛擬內存環境的ー個方面。 高速緩存其它信息，例如用來減少SPU訪問ニ級存貯器652的頻率，以及/或者為其它目的。雙埠外部RAM在提高SPU 500性能方面尤其有效，原因在於它可以減少SPU總線接ロ部件530和SPU微處理器520的數據移動開銷。使用SPU 500本地的外部快速存貯器可以顯著地提高對實際上所有數據結構的訪問速度。由於大多數可用的快速存貯設備寫入壽命有限，快速存貯器要考慮在快速存貯器的使用壽命期中需要進行多少次寫入操作。因而，不主張用快速存貯器來保存那些需要頻繁寫入的臨時內容。如果外部RAM具有非易失性，那麼向快速存貯器(或硬碟)傳輸數據可以是不必要的。SPU 500使用的外部存貯器可以含有兩種類型今SPU 500專有的外部存貯器今與電子設備600共享的存貯器對於某些VDE實現，與CPU 654或電子設備600的其它部件共享存貯器(如電子設備的RAM 656、ROM 658和/或ニ級存貯器652)可以是ー種最廉價的方法用來保存VDE安全資料庫管理文件610和需要保存在SPU 500外部的信息。用以完成通用文件存貯功能的宿主系統硬碟ニ級存貯器652也可用來存貯VDE管理文件610。可以使SPU 500對外部存貯器具有排它的訪問權(例如，通過BIU 530提供的局部總線高速連接)，還可以同時提供專有的和共享的外部存貯器。上面對電子設備600 —個例子的硬體配置進行了說明。下面將描述由較佳實施例提供的電子設備600軟體體系結構的ー個例子，包括較佳實施例「權利作業系統」 (「R0S，，)602的結構和操作。權利作業系統602較佳實施例中的權利作業系統(「R0S」)602是ー個緊湊的、安全的、事件驅動的、基於服務的、面向「部件」的、分布多處理作業系統環境，它將VDE信息安全控制信息、部件和協議以傳統的作業系統概念集成在一起。象傳統作業系統一祥，較佳實施例提供的ROS 602是一段程序，它管理計算機系統中的硬體資源，並將管理功能延伸至輸入和/或輸出設備，包括通信設備。同時，也類似於傳統作業系統，較佳實施例ROS 602提供了一致的ー組基本功能和抽象層，用來隱藏具體硬體實現之間的差別和有關實現的許多複雜細節。除了許多或大多數作業系統所具有的這些特徵之外，ROS 602提供了其它作業系統所不具備的安全VDE交易管理和其它先進特性。下面是ー個非窮舉的列表，它列舉了較佳實施例ROS602提供的部分先進特性。標準接ロ提供了一致的基本功能集今簡化了編程今相同的程序可以運行於許多不同的平臺上事件驅動+便於功能分解+可擴展令支持狀態轉換和/或面向進程的事件+簡化了任務管理+簡化了進程間通信基於服務+支持簡化的和透明的可伸縮性+簡化了多處理器支持今隱藏了機器相關性+便於網絡管理和支持基於部件的體系結構+基於可獨立傳送的安全部件的處理今處理控制的部件模型支持不同的串行步驟，這些步驟可根據需求重新配置今可以增加、刪除和修改部件(需經許可)今針對預定義的和用戶定義的應用事件的全面控制信息+事件可由獨立的可執行程序進行單獨控制安全
今安全的通信今安全的控制功能+安全的虛擬內存管理+信息控制結構受到保護而不致洩露令數據元素受到確認、關聯和訪問控制+部件被單獨加密和確認今部件是緊密相關的，從而防止對元素的未授權使用今控制結構和安全化的可執行程序在使用之前首先經過確認，從而防止了破壞
今在I/O層集成了安全措施今提供了發布時的快速信息解密+支持安全的商業交易網絡今靈活的密鑰管理特性可伸縮件今可高度伸縮於多種不同平臺之間今支持多處理器環境中的並行處理+支持多個相互協作的處理器今可以支持任意數量的主機或安全處理器今控制結構和核心可以被很容易地移植到各種主平臺以及目標平臺中的不同處理器上，而無須進行重新編譯。令支持遠程處理今可使用遠程過程調用以實現內部的OS通信高度的可集成性今可以作為作業系統的附加層與宿主平臺高度地集成在一起+允許使用位於傳統OS平臺之上的ー個OS層，對安全化的部件和信息進行非安全的存貯今可以與宿主作業系統無縫地集成在一起，從而為交易管理和信息內容訪問提供了ー個公共使用模式+集成可以採取多種形式用於桌上型計算機的作業系統層(如DOS、Windows,Macintosh);用於網絡服務的設備驅動程序和作業系統接ロ(如Unix和Netware);以及用幹「低端」頂置設備的專用部件驅動程序，以上是其中的一些例子令可以與傳統的和實時的作業系統集成在一起分布件+提供控制信息的分布和互換控制信息和機制+支持受控進程在分布式異步配置中任何VDE節點上的有條件執行令分布式環境中的受控權利分派+支持處理和控制鏈+為分布式的、偶爾連接但其它情況下異步的連網資料庫提供了管理環境今實時及與時間無關的數據管理今支持「代理」進程
誘明件今可以無縫地集成進現有的作業系統中+可以支持不是專門為使用它編寫的應用網絡友好件今內部OS結構可以使用RPC分配處理+可將子網作為單個節點或獨立地進行無縫操作有關作業系統的一般背景知識「作業系統」提供了管理計算機系統資源的控制機制，從而允許程式設計師更加方便地創建計算機系統的應用。為此，作業系統提供了通用的功能，並確保在(可能(舉例來說) 由不同廠家生產的)不同計算機硬體和體系結構之間的兼容性。作業系統還使得計算機「外部設備」生產廠家更加方便地向計算機生產廠家和用戶提供兼容設備。計算機系統通常由若干不同硬體部件組成。這些硬體部件包括如ー個中央處理單元(CPU)，用來執行指令；一個主存貯器單元陣列(如「RAM」或「ROM」)，用來保存供執行的指令，以及被這些指令所作用的、或充當這些指令的參數的數據；以及ー個或多個ニ級存貯設備(如硬碟驅動器、軟盤驅動器、⑶-ROM驅動器、磁帶機、讀卡機或「快速」存貯器)，該設備被組織成反映命名的元素(「文件系統」)，用來存貯主存貯器單元的映像。大多數計算機系統還含有輸入/輸出設備，如鍵盤、滑鼠、顯示系統、印表機、掃描儀和通信設備。為了使CPU的執行功能與可用的RAM、ROM和ニ級存貯設備組織在一起，也為了向程式設計師提供通用功能，通常與其它部件一起包含一段稱為「作業系統」的軟體。通常如此設計該段軟體，即使之在計算機系統上電並且硬體診斷完成之後開始執行。此後，所有對CPU、主存貯器和ニ級存貯設備的使用通常都由該「作業系統」軟體進行管理。大多數計算機作業系統還通常含有將其管理功能延伸至I/O及其它外部設備的機制，包括與這些設備相關的通用功能。通過利用作業系統對CPU、存貯器和外部設備進行管理，可提供出一致的ー套基本功能和隱藏硬體細節的抽象層，從而允許程式設計師更加方便地創建複雜的應用。另外，用作業系統管理計算機的硬體資源，可以使得不同生產廠家之間在設計上和設備要求上的許多差別得到隱藏。此外，可以更加方便地與其它具有相同作業系統的計算機用戶共享應用程式，而這只需在支持不同廠家的基本硬體和外部設備方面投入較少的工作。ROS 602是ー個具有顯著優點的作業系統ROS 602是ー個「操作系統」。它管理電子設備600的資源，並提供通用的功能集合供程式設計師為電子設備編寫應用608。較佳實施例中的ROS 602對SPU 500中的硬體(如CPU、存貯器、安全RTC、以及加密/解密機)進行管理。ROS也對電子設備600的一個或多個通用處理器中的硬體(如CPU和存貯器)進行管理。ROS 602還管理其它電子設備硬體資源，如與電子設備相連的外部設備。例如(參看圖7)，ROS 602可以管理鍵盤612、顯示器614、數據機618、盤驅動器620、印表機622、掃描儀624。ROS 602還可以管理安全資料庫610以及用來存貯安全資料庫610的存貯設備(如「ニ級存貯器」 652)。
ROS 602支持多處理器。較佳實施例中的ROS 602支持任意數量的本地和/或遠程處理器。至少可以支持兩種類型的處理器ー個或多個電子設備處理器654，和/或ー個或多個SPU 500。宿主處理器CPU654可以提供存貯、資料庫和通信服務。SPU 500可以提供加密和安全化進程執行服務。由ROS 602所支持的多種控制和執行結構可以要求對控制信息要在可控制的執行空間中進行處理。這種可控制的執行空間可以由SPU 500提供。附加的宿主和/或SPU處理器可以提高處理效率和/或能力。ROS 602可以(如通過網絡或其它通信鏈路)訪問、協調和/或管理電子設備600的其它遠程處理器，以提供更多的處理器資源和/或能力。ROS 602是基於服務的。在較佳實施例中，通過使用「遠程過程調用」(「RPC」)內部處理請求結構，把利用宿主處理器654和/或安全處理器(SPU 500)所提供的各項ROS服務連結在一起。相互協作的處理器可使用RPC機制請求進程間服務，RPC機制具有最小的時間依賴性，並且可以分布於網絡中眾多主機的相互協作處理器之中。R0S602提供的多處理器體系結構易於擴展，以便支持任意數量的主機和安全處理器。這種可擴展性帶來了高度的可伸縮性。ROS服務還允許在不同設備上實現不同的功能。例如，對於那種只服務ー 個用戶的、使用水平較低的小型設備來說，在其上實現資料庫服務所採用的技術可以大大不同於那種可服務大量用戶的、使用水平較高的大型設備。這是可伸縮性的另ー個方面。ROS 602提供了分布式處理環境。例如，它可以如滿足用戶請求所要求的使信息和控制結構自動、安全地來往於各個地點之間。基於R0S602的分布式處理特徵，VDE節點之間的通信可以包括如上所述的進程間服務請求。ROS 602支持任意VDE節點中受控處理器的有條件和/或狀態依賴執行。進程的執行位置以及所使用的控制信息或可位於本地，或可遠程訪問，或者由進程攜帯以支持在遠程系統中執行。ROS 602提供控制信息的分布，包括如控制結構的分布，用以支持在遠程環境中運行「代理」(agent)。因而，ROS 602提供了ー套機制，可以將執行和/或信息控制作為對於「代理」進程出現的請求的一部分進行傳遞。如果需要，ROS 602可以獨立地通過低帶寬連接通路將控制信息分布，這種低帶寬連接通路可以是也可以不是「實時」的連接。較佳實施例中的ROS 602具有「網絡友好性」，可以用網絡協議的任意層來實現。電子郵件和直接連接是其中的ー些例子，它們大約實現在ISO模型的「第5層」。ROS 602的分布進程(以及對分發信息的相關審核)是ー個受控事件，它本身使用上述控制結構。這種「映像式」分布處理機制允許R0S602以受控的方式安全地分發權利和許可，並且有效地限制信息內容的使用特徵。這種分布式環境中的受控權利分派以及ROS602為支持該方式所採用的安全處理技術具有顯著的優點。ROS 602中的某些控制機制是「交互」的。交互控制機制將ー個或多個控制部件放置於ー個或多個地點，而該控制部件以受控方式與同一或不同地點處的ー個或多個部件交互作用。例如，位於用戶一方的、與對象信息內容相關的使用控制可以在分發者一方含有交互控制，該分發者一方管理上述使用控制的分布、使用控制的審核以及與使用控制相關的用戶請求處理邏輯。位於用戶一方的使用控制(除了對使用的一方面或多方面進行控制以夕卜)可以為分發者做審核准備，並對有關使用控制的請求進行格式化，供分發者處理。位於交互控制任何一端的進程都可以進一歩被其它進程所控制(例如，分發者可以被使用控制機制所產生的數量的預算所限制)。交互控制機制可以延伸及許多地點和許多層次(例如從製作者到分發者，到用戶)，並且可考慮到任何關係(例如，製作者/分發者、分發者/用戶、用戶/用戶、用戶/製作者、用戶/製作者/分發者，等等)。在VDE 100中，交互控制機制在表示分布式環境中的關係和協定方面有許多用途。ROS 602是可伸縮的。ROS 602控制結構和核心中的許多部分不必重新編譯即可方便地移植到各種宿主平臺上。如果得到授權允許這種活動的話，任何控制結構都可以被分布(或重新分布)。ROS 602中可執行程序的引用可在目標平臺內移植。ROS 602的不同實例使用不同的資源來執行該引用。例如，ROS 602的ー個實例可以使用SPU 500來執行某個任務，同時ROS 602的另ー個實例可以使用宿主處理環境來執行相同的任務，該宿主處理環境運行於受保護的存貯器中並用軟體來仿真SPU。ROS 602的控制信息同樣是可移植的。在許多情況下事件過程結構都可以在機器和主機平臺間進行傳送，這與在單個計算機內部各相互協作的處理器之間進行傳送一祥容易。具有不同使用級別和/或ROS 602功能可用資源的設備可以採用非常不同的方式來實現上述功能。如果沒有足夠資源的話，某些服務就可以被整個省去。如上所述，ROS 602 「知道」哪些服務是可獲得的，以及在任何給 定事件的前提下如何進行進一歩的處理。在資源缺乏或不足的情況下，並非所有的事件都是可處理的。ROS 602是基於部件的。較佳實施例ROS 602所提供的許多功能都可能是基於「部件」的，「部件」可以(例如，在適當的安全條件和授權前提下)被安全獨立地傳送，可被替換，並且可被修改。另外，「部件」本身可以由可獨立傳送的元素構成。ROS 602可以(使用較佳實施例提供的、名為「通道」的結構)在執行時刻將這些元素裝配到一起。例如，由SPU500執行的「加載模塊」可以引用ー個或多個「方法核心」、方法參數以及其它相關的數據結構，而ROS 602可以將上述這些元素收集和組裝在一起以便執行諸如計帳或計量之類的任務。不同的用戶可以擁有不同的元素組合，並且在適當的授權之下，某些元素可以由用戶來定製。這個特徵可以提高靈活性，允許重用元素，並且還具有其它優點。ROS 602具有高度安全性。ROS 602提供了ー套機制，用來保護信息控制結構，使之不被最終用戶和管道主機所洩露。利用牢靠的加密和驗證機制，ROS 602可以對信息、VDE控制結構和可執行控制程序進行保護。這些加密和驗證機制經過設計可充分抵禦未探測到的破壞。ROS 602對存貯在ニ級存貯設備652中的信息進行加密以防止破壞。ROS 602還分別加密和驗證其各種部件。ROS 602將控制和數據結構部件關聯在一起，以防止對元素進行未授權的使用。這些特徵允許R0S602獨立地分布元素，而且還允許將VDE功能604與非安全的「其它」 OS功能606集成在一起。較佳實施例所提供的ROS 602將諸如訪問控制表(ACL)結構之類的傳統功能延伸到了用戶和進程定義的事件，包括狀態轉移。R0S602可以向預定義和用戶定義的應用事件提供全面的控制信息。這些控制機制包括「通行/禁行」許可，還包括可選的、特定於事件的可執行程序，這種執行程序使得對事件進行的處理和/或控制具有完善的靈活性。這樣的結構允許事件被單獨控制，於是(舉例來說)可使用獨立的可執行程序進行計量和預算處理。例如，ROS 602擴展了 ACL結構以控制任意粒度的信息。傳統的作業系統在文件或資源級提供了靜態的「通行-禁行」控制機制；R0S 602採用通用方法並使用靈活的控制結構，將上述控制概念從最大的元素擴展到最小的子元素。ROS 602可以(舉例來說)控制從文檔文件中列印出單ー的一段。較佳實施例提供的ROS 602允許對管理各個部件的控制信息進行安全的修改和更新。控制信息可以以諸如方法選項之類的模板格式提供給最終用戶。最終用戶於是可以定製由分發者或信息內容製作者提供的準則中所使用的實際控制信息。對現有控制結構的修改或更新最好是一個可控制的事件，該事件受到審核和控制信息的控制。較佳實施例中的ROS 602在使用控制結構和安全化可執行程序之前首先對之進行驗證。該驗證能夠確保控制結構和可執行程序未受最終用戶的破壞。該驗證還使得ROS602能夠安全地實現包括文件段及其它作業系統結構在內的部件。較佳實施例中的ROS602將安全性措施集成在作業系統的I/O層(位於訪問層之下)，並提供了發布時刻的「快速」信息解密。這些特性允許使用位於傳統作業系統平臺之上的ー個OS層對ROS 602的安全化部件和信息進行非安全化的存貯。 ROS 602可以作為作業系統的附加層與宿主平臺高度地集成在一起。於是，ROS602的創建可以通過對現有作業系統進行「添加」來實現。它包括將VDE 「添加部分」在設備驅動程序和網絡接ロ層上掛接到宿主作業系統。作為另ー種選擇，ROS 602可以含有一個全新的作業系統，該作業系統將VDE功能和其它作業系統功能集成在一起。實際上，至少有3種通用的方法，用來在可能基於現有作業系統前提下將VDE功能集成進ー個新作業系統中從而創建權利作業系統602。這3種方法是(I)根據VDE交易管理的要求重新設計作業系統；(2)將VDE API功能調用編譯進ー個現有的作業系統中；(3)將ー個VDE解釋程序集成進ー個現有的作業系統中。在設計新作業系統時，或計劃對現有作業系統進行重大升級時，第一種方法可能是最有效的適用方法。可以將VDE功能所提供的交易管理和安全要求添加到用來設計新作業系統的設計要求列表中，這樣就能夠以ー種優化的有效方式將「傳統」作業系統功能與VDE功能集成在一起。例如，負責設計作業系統新版本或實例的工程師可以將VDE計量/交易管理的要求補充到其它ー些他們用以形成設計方法、規範和實際實現的要求(如果有的話)之中。這種方法通過在貫穿整個系統設計和實現過程中穿插進計量/交易管理功能，可以實現VDE功能的無縫集成。第二種方法將涉及到使用現有的API (應用程式員接ロ)集合，並且把對作業系統代碼的調用納入VDE功能調用中。這類似於將目前的Windows作業系統與DOS集成的方法，其中，DOS充當Windows作業系統的啟動點和重要核心支撐部分兩重角色。該方法還可提供高度無縫的集成(儘管「無縫」的程度不象第一種方法那樣強)。該方法的優點在幹有可能花費不大就可以將計量/交易管理功能納入作業系統的ー個新版本或實例中(通過使用API所含有的現有代碼，以及借鑑API功能方法的設計思想來影響納入了計量/交易管理功能的元素的設計)。第三中方法區別於前兩種的地方在於它沒有將有關計量/交易管理和數據安全性的VDE功能直接納入作業系統代碼中，而是向作業系統添加了通用化的新功能，用來執行計量/交易管理功能。在這種情況下，含有計量/交易管理功能的解釋程序將採用「獨立」的方式與其它作業系統代碼集成在一起。該解釋程序可以根據腳本或其它輸入來決定應該執行哪些計量/交易管理功能，以及按什麼順序或在什麼情況或條件下執行。
除了將VDE功能集成進電子設備作業系統中之外，也可以在傳統作業系統之上運行ー個應用，使該應用提供某些可用的VDE功能。ROS軟體體系結構圖10是中的框圖示意了較佳實施例提供的權利作業系統(「R0S」)602的軟體組織/體系結構示例。在該例中，ROS 602含有作業系統(「OS」)「核心」679、用戶應用程式接ロ ( 「API」)682、「重定向器」 684、「截獲器」 692、用戶通告/異常接ロ 686、以及文件系統687。本例中的ROS 602還含有ー個或多個宿主事件處理環境(「ΗΡΕ」) 655和/或一個或多個安全事件處理環境(「SPE」) 503 (這些環境可通稱為「受保護的處理環境」 650)。HPE 655和SPE 503是自包含的計算和處理環境，它們可以含有其本身的作業系統核心688，作業系統核心688包含代碼和數據處理資源。給定的電子設備600可以含有任意數量的SPU 503和/或HPE 655。HPE 655和SPE 503可以安全的方式處理數據，並為 ROS 602提供安全處理支持。例如，它們都可以根據ー個或多個VDE部件組690來執行安全處理，而且它們都可以向OS核心680提供安全處理服務。在較佳實施例中，SPE 503是ー個安全的處理環境，其中至少一部分是由SPU 500所提供。因而，SPU 500提供了環繞SPE 503的硬體的防破壞屏障502。較佳實施例中的SPE 503最好具有如下特徵■小且緊湊今可被加載進具有資源限制的環境，例如最小配置的SPU 500+可被動態地更新+可被授權用戶擴展今可集成進對象或過程環境中今具有安全性在較佳實施例中，HPE 655是ー個安全的處理環境，它由除SPU之外的其它處理器所支持，如電子設備CPU 654通用微處理器，或者其它處理系統或設備。在較佳實施例中，由於HPE 655可以用軟體來提供本來由SPU硬體和/或固件所提供的部分或全部處理資源，在這個意義上，可以認為HPE 655是用來「仿真」 SPU 500的。在本發明的ー個較佳實施例中，HPE 655是全功能的，並且與SPE 503完全兼容-這就是說，HPE 655可以處理SPE503可處理的每個或所有服務調用，這樣，從外界接ロ的角度來看，SPE和HPE是「插接兼容的」(plug compatible)(例外情況是，HPE所提供的安全性可能不及SPE)。HPE 655可以有兩種類型安全的和非安全的。例如，為使電子設備600能夠使用快速通用處理器或計算機的全部資源從而有效地運行非敏感性的VDE任務，可希望提供非安全的HPE 655版本。這種非安全HPE 655版本的運行可以受ROS 602的ー個實例的監管，而該R0S602同時還含有ー個SPE 503。採用這種方式，ROS 602可以在SPE 503中運行所有安全進程，而只在HPE 655中運行那些無需安全性的進程，但這些進程同時又可能要求使用(或滿足高效運行而需要)由支持HPE655的通用計算機或處理器所提供的、可能較多的資源。非安全的和安全的HPE 655可以與安全的SPE 503 —起運行。(如圖10所示)HPE655可以帶有基於軟體的防破壞屏障674以增加其安全性。這種基於軟體的防破壞屏障674可以由運行於通用CPU654中的軟體來創建。這種「安全」的HPE 655可以被ROS 602用來執行某些進程，這些進程雖然仍需要安全性，但可以不需要SPU 500所提供的那種高安全性。在含有SPE 503和HPE 655兩者的體系結構中，這個特性將特別有益。SPE 503可以用來執行所有真正的安全處理，而ー個或多個HPE 655可以用來執行另外的安全(雖然可能不如SPE安全)處理，HPE 655此處使用了電子設備600中可用的宿主處理器或其它通用資源。這種安全的HPE 655可以提供任何服務。在較佳實施例中，「通道處理」的某些特徵看起來比較適合隨時從SPE 503轉移到HPE 655中。HPE 655提供的基於軟體的防破壞屏障674可以有下面的實現方法，如使用時間檢查和/或代碼修改等手段，使得利用調試程序對含有核心688a部分和/或部件組690部分的代碼進行單步跟蹤變得相當困難；對存貯設備(如硬碟、存貯器卡等)使用缺陷圖而形成內部測試值，從而阻止從HPE 655往其它電子設備600移動或複製內容；使用在控制流中含有偽跳轉及其它複雜流程控制的核心代碼，從而在一定程度上偽裝內部處理過程，使之避免被反彙編或受到其它試圖掲示其處理細節的行為的影響；使用「自生成」代碼(例如，基於餘弦變換的輸出)，這樣ー來，不再把詳細的和/或完整的指令序列明確地保存在存貯設備和/或活動存貯器中，而是在需要的時候生成這些指令；使用那種基於運算參數而「打亂」 了存貯單元的代碼，而在這些存貯單元中放有數據，這樣就使得對這些數據進行操縱變得相當困難；使用 電子設備600所提供的任何軟體和/或硬體內存管理資源，以「保護」 HPE 655中的操作使之免受其它進程、操作等的破壞。儘管這種基於軟體的防破壞屏障674能夠提供相當程度的安全性，它通常不如由SPU500(至少部分)提供的基於硬體的防破壞屏障502安全。在諸如SPU500所提供的那些硬體安全性措施的幫助下，安全性可以得到更有效地加強，基於此原因(以及其它因素，如SPU 500的專用電路所帶來的性能提高)，對於許多或大多數安全性較高的應用來說，最好至少提供ー個SPE 503。然而，對於那些可允許較低安全性和/或無カ支付SPU 500的應用來說，可以需要省去SPE 503，而所有的安全處理都要由執行於通用CPU 654中的ー個或多個HPE 655來代替執行。如果未向特定VDE進程提供足夠的安全性，那麼可能就不允許這些進程在上述那種降低了安全性的電子設備中執行。只有那些完全在SPE 503 (有時候也包括H PE 655)中執行的進程才可能被看作是真正安全的。用來存貯和/或處理安全進程所使用的代碼和/或數據的存貯器以及SPE503和HPE 655的其它外部資源只能以加密的形式接收和處理這些信息，除非SPE 503/HPE655可以保護安全進程的代碼和/或數據以避免遭受非安全進程的破壞。較佳實施例中的OS 「核心」679含有核心680、RPC管理器732和「對象開關」734。API 682,HPE 655以及SPE 503可以通過OS 「核心」 679相互傳送「事件」消息。它們也可以使消息不經過OS 「核心」 679而直接進行相互間的消息通信。核心680可以管理電子設備600的硬體。例如，它可以提供適當的驅動程序和硬體管理器以便與輸入/輸出和/或外部設備進行交互作用。外部設備的例子有鍵盤612、顯示器614、其它設備如「滑鼠」指示設備和語音識別器613、數據機618、印表機622和網絡適配器672。核心680也可以負責初始加載ROS 602的其餘部分，並且可以在各種ROS任務執行時對之(及其底層相關硬體資源)進行管理。OS核心680也可管理和訪問安全資料庫610和文件系統687。OS核心680也可為應用608a (I)、608a (2)等以及其它應用提供執行時的服務。RPC管理器732為核心680完成信息路由選擇和/或資源管理/集成。例如，它接收來自API 682,HPE 655和SPE 503的「調用」，或選擇合適的路由將「調用」送至API 682、ΗΡΕ 655 和 SP E 503。對象開關734可管理VDE對象300的創建、拆除及其它操縱。較佳實施例中的用戶通告/異常接ロ 686(可以將之看作是API 682的一部分或與該API相結合的另ー個應用)在顯示器614上提供了 「彈出式」窗ロ /顯示。這可以使ROS 602直接與用戶通信，而不必使需要傳遞的信息經過應用608。對於非「VDE感知型」的應用，用戶通告/異常接ロ 686可以提供ROS 602與用戶之間的通信。較佳實施例中ΑΡΙ682提供給應用608 —個標準化的、具有文檔說明的軟體接ロ。ΑΡΙ682可以部分地把應用608產生的作業系統「調用」翻譯成指定了「事件」的遠程過程調用(「RPC」)。RPC管理器732可以將這些RPC按照合適的路由發送至核心680或其它地方(如HPE 655和/或SPE503，或遠程電子設備600、處理器或VDE參與者)以供處理。API 682也可以對RPC請求進行服務，其方法是將這些RPC請求發送到經過註冊負責接收和處理指定請求的應用608。API 682提供了一個「應用編程接ロ 」，該接ロ最好是標準化的且具有文檔說明。它 提供了一組簡明的函數調用，應用程式可使用這組函數調用訪問由ROS 602提供的服務。在至少ー個優選例中，API 682將包括兩部分VDE功能604的應用程式接ロ，以及其它OS功能606的應用程式接ロ。這些部分可以融合在同一軟體中，也可以是ニ個或多個分離的軟體部分(舉例而言)。某些應用，例如圖11所示的應用608a(l)，可以屬於「VDE感知型」的，於是它們可以直接訪問API 682中的那兩部分。圖IlA對此進行了示例。「VDE感知型」應用可以(舉例來說)包含對ROS 602的明確調用，以便請求創建新的VDE對象300、對VDE對象的使用進行計量、以VDE保護形式存貯信息等等。因此，「VDE感知型」應用可以起動(在某些例子中還可以增強和/或擴展)由ROS 602提供的VDE功能。另外，「VDE感知型」應用可以在用戶和ROS 602之間提供更直接的接ロ(如抑制或消除由用戶通告/異常接ロ產生的「彈出式」顯示接ロ，取而代之的是ー個集成了應用和ROS消息的、更加無縫的接ロ)。其它應用，例如圖IlB所示應用608b，可以屬於非「VDE感知型」的，因而它可能不「知道」如何直接訪問由API 682所提供的VDE功能604接ロ。為此，ROS 602可以含有一個「重定向器」 684，而「重定向器」 684可以允許「非VDE感知型」應用608b訪問VDE對象300和函數604。較佳實施例中的重定向器684將發向「其它OS功能」 606的OS調用翻譯成發向「VDE函數」 604的調用。舉ー個簡單的例子，重定向器684可以截獲發自應用608的「打開文件」調用，然後判斷要打開的文件是否位於VDE容器300之中，如果是的話，產生適當的VDE函數調用，將之發向文件系統687，以便打開VDE容器(也可能產生事件，將之發向HPE 655和/或SPE 503，以確定可能存貯在VDE對象300中的文件的名字，建立與VDE對象300相關的控制結構，執行對VDE對象300的註冊等等)。本例中如果沒有重定向器684，那麼「非VDE感知型」應用如608b就只能訪問提供其它OS函數606接ロ的API 682中的一部分，因而無法訪問任何VDE函數。重定向器684的這種「翻譯」特性提供了 「透明性」。它允許將VDE函數以「透明」的方式提供給應用608 (b)，而使該應用無需陷入有關生成ー個或多個VDE函數604調用的複雜性細節之中。ROS 602這ー方面的「透明」特性至少有兩個重要優點(a)它允許不是專門為VDE函數604編寫的應用(「非VDE感知型應用」)仍然可以訪問關鍵的VDE函數；以及
(b)它減少了應用和ROS 602之間接ロ的複雜性。由於第二個優點(減少複雜性)使應用編程人員能更容易地編寫應用，甚至可將「VDE感知型」應用608a (2)設計成使得某些對VDE函數604的調用在「其它OS函數」調用層上被請求，然後由重定向器684將之「翻譯」成VDE函數調用(在這個意義上，可將重定向器684看作是API 682的一部分)。圖Ilc對此進行了示例。向VDE函數604發出的其它調用則可以被直接發送，而無需經過重定向器684翻譯。回到圖10，ROS 602還可以含有ー個「截獲器」692，「截獲器」692傳送和/或接收ー個或多個實時數據輸入694 (例如可以通過有線電視電纜628產生這些數 據輸入)，並適當地按照正確路由發送ー個或多個這種數據輸入，與此同時對電子設備600所發送和/或接收的實時數據進行「翻譯」，從而為這類信息提供了類似由重定向器684所產生的那種「透明性」(並且/或者它可以產生ー個或多個實時數據輸入)。安全的ROS部件和部件組如上所述，較佳實施例中的ROS 602具有基於部件的體系結構。ROS VDE函數604可以基於分段的、可獨立加載的可執行「部件組」690。這些部件組690可以被獨立安全地傳遞。較佳實施例中的部件組690含有本身可獨立傳遞的代碼和數據元素。因此，較佳實施例中的每個部件組690都包含可獨立安全傳遞的元素，可以使用VDE安全通信技術在VDE安全子系統之間傳遞這些元素。這些部件組690是ROS 602所提供的基本功能単元。部件組690經過執行可以完成作業系統或應用的任務。因而，可以將某些部件組690看作是ROS作業系統602的一部分，而將其它部件組690看作是作業系統支持之下運行的「應用」。象所有集成了「應用」和「作業系統」的那些系統ー樣，上述整個系統的各部分之間的界限可以是非常模糊的。例如，可以將某些通用的「應用」功能(如用來確定信息內容容器結構和/或其它屬性的功能)集成到作業系統中去。另外，某些「作業系統」功能(如任務管理或存貯器分配)可由應用進行修改和/或替換。較佳實施例ROS 602中的ー個常用思路就是部件組690提供用戶執行其預定任務所需的功能，這些功能中的一部分可以「類似應用」，一部分可以「類似作業系統」。部件組690最好設計成是容易分離的並且可以単獨加載。R0S602首先將各個元素裝配成可執行的部件組690，然後再(例如在諸如SPE 503和/或HPE 655之類的安全操作環境中)加載和執行該部件組。ROS提供了元素標識和引用機制，該機制包含了必要的信息，用以在執行前或執行中自動以安全方式將元素裝配成部件組690。用以形成部件組690的ROS 602應用結構和控制參數可由不同的団體來提供。由於組成部件組690的各部件可以單獨安全地遞送，於是這些部件便可以在不同時間並且/或者由不同団體來遞送(「遞送」可能發生在一個本地VDE安全子系統內部，也就是說，用信息內容控制信息鏈來控制參與者對已被修改的控制信息集合的製備，在此基礎上，通過使用控制信息的安全子系統，便可完成對部件獨立安全的遞送過程)例如，信息內容製作者可以製作某個ROS 602應用，該應用規定了在何種情況下VDE對象300所含信息內容才可被批准使用。該應用可以引用其它團體提供的結構。這種引用(舉例來說)可以採用如下的控制過程使用信息內容製作者的結構對用戶行為進行計量；使用金融提供者所創建/擁有的結構處理信息內容分發交易中的金融部分(如規定控制結構中必須出現的信用預算以建立信用值，規定必須由獲得準許者才能執行的審核過程，等等)。作為另ー個例子，分發者可能把規定了不同定價的不同數據元素傳遞給不同用戶，從而實現對某一用戶的定價相對另ー用戶的定價更為優惠。這種支持多個團體可安全獨立地傳遞控制信息的特性對於電子商業來說是相當重要的，即定義信息內容和/或設備控制信息集合，而該控制信息集合代表了ー組獨立団體的要求。所述獨立団體的例子有信息內容製作者、其它信息內容提供者、金融服務提供者、和/或用戶。在較佳實施例中，ROS 602部分地依據上下文參數(如對象、用戶)將可安全獨立遞送的元素裝配成部件組690。因而(舉例來說)，R0S 602可以把不同元素安全地裝配成不同的部件組690，以便使不同的用戶可以對同一 VDE對象執行同一任務。類似地，ROS 602可把可能含有一個或多個相同重用部件的不同元素集合裝配成不同的部件組690，以便使同一用戶可以對不同VDE對象300執行同一任務。R0S602所提供的部件裝配機制是「遞歸」的，這是因為，部件組690可以含有ー個或多個部件「子組」，這些「子組」本身就是可被獨立 加載和執行的部件組690。這些部件子組又可以包含一個或多個「子子組」。通常，部件組690可以包含N層部件子組。因此(舉例來說)，部件組690(k)可以含有部件子組690(k+l)，部件子組690 (k+Ι)又可以含有部件子子組690(3)...這樣繼續下去一直到N層子子組690 (k+N)。ROS 602這種從其它部件組創建部件組690的能力(舉例來說)在代碼/數據可重用性以及允許不同団體管理整個部件中的不同部分等方面具有很大的優點。較佳實施例中的每個部件組包含了不同的部件。圖11D-11H是對各種不同部件的抽象表示，這些部件可以被裝配成圖IlI所示的部件組690 (k)。這些相同的部件可以按照不同方式進行組合(如部件數量可以多ー些或少ー些)以形成不同的部件組690，從而提供完全不同的功能表現。圖IlJ抽象地示意了相同的部件以不同方式(如與添加部件)組合在一起形成不同的部件組690 (J)。部件組690 (k)和690 (j)每個都含有ー個共同的裝置691，該裝置與ROS 602定義的「通道」594互鎖在一起。「通道」594將部件組690裝配在一起，並且成為它們與ROS 602 (其餘部分)的接ロ。ROS 602以安全的方式生成部件組690。如圖IlI和IlJ所示，組成部件組690的不同元素可以是互鎖的，這是在VDE參與者創建了這些元素並且/或者限定了該部件組，使這些元素只能按照VDE參與者的意圖一起工作的意義上而言的。ROS 602含有安全保護措施，可防止未經授權的人員修改和替換元素可以想像ー個未經授權的人員製作了一個新元素使之與圖11D-11H中所示的某一元素具有相同的「形狀」，然後試圖用此新元素替換原有元素。假設圖IlH中的某個元素用來規定VDE對象300所含內容的使用價格，如果ー個未經授權的人員能夠以他自己規定的「價格」元素來替換VDE信息內容分發者所規定的價格元素，那麼此人可以不使用信息內容分發者所希望的價格，而將價格定為零。類似地，如果某一元素規定了一個電子信用卡，那麼假如將之替換成另一元素將會允許某人利用他人的(或ー個不存在的)信用卡為其使用行為進行付帳，這就會帶來災難性的後果。這些只是幾個例子，它們說明了 ROS 602確保以安全方式創建某些部件組690的重要性。ROS 602提供各種各樣的保護措施以防止各種各樣的「威脅」，從而確保部件組690的安全處理和執行。在較佳實施例中，ROS 602基於下列元素來裝配部件組690 許可記錄(「PERC」)808；
方法「核心」1000;加載模塊1100;數據元素(如用戶數據元素(「UDE」)1200和方法數據元素(「MDE」)1202);以及其它部件組690。簡要地說，較佳實施例中的PERC 808是ー個對應於某個VDE對象300的記錄，可用來為ROS 602標記出若干元素，利用這些元素ROS可以裝配出某個部件組690。於是PERC808實際上含有一個「裝配指令列表」或者說ー個「規劃」，用來指定哪些元素602要被裝配成部件組，以及如何將這些元素連接在一起。PERC 808本身可以含有數據或將要成為部件 組690組成部分的其它元素。PERC 808可以引用ー個或多個方法「核心」1000N。方法核心1000N可以定義基本的「方法」 1000 (如「控制」、「計帳」、「計量」等)。在較佳實施例中，方法1000是ー組基本指令以及與基本指令相關的信息，它提供上下文、數據、要求、和/或關係，以供執行和/或準備執行基本指令之用。這些基本指令與ー個或多個電子設備600的操作有夫。基本指令可以包括(舉例來說)今計算機編程中的通用機器代碼；以及由運行於計算機中的解釋程序或其它指令處理程序所使用的偽碼；令與電子設備600 —起用的、電子化表示的邏輯操作序列；今指令、源碼、目標碼、和/或偽碼的其它電子化表示，這些在本領域中都是眾所周知的。與所述基本指令相關的信息可以包括(舉例來說)與基本指令內在相關的數據，如ー個用來標識基本指令加上其內部數據、地址、常數等所形成聯合體的標識符。該信息也可以(舉例來說)包含下列一個或多個信息令標識相關基本指令及上述內部數據的信息，用於完成訪問、關聯和/或驗證等目的；今與基本指令和上述內部數據一同使用的、必要和/或可選的參數；+定義與其它方法之間關係的信息；+可以含有數值、信息欄位等的數據元素；今限定和/或定義了數據元素、基本指令和/或內部數據之間關係的信息；今限定了與外部數據元素間關係的信息；+限定了內部的與外部的數據元素、方法等(如果存在的話)之間關係的信息；今用於操作基本指令和內部數據的附加信息，該信息用於完成或準備完成用戶或方法的某項目的。在需要時它還包括附加的指令和/或內部數據。這種與某種方法相關聯的信息可以部分或全部地與基本指令和內部數據分開存貯。當分開存貯這些部件時，方法仍然可能含有其它信息、以及基本指令和內部數據的ー個或多個集合(之所以包含後者，是因為上述其它信息可以引用基本指令和內部數據的ー個或多個集合)，而不管上述基本指令和內部數據的ー個或多個集合是否能在給定時刻得到及時訪問。「事件代碼」可以向方法核心1000提供參數，從而允許方法核心1000以不同方式對不同事件做出響應例如，一個計量(METER)方法為響應「使用」事件，可以將使用信息存貯在計量數據結構中。而同一個計量(METER)方法為響應「管理」事件，可以將計量數據結構報告給VDE票據交換所或其它VDE參與者。在較佳實施例中，方法核心1000可以「包含」 一個或多個「加載模塊」 1100和ー個或多個數據元素(UDE 1200，MDE 1202)，這種「包含」或者是明確的，或者是通過引用來實現。在較佳實施例中，「加載模塊」 1100是某個方法的一部分，該方法反映了基本指令和內部數據。較佳實施例中的加載模塊含有可執行碼，也可以含有與該可執行碼相關的數據元素(「DTD」1108)。在較佳實施例中，加載模塊1100提供實際由硬體「執行」的程序指令，以完成由方法規定的進程。加載模塊可以包含或引用其它加載模塊。較佳實施例中的加載模塊1100是模塊化的，並且是「純代碼」，這樣一來就可以重入和重用單個加載模塊。為了使部件690可被動態更新，可允許在全局公用名字空間內對它們進行訪問。從這些設計目標來看，加載模塊1100最好是較小的、具有純代碼(及純類代 碼)特徵的模塊，並且可以單獨命名和尋址。ー個單一方法可以提供不同的加載模塊1100，這些加載模塊1100能夠在不同的平臺上完成相同或相似的功能，這樣可以使方法具有可伸縮性，並且/或者可以使之在多種不同電子設備之間移植。UDE 1200和MDE 1202可能存貯某些數據，將其作為可執行部件組690的輸入或輸出(也可以存貯說明這些輸入或輸出的數據)。在較佳實施例中，UDE 1200可以與用戶有關，而MDE 1202可以與用戶無關。圖IlE中的部件組690 (k)含有方法核心1000,UDE 1200a和1200b,MDE 1202、加載模塊1100a-1100d、以及另ー個部件組690(k+l)。如上所述，PERC 808 (k)定義了部件組690 (k)的「裝配指令」，並可以含有或引用了要用來裝配部件組的部分或全部部件之中的一部分。本例中的加載模塊IOOOb之一本身含有多個加載模塊1000c、IOOOcL本例中的某些加載模塊(如1000a，IOOOd)含有ー個或多個「DTD」數據元素1108(如1108a，1108b)。「DTD」數據元素1108可以用來(舉例來說)將MDE 1202和/或UDE 1200a、1200b中數據元素報告給加載模塊。另外，DTD 1108還可用來參與生成一個應用部分，該應用部分可以把有關ー個或多個加載模塊1100或者其它部件元素所需要和/或所處理的信息通知給用戶。這種應用程式也可以含有某些功能用來創建和/或處理UDE 1200、MDE 1202、或其它部件元素、子組等等。部件組690中的部件可以被重用，從而形成另外的部件組。如上所述，圖IlF抽象地示意了用來裝配部件組690 (k)的相同部件如何經過重用(例如，添加ー些部件進來，這些部件由另ー PERC 808(1)所提供的另一「裝配指令」集來指定)以產生另ー個部件組690(1)。儘管部件組690 (I)由用來裝配部件組690 (k)的一些同樣的部件構成，這兩個部件組卻可以以完全不同的方式執行完全不同的過程。如上所述，ROS 602提供了若干安全保護層以確保部件組690的安全性。ー個重要的安全層涉及確保某個部件組690的生成、加載和執行都只能在諸如由SPU 500中所提供的那種安全執行空間內進行。採用本地SPU 500所生成的密鑰和/或分發者所提供的密鑰完成加密以後，部件690及/或其所含元素可存貯在外部介質上。ROS 602還提供了標記和定序措施，用於可加載的部件組690內部，以便探測由替代而造成的破壞。部件組690所含的每個元素都可先被加載進SPU 500，然後經過加密/解密機522解密，再經過測試/比較，從而確保所加載的是正確的元素。可以進行幾個不相干的比較過程以確保沒有出現非法替換。例如，可以將公開的元素標識和秘密的元素標識進行比較，確保它們相等，這樣可以防止對元素的大批替換。另外，可以對保存在可加載元素已加密層之下的某個驗證/關聯標記進行比較，確保該標記與ー個或多個由請求進程所提供的標記相匹配。這樣可以防止未經授權就使用信息。作為第三種保護措施，可以檢查保存在可加載元素已加密層之下的某個設備賦值標記(如某個序列號)，確保該標記與SPU 500所期望的某個相關標記相匹配。這樣可以防止對較舊的元素進行替換。通常只用安全的包裝物來傳遞驗證/關聯標記，這是為了防止由於使用明文而將該信息洩露到SPU 500外部。ROS 602這種基於安全部件的體系結構帶有重要優點。例如，它適應有限資源的執行環境，比如由較低價SPU 500所提供執行環境。它還提供了極高的可配置性。實際上，ROS 602可以適應的信息內容類型、信息內容提供者對象、交易類型和客戶要求幾乎是不勝枚舉的。另外，它還能夠在執行過程中根據特定對象和用戶的要求動態裝配可獨立提供的部件，這種能力提供了高度的靈活性，簡化或者支持了分布式的資料庫、處理和執行環境。 ROS 602基於部件體系結構所具優點的ー個方面在於ROS 602可以隨著時間的推移而「分階段地」増加功能和能力。根據設計要求，實現ROS 602所做的工作是有限的。在實際市場情況決定要實現相關的VDE應用功能之前，ROS 602豐富功能的某些方面可能一直無法開發。因此，最初產品實現的投入和複雜性可以是有限的。隨著時間的推移，ROS602在製作、管理和人工智慧應用等方面將會不斷提供更全面的功能。而且為了適應不斷變化的需求，可在任何時間對已有的R0S602功能進行修改或加強。權利作業系統602體系結構詳述圖12示意了圖10中的ROS 602的詳細體系結構。ROS 602可以含有一個文件系統687，文件系統687包含一個商業資料庫管理程序730和外部對象倉庫728。商業資料庫管理程序730可以對安全資料庫610進行維護。對象倉庫728可以存貯VDE對象300、為VDE對象300提供訪問、和/或維護VDE對象300。圖12還示意了 ROS 602可以提供ー個或多個SPE 503和/或ー個或多個HPE 655。如上所述，HPE 655可以「仿真」SPU 500設備，並且，為了支持需要較高吞吐率的系統，可以將HPE 655進行集成以代替物理SPU 500，或作為物理SPU 500的補充。由於HPE 655通常由作業系統的安全性來保護，所以上述過程可能會損失一部分安全性而不能提供真正安全的處理。因而，在較佳實施例中，至少是為了高安全性應用，所有安全處理都應在SPE 503中進行，這是因為SPE 503在物理SPU 500中擁有ー個執行空間，而不象HPE 655那樣使用的是電子設備600中隨處運行的軟體。如上所述，ROS 602的三個基本部件分別是核心680、遠程過程調用(RPC)管理器732和對象開關734。下面將就這些部件以及它們與ROS 602其它部分交互作用的原理進行討論。核心680核心680管理電子設備600的基本硬體資源，並控制ROS 602所提供的基本任務分配過程。較佳實施例中的核心680可以含有內存管理器680a、任務管理器680b和I/O管理器680c。任務管理器680b可對可執行任務的起動過程進行起動和/或管理，並對任務進行調度，使之可以在運行有ROS 602的處理器(如圖8中的CPU 654)上執行。例如，任務管理器680b可以含有ー個「弓I導裝入程序」，或與該「弓I導裝入程序」相關聯。「引導裝入程序」加載ROS 602的其它部分。任務管理器680b可管理所有與ROS 602有關的任務分配工作，包括與應用程式608相關的任務。內存管理器680a可以管理電子設備600的存貯器(如圖8中的RAM 656)分配、回收、共享和/或使用，還可以(舉例來說)提供虛擬內存功能，如電子設備和/或相關應用所需採的。I/O管理器680c可以管理所有ROS 602的輸入和輸出，並可以與驅動程序和其它硬體管理器交互作用，其中這些驅動程序和硬體管理器提供了與物理設備進行通信和交互作用。RPC 管理器 732較佳實施例中的ROS 602是圍繞「基於服務」的遠程過程調用體系結構/接ロ進行設計的。ROS 602所執行的所有功能都可使用這個通用接ロ來請求服務和共享信息。例如，SPE 503支持對ー個或多個基於RPC的服務進行處理。除了支持SPU 500，RPC接ロ還利用現有作業系統部件，支持對外部服務的動態集成，並提供了ー組配置選項。R0S602也可以通過RPC接ロ與外部服務進行通信，從而無縫地提供了分布式和/或遠程處理。在ROS602的較小型實例中，為節省資源，可以使用較簡單的消息傳遞IPC協議。這種方法可能限 制了 ROS 602服務的可配置性，但在某些電子設備中，這點可能的限制還是可以接受的。採用RPC結構，調用進程在調用或請求服務時，不必知道或指定在物理上的何處提供服務、何種系統或設備將對請求進行服務、以及如何對請求進行服務。該特性可為特定應用對各種服務集進行增減和/或定製。服務請求可由不同的處理器或不同的地點進行傳遞或服務，這ー過程就象本地的服務系統對服務請求進行傳遞或服務ー樣容易。由於較佳實施例中的ROS 602使用相同的RPC接ロ對作業系統之中或之外發出服務的請求，因而對分布式和/或遠程處理的請求實質上不會帶來額外的作業系統開銷。可以容易而簡便地將遠程處理進行集成，將之加入到ROS 602為請求基於本地的服務所使用的相同服務調用中。另外，使用標準RPC接ロ( 「RSI」)可帶來ROS 602的模塊化，不同的模塊向作業系統其餘部分提供的是標準的接ロ。這種模塊化和標準化接ロ使不同的出售者/作業系統編寫人員能夠獨立地製作作業系統的不同部分，同時還允許根據不同要求和/或平臺靈活地更新和/或改變ROS 602的功能。RPC管理器732對RPC接ロ進行管理。它接收服務請求，這些服務請求的形式是由服務請求者發出的一個或多個「遠程過程調用」(RPC)。接收到之後，它選擇合適的路由將這些服務請求轉發給能夠對之進行服務的服務提供者。例如，當權利作業系統602收到由用戶應用通過用戶API 682發出的請求後，RPC管理器732可通過「RPC服務接ロ」( 「RSI」)將該服務請求發往ー個適當的服務提供者。RSI是RPC管理器732、請求服務者、及資源之間的ー個接ロ，該資源將接受請求並對之提供服務。在較佳實施例中，RPC接ロ(RSI)由ROS 602的若干主要子系統所使用。在較佳實施例中，ROS 602所提供的RPC服務又分成了子服務，子服務即為特定服務的單個實例，每個這樣的實例均可被RPC管理器732単獨跟蹤。採用這種機制，在具有較高呑吐率的系統中ー個特定服務可以有多個實例，同時在各種實現之間又存在著共同的接ロ。子服務的概念加以延伸可以支持多處理器、多SPE 503、多HPE 655以及多種通信服務。較佳實施例ROS 602提供了下列基於RPC的服務提供者/請求者(每ー個提供者/請求者都具有RPC接ロ或「RSI」，以便與RPC管理器732進行通信)
SPE設備驅動程序736 (在較佳實施例中，該驅動程序與SPE 503相連)；HPE設備驅動程序738 (在較佳實施例中，該驅動程序與HPE 738相連)；通告服務740(在較佳實施例中，該通告服務與用戶通告接686相連)；API服務742 (在較佳實施例中，該API服務與用戶API 682相連)；重定向器684; 安全資料庫(文件)管理程序744 (該安全資料庫管理程序或文件管理程序744可以通過高速緩存管理器746、資料庫接ロ 748和資料庫驅動程序750與商業資料庫730和安全文件610進行連接和交互作用)；名字服務管理器752;輸出管理對象管理器754 ；輸入管理對象管理器756 ；到達對象開關734的網關(gateway) 734 (這是一條通路，它用來在RPC管理器732和對象管理器734之間建立直接通信)；以及通信管理器776在前面已經論述了 HPE 655、SPE 503、用戶通告686、API 742和重定向器684所提供的服務類型。現在簡要地介紹ー下OS資源744、752、754、756和776所提供的服務類型。安全資料庫管理器744對訪問安全資料庫610的請求進行服務；名字服務管理器752對有關用戶、主機或服務標識之類的請求進行服務；輸出管理對象管理器754對有關輸出管理對象的請求進行服務；輸入管理對象管理器756對有關輸入管理對象的請求進行服務；通信管理器776對有關電子設備600與外界進行通信的請求進行服務；對象開關734對象開關734 (可在局域或遠程)對VDE對象300進行處理、控制和遞送。在較佳實施例中，對象開關可以含有下列元素流路由器758;實時流接ロ 760 (實時流接ロ 760可以與實時數據輸入694相連)；時間相關性流接ロ 762;截獲器692 ；容器管理器764;一個或多個路由表766 ；以及緩衝區/存貯區768。流路由器758負責選擇合適的路由以到達/離開分別由實時流接ロ 760和時間相關性流接ロ 762處理的「實吋」數據流和「時間無關性」數據流。截獲器692截獲帶有實時信息流(如實時輸入694)的I/O請求。流路由器758可根據路由表766來決定路由的選擇。緩衝區/存貯區768提供臨時的存貯轉發、緩衝及相關服務。容器管理器764可以(通常與SPE 603 一起)對VDE對象300執行各種處理，如對一部分對象進行構造、銷毀和定位處理。對象開關734通過對象開關接ロ( 「0SI」)與ROS 602的其它部分進行通信。在較佳實施例中，對象開關接ロ可以類似於(舉例來說)Unix的套接字(socket)的接ロ。圖12所示的每個「0SI」接ロ均能夠與對象開關734通信。ROS 602含有下列的對象開關服務提供者/資源(每個提供者/資源都可以通過「0SI」與對象開關734通信)輸出管理對象管理器754 ；輸入管理對象管理器756 ；網關734 (網關734可以將RPC調用翻譯成對象開關調用，或反向翻譯，這樣一來，RPC管理器732就可以與對象開關734或其它任何帶有OSI的元素進行通信，從而(舉例來說)可以提供和/或請求服務)； 外部服務管理器772 ； 對象提交管理器774 ;以及通信管理器776。簡要地說，對象倉庫管理器770提供有關訪問對象倉庫728的服務；外部服務管理器772提供的服務涉及到請求和接收外部服務，例如該服務可以來自某個網絡資源或另ー個地點；對象提交管理器774提供的服務涉及到用戶應用如何與對象開關734交互作用(由於對象提交管理器向應用程式608提供了接ロ，所以可以將它看成是用戶API 682的一部分)；以及通信管理器776提供有關與外界通信的服務。在較佳實施例中，通信管理器776可以含有網絡管理器780和郵件網關(管理器)782。郵件網關782可以含有一個或多個郵件過濾器784，用以(舉例來說)在對象開關734和外界電子郵件服務之間自動地選擇與VDE相關的電子郵件的路由。外部服務管理器772可通過服務傳輸層786與通信管理器776接ロ。服務傳輸層786a可允許外部服務管理器772使用各種協議與外部計算機和系統進行通信，這些協議要通過服務傳輸層786進行管理。下面將詳細論述圖12中ROS 602各個子系統的特性及接ロ。RPC管理器732及其RPC服務接ロ如上所述，ROS 602所提供的基本系統服務要通過使用RPC服務接ロ(RSI)進行調用。該RPC服務接ロ向ROS 602中的各種服務系統和子系統提供了通用的標準化接ロ。RPC管理器732將RPC所請求的服務選擇路由到適當的RPC服務接ロ。在較佳實施例中，一旦接收到ー個RPC請求，RPC管理器732對ー個或多個服務管理器進行判斷並確定哪ー個應該服務該請求。然後RPC管理器732 (通過與某個服務相關的RSI)將服務請求路由選擇到適當的服務，以便該適當服務管理器提供服務。例如，如果SPE 503應該服務某個請求，那麼RPC管理器732將該請求路由選擇到RSI 736a，RSI 736a將該請求傳遞給SPE設備驅動程序736以便再轉發給SPE。同樣，如果HPE 655應該服務某個請求，那麼RPC管理器732將該請求路由選擇到RSI 738a以便再轉發給ΗΡΕ。在一個較佳實施例中，SPE 503和HPE 655可以提供實質上相同的服務，這樣，RSI 736a和738a便成了同一 RSI的不同實例。一旦SPE 503 (或HPE 655)收到了ー個服務請求，該SPE (或ΗΡΕ)通常使用其內部RPC管理器對該請求進行內部調度(後面馬上就會講到這一點)。SPE 503和HPE 655內部的進程也可以產生RPC請求。這些請求可以被SPE/HPE內部處理，但如果不能在內部服務的話，這些請求就會被傳出SPE/HPE，由RPC管理器732進行調度。RPC管理器732可使用「RPC服務表」對遠程(或本地)過程調用進行調度。RPC服務表說明了為得到特定服務需將請求路由選擇到何處供處理。在較佳實施例中，RPC服務註冊表中的每一行都含有ー個服務標識、服務的地點以及為服務請求將控制要傳遞到的地址。RPC服務表還可以含有控制信息，以指明RPC調度者中的哪ー個實例應該取得該服務的控制權。RPC管理器732以及連入的任何SPE 503和HPE 655都可以擁有RPC服務表的對稱副本。如果某個RPC服務沒有出現在RPC服務表中，其原因有ニ 或者它被拒絕，或者它被傳送給外部服務管理器772用來進行遠程服務。假設RPC管理器732在RPC服務表中發現某一行與請求相對應，它便可將該請求調度給適當的RSI。接收的RSI從RPC管理器732處接收到一個請求(RPC管理器732可以 已經在RPC服務表中查到了該請求)，然後根據與特定服務相關的內部優先級對該請求做 出處理。在較佳實施例中，由RPC管理器732支持的RPC服務接ロ可以是標準化的並且被公布出來，以便支持由第三方廠家開發的增加服務模塊，同時還使得對ROS 602編程更加容易，最終帶來方便的可伸縮性。較佳實施例RSI嚴格遵循DOS和Unix為塊設備設計的設備驅動程序模塊，這樣，花費最小的代價就可以開發出適用於許多平臺的公用代碼。下表列出了可能的公用入口點集合的一個示例。
權利要求
1.ー個安全對象處理系統，該系統包括包括至少部分受保護的可執行信息內容和規定為了執行所述可執行信息內容所述對象處理系統必須滿足的ー個或多個條件的至少ー個至少部分受保護的控制的至少ー個安全對象，通過將所述可執行信息內容放置在安全電子容器內而使所述可執行信息內容受保護，以及 經由電子防破壞安全屏障來保護並包括至少ー個安全處理單元的至少ー個安全執行環境，，配置成如果所述ー個或多個條件被滿足則執行該可執行信息內容。
2.一個安全對象處理方法,該方法包括 提供包括至少部分受保護的可執行信息內容和規定為了執行所述可執行信息內容至少ー個安全執行環境必須滿足的ー個或多個條件的至少ー個至少部分受保護的控制的至少ー個安全對象，通過將所述可執行信息內容放置在安全電子容器內而使所述可執行信息內容受保護，如果所述ー個或多個條件被滿足，在所述至少ー個安全執行環境中處理該可執行信息內容，所述的至少ー個安全執行環境經由電子防破壞安全屏障來保護並包括至少ー個安全處理單元。
全文摘要
本發明的名稱是「用於安全交易管理和電子權利保護的系統和方法」。本發明提供了用於包括安全交易管理和電子權利保護的電子商業活動的系統和方法。遵照本發明而使用的諸如計算機之類的電子設備有助於確保只能以經過授權的方式訪問和使用信息，並維護了信息的完整性、可用性和/或保密性。結合上述電子設備使用的安全子系統提供了一個虛擬分發環境(VDE)，所述虛擬分發環境強制執行了一個安全的處理和控制鏈(舉例來說)以控制和/或計量或監視對電子存貯的或傳播的信息的使用。該虛擬分發環境可以用來保護電子商業活動中以及其他電子的或由電子促進的交易中的各種參與者的權利。採用諸如可在各節點上建立安全的、受保護的環境的安全半導體處理配置來保障分布式與其它作業系統環境及體系結構。這些技術可以用來支持(舉例來說)使用「電子高速公路」可能用到的端到端電子信息分發功能。
文檔編號G10L21/02GK102693378SQ201210039940
公開日2012年9月26日 申請日期1996年2月13日 優先權日1995年2月13日
發明者D·M·范維, F·J·斯帕恩, K·L·吉特爾, V·H·希爾 申請人:英特特拉斯特技術公司