Die vorliegende Erfindung betrifft ein Bereitstellen eines Zugriffs auf Daten, die auf einer tragbaren Datenspeichereinheit gespeichert sind. Genauer gesagt betrifft sie ein System zum Liefern von verschlüsselten Daten auf einer tragbaren Datenspeichereinheit und zum Senden eines Zugriffscodes von einer entfernten Stelle, um die verschlüsselten Daten zu entschlüsseln.

Da sich fortgesetzt Fortschritte bei der Technologie einer Datenspeicherung mit hoher Dichte erzielt werden, erlangen mehr Heime und Geschäfte Computerperipherien bzw. -umgebungen, die neue Formen von tragbaren Datenspeichermedien lesen können. Beispielsweise werden Medien hoher Dichte, wie beispielsweise ein Kompaktdisk-Nurlesespeicher (CD-ROM), ein populäres Medium zum Speichern fortentwickelter Formen elektronischer Information, wie beispielsweise Text-, visuelle (Video oder Fotografien) und Audio-Informationen, sowie auch interaktive Medien. CD-ROMs enthalten genügend Speicherraum zum Halten des Äquivalents von 250.000 Seiten an Text, von 12.000 Bildern, von 1,5 Stunden an Videoaufzeichnung, von 500 Taschenbüchern oder 430 Zeitschriften. Darüber hinaus unterstützt die CD-ROM-Technologie eine äußerst kosteneffektive Kopiereigenschaft von im Durchschnitt 0,05 $ pro kopierter CD. CD-ROM-Abspielgeräte können mit Fernsehgeräten oder Computern gekoppelt werden, so dass der Anwender auf Text- und visuelle Informationen sowie auch auf Audio-Informationen zugreifen kann, die auf einer CD-ROM gespeichert sind.

Es ist für die meisten Verleger bzw. Veröffentlicher bzw. Herausgeber allgemeine Praxis, ihre Informationen elektronisch, d. h. auf Textverarbeitungssystemen und Computern, zu sammeln und zu verarbeiten. Ihre Daten werden in elektronischer Form gehalten, bis es Zeit dafür ist, sie per Post zum Teilnehmer zu senden. Zu dieser Zeit werden die Informationen gedruckt, werden Teilnehmer-Postetiketten angebracht und werden die veröffentlichten bzw. herausgegebenen Informationen über einen postalischen Dienst zum Teilnehmer gesendet. Bei diesem System sind die Kosten für das Drucken und die Auslieferung extrem hoch. Darüber hinaus haben Umweltbelange die Notwendigkeit mit sich gebracht, Papier als kritische Ressource zu betrachten. Demgemäß ist die Notwendigkeit für ein neues Herausgabemedium erkannt worden. Siehe beispielsweise die US-Patente mit den Nr. 4,827,508, 4,977,594 und 5,050,213, die jeweils am 2. Mai 1989, am 11. Dezember 1990 und am 17. September 1991 für Shear erteilt sind.

Teilnahmedienste für Daheim und für das Büro durch standardmäßige postalische Kanäle versorgen Teilnehmer mit Zeitschriften, Handelsjournalen, finanziellen Updates und Bücher für monatliche Clubs. Diese Teilnahmedienste erfordern, dass der Anwender (Teilnehmer) entweder im Voraus oder monatlich einen festen Betrag zahlt. Während der Zeit, für welche die Teilnahme gültig ist, fährt der Herausgeber damit fort, seine Informationen per Post zu diesem Teilnehmer zu senden. Darüber hinaus kann jeder einzelne Anwender der Teilnehmer einer Vielzahl von Journalen oder Magazinen bzw. Zeitschriften sein. Es ist auch wahrscheinlich, dass ein einziger Teilnehmer Teilnahmen an einigen Magazinen halten kann, die vom selben Herausgeber herausgegeben werden.

Ebenso werden andere Typen von herausgegebener oder archivierter Information, wie beispielsweise Firmen-, Regierungs- oder Gesetzesaufzeichnungen, werden zur Verbreitung bzw. Verteilung auf Papier gedruckt. Wenn sie verbreitet bzw. verteilt werden, können solche Aufzeichnungen von denjenigen nachteiligerweise oder absichtlich gelesen werden, die nicht dafür autorisiert sind, da es keinen Weg zum Sicherstellen gibt, dass der Leser dafür autorisiert ist, auf den gedruckten Gegenstand zuzugreifen. Darüber hinaus ist es deshalb, weil einige veröffentlichte Firmen- oder Gesetzesinformationen konstanten Updates bzw. Aktualisierungen unterzogen werden, die das zuvor veröffentliche Material veraltet werden lässt, vorzuziehen, aber oft schwierig, datiertes Material aus einem Kreislauf herauszunehmen.

Nimmt man wiederum Bezug auf die Patente für Shear, prüfen oder messen diese Systeme eine Zugriffsaktivität eines Anwenders. Weil ein Schlüssel zum Entriegeln von verschlüsselten Daten auf der Anwender-Hardware vorhanden ist, wie beispielsweise einer PCMCIA-Karte, wird die Entschlüsselungsfunktion auf der Anwenderseite verhindert, um einen nicht autorisierten Zugriff auf die Daten zu verhindern. Somit ist gemäß den Systemen von Shear ein Zugriff auf die Informationen auf dem tragbaren Speichermedium, wie beispielsweise einer CD-ROM, für einen Anwender ohne eine frühere Autorisierung für einen Zugriff verfügbar. Daher gibt es keinen Weg dafür, vor dem Zugriff eines Anwenders sicherzustellen, dass der Leser dafür autorisiert ist, auf die Informationen zuzugreifen, die auf der CD-ROM gespeichert sind. Weiterhin stellen diese Systeme keinen Weg zur Verfügung, auf welchem ein Zugriff auf abgelaufene Informationen blockiert werden kann.

Die Notwendigkeit für einen Schutz von auf beispielsweise CD-ROMs gespeicherten Informationen vor einem nicht autorisierten Zugriff muss erfüllt sein, bevor ein solches Veröffentlichungsverteilungssystem für Herausgeber bzw. Veröffentlicher akzeptierbar ist. Auf sowohl der Herausgeberseite als auch auf der Teilnehmerseite zur Verfügung gestellte Sicherheit wird benötigt, um den nicht autorisierten Zugriff auf Daten zu verhindern, die auf den Medien enthalten sind. Darüber hinaus müssen gültige Teilnehmer geschützt werden, wenn ihr Teilnahmedienst bzw. -service beendet wird.

Die internationale Anmeldung mit der Veröffentlichungsnummer WO88/02202 mit dem Titel "Metering retrieval of encrypted data stored in customer data retrieval terminal" offenbart ein System zum Steuern und zum zahlenmäßigen Ausmachen eines Wiedergewinnens von Daten aus einem CD-ROM-Speicher, der verschlüsselte Datendateien enthält, von welchen eine Wiedergewinnung autorisiert werden muss. Das System enthält einen Autorisierungs- und Schlüsselverteilungsanschluss und eine Vielzahl von Kundendaten-Wiedergewinnungsanschlüssen mit solchen Speichern, die darin geladen sind. Der Autorisierungsanschluss autorisiert eine Wiedergewinnung von Daten durch autorisierte Kundenanschlüsse durch Bereitstellen eines Verschlüsselungsschlüssels zum Ermöglichen einer Wiedergewinnung der Daten und eines authentifizierten Kreditsignals zur Verwendung beim Begrenzen der Menge an aus den Dateien wiederzugewinnenden Daten zu den autorisierten Kundenanschlüssen. Der Verschlüsselungsschlüssel wird zur Kommunikation zu den Kundenanschlüssen in eindeutigen Einheitsschlüsseln verschlüsselt, die in den jeweiligen Kundenanschlüssen gespeichert sind. Der Kundenanschluss begrenzt die Menge an Daten, die aus den Dateien wiedergewonnen werden, gemäß dem Kreditsignal; zeichnet die Menge an Daten auf, die aus den Dateien wiedergewonnen werden; und liefert einen authentifizierten Bericht über die aufgezeichnete Menge an Daten, die aus den Dateien wiedergewonnen sind, zum Autorisierungsanschluss. Der Speicher enthält Datendateien von unterschiedlichen Datenanbietern; und der Kundenanschluss zeichnet die Wiedergewinnung von Daten aus den Dateien der unterschiedlichen Anbieter bzw. Verkäufer separat auf.

Die vorliegende Erfindung ist in den unabhängigen Ansprüchen definiert. Bevorzugte Ausführungsbeispiele sind in den abhängigen Ansprüchen beschrieben.

Es gibt wenigstens drei Grundmerkmale der vorliegenden Erfindung. Sie enthalten eine Verschlüsselung von Daten auf eine besondere Weise, eine Verteilung der Daten unter einem besonderen Verteilungsschema und ein Steuern der Verwendung von Daten durch ein Aktualisierungsschema bzw. Update-Schema. Viele Vorteile werden durch diese Basismerkmale zur Verfügung gestellt, wie sie nachfolgend detailliert diskutiert werden.

Diese Erfindung enthält Veröffentlichungsdaten auf einem entfernbaren oder tragbaren Medium, vorzugsweise mit hoher Dichte, wie beispielsweise einem CD-ROM oder einer magneto-optischen Platte (MO). Somit kann ein oder können mehrere Herausgeber mehrere, wenn nicht alle, ihrer periodischen Veröffentlichungen auf einem einzigen Medium enthalten sein lassen. Die vorliegende Erfindung enthält ein Partitionieren bzw. Aufteilen des Mediums gemäß den unterschiedlichen Publikationen in Datengruppen und dann ein Bereitstellen eines Schutz-, eines Zugriffs-, und eines Anwendungs-Prüfschemas für diese Datengruppen. Somit können nur für gültig erklärte Teilnehmer einen Zugriff auf die auf der CD-ROM gespeicherte Informationen gewinnen.

Ein weiteres wichtiges Merkmal der vorliegenden Erfindung besteht darin, dass sie dem Herausgeber bzw. Veröffentlicher die Werkzeuge zur Verfügung stellt, Daten und eine Buchung gemäß der eigenen Wahl des Herausgebers zu konfigurieren und einzustellen. Zu der Zeit, zu welcher sie die Medien erzeugen, wird Herausgebern eine Flexibilität bezüglich einer Buchung zum Belasten von Teilnehmern gemäß dem Typ von Informationen zur Verfügung gestellt, die verkauft werden. Diese Flexibilität ist im Veröffentlichungsprozess enthalten.

Genauer gesagt enthält das Schutz- und Zugriffsschema der vorliegenden Erfindung ein Versorgen des Veröffentlichers mit einem Verschlüsselungswerkzeug auf beispielsweise einer personalisierten PCMCIA oder einem anderen geeigneten Programmspeichermedium. Bei dieser Implementierung der vorliegenden Erfindung erscheinen dann, wenn der Veröffentlicher ein lokal gespeichertes Programm lädt, menübetriebene Optionen auf dem Computerbildschirm des Veröffentlichers, die zulassen, dass der Veröffentlicher den Zugriff eines Anwenders oder eines Teilnehmers auf die Daten des Veröffentlichers definiert. Die Buchungsoptionen sind auch als "Attribute" bekannt, die beispielsweise eine Teilnahmedauer enthalten. Die Buchungsattribute sind verbunden mit Schlüsselmaterialidentifizierern (KMIDs = Key Material Identifiers), die im Wesentlichen Indizes oder identifizierende Codes für den Zweck eines Korrelierens von Buchungsattributen mit Zugriffscodes sind. Zugriffscode und Schlüssel werden hierin austauschbar verwendet. Ein Zugriffscode entsprechend einem bestimmten Segment von auf der CD-ROM gespeicherten Daten wird schließlich zu den Teilnehmern hinuntergeladen, so dass sie einen Zugriff auf die Informationen erlangen können.

Das auf der PCMCIA des Veröffentlichers gespeicherte Programm ermöglicht dem Veröffentlicher, die Daten zu verschlüsseln, so dass ein Zugriffscode oder ein Schlüssel dafür erforderlich ist, sie zu entschlüsseln. Die verschlüsselten oder verwürfelten Daten zusammen mit dem KMID werden dann auf einem tragbaren Speichermedium gespeichert. Entsprechende Buchungsinformationen werden auch in einer separaten Datei für die Durchsicht durch den Anwender gespeichert. Der CD-ROM wird dann zum Anwender transferiert. Der Anwender ist auch im Besitz einer PCMCIA oder einem anderen geeigneten Speichermedium, das darauf Software zum Kommunizieren mit dem Buchungs/Zugriffs-Zentrum und zum Managen von heruntergeladenen Zugriffscodes hat. Der Anwender verfügt weiterhin über eine Telefonleitung oder ein vergleichbares Medium, einen Computer mit einem Modem und Zusatzgeräten bzw. Peripherien, die die PCMCIA und den CD-ROM lesen können.

Eine Anwendung auf dem Personalcomputer eines Anwenders ermöglicht, dass ein Menü auf dem Bildschirm des Computers erscheint, wenn der Anwender den CD-ROM, der Daten eines Veröffentlichers enthält, in seine Lesehardware lädt. Das Menü listet beispielsweise die Publikationen, die zum Verkauf verfügbar sind, und die Buchungsinformationen auf. Der Anwender fragt dann über die auf der PCMCIA-Karte gespeicherte Software nach einem Zugriff auf eine oder mehrere der Publikationen durch Hervorheben einer oder Zeigen auf eine Publikation zum Verkauf und dann durch Senden der Anfrage zum Buchungs/Zugriffs-Zentrum. Der KMID- oder identifizierende Index und die erforderlichen Buchungsdaten, wie beispielsweise eine Kreditkartennummer oder eine Kartennummer für eine im Voraus bezahlte Karte werden zu einer entfernten Buchungsstation über die Telefonleitung gesendet. Die Buchungsstation passt auf eine Kreditbestätigung hin den KMID an den Zugriffscode an und überträgt den Schlüssel- und Zugriffsparameter, z. B. eine Zeit einer verkauften Teilnahme, zu dem Anwender über die Telefonleitung. Der Schlüssel wird dann auf der Anwender-PCMCIA-Karte installiert. Der Anwender kann dann auf die bestimmte Publikation zugreifen, auf welche ein Zugriff durch diesen bestimmten Zugriffscode oder Schlüssel möglich ist.

1 zeigt das Gesamtsystem der vorliegenden Erfindung;

2 zeigt das Anwender-Buchungsstations-Untersystem des Kastens 11 der 1;

3 zeigt das Veröffentlicher-Buchungsstations-Untersystem des Kastens 12 der 1;

4 ist ein Schema, das die zu dem Buchungs/Zugriffs-Zentrum durch den Veröffentlicher und durch den Anwender gesendeten Informationen zeigt;

5 ist ein Blockdiagramm von einigen Elementen der Veröffentlicherstation der vorliegenden Erfindung;

6 ist ein Blockdiagramm der Veröffentlicher-PCMCIA;

7 ist ein Ablaufdiagramm einer Veröffentlicher-Buchungssoftware;

8 zeigt eine Bildschirmanzeige von Attributenauswahlen, die während der Veröffentlichernutzung der vorliegenden Erfindung verfügbar sind;

9 zeigt eine zweite Bildschirmanzeige von Sicherheitsauswahlen, die während der Veröffentlichernutzung der vorliegenden Erfindung verfügbar sind;

10 zeigt eine Liste des Typs von Informationen, die auf dem entfernbaren Medium der vorliegenden Erfindung gespeichert sind;

11 ist ein Blockdiagramm von einigen Elementen der Teilnehmerstation der vorliegenden Erfindung;

12 ist ein Blockdiagramm der Teilnehmer-PCMCIA;

13 ist ein Ablaufdiagramm des Teilnehmer-Schlüsselanfrageprozesses;

14 ist ein Blockdiagramm einer Schlüsseldatenbasis und eines Buchungs/Zugriffs-Zentrums;

15 ist ein Ablaufdiagramm des Buchungs/Zugriffs-Zentrumsprozesses; und

16 ist ein Diagramm, das das Merkmale einer kryptografischen Updatens der vorliegenden Erfindung darstellt.

Das System und das Verfahren der vorliegenden Erfindung enthalten allgemein zwei Untersysteme und Unterverfahren. Der erste Teil dieser Diskussion wird sich auf die zwei Untersysteme beziehen, und darauf, wie sie aufeinander bezogen sind, um das gesamte System zu bilden. Der zweite Teil dieser Diskussion, der nachfolgend beginnt, wird sich auf die Implementierung von jedem Teil des Systems konzentrieren.

Nimmt man Bezug auf 1, sind ein Kasten 11 und ein Kasten 12 zwei unterschiedliche Teile des Gesamtsystems, die sich bei einem Kasten 13 überlagern. Im Kasten 12 ist der Veröffentlicher bzw. Herausgeber 21 von Daten gezeigt. Die Daten können irgendeinen Typ von Daten enthalten, die auf einer tragbaren Speichereinheit 22, wie beispielsweise einem CD-ROM 22, wie sie hierin nachfolgend genannt wird, gespeichert werden können. Nachdem die Daten erzeugt sind und bevor sie auf dem CD-ROM 22 gespeichert werden, werden sie verschlüsselt oder verwürfelt, so dass auf sie nicht ohne den geeigneten Zugriffscode zugegriffen werden kann. Demgemäß enthält die vorliegende Erfindung standardmäßige kryptografische Techniken wie beispielsweise eine symmetrische Schlüsselverschlüsselung, eine digitale Signatur, einen asymmetrischen Schlüsselaustausch oder eine Forderungsantwort. Alternativ dazu kann diese Erfindung irgendwelche kryptografischen Techniken verwenden, die kein Standard sind.

Nachdem der Veröffentlicher 21 die Daten codiert, kommuniziert er bestimmte Informationen zu einem in einem Kasten 13 gezeigten Buchungs/Zugriffs-Zentrum 23, wie es nachfolgend detailliert diskutiert wird. Der Veröffentlicher 21 speichert die verschlüsselten Daten auf dem CD-ROM 22 und verteilt dann die Daten über Verteilungskanäle bzw. Vertriebskanäle, wie beispielsweise den postalischen Dienst 24. Verteilungskanäle können auch eine Verteilung zwischen Büros enthalten, wie beispielsweise unter anderem in einer Firmen-, Regierungs- oder Gesetzgebungs- bzw. Gesetzes- bzw. Rechtsumgebung. Schließlich wird der CD-ROM von einem Anwender 26 empfangen. Der Anwender hat einen Computer (der einen Prozessor enthält) oder ein Fernsehgerät oder einen Monitor mit einem Prozessor und ein CD-ROM-Lesegerät. Der Computer des Anwenders ist mit entweder einem Softwareprogramm und/oder einer Hardware ausgestattet, welches bzw. welche zum Kommunizieren mit dem Buchungs/Zugriffs-Zentrum 23 verwendet wird und welches bzw. welche eine Steuerung zum Verarbeiten der vom Buchungs/Zugriffs-Zentrum 23 empfangenen Daten hat.

Wenn der Anwender 26 den CD-ROM 22 in sein CD-ROM-Lesegerät lädt, wird dem Anwender ein Menü auf dem Computer- oder Fernsehmonitor oder -Bildschirm präsentiert, das anzeigt, welche Daten auf dem CD-ROM 22 gespeichert sind. Es kann sein, dass ein Teil der Daten auf dem CD-ROM 22 nicht verschlüsselt ist, so dass der Anwender auf diesen Teil ohne einen Zugriffscode zugreifen kann. Jedoch ist wenigstens ein Teil der Daten gemäß der vorliegenden Erfindung verschlüsselt. Dafür, dass der Anwender auf die verschlüsselten Daten zugreift, muss der Anwender einen Zugriffscode oder einen Schlüssel zum Entschlüsseln der verschlüsselten Daten erhalten. Um einen Zugriffscode zu erhalten, kommuniziert der Anwender 26 mit dem Buchungs/Zugriffs-Zentrum 23 über eine Verbindung 27, die eine Telefonleitung oder eine andere Kommunikationsvorrichtung oder ein Gerät ist, unter einem Senden einer Anfrage nach einem bestimmten Zugriffscode. Auf eine Autorisierung hin lädt das Buchungs/Zugriffs-Zentrum 23 über die Verbindung 27 einen Zugriffscode zum Entschlüsseln der Daten zum Anwender 26 hinunter, oder sendet diesen zu ihm.

2 zeigt das Anwender-Buchungs/Zugriffs-Zentrums-Untersystem detaillierter. Wie es oben angegeben ist, ist der Computer des Anwenders mit entweder einem Softwareprogramm und/oder einer Hardware ausgestattet, welches bzw. welche zum Kommunizieren mit dem Buchungs/Zugriffs-Zentrum 23 verwendet wird und welches bzw. welche zum Steuern der von dem Buchungs/Zugriffs-Zentrum 23 empfangenen Daten verwendet wird. Wie es in 2 gezeigt ist, ist eine Anwendung zum Öffnen und Bereitstellen von Anwendungs-"Bildschirmen" auf der Maschine vorhanden. Eine Kommunikation wird daher zwischen der PCMCIA-Karte 29, die in ein PCMCIA-Laufwerk 32 geladen ist, und dem Anwender, der den Computer 31 betreibt, ermöglicht. Die PCMCIA-Karte 29 wird zum Anwender geliefert, so dass der Anwender eine Anfrage 27' nach einem Zugriffscode zum Entschlüsseln von verschlüsselten Daten zum Buchungs/Zugriffs-Zentrum 23 liefern kann. Auf eine Autorisierung hin lädt das Buchungs/Zugriffs-Zentrum 23 den Zugriffscode über eine Verbindung 27'' zum Anwender 26 hinunter, oder sendet ihn zu ihm. Die Verbindung 27' und 27'' kann dieselbe Leitung oder Übertragungseinrichtung sein, wie beispielsweise eine solche, die standardmäßige Formate für elektronische Post bzw. E-Mails enthält. Der Zugriffscode oder Schlüssel wird aus Gründen, die nachfolgend klar werden, auf der PCMCIA-Karte 29 des Anwenders gespeichert.

Nimmt man nun Bezug auf 3 besteht die Veröffentlicherstation 36 aus einer Workstation zum Organisieren und Sammeln von Informationen. Eine Schreibervorrichtung zum Erzeugen eines CD-ROM 35 ist in Kommunikation mit der Workstation des Veröffentlichers. Der Veröffentlicher ist mit seiner eigenen Veröffentlicher-PCMCIA-Karte 33 versehen, auf welcher ein Softwareprogramm gespeichert ist, um dem Veröffentlicher zu erlauben, einen Zugriff auf die Daten zu der Zeit zu definieren und zu steuern, zu welcher die Informationen für eine Publikation auf der CD-ROM organisiert werden. Alternativ dazu kann eine Hardware für den Veröffentlicher anstelle von Software vorgesehen sein.

Die Daten 34 können, wie es oben angegeben ist, beispielsweise Video, Bilder, Fotografien, Datenbanken, Klänge, Software enthalten. Die Daten werden entweder auf dem Computer 36 des Veröffentlichers erzeugt oder auf diesen geladen. Gemäß der vorliegenden Erfindung bestimmt der Veröffentlicher bevor die Daten auf dem CD-ROM 22 gespeichert sind, die Buchungsteile, die auf gleichen Daten basieren, z. B. einzelne Magazine, einzelne Datenbanken, eine Gruppe von ähnlichen Fotografien, Module von ausführbarer Software und einzelne Schriftarten. Der Veröffentlicher separiert auch die Daten in unterschiedliche Datengruppen, wie beispielsweise Dateien Unter-Directories, Directories und Volumen unter unterschiedlichen symmetrischen kryptografischen Schlüsseln, so dass ein Zugriff auf jedes unterschiedliche Segment nur mit einem Schlüssel möglich ist, der zu diesem Datensegment passt.

Die Buchungsteile sind demgemäß kategorisiert, wie der Veröffentlicher einen Zugriff auf die Daten buchen möchte. Eine Zugriffssteuerung auf die Datengruppe(n) wird daher über den Buchungs- oder "Attributen"-Mechanismus der vorliegenden Erfindung gesteuert. Attribute sind den Datengruppen durch den Veröffentlicher 21 zugeordnet und sind auf den Zugriffscode begrenzt bzw. an diesen gebunden, der hierin nachfolgend der Schlüssel genannt wird, wie beispielsweise derjenige, der durch den Anwender 26 zum Entschlüsseln der individuellen Datengruppen verwendet wird. Jeder individuelle symmetrische Schlüssel ist dann an einen eindeutigen Schlüsselmaterialidentifizierer (KMID) gebunden oder diesem zugeordnet, der nachfolgend detailliert beschrieben wird.

Die Attribute werden definiert, implementiert und verwendet, um vor einem Zugriff Belastungen für einen Zugriff auf die verschlüsselten Daten durch den Anwender 26 zu bestimmen. Ein Beispiel für ein Attribut ist eine Zeitdauer. Beispielsweise kann ein CD-ROM eine Januar-Ausgabe eines Magazins enthalten. CD-ROMs, die für Monate herausgegeben werden, die dem Januar folgen, könne nachfolgende Ausgaben desselben Magazins enthalten. Der Veröffentlicher kann wünschen, Teilnahmen von einem Jahr, zwei Jahren und drei Jahren anzubieten, sowie eine freie Versuchsteilnahme von einem Monat. Diese vier unterschiedlichen Zeitdauern bilden vier unterschiedliche Attribute. Somit wird gemäß der vorliegenden Erfindung ein kryptografischer Update-Prozess angewendet, um zuzulassen, dass für feste Zeitperioden in Abhängigkeit davon zugegriffen werden kann, welche Zeitdauer durch den Anwender ausgewählt wurde. Eine Konfiguration für ein Attribut besteht in einer Datenstruktur variabler Länge, die Flags enthält, die anzeigen, welches Maß vorhanden ist, und Parameter, die Maßwerte und Einheiten anzeigen.

Andere Beispiele für Attribute enthalten "Einmaliger Kauf"-Attribut, wo die Informationen einmal verkauft werden, und alle Informationen, die dadurch geschützt sind, dass ein Schlüssel für den Teilnehmer verfügbar ist. Ebenso ist ein "Auf eine Anforderung hin"-Attribut enthalten, wo die Verwendung der Daten basierend auf einem von einem Veröffentlicher definierten Parameter überwacht wird, der eine Anzahl von Malen enthält, für welche der Schlüssel verwendet werden kann, die Anzahl von Transaktionen, eine Anzahl von Bytes oder eine Anzahl von transferierten Dateien. Darüber hinaus sind auch Werbeattribute verfügbar. Beispielsweise lässt ein "Dateienumgehungs"-Attribut zu, dass der Veröffentlicher Dateien oder Datengruppen definiert, die umgangen werden oder in Klarschrift sind. Ebenso lässt ein "Versuchsperiode"-Attribut zu, dass der Anwender einen Zugriff auf diese Dateien für eine feste Zeitperiode ohne eine Kopier- oder Druckmöglichkeit erhält. Anwendungen, wie beispielsweise die Versuchsperiode, kommunizieren direkt mit der PCMCIA-Karte, um einen Zugriff auf anwendungsspezifische Funktionen zu steuern, wie beispielsweise ein Kopieren oder Drucken. Diese Anwendungen werden modifiziert, um die PCMCIA-Schnittstelle zu unterstützen. Weiterhin lässt der Veröffentlicher durch ein "Reduzierte Auflösung"-Attribut ein Anschauen einer bestimmten Datei ohne Qualitätsauflösung zu. Die Attribute können durch konstante Werte repräsentierbar sein und können auch Funktionen von Variablen sein.

Nach einer Bestimmung der Datenteile durch einen Veröffentlicher und nachdem der Veröffentlicher das bei jeder Datengruppe zu verwendende Attribut definiert, ist das Attribut mit einem Schlüssel und einem Schlüsselmaterialidentifizierer (KMID) verbunden. Der KMID handelt als Index oder identifizierender Code, so dass das Buchungs/Zugriffs-Zentrum den richtigen Schlüssel oder Zugriffscode zum Öffnen der erwünschten Datengruppe liefern kann. Diese Informationen werden durch den Veröffentlicher 21 kombiniert, um eine eindeutige Datei zu erzeugen, die die Attributeninformationen für die gesamten zu verteilenden Medien enthält. Diese Informationen werden zu dem Buchungs/Zugriffs-Zentrum gesendet. Die auf der PCMCIA-Karte 33 gespeicherte Software lässt weiterhin zu, dass der Veröffentlicher 21 die Daten verschlüsselt und das Attribut und den KMID auf der CD enthalten sind.

Das System der vorliegenden Erfindung enthält daher eine Zuordnung des Schlüssels und des KMID zu einer Datenbank und das Unterhalten von solchen Informationen durch das Buchungs/Zugriffs-Zentrum 23. Es enthält weiterhin, dass der Anwender einen bestimmten KMID zu dem Buchungs/Zugriffs-Zentrum sendet, um einen Schlüssel zum Zugreifen auf die erwünschten Daten zu empfangen. Diese Elemente dieses Systems sind in 4 gezeigt, wo die eindeutige Datei 37, die den Schlüssel, ein Attribut und einen KMID für jede Datengruppe enthält, durch den Veröffentlicher zum Buchungs/Zugriffs-Zentrum 23 gesendet wird, das ein Buchungs- oder Autorisierungszentrum 23 ist. Diese Datei 37 wird in eine zentrale Verteilungsseite bzw. -stelle hinuntergeladen. Die einzigen Informationen, die zu dem CD-ROM 22 geschrieben werden müssen, bestehen in der Start- und Stopp-Sektorinformation zusammen mit dem KMID, der zu einer jeweiligen bestimmten Datengruppe 38 gehört. Eine spezielle "Lese-Mich"-Datei kann erzeugt werden, die zulässt, dass der Teilnehmer Informationen in Bezug auf eine Preisgebung (die mit den Attributen übereinstimmen) für die individuellen Datengruppen liest. Die "Master"-Informationen werden dann durch den Veröffentlicher über irgendein geeignetes Transportverfahren kopiert und verteilt.

Wendet man sich wider der 2 zu, kann der Anwender 26 den CD-ROM in ein CD-ROM-Laufwerk 28 laden und die spezielle "Lese-Mich"-Datei lesen, um zu sehen, was auf dem tragbaren Speichermedium verfügbar ist. Wenn der Anwender 26 eine bestimmte Datengruppe identifiziert hat, auf die der Anwender zuzugreifen wünscht, verwendet der Anwender 26 die PCMCIA-Karte 29, die in das PCMCIA-Laufwerk 32 geladen ist, um mit dem Buchungs/Zugriffs-Zentrum zu kommunizieren, und das Buchungs/Zugriffs-Zentrum 23 sendet eine Anfrage einschließlich des KMID, der den erwünschten Schlüssel identifiziert, über die Verbindung 27'. Das Buchungs/Zugriffs-Zentrum lädt dann, wenn es einmal einen Zugriff autorisiert hat, über die Leitung 27'' den zum KMID gehörenden Schlüssel hinunter.

Wenn er heruntergeladen ist, kann der Schlüssel auf der Anwender-PCMCIA-Karte 29 oder auf einer geeigneten Hardware sein. Der Schlüssel wird auf die Datengruppe des momentanen CD-ROM und nachfolgende CD-ROMs zugreifen, die gemäß den Beschränkungen des Attributs zugeteilt werden. Daher kann der Anwender 26 dann, wenn das Attribut eine Zeitdauer von sechs Monaten anzeigt, wie es in einem Kasten 37 und einem Kasten 38 der 4 angezeigt ist, und der erste Zugriff im Januar erfolgt, die PCMCIA-Karte 29 bis Juni verwenden, um auf die äquivalente Datengruppe auf nachfolgend zugeteilten CD-ROMs zuzugreifen. Nach der ersten Verwendung des Schlüssels wird die nachfolgende Verwendung des Schlüssels beibehalten und durch die lokale Anwenderumgebung geprüft, d. h. durch die Anwender-PCMCIA-Karte 29.

Zum Sorgen für Attribute bezüglich einer beschränkten Zeitdauer verwendet die vorliegende Erfindung eine "Schlüssel-Nullsetzung", die dann auftritt, wenn ein Attributenzustand erfüllt ist, oder die von der Ferne aus durch das Buchungs/Zugriffs-Zentrum aufgerufen werden kann. Beispielsweise würde ein Attributenzustand, der erfüllt worden ist, den Verlauf an Zeit enthalten, der durch einen Zeittakt überwachbar ist. Da aktualisierte bzw. einem Updaten unterzogene Daten periodisch ausgegeben werden, werden Schlüssel von dem ursprünglich erzeugten Schlüssel durch einen kryptografischen Update-Prozess einer Abweichung unterzogen. Dieses Merkmal lässt zu, dass der Veröffentlicher seine periodischen Informationen unter einem anderen Schlüssel verteilt, der gegenüber dem letzten Schlüssel abgewichen ist, und zwar basierend auf einer kryptografischen Operation. Die Anzahl von Updates, die für einen Teilnehmer gültig sind, wird in der KMID-Attributen-Information codiert. Der kryptografische Update-Prozess der vorliegenden Erfindung wird nachfolgend und unter Bezugnahme auf 16 detailliert beschrieben.

Die Anwender-PCMCIA-Karte 29 wird zum Prüfen und Beibehalten der Zahl von Updates verwendet, die durch den Veröffentlicher geliefert werden. Jeder CD-ROM enthält Informationen über die Update-Ausgabe eines bestimmten KMID sowie Zeitstempelinformationen, die durch die Anwender-PCMCIA-Karte 29 für zeitbasierende Schlüsselmanagementfunktionen verwendet werden. Ein Takt kann auch auf der PCMCIA-Karte installiert sein.

Das Nullsetzungsmerkmal der vorliegenden Erfindung bietet den Vorteil, dass der Zugriff auf beispielsweise Firmen-, Regierungs- oder Rechtsaufzeichnungen, die häufig aktualisiert werden, vermieden oder gestoppt werden kann. Durch Verwenden eines Schlüssels, der eine Nullsetzung nach einer oder nur einigen Durchsichten der Daten oder nach einer kurzen Zeitdauer ausführt, stellt der Veröffentlicher sicher, dass veraltete häufig aktualisierte Aufzeichnungen nicht mit aktuellen Aufzeichnungen vermischt werden.

Die Anwender-PCMCIA-Karte 29 wird auch zum Authentifizieren des Teilnehmers zu dem Buchungs/Zugriffs-Zentrum verwendet. Jedem Teilnehmer ist ein eindeutiges öffentliches/privates Schlüsselpaar zugeordnet, um bei allen Übertragungen verwendet zu werden, wobei ein solches auf der Anwender-PCMCIA-Karte 29 gespeichert ist. Unterschiedliche Anwender-Schlüsselpaare oder Personalien lassen zu, dass der Anwender Kaufaufträge signiert oder Kaufanfragen durchführt, und zwar mit den richtigen Personalien. Dieses Merkmal ist in der Situation wichtig, in welcher eine einzige Person mehrere unterschiedliche Büros unterhält, gleichgültig ob temporär oder dauerhaft. Beispielsweise kann der Präsident einer Firma eine separate Anfrage als kaufender Agent bzw. Vertreter signieren, kann aber als Präsident der Firma eine separate Zugriffsanfrage mit anderen Privilegien signieren. Demgemäß unterstützt diese Erfindung die Authentifizierung oder unterschiedliche Anwenderpersönlichkeiten bzw. -personalien, wie es durch den Teilnehmer definiert ist, um elektronische Kaufautorisierungen zur Verfügung zu stellen. Weiterhin enthält jede Anwender-PCMCIA-Karte 29 eine eindeutige Pin-Phrase, um den Anwender für gültig zu erklären, und ihre Verwendung der Persönlichkeiten bzw. Personalien und kryptografischen Funktionen der Karte bei der Anwenderseite bzw. -stelle oder durch ein optionales Forderungs/Antwort-System.

Wenn ein Individuum wünscht, einen Zugriff auf Dateien zu erlangen, die auf dem CD-ROM gespeichert sind, muss der Schlüssel auf der Karte sein, d. h. bereits gekauft. Wenn es nicht so ist, muss der Teilnehmer eine Kaufanfrage erzeugen und diese Anfrage zum Buchungs/Zugriffs-Zentrum senden. Alle Anfragen, die Bezahlungsverfahren enthalten, z. B. Kreditkartennummern, sind in dem öffentlichen/privaten Schlüsselpaar verschlüsselt. Alle Kaufanfragen können auch durch die geeignete bzw. richtige autorisierende Persönlichkeit signiert werden, bevor das Buchungs/Zugriffs-Zentrum irgendeine Kaufanfrage verarbeiten wird.

In der Situation, in welcher kein Kauf durchgeführt wird, d. h. in welcher eine Verteilung einer CD-ROM zwischen Büros zum Liefern von Firmen-, Regierungs- oder Gesetzes- bzw. Rechtsinformationen innerhalb des Hauses erfolgt, ist das Authentifizierungsmerkmal besonders erwünscht. Ein nicht autorisierter Zugriff auf empfindliche Informationen wird gemäß der vorliegenden Erfindung einfacher als dann vermieden, wenn Informationen auf gedruckten Medien verbreitet werden.

Zur Rekapitulation unter Bezugnahme auf 1 wird bei dem Buchungs/Zugriffs-Zentrum 23 die Anfrage 27 in der Form von beispielsweise elektronischer Post empfangen. Die Post bzw. Mail wird empfangen, und die Signatur wird für gültig erklärt, um die Quelle der Anfrage zu authentifizieren. Bei der Postnachricht ist der angeforderte KMID enthalten (siehe 4). Dieser wird dann als Nachschauindex in eine große Datenbank verwendet, die die gespeicherten kryptografischen Schlüssel enthält. Unter einem Ausführungsbeispiel der vorliegenden Erfindung erfolgen die folgenden Schritte. Das Buchungs/Zugriffs-Zentrum 23 erhält die von einem Veröffentlicher definierten Attribute, die dem KMID zugeordnet sind, von der Datenbank und liefert diese Informationen zu dem Anfragende. Dem Anfragenden wird dann erlaubt, eine Form von Bezahlung für den Schlüssel auszuwählen, welcher zu dem Buchungs/Zugriffs-Zentrum gesendet wird. Das Buchungs/Zugriffs-Zentrum erklärt dann das Bezahlungsverfahren und die Autorisierung für gültig. Der KMID und seine damit verbundenen Attribute werden dann zum Anwender gesendet. Bei der Anwenderseite werden der KMID und die Attribute auf die Anwender-PCMCIA-Karte 29 für eine Steuerung eines Zugriffs und für Prüfzwecke durch die Karte geladen. Der Anwender hat nun einen Zugriff auf die gekauften Informationen. Der KMID und eine Verwendung der Schlüssel gemäß der Veröffentlicherdefinition werden durch die Anwender-PCMCIA-Karte 29 überwacht und unterhalten. Wie es oben angegeben ist, wird dann, wenn ein Attributenzustand erfüllt ist, z. B. der Teilnehmer die Anzahl von Kaufbytes erreicht hat oder die Zeit abgelaufen ist, die Anwender-PCMCIA-Karte 29 automatisch eine Nullsetzung in Bezug auf die Publikation durchführen. Ein weiterer Zugriff durch den Anwender wird einen weiteren Aufruf des Buchungs/Zugriffs-Zentrum 23 erfordern.

Die obige Diskussion beschrieb detailliert allgemeine Merkmale der Untersysteme der vorliegenden Erfindung, und wie sie aufeinander bezogen sind. Die folgende Diskussion wiederholt etwas von der obigen Diskussion mit weniger Betonung auf die Beziehung der Elemente der vorliegenden Erfindung zueinander, aber mit mehr Betonung auf die Komponenten und Verfahrensschritte der Elemente der vorliegenden Erfindung.

Wie es oben diskutiert ist, kann der Veröffentlicher durch logisches Gruppen und Kategorisieren der Veröffentlicherinformationen dann die Buchungs- und Werbefunktionen, die zu den zu veröffentlichenden Datengruppen gehören, definieren. Nachdem der Veröffentlicher die gesamten Informationen, die für eine Publikation beabsichtigt sind, auf einem bestimmten CD-ROM oder einer Reihe von CD-ROMs sammelt, werden die Informationen dann den Zugriffs- und Teilnahmeattributen zugeordnet, die durch die vorliegende Erfindung definiert sind. Eine standardmäßige Veröffentlicherkonfiguration ist im Blockdiagramm der 5 gezeigt. Dort ist die Veröffentlicher-Workstation 36 gezeigt, auf welcher Informationen gesammelt und organisiert werden. Der Veröffentlicher ist mit einer Buchungs-Haupt-Software 41 für eine solche Organisation versehen. In Kommunikation mit der Workstation ist der CD-ROM-Schreibertreiber 35, um den CD-ROM zu erzeugen. Schließlich enthält die Schlüssel-Datenbank 42, die auf der Veröffentlicherseite gespeichert ist, die verwendeten Schlüssel und ihre Definitionen von Alias, Vorgeschichte und aktuellem Attribut. Die Schlüssel-Datenbank enthält auch eine Liste von nicht verwendeten Schlüsseln, die der Veröffentlicher verwenden kann und die die Attribute für solche nicht verwendeten Schlüssel definieren. Nachdem der Veröffentlicher die Verwendung eines bestimmten Schlüssels definiert, würden diese Informationen zu dem entfernten Buchungs/Zugriffs-Zentrum 22 gesendet.

Die Verschlüsselungsvorrichtung 43 ist auf der Veröffentlicher-PCMCIA-Karte 33 gespeichert, die in 6 gezeigt ist. Jedem Veröffentlicher ist eine eindeutige und persönliche PCMCIA-Karte 33 zugeordnet, die in einem FLASH- oder einem nichtflüchtigen EEPROM-Speicher die Personalien von Veröffentlichern enthält und Prüfinformationen über veröffentlichte Daten und ihrem Autor liefert. Die Personalien des Veröffentlichers sind gleich denjenigen des Anwenders, wie es oben beschrieben ist. Der nichtflüchtige Speicher 44 enthält weiterhin die eindeutige Veröffentlicher-Speichervariable (K_S), die als Teil des Passwort-Algorithmus verwendet wird. Die vorgenannten Informationen können auf der Veröffentlicher-PCMCIA-Karte gespeichert sein und werden durch diesen lokalen Schlüssel verschlüsselt. Zusätzlich zeichnet die Veröffentlicher-Workstation die CD-ROM-Identifikation und die KMIDs, die zum veröffentlichen eines bestimmten CD-ROM verwendet werden, automatisch auf. Diese Prüfdaten werden durch die Schlüssel-Datenbank 42 gespeichert und unterhalten.

Die durch die PCMCIA-Karte 33 gelieferte digitale Signatur stellt für das Buchungs/Zugriffs-Zentrum und/oder den Teilnehmer sicher, dass die veröffentlichten Daten tatsächlich auf dem CD-ROM durch den autorisierten Veröffentlicher von dieser bestimmten Information veröffentlicht wurden. Dieses Merkmal vermeidet eine Piraterie bezüglich Copyright geschütztem Material sowie verfälschte Aufzeichnungen in der Firmen-, Regierungs- und Rechtsumgebung.

Die Prüfinformationen, die auf der Veröffentlicher-PCMCIA-Karte 33 gespeichert sind, sind von dem Buchungs/Zugriffs-Zentrum 23 prüfbar. Da es eine Übertragungsleitung zwischen dem Buchungs/Zugriffs-Zentrum und dem Veröffentlicher gibt, kann das Buchungs/Zugriffs-Zentrum auf Informationen zugreifen, die auf der Veröffentlicher-PCMCIA-Karte 33 gespeichert sind, um die Veröffentlicheraktivität in Bezug auf viele Zwecke zu analysieren, einschließlich eines Verbesserns des Systems.

Die PCMCIA-Karte 33 kann eine Hardware-Karte oder eine Softwareanwendung zum Emulieren der Hardware-Kartenfunktionen sein. Als Standardmerkmal enthält sie einen flüchtigen Speicher oder einen RAM 46 und eine Bus-Schnittstelle 47, so dass sie mit dem Veröffentlicher-Computersystem 36 kommunizieren kann.

Bevor der Veröffentlicher irgendwelche Informationen zu dem CD-ROM tatsächlich verschlüsseln und/oder signieren kann, registriert er sich auf der PCMCIA-Karte 33 bzw. loggt sich auf dieser ein, die eine Registrierungsphrase entweder durch die Tastaturschnittstelle unterstützt oder eine solche, die direkt zum Kartenleser eingegeben werden kann. Die Phrase kann irgendeine Länge oder irgendeine Gruppe von Ascii-Zeichen sein, welche der Veröffentlicher zuordnet. Für eine erhöhte Sicherheit kann der Veröffentlicher Biometrik (Sprache) nach der Registrierungsphrase für eine sicherere Registrierung verwenden, die den Veröffentlicher mit der Karte und ihren Betriebsmitteln verbindet. Der Veröffentlicher registriert sich auf der Karte vor einem Durchführen von irgendwelchen sicherheitsrelevanten Funktionen.

Nach einer Registrierung bzw. einem Einloggen kann der Veröffentlicher die Betriebsmittel der PCMCIA-Karte 33 verwenden. Die Karte liefert, gleichgültig, ob sie als Softwarefunktion auf dem Veröffentlichercomputer 36 oder als separate Hardware-Karte ausgeführt ist, alle kryptografischen Funktionen, die für den Veröffentlicher erforderlich sind, um eine CD zum Unterstützen eines elektronischen Teilnahmedienstes zu erzeugen. Die Verschlüsselung für die CD-Anwendung wird auf der Sektorebene zum Unterstützen eines zufälligen Zugriffs auf große Datenbanken durchgeführt. Der Mikroprozessor 48 arbeitet als die Verschlüsselungsvorrichtung 43, um zuzulassen, dass der Veröffentlicher Dateien, Directories, Unterdirectories, Volumen oder ein gesamtes Medium mit einem bestimmten symmetrischen Verschlüsselungsschlüssel verbindet, und wird zum Ausführen der Verschlüsselung verwendet. Signatur- und Schlüsselaustauschalgorithmen werden unter Verwendung des öffentlichen/privaten Schlüssels durchgeführt, der durch die ausgewählte Persönlichkeit bestimmt ist. Diese Algorithmen sind für eine Konfigurierbarkeit in Software ausgeführt, können aber auch in Hardware auf dem Mikroprozessor implementiert sein. Der Mikroprozessor kann ein von der Baugruppe entfernter bzw. eigenständiger Mikroprozessor sein. Die PCMCIA-Karte 33 arbeitet als finite Zustandsmaschine. Die Veröffentlicheranwendung ist für eine Synchronisierung von Schlüsselattributendefinitionen zurück zu dem entfernten Buchungs/Zugriffs-Zentrum verantwortlich.

Das Ablaufdiagramm der 7 stellt eine Reihe von Schritten der vorliegenden Erfindung dar, von welchen die meisten oben detailliert beschrieben worden sind. Nachdem das Programm startet 51, werden die Daten in einem Schritt 52 in die Datengruppen organisiert, um auf einem CD-ROM veröffentlicht zu werden. Die Buchungsstruktur für jede Datengruppe wird in einem Schritt 53 vorbereitet. Dann werden unterschiedliche Attribute mit den Datengruppen verbunden. Beispielsweise dann, wenn eine Zeitdauer gemäß einem Entscheidungskasten 54 zugeordnet wird, wird die Zeitbasis bei einem Schritt 56 eingestellt und wird das Attribut mit der Datengruppe korreliert. Oder die Anzahl von Bytes eines Zugriffs kann zu der Datengruppe gemäß einem Entscheidungskasten 57 zugeordnet werden, und dann wird die Anzahl von Bytes bei einem Schritt 58 eingestellt und wird das Attribut mit der Datengruppe korreliert. Oder es können bestimmte Transaktionen durch den Veröffentlicher definiert und gemäß Entscheidungskästen 59 und 61 eingestellt und dann mit der Datengruppe korreliert werden. Nachdem die Attribute erzeugt und korreliert sind, werden in einem Schritt 62 neue Schlüssel aus der Schlüssel-Datenbank 42 erhalten. Die Daten sind dann dazu bereit, verschlüsselt zu werden. In einem Schritt 63 werden die Daten verschlüsselt. In einem Schritt 64 werden der Schlüsselsektor und Signaturtabellen gebildet. In einem Schritt 66 wird der gesamte Prozess für die nächste Datengruppe wiederholt. Wenn alle Daten vorbereitet sind, schreibt ein Schritt 67 den Schlüsselsektor und die Signaturtabelle zu der CD und sorgt dafür, dass der Veröffentlicher seine eigenen Aufzeichnungen und die Buchungs/Zugriffs-Zentrums-Datenbankaufzeichnungen einem Updaten unterzieht.

Die 8 und 9 sind Darstellungen von einem der Wege, auf welchem das Programm dem Veröffentlicher präsentiert wird. Die anwenderfreundliche Schnittstelle lässt zu, dass der Veröffentlicher auf Komponenten zum Zuteilen der Attribute zeigt, diese anklickt und zieht. Der Veröffentlicher kann gleiche Anwendungen gruppieren, um unter derselben Verschlüsselungs-Schlüsselgruppe 68 verschlüsselt zu werden. Wenn der Veröffentlicher nicht wünscht, dass Teile von bestimmten Datengruppen verschlüsselt werden, kann der Veröffentlicher einen Umgehungsschritt 69 auswählen, so dass irgendwelche Hypertext- oder Schlüsselwort-Suchen, die zu der Datei gehören, nicht verschlüsselt werden. Dies ist insbesondere dann nützlich, wenn der Teilnehmer wünscht, die Anzahl von Auftritten eines bestimmten Worts oder einer Transaktion vor einem Kaufen der Datenbank zu bestimmen.

Nachdem der Veröffentlicher die Schlüsselgruppenverbindungen und die Ebene einer Verschlüsselung bestimmt, wird dem Veröffentlicher eine zweite Gruppe von Menüs zum Definieren der Buchungsattribute für die Schlüsselgruppe geliefert. 9 ist ein Beispiel für den Typ einer Schnittstelle, die dem Anwender geliefert wird, um Sicherheitsvorgaben für die Schlüsselgruppe einzustellen. Diese enthalten, sind aber nicht darauf beschränkt: aufeinander folgende Einheiten von Anwenderzugriffstagen, -monaten oder -jahren; ein Schlüsselstart eines anwenderdefinierten Anwendungsanfangstags; ein Schlüsselablauf; eine Gesamtzeit von Anwenderzugriffsminuten, -stunden, -tagen; gesamte Einheiten, die in Bytes, Worten oder anwenderdefinierten Transaktionen transferiert werden; und gesamte Anwenderregistrierungen. Schlüssel-Alias können für eine einfachere Schlüsselidentifizierung definiert werden.

Diese Optionen sind verfügbar bei einem neuen (nicht verwendeten) Schlüssel oder bei Schlüsseln, die bereits anders gemacht sind (verwendet sind). Nachdem diese Attribute durch den Veröffentlicher bestimmt sind, wird die Haupt-Software die Veröffentlicherschlüssel-Datenbank 42 mit diesen Parametern einem Updaten unterziehen. Sollte der Veröffentlicher ein existierendes Alias verwenden, hat der Veröffentlicher die Option zum Anwenden eines kryptografischen Update-Prozesses auf diesen Schlüssel. Der Prozess wird durch Verwenden einer bekannten festen Konstante und durch mathematisches Anwenden dieser Konstanten (über eine Exklusiv-Oder-Funktion) auf den alten Schlüssel definiert.

Alle Updates werden mit einem Schlüssel-Zähler unterhalten, welche zu dem Schlüssel gehören. Dies lässt zu, dass der Veröffentlicher und der Teilnehmer synchronisierte Schlüssel und einen Update-Zähler unterhalten, der monatlich mit dem veröffentlichten Material veröffentlicht wird. Ein Teilnahmezugriff wird über die Anzahl von Updates gesteuert, die während der Zeitperiode zugelassen sind, welche durch den Teilnehmer gekauft ist.

Der Schlüsselmanager oder die Schlüssel-Datenbank 42 (siehe 5) wird eine Prüf/Vorgeschichten-Datei der KMIDs unterhalten, die mit den individuellen CD-ROMs verwendet werden, die durch einen Veröffentlicher erzeugt sind. Nachdem der CD-ROM erzeugt ist, wird der Schlüsselmanager 42 automatisch das Veröffentlicher-Buchungs/Zugriffs-Zentrum aufrufen und die konfigurierten Attributeninformationen herunterladen.

Der CD-ROM enthält Informationen über die Anfangs- und Endsektoren für die zugehörigen KMIDs. Diese Informationen werden in einer abgetrennten Tabelle gehalten, die irgendwo auf dem CD-ROM angeordnet sein kann. 10 stellt eine solche Tabelle dar. Die Datei 70a für eine digitale Signatur eines Veröffentlichers enthält signierte Datendateien 70b. Andere Dateien, die oben diskutiert worden sind, einschließlich Veröffentlicherinformationen 70c, der Verschlüsselungsalgorithmusinformationen 70d, der Update-Algorithmusinformationen 70e, der Werbeinformationen in Bezug auf die Veröffentlichungsdaten 70f und der Schlüsselsektor und die Signaturtabelle 70g sind auch auf dem CD-ROM enthalten.

Der Schlüsselsektor- und die Signaturtabelle 70g enthält die Informationen über die beim Erzeugen dieses Mediums verwendeten KMIDs. Am wichtigsten enthält diese Tabelle die Stopp- und Startsektoren für die verwendeten KMIDs.

Wendet man sich der 11 zu, sind wieder viele der in 2 gezeigten Merkmale gezeigt, aber in einer Blockdiagrammform. Jedoch sind eine Prüf/Entschlüsselungs-Vorrichtung und eine Aufrufanwendung 71 von dem Anwender-Computer 31 unterschiedlich. Diese Vorrichtung kann entweder auf der Anwender-PCMCIA-Karte 29 sein oder kann eine separate Hardware oder Software sein, die auf dem Anwender-Computer 31 installiert ist.

Die Anwender-PCMCIA-Karte 29 enthält eine Standard-Busschnittstelle 72 und einen RAM 73. Der nichtflüchtige Speicher enthält solche Merkmale, wie sie oben beschrieben sind, wie beispielsweise Personalien und Prüffunktionen. Der Mikroprozessor 76 enthält einen Verschlüsselungs/Entschlüsselungs-, einen Signatur-, einen Schlüsselaustauschalgorithmus.

Die Operation durch den Anwender der Merkmale auf der Anwender-PCMCIA-Karte 29 ist in dem Ablaufdiagramm der 13 gezeigt. Nach dem Start 77 der Sequenz von Ereignissen beauftragt der Anwender in einem Schritt 78 einen Teilnahmedienst bzw. -service, um periodisch verteilte Medien zu erhalten. In einem Schritt 79 empfängt der Anwender den CD-ROM durch beispielsweise die Post und lädt die Karte und den CD-ROM. Auf dem Anwender-Computerbildschirm schaut der Anwender Informationen an, die auf dem CD-ROM gespeichert sind, gleich denjenigen, die in 10 gezeigt sind. In einem Schritt 81 entwickelt und signiert der Anwender eine E-Mail-Anfrage nach einem Schlüssel und sendet sie zum Buchungs/Zugriffs-Zentrum. In einem Schritt 82 enthält der Anwender, nachdem er authentifiziert und autorisiert worden ist, den Schlüssel über eine E-Mail vom Buchungs/Zugriffs-Zentrum. In einem Schritt 83 wird der Schlüssel auf der Anwender-PCMCIA-Karte 29 gespeichert. Die Karte hält weiterhin eine Prüfregistrierung der Anwenderaktivität gemäß den konfigurierten Attributen. Auf diese Prüfung kann durch das Buchungs/Zugriffs-Zentrum von der Ferne aus zugegriffen werden, um eine Verwendung für mehrere Zwecke zu überwachen. Beispielsweise wird die Verwendung geprüft, um Veröffentlichern Informationen diesbezüglich zu liefern, wie viele Male der Anwender, nachdem eine Teilnahme veröffentlicht ist, dieselbe Publikation anschaut. Schließlich greift der Anwender in einem Schritt 84 auf die Datei einer Auswahl zu.

Nimmt man Bezug auf 14, sind Merkmale des Buchungs/Zugriffs-Zentrums 23 in Blockdiagrammen gezeigt. Bereits diskutierte Merkmale enthalten die Fernverbindungen 27 zu sowohl den Anwendern als auch den Veröffentlichern. Die riesige Schlüssel-Datenbank 85 hält Schlüssel, um zu den Veröffentlichern für ihre Verwendung beim Verschlüsseln von Daten verteilt zu werden. Die Teilnehmer-Datenbank 86 enthält Listen von allen Teilnehmern und bestimmte Informationen über sie, die vor oder nach ihrer Verwendung des Systems oder durch Prüfungen erhalten sind. Die Veröffentlicher-Datenbank 87 enthält die Veröffentlicherverwendung der Schlüssel und ihrer zugehörigen KMIDs. Das schwarze Brett 88 hält Nachrichten, die von Teilnehmern und Veröffentlichern ankommen. Es ist auch zum Senden von Nachrichten zu sowohl den Veröffentlichern als auch den Teilnehmern verfügbar und berichtet ihnen über neue Merkmale des Systems oder über andere Informationen.

Der Buchung/Zugriffs-Zentrumsprozess startet 89 durch (zyklisches) Abfragen des schwarzen Bretts bzw. der Anzeige oder eines ankommenden Anrufs für ankommende Anfragen von Teilnehmern. In einem Schritt 92 liest das Buchungs/Zugriffs-Zentrum die elektronische Anfrage und authentifiziert den Teilnehmer durch Prüfen der elektronischen Signatur der Nachricht. In einem Schritt 93 führt er von dem durch die Anfrage gelieferten KMID eine Anpassung an die Attribute durch, um Buchungsinformation zu liefern. Optional kann das Buchungs/Zugriffs-Zentrum mit dem Anwender in einem Schritt 94 kommunizieren, um Buchungsoptionen zu dem Anwender zu liefern, wie beispielsweise zeitmäßige Bezahlungen oder Angebote, die nicht auf dem CD-ROM-Menü angezeigt sind. Wenn die Buchung eingestellt ist, erklärt das Buchungs/Zugriffs-Zentrum in einem Schritt 95 das Teilnehmer-Bezahlungsverfahren für gültig und empfängt einen Kaufauftrag von dem Anwender. Wenn die Signatur oder das Bezahlungsverfahren nicht zufrieden stellend sind, verweigert das Buchungs/Zugriffs-Zentrum den Schlüssel und einen Registrierungsversuch in einem Schritt 96. Wenn sie zufrieden stellend sind, wird der Schlüssel zu der Anwender-PCMCIA-Karte 29 in einem Schritt 97 hinuntergeladen. In einem Schritt 98 untersucht das Buchungs/Zugriffs-Zentrum auf weitere Anfragen. Wenn es keine gibt, lädt es die Prüfdatei herunter, erhält die aktuelle Anwender-KMID-Prüfdatei von der Karte in einem Schritt 99 und unterzieht die Teilnehmer-Datenbank 97 und unterzieht das Veröffentlicherkonto einem Updaten, und zwar jeweils in Schritten 100 und 101. Wenn die Antwort auf die Anfrage vom Schritt 98 Ja ist, springt das System zurück zum Schritt 93 und beginnt den Prozess noch einmal von vorn, aber in Bezug auf eine andere Datendatei und einen anderen KMID.

Die Kommunikation des Buchungs/Zugriffs-Zentrums mit dem Anwender kann interaktiv sein, wie es oben beschrieben ist, oder sie kann so konfiguriert sein, dass eine Anfrage gesendet wird und sie entweder bestätigt oder verweigert wird. In jedem Fall empfängt das Buchungs/Zugriffs-Zentrum den KMID, und dann, wenn eine Autorisierung erreicht wird, wird der Schlüssel zu dem Anwender gesendet, um auf die auf dem CD-ROM gespeicherten Daten zuzugreifen.

Wie es oben kurz diskutiert ist, liefert der kryptografische Update-Prozess einen Weg, auf welchem ein Zugriff zu abgelaufenen Informationen oder Ausgaben, die jenseits einer Teilnehmer-Zeitperiode herausgegeben sind, blockiert wird. Der kryptografische Update-Prozess ist ein weiteres Flag in der Attributendatenstruktur. Der Veröffentlicher einer monatlichen oder zweiwöchentlichen Periode wird eine große Menge an Informationen regelmäßig für das veröffentlichen, was eine sehr lange Periodenzeit (Jahre) sein kann. Die Veröffentlicher von periodischen Ausgaben werden Teilnehmer für ihren Dienst haben, die diese Daten empfangen. Der Teilnehmer verbindet sich bzw. tritt ein und wird mit einem Schlüssel heruntergeladen, der für eine Zeitperiode gültig ist, für welche ihr Teilnahmedienst online ist. Jedoch versetzt dies die Veröffentlicher in eine sehr verletzliche Position, wenn derselbe Schlüssel für die gesamte Verschlüsselung während der Lebensdauer der Publikation verwendet wird. Die Aufgabe des fernen kryptografischen Update-Prozesses besteht im Zulassen, dass die Veröffentlicher einer periodischen Ausgabe jede periodische Ausgabe unter einem anderen Verschlüsselungsschlüssel jeden Monat, ohne einen neuen Schlüssel herunterladen zu müssen, zu ihrer aktuellen Gruppe von Teilnehmern versenden.

Idealerweise wird der Veröffentlicher die Informationen verschlüsselt unter einem anderen Schlüssel jeden Monat verteilen. Dies schützt die Veröffentlicherinformationen vor einem externen Angreifer, der ihren Schlüssel bestimmt und alle ihre Publikationen erhält. Jedoch impliziert dies, dass es für einen Teilnehmer erforderlich wäre, beispielsweise jeden Monat einen neuen Schlüssel herunterzuladen. Dies kann für den Teilnehmer sehr aufwändig sein. Das System der vorliegenden Erfindung definiert die Verwendung eines kryptografischen Updates der Anwenderseite, das auf den aktuellen (oder monatlichen) Schlüssel angewendet wird, um einen neuen Schlüssel basierend auf dem Schlüssel des vorherigen Monats zu "erzeugen". Da alle Karten den für den Update-Prozess zu verwendenden Algorithmus verstehen, leiten sie denselben Schlüsselwert ab. Der Veröffentlicher kennt den Algorithmus und verwendet ihn zum Erzeugen des aktualisierten Schlüsselwerts für den Verschlüsselungsprozess. Wenn der Veröffentlicher monatlich Material herausgibt, würde er ein monatliches "Update" bezüglich des Schlüssels für jede neue Publikation durchführen. Wenn der Teilnehmer den neuen CD-ROM erhält, teilt ein Update-Zähler des CD-ROM der Anwender-PCMCIA mit, wie viele Updates bzw. Aktualisierungen durchgeführt worden sind. Der Update-Zähler wird zum Beibehalten einer Synchronisation zwischen Veröffentlicher und Teilnehmer verwendet.

Wendet man sich beispielsweise der 16 zu, ist dort ein Teilnahmedienst für eine Periode von einem Jahr gezeigt. Die zwölf Monate sind in einer Spalte 106 identifiziert. Jeder Monat hat einen anderen Schlüssel mit ihm verbunden, wie es in einer Spalte 107 gezeigt ist, wie es beispielsweise durch K_A, K_B und so weiter angezeigt ist. "Teilnehmer Eins", der in einer Spalte 108 angezeigt ist, ist derart gezeigt, dass er eine Teilnahme von sechs Monaten beginnend im zweiten Monat des Jahres hat. "Teilnehmer Eins" empfängt den Schlüssel K_B zum Zugreifen auf die im zweiten Monat verteilten Daten. Der Update-Prozess, wie er oben beschrieben ist, unterzieht den Schlüssel K_B durch eine mathematische Operation einem Updaten, wobei der Update-Prozess U in Bezug auf den Schlüssel des vorherigen Monats wirkt. Beispielsweise dann, wenn U in Bezug auf K_B wirkt, gilt K_C = UK_B. Darüber hinaus wirkt dann, wenn die CD für den dritten Monat der Teilnahme verfügbar wird, U auf K_C, so dass K_D = UK_C = UUK_B. K_D bis K_G werden auf dieselbe Weise erzeugt. Somit empfängt "Teilnehmer Eins" durch den kryptografischen Update-Prozess der vorliegenden Erfindung eine Gruppe von Schlüsseln, die arbeiten, um auf die Ausgaben zwischen dem Monat Zwei und dem Monat Sieben zuzugreifen. Ein anderer Teilnehmer, nämlich "Teilnehmer Zwei", wie er durch eine Spalte 109 angezeigt ist, hat auch eine Teilnahme von sechs Monate, jedoch beginnt sie im vierten Monat und empfängt den Schlüssel K_D. Der Update-Prozess der vorliegenden Erfindung unterzieht den Schlüssel K_D einem Updaten, so dass U auf K_D wirkt, K_E = UK_D. Darüber hinaus wirkt dann, wenn die CD für den dritten Monat der Teilnahme verfügbar wird, U auf K_D, so dass K_F = UK_E = UUK_D. K_G bis K_L werden auf dieselbe Weise erzeugt. Somit verwenden, während "Teilnehmer Eins" und "Teilnehmer Zwei" ihre Teilnahmen während unterschiedlicher Zeitperioden haben, welche sich überlagern, sie dieselben Schlüssel zum Zugreifen auf die überlagernden Monate, und zwar durch den Update-Prozess. Der Prozess der Erzeugung der Zugriffscodes aus dem anfangs heruntergeladenen Schlüssel für einen Zugriff auf einen bestimmten Teil der Ausgaben eines Jahrs durch ein monatliches Update lässt zu, dass der Veröffentlicher einen Teilnahmedienst beginnend zu unterschiedlichen Zeiten und mit unterschiedlichen Längen zur Verfügung stellt, ohne einen Zugriff auf mehr Daten als den autorisierten Dienst zur Verfügung zu stellen. Die KMID-Parameter definieren die Anzahl von gekauften Updates. Bei dem Beispiel der 16 würde der KMID fünf (5) Updates für beide Anwender definieren.

Somit enthält die vorliegende Erfindung ein Datenwiedergewinnungssystem für eine Verwendung durch einen Anwender, welches eine Vielzahl von tragbaren Datenspeichereinrichtungen enthält, wie beispielsweise CD-ROMs, wobei jede von ihnen Daten enthält, die auf bestimmten der Vielzahl von CD-ROMs gespeichert sind, wie beispielsweise Ausgaben einer bestimmten Publikation, die sequentiell vertrieben wird. Teile der Daten auf den CD-ROMs werden durch den Anwender ausgewählt, auf welche durch eine Gruppe von Zugriffscodes (d. h. K_B bis K_G) zugegriffen werden kann, welche ein Teil einer größeren Gruppe von Zugriffscodes (d. h. K_A bis K_L) ist, wobei einer der Gruppe von Zugriffscodes ein übertragener Zugriffscode ist, wie beispielsweise ein solcher, der durch das Buchungs/Zugriffs-Zentrum zum Anwender gesendet wird. Zum Zugreifen auf zuvor unzugreifbare der Vielzahl von CD-ROMs enthalten die CD-ROMs einen Code, der mit dem übertragenen Zugriffscode zusammenarbeitet, um aktualisierte Zugriffscodes für einen Zugriff auf Daten auf anderen der bestimmten der Vielzahl von CD-ROMs zu erzeugen.

Der Update-Prozess verwendet den aktuellen Schlüssel (denjenigen, der in den Monaten der Publikation verwendet wird). Für diesen Schlüssel wird auf den aktuellen Schlüssel mathematisch eine feste bekannte Konstante angewendet, wie beispielsweise durch eine Exklusiv-ODER-Verknüpfung. Der resultierende Wert aus der mathematischen Operation wird als der Entschlüsselungsschlüssel für die nächste Publikation verwendet. Alle Schlüssel mit Update-Attributen werden bei ihrem Update-Zähler unterhalten. Dies lässt zu, dass der Anwender seine Schlüssel selbst dann synchronisiert, wenn er einen oder zwei Publikationen auslässt. Dieser Prozess tritt auf der Teilnehmerseite auf. Der Veröffentlicher führt dieselben Funktionen durch und wendet denselben Wert zum Erzeugen des neuen Verschlüsselungsschlüssels an. Die Informationen werden mit dem neu aktualisierten Schlüssel verschlüsselt. Die Verschlüsselungsinformationen und der Update-Zähler, der nicht verschlüsselt ist, werden auf dem CD-ROM zur Verteilung aufgezeichnet.