メモリデバイスは、メディアコンテンツが安全に記憶され、コンテンツ所有者又は配信に関与するサービスプロバイダによって想定される方法で配信できるようにする制御構造を含んでいる。当該メモリデバイスを使用してメディアコンテンツを配信するための多種多様な手段が利用できるようになり、デバイスは、要約されたプレビューメディアコンテンツ、暗号化されたノーカットのメディアコンテンツ、プリペイドコンテンツ、当該コンテンツへのアクセスを管理する権利及び／又は規則、の内の１つ又はそれ以上を含んでいる場合などが考えられる。メモリデバイスは、サービスプロバイダ（コンテンツ所有者でもよい）が、メディアコンテンツ配信のための安全な環境を作り出せるようにする或る型式の制御構造を有しており、そこでは、エンドユーザーと端末は、サービスプロバイダに登録し、サービスプロバイダにより制御された方法でコンテンツへアクセスすることができるようになる。ロードされる各種構成要素（例えば、要約されたプレビューメディアコンテンツ、暗号化されたノーカットのメディアコンテンツ、プリペイドコンテンツ、当該コンテンツへのアクセスを管理する権利及び／又は規則）は、安全且つ効率的な方法で生成されロードされる。

【発明の詳細な説明】
【技術分野】
【０００１】
本発明は、メディアコンテンツを安全に記憶し、当該コンテンツを消費者に安全に配信するための、モバイルストレージデバイスを採用したシステムを対象としている。
【背景技術】
【０００２】
現在、消費者は、音楽、映像、及びゲームの様なメディアコンテンツをレンダリングするのに様々なデジタルデバイスを使用している。その様なデバイスには、携帯電話機、携帯情報端末（ＰＤＡ）、デスクトップ型、ノートブック型、又はラップトップ型のコンピュータ、及びＭＰ３プレーヤー、ビデオゲーム機などの様な各種メディアプレーヤー（以下、総称的に端末という）が含まれる。エンドユーザーの視点から言えば、あらゆるメディアコンテンツに対して購買申込は１つだけであるのが望ましい。例えば、音楽メディアコンテンツの場合、音楽の購買申込を１つだけにして、当該デバイスのどれを介してもその購買申込から音楽を再生できるようになっているのが望ましい。モバイルネットワークオペレータ（ＭＮＯ）は、実際に携帯電話のユーザーが送受話器を介してメディアコンテンツにアクセスできるようにしてはいるが、その様なコンテンツサービスは、通常、送受話器に対してロックされているため、ユーザーは自分が所有している他の端末を介して当該コンテンツにアクセスすることは許されていない。
【０００３】
現在の市場環境では、音楽、映画、及びビデオゲーム業界の会社は、彼らが提供しているメディアコンテンツが無認可で使用されることを懸念している。デジタルファイルの複製及び配信が容易になったので、メディアコンテンツの無認可利用に対する従来のバリアは崩壊しつつあり、今日、我々は、上記会社が所有する著作権の深刻な侵害を目の当たりにしている。しかしながら、既存のメディア記録及びレンダリング用システムは、今なお、メディア業界にとって完全に納得のいく方法で、エンドユーザーが上記各種デジタルデバイス又は端末を使用し、メディアコンテンツをレンダリングできるようにするための適切な安全性を提供していない。
【０００４】
従って、デジタルデバイス又は端末のどれを介しても、メディアコンテンツを安全に記憶し、当該コンテンツを認可されたエンドユーザーだけに引き渡すために使用できるモバイルメモリシステム及び方法を提供することが望ましい。
【特許文献１】米国仮特許出願第６０／６３８，８０４号
【発明の開示】
【課題を解決するための手段】
【０００５】
メディアコンテンツを記憶するための媒体としては、不揮発性書換可能メモリデバイスが特に適している。例えば、フラッシュメモリカードは、現在、数ギガバイト程度の容量を有しており、これはスマートカードの様な他の記憶媒体より遙かに大きく、映画、ビデオゲーム、及び多数の楽曲を記憶するのに使用することができる。更に、フラッシュメモリは書換可能であるため、コンパクトディスクの様な大容量書換不能メモリに比べ柔軟性が高い。既存のフラッシュメモリデバイスの１つの欠点は、カードに記憶されているメディアコンテンツの無認可の使用又はアクセスを防止する適切な安全性が提供できていないことである。このようにして、不揮発性書換可能メモリデバイスのメディアコンテンツが、コンテンツ所有者によって又は所有者に代わって、安全に保護され制御できたなら、メディア会社にとってはメディアコンテンツを配信する新しい手段が提供されることになり、そのときには、エンドユーザーは、複数のメディアサービスに購買申込をしなくても、異なるモバイルデジタルデバイスを介して当該デバイス内のメディアコンテンツにアクセスすることができることになる。ＭＮＯなどのサービスプロバイダは、更に、メディアコンテンツを安全に記憶し、メディアコンテンツを制御された方法で配信する、というサービスに対して課金できるようになることで、追加収益を得ることになろう。
【０００６】
メディアコンテンツを配信するための１つの新たな手段として、１つの実施形態では、不揮発性書換可能メモリデバイスには、暗号化されたメディアタイトルが事前にロードされており、当該タイトルは何らの制約無しにプレビューできるようになっている。
【０００７】
上記実施形態の１つの実施例では、当該プレビューは、暗号化されたメディアタイトルの暗号化されていない部分又は当該タイトルの暗号化されていない低品質バージョンを備えている。プレビューは、更に、ノーカットのメディアタイトルの回数限定の再生又はレンダリングを備えている。しかしながら、エンドユーザーが、彼らのプレビューに加え、何らの制約や減損も無く、暗号化されたメディアタイトルにアクセスしたいと望む場合、エンドユーザーは、暗号化され且つ省略化されていないメディアタイトルにアクセスする権利を購入せねばならない。エンドユーザーは、この暗号化されたメディアタイトルにアクセスする権利を購入した後、当該タイトルにアクセスすることができるようになる。
【０００８】
本実施形態のこの実施例では、プレビュー用として利用可能である暗号化されたメディアタイトルにアクセスするための証明書（クレデンシャル）又は他の種類の認証情報及び権利及び／又は規則は、デバイスに前以てロードされていない。それらは、エンドユーザーに対しては購入後にしか利用可能とならず、即ち、購入後に、その様な情報がメモリデバイスに記憶される。
【０００９】
本実施形態の代わりの実施例では、上記不揮発性書換可能メモリデバイスへは、暗号化されたメディアタイトルのみならず、暗号化されたメディアタイトルの選択された部分だけ又は当該タイトルの低品質バージョンだけが制約無しにアクセス可能であることを、又は当該タイトルが限定回数だけ再生できることを、指定する権利及び／又は規則も事前にロードされる。エンドユーザーが支払いを済ますと、そこで、メモリデバイスに記憶されている権利及び／又は規則は更新されて、メモリデバイスに記憶されている暗号化されたメディアタイトルへのアクセスが、それ以上の制約無しに、又はもっと緩い制約付きで、の何れかで許可される。
【００１０】
安全特性を備えた不揮発性書換可能メモリデバイスは、サービスプロバイダがメディアコンテンツの配信を制御するために使用するのに有利である。従って、メディア配信の別の新たな手段として、不揮発性書換可能メモリデバイスには、サービスプロバイダがデバイス上にプロバイダ自身の安全環境を構築できるようにする安全特性が提供される。サービスプロバイダは、デバイスに記憶されているメディアコンテンツが当該環境でどのように使用されるかを制御することができる。１つの実施形態では、不揮発性書換可能メモリデバイスには、サービスプロバイダが、デバイスに記憶されている暗号化されたコンテンツへのアクセスを制御するためにデバイスのセキュアメモリ領域内に制御構造を構築できるようにする、システムエージェントが提供されている。制御構造は、サービスプロバイダが、柔軟な方法でメディアコンテンツを配信する仕組みを設定できるようにする。制御構造は、メディアコンテンツがどのように使用され、どのようにアクセスされるかを制御する際に、サービスプロバイダが多くのオプションを持てるようにする階層ツリーの形態を採ってもよい。制御構造は、以下で「権利オブジェクト」とぶオブジェクトの形態を採ってもよく、そこでは、権利及び／又は規則は、特定のメディアコンテンツへのアクセスと或る特定の認証要件（複数の要件）に関係付けられており、当該コンテンツへのアクセスは、当該認証要件（複数の要件）が満たされたときに許容される。制御構造によって、多数のアプリケーション又はエンドユーザーは、同一コンテンツに、鍵又は証明書を共有すること無しに、アクセスすることができ、コンテンツを復号及び／又は暗号化するために使用される或る特定の鍵へのアクセス権を委託することができる。
【００１１】
制御構造は、サービスプロバイダが、端末及びアカウントを或る特定の種類のコンテンツにアクセスできるようにする制御もできるようにしている。例えば、メモリデバイスの第１類では、デバイス内のメディアコンテンツには、何れのエンドユーザー端末を介しても制約無しにアクセスすることができる。メモリデバイスの第２類では、安全特性を備えたそれらのデバイスには、特定のサービスプロバイダ（例えば、ＭＮＯ）の識別子又はＩＤの様な特定の証明書を有する端末でしかアクセスできない。更に、安全特性を備えているメモリデバイスの第３類では、家族の様な、エンドユーザーの或る特定のグループだけが、モバイルネットワークオペレータのＩＤの様な特定の証明書を有する端末で、デバイス内のコンテンツにアクセスできるようになっている。更に、書換可能不揮発性メモリデバイスの第４類では、デバイスに記憶されているコンテンツには、自身の固有の証明書と、モバイルネットワークオペレータのＩＤの様な特定のサービスプロバイダの証明書とを併せ持っている端末でしかアクセスできないようになっている。
【００１２】
サービスプロバイダ又は何か他のエンティティにより構築される制御構造は、不揮発性書換可能メモリデバイスに記憶されているメディアコンテンツを暗号化するのに使用される１つ又は複数のコンテンツ暗号化鍵へのアクセスに対する或る特定の許可を規定するものである。例えば、制御構造は、事前に決められている証明書がデバイスに提示されたときに、１つ又は複数の（或る特定の目的のためだけの）コンテンツ暗号化鍵へのアクセスを許可する。このようにして、その様なデバイスが作動しているとき、デバイスは、時前に決められた証明書が提示されたときには、デバイスに提示された証明書が事前に決められた証明書であるか否かを判定し、１つ又は複数のコンテンツ暗号化鍵へのアクセスが、暗号化されているコンテンツを復号するための許可に従って許容されるか否かを判定する。
【００１３】
不揮発性書換可能メモリデバイスは、更に、２人以上のエンドユーザーが、デバイスに記憶されている暗号化されたメディアコンテンツにアクセスできるようにしているが、その場合、それぞれのエンドユーザーは、同一コンテンツ又は異なるコンテンツにアクセスするのに異なる権利を有していてもよい。このようにして、１人のユーザーにとって目に見え且つアクセスすることのできるコンテンツが、別のエンドユーザーにはアクセスできなかったり、或いは目に見えないことすらある。デバイスは、それぞれがデバイスに記憶されている暗号化された１組のメディアタイトルと関係付けられる複数のアカウントの情報を含む制御情報を記憶し、そこでは、各アカウントは対応する証明書を有している。或るアカウントと関係付けられた証明書が、ホスト又は端末によってデバイスに提示されると、デバイスは、特定のアカウントと関係付けられる暗号化されたメディアタイトルをアクセス可能とするべきか及び／又は目に見えるようにするべきか否かを判定するために、提示された証明書を照合するホストによって提示された資格証明物が正しいかどうか照合し、提示された資格証明物がデバイスに記憶されているそれらの資格証明物と当該アカウントについて一致するというような場合には、デバイスは、そこで、特定のアカウントと関係付けられる暗号化されたメディアタイトルを復号して、復号されたメディアタイトルをホストに供給してレンダリングできるようにする。従って、デバイスに対して、ホスト又は端末が証明書を提示しないか又は誤った証明書を提示したときには、アクセスする特定のアカウントと関係付けられる暗号化されたメディアタイトルは、目に見えることすら無く、アクセスすることもできない。本出願では、「ホスト」及び「端末」という用語は入れ替えて使用できる。
【００１４】
安全特性を備えた不揮発性書換可能メモリデバイスとは、デバイスに記憶されている各メディアファイルが自身のコンテンツ暗号化鍵又は当該鍵へのアクセスが許容される前に要求される自身の証明書、及び復号されたメディアファイル又はタイトルがどの様に使用されるかに関する権利及び／又は規則、を有しているようなメモリデバイスである。１つの実施形態では、権利オブジェクトは、或る特定の暗号化されたメディアコンテンツに関する権利及び／又は規則、当該コンテンツを復号及び／又は暗号化するためのコンテンツ暗号化鍵、及び当該鍵にアクセスするのに必要な証明書を含んでいる。その様な権利オブジェクトは、上記で言及した制御構造の形態として使用される。このようにして、権利オブジェクトのこの実施形態を採用すれば、メモリデバイスは、デバイスに記憶されている多数の対応するメディアファイルを復号するのに利用できる多数のコンテンツ暗号化鍵を記憶することができ、且つ対応する権利オブジェクトを記憶することができる。不揮発性書換可能メモリデバイスそれぞれは、他のどのメモリデバイスの鍵とも異なる固有鍵を有するように製造することができる。これには、メモリデバイスそれぞれに対してコンテンツ暗号化鍵の固有セットを生成することが必要になる。しかしながら、幾つかのアプリケーションでは、及び安全実行の場合には、権利オブジェクトはコンテンツ暗号化鍵を含んでいないことが望ましい。代わりに、それは、コンテンツ暗号化鍵にアクセスするのに必要な認証情報（例えば、証明書）を含んでいる。このようにして、更に層の厚い安全策が提供される。
【００１５】
しかしながら、幾つかのアプリケーションでは、不揮発性書換可能メモリデバイスの各バッチに、コンテンツ暗号化鍵（及び対応する権利オブジェクト）の同一セットをインストールすることが望ましく、そうすれば、製造中にバッチ内の異なるデバイスに異なる鍵をインストールする必要は無くなる。製造された不揮発性書換可能メモリデバイスの各バッチは、メモリデバイスの他のどのバッチのものとも異なる自身に固有のコンテンツ暗号化鍵及び対応する権利オブジェクトのグループを有することになる。
【００１６】
この方式によれば、上記メモリデバイスを大量に製造する場合、デバイスは、それぞれが、Ｎが正の整数であるＮ個のデバイスを有する複数のグループに分けられる。それぞれが対応するコンテンツ暗号化鍵のセットを含んでいる、Ｎ個の権利オブジェクトセットが生成される。Ｎ個の権利オブジェクトセットは、それぞれ更に、製造中に当該権利オブジェクトセットがロードされるグループそれぞれの中で或るデバイスを識別するための対応するセット識別コードを有している。このようにして、Ｎ個の異なるセット識別コードが存在する。各デバイスは、固有の識別コードと、その識別コードから導き出されるのが望ましいセット識別コードを有している。従って、製造中、インストール処理では、先ず、製造されるデバイスそれぞれのセット識別コードをその固有識別コードから導き出す。次に、セット識別コードから、対応する権利オブジェクトが識別され、デバイスにロードされる。当該権利オブジェクト内の鍵を使用して復号できる対応するメディアファイルも、デバイスにロードされる。ロードされたメディアファイルは、支払い済みのメディアコンテンツのみならず、アクセスできるようになる前に支払いが要求される未払いのメディアコンテンツを備えていてもよいし、無制約のアクセスが利用できる当該未払いメディアコンテンツのプレビューを備えていてもよい。
【００１７】
本発明の更に別の態様の実施形態では、不揮発性書換可能メモリデバイスに記憶されるメディアコンテンツは暗号化されている。これは、暗号化されたメディアコンテンツのローディングは、安全が担保されていないファシリティで行うことができることを意味しており、これによりデバイスの製造工程は大いに単純になる。１つの実施形態では、例えば、コンテンツ暗号化鍵を含んでいる権利オブジェクトが、最初に、セキュアファシリティでデバイスにロードされる。その後、デバイスは安全が担保されていないファシリティに出荷されて、暗号化されたメディアコンテンツのローディングが行われるが、そのメディアコンテンツへのアクセスはメモリデバイスに既にロードされている権利オブジェクトによって制御されており、オブジェクト内のコンテンツ暗号化鍵を使用して、暗号化されたメディアコンテンツを復号することができることになる。
【００１８】
上記で指摘したように、暗号化されたメディアタイトルとその様なタイトルのプレビューを有する不揮発性書換可能メモリデバイスは、メディア会社にメディアコンテンツ配信の新しい手段と新たな収益を提供する。上記種類とは異なるコンテンツが記憶されている不揮発性書換可能メモリは、更に、メディア会社並びに他の関連プロバイダに他の収益の道筋を提供する。１つのその様な構成では、メディアコンテンツは、不揮発性書換可能メモリカードのメモリ領域に記憶されるが、この場合、コンテンツは、少なくとも幾つかのメディアタイトルの選択された及び暗号化されていない部分又は当該タイトルの低品質で暗号化されていないバージョンしか含んでいない。その様なカードは、販売促進の目的に有用であり、また、エンドユーザーが購入前にメディアコンテンツをプレビューするのにも有用である。エンドユーザーは、当該コンテンツをプレビューした後、ノーカットのメディアタイトル又は当該タイトルの高品質バージョンの何れかを購入する。購入後、エンドユーザーは、当該メディアタイトルをメモリデバイスにダウンロードすると共に、支払い後は権利オブジェクトもダウンロードされる。
【００１９】
このようにして、プレビューコンテンツを有する上記型式のメモリデバイスでは、デバイスは、メディアタイトルの暗号化されていない部分又はタイトルの低品質で暗号化されていないバージョンをレンダリングするか、限られた期間だけ又は限られた回数だけレンダリングすることによって、エンドユーザーからの要求に応答する。デバイスは、更に、ユーザーがノーカットの又は高品質バージョンのタイトルにアクセスする権利を購入したいか否かを、ユーザーに問い合わせる。プレビューコンテンツが、ユーザーがノーカットのタイトルに限られた回数だけアクセスできるものである場合、メモリデバイスは、エンドユーザーが当該タイトル（複数のタイトル）にアクセスした後、ユーザーが当該タイトル（複数のタイトル）に無制約にアクセスする権利を購入したいか否かをエンドユーザーに問い合わせる。１つの実施形態では、ユーザーがそこで当該タイトル（複数のタイトル）を購入することにより応答した場合、適切な権利オブジェクトが次にインストールされ、ノーカットの又は高品質なメディアタイトルも、まだデバイスに記憶されていないのであれば、インストールされる。そのような処理が完了したら、そこで、ユーザーは、レンダリングされたノーカットの又は高品質なメディアタイトル（複数のタイトル）を楽しむことができ、又は当該タイトルを一切の制約無しに楽しむことができる。
【００２０】
更に別の代わりの実施形態は、暗号化されたメディアタイトルを、それらタイトルを復号するのに必要な鍵を記憶すること無しに、不揮発性書換可能メモリカードに記憶する実施形態である。レンダリングの権利を購入した後、エンドユーザーは、次に、適切な鍵（又はその様な鍵にアクセスするための証明書）を使って、適切な権利オブジェクトをダウンロードし、メディアタイトルを復号して楽しむ。
【００２１】
更に別の実施形態では、暗号化されていないメディアタイトルが記憶されている不揮発性書換可能メモリカードは、市場調査の目的で使用されている。このようにして、カードには、或る一定期時間又は制限回数分の何れかの条件付でメディアタイトルへのアクセスを許可する権利オブジェクト又は他の制御構造も記憶され、カードは、メディアタイトルへのアクセスを追跡し、追跡されたアクセスに基づいてアクセスプロファイルをコンパイルする。メディアタイトルを再生又はレンダリングできる制限時間又は制限回数は、既にコンパイルされたアクセスプロファイルが市場調査の様な目的のためにサーバにダウンロードされると、延長される。
【００２２】
更に別の実施形態では、不揮発性書換可能メモリカードは、アクセスできる或る特定の暗号化されたメディアコンテンツに適用される１つ又は複数の権利オブジェクト（複数のオブジェクト）又は他の制御構造を記憶しているが、但し、ここでは、当該コンテンツはカードに記憶されていない。その様なメモリカードは、エンドユーザーによる購入に利用できるプリペイド式メディアコンテンツカードとして使用される。コンテンツ暗号化鍵（又は当該鍵にアクセスするための証明書）及び権利及び／又は規則は既にカードに記憶されているので、エンドユーザーは、カード内の権利及び／又は規則の下で規定されている暗号化されたコンテンツをダウンロードし、１つ又は複数のコンテンツ暗号化鍵を使用して当該コンテンツを復号することができ、そのコンテンツはレンダリングのためにカードによってアクセスされるか、又はカード内に記憶される。その様なカードの１つの利点は、エンドユーザーが、権利及び／又は規則によって規定されている暗号化されたコンテンツを繰り返しダウンロードすることを許可していることであり、これにより、エンドユーザーは、暗号化されているコンテンツを削除し、同一コンテンツを後でダウンロードすることができるようになる。これは、ユーザーが、アクセスする権利を放棄すること無しに大量のメディアコンテンツに、アクセスできるようにする。
【００２３】
ユーザーが、複数の証明書を提供する必要なしに、多数の異なる保護されたメディアファイルに容易にアクセスできるようにするために、それらファイルへのアクセスを制御する制御構造は、特定のセットの証明書が提示されたときに、ユーザーに当該メディアファイルの全てにアクセスすることを許可するように指定された制御構造の様な、別の制御構造に、それらファイルにアクセスするための許可又は権限を、委譲できるようにしている。１つの実施形態では、その様な指定された制御構造は、プレイバックアクセス制御記録又は権利オブジェクトであってもよい。別の実施形態では、委譲される許可は、暗号化されているメディアファイルを復号するための鍵にアクセスする許可である。
【００２４】
権利オブジェクトを採用している上記各種実施形態では、権利オブジェクトは、コンテンツを復号及び／又は暗号化するのに使用される鍵、及び鍵にアクセスするための認証要件を含んでいる。上記各実施形態と類似している別の実施形態は、権利オブジェクトの別の実施形態を使用して実施されており、そこでは、メモリデバイスの或る特定の保護された領域にアクセスするための権利及び／又は規則は、対応する認証要件と関係付けられており、その様な要件を満たしている認可されたエンティティだけが、当該領域に記憶されているコンテンツへアクセスすることができるようになっている。権利オブジェクトの当該実施形態は、鍵を含んでいてもいなくてもよい。権利オブジェクトの当該実施形態が鍵を含んでいる場合には、鍵は、保護されている領域又は保護されていない領域に記憶されているコンテンツを復号及び／又は暗号化するために使用され、その場合、認証要件は、保護された領域にアクセスするために使用されるものとは異なっていることが望ましく、その認証要件との整合性が、鍵にアクセスするのに必要とされる。
【００２５】
上記指摘したように、有用な権利及び／又はコンテンツがメモリデバイスにロードされる。このために、当該貴重なコンテンツがロードされる前に、カードの証明書を調べることが肝要である。このようにして、本発明の別の態様によれば、不揮発性書換可能フラッシュメモリカードの証明書は、カードが正規であるか又は偽造品であるかを判定するために照合され、そこで、照合に応じてカードが正規であるか否かに関する情報が提供される。この能力は、認証サーバからサービスプロバイダサーバへという様に、サーバからサーバへと伝送される。
【００２６】
もう１つの実施形態では、権利オブジェクトは、権利オブジェクトによるコンテンツの制御を迂回する方法を防止するように、バックアップされ復元される。メディアコンテンツは第１メモリ領域に記憶されている。第１メモリ領域に記憶されているメディアコンテンツへのアクセスを制御するために、少なくとも１つの権利オブジェクトが第２メモリ領域に記憶されている。第２メモリ領域には、当該の少なくとも１つの権利オブジェクトのバックアップ及び復元のために、そうすることが認可されているアプリケーションしかアクセスできないことが望ましい。１つの実施例では、第２メモリ領域は、読取り専用機能のパーティションにアクセスするのに使用されるものとは異なる証明書を有するアプリケーションしかアクセスできない保護されたパーティションである。
更に別の実施形態では、権利オブジェクトは、第１証明書がデバイスに提示されたときには、読取り専用機能にとってアクセス可能であり、第１証明書とは異なる第２証明書がデバイスに提示されたときには、アクセスしてコピーし、変更し、又は消去することができる。１つの実施形態では、第２証明書がデバイスに提示されると、権利オブジェクトがコピーされ、変更され、又は消去される。この処理によって、権利オブジェクトのコピー元のソースメモリデバイスと権利オブジェクトのコピー先のレシピエントデバイスの両方において、権利オブジェクトから作られる複数のコピーを有効に制御できるようになる。コピーに先立ち、許可されるコピーの総数は、同じ数に維持され、コピーによって変わることはない。これは、ソースメモリデバイス内の権利オブジェクトを変更するか消去するかの何れかによって、及び必要に応じて、レシピエントメモリデバイスへコピーする前に権利オブジェクトを変更することによって、制御される。
更に別の実施形態では、不揮発性書換可能メモリカードにアクセスしようとしているアプリケーションの証明書は、そうするよう認可されているか否かを判定するために照合される。アプリケーションの証明書が要件に合致しないときには、当該アプリケーションは不揮発性書換可能メモリカードにアクセスするよう認可されていないことが示される。
【００２７】
上に述べた特性は、メディアコンテンツを安全で制御された方法で配信するための異なる手段を提供するため、個別に又は何らかの組み合わせで使用されてもよい。
【発明を実施するための最良の形態】
【００２８】
説明を分かり易くするために、本出願中、同一の構成要素には同じ符号を付して表示している。
【００２９】
本発明の様々な態様が実施される一例的なメモリシステムを図１のブロック図で示している。図１に示すように、メモリシステム又はデバイス１０は、中央演算処理装置（ＣＰＵ）１２、バッファ管理装置（ＢＭＵ）１４、ホストインターフェースモジュール（ＨＩＭ）１６及びフラッシュインターフェースモジュール（ＦＩＭ）１８、フラッシュメモリ２０、及び周辺アクセスモジュール（ＰＡＭ）２２を含んでいる。メモリシステム１０は、ホストインターフェースバス２６とポート２６ａを介してホストデバイス２４と通信する。ＮＡＮＤ型であるフラッシュメモリ２０は、ホストデバイス２４用のデータ記憶部である。ＣＰＵ１２用のソフトウェアコードもフラッシュメモリ２０に記憶される。ＦＩＭ１８は、フラッシュインターフェースバス２８とポート２８ａを介してフラッシュメモリ２０に接続される。ＨＩＭ１６は、デジタルカメラ、パーソナルコンピュータ、携帯情報端末（ＰＤＡ）、デジタルメディアプレーヤー、ＭＰ−３プレーヤー、携帯電話、又は他のデジタルデバイスの様なホストシステムへの接続に適している。周辺アクセスモジュール２２は、ＣＰＵ１２と通信するために、ＦＩＭ、ＨＩＭ、及びＢＭＵの様な適切なコントローラモジュールを選択する。１つの実施形態では、点線のボックス内のシステム１０の構成要素の全てが、メモリカード又はスティック１０’の様な単一のユニット内に囲われ、カプセル化されるのが望ましい。
【００３０】
本発明は、ここでは、カード形態のフラッシュメモリに関して説明しているが、本発明は、カード形態か否かを問わず、磁気ディスク、光学式ＣＤの様な他の型式のメモリ、並びに他の型式の書換可能不揮発性メモリシステムにも適用可能である。
【００３１】
バッファ管理ユニット１４は、ホストダイレクトメモリアクセス（ＨＤＭＡ）３２、フラッシュダイレクトメモリアクセス（ＦＤＭＡ）３４、アービタ３６、バッファランダムアクセスメモリ（ＢＲＡＭ）３８、及びクリプトエンジン４０を含んでいる。アービタ３６は、共用バスアービタなので、常時１つのマスタ又はイニシエータ（ＨＤＭＡ３２、ＦＤＭＡ３４、又はＣＰＵ１２が考えられる）しかアクティブにならず、スレーブ又は標的はＢＲＡＭ３８である。アービタは、ＢＲＡＭ３８に対する適切なイニシエータ要求のチャネリングの任を負っている。ＨＤＭＡ３２とＦＤＭＡ３４は、ＨＩＭ１６とＦＩＭ１８とＢＲＡＭ３８又はＣＰＵランダムアクセスメモリ（ＣＰＵ ＲＡＭ）１２ａの間で伝送されるデータに責任を負っている。ＨＤＭＡ３２とＦＤＭＡ３４の動作は、従来通りなので、ここでは詳しく説明する必要はない。ＢＲＡＭ３８は、ホストデバイス２４とフラッシュメモリ２０の間を通過するデータを記憶するのに使用される。ＨＤＭＡ３２とＦＤＭＡ３４は、ＨＩＭ１６／ＦＩＭ１８とＢＲＡＭ３８又はＣＰＵ ＲＡＭ１２ａの間でデータを伝送すること、及びセクター完了を表示することに責任を負っている。
【００３２】
メモリ２０に記憶されているコンテンツの安全性を改善するために、メモリシステム１０は、暗号化及び／又は復号に使用される鍵値（複数鍵値）を生成する。しかしながら、ホストデバイスは、メモリシステム１０に対してデータをファイル形式で読み取り、書き込むので、暗号化と復号は、通常、ファイル毎に行われる。多くの他の型式の記憶装置の様に、メモリデバイス１０は、ファイル又はファイルシステムを認識できない。メモリ２０が、ファイルの論理アドレスが識別できるファイルアロケーションテーブル（ＦＡＴ）を実際に記憶しているにもかかわらず、ＦＡＴは、通常、コントローラ１２ではなくホストデバイス２４によってアクセス及び管理される。従って、特定のファイル内のデータを暗号化するために、コントローラ１２は、ホストデバイスを信頼してメモリ２０のファイル内のデータの論理アドレスを送信せねばならないので、特定のファイルのデータは、システム１０だけに利用可能な鍵値（複数鍵）を使用して、システム１０により、認識及び暗号化及び／又は復号される。
【００３３】
ファイル内のデータを暗号手法で処理し、ホストデバイス２４とメモリシステム１０の両方が同じ鍵（複数鍵）を参照できるようにするハンドルを提供するため、ホストデバイスは、システム１０によって生成された鍵値のそれぞれのリファレンスを提供しており、その様なリファレンスは単純に鍵ＩＤであってもよい。このようにして、ホスト２４は、システム１０によって暗号手法的に処理された各ファイルと鍵ＩＤを関係付け、システム１０は、データを暗号手法で処理するために使用される各鍵値を、ホストにより提供された鍵ＩＤと関係付ける。このようにして、ホストが、ファイルを暗号手法で処理することを要求するとき、この要求を、メモリ２０から取り出された、又はメモリ２０に記憶されているデータの論理アドレスを伴う鍵ＩＤと共に、この要求をシステム１０に送る。システム１０は、鍵値を生成し、ホスト２４によって提供された鍵ＩＤを当該値と関係付け、暗号手法の処理を行う。この方法では、メモリシステム１０が鍵（複数鍵）を使用して暗号手法の処理を制御できるようにしながらも、メモリシステム１０が作動するやり方を変更する必要はない。換言すると、システム１０は、引き続き、暗号方式の処理に使用される鍵値の生成と管理に対する制御を維持しながら、ホスト２４が、ＦＡＴの排他的制御を有することによりファイルを管理できるようにしている。
【００３４】
ホスト２４により提供される鍵ＩＤと、メモリシステムにより生成される鍵値は、以下で「コンテンツ暗号化鍵」又は「ＣＥＫ」と呼んでいる２つの量の属性を形成する。ホスト２４は、各鍵ＩＤを１つ又はそれ以上のファイルと関係付けるが、ホスト２４は、更に、各鍵ＩＤを、未編成のデータ又は何らかの方法で編成されたデータ、そして完全なファイルに編成されたデータに限定せず、関係付ける。
【００３５】
ユーザー又はアプリケーションがシステム１０内の保護されているコンテンツ又は領域にアクセスを得るためには、システム１０に事前登録されている証明書を使用して認証される必要がある。証明書は、当該証明書を有する特定のユーザー又はアプリケーションに許容されているアクセス権に結びつけられている。事前登録のプロセスでは、システム１０は、ユーザー又はアプリケーションの身分と証明書、及びユーザー又はアプリケーションによって決められホスト２４を通して提供された、当該身分と証明書に関係付けられたアクセス権の記録を記憶する。事前登録の完了後、ユーザー又はアプリケーションがメモリ２０にデータを書き込むことを要求するとき、ホストデバイスを通して、その身分と証明書、データを暗号化するための鍵ＩＤ、及び暗号化されたデータが記憶される論理アドレスを提供することが必要になる。システム１０は、鍵値を生成し、その値をホストデバイスによって提供された鍵ＩＤと関係付け、当該ユーザー又はアプリケーション用のシステム自身の記録又は表に、書き込まれるデータの暗号化に使用される鍵値の鍵ＩＤを記憶する。次いで、システムはデータを暗号化し、暗号化されたデータ並びにシステムが生成した鍵値を、ホストによって指定されたアドレスに記憶する。
【００３６】
ユーザー又はアプリケーションが、システム２０から暗号化されているデータを読み取ることを要求するとき、ユーザー又はアプリケーションは証明書を提供することによってその身分を証明することと、要求されているデータの暗号化に以前使用した鍵の鍵ＩＤ及び暗号化されたデータが記憶されている論理アドレスを提供することが必要となる。次いで、システム１０は、ホストによって提供されたユーザー又はアプリケーションの身分と証明書を、その記録に記憶されているものと照合する。それらが一致すれば、システム１０は、そこで、そのメモリから、ユーザー又はアプリケーションによって提供された鍵ＩＤと関係付けられている鍵値を取り出し、その鍵値を使用して、ホストデバイスによって指定されたアドレスに記憶されているデータを復号し、復号されたデータをユーザー又はアプリケーションに送る。
【００３７】
認証証明書を暗号化処理に使用される鍵の管理から切り離すことによって、証明書を共有すること無しに、データにアクセスする権利を共有することが可能になる。このようにして、異なる証明書を有するユーザー又はアプリケーションのグループは、同一データにアクセスするのに同一鍵へのアクセスを有することができ、一方、このグループ外のユーザーはアクセスを有しない。グループ内の全てのユーザー又はアプリケーションは、同一データへのアクセスを有しているが、それらは異なる権利をなお有している。このようにして、或るものは読取り専用アクセスを有し、他のものは書込みアクセスしか持たず、また他のものは両方を有している。システム１０は、ユーザー又はアプリケーションの身分と証明書、それらがシステムにアクセスできる鍵ＩＤ、及び鍵ＩＤのそれぞれに関係付けられたアクセス権の記録を維持しているので、システム１０は、特定のユーザー又はアプリケーションについて、鍵ＩＤを追加又は削除し、鍵当該ＩＤと関係付けられているアクセス権を変更すること、或るユーザー又はアプリケーションから別のユーザー又はアプリケーションへアクセス権を委譲すること、或いはユーザー又はアプリケーションの記録又は表を削除又は追加することさえ可能であり、それらは全て適正に認証されたホストデバイスによって制御される。記憶されている記録は、或る特定の鍵にアクセスするのにセキュアチャネルが必要であることを指定しているかもしれない。認証は、対称又は非対称アルゴリズム並びにパスワードを使用して行われる。
【００３８】
特に重要なことは、メモリシステム１０内の保護されたコンテンツの可搬性である。鍵値は、メモリシステムにより生成され、実質的には外部システムには利用できないため、メモリシステム又はこのシステムを組み込んでいる記憶装置が、或る外部システムから別の外部システムに移転されるとき、そこに記憶されているコンテンツの安全性は維持されており、外部システムは、メモリシステムによって完全に制御された方法で認証されない限り、当該コンテンツにアクセスすることはできない。そのように認証された後でさえ、アクセスはメモリシステムにより制御され、外部システムは、メモリシステム内の事前に設定されている記録に従って制御される方法でしかアクセスできない。要求が当該記録に適合しなければ、要求は拒絶される。
【００３９】
コンテンツを保護する場合の柔軟性をより高めるために、以下でパーティションと呼んでいるメモリの或る特定の領域は、適正に認証されたユーザー又はアプリケーションしかアクセスできないように目論まれている。鍵に基づくデータ暗号化の上記特性と組み合わせると、システム１０は、更に優れたデータ保護能力を発揮する。図２に示すように、フラッシュメモリ２０は、その記憶容量が複数のパーティション、即ちユーザーの領域又はパーティション及びカスタムパーティション、に分割されている。ユーザー領域又はパーティションＰ０は、認証なしで全ユーザー及びアプリケーションにとってアクセス可能となっている。ユーザー領域に記憶されているデータの全てのビット値は、あらゆるアプリケーション又はユーザーによって読み取られ又は書き込まれるが、読取りデータが暗号化されている場合は、復号する権限のないユーザー又はアプリケーションは、ユーザー領域に記憶されているビット値により表される情報にアクセスすることはできない。このことは、例えば、ユーザー領域Ｐ０に記憶されているファイル１０２及び１０４によって説明されている。更に、ユーザー領域には、全てのアプリケーション及びユーザーによって読み取られ理解されるファイル１０６の様な暗号化されていないファイルも記憶されている。このようにして、象徴的に、暗号化されているファイルは、ファイル１０２と１０４の場合の様に錠前を付けて示している。
【００４０】
ユーザー領域Ｐ０の暗号化されているファイルが認可されていないアプリケーション又はユーザーによって理解されることはないとしても、その様なアプリケーション又はユーザーが当該ファイルを削除又は汚染することは依然として可能であり、それは幾つかのアプリケーションにとっては望ましくないことである。そのため、メモリ２０は、事前の認証なしにアクセスすることができないパーティションＰ１及びＰ２の様な保護されたカスタムパーティションも含んでいる。本出願の実施形態で許可されている認証プロセスをこれより説明する。
【００４１】
これも図２に示すように、様々なユーザー又はアプリケーションが、メモリ２０内のファイルにアクセスする。ユーザー１と２及び（デバイス上で実行中の）アプリケーション１〜４を図２に示している。それらのエンティティがメモリ２０内の保護されたコンテンツにアクセスできるようになる前に、それらは、先ず認証プロセスによって以下に説明する方法で認証される。このプロセスでは、アクセスを要求しているエンティティは、役割ベースのアクセス制御のためにホスト側で識別される必要がある。このようにして、アクセスを要求しているエンティティは、先ず、「私はアプリケーション２であり、ファイル１の読み取りを希望する」というような情報を供給することによって自身の身分を明らかにする。そこで、コントローラ１２は、身分、認証情報、及び要求を、メモリ２０又はコントローラ１２に記憶されている記録と照合する。全ての要件が合致すれば、そこで、当該エンティティに対してアクセスが許容される。図２に示すように、ユーザー１は、パーティションＰ１のフィル１０１に対する読取り及び書込みが許可されており、加えて、Ｐ０内のファイル１０６からの読取りと当該ファイルへの書込みについてユーザー１は無制約の権利を有するが、ファイル１０２と１０４に関しては読取りしか許可されていない。他方ユーザー２は、ファイル１０１と１０４へのアクセスは許可されていないが、ファイル１０２に対する読取り及び書込みアクセスは有している。図２に表示している、ユーザー１と２は同じログインアルゴリズム（ＡＥＳ）を有しているが、一方、アプリケーション１と３は、異なるログインアルゴリズム（例えばｍＲＳＡと００１００１）を有しており、それらは、ユーザー１及び２のものとも異なっている。ユーザー１と２は共に、証明書を一切提示すること無しに、また一切の制約無しに、ファイル１０６にアクセスすることができる。
【００４２】
安全記憶アプリケーション（ＳＳＡ）は、メモリシステム１０のファームウェア内の安全アプリケーションであり、上で特定した特性の多くを実施するのに使用される本発明の或る実施形態を例証している。ＳＳＡは、メモリ２０又はＣＰＵ１２内の不揮発性メモリ（図示せず）に記憶されているデータベースでソフトウェア又はコンピュータコードとして具現化されており、ＲＡＭ１２ａ内に読み込まれ、ＣＰＵ１２によって実行される。ＳＳＡに関して使用される各頭字語を下表に示す。
【表１】

【００４３】
（ＳＳＡシステムの説明）
データの安全性、完全性、及びアクセス制御が、ＳＳＡの主な役割である。データとは、そうでなければ或る種の大記憶装置に単にそのまま記憶されることになるファイルである。ＳＳＡシステムは、記憶システムの頂上に座し、記憶されるホストファイルに安全層を追加する。
【００４４】
ＳＳＡの主要タスクは、メモリに記憶され（及び保護され）ているコンテンツと関係付けられている異なる権利を管理することである。メモリアプリケーションは、記憶されている複数のコンテンツに対する複数のユーザーとコンテンツ権を管理する必要がある。ホストアプリケーションは、それらの側から、当該アプリケーションにとって目に見えるドライブとパーティション、及び記憶装置に記憶されているファイルの場所を管理し表現しているファイル割振り表（ＦＡＴ）を観察する。
【００４５】
この場合、記憶装置は、パーティションに分割されたＮＡＮＤフラッシュチップを使用するが、他のモバイル記憶装置も使用でき、それらも本発明の範囲内にある。それらパーティションは、論理アドレスの連続したスレッドであり、そこでは、スタートとエンドアドレスがそれらの境界を画定する。従って、必要に応じて、隠れたパーティションへのアクセスには、制約を果たすことができるが、それは当該制約を当該境界内のアドレスと関係付けるソフトウェア（メモリ２０に記憶されているソフトウェアなど）によって課される。ＳＳＡによって管理されている論理アドレス境界によって、ＳＳＡにとっては完全にパーティションを認識可能である。ＳＳＡシステムは、認可されていないホストアプリケーションからのデータを物理的に保護するためにパーティションを使用する。ホストにとっては、パーティションは、データファイルを記憶するための独占空間を画定する機構である。それらパーティションは、記憶装置へのアクセスを有するものは誰でも見ることができ、デバイス上のパーティションの存在に気づくパブリックなもの、又は選択されたホストアプリケーションだけがアクセスを有し、記憶装置内のそれらの存在に気づくプライベート又は隠されたもの、の何れであってもよい。
【００４６】
図３は、メモリのパーティション、Ｐ０、Ｐ１、Ｐ２、及びＰ３（パーティションは４個より少なくても多くてもよいことは明らかである）を説明しているメモリの概略図であり、ここで、Ｐ０は、あらゆるエンティティが認証無しにアクセスできるパブリックパーティションである。
【００４７】
プライベートパーティション（Ｐ１、Ｐ２、又はＰ３）は、その内部のファイルへのアクセスを隠している。ホストがパーティションにアクセスすることを妨げることによって、フラッシュデバイス（例えば、フラッシュカード）は、パーティションの内部のデータファイルの保護を実現している。しかしながら、この種の保護は、隠れたパーティションに置かれているファイルの全てを巻き込み、パーティション内の論理アドレスに記憶されているデータへのアクセスに制約を課すことになる。。言い換えると、制約は論理アドレスの範囲と関係付けられている。当該パーティションに対するアクセスを有するユーザー／ホストの全ては、内部のファイルの全てに対する無制限のアクセスを有することになる。それぞれのファイル−又はファイルのグループ−を互いに分離させるために、ＳＳＡシステムは、鍵及び鍵リファレンス又は鍵ＩＤを使用して、ファイル−又はファイルのグループ−毎にもう一つ別のレベルの安全性及び完全性を提供している。異なるメモリアドレスのデータの暗号化に使用される特定の鍵値の鍵リファレンス又は鍵ＩＤは、暗号化されたデータが入っているコンテナ又はドメインと類比して説明させることができる。この理由から、図４では、鍵リファレンス又は鍵ＩＤ（例えば、「鍵１」及び「鍵２」）は、鍵ＩＤと関係付けられている鍵値を使用して暗号化されたファイルを取り囲んでいる領域として図形的に示されている。
【００４８】
図４に関して、例えば、ファイルＡは、何れの鍵ＩＤにも囲まれていないことが図示されていることから、一切の認証無しに全てのエンティティにとってアクセス可能となっている。パブリックパーティションのファイルＢは、全てのエンティティによって読取り又は上書きされるが、ＩＤ「鍵１」を有する鍵で暗号化されているデータを含んでいるので、ファイルＢに入っている情報は、エンティティが当該鍵に対するアクセスを有していない限り、そのエンティティにとってはアクセス可能にならない。この方法では、鍵値と鍵リファレンス又は鍵ＩＤを使用することは、上で説明したパーティションにより提供される類の保護とは反対に、論理的な保護しか提供しない。従って、パーティション（パブリック又はプライベート）にアクセスすることのできるホストは何れも、暗号化されているデータを含め、全パーティション内のデータの読取り又は書込みが可能である。しかしながら、データは暗号化されているので、認可されていないユーザーはそれに悪影響を与えることができるだけである。ユーザーらは、検知されずにデータを変更することも使用することもできないのが望ましい。暗号化及び／又は復号鍵へのアクセスを制約することによって、この特性は、認可されたエンティティだけがデータを使用できるようにしている。ファイルＢ及びＣは、更に、Ｐ０内の鍵ＩＤ「鍵２」を有する鍵を使用して暗号化される。
【００４９】
データの機密性及び完全性は、コンテンツ暗号化鍵（ＣＥＫ）をＣＥＫ毎に１つ使用する対称暗号化法によって提供される。ＳＳＡ実施形態＜１７＞では、ＣＥＫは、フラッシュデバイス（例えば、フラッシュカード）によって生成され、内部的にしか使用されず、秘密裏に維持される。暗号化され又は暗号にされたデータは、データの完全性を確保するために、更に、ハッシュ化されても、暗号がチェーンブロックであっても、何れでもよい。ＣＥＫは、正常操作時はカードの外部のエンティティにとってアクセスできないメモリの保護された領域に記憶されているのが望ましい。
【００５０】
パーティション内の全てのデータが、異なる鍵を使って暗号化され、異なる鍵ＩＤと関係付けられているわけではない。パブリック又はユーザーファイル内か、オペレーティングシステム領域（即ちＦＡＴ）内かを問わず、或る特定の論理アドレスは、何れの鍵又は鍵リファレンスにも関係付けられず、このようにして、あらゆるエンティティがパーティション自体を利用できる。
【００５１】
鍵及びパーティションを作成する並びにそれらからデータを書き込み及び読み取るか又は鍵を使用する能力を求めるエンティティは、アクセス制御記録（ＡＣＲ）を通してＳＳＡシステムにログインする必要がある。ＳＳＡシステムのＡＣＲの特権はアクションと呼ばれている。全てのＡＣＲは、次の３つのカテゴリ、即ち、パーティション及び鍵／鍵ＩＤを作成する、パーティション及び鍵にアクセスする、他のＡＣＲを作成／更新する、というアクションを行う許可を有している。
【００５２】
ＡＣＲは、ＡＣＲグループ又はＡＧＰと呼ばれるグループに編成されている。ＡＣＲが首尾よく認証されると、ＳＳＡシステムは、ＡＣＲアクションの何れかが実行されるセッションを開く。
【００５３】
（ユーザーパーティション）
ＳＳＡシステムは、１つ又は複数のパブリックパーティションを管理しており、このパーティションはユーザーパーティション（複数パーティション）とも呼ばれる。このパーティションは記憶装置上に存在しており、記憶装置の標準的な読取り書込みコマンドを介してアクセスできる単一又は複数のパーティションである。パーティション（複数パーティション）の大きさ並びにデバイス上のその存在に関する情報を取得することは、ホストシステムから隠せないのが望ましい。
【００５４】
ＳＳＡシステムは、標準的な読取り書込みコマンド又はＳＳＡコマンドの何れかを介して、このパーティション（複数パーティション）へのアクセスを可能にする。従って、パーティションへのアクセスは特定のＡＣＲに制約されないことが望ましい。しかしながら、ＳＳＡシステムは、ホストデバイスがユーザーパーティションへのアクセスを制約できるようにしている。読取り及び書込みアクセスは、個々に可能にされ／不能にされる。全４つの組み合わせ（例えば、書込み専用、読取り専用（書込み保護）、読取り及び書込み、アクセス無し）が許容されている。
【００５５】
ＳＳＡシステムは、ＡＣＲが、鍵ＩＤをユーザーパーティション内のファイルと関係付けできるようにし、当該鍵ＩＤに関係付けられた鍵を使用して個々のファイルを暗号化できるようにしている。ユーザーパーティション内の暗号化されたファイルにアクセスすること並びに当該パーティションへのアクセス権を設定することは、ＳＳＡコマンドセット（ＳＳＡコマンドの詳細説明に付いては付録Ａ参照−付録では、鍵ＩＤは「ドメイン」と呼ばれている）を使用して行われる。
【００５６】
上記特性は、フィルに編成されていないデータにも適用される。
【００５７】
（ＳＳＡパーティション）
これらは、ＳＳＡコマンドを介してのみアクセスできる（ホストのオペレーティングシステム又はＯＳから）隠されたパーティションである。ＳＳＡシステムは、ホストデバイスが、ＡＣＲに対してログインすることによって確立されるセッション（下記で説明）以外を介してＳＳＡパーティションにアクセスすることを許容しないのが望ましい。同様に、ＳＳＡは、ＳＳＡパーティションの存在、大きさ、及びアクセス許可に関する情報については、それらの要求が確立されたセッションを介して入ってくるのでなければ、情報を提供しないのが望ましい。
【００５８】
パーティションへのアクセス権は、ＡＣＲ許可から導き出される。ＡＣＲは、一旦ＳＳＡシステムにログインされると、当該パーティションを他のＡＣＲと共有することになる（下記で説明）。或るパーティションが作成されるとき、ホストは、そのパーティションのレファレンス名又はＩＤ（例えば、図３及び図４のＰ０−Ｐ３）を与える。このリファレンスは、更にパーティションに対する読取り及び書込みコマンドに使用される。
【００５９】
（記憶装置のパーティション化）
デバイスの全利用可能記憶容量は、ユーザーパーティションと現在設定されているＳＳＡに割り振られるのが望ましい。従って、再パーティション化動作には、既存のパーティションの再設定が伴う。デバイス容量（全パーティションの大きさの総和）への正味の変更はゼロである。デバイスメモリ空間内のパーティションのＩＤは、ホストシステムによって定義される。
【００６０】
ホストシステムは、既存パーティションの１つを、２つのより小型のパーティションに再パーティション化するか、２つの既存パーティション（隣接していてもいなくてもよい）を１つにマージするかの何れかを行うことができる。分割された又は併合されたパーティション内のデータは、ホストの裁量により消去されるか触れずに残されるかの何れでもよい。
【００６１】
記憶装置の再パーティション化では、（データが記憶装置の論理アドレス空間内で消去されたか、移動されたかの何れかが原因で）データの損失が発生することから、再パーティション化に対する厳格な制約がＳＳＡシステムにより施行されている。ルートＡＧＰ（下記で説明）に存在しているＡＣＲだけが、再パーティション化コマンドの発行を許されており、それが所有しているパーティションしか参照できない。ＳＳＡシステムは、データがパーティション内でどの様に（ＦＡＴ又は他のファイルシステム構造）編成されるかには気づかないために、デバイスが再パーティション化されるときは常にそれらの構造を再構築することはホストの責任である。
【００６２】
ユーザーパーティションの再パーティション化は、ホストＯＳに見えるこのパーティションの大きさと他の属性を変化させることになる。
【００６３】
再パーティション後、ＳＳＡシステム内のＡＣＲが存在していないパーティションを参照することがないようにするのは、ホストシステムの責任である。それらＡＣＲが適切に削除又は更新されていなければ、それらＡＣＲに成り代って、存在していないパーティションへアクセスしようとする試みは、システムによって検知され拒絶される。鍵及び鍵ＩＤの削除に関しても同様の配慮がなされることが望ましい。
【００６４】
（鍵、鍵ＩＤ、及び論理的保護）
ファイルが或る特定の隠されたパーティションに書き込まれるとき、それは一般のパブリックから物理的に隠されている。しかし、エンティティ（敵対的であるか否かを問わず）が一旦このパーティションに対する知識とアクセスを得てしまうと、ファイルは利用可能となり簡単に見えてしまう。ファイルを更に安全に護るために、ＳＳＡは、隠されたパーティションで暗号化することができるが、その際、ファイルを復号するために鍵にアクセスする証明書は、当該パーティションにアクセスするためのものとは異なっているのが望ましい。ファイルはＳＳＡが気づくものではない（ホストによって全面的に制御され管理されている）ため、ＣＥＫとファイルの関係付けが問題である。ファイルを何かとリンクさせる場合、ＳＳＡの承認−鍵ＩＤが、これを是正する。このようにして、ＳＳＡによって鍵が作成されると、ホストはこの鍵の鍵ＩＤを、ＳＳＡによって作成された鍵を使用して暗号化されたデータと関係付ける。
【００６５】
鍵値と鍵ＩＤは論理的な安全を提供する。所与の鍵ＩＤに関係付けられている全てのデータは、その場所を問わず、同じコンテンツ暗号化鍵（ＣＥＫ）で暗号にされるが、そのリファレンス名又は鍵ＩＤはホストアプリケーションによる作成時に固有に提供される。或るエンティティが、隠されているパーティションへのアクセスを（ＡＣＲを介した認証によって）獲得し、このパーティション内の暗号化されているファイルの読取り又は書込みの何れかをしたいと希望した場合には、ファイルと関係付けられている鍵ＩＤへのアクセスを有する必要がある。この鍵ＩＤの鍵へのアクセスを許容する際、ＳＳＡは、この鍵ＩＤに関係付けられているＣＥＫの鍵値をロードして、ホストに送る前にデータを復号するか、フラッシュメモリ２０に書き込む前にデータを暗号化するか、の何れかを行う。鍵ＩＤに関係付けられているＣＥＫの鍵値は、ＳＳＡシステムによって一度ランダムに作成され、ＳＳＡシステムによって維持される。鍵値は、ＳＳＡによって全面的に管理される。
【００６６】
ＳＳＡシステムは、以下の暗号モードの何れか（ユーザーが定義）を使用して、鍵ＩＤに関係付けられているデータを保護する（ＣＥＫの鍵値に加え、使用される実際の暗号アルゴリズムは、システム制御されており、外界には露呈されない）。
【００６７】
ブロックモード−データはブロックに分割され、１つずつが個別に暗号化される。このモードは、一般に安全性が高いとはいえず、辞書攻撃を受け易い。しかしながら、これは、ユーザーがデータブロックの何れにでもランダムにアクセスできるようにしている。
【００６８】
チェーンモード−データはブロックに分割され、暗号化処理の間に連鎖される。各ブロックは、次のブロックの暗号化処理に対する入力の１つとして使用される。このモードは、安全性はより高いと考えられるが、データは、スタートからエンドまで常に順に書き込まれ読み出される必要があり、常にユーザーに受け入れられるとは限らないオーバーヘッドができる。
【００６９】
ハッシュ式−データの完全性の検証に使用されるデータダイジェストの追加作成を伴うチェーンモード。
【００７０】
（ＡＣＲ及びアクセス制御）
ＳＳＡは、それぞれがシステムデータベース内でノードのツリーとして表されている複数のアプリケーションを取り扱うように設計されている。アプリケーション間の相互排除は、ツリーの枝同士の間にクロストークが確実に無いようにすることによって実現される。
【００７１】
ＳＳＡシステムへのアクセスを得るためには、エンティティは、システムのＡＣＲの１つを介して接続を確立する必要がある。ログイン手続きは、ユーザーが接続相手に選定したＡＣＲに埋め込まれている定義に従って、ＳＳＡシステムにより管理される。
【００７２】
ＡＣＲは、ＳＳＡシステムへの個別のログインポイントである。ＡＣＲは、ログイン証明書と認証方法を保持している。記録には、ＳＳＡシステム内のログイン許可も含まれており、その中には読取り及び書込み特権も含まれている。これを図５に示しているが、これは、同じＡＧＰ内のｎ個のＡＣＲを示している。これは、ｎ個のＡＣＲの内の少なくとも幾つかは、同じ鍵へのアクセスを共有していることを意味する。このようにして、ＡＣＲ＃１とＡＣＲ＃ｎは、鍵ＩＤ「鍵３」を有する鍵へのアクセスを共有しており、ここで、ＡＣＲ＃１とＡＣＲ＃ｎはＡＣＲのＩＤであり、「鍵３」は「鍵３」に関係付けられているデータを暗号化するのに使用される鍵の鍵ＩＤである。同じーを使用して複数のファイル又は複数のデータセットを暗号化及び／又は復号することもできる。
【００７３】
ＳＳＡシステムは、システムに対する数種類のログインをサポートしており、そこでは、認証アルゴリズムとユーザー証明書は様々で、ユーザーが一旦首尾よくログインしてしまえばシステム内でのユーザーの特権である。図５で、再度、異なるログインアルゴリズムと証明書を示している。ＡＣＲ＃１は、パスワードログインアルゴリズムとパスワードを証明書として要求しているが、一方、ＡＣＲ＃２は、ＰＫＩ（公開鍵インフラストラクチャ）ログインアルゴリズムと公開鍵を証明書として要求している。このようにして、ログインするには、エンティティは、有効なＡＣＲのＩＤ、並びに現在のログインアルゴリズムと証明書を提示する必要がある。
【００７４】
エンティティが一旦ＳＳＡシステムのＡＣＲにログインしてしまうと、その許可（そのＳＳＡコマンドを使用する権利）は、当該ＡＣＲに関係付けられている許可制御記録（ＰＣＲ）内に定義される。図５では、図示のＰＣＲによると、ＡＣＲ＃１は、「鍵３」と関係付けられているデータに対する読取り専用許可を許容しており、ＡＣＲ＃２は、「鍵５」と関係付けられているデータを読み取り及び書き込む許可を許容している。
【００７５】
異なるＡＣＲは、読取り及び書き込みに使用する鍵の様なシステム内での共通の利益と特権を共有する。これを成し遂げるために、何か共通のものを有するＡＣＲがＡＧＰ−ＡＣＰグループ内にグループ分けされている。このようにして、ＡＣＲ＃１とＡＣＲ＃３は、鍵ＩＤ「鍵３」を有する鍵へのアクセスを共有している。
【００７６】
ＡＧＰ及びその中のＡＣＲは、階層ツリーに編成されており、よって、機密データの安全を護る安全鍵の作成の他にも、ＡＣＲは、自身の鍵ＩＤ／パーティションに対応する他のＡＣＲエントリも作成できるのが望ましい。それら子であるＡＣＲは、親（つまり作成者）と同じかそれよりも少ない許可を有することになり、親のＡＣＲ自身が作成した鍵の許可が与えられる。付け加えるまでもなく、子であるＡＣＲは、彼らが作成するあらゆる鍵に対するアクセス許可を得る。これを図６に示す。このようにして、ＡＧＰ１２０内のＡＣＲの全てはＡＣＲ１２２によって作成され、当該ＡＣＲの内の２つは「鍵３」と関係付けられているデータへアクセスするための許可（複数の許可）をＡＣＲ１２２から継承している。
【００７７】
（ＡＧＰ）
ＳＳＡシステムへのログオンは、ＡＧＰとＡＧＰ内のＡＣＲを指定することによって行われる。
【００７８】
各ＡＧＰは固有のＩＤ（リファレンス名）を有しており、これがＳＳＡデータベースへのエントリに対するインデクスとして使用される。ＡＧＰが作成されるとき、ＡＧＰ名がＳＳＡシステムに提供される。提供されたＡＧＰ名が既にシステム内に存在していれば、ＳＳＡは作成操作を拒絶する。
【００７９】
次の欄で説明するように、ＡＧＰは、アクセス及び管理許可の委譲に関する制約を管理するために使用される。図６の２つのツリーが果たす機能の内の１つは、２つの異なるアプリケーション又は２つの異なるコンピュータユーザーのような、全く別々のエンティティによるアクセスを管理することである。そのためには、２つのアクセスプロセスが、同時に起こったとしても、両者は実質的に互いに独立している（即ち、実質的にはクロストークが無い）ことが重要である。このことは、各ツリーにおける追加的なＡＣＲ及びＡＧＰの認証、許可、並びに作成が、他のツリーのそれらに結び付けられておらず、依存していないことを意味する。従って、メモリ１０内でＳＳＡシステムを使用すると、これにより、メモリシステム１０は、複数のアプリケーションを同時に対応できるようになる。更に、２つのアプリケーションが、互いに独立している２つの別々のデータセット（例えば、写真のセットと歌曲のセット）にアクセスできるようになる。これを図６に示している。このようにして、図６の最上部のツリーのノード（ＡＣＲ）を経由してアプリケーション又はユーザーがアクセスするための「鍵３」、「鍵Ｘ」、及び「鍵Ｚ」と関係付けられたデータは、写真を備えていてもよい。図６の最下部のツリーのノード（ＡＣＲ）を経由してアプリケーション又はユーザーがアクセスするための「鍵５」及び「鍵Ｙ」と関係付けられたデータは、歌曲を備えていてもよい。ＡＧＰを作成したＡＣＲは、望ましくはＡＧＰのＡＣＰエントリが空である場合にのみ、それを削除する許可を有している。
【００８０】
（エンティティのＳＳＡエントリポイント：アクセス制御記録（ＡＣＲ））
ＳＳＡシステム内のＡＣＲは、エンティティがシステムにログインを許可される方法を記述している。エンティティがＳＳＡシステムにログインするとき、行われるべき認証プロセスに対応するＡＣＲを指定することが必要である。ＡＣＲは、図５に示しているＡＣＲ内で定義された方法で一旦認証されると、ユーザーが実行することのできる許容されたアクションを説明する、許可制御記録（ＰＲＣ）を含んでいる。ホスト側のエンティティは、ＡＣＲデータフィールドの全てを提供している。
【００８１】
エンティティが首尾よくＡＣＲにログオンされると、エンティティは、ＡＣＲパーティション及び鍵アクセス許可及びＡＣＡＭ許可（下で説明）の全てを問い合わせることができるようになる。
【００８２】
（ＡＣＲのＩＤ）
ＳＳＡシステムエンティティがログインプロセスを開始するときには、全てのログイン要求が一致すると、ＳＳＡが正しいアルゴリズムを設定して正しいＰＣＲを選択することができるようにするために、ログイン方法に対応するＡＣＲのＩＤ（ＡＣＲが作成されたときにホストによって提供されている）を指定する必要がある。ＡＣＲのＩＤは、ＡＣＲが作成されたときに、ＳＳＡシステムに提供される。
【００８３】
（ログイン／認証アルゴリズム）
認証アルゴリズムは、どんな種類のログイン手続きがエンティティによって使用されるか、及びユーザーの身分を証明するのにどんな種類の証明書が必要とされるかを指定する。ＳＳＡシステムは、手続き無し（及び証明書無し）及びパスワードに基づく手続きから対称又は非対称何れかの暗号に基づくツーウェイ認証プロトコルまでに及ぶ幾つかの標準的な論理アルゴリズムをサポートする。
【００８４】
（証明書）
エンティティの証明書は、ログインアルゴリズムに対応しており、ユーザーを確認し認証するためにＳＳＡによって使用される。証明書の一例は、パスワード認証の場合にはパスワード／ＰＩＮ番号、ＡＥＳ認証の場合にはＡＥＳ鍵、などである。証明書の種類／フォーマット（即ち、ＰＩＮ、対称鍵など）は、事前に定義されており、認証モードから導き出され、即ち、ＡＣＲが作成されるときにＳＳＡシステムに提供される。ＳＳＡシステムは、それら証明書の定義、分配、及び管理には関わっていないが、唯一例外として、ＰＫＩに基づく認証の場合には、ＲＳＡ鍵ペアを生成するのにデバイス（例えば、フラッシュカード）が使用され、公開鍵が証明生成のためにエクスポートされる。
【００８５】
（許可制御記録（ＰＣＲ））
ＰＣＲは、ＳＳＡシステムにログインし、ＡＣＲの認証プロセスに首尾よく合格した後、エンティティに何が許容されるかを示す。３種類の認可カテゴリ、即ち、パーティション及び鍵の作成許可、パーティション及び鍵へのアクセス許可、及びエンティティ−ＡＣＲ属性の管理許可がある。
【００８６】
（アクセス用パーティション）
ＰＣＲのこの欄には、エンティティがＡＣＲ段階を首尾よく完了するとアクセスできるパーティションの一覧が入っている（ＳＳＡシステムに提供されているそれらのＩＤを使用）。各パーティション毎に、アクセスの種類は、書込み専用又は読み取り専用に制約されることもあれば、完全な書込み／読取りアクセス権を指定することもある。このようにして、図５のＡＣＲ＃１は、パーティション＃２へのアクセスを有しているが、パーティション＃１へのアクセスは有していない。ＰＣＲで指定されている制約は、ＳＳＡパーティション及びパブリックパーティションに適用される。
【００８７】
パブリックパーティションは、ＳＳＡシステムのホストであるデバイス（例えば、フラッシュカード）に対する通常の読取り及び書込みコマンド又はＳＳＡコマンドの何れかによってアクセスされる。ルートＡＣＲ（下記で説明）がパブリックパーティションを制約する許可付きで作成された場合、ルートＡＣＲはそれを自身の子に引き渡すことができる。ＡＣＲは、通常の読取り及び書込みコマンドがパブリックパーティションにアクセスすることだけを制約しているのが望ましい。ＳＳＡシステム内のＡＣＲは、作成時のみ制約されるのが望ましい。ＡＣＲは一旦パブリックパーティションから／に対する、読取り／書込みの許可を得たら、許可を取り上げられないことが望ましい。
【００８８】
（アクセス用鍵ＩＤ）
ＰＣＲのこの欄には、エンティティのログインプロセスがＡＣＲポリシーを満たしたときにエンティティがアクセスできる鍵ＩＤ（ホストによってＳＳＡシステムに提供されている）の一覧と関係付けられているデータが入っている。指定されている鍵ＩＤは、ＰＣＲに現われるパーティション内に置かれている単一ファイル／複数ファイルと関係付けられている。鍵ＩＤは、デバイス（例えば、フラッシュカード）内の論理アドレスとは関係付けられていないので、２つ以上のパーティションが特定のＡＣＲに関係付けられている場合、フィイルはそれらパーティションの内の何れか一方に在るということになる。ＰＣＲ内で指定されている鍵ＩＤは、それぞれが、異なるアクセス権のセットを有している。鍵ＩＤによって指し示されるアクセス可能データは、書込み専用又は読取り専用に制約されることもあれば、又は完全な書込み／読取りアクセス権を指定していることもある。
【００８９】
ＡＣＲ属性管理（ＡＣＡＭ）
この欄では、或る特定の事例で、どのようにＡＣＲシステム属性が変更されるかを説明する。
【００９０】
ＳＳＡシステム内で許可されるＡＣＡＭアクションは、
ＡＧＰ及びＡＣＲの作成／削除／更新、
パーティション及び鍵の作成／削除、
鍵及びパーティションへのアクセス権の委譲、
である。
【００９１】
親ＡＣＲは、ＡＣＡＭ許可を編集できないのが望ましい。これには、ＡＣＲの削除と再作成を必要とするのが望ましい。更に、ＡＣＲにより作成された鍵ＩＤに対するアクセス許可は取り上げられないのが望ましい。
【００９２】
（ＡＧＰ及びＡＣＲの作成／削除／更新）
ＡＣＲは、他のＡＣＲ及びＡＧＰを作成する能力を有している。ＡＣＲを作成することは、更に、ＡＣＲクリエータによって保有されているＡＣＡＭ許可の幾つか又は全てをＡＣＲに委譲することを意味する。ＡＣＲを作成する許可を有しているということは、以下のアクションの許可を有していることを意味する。
１．子の証明書を定義し編集する−認証方法は、ＡＣＲを作成することによって一旦設定されたら編集できないのが望ましい。証明書は、子にとって既に定義されている認証アルゴリズムの境界内で変更される。
２．ＡＣＲを削除する。
３．作成許可を子ＡＣＲ（このようにして孫を有する）に委譲する。
【００９３】
他のＡＣＲを作成する許可を有するＡＣＲは、それが作成する他のＡＣＲに非ブロック化の許可を委譲する許可を有している（が、他のＡＣＲを非ブロック化する許可は恐らく有していない）。父ＡＣＲは、子ＡＣＲ内に親のアンブロッカに対するリファレンスを置く。
【００９４】
父親のＡＣＲは、自身の子のＡＣＲを削除する許可を有する唯一のＡＣＲである。ＡＣＲが自身の作成した下位のＡＣＲを削除するとき、この下位ＡＣＲにより生み出された全ＡＣＲも自動的に削除される。ＡＣＲが削除されると、次いで、それが作成した鍵ＩＤとパーティションが削除される。
【００９５】
ＡＣＲが自身の記録を更新することができる２つの例外がある。即ち、
パスワード／ＰＩＮは、クリエータＡＣＲによって設定されるが、更新はそれらを含んでいるＡＣＲだけができる。
ルートＡＣＲは、自身とそれが入っているＡＧＰを削除できる。
【００９６】
（鍵及びパーティションへのアクセス権の委譲）
ＡＣＲとそれらのＡＧＰは、階層ツリーに組み立てられており、そこでは、ルートＡＧＰと内部のＡＣＲは、ツリーの頂上にある（例えば、図６のルートＡＧＰ１３０と１３２）。ＳＳＡシステム内には幾つかのＡＧＰツリーがあるが、それらは互いに完全に分離されている。ＡＧＰ内のＡＣＲは、その鍵に対するアクセス許可を、それが入っている同じＡＧＰ内の全ＡＣＲ及びそれらによって作成された全てのＡＣＲに委譲することができる。鍵を作成する許可は、鍵を使用するためのアクセス許可を委譲する許可を含んでいるのが望ましい。アクセス権を委譲する許可は、対応するＡＣＲの許可制御記録に属性として記憶される。
【００９７】
鍵への許可は３つのカテゴリに分類される。
１．アクセス−これは、鍵、即ち読取り、書込みについてのアクセス許可を定義している。
２．所有権−鍵を作成したＡＣＲは、定義により、その所有者である。この所有権は、１つのＡＣＲから別のＡＣＲ（同一ＡＧＰに入っているか子のＡＧＰに入っていることを条件とする）に委譲される。鍵の所有権は、それを削除する許可並びに各許可をそれに委譲する許可を提供する。
３．アクセス権委譲−この許可は、ＡＣＲが自身の保持する権利を委譲できるようにする。
【００９８】
ＡＣＲは、自身が作成したパーティション並びに自身がアクセス許可を有している他のパーティションへのアクセス許可を委譲することができる。
【００９９】
許可委譲は、パーティションの名前及び鍵ＩＤを指定されたＡＣＲのＰＣＲに加えることによって行われる。鍵アクセス許可の委譲は、鍵ＩＤによって、又はアクセス許可が委譲しているＡＣＲの作成された鍵全てを対象としていることを述べることによって、の何れかによる。
【０１００】
（ＡＣＲのブロック化及び非ブロック化）
ＡＣＲは、システムとエンティティのＡＣＲ認証プロセスが不成功に終わった場合に増分されるブロック化カウンタを有している。認証失敗が或る特定の最大数（ＭＡＸ）に到達すると、ＡＣＲはＳＳＡシステムによってブロックされる。
【０１０１】
ブロックされたＡＣＲは、ブロックされたＡＣＲによって参照される別のＡＣＲによって非ブロック化することができる。非ブロック化されたＡＣＲへの参照は、その作成者により設定される。非ブロック化ＡＣＲは、ブロックされたＡＣＲのクリエータと同じＡＧＰ内にあり、「非ブロック化」許可を有することが望ましい。
【０１０２】
システム内の他のＡＣＲはどれも、ブロックされたＡＣＲを非ブロック化することはできない。ＡＣＲは、ブロック化カウンタを備えているが、アンブロッカＡＣＲは備えていない構成であってもよい。
【０１０３】
（ルートＡＧＰ−アプリケーションデータの作成）
ＳＳＡシステムは、複数のアプリケーションを取り扱い、それら各々のアプリケーションのデータを孤立させるように設計されている。ＡＧＰシステムのツリー構造は、アプリケーション特定データを識別し孤立させるために使用される主要ツールである。ルートＡＧＰは、アプリケーションＳＳＡデータベースツリーの先端にあり、幾分異なる動作規則に従っている。ＳＳＡシステム内には幾つかのルートＡＧＰが構成される。図６には２つのＡＧＰ１３０と１３２を示している。使用されるＡＧＰの個数はこれより少なくても多くてもよく、それらも本発明の範囲内にあることは明白である。
【０１０４】
新しいアプリケーションに備えてデバイス（例えば、フラッシュカード）を登録及び／又はデバイスに対する新しいアプリケーションの証明書の発行は、新しいＡＧＰ／ＡＣＲツリーをデバイスに追加するプロセスを通して行われる。
【０１０５】
ＳＳＡシステムは、ルートＡＧＰ作成（並びに、ルートＡＧＰのＡＣＲの全て及びそれらの許可）の３つの異なるモードをサポートしている。
１．オープン：どんな種類の認証も要求されないあらゆるユーザー又はエンティティ、又はシステムＡＣＲ（下記で説明）を通して認証されたユーザー／エンティティは、新しいルートＡＧＰを作成することができる。オープンモードは、全データ転送がオープンチャネルで行われるが何の安全対策も無しで（即ち、発行エージェンシーの安全な環境内で）、又はシステムＡＣＲ認証を通して確立されたセキュアチャネルを通して（即ち、無線（ＯＴＡ）又は発行後手続き）、の何れかで、ルートＡＧＰの作成を可能にする。
【０１０６】
システムＡＣＲが構成されていない（これはオプション特性である）場合、及びルートＡＧＰ作成モードがオープンに設定されている場合には、オープンチャネルオプションしか利用できない。
２．制御：システムＡＣＲを通して認証されたエンティティだけが、新しいルートＡＧＰを作成することができる。システムＡＣＲが構成されていない場合は、ＳＳＡシステムがこのモードに設定されることはない。
３．ロック：ルートＡＧＰの作成は使用禁止であり、システムへそれ以上ルートＡＧＰを追加することはできない。
【０１０７】
２つのＳＳＡコマンドが、この特性を制御する（それらコマンドは認証無しであらゆるユーザー／エンティティにとって利用可能である）。
１．方法構成コマンド−上記３つのルートＡＧＰ作成モードの何れか１つを使用するためにＳＳＡシステムを構成するのに使用される。以下のモード変更、即ち：オープン−＞制御、制御−＞ロックしか許されていない（即ち、ＳＳＡシステムが現在は制御モードに構成されているのであれば、ロックモードへの変更しかできない）。
２．方法構成ロックコマンド−方法構成コマンドを使用禁止にし、現在選択されている方法を永久的にロックするために使用される。
【０１０８】
ルートＡＧＰが作成されると、それは、そのＡＣＲの作成と構成を可能にする特別な初期化モードになる（ルートＡＧＰの作成に適用されたものと同じアクセス制約を使用）。ルートＡＧＰ構成プロセスが終わり、エンティティが明示的に動作モードに切り替わると、既存のＡＣＲはそれ以後更新できなくなり、追加的なＡＣＲはそれ以後作成できなくなる。
【０１０９】
ルートＡＧＰは一旦標準モードに置かれると、ルートＡＧＰを削除する許可を割り当てられているそのＡＣＲの１つを通してシステムにログインすることによってしか削除できない。これは、特別初期化モードに加え、ルートＡＧＰのもう一つの例外であり、次のツリー階層内のＡＧＰとは対照的に、それ自身のＡＧＰを削除する許可を有するＡＣＲが入っているＡＧＰだけであるのが望ましい。
【０１１０】
ルートＡＣＲと標準ＡＣＲの間の３番目で最後の違いは、パーティションを作成及び削除する許可を有するのはシステム内のＡＣＲだけである、ということである。
【０１１１】
（ＳＳＡシステムＡＣＲ）
システムＡＣＲは、次の２つのＳＳＡ動作に使用される。
１．適さない環境内で安全が確保されているチャネルの保護下でＡＣＲ／ＡＧＰツリーを作成する。
２．ＳＳＡシステムのホストであるデバイスを識別し認証する。
【０１１２】
ＳＳＡ内には唯１つのシステムＡＣＲしかないのが望ましく、それが一旦定義されると変更されないのが望ましい。システム認証にとってシステムＡＣＲを何時作成するかは必要でない。即ち、ＳＳＡコマンドしか必要ない。システムＡＣＲ作成特性は、使用禁止にすることができる（ルートＡＧＰ作成特性と同様）。唯１つのシステムＡＣＲしか許されないことが望ましいので、システムＡＣＲが作成された後は、システムＡＣＲ作成コマンドには効力がない。
【０１１３】
作成プロセスの間、システムＡＣＲは動作できない。終了すると、システムＡＣＲが作成され、作動する用意が整ったことを示す特別なコマンドを発行する必要がある。この時点以後、システムＡＣＲは、更新も置換もできないのが望ましい。
【０１１４】
システムＡＣＲは、ＳＳＡ内でＡＣＲ／ＡＧＰを作成する。それは、ホストがそれに満足してそれをブロックするような時まで、ルートレベルを追加／変更する許可を有する。ルートＡＧＰがブロックされると、基本的に、システムＡＣＲへのその接続が切断され、それを状態の証明に変える。この時点では、何者もＡＧＰ及びその中のＡＣＲを変更／編集できない。これはＳＳＡコマンドを通して行われる。ルートＡＧＰの作成の使用禁止は、永久的効果を有し、覆すことはできない。システムＡＣＲが関わる上記特性を図７に示している。システムＡＣＲは、３つの異なるルートＡＧＰを作成するのに使用されている。それらが作成された後の或る特定の時点で、ＳＳＡコマンドがホストから送られ、ルートＡＧＰをシステムＡＣＲからブロックし、これにより、図７でシステムＡＣＲをルートＡＧＰに接続している点線に示すように、ルートＡＧＰ作成特性が使用禁止にされる。これは、３つのルートＡＧＰを状態証明に変える。３つのルートＡＧＰは、ルートＡＧＰがブロックされる前又は後に、子のＡＧＰを作成して３つの別々のツリーを形成するのに使用される。
【０１１５】
上記特性は、コンテンツを有する安全な製品を作る際にコンテンツ所有者に高い柔軟性を提供する。安全な製品は「発行される」必要がある。発行は、デバイスがホストを識別しその逆もできるようにする識別鍵を付けるプロセスである。デバイス（例えば、フラッシュカード）の識別は、ホストがデバイスが有する機密を信用できる否かを決定できるようにする。他方、ホストの識別は、デバイスが安全ポリシーを実行する（特定のホストコマンドを許容し実行する）ことができるようにするが、それは、ホストがそうすることを許された限りの場合である。
【０１１６】
複数のアプリケーションに役立つように設計されている製品は、幾つかの識別鍵を有することになる。製品は、「事前発行」−出荷前の製造時に鍵が記憶されるか、又は「事後発行」−出荷後に新しい鍵が追加されることになる。事後発行の場合、メモリデバイス（例えば、メモリカード）には、アプリケーションをデバイスに追加することが許されているエンティティの識別に使用されている、何らかの種類のマスター又はデバイスレベルの鍵が入っている必要がある。
【０１１７】
上記特性は、製品が事後発行を可能／使用禁止にするように構成されることを可能にする。また、事後発行構成は、出荷後に安全に行われる。デバイスは、上記マスター又はデバイスレベルの鍵の他に何らの鍵も持っていない小売製品として買われ、その後、新しい所有者によって、更なる事後発行アプリケーションを可能にするかそれらを使用禁止にするように構成される。
【０１１８】
このようにして、システムＡＣＲ特性は、上記目的を達成する能力を提供し
−システムＡＣＲを有していないメモリデバイスは、無制限且つ無制御なアプリケーション追加を許容することになる。
−システムＡＣＲを有していないメモリデバイスは、システムＡＣＲの作成を使用禁止にするように構成され、これは、（新しいルートＡＧＰ作成の特性も使用禁止されない限り）新しいアプリケーションの追加を制御する方法が無いことを意味する。
−システムＡＣＲを有するメモリデバイスは、システムＡＣＲ証明書を使用した認証手続きを通して、セキュアチャネルを介した制御されたアプリケーションの追加だけが確立されることを許容する。
−システムＡＣＲを有するメモリデバイスは、アプリケーションが追加される前又は後に、アプリケーション追加特性を使用禁止にすることができるように構成される。
【０１１９】
（鍵ＩＤ一覧）
鍵ＩＤは、特定のＡＣＲ要求毎に作成されるが、メモリシステム１０では、それらはＳＳＡシステムだけによって使用されている。鍵ＩＤが作成されるとき、以下のデータがＡＣＲ作成によって又はＡＣＲ作成に対して提供される。
１．鍵ＩＤ。ＩＤは、エンティティによりホストを通して提供され、鍵と、その後の全ての読取り又は書込みアクセスの際にその鍵を使用して暗号化され又は復号されるデータと、を参照するのに使用される。
２．鍵暗号及びデータ完全性モード（上記のブロック化され、チェーン化され、ハッシュ化された各モードであり、下記で説明する）
【０１２０】
ホストによって提供されている属性に加え、以下のデータがＳＳＡシステムによって保守されている。
１．鍵ＩＤ所有者。所有者であるＡＣＲのＩＤ。鍵ＩＤが作成されると、クリエータであるＡＣＲがその所有者になる。しかしながら、鍵ＩＤ所有権は、別のＡＣＲに移転されてもよい。鍵ＩＤ所有者だけが、鍵ＩＤの所有権を移転させること、及び鍵ＩＤを委譲することができるようになっているのが望ましい。関係付けられている鍵へのアクセス許可の委譲、及びそれら権利の取消は、鍵ＩＤ所有者又は委譲許可を割り当てられた他のＡＣＲの何れかによって管理されることになる。上記動作の何れかを実行しようという試みがなされた場合には、ＳＳＡシステムは、要求しているＡＣＲが認可されたときに限り、何時でもそれを許容することになる。
２．ＣＥＫ。これは、鍵ＩＤに関係付けられる又は指し示されているコンテンツを暗号化するのに使用される。ＣＥＫは、ＳＳＡシステムによって生成される１２８ビットＡＥＳランダム鍵である。
３．ＭＡＣ及びＩＶ値。チェーン化ブロック暗号（ＣＢＣ）方式暗号化アルゴリズムに使用される動的情報（メッセージ認証コード及び開始ベクトル）。
【０１２１】
図８Ａ〜図１６のフローチャートを参照しながら、更に、ＳＳＡの様々な特性を説明してゆくが、ここで、ステップの左の「Ｈ」は、動作がホストによって行われることを意味し、「Ｃ」は、動作がカードによって行われることを意味する。システムＡＣＲを生成するために、ホストはメモリデバイス１０内のＳＳＡに、システムＡＣＲを生成するコマンドを発行する（ブロック２０２）。デバイス１０は、システムＡＣＲが既に存在するか否かを調べることによって応答する（ブロック２０４、菱形２０６）。既に存在している場合は、デバイス１０は、失敗を返し、停止する（長方形２０８）。存在していない場合、メモリ１０は、システムＡＣＲ作成が許されているか否かを調べて確かめ（菱形２１０）、許されていなければ失敗状態を返す（ブロック２１２）。システムＡＣＲを必要としないように、必要な安全特性が事前に決められている場合、システムＡＣＲの作成をデバイスの発行者が許していない事例もある。これが許されている場合は、装置１０はＯＫ状態を返し、ホストからのシステムＡＣＲ証明書を待つ（ブロック２１４）。ホストは、ＳＳＡ状態と、装置１０がシステムＡＣＲの作成が許されていることを示しているか否かとを調べる（ブロック２１６及び菱形２１８）。作成が許されていない場合、又はシステムＡＣＲが既に存在している場合には、ホストは停止する（長方形２２０）。装置１０が、システムＡＣＲの作成が許されていることを示している場合、ホストは、そのログイン証明書を定義し、それを装置１０に送るＳＳＡコマンドを発行する（ブロック２２２）。装置１０は、受け取った証明書を使ってシステムＡＣＲ記録を更新し、ＯＫ状態を返す（ブロック２２４）。この状態信号に応えて、ホストは、システムＡＣＲの準備が整っていることを示すコマンドを発行する（ブロック２２６）。装置１０は、システムＡＣＲが更新も置換もできないようにロックすることによって応答する（ブロック２２８）。これにより、システムＡＣＲの特性、及びホストに対して装置１０を識別するためのその身分、がロックされる。
【０１２２】
新しいツリー（新ルートＡＧＰ及びＡＣＲ）を作成するための手続きは、それらの機能が装置内で構成される方法によって決まる。図９は、その手続きを説明している。ホスト２４とメモリシステム１０は共にそれに従う。新ルートＡＧＰの追加が完全に禁止にされている場合、新ルートＡＧＰは追加されない（菱形２４６）。それが可能でありシステムＡＣＲを求めている場合、ルートＡＧＰ作成コマンドを発行する（ブロック２５４）前に、ホストは、システムＡＣＲを通して認証し、セキュアチャネルを確立する（菱形２５０、ブロック２５２）。システムＡＣＲが求められていない（菱形２４８）場合、ホスト２４は、ルートＡＧＰ作成コマンドを認証無しで発行し、ブロック２５４に進むことができる。システムＡＣＲが現実に存在している場合、ホストは、要求されていなくともそれを使用する（フローチャートには図示していない）。装置（例えば、フラッシュカード）は、当該機能が使用禁止になっている場合は新ルートＡＧＰを作成するというあらゆる試みを拒絶することになり、システムＡＣＲが求められている場合は認証無しに新ルートＡＧＰを作成するという試みを拒絶するということになる（菱形２４６と２５０）。ブロック２５４で新たに作成されたＡＧＰ及びＡＣＲは、当該ＡＧＰのＡＣＲが更新されるか別の方法で変更されることがないように、今度は動作モードに切り替えられ、どんなＡＣＲもそれらに追加することはできなくなる（ブロック２５６）。次に、システムは、追加的なルートＡＧＰが作成されることのないように随意的にロックされる（ブロック２５８）。点線のボックス２５８は、このステップが随意的なステップであることを示しているという約束事である。本出願の各図面のフローチャートにおいて点線で示されている全てのボックスは随意的なステップである。これは、正規のコンテンツを備えた正規のメモリデバイスを模倣するという他の違法目的のために、装置１０が使用されるのを、コンテンツ所有者が防げるようにする。
【０１２３】
（上記ルートＡＧＰ内のＡＣＲ以外の）ＡＣＲを作成する場合、図１０に示す様に、ＡＣＲを作成する権利を有する何れのＡＣＲから開始してもよい（ブロック２７０）。エンティティは、ホスト２４を通して、エントリポイントＡＣＲ身分と、作成を希望する必要な属性を、全て備えているＡＣＲとを提供することによって、進入を試みる（ブロック２７２）。ＳＳＡは、ＡＣＲ身分との一致、及び当該身分を有するＡＣＲがＡＣＲを作成する許可を有しているか否かを調べる（菱形２７４）。要求が認可されていると確認されると、装置１０のＳＳＡはＡＣＲを作成する（ブロック２７６）。
【０１２４】
図１１は、図１０の方法を使用した安全アプリケーションに有用なツリーを説明している２つのＡＧＰを示している。このようにして、マーケティング用ＡＧＰ内の身分ｍ１を有するＡＣＲは、ＡＣＲを作成する許可を有している。ＡＣＲ ｍ１は、更に、鍵ＩＤ「マーケティング情報」と関係付けられているデータ及び鍵ＩＤ「価格一覧」と関係付けられているデータの読取り及び書込みのための鍵を使用する許可を有している。図１０の方法を使用して、鍵ＩＤ「マーケティング情報」と関係付けられているデータにアクセスするのに必要な鍵に対する許可は有しておらず、鍵ＩＤ「価格一覧」と関係付けられている価格データにアクセスするための鍵に対する読取り許可しか有していない、２つのＡＣＲ、すなわちｓ１とｓ２、を有するセールスＡＧＰを作成する。この方法では、ＡＣＲ ｓ１とｓ２を有するエンティティは、価格データを読み取ることができるだけで、それを変更することはできず、マーケティングデータに対するアクセスは有していない。他方、ＡＣＲ ｍ２は、ＡＣＲを作成する許可を有しておらず、鍵ＩＤ「価格一覧」及び鍵ＩＤ「マーケティング情報」と関係付けられているデータにアクセスするための鍵に対する読取り許可しか有していない。
【０１２５】
このようにして、アクセス権は上で説明した方法で委譲され、ここで、ｍ１は、価格データを読み取る権利をｓ１とｓ２に委譲する。これは、大きなマーケティング及びセールスグループが関与している場合に特に有用である。販売人がいても一人か数人しかいない場合は、図１０の方法を使用する必要はない。代わりに、アクセス権は、図１２に示すように、ＡＣＲによって同一ＡＧＰ内の下位又は同位のＡＣＲに委譲してもよい。最初に、エンティティは、ホストを通して、ツリー内で上記に説明した方法でＡＣＲを指定することによって、当該ＡＧＰのツリーに入る（ブロック２８０）。次に、ホストは、委譲相手のＡＣＲと委譲する権利を指定する。ＳＳＡは、その様なＡＣＲのツリーと、当該ＡＣＲが指定された別のＡＣＲに権利を委譲する許可を有しているか否かを調べる（菱形２８２）。そうであれば、権利は委譲され（ブロック２８４）、そうでなければ停止される。結果を図１３に示している。この事例のＡＣＲ ｍ１は、読取り許可をＡＣＲ ｓ１に委譲する許可を有しているので、ｓ１は、委譲後に、鍵を使用して価格データにアクセスすることができる。これは、ｍ１が価格データにアクセスするための同一又はより大きな権利と、その様に委譲する許可を有している場合に行われる。１つの実施形態＜１８＞では、ｍ１は、委譲後もそのアクセス権を保持している。アクセス権は、制限された期間中、制限されたアクセス回数など、制約された条件下で（永久的にではなく）委譲されるのが望ましい。
【０１２６】
鍵及び鍵ＩＤを作成するプロセスを図１４に示している。エンティティはＡＣＲを通して認証する（ブロック３０２）。エンティティは、ホストによって指定されたＩＤを使って鍵の作成を要求する（ブロック３０４）。ＳＳＡは、指定されているＡＣＲがそうする許可を有しているか否かを調べて確かめる（菱形３０６）。例えば、特定のパーティションのデータにアクセスするために鍵が使用されようとしている場合、ＳＳＡは、当該ＡＣＲがその様なパーティションにアクセスするか否かを調べて確かめる。ＡＣＲが認可されておれば、メモリ装置１０は、ホストによって提供されている鍵ＩＤと関係付けられている鍵値を作成し（ブロック３０８）、鍵ＩＤをＡＣＲに記憶し、鍵値を自身のメモリ（コントローラに関係付けられているメモリ又はメモリ２０の何れか）に記憶し、エンティティによって供給されている情報に従って権利と許可を割り当て（ブロック３１０）、当該ＡＣＲのＰＣＲに当該割り当てられた権利と許可を加えて変更する（ブロック３１２）。このようにして、鍵のクリエータは、書込み及び読取り許可、同一ＡＧＰ内の他のＡＣＲ又は下位のＡＣＲに委譲しそれらと共有する権利、及び鍵の所有権を移転する権利の様な、全ての利用可能な権利を有している。
【０１２７】
ＡＣＲは、図１５に示すように、ＳＳＡシステム内の別のＡＣＲの許可を（又は存在も含め）変えることができる。エンティティは、前述の様にＡＣＲを通ってツリーに入ることができ、１つの事例では、エンティティは認証され、次にＡＣＲを指定する（ブロック３３０、３３２）。それは、標的ＡＣＲ又は標的ＡＣＲ内の許可の削除を要求する（ブロック３３４）。指定されたＡＣＲ又はこのときアクティブであるＡＣＲは、そうする権利を有し（菱形３３６）、標的ＡＣＲは削除されるか、標的ＡＣＲのＰＣＲがその様な許可を削除するように変更される（ブロック３３８）。これが認可されない場合、システムは停止する。
【０１２８】
上記プロセスの後、標的は、このプロセス前にはアクセスできたデータにもはやアクセスできなくなる。図１６に示すように、エンティティは、標的ＡＣＲに進入を試み（ブロック３５０）、以前は存在していたＡＣＲのＩＤがもはやＳＳＡ内に無いため、認証プロセスは失敗し、従ってアクセス権は否認されることが分かる（菱形３５２）。ＡＣＲのＩＤが削除されていないと仮定すると、エンティティが、ＡＣＲを指定し（ブロック３５４）、鍵ＩＤ及び／又は特定のパーティション内のデータを指定する（ブロック３５６）と、そこでＳＳＡが、その様なＡＣＲのＰＣＲに従って、鍵ＩＤ又はパーティションアクセス要求が許可されているかを調べて確認する（菱形３５８）。許可が削除されているか有効期限切れである場合、要求は再度否認される。そうでなければ、要求は許容される（ブロック３６０）。
【０１２９】
上のプロセスは、ＡＣＲ及びそのＰＣＲが別のＡＣＲによって変更されたばかりであったか、或いはその状態で開始されるように構成されていたかには関係なく、保護されているデータへのアクセスが装置（例えば、フラッシュカード）によってどの様に管理されるかを説明している。
【０１３０】
（セッション）
ＳＳＡシステムは、同時にログインした複数のユーザーを扱うことができるように設計されている。この特性は、ＳＳＡによって受け取られた全てのコマンドが特定のエンティティと関係付けられ、このエンティティを認証するのに使用されたＡＣＲが要求されているアクションへの許可を有している場合に限り実行されることを必要とする。
【０１３１】
複数のエンティティは、セッション概念を介してサポートされている。セッションは、認証プロセス中に確立され、ＳＳＡシステムによってセッションＩＤが割り当てられる。セッションＩＤは、システムへのログインに使用されるＡＣＲと内部的に関係付けられ、それ以降の全てのＳＳＡコマンドに使用するためにエンティティにエクスポートされる。
【０１３２】
ＳＳＡシステムは、２つの型式のセッション、即ち、オープンセッションとセキュアセッションをサポートしている。特定の認証プロセスと関係付けられるセッションの型式は、ＡＣＲ内で定義される。ＳＳＡシステムは、それが認証自体を実行する方法と同様の方法でセッションの確立を実行する。ＡＣＲはエンティティ許可を定義するので、この機構は、システムデザイナーが、セキュアトンネリングを、特定の鍵ＩＤにアクセスすること又は特定のＡＣＲ管理動作を実施すること（即ち、新ＡＣＲの作成及び証明書の設定）の何れかと関係付けることができるようにする。
【０１３３】
（オープンセッション）
オープンセッションは、セッションＩＤで識別され、バス暗号化を持たず、全てのコマンドとデータは暗号化されずに引き渡されるセッションである。この動作モードは、複数ユーザー又は複数エンティティ環境で使用されるのが望ましく、そこでは、エンティティは、脅威モデルの一部になることもバスを盗聴することもない。
【０１３４】
ホスト側のアプリケーション同士の間で、データの伝送を保護することも効率的なファイウォール化を可能にすることもないにもかかわらず、オープンセッションモードは、ＳＳＡシステムが、現在認証されているＡＣＲに許されている情報にのみアクセスすることができるようにしている。
【０１３５】
オープンセッションは、パーティション又は鍵が保護される必要がある場合にも使用される。しかしながら、有効な認証プロセスの後、アクセスはホスト上の全てのエンティティに対して許容される。認証されたＡＣＲの許可を得るために様々なホストアプリケーションが共有する必要があるものは、セッションＩＤである。これを図１７Ａに示している。線４００より上のステップは、ホスト２４が行うものである。ＡＣＲ１に対してエンティティが認証された（ブロック４０２）後、それはメモリ装置１０内の鍵ＩＤ Ｘと関係付けられているファイルへのアクセスを要求する（ブロック４０４、４０６、４０８）。ＡＣＲ１のＰＣＲが当該アクセスを許容すると、装置１０は要求を許容する（菱形４１０）。そうでない場合は、システムはブロック４０２に戻る。認証が完了した後、メモリシステム１０は、割り当てられたセッションＩＤ（ＡＣＲ証明書ではない）だけによってコマンドを発行しているエンティティを識別する。オープンセッションにおいて、一旦ＡＣＲ１がそのＰＣＲ内の鍵ＩＤと関係付けられているデータへのアクセスを得ると、その他のアプリケーション又はユーザーは、ホスト２４上の異なるアプリケーションの間で共有されている、正しいセッションＩＤを指定することによって、同じデータにアクセスすることができる。この特性は、１回だけログインできること、及び異なるアプリケーションにログインできるアカウントに結び付けられた全データにアクセスできることが、アプリケーションで好都合であり、ユーザーにとって更に便利である。従って、携帯電話ユーザーは、何度もログインすること無く、記憶されているＥメールにアクセスして、メモリ２０に記憶されている音楽を聴くことができる。他方、ＡＣＲ１の範囲に含まれていないデータは、アクセスすることができない。このようにして、同じ携帯電話ユーザーは、別のアカウントＡＣＲ２を通してアクセス可能であるゲーム及び写真の様な貴重なコンテンツを有している。たとえユーザーが、ユーザーの電話を借用する他人がユーザーの第１アカウントＡＣＲ１を通して利用できるデータにアクセスすることは気に掛けないとしても、先のコンテンツはユーザーがその他人にアクセスしてほしくないデータである。ＡＣＲ１へのアクセスはオープンセッションで許容しながら、一方でデータへのアクセスを２つの別々のアカウントに切り離すことで、使用が簡単になると同時に貴重なデータの保護を与えることもできる。
【０１３６】
ホストアプリケーション間でセッションＩＤを共有するプロセスをなお一層簡単にするため、ＡＣＲは、オープンセッションを要求しているとき、セッションに「０（ゼロ）」ＩＤが割り当てられることを具体的に要求してもよい。このように、アプリケーションは、事前に定義されたセッションＩＤを使用するように設計することができる。唯一の制約は、明白な理由で、セッションを要求している１つのＡＣＲしか、ノーカット又は高品質バージョンのタイトルにアクセスする権利の購入を希望することができないことである。プレビューコンテンツは、エンドユーザーがノーカットのタイトルにアクセスできるものである場合は、限定されたｎ、０が特定の時期に認証される。セッション０を要求している別のＡＣＲを認証する試みは、拒絶されることになる。
【０１３７】
（セキュアセッション）
安全な層を追加するために、セッションＩＤは図１７Ｂに示すように使用される。ここで、メモリ１０はアクティブなセッションのセッションＩＤも記憶する。図１７Ｂでは、例えば、鍵ＩＤ Ｘと関係付けられているファイルにアクセスできるようになるためには、エンティティは、ファイルにアクセスすることを許される前に、セッションＩＤ「Ａ」の様なセッションＩＤも提供する必要がある（ブロック４０４、４０６，４１２、４１４）。この方法では、要求しているエンティティが正しいセッションＩＤに気づかない限り、メモリ１０にアクセスすることはできない。セッションＩＤは、セッションが終了すると削除され、且つセッション毎に異なるために、エンティティは、セッション番号を提供することができたときにのみ、アクセスを得ることができる。
【０１３８】
コマンドが、認証された正しいエンティティから実際に来ていることを確認する方法は、ＳＳＡシステムにはセッション番号の使用以外には無い。アタッカーがオープンチャネルを使用して悪意のあるコマンドを送りつける脅威があるアプリケーション及びユーザーの場合は、ホストアプリケーションは、セキュアセッション（セキュアチャネル）を使用する。
【０１３９】
セキュアチャネルを使用する場合、セッションＩＤ並びにコマンド全体が安全チャネル暗号化（セッション）鍵で暗号化され、セキュアレベルは、ホスト側の実施と同じ程度に高い。

【０１４０】
（セッションの終結）
セッションが終結すると、ＡＣＲは以下のシナリオの何れか１つでログオフされる。
１．エンティティは明示的なエンドセッションコマンドを発行する。
２．通信を時間切れにする。ＡＣＲパラメータの１つとして定義される期間中にコマンドを発行しなかった特定のエンティティ。
３．全てのオープンセッションは、装置（例えば、フラッシュカード）がサイクルをリセット及び／又はパワー供給した後終結される。
【０１４１】
（データ統合化サービス）
ＳＳＡシステムは、ＳＳＡデータベース（全てのＡＣＲ、ＰＣＲなどが入っている）の完全性を検証する。更に、データ統合化サービスは、鍵ＩＤ機構を通してエンティティデータに供される。
【０１４２】
鍵ＩＤが、その暗号化アルゴリズムとしてハッシュされて構成されている場合、ハッシュ値は、ＣＥＫ及びＣＥＫ記録内のＩＶと共に記憶される。ハッシュ値は、書込み動作中に計算され記憶される。ハッシュ値は、読取り動作中に再度計算され、それまでの読取り動作中に記憶された値と比較される。エンティティが鍵ＩＤにアクセスする度に、追加的なデータが古いデータに（暗号的に）連結され、適切なハッシュ値（読取り又は書込み用）が更新される。
【０１４３】
鍵ＩＤと関係付けられているか鍵ＩＤによって指し示されているデータファイルはホストしか知らないために、ホストは次の方法でデータ統合化機能の幾つかの態様を明示的に管理する。
１．鍵ＩＤと関係付けられているか鍵ＩＤによって指し示されているデータファイルは、開始から終了まで書き込まれ又は読み取られる。ＳＳＡシステムはＣＢＣ暗号化方法を使用しており、データ全体をハッシュされたメッセージダイジェストとして生成するので、ファイルの一部にアクセスしようという試みは何れも混乱してしまう。
２．中間のハッシュ値はＳＳＡシステムによって保守されているので、連続的なストリームでデータを処理する必要は無い（データストリームは、他の鍵ＩＤのデータストリームをインターリーブすることもこともできるし、複数のセッションを跨いで分割することもできる）。しかしながら、エンティティは、データストリームが再スタートされる場合は、ＳＳＡシステムにハッシュ値をリセットするように明示的に命令する必要がある。
３．読取り動作が完了すると、ホストは、ＳＳＡシステムに、読み取られたハッシュを書込み動作時に計算されたハッシュ値と比較することによって、読み取られたハッシュを有効にするよう明示的に要求せねばならない。
４．ＳＳＡシステムは「ダミーの読取り」動作も提供する。この特性は、暗号化エンジンを通してデータを流すが、それをホストへ送り出すことはしない。この特性は、データが実際に装置（例えば、フラッシュカード）から読み出される前にデータの完全性を検証するのに使用される。
【０１４４】
（乱数の生成）
ＳＳＡシステムは、外部エンティティが、内部乱数生成器を利用し、乱数がＳＳＡシステムの外部で使用できるように要求することができるようにする。このサービスは、何れのホストにも利用可能であり、認証を必要としない。
【０１４５】
（ＲＳＡ鍵ペアの生成）
ＳＳＡシステムは、外部ユーザーが、内部ＲＳＡ鍵ペア生成特性を利用し、ＲＳＡ鍵ペアがＳＳＡシステムの外部で使用できるように要求することができるようにする。このサービスは、何れのホストにも利用可能であり、認証を必要としない。
【０１４６】
ＳＳＡシステム及び付帯する特性の以上の詳細な説明は、主に、２００４年１２月２１日出願の米国仮特許出願第６０／６３８，８０４号からの抜粋である。
【０１４７】
（メディアコンテンツ配信の手段）
（環境及び異なる配信モデル）
図１８は、上記メモリ装置１０がメディアコンテンツを安全に記憶するために使用され、そこに記憶されたメディアコンテンツを制御された方法で配信するために使用される環境を説明している。図１８に示すように、装置１０内のメディアコンテンツは、携帯情報端末、ビデオゲーム機、携帯電話機５０２、ＭＰ３プレーヤーの様なメディアプレーヤー５０６、デスクトップ、ノートブック、又はラップトップの様なコンピュータ５０８を含め、多種多様なエンドユーザー端末又はホストによってレンダリングされる。メディアコンテンツ配信の新しい手段は、ＭＮＯ５０４の様なサービスプロバイダによって、装置１０を使用して実現される。ＭＮＯ５０４は、送受話器５０２を通して装置１０にメディアコンテンツを供給する。代わりに、装置１０に記憶されているメディアコンテンツへのアクセスが制約されている場合は、装置１０に記憶されているメディアコンテンツにアクセスするために、オペレータ５０４から送受話器５０２に権利及び／又は規則がダウンロードされる。装置１０内の暗号化されているメディアコンテンツに対するアクセスを規制している権利及び／又は規則は、装置１０内のメディアコンテンツが送受話器５０２ではなくメディアプレーヤー５０６やコンピュータ５０８の様な他の種類の端末によってアクセスされる場合にも適用される。オペレータ５０４からメディアコンテンツ及び権利及び／又は規則を受け取るのではなく、装置１０は、代わりに、その様なコンテンツ及び権利及び／又は規則を、インターネット経由でアカウント管理サーバ５１０の様な他のサーバ及びコンピュータ５０８を通して受け取ってもよい。その様なコンテンツ及び権利及び／又は規則は、オペレータ５０４によってコンピュータ５０８及びサーバ５１０に提供される。
【０１４８】
図１８の環境では、メモリシステム又は装置１０をメディアコンテンツの記憶及び配信のための手段として使用する複数の新しい手段が可能になる。このことを図１９Ａ〜図１９Ｄに示している。購入コンテンツが事前にロードされているメモリ装置を使用してメディアコンテンツを配信する手段を、図１９Ａに示している。図１９Ａ〜図１９Ｄでは、フラッシュカードを例に使用しているが、同じ考察は、カード以外のフォーマット及び他の種類の不揮発性書込可能メモリにも適用できるものと理解頂きたい。このようにして、フラッシュメモリカード製造者ＣＭは、カードをコンテンツ発行者ＣＩに販売し、ＣＩは更にメディアコンテンツをコンテンツプロバイダＣＰから買い、その様なコンテンツを制御するための権利オブジェクトを権利オブジェクト（ＲＯ）サーバから受け取る。その様なコンテンツ及び権利オブジェクトがカードにロードされる前に、ＣＩは、先ず認証サーバへの接続によってカードが正規であるか否かを検証する。コンテンツ及び権利オブジェクトは、カードが正規であると確かめられた後にロードされる。
【０１４９】
図１９Ａから分かるように、コンテンツ発行者（ＣＩ）から向きを表している矢印は２つの分枝を有しており、一方はサービスプロバイダＳＰへと上側を指しており、下側の矢印はエンドユーザーＥＵを指している。ＣＩは、コンテンツを備えたカードを、図１９ＡのＣＩとＥＵの間の下側の矢印に沿ってエンドユーザーＥＵに直接販売するか、或いは、ＣＩとＳＰの間の上側の矢印に沿ってサービスプロバイダＳＰに販売するか、何れかの方法で販売する。上側の矢印に沿った取引をこれから説明する。
【０１５０】
従って、コンテンツ発行者は、カード製造者ＣＭであってもよいが、カードをＭＮＯの様なサービスプロバイダに販売する。すると、サービスプロバイダは、このカードを、元の機器製造者（以下「ＯＥＭ」と呼ぶ）によって提供されている携帯電話機の様なエンドユーザー端末と一緒にエンドユーザーに販売する。図１９Ａ〜図１９Ｄでは、隣にドル記号が付いている矢印は、各図に示されている矢印の方向に沿った当事者間での可能な収益の流れを示している。コンテンツ発行者がカードをサービスプロバイダに販売する前に、コンテンツ発行者は、ここに説明している型式の制御構造をインストールする。しかしながら、その様な制御構造は、サービスプロバイダが適切だと思う方法でコンテンツの配信を制御できるように、サービスプロバイダが自身の安全環境を作成し、下記で説明するようにサービスプロバイダによってインストールされるのが望ましい。これが起こる前に、カードは、正規であることを再度検証される。このようにして、サービスプロバイダ側のファシリティで、カードは、認証サーバへの接続によって再度認証される。カードは、更に、カード内であらゆる特定の特性又はアプリケーション（例えば、メディアプレーヤーの様なメディアコンテンツレンダリングアプリケーション）を使用可能に又はアクティブにするために、端末を介して認証サーバに接続される。次に、サービスプロバイダは、カード内のコンテンツへのアクセスを制御するために、下で説明する型式の制御構造をインストールする。制御構造は、確実に、認証されたユーザーだけがコンテンツにアクセスすることができ、その様なアクセスが、制御構造内の或る特定の許可又は或る特定の権利及び／又は規則に準じるようにする。
【０１５１】
代わりに、コンテンツ発行者からエンドユーザーに向かっている下側の矢印により示すように、コンテンツ発行者は、カードをエンドユーザーに直接販売してもよい。エンドユーザーは、携帯電話機の様な端末をＯＥＭから入手する。その様な端末及びカードは下で説明する方法で相互に認証されることを前提として、エンドユーザーは、ここでその端末を使用してコンテンツにアクセスすることができる。相互認証の１つのプロセスを下に説明する。
【０１５２】
メディア配信の上記手段は、カードにはエンドユーザーが既に購入したコンテンツしか入っていない場合の方法である。この構成では、エンドユーザーには、コンテンツにアクセスするための証明書の様な必要な認証情報が提供される。これにより、その様な認証手段を提供されていない他者が認可されていない方法でコンテンツにアクセスすることが防止される。
【０１５３】
図１９Ｂは、本発明の別の実施形態を示すメディアコンテンツ配信の別の手段を説明しているフロー図である。コンテンツをカードにインストールし、これによりカードがエンドユーザーに届く段階は、図１９Ａのものと同様である。図１９Ｂの方式は、図１９Ａの方式で無制約のレンダリングが可能になっているのとは違い、カードにロードされたコンテンツは、プレビュー目的で或る特定の制約付きでレンダリングすることしかできないこと（例えば、コンテンツの一部又は低品質バージョンのレンダリングのためのアクセス、又は制限された回数又は期間だけのアクセス）が、図１９Ａのものと相違している。換言すると、エンドユーザーがメディアコンテンツを完全に楽しみたいと願うなら、ユーザーは、プレビュー付きのコンテンツとしてではなく、制約無しにその様なメディアコンテンツの省略されていないバージョンにアクセスしてレンダリングする権利を最初に購入せねばならない。このようにして、購入後に、エンドユーザーはサービスプロバイダから省略されていない完全なバージョンに制約無しにアクセスしレンダリングする。しかしながら、エンドユーザーが、前記目的に適切な権利をダウンロードできるようになる前に、カードは認証サーバによって再度正規であることが検証される。その様な認証の後、権利発行者は、権利オブジェクトの様な制御構造をサービスプロバイダに提供し、サービスプロバイダは、これをエンドユーザーに提供してダウンロードできるようににする。１つの実施形態では、権利オブジェクトは、エンドユーザー（又は、ホスト上のアプリケーションの様な他のエンティティ）が暗号化されているメディアコンテンツにアクセスするための証明書、及びその様なアクセスを規制している権利及び／又は規則を備えている。異なる実施形態では、権利オブジェクトには、暗号化されているメディアコンテンツを復号するのに使用できる実際のコンテンツ暗号化鍵が入っている。権利オブジェクトに実際のコンテンツ暗号化鍵が入っている場合、権利オブジェクト内の証明書は、秘密コードとメモリ装置ＩＤを、ハッシュ機能の様な機能によるシード値として使用して、オンザフライで生成されるものである。この様式は、権利オブジェクトに実際のコンテンツ暗号化鍵が入っていない場合にでも適用することができる。エンドユーザーには、更に、購入時に、プレビューコンテンツの省略されていない高品質バージョンをダウンロードすることなどによって、事前にロードされているコンテンツをアップグレードするというオプションもある。
【０１５４】
代わりに、プレビューコンテンツが、コンテンツ発行者によって図１９Ａに説明している方法でロードされている場合には、その様なコンテンツは、更に、メディアコンテンツの暗号化され且つ省略化されていないバージョンを含んでいる。このようにして、エンドユーザーがその様なカードを購入するとき、カードには、ユーザーが購入したいと希望するメディアコンテンツの暗号化されているバージョンが既に記憶されていることになる。カードには、カード内のコンテンツの省略化されたバージョン又は一部分にしかアクセスできないようにエンドユーザーの権利を制約する権利及び／又は規則も記憶されている。その様な環境では、その様なコンテンツをカードに再度ダウンロードする必要は無い。代わりに、エンドユーザーが必要なのは、メディアコンテンツを復号するためのコンテンツ暗号化鍵と、制約されていない又はより緩いアクセスを許可するための、その様なアクセスを規制している権利及び／又は規則への更新だけである。その様な情報は、認証後に権利発行者からサービスプロバイダを通してダウンロードされることになる。
【０１５５】
図１９Ｃは、メディアコンテンツ配信の更に別の手段を説明しているフロー図である。図１９Ａ及び図１９Ｃを比較すると、図１９Ｃの方式では、カード内のコンテンツは、エンドユーザーがサービスプロバイダによって提供されている様なサービスのサブスクリプションをした後にしかアクセスできないという点以外、２つの方式が実質的に同じであることが明らかである。このように、エンドユーザーによって購入されたカードには、エンドユーザーがサブスクリプションをするまではエンドユーザーがコンテンツへアクセスするのを許可しないという制御情報が入っている。図１９Ｃに示すように、エンドユーザーは、最初にカードをコンテンツ発行者から購入するが、サービスプロバイダからサブスクリプションを購入するまでは、中のメディアコンテンツにアクセスすることはできない。それより以前、サブスクリプションの確認に先立ち、エンドユーザー所有のカードは、認証サーバと、認証サーバによって随意的に使用可能又はアクティブにされる内部のアプリケーション（例えば、メディアプレーヤーの様なメディアコンテンツレンダリングアプリケーション）とによって、正規であることが検証される。サブスクリプションのプロセスでは、権利発行者によって提供されている権利オブジェクトは、サービスプロバイダによってエンドユーザーに送信され、カードへダウンロードできるようになる。取引はサブスクリプションに基づいているので、収益の流れがエンドユーザーからサービスプロバイダを通して権利発行者に循環するように、エンドユーザーは、サブスクリプションの支払いを定期的に行う必要がある。
【０１５６】
図１９Ｄは、メディアコンテンツ配信の別の手段を説明しているフロー図である。この方式では、エンドユーザーによって購入されたカードには、メディアコンテンツが事前にロードされていない。このように、エンドユーザーは、サービスプロバイダからコンテンツを購入せねばならず、サービスプロバイダは、コンテンツプロバイダサーバからコンテンツを入手することになる。それより以前、コンテンツのカードへのローディングに先立ち、カードは認証サーバによって認証される。特性及びアプリケーション（例えば、メディアプレーヤーの様なメディアコンテンツレンダリングアプリケーション）は、認証サーバによって随意的に使用可能にされる。プロセスの一部として、権利発行者を起源とする権利オブジェクトは、サービスプロバイダを通してエンドユーザーに送信され、カードへダウンロードされる。この処理は、エンドユーザーが権利発行者とサービスプロバイダに定期的に支払いを行わねばならないようなサブスクリプションに基づいている。エンドユーザーによって購入されたカードには、メディアコンテンツが事前にロードされていないが、カードは、エンドユーザーにその様なコンテンツをダウンロードする資格を与える権利オブジェクト（複数のオブジェクト）が記憶されている。これは、この場合はプリペイドカードであり、エンドユーザーが、購入したコンテンツを繰り返しダウンロードできるようにする。
【０１５７】
（装置１０の異なるモジュールと機能）
図２０は、装置の異なる領域に異なる機能が記憶されているメモリ装置１０の１つの実施形態のブロック図である。図２０に示すように、装置１０は、図１８のオペレータ５０４の様なＭＮＯによって関係付けられるか所有されている暗号化されたコンテンツの様な保護されているオペレータコンテンツを記憶しているコンテンツ領域を有している。コンテンツ領域には、下で更に詳しく説明するが、暗号化されている及び／又は暗号化されていない事前にロードされたコンテンツも記憶されている。コンテンツ領域には、制約されていないユーザーコンテンツ、並びに暗号などにより制約されロックされているユーザーコンテンツも記憶されている。
【０１５８】
装置１０のセキュア領域は、下で更に詳しく説明するＤＲＭエージェントの様なソフトウェアコードによって実施される複数の異なる機能を含んでいる。装置１０のセキュア領域は、上で説明している隠されたパーティションを使用して実施されている。コンテンツ暗号化鍵、証明書、及び認証マネジャも、セキュア領域に記憶されている。上で説明したＡＧＰ／ＡＣＲの様な制御構造は、認証マネジャの一部を形成している。セキュア領域には、ＭＮＯオペレータ用のアプリケーションと管理も記憶される。装置１０は、通信領域に、携帯電話機概念部とサーバエージェントを記憶している。それらは、装置１０が送受話器によって操作される場合に有用である。
【０１５９】
図２１は、図１９Ａ〜図１９Ｄの異なるメディアコンテンツ配信方式を実施するためのシステムアーキテクチャのブロック図である。図２１に示すように、メモリ装置１０は、可能な実施形態として、セキュア記憶部を備え、それはアクセス制御記録（ＡＣＲ）又は権利オブジェクト（「ＲＯ」）と共にコンテンツ暗号化鍵を使用した、隠されているパーティションと暗号化の上記特性を活用しているのが望ましい。装置１０は、更に、（装置のセキュア領域に記憶されているＤＲＭを含んでいるかその一部である）アクセスマネジャを含んでおり、アクセスマネジャは、現在商業的に使用されている異なるデジタル権利管理（ＤＲＭ）エージェントとインターフェースすることができる。それらには、例えば、携帯電話の送受話器に一般に使用されているモバイルＤＲＭエージェント、及びパーソナルコンピュータ上で現在一般に使用されているＷｉｎｄｏｗｓ（登録商標）３２ＤＲＭエージェントが含まれる。この方式では、装置１０のアクセスマネジャは、コンテンツ及び権利オブジェクトのダウンロード（又は権利オブジェクトの更新）並びに装置１０内のアクセス制御記録又は権利オブジェクト内の許可の変更を目的として、エンドユーザー端末の様々な種類のＤＲＭエージェントとインターフェースすることができる。
【０１６０】
このように、メディアコンテンツが、図１９Ａ〜図１９ＤのＳＰサーバから装置１０にダウンロードされようとするとき、図２１のアーキテクチャは、最初にメディアコンテンツをコンテンツサーバ５２２からＤＲＭサーバ５２４に送ることによって、その様なダウンロードを実施する。コンテンツサーバ５２２は、コンテンツプロバイダサーバからコンテンツを受け取るサービスプロバイダに設置されている。代わりに、メディアコンテンツが、サービスプロバイダを経由すること無しにコンテンツプロバイダから直接ダウンロードされる場合は、コンテンツサーバ５２２は、コンテンツプロバイダ側のファシリティに配置されている。ＤＲＭサーバ５２４は、ＭＮＯ、及び図１８及び図１９Ａ〜図１９Ｄに関して上で説明した送受話器、パーソナルコンピュータ、及び他の端末を通してメディアコンテンツをダウンロードするための他のエンティティ、への支払いを管理する支払いサーバ５２６と通信している。このようにして、複数の支払いサーバ５２６の内の１つによって支払いの証明が提供された後、ＤＲＭサーバ５２４は、権利オブジェクトとメディアコンテンツをコンテンツサーバ５２２から端末（図２１の送受話器５２８又はパーソナルコンピュータ５３０）に送信する。ＤＲＭエージェント５２８ａ又は５３０ａは、次いでメディアコンテンツと権利オブジェクトを装置１０のアクセスマネジャに送信し、そこで、アクセスマネジャは、上記メディアコンテンツを装置１０の或るパーティションに記憶する。権利オブジェクトは、図２１には図示していない権利発行者からサーバ５２４によって入手される。上で説明した権利オブジェクトを送信する代わりに、ＤＲＭエージェント及びアクセスマネジャは、既に装置１０に記憶されている権利オブジェクトを変更又は更新してもよい（例えば、新規又は追加の権利の購入後）。ＡＣＲ、ＡＧＰ、及びＲＯの様な制御構造のインストール及び変更は、同様の方法で行われる。ここで説明している、メディアコンテンツと権利オブジェクトが送信されるか変更されるプロセスは、セッション鍵を使った上記型式のセキュアセッションを介して行われるのが望ましい。このようにして、証明書又は他の認証情報並びに復号されたメディアファイルは、それらが送信される前にセッション鍵で暗号化される。これは、ＡＣＲ、ＡＧＰ、及び階層ツリーの様な他の型の制御構造が、メモリ装置内で、サーバと通信している端末を介して作成されるか変更される場合にも当てはまる。
【０１６１】
図２０に明白に示しているように、装置１０のアクセスマネジャは、ＤＲＭサーバ５２４とインターフェースし、そこからのコマンドを直接取り扱うことができるＤＲＭエージェントを含んでいるので、送受話器５２８及びコンピュータ５３０の様なエンドユーザー端末がＤＲＭエージェントを含んでいなくても、装置１０のアクセスマネジャは、制御構造のインストール又は変更及びメディアコンテンツと権利オブジェクトのダウンロードの様な上記機能をなお実施することができる。
【０１６２】
（プレビューコンテンツを備えたメモリ装置）
図２２は、支払われたメディアコンテンツと未払いのカタログメディアコンテンツが入っているメモリ装置を示しているブロック図であり、メディアコンテンツを配信するための１つの可能な手段を説明している。先に図１９Ａに関して説明したように、支払われたメディアコンテンツと未払いのカタログメディアコンテンツを含むコンテンツはメモリ装置１０にダウンロードされるので、その様なコンテンツを含んでいるメモリ装置は、図２２で符号１０”を付けられている。メモリ装置には、支払われたコンテンツへのアクセスを制御するための対応する権利オブジェクトもロードされる。図２２に示すように、１つの実施例では、権利オブジェクトは、携帯電話機又はパーソナルコンピュータの様な端末を介した、支払われたコンテンツへの無制限のアクセスを許可するが、パーソナルコンピュータライブラリへのコンテンツの移動は３回しか許可せず、これは随意的な特性である。代わりに、随意的な特性は、適切な証明書を有するものは誰でも、支払われたメディアコンテンツを、端末又は他の端末で動作しているソフトウェアアプリケーションによって、３回までならエクスポートして記憶させることができるようになっていてもよい。
【０１６３】
しかしながら、カタログメディアコンテンツに関しては、装置１０”を購入することで、購入者がカタログメディアコンテンツへの完全な権利を有することが許可されるわけではない。代わりに、購入者の権利は、多種多様な方法で制限され又は省略化される。例えば、図２２に示すように、カタログメディアコンテンツをプレビューする権利は、持続時間又は回数又は計数によって制限される。代わりに、メディアタイトルの選択された部分（例えば、歌曲又は映像の１５秒分）だけが制約無くアクセスされるか、或いはアクセスできるものが低品質バージョンだけであってもよい。このように、省略化されていない完全な品質のカタログ化されたメディアタイトルへの無制約のアクセスを得るためには、購入者は、先ずその様な権利を購入する必要がある。購入される権利は、単一のメディアコンテンツファイル又はコンテンツファイルの完全なアルバムであってもよい。図２２に示す実施形態では、カタログ化されたメディアタイトルの省略化されていない完全なバージョンは、装置１０”に実際に記憶されているが、購入者がメディアタイトルの省略化されていない完全なバージョンにアクセスすることができないように暗号化されている。購入後、購入されたメディアコンテンツファイルは、ロックを解除され、購入者によるアクセスが許可される。
【０１６４】
代わりの実施形態では、装置１０”内のカタログ化されているメディアタイトルの省略化されていない完全なバージョンは、装置１０”内に前以て記憶されていない。このようにして、購入者が、完全なアクセスの権利を購入した後、その様なメディアタイトルは、上記方法などで、その様なタイトルへのアクセスを制御する権利オブジェクトと共にダウンロードされねばならない。装置１０”が関与するコンテンツのロック解除プロセスを図２３Ａ〜図２３Ｃのフローチャートに示している。図２３Ａ〜図２３Ｃではフラッシュメモリカードが例として使用されているが、同じ考えは、カード以外のフォーマット及び他の種類の不揮発性書込可能メモリにも適用できるものと理解頂きたい。
【０１６５】
エンドユーザーが装置１０”内のカタログ化された暗号化されているメディアコンテンツの様な、制約されているメディアコンテンツのサンプルへのアクセスを要求したことに対して、端末の様なレンダリング装置が応答する（ブロック５５２）。フラッシュメモリカードの様な装置１０”は、その様な要求に応答して、レンダリング装置又は端末に、要求されているメディアサンプルを提供する（ブロック５５４）。メディアサンプルファイルには、図１９Ａ〜図１９Ｄに関して示しているサービスプロバイダのサーバのアドレス又は図２１に示しているＤＲＭサーバのアドレスの様な、ロック解除の権利を購入することができるようなサーバのインターネットアドレスに関係している情報が入っているのが望ましい。レンダリング装置は、装置内で動作しているソフトウェアアプリケーションにより、フラッシュカード１０”からメディアサンプルを再生又はレンダリングし、ユーザーにサンプル化されているメディアタイトルに対する無制約な権利を購入することを促し、ユーザーのために購入を取り扱うサーバのインターネットアドレス情報を提供する。その様なソフトウェアにより、レンダリング装置又は端末は、次に、ユーザーが、サンプル化された省略化されていない完全なメディアタイトルのロックを解除するための権利を購入したいかどうかについて、ユーザーに問い合わせる（ブロック５５６）。ユーザーが購入を希望しない旨を返答すると、プロセスは終了する。しかしながら、ユーザーが購入の意思を示すと、レンダリング装置又は端末は、次いで、ユーザーコマンドに応答して購入を取り扱うサーバに接続する（ブロック５５８）。レンダリング装置又は端末は、次いで、ユーザーによって入力されたユーザー購入認可及び他の情報をサーバ（ＳＰサーバ又はＤＲＭサーバ）に送る（ブロック５６０）。
【０１６６】
上で指摘したように、権利オブジェクトには、コンテンツ暗号化鍵とその様な鍵へのアクセスが許容される前に適切な証明書の提示を要求する認証情報、及び復号されたメディアファイル又はタイトルがどのように使用できるかに関する権利及び／又は規則が入っている。１つの実施形態では、装置１０”内のカタログメディアタイトルの何れについても権利オブジェクトは一切記憶されていない。その様な状況では、カタログメディアタイトルを復号し制御するための権利オブジェクトは、ＳＰサーバ又はＤＲＭサーバなどからダウンロードされねばならない。
【０１６７】
別の方法では、装置１０”には、カタログメディアタイトルの制約されたプレビューしか許可しない権利が既に入っている。プレビューされるカタログの省略化されているメディアタイトルは、ロックされているカタログの省略化されていない暗号化されているメディアタイトルとは別のファイルとして記憶される。このように、プレビューメディアタイトルは、完全なメディアタイトルの一部分（例えば、１５秒分）又はその様なタイトルの低品質バージョンから構成されている。別の方法では、プレビューメディアタイトルは、別個のファイル内に記憶されておらず、その場合、ロックされているカタログの暗号化されているメディアタイトルの一部又は品質を下げたものは、プレビューとして制約無しに利用可能にされている。プレビューメディアタイトルは、更に、完全な長さのメディアタイトルを備えているが、その場合、プレビュー動作は持続時間又は回数の何れかによって制限されている。上記制約は、装置１０”内に既に記憶されている権利オブジェクトによって課される。このようにして、カタログメディアタイトルの権利オブジェクトが装置１０”内に既に記憶されている場合、その様な権利オブジェクトは、購入者によって購入された後にロック解除の権利を使って更新される必要があり、これにより、更新後の権利オブジェクトは、装置１０”内の暗号化されている省略化されていないカタログメディアタイトルへの完全なアクセスを許可することになる。このように、ユーザーが認証を購入し、ブロック５６０で他のユーザー情報がＳＰ／ＤＲＭサーバに送られた後、レンダリング装置又は端末は、装置１０”がまだ権利オブジェクトを有していない場合は、ダウンロードされた権利オブジェクトが（例えば、ＤＲＭエージェントにより）装置１０”のセキュア領域に記憶されるようにし、或いは装置１０”内に既に在る権利オブジェクトが更新されて、現在の更新された権利オブジェクトに従って購入されるメディアタイトルへのアクセスが許可されるようにする（ブロック５６２及び５６４）。
【０１６８】
ブロック５６０で、レンダリング装置又は端末からのユーザー要求に応答して、サーバ（例えば、ＳＰ又はＤＲＭサーバ）は、エンドユーザーから支払いを得るためにユーザー情報を図２１の請求書作成サーバ５２６に送ることによって応答する（ブロック５６６）。サーバ（例えば、ＳＰ／ＤＲＭ）は、レンダリング装置又は端末に、カード上に記憶させるため又はカード上の権利オブジェクトを更新するための権利オブジェクト情報を提供する。権利オブジェクトは、鍵と、望ましくは、購入されたロックされている（暗号化されている）メディアタイトルを復号するための鍵にアクセスするための証明書を生成するための情報とを含んでいる（ブロック５６８）。
【０１６９】
上記プロセスでは、権利オブジェクトは、カタログメディアタイトルを復号するためのコンテンツ暗号化鍵を含んでいる。その様な事象では、鍵は、タイトルを復号するために装置１０”に記憶される。しかしながら、認可されていない使用の可能性を減らすために、その様な鍵へのアクセスは、その様な鍵にアクセスするための正しい証明書を有するエンドユーザーに限定される。その様な証明書は、端末により、及び装置１０”によって、端末の固有ＩＤを、装置１０”と端末両方のハッシュ関数のような関数によるシード値として使用して、オンザフライで生成される。このようにして、端末が装置１０”により認証されていれば、装置１０”はその様な証明書を生成することもでき、鍵へのアクセスは（装置１０”と端末によって生成された）証明書の２つのセットが一致したときに限り許容される。装置１０”の固有ＩＤを使用して装置１０”を認証する場合に、同様のプロセスが使用される。両方のプロセスが実行される場合、方式は相互認証方式になる。
【０１７０】
他の更に安全な代替案として、権利オブジェクトは、カタログメディアタイトルを復号するためのコンテンツ暗号化鍵自体ではなく、その様な鍵にアクセスするための或る特定の証明書しか含んでいない。例えば、証明書は、上記ＡＣＲ構造により規制されているアクセスを可能にするものである。このようにして、各カタログメディアタイトルが、タイトルの復号に使用できる対応するコンテンツ暗号化鍵を有する対応するＡＣＲを有している場合、権利オブジェクトからその様なＡＣＲへ証明書を供給することによって、タイトルの復号が可能になる。その様な事象では、エンドユーザーは、その様なタイトルが復号されレンダリングできるようになる前に、全てのカタログタイトルのＡＣＲのそれぞれに証明書（並びに、支払済みのコンテンツが同様にＡＣＲによって保護されている場合には、支払済みコンテンツのＡＣＲにアクセスするための証明書）を入力することが必要になる。エンドユーザーは、そこで、多数の証明書を見失わないようにする必要がある。これより、図２４を見ながら、更に使いやすい機構を説明する。
【０１７１】
図２４は、上記アクセス制御記録（ＡＣＲ）及び委譲属性を使用して、装置１０”内のロックされているカタログメディアコンテンツをロック解除するための更に別の実施形態を説明しているブロック図である。このように、装置１０”の制御構造は、２つのＡＧＰ５７２と５７４を含んでいる。ＡＧＰ５７２は、ＤＲＭ＿ＡＣＲを含んでいる。ＤＲＭ＿ＡＣＲは、３つの異なる支払済みコンテンツメディアファイルの権利オブジェクトを制御する。それら権利オブジェクトは、例えば、コンテンツをパーソナルコンピュータライブラリに移動させるための、又はコンテンツを別の端末にエクスポートするための限定された権利を制御している。
【０１７２】
ＡＧＰ５７４には、ｐｌａｙｂａｃｋ＿ＡＣＲ５７６と、３つの支払済みメディアコンテンツタイトルのコンテンツ暗号化鍵へのアクセスを制御するための３つのｐａｉｄ＿ＡＣＲ５７８と、まだ支払われていない３つの対応するカタログメディアタイトルのコンテンツ暗号化鍵へのアクセスを制御するための３つのｃａｔａｌｏｇ＿ＡＣＲ５８０を含む、７つのアクセス制御記録が入っている。図２４に示すように、ｐｌａｙｂａｃｋ＿ＡＣＲ５７６からｐａｉｄ＿ＡＣＲ５７８に向かう矢印５８２は、３つのｐａｉｄ＿ＡＣＲ５７８が自分たちのコンテンツ暗号化鍵に対する権利をｐｌａｙｂａｃｋ＿ＡＣＲ５７６に委譲したことを示しているので、３つのｐａｉｄ＿ＡＣＲ５７８によって制御されている３つの支払済みのメディアタイトルを復号するのに使用されるコンテンツ暗号化鍵にアクセスするために、３つのｐａｉｄ＿ＡＣＲ５７８に証明書を提示する必要はない。代わりに、正しい証明書をｐｌａｙｂａｃｋ＿ＡＣＲ５７６に提示することによって、３つの支払済みメディアタイトルを復号するためのコンテンツ暗号化鍵にアクセスできるので、エンドユーザーにとっては、証明書は３つ又はそれ以上のセットではなく１セットだけ覚えておけばよく、更に好都合である。
【０１７３】
上記実施形態では、ダウンロードされるか更新された権利オブジェクトには、個々のカタログ又は支払済みメディアタイトルを復号するための鍵にアクセスするためのＡＣＲ内の証明書が入っている。代わりの実施形態では、ダウンロードされるか更新された権利オブジェクトには、代わりに、ＤＲＭ＿ＡＣＲに対する証明書が入っている。ＤＲＭ＿ＡＣＲは、ｃａｔａｌｏｇ＿ＡＣＲ５８０に、３つの未払いのカタログメディアタイトルを復号するためのコンテンツ暗号化鍵にアクセスする自身の権利をも、やはりｐｌａｙｂａｃｋ＿ＡＣＲ５７６に委譲させる、許可を有している。このようにして、権利オブジェクトがダウンロードされるか更新された後、端末又は装置１０”の何れかのＤＲＭエージェントは、権利オブジェクトからの証明書を提示することによってＤＲＭ＿ＡＣＲにアクセスして、ＤＲＭ＿ＡＣＲにその権利を実行させ、委譲を起こさせる。図２４に説明している実施形態では、請求書作成サーバが、図２３のブロック５６６のエンドユーザーから支払いを受けたことを確認した後、ｃａｔａｌｏｇ＿ＡＣＲ５８０は、次に、３つの未払いのカタログメディアタイトルを復号するためのコンテンツ暗号化鍵ヘアクセスする自身の権利を、やはりｐｌａｙｂａｃｋ＿ＡＣＲ５７６に委譲する。このことは、図２４の点線５８４によって示されている。このようにして、委譲後、適切な証明書の単一セットだけをｐｌａｙｂａｃｋ＿ＡＣＲ５７６に提示することによって、ｃａｔａｌｏｇ＿ＡＣＲ５８０によって制御されているメディアタイトルを復号するためのコンテンツ暗号化鍵にアクセスし、同時に、ＡＣＲ５７８によって制御されている支払済みメディアタイトルを復号するための鍵もアクセスできるようになる。
【０１７４】
図２４に示しているように、更に安全を追加した策として、権利オブジェクトには、ＤＲＭ＿ＡＣＲの証明書の代わりに秘密コードが入っている。ＤＲＭ＿ＡＣＲの証明書は、関数を使って、この秘密コードと装置１０”のＩＤからオンザフライで生成される。ｐｌａｙｂａｃｋ＿ＡＣＲの証明書は、関数を使って、秘密コードと装置１０”のＩＤから同様の方法で生成される。エンドユーザーが入力する必要があるのは、ｐｌａｙｂａｃｋ＿ＡＣＲ５７６の証明書を生成するための秘密コードだけである。ＡＣＲの代わりに、上記方式は、権利オブジェクトを使用して実現することもでき、その場合、メディアファイルへのアクセスを制御している異なる権利オブジェクトには、その様なファイルにアクセスする許可を再生権利オブジェクトに委譲する権利が入っている。
【０１７５】
コンテンツレンダリングのプロセスは、図２５Ａと図２５Ｂのフローチャートに示されている。レンダリング装置又は端末上の信頼されているアプリケーションは、メディアタイトルへアクセスしたいというユーザー要求とアクセスのための証明書又は秘密コードを装置１０”に提示する（ブロック５９０）。すると、装置１０”は、正しい証明書又は秘密コードがレンダリング装置によって装置１０”に提示されたか否かを判定する（菱形５９２）。正しい証明書又は秘密コードが提示されていなければ、装置１０”は、その様な証明書が提示されるまで待つ。正しい証明書又は秘密コードが提示されたら、装置１０”に記憶されているコンテンツ暗号化鍵へのアクセスがここで許容される。次いで、鍵が使用され、要求されている暗号にされたメディアタイトルが復号される。次いで、復号されたメディアタイトルは、信頼されているアプリケーションに送られる（ブロック５９４）。レンダリング装置又は端末は、次いで、復号されたメディアタイトルをレンダリングする（ブロック５９６）。
【０１７６】
（サービスプロバイダがセキュア環境を作成可能にする）
図２６は、本発明の追加の特性を説明するための、不揮発性書換可能メモリ装置内の安全アーキテクチャ又は制御構造のブロック図である。図２６の安全アーキテクチャ６００は、図２０に示すようなセキュア領域に記憶されているサービスプロバイダ（ＳＰ）の証明書を含んでいる。ＳＰ証明書６０２は、矢印６０４を介して、事前にロードされているメディアコンテンツ６０６を指しており、コンテンツ６０６には、写真６０６ａ、楽曲６０６ｂ、ゲーム６０６ｃ、及び映像６０６ｄが含まれている。サービスプロバイダ（ＳＰ）がＭＮＯである場合、事前にロードされているコンテンツ６０６は、着信音の様な送受話器特定メディアコンテンツ６０６ｅも含んでいる。矢印６０４は、端末内で動作しているアプリケーションがＳＰ証明書６０２を有している場合は、アプリケーションは、事前にロードされているコンテンツ６０６ａ〜６０６ｅにアクセスすることができることを示している。このようにして、サービスプロバイダＳＰがＳｐｒｉｎｔ又はＶｅｒｉｚｏｎの様なモバイルネットワークオペレータである場合には、オペレータは、その証明書をそれによって発行された携帯電話機にロードする。そこで、全てのその様な送受話器は、その様なオペレータの証明書をその様な事前にロードされているコンテンツを有するメモリ装置に供給することによって、事前にロードされているコンテンツ６０６ａ〜６０６ｅにアクセスするのに使用される。
【０１７７】
サービスプロバイダの証明書を有する全てのアプリケーションによってアクセスできるメディアコンテンツに加えて、メモリ装置は、或る特定のサブスクライバしかアクセスできないメディアコンテンツも記憶している。従って、図２６に示すように、写真６１０ａ、楽曲６１０ｂ、ゲーム６１０ｃ、映像６１０ｄ、送受話器特定情報６１０ｅ、及びパーソナルメディアコンテンツ６１０ｆは、サブスクライバ１又はサブスクライバ１の証明書を有するものにしか利用できない。サブスクライバ１の証明書を供給できるアプリケーションだけが、メディアコンテンツ６１０ａ〜６０１ｆへアクセスすることができる。このようにして、サブスクライバ１がファイル６１０ａ〜６１０ｆの何れかにアクセスを希望した場合、サブスクライバ１は自身の証明書を、送受話器の様な端末内のアプリケーションによって入力すると、その様なファイルの何れにでもアクセスすることができる。サブスクライバ１のアカウント６０８は、個人のアカウントであってもよいし、ファミリーアカウントのメンバーアカウントの様なグループ内の共有アカウントであってもよい。その様な事象では、ファイル６１０ａ〜６１０ｆにアクセスするのに使用できる証明書は２セット以上存在することになる。証明書のセットの内の何れか１つがアーキテクチャ６００を有するメモリ装置に送信されると、ファイル６１０ａ〜６１０ｆにアクセスすることができる。
【０１７８】
アーキテクチャ６００は、サブスクライバ１の証明書が要求される段階にサブスクライバ１が実際に到達する以前に、ＳＰ証明書がまず提示されるべきであるというポリシーを実行することに留意されたい。ＳＰ証明書がメモリ装置に提示された後、サブスクライバは、制約されているファイル６１０ａ〜６１０ｆの何れか１つにアクセスを希望する場合、サブスクライバ１の証明書を入力するように求められる。
【０１７９】
サブスクライバ１のアカウント６０８は、矢印６１２によりファイル６１０ａ〜６１０ｆを指している。矢印６１２は、ファイル６１０a〜６１０ｆのコンテンツを使用するための権利及び／又は規則を含んでいる権利オブジェクトによるなど、上記型式の１つの制御構造を象徴化している。権利オブジェクトは、暗号化されているファイル６１０a〜６１０ｆを復号するための鍵も含んでいる。しかしながら、権利オブジェクトは、ファイル６１０a〜６１０ｆを復号するためにコンテンツ暗号化鍵を入手できるアクセス制御記録にアクセスするための証明書を含んでいることが望ましい。
【０１８０】
アーキテクチャ６００は、複数のサブスクライバによってアクセスできる暗号化されているメディアコンテンツを記憶するために使用され、その場合、或るサブスクライバがアクセスできるメディアコンテンツは、異なるサブスクライバがアクセスできる場合もあればできない場合もある。このようにして、アーキテクチャ６００は、サブスクライバＸのアカウントも含んでいる。図２６には示していないが、サブスクライバＸに関係付けられているメディアコンテンツファイルには、サブスクライバＸの正しい証明書がアーキテクチャ６００の入っているメディア装置に提示された場合に限り、アクセスすることができる。この方法では、メモリ装置１０は、複数のサブスクライバによって使用される。サブスクライバのそれぞれは、自身のアカウントに関係付けられているメディアコンテンツに対し、異なるサブスクライバがその様なコンテンツに対する認可されていないアクセスを得る恐れ無しに、独立的にアクセスすることができる。同時に、ＳＰ証明書を有している限り、全てのサブスクライバがアーキテクチャ６００を介してアクセスできるファイル６１０a〜６１０ｆの様な共有コンテンツが存在している。更に、２人又はそれ以上のサブスクライバがアクセスすることのできるメディアコンテンツファイルの間に部分的な重なりがあってもよい。例えば、或る特定のメディアコンテンツファイルは、２人以上のサブスクライバアカウントと関係付けられているので、その様なメディアコンテンツファイルは、サブスクライバの誰かの証明書がメモリ装置に提示されると、アクセスし復号することができる。これは、サブスクライバが彼らの証明書又は鍵の何れかを共有する必要なしに行われる。
【０１８１】
上で指摘したように、図２６の安全構造６００にとって１つの可能な制御構造は、上記アクセス制御記録（ＡＣＲ）である。通常、暗号化されているメディアコンテンツを復号するためのＣＥＫを制御するＡＣＲは、図２４のＡＣＲの様に、メモリ装置が作成されたときに作成される。次に、サブスクライバアカウントが作成されると、適切なＡＣＲ内の証明書がそのサブスクライバに供給され、サブスクライバがＣＥＫにアクセスできるようになる。
【０１８２】
上で説明したように、システムＡＣＲは、ＡＧＰとＡＣＲを作成する能力を有している。一般に、ＡＣＲを作成する権限を有するＡＣＲ又はＡＧＰは、何れも、サブスクライバＡＣＲを作成するのに使用できる。その様なＡＣＲ又はＡＧＰは、製造時に既に装置１０内に作成されている。ＡＣＲは、メディアコンテンツが装置にロードされる前又は後に、メモリ装置の制御構造として作成される。装置にロードされたコンテンツは、装置よって生成されるか供給されたコンテンツ暗号化鍵を使用して暗号化され、その場合、コンテンツ及び暗号化鍵は、関係付けられ、サブスクライバＡＣＲによって制御される。その様な方法では、サブスクライバが関係付けられている制御構造が、その様な暗号化されているメディアコンテンツへのアクセスを制御するために使用される。
【０１８３】
図２６の安全アーキテクチャは、メディアコンテンツ配信の１つの手段を説明しており、ここでは、メモリ装置は特定のサービスプロバイダに結合されているので、異なるサービスプロバイダが、このメモリ装置を使用して、メディアコンテンツを装置内に記憶し、装置内のメディアコンテンツを制御することはできない。図２６の安全構造に代わるものとして、メモリ１０内の安全アーキテクチャはＳＰ証明書６０２を含んでいないので、その様な証明書は、装置内のコンテンツにアクセスするのに必要ない。その様な代わりの実施形態では、複数の異なるサービスプロバイダのそれぞれは、同じメモリ装置内の他のサービスプロバイダから独立して自身の制御構造を作成することができる。各サービスプロバイダは、他のプロバイダによるクロストーク又は干渉無しに、メモリ装置と対話することができる。装置１０に事前にロードされている上記ＳＳＡシステムのシステムＡＣＲは、異なるサービスプロバイダのそれぞれが、上記の方法でＡＧＰ−ＡＣＲ構造の形式で自身の階層ツリーを作成するのを支援する。
【０１８４】
この様に、上記制御構造は、権利オブジェクトと、ＡＣＲと、関係付けられている階層ツリーを含んでいる。権利オブジェクトは、上で指摘したように、通常は、メモリ装置の外部に作成され、装置にダウンロードされる。１つの実施形態では、その様なオブジェクトは、ＤＲＭサーバ又は端末内のＤＲＭエージェントによって、及びメモリ装置内のＤＲＭ ＡＣＲの様な構造によって、管理される。他方、ＡＣＲ及び関係付けられている階層ツリーは、メモリ装置内に作成された構造であり、その外部には存在していない。一般には、それらのコンテンツ又は特性が装置外部のエンティティにエクスポートされるのは望ましくない。ＡＣＲは、ＣＥＫがどの様に使用されるか、例えば機能の読取り、書込み、又は委譲について、の許可を含んでいる。他方、権利オブジェクトは、ＣＥＫ及びそれにより暗号化されているコンテンツがどの様に使用されるかを、例えばアクセスが許容される持続時間又はアクセスの回数などを限定することにより、更に厳密に指定することができる。
【０１８５】
別の特性として、メモリ装置の（例えば、セキュア領域に）記憶されている再生リストマネジャを実行しているソフトウェアコードは、エンドユーザーが再生又は他のレンダリングプロセスを停止したメディアタイトル内の場所を登録するのに使用される。これにより、エンドユーザーは、メモリ装置を１つの端末から外して、それを別の端末に接続し、自分が停止した地点から再生又はレンダリングを再開することができる。
【０１８６】
（認証に使用される証明書）
メディアコンテンツプロバイダとサービスプロバイダが取り組む必要がある１つの重要な問題は、コンテンツがロードされることになる特定のメモリ装置が純正装置であるか否かということである。他方、メモリ装置の側から見れば、コンテンツ又は権利情報を記憶又は取り出そうと試みているホスト又は端末（又はサーバ）が純正か否かを判定することが有用又は必要である。このため、安全アーキテクチャ６００は、更に、証明の様な認証及び設定特性６２２を含んでいる。次はそれについて説明する。
【０１８７】
異なるサービスプロバイダによって作成された制御構造は、各パーティションにはその対応するサービスプロバイダの制御構造（例えば、ＡＧＰ−ＡＣＲ及び／又は権利オブジェクト）しか記憶されないように、別々のパーティションに記憶されるのが望ましい。その様なパーティションは、それらパーティションの少なくとも幾つかのそれぞれに、そこに記憶されている制御構造の対応するサービスプロバイダがアクセスすることができ且つ他のプロバイダはアクセスできないように、プライベートであり隠されているのが望ましい。異なるサービスプロバイダに対して作成された階層ツリー同士の間にはクロストークの無いことが望ましい。
【０１８８】
エンドユーザー端末とメモリ装置の間の相互認証のためのアーキテクチャ全体を図２７に示している。図２７に示すように、メモリ装置６３０が正規であることの証明、及びエンドユーザー端末６３２が正規であることの証明は、共にルートＣＡサーバ６３４の権限から導き出される。装置６３０は、生産ＣＡサーバ６３６が配置されている生産ファシリティによって製造される。一方、端末６３２は、端末ＣＡサーバ６３８（サーバ６３４と同じでもよい）が配置されているファシリティで製造される。このようにして、装置６３０は、サーバ６３６に、装置ＩＤ、型式、及び装置の公開鍵を提供する。サーバ６３６は、プロダクションサーバＩＤとプロダクションサーバ公開鍵をサーバ６３４に提供する。サーバ６３４は、ルートＣＡ証明及び生産ＣＡ証明をサーバ６３６に提供する。すると、サーバ６３６は、サーバ６３４からの２つの証明を、サーバ６３６のプライベート鍵によって署名された装置証明と共に、装置６３０に提供する。同様のプロセスが、サーバ６３４、６３８と端末６３２の間で実行される。上記プロセスの結果として、端末６３２と装置６３０それぞれは、図２８に示すように３つの証明を保有する。
【０１８９】
図２８に示すように、メモリ装置は、３つの証明、即ち、ルートＣＡ証明、生産ＣＡ証明、及びメモリ装置証明を含んでいる。装置６３０と端末６３２は、共にルートＣＡ証明とルート公開鍵を有しているので、最初の設定プロセス時に、この鍵を使用して、公開鍵と、装置及び端末内にそれら鍵を保有している証明とが純正であることが、下の方法で検証される。
【０１９０】
図２９に示すように、端末６３２と装置６３０は、設定プロセスのために装置が初めて端末に挿入されたときに、証明を交換する。装置は、装置証明と生産ＣＡ証明を端末に送り、端末は、端末証明と端末ＣＡ証明を装置に送る。装置６３０と端末６３２内に入っている異なる鍵及び証明を、図３０に示している。
【０１９１】
生産ＣＡ証明は、生産ＣＡ公開鍵と、その様な公開鍵のルートＣＡプライベート鍵によって署名されている（即ち、暗号化されている）バージョンとを含んでいる。端末６３２は、この生産ＣＡ証明が純正であるか否かを、それが所有しているルート公開鍵を使用して、暗号化されている生産ＣＡ公開鍵を復号し、その結果を装置６３０から受け取った生産ＣＡ証明内の生産ＣＡ公開鍵と比較することによって検証する。それらが一致すれば、そのことは、受け取った生産ＣＡ証明は細工されておらず純正であることを示している。端末６３２は、次いで、その様に確認された生産ＣＡ公開鍵を使用して、装置公開鍵の暗号化されているバージョンを復号し、その結果を装置６３０から受け取った装置証明内の装置公開鍵と比較する。それらが一致すれば、そのことは、受け取った装置証明が細工されておらず純正であることを示している。装置６３０は、端末から受け取った証明が純正で細工されていないことを検証するために同様のプロセスを実行する。上記より、更に多くのレベルの鍵と証明のが活用できれば、システムは更に安全になることが明白である。図２７〜図３２には３つのレベルが使用されている。高レベルの安全が求められているか低レベルの安全が求められているかによって、上記方針はしかるべく変更されることは自明である。
【０１９２】
装置と端末が上記相互認証プロセスを実行した後、端末は、製造中に装置内に作成されたＡＣＲを使用して、図３１に示すように、装置６３０内にＡＣＲを作成する。作成されたこのＡＣＲには、ルート公開鍵を有するルートＣＡ証明が入っているので、次に端末が装置と接続されたとき、装置は、ルート公開鍵を使用して、端末によって提供された端末証明が純正であることを、上記プロセスと同様のプロセスで検証する。端末によって提供された端末証明が純正であると確認されると、メモリ装置は、ＡＣＲ内の許可に従って端末がコンテンツにアクセスすることを許す。
【０１９３】
図３２に示すように、次にメモリ装置が端末と接続されたとき、端末は、ログインしてその証明を装置に送る。装置は、次いで、上記検証プロセスを実行する。オプションとして、メモリ装置６３０も、図３２に示すように検証するためにその証明を端末６３２に送る。
【０１９４】
装置６３０に記憶されている証明は、装置が正規であるか否かを調べるために、図１９Ａ〜図１９Ｄに示しているサーバのうちの何れかの様な認証サーバのために使用することもできる。サーバもルートＣＡ証明と証明内のルート公開鍵とを有している場合は、この鍵は、装置が正規であるか偽造品であるかを検証するために、上で説明したのと同様の方法で使用される。装置６３０も、サーバが正規であるか否かを同様のプロセスで検証する。認証サーバは、ルートＣＡ証明と調査を実行するためのソフトウェアを、サービスプロバイダのサーバの様な異なるサーバに転送して、サービスプロバイダサーバが代わりに検証プロセスを実行できるようにしてもよい。そうすると、図１９Ａ〜図１９Ｄのプロセスは、サービスプロバイダサーバが認証サーバの機能も行えるようになるという点で、単純化されることになる。
【０１９５】
（事前ロードされるコンテンツのパッケージ化）
図２２のメモリ装置１０”には、歌曲の様なメディアコンテンツだけでなく未払いのカタログメディアコンテンツも事前にロードされている。そのようなカタログメディアコンテンツは、暗号化されているノーカットの高品質バージョン、並びにその様なバージョンのプレビューを備えている。装置１０”には、更に、プロモーション品目並びに各種アプリケーションが記憶されている。図２０に関して上で説明したように、メモリ装置１０”は、コンテンツ領域及びセキュア領域を含む複数の異なる領域を備えている。セキュア領域は、セキュア生産ファシリティでの装置生産中にしかアクセスできないのが望ましい。例えば、権利オブジェクト及びＡＧＰ／ＡＣＲ構造及び他のデジタル権利管理ソリューションは、セキュア生産ファシリティで、装置１０又は１０”のセキュア領域に記憶される。コンテンツ暗号化鍵は、セキュアファシリティで、セキュア領域にロードされるか、生産後に装置自身によって生成される。
【０１９６】
コンテンツ領域内のオペレータコンテンツ及び他の保護されているコンテンツの様なコンテンツは、通常、映像ファイルの様な大きなファイルを有している。安全なデータをセキュア領域にロードするためのセキュアファシリティには、大量生産で多数の大きなファイルをロードする能力がないかもしれない。この理由から、ロックされているコンテンツ並びにロック解除されているコンテンツは、生産ファシリティの安全でない領域でロードされるのが望ましい。ロックされているメディアコンテンツは、通常は暗号化されているので、その様なコンテンツは、認可を受けずに利用される可能性を減らすために、暗号化されている形式で安全でないファシリティに送られる。各メモリ装置は、順番になっているシリアル番号のような固有の識別を有している。従って、暗号化されているメディアコンテンツ並びに暗号化されていないコンテンツをロードするために装置が安全でないファシリティに回される前に、先ず安全関連データとオブジェクトをセキュア領域に記憶することが可能である。セキュア領域にロードされるデータは、コンテンツ領域に記憶されているメディアコンテンツの使用を制御するための制御構造を含んでいるので、暗号化されているコンテンツをロードする前に、上記制御構造をセキュア領域にまずロードすることによって、メディアコンテンツが許可を受けずに利用されるのを防止する追加的な安全性が提供される。
【０１９７】
製造されたメモリ装置のそれぞれにコンテンツを暗号化するのに使用される鍵は、それ以外の装置に事前にロードされている鍵とは異なっている。実際にそうなっている事例では、１つのメモリ装置の暗号化鍵を入手することができるハッカーでも、それ以外のメモリ装置に記憶されているコンテンツにはアクセスできない。しかしながら、多数の異なるコンテンツ暗号化鍵を生成して各装置にロードすることは、厄介である。妥協案として、或るバッチのメモリ装置には、それらが同じ鍵セットを有するように、同じ鍵セットがロードされる。従って、或るバッチの内のメモリ装置の１つの鍵セットが認可を受けていない方法で入手されると、その様なバッチのメモリ装置に記憶されているメディアコンテンツは認可無しにアクセスできるようになる。しかしながら、その様な鍵セットを入手した人物も、異なるバッチのメモリ装置に記憶されているメディアコンテンツに対しては、その様な装置のメディアコンテンツはその人物が違法に入手したものとは異なる鍵セットによって暗号化されているので、アクセスすることができない。
【０１９８】
このようにして、５０，０００個のメモリ装置が生産される場合、５０，０００個の装置は、それぞれ５０個のメモリ装置を有する１，０００個のセットに分けられ、当該セット内の各装置には５０個の異なる鍵セットの内の１つがロードされる。このように、５０，０００個の装置が５０のバッチに分けられ、１，０００個の装置からなる各バッチは、同じ鍵セットがロードされ即ち同じ鍵セットを使用することになる。例えば、５０個の鍵セットはＫＯｍｎと表され、ここに、ｍは、サウンドトラックの様な最大２０個までの購入されたメディアタイトルに対して１から２０までを範囲とし、ｎは、ｌからＮであり、Ｎはこの事例では５０である。Ｎセットの鍵セットＫＰｌｎも提供され、ここに、ｌは、サウンドトラックの様な最大５０個までの未払いメディアタイトルに対して１から５０を範囲とし、ｎは、１からＮを範囲とする。この鍵ＫＰｌｎのセットは、権利発行者であるサーバに安全に送信され、上記トラックが購入されるときに権利オブジェクトが発行される。
【０１９９】
更に、セキュアファシリティでは、購入されたタイトル又はトラックのコンテンツ暗号化鍵ＫＯｍｎは、無制限の再生及び例えば上で説明した３つのエクスポートのためのビジネス規則を追加するためのＮ個のオブジェクトのセットにパッケージ化される。Ｎ個の権利オブジェクトのセット（購入されたメディアタイトル毎に１つ）はＲＯｍｎとして表され、ここに、ｍは、最大２０個までの購入されたメディアタイトルに対する１から２０までを範囲とし、ｎは、１からＮを範囲とする。Ｎ個の権利オブジェクトのセットは、セキュアファシリティに安全に転送される。生産時、メモリ装置の固有シリアル番号は、５０個の権利オブジェクトのセットの内のどの１つがカート、ＲＯ１ｎ、ＲＯ２ｎ、．．．ＲＯｍｎ、にロードされるかを決めるために使用され、ここに、ｍは、最大２０個までの購入されたメディアタイトルに対する２０である。それら２０個の権利オブジェクトは、１０，０００個のメモリ装置の第ｎ番目のセット又はバッチ内の各装置にロードされ、ここに、ｎは、メモリ装置シリアル番号を１，０００で割った逐次部分により決まる（即ち、メモリ装置シリアル番号／１，０００の整数部＋１）。例えば、メモリ装置シリアル番号が５の場合、ｎは値１になる。シリアル番号１２００では、ｎは２となる。シリアル番号が３５８７０であれば、ｎは３６ということになる。
【０２００】
購入されたメディアタイトル（最大２０）は、Ｎ個の暗号化されたファイルのセットＣＯｍｎに暗号化され、ここに、ｍは１〜２０を範囲とし、ｎは１〜ｎを範囲とする。最大５０個までのカタログメディアタイトルが入手された後、それらタイトルは、ファイルＰＣＬＲ１、ＰＣＬＲ２、．．．ＰＣＬＲＬとして暗号化されることになり、ここに、Ｌは最大５０までである。最大５０個までのカタログメディアタイトルから、その様なタイトルのそれぞれの１５秒分の映像断片又は低品質バージョンが作られ、ＳＮＩＰ１，ＳＮＩＰ２、ＳＮＩＰＬと標示され、ここに、Ｌは最大５０までである。次いで、ノーカットのカタログメディアタイトルが、Ｎ個の暗号化されたファイルのセットＰＯｌｎに暗号化され、ここに、ｌは１〜Ｌを範囲とし、ｎは１〜Ｎを範囲とする。カタログメディアタイトルファイル用のＮ個の暗号化鍵のセットは、権利発行者に送られる。コンテンツをロードするためのマスターコピーには以下のものが入っている。
（１）Ｎ個の暗号化されている購入されたメディアタイトルのセットＣＯｍｎ、ここに、ｍは１〜２０を範囲とし、ｎは１〜Ｎを範囲とする。
（２）１個のカタログメディアタイトルのプレビュー断片のセットであり、断片は暗号化されておらず、Ｎ個のメディア装置全般に亘って同じであり、ＳＮＩＰ１、ＳＮＩＰ２、．．．ＳＮＩＰＬと表わされ、ここにＬは最大５０までである。
（３）プレビュー断片に対応するＮ個の暗号化されたカタログメディアタイトルのセットであり、それらはＮ個のメモリ装置のセットについて異なるコンテンツ暗号化鍵を使って暗号化されている。
（４）コンピュータクリップ、写真、着信音の様な、１個の全ての他のプロモーション用コンテンツのセット。
【０２０１】
サードパーティーの請負によるファシリティの様な安全でないコンテンツローディングファシリティでは、コンテンツをメモリ装置にロードするのにマスターコピーとコンテンツローディングスクリプトが使用される。コンテンツローディングスクリプトは、メモリ装置シリアル番号を最初に読み取り、シリアル番号に基づいて、１からＮの間のバッチ又はセット数を計算する。次いで、このセット数ｎに基づいて、コンテンツローディングスクリプトは、購入された、メディタイトルファイルのｎ番目のセットＣＯｌｎ、ＣＯ２ｎ、．．．ＣＯｍｎを読み取り、ここに、ｍは購入されたメディアコンテンツ内のメディアタイトルの個数である。コンテンツローディングスクリプトは、カタログメディアタイトルのｎ番目のセットＰＯ１ｎ、ＰＯ２ｎ、．．．ＰＯＬｎも読み取り、ここに、Ｌは装置に載せるカタログメディアタイトルファイルの個数である。ポストアプリケーションのプレビュー断片ファイルのセットとプロモーション用品目のセットも、各メモリ装置にロードされる。コンテンツローディングスクリプトは、次いで、上で選択されたファイルを、図２０に示すメモリ装置のコンテンツパブリック領域に書き込む。
【０２０２】
プリペイドコンテンツの鍵を生成しタイトルをロードするためのプロセス、及び権利発行者による権利オブジェクト発行のプロセスを、図３３Ａと図３３Ｂを参照しながら説明する。ファシリティでは、ロードされる装置又はカードはＮ個の装置又はカードを有するグループに分けられ、各グループのＮ個の装置それぞれは、異なるセット番号及び対応する鍵と権利のセットを有しており（ブロック６３１）、ここに、セット番号は装置のシリアル番号から導き出すことができる（ブロック６３２）。Ｎ個のコンテンツ暗号化鍵のセットが生成され権利発行者に送られる（ブロック６３４）。権利発行者は、メモリカードの様な各メモリ装置のセット識別番号をそのシリアル番号から導き出す。導き出されたセット識別番号と受け取ったＮ個の鍵のセットから、コンテンツに対する制御されたアクセスのための権利オブジェクトがコンパイルされ、識別され、ローディング用のファシリティに送られる（ブロック６３８、６４０）。それらは、ローディングのファシリティで受け取られる（ブロック６４２）。メモリカードの様な各装置毎に、ファシリティでセット識別番号がその固有のシリアル番号及び鍵と識別された権利オブジェクトの対応するセットから導き出される（ブロック６４４）。次いで、対応する権利オブジェクトがメモリカードの様な装置にロードされる。購入されたメディアタイトルは、セキュアファシリティで暗号化され、マスターコピーが請負業者のファシリティに送られ、暗号化されたタイトルがロードされる（ブロック６４６、６４８）。
【０２０３】
上で指摘したように、メモリ装置及び／又は端末の何れかのＤＲＭエージェントは、装置及び／又は端末のため上記アクションを取り扱うために使用される。
【０２０４】
カタログコンテンツ用の鍵を生成しタイトルをロードするプロセス、及び権利発行者による権利オブジェクト発行のプロセスを、図３４と図３５を参照しながら説明する。ファシリティでは、ロードされる装置はＮ個の装置又はカードを有するグループに分けられ、各グループのＮ個の装置それぞれは、異なるセット番号と、対応する鍵と権利オブジェクトのセットを有しており、ここに、セット番号は装置のシリアル番号から導き出すことができる（ブロック６５２）。このようにして、カタログメディアタイトル用のＮ個のＣＥＫのセットはセキュアファシリティにより生成され、ＣＥＫと装置ＩＤ番号は権利発行者に送られる（ブロック６５４、６５６）。メモリカードの様な各装置毎に、セット識別番号がその固有シリアル番号と識別された鍵の対応するセットから導き出される（ブロック６５８）。次いで、識別された鍵の対応するセットを使用して、カタログメディアタイトルが暗号化される（ブロック６６０）。次いで、カタログメディアタイトルは、メモリカードの様な装置に記憶される（ブロック６６２）。
【０２０５】
購入取引中に、図３５に示すように、エンドユーザーによる購入が確認されると（ブロック６７０）、セット識別番号が、権利発行者によって、装置シリアル番号から導き出され（ブロック６７２）、このセット番号とブロック６５６でファシリティから受け取ったＣＥＫを使用して、適切な権利オブジェクトがコンパイルされる（ブロック６７４）。権利発行者は、対応する権利オブジェクトをセキュアファシリティに提供する（ブロック６６０）。エンドユーザーがカタログメディアタイトルを購入するとき、ＤＲＭエージェントは、メモリ装置のシリアル番号と購入されたメディアタイトルのＩＤを、権利発行者サーバに送る（ブロック６７０）。権利発行者サーバは、そこで、メモリ装置のシリアル番号に基づいて、メモリ装置のセット番号を計算する（ブロック６７２）。権利発行者は、既にカタログメディアタイトルファイル用のＮ個の暗号化鍵セットを有しているはずである。セット番号とメディアタイトルＩＤに基づいて、権利発行者は、購入後にメモリ装置にンダウンロードされることになる対応するコンテンツ暗号化鍵を有する正しい権利オブジェクトを発行することができるようになる。
【０２０６】
（メディアコンテンツ配信の手段として他のコンテンツを有するメモリ）
暗号化されているメディアタイトル及びその様なタイトルのプレビューを有するメモリ装置の事例を上に説明している。これらの型式の装置を図３６Ａ〜図３６Ｄに示しており、装置はプリペイドコンテンツも含んでいる。これらの図中、ＰＲＥＶは、省略化されているメディアコンテンツ（例えば、一部又は低品質バージョン）を備えているプレビューコンテンツを意味し、ＦＵＬＬは、ＰＲＥＶの省略化されていない暗号化されているバージョンを意味し、ＲＯは、ＰＲＥＶの権利オブジェクトを意味する。ＰＲＥＰＡＩＤは、メモリ装置を取得する際に支払いが済んでいるコンテンツを意味する。明解さを期して、プリペイドコンテンツ用の権利オブジェクトは図から省略している。
【０２０７】
代わりに、装置１０の様なメモリ装置は、図３７Ａ〜図３７Ｃ、図３８Ａ、図３８Ｂ、図３９Ａ、及び図３９Ｂに示すように、他の型式のコンテンツも記憶することができる。図３７Ａに示すように、装置は、ＰＲＥＶだけを記憶していてもよいし、或いは図３７Ｂに示すように、ＰＲＥＶとＦＵＬＬの両方を記憶していてもよい。装置は、更に図３７Ｃに示す様にＰＲＥＶとＲＯを記憶していてもよい。このようにして、図３７Ａ〜図３７Ｃでは、装置は全ての構成でＰＲＥＶを記憶している。
【０２０８】
別の代替例では、装置１０の様なメモリ装置は、図３８Ａ及び図３８Ｂに示すように、全ての構成でＦＵＬＬを記憶している。図３８Ｂでは、これもＲＯを記憶している。
【０２０９】
更に別の代替例では、装置１０の様なメモリ装置は、図３９Ａ及び図３９Ｂに示すように、全ての構成でＲＯを記憶している。図３９Ｂでは、これもＦＵＬＬを記憶している。
【０２１０】
図３７Ａ〜図３７Ｃ、図３８Ａ、図３８Ｂ、図３９Ａ、及び図３９Ｂの構成の全てにおいて、ＰＲＥＰＡＩＤと権利オブジェクトは上記により示していないが、必要に応じて含ませてもよい。
【０２１１】
従って、図３７Ａと図４０に示すように、装置１０には、メディアタイトルの断片又は低品質バージョンの様なプレビューコンテンツしかロードされない。その様なタイトルは７０２で表示している。エンドユーザーがメモリ装置７０２によってプレビューされたメディアタイトルの省略化されていないバージョンを見る権利を購入した後、権利オブジェクト７０４は、図４０の矢印７０６によって示されているように、コンテンツ７０２の購入後にダウンロードされる。権利オブジェクトが装備されると、エンドユーザーは、プレビューされたメディアタイトルの省略化されていないバージョン（ＦＵＬＬ）をダウンロードする権利を有する。省略化されていないメディアタイトルを有していない装置からそれを有する装置への転換を図４０の矢印７１０で示している。変わりに、エンドユーザーは、図４０の矢印７１２によって表示されているように、メディアタイトル７０８の完全で省略化されていないバージョン（ＦＵＬＬ）を最初にダウンロードしてもよい。しかしながら、この時点で、エンドユーザーは、完全なメディアタイトル７０８にアクセスする権利は、その様なタイトルが暗号化されているので、まだ有しておらず、エンドユーザーに提供されているその様なタイトルを復号するのに必要なコンテンツ暗号化鍵にアクセスする権利も持っていない。しかしながら、エンドユーザーが購入した後、エンドユーザーは、図４０の矢印７１４によって示すように、権利オブジェクト７０４をダウンロードする権利を有することになる。
【０２１２】
図４０のフローを使用してメディアコンテンツを配信するプロセスは、図２３のものと幾分似ており、図４１に示している。このように、プレビューコンテンツ７０２は、ユーザーが最初にカタログメディアタイトルをプレビューできるようにする。メモリ装置は、従って、ＰＲＥＶをレンダリングし、次いで、エンドユーザーの端末を介してエンドユーザーにプレビューされているカタログメディアタイトルを購入するように促す（ブロック７２２、７２４）。購入が受信されると、次いで、完全なメディアタイトルと権利オブジェクトがメモリ装置に記憶するために供給される（ブロック７２６、７２８）。その後、エンドユーザーは、タイトルを復号することによって、購入されたメディアタイトルにアクセスし、それをレンダリングすることができるようになる。図４２では、プレビューコンテンツ７０２は、ユーザーが最初にカタログメディアタイトルをプレビューできるようにする。完全なメディアタイトルがダウンロードされ、引き続き、購入後に権利オブジェクトが受信される（この順は逆でもよい）。そこで鍵を使用して、完全なタイトルが復号されレンダリングされる。
【０２１３】
代わりに、メモリ装置１０には、図３８Ａに示すように完全な暗号化され且つ省略化されていないメディアタイトルしか配信されなくてもよい。エンドユーザーが既にその様なメディアタイトルへの権利を購入しておれば（図３８Ｂ）、メモリ装置には、メディアタイトルの復号に必要なコンテンツ暗号化鍵への権利オブジェクトとアクセスも提供されることになる。しかしながら、完全なメディアタイトル用のメモリ装置が購入前に配信される場合は、エンドユーザーはアクセスする権利を購入せねばならない。購入後、適切な権利オブジェクトがダウンロードされ（図４３の矢印７３２）、購入されたメディアタイトルの復号に必要なコンテンツ暗号化鍵へのアクセスが提供される。
【０２１４】
コンテンツ配信のその様は手段の変型として、完全な省略化されておらず且つ暗号化されているメディアタイトルを有するメモリ装置は、その様なメディアタイトルの制約付き閲覧又はアクセスしか許可しない権利オブジェクトと共に記憶される。更に、装置には、エンドユーザーの使用パターンを追跡し、ユーザープロファイルをコンパイルする追跡エージェントが記憶されている。図４４を参照されたい。制約として、メディアタイトルにアクセスする持続時間又は回数の制約が課されている（図４５のブロック７４２）。ユーザーがタイトルをレンダリングするとき、アクセスが追跡され、ユーザーアクセスプロファイルがコンパイルされる（図４５のブロック７４４）。持続時間又は回数が失効した時点で、エンドユーザーは、メモリ装置をサーバに接続しない限り、メディアタイトルにもはやアクセスすることができなくなる。メモリ装置が、ホスト又は端末を介してサーバに接続されたとき、その様なユーザープロファイルは、ここで、市場調査の様な目的でサーバにダウンロードされる。アクセスプロファイルがダウンロードされた後、権利オブジェクトは修正されるか更新され、エンドユーザーがメモリ装置上のメディアタイトルにアクセスして楽しめる持続時間又は回数の拡大が許可される（図４５のブロック７４６）。
【０２１５】
メディアコンテンツ配信のための更に別の可能な手段として、メモリ装置１０は、図３９に示す権利オブジェクトだけがロードされた状態で配信されるようにしてもよい。その様なメモリ装置は、購入されねばならず、それは、電話サービス用のＳＩＭカードの様なプリペイドサービスカードと似た機能を持つ。権利オブジェクトは、エンドユーザーが、完全な省略化されていないメディアタイトルをダウンロードして楽しむのを許可する（図４６のブロック７５２）。権利オブジェクトは、エンドユーザーが、多数のメディアタイトルをダウンロードするのを許可する。このようにして、エンドユーザーは、多数のダウンロードされたタイトルを楽しんだ後、それらを一旦メモリ装置から削除し、次に、同じタイトルを後でダウンロードすることが可能である。この方法では、エンドユーザーは、メモリ装置の記憶容量に対する制約は課されておらず、メモリ装置に対するメディアタイトルのダウンロードと削除を繰り返すことができる。
【０２１６】
（バックアップと再ロード制御）
状況によっては、フラッシュカードの様な不揮発性メモリ装置上のコンテンツを、存在しているメディアコンテンツのみならず、アクセス及び一旦アクセスされた後コンテンツに行えることを制御するあらゆる権利オブジェクトを含めて、バックアップする能力を有するのが望ましい場合もある。しかしながら、適切な制御無しにこれが行われると、権利オブジェクトを使用した制御を巧みに回避する裏口を提供することになりかねない。例えば、権利オブジェクトが、３部のコピーの様な限定された部数のコピー作成を許可した場合、権利オブジェクトは作成された部数分のコピーを見失わないようにする。設定された限定枚数のコピーが一旦作成されたら、権利オブジェクトはそれ以上のコピー作成を禁止することになる。この制約は、権利オブジェクトのバックアップコピーが、コピー作成前に記憶領域に作られ、３部のコピーが作成された後にメモリ装置に復元されてしまうと、回避される恐れがある。３部のコピーを許す元の権利オブジェクトを復元することによって、ユーザーは再度コピーを更に３部作成することができる。このプロセスは、自明の通り繰り返すことができるので、権利オブジェクトの制約は完全に回避される。この記憶領域は、権利オブジェクトのバックアップコピー製作元と同じ装置内に在っても、異なる装置内にあってもよい。
【０２１７】
これが起こるのを防止するため、権利オブジェクトは、図２〜図４に関して上で説明したものの様な保護されているパーティションに記憶される。その様な保護されているパーティションにアクセスするために、ホスト上のアプリケーションの様なアプリケーションは、アクセスが許容される前に、適切な事前に決められている証明書をメモリ装置に供給する必要がある。エンドユーザーは、通常、権利オブジェクトによって制御されているコンテンツをレンダリングしたり再生する目的で、権利オブジェクトにアクセスすることができる。エンドユーザーが、バックアップ又は復元を目的として権利オブジェクトにアクセスするのを防止するために、エンドユーザーの証明書は、エンドユーザーが権利オブジェクトを当該パーティションから読み取ることしか許可せず、権利オブジェクトをバックアップして当該パーティションに復元することを許可しない。権利オブジェクトをバックアップし復元するためには、エンドユーザーにとって入手可能なものとは異なる証明書が使用される。その様な証明書を有するアプリケーションだけが、権利オブジェクトをバックアップして当該パーティションに復元することができる。権利オブジェクトは保護されているパーティションに復元されるので、復元された権利オブジェクトは、この場合も、一方のセットは権利オブジェクトの読取りだけを許可し、他方のセットはバックアップと復元を許可する、２つの異なる証明書のセットを手段とするなどして、対応するコンテンツへのアクセスの制御に効果を発揮することになる。
【０２１８】
権利オブジェクトは、バックアップされバックアップ記憶領域に記憶された後、メモリ装置から削除されるのが望ましい。権利オブジェクトは、メモリ装置に復元された後、バックアップ記憶領域から削除されるのが望ましい。
【０２１９】
上記特性は、多種多様な不揮発性メモリ記憶装置に適用することができ、そこでは、無制約のメモリ領域に加えてセキュアメモリ領域が提供されている。
【０２２０】
上記方式に代わるものでは、証明書の第１セットを有する或る特定の認可されたアプリケーションだけが、バックアップと復元の機能を行うことができるようになっており、第１セットとは異なる証明書の第２セットを有する他のアプリケーションは、権利オブジェクトを読み取ることしかできない。その様な認可は、メモリ装置により制御されるか、例えば、登録プロセスを通すなどしてサーバにより外部的に制御されるかの何れかである。ＤＲＭ及び／又はＣＰＲＭ能力を有するアプリケーションだけが、権利オブジェクトを変更、更新、又は消去、及び／又はバックアップ及び復元する権限を有することになると期待される。この代わりの方式は、セキュアメモリ領域が提供されているか否かに関わらず有用である。
【０２２１】
上で指摘したように、権利オブジェクトは、３部のコピーの様な限定部数のコピー作成を許可する。その様な規則を実行するために、権利オブジェクトは、作成された部数のコピーを見失わないようにする。アプリケーションが権利オブジェクトをコピーしたとき、メモリ装置上に留まっている権利オブジェクトは、仮にコピーが作成された後に更に許可されているコピーがあれば、それら当該部数のコピーを見失わないように更新される必要がある。更に、コピーされる権利オブジェクトは、その様なコピーから別のコピーが作成できるか否かを正確に反映させるために、コピー中に変更される必要がある。このように、エンドユーザーがその様なコピーから更にコピーを作成する許可を望む場合は、これを可能にするため、コピーされる権利を変更するのが望ましい。例えば、権利オブジェクトは、オリジナルから合計ｎ部のコピーが作成されることを許可し、ここに、ｎは正の整数である。コピーされた権利オブジェクトは、合計ｍ部のコピーがコピーされた権利オブジェクトから作成されることを指定し、ここに、ｍはゼロ又はｎより小さい正の整数である。その様な事象では、元の権利オブジェクトの規則は、オリジナルから（ｎ−ｍ）部のコピーが作成されることしか許可しないように更新される。このように、権利オブジェクト（オリジナル及びコピーされたもの）は、それから作成されるコピーの計数又は部数、並びにコピー計数がその後の転送時にしかるべく変更される必要がある要件を含んでいる。それ以上コピーが作成できない場合は、この計数又は部数はゼロになる。
【０２２２】
メディアコンテンツを制御するための権利オブジェクトは、無制限のレンダリング又は再生の権利を指定する。或いは、レンダリング又は再生の回数も制限される。その場合には、権利オブジェクトは、なお行われ得るレンダリング又は再生の計数又は回数を含んでいることになる。
【０２２３】
バックアップ及び復元の場合には、変更、更新、又は削除を目的として権利オブジェクトにアクセスするのに必要な証明書が、読取り専用機能に必要なものとは異なる。変更、更新、又は削除を目的として権利オブジェクトにアクセスするのに必要な証明書は、バックアップ及び復元用のものと同じであってもよい。
【０２２４】
幾つかの実施形態では、その様なオブジェクト（即ち、そこからコピーが作成できないオブジェクト）のコピーを作成する試みが行われた場合、この試みは、コピーが例えば権利オブジェクトによって指定されている、別の装置に作成されたときに、その様なオブジェクトがメモリ装置（又は他の記憶装置）から削除される結果となる。削除後、コンテンツは、レンダリング、再生、又はその他の目的でそれ以上アクセスできなくなる。他の実施形態では、その様なオブジェクトのコピーを作成するという試みが行われた場合、制限付き又は無制限のレンダリング又は再生の権利が更新され、レンダリングも再生も一切行えないこと、又は権利オブジェクトへのアクセスが、単に、診断又は故障分析の様な限られた目的以外は全面的に遮断される旨表示される。
【０２２５】
権利オブジェクトは、鍵によって暗号化されるのが望ましく（装置１０内で行われるのが望ましい）、メモリ装置に提示される正しい証明書は、上に述べた方法で、その様な鍵が読取り専用又は書込みに利用できるようにする（これは、削除、変更又は更新、バックアップ、及び復元を可能にするという意味）。このようにして、コピー作成又は変更に先立ち、権利オブジェクトが先ず復号される。次いで、上に述べた方法で変更又は削除が行われ、権利オブジェクトが暗号化される。暗号化を行うのにクリプトエンジン４０が使用される。権利オブジェクトの暗号化が求められていない場合は、データストリーム上に何らの暗号動作も無しに迂回経路（図１には図示せず）が、あたかもクリプトエンジン４０が存在しないかのようにできて、ＨＤＭＡとＦＤＭＡがこの迂回経路に沿ってアービタ３６を介してＢＲＡＭ３８に直接接続される。
【０２２６】
その後、コピー作成が求められており、権利オブジェクトの規則によって許可されている場合は、権利オブジェクトはコピーできる。しかしながら、これをセキュアプロセスにするため、コピーされることになる復号された権利オブジェクトは、セッションＩＤ又は鍵を使って暗号化され、別の記憶装置に送信される。その様な別の記憶装置では、権利オブジェクトは、セッションＩＤ又は鍵を使って復号され、更に（別の記憶装置又は別のソースからの）別の鍵を使って再度暗号化され、その別の記憶装置に記憶される。このプロセスは、バックアップされ復元される権利オブジェクトについて実施される。
【０２２７】
上記特性は、制約されていないメモリ領域の他にセキュアメモリ領域が提供されているか否かに関わらず、多種多様な不揮発性記憶装置に適用される。
【０２２８】
以上、様々な実施形態を参照しながら本発明を説明してきたが、本発明の範囲を逸脱すること無く変更及び修正を加えることができ、本発明の範囲は、特許請求の範囲及びその等価物によってのみ定義されるものと理解されたい。ここで言及した全ての参考文献は、参考文献として援用される。このようにして、実施形態の幾つかは、ここではカード形態のフラッシュメモリを例にとって説明しているが、本発明は、カード形態であるか否かを問わず、磁気ディスク、光学ＣＤの様な他の型式のメモリ、並びに他の型式の書換可能不揮発性メモリシステムにも適用可能である。上で説明した段階又はアクションは、上に述べたメモリ装置及び／又は端末又はホスト装置及び／又はサーバに記憶されているソフトウェアコード（例えば、アプリケーションソフトウェア）によって実施することができる。
【図面の簡単な説明】
【０２２９】
【図１】本発明を説明するのに有用な、ホスト装置と通信しているメモリ装置のブロック図である。
【図２】本発明の態様を説明するのに有用な、メモリの異なるパーティション及び異なるパーティションに記憶されている暗号化されていないファイル及び暗号化されているファイルの概略図であり、或る特定のパーティション及び暗号化されているファイルへのアクセスは、アクセスポリシー及び認証手順によって制御されている。
【図３】メモリ内の異なるパーティションを示しているメモリの概略図である。
【図４】図３に示すメモリの異なるパーティションのファイル場所表の概略図であり、パーティション内のファイルの内の幾つかは暗号化されている。
【図５】本発明の態様を説明するのに有用である、アクセスが制御された記録グループ内のアクセス制御記録及び関係付けられた鍵リファレンスの概略図である。
【図６】本発明の態様を説明するのに有用である、アクセスが制御された記録グループによって形成されたツリー構造及びアクセスが制御された記録の概略図である
【図７】ツリー形成のプロセスを説明するために、アクセスが制御された記録グループの３つの階層ツリーを示している概略図である。
【図８Ａ】図８Ａは、システムアクセス制御記録を作成し使用するために、ホスト装置とメモリカードの様なメモリ装置によって実行されるプロセスを説明しているフローチャートである。
【図８Ｂ】図８Ｂは、システムアクセス制御記録を作成し使用するために、ホスト装置とメモリカードの様なメモリ装置によって実行されるプロセスを説明しているフローチャートである。
【図９】本発明の態様を説明するために、システムアクセス制御記録を使用してアクセスが制御された記録グループを作成するプロセスを説明しているフローチャートである。
【図１０】アクセス制御記録を作成するためのプロセスを説明しているフローチャートである。
【図１１】階層ツリーの特定のアプリケーションを説明するのに有用な、２つのアクセス制御記録グループの概略図である。
【図１２】特定の権利の委託のプロセスを説明しているフローチャートである。
【図１３】図１２の委託のプロセスを説明するための、アクセスが制御された記録グループ及びアクセス制御記録の概略図である。
【図１４】暗号化及び／又は復号を目的として鍵を作成するためのプロセスを説明しているフローチャートである。
【図１５】アクセスされた制御記録に従って、アクセス権及び／又はデータアクセスの許可を削除するプロセスを説明しているフローチャートである。
【図１６】アクセス権及び／又はアクセスに対する許可が抹消されるか期限切れになったときにアクセスを要求するプロセスを説明しているフローチャートである。
【図１７Ａ】図１７Ａは、認証及びアクセスのセッションの、幾つかのセッションが開いているときのセッションを説明しているフロー図である。
【図１７Ｂ】図１７Ｂは、認証及びアクセスのセッションの、幾つかのセッションが開いているときのセッションを説明しているフロー図である。
【図１８】メディアコンテンツを安全に記憶し、そこに記憶されているメディアコンテンツを制御された方法で送付するために、メモリ装置が使用されている環境を示している。
【図１９Ａ】図１９Ａは、本発明の様々な実施形態を説明するのに有用な、メディアコンテンツ配信用の異なる手段を説明しているフロー図である。
【図１９Ｂ】図１９Ｂは、本発明の様々な実施形態を説明するのに有用な、メディアコンテンツ配信用の異なる手段を説明しているフロー図である。
【図１９Ｃ】図１９Ｃは、本発明の様々な実施形態を説明するのに有用な、メディアコンテンツ配信用の異なる手段を説明しているフロー図である。
【図１９Ｄ】図１９Ｄは、本発明の様々な実施形態を説明するのに有用な、メディアコンテンツ配信用の異なる手段を説明しているフロー図である。
【図２０】異なる機能が装置の異なる領域に記憶されているメモリ措置の１つの実施形態のブロック図である。
【図２１】図１９Ａから図１９Ｄ及び本出願の他の図の異なるメディアコンテンツ配信スキームを実施するために使用されているシステムアーキテクチャのブロック図である。
【図２２】メディアコンテンツ配信のための１つの可能な手段を説明するため、支払い済みメディアコンテンツ及び未払いのカタログメディアを含んでいるメモリ装置を説明しているブロック図である。
【図２３Ａ】図２３Ａは、図２２の装置が関与するコンテンツロック解除プロセスを説明しているフローチャートである。
【図２３Ｂ】図２３Ｂは、図２２の装置が関与するコンテンツロック解除プロセスを説明しているフローチャートである。
【図２３Ｃ】図２３Ｃは、図２２の装置が関与するコンテンツロック解除プロセスを説明しているフローチャートである。
【図２４】アクセス制御記録（ＡＣＲ）と委託属性を使用して、図２２の装置内のロックされているカタログメディアコンテンツをロック解除する更に別の実施形態を説明しているブロック図である。
【図２５Ａ】図２５Ａは、コンテンツレンダリングのプロセスを説明しているフローチャートである。
【図２５Ｂ】図２５Ｂは、コンテンツレンダリングのプロセスを説明しているフローチャートである。
【図２６】本発明の更なる特徴を説明する、不揮発性書換可能メモリ装置の安全アーキテクチャ又は制御構造のブロック図である。
【図２７】図２７は、エンドユーザー端末とメモリ装置の間の相互認証のためのアーキテクチャ全体を示している。
【図２８】図２８は、エンドユーザー端末とメモリ装置の間の相互認証のためのアーキテクチャ全体を示している。
【図２９】図２９は、エンドユーザー端末とメモリ装置の間の相互認証のためのアーキテクチャ全体を示している。
【図３０】図３０は、エンドユーザー端末とメモリ装置の間の相互認証のためのアーキテクチャ全体を示している。
【図３１】図３１は、エンドユーザー端末とメモリ装置の間の相互認証のためのアーキテクチャ全体を示している。
【図３２】図３２は、エンドユーザー端末とメモリ装置の間の相互認証のためのアーキテクチャ全体を示している。
【図３３Ａ】図３３Ａは、プリペイド並びにカタログコンテンツのための鍵と権利オブジェクトの生成とローディングのプロセスを説明しているフローチャートである。
【図３３Ｂ】図３３Ｂは、プリペイド並びにカタログコンテンツのための鍵と権利オブジェクトの生成とローディングのプロセスを説明しているフローチャートである。
【図３４】図３４は、プリペイド並びにカタログコンテンツのための鍵と権利オブジェクトの生成とローディングのプロセスを説明しているフローチャートである。
【図３５】図３５は、プリペイド並びにカタログコンテンツのための鍵と権利オブジェクトの生成とローディングのプロセスを説明しているフローチャートである。
【図３６Ａ】図３６Ａは、本発明の実施形態を説明するための、暗号化されたメディアタイトルとその様なタイトルのプレビューを有するメモリ装置の概略図である。
【図３６Ｂ】図３６Ｂは、本発明の実施形態を説明するための、暗号化されたメディアタイトルとその様なタイトルのプレビューを有するメモリ装置の概略図である。
【図３６Ｃ】図３６Ｃは、本発明の実施形態を説明するための、暗号化されたメディアタイトルとその様なタイトルのプレビューを有するメモリ装置の概略図である。
【図３６Ｄ】図３６Ｄは、本発明の実施形態を説明するための、暗号化されたメディアタイトルとその様なタイトルのプレビューを有するメモリ装置の概略図である。
【図３７Ａ】図３７Ａは、本発明の更なる実施形態を説明するための、プレビューを有するメモリ装置の概略図である。
【図３７Ｂ】図３７Ｂは、本発明の更なる実施形態を説明するための、プレビューを有するメモリ装置の概略図である。
【図３７Ｃ】図３７Ｃは、本発明の更なる実施形態を説明するための、プレビューを有するメモリ装置の概略図である。
【図３８Ａ】図３８Ａは、本発明の更なる実施形態を説明するための、暗号化されたメディアタイトルを有するメモリ装置の概略図である。
【図３８Ｂ】図３８Ｂは、本発明の更なる実施形態を説明するための、暗号化されたメディアタイトルを有するメモリ装置の概略図である。
【図３９Ａ】図３９Ａは、本発明の更なる実施形態を説明するための、権利オブジェクトを有するメモリ装置の概略図である。
【図３９Ｂ】図３９Ｂは、本発明の更なる実施形態を説明するための、権利オブジェクトを有するメモリ装置の概略図である。
【図４０】図４０は、本発明の実施形態を説明するため、図３６Ａから図３９Ｂのメモリ装置を使用してメディアコンテンツを配信するためのプロセスを説明しているフローチャートである。
【図４１】図４１は、本発明の実施形態を説明するため、図３６Ａから図３９Ｂのメモリ装置を使用してメディアコンテンツを配信するためのプロセスを説明しているフローチャートである。
【図４２】図４２は、本発明の実施形態を説明するため、図３６Ａから図３９Ｂのメモリ装置を使用してメディアコンテンツを配信するためのプロセスを説明しているフローチャートである。
【図４３】図４３は、本発明の実施形態を説明するため、図３６Ａから図３９Ｂのメモリ装置を使用してメディアコンテンツを配信するためのプロセスを説明しているフローチャートである。
【図４４】図４４は、本発明の実施形態を説明するため、図３６Ａから図３９Ｂのメモリ装置を使用してメディアコンテンツを配信するためのプロセスを説明しているフローチャートである。
【図４５】図４５は、本発明の実施形態を説明するため、図３６Ａから図３９Ｂのメモリ装置を使用してメディアコンテンツを配信するためのプロセスを説明しているフローチャートである。
【図４６】図４６は、本発明の実施形態を説明するため、図３６Ａから図３９Ｂのメモリ装置を使用してメディアコンテンツを配信するためのプロセスを説明しているフローチャートである。

【特許請求の範囲】
【請求項１】
セキュアメモリ領域及び少なくとももう１つのメモリ領域を有している不揮発性書換可能メモリデバイスにより、メディアタイトルを配信する方法であって、前記デバイスは、
前記セキュア領域に記憶されている１つ又は複数のコンテンツ暗号化鍵と、
前記デバイスのメモリ領域に記憶され、前記コンテンツ暗号化鍵（複数鍵）により暗号化されているメディアタイトル、前記メディアタイトルの選択された部分、及び／又は当該タイトルの制約無しにアクセスできる低品質バージョンを含んでいるコンテンツと、を備えており、前記方法は、
権利及び／又は規則に関する情報を受け取る段階と、
前記デバイスの前記セキュアメモリ領域に、認証情報が前記デバイスにより受け取られると前記デバイスに記憶されている選択された暗号化されているメディアタイトルを復号するためのコンテンツ暗号化鍵（複数鍵）へのアクセスを許可する、前記権利及び／又は規則を記憶する段階と、
少なくとも幾つかの前記メディアタイトルの前記選択された部分又は当該タイトルの低品質バージョンを、レンダリングするためにホストに供給する段階と、から成る方法。
【請求項２】
前記認証情報を受け取る段階と、前記デバイスに記憶されている選択された暗号化されているメディアタイトルを、コンテンツ暗号化鍵を使用して復号する段階と、を更に含んでいる、請求項１に記載の方法。
【請求項３】
当該認証情報が受け取られる前に、前記認証情報をセッション鍵で暗号化する段階を更に備えている、請求項１に記載の方法。
【請求項４】
前記ホストが、前記暗号化されているメディアタイトルをレンダリングするために前記デバイスを操作する方法であって、前記方法は、
前記ホストをサーバに接続する段階と、
購入認証を前記ホストから前記サーバに送る段階と、
前記ホスト側で、前記サーバから前記認証情報及び前記権利及び／又は規則に関する情報を受け取る段階と、
前記認証情報及び前記権利及び／又は規則に関する情報を前記デバイスに供給する段階と、を更に含んでいる、請求項１に記載の方法。
【請求項５】
前記デバイスに記憶されている前記選択された暗号化されているメディアタイトルを復号する段階と、
前記復号されたメディアタイトルをユーザー向けにレンダリングするために前記ホストに送る段階と、を更に含んでいる、請求項４に記載の方法。
【請求項６】
前記復号された、選択された暗号化されているメディアタイトルをセッション鍵で暗号化する段階を更に含んでいる、請求項５に記載の方法。
【請求項７】
前記ユーザーに当該メディアタイトルを購入するように促す段階を更に含んでいる、請求項１に記載の方法。
【請求項８】
前記メディアタイトルはファイルに編成され、各ファイルは対応するコンテンツ暗号化鍵により暗号化され、前記デバイスは、前記ファイルの内の少なくとも幾つかのそれぞれについて、当該ファイルの前記対応するコンテンツ暗号化鍵を使用するための許可及び／又は制約を含むアクセス制御記録を更に備えており、前記ファイルの内の１つの第１アクセス制御記録は、前記認証情報が提示されたとき、前記対応するコンテンツ暗号化鍵にアクセスする前記許可の委譲を別のアクセス制御記録に許可するものであって、前記方法は、
前記認証情報を前記第１アクセス制御記録に提示する段階と、
前記第１アクセス制御記録に、その対応するコンテンツ暗号化鍵にアクセスする許可を、前記第１アクセス制御記録とは異なる第２アクセス制御記録に委譲させる段階と、を更に含んでいる、請求項１に記載の方法。
【請求項９】
複数のアクセス制御記録のそれぞれに、その対応するコンテンツ暗号化鍵にアクセスする許可を、前記第１及び前記複数のアクセス制御記録とは異なる第２アクセス制御記録に委譲させる段階を更に含んでいる、請求項８に記載の方法。
【請求項１０】
不揮発性書換可能メモリデバイスによりメディアタイトルを配信するための方法であって、前記デバイスは、
対応するコンテンツ暗号化鍵によりそれぞれに暗号化されるメディアファイルと、前記ファイルの内の少なくとも幾つかのそれぞれのための制御構造を備え、前記構造は、当該ファイルの前記対応するコンテンツ暗号化鍵を使用するための許可及び／又は制約を含み、前記ファイルの内の１つの第１制御構造は、認証情報が提示されたときに、前記対応するコンテンツ暗号化鍵にアクセスするための許可の委譲を別の制御構造に許可するものであって、前記方法は、
前記認証情報を前記第１制御構造に提示する段階と、
前記第１制御構造に、その対応するコンテンツ暗号化鍵にアクセスする許可を、前記第１制御構造とは異なる第２制御構造に委譲させる段階と、を含んでいる方法。
【請求項１１】
前記第１及び第２制御構造は、アクセス制御記録を備えている、請求項１０に記載の方法。
【請求項１２】
セキュアメモリ領域と少なくとももう１つのメモリ領域とを有する不揮発性書換可能メモリデバイスによりメディアタイトルを配信するための方法であって、前記デバイスは、
前記デバイスに記憶されている暗号化されたコンテンツが関与し、前記セキュアメモリ領域に記憶されている、１つ又は複数のコンテンツ暗号化鍵及び権利及び／又は規則と、
前記デバイスのメモリ領域に記憶され、前記１つ又は複数のコンテンツ暗号化キーにより暗号化されているメディアタイトルを含み、前記権利及び／又は規則は、前記メディアタイトルの内の少なくとも幾つかの選択された部分又は当該タイトルの低品質バージョンだけが制約無しにアクセスできることを、又は当該タイトルが制限回数だけ再生され得ることを指定するコンテンツと、
を備え、
前記方法は、
前記コンテンツ暗号化鍵（複数鍵）へのアクセスを提供するための権利及び／又は規則に関する情報を受け取る段階と、
前記デバイスに記憶された、選択され暗号化されているメディアタイトルへのアクセスを許可するために、認証情報に応じて前記コンテンツ暗号化鍵（複数鍵）へのアクセスを提供する前記権利及び／又は規則を変更する段階と、から成る方法。
【請求項１３】
ホストが、前記暗号化されているメディアタイトルをレンダリングするために前記デバイスを操作する方法であって、前記方法は、
前記ホストをサービスプロバイダに接続する段階と、
前記ホストからの購入認証を前記サービスプロバイダに送る段階と、
前記認証情報と、前記サービスプロバイダから、前記デバイス内の前記権利及び／又は規則を変更して前記コンテンツ暗号化鍵（複数鍵）へのアクセスを提供できるようにする情報を受け取る段階と、を更に含んでいる、請求項１２に記載の方法。
【請求項１４】
前記受け取った情報に応じて前記１つ又は複数のコンテンツ暗号化鍵（複数鍵）の内の少なくとも１つへのアクセスを提供するために、前記デバイスに記憶されている前記権利及び／又は規則を変更する段階を更に含んでいる、請求項１３に記載の方法。
【請求項１５】
前記デバイスに記憶されている選択された暗号化されているメディアタイトルを復号する段階と、
前記復号されたメディアタイトルをユーザー向けにレンダリングするために前記ホストに送る段階と、を更に含んでいる、請求項１４に記載の方法。
【請求項１６】
前記復号された、選択された暗号化されているメディアタイトルをセッション鍵で暗号化する段階を更に含んでいる、請求項１５に記載の方法。
【請求項１７】
ユーザー向けに、前記メディアタイトルの内の少なくとも幾つかの前記選択された部分又は当該タイトルの低品質バージョンを再生するか、又は当該タイトルを制限回数だけ再生する段階と、
前記ユーザーに当該メディアタイトルを購入するように促す段階と、を更に含んでいる、請求項１２に記載の方法。
【請求項１８】
前記デバイスに記憶されている前記選択された暗号化されているメディアタイトルを、前記１つ又は複数のコンテンツ暗号化鍵により復号する段階と、
前記復号されたメディアタイトルをユーザー向けにレンダリングする段階と、を更に含んでいる、請求項１２に記載の方法。
【請求項１９】
当該情報が受け取られる前に、前記認証情報をセッション鍵で暗号化する段階を更に含んでいる、請求項１２に記載の方法。
【請求項２０】
不揮発性書換可能メモリデバイスによりメディアタイトルを配信するための方法であって、前記デバイスは前記デバイスの中に記憶されているシステムエージェントを備え、
前記方法は、
前記デバイスが正規であると証明できるようにする情報を提供する段階と、
前記デバイスに記憶されている暗号化されているコンテンツへのアクセスに関与する権利及び／又は規則を制御するために、第１サービスプロバイダが、前記デバイス内に第１の対応する制御構造を作成できるように前記エージェントを使用する段階と、を備えている方法。
【請求項２１】
前記第１サービスプロバイダとは異なる少なくとも追加のサービスプロバイダが、前記デバイス内に前記第１制御構造とは異なる追加の対応する制御構造を作成できるように前記エージェントを使用する段階を更に含んでいる、請求項２０に記載の方法。
【請求項２２】
前記制御構造のそれぞれは、前記デバイスに記憶されている暗号化されているコンテンツにアクセスするための権利及び／又は規則を指定する方法であて、前記方法は、前記サービスプロバイダのそれぞれが、その対応する制御構造により指定された前記権利及び／又は規則に対する排他的制御を有することができるようにする段階を更に含んでいる、請求項２１に記載の方法。
【請求項２３】
前記サービスプロバイダは、互いに独立的に前記デバイスと対話し、或るサービスプロバイダの前記対応する制御構造により指定されている前記権利及び／又は規則は、別のサービスプロバイダによってアクセス、請求項２２に記載の方法。
【請求項２４】
前記デバイスで、前記第１サービスプロバイダと関係付けられているメディアコンテンツを受け取る段階と、前記デバイスで、前記メディアコンテンツを記憶する段階と、を更に含んでいる、請求項２０に記載の方法。
【請求項２５】
ホストで動作している１つ又は複数のアプリケーションが、前記暗号化されているメディアタイトルをレンダリングするために前記デバイスと通信する方法であって、前記方法は、
前記アプリケーション（複数のアプリケーション）の事前に決められている証明書の提示に応じて、前記暗号化されているメディアタイトルを復号して、前記復号されたメディアタイトルを前記１つ又は複数のアプリケーションに（複数のアプリケーション）再生用に供給する段階を更に含んでいる、請求項２０に記載の方法。
【請求項２６】
前記デバイスが、証明書を記憶し、提示された前記証明書が前記記憶されている証明書と比較して受け入れ可能なときだけ、前記暗号化されているメディアタイトルを復号して、それらが再生できるようにする、請求項２５に記載の方法。
【請求項２７】
ホストが前記デバイスを操作し、前記方法は、前記デバイスと前記第１サービスプロバイダに接続されるホストの間にセキュアチャネルを確立する段階を更に含み、前記エージェントは、前記第１サービスプロバイダが、前記セキュアチャネルを通して前記第１制御構造を作成できるようにする、請求項２０に記載の方法。
【請求項２８】
ホストが前記デバイスを操作する方法であって、前記方法は、
前記デバイスを正規であると認証し、前記デバイスが前記ホストを正規であると認証する段階と、
前記デバイスと前記ホストの間にセキュア接続を確立する段階と、を更に含んでいる、請求項２０に記載の方法。
【請求項２９】
前記デバイスは、前記デバイスに記憶されているメディアコンテンツを暗号化するために使用されるコンテンツ暗号化鍵を記憶し、前記第一制御構造は、前記デバイスに記憶されている前記コンテンツ暗号化鍵の１つ又はそれ以上へアクセスするための権利及び／又は規則を指定し、前記権利及び／又は規則は、前記暗号化されているメディアコンテンツを復号するための前記コンテンツ暗号化鍵（複数鍵）へのアクセスを許可し、前記方法は、前記暗号化されているコンテンツを復号するための前記権利及び／又は規則に従って前記コンテンツ暗号化鍵の内の１つ又はそれ以上へのアクセスを許容する段階を更に含んでいる、請求項２０に記載の方法。
【請求項３０】
前記第１制御構造は、前記暗号化されているメディアコンテンツを復号するための前記コンテンツ暗号化鍵の内の１つ又はそれ以上へのアクセスがサブスクリプションに基づくものになるように、前記権利及び／又は規則を指定する、請求項２０に記載の方法。
【請求項３１】
不意揮発性書換可能メモリデバイスによりメディアタイトルを配信する方法であって、
前記デバイスは、暗号化されているメディアコンテンツと、前記メディアコンテンツを暗号化するために使用されるコンテンツ暗号化鍵と、及び事前に決められている証明書が前記デバイスに提示されたときに前記コンテンツ暗号化鍵の内の１つ又はそれ以上にアクセスするための権利及び／又は規則を指定している制御構造と、を備えている方法であって、前記方法は、
前記デバイスに提示された証明書が前記事前に決められている証明書であるか否かを判定する段階と、
前記事前に決められている証明書が提示されたときに、前記暗号化されているコンテンツを復号するための前記権利及び／又は規則に従って前記コンテンツ暗号化鍵の内の１つ又はそれ以上にアクセスを許容する段階と、から成る方法。
【請求項３２】
複数のホストによってレンダリングされ得るメディアタイトルを記憶する不揮発性書換可能メモリデバイスによりメディアタイトルを配信するための方法であって、
前記デバイスは、
暗号化されているメディアタイトルを記憶するための第１メモリ領域と、前記暗号化されているメディアコンテンツへのアクセスを制御する制御情報を記憶するための第２安全メモリ領域であって、前記制御情報は、それぞれが前記第１メモリ領域に記憶されている暗号化されているメディアタイトルのセットと関係付けられており且つそれぞれが対応する証明書を有している１つ又はそれ以上のアカウントに関する情報を含んでいる第２安全メモリ領域と、を備えており、
前記方法は、
暗号化されているメディアコンテンツにアクセスするための要求と証明書をホストから受け取る段階と、
前記ホストによって提示された証明書を、前記ホストによって要求されている、暗号化されているメディアタイトルが関係付けられている特定のアカウントの証明書と照合する段階と、
前記要求されている、暗号化されているメディアタイトルが見えるように及びアクセスできるようにするべきか否かを判定する段階と、
前記ホストにより提示された証明書が、前記ホストによって要求されている、暗号化されているメディアタイトルが関係付けられている前記特定のアカウントの証明書と一致したときに、前記要求されている、暗号化されているメディアタイトルを復号して、前記復号されたメディアタイトルを前記ホストにレンダリング用に供給する段階と、から成る方法。
【請求項３３】
複数のホストによりレンダリングされ得るメディアタイトルを記憶する不揮発性書換可能メモリデバイスによりメディアタイトルを配信するための方法であって、
前記デバイスは、
アクセスがサービスプロバイダによって制御される暗号化されているメディアタイトルを記憶するための第１メモリ領域と、前記第１メモリ領域に記憶されている前記暗号化されているメディアタイトルへのアクセスを制御する制御情報を記憶するための第２安全メモリ領域であって、前記制御情報は、前記サービスプロバイダにより制御されている前記暗号化されているメディアタイトルを識別するための識別情報を含んでいる前記第２安全メモリ領域を備えており、
前記方法は、
前記サービスプロバイダと関係付けられている前記暗号化されているメディアタイトルをホストが利用可能か否かを判定するために、当該ホストによって提示された証明書を、前記装置内の前記識別情報と照合する段階と、
前記ホストにより提示された証明書が照合され合格したとき、前記サービスプロバイダと関係付けられている、暗号化されているメディアタイトルを復号して、前記復号されたメディアタイトルを前記ホストにレンダリング用に供給する段階と、から成る方法。
【請求項３４】
ホストにより提示された前記証明書は、当該証明書の照合に合格するために、前記サービスプロバイダの前記識別情報を含んでいる、請求項３３に記載の方法。
【請求項３５】
前記暗号化されているメディアタイトルは、アカウント識別情報を有する特定のアカウントと関係付けられている、暗号化されたメディアタイトルのセットを含み、前記照合は、ホストにより提示された証明書を前記アカウントの前記識別情報に反していないか否かを調べ、前記ホストにより要求されているメディアタイトルを当該ホストが利用可能か否かを判定し、
暗号化されているメディアタイトルが前記セット内に在ると判定され、及び前記ホストにより提示された証明書が前記アカウントの前記識別情報を含んでいるとき、前記ホストにより要求されている、暗号化されているメディアタイトルを復号して、前記復号されたメディアタイトルを前記ホストにレンダリング用に供給する段階を含んでいる、請求項３３に記載の方法。
【請求項３６】
前記アカウントは、エンドユーザーの家族と関係付けられ、前記アカウントの前記識別情報は、前記エンドユーザーの前記家族の識別情報を含み、前記照合は、ホストにより提示された証明書が、前記エンドユーザーの家族の誰かの識別情報を含んでいるか否かの照合を含む、請求項３５に記載の方法。
【請求項３７】
前記アカウントは、個別のエンドユーザーと関係付けられ、前記アカウントの前記識別情報は、前記個別のエンドユーザーの識別情報を含み、前記照合は、ホストにより提示された証明書が、前記個別のエンドユーザーの識別情報を含んでいるか否かの照合を含む、請求項３５に記載の方法。
【請求項３８】
不揮発性書換可能メモリデバイスにメディアコンテンツをロードするための方法であって、
権利オブジェクトとコンテンツ暗号化鍵を取得する段階と、
前記オブジェクトを、複数の不揮発性書換可能メモリデバイスのそれぞれのメモリ領域にロードする段階と、
引き続き、第１メディアコンテンツを、前記複数の不揮発性書換可能メモリデバイスのそれぞれのメモリ領域にロードする段階であって、前記メディアコンテンツは、前記コンテンツ暗号化鍵の内の１つ又はそれ以上により暗号化され、前記権利オブジェクトは、前記コンテンツ暗号化鍵へのアクセスを制御する、前記第１メディアコンテンツをロードする段階と、から成る方法。
【請求項３９】
複数の不揮発性書換可能メモリデバイスのそれぞれのメモリにセキュア領域を作成する段階を更に含み、前記権利オブジェクトは前記セキュア領域にロードされる、請求項３８に記載の方法。
【請求項４０】
前記第１メディアコンテンツは、前記コンテンツのマスターコピーを生成することによりロードされる、請求項３８に記載の方法。
【請求項４１】
前記第１メディアコンテンツの前記マスターコピーは、前記コンテンツ暗号化鍵により暗号化されたコンテンツを備えている、請求項４０に記載の方法。
【請求項４２】
前記権利オブジェクトをロードする段階は、セキュアファシリティでなされる、請求項４０に記載の方法。
【請求項４３】
前記入手する段階は、コンテンツ暗号化鍵を生成する段階と、前記コンテンツ暗号化鍵を権利発行者に送る段階と、前記権利オブジェクトを前記権利発行者から受け取る段階を含んでいる、請求項３８に記載の方法。
【請求項４４】
前記デバイスのそれぞれは固有の識別コードを有し、前記デバイスは、それぞれが正の整数であるＮ個のデバイスを含んでいるセットに分割され、前記セットのそれぞれは、セット識別コードと、当該セットの前記デバイス内の暗号化されているコンテンツへのアクセスを制御するための対応する権利オブジェクトとを有し、各セット識別コードは、前記セットの前記デバイスの前記識別コードから導き出すことができる方法であって、
前記デバイスのそれぞれの前記セット識別コードを、その固有の識別コードから導き出す段階と、
前記導き出されたセット識別コードに対応する前記権利オブジェクトを、当該デバイスにロードする段階と、を含んでいる、請求項３８に記載の方法。
【請求項４５】
各デバイスの前記識別コードはそのシリアル番号であり、前記セット識別コードを導き出すことは、前記シリアル番号を事前に決められた数で割る段階を含んでいる、請求項４４に記載の方法。
【請求項４６】
制約の無いプレビューを許可するために、前記第１メディアコンテンツの暗号化されていない部分を前記デバイスにロードする段階を更に含んでいる、請求項４５に記載の方法。
【請求項４７】
前記権利オブジェクトは、前記暗号化されている第１メディアコンテンツの制限されたプレビューを許可する、請求項４６に記載の方法。
【請求項４８】
前記権利オブジェクトは、前記暗号化されているメディアコンテンツが、制限回数分再生されることを許可している、請求項４７に記載の方法。
【請求項４９】
複数の不揮発性書換可能メモリデバイスに記憶されている、暗号化されているメディアコンテンツの配信を制御するための方法にであって、前記デバイスは、固有の識別コードを有しており、前記デバイスは、それぞれがＮ個のデバイスを含んでいるセットに分割され、前記セットのそれぞれは、セット識別コードと、当該セットの前記デバイス内の暗号化されているコンテンツへのアクセスを制御するための対応する権利オブジェクトとを有し、
前記デバイスの少なくとも１つの前記セット識別コードを、その固有の識別コードから導き出す段階と、
前記導き出された識別コードから、前記少なくとも１つのデバイス内の暗号化されているコンテンツへのアクセスを制御するための前記権利オブジェクトを識別する段階と、
前記識別された権利オブジェクトをローディング用に前記少なくとも１つのデバイスに提供する段階と、から成る方法。
【請求項５０】
各デバイスの前記識別コードはそのシリアル番号であり、前記セット識別コードを導き出すことは、前記シリアル番号を事前に決められた数で割る段階を含んでいる、請求項４９に記載の方法。
【請求項５１】
不揮発性書換可能メモリカードを使用してメディアコンテンツを配信するための方法であって、前記カードはメモリ領域を有し、前記カードは、前記カードの前記メモリ領域に記憶されている第１メディアコンテンツを備え、前記コンテンツは、少なくとも幾つかのメディアタイトルの選択された暗号化されていない部分又は当該メディアタイトルの低品質の暗号化されていないバージョンだけを含み、前記方法は、
少なくとも幾つかのメディアタイトルの前記選択された暗号化されていない部分又は当該メディアタイトルの低品質の暗号化されていないバージョンをユーザーにレンダリングする段階と、
前記少なくとも幾つかのメディアタイトルのノーカットの又は高品質のバージョン（複数バージョン）にアクセスする権利の購入に関してユーザーに問い合わせを送る段階と、から成る方法。
【請求項５２】
前記メディアタイトルは、前記少なくとも幾つかのメディアタイトルの暗号化されているノーカットの又は高品質のバージョン（複数バージョン）にアクセスする権利の購入に関するコンテンツ情報を含み、前記方法は、前記メディアタイトルから前記情報を取得する段階を更に含み、前記送る段階は、前記問い合わせの一環として前記情報を前記ユーザーに送る、請求項５１に記載の方法。
【請求項５３】
前記少なくとも幾つかのメディアタイトルの前記暗号化されているノーカットの又は高品質のバージョン（複数のバージョン）を受け取る段階と、購入の証明が提供された後、前記少なくとも幾つかのメディアタイトルの前記暗号化されているバージョン（複数のバージョン）に関する前記権利及び／又は規則を実行する段階を更に含んでいる、請求項５２に記載の方法。
【請求項５４】
不揮発性書換可能メモリカードを使用してメディアコンテンツを配信するための方法であって、前記カードはメモリ領域とセキュアメモリ領域を有し、前記カードは、前記カードの前記メモリ領域に記憶されている第１メディアコンテンツを備え、前記コンテンツは、少なくとも幾つかのメディアタイトルの選択された暗号化されていない部分又は当該メディアタイトルの低品質の暗号化されていないバージョンだけを含み、前記方法は、
前記少なくとも幾つかのメディアタイトルの暗号化されているバージョン（複数バージョン）であって、前記１つ又は複数のコンテンツ暗号化鍵（複数鍵）により暗号化されたバージョンが関与する１つ又は複数のコンテンツ暗号化鍵（複数鍵）と権利及び／又は規則を受け取る段階と、
前記権利及び／又は規則を前記セキュアメモリ領域に記憶する段階と、から成る方法。
【請求項５５】
前記少なくとも幾つかのメディアタイトルの前記暗号化されているバージョン（複数バージョン）を受け取る段階と、前記少なくとも幾つかのメディアタイトルの前記暗号化されているバージョン（複数バージョン）に関する前記権利及び／又は規則を実行する段階を更に含んでいる、請求項５４に記載の方法。
【請求項５６】
不揮発性書換可能メモリカードを使用してメディアコンテンツを配信するための方法であって、前記カードはメモリ領域を有し、前記カードは、前記カードの前記メモリ領域に記憶されている第１メディアコンテンツを備え、前記コンテンツは、少なくとも幾つかのメディアタイトルの選択された暗号化されていない部分又は当該メディアタイトルの低品質の暗号化されていないバージョンだけを含み、前記方法は、
１つ又は複数のコンテンツ暗号化鍵（複数鍵）により暗号化されている少なくとも幾つかのメディアタイトルを受け取る段階と、
前記暗号化されている少なくとも幾つかのメディアタイトルを前記メモリ領域に記憶する段階と、から成る方法。
【請求項５７】
前記暗号化されている少なくとも幾つかのメディアタイトルが関与する前記１つ又は複数のコンテンツ暗号化鍵（複数鍵）と権利及び／又は規則を受け取る段階と、前記権利及び／又は規則を前記セキュアメモリ領域に記憶する段階と、前記暗号化されている少なくとも幾つかのメディアタイトルに関する前記権利及び／又は規則を実行する段階を更に含んでいる、請求項５６に記載の方法。
【請求項５８】
前記権利及び／又は規則は、前記少なくとも幾つかの暗号化されているメディアタイトルの購入の証明後に、前記１つ又は複数のコンテンツ暗号化鍵（複数鍵）へのアクセスを許可し、前記方法は、前記１つ又は複数のコンテンツ暗号化鍵（複数鍵）へのアクセスを提供する段階と、前記少なくとも幾つかの暗号化されているメディアタイトルを、当該タイトルの購入の証明が提供された後に、当該鍵（複数鍵）を使用して、復号する段階を更に含んでいる、請求項５７に記載の方法。
【請求項５９】
不揮発性書換可能メモリカードを使用してメディアコンテンツを配信するための方法であって、前記カードはメモリ領域を有し、前記カードは、前記カードの前記メモリ領域に記憶されているメディアコンテンツを備え、前記コンテンツは、１つ又は複数のコンテンツ暗号化鍵（複数鍵）を使用して暗号化されている少なくとも幾つかのメディアタイトルを含み、前記方法は、
前記カードに記憶されている前記メディアコンテンツが関与する前記１つ又は複数のコンテンツ暗号化鍵（複数鍵）と権利及び／又は規則を受け取る段階と、
前記権利及び／又は規則を前記カードのセキュアメモリ領域に記憶する段階と、から成る方法。
【請求項６０】
前記暗号化されている少なくとも幾つかのメディアタイトルを、前記権利及び／又は規則に従って復号するために、前記１つ又は複数のコンテンツ暗号化鍵（複数鍵）を使用する段階を更に含んでいる、請求項５９に記載の方法。
【請求項６１】
不揮発性書換可能メモリカードを使用してメディアコンテンツを配信するための方法であって、前記カードはメモリ領域を有し、前記カードは、前記カードの前記メモリ領域に記憶されているメディアコンテンツを備え、前記コンテンツは、少なくとも幾つかのメディアタイトルを含み、前記方法は、
前記少なくとも幾つかのメディアタイトルに時間制限内にアクセスすることを許容する段階と、
前記少なくとも幾つかのメディアタイへのアクセスを追跡する段階と、
前記追跡されたアクセスに基づいてアクセスプロファイルをコンパイルする段階と、から成る方法。
【請求項６２】
前記少なくとも幾つかのメディアタイトルは、１つ又は複数のコンテンツ暗号化鍵（複数鍵）を使用して暗号化され、前記カードは、前記アクセスプロファイルがダウンロードされると、少なくとも幾つかのメディアタイトルへの時間制限アクセスに対して延長を提供する権利及び／又は規則を記憶している、請求項６１に記載の方法。
【請求項６３】
前記少なくとも幾つかのメディアタイトルは、１つ又は複数のコンテンツ暗号化鍵（複数鍵）を使用して暗号化され、前記時間制限又はその延長中に、前記１つ又は複数のコンテンツ暗号化鍵（複数鍵）へのアクセスを許可することによって、時間制限アクセスが許容されるか延長される、請求項６２に記載の方法。
【請求項６４】
不揮発性書換可能メモリカードを使用してメディアコンテンツを配信するための方法であって、前記カードはメモリ領域を有し、前記カードは、前記カードに記憶されるメディアコンテンツが関与する１つ又は複数のコンテンツ暗号化鍵（複数鍵）と権利及び／又は規則を備え、前記方法は、
前記メディアコンテンツを受け取る段階であって、当該コンテンツは、１つ又は複数のコンテンツ暗号化鍵（複数鍵）を使用して暗号化されている少なくとも幾つかのメディアタイトルを含んでいる、メディアコンテンツを受け取る段階と、
前記メディアコンテンツを前記カードの前記メモリ領域に記憶する段階と、から成る方法。
【請求項６５】
複数のダウンロードが前記権利及び／又は規則により許可されるとき、前記メディアコンテンツを複数回受け取る段階を更に含んでいる、請求項６４に記載の方法。
【請求項６６】
不揮発性書換可能メモリデバイス内の権利オブジェクトをバックアップ及び復元するための方法であって、前記権利オブジェクトは、第１の証明書が前記デバイスに提示されたときには、読取専用機能についてアクセス可能になり、前記第１の証明書とは異なる第２の証明書が前記デバイスに提示されたときには、変更又は消去又はバックアップ／復元させるためにアクセス可能になるような方法で、前記デバイスに記憶され、
前記第２の証明書を前記デバイスに提示する段階と、
前記権利オブジェクトをバックアップする段階と、
前記第２の証明書が前記デバイスに提示されない限り、前記権利オブジェクトにアクセスして変更又は消去又はバックアップ／復元できないように、前記権利オブジェクトを前記デバイスに復元する段階と、から成る方法。
【請求項６７】
前記デバイスは、前記第２の証明書が提示されたとき、前記権利オブジェクトを変更又は消去するために前記権利オブジェクトへアクセスすることを許可する、請求項６６に記載の方法。
【請求項６８】
前記バックアップする段階は、
前記権利オブジェクトを復号する段階と、
前記復号された権利オブジェクトをセッション鍵により暗号化する段階と、
前記権利オブジェクトを前記セッション鍵を使用して復号する段階と、
前記復号された権利オブジェクトを鍵により暗号化し、前記暗号化された権利オブジェクトをバックアップ記憶領域に記憶する段階とを含んでいる、前記権利オブジェクトが暗号化されている、請求項６６に記載の方法。
【請求項６９】
前記バックアップする段階は、前記権利オブジェクトを前記デバイスから削除する段階を含んでいる、請求項６６に記載の方法。
【請求項７０】
前記バックアップする段階は、前記権利オブジェクトをバックアップ記憶領域に記憶する段階を含み、前記復元する段階は、更に、前記権利オブジェクトを前記バックアップ記憶領域から削除する段階を含んでいる、請求項６６に記載の方法。
【請求項７１】
不揮発性書換可能メモリデバイス内の権利オブジェクトを制御するための方法であって、前記権利オブジェクトは、第１の証明書が前記デバイスに提示されたときには、読取専用機能についてアクセス可能になり、前記第１証明書とは異なる第２の証明書が前記デバイスに提示されたときには、変更又は消去するためにアクセス可能になるような方法で、前記デバイスに記憶され、
前記第２の証明書を前記デバイスに提示する段階と、
前記権利オブジェクトを変更し又は消去する段階と、から成る方法。
【請求項７２】
前記デバイスは前記権利オブジェクトにより制御される暗号化されているメディアコンテンツを記憶し、前記権利オブジェクトは、前記コンテンツがどの様に使用され及び／又はアクセスされるかを指定し、且つｎを正の整数として、前記権利オブジェクトからコピーがｎ個だけ作成されることを指定している規則を含み、前記方法は、前記権利オブジェクトを記憶領域にコピーし、ｍをゼロ又はｎより小さい正の整数として、（ｎ−ｍ）個だけの前記権利オブジェクトのコピーが前記記憶領域内に前記コピーされた権利オブジェクトから更に作成される、ということを指定する規則を、前記記憶領域にコピーされた前記オブジェクトが含むようにする段階を更に含んでいる、請求項７１に記載の方法。
【請求項７３】
前記権利オブジェクトが１つ又は複数の記憶領域にコピーされる時、前記デバイス内の前記権利オブジェクトの前記規則は、前記権利オブジェクトのコピーがｍ個だけ作成されることを指定するように更新される、請求項７２に記載の方法。
【請求項７４】
前記権利オブジェクトは、それからは一切コピーが作成されないことを指定し、前記方法は、当該オブジェクトがコピーされた後には、当該オブジェクトを削除し又は当該オブジェクトを変更し、当該オブジェクトにより制御されている前記メディアコンテンツは、当該コンテンツにアクセスしてレンダリング又は再生を行うために読み取ることはできないと表示する段階を更に含んでいる、請求項７２に記載の方法。
【請求項７５】
前記コピーする段階及び更新する段階は、ＤＲＭ性能を有するアプリケーションによって実行される、請求項７２に記載の方法。
【請求項７６】
前記方法は、
前記権利オブジェクトを復号する段階と、
前記復号された権利オブジェクトをセッション鍵により暗号化する段階と、
前記権利オブジェクトを、前記セッション鍵を使って記憶領域で復号する段階と、
前記復号された権利オブジェクトを鍵により暗号化し、前記暗号化された権利オブジェクトを前記記憶領域に記憶する段階を更に含んでいる、前記権利オブジェクトが暗号化されている、請求項７１に記載の方法。
【請求項７７】
不揮発性書換可能メモリカードを使用してメディアコンテンツを配信できるようにするための方法であって、
不揮発性書換可能メモリカードにアクセスしているアプリケーションの証明書を、それがそうすることを認可されているか否かを判定するために照合する段階と、
前記アプリケーションの前記証明書が要件を満たさない場合は、前記アプリケーションが前記不揮発性書換可能メモリカードにアクセスすることを認可されていないことを示す表示を提供する段階と、から成る方法。
【請求項７８】
コンピュータシステムにより実行され、前記システムは、エンティティにより提供されているアプリケーションの事前に決められている証明書の一覧を保存し、前記コンピュータは、前記アプリケーションの証明書を前記事前に決められている証明書の一覧と照合する、請求項７７に記載の方法。
【請求項７９】
セキュアメモリ領域と少なくとももう一つのメモリ領域を有している不揮発性書換可能メモリデバイスであって、前記デバイスは、
前記セキュアメモリ領域に記憶されている１つ又は複数のコンテンツ暗号化鍵（複数鍵）と、
前記デバイスのメモリ領域に記憶されているコンテンツであって、前記コンテンツ暗号化鍵（複数鍵）により暗号化されているメディアタイトルの第１セットと、前記第１セット内の前記メディアタイトルの選択された部分及び／又は当該タイトルの制約無しにアクセスできる低品質バージョンと、を含み
前記第１セット内の前記メディアタイトルへのアクセスを制御するコントローラと、を備えているメモリデバイス。
【請求項８０】
前記暗号化されているメディアタイトルの第１セットは、購入の証明無しにアクセスすることはできない、請求項７９に記載のデバイス。
【請求項８１】
前記コントローラは、前記コンテンツ暗号化鍵（複数鍵）にアクセスを提供し、当該権利及び／又は規則を前記デバイスの前記セキュアメモリ領域に記憶することによって前記第１セット内の前記暗号化されているメディアタイトルを復号するために認証情報及び当該権利及び／又は規則に関する情報に応答する、請求項８０に記載のデバイス。
【請求項８２】
前記デバイスを操作するホスト上のアプリケーションは、購入の証明が与えられた後に、前記認証情報が提供される、請求項８１に記載のデバイス。
【請求項８３】
前記権利及び／又は規則は、前記第１セット内の１つ又は複数の暗号化されているメディアタイトルを復号するための１つ又は複数のコンテンツ暗号化鍵へのアクセスを許可する、請求項８１に記載のデバイス。
【請求項８４】
ホスト上のアプリケーションは前記デバイスを操作し、前記権利及び／又は規則は、前記アプリケーションが前記復号されたメディアタイトルを再生するのを許可する、請求項８３に記載のデバイス。
【請求項８５】
ホスト上のアプリケーションは前記デバイスを操作し、前記権利及び／又は規則は、前記アプリケーションが、前記復号されたメディアタイトルを制限回数エクスポートするか又は制限部数のコピーを記憶用に作成することを許可する、請求項８３に記載のデバイス。
【請求項８６】
前記デバイスの正常な動作中に、事前に決められている証明書が提示される時、前記デバイスの外部のエンティティにとってアクセス可能となる前記セキュアメモリ領域のパーティションに、前記権利及び／又は規則が記憶される、請求項８１に記載のデバイス。
【請求項８７】
前記デバイスは、フラッシュメモリカードを備えている、請求項７９に記載のデバイス。
【請求項８８】
前記第１セット内の前記メディアタイトルの前記選択された部分又は当該タイトルの低品質バージョンのコピーは、前記第１セット内の前記暗号化されているメディアタイトルとは別のファイルに記憶される、請求項７９に記載のデバイス。
【請求項８９】
前記デバイスの正常な動作中には前記デバイスの外部のエンティティにとってアクセス可能ではない前記セキュアメモリ領域のパーティションに、前記１つ又は複数のコンテンツ暗号鍵（複数鍵）が記憶される、請求項７９に記載のデバイス。
【請求項９０】
前記コンテンツは、前記コンテンツ暗号化鍵（複数鍵）により暗号化されているメディアタイトルの第２セットを更に備え、前記デバイスは、前記デバイスの前記セキュアメモリ領域に記憶されている前記メディアタイトルの第２セットに関する権利及び／又は規則を更に備え、当該権利及び／又は規則は、前記メディアタイトルの前記第２セットが、制限回数だけアクセス可能であることを指定している、請求項７９に記載のデバイス。
【請求項９１】
前記メディアタイトルの第２セットに関する前記権利及び／又は規則は、前記第２セット内の１つ又は複数の暗号化されているメディアタイトルを復号するために、前記１つ又は複数のコンテンツ暗号化鍵への制限回数だけのアクセスを許可する、請求項９０に記載のデバイス。
【請求項９２】
ホスト上のアプリケーションは前記デバイスを操作し、前記権利及び／又は規則は、前記アプリケーションが、前記復号されたメディアタイトルを前記制限回数だけレンダリングすることを許可する、請求項９１に記載のデバイス。
【請求項９３】
前記メディアタイトルはファイルに編成され、各ファイルは対応するコンテンツ暗号化鍵により暗号化され、前記デバイスは、前記ファイルの内の少なくとも幾つかのそれぞれにつき、当該ファイルの前記対応するコンテンツ暗号鍵へのアクセスを制御するアクセス制御記録を更に備えている、請求項７９に記載のデバイス。
【請求項９４】
前記アクセス制御記録のそれぞれは、それにより制御される前記コンテンツ暗号化鍵へのアクセス、及び当該鍵を使用するための許可及び／又は制約を得るために必要となる証明書に関する情報を備えている、請求項９３に記載のデバイス。
【請求項９５】
前記アクセス制御記録の少なくとも１つの前記許可（複数の許可）は、コンテンツ暗号化鍵にアクセスする許可を別のアクセス制御記録に委譲する許可を備えている、請求項９４に記載のデバイス。
【請求項９６】
前記メディアタイトルの第１セットが関与する前記セキュアメモリ領域に記憶されている、権利及び／又は規則を更に備え、
前記権利及び／又は規則は、前記第１セット内の前記メディアタイトルの少なくとも幾つかの選択された部分又は当該タイトルの低品質バージョンだけが制約無しにアクセスできることを、又は当該タイトルは制限回数だけ再生できることを指定し、
前記コントローラは、前記デバイスに記憶されている前記第１セット内の何れのメディアタイトルに関する前記権利及び／又は規則でも実行する、請求項７９に記載のデバイス。
【請求項９７】
ホスト上のアプリケーションは前記デバイスを操作し、前記権利及び／又は規則は、前記アプリケーションが、前記第１セット内の前記復号されたメディアタイトルを制限回数だけエクスポートすることを許可する、請求項９６に記載のデバイス。
【請求項９８】
前記デバイスに記憶されている前記第１セット内の１つ又は複数の暗号化されているメディアタイトルへのアクセスを許可するために、前記コントローラは、認証情報に応答して前記コンテンツ暗号化鍵（複数鍵）へのアクセスを提供するための前記権利及び／又は規則を変更する、、請求項９６に記載のデバイス。
【請求項９９】
前記コントローラは、前記認証情報に応答して、前記第１セット内の１つ又は複数の暗号化されているメディアタイトルを復号するために、前記１つ又は複数のコンテンツ暗号化鍵へのアクセスを許可するための、前記権利及び／又は規則を変更する、請求項９６に記載のデバイス。
【請求項１００】
前記コントローラは、前記認証情報に応答して、前記第１セット内の前記１つ又は複数のメディアタイトルを復号するために、前記コンテンツ暗号化鍵（複数鍵）の１つ又はそれ以上への無制約のアクセスを許可するための、前記権利及び／又は規則を変更する、請求項９９に記載のデバイス。
【請求項１０１】
前記第１セット内の前記メディアタイトルの選択された部分又は当該タイトルの低品質バージョンのコピーは、制約無しにアクセス可能であり、前記暗号化されているメディアタイトルとは別のファイルに記憶される、請求項９６に記載のデバイス
【請求項１０２】
前記権利及び／又は規則は、前記１つ又は複数のコンテンツ暗号化鍵（複数鍵）へのアクセスが、暗号化されているコンテンツの購入の証明が提供された後にしか許可されないことを指定する、請求項９６に記載のデバイス。
【請求項１０３】
前記権利及び／又は規則は、暗号化されているコンテンツの購入の証明が提供された後に、前記１つ又は複数のコンテンツ暗号化鍵（複数鍵）へのアクセスを許可するために変更され得る、請求項９６に記載のデバイス。
【請求項１０４】
前記コントローラは、前記コンテンツ暗号鍵（複数鍵）へのアクセスを提供し、前記第１セット内の前記暗号化されているメディアタイトルを復号するために、前記デバイスの前記セキュアメモリ領域内の当該権利及び／又は規則を更新することによって、認証情報、及び前記権利及び／又は規則の更新に関する情報に応答する、請求項９６に記載のデバイス。
【請求項１０５】
前記更新された権利及び／又は規則は、前記第１セット内の前記暗号化されているメディアタイトルを復号するために、前記コンテンツ暗号化鍵（複数鍵）へアクセスする際の無制約又は更に緩い制約を許可する、請求項９６に記載のデバイス。
【請求項１０６】
暗号化されているメディアコンテンツを記憶する第１メモリ領域、及び１つ又は複数の制御構造を記憶する第２安全メモリ領域と、
前記デバイスに記憶され、サービスプロバイダが、前記第１メモリ領域に記憶されている、暗号化されているコンテンツへのアクセスを制御するために、前記デバイスの前記セキュアメモリ領域内に制御構造を作成できるようにする、システムエージェントと、
前記デバイスの前記セキュアメモリ領域内に前記制御構造を作成するためのセッション内で前記サービスプロバイダと通信するコントローラと、を備えている不揮発性書換可能メモリデバイス。
【請求項１０７】
前記制御構造を作成するための前記サービスプロバイダとのセキュアセッションを可能とする証明書を更に備え、前記証明書は前記デバイスの前記セキュアメモリ領域に記憶される、請求項１０６に記載の不揮発性書換可能メモリデバイス。
【請求項１０８】
前記デバイスを認証可能とする証明書を更に備えている、請求項１０６に記載のデバイス。
【請求項１０９】
前記エージェントは、２つ以上のサービスプロバイダが、対応する制御構造を前記デバイスの前記セキュアメモリ領域内に作成できるようにする、請求項１０６に記載のデバイス。
【請求項１１０】
前記デバイスは、対応する複数のサービスプロバイダのために作成された複数の制御構造を前記デバイスの前記セキュアメモリ領域に記憶し、前記複数のサービスプロバイダは互いに独立して前記デバイスとやりとりをする、請求項１０９に記載のデバイス。
【請求項１１１】
前記デバイスは、異なるサービスプロバイダにより作成された、対応する制御構造を記憶するために、前記セキュアメモリ領域内に別々のパーティションを備え、各パーティションはその対応するサービスプロバイダの前記制御構造だけを記憶する、請求項１１０に記載のデバイス。
【請求項１１２】
前記パーティションは、前記パーティションの内の少なくとも幾つかのそれぞれには、当該パーティションに記憶されている前記制御構造の前記対応するサービスプロバイダはアクセスできるが、他のサービスプロバイダはアクセスできないようになっている、請求項１１１に記載のデバイス。
【請求項１１３】
前記デバイスは、前記第１メモリ領域内の前記複数のサービスプロバイダの内の少なくとも幾つかと関係付けられている、暗号化されているメディアコンテンツを記憶し、前記サービスプロバイダのそれぞれと関係付けられている、暗号化されているメディアコンテンツへのアクセスは、当該サービスプロバイダによりその対応する制御構造を介して排他的に制御される、請求項１１０に記載のデバイス。
【請求項１１４】
前記サービスプロバイダのそれぞれと関係付けられている、前記暗号化されているメディアコンテンツには、他の何れのサービスプロバイダもアクセスできない、請求項１１３に記載のデバイス。
【請求項１１５】
前記コントローラは、前記制御構造が作成された後に、前記サービスプロバイダによって提供されるメディアコンテンツを、前記デバイスに記憶する、請求項１０６に記載のデバイス。
【請求項１１６】
前記サービスプロバイダにより提供された前記コンテンツへのアクセスは、前記制御構造により制御されている、請求項１１５に記載のデバイス。
【請求項１１７】
前記デバイスは、異なるデジタル権利管理システムをサポートすることができるインターフェースを備えている、請求項１０６に記載のデバイス。
【請求項１１８】
ホストは、前記デバイスに記憶されている、前記暗号化されているコンテンツをレンダリングするために前記デバイスを操作し、前記インターフェースは、異なるデジタル権利管理システムをサポートすることができ、これにより、前記ホストが当該能力を欠いていても、前記デバイスとホストが前記暗号化されたコンテンツをレンダリングできるようにする、請求項１１７に記載のデバイス。
【請求項１１９】
前記制御構造は、前記第１メモリ領域に記憶されている、暗号化されたコンテンツにアクセスするための権利及び／又は規則を含み、前記権利及び／又は規則は、ユーザー又はホスト、又はユーザー又はホストのグループが、前記暗号化されているコンテンツにアクセスすることを許可する、請求項１０６に記載のデバイス。
【請求項１２０】
前記デバイスは、固有のＩＤを備えている、請求項１０６に記載のデバイス。
【請求項１２１】
前記デバイスに記憶されているコンテンツを暗号化するために、前記デバイスに記憶されている１つ又は複数のコンテンツ暗号化鍵を更に備え、前記制御構造は、前記１つ又は複数のコンテンツ暗号化鍵へのアクセスを制御する、請求項１０６に記載のデバイス。
【請求項１２２】
前記デバイスに記憶されているメディアタイトルを更に備え、前記メディアタイトルの少なくとも幾つかは、前記１つ又は複数のコンテンツ暗号化鍵の内の少なくとも１つを使用して暗号化されている、請求項１２１に記載のデバイス。
【請求項１２３】
前記制御構造は、前記少なくとも１つのコンテンツ暗号化鍵へのアクセスの権利及び／又は規則を含み、前記権利及び／又は規則は、ユーザー又はホスト、又はユーザー又はホストのグループが、前記少なくとも１つのコンテンツ暗号化鍵にアクセスすることを許可する、請求項１２２に記載のデバイス。
【請求項１２４】
前記制御構造は、前記第１メモリ領域に記憶されている、暗号化されたメディアコンテンツへのアクセスは、事前に決められている証明書が提示されたときに、暗号化されているメディアコンテンツへのアクセスのために、単一又は複数のエンティティに対して許容されることを指定する、請求項１０６に記載のデバイス。
【請求項１２５】
前記制御構造は、対応するエンティティのセットによる、前記第１メモリ領域に記憶されている、暗号化されているメディアコンテンツへのアクセスを制御する、異なるレベルのノードを備えている階層ツリーを備え、前記ツリーのノードは、事前に決められている証明書が提示されたときに、対応する単数又は複数のエンティティが暗号化されているメディアコンテンツにアクセスする許可（複数の許可）を指定し、前記ツリーの或るノードにおける許可（複数の許可）は、前記同じツリー内の上位又は下位レベルの別のノードにおける許可（複数の許可）に対する事前に決められた関係を有する、請求項１２４に記載のデバイス。
【請求項１２６】
前記ツリーの或るノードは、前記サービスプロバイダにより信頼されている対応するアプリケーションが暗号化されているメディアコンテンツにアクセスする許可（複数の許可）を指定する、請求項１２５に記載のデバイス。
【請求項１２７】
前記デバイスに記憶されている、前記暗号化されたメディアコンテンツを復号するのに有用な１つ又は複数のコンテンツ暗号化鍵を更に備え、対応する信頼されているアプリケーションの前記許可（複数の許可）は、当該アプリケーションに対して事前に決められている証明書が前記デバイスに提示されると、当該アプリケーションが、前記暗号化されているメディアコンテンツを復号するために、前記１つ又は複数のコンテンツ暗号化鍵にアクセスすることを許可する、請求項１２６に記載のデバイス。
【請求項１２８】
前記エージェントは、複数のサービスプロバイダそれぞれが、前記デバイスの前記第２安全メモリ領域に対応する制御構造を作成できるようにし、各制御構造は対応する階層ツリーを備え、前記ツリーの内の少なくとも２つの間にはクロストークが存在せず、当該２つのツリーを作成した前記２つの対応するサービスプロバイダは、互いに独立して前記デバイスと対話する、請求項１２５に記載のデバイス。
【請求項１２９】
暗号化されているメディアコンテンツを記憶するための第１メモリ領域、及び１つ又は複数の制御構造を記憶するための第２安全メモリ領域と、
前記装置に記憶されているシステムエージェントであって、サービスプロバイダが、前記第１メモリ領域に記憶されている、暗号化たコンテンツへのアクセスを制御するために、前記デバイスの前記セキュアメモリ領域内に制御構造を作成できるようにする機能を有し、
前記デバイスの前記セキュアメモリ領域内に前記制御構造を作成するためのセッションで前記サービスプロバイダと通信することができるコントローラと、を備えている不揮発性書換可能メモリデバイス。
【請求項１３０】
複数のホストによりレンダリングされるメディアタイトルを記憶している不揮発性書換可能メモリデバイスであって、
暗号化されているメディアコンテンツを記憶するための第１メモリ領域および前記暗号化されているメディアタイトルへのアクセスを制御する制御情報を記憶するための第２安全メモリ領域であって、前記制御情報は、１つ又は複数のアカウントに関する情報を含み、各アカウントは前記第１メモリ領域に記憶されている、暗号化されたるメディアタイトルのセットと関係付けられ、各アカウントは対応する証明書を有し、
前記セキュアメモリ領域に記憶されている制御構造であって、特定のアカウントと関係付けられている、暗号化されたメディアタイトルの前記セットが、当該アカウントに対応する証明書を提示するユーザーだけに見えてアクセスできるようになるのを許可し、
前記ホストと通信し及び前記ホストによって提示された証明書を照合し、特定のアカウントと関係付けられている、暗号化されているメディアタイトルを、見ることができアクセスすることができるようにすべきか否かを判定するコントローラと、を備えているメモリデバイス
【請求項１３１】
サービスプロバイダと関係付けられ且つサービスプロバイダによって許容される前記アカウントそれぞれに、関係付けられている証明書を有する固有のＩＤを更に備えている、請求項１３０に記載のデバイス。
【請求項１３２】
前記サービスプロバイダは、前記第１メモリ領域の暗号化されているメディアタイトルへのアクセスを、前記アカウントによって、それらのＩＤ、関係付けられている証明書及び前記制御構造を介して制御する、請求項１３１に記載のデバイス。
【請求項１３３】
前記デバイスは、その中の前記メディアタイトルをレンダリングするために異なるホストにより作動させることができ、前記制御構造は、当該アカウントの証明書が当該ホストを通して前記デバイスに提示されると、前記異なるホストが特定のアカウントと関係付けられている前記メディアタイトルをレンダリングすることを許可する、請求項１３０に記載のデバイス。
【請求項１３４】
メモリ領域を有している不揮発性書換可能メモリカードであって、
前記カードは、
少なくとも幾つかのメディアタイトルの選択された暗号化されていない部分又は当該メディアタイトルの低品質の暗号化されていないバージョンだけを含み、前記カードの前記メモリ領域に記憶されているコンテンツと、
前記カードに記憶されている前記メディアコンテンツへアクセスでき、前記メディアコンテンツがホストによりレンダリングされることができるようにするコントローラと、を備えているメモリカード。
【請求項１３５】
前記カードは、
セキュアメモリ領域と、
前記カードに記憶されることになる暗号化されているメディアコンテンツに関与する、１つ又は複数のコンテンツ暗号化鍵（複数鍵）及び権利及び／又は規則であって、前記権利及び／又は規則は前記セキュアメモリ領域に記憶されているコンテンツ暗号化鍵（複数鍵）及び権利及び／又は規則を更に備え、
前記コントローラは、前記カードに記憶されている何れかの暗号化されているメディアタイトルに関して、前記権利及び／又は規則を実行する請求項１３４に記載のカード。
【請求項１３６】
前記カードは、前記１つ又は複数のコンテンツ暗号化鍵（複数鍵）により暗号化され且つ前記カードに記憶されている少なくとも幾つかのメディアタイトルを更に備え、前記権利及び／又は規則は、当該タイトルが前記１つ又は複数のコンテンツ暗号化鍵（複数鍵）を使用して、制限回数だけ再生できることを指定する、請求項１３５に記載のカード。
【請求項１３７】
前記カードは、１つ又は複数のコンテンツ暗号化鍵（複数鍵）により暗号化されている少なくとも幾つかのメディアタイトルを更に備えている、請求項１３４に記載のカード。
【請求項１３８】
前記カードは、セキュアメモリ領域を更に備えて、前記コントローラは、前記暗号化されているメディアタイトルが関与する前記１つ又は複数のコンテンツ暗号化鍵（複数鍵）と権利及び／又は規則を受け取り、前記コントローラは、前記権利及び／又は規則を前記セキュアメモリ領域に記憶し、及び前記暗号化されているメディアタイトルに関して、前記権利及び／又は規則を実行する、請求項１３７に記載のカード。
【請求項１３９】
前記権利及び／又は規則は、前記コントローラが、認証情報に応えて、前記コンテンツ暗号化鍵（複数鍵）へのアクセスを提供することを許可し、前記暗号化されているメディアタイトルへのアクセスが許可されるようにする、請求項１３８に記載のカード。
【請求項１４０】
メモリ領域を有する不揮発性書換可能メモリカードであって、
前記カードの前記メモリ領域に記憶され、１つ又は複数のコンテンツ暗号化鍵（複数鍵）を使用して暗号化されている少なくとも幾つかのメディアタイトルを含んでいるメディアコンテンツと、
前記１つ又は複数のコンテンツ暗号化鍵（複数鍵）が前記カードに提供されたとき、前記カードに記憶されている前記第１コンテンツへアクセスできるようにするコントローラと、を備えているメモリカード。
【請求項１４１】
前記カードは、
セキュアメモリ領域と、
前記カードに記憶されている暗号化されているメディアコンテンツに関与する、前記１つ又は複数のコンテンツ暗号化鍵（複数鍵）及び権利及び／又は規則であって、前記権利及び／又は規則は前記セキュアメモリ領域に記憶されているコンテンツ暗号化鍵（複数鍵）及び権利及び／又は規則と、
を更に備える、請求項１４０に記載のカード。
【請求項１４２】
前記コントローラは、前記少なくとも幾つかの暗号化されたメディアタイトルに関して、前記権利及び／又は規則を実行する、請求項１４１に記載のカード。
【請求項１４３】
前記カードに記憶されている前記メディアコンテンツへのアクセスを追跡し、前記メディアコンテンツに関して前記カード内にアクセスプロファイルを記録する追跡エージェントを更に備えており、前記権利及び／又は規則は、前記アクセスプロファイルをダウンロードするために、周期的に前記カードとサーバの間の接続を要求する、請求項１４１に記載のカード。
【請求項１４４】
前記権利及び／又は規則は、前記カードに記憶されているメディアコンテンツへの時間限定アクセスを許容し、前記時間限定アクセスは、前記カードとサーバの接続に成功し、及び前記アクセスプロファイルのダウンロードに成功すると、延長可能となる、請求項１４３に記載のカード。
【請求項１４５】
前記権利及び／又は規則は、前記１つ又は複数のコンテンツ暗号化鍵（複数鍵）へのアクセスを許容することにより、前記カードに記憶されているメディアコンテンツへのアクセスを許容する、請求項１４３に記載のカード。
【請求項１４６】
メモリ領域を有する不揮発性書換可能メモリカードであって、
前記カードは、
セキュアメモリ領域と、
前記カードに記憶されている暗号化されているメディアコンテンツに関与する、１つ又は複数のコンテンツ暗号化鍵（複数鍵）及び権利及び／又は規則であって、前記権利及び／又は規則は前記セキュアメモリ領域に記憶されているコンテンツ暗号化鍵（複数鍵）及び権利及び／又は規則と、
を備えているメモリカード。
【請求項１４７】
前記カードの前記メモリ領域に記憶され、前記１つ又は複数のコンテンツ暗号化鍵（複数鍵）を使用して暗号化された少なくとも幾つかのメディアタイトルを含んでいる、メディアコンテンツと、
前記１つ又は複数のコンテンツ暗号化鍵（複数鍵）が前記カードに提供されると、前記カードに記憶されている前記第１コンテンツへアクセスできるようにするコントローラと、を備えている、請求項１４６に記載のカード。
【請求項１４８】
暗号化されているメディアコンテンツを記憶するための第１メモリ領域と、
第２安全メモリ領域と、
前記第１メモリ領域に記憶されている、暗号化されているメディアコンテンツへのアクセスを制御するための、前記第２メモリ領域に記憶されている少なくとも１つの権利オブジェクトと、を備え、
前記第２メモリ領域には、前記少なくとも１つの権利オブジェクトのバックアップと復元のために、認可されているアプリケーションだけがアクセスすることができる、不揮発性書換可能メモリデバイス。
【請求項１４９】
前記第２メモリ領域は、事前に決められている証明書を有するものを除き、全てのアプリケーションから隠されアクセスすることができないパーティションである、請求項１４８に記載のデバイス。
【請求項１５０】
前記少なくとも１つの権利オブジェクトのバックアップと復元のために前記第２メモリ領域へアクセスするためには、読取機能のために前記第２メモリ領域へアクセスするのに提示することが要求されるものとは異なる証明書の提示を必要とする、請求項１４９に記載のデバイス。
【請求項１５１】
前記第２メモリ領域は、読取機能のために第１アプリケーションによってアクセスすることができ、前記少なくとも１つの権利オブジェクトのバックアップ及び復元のためには、前記第１アプリケーションとは異なる第２アプリケーションだけがアクセスすることができる、請求項１４８に記載のデバイス。
【請求項１５２】
前記権利オブジェクトは、第１の証明書が前記デバイスに提示されると、読取専用機能がアクセスできるようになり、前記第１の証明書とは異なる第２の証明書が前記デバイスに提示されると、変更又は消去のため、又はバックアップ／復元のためにアクセスできるようになる、請求項１４８に記載のデバイス。
【請求項１５３】
前記第２メモリ領域は、前記少なくとも１つの権利オブジェクトの変更、消去、更新、及び／又はバックアップ及び復元のためには、ＤＲＭ及び／又はＣＰＲＭ能力を有するホストアプリケーションだけがアクセスできる、請求項１４８に記載のデバイス。

【図１】

【図２】

【図３】

【図４】

【図５】

【図６】

【図７】

【図８Ａ】

【図８Ｂ】

【図９】

【図１０】

【図１１】

【図１２】

【図１３】

【図１４】

【図１５】

【図１６】

【図１７Ａ】

【図１７Ｂ】

【図１８】

【図１９Ａ】

【図１９Ｂ】

【図１９Ｃ】

【図１９Ｄ】

【図２０】

【図２１】

【図２２】

【図２３Ａ】

【図２３Ｂ】

【図２３Ｃ】

【図２４】

【図２５Ａ】

【図２５Ｂ】

【図２６】

【図２７】

【図２８】

【図２９】

【図３０】

【図３１】

【図３２】

【図３３Ａ】

【図３３Ｂ】

【図３４】

【図３５】

【図３６Ａ】

【図３６Ｂ】

【図３６Ｃ】

【図３６Ｄ】

【図３７Ａ】

【図３７Ｂ】

【図３７Ｃ】

【図３８Ａ】

【図３８Ｂ】

【図３９Ａ】

【図３９Ｂ】

【図４０】

【図４１】

【図４２】

【図４３】

【図４４】

【図４５】

【図４６】

【公表番号】特表２００９−５０８４１２（Ｐ２００９−５０８４１２Ａ）
【公表日】平成２１年２月２６日（２００９．２．２６）
【国際特許分類】
【出願番号】特願２００８−５３０２３９（Ｐ２００８−５３０２３９）
【出願日】平成１８年９月７日（２００６．９．７）
【国際出願番号】ＰＣＴ／ＵＳ２００６／０３５１５５
【国際公開番号】ＷＯ２００７／０３０７６０
【国際公開日】平成１９年３月１５日（２００７．３．１５）
【出願人】（５０７２０８２８８）サンディスク　コーポレーション (11)
【Ｆターム（参考）】