因特网是用各种硬件通讯链路链接在一起的世界范围的计算机网络，所有链路运行称为TCP/IP(传输控制协议/网间协议)协议的标准套件。因特网在最近几年内的增长是爆炸性的，在很大程度上是受了软件工具(称为“浏览器”)的广泛使用的促进，这些工具允许THML(超文本标记语言)的观看和HTTP(超文本传送协议)引导。浏览器允许要使用的GUI(图形用户界面)在因特网上通讯。浏览器通常驻留在用于访问在因特网上的内容的计算机上，即客户机上。HTTP是TCP/IP顶端的组件，并使用标准的页面描述语言为用户提供对各种格式文档的访问，描述语言是众知的HTML及更近的XML(可扩展的标记语言)，XHTML(可扩展的超文本标记语言)，HTML到XML的改述。在使用HTML/HTTP的因特网上服务器的集群称为“World Wide Web”或简称“Web”。
通过HTML，XHTML和交互式编程协议，内容的作者能通过将内容以Web网页的形式放在因特网Web服务器上使其为其他人可用。到服务器的网络路径由URL(统一资源定位器)识别，且通常任何运行Web浏览器的客户能使用URL访问Web服务器。运行浏览器的客户计算机能借助以已知的方式通过因特网向Web发出URL请求而请求显示存储的Web服务器上的网页。
因为Web利用标准协议和标准的演示引擎，即浏览器的演示引擎，Web成为随处可见。Web的一个主要应用已经成为以文档形式分发内容。这里使用的术语“文档”是提供分发传输的任何信息单位，包括函件，书借，杂志，刊物，报纸，其他文章，软件，照片及其他图像，声频或视频段子，和其他多媒体表示，但不限于这些。文档能以纸上打印形式，作为在存储介质上的数字数据，或以任何其他已各方式嵌入在各种媒体上。
然而，阻碍广泛分发数字文档，即计算机可读形式的文档，经电子设备尤其是经因特网可读的文档的最重要的问题之一是当前在分发及使用那些数字文档过程中缺乏对内容拥有者的知识产权的保护。解决此问题的努力称为“知识产权管理”(“IPRM”)，“数字产权管理”(“DPRM”)，“知识财产管理”(“IPM”)，“权限管理”(“RM”)，和“电子版权管理”(“ECM”)，这里统一称为“数字权限管理(DRM)”。
在打印的文档的领域内，由作者创作的著作通常提供给出版商，他装订及打印该著作的许多拷贝。然后这些拷贝由分发商发送到书店或其他零售店，最终用户从那里购买这些拷贝。虽然拷贝的纸质量及分发打印资料的高成本起了妨碍大多数文档非授权拷贝的作用，但是拷贝，修改和重分发未受保护的数字文档是太容易了。因而需要某种保护数字文档的方法，使其不经授权难以拷贝和分发。
不幸的是大家认识到，在当前经如局域网(LAN)，企业内部网及因特网那样的通讯网络连接的如个人计算机，工作站，和其他设备那样的通用计算及通讯系统中，防止或甚至妨碍人们作电子文档的非授权的分发是困难的。提供基于硬件的防止非授权拷贝的解决方案的许多尝试证明是不成功的。“宽带”通讯技术(WII)的迅速增长使得更便于电子地分发大的文档，包括如全长的电影那样的视频文件，因而将对非授权的文档分发拆除任何余下的障碍。因而DRM技术变得十分有用。
利用两个基本方案试图解决文档保护问题：安全容件和可信系统。“安全容件”(可简称加密文档)提供一个方法，以保持文档内容加密，直到一组授权条件满足且授于某些版权条款(如使用的支付)。在各种条件及费用被文档提供者验证之后，文档以清楚的形式释放给用户。如IBMTM的Cryptolopes和Inter TrustTM的Digiboxes那样的商品属于此范畴。明显，安全容件方法提供在经过不安全的通道提交期间保护文档的解决方法，但不提供任何机制防止合法用户获得该文档并然后使用和重分发它，破坏了内容拥有者的知识产权。
加密机制通常用于加密(或“加密编码”)随后被公开分发和存储的文档，并最终由授权的用户私下解密码，即解密。这就在文档从文档的分发商经公共网络提供给授权用户期间，以及在不安全的介质上存储文档期间提供基本的保护形式。
在“可信系统”方法中，整个系统负责防止文档的非授权的使用和分发。构筑可信系统通常要求引入新的硬件，如安全处理器，安全存储器和安全演示设备。这必需要所有在可信系统上运行的应用软件被鉴定为可信的。虽然构筑防窜改(tamper-proof)的可信系统仍然是对现有技术的真实挑战，当前的市场趋势认为，如使用浏览器访问Web的PC和工作站那样的开放和不可信系统将是用来访问有版权文档的主流系统。在此意义上，如装有流行操作系统(如WindowsTM，LinuxTM，和UNIX)和如浏览器那样的演示应用程序的PC和工作站那样的现有的计算环境是不可信系统，且若它们的架构不作重要更改不能作为可信系统。当然，架构的更改使丧失了Web的主要目的，即灵活性及兼容性。
其内容加入这里作为参考的美国专利5,715,403揭示了控制数字文档分发的系统。每个演示设备具有有关的库。使用权限标签伴随着数字内容。标签包括使用权限，它规定了内容的使用方式和任何实行该使用方法的先决条件。美国专利5,052,040揭示了加在数字文件之前的标签的使用，使得不同的用户关于同一文件能具有特定的密码能力。
已采用两个基本方法控制在Web上的文档分发。第一方法是使用基于服务的收费，其中用户只有在支付预订费之后才允许访问内容。但是一旦支付了预订费且文档被浏览器演示，用户能拷贝，打印和修改该文档，即发行者对文档的所有控制丢失了。
第二种方法是使用专有的格式，在此格式内文档只能被选择的演示引擎所演示，此引擎负责实施发行者的权利。当然，此方法需要使用单个专用的格式，因而丧失了结合多个流行格式的能力以及与其有关的内容的丰富性。而且，这种方法需要用户使用专用演示应用程序，该程序必需在用户计算机中取得并安装，且需要对在安全模式中演示的各种格式开发演示应用程序。此外，文档必须使用非标准的工具产生或转换。
而且有各种已知的机制，借此能将功能加到如Web浏览器那样的标准演示引擎。例如Active X控件能自动下载并由Web浏览器执行。Active X是如何让应用软件共享信息的一组规则，且Active X控件能以各种程序语言开发，包括C，C++，Visual Basic，和Java。
Active X控件类似于Java小程序，但与Java小程序不同是Active X控件具有对WindowsTM操作系统的完全访问。MicrosoftTM开发了注册系统，使浏览器能在Active X控件下载之前识别和认证它。Java小程序能在任何平台上运行，然而Active X控件现在限于Windows环境。
称为VBScript的脚本语言使Web作者能将交线式单元嵌入HTML文档以起动Active X控件和其他功能的安装。现在，Microsoft的Web浏览器，InternetExplorerTM支持Java，JavaScript，和Active X，而Netscape的NavigatorTM浏览器只支持Java和JavaScript，虽然它的插入件程序能支持VBScript和Active X。然而，对浏览器的各种插入件程序及追加程序软件的可用性进一步复杂化了用户的使用，并在Web或其他开放网络上实现可靠的DRM系统方面引起了各种问题。
VYOU.COM开发了一系统，用于保护在Web上分发的文档的知识产权。该系统包括到用户的Web浏览器的软件插入件程序。插入件程序包括对表示和传输文档的专有的格式的专有演示引擎。因而，文档必须被重新格式化成专有格式，且使用对合适的最终观看格式的插入件程序的演示引擎，以代替标准的浏览器演示引擎。此安排需要对每种格式开发演示引擎。因而，此系统难以实现，并丧失了作为开放架构的Web的优点。
Web的迅速增长及其在文档分发中的可用性使得希望应用DRM特征于Web浏览器及其他标准演示引擎而不必改写演示引擎。然而，不容易采用传统的DRM技术与Web浏览器和其他标准的演示引擎一起使用，因为它们需要专有的格式及演示引擎，这与Web的开放架构相矛盾。不能够独立于它们的演示引擎控制如Web浏览器那样的应用程序使得难于在分发网络上应用DRM特征。
在Web上实现DRM系统的另外障碍是经常为专用文档，尤其是对专用文档的有限权限支付的费用是相当小的。例如，在许多情况，对专有文档的有限权限费用小于1美元($1.00)。在那样情况，与处理信用卡支付的花费，包括接入费，交易费等与整个文档费用比较是相对大的。对常称为“微交易”那样的相当小的交易，对相应的“微支付”，即相当小的支付，使用信用卡是不实际的。此外，因为每笔信用卡交易作为唯一支付处理，在各种交易中购买大量文档将产生大量小交易，这对信用卡交易不是有效的。
为在因特网上处理微支付和其他支付已开发了各种专有的解决方法，例如CyberCashTM公司和ePayment SystemTM公司都提供了那样的解决方法。而且IntellicentTM对微支付提出了特定的解决方法。然而，这些解决方法没有集成在DRM环境之中。

本发明的目标是便于在如因特网那样的网络上分发文档。本发明的一个方面是用于分发具有与其相关的使用权限的数据文档的系统。该系统包括具有至少一个存储的数字文档的服务器，具有包括能访问演示内容的演示引擎的标准应用程序的客户计算机，连接客户机及服务器的通讯网络，和适应于附着于标准应用程序的安全模块，用于对访问演示引擎施加安全条件。

本发明通过较佳实施例及下列附图描述：
图1是采用DRM技术的文档分发系统的方框图；
图2是较佳实施例的DRM系统的概略表示；
图3是用于使服务器只响应保护的客户的较佳实施例的操作方法的流程图；
图4是用于访问保护的内容的较佳实施例的操作方法的流程图；
图5是用于安装安全模块的较佳实施例的操作方法的流程图；
图6是用于抑制安全模块的较佳实施例的操作方法的流程图；
图7是用于对多个服务器认证一客户的较佳实施例的操作方法的流程图；
图8是用于允许服务器控制客户的用户界面的较佳实施例的操作方法的流程图；
图9是具有对用户界面组件参照的内容的方框图；
图10是用于施加客户专用的水印的较佳实施例的操作方法的流程图；
图11是用于累计交易信息的较佳初稿例的操作方法的流程图；
图12是用于使地址含糊(address obfuseation)的较佳实施例的操作方法的流程图；
图13是对使用HTTP文档传输的异步协议的较佳实施例的操作方法的流程图；
图14是用于软件的动态鉴定的较佳实施例的操作方法的流程图；
图15是用于动态变量加密的较佳实施例的操作方法的流程图；
图16是用于在文档中嵌入安全信息的较佳实施例的操作方法的流程图；
图17是用于根据请求的URL确定使用权限的较佳实施例的操作方法的流程图；
图18是用于下载必要的演示应用程序的较佳实施例的操作方法的流程图；和
图19是用于加时间标记的有效性权标的较佳实施例的操作方法的流程图。

本发明在下面参考较佳实施例描述。很清楚，本发明能嵌入到各种各样的格式中，某些可以与所揭示的实施例的那些十分不同。因而，这里揭示的特定结构和功能细节仅是表示性的，不限止本发明的范围。
图1是用于电子分发数字文档的系统的模型的方框图。作者110创建原始内容112并将其送到分发商120用于分发，通常，作者110是文件的创建者。但是这里使用的术语“作者”能是创建者、拥有者、编辑者，或其他控制内容的其他实体，或那些实体之一的代理(如出版者)。而且作者110能直接分发文档而不涉及如分发商120那样的其他部门，且因而作者与分发商能是同一实体。然而，图1列出的功能划分是更有效，因为它使作者能集中内容的创建，而不是分发的管理功能。此外，那样的划分通过允许分发商120与一系列作者120相关而便于规模的经济性。这里使用的术语“文档”通常涉及任何类型的内容。如文本、声频或其他数据，包括任何加密，格式化等。这里使用的术语“内容”通常涉及文档的基础的信息。然而，这些术语互相交叠，因而这里交替使用。
分发商120按请求分发文档给用户130。在典型的电子分发模型中，内容以加密形式作为文档分发。分发商用随机密钥加密内容并随后用对应于用户130的公共密钥加密随机密钥。因此加密文档仅对特定的用户130客户化。然后用户130能使用他们的私有密钥解密随机密钥并使用它解密并观看该文档。
对文档的支付借助票据交换150所从用户130送到分发商，交换所收集从用户130及从希望看到特定文档的其他用户来的请求。票据交换所150还收集如借方交易、信用卡交易，或其他众知的电子支付方法那样支付信息，并将收集的支付作为批量支付送到分发商120。当然，票据交易所150能留下支付的一部分作为上述服务的费用。分发商120能留下一部分从票据交易所150来的批量支付作为分发服务费并将支付(如版权费)转交给作者110。分发商120在分发文档之前可以等待对单个文档的一堆请求。在那样情况，能产生单个加密文档用于所有请求的用户130解密。
每当用户130请求(或使用)文档时，一个记帐消息被发送到审查服务器140，它保证由用户130的每个请求符合由分发商120送出的文档。记帐信息被审查服务器直接从分发商120接收到。任何不一致通过给票据交易所150的报告发送，交易所随后调整对分发商120作出的批量支付。提出此记帐方案能减少在电子文档分发中欺骗的可能性，并根据使用的期间或其他使用范围处理导致支付改变的依赖时间的使用许可。审查服务器140及票据交易所150相结合能用作交易累计器160，其功能是累计在一段时间周期中的多个交易，并以适当方式向分发商120收费，以减少分发商120的记帐开销。图1中示出的电子文档分发的模型能应用于这里揭示的较佳实施例的电子文档分发系统。此外内容能包括如上所述的使用权限。
图2是按本发明的较佳实施例的文档分发系统的计算机架构的概略表示。如上所述，本发明能结合已知的模型使用，用于使用如票据交易所和审查服务器实现费用的记帐与支付。此外，本发明能结合各种贸易模型使用。因此，为了简化描述，用于审查分发，实现支付和授权文档的装置在这里不再细述，且从较佳实施例的讨论中省略。
如图2所示，数字内容分发系统200包括对应于上述分发商120的分发商服务器220，和对应于上述用户130的客户计算机230。服务器220和客户计算机230能是经编程完成所希望的功能的通用计算机。例如服务器220能是运行Windows NTTM操作系统并包括如ApacheTM或其他HTTP服务器的HTTP服务器软件226的标准服务器或工作站。客户机230能是运行Windows操作系统的个人计算机。在较佳实施例中，服务器220和客户机230均连接到如因特网，或更具体地如Web那样的通讯网络300。因而，客户机230包括浏览器232作为具有演示引擎的标准应用程序。浏览器232能是符合HTTP的浏览器，如Microsoft Internet ExplorerTM或Netscape NavigatorTM。这里使用的短语“标准应用程序”是设计来完成如文档的创建，观看和编辑，并具有演示引擎的任何应用程序。标准应用程序的例子包括文字处理器，Web浏览器，编辑器，观看程序，电子报表程序，数据库程序等。
服务器220具有多个以Web网页方式存储的文档222，用于分发。文档222以加密格式存储。这里使用的术语“加密”，是任何那样的机制，借此通过使用如对称或非对称加密算法，不规则加密算法等部分地或完全地禁止内容的可访问性。服务器220还包括以软件形式的数字权限管理模块224，用于存储和管理与特定的文档，用户和/或支付数量或其他条件有关的使用权限。权限有管理模块224的其他功能在下面更详细地描述。分发商服务器220能是服务器园或其他计算机集团的一部分，它也能包括如图2所示的分发商服务器220’。
客户机230还具有用户界面(UI)模块234和连接模块236，均以软件形式并适合附着浏览器而不需要修改浏览器232。例如，UI模块234和连接模块236能以插入件程序，Active X控件的方式，或以任何能附着于浏览器232的演示引擎而不必修改浏览器232的代码的方式。下面详细描述那样的附着。UI模块234和连接模块236结合起来组成安全模块。这将在下面详述。虽然安全模块237表示成驻留在客户计算机230中，显然安全模块237能包括客户端组件和服务器组件。例如，下述的DRM模块224是安全模块237的服务器端组件。
权限管理模块224是服务器端组件，它能存储使用权限的标签并识别在哪个权限与每个文档222相关。权限还能根据用户访问文档222的请求，由用户通过票据交易所等作出的任何支付，和任何其他条件而改变。例如，众所周知，用户能具有选项，支付一个费用观看文档222或支付较高费用观看并打印同一文档222。如下所述，也能操作权限管理模块224，与文档一起经网络300向客户机230的连接模块236提交适当的权限表。
连接模块236能是客户端软件模块，它通过验证该UI模块234是否附着于浏览器232验证客户的环境的完整性，识别客户机230的用户，即请求内容的个人，检索文档和由权限管理模块224发出的在适当环境中的合适的权限表，解密任何检索的加密文档，并产生任何必要的电子签名和/或密钥。UI模块234是客户端组件，它监管从用户来的对访问文档222的内容的请求，根据由连接模块236检索的权限表允许或拒绝该请求。此外，UI模块234能借助与操作系统API的接口以及如阻断和重定向命令，以下述方式根据权限表禁止客户机230的浏览器232和操作系统的指定功能。连接模块236验证，在客户230的环境中运行的工业标准演示引擎是否尚未以某种方式被窜改或损害，即使用户能以绕过UI模块234的方式访问保护的内容。
本发明能结合众知的如Web那样的客户/服务器网络架构实现而不必修改、排除，或绕过标准的客户软件，服务器软件，和演示引擎。权限管理模块224与现有的服务器软件226一起安装在服务器220中。如上所述，权限管理模块224识别，什么权限存在于或以后将存储到服务器220中的文档222有关。例如，权限管理模块224能具有可编程数据库，查找表等，其中包括以众知的方式与每个文档222及其他变量相关的各种权限、变量是如用户的身份和由用户作出的支付等。权限管理模块224还与服务器220的操作系统API接口，使得服务器软件226只响应从具有如连接模块236和UI模块234那样的安全模块237的合适组件的客户机230来的连结。而且权限管理模块224用作与下述数据库225的接口。
例如，一旦安装了权限有管理模块234，完成图3所示的过程。在步骤203，创建新的DRM起始网页，或其他安全的界面显示，它参照UI模块234和现有的服务器起始网页。在步骤304、服务器220上的网站的各种网页被放置在具有随机标签的目录或任何未知的目录中。在步骤306，编程权限管理模块224，使包括指向此目录的指针，且在步骤308，权限管理模块224加密此目录的URL。在步骤310，修改起始DRM网页使参照UI模块235，后者能命令连接模块236解密该被加密的URL，使允许访问原始的起始网页及网站的其余部分。若客户机230不具有UI模块234和连接模块236，URL不能被解密，因此不能访问服务器220上的网站。
另外，连接模块236能产生电子签名并将此签名与任何对服务器220的URL请求送到服务器220。只有当电子签名出现并有效时，对服务器220上网站的访问能被允许。在此情况，权限管理模块224能包括验证电子签名的程序。
当客户计算机230的用户试图访问具有权限管理模块224的服务器220，权限管理模块224验证，是否如UI模块234那样的所有需要的安全模块237的组件被如上所述地安装在客户机230上。若否，在DRM起始网页中以Java小程序，Active X控键等形式的指令命令浏览器以下面更详述的方式下载并安装UI模块234。下载能从服务器220或其他连接到通讯网络300的服务器完成。那样的下载及安装能使用传统机制以众知的方式完成，且能提示用户授权安装并输入其他必要信息，如哪里存储安装文件。连接模块236能嵌入UI模块234，同时地下载及安装，或经过各自的下载及安装过程。当然，若检测到UI模块234已安装在客户机230，安装步骤跳过。若UI模块234未安装在客户机230，且用户未授权那样的安装，对服务器上文档222的访问被禁止，或限于只访问指定为免费发布的文档。
如上所述，UI模块234和连接模块236是以那样方式，它们能附着于浏览器232而不必修改浏览器232的程序。这里关于模块使用的术语“附着”涉及软件模块。它们能与浏览器组合或连结而不必修改浏览器232的程序。例如，UI模块234和连结模块236在Netscape NavigatorTM情况是插入件程序形式或在Internet ExplorerTM情况是Active X控制形式。开发及安装那样组件的机制是众所周知的。
访问以文档222的形式存储在服务器220上的保护的内容的过程示于图4。在步骤402中，通过其URL以众知的方式访问DRM起始网页。在步骤404，DRM起始网页使UI模块234指向原始的起始网页或由DRM起始网页使用上述方法之一参考的网页。在步骤406，UI模块234创建浏览器232的演示引擎的另外范例，加载原始的起始网页，并命令操作系统使用众知的技术在浏览器窗口显示新的范例。在步骤408由UI模块引导新的范例通过连接模块236从服务器222检索内容。换言之，在较佳实施中，UI模块234阻断从浏览器232来的命令并通过连接模块236重定向它们。UI模块234能命令新的范例如下详述地通过连接模块236利用安全异步协议。因而在步骤410UI保护是有效的，且所有用户界面事件能被阻断及被控制。例如，当用户通过浏览器232的标准用产界面起动“打印”或“拷贝”命令时，UI模块234阻断此请求，且仅当由连接模块236接收的权限组允许完成所请求的功能时才允许作出响应。
具体说来，当连接模块236从浏览器232的演示引擎接收请求时，连接模块236验证，演示引擎是否由UI模块234保护，即UI模块234是否为附着的，且演示引擎是否未被窜改或受其他损害。若是，连接模块236允许连接到服务器220的权限管理模块224，并处理许可，以检索在服务器220上的原始的起始网页和用于网页的权限组。然后权限管理模块224起动在服务器220的服务器软件和客户机230的连接模块236之间的连接。连接能使用任何协议建立，如HTTP或HTTPS或任何其他标准的或专有的连接协议。
然后所请求的文档222被检索并提交给连接模块236，它解密在服务器220上加密的文档222，并以解密的形式将文档以及与该文档相关的权限组一起提交给浏览器232的演示引擎的新的范例。权限组的内容再次根据文档，用户的身份，由用户作出的支付或任何其他合适的参数确定。然后，连接模块236发送权限组到UI模块234，它根据权限组，如上所述地通过控制浏览器236的演示引擎的新范例限止对用户可用的功能。
现在文档的内容能如任何其他网页那样在浏览器232的视察中可观看。然而，浏览器232不具有对文档的网页的直接访问，因为浏览器232被UI模块234或其他安全模块237的组件如下所述地“轮询”。UI模块234防止浏览器232完成在对该文档的权限的范围之外的任何禁止的功能。
较佳实施例使用如浏览器，文字处理器，或任何其他应用或显示程序那样的应用程序的标准演示引擎。较佳实施例通过与应用程序接口并站在应用程序和文档之间达到此目的，以控制对文档的访问。因而不需要对每个文档格式有分别的专有演示引擎。此外，由程序支持的任何数据格式被本发明认为是不必修改的。可以看到，较佳实施例允许DRM系统适应于如TCP/IP那样的标准和浏览器的使用以演示HTML。此外，较佳实施例方便了允许DRM以对用户透明的方式应用于系统对各种功能。下面叙述文档分发系统200的操作方法的若干例子。
在第一例中，客户计算机230原先没有安装所有需要的安全模块237的组件。如图5所示，在步骤502客户计算机230作出对一个或多个文档的分发商服务器的请求。在步骤504，分发商服务器220分析该请求并根据在请求中缺乏电子签名信息(表明安全模块237的组件未加载在客户计算机230中)，发出对客户计算机230的响应，加载安全模块237的必要组件。如上所述，安全模块237的作用是在客户计算机230中施加使用权限。在步骤504送出的响应是针对请求内容的客户类型。例如，若在客户计算机230上的客户软件是Web浏览器，分发商服务器220将送出响应，它是包括可执行软件组件的网页。例如，软件组件能是Java Script或Active Server Pages标准格式的。除了响应，此外，在较佳实施例中的网页能包括对在步骤502中送出的内容的未签名的请求的拷贝。
在步骤506，客户计算机230接收网页并执行包括有关何处得到安全模块237的组件的信息的软件组件，以请求该组件的拷贝。在步骤508，客户计算机230接收并安装安全模块237的组件。使用如上述机制，安全模块237被配置成自动开始在浏览器232中运行，在步骤510，安全模块237随后读出对包含在网页中的内容222的原始请求的拷贝，它调用安全组件237并重新提交带有数字修正案签字的请求给分发商服务器220。在步骤512，分发商服务器220接收签名的请求并验证在请求上的签名。因为此请求是由安全模块237正确签字的，分发商服务器220将文档222提交给安装在客户计算机230上的安全模块237，用于按照与文档222的内容相关的使用权限有和条件由浏览器232演示。图5所示的方法提供自动切入安全控制以便以安全方式无缝地和透明地向用户提供用户为演示内容222所需的软件。安全模块237能包括软件代理，它分析任何演示引擎或客户计算机230的其他组件，在步骤508检验客户环境是否安全。在那样的检验之后，在步骤510安全模块237能再提交该请求。
图6示出较佳实施例的操作方法的另外例子。在步骤602，引导安全模块237从分发商服务器220检索文档222。在此例中文档222是“干净内容”，即未被加密或其他方法遮掩或被限止，并不具有任何使用限止。在步骤604，文档222被服务器220返回到安全模块237。因为文档222未被签名，或加密或标记成需要安全模块237处理的内容，安全模块识别，那是不再需要的。在步骤606，安全模块通知浏览器232，浏览器232应通过发送对内容的原始请求到服务器220而直接请求文档222。然后安全模块237不再使本身成为运行组件，即不活动的，在步骤608保存客户计算机的资源。在步骤610，浏览器236随后重新提交对文档222的请求，它曾是由安全模块237发送的。然后在步骤612分发商服务器220直接将文档提交给浏览器232。
为了维护安全性并实施使用权限，所有对内容的请求最初通过安全模块237作出。然而，当请求返回不需要安全保护的内容时，安全模块237成为潜在的负担，因为它利用了计算机资源。在此例中，若不需要安全模块237，它从运行状态去除。
系统200能使用PKI加密技术，或任何其他加密，密码，或水印技术。当然，每种技术需要对内容作出请求的客户被识别为授权的用户。为鉴别的目的能使用数字凭证或签名。换言之，用于鉴别的目的对电子消息的附加信息与消息一起发送。数字凭证或签名的最通常使用是验证，发送消息的用户宣称他(她)是谁，并为接收者提供编码回答加密密钥的方法。希望发送加密消息的个人能从Certificate Authority(CA)申请数字凭证。CA产生包含申请人的公开密钥和各种其他鉴别信息的加密的数字凭证。CA通过如因特网使它自己的公开密钥容易得到。加密消息的接收者使用CA的公开密钥解密附着于该消息的数字凭证，验证它是否由CA产生，并随后获得保持在此凭证内的发送者的公开密钥及鉴别信息。对数字凭证最广泛使用的标准是X.509。
当在每个被请求内容的服务器重复时，此鉴别过程是累赘的。图7示出较佳实施例的操作方法的另外例子，其中加快了多个服务器的鉴别过程。
如图7所示，在步骤702客户计算机230从分发商计算机220请求文档222。假设使用PKI加密方案，请求能以“Private Client[request]”的形式，其中请求用客户计算机230的私有密钥加密。分发商服务器220检查请求的签名并认识到该请求不是从认证的客户来的并产生唯一的“查问”权标，它在步骤704返回给客户计算机230。在较佳实施例中，查问权标能是以“Private Server[PrivateClient[request]”的形式，其中原始加密请求再次使用分发商服务器220的私有密钥加密。
在步骤706，客户计算机230通过以唯一的方式，即发查问权标信号的方式，转换该查问来回答发生的查问权标。例如，转换能是用分发商服务器220的公开密钥加密查问权标的形式。在此情况，转换是以“[Public Client[PrivateServer[Private Client[request]]]”的形式。然后客户计算机230在步骤708将带着转换后的查问权标的请求重新发送给分发商服务器220。分发商服务器220通过识别该转换，即识别查问权标是它自己的，建立客户的认证，并在步骤710返回请求的文档222。
在许多情况，分发商服务器220是上述服务器园或其他有关计算机组的一部分。因此，不能保证得到对此会话的下一次请求的服务器实际上是产生“查问”权标的同一服务器。例如，下一次会话请求能由分发商服务器220’接收。当在步骤712客户计算机230重能使用同一查问权标发送另外请求且该请求被分发商服务器220’接收时，分发商服务器寻找查问权标的签名，并在步骤714找到属于分发商服务器220的签名。因为分发商服务器220与分发商服务器220’具有信任关系，分发商服务器220’将认可分发商服务器220的查问权标。尤其是，分发商服务器220’估算由客户完成的查问权标的转换，并通过鉴别服务器220为该查问权标的创建者而认证该用户。在步骤716，内容从分发服务器220’提交给客户计算机230。
在此操作方法中，由另外有关服务器文档的权标接收请求的服务器所认可。为简化此过程，密钥不再交换。使用以前与有关服务器密钥交换的方法于有关服务器的组件中的任何另外服务器以加速认证的过程。
如上所述，使用标准的演示引擎对DRM系统出现很大的复杂性。例如，在使用浏览器作为演示引擎时，标准的用户界面包括拷贝和打印命令和其他不必与DRM系统兼容的命令。众所周知，为了在那样情况禁止那样命令，如Windows GUI那样的大多数GUI使对应于禁止命令的菜单选项阴影化。但这常常是不清楚且不满意的，而且，可希望提供针对内容的菜单选项，如好象支付的费用那样的使用权限及实行条件的选择。此外，内容的销售商能希望出现专有商标的用户界面或与其他销售商一致的用户界面。而且在某些情况可以希望高亮度显示如打印按键那样的菜单选项。
图8示出较佳实施例的操作方法，它允许针对内容的工具栏作为浏览器232的用户界面被显示。如上所述，文档222以兼容于演示应用程序，即较佳实施例中的网页的形式存入分发商服务器220。在图9中详细示出文档222，它包括对软件组件220a的参照A及对浏览器工具栏和UI220b的参照B。软件组件220a能是Java小程序，Active X控件等的形式。当内容被演示时，对软件组件的参照由浏览器，即Active X控件，Java小程序来识别。
参考图8，在步骤802浏览器232请求文档222。在步骤804，浏览器232试图演示文档222并跟随参照A执行软件组件220a。然后软件组件220a在步骤806查看调用它的内容222并识别参照B到工具栏及UI220b的描述。然后在步骤808，操作软件组件220a以便根据描述220b建立针对平台/浏览器的工具栏及UI。在步骤810，软件组件220a去除或隐去标准的浏览器UI和工具栏，并用在步骤808建立的那些代替它们，此操作方法允许网站(在此情况是分发商服务器220)支配引导的motif(开放软件基金会的图形接口)，外观，表现，因此将用户的浏览器改制成现场的(site)客户化的按键，颜色，样式，动画式，菜单和工具栏。
图10示出较佳实施例的另一操作方式，其中为了安全及跟踪的目的能对内容应用针对客户，甚至针对范例的水印。数字“水印”的概念是众所周知的，并允许内容的拥有者将信息嵌入到图形和声频文件中，它能用于识别拥有者对这些作品的权限。术语“数字水印”是从传统的水印导出的，它存在于高质量的信纸上端或某些货币中。传统的水印通常对阅者不出现，但在对着光线，就展示的纸的制作商或使用信纸的单位的名字或图徽。类似地，数字水印也用于识别质量及保证真实性的目的。承担数字水印的图形或声频文件能包含关于内容的拥有者的信息或其他信息。数字水印只在某些条件下能被感知，如当内容以未经授权方式打印时。例如，在图象中，数字水印更改图象，以提供由嵌入水印的单位供应的数字信息。此水印能用唯一的或插入件软件观看，并能展示如唯一的识别码，它能跟踪版权拥有者或更复杂的版权所有权信息。
如图10所示，在步骤1002，客户计算机230请求经过通讯通道300从分发商服务器得到文档222。在步骤1004，分发商服务器220提交文档222给安全模块237。注意，文档222在提交给安全模块237时可以有或没有嵌入的水印。在步骤1006，安全模块237在较佳实施例中提交文档222给浏览器232的演示引擎的一个范例，用于以上述方式演示。然后在步骤1008中安全模块237使用有关用于演示内容222的演示引擎的范例的针对范例的信息以便应用针对客户的水印于演示引擎的范例使用的视察。使用任何水印的技术或算法施加针对客户的水印。而且，除了现有的水印外能应用针对客户的水印。针对客户的水印数据能以任何方式存储或产生。
在两种情况，因为水印被应用于客户，它能是该客户所独有的，因而是可跟踪的。分发商服务器220能提交同一文档222到所有客户(因而使服务器方的恨不能紧缩得最小)。然后，客户使用如半透明视察将唯一的水印施加到图象。若内容的消费者随后使用屏幕捕捉或其他未经授权的机制来捕捉内容，则为了跟踪与强制实施的目的被捕捉的内容用对该用户是唯一的ID水印化。
图11示出较佳实施例的使用方式，其中交易支付容易地累计。在步骤1102，客户计算机230在安全模块237必要组件安装之前从分发商服务器220请求文档222。在步骤1104，分发商服务器220随后通知客户计算机，文档222被保护，客户计算机230需要具有安全模块237来演示文档222，以及从哪里能获得安全模块237。在此情况，安全模块237能从与交易累计器160(见图1)有关的计算机获得。在步骤1106，客户计算机通过开通与交易累计器160有关的计算机的会话，从交易累计器160请求安全模块237的必要模块。在步骤1108，交易累计器160以例如传统的方式请求并收集各种用户信息，包括记帐信息等。
交易累计器160产生带隐藏的唯一公开私有密钥对或客户计算机230的身份的其他标记的唯一的安全模块237，并在步骤1110返回安全模块237给客户计算机230。安全模块237创建浏览器232的保护的范例，或其他第三方演示应用程序，强制访问围绕它的保护，并在步骤1112命令它从分发商服务器220检索并演示保护的内容222。分发商服务器220认识到文档222是由用安全模块237保护的演示引擎请求的，并返回文档222。
如附带完全模块的浏览器那样的保护的演示应用程序通知安全模块237，那是关于演示文档222。在步骤1114，安全模块237分析与文档222相关是什么数字权限，并记录回到交易累计器160的适当的付费。交易累计器160跟踪针对由此公开私有密钥的范例访问的许多形式的内容完成的许多小交易，然后将它们累计到单个收费中，并周期地送天财经机构或与安全模块237中的标记(indicia)相关的其他方。
图11的方法允许用户登录一新的网站以起动一交易。若用户的信息已经在可信方(如交易累计器160)的文件中，新网站通过可信方验证该用户。可信方协调所有交易，并周期地，如每月，将结果送到适当的机构。结果，处理交易的费用(常是小额的)从分发商或信用代理送到累计器，这减少了交易的总开销。
新网站不必须获得用户信息的细节，它减少了有关隐私问题的麻烦。此外，对新网站的登录过程简化了。因为网站只使用送到可信方的匿名ID，且只有可信方具有用户的个人和信用信息，用户信息对用户与之交易的新网站是保密的。
较佳实施例的另外的操作方法为安全使用目录的模糊而不需要服务器方的可执行组件。如图12所示，在步骤1202内容的拥有者或在文档222中具有利益的其他方在分发商服务器220上用随机名字或其他难以发现的名字创建子目录，用作文档222的安全定位。然后在步骤1204有利益的方创建网页，它具有对安全模块237的参照和文档222的新安全定位的加密形式。然后在步骤1206，保护的文档222用网页替代，而保护的文档222被移到安全目录。
在步骤1208，客户计算机230发出以上述方式从原始目录检索文档222的请求。在步骤1210，具有加密内容的秘密位置的安全性网页被返回而不是请求的文档。在步骤1212安全模块237解密由网页参照的内容的位置并从安全位置请求文档222。在步骤1214，内容被提交给安全模块237，它创建如较佳实施例中的浏览器那样的保护的演示引擎的范例，并演示文档222。
上述操作方法不需要服务器方可执行，因而是节省的方法，它提供足够的，而不必是最大的安全性。在此例中，为安全的目的，内容被存入具有由随机数(或伪随机数)确定的地址的位置。因此，当用户起动交易时，给用户提供具有以加密形式的位置的HTML页面。安全组件解密该位置，而客户永不会发现该位置。
图13示出较佳实施例的另外操作方法，它为安全起见利用相对定址。在步骤1302，客户计算机的Web浏览器232从分发商服务器220请求内容。分发商服务器认识到，内容请求不是来自合适的安全模块237(如缺乏正确的签名)，可以在步骤1304命令客户计算机230加载安全模块237必要的组件。在步骤1306，安全模块237在现有的浏览器232范例中产生子HTML演示引擎，即浏览器232的范例，使得它能完全控制子HTML演示引擎。然后在步骤1308，安全模块237命令子范例通过安装在安全模块237中的异步协议检索内容，而不是通过HTTP协议和定址。例如，异步协议能是嵌入那里带Active X控件的HTML，以建立安全认证的通讯通道，异步协议能指导浏览器232从另外的网站检索内容，该网站包括防止从不需要或未授权的用户来的访问的过滤技术。在步骤1310文档222被演示。
例如，异步协议能发送用户的址址给第三方，用以验证该用户是需要和授权的。此异步协议使得浏览器232的子范例能经过指定的安全网站请求顶层HTML页面。在顶层页面加载之后，子范例能使用地址前缀检索该页面的所有组成部分。未加保护的内容能经标准的HTTP检索。
通常，安全被传递给HTML用于演示。然而在此例中，使用专有的异步协议检索内容。因而，能使用HTML演示引擎的单个范例“弹出”内容的合成片。例如，能使用标准的HTML演示访问其中包含一个Active X控件的起始网页。该控件产生一子演示引擎，它通过指定的服务器检索内容，该服务器转而访问包括过滤技术等的服务器。注意，网页(合成文档)具有对其他文件及图象的参照。传统上，只有顶层(HTML页面)是保护的，而参照是不保护的。然而在此例中，因为请求通过安全的服务器处理，顶层及参照均是安全的。
图14示出较佳实施例的另外操作方法。该方法通过禁止加载如插入件程序和动态连接库(DLL)那样的编码到演示引擎中提供安全性，除非编码被鉴别为不损害安全性。此方法认识到鉴别能是动态过程，鉴别之后应立即允许用户使用鉴定的软件。
在步骤1402，在较佳实施例中客户计算机230的安全模块237加载演示应用程序，浏览器232的一个范例。浏览器232在步骤1404请求加载第三方附加程序，如DLL。在步骤1406，安全模块阻断请求并查询包括可信的鉴定的第三方附加程序列表的当地数据库225。在步骤1408，若安全模块237未找到试图加载的第三方程序，安全模块237接触可信服务器，更新其经鉴定的可信的第三方程序的数据库。若在更新表中找到第三方程序，在步骤1410，安全模块237允许加载第三方程序到演示引擎。若不步骤1406中判定是，通过数据库225中列表，该程序是经鉴定的，则方法直接进到步骤1410。若在步骤1408中的判定是，该程序在更新的数据库中不是经鉴定的，在步骤1412禁止加载。
每当演示应用程序希望加载任何可执行编码时，它应经批准，即经鉴定，以避免损害安全性。若在安全组件包装时，第三方软件未准备鉴定，它不能包括在安全模块的批准表中。若该程序以后被批准，通过登录到服务器程序的签名与更新的表比较，那个服务器具有更新的鉴定数据库，如数据库225。
图15示出较佳实施例的操作方法，它很适合于以视频或其他大文件形式内容的转换。众所周知，加密部分数据减轻了开销并加快了数据转换速度而仍然提供一定程度的安全性。然而，在图15示出的方法中，数据流加密的百分比适应于网络的等待时间，连接速度及其他因素。在步骤1502，由客户计算机请求文档222。在步骤1504，分发商220通过审查数据库，使用权限或与文档222有关的其他加密指示确定加密的百分比。那样的信息能存储在数字权限管理模块2。例如加密的指示能规定，加密大于指定的百分比或在指定百分比的范围内。
在步骤1506，分发商服务器220以已知的方式监管与数据转换有关的各种条件，如文档222的文件长度，网络等待时间，通讯速度等。在步骤1508，分发商服务器220根据步骤1506中监视的条件和步骤1504中判定的加密量加密部分文档222。步骤1506和1508连续地迭代地进行，直到整个文档222被转换。在步骤1510，安全模块237解密内容并将其提交给演示应用软件，即较佳实施例中的浏览器232。
数据流的可变部分(百分比)被加密。内容数据能根据时间间隔或字节长度被划分。例如10字节加密，90字节不加密，加密的百分比能是自适应的。即，根据数据文件长度和其他条件，在不同场合，加密的百分比能在规定的值之间变化以加速其过程。
已知在HTTP文档在主体中嵌入签名和其他安全信息。然而，那样的做法需要专门的安全标签，并难以管理，因为安全信息必须对文档作语法分析。但是图16中示出的较佳实施例的操作方式为了传递安全信息，通过只使用HTML的标题简化了操作。
在步骤1602，由安全模块237调整浏览器232从分发商服务器220请求文档222，并安全模块开通到分发商服务器220的标准HTTP或HTTPS连接。在步骤1604，起着标准HTTP服务器作用的分发商服务器220检索或建立文档222用于下载。尤其是，数字权限管理模块224或分发商服务器220的另外安全模块组件通过嵌入HTTP请求的标题中的安全信息认证请求的客户，并形成标准HTTP回答。
在步骤1606，分发商服务器220插入安全信息到HTTP回答的标题中。例如，如签名那样的安全信息能是HTML文档中

标签的属性，如下所示：

Signature＝13490680486724869My Book”，它按标准的HTML规划演示。签名是作为标题的属性的数，并不被演示，但能为了安全的目的挑出。在步骤1608，该回答被送到客户计算机的安全模块237。在步骤1610，安全模块237分析在回答的标题中的安全信息，并按照用安全信息描述或相关的使用权限将文档222的内容送到浏览器232，用于演示。
因为所有安全信息包含在标题中，最终的DRM系统更少被干涉且更容易管理。而且新的安全标签方案或其他规定不是必需的。安全组件只需要知道观察标题以得到安全信息。
内容和使用权限有常是动态的。例如，内容能随时间改变，且使用权限有能随时间改变并能取决于对内容的请求从哪里来。例如若文档是从现场或安全计算机请求，公司能让雇员打印或保存文档。然而，同样雇员从家里请求同样的文档可能只允许观看该文档。图17示出较佳实施例的使用方法，它提供了地址以及为定址这些结果的URL过滤。
在步骤1702，具有安全模块237的客户计算机230请求安全文档222。在步骤1704，分发商服务器220从内容222的静态或动态来源聚集信息，并以已知方式建立响应。在响应被建立之后，安全模块237的服务器端的响应访问数据库225，在步骤1706将URL的正规表达式映射到使用权限。在步骤1708，安全模块237的服务组件通过选择对应于在数据库225中的URL的权限，根据请求的URL插入与回答相关的权限。然后该回答被送到客户计算机，在安全模块237的客户端组件的控制下按照插入的使用权限演示所请求的内容222。
图为使用了URL定址和目录定址，能合适地处理动态的内容和由进入请求的URL最发识别的内容。目录被过滤以便提供高层次的可信度，使得无论使用哪个URL达到存储在服务器的文件，作为文件存储在分发商服务器220的内容不能提交给未经授权的用户。通过使用两种类型的过滤器，内容的拥有者在判定什么内容应被保护以及保护到什么程度方面具有灵活性。此外，将安全内容放在HTML文档的标题中使得动态内容容易被处理，因为内容的本体不必为安全而修改，因此允许动态内容被用于在变化中建立文档。
在演示内容时，尤其在经过因特网或其他网络分发内容时常常面临的另外的问题是用户不总是具有正确的演示应用程序。例如，当下载PDF文件时，内容的提供者常常告诫用户必须用Adobe Acrobat ReaderTM，甚至能提供下载该软件的链接。若用户不下载该软件，他们不能演示内容。然而，下载软件需要观看者方面很大的动作，如点击链接，选择下载的目录，执行安装软件等。在许多情况，用户选择不下载内容以避免安装正确演示应用程序的繁复过程。在DRM系统中，若安全组件未附着于新安装的演示应用程序，对多重演示应用程序的需要更引起了安全性问题。
图18示出以对用户透明的方式提供正确的演示应用程序的使用方式。在步骤1802，客户计算机230请求不能由浏览器232演示的文件格式的文档222，在步骤1804，文档222被包装成同样格式的文件，但被“装扮”成HTML文件。例如，WindowsTM操作系统用文件扩展名识别文件类型。在那种情况中，如PDF文件那样的文件能带看“HTM”扩展名命名，由客户计算机识别成HTML文件。
在步骤1806，文件被下载到客户计算机230，用户“打开”该文件，客户计算机将其认作HTML文件。因而浏览器232作为默认的HTML查看程序起动。在步骤1808，浏览232开始演示HTML并寻找对如Active X控件或Java小程序的嵌入应用程序的参照。在步骤1810，嵌入浏览器的应用程序引起浏览器232校验，并发现所参照的应用程序未安装在客户计算机230上。在步骤1812，浏览器跟随文件中的参照下载该应用程序，随后如上述那样应用程序被安装在客户计算机230并附着于安全模块237。在步骤1814，现用作演示的应用程序由安全模块237引导从HTML文件中检索内容并演示该内容。
分配新的文件类型扩展名的缺点在于，若用户接收你的一个数据文件且没有注册的应用软件处理该请求，则用户不能用此内容继续进行，或必须人工安装新的应用软件。但若新的文件类型被包装在HTML文件中，则Web浏览器加载该HTML文件且自动地寻找该编码(JavaScripts等)。若该编码在客户平台上看到注册的应用软件，它将包含的数据送到客户应用程序。若没有找到处理该数据类型的应用程序，它调用浏览器以引导到下载合适的演示应用程序的一方。
在如因特网那样的网络上分发内容时的另外安全问题是有可能黑客阻断消息并“破坏”加密例行程序以获取对保护内容的访问。绕过加密常常由于需要执行复杂的软件算法或产生随机数而需要相当大量时间(如若干涉)。图19示出一较佳实施例的操作方法，其中通过创建在短的时间周期之后会过时的权标减少了加密被绕过的危险。
在步骤1902，客户计算机请求安全内容222。假设安全模块237的服务器方安全组件尚未认证客户计算机230，在步骤1904分发商服务器120产生有时间标记的查问权标。在步骤1906客户计算机230，接收该权标并使用其非唯一的公开密钥私有密钥对加入一请求且以已知方式签署，并将签署的权标返回给分发商服务器220。接收到签署的权标后，在步骤1908分发商服务器220验证客户计算机230的签名并通过检查时间标记校验以查看何时产生该权标。若该权标产生时间在以签署方式接收前已超过预定时间周期如0.5秒，则即使签署是正确的该权标不再有效，在步骤1910，对内容222的访问被拒绝。
时间标记指出该签名多长有效(通常是很短时间，它允许正确签名但不允许加密被绕过)或签名建立的时间。若未授权方阻断该消息并企图在以后伪造此消息，则签名将过期，不再有效。
本发明能使用任何类型的通讯硬件和协议经任何类型的通讯网络实现，如因特网，局域网(LAN)，广域网(WAN)，直接计算机连接等。任何类型的硬件或硬件组合能用于各种客户机及服务器。因而，这里使用的术语“客户”及“服务器”能是任何类型的计算设备或数据终端，如个人计算机、便携机、转储终端、瘦客户、手持设备、无线电话，或那些设备的任意组合。各种客户和服务器能是单个位置的单台计算机，或单个位置或多个位置的多台计算机。例如，服务器能包括多台冗余计算，它们是分布在不同位置的协同定位设备，便于伸缩。能具有任何数目的客户和任何数目的服务器。客户能与服务器在物理上位于同一硬件中。
能使用任何合适的服务器及客户端软件和任何通讯协议。通讯能经过电缆、光缆，任何其他线缆，或使用无线电频率的无线方式，红外线或其技术实现。各种信息能以任何格式存储，因此这里使用的术语“数据库”意为任何的信息集合，如数据库文件，查找表等。文档能是任何类型并能包含任何类型内容，如文本、声频信息，视频信息或多种类型内容的组合。上述描述成软件组件的本发明的部分能作为硬件实现。此外，虽然某些功能块在这里描述成分别的及各自独立的，这些功能块能联合并在单台通用计算机上实现，或可本专业所知道的进一步分割成子功能。权限组能是一个或多个权限，或操纵文档使用的规划，能以任何合适的形式，并能根据各种参数，如文档类型，用户的身份，由用户的支付等。各种软件模块能位于客户端或服务器。例如安全模块能包括在服务器方和/或客户方一个或多个组件以适合完成上述的各种功能。
虽然上面已经详细描述了本发明的较佳实施例，应该看到，本发明的其他格式，另选方案，修改，版本更新和变化是同样可行并对本专业熟练人士是显然的。可揭示的内容不试图将本发明限于任何特定实施例，而试图包容所有那样的形式，另选方案，修改，版本更新和变化。因而，本发明的真实范围由附后的权利要求及合法的等效内容所确定。