软件和其他数字介质的盗版和非法复制已经变得极其普遍，通常 导致全世界的媒介和软件拥有者数十亿的利润损失。这一问题随着更 快和更有技术的先进计算机的到来、廉价大容量存储器(即，CDs，DVDs) 的开发，以及帮助数字盗版的各个方面的复制设备诸如CD刻录机变得 更复杂。
每个技术成就表面上看来产生非法复制属于另一个的知识产权的 新的和更好的方法。数字盗版的例子包括：复制专有软件以便出售给 他人、在几个不同系统上安装单一专有软件包、将专有软件的拷贝放 在Internet上或甚至从Internet下载版权图象。
尽管在已经合法购买软件的许多终端用户中，数字盗版是相当普 遍，大规模盗版通常发生在再销售商层。例如，再销售商可以复制和 将软件程序、数字音频文件或数字视频文件的多个拷贝分发给不同用 户。这些仿造版本有时被传递到未怀疑的用户。已知硬件销售商使用 单个软件包预载不同系统。在这些例子中，未向用户提供原始手册、 磁盘和/或光盘(CDs)或简单地提供其盗版拷贝。
已经设计了防止数字盗版的蔓延问题的许多方法。一个方法是使 用试用版软件(trialware)来限制使用软件产品。可以通过将截止日 期或使用次数编程为软件程序来实现试用版软件。这种方案分别将软 件产品的使用限制到特定持续时间或试用时间(trial time)，在此之 后，不再运行受保护的应用程序。然后迫使用户购买全版产品或完全 退出使用它。
硬件密钥是另一种防盗版设备，通常用来防止非法使用软件。硬 件密钥是插入所选定的计算机端口的设备。只要执行软件，那么它用 与检测其他硬件设备(诸如打印机、监视器或鼠标)类似的方式，检 测硬件密钥的存在。编程软件以便它仅当连接适当的硬件密钥时才操 作，防止非法使用软件。由于分配终端用户的硬件密钥的数量对应于 所购买的客户访问许可证(seat license)的数量，当安装在没有必 要硬件密钥的另一系统上时，该软件将不起作用。
另一通用的防盗版技术是要求在安装软件之前，输入由软件公司 提供的某一注册密钥。传统上，仅与原始软件包一起给予注册密钥， 尽管一些被电子地发行。不幸地是，无法防止注册密钥的持有者将软 件安装在几个系统上。另外，许多电子注册密钥基于用户的个人信息 (即，诸如用户名)，因此，一些黑客已经开发了计算用于任意名的注 册密钥的程序。
不幸的是，通过使用注册密钥，黑客很容易避开所有上述防盗版 系统(以及许多其他系统)。对抗这些防盗版技术的通用方法是将应用 编程接口(API)的编码反汇编成汇编语言，此后，将汇编语言反编译 成编程语言。通过从程序流获得的知识，黑客能容易重写程序或在程 序本身内设置某些条件，以致回避所有防盗版验证算法。
由上文看来，非常需要具有不能由计算机黑客或其他数字盗版容 易重编程或回避的防盗版系统。还需要具有能与现有大容量存储设备 结合的防盗版系统。

根据本发明的一个方面，本发明提供一种用于在信息网络上向用 户本地的数字处理系统提供对发送自远程的信息提供者的信息进行数 据存取控制的方法，包括：(a)将控制设备连接到所述数字处理系统； (b)通过执行用户验证处理，获得用户身份；(c)当验证所述用户身份 时，从控制设备的第一存储单元检索初始化信息；(d)经所述信息网络， 通过所述数字处理系统，将所述初始化信息提供到所述信息提供者； (e)当接收到用户身份的确认时，在所述控制设备和信息提供者间建立 通信；(f)从所述信息提供者获得信息；以及，(g)将所述信息存储在 所述控制设备的第二存储单元中。
根据本发明的另一个方面，提供一种用于在信息网络上向用户本 地的数字处理系统提供对发送自远程的信息提供者的信息进行数据存 取控制的存储和防盗版设备，其可操作地连结到所述数字处理系统； 通过执行用户验证处理，获得用户身份；当验证了所述用户身份时， 从所述控制和防盗版设备的第一存储单元检索初始化信息；经所述信 息网络，通过所述数字处理系统，将所述初始化信息提供到所述信息 提供者；当接收到用户身份的确认时，在所述控制和防盗版设备和信 息提供者间建立通信；从所述信息提供者获得信息；以及，将所述信 息存储在所述控制和防盗版设备的第二存储单元中。
根据本发明的再一个方面，提供一种用于由用户存取受限信息的方 法，所述方法包括步骤：将便携式存储设备连接到具有用户界面的本 地客户计算机的通信端口，所述客户计算机可通信地连接到网络上的 远程内容服务器，所述内容服务器存储受限信息，所述便携式存储设 备具有位于其上的生物检测器并能相对于所存储的授权用户的生物模 板，校验用户身份；使用所述生物检测器，捕获请求的生物信息；所 提供的所述便携式存储设备验证所述请求者的身份，将第一通知从所 述便携式存储设备传送到所述内容服务器；从所述内容服务器接收设 备验证请求，以及响应于此，将设备验证应答从所述便携式存储设备 传送到所述内容服务器，所述设备验证应答用于完成所述内容服务器 和所述便携式存储设备间的验证握手；从所述内容服务器接收密钥请 求，以及响应于此，将表示所述请求者的第一密钥从所述便携式存储 设备传送到所述内容服务器，所述第一密钥用于允许所述内容服务器 确认所述请求者的身份；从所述内容服务器接收所述受限信息；使用 表示所述请求者的身份的第二密钥，加密所述受限信息；以及，以加 密的形式，将所述受限信息存储到所述便携式存储设备中，其中，不 使用所述第二密钥，不能解密所述所存储加密信息。
根据本发明的一个方面，提供SAKE的方法，其中将SAKE连接到 主机或客户系统上以及SAKE通过其生物传感器获得用户的生物身份信 息。根据存储在SAKE的内部存储单元中的生物模板，校验用户的生物 身份信息，诸如指纹。从SAKE的内部存储单元检索与用户有关的包括 公钥的各种初始化信息，以及经计算机网络诸如Internet，通过主机 系统将初始化信息提供到信息提供者或Internet服务提供者(“ISP”)。 在校验初始化信息后，在SAKE和信息提供者间建立网络通信。当SAKE 从信息提供者获得信息时，加密该信息并存储在SAKE内的闪速存储器 中。
从下面阐述的细节描述、附图和权利要求书，本发明的另外的特 征和优点将是显而易见的。

从下述给出的详细描述和本发明的各个实施例的附图，将更全面 地理解本发明，然而，不应当视为将本发明限制到具体的实施例，而 仅是用于说明和理解。
图1示例说明根据本发明的一个实施例，校验来自主机的密码的 验证系统的示意图。
图2示例说明根据本发明的另一实施例，校验来自主机的密码的 验证系统的示意图。
图3示例说明根据本发明的另一实施例，校验来自主机的密码的 验证系统的示意图。
图4示例说明根据本发明的另一实施例，校验来自主机的密码的 验证系统的示意图。
图5示例说明根据本发明的一个实施例，验证来自主机的密码的 方法。
图6示例说明根据本发明的另一实施例，使用防盗版文件管理器 的计算机系统的示意图。
图7示例说明根据本发明的另一实施例，用于从万维网服务器接 收数据的验证系统的示意图。
图8示例说明根据本发明的一个实施例的网络结构。
图9是根据本发明的一个实施例，示例说明SAKE设备的框图。
图10是根据本发明的一个实施例，示例说明在网络上提供数据存 取控制的方法的流程图。
图11是表示本发明的验证方法的实施例的各个步骤的流程图。

论述用于在Internet上提供数据存取控制的装置和方法。
在下述描述中，为说明目的，阐述各个具体的细节以便提供本发 明的全面理解。然而，对本领域的技术人员来说，实施本发明可以不 要求这些具体的细节是显而易见的。在其他情况下，以框图形式给出 非常公知的电路和设备以便避免使本发明不清楚。
应理解到本发明可以包含使用公知技术，诸如例如CMOS(“互补金 属氧化物半导体”)技术，或其他半导体制造工艺很容易制造的晶体管 电路。另外，可以通过用于制造数字设备的其他制造工艺实现本发明。
图1示例说明根据本发明的一个实施例，校验来自主机14的密码 12的验证系统10。验证系统10包括第一存储单元16、只读存储器(ROM) 单元18和微控制器20。微控制器20连接到主机14、第一存储单元16、 ROM单元18和第二存储单元22。微控制器20最好通过通用串行总线 (USB)控制器连接到主机14。
在本发明的另一实施例中，ROM单元18可以形成为微控制器20 的一部分。此外，第一存储单元16和第二存储单元22可以是多个大 容量存储设备的一个，包括硬盘驱动器、软盘或移动闪速存储设备， 诸如由Trek2000制造的ThumbDrive。另外，两个存储单元可以用在一 个物理结构中以便形成单一大容量存储设备。大容量存储设备也可以 与微控制器20放在一起以便形成单一芯片。
第一存储单元16存储验证序列24，其用来校验密码12。验证密 码12的验证算法26和验证序列24一起被编码在ROM单元18上。另 外，ROM单元18最好包括关机算法(shutdown algorithm)28。因为 这些算法和其他数据是硬编码的，ROM单元18的内容不能被再编译或 再修改。在接收密码12后，微控制器20加载和执行验证算法26以便 校验密码12和验证序列24。只有当校验密码12后，才允许存取第二 存储单元22。
在从微控制器20接收询问后，可以由用户或主机14执行的软件 程序输入密码12。因为验证算法26被硬编码在ROM单元18上，复制 或再编译和改变驻留在主机14上的软件程序不破坏由本发明提供的版 权保护。对本领域的技术人员来说密码12可以是私有字符串、通信协 议序列或仅授权用户所知的其他一些保密协议是显而易见的。另外， 密码12和验证序列24可以通过使用用户的指纹、虹膜、脸或语音作 为验证手段，形成为生物验证的一部分。
密码12还可以被编程到在主机14上运行的软件上以及仅可以由 验证算法26识别，因此，对终端用户是未知的。如上所述，最好在硬 件或固件(诸如ROM单元18)上实现验证算法26以便其防篡改；即， 验证算法26将极其难以逆操纵或抽取数据，因此极其难以回避。
关机算法28最好通过如果由微控制器20接收到一系列不正确密 码，停止整个系统来实现，以阻止蛮力攻击。验证系统程序员可以定 义在系统关机前允许的不正确密码的最大次数。关机算法28还可以编 程以便不再接受达特定次数的密码输入。通过使用关机算法28，由蛮 力应用程序使用来识别密码12的试验和误差方法对黑客来说将变成缓 慢的过程。因此，算法阻止潜在的黑客试图识别密码12。
第二存储单元22用来存储主机12上的程序运行所需的程序和/或 文件。这种文件的例子包括可执行程序(诸如软件安装程序)、数字音 频文件、数字视频文件、图象文件、文本文件和库文件。微控制器20 只有当由微控制器20接收到正确密码12后，才允许从主机14存取第 二存储单元22。
尽管在这一实施例中示例为单个实体，对本领域的技术人员来说 可以用多个方法组合微控制器20、第一存储单元16、ROM单元18和第 二存储单元22应当是显而易见的。例如，可以在单个半导体芯片上实 现微控制器20、第一存储单元16、ROM单元18和第二存储单元22。 在另一实施例中，可以在与存储单元分开的芯片上实现微控制器20和 ROM单元18。
因此，本发明具有很大的设计灵活性，可以根据用户需求容易改 变。例如，一方面，使用多个芯片可以允许不同的卖方制造验证系统 的不同部分。另一方面，将本发明制作在更少芯片(或单一芯片)上 可以更廉价并提供更好的性能。另外，如果ROM单元18和微控制器20 位于相同芯片上，更难以分开ROM以便读取存储在其上的数据。
图2示例说明根据本发明的另一实施例，校验来自主机54的密码 52的验证系统50。验证系统50包括第一存储单元56、ROM单元58和 微控制器60。微控制器60连接到主机54、第一存储单元56、ROM单 元58和编码器62上。编码器62进一步连接到第二存储单元64。第一 存储单元54存储用来校验密码52的验证序列66。验证密码52的验证 算法68被编程到ROM单元58上。ROM单元58最好包括关机算法70。
在接收密码52后，微控制器60加载和执行验证算法68以便通过 验证序列66校验密码52。只有当校验密码52后，才允许存取第二存 储单元64。如果由微控制器60接收一系列错误密码，关机算法70最 好停止整个系统。验证系统程序员确定允许尝试不正确密码的最大次 数。
首先分别由编码器解密或加密将从第二存储单元64上读取或写到 其上的数据。可以由编码器62使用许多不同的加密方案，包括国际数 据加密算法(IDEA)、数据加密标准(DES)加密、三重数据加密标准 (3-DES)加密和高质量保密标准(PGP)。通过加密第二存储单元64 的内容，即使黑客设法读取回避微控制器60的内容(例如通过使用探 查)，也不能懂得内容的含义。在已经验证过密码52后，可以使用解 码器(未示出)来解密第二存储单元64的内容。
另外，存储在第二存储单元64中的数据可以由散列编码保护。另 外，验证序列66最好也加密或散列以便防止黑客拆开验证序列66。如 果第一存储单元56位于第二存储单元64中，这可以不需要另外的编 码器来实现。
图3示例说明根据本发明的另一实施例，校验来自主机104的密 码102的验证系统100的示意图。验证系统100包括ROM单元106和 微控制器108。微控制器108连接到主机104、ROM单元106和编码器 110。编码器110进一步连接到存储单元112。验证密码102的验证算 法114被编程到ROM单元106上。校验密码102的验证序列116被硬 编码到验证算法114上。ROM单元106最好包括关机算法118。
如在前实施例所述，在接收密码102后，微控制器108加载和执 行验证算法114以便通过验证序列116校验密码102。仅在校验密码 102后，才允许存取存储单元112。如果由微控制器108接收一系列不 正确的密码后，最好使用关机算法118来停止整个系统。
通过直接将验证序列116硬编码到验证算法114，可以在多个位 置，修改验证序列116实质上变得更困难。为改变硬编码验证序列， 不仅需要重新编译(如果使用编译语言)，而且要求足够理解实现以便 确保改变将不导致程序故障。这种措施使得黑客更难重新编程验证系 统100。
图4示例说明根据本发明的另一实施例，校验来自主机154的密 码152的验证系统150。验证系统150包括只读存储器(ROM)单元156 和微控制器158。微控制器158连接到主机154、ROM单元156和编码 器160。编码器160进一步连接到存储单元162。首先分别由编码器160 解密或加密从存储单元162读取或写到其上的的数据。另外，可以采 用散列编码以便保护存储在存储单元162上的数据。
存储单元162由两种类型的数据存储区组成：公用存储区164和 专用存储区166。用来校验密码152的验证序列168存储在专用存储区 166上。验证密码152的验证算法170被编程到ROM单元156上。ROM 单元156还包含关机算法172。通过未宣告在存储单元162上可用的存 储器大小，可以创建公用存储区164和专用存储区166。
例如，具有从000至1000的物理地址的存储单元，只有当向主机 154上的操作系统(OS)诸如Windows宣告物理地址000至500，OS 将不知道存在物理地址501至1000。在这种情况下，存储在物理地 址000至500内的数据将可由任一用户存取。这一区称为公用存储区。 相反地，未宣告的物理地址501至1000形成专用存储区，因为这些地 址仅可用于微控制器158并仅能由授权用户或软件程序存取。
在未保密操作条件下，任一用户可以指示主机154来从公用存储 区164上读取数据或将数据写到公用存储区164上。然而，如果用户 希望存取公用存储区166，用户或软件程序必须首先输入密码152，然 后将其发送到微控制器158，用于验证。在接收密码152后，微控制器 158执行验证算法170以便通过验证序列168校验密码152。只有当校 验密码152后，才允许存取专用存储区166。如果由微控制器158接收 到一系列不正确密码，关机算法172停止整个系统。
图5示例说明根据本发明的一个实施例，用于验证来自主机的密 码的方法200。首先在块202提供验证序列并最好存储在第一存储单元 中。同时在另一块204中提供存储在ROM单元中的验证算法。在从主 机接收提示后，由用户或软件程序输入密码。然后，在块206由执行 验证算法的微控制器接收密码以便在判定块208通过验证序列校验密 码。
如果在判定块208中校验密码，在块210中将允许存取专用区， 诸如上述实施例中的第二存储单元。然后，用户能读取或写入第二存 储单元，最好是加密的。如果在判定块208中未校验密码，用户将不 拒绝存取第二存储单元以及方法200将在块212中结束。另外，如果 密码不正确，将给予用户另外的机会来输入正确密码。然而，如果由 微控制器接收到一系列不正确密码，最好停止系统。
图6示例说明根据本发明的另一实施例，使用防盗版文件管理器 252的计算机系统250的示意图。防盗版文件管理器252连接到防盗版 验证机254和存储单元256。防盗版管理器252应答来自多个软件程序 258的请求，多个软件程序258请求来自防盗版验证机254的不同验证 方案。由验证系统260保护存取存储单元256。在这一示例性系统中， 本发明的灵活性通过防盗版文件管理器252允许同时验证许多不同类 型的软件程序。
图7示例说明根据本发明的另一实施例，用于从万维网服务器302 接收数据的验证系统300的示意图。验证系统300连接到主机304，主 机304通常通过拨号或宽带连接连接到万维网服务器302。主机304 最好经USB连接器连接到验证系统300。主机304的例子包括个人计算 机(PC)、个人数字助理(PDA)、允许无线应用协议(允许WAP)的移 动电话和输入板。
为从万维网服务器302检索数据，通过验证系统300校验由主机 304接收的密码。通常由用户或主机中的软件输入密码。如果由用户输 入密码，还可以将验证系统配置成接受生物密码，诸如指纹或视网膜 扫描。如果验证成功，验证系统300通过主机304发送存取万维网服 务器302的请求。在接收到该请求后，万维网服务器302准许存取具 有保密数据的网页。该数据可以以音乐文件或在线书或软件程序的形 式。因为硬编码验证系统300中的验证算法，未授权用户将不能规避 或改变验证系统300中的校验方案，因此，将不能存取万维网服务器 302上的数据。
在本发明的另一实施例中，密码将嵌入将从Internet检索的数据 中。主机304将用于数据的请求发送到万维网服务器302。在接收到该 请求后，万维网服务器302将嵌入所请求的数据中的密码发送到验证 系统300用于校验。如果校验成功，在显示或执行它后，验证系统300 允许主机304存取数据。在优选实施例中，加密来自万维网服务器302 的数据。在用在主机304或存储在验证系统300之前，在验证系统300 中执行数据的解密。
通过考虑本发明的说明和原理，对本领域的技术人员来说，本发 明的其他实施例将是显而易见的。此外，某些术语用于描述清楚的目 的，而不限制本发明。上述实施例和优选特征应当视为示例性的，由 附加权利要求书限定本发明。
存储防盗版密钥加密设备(“SAKE”)的概述
根据本发明的一个方面，提供SAKE的方法，其中SAKE连接到主 机或客户系统上，以及SAKE通过其生物传感器接收用户生物身份信息。 根据存储在SAKE的内部存储单元中的生物模板，校验用户生物身份信 息，诸如指纹。从SAKE的内部存储单元检索与用户有关的包括公钥的 各种初始化信息，以及经计算机网络诸如Internet，通过主机系统将 初始化信息提供到信息提供者或Internet服务提供者(“ISP”)。在校 验初始化信息后，在SAKE和信息提供者间建立网络通信。当SAKE从 信息提供者获得信息时，加密该信息并存储在SAKE内的闪速存储器中。
在一个实施例中，SAKE是包括板上生物校验能力的存储和防盗版 设备。SAKE具有通用连接性能力，诸如USB连接器。高速数据传送和 大容量存储能力是SAKE的另一优点。例如，SAKE可以具有一千兆字节 的存储容量以及具有达每秒1千兆比特的存取速度。下面将论述SAKE 的更详细的描述。
图8示例说明根据本发明的一个实施例的网络结构800。网络结构 800包括多个SAKEs802、主机系统、Internet810和各个信息提供者、 内容提供者和/或ISPs。主机系统在一个方面中包括个人计算机(“PC”) 804、膝上型电脑805、个人数字助理(“PDA”)和其他数字处理系统， 诸如服务器、小型计算机、大型计算机、销售点机、工作站等等。 Internet810在另一实施例中可以是内联网、广域网(“WAN”)和/或局 域网(“LAN”)。信息提供者包括在线交易820、Internet站点830、销 售服务840、个人医疗信息850、电子学习资料860、图书馆865、出 版商870、音乐875和TV游戏以及电影880。对本领域的技术人员来 说其他功能块也能增加到网络结构800上是显而易见的。
在线交易820的内容提供者包括各种在线销售交易，其包括 Internet上的商品、软件、信息和网络服务的在线销售。在一个实施 例中，SAKE802提供保密交易，其包含在用户和信息提供者间存取、购 买和下载产品。使用SAKE的优点是防止未授权、无节制地复制商业信 息。
Internet站点830的内容提供者包括各个受限的万维网站，其要 求例如会员资格来存取放在受限万维网站上的信息。在一个实施例中， SAKE82提供对受限Internet站点的受控访问。在另一实施例中， SAKE802提供受控分发由SAKE接收的信息的方法。在这种情况下，使 用SAKE的优点是防止未授权访问。
服务840的内容提供者在一个方面中包括提供支持、资源和/或升 级的各种在线服务。在一个实施例中，SAKE802提供向授权和/或注册 服务的客户提供服务和/或升级的方法。在这种情况下，使用SAKE的 优点是防止未授权方接收服务。
医疗数据850的内容提供者在一个方面中包含医疗信息，诸如受 限医院万维网站。在一个实施例中，SAKE802提供保密方法以便从用于 医疗数据850的内容提供者检索Internet上的个人医疗信息。在这种 情况下，使用SAKE的优点是防止未授权方存取个人医疗数据。
电子学习860的内容提供者在一个方面中包括可以粘贴在网页上 或从万维网站下载的在线教育资料。在一个实施例中，SAKE802提供保 密方法以便从内容提供者将各种教育和/或学习资料下载到授权和/或 注册的各个用户，从而接收教育资料。在这种情况下，使用SAKE的优 点是防止未授权方从电子学习860的内容提供者下载教育资料。
图书馆865和出版商870的内容提供者在一个方面中包括能借或 购买的各种在线书籍和文章。在一个实施例中，SAKE802通过下载用于 授权用户的书籍和/或文章的数字拷贝，提供购买或借的保密方法。在 这种情况下，使用SAKE的优点是防止未授权方获得粘贴在万维网站上 的书籍和文章的拷贝。
音乐875和电视游戏/电影880的内容提供者在一个方面中包括能 借或购买的各种在线数字音乐和游戏/电影。在一个实施例中，SAKE802 提供用于授权用户购买或借音乐、游戏和/或电影的数字拷贝的保密方 法。在这种情况下，使用SAKE的优点是防止未授权方获得粘贴在万维 网站上的音乐、游戏和/或电影的拷贝。
在操作中，当例如用户想从万维网站购买软件时，SAKE首先验证 用户，其可以包含生物识别过程。在校验用户的身份后，SAKE告知万 维网站访问请求和保密码。在确认访问请求和保密码后，能通过ISP 起作用的万维网站在Internet810上与SAKE建立网络通信。随后将加 密公钥从SAKE转发到万维网站以便确认用户的真实身份。只要由万维 网站确认该用户身份，其将所请求的软件经SAKE的主机系统发送到 SAKE。在接收到该软件后，将其直接存储在主机系统中具有有限或无 法查明的SAKE的闪速存储器中。
使用SAKE充当防盗版设备的优点是防止未授权复制Internet上 的信息、。使用SAKE的另一优点是仅直接将所下载的内容存储到SAKE 中，从而在从主机系统断开SAKE后，在主机系统上无法查找。另一优 点是在允许用户存取网络上，诸如Internet或内联网上的高级内容前， 采用个人和生物信息来验证用户。
图9是根据本发明的一个实施例，示例说明SAKE900的框图。 SAKE900包括微控制单元(“MCU”)901、闪速存储器922、USB连接器 (插件)916和生物传感器920。MCU901进一步包括处理器902、内部 存储器904、防窜改单元906、加密/解密单元908、散列算法910、生 物校验912和USB控制器914。在一个实施例中，在单个芯片上制作处 理器902、内部存储器904、防窜改单元906、加密/解密单元908、散 列算法910、生物校验912和USB控制器914。使用各种总线930-938 来在SAKE900中连接各个单元。对本领域的技术人员来说，其他功能 块也可以增加到SAKE900上是显而易见的。
处理器902连接到930-932总线上，用于与各个部件来回传送信 息。处理器902包括微处理器、处理器、中央处理单元或数字处理单 元，诸如PentiumTM、PowerPCTM、AlphaTM等等。处理器902通过执行指 令控制SAKE900的数据流。在一个实施例中，处理器902执行可以存 储在内部存储器904中的导航软件，用于控制数据流。
内部存储器904在一个实施例中是设计成存储验证数据，诸如公 钥、私钥和生物模板等的闪速存储器。应注意到公钥、私钥和生物模 板在设置或初始化SAKE900期间被加载到内部存储器904中。内部存 储器904通过专用总线932连接到处理器902，用于快速数据存储和提 取。在另一个实施例中，内部存储器904通过系统总线930连接到处 理器902。生物模板包括指纹和/或虹膜模板。在另一实施例中，内部 存储器904存储用来控制ISP和SAKE间的数据流的导航软件。导航软 件还负责从闪速存储器922检索数据，然后显示该数据。
生物传感器920经总线936连接到生物验证单元912，其中生物传 感器920检测来自用户的生物信息或图形。例如，作为生物传感器的 指纹传感器检测来自当前正控制SAKE900的用户的指纹图。只要获得 用户的指纹，将其从指纹传感器转发到生物校验单元912，用于验证用 户。只要接收生物信息，生物校验单元912从内部存储器904，经处理 器902提取生物模板，诸如指纹模板以及相对生物模板，验证正好接 收的生物信息。将验证结果转发到处理器902。应注意到在初始化SAKE 期间，加载生物模板。
USB控制器914经专用总线938连接到系统总线930和USB连接器 916。USB控制器914设计成控制SAKE900和主机系统间的通信，在图 9中未示出。USB连接器916在一个实施例中是能直接连接到主机系统 的USB端口的USB插件。USB连接器916被设计成支撑SAKE的整个重 量同时插入USB端口中。另外注意到当SAKE插入主机系统的USB端口 时，仅将一部分SAKE插入主机系统。
散列算法910连接到系统总线930以便执行散列函数。散列算法 910在一个实施例中是标准的散列算法，诸如保密散列标准(SHS)并 在Internet上将它们发送到它们目的地之前被设计成散列公钥。
闪速存储器922经总线934连接到MCU901并配置成存储大量数据。 例如，闪速存储器922能存储达1千兆字节。在一个实施例中，闪速 存储器922具有大容量存储的能力以及从ISP下载的数据能直接存储 在闪速存储器922中。为保护数据免受窃用，在将其存储在闪速存储 器922中前，加密数据。加密/解密单元908连接到系统总线930并经 总线934连接到闪速存储器922。在一个实施例中，可以是标准加密码 的加密/解密单元908在存储在闪速存储器922前，根据私钥加密数据。 加密/解密单元908也用来在从闪速存储器922提取数据后，根据私钥 解密数据。
防窜改单元906连接到系统总线930上。将防窜改单元906的功 能设计成当，检测到使用高温、电压和/或频率窜改或窃用SAKE时， 防窜改单元906删除存储在内部存储器904和闪速存储器922中的数 据。在一个实施例中，防窜改单元906包含能检测异常状态，诸如电 压、频率和温度超出规格的传感器。
图10是根据本发明的一个实施例，示例说明提供网络上数据存取 控制的方法的流程图100。在块1002，过程将控制设备连接到数字处 理系统。在一个方面中，控制设备是SAKE，其包括USB连接器、MCU、 闪速存储器和生物传感器。USB连接器用来直接连接到充当SAKE的主 机系统的数字处理系统的USB端口上。该过程进入块1004。
在块1004，生物传感器检测用户的生物信息以及将所检测的生物 信息转发到生物校验单元。生物校验单元相对于存储在内部存储器中 的生物模板，验证所检测的生物信息。当验证用户身份后，这意味着 生物信息诸如指纹与生物模板匹配，过程进入块1006。
在块1006，过程从内部存储器检索初始化信息。在一个实施例中， 初始化信息包括保密码和公钥。可以在ISPs间改变的保密码用来在 SAKE和ISP间建立初始通信。过程进入块1008。
在块1008，过程将保密码转发到相关的ISP以及请求建立通信。 只要形成通信，将公钥转发到ISP以便确认真实的用户正与ISP通信。 过程进入块1010。
在块1010，建立SAKE和ISP间的通信以及ISP准备执行用户请求。 过程进入块1012。
在块1012，SAKE接收所请求的信息，诸如数字书籍或电影的拷贝。 当加密所请求的信息后，过程进入块1014。
在块1014，过程将所加密的数据存储在SAKE的闪速存储器中。过 程进入下一块。
图11是表示本发明的验证方法的实施例的各个步骤的流程图。在 当前优选实施例中，用户使用如下参考图11所述的验证过程，请求并 从内容服务器下载受限内容到分配给那个用户的SAKE设备。如上所述， 受限内容能是各种信息的任何一种，诸如版权资料(例如，报纸、书 籍、杂志、音乐、电影、软件、游戏等等)、保密记录(诸如医疗、金 融)、私有商业信息(例如，个人文件、技术设计、客户联系等等)、 在准许访问前要求付费或年龄验证的内容，以及要求存取控制的任何 其他信息。
在步骤1105，为启动该验证过程，用户利用本发明的验证方法的 实施例，访问内容提供者的登录网页。通常，用户使用安装在连接到 Internet的客户计算机上的通用Internet浏览器软件(例如， Microsoft Internet Explorer)来导航万维网。为访问所指定的登录 页，用户输入登录页的网页地址(例如，URL地址)或点击指向那个地 址的超级链接或书签。根据特定的应用，客户计算机能是台式计算机、 膝上型计算机、个人数字助理(PDA)、销售点(POS)终端、电视、游 戏控制台、网络化信息站或允许用户与内容服务器交互作用的任何其 他允许网络的设备。在一个实施例中，登录页存储在内容服务器上以 及被编程为包括“登录”按钮或链接，当点击时，使得内容服务器生 成启动验证过程的命令。因此，用户点击“登录”按钮以便起动验证 过程。
在步骤1110，SAKE设备，在一个实施例中，包括插入客户计算机 的USB端口的USB插件从内容服务器接收命令。这一命令建立内容服 务器和SAKE设备间的通信。该命令还用来告知SAKE设备内容服务器 准备从SAKE设备接收属于验证过程的信息。
在步骤1115，SAKE设备经嵌入SAKE设备的生物传感器，从用户 俘获生物信息。在当前的优选实施例中，生物传感器是在SAKE设备的 上表面上的嵌入指纹传感器。当用户将他/她的拇指放在传感器上时， 捕获指纹，用于由SAKE设备验证，如下面将在步骤1120中所述。尽 管在此描述了指纹作为身份验证技术，应当意识到根据本发明，也能 使用其他基于生物的技术，诸如虹膜扫描。
在步骤1120中，相对于所存储的一个或多个授权用户的生物模板， 校验所捕获的生物信息。在一个实施例中，当将SAKE设备指定到授权 用户时，捕获那个授权用户的指纹并存储到SAKE设备中作为指纹模板。 在一个实施例中，在支持多个授权用户的情况下，为每个授权用户创 建和存储单个模板。此后，当人们想存取SAKE设备所指定的服务器上 的受限内容时，通过SAKE设备中的指纹校验机，相对于所存储的授权 用户的指纹模板，校验那个人的指纹。
如果在步骤1120中，确定所捕获的生物信息(例如指纹)与所存 储的生物模板(或在多个授权用户的情况下，一个或多个模板)匹配 时，那么在步骤1125，SAKE设备将通知传送到内容服务器，向服务器 表明已经生物地验证过当前用户的身份。
在步骤1130，SAKE设备从内容服务器接收设备验证请求。在优选 实施例中，内容服务器在从SAKE设备接收用户身份验证的通知后，将 设备验证请求传送到SAKE设备，如上述步骤1125所述。
在步骤1135，SAKE设备响应在步骤1130所述的设备验证请求， 将设备验证应答传送到内容服务器。重要地，设备验证应答允许SAKE 设备和内容服务器完成验证握手。将SAKE设备编程为生成特定内容服 务器的特征并可由其识别的设备验证应答。因此，应答允许服务器校 验将SAKE设备适当地指定给用于访问服务器上的受限内容的用户。根 据优选实施例，设备验证应答包括多个验证序列，每个序列被单独地 传送到服务器。例如，在传送第一验证序列后，在传送下一序列本身 前，SAKE设备能等待来自服务器的确认序列。考虑到个性化方面的灵 活性，在验证握手中能使用任意数目的序列。在优选实施例中，不同 内容服务器与它们相应的SAKE设备具有不同验证握手，以致为特定内 容服务器分配的指定SAKE设备将不能用于存取另一内容服务器上的受 限内容。
在步骤1140，SAKE设备从内容服务器接收密钥请求。在优选实施 例中，当完成上述步骤1135中所述的验证握手时，内容服务器将密钥 请求传送到SAKE设备。换句话说，当内容服务器断定用于受限内容的 请求源自为那个目的适当分配的合法SAKE设备时，服务器将密钥请求 发送到SAKE设备。
在步骤1145，SAKE设备响应在上述步骤1140中所述的密钥请求， 将表示用户身份的第一密钥传送到内容服务器。这一第一密钥允许服 务器确认用户的身份。在优选实施例中，第一密钥是唯一识别第三方 的密钥持有者的公钥(例如，在公钥体系结构或PKI下所使用的)，诸 如在这种情况下的内容服务器。在一个实施例中，使用最好存储在非 易失固态存储器中的保密散列算法，在传送到内容服务器前，散列公 钥。应当意识到根据本发明，可以由内容服务器本身或通过代表内容 服务器的鉴定当局(“CA”)执行密钥校验。
在步骤1150，SAKE设备根据要求从内容服务器接收受限内容。在 一个实施例中，由SAKE设备接收受限内容作为一个或多个数据流。换 句话说，按流式将内容从内容服务器传送到SAKE设备。
应意识到根据上述优选实施例，内容服务器在用户的成功身份验 证、内容服务器和SAKE设备间的成功验证握手以及使用唯一密钥诸如 公钥的用户身份的成功校验后，仅将受限内容发送到SAKE设备。如上 所述的本发明的三级验证过程提供更强的安全保护，防止未授权存取 存储在内容服务器上的受限内容。
在步骤1155，SAKE设备加密从内容服务器接收的内容。在优选实 施例中，使用表示用户身份的第二密钥，执行加密。在一个实施例中， 第二密钥是指定到该用户的私钥。
在步骤1160中，SAKE设备将加密内容存储在其存储器中。保密所 存储的内容，防止未授权存取，因为其处于加密形式并且在没有第二 密钥(例如私钥)不能解密，如步骤1155中所述。在一个实施例中， 所加密的内容存储在非易失固态存储器中。
在优选实施例中，SAKE设备包括一个或多个电压检测器、频率检 测器和温度检测器(例如，温度计、恒温计)以便进一步保护所存储 的信息，防止窜改。这些检测器监视电压、频率和温度的工作参数。 应意识到普通黑客技术包括改变环境电压、频率和/或温度，其中存储 设备试图操作以便获得未授权存取所存储的数据。因此，根据这一实 施例，当检测器检测到落在所指定的它们的正常工作范围外的一个或 多个工作参数时，SAKE设备删除或破坏在此存储的加密数据，可选地， 为第一密钥、第二密钥和生物模板。这种数据自破坏特征提供防止未 授权存取存储在SAKE设备中的受限内容的防御底线。
重要地，从内容服务器接收的内容直接进入SAKE设备以及不以任 何形式存储在客户计算机上。Internet浏览器充当内容服务器和SAKE 设备间的数据传送的导管。数据传送对用户是透明的以及内容既不在 浏览器中显示给用户，也不允许使用浏览器界面将内容存储在客户计 算机上。在一优选实施例中，通过流式传送数据，其提供防止窃用的 另外的保护，因为在恶意拦截的情况下，不能有意义地重新汇编部分 数据流。在一个实施例中，由浏览器(使用标准解密协议诸如DES、AES、 3-DS)解密从服务器接收的加密数据，然后在存储前，由SAKE设备使 用私钥加密。在另一实施例中，将加密数据原样传递到SAKE设备，其 能执行另外的解密和/或重新加密。以加密形式将受限内容存储在SAKE 设备内以及不能复制到连接到客户计算机的另一存储介质。此外，仅 当通过生物检测器和校验机验证用户身份后，才允许检索数据。
只要将内容保密地存储在SAKE设备，授权用户能通过成功地传递 生物验证，获得存取该内容，从而使得SAKE设备解密所存储的内容以 及使其流动到适当的应用程序用于处理。例如，解密音乐文件或电影 文件并流动到媒体播放器，用于重放。解密可执行文件，然后由SAKE 设备运行。解密文件，以便由浏览者/直接来自SAKE设备的字处理程 序浏览。因此，内容仍然在SAKE设备中，以及数据流处于SAKE设备 控制下，以便防止未授权访问。在另一实施例中，流动加密内容，用 于由适当的应用程序处理而不解密。在这一实施例中，提供能处理加 密内容的个性化应用程序。
在上述说明中，已经参考其具体的示例性实施例描述了本发明。 然而，在不背离本发明的更宽范围的情况下，可以做出各种改进和修 改是显而易见的。因此，说明书和附图应视为示例性而不是限制意义。