JP2001526550A - 暗号その他のプロトコルを使用するコンピュータにより生成された結果の遠隔的な監査 - Google Patents

Abstract

(57)【要約】 コンピュータゲームの結果に対応するメッセージを符号化するコンピュータ装置及び方法と、詐欺により得た結果を検出するためにそのメッセージを複号化するコンピュータ装置及び方法。符号化されたメッセージを生成するのに使用されるコンピュータ装置は、符号化制御コードを含むメモリ装置と、コンピュータゲーム結男(148)に関連して符号化制御コードを処理するように構成されている処理装置を含み、これにより、それはコンピュータゲーム結果(158)を含む符号化されたメッセージを生成し、その符号化されたメッセージ(154)を人間が読むことができる出力装置、例えば、表示装置、に送信することができる。コンピュータ装置は、様々な不正操作防止用又は不正操作検出用機構を含んでいる。処理装置とメモリを含む機密保護がなされているモジュールは現存のパーソナルコンピュータ又は専用ゲーム装置にプラグインされて使用される。本装置は、コンピュータゲームの使用をメータ課金するシステムも含んでいる。

Description

【発明の詳細な説明】 暗号その他のプロトコルを使用するコンピュータにより生成された結果の遠隔的 な監査 発明の背景 １． 発明の分野 本発明は、一般に、コンピュータにより生成されたゲーム又はテストの結果（「 結果(outcome)」という。）の認証に係り、特に、ゲーム又はテストコンピュー タ（以下、「ゲームコンピュータ」又は「テストコンピュータ」という。）で、 それぞれ、ゲームをプレイしたり、テストを受けたりする者が、少なくとも一の 中央コンピュータを有する中央機関に、ゲーム又はテストの結果を提出して、中 央コンピュータに、それらの結果が正確に報告され、かつ、公正に行われたこと を「認定」してもらうシステムに関する。このコンピュータにより生成された結 果の認定は、ゲームコンピュータで行われる行為の「遠隔的な監査」を構成する 。ある例では、システムはコンピュータにより生成されたゲームトーナメントを 可能にし、そこでは複数のプレイヤーがゲームコンピュータでゲームをプレイし て、それらのトーナメントゲームの結果を中央コンピュータに提出することによ って互いに対戦し、中央コンピュータはその結果を認定してプレイヤーの評価及 び順位をつける。別の例では、システムにおいて、コンピュータゲームのプレイ ヤーは、トーナメントに参加せずに、認定順位と評価を入手することができる。 別の実施例では、システムにおいて、ゲームコンピュータでプレイされたゲーム に対し、そのゲームコンピュータ自体による結果の自己認証と認定が行われたり 、システムの別のゲームコンピュータによる結果の相互認証と認定が行われたり する。更に、本システムは同一の方法を使用してテスト結果の提出と 認定を可能にする。 また、本発明は、家庭のビデオゲームの環境において、「使用別払い（ペイパ ーユース）(pay-per-use)」を提供し、ゲームコンピュータ及び／又はそのゲー ムコンピュータで動くゲームプログラムの使用をメータ課金することによって、 いかなるゲームコンピュータも、ゲームセンターのビデオゲームマシンに変える ことができる。プレイヤーは、異なる料金プロトコルに従い、ゲームごと又は特 定期間のプレイに対して支払いをするだけである。更に、本発明は、プレイヤー に、比較的安い対価でゲームコンソールを獲得させる「時間依存型動作不能」を 可能にする。ゲームプレイに対する料金は、その後、毎日、毎週、毎月又は別の 期間ごとに発生するようにしてもよい。 ２． 従来技術の説明 トーナメントは人気のあるレクリレーションの形式であり、多くの組織活動形 態に容易に対応する。トーナメントの主要な形式には２つある。最初のものは、 プレイヤーが、管理された条件で、一人又はチームで、互いに（即ち、接戦で） 対戦するものである。例えば、ボクシングやチェス、空手などがある。二番目の ものは、プレイヤーが別のプレイヤーと直接的又は同時的な相互作用なしに、ゲ ームをプレイするもので、ベストスコア(例えば、ゴルフやボウリングなど)、終 了までの最短時間(例えば、パズル)、又は、それらの組合せを有するプレイヤー が勝者とされるものである。勝者は、その技術が表彰されるだけでなく授賞され ることもある。技術系ゲームを終了したプレイヤーには、しばしば、公式に表彰 された順位、評価及び／又はタイトルが与えられる。 古典的なトーナメントは、通常、特定の時に特定の場所で開催され、全競技者 に等しく適用する一連のルールの下に、そして、一人以上の審判及び／又は認可 機関の監督の下に行われる。典型的なチェスのトーナメントは、中央の場所に百 人から二百人のプレイヤー を集める。彼らは、参加費用を支払って、公式に認可されたトーナメントディレ クターの賛助の下、特定期間にわたって一連のゲームをプレイする。競技終了時 に、プレイヤーは順位づけされ、トップの終了者には賞金が送られる。米国チェ ス連盟(United States Chess Federation)は、トーナメントで認可されたゲーム の結果に基づいて、他の評価されているプレイヤーに対して数値評価でプレイヤ ーを順位づけする全国順位システムを管理している。評価は，プレイヤーが進行 中のトーナメントでプレイしたゲームに勝ったり負けたりするにつれて経時的に 変化する。様々な評価範囲に指定されたタイトルが付与される。例えば、「エキ スパート」チェスプレイヤーは2,000と2,200間の評価を有し、「マスター」チェ スプレイヤーは2,200以上の評価を有するなどである。 しかし、上述のトーナメントには幾つかの欠点がある。即ち、ほとんどのトー ナメントがある特定の場所で開催されるために、何人かのプレイヤーはかなりの 距離を旅行しなければならず、旅費や食費、宿泊費等を生み出す可能性があった 。また、全ての参加者に都合のよい時に所与のトーナメントの予定を組むことは 通常困難である。更に、かかるトーナメントの運営に利用できる認可されたトー ナメントディレクターの数は限定されていた。いずれのトーナメントであっても 主要目的は結果の保全性(integrity)と認証を確保するということであり、トー ナメントディレクターがいなければ、トーナメントの結果の真偽は確認できない 。また、ごく少人数にうったえるニッチトーナメント(niche tournaments)を開 催することは困難であり実用的ではない。なぜなら、２、３人の参加者だけしか いない場合にはトーナメント運営用に固定された費用により経済的に実施不可能 になるからである。 上述のいわゆる古典的なトーナメントは別として、多くの人気のあるコンピュ ータにより生成されたゲームのプレイヤーは、ベストスコアを出した者の権利を 自慢するために競技を楽しむ。ほとんどのゲームセンターのゲームマシンは、通 常、最新のトップスコアプレイヤーを識別する一連のハイスコアを表示する。ま た、任天堂、セガなどのいくつかの専用ゲームシステムと専用ゲームソフトウェ アを備えたパーソナルコンピュータも、トッ プスコアプレイヤーを識別する一連のハイスコアを表示している。これにより、 十分なハイスコアを出したプレイヤーは、その特定のマシン又はそのソフトウェ アを備えたコンピュータでプレイした他のプレイヤーとその成績を比較できるが 、「主張する」スコアについて、プレイヤーの他人に対する嘘を防止する方法はな い。従って、このようなゲームのプレイヤーが、そのスコアを中央コンピュータ に登録して、中央コンピュータがスコアを認定してプレイヤーに全国又は世界的 規模で他のプレイヤーに対する順位／評価与えることができるシステムが求めら れてきた。これに関連して、かかるシステムは、かかるゲームのプレイヤーに、 プレイヤーが独立して配置されたゲームコンピュータで一人又はチームでプレイ するか、少なくとも２人の対戦プレイヤーのオンライン接続を通じて接戦形式で プレイする「電子」トーナメントに参加することを可能にする。 電子トーナメントの一つの方法は、サッチャー等に発行された米国特許第5,08 3,271号（「サッチャー」という。）に開示されている。サッチャーのシステムで は、複数のゲーム端末が中央コンピュータにネットワーク接続されている。プレ イヤーはクレジットを購入してトーナメントに参加し、独自のIDコードを得る。 このIDコードはゲーム端末と中央コンピュータにストアされる。その後、プレイ ヤーはトーナメントゲームをゲーム端末でプレイし始める。プレイヤーがゲーム を終了すると、プレイヤーのスコアがそのプレイヤーIDコード及びゲームID番号 と共に、中央コンピュータに送信される。中央コンピュータは、トーナメント終 了後に全スコアを選別して勝者を決定する。サッチャー特許のクレームは、各プ レイヤー毎に別個のパーソナルIDコードを利用することによってプレイヤーのす り替えに対してある水準の保護を与えている。従って、プレイヤーのパーソナル IDコードが危険にさらされない限り、ゲームをプレイする者は終了スコアで一意 的に識別されている。しかし、このような構成には欠点がある。即ち、全ての参 加ゲーム端末間には広範囲のネットワークが接続されている。また、トーナメン トゲームにおけるスコアが正確に報告され、かつ、公正に行われたことを認定す ることができない。例えば、サッチャ ーのシステムにおいては、プレイヤーがゲームのソフトウェアを変造してより好 ましい結果を作出することを防止する措置や、スコアとIDデータの遠隔ゲーム端 末から中央コンピュータへの通信を妨害してそれらを変更し、虚偽のスコアを登 録することを防止する措置が何らとられていない。 ビデオゲームスコアを「認証する別の公知のシステムは、プレイヤーがゲーム スコアとゲームコンソールを含むビデオ画面の写真を撮り、その写真を中央機関 に郵送するという原始的な方法をとっている。月刊誌である任天堂パワーは、ト ップスコアプレイヤーを識別するパワープレイヤーアリーナ(Power Players'Are na)を公表している。トップスコアのプレイヤーは賞品化できる任天堂パワース タンプ(Nintendo POWER Stamps)を受け取る。ビデオ画面の写真は、直示的には プレイヤーがスコアを単純に偽造することを防止している。ビデオ画面とゲーム コンソールの写真により、中央機関は、プレイヤーがゲーム用標準プレイ条件の 変更に不許可の装置を使用したかどうかを決定することができるようにみえる。 しかし、このシステムにも欠点がある。まず、ビデオディスプレイの鮮明な写真 を取ることは、その反射的性質から、しばしば困難である。また、その写真を中 央機関に送るのに相当量の時間がかかり、プレイヤーは任天堂がスコアを認証し てその後公表するのを待たなければならない。また、このシステムは、ゲームソ フトウェアをハッキングするプレイヤーにもろい。ゲームソフトウェアの不正操 作の有無を決定する措置が何らとられていないからである。標準ゲームコンソー ルのアクセスポートに適合し、ソフトウェア命令がリードライトメモリにロード されたときに一時的にプレイ条件を変更するコードの入力を可能にするゲームジ ーニー(Game Genie)などの公知の中間装置の使用は、全ゲームコンソールの写真 にビデオ画面の写真を義務的に含ませることによって直示的に防止される。しか し、プレイヤーは、中間装置を使用してゲームをプレイし、出力をVCRで録画し 、その後に中間装置を除去し、記録されたゲームを再生してゲームコンソールに 取りつけられた中間装置なしの写真をとることによって、この問題を容易に打破 することができる。 従って、異なる時又は場所で独立して動作するゲームコンピュータが、受領者 が別のゲーム結果と比較するために確認可能な方法で、そのゲーム結果を認定す ることができるシステムが求められていた。システムは、かかる認定が、別のゲ ームコンピュータによっても、又は、中央コンピュータによっても、実行できる ものでなければならない。システムは、ゲームプレイ中に、ゲームコンピュータ 相互間又は各ゲームコンピュータと中央コンピュータ間において、複雑なネット ワーク接続や実時間接続を要しないものでなければならない。更に、システムは 、プレイヤーの認定スコアに基づいて他のゲームプレイヤーに対するそのプレイ ヤーの順位、評価及び／又はタイトルを設定することができなければならない。 上記事項に関して、ゲームのプレイ中に、ゲームコンピュータと中央コンピュ ータ間に複雑高価なネットワーク又はオンライン接続なしに、若しくは、プレイ ヤーが特定の場所に行く必要がなく、そして、公式認定されたトーナメントディ レクターがゲームのプレイ場所に出席する必要がないが参加者のスコアの認証を なお確保するように、プレイヤーがいつでもどこでもゲームコンピュータでトー ナメントに参加することができるシステムが求められていた。更に、そのシステ ムは、プレイヤーの認定スコアに基づいて他のゲームプレイヤーに対するそのプ レイヤーの順位、評価及び／又はタイトルをトーナメント中に設定可能でなけれ ばならない。 ビデオゲームソフトウェアの使用を遠隔制御及び監視することも、ホーンバッ クルに発行された米国特許第5,497,479号に開示されているように、当業界では 公知である。この特許は、レンタルソフトウェアが中央コンピュータからゲーム コンピュータと動作的に接続されている遠隔制御モジュール(RCM)にダウンロー ドされるシステムを教示している。RCMは、レンタルソフトウェアパッケージを 中央コンピュータから受け取り、かかるソフトウェアの使用をゲームコンピュー タ上で制御して確認するように動作する。レンタルソフトウェアは、ゲームコン ピュータの機密保護のない(insecure)メモリに常駐している。 ソフトウェアの一部は、プログラムの実行に必要なソフトウェアの一部として「 キーモジュール」と呼ばれ、それなしではプログラム全体はゲームコンピュータ 上で実行しない。キーモジュールは暗号形式で存在し、RCMによって解読されな ければならない。かかる暗号解読後は、キーモジュールは、残りのプログラムと 共にゲームコンピュータのRAMに実行用にロードされる。プログラムが終了する と、解読された命令はゲームコンピュータのRAMから消去される。RCMは、レンタ ルプログラムの開始と停止の間の経過時間を記録し、かかる情報を事後処理用に メモリにストアする。 キーモジュールがゲームコンピュータの機密保護のないRAMに存在し、これに よってハッカーがキーモジュールを取得でき、ゲームコンピュータのデータ記憶 装置内にあるキーモジュールを交換することができるため、ホーンバックルのシ ステムも大きな欠点を有する。従って、ゲームプログラムを非暗号化形式でゲー ムコンピュータの機密保護のないメモリにロードしないことによってかかるプロ グラムの機密保護がなされている(secure)暗号部分を危険にさらさずに、ゲーム プログラムの使用が暗号プロトコルによりメータ課金されるシステムを提供する ことが望ましい。また、ゲームコンピュータ自体の使用が同様なプロトコルを使 用してメータ課金されることができるシステムを提供できることが望ましい。 発明の要約 本発明の第一の側面は、一般に、(1)符号化制御コードを含むメモリ装置と、( 2)コンピュータゲーム結果を含む符号化されたメッセージを生成して符号化され たメッセージを表示装置など人間が読むことができる出力装置に送信するように コンピュータゲーム結果に関して符号化制御コードを処理するように構成された 処理装置とを含むコンピュータ装置にある。この処理装置はコンピュータゲーム プログラムを実行することもできるが、 コンピュータ装置はコンピュータゲームプログラムを実行する第２の処理装置を 有していてもよい。また、コンピュータ装置は、様々な不正操作防止用又は不正 操作検出用機構を備えていてもよい。ある実施例では、処理装置とメモリは、現 存のパーソナルコンピュータ又は専用ゲーム装置にプラグインする機密保護がな されているモジュールの一部から構成されている。また、本発明は、コンピュー タゲーム結果を生成するためにコンピュータゲームプログラムを実行する工程と 、符号化されたメッセージを生成するためにコンピュータゲーム結果を符号化す る工程と、符号化されたメッセージをユーザーに与える工程とを有する方法であ って、ユーザーは、コンピュータゲーム結果を表示するために、符号化されたメ ッセージを複合化するために構成された装置にその符号化されたメッセージを事 後的に送信することができる方法にも基づいている。本発明の更に別の側面は、 一般に、(a)複合化制御コードとコンピュータゲーム結果に対応する符号化され たメッセージとを含むメモリ装置と、(b)コンピュータゲーム結果を表示するた めに符号化されたメッセージを複合化するために同コードを処理するように構成 された処理装置とを有する中央又はホストコンピュータ装置にある。 図面の簡単な説明 図１Ａは、一実施例における発明システムの全体概観図である。 図１Ｂは、自己認証及び相互認証の実施例における発明システムの全体概観図 である。 図２は、別の実施例における発明システムの全体概観図である。 図３は、更に別の実施例における発明システムの全体概観図である。 図４Ａは、ゲームコンピュータのメモリ配列と一般的な構成要素の概観図であ る。 図４Ｂは、一実施例におけるゲームカートリッジの概観図である。 図４Ｃは、暗号／解読モジュールの機密保護がなされている周辺の概観図であ る。 図４Ｄは、別の実施例におけるゲームカートリッジの概観図である。 図４Ｅは、更に別の実施例におけるゲームカートリッジの概観図である。 図４Ｆは、更に別の実施例におけるゲームカートリッジの概観図である。 図４Ｇは、ゲームコンソール形式のゲームコンピュータに関して機密保護がな されている周辺とVCRを利用する実施例の概観図である。 図４Ｈは、機密保護がなされている周辺／VCRインターフェースの概観図であ る。 図５は、様々な『認証可能な結果メッセージ』生成プロトコルのフローチャー トである。 図６Ａは、例示的なソフトウェア保全性チェックの概観図である。 図６Ｂは、図６Ａに示す実施例のソフトウェア保全性チェックのフローチャー トである。 図７は、中央コンピュータ用の例示的メモリ配列とハードウェアの概観図であ る。 図８Ａは、例示的なトーナメント参加手続のフローチャートである。 図８Ｂは、ゲームセンターの例の概観図である。 図９は、ゲームプレイのフローチャートである。 図１０Ａは、実例的な結果提出認定シーケンスのフローチャートである。 図１０Ｂは、実例的なバイオメトリック真偽確認手続のフローチャートである 。 図１１は、呼掛け／応答プロトコルのフローチャートである。 図１２は、技術競技に対する例示的な一実施例の『放送開始メッセージ』シー ケンスのフローチャートである。 図１３は、接戦型ゲーム用の例示的なトーナメントシーケンスのフローチャー トである。 図１４は、本発明による使用別払い型ゲームプレイを可能にするメータの概観 図である。 図１５は、使用別払い型実施例におけるメータ課金される使用ソフトウェアの 概観図である。 図１６は、メータ用初期設定プロトコルのフローチャートである。 図１７は、メータ用新規プログラムプロトコル追加フローチャートである。 図１８は、メータ用中央コンピュータプロトコルからの許可フローチャートで ある。 図１９は、メータ用費用情報更新プロトコルのフローチャートである。 図２０は、メータ用クロック同期プロトコルのフローチャートである。 図２１は、メータ用メータ課金ソフトウェア開始プロトコルのフローチャート である。 図２２は、メータ用メータ課金ソフトウェア実行プロトコルのフローチャート である。 図２３は、メータ用使用報告プロトコルのフローチャートである。 図２４は、使用別払いに関する監査プロトコルのフローチャートである。 図２５は、メータを使用する結果認証プロトコルのフローチャートである。 図２６は、メータを使用する別の結果認証プロトコルのフローチャートである 。 図２７は、デスクランブルを行う使用別払い型実施例の概観図である。 図２８は、ビデオゲーム制御装置に組み込まれたメータ装置の概観図である。好ましい実施例の詳細な説明 図面の幾つかの図を参照するに、総括的に参照番号１０を付された本発明のシ ステムの幾つかの実施例が示されている。 図１Ａに示す実施例では、主にシステムは、中央機関の中央コンピュータ１２ と複数のゲームコンピュータ１４とから構成される。「ゲームコンピュータ」と いう用語は、パーソナルコンピュータ（「PC」という）と、パーソナルデジタルア シスタントと、硬貨によって動作するゲームセンターのビデオゲームマシンと、 （例えば、任天堂やセガなどのゲームコンソール等）のゲームユニットに接続さ れたテレビユニットと、及び（例えば、ゲームボーイ(GAME BOY)やゲームギア(G AME GEAR)、ノマド(NOMAD)等の）携帯用ゲーム装置とを含むよう意図されている 。記載の目的上、図示されたゲームコンピュータは標準PCを模している。各ゲー ムコンピュータ１４は、当業界で公知な種類のゲームを生成するソ フトウェア及び／又はファームウェア（便宜上、ここでは、全てのプログラムの 呼称は「ソフトウェア」としている。）を含んでいる。ゲームコンピュータ１４に おけるゲームプレイの実施は、ゲームに対人の行動として分類することができる 。ゲーム終了時には、プレイヤーは、結果（例えば、スコア及び／又は終了まで の時間、それらの組合せその他のプレイ関連データ）を、以下に詳述するように 、中央コンピュータ１２に提出する。しかし、多くの人気のあるゲームでは、プ レイヤー同士は、同一のゲームコンピュータ１４で、又は、プレイヤーの各々の ゲームコンピュータ１４間をオンライン接続することによって、互いに対戦する ことができる。この場合、プレイヤーの対戦結果（例えば、プレイヤーＡがプレ イヤーＢにＸ対Ｙのスコアで勝利した旨）が提出されて認定される。以下の記載 では、各ゲームコンピュータ１４は、参照番号２３で総括的に識別されているメ モリに常駐するゲームソフトウェア１５を含んでいる。メモリ２３は、リードラ イトメモリRAMと、リードオンリメモリROMと、ゲームコンピュータ１４のプログ ラムの不揮発性データ源、例えば、ゲームカートリッジ、ハードディスク、CD-R OM、PCMCIAカード又はスペシャルフラッシュROMチップなどを含んでいる。本発 明に関するゲームソフトウェア１５の詳細については以下に更に説明する。また 、ゲームコンピュータは、当業界で公知な（図示の）ジョイスティックなどの関 連入力制御装置１７を有していてもよい。入出力装置１７は、複数のプレイヤー が互いに対戦できるようなマルチプルジョイスティックや制御装置を有していて もよい。 中央コンピュータ１２は、結果を認証及び／又は認定してトーナメントを管理 する。それは、図面には概括的に単一の装置として示めされているが、必要があ れば複数のネットワーク接続されたコンピュータから構成されてもよい。大規模 トーナメントを促進するために、中央コンピュータ１２は地方コンピュータ、全 国コンピュータ及びトップレベルの国際コンピュータに分類される必要があるか もしれない。これらのコンピュータは、TYMNET、DATAPACなどのデータネットワ ークにより相互接続されることができる。全 国コンピュータは地方コンピュータのトーナメントデータを集計し、国際コンピ ュータは全国コンピュータのトーナメントデータを集計する。従って、地方トー ナメントは地方コンピュータしか使用しない。もし、地方トーナメントが開催さ れるならば、全国コンピュータは要求されたトーナメント情報を地方コンピュー タから得ることになる。国際トーナメントの場合には、国際コンピュータは全国 コンピュータからデータを集計する。また、公知の原則に従って定期的に相互確 認するために単一レベルの幾つかのコンピュータを配置することができる。コン ピュータの配置方法は数多くあるので、記載の目的上、ここでは中央コンピュー タ１２が単一ユニットとして呼称されている。以下に詳述するように、本発明の 別の実施例においては、各ゲームコンピュータ１４は、『キー分配センタ(Key D istribution Center:KDC)』、即ち、メッセージの認証に使用される暗号化キー のデータベースとして動作する中央コンピュータ１２により、別のゲームコンピ ュータ１４からの結果を認証することができる。また、中央コンピュータ１２は 、「中央スコアボード」、即ち、プレイヤーとチームに関する全ての認定スコアと 統計的情報を保持するデータベースを動作することもできる。所与のプレイヤー に対する統計には、対戦相手、プレイ時間、評価、順位などの情報を含めること ができる。その情報は、公に入手可能としてもよいし、パスワード保護（即ち、 正しいアクセスパスワードを有する者又はある評価閾値を有する者のみが利用可 能）としてもよい。情報は、インターネットや主要な商業オンラインプロバイダ ーを通じて利用可能でゲームコンピュータにダウンロードでき、又は郵送又は電 話によって利用可能にしてもよい。 図１Ｂに示す実施例では、ゲームコンピュータ１４は、「自己認証」と「相互 認証」を行うことができる。自己認証とは、ゲームコンピュータ１４が、それが 生成した『認証可能な結果メッセージ』(Authenticable Outcome Message:AOM) に組み込まれている結果を認証することができるという意味である。例えば、プ レイヤーが、用紙に印字又は所与のメモリ媒体にストアされたスコアが真実であ ると主張し、このスコアが『認証可能な結果メッ セージAOM』に具体化されている場合に、ゲームコンピュータ１４の認証可能な メッセージAOMを認証することによってスコアを認証することができる。同様に 、認証可能なメッセージは、システムの他のいかなるゲームコンピュータ１４に おいても認証することができる(即ち、相互認証)。認証プロトコルについては以 下に詳しく説明する。 図１Ａに示す実施例を再び参照するに、少なくとも一の対話型音声応答ユニッ ト(Interactive Voice Response Unit:IVRU)１６が電話ネットワークに接続され 、複数の電話１８からのアクセス用標準インターフェースを介して中央コンピュ ータ１２に結合されており、これにより、プレイヤーはトーナメントに登録及び ／又はゲーム結果を中央コンピュータ１２に認定用に提出することができる。あ る例においては、プレイヤーは個人情報及び／又はゲームソフトウェア１５を電 話１８を通じて中央コンピュータに登録することができる。特に、IVRUは、電話 １８から通信された音声とプッシュホン信号の両方に反応する。この接続では、 ゲームコンピュータ１４は、IVRU１６に互換性のあるメッセージを生成するため に、デュアルトーン周波数変調装置(Dual Tone Frequency Modulator:DTMF)と交 信することができる。同一の方法で電話１８からメッセージを受信するために音 声カプラ１１５を使用することができる。IVRU１６とDTMFの動作は当業界で公知 であるため、ここでは詳述に説明しない。IVRU１６は、通話負荷を比較するため に当業界で既知の形式の自動負荷分配器(Automatic Call Distributor:ACD)に関 連づけられもよい。ピーク通話時間中は、どのIVRU１６に対する通話も隣接する IVRU１６を経由するようにすることができる。 図２に示す代替的な実施例では、ゲームコンピュータ１４はモデム２０を介し て中央コンピュータ１２と交信することができる。この点において、ゲームコン ピュータはゲーム中に中央コンピュータとオンライン接続されているとはみなさ れない。プレイヤーが特定のゲームに対する結果や技術競技に対する終了までの 時間を提出したいと思えば、ゲームコンピュータ１４は、ダイヤルアップ接続を して中央コンピュータとアクセスし、ゲーム結果情報をアップロードする。この 点については以下に更に詳述する。これに関して、中 央コンピュータ１２には、インターネット２４のウェブサイト２２や図３に概括 的に示すように商業オンラインサービスプロバイダーや電子掲示板システムなど を含むオンラインデータネットワークを通じてアクセスすることができる。イン ターネットのウェブサイトへのオンライン接続設定処理は公知であるため、ここ では詳細に説明しない。それは、ゲームコンピュータ１４と中央コンピュータ１ ２との間に直接オンラインリンクを設定することと本質的に類似している。更に 別の実施例では、ゲームコンピュータ１４は中央コンピュータ１２とRF、ケーブ ルTV、衛星リンクなどを通じて交信することができる。例えば、RFを利用した実 施例では、交信はRF形式でゲームコンピュータ１４と中央コンピュータ１２との 間を放送されるだけである。また、ゲームコンピュータ１４のキーパッドやジョ イスティックを通じて直接に中央コンピュータ１２にメッセージを送信するよう にプがゲームコンピュータ１４に命令するコマンドを入力することによって、IV RU１６と同様のプロンプト構成を使用することができる。また、メッセージは、 ケーブルTVリンクを通じてゲームコンソールにインターフェースしているテレビ に直接に交信することができる。 また、ゲームコンピュータ１４と中央コンピュータ１２間の交信は、スマート カード、ディスケットなどの物理的データメモリ装置により実行されてもよい。 例えば、ゲームコンピュータ１４は、ゲーム関連データを、プレイヤーが中央コ ンピュータ１２の管理機関に点検用に郵送することが義務づけられているディス ケットにストアすることができる。かかる手続は、プレイヤーがかなりの賞を獲 得した場合やいかさまがトーナメント職員によって疑われている全ての場合に要 求することができる。更に、ゲームコンピュータ１４は、結果の複写を印字する プリンタや、結果及びゲームの統計などその他の関連データを含んでいるゲーム 画面と交信することもでき、それらは結果及びかかるデータの事後認定を中央コ ンピュータ１２で行う中央機関に郵送又はファックスすることができる。 さて、図４Ａを参照するに、本発明システムにおけるゲームコンピュータ１４ の実例的 なメモリ構成と幾つかのハードウエアの一部概観図が示されている。便宜上、パ ーソナルコンピュータ１４の内部メモリ２３が示されている。上述したように、 メモリ２３はRAMとROMを有しており、従来の方法で中央処理装置（「CPU」という 。）２７に結合されている。CPU２７と関連ハードウェアは、典型的に処理装置 と呼称されている。我々は「関連メモリ」という用語を、ゲームコンピュータメ モリ２３が、ゲームカートリッジ、ハードディスク、フロッピーディスク、PCMC IAカード、スペシャルフラッシュROMチップなどの不揮発性の機密保持なしのプ ログラムデータ源を含むように定義することができるということを示すために使 用している。機密保護がなされているメモリは、以下に画定されている機密保護 がなされている周辺（外辺部）内に配置することができる。処理装置は、プログ ラムをRAMにロードしてメモリからプログラムを従来の方法で実行する。実例的 な実施例では、メモリ２３は、ゲームプログラム２６、暗号／解読モジュール２ ８、伝送エラーチェックモジュール３０、特定のゲームソフトウェア１５及び／ 又はゲームコンピュータ１４を一意的に識別するメモリエリア３２にストアされ た秘密ソフトウェア又はゲームコンピュータID(「SSCID」という。)、時間／日付 モジュール３３及びメモリエリア３５内のバイオメトリックデータからなるゲー ムソフトウェアパッケージ１５を含んでいる。ゲームソフトウェア１５は、その 個々のコンポーネントが別個のルーチンを構成するような単一の「プログラム」 から構成されていてもよい。記載の目的上、ここではゲームソフトウェア１５と いう用語は、複数のコンポーネントプログラム、命令、ルーチン、ファイル、デ ータベースなどを包含するものとして広く定義されている。ゲームソフトウェア １５は、以下に明らかにする目的のために、関連の秘密外ソフトウェア通し番号 SSNを有していてもよい。伝送エラーチェックモジュール３０は、手動入力エラ ーや、ラインノイズなどの交信問題のために生じる送信データの衰退を検出して 再送信表示又は要求を可能にするために、ゲームコンピュータ１４に入力する全 てのメッセージを処理するのに使用される。時間／日付モジュール３３は、クロ ック３６からの信号を利用してメッセージ をタイムスタンプする。メモリ領域３５にストアされているバイオメトリックデ ータは、以下に詳述するように、プレイヤーの確認に使用される。専用ゲームコ ンピュータ１４は、不正操作防止型及び／又は不正操作検出型筐体に関連メモリ ２３、CPU２７及びクロック３６を含む構成要素の全てを収納することができ、 これらの構成要素のいずれの不正操作をもそれぞれ防止して表示する。不正操作 検出型筐体は熱硬化性包装を含んでおり、物理的にその構造の開封を試みれば点 検によりそれが判明することになる。不正操作防止型の構造は、プレイヤーが万 一物理的にその構造の開封を試みれば、メモリのデータ内容を電子的に破壊する ことができる。機密保護がなされている周辺は、ハードウェアの定義された物理 的領域であり、不正操作防止及び／又は不正操作検出型であるが、これについて は以下に更に詳述する。 ゲームプログラム２６は、チェスやバックギャモンブリッジなど、当業界で既 知であり、また、トーナメントで通常プレイされる形式の技術系ゲームを生成す る。別の公知の技術系ゲーム（例えば、ソニックアンドナックルズ(SONIC AND K NUCKLES)、ベクトルマン(VECTORMAN)、ドンキーコングカントリー(DONKEY KONG COUNTRY)、モータルコンバット(MOTAL KOMBAT)、ストリートファイター(STREET FIGHTER)など）は、ゲームコンソールなどの専用のゲームマシン上において、ゲ ームセンターその他のかかるゲームマシンがある場所でプレイされるものを含ん でいる。ゲームプログラム２６は、結果が認定されないかトーナメントの一部と ならない練習モードにおけるゲームプレイを可能にするように構成することがで きる。かかる練習用ゲームは、トーナメントゲームの完全な機能を有しないかも しれない。例えば、練習用ゴルフゲームは、所与のホールに対して固定されたそ れほど複雑ではない風のパターン、即ち、風速と風向を有することができる。こ れに対して、トーナメント版は、しばしば変化すると共にボールの位置によって 変化しうる風を有するようにしてもよい。また、ゲームプログラム２６は、プレ イヤーがゲームをプレイする方法と結果に合致した方法で彼らを教育するティー チングモードを含むように 構成されてもよい。 ゲームプログラム２６は、ゲーム中特にプレイヤーの行動に関連するトーナメ ントゲームデータをストアするために統計データベース３１を編集することがで きる。例えば、トーナメントゲームのプレイヤーはＸ個の宝物を見つけ、Ｙレベ ルに到達して、Ｚ人の敵を排除することができる。この情報はストアされて、正 しいコード又はメッセージをゲームコンピュータ１４に入力するプレイヤーだけ によってアクセス可能となる。このメッセージは、以下に説明するように、トー ナメントプレイを可能にする開始メッセージとなることができる。更に別の例で は、ゲームのある側面、例えば、プレイヤーがある動きをした場合や特定の相手 が倒された場合の一画面又は一連のイベントが、（トーナメントの場合は）その ゲームの開始メッセージ入力により、又は、ある他の特別のコマンドにより、プ レイヤーがかかる画面や連続物のいずれか一つを後で呼び出すことができるよう に、所定のコードによりデータベースにストアしてインデックスを付すことがで きる。メニューは開始メッセージ又はコマンドを受領によって生成することがで き、これにより、プレイヤーは、ゲームイベントの所望の画面又は特定の連続を 選択して見ることができる。 ゲームプログラム２６は技術競技を生成することができる。これらは、終了ま での最短時間を有するプレイヤーが勝者とされるパズルを含んでいる。クロスワ ードパズルは、プレイヤーがパズルを正しく最初に解くのを競う古典的な技術競 技である。ラップタイムのでる運転ゲームも終了までの最短時間が勝者となる技 術競技である。図４Ａを再び参照するに、技術系競技の時間を計るために、ゲー ムプログラム２６は、時間／日付モジュール３３を介してのコンピュータのクロ ック３６からの信号を、特定の結果メッセージをタイムスタンプするのに、又は 、プレイヤーが所与のゲームを終了するまでに費やした時間を表すタイムメッセ ージを生成するのに利用することができる。これに関して、クロック３６は、不 正操作防止型及び／又は不正操作検出型シール３８に収納されてもよい。好まし くは、実時間クロック３６'が、後述するように、機密保護がなされている周辺 ３００内に 配置される。後述する別の実施例では、クロック３６'は専用ゲームカートリッ ジ２１内にあってもよい。 更に別の例では、ゲームプログラム２６は可能性のゲームをを生成することが でき、ここでかかるゲームの結果は本発明に従って提出されて認定される。 ゲームの結果は、スコア、技術競技の場合には終了までの時間又はこれらの組 合せを含むゲーム一連の結果全体として定義される。また、結果はゲーム自体に 関係する全データ（即ち、メモリにストアされてゲーム全体が再生されることを 可能にするデータ）から構成されてもよい。例えば、ゴルフゲームの場合には、 かかるデータは、現在の風速、選択されたクラブ、足の配置、ボールを打つ力な どを表すプレイヤーの各ショットを含むことができる。もしこれらのパラメータ が、ゲームの進行に伴い、ディスクにストアされるならば、ストアされたパラメ ータをリプレイすることによって事後的にゲーム全体を再生することが可能であ る。機密保護の向上のために、これらの値は、プレイヤーがゲーム終了後にかか る結果を表すゲームデータを変更できないようにするように、暗号形式でストア されることができる。 典型的なスコア型ゲームにとって、ゲームコンピュータ１４がゲームソフトウ ェア１５を実行すると、プレイヤーのスコアと、選択的に、獲得レベル数、各レ ベルで費やした時間、失った命の数、排除された敵の数などの追加的なゲーム関 連情報を表す結果を得ることができる。また、ゲームは、それに関連付けられた 多数の結果を有することができる。例えば、チェスのゲームにおいては、各移動 は別個の結果とみなすことができる。各移動は中央コンピュータが認証すること ができる。あるゲームでは、個人のスコアは他のプレイヤーのスコアに依存する ことができる。従って、一のプレイヤーの結果を認証することは他のプレイヤー の結果を知ることを要する。パズルなどの技術競技にとって、ゲームコンピュー タ１４がゲームソフトウェア１５を実行すると、プレイヤーがゲーム終了までに 費やした経過時間と、選択的に、他のゲーム関連情報又はゲームにおけるある副 レベルの 終了などの補助的イベントを表す結果が得られる。 暗号／解読モジュール２８と共に、(圧縮関数、短縮関数(contraction functi on)、メッセージダイジェスト(message digests)、指紋、暗号チェックサム(cry ptographic checksums)、データ保全性チェック(data integrity checkg:DIC)、 不正操作検出コード(manipulation detection codes:MDC)、及び、データ認証コ ード(DAC)としても知られている一方向ハッシュ関数、（メッセージ認証コード( MAC)としても知られている）暗号化キー付きる一方向ハッシュ関数、ディジタル 署名などを含む様々な暗号プロトコルを使用することによって、結果は『認証可 能な結果メッセージAOM』に変形又は組み込むことができる(例えば、明らかなも のとして、終了時間は『認証可能なタイミングメッセージ(Authenticatable Tim ing Message)ATM』に変形又は組み込むことができる)。メッセージの保全性と機 密保護のために暗号プロトコルを使用する方法は当業界で公知であるため、ここ では詳細に説明しない。なお、ブルース・シュネイアー(Bruce Schneier)著、「 アプライド・クリプトグラフィ、プロトコルズ、アルゴリズムズ、アンド、ソー スコードインC(Applied Cryptography,Protocols,Algorithms,and Source Code in C)」(第二版、ジョン・ワイリー＆サンズ社刊(John Wiley & Sons.Inc.)、１ ９９６年)を参照のこと。暗号／解読モジュール２８は、メッセージを暗号化し 、暗号解読し、及び／又は認証するアルゴリズムとキーを含んでいる。公知の暗 号認証プロトコルの例は次のようなものである。 暗号化 準備：中央コンピュータ１２及びゲームコンピュータ１４が秘密キーを共有する 。 １． ゲームコンピュータ１４は、『認証可能な結果メッセージAOM』を形成す るために、結果メッセージを共有された秘 密キーで暗号化する。 ２． 『認証可能な結果メッセージAOM』を中央コンピュータ１２に送信する。 ３． 中央コンピュータ１２は『認証可能な結果メッセージAOM』を読み出して 同一のキーで解読する。 ４． メッセージが理解できれば、中央コンピュータ１２は結果メッセージを真 正なものとして承認する。 ＊ 暗号化は、（米国政府基準、FIPS PUB 46に特定されている）DESなどのアル ゴリズムを用いて実行されてもよい。暗号化は、IDEA、ブローフィッシュ(Blowf ish)、RC4、RC2、SAFERなど当業界で既知のアルゴリズムのいずれをも利用する ことができる。アプライドクリプトグラフィ参照のこと。 メッセージ認証コード 準備：中央コンピュータ１２とゲームコンピュータ１４は秘密キーを共有する。 １． ゲームコンピュータ１４は、『認証可能な結果メッセージAOM』を形成す るために、結果メッセージをMACと共有された秘密キーでハッシュする。 ２． 『認証可能な結果メッセージAOM』を中央コンピュータ１２に送信する。 ３． 中央コンピュータ１２はAOMを読み出して共有された秘密キーでハッシュ する。 ４． 生成されたハッシュが受信したハッシュと一致すれば、中央コンピュータ １２は結果メッセージを真正なものとして承認する。 ＊ いずれのMACアルゴリズム、例えば、DES、CBCなども本例に適用することが できる。 公開キー暗号術による暗号化 準備：ゲームコンピュータ１４は公開キー／プライベートキーの組を有している 。中央コンピュータ１２はゲームコンピュータ１４の公開キーを知っている。 １． ゲームコンピュータ１４は『認証可能な結果メッセージAOM』を形成する ために結果メッセージをプライベートキーで暗号化する。 ２． 『認証可能な結果メッセージAOM』を中央コンピュータ１２に送信する。 ３． 中央コンピュータ１２はゲームコンピュータ１４の公開キーでAOMを解読 する。 ４． メッセージが理解できれば、中央コンピュータ１２は結果メッセージを真 正なものとして承認する。 この手続に対するサンプルアルゴリズムはRSAである。公開キー暗号術による署名 準備：ゲームコンピュータ１４は公開キー／プライベートキーの組を有している 。中央コンピュータ１２はゲームコンピュータ１４の公開キーを知っている。 １． ゲームコンピュータ１４は、『認証可能な結果メッセージAOM』を形成す るために、結果メッセージをプライベートキーで署名する。 ２． 『認証可能な結果メッセージAOM』を中央コンピュータ１２に送信する。 ３． 中央コンピュータ１２は結果メッセージと公開キーを用いて署名を確認す る。確認の数学的計算は結果メッセージが真性であるかどうかを表している。 ４． メッセージが理解できれば、中央コンピュータ１２は結果メッセージを真 正なものとして承認する。 認証結果メッセージAOMが「新鮮」である（即ち、１度以上使用されたことが ある）ことを確認するには幾つかの方法がある。第一の方法は「呼掛け／応答(c hallenge/response)」として知られているが、中央コンピュータ１２が乱数又は 連続番号（「ノンス(nonce)」と呼ばれている）を生成して、ゲームコンピュータ １４に送信する。次いで、ゲームコンピュータ１４は、この乱数を『認証可能な 結果メッセージAOM』に組み込む。受信した乱数がちょうど生成された乱数と一 致すれば、中央コンピュータ１２は、そのメッセージが新鮮であると承認する。 即ち、古いメッセージは異なる乱数を含んでいる。 別の方法では，ゲームコンピュータ１４は『認証可能な結果メッセージAOM』 に連続番号を含ませる。この連続番号は、ゲームコンピュータ１４が『認証可能 な結果メッセージAOM』を生成するたびに１だけ増加される。中央コンピュータ １２は、最新の連続番号をメモリにストアする。受信した連続番号がストアされ た連続番号よりも１だけ大きければ、それはその現在の結果メッセージを承認す る。 更に別の例においては、ゲームコンピュータ１４は現在の時間を『認証可能な 結果メッセージAOM』に含ませる。次いで、中央コンピュータ１２は、その関連 クロックの時間に対する『認証可能な結果メッセージAOM』の時間をチェックす る。もし時間が所定の枠内であれば、現在の結果メッセージは新鮮であると承認 される。 更に別の手続においては、ゲームコンピュータ１４は『認証可能な結果メッセ ージAOM』に乱数を含ませる。中央コンピュータ１２はゲームコンピュータ１４ から受け取った全ての乱数のデータベースを保持している。もし新しい乱数がそ のデータベースになければ、現在の『認証可能な結果メッセージAOM』は新鮮で あると承認される。もし時間的要素が同様に組み込まれていれば、中央コンピュ ータ１２は、比較的少量の期限切れしていないメッセージをストアすることにな るだけである。 図４Ａ及び４Ｂにおいて、暗号／解読モジュール２８はゲームソフトウェア１ ５の一部として図示されている。かかる実施例において、暗号／解読モジュール ２８は暗号アルゴリズム及びキーその他のデータ、ソフトウェア命令などに関す る。これらは、ゲームカートリッジやハードディスク、CD-ROMなどのデータ記憶 装置のゲームプログラムの残りに存在する。暗号プロトコルを実行する現実の処 理は、特別の暗号処理装置においてではなく、ゲームコンピュータのCPU２７に おいて生じる。 好ましくは、図４Ｃに慨括的に示すように、幾つか又は全ての暗号／解読モジ ュール２８は、機密保護がなされている周辺３００に配置している。機密保護が なされている周辺は、不正操作防止型及び／又は不正操作検出型の定義されたハ ードウェア物理的領域であり、その中にはシステムの機密保護を維持するために 変更禁止的特性を有するデータ又はアルゴリズムが配置されている。機密保護が なされている周辺を組み込んでいる装置の例としては、モトローラとAT&Tによっ て製造されたSTU-III型電話やナショナルセミコンダクター社によるiPowerカー ドなどの米国軍事暗号化装置がある。後者は、ゲームコンピュータ１４を、例え ば、（PCMCIA互換性を有するゲームコンピュータ１４に対して）ゲ ームコンピュータのPCMCIAソケットを通じてインタフェースすることができるPC MCIAカードに具体化された専用の暗号／解読装置である。iPowerカードにおいて は、キー／データ記憶装置及び暗号機能の両者が、機密保護がなされている周辺 に配置されている。図４Ｃを再び参照するに、iPowerカードなどの機密保護がな されている周辺は、暗号化アルゴリズムを含むROM３０４と、実時間クロック３ ６'と、オフチップバッテリー(３１０)により支持された暗号データとキー情報 を保持するRAM３０８とのインタフェースを含む32ビットCPU３０２を備えている 。装置にストアされた暗号データに不正操作しようとしたり入手しようとするい かなる試みもそのデータのメモリー損失をもたらす。更に、ピンレベルのプロー ブを防止するために、装置のI/Oピン３１２は電気的に絶縁されている。また、 チップ自体は機械的化学的保護を含んでおり、チッププローブ装置が（処理装置 ）CPU３０２から直接に暗号化情報にアクセスするのを防止している。かかる機 密保護がなされている周辺３００は、以下に詳述するように、別のソフトウェア 命令及び／又は追加的なゲーム関連その他の情報をストアする追加的な不揮発性 メモリ３１３を更に備えていてもよい。以下において、機密保護がなされている 周辺３００にあるCPU３０２は機密保護がなされているCPU３０２と呼ぶことにし 、機密保護がなされている周辺３００内のメモリは機密保護がなされているメモ リと呼ぶことにする。従って、iPowerカード内では、全ての暗号／解読の機能は 、機密保護がなされている周辺において実行され、ゲームコンピュータ１４のCP U２７では行われない。機密保護がなされている周辺３００の機密保護がなされ ているCPU３０２とゲームコンピュータ１４のCPU２７との間の通信は、当業界で 既知であり、ここでは詳しく説明しない。機密保護がなされている周辺３００の 機密保護がなされているCPU３０２が、『認証可能な結果メッセージ』を生成し 、『認証可能な結果メッセージ』を認証し、及び／又は、その他の要求された機 能を実行するため、ゲームコンピュータ１４によって呼び出されると、ゲームコ ンピュータ１４のCPU２７は適正な信号を機密保護がなされている周辺３００の 機密保護がなされているCPU３０ ２に送出する。ここで、暗号／解読モジュール２８全体は機密保護がなされてい る周辺３００内に位置する。このことは、全ての暗号化キー及びアルゴリズムが 機密保護がなされている周辺３００のメモリにストアされ、全ての暗号機能は機 密保護がなされている周辺３００の機密保護がなされている処理装置３０２で実 行されるということを意味している。従って、暗号プロトコルが暗号化及び／又 は認証に使用されれば、ゲームコンピュータCPU２７は，後述するように、コマ ンドと暗号化又は認証されるべきデータを機密保護がなされている周辺３００の 機密保護がなされている処理装置に送信して、そのデータを暗号的に処理するよ うに要求する。機密保護がなされている周辺３００の機密保護がなされているCP U３０２は、それが生成した『認証可能な結果メッセージAOM』を、システム内の 他のいずれかのゲームコンピュータ１４からの『認証可能な結果メッセージAOM 』と同様に、事後的に認証するのに使用することができる。また、それは、メッ セージをタイムスタンプしたり、技術競技に対する終了までの時間をクロック３ ６'で追跡するのにも使用することができる。機密保護がなされているCPU３００ は、ゲームソフトウェアを実行するのに要求される計算処理の幾つかを実行する こともできる。 代替的な実施例においては、暗号化キーは機密保護がなされている周辺３００ の機密保護がなされているメモリにストアすることができるが、暗号アルゴリズ ムとソフトウェア命令は、ゲームソフトウェア１５の残りと関連付けられた機密 保護なしのメモリ（即ち、従来のゲームカートリッジ、ハードディスク、フロッ ピーディスク、CD-ROMなど）にストアされ、暗号プロトコルを実行するための現 実の処理はゲームコンピュータのCPU２７で行われる。 上述したiPowerカードなどの外部の機密保護がなされている装置は「トークン 」として機能することができる。トークンとは、保護された電子資源にアクセス する者が使用する物理的計算装置である。トークンは、通常、暗号能力を有して おり、キーその他のデータをストアすることができる。知的機密保護トークン(i ntelligent security token)は、結果の認証 及び認定に暗号／解読機能を実行することと同様に、許可されていないプレイヤ ーがゲームコンピュータ１４にアクセスするのを防止する。上述のiPowerカード は、機密保護がなされている周辺に含まれているトークンの一例である。 かかるトークンのその他のものには、スマートディスク・セキュリティ社(Sma rtDiSK Security Corporation)製のスマートディスク(SMARTDISK)がある。スマ ートディスクは、データを暗号化して解読するのに使用されるCPUとメモリを有 している。従って、iPowerカードと同様に、暗号／解読モジュール２８は、スマ ートディスクに存在することができる(即ち、全ての暗号機能がスマートディス ク内で実行される)。スマートディスクは機能を得るためにはユーザーのパスワ ード入力を要求している。従って、システムにアクセスするためには、プレイヤ ーは物理的にトークンを所有して正しいパスワードを覚えることが必要である。 スマートカードはトークンに類似している。それらは、クレジットカード形状を しているが、様々な機密保護機能を実行する内蔵マイクロプロセッサを含んでい る。 タッチメモリ(TOUCH MEMORY)と呼ばれる別の形式のトークンは、ダラスセミコ ンダクター社(Dallas Semiconductor Corporation)によって製造されている。こ の装置は、小さいボタン形状のステンレス製スチールケースに収納されたコンピ ュータチップから構成されている。ケースはリング状でプレイヤーの指にはまる ものでもよい。チップは、複数の暗号化キーをストアするのに十分の最大64kbの RAM又はEPROMを含んでいる。装置は、リーダー装置に接触して配置されるとデー タを毎秒16.3kbで双方向的に送信する。各チップは、製造時にチップにレーザー エッチングされた一意的な通し番号を有している。装置からのキーは、ユーザー ID同様に、認証及び／又は暗号用にここで説明した暗号プロトコルのいずれにも 使用することができる。DS1422ユニークウェア(UNIQUEWARE)製品は、例えば、プ レイヤーが限定された回数の開始メッセージを入手してストアできるように、そ の装置の使用毎に透過的に減少するように構成されることができる。DS1427構成 は、ここで説明した異なる例に使用可能な不正使用防止型実時間クロック３６' を含んでいる。 また別の実施例では、プレイヤーは、それに関連付けられた一意的な識別子を 有するジョイスティックを入手することができる。ジョイスティック識別子は、 ここで説明した暗号プロトコルのキーとして使用することができるし、プレイヤ ーのゲームソフトウェア１５が認定又はトーナメントゲームを生成可能にするた めに使用することができる。キーはジョイスティック内のROMチップ内に保持さ れることができる。ゲームソフトウェア１５がゲームコンピュータ１４のRAMに ゲーム生成命令をロードすると、ジョイスティックからのキーがRAMにロードさ れて確認される。正しいキーであると認められなければ、ゲームソフトウェア１ ５を動作不能にしてもよい。これは、概念的に、「ドングル(dongle)」と類似し ている。また、ジョイスティックは、iPowerカードのような機密保護がなされて いる周辺からデータを受け入れ、また、機密保護がなされている周辺にデータを 送信する関連入出力インターフェースを有していてもよい。従って、認証プロト コルはジョイスティック構造内で行うことができる。この手法は、以下の別の実 施例において更に詳述する。 別の機密保護がなされている装置としてレインボウテクノロジー(Rainbow Tec hnologies)製のセンチネル・スーパープロ(SENTINEL SUPERPRO)がある。センチ ネル・スーパープロは、ソフトウェアアプリケーションの動作に必要なキーをス トアしているドングルである。ソフトウェアはそれを実行しているコンピュータ にドングルへのアクセスを要求し、正しいキーが見つからなければプログラムの 実行を停止するように命令する。ドングルは、パーソナルコンピュータのパラレ ルポート又はADBポートにプラグインして長さ1.65インチ幅2.125インチを測定す る。それは、16の64ビットワードとして構成されたリード／ライトメモリの128 バイトを含んでいる。これらのワードは専用ソフトウェア用時間カウンターとし て使用することができるし、それらはデモ製品の動作を制限するために実行をカ ウントすることができる。また、メモリーセルも、顧客情報や通し番号、バスワ ードなどと共にプログラムされることができる。本発明に関して、暗号／解読モ ジュール２８の一部を形成する（によって使用される）キーとアルゴリズムはか かるドングルのメモリ内 に常駐することができる。 ドングルは、特別の暗号プロセッサーとメモリを含んで、iPowerカード内にあ るのと同様の機能性をもつこともできる。しかし、パラレルポートにプラグイン される構成のドングルは、PCMCIA性能を必要とするiPowerカードと逆に、インテ ル(Intel)ベースのコンピュータハードウェアのほとんど全てに互換性がある点 において優れている。 上述の機密保護がなされている装置は、特に、監査目的用のゲーム関連データ 記憶装置に最適である。例えば、コンピュータゴルフホールインワントーナメン トでは、ホールインワンに対する特賞に魅了されたハッカーはかかる結果を偽造 しようとするであろうから、プレイヤーの各スイングを追跡することが望ましい だろう。このようないかさまを防止するために、（スイング速度や使用されたク ラブなどの）ゲームのパラメータは、それらが暗号化される機密保護がなされて いるCPU３０２に送出される。この暗号データは機密保護がなされている周辺３ ００の機密保護がなされている不揮発性メモリ３１３に暗号受領書ファイルとし てストアすることができる。ホールインワンを出したプレイヤーのいずれもが、 トーナメント職員がゲームデータをチェックしてそれが請求結果と一致するかど うかを確認できるように、支払いを受ける前に機密保護がなされている装置を送 ることが義務付けられるようにすることができる。また、暗号化されたゲームの パラメータは中央コンピュータ１４に返信されてハードドライブにストアされた りフロッピーディスクに複写されたりすることができる(機密保護なしのメモリ である)。特賞を請求する場合、プレイヤーは、ディスクを管理機関に郵送すれ ばよく、暗号データは中央コンピュータ１２がゲームをかかるデータによって再 生することにより解読して解析し、請求スコアが現実に終了されたかどうかを決 定する。 機密保護の付加的水準として、機密保護がなされているCPU３０２が、CPU２７ で通常実行されるゲームの計算の幾つかを行うことができる。実例的な例におい ては、ゲームプログラムは、例えば、エレクトロニックアーツ(ELECTRONIC ARTS )製PGAツアー96(PGA TOUR 96)などの技術系ゴルフゲームを作る。このゲームにおいては、ゴルフゲー ムのディジタル画像はゲームコンピュータ１４上に作成され、ティーのゴルフボ ールと、フェアウェイと、木と、バンカー等を含む。人間の姿がこの背景に重ね 合わせられ、プレイヤーによるキーボード又はジョイスティックからの入力に応 答して、ゴルフクラブをスイングする。プレイヤーのクラブスイングデータは、 選択されたクラブ(例えば、１番アイアン、２番アイアン、三番ウッドなど)とそ の特定の特性(クラブヘッドの向き)、足の配置、スイングの力、スピード、方向 などの様々なパラメータを表す。典型的なコンピュータにより生成されるゴルフ ゲームのコースにおいては、これらのパラメータは、ボールの結果位置を生成す るためにボールの弾道を計算するソフトウェア命令に印加される。プレイヤーが クラブをスイングした後、ディスプレイはそのホールに対するボールの位置を表 示することができる。風速と風向その他の無作為な変数などの環境条件を含むそ の他の要素は、現実性を高めるために導入することができる。機密保護がなされ ているCPU３０２があれば、ボールの新しい位置の計算はCPU２７から除外される 。これは、機密保護がなされているCPU３０２上でのみ起動するであろうゲーム プログラム２６の『機密保護がなされているソフトウェアコンポーネント(Secur e Software Component)』７１０にこれらの計算部分を作成したり、例えば、上 述のゲームパラメータによりゲームのかかる部分を計算するソフトウェア命令の ブロックを暗号化したり、かかる計算をするために機密保護がなされている周辺 ３００のメモリにストアされた追加データ又はアルゴリズムを要求したりするこ とによって達成することができる。このようにして、機密保護がなされているCP U３０２はボールの新しい位置を計算し、それは画面に表示されればその後ゲー ムコンピュータ１４のCPU２７に返信される。計算結果は、既に説明したように 、ゲームコンピュータ１４のハードドライブにストアすることもできる。また、 風速などの幾つかのゲーム変数は、機密保護がなされているCPU３０２が生成す ることができる。これらの変数はボールの新しい位置の計算に影響を与え、少な くとも一の変数は制御できないのでプレイヤーが完全なゲ ームをプレイするために機械装置を使用することが防止されるであろう。また、 風速などのゲームパラメータは、ボールの新しい位置がその後計算される機密保 護がなされているCPU３０２が生成して、その後CPU２７に送信することができる 。この実施例は、使用別払い型メータシステムに関連して、以下に詳述する。 ゲームコンソールを使用する例では、図４Ｇ及び４Ｈに概括的に示すように、 機密保護がなされている周辺３００'内の機密保護がなされているCPU３０２は、 ゲームコンピュータ１４で生成されたゲームの暗号保護された記録と再生を可能 にするために、VCRユニット４００にインターフェースするように構成すること ができる。この実施例では、ゲームコンピュータ１４からのビデオ出力信号はVC R４００のビデオ入力に送信され、VCR４００からのビデオ出力信号はテレビ４０ ２に従来の方法で送信される。機密保護がなされている周辺３００'内の機密保 護がなされているCPU３０２と関連ハードウェアは、標準VCRスロット４０４に適 合するように構成される。機密保護がなされているCPU３０２に加えて、機密保 護がなされている周辺３００'は、暗号化アルゴリズムを含むROM３０４と、実時 間クロック３０６と、オフチップバッテリー（３１０）により支持された暗号化 データとキー情報を保持するRAM３０８とのインターフェースとを備えている。 機密保護がなされている周辺３００'は、VCR４００のリード／ライトヘッド４０ ８からアナログ／ディジタル（「A/D」という。）コンバータ４１０を介して機密 保護がなされているCPU３０２に送信するためのインターフェース回路４０６を 更に備えている。ビデオ情報は典型的にテレビ４０２にRF形式で送信される。RF ビデオ信号は、当業界で公知なようにビデオ信号をベースバンド信号に復調する フロントエンド受信回路４１２によって、VCR４００内で処理されてもよい。通 常、復調された情報はVCRテープカセットに記録される。本発明の例では、ベー スバンドビデオ信号データは、A/Dコンバータ４１０によってディジタル形式に 変換され、プライベートキーによって暗号化され、EEPROM４１４などの不揮発性 メモリにストアされる。再生には、例えば、対応する公開キーでデータを解読す るこ とによって、機密保護がなされているCPU３０２はゲームデータを認証し、認証 されたゲームデータではその後ビデオ信号の生成が進行する。また、機密保護が なされている周辺３００'は、以下に説明するように使用される『認証可能な結 果メッセージAOM』を生成するROMにソフトウェア命令を含むことができる。この 『認証可能な結果メッセージAOM』には、ゲーム終了時テレビ画面に現れるビデ オ信号に含ませることができる。 次に図４Ｂを参照するに、本発明のシステムに使用されるゲームカートリッジ ２１の概観図が示されている。ゲームカートリッジ２１は、カートリッジの内蔵 ROM２３ａにゲームソフトウェア１５を含むハウジング１９を有しており、ROM２ ３ａは、ゲームコンピュータ１４と、入出力インターフェース２５を介して従来 の方法によりインターフェースする。ソフトウェア通し番号SSNは、図示するよ うに、カートリッジハウジング１９の外部に表示されてもよい。セガや任天堂の ような典型的ゲームのゲームソフトウェア１５は、プレイヤーにトーナメント可 能なゲーム又はトーナメント以外が可能な（正規版の）ゲームを選択させるゲー ムプログラム２６を含んでいる。トーナメント可能なゲームは、通常、ゲームを テストする際に開発者が使用しゲームプログラム２６では不能となる「チートコ ード(Cheat Code)」により生成することができる。また、通常はある既知のシー ケンスで生じたりある既知の特性を有する（例えば、ボーナスの位置やある戦闘 ）ゲームプレイの側面は、ゲームが正規版よりも予想しにくくなるようにそのト ーナメント版では変更することができる。コンピュータゴルフゲームの正規版が ２、３のバンカーしか有しないのに対して、トーナメント版は多くのそれを有す ることができる。また、正規版のコンピュータ野球ゲームでは、相手ピッチャー は時速80マイルでボールを投げることができるのに対して、トーナメント版では 相手ピッチャーは時速100マイルでボールを投げるようにしてもよい。また、ゲ ームカートリッジは一回又は限定期間の使用にゲームソフトウェア１５を含むこ とができる。 さて、図４Ｄを参照するに、ゲームカートリッジ２１はゲームソフトウェア１ ５を揮発 性メモリ２３ｂに含んでいる。揮発性メモリ２３ｂは従来の方法で入出力インタ ーフェース２５に接続されている。また、揮発性メモリ２３ｂは、タンパースイ ッチ２９を介して電源２７に接続されている。タンパースイッチ２９は、概括的 に３１で示されるインターフェースにおいて、カートリッジハウジング１９に接 続されており、その結果、カートリッジハウジング１９を壊して開けようとする いかなる試みも電源２７から揮発性メモリ２３ｂへの電力供給の中断を引き起こ して揮発性メモリ２３ｂにストアされている全プログラムデータの消去をもたら す。タンパースイッチ２９は、ゲームカートリッジ２１の構成に応じて多くの形 態をとることができる。例示的な実施例においては、タンパースイッチ２９は、 物理的侵入が単にタンパースイッチ２９の開成をもたらすように、カートリッジ ハウジング１９に使用されている。また、タンパースイッチ２９は、カートリッ ジハウジングが開成されれば電力供給の中断を引き起こすあるレベルの光に敏感 なフォトセルから構成されてもよい。いずれの場合にも、揮発メモリ２３ｂへの 電力供給の中断は、ストアされた全プログラムデータの消去をもたらす。コンピ ュータメモリ装置の機密を保護するこの手続は当業界で公知である。クロック３ ６は、クロック３６を変更するいかなる試みも揮発性メモリ２３ｂにストアされ たプログラムデータの損失につながるように、ゲームカートリッジ２１に収納さ れてもよい。 次に図４Ｅを参照するに、(暗号／解読モジュール２８を除く)全ゲームソフト ウェアデータは暗号化されて不揮発性メモリ２３Ｃにストアされ、暗号／解読キ ー及びアルゴリズム（暗号／解読モジュール２８）は揮発性メモリ２３ｄにスト アされる。従って、タンパースイッチ２９に反応するいかなる行為も電力供給の 中断と、揮発性メモリ２３ｄにストアされた暗号／解読モジュール２８の消去を 引き起こす。暗号／解読モジュール２８がなければ、不揮発性メモリ２３ｃにス トアされた暗号データは無意味となる。 図４Ｆに示す別の実施例では、ゲームソフトウェア１５はエレクトリカリイレ イザブルアンドプログラマブル・リードオンリメモリEEPROM２３ｅに常駐する。 カートリッジハ ウジング１９が開成されると、タンパースイッチ２９は閉成し、電源２７からの 消去信号がEEPROM２３ｅにストアされたデータの消去を引き起こす。EEPROMのデ ータ消去の実施は公知であるため、ここでは詳しく説明しない。 特別の機密保護強化トーナメントカートリッジ２１は、いかなるトーナメント に対しても上級クラス競技用にプレイヤーに提供されてもよい。 再び図４Ａを参照するに、ゲームコンピュータ１４がある位置にあるときに様 々なトーナメント統計を編集するため及び／又はゲームプレイを防止するために ゲームがプレイされる場所の情報を入手する手段として、ゲームコンピュータ１ ４は集積的全地球測位システム(Global Positioning System:GPS)３７と交信す るか又はこれを備えることができる。GPS受信器は複数の衛星から位置情報を受 信する。GPS情報は、ゲームソフトウェア１５に位置依存型使用禁止機構を与え てある場所でのゲームプレイを防止するのに使用することができる。プレイヤー がゲームコンピュータ１４でゲームを開始しようとすると、ゲームソフトウェア １５はGPS３７に尋ねて、ゲームコンピュータ１４の現在の場所が許可地域にあ るかどうかをチェックする。この許可地域はゲームソフトウェア１５に組み込む ことができる。もしゲームコンピュータ１４が許可地域外にあると認定されれば 、ゲームソフトウェア１５はゲームコンピュータにプレイヤーのゲームへのアク セスを拒絶するように命令する。別の例では、位置情報は、『認証可能な結果メ ッセージAOM』に組み込まれ、プレイヤーがそのゲーム結果を提出するときに中 央コンピュータ１２にアップロードされてもよい。この点、中央コンピュータ１ ２は、プレイヤーの特定の場所（即ち、自宅の住所）の提出を要求せずにプレイ ヤーを順位づけ／評価づけするために、及び／又は、統計的位置データを編集す るために位置情報を使用することができる。中央コンピュータ１２は、ゲームコ ンピュータ１４があった場所がどの州や市又は町であるか、プレイヤーが移動す ればプレイヤーがゲームをプレイしたときにプレイヤーがいた全地域を、ゲーム コンピュータから情報をアップロードしたり、かかる情報を含むデータベースに アクセスしたりす ることによって確認することができる。ほとんどのGPSはかなりのデータ量をス トアする能力を有している。航空機用の典型的なハンドヘルドGPS受信器は、フ ライト全体の位置データをセーブするのに十分な情報をストアすることができる 。現在のGPS衛星は、軍隊によって突然そのGPS信号の品質が低下する場合は避け られないが、現在開発中である将来の市民システムは常に正確な位置情報を２、 ３のフィート内で与える能力を有するであろう。 プレイヤーのすり替え防止のために、指紋リーダ、音声認識システム、網膜ス キャナなどのバイオメトリック識別装置が、ゲームコンピュータ１４においてプ レイヤーの絶対的身元確認に使用されてもよい。かかるプレイヤーの例は、台湾 企業スタートレック(Startrek)製のFC100指紋確認装置３１である。FC100は、イ ンターフェースカード３９を介していかなるPCに対しても容易に適用することが できる。指紋確認装置３１は光学スキャンレンズを使用している。プレイヤーは その指をレンズに置き、結果像がスキャンされディジタル化され、データはメモ リー位置３５で圧縮ストアされる。典型的に256バイトのファイルのみが必要で ある。各ライブスキャン指紋は、以前に登録／ストアされたテンプレートと比較 される。もし指紋が一致しなければ、システムへのアクセスは拒絶される。この 手続は、トーナメントゲーム開始前又はゲームソフトウェア１５からのプロンプ ト応答によりゲーム中の所定又はランダムな時に、若しくは、プレイヤーが継続 的身元確認のためにゲーム中は常にレンズに彼又は彼女の指を置きつづけること が義務付けられているスキャンレンズをゲームコンピュータ１４のジョイスティ ックに組み込むことによって継続的に、実行されてもよい。指紋データは、プレ イヤーの身元確認用にプレイヤー情報データベースの中央コンピュータ１２に（ 圧縮形式又はハッシュ値で）登録・ストア、及び／又は、後述するようにキーと して使用されてもよい。 人の「声紋」を利用する音声確認システムもプレイヤー身元確認用に中央コン ピュータ１２とゲームコンピュータ１４のいずれか又は両方に使用することがで きる。身元確認用 の声紋を入手してそれを事後的に使用する方法は当業界で公知であるため、ここ では詳細に説明しない。当業者は、音声識別／確認技術からスピークEG社(Speak EZ,Inc.)を想起するかもしれない。特に、話者識別ソフトウェアはプレイヤーの 音声サンプルをとるのに利用される。このサンプルは、プレイヤー情報データベ ースの中央コンピュータ１２にストアされる。プレイヤーが中央コンピュータ１ ２を呼び出すたびに、それはプレイヤーにその名前を電話にしゃべることを促す 。話者識別ソフトウェアは、その後、中央コンピュータ１２にプレイヤーの現在 の声紋をメモリにストアされている声紋に対してチェックするように命令する。 一致すれば処理は継続する。このことについては更に以下に詳述する。中央コン ピュータ１２を介さずにゲームプレイの許可前にプレイヤーの同一比をその場で 確認するために、声紋はゲームコンピュータ１４のデータベースにストアしても よい。このことについても更に以下に詳細に説明する。 次に図５を参照するに、ゲームコンピュータ１４が『認証可能な結果メッセー ジAOM』を生成することができる幾つかの例示的な方法が示されている。ゲーム 終了時に、結果（例えば、スコア）が表示される。ある実施例では、結果は、何 らかの秘密アルゴリズムにより生成されたコードに具体化されるだけである。こ のアルゴリズムはプレイヤーに既知ではなく、また、容易に確認可能でもない。 それはゲームソフトウェア１５又は暗号／解読モジュール２８、及び、中央コン ピュータ１２に常駐している。従って、プレイヤーが、例えば、ゲームXYZに対 して1,000,000ポイントの結果を登録しようとすれば、ゲームコンピュータ１４ は、例えば、21328585の『認証可能な結果メッセージAOM』を秘密アルゴリズム と共に生成する。中央コンピュータ１２、同一のゲームコンピュータ１４その他 のゲームコンピュータ１４は秘密アルゴリズムの逆を『認証可能な結果メッセー ジAOM』21328585又はそのゲームに対する1,000,000ポイントのスコアと同一のア ルゴリズムに適用し、もし結果が一致すれば結果の真偽が確認されたことになる 。従って、結果は、秘密アルゴリズムを含むゲームコンピュータ１４で実際にゲ ームをプレイしない限り、作成又 は推量できない。好ましい実施例では、SSCIDを暗号化キーとして使用して結果 （及びなんらかのプレイ関連データ）を組み込んでいる『認証可能な結果メッセ ージ』を暗号／解読モジュール２８は生成することができる。SSCIDを伴ったこ の結果（及びプレイ関連データ）により、特定のゲームソフトウェア１５又はゲ ームコンピュータ１４に対する結果の認証が可能になる。SSCIDは結果に結合さ れてもよく、その組合せは異なるキーによって認証可能なメッセージに組み込ま れる。この点、結果とSSCIDの暗号は、指紋確認装置３１によってスキャン、又 は、キーとしての上述の声紋システムから得られたバイオメトリックデータを利 用することができる。このようにして、プレイヤーの同一性は認証処理において 確認することができる。秘密ゲームソフトウェア又はコンピュータID、SSCIDは プレイヤーに既知ではなく、秘密番号に基づいて既知の通し番号を生成すること が可能である。これに関して、プレイヤーがゲームコンピュータ１４を最初に立 ち上げた後にそれは登録処理を実行する。SSCIDは暗号／解読モジュール２８に よって暗号化され、画面に表示される。プレイヤーは中央コンピュータ１２を呼 び出して、その名前及び／又はPIN（個人識別番号）と共にSSCIDを入力する。中 央コンピュータ１２はSSCIDを解読してプレイヤーの登録情報とそれを関連付け る。中央コンピュータ１２は、その後、SSCIDに関連付けられた一意的乱数RSを 生成する。プレイヤーはこの番号を書きとり、認証が必要な場合に、それを彼又 は彼女のゲームコンピュータ１４を識別するのに使用する。同一の手続は秘密ソ フトウェア番号用の既知の通し番号を生成するのにも使用される。ソフトウェア はハードウェアにも関連付けられている。プレイヤーは、最初のゲームをプレイ する前に、彼の新しいソフトウェアの登録が義務づけられている。この点、ゲー ムコンピュータ１４は、SSCIDを暗号形式で表示する。プレイヤーはプレイ開始 前に中央コンピュータ１２を呼び出す。SSCIDはプレイヤー情報データベース４ ８に加えられて、その後、ここで説明するように、結果の認証処理に使用される 。これにより、プレイヤーは、そのゲームコンピュータ又はゲームソフトウェア を使用して認証／認定用結果を提出するだけで ある。プレイヤーがその他のゲームソフトウェア１５及び／又はゲームコンピュ ータ１４を使用すれば認証処理はできない。 更に別の例で、結果は中央コンピュータ１２にのみ理解可能な他のデータ又は 記号によって表現されてもよいが、プレイヤーにとっては理解不能でなければな らない。例えば、スコア5000は３つの緑の丸と４つの茶の四角と２つの紫の三角 形とから表現される。プレイヤーは、中央コンピュータ１２にスコアを送信した 後、このデータを結果の確認として送出することが義務付けられる。プレイヤー は、この組合せが同一スコア、又は、高いスコア、若しくは、低いスコアに相当 するかどうかを決定することができない。しかし中央コンピュータ１２はこれら の記号を解読して、実際に、それらが、ある秘密符号化プロトコルに従って、認 定用に提出された同一の結果を表すかどうかを決定することができる。代替的に 、プレイヤーは現実のスコアを与えられない。スコアは秘密であり、中央コンピ ュータ１２が記号データを解釈した後にのみ中央コンピュータ１２がプレイヤー に明かすことになる。これは、結果の暗号化又は符号化と同様である。 トーナメントの場合、『認証可能な結果メッセージAOM』は、結果が有効なト ーナメントゲームの結果であることを表すデータを含むことによってトーナメン トの有効性を証明することができる。このデータは、『認証可能な結果メッセー ジAOM』でサブリミナル(subliminal)メッセージを構成することができる。また 、『認証可能な結果メッセージAOM』は、この目的でトーナメントプレイを開始 する『認証可能な開始メッセージ(Authenticatable Start Message)ASTM』の全 て又は一部を含むことができる。 『認証可能な結果メッセージAOM』は、認可機関に対して市場調査情報の編集 を可能にする統計データを含むこともできる。このデータは、ゲームコンピュー タ１４によって圧縮し、中央コンピュータ１２によって解凍することができる。 ゲームソフトウェア１５はゲームコンピュータ１４にゲームプレイをゲームの ある個所までセーブして事後にその箇所からプレイを再開するように命令するよ うに構成されるこ とができる。この点、プレイヤーがゲームを中断したところから始められる「再 開コード」を生成することができる。特定地点までのゲームプレイは、全体とし て、不揮発性メモリにストアすることができる。これにより、プレイヤーが幾つ かのホール終了後に中断して、後の時間に又は後日に、プレイを再開することが できるゴルフトーナメントを行うことができる。代替的に、ゲームコンピュータ １４は、この地点までのゲームの結果を表現する『認証可能な結果メッセージAO M』を生成することができる。これにより、最初のプレイヤーは、ゲームを継続 する次のプレイヤーにAOMを「渡す」ことができる。かかる構成は、プレイヤー がある距離を走り目的物を次の走者に渡すリレー競技に類似している。また、そ れにより、同一のプレイヤーは終了地点までのゲームプレイを表す膨大なデータ をストアすることを要せずにゲームプレイを再開することができる。ゲームプロ グラムは典型的に様々なレベルに分離されているゲームを生成するので、プレイ ヤーがゲーム進行つれてレベルからレベルに進む場合、この「コード」は、所与 の地点から継続するようにゲームソフトウェア１５に命令するのに使用すること ができる。プレイヤーが「中止」か「ゲーム終了」の選択をした場合、もしプレ イヤーが同一ゲームを後で継続したいと思えば、彼は『認証可能な結果メッセー ジAOM』をゲームコンピュータ１４に入力する。それが真性なものであると確認 されれば、ゲームプレイは従前の終了地点から進行する。 結果認定処理を通じてゲームソフトウェア１５の保全性（即ち、不正操作され ていないこと）を認定するのにディジタル署名プロトコルを使用することができ る。この点、プライベートキーを用いたディジタル署名アルゴリズムはメッセー ジを「署名」するのに使用される。このメッセージは、関数により生成されたソ フトウェアのハッシュ値、圧縮アルゴリズムによって作成されたソフトウェアコ ードの圧縮値などであってもよい。署名されたメッセージは、その後、中央コン ピュータ１２、同一のゲームコンピュータ１４その他野ゲームコンピュータ１４ において、公開キーディジタル署名アルゴリズムにより真偽が確認されてもよい 。秘密キーは暗号／解読モジュール２８に常駐してもよく、好ましは、 暗号／解読モジュール２８が上述の機密保護がなされている周辺３００に存在し てもよい。秘密キーは、SSCID、及び／又は、上述のディジタル化されたバイオ メトリック指紋データ又は声紋のハッシュ又は圧縮値であったもよい。公開キー は、プレイヤーがそれぞれのゲームコンピュータ１４でソフトウェアのディジタ ル署名の真偽を確認することができるように、上述したように、中央コンピュー タ１２のKDCに含まれていてもよい。 例示的な実施例においては、暗号／解読モジュール２８は、ゲームソフトウェ ア１５の全て又は一部（即ち、ゲームプログラム２６）を作出するソフトウェア 命令のハッシュ値を生成する。このハッシュ値は『認証可能な結果メッセージAO M』に組み込まれている。ハッシュ値は、ゲームソフトウェア１５の数値表現で 動作する一方向ハッシュ関数を使用して生成される。一方向ハッシュ関数の例は 安全なハッシュアルゴリズム(Secure Hash Algorthm：SHA)である。SHAは合衆国 政府基準であり、基準及び技術国立機関(National Institute of Standards and Technology)のFIPS PUB 180に特定されている。ハッシュアルゴリズムの他の例 としては、MD4、MD5、RIPE-MD、ハバル(Habal)などがある。当業者はアプライド ・クリプトグラフィを参照するかもしれない。特別の例として、ゲームソフトウ ェア１５の各文字はアスキー値に変換されて、その後、１及び０の２値連続に変 換されてもよい。例示的な一方向ハッシュ関数はこの連続で以下のように動作す る：(1)全ての１と０の位置を交換し;(2)ディジットを各々64ディジットのブロ ックにグループ化し;(3)各ブロックを５乗して64ディジットまでの結果を削り;( 4)最後の完全な番号を取り出して２乗し；(5)この２値番号を底10に変換し;(6) 最後の24ディジットをハッシュ値として取り出す。ゲームソフトウェア１５のあ る所与の複写に対する最初のハッシュ値は、販売又は配布前に作成して、中央コ ンピュータ１２にストアしてもよいし、公開してもよい。このハッシュ値は、販 売されたゲームソフトウェア１５の複写毎に異なる一方向ハッシュ関数から得る ことができる。プレイヤーが、より好ましいゲーム結果（即ち、より高いスコア 又は終了までのより早い時間）を作成するためにソフトウェア命令を不正操作し てゲームソフト ウェア１５を変更しようとすれば、ゲームソフトウェア１５に対するかかる変更 は新規に生成されたハッシュ関数と中央コンピュータ１２にストアされている最 初のハッシュ関数との間で不一致となることによって検出される。 ソフトウェア命令がゲームコンピュータ１４の揮発性リードライトメモリ(即 ち、RAM)に常駐しているのに対してゲームソフトウェア１５が不正操作可能であ るために、不正操作はゲーム終了時にゲームソフトウェア１５全体のハッシュ値 を単に生成するだけでは検出できない。ゲームソフトウェア１５の不正操作を、 それがRAMに常駐している間に、検出して証拠を発見する方法の一つは、機密保 護がなされている周辺３００の機密保護がなされているCPU３０２に周期的にゲ ームソフトウェア１５のブロックをチェックさせることである。これに関して、 図６Ａ及び６Ｂを参照するに、ゲームソフトウェア１５は、命令のｎ個のブロッ ク３１４により構成されてもよい。ここで、各ブロック３１４は、一方向ハッシ ュ関数により決定された関連ハッシュ値ｈ_l乃至ｈ_nを有する。同様に、全ブロッ クハッシュ値ｈ_l乃至ｈ_nのマスターハッシュ値ｈ_mも一方向ハッシュ関数により 決定される。これらの値は、機密保護がなされている周辺３００の（ROM３０４ 又は他の不揮発性メモリ３１３などの）機密保護がなされているメモリにストア することができる。機密保護がなされている周辺３００の機密保護がなされてい るメモリは、かかる値を多数の異なるゲーム毎にストアすることができる。工程 ３１６においては、ブロックはゲームコンピュータ１４のＲＡＭにロードされ、 その命令は工程３１８において実行される。ソフトウェア命令のブロック３１４ がゲームコンピュータ１４のRAMにおいて交換されるときには、そのブロック３ １４は、工程３２０において機密保護がなされている周辺３００の機密保護がな されているRAM３０８によって読み出されてロードされる。機密保護がなされて いる（周辺）CPU３０２は、工程３２２において一方向ハッシュ関数を使用して そのブロック３１４のハッシュ値ｈｓｐ_nを計算することができ、その計算され たハッシュ値ｈｓｐ_nは、工程３２４において機密保護がなされている周辺３０ ０の機密保護がなされてい るメモリにストアされているそのブロック３１４の既知のハッシュ値ｈ_nと比較 される。もし計算されたハッシュ値ｈｓｐ_nが期待されたハッシュ値ｈ_nと一致し て工程３２８においてゲームが終了していなければ、工程３３０においてｎだけ 増加することによって表現された以前のブロックを置換する次のブロック命令３ １４はゲームコンピュータのRAMにロードされる。もし、計算されたハッシュ値 ｈｓｐ_nが期待されたハッシュ値ｈ_nと工程３２６において一致しなければ、機密 保護がなされているCPU３０２はいくつかの措置をとることができる。まず、そ れは、工程３２８において、ゲームプログラム２６を動作不能にするために、メ ッセージをゲームコンピュータ１４に送信する。また、機密保護がなされている CPU３０２は、工程３３２においてゲーム終了時に『認証可能な結果メッセージA OM』に含めることができる不正操作表示を生成することもでき、また、もし不正 操作が検出されなければ、それは、工程３２９において『認証可能な結果メッセ ージAOM』に含まれる不正操作なしの表示を生成することもできる。従って、プ レイヤーが、不正操作表示によって明示された不正操作されたゲームソフトウェ ア１５より得られた認証用結果を提出しようとすれば、中央コンピュータ１２は その結果を拒絶することができる。機密保護がなされている周辺３００の機密保 護がなされているCPU３０２は、代替的に、各ブロック３１４が検査されるとき に計算される個々のブロックハッシュ値ｈ_l乃至ｈｓｐ_nの全てに基づいてマスタ ーハッシュ値ｈｓｐ_mを計算することもできる。その後、このマスターハッシュ 値ｈｓｐ_mは、機密保護がなされている周辺３００のROMの中に期待されたマスタ ーハッシュ値ｈｍと比較される。もしマスターハッシュ値が一致しなければ、機 密保護がなされている周辺３００の機密保護がなされているCPU３０２は、『認 証可能な結果メッセージAOM』に組み込まれている不正操作表示を生成すること ができる。代替的に、マスターハッシュ値ｈｓｐｍそれ自体は、『認証可能な結 果メッセージAOM』に組み込まれてもよく、事後的に、上述の中央コンピュータ １２で真偽の確認がなされてもよい。 専用ゲームコンピュータ１４（即ち、ゲームカーソル）の場合、ソフトウェア 命令をRAM にロードされている間にこれにアクセスして変更するのが一層困難な場合、又は 、必要な機密保護水準が高くない場合には、機密保護がなされている周辺３００ を不要にしてもよい。しかし、ゲームジーニーによるビデオゲーム強化装置の形 態においてはゲームコンソールに独特の問題がある。ゲームジーニーは、ゲーム カートリッジ２１とゲームコンピュータ１４との間に接続されている中間装置で ある。ゲームコンソールの例では、ゲームソフトウェア１５は専用ゲームカート リッジのROMの中に存在している。中間装置の場合、ゲームカートリッジ２１のR OMからゲームコンピュータ１４のRAMにロードされたプログラム命令を変更する ことによって、プレイヤーは一時的に所定のゲームプレイ機構を変更することが できる。この変更は永久的ではなく、ゲームコンピュータ１４の電源が切れれば 消失する。これは、認定が部分的にゲームソフトウェア１５の保全性の真偽確認 に依存している本発明に対する独特な挑戦である。本発明は、認証プロトコルに おいて一方向ハッシュ関数及び暗号化を利用することによって中間装置の問題を 解決している。 一方向ハッシュ関数を組み込む上述の例と同様に、ゲームソフトウェアはｎ個 のソフトウェア命令のブロック３１４を含んでおり、各ブロックは関連ハッシュ 値ｈ_l乃至ｈ_nを有しており、一連の命令全体は、個々のハッシュ値ｈ_l乃至ｈ_nを 一方向ハッシュ関数に適用することによって計算されたマスターハッシュ値ｈ_m を有している。各ブロックのハッシュ値は、同一又は異なる一方向ハッシュ関数 により決定される。ブロックの一つは、他のブロックに対する全ハッシュ値のリ ストと、マスターハッシュ値ｈ_mと、各ブロックハッシュ値とマスターハッシュ 値を計算するのに使用されるハッシュ関数含むことができる。上述したように、 マスターハッシュ値ｈ_mは、ゲームソフトウェア命令にストアされてもよいし、 プレイヤーがゲームコンピュータ１４にゲーム開始時に入力してもよい。このよ うに、マスターハッシュ値ｈ_mは、それが命令にストアされているかプレイヤー が入力したどちらかの値と一致するかどうかを決定するために、ハッシュ値ｈ_l 乃至ｈ_nからマスターハッシュ値ｈｎｅｗｍを最初に計算することによって、ゲ ーム開始時にチェックされる。 いずれかの命令を変更するのに中間装置が使用されたならば、計算されたマスタ ーハッシュ値ｈｎｅｗｍは入力されたマスターハッシュ値とゲーム開始時に一致 しない。中間装置がソフトウェア命令を、RAMにロードされているときに、事後 的に変更しないことを確認するために、ゲームソフトウェア１５は、CPU２７に 対して、各ブロックｊのハッシュ値ｈｎｅｗ_jを、それがRAM内で置きかえられる ときに、計算するように命令する命令と、ブロックｊに対する新しいハッシュ値 とその他の全ブロックの既知のハッシュ値に基づいて再計算されたマスターハッ シュ値ｈｎｅｗ_mを含んでいる。計算されたマスターハッシュ値ｈｎｅｗ_mは、そ の後、ハッシュブロック内の既知のマスターハッシュ値ｈ_mと比較される。いか なる時においても不一致が発見されれば、ゲームソフトウェア１５は、ゲームコ ンピュータ１４に対して、ゲームソフトウェア１５を動作不能にさせたり、『認 証可能な結果メッセージAOM』に含まれている不正操作表示を生成することを命 令することができる。これに関して、ハッシュ値ｈ_l乃至ｈ_nとｈ_m、一方向ハッ シュ関数、及びこの方法でゲームソフトウェア命令をチェックする命令は、ゲー ムコンピュータ１４に内部的に関連付けられたROMチップに存在してもよい。従 って、プロトコルは本質的に同一であるが、「機密保護」命令はゲームソフトウ ェア１５自身から実行されている。 中間装置問題の他の解決法は、ゲームソフトウェアがゲームコンピュータ１４ 内で実行することができるように認証プロトコルを使用することである。この点 、ゲームカートリッジのROMにストアされているゲームソフトウェア命令は、ゲ ームコンピュータ１４がその命令をプログラム実行前に認証する場合は、認証可 能に構成してもよい。これはソフトウェア命令を、ゲーム開発機によりプライベ ートキーで暗号化することによって実行することができ、これにより、ゲームコ ンピュータ１４はゲームプログラムの実行前に対応するパブリックキーを用いて 暗号化されたゲームソフトウェア命令を解読することが義務づけられる。解読処 理実行命令とアルゴリズムはゲームコンピュータ１４の(図示しない)ROMチップ に存在している。ゲームソフトウェア命令はブロックに暗号化されている。 各ブロックがゲームコンピュータ１４のRAMで実行される前に、それはROMチップ においてストアされたアルゴリズムとキーでCPU２７によって解読される。中間 装置がゲームソフトウェア命令の変更に使用されれば、暗号化されたゲームソフ トウェア命令を公開キーで解読することによって実行される認証処理は理解不能 のコマンドを示して、ゲームプログラムは変更されることになる。この変更はRO Mチップの機密保護プログラムによって検出することができ、ゲームソフトウェ ア１５の動作不能、及び／又は、不正操作表示用として『認証可能な結果メッセ ージAOM』への組み込みに使用することができる。 ゲームジーニー形式の装置を無効にする暗号技術に加えて、これと等しく効果 的となり得る他の方法がある。ある技術はゲームのスコアだけでなくゲームの幾 つかのキーの特性を認証することである。例えば、ゲームジーニーは、プレイヤ ーが対戦相手の攻撃に対して完全に不死身にすることもできるかもしれない。例 えば、もし彼又は彼女がプレイしていたゲームが最後に竜を倒すことを要求して いたならば、ゲームジーニーで強化したプレイヤーは、竜をすばやく倒すことに 何の困難性もないであろう。ほとんどのプレイヤーはより長い時間を費し、結果 としてより多くのダメージを受ける可能性があるだろう。中央コンピュータ１２ がそれを既知の情報と比較してそれが「正常」範囲内にあるかどうかを決定する ことができるように、この情報（例えば、経過秒数、受けたダメージ単位）を『 認証可能な結果メッセージAOM』に含めることができる。もしそれが正常範囲外 であれば、中央コンピュータ１２は、ゲームコンピュータ１４に対して、返信メ ッセージに所定のレジスタ値（即ち、不死身状態）を含む呼掛け／応答プロトコ ルを開始することができる。ゲームジーニーの存在を直接に検出する代わりに、 このプロトコルはゲームジーニーの終了効果を検出する。、当業界で公知なよう に、どのようにゲームソフトウェア１５が動作しているのかを効果的に隠すのに ソフトウェア困惑技術(Software obfuscation techniques)も使用することがで きる。リバースエンジニアリングにより困惑されたソフトウェアはかなりの時間 を必要とし、ゲームジーニーにより作成されたチートコードの作成を遅らせる。 CD-ROMは、一万回程度プレスするたびに再度マスター化されなければならないの で、ゲームソフトウェアの多くの異なる版を作成することができる。従って、ゲ ームジーニー装置は、可能なソフトウェア変形のたびにチートコードを生成しな ければならない。 別の解決法は、ゲームコンピュータ１４がゲームプログラム２６をロードした 時間とゲームが現実に開始した時間との時間間隔を監視することである。もしゲ ームジーニー装置が使用されているならば、プレイヤーはゲーム開始前にゲーム コンピュータ１４にチートコードを入力しなければならないので、ゲームはすぐ には開始しない。 更に別の実施例では、全ゲームデータを交換可能な(removable)メモリ媒体に ストアすることによって、中央機関は、ゲームがゲームジーニー装置によりチー トコード入力で作成されたかどうかを事後的に決定できる。このデータは、ここ で詳述するように、「記録される」ことができる。 上述の不正操作表示は、情報の「サブリミナルチャンネル」(即ち、解読困難 な情報)として『認証可能な結果メッセージAOM』に組み込むことができる。上述 したハッシュ値と暗号認証プロトコルに加えて、ゲームソフトウェア１５は、例 えば、現在のメモリレジスタの一方向ハッシュを実行してハッシュ値を得るそれ 自体の保全性チェックを実行することができる。その後、それは、このハッシュ 値がゲームプログラムの一連のコードとしてストアされた可能なハッシュ値の許 容範囲内にあるかどうかを決定する。もし決定されたハッシュ値が許容範囲内に あるならば、それは不正操作表示値を０に戻す(即ち、不正操作の存在又は企図 なし)。もし決定されたハッシュ値が許容範囲外であれば、それは不正操作表示 値を１に戻す(即ち、不正操作の存在又は企図あり)。この不正操作表示値０又は １は、結果に添付されて『認証可能な結果メッセージAOM』に組み込まれる。『 認証可能な結果メッセージAOM』が中央コンピュータ１２によって認証されると 、不正操作表示ディジットが組み込まれて、ゲームソフトウェア１５のコピーが 変更又は修正されたかどうかを表示する。これらのメッセージはハッカーがその 意味を非常に解釈しにくくなるよ うに配列される。例えば、列13000087457において、最後のディジット７は列の 第７ディジット、即ち、「８」のポインターである。ここで、このディジットは 偶数であれば不正操作が企図されことを示す。同様に、ゲームソフトウェア１５ は特定の倍数、例えば、５でスコアを生成することができ、その結果、５又はゼ ロで終了していないいずれのスコアも無効である。更に、ゲームソフトウェア１ ５は、スコアにおいて１ディジットだけ異なって、上述の自己保全性チェックに 従って不正操作を表示することができる。例えば、3905のスコアは有効であるが 、スコアが3905+1=3906となれば、数字１の加算が不正操作を表示しているため 、そのスコアは拒絶される。 ゲームソフトウェア１５を利用可能にしている磁気メモリ媒体の自然無作為的 変化は、検出されて、ここで説明する暗号プロトコルの秘密又はプライベートキ ーとして使用されることができる。これらの特徴は、保磁力、粒度、被膜厚さ、 表面輪郭などの変化を含んでいる。従って、実際の各メモリ媒体は、これらの特 性に依存する一意的「メモリ媒体署名」を有している。この一意的メモリ媒体署 名を検出する一つの方法は、フェルナンデスに発行された米国特許第5.235,166 号に開示されている。フェルナンデス特許は、トランスデューサ出力から得られ た信号の特定の特徴の相対位置を検出して、その後、「ジッター」として知られ るピーク地点の正確な位置の間のずれを測定することを教示している。ジッター は媒体自体及びそれにストアされた関連データに依存している。ジッターはディ ジタルマッピング、即ち、ジッターの全ての値の表又はジッターのサンプル、又 は、幾つかのジッター量又は（ハッシュ値を作成するための）一方向関数から得 られた量のチェックサム、若しくは、媒体の異なる領域におけるジッターに相当 する多数チェックサム量として表現されている。最初のメモリ媒体署名は、ゲー ムソフトウェア１５の販売又は配布前に、メモリ領域８０のトーナメントデータ ベース４６の中央コンピュータ１２にストアすることができる(図７参照)。従っ て、後述する結果登録処理中は、この情報はゲームカートリッジ２１などのメモ リ媒体からフェルナンデス特許に開示されているようなハードウェア により読み出すことができる。結果が中央コンピュータ１２に認定のために提出 されたときに中央コンピュータ１２が最初のメモリ媒体署名を現在のメモリ媒体 署名と比較することができるように、この情報を『認証可能な結果メッセージ』 に含めることができる。代替的に、メモリ媒体署名は認定用暗号化キーとして使 用することができる。先の場合には、もし新規に計算されたメモリ媒体署名が最 初のメモリ媒体署名と一致しなければ、ゲームソフトウェア１５は変更され、及 び／又は、許可されていない複写がなされたことになる。もしメモリ媒体署名が 暗号化キーとして使用されれば、ゲームソフトウェア１５の複写に関して、結果 認定をすることができる。この暗号プロトコルに利用することができる別の一意 的なキーは、幾つかの中央処理装置に内蔵された独自のID番号である。例えば、 インテルは、独自の番号をその処理装置の各々に割り当てている。この番号は認 証可能メッセージが生成されるたびに、暗号／解読モジュール２８が読み出すこ とができる。この一意的な番号は、上述したように、その定義に従ってSSCIDと 呼ぶことができる。 次に図７を参照するに、中央コンピュータ１２の例示的なメモリ配列が示され ている。繰り返すが、中央コンピュータ１２は単一のユニットとして図示されて いるものの複数のコンピュータのネットワークであってもよい。中央コンピュー タ１２は、特に、幾つかの関係データベースを含んでいるメモリ４２を含んでい る。これらは、ゲームデータベース４４、トーナメントデータベース４６、プレ イヤー情報データベース４８、結果データベース５０、及び、統計データベース ５１を含んでいる。中央コンピュータメモリ４２は、暗号／解読モジュール５２ 、伝送エラーチェックモジュール５４、評価／順位モジュール５５、時間／日付 モジュール５６、及び、オペレーティングシステム５８も含んでいる。伝送エラ ーチェックモジュール５４は、再送命令又は要求が、ゲームコンピュータ１４に 関して上述したように、また、当業界で公知なようになされることができるよう に、入力エラーやノイズなどの通信上の問題による送信データの衰退を検出する 機能を有する。オペレーティングシステム５８は、中央コンピュータ１２の中央 処理装置６０を制御する。 クロック６２は、従来の方法で、信号を中央処理装置６０に与え、要求されたよ うに入力メッセージのタイムスタンプする時間／日付モジュール５６によって使 用される。代替的に、信頼されたディジタルタイムスタンプサービスをこの機能 のために使用することができる。 ゲームデータベース４４は、ゲームIDデータをゲームメモリ領域６４に、ゲー ム名をメモリ領域６６に、そして、トーナメントIDデータをメモリ領域６８に含 んでいる。 トーナメントデータベース４６は、各トーナメントを一意的に識別するトーナ メントID番号をメモリー領域７０に、対応するトーナメントの日付又はトーナメ ントの有効期間をメモリ領域７２に、所与のトーナメントに対する部門レベル（ トーナメントは初心者、中級者、上級者などの多数のレベルを含むことができる ）をメモリ領域７４に、所与のトーナメントに対して支払われる賞又はいかなる ゲームに対してもあるハイスコアに対する固定されている賞に関する情報をメモ リ領域７６に、SSCIDとソフトウェア通し番号SSNをメモリ領域７８に、最初のメ モリ媒体署名をメモリ領域８０に、ゲームソフトウェア１５の最初のハッシュ値 をメモリ領域８２に、所与のトーナメントに対して支払い又は前払いされた参加 費用をメモリ領域８４に、所与のトーナメントが開始できるようにする開始メッ セージをメモリ領域８６に、ゲームコンピュータ１４から受信した結果メッセー ジをメモリ領域８８に、そして、あるプレイヤーが将来のトーナメントへ参加で きるようにする獲得された資格ポイントをメモリ領域９０にそれぞれ含んでいる 。 プレイヤーは、次に登録処理を行って、名前、住所、電話番号、年齢などの個 人情報を中央コンピュータ１２に供給して、プレイヤー情報データベース４８に ストアする。プレイヤーは、ゲームソフトウェア１５に含まれている登録カード を返却することができる。この登録カードはプレイヤーのIDデータとゲームソフ トウェア１５の通し番号SSNを含んでいる。登録カードは、偽造しにくいホログ ラム及び／又は秘密IDなどの機密保護表示を含んでいてもよい。これにより、ゲ ームソフトウェア１５が家庭のPCで使用される 場合やゲームソフトウェア１５がゲームコンソール用ゲームカートリッジに常駐 する場合は、中央機関はゲームソフトウェア１５が特定のプレイヤーに関連づけ られていることを確認することができる。プレイヤーには、トーナメントに関連 又は独立して、トーナメントへの登録と結果登録処理に使用されるプレイヤーID が割り当てられている。また、プレイヤーは、バイオメトリック装置３１からの バイオメトリックデータ（即ち、指紋スキャナから入手したディジタル化、圧縮 化、若しくは、ハッシュ化された指紋データや音声確認システムから入手した声 紋など）を提供することが義務づけられてもよい。プレイヤー情報データベース ４８は、プレイヤーID及び／又はバイオメトリックデータをメモリ領域９１に、 SSCIDをメモリ領域９２に、プレイヤーの名前／住所／電話番号／年齢をメモリ 頃域９４に、チームトーナメントの場合の所属チーム用チームID番号をメモリ碩 域９６に、プレイヤーが戦ったトーナメントのリストをメモリ領域９８に、そし て、プレイヤーが将来のトーナメントへ参加することができる獲得された資格ポ イントをメモリ領域１００にそれぞれ含んでいる。更に、メモリ領域１０１は、 プレイヤーの結果を所与のトーナメントゲームに対して調節したりゲームソフト ウェア１５によって生成されたゲームの難易度を後述の『認識可能な開始メッセ ージ』のゲーム難易度レベルを送信することによって修正するのに使用すること ができるプレイヤーハンディキャップ値をストアする。ハンディキャップ値はプ レイヤーの特定のゲームに対して示された技術レベルに従って変化することがで きる。例えば、ゴルフトーナメントでは、従前のトーナメント結果に基づくハン ディキャップ値が事後のトーナメントに使用される。弱いプレイヤーは最終スコ アから減算される打数を有することができ、強いプレイヤーはスコアに加算され る打数を有する。打数をスコアから加減する代わりに、ハンディキャップは、プ レイヤーは打ち損じたショットをなくして打ち直しすることができる「マリガン 」の設定数の形式をとることもできる。プレイヤーの順位、評価、及び、タイト ルは、結果データベース５０と同様に、メモリ領域１０３にストアすることがで きる。 結果データベース５０は、トーナメントIDをメモリ領域１０２に、いずれの認 定又はトーナメントゲームに対する結果（即ち、スコア、終了時聞その他ゲーム の特別の特性）と対応するプレイヤーの評価／順位／タイトルのリストをメモリ 領域１０４に、そして、プレイヤーの名前又は所属チームをメモリ領域１０６に 含んでいる。 統計データベース５１は、ゲームIDデータをメモリ領域５１ａに、プレイヤー 及びチームデータをメモリ碩域５１ｂに、そして、様々な統計情報をメモリ領域 ５１Ｃに含むことができる。統計データベースは電話又はオンラインサービスを 通じてアクセス可能である。それはパスワードで保護されていてもよいし保護さ れなくてもよい。 次に図８Ａを参照するに、本発明の例示的なトーナメント参加手続のフローチ ャートが示されている。作図の目的上、フローチャートは、プレイヤーが図１に 示すIVRUからのプロンプト応答により手動又は（音声応答ハードウェア／ソフト ウェアを介して）音声でメッセージを電話１８に入力するシステムについて述べ ている。しかし、当業者は、図２及び図３に示すように、直接リンク又はオンラ イン接続を設定することによって、ゲームコンピュータ１４自体と中央コンピュ ータ１２間でメッセージを交信することができることを理解できるであろう。あ る実施例では、全てのゲームはトーナメントゲームである。（図８Ａに示す）別 の実施例では、通常の方法でゲームをプレイするためにプレイヤーがゲームコン ピュータ１４を動作可能にすると、ゲームソフトウェア１５はゲームコンピュー タ１４にトーナメントに参加するか正規版ゲームをプレイするかの選択肢を工程 １０８で生成する。もしプレイヤーが正規版のゲームをプレイすることを選択す れば、ゲームコンピュータは工程１１０において従来の方法でゲームを生成する であろう。プレイヤーがトーナメントに参加する選択肢を選択すれば、プレイヤ ーに対して、例えば、指紋確認装置３１や声紋チェックを利用してバイオメトリ ック確認手続で進行することを工程１１１で要求してもよい。ゲームソフトウェ ア１５は工程１１２においてトーナメント版の選択肢を実行する。この場合、ゲ ームソフトウェア１５のゲームパラメータを別の方法で修正 したり動作不能チートコード含めたりすることができる。また、ゲームソフトウ ェア１５は、工程１１４において、ゲームコンピュータに対して、所与のトーナ メントのトーナメントIDと、電話をかけるプレイヤーに対して800番トールフリ ー番号を表示するように命令する。800番トールフリー番号の使用は例示的であ る。異なるトーナメントであれば、所定の通話料を課金する900番番号を利用し てもよく、その全て又は一部をトーナメント参加費用に加えてもよい。900番番 号の場合、子供の通話を防止する阻止システムを利用することができる。これは 、中央コンピュータ１２に動作的に接続されて所与の発呼電話番号又は特定のPI Nを有する人からのアクセスを阻止する特別阻止電話番号を設定することによっ て実行することができる。前者の場合には、中央コンピュータ１２は、データベ ースが「阻止対象」と識別している特定の電話番号からなされた発呼からのトー ナメント参加要求はこれを拒否（阻止）することができる。900番番号通話の発 呼者IDは、当業界で公知の形式の自動番号識別(Automated Number Identificati on:ANI)システムを使用して作成することができる。阻止がPINによってなされる 場合には、中央コンピュータ１２は、阻止されたPINを、PIN阻止データベース内 にそのリストをストアすることによって、識別することができる。800番番号と トーナメントIDは、ゲームソフトウェア１５を伴う異なる報告に含めてもよく、 ゲームコンピュータ１４に表示される必要はない。しかし、作図の目的上、以下 では、800番番号がゲームコンピュータ１４に表示されるシステムについて説明 する。プレイヤーは、800番をダイヤルしてIVRU１６を介して工程１１６におい て中央コンピュータ１２に接続する。IVRU１６は、工程１１８において、プレイ ヤーにプレイヤーIDを促す。これに対して、プレイヤーが工程１１９において電 話１８のキーパッドに従来の方法でそのプレイヤーIDを入力する。プレイヤーID は、中央コンピュータ１２に送信されて、中央コンピュータ１２がプレイヤー情 報データベース４８をチェックしてそのプレイヤーが有効なプレイヤーIDを持っ ているかどうかを工程１２０において決定する。もしそうでなければ、工程１２ ２において、プレイヤーは上述したように中央コ ンビュータ１２に登録する。もしプレイヤーIDの真偽が確認されれば、IVRU１６ はプレイヤーに対してトーナメントIDと、ゲームソフトウェア１５のソフトウェ ア通し番号SSNを工程１２４で促す。プレイヤーはトーナメントIDとゲームソフ トウェア通し番号SSNを工程１２６において電話１８に入力する。所与のトーナ メントは異なる部門（即ち、初心者、中級者及び／又は上級者）を有してもよい ので、プレイヤーは自分の技術レベルに適した競技レベルを選択する選択肢を有 していてもよい。もしプレイヤーが選択肢を有すれば、IVRU１６は、工程１２８ において、プレイヤーに特定のトーナメントの部門番号を促す。工程１３０にお いて、プレイヤーは、その後、部門レベル又は番号を電話１８に入力する。代替 的に、プレイヤーが既に結果データベースにストアされた評価を有していれば、 部門レベルは中央コンピュータ１２が決定することができる。トーナメントデー タベース４６は、所与のトーナメントに対する部門の記録をメモリ領域７４に保 持している。中央コンピュータ１２はトーナメントへの参加人数を制限すること ができるので、プレイヤーはトーナメントに参加しようとする場合にはまだ空席 があるかどうかを確認することができる。もし空席があれば、中央コンピュータ １２はプレイヤーがトーナメントの参加を前払いしたか、又は、前払いしたトー ナメント参加がゲームソフトウェア１５の購入に含まれていたかどうかを工程１ ３２においてチェックする。プレイヤーがある費用をある何らかの所定の方法で 支払っていれば、トーナメントへの参加の支払いは口座振替によっても行うこと ができることがわかる。トーナメント参加費用は、中央コンピュータ１２のメモ リ領域８４にストアされる。参加費用の支払いがなく参加費用が必要であれば、 IVRU１６は、工程１３４において、プレイヤーにクレジットカード番号を促す。 プレイヤーは、工程１３６において、電話にクレジットカード番号を入力する。 クレジットカード番号の有効性は従来の方法でオンラインによりチェックされる 。もちろん、クレジットカード番号を電話１８に手動で入力する代わりに、クレ ジットカードをクレジットカードリーダに通すことによってクレジットカードの 使用と許可をなすことができる。代替的実施例にお いては、トーナメントの参加に費用の支払いやトーナメントプレイを可能にする 開始メッセージは不要である。工程１３８において、中央コンピュータ１２は、 次に、暗号／解読モジュール５２を使用して、プレイヤーのトーナメントゲーム と特定のゲームソフトウェア１５に対して『認証可能な開始メッセージASTM』を 生成する。『認証可能な開始メッセージASTM』は、所期のゲームコンピュータ及 び／又はゲームソフトウェアだけが要求されたキーで解読したときにそのメッセ ージを使用することができるように暗号化することができる。工程１４０におい て、『認証可能な開始メッセージASTM』はプレイヤーに電話１８で送信されて、 その後、プレイヤーにより（例えば、コンピュータのキーボードやジョイスティ ックを通じて）ゲームコンピュータ１４に入力される。これに関して、『認証可 能な開始メッセージASTM』は、無作為な公共の情報源に基づいてトーナメントプ レイを可能にすることができる。かかる例では、プレイヤーは『認証可能な開始 メッセージASTM』及びテレビやラジオ、新聞などのある公共の情報源から入手可 能な別個の入力の両方を入力する。従って、トーナメントプレイは、プレイヤー が、例えば、チャンネルＺの10時のニュースで放送されるロタリーピック「4」番 号から初期設定コードを入手できるときに開始する。この無作為な情報はゲーム プレイ前に入力されなければならず、『認証可能な結果メッセージAOM』の一部 になる。従って、この情報は、ゲームが結果を誘発するイベント後に開始したこ とを確認するものである。ゲームコンピュータは、工程１４２において、暗号／ 解読モジュール２８を『認証可能な開始メッセージASTM』を認証するために使用 することができる。認証された開始メッセージは、工程１４４において、ゲーム プログラム２６に信号で知らせ、トーナメントゲームのプレイを可能にする。開 始メッセージはゲームソフトウェア１５にこれは有効なトーナメントゲームであ る旨の合図を送る。また、それは、ゲームソフトウェア１５に対して、例えば、 戦闘レベルなどそのトーナメントゲームに対する特定の又は無作為な初期設定パ ラメータを生成する命令も含むことができる。これに関して、開始メッセージは 、所与のトーナメントを開始するために 又は技術競技でプレイヤーの対戦を開始するために特定の時間にテレビやラジオ 、若しくは、インターネットなどのマスコミチャンネルで放送してもよいことが わかる。その例については以下に更に詳しく説明する。 開始メッセージは、使用別払い(ペイパーゲーム:pay-per-game)型ゲームプレ イを容易にするのに使用することができる。例えば、プレイヤーは中央コンピュ ータ１２を呼出し、特定の費用を支払って一又は複数のゲームに有効な開始メッ セージを入手する。この結果、家庭環境でゲームコンピュータ１４をゲームセン ターマシンのように動作させることができる。この例では、開始メッセージをキ ーとして使用することができる。それがなければ、ゲームソフトウェア１５はゲ ームを生成することができない。ゲームコンピュータ１４がクロック、好ましく は不正操作防止型のそれと交信すると仮定すれば、タイミングの要素を開始メッ セージに組み込むことによって、それは「時間制限された」もの（即ち、ある所 定期間は有効）となることができる。使用別払いの概念の変形例は本発明の別の 側面において以下により詳細に説明する。 開始メッセージは他の例でも使用することもできる。開始メッセージは、ゲー ムコンピュータ１４によって解凍されて表示される圧縮宣伝情報を含むことがで きる。 次に図８Ｂを参照するに、硬貨で動作するゲームセンターの環境では、プレイ ヤーは、プリペイドカード２１６に具体化された幾つかのトーナメントの参加を 購入することができる。カード２１６は磁気ストライプなどのメモリ媒体を含ん でいる。例えば、ゲームセンターマシンの場合のゲームコンピュータ１４は、ゲ ームコンピュータのCPU２７とインターフェースを介して従来の方法で交信する カードリーダ２１８を有している。カード２１６は、中央コンピュータ１２と交 信するカード符号器２２２を有するトーナメントオペレータ局２２０から入手さ れる。トーナメントオペレータ局２２０は、ト−ナメントオペレータを配置する か、それ自体支払いとトーナメント参加要求を受付ける自動装置から構成される ことができる。プレイヤーはトーナメントオペレータにクレジットカード又は 現金で支払う。支払いがクレジットカードによってなされた場合には、トーナメ ントオペレータはオンライン許可を従来の方法で入手して、その後、トーナメン ト参加要求を中央コンピュータ１２に送信する。支払いが現金でなされれば、ト ーナメントオペレータはトーナメント参加要求を中央コンピュータ１２に送信す るだけである。トーナメント参加数を複数受信すると、中央コンピュータ１２は 、開始メッセージをカード２１６の磁気ストライプで符号化できれば、対応する 数の『認証可能な開始メッセージASTM』を生成して、それをオペレータ局２２０ に送信する。ここで「メッセージ」という用語は、各トーナメント参加命令又は コードを識別するのに使用される。対応する数のトーナメントに対して、単一の メッセージが複数の参加コードを含むようにできることが分かる。従って、複数 の『認証可能な開始メッセージASTM』は複数のトーナメント参加を意味している 。プレイヤーはカード２１６をカードリーダ２１８に通すと、トーナメントに関 連付けられた『認証可能な開始メッセージASTM』は、ゲームコンピュータ１４に よって読み出され、上述のように、トーナメントプレイを可能にする。『認証可 能な開始メッセージASTM』で（例えば、SSCIDにより）識別された特定のゲーム コンピュータ１４又はゲームソフトウェア１５上でのトーナメントプレイを可能 にするために、『認証可能な開始メッセージASTM』はカスタマイズされることが できる。別の例においては、『認証可能な開始メッセージASTM』は、所与の『認 証結果メッセージAOM』により表現される結果を提出する権利が一度だけ生じ得 るように、『認証可能な結果メッセージAOM』に組み込まれる独自の識別情報を 含むことができる。従って、プレイヤーは、別のゲームコンピュータ１４で入手 されたハイスコアを表現する『認証可能な結果メッセージAOM』を盗むことはで きない。なぜなら、中央コンピュータは、所与のゲームコンピュータ１４からの その特定のスコアを表す『認証可能な結果メッセージAOM』が既に使用されたこ とを決定できるからである。本発明をゲームセンター環境に適用するのを容易に するために、ゲームセンターマシン（ゲームコンピュータ１４）は、電話へのア クセスが制限されている場合にプレイヤー が結果をより容易に登録できるようにするために、『認証可能な結果メッセージ AOM』を印字するプリンタを備えていてもよい。受領書に『認証可能な結果メッ セージAOM』を印字することによってプレイヤーは都合のよい場所で電話により システムにアクセスすることができ、ゲームセンターマシンと中央コンピュータ との間のオンライン接続用ハードウェアは不要となる。次に図９を参照するに、 ゲームシーケンスフローチャートが示されている。工程１４６において、ゲーム コンピュータ１４は従来の方法でゲームを生成する。もし上述したようにそれが トーナメントゲームであれば、ゲームソフトウェア１５はチートコードを動作不 能にし、非トーナメント版ゲームと比べてゲームプレイ特性がランダム化され得 るようにゲームを変更することができ、ゲームプレイを容易又は困難にすること ができ、及び／又は、非トーナメント版ゲームと比べて隠れた戦闘レベルをアン ロックすることができる。工程１４８において、ゲームソフトウェア１５は終了 までの時間と、なくなった命の数、レベル毎の消費時間、発見された秘密の宝物 の数などそのゲームに関係する特別のプレイ関連情報を追跡する。工程１５０に おいて、プレイヤーはゲームを終了し、ゲームソフトウェア１５は結果を生成す る。ある実施例においては、ゲームコンピュータ１４は、プレイヤーが工程１５ ２において認定用結果を提出するかどうかを選択するための選択肢を生成する。 もしプレイヤーが、(トーナメントの場合に)中央コンピュータへ提出して認証可 能な結果を生成してもらいたいと思えば、あるいは、あるスコアが終了されたこ とを友人に後で証明したいと思えば、上述の『認証可能な結果メッセージAOM』 （又は技術競技用の『認証可能なタイミングメッセージATM』）が工程１５４で 生成される。そうでなければ、プレイヤーは工程１５６において別のゲームのプ レイに戻るであろう。トーナメントの場合、プレイヤーには、認定用結果を提出 するかどうかの選択肢は提供されない。 次に図１０Ａを参照するに、トーナメントの実施例における結果認定シーケン スのフローチャートが示されている。この例では、結果は中央コンピュータ１２ に提出される。し かし、トーナメントとは独立して、単に結果を認定するために同様の手続を利用 してもよい。その場合、中央コンピュータ１２は、オンラインサービスや電話な どを通じてプレイヤーがアクセス可能なプレイヤーのスコアと統計の更新可能な データベースを生成する。統計は、過去の受賞者リストや、現在のトーナメント のトッププレイヤーリストを含む。トーナメントゲームの結果提出処理を開始す るためにゲームソフトウェア１５は、上述のように、工程１５８において、ゲー ムコンピュータ１４に800番番号を電話をかけるプレイヤーのために表示するこ とを命令する。プレイヤーは、工程１６０において、IVRU１６によってトーナメ ントIDを入力することを促され、プレイヤーは工程１６２においてそれを電話１ ８で入力する。中央コンピュータ１２は、工程１６４において、トーナメントID によって識別された特定のトーナメントのトーナメントデータベース４６に続い てアクセスする。IVRU１６は、その後、工程１６６において、プレイヤーにその プレイヤーID、ソフトウェア通し番号SSN、及び、『認証可能な結果メッセージA OM』を促す。プレイヤーは、工程１６８において、プレイヤーIDを入力し、ソフ トウェア通し番号SSN、及び、『認証可能な結果メッセージAOM』を電話１８で入 力する。この工程は、多数の『認証結果メッセージAOM』の入力を含んでいても よいし、単一の『認証可能な結果メッセージAOM』が幾つかの結果を表してもよ い。中央コンピュータ１２は、工程１６９において、例えば、指紋確認装置３１ によるプレイヤーの同一性のバイオメトリック確認を要求することができる。指 紋確認装置３１を利用するバイオメトリック確認手続を図１０Ｂのフローチャー トに示す。工程１６９ａにおいて、指紋確認装置３１はプレイヤーの指紋をライ ブスキャンし、それは工程１６９ｂでディジタル化され、ディジタル化されたデ ータは工程１６９Ｃでゲームソフトウェア１５によって圧縮化又はハッシュ化さ れる。圧縮化又はハッシュ化されたデータは中央コンピュータ１２に送信され、 中央コンピュータ１２は、工程１６９ｄにおいて、現在のデータをメモリ領域９ １のプレイヤー情報データベース４８のメモリにストアされたものと比較する。 もし、プレイヤーの指紋の現在のスキャ ンから得られた圧縮化又ハッシュ化されたデータが、プレイヤー情報データベー ス４８にストアされたそれを一致すれば、プレイヤーの同一性は確認されたこと になり、結果提出手続は工程１７０まで継続する。そうでなければ、結果提出手 続は終了する。同様のバイオメトリックによるプレイヤーの同一性確認手続は、 中央コンピュータ１２における声紋確認により行われる。中央コンピュータ１２ は、工程１７０において、暗号／解読モジュール５２と上述のプロトコルのいず れかを用いて、『認証可能な結果メッセージAOM』を認証する。認証は、特定の 選択された暗号プロトコルに応じて、同一性及び／又は保全性を確保する。発信 者のプライベートキーによる結果の暗号化がその結果を提出したプレイヤーの同 一性を確認する一方、例えば、キーを使用せずに結果をハッシュすることは結果 の保全性を確認するだろう。（発信者のプライベートキーによって暗号化された ハッシュである）ディジタル署名は結果の保全性と発信者の同一性の両方を確認 する。中央コンピュータ１２は、メッセージをタイムスタンプし、又は、この機 能を実行するためにディジタルタイムスタンピングサービスなどの信頼された第 三者と交信する。ディジタルタイムスタンピングは当業界で公知であり、その詳 細は米国特許第5,136,646,号や第5,136,647号において認めることができる。『 認証可能な結果メッセージAOM』はトーナメントデーターベース４６のメモリ領 域８８にストアされる。工程１７４において結果が真実でなければ工程１７６に おいてそれは拒絶される。結果が真実であれば中央コンピュータは工程１７７ま で進行する。中央コンピュータは、工程１７９において、上述したように、ゲー ムソフトウェアの保全性をチェックするか、工程１７８へ直接進む。もし工程１ ７９におけるソフトウェアの保全性チェックの結果、工程１８０において不正操 作を発見すれば、その結果は拒絶される。結果が認証されてゲームソフトウェア １５の保全性が確認された後、中央コンピュータ１２は、工程１７８において、 認定結果をメモリ領域１０４の結果データベース５０に加える。実例的な実施例 では、認定結果は、メモリ領域１０２の対応するトーナメントIDとメモリ領域１ ０６のプレイヤーの名前によって参照される。工程 １８１において、中央コンピュータ１２は『認証結果確認メッセージ(Authentic ated Outcome Confirmation Message)AOCM』を生成することができる。『結果確 認メッセージAOCM』は、ゲームコンピュータ１４に送信されると、ゲームソフト ウェア１５が、特定の結果（例えば、スコア）が中央コンピュータ１２によって 認定された旨の実効を図るために、ゲームコンピュータ１４に対して認定スコア ボードを言語で表示させるのに利用することができる。同一の『結果確認メッセ ージAOCM』は、ゲームソフトウェア１５がゲームコンピュータ１４に対して設定 レベルの言語能力で特別の記号又はメダリオンを生成するよう命令するのに利用 することができる。これらは、事後のゲームプレイ中に、プレイヤーIDと共に画 面に表示されるようにすることができる。ビデオゲームの競争的性質から、この 機構はプレイヤーの成績を表彰することによってプレイ価値ゲームを大きく強化 するものである。 工程１８２において、中央コンピュータ１２は、評価／順位モジュールを利用 して、現在のプレイヤーのトーナメント順位を生成する。結果データベース５０ のプレイヤー順位は、州、学校、年齢グループなどによって表された副次的な順 位を含むことができる。トーナメントが未だ進行中であれば、プレイヤーには現 在までの順位が与えられる。トーナメントは、工程１８３において、ある所定の 時点で終了する。工程１８４において、トーナメントの終了後に中央コンピュー タ１２は全てのスコアを選別して最終順位から勝者を決定する。これらは、初級 者、中級者、上級者レベルが関連順位と評価により異なる勝者を各々有するよう 部門レベル別に行ってもよい。工程１８５において、賞は従来の方法で授与され る。 また、ある技術レベルを達成したプレイヤーは独占的に授賞を受けることがで きる。例えば、「２つ星」ソニック・ザ・ヘッジホッグ(SONIC THE HEDGEHOG)プ レイヤーになることは、50,000ポイント以上のスコアが２つ認定されることが必 要である。このレベルの成績に到達するプレイヤーは、賞を授与され、又は、破 格の値段で賞品を購入できる特典 が与えられる。「２つ星」プレイヤー用のカタログとは別に、「３つ星」プレイ ヤー用のカタログが存在してもよい。認定プレイレベルの達成に対する賞は、実 際のゲーム画面の背景グラフィティにプレイヤーの名前を組み込んだり、ゲーム キャラクターを改名したり、ゲームプレイ又は映像をその他の些細な方法で修正 したりすることを、新しいよりハイスコアのプレイヤーがこれらの変形された特 徴を変更するまで、ゲームソフトウェア１５に組み込むものであってもよい。ま た、プレイヤー情報データベース４８は、プレイしたトーナメント及び将来のト ーナメントへ参加することができる獲得された資格ポイントを反映するようにメ モリ領域１００において更新される。 また、ある所定の閾値レベルを超えればプレイヤーに「スピード賞(instant pr izes)」が授与されてもよいことが理解できる(例えば、いずれのモータルコンバ ットゲームにおいても百万点を超えるスコアを出したプレイヤーは50ドルのスピ ード賞もらえる)。この賞は、例えば、50ドルクレジットの形でプレイヤーのク レジットカードに実行されてもよい。ゴルフゲームの実施例においては、スピー ド賞は各ホールのホールインワンに対して送られ、最低スコアに対して正常なト ーナメント賞品構造を補完する。また、もしトーナメントがゲームセンター環境 で行われているとすれば、プレイヤーはスピード賞金をゲームセンターのエージ ェントからもらうことができる。これらのスピード賞は相互に独占的に所与のト ーナメント終了前に授与されることができる。ゲームセンターは後で中央機関か ら賞品の全部又は一部が償還される。その他の賞には、将来のトーナメントに割 引き又は無料で参加するためのクーポン、フリークエントフライヤーマイル(fre quent flyer miles)やホテルポイント、及び／又は特別の、チートコード（但し 、それは認定されたゲームについては使用できないが）などがある。 本発明の別の側面に従って、ゲームソフトウェア１５は、ある得点に到達及び ／又はあるタイトル（例えば、「マスター」や「グランドマスター」など）を獲 得したプレイヤーに異なる認定書を生成するテンプレートを含む認定書印字ルー チンを有することができる。 かかる認定書は、『認証結果確認メッセージAOCM』を中央コンピュータ１２から 読み出す際に、ゲームコンピュータ１４によって印字され、プレイヤーが所与の レベルを達成した旨を表示することができる。『認証結果確認メッセージAOCM』 は、ゲームソフトウェア１５の印字命令を「アンロックする」。プレイヤーは名前 及び／又はパスワードをゲームコンピュータ１４に入力する。これらの認定書は 、ゲームごとにそして異なるレベルの業績ごとにカスタマイズすることができる 。自分の認定スコアをその友人に自慢するプレイヤーは視覚的な認定を請求する ことができる。例えば、認定書はホールインワンの有形的証拠を提供することが できる。詐欺防止用にこれらの認定書にはホログラムなどのある種の機密保護表 示が与えられてもよい。もし許可されていない認定書の複写がなされれば、機密 保護表示は可視となって偽造を表示する。また、認定書は、成績が中央コンピュ ータ１２に電話することによって確認できるようにその表面に『認証可能な結果 メッセージAOM』及び／又は『認証結果確認メッセージAOCM』を含んでいてもよ い。 また、『認証結果確認メッセージAOCM』は、ハイスコアプレイヤーが遭遇する ゲームのある属性をアンロックするのに利用してもよい。例えば、認定スコアを 受け取っているトップスコアプレイヤーは、いずれかのゲームコンピュータ１４ によりゲームソフトウェア１５で読み出されれば、ゲームコンピュータ１４上で 、通常はあるスコア又はレベルを獲得するまでは遭遇することのないゲームの特 別の隠れキャラクターや最終ステージを見ることができる『認証結果確認メッセ ージAOCM』を与えられてもよい。この点、かかる『認証結果確認メッセージAOCM 』は、その使用を特定の一又は複数のゲームコンピュータに制限するソフトウェ ア通し番号SSNなどの特別のゲーム『ソフトウェアID』情報を含むことができる 。従って、ハイスコアプレイヤーはそれらプレイヤーの同一性及び／又はそれら ゲームソフトウェアの通し番号SSNを中央コンピュータ１２に提供し、中央コン ピュータ１２がそれを『認証結果確認メッセージAOCM』に組み込む。このように して、『認証結果確認メッセージAOCM』により、それらのソフトウェア通し番号 SSNによっ て特定されたゲームソフトウェア１５を有するそれらのゲームコンピュータ１４ だけがゲームの隠れキャラクターや最終ステージを表示することができる。また 、中央コンピュータ１２は結果認定のためだけに使用されてもよいことが分かる 。従って、第三者がその後のトーナメントの順位、評価、賞品分配を担当するの であれば、認定結果を表す『認証結果確認メッセージAOCM』が彼らに提供される 。但し、便宜上、全てのかかる機能は概括的に中央コンピュータ１２によって生 じるように図示されている。 全てのトーナメントの実施例では、トッププレイヤーに対してトーナメントデ ィレクターの監督の下に中央の場所で行われる最終プレイオフプロトコルを設定 することができる。従って、大金のかかった賞品の場合、この最終プレイオフは 、プレイヤーの検出不可能なすり替えがプレイ中又はゲーム結果を報告時になか ったことを確認するのに使用される。 次に図１１を参照するに、呼掛け／応答プロトコルを利用する発明の実施例が 示されている。工程１５８−１７４は図１０Ａに示して上述したそれらと同一で あるため、重複説明は省略する。工程１８６において、中央コンピュータ１２は トーナメントデータベース４６をチェックして、同一の『認証可能な結果メッセ ージAOM』を以前に受信したかどうかをメモリ領域８８のチェックにより決定す る。この結果提出シーケンスにおいて現在送信されている『認証可能な結果メッ セージAOM』が以前の『認証可能な結果メッセージAOM』と同一ではなければ、中 央コンピュータ１２は、工程１９０において、そのプレイヤーのゲームコンピュ ータ１４に対してキーｋ_Xを表現する『認証可能な呼掛けメッセージ(Authentica table Challenge Message)ACM』を生成する。この表現は、実際のキーｋ_X自体で あるか、特定のキーｋ_Xを特定のコマンドに基づいて検索する暗号／解読モジュ ール２８への命令である(即ち、コマンド暗号Ｘは暗号化キーｋ_Xの使用を意味す る)。『認証可能な呼掛けメッセージACM』は、プレイヤーに送信され、工程１９ ２においてゲームコンピュータ１４に入力される。暗号／解読モジュール２８は 、工程１９４において、『認証可能な呼掛けメッセージACM』を認証して、結果 に基づいてキーｋ_Xを使用して『認 証可能な応答メッセージ(Authenticatable Response Message)ARM』を生成する 。プレイヤーは、工程１９６において、『認証可能な応答メッセージARM』を電 話１８に入力する。『認証可能な応答メッセージARM』は、工程１９８において 、中央コンピュータ１２に送信されて暗号／解読モジュール５２によって認証さ れる。『認証可能な応答メッセージARM』において表現された結果が真実ではな ければ(プレイヤーが別のプレイヤーのAOMを盗んだ場合)、結果は拒絶される。 プレイヤーは前もってキーｋ_Xを推量することはできないので結果をでっち上げ ることはできない。もし結果が受け入れられれば、処理は図９Ａに示すシーケン スに従って進行する。工程１８８に戻って、もし中央コンピュータが『認証可能 な結果メッセージAOM』の複写を検出すれば(即ち、プレイヤーがメッセージを盗 んだかもしれないことを示している)、工程１９０'において、それは、（先の認 証結果メッセージAOMを呼掛けするのに使用されたキーｋ_Xとは異なる）キーｋ_Y を表現する『認証可能な呼掛けメッセージACM』を生成する。『認証可能な呼掛 けメッセージACM』は、工程１９２'において、プレイヤーに送信されてゲームコ ンピュータ１２に入力される。暗号／解読モジュール２８は、工程１９４'にお いて、『認証可能な呼掛けメッセージACM』を認証して、結果に基づいてキーｋ_Y を使用して『認証可能な応答メッセージARM』を生成する。プレイヤーは、工程 １９６'において、『認証可能な応答メッセージARM』を電話１８に入力する。『 認証可能な応答メッセージARM』は、工程１９８において、中央コンピュータ１ ２に送信され、暗号／解読モジュール５２によって認証される。残りの処理は上 述したように進行する。このプロトコルは、虚偽のスコアを登録するためにだれ かが他人のプレイヤーの『認証可能な結果メッセージAOM』を使用することを、 彼らがAOMを生成したゲームコンピュータ１４にもアクセスしない状況で、防止 する。 別の実施例においては、呼掛け／応答プロトコルは多数の暗号化キーの代わり に乱数を使用している。この例では、『認証可能な結果メッセージAOM』は、暗 号／解読モジュール２８によって生成された乱数Ｒ１を含んでいる。これは、異 なるゲームコンピュータ１ ４上に等しい結果が存在するかどうかにかかわらず、各『認証可能な結果メッセ ージAOM』に一意的である。『認証可能な結果メッセージAOM』の複製が検出され れば、中央コンピュータ１２は、以前提出したものに等しい最後の『認証可能な 結果メッセージAOM』を拒絶する。複製されていない『認証可能な結果メッセー ジAOM』は上述したように処理され、それを提出したプレイヤーが現実のゲーム ソフトウェア１５及び／又はゲームコンピュータ１４を所有していることを確認 する。このことはプレイヤーが他人の『認証可能な結果メッセージAOM』を盗ん で自分のものとして請求することを防止する。このプロトコルにおいては、中央 コンピュータ１２は『認証可能な呼掛けメッセージACM』に含まれる第２の乱数 ＲＡ２を生成する。ACMは、ゲームコンピュータ１４の暗号／解読モジュール２ ８によって認証され、次いで、原結果メッセージにより『認証可能な応答メッセ ージARM』に結合される。『認証可能な応答メッセージARM』は、中央コンピュー タ１２に送信されて認証される。その後、中央コンピュータ１２はＲ１及びＲ２ が同一であるかどうかをチェックする。もしそうであれば、プレイヤーのゲーム ソフトウェア１５／ゲームコンピュータ１４によって生成されたものとして結果 メッセージは確認されたことになる。 呼掛け応答プロトコルは、スコア提出処理を合理化するために、中央コンピュ ータ１２が無作為に、又は、現在のスコア、過去のスコア、若しくは、ある他の ゲーム関連要素に基づいて、実行することができる。例えば、『認証可能な結果 メッセージAOM』が中央コンピュータ１２に提出されるたびに、それは０とｎの 間の乱数を生成する。もし乱数が(０とｎの間の数である)ｊ未満であれば、呼掛 け／応答プロトコルが開始する。もし乱数がｊ以上であれば、『認証可能な結果 メッセージAOM』は図７乃至１１に示すように処理されるだけである。この手続 は、プレイヤーに結果提出毎に一のメッセージを入力することを要求するだけで あるので時間の節約になる。そして、いかさまが検出されればそのプレイヤーの 将来の結果認定を拒否すると共に、過去の認定結果も罰として無効にするように それを使用することができる。 別のプロトコルにおいては、上述し更に図８Ａのトーナメント参加のフローチ ャートにおいて図示された『認証可能な開始メッセージASTM』は、『認証可能な 結果メッセージAOM』を生成する一意的なキーを含んでいる。従って、復数のプ レイヤーが全く同一のスコアを出したかどうかに拘らず、あらゆる『認証可能な 結果メッセージAOM』が一意的である。各プレイヤーは異なるキーを与えられる ので、異なるプレイヤーからの同一の結果は必然的に異なる『認証結果メッセー ジAOM』によって表現されなければならない。これにより、２番目のプレイヤー が虚偽のスコアを提出しようとして最初のプレイヤーの『認証可能な結果メッセ ージAOM』を盗むことを防止できる。各『認証可能な開始メッセージASTM』と共 に送られるキーは異なり、メッセージ認証用キーも異なるため、これは確保され る。プレイヤーＸが『認証可能な結果メッセージAOM』をプレイヤーＹから盗め ば、中央コンピュータ１２がプレイヤーＸのキーをプレイヤーＹのキーで暗号化 された『認証可能な結果メッセージAOM』に適用すると、プレイヤーＸはいかさ まとされるであろう(即ち、メッセージは理解されることはない)。『認証可能な 結果メッセージAOM』は、上述したように、SSCIDを含んでいてもよく、これによ り、中央コンピュータ１２は特定のゲームソフトウェア／ゲームコンピュータに 関してメッセージを認証することができる。 次に図１２を参照するに、技術競技トーナメントの実施例においては、上述の プロトコルを使用することができる。技術競技には二種類あり、一つは、全ての プレイヤーが指定時刻に開始するものであり、もう一つは、所与のゲームに対す る終了までの経過時間をタイムスタンプするか追跡するゲームソフトウェア１５ を用いてプレイヤーが異なる時刻に開始するものである。全プレイヤーが指定時 刻に開始する場合、特定のトーナメントに対する開始メッセージBSTMは、工程２ ０４において、ラジオ、テレビ、インターネットなどのマスコミチャンネルによ り放送されてもよい。上述の図８Ａに概括的に図示されて上 述されているようにトーナメント登録処理は既に終了していてもよい。開始メッ セージBSTMは、工程２０６において、ゲームコンピュータ１４に入力され、これ により、ゲームソフトウェア１５はプレイ用に利用可能な技術競技を作成するこ とができる。ゲームは工程２０８で開始され、クロック３６からの信号を利用す ることによって、時間／日付モジュール３３が動作開始する。時間／日付モジュ ール３３は、工程２１０でプレイされた技術競技中の経過時間を追跡する。時間 ／日付モジュール３３は、上述のiPowerカードやタッチメモリ装置のようなトー クンに存在する機密保護がなされているクロックからの信号を受け入れることが できる。プレイヤーが技術競技を終了すると、工程２１２において、時間／日付 モジュール３３は全経過時間を計算する。工程２１４において、暗号／解読モジ ュール２８は、経過時間を表示する(AOMに類似する)『認証可能なタイミングメ ッセージATM』を生成する。『認証可能なタイミングメッセージATM』は中央コン ピュータ１２に送信され、それは、その後、『認証可能なタイミングメッセージ ATM』を認証する。機密保護の向上のために、中央コンピュータ１２は、ATM及び プレイ関連データを、時間／日付モジュール５６でタイムスタンプすることがで きる。プレイヤーの終了までの時間が認定されれば、その後、上述の処理のいず れかを用いることにより順位、評価、タイトルが中央コンピュータ１２で生成さ れる。技術競技が所与のトーナメントに対して様々な時刻で開始する実施例にお いては、中央コンピュータ１２は『認証可能なタイミングメッセージATM』を受 信時にタイムスタンプする必要はない。開始メッセージBSTMは特定のトーナメン トを可能にするのに使用されるが、その競技時間を開始しない(トーナメントが 有効な固定期間が未だに存在するかもしれない)。代わりに、時間／日付モジュ ール３３は、(好ましくは機密保護がなされている周辺にある)クロック３６から の信号を利用して、技術競技中の経過時間を、上述したように、プレイヤーがゲ ームを（都合よい時に）開始した時刻から追跡し、認証可能な時間メッセージAT M自体は終了までの時間を表す。 次に図１３を参照するに、プレイヤーが接戦型トーナメントで対戦している実 施例のフ ローチャートを示している。これには幾つかの方法が存在し得る。作図の便宜上 、第１プレイヤーはプレイヤー「Ａ」、第２プレイヤーはプレイヤー「Ｂ」として 識別される。これらのプレイヤーは、互いに一のゲームコンピュータ１４で、あ るいは、彼らの各ゲームコンピュータ１４間のオンライン接続を介して対戦する 。もし彼らが同一のゲームコンピュータ１４でプレイすれば、ゲームの結果は、 上述したように、『認証可能な結果メッセージAOM』に組み込まれるだけである 。プレイヤーのそれぞれのPINを識別目的用に含めてもよい。 オンライン接戦型の実施例においては、工程２１６において、プレイヤーＡは80 0番番号に電話をかけて中央コンピュータ１２と接続する。IVRU１６は、工程２ １８において、接戦トーナメントゲームの選択肢を与える。プレイヤーＡは、工 程２２０において、そのプレイヤーIDを促され、それを工程２２２において電話 １８に入力する。工程２２４は、他の実施例に関して上述したように、参加費用 の支払い又は前払いされた参加費用の確認を表している。費用支払い確認後、中 央コンピュータ１２は、工程２２６において、別のプレイヤー、即ち、工程２１ ６乃至２２４を終了することによって同一の接戦型トーナメントの参加を要求し たプレイヤーＢをサーチする。中央コンピュータ１２は、その後、工程２２８に おいて、プレイヤーＡとプレイヤーＢとのプレイヤーIDを部分的に利用して『認 証可能な開始メッセージASTM』を生成する。『認証可能な開始メッセージASTM』 は、工程２３０において、プレイヤーＡ及びプレイヤーＢに送信されてそれぞれ のゲームコンピュータ１４に入力される。プレイヤーの一人は、その後、工２３ ２において他方に対してオンライン接続を設定して、工程２３４において各ゲー ムコンピュータ１４は適切な『認証可能な開始メッセージASTM』が入力されたか どうかを確認する。工程２３６において、プレイヤーＡ及びＢは従来方式でゲー ムプレイを進める。オンライン接続で多くのコンピュータゲームを接戦型でプレ イすることは当業界で公知である。ゲームが終了すると、勝利プレイヤーのゲー ムコンピュータ１４は、工程２３８において、結果とプレ イヤーＡ及びプレイヤーＢのプレイヤーIDを表す『認証可能な結果メッセージAO M』とゲームソフトウェア保全情報を生成する。結果提出処理は本質的に上述し たのと同一の方法でなされるが、プレイヤーの勝負のデータを含んでおり、これ によりプレイヤーは更なる排除ラウンドで競技を続行することができる プレイヤーのグループに対してトーナメント全体を単一のゲームコンピュータ １４上で開催してもよい。これに関して、ゲームソフトウェア１５は、多数の接 戦試合に対してトーナメントスケジュールを立てる能力を有してもよい。プレイ ヤーは、ゲームコンピュータ１４に入力されたときにゲームソフトウェア１５が ゲームコンピュータ１４にトーナメントをセットアップするように命令するのに 使用されるコード又はメッセージを読むことができるマシンを購入する。トーナ メント形式は、各プレイヤーがグループのみんなとプレイする「総当たり戦」で あっても、限られた数の試合が互いに一致するベストスコアを有するプレイヤー 間で組まれる「スイス式」(即ち、排除プロトコル)であってもよく、若しくは、 当業界で公知なその他の形式であってもよい。トーナメントで戦う全プレイヤー は、名前とプレイヤーIDをゲームコンピュータ１４に入力する。ゲームソフトウ ェア１５は、トーナメントスケジュールを生成し、各接戦型の試合後に結果を記 録する。トーナメント終了時に、勝者が発表されてトーナメントの順位表がコン ピュータディスプレイにプリントされる。トーナメント最終結果は、上述したい ずれかのプロトコルを利用して中央コンピュータ１２によって認定される。代替 的に、各接戦型ゲームは、同一方法により、中央コンピュータ１２が認定しても よい。 プレイヤー評価の計算は、中央コンピュータ１２の評価／順位モジュール５５ が既知の原理を使用して行う。代替的に、評価はプレイヤーのゲームコンピュー タ１４が計算してもよい。これらの評価は過去のプレイヤーと対戦相手の実力に 依存する。例えば、プレイヤーＡは、比較的弱い相手に５勝５敗であり、プレイ ヤーＢは国際的な対戦相手に３勝２０敗であったとしよう。このことから、プレ イヤー同士を比較することは困難である。プ レイヤーの評価は対戦相手の相対的技術を考慮している。例えば、チェスの評価 は好例である。統計学者アルパド・エロ博士(Dr.Arpad Elo)が開発したような周 知の評価プロトコルに従って、チェスの評両は０から3000まで1500を平均値とし て広がっている。200ポイントごとに平均値からの１標準偏差を表している。従 って、2100の評価は平均値上３標準偏差を表している。強いプレイヤーと弱いプ レイヤーとの評価差分が大きければ大きいほど、強いプレイヤーが試合に勝つ確 率が高い。例えば、200ポイント他のプレイヤーよりも高く評価されたプレイヤ ーは、100のうち75ゲームは勝つことが期待でき、400ポイント他のプレイヤーよ りも高く評価されたプレイヤーは、100のうち90ゲームは勝つことが期待できる 。各ゲームの後、ポイントが勝利者の評価に加えられ、敗者の評価から減らされ る。勝敗のポイント数は評価差分に依存する。従って、「うまい」プレイヤーの 代わりに「弱い」プレイヤーを負かせば比較的少ないポイントが勝者の評価に加 算されることになる。本発明は、コンピュータゲームのプレイヤ一評価を生成す る。プレイヤーの新しい評価は接戦型ゲームの結果が認定された後に計算される 。例示的な評価方式は以下のように特徴づけることができる。即ち、勝者の新評 価＝旧評価＋（ｘ・評価差分）＋ｙとなる。例えば、x=0.04でy=16で、2000のプ レイヤーが1700のプレイヤーを負かした場合、2000のプレイヤーの新しい評価は 、2000+(0.04・(-30))+16=2004となる。敗者の評価は1696となる。1300のプレイ ヤーが1500のプレイヤーを負かした場合、1300のプレイヤーの新しい評価は、13 00+(0.04・(200))+16=1324となる。敗者の評価は1476となる。従って、プレイヤ 間の評価差分が大きければ大きいほど負けそうな方が勝った場合にゲーム後の評 価の変化は大きい。強いプレイヤーが勝つとその評価は比較的小さい値だけ増え る。新しい評価が計算されると評価／順位モジュールは中央コンピュータ１２に プレイヤー情報データベース４８及び／又は結果データベース５０がこの変更を 反映するように更新するよう命令する。 どの接戦型の実施例であっても、より低い評価のプレイヤーにより多くの命、 より多く の弾薬などを与えるか、逆により高い評価のプレイヤーから命や弾薬などを減ら すゲーム初期設定変数を生成するプレイヤーハンディキャッブを利用することに よって、異なる能力を有するプレイヤーに対して、プレイの条件を等しくするこ とができる。これらの初期設定変数は、トーナメントゲームに対して上述したよ うに、開始メッセージに含まれていてもよい。代替的に、ゲームコンピュータ１ ４自体又は別個のハンディキャップ装置２１７（即ち、好ましくは、中央処理装 置と、メモリと、ディスプレイと、電源とを含むハンドヘルドコンピュータ）か ら入手されてもよい。ハンディキャップ装置２１７は、異なる成績レベルに対応 する様々なタイトルをそのメモリにストアすることができる。モータルコンバッ トゲームは、プレイヤーを一つ星、二つ星、三つ星などのように分類する。もし 、プレイヤーＡが二つ星プレイヤーでプレイヤー１３が四つ星プレイヤーであれ ば、ハンディキャップ装置２１７は、これらのプレイヤーの分類に基づいて各プ レイヤーに対して等価評価を計算する。二つ星プレイヤーは1200の等価評価を有 することができ、四つ星プレイヤーは1700の等価評価を有することができる。こ れらの値を使用することによって、ハンディキャップ装置は、評価差分である50 0ポイント(1700-1200)を計算し、様々なハンディキャップ値とそれらの評価ポイ ント等価物を含んでいるそのゲームのデータベースに質問する。例えば、1900の プレイヤーが1600のプレイヤーと戦った場合において、300の評価ポイント差分 は、強い1900のプレイヤーの「その対戦相手（1600の弱いプレイヤー）を倒す」 能力を無効にするかもしれない。弱いプレイヤーからの「キック」のダメージ量 を二倍にすることは、5500評価ポイント差分と等価であるかもしれない(例えば 、強いプレイヤーは弱いプレイヤーが各キックに対してダメージとそれに関連す るスコアを２倍にすることができるようにするハンディキャップを負う)。ハン ディキャップ装置２１７は、非対称的に変更された特性でゲームプログラム２６ にゲームをセットアップするように命令するゲームソフトウェア１５と互換性の ある機械可読コードを生成して表示する。手動入力コードでゲームプログラムを 変更する方法は当業界で公知である。上述のゲームジーニ ー装置及びチートコードの使用は好例である。しかし、本発明では、同様のプロ トコルは、プレイヤーの能力差に従ってゲームを非対称的に変化することにより プレイ条件を等しくするという新規な応用に使用されている。ゲームにハンディ キャップをつけるコードは、ゲームソフトウェア１５を伴う印字媒体から入手す ることができることが分かる。これらの媒体は、評価範囲、ハンディキャップ及 びその対応コードのチャートを有することができる。更に、ゲームソフトウェア １５は、ハンディキャップ装置２１７と同様の方法で機能するハンディキャップ プログラムを含んでいてもよい。この場合、プレイヤーは自分のレベル又は評価 をゲームコンピュータ１４に入力するだけであり、ゲームソフトウェア１５が関 連プレイヤーハンディキャップに従ってゲームプレイ条件を自動的に等しくする ようにゲームコンピュータ１４に命令する。異なる技術レベルのプレイヤーを等 しくする別の例は競技時間を減少することである。12回の試合を行えば、うまい プレイヤーはほとんどいつも弱いプレイヤーに対して勝利する。彼は２，３の試 合を失敗するかもしれないが、うまいプレイヤーは大部分を勝利するだろう。も し競技が１試合に制限されれば、弱いプレイヤーは勝利する可能性はより大きい 。 プレイヤーは非接戦型でゲームコンピュータ１４相手にプレイしたゲームに対 しても評価を受けることができる。この点、ゲームソフトウェア１５における各 相手コンピュータには基線評価が与えられてる。例えば、モータルコンバットで は、第一レベル戦闘の相手コンピュータは比較的弱い。プレイヤーが戦いに勝っ て更に高いレベルに進むと、相手は次第に強くなる。評価はこれらの相手コンピ ュータの各々に割り当てることができる。第一レベルの相手には評価900が割り 当てられ、第二レベルには1050、第三レベルには1300を割り当ててもよい。これ らの評価は幾つかの異なる方法で決定することができる。ある実施例では、ゲー ムソフトウェア１５における相手コンピュータには任意の評価が与えられている 。以前の接戦型競技から既知の評価を有するプレイヤーは、その後、これらの相 手コンピュータとプレイする。これらの試合の結果、ゲームソフトウェア１５の 相手コン ピュータの評価は、上述の評価方式に従って変化する。プレイした試合数が多け れば多いほど相手コンピュータの評価は正確になる。試合終了時に生成されたプ レイヤーの『認証可能な結果メッセージAOM』は、どのゲームレベルがプレイさ れてどの相手が倒されたかを識別している。従って、プレイ関連データを考慮に 入れることによってプレイヤーの評価は正確に中央コンピュータ１２で計算する ことができる。もし上述の例において仮定的ソフトウェア評価数を使用すれば、 プレイヤーの『認証可能な結果メッセージAOM』は、プレイヤーが最初の相手二 人をなんとか倒したが、三人目には負け、プレイヤーの新しい評価はプレイヤー の以前の評価とゲームソフトウェアの評価された相手に対する結果を考慮して計 算されたという情報を含むことになる。これは、評価900のプレイヤーを倒し、1 050のプレイヤーを倒し、1300のプレイヤーに負けた場合と同様である。この手 続はかかる量的レベルを有してはいないゲームに対しても実行することができる 。評価は困難性の測定全体にも割り当てることができる。例えば、ドンキーコン グーカントリーにおいては、ゲームは、初級者、中級者及び上級者という３つの 困難性のレベルを有する。初級者レベルでゲームを終了するとプレイヤーの評価 に５ポイントが加算され、中級者レベルでゲームを終了するとプレイヤーの評価 に25ポイントが加算される。 上述した実施例のいずれにおいても、プレイヤーは、チームでトーナメント登 録ができる。これらのチームは、プレイヤー情報データベース４８のメモリ領域 ９６にストアされたチームIDによって識別される。所与のトーナメントにおいて 特定チームに対する認定スコア（又は技術競技に対する終了までの時間）は、チ ームメンバー全員に対する認定スコアの集合である。チームの順位表、評価、順 位は結果データベース５０にストアされる。賞は勝利チームのメンバーに授与さ れてもよい。トーナメントの参加と同様に、プレイヤーはリーグプレイに対して チームとして登録することができる。 以上の記載はトーナメントについて述べているが、同一のプロトコルは、スコ アを単に順位づけ、及び／又は、特定ゲームに対する評価を与えるために使用す ることができる。 トーナメントと同様に、ゲームソフトウェア１５はチートコードを動作不能にす ることができ、所与のゲームに対して従来のプログラムに内蔵された予想可能な 一連のイベントをスクランブルしたりランダム化することができる。プレイヤー は特定のスコアを提出するためにリストされている800番番号に電話をかけるこ とができ、例えば、トーナメントIDがまさにゲーム識別子である場合以外は、図 ９に示すシーケンスを行う。従って、プレイヤーは特定のトーナメントに前もっ て登録する必要がない。プレイヤーは、中央コンピュータ１２がスコアを認定し てプレイヤーの順位表、評価、順位を作成することができるように、ゲーム識別 子と『認証可能な結果メッセージAOM」を与える。より単純な実施例においては 、プレイヤーは特定のゲームに対するスコアを中央コンピュータ１２に匿名で与 えることができ、その結果、中央コンピュータ１２はそのゲームに対するトップ Ｘ人のスコアの順位表を編集する。その後、プレイヤーは、その後、そのゲーム に対して達成された現在のトップスコアを入手するために電話をかけることがで きる。 上記のプロトコルは、将東の出来事を予想したり、ファンタジー野球やファン タジーフットボールなどの競技に対しても使用することができる。例えば、ゲー ムソフトウェア１５は、週末又はシーズンのフットボールゲームの全部又は一部 のスケジュールを、立てる。プレイヤーは、ゲームソフトウェア１５が決定する か、ゲームコンピュータ１４にプレイヤーが手動で入力するか、又は、RF信号な どを介して外部源から受け取られる点差と共に、どのチームが勝つかについて予 想を立てる。プレイヤーの予想は、ハッシュ関数を用いてハッシュ値に変更し、 プレイヤーの認証用プライベートキーにより署名し、『認証可能な結果メッセー ジAOM』を生成するために中央コンピュータの公開キーで暗号化することができ る。『認証可能な結果メッセージAOM』は、中央コンピュータ１２又は機密保護 がなされているクロック３６を有するゲームコンピュータ１４によって認証され てタイムスタンプされる。プレイヤーの予想の暗号化は予想の認証を可能にする 。中央コンピュータによるタイムスタンプは、メッセージが特定時に現実に受信 されたことを証明する。出来事 が明らかになった後、プレイヤーは中央コンピュータに現実の予想を与え、それ は全ゲームの現実の結果と比較される。中央コンピュータは、その後、プレイヤ ーの予想のハッシュ値を再計算してその真偽を確認する。各プレイヤーの成績は 、トーナメントにおいて、他のプレイヤーと比較することができる(例えばプレ イヤーＡの予想は85％が的中し、プレイヤーＢは60％が的中)。 ここで記載されたプロトコルは、ロト(Lotto)ゲームなど結果が不明である将 来の可能性のゲームに対する賭博用要素を選択するのに使用してもよい。この点 、ゲームコンピュータは、所与のロト抽選に対して少なくとも一連のロト選択肢 を生成することができる。プレイヤーの選択は、機密保護がなされている不正操 作防止型クロックによって、例えば、iPowerカードにおけるクロックによって、 タイムスタンプされる『認証可能な結果メッセージAOM』に組み込まれる。この ようにして、中央機関はプレイヤーの選択を認証して、プレイヤーがそれらの選 択をロトの抽選前にしたことを確認することができる。従って、プレイヤーは「 登録」したり、抽選前に自分の選択肢を提出する必要がない。 ここで説明された認証プロトコルは、ブラックジャック、クラップス、ルーレ ット、スロットなどを含む可能性のゲームにも容易に適用することができる。ゲ ームソフトウェアを不正使用することを検出するために暗号プロトコルを使用す ることは、プレイヤーがシステムをだましたりプレイを否認したりするのを防止 する。例えば、ブラックジャックのプレイヤーは、ゲームコンピュータ１４で実 行するとき、中央機関に対して、プレイヤーが幾つかの潜在的な手でプレイする ことができるブラックジャックソフトウェアに対して所与の費用の支払いをする 。このプレイの最後の結果は、中央コンピュータ１２に提出される『認証可能な 結果メッセージAOM』に組み込まれる。中央コンピュータ１２が結果を認定すれ ば、プレイヤーには勝ち金が直接支払われるか、賭博用口座が存在すればそこに 預金される。 ゲームの結果に適用される上記の記載は、テストコンピュータ１４で受けるテ ストにも にも等しく適用される。テスト結果は，同一のプロトコルを行うことによって、 そのテストコンピュータで終了されたものとして認証することができる。ゲーム コンピュータ１４でテスト問題を生成することは、ゲームの生成と類似しており 、それらの問題に対するテスト受験者の解答（即ち、結果）はゲーム結果と似て いる。加えて、テストと問題は無作為に現れる。同様に、テスト受験者は、同一 方法で、スコアによって順位づけられ評価される。 再び図１Ｂを参照するに、本発明の別の実施例の概観図とフローチャートが示 されており、各ゲームコンピュータ１４は、自身の結果を自己認証することがで きる。これに関して、ゲームコンピュータ１４は、「認証済み」という言葉の伴 った結果を印字することができる。これが意味するところは、ゲームコンピュー タ１４自身が、そのゲームの結果が正確に報告されて公正に行われたことを確認 できるということである。例えば、ゲーム終了後に、ゲームコンピュータ１４は 、上述したように、ゲームの結果とゲームソフトウェアのディジタル署名などの ソフトウェア不正操作表示を構成する『認証可能な結果メッセージAOM』を生成 する。『認証可能な結果メッセージAOM』を生成するのに使用されるSSCIDなどの プライベート又は公開キーは、一意的に結果をゲームコンピュータ１４に関連付 けている。また、それにより、『認証可能な結果メッセージAOM』は、暗号／解 読モジュール２８に関連付けられたプライベートキー／公開キーの組の公開キー を使用して認証されて事後的に真偽確認がなされる。ソフトウェアハッシュ値な どの不正操作標識子が、例えば、ゲームカートリッジの外側に配置されているな ど周知であれば(ハッシュ関数が秘密であろうとなかろうと)、『認証可能な結果 メッセージAOM』が認証された場合には、ゲームソフトウェア１５の保全性はデ ィジタル署名によって確認することができる。例えば、『認証可能な結果メッセ ージAOM』に組み込まれたハッシュ値が、そのゲームソフトウェア１５に対して 既知のハッシュ値と一致すれば、ゲームソフトウェア１５の不正操作はなかった ことになり、関連結果は正確に報告されて公正に行われたものとして認識され る。従って、自己のスコアが実際に認定されていることを証明したいプレイヤー は、『認証可能な結果メッセージAOM』をゲームコンピュータ１４に入力するだ けでよく、中央コンピュータ１２に関して上述したプロトコルに従ってそれが『 認証可能な結果メッセージAOM』を読み出して認証することになる。 また、システムは、あるゲームコンピュータ１４からの結果に対する相互認証 が他のゲームコンピュータ１４で行われることを可能にしている。上述したよう に、『認証可能な結果メッセージAOM』が秘密又はプライベートキーと共に生成 されるならば、別のゲームコンピュータ１４でのその結果を認証することを求め るプレイヤーは、公開キー／プライベートキーの組に関連付けられた公開キーを 入手しなければならない。この点、公開キーのリストは、中央コンピュータ１２ 又は専用キー分配センタのデータベースにストアすることができる。別のゲーム コンピュータ１４は、上述した同一のプロトコルにより公開キーを『認証可能な 結果メッセージAOM』を認証するのに使用することができる。従って、結果認証 を求める者は、自己の『認証可能な結果メッセージAOM』に表現された結果を有 すると主張するプレイヤーのために、800番番号に電話をして公開キーを入手す るだけでよい。機密保護がなされている周辺３００の機密保護がなされているCP U３０２が別の「コンピュータ」であるとみなされれば、機密保護がなされてい るCPU３０２を全ての暗号／解読及び認証手続を実行するのに利用している同一 ゲームコンピュータ１４の結果認証の実行は相互認証の定義内にあることになる 。 次に図１４乃至図２８を参照するに、本発明の別の側面が家庭のビデオゲーム 環境において、「使用別払い」を容易にしている。この例は幾つかの長所を備え ている。それは、ゲームコンピュータ１４のいずれをもゲームセンターのビデオ ゲームマシンに変えることができるというものである。プレイヤーはゲーム毎に 又は特定期間のプレイに対して支払いをするだけである。それはまた特定ゲーム コンピュータ１４（ゲームコンソール）がプレイヤーに実際に「リースされたこ とを可能にしている。新しいゲームコンソールの多く が購入には比較的高価であるため、これは相当に商業的に密接な関係を有してい る。本発明のこの「時間依存型動作不能」的側面により、プレイヤーはかかるゲ ームコンソール１４を比較的安価に得ることができるようになった。ゲームプレ イの課金は毎日、毎週、毎月、又はその他の周期で発生するようにしてもよい。 後述するように本発明のこの側面には幾つかの実施例がある。 好ましい実施例では、使用別払いのメータシステムは、暗号プロトコルを機密 保護作用を容易にするのに利用している。好ましい方法は本プログラムの一部又 は全部の暗号化を使用しており、これによりメータ課金されたソフトウェアの許 可されていない使用は防止される。このプログラムは、（ゲームコンピュータ１ ４自体の使用がメータ課金される場合）ゲームコンピュータ１４を実行するオペ レーティングシステムか特定のゲームプログラム２６とみなすことができる。ゲ ームプログラム２６は、典型的に、ゲームカートリッジ、CD-ROM、ハードディス クなどの機密保護なしのデータ源に常駐している。オペレーティングシステムプ ログラム７０２は、ゲームコンピュータ１４に関連付けられたROM及び／又はハ ードディスクなどの機密保護なしのデータ源に常駐している。機密保護なしのデ ータ源は総活的に参照番号７０４で表わす。 メータ課金機能は、機密保護がなされている周辺を有する機密保護がなされて いる装置によって実行される。上述したように、機密保護がなされている周辺は 、不正操作防止型及び／又は不正操作検出型ハードウェアの定義された物理的領 域である。この特定の応用例では、機密保護がなされている装置を「メータ」５ ０２と呼ぶ。図１４に示すように、メータ５０２はコンピュータ自体であり、特 定のゲームプログラム２６又はオペレーティングシステムを介してゲームコンピ ュータ１４自体の使用／動作をメータ課金するためにゲームコンピュータ１４と 交信する。これらのプログラムの形式は、それらを区別する必要がある場合以外 は、以下総括的に「メータプログラム５０３」と呼ぶ。本発明のシステムにおい て、機密保護なしのデータ源７０４からのメータプログラム５０３の機密保護が なされている部分はメータ５０２で解読されて実行される。 メータ５０２は、ゲームコンピュータ１４の内部構造の一部として、例えば、 マザーボードや拡張スロットなどに配置構成することができる。メータ５０２は 、上述のiPowerカードなどのPCMCIAカードに組み込むことができる。また、メー タ５０２は、ゲームコンピュータ１４とデータケーブルを介して交信する別個の 筐体からなることもできる。スータ５０２とゲームコンピュータ１４のCPU２７ との間のインターフェースは従来方式で実行できる。メータ５０２は、機密保護 がなされているCPU５０４と、ハードディスクやフラッシュROMなどの何らかの不 揮発性メモリ５０６と、ROM５０８と、RAM５１０と、実時間クロックチップ５１ ２と、及び、バッテリーバックアップ電源５１４とを含んでいる。メータ５０２ は、データ通信ケーブルをゲームコンピュータ１４に取り付けるためのＩ／Ｏポ ート５１５を更に含んでいる。既知の技術によれば、Ｉ／Ｏポート５１５のピン はピンレベルのプローブを回避するために電気的に絶縁されていてもよい。同様 に、ハードウェア構成要素には、チッププローブ装置によって機密保護がなされ ているCPU５０４から情報を直接アクセスするのを防止するために、機械的化学 的保護がなされてもよい。不揮発性メモリ５０６は、メータ課金機能全体を実行 するプログラム命令をストアするのに使用されることができる。ROM５０８は暗 号アルゴリズムを含んでいる。RAM５１０はメータプログラム５０３の機密保護 がなされている部分を解読するのに必要なキー及び暗号データを含んでおり、こ れによって、それを実行することができ、メータ課金機能又はゲーム結果認証に 関連して中央コンピュータ１２に送信される認証可能なメッセージを生成するこ とができる。もしメータ５０２が不正操作されれば、RAM５１０の暗号化キー及 びデータはメモリから消去される。 メータ５０２が別個のユニットならば、それはプレイヤーが、以下に詳述する ようにメータ課金されたソフトウェア／ゲームコンピュータの使用を許可するメ ータ５０２にコードを手動で直接入力できるように、入力制御装置５１６を有す ることができる。メータ５ ０２は、多種多彩な情報がプレイヤーに表示されるように、ディスプレイ５１８ と共に構成されてもよい。かかる情報は、費用などのメータ課金された使用に関 する特記、許可期間、メータプログラムの実行許可を得るために中央コンピュー タ１２に与えられる情報を表すメッセージ、及び／又は、上述したように電話ネ ットワークを通じて送信するために電話に手動入力されたゲームコンピュータプ レイゲームに対する『認証可能な結果メッセージAOM』を含むものである。メー タ５０２と中央コンピュータ１２との間の直接交信を可能にするために、メータ ５０２は自身でモデム５２０を有していてもよい。また、メータ５０２は、ゲー ムコンピュータ１４のモデム２０を介して中央コンピュータ１２と交信すること もできる。 一般に、各メータプログラム５０３は、そのプログラムに一意的なキーにより 暗号化される。代替的に、単一のキーを大多数のメータプログラム５０３を暗号 化するのに使用してもよいが、そのキーが（もし何らかの方法で漏洩の危険にさ らされて）認識されるだけでそれを使用する一連のメータプログラム５０３全体 が機密保護ではなくなるために、かかる実施は機密漏洩の危険を増加させる。従 って、ほとんどの場合に、各メータプログラム５０３は一意的なキーで暗号化す べきであることが理解できる。よって、かかるメータプログラム５０３を実行す るためには、メータシステムはメータプログラム５０３のキーを得ることが必要 である。この工程は、以下に詳述するように、「新規プログラム追加」プロトコ ルの一部となりえる。同時に、様々な費用を実行するシステムにおいては、新し いメータプログラム５０３の情報を含む最新の費用テーブルを得ることが便利と なるかもしれない。このようにして、メータプログラム５０３を実行する最新の 費用情報が利用可能になる。中央コンピュータ１２との対話を必要とせずに最初 にメータプログラム５０３を実行する便宜性を有することが望ましい幾つかの例 では、メータ５０２は、そのメータプログラム５０３用のキーを既に有していな ければならない。これはかかる全てのメータプログラム５０３を同一のキーによ って暗号化してもらうことによって容易になり、そのキ ーはシステムの全メータ５０２に初期設定中に組み込まれる。システムの機密保 護は、（以下に更に詳しく説明するように）メータプログラム５０３に対して幾 つかの異なったキーを使用して、各メータプログラム５０３に関連付けられた一 意的なIDである『ソフトウェアID』に基づいたキー選択をすることによって更に 強化される。このようにして、キーは、かかる即座に実行可能な全メータプログ ラム５０３に等しく共有され、この種の個々のキーの各々の価値を減少させる。 本発明のシステムでは、メータプログラム５０３は次の二種類のいずれかに分 類される。 即ち、「即座に実行可能な」(従って共有されたキーの一つを使用して暗号化さ れる)ものと、ゲームコンピュータ１４で最初に実行する前に中央コンピュータ １２との対話を必要とするものである。後者の場合には、メータプログラム５０ ３は一意的なキーで暗号化される。即座に実行可能なメータプログラム５０３は 、機密保護なしのデータ源７０４からの固有的な費用情報を利用している。 暗号化 中央コンピュータ１２とメータ５０２との間の全てのメッセージは暗号化され て認証される。結果認証に関して上述したように、様々なプロトコルの中で、公 開キー又は対称倍号化を使用することができる。もっとも、対称暗号化はほとん どのプロトコルに十分な機密保護を付与するように思われる。かかる暗号化は64 乃至128ビットの範囲のキーサイズを利用することができる。例えば、DR，3DES 又はIDEAである。公開キー暗号化は通常RSAを使用する。初期設定終了後、中央 コンピュータ１２及びメータ５０２は、従来の暗号システムで暗号化と認証の両 方に使用することができる『SKメータ』を共有する。スータ５０２はエントロピ ーソースに限定されたアクセスしか有さず、また、メータ５０２と中央コンピュ ータ１２との間で交信される全データ量は小さいので、２つのシステム 間の全交信に対して『SKメータ』をキーとして使用する典型的使用において１ヶ 月に２、３百バイトがこの例では十分な機密保護を付与する。この構成では、メ ータ５０２からのメッセージは、クリアにおいて、(メータ５０２に特別の一意 的な識別子であって製造中にそのROM５１８に書き込まれた)『IDメータ』を送信 して、中央コンピュータ１２に使用された暗号化キーを調べることを許可した後 になされ、『SKメータ』によって暗号メッセージ自体がその後に続く。中央コン ピュータ１２からの応答は、メータ５０２への送信用に、『SKメータ』で暗号化 される。 中央コンピュータ１２とメータ５０２間の全交信は、サーバーとして動作する 中央コンピュータ１２を使用してメータ５０２により開始される。以下に更に詳 述するように、プレイヤーは現実にかかる交信を開始することができるのであり 、メータ５０２に同時的にその要求を発行してもらうのではないこと分かる。メ ータ５０２が送信するメッセージは、メッセージがその方向に送信されるたびに 増加する連続番号を含むことができる。中央コンピュータ１２からの応答メッセ ージは同一の連続番号を含んでいる。このことにより、両サイドは、プロトコル を破壊するためにメッセージを捕獲してその後再生するメッセージ応答攻撃を検 出することがでる。以下に示すバケット形式は、特に示された場合以外は上述し たように含まれている暗号化ヘッダーと又は課金口座(account)及び連続番号を 含んでいない。各パケットは、パケットの種類を記述する一意的な識別子の値か ら始まり、以下のデータに続く。 以下は、メータ５０２及び各メータプログラム５０３に関連付けられたデータ の要約である。 メータキー メータ５０２は、中央コンピュータ１２との通信の機密保護を含むその機能を 実行する ために複数の暗号キーを利用している。上述したように、これらのキーには一般 に以下の三種類がある。即ち、（例えば、DESなどの）従来の暗号プロトコルに 使用されるような「秘密」キーと、（例えば、RSAなどの）公開キー暗号プロト コルに使用される「プライベート」キー及び「公開」キーである。 『SKメータ』：メータ５０２の秘密キーであり、中央コンピュータ１２にも知 られている。このキーは、機密保護なしの通信リンク（典型的なデータネットワ ーク）を介する場合もある、中央コンピュータ１２とメータ５０２間の秘密及び 認証された交信を可能にする。また、このキーは、メータ５０２がゲームコンピ ュータ１４の機密保護なしの不揮発性記憶装置から機密保護がなされているファ イルを作成するのに使用され、このキーを使用してファイル内でデータを署名す る。『SKメータ』は、初期設定中にメータ５０２によって生成されて、その後、 中央コンピュータ１２に送信されて『PKCC』で機密保護される。 PRKメータ：スータのプライベートキーである。 PBKメータ：メータの公開キーである。 PK CC：メータ５０２に知られた中央コンピュータ１２の公開キーである。こ のキーは、『SKメータ』の作成前に、メータ５０２と中央コンピュータ１２間の 最初の通信に使用されて、製造過程でROM５０８に書き込まれる。 SK Imm Run：即座に実行可能なメータプログラム５０３の秘密キーである。上 述したように、後述の『新規プログラム追加』プロトコルを実行せずに、獲得と 同時に即座に実行可能なメータプログラム５０３を支持することは望ましいかも しれない。この点、メータ５０２はこの種のメータプログラム５０３のキーを既 に有していなければならない。従って、かかる全メータプログラム５０３は特別 の『ソフトウェアID』を共有しており、『メータソフトウェア使用』プロトコル において後述するように、メータ５０２はそのIDを認識して『SK Imm Run』キー をメータプログラム５０３の機密保護がなされている部分を 解読するのに使用する。上述したように、この変形は、各々異なる『SK Imm Run 』キーに関連づけられた即座に実行可能なクラスの『ソフトウェアID』の幾つか を定義する。 『IDメータ』：各メータ５０２に一意的なID番号であり、製造過程においてRO M５０８に書き込まれる。 課金口座番号：メータ５０２によって動作可能にされたメータプログラム５０ ３の支払いに責任を有するプレイヤーの番号である。これは、中央コンピュータ 請求書作成用(billing)サービスがプレイヤーを識別するために使用する識別子 である。 PIN：プレイヤーの個人識別番号である。 制限時間：メータ５０２が追加時間に対して中央コンピュータ１２から許可メ ッセージを受け取るまでメータプログラム５０３がそれを超えては実行できない 時間制限を特定する時間／日付の値である。 ソフトウェアキーテーブル：『ソフトウェアID』と『ソフトウェアキー』の組 のリストである。各々は、特定の『ソフトウェアID』でメータプログラム５０３ の暗号部分を復号化するのに使用されるキーを含んでいる。 （メータ５０２が費用を計算する場合の）メータ変数 制限費用：もしメータ５０２がメータプログラム５０３の使用に関連付けられ た費用を計算する場合に、現在の請求書作成用期間中に蓄積することができる最 大請求可能額を特定する費用であり、それを超えてはメータプログラム５０３は 、中央コンピュータ１２から追加クレジットに対する許可メッセージをメータ５ ０２が受け取るまで実行することができない。 合計費用：現在の請求書作成期間中の料金合計額である。 費用テーブル：以下に説明する形式である。（中央コンピュータ１２が費用を計算する場合の）メータ変数 使用計数テーブル：『ソフトウェアID』と『使用計数』の組のリストであり、 現在の請求書作成用期間中に各メータプログラム５０３又はプログラムの特徴が 使用された回数を記録する。『ソフトウェアID』については後述する。 使用時間テーブル：『ソフトウェアID』と『使用時間』の組のリストであり、 現在の請求書作成用期間中に各ソフトウェアパッケージが使用された合計時間を 記録する。 機密保護なしのデータ源からのソフトウェア 図１５に示す実例的な実施例においては、機密保護なしのデータ源７０４から の各メータプログラム５０３は３つの部分に分割されている。即ち、『ソフトウ ェア制御ブロック』７０６と、『機密保護なしのソフトウェアコンポーネント』 ７０８と、『機密保護がなされているソフトウェアコンポーネント』７１０であ る。『ソフトウェア制御ブロック』７０６は、メータ５０２が請求額を計算でき るように、メータ５０２に討してメータプログラム５０３を識別するソフトウェ ア特定情報を含んでいる。実行可能なソフトウェアは残りの２つであり、『機密 保護がなされているソフトウェアコンポーネント』７１０はメータ５０２で機密 裡に実行されるように構成されており、『機密保護なしのソフトウェアコンポー ネント』７０８はゲームコンピュータ１４の機密保護なしの環境で実行するよう に設計されている。 『ソフトウェア制御ブロック』７０６：メータシステムがその実行用に使用す るソフトウェア情報である。『ソフトウェア制御ブロック』７０６は、中央コン ピュータ１２のプライベートキーで署名され、ソフトウェアがロードされた時に メータ５０２が署名の真偽を確認する。『ソフトウェア制御ブロック』７０６は 以下のフィールドを有している。 『ソフトウェアID』：特定のメータプログラム５０３を識別する一意的な番号で ある。各メータプログラム５０３とその訂正は一意的な『ソフトウェアID』を有 する。『ソフトウェアID』には２つの一般的な種類がある。即ち、高いオーダー ビットによって区別可能な「プログラム」と「コンポーネント」である。『プロ グラムソフトウェアID』は特徴毎には課金しないメータプログラム５０３に使用 される。一方、『コンポーネントソフトウェアID』はメータプログラム５０３の 特定の特徴に関連して、課金はその特徴単位で発生する。『コンポーネントソフ トウェアID』は、「主要」及び「副次」IDコンポーネントという２つのフィール ドからなる。『ソフトウェアID主要フィールド』はメータプログラム５０３を識 別し、『ソフトウェアID副次フィールド』は、メータプログラム５０３の特定の 課金可能な特徴を識別する。 ソフトウェア費用：これは、このソフトウェアコンポーネントにとって「基本」 費用情報であり、費用テーブルの形式をとる（費用テーブルの形式については以 下に説明する）。可変費用を支持しないシステムは、直接にこの表からの費用情 報を使用する。可変費用を支持するシステムは、中央コンピュータ１２からオー バーライド情報を受け取ってもよい。 機密保護なしのソフトウェアコンポーネント７０８：ゲームコンピュータ１４ が実行するメータプログラム５０３の大半である。それは暗号形式で機密保護な しのデータ源７０４にストアすることができ、その場合には、メータ５０２はそ れをゲームコンピュータ１４のRAMにロードする前に解読する。この解読工程に よりプログラムローディングが 容認できないほど遅延するならば、『機密保護なしのソフトウェアコンポーネン ト』７０８は、暗号化されずに機密保護が少し損失する形でストアされてもよい 。ゲームコンピュータ１４のメモリは（定義上）機密保護なしで、所定の攻撃者 はいかなる場合であれ『機密保護なしのソフトウェアコンポーネント』７０８の 平文にアクセスすることができる。そこで、それを機密保護がなされている形式 でストアすることによって、追加される追加的機密保護は価値的に限定される。 機密保護がなされているソフトウェアコンポーネント７１０：『機密保護がな されているソフトウェアコンポーネント』７１０は暗号形式で機密保護なしのデ ータ源７０４に具体化され、メータプログラム５０３の残りがゲームコンピュー タ１４のRAMにロードされると、メータ５０２にロードされて解読されなければ ならない。『ソフトウェア制御ブロック』７０６は、メータプログラム５０３の 使用に対する課金を容易にするためにこの時にメータ５０２にロードされてもよ い。後述するように、メータ５０２の『機密保護がなされているソフトウェアコ ンポーネント』７１０を実行すると、『機密保護なしのソフトウェアコンポーネ ント』７０８内のそれより大きいソフトウェアボディが依存する選り抜きかつ不 可欠な機能的作用が動作する。『機密保護がなされているソフトウェアコンポー ネント』７１０は、『機密保護なしのソフトウェアコンポーネント』７０８が実 行された時にゲームコンピュータ１４から少なくとも一の入力パラメータを受け 取る機密保護がなされているルーチンを含んでいる。機密保護がなされているル ーチンは、少なくとも一の出力パラメータを作成するためにメータ５０２で実行 される。少なくとも一の出力パラメータはメータ５０２からゲームコンピュータ １４に返信され、『機密保護なしのソフトウェアコンポーネント』７０８はその 後ゲームコンピュータ１４によって少なくとも一の出力パラメータで実行される 。例えば、ゲームコンピュータ１４にゴルフゲームの生成を命令するゲームプロ グラム２６は、複数の入力パラメータに応答してボール結果位置を計算するよう にメータ５０２に命令する命令を含む機密保護がなされているルーチンを含んで い る。このルーチンに対する入力パラメータは、現在のポールの場所、選択された クラブの種類、スイングの力、方向、タイミング、及び、風速と風向である。こ れらの入力パラメータはゲームコンピュータ１４のCPU２７からメータ５０２ａ に適時送信される。その後、機密保護がなされているルーチンは、少なくとも一 の出力パラメータ、この場合はボールの新しい位置、を作成するために、メータ ５０２で実行される。その後、この出力パラメータはゲームコンピュータCPU２ ７に返信されて、『機密保護なしのソフトウェアコンポーネント』７０８がボー ルの新しい位置を従来の方法に従って表示するのに利用される。このように、ゲ ームプログラム２６は、要求された出力パラメータをメータ５０２から受け取ら なければ、完全にはゲームコンピュータ１４上で動作することができない。特に 重要なことに、機密保護がなされているルーチンを作出する命令は、決して非暗 号形式でメータ５０２の外部に存在しないということである。かかる命令をメー タ５０２内で実行することによって作成された結果だけがゲームコンピュータ１ ４のRAMに戻される。これにより、プレイヤーが、ゲームコンピュータ１４のRAM で暗号化されていない命令を読み出して、その後、メータ５０２を妨害するため それらの非暗号命令を機密保護なしのデータ源７０４にストアされている暗号命 令と置換するのに利用することを防止できる。従って、『機密保護がなされてい るソフトウェアコンポーネント』７１０を暗号化してその内部の機密保護がなさ れているルーチンをメータ５０２上で実行することは、システムの機密保護全体 を維持するための機構である。それにより、攻撃者は、システムを妨害してメー タ課金されたソフトウェアを対価なしに実行するためにこのソフトウェアコンポ ーネントの機能を推論して置換することができなくなる。メータ５０２は『制限 時間』又は『制限費用』に達するまで、このようなメータプログラム５０３の動 作を可能にする。 上記の構成は、ゲームコンピュータ１４の使用をメータ課金するのにも使用す ることができる。ゲームコンピュータ１４の電源が入ると、オペレーティングシ ステムプログラム２６の『機密保護がなされているソフトウェアコンポーネント 』７１０は、メータにロー ドされて解読される。ゲームコンピュータ１４を起動するために、ゲームコンピ ュータ１４のオペレーティングシステムプログラムの『機密保護なしのソフトウ ェアコンポーネント』７０８は、メータ５０２の『機密保護がなされているソフ トウェアコンポーネント』７１０の機密保護がなされているルーチンを実行して 、完全なオペレーティングシステムプログラムの適正な機能に重要である少なく とも一の出力パラメータを受け取る。要求された少なくとも一の出力パラメータ の受け取らなければ、ゲームコンピュータ１４はどのプログラムも実行すること ができない。メータ５０２からの少なくとも一の出力パラメータは、ゲームコン ピュータ１４の動作中の特定時に要求されることができる。メータ課金された使 用が『制限時間』又は『制限費用』が到達すれば、メータ５０２は、ゲームコン ピュータ１４のオペレーティングシステムの『機密保護なしのソフトウェアコン ポーネント』７０８に不可欠の少なくとも一の出力パラメータをそれが必要とさ れる次の回にもはや供給しないことによって、ゲームコンピュータ１４の動作を 不能にする。ゲームコンピュータオペレーティングシステムプログラムがメータ ５０２からの少なくとも一の出力パラメータを大変短い時間間隔で要求するよう にシステムは設計されており、メータ課金された使用が停止すべきことを確認す るメータ５０２と、必要とされる少なくとも一の出力パラメータをそれが必要と される次の回にメータ５０２から供給しないことによってゲームコンピュータ動 作を現実に停止することとの時間的遅延は、全ての実際月的上、ゲームコンピュ ータ１４の動作が費用又は時間制限を越えた後に即座に停止するほど効果的に大 変小さい。 代替的な実施例では、メータ５０２は、機密保護なしのデータ源７０４の代わ りにそれ自身の機密保護がなされているメモリに永久にストアされているオペレ ーティングシステムプログラム又はいずれのゲームプログラム２６に対して、『 機密保護がなされているソフトウェアコンポーネント』７１０を有している。従 って、『機密保護がなされているソフトウェアコンポーネント』７１０は、プレ イヤーはかかるソフトウェア命令にアクセスで きないので、暗号化される必要はない。機密保護は不正操作防止型のメータ構成 によって与えられる。上述したように、機密保護がなされているメモリを不正操 作して『機密保護がなされているソフトウェアコンポーネント』７１０を読み出 そうとすれば、『機密保護がなされているソフトウェアコンポーネント』７１０ のメモリの損失につながる。メータ５０２の構成に依存して、機密保護がなされ ているメモリは、各々は異なるメータ課金されたゲームプログラム２６又はオペ レーティングシステムに対する複数の『機密保護がなされているソフトウェアコ ンポーネント』７１０をストアするように構成することができる。あるいは、機 密保護がなされているメモリは、複数のゲームプログラム２６又はオペレーティ ングシステムに使用することができる一の包括的な『機密保護がなされているソ フトウェアコンポーネント』７１０をストアするように構成することができる。 費用テーブル 費用テーブルデータ構造は、『ソフトウェア制御ブロック』７０６の『ソフト ウェア費用』要素がソフトウェアの基本費用に対して課金するのに使用され、可 変費用を支持するシステムに対する不揮発性メモリのメータ５０２によってもス トアされる。以下の形式は『費用テーブル要素』のリストである。 ソフトウェアID 課金方法 使用別課金 時間別課金 オーバーライド 基本 倍数 置換 課金値 分別(Per-Minute)又は使用別 各費用要素は特定の『ソフトウェアID』と関係している。もしそれが「プログ ラム」『ソフトウェアID』であれば、費用テーブル要素は、分別又は使用別に、 プログラム自体の請求書作成に関連している。もしそれが「コンポーネント」『ソ フトウェアID』であれば、費用テーブルはソフトウェアの特定の特徴又はコンポ ーネントの使用費用に対応する(即ち、ゲームプログラムの実行費用は、例えば 、あるレベルに到達したり、付与される命の数を増やすなどゲームプレイの結果 として実行されたゲームのある「特徴」に関係している)。これは典型的に使用 別であるが、プレイヤーが勝手に特定の敵と交戦したり特定の武器を使用すると きなどあるコンポーネント又は特徴が使用される場合には分別で特別費用が課さ れる。 課金方法は、『使用別課金』及び『時間別課金』という２つの識別子の一つで あり、『ソフトウェアID』が使用されるときにいずれの課金形態が適用されるか を表示する。 オーバーライドフィールドは、この課金テーブルの要素が他の存在する費用テ ーブルとどのように結合すべきかを表示している。もしそれが、これは基本費用 テーブル要素であることを意味する「基本」値を有しているなら、それは機密保 護なしのデータ源７０４の『ソフトウェア制御ブロック』７０６に通常関連づけ られている。もしこの『ソフトウェアID』に対して他の課金テーブル要素がなけ れば、この要素の費用データが使用される。その他の２つの可能な値は、機密保 護なしのデータ源７０４にストアされた費用値を課金するために中央コンピュー タ１２にダウンロードされている費用テーブルに使用される。「置換」は、この 費用テーブル要素が機密保護なしのデータ源７０４からのいずれかの基本費用要 素をオーバーライドしたり置換する旨を意味している。「倍数」は、費用値が基 本費用テーブルからの費用値を乗算して調節する固定ポイント番号であることを 意味する。 最後に、『課金値』は、『基本及び置換オーバーライド』値に対して、実行依 存型及び国依存型であるが、特徴の各使用又は各分別使用に関連する単位で表現 されている。『倍数』の場合、『課金値』は、上述したように、『基本』費用値 に乗数する分数値である。受領書ファイル７１２ もし（ディスクドライブなどの）機密保護なしの不揮発性メモリがゲームコン ピュータ１４に関連づけられていれば、このメモリの幾つかは、請求書作成用期 間中の請求書作成用活動に関する詳細な情報を記録するのに使用することができ る。この情報は、『受領書ファイル』７１２とよばれ、一連の受領書記載事項を 含んでおり、その各々は請求書作成用活動を反映している。『受領書ファイル』 ７１２は機密保護なしのメモリにストアされているが、ファイル記載事項は保全 性と正確性を確保するためにメータ５０２によって署名される。『受領書ファイ ル』７１２は、プレイヤーに、彼の請求書作成に関する詳細な情報を与えると共 に、プレイヤーが中央コンピュータ１２からの請求書が彼の使用と一致していな いとクレームをつけた場合の紛争解決を補助するものとして使用されることもで きる。メータ５０２／ゲームコンピュータインターフェース 上述したように、『機密保護なし及び機密保護がなされているソフトウェアコ ンポーネント』はメータプログラム５０３の機能を共同して実行する。メータプ ログラム５０３の大半は『機密保護なしのコンポーネント』であるが、それは、 メータ５０２で解読され実行された『機密保護がなされているコンポーネント』 を、ゲームコンピュータ１４のメータプログラム５０３を実行するために使用す ることを可能にする。メータ５０２は、一般に、ゲームコンピュータ１４に比べ てさほど強力ではない処理装置である。また、それは ゲームコンピュータのメモリと内部データ構造にアクセスすることができない。 従って、その間で交換されるべきデータは、メッセージ通過又はサブルーチン呼 出しインターフェースを利用することができる。加えて、『機密保護がなされて いるソフトウェアコンポーネント』７１０は、メータプログラム５０３の『機密 保護なしのソフトウェアコンポーネント』７０８によって実行された計算のそれ が不可欠で些細でない部分を実行するように設計することができる。一般に、請 求書作成用の課金を生成することができるいかなる出来事も『機密保護がなされ ているソフトウェアコンポーネント』７１０の協力が必要である。その部分によ ってなされた計算は、攻撃者が『機密保護なしのソフトウェアコンポーネント』 ７０８をリバースエンジニアリングして、等価機能を与えるローカルコードで『 機密保護がなされているソフトウェアコンポーネント』７１０への要求を置換す るのを防止するために、重要でなければならない。この仕事は、『機密保護がな されているソフトウェアコンポーネント』７１０の暗号化によって補助され、そ れは、機密保護のない側からその行為を監視することによって、攻撃者がコード の目的を推論することを必要とする。しかし、かかる攻撃を効果的に防止するた めに、『機密保護がなされているソフトウェアコンポーネント』７１０は十分に 複雑でなければならない。メータ５０２がCD-ROMとゲームコンピュータ１４との 間に配置された実施例においては、メータプログラムデータはメータ５０２によ って飛行中に解読されなければならないので、アクセス制御が簡単になされる。 例示的な実施例では、コードは別の処理装置上で実行されるので、２つの部分間 のインターフェースはサブルーチン呼出しインターフェース、実際は、遠隔制御 呼出しである。好ましい実施例においては、『機密保護がなされている及び機密 保護なしのソフトウェアコンポーネント』は同時に動作し、『機密保護がなされ ているソフトウェアコンポーネント』７１０は『機密保護なしのソフトウェアコ ンポーネント』７０８が将来のある時点で必要とする計算結果を実行する。防止 されなければならない攻撃は、プレイヤーが不適当な時にシステム電源を切るこ とである。例えば、もしソフトウェアが消費時間によって請求書 作成され、もしかかる請求書作成が、プログラムの開始時及び終了時に(『機密 保護がなされているソフトウェアコンポーネント』７１０が２つの呼出しの時間 差をとることによって経過時間を計算する意図を持って)『機密保護がなされて いるソフトウェアコンポーネント』７１０への呼出しを挿入することによって実 行されたならば、請求書作成は、プログラムが正常に終了する前にいつも電源を 切ることによって回避されるかもしれない。これを避ける方法の一つは、あるプ ログラムされたイベントが生じるたびに、時間の進行を増加的に記録することで ある。増加的課金はこの種の方法によって請求書作成回避の成功をより少なくす る。使用又は特徴による課金もこの攻撃の影響を受けにくい。別の代替案は、監 査ログにプレイヤーがゲーム終了前に電源を切った時間を記録することである。 ゲーム終了記録を持たないゲームの種類は、システムを惑わせようとするプレイ ヤーに影響を与える。プロトコル メータ５０２は中央コンピュータ１２と一定の間隔で交信して、使用情報を報 告し、追加的使用の許可を受け取り、交信された費用情報を受け取り、問題を解 決する。メータ５０２と中央コンピュータ１２間の交信は、（プレイヤーが介在 しないように）自動化にすることができるが、ほとんどのプレイヤーは交信時に 彼らが管理するシステムの方が安心するかもしれない。 幾つかの異なる交信プロトコルは、メータシステム動作を容易にするために利 用される。ゲームコンピューターメータシステムと中央コンピュータ１２間の交 信を使用するものもあるし、純粋にゲームコンピュータ１４、メータ５０２、及 び、機密保護なしのデータ源７０４間のローカル送信に係るものもある。これら のプロトコルは以下のものを含んでいる。メータ５０２の初期設定（図１６）：このプロトコルは、プレイヤーが新しく 購入したメータ５０２又はメータシステムを初期設定するときに実行される。メ ータ５０２は、共有された暗号化キーを生成するために中央コンピュータ１２と 交信することを含む自身の内部初期設定を実行する。この段階で、メータ５０２ は、中央コンピュータ１２の公開キーである『PK CC』と、それ自身の独自のID である『IDメータ』へアクセスする。メータ５０２は乱数を発生することができ る。他のプロトコルと異なり、これらのパケットは、中央コンピュータ１２とメ ータ５０２間で共有されたキーで黙示的に暗号化されない。代わりに、以下の実 例的なプロトコルの各工程において、暗号工程は明示的に識別される。 工程５２２において、メータ５０２は、それと中央コンピュータ間でデータを 交信するランダムキーである『SKメータ』を計算する。 工程５２４において、メータ５０２は以下の形式を有する『初期設定メッセー ジ』ブロックを作成する。 初期設定メッセージ IDメータ 現在の日時 SKメータ 工程５２６において、メータ５０２は『初期設定メッセージ』ブロックを『SKメ ータ』で暗号化して、『SKメータ』を『PK CC』を用いて暗号化し、この暗号メ ッセージを中央コンピュータ１２に送信する。 工程５２８において、中央コンピュータ１２は、『SKメータ』を、次いで、『 初期設定メッセージ』ブロックを回復する。それは日時がおおよそ現在のもので あるかどうかを確認し、新しい『IDメータ』を記録し、以前には使用されていな いことを確認する。それは『SKメータ』を再び呼び出してその値を『IDメータ』 と関連づける。 工程５３０において、中央コンピュータ１２は、そのメータ５０２を所有して ソフトウ ェアの支払いをするプレイヤーの『課金口座番号』を作成する。 工程５３２において、中央コンピュータ１２は『初期設定応答メッセージ』ブ ロックを以下の形式で作成する。 初期設定応答メッセージ 課金口座番号 工程５３４において、中央コンピュータ１２は『初期設定応答メッセージ』ブ ロックを『SKメータ』で暗号化してそれをメータ５０２に返信する。 工程５３６において、メータ５０２は『初期設定応答メッセージ』ブロックを 解読して、その『課金口座番号』をストアする。その後、それは『課金口座番号 』をプレイヤーに対して、彼の記録及び彼が自分の課金口座を開設するときの中 央コンピュータ請求書作成用サービスとの交信に供さしめるために、表示する。 工程５３８において、メータ５０２が関連クロックチップを有すれば、メータ ５０２は『クロック同期』プロトコルを実行する。 プレイヤーが自分の口座を中央コンピュータ請求書作成用サービスにより開設 した後、後述の『中央コンピュータからの許可』プロトコルからに移行する。 新規プログラム追加（図１７）：このプロトコルはプレイヤーが、実行に中央 コンピュータ１２からの情報を必要とする新しいソフトウェアプログラムを入手 したときに使用される。後述するように、あるプログラムは中央コンピュータ１ ２から新しい情報を得なくても実行可能であるが、その他はそれらの特別プログ ラム用の新しい暗号キーの入手を要求するかもしれない。このプロトコルで送信 された全てのメッセージは、上述の暗号化及び連続番号によって保護されている 。例示的なプロトコルは以下のように動作する。 工程５４０において、メータ５０２は新規プログラムの『ソフトウェア制御ブ ロック』を機密保護なしのデータ源７０４から読み出して、各プログラム用『ソ フトウェアID』を 抽出する。 工程５４２において、メータ５０２、以下の形式で『新規プログラムメッセー ジ』を作成する。 新規プログラムメッセージ 要求されたプログラム数 ソフトウェアID ソフトウェアID … 工程５４４において、メータ５０２は機密浬に『新規プログラムメッセージ』 を中央コンピュータ１２に送信する。 工程５４６において、中央コンピュータ１２は、それらのプログラム解読に必 要なキーを決定するために要求されているキーの『ソフトウェアID』を調べる。 工程５４８において、中央コンピュータ１２は以下の形式の『新規プログラム メッセージ応答』ブロックを作成する。 新規プログラムメッセージ応答 要求されたプログラム数 ソフトウェアID、キー ソフトウェアID、キー … 工程５５０において、メータ５０２は、『ソフトウェアキーテーブル』構造の 各ソフトウェアプログラム毎にキー情報を記録する。 工程５５２において、メータ５０２は、もし可変費用の選択がなされていれば 『費用情報更新』プロトコルを実行する。中央コンピュータ１２からの許可（図１８）：中央コンピュータ１２は、上述 したように、特定期間たる『制限時間』又は特定金額たる『制限費用』に到達す るまでの動作を可能にするために、許可データをメータ５０２に送信する。通常 、これは、請求書作成用期間終了時、『使用報告』プロトコルの実行後速やかに 実行される。代替的に、これは、メータ５０２が追加認証を必要な期限切れ後に 特定量のクレジットを入手するために行ってもよい。また、それは最初の口座設 定後になされる。ここで再び、このプロトコルで送信された全メッセージは上述 したように、暗号及び連続番号によって保護される。実例的なプロトコルは以下 のように動作する。 工程５５４において、メータ５０２は、中央コンピュータ１２に機密裡に送信さ れる以下の形式の『許可要求メッセージ』を生成する。 許可要求 現在の日付／時間 制限時間 制限費用（メータ５０２が費用を計算する場合） 合計費用（メータ５０２が費用を計算する場合） 工程５５６において、中央コンピュータ１２は時間と費用情報を統計目的用に 記録する。次いで、それは、ゲームコンピュータ１４及び／又はソフトウェアの 継続使用をメータ５０２を介して許可するために、利用されている請求書作成約 定に従って(『課金目座番号』に基づいて)現在の課金口座が支払い済みかどうか を決定する。これに基づいて、その後、それは『制限時間』及び『制限費用』に 対する新しい値を計算する。もし追加許可が是認されなければ、『制限時間』及 び『制限費用』の値はそのままにされる。 工程５５８において、中央コンピュータ１２は『許可応答メッセージ』ブロッ クを作成してメータ５０２に以下の形式で送出する。 許可応答 従前のメッセージからの現在の日付／時間 新しい制限時間の値 新しい制限費用の値（メータ５０２が費用を計算する場合） 工程５６０において、メータ５０２は、タイムスタンプをチェックすることに よって、この『許可応答メッセージ』が返信ではない（即ち、メッセージは「新 鮮」である。）旨を確認する。その後、それは新しい『制限時間』と『制限費用 』の値を不揮発性メモリに複写する。費用情報更新（選択的‐可変費用）(図１９)：プレイヤーが現在使用している メータプログラム５０３に対してメータ５０２が中央コンピュータ１２から更新 された費用情報を要求するときにこのプロトコルは使用される。それは可変費用 の選択がなされている場合にのみ使用され、（『中央コンピュータからの許可』 及び『使用報告』プロトコルと共に）各請求書作成用サイクルの終了後に実行さ れる正規の一連のプロトコル中と同様に、『新規プログラム迫加』プロトコル後 に実行される。このプロトコルで送信された全メッセージは、上述したように、 暗号及び連続番号によって保護される。実例的なプロトコルは以下のように記載 される。 工程５６２において、メータ５０２は『費用更新要求メッセージ』を作成して それを中央コンピュータ１２に以下の形式で送信する。 費用交信要求 ソフトウェアID ソフトウェアID … 工程５６４において、中央コンピュータ１２は、要求された『ソフトウェアID 』の費用情報を含む『費用更新応答メッセージ』を作成する。特徴別請求書作成 を含む『ソフトウ ェアID』に対しては個々の特徴に対する費用情報も合まれる。この情報は、上述 したように『費用テーブル』の形式で与えられる 費用更新応答 費用テーブル 工程５６６において、メータ５０２は、新しい『費用テーブル』情報をその内 部の『費用テーブル』に連結して『ソフトウェアID』に一致する内部データを置 き換える。 クロック同期(図２０)：このプロトコルは、メータ５０２のクロック５１２を 中央コンピュータ１２のそれと同期させるために一定間隔で実行される。通常、 これは各請求書作成用期間終了時に行われる。このようにして、許可が期限切れ となる時間制限において、２つのコンポーネントは一致する(もしそれがインタ ーネットのように非同期データネットワークシステムで動作することが期待され るならば、このプロトコルは伝達遅延に対処するように設計することができる) 。例示的なプロトコルは以下の通りである。 工程５６８において、メータ５０２は、後で中央コンピュータ１２に機密裡に 送信される以下の形式の『時間更新要求メッセージ』を作成する。 時間更新要求 メータからの現在の日付／時間 工程５７０において、中央コンピュータ１２は、統計分析目的用のメータ５０ ２の日付／時間を読み出す。次いで、それは、現在の時間をパケット形式で含む 『時間更新メッセージ』でメータ５０２に応答する。 時間更新 （以前のメッセージからとった）メータからの日付／時間 中央コンピュータからの現在の日付／時間 工程５７２において、メータ５０２は『時間更新』パケットを受け取り、その 連続番号 と暗号をチエェれは、このそータパケットが受け取られた時間を自身のクロック に基づいて記録する。更に、それは、それが中央コンピュータに送信したものか ら日付／時間を確認し、中央コンピュータに以下の形式の『時間更新承認メッセ ージ』を戻す。 時間更新承認 中央コンピュータからの現在の日付／時間 工程５７４において、中央コンピュータ１２は、『時間更新』パケット送信時 と『時間更新承認』パケット受信時との間の時間を比較する。もしその時間が特 定の正確性の期間内であれば、それは以下の形式の『時間更新ＯＫメッセージ』 を送信する。 時間更新ＯＫ 中央コンピュータからの原日付／時間の反復 工程５７６において、『時間更新ＯＫメッセージ』を受信すると、メータ５０ ２は、『時間更新メッセージ』内の時間と中央コンピュータ１２からの２つのメ ッセージの受領間の経過時間を自身の計算に基づいて、その時間を更新する。そ れが設定した自身の時間基準値は、中央コンピュータ１２からの日付／時間の値 に『時間更新メッセージ』と『時間更新ＯＫメッセージ』の到着時間差を加えた ものである。 メータ課金されたソフトウェア開始(図２１)：このプロトコルは、メータ５０ ２と、ゲームコンピュータ１４と、機密保護なしのデータ源７０４と、メータプ ログラムが実行用にロードされたときのそれらの対話に関係する。 上述したように、機密保護なしのデータ源７０４に常駐しているメータプログ ラム５０３は、『ソフトウェア制御ブロック』７０６と２つの実行可能なコンポ ーネント、即ち、ゲームコンピュータ１４で実行する『機密保護なしのソフトウ ェアコンポーネント』７０８と、メータ５０２上で解読されて実行される『機密 保護がなされているソフトウェアコン ポーネント』７１０とを含んでいる。少なくとも『機密保護がなされているソフ トウェアコンポーネント』７１０は暗号化されるが、『機密保護なしのソフトウ ェアコンポーネント』７０８は及び『ソフトウェア制御ブロック』７０６は同様 にされてもよい。プロトコルは、『ソフトウェア制御ブロック』７０６がメータ ５０２によって署名されて『機密保護がなされているソフトウェアコンポーネン ト』７１０が暗号化される例示的な実施例において、以下のように動作する。 工程５７８において、メータ５０２は機密保護なしのデータ源７０４から『ソ フトウェア制御ブロック』を読み出して『ソフトウェア制御ブロック』の署名の 真偽を確認し、そのメータプログラム５０３用『ソフトウェアID』を抽出する。 工程５８０において、メータ５０２は、メータプログラム５０３の『機密保護 がなされているソフトウェアコンポーネント』７１０を解読するために要求され たキーが利用可能であるかを決定する。このキーは、『ソフトウェアキーテーブ ル』の中の『ソフトウェア制御ブロック』７０６の『ソフトウェアID』を調べる ことによって発見されるか、(関連『ソフトウェアID』によって認識される)即座 に実行可能なプログラムに対する『SK Imm Run』から発見されるかもしれない。 もしキーが利用不可能であれば、メータ５０２は、現在のソフトウェアリストに 新規プログラムが追加されなければならない旨、及び、必要なキーを入手するた めに中央コンピュータ１２との交信が必要である旨をプレイヤーに知らせるメッ セージを表示する(そして、このプロトコルは終了する)。 工程５８２において、もし要求されたキーが発見されれば、メータ５０２は現 在の資源制限がメータプログラム５０３を実行するのに十分であるかどうかを決 定する。もし『制限時間』又は『制限費用』が所定値を超えれば、プレイヤーに メータ課金されたソフトウェアの追加使用を許可する中央コンピュータ１２と交 信しなければならない旨のメッセージが表示される(そして、このプロトコルは 終了する)。 工程５８４において、もし『制限時間』又は『制限費用」が上限たる所定値に 近いある 範囲にあれば、メータ５０２は処理前に警告を表示して、プレイヤーに対して、 メータプログラム５０３実行中に彼が許可を失うかもしれないことを通知して、 プレイヤーからの継続確認を要求し、それ以外はこのプロトコルは終了する。 工程５８６において、メータ５０２は『ソフトウェア制御ブロック』７０６か ら『ソフトウェア費用テーブル』を読み出して、内部の『費用テーブル』からオ ーバーライド又は調節を適用し、結果データをその内部のRAM５１０にセーブす る。 工程５８８において，メータ５０２及びゲームコンピュータ１４は『機密保護 がなされているソフトウェアコンポーネント』７１０及び『機密保護なしのソフ トウェアコンポーネント』７０８をそれぞれ機密保護なしのデータ源７０４から 読み出す。メータ５０２は『機密保護がなされているソフトウェアコンポーネン ト』７１０を解読する。 工程５９０において、メータ５０２及びゲームコンピュータ１４は、その後、 制御を新しく読み込まれたソフトウェアコンポーネントに転送し、メータ５０２ は『機密保護がなされているソフトウェアコンポーネント』７１０を実行し、ゲ ームコンピュータ１４は『機密保護なしのソフトウェアコンポーネント』７０８ を実行する。 メータ課金されたソフトウェア実行(図２２)：以下の説明は、プログラム実行 中の請求書作成に関連したメータ５０２とゲームコンピュータ１４との間の対話 に関する。 上述したように、メータ５０２及びゲームコンピュータ１４は、それぞれ、メ ータプログラム５０３の『機密保護がなされているソフトウェアコンポーネント 』７１０及び『機密保護なしのソフトウェアコンポーネント』７０８を実行する 。正確な請求書作成を可能にするために、２つのコンポーネント間の依存性は、 請求書作成対象となり得る全ての出来事が『機密保護がなされているソフトウェ アコンポーネント』７１０の能動的な協力が必要であるように、設計されなけれ ばならない。これらの出来事の一つが生じるとこのプロトコルは実行される。更 に、不揮発性記憶装置がゲームコンピュータ１４で入手可能で あれば、メータ５０２はこの記憶装置を請求書作成用活動の詳細な明細を与える 『受領書ファイル』７１２を維持するために使用することができる。『受領書フ ァイル』７１２は、プレイヤーの活動の記録を構成し、それがメータ５０２によ って署名されるので、それは紛争解決に使用される。以下は実例的なプロトコル である。なお、その工程５９２及び５９４は、『受領書ファイル』７１２が利用 可能な場合にのみ実行される点に留意しなければならない。 工程５９２においては、メータ５０２は、以下の情報からなる『受領書記載事 項』を作成する。即ち、使用されているソフトウェア、（入手可能であれば）課 金額、現在の時刻、課金される出来事を識別する情報である。これは、メータ５ ０２の秘密キーによって（即ち、従来の暗号術が使用した場合の『SKメータ』又 は公開キー技術を介して）署名される。その後、メータ５０２は『受領書記載事 項』を、それが『受領書ファイル』７１２に添付されている場合には、機密保護 なしの記憶装置に送出する。 工程５９４において、メータ５０２は、請求書作成の対象となる出来事及び『 メーター課金されたソフトウェア開始』プロトコル中に計算された現在の費用情 報に基づいて、『合計費用』を更新する。 工程５９６において、もし、メータプログラム５０３の動作中のいかなる時に おいても『制限時間』又は『制限費用』を超えていたら、メータプログラム５０ ３は、『機密保護がなされているソフトウェアコンポーネント』によって要求さ れた少なくとも一の出力パラメータを作成するために、もはや『機密保護がなさ れているソフトウェアコンポーネント』７１０を実行せず、これによってゲーム コンピュータ１４のプログラムの実行を中断し、また、プレイヤーに中央コンピ ュータ１２と連絡をとって更なる許可を得なければならない旨の忠告メッセージ を表示する。 もし署名を『受領書ファイル』７１２の各記載事項に添付することが大変面倒 であると思われれば、上記の工程５９２は、以下のシーケンスに置換してもよい 。 工程５９２ａにおいて、メータ５０２は、機密保護なしの記憶装置から現在の 『受領書ファイル』７１２を読み出す。『受領書ファイル』７１２は、上述した ように、受領書の記録から構成され(もっともこの場合は個々の記録は署名され ていない)、その後全体としてファイルに関係する署名がなされる。 工程５９２ｂにおいて、メータ５０２は『受領書ファイル』７１２の署名を確 認する。上述したように、これは『SKメータ』や公開キー技術を用いた従来の暗 号術を使用して実行される。 工程５９２ｃにおいて、もし署名が有効であれば、メータ５０２は、新しい『 受領書記載事項』を『受領書ファイル』７１２に追加してファイル全体に署名す る。その後、『受領書ファイル』７１２は機密保護なしの記憶装置に返却される 。もし署名が無効であれば、工程５９２ｄにおいて、メータ５０２は上記の情報 は信頼できない旨を通知するラインを加える。その後、それは現在の『受領書記 載事項』を添付してファイル全体に署名する。『受領書ファイル』７１２が信頼 できない旨を表わすメッセージがプレイヤーに表示される。 使用報告(図２３)：請求書作成用期間終了時に、メータ５０２は中央コンピュ ータ１２に蓄積された使用情報を報告する。使用されている支払機構と中央コン ピュータ１２に送信されるべき情報の詳細なレベルに応じて、幾つかの変形が可 能である。もしメータ５０２が（中央コンピュータ１２の代わりに）費用を計算 すれば、以下のプロトコルが使用される。選択的に、『受領書ファイル』７１２ の複写が（もし入手可能であれば）中央コンピュータ１２にアップロードされる 。もし情報がアップロードされれば、中央コンピュータ１２は、典型的な電話の 請求書に類似した形式で、詳細に印字された請求書を作製することができる。以 下のものは例示的なプロトコルである。 工程５９８において、メータ５０２は以下の情報を含む『使用報告メッセージ 』を作成する。 使用報告 合計費用 受領書ファイル（選択的） 工程６００において、中央コンピュータ１２は『使用報告メッセージ』を受け 取り、この課金口座の請求書作成用情報を更新する。 工程６０２において、中央コンピュータ１２は以下の形式の『使用報告承認メ ッセージ』を返信する。 使用報告承認 合計費用 工程６０４において、メータ５０２は請求書作成の対象となる合計費用を表示 する。 工程６０６において、メータ５０２は、『受領書ファイル』７１２の名前を連 続的に番号が振られたバックアップファイルに変えるようにゲームコンピュータ １４に通知し、新しい白紙の『受領書ファイル』７１２を作成する。通常、『中 央コンピュータからの許可』、『クロック同期』及び『費用情報更新』を含む他 のプロトコルがこのとき実行される。 もし費用がメータ５０２ではなく中央コンピュータ１２によって計算されるな らばより詳細な情報がアップロードされなければならない。 工程６０８において、メータ５０２は以下の情報を含む『使用報告メッセージ 』を作成する。 使用報告 使用計数テーブル 使用時間テーブル 受領ファイル（選択的） 工程６１０において、中央コンピュータ１２は、様々なプログラム及びプログ ラムの特徴の費用を理解すると、この課金口座用の請求書作成用情報を計算して 更新する。それは、 様々なソフトウェアがいかに請求額に反映しているかを示す明細書を作成するた めにもこの情報を使用することができる。それは、『合計費用』と新しい請求額 の合計を計算して、『使用報告承認メッセージ』を以下の形態で返信する。 使用報告承認 合計費用 工程６１２において，メータ５０２は請求される『合計費用』を表示する。 工程６１４において、メータ５０２はゲームコンピュータ１４に『受領書ファ イル』７１２の名前を連続的に番号が振られたバックアップファイルに変えるよ うにゲームコンピュータ１４に通知し、新しい白紙の『受領書ファイル』７１２ を作成する。『中央コンピュータからの許可』及び『クロック同期』を通常含む 他のプロトコルがこのとき実行される。 監査(図２４)：このプロトコルは、使用と請求書作成に関してプレイヤーと中 央機関との間で意見の不一致があった場合に利用され、『受領書ファイル』７１ ２によって実行される。有効に署名された『受領書ファイル』７１２は、いかな る所与の請求書作成用期間に対しても、請求書作成用の全活動の認証可能な記録 である。もし中央コンピュータ１２からのプレイヤーの請求書が『受領書ファイ ル』７１２に含まれている情報と一致しなければ、以下のプロトコルを行うこと ができる。 工程６１６において、メータ５０２は、以下の形式の『受領書ファイルェエッ クメッセージ』を作成する。 受領書ファイルチェック 受領書ファイル（争いのある請求書作成用期間） 工程６１８において、中央コンピュータ１２は、『受領書ファイル』７１２を 入手して、それをその請求書作成用期間に対してメータ５０２から受け取った請 求書作成用情報と比較する(請求書作成用期間は『受領書ファイル』７１２の日 付から推量する)。不一致はシ ステムの誤動作が原因かもしれない。可能性のあるのは、故障したメータ５０２ 、誤りを含んでいるソフトウェア、中央コンピュータ１２のオペレータの過誤で ある。『受領書ファイル』７１２が請求書作成用データの正確性を確認すれば、 プレイヤーは自分の『受領書ファイル』７１２の真偽を確認する際に誤ったのか もしれない。 工程６２０において、いずれの場合にも、問題の請求書作成用期間中の原請求 額と有効とされた額を含む中央コンピュータ１２『受領書ファイル確認メッセー ジ』を作成する。これは、何の不一致も発見されなければ当初の額と同一であり 、誤りが検出されたならば訂正額と同一となる。 受領書ファイル確認 請求書作成用期間の開始の日付／時間 請求書作成用期間の終了の日付／時間 原請求額 有効／訂正された請求額 無効終了テキスト列（プレイヤーに対する表示用） 工程６２２において、メータ５０２は、中央コンピュータ１２から送信された テキスト列とこの情報を表示し、発見されたかもしれない不一致の説明をする。 認証(図２５及び２６)：詳細に上述した結果認証システムの一例は、専用ゲー ムシステム又は汎用コンピュータ上の娯楽ソフトウェアに関しての「ハイスコア 」の真偽確認である。これは、プレイヤーが認証を求めるある結果をプログラム が作成する時に使用されるシステムの主要なプロトコルである。メータ５０２が 実際に特定結果が現実に発生したことを決定することができるように、ソフトウ ェアは、機密保護がなされているコンポーネントと機密保護なしのコンポーネン トとに分割される。図２５に示す電子的交信を実行するために、実例的なプロト コルは以下のように動作する。 工程６２４において、メータ５０２は、『SKメータ』によって暗号化された以 下の形式を有する『認証可能な結果メッセージAOM』を作成する。 認証可能な結果 ソフトウェアID （プレイヤーへの表示用の結果を記載している）無効終了テキ スト列 工程６２６において、中央コンピュータ１２はそのブロックを受け取って、『 SKメータ』を使用して解読することによって認証し、もし認証されれば、結果を それに基づいて受け入れる。上述したように、その後中央コンピュータ１２は、 自身の『PK CC』を使用して結果を再認証するか適切な他の措置を実行すること ができる。 工程６２８において、中央コンピュータ１２は、それが『認証可能な結果』を 受け入れた旨を確認する『認証結果確認メッセージAOCM』を以下の形式で返信す る。 認証結果確認 ソフトウェアID 無効終了テキスト列(プレイヤーへの表示用の結果受入の確認 又は拒否) 工程６３０において、メータ５０２は、中央コンピュータ１２からの結果受入 確認又は拒否を表示する。 上述したように、プレイヤーは、中央コンピュータ１２との交信を促進するた めに、手動でメッセージを電話キーパッドに入力する。この場合、図２６に示す ように、メータ５０２と中央コンピュータ１２との間のデータ手動転送に関連付 けられた限定された交信帯域により順応しやすい異なるプロトコルを使用しても よい。 工程６３２において、メータ５０２は、ゲーム結果をその『IDメータ』(ソー スの可能性をほんの一握りのメータ５０２に過ぎないように狭くするのに十分な 『IDメータ』のビットのある断片が示される)と共に画面上に表示する。 工程６３４において、プレイヤーは中央コンピュータ１２に電話でダイヤルし 、上述し たように、IVRUからの適切なプロンプトに応答してプッシュホンキーパッドを使 用してこの情報を入力する。 工程６３６において、中央コンピュータ１２はランダム呼掛け列を生成してプ レイヤーに送信し、プレイヤーはその後それを適当な入力装置（例えば、キーパ ッド、ジョイスティックインターフェースなど）に入力する。 工程６３８において、メータ５０２は、ゲーム結果と呼掛け列の暗号ハッシュ を計算し、それを『SKメータ』で暗号化し、結果たる『認証可能な結果メッセー ジAOM』を表示する。 工程６４０において、プレイヤーは『認証可能な結果メッセージAOM』を電話 キーパッドに入力し、そこからそれが中央コンピュータ１２に送信される。 工程６４２において、中央コンピュータ１２は、ハッシュと暗号を独立して計 算することによって『認証可能な結果メッセージAOM』を認証し、プレイヤーか ら受け取った値を確認する。 工程６４４において、中央コンピュータ１２は、『認証結果確認メッセージ』 を上述のように返信する。これは、IVRUによる結果受入又は拒否の音声表示を伴 うことができる。 工程６４６において、プレイヤーは『認証結果確認メッセージ』をメータ５０ ２に入力し、それは、上述したように、結果受入確認又は拒否を表示する。 上記には幾つかの変形があることが理解できる。即ち、信頼性を向上するため に、プレイヤーから送信された値は、彼が２、３のディジットを誤って入力した 場合のあるレベルの誤りの検出を可能にするために、冗長を添付することができ る。上記プロトコルの変形は、全てのメータ５０２にとって同一で製造中にRAM ５１０にプログラムされる『SKメータ』以外のキーを使用することができる。こ のことは、メータ５０２が『IDメータ』を工程６３２において表示し、プレイヤ ーがそれを工程６３４で入力する必要性を省いている。加えて、工程６３８は、 代替的に、秘密キーの値で暗号化される代わりに、秘密キー の値のハッシュを伴うこともできる。 上記に従って、メータ課金プロトコルは、ゲームコンピュータ１４又はゲーム プログラム２６の使用が次のものを含む幾つかの方法でメータ課金されるのを可 能にしている。即ち、時間依存型動作不能、ゲームセンター型プレイを可能にす るクレジット要求、及び、均一料金課金である。ゲームプレイは、ゲームコンピ ュータのオペレーティングシステムの『機密保護がなされているソフトウェアコ ンポーネント』７１０を実行せずに、また、許可なしにゲームプログラム２６の 『機密保護がなされているソフトウェアコンポーネント』７１０を実行せずに、 メータ５０２によって制御することができる。加えて、ゲームプレイは、許可な しではゲームは使用可能な又は所期の形式で表示されない代替的なシステムによ りメータ課金することができる。後者は、デスクランブラ５００がゲームをデス クランブルする必要があるようにゲームプログラム命令及び／又はデータをスク ランブルすることによって達成することができる。ここで、デスクランブラ５０ ０が『認証可能なアンロックメッセージ(Authenticable Unlock Message)AUM』 によって動作可能になる。デスクランブルの実施例は以下に別個に説明する。 時間依存型動作不能の実施例においては、ゲームコンピュータ１４は、特定期 間だけ機能するように構成されており、期間経過後は、それは、期限切れ後又は 終了日後のプレイを可能にする「アンロッキングコード」が入力されることを要 求する。プレイヤーは、終了日後にプレイを継続するためにアンロッキングコー ド（以下、『認証可能なアンロックメッセージAUM』という。）を入手する。『 認証可能なアンロックメッセージAUM』は中央コンピュータ１２から上述の『中 央コンピュータからの許可』プロトコルを実行することによって入手される。そ のプロトコルにおける『許可要求メッセージ』は、『認証可能なアンロック要求 メッセージ(Authenticable Unlock Request Message)AURM』として識別される。 ここで、『制限時間』の値は購入される次の使用期間の長さを特定する。プレイ ヤーには、月、週、日などによる時間購入の選択肢を与えることができる。プレ イヤーは、請求書作 成用にクレジットカードを与え、請求書作成は特定期間終了後に上述の『使用報 告』プロトコルを使用して行われることができる。『中央コンピュータからの許 可』プロトコルにおいて、中央コンピュータ１２は認証可能なアンロック要求メ ッセージAURM』を認証し、プレイヤーの課金口座の状況をチェックし、上述の『 許可応答メッセージ』を構成する『認証可能なアンロックメッセージAUM』を生 成する。ここで、『新しい制限時間』は許可された期間を表す。メータが『認証 可能なアンロックメッセージAUM』を認証し，た後、それは不揮発性メモリ５０ ６の『新しい制限時間』で表わされた使用終了日を変更する。許可された期間中 、ゲームプログラム２６の『費用テーブル要素』に依存する異なる形式の使用に 対して課金を発生させることができる。追加時間は９００番番号にかけることに よっても購入することができるし、請求書作成は郵便によって又は小売店におい ても実行することができる。例えば、AURMは、書き出して、中央コンピュータ１ ２に接続された端末場所の許可エージェントに渡してもよい。特別に構成された メータ課金されたソフトウェア５０３があれば、プレイヤーは、プレイしている 分ごとに指定プレイ時間を対応する値（例えば１分）又はある他の値だけ減少す る場合に、制限されたプレイ時間の分などの幾つかの選択肢を有することができ る。指定時間が尽きれば、メータ５０２はもはや『機密保護がなされているソフ トウェアコンポーネント』７１０を実行するように動作せず、これによってゲー ムコンピュータ１４又は特定のゲームプログラム２６は動作不能になる。これに 関して、プレイを一日所定時間、一月の所定の週などに限定できることが理解で きる。例えば、メータ５０２は、子供が夜更かししてプレイするのを防止するた めに午後11時から午前７時までの時間のゲームプレイを防止してもよい。また、 プレイ可能割合はプレイの日時に従って変更してもよい。 ゲームセンター形式の実施例において、プレイヤーは、ゲームプレイのために 「クレジット」を購入する。これにより、ゲームセンターの環境において、プレ イヤーは中央コンピュータ１２を呼び出して特定数のゲームプレイ用コードを入 手することができる。中央 コンピュータ１２への『許可応答メッセージ』が『認証可能なクレジット要求メ ッセージACRM』識別される点を除いて、その方法は上述の実施例と同様である。 『認証可能なクレジット要求メッセージACRM』は、中央コンピュータ１２から要 求された特定数のゲームプレイを表している。『中央コンピュータからの許可』 プロトコルにおいて、中央コンピュータ１２は、上述の『許可応答メッセージ』 を構成する『認証可能なクレジット許可メッセージ(Authenticatable Credit Au thorization Message)ACAM』を生成する。ここで、『新しい制限費用』はプレイ クレジット数である。メータは、『認証可能なクレジット許可メッセージACAM』 を認証した後、クレジット量『制限費用』をその不揮発性メモリ５０６に複写す る。プレイをすればクレジット量はメータ５０２で減算されることになる。購入 したクレジットがなくなって、プレイヤーがプレイを継続したいと思えば、彼は 、『中央コンピュータからの許可』プロトコルを介して、中央コンピュータ１２ から更に多くのクレジットを購入しなければならない。 プレイされる各ゲームは合計クレジットを特定量だけ減らすことができる。人 気のあるゲームには、プレイ毎に２以上の「クレジット」を要求してもよい。（ 例えば、ゲームセンターのビデオゲームマシンのように）一旦プレイヤーがその 全ての割り当てられた命をなくせば、あるゲームは追加クレジットを受け入れる ように設計されており、これによりプレイヤーはゲームを継続することができる 。ゲームの制限されたステージを完了するには余分なクレジットを要求すること ができる。プレイヤーは、ゲームの最初の10レベルを行うにはいずれであっても １クレジットが課金され、追加的な５つのボーナスレベルを行うにはなうにはい ずれであっても各々１クレジット課金されるようにしてもよい。例えば、10レベ ルのダンジョンを探検しながら、プレイヤーには、特別の武器の使用したり、又 は、ダンジョンの地図や罠を回避するヒントへアクセスすることに対して、迫加 クレジットが課され得る。かかる余分の特徴は、特定のゲームプログラム２６に 対しては『ソフトウェア制御ブロック』７０６で実行されてもよいし、これらの レベルでプレイを続行するため にメータ５０２内で追加クレジットを要求するように構成してもよい。利用可能 なクレジット数は、ゲームであるレベルの成績を終了した後に実行されてもよい 。例えば、ドンキーコングで100万ポイント以上のスコアを出すと、余分のクレ ジットが利用可能なクレジットの残高に加算される。ゲームで秘密の部屋を発見 すると５クレジットが加算してもよい。ホームランを打つと10クレジットを獲得 するようにもできる。その後、この５クレジットボーナスが将来のゲームで繰り 返されることがないようにこの情報をメータ５０２の揮発性メモリにストアする ことができる。プレイヤーが１ドルで受け取るクレジット数を変更可能にするこ ともできる。10クレジットの購入は各々50セントであるが、20クレジットの購入 の場合には各々30セントとするなどである。クレジットの割引きは、ある認定さ れたタイトルを有するプレイヤーを選択するために行うことができる。五つ星の モータルコンバットプレイヤーは、全クレジットの10％割引きを受け取ることが できる。各クレジットはある数の命を買うこともできる。困難性の設定に依存し ながらゲームは異なる数のクレジットを課金することができる。例えば、最も容 易な設定はプレイ毎に２クレジットかかるが、最も困難な設定はプレイ毎に１ク レジットのみかかるとするなどである。１つのゲームを購入する代わり、各クレ ジットはプレイヤーにある期間のプレイを与えてもよい。１クレジットは５分間 のプレイを買うことができ、２クレジットは12分間のプレイを買うことができる などである。上述したように、メータ５０２はゲームプログラム２６の『ソフト ウェア制御ブロック』７０６に関連付けられたデータ又は命令から料金をゲーム クレジット毎に決定することができる。ゲーム毎の料金はメータ５０２の不揮発 性メモリ内にストアすることができ、上述の『費用更新情報』プロトコルを介し て特定のゲームに対する料金構造を変更するように中央コンピュータ１２からの コードによって操すずることができる。 各ゲームプレイに対する特定数のクレジットを変更する代わりに、当業者は、 中央コンピュータ１２からの均一料金課金選択肢を要求することによって無制限 的使用に対する均 一料金を固定期間だけ実施することができることを理解するであろう。『中央コ ンピュータからの許可』プロトコルは、『許可要求』が「認識可能な均一料金要 求メッセージ(Authenticatable Flat Rate Request Message)AFRRM』を構成して いる点を除けば、上述したように実行される。ここで、『制限時間』は無制限的 使用に対する要求された固定期間を表している。中央コンピュータ１２は、『認 識可能な均一料金要求メッセージAFFRM』を認証し、プレイヤーの課金口座状況 をチェックし、上述の許可応答メッセージを構成する『認識可能な均一料金メッ セージ(Authenticable Flat Rate Message)AFRM』を生成する。ここで、『新し い制限時間』は要求された期間の無制限的使用に対する許可を表している。ゲー ムコンピュータ１４を動作させたり、特定のゲームプログラム２６を実行するた めに、メータは、それが、オペレーティングシステムプログラム又はゲームプロ グラム２６の『機密保護がなされているソフトウェアコンポーネント』７１０を 実行するときに、各プレイの前及び最中に、『新しい制限時間』をチェックする だけである。 上述したように、他のプレイ防止方法としては、特定ゲームプログラム２６の ゲームデータをスクランブルすることがあり、それによって、ゲームコンピュー タ１４は変更された特徴でゲームを生成することができる。図２７に示すように 、デスクランブラ７００は、ゲームコンピュータ１４自身に内蔵されているか、 ゲームコンピュータ１４からのビデオ出力ケーブルに接続されている。スクラン ブルされたゲームを所期の形式に変換するために、デスクランブラ７００は、上 述したように、『認証可能なアンロックメッセージAUM』、『認証可能なクレジ ット許可メッセージACAM』又は『認証可能な均一料金要求メッセージAFRM』によ って動作可能にされなければならない。例を挙げて実例的態様の動作を以下に説 明する。 コンピュータゲームに関連付けられたデータと命令は、スプライトと呼ばれる ゲームキャラクターデータと同様に、典型的に、背景要素を含んでいる。特定の ゲームは、多数の異なるレベルを表す多数の異なる背景を有することができる。 背景の一例は、木、植物、 川、岩などを示すジャングルシーンである。プレイヤーが制御するゲームキャラ クターは、遭遇する敵キャラクターとも同様に、ゲーム背景内で可動なスプライ トによって普通は表現されている。この背景はスプライトが相対移動する地図と 類似しているかもしれない。この「ゲームデータ」は、CPU２７が実行するソフ トウェアコードと混同してはならない。ここにおけるゲームデータとは、ビデオ 出力の生成に使用され、たとえスクランブル化又は暗号化を問わず、CPU２７が 処理することができる。処理されたゲームデータ可視情報は画素によって構成さ れている。各画素は色とディスプレイに対する関連位置を有する。実例的な画素 参照符(34,15,26)は、画面の底部（水平基準）から34画素上で画面の左側（垂直 基準）から15画素右の（数値26によって表示された）青色に相当する。この情報 はゲームカートリッジのリードオンリーメモリにストアされる。通常、ゲームプ ログラム２６は、CPU２７が実行し、適当な手段によってビデオ信号（RF形式） に変換されて、TVなどの表示装置に送信される。この実施例では、ビデオ信号は 変更された特徴を有しており、それは出力ビデオ信号が所期の形式でリアルゲー ムを表わすようにデスクランブラ７００に印加されなければならない。スクラン ブル処理においては、画素データは所期の形式を表さないようにアルゴリズムに より操作できる。所期の画素(34,15,26)は、(12,02,68)に変形することができる 。変形された画素データはゲームカートリッジにストアされて、処理の際には、 介在するデスクランブル処理がなしTVに表示されれば、プレイヤーには理解でき ないようになる。デスクランブラ７００は、適当な認証可能なアンロックメッセ ージAUMで動作可能になると、(12,02,68)を所期の形式である(34,15,26)に戻す ように変換するためにビデオ信号上で動作する。スクランブル及びデスクランブ ル処理はアルゴリズム／逆アルゴリズムの組、及び／又は、ここで説明する暗号 認証プロトコルを利用することができる。例えば、(12,02,68)の値は、秘密キー で(34,15,26)を暗号化することによって入手することができ、事後的にデスクラ ンブラ７００内で公開キーにより認証される。デスクランブラ７００は、終了日 後、又は、適当な『認証可能なアンロックメッセージAUM』、 『認証可能なクレジット許可メッセージＡCAM』若しくは『認証可能な均一料金 要求メッセージAFRM』を受け取る前には、ビデオ信号をデスクランブルするよう には動作しない。 ゲームプレイの結果としての褒賞ポイントは、フリークエントフライヤー褒賞 プログラムと同様の方法で貯めることができる。これに関連して、プレイされた ゲーム毎又はプレイ時間単位で１以上の褒賞ポイントが発生する。プレイヤーは 、例えば、特定のゲームで各百万点のスコアごとに１褒賞ポイントなど、ゲーム のある結果の達成に対するポイントを貯めることもできる。所与のゲームプログ ラム２６に関連付けられた褒賞ポイント引換命令は、機密保護なしのデータ源７ ０４のそのプログラムに対して『ソフトウェア制御ブロック』７０６又は『機密 保護がなされているソフトウェアコンポーネント』７１０に存在することができ 、又は、メータの不揮発性メモリ５０６に永久にストアされることができる。プ レイ中、メータ５０２は褒賞ポイントを追跡してかかるポイントを不揮発性メモ リ５０６内の褒賞ポイントデータベースにストアする。褒賞ポイントを引換える には、プレイヤーは、『IDメータ』又は秘密コンピュータ又はソフトウェアIDで あるSSCID、プレイヤーのPINその他の識別子、引換要求対象であるポイント数、 及び、現在の日付／時間を含む『認証可能なポイント引換メッセージ(Authentic atable Point Redemption Message)APRM』を生成するようにメータ５０２に命令 する『褒賞ポイント引換』機能を要求する。このAPRMは、SSCID及び／又はメー タの秘密キーでありSKメータにより、暗号化することができる。中央コンピュー タ１２は、『認証可能なポイント引換メッセージAPRM』を読み出して認証し、プ レイヤーの褒賞ポイント残高を適正な数だけ増加させる。これらの褒賞ポイント は後で商品やギフトを購入するのに利用され、その購入は必要があれば追加的支 払いを伴ってもよい。 例示的な実施例においては、使用別払い処理に使用されるクレジットは、プレ イヤーが他のプレイヤーのゲームコンピュータ１４でプレイするためにクレジッ トを持ってくることができるように、ゲームコンピュータ１４間で（即ち、送り 側ゲームコンピュータ１４ から行き先ゲームコンピュータ１４まで）転送可能である。これは、メータ５０ ２に関連付けられた『クレジット転送』機能を要求することによって実行するこ とができる。メータ５０２は、プレイヤーの同一性を確認するために、プレイヤ ーにPIN、『課金口座番号』その他の識別子を促す。この応答がメータ５０２の メモリにストアされたデータと一致すれば、処理は、プレイヤーが、行き先ゲー ムコンピュータ１４のゲームコンピュータID番号又は公開キー『PK Comp』、及 び／又は、行き先ゲームコンピュータ１４に関連付けられたメータ５０２の『ID メータ』又は公開キー『PKメータ』を入力することによって進行する。その後、 送り側メータ５０２は、行き先ゲームコンピュータ１４／メータ５０２システム で使用に供する『制限時間』又は『制限費用』と、PINその他のプレイヤー識別 子と、行き先ゲームコンピュータ１４のゲームコンピュータID番号と、及び、送 り側メータ５０２又は送り側ゲームコンピュータ１４のクロック３６に関連付け られたクロック５１２からの現在の日付／時間とを組み込んだ『認証可能な転送 メッセージ(Authenticatable Transfer Message)ATRM』を生成する。このメッセ ージは、行き先ゲームコンピュータ１４の公開キー『PK Comp』又は行き先コン ピュータ１４に関連付けられた行き先メータ５０２の公開キー『PKメータ』によ り暗号化されて署名される。その後、送り側メータ５０２は不揮発性メモリ５０ ６内のクレジット残高を対応する要求額だけ減らす。プレイヤーは、『認証可能 な転送メッセージATRM』を書き出すか印字し(若しくは、それをフロッピーディ スクやPCMCIAカードなどの携帯用データメモリ媒体にダウンロードし)、行き先 ゲームコンピュータ１４に関連付けられた行き先メータ５０２にそれを入力する 。行き先ゲームコンピュータ１４に関連付けられた行き先メータ５０２は、例え ば、（ATRMが行き先メータの公開キー『PKメータ』で暗号化されていれば）ATRM を行き先メータのプライベートキー『PRメータ』により、若しくは、（ATRMが行 き先コンピュータの公開キー『PK Comp』で暗号化されていれば）行き先コンピ ュータのプライベートキー『PRK Comp』により解読することによって、上述の暗 号プロトコルに従い『認証可能な転送メッセージ ATRM』を読み出して認証し、日付／時間をメモリにストアして、その『認証可能 な転送メッセージATRM』が以前に使用されたかどうかを決定するためにその日付 ／時間を以前のメッセージと比較する。『認証可能な転送メッセージ』が認証さ れてクレジット転送が許可されると、転送クレジットは、行き先ゲームコンピュ ータ１４の行き先メータ５０２が生成した「ゲスト口座」に加えられる。プレイヤ ーは、『認証可能な転送メッセージATRM』に組み込まれた自分のPINその他の識 別子を入力することによって、これらのクレジットを使用する。その後、メータ ５０２は上述したようにゲームプレイを可能にする。もしプレイ後にクレジット 残高があれば、行き先メータ５０２は、返還されたクレジット数、『制限費用』 及び／又は『制限時間』、プレイヤーのPIN、送り側ゲームコンピュータID番号 又は送り側『IDメータ』、及び、現在の日付／時間を含む『認証可能な残高返還 メッセージ(Authenticable Balance Return Message)ABRM』を生成する。ABRMは 行き先ゲームコンピュータ１４に関連付けられたメータ５０２のプライベートキ ー『PRKメータ』により、又は、行き先ゲームコンピュータ１４に関連付けられ たプライベートキー『PRK Comp』により署名することができる。同時発生的にゲ スト口座は消去される。プレイヤーは、『認証可能な残高返還メッセージABRM』 を送り側ゲームコンピュータ１４又はゲームコンピュータ１４も関連付けられた メータ５０２に入力し、もしメータ５０２がABRMを、例えば、そのABRMを行き先 ゲームコンピュータの公開キー『PRKメータ』又は『PRK Comp』で解読すること によって認証すれば、それはクレジットを送り側メータ５０２のプレイヤーのク レジット残高に加える。 プレイヤーは、中央コンピュータ１２を介して他のプレイヤーのコンピュータ でゲスト口座を準備することができる。これに関して、プレイヤーは他のゲーム コンピュータ１４にゲスト口座を要求することができる。メータ５０２は、『認 証可能なゲストメッセージ(Authenticatable Giest message)AGM』を行き先ゲー ムコンピュータ１４で表示する。かかるメッセージは、行き先ゲームコンピュー タ１４のSSCID、プレイヤーのPINその他の識 別子、及び、現在の日付／時間を含んでいる。このメッセージは、中央コンピュ ータ１２からの公開キー『PK CC』により暗号化することができる。その後、プ レイヤーは、中央コンピュータ１２に電話をして、要求クレジット数とクレジッ トカード番号の他の支払準備の命令を伴って、『認証可能なゲストメッセージAG M』を入力するように促される。中央コンピュータ１２は、暗号／解読モジュー ル５２により『認証可能なゲストメッセージAGM』を認証し、行き先ゲームコン ピュータのSSCID、要求されたクレジット数、及び、現在の日付／時間を含む『 認識可能なゲストクレジットメッセージ(Authenticatable Guest Credit Messag e)AGCM』を返信用に生成する。このメッセージは、行き先ゲームコンピュータ１ ４のSSCIDによって暗号化することができる。行き先ゲームコンピュータ１４に 関連付けられたメータ５０２は、その後、『認識可能なゲストクレジットメッセ ージAGCM』を認証して、上述したように、ゲスト口座に転送されたクレジットを 加える。 上記の実施例は、ゲームコンピュータ１４のー部又は（例えば、PCMCIAカード などにより）関連付けられたメータ５０２を利用しているが、不正操作防止型の ゲーム制御装置８００内の構成要素を図２８に概括的に示すように組み込むこと は可能である。ある例示的な種類のゲーム制御装置は、ゲームキャラタターの移 動を制御するためにプレイヤーの移動がゲームコンピュータ１４に伝達されるジ ョイスティックである。これにより、現存するゲームコンピュータ１４との後方 互換性が確保できる。ゲーム制御装置８００は、上述したメータの構成要素に加 えて、当業界で公知なように、ゲームコンピュータ１４に関連付けられた入力イ ンターフェースを介して交信するジョイスティックやボタンなどの入力制御を動 作可能にするハードウェアを更に含んでいる。ゲーム制御装置５０４は、NTSC( ヨーロッパではPAL)ビデオ信号を受信するビデオ入力インターフェースも含んで いる。ビデオ出力インターフェースはビデオ信号をTVに送信する。ゲームコント ローラは、詳細に上述したように『認証可能な結果メッセージ』を生成するして 結果情報を引き出すためにビデオ画面からデータを認識するメモリにプログラム を含んでいる。また、ゲーム制 御装置メモリは、一意的な制御装置秘密通し番号CSSN、乱数発生器プログラム、 及びメータプログラム命令をストアしている。上述したように、暗号／解読モジ ュール２８によって実行される暗号／解読機能は本実施例のメータの一部である 。この点、制御装置メモリは、関連づけられた公開及びプライベート暗号化キー と、ハードウェアメーカーに関連付けられた公開暗号化キーとをストアしている 。ゲームソフトウェア１５は、別のソース、制御装置８００の公開キー及び乱数 発生用コードを含んでいるか、そこから読み出すことができる。このコードは、 ゲームジーニーなどの中間装置の動作をより問題があるようにするために混乱さ せられる。例示的な筋書においては、プレイヤーは、上述したように、『認証可 能なアンロックメッセージAUM』を購入し、ゲーム制御装置８００にそれを入力 する。ゲーム制御装置CPUは、乱数発生器プログラム命令の下で乱数Ｒ１とプレ イを許可する『認証可能なプレイ動作可能メッセージ(Authenticatable Play En able Message)APEM』を生成する。このAPEMは、制御装置秘密通し番号CSSNを含 んでおり、ゲーム制御装置のプライベートキーにより暗号化することができる。 その後、APEMは、上述したように、ゲームコンピュータ１４のCPU２７又はデス クランブラ５００に送信される。ゲーム制御装置８００は、ゲーム制御装置の公 開キー及びゲーム制御装置秘密通し番号CSSNをハードウェアメーカーのプライベ ートキーにより署名する。後者は公開キー認定書として知られている。これによ り、ゲームコンピュータ１４は公開キー認定書とゲーム制御装置５０４を認定す ることができる。従って、ゲームコンピュータ１４は、『認証可能なプレイ動作 可能メッセージAPEM』に含まれている制御装置秘密通し番号CSSNがそのゲーム制 御装置に対して正しいことを確認することができる。その後、ゲームコンピュー タ１４は、ゲーム制御装置５０４に乱数Ｒ１と共に送信される第２の乱数Ｒ２を 生成する。ゲーム制御装置５０４は、このＲ１は以前に作成されて『認証可能な プレイ動作可能メッセージAPEM』に含まれているＲ１と一致することを確認し、 Ｒ１とＲ２をゲーム制御装置５０４のプライベートキーで暗号化して、応答プレ イ動作可能メッセージRPEMに含ませる。RPEMは ゲームコンピュータ１４によって読み出され、ゲーム制御装置５０４の公開キー により解読される。次に、Ｒ１及びＲ２は以前に生成された値と比較される。そ れらが一致すれば、ゲーム制御装置５０４は認証され、それは上記のプロトコル に従ってゲームプレイを行うのに使用することができる。 本発明は最も実用的かつ好ましい実施例であると考えられたものについて説明 されて図示された。しかし、その変形は可能であり、当業者が自明な変形をする ことは明らかである。 用語集 認証：送り手の同一性及び又はメッセージの保全性を確認する処理である。 認証可能な残高返還メッセージ(ABRM)：行き先ゲームコンピュータによって生成 された認証可能なメッセージであり、プレイヤーば未使用のクレジットをゲスト 口座から送り側ゲームコンピュータに返還することを可能にする。メッセージは 送り側ゲームコンピュータの秘密通し番号と、返還するクレジット数と、プレイ ヤーのPINと、現在の日付／時間とを含むことができる。 認証可能な呼掛けメッセージ(ACM)：暗号化された応答メッセージを生成するよ うにゲームソフトウェアに命令する呼掛け／応答プロトコルに使用されるメッセ ージであり、これにより、呼卦け／応答プロトコルが動作可能になり、また、プ レイヤーが登録を求める結果を生ぜしめるゲームをプレイできるようにしたゲー ムソフトウェアからプレイヤーがゲーム結果を入手したこと、又は、それを所有 していることを確認することができる。認証可能なクレジット許可メッセージ(A CAM)：中央コンピュータによって生成され、 追加クレジットをプレイヤーに供給するのに使用される認証可能なメッセージで ある。スッセージは、その新鮮味を確保するために、秘密通し番号と、要求され たクレジット数と、PINと、乱数又は連続番号とを含むことができる。秘密通し 番号は、受け取られたクレジットが一のゲームコンピュータで使用できるだけで あることを確保する。 認証可能なクレジット要求メッセージ(ACRM)：中央コンピュータに対する使用別 払いシステムに使用される迫加クレジット要求としてゲームコンピュータが生成 する認証可能なメッセージである。メッセージは、秘密通し番号と、要求された クレジット数と、PINと、連続番号又は乱数とを含むことができる。乱数又は連 続番号はメッセージの新鮮味を確保するのに使用される。秘密通し番号は、返信 するACAMは多数のゲームコンピュータには使用できないことを確保している。 認証可能な均一料金要求メッセージ(AFRRM)：プレイヤーに特定期間の無制限的 ゲームプレイを提供するゲームコンピュータが生成する認識可能なメッセージで ある。メッセージは、SSCIDと、要求された期間と、プレイヤーPINその他の識別 子と、現在の日付／時間とを含むことができる。 認証可能な均一料金メッセージ(AFRM)：AFRRMに応答して中央コンピュータが生 成した認識可能なメッセージである。メッセージは、SSCIDと、要求された期間 と、プレイヤーのPINその他の識別子と、現在の日付／時間とを含むことができ る。 認証可能なゲストメッセージ(AGM)：この認証可能なメッセージはゲームコンピ ュータが生成し、これによってプレイヤーは送り側コンピュータからクレジット を持ってこなくてもゲスト口座を準備することができる。メッセージは、行き先 ゲームコンピュータの秘 密通し番号と、PINその他のプレオヤーのIDと、現在の日付／時間とを含むこと ができる。 認証可能なゲストクレジットメッセージ(AGCM):この認証可能なメッセージはAGM に応答して中央コンピュータが作成する。メッセージは、行き先ゲームコンピュ ータの秘密通し番号と、要求されたクレジット数と、現在の日付／時間とを含む ことができる。 認証可能な結果メッセージ(AOM)：ゲーム結果（即ち、スコア、終了までの時間 、及び／又はプレイ関連情報など）を認証可能に表現したものであり、ソフトウ ェアIDと、ゲームソフトウェアのハッシュ値と、ゲームソフトウェアが常駐する メモリ媒体の独自の属性と、プレイヤーのPINなどのうち少なくとも一つに依存 し、かつ、それを含むことができる。 認証可能なプレイ動作可能メッセージ(APEM)：ゲームコンピュータのCPUに送信 される認証可能なメッセージで、ゲームプレイを許可する。それは、SSCID、乱 数、又は、APEMを識別するソースを含んでいる。 認証可能なポイント引換メッセージ(APRM):ゲームコンピュータが生成する認証 可能なメッセージであり、これにより、プレイヤーは褒賞ポイントを中央コンピ ュータに転送することができる。メッセージは、SSCIDと、受け取られたポイン ト数と、プレイヤーのPINその他の識別子と、現在の日付／時間とを含むことが できる。 認証可能な応答メッセージ(ARM)：呼卦け／応答プロトコルに使用される認証可 能なメッセージであり、プレイヤーが登録を求める結果を生ぜしめるゲームをプ レイできるようにしたゲームソフトウェアからプレイヤーがゲーム結果を入手し たこと、又は、それを所有していることを確認することができる。 認証可能な開始メッセージ(ASTM):トーナメントプレイの開始を可能にする中央 コンピュータが生成する認証可能なメッセージである。メッセージは、特定又は ランダムな初期設定パラメータをそのトーナメントに対して生成するようなゲー ムソフトウェア命令を含むことができる。また、メッセージは、暗号処理及び／ 又はハンディキャップパラメータに使用される暗号化キー情報を含むことができ る。 認証可能なタイミングメッセージ(ATM)：技術競技の終了までの時間を表す認証 可能なメッセージであり、ソフトウェアIDと、ゲームソフトウェアのハッシュ値 と、ゲームソフトウェアが常駐するメモリ媒体の独自の属性と、プレイヤーのPI Nなどのうち少なくとも一つを含むことができる。 認証可能な転送メッセージ(ATRM):このメッセージはプレイヤーがクレジット残 高をあるゲームコンピュータから別のゲームコンピュータへ転送するのに使用さ れる。このメッセージは秘密通し番号と、PINその他のプレイヤーの識別子と、 現在の日付／時間と、行き先ゲームコンピュータからのゲームコンピュータIDと を含むことができる。行き先コンピュータからのIDにより、プレイヤーは多数の ゲームコンピュータでATMを使用することができない。 認証可能なアンロック要求メッセージ(AURM)：ゲームコンピュータが生成する認 識可能なメッセージであり、これにより、プレイヤーは彼の現在の終了日の延長 が要求することができる。メッセージは、ゲームコンピュータのSSCIDと、要求 された終了日と、乱数とを含むことができる。 識別可能なアンロックメッセージ(AUM)：この認証可能なメッセージは新しい終 了日の 要求に応答して中央コンピュータが生成する。メッセージは、ゲームコンピュー タのSSCIDと、新しい終了日と、AURMで受け取った乱数とを含むことができる。 認証結果確認メッセージ(AOCM)：認証されたゲーム結果（即ち、スコア、終了ま での時間、及び／又は、プレイ関連データ）である。 バイオメトリックス：独立した測定システム（例えば、指紋リーダ、音声認識シ ステム、網膜スキャナなど）を介して所与の個体を一意的に識別するのに使用さ れる処理手続である。 放送開始メッセージ(BSTM)：例えば、テレビ、ラジオなどのマスコミチャンネル を通じてプレイヤー全員に同時放送される開始メッセージである。 中央機関：暗号プロトコルを適用する中央コンピュータを利用するシステムであ り、ゲームプレイ方法が徹底的に公正公平であり、かかるゲームの結果が正確に 報告される、即ち、検出不可能な嘘やいかさまがないことを確保するシステムで ある。 中央コンピュータ：公式トーナメント管理者及び／又はスコアの認証者として機 能するコンピュータ又はコンピュータネットワークである。中央コンピュータは 、内部に一部又は全部のゲームソフトウェアを有してもよいし有しなくてもよい 。中央コンピュータは、−般に、ゲームコンピュータが配置されている遠隔地か ら電話ネットワークを介してアクセスされる。電話ネットワークは、プレイヤー に電話キーパッドを通じて情報を入力することを促す対話型音声応答ユニット(I VRU)を含むことができるし、ゲームコンピュータは直接にモデムを通じて交信す ることもできる。 中央スコアボード：全ての認定スコアうを保持している中央集権化されたデータ ベースである。この情報は、インターネットや主要なオンラインプロバイダーを 介して入手したり、ゲームコンピュータにダウンロードしたり、郵便や電話で入 手することができる。 認定結果：合法的に（公正に）達成されて正確に報告されたものとして中央機関 が認証したゲームのスコア、終了までの時間及び／又はプレイ関連情報である。 呼掛け／応答プロトコル：暗号号プロトコルを使用して結果メッセージを認証す るために中央コンピュータがゲームコンピュータとメッセージを交換する処理で あり、プレイヤーが認定を受けるために提出する結果を生ぜしめるゲームをプレ イできるようにしたゲームソフトウェアからプレイヤーがゲーム結果を入手した こと、又は、それを所有していることを証明することもできる。 チートコード：ゲームソフトウェアに入力されると、これらのコードは、無制限 な武器や無限の命などの特別の恩恵をプレイヤーに与える。典型的にゲームプロ グラマーがそのソフトウェアをテストするのに使用される。「ゴッドコード」と も呼はれる。 チェックディジット：当初のメッセージの単純な関数として生成されたメッセー ジに添付されるディジットである。メッセージの受信者はその機能を繰り返す。 結果がチェックディジットと一致しなければ伝送エラーが生じていることになる 。 古典的なトーナメント：非電子的なトーナメントをいう。古典的なトーナメント は、通常、以下の４つの属性を含む。即ち、1)特定の時に開催される。2)特定の 場所で開催される。3)全競技者に等しく適用される一連のルールの下に開催され る。4)１人以上の審判及 び／又は認可機関の監督の下に開催される。 圧縮：当初の長いデータ列の情報の全て又はほとんどを保持したまま長いデータ 列を短い列に縮めるアルゴリズムを使用するプロトコルである。 制御装置秘密通し番号(CSSN)：ゲーム制御装置を一意的に識別する数である。こ の数は制御装置のROMチップに書き込むことができる。 クレジット：使用別払いシステムにおいて使用される支払い単位である。プレイ ヤーは中央コンピュータからクレジットを購入する。未使用クレジットはゲーム コンピュータのメータにストアされる。 暗号プロトコル：本発明にとって以下のうちの一又はそれ以上を可能にすること を目的とするプロトコルである。 1)結果の合法比、即ち、プレイヤーは結果を単純に作成せず、結果は特 定のゲームをプレイした結果でなければならない。 2)結果の起源、即ち、結果は特定のゲーム、及び／又は、特定のゲーム コンピュータ、及び／又は、ソフトウェアパッケージから生成される。 3)結果の保全性、即ち、結果はいかなる方法においても不正操作又は変 更されていないものである。 4)ソフトウェアの保全性、即ち、ゲームソフトウェアはいかなる方法に おいても不正操作又は変更されていないものである。 5)トーナメントの有効性、即ち、結果はトーナメントの結果として生成 され、練習プレイからは生成されない。 6)１度の使用、即ち、『認証可能な開始メッセージ』は１度だけ使用さ れる。 7)伝送の保全性、即ち、暗号化された結果メッセージに表現されている 結果を伝送中に故意又は偶然に変更することはかかる変更の検出なしにはできな い。 8)否認の不可、即ち、中央コンピュータにスコアを登録したプレイヤー は後日それを否定することはできない。 専用ゲームシステム：セガや任天堂が製造するようなゲームコンソールである。 PCと異なり、その主要な使用はゲームプレイである。 行き先ゲームコンピュータ：これは、ゲスト口座を準備するときに送り側コンピ ュータからクレジット転送を受け取るゲームコンピュータである。 デジタル署名：署名されているメッセージ及び署名した者のプライベートキーの 双方に基づくビットシーケンスであり、受信者が送信者の同一性とメッセージの 保全性の双方を確認するのに使用することができるものである。 部門：トーナメントは、初級者、中級者及び上級者のような異なるプレイヤーグ ループ又は地理的な場所で示されたグループを含むことができる。 暗号化：その実態を隠すような方法でメッセージを記述する処理である。 暗号化キー：暗号プロトコルにおいてメッセージを暗号化するために使用される データ列である。 暗号／解読モジュール：メッセージ及び／又はデータを暗号化し、解読し、認証 するコンピュータプログラム、コードブロック又はハードウェア／ファームウェ アである。 終了日：メータの不揮発性メモリにストアされているデータである。現在の日付 がこの日を過ぎると、ゲームコンピュータ及び／又はゲームソフトウェアは動作 不能になる。代替的に、スクランブル化されたビデオ信号をデスクランブルする デスクランブラ装置が動作不能になる。 参加：トーナメントにプレイする各々別個の機会である。各参加はプレイの複数 ラウンドに対しても認めることができる。幾つかのトーナメントはプレイヤーが 複数回参加することを認めることができる。 参加費用：各参加を購入する費用である。プレイヤーは自分のクレジットカード 番号をトーナメント中央コンピュータに与えることによって支払いをしてもよい 。ゲームソフトウェアの購入にな特定数の参加費用を追加料金なしに含めること ができる。 外部認証装置：暗号／解読モジュールが存在している機密保護がなされている装 置であり、例えば、ナショナル・セミコンダクター社から入手することができる iPowerカードなどである。 外部クロック信号：広範囲に放送される第三者が生成する時間信号である。全地 球的測位システムGPSのように、政府が操作する幾つかの原子時計はかかる信号 を全米に放送する。この外部クロック信号は、特定の受信者に対して向けること も、信号がその受信者の公開キーで暗号化されれば、可能である。 虚偽のスコア：ゲームソフトウェアを変更したり［チートコード」を使用するこ とによって得られたスコアである。 ファームウェア：ストアされた情報を永久に保持するROMその他の装置にストア されたプログラムである。 偽造スコア：プレイヤーが実際にはスコアをでっち上げたり他のプレイヤーから スコアを盗んだりした揚合に、公正なゲームがプレイされて真実のスコアが得ら れたように中央機関を詐欺的に信じさせようとするのに使用される偽のスコアで ある。 ゲームコンピュータ：ゲーム（又はテスト）がプレイされるコンピュータである 。ゲームコンピュータは、（任天堂やセガなどの）ビデオゲームコンソールや、 PC、PDA、硬貨により動作するゲームセンターマシン、(ゲームボーイやゲームギ アなどの)携帯用ゲームユニットであってもよい。 技術系ゲーム：ゲームごと又は一連のゲームに対してその結果が技術によって支 配的に決定されるいかなるゲームも含み、例えば、バックギャモン、ブリッジ、 ポーカーなどがある。技術系ゲームはさいころを使用する場合など運の要素を含 んでいてもよい。 可能性のゲーム：無作為性が結果を決定する鍵又は支配的要素となっているか、 結果が主としてプレイヤーの制御できない又はプレイヤーの重大な影響の範囲外 の外部的な力によって決定されているゲームをいう。 ゲームパラメータ：レベル数、困難性又は可変性などのゲームの属性である。こ れらの パラメータは中央コンピュータが操作され、認証可能な開始メッセージ』を通じ てゲームコンピュータに送信することができる。 ゲームソフトウェア：ゲームコンピュータが実行するコードであり、これによっ て、プレイヤーがゲームをプレイできる。ゲームソフトウェアは、典型的に、カ ートリッジ、CD-ROM、フロッピーディスク、ハードディスクなどに常駐している 。 ゲスト口座：別のプレイヤーのゲームコンピュータで準備される使用別払い形式 のゲームプレイ用の一時的な口座である。この口座は、ゲームコンピュータのメ ータによって管理される。 ハンディキャップ装置：あるプレイヤーが明らかに上手である接戦型ゲームは、 弱いプレイヤーにより多くの命や弾薬などを与える所期設定変数を使用すること によって、ハンディキャップ化することができる。ハンディキャップ装置は、プ レイヤーの評価やタイトルに基づいてこれらの所期設定変数を作成することがで きる。 ハンディキャップ値：プレイヤーの異なる能力など２つの要素を等しくする数値 方法である。例えば、ゴルフのハンディキャップを４打とする場合である。 ハードウェア点検：ゲームカートリッジなどのハードウェアを最終的な公式発表 前に物理的に点検する処理をいう。特賞が十分大きいトーナメントにおいては、 不正操作検出用内部シールが破損していないことを証明するために、勝利プレイ ヤーに自分のゲームカートリッジを提出することを要求することができる。 ハードウェアの機密保護：プログラム又は結果に対する不正操作防止及び／又は 偽造対抗の水準を与える特定の要素又は構造を使用することをいう。 ハッシュ関数：（通常一連のディジットである）入力列を取り出してそれを、通 常はより小さい固定された大きさの出力列に変換（「ハッシュ」という。）する関 数をいう。目的は、結果ハッシュ関数値が唯一の入力列を表現できる可能性力俳 常に高いように、入力列を「識別する(指紋づけする)」ことである。入力列を１ ビット変更すれば異なるハッシュ値が生まれる。 ハッシュ値：ハッシュ関数を入力列に適用した後に得られるデータの結果列（指 紋）である。 スピード賞：他の関連ゲームや他の競技者に生じ得る事情を考慮せずに結果の達 成に対して授与される賞である。ゴルフトーナメントのプレイヤーは、あるホー ルでホールインワンを出せば、トーナメント全体における彼又は彼女の順位を考 慮せずに、例えば、5,000ドル受け取る権利を有する。 内部クロック：ゲーム又はコンピュータシステムの中に含まれるクロックである 。 IVRU：『対話型音声応答ユニット』は、ユーザーがプロンプトを選択してプッシ ュホンキーパッドから又はIVRUソフトウェアが認識できる音声命令によってデー タを入力するように電話に結合されたコンピュータシステムである。 キーカード：暗号化キーの機密裡の生成に使用されるスマートカードである。各 カード は一意的に構成することができ、カードのキーを使用して暗号化されたメッセー ジを中央コンピュータは解読することができる。 リーグプレイ：試合が一定間隔で予定されているチームプレイである。 メモリー媒体署名：特定メモリ媒体の固有の特性に基づいており、容易には複製 できない一意的で読み込み可能な一連のデータである。 不揮発性メモリ：メモリの内容を維持するのに何ら電源供給を要しないROM、ハ ードディスク、フロッピーディスク、光ディスクなどを含むデータ記憶装置媒体 である。 オフライン：コンピュータが（例えば、モデムを介して）他のコンピュータ又は 外部ソースと接続されておらず、また、いかなる電磁気的外部信号（例えば、RF 信号）をもそれらから受け取っていない場合をいう。 一方向関数：比較的計算が容易であるが逆転させたり元に戻すことは非常に難し い関数をいう。例えば、２つのＸ桁の番号を掛け合わせてＹ桁の結果を作ること は容易である。しかし、Ｙ桁の番号を取り出してどの２つのＸ桁の番号がＹ桁の 番号を作成するために掛け合わされたかを考えるのは大変困難である。 一方向ハッシュ関数：同様に一方向であるハッシュ関数をいう。入力列からハッ シュ値を計算することは容易であるが特定値をハッシュする列を生成するのは難 しい。一方向ハッシュ関数は、圧縮関数、短縮関数(contraction function)、メ ッセージダイジェスト(message digests)、指紋、暗号チェックサム(cryptograp hic checksums)、データ保全性チェック(data integrity checks:DIC)、不正操作倹出コード(manipulation detection codes:M DC)、メッセージ認証コード(MAC)、及び、データ認証コード(DAC)としても知ら れている キー付き一方向ハッシュ：入力列と特定キー列の双方の使用を要する一方向ハッ シュ関数である。（「キー」は秘密である追加入力列である。）キーを有する者の みがハッシュ値を計算することができ、即ち、ハッシュ値はそのキーで暗号化さ れる。 オンライン：コンピュータが他のコンピュータと接続又はそこから信号を受信し ている場合をいう。典型例は、ローカルエリアネットワークのPCSであり、PCSは モデムや電話回線又は中央電話スイッチに無線ネットワークで接続された携帯電 話によりインターネットに接続されている。 オンラインプロクタ：トーナメントゲームがゲームのルールに従った方式で進行 していることを継続的かつ断続的に確認することを目的とするウェブサイト又は サービスへオンライン接続することである。ゲームを管理しているソフトウェア コートが変更されていないことを確認するためにこれは一時的な接続を含んでい てもよい。自動プレイシステムの使用を防止するために、プレイヤーに無作為か つ単純な質問（例えば、あなたのミドルネームは何ですか）を投げかけることも できる。 結果：ゲームプレイの全て又は一部の結果であるスコア、終了までの時間、及び ／又はプレイ関連情報をいう。プレイ関連データは、ゲームソフトウェアが決定 するように、特別統計情報を含むことができ、プレイ関連データは中央コンピュ ータが統計情報を編集するのに使用することができる。代替的に、結果は、ゲー ム全体の全ゲームデータからなってもよい。即ち、この場合、プレイヤーの全て の行為、応答、移動などを含むゲーム全体 がメモリに記録される。 結果メッセージ：結果データゲームソフトウェアと中央コンピュータ間で交換さ れる結果のデータである。 公開キー認定書：信用された機関によって署名された公開キーである。 プレミアム：賞金以タトの賞であり、例えば、Ｔシャツ、コーヒーマグカップ、 ポスター、認定書などをいう。 前払いによるトーナメント参加：トーナメント開始日前に参加費用が支払われた トーナメント参加である。 賞：トーナメントの結果に関連付けられた賞品又は賞金である。典型的に、プレ イヤーはトーナメントにおける成績に関連して賞を獲得する。賞金は小切手、電 子基金振替、ディジタルキャッシュ又はクレジットカードを介して支払われる。 賞は、将来のゲームプレイに対するクレジット形式をとることもできるし、表彰 などの実質的褒賞ではないものであってもよい。 資格ポイント：所与の順位に対して獲得されるポイントをいう。例えば、ブリッ ジプレイヤーは、トーナメントに勝つとマスターポイントを受け取る。 順位：認定スコアの階層的な位置（一位、２２５位など）をいう。階層は競技者 全員を基礎とすることもできるし、ある同意したグループ又は制限に限定するこ ともできる(例 えば、その州で４位、高校で６位など)。 評価：通常所定期間内に達成された一以上の認定スコアを基礎にプレイヤーに割 り当てられた値である。チェスの評価は、1,825などの３又は４桁の番号で表現 される。評価は成績に基づいており、他人に対する相対位置（順位）ではない。 従って、２人のプレイヤーが各々同一のチェス評価を有することができる。 認可機関：トーナメントに使用される方針や手続について監督責任を有する機関 である。 セーブ／再開コード：プレイヤーがゲームを一時的に中断することを許容するコ ードであって、再開コードがゲームソフトウェアに入力されるまでその行為を凍 結するものである。 機密保護がなされている周辺：不正操作防止型又は不正操作検出型であるハード ウェアの定義された物理的領域であり、システムの機密保護を維持するために特 徴が変更禁止であるデータ又はアルゴリズムが常駐している。 「自己始動型」トーナメント：トーナメントディレクターが許容できる時間枠を 設定しているものの、プレイヤーが競技する要素がプレイヤーによって制御され ているトーナメントである。何週間も解くのに時間がかかることが期待されてい るパズルを解くトーナメントにおいては、プレイヤーは、その開始時が所定のト ーナメントの開始日よりも後である限り、望むときに開始することができる。 ソフトウェアID番号:ゲームソフトウェアの特定の複写を一意的に識別するゲー ムソフ トウェアに組み込まれた一意性のあるID番号であって、検出不可能な方法で変更 することが困難であるものをいう。 ソフトウェア登録処理：プレイヤーが、ゲームソフトウェアの複写を識別する通 し番号SSNと個人情報を中央機関に返送する処理である。各ゲームソフトウェア の複写は、偽造が困難でありそれに関連付けられた特別のホログラム及び／又は 通し番号SSNを有する登録カードを利用することができる。 ソフトウェアの機密保持：ゲームソフトウェアの保全性を確保するためにハッシ ュ関数等の暗号技術を利用することをいう。 ソフトウェア通し番号SSN：ゲームソフトウェアの各複写に関連付けられた容易 に確認可能な（即ち、既知の）ID番号である。ゲームソフトウェア内に含まれて おり、既知ではなくプレイヤーは容易にアクセスすることができないソフトウェ アIDと混同してはならない。 送り側ゲームコンピュータ：これは、ゲスト口座を準備する場合に、行き先ゲー ムコンピュータにクレジットを送るゲームコンピュータである。 スプライト：ゲームキャラクターのビデオ表現である。プレイヤーはゲーム制御 装置でスプライトを動かす。 開始メッセージ：トーナメントゲームを動作可能にする中央コンピュータからゲ ームコンピュータに送信されるメッセージである。 提出：プレイヤーがゲーム結果を中央コンピュータに送信する処理である。 購読費：プレイヤーがある数のトーナメント参加ができる月間又は年間の費用を いう。 不正操作防止型の：所期の目的から変更又は変形することが困難であるハードウ ェア又はソフトウェアをいう。ある状況では、かかるハードウェア又はソフトウ ェアを変更しようとすればそのハードウェア又はソフトウェアは動作不能になる 。他の状況では、不正操作は暗号テストによって検出可能である。 不正操作検出型の：点検又は質問により、所期の目的又はストアされたデータの 変形又は変更を企図又は成功した証拠を示すハードウェア又はソフトウェアをい う。 タイブレーカー：接戦型プレイオフの代わりに、同一スコアのプレイヤーに順位 をつけるのに使用される最終スコア以外の二次結果をいう。例えば、コンピュー タ化されたゴルフトーナメントはスコアに基づいて勝利者を決定し、もしスコア が同点であれば、パット数の少ない方などのプレイ関連情報により優劣を決する 。そして、もしプレイヤーが更にタイ（引分け）であれば、ドライバーの飛距離 の長いほうが基準になる。タイブレークは、例えば、キーの打数やマウスのクリ ック回数を基準にすることができる。 タイムスタンプ：現在の時間及び／又は日付をメッセージに添付する機密保護が なされたタイミングプロトコルをいう。タイムスタンプは、中央コンピュータな どの機密保護がなされている装置やディジタルタイムスタンプサービスなどの信 頼された第三者によりなすことができる。 タイトル：所与の範囲内の評価は、所定範囲に基づいてその保持者に［順位」又 は栄誉のあるタイトルの資格を与える。従って、チェスの「エキスパート」は2, 000乃至2,200の評価を受けており、空手の黒帯は熟達の評価基準を満たしている 者である。あるタイトルの達成は数値的スコアに基づく必要は必ずしもないが、 終了レベル数や倒した敵の数などあるプレイ関連情報に基づく必要がある。 トークン：以下の一又はそれ以上に使用される不正操作防止型及び／又は不正操 作検出型の携帯用装置（例えば、iPower)をいう。 1)秘密又はプライベートキーのストア 2)ランダムディジットのストア 3)メッセージの暗号化及び／又は解読 4)メッセージの署名及び／又は確認 トーナメント：プレイヤーが、一人又はチームで、賞及び／又は順位をかけて戦 う競技をいう。 トーナメントID番号：一意的にトーナメントを識別する番号である。 伝送エラーチェックモジュール：入力メッセージのチェックディジットを調べて 伝送エラーが発生しなかったことを確認するコンピュータプログラム又はコード ブロックをいう。トーナメントの種類‐異なる種類のトーナメントは多く存在す る。以下にありふれた変形例を幾つか示す。 スコア型トーナメントにおいては、プレイヤーはゲーム（及び／又はクロック ）に対してプレイし、最高のスコアを出せば勝てる。ゴルフやボーリング若しく はデュプリケートブリッジは、古典的なスコア型トーナメントである。 接戦型トーナメントにおいては、プレイヤーはゲームに対する代わりに互いに 対戦する。ボクシングやテニスは古典的な接戦型トーナメントである。これらの トーナメントは本質的に個人間関係のものである。 パズル型トーナメントにおいては、プレイヤーはパズルを解くことを競い、時 間で順位がつけられたり、競技で最初に終了したものが勝ったりする。クロスワ ードパズルトーナメントはこの好例であろう。 才能型競技は別の種類のトーナメントである。主観的な要素を通常含まないス コア型トーナメントと異なり、才能型競技は主観的要素に基づいて成績と受賞ス コアを評価する審判を利用する。体操トーナメントはこの一例である。 決勝型競技は接戦型トーナメントの一形式であり、競技者フィールドで測定さ れた最速時間が勝利の決定因子である。カーレースや１００ヤード走は最初にゴ ールした者がタイムに関係なく勝つ。 予想型競技は、フットボールシーズン勝者を予想したり、ある将来の時点にお ける様々な財政指標を予想するなど、−連の予想の正確性を比較するものである 。ロトなどのロタリー（宝くじ）ゲームは非技術系の予想型トーナメントである と考えられている。 全ての種類のトーナメントは単一プレイヤーか複数プレイヤー（チーム）であ ることに留意しなければならない。 揮発性メモリ：電源供給が中断されればストアされた全データは失われるRAMな どのメモリ媒体をいう。 ウェブサイト：ワールドワイドウェブ(World Wide Web)を介してアクセスするこ とができるインターネットに接続されたいかなるコンピュータをも含む。 産業上の利用分野 上述の詳細な説明について、本発明は以下の一又はそれ以上のシステムを作成 するのに使用することができるのは明らかである。 ‐プレイヤーが実質的にゲームコンピュータにアクセスできるいかなる場所（例 えば、自宅）からも、ゲームプレイ中にゲームコンピュータと中央コンピュータ とをオンライン接続せずに、参加することができる地理的に拡散したトーナメン トを可能するシステム。 ‐所ケのトーナメントに関連又は独立して、中央コンピュータによりゲーム結果 を認証することによって、ゲームコンピュータでコンピュータにより生成された 結果を認証して、その結果又は総合結果に基づいて、ゲームの他のプレイヤーに 対するプレイヤーの順位及び評価をつけるシステムであって、これにより、結果 が合法的に達成されて正確に報告されたことを確保するために信頼された第三者 がトーナメントの場所に出席したり又はオンライン接続したりすることを不要に するシステム。 ‐ゲームコンピュータでコンピュータにより管理されたテストのテスト受験者が 中央コンピュータに自分のテストスコアを認定してもらい、他のテスト受験者に 対する順位と評価を受けることを可能にするシステムであって、テストがオンラ インで提供されず、テストソフトウェアがゲームコンピュータに常駐又は関連付 けられているシステム。 ‐ゲームコンピュータ上でプレイヤーのゲーム結果を表す認証可能なメッセージ 及び、特定のゲームソフトウェア又はゲームコンピュータに関連付けられた一意 的な属性又は識別子を生成し、かつ、認証可能なメッセージを暗号プロトコルを 使用して中央コンピュータで認証することによって、各ゲームコンピュータ又は ソフトウェアの一意的な属性又は識別子をストアするデータベースを有する中央 コンピュータを使用することにより、ゲームコンピュータでプレイされたコンピ ュータにより生成されたゲーム結果を認定し、その結果又は総合結果に基づいて かかるゲームのプレイヤーを他のゲームプレイヤーに対して順位づけ及び評価づ けをするシステム。 ‐上述したように、プレイヤーの認定順位及び／又は評価に従って、賞金その他 の賞品若しくは認定のしるしをプレイヤーに与えるシステム。 ‐ゲームコンピュータにおいて、所与のトーナメントと関連又は独立して指定さ れた時間に開始する技術競技の終了までの時間を認定するシステムであって、ゲ ームを終了して自分の終了時間を中央コンピュータに認定してもらった最初の参 加者が勝利者と宣言されるシステムであると共に、参加者が相互に順位づけ及び 評価づけがなされることを可能にするシステム。 ‐ゲーム開始時間は可変であり、プレイヤーは、ゲームコンピュータによって関 連づけら れたクロック又はマスコミ手段を通じて放送される外部クロック信号が決定する ように、ゲームプレイ終了の所要時間の長さによって順位づけされる技術競技ト ーナメントのためのシステムであって、中央コンピュータで時間が認証されて、 最短時間で所与のゲームを終了したプレイヤーが勝利者として宣言されるシステ ム。 ‐中央コンピュータにおいて、プレイヤーがゲームスコアを入手し、これらのス コアはゲームを終了までの所要時間その他のプレイ条件によって調節される技術 行競技型トーナメントにおいて、上述したように、プレイヤーの評価／順位をつ けるシステム。 ‐プレイヤーのグループがチームを形成してチームのスコアが中央コンピュータ で認定されて順位づけされるトーナメントにおいてプレイヤーの評価／順位をつ けるシステム。 ‐プレイヤーがトーナメントにゲームコンピュータて参加するシステムであって 、トーナメントプレイを可能にする開始メッセージは、ゲームコンピュータに読 み出されると共に、ゲームプログラムに対して、プレイヤーの個々の評価その他 のパラメータに基づいて、例えば、困難性、可変性、無作為性などのある特定の 属性その他のプログラム特性により、ゲームパラメータを設定するように命令す る変数を含んでいるシステム。 ‐プレイヤーがトーナメントにゲームコンピュータで参加するシステムであって 、プレイヤーがトーナメントへ参加してプレイしたい時間を決定するシステム。 ‐プレイヤーがトーナメントにゲームコンピュータで参加するシステムであって 、ハードウェアの機密保護及び又は倍号プロトコルがトーナメントの公正と保全 性を確保するのに利用されるシステム。 ‐暗号その他のプロトコルを利用するトーナメントシステムであって、検出不可 能なプレイヤーのすり替えを防止するのために信頼された第三者は必要としない システム。 ‐可能性のコンピュータゲームの結果が中央機関に提出されて暗号その他のプロ トコルを利用して認定されるシステム。 ‐異なる評価と技術レベルを有するビデオゲームプレイヤーが接戦型の試合をプ レイすることができるシステムであって、ゲーム中はプレイ条件がハンディキャ ップコードによって等しくされているシステム。 ‐コンピュータ上で入手されたコンピュータにより生成された結果が、そのコン ピュータによって『認証可能な結果メッセージ』に組み込まれ、後で暗号プロト コルによってそのコンピュータ上で認証されることができるシステム。 ‐システム内のいかなるコンピュータ上でも入手されるコンピュータにより生成 された結果が、そのコンピュータにより『認証可能な結果メッセージ』に組み込 まれ、後で暗号プロトコルによってシステム内の他のいずれのコンピュータ上で 認証することができるシステム。 ‐ゲームコンピュータとTVとの間に配置された装置がビデオ出力信号のデータを 読み出してそのビデオ出力信号からゲーム結果をそのビデオ出力信号から入手し 、その結果を『認証可能な結果メッセージ』に組み込むシステム。 ‐ゲームコンピュータとTVとの間に配置されたVCRと互換性のある装置がビデオ 出力信 号のデータを読み出してそのデータをディジタル形式に変換し、暗号プロトコル によりそのデータを認証可能にし、その認証可能なデータを事後の認証と再生用 にデータメモリ媒体にストアするシステム。 ‐ビデオ型ゲームセンタープレイを家庭のゲームコンピュータで可能にする使用 別払いシステム。 ‐ゲームコンピュータ及び／又はゲームソフトウェアの暗号プロトコルにより時 間依存型動作不能を可能にする使用別払いシステム。 ‐上記事項を現存のゲームコンソール型ゲームコンピュータにより実行する多機 能型ゲーム制御装置。 一般に、本出願は、ゲームコンピュータでプレイされたコンピュータにより生 成されたゲームの結果を認証し、それらの結果を正確に報告されて公正に達成さ れたことを認定する。本システムは、トーナメントに関連又は独立に、かかる認 定を提供する。本システムは、ある実施例において、複数のゲームコンピュータ を含んでいる。ここで、各ゲームコンピュータは、関連メモリと、関連メモリの プログラムを実行する処理装置とを含んでいる。「関連メモリ」という用語は、 ハードディスクドライブ、CD-ROMドライブ、フロッピーディスクドライブ、ゲー ムカートリッジなどの外部装置と同様に、ゲームコンピュータ内部のリードオン リメモリROMとリードライトメモリRAMを含むことを意図している。このメモリは 一般に機密保護がなされておらず、機密保護なしのデータ源とも呼ぶことができ る。ゲームコンピュータは、処理装置によって実行される少なくとも一のゲーム プログラムを含むゲームソフトウェアを備えており、これによって、プレイヤー はゲーム コンピュータでゲームをプレイすることができる。ゲームは、技術系ゲーム、技 術競技、可能性のゲーム、結果が不確定である将来の出来事の予想などからなる ことができる。技術系ゲームでは、ゲームはゲームプレイの結末たる結果を有し ている。ここで、結果はゲームの−連の結果全体として定義され、スコア、終了 までの時間、ゲーム自体に関連する全データ、及び、いかなるプレイ関連データ をも含んでいる。本発明では、ゲーム結果は『認証可能な結果メッセージAOM』 に組み込まれて、同一のゲームコンピュータ自身、他のいかなるゲームコンピュ ータ、又は、中央コンピュータによって、事後的に認証される。ここで説明する ある実施例においては、認証処理は、結果の認証だけでなく、結果が正確に報告 され公正に達成されたものとして認定も行う。 また、一般に、本出願は、ゲームコンピュータの処理装置と動作的に関連付け られている認証可能なメッセージを生成して認証する認証手段を提供する。認証 手段は、暗号プロトコルを利用する暗号／解読モジュールとしてここで呼ばれて いるものを含んでいる。暗号／解読モジュールは、ゲームコンピュータの関連メ モリ内に配置されたゲームソフトウェア又はゲームコンピュータ内に配置された 専用ファームウェアの一部としてもよい。しかし、好ましくは、暗号／解読モジ ュールは機密保護がなされている周辺又は機密保護がなされているトークンに存 在する。『認証可能な結果メッセージ』は、ゲームソフトウェアがプレイヤーに よって不正操作されたかどうかを示すデータを含むことができる。このデータは 、暗号プロトコルを使用して生成され、チェックされ、確認される。ゲームソフ トウェアに又はゲームコンピュータにいかさまを施さずに達成したと決定された 認証された結果は認定される。暗号／解読モジュールによって生成された『認証 可能な結果メッセージ』は、同一のゲームコンピュータ、暗号／解読モジュール を有する他のいかなるゲームコンピュータ、又は、中央コンピュータがある中央 機関によって、事後的に認証される。 本出願の中央コンピュータは、関連メモリ、中央コンピュータ関連メモリのプ ログラムを実行する処理装置、及び、認証可能なメッセージを生成して認証する 中央コンピュータ の処理装置と動作的に関連付けられた中央コンピュータ認証手段を有することが できる。中央コンピュータ認証手段は、認証要求に応答して『認証可能な結果メ ッセージ』を認証してゲーム結果を認証するように動作することができる。結果 に添付されたデータをチェックすることによって、中央コンピュータは、プレイ ヤーがゲームソフトウェアに「いかさまを施す」ことによって結果を得たかどう かを確認する。中央コンピュータは、スコアの認定してトーナメントを管理する 複数の関係データベースを含むことができる。 中央コンピュータが結果を認定してトーナメントを管理するのに使用される場 合、ゲームコンピュータと中央コンピュータとの間の交信は、電話ネットワーク を介して送信することができる。電話ネットワークは人間オペレータによる交信 を可能にするかもしれないが、好ましくは『対話型音声応答ユニットIVRU』に結 合される。IVRUは、プレイヤーに対して、トーナメント登録及び／又は『認証可 能な結果メッセージ』に具体化された認証用結果の提出に関連して、要求された 情報を入力するよう促すのに使用される。代替的に、ゲームコンピュータは、登 録データと『認証可能な結果メッセージ』を送信するために、中央コンピュータ へのオンライン接続を設定することができる。オンライン接続は、商業用オンラ インサービスプロバイダー、インターネット、ワールドワイドウェブ、電子掲示 板システムを含むデータネットワークを通じて、又は、RF、ケーブルTV、衛星リ ンクなどを通じて、行うことができる。 本発明の別の側面は、ゲームコンピュータ又はゲームコンピュータで実行され るゲームプログラムの使用別払いを提供している。使用別払い型システムはゲー ムコンピュータと交信し、中央コンピュータから許可によりゲームコンピュータ の動作又はゲームプログラムの実行を可能にするように動作するメータを含んで いる。メータは機密保護がなされている装置であり、機密保護がなされている周 辺に配置されているハードウェアを含んでいるコンピュータであり、上述したよ うに、認証可能なメッセージを生成して認証することができる。好ましい実施例 においては、メータはゲームコンピュータ及び／又はゲームプ ログラムの動作を暗号プロトコルにより制御する。 本出願のシステムにおいては、ゲームコンピュータのオペレーティングシステ ムプログラムとゲームプログラムはメータプログラムと呼ばれている。各メータ プログラムは、『ソフトウェア制御ブロック』と、『機密保護なしのソフトウェ アコンポーネント』と、『機密保護がなされているソフトウェアコンポーネント 』とからなる。最初の実施例においては、メータプログラム全体は、ゲームコン ピュータに関連付けられた機密保護なしのデータ源、即ち、ハードディスクなど に常駐している。『機密保護がなされているソフトウェアコンポーネント』は、 暗号的に機密保護がなされている一連のソフトへウェア命令であり、これは少な くとも一の出力パラメータを作成するためにメータによって解読されメータで実 行される。『機密保護なしのソフトウェアコンポーネント』は、ゲームコンピュ ータ上で後者を実行するために、少なくとも一の出力パラメータに依存している 。『ソフトウェア制御ブロック』は、メータにそれを識別するメータプログラム に関する情報を含んでおり、ある実施例では、メータがそのプログラムの実行費 用を計算することができる。メータは、中央コンピュータからの許可を受けてい る限り、時間又は費用制限形式で、『機密保護がなされているソフトウェアコン ポーネント』を解読して実行する。

───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.⁷ 識別記号 ＦＩ テーマコート゛(参考） // Ｇ０６Ｆ 17/60 ３３２ Ｈ０４Ｌ 9/00 ６７３Ｂ ６０１Ｂ ６７５Ｂ (31)優先権主張番号 ０８／６９４，４６９ (32)優先日 平成８年８月８日(1996．8．8) (33)優先権主張国 米国（ＵＳ） (81)指定国 ＥＰ(ＡＴ，ＢＥ，ＣＨ，ＤＥ， ＤＫ，ＥＳ，ＦＩ，ＦＲ，ＧＢ，ＧＲ，ＩＥ，ＩＴ，Ｌ Ｕ，ＭＣ，ＮＬ，ＰＴ，ＳＥ)，ＯＡ(ＢＦ，ＢＪ，ＣＦ ，ＣＧ，ＣＩ，ＣＭ，ＧＡ，ＧＮ，ＭＬ，ＭＲ，ＮＥ， ＳＮ，ＴＤ，ＴＧ)，ＡＰ(ＫＥ，ＬＳ，ＭＷ，ＳＤ，Ｓ Ｚ，ＵＧ)，ＥＡ(ＡＭ，ＡＺ，ＢＹ，ＫＧ，ＫＺ，ＭＤ ，ＲＵ，ＴＪ，ＴＭ)，ＡＬ，ＡＭ，ＡＴ，ＡＵ，ＡＺ ，ＢＡ，ＢＢ，ＢＧ，ＢＲ，ＢＹ，ＣＡ，ＣＨ，ＣＮ， ＣＵ，ＣＺ，ＤＥ，ＤＫ，ＥＥ，ＥＳ，ＦＩ，ＧＢ，Ｇ Ｅ，ＨＵ，ＩＬ，ＩＳ，ＪＰ，ＫＥ，ＫＧ，ＫＰ，ＫＲ ，ＫＺ，ＬＣ，ＬＫ，ＬＲ，ＬＳ，ＬＴ，ＬＵ，ＬＶ， ＭＤ，ＭＧ，ＭＫ，ＭＮ，ＭＷ，ＭＸ，ＮＯ，ＮＺ，Ｐ Ｌ，ＰＴ，ＲＯ，ＲＵ，ＳＤ，ＳＥ，ＳＧ，ＳＩ，ＳＫ ，ＴＪ，ＴＭ，ＴＲ，ＴＴ，ＵＡ，ＵＧ，ＵＺ，ＶＮ (72)発明者 ジェームズ・ジョラッシュ アメリカ合衆国コネチカット州スタンフォ ード市フォレスト ストリート25番地５Ｇ 号

Claims (1)

1. 【特許請求の範囲】 １． 内部で具体化されている符号化制御コードを有するメモリ装置 と、 コンピュータゲーム結果に対応する符号化されたメッセージを生成して 当該符号化されたメッセージを人間が読むことができる出力装置に送信するため に、前記符号化制御コードを前記コンピュータゲーム結果に関連して処理するよ うに構成され、前記メモリ装置と交信するように配置されている処理装置とを有 するコンピュータ装置。 ２． 前記人間が読むことができる出力装置は表示装置である請求項 １記載のコンピュータ装置。 ３． 前記メモリ装置は、その内部で具体化されているゲームプログ ラム実行コードを更に含み、前記処理装置は、前記コンピュータゲーム結果を生 成するために前記プログラム実行コードを実行する請求項１記載のコンピュータ 装置。 ４． 前記符号化制御コードは暗号プロトコルコードからなる請求項 １記載のコンピュータ装置。 ５． 前記処理装置は第１の処理装置であり、前記コンピュータ装置 は、前記コンピュータゲーム結果を生成するために構成されている第２の処理装 置を更に有する請求項１記載のコンピュータ装置。 ６． 前記第１の処理装置は機密保護がなされている処理装置である 請求項６９記載のコンピュータ装置。 ７． 前記処理装置と前記メモリ装置を含むモジュールを更に有する 請求項１記載のコンピュータ装置。 ８． 前記モジュールは、(a)不正操作検出型モジュールと(b)不正操 作防止型モジュールとからなるグループから選択される請求項７記載のコンピュ ータ装置。 ９． 前記モジュールは、(a)専用コンピュータゲームと(b)パーソナ ルコンピ ュータからなるグループから選択されるコンピュータゲームにプラグインするよ うに構成されている電気コネクタを有するプラグインモジュールである請求項７ 記載のコンピュータ装置。 10． 前記処理装置は、コンピュータゲームプログラム実行コードの ブロックを定期的に検査するように更に構成されている請求項１記載のコンピュ ータ装置。 11． 前記処理装置は、(a)不正操作検出情報、(b)ユーザー同一性情 報、(c)一意的なディジタル署名情報、(d)前記コンピュータ装置の世界的位置に 関する全地球測位情報、(e)中央コンピュータによって生成された乱数、(f)前記 結果が生成された時間に対応する数、(g)前記コンピュータゲームの各結果ごと に増加される数、(h)中央コンピュータから受け取ったエンドパラメータ、(i)対 称的なキー情報、(j)公開キー情報、(k)ハッシュアルゴリズム情報、及び、(l) メーター課金情報からなるグループから選択される付加的な情報を生成して前記 符号化されたメッセージの中に含ませるように更に構成されている請求項１記載 のコンピュータ装置。 12． 前記一意的なディジタル署名メッセージは、秘密ソフトウェア IDメッセージ、秘密コンピュータゲームIDメッセージ、バイオメトリックなユー ザー同一性情報に対応するハッシュ値、及び、バイオメトリックなユーザー同一 性情報に対応する圧縮値からなるグループから選択される情報を含んでいる請求 項11記載のコンピュータ装置。 13． 前記表示装置を更に有する請求項１記載のコンピュータ装置。 14． 内部で具体化されている復号化制御コードとコンピュータゲー ム結果に対応する符号化されたメッセージを有するメモリ装置と、 前記符号化されたメッセージを復号化して前記コンピュータゲーム結果 を示すために前記復号化制御コードを処理するように構成され、前記メモリ装置 と交信するように配置された処理装置とを有するコンピュータ装置。 15． 前記復号化制御コードは、暗号プロトコルコードを含んでいる 請求項14 記載のコンピュータ装置。 16． 前記処理装置は、(a)不正操作検出情報、(b)ユーザー同一性情 報、(c)一意的なディジタル署名情報、(d)前記コンピュータ装置の世界的位置に 関する全地球測位情報、(e)中央コンピュータによって生成された乱数、(f)前記 結果が生成された時間に対応する数、(g)前記コンピュータゲームの各結果ごと に増加される数、(h)中央コンピュータから受け取ったエンドパラメータ、(i)対 称的なキー情報、(j)公開キー情報、(k)ハッシュアルゴリズム情報、及び、(l) メーター課金情報からなるグループから選択される情報を表すために前記復号化 制御コードを処理して前記符号化されたメッセージを復号化するように構成され ている請求項14記載のコンピュータ装置。 17． 前記処理装置は、前記復号化されたメッセージから現れた情報 に基づいて前記コンピュータゲーム結果が詐欺によって得たものであるかどうか を決定するように更に構成されている請求項14記載のコンピュータ装置。 18． 前記メモリ装置は、その内部で具体化されて前記コンピュータ ゲーム結果を生成したプレイヤーの同一性情報を含んでいるIDメッセージを更に 有し、前記処理装置は、前記復号化されたメッセージ及び前記IDメッセージに基 づいて前記コンピュータゲーム結果が詐欺によって得たものであるかどうかを決 定するように構成されている請求項14記載のコンピュータ装置。 19． 前記メモリ装置は、その内部で具体化されている、前記コンピ ュータゲーム結果を生成したプレイヤーに関する登録情報を更に有する請求項14 記載のコンピュータ装置。 20． 前記処理装置は、前記コンピュータゲームの実行を許可するた めに許可信号を生成して少なくとも一のコンピュータゲームのメータに送信する ように構成されている請求項14記載のコンピュータ装置。 21． 前記メモリ装置及び前記処理装置は、複数のコンピュータゲー ム結果に 基づいて複数のコンピュータゲームユーザーを順位づけするように構成されてい る請求項14記載のコンピュータ装置。 22． 前記処理装置及び前記メモリ装置は、コンピュータゲーム結果 の相互認証のために複数の暗号キーを保持して複数のコンピュータゲームに送信 するように構成されている請求項14記載のコンピュータ装置。 23． 前記処理装置及び前記メモリ装置は、複数のコンピュータゲー ムの各々に対して一意的な登録番号を生成、保持及び送信するように構成されて いる請求項14記載のコンピュータ装置。 24． コンピュータゲーム結果を生成するためにコンピュータゲーム プログラムを実行する工程と、 符号化されたメッセージを生成するために前記コンピュータゲーム結果 を符号化する工程と、 前記符号化されたメッセージをユーザーに提供する工程とを有する方法 。 25． 前記ユーザーが前記符号化されたメッセージを当該符号化され たメッセージを復号化するように構成されている装置に与える工程を更に有する 請求項24記載の方法。 26． 前記符号化されたメッセージをユーザーに与える工程は、前記 符号化されたメッセージを前記ユーザーに表示する工程を有する請求項25記載の 方法。 27． コンピュータゲームの結果に対応する符号化されたメッセージ をユーザーから受け取る工程と、前記結果を回復するために前記符号化されたメ ッセージを復号化する工程と、前記復号化されたメッセージを更なる使用のため にストアする工程とを有する方法。 28． 複数のユーザーから各々コンピュータゲームの結果に対応する 複数の符号化されたメッセージを受け取る工程と、 各結果を回復するために前記符号化されたメッセージを復号化する工程 と、 前記結果を順位づけする工程と、 前記結果の順位に基づいて前記複数のユーザーを順位づけする工程とを 有する方法。