WO2004053664A1 - プログラム実行制御装置、ｏｓ、クライアント端末、サーバ、プログラム実行制御システム、プログラム実行制御方法、プログラム実行制御プログラム - Google Patents

Description

プログラム実行制御装置、 o s、 クライアント端末、 サーバ、 プログラム実行制 御システム、 プログラム実行制御方法、 プログラム実行制御プログラム 技術分野

本発明は、 認証された正当なプ明ロダラムのみの実行を許可するプロダラム実行 制御装置、 O S (Operating Systems) 、 クライアント端末、 サーバ、 プロダラ ム実行制御システム、 プログラム実行制御方法、 プログラム実行制御プログラム に関するものである。 食曰 背景技術

近年、 携帯電話や I C (Integrated Circuit) カード等のデバイスは、 無線や 有線でネットワークに接続されており、 電子決済等の電子商取引、 電子申請等、 セキュリティが要求される処理を、 これらのデバイス上で行うことが現実化して きている。 これらのサービスは多種多様であるため、 すべてのサービスに対応す るプログラムを事前にデバイスに保持しておくことは不可能であり、 享受するサ 一ビスに合わせて動的に必要なプログラムだけをデバイスにダウンロードし、 動 作させることが不可欠となる。 ' このような場合には、 セキュリティ上の観点から、 デバイスがあるサービスを 享受している間は、 許可されたプロダラムのみを動作させることを保証すること 、 及ぴ、 デパイス上で動作しているプログラムの一覧が、 サービスを提供するサ ーパ側から確認できることが重要である。 これにより、 許可していないプログラ ムがデパイス上で動作して!/、ることが判明した場合に、 セキュリティ上の理由に より、 サーバ側からサービスをうち切ることが可能となる。 セキュリティに関連 する技術として、 T C P A (Trusted Computing Platform Alliance) 、 O Sの ドライバ署名、 外部からダウンロードして実行するプログラムの認証等がある。

T C P Aは、 特別なセキュリティチップを P C (Personal Computer) や携帯 端末等のクライアント端末に追加することで、 クライアント端末におけるソフト ウェアを含む環境全体の安全性を保証することを目指している。 現状の仕様では

、 一般に B I O S (Basic Input/Output System) 、 ブートプログラム、 O S口 ーダ一、 O Sというようにソフトウェアが順次起動されていくクライアント端末 の起動時に、 以下の処理を行う。

まずクライアント端末において、 B I O S中のコードが、 次に起動するブート プログラムのハッシュ値を算出し、 セキュリティチップ内に格納した後、 ブート プログラムに制御を渡す。 ここでハッシュ値とは、 対象となるプログラムに一方 向性関数を適用して算出された値のことである。 次に、 ブートプログラムが、 〇 Sローダーのハッシュ値を算出し、 同様にセキュリティチップ内に格納した後、 〇Sローダーに制御を渡す。 次に、 〇Sローダーが、 〇Sのハッシュ値を算出し 、 同様にセキュリティチップ内に格納した後、 〇Sに制御を移す。 次に、 クライ アント端末は、 任意のタイミングで発生するサーバ等の外部エンティティからの 要求により、 上記で算出したハッシュ値群をサーバに返答する。

このような処理により、 現在クライアント端末で実行している、 または実行し てしまったプログラムの一覧を、 ハッシュ値という形でサーバ側が知ることがで き、 不正なプログラムがクライアント端末で動作しているかどうかを確認できる 。 不正なプログラムが動作していることが判明した場合には、 サーバが該当する クライアント端末に対するサービスをうち切るといつた制御が可能になる。 また、 O Sの中には、 正当な署名の付与されていないデバイスドライバの組み 込みを拒絶する機能を採用しているものがある。 なお、 正当な署名がなくても、 ユーザが許可すれば組み込みを実行することもできる。

また、 クライアント端末において、 外部からプログラムをダウンロードして実 行する仮想マシンの中には、 正当な署名の付与されていないプログラムの実行を 拒絶するもの、 あるいは、 実行は許可するが、 プログラムの動作に制限を加える という機能を持つものがある。 このような処理により、 不正なドライバの組み込 みや、 不正なプログラムの実行を防ぐことができる。

しかしながら、 T C P Aにおいては、 不正なソフトウェアが動作していること を外部より確認することができても、 動作しないように制御することはできない という問題がある。 また、 T C P Aは O Sの起動までを対象としており、 〇S起 動後のプログラムの起動に対応できていない。

また、 O Sのドライバ署名においては、 署名の検証処理、 および、 検証結果が 否となった場合の組み込み拒絶処理がソフトウェアで実現されているため、 処理 部分を改竄することにより不正なドライバの組み込み防止の機能を無効ィ匕するこ とができてしまうという問題がある。 また、 外部からダウンロードして実行する プログラムの認証においても、 O Sのドライバ署名の場合と同様、 仮想マシンは ソフトウェアであるため、 これを改竄することにより不正なプログラムの拒絶の 機能を無効化することができてしまうという問題がある。

本発明は、 このような問題を解決するためになされたものであり、 デバイス内 に用意する耐タンパなハードウエアが、 事前に安全な手段によってサーバから取 得したプログラムの一覧に記載されたプログラムのみを O Sに渡すことで、 O S によるプログラムの実行を可能とし、 さらに O Sにより実行されているプログラ ムの一覧をハードウエア内に安全に保持し、 サーバからの要求に応じて安全に通 知することができるプログラム実行制御装置、 o s、 クライアント端末、 サーバ

、 プログラム実行制御システム、 プログラム実行制御方法、 プログラム実行制御 プログラムを提供することを目的とする。 発明の開示

本発明は、 予め指定された指定プログラムのみの実行を許可するプログラム実 行制御装置であって、 予め前記指定プログラムに所定の関数を適用して得られる 期待値と前記指定プログラムの識別子とからなる組を少なくとも 1組記憶する期 待値テーブル記憶部と、 入力プログラムと該入力プログラムの識別子とからなる 組を外部から入力することができる入カインタフェースと、 前記入力プロダラム に所定の関数を適用して演算値を得る関数演算部と、 前記期待値テーブル内の期 待値のうち前記入力プログラムの識別子に対応する前記期待値と前記演算値との 比較を行う比較部と、 該比較結果が一致した場合に、 前記入力プログラムを外部 へ出力する出力インタフェースとを備えてなるものである。

このような構成によれば、 ハードウェアであるプロダラム実行制御装置が指定 プログラムであることを確認するための情報を内部に保持するとともに、 入カフ。 口グラムの実行の許可およぴ拒絶の制御を行うことにより、 高いセキュリティレ ベルを保証できる。 なお、 本実施の形態における期待値テーブル記憶部とは期待 値テーブル記憶部 3 6のことであり、 入力インタフェースとは入出力インタフエ ース 3 1のことであり、 関数演算部とは演算ハッシュ値算出部 3 4のことであり 、 比較部とは比較部 3 5のことであり、 出力インタフェースとは入出力インタフ エース 3 1とゲート 3 8のことである。

また、 本発明に係るプログラム実行制御装置において、 前記所定の関数は一方 向性関数であり、 前記期待値および前記演算値はハッシュ値であることを特徴と するものである。

このような構成によれば、 入力プログラムに一方向性関数を適用して算出され るハッシュ値を用いることにより、 指定プログラムである力、否かの判断を高い信 賴性で行うことができる。

また、 本発明に係るプログラム実行制御装置において、 実行中の前記入力プロ グラムの識別子と演算値とからなる組を少なくとも 1組記憶する演算値テーブル 記憶部を備え、 外部からの要求に従って前記入力プログラムの識別子と演算値と 力 らなる組を前記外部へ出力することを特徴とするものである。

このような構成によれば、 現在実行中のプログラムに関する情報を必要に応じ て外部へ出力することにより、 現在実行中のプログラムを外部から確認すること ができる。

また、 本発明は、 本発明に係るプログラム実行制御装置を用いる O Sであって

、 前記プログラム実行制御装置へ前記入力プログラムを入力し、 前記プログラム 実行制御装置から前記入力プログラムを出力された場合に、 前記入力プログラム を実行するものである。

このような構成によれば、 O Sが実行するプログラムが、 指定プログラムであ る力否かの判断をプログラム実行制御装置が行うことにより、 O Sは予め指定さ れた指定プログラムのみを実行することができる。

また、 本発明は、 本発明に係るプログラム実行制御装置を備えたクライアント 端末であって、 外部から入力された前記入力プログラムを前記プログラム実行制 御装置へ入力し、 前記プログラム実行制御装置から前記入力プログラムが出力さ れた場合に、 前記入力プログラムを実行するものである。

このような構成によれば、 クライアント端末が実行するプログラムが、 指定プ ログラムであるか否かの判断をプログラム実行制御装置が行うことにより、 クラ イアント端末は予め指定された指定プログラムのみを実行することができる。 また、 本発明は、 本発明に係るプログラム実行制御装置を備えたクライアント 端末であって、 外部からの要求に従つて前記入力プログラムの識別子と演算値と からなる組を前記外部へ出力するものである。

このような構成によれば、 現在実行中のプログラムに関する情報を必要に応じ て外部へ出力することにより、 現在実行中のプログラムを外部から確認すること ができる。 - また、 本発明は、 本発明に係るクライアント端末とネットワークを介して接続 されることができるサーバであって、 予め前記クライアント端末へ前記指定プ口 グラムの識別子と期待値とからなる組を送信し、 必要に応じて前記クライアント 端末へ前記入力プログラムを送信するものである。

このような構成によれば、 指定プログラムを送信するサーバが指定プログラム に関する情報を予め送信することにより、 実行を許可するプログラムを指定する ことができる。

また、 本発明は、 本発明に係るクライアント端末とネットワークを介して接続 されることができるサーバであって、 前記クライアント端末において実行中のプ ログラムの識別子と演算値とからなる組の要求を前記クライアント端末へ送信し 、 受信した識別子と演算値とからなる組に基づレ、て前記クライアント端末で実行 中の前記入力プログラムを確認するものである。

このような構成によれば、 サーバは、 クライアント端末が指定プログラムを実 行しているか否かを監視することができる。

また、 本発明は、 予め指定された指定プログラムのみの実行を許可するプログ ラム実行制御システムであって、 本発明に係るクライアント端末と、 該クライア ント端末とネットワークを介して接続されることができ、 予め前記クライアント 端末へ前記指定プログラムの期待値と識別子と力 らなる組を送信し、 必要に応じ て前記クライアント端末へ前記入力プログラムを送信するサーバとを備えてなる ものである。

このような構成によれば、 指定プログラムを送信するサーバが指定プログラム に関する情報を予め送信することにより、 サーバは実行を許可するプログラムを 指定することができ、 クライアント端末は予め指定された指定プログラムのみを 実行することができる。

また、 本発明は、 予め指定された指定プログラムのみの実行を許可するプログ ラム実行制御システムであって、 本発明に係るクライアント端末と、 該クライア ント端末とネットワークを介して接続されることができ、 前記クライアント端末 にお!/、て実行中のプログラムの識別子と演算値とからなる組の要求を前記クライ アント端末へ送信し、 受信した識別子と演算値に基づいて前記クライアント端末 で実行中の前記入力プログラムを確認するサーバとを備えてなるものである。 このような構成によれば、 サーバは、 クライアント端末が指定プログラムを実 行している力否かを監視することができる。

また、 本発明は、 予め指定された指定プログラムのみの実行を許可するプログ ラム実行制御方法であって、 予め前記指定プログラムに所定の関数を適用して得 られる期待値と前記指定プログラムの識別子とからなる組を少なくとも 1組記憶 するステップと、 入力プログラムと該入力プログラムの識別子とからなる組を外 部から入力するステップと、 前記入力プログラムに所定の関数を適用して演算値 を得るステップと、 前記期待値と識別子とからなる組のうち、 前記入力プロダラ ムの識別子に対応する前記期待値と前記関数演算部から得られる前記演算値との 比較を行うステップと、 前記比較により一致と判断された場合に、 前記入力プロ グラムを外部へ出力するステツプとを備えてなるものである。

このような構成によれば、 指定プログラムであることを確認するための情報を 用いて、 入力プログラムの実行の許可および拒絶の制御を行うことにより、 高い セキュリティレベルを保証できる。

また、 本発明は、 予め指定された指定プログラムのみをコンピュータに実行さ せるために、 コンピュータにより読取可能な媒体に記憶されたプ口グラム実行制 御プログラムであって、 予め前記指定プログラムに所定の関数を適用して得られ る期待値と前記指定プログラムの識別子とからなる組を少なくとも 1組記憶する ステップと、 入力プログラムと該入力プログラムの識別子と力 らなる組を外部か ら入力するステップと、 前記入力プログラムに所定の関数を適用して演算値を得 るステップと、 前記期待値と識別子とからなる組のうち、 前記入力プログラムの 識別子に対応する前記期待値と前記関数演算部から得られる前記演算値との比較 を行うステップと、 前記比較により一致と判断された場合に、 前記入力プログラ ムを外部へ出力するステップとを備えてなるものである。

このような構成によれば、 指定プログラムであることを確認するための情報を 用いて、 入力プログラムの実行の許可および拒絶の制御を行うことにより、 高い セキュリティレベルを保証できる。

また、 本発明は、 予め指定された指定プログラムのみの実行を許可するプログ ラム実行制御装置であって、 予め前記指定プログラムに所定の関数を適用して得 られる期待値と前記指定プログラムの識別子とからなる組を少なくとも 1組記憶 する期待値テーブル記憶部と、 予め入力された復号鍵を記憶する復号鍵記憶部と 、 入力プログラムと該入力プログラムの識別子とからなる組を暗号化した暗号済 みプログラムを外部から入力することができる入カインタフェースと、 前記復号 鍵を用いて前記暗号済みプログラムの復号を行!/、、 復号済みプロダラムと該復号 済みプログラムの識別子を生成する復号部と、 前記復号済みプログラムに所定の 関数を適用して演算値を得る関数演算部と、 前記期待値テーブル内の前記復号済 みプログラムの識別子に対応する前記期待値と前記関数演算部から得られる前記 演算値との比較を行う比較部と、 該比較結果が一致した場合に、 前記インタフエ ースを介して前記復号済みプログラムを外部へ出力させる出カインタフェースと を備えてなるものである。

このような構成によれば、 ハードウェアであるプログラム実行制御装置が指定 プログラムであることを確認するための情報を内部に保持するとともに、 復号済 みプログラムの実行の許可および拒絶の制御を行うことにより、 高いセキユリテ ィレベルを保証できる。 なお、 本実施の形態における復号鍵記憶部とは復号鍵記 憶部 3 3のことであり、 復号部とは復号部 3 2のことである。

また、 本発明に係るプログラム実行制御装置において、 前記所定の関数は一方 向性関数であり、 前記期待値および前記演算値はハッシュ値であることを特徴と するものである。

このような構成によれば、 復号済みプログラムに一方向性関数を適用して算出 されるハッシュ値を用いることにより、 指定プログラムであるか否かの判断を高 い信頼性で行うことができる。

また、 本発明に係るプログラム実行制御装置において、 実行中の前記復号済み プログラムの識別子と演算値とからなる組を少なくとも 1組記憶する演算値テー ブル記憶部を備え、 外部からの要求に従って前記復号済みプログラムの識別子と 演算値とからなる組を前記外部へ出力することを特徴とするものである。

このような構成によれば、 現在実行中のプログラムに関する情報を必要に応じ て外部へ出力することにより、 現在実行中のプログラムを外部から確認すること ができる。

また、 本発明は、 本発明に係るプログラム実行制御装置を用いる O Sであって

、 前記プログラム実行制御装置へ前記暗号済みプログラムを入力し、 前記プログ ラム実行制御装置から前記復号済みプログラムを出力された場合に、 前記復号済 みプログラムを実行するものである。

このような構成によれば、 〇sが実行するプログラムが、 指定プログラムであ るか否かの判断をプログラム実行制御装置が行うことにより、 O Sは予め指定さ れた指定プログラムのみを実行することができる。

また、 本発明は、 本発明に係るプログラム実行制御装置を備えたクライアント 端末であって、 外部から入力された前記喑号済みプログラムを前記プログラム実 行制御装置へ入力し、 前記プログラム実行制御装置から前記復号済みプログラム が出力された場合に、 前記復号済みプログラムを実行するものである。

このような構成によれば、 クライアント端末が実行するプログラムが、 指定プ 口グラムであるか否かの判断をプログラム実行制御装置が行うことにより、 クラ イアント端末は予め指定された指定プログラムのみを実行することができる。 また、 本発明は、 本発明に係るプログラム実行制御装置を備えたクライアント 端末であって、 外部からの要求に従つて前記復号済みプロダラムの識別子と演算 値とからなる組を前記外部へ出力するものである。

このような構成によれば、 現在実行中のプログラムに関する情報を必要に応じ て外部へ出力することにより、 現在実行中のプログラムを外部から確認すること ができる。

また、 本発明は、 本発明に係るクライアント端末とネットワークを介して接続 されることができるサーバであって、 予め前記クライアント端末へ前記指定プロ グラムの識別子と期待値とからなる組を送信し、 必要に応じて前記クライアント 端末へ前記暗号済みプログラムを送信するものである。

このような構成によれば、 指定プログラムを送信するサーバが指定プログラム に関する情報を予め送信することにより、 実行を許可するプログラムを指定する ことができる。

また、 本発明は、 本発明に係るクライアント端末とネットワークを介して接続 されることができるサーバであって、 前記クライアント端末において実行中のプ ログラムの識別子と演算値とからなる組の要求を前記クライアント端末へ送信し 、 受信した識別子と演算値とからなる組に基づいて前記クライアント端末で実行 中の前記復号済みプログラムを確認することを特徴とするものである。

このような構成によれば、 サーバは、 クライアント端末が指定プログラムを実 行している力否かを監視することができる。

また、 本発明は、 予め指定された指定プログラムのみの実行を許可するプログ ラム実行制御システムであって、 本発明に係るクライアント端末と、 該クライア ント端末とネットワークを介して接続されることができ、 予め前記クライアント 端末へ前記指定プログラムの期待値と識別子とからなる組を送信し、 必要に応じ て前記クライアント端末へ前記暗号済みプログラムを送信するサーバとを備えて なるものである。

このような構成によれば、 指定プログラムを送信するサーバが指定プログラム に関する情報を予め送信することにより、 サーバは実行を許可するプログラムを 指定することができ、 クライアント端末は予め指定された指定プログラムのみを 実行することができる。

また、 本発明は、 予め指定された指定プログラムのみの実行を許可するプログ ラム実行制御システムであって、 本発明に係るクライアント端末と、 該クライア ント端末とネットワークを介して接続されることができ、 前記クライアント端末 において実行中のプログラムの識別子と演算値とからなる組の要求を前記クライ アント端末へ送信し、 受信した識別子と演算値に基づレヽて前記クライアント端末 で実行中の前記復号済みプログラムを確認するサーバとを備えてなるものである このような構成によれば、 サーバは、 クライアント端末が指定プログラムを実 行している力否かを監視することができる。

また、 本発明は、 予め指定された指定プログラムのみの実行を許可するプログ ラム実行制御方法であって、 予め前記指定プログラムに所定の関数を適用して得 られる期待値と前記指定プログラムの識別子とからなる組を少なくとも 1組記憶 するステップと、 予め入力された復号鍵を記憶するステップと、 入力プログラム と該入力プログラムの識別子と力 らなる組を暗号ィ匕した喑号済みプログラムを外 部から入力するステップと、 前記復号鍵を用いて前記暗号済みプログラムの復号 を行い、 復号済みプログラムと該復号済みプログラムの識別子を生成するステツ プと、 前記復号済みプログラムに所定の関数を適用して演算値を得るステップと 、 前記期待値と識別子とからなる ¾aのうち、 前記復号済みプログラムの識別子に 対応する前記期待値と前記関数演算部から得られる前記演算値との比較を行うス テツプと、 前記比較により一致と判断された場合に、 前記復号済みプログラムを 外部へ出力するステップとを備えてなるものである。

このような構成によれば、 指定プログラムであることを確認するための情報を 用いて、 復号済みプログラムの実行の許可および拒絶の制御を行うことにより、 高いセキュリティレべノレを保証できる。

また、 本発明は、 予め指定された指定プログラムのみをコンピュータに実行さ せるために、 コンピュータにより読取可能な媒体に記憶されたプログラム実行制 御プログラムであって、 予め前記指定プロダラムに所定の関数を適用して得られ る期待値と前記指定プログラムの識別子とからなる組を少なくとも 1組記憶する ステップと、 予め入力された復号鍵を記憶するステップと、 入力プログラムと該 入力プログラムの識別子とからなる組を暗号化した暗号済みプログラムを外部か ら入力するステップと、 前記復号鍵を用いて前記暗号済みプログラムの復号を行 い、 復号済みプログラムと該復号済みプログラムの識別子を生成するステップと 、 前記復号済みプログラムに所定の関数を適用して演算値を得るステップと、 前 記期待値と識別子と力 らなる組のうち、 前記復号済みプログラムの識別子に対応 する前記期待値と前記関数演算部から得られる前記演算値との比較を行うステッ プと、 前記比較により一致と判断された場合に、 前記復号済みプログラムを外部 へ出力するステップとを備えてなるものである。

このような構成によれば、 指定プログラムであることを確認するための情報を 用いて、 復号済みプログラムの実行の許可および拒絶の制御を行うことにより、 高いセキュリティレベルを保証できる。 図面の簡単な説明

第 1図は、 本発明の実施の形態に係るプログラム実行制御システムの構成の一 例を示すブロック図である。

第 2図は、 本発明の実施の形態に係るクライアント端末の構成の一例を示すブ 口ック図である。

第 3図は、 本発明の実施の形態に係るプログラム実行制御装置の構成の一例を 示すブロック図である。

第 4図は、 本発明の実施の形態に係るプログラム実行制御装置の機能の一例を 示すブロック図である。

第 5図は、 プログラム実行時における O Sの処理の一例を示すフローチヤ一ト である。

第 6図は、 プログラム実行時におけるプログラム実行制御装置の処理の一例を 示すフローチャートである。 発明を実施するための最良の形態

以下、 本発明の実施の形態について図面を参照して詳細に説明する。 第 1図は 、 本発明の実施の形態に係るプログラム実行制御システムの構成の一例を示すブ ロック図である。 第 1図に示すように、 このプログラム実行制御システムは、 ネ ットワーク 3で接続されたサーバ 1とクライアント端末 2で構成される。 サーバ 1とクライアント端末 2はネットワーク 3を介してデータの送受信を行う。 本実 施の形態では、 クライアント端末 2として PCを用いて説明する。 第 1図には簡 単のため、 1台のクライアント端末 2を図示しているが、 ネットワーク 3には複 数台のクライアント端末 2が接続されている。 また、 サーバ 1とクライアント端 末 2は、 通信を行う際に、 互いに信頼できる相手か否かを確認、する相互認証を行 い、 その後サーバ 1とクライアント端末 2の間で暗号化通信路を用いた通信を行 ラ。

次に、 クライアント端末 2について説明する。 第 2図は、 クライアント端末の 構成の一例を示すブロック図である。 第 2図に示すように、 このクライアント端 末 2は、 CPU (Central Processing Unit) 1 1と、 プログラム実行制御装置 12と、 主記憶装置 13と、 I/O (Input / Output) 14と、 二次記憶装置 1 5と、 ディスプレイ 16と、 キーボード 17と、 ネットワークインタフェース 1 8から構成される。 プログラム実行制御装置 12と主記憶装置 13と I/O 14 はシステムバスを介して CPU 11と接続されており、 二次記憶装置 15とディ スプレイ 16とキーボード 17とネットワークインタフェース 18は I /O 14 と接続されている。

CPU 11は、 〇Sやプログラムの実行を行う。 プログラム実行制御装置 12 は、 実行するプログラムの復号ゃ判定等を行う。 主記憶装置 13は、 OSや各種 プログラムが動作するための記憶装置であり、 例えばメモリで構成される。 二次 記憶装置 15は、 クライアント端末 2で実行される OSや各種プログラム等を格 納するための記憶装置であり、 例えばハードデイスクドライブで構成される。 デ イスプレイ 16は、 CPU1 1の指示に従って表示を行う。 キーボード 17は、 ユーザからの入力を受け付け、 CPU11へ出力する。 ネットワークインタフエ ース 18は、 ネットワーク 3で接続されたサーバ 1との間でプログラムやデータ の入出力を行う。

次に、 プログラム実行制御装置 12について説明する。 第 3図は、 プログラム 実行制御装置の構成の一例を示すブロック図である。 第 3図に示すように、 この プログラム実行制御装置 12は、 CPU21と、 主記憶装置 22と、 I /O 23 と、 外部インタフェース 24と、 二次記憶装置 25から構成される。 主記憶装置 22と I/O 23はシステムバスを介して C P U 21に接続されており、 外部ィ ンタフェース 2 4と二次記憶装置 2 5は I /O 2 3に接続されている。

C P U 2 1は、 プログラム実行制御装置 1 2内の各部の制御を行う。 主記憶装 置 2 2は、 プログラム実行制御のソフトウエアが動作するための記憶装置であり 、 例えばメモリで構成される。 外部インタフェース 2 4は、 プログラム実行制御 装置 1 2の外部との間でデータの入出力を行うインタフェースであり、 クライア ント端末 2のシステムバスに接続されている。 二次記憶装置 2 5は、 プログラム 実行制御装置 1 2で実行されるソフトウェアを格納するための記憶装置であり、 例えば不揮発性メモリで構成される。

次に、 プログラム実行制御装置 1 2の機能について説明する。 第 4図は、 プロ グラム実行制御装置の機能の一例を示すプロック図である。 第 4図に示すように 、 このプログラム実行制御装置の機能は、 入出力インタフェース 3 1と、 復号部 3 2と、 復号鍵記憶部 3 3と、 演算ハッシュ値算出部 3 4と、 比較部 3 5と、 期 待ハッシュテーブル記憶部 3 6と、 演算ハッシュテーブル記憶部 3 7と、 ゲート 3 8カゝら構成される。

入出力インタフェース 3 1と復号部 3 2と演算ハッシュ値算出部 3 4と比較部 3 5とゲート 3 8は、 二次記憶装置 2 5に格納されているソフトウエアであり、 主記憶装置 2 2に読み込まれた後、 C P U 2 1により実行される。 復号鍵記憶部 3 3と期待ハッシュテーブル記憶部 3 6と演算ハッシュテーブル記憶部 3 7は、 主記憶装置 2 2または二次記憶装置 2 5に備えられ、 それぞれ、 復号鍵、 期待ハ ッシュテーブル、 演算ハッシュテーブルを格納する。 ここで、 入出力インタフエ ース 3 1と復号部 3 2と演算ハッシュ値算出部 3 4と比較部 3 5とゲート 3 8は 、 ハードウェアとして実現しても良い。

以下、 サーバ 1が指定した指定プログラムのみを、 クライアント端末 2が実亍 するプログラム実行制御システムについて説明する。 最初に、 クライアント端末 2における期待ハッシュテーブルのダウンロード処理について説明する。 期待ハ ッシュテーブルとは、 サーバ 1がクライアント端末 2に対して実行を許可する指 定プログラムの一覧のことであり、 指定プログラムのプログラム I Dと期待ハツ シュ値の組からなる。 プログラム I Dとはプログラム固有の I Dのことである。 まず、 サーバ 1は、 ある指定プログラムに一方向性関数を適用してハッシュ値 を算出し、 期待ハッシュ値とする。 次に、 サーバ 1は、 ある指定プログラムのプ ログラム I Dと算出された期待ハッシュ値とを組にしたエントリを作成する。 サ ーバ 1は、 必要な指定プログラムの数だけエントリを作成し、 期待ハッシュテー ブルを作 する。 次に、 サーバ 1は、 作成した期待ハッシュテーブルをクライア ント端末 2へ送信する。 一方、 クライアント端末 2において、 O Sはサーバ 1か らの期待ハッシュテーブルを受信し、 プログラム実行制御装置 1 2へ出力する。 プログラム実行制御装置 1 2において、 入出力インタフェース 3 1は O Sから入 力された期待ハッシュテーブルを期待ハッシュテーブル記憶部 3 6へ出力し、 期 待ハッシュテーブル記憶部 3 6は期待ハッシュテーブルを格納する。 以上のよう に、 クライアント端末 2における期待ハッシュテーブルのダウンロード処理は行 われる。

次に、 クライアント端末 2におけるプログラムのダウンロード処理について説 明する。 まず、 サーバ 1は、 クライアント端末 2へ送信する指定プログラムのプ ログラム I Dとプログラムを結合して暗号ィヒを行うことにより暗号済みプログラ ムを生成する。 次に、 サーバ 1は、 暗号済みプログラムをクライアント端末 2へ 送信する。 一方、 クライアント端末 2において、 O Sはサーバ 1からの暗号済み プログラムを受信し、 クライアント端末 2の二次記憶装置 1 5へ格納する。 以上 のように、 クライアント端末 2におけるプログラムのダウンロード処理は行われ る。

次に、 クライアント端末 2におけるプログラムの実行処理についてフローチヤ ートを用いて説明する。 第 5図は、 プログラム実行時における O Sの処理の一例 を示すフローチャートである。 第 6図は、 プログラム実行時におけるプログラム 実行制御装置の処理の一例を示すフローチャートである。 まず、 ユーザは、 キー ボード 1 7を用いてプログラムの実行を指示する。 O Sは、 キーボード 1 7によ り指定された暗号済みプログラムを二次記憶装置 1 5から取り出してプログラム 実行制御装置 1 2へ出力する （S 1 ) 。 ここで、 サーバ 1から受信した暗号済み プログラムを二次記憶装置 1 5に格納せずに、 直接、 プロダラム実行制御装置 1 2へ出力しても良い。

プログラム実行制御装置 1 2において、 O Sからの暗号済みプログラムは、 入 出力インタフェース 31へ入力される （S 11) 。 入出力インタフェース 31は 、 暗号済みプログラムを復号部 32へ出力し、 復号部 32は復号鍵記憶部 33の 復号鍵を用いて暗号済みプログラムを復号して、 復号済みプログラムと復号済み プログラムのプログラム I Dを生成する （S 12) 。 ここで、 復号鍵は予めサー バ 1等の外部から取得され、 復号鍵記憶部 33へ格納されている。 復号済みプロ グラムはゲート 38と演算ハッシュ値算出部 34へ出力され、 復号済みプロダラ ムのプログラム I Dは期待ハッシュテーブル記憶部 36と演算ハッシュテーブル 記憶部 37へ出力される。

演算ハッシュ値算出部 34は、 復号済みプログラムに一方向性関数を適用して ハッシュ値を算出し、'演算ハッシュ値とする （S 13) 。 演算ハッシュ値は、 比 較部 35と演算ハッシュテーブル記憶部 37へ出力される。 比較部 35は、 復号 済みプログラムのプログラム I Dに対応する期待ハッシュ値を期待ノヽッシュテ一 ブル記憶部 36から取得し （S 14) 、 期待ハッシュ値と演算ハッシュ値との比 較を行い、 期待ハッシュ値と演算ハッシュ値が一致する力否かの判断を行う （S 15) 。

期待ハッシュ値と演算ハッシュ値が一致した場合 (S 15, Y) 、 演算ハツシ ュテーブル記憶部 37は、 演算ハッシュテーブルの未使用エントリに、 復号済み プログラムのプログラム I Dと演算ハッシュ値とを組にして格納するとともに、 格納したエントリのエントリ番号をゲート 38へ出力する （S 16) 。 ゲート 3 8は、 エントリ番号と復号済みプログラムを結合し、 入出力インタフェース 31 を介して OSへ出力し （S 17) 、 このフローを終了する。 一方、 期待ハッシュ 値と演算ハッシュ値が一致しなかった場合 （S 15， N) 、 ゲート 38はエラー を、 入出力インタフェース 31を介して OSへ出力し (S 18) 、 このフローを 終了する。

一方、 暗号済みプログラムをプログラム実行制御装置 12へ出力した OSが、 エントリ番号と復号済みプログラムをプログラム実行制御装置 12から入力され た場合 (S 2, Y) 、 〇Sは、 プロセス配置用メモリの獲得、 プロセスの配置、 及びプロセステーブルの獲得、 管理情報の設定を行い （S 3) 、 プロセステープ ルへエントリ番号を格納する （S 4) 。 その後 OSは、 復号済みプログラムの実 行を行い （S 5 ) 、 このフローを終了する。 暗号済みプログラムをプログラム実 行制御装置 1 2へ出力した O Sが、 エラーをプログラム実行制御装置 1 2から入 力された場合 ( S 2 , N) 、 プログラムの実行を行わずに、 このフローを終了す る。 以上のように、 クライアント端末 2におけるプログラムの実行処理は行われ る。 O Sはプログラムの実行前にプログラムをプログラム実行制御装置へ渡すこ とにより、 サーバにより実行を許可された指定プログラムのみを実行することが できる。

次に、 プログラムの実行終了処理について説明する。 O Sは実行中の復号済み プログラムの終了処理を行う際に、 実行中の復号済みプログラムに対応するェン トリ番号をプログラム実行制御装置 1 2へ出力し、 演算ハッシュテーブルのェン トリの削除を依頼する。 次に、 O Sはプロセス配置用メモリ、 プロセステープノレ の解放を行う。

プログラム実行制御装置 1 2の入出力インタフェース 3 1は、 O Sから入力さ れたェントリ番号を演算ハッシュテーブル記憶部 3 7へ出力する。 演算ハッシュ テーブル記憶部 3 7は、 入力されたェントリ番号を削除し、 「未使用」 とマーク する。 これは、 例えば入力されたエントリ番号に対応するエントリ内をゼロタリ ァすることで実現される。 以上のように、 クライアント端末 2におけるプロダラ ムの実行終了処理は行われる。 このプログラムの実行終了処理を行うことにより 、 プロダラム実行制御装置 1 2の演算ハッシュテーブル記憶部 3 7には、 現在実 行中の復号済みプログラムのプログラム I Dと演算ハッシュ値の組が格納された エントリのみが記憶される。

次に、 サーバ 1におけるプログラムの実行確認処理について説明する。 まず、 サーバ 1は演算ハッシュテーブル 3 7内の全てのェントリ、 または演算ハッシュ テーブル 3 7内の一部のエントリの取得要求をクライアント端末 2へ送信する。 一方、 クライアント端末 2において、 O Sはサーバ 1からの演算ハッシュテー ブルの取得要求を受信すると、 演算ハッシュテーブルの取得要求をプログラム実 行制御装置 1 2へ出力する。 プログラム実行制御装置 1 2において、 演算ハツシ ュテーブル記憶部 3 7は、 入出力インタフェース 3 1を介して演算ハッシュテー プルの取得要求を受け取る。 演算ハッシュテーブル記憶部 3 7は、 演算ハッシュ テーブルの取得要求に従って演算ハッシュテーブルのうち指定されたェントリを

、 入出力インタフェース 3 1を介して O Sへ出力する。 O Sは、 指定されたェン トリをサーバ 1へ送信する。 エントリを受信したサーバ 1は、 クライアント端末 2において現在実行中の復号済みプログラムの一覧を確認することができる。 以 上のように、 サーバ 1におけるプログラムの実行確認処理は行われる。

なお、 本実施の形態では、 サーバ側で指定プログラムを暗号化した暗号済みプ ログラムを送信し、 クライアント端末側で受信した暗号済みプログラムを復号し て実行する構成としたが、 本発明に係るプログラム実行制御装置は、 暗号化され ていないプログラムにも対応することができる。 その場合、 第 4図に示した復号 部 3 2と復号鍵記憶部 3 3は不要となる。 また、 本実施の形態では、 サーバ 1が 期待ノヽッシュテーブルと喑号済みプログラムをクライアント端末 2へ送信すると したが、 期待ハッシュテーブルと暗号済みプログラムは、 可搬記録媒体等により 外部からクライアント端末 2へ入力されても良い。 産業上の利用の可能性

以上説明したように本発明によれば、 クライアント端末はサーバにより認証さ れた正当なプログラムだけを動作させることができるとともに、 ソフトウェアで はなくハードウエアでプログラムの実行の許可および拒絶の制御を行うことで高 いセキュリティレベルを保証できる。 さらに、 現在実行中のプログラムの一覧を 演算ハッシュテーブルとしてクライアント端末のハードウェアが安全に保持する ことにより、 サーバはクライアント端末におけるプログラムの動作状況を確実に 取得することができる。

Claims

請 求 の 範 囲

1 . 予め指定された指定プログラムのみの実行を許可するプログラム実行制御装 置であって、

予め前記指定プログラムに所定の関数を適用して得られる期待値と前記指定プ ログラムの識別子とからなる組を少なくとも 1糸且記憶する期待値テーブル記憶部 と、

入力プログラムと該入力プログラムの識別子と力 らなる組を外部から入力する ことができる入力インタフェースと、

前記入力プログラムに所定の関数を適用して演算値を得る関数演算部と、 前記期待値テーブル内の期待値のうち前記入力プログラムの識別子に対応する 前記期待値と前記演算値との比較を行う比較部と、

該比較結果が一致した場合に、 前記入力プログラムを外部へ出力する出カイン タフエースと、

を備えてなるプログラム実行制御装置。

2 . 請求の範囲第 1項に記載のプロダラム実行制御装置において、

前記所定の関数は一方向性関数であり、 前記期待値および前記演算値はハツシ ュ値であることを特徴とするプログラム実行制御装置。

3 . 請求の範囲第 1項に記載のプログラム実行制御装置において、

実行中の前記入力プログラムの識別子と演算値とからなる組を少なくとも 1組 記憶する演算値テーブル記憶部を備え、

外部からの要求に従つて前記入力プログラムの識別子と演算値とからなる組を 前記外部へ出力することを特徴とするプロダラム実行制御装置。

4 . 請求の範囲第 1項に記載のプログラム実行制御装置を用いる〇 Sであって、 前記プログラム実行制御装置へ前記入力プログラムを入力し、 前記プログラム 実行制御装置から前記入力プログラムを出力された場合に、 前記入力プログラム を実行する O S

5 . 請求の範囲第 1項に記載のプログラム実行制御装置を備えたクライアント端 末であって、

外部から入力された前記入力プログラムを前記プログラム実行制御装置へ入力 し、 前記プロダラム実行制御装置から前記入力プログラムが出力された場合に、 前記入力プログラムを実行するクライアント端末。

6 . 請求の範囲第 3項に記載のプログラム実行制御装置を備えたクライアント端 末であって、

外部からの要求に従つて前記入力プログラムの識別子と演算値とからなる組を 前記外部へ出力するクライアント端末。

7 . 請求の範囲第 5項に記載のクライアント端末とネットワークを介して接続さ れることができるサーバであって、

予め前記クライアント端末へ前記指定プログラムの識別子と期待値と力 らなる 組を送信し、 必要に応じて前記クライアント端末へ前記入力プログラム'を送信す るサーバ。

8 . 請求の範囲第 6項に記載のクライアント端末とネットワークを介して接続さ れることができるサーバであって、

前記クライアント端末にぉレ、て実行中のプログラムの識別子と演算値とカ らな る組の要求を前記クライアント端末へ送信し、 受信した識別子と演算値と力 らな る組に基づいて前記クライアント端末で実行中の前記入力プログラムを確認する サーバ。

9 . 予め指定された指定プログラムのみの実行を許可するプログラム実行制御シ ステムであって、

請求の範囲第 5項に記載のクライアント端末と、 該クライアント端末とネットワークを介して接続されることができ、 予め前記 クライアント端末へ前記指定プログラムの期待値と識別子とからなる組を送信し 、 必要に応じて前記クライアント端末へ前記入力プログラムを送信するサーバと を備えてなるプログラム実行制御システム。

1 0 . 予め指定された指定プログラムのみの実行を許可するプログラム実行制御 システムであって、

請求の範囲第 6項に記載のクライアント端末と、

該クライアント端末とネットワークを介して接続されることができ、 前記クラ イアント端末にぉレ、て実行中のプログラムの識別子と演算値とからなる組の要求 を前記クライアント端末へ送信し、 受信した識別子と演算値に基づレ、て前記クラ イアント端末で実行中の前記入力プログラムを確認するサーバと、

を備えてなるプログラム実行制御システム。

1 1 . 予め指定された指定プログラムのみの実行を許可するプログラム実行制御 方法であって、

予め前記指定プログラムに所定の関数を適用して得られる期待値と前記指定プ ログラムの識別子とからなる組を少なくとも 1糸且記憶するステツプと、

入力プログラムと該入カプログラムの識別子と力 らなる組を外部から入力する ステップと、

前記入力プログラムに所定の関数を適用して演算値を得るステップと、 前記期待値と識別子とからなる組のうち、 前記入力プログラムの識別子に対応 する前記期待値と前記関数演算部から得られる前記演算値との比較を行うステツ プと、 '

前記比較により一致と判断された場合に、 前記入力プログラムを外部へ出力す るステップと、

を備えてなるプログラム実行制御方法。

1 2. 予め指定された指定プログラムのみをコンピュータに実行させるために、 コンピュータにより読取可能な媒体に記憶されたプログラム実行制御プログラム であって、

予め前記指定プログラムに所定の関数を適用して得られる期待値と前記指定プ ログラムの識別子とからなる組を少なくとも 1組記憶するステップと、

入力プログラムと該入力プログラムの識別子と力 らなる組を外部から入力する ステップと、

前記入力プログラムに所定の関数を適用して演算値を得るステップと、 前記期待値と識別子とからなる組のうち、 前記入力プログラムの識別子に対応 する前記期待値と前記関数演算部から得られる前記演算値との比較を行うステツ プと、

前記比較により一致と判断された場合に、 前記入力プログラムを外部へ出力す るステップと、

を備えてなるプロダラム実行制御プロダラム。

1 3. 予め指定された指定プログラムのみの実行を許可するプログラム実行制御 装置であって、

予め前記指定プログラムに所定の関数を適用して得られる期待値と前記指定プ ログラムの識別子とからなる組を少なくとも 1組記憶する期待値テーブル記憶部 と、

予め入力された復号鍵を記憶する復号鍵記憶部と、

入力プログラムと該入力プログラムの識別子とからなる組を暗号化'した喑号済 みプログラムを外部から入力することができる入カインタフ ースと、

前記復号鍵を用いて前記暗号済みプログラムの復号を行い、 復号済みプログラ ムと該復号済みプログラムの識別子を生成する復号部と、

前記復号済みプログラムに所定の関数を適用して演算値を得る関数演算部と、 前記期待値テーブル内の前記復号済みプログラムの識別子に対応する前記期待 値と前記関数演算部から得られる前記演算値との比較を行う比較部と、

該比較結果が一致した場合に、 前記ィンタフヱースを介して前記復号済みプロ グラムを外部へ出力させる出力インタフェースと、

を備えてなるプログラム実行制御装置。

1 4 . 請求の範囲第 1 3項に記載のプログラム実行制御装置において、

前記所定の関数は一方向性関数であり、 前記期待値および前記演算値はハツシ ュ値であることを特徴とするプログラム実行制御装置。

1 5 . 請求の範囲第 1 3項に記載のプログラム実行制御装置において、

実行中の前記復号済みプログラムの識別子と'演算値とからなる組を少なくとも

1組記憶する演算値テーブル記憶部を備え、

外部からの要求に従つて前記復号済みプログラムの識別子と演算値とからなる 糸且を前記外部へ出力することを特徴とするプログラム実行制御装置。

1 6 . 請求の範囲第 1 3項に記載のプログラム実行制御装置を用いる O Sであつ て、

前記プログラム実行制御装置へ前記暗号済みプログラムを入力し、 前記プログ ラム実行制御装置から前記復号済みプログラムを出力された場合に、 前記復号済 みプログラムを実行する O S。

1 7 . 請求の範囲第 1 3項に記載のプログラム実行制御装置を備えたクライアン ト端末であって、

外部から入力された前記暗号済みプログラムを前記プログラム実行制御装置へ 入力し、 前記プログラム実行制御装置から前記復号済みプログラムが出力された 場合に、 前記復号済みプログラムを実行するクライアント端末。

1 8 . 請求の範囲第 1 5項に記載のプログラム実行制御装置を備えたクライアン ト端末であって、

外部からの要求に従つて前記復号済みプログラムの識別子と演算値とからなる 糸且を前記外部へ出力するクライアント端末。

1 9 . 請求の範囲第 1 7項に記載のクライアント端末とネットワークを介して接 続されることができるサーバであって、

予め前記クライアント端末へ前記指定プログラムの識別子と期待値とカ らなる 組を送信し、 必要に応じて前記クライアント端末へ前記暗号済みプログラムを送 信するサーバ。

2 0 . 請求の範囲第 1 8項に記載のクライアント端末とネットワークを介して接 続されることができるサーバであって、

前記クライアント端末にぉレヽて実行中のプログラムの識別子と演算値と力ゝらな る組の要求を前記クライアント端末へ送信し、 受信した識別子と演算値とからな る組に基づいて前記クライアント端末で実行中の前記復号済みプログラムを確認 するサーバ。

2 1 . 予め指定された指定プログラムのみの実行を許可するプログラム実行制御 システムであって、

請求の範囲第 1 7項に記載のクライアント端末と、

該クライアント端末とネットワークを介して接続されることができ、 予め前記 クライアント端末へ前記指定プログラムの期待値と識別子とカゝらなる組を送信し 、 必要に応じて前記クライアント端末へ前記暗号済みプログラムを送信するサー バと、

を備えてなるプログラム実行制御システム。

2 2. 予め指定された指定プログラムのみの実行を許可するプログラム実行制御 システムであって、

請求の範囲第 1 8項に記載のクライアント端末と、

該クライアント端末とネットワークを介して接続されることができ、 前記クラ イアント端末にぉ 、て実行中のプログラムの識別子と演算値とからなる組の要求 を前記クライアント端末へ送信し、 受信した識別子と演算値に基づいて前記クラ イアント端末で実行中の前記復号済みプログラムを確認するサーバと を備えてなるプログラム実行制御システム。

2 3 . 予め指定された指定プログラムのみの実行を許可するプログラム実行制御 方法であって、

予め前記指定プログラムに所定の関数を適用して得られる期待値と前記指定プ ログラムの識別子とからなる組を少なくとも 1組記憶するステップと、

予め入力された復号鍵を記憶するステップと、

入力プログラムと該入力プログラムの識別子とからなる組を暗号化した暗号済 みプログラムを外部から入力するステップと、

前記復号鍵を用いて前記喑号済みプログラムの復号を行い、 復号済みプロダラ ムと該復号済みプログラムの識別子を生成するステップと、

前記復号済みプログラムに所定の関数を適用して演算値を得るステップと、 前記期待値と識別子とからなる組のうち、 前記復号済みプログラムの識別子に 対応する前記期待値と前記関数演算部から得られる前記演算値との比較を行うス テツプと、

前記比較により一致と判断された場合に、 前記復号済みプログラムを外部へ出 力するステップと、

を備えてなるプロダラム実行制御方法。

2 4. 予め指定された指定プログラムのみをコンピュータに実行させるために、 コンピュータにより読取可能な媒体に記憶されたプログラム実行制御プログラム であって、

予め前記指定プログラムに所定の関数を適用して得られる期待値と前記指定プ ログラムの識別子とからなる組を少なくとも 1組記憶するステップと、

予め入力された復号鍵を記憶するステップと、

入力プログラムと該入力プログラムの識別子とからなる組を暗号化した暗号済 みプログラムを外部から入力するステップと、

前記復号鍵を用いて前記暗号済みプログラムの復号を行い、 復号済みプログラ ムと該復号済みプログラムの識別子を生成するステップと、

前記復号済みプログラムに所定の関数を適用して演算値を得るステップと、 前記期待値と識別子とからなる組のうち、 前記復号済みプログラムの識別子に 対応する前記期待値と前記関数演算部から得られる前記演算値との比較を行うス テツプと、

前記比較により一致と判断された場合に、 前記復号済みプログラムを外部へ出 力するステップと、

を備えてなるプログラム実行制御プログラム。