WO2006120938A1

WO2006120938A1 - メモリカード、アプリケーションプログラム保持方法、及び保持プログラム

Info

Publication number: WO2006120938A1
Application number: PCT/JP2006/308976
Authority: WO
Inventors: Yoshiko Nishimura; Kazuyuki Kashiwabara; Eiji Kawahara
Original assignee: Matsushita Electric Industrial Co., Ltd.
Priority date: 2005-05-09
Filing date: 2006-04-28
Publication date: 2006-11-16
Also published as: JP4860619B2; JPWO2006120938A1; CN101171591A; US7953985B2; EP1881437A1; KR20080007446A; US20090070599A1

Abstract

　本発明のメモリカードは、ホスト機器にダウンロードされる暗号化されているアプリケーションプログラムを前記ホスト機器から受信するメモリカードであって、耐タンパ機能を有するＩＣカード部と、フラッシュメモリ部とを備え、前記ＩＣカード部は、耐タンパ記憶部と、前記ホスト機器から、暗号化されているアプリケーションプログラムを取得するプログラム取得部と、取得された暗号化されているアプリケーションプログラムを前記耐タンパ記憶部又は前記フラッシュメモリ部に格納する格納制御部と、前記耐タンパ記憶部に格納されているアプリケーションプログラムの実行時、実行対象のアプリケーションプログラムの復号化時のサイズが前記耐タンパ記憶部の空き容量を超える場合、前記耐タンパ記憶部に格納されている任意の暗号化されているアプリケーションプログラムを前記フラッシュメモリ部に移動させる移動制御部とを有する。

Description

明細書

メモリカード、アプリケーションプログラム保持方法、及び保持プログラム技術分野

[0001] 本発明は、アプリケーションプログラムを保持するメモリカードに関する。

背景技術

[0002] smart Secure Digital memory card (以下「SDカード」という）をはじめとする Integrated Circuit (IC)カード機能が搭載されたセキュアメモリカードの普及に伴い、使用されるアプリケーションプログラムの種類や利用者数が今後増加していくと予想される。

[0003] 図 1 (A)は、一般的なセキュアメモリカードのハードウェア構成を示す図である。図 1

(A)に示すように、セキュアメモリカード 100は、 Read Only Memory (ROM) 103 と、 Random Access Memory (RAM) 102と、 Central Processing Unit (CP U) 104と、不揮発性メモリ群 101とを備える。 ROM103はアプリケーションプログラムを記憶する。 RAM102はアプリケーションプログラムの実行の際に用いられるデータを一時的に記憶する。 CPU104はアプリケーションプログラムに従って各種のコマンドに対する処理を実行する。不揮発性メモリ群 101はメモリカードの外部カゝらダウン口ードされるアプリケーションプログラムを記憶する。

[0004] 不揮発性メモリ群 101は、耐タンパモジュール（TRM :Tamper Resistant Mod ule) 107内にある Ferroelectric RAM (FeRAM) 106と、 TRM107外にあるセキユアフラッシュ 108と、 TRM107外にあるフラッシュメモリ 109とから構成される。セキユアフラッシュ 108は、 TRM107の機能を利用してセキュリティ強度が高められたフラッシュメモリである。

[0005] 図 1 (B)は、不揮発性メモリ群 101を構成する 3つの不揮発性メモリのセキュリティ強度を示す図である。図 1 (B)に示すように、 TRM107内にある FeRAM106のセキュリティ強度が最も強ぐその次にセキュアフラッシュ 108のセキュリティ強度が強ぐフラッシュメモリ 109のセキュリティ強度が最も弱、。

[0006] サービスプロバイダ力もダウンロードされるアプリケーションプログラムは、通常は TR M107領域に保存される。 TRM107領域の容量はフラッシュメモリ 109に比べて非常に小さいため、 TRM107領域に保存しきれないアプリケーションプログラムは、ュ一ザが削除する必要がある。

[0007] そこで、アプリケーションプログラムを削除することなぐ TRM107領域に格納されて!、るアプリケーションプログラムを、サービスプロバイダが要求するセキュリティ強度を確保した状態で、セキュアメモリカード 100内のフラッシュメモリ 109に移動させ、必要に応じて TRM107領域に復帰させることにより、より多くのアプリケーションプログラムを一枚のセキュアメモリカード 100内に保存できるようにする仕組みが必要となつてきている。

[0008] 特許文献 1には、ダウンロードされるアプリケーションプログラムのセキュリティレベルに応じて、そのアプリケーションプログラムの保存領域を振り分ける発明が開示されている。

特許文献 1 :特開 2002— 229861号公報

発明の開示

発明が解決しょうとする課題

[0009] 特許文献 1に示される従来技術では、ダウンロードされるアプリケーションプログラムのセキュリティレベルに応じて、ダウンロード時に、アプリケーションプログラムを TRM 領域とフラッシュメモリとのいずれかに振り分けて保存する。フラッシュメモリにアプリケーシヨンプログラムを保存する場合、暗号化された状態でダウンロードされたアプリケーシヨンプログラムを復号ィ匕した後、その復号ィ匕したアプリケーションプログラムを、 T RM領域にあら力じめ格納されている秘密情報キーを用いて暗号ィ匕し、フラッシュメモリに保存する。つまり、従来技術では、セキュアメモリカード内のセキュリティレベルが最も低、フラッシュメモリにアプリケーションプログラムを保存する場合、そのアプリケーシヨンプログラムをセキュアメモリカード内の秘密情報キーを用いて暗号ィ匕する。そのため、アプリケーションプログラムを提供するサービスプロバイダが要求するセキユリティ強度を保った状態で、ダウンロードされるアプリケーションプログラムをフラッシュメモリに保存することができな、。

[0010] 本発明は、サービスプロバイダが要求するセキュリティ強度を保った状態で、そのサ一ビスプロバイダからダウンロードされるアプリケーションプログラムをフラッシュメモリに保存するメモリカードを提供することを目的とする。

課題を解決するための手段

[0011] 上記目的を達成するために、本発明のメモリカードは、ホスト機器にダウンロードされる暗号ィ匕されているアプリケーションプログラムを前記ホスト機器力受信するメモリカードであって、耐タンパ機能を有する Integrated Circuit (IC)カード部と、フラッシュメモリ部とを備え、前記 ICカード部は、耐タンパ記憶部と、前記ホスト機器から、暗号化されて、るアプリケーションプログラムと、前記アプリケーションプログラムの暗号ィ匕時のサイズ及び復号ィ匕時のサイズとを取得するプログラム取得部と、前記取得されたアプリケーションプログラムの暗号ィ匕時のサイズと前記耐タンパ記憶部の空き容量とに基づ!/ヽて、前記耐タンパ記憶部又は前記フラッシュメモリ部を格納先領域として選択し、選択した領域に前記取得された暗号ィ匕されて、るアプリケーションプログラムを格納する格納制御部と、前記耐タンパ記憶部に格納されて、るアプリケーションプログラムの実行時、実行対象のアプリケーションプログラムの復号ィ匕時のサイズが前記耐タンパ記憶部の空き容量を超える場合、前記耐タンパ記憶部に格納されて V、る任意の暗号ィ匕されて、るアプリケーションプログラムを前記フラッシュメモリ部に移動させる移動制御部と、前記実行対象のアプリケーションプログラムを復号ィ匕し、実行する実行部とを有する。

[0012] これにより、本発明のメモリカードは、サービスプロバイダが要求するセキュリティ強度を保った状態で、そのサービスプロバイダ力ダウンロードされるアプリケーションプログラムをフラッシュメモリに保存することができる。

[0013] 例えば、前記格納制御部は、前記取得されたアプリケーションプログラムの暗号ィ匕時のサイズが前記耐タンパ記憶部の空き容量以下である場合、前記アプリケーションプログラムを前記耐タンパ記憶部に格納し、前記暗号化時のサイズが前記空き容量を超える場合、前記アプリケーションプログラムを前記フラッシュメモリ部に格納する。

[0014] 例えば、前記格納制御部は、前記取得されたアプリケーションプログラムの暗号ィ匕時のサイズが前記耐タンパ記憶部の空き容量を超える場合、前記耐タンパ記憶部に格納されて、る任意の暗号ィ匕されて、るアプリケーションプログラムを前記フラッシュメモリ部に移動させる。

[0015] 例えば、前記実行部は、アプリケーションプログラムの実行後、実行対象の暗号ィ匕されているアプリケーションプログラムを前記フラッシュメモリ部に移動させる。

[0016] 例えば、前記移動制御部は、実行対象のアプリケーションプログラムが前記フラッシュメモリ部に格納されている場合、前記実行対象のアプリケーションプログラムの復号化時のサイズと暗号ィ匕時のサイズとの合計が前記耐タンパ記憶部の空き容量を超えるとき、前記耐タンパ記憶部に格納されている任意の暗号ィ匕されているアプリケーシヨンプログラムを前記フラッシュメモリ部に移動させ、前記実行対象のアプリケーションプログラムを前記耐タンパ記憶部に複写する。

[0017] 例えば、前記移動制御部は、実行対象のアプリケーションプログラムが前記フラッシュメモリ部に格納されている場合、前記実行対象のアプリケーションプログラムの復号化時のサイズが前記耐タンパ記憶部の空き容量を超えるとき、前記耐タンパ記憶部に格納されて、る任意の暗号ィ匕されて、るアプリケーションプログラムを前記フラッシュメモリ部に移動させ、前記実行対象のアプリケーションプログラムを復号ィ匕して、前記耐タンパ記憶部に格納する。

[0018] 例えば、前記移動制御部は、アプリケーションプログラムの実行履歴に基づヽて、アプリケーションプログラム毎のアクセス履歴管理情報を生成し、前記 ICカード部は、更に、前記アクセス履歴管理情報に従って、前記フラッシュメモリ部に移動させるアブリケーシヨンプログラムを決定する移動判定部を有してもよい。

[0019] 例えば、前記プログラム取得部は、前記ホスト機器固有の情報を取得し、前記 IC力ード部は、更に、前記取得したホスト機器固有の情報を利用して暗号ィ匕鍵を生成する鍵生成部と、前記耐タンパ記憶部力前記フラッシュメモリ部への移動対象のアブリケーシヨンプログラムを前記暗号ィ匕鍵により暗号ィ匕する追加暗号ィ匕部とを有し、前記移動制御部は、暗号化終了後に前記暗号化鍵を削除し、前記暗号化鍵により二重に暗号ィ匕されている前記移動対象のアプリケーションプログラムを前記フラッシュメモリ部へ移動させてもよい。

[0020] 例えば、前記 ICカード部は、更に、前記フラッシュメモリ部に格納されている前記暗号ィ匕鍵により二重に暗号ィ匕されているアプリケーションプログラムを前記耐タンパ記憶部へ複写する場合、複写対象の前記アプリケーションプログラムを前記鍵生成部が生成した暗号ィ匕鍵で復号ィ匕する追加復号ィ匕部を有し、前記移動制御部は、復号化終了後に前記暗号化鍵を削除し、複写対象の前記アプリケーションプログラムを前記耐タンパ記憶部に格納してもよヽ。

[0021] 本発明は、本発明のメモリカードの特徴的な構成手段をステップとするアプリケーシヨンプログラム保持方法として実現したり、それらのステップをコンピュータに実行させる保持プログラムとして実現したり、上記特徴的な構成手段を含む集積回路として実現することもできる。上記の保持プログラムは、 CD— ROM等の記録媒体や通信ネットワーク等の伝送媒体を介して流通させることもできる。発明の効果

[0022] 本発明は、サービスプロバイダが要求するセキュリティ強度を保った状態で、そのサ一ビスプロバイダからダウンロードされるアプリケーションプログラムをフラッシュメモリに保存するメモリカードを提供することができる。

[0023] 本発明により、多くのアプリケーションプログラムを、サービスプロバイダが要求するセキュリティ強度を保った状態で一枚のセキュアメモリカード内に保存することが可能となる。

図面の簡単な説明

[0024] [図 1]図 1 (A)は、一般的なセキュアメモリカードのハードウェア構成図であり、図 1 (B )は、不揮発性メモリ群を構成する FeRAM、セキュアフラッシュ、及び、フラッシュメモリのセキュリティ強度を示す図である。

[図 2]図 2は、実施の形態 1におけるシステム全体の概観図である。

[図 3]図 3は、一般的なセキュアメモリカードの概観図である。

[図 4]図 4は、実施の形態 1における SDカードのブロック構成図である。

[図 5]図 5は、実施の形態 1における SDカードの TRM204のブロック構成図である。

[図 6]図 6は、実施の形態 1における履歴管理情報の例を示す図である。

[図 7]図 7は、実施の形態 1におけるプログラム管理情報の例を示す図である。

[図 8]図 8は、実施の形態 1におけるアプリケーションプログラムのダウンロード時におけるアプリケーションプログラムの移動処理フローを示す図である。 [図 9]図 9は、 RAM上に復号ィ匕済みのアプリケーションプログラムが存在する場合のアプリケーションプログラムのダウンロード処理におけるアプリケーションプログラムの移動処理のフローを示す図である。

[図 10]図 10は、実施の形態 1における RAMに保存済みのアプリケーションプロダラムを実行する場合の処理フローを示す図である。

[図 11]図 11は、実施の形態 1における大容量不揮発性メモリに移動したアプリケーシヨンプログラムを実行する場合の処理フローを示す図である。

[図 12]図 12は、実施の形態 1におけるサービスプロバイダが提供するアプリケーションプログラムの情報の一例を示す図である。

[図 13]図 13 (A)は、実施の形態 1におけるアプリケーションプログラム Aのダウンロード処理完了後のプログラム管理情報を示す図であり、図 13 (B)は、実施の形態 1におけるアプリケーションプログラム Aのダウンロード処理完了後の RAMの状態を示す図である。

[図 14]図 14 (A)は、実施の形態 1におけるアプリケーションプログラム Bのダウンロード処理完了後のプログラム管理情報を示す図であり、図 14 (B)は、実施の形態 1におけるアプリケーションプログラム Bのダウンロード処理完了後の RAMの状態を示す図である。

[図 15]図 15 (A)は、実施の形態 1におけるアプリケーションプログラム Bの実行後のプログラム管理情報を示す図であり、図 15 (B)は、実施の形態 1におけるアプリケーシヨンプログラム Bの実行後の RAMの状態を示す図である。

[図 16]図 16 (A)は、実施の形態 1におけるアプリケーションプログラム Cのダウンロード処理完了後のプログラム管理情報を示す図であり、図 16 (B)は、実施の形態 1におけるアプリケーションプログラム Cのダウンロード処理完了後の RAMの状態を示す図である。

[図 17]図 17 (A)は、実施の形態 1におけるアプリケーションプログラム Cの実行にあたり、アプリケーションプログラム Aを移動対象として決定した後のプログラム管理情報を示す図であり、図 17 (B)は、実施の形態 1におけるアプリケーションプログラムじの実行にあたり、アプリケーションプログラム Aを移動対象として決定した後の RAMの状態を示す図である。

[図 18]図 18 (A)は、実施の形態 1におけるアプリケーションプログラム Cの実行にあたり、アプリケーションプログラム Bも移動対象として決定した後のプログラム管理情報を示す図であり、図 18 (B)は、実施の形態 1におけるアプリケーションプログラム Cの実行にあたり、アプリケーションプログラム Bも移動対象として決定した後の RAMの状態を示す図である。

[図 19]図 19 (A)は、実施の形態 1におけるアプリケーションプログラム Cの実行にあたり、アプリケーションプログラム A及びアプリケーションプログラム Bを RAMから削除した後のプログラム管理情報を示す図であり、図 19 (B)は、実施の形態 1におけるアブリケーシヨンプログラム Cの実行にあたり、アプリケーションプログラム A及びアプリケーシヨンプログラム Bを削除した後の RAMの状態を示す図である。

[図 20]図 20 (A)は、実施の形態 1におけるアプリケーションプログラム Bの実行にあたり、アプリケーションプログラム Cを RAMから削除した後のプログラム管理情報を示す図であり、図 20 (B)は、実施の形態 1におけるアプリケーションプログラム Bの実行にあたり、アプリケーションプログラム Cを削除した後の RAMの状態を示す図である。

[図 21]図 21 (A)は、実施の形態 1におけるアプリケーションプログラム Bの実行後のプログラム管理情報を示す図であり、図 21 (B)は、実施の形態 1におけるアプリケーシヨンプログラム Bの実行後の RAMの状態を示す図である。

[図 22]図 22は、実施の形態 2における SDカードのブロック構成図である。

符号の説明

100 セキュアメモリカード

101 不揮発性メモリ群

102 RAM

103 ROM

104 CPU

105 ホストインタフェース

106 FeRAM

107 TRM 108 セキュアフラッシュ

109 フラッシュメモリ

201 サービスプロバイダ

202 ホス卜機器

203 SDカード

204 TRM

205 大容量不揮発性メモリ

206 SDカードコントローラ部

207 SDインタフェース

300 外部 CPU

301 セキュアメモリカード

302 制御部

303 内部 CPU

304 TRM

305 大容量不揮発性メモリ

306 内部不揮発性メモリ

307 セキュア領域

308 認証領域

309 非認証領域

400 プログラム取得部

401 プログラム管理部

402 履歴管理部

403 格納制御部

404 移動制御部

405 ICカード OS

406 RAM

406a L プログラム記憶領域

407 公開鍵記憶部 408 復号化部

409 実行部

410 再読み込み部

411 削除部

420, 421, 422, 423 アプリケーションプログラム

503 時刻情報取得部

505 移動判定部

507 一時記憶部

2200 SDカード

2217 鍵生成部

2218 追加暗号化部

2219 追加復号化部

発明を実施するための最良の形態

[0026] 以下に、本発明を実施するための最良の形態について、図面を参照して説明する

[0027] (実施の形態 1)

実施の形態 1におけるシステム全体の概観を図 2に示す。実施の形態 1では、セキユアメモリカードが SDカードである場合を想定する。

[0028] 図 2に示すように、実施の形態 1の SDカード 203は、携帯電話等のホスト機器 202 と SDインタフェース（以下「SDI/F」 t 、う） 207を介して接続され、耐タンパ性モジユール (TRM) 204と、大容量不揮発性メモリ 205と、 SDカードコントローラ部 206とを備える。ホスト機器 202は、携帯電話に限られず、 SDIZFを持つ機器であるならば、どのような機器であってもよい。

[0029] 図 3は、一般的なセキュアメモリカードの概観図である。図 3に示すように、セキュアメモリカード 301は、内部不揮発性メモリ 306を有する TRM304と、セキュア領域 30 7、認証領域 308、及び非認証領域 309を有する大容量不揮発性メモリ 305と、内部不揮発性メモリ 306及びセキュア領域 307に対してアクセスする内部 CPU303と、電子機器 (リード Zライト (RZW)装置)の外部 CPU300と通信して認証処理を行なヽ、認証した外部 CPU300による認証領域 308へのアクセスを許可する制御部 302とを備える。

[0030] TRM304の内部不揮発性メモリ 306は、例えば、 1バイト単位でデータの消去及び書き込みができる Electronically Erasable and Programmable ROM (EEP ROM)である。大容量不揮発性メモリ 305は、例えば、 64キロバイト等のブロック単位でのデータの消去と 1バイト単位でのデータの書き込みとが可能なフラッシュメモリである。

[0031] 外部 CPU300は、非認証領域 309に無条件でアクセスすることができる。外部 CP U300は、認証領域 308には、制御部 302による認証が完了した場合にのみァクセスすることができる。しかし、外部 CPU300は、セキュア領域 307及び内部不揮発性メモリ 306の存在を知ることができず、これらに直接アクセスすることはできない。セキユア領域 307及び内部不揮発性メモリ 306に対しては、内部 CPU303だけがァクセス可能である。

[0032] セキュア領域 307と内部不揮発性メモリ 306との違いは、内部不揮発性メモリ 306 が TRM304内に設けられているのに対し、セキュア領域 307が TRM304外の大容量不揮発性メモリ 305に設けられている点である。そのため、セキュア領域 307は、内部不揮発性メモリ 306に比べて大き、蓄積容量を持つことができる反面、セキユリティレベルでは、 TRM304内に設けられた内部不揮発性メモリ 306に比べて低い。図 3に示すように、これら 4つの領域のセキュリティレベルは、非認証領域 309が最も低ぐ認証領域 308、セキュア領域 307、内部不揮発性メモリ 306の順に高くなつている。

[0033] 図 1 (A)の不揮発性メモリ群 101と、図 3との対比関係は以下の通りである。図 1 (A )の FeRAM106が図 3の内部不揮発性メモリ 306に対応し、図 1 (A)のセキュアフラッシュ 108が図 3のセキュア領域 307に対応し、図 1 (A)のフラッシュメモリ 109が図 3 の認証領域 308及び非認証領域 309に対応する。

[0034] 図 4は、実施の形態 1における SDカード 203のブロック構成を示す図である。 SD力ード 203は、 SD規格で規定されている SDカードコントローラ部 206と、 TRM204と、大容量不揮発性メモリ 205とを備える。 SDカードコントローラ部 206は、ホスト機器 20 2との間でデータの送受信を行なうインタフェース部であり、 TRM204は、耐タンパ機能が実装されている ICカード部である。大容量不揮発性メモリ 205としては、例えばフラッシュメモリが用いられる。

[0035] TRM204は、プログラム取得部 400と、プログラム管理部 401と、履歴管理部 402 と、格納制御部 403と、移動制御部 404と、 ICカード Operating System (OS) 405 と、 RAM406と、公開鍵記憶部 407と、復号ィ匕部 408と、実行部 409とを有する。 TR M204は、更に、再読み込み部 410と、削除部 411とを有する力それらは図 4には示されていない。再読み込み部 410及び削除部 411は、図 5を用いて後述する。

[0036] プログラム取得部 400は、サービスプロバイダ力もダウンロードされるアプリケーションプログラム 420を、 SDカードコントローラ部 206経由で取得する。ダウンロードされるアプリケーションプログラム 420は、サービスプロバイダが要求するセキュリティ強度で暗号化されている。

[0037] プログラム管理部 401は、 RAM406に保持されているアプリケーションプログラムや、大容量不揮発性メモリ 205に保持されているアプリケーションプログラムを一意に識別するためのプログラム IDと、アプリケーションプログラムの保存先とを管理する。アプリケーションプログラムの保存先は、 RAM406又は大容量不揮発性メモリ 205である。

[0038] 履歴管理部 402は、アプリケーションプログラムのアクセス履歴を管理する。

[0039] 格納制御部 403は、プログラム取得部 400によって取得されるアプリケーションプログラムを RAM406のプログラム記憶領域 406aに格納する。

[0040] 移動制御部 404は、移動対象のアプリケーションプログラムを RAM406のプログラム記憶領域 406aから大容量不揮発性メモリ 205に移動させる。

[0041] RAM406は、ホスト機器 202からダウンロードされるアプリケーションプログラムをそのままの状態で、すなわち暗号ィ匕された状態で記憶するプログラム記憶領域 406aを有する。 RAM406は、復号ィ匕されたアプリケーションプログラムをも記憶する。すなわち、 RAM406は、プログラム記憶領域 406aに加え、プログラム記憶領域 406aから読み出されたアプリケーションプログラム 421、又は大容量不揮発性メモリ 205から読み出されたアプリケーションプログラム 423を復号ィ匕するための領域 (第 2領域)を有している。復号化されたアプリケーションプログラム 422は、 RAM406の第 2領域に保持される。プログラム記憶領域 406a及び第 2領域は固定された領域ではな、。

[0042] 公開鍵記憶部 407は、暗号ィ匕されているアプリケーションプログラムを復号ィ匕するための公開鍵を保持する。

[0043] 復号ィ匕部 408は、暗号ィ匕されているアプリケーションプログラムを、公開鍵記憶部 4 07によって保持されている公開鍵で復号ィ匕する。

[0044] 実行部 409は、復号化処理されたアプリケーションプログラム 422を実行する。

[0045] 図 5は、 TRM204における、アプリケーションプログラムの移動を実行する構成部のブロック図である。図 5に示すように、 TRM204は、プログラム管理部 401と、履歴管理部 402と、格納制御部 403と、移動制御部 404と、実行部 409と、再読み込み部 410と、削除部 411とを有する。移動制御部 404は、時刻情報取得部 503と、移動判定部 505と、一時記憶部 507とを有する。

[0046] 時刻情報取得部 503は、 SDIZF207を介して、ホスト機器 202より時刻情報を取得する。時刻情報取得部 503は、アプリケーションプログラムにアクセスする度に現在時刻を取得してもよい。時刻情報取得部 503は、アプリケーションプログラムのダウンロード時にその時点での現在時刻を取得し、その後の経過時間は SDカード 203内の CPUのクロックから算出し、アプリケーションプログラムのダウンロード時の時刻に算出した経過時間を加算することにより、アプリケーションプログラムにアクセスする際の時刻を取得してもよ!ヽ。時刻情報取得部 503による現在時刻の取得方法は問わない。

[0047] 一時記憶部 507は、ダウンロード開始時に通知されるダウンロード対象のアプリケーシヨンプログラムの暗号ィ匕時のデータサイズ及び復号ィ匕時のデータサイズ等の情報を一時的に記憶する。

[0048] 図 6は、履歴管理部 402によって管理される履歴管理情報 509の例を示す図である。図 6に示すように、履歴管理情報 509は、アプリケーションプログラムを一意に識別するためのプログラム IDと、アプリケーションプログラムへの最終のアクセス日を示す最終アクセス日と、最終アクセス日の直前のアプリケーションプログラムへのァクセス日を示す前々回アクセス日と、前々回アクセス日から最終アクセス日までの経過日数を示すアクセス間隔との 4項目から構成される。

[0049] 図 7は、プログラム管理部 401によって管理されるプログラム管理情報 510の例を示す図である。図 7に示すように、プログラム管理情報 510は、アプリケーションプロダラムを一意に識別するためのプログラム IDと、アプリケーションプログラムの保存先と、アプリケーションプログラムの暗号化時のサイズと、アプリケーションプログラムの復号化時のサイズと、プログラム記憶領域 406aから大容量不揮発性メモリ 205への移動対象に決定されたアプリケーションプログラムであることを示す移動フラグと、アプリケーシヨンプログラムの実行時に実行対象のアプリケーションプログラムの復号ィ匕が完了して、ることを示す復号化済みフラグとから構成される。アプリケーションプログラムの保存先は、 TRM204 (RAM406)又は大容量不揮発性メモリ 205である。プログラム記憶領域 406aから大容量不揮発性メモリ 205への移動対象に決定されたアプリケーシヨンプログラムの移動フラグには、 "1" (ON)が記載される。復号化が完了しているアプリケーションプログラムの復号ィ匕済みフラグには、 "1"が記載される。

[0050] 移動判定部 505は、時刻情報取得部 503から取得する現在時刻、一時記憶部 50 7で保持されているアプリケーションプログラムの暗号化時のデータサイズ及び復号化時のデータサイズ等の情報、履歴管理部 402から取得する履歴管理情報 509、及びプログラム管理部 401から取得するプログラム管理情報を用いて、 TRM204から大容量不揮発性メモリ 205に移動させるアプリケーションプログラムを決定する。

[0051] TRM204から大容量不揮発性メモリ 205に移動させるアプリケーションプログラムの決定手順を以下に示す。

[0052] 初めに、移動判定部 505は、プログラム管理部 401からプログラム管理情報 510を取得し、 RAM406の全容量と、 RAM406に存在するアプリケーションプログラムの暗号化時のデータサイズ及び復号化時のデータサイズとから、現在の RAM406の空き容量を取得する。

[0053] アプリケーションプログラムをダウンロードする場合、移動判定部 505は、一時記憶部 507に記憶されているダウンロード対象のアプリケーションプログラム 420の暗号化時のデータサイズと、先に取得した RAM406の空き容量とを比較する。ダウンロード対象のアプリケーションプログラム 420の暗号化時のデータサイズが RAM406の空き容量を超える場合、プログラム記憶領域 406aに保存されて、るアプリケーションプログラム 421のいずれかを、大容量不揮発性メモリ 205に移動させる処理に移行する

[0054] アプリケーションプログラムを実行する場合、移動判定部 505は、実行対象となるァプリケーシヨンプログラムの復号化時のデータサイズと、 RAM406の空き容量とを比較する。復号化時のアプリケーションプログラム 422のサイズ力 RAM406の空き容量を超える場合、プログラム記憶領域 406aに保存されて、るアプリケーションプログラム 421のいずれかを、大容量不揮発性メモリ 205に移動させる処理に移行する。

[0055] 移動判定部 505は、時刻情報取得部 503より現在時刻を取得する。

[0056] 移動判定部 505は、プログラム管理部 401に問合せ、プログラム管理情報 510の中で、保存先が TRM204であるアプリケーションプログラムの IDを取得する。

[0057] 次に、移動判定部 505は、履歴管理部 402に問合せ、履歴管理情報 509を取得する。移動判定部 505は、最終アクセス日が最も古いアプリケーションプログラムを移動対象のアプリケーションプログラムと決定し、先のプログラム管理部 401への問合せの結果より抽出したプログラム IDの中から、移動対象に決定されたアプリケーションプログラムの IDを取得するとともに、そのアプリケーションプログラムの暗号化時のデータサイズを取得する。そして、移動判定部 505は、プログラム管理部 401に対して、移動対象に決定したアプリケーションプログラムに関して、プログラム管理情報 51 0の移動フラグを ON (1)に設定し、保存先を大容量不揮発性メモリ 205に更新するように指示する。

[0058] 次に、移動判定部 505は、移動対象として決定したアプリケーションプログラムの暗号化時のデータサイズを RAM406の空き容量に加算し、アプリケーションプログラムのダウンロード、又はアプリケーションプログラムの復号化処理に十分な RAM406の空き容量が確保できる力否かを確認する。 1個のアプリケーションプログラムを大容量不揮発性メモリ 205に移動しても十分な RAM406の空き容量が確保できな、場合、移動判定部 505は、再度、プログラム管理部 401及び履歴管理部 402に問合せ、大容量不揮発性メモリ 205に移動させるアプリケーションプログラムの IDを抽出する。移動判定部 505は、アプリケーションプログラムのダウンロード、又は実行対象のアプリケーシヨンプログラムの復号化を行なうために必要な RAM406の領域が確保することができるまで、大容量不揮発性メモリ 205へ移動させるアプリケーションプログラムの IDの抽出を繰り返す。

[0059] また、大容量不揮発性メモリ 205に移動していたアプリケーションプログラム 423を実行する場合においても、 RAM406上に、アプリケーションプログラム 423の復号化に必要な領域が確保できないときは、移動判定部 505は、上記と同様の処理を行なう。これにより、 RAM406上に、アプリケーションプログラム 423の復号化に必要な領域が確保される。

[0060] 最後に、移動判定部 505は、プログラム管理情報 510において移動フラグが ON (1 )になっているアプリケーションプログラムの IDを、移動制御部 404に通知する。

[0061] 移動制御部 404は、移動判定部 505から通知されたプログラム IDを持つアプリケーシヨンプログラムを、大容量不揮発性メモリ 205にコピーする。移動制御部 404は、アプリケーションプログラムの大容量不揮発性メモリ 205へのコピーが完了すると、移動判定部 505を介して、プログラム管理部 401にプログラム管理情報 510の移動フラグを全て OFF (0)にするように指示する。移動制御部 404は、大容量不揮発性メモリ 205へのコピーが完了したアプリケーションプログラム 421を削除する。

[0062] 削除部 411は、復号ィ匕済みで実行対象ではなくなつたアプリケーションプログラム 4 22を削除する。

[0063] 実行部 409は、復号化処理されたアプリケーションプログラム 422を実行する。

[0064] 再読み込み部 410は、大容量不揮発性メモリ 205に移動していたアプリケーションプログラム 423を実行する際に、アプリケーションプログラム 423を大容量不揮発性メモリ 205から読み込む。

[0065] 図 8は、アプリケーションプログラムをダウンロードする時のアプリケーションプログラムの移動処理のフローを示す図である。アプリケーションプログラムのダウンロードが開始されると（S800)、 TRM204内の各構成部は、以下のように動作する。

[0066] 初めに、一時記憶部 507は、ダウンロードに先立って通知されたダウンロード対象のアプリケーションプログラムの暗号化時のデータサイズ及び復号化時のデータサイズを保持する。 [0067] 次に、移動判定部 505は、プログラム管理部 401よりプログラム管理情報 510を取得し、 RAM406の全容量と、 RAM406に存在するアプリケーションプログラムの喑号化時のデータサイズ及び復号化時のデータサイズとから、現在の RAM406の空き容量を取得する（S801)。

[0068] 次に、移動判定部 505は、取得した RAM406の空き容量と、一時記憶部 507に保存されているダウンロード対象のアプリケーションプログラムの暗号化時のデータサイズとを比較する（S802)。なお、 RAM406の空き容量とプログラム記憶領域 406aは等しいものとする。

[0069] ダウンロード対象のアプリケーションプログラムのサイズが、 RAM406の空き容量以下である場合（S802で Yes)、プログラム取得部 400はダウンロードされるアプリケーシヨンプログラムを取得し、格納制御部 403は取得されるアプリケーションプログラムを RAM406のプログラム記憶領域 406aに格納する（S803)。そして、移動判定部 5 05はプログラム管理部 401にプログラム管理情報 510を更新するように指示し、プログラム管理部 401はプログラム管理情報 510を更新し（S812)、ダウンロード処理は終了する（S813)。

[0070] 逆に、ダウンロード対象のアプリケーションプログラムのサイズ力 RAM406の空き容量を超える場合（S802で No)、移動判定部 505は RAM406の空き容量を確保するための処理を開始する。

[0071] 最初に、移動判定部 505は、時刻情報取得部 503から時刻情報を取得する（S80 4)。

[0072] 次に、移動判定部 505は、プログラム管理部 401に問合せ、プログラム管理情報 5 10を取得し、保存先が TRM204であるアプリケーションプログラムの IDを取得する（ S805)。

[0073] 次に、移動判定部 505は、履歴管理部 402に問合せ、履歴管理情報 509を取得する（S806)。

[0074] 移動判定部 505は、 S806で取得した履歴管理情報 509から、 S805で取得したプログラム IDのうち最終アクセス日が最も古いアプリケーションプログラムを、大容量不揮発性メモリ 205への移動対象のアプリケーションプログラムと決定し、プログラム管理情報 510から移動対象のアプリケーションプログラムの暗号化時のデータサイズを取得する（S807)。

[0075] 次に、移動判定部 505は、プログラム管理部 401に対して、移動対象に決定したァプリケーシヨンプログラムのプログラム管理情報 510の移動フラグを ON (1)に設定するとともに、保存先を大容量不揮発性メモリ 205に更新するように指示し、その指示に従って、プログラム管理部 401はプログラム管理情報 510を更新する（S808)。

[0076] 格納制御部 403は、 S807で決定された移動対象のアプリケーションプログラムを、大容量不揮発性メモリ 205に移動する（S810)。次に、移動処理後の RAMの空き容量を取得し、 S802に遷移して、ダウンロードするアプリケーションプログラムがプログラム記憶領域 406aに保存可能となるまで、 S802から S810の処理を繰り返す。

[0077] 最後に、プログラム管理部 401は、プログラム管理情報 510の移動フラグを全て OF F (0)に設定し、アプリケーションプログラムをダウンロードする処理は終了する（S81 3)。

[0078] なお、上記では、 S807において、移動判定部 505は、移動対象となるアプリケーシヨンプログラムとして、最終アクセス日が最も古いアプリケーションプログラムを決定する。しかしながら、移動判定部 505は、アクセス間隔が一番長いアプリケーションプログラムを移動対象と決定したり、特定の曜日にのみアクセスするアプリケーションプログラムを移動対象と決定してもよい。すなわち、移動判定部 505は、アプリケーションプログラムの実行履歴に応じて大容量不揮発性メモリ 205に移動させるアプリケーシヨンプログラムを決定してもよい。しかしながら、 RAM406の空き容量をダウンロード対象等の RAM406に格納されるアプリケーションプログラムのサイズ以上にする方法であれば、移動すべきアプリケーションプログラムを決定する方法にっ、ては問わない。

[0079] 図 9は、 RAM406上に復号化済みのアプリケーションプログラム 422が存在する場合における、アプリケーションプログラムのダウンロード時のアプリケーションプログラム移動処理のフローを示す図である。図 8における処理フローとほぼ同じであるが、異なる点は S904である。図 8における処理フローでは、 RAM406の空き領域確保のため、プログラム記憶領域 406aに保存されているアプリケーションプログラム 421 の中から、大容量不揮発性メモリ 205に移動させるアプリケーションプログラムを決定する。し力しながら、 S904において、削除部 411は、大容量不揮発性メモリ 205に移動させるアプリケーションプログラムが決定されることより優先して、 RAM406に存在する復号ィ匕済みのアプリケーションプログラム 422を削除する。この点が図 9と図 8とが異なる。

[0080] 図 10は、プログラム記憶領域 406aに保存済みのアプリケーションプログラムを実行する場合の処理フローを示す図である。

[0081] アプリケーションプログラムの実行が開始されると（S1000)、移動判定部 505は、プログラム管理部 401からプログラム管理情報 510を取得し、 S801と同様の手順で RAM406の空き容量を取得する（S1001)。

[0082] また、移動判定部 505は、 S1001において取得したプログラム管理情報 510から、実行対象のアプリケーションプログラムの復号ィ匕後のサイズを取得する（S 1002)。

[0083] 次に、移動判定部 505は、取得した RAM406の空き容量と、 S 1002で取得した復号化後のデータサイズとを比較する（S 1003)。なお、 RAM406の空き容量とプログラム記憶領域 406aは等し!/、ものとする。復号化後のデータサイズが RAM406の空き容量以下である場合 (S1003で Yes)、復号ィ匕部 408は、暗号ィ匕されている実行対象のアプリケーションプログラムを復号化し（S 1004)、プログラム管理部 401はプログラム管理情報 510を更新し（S1012)、実行部 409はアプリケーションプログラムを実行する（S1013)。逆に、復号ィ匕後のデータサイズが RAM406の空き容量を超える場合（S1003で No)、移動判定部 505は RAM406の空き容量を確保するための処理を開始する。

[0084] 初めに、移動判定部 505は、時刻情報取得部 503から時刻情報を取得する（S10 05)。

[0085] 次に、移動判定部 505は、履歴管理部 402に問合せ、履歴管理情報 509を取得する（S1006)。移動判定部 505は、 S1006で取得された履歴管理情報 509と S10 02で取得されたプログラム管理情報 510とから、保存先が TRM204であるアプリケーシヨンプログラムで、かつ最終のアクセス日が最も古いアプリケーションプログラムを、大容量不揮発性メモリ 205への移動対象のアプリケーションプログラムと決定し、その暗号化時のデータサイズを取得する（S1007)。なお、図 8と同様に、履歴管理情報 509から移動させるアプリケーションプログラムを決定するアルゴリズムは、使用頻度等を考慮した決定方法でもよぐその方法は問わない。

[0086] 次に、移動判定部 505は、プログラム管理部 401に対して、移動対象に決定したァプリケーシヨンプログラムのプログラム管理情報 510の移動フラグを ON (1)に設定し、保存先を大容量不揮発性メモリ 205に更新するように指示し、プログラム管理部 40 1は、プログラム管理情報 510を更新する（S1008)。

[0087] 移動制御部 404は、 S 1007で移動対象に決定されたアプリケーションプログラムを、大容量不揮発性メモリ 205に移動する（S1010)。次に、移動処理後の RAMの空き容量を取得し、 S 1003に遷移して、実行対象のアプリケーションプログラムの復号化処理が実行できるだけの RAM406の空き容量が確保できるまで、 S1003力ら S1 010の処理を繰り返す。

[0088] 次に、復号ィ匕部 408は、実行対象のアプリケーションプログラムの復号ィ匕処理を行なう（S 1004)。

[0089] プログラム管理部 401は、プログラム管理情報 510の移動フラグを全て OFF (0)に設定し、プログラム管理情報 510を更新する（S1012)。

[0090] そして、実行部 409はアプリケーションプログラムを実行する（S1013)。

[0091] 図 11は、大容量不揮発性メモリ 205に移動していたアプリケーションプログラム 423 を実行する場合の処理フローを示す図である。アプリケーションプログラムの実行が開始されると（S1100)、 TRM204内の各構成部は、以下のように動作する。

[0092] 初めに、移動判定部 505は、プログラム管理部 401からプログラム管理情報 510を取得し、実行しょうとするアプリケーションプログラムの保存先が大容量不揮発性メモリ 205であることを確認するとともに、実行対象のアプリケーションプログラムの暗号ィ匕時のデータサイズと復号化時のデータサイズとを取得する（S1101)。

[0093] 次に、移動判定部 505は、 S1101で取得したプログラム管理情報 510の保存先情報、暗号化時のデータサイズ、及び復号化後のデータサイズより、 RAM406の空き容量を取得する（S 1102)。

[0094] 次に、移動判定部 505は、 S1101で取得した実行対象のアプリケーションプロダラムの暗号ィ匕時のデータサイズと復号ィ匕時のデータサイズとの合計と、 S1102で取得した RAM406の空き容量とを比較する（S1103)。なお、 RAM406の空き容量とプログラム記憶領域 406aは等、ものとする。

[0095] 上記合計が RAM406の空き容量以下である場合（S 1103で Yes)、再読み込み部 410は、大容量不揮発性メモリ 205から実行対象のアプリケーションプログラム 423を読み込み、格納制御部 403は読み込まれた実行対象のアプリケーションプログラム 4 23を RAM406に格糸内する (S 1104)。復号ィ匕咅408は復号ィ匕処理を行な!/ヽ（S110 5)、プログラム管理部 401はプログラム管理情報 510を更新し（S1113)、実行部 40 9は実行対象のアプリケーションプログラムを実行する（S 1114)。

[0096] 逆に、上記合計が RAM406の空き容量を超える場合（S 1103で No)、移動判定部 505は RAM406の空き容量を確保するための処理を開始する。

[0097] まず、移動判定部 505は、時刻情報取得部 503から時刻情報を取得する（S1106

) o

[0098] 次に、移動判定部 505は、履歴管理部 402に問合せ、履歴管理情報 509を取得する（S1107)。

[0099] 次に、移動判定部 505は、 S1101で取得したプログラム管理情報 510の中で、保存先が TRM204であるアプリケーションプログラムで、かつ S 1107で取得した履歴管理情報 509の中で、最終アクセス日が最も古いプログラム IDを抽出する。移動判定部 505は、抽出したプログラム IDに対応するアプリケーションプログラムを大容量不揮発性メモリ 205への移動対象と決定し (S 1108)、プログラム管理情報 510より、移動対象に決定されたアプリケーションプログラムの暗号ィ匕時のデータサイズを取得する。

[0100] 次に、プログラム管理部 401は、移動対象に決定されたアプリケーションプログラムのプログラム管理情報 510の移動フラグを ΟΝ (1)に設定し、保存先を大容量不揮発性メモリ 205に更新する（S 1109)。

[0101] 移動制御部 404は、 S 1108で移動対象に決定したアプリケーションプログラムを、プログラム記憶領域 406aから大容量不揮発性メモリ 205に移動する（S 1111)。次に、移動処理後の RAMの空き容量を取得し、 S 1103に遷移して、実行対象のアプリケーシヨンプログラムの復号化処理が可能になるまで S 1103力ら S 1111の処理を繰り返す。

[0102] 最後に、プログラム管理部 401は、プログラム管理情報 510の移動フラグを全て OF F (0)に設定し、アプリケーションプログラムの移動処理は終了する。

[0103] アプリケーションプログラムの移動処理が終了した後、移動制御部 404は、実行対象のアプリケーションプログラム 423を大容量不揮発性メモリ 205から読み込み、読み込んだ実行対象のアプリケーションプログラム 423を RAM406にコピーする（S 11 04)。

[0104] 最後に、移動制御部 404は復号ィ匕処理を行ない（S 1105)、プログラム管理部 401 はプログラム管理情報 510を更新し（S1113)、その後、実行部 409は、 S1105で復号化済みのアプリケーションプログラム 422を実行する（S 1114)。

[0105] なお、 S1108において、移動判定部 505は、移動対象となるアプリケーションプログラムとして、最終アクセス日が最も古いアプリケーションプログラムを決定する。しかしながら、移動判定部 505は、アクセス間隔が一番長いアプリケーションプログラムを移動対象と決定したり、特定の曜日にのみアクセスするアプリケーションプログラムを移動対象と決定してもよい。すなわち、移動判定部 505は、アプリケーションプロダラムの実行履歴に応じて大容量不揮発性メモリ 205に移動させるアプリケーションプログラムを決定してもよい。 RAM406の空き容量をダウンロード対象等の RAM406に格納されるアプリケーションプログラムのサイズより大きくする方法であれば、移動すべきアプリケーションプログラムを決定する方法については問わない。

[0106] また、図 11に示す処理フローでは、 RAM406の空き領域確保のための処理において、 S 1106力ら SI 110で示すようなプログラム記憶領域 406aに保存されて!、るァプリケーシヨンプログラム 421の移動処理が行なわれる。しかしながら、 RAM406に復号化済みのアプリケーションプログラム 422が存在する場合、削除部 411が RAM 406に存在する復号化済みのアプリケーションプログラム 422を削除する処理力優先されてもよい。

[0107] また、図 11に示す処理フローでは、 S1103において、移動判定部 505は、実行対象のアプリケーションプログラムの暗号化時のデータサイズと復号化時のデータサイズとの合計と、 RAM406の空き容量とを比較する。しかしながら、 S1103において、移動判定部 505は、実行対象のアプリケーションプログラムの復号ィ匕時のデータサイズと、 RAM406の空き容量とを比較してもよい。

[0108] その場合、実行対象のアプリケーションプログラムの復号ィ匕時のデータサイズが RA M406の空き容量以下であるとき（S 1103で Yes)、復号化部 408は実行対象のァプリケーシヨンプログラム 423を読み込んで復号化処理を行なって RAM406に格納してもよい。他方、実行対象のアプリケーションプログラムの復号ィ匕時のデータサイズが RAM406の空き容量を超えるとき（S 1103で No)、移動判定部 505は、実行対象のアプリケーションプログラムの復号化時のデータサイズが RAM406の空き容量以下になるように、 RAM406の空き容量を確保するための処理を開始する。

[0109] 上述した構成及び動作により、サービスプロノイダ力もダウンロードされたアプリケーシヨンプログラムを、ダウンロードされたときの暗号ィ匕された状態のまま大容量不揮発性メモリ 205に簡単に移動させることができる。そのため、サービスプロバイダが要求するセキュリティ強度を保った状態で、より多くのアプリケーションプログラムを、 SD カード 203をはじめとする ICカード機能が搭載されたセキュアメモリカード内に保存することが可能となる。

[0110] 図 12は、サービスプロバイダが提供するアプリケーションプログラムの情報の一例を示している。

[0111] 以下に、図 12に示すアプリケーションプログラムのダウンロード時の処理及び実行時の処理を具体的に説明する。以下では、 RAM406の全体の容量は 120KBであると仮定する。

[0112] ステップ 1として、 RAM406が未使用の状態であり、 SDカード 203にアプリケーションプログラム Aをダウンロードする場合の処理フローについて、詳細に説明する。

[0113] ホスト機器 202からのアプリケーションプログラム Aのダウンロード指示により、アプリケーシヨンプログラム Aのダウンロード処理が開始する。

[0114] ダウンロード処理が開始されると、サービスプロバイダよりアプリケーションプログラム Aの暗号化時のデータサイズ及び復号化時のデータサイズ等の情報が、 SDカード 2 03に送信されてくる。それら送信される情報は一時記憶部 507に保存される。この場合、一時記憶部 507には、アプリケーションプログラム Aの暗号ィ匕時のデータサイズとして 10KB力アプリケーションプログラム Aの復号化時のデータサイズとして 30KB が保存される。

[0115] 次に、移動判定部 505は、プログラム管理部 401よりプログラム管理情報 510を取得し、 RAM406の空き容量を取得する。この場合、アプリケーションプログラムが何もダウンロードされてヽな、状態なので、 RAM406の使用領域のサイズは 0KBであり、 RAM406の空き領域は 120KBである。

[0116] 次に、移動判定部 505は、一時記憶部 507に保存されているアプリケーションプログラム Aの暗号化時のデータサイズと、 RAM406の空き容量とを比較する。この場合、移動判定部 505は、アプリケーションプログラム Aの暗号化時のデータサイズが 10 KBであり、 RAM406の空き容量が 120KBであるため、アプリケーションプログラム Aをプログラム記憶領域 406aに保存可能であると判断し、格納制御部 403はアプリケーシヨンプログラム Aをプログラム記憶領域 406aに保存する。

[0117] 以上により、アプリケーションプログラム Aのダウンロード処理が完了する。

[0118] アプリケーションプログラム Aのダウンロード処理が完了した後、プログラム管理情報 510は、プログラム管理部 401によって、図 13 (A)のように更新される。また、 RAM4 06の状態は、図 13 (B)のようになる。

[0119] 引き続き、ステップ 2として、 SDカード 203にアプリケーションプログラム Bをダウン口ードする場合の処理フローについて、詳細に説明する。

[0120] ホスト機器 202からのアプリケーションプログラム Bのダウンロード指示により、アプリケーシヨンプログラム Bのダウンロード処理が開始する。

[0121] ダウンロード処理が開始されると、ステップ 1で示したアプリケーションプログラム Aのダウンロード時と同様に、アプリケーションプログラム Bに関する情報（暗号化時のデータサイズ及び復号ィ匕時のデータサイズ)が、一時記憶部 507に保存される。この場合、一時記憶部 507には、アプリケーションプログラム Bの暗号ィ匕時のデータサイズとして 30KB力アプリケーションプログラム Bの復号化時のデータサイズとして 50KB が保存される。

[0122] 次に、移動判定部 505は、プログラム管理部 401よりステップ 1で更新済みのプログラム管理情報 1300を取得し、 RAM406の空き容量を取得する。この場合、 RAM4 06に保存されているアプリケーションプログラムは、アプリケーションプログラム Aのみであり、 RAM406の使用領域サイズは 10KBであることから、 RAM406の空き領域は 110KBである。

[0123] 次に、移動判定部 505は、一時記憶部 507に保存されているアプリケーションプログラム Bの暗号化時のデータサイズと、 RAM406の空き容量とを比較する。この場合、移動判定部 505は、アプリケーションプログラム Bの暗号化時のデータサイズが 30 KBであり、 RAM406の空き領域は 110KBであるため、アプリケーションプログラム B をプログラム記憶領域 406aに保存可能であると判断し、格納制御部 403はアプリケーシヨンプログラム Bをプログラム記憶領域 406aに保存する。

[0124] 以上により、アプリケーションプログラム Bのダウンロード処理が完了する。

[0125] アプリケーションプログラム Bのダウンロード処理が完了した後、プログラム管理情報 1300は、プログラム管理部 401によって、図 14 (A)のように更新される。また、 RAM 406の状態は、図 14 (B)のようになる。

[0126] 続!、て、ステップ 3として、アプリケーションプログラム Bを実行する場合の処理フロ一について、詳細に説明する。

[0127] ホスト機器 202からのアプリケーションプログラム Bの実行指示により、アプリケーションプログラム Bの実行処理が開始する。

[0128] 初めに、移動判定部 505は、プログラム管理部 401からステップ 2で更新済みのプログラム管理情報 1400を取得し、実行対象であるアプリケーションプログラム Bの復号ィ匕後のデータサイズを取得し、一時記憶部 507に保存する。この場合、一時記憶部 507に保存される値は 50KBとなる。

[0129] 次に、移動判定部 505は、プログラム管理情報 1400より、 RAM406の空き容量を取得する。この場合、 RAM406には、暗号化されたアプリケーションプログラム A (10 KB)と、暗号化されたアプリケーションプログラム B (30KB)とが含まれるため、 RAM 406の空き容量は 80KBである。

[0130] 次に、移動判定部 505は、一時記憶部 507に保存されているアプリケーションプログラム Bの復号化後のデータサイズ 50KBと、 RAM406の空き容量 80KBとを比較し、アプリケーションプログラム Bは RAM406上で復号化可能であると判断する。

[0131] この後、 S1004で示したように、復号化部 408はアプリケーションプログラム Bを復号化処理し、プログラム管理部 401は、プログラム管理情報 1400を図 15 (A)のように更新する。 RAM406の状態は、図 15 (B)のようになる。

[0132] 以上により、アプリケーションプログラム Bが実行可能状態となり、実行部 409はァプリケーシヨンプログラム Bを実行する。

[0133] 続いて、ステップ 4として、 SDカード 203にアプリケーションプログラム Cをダウン口ードする場合の処理フローについて、詳細に説明する。

[0134] ホスト機器 202からのアプリケーションプログラム Cのダウンロード指示により、アプリケーシヨンプログラム Cのダウンロード処理が開始する。

[0135] ダウンロード処理が開始されると、ステップ 1で示したアプリケーションプログラム Aのダウンロード時と同様に、アプリケーションプログラム Cに関する情報（暗号化時のデータサイズ及び復号ィ匕時のデータサイズ)が、一時記憶部 507に保存される。この場合、一時記憶部 507には、アプリケーションプログラム Cの暗号ィ匕時のデータサイズとして 40KB力アプリケーションプログラム Cの復号化時のデータサイズとして 70KB が保存される。

[0136] 次に、移動判定部 505は、プログラム管理部 401よりステップ 3で更新済みのプログラム管理情報 1500を取得し、 RAM406の空き容量を取得する。この場合、 RAM4 06には、暗号化されたアプリケーションプログラム A (10KB)と、暗号化されたアプリケーシヨンプログラム B (30KB)と、復号化されたアプリケーションプログラム B (50KB )とが存在することから、 RAM406の空き容量は 30KBである。

[0137] 次に、移動判定部 505は、一時記憶部 507に保存されているアプリケーションプログラム Cの暗号化時のデータサイズ (40KB)と、 RAM406の空き容量（30KB)とを比較する。この場合、 RAM406の空き容量が不足することから、移動判定部 505は、 RAM406の空き容量を確保するための処理を行なう。

[0138] RAM406の空き容量を確保するための処理フローとして、ここでは S904を採用する。

[0139] すなわち、移動判定部 505は、 RAM406に存在している 3つのアプリケーションプログラムの中で、 S904の処理フロー〖こ基づき、復号化されたアプリケーションプログラム Bを削除する処理を選択する。

[0140] 次に、移動判定部 505は、再度、 RAM406の空き容量を取得する。復号化されたアプリケーションプログラム Bが削除された後の RAM406の空き容量は 80KBとなる

。移動判定部 505は、一時記憶部 507に保存されているアプリケーションプログラム

Cの暗号化時のデータサイズ (40KB)と、 RAM406の空き容量（80KB)とを比較し

、アプリケーションプログラム Cがダウンロード可能であると判断する。

[0141] 次に、格納制御部 403は、ダウンロードされたアプリケーションプログラム Cをプログラム記憶領域 406aに保存する。

[0142] そして、プログラム管理部 401によって、プログラム管理情報 1500は、図 16 (A)のように更新される。また、 RAM406の状態は、図 16 (B)のようになる。

[0143] 以上により、アプリケーションプログラム Cのダウンロード処理が完了する。

[0144] 続!、て、ステップ 5として、アプリケーションプログラム Cを実行する場合の処理フロ一について、詳細に説明する。

[0145] ホスト機器 202からのアプリケーションプログラム Cの実行指示により、アプリケーシヨンプログラム Cの実行処理が開始する。

[0146] ステップ 3で述べたように、初めに、移動判定部 505は、更新済みのプログラム管理情報 1600からアプリケーションプログラム Cの復号化後のデータサイズ（70KB)を取得し、一時記憶部 507に保存する。

[0147] 次に、移動判定部 505は、ステップ 3で述べたように、プログラム管理情報 1600より

RAM406の空き容量を取得する。この場合、 RAM406の空き容量は 40KBである。

[0148] そして、移動判定部 505は、一時記憶部 507に保存されているアプリケーションプログラム Cの復号化後のデータサイズ（70KB)と、 RAM406の空き容量（40KB)とを比較し、アプリケーションプログラム Cの実行に必要な領域が RAM406上に確保できないと判断する。

[0149] そして、移動判定部 505は、 S1005力ら S1008の処理フロー〖こ基づき、大容量不揮発性メモリ 205に移動すべきアプリケーションプログラムを決定する処理を行なう。ここでは、最初にダウンロードされたアプリケーションプログラム力ダウンロード順に大容量不揮発性メモリ 205に移動させる場合を想定する。移動判定部 505は、大容量不揮発性メモリ 205への移動対象のアプリケーションプログラムとして、ステップ 1でダウンロードされたアプリケーションプログラム Aを決定する。

[0150] 次に、プログラム管理部 401は、プログラム管理情報 1600を、図 17 (A)のように更新する。また、 RAM406の状態は、図 17 (B)のようになる。

[0151] 再度、移動判定部 505は、一時記憶部 507に保存されているアプリケーションプログラム Cの復号化後のデータサイズ（70KB)と、 RAM406の空き容量（50KB)とを比較し、アプリケーションプログラム Cの実行に必要な領域が RAM406上にまだ確保できないと判断する。

[0152] 移動判定部 505は、移動対象となるアプリケーションプログラムとして、ステップ 2でダウンロードされたアプリケーションプログラム Bを選択する。

[0153] そして、プログラム管理部 401は、プログラム管理情報 1700を、図 18 (A)のように更新する。また、 RAM406の状態は、図 18 (B)のようになる。

[0154] 再度、移動判定部 505は、一時記憶部 507に保存されているアプリケーションプログラム Cの復号化後のデータサイズ（70KB)と、 RAM406の空き容量（80KB)とを比較し、アプリケーションプログラム Cの実行に必要な領域が RAM406上に確保できたと判断する。

[0155] 移動制御部 404は、プログラム管理情報 1800において、移動フラグが ON (1)に設定されて、るアプリケーションプログラム A (ID： 0x0001)とアプリケーションプログラム B (ID : 0x0002)とを、 RAM406から大容量不揮発性メモリ 205にコピーする。

[0156] そして、移動制御部 404は、コピーが完了したアプリケーションプログラム Aとアプリケーシヨンプログラム Bとを、プログラム記憶領域 406aから削除する。

[0157] 最後に、プログラム管理部 401によって、プログラム管理情報 1800は、図 19 (A)のように更新される。また、 RAM406の状態は、図 19 (B)のようになる。

[0158] 以上により、アプリケーションプログラム Cが実行可能状態となり、実行部 409はァプリケーシヨンプログラム Cを実行する。

[0159] 続いて、ステップ 6として、大容量不揮発性メモリ 205に移動したアプリケーションプログラム Bを実行する場合の処理フローについて、詳細に説明する。 [0160] ホスト機器 202からのアプリケーションプログラム Bの実行指示により、アプリケーションプログラム Bの実行処理が開始する。

[0161] ステップ 3で述べたように、初めに、移動判定部 505は、更新済みのプログラム管理情報 1900からアプリケーションプログラム Bの復号化後のデータサイズ（50KB)を取得し、一時記憶部 507に保存する。

[0162] 次に、移動判定部 505は、ステップ 3で述べたように、プログラム管理情報 1900より

RAM406の空き容量を取得する。この場合、 RAM406の空き容量は 10KBである。

[0163] そして、移動判定部 505は、一時記憶部 507に保存されているアプリケーションプログラム Bの復号化後のデータサイズ（50KB)と、 RAM406の空き容量（10KB)とを比較し、アプリケーションプログラム Bの実行に必要な領域が RAM406上に確保できないと判断する。

[0164] そして、移動判定部 505は、 RAM406上の復号化済みのアプリケーションプロダラムを優先して削除する処理フローをまず採用し、プログラム管理情報 1900に基づいて、復号化されたアプリケーションプログラム Cを削除対象と決定する。

[0165] そして、削除部 411は、 RAM406上の復号化されたアプリケーションプログラム C ( 70KB)を削除する。

[0166] アプリケーションプログラム Cが削除された後、プログラム管理部 401はプログラム管理情報 1900を図 20 (A)のように更新する。また、 RAM406の状態は、図 20 (B)のようになる。

[0167] 再度、移動判定部 505は、一時記憶部 507に保存されているアプリケーションプログラム Bの復号化後のデータサイズ（50KB)と、 RAM406の空き容量（80KB)とを比較し、 RAM406上に、アプリケーションプログラム Bを復号化するための領域が確保できたと判断する。

[0168] 移動制御部 404は、大容量不揮発性メモリ 205からアプリケーションプログラム Bを読み出して RAM406にコピーし、アプリケーションプログラム Bの復号化処理を行な

[0169] そして、プログラム管理部 401は、プログラム管理情報 2000を図 21 (A)のように更新する。このとき、 RAM406の状態は、図 21 (B)のようになる。 [0170] 最後に、実行部 409は、復号化処理されたアプリケーションプログラム Bを実行する

[0171] 以上により、大容量不揮発性メモリ 205に移動していたアプリケーションプログラム B が実行される。

[0172] なお、実施の形態 1では、 TRM204は本発明のメモリカードの ICカード部の一例である。大容量不揮発性メモリ 205は本発明のメモリカードのフラッシュメモリ部の一例である。 RAM406は本発明のメモリカードの耐タンパ記憶部の一例である。

[0173] アプリケーションプログラムの復号化時のデータサイズがダウンロードされるので、実行部 409は、そのアプリケーションプログラムを実行するとき、そのアプリケーションプログラムの復号ィ匕時のデータサイズを、そのアプリケーションプログラムを実行することにより取得し、その取得したサイズがダウンロードされたサイズと一致している力否かを判断してもよい。両者が一致していなければ、実行対象のアプリケーションプログラムは不正なプログラムであるので、実行部 409はそのアプリケーションプログラムの実行を停止する。これにより、正規のアプリケーションプログラムのみの実行が継続される、という効果が得られる。

[0174] また、格納制御部 403は、サービスプロバイダ力もダウンロードされるアプリケーションプログラム 420をプログラム記憶領域 406aに格納するとともに、大容量不揮発性メモリ 205にも格納してもよい。この場合、ダウンロード対象又は実行対象のアプリケーシヨンプログラムのデータサイズが RAM406の空き容量を超えるとき、格納制御部 4 03が RAM406に存在する暗号化されているアプリケーションプログラムのいずれかを削除するだけで、 RAM406の空き容量は、ダウンロード対象又は実行対象のァプリケーシヨンプログラムのデータサイズよりも大きくなり、そのアプリケーションプロダラムを RAM406に配置することができる。

[0175] また、格納制御部 403は、ダウンロード対象のアプリケーションプログラムの暗号ィ匕時のデータサイズが RAM406の空き容量を超える場合、プログラム取得部 400によつて取得されるダウンロード対象のアプリケーションプログラムを大容量不揮発性メモリ 205【こ格糸内してちょ!ヽ。

[0176] また、実行部 409は、アプリケーションプログラムの実行後、実行対象の暗号化されて!、るアプリケーションプログラムを大容量不揮発性メモリ 205に移動させてもょ、。

[0177] (実施の形態 2)

図 22は、実施の形態 2における SDカード 2200のブロック構成を示す図である。 S Dカード 2200は、実施の形態 1の SDカード 203が備える構成部にカ卩えて、鍵生成部 2217と、追加暗号ィ匕部 2218と、追加復号ィ匕部 2219とを備える。なお、説明の簡単化のため、図 22には、図 4に記載されているプログラム管理部 401、履歴管理部 4 02、格納制御部 403、公開鍵記憶部 407、復号ィ匕部 408、及び、実行部 409は、記載されていない。

[0178] プログラム取得部 400は、ホスト機器 202から Subscriber Identity Module Id entifier (SIM ID)や端末 ID等のホスト機器固有の情報を取得し、鍵生成部 2217 は、ホスト機器固有の情報を用いて暗号ィ匕鍵を生成する。追加暗号ィ匕部 2218は、移動制御部 404によって決定された、 TRM204から大容量不揮発性メモリ 205への移動対象のアプリケーションプログラムを、鍵生成部 2217によって生成された暗号化鍵で暗号化する。移動制御部 404は、追カ卩暗号ィ匕部 2218によって暗号ィ匕されたアプリケーションプログラムを、 RAM406から大容量不揮発性メモリ 205へコピーする。

[0179] 移動制御部 404は、追カ卩暗号ィ匕部 2218によって暗号ィ匕されたアプリケーションプログラムを大容量不揮発性メモリ 205へコピーした後、移動対象のアプリケーションプログラムをプログラム記憶領域 406aから削除する。そして、鍵生成部 2217は暗号ィ匕鍵を削除する。

[0180] このように、実施の形態 2では、移動対象のアプリケーションプログラムを鍵生成部 2 217によって生成された暗号ィ匕鍵で暗号ィ匕して大容量不揮発性メモリ 205へ移動させ、その後暗号ィ匕鍵を削除する。これにより、実施の形態 2では、実施の形態 1で説明した移動方法よりもセキュリティ強度を高めた状態で、移動対象のアプリケーションプログラムを大容量不揮発性メモリ 205に保存することができる。

[0181] 大容量不揮発性メモリ 205に保存されているアプリケーションプログラムを RAM40 6にコピーして実行する場合、上記と同様に、プログラム取得部 400はホスト機器固有の情報を取得し、鍵生成部 2217は、ホスト機器固有の情報を用いて暗号ィ匕鍵を生成する。追加復号ィ匕部 2219は、追カ卩暗号ィ匕部 2218によって暗号ィ匕されたアプリケーシヨンプログラムを、鍵生成部 2217によって生成される暗号ィ匕鍵を用いて復号化する。復号化処理が完了すると、移動制御部 404は、暗号ィ匕鍵を削除し、復号ィ匕されたアプリケーションプログラムを RAM406にコピーする。実行部 409は RAM40 6にコピーされたアプリケーションプログラムを実行する。

[0182] また、プログラム取得部 400は、ホスト機器 202のユーザがホスト機器 202に与えるそのユーザの指紋又はユーザが特定する番号等のユーザ固有の情報をホスト機器 2 02から取得してもよい。その場合、鍵生成部 2217は、ホスト機器 202からユーザ固有の情報を用いて暗号ィ匕鍵を生成する。この場合、鍵生成部 2217は、同一の暗号化鍵をいつでも生成することができるので、暗号ィ匕処理が完了し暗号ィ匕鍵が不要になれば暗号ィ匕鍵を削除することができる。これにより、移動対象のアプリケーションプログラムは、実施の形態 1で説明した移動方法よりもセキュリティ強度を高めた状態で大容量不揮発性メモリ 205に保存される。

[0183] (実施の形態 3)

実施の形態 1では、サービスプロバイダよりダウンロードされたアプリケーションプログラムは、 RAM406のプログラム記憶領域 406aに保存される。しかしながら、全てのアプリケーションプログラムは、ダウンロード時に大容量不揮発性メモリ 205に保存されてもよい。これにより、 RAM406の容量を小さくすることが可能となる。

[0184] なお、上述した各実施の形態における、プログラム取得部 400、プログラム管理部 4 01、履歴管理部 402、格納制御部 403、移動制御部 404、復号化部 408、実行部 4 09、再読み込み部 410、削除部 411、鍵生成部 2217、追カ卩暗号化部 2218、及び追加復号ィ匕部 2219の全部又は一部の機能は、 CPUがコンピュータプログラムを実行することにより実現されてちよい。

[0185] また、大容量不揮発性メモリ 205、プログラム取得部 400、プログラム管理部 401、履歴管理部 402、格納制御部 403、移動制御部 404、 ICカード、OS405、 RAM406 、公開鍵記憶部 407、復号化部 408、実行部 409、再読み込み部 410、削除部 411 、鍵生成部 2217、追カ卩暗号ィ匕部 2218、及び追加復号ィ匕部 2219の全部又は一部は、集積回路により実現されてもよい。つまり、上記の全部の構成部は 1チップィ匕されてもよいし、一部の構成部が 1チップ化されてもよい。集積回路は、 Field Program mable Gate Array (FPGA)や、リコンフィギユラブル'プロセッサが利用されてもよい。

産業上の利用可能性

本発明のメモリカードは、 TRM領域に保存しきれなくなったアプリケーションプログラムを、アプリケーションプログラムがダウンロードされた時のセキュリティ強度を保つた状態で、大容量不揮発性メモリに移動させることができ、より多くのアプリケーションプログラムを一枚のメモリカード内に保存することが可能である。よって、本発明のメモリカードは、アプリケーションプログラムに対する強固な保護機能が要求される SD カード、及び ICカード等として有用である。

Claims

請求の範囲

[1] ホスト機器にダウンロードされる暗号ィ匕されているアプリケーションプログラムを前記ホスト機器力も受信するメモリカードであって、

耐タンパ機能を有する Integrated Circuit (IC)カード部と、フラッシュメモリ部とを備え、

前記 ICカード部は、

耐タンパ記憶部と、

前記ホスト機器から、暗号ィ匕されているアプリケーションプログラムと、前記アプリケーシヨンプログラムの暗号ィ匕時のサイズ及び復号ィ匕時のサイズとを取得するプロダラム取得部と、

前記取得されたアプリケーションプログラムの暗号ィ匕時のサイズと前記耐タンパ記憶部の空き容量とに基づ、て、前記耐タンパ記憶部又は前記フラッシュメモリ部を格納先領域として選択し、選択した領域に前記取得された暗号化されて、るアプリケーシヨンプログラムを格納する格納制御部と、

前記耐タンパ記憶部に格納されて、るアプリケーションプログラムの実行時、実行対象のアプリケーションプログラムの復号ィ匕時のサイズが前記耐タンパ記憶部の空き容量を超える場合、前記耐タンパ記憶部に格納されてヽる任意の暗号ィ匕されてヽるアプリケーションプログラムを前記フラッシュメモリ部に移動させる移動制御部と、前記実行対象のアプリケーションプログラムを復号ィ匕し、実行する実行部とを有する

メモリカード。

[2] 前記格納制御部は、前記取得されたアプリケーションプログラムの暗号ィ匕時のサイズが前記耐タンパ記憶部の空き容量以下である場合、前記アプリケーションプロダラムを前記耐タンパ記憶部に格納し、前記暗号化時のサイズが前記空き容量を超える場合、前記アプリケーションプログラムを前記フラッシュメモリ部に格納する

請求項 1に記載のメモリカード。

[3] 前記格納制御部は、前記取得されたアプリケーションプログラムの暗号ィ匕時のサイズが前記耐タンパ記憶部の空き容量を超える場合、前記耐タンパ記憶部に格納されて、る任意の暗号ィ匕されて、るアプリケーションプログラムを前記フラッシュメモリ部に移動させる

請求項 2に記載のメモリカード。

[4] 前記実行部は、アプリケーションプログラムの実行後、実行対象の暗号ィ匕されているアプリケーションプログラムを前記フラッシュメモリ部に移動させる

請求項 1に記載のメモリカード。

[5] 前記移動制御部は、実行対象のアプリケーションプログラムが前記フラッシュメモリ部に格納されて、る場合、前記実行対象のアプリケーションプログラムの復号ィ匕時のサイズと暗号ィ匕時のサイズとの合計が前記耐タンパ記憶部の空き容量を超えるとき、前記耐タンパ記憶部に格納されてヽる任意の暗号ィ匕されてヽるアプリケーションプログラムを前記フラッシュメモリ部に移動させ、前記実行対象のアプリケーションプログラムを前記耐タンパ記憶部に複写する

請求項 1に記載のメモリカード。

[6] 前記移動制御部は、実行対象のアプリケーションプログラムが前記フラッシュメモリ部に格納されて、る場合、前記実行対象のアプリケーションプログラムの復号ィ匕時のサイズが前記耐タンパ記憶部の空き容量を超えるとき、前記耐タンパ記憶部に格納されて、る任意の暗号ィ匕されて、るアプリケーションプログラムを前記フラッシュメモリ部に移動させ、前記実行対象のアプリケーションプログラムを復号ィ匕して、前記耐タンパ記憶部に格納する

請求項 1に記載のメモリカード。

[7] 前記移動制御部は、アプリケーションプログラムの実行履歴に基づ、て、アプリケーシヨンプログラム毎のアクセス履歴管理情報を生成し、

前記 ICカード部は、更に、前記アクセス履歴管理情報に従って、前記フラッシュメモリ部に移動させるアプリケーションプログラムを決定する移動判定部を有する請求項 1に記載のメモリカード。

[8] 前記プログラム取得部は、前記ホスト機器固有の情報を取得し、

前記 ICカード部は、更に、

前記取得したホスト機器固有の情報を利用して暗号化鍵を生成する鍵生成部と、前記耐タンパ記憶部力前記フラッシュメモリ部への移動対象のアプリケーションプログラムを前記暗号ィ匕鍵により暗号ィ匕する追加暗号ィ匕部とを有し、

前記移動制御部は、暗号化終了後に前記暗号化鍵を削除し、前記暗号化鍵により二重に暗号ィ匕されている前記移動対象のアプリケーションプログラムを前記フラッシュメモリ部へ移動させる

請求項 1に記載のメモリカード。

[9] 前記 ICカード部は、更に、前記フラッシュメモリ部に格納されている前記暗号ィ匕鍵により二重に暗号ィ匕されているアプリケーションプログラムを前記耐タンパ記憶部へ複写する場合、複写対象の前記アプリケーションプログラムを前記鍵生成部が生成した暗号ィ匕鍵で復号ィ匕する追加復号ィ匕部を有し、

前記移動制御部は、復号化終了後に前記暗号化鍵を削除し、複写対象の前記ァプリケーシヨンプログラムを前記耐タンパ記憶部に格納する

請求項 8に記載のメモリカード。

[10] ホスト機器にダウンロードされる暗号ィ匕されているアプリケーションプログラムを前記ホスト機器力受信するメモリカードにおけるアプリケーションプログラムを保持する方法であって、

前記メモリカードは、耐タンパ機能を有する Integrated Circuit (IC)カード部と、フラッシュメモリ部とを備え、前記 ICカード部は耐タンパ記憶部を有し、

前記方法は、

前記ホスト機器から、暗号ィ匕されているアプリケーションプログラムと、前記アプリケーシヨンプログラムの暗号ィ匕時のサイズ及び復号ィ匕時のサイズとを取得するプロダラム取得ステップと、

前記取得されたアプリケーションプログラムの暗号ィ匕時のサイズと前記耐タンパ記憶部の空き容量とに基づ、て、前記耐タンパ記憶部又は前記フラッシュメモリ部を格納先領域として選択し、選択した領域に前記取得された暗号化されて、るアプリケーシヨンプログラムを格納する格納制御ステップと、

前記耐タンパ記憶部に格納されて、るアプリケーションプログラムの実行時、実行対象のアプリケーションプログラムの復号ィ匕時のサイズが前記耐タンパ記憶部の空き容量を超える場合、前記耐タンパ記憶部に格納されてヽる任意の暗号ィ匕されてヽるアプリケーションプログラムを前記フラッシュメモリ部に移動させる移動制御ステップと前記実行対象のアプリケーションプログラムを復号ィ匕し、実行する実行ステップとを含むアプリケーションプログラム保持方法。

[11] ホスト機器にダウンロードされる暗号ィ匕されているアプリケーションプログラムを前記ホスト機器力受信するメモリカードにおけるアプリケーションプログラムを保持するための保持プログラムであって、

前記保持プログラムは、

前記耐タンパ記憶部に格納されて、るアプリケーションプログラムの実行時、実行対象のアプリケーションプログラムの復号ィ匕時のサイズが前記耐タンパ記憶部の空き容量を超える場合、前記耐タンパ記憶部に格納されてヽる任意の暗号ィ匕されてヽるアプリケーションプログラムを前記フラッシュメモリ部に移動させる移動制御ステップと前記実行対象のアプリケーションプログラムを復号ィ匕し、実行する実行ステップとをコンピュータに実行させるための保持プログラム。