JPWO2006022161A1 - 情報通信装置及びプログラム実行環境制御方法 - Google Patents

情報通信装置及びプログラム実行環境制御方法 Download PDF

Info

Publication number
JPWO2006022161A1
JPWO2006022161A1 JP2006531789A JP2006531789A JPWO2006022161A1 JP WO2006022161 A1 JPWO2006022161 A1 JP WO2006022161A1 JP 2006531789 A JP2006531789 A JP 2006531789A JP 2006531789 A JP2006531789 A JP 2006531789A JP WO2006022161 A1 JPWO2006022161 A1 JP WO2006022161A1
Authority
JP
Japan
Prior art keywords
domain
basic
download
native code
processor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006531789A
Other languages
English (en)
Other versions
JP4811271B2 (ja
Inventor
浩明 井上
浩明 井上
淳嗣 酒井
淳嗣 酒井
阿部 剛
剛 阿部
正人 枝廣
正人 枝廣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2006531789A priority Critical patent/JP4811271B2/ja
Publication of JPWO2006022161A1 publication Critical patent/JPWO2006022161A1/ja
Application granted granted Critical
Publication of JP4811271B2 publication Critical patent/JP4811271B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow

Abstract

高速処理を可能とし、アプリケーション、ドライバ追加時に、システムの安全性を確保する装置及び方法の提供。基本処理22及びOS21Aからなるソフトウエア20Aを実行する第1のCPU群10Aと、追加処理23及び追加処理対応のOS21Bからなるソフトウエア20Bを実行する第2のCPU群10Bと、第1および第2のCPU10A、10B間で通信を行うためのプロセッサ間通信手段401、402と、第2のCPU10Bによるメモリ50及び/又は入出力装置60のアクセスを制御するアクセス制御手段30を備えている。

Description

本発明は、情報処理装置に関し、特に、情報処理装置外部からダウンロードされた追加処理を実行する際のセキュリティ確保に好適とされる装置及び方法に関する。
携帯電話機(mobile phone)等の情報通信端末装置において、通常、該端末装置の基本機能を実現するための基本処理(例えば呼処理機能、インターネットアクセス用のブラウザ機能、電子メール機能、画面制御機能等)は、オペレーティングシステムとともに予めインストールされており、上記基本処理とは別の追加処理(プログラム)については、ユーザの操作等により、ネットワーク等外部から、該端末装置にダウンロードして実行、インストールが行われる。しかしながら、ダウンロードした追加処理を実行した場合、オペレーティングシステムや基本処理等は、該追加処理による攻撃に曝される可能性がある。
図21は、ダウンロードされた追加処理を実行する情報通信端末装置の典型的な構成の一例を模式的に示す図である。図21には、よく知られた典型的な装置構成がブロック図にて模式的に例示されている。以下では、追加処理が、ネイティブコード(提供者側でコンパイル、またはアセンブル処理されたバイナリコード)で提供されるアプリケーションプログラムやデバイスドライバ(デバイスへのアクセス要求、デバイスからの割り込み処理を行うソフトウェアであり、「I/Oドライバ」ともいう)である場合について説明する。
図21に示す構成において、追加処理23をダウンロードして実行したとき(追加処理23がデバイスドライバの場合には、オペレーティングシステムに組み込んで実行したとき)、基本処理22、オペレーティングシステム(「OS」という)21、CPU(Central Processing Unit)10、メモリ50、入出力デバイス(I/O)60に対して、追加処理23から、直接的に攻撃が行われる可能性がある。その理由は、基本処理22、CPU10、OS21、メモリ50、あるいは入出力デバイス(I/O)60に対する、追加処理23からの攻撃を制限し、安全な実行環境を実現する手段が実装されていないためである。すなわち、図21に示す構成の場合、追加処理23は、基本処理22への処理要求、OS21への処理依頼、CPU10、メモリ50、及び入出力デバイス60への処理要求を任意に発行することができ、ハードウェア、ソフトウェアの各種資源へのアクセスも自在とされている。このため、悪意の追加処理23(あるいは、悪意はなくとも、ウイルス等に感染した追加処理)は、無防備なOS21、基本処理22等に対して攻撃自在とされる。
追加デバイスドライバが、例えばレジデント(常駐型)ドライバとしてOS21のカーネル内に組み込まれる場合があり、該デバイスドライバの信頼性は、OS21の信頼性、及び性能にそのまま影響を及ぼすことになる。これは、デバイスドライバが、デバイスへの処理設定と、デバイスからの割り込み時にスケジューラから起動される割り込みサービスとを含み、割り込みサービスの実行時間(この間、再スケジュールは禁止される)は処理性能から特段に短い時間(例えばミリ秒以下)に制限されているという、デバイスドライバの特性からも、明らかである。つまり、追加デバイスドライバが仮に悪意のあるドライバである場合、情報処理装置の処理性能を容易に低下させることができる。これは、常駐型でなく、ローダブルドライバ(メモリに選択的にロード、アンロードされるドライバ)の場合も、同様である。このように、追加処理としてインストールされた悪意のドライバによって攻撃が行われた場合には、OS21のカーネルが直接攻撃されることになり、致命的ともなる(実質的に動作不能となる)。
そこで、ダウンロードされた追加処理の実行環境に制限を与え、基本処理等を保護する設計方式が、従来より、各種提案されている。以下、いくつかの典型例に即して概説しておく。
図22は、ソフトウェアによる追加処理の実行保護環境を提供する構成の一典型例を示す図である。図22に示す例では、ネイティブコードの追加処理23は、仮想マシン24上で実行させる構成とされている。一例として、追加処理23が、JAVA(登録商標)バイトコードで記述されているものとすると、ダウンロードされたJAVA(登録商標)バイトコードは、仮想マシン24をなすJVM(JAVA(登録商標)仮想マシン)上で実行される。
かかる構成において、基本処理22やOS21等は、ソフト的に、追加処理23とは分離され、その安全性が確保されることになる。すなわち、追加処理23は、仮想マシン24を介してのみ、OS21、CPU10、メモリ50、I/O60等へアクセスが行われる。仮想マシン24には、通常、OS21のカーネルモードでの実行(例えば特権的な命令の実行)等を行う権限が付与されていず、このため、追加処理23が、OS21を直接的に操作することはできない。また、仮想マシン24は、一般に、インタープリタ方式で追加処理23の命令コードを実行するため、追加処理23の命令・動作が適正であるか監視することが容易であり、例えば追加処理23からのハードウェア資源及びソフトウェア資源に対する不当なアクセス(例えば多量のデータをネットワーク上あるいは画面上に出力する等)を制限することで、仮想マシン24がソフト的な保護フィルタ、あるいは防護壁又は防護ゲートの役割を担うこともできる。このように、仮想マシン24を介して、基本処理22、OS21等は、追加処理23とは、ソフト的に分離されている。
しかしながら、図22に示した仮想マシン方式は、以下の問題点を有している。
ダウンロードされた追加処理23から、仮想マシン24の抜け(例えばセキュリティホール)への攻撃等がなされた場合、システムの安全性が損なわれることになる。
また、通常、JAVA(登録商標)仮想マシン等の仮想マシン24は、JAVA(登録商標)バイトコード等の命令コードを、一命令ずつ解釈実行するインタープリタ方式であるため、その実行速度が遅い。
さらに、仮想マシン24は、追加処理23を実行する時、システムコールを発行することで、OS21への処理依頼を行っているが、システムコールのオーバヘッドは大であることから、処理の実行は遅い。例えば仮想マシン24において、追加処理23の1つの命令に対応するシステムコールが1つ又は複数発行される。ユーザモードからのシステムコール発行によるシステムモードへのコンテクスト・スイッチング、OS21のシステムコールエントリ部におけるシステムコールのパケットデータのデコード、パラメータ等の正当性チェック(エラー検出処理)、処理の振分(ディスパッチ)、さらに、処理終了時の処理結果の引渡し及びコンテクスト・スイッチング、カーネル空間からユーザ空間への切り替え等、一連の制御が行われ、オーバヘッドが大きい。
そして、図22に示す構成の場合、追加処理23として、デバイスドライバをOS21に組み込むことはできない。図22からも明らかなように、仮想マシン24はOS21の上層に位置している。仮想マシン24は、追加処理23のコードに基づき、OS21に対して処理依頼を行い、OS21から処理結果を受け取り、必要に応じて追加処理23に返す構成とされており、追加処理をデバイスドライバとしてOS21内に組み込もうとすると、追加処理の実行を制御する仮想マシンも、OS21内に組み込むことが必要となり、かかる構成は、図22に示す仮想マシン方式では、原理的に不可能であるためである。
ソフトウェアによる別のセキュリティ管理方式として、例えば図23に示すような構成も知られている。図23に示すように、追加処理23には、それが信頼できるものであることを証明するための証明書25が添付されて、端末(情報処理装置)にダウンロードされる。端末側では、添付された証明書25の内容をチェックし、添付された証明書25が正しい証明書であると認証された場合に、ダウンロードされた追加処理23のインストール、実行を許可する構成とされている。証明書25としては、ディジタル署名(ITU-T X509)を用いてもよい。例えば証明書25には、証明される機関とその公開鍵、CA(認証局)のデジタル署名(証明される機関や公開鍵などをCAの秘密鍵で暗号化したもの)が格納され、証明書の認証を行う場合には、CAのディジタル署名の部分を、CAの公開鍵で解読して証明書のデータの内容と一致するか否か確認し、一致する場合に、証明書のデータを信頼してもよいと判断される。あるいは、証明書25は、真正のベンダーを証明するものであれば、任意の証明書であってもよい。なお、デバイスドライバの署名機能(Driver Signing)は、例えばWindows(登録商標)2000等にも実装されている。
図23に示した方式の場合、追加処理23はネイティブコードで提供することができ、図22に示した仮想マシン方式と比べて、高速実行が可能である。また、追加処理23として、アプリケーション、デバイスドライバの実行も可能である。しかしながら、システムの信頼性は、追加処理23の安全性に全面的に依拠している。つまり、追加処理23に事前に検知し得ない問題があると、システムに致命的損害をもたらす可能性もある。
図24は、セキュリティ管理をハードウェアで行うプロセッサの構成を示す図である。図24を参照すると、CPU11は、安全(セキュア)モード12と、非安全(ノンセキュア)モード13を有し、ダウンロードされた追加処理23と該追加処理23に対応したOS21Bは、もっぱらノンセキュアモード13で実行される。そして、メモリ管理ユニット14は、ノンセキュアモード13で実行されるメモリの領域(アドレス空間)を、セキュアモード12でアクセスされるメモリの領域と分離して管理し、ノンセキュアモード13からセキュアモード12のメモリ領域へのアクセスは禁止される。すなわち、メモリ管理ユニット14は、ノンセキュアモード13からのメモリのアクセス制御を行い、ノンセキュアモード13からセキュアモード12のメモリ領域へのアクセスを禁止する制御を行っている。
このように、図24に示す構成においては、基本処理22をセキュアモード12で実行し、仮想的に、追加処理23を実行するCPUと別CPUに分離することで、安全性の向上を図っている。
しかしながら、セキュアモードとノンセキュアモードは、CPU上で、時分割で実行されており、ノンセキュアモードから復帰しない場合には、セキュアモードでのシステムの動作は行われない。
また、ノンセキュアモードとセキュアモードを時分割処理しているため、その切替時、モード遷移等のオーバヘッドがかかる。
さらに、追加処理23をデバイスドライバとし、ノンセキュアモードのOS21B内に組み込む場合、ドライバに悪意があると、セキュアモードに復帰することができなくなる可能性があり、システムに致命的な損害をもたらす可能性がある。
なお、図24に示した構成と同様、システムメモリ中に分離域を設け、ノーマル実行モードと分離実行モードを備えたプロセッサとして、後記特許文献1の記載が参照される。特許文献1に記載の装置において、ノーマル実行モードは、プロセッサが非安全環境、すなわち分離実行モードによって提供されるセキュリティ機能がない通常の動作モードで動作するモードであり、ノーマル実行モードからは分離域へのアクセスが禁止され、分離実行モードでは、所定の分離命令の実行がサポートされる構成とされている。なお、かかる構成も、ノーマル実行モードと分離実行モードを時分割処理しているため、その切替時、モード遷移等のオーバヘッドがかかる。
また、2つのプロセッサユニットとスイッチユニットを備え、1つのプロセッサユニットが公共データ通信ネットワークと接続され、他方のプロセッサユニットは公共データ通信ネットワークと接続せず、データセキュリティ用ユニットとして機能する構成が開示されている(後記特許文献2参照)。特許文献2に記載されるシステムでは、公共データ通信ネットワークに接続されるプロセッサユニットと、データセキュリティ用ユニットをスイッチで分離しており、データセキュリティ用ユニットの安全性を確保している。しかしながら、公共データ通信ネットワークに接続されるプロセッサユニットが、前述した追加処理(ネットワーク等からダウンロードされた追加処理)の実行により、攻撃されることの対策に関しては、いささかも考慮されていない。データセキュリティ用ユニットは安全であっても、公共データ通信ネットワークに接続されるプロセッサユニットは追加処理による攻撃に対する有効なセキュリティ機構は具備していない。このため、公共データ通信ネットワークに接続されるプロセッサユニットにセキュリティ管理を実現する場合、前述したいずれかの方式を採用する必要がある。
さらに、プロセッサ上で分離された実行プログラムあるいはオペレーティングシステムを同時に実行するシステムにおいて、不正なプログラムの実行環境を保護するために、第1のプログラムが実行される間、第1のプログラムのみが利用するメモリ空間が設定され、第1のプログラムとコンピュータの実行環境との通信は、共有メモリ空間の利用、専用の割り込み、あるいは専用のI/Oポートを含む単一のリンクを介して行われ、第1のプログラムは、制限された実行環境において、設定されたメモリ空間と単一のリンクを除いてプロセッサ上のリソースのアクセスすることが制限されるようにした構成が特許文献3に記載されている。この特許文献3に記載された方法の場合、第1のプログラムは、設定されたメモリ空間と単一のリンク(共有メモリ空間の利用、専用の割り込み、あるいは専用のI/Oポート)を除いてプロセッサ上のリソースのアクセスすることが制限されるため、第1のプログラムを、デバイスドライバとして用いることはできず、デバイスドライバを含む追加処理に適用することはできない。
なお、後述される本発明で用いられるプロセッサ間通信手段に関連する技術を開示した刊行物として、後記特許文献4には、マルチプロセッサシステムにおけるCPU間通信方式が開示されている。この特許文献4には、マルチプロセッサが共通メモリを利用してCPU間通信を行うにあたり、CPU2がCPU1に割り込みを発生させる場合、CPU1に対する固定領域における自己用のCPU間通信情報書き込み領域に、通信情報を書き込んで割り込みを発生し、CPU1では、割り込みが発生すると、CPU2に対応するCPU間通信情報書き込み領域をアクセスして割り込み処理を実行する構成がその従来技術として記載されており、さらに、共有メモリのアクセス回数を削減するようにした発明が記載されている。
特表2004−500666号公報 特表2002−542537号公報 特表2002−533791号公報 特開平6−332864号公報
上記したように、ダウンロードされた、悪意のある、もしくは過失の追加処理からの攻撃に対する安全性確保の対策を施した従来の装置は、処理性能の点、デバイスドライバの実行が不可である点、安全性確保に問題がある点等、実用上、各種課題が残されている。特に、図22、及び図24に示したように、情報処理装置に関して、装置外部から、追加デバイスドライバのダウンロードが不可である設計方式(アーキテクチャ)は、デバイスの追加、機能追加等が実質的に不可能であることを意味しており、この点で、可用性(availability)が制限される。一方、前述したように、追加デバイスドライバを例えばカーネルモードで動作させる場合には、OS、システムの信頼性に直接影響を及ぼすことから、特段の安全性確保、信頼性の向上が要請されている。
したがって、本発明の目的は、簡易な構成により高速処理を可能とし、アプリケーションプログラム及びデバイスドライバの追加時に安全性、信頼性を確保する装置及び方法を提供することにある。
前記目的を達成する本発明は、その概略を述べれば以下の通りである。
本発明の1つの側面(アスペクト)に係る装置は、複数のプロセッサを備え、実行する処理の信頼度に応じて、前記複数のプロセッサが、複数のドメインを構成し、異なるドメイン間のプロセッサ同士は、プロセッサ間通信手段を介して、相互に通信し、セキュリティの相対的に低い処理を実行するドメインに属するプロセッサによるセキュリティの相対的に高い処理を実行するドメインに属するメモリ及び/又は入出力装置へのアクセスを制御するアクセス制御手段を備えている。
本発明の1つの側面に係るプログラム実行環境制御方法は、情報処理装置を構成する複数のプロセッサを、実行するプログラムの信頼度に応じて、複数のドメインに分け、異なるドメイン間のプロセッサ同士が、データ又はコマンドを、プロセッサ間通信手段を介して相互に送信する工程と、信頼度の相対的に低いプログラムを実行するドメインに属するプロセッサによる信頼度の相対的に高いプログラムを実行するドメインに属するメモリ及び/又は入出力装置へのアクセスをアクセス制御手段でチェックし、許可されたアクセスのみが実行される工程と、を含む。
本発明の別の側面に係る装置は、予め定められた第1の類の処理を実行する、少なくとも1つのプロセッサ(「第1類プロセッサ」という)と、前記第1の類の処理と異なる予め定められた第2の類の処理を実行する、少なくとも1つのプロセッサ(「第2類プロセッサ」という)と、メモリ及び入出力装置と、前記第1類及び第2類プロセッサ間の通信を制御するプロセッサ間通信手段と、前記第2類のプロセッサによる前記メモリ及び/又は前記入出力装置のアクセスを制御するアクセス制御手段と、を備えている。
本発明に係る装置において、前記第1の類の処理は、相対的に信頼度の高い処理を含み、前記第2の類の処理は、相対的に信頼度の低い処理を含む。本発明において、前記第1の類の処理は、ベンダー提供の基本処理を含み、前記第2の類の処理は、ネットワーク又は記憶媒体よりダウンロードされた追加処理を含む。本発明において、前記第2の処理は、前記第2類プロセッサで実行されるデバイスドライバ、及び/又はアプリケーション・プログラムを含む構成としてもよい。
本発明に係る装置において、前記プロセッサ間通信手段として、前記第1類プロセッサ側から前記第2類プロセッサへ情報を受け渡すためのプロセッサ間の通信を行うプロセッサ間通信手段と、前記第2類プロセッサ側から前記第1類プロセッサへ情報を受け渡すためのプロセッサ間の通信を行うプロセッサ間通信手段と、を備えている。
本発明に係る装置において、前記プロセッサ間通信手段は、好ましくは、情報の送リ手側のプロセッサからの割り込み要求を受け、前記情報の受け手側のプロセッサに割り込みを発行する割り込み制御装置を備えている。本発明において、前記プロセッサ間通信手段は、好ましくは、割り込み先のプロセッサに対応させて、割り込み制御装置と、共有メモリと、を備え、前記割り込み制御装置は、割り込み要求元のプロセッサからの割り込み要求を受け付け、前記割り込み先のプロセッサに割り込み要求を行う割り込み指示部と、前記割り込み指示部での割り込み要求を保持する割り込み保持部と、前記割り込み先のプロセッサからの割り込み処理の完了通知を受けて割り込みを取り消す割り込み取り消し部と、を備え、前記共有メモリは、前記割り込み要求元のプロセッサから前記割り込み先のプロセッサに転送するデータを格納する通信領域と、前記通信領域の排他制御を行う排他制御領域と、を備えている。
本発明に係る装置において、前記アクセス制御手段は、好ましくは、前記第2類プロセッサからの前記メモリ及び/又は前記入出力装置へのアクセスに関する情報を記憶するアクセス許可データを記憶する手段と、前記第2類プロセッサからの前記メモリ及び/又は前記入出力装置へのアクセスを監視し、前記アクセス許可データを参照して、前記アクセスの許可の有無を判別するアクセス許可手段と、を備えている。本発明において、前記アクセス許可データを記憶する手段は、前記第2類プロセッサに関して、アクセスを許可するプロセッサに対応させて、アクセスが許可されるアドレス範囲と、前記アドレス範囲に関する許可されたアクセス種別に関する情報を格納している。
本発明のさらに別の側面の装置は、予め定められた第3類の処理を実行する、少なくとも1つのプロセッサ(「第3類プロセッサ」という)と、前記第2類及び第3類プロセッサ間で通信を行うプロセッサ間通信手段と、前記第3類のプロセッサによる前記第1類プロセッサに接続するメモリ及び/又は入出力装置のアクセスを制御する第2のアクセス制御手段と、をさらに備えている。
本発明のさらに別の側面の装置は、予め定められた第3類の処理を実行する、少なくとも1つのプロセッサ(「第3類プロセッサ」という)と、前記第2類及び第3類プロセッサ間で通信を行うプロセッサ間通信手段と、を備え、前記第1類乃至第3類プロセッサの各々は、それぞれバスを介して、接続されるメモリ及び入出力装置を備え、前記第2類プロセッサによる、前記第1類プロセッサに接続する前記メモリ及び/又は前記入出力装置へのアクセスは、前記アクセス制御手段により制御され、前記第3類プロセッサによる、前記第1類プロセッサに接続するメモリ及び/又は入出力装置、及び/又は、前記第2類プロセッサに接続する前記メモリ及び/又は前記入出力装置へのアクセスを制御する第2のアクセス制御手段をさらに、備えている。
本発明の別の側面に係る装置は、(A)基本ソフトウエア環境と、外部デバイス、及び/又はファイルシステムと、オペレーティングシステムと、を備え、ダウンロードされたデータのセキュリティ情報を格納するセキュリティーデータベースと、ネイティブコードのダウンロードデータのダウンロードを制御するネイティブコードダウンロード管理手段と、を備えた基本ドメインと、(B)ネイティブコードのダウンロードデータのダウンロードを制御するネイティブコードダウンロード管理手段と、オペレーティングシステムと、を備え、前記基本ドメインのネイティブコードダウンロード管理手段により、信頼できると判定された、ダウンロードされたアプリケーション・プログラム(「信頼アプリケーション・プログラム」という)を実行し、前記基本ドメインのネイティブコードダウンロード管理手段により、信頼できると判定された、ダウンロードされたデバイスドライバ(「信頼ドライバ」という)を前記オペレーティングシステムにインストールし、前記信頼ドライバにより、予め用意された許可された外部デバイスにアクセスし、信頼できる追加処理を実行する信頼拡張ドメインと、(C)ネイティブコードのダウンロードデータのダウンロードを制御するネイティブコードダウンロード管理手段と、オペレーティングシステムと、前記基本ドメインのネイティブコードダウンロード管理手段により、信頼できないと判定された、ダウンロードされたアプリケーション・プログラム(「無信頼アプリケーション・プログラム」という)を実行し、前記基本ドメインのネイティブコードダウンロード管理手段により、信頼できないと判定された、ダウンロードされたデバイスドライバ(「無信頼ドライバ」という)を前記オペレーティングシステムにインストールし、前記デバイスドライバにより予め用意された許可された外部デバイスにアクセスし、無信頼の追加処理を実行する無信頼拡張ドメインと、を備え、前記基本ドメイン、前記信頼拡張ドメイン、前記無信頼拡張ドメインは、それぞれ、前記第1類乃至第3類のプロセッサに実装される。
本発明の別の側面に係る方法は、前記基本ドメインの外部デバイスからダウンロードデータが入力され、前記基本機能が、前記ダウンロードデータをダウンロードアアプリケーション・プログラムと認識した場合、前記基本ドメインの前記ネイティブコードダウンロード管理手段が、前記ダウンロードアプリケーション・プログラムの証明書をチェックする工程と、前記チェックの結果、正しい証明書と判定した場合、前記ダウンロードアアプリケーション・プログラムを、前記信頼拡張ドメインの前記ネイティブコードダウンロード管理手段にダウンロードデータを送信する工程と、を含む。
本発明に係る方法において、前記基本ドメインの外部デバイスからダウンロードデータが入力される、前記基本機能が、前記ダウンロードデータをダウンロードドライバと認識した場合、前記ネイティブコードダウンロード管理手段が、ダウンロードドライバの証明書をチェックする工程と、前記チェックの結果、正しい証明書と判定した場合、前記信頼拡張ドメインの前記ネイティブコードダウンロード管理手段にダウンロードドライバを送信する工程と、前記信頼拡張ドメインの前記ネイティブコードダウンロード管理手段は、前記ダウンロードドライバを、前記信頼拡張ドメインのオペレーティングシステムにインストールする工程と、を含むようにしてもよい。
本発明に係る方法において、前記基本ドメインの外部デバイスからダウンロードデータが入力され、前記基本機能が、前記ダウンロードデータをダウンロードアプリケーション・プログラムと認識した場合、前記基本ドメインの前記ネイティブコードダウンロード管理手段が、ダウンロードアプリケーション・プログラムの証明書をチェックする工程と、前記チェックの結果、証明書がないか、証明書の内容が正しくない場合、前記信頼拡張ドメインの前記ネイティブコードダウンロード管理手段を介して、前記無信頼拡張ドメインの前記ネイティブコードダウンロード管理手段にダウンロードデータを送信する工程と、を含むようにしてもよい。
本発明に係る方法において、前記基本ドメインの外部デバイスから、ダウンロードデータが入力され、前記基本機能が、前記ダウンロードデータをダウンロードドライバと認識した場合、前記基本ドメインの前記ネイティブコードダウンロード管理手段が、前記ダウンロードドライバの証明書をチェックする工程と、前記チェックの結果、証明書がないか、証明書の内容が正しくない場合、前記信頼拡張ドメインの前記ネイティブコードダウンロード管理手段を介して、前記無信頼拡張ドメインの前記ネイティブコードダウンロード管理手段にダウンロードドライバを送信する工程と、前記無信頼拡張ドメインの前記ネイティブコードダウンロード管理手段は、前記ダウンロードドライバを、前記無信頼拡張ドメインのオペレーティングシステムにインストールする工程と、を含むようにしてもよい。
本発明に係る方法において、前記信頼拡張ドメインに、前記基本ドメインの基本ソフト環境の基本機能への要求を発行する処理群を、ライブラリとして含む基本機能ライブラリを設けておき、前記信頼拡張ドメインにダウンロードされたアプリケーション・プログラムからの要求を受けて、前記基本機能ライブラリは、前記アプリケーション・プログラムの証明書を用いて、前記基本ドメインの前記ネイティブコードダウンロード管理手段に要求を送信する工程と、前記基本ドメインの前記ネイティブコードダウンロード管理手段は、前記信頼拡張ドメインより受信した要求が、適正であるか(アプリケーション・プログラムの証明書と対応がとれたものであるか)確認し、前記要求が適正である場合、前記基本ソフト環境の基本機能へ処理を依頼する工程と、含むようにしてもよい。前記基本ドメインの前記基本機能は、要求を処理し、処理の完了を前記基本ドメインの前記ネイティブコードダウンロード管理手段に通知する工程と、前記基本ドメインの前記ネイティブコードダウンロード管理手段は、前記信頼拡張ドメインの基本機能ライブラリに完了を通知し、前記アプリケーション・プログラムに処理の完了が通知される工程と、を含むようにしてもよい。
本発明に係る方法において、前記信頼拡張ドメインに、前記基本ドメインの基本ソフト環境の基本機能への要求を発行する処理群を、ライブラリとして含む基本機能ライブラリを設けておき、前記無信頼拡張ドメインにダウンロードされたアプリケーション・プログラムから、前記信頼拡張ドメインのアプリケーション・プログラムにデータを送信する工程と、前記信頼拡張ドメインの前記アプリケーション・プログラムは前記基本機能ライブラリに対して、前記無信頼拡張ドメインのダウンロードアプリケーション・プログラムからのデータを含む要求の処理要求を発行する工程と、前記信頼拡張ドメインからの要求を受けて、前記基本機能ライブラリは、前記基本ドメインの前記ネイティブコードダウンロード管理手段に要求を送信する工程と、前記基本ドメインの前記ネイティブコードダウンロード管理手段は、受信した要求が適正であるか(アプリケーション・プログラムの証明書と対応がとれたものであるか)確認する工程と、確認の結果、前記要求が適正である場合、ユーザに確認を求め、前記ユーザの確認結果が可の場合、前記基本ソフト環境の基本機能へ処理を依頼する工程と、一方、前記ユーザの確認結果が不許可の場合、前記ネイティブコードダウンロード管理手段は、前記基本機能ライブラリに、不許可を通知する工程と、を含むようにしてもよい。
本発明において、基本機能は、要求を処理し、処理の完了を前記基本ドメインの前記ネイティブコードダウンロード管理手段に通知する工程と、前記基本ドメインの前記ネイティブコードダウンロード管理手段は前記信頼拡張ドメインの基本機能ライブラリに完了を通知する工程と、前記ダウンロードアプリケーション・プログラムに処理の完了が通知される工程と、前記ダウンロードアプリケーション・プログラムは、前記無信頼拡張ドメインの前記ダウンロードアプリケーション・プログラムに処理の完了を通知する工程と、
を含むようにしてもよい。
本発明に係る情報処理装置は、複数のプロセッサを備え、前記複数のプロセッサは、第1のドメインと、前記第1のドメインとは異なる第2のドメインを構成するプロセッサと、を構成し
前記第2のドメインは、前記第1のドメインに属するプロセッサが実行する処理よりも信頼度の低い処理を、少なくとも1以上有するプロセッサで構成され、
前記第1のドメインと前記第2のドメインのプロセッサ同士の通信を制御するプロセッサ間通信手段と、
前記第2のドメインに属するプロセッサによる前記第1のドメインに属するメモリ及び/又は入出力装置へのアクセスを、前記第2のドメインで実行される処理の信頼度に応じて制限するアクセス制御手段と、を備えている。
本発明に係る情報処理装置において、前記アクセス制御手段は、アクセス許可データを記憶する手段と、
前記第2のドメインに属するプロセッサからの前記メモリ及び/又は前記入出力装置へのアクセスを監視し、前記アクセス許可データを参照して、前記アクセスの許可の有無を判別するアクセス許可手段と、
を備えている。
本発明に係る情報処理装置において、前記アクセス制御手段は、前記アクセス許可データを更新するアクセス許可データ更新手段を有する構成としてもよい。
本発明に係る情報処理装置において、前記アクセス制御手段は、前記第2のドメインに属するプロセッサによるアクセス情報を取得するアクセス監視手段と、前記アクセス情報を記憶する学習手段を有する構成としてもよい。
本発明に係る情報処理装置において、前記プロセッサ間通信手段は、情報の送リ手側のプロセッサからの割り込み要求を受け、前記情報の受け手側のプロセッサに割り込みを発行する割り込み制御情報処理装置を備えた構成としてもよい。
本発明に係る携帯情報端末は、複数のプロセッサを備え、前記複数のプロセッサは、第1のドメインと、前記第1のドメインとは異なる第2のドメインを構成するプロセッサと、を構成し
前記第2のドメインは、前記第1のドメインに属するプロセッサが実行する処理よりも信頼度の低い処理を、少なくとも1以上有するプロセッサで構成され、
前記第1のドメインと前記第2のドメインのプロセッサ同士の通信を制御するプロセッサ間通信手段と、
前記第2のドメインに属するプロセッサによる前記第1のドメインに属するメモリ及び/又は入出力装置へのアクセスを、前記第2のドメインで実行される処理の信頼度に応じて制限するアクセス制御手段と、を備えている。
本発明によれば、複数のプロセッサは、処理のセキュリティに応じたドメインを構成し、ドメイン間のプロセッサの通信を、プロセッサ間通信手段を介して行い、低セキュリティドメイン側のプロセッサが、高セキュリティドメイン側のメモリ及び入出力装置に対するアクセス許可の有無を制御するアクセス制御手段を備え、ダウンロードされたデバイスドライバ、アプリケーションを低セキュリティドメイン側で実行することで、安全性を確保している。
また、本発明によれば、高セキュリティと低セキュリティドメインでの処理は、各ドメインでのプロセッサによる並列処理が行われ、これにより、高速処理を可能としており、さらに、高セキュリティと低セキュリティドメインのプロセッサ間での同期、連携処理も可能としている。
本発明の一実施例のハードウェア構成を示す図である。 本発明の一実施例のプロセッサ間通信手段の構成を示す図である。 本発明の一実施例のプロセッサ間通信手段の動作を説明するための図である。 本発明の一実施例のアクセス制御手段の構成を示す図である。 本発明の一実施例のアクセス制御手段のアクセス許可データの例を示す図である。 本発明の一実施例のアクセス制御手段の動作を説明する図である。 本発明の別の実施例のハードウェア構成を示す図である。 本発明の別の実施例のハードウェア構成を示す図である。 本発明の一実施例のソフトウェア構成を示す図である。 本発明の一実施例の動作を説明するための図である。 本発明の一実施例の動作を説明するための図である。 本発明の一実施例の動作を説明するための図である。 本発明の一実施例の動作を説明するための図である。 本発明の一実施例の動作を説明するための図である。 本発明の一実施例の動作を説明するための図である。 本発明の一実施例の動作を説明するための図である。 本発明の一実施例の動作を説明するための図である。 本発明のさらに別の実施例の構成を示す図である。 本発明のさらに別の実施例の動作を説明するための図である。 本発明の一実施例の変形例を示す図である。 従来のシステム構成の一例を示す図である。 従来のシステム構成の別の例を示す図である。 従来のシステム構成の別の例を示す図である。 従来のシステム構成のさらに別の例を示す図である。 本発明の一実施例における信頼度の一例を示す図である。 本発明の一実施例における信頼度の一例を示す図である。 本発明の一実施例における信頼度の一例を示す図である。 本発明の一実施例における信頼度の一例を示す図である。
符号の説明
10、10A、10B、10C CPU
11 CPU
12 セキュアモード
13 非セキュアモード
14 メモリ管理ユニット
15 分離手段
20、20A、20B、20C ソフトウェア
21、21A、21B、21C OS
22 基本処理
23、23B、23C 追加処理
24 仮想マシン
25 証明書
30 アクセス制御手段
31 アクセス許可手段
32 アクセス許可データ
40 プロセッサ間通信手段
41 割り込み制御装置
410〜41n CPU#0〜CPU#n用割り込み制御装置
42 共有メモリ
420〜42n CPU#0〜CPU#n用通信領域
50、50A、50B、50C メモリ
60、60A、60B、60C 入出力デバイス(I/O)
70A 基本側バス
70B 追加側バス
100A 基本ドメイン
100B Trusted拡張ドメイン
100C Untrusted拡張ドメイン
101A、101B、101C OS
102A 外部デバイス
102A’ 仮想外部デバイス
102B、102C 許可された外部デバイス
102B’、102C’ 許可された仮想外部デバイス
103 専用ファイルシステム
103’ 仮想専用ファイルシステム
104A ネイティブコードダウンロード管理機能
104B、104C ネイティブコードダウンロード実行機能
105 セキュリティポリシーデータベース
110 基本ソフト環境
111 基本アプリケーション
112 基本機能
113 基本機能ライブラリ
120A、120B、120C ダウンロードアプリケーション
121B、121C ダウンロードドライバ
200A、200B、200C 仮想CPU
210A、210B、210C 仮想マシンモニタ
411 割り込み指示部
412 割り込み状態保持部
413 割り込み取り消し部
421 通信キュー
422 排他制御領域
本発明を実施するための最良の形態について説明する。本発明は、その好ましい一実施の形態において、複数のCPUを備えたマルチCPU構成の情報処理装置において、複数のCPUを、実行するプログラム(処理)の信頼度に応じて、複数のドメイン(例えば基本ドメイン、信頼ドメイン、無信頼ドメイン等)に分け、各ドメインは、1つ又は複数のCPUを含み、異なるドメイン間でのCPUの通信を、プロセッサ間通信手段(例えば図1の40)を介して行うとともに、追加処理等の低セキュリティの処理を実行するドメインに属するCPUが、高セキュリティの処理を実行するドメインのメモリ及び入出力装置に対してアクセスする場合には、該アクセス要求は、アクセス制御手段(例えば図1の30)によって、アクセスの許可/非許可が判別され、許可されたアクセスのみが行われる構成とされる。
本明細書において、「信頼度」とは、処理ごとに付与されたセキュリティの度合いを示す電子証明書に基づき、あるセキュリティポリシーに従ってセキュリティレベルの段階ごとに設定されるものをいう。
例えば、デジタル署名が付与された処理ごとに、あるセキュリティポリシーに基づきセキュリティレベルが設定される。例えば図25に示すように、
レベルA:パスワードが必要、
レベルB:2度確認しない、
レベルC:実行ごとに確認、
レベルD:アクセスごとに確認、
といった具合に、実行する機能に応じたドメインにセキュリティレベルを付与する。
例えば、
基本ドメインには、レベルA、
信頼拡張ドメインには、レベルB、
無信頼ドメインには、レベルC
を配置するというように、1ドメインには、同種のセキュリティレベルのみを配置してもよいが、かかる構成に制限されるものではない。すなわち、1ドメインが複数種のセキュリティレベルを含むようにしてもよい。一例として、図25に示すように、
基本ドメインには、実行する機能の重要度によって、レベルA以上、レベルB以上、
信頼拡張ドメインにも、実行する機能によって、レベルB以上、レベルC以上
という配置としても良い。
このような設定が可能であれば、いかなる証明書やいかなるセキュリティポリシーに基づいて設定してもよく、実行する機能やドメイン数に応じて任意に設定することが可能である。
かかる構成の本発明の一実施の形態によれば、ダウンロードされた追加処理(デバイスドライバ、アプリケーション・プログラムを含む)を、高セキュリティ・ドメインとはハードウェア的に別構成の低セキュリティ・ドメイン側のCPUで実行することで、高セキュリティ・ドメインの安全性を確保している。
本明細書において、「ダウンロード」は、携帯電話のキャリアが用意するデータ通信網や一般的な無線LAN網等だけでなく、SDカードに代表される蓄積型メディア媒体、USBに代表される有線通信・媒体といった接続を経由した、情報装置へのダウンロードも含む。
そして、本発明の一実施の形態によれば、高セキュリティ・ドメインと低セキュリティ・ドメインのCPUを、スイッチ等で分離制御するのではなく、相互に通信可能とする、プロセッサ間通信手段を介して接続することで、安全性を保証しながら、高セキュリティ・ドメインと低セキュリティ・ドメインのCPU間の同期、協調動作も可能としている。
このプロセッサ間通信手段(図1の40)は、一のドメインのCPUから他のドメインのCPUへデータ(コマンド)の受け渡しを行うものであり、他のドメインのCPUへの直接的な攻撃等は行えない構成とされている。例えば低セキュリティ・ドメイン側のCPUから高セキュリティ・ドメインのCPU側へデータを多量に送信し続けることで、高セキュリティ・ドメインのCPUの性能劣化、バッファオーバフロー等を生じさせようとしても、プロセッサ間通信手段で抑止され、該データは、高セキュリティ・ドメインのCPUに伝達されない。
また、本発明の一実施の形態において、アクセス制御手段(図1の30)は、低セキュリティ・ドメイン側のCPUに対して、予め許可されたメモリ空間、入出力デバイス等へ予め許可された形態によるアクセスのみを許可するアクセス制御を行う。これにより、ダウンロードされた追加処理からの高セキュリティ・ドメインへの攻撃を防ぐことができる。あるいは、アクセス制御手段が、必要に応じて、帯域、流量制御等を行うことで、ダウンロードされた追加処理からの高セキュリティ・ドメインへの各種攻撃を防ぐことができる。以下実施例に即して説明する。
図1は、本発明の一実施例の構成を示す図である。図1を参照すると、基本処理22及びOS21Aからなるソフトウェア20Aを実行するCPU群10Aと、追加処理23及び追加処理対応のOS21Bからなるソフトウェア20Bを実行するCPU群10Bと、CPU群10A、10B間で通信を行うプロセッサ間通信手段401、402と、CPU群10Bによるメモリ50及び/又は入出力装置(I/O)60へのアクセスを制御するアクセス制御手段30と、を備えている。なお、図1には、CPU群10A、CPU群10Bは、それぞれ複数(3台)のCPUから成る構成として示されているが、各群とも1つのCPUであってもよいことは勿論である。また、CPU群10A、CPU群10Bにおいて、各群のCPUの台数は等しくなくてもよいことは勿論である。以下では、CPU群10A、CPU群10Bを、単に、CPU10A、CPU10Bという。本実施例において、ダウンロードされる追加処理23は、バイナリ形式のネイティブコードよりなる。なお、ダウンロードされたソースプログラムを、コンパイル処理(アセンブル処理)してバイナリ形式としたものであってもよい。
本実施例によれば、追加処理23を実行するCPU10Bを、基本処理22を実行するCPU10Aと別に備え、CPU10A、10Bは、独立に動作可能であり、安全性を向上しながら、高速実行を可能とし、アプリケーションプログラム、デバイスドライバの実行を可能としている。なお、基本処理22を実行するCPU10Aをマスターとし、追加処理23を実行するCPU10Bをスレーブとして構成し、スレーブ側はマスターの監督下で動作する構成としてもよいことは勿論である。この場合、例えばCPU10Bによる追加処理23の実行は、CPU10Aからプロセッサ間通信手段402を介してコマンドを受け取って行われる。
プロセッサ間通信手段401、402は、CPU10AとCPU10B間でのデータの送受信を制御する。CPU10A、10Bは、独立に配設されていることから、それぞれの処理(プログラム)を並列に実行することが可能であるとともに、プロセッサ間通信手段401、402を介して、CPU10AとCPU10B間における、同期処理、連携(協調)処理も可能としている。一例として、ユーザが表示装置の画面上から追加処理の実行を指示した場合、基本処理22を実行するCPU10Aから、プロセッサ間通信手段401を介して、追加処理23の起動要求が、CPU10Bに送信され、CPU10B上で追加処理23が実行され、実行結果が、CPU10Bから、プロセッサ間通信手段402を介して、CPU10Aに送信され、基本処理22を構成する画面制御ルーチン等が、追加処理23の実行結果を反映した情報をユーザに提示する、という具合である。
本実施例では、CPU10Bで追加処理23を実行する際、メモリ50、入出力デバイス(I/O)60へのアクセス要求が行われた場合、アクセス制御手段30にて、当該アクセスに関する許諾の制御が行われ、許可されたアクセス要求のみが、メモリ50、入出力デバイス(I/O)60に対して実行される構成とされている。そして、CPU10Bにおいて、OS21B上で追加処理23を実行し、追加処理23からの、基本処理22あるいはOS21Aへの処理要求が発行された場合、該要求は、プロセッサ間通信手段401を介してCPU10Aに通知される。すなわち、追加処理23が、基本処理22を、直接操作することはできない。例えば、悪意のある追加処理23が、CPU10Aに要求を頻発して発行して負荷を与え、CPU10A側での基本処理の実行性能を著しく低下させようとしても、プロセッサ間通信手段401が、このような要求をCPU10A側に伝達しないように制御することで、上記攻撃からの防護が実現され、安全性が確保される。
なお、図1に示す例では、プロセッサ間通信手段401は、CPU10BからCPU10Aへの情報転送、プロセッサ間通信手段402は、CPU10AからCPU10Bへの情報転送を制御している。あるいは、一台のプロセッサ間通信装置で双方向のデータの受け渡しを行うようにしてもよいことは勿論である。本実施例において、基本処理22を実行する複数のCPU10A同士でCPU間の通信が必要な場合には、プロセッサ間通信手段40を用いることなく、CPU間の通信が行われる。また、追加処理23を実行する複数のCPU10Bについても同様である。ただし、後述するように、CPU群10Bを構成する複数のCPUのいくつかをCPU群10Aの要素としてダイナミックに切り替える場合、CPU群10Bは、論理的にはCPU群10Aに属するが、CPU間の通信は、プロセッサ間通信手段40を介して行うようにしてもよい。
本実施例によれば、追加処理23として、アプリケーションプログラム、デバイスドライバのダウンロード、インストール、実行が可能とされている。追加されたデバイスドライバは、OS21Bに組み込まれ、CPU10B上で実行され、入出力デバイス60へのアクセス制御は、アクセス制御手段30の監視のもとで実行される。
なお、携帯電話機、PDA等の携帯型情報通信装置では、通常、図1における基本処理22、OS21Aは、図示されない書き換え可能な不揮発性メモリ(EEPROM;Electrically Programmable and Erasable ROM)に格納され、CPU10Aは、EEPROMから命令コードをフェッチしてデコードし実行する。同様にして、追加処理23、OS21Bも、CPU10A用とは別のEEPROMに格納され、CPU10Bは、EEPROMから命令コードをフェッチしてデコードし実行する。すなわち、基本処理22と追加処理23を実行するそれぞれのOS21A、21Bが格納されるメモリは、基本処理側と追加処理側で、ハードウェア的に分離されている。そして、基本処理、OS等の命令コードは、EEPROMに格納されたものが実行されるが、CPU10A、10Bで実行されるプログラムにより、初期化、参照、更新されるテーブル等のデータは、それぞれのOS起動時等に、DRAM(Dynamic RandomAccess Memory)よりなるメモリ50に展開される。そして、CPU10Bについて、リード/ライトするメモリ領域をアクセス制御手段30によって管理し、CPU10Aで参照されるメモリ領域へのアクセスを制限している。携帯型情報通信端末とは別の一般の情報処理装置においても、同様にして、基本処理22、OS21AがロードされCPU10Aが命令コードをフェッチするメモリと、追加処理23、OS21BがロードされCPU10Bが命令コードをフェッチするメモリとを別々に備えてもよいことは勿論である。あるいは、一般の情報処理装置において、メモリ50に、基本処理22、OS21Aがロードされる領域と、追加処理23、OS21Bがロードされる領域を分離して設け、CPU10Bのメモリ50へのリード/ライトアクセスをアクセス制御手段30によって管理するようにしてもよい。この場合、CPU10A、CPU10Bが参照のみするコードについては、共通のメモリ領域に格納し、アクセス制御手段30によって、共通のメモリ領域を、該CPU10Bがリードのみ可とするようにアクセス制御してもよい。
また、携帯型情報処理装置において、搭載する電池残量が少なくなってきた場合には、基本処理を実行するCPU以外を強制的にシャットダウンする、実行する処理の信頼度に応じてより信頼度の低い処理を実行するCPUを優先的にシャットダウンすることで電池残量の節約を行うことが可能である。これは、例えば、電池残量を検出する手段と、検出結果を通知する手段によって得られる電池残量に関する情報に基づき、基本処理を行うCPU上で判断を行ない、シャットダウンを実行する、といった処理により実現できる。
さらに、携帯型情報処理装置での資源、例えば外部との通信バンド幅や不揮発メモリ量等はより一層制限されているため、信頼度に応じて、資源を確保する相対的な割合を変更することも可能である。これは、例えば、基本処理を行うCPUにおいて、
・実行する処理の信頼度が高い場合には、優先的に資源の確保を許容する、
・実行する処理の信頼度が低い場合には、資源の制限をかける
等の判断をすることにより実現される。
図2は、本発明の一実施例におけるプロセッサ間通信手段のハードウェア構成の一例を示す図である。図2を参照すると、左右両側のCPU(基本処理を実行するCPUと追加処理を実行するCPU)間に配設された、割り込み制御装置41と共有メモリ42の1セットで、図1のプロセッサ間通信手段401、402の全体を構成している。割り込み制御装置41としては、CPU#0、CPU#1、…CPU#n用のn個の割り込み制御装置410〜41nを備え、各割り込み制御装置は、割り込み指示部411と、割り込み状態保持部412と、割り込み取り消し部413とを備えている。また、共有メモリ42は、CPU#0、CPU#1、…CPU#n用のn個の通信領域420〜42nを備え、各通信領域は、送信情報(データ、メッセージ)をキューイング又はバッファリングする通信キュー421と、相互排他制御を行う排他制御領域422とを備えている。
例えばCPU#0とCPU#1の2つの構成を想定すると、CPU#1用の割り込み制御装置411と、CPU#1用の通信領域421とが、CPU#0からCPU#1へプロセッサ間通信手段401を構成し、CPU#0用の割り込み制御装置410とCPU#0用の通信領域420とが、CPU#1からCPU#0へのプロセッサ間通信手段402を構成している。
割り込み制御装置41と、共有メモリ42は、CPU#0、CPU#1、…CPU#nと、バス接続する構成とされる。また、共有メモリ42の通信キュー421には、送信データそのものでなく、送信データを格納するバッファポインタ(例えばメモリ50上でのバッファ領域のアドレス)を設定するようにしてもよい。
本実施例では、共有メモリ42におけるCPU#iの排他制御領域422iは、CPU#iの通信領域42iを、あるCPUがすでに占有している場合、他のCPUがCPU#iの通信領域42iを使用することがないようにする相互排他制御のために、設けられている。すなわち、CPU#iの排他制御領域422iは、mutex等のセマフォア、フラグ等の同期管理情報の格納に用いられる。
共有メモリ42に実装された相互排他制御機構により、送信CPUと受信CPU間におけるデータの整合性(consistency)が保証される。
また、相互排他制御機構により、送信側CPUは、排他制御領域422がロック状態のときは、送信CPUに対する割り込み要求を上げることができず、これにより、送信CPUから受信CPUへの頻繁なデータ送信等、不当な割り込み発生を防ぐことができる。
なお、排他制御領域422としては、キューへの繋ぎ(エンキュー)、キューからの取り外し(デキュー)のロック管理として用いてもよい。
図2において、割り込み制御装置41を介して一つの受信CPUへの多重割り込みを許可する構成とした場合、共有メモリ42において、各CPUの通信領域における通信キュー421、排他制御領域422は、多重数分設けられることになる。
特に制限されないが、共有メモリ42は、図1のメモリ50の所定のメモリ領域を共有メモリとして用いてもよいし、メモリ50とは別に、プロセッサ間通信手段40内に設ける構成としてもよい。また、図示されないが、割り込み制御装置410〜41nからの割り込み要求(Interrupt Request)線は、パラレルに受信CPUに接続する構成としてもよいし(割り込み本数が増える)、あるいは、デイジーチェーン方式で接続する構成としてもよい。
受信CPUは、割り込み制御装置41からの割り込み要求を受理すると、これを割り込み制御装置41に通知し、割り込み制御装置41は、図示されないデータ線に割り込み装置番号(割り込みベクター情報)を転送し、受信CPUは、割り込み装置番号から割り込みベクターを生成し、スケジューラを介して、受信CPUで実行される割り込みサービスルーチンが起動され、割り込みサービスルーチンが、対応する共有メモリ42の通信キューからデータを取得し、排他制御領域のmutex等のセマフォアをリリース(アンロック)し、割り込みから復帰(Return From Interrupt)するという一連の制御が行われる。
図3は、図2に示した本実施例のプロセッサ間通信手段の動作手順を説明するための図であり、CPU#kからCPU#0へデータを送信する場合の手順が示されている。図3において、矢線脇の数字は、ステップ番号を表している。
ステップ1:送信CPU#kは、共有メモリ42のCPU#0の通信領域の排他制御領域をロックする。なお、共有メモリ42のCPU#0の通信領域の排他制御領域が他のCPUによりロックされていることを示している場合、例えば該ロックが解除されるまで、待機する。
ステップ2:送信CPU#kは、共有メモリ42のCPU#0の通信領域の排他制御領域をロックしたあと、共有メモリ42のCPU#0用通信領域の通信キューに、送信CPU#kに送信するデータを書き込む。
ステップ3:送信CPU#kは、割り込み制御装置41のCPU#0用割り込み制御装置の割り込み指示部に、割り込み要求を通知する。
ステップ4:CPU#0用割り込み制御装置の割り込み指示部は、CPU#0用割り込み制御装置の割り込み状態保持部を更新し、「割り込み要求あり」に設定する。
ステップ5:CPU#0用割り込み制御装置の割り込み指示部は、受信CPU#0へ割り込みを行う。
ステップ6:受信CPU#0は、CPU#0用割り込み制御装置の割り込み指示部からの割り込みを受理し、共有メモリ42のCPU#0用通信領域の通信キューから、データを取り出す。このとき、受信CPU#0では、上記した割り込みサービスルーチンによる処理が行われる。
ステップ7:受信CPU#0は、共有メモリ42のCPU#0用通信領域の通信キューから、データを取得したのち、CPU#0用割り込み制御装置の割り込み取り消し部に、割り込み処理完了を通知する。
ステップ8:受信CPU#0からの割り込み処理完了通知を受けたCPU#0用割り込み制御装置の割り込み指示部は、CPU#0用割り込み制御装置の割り込み状態保持部を更新する。
ステップ9:受信CPU#0は、共有メモリ42のCPU#0の通信領域の排他制御領域をアンロックする。
本実施例において、特定の受信CPUへの割り込み要求の集中を認識した場合、受信CPUへの割り込み要求を抑制する等の流量制御、帯域制御を行うようにしてもよい。すなわち、割り込み制御装置41内に、送信CPU側から受信CPUに対して、連続・多発して割り込み要求を上げることがないように制限するQoS保証機能を備えてもよい。例えば、受信CPUへのデータの引渡しを伴わない割り込み要求は、排他制御の対象とされず、複数連続して発行することができる。そこで、受信CPU側で割り込み処理が完了しない状態において、送信CPU側からの割り込み要求が発生し、割り込み制御装置41の割り込み状態保持部の「割り込み要求あり」が所定数以上となった場合に、以降の送信CPU側から割り込み要求を不許可とする制御が行うようにしてもよい。かかる構成により、例えば送信CPUが、受信CPUへのデータの引渡しを伴わない割り込み要求を多量に発生することで、受信CPUの性能を低下させるといった類の攻撃を抑えることができる。
図4は、図1に示した本発明の一実施例のアクセス制御手段30の構成を示す図である。図4を参照すると、このアクセス制御手段30は、基本側バス70Aを介して、基本処理(図1の22)を実行するCPU10Aに接続し、追加側バス70Bを介して追加処理(図1の23)を実行するCPU10Bに接続するアクセス許可手段31と、アクセス許可データ32を格納した記憶手段を備えている。
アクセス許可データ32は、CPU10Aから読み出し・書き込みが可能とされる。アクセス許可手段31からは読み出しのみが許可されている。そして、アクセス許可データ32は、CPU10Bからは読み出しも書き込みも不可とされる。すなわち、アクセス許可データ32とCPU10Bの間にはデータパスが存在しない。
アクセス許可手段31は、追加側バス70Bのアドレス信号線、制御信号線に転送される、メモリ50(図1参照)へのアクセスアドレス信号、及び、制御信号(アクセスコマンド)から、アクセスの種別(リード/ライト)を判別し、アクセス許可データ32の情報を参照して、当該アクセスが適正であるか否かを判別する。判別の結果、アクセスが不当と判断された場合、アクセス許可手段31は、基本側バス70Aへのアクセスアドレス、制御信号(アクセスコマンド)の送出を行わず、これにより、CPU10B側から、基本側バス70Aへのアクセスは行われない。この場合、追加側バス70Bにアクセスアドレスを送出したCPU10B側では、バスエラー、あるいは、リード/ライトアクセスに対するメモリ50等からの不応答により、該アクセスが失敗したことを知る。
アクセス許可手段31は、入出力デバイス(I/O)60がメモリマップドI/Oである場合には、追加側バス70Bを監視し、アクセスアドレスが入出力デバイス対応のアドレスであることを検出し、データバス上に、I/Oコマンド(リード/ライト等)を検出した場合、該アクセスが適正であるかをアクセス許可データ32の情報を参照して決定する。入出力デバイスがメモリマップドI/Oでない場合も、追加側バス70Bに転送される入出力デバイスのデバイス番号、I/Oコマンドをデコードし、アクセス許可データ32の情報を参照して、アクセスの可否を決定する。
なお、本実施例において、アクセス制御手段30は、単位時間当りのデータ転送量の制御を行う帯域制約手段を備えてもよい。一例として、アクセス制御手段30は、CPU10Bがアクセス動作中に、CPU10Bから追加側バス70Bに転送されるデータ量を測定監視する手段を備え、例えば単位時間あたり予め定められた閾値を超えるバイト数のデータが転送される場合、CPU10BからCPU10Aへのデータ転送を打ち切る制御を行うようにしてもよい。その際、CPU10Bが、CPU10Aへのデータ転送がフェイルしたことを知ってリトライした場合にも、アクセス制御手段30は、CPU10BからのデータをCPU10Aに転送することは行わない。あるいは、アクセス制御手段30は、バッファを備え、CPU10Bから追加側バス70Bに転送されるデータをバッファに蓄積し、CPU10Aに転送されるデータの流量を制御する構成としてもよい。
図5は、本発明の一実施例におけるアクセス許可データ32の一例を示す図である。図5を参照すると、アクセス許可データは、追加処理を実行するCPU(図4の追加側バスに接続するCPU)と、アクセスが許可される範囲の始点アドレスと終点アドレスからなる許可範囲アドレスと、許可するアクセス種別(リード、リード/ライト、ライトの種別)がテーブル形式で格納されている。なお、許可範囲アドレスは、異なるCPUで重複してもよい。図5に示す例では、2行目のCPU#2、#3の許可範囲アドレスは、0xC000000から0xF000000で、読み出し/書き込み可(R/W)あり、3行目のCPU#3の許可範囲アドレスは、0xE000000から0xF000000であり、2行目と重複している。アドレス許可データの数、したがってテーブルのエントリ数は、その数が多いほど、きめ細かく、アクセス制御を行うことができる。なお、図5では、説明のため、R(読み出し可)、W(書き込み可)、R/W(読み出し/書き込み可)を例示したが、R(読み出し可)は、読み出しのみ可とし書き込みを不可とする情報であり、Wを書き込みを可とし(読み出しも可)とした場合には、R/Wは、不要とされる。また、読み出しが不可(書き込みも不可)のアドレス範囲は、アドレス許可データ32には格納されない。図5に示す例では、アクセス許可データとして、アクセスが許可されたCPUのそれぞれについて、アドレス範囲と、アクセス種別を有するが、アクセス許可データに、アクセス種別として、アクセス不可の情報をさらに設け、追加処理を実行するCPUについて、アクセス不可のアドレス範囲を格納するようにしてもよい。
図4のアクセス許可手段31は、追加側のCPUからのアクセス要求(アドレス、読み書きコマンド)を受け取り、アクセス許可データ32の許可範囲アドレス、アクセス種別を参照して、許可されたアクセスの場合、該アクセスを許可する。一方、不許可の場合、アクセスを不許可とする。図5に示す例では、CPU#4の場合、始点アドレス1000から終点アドレス2000(ヘキサデシマル)とされ、アクセス種別は読み出し(R)とされる。CPU#2、#3の場合、始点アドレス0xC000000から終点アドレス0xF000000(ヘキサデシマル)とされ、アクセス種別は読み出しと書き込み(R/W)とされる。CPU#3の場合、始点アドレス0xE000000から終点アドレス0xF000000(ヘキサデシマル)のアクセス種別は書き込み(W)とされる。
図6は、図4のアクセス制御手段30の動作の一例を説明するための図である。図6において、矢線脇の番号は、ステップ番号を表している。
ステップ1:基本処理を実行するCPU10Aは、アクセス制御手段30のアクセス許可データ32に、すべての追加処理を実行するCPU10Bが、あるアドレス範囲を読み出すことを禁止する。
ステップ2:CPU10Bが、追加処理23の実行等により、読み出しが禁止されたアドレス範囲への読み出し要求を発行したとする。
ステップ3:アクセス許可手段31は、アクセス許可データ32を読み出し、該アクセス要求の適否をチェックする。
ステップ4:アクセス許可手段31は、CPU10Bへエラーを返す。該アドレス範囲は、CPU10Bからの読み出しが禁止されているためである。
ステップ5:CPU10Bは、上記アドレス範囲とは別の範囲への読み出し要求を発行する。
ステップ6:アクセス許可手段31は、アクセス許可データ32を読み出してチェックする。
ステップ7:アクセス許可手段31は、CPU10Bの読み出しのアクセス要求を許可し、基本側バス70Aに読み出し要求として発行する。
なお、本実施例では、アクセス制御手段30の構成として、アクセス許可手段31と、アクセス許可データ32を備え、アクセス許可情報に基づき、アクセス制御を行う例について説明したが、本発明はかかる構成にのみ制限されるものでなく、アクセス許可のデータに変えて(反転し)、アクセス拒否データと、アクセス拒否手段を備えてもよい。この場合、アクセス拒否手段は、追加処理を実行するCPU10Bからのアクセスアドレスが、アクセス拒否データに、アクセス拒否が定義されたアドレス範囲に合致した場合に、アクセスを拒否する制御を行う。
本実施例の変形例として、アクセス許可手段31に、キャッシュを備えてもよい。この場合、アクセス判定に用いたアクセスアドレス、アクセス許可データは、キャッシュに格納され、次回以降のアクセス制御の判定において、該当するアクセスアドレス(アドレス範囲)のアクセス許可データがキャッシュに存在するか判定し、キャッシュヒットした場合、アクセス判定の高速化を実現している。キャッシュには、アクセスアドレスの範囲に対応するタグアドレス、アクセス許可データを備え、追加側バス70Bのアクセスアドレスがキャッシュとヒットするか否か判定するキャッシュヒット判定回路を備えて構成される。
さらに、本実施例の変形例として、アクセス制御手段は、図26に示すように、新アクセス許可データ33と、アクセス許可データ更新手段34を備える構成としてもよい。図26を参照すると、アクセス制御手段30は、図4に示した実施例に加えて、基本側バス70Aに接続するアクセス許可データ更新手段34と、新アクセス許可データ33を格納した記憶手段と、を備えている。この2つの手段の機能について詳細を説明する。
新アクセス許可データ33は、図4のアクセス許可データ32と同じ特徴を持つのに加え、アクセス許可データ更新手段34からのみの読み出しを許可する記憶手段である。
アクセス許可データ更新手段34は、基本側バス70Aを通じたCPU10Aからの要求によって、新アクセス許可データ33の内容をアトミックに新アクセス許可データ34に上書きする。
なお、本実施例において、アクセス許可データの更新ではなく、新アクセス許可データへの切替を行う手段を設けてもよい。
このような構成によれば、アクセス許可データ32の更新をCPUによりアトミックに書き換えることが可能となるため、アクセス制御手段による保護すべき領域、制限すべき領域を動的に変更することが可能である。
また、図27は本発明の一実施例のアクセス制御手段30の別の構成を示す図である。図27を参照すると、このアクセス制御手段30は、図4に示した実施例に加えて、追加側バス70Bに接続するアクセス監視手段35と学習手段36を備えている。この手段の機能について詳細を説明する。
アクセス監視手段35は、アクセス許可手段31と同様に、追加側バス70Bを通じたCPU10Bからのアクセス情報を取得する。
学習手段36は、前記アクセス監視手段35から提供されるアクセス情報を記憶する。そして、アクセス情報に基づき、その参照が適切かどうかを判断する。例えば、ユーザ保護データに対する参照回数をカウントしておき、もしあらかじめ指定された閾値を越えた場合には、異常事態と認定し、アクセス監視手段35にそのことを通知し、別途定められたルールに従ってアクセス許可データ32を動的に変更する。また、場合によっては、基本側バス70AにつながるCPU10Aに通知をし、異常時の処理を起動してもよい。
このような構成によれば、実際に参照されたパターンから信頼度が低いと思われるCPUの動作を履歴情報として蓄積することで自律的に制限できるため、実動作におけるCPUの動作状況に基づいたより安全な実行制御を行うことが可能となる。
また、アクセス制御手段の構成例としては、図4の構成に加えて、上記説明した新アクセス制御手段、アクセス許可更新手段、アクセス監視手段、学習手段のすべてを備える構成とすることも可能である。
図7は、本発明の別の実施例の構成を示す図である。図7を参照すると、本実施例は、図1の構成に加えて、追加処理側のソフトウェアとOS、CPUをさらに1組追加したものである。すなわち、第2の追加処理側のCPU10Cは、プロセッサ間通信手段を介して、第1の追加処理用のCPU10Bと相互に通信する。また、第2の追加処理側のCPU10Cは、第2のアクセス制御手段302を介して、基本側バス70Aに接続される。
各アクセス制御手段301、302の設定は、基本処理22を実行するCPU10Aが設定する。すなわち、基本処理22を実行するCPU10Aが、マスタープロセッサとして機能する。CPU10Aにより、メモリ50及び入出力デバイス(I/O)60の集中的な管理が行われる。
第2の追加処理23Cを実行するCPU10Cは、第1の追加処理23Bを実行するCPU10Bに対してプロセッサ間通信手段403を介して通信(データ、コマンドの送信)を行い、第1の追加処理23Bを実行するCPU10Bは、基本処理22を実行するCPU10Aに対してプロセッサ間通信手段401を介して通信(データ、コマンドの送信)を行う。また、第2の追加処理23Cを実行するCPU10Cは、第2のアクセス制御手段302の監視の下、メモリ50、入出力デバイス(I/O)60に対して許可されたアクセスのみを行い、第1の追加処理23Bを実行するCPU10Bは、第1のアクセス制御手段301の監視の下、メモリ50、入出力デバイス(I/O)60に対して許可されたアクセスのみを行い、第1のアクセス制御手段301、第2のアクセス制御手段302のアクセス許可データの設定は、すべてCPU10Aによって行われる。かかる構成により、集中的な管理が行われ、また、プロセッサ間通信手段40により、CPU間で処理の受け渡しが行われる。本実施例においても、基本処理22を実行するCPU10Aに対する、追加処理23B、23Cからの直接的な攻撃等は回避される。すなわち、前記実施例と同様に、追加処理23B、23Cは、基本処理22を直接起動あるいはサブルーチン呼び出しすることはできず、基本処理22の起動要求は、例えばCPU10CからCPU10Bを介して、CPU10Aに、プロセッサ間通信手段を介して伝達され、該要求を受け取ったCPU10Aでは、権限が付与されていないCPUからの要求である場合、該要求を受理しない(この詳細については、後述するソフトウェアの実施例で詳述する)。このように、追加処理側のCPUと基本処理側のCPUに権限の階層が設けられるほか、プロセッサ間通信手段40、及びアクセス制御手段30というハードウェア機構を介することで、基本処理等の直接的な攻撃は、回避される。本実施例におけるプロセッサ間通信手段401〜404は、図2に示した前記実施例の構成と同様とされ、アクセス制御手段301、302も、図4に示した前記実施例の構成と同様とされるため、その詳細構成、動作の説明は省略する。
図8は、本発明の別の実施例の構成を示す図である。図8を参照すると、本実施例は、図7に示した構成と同様に、図1の構成にさらに、追加処理側のCPU10Cと、アクセス制御手段302を追加したものである。本実施例は、図7に示した前記実施例と相違して、メモリと入出力デバイス(I/O)を、各組(ドメイン)のCPU群毎に用意している。第2の追加処理CPU10Cは、許可されたメモリ50C、入出力デバイス(I/O)60Cには、アクセス制限なく自在にアクセスすることができる。第1の追加処理CPU10Bは、許可されたメモリ50B、入出力デバイス(I/O)60Bには、アクセス制限なくアクセスすることができる。
第2の追加処理側のCPU10Cからの、基本処理側のメモリ50A、入出力デバイス(I/O)60Aへのアクセスは、第2のアクセス制御手段302及び第1のアクセス制御手段301と2段構成にて、アクセス制御が行われる。
第1の追加処理側のCPU10Bからの、基本処理側のメモリ50A、入出力デバイス(I/O)60Aへのアクセスは、第1のアクセス制御手段301により、アクセス許可が判定される。
第1のアクセス制御手段301のアクセス許可データ、第2のアクセス制御手段302のアクセス許可データは、基本処理のCPU10Aが設定する。第2のアクセス制御手段302のアクセス許可データは第1の追加処理のCPU10Bが設定してもよい。この実施例によれば、メモリ、入出力デバイス(I/O)をドメイン単位に分離し、CPU間をプロセッサ間通信手段40で多段に接続する構成としたことにより、追加処理による攻撃からの防護機能を高め、安全性を確保している。
図28は、図1に示した本発明の一実施例を2以上のチップにおいて適用した例である。図28を参照すると、本発明の一実施例のCPU10A、10B、10C、10Dとアクセス制御手段301の組み合わせを複数並べることに加えて、さらに個々のチップ間をアクセス制御手段303で結合する。
ある一チップ内における一部のCPUを基本処理実行用として設けることで、一チップ内のアクセス制御手段によりアクセス制限を行うこともできるし、各チップ内の少なくとも一部のCPUを基本処理実行用として設けることも可能である。
また、異なるチップにまたがってドメインを構成し、各チップ間のアクセス制御手段により実行を制御することも可能である。
いずれの場合でも、適切なアクセス制御手段の設定によって、複数のチップ間においても本発明における実行制御を行うことが可能となる。
上記した実施例では、主に、本発明のハードウェア構成について説明したが、本発明のソフトウェア構成について以下に説明する。
図9は、本発明を実施するソフトウェア構成の一例を示す図であり、基本ドメインと、Trusted(信頼)拡張ドメイン、Untrusted(無信頼)拡張ドメインを備えている。図9のハードウェア構成としては、3つの群のCPUを備えた、図8の構成等を用いることができる。この場合、基本処理を実行する実行環境である基本ドメインは、図8のソフト20A、OS21Aに対応し、Trusted拡張ドメインは、図8のソフト20B、OS21Bに対応し、Untrusted拡張ドメインは、図8のソフト20C、OS21Cに対応させることができる。
図9を参照すると、基本ドメイン100Aは、基本アプリケーションプログラム(「基本アプリケーション」という)111と、基本機能112を含む基本ソフト110と、OS101Aと、専用ファイルシステム103と、外部デバイス102Aを備え、ネイティブコードダウンロード管理機能104Aと、セキュリティポリシーデータベース105を備えている。特に制限されないが、基本機能112は、例えば、本実施例の情報通信装置が携帯型情報通信端末である場合、発呼、着信処理等の呼処理、インターネットアクセス、画面処理等の、携帯型情報通信端末の基本機能を実現するもので、図1の基本処理22に対応している。基本アプリケーション111は、基本機能112を呼び出して処理を行い、基本機能112は、OSを介してファイルシステム、外部デバイスへのアクセスを行う。外部デバイスは、ワイヤレス通信インタフェース等の通信インタフェース、表示装置のインタフェース、キー、ポインティングデバイス等の入力インタフェース、SD(Secure Digital)メモリカードインタフェース、サウンドインタフェース等を含む。
Trusted拡張ドメイン100Bは、ネイティブコードダウンロード実行機能104Bと、ダウンロードアプリケーションプログラム(「ダウンロードアプリケーション」という)120Bと、基本機能ライブラリ(ラッパー)113と、OS101Bと、許可された外部デバイス102Bを備えている。
OS101Bは、証明書付のダウンロードドライバ121Bを含む。証明書付ドライバ121Bは、許可された外部デバイス102Bの入出力制御を行う。
Untrusted拡張ドメイン100Cは、ネイティブコードダウンロード実行機能104Cと、ダウンロードアプリケーション120Cと、OS101Cと、許可された外部デバイス102Cを備えている。OS101Cに組み込まれるダウンロードドライバ121Cは、許可された外部デバイス102Cの入出力制御を行う。
基本ドメイン100Aの外部デバイス102Aから入力され、ダウンロードされたファイルについて、ネイティブコードダウンロード管理機能104Aが、セキュリティポリシデータベース105の内容を参照することで、信頼できる(信頼できる電子証明書付)ネイティブコードのアプリケーションを、Trusted拡張ドメイン100Bへ転送し、信頼できる(信頼できる電子証明書付)ネイティブコードのダウンロードドライバ121BのOS101Bへの組み込みを行う。
また、ネイティブコードダウンロード管理機能104Aは、信頼できない(例えば電子証明書無しであるか、証明書の内容が正しくない場合等)アプリケーションを、Trusted拡張ドメイン100B経由で、Untrusted拡張ドメイン100Cへ転送し、信頼できない(証明書無し)ダウンロードドライバのUntrusted拡張ドメインのOS101Cへの組み込みを行う。
Trusted拡張ドメイン100Bからは、基本機能112の呼び出しは許可されるが、Untrusted拡張ドメイン100Cからの基本機能112の呼び出しは、許可されない。ただし、Untrusted拡張ドメイン100CとTrusted拡張ドメイン100Bとの協働作業は可能である。
信頼できるドメインで動作するアプリケーションプログラムは、信頼できないドメインからのデータについて、ユーザの確認(OK)があった場合にのみ、基本機能112へ引き渡す。ユーザの確認なく、信頼できないドメインからのデータを、基本機能112に渡さない。なお、信頼できる拡張ドメイン100Bから、直接、基本ドメイン100Aの基本機能112へ、処理要求を発行することはできない。
図10は、図9に示した本発明の一実施例の動作を説明するための図であり、基本アプリケーションの実行を示す図である。図10において、各矢線に付された番号は、当該線を情報が転送されるステップ番号を表している。
ステップ1:基本ドメイン100Aの基本アプリケーション111は、基本機能112に、処理要求(例えば、アドレス帳の追加等)を発行する。
ステップ2:基本機能112は、OS101Aを利用して、該当要求を処理する。
ステップ3:基本機能112は、基本アプリケーション111に要求の成否を通知する。
図11は、図9に示した本発明の一実施例の動作を説明するための図であり、信頼アプリケーションのダウンロードの実行の様子を示す図である。図11において、各矢線に付された番号は、当該線を情報が転送されるステップ番号を表している。
ステップ1:基本ドメイン100A上の外部デバイス102A(ネットワーク又はSDメモリカード等)からOS101Aにダウンロードデータが到着する。
ステップ2:ダウンロードデータは、基本機能112にて、属性情報等の情報から、追加アプリケーション(ダウンロードアプリケーション)と認識される。
ステップ3:基本機能112は、追加アプリケーションを、ネイティブコードダウンロード管理機能104Aに渡し、ネイティブコードダウンロード管理機能104Aは、セキュリティポリシーデータベース105を参照して、追加アプリケーションに付随した電子証明書をチェックする。前述したように、例えば電子証明書には、公開鍵やデジタル署名(証明される機関や公開鍵などを秘密鍵で暗号化したもの)が格納され、ネイティブコードダウンロード管理機能104Aが、証明書の認証を行う場合には、ディジタル署名の部分を、公開鍵で解読して、証明書のデータの内容と一致するか否か確認し、一致する場合に、証明書のデータを信頼してもよいと判断する。さらに、アプリケーションのダイジェストからなるデジタル署名を付随しておくことで、ダウンロードしたアプリケーションが改竄されていないかどうかをチェックすることができる。
ステップ4:ネイティブコードダウンロード管理機能104Aは、電子証明書とともに、ダウンロード情報を、セキュリティポリシーデータベース105に保存する。
ステップ5:基本ドメイン100Aのネイティブコードダウンロード管理機能104Aは、電子証明書のチェックの結果、正しい場合、Trusted拡張ドメイン100Bのネイティブコードダウンロード実行機能104Bに、ダウンロードアプリケーションを送信し、実行を要求する。基本ドメイン100Aのネイティブコードダウンロード管理機能104Aから、Trusted拡張ドメイン100Bのネイティブコードダウンロード実行機能104Bのデータの送信は、図7又は図8のプロセッサ間通信手段40を用いて行われる。
ステップ6:Trusted拡張ドメイン100Bのネイティブコードダウンロード実行機能104Bは、受け取ったダウンロードアプリケーションを実行するように制御する。
ステップ7:ダウンロードアプリケーションはTrusted拡張ドメイン上で実行される。
図12は、図9に示した本発明の一実施例の動作を説明するための図であり、信頼ドライバのダウンロード実行を示す図である。信頼ドライバとは、例えばダウンロードされたドライバに添付される電子証明書の照合結果が正しいドライバをいう。図12において、各矢線に付された番号は、当該線を情報が転送されるステップ番号を表している。
ステップ1:基本ドメイン100A上の外部デバイス102A(ネットワーク又はSDカード等)からOS101Aにダウンロードデータが到着する。
ステップ2:基本機能112にて、属性情報、自動インストール情報等から、ダウンロードデータは、追加デバイスドライバ(ダウンロードドライバ)であると認識する。
ステップ3:基本機能112は、受信したドライバを、ネイティブコードダウンロード管理機能104Aに渡す。ネイティブコードダウンロード管理機能104Aは、セキュリティポリシーデータベース105を参照して、ダウンロードデータに付随した電子証明書をチェックする。
ステップ4:ネイティブコードダウンロード管理機能104Aは、電子証明書とともに、ダウンロード情報をセキュリティポリシーデータベース105に保存する。
ステップ5:ネイティブコードダウンロード管理機能104Aは、Trusted拡張ドメインのネイティブコードダウンロード実行機能104Bに対して、ダウンロードドライバを送信し、インストールの実行を要求する。基本ドメイン100Aのネイティブコードダウンロード管理機能104Aから、Trusted拡張ドメイン100Bのネイティブコードダウンロード実行機能104Bのデータの送信は、図7又は図8のプロセッサ間通信手段40を用いて行われる。
ステップ6:Trusted拡張ドメインのネイティブコードダウンロード実行機能104Bは、受け取ったダウンロードドライバを自動インストールする。特に制限されないが、この実施例において、ダウンロードドライバはインストールしたのちCPUを再起動してOS101Bのある領域に組み込むレジデント型のドライバであってもよい。
ステップ7:Trusted拡張ドメインのOS101Bは、ダウンロードドライバをインストールされたことを、既に実行済みのアプリケーションに通知するか、表示する。
ステップ8:Trusted拡張ドメインにおいて、既に実行済みのアプリケーション120Bは、インストールされたダウンロードドライバ121Bを参照する。
ステップ9:Trusted拡張ドメインのOS101Bにインストールされ、ロードされたダウンロードドライバ121Bは、許可された外部デバイス102Bをアクセスする。
ステップ10:ダウンロードドライバ121Bは、ダウンロードアプリケーション120Bに外部デバイス102Bからのデータを返す。
図13は、図9に示した本発明の一実施例の動作を説明するための図であり、Trusted拡張ドメインの信頼アプリケーション(ダウンロードアプリケーション)が、基本ドメインの基本機能を利用する場合の動作を示す図である。図13において、各矢線に付された番号は、当該線を情報が転送されるステップ番号を表している。
ステップ1:Trusted拡張ドメイン100Bにおいて、ダウンロードアプリケーション120Bが、基本機能ライブラリ113へ、基本ドメイン100Aの基本機能112の処理を要求する。基本機能ライブラリ113は、基本ドメイン100Aの基本機能112の処理を実行するためのルーチンを集めたライブラリであり、ダウンロードアプリケーション120Bから起動される。
ステップ2:Trusted拡張ドメイン100Bの基本機能ライブラリ113は、ダウンロードアプリケーション120Bが保有する電子証明書の鍵(公開鍵等)を用いて、要求を暗号化し、暗号化した要求を、基本ドメイン100Aのネイティブコードダウンロード管理機能104Aへ送信する。Trusted拡張ドメイン100Bの基本機能ライブラリ113から基本ドメイン100Aのネイティブコードダウンロード管理機能104Aへの要求の送信は、図7又は図8のプロセッサ間通信手段40を介して行われる。
ステップ3:基本ドメイン100Aのネイティブコードダウンロード管理機能104Aは、受け取った要求を復号し、該要求を、電子証明書を利用して、要求送信元が適正であるか否か等のチェックを行う。なお、この例では、要求の暗号化と復号を用いて、要求をチェックしているが、アプリケーションと電子証明書の対応がとれる方法であれば、任意の方法を用いてよいことは勿論である。
ステップ4:基本ドメイン100Aのネイティブコードダウンロード管理機能104Aは、要求のチェックの結果、OKであれば、基本機能112へ要求を依頼する。
ステップ5:基本ドメイン100Aの基本機能112は、ネイティブコードダウンロード管理機能104Aから受け渡された該要求を処理し、処理完了後、基本ドメイン100Aのネイティブコードダウンロード管理機能104Aへ、処理完了を通知する。
ステップ6:基本ドメイン100Aのネイティブコードダウンロード管理機能104Aは、Trusted拡張ドメイン100Bの基本機能ライブラリ113へ、処理の完了を通知する。基本ドメイン100Aのネイティブコードダウンロード管理機能104AからTrusted拡張ドメイン100Bの基本機能ライブラリ113への通知の送信は、図7又は図8のプロセッサ間通信手段40を介して行われる。
ステップ7:Trusted拡張ドメインの基本機能ライブラリ113は、ダウンロードアプリケーション120Bに、要求に対する応答として処理の完了を通知する。
図14は、図9に示した本発明の一実施例の動作を説明するための図であり、Untrusted拡張ドメインの無信頼アプリケーションのダウンロードの実行手順を示す図である。図14において、各矢線に付された番号は、当該線を情報が転送されるステップ番号を表している。
ステップ1:基本ドメイン100A上の外部デバイス102A(ネットワーク又はSDカード等)から、OS101Aにダウンロードデータが到着する。
ステップ2:基本ドメイン100Aの基本機能112では、属性情報等を解析し、ダウンロードデータをアプリケーション(ダウンロードアプリケーション)と認識する。
ステップ3:基本ドメイン100Aの基本機能112は、ダウンロードアプリケーションを、ネイティブコードダウンロード管理機能104Aに渡す。ネイティブコードダウンロード管理機能104Aでは、アプリケーションに、電子証明書が付随されていないか、あるいは電子証明書が正しくないと判別する。
ステップ4:基本ドメイン100Aのネイティブコードダウンロード管理機能104Aは、セキュリティポリシーデータベース105に、ダウンロード情報を保存する。
ステップ5:基本ドメイン100Aのネイティブコードダウンロード管理機能104Aは、Trusted拡張ドメインのネイティブコードダウンロード実行機能104Bに、ダウンロードされたアプリケーションを送信する。基本ドメイン100Aのネイティブコードダウンロード管理機能104AからTrusted拡張ドメインのネイティブコードダウンロード実行機能104Bへのアプリケーションの送信は、図7又は図8に示したプロセッサ間通信手段40を介して行われる。
ステップ6:Trusted拡張ドメイン100Bのネイティブコードダウンロード実行機能104Bは、Untrusted拡張ドメイン100Cのネイティブコードダウンロード実行機能104Cにアプリケーションを送信し、実行を要求する。Trusted拡張ドメイン100Bのネイティブコードダウンロード実行機能104BからUntrusted拡張ドメイン100Cのネイティブコードダウンロード実行機能104Cへのアプリケーションの送信は、図7又は図8に示したプロセッサ間通信手段40を介して行われる。
ステップ7:Untrusted拡張ドメインのネイティブコードダウンロード実行機能104Cは、受信したダウンロードアプリケーション120Cの起動を行う。
ステップ8:ダウンロードアプリケーション120Cは、Untrusted拡張ドメイン100Cで動作を開始する。この場合、Untrusted拡張ドメインのダウンロードアプリケーション120Cは、Untrusted拡張ドメインのOS101C上で動作し、許可された外部デバイス102Cへのアクセスのみが許可される。
図15は、図9に示した本発明の一実施例の動作を説明するための図であり、無信頼ドライバのダウンロード実行の様子を示す図である。図15において、各矢線に付された番号は、当該線を情報が転送されるステップ番号を表している。
ステップ1:基本ドメイン100A上の外部デバイス102A(ネットワーク又はSDカード等)からOS101Aにダウンロードデータが到着する。
ステップ2:基本機能112は、ダウンロードデータの到着で起動され、属性情報、インストール情報等のダウンロードデータを解析し、デバイスドライバ(ダウンロードドライバ)と認識する。
ステップ3:基本機能112は、ダウンロードドライバを、ネイティブコードダウンロード管理機能104Aに渡し、ネイティブコードダウンロード管理機能104Aは、ダウンロードドライバに電子証明書が添付されていないか、あるいは、電子証明書は添付されているが、電子証明書の内容が正しくないことがわかる。
ステップ4:基本ドメイン100Aのネイティブコードダウンロード管理機能104Aは、ダウンロード情報のみをセキュリティポリシーデータベース105に保存する。
ステップ5:ネイティブコードダウンロード管理機能104Aは、Trusted拡張ドメイン100Bのネイティブコードダウンロード実行機能104Bにダウンロードドライバを送信する。ネイティブコードダウンロード管理機能104AからTrusted拡張ドメイン100Bのネイティブコードダウンロード実行機能104Bへのダウンロードドライバの送信は、図7又は図8に示したプロセッサ間通信手段40を介して行われる。
ステップ6:Trusted拡張ドメイン100Bのネイティブコードダウンロード実行機能104Bは、受け取ったダウンロードドライバを、Untrusted拡張ドメイン100Cのネイティブコードダウンロード実行機能104Cに転送する。Trusted拡張ドメイン100Bのネイティブコードダウンロード実行機能104BからUntrusted拡張ドメイン100Cのネイティブコードダウンロード実行機能104Cへのダウンロードドライバの転送は、図7又は図8に示したプロセッサ間通信手段40を介して行われる。
ステップ7:Untrusted拡張ドメイン100Cのネイティブコードダウンロード実行機能104Cは、受信したダウンロードドライバ121Cをインストールする。
ステップ8:OS101Cは、ドライバ121Cがインストールされたことを、既に実行済みのアプリケーション120Cへ通知するか、画面に表示する(ユーザに通知する)。
ステップ9:Untrusted拡張ドメイン100Cにおいて、既に実行済みのアプリケーション120Cは、インストールされたダウンロードドライバ121Cを参照する。
ステップ10:Untrusted拡張ドメイン100Cにおいて、インストールされたダウンロードドライバ121Cは、Untrusted拡張ドメインのOS101Cを介して、許可された外部デバイス102Cをアクセスする。
ステップ11:Untrusted拡張ドメイン100Cにおいて、ダウンロードドライバ121Cは、ダウンロードアプリケーション120Cに、外部デバイス102Cから取得したデータを返す。
図16は、図9に示した本発明の一実施例の動作を説明するための図であり、信頼アプリケーションと無信頼アプリケーションの連携の様子を示す図である。図16において、各矢線に付された番号は、当該線を情報が転送されるステップ番号を表している。
ステップ1:Untrusted拡張ドメイン100C上のダウンロードアプリケーション120Cは、Trusted拡張ドメイン100B上のダウンロードアプリケーション120Bへデータを送信する。このデータの送信は、通常、図7又は図8のプロセッサ間通信手段40によって行われる。
ステップ2:Trusted拡張ドメイン100B上のダウンロードアプリケーション120Bは、受け取ったデータによる処理を行い、基本機能ライブラリ113へ、Untrusted拡張ドメインと連携した情報を含む基本機能処理を要求する。
ステップ3:Trusted拡張ドメイン100B上の基本機能ライブラリ113は、アプリケーションが保有する電子証明書を用いて、要求を暗号化し、基本ドメイン100A上のネイティブコードダウンロード管理機能104Aへ送信する。この要求の送信は、通常、図7又は図8のプロセッサ間通信手段40によって行われる。
ステップ4:基本ドメイン100Aのネイティブコードダウンロード管理機能104Aは、要求を復号し、該要求の完全性を、セキュリティポリシーデータベース105に格納された電子証明書を利用してチェックする。チェックの結果、要求が正しい場合、ネイティブコードダウンロード管理機能104Aは、基本アプリケーション111を介して、ユーザに確認を求める。基本アプリケーション111は、画面表示、入力のアプリケーションを含む。なお、この例では、要求の暗号化と復号を用いて、アプリケーションと電子証明書の対応をチェックしているが、アプリケーションと電子証明書との対応がとれる方法であれば、任意の方法を用いてよいことは勿論である。
ステップ5:ユーザからの確認として「NO」が入力されるとする。
ステップ6:ネイティブコードダウンロード管理機能104Aは、Trusted拡張ドメイン100Bの基本機能ライブラリ113へ不許可を通知する。この不許可の通知は、通常、図7又は図8のプロセッサ間通信手段40によって行われる。
ステップ7:基本機能ライブラリ113は、ダウンロードアプリケーション120Bへ不許可を通知する。
ステップ8:Trusted拡張ドメイン100B上のダウンロードアプリケーション120Bは、Untrusted拡張ドメイン100C上のダウンロードアプリケーション120Cに不許可を通知する。この不許可の通知は、通常、図7又は図8のプロセッサ間通信手段40によって行われる。
図17は、図9に示した本発明の一実施例の動作を説明するための図であり、信頼アプリケーションと無信頼アプリケーションの連携を示す図である。図17において、各矢線に付された番号は、当該線を情報が転送されるステップ番号を表している。
ステップ1:Untrusted拡張ドメイン100C上のダウンロードアプリケーション120Cは、Trusted拡張ドメイン100B上のダウンロードアプリケーション120Bへデータを送信する。このデータの送信は、図7又は図8等のプロセッサ間通信手段によって行われる。
ステップ2:Trusted拡張ドメイン100B上のダウンロードアプリケーション120Bは、受け取ったデータによる処理を行い、基本機能ライブラリ113へ、Untrustedと連携した情報を含む基本機能処理を要求する。
ステップ3:Trusted拡張ドメイン100B上の基本機能ライブラリ113は、アプリケーション120Bが保有する電子証明書を用いて、要求を暗号化し、基本ドメイン100A上のネイティブコードダウンロード管理機能104Aへ送信する。この要求は、通常、図7又は図8のプロセッサ間通信手段40によって行われる。
ステップ4:基本ドメイン100Aのネイティブコードダウンロード管理機能104Aは、要求を復号し、該要求の完全性を、セキュリティポリシーデータベース105に格納される電子証明書を利用してチェックする。チェックの結果、要求が正しい場合、ネイティブコードダウンロード管理機能104Aは、基本アプリケーション111を介してユーザに確認を求める。なお、この例では、要求の暗号化と復号を用いて、アプリケーションと電子証明書の対応をチェックしているが、アプリケーションと電子証明書との対応がとれる方法であれば、任意の方法を用いてもよいことは勿論である。
ステップ5:この場合、ユーザの確認として「Yes」が入力される。
ステップ6:基本ドメイン100Aのネイティブコードダウンロード管理機能104Aは、基本機能112へ要求を依頼する。
ステップ7:基本機能112は、要求を処理し、ネイティブコードダウンロード管理機能104Aに処理完了を通知する。
ステップ8:基本ドメイン100Aのネイティブコードダウンロード管理機能104Aは、Trusted拡張ドメイン100Bの基本機能ライブラリ113に完了を通知する。この完了通知は、通常、図7又は図8のプロセッサ間通信手段40によって行われる。
ステップ9:Trusted拡張ドメイン100Bの基本機能ライブラリ113は、ダウンロードアプリケーション120Bに完了を通知する。
ステップ10:Trusted拡張ドメイン100Bのダウンロードアプリケーション120Bは、UnTrusted拡張ドメイン100Cのダウンロードアプリケーション120Cに完了を通知する。この完了通知は、通常、図7又は図8のプロセッサ間通信手段40によって行われる。
図18は、本発明のさらに別の実施例の構成を示す図である。OSとCPU間に仮想マシンモニタ(OSとの間に設けられ、CPUで実行されるソフトウェア層)を備えている。これにより、CPU、I/O、メモリ資源を仮想化している。仮想マシンモニタは、OSとCPU間で、仮想ハードウェア(例えば仮想入出力デバイス)を、実際のハードウェアデバイスにマッピングする。基本ドメイン、Trusted拡張ドメイン、UnTrusted拡張ドメインのそれぞれについて、OSは、仮想の専用ファイルシステム、仮想外部デバイスとの入出力(I/O)制御を行い、OSとCPU間に、仮想CPU200A、200B、200C、仮想マシンモニタ210A、210B、210Cを備え、仮想の専用ファイルシステム103’、仮想外部デバイス102A’、102B’、102C’を、対応する実ファイルシステム、実外部デバイスへマッピングする。
本実施例によれば、図8のハードウェア構成、図9のソフトウェア構成と相違して、本実施例において、例えば基本ドメインに対応する仮想CPUは固定でなく、Trusted拡張ドメイン等のCPUを、基本ドメインの仮想CPUとしてマッピングすることができる。なお、仮想マシンモニタは、その実装において、既存のOS、アプリケーションプログラム、CPU等の修正等は不要とされる。本実施例によれば、各ドメインのCPUの個数は可変とされ、仮想CPUを構成する。ソフトウェア構成として、基本ドメイン、Trusted拡張ドメイン、Untrusted拡張ドメインの構成は、デバイス、ファイルシステムが仮想デバイス、仮想ファイルシステムであることを除いて、図9に示した構成と同様である。
図19は、図18に示した実施例の処理手順の一例を示す図である。図19において、各矢線に付された番号は、ステップ番号を表している。
ステップ1:基本ドメイン100Aの仮想マシンモニタ210Aは、Trusted拡張ドメイン100B上の仮想マシンモニタ210Bに対してCPUの委譲を要求する。
ステップ2:Trusted拡張ドメイン100B上の仮想マシンモニタ210Bは、仮想CPU資源を減らす。
ステップ3:Trusted拡張ドメイン100B上の仮想マシンモニタ210Bは、基本ドメイン100A上のCPU上の仮想マシンモニタ210Aに委譲可能なCPUを通知する。
ステップ4:基本ドメイン100A上の仮想マシンモニタ210Aは、アクセス制御手段等の設定を行い、仮想CPUの数を増やす。
本実施例によれば、別の群のCPUを、基本ドメインのCPUのように動作させることができる。なお、アプリケーションのダウンロード処理は、前記した実施例の処理動作(図10乃至図18)と同一であるため、その説明は省略する。
本実施例と変形例として、仮想マシンモニタを、セキュアモードで動作させるようにしてもよい。このようにすることで、安全性をさらに向上させることができる。
上記ソフトウェアの各実施例において、各ドメインのCPU群がマルチプロセッサとして動作する場合、キャッシュコヒーレンスを保つためのバス、仮想マルチプロセッサの無効化のために、TLB(Translation Lookaside Buffer;アドレス管理ユニット内に設けられるアドレス変換表)の全エントリをフラッシュするシュートダウン等、ハードウェアで協調動作するチャネルについては、すべて、基本ドメイン100Aから、制御できるように構成されている。また、図20に示すように、各ドメインのCPU群(例えば図1のマルチCPU構成のCPU群10A、10B)を、分離手段15を介して、複数に分離できる構成としてもよい。これにより、例えばあるドメインのCPUを他のドメインに委譲する際の制御が容易化し、さらに障害マルチプロセッサの分離(graceful degrading)等にも対応可能としている。
なお、前記各実施例では、ネットワーク等装置外部からネイティブコードの追加処理(アプリケーション、デバイスドライバ)をダウンロードして実行する情報通信端末装置を例に説明したが、本発明は、かかる情報通信端末装置に限定されるものでなく、任意の情報通信装置に適用可能である。以上、本発明を上記実施例に即して説明したが、本発明は、上記実施例の構成にのみ限定されるものでなく、本発明の範囲内で当業者であればなし得るであろう各種変形、修正を含むことは勿論である。

Claims (61)

  1. 複数のプロセッサを備え、
    前記複数のプロセッサは、第1のドメインを構成するプロセッサと、前記第1のドメインとは異なる第2のドメインを構成するプロセッサと、を含み、
    前記第2のドメインは、前記第1のドメインに属するプロセッサが実行する処理よりも信頼度の低い処理を少なくとも1以上有するプロセッサを含み、
    前記第1のドメインと前記第2のドメインのプロセッサ同士の通信を制御するプロセッサ間通信手段と、
    前記第2のドメインに属するプロセッサによる前記第1のドメインに属するメモリ及び/又は入出力装置へのアクセスを、前記第2のドメインに属するプロセッサで実行される処理の信頼度に応じて制限するアクセス制御手段と、
    を備えている、ことを特徴とする情報処理装置。
  2. 前記アクセス制御手段は、アクセス許可データを記憶する手段と、
    前記第2のドメインに属するプロセッサからの前記メモリ及び/又は前記入出力装置へのアクセスを監視し、前記アクセス許可データを参照して、前記アクセスの許可の有無を判別するアクセス許可手段と、
    を備えている、ことを特徴とする請求項1記載の情報処理装置。
  3. 前記アクセス制御手段は、前記アクセス許可データを更新するアクセス許可データ更新手段を有することを特徴とする請求項2に記載の情報処理装置。
  4. 前記アクセス制御手段は、前記第2のドメインに属するプロセッサによるアクセス情報を取得するアクセス監視手段と、前記アクセス情報を記憶する学習手段を有することを特徴とする請求項2に記載の情報処理装置。
  5. 前記プロセッサ間通信手段は、情報の送リ手側のプロセッサからの割り込み要求を受け、前記情報の受け手側のプロセッサに割り込みを発行する割り込み制御情報処理装置を備えている、ことを特徴とする請求項1記載の情報処理装置。
  6. 予め定められた第1の類の処理を実行する、少なくとも1つのプロセッサ(「第1類プロセッサ」という)と、
    前記第1の類の処理とは異なる第2の類の処理を実行する少なくとも1つのプロセッサ(「第2類プロセッサ」という)と、
    メモリ及び入出力装置と、
    前記第1類及び第2類プロセッサ間の通信を制御するプロセッサ間通信手段と、
    前記第2類プロセッサによる前記メモリ及び/又は前記入出力装置へのアクセスを、前記第2の類の処理の信頼度に応じて制限するアクセス制御手段と、
    を備えている、ことを特徴とする情報処理装置。
  7. 前記第1類プロセッサを複数備え、前記第2類プロセッサを複数備えている、ことを特徴とする請求項6記載の情報処理装置。
  8. 前記第2類プロセッサは、前記第1類プロセッサが実行する前記第1の類の処理よりも信頼度の低い処理を少なくとも1以上実行する、ことを特徴とする請求項6に記載の情報処理装置。
  9. 前記第1の類の処理は、ベンダー提供の基本処理を含み、
    前記第2の類の処理は、ネットワーク又は記憶媒体よりダウンロードされた追加処理を含む、ことを特徴とする請求項6記載の情報処理装置。
  10. 前記第2の類の処理は、前記第2類プロセッサで実行されるデバイスドライバ、及び/又はアプリケーション・プログラムを含む、ことを特徴とする請求項6記載の情報通信装置。
  11. 前記プロセッサ間通信手段として、前記第1類プロセッサ側から前記第2類プロセッサへ情報を受け渡すためのプロセッサ間の通信を行うプロセッサ間通信手段と、
    前記第2類プロセッサ側から前記第1類プロセッサへ情報を受け渡すためのプロセッサ間の通信を行うプロセッサ間通信手段と、
    を備えている、ことを特徴とする請求項6記載の情報処理装置。
  12. 前記プロセッサ間通信手段は、情報の送リ手側のプロセッサからの割り込み要求を受け、前記情報の受け手側のプロセッサに割り込みを発行する割り込み制御情報処理装置を備えている、ことを特徴とする請求項6記載の情報処理装置。
  13. 前記プロセッサ間通信手段は、
    割り込み先のプロセッサに対応させて、割り込み制御情報処理装置と、共有メモリと、
    を備え、
    前記割り込み制御情報処理装置は、割り込み要求元のプロセッサからの割り込み要求を受け付け、前記割り込み先のプロセッサに割り込み要求を行う割り込み指示部と、
    前記割り込み指示部での割り込み要求を保持する割り込み保持部と、
    前記割り込み先のプロセッサからの割り込み処理の完了通知を受けて割り込みを取り消す割り込み取り消し部と、
    を備え、
    前記共有メモリは、前記割り込み要求元のプロセッサから前記割り込み先のプロセッサに転送するデータを格納する通信領域と、
    前記通信領域の排他制御を行う排他制御領域と、
    を備えている、ことを特徴とする請求項6記載の情報処理装置。
  14. 前記アクセス制御手段は、アクセス許可データを記憶する手段と、
    前記第2類プロセッサからの前記メモリ及び/又は前記入出力装置へのアクセスを監視し、前記アクセス許可データを参照して、前記アクセスの許可の有無を判別するアクセス許可手段と、
    を備えている、ことを特徴とする請求項6記載の情報処理装置。
  15. 前記アクセス許可データを記憶する手段は、前記第2類プロセッサに関して、アクセスを許可するプロセッサに対応させて、アクセスが許可されるアドレス範囲と、前記アドレス範囲に対して許可されたアクセス種別に関する情報を格納している、ことを特徴とする請求項14記載の情報処理装置。
  16. 前記アクセス許可データを記憶する手段は、前記第2類プロセッサに関して、アクセスを不許可とするプロセッサに対応させて、アクセスが不許可されるアドレス範囲と、前記アドレス範囲に対して不許可とされるアクセス種別に関する情報を格納している、ことを特徴とする請求項14記載の情報処理装置。
  17. 前記第1類プロセッサによる前記アクセス許可データの書き込み及び読み出しは可とされ、
    前記アクセス許可手段からは、前記アクセス許可データの読み出しのみが可とされ、
    前記第2類プロセッサによる前記アクセス許可データの読み出し及び書き込みは不可とされる、ことを特徴とする請求項14記載の情報処理装置。
  18. 前記アクセス制御手段が、前記第2類プロセッサのアクセスアドレスに関する情報とアクセス許可に関する情報とを対応して格納するキャッシュメモリを備えている、ことを特徴とする請求項14記載の情報処理装置。
  19. 前記アクセス制御手段は、アクセス許可データの更新を行うアクセス許可データ更新手段を有することを特徴とする請求項14に記載の情報処理装置。
  20. 予め定められた第3類の処理を実行する、少なくとも1つのプロセッサ(「第3類プロセッサ」という)と、
    前記第2類及び第3類プロセッサ間で通信を行うプロセッサ間通信手段と、
    前記第3類プロセッサによる前記第1類プロセッサに接続するメモリ及び/又は入出力情報処理装置へのアクセスを、前記第3の類の処理の信頼度に応じて制限する第2のアクセス制御手段と、
    をさらに備えている、ことを特徴とする請求項6記載の情報処理装置。
  21. 予め定められた第3類の処理を実行する、少なくとも1つのプロセッサ(「第3類プロセッサ」という)と、
    前記第2類及び第3類プロセッサ間で通信を行うプロセッサ間通信手段と、
    を備え、
    前記第1類乃至第3類プロセッサの各々は、それぞれバスを介して、接続されるメモリ及び入出力装置を備え、
    前記第2類プロセッサによる前記第1類プロセッサに接続する前記メモリ及び/又は前記入出力装置へのアクセスは、前記アクセス制御手段により前記第2の類の処理の信頼度に応じて制限され、
    前記第3類プロセッサによる前記第1類プロセッサに接続するメモリ及び/又は入出力情報処理装置へのアクセス、及び/又は、前記第2類プロセッサに接続する前記メモリ及び/又は前記入出力装置へのアクセスは、第2のアクセス制御手段により前記第3の類の処理の信頼度に応じて制限されることを特徴とする請求項6記載の情報処理装置。
  22. 前記第3類プロセッサは、前記第2類プロセッサが実行する前記第2の類の処理よりも信頼度の低い処理を少なくとも1以上実行する、ことを特徴とする請求項20又は21に記載の情報処理装置。
  23. 請求項6に記載の情報処理装置を複数備える情報処理装置であって、前記情報処理装置のそれぞれが異なるチップ内に構成されていることを特徴とする情報処理装置。
  24. 請求項23に記載の情報処理装置であって、前記チップ間に構成され、メモリ/入出力装置へのアクセス許可を前記チップに構成された前記情報処理装置に属する処理の信頼度に応じて制限するアクセス制限手段を有することを特徴とする情報処理システム。
  25. 基本ソフトウエア環境と、
    外部デバイス、及び/又はファイルシステムと、
    オペレーティングシステムと、
    を備え、
    ダウンロードされたデータのセキュリティ情報を格納するセキュリティポリシーデータベースと、
    ネイティブコードのダウンロードデータのダウンロードを制御するネイティブコードダウンロード管理手段と、
    を備えた基本ドメインと、
    ネイティブコードのダウンロードプログラムの実行を制御するネイティブコードダウンロード実行手段と、
    オペレーティングシステムと、
    前記基本ドメインのネイティブコードダウンロード管理手段により、信頼できると判定された、ダウンロードされたアプリケーション・プログラム(「信頼アプリケーション・プログラム」という)を実行し、
    前記基本ドメインのネイティブコードダウンロード管理手段により、信頼できると判定された、ダウンロードされたデバイスドライバ(「信頼ドライバ」という)を前記オペレーティングシステムにインストールし、前記信頼ドライバにより予め用意された許可された外部デバイスにアクセスし、信頼できる追加処理を実行する信頼拡張ドメインと、
    を備え、
    前記基本ドメインは前記第1類プロセッサに実装され、
    前記信頼拡張ドメインは前記第2類プロセッサに実装される、ことを特徴とする請求項6記載の情報処理装置。
  26. 基本ソフトウエア環境と、
    外部デバイス、及び/又はファイルシステムと、
    オペレーティングシステムと、
    を備え、
    ダウンロードされたデータのセキュリティ情報を格納するセキュリティポリシーデータベースと、
    ネイティブコードのダウンロードデータのダウンロードを制御するネイティブコードダウンロード管理手段と、
    を備えた基本ドメインと、
    ネイティブコードのダウンロードプログラムの実行を制御するネイティブコードダウンロード実行手段と、
    オペレーティングシステムと、
    を備え、
    前記基本ドメインのネイティブコードダウンロード管理手段により、信頼できると判定された、ダウンロードされたアプリケーション・プログラム(「信頼アプリケーション・プログラム」という)を実行し、
    前記基本ドメインのネイティブコードダウンロード管理手段により、信頼できると判定された、ダウンロードされたデバイスドライバ(「信頼ドライバ」という)を前記オペレーティングシステムにインストールし、前記信頼ドライバにより、予め用意された許可された外部デバイスにアクセスし、信頼できる追加処理を実行する信頼拡張ドメインと、
    ネイティブコードのダウンロードプログラムの実行を制御するネイティブコードダウンロード実行手段と、
    オペレーティングシステムと、
    前記基本ドメインのネイティブコードダウンロード管理手段により、信頼できないと判定された、ダウンロードされたアプリケーション・プログラム(「無信頼アプリケーション・プログラム」という)を実行し、
    前記基本ドメインのネイティブコードダウンロード管理手段により、信頼できないと判定された、ダウンロードされたデバイスドライバ(「無信頼ドライバ」という)を前記オペレーティングシステムにインストールし、前記デバイスドライバにより予め用意された許可された外部デバイスにアクセスし、無信頼の追加処理を実行する無信頼拡張ドメインと、
    を備え、
    前記基本ドメインは前記第1類プロセッサに実装され、
    前記信頼拡張ドメインは前記第2類プロセッサに実装され、
    前記無信頼拡張ドメインは前記第3類プロセッサに実装される、ことを特徴とする請求項20又は21記載の情報処理装置。
  27. 前記基本ドメインの外部デバイスからダウンロードデータが入力されると、前記基本ドメインの前記ネイティブコードダウンロード管理手段が、前記ダウンロードデータの証明書をチェックし、チェックの結果、正しい証明書であると判定した場合、前記信頼拡張ドメインの前記ネイティブコードダウンロード実行手段に、前記ダウンロードデータを送信し、
    一方、前記チェックの結果、証明書がないか、あるいは証明書の内容が正しくない場合には、前記無信頼拡張ドメインの前記ネイティブコードダウンロード実行手段に、前記ダウンロードデータを送信する、ことを特徴とする請求項26記載の情報処理装置。
  28. 前記基本ドメインの外部デバイスからダウンロードデータが入力され、前記基本機能が、前記ダウンロードデータをダウンロードアプリケーション・プログラムと認識した場合、前記基本ドメインの前記ネイティブコードダウンロード管理手段が、前記ダウンロードアプリケーション・プログラムの証明書をチェックし、チェックの結果、正しい証明書と判定した場合、前記ダウンロードアプリケーション・プログラムを、前記信頼拡張ドメインの前記ネイティブコードダウンロード実行手段に送信する、ことを特徴とする請求項25又は26記載の情報処理装置。
  29. 前記基本ドメインの外部デバイスからダウンロードデータが入力される、前記基本機能が、前記ダウンロードデータをダウンロードドライバと認識した場合、前記基本ドメインの前記ネイティブコードダウンロード管理手段が、前記ダウンロードドライバの証明書をチェックし、チェックの結果、正しい証明書と判定した場合、前記信頼拡張ドメインの前記ネイティブコードダウンロード実行手段に前記ダウンロードドライバを送信し、
    前記信頼拡張ドメインの前記ネイティブコードダウンロード実行手段は、前記ダウンロードドライバを、前記信頼拡張ドメインのオペレーティングシステムにインストールする、ことを特徴とする請求項25又は26記載の情報処理装置。
  30. 前記基本ドメインの外部デバイスからダウンロードデータが入力され、前記基本機能が、前記ダウンロードデータをダウンロードアプリケーション・プログラムと認識した場合、前記基本ドメインの前記ネイティブコードダウンロード管理手段が、前記ダウンロードアプリケーション・プログラムの証明書をチェックし、チェックの結果、証明書がないか、証明書の内容が正しくない場合、前記信頼拡張ドメインの前記ネイティブコードダウンロード実行手段を介して、前記無信頼拡張ドメインの前記ネイティブコードダウンロード実行手段に、前記アプリケーション・プログラムを送信する、ことを特徴とする請求項26記載の情報処理装置。
  31. 前記基本ドメインの外部デバイスから、ダウンロードデータが入力され、前記基本機能が、前記ダウンロードデータをダウンロードドライバと認識した場合、前記基本ドメインの前記ネイティブコードダウンロード管理手段が、前記ダウンロードドライバの証明書をチェックし、チェックの結果、証明書がないか、証明書の内容が正しくない場合、前記信頼拡張ドメインの前記ネイティブコードダウンロード実行手段を介して、前記無信頼拡張ドメインの前記ネイティブコードダウンロード実行手段に、前記ダウンロードドライバを送信し、
    前記無信頼拡張ドメインの前記ネイティブコードダウンロード実行手段は、前記ダウンロードドライバを、前記無信頼拡張ドメインのオペレーティングシステムにインストールする、ことを特徴とする請求項26記載の情報処理装置。
  32. 前記信頼拡張ドメインが、前記基本ドメインの基本ソフトウェア環境の基本機能への要求を発行する処理群をライブラリとして含む基本機能ライブラリを備え、
    前記信頼拡張ドメインにダウンロードされたアプリケーション・プログラムからの要求を受けて、前記信頼拡張ドメインの前記基本機能ライブラリは、前記基本ドメインの前記ネイティブコードダウンロード管理手段に要求を送信し、
    前記基本ドメインの前記ネイティブコードダウンロード管理手段は、前記信頼拡張ドメインより受信した要求が適正であるか確認し、要求が正しい場合、前記基本ソフトウェア環境の基本機能へ処理を依頼する、ことを特徴とする請求項25又は26記載の情報処理装置。
  33. 前記基本ドメインの前記基本機能は、要求を処理し、処理の完了を前記基本ドメインの前記ネイティブコードダウンロード管理手段に通知し、
    前記基本ドメインの前記ネイティブコードダウンロード管理手段は、前記信頼拡張ドメインの基本機能ライブラリに完了を通知し、前記基本機能ライブラリから前記アプリケーション・プログラムに処理の完了が通知される、ことを特徴とする請求項32記載の情報通信情報処理装置。
  34. 前記信頼拡張ドメインが、前記基本ドメインの基本ソフトウェア環境の基本機能への要求を発行する処理群をライブラリとして含む基本機能ライブラリを備え、
    前記無信頼拡張ドメインにダウンロードされたアプリケーション・プログラムから、前記信頼拡張ドメインのアプリケーション・プログラムにデータを送信し、
    前記信頼拡張ドメインの前記アプリケーション・プログラムは、前記基本機能ライブラリに対して、前記無信頼拡張ドメインのダウンロードアプリケーション・プログラムからのデータを含む要求を発行し、
    前記基本機能ライブラリは、前記信頼拡張ドメインの前記アプリケーション・プログラムからの要求を受けて、前記基本ドメインの前記ネイティブコードダウンロード管理手段に対して要求を送信し、
    前記基本ドメインの前記ネイティブコードダウンロード管理手段は、受信した要求が適正であるか確認し、前記要求が適正な場合、ユーザに確認を求め、前記ユーザの確認結果が可の場合、前記基本ソフトウェア環境の基本機能へ処理を依頼し、
    一方、前記ユーザの確認結果が不許可の場合、前記基本ドメインの前記ネイティブコードダウンロード管理手段は、前記基本機能ライブラリに、不許可を通知する、ことを特徴とする請求項26記載の情報処理装置。
  35. 前記基本機能は、要求を処理し、処理の完了を前記基本ドメインの前記ネイティブコードダウンロード管理手段に通知し、前記基本ドメインの前記ネイティブコードダウンロード管理手段は、前記信頼拡張ドメインの基本機能ライブラリに完了を通知し、前記基本機能ライブラリから前記ダウンロードアプリケーション・プログラムに処理の完了が通知され、前記ダウンロードアプリケーション・プログラムは、前記無信頼拡張ドメインの前記ダウンロードアプリケーション・プログラムに処理の完了を通知する、ことを特徴とする請求項34記載の情報処理装置。
  36. 前記基本ドメイン及び前記信頼拡張ドメインが、仮想デバイスを、実ハードウエアデバイスにマッピングする仮想マシンモニタを備え、ファイルシステム、デバイス、CPUが仮想化されている、ことを特徴とする請求項25記載の情報処理装置。
  37. 前記基本ドメイン、前記信頼拡張ドメイン、前記無信頼拡張ドメインが、仮想デバイスを、実ハードウエアデバイスにマッピングする仮想マシンモニタを備え、ファイルシステム、デバイス、CPUが仮想化されている、ことを特徴とする請求項26記載の情報通信情報処理装置。
  38. 前記基本ドメインの仮想マシンモニタが、前記信頼拡張ドメイン又は前記無信頼拡張ドメインの仮想マシンモニタに、CPU資源の委譲を要求し、
    前記信頼拡張ドメイン又は前記無信頼拡張ドメインの仮想マシンモニタは、前記基本ドメインの仮想マシンモニタに委譲できるCPUを通知し、
    前記基本ドメインの仮想マシンモニタは、前記基本ドメインの仮想CPUの資源を増やす、ことを特徴とする請求項36又は37記載の情報処理装置。
  39. 前記ドメインのプロセッサのそれぞれの群において、分離手段を介して、複数に分離可能とされている、ことを特徴とする請求項25又は26記載の情報処理装置。
  40. 前記基本ドメインのプロセッサが、他のドメインのプロセッサを管理する、ことを特徴とする請求項25又は26記載の情報処理装置。
  41. 実行するプログラムの信頼度に応じて複数のドメインに分けられ、異なるドメインに属するプロセッサ同士が、データ又はコマンドを、プロセッサ間通信手段を介して相互に送信する工程と、
    一定の信頼度より低いプログラムを少なくとも1以上実行するドメインに属するプロセッサによる前記一定の信頼度以上のプログラムを実行するドメインに属するメモリ及び/又は入出力装置へのアクセスを、一定の信頼度より低いプログラムを少なくとも1以上実行するドメインの信頼度に従って制限する工程と、を含むことを特徴とするプログラム実行制御方法。
  42. 基本ソフトウエア環境と、
    外部デバイス、及び/又はファイルシステムと、
    オペレーティングシステムと、
    を備え、
    ダウンロードされたデータのセキュリティ情報を格納するセキュリティポリシーデータベースと、
    ネイティブコードのダウンロードデータのダウンロードを制御するネイティブコードダウンロード管理手段と、
    を備えた基本ドメインと、
    ネイティブコードのダウンロードプログラムの実行を制御するネイティブコードダウンロード実行手段と、
    オペレーティングシステムと、
    前記基本ドメインのネイティブコードダウンロード管理手段により、信頼できると判定された、ダウンロードされたアプリケーション・プログラム(「信頼アプリケーション・プログラム」という)を実行し、
    前記基本ドメインのネイティブコードダウンロード管理手段により、信頼できると判定された、ダウンロードされたデバイスドライバ(「信頼ドライバ」という)を前記オペレーティングシステムにインストールし、前記信頼ドライバにより予め用意された許可された外部デバイスにアクセスし、信頼できる追加処理を実行する信頼拡張ドメインと、
    を有する情報処理システムによるプログラム実行環境制御方法であって、
    基本ドメインと信頼拡張ドメイン間のプロセッサ同士は、プロセッサ間通信手段を介して、相互に通信する工程と、
    前記信頼拡張ドメインに属するプロセッサによる前記基本ドメインのメモリ及び/又は入出力装置へのアクセスを、アクセス制御手段によって、制限する工程と、
    を含む、ことを特徴とするプログラム実行環境制御方法。
  43. 基本ソフトウエア環境と、
    外部デバイス、及び/又はファイルシステムと、
    オペレーティングシステムと、
    を備え、
    ダウンロードされたデータのセキュリティ情報を格納するセキュリティポリシーデータベースと、
    ネイティブコードのダウンロードデータのダウンロードを制御するネイティブコードダウンロード管理手段と、
    を備えた基本ドメインと、
    ネイティブコードのダウンロードプログラムの実行を制御するネイティブコードダウンロード実行手段と、
    オペレーティングシステムと、
    を備え、
    前記基本ドメインのネイティブコードダウンロード管理手段により、信頼できると判定された、ダウンロードされたアプリケーション・プログラム(「信頼アプリケーション・プログラム」という)を実行し、
    前記基本ドメインのネイティブコードダウンロード管理手段により、信頼できると判定された、ダウンロードされたデバイスドライバ(「信頼ドライバ」という)を前記オペレーティングシステムにインストールし、前記信頼ドライバにより、予め用意された許可された外部デバイスにアクセスし、信頼できる追加処理を実行する信頼拡張ドメインと、
    ネイティブコードのダウンロードプログラムの実行を制御するネイティブコードダウンロード実行手段と、
    オペレーティングシステムと、
    前記基本ドメインのネイティブコードダウンロード管理手段により、信頼できないと判定された、ダウンロードされたアプリケーション・プログラム(「無信頼アプリケーション・プログラム」という)を実行し、
    前記基本ドメインのネイティブコードダウンロード管理手段により、信頼できないと判定された、ダウンロードされたデバイスドライバ(「無信頼ドライバ」という)を前記オペレーティングシステムにインストールし、前記デバイスドライバにより予め用意された許可された外部デバイスにアクセスし、無信頼の追加処理を実行する無信頼拡張ドメインと、
    を有する情報処理システムによるプログラム実行環境制御方法であって、
    前記基本ドメインと、前記信頼拡張ドメインと、無信頼拡張ドメインの各ドメイン間のプロセッサ同士は、プロセッサ間通信手段を介して、相互に通信する工程と、
    前記信頼拡張ドメインに属するプロセッサによる前記基本ドメインのメモリ及び/又は入出力装置へのアクセスを、第1のアクセス制御手段によって、制限する工程と、
    前記無信頼拡張ドメインに属するプロセッサによる前記基本ドメインのメモリ及び/又は入出力装置へのアクセスを、第2のアクセス制御手段によって、制限する工程と、
    を含む、ことを特徴とするプログラム実行環境制御方法。
  44. 前記基本ドメインの外部デバイスからダウンロードデータが入力されると、前記基本ドメインの前記ネイティブコードダウンロード管理手段が、前記ダウンロードデータの証明書をチェックする工程と、
    チェックの結果、正しい証明書であると判定した場合、前記信頼拡張ドメインの前記ネイティブコードダウンロード実行手段にダウンロードデータを送信する工程と、
    を含む、ことを特徴とする請求項42記載のプログラム実行環境制御方法。
  45. 前記基本ドメインの外部デバイスからダウンロードデータが入力されると、前記基本ドメインの前記ネイティブコードダウンロード管理手段が、前記ダウンロードデータの証明書をチェックする工程と、
    前記チェックの結果、正しい証明書であると判定した場合、前記信頼拡張ドメインの前記ネイティブコードダウンロード実行手段に前記ダウンロードデータを送信する工程と、
    前記チェックの結果、証明書がないか、あるいは証明書の内容が正しくない場合には、前記無信頼拡張ドメインの前記ネイティブコードダウンロード実行手段に、前記ダウンロードデータを送信する工程と、
    を含む、ことを特徴とする請求項42記載のプログラム実行環境制御方法。
  46. 前記基本ドメインの外部デバイスからダウンロードデータが入力され、前記基本機能が、前記ダウンロードデータをダウンロードアプリケーション・プログラムと認識した場合、前記基本ドメインの前記ネイティブコードダウンロード管理手段が、前記ダウンロードアプリケーション・プログラムの証明書をチェックする工程と、
    前記チェックの結果、正しい証明書と判定した場合、前記ダウンロードアプリケーション・プログラムを、前記信頼拡張ドメインの前記ネイティブコードダウンロード実行手段に前記ダウンロードアプリケーション・プログラムを送信する工程と、
    を含む、ことを特徴とする請求項42又は43記載のプログラム実行環境制御方法。
  47. 前記基本ドメインの外部デバイスからダウンロードデータが入力される、前記基本機能が、前記ダウンロードデータをダウンロードドライバと認識した場合、前記ネイティブコードダウンロード管理手段が、ダウンロードドライバの証明書をチェックする工程と、
    前記チェックの結果、正しい証明書と判定した場合、前記信頼拡張ドメインの前記ネイティブコードダウンロード実行手段にダウンロードドライバを送信する工程と、
    前記信頼拡張ドメインの前記ネイティブコードダウンロード実行手段は、前記ダウンロードドライバを、前記信頼拡張ドメインのオペレーティングシステムにインストールする工程と、
    を含む、ことを特徴とする請求項42又は43記載のプログラム実行環境制御方法。
  48. 前記基本ドメインの外部デバイスからダウンロードデータが入力され、前記基本機能が、前記ダウンロードデータをダウンロードアプリケーション・プログラムと認識した場合、前記基本ドメインの前記ネイティブコードダウンロード管理手段が、ダウンロードアプリケーション・プログラムの証明書をチェックする工程と、
    前記チェックの結果、証明書がないか、証明書の内容が正しくない場合、前記信頼拡張ドメインの前記ネイティブコードダウンロード実行手段を介して、前記無信頼拡張ドメインの前記ネイティブコードダウンロード実行手段に、前記ダウンロードアプリケーション・プログラムを送信する工程と、
    を含む、ことを特徴とする請求項43記載のプログラム実行環境制御方法。
  49. 前記基本ドメインの外部デバイスから、ダウンロードデータが入力され、前記基本機能が、前記ダウンロードデータをダウンロードドライバと認識した場合、前記基本ドメインの前記ネイティブコードダウンロード管理手段が、前記ダウンロードドライバの証明書をチェックする工程と、
    前記チェックの結果、証明書がないか、証明書の内容が正しくない場合、前記信頼拡張ドメインの前記ネイティブコードダウンロード実行手段を介して、前記無信頼拡張ドメインの前記ネイティブコードダウンロード実行手段に、前記ダウンロードドライバを送信する工程と、
    前記無信頼拡張ドメインの前記ネイティブコードダウンロード実行手段は、前記ダウンロードドライバを、前記無信頼拡張ドメインのオペレーティングシステムにインストールする工程と、
    を含む、ことを特徴とする請求項43記載のプログラム実行環境制御方法。
  50. 前記信頼拡張ドメインに、前記基本ドメインの基本ソフトウェア環境の基本機能への要求を発行する処理群を、ライブラリとして含む基本機能ライブラリを設けておき、
    前記信頼拡張ドメインにダウンロードされたアプリケーション・プログラムからの要求を受けて、前記基本機能ライブラリは、前記基本ドメインの前記ネイティブコードダウンロード管理手段に対して要求を送信する工程と、
    前記基本ドメインの前記ネイティブコードダウンロード管理手段は、前記信頼拡張ドメインより受信した要求が適正であるか確認し、前記要求が適正である場合、前記基本ソフトウェア環境の基本機能へ処理を依頼する工程と、
    を含む、ことを特徴とする請求項42又は43記載のプログラム実行環境制御方法。
  51. 前記基本ドメインの前記基本機能は、要求を処理し、処理の完了を前記基本ドメインの前記ネイティブコードダウンロード管理手段に通知する工程と、
    前記基本ドメインの前記ネイティブコードダウンロード管理手段は、前記信頼拡張ドメインの基本機能ライブラリに完了を通知し、前記基本機能ライブラリから前記アプリケーション・プログラムに処理の完了が通知される工程と、
    を含む、ことを特徴とする請求項50記載のプログラム実行環境制御方法。
  52. 前記信頼拡張ドメインに、前記基本ドメインの基本ソフトウェア環境の基本機能への要求を発行する処理群を、ライブラリとして含む基本機能ライブラリを設けておき、
    前記無信頼拡張ドメインにダウンロードされたアプリケーション・プログラムから、前記信頼拡張ドメインのアプリケーション・プログラムにデータを送信する工程と、
    前記信頼拡張ドメインの前記アプリケーション・プログラムは、前記基本機能ライブラリに対して、前記無信頼拡張ドメインのダウンロードアプリケーション・プログラムからのデータを含む要求を発行する工程と、
    前記信頼拡張ドメインの前記アプリケーション・プログラムからの前記要求を受け、前記基本機能ライブラリは、前記基本ドメインの前記ネイティブコードダウンロード管理手段に要求を送信する工程と、
    前記基本ドメインの前記ネイティブコードダウンロード管理手段は、受信した要求が適正であるか確認する工程と、
    前記確認の結果、前記要求が適正である場合、ユーザに確認を求め、前記ユーザの確認結果が可の場合、前記基本ソフトウェア環境の基本機能へ処理を依頼する工程と、
    一方、前記ユーザの確認結果が不許可の場合、前記ネイティブコードダウンロード管理手段は、前記基本機能ライブラリに、不許可を通知する工程と、
    を含む、ことを特徴とする請求項43記載のプログラム実行環境制御方法。
  53. 基本機能は、要求を処理し、処理の完了を前記基本ドメインの前記ネイティブコードダウンロード管理手段に通知する工程と、
    前記基本ドメインの前記ネイティブコードダウンロード管理手段は、前記信頼拡張ドメインの基本機能ライブラリに完了を通知する工程と、
    前記基本機能ライブラリから前記ダウンロードアプリケーション・プログラムに処理の完了が通知される工程と、
    前記ダウンロードアプリケーション・プログラムは、前記無信頼拡張ドメインの前記ダウンロードアプリケーション・プログラムに処理の完了を通知する工程と、
    を含む、ことを特徴とする請求項52記載のプログラム実行環境制御方法。
  54. 前記基本ドメイン及び前記信頼拡張ドメインが、仮想デバイスを、実ハードウエアデバイスにマッピングする仮想マシンモニタにより、ファイルシステム、デバイス、CPUが仮想化されている、ことを特徴とする請求項42記載のプログラム実行環境制御方法。
  55. 前記基本ドメイン、前記信頼拡張ドメイン、前記無信頼拡張ドメインが、仮想デバイスを、実ハードウエアデバイスにマッピングする仮想マシンモニタを備え、ファイルシステム、デバイス、CPUが仮想化されている、ことを特徴とする請求項43記載のプログラム実行環境制御方法。
  56. 前記基本ドメインの仮想マシンモニタが、前記信頼拡張ドメインの仮想マシンモニタに、CPU資源の委譲を要求する工程と、
    前記信頼拡張ドメインの仮想マシンモニタは、前記基本ドメインの仮想マシンモニタに委譲できるCPUを通知する工程と、
    を含み、
    前記基本ドメインの仮想マシンモニタは、前記基本ドメインの仮想CPUの資源を増やす、ことを特徴とする請求項54又は55記載のプログラム実行環境制御方法。
  57. 前記基本ドメインの仮想マシンモニタが、前記信頼拡張ドメイン及び/又は前記無信頼拡張ドメインの仮想マシンモニタに、CPU資源の委譲を要求する工程と、
    前記信頼拡張ドメイン及び/又は前記無信頼拡張ドメインの仮想マシンモニタは、前記基本ドメインの仮想マシンモニタに委譲できるCPUを通知する工程と、
    を含み、
    前記基本ドメインの仮想マシンモニタは、前記基本ドメインの仮想CPUの資源を増やす、ことを特徴とする請求項55記載のプログラム実行環境制御方法。
  58. 基本ソフトウエア環境と、
    外部デバイス、及び/又はファイルシステムと、
    オペレーティングシステムと、
    を備え、
    ダウンロードされたデータのセキュリティ情報を格納するセキュリティポリシーデータベースと、
    ネイティブコードのダウンロードデータのダウンロードを制御するネイティブコードダウンロード管理手段と、
    を備え、
    前記ネイティブコードダウンロード管理手段は、ダウンロードされたプログラムの証明書に基づき、前記ダウンロードされたプログラムの信頼度を判別し、前記判別結果に基づき、実行するプログラムの信頼度により定められた1又は複数のドメインへの要求の可否、又は要求内容を判断する、ことを特徴とするプログラム実行環境制御情報処理装置。
  59. 複数のプロセッサを備え、
    前記複数のプロセッサは、第1のドメインを構成するプロセッサと、前記第1のドメインとは異なる第2のドメインを構成するプロセッサと、を含み、
    前記第2のドメインは、前記第1のドメインに属するプロセッサが実行する処理よりも信頼度の低い処理を、少なくとも1以上有するプロセッサを含み、
    前記第1のドメインと前記第2のドメインのプロセッサ同士の通信を制御するプロセッサ間通信手段と、
    前記第2のドメインに属するプロセッサによる前記第1のドメインに属するメモリ及び/又は入出力装置へのアクセスを、前記第2のドメインで実行される処理の信頼度に応じて制限するアクセス制御手段と、
    を備えている、ことを特徴とする携帯情報端末。
  60. 複数のプロセッサを備え、
    実行する処理の信頼度に応じて、前記複数のプロセッサが、複数のドメインを構成し、
    異なるドメイン間のプロセッサ同士は、プロセッサ間通信手段を介して、相互に通信し、
    セキュリティの相対的に低い処理を実行するドメインに属するプロセッサによるセキュリティの相対的に高い処理を実行するドメインに属するメモリ及び/又は入出力装置へのアクセスを制御するアクセス制御手段を備えている、ことを特徴とする情報通信装置。
  61. 予め定められた第1の類の処理を実行する、少なくとも1つのプロセッサ(「第1類プロセッサ」という)と、
    前記第1の類の処理と異なる予め定められた第2の類の処理を実行する、少なくとも1つのプロセッサ(「第2類プロセッサ」という)と、
    メモリ及び入出力装置と、
    前記第1類及び第2類プロセッサ間の通信を制御するプロセッサ間通信手段と、
    前記第2類プロセッサによる前記メモリ及び/又は前記入出力装置へのアクセスを制御するアクセス制御手段と、
    を備えている、ことを特徴とする情報通信装置。
JP2006531789A 2004-08-25 2005-08-15 情報通信装置及びプログラム実行環境制御方法 Expired - Fee Related JP4811271B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006531789A JP4811271B2 (ja) 2004-08-25 2005-08-15 情報通信装置及びプログラム実行環境制御方法

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2004245731 2004-08-25
JP2004245731 2004-08-25
JP2006531789A JP4811271B2 (ja) 2004-08-25 2005-08-15 情報通信装置及びプログラム実行環境制御方法
PCT/JP2005/014903 WO2006022161A1 (ja) 2004-08-25 2005-08-15 情報通信装置及びプログラム実行環境制御方法

Publications (2)

Publication Number Publication Date
JPWO2006022161A1 true JPWO2006022161A1 (ja) 2008-05-08
JP4811271B2 JP4811271B2 (ja) 2011-11-09

Family

ID=35967376

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006531789A Expired - Fee Related JP4811271B2 (ja) 2004-08-25 2005-08-15 情報通信装置及びプログラム実行環境制御方法

Country Status (5)

Country Link
US (1) US8640194B2 (ja)
EP (1) EP1811387A4 (ja)
JP (1) JP4811271B2 (ja)
CN (1) CN101006433B (ja)
WO (1) WO2006022161A1 (ja)

Families Citing this family (121)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8621242B2 (en) * 2004-06-11 2013-12-31 Arm Limited Display of a verification image to confirm security
EP1605330A1 (en) 2004-06-11 2005-12-14 ARM Limited Secure operation indicator
US7765558B2 (en) * 2004-07-06 2010-07-27 Authentium, Inc. System and method for handling an event in a computer system
US8341649B2 (en) * 2004-07-06 2012-12-25 Wontok, Inc. System and method for handling an event in a computer system
US20080276299A1 (en) * 2007-04-02 2008-11-06 Samsung Electronics Co., Ltd. Wireless terminal apparatus and method of protecting system resources
KR101506254B1 (ko) * 2007-04-02 2015-03-26 삼성전자 주식회사 무선 단말 장치 및 시스템 보호 방법
WO2008149784A1 (ja) 2007-06-08 2008-12-11 Nec Corporation 半導体集積回路及びフィルタ制御方法
US8531963B2 (en) * 2007-06-08 2013-09-10 Nec Corporation Semiconductor integrated circuit and filter control method
KR101489244B1 (ko) 2007-12-24 2015-02-04 삼성전자 주식회사 가상 머신 모니터 기반의 프로그램 실행 시스템 및 그 제어방법
JP2009169841A (ja) * 2008-01-18 2009-07-30 Panasonic Corp 情報処理装置および携帯電話装置
US9235705B2 (en) * 2008-05-19 2016-01-12 Wontok, Inc. Secure virtualization system software
JP5035129B2 (ja) * 2008-06-13 2012-09-26 富士通株式会社 アクセス制御プログラム
US8019732B2 (en) 2008-08-08 2011-09-13 Amazon Technologies, Inc. Managing access of multiple executing programs to non-local block data storage
CN101667236B (zh) * 2008-09-02 2013-11-20 北京瑞星信息技术有限公司 一种控制驱动程序安装的方法和装置
US8108908B2 (en) * 2008-10-22 2012-01-31 International Business Machines Corporation Security methodology to prevent user from compromising throughput in a highly threaded network on a chip processor
US9588803B2 (en) 2009-05-11 2017-03-07 Microsoft Technology Licensing, Llc Executing native-code applications in a browser
US8607224B2 (en) * 2009-05-28 2013-12-10 Yahoo! Inc. System for packaging native program extensions together with virtual machine applications
EP2443799A4 (en) 2009-06-18 2015-12-02 Hewlett Packard Development Co SWITCHES FOR TOPOLOGY OF PROCESSORS
JP5020297B2 (ja) * 2009-09-08 2012-09-05 株式会社ソニー・コンピュータエンタテインメント プログラム実行制限装置およびプログラム実行制限方法
US8397306B1 (en) 2009-09-23 2013-03-12 Parallels IP Holdings GmbH Security domain in virtual environment
US8352797B2 (en) * 2009-12-08 2013-01-08 Microsoft Corporation Software fault isolation using byte-granularity memory protection
EP2541407A1 (en) * 2010-02-23 2013-01-02 Fujitsu Limited Multi-core processor system, control program, and control method
KR101130781B1 (ko) 2010-04-16 2012-03-28 성균관대학교산학협력단 부분 가상 머신 및 이를 이용한 디바이스 드라이버 처리 방법
US8555265B2 (en) 2010-05-04 2013-10-08 Google Inc. Parallel processing of data
US9323921B2 (en) 2010-07-13 2016-04-26 Microsoft Technology Licensing, Llc Ultra-low cost sandboxing for application appliances
US9113499B2 (en) 2010-10-01 2015-08-18 Viasat, Inc. Multiple domain smartphone
US8495731B1 (en) * 2010-10-01 2013-07-23 Viasat, Inc. Multiple domain smartphone
US8270963B1 (en) * 2010-10-01 2012-09-18 Viasat, Inc. Cross domain notification
US8204480B1 (en) 2010-10-01 2012-06-19 Viasat, Inc. Method and apparatus for secured access
US8458800B1 (en) 2010-10-01 2013-06-04 Viasat, Inc. Secure smartphone
EP2461251B1 (en) * 2010-12-03 2017-06-21 Robert Bosch GmbH Memory protection unit and a method for controlling an access to a memory device
US8903705B2 (en) 2010-12-17 2014-12-02 Microsoft Corporation Application compatibility shims for minimal client computers
KR20130124357A (ko) 2011-03-28 2013-11-13 인터내셔널 비지네스 머신즈 코포레이션 이상 검지 시스템, 이상 검지 방법, 및 프로그램
WO2012137265A1 (en) * 2011-04-08 2012-10-11 Hitachi, Ltd. Computer, computer system, and data communication method
DE102011018431A1 (de) 2011-04-21 2012-10-25 Giesecke & Devrient Gmbh Verfahren zur Anzeige von Informationen auf einer Anzeigeeinrichtung eines Endgeräts
US9495183B2 (en) 2011-05-16 2016-11-15 Microsoft Technology Licensing, Llc Instruction set emulation for guest operating systems
US10496824B2 (en) * 2011-06-24 2019-12-03 Microsoft Licensing Technology, LLC Trusted language runtime on a mobile platform
US20130036431A1 (en) * 2011-08-02 2013-02-07 Microsoft Corporation Constraining Execution of Specified Device Drivers
US8949929B2 (en) * 2011-08-10 2015-02-03 Qualcomm Incorporated Method and apparatus for providing a secure virtual environment on a mobile device
DE102011115135A1 (de) 2011-10-07 2013-04-11 Giesecke & Devrient Gmbh Mikroprozessorsystem mit gesicherter Laufzeitumgebung
WO2013065915A1 (ko) * 2011-11-04 2013-05-10 에스케이플래닛 주식회사 보안 영역과 비보안 영역 사이의 보안 연동 방법 및 보안 어플리케이션 다운로드 관리방법, 관리서버, 단말기, 및 이를 적용한 관리시스템
US9413538B2 (en) 2011-12-12 2016-08-09 Microsoft Technology Licensing, Llc Cryptographic certification of secure hosted execution environments
US9389933B2 (en) 2011-12-12 2016-07-12 Microsoft Technology Licensing, Llc Facilitating system service request interactions for hardware-protected applications
CN103164260B (zh) * 2011-12-15 2016-06-01 中国银联股份有限公司 用于移动终端的应用程序管理系统及方法
US9027102B2 (en) 2012-05-11 2015-05-05 Sprint Communications Company L.P. Web server bypass of backend process on near field communications and secure element chips
US9171178B1 (en) * 2012-05-14 2015-10-27 Symantec Corporation Systems and methods for optimizing security controls for virtual data centers
US9282898B2 (en) 2012-06-25 2016-03-15 Sprint Communications Company L.P. End-to-end trusted communications infrastructure
US8649770B1 (en) 2012-07-02 2014-02-11 Sprint Communications Company, L.P. Extended trusted security zone radio modem
US9195838B2 (en) * 2012-07-02 2015-11-24 At&T Intellectual Property I, L.P. Method and apparatus for providing provably secure user input/output
US8667607B2 (en) 2012-07-24 2014-03-04 Sprint Communications Company L.P. Trusted security zone access to peripheral devices
US9183412B2 (en) 2012-08-10 2015-11-10 Sprint Communications Company L.P. Systems and methods for provisioning and using multiple trusted security zones on an electronic device
US9015068B1 (en) 2012-08-25 2015-04-21 Sprint Communications Company L.P. Framework for real-time brokering of digital content delivery
US9215180B1 (en) 2012-08-25 2015-12-15 Sprint Communications Company L.P. File retrieval in real-time brokering of digital content
CN102929719B (zh) * 2012-09-18 2015-09-02 中标软件有限公司 一种多核计算机上多操作系统的控制方法及多核计算机
US9342695B2 (en) 2012-10-02 2016-05-17 Mordecai Barkan Secured automated or semi-automated systems
US11188652B2 (en) * 2012-10-02 2021-11-30 Mordecai Barkan Access management and credential protection
US9170956B2 (en) * 2013-02-07 2015-10-27 Texas Instruments Incorporated System and method for virtual hardware memory protection
US9578664B1 (en) 2013-02-07 2017-02-21 Sprint Communications Company L.P. Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system
US9161227B1 (en) 2013-02-07 2015-10-13 Sprint Communications Company L.P. Trusted signaling in long term evolution (LTE) 4G wireless communication
US9613208B1 (en) * 2013-03-13 2017-04-04 Sprint Communications Company L.P. Trusted security zone enhanced with trusted hardware drivers
US9191388B1 (en) 2013-03-15 2015-11-17 Sprint Communications Company L.P. Trusted security zone communication addressing on an electronic device
US9058494B2 (en) * 2013-03-15 2015-06-16 Intel Corporation Method, apparatus, system, and computer readable medium to provide secure operation
US9374363B1 (en) 2013-03-15 2016-06-21 Sprint Communications Company L.P. Restricting access of a portable communication device to confidential data or applications via a remote network based on event triggers generated by the portable communication device
US9324016B1 (en) 2013-04-04 2016-04-26 Sprint Communications Company L.P. Digest of biographical information for an electronic device with static and dynamic portions
US9454723B1 (en) 2013-04-04 2016-09-27 Sprint Communications Company L.P. Radio frequency identity (RFID) chip electrically and communicatively coupled to motherboard of mobile communication device
US9171243B1 (en) 2013-04-04 2015-10-27 Sprint Communications Company L.P. System for managing a digest of biographical information stored in a radio frequency identity chip coupled to a mobile communication device
US9838869B1 (en) 2013-04-10 2017-12-05 Sprint Communications Company L.P. Delivering digital content to a mobile device via a digital rights clearing house
US9443088B1 (en) 2013-04-15 2016-09-13 Sprint Communications Company L.P. Protection for multimedia files pre-downloaded to a mobile device
US9560519B1 (en) 2013-06-06 2017-01-31 Sprint Communications Company L.P. Mobile communication device profound identity brokering framework
US9183606B1 (en) 2013-07-10 2015-11-10 Sprint Communications Company L.P. Trusted processing location within a graphics processing unit
CN103400084B (zh) * 2013-07-30 2016-12-28 东莞宇龙通信科技有限公司 一种终端
CN103440437B (zh) * 2013-07-30 2017-02-15 东莞宇龙通信科技有限公司 终端和用户界面的显示控制方法
CN103400081B (zh) * 2013-07-30 2016-09-21 东莞宇龙通信科技有限公司 终端和用户界面的显示控制方法
CN103400080B (zh) * 2013-07-30 2016-08-24 东莞宇龙通信科技有限公司 一种终端
CN103390136B (zh) * 2013-07-30 2017-03-01 东莞宇龙通信科技有限公司 一种终端
US9208339B1 (en) 2013-08-12 2015-12-08 Sprint Communications Company L.P. Verifying Applications in Virtual Environments Using a Trusted Security Zone
CN103413089B (zh) * 2013-08-28 2016-12-28 天翼电信终端有限公司 移动终端及其实现双系统的方法
JP6241178B2 (ja) 2013-09-27 2017-12-06 富士通株式会社 ストレージ制御装置,ストレージ制御方法及びストレージ制御プログラム
US9185626B1 (en) 2013-10-29 2015-11-10 Sprint Communications Company L.P. Secure peer-to-peer call forking facilitated by trusted 3rd party voice server provisioning
US9191522B1 (en) 2013-11-08 2015-11-17 Sprint Communications Company L.P. Billing varied service based on tier
US9225715B2 (en) * 2013-11-14 2015-12-29 Globalfoundries U.S. 2 Llc Securely associating an application with a well-known entity
US9226145B1 (en) 2014-03-28 2015-12-29 Sprint Communications Company L.P. Verification of mobile device integrity during activation
GB201408539D0 (en) * 2014-05-14 2014-06-25 Mastercard International Inc Improvements in mobile payment systems
US9230085B1 (en) 2014-07-29 2016-01-05 Sprint Communications Company L.P. Network based temporary trust extension to a remote or mobile device enabled via specialized cloud services
WO2016043041A1 (ja) * 2014-09-19 2016-03-24 株式会社aLab デバイスプロキシ装置及びその制御方法
US9678903B1 (en) * 2014-10-15 2017-06-13 Intel Corporation Systems and methods for managing inter-CPU interrupts between multiple CPUs
JP6380084B2 (ja) * 2014-12-19 2018-08-29 富士ゼロックス株式会社 情報処理装置及び情報処理プログラム
CN104462989A (zh) * 2014-12-25 2015-03-25 宇龙计算机通信科技(深圳)有限公司 多系统间应用程序的安装方法、安装系统和终端
US9779232B1 (en) 2015-01-14 2017-10-03 Sprint Communications Company L.P. Trusted code generation and verification to prevent fraud from maleficent external devices that capture data
US9838868B1 (en) 2015-01-26 2017-12-05 Sprint Communications Company L.P. Mated universal serial bus (USB) wireless dongles configured with destination addresses
JP6464777B2 (ja) 2015-01-30 2019-02-06 富士通株式会社 情報処理装置及びプログラム
US9473945B1 (en) 2015-04-07 2016-10-18 Sprint Communications Company L.P. Infrastructure for secure short message transmission
WO2016188560A1 (en) * 2015-05-26 2016-12-01 Telefonaktiebolaget Lm Ericsson (Publ) Data protection control
US10140457B2 (en) * 2015-07-31 2018-11-27 Intel Corporation Secure input/output device management
US10148679B2 (en) 2015-12-09 2018-12-04 Accenture Global Solutions Limited Connected security system
US9819679B1 (en) 2015-09-14 2017-11-14 Sprint Communications Company L.P. Hardware assisted provenance proof of named data networking associated to device data, addresses, services, and servers
US10282719B1 (en) 2015-11-12 2019-05-07 Sprint Communications Company L.P. Secure and trusted device-based billing and charging process using privilege for network proxy authentication and audit
US9817992B1 (en) 2015-11-20 2017-11-14 Sprint Communications Company Lp. System and method for secure USIM wireless network access
CN107038128B (zh) * 2016-02-03 2020-07-28 华为技术有限公司 一种执行环境的虚拟化、虚拟执行环境的访问方法及装置
JP6779758B2 (ja) * 2016-11-21 2020-11-04 キヤノン株式会社 情報処理装置、情報処理方法及びプログラム
US10387681B2 (en) 2017-03-20 2019-08-20 Huawei Technologies Co., Ltd. Methods and apparatus for controlling access to secure computing resources
US10499249B1 (en) 2017-07-11 2019-12-03 Sprint Communications Company L.P. Data link layer trust signaling in communication network
JP6915419B2 (ja) * 2017-07-13 2021-08-04 株式会社デンソー プロセッサ
JP6776292B2 (ja) * 2018-03-20 2020-10-28 株式会社東芝 情報処理装置、情報処理方法、およびプログラム
US11792307B2 (en) 2018-03-28 2023-10-17 Apple Inc. Methods and apparatus for single entity buffer pool management
WO2020030270A1 (en) * 2018-08-08 2020-02-13 Huawei Technologies Co., Ltd. Apparatus and method for secure interprocess messaging
US10846224B2 (en) * 2018-08-24 2020-11-24 Apple Inc. Methods and apparatus for control of a jointly shared memory-mapped region
JP7196532B2 (ja) * 2018-10-24 2022-12-27 株式会社デンソー 制御装置
US11741196B2 (en) 2018-11-15 2023-08-29 The Research Foundation For The State University Of New York Detecting and preventing exploits of software vulnerability using instruction tags
CN109901911B (zh) * 2018-11-22 2023-07-07 海光信息技术股份有限公司 一种信息设置方法、控制方法、装置及相关设备
US11829303B2 (en) 2019-09-26 2023-11-28 Apple Inc. Methods and apparatus for device driver operation in non-kernel space
US11558348B2 (en) 2019-09-26 2023-01-17 Apple Inc. Methods and apparatus for emerging use case support in user space networking
US11477123B2 (en) 2019-09-26 2022-10-18 Apple Inc. Methods and apparatus for low latency operation in user space networking
US11533292B2 (en) * 2020-01-07 2022-12-20 Palantir Technologies Inc. Automated syncing of data between security domains
US11606302B2 (en) 2020-06-12 2023-03-14 Apple Inc. Methods and apparatus for flow-based batching and processing
US11775359B2 (en) 2020-09-11 2023-10-03 Apple Inc. Methods and apparatuses for cross-layer processing
US11954540B2 (en) 2020-09-14 2024-04-09 Apple Inc. Methods and apparatus for thread-level execution in non-kernel space
US11799986B2 (en) 2020-09-22 2023-10-24 Apple Inc. Methods and apparatus for thread level execution in non-kernel space
EP4092556A1 (en) * 2021-05-20 2022-11-23 Nordic Semiconductor ASA Bus decoder
US11882051B2 (en) 2021-07-26 2024-01-23 Apple Inc. Systems and methods for managing transmission control protocol (TCP) acknowledgements
US11876719B2 (en) 2021-07-26 2024-01-16 Apple Inc. Systems and methods for managing transmission control protocol (TCP) acknowledgements

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IT1091633B (it) * 1977-12-30 1985-07-06 Olivetti C Ing E C Spa Dispositivo per la gestione del l accesso diretto alla memoria di un calcolatore
JPS5672754A (en) 1979-11-20 1981-06-17 Casio Comput Co Ltd Electronic computer system equipped with memory protecting device
JPS5717049A (en) * 1980-07-04 1982-01-28 Hitachi Ltd Direct memory access controlling circuit and data processing system
US4866664A (en) * 1987-03-09 1989-09-12 Unisys Corporation Intercomputer communication control apparatus & method
US5369749A (en) * 1989-05-17 1994-11-29 Ibm Corporation Method and apparatus for the direct transfer of information between application programs running on distinct processors without utilizing the services of one or both operating systems
US5146596A (en) * 1990-01-29 1992-09-08 Unisys Corporation Multiprocessor multifunction arbitration system with two levels of bus access including priority and normal requests
US5235642A (en) * 1992-07-21 1993-08-10 Digital Equipment Corporation Access control subsystem and method for distributed computer system using locally cached authentication credentials
JPH06332864A (ja) 1993-05-27 1994-12-02 Fujitsu Ltd マルチプロセッサシステムにおけるcpu間通信方式
CN100452071C (zh) * 1995-02-13 2009-01-14 英特特拉斯特技术公司 用于安全交易管理和电子权利保护的系统和方法
US5689714A (en) * 1995-08-28 1997-11-18 Motorola, Inc. Method and apparatus for providing low power control of peripheral devices using the register file of a microprocessor
IE960753A1 (en) * 1996-10-29 1998-05-06 Sportables Limited A method and apparatus for controlling access by two¹computer processors to a shared resource
IL126148A (en) 1997-09-09 2004-02-19 Sanctum Ltd Method and system for maintaining restricted operating environments for application programs or operating systems
US6279066B1 (en) * 1997-11-14 2001-08-21 Agere Systems Guardian Corp. System for negotiating access to a shared resource by arbitration logic in a shared resource negotiator
JP2002533791A (ja) 1998-09-10 2002-10-08 サンクタム、リミテッド アプリケーション・プログラムあるいはオペレーティング・システムのたの制限された運転環境を維持する方法およびシステム
US6820063B1 (en) * 1998-10-26 2004-11-16 Microsoft Corporation Controlling access to content based on certificates and access predicates
FI109154B (fi) 1999-04-16 2002-05-31 Vesa Juhani Hukkanen Laite ja menetelmä tietoturvallisuuden parantamiseksi
US6549961B1 (en) * 1999-10-27 2003-04-15 Infineon Technologies North America Corporation Semaphore access in a multiprocessor system
US6795901B1 (en) * 1999-12-17 2004-09-21 Alliant Techsystems Inc. Shared memory interface with conventional access and synchronization support
US6507904B1 (en) 2000-03-31 2003-01-14 Intel Corporation Executing isolated mode instructions in a secure system running in privilege rings
US7350204B2 (en) 2000-07-24 2008-03-25 Microsoft Corporation Policies for secure software execution
WO2002008870A2 (en) * 2000-07-26 2002-01-31 David Dickenson Distributive access controller
WO2002014987A2 (en) 2000-08-18 2002-02-21 Camelot Information Technologies Ltd. An adaptive system and architecture for access control
EP1317712A1 (en) * 2000-09-06 2003-06-11 Koninklijke Philips Electronics N.V. Inter-processor communication system
US6938253B2 (en) * 2001-05-02 2005-08-30 Portalplayer, Inc. Multiprocessor communication system and method
JP2002351854A (ja) 2001-05-30 2002-12-06 Omron Corp プログラム実行装置および携帯型情報処理装置
US6986005B2 (en) * 2001-12-31 2006-01-10 Hewlett-Packard Development Company, L.P. Low latency lock for multiprocessor computer system
JP3884990B2 (ja) * 2002-04-26 2007-02-21 富士通株式会社 マルチプロセッサ装置
US7958351B2 (en) * 2002-08-29 2011-06-07 Wisterium Development Llc Method and apparatus for multi-level security implementation
WO2005003938A1 (en) * 2003-07-04 2005-01-13 Nokia Corporation Key storage administration
US7590864B2 (en) * 2004-05-21 2009-09-15 Intel Corporation Trusted patching of trusted code
US7484247B2 (en) * 2004-08-07 2009-01-27 Allen F Rozman System and method for protecting a computer system from malicious software

Also Published As

Publication number Publication date
JP4811271B2 (ja) 2011-11-09
EP1811387A4 (en) 2016-04-13
WO2006022161A1 (ja) 2006-03-02
CN101006433B (zh) 2012-01-11
US8640194B2 (en) 2014-01-28
CN101006433A (zh) 2007-07-25
US20080005794A1 (en) 2008-01-03
EP1811387A1 (en) 2007-07-25

Similar Documents

Publication Publication Date Title
JP4811271B2 (ja) 情報通信装置及びプログラム実行環境制御方法
JP4556144B2 (ja) 情報処理装置、復旧装置、プログラム及び復旧方法
Jin et al. Architectural support for secure virtualization under a vulnerable hypervisor
CN109918919B (zh) 认证变量的管理
JP4883459B2 (ja) ポイントツーポイント相互接続システム上のセキュアな環境初期化命令の実行
US7073059B2 (en) Secure machine platform that interfaces to operating systems and customized control programs
US7028149B2 (en) System and method for resetting a platform configuration register
KR101052400B1 (ko) 액세스 권한 위임 방법, 머신 판독가능한 저장 매체, 장치 및 프로세싱 시스템
CN110348204B (zh) 一种代码保护系统、认证方法、装置、芯片及电子设备
ES2615860T3 (es) Sistema y procedimiento de aseguramiento de un ordenador que incluye un micronúcleo
US20070266444A1 (en) Method and System for Securing Data Stored in a Storage Device
JP5346608B2 (ja) 情報処理装置およびファイル検証システム
US20070088857A1 (en) Using sequestered memory for host software communications
US8954696B2 (en) Secure memory management system and method
CN112818327A (zh) 基于TrustZone的用户级代码和数据安全可信保护方法及装置
JP2020042341A (ja) プロセッシングデバイス及びソフトウェア実行制御方法
Kornaros et al. Hardware support for cost-effective system-level protection in multi-core socs
KR102579861B1 (ko) 차량용 소프트웨어 업데이트 장치 및 그 제어 방법
Kornaros et al. Securing Dynamic Firmware Updates of Mixed-Critical Applications
US20230098991A1 (en) Systems, methods, and media for protecting applications from untrusted operating systems
US20240073013A1 (en) High performance secure io
CN117708832A (zh) 高性能异构可信执行环境实现方法及系统
WO2006059335A1 (en) Method and system for securing data stored in a storage device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080414

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110426

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110627

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110726

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110808

R150 Certificate of patent or registration of utility model

Ref document number: 4811271

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140902

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees