WO2006003875A1

WO2006003875A1 - プログラム実行機器およびそのプログラム実行方法

Info

Publication number: WO2006003875A1
Application number: PCT/JP2005/011792
Authority: WO
Inventors: Tomokazu Kanamaru; Masahiro Oashi
Original assignee: Matsushita Electric Industrial Co., Ltd.
Priority date: 2004-06-30
Filing date: 2005-06-28
Publication date: 2006-01-12
Also published as: CN100580611C; JPWO2006003875A1; EP1783581A1; US20080047000A1; JP4682139B2; EP1783581A4; US7823197B2; CN1977229A

Abstract

　　可搬媒体に記録されたサービスプログラムが、直接実行されたり、長期記憶装置に一旦インストールしてから実行されたりする。機器に対するリソースアクセス管理の観点等から、可搬媒体が挿入されていない状態で、無制限にプログラムが実行されるのを防止するプログラム実行機器を提供する。　　プログラムにリソースアクセス権限を示すパーミッション情報を付加し、実行されるプログラムの取得経路に応じて、異なるアクセス権限を示す第１のパーミッション情報と第２のパーミッション情報とを適用して、プログラムを実行する。　

Description

明細書

プログラム実行機器およびそのプログラム実行方法

技術分野

[0001] 本発明は、プログラムを実行する機器におけるパーミッション (リソースに対するァクセス権限あるいは実行権限)を管理するプログラム実行機器に関する。

背景技術

[0002] 近年、出荷後の家電機器に対して、プログラムを後から追加し、そのプログラムを動作させることによって機器に機能を追加する、という仕組みが普及しつつある。

家電機器上でプログラムを動作させるプログラム実行系の代表的な技術としては、 J AVA (登録商標）や、ドット NET (登録商標）などがある。

[0003] これらの技術は仮想マシンの仕組みを備え、ネットワーク家電の CPUなど、ハードウェアに依存せずに同一のプログラムを動作させることが可能なことから、サービスの実施のための共通プラットフォームとなることが期待されている。

機器に追加されるプログラムには、そのプログラムに許可される動作を示したパーミッシヨン情報が付随される場合が多い。パーミッション情報を適切に設定することによつて、例えば追加されたプログラムが、機器に存在するユーザの個人情報を改竄'破壊する、あるいはネットワーク機能を利用して勝手に機器上のデータを外部に流出する、といった勝手な振る舞いを行う危険性を未然に防止することができる。例え «JA VA (登録商標）では、プログラムのアクセス権限を適切にコントロールするために、セキユリティマネージャやアクセスコントローラと、つた仕組みが用意されて、る。この仕組みは非特許文献 1に記載されて、る。

[0004] 機器に追加するためのプログラムの流通の方法として代表的なものは、ネットワークを通じてこれを行なう方法である。例えば携帯電話などのモパイル機器にぉ、ては、無線通信によって機器にプログラムを後から配信し、これを実行する、というサービスが既に実現されている。

これ以外にも、可搬性の記録 (または記憶)媒体 (以下、単に「可搬媒体」という）を通じてプログラムを流通する、という方法力近年クローズアップされつつある。ここでの可搬媒体とは、光ディスクや、シリコンデバイス、メモリカード、その他データを記録可能で可搬可能なさまざまな媒体を含む。

[0005] この場合、家電機器は可搬媒体を着脱することができる機構を備える。着脱の形態は、可搬媒体の種類によって様々である。以降の説明では、可搬媒体が機器に装着されて、可搬媒体に記録されたデータを機器が読み取ることができる状態になっていることを、可搬媒体が機器に「挿入された」状態、あるいは機器に可搬媒体を「挿入した」状態と呼ぶことにする。それ以外の状態を可搬媒体が機器から「排出された」状態、あるいは機器が可搬媒体を「排出した」状態と呼ぶことにする。

[0006] 家電機器は、挿入された状態の可搬媒体から、プログラムを直接読み込んで実行する、あるいは可搬媒体に記録されたプログラムを一旦機器が具備する独自の記憶装置に複製した後に実行する、などの方法を選択して、そのプログラムを実行することがでさる。

可搬媒体の着脱機構を備えた機器の中には、プログラムの動作と、可搬媒体の着脱の状態が何らかの形で関連付けされたものがある。従来例としては、例えば特許文献 1に示されている。

[0007] また、機器がプログラムのデータを可搬媒体から機器に複製する際に、単純なデータコピー以外の何らかの処理を行う技術が例えば特許文献 2に開示されている。可搬媒体の着脱機構を備えた機器にぉヽては、可搬媒体に記録されたプログラムを実行する形態として、 2種類のものが考えられる。

1つは、機器の持つプログラム実行系が、可搬媒体に記録されたプログラムを直接読み取り実行する方式である。この場合、可搬媒体が、機器に挿入された状態であることが不可欠の条件である。

[0008] もう 1つは、可搬媒体に記録されたプログラムが、ハードディスクなどー且機器内の記憶装置に複製 (インストール)された後、機器の持つプログラム実行系が、この複製されたデータを読み取り実行する方式である。この場合は、プログラムの実行時に、可搬媒体自体は必ずしも機器に挿入された状態でなくとも構わなヽ。

後者の方式は、プログラムを動作させる際に、可搬媒体が機器に挿入された状態になっていることが必須にはならないため、機器のユーザにとっては利用の際の自由度が大きく増す。

[0009] しかしその一方で、後者の方式は、可搬媒体を保持するユーザが一且可搬媒体上のプログラムを機器内の記憶装置に複製してしまえば、自由にその可搬媒体の 2次流通（例えば他のユーザに可搬媒体を譲渡 ·売却するなど）を可能にするのを許す方式でもある。そのため、可搬媒体の作成者や提供者の立場から見た場合、この方式によりプログラムの実行を許すことは好ましくな、ケースも多、。

[0010] 特許文献 1には、機器に当該プログラムが記録された可搬媒体が挿入されている状況にある場合のみ、記憶装置に複製されたプログラムの実行を許可し、それ以外の場合にはプログラムの実行を禁止する、という方式が提示されている。この方式の場合、プログラムを動作させるためには常に可搬媒体の機器への挿入が必要となるため、可搬媒体の作成者や提供者が意図しない、可搬媒体の 2次流通などをユーザが行なうのを防ぐことはできる。

[0011] し力しながら、プログラムを動作させる際に常に可搬媒体の挿入を求めるという方式は、新たに以下のような問題を生じさせるものである。

( 1)可搬媒体の破損などが発生した場合、プログラムを実行させることが不可能になつてしまう。

(2)同一のユーザが保持する 2つ以上の機器で、同時にプログラムを動作させることができなくなる。

(3)可搬媒体の 2次流通などを考えない、正当な利用方法に従ってプログラムの実行を行なわせて、るユーザにとっても、プログラムを実行させるたびごとに「ユーザが手元に可搬媒体を保持していることを証明するために」可搬媒体の挿入が必要となり、プログラムの利用の際の利便性を損ねている。

[0012] なお、機器がプログラムを可搬媒体から機器に複製する際に、最適化などを適用してプログラムの高速化を図った例は存在するものの、従来の技術では、プログラム (ァプリとも呼ぶ）に許可されるパーミッション情報というものは、実行されるプログラムの記録位置等によって変化することはなぐほぼ一つのものに定められており、これが変更されることは、考えられて!/、な!、 (特許文献 2)。

特許文献 1：特開 2004— 46801号公報特許文献 2：特表 2002— 511615号公報

非特許文献 1： jAVA (登録商標） Security」 Scott Oaks著、 O， Reilly発行、 May 2001、 ISBNO— 596— 00157— 6

発明の開示

発明が解決しょうとする課題

[0013] 本発明は、可搬媒体で提供されるプログラムを実行させる際、そのプログラムの取得経路に応じてパーミッション情報を設定することのできるプログラム実行機器を提供することを目的とする。

課題を解決するための手段

[0014] 上記課題を解決するために本発明は、プログラムの実行時におけるリソースへのアクセス権限を示すパーミッション情報が付加されたプログラムを取得して実行するプログラム実行機器であって、前記プログラムの取得経路に応じて、前記パーミツション情報に含まれる第 1のパーミッション情報又は第 1のパーミッション情報と異なる第 2 のパーミッション情報を設定するパーミッション情報設定手段と、前記パーミッション情報設定手段で設定された第 1又は第 2のパーミッション情報に従い、前記プロダラムを実行する実行手段とを備えることとして、る。

発明の効果

[0015] 上述のような構成によって、プログラムの取得経路に応じて、第 1のパーミッション情報と、それと異なる第 2のパーミッション情報が設定されるので、その利用形態に応じたパーミッション情報をプログラムに適用して動作させることができる。

また、前記プログラムを記録した可搬性記録媒体を装着する装着手段と、装着された前記可搬性記録媒体に記録された前記プログラムと前記パーミッション情報とを複製して記憶するプログラム記憶手段とを更に備え、前記パーミッション情報設定手段は、前記プログラムの取得経路が前記装着手段に装着された可搬性記録媒体から前記プログラムを読み込むとき、前記第 1のパーミッション情報を設定する第 1設定部と、前記プログラム記憶手段から前記プログラムを読み込むとき、前記第 2のパーミツシヨン情報を設定する第 2設定部とを有することとしている。 [0016] このような構成により、可搬性記録媒体に記録されたプログラムが直接実行される場合と、一旦プログラム記録用のプログラム記憶手段に複製されたプログラムが実行される場合とによって、異なるパーミッション情報をプログラムに適用し動作させ、ユーザにサービスを提供することができる。

例えば、同一のプログラムを動作させる場合であっても、可搬性記録媒体を機器に装着して利用しているユーザには、機器の保持するローカルリソースをフルに利用して動作するプログラムを提供し、可搬性記録媒体を機器に装着して利用していないユーザには、一部の機能 (例えば、機器外へのネットワークアクセス機能）を使用不能にした状態で動作するプログラムを提供する、などのように、プログラムの取得経路に応じて適切なパーミッション情報を設定することができる。本発明を用いることで、従来に存在していた仕組みよりもさらに柔軟性の高いサービスの形態を、ユーザに提供することが可能になる。

[0017] また、前記可搬性記録媒体に記録されたパーミッション情報には、第 1のパーミツシヨン情報と第 2のパーミッション情報とが含まれており、前記記憶手段には、前記プログラムとともに第 1のパーミッション情報と第 2のパーミッション情報とが記憶されており、前記第 1設定部は、前記可搬性記録媒体に記録された第 1のパーミッション情報を設定し、前記第 2設定部は、前記プログラム記憶手段に記録された第 2のパーミツシヨン情報を設定することとして、る。

[0018] このような構成により、 2種類のパーミッション情報が、可搬性記録媒体に記録されたプログラムに付加されているので、そのまま利用することができる。

また、前記可搬性記録媒体に記録されたパーミッション情報には、第 1のパーミツシヨン情報が含まれており、第 1のパーミッション情報を変換ルールに従い第 2のパーミッシヨン情報に変換する変換手段を更に備えることとしている。

[0019] このような構成により、可搬性記録媒体に記録されたプログラムに付加されているパ一ミッション情報をそのまま第 1のパーミッション情報として利用でき、また第 1のパーミッシヨン情報を変換して第 2パーミッション情報として利用することができる。

また、前記装着手段に装着された可搬性記録媒体を検出する検出手段を更に備え、前記パーミッション情報設定手段は、前記検出手段が可搬性記録媒体を検出しているときは、前記取得経路に拘らず、第 1のパーミッション情報を設定することとしている。

[0020] このような構成によって、可搬性記録媒体が装着されている場合には、プログラム記憶手段力もプログラムを読み込んでプログラムを実行するときにも、そのプログラムの取得経路に拘らず、第 1のパーミッション情報に従いプログラムを実行させることができる。

また、前記プログラムに関連付けられた追加プログラム情報を取得する取得手段を更に備え、前記追加プログラム情報は、前記プログラムの機能の追加または更新をするための追加プログラムと第 2のパーミッション情報とを含み、前記パーミッション情報設定手段は、取得経路に前記取得手段を介するとき、第 2のパーミッション情報を設定することとしている。

[0021] このような構成によって、可搬性記録媒体に記録されたプログラムに関連づけられた追加プログラム情報が取得手段によって取得され、追加プログラムが実行されるときは、追加プログラム情報に含まれる第 2のパーミッション情報に従い、プログラムを実行させることができる。

また、前記プログラムを記録した可搬性記録媒体を装着する装着手段と、装着された前記可搬性記録媒体に記録された前記プログラムと前記パーミッション情報とを複製して記憶するプログラム記憶手段とを更に備え、前記取得手段は、外部のサーバ力前記追加プログラム情報を通信回線を介してダウンロードするダウンロード部と、ダウンロードした追加プログラム情報を前記プログラム記憶手段に追加記憶させる追加部とを有することとして、る。

[0022] このような構成によって、プログラム著作者が用意した追加プログラムをユーザーは容易に取得し、禾 IJ用することができる。

また、本発明は、プログラムの実行時におけるリソースへのアクセス権限を示すパーミッション情報が付加されたプログラムを取得して実行するプログラム実行機器のプログラム実行方法であって、前記プログラムの取得経路に応じて、前記パーミッション情報に含まれる第 1のパーミッション情報又は第 1のパーミッション情報と異なる第 2のパーミッション情報を設定するパーミッション情報設定ステップと、前記パーミッション情報設定ステップで設定された第 1又は第 2のパーミッション情報に従い、前記プログラムを実行する実行ステップとを有することとしている。

[0023] このような方法により、プログラムが実行される場合にプログラムの取得経路に応じて、異なるパーミッション情報をプログラムに適用し、動作させることができる。図面の簡単な説明

[0024] [図 1]本発明に係るプログラム実行機器の実施の形態 1の構成図である。

[図 2]上記実施の形態の変形例の構成図である。

[図 3]上記実施の形態のパーミッション情報の一例を示す図である。

[図 4]上記実施の形態のパーミッション情報の一例を示す図である。

[図 5]上記実施の形態のプログラムのインストール処理、および実行までの処理の流れを示す図である。

[図 6]上記実施の形態のプログラム蓄積部のパーミッション変更ポリシーの一例を示す図である。

[図 7]上記実施の形態のプログラム蓄積部のインストール情報テーブルの一例を示す図である。

[図 8]上記実施の形態のプログラム蓄積部に記録されたプログラムが起動される場合の処理の流れを示す図である。

[図 9]上記実施の形態の可搬性記憶媒体の検出 (挿入'排出）の処理の流れを示す図である。

[図 10]本発明に係るプログラム実行機器の実施の形態 3の構成図である。

[図 11]上記実施の形態のプログラム蓄積部の拡張インストール情報テーブルの一例を示す図である。

[図 12]上記実施の形態のプログラムのインストール処理の流れを示す図である。

[図 13]上記実施の形態の追加プログラム情報のインストール処理の流れを示す図である。

[図 14]上記実施の形態のプログラムの実行までの処理の流れを示す図である。符号の説明 100 プログラム実行機器

101 プログラム蓄積部

102 プログラム (プログラム蓄積部内）

103A第 1のパーミッション情報 (プログラム蓄積部内)

103B第 2のパーミッション情報 (プログラム蓄積部内)

104 インストール部

105 読込部

106 選択部

107 プログラム実行部

108 パーミッション設定部

109 検出部

110 機器リソース

114 インストール情報テーブル

115 パーミッション変換部

117 拡張インストール情報テーブル

120 可搬媒体

121 プログラム (可搬媒体上）

123 パーミッション情報 (可搬媒体上)

123A第 1のパーミッション情報 (可搬媒体上）

123B第 2のパーミッション情報 (可搬媒体上）

130 追加プログラム情報を供給する機器

131 追加プログラム情報

133 パーミッション情報（追加プログラム情報内）

133B第 2のパーミッション情報（追加プログラム情報内)

301 パーミッション情報テーブル

401 XML形式パーミッション情報発明を実施するための最良の形態 [0026] 本発明に係るプログラム実行機器は、可搬媒体を装着する装着部を有し、記録されたプログラムを読み取り実行する機器であって、そのためのプログラム実行部を備える。また、本発明の機器は、可搬媒体に記録されたプログラムを複製し、蓄積するプログラム蓄積部を備える。

このプログラム実行部は、以下の 2種類の利用形態 (プログラムの取得経路)でプログラムの実行に対応する。

(実行方法 A)可搬媒体に記録されたプログラムのデータだけを用いて、これを直接読み取り実行する。

(実行方法 B)プログラム蓄積部に記録されたプログラムのデータを読み取り実行する

[0027] ここでプログラムのデータとは、プログラムの実行形式のことを指す。例え «JAVA( 登録商標）プログラムで言えば、 JAVA (登録商標）クラスファイルや、そのアーカイブ形式である JARファイルのことを指す。

実行方法 Aと実行方法 Bとの違いについてさらに詳細に述べる。

実行方法 Bで指すところのプログラム蓄積部が有する記憶装置 (記憶手段）は、ハードディスクや不揮発性のメモリなど、機器の電源を切断してもその記録内容が保持される長期記憶装置（NON— VOLATILE STORAGE SYSTEM)である。揮発性の RAM (ランダム ·アクセス 'メモリ）など、電力の供給が途切れることで記録内容が消えてしまう短期記憶装置（VOLATILE STORAGE SYSTEM)は、プログラム蓄積部が有する記憶装置として対象に入らない。

[0028] 実行方法 Aでプログラムが実行される場合は、可搬媒体に記録されたプログラムが、直接機器の RAMなどの短期記憶装置に読み込まれて実行される方式が殆どである力上述の通り、この場合の短期記憶装置はプログラム蓄積部を意味していない。従って実行方法 Bとは明確に区別される。

また近年では、可搬媒体に記録されたプログラムであっても、そのプログラムの機能を更新 ·追加するプログラムやデータを、ネットワーク力もダウンロードするなどしてプログラムを実行機器内に取得できる場合がある。このプログラムやデータのことを、追加プログラム情報と呼ぶ。 [0029] 追加プログラム情報が長期記憶装置に格納され、プログラムの実行の際にこのデータが用いられる場合は、実行方法 Bに該当するものとする。

実行方法 Aとは長期記憶装置に格納されたプログラムのデータを一切使用せずに、可搬

媒体に記録されたプログラムのデータだけを用いて、実行が行なわれる方法である。以下、「プログラム蓄積部」と記述したものは、上述した通り、ハードディスクゃ不揮発性メモリなど、長期記憶装置によってデータの記録が実現されるもののことを意味する。

[0030] 可搬媒体に記録されたプログラムには、そのプログラムに許可される利用の範囲を記載したパーミッション情報が付加されている。

プログラム実行部は、プログラムを実行する際に、そのプログラムに付加されたパーミッション情報を読み取り、プログラム実行中の動作に反映させる。この際、プログラム実行部は、利用形態の種類によって異なるパーミッション情報を使用してプログラムを実行する。すなわち、実行方法 Aによりプログラムを実行する場合には、第 1のパーミッション情報を用いてプログラムを実行し、実行方法 Bによりプログラムを実行する場合には、第 2のパーミッション情報を用いてプログラムを実行する。

[0031] 本発明は、プログラムの取得経路に応じて異なるパーミッション情報を準備するにあたり、以下の 3種類の仕組みを想定している。

(a)可搬媒体に記録されたプログラムには、実行方法 Aと実行方法 Bとのそれぞれに対応した、 2つのパーミッション情報を付カ卩して、る。

(b)機器は、可搬媒体に記録されたプログラムを実行方法 Bで実行するためにプログラムを複製した場合に、プログラムに付加された第 1のパーミッション情報を書き換え

、第 2のパーミッション情報を生成する。

[0032] ここで、う可搬媒体に記録されたプログラムの複製とは可搬媒体に記録されたプログラムを実行するときのパーミッション情報とプログラム蓄積部に蓄積されたプロダラムを実行するときのパーミッション情報とが実質的に同一のパーミッション情報であれば、可搬媒体に含まれるプログラムによる実行と可搬媒体力プログラム蓄積部に蓄積されたプログラムによる実行とが同一の機能を実現するように可搬媒体に含まれるプログラムをプログラム蓄積部へと蓄積する動作である。

[0033] この場合において、可搬媒体に記録されたプログラムの一部をプログラム蓄積部へ蓄積したときに上述のパーミッション情報の同一性が保証されるのであれば一部のプログラムの蓄積も複製と、うことにする。

この複製の具体例としては可搬媒体のプログラムに含まれるファイルとの同一のファィルをプログラム蓄積部に蓄積するとか、可搬媒体に含まれるプログラムのデータを圧縮したものをプログラム蓄積部に蓄積する（ただしこの場合はプログラム蓄積部に蓄積されたプログラムを実行するときに圧縮したファイルを元に戻した後実行するようにする必要がある）、または可搬媒体に含まれる圧縮されたプログラムのデータを展開したものをプログラム蓄積部に蓄積する等がある。

(c)機器は、可搬媒体に記録されたプログラムに関連付けられたプログラム情報を、ダウンロードによって取得し、その追加プログラム情報の中に含まれる第 2のパーミツシヨン情報を取得する。

[0034] 下記のいずれか仕組みを使用することで、プログラムの取得経路に応じ異なるパーミッション情報を使用してのプログラムの実行が可能となる。

さらに、本発明の機器は、実行方法 Bによりプログラムを実行する場合に、プロダラムが記録された可搬媒体が機器に挿入されているかどうかを区別する。

(実行方法 B— 1)可搬媒体が機器に挿入されている状態で、プログラム蓄積部に記録されたプログラムのデータを読み取り実行する。

(実行方法 B— 2)可搬媒体が機器に挿入されていない状態で、プログラム蓄積部に記録されたプログラムのデータを読み取り実行する。

[0035] 本発明の機器は、これらの利用形態も区別し、これに応じ異なるパーミッション情報を使用してプログラムを実行する。

(実施の形態 1)

図 1は、本発明に係るプログラム実行機器 100実施の形態 1の構成図である。図 2 は、実施の形態 1の変形例の構成図であり、同一の構成要素には、同一の参照符号を付している。

[0036] プログラム実行機器 100 (以下、単に「機器 100」という）は、可搬媒体 120の着脱が可能な装着機構 (図示せず)を備える。図 1は、可搬媒体 120にはプログラムは 2つのパーミッション情報、つまり第 1のパーミッション情報と、第 2のパーミッション情報とを付加している場合を示し、また、図 2は、可搬媒体 120のプログラムがパーミッション情報をひとつ、つまり第 1のパーミッション情報だけを付加している場合を示している

[0037] なお、図 1と図 2とのプログラム及びパーミッション情報は、異なるものであるが、それぞれには説明の便宜上、同じ番号を付している。

可搬媒体 120にはプログラム 121が記録されている。プログラム等の可搬媒体 120 に記録されたデータを機器 100が読み取ることができれば、可搬媒体 120の種類および、可搬媒体 120の機器に対する挿入'排出 (着脱)の装着機構は何であっても良い。

[0038] ここでの可搬媒体とは光ディスクや、メモリカード、シリコンデバイス、その他データを記録可能なさまざまな物体を含む。例えばメモリカードなどの記憶デバイスは、専用の端子を機器が備え、その端子に可搬媒体を直接差し込んだり抜き取ったりすることで、機器と可搬媒体の着脱を実現する。その他の光ディスクなどの可搬媒体は、トレィ等を用いたディスクローデイング機構、および光ディスク読み取り装置 (ピックァップ)等を備えることで、機器と可搬媒体の着脱を実現してヽるものもある。

[0039] JAVA (登録商標）実行形式でプログラム 121が書かれ、プログラム実行部 107が J AVA (登録商標)仮想マシンで実現されている場合を例に説明を行なう。もちろんプログラム 121は他の形式であっても、後述のプログラム実行部 107によって動作可能なものであれば何でも良い。例えばここでのプログラムがドット NET (登録商標）の実行形式であり、プログラム実行部 107がドット NET (登録商標)仮想マシンであってもよい。あるいはプログラムは機種依存のネイティブコードであって、プログラム実行部 107が、機器が備えるプロセッサと主メモリ（主記憶)であってもよい。

[0040] JAVA (登録商標）プログラムとそれに伴うメタ情報等を記録したファイルを単一のフアイルで記録するための形式として JARと、う記録形式が規定されて!、る。ここでは実施の例として、この JAR形式で可搬媒体 120上にプログラムが記録されて、るものとする。可搬媒体 120に記録されるプログラム 121は複数であつてもよいが、説明の便宜上一つだけ記録されて、るものとする。

[0041] 可搬媒体 120に記録されるプログラム 121には、プログラムの識別記号であるプログラム IDとパーミッション情報 123とが付加されている。

ここで、パーミッション情報と、それにより規定される、プログラムに許可される動作について詳しく説明する。

パーミッション情報とは、プログラムを動作させる機器における、そのプログラムに許可される挙動の範囲、つまり機器リソースに対するアクセス実行権限を示した情報のことである。

[0042] 個々の機器リソース毎のパーミッションを記述したものを、パーミッション項目と呼び、一つ以上のパーミッション項目が、テーブル形式または言語形式で記述され、パーミッションファイルと呼ぶファイルに格納される。

図 1と図 2とに示す第 1のパーミッション情報 123A、あるいは、第 2のパーミッション情報 123B、あるいはプログラム蓄積部 101の第 1のパーミッション情報 103A、第 2 のパーミッション情報 103Bは、いずれもがそれぞれ一つ以上のパーミッションフアイルで構成される。

[0043] パーミッション項目の内容は、プログラムを実行する機器がどのような機能を有しているかに依存する。例えば、 DVD (デジタル 'バーサタイル'ディスク）や BD (ブルーレイ'ディスク）に代表される、高密度の記録媒体を再生する装置の場合、具体的なパーミッション項目として以下のものが考えられる。

(パーミッション項目例 1)プログラムが、機器が有する長期記憶装置 (ストレージ）にアクセスして、リードやライトを行なっても良いか。

[0044] (パーミッション項目例 2)プログラムが、機器が有する特定のファイルをアクセスして、リードやライトを行なっても良いか。

(パーミッション項目例 3)プログラムが、機器が有する特定の情報をアクセスして、リードゃライトを行なっても良いか。ここでの特定の情報とは、例えば、時計の時刻、録画予約情報、チャンネル設定、機器のユーザの名前など個人情報、機器の使用履歴などの各種の設定を!、う。 [0045] (パーミッション項目例 4)プログラムが、他のコンテンツ (例えば、可搬媒体 120に記録された映像など）をアクセスして、リードやライトを行なっても良いか。

(パーミッション項目例 5)プログラムが、機器が有するネットワーク機能を使用して通信を行なっても良いか。

(パーミッション項目例 6)プログラム力特定のプロトコルを使用してもよいか。

[0046] (パーミッション項目例 7)プログラムが、ある特定の通信相手 (例えば URLで指定されるサイト）と通信を行なっても良いか。

(パーミッション項目例 8)プログラム力特定の実行処理を行なっても良いか。例えばスレッド操作、シリアライズ、デシリアライズ、リフレクションなどである。

(パーミッション項目例 9)プログラムが、機器が有する出力装置を使用して、なんらかの出力を行なってもよいか。出力資源とは、例えば、ディスプレイ、特定のウィンドウ、音源、 LEDランプ、バイブレータなどをいう。

[0047] (パーミッション項目例 10)プログラムが、機器が有する入力資源力の入力を受け付けてもよいか。入力資源とは、例えば、電源スィッチ、各種スィッチ、チューナー、リモコン、ジョイスティック、タツチパネノレなどをいう。

(パーミッション項目例 11)プログラムが、他のプログラムと通信を行なってもよ、か。

[0048] (パーミッション項目例 12)プログラムが、他のプログラムの実行を制御してもよ！/、か。例えば実行を開始する、一時中断する、終了するなどである。

(パーミッション項目例 13)プログラムが使用するデータや、プログラムによって生成されたデータ力他のプログラムにアクセスされ、リードやライトが行なわれても良いか

[0049] (パーミッション項目例 14)プログラムが使用するデータや、プログラムによって生成されたデータが、機器の外に取り出され、エクスポートされてもよいか。例えば可搬媒体 120に記録されて持ち出される、通信によって送信されるなどである。

(パーミッション項目例 15)プログラムが、追加プログラム情報を利用しても良、かどうか。すなわち、可搬媒体 120以外の媒体を通じて (例えばネットワークを通じたダウンロードによって）取得された、プログラムの機能を更新'追加するためのプログラムやデータを使用してもよいかどうかなどである。 [0050] 図 3は、パーミッション情報の一例をテーブル形式で示した図であり、この図をもとにパーミッション情報で指定される情報の種類の実例について述べる。

パーミッション情報テーブル 301のパーミッション項目で指定する細目には、リソースの種類とパラメータとの 2つがあり、リソースの種類 311はパーミッションで許可される挙動（アクセスする機器リソース）の種類を、パラメータ 312は当該リソースに関する許可の範囲を示す。それぞれのパーミッション項目のエントリは、示した符号に対応して、以下のようなパーミッションを示している。

(301A)機器に存在するファイル全般、または特定のファイルへの参照 ·更新の許可を示している。

(301B)機器や、機器が有する各種のプロパティに対する参照 ·更新の許可を示している。

(301C)ネットワーク機能 (ネットワークソケット、ポート番号の利用、特定の通信プロトコルの利用、特定の通信先とのアクセスなど）の使用の許可を示している。

(301D)プログラム実行における特定の動作 (スレッド操作、シリアライズ、デシリアラィズ、リフレクションなど）の使用許可を示している。

(301E)機器の有する出力資源 (ディスプレイ、特定のウィンドウ、音源、 LEDランプ、バイブレータなど）の使用許可を示している。

(301F)機器の有する入力資源 (電源スィッチ、各種スィッチ、チューナー、リモコン

、ジョイスティック、タツチパネル等）の使用許可を示している。

(301G)プログラム力他のプログラムと通信を行なってよいかどうか、の許可を示している。

(301H)プログラムが使用するデータや、プログラムによって生成されるデータ力他の機器にエクスポートされてもょ、か否かの許可を示して、る。

(3011)プログラム力追加プログラム情報を利用しても良いか否かの許可を示している。

[0051] パーミッション情報には、プログラムが実行される際に、これらの使用が許可されるか否か、また許可される場合にはその制限 (どこまでの動作が許可されるか)の情報が記録される。パーミッション情報で示される許可の種類は、上記に示したものであつても、もちろん他のものであってもよい。

パーミッション情報の記録形式は、プログラム実行系がプログラムを実行する際に解読できる形式であれば何でも良い。例えば、 JAVA (登録商標）プログラムのパーミツシヨンを記録するための形式として、 "JAVA (登録商標）. POLICY"ファイルというものが設定されていてもよい。また、同様の情報が記述されていれば他の形式であってちょい。

[0052] 図 4は、 XML言語形式にてパーミッション情報を記述した一例を示す。

図 4において、 XML形式パーミッション情報 401のうち、例えば機器リソースの 1 種であるプロパティのユーザ名" user name"411は、リード（Read)もライト（Write)も不可（False)とされている。

次に、再び図 1と図 2とを参照して、機器 100の構成各部について説明する。

[0053] 本実施の形態の機器 100は、プログラム蓄積部 101、読込部 105、インストール部 104、選択部 106、プログラム実行部 107、パーミッション設定部 108、検出部 109、機器リソース 110から構成される。なお、変形例では、パーミッション変換部 115を更に備えている。

プログラム蓄積部 101は、可搬媒体 120に記録されたプログラムをインストール部 1 04により複製し記録されている。このプログラム蓄積部 101は、ハードディスクゃ不揮発性のメモリなど、機器の電源を切断してもその記録内容が保持される長期記憶装置によって実現することができる。

図 1に示した構成では、可搬媒体 120に記録されたプログラム 121、およびこれに付加されたパーミッション情報 123は全て、機器のプログラム蓄積部 101に複製される。

[0054] 図 2に示した構成においては、可搬媒体 120に記録されたプログラム 121は、プログラム蓄積部 101にインストール部 104によってそのまま複製される。可搬媒体 120 に記録されたパーミッション情報 123は、第 1のパーミッション情報 123Aをプログラム蓄積部 101にインストール部 104によってそのまま複製される。可搬媒体 120からプログラム蓄積部 101に記録される過程において、もしくは、プログラム蓄積部 101に蓄積された状態力もプログラム実行部 107によって使用される過程において、第 1のパーミッション情報 123Aがパーミッション変換部 115によって変換され、第 2のパーミッシヨン情報 103Bとしてプログラム蓄積部 101に記録される。

[0055] プログラム実行部 107はプログラム（121または 102)を実行する。プログラムが JAV A (登録商標）によって提供される場合、プログラムの実行自体〖 AVA (登録商標）仮想マシンを使用することによって実現することができる。

インストール部 104は、可搬媒体 120のプログラム 121とパーミッション情報 123A をインストールする。そして、インストールした内容を管理するため、可搬媒体 120の記憶媒体 IDと、プログラム 121のプログラム ID、および第 1のパーミッション情報 123 Aのファイル名とを読み込み、後述のインストール情報テーブル 114に記録する。

[0056] さらに、図 1に示すように、第 2のパーミッション情報 123Bがあれば、それもインストールし、図 2に示すように、第 2のパーミッション情報 123Bがなければ、パーミッション変換部 115に第 1のパーミッション情報 123Aを伝達して、第 2のパーミッション情報を変換 '生成するように指示する。そして、パーミッション変換部 115から、生成された第 2のパーミッション情報を受け取り、プログラム蓄積部 101にインストールする。

[0057] 読込部 105は、可搬媒体 120の記憶媒体 IDと、プログラム 121とそのプログラム ID 、および第 1のパーミッション情報 123Aとを読み込み、さらに、図 1に示すように、第 2 のパーミッション情報 123Bがあればそれも読み込み、選択部 106に伝達する。また、図 2に示すように第 2のパーミッション情報 123Bがなければ、パーミッション変換部 115に第 1のパーミッション情報 123Aを伝達して、第 2のパーミッション情報を変換 '生成するように指示する。そして、パーミッション変換部 115から、生成された第 2のパーミッション情報 103Bを受け取り、選択部 106に伝達する。

[0058] 選択部 106は、プログラム蓄積部 101にインストールされたプログラム 102、または可搬媒体 120に記録されたプログラム 121のいずれのプログラムを実行するかをュ一ザに問い合わせ、前者の場合、プログラム蓄積部 101にインストールされたプログラム 102を読み出し、プログラム実行部 107の主メモリ（不図示）に書き込む。

同時に、プログラム蓄積部 101から、当該プログラムの第 1と第 2のパーミッション情報を読み出し、また後述のインストール情報テーブル 114から、可搬媒体 120の記憶媒体 IDとプログラム IDとを読み出し、それらをパーミッション設定部 108に通知する。 [0059] また選択部 106は、後者の場合、読込部 105に可搬媒体 120からの読込を指示する。そして、可搬媒体 120に記録されたプログラムを読込部 105から受け取り、主メモリに書き込む。

同様に、可搬媒体 120の記憶媒体 IDと、主メモリに書き込んだプログラムのプログラム IDと第 1と第 2のパーミッション情報とを読込部 105から受け取り、パーミッション設定部 108に伝達する。

[0060] ここで、記憶媒体 IDは、当該プログラムがプログラム蓄積部 101にあるときは、インストール情報テーブル 114の記憶媒体 ID欄 715のエントリから、また可搬媒体 120にあるときは読込部 105から得る。

なお、選択部 106は、問い合わせのとき、不図示の表示装置と、キーボードまたはマウス (不図示)とを使用する。なお、明示的にユーザに問い合わせを示さない場合のデフォルトでの選択が定義されていても良い。すなわち、機器に予め設定を行なつておくことによって、いずれの選択をするかのユーザへの問い合わせを省略する実施形態であっても良い。

[0061] プログラム実行部 107は、プログラムに付加されたパーミッション情報を解析し、プログラムの実行を適切に制御（コントロール)する。このための仕組みとして、 JAVA (登録商標)仮想マシンには、セキュリティマネージャとアクセスコントローラという機構が用意されている。

JAVA (登録商標)仮想マシンは、 JAVA (登録商標）プログラムに付加されたパーミッシヨン情報を解析し、

、う仕組みを用いてプログラムを仮想マシンにロードする。この手続きをとることで、セキュアマネージャとアクセスコントローラは、プログラムを実行させる際の挙動がパーミッション情報に示された許可範囲を守るように、プログラムの実行を適切にコントロールする。この仕組みの詳細に関しては非特許文献 1に示されている。

[0062] パーミッション設定部 108は、 JAVA (登録商標)仮想マシンにて実現され、プロダラム実行部 107により実行されるプログラムのパーミッション情報の設定を行う。パーミツシヨン設定部 108は、実行されるプログラムを記録した可搬媒体 120の記憶媒体 IDと、実行されるプログラムのプログラム IDと、第 1および第 2のパーミッション情報とを選択部 106から受けとり、実行されるプログラムに対して第 1のパーミッション情報または第 2のパーミッション情報のいずれか適当なパーミッション情報をプログラム実行部 1 08の主メモリ（不図示）に設定する。

[0063] パーミッション設定部 108は、実行されるプログラムが可搬媒体 120から読み出されたときには、第 1のパーミッション情報の設定を行う。また、実行されるプログラムがプログラム蓄積部 101から読み出されたときであっても、実行されるプログラムが記録された可搬媒体 120が挿入されているときは、第 1パーミッション情報の設定を行う。それ以外のときは第 2パーミッション情報の設定を行う。

[0064] パーミッション設定部 108は、実行されるプログラムが記録された可搬媒体 120が挿入されている力否かを知るため、検出部 109に対して、可搬媒体 120の記憶媒体 I Dとプログラム IDとを伝達し、装着機構 (不図示）に可搬媒体 120が挿入されている力どうかの判定をおこなうよう指示する。

検出部 109による可搬媒体 120の挿入、排出の状態の判定結果をもとに、挿入、排出の状態変化があれば、パーミッション設定部 108は、それぞれ第 1のパーミツション情報、第 2のパーミッション情報に設定変更する。

[0065] 検出部 109は、パーミッション設定部 108から記憶媒体 IDとプログラム IDとを受け取り、機器に可搬媒体 120が挿入されているとき、受け取った記憶媒体 ID、プロダラム IDが、挿入された可搬媒体 120の記憶媒体 ID、及び記録されたプログラムのプログラム IDとそれぞれ一致するかどうかを判定し、一致するときはパーミッション設定部 108に、挿入状態である旨を通知する。また、一致しないときは、挿入されていない（排出）旨を同じくパーミッション設定部 108に通知する。

[0066] 検出部 109は、可搬媒体 120の認識装置、および可搬媒体 120からのデータ読み取りの仕^ aみと、これをアクセスするソフトウェアプログラムによって実現することができる。

機器リソース 110は、プログラム実行部 107がプログラムを実行することでアクセスが可能な、機器が有する各種のデバイスの機能、機器内に格納されたデータへのァクセスの機能等として実現される。プログラム実行部 107が JAVA (登録商標)仮想マシンにて実現される場合、機器リソース 110へのアクセスは、 JAVA (登録商標）プログラム力呼び出される各種の JAVA (登録商標)ライブラリを備えることによって実現できる

機器リソース 110には、通信機能 111、入出力機能 112、ストレージアクセス機能 1 13があるが、もちろん他のものであっても良い。

[0067] パーミッション変換部 115は、インストール部 104または選択部 106からの指示により、可搬媒体 120のプログラム 123に付加されて記録されて、るパーミッション情報が第 1のパーミッション情報だけのとき、それを変換して第 2のパーミッション情報を生成し、プログラム蓄積部 101に記録し、インストール情報テーブル 114の当該プログラムの第 2のパーミッション情報欄 713のエントリにファイル名を記録する。

[0068] パーミッション変換部 115は、例えば、パーミッション情報 123を変更するためのルール (パーミッション変更ポリシー）の定義と、それに従って、入力されたパーミツション情報を変更し、新たなパーミッション情報を生成するソフトウェアプログラムによって実現することができる。パーミッション変換部 115の詳細については、後に説明する。なお、プログラム蓄積部 101に蓄積されるパーミッション情報は、セキュリティ上の観点から、本発明の装置以外の手段によって盗難や改変がされないような、耐タンパ性を保持して!/ヽることが望まヽ。

[0069] 次に、本実施の形態における動作について説明する。

図 5は、インストールの処理、およびプログラムの起動の処理の流れをそれぞれ示す図である。

先ず、インストールの動作について図 5 (a)を参照して説明する。

インストールは、可搬媒体 120が機器 101に挿入され、ユーザからインストールの指示があつたとき、インストール部 104によって実行される。例えば機器 100を使用するユーザに、プログラムを機器 100にインストールするか否かの問い合わせを行ない、その回答結果を得ることによって実現できる。もしくは、ユーザに問いあわせを行なう以外の実現方法としては、インストール部 104が機器内の長期記憶装置の空き容量の情報を有しており、プログラムを蓄積可能なだけの容量を保持していれば、自動的に複製の処理を行なうことにする、などの実現形態をとつても良い。

[0070] インストール部 104は、機器 100に挿入された可搬媒体 120に記録されたプロダラム 121を、プログラム蓄積部 101へ複製する（S504)。

プログラム蓄積部 101は、機器の持つ長期記憶装置の使用可能な容量の情報を保持している。例えば、長期記憶装置の空き容量が不足しているなど、複製処理の遂行に問題が発生した場合には、インストール不可として終了する。

[0071] なお、可搬媒体 120の記録が書き換え可能な場合には、プログラムの複製処理を行なうと同時に可搬媒体 120から元のプログラムの記録を消去する（プログラムを移動する）ようにしてちょい。

S505では、複製対象のプログラムに付加されたパーミッション情報を、プログラム蓄積部 101に蓄積する際に、変更を加える力否かをインストール部 103は判定する。

[0072] この判定は、図 1のように記録媒体に記録されたプログラムに、直接実行された時に使用される第 1のパーミッション情報以外に、ー且機器内にプログラム力 Sインストールされた後で実行される時に使用される第 2のパーミッション情報が付加されている場合には、否と判定し S506に移行する。一方、記録媒体に記録されたプログラムが図 2のような場合、機器内にプログラムが複製された後で実行される時のための第 2のパーミッション情報を、パーミッション変換部 115によって新たに生成する必要がある。この生成処理のタイミングについては、以下の 2つのケースでの実現が考えられる。 (ケース 1)プログラムが、可搬媒体 120からプログラム蓄積部 101に複製される過程において生成する。

(ケース 2)プログラム蓄積部 101に記録されたプログラム力プログラム実行部 107によって実行される時点において生成する。このときは、第 1のパーミッション情報がプログラム蓄積部 101に必要となる。

[0073] どちらのケースでもよいが、本実施の形態では、ケース 1を選択し、 S507に移行する。

なお、実施の形態の変形例で、ケース 2を選択しているとき、この時点ではパーミツシヨン変換部 115による変換処理は行なわれず、 S506に移行する。

S506では、可搬媒体 120に記録されたプログラムのパーミッション情報を、プログラム蓄積部 101へ複製する処理が行なわれる。

[0074] プログラム蓄積部 101は、機器の持つ長期記憶装置の使用可能な容量の情報を保持している。例えば、長期記憶装置の空き容量が不足しているなど、複製処理の遂行に問題が発生した場合には、 S506を取りやめ、プログラムの起動は、可搬媒体 120に記録さ

れたプログラムを、プログラム実行部 107によって直接起動することにする（S503 を行なう）ことにしてもよい。

[0075] S507では、インストール部 104力パーミッション変換部 115に指示して、可

搬媒体 120に記録されたプログラムのパーミッション情報を変換し、新たに第 2のパミッション情報を生成させる。そして、生成された第 2のパーミッション情報をパーミツシヨン変換部 115から受け取り、プログラム蓄積部 101に記録するとともに、インスト一ル情報テーブル 114の第 2のパーミッション情報欄 713にその ID又はファイル名を記載する。

[0076] パーミッション変換部 115は、例えば、変更前のパーミッション情報を読み込んで、特定のルールによって書き換えられたパーミッション情報を出力するソフトウェアプログラムとして実装することができる。

図 6は、パーミッション変換部 115による変換の一例を示す図である。図 6 (a)は変更前のパーミッション情報、すなわち可搬媒体 120に記録されたプログラムに付加されたパーミッション情報の例である。この図では XML形式にて情報を実現した例である。

[0077] この例では、パーミッション変更ポリシーによって定義されるルールの例として以下の 4つを定義する。

(1)機器に存在するファイル全般に対するデフォルトのアクセス権として、 "read"権限のみを許可し、 "write"権限を許可しな!、ものとする。

(2)機器が有する" user name"プロパティに対するアクセス権として、 "read"権限のみを許可し、 "write"権限を許可しな!、ものとする。

(3)ネットワーク機能について、 "http : ZZterminalmaker. com"という URLへのアクセスに対して、 "connect"権限を許可する。

(4)上記 3つのルール以外のパーミッション情報に関しては、何ら変更を加えない。 [0078] パーミッション変換部 115は、図 6 (a)に示すパーミッション情報を読み込んで、上述のルールに従い、新たなパーミッション情報を生成する。図 6 (b)は、 S507により生成される新たなパーミッション情報の例である。

この処理において、変更後の第 2のパーミッション情報がプログラム蓄積部 101に記録される。

[0079] プログラムおよびパーミッション情報力プログラム蓄積部 101に複製された後に、 S508の処理が行なわれる。 S508では、インストール部 104は、複製されたプロダラムに関する管理情報を作成する。この情報のことを本実施の形態ではインストール情報と呼ぶことにする。

インストール情報の一例を図 7に示す。図 7においてインストール情報は、テーブル形式でインストール情報テーブル 701に記録される。プログラムがプログラム蓄積部 1 01に複製されると、インストール情報のテーブルには、そのプログラムが新たなェントリとして追カロされる。

[0080] インストール情報テーブル 701は、プログラム 711、第 1のパーミッション情報 712、第 2のパーミッション情報 713、プログラム ID714、可搬媒体 ID715の各項目欄から構成されている。

プログラム欄 711には、対象となるプログラムを特定するための情報が記載される。例えば、プログラム蓄積部 101内のファイルシステムにおけるファイル名が記載される

[0081] 第 1のパーミッション情報と第 2のパーミッション情報との各項目欄 712、 713には、プログラムに対応したパーミッション情報を特定するための情報が記載される。例えば、プログラム蓄積部 101内のファイルシステムにおけるパーミッションファイル名が記載される。

第 1のパーミッション情報欄 712には、可搬媒体力ものプログラムを取得して実行するとき、プログラム蓄積部 101にインストールされたプログラムを取得し、その際可搬媒体が装着した状態で実行するときに使用されるパーミッション情報のファイル名が記載される。また、第 2のパーミッション情報欄 713には、プログラム蓄積部 101にィンストールされたプログラムを取得して可搬媒体を排出した状態で実行するときに使用されるパーミッション情報のファイル名が記載される。

[0082] 1つのプログラムに対して、パーミッション情報は第 1と第 2の 2つ（2種類）が存在する。

第 1のパーミッション情報欄 712および第 2のパーミッション情報欄 713のエントリには、パーミッション情報を識別するパーミッションファイル名（それぞれ複数指定可）が記載される。

[0083] 即ち、可搬媒体 120が挿入された状態の実行で使用される第 1のパーミッション情報 712の" proglA.prT、 "withdisk"という識別情報と可搬媒体 120が挿入されていない状態での実行で使用される第 2のパーミッション情報欄 713、 "proglA.prT、 "no disk"と、う識別情報とが記載されて、る。

プログラム ID欄 715には、複製元の可搬媒体 120に記載されたプログラムを識別するための識別情報が記録される。例えば可搬媒体 120でのプログラムを識別するファイル名力ここに記録される。プログラム IDの情報の使われ方は後述する力実現形態によっては存在して、なくともよ、。

[0084] 可搬媒体 ID欄 715には、複製元となった可搬媒体 120を識別するための識別情報が記録される。例えば可搬媒体 120が個々に保持するシリアルナンバーがここには記録される。可搬媒体 IDの情報の使われ方は後述するが、実現形態によっては存在していなくともよい。

次に、プログラムの起動の動作にっヽて図 5 (b)を参照して述べる。

[0085] 選択部 106は、プログラム蓄積部 101にインストールされたプログラムまたは可搬媒体 120に記録されたプログラムのいずれのプログラムを実行するかをユーザに問い合わせ (S510)、前者の場合は、プログラム蓄積部 101にインストールされたプロダラム 102を、選択部 106が主メモリに書き込み、パーミッション設定部 108が第 2のパーミッション情報 103Bを主メモリに設定をした後、プログラム実行部 107が当該プロダラムを起動する（S511)。

[0086] また、後者の場合は、可搬媒体 120に記録されたプログラムを、読込部 105を介し選択部 106が主メモリに書き込み、パーミッション設定部 108が第 1のパーミツション情報 123Aを主メモリに設定をした後、プログラム実行部 107が当該プログラムを起動する（S512)。

この際に、どのパーミッション情報が選択されるかという情報は、可搬媒体 120に記録されていてもよいし、また機器側が適切なルールによって (例えば、可搬媒体 120 のデータの並びで先に記録されて、るものを選択する、など)決定付けても良!、。

[0087] プログラム蓄積部 101に記録されたプログラムが起動される場合の処理 (S511) の詳細を、図 8に示す。

プログラム蓄積部 101に記録されたプログラム 102が実行される場合、本実施の形態では、プログラムの複製元となった可搬媒体が機器に挿入された状態である力否かを判定し、それをもとに前回の判定時力挿入'排出の状態変化があつたか否かを検出する。判定のタイミングについては、以下の 2種類の判定処理が考えられる。 (タイミング 1)プログラムが起動した直後に、可搬媒体 120の挿入の有無を判定する

(タイミング 2)プログラムの実行中に、可搬媒体 120の挿入の有無を定期的に判定する。

[0088] これらの 2種類の判定処理は、どちらか片方だけが行なわれても良いし、または両方とも行なわれても良、。図 8の処理の流れでは両方の判定処理を行なう場合を想定して説明する。

まず、プログラム蓄積部 101に記録されたプログラムの実行力、プログラム実行部 1 07によって開始される。ここで、プログラム実行部 107が JAVA (登録商標)仮想マシンによって実現される場合には、プログラムの実行を開始するための仮想マシンの初期化が行なわれる（S801)。

[0089] 上記 (タイミング 1)で述べた、プログラム起動直後における可搬媒体 120の挿入の有無を判定する（S804)。

この判定は、検出部 109により行われる。

検出部 109は、単純に何らかの可搬媒体 120の挿入状態を判定するのみならず、可搬媒体 120の種類を判別して、起動するプログラムに応じて「正しい」可搬媒体 12 0が挿入されているか否かを判定する。この可搬媒体 120の挿入'排出の判定の処理の流れを図 9に示し、次に説明する。 [0090] 先ず、単純に何らかの可搬媒体 120が機器 100に挿入されている力否かを判断する（S901)。可搬媒体 120の挿入が確認される場合には、 S902に、可搬媒体 120が機器 100に挿入されてヽな、場合には、 S907に移行する。

プログラム実行部 107にて起動が指示されたプログラムの可搬媒体 120の IDを取得する。これは前述した、プログラム蓄積部 101のインストール情報テーブル 114の記憶媒体 ID欄 715を参照することによって取得することができる（S902)。

[0091] 機器に挿入された可搬媒体 120の記録内容を読み取り可搬媒体 120の IDを取得し、 S902で取得した起動対象のプログラムが持つ可搬媒体 120IDとの同一性を確認

する（S903)。具体的な可搬媒体 120IDとしては、例えば可搬媒体 120が個々に保持するシリアルナンバーなどを用いて同一性の確認ができる。もちろん他の、プログラム蓄積部 101に記録されたプログラムの複製元の可搬媒体 120と、機器に挿入された可搬媒体 120との同一性が確認できる情報があれば、それを用いても構わない。

[0092] 同一性が確認できた場合には S904に、確認できな力つた場合には S907に移行する。

プログラム実行部 107にて起動が指示されたプログラムのプログラム IDを、検出部 1 09はパーミッション設定部 108から取得する（S904)。

機器 100に挿入された可搬媒体 120の記録内容を読み取り、記録されたプロダラムの IDを取得し、 S904で取得した起動対象のプログラムが持つプログラム IDとの同一性を確認する（S905)。具体的なプログラム IDとしては、例えば可搬媒体でのプログラムを識別するファイル名などを用いて同一性確認ができる。もちろんプログラム I Dに限らず、プログラム蓄積部 101に記録されたプログラムと、機器に挿入された可搬媒体 120に記録されたプログラムとの同一性が確認できる情報があれば、それを用いても構わない。

[0093] 同一性が確認できた場合には S904に、確認できな力つた場合には S907に移行する。

処理が、 S906に到達した場合は、正しい可搬媒体 120が機器に挿入された状態に

あると判定する。また、処理が、 S907に到達した場合は、正しい可搬媒体 120が機器に挿入されていない (排出された)状態にあると判定する。

[0094] 本実施の形態では、可搬媒体 IDとプログラム IDの 2種類の情報を用いて判定を行なったが、どちらかの情報のみを使うことにしてもよい。また、 2種類の情報を使う場合でも、どちらかの情報さえ合致していれば、正しい可搬媒体が機器に挿入されているちのと半 IJ定することにしてちょい。

再び図 8に戻り、 S804では、以上に述べた検出部 109による、「正しい」可搬媒体 120が機器 100に挿入された状態にあるかどうかの判定を行なう。挿入された状態にあると判定される場合には S805Aに、そうでない場合には S805Bに移行する。

[0095] 「正しい」可搬媒体 120が機器 100に挿入された状態にあると判定される場合、または S806Bで正しい可搬媒体 120が機器に挿入された状態にあるという判定がされた場合、パーミッション設定部 108は、第 1のパーミッション情報、例えば図 7で示したィンストール情報テーブル 114では、 "withdisk"と、う識別情報で識別される第 1のパ一ミッション情報のファイル (複数可）の設定を行い、プログラム実行部 107によって、プログラムの実行が行なわれる (S805A)。

[0096] プログラム実行中における可搬媒体 120が排出状態力否か判定する（S806A)。

パーミッション設定部 108は、プログラム実行部 107からの指示をうけ、検出部 109に、機器 100が「正、」可搬媒体が挿入されて、る状態にあるかどうかを問、合わせる。可搬媒体の挿入'排出判定の処理の流れは、図 9にて示したものと同様である。正し、可搬媒体 120が機器に挿入されて、な、 (排出された)状態にあると!/、う判定がされた場合、挿入状態力も排出状態に状態変化が起きたため、 S805Bに移行する。また、正しい可搬媒体 120が機器に挿入された状態にあるという判断が下された場合、状態変化はないので、 S805Aで選択された第 1パーミッション情報を使用したままでプログラムの実行を続行する。

[0097] プログラムの実行の終了判定が行なわれる (S807A)。プログラムが終了する具体的なケースとしては、プログラムが処理の終わりまで実行を終えた、ユーザにより実行を停止させられた、などの理由が考えられる。プログラムの実行が継続される場合には、 S805Aに戻って処理を続行する。

S804で「正、」可搬媒体 120が機器 100に挿入されてヽな、状態にあると判定された場合、または S806Aでプログラム実行中における可搬媒体 120が排出状態と判定された場合、パーミッション設定部 108は、第 2のパーミッション情報に切り替えてパーミッション設定を行う（S805B)。

[0098] S806Aのときと同様に、検出部 109により上記（タイミング 2)で述べた、プロ

グラム実行中における可搬媒体 120の挿入の有無を判定する（S806B)。正ヽ可搬媒体 120が機器 100に挿入された状態にあるという判定がされた場合、 S805A に移行する。

正しい可搬媒体 120が機器に挿入されていない状態にあるという判断が下された場合、 S805Bで選択された第 2のパーミッション情報を使用してのプログラムの実行を続行する。

[0099] S807Aと同様に、プログラムの実行の終了判定が行なわれる（S807B)。プロダラムの実行が継続される場合には、 S805Bに戻って処理を続行する。

(実施の形態 2)

実施の形態 2の構成は実施の形態 1と同様である。

本実施の形態のプログラムを説明する。

[0100] プログラムは、例えばユーザの入力を受け付けて遊ぶことができるゲーム等のァプリケーシヨンプログラムといったものがあるがこれに限定されるものではない。

第 1のパーミッション情報では、プログラムに、例えば以下の 2つの機能項目を使用することを許可して、るものとする。

(パーミッション項目 1)機器が有する長期記憶装置 (ストレージ)へのデータ (例えばゲームを行ったときの得点情報に関するデータなど）のリード許可およびライト許可である。

[0101] (パーミッション項目 2)ゲームアプリケーションの作成者が運営する、サーバサイトの URLへのネットワークアクセス機能である。

また、第 2のパーミッション情報では、実行方法 Bにより実行するプログラムに、上記 2つのパーミッション項目を使用することを禁止しているものとする。プログラムは、プログラム実行環境を備えた（つまり本実施の形態のプログラム実行装置を備えた)、光ディスク再生機器 (または記録機能を備えた光ディスク記録再生機器であってもよヽ)で動作させることができる。

[0102] プログラムは、第 1のパーミッション情報に基づいて動作する場合は、パーミッション項目 1で示された機能を用いることで、ゲームのハイスコアの記録、および、ゲームを遊んだユーザの名前の登録を行うことができる。また、パーミッション項目 2で示された機能を用いることで、サーバサイトの URLにアクセスし、ゲームに登場する追加キャラクタ一のデータや、ゲームの追加ステージのデータなど、ゲームに関連する新たなデータを取得し、そのデータを用いてゲームを遊ぶことができる。

[0103] プログラムが、第 2のパーミッション情報に基づいて動作する場合は、パーミッション項目例 1で示された機能を用いることはできな、ため、ゲームのハイスコアの記録や、ゲームを遊んだユーザの名前の登録を行わない。同様にして、パーミッション項目例

2で示された機能を用いることはできな、ため、ゲームに関連する新たなデータをネットワークを通じて取得することはできな、。

[0104] この場合、ゲームアプリケーションのプログラムは、機器が有する長期記憶装置 (ストレージ)へのデータのリード ·ライト処理を指定する記述、および、サーバサイトの u

RLへのネットワークアクセス処理を指定する記述を有して、るが、プログラム実行部 1 07は、第 2のパーミッション情報に基づき、これらの処理を無効にしてプログラムの実行を行う。

[0105] 処理を無効にされた場合、その処理内容は実現されないまま、プログラムに記述された後続の処理の実行が進められる。例えばゲームアプリケーションのプログラムが J AVA (登録商標）で記述されており、プログラム実行部 107が JAVA (登録商標)仮想マシンで実現されてヽる場合、 JAVA (登録商標)仮想マシンは、プログラムに記述された長期記憶装置 (ストレージ)へのデータのリード'ライト処理を実現しない。同じく、サーバサイトの URLへのネットワークアクセス処理を実現しない。代わりに JAVA ( 登録商標)仮想マシンは、記述の示す処理が無効にされたことを示す例外発生情報 (エタセプシヨン)を発行する。その後、後続して記述されたプログラムの実行が進められる。 (実施の形態 3)

図 10は、実施の形態 3のプログラム実行機器 100の構成図である

[0106] プログラム実行機器 100 (以下、単に「機器 100」という）は、可搬媒体 120の着脱が可能な機構を備える。

図 10は、可搬媒体 120のプログラムがパーミッション情報をひとつ、つまり第 1のパ一ミッション情報だけを付加する場合を示している。

図 10のプログラム及び第 1のパーミッション情報には、説明の便宜上、図 1と図 2で示したプログラム及び第 1のパーミッション情報と同じ番号を付している。

[0107] 可搬媒体 120にはプログラム 121が記録されている。プログラム等の可搬媒体 120 に記録されたデータを機器 100が読み取ることができれば、可搬媒体 120の種類および、可搬媒体 120の機器に対する挿入'排出 (着脱)の形態は何であっても良い。ここでの可搬媒体とは光ディスクや、メモリカード、シリコンデバイス、その他データを記録可能なさまざまな媒体を含む。例えばメモリカードなどの記憶デバイスは、専用の端子を機器が備え、その端子に可搬媒体を直接差し込んだり抜き取ったりすることで、機器と可搬媒体の着脱を実現する。その他の光ディスクなどの可搬媒体は、トレィ等を用いたディスクローデイング機構、および光ディスク読み取り装置 (ピックァップ)等を備えることで、機器と可搬媒体の着脱を実現してヽるものもある。

[0108] さらに、機器 100は、追加プログラム情報を供給する機器 130 (以下、機器 130と示す)と接続し、機器 130に格納されたデータを取得することが可能な機構を備えている。機器 130は、機器 100と通信接続されるサーノ機器である。その他、機器 130がデータを記録する能力を有し、機器 130に記録されたプログラム等のデータを機器 1 00が読み取ることができれば、機器 130の種類および、接続の形態、データを通信する形態は何であってもよい。機器 130は、光ディスクや、メモリカード、シリコンデバイス、その他データを記録可能なさまざまな可搬媒体であってもよ、。

[0109] 機器 130には追加プログラム情報 131が記録されている。追加プログラム情報 131 は、例えばプログラム 121のプログラム ID情報を有しているなど、プログラム 121あるいはプログラム 102との関連付けを示す情報を保持している。さらに、追加プログラム情報 131は、プログラム 121に付加される第 2のパーミッション情報を有している。

[0110] 追加プログラム情報 131はこれ以外にも、プログラム 121が有する機能を更新 '追加するためのデータを保持していて良い。このデータは、プログラム 121の一部もしくは全てを更新した新し、プログラムを含んで、ても良、。あるいはプログラム 121が機器 100上で実行される際に使用される、画像などのメディアデータや、情報や文書等を記録したメタデータや、その他の種類のデータを含んでヽても良、。

[0111] 本実施の形態では、追加プログラム情報 131は、プログラム 121の一部に置き換えられる新しヽプログラムを有してヽるものとする。対応するプログラム（プログラム 121 あるいはプログラム 102)と共に、追加プログラム情報 131がプログラム実行部 107の持つ主メモリ（不図示）に書き込まれることで、機能が更新 '追加されたプログラムが実行できるものとする。このとき、対応するプログラムの一部は追加プログラム情報に置き換えられるものであるため、対応するプログラムは必ずしも全ての部分が主メモリ（不図示）に書き込まれる必要はなぐプログラム実行部 107で必要であるとされた部分が選択的に書き込まれればよい。

[0112] JAVA (登録商標）実行形式でプログラム 121が書かれ、プログラム実行部 107が J AVA (登録商標)仮想マシンで実現されている場合を例に説明を行なう。もちろんプログラム 121は他の形式であっても、後述のプログラム実行部 107によって動作可能なものであれば何でも良い。例えばここでのプログラムが. NET (ドットネット）（登録商標）の実行形式であり、プログラム実行部 107が. NET (ドットネット）（登録商標)仮想マシンであってもよ、。あるいはプログラムは機種依存のネイティブコードであって、プログラム実行部 107が、機器が有するプロセッサと主メモリ（主記憶)であってもよい

[0113] JAVA (登録商標）プログラムとそれに伴うメタ情報等を記録したファイルを単一のフアイルで記録するための形式として JARと、う記録形式が規定されて!、る。ここでは実施の形態として、この JAR形式で可搬媒体 120上にプログラムが記録されて、るものとする。

可搬媒体 120に記録されるプログラム 121は複数であつてもよいが、説明の便宜上一つだけ記録されて、るものとする。 [01 14] また、追加プログラム情報 1 31は、プログラム 121を更新し性能を高めた新しいプログラムを含んでいるものとする。ここでは実施の例として、同じく JAR形式で機器 130 に追加プログラム情報が記録されているものとする。

可搬媒体 120に記録されるプログラム 121には、プログラムの識別記号であるプログラム IDとパーミッション情報 123とが付加されている。

[01 15] また、機器 130に記録される追加プログラム情報 131には、追加プログラム情報の識別記号である追加プログラム情報 IDと、パーミッション情報 133とが付加されてヽる。

パーミッション情報と、それにより規定される、プログラムに許可される動作については、上述の実施の形態で述べたものと同じであるため説明は省略する。パーミツション情報の一例をテーブル形式で示したものが図 3であり、 XML言語形式にてパーミッシヨン情報を記述した例を示したものが図 4である。これらに関しても、上述の実施の形態で述べたものと同じであるため説明は省略する。

[01 16] 図 10を参照して、機器 100の構成各部について説明する。

本実施の形態の機器 100は、プログラム蓄積部 101、読込部 105、インストール部 104、選択部 106、プログラム実行部 107、パーミッション設定部 108、機器リソース 1 10から構成される。

プログラム蓄積部 101は、可搬媒体 120に記録されたプログラム、および、機器 13 0に記録された追加プログラム情報をインストール部 104により複製し記録されている。このプログラム蓄積部 101は、ハードディスクや不揮発性のメモリなど、機器の電源を切断してもその記録内容が保持される長期記憶装置で実現することができる。

[01 17] 図 10に示した構成では、可搬媒体 120に記録されたプログラム 121、およびこれに付加されたパーミッション情報 123は、機器 100のプログラム蓄積部 101に複製される。また、機器 130に記録された追加プログラム情報 131、およびこれに付加されたパーミッション情報 133は、機器 100のプログラム蓄積部 101に複製される。

プログラム実行部 107はプログラム 1 21を実行する。また、追加プログラム情報 131 にプログラムが含まれる場合、プログラム 107は追加プログラム情報 131も実行する。プログラム力 SJAVA (登録商標）によって提供される場合、プログラムの実行自体〖 A VA (登録商標)仮想マシンを使用することによって実現することができる。

[0118] インストール部 104は、可搬媒体 120のプログラム 121とパーミッション情報 123A をインストールする。つまり、可搬媒体 120の記憶媒体 IDと、プログラム 121とそのプログラム ID、および第 1のパーミッション情報 123Aとを読み込み、プログラム蓄積部 1 01に複製し、後述の拡張インストール情報テーブル 117のエントリにに複製したプログラムのファイル名等を記載する。

[0119] また、インストール部 104は、プログラム 121に関連付けられた、機器 130の追加プログラム情報 131の存在が確認されれば、第 2のパーミッション情報 133Bを含む追加プログラム情報 131をインストールする。つまり、機器 130を識別するための情報である機器 IDと、追加プログラム情報 131と、その追加プログラム情報 ID、およびプログラム 121に与えられる第 2のパーミッション情報 133Bとを読み込み、プログラム蓄積部 101に複製し、後述の拡張インストール情報テーブル 117のエントリに複製した追加プログラム情報の取得元の機器 ID等をプログラム 121のファイル名等に関連付けて記載する。

[0120] 読込部 105は、可搬媒体 120の記憶媒体 IDと、プログラム 121とそのプログラム ID 、および第 1のパーミッション情報 123Aとを読み込み、選択部 106に伝達する。また、読込部 105は、プログラム蓄積部 101を参照し、プログラム 121に関連付けられた追加プログラム情報 131が存在し、第 2のパーミッション情報 103Bが記録されているかどうかを確認する。記録されていれば、第 2のパーミッション情報を受け取り、選択部 106に伝達する。

[0121] 選択部 106は、以下の 2つに関して、機器のユーザに問い合わせを行ない、いずれかを選択する。

(選択 1)プログラム蓄積部 101にインストールされたプログラム 102を実行する力、または可搬媒体 120に記録されたプログラム 121を実行する力。

(選択 2)追加プログラム情報 116を使用して実行を行なうか否力。

[0122] 選択部 106は、問い合わせのとき、不図示の表示装置と、キーボードまたはマウス（不図示)とを使用する。

なお、この選択部 106は、明示的にユーザに問い合わせを行なわない実施形態になっていてもよい。機器 100には、デフォルトでどちらを選択するかが予め定義されていてもよい。いずれの選択を選ぶかユーザに問い合わせる処理を省略して、どちらを選択するかを切り替える別の手段を備える実施形態であってもよい。

[0123] ユーザへの問い合わせを行なわずに選択の切り替えを行う手段の実現例としては、例えば、プログラム実行部 107で実行されるプログラムに切り替えを行わせるという方法がある。すなわち、選択部 106は、選択の切り替えを行うための、プログラムから呼び出すことのできる API (アプリケーション ·プログラミング 'インタフェース）として実現される、という実施形態が考えられる。

[0124]

まず (選択 1)に関して、前者が選択された場合の動作について述べる。この場合、プログラム蓄積部 101にインストールされたプログラム 102を、選択部 106がプロダラム実行部 107の主メモリ（不図示）に書き込む。同時に、選択部 106は、後述の拡張インストール情報テーブル 117から、当該プログラムのプログラム IDを読み出し、それらを (選択 2)の選択結果の情報とともに、パーミッション設定部 108に通知する。

[0125] このとき、（選択 2)によって、追加プログラム情報 116を使用して実行を行なうことが指定されてヽた場合、選択部 106は追加プログラム情報 116もまたプログラム実行部 107の主メモリ（不図示）に書き込む。先の追加プログラム情報 131の説明で述べた通り、プログラム 102は、必ずしも全ての情報が主メモリ（不図示）に書き込まれる必要はなぐプログラム実行部 107で必要であるとされた部分が選択的に書き込まれればよい。

[0126] (選択 2)によって、追加プログラム情報 116を使用して実行を行なうことが指定されていない場合は、選択部 106は追加プログラム情報 116をプログラム実行部 107に書き込むことはしない。次に (選択 1)に関して、後者が選択された場合の動作について述べる。この場合、選択部 106は、読込部 105に可搬媒体 120からの読込を指示する。そして、可搬媒体 120に記録されたプログラム 121を読込部 105から受け取り、プログラム実行部 10 7の主メモリ（不図示）に書き込む。同時に、選択部 106はプログラム 121のプログラム IDを読み出し、それらを (選択 2)の選択結果の情報とともに、パーミッション設定部 1 08に通知する。

[0127] このとき、（選択 2)によって、追加プログラム情報 116を使用して実行を行なうことが指定されてヽた場合、選択部 106は追加プログラム情報 116もまたプログラム実行部 107の主メモリ（不図示）に書き込む。先の追加プログラム情報 131の説明で述べた通り、プログラム 121は、必ずしも全ての情報が主メモリ（不図示）に書き込まれる必要はなぐプログラム実行部 107で必要であるとされた部分が選択的に書き込まれればよい。

[0128] (選択 2)によって、追加プログラム情報 116を使用して実行を行なうことが指定されていない場合は、選択部 106は追加プログラム情報 116をプログラム実行部 107に書き込むことはしない。

プログラム実行部 107は、プログラムに付加されたパーミッション情報を解析し、プログラムの実行を適切に制御（コントロール)する。このための仕組みとして、 JAVA (登録商標)仮想マシンには、セキュリティマネージャとアクセスコントローラという機構が用意されている。

[0129] JAVA (登録商標)仮想マシンは、 JAVA (登録商標）プログラムに付随したパーミツシヨン情報を解析し、

[0130] パーミッション設定部 108は、 JAVA (登録商標)仮想マシンにて実現され、プロダラム実行部 107により実行されるプログラムのパーミッションの設定を行う。パーミツション設定部 108は、実行されるプログラムのプログラム IDと、上記選択部 106で行なわれた (選択 2)の選択結果の情報とを選択部 106から受けとる。

パーミッション設定部 108は、（選択 2)にて、追加プログラム情報 116を使用して実行が行なわれると選択された場合には、追加プログラム情報 116に含まれる第 2のパ一ミッション情報の設定を行なう。そうではない場合、すなわち（選択 2)にて、追加プログラム情報 116を使用して実行が行なわれなヽと選択された場合には、実行されるプログラムに付加された第 1のパーミッション情報の設定を行なう。

[0131] 機器リソース 110は、プログラム実行部 107がプログラムを実行することでアクセスが可能な、機器 100が有する各種のデバイスの機能、機器 100に格納されたデータへのアクセスの機能等として実現される。プログラム実行部 107が JAVA (登録商標）仮想マシンにて実現される場合、機器リソース 110へのアクセスは、 JAVA (登録商標)プログラム力呼び出される各種の JAVA (登録商標)ライブラリを備えることによつて実現でさる。

[0132] 機器リソース 110には、通信機能 111、入出力機能 112、ストレージアクセス機能 1 13があるが、もちろん他のものであっても良い。

なお、プログラム蓄積部 101に蓄積されるパーミッション情報は、セキュリティ上の観点から、本発明の装置以外の手段によって盗難や改変がされないような、耐タンパ性を保持して!/ヽることが望まヽ。

[0133] 次に、本実施の形態における動作について説明する。

図 12は、プログラムのインストールの処理の流れを示す図である。

プログラムのインストールは、可搬媒体 120が機器 101に挿入され、ユーザからインストールの指示があつたとき、インストール部 104によって実行される。例えば機器 10 0を使用するユーザに、プログラムを機器 100にインストールするか否かの問い合わせを行ない、その回答結果を得ることによって実現できる。もしくは、ユーザに問いあわせを行なう以外の実現方法としては、プログラム蓄積部 101が機器内の長期記憶装置の空き容量の情報を保持しており、プログラムを蓄積可能なだけの容量を保持していれば、自動的に複製の処理を行なうことにする、などの実現形態をとつても良い。

[0134] インストール部 104は、機器 100に挿入された可搬媒体 120に記録されたプロダラム 121を、プログラム蓄積部 101へ複製する（S1201)。

プログラム蓄積部 101は、機器の持つ長期記憶装置の使用可能な容量の情報を有している。例えば、長期記憶装置の空き容量が不足しているなど、複製処理の遂行に問題が発生した場合には、インストール不可として終了する。 [0135] なお、可搬媒体 120の記録が書き換え可能な場合には、プログラムの複製処理を行なうと同時に可搬媒体 120から元のプログラムの記録を消去する（プログラムを移動する）ようにしてちょい。

S1202では、拡張インストール情報テーブル 117を参照し、プログラム 121に対応するエントリが既に存在しているかどうかを確認する。ここで、既にエントリが存在している場合というのは、すなわちプログラム 121に関連付けられた追加プログラム情報が先にインストールされて、る状態のことを指して、る。

[0136] S1202でエントリが存在していないと確認された場合は、 S1203の処理を行なう。

S1203は、複製されたプログラムに関する管理情報であるインストール情報を新たに作成し、エントリとして追加する。ここで作成されるインストール情報は、プログラムのフアイル名、当該プログラムの第 1のパーミッション情報、プログラム ID、可搬媒体 ID ( 本実施の形態では任意)等である。それぞれの情報の詳細につ!、ては拡張インストール情報テーブル 117の説明にて後述する。

[0137] S1202でエントリが既に存在すると確認された場合には、 S1204の処理を行なう。

S1204は、複製されたプログラムに関する管理情報であるインストール情報を、既に存在する対応するエントリに追記する。

図 13は、追加プログラム情報のインストールの処理の流れを示す図である。

追加プログラム情報のインストールは、機器 100と機器 130が接続され、ユーザからインストールの指示があつたとき、インストール部 104によって実行される。例えば機器 100を使用するユーザに、追加プログラム情報を機器 100にインストールする力否かの問い合わせを行ない、その回答結果を得ることによって実現できる。もしくは、ュ一ザに問いあわせを行う以外の実現方法としては、インストール部 104がプログラム蓄積部 101の長期記憶装置の空き容量の情報を保持しており、プログラムを蓄積可能なだけの容量を保持していれば、自動的に複製の処理を行なうことにする、などの実現形態をとつても良い。

[0138] インストール部 104は、機器 100と接続された機器 130に記録された追加プロダラム情報 131を、プログラム蓄積部 101へ複製する（S1301)。

インストール部 104は、機器の持つ長期記憶装置の使用可能な容量の情報を保持している。例えば、長期記憶装置の空き容量が不足しているなど、複製処理の遂行に問題が発生した場合には、インストール不可として終了する。

[0139] S1302では、拡張インストール情報テーブル 117を参照し、追加プログラム情報 13 1に関連付けられたプログラム 121に対応するエントリが既に存在しているかどうかを確認する。ここで、既にエントリが存在している場合というのは、すなわちプログラム 1 21が先にインストールされて、る状態のことを指して、る。

S 1302でエントリが存在して!/、な!/、と確認された場合は、 S 1303の処理を行なう。 S1303は、追加プログラム情報に関する管理情報であるインストール情報を新た〖こ作成し、エントリとして追加する。ここで作成されるインストール情報は、追加プロダラム情報、当該プログラムの第 2のパーミッション情報、追加プログラム情報 ID、機器 ID 等である。それぞれの情報の詳細につ!、ては拡張インストール情報テーブル 117の説明にて後述する。

[0140] S1302でエントリが既に存在すると確認された場合には、 S1304の処理を行なう。

S1304は、追加プログラム情報に関する管理情報であるインストール情報を、既に存在する対応するエントリに追記する。

拡張インストール情報テーブル 117の一例を図 11に示す。

拡張インストール情報テーブル 117には、プログラム 1171、第 1のパーミッション情報 1172、第 2のノーミッション情報 1173、プログラム ID1174、可搬媒体 ID1175、追加プログラム情報 1176、追加プログラム情報 ID1177、機器 ID1178の各項目欄が設けられている。

[0141] プログラム欄 1171のエントリには、対象となるプログラムを特定するための情報が記載される。例えば、プログラム蓄積部 101内のファイルシステムにおけるファイル名が記載される。

第 1のパーミッション情報と第 2のパーミッション情報の各項目欄のエントリには、プログラムに対応したパーミッション情報を特定するための情報が記載される。例えば、プログラム蓄積部 101内のファイルシステムにおけるパーミッション情報のファイル名が記載される。

[0142] 例えば、第 1のパーミッション情報 1172のパーミッションファィル" 1"0_§1八. 'は、 " diskonly"と、う識別情報を付加されており、追加プログラム情報 116を使用せずにプログラムを実行する場合に使用される。また、例えば、第 2のパーミッション情報 11 73のパーミッションファイル" proglB.prf"は、 "addition"という識別情報を付カ卩されており、追加プログラム情報 116を使用してプログラムを実行する場合に使用される。

[0143] プログラム ID欄 1174のエントリには、可搬媒体 120上でプログラム 121を識別するための識別情報が記録される。このプログラム IDの情報は、可搬媒体 120からプログラム蓄積部 101にプログラム力インストールされる際に記録される場合と、追加プログラム情報 131が関連付けられたプログラムの情報として保持して、て、追加プロダラム情報 131がプログラム蓄積部 101にインストールされる際に記録される場合とがある。

[0144] 可搬媒体 ID欄 1175のエントリには、複製元となった可搬媒体 120を識別するための識別情報が記録される。例えば可搬媒体 120が個々に有するシリアルナンバーがここ〖こ記録される。可搬媒体 ID欄は、本実施の形態においては存在していなくともよい。

追加プログラム情報欄 1176のエントリには、対象となる追加プログラム情報を特定するための情報が記載される。例えば、プログラム蓄積部 101のファイルシステムにおけるファイル名が記載される。

[0145] 追加プログラム情報 ID欄 1177のエントリには、追加プログラム情報を識別するための情報が記録される。追加プログラム情報 ID欄は、実施の形態によっては存在していなくともよい。

機器 ID欄 1178のエントリには、複製元となった機器 130を識別するための識別情報が記録される。例えば機器 130が個々に有するシリアルナンバー、 IPアドレスや U RLなど、データ通信にお、て機器を特定するための位置情報などが識別情報として使用できる。機器 ID欄は、実施の形態によっては存在していなくともよい。

[0146] 次に、プログラムの起動の動作について、図 14を参照して述べる。

選択部 106は、追加プログラム情報を使用してプログラムを起動する力否かをユーザに対して問い合わせを行なう（S1401)。また、プログラム蓄積部 101にインスト一ルされたプログラムまたは可搬媒体 120に記録されたプログラムのいずれのプロダラムを実行するかをユーザに対して問い合わせを行なう（S1405)。これらの結果を用いて、プログラムの起動の処理は行なわれる。

[0147] パーミッション設定部 108は、 S1401で、追加プログラム情報を使用してプログラムを起動すると選択された場合、プログラムを実行させる際のパーミッション情報として、第 2のパーミッション情報を設定する（S1402)。さらに、選択部 106は、プログラム蓄積部の追加プログラム情報を読み出し、プログラム実行部の主メモリに書き込む。

[0148] ここで、追加プログラム情報 116を使用して、機能の追カ卩 ·更新が行なわれたプログラム 121またはプログラム 102を起動するための実現形態について記載する。

プログラム実行部 107が JAVA (登録商標)仮想マシンにて実現されている場合、追加プログラム情報 116に相当する JAR形式のファイルと、プログラム 121またはプログラム 102に相当する JAR形式のファイルとが、 JAVA (登録商標)仮想マシンに書き込まれることによって、機能の追加'更新が行なわれたプログラムを動作させることができる。

[0149] 追加プログラム情報 116が別のプログラムを含んでおり、その別のプログラムが、プログラム 121またはプログラム 102の一部または全てに置き換えられる場合には、後に発生する、プログラム 121またはプログラム 102の主メモリへの書き込み（S1406又は S1407)において、これら全ての情報を書き込む必要はなぐプログラム 121またはプログラム 102の持つ一部の情報を書き込むだけで充分である場合もある。

[0150] この、置き換えられるファイルの検出を行なうために、選択部 106は、ファイル名を比較する機能と、ファイルのタイムスタンプを検出する機能を備える。

選択部 106は、追加プログラム情報 116の JARファイル中に含まれる全てのフアイル名と、プログラム 121 (プログラム 102)の JARファイル中に含まれる全てのファイル名の比較を行ない、同名のファイルを検出した場合には、それらのファイルのタイムスタンプの比較を行なう。その結果、より新しいファイルと思われるものだけをプログラム実行部 107の主メモリに書き込むことにし、古いと判断されたファイルは主メモリに書き込まない、という実装にすることができる。

[0151] また、プログラムと追加プログラム情報の主メモリへの書き込みのための正しい順序関係が規定されている場合がある。そのような場合のために、 S1403は S1406の後に行なわれる実現形態になってヽても良ヽ。

S1405では、プログラム蓄積部 101にインストールされたプログラム 121または可搬媒体 120に記録されたプログラム 102のいずれのプログラムを実行するかをユーザに問い合わせる。

[0152] 前者が選択された場合には、プログラム蓄積部 101にインストールされたプログラム 121の一部もしくは全ての情報がプログラム実行部 107の主メモリに書き込まれ、プログラムが起動される（S 1406)。

後者が選択された場合には、可搬媒体 120に記録されたプログラム 102の一部もしくは全ての情報がプログラム実行部 107の主メモリに書き込まれ、プログラムが起動される（S 1407)。

[0153] 以上がプログラム起動の際に行なわれる処理の流れである。

(実施の形態 4)

実施の形態 4の構成は、実施の形態 3と同様である。

本実施の形態のプログラムを説明する。

プログラムは、例えばユーザの入力を受け付けて遊ぶことができるゲーム等のァプリケーシヨンプログラムといったものがあるがこれに限定されるものではない。可搬媒体 120に記録されたプログラムは、第 1のパーミッション情報 123Aのみを保持する。このパーミッション情報は、以下の 2つの機能項目が設定されている。

[0154] (パーミッション項目 1)機器が有する長期記憶装置 (ストレージ)へのデータ (例えばゲームを行ったときの得点情報に関するデータなど)へのリード許可およびライト許可である。

(パーミッション項目 2)ゲームアプリケーションの作成者が運営するサーバの URL へのネットワークアクセス機能である。

[0155] 第 1のパーミッション情報は、（パーミッション項目 1)の機能の使用を禁止し、（パーミッション項目 2)の使用を許可しているものとする。本プログラムはプログラム実行環境を備えた、光ディスク再生機器上で動作させることができる。ここでは、プログラムは光ディスク再生機器のプログラム蓄積部 101にインストールされず、可搬媒体から直接プログラムの起動がされるものとする。 [0156] 一方、光ディスク再生機器と接続可能な、ゲームアプリケーションの作成者が設置するサーノくからは、追加プログラム情報が提供される。インストール部 104は、サーバ力も追加プログラム情報を取得し、プログラム蓄積部 101にインストールする。

追加プログラム情報には、上記プログラムの更新版、および、第 2のパーミッション情報が含まれるものとする。

[0157] また、第 2のパーミッション情報では、上記 2つのパーミッション項目の両方について、使用が許可されているものとする。

追加プログラム情報を使用して起動することが選択されなかった場合には、可搬媒体に記録されたプログラムのみがプログラム実行部に書き込まれる。この場合、プログラムの機能には第 1のパーミッション情報に定められた範囲で許可が与えられる。すなわち、（パーミッション項目 1)で定められた、機器が保持する長期記憶装置 (ストレージ)へのデータへのリード'ライトの動作を行うことができない。この場合、可搬媒体に記録されたプログラムとデータのみが用いられて、ネットワーク力も何ら情報を得て Vヽな、のと同じ状態でプログラムを動作させて、ることになる。

[0158] 追加プログラム情報を使用して起動することが選択された場合には、プログラム蓄積部 101にインストールされた追加プログラム情報、および、可搬媒体に記録されたプログラムがプログラム実行部に書き込まれる。

追加プログラム情報には、上記プログラムの更新版が含まれるため、ここでプロダラムの更新版と、元の可搬媒体に記録されたプログラムとが、同一のファイルや情報を有している場合が考えられる。ここでは両者の比較を行い、選択的に書き込みを行う処理にしても良、。すなわち追加プログラム情報と可搬媒体に記録されたプログラムとで、両方の全てのデータをプログラム実行部に書き込ませる必要はなぐ更新版のプログラムが有するファイルと重複して、るファイルなど、プログラムの実行に不要であると判断される部分は、部分的に書き込みを行わな、ようにしても良、。

[0159] この場合、プログラムの機能には第 2のパーミッション情報に定められた範囲で許可が与えられる。すなわち、（パーミッション項目 1)で定められた、機器が有する長期記憶装置 (ストレージ)へのデータへのリード'ライトの動作を行うことができるようになる。この場合、記録媒体に記録されたプログラムと、ネットワークを通じてサーノくから提供された追加プログラム情報のデータが用いられて、新たなプログラムを新たなパーミツシヨン情報の元で動作させることができるようになる。

産業上の利用可能性

本発明は、プログラムの動作を適切にコントロールすることにより、セキュリティにおけるアクセス保護'アクセス管理技術として利用することが可能である。プログラム (コンテンッ）の作成者が、ユーザのプログラムの取得経路に応じて適切な範囲のサービスを提供する著作権管理、著作物配信管理技術として応用することができる。

Claims

請求の範囲

[1] プログラムの実行時におけるリソースへのアクセス権限を示すパーミッション情報が付加されたプログラムを取得して実行するプログラム実行機器であって、

前記プログラムの取得経路に応じて、前記パーミッション情報に含まれる第 1のパーミッション情報又は第 1のパーミッション情報と異なる第 2のパーミッション情報を設定するパーミッション情報設定手段と、

前記パーミッション情報設定手段で設定された第 1又は第 2のパーミッション情報に従、、前記プログラムを実行する実行手段とを備えることを特徴とするプログラム実行機器。

[2] 前記プログラムを記録した可搬性記録媒体を装着する装着手段と、

装着された前記可搬性記録媒体に記録された前記プログラムと前記パーミッション情報とを複製して記憶するプログラム記憶手段とを更に備え、

前記パーミッション情報設定手段は、

前記プログラムの取得経路が前記装着手段に装着された可搬性記録媒体から前記プログラムを読み込むとき、前記第 1のパーミッション情報を設定する第 1設定部と前記プログラム記憶手段から前記プログラムを読み込むとき、前記第 2のパーミツシヨン情報を設定する第 2設定部とを有することを特徴とする請求項 1記載のプログラム実行機器。

[3] 前記可搬性記録媒体に記録されたパーミッション情報には、第 1のパーミッション情報と第 2のパーミッション情報とが含まれており、

前記記憶手段には、前記プログラムとともに第 1のパーミッション情報と第 2のパーミッシヨン情報とが記憶されており、

前記第 1設定部は、前記可搬性記録媒体に記録された第 1のパーミッション情報を設定し、

前記第 2設定部は、前記プログラム記憶手段に記録された第 2のパーミッション情報を設定することを特徴とする請求項 2記載のプログラム実行機器。

[4] 前記可搬性記録媒体に記録されたパーミッション情報には、第 1のパーミッション情報が含まれており、

第 1のパーミッション情報を変換ルールに従い第 2のパーミッション情報に変換する変換手段を更に備えることを特徴とする請求項 2記載のプログラム実行機器。

[5] 前記装着手段に装着された可搬性記録媒体を検出する検出手段を更に備え、前記パーミッション情報設定手段は、前記検出手段が可搬性記録媒体を検出しているときは、前記取得経路に拘らず、第 1のパーミッション情報を設定することを特徴とする請求項 2記載のプログラム実行機器。

[6] 前記プログラムに関連付けられた追加プログラム情報を取得する取得手段を更に備え、

前記追加プログラム情報は、前記プログラムの機能の追加または更新をするための追加プログラムと第 2のパーミッション情報とを含み、

前記パーミッション情報設定手段は、取得経路に前記取得手段を介するとき、第 2 のパーミッション情報を設定することを特徴とする請求項 1記載のプログラム実行機器

前記プログラムを記録した可搬性記録媒体を装着する装着手段と、

前記取得手段は、

外部のサーノから前記追加プログラム情報を通信回線を介してダウンロードするダゥンロード部と、

ダウンロードした追加プログラム情報を前記プログラム記憶手段に追加記憶させる追加部とを有することを特徴とする請求項 6記載のプログラム実行機器。プログラムの実行時におけるリソースへのアクセス権限を示すパーミッション情報が付加されたプログラムを取得して実行するプログラム実行機器のプログラム実行方法であって、

前記プログラムの取得経路に応じて、前記パーミッション情報に含まれる第 1のパーミッション情報又は第 1のパーミッション情報と異なる第 2のパーミッション情報を設定するパーミッション情報設定ステップと、

前記パーミッション情報設定ステップで設定された第 1又は第 2のパーミッション情報に従、、前記プログラムを実行する実行ステップとを有することを特徴とするプログラム実行機器のプログラム実行方法。