WO2006009081A1

WO2006009081A1 - アプリケーション実行装置及びアプリケーション実行装置のアプリケーション実行方法

Info

Publication number: WO2006009081A1
Application number: PCT/JP2005/013069
Authority: WO
Inventors: Tomonori Nakamura
Original assignee: Matsushita Electric Industrial Co., Ltd.
Priority date: 2004-07-16
Filing date: 2005-07-14
Publication date: 2006-01-26
Also published as: JPWO2006009081A1; US20070271446A1; CN101014959A; CN100465982C

Abstract

　従来のアプリケーション保護技術では、アプリケーションを複雑化することで、アプリケーションの解析を困難にしていた。しかし、この方法ではアプリケーションをどれだけ複雑化しても、時間をかけることで解析が可能であった。また、アプリケーションそのものを不正コピーから防ぐことはできない。安全な実行部で動作するメタ情報管理部は、アプリケーションのメタ情報をデバッガからアクセスすることができない領域へ記憶させ、通常の実行部でアプリケーション実行時のためメタ情報が必要になった時に、メタ情報を使い所定の計算をした結果を通常の実行部へ通知することで、アプリケーションのメタ情報を秘匿する。

Description

明細書

アプリケーション実行装置及びアプリケーション実行装置のアプリケーション実行方法

技術分野

[0001] 本発明は、アプリケーションプログラム (特に Java (登録商標）言語で記述されたプログラム）を実行するアプリケーション実行装置に関し、インターネットや DVD等の外部のメディア力ダウンロードしたアプリケーションを実行する時に、アプリケーションが不正に盗聴、改竄されることを防止する技術に関する。

背景技術

[0002] 従来のデジタル TVや携帯電話などの電子機器では、 Java (登録商標）言語で記述されたアプリケーションプログラムをダウンロードし、実行する機能を搭載するものが増加している。たとえば携帯電話では、 NTT DoCoMoが iアプリ（登録商標）と呼ばれるサービスを提供している。このサービスは、携帯電話端末力 Sインターネット上にあるアプリケーション配信サーバから Java (登録商標）プログラムをダウンロードして、端末上で実行する。

[0003] また、欧州では、 DVB— MHP (Digital Video Broadcasting - Multimedia Home Platform)と呼ばれる仕様が策定され、既に仕様に準拠した運用が開始されている。 DVB— MHP規格に基づくデジタル放送では、放送波に多重化され^ Ja va (登録商標）プログラムをデジタル TVが受信し、それを実行する。

[0004] このようなアプリケーションプログラム配信サービスにおいて、配信されるアプリケーシヨンプログラムはそのアプリケーションプログラムの開発者の知的財産権で保護されており、これを悪意のある攻撃者が盗聴することは防がなくてはならない。また、悪意のある攻撃者により改ざんされたアプリケーションプログラムが、利用者やアプリ製作者の意図しな!、動作をすることを防がなくてはならな!、。

[0005] 近年の電子機器は、多数のソフトウェアモジュール力も構成されている。専門的な知識を有する者であれば、これらのソフトウェアモジュールのバグを悪用することで電子機器内のソフトウェアを改ざんすることも可能である。また、デバッガや ICE (In— C ircuit Emulator)等のツールを用いることでも同様のことは実現可能である。そのため、たとえ «J_aVa (登録商標)プログラムに著作権管理機能や課金機能が含まれる場合には、これらの機能を無効化できてしまうという問題が発生する。今後、インターネット等を利用し^ Java (登録商標）アプリケーションプログラムの配信ビジネスが本格化するに従い、このようなアプリケーションプログラムの盗聴、改ざんの問題が深刻化すると予想される。

[0006] 従来、ソフトウェアモジュールのバグの悪用や、デバッガ、 ICEなどのツールによつてメモリ上のプログラムを解析、改ざんすることを防ぐために、元のプログラムに対し、複雑化と暗号化とヽぅ方法が用いられてヽる。

複雑化とは、処理の分割、出現順序の交換、条件の挿入などの処理を施すことにより、元のプログラムと動作は同じであるが、より複雑なプログラムへと変換し、プロダラム自体を複雑にするという手法であり、暗号化とは、プログラムを暗号ィ匕しておき、実行時にだけ復号する方法である。

特許文献 1 :特表 2002— 514333

発明の開示

発明が解決しょうとする課題

[0007] しかし、複雑化の方法は、どれだけ複雑な変換を施したとしても、時間を力けて解析することでいっかは解析されてしまう。プログラムの金銭的価値が高くなれば、いかに複雑なプログラムであってもそれを解析するためのコストを負担する者が現れるのは必然である。

また、暗号ィ匕の方法は、プログラムの実行中は復号されているので、その間に解析、盗聴されてしまう可能性がある。

[0008] 本発明は、上記の問題を解決するもので、ソフトウェアモジュールのバグの悪用や

、専門的なツールによるアプリケーションプログラムの盗聴、改ざんを防止するアプリケーシヨン実行装置を提供することを目的とする。課題を解決するための手段

[0009] 上記課題を解決するため、本発明は、取得したアプリケーションをクラス単位で実行するアプリケーション実行装置であって、クラスファイルに含まれるメタ情報を記憶するメタ情報記憶手段と、クラスファイルに含まれる命令列を記憶する命令列記憶手段と、参照すべき情報のない命令を実行し、参照すべき第 1情報があるとき要求し、通知された第 2情報を用いて命令を実行する命令実行手段と、前記命令実行手段の要求に応じて前記メタ情報から第 2情報を生成し、前記命令実行手段に通知するメタ情報実行手段とを備え、前記メタ情報記憶手段に記憶されたメタ情報は、前記メタ情報実行手段だけが読み出すことができ、前記メタ情報実行手段は、前記命令実行手段の要求だけを受け付けることとして、る。

発明の効果

[0010] 上記構成により、アプリケーションの命令を実行する命令実行手段は、参照すべき情報があるとき、メタ情報実行手段に指示して、必要とする第 2情報が通知されるので、例えばデバッガを用いて命令実行手段を盗聴したとしても、メタ情報記憶手段に記憶されているメタ情報そのものは見ることが出来ない。したがって、命令実行手段で命令列が盗聴、改ざんされたとしても、アプリケーションの解析は困難であり、盗聴、改ざんを防止することができる。

[0011] また、前記メタ情報記憶手段は、インデックスとコンスタントプールの型とその値とを記載したコンスタントプールと、項目とその値とを記載したクラス構造情報とを記憶し、前記命令列記憶手段は、クラスで定義されているメソッドのバイトコードを記憶し、前記メタ情報実行手段は、前記命令実行手段がバイトコードに第 1情報であるコンスタントプールのインテックスが指定されて、る命令を実行するとき、その命令の種類に応じて前記コンスタントプールとクラス構造情報とを参照して第 2情報を生成することとしている。

[0012] これにより、アプリケーションの実行時においても、アプリケーションが不正に解析、改ざんされることを防ぐことができ、保護強度が向上する。

また、前記命令実行手段が実行するバイトコードが新、オブジェクトの生成であるとき、前記メタ情報実行手段は、指定されたインデックスに対応するコンスタントブールの型を前記コンスタントプール力検索し、前記クラス構造情報を参照して、メモリサイズを生成することとして、る。

[0013] これにより、命令実行手段はオブジェクトのサイズを得る力オブジェクトのサイズの計算の元になつた、当該クラスが宣言するメタ情報のフィールドの数と型記述子は命令実行手段には見えない。

また、前記命令実行手段が実行するバイトコード力メソッドの呼び出しであるとき、前記メタ情報実行手段は、指定されたインデックスに対応するコンスタントプールの型を前記コンスタントプールカゝら検索し、前記クラス構造情報を参照して前記メソッドのァドレスを生成することとして、る。

[0014] これにより、命令実行手段はメソッドのアドレスを得る力当該アドレスを得るのに必要なメタ情報は命令実行手段には見えな、。

また、前記命令実行手段が実行するバイトコードがオブジェクトのフィールド参照であるとき、前記メタ情報実行手段は、指定されたインデックスに対応するコンスタントプ一ルの型を前記コンスタントプール力検索し、前記クラス構造情報を参照して、前記フィールドのアドレスを生成することとして、る。

[0015] これにより、命令実行手段はフィールドのアドレスを得るが、当該アドレスを得るのに必要なメタ情報は命令実行手段には見えな、。

また、前記取得されたアプリケーションは暗号ィ匕されており、前記暗号化されたアブリケーシヨンを復号し、復号された命令列を前記命令列記憶手段に記憶させ、復号されたメタ情報を前記メタ情報記憶手段に記憶させる復号手段を更に備えることとしている。

[0016] これにより、アプリケーションの復号時においてもアプリケーションのメタ情報を保護することができ、より保護強度が向上する。

また、前記復号手段は、外部から直接アクセスできない鍵記憶手段に記憶された復号鍵を用いて前記アプリケーションを復号することとして、る。

これにより、アプリケーションが不正に復号され、解析、改ざんされることを防ぐこと力 Sでき、保護強度が向上する。

[0017] また、前記アプリケーションは、 Java (登録商標）アプリケーションであることとしている。

これにより、 Java (登録商標）アプリケーションが不正に盗聴、改ざんされることを防ぐことができる。また、本発明は、取得したアプリケーションをクラス単位で実行するアプリケーション実行装置のアプリケーション実行方法であって、クラスファイルに含まれるメタ情報を記録するメタ情報記録ステップと、クラスファイルに含まれる命令列を記録する命令列記録ステップと、参照すべき情報のない命令を実行し、参照すべき第 1情報があるとき要求し、通知された第 2情報を用いて命令を実行する命令実行ステップと、前記命令実行ステップの要求に応じて前記メタ情報から第 2情報を生成し、前記命令実行ステツプに通知するメタ情報実行ステップとを有し、前記メタ情報記録ステップに記録されたメタ情報は、前記メタ情報実行ステップだけが読み出すことができ、前記メタ情報実行ステップは、前記命令実行ステップの要求だけを受け付けることとして、る。

[0018] 上記方法により、デバッガ等のツールによりアプリケーション実行時に、アプリケーシヨンの命令力 Sメモリ上で盗聴、改ざんされたとしても、デバッガ等からはアプリケーシヨンのメタ†青報にはアクセスできないので、アプリケーションとしての解析を困難にし、盗聴、改ざんを防止することができる。

図面の簡単な説明

[0019] [図 1]本発明に係るアプリケーション実行装置の実施の形態 1の構成図である。

[図 2]上記実施の形態の Java (登録商標)仮想マシンの構成を示す図である。

[図 3]上記実施の形態の Java (登録商標）クラスファイルの構造図である。

[図 4]上記実施の形態の第 1ROMに記憶されている情報の一例の構成図である。

[図 5]上記実施の形態のアプリ取得プログラムの構成の一例の構造図である。

[図 6]上記実施の形態のメタ情報の処理手順を示すフローチャートである。

[図 7]上記実施の形態の第 2ROMに記憶されている情報の一例の構成図である。

[図 8]上記実施の形態の Java (登録商標)仮想マシンをロードする処理手順を示すフローチャートである。

[図 9]上記実施の形態の復号の処理手順を示すフローチャートである。

[図 10]上記実施の形態のクラスをロードする処理手順を示すフローチャートである。

[図 11]上記実施の形態の Java (登録商標)クラスの一例を示す図である。

[図 12]上記実施の形態のコンスタントプールの一例を示す図である。

[図 13]上記実施の形態のクラス構造情報の一例を示す図である。 [図 14]上記実施の形態のノイトコードの一例を示す図である。

[図 15]上記実施の形態のノイトコードの new命令の処理手順を示すフローチャートである。

[図 16]上記実施の形態のクラス ID対応テーブルの一例を表す図である。

[図 17]上記実施の形態のクラス ID対応テーブルの別の一例を表す図である。

[図 18]上記実施の形態の invokespecial命令を実行する際のバイトコードインタプリタおよびメタ情報管理部のフローチャートである。

[図 19]上記実施の形態の getfield命令を実行する際のバイトコードインタプリタおよびメタ情報管理部のフローチャートである。

圆 20]本発明に係るアプリケーション実行装置の実施の形態 2の構成図である。圆 21]上記実施の形態の仮想マシンの構成を示す図である。

[図 22]上記実施の形態の第 1ROMに記憶されている情報の一例を示す図である。圆 23]上記実施の形態の Java (登録商標)仮想マシンをロードする処理手順を示すフローチャートである。符号の説明

100, 2000 ダウンロード可能なプログラム

110, 2010 アプリケーション実行装置

120, 2020 通常実行部

121, 2021 アプリ取得プログラム

122 Java (登録商標)仮想マシン

123, 2023 OS

124, 2024 第 1CPU

125, 2025 第 1RAM

126, 2026 第 1ROM

130, 2030 安全な実行部

131, 2031 メタ情報管理部

132, 2033 Java (登録商標）仮想マシンローダ

133, 2034 復号処理部 134, 2035 第 2CPU

135, 2036 第 2RAM

136, 2037 第 2ROM

201, 2101 バイトコードインタプリタ

202, 2106 クラスロータ"

203, 2107 ベリファイャ

204, 2103 Java (登録商標）ヒープ管理部

205， 2104 Java (登録商標)ネィティライブラリ

206, 2105 JITコンパイラ

300 クラスファイル

301 クラス構造情報

302 コンスントプーノレ

303 バイ卜コ^ ~"ド、

401 暗号化され ^Java (登録商標)仮想マシン

402 暗号ィ匕されたアプリ取得プログラム

403 暗号化されたメタ情報管理部

404 起動クラス名

501 暗号ィ匕されたサブクラス

701 復号鍵

1100 Java (登録商標）言語によるクラス定義ファイル

1600 クラス ID対応テーブル (例 1)

1700 クラス ID対応テーブル（例 2)

2022 第 ljava (登録商標)仮想マシン

2032 第 2Java (登録商標)仮想マシン

発明を実施するための最良の形態

本発明に係るアプリケーション実行装置の実施の形態を、図面を参照しながら説明する。

(実施の形態 1) 図 1は、本発明に係るアプリケーション実行装置の実施の形態 1の構成図である。ダウンロード可能なアプリケーションプログラム（以下、単に「アプリケーション」と、う

) 100は、アプリケーション実行装置 110からダウンロード可能なアプリケーションであり、本実施の形態においては、コンパイルされ、暗号化され^ Java (登録商標）アプリケーシヨンである。

[0022] アプリケーション実行装置 110は、通常実行部 120と安全な実行部 130とを備え、仮想線 140の上方のソフトウェアと下方のハードウェアとで構成される。アプリケーション実行装置 110は、たとえばデジタルテレビ、セットトップボックス、 DVDレコーダー、 Blu-ray Disc (BD)レコーダー、カーナビ端末、携帯電話、 PDAなどの、 Java (登録商標)仮想マシンを搭載する電子機器あるいは端末に摘用される。

[0023] 通常実行部 120は、ソフトウェアとして、アプリ取得プログラム 121、 Java (登録商標 )仮想マシン 122、 OS123と、ハードウェアとして、第 1CPU124、第 1RAM125、第 1ROM126と力も構成される。ここで、アプリ取得プログラム 121、 Java (登録商標）仮想マシン 122、 OS 123の並び順は、ソフトウェアの階層構成の上層力もの順を示し、これらのソフトウェアは第 1CPU124で動作する。

[0024] 通常実行部 120は、たとえば通常のパーソナルコンピュータやデジタル家電機器等に搭載されているプログラム実行手段と同様のものである。なお、請求の範囲では、通常実行部 120は、命令実行手段及び命令列記憶手段で構成される。

安全な実行部 130は、ソフトウェアとして、メタ情報管理部 131、 Java (登録商標)仮想マシンローダ 132、復号処理部 133と、ハードウェアとして、第 2CPU134、第 2R AM135、第 2ROM136とカゝら構成される。ここで、メタ情報管理部 131、 Java (登録商標）仮想マシンローダ 132、復号処理部 133の各ソフトウェアは、第 2CPU124で動作する。

[0025] 安全な実行部 130は、悪意のある第三者力もの攻撃を防御しつつ、安全にプログラムを実行させることができる。即ち、安全な実行部 130は、外部の装置から直接ァクセスされることが禁止され、第 1CPU124からの指示に応じて、第 2CPU134は必要な情報を第 1CPU124に通知する。なお、請求の範囲では、安全な実行部 130は、メタ情報実行手段及びメタ情報記憶手段並びに復号手段で構成される。 [0026] 先ず、通常実行部 120の各構成要素について説明する。

アプリ取得プログラム 121は、アプリケーション 100をアプリケーション実行装置 110 の外部から取得し、第 1RAM125に記憶させる。アプリ取得プログラム 121は、たとえば、インターネット上にあるサーバから、 TLS (Transport Layer Security)、 HT TP (Hyper Text Transfer Protocol)等のプロトコルに従い Java (登録商標）ァプリケーシヨン 100 (暗号化され、クラスファイル形式)をダウンロードする Java (登録商標）プログラムが相当する。

[0027] ここで、 TLSは暗号ィ匕により通信時のデータの盗聴、改ざんを防ぐデータ転送方式である。 TLSの詳細は RFC2246に記載されており、ここでは詳細な説明を省略するまた、 HTTPは、インターネット上のデータ通信で一般的に用いられているデータ転送方式である。 HTTPの詳細は RFC2616に記載されており、ここでは詳細な説明を省略する。

[0028] なお、アプリ取得プログラム 121は、デジタル放送のデータ放送として、 MPEG2トランスポートストリーム内に埋め込まれ^ Java (登録商標）アプリケーションをアプリケーシヨン実行装置 110に読み出す Java (登録商標）プログラムであってもよ!/、。 MPE G2トランスポートストリームの詳細は MPEG規格書 ISOZIEC138181— 1に記載されているので、その説明を省略する。 MPEG2トランスポートストリームに Java (登録商標）プログラムを埋め込む方法は、 DSMCC方式として、 MPEG規格書 ISO/I EC138181— 6に記述されている。ここでは DSMCCの詳細な説明は省略する。 D SMCC方式は、 MPEG2トランスポートストリームのパケットの中に、コンピュータで使用されているディレクトリやファイルで構成されるファイルシステムをエンコードする方法を規定している。

[0029] また、アプリ取得プログラム 121は、 SDカード、 CD— ROM、 DVD, BD— ROM等のリムーバブルメディアに記録され^ Java (登録商標）アプリケーションを、第 1RAM 125に書き込む Java (登録商標）プログラムであってもよ、。アプリ取得プログラム 12 1は OS 123が提供するファイル操作機能を用、て、これらのリムーバブルメディアに記録され^ Java (登録商標）アプリケーションを読み出す。 [0030] また、アプリ取得プログラム 121は、アプリケーション実行装置 110内にある第 1RO Mに記録され^ Java (登録商標）アプリケーションを、第 1RAM 125に書き込む Java (登録商標）プログラムであつてもよい。アプリ取得プログラム 121は OS 123が提供するファイル操作機能を用いて、第 1ROM126に記録され^ Java (登録商標）アプリケーシヨンを読み出す。

[0031] なお、本実施の形態ではアプリ取得プログラム 121は、 Java (登録商標）言語で記述され^ Java (登録商標)プログラムとしているが、同等の機能を有する、ネイティブ（実行装置固有)言語で記述されたプログラムで実現されて、てもよ、。

Java (登録商標)仮想マシン 122は、 Java (登録商標）言語で記述されたプログラムを逐次解析し実行する Java (登録商標)バーチャル (仮想)マシンである。 Java (登録商標）言語で記述されたプログラムはバイトコードと呼ばれる、ハードウェアに依存しない中間コードの命令列 (オペレーション）にコンパイルされる。 Java (登録商標)仮想マシン 122は、このバイトコードを解釈、実行するソフトウェアで実現される。また、一部の Java (登録商標)仮想マシン 122は、バイトコードを第 1CPU124が実行可能な実行形式に翻訳する JIT (Just In Time)コンパイラと呼ばれる機能を持つものもある。また、一部の Java (登録商標)仮想マシン 122は、一部のバイトコードを直接実行可能なプロセッサと、プロセッサでは直接実行できな、バイトコードを実行するインタプリタカ構成されることもある。なお、 Java (登録商標)言語の詳細は、書籍「Java (登録商標） Language Specification (ISBN 0— 201— 63451— 1)」等の多くの書籍で解説されているので、ここでは、その詳細を省略する。

[0032] Java (登録商標)仮想マシン 122は、複数のサブプログラム力も構成される。

図 2は、 Java (登録商標)仮想マシン 122を構成するサブプログラムの一例である。 Java (登録商標）仮想マシン 122は、図 2に示すように、バイトコードインタプリタ 201 、クラスローダ 202、ベリファイャ 203、 Java (登録商標）ヒープ管理部 204、 Java (登録商標)ネイティブライブラリ 205、 JITコンパイラ 206で構成されて、る。

[0033] ノイトコードインタプリタ 201は、クラスファイルに含まれるノイトコードを解釈、実行するサブプログラムで、 Java (登録商標）仮想マシン 122にお、て中核的な処理を行うサブプログラムである。詳細ついては後述する。クラスローダ 202は、アプリ取得プログラム 121が取得し^ Java (登録商標）アプリケーシヨン 100を、第 1RAM125から読み出し、 Java (登録商標）仮想マシン 122が実行できるアプリケーションに変換して再度第 1RAM125に書き込み、クラスを実行可能な状態にする。また、クラスローダ 202は、クラスアンロード処理も行う。クラスアン口ード処理とは、実行が終了し不要になったクラスを Java (登録商標)仮想マシン 122 力取り除く処理のことである。

[0034] ここで、クラスとは、 Java (登録商標）アプリケーションを構成する基本単位であり、書籍「Java (登録商標） Virtual Machine Specification (ISBN 0— 201— 6345 1一)」で定義されている。

図 3は、クラスに含まれる情報の概要を示した図である。

「Java (登録商標） Virtual Machine Specification」での規定では、クラスは図 3に示されていない情報もあるが、ここでは説明の簡単化のため本発明に関連のある項目のみ説明する。

[0035] クラス構造情報 301は、このクラスが保持するフィールド、メソッド、どのクラスを継承する力など、クラスの構造に関する情報を含んでいる。

コンスタントプール 302は、アプリケーション（クラス）で定義されて!、る定数（コンスタント）に関するデータをまとめた情報であり、クラスで定義しているまたはこのクラスから参照している他クラスのフィールド、メソッド、クラスの名前などの情報を含んでいる。クラス構造情報 301とコンスタントプール 302とを総称してクラスのメタ情報 (または、単にメタ情報）と呼ぶ。

[0036] バイトコード 303は、そのクラスにおいて実行されるメソッドの処理を、中間言語の命令の列として記述したものである。ノイトコード 303にはアプリケーションが処理するデータに関する情報は含まれな、。したがって、 Java (登録商標）アプリケーションの実行においては、バイトコード 303だけでは一般的に実行処理ができず、データ部分を定義したコンスタントプール 302があって始めて実行処理が可能となる。クラスに含まれる上記の各情報の例については、後述する。

[0037] 図 2に戻って、ベリファイャ 203は、クラスのデータ形式の不備や、クラスに含まれるノイトコードの安全性を判定する。ノイトコードの安全性の検査方法は、 Java (登録商標） Virtual Machine Specificationで定義されているため詳細な説明は省略する。

ベリファイャ 203が妥当ではないと判定されたクラスは、クラスローダ 202はロードをしない。

[0038] Java (登録商標）ヒープ管理部 204は、 Java (登録商標）ヒープと呼ばれる、 Java (登録商標）アプリケーションが使用するワーキングメモリの確保を行う。 Java (登録商標）ヒープは第 1RAM125内に確保される。また、 Java (登録商標）ヒープ管理部 204は、ガーベジコレクションも行う。ここで、ガーベジコレクションとは、アプリケーション実行において不要になったワーキングメモリを開放し、他の用途に再利用できるようにする公知の技術をいい、詳細な説明は省略する。

[0039] Java (登録商標)ネイティブライブラリ 205は、 Java (登録商標）アプリケーションから呼び出されるライブラリで、 OS123や、アプリケーション実行装置 110が備える図 1には記載されて、な、ノ、一ドウエア、サブプログラム等で提供される機能を、 Java (登録商標)アプリケーションへ提供する。

JITコンパイラ 206は、バイトコード 303を第 1CPU124もしくは第 2CPU134が理解可能な実行形式に翻訳する。

[0040] 以上で、図 2に基づく、 Java (登録商標)仮想マシン 122の概略の説明を終わる。

再び図 1に戻って、 OS123は、アプリケーション実行装置 110の電源が投入されると第 1CPU124が起動する基本ソフトウェアである。 OS123は、オペレーティングシステムの略であり、 Linuxがー例である。 OS 123は、プログラムを平行して実行するカーネル及び、ライブラリで構成される公知の技術の総称であり、詳細な説明は省略する。 OS 123 ίお ava (登録商標)仮想マシン 122をサブプログラムとして実行する。

[0041] 第 1CPU124は、 Java (登録商標）仮想マシン 122、 OS 123、アプリケーション取得プログラム 121、アプリケーション取得プログラム 121の実行で取得されたアプリケーシヨン 100の各プログラムに従い処理を実行する。

第 1RAM 125は、アプリケーション取得プログラム 121の実行で取得されたアプリケーシヨンプログラムをクラスファイルとして記憶し、復号され^ Java (登録商標)仮想マシン 122を記憶する。また、第 1CPU124が処理を行う際、一時的にデータを保存する。また、第 1CPU124から第 2CPU134に実行を依頼するときの、両 CPU間のデータの受け渡しに使用される。第 1RAM125は、たとえば、 SRAM, DRAM等の一次記憶からなる。

[0042] 第 1ROM126は、暗号ィ匕され ava (登録商標）仮想マシン 401などを記憶する。

第 1CPU124から指示されたデータやプログラムを記憶する。第 1ROM126は、具体的にはフラッシュメモリゃノヽードディスク等の不揮発性メモリからなる。

図 4は、第 1ROM126が記憶している内容の一例を示す図である。

第 1ROM126は、暗号ィ匕され ava (登録商標)仮想マシン 401、暗号化されたァプリ取得プログラム 402、暗号ィ匕されたメタ情報管理部 403、起動クラス名 404を含む。

[0043] 図 5は、アプリ取得プログラム 402の構成を示す図である。

アプリ取得プログラム 402は、サブクラス 501〜503などの複数のクラスから構成される。各サブクラスは暗号ィ匕されている。

起動クラス名 404は、 Java (登録商標)仮想マシン 122が起動した際に最初に実行するプログラムであるクラスの名前である。本実施の形態では暗号ィ匕起動クラス名 40 4にはサブクラス 501が指定されているものとする。なお、第 1ROM126は図 4に示した以外のデータを記憶して、てもよ、。

[0044] 次に、安全な実行部 130の各構成要素について説明する。

メタ情報管理部 131は、 Java (登録商標)仮想マシン 122にロードされているクラスに含まれるメタ情報を管理し、バイトコードインタプリタ 201の要求によりその情報を参照処理し、その結果を提供するプログラムである。メタ情報管理部 131については後に詳細に説明をする。

[0045] Java (登録商標)仮想マシンローダ 132は、アプリケーション実行装置 110の電源投入後に、第 1CPU124が Java (登録商標)仮想マシン 122を実行可能な状態にするための処理を行う。 Java (登録商標）仮想マシンローダ 132については後に詳細に説明をする。

復号処理部 133は、第 1RAM 125もしくは第 1ROM 126が記憶する暗号化された情報 (アプリケーション、 Java (登録商標)仮想マシン 122等)を復号し、第 1RAM12 5へ復号結果を書き出すプログラムである。暗号ィ匕のためのアルゴリズムは任意の暗号アルゴリズムを用いることが可能である。

[0046] 上記の復号のための鍵は、第 2ROM 136に記憶されている復号鍵 701を使用する第 2CPU134は、メタ情報管理部 131、 Java (登録商標)仮想マシンローダ 132、復号処理部 133の各プログラムに従い処理を実行する。

第 2RAM135は、後述のクラス構造情報 301、コンスタントプール 302およびクラス ID対応テーブルを記憶する。また、第 2CPU134が処理を行う際、一時的にデータを保存するために使用される。

[0047] 第 2RAM135は、たとえば、 DRAMや SRAM等で構成され第 2CPU 134からのみアクセスが可能であり、第 1CPU 124から第 2RAM 135に記憶された情報を読むことも書くこともできない。なお、第 2RAM135は CPU134に混載されていてもよい。通常実行部 120で動作するプログラム、たとえ «J_ava (登録商標)仮想マシン 122と安全な実行部 130で動作するプログラム、たとえばメタ情報管理部 131は、共同して動作するため、両者の間で情報の交換が必要となる。

[0048] 図 6は、 Java (登録商標)仮想マシン 122が、たとえばメタ情報管理部 131に処理を指示するときのフローチャートである。

図 6において、 Java (登録商標)仮想マシン 122は、メタ情報管理部 131に渡す情報を、第 1RAM125の所定のアドレスへ記憶させる（S601)。次に、 Java (登録商標 )仮想マシン 122は、第 1CPU124を通じて第 2CPU134へ、メタ情報管理部 131の実行を指示する（S602)。メタ情報管理部 131は、第 1RAM 125の所定のアドレスから、 Java (登録商標）仮想マシン 122が S601で記憶されたデータを読み出し（S603 )、そのデータを用いて所定の処理を行う（S604)。

[0049] 次に、メタ情報管理部 131は、 S604で得られた処理結果を第 1RAM125の所定のアドレスへ書きこむ（S605)。次に、メタ情報管理部 131は、第 2CPU134を通じて第 1CPU124へ Java (登録商標)仮想マシン 122の実行を指示する（S606)。次に、 Java (登録商標)仮想マシン 122は第 1RAM125の所定のアドレスから、メタ情報管理部 131が S604で行なった処理の結果を読みだす。 [0050] 以上のように実行することで、第 1CPU124からは直接参照することができない情報に基づく処理を、安全な実行部 130内で動作するプログラムに指示して情報を受け渡しでさる。

第 2ROM136は、読み出し専用の不揮発性メモリからなり、第 2CPU134以外からは第 2ROM136が記憶する情報を読みだすことが出来ないことを保証する。

[0051] 図 7は、第 2ROM136が記憶する情報の一例を示す図である。

図 7の第 2ROM 136には、第 1ROM 126が記憶する Java (登録商標）仮想マシン 4 01,アプリ取得プログラム 402に含まれるサブクラス 501〜503を復号するための復号鍵 701を記憶している。本実施の形態では、 Java (登録商標)仮想マシン 401、ァプリ取得プログラム 402、起動クラス名 404を復号する鍵は、復号鍵 701—つのみとしているが、それぞれに別々の鍵を用いても本発明は実施可能である。なお、第 2R OM136は図 7に示されて!/ヽな、別のデータを記憶して、てもよ！/、。

[0052] また、復号鍵 701は、アプリ取得プログラム 121で取得された暗号ィ匕されたアプリケーシヨン 100の復号のための暗号ィ匕された復号鍵を復号するために用いられる。ァプリケーシヨン 100の復号された復号鍵も第 2ROM136に記憶される。

なお、本実施の形態では、アプリケーション実行装置 110は二つの CPUを備えているが、一つの CPUが動作モードを切り替えるなどの方法で仮想的に二つの CPU のように振舞ってもよい。動作モードを変えることが可能な CPUには、たとえば Intel 社の LaGrandeがある。この CPUは通常モードとセキュアモードと呼ばれる 2つの動作モードを持つ。通常モード側で動作するプログラムからは、セキュアモード上で動くプログラムを盗聴、改ざんすることができないように構成されている。同様の機能を持つた CPUは ARM社や AMD社からも発表されて!、る。

[0053] なお、本実施の形態では、メタ情報管理部 131、 Java (登録商標)仮想マシンローダ 132、復号処理部 133は第 2CPU134で実行されるプログラムとしている力 LSI でこれらの機能を実現してもよ、。

また、第 1RAM125、第 2RAM135は、一つの RAMを仮想的に 2つの RAMとして扱ったものとしてもよぐまた、第 lROM126、第 2ROM136は一つの ROMを仮想的に 2つの ROMとして扱ったものとしてもよい。 [0054] また、安全な実行部 130全体、もしくは一部をノヽードウエアにより実現してもよい。この場合、第 1CPU124と第 2CPU134間のデータ通信は暗号ィ匕して行い、第三者による盗聴を防ぐ。これは両 CPUを結ぶデータバス（図示されていない）にデータを送信する際に暗号化し、データを受信後に復号することで行われる。

また、安全な実行部 130は、スマートカードや ICカードのように、アプリケーション実行装置 110から取り外し可能な装置であってもよい。スマートカード、 ICカードはカード内部に CPUやメモリ、セキュリティ回路を含む公知の技術であり、詳細な説明を省略する。この場合、通常実行部 120と安全な実行部 130間のデータ転送は、 SAC (S ecure Authenticated Channel)等の技術を用いて、第三者による盗聴を防ぎな力行うようにする。 SACは ICカードと外部機器の相互認証、および暗号鍵の共有を安全に行うための公知の技術である。

[0055] また、安全な実行部 130のソフトウェアは、耐タンパソフトウェア技術により保護されたソフトウェアであってもよい。

次に、アプリケーション実行装置 110が Java (登録商標）アプリケーションを盗聴、改ざん力保護しながら実行する方法について説明する。

Java (登録商標)アプリケーション実行装置 110の電源が投入されると、第 1CPU1 24は、 OS123を起動する。 OS123は起動後、第 1CPU124を通じて第 2CPU134 に対し、 Java (登録商標)仮想マシンローダ 132をロードするよう指示する。第 2CPU 134によって起動され^ Java (登録商標)仮想マシンローダ 132は、一定の手順で Ja va (登録商標)仮想マシン 122を第 1RAM 125へ、メタ情報管理部 131を第 2RAM 135へロードする。

[0056] 図 8は、 Java (登録商標)仮想マシン 122およびメタ情報管理部 131をロードする手順を示した図である。

図 8において、 S801で、 Java (登録商標）仮想マシンローダ 132は復号処理部 133 を使、、第 IROM 126に記憶され^ Java (登録商標）仮想マシン 401を第 1RAM 12 5へ復号する。

[0057] 図 9は、復号処理部 133が、暗号ィ匕され^ Java (登録商標)仮想マシン 401を復号する際の処理手順を示す図である。図 9において、復号処理部 133は、第 1ROM126が記憶する暗号ィ匕され^ Java ( 登録商標)仮想マシン 401を、第 2CPU133を通じて読み出す (S901)。

復号処理部 133は、第 2ROM136から復号鍵 701を取得し（S902)、Java (登録商標)仮想マシン 401の復号結果の出力先を判定する。 (S903)出力先が第 1RAM のとき、復号され^ Java (登録商標)仮想マシン 122を、第 2CPU134を通じて第 1R AM125に（S904)、また、出力先が第 2RAMのとき、第 2RAM135に記憶させる（ S905)。

[0058] 図 8に戻って、 Java (登録商標)仮想マシンローダ 132は、復号処理部 133に指示して、第 1ROM 126に記憶されたメタ情報管理部 404を、第 2RAM135へ復号する (S802)。 Java (登録商標）仮想マシンローダ 132は、 OS 123へロードの完了を通知する。（S803)

OS 123は、 Java (登録商標）仮想マシンローダ 132からロード完了通知を受け、 Jav a (登録商標)仮想マシン 122の実行を開始する。 Java (登録商標)仮想マシン 122の実行が開始されると、クラスローダ 202が呼び出され、クラスローダ 202は、図 4で示す第 1ROM 126に記憶されて、る起動クラス名 404を参照し、起動クラス名 404で指定されたクラスをロードする。

[0059] 図 10は、起動クラス名 404として、図 5のアプリ取得プログラム 402のサブクラス 501 が指定されていたときを例に、クラスローダ 202がサブクラス 501をロードする処理手順を示したフローチャートである。

まず、クラスローダ 202は、復号処理部 133に指示し、第 1ROM126に記憶されている暗号化されたサブクラス 501の復号処理を行わせる（S 1001)。次に、ベリファイャ 203に指示し、第 1RAM125の復号されたサブクラスをべリファイさせる（S1002) 。クラスローダ 202は、第 1RAM125の復号されたサブクラスからメタ情報 (クラス構造情報 301、コンスタントプール 302)を抽出し (S1003)、抽出後はサブクラスからメタ情報を削除して、当該メタ情報を第 1RAM125に書き出し、メタ情報管理部 131を呼び出す (S1004)。メタ情報管理部 131は、第 1RAM125からメタ情報を読み取り、第 2RAM135へコピーする。クラスローダ 202は、メタ情報管理部 131によるメタ情報のコピーが終わると、第 1RAM125から当該メタ情報を削除する（S1005)。 [0060] 以上のようにして、クラスローダ 202は、アプリ取得プログラムだけではなぐアプリ取得プログラム 121で取得されたアプリケーションのクラスについても同様な処理を行い、クラスのメタ情報を、安全な第 2RAM135へのみ記憶させる。

上記のように構成することにより、アプリケーションの実行時に、クラスのメタ情報はデバッガ等では読み出すことも書き込むこともできない領域へ記憶することができる。

[0061] 次に、バイトコードインタプリタ 201、メタ情報管理部 131が、クラスを盗聴、改ざん力も保護しながら実行する処理の例について説明する。なお、クラスの構造やバイトコードインタプリタ 201の動作は「Java (登録商標） Virtual Machine Specificat ion」で詳細に説明されているため、本実施の形態に関連の深い箇所のみを簡単に説明する。

[0062] 図 11 ίお ava (登録商標）言語により記述されたクラスファイルの一例を示す図であるクラス名 1101は、このクラスの名前であり、例ではクラスの名前は Sampleである。フィールド 1102は Sampleクラスが定義するフィールドである。フィールド 1102は、メソッド実行時の計算結果の値を記憶させる領域として使うことができる。メソッド 1103 およびメソッド 1104は、 Sampleクラスで定義されている 2つのメソッドである。ここで、メソッドとは、クラスの処理内容を定義したものである。

[0063] Java (登録商標）言語でクラスを定義したソ-スファイル 1100は、 Java (登録商標）コンノ《イラによりクラスファイル 300に変換される。変換されたクラスファイル 300は、クラス構造情報 301、コンスタントプール 302、バイトコード 303から構成される。

図 12は、クラス 1100がコンパイルされたときのクラスファイル 300のコンスタントプーノレ 302を示す図である。

[0064] 列 1201は、コンスタントプール 302のエントリ番号を示すインデックスであり、コンスタントプール 302の参照はインデックスで表現する。列 1202はコンスタントプールの型である。コンスタントプールは、記録する情報の種類に応じて型が決められている。列 1203はコンスタントプールの値である。

たとえば、インデックス 1は、インデックス 3のクラスで宣言されているクラスにおいて、インデックス 13の示すメソッドへの参照であることを意味する。インデックス 3は、 CO NSTANT— Classはクラスへの参照を表している。インデックス 3は、インデックス 15 の名前を持ったクラスへの参照であり、インデックス 15の CONSTANT— Utf 8は、クラス、メソッド、フィールドの名前を表している。インデックス 15の例ではクラスの名前は" Sample"である。インデックス 13の CONSTANT— NameAndTypeは、メソッドやフィールドの名前と型記述子の参照を表す。型記述子とは、フィールドの型や、メソッドの引数、戻り値の型を文字列で表現したものである。インデックス 13の例では、このコンスタントプール 302は名前がインデックス 8、型記述子がインデックス 18である。その値は、それぞれ "く init> "、，，（）V"である。つまり、インデックス 1のメソッド参照は、名前力 S "く init> "で型記述子が" 0V"であるメソッドへの参照になる。また、インデッタス 2の CONSTANT— FieldRefはこのコンスタントプール 302がフィールドへの参照であることを表している。インデックス 2は、クラス" Sample"で定義された、名前が" field"で、型記述子が "I "のフィールドを参照して!/、る。

[0065] 図 13は、クラス 1100のクラス構造情報 301の一部である。 this— class 1301はクラス 1100の名前への参照である。クラスの名前はコンスタントプール 302のインデックス 15に記録されている。 super— class 1302は、クラス 1100の親クラスである。 filed — countl303は、クラス 1100で定義されているフィールドの数を表す。フィールドは、メソッドの処理結果などを記憶させることができる領域である。フィールド情報 1304 は、クラス 1100で定義されているフィールドの名前、アクセス権などの情報が記録されている。 method— countl305は、クラス 1100で定義されているメソッドの数を表す。メソッド情報 1306は、クラス 1100で定義されているメソッドの名前、ノイトコードのアドレスなどが記録されて、る。

[0066] 図 14は、クラス 1100で定義されているメソッド 1104のバイトコード 303である。バイトコード 303力らは、コンスタントプール 302を使いクラス、フィールド、メソッドヘアクセスする。たとえば、命令 1401ではインデックス 3のコンスタントプール 302を参照している。

バイトコードインタプリタ 201は、バイトコード 303の実行時に、コンスタントプール 30 2を参照して!/、る命令、つまり図 14で #の記号によりコンスタントプール 302のインデックスを指定してヽる命令があると、メタ情報管理部 131にコンスタントプール解決処理を依頼し、コンスタントプール解決処理により得られた情報を用いて命令の処理をする。バイトコードインタプリタ 201は、コンスタントプール 302のインデックスを指定していない命令は独自に実行する。ここで、コンスタントプール解決処理とは、コンスタントプール 302において文字列で表現されているクラス、フィールド、メソッドが第 1R AM125内のどのアドレスに記憶されているかを調べる処理のことである。

[0067] 図 15は、図 14の命令 1401を実行する処理のフローチャートである。

図 15において、バイトコードインタプリタ 201は、命令 1401をフェッチする。命令 14 02は、コンスタントプール 302のインデックス 3の位置に記憶されているクラス型のォブジェクトを生成する命令である。コンスタントプール 302は、第 2RAM135が記憶しているため、バイトコードインタプリタ 201はコンスタントプール 302へアクセスできない。そのため、バイトコードインタプリタ 201はメタ情報管理部 131へ、命令 1401の内容を通知する。（S1501)。メタ情報管理部 131は、命令 1401を読み出し、命令 140 1が参照するインデックス 3で、第 2RAM135が記憶するコンスタントプール 302を検索する（S1502)。本実施の形態では、クラス名" Sample"が得られる。

[0068] 次に、メタ情報管理部 131は、 "Sample"クラスのクラス構造情報 301からオブジェタトのサイズを計算する。（S1503)。ここで、オブジェクトのサイズは、そのクラスが宣言するフィールドの数と型記述子力も計算される。たとえば" Sample"クラスの場合 in t型のフィールドを 1つ持っため、オブジェクトサイズは 4 (バイト）になる。

[0069] 次に、メタ情報管理部 131は" Sample"クラスを表すクラス IDを生成する（S1504) 。クラス IDは、生成されたオブジェクトがどのクラス力も生成されたのかを識別するために用いる情報である。クラス IDはたとえば 32ビットの整数値を用いて実現できる。メタ情報管理部 131は、クラス IDと、クラス名で代表するクラス構造情報 301との対応関係を、第 2RAM134が記憶するクラス ID対応テーブルに記憶させる。

[0070] 図 16は、クラス ID対応テーブルの一例を示す図である。列 1610はクラス名を表しており、列 1611はクラス IDを表している。たとえば行 1601の例では" Sample"のクラス名で代表するクラス構造情報 301は、クラス IDが 1と対応付けられて、ることを表している。

図 15に戻って、メタ情報管理部 131は、 S 1503で計算したオブジェクトサイズと、 S 1504で生成したクラス IDを第 1RAM 125へ記憶させ、バイトコードインタプリタ 201 へ通知する（S1505)。その後、バイトコードインタプリタ 201は通知されたォブジェクトサイズ分のメモリを確保し（S 1506)、オブジェクトヘッダに通知されたクラス IDを記録する（S1507)。ここで、オブジェクトヘッダは、オブジェクトに関する様々な情報を記録する領域である。

[0071] 以上の処理により、バイトコードインタプリタ 201は、メタ情報を知ることなぐ命令 14 01を実行することができる。この時、悪意のある第三者がコンスタントプール 302の内容の盗聴を試みても、コンスタントプール 302は第 2RAM135に記録されているため盗聴することができない。また、悪意のある第三者力 Sバイトコードインタプリタ 201とメタ情報管理部 131間の通信内容を盗聴したとしても、コンスタントプール 302のインデッタスと、確保すべきオブジェクトサイズが得られるだけであり、コンスタントプールの内容は漏洩しない。つまり、悪意のある第三者力コンスタントプール 302の内容を禾必匿することができる。

[0072] なお、クラス ID対応テーブル 1600において、クラス IDとクラス構造情報 301の対応は必ずしも 1対 1である必要はない。

図 17は、ひとつのクラス構造情報 301に対し複数のクラス IDが対応する例を示す図である。このように構成することにより、デバッガなどのツールが第 1RAM125を盗聴したときに、どのオブジェクトがどのクラスに対応するものか解析することが困難になる。

[0073] 続!、て、命令 1402〜命令 1403は、コンスタントプール 302への参照を含まな!/、ため、バイトコードインタプリタ 201はメタ情報管理部 131を呼び出すことなく命令を実行することができる。命令 1404は、コンスタントプール 302への参照を伴う命令である。命令 1404は、第 2RAM135が記憶するコンスタントプール 302のインデックス 2 の位置に記憶されているクラス名、メソッド名で表されるメソッドのバイトコードを呼び出す命令である。

[0074] 図 18は、バイトコードインタプリタ 201が、命令 1404を実行する処理のフローチヤートである。

バイトコードインタプリタ 201は、命令 1404をフェッチし、命令 1404の内容と、レシ一バオブジエタトのアドレスをメタ情報管理部 131へ通知する（S 1801)。

[0075] ここで、レシーバオブジェクトとは、メソッドを実行する対象のオブジェクトのことである。 Java (登録商標）言語では、メソッドの処理はレシーバオブジェクトが記憶するフィ一ルドを用いて行われる。メタ情報管理部 131は、レシーバオブジェクトのオブジェクトヘッダに記憶されているクラス IDを、第 2RAM 134が記憶するクラス ID対応テープル 1600から検索し、クラス IDに対応するクラス構造情報 301を検索する（S1802)。図 16に示すように、クラス IDは「1」であるので、図 13のクラス構造情報 301が検索される。

[0076] 次に、メタ情報管理部 131は、コンスタントプール 302からインデックス 4を検索し、メソッド名 "く init> "と型記述子" 0V"を得る（S1803)。次に、メタ情報管理部 131 は、 S1802で検索したクラス構造情報 301に含まれるメソッド情報 1306から、 S180 3で検索したメソッド名と型記述子を持つメソッドを検索し、そのバイトコードアドレスを得る（S1804)。次に、メタ情報管理部 131は、 S 1804で得たバイトコードアドレスをィンタプリタ 201へ通知する（S1805)。バイトコードインタプリタ 201は、メタ情報管理部 131から通知されたバイトコードアドレスを実行する（S1806)。

[0077] 以上の動作によりバイトコードインタプリタ 201は、メタ情報を知ることなく命令 1404 を実行することができる。この時、悪意のある第三者がコンスタントプール 302の内容の盗聴を試みても、コンスタントプール 302は第 2RAM135に記録されているため盗聴することができない。また、悪意のある第三者力 Sバイトコードインタプリタ 201とメタ情報管理部 131間の通信内容を盗聴したとしても、コンスタントプール 302のインデッタスと、次に実行すべきバイトコードアドレスが得られるだけであり、コンスタントプールの内容は漏洩しない。つまり、悪意のある第三者力コンスタントプール 302の内容を秘匿することができる。

[0078] 続!、て、命令 1405〜命令 1406は、コンスタントプール 302への参照を含まな!/、ため、バイトコードインタプリタ 201はメタ情報管理部 131を呼び出すことなく命令を実行することができる。

命令 1407は、コンスタントプール 302への参照を伴う命令である。命令 1407は、第 2RAM135が記憶するコンスタントプール 302のインデックス 2の位置に記憶されている、クラス名、フィールド名で表されるフィールドを読み出す命令である。コンスタントプール 302は、第 2RAM135が記憶しているため、バイトコードインタプリタ 201 はコンスタントプール 302へアクセスできない。図 19は、バイトコードインタプリタ 201 力命令 1407を実行する処理のフローチャートである。

[0079] ノイトコードインタプリタは命令 1407をフェッチすると、メタ情報管理部 131を呼び出し、命令 1407の内容と、命令 1407の実行直前の Java (登録商標)スタックの最上位にあるオブジェクトのアドレスを通知する（S1901)。

ここで、 Java (登録商標）スタックについては「Java (登録商標） Virtual Machine Specificationjを参照された!ヽ。

[0080] メタ情報管理部 131は、通知されたオブジェクトのオブジェクトヘッダに記憶されているクラス IDを、第 2RAM134が記憶するクラス ID対応テーブル 1600から検索し、クラス IDに対応するクラス構造情報 301を検索する。（S1902)本実施の形態では、クラス IDは「1」であるので、クラス構造情報 301が検索される。

次に、メタ情報管理部 131は、コンスタントプール 302からインデックス 2を検索し、フィールド名" field"と型記述子" I"を得る。（S1903)次に、メタ情報管理部 131は、 S 1902で検索したクラス構造情報 301に含まれるフィールド情報 1304から、 S 1903 で検索したフィールド名と型記述子を持つフィールドを検索し、そのフィールドのアドレスを得る。（S1904)次に、メタ情報管理部 131は、第 1RAM125へ、 S1904で得たフィールドアドレスを記憶させ、バイトコードインタプリタ 201へそのアドレスを通知する（S1905)。バイトコードインタプリタ 201は、メタ情報管理部 131から通知されたフィールドアドレスを読み取る（S 1906)。

[0081] 以上の動作により、バイトコードインタプリタ 201は、メタ情報を知ることなく命令 140 7を実行することができる。この時、悪意のある第三者がコンスタントプール 302の内容の盗聴を試みても、コンスタントプール 302は第 2RAM135に記録されているため盗聴することができない。また、悪意のある第三者力 Sバイトコードインタプリタ 201とメタ情報管理部 131間の通信内容を盗聴したとしても、コンスタントプール 302のインデッタスと、データを読み出すためのフィールドのアドレスが得られるだけであり、コンスタントプールの内容は漏洩しない。つまり、悪意のある第三者力コンスタントプール 302の内容を秘匿することができる。

[0082] 以上に説明したように、メタ情報 (クラス構造情報 301、コンスタントプール 302)はデバッガ力もアクセスすることができない第 2RAM 134のみが記憶するため、悪意のある第三者がデバッガなどのツールを使って Java (登録商標）アプリケーションの不正コピーを試みても、メタ情報が取得できない。また、 Java (登録商標）アプリケーションの実行時に、データの盗聴、改ざんを試みても、メタ情報を読み出すことができないため、どのメソッドやデータを盗聴、改ざんすればよいかが分力ず、攻撃が非常に困難になる。

[0083] なお、アプリ取得プログラム 121、 Java (登録商標）仮想マシン 122は、第 1CPU12 4で実行されるソフトウェアで実現されるとしたけれども、 LSI等のハードウェアで実現されてもょ、のは勿論である。

(実施の形態 2)

上記実施の形態 1では、クラスローダ 202やべリファイャ 203ίお ava (登録商標)仮想マシン 122のサブプログラムとして通常実行部 120で動作している。このため、図 1 0に示したクラスロード処理の S1001完了後から、 S 1005までの間にデバッガ等のッ一ルで第 1RAM 125を盗聴することで、メタ情報が漏洩する課題がある。本実施の形態 2では、クラスローダ 202、ベリファイャ 203を安全な実行部 130で動作させることによりこの課題を解決する。

[0084] 図 20は、実施の形態 2におけるアプリケーション実行装置の構成を示すブロック図である。

本実施の形態におけるアプリケーション実行装置 2010は、実施の形態 1におけるアプリケーション実行装置 110と比べ、第 ljava (登録商標)仮想マシン 2022、第 2Ja va (登録商標)仮想マシン 2032、復号処理部 2034が異なる。その他の構成要素については、実施の形態 1と同様であるため説明を省略する。

[0085] 図 21は、第 ljava (登録商標)仮想マシン 2022、第 2Java (登録商標)仮想マシン 2 032のサブプログラムの構成を示す図である。

クラスローダ 2106、ベリファイャ 2107は、安全な実行部 2030で実行するため第 2J ava (登録商標）仮想マシン 2032のサブプログラムとする。また、図 22に示すように、第 1ROM2026は、第 IJava (登録商標）仮想マシン 220 1、第 2Java (登録商標)仮想マシン 2202を記憶して、る。

[0086] 図 23は、 Java (登録商標)仮想マシンローダ 2033が、第 IJava (登録商標)仮想マシン 2022、第 2Java (登録商標）仮想マシン 2032をロードする処理手順を示すフロ一チャートである。

図 23の S2301で、 Java (登録商標）仮想マシンローダ 2033は、復号処理部 2034 へ、第 IJava (登録商標)仮想マシン 2201を復号し、結果を第 1RAM2036へ出力するよう指示する。

[0087] そして、 Java (登録商標)仮想マシンローダ 2033は、復号処理部 2034に対し、第 2 Java (登録商標)仮想マシン 2202を復号し、結果を第 2RAM2036へ出力するよう指示する（S2302)。最後に、 OS2023へロードの完了を通知する（S2303)。

以上で Java (登録商標)仮想マシンをロードすることができる。

[0088] クラスのロード処理は、クラスローダ 2106、ベリファイャ 2107の動作を安全な実行部 2010で実行すること以外は、実施の形態 1と同様のため説明を省略する。また、クラスの実行処理も、実施の形態 1と同様であるため説明を省略する。

以上のように構成することにより、クラスのロード処理の処理中のときでも、復号されたメタ情報のデバッガなどのツールによる盗聴、改ざんを防ぐことができる。

[0089] なお、実施の形態 1および実施の形態 2で ^Java (登録商標）アプリケーションを実行するアプリケーション実行装置を例に説明したが、本発明はメタ情報を持つ他の言語で記述されたアプリケーションにも適用が可能である。たとえば、 ECMAで標準化されている C #言語は、 CIL (Common Intermediate Language)と呼ばれる中間言語 (Java (登録商標）におけるバイトコードに相当）を CLI (Common Laguage

Infrastructure)と呼ばれる仮想マシン (Java (登録商標）における Java (登録商標 )仮想マシンに相当）が実行する方式をとる。 C #言語におけるメタ情報は ECMA— 355規格の Partition IIで定義されている。

[0090] なお、実施の形態 1、実施の形態 2では、クラスファイルに含まれるすべてのメタ情報を、第 2RAM135のみへ記憶させたが、一部のメタ情報を第 1RAM125へ記憶させてもよい。この場合、第 1RAM125へ記憶させた情報については、デバッガなどのツールにより解析される恐れがある力通常の実行部 120と安全な実行部 130とのィンタラクシヨンを削減できるため、より速くアプリケーションを実行できるようになる。

[0091] 一部のメタ情報だけでは完全なクラスを復元することはできないが、入手したメタ情報力他のメタ情報を推定することで完全なクラスを復元することができる可能性がある。どれだけのメタ情報を隠蔽すれば十分であるかは、実行プログラムに求められる保護要件に基づき決定すればょ、。

産業上の利用可能性

[0092] 本発明に係るアプリケーション実行装置は、アプリケーションの実行、解析に不可欠なメタ情報を、盗聴、改ざんが困難な安全実行部へと隠蔽することで、アプリケーシヨンを実行時の盗聴、改ざん力も保護することができ、アプリケーションのダウンロード配信ビジネスにぉヽて、コンテンツ作成者の権利を保護することができる。

Claims

請求の範囲

[1] 取得したアプリケーションをクラス単位で実行するアプリケーション実行装置であつて、

クラスファイルに含まれるメタ情報を記憶するメタ情報記憶手段と、

クラスファイルに含まれる命令列を記憶する命令列記憶手段と、

参照すべき情報のない命令を実行し、参照すべき第 1情報があるとき要求し、通知された第 2情報を用いて命令を実行する命令実行手段と、

前記命令実行手段の要求に応じて前記メタ情報から第 2情報を生成し、前記命令実行手段に通知するメタ情報実行手段とを備え、

前記メタ情報記憶手段に記憶されたメタ情報は、前記メタ情報実行手段だけが読み出すことができ、前記メタ情報実行手段は、前記命令実行手段の要求だけを受け付けることを特徴とするアプリケーション実行装置。

[2] 前記メタ情報記憶手段は、インデックスとコンスタントプールの型とその値とを記載したコンスタントプールと、項目とその値とを記載したクラス構造情報とを記憶し、前記命令列記憶手段は、クラスで定義されて、るメソッドのバイトコードを記憶し、前記メタ情報実行手段は、前記命令実行手段がバイトコードに第 1情報であるコンスタントプールのインテックスが指定されて、る命令を実行するとき、その命令の種類に応じて前記コンスタントプールとクラス構造情報とを参照して第 2情報を生成することを特徴とする請求項 1記載のアプリケーション実行装置。

[3] 前記命令実行手段が実行するバイトコードが新、オブジェクトの生成であるとき、前記メタ情報実行手段は、指定されたインデックスに対応するコンスタントプールの型を前記コンスタントプール力検索し、前記クラス構造情報を参照して、メモリサイズを生成することを特徴とする請求項 2記載のアプリケーション実行装置。

[4] 前記命令実行手段が実行するバイトコードがメソッドの呼び出しであるとき、

前記メタ情報実行手段は、指定されたインデックスに対応するコンスタントプールの型を前記コンスタントプール力検索し、前記クラス構造情報を参照して前記メソッドのアドレスを生成することを特徴とする請求項 2記載のアプリケーション実行装置。

[5] 前記命令実行手段が実行するバイトコードがオブジェクトのフィールド参照であるとさ、

前記メタ情報実行手段は、指定されたインデックスに対応するコンスタントプールの型を前記コンスタントプール力検索し、前記クラス構造情報を参照して、前記フィールドのアドレスを生成することを特徴とする請求項 2記載のアプリケーション実行装置

[6] 前記取得されたアプリケーションは暗号ィ匕されており、

前記暗号ィ匕されたアプリケーションを復号し、復号された命令列を前記命令列記憶手段に記憶させ、復号されたメタ情報を前記メタ情報記憶手段に記憶させる復号手段を更に備えることを特徴とする請求項 1記載のアプリケーション実行装置。

[7] 前記復号手段は、

外部から直接アクセスできな!/、鍵記憶手段に記憶された復号鍵を用いて前記アブリケーシヨンを復号することを特徴とする請求項 6記載のアプリケーション実行装置。

[8] 前記アプリケーションは、 Java (登録商標）アプリケーションであることを特徴とする請求項 1記載のアプリケーション実行装置。

[9] 取得したアプリケーションをクラス単位で実行するアプリケーション実行装置のアブリケーシヨン実行方法であって、

クラスファイルに含まれるメタ情報を記録するメタ情報記録ステップと、

クラスファイルに含まれる命令列を記録する命令列記録ステップと、

参照すべき情報のない命令を実行し、参照すべき第 1情報があるとき要求し、通知された第 2情報を用いて命令を実行する命令実行ステップと、

前記命令実行ステップの要求に応じて前記メタ情報から第 2情報を生成し、前記命令実行ステップに通知するメタ情報実行ステップとを有し、

前記メタ情報記録ステップに記録されたメタ情報は、前記メタ情報実行ステップだけが読み出すことができ、前記メタ情報実行ステップは、前記命令実行ステップの要求だけを受け付けることを特徴とするアプリケーション実行装置のアプリケーション実行方法。