WO2006126686A1

WO2006126686A1 - データ処理装置

Info

Publication number: WO2006126686A1
Application number: PCT/JP2006/310584
Authority: WO
Inventors: Kouichi Kanemura
Original assignee: Matsushita Electric Industrial Co., Ltd.
Priority date: 2005-05-26
Filing date: 2006-05-26
Publication date: 2006-11-30
Also published as: JPWO2006126686A1; US20090083520A1; JP4886682B2; US7874009B2; CN101233525A

Abstract

　プログラムの品質によらず、各プログラムが取り扱うデータが、他のプログラムにより不正使用されるのを防ぐことができるデータ処理装置を提供する。　プログラムを実行するＣＰＵ０１０６と、各プログラムが使用するデータを他のプログラムが不正アクセスするのを防止する不正動作防止回路０１０５とを備え、保護モードで動作し不正動作防止回路０１０５を制御する不正動作防止制御部０１０６が、通常モードで動作するプログラムＡ０１０２が使用しているメモリ領域について、通常モードで動作するプログラムＢ０１０３に割り当てられた機能フラグに基づき、前記メモリ領域の使用可否を判定し、使用させる場合にプログラムＢ０１０３に当該メモリ領域が使用できるよう不正動作防止回路０１０５に設定する。

Description

明細書

データ処理装置

技術分野

[0001] 本発明は、複数プロセスの連携動作により保護データを処理するデータ処理装置に関し、特に、保護データに対する不正処理を防ぐ技術に関する。

背景技術

[0002] 近年、音楽や映画などのコンテンツを再生するコンテンツ再生装置など多くのデジタル家電に、著作権保護のためのデータの暗号化、復号の機能 (特許文献 1〜3,非特許文献 1〜2参照)や、販売後における新機能の追加及びバグ修正などのためのプログラム更新機能などが実装されてきて、る。

特許文献 1 :特開平 2— 155034号公報

特許文献 2 :特開平 4— 102920号公報

特許文献 3 :特開 2001— 318787号公報

非特許文献 1 : Lie, D. , Thekkath, C. A. , Mitchell, M. , Lincoln,

P. , Boneh, D. , Mitchell, J. C. and Horowitz, M.： Architech tural Support for Copy and Tamper Resistant Software, In Proce e dings of the 9th Inte 1 Conference on Architectural Support for Programming Languages and Operating Systems (ASPLOS— IX) , p ages 169- 177, November 2000.

非特許文献 2 : E. Suh, D. Clarke, B. Gassend, M. van Dijk, and S. Devadas. The AEGIS processor architecture for tampereviden t and tamper resistant processing. Technical Report LCb— TM461 , Massachusetts Institute of Technology, February 2003.

発明の開示

発明が解決しょうとする課題

[0003] 前述の暗号化、復号などデータに対する処理はプログラム自身の管理下で行っており、前記データが他のプログラムにより漏洩させられることはない。し力しながら、暗号ィ匕データを復号する復号プログラムと、復号後のデータを再生するプレーヤプログラムとの間でデータを連携処理するような場合には、当該データを複数のプログラム力使用できるようにする必要があるので、前述の更新機能を悪用されて不正なプログラムが導入されると、当該不正なプログラムによって前記データが漏洩されてしまうという問題が生じうる。

[0004] 上記問題に鑑み、本発明は、各プログラムが取り扱うデータを連携処理するような場合にも、当該データの漏洩を防ぐことができるデータ処理装置を提供することを目的とする。

課題を解決するための手段

[0005] 上記課題を解決するために、本発明は、プログラムに従って動作するプロセッサを備え、前記プログラムの実行単位であるプロセスが動作する通常モードと前記プロセスの動作が抑制される保護モードを切り替えて動作するデータ処理装置であって、通常モードにおいて、第 1プロセスの処理対象データに対して、前記第 1プロセスによるアクセスを許可し、他のプロセスによるアクセスを禁止するアクセス禁止手段と、通常モードにおいて、前記第 1プロセスから、第 2プロセスの呼び出しを指示する呼出命令を検出する検出手段と、前記呼出命令が検出されると、通常モードから保護モードに切り替える切替手段と、保護モードにおいて、前記第 2プロセスが、前記処理対象データについての使用権限を有しているか否かを判断する判断手段と、保護モードにおいて、前記第 2プロセスが使用権限を有していると判断される場合に、前記アクセス禁止手段に対して、前記第 2プロセスが前記通常モードにおいて、前記処理対象データに対しアクセスすることが許可されるように制御する制御手段とを備える。

発明の効果

[0006] 本発明のデータ処理装置は、上述の構成を備えることにより、第 1プロセスが、第 2 プロセス以外のプロセスに知られないよう第 2プロセスにデータを受け渡すことができ、通常モードで動作する他のプロセスによってデータが漏洩されるのを防ぐことができる。

また、上述の構成を備えることにより、第 2のプログラムが更新されて機能が変更され、処理対象データの使用権限を失った場合にお！ヽても前記判断手段がそれを検知し、前記制御手段で情報漏洩を防止できる。

[0007] また、前記アクセス禁止手段は、メモリと、プロセス毎の前記メモリ内でアクセスを許可する領域を示す管理情報を、保護モードにおいてのみ書き換え可能に保持する保持部と、通常モードで動作するプロセスを、前記管理情報に従って前記メモリにァクセスさせるアクセス制限部とを含み、前記制御手段は、前記判断手段により使用権限があると判定された場合に、第 2プロセスの管理情報に、前記メモリ上で前記対象データが保持されている領域へのアクセスを許可する情報を追加することとしてもよい。

[0008] この構成によれば、前記管理情報の書き換えを保護モードである場合に制限するので、通常モードで動作する他のプロセスにより、前記管理情報をデータの漏洩が可能なよう不正に書き換えられるのを防ぐことができる。

また、前記保持部が保持する前記管理情報は、前記メモリ中のアドレスと、アドレスに対応する鍵とを対応づけた情報を一以上含み、前記アクセス制限部は、前記メモリのアドレスを含む前記メモリへのアクセス要求を取得する取得部と、前記アクセス要求に含まれるアドレス力前記管理情報に含まれる力否かを判定するアドレス判定部と、含まれると判定された場合に、前記アクセス要求が書込要求であれば、書き込むデータを前記アドレスに対応する鍵で暗号ィ匕して前記アドレスで示される領域に書込み、前記アクセス要求が読出要求であった場合には、前記メモリの前記アドレスから読み出したデータを、前記アドレスに対応する鍵を用、て復号して出力するアクセス実行部とを含むこととしてもょ、。

[0009] この構成によれば、プロセス毎に定められているアドレス毎の鍵で前記メモリにデータを暗号して記録し、暗号して記録されたデータを復号して読み出すので、他のプロセスによって、前記データが適切に使用されるのを防ぐことができる。

ここで、メモリへのアクセス要求には、前記メモリからデータを読み出す読出要求や、前記メモリへのデータの書込要求の他、使用を要望する前記メモリの領域の使用許可要求や、他のプロセスが使用許可されているメモリの領域を、自プロセスでも使用するための共有設定要求などが含まれるものとする。 [0010] また、前記データは、プロセスのコードであることとしてもよい。

この構成によれば、プロセスのコードが、漏洩するのを防ぐことができる。また、各プロセスには、個別のプロセス識別子が割り当てられ、前記保持部が保持する前記管理情報は、前記メモリ中のアドレスと、前記アドレスへのアクセスが許可されているプロセス識別子とを対応付けた情報を一以上含み、前記アクセス制限部は、前記メモリのアドレスを含む前記メモリへのアクセス要求を取得する取得部と、ァクセス要求に含まれるアドレスと、アクセス要求したプロセスに割り当てられたプロセス識別子とを対応付けた情報が、前記管理情報に含まれる力否かを判定するアドレス判定部と、含まれると判定された場合に、アクセス要求したプロセスを、前記メモリの前記アドレスにアクセスさせるアクセス実行部とを含むこととしてもよい。

[0011] この構成によれば、メモリへのアクセス要求があっても、前記メモリの前記アドレスへのアクセスを、前記管理情報に含まれるアクセス要求されたアドレスに対応するプロセス識別子で示されるプロセスのみに制限するので、他のプロセスにより前記データが漏洩されるのを防ぐことができる。

また、前記データには、一以上のデータ処理方法それぞれについて実行を許可する力否かを示すセキュリティ要件情報が割り当てられ、プロセスそれぞれには、ー以上のデータ処理方法それぞれを実行可能力否かを示す機能情報が割り当てられ、前記呼出命令は、一以上のデータ処理方法の!/、ずれかを示す処理特定情報を含み、前記判断手段は、前記セキュリティ要件情報が前記処理特定情報により示されるデータ処理方法の実行を許可しておりかつ第 2プロセスの機能情報が、前記処理特定情報により示されるデータ処理方法の実行が可能であることを示す場合に、前記使用権限があると決定することとしてもよい。

[0012] この構成によれば、前記データ連携が要求されているデータを、当該データに割り当てられたセキュリティ要件情報により許可され、かつ、第 2プロセスの機能情報が実行可能であることを示して、るデータ処理方法による処理に限定し、データの漏洩の可能性を低減することができる。

また、前記切替手段は、前記通常モードから前記保護モードへと切り替える場合に、前記通常モードで動作しているプロセスのコンテキストを前記メモリに退避し、前記保護モードから前記通常モードへと切り替える場合に、次に前記通常モードで動作するプロセスのコンテキストを前記メモリから復帰させることとしてもよい。

[0013] この構成によれば、コンテキストの退避、復帰の処理実行を、保護モードである場合に限定できるので、通常モードで動作するプロセスによって、コンテキストに対し不正な操作がされ、データが漏洩されるのを防ぐことができる。

また、前記第 1プロセス及び前記第 2プロセスは、それぞれが動作している間に割り込み又は例外が発生した場合に、その割り込み又は例外を処理する割込処理又は例外処理を含み、前記データ処理装置は、さらに、割り込み又は例外が発生した場合に、実行されるべき処理を示すベクタテーブルを、保護モードにおいてのみ書き換え可能に保持するべクタテーブル保持手段と、動作するプロセスが、前記第 1プロセスカも前記第 2プロセスへと切り替わる前に、保護モードにおいて前記べクタテープルを、前記通常モードにおいて割り込み又は例外が発生した際に第 2プロセスの割込処理又は例外処理を実行するよう書き換えるベクタテーブル書換手段とを含むこととしてちよい。

[0014] この構成によれば、ベクタテーブルの変更を、保護モードである場合に限定できるので、通常モードで動作するプロセスによって、ベクタテーブルに対し不正な書換操作がされることにより、不正なプロセスが実行され、データが漏洩されるのを防ぐことができる。

また、前記判断手段は、さらに、プロセス力前記メモリにおける領域の使用要求を受け付ける使用要求受付部と、使用要求されたアドレスが、既に使用されている力否かを判定する使用判定部と、使用されていな力つた場合に、使用要求したプロセスの、前記アドレスに格納を要望するデータについての使用権限の有無を判定する権限判定部と、前記権限判定部により使用権限があると判定された場合に、使用要求したプロセスの管理情報に、前記アドレスで示される領域へのアクセスを許可する情報を登録する管理情報登録部とを含むこととしてもょ、。

[0015] この構成によれば、プロセスからの要求に従い、使用を要求したプロセスのみが、要求したメモリの領域を使用できるように、管理情報を生成し、他のプロセスによって、前記領域に記憶されるデータが漏洩されるのを防ぐことができる。また、前記管理情報登録部は、前記権限判定部により使用権限があると判定された場合に、鍵を生成し、前記アクセスを許可する情報として、前記アドレスと生成した鍵とを対応付けた情報を使用要求した前記プロセスの管理情報に追加することとしてちょい。

[0016] この構成によれば、要求されるごと毎に生成する鍵を、管理情報に追加することができる。

アドレス毎に異なる鍵を用いることなどとすれば、同じ鍵を用いる頻度が少なくなり鍵が解読される確率を低下させることができる。

また、前記データ処理装置は、さらに、前記プロセスに係るデバッグを行うデバッグ手段を含み、前記切替手段は、さらに、前記通常モードに切り替える場合に、前記デバッグ手段を有効化し、前記保護モードに切り替える場合に、前記デバッグ手段を無効化することとしてもよい。

[0017] この構成によれば、保護モードにおけるデバッグを禁止し、保護モードにおける処理内容を、解析されるのを防ぐことができる。

本発明のデータ処理方法は、プログラムに従って動作するプロセッサを備え、前記プログラムの実行単位であるプロセスが動作する通常モードと前記プロセスの動作が抑制される保護モードを切り替えて動作するデータ処理装置に用いられるデータ処理方法であって、通常モードにおいて、第 1プロセスの処理対象データに対して、前記第 1プロセスによるアクセスを許可し、他のプロセスによるアクセスを禁止するァクセス禁止ステップと、通常モードにおいて、前記第 1プロセスから、第 2プロセスの呼び出しを指示する呼出命令を検出する検出ステップと、前記呼出命令が検出されると、通常モードから保護モードに切り替える切替ステップと、保護モードにおいて、前記第 2プロセス力前記処理対象データにつ!、ての使用権限を有して、る力否かを判断する判断ステップと、保護モードにおいて、前記第 2プロセスが前記使用権限を有していると判断される場合に、前記アクセス禁止手段に対して、前記第 2プロセスが前記通常モードにおいて、前記処理対象データに対しアクセスすることが許可されるように制御する制御ステップとを含む。

[0018] 本発明のコンピュータプログラムは、プログラムに従って動作するプロセッサを備え、前記プログラムの実行単位であるプロセスが動作する通常モードと前記プロセスの動作が抑制される保護モードを切り替えて動作するデータ処理装置に用いられるコンピュータプログラムであって、通常モードにおいて、第 1プロセスの処理対象データに対して、前記第 1プロセスによるアクセスを許可し、他のプロセスによるアクセスを禁止するアクセス禁止ステップと、通常モードにおいて、前記第 1プロセスから、第 2プロセスの呼び出しを指示する呼出命令を検出する検出ステップと、前記呼出命令が検出されると、通常モードから保護モードに切り替える切替ステップと、保護モードにおいて、前記第 2プロセスが、前記処理対象データについての使用権限を有しているか否かを判断する判断ステップと、保護モードにおいて、前記第 2プロセスが前記使用権限を有していると判断される場合に、前記アクセス禁止手段に対して、前記第 2 プロセスが前記通常モードにおいて、前記処理対象データに対しアクセスすることが許可されるように制御する制御ステップとを含む。

[0019] この構成によれば、第 1プロセス力第 2プロセス以外のプロセスに知られないよう第 2プロセスにデータを受け渡すことができ、通常モードで動作する他のプロセスによつてデータが漏洩されるのを防ぐことができる。

また、上述の構成を備えることにより、第 2のプログラムが更新されて機能が変更され、処理対象データの使用権限を失った場合においても前記判断ステップによりそれを検知し、前記制御ステップによって情報漏洩を防止できる。

[0020] 本発明の集積回路は、プログラムに従って動作するプロセッサを備え、前記プログラムの実行単位であるプロセスが動作する通常モードと前記プロセスの動作が抑制される保護モードを切り替えて動作する集積回路であって、通常モードにおいて、第 1 プロセスの処理対象データに対して、前記第 1プロセスによるアクセスを許可し、他のプロセスによるアクセスを禁止するアクセス禁止手段と、通常モードにおいて、前記第 1プロセスから、第 2プロセスの呼び出しを指示する呼出命令を検出する検出手段と、前記呼出命令が検出されると、通常モードから保護モードに切り替える切替手段と、保護モードにおいて、前記第 2プロセスが、前記処理対象データについての使用権限を有しているか否かを判断する判断手段と、保護モードにおいて、前記第 2プロセスが前記使用権限を有していると判断される場合に、前記アクセス禁止手段に対して、前記第 2プロセスが前記通常モードにおいて、前記処理対象データに対しァクセスすることが許可されるように制御する制御手段とを備える。

[0021] この構成によれば、第 1プロセス力第 2プロセス以外のプロセスに知られないよう第 2プロセスにデータを受け渡すことができ、通常モードで動作する他のプロセスによつてデータが漏洩されるのを防ぐことができる。

図面の簡単な説明

[0022] [図 1]本発明に係るプログラム保護装置の構成の主要部を模式的に示す図である。

[図 2]本発明に係るプログラム保護装置のハードウェア構成を示す図である。

[図 3]鍵レジスタの構成を示す図である。

[図 4]保護対象データの構成を示す図である。

[図 5]プログラムを記録するファイルの構成を模式的に示す図である。

[図 6]プログラムを記録するファイルの構成を模式的に示す図である。

[図 7]プログラム保護装置のソフトウェア構成を示す図である。

[図 8]管理テーブルの構成を示す図である。

[図 9]管理テーブルの構成を示す図である。

[図 10]不正動作防止制御処理を示すフローチャートである。

[図 11]状態切替動作 A及び Bの処理を示すフローチャートである。

[図 12]プログラム Xからの要求に対する不正動作防止制御部の処理を示すフローチヤートである。

[図 13]プログラムの全体動作を示すフローチャートである。

[図 14]プログラムの全体動作を示すフローチャートである（図 13の続き）。

[図 15]プログラム保護装置の動作を示すフローチャートである。

[図 16]プログラム保護装置の動作中の RAMの状態を示す。

[図 17]プログラム保護装置の動作中の管理テーブルの状態を示す。

[図 18]プログラム保護装置の動作中の管理テーブルの状態を示す。圆 19]プログラム保護装置の動作中の管理テーブルの状態を示す。

[図 20]プログラムの機能フラグがセキュリティ要件を満たす力否かを判定する処理を示すフローチャートである。

[図 21]プログラム保護装置におけるプログラムの動作を示すフローチャートである。

[図 22]変形例に係るプログラム保護装置の構成を示すブロック図である。

[図 23]変形例に係る IDレジスタの構成を示す図である。

符号の説明

0101 プログラム保護装置

0102 プログラム A

0103 プログラム B

0104 オペレーティングシステム（os)

0105 不正動作防止回路

0106 不正動作防止制御部

0107 プログラム C

0108 保護対象データ

0109 セキュリティ要件リスト

0110 管理テーブル

0201 CPU

0202 RAM

0203 不揮発メモリ

0204 バス暗号回路

0205 鍵レジスタ

0206 保護メモリ

0207 アクセス制限回路

0208 状態切替回路

0209

0210 バス

0216 蓄積メディア 0219 ベクタテープノレ

0221 不揮発メモリ

0401 セキュリティカーネノレ

0402 プログラム A用割り込み管理部

0403 プログラム B用割り込み管理部

0404 OS用割り込み管理部

0405 BIOS

0406 プログラム C用割り込み管理部

発明を実施するための最良の形態

[0024] <第 1実施形態 >

< 1.概要 >

図 1は、プログラム保護装置 0101の構成の主要な部分を模式的に示した図であるプログラム保護装置 0101は、図 1に示すように、 CPU0201と、不正動作防止回路 0105と、蓄積メディア 0216とを含んで構成される。

[0025] CPU0201は、プログラムを実行するプロセッサである。

不正動作防止回路 0105は、 CPU0201により実行されるプログラムの不正実行及びプログラム間の不正アクセスを防ぐための機構を備えた回路である。

蓄積メディア 0216は、 CPU0201により実行されるプログラムが扱う、コンテンツや個人情報などの機密情報である保護対象データ 0108を、暗号化した状態で記憶している。

[0026] CPU0201上で実行されるプログラムには、一例として図 1に示すようにオペレーテイングシステム（OS) 0104、プログラム A0102、プログラム B0103、プログラム C010 7、不正動作防止制御部 0106等がある。

不正動作防止制御部 0106は、プログラム A0102、プログラム B0103、プログラム C0107その他の各プログラムと OS0104のそれぞれから、メモリ領域の使用要求を取得して使用可否を判定し、使用させる場合には不正動作防止回路 0105を制御して、要求元のプログラムが要求する態様でのみ、当該メモリ領域の使用をさせる。

[0027] オペレーティングシステム（OS) 0104は、プログラム A0102、プログラム B0103、プログラム C0107その他のプログラム（図示せず）を動作させる基本ソフトウェアである。

プログラム A0102、プログラム B0103、プログラム C0107は、任意の処理を実行するアプリケーションプログラムである。本実施形態では、一例として、プログラム A010 2力コンテンツである保護対象データ 0108の復号を行うプログラムであり、プロダラム B0103は、コンテンツの再生を行うプレーヤープログラムであり、プログラム A010 2とプログラム BO 103は、コンテンッを処理する際に連携動作するものとする。

[0028] プログラム A0102は、保護対象データ 0108である暗号化されたコンテンツを復号し、復号済みの当該コンテンツをプログラム B0103に再生させる。プログラム A0102 は、プログラム B0103を呼び出すための呼出命令を含んでおり、 CPU0201は前記呼出命令を検出すると、不正動作防止回路 0105に後述する保護モードを示す状態切替指示を行う。不正動作防止回路 0105は、前記状態切替指示に基づき、保護モードへと切り替えて、処理を実行する。

前記呼出命令は、コンテンツの出力、コピー、移動、特殊再生、デジタル出力などのデータ処理方法を示す情報を含むものとする。

また、不正動作防止制御部 0106が前記保護モードにおいて不正動作防止回路 01 05を制御することにより、例えば、プログラム C0107が、前記コンテンツを不正に使用したり、コンテンツを破壊するようなことを妨げている。

[0029] 以下、プログラム保護装置 0101の動作について、詳細に説明する。

< 2.構成 >

< 2. 1.ハードウェア構成〉

プログラム保護装置 0101のハードウェア構成について、図面を用、て説明する。プログラム保護装置 0101は、図 2に示すように、相互にバス 0210を介して接続される CPU0201、不揮発メモリ 0203、ノス暗号回路 0204、鍵レジスタ 0205、ァクセス制限回路 0207、状態切替回路 0208、デバッガ I/F0209、蓄積メディア 0216、不揮発メモリ 0221と、ノス暗号回路 0204に接続する RAM0202と、アクセス制限回路 0207に接続する保護メモリ 0206を含んで構成される。

[0030] プログラム保護装置 0101は、具体的には、マイクロプロセッサ、 ROM, RAMなど力も構成されるコンピュータシステムである。前記 ROMには、コンピュータプログラムが記憶されており、前記マイクロプロセッサ力前記コンピュータプログラムに従って動作することにより、プログラム保護装置 0101は、その機能を達成する。

CPU0201は、 RAM0202,保護メモリ 0206上に記憶されるプログラムを実行するマイクロプロセッサである。

[0031] 状態切替回路 0208は、 CPU0201から、前記通常モードと前記保護モードとのいずれかを選択的に示す状態切替指示を受けつけて、デバッガ IF0209、鍵レジスタ 0 205、アクセス制限回路 0207を、当該状態切替指示に対応するモードに切り替える保護モードは、セキュリティの高い特定のプログラムのみが動作するモードであり、通常モードは、その他のプログラムが動作するモードである。

[0032] 状態切替回路 0208は、受信した前記状態切替指示が保護モードを示す場合には、デバッガ IZF0209に対し保護モードを示す状態信号 A0211を出力してデバッガ I ZF209を無効化し、鍵レジスタ 0205に対し保護モードを示す状態信号 B0217を出力し、アクセス制限回路 0207に対し保護モードを示す状態信号 C0218を出力する

[0033] また、状態切替回路 0208は、受信した前記状態切替指示が通常モードを示す場合には、デバッガ IZF0209に対し通常モードを示す状態信号 A0211を出力し、鍵レジスタ 0205に対し通常モードを示す状態信号 B0217を出力し、アクセス制限回路 0207に対し通常モードを示す状態信号 C0218を出力する。また、状態切替回路 02 08は必要に応じてベクターテーブル 0219の変更を行う。状態を切り替える動作、ベクタテーブル 0219の変更については後述する。

[0034] なお、状態切替の詳細は発明者らによる出願、特開 2005— 11336号公報などに開示されている。

アクセス制限回路 0207は、バス 0210と保護メモリ 0206の接続を制御する回路であり、状態切替回路 0208から受け取る状態信号 Cが通常モードを示す場合には、バス 0210と保護メモリ 0206との接続を遮断し、保護モードを示す場合には、バス 021 0と保護メモリ 0206を接続する。よって、通常モードで動作するプログラムは、保護メモリ 0206内のデータにアクセスすることはできない。

[0035] デバッガ IZF0209は、プログラム保護装置 0101外のプログラムデバッガを接続可能なインターフェイスであり、 CPU0201と接続されて!、る。

デバッガ IZF0209は、状態切替回路 0208から通知される状態信号 Aが、通常モードを示す場合に、前記プログラムデバッガと CPU0201とを接続し、状態信号 Aが保護モードを示す場合に、プログラムデバッガと CPU0201との接続を切断する。

[0036] また、状態信号 Aが通常モードを示す場合であっても、デバッガ IZF0209の設定を変更することにより、プログラムデバッガと CPU0201との接続を強制的に切断状態にすることも可能である。

鍵レジスタ 0205は、アクセス要求されたアドレスに対応する暗号鍵をバス暗号回路 0204に出力する回路である。

[0037] 鍵レジスタ 0205は、図 3に示すように、アドレスと命令用バス暗号鍵との対応を示す命令用鍵情報テーブル 0305と、アドレスとデータ用バス暗号鍵との対応を示すデータ用鍵情報テーブル 0306とを保持しており、バス暗号回路 0204からアドレス信号 0 301を取得して、アドレス信号 0301が示すアドレスに対応づけられている命令用バス喑号鍵信号 0302と、データ用バス暗号鍵信号 0303とをバス暗号回路 0204に出力する。

[0038] ここで、命令用鍵情報テーブル 0305は、命令用鍵情報 T0311、 T0312、 T0313 • · ·を含み、各命令用鍵情報は、アドレスと命令用バス暗号鍵との対応を示しており、データ用鍵情報テーブル 0306は、データ用鍵情報 Τ0321、 Τ0322、 Τ0323 · · ·を含み、各データ用鍵情報は、アドレスとデータ用バス暗号鍵との対応を示している。

[0039] 鍵レジスタ 0205の設定の変更は、状態切替回路 0208が出力する状態信号 Βが保護モードを示すときのみ変更可能であり、不正動作防止制御部 0106によって、バス 0210を介して通知される設定信号 0304を用いて変更される。

RAM0202は、バス暗号回路 0204と接続されて!、るメモリ装置である。バス暗号回路 0204は、鍵レジスタ 0205から通知される鍵を用いて、当該鍵に対応付けられたメモリアドレスに入出力するコードやデータの暗号ィ匕ゃ復号を行う。

[0040] これにより、バス 0210と RAM0202との間でやり取りされるコードやデータは、バス暗号回路 0204で暗号化及び復号される。

また、バス暗号回路 0204は、 CPU0201が命令フェッチのために RAM0202にァクセスしているの力、データアクセスのためにアクセスしているのかを検知し、同一物理アドレスへの命令フェッチの場合には命令用バス暗号鍵を用い、データアクセスの場合にはデータ用バス暗号鍵を用いて、コードやデータの暗号化、復号を行う。

[0041] 不揮発メモリ 0203は、ファイル A0212、ファイル B0213、ファイル C0214、フアイル OS0215、 BIOS0405、ファイル S0220を記憶している。

ここで、前記ファイルのデータ構造について、ファイル A0212のデータ構造を例に、図 5を用いて説明する。

ファイル A0212は、コード暗号鍵 0710、プログラム A0102のコード 0711、署名 A 0115、機能フラグ A0111を含む。

[0042] コード暗号鍵 0710は、プログラム Aのコード 0711を暗号化するのに用いた鍵 (KC — A)である。

コード暗号鍵 0710は、公開鍵暗号アルゴリズムで暗号化されて!/、る。

コード暗号鍵 0710を暗号ィ匕する際に用いられた公開鍵に対応する秘密鍵は、不正動作防止制御部 0106が保持する。

[0043] プログラム Aのコード 0711には、プログラム A0102が行う処理が記述されており、

CPU0201によって実行される。

プログラム Aのコード 0711は、コード暗号鍵 0710で暗号化されている。署名 A0115は、プログラム Aのコード 0711を暗号化したベンダの署名が格納されている。

[0044] 署名 AO 115を用いてプログラム Aのコード 0711の正当性、完全性を検証できる。

機能フラグ A0111は、プログラム A0102力機能 0714、 0715, 0716, 0717, 0

718 · · ·を備えている力否力示すフラグである。

本実施形態では、機能フラグは、プログラムがファイル出力、コピー、移動、特殊再生、デジタル出力の各機能を備えているかを示すものとする。 [0045] 機能フラグは、例えば、 5ビットのデータであり、各ビットに、ファイル出力機能、コピ一機能、移動機能、特殊再生機能、デジタル出力機能が割り当てられる。即ち、ファィル出力と、移動の機能を備える場合の、機能フラグは、 2進数表現で 10100となり、デジタル出力機能のみ備える場合には、 2進数表現で 00001となる。プログラム A01 02の機能フラグ A0111は、 2進数表現で 00000であり、すべての機能を備えていないことを示している。

[0046] ファイル B0213のデータ構造は図 5に示し、ファイル C0214、ファイル OS0215のデータ構造 ίま図 6に示して! /、る。フアイノレ Β0213、フアイノレ C0214、フアイノレ OS021

5は、ファイル A0212と同様の構成を備えるので、説明は省略する。

ただし、ファイル C0214の機能フラグ C0113は、ファイル出力機能 0734を備えることを示し、ファイル OS0215の機能フラグ OS0114はファイル出力機能 0744、コピ一機能 0745、移動機能 0746を備えることを示して、る。

[0047] 不揮発メモリ 0221は、例外および割り込みハンドラのアドレスを示すベクタテープル 0219を記憶しているメモリ装置である。

プログラム保護装置 0101において、 CPU0201は、割り込みや例外の発生を検知した場合に、ベクタテーブル 0219を参照して、次に実行するハンドラの位置を取得する。

[0048] ベクタテーブル 0219に格納されている各種例外および割り込みに対応するハンドラのアドレスは、状態切替回路 0208のみが変更可能であり、保護モードにおいて動作するソフトウェアのみ力状態切替回路 0208に対しべクタテーブル 0219の設定内容の変更を依頼することができる。

蓄積メディア 0216は、コンテンツや個人情報などの機密情報である保護対象データ 0108を、暗号化した状態で記憶する。

[0049] 保護対象データ 0108は、図 4に示すように、データ 0701、データ暗号鍵 0702、セキユリティ要件リスト 0109、署名データ 0708を含む。

データ 0701は、保護対象となるデータであり、データ暗号鍵 0702を用いて暗号ィ匕されている。但し、データ 0701は必ずしも暗号化されている必要はない。

データ暗号鍵 0702は、公開鍵暗号アルゴリズムで暗号化されており、暗号化する際に用いられた公開鍵に対応する秘密鍵は、不正動作防止制御部 0106が保持しているので、不正動作防止制御部 0106のみが復号可能である。

[0050] セキュリティ要件リス卜 0109は、セキュリティ要件 0703、 0704、 0705、 0706、 070 7…を含む。

セキュリティ要件リストは、例えば、各ビットがセキュリティ要件を示す 5ビットのデータであり、各ビットは、ファイル出力機能、コピー機能、移動機能、特殊再生機能、デジタル出力機能に対応し、ビット値が 1の場合にはその機能が可能であることを示し、ビット値力^である場合にはその機能が不可能であることを示す。

[0051] ファイル出力と、移動の機能が可能な場合のセキュリティ要件リストは 2進数表現で 10100となり、デジタル出力機能のみ可能な場合は、 2進数表現で 00001となる。ここで、データ 0701に対するセキュリティ要件 0703、 0704、 0705、 0706、 0707 は、すべて不可能となっている。

署名データ 0708は、セキュリティ要件リスト 0109に対する署名データであり、当該署名データを用いることにより、セキュリティ要件リスト 0109の正当性を検証することができる。

< 2. 2.ソフトウェア構成 >

次に、プログラム保護装置 0101のソフトウェア構成について、図面を用いて説明する。

[0052] プログラム保護装置 0101の CPU0201上で動作するプログラムは、図 7に示すように、 OS用割り込み管理部 0404を含むオペレーティングシステム（OS) 0104、プログラム A用割り込み管理部 0402を含むプログラム A0102、プログラム B用割り込み管理部 0403を含むプログラム B0103、プログラム C用割り込み管理部 0406を含むプログラム C0107、セキュリティカーネル 0401、不正動作防止制御部 0106、 BIOS 0405を含んで構成される。

[0053] BIOS0405は、不揮発メモリ 0203に記憶されており、プログラム保護装置 0101における電源投入時などに、通常モードで CPU0201により実行される。

BIOS0405は、ハードウェアの基本的な設定を行った後、 OS0104を RAM0202 にロードする。本実施形態では、 BIOS0405は、 OS0104のみをロードすることとしているが、更にプログラム A0102、 B0103、 C0107をロードすることとしてもよい。

[0054] OS0104は、一般的なオペレーティングシステムの機能を持つ OSであり、起動した後に、プログラム A0102、プログラム B0103、プログラム C0107を順に起動する。また、 OS0104に含まれる OS用割り込み管理部 0404は、 OS0104力 S動作している時に発生する割り込みや例外を処理するハンドラを含む。

[0055] プログラム A0102、プログラム B0103、プログラム C0107は、 OS0104上で動作する汎用的な処理を行うプログラムであり、保護対象データ 0108を取り扱う。

プログラム A0102に含まれる割り込み管理部 0402は、プログラム A0102が動作している時に発生する割り込みや例外を処理するハンドラを含む。

[0056] 同様に、プログラム B0103に含まれる割り込み管理部 0403、プログラム C0107に含まれる割り込み管理部 0403は、プログラム B0103、 C0107それぞれが動作している時に発生する割り込みや例外を処理するハンドラを含む。

プログラム A0102、プログラム B0103、プログラム C0107、 OS0104は、通常モードで動作するソフトウェアであり、それぞれ RAM0202にロードされ、 CPU0201により実行される。セキュリティカーネル 0401は、保護モードにおけるシステム制御を行うソフトウェアであり、保護メモリ 0206にロードされて、 CPU0201により実行される。

[0057] セキュリティカーネル 0401は、保護モードにおいて発生した割り込み及び例外をノヽンドリングし、ハンドリングした当該割り込み及び例外に対する処理を実行する。

保護モードにおけるベクタテーブル 0219の内容は、通常モード力も保護モードへの切替直前に、状態切替部 0206によって、割り込み及び例外発生時に CPU0201 がセキュリティカーネル 0401内のハンドラを実行するよう書き換えられる。

[0058] セキュリティカーネル 0401は、不正動作防止制御部 0106に制御主体を移す。

不正動作防止制御部 0106による不正動作防止制御処理が終了すると、セキユリティカーネル 0401に制御主体が戻り、セキュリティカーネル 0401は、状態切替回路 0 208に対し、通常モードへの移行のための状態切替依頼を出力する。

不正動作防止制御部 0106は、不正動作防止回路 0105を制御して OS0104等を含むプログラムの不正動作を防止する。

[0059] 不正動作防止制御部 0106は、保護モードで動作するプログラムであり、保護メモリ 0206にロードされて、 CPU0201により実行される。よって、保護メモリ 0206にァクセス権限のない、通常モードで動作するプログラムから、セキュリティカーネル 0401、および不正動作防止制御部 0106へのアクセスはできない。

不正動作防止制御部 0106は、前記不正動作防止回路 0105を制御するためのデータである管理テーブル 0110を管理して、る。

(管理テーブル）

ここで、管理テーブル 0110について、図 8、図 9を用いて説明する。

[0060] 管理テーブル 0110は、プログラムのデータ及びコード領域の保護のための管理データ群であり、図 8に示すデータ領域管理情報テーブル群 0501、コード領域管理情報テーブル群 0502と、図 9に示すセキュリティ要件管理情報テーブル T0310、プログラム管理情報テーブル T0410およびカレントプログラム管理テーブル 0503を含む

[0061] データ領域管理情報テーブル群 0501、コード領域管理情報テーブル群 0502、セキユリティ要件管理情報テーブル Τ0310、プログラム管理情報テーブル Τ0410、力レントプログラム管理テーブル 0503は、保護メモリ 0206に記憶される。

プログラム保護装置 0101に電源が投入された時には、各管理テーブル 0110の内容は空である。

[0062] 不正動作防止制御部 0106は、後述するプログラム登録処理において、プログラム Α0102、プログラム Β0103、プログラム C0107について OS0104が行う登録要求に従、、コード領域管理情報テーブル群とプログラム管理情報テーブルの内容を登録又は更新する。

不正動作防止制御部 0106は、後述するデータ領域保護設定処理において、他のプログラム力成される保護設定要求に従ってデータ領域管理情報テーブル群の内容を登録又は更新し、後述するデータ領域共有設定において、他のプログラムから成される共有設定要求に従ってセキュリティ要件管理情報テーブルの内容を登録又は更新する。

(プログラム管理情報テーブル T0410)

プログラム管理情報テーブル T0410は、プログラム管理情報 T0411、 T0412、 TO 413、T0414…を含む。

[0063] 各プログラム管理情報は、プログラム管理情報識別子、コードアドレス、プログラム識別子、共有プログラム識別子、機能フラグを含む。

プログラム管理情報識別子は、プログラム管理情報を識別するための識別子であり

、不正動作防止制御部 0106が、当該プログラム管理情報を登録する時に、既に使用されて、る値と重複しな、値を割り当てる。

[0064] コードアドレスは、各プログラム管理情報が管理対象とするアドレス領域である。

プログラム識別子は、前記アドレス領域にロードされるコードを含むプログラムの識別子であり、予め、各プログラムに対し割り振られている。

共有プログラム識別子は、前記アドレス領域のコードを共有するプログラムの識別子である。

[0065] 機能フラグは、前記アドレス領域のコードに対し、ファイル出力、コピー、移動、特殊再生、デジタル出力の各機能が許可されて、るか否かを示すフラグである。

機能フラグは、例えば、 5ビットのデータであり、各ビットに、ファイル出力機能、コピ一機能、移動機能、特殊再生機能、デジタル出力機能が割り当てられる。

即ち、ファイル出力と、移動とが許可されている場合の、機能フラグは、 2進数表現で 10100となり、デジタル出力機能のみが許可されている場合には、 2進数表現で 0 0001となる。

(コード領域管理情報テーブル群）

コード領域管理情報テーブル群 0502は、プログラム用コード領域管理情報テープル Τ0210、 Τ0220、 Τ0230· · ·を含み、プログラム用コード領域管理情報テーブルは、プログラム毎に生成されたものである。

[0066] プログラム識別子が P1であるプログラムについて生成されるプログラム P1用コード領域管理情報テーブル T0210は、コード領域管理情報 T0211、 T0212、 T0213 - • ·を含み、データ領域管理情報は、コード領域識別子、コードアドレス、コード暗号鍵を含む。

コード領域識別子は、コード領域管理情報を識別するための識別子であり、不正動作防止制御部 0106が、当該コード領域管理情報を生成する時に、既に使用されて V、る値と重複しな、値を割り当てる。

[0067] コードアドレスは、コード領域管理情報が管理対象とするアドレス領域である。

コード暗号鍵は、前記アドレス領域で示されるメモリ領域に保持されたコードを暗号ィ匕、復号するための鍵であり、コードアクセスの際に用いられる。

(データ領域管理情報テーブル群）

データ領域管理情報テーブル群 0501は、データ領域管理情報テーブル T0110、

TO 120、 TO 130…を含む。

[0068] データ領域管理情報テーブルは、プログラム毎に生成されたものであり、データ領域識別子、データアドレス、データ暗号鍵を含む。

データ領域識別子は、各データ領域管理情報を識別するための識別子である。データアドレスは、各データ領域管理情報が管理対象とするアドレス領域である。データ暗号鍵は、前記アドレス領域で示されるメモリ領域に保持されたデータを暗号化、復号するための鍵であり、データアクセスの際に用いられる。

(セキュリティ要件管理情報テーブル）

セキュリティ要件管理情報テーブル T0310は、データ領域管理情報テーブル群 0

501に含まれる各データ領域管理情報に対するセキュリティ要件を管理するためのテーブルであり、複数のセキュリティ要件管理情報 T0311、 T0312、 T0313、 T031

4· · ·を含む。

[0069] セキュリティ要件管理情報は、セキュリティ要件管理情報識別子、データアドレス、生成プログラム識別子、共有プログラム識別子、セキュリティ要件を含む。

セキュリティ要件管理情報識別子は、セキュリティ要件管理情報を識別するための識別子である。

データアドレスは、セキュリティ領域管理情報が管理対象とするアドレス領域である

[0070] 生成プログラム識別子は、物理メモリ上の前記アドレス領域について、最初にデータ設定を行ったプログラムの識別子である。

共有プログラム識別子は、物理メモリ上の前記アドレス領域について、当該メモリ領域を共有するプログラムを識別するための識別子である。セキュリティ要件は、前記データアドレスにより示される、物理メモリ上の前記アドレス領域に保持されるデータの保護方法を定める。

[0071] 前記セキュリティ要件は、本実施形態では、機能フラグと同じ構造を持つものとし、例えば、 5ビットのデータであり、各ビットに、ファイル出力機能、コピー機能、移動機能、特殊再生機能、デジタル出力機能の実行可否が割り当てられる。

即ち、ファイル出力と、移動とが実行許可されている場合の、機能フラグは、 2進数表現で 10100となり、デジタル出力のみ実行許可されている場合には、 2進数表現で 00001となる。

(カレントプログラム管理テーブル 0503)

カレントプログラム管理テーブル 0503には、現在動作中のプログラムの識別子が

SC fedれる。

< 3.ソフトウェア動作 >

次に、プログラム保護装置 0101上で動作するソフトウェアによる処理の流れについて説明する。

[0072] まず、ソフトウェア全体の処理フローについて、図 21を用いて説明する。

プログラム保護装置 0101に対し電源が投入されると、 BIOS0405が起動する (ステツプ S2011)。

BIOS0405は、プログラム保護装置 0101のハードウェアにつ、ての基本的な設定を行った後、 OS0104を RAM0202にロードする（ステップ S2012)。

[0073] OS0104は、不正動作防止制御部 0106に対し、自プログラムである OS0104につ！、ての後述する登録処理を行、（ステップ S2020)、プログラム A0102につ!/、ての後述する登録処理を行い（ステップ S2021)、プログラム B0103についての登録処理を行い（ステップ S2022)、プログラム C0107についての登録処理を行う（ステップ S2023)。

[0074] 登録処理が成されると、不正動作防止制御部 0106は、 OS0104、プログラム A01 02、プログラム B0103、プログラム C0107からのメモリ保護などの各要求について、処理することが可能となる。

次に、 OS0104は、登録処理が成功したプログラム A0102、 B0103、 C0107を順に起動する（ステップ S2031)。

[0075] ここで、プログラム A0102、プログラム B0103、プログラム C0107力 OS0104上で動作を開始する。

次に、 OS0104は、不正動作防止制御部 0106に対し、自プログラム内で使用するデータ領域の後述する保護設定を行う (ステップ S2040)。

同様に、プログラム A0102は、不正動作防止制御部 0106に対し、自プログラム内で使用するデータ領域の後述する保護設定を行い (ステップ S2041)、プログラム B0 103は、不正動作防止制御部 0106に対し、自プログラムが使用するデータ領域の保護設定を行い (ステップ S2042)、プログラム C0107は、不正動作防止制御部 01 06に対し、自プログラムが使用するデータ領域の保護設定を行う（ステップ S2043) 次に、プログラム A0102は、必要ある場合に、不正動作防止制御部 0106に対し、他プログラムと使用するデータ領域を共有するための後述するデータ領域共有設定を行う（ステップ S2051)。

[0076] 同様に、プログラム B0103は、必要ある場合に、不正動作防止制御部 0106に対し

、他プログラムと使用するデータ領域を共有するためのデータ領域共有設定を行ヽ ( ステップ S2052)、プログラム C0107は、必要ある場合に、不正動作防止制御部 01

06に対し、他プログラムと使用するデータ領域を共有するためのデータ領域共有設定を行う（ステップ S 2053)。

[0077] これにより、複数のプログラムが、保護されているメモリ領域を共有できるようになる。

以後、 OS0104は、必要に応じ、動作させるカレントのプログラムを切り替え (ステツプ S2061)、カレントのプログラムは、自プログラムが行うべき処理を実行する（ステツプ S2062)。

[0078] 以下、ステップ S2021におけるプログラム登録処理、ステップ S2041における保護設定処理、ステップ 2051におけるデータ領域の共有設定処理、ステップ S2061〖こおけるプログラム切替処理について、説明する。

上述のステップ S2020、ステップ SS2021、ステップ S2022、ステップ S2023、ステツプ S2040、ステップ S2041、ステップ S2042、ステップ S2043、ステップ S2051 、ステップ S2052、ステップ S2053は、全て、図 10〜 12で示す基本の処理フローに従い実行される。

[0079] 以下、ステップ S2020〜S2023については、ステップ S2021を例として説明し、ステツプ S2040〜S2043につ!/ヽては、ステップ S 2041を伊として説明し、ステップ S20 51〜S2053につ!/、ては、ステップ S2051を ί列として説明する。

また、ステップ S2021〜S2053の各処理の実行は、一度に限らず、必要に応じて随時実行するものとする。

< 3. 1.プログラム登録処理 >

図 21におけるステップ S2021は、 OS0104力プログラム Aについての情報を、不正動作防止制御部 0106に登録する処理である。

[0080] 図 11、図 12に示したプログラム Xは、当該フローチャートに従い動作するプログラムを示しており、本実施形態では、プログラム A0102、プログラム B0103、プログラム C 0107、 OS0104のいずれ力である。ここでは、 OS0104力プログラム Xに該当し、 OS用割込み管理部 0404力プログラム X用割込み管理部に該当し、 OS0104が、プログラム Aにつ!/、ての登録を要求するものとする。

[0081] プログラム Xは、まず、プログラム Xにつ!/、て予め指定されて、る、 RAM0202上のデータ領域に、プログラム Aを登録するための登録要求を書き込む。

前記登録要求には、図 5に示した、登録されるプログラムであるプログラム Aのコードを暗号ィ匕する際に用いられた鍵 (コード暗号化)、プログラムの署名データ、機能フラグが含まれる。さらに、前記登録要求には、プログラムのロードアドレス情報が含まれる。

[0082] 鍵は公開鍵暗号アルゴリズムによって暗号ィ匕されており、鍵の暗号ィ匕に用いる公開鍵に対応する秘密鍵は不正動作防止制御部 0106に格納されている。

秘密鍵は不正動作防止制御部 0106の外部に漏洩しないよう対策が施される。プログラムの署名データは、プログラムの正当性、完全性を検証するために用いられる。

[0083] プログラムのロードアドレス情報は、登録されるプログラムがロードされているァドレス領域である。プログラム Xは、プログラム Aの登録要求を要因とするソフトウェア割り込みを発生させ (ステップ S0801)、プログラム X用割り込み管理部に制御を移す。

次に、プログラム X用割り込み管理部は、プログラム Xが発生させたソフトウェア割込みの要因を調査し、前記登録要求を所定の前記データ領域から読み出し、割り込みの種別を確認する (ステップ S0802)。ここで、プログラム X用割込み管理部は、前記割り込みの種別が、プログラム Aについての登録要求を要因とするソフトウェア割り込みであったことを確認する。

[0084] 次に、プログラム X用割込み管理部は、前記登録要求を共有メモリに格納する (ステップ S0803)。

ここで、前記共有メモリは、通常モードと保護モードとの通信に用いる、 RAM0202 内の所定のメモリ領域である。

ここで、プログラム保護装置 0101の動作状態を、通常モードから保護モードへ切り替えるための状態切替動作 Aを実行する。

[0085] 状態切替動作 Aについては、図 11 (a)を用いて説明する。

プログラム Xは、ここでは、 OS0104である。

プログラム X用割り込み管理部は、状態切替回路 0208に対し、保護モードへの状態切替依頼を行う（ステップ S 1700)。

状態切替回路 0208は、 CPU内の状態を予め定められている RAM0202内のプログラム Xが管理するデータ領域に格納する (ステップ S1701)。

[0086] 状態切替回路 0208は、状態切替依頼元であるプログラム Xのコンテキストを、 RA M0202においてプログラム Xが使用するよう予め定められている領域に退避する。状態切替回路 0208は、保護モードを示す状態信号 A0211を出力し、デバッガ IZ F0209を無効ィ匕する（ステップ S 1702)。

次に、状態切替回路 0208は、 CPU内部状態のクリアを行う (ステップ S1703)。

[0087] 次に、状態切替回路 0208は、保護モードを示す状態信号 B0217を出力し、鍵レジスタ 0205の設定を変更する（ステップ S 1704)。

ここで、鍵レジスタ 0205は、バス 0210を介して通知される設定信号 0304を用いて命令用鍵情報テーブル 0305とデータ用鍵情報テーブル 0306を変更できるようにする。

[0088] 次に、状態切替回路 0208は、保護モードを示す状態信号 C0218を出力し、ァクセス制限回路 0207の設定を変更し (ステップ S 1705)、アクセス制限回路 0207は、バス 0210力も保護メモリ 0206へのアクセスを開放状態にする。

開放状態とは、バス 0210から保護メモリ 0206へのアクセスが許可された状態を示す。

[0089] 次に、状態切替回路 0208は、割り込みおよび例外発生時に CPU0201がセキユリティカーネル 0401内のハンドラを実行するようベクタテーブル 0219の設定を変更する（ステップ S 1706)。

状態切替回路 0208は、前回保護モードから通常モードに切り替える直前に保護メモリ 0206に格納して!/、たコンテキストを CPUに復帰させる（ステップ S 1707)。

[0090] 次に、状態切替回路 0208は、セキュリティカーネル 0401に制御を移す (ステップ S

1708)。プログラム保護装置 0101は保護モードとなり、状態切替動作 Aは終了する次に、セキュリティカーネル 0401は、不正動作防止制御部 0106に制御を移す (ステツプ S0815)。

[0091] 次に、不正動作防止制御部 0106は、共有メモリから前記要求を取得する (ステップ S0806) _oここでは、前記要求は、前記登録要求である。

次に、不正動作防止制御部 0106は、不正動作防止制御処理 (ステップ S0807)を実行する。

ここで、前記要求が前記登録要求である場合の不正動作防止制御処理 (ステップ S 0807)の詳細にっ、て、図 10を用いて説明する。

[0092] 不正動作防止制御部 0106は、前記要求がいずれの要求であるかを判定する (ステツプ S600)。

前記要求が登録要求であるので (ステップ S600 :登録）、ステップ S0612へと分岐する。

次に、不正動作防止制御部 0106は、セキュリティ要件管理情報テーブル T0310とプログラム管理情報テーブル T0410を用い、プログラムのロードアドレス情報によつて示されているコードアドレス領域力未使用領域であるかどうかを判定する (ステツプ S0612)。

[0093] 未使用領域である場合 (ステップ S0612の YES)、不正動作防止制御部 0106は、プログラムの署名と機能フラグの署名の検証を行う（ステップ S0613)。

署名検証結果が OKであった場合 (ステップ S0613の YES)、不正動作防止制御部 0106は、新規のコード領域管理情報テーブルとデータ領域管理情報テーブルを生成する（ステップ S0614)。

[0094] 次に、管理テーブルの更新として、プログラム管理情報テーブル T0410の更新とコード領域管理情報テーブルの更新を行う（ステップ S0615)。

プログラム管理情報テーブル T0410の更新にぉ、て、不正動作防止制御部 0106 は、固有のプログラム識別子を生成した後、プログラム管理情報の追加を行う。

コード領域管理情報テーブルの更新において、不正動作防止制御部 0106は、コード暗号鍵の復号化とコード領域管理情報の追加を行う。

[0095] 次に、不正動作防止制御部 0106は、処理結果を生成する。

処理結果は、管理テーブルの更新 (ステップ S0615)時に生成したプログラム識別子を含む。コードアドレス領域が未使用領域でな力つた場合 (ステップ S0612の NO) と署名検証に失敗した場合 (ステップ S0613の NO)には、処理に失敗した原因を処理結果に含める。ここで生成した処理結果を、共有メモリに格納する (ステップ S080 8)。

[0096] 次に、不正動作防止制御部 0106は、セキュリティカーネル 0401に制御を移す (ステツプ S0816)。

ここで、セキュリティカーネル 0401、状態切替部 0208、プログラム X用割り込み管理部が、状態切替動作 Bを実行することにより、保護モードから通常モードへ切り替える（ステップ S0809)。

[0097] ここで、状態切替動作 Bについて、図 11 (b)を用いて説明する。

ここで、プログラム Xは、前述のように、 OS0104である。

セキュリティカーネル 0401は、状態切替回路 0208に対し、通常モードを示す状態信号 C0218を出力することにより、状態切替を依頼する (ステップ S 1710)。状態切替回路 0208は、 CPUのコンテキストを保護メモリ 0206に格納する (ステツプ S0817)。

[0098] アクセス制限回路 0207は、状態信号 C0218を受け付けて、バス 0210から保護メモリ 0206へのアクセスを遮断状態にする。

遮断状態とは、バス 0210から保護メモリ 0206へアクセスできな、状態を示す。状態切替回路 0208は、状態信号 B0217を制御し、鍵レジスタ 0205の設定を変更する（ステップ S 1713)。

[0099] ここで、鍵レジスタ 0205は、バス 0210を介して通知される設定信号 0304を用いて命令用鍵情報テーブル 0305とデータ用鍵情報テーブル 0306を変更できないようにする。

状態切替回路 0208は、 CPU内部状態のクリアを行う（ステップ S1714)。状態切替回路 0208は、ベクタテーブル 0219の設定変更を行う（ステップ S1715) 。ここで、状態切替回路 0208は、割り込みおよび例外発生時に CPU0201がプログラム X用割り込み管理部に含まれるハンドラを実行するよう設定する。

[0100] ベクタテーブル 0219は各々の割り込み管理部に含まれるハンドラを実行するよう設定される。どの割り込み管理部に含まれるハンドラを実行するよう設定するかは、不正動作防止制御部 0106が状態切替回路 0208に指示することができる。

次に状態切替回路 0208は、状態信号 A0211を制御してデバッガ IZF0209を有効にする（ステップ S 1716)。

[0101] なお、不正動作防止制御部 0106が前もって状態切替回路 0208にデバッガ IZF0 209を有効にしないよう指示している場合、状態切替回路 0208は、ステップ S1716 をスキップし、デバッガ IZF0209を有効にしな!/、。

ここで、状態切替回路 0208は、プログラム Xのコンテキストを復帰させ (ステップ S1 717)、次に状態切替回路 0208は、プログラム X用割り込み管理部に制御を移し (ステツプ S1718)、プログラム保護装置 0101は通常モードとなり、状態切替動作 Bは終了する。

[0102] 次に、プログラム X用割り込み管理部は、共有メモリから前記処理結果を取得する（ステップ S0811)。次に、プログラム X用割り込み管理部は、処理結果をプログラム Xが管理するデータ領域に格納 (ステップ S0812)した後、ソフトウェア割り込みからリターンする (ステップ S0813)。

< 3. 2.データ領域の保護設定処理 >

図 21におけるステップ S2041は、プログラム Aが不正動作防止制御部 0106に対し、使用するメモリ領域の保護設定を要求する処理である。

[0103] 以下、保護設定の処理について、前述のプログラム登録処理と異なる部分を中心に、説明する。

ここでは、プログラム Xは、プログラム A0102であるものとする。

まず、プログラム Xは、自プログラムについて予め指定されている RAM0202上のデータ領域である共有メモリに、データアドレスとセキュリティ要件とを含むデータ領域保護設定要求を書き込む。

[0104] 前記データアドレスは、プログラム Xがデータ領域として使用を要望するメモリ領域の先頭アドレスと末尾アドレスとを含む。

前記セキュリティ要件は、プログラム Xが前記データアドレスに格納するデータに対し設定を要望する保護属性であり、セキュリティ要件リスト 0109と同様のデータ構造を持つ。例えば、前記セキュリティ要件は、 5ビットのデータであり、各ビットに、フアイル出力機能、コピー機能、移動機能、特殊再生機能、デジタル出力機能の実行可否が割り当てられる。なお、前記セキュリティ要件は、セキュリティ要件リスト 0109である場合もある。

[0105] 不正動作防止制御部 0106は、ステップ S0802において、前記データ領域保護設定要求を取得する。

ステップ S0803〜S0806までは、プログラム登録処理と同様である。

ステップ S0807の詳細である図 10のステップ S0600における判定で、不正動作防止制御部 0106は、前記処理要求が、データ領域の保護設定要求であると判定し (ステツプ S0600の保護）、ステップ S0602に移行する。

[0106] 不正動作防止制御部 0106は、前記データ領域保護設定要求に含まれるデータァドレス力、セキュリティ要件管理情報テーブル T0310中のセキュリティ要件管理情報として登録されているか否かを判定し (ステップ S0602)、登録されていなければ、未使用領域であると決定し、登録されていれば、未使用領域でないと決定する。

未使用領域であった場合 (ステップ S0602の YES)、セキュリティ要件管理情報テ一ブル T0310およびデータ領域管理情報テーブル群 0501を更新する (ステップ SO 603)。

[0107] セキュリティ要件管理情報テーブル T0310の更新において、不正動作防止制御部 0106は、要求元のプログラムに対応するデータ領域管理情報テーブルに、前記先頭アドレス及び前記末尾アドレスをデータアドレスとした新規セキュリティ要件管理情報を追加する。

また、不正動作防止制御部 0106は、前記新規セキュリティ要件管理情報におけるデータ暗号鍵には、乱数値を生成して登録する。

[0108] 次に、不正動作防止制御部 0106は、データ領域管理情報テーブルの更新された情報を不正動作防止回路 0105に設定する (ステップ S0604)。

具体的には、不正動作防止制御部 0106は、更新された情報の不正動作防止回路 0105への設定として、前記新規セキュリティ要件管理情報のデータアドレスと、データ暗号鍵との組を、不正動作防止回路 0105のデータ用鍵情報テーブル 0306に追加する。

[0109] また、ステップ S0602において、受け取ったデータアドレス領域が既に他のプログラムによって確保されている場合には（ステップ S0602の NO)、不正動作防止制御部 0106は、管理テーブルの更新 (ステップ S0603)、およびデータ領域設定の変更 (ステップ S0604)の処理を行わず、ステップ S0808に移行する。

不正動作防止制御部 0106は、処理結果を共有メモリに格納する (ステップ S0808

) o

[0110] 処理結果には、正常終了、データアドレス領域が他のプログラムにより確保されて V、る等のエラー要因などを含める。

以降の処理は、前述のプログラム登録処理と同様である。

< 3. 3.データ領域共有設定処理 >

図 21におけるステップ S2051は、プログラム Aが不正動作防止制御部 0106に対し、使用するメモリ領域の共有設定を要求する処理である。

[0111] 以下、データ領域共有設定処理につ!、て、前述のプログラム登録処理と異なる部分を中心に説明する。なお、プログラム Xは、プログラム AO 102である。

まず、プログラム Xは、自プログラムについて予め指定されている RAM0202上のデータ領域である共有メモリに、データアドレスとセキュリティ要件とを含むデータ領域共有設定要求及び署名 AO 115を書き込む。

[0112] 前記データアドレスは、プログラム Xがデータ領域として共有を要望するメモリ領域の先頭アドレスと末尾アドレスとを含み、前記セキュリティ要件は、ファイル A0212の機能フラグ AO 111の情報を含む。

署名 A0115は、不正動作防止制御部 0106により、機能フラグ A0111の正当性の確認に用いられる。不正動作防止制御部 0106は、ステップ S0802において、前記データ領域共有設定要求を取得する。

[0113] ステップ S0803〜S0806までは、プログラム登録処理と同様である。

ステップ S0807の詳細である図 10のステップ S0600における判定で、処理要求が、データ領域の共有設定要求であると判定する (ステップ S0600の共有)。

不正動作防止制御部 0106は、ステップ S0802〖こおいて、 RAM0202上の共有メモリから前記データ領域共有設定要求を取得し、ステップ S0632において、前記データ領域共有設定要求に含まれるデータアドレスが、セキュリティ要件管理情報テーブル T0310中のセキュリティ要件管理情報として登録されているか否かを判定し、登録されている場合 (ステップ S0632の YES)、不正動作防止制御部 0106は前記データ領域共有設定要求の妥当性判断を行う (ステップ S0633)。

[0114] 妥当性判断は、具体的には、共有を要求しているプログラムに対応するプログラム管理情報に含まれる機能フラグが、妥当性判断の対象となっているセキュリティ要件管理情報のセキュリティ要件を満たすかどうかによつて判断される。

また、前記セキュリティ要件の正当性についても、前記共有メモリに書き込まれた署名を用いて確認する。

[0115] 妥当であると判断した場合 (ステップ S0633の YES)、不正動作防止制御部 0106 は、セキュリティ要件管理情報テーブル T0310と要求元のプログラム用のデータ領域管理情報テーブルの更新を行う（ステップ S0634)。

不正動作防止制御部 0106は、セキュリティ要件管理情報テーブル T0310の更新において、具体的には、対象となるデータ領域に対応するセキュリティ要件管理情報の共有プログラム識別子に共有を要求しているプログラムの識別子を書き込む。

[0116] 要求しているプログラムの識別子は、カレントプログラム管理テーブル 0503に格納されている識別子を用いる。

また、要求しているプログラムが指定しているセキュリティ要件力既存のセキユリティ要件より厳しい場合、要求しているプログラムが指定しているセキュリティ要件を、対象となるデータ領域に対応するセキュリティ要件管理情報のセキュリティ要件として追加する。

[0117] ここで、要求しているプログラムが指定しているセキュリティ要件が既存のセキユリティ要件より厳しい場合とは、セキュリティ要件はセキュリティ要件リスト 0109と同様のデータ構造をしていることから、セキュリティ要件が既存のものより多い場合を指す。さらに、データ領域管理情報テーブルの更新において、不正動作防止制御部 010 6は、要求元のプログラム用のデータ領域管理情報テーブルにデータ領域管理情報を追加する。

[0118] ここで、追加するデータ領域管理情報のデータアドレスには、要求されたアドレス領域を設定し、データ暗号鍵には、共有対象となるデータ領域の暗 Z復号に用いている暗号鍵を設定する。

次に、不正動作防止制御部 0106は、データ保護設定の変更を行う（ステップ S06 35)。

[0119] 具体的には、不正動作防止制御部 0106が、ステップ S0634で更新したデータ領域管理情報テーブルの更新内容を不正動作防止回路 0105に反映し、正常終了を示す処理結果を生成する。

また、ステップ S0632において、登録されていないと判断した場合 (ステップ S063 2の NO)、および設定が妥当でないと判断した場合 (ステップ S0633の NO)、不正動作防止制御部 0106は、エラーを示す処理結果を生成する。

[0120] 次に、不正動作防止制御部 0106は、生成した処理結果を共有メモリに格納する（ステップ S0808)。

処理結果には、正常終了、データアドレス領域が他のプログラムにより確保されて V、る等のエラー要因などを含める。

以降の処理は、前述のプログラム登録処理と同様である。

< 3. 4.プログラム切替処理 >

図 21におけるステップ S2061は、プログラム A0102力不正動作防止制御部 010 6に対し、カレントのプログラムを切り替えるよう要求し、その要求に対する処理である

[0121] 以下、プログラム切替処理について、前述のプログラム登録処理と異なる部分を中心に説明する。

なお、プログラム Xは、プログラム A0102であり、プログラム B0103への切替を要求するものとする。

まず、プログラム Xは、自プログラムについて予め指定されている RAM0202上のデータ領域である共有メモリに、切替を希望するプログラムの識別子を含む切替要求と、切替を希望するプログラムに対して伝達を希望する引数データとを書き込む。

[0122] プログラム X用割り込み管理部は、ステップ S0802において、前記プログラム切替要求を取得する。

ステップ S0807の詳細である図 10のステップ S0600における判定で、処理要求が

、プログラム切替要求であると判定する (ステップ S0600の切替)。

[0123] 不正動作防止制御部 0106は、ステップ S0802〖こおいて、 RAM0202から前記切替要求を取得し、更に、引数データの取得を行う（ステップ S0621)。引数データは、切替元のプログラム力切替先のプログラムへ伝達される情報であり、コマンドなどが含まれる。

不正動作防止制御部 0106は、取得した引数データを保護メモリ 0206に格納する

[0124] RAM0202における引数データの格納位置は予め決められており、不正動作防止制御部 0106は予め知っている。なお、引数データの位置は固定である必要はなぐ切替要求に含むこととしてもよい。

次に、不正動作防止制御部 0106は、カレントプログラム管理テーブルの更新を行う（ステップ S0622)。

[0125] ここで、カレントプログラム管理テーブルの内容を切替先のプログラムの識別子に変更する。

次に、不正動作防止制御部 0106は、不正動作防止回路 0105の設定を変更する (ステップ S0623)。

不正動作防止制御部 0106は、鍵レジスタ 0205に記憶されている命令用鍵情報テ一ブルの内容と、データ用鍵情報テーブルの内容を消去し、データ領域管理情報テ一ブル群 0501に含まれる切替先のプログラムに対応するデータ領域管理情報テーブル中の各データ領域管理情報に記憶されて、るデータアドレスと、データ暗号鍵との組を、不正動作防止回路 0105のデータ用鍵テーブルに書き込む。

[0126] また、コード領域管理情報テーブル群 0502に含まれる切替先のプログラムに対応するコード領域管理情報テーブル中の各コード領域管理情報に記憶されているコードアドレスと、コード暗号鍵との組を、不正動作防止回路 0105の命令用鍵情報テーブル 0305に書き込む。

次に、不正動作防止制御部 0106は、予め保護メモリ 0206に格納しておいた引数データを切替先のプログラムが管理する RAM0202に格納する（ステップ S0624)。

[0127] 次に、不正動作防止制御部 0106は、切替先のプログラムへの分岐指示を含む処理結果を生成し、当該処理結果を共有メモリに格納する (ステップ S0808)。

このように、不正動作防止制御部 0106は、引数データを保護メモリを介して他のプログラムに受け渡すことができる。

そのため、不正動作防止制御部 0106は、 OS0104を含むプログラムから他のプログラムへのデータの受け渡しを依頼された場合、依頼元のプログラムと依頼先のプログラム以外のプログラムへ、そのデータが漏洩しな、ように受け渡しを行うことが可能となる。

[0128] 例えば、プログラム A0102がプログラム B0103を関数として呼び出す場合で、プログラム B0103がプログラム A0102のデータ領域を共有していない場合において、引数データの受け渡しを安全に行うことができる。

また、プログラム A0102が OS0104のシステムコールを呼び出す場合も同様に引数データの受け渡しを安全に行うことができる。

<4.全体動作 >

プログラム保護装置 0101によるプログラムの切替処理（プログラム A0102からプログラム B0103への切替処理）を例として、全体動作について、図 13、図 14に示すフローチャートを用いて説明する。

[0129] プログラム A0102は、保護対象データ 0108であるコンテンツの復号を行った後、復号されたコンテンツの再生を依頼するために、プログラム A0102に対し予め決められたデータ領域に、プログラム Bへの引数データを含む処理要求を書き込んで、プログラム B0103に切り替えるためにソフトウェア割り込みを発生させ、プログラム A用割り込み管理部 0402に制御を移す (ステップ S0901)。

[0130] プログラム A用割り込み管理部 0402は、前記データ領域から前記引数データを取得し、また、割り込みの種別がプログラム B0103へ切り替えるためのソフトウェア割り込みであったことを確認する（ステップ S0902)。

次に、プログラム A用割り込み管理部 0402は、プログラム B0103へ切り替える旨の要求と引数データを共有メモリに格納する (ステップ S0903)。

[0131] 次に、プログラム A用割込み管理部 0402、状態切替回路 0208、セキュリティカーネル 0401は、前述の状態切替動作 Aを実行し、通常モードから保護モードへ切り替える（ステップ S0905)。

次に、ステップ S0905において、制御主体となったセキュリティカーネル 0401は、不正動作防止制御部 0106に制御を移す (ステップ S0907)。

[0132] 次に、不正動作防止制御部 0106は、共有メモリから、ステップ S0903で格納された前記要求と前記引数データを取得する (ステップ S0908)。

次に、不正動作防止制御部 0106は、前記要求がプログラム B0103への切り替え要求であることから、プログラムの切替処理が必要であることを判断し、前述したプログラムの切替処理 0602の処理を行う（S0909)。 [0133] 不正動作防止制御部 0106は、切替処理の結果を共有メモリに格納する (ステップ S0910)。

次に、不正動作防止制御部 0106は、セキュリティカーネルに制御を移す (ステップ S09l 。

ここで、セキュリティカーネル 0401、状態切替回路 0208及び OS用割込み管理部 0404が前述の状態切替動作 Bを実行し、保護モードから通常モードへ切り替える（ステップ S0913)。また、プログラムの切替にはオペレーティングシステムの処理が必要なので、通常モードに復帰後、 OS用割り込み管理部 0404に制御を移す。

[0134] 次に、 OS用割り込み管理部 0404は、共有メモリから処理結果を取得し (ステップ S 0915)、 OS0104に制御を移す (ステップ S0916)。

次に OS0104は、プログラム A0102からプログラム B0103への切替処理を行う（ステツプ S0917)。ここで、 OS0104は、プログラムコンテキストの切替などの処理を行う

[0135] 次に、 OS0104は、プログラム B0103への切替を不正動作防止制御部 0106に依頼するために、 OS用割り込み管理部 0404に制御を移す (ステップ S0918)。

次に、 OS用割り込み管理部 0404は、プログラム B0103への切替要求を共有メモリに格納する（ステップ S0919)。

[0136] ここで、ステップ S0921〜ステップ S0929は、ステップ S0905〜ステップ S0913までと同様の処理であるので、説明を省略する。

ただし、切替先のプログラムは OS0104ではなぐプログラム B0103であるので、プログラム B用割り込み管理部 0403に制御が移る。

次に、プログラム B用割り込み管理部 0403は、共有メモリから処理結果を取得する (ステップ S0931)。

[0137] 次にプログラム B用割り込み管理部 0403は、処理結果をプログラム B0103が管理するデータ領域に格納 (ステップ S0932)した後、ソフトウェア割り込みからリターンする（ステップ S0933)。

その後、プログラム B0103は、データ処理を行う（ステップ S0934)。

< 5.コンテンツ復号処理を例とした補足説明 > プログラム保護装置 0101において、暗号化コンテンッである保護対象データ 010 8の復号処理を行うプログラム A0102と、復号されたコンテンツを再生するプレーヤ一であるプログラム Bとが、連係して動作する場合について、データの変化を中心に、図 15〜図 20に示す図を用いて補足説明する。

[0138] また、保護対象データへのアクセス権を保持していないプログラム C0107が、保護対象データへアクセスした場合の動作についても説明する。

図 16は、プログラム保護装置 0101動作中の RAM0202の状態を示す。プログラム A0102、プログラム B0103、プログラム C0107、 OS0104のコードは、それぞれコード暗号鍵 KC— A、 KC— B、 KC— C、 KC— OSによって暗号化されて不揮発メモリ 0203に格納されている。

[0139] 不揮発メモリ 0203に格糸内されている BIOS0405は、フアイノレ A0212、フアイノレ B0 213、ファイル C0214、ファイル OS0215を RAM0202にロードする。

その結果、プログラム A0102のコード領域（定数も含まれる） 1201は、 1000番地力 1100番地にロードされる。

[0140] プログラム B0103、プログラム C0107、 OS0104も同様に、それぞれ 2000〜210 0、 3000〜3100、 4000〜4100番地にロードされる。

また、蓄積メディア 0216に格納されている保護対象データ 0108は、 8000-900 0番地の保護対象データ領域 1210にロードされる。

なお、保護対象データ 0108は、必ずしも BIOS0405がロードする必要はなぐその他のプログラムがロードしてもよ、。

[0141] その後、 BIOS0405は、不正動作防止制御部 0106にプログラム登録依頼をする。

不正動作防止制御部 0106は、プログラムの登録処理 0601に従って、各プロダラムを登録する。

その結果、図 17〜図 19に示すように、管理テーブル 0110内に、データ領域管理情報テーブル T0500、 Τ0600、 Τ0700、 Τ0800、コード領域管理情報テーブル TO 900、 T1000、 Τ1100、 Τ1200、およびプログラム管理情報テーブル Tl 300、セキユリティ要件管理情報テーブル T1400が生成される。

[0142] なお、ここでは BIOS0405がプログラム A0102、プログラム B0103、プログラム CO 107をロード Z登録して、るが、 BIOS0405が OS0104のみをロード Z登録した後、 OS0104力プログラム A0102、プログラム B0103、プログラム C0107をロード Z登録してちよい。

プログラム登録処理 0601の管理テーブルの更新 (ステップ S0615)で、プログラム管理情報 T1301〜T1304がプログラム管理情報テーブル T1300に追加される。

[0143] プログラム A0102およびプログラム B0103の機能フラグ 0111および 0112において、ファイル出力機能は無しであるので、プログラム管理情報 T1301および T1302 の機能フラグはファイル出力機能無しとなる。

また、プログラムじ0107ぉょび030104の機能フラグ0113ぉょび0114は、フアイル出力機能は有りであるので、プログラム管理情報 T1303および T1304の機能フラグはファイル出力機能有りとなる。

[0144] なお、ここではファイル出力機能のみに着目しているが、その他の機能についても同様に扱われる。

プログラム登録処理 0601の管理テーブルの更新 (ステップ S0615)で、プログラム Α用コード領域管理情報テーブル Τ0900には、コード領域管理情報 T0901と Τ090 2が追力！]される。

[0145] コード領域管理情報 T0901にお、て、コード領域識別子として" A— CO"、コードァドレスとして" 1000〜1099"、コード暗号鍵としで' KC_A "が設定される。

ここで、不正動作防止制御部 0106は、ファイル A0212に格納されているコード喑号鍵 0710を秘密鍵で復号ィ匕する。コード領域管理情報 T0902において、コード領域識別子として"未定義領域"、コードアドレスとして"定義領域以外"、コード暗号鍵として" KC_RA "が設定される。

[0146] ここで、 "定義領域以外"とは、プログラム A用コード領域管理情報テーブル T0900 に登録されているコード領域管理情報 T0902以外のコード領域管理情報で定義されているコードアドレス領域以外の領域を意味し、この領域には、コード暗号鍵として KC_RAが用いられる。

KC— RAは、不正動作防止制御部 0106が生成した乱数値である。なお、他のコード、領域管理†青報テープノレ T1000、 T1100、 T1200ち図 16【こ示すよう【こ、同様【こ設定される。

[0147] 図 15は、プログラム保護装置 0101の動作を示すフローチャートである。

本フローチャートは、プログラム A〜Cが連携動作しようとし、プログラム Cがセキユリティ要件違反により停止する場合を示している。

なお、図 15では、各割り込み管理部 0402、 0403、 0404、 0406の動作は省略している。以下、図 15にしたがってプログラム保護装置 0101の動作を説明する。

[0148] プログラム A0102は、プログラム Aのデータ領域 1202を使用可能にするために不正動作防止制御部 0106に対しデータ保護設定を依頼する (ステップ S1101)。ここで、プログラム A0102は、 1500〜 1599番地までのデータ領域をプログラム AO

102のみアクセス可能な状態で確保するよう不正動作防止制御部 0106に依頼をする。

[0149] プログラム A0102は、ステップ S0801〜ステップ S0813と同様の動作を行い、データ保護設定を行う。

以下、データ保護設定の依頼は同様の動作で行われるものとする。

その結果、プログラム A用データ領域管理情報テーブル T0500にデータ領域管理情報 T0501が追加されると共に、セキュリティ要件管理情報テーブル T1400にセキユリティ要件管理情報 T1401が追加される。

[0150] このとき、不正動作防止制御処理 (ステップ S0807)において、不正動作防止制御部 0106は、データ領域の保護設定処理 0603を行う。

データ領域管理情報 T0501のデータ暗号鍵 KD— A1は、不正動作防止制御部が生成した乱数値である。

次にプログラム A0102は、保護対象データ領域 1210のデータを取り扱えるように設定を行う（ステップ S 1102)。

[0151] 保護対象データ領域 1210に格納されている保護対象データ 0108内のデータ 07 01はデータ暗号鍵 0702で暗号化されているので、データ 0701をデータ暗号鍵 07 02で復号化しなければプログラム A0102はデータ 0701を使用できない。

ここでは、バス暗号回路 0204で復号ィ匕するものとする。

そこで、プログラム A0102は、不正動作防止制御部 0106に対し、データ領域設定要求を行う。

[0152] データ領域設定要求には、保護対象データ領域 1210のアドレスとセキュリティ要件が含まれる。

ここで、プログラム A0102は、セキュリティ要件として、保護対象データ 0108に含まれるセキュリティ要件リスト 0109を用いるように不正動作防止制御部 0106に指示する。

[0153] 不正動作防止制御部 0106は、図 12〖こ示す (ステップ S0801)力ら（ステップ S081 3)までの処理を行う。

不正動作防止制御処理 (ステップ S0807)において、不正動作防止制御部 0106 は、データ領域保護設定処理 0603と同様の処理を行う。

ただし、未使用領域であるかどうかを確かめる処理 (ステップ S0602)の後、図 20のフローチャートに示す、プログラム Aの機能フラグが保護対象データ 0108のセキユリティ要件リスト 0109記載のセキュリティ要件を満たすかどうかの確認を行う処理が追加される。

[0154] もし、セキュリティ要件を満たしていなければ不正動作防止制御処理を終了する。

ここで、セキュリティ要件を満たす力どうかの確認において、不正動作防止制御部 0 106は、まずセキュリティ要件リストの正当性確認を行う（ステップ S1801)。

セキュリティ要件リストが正当でないと判断した場合 (ステップ S1801の NO)、不正動作防止制御処理を終了する。

[0155] ここで、不正動作防止制御部 0106は、署名データ 0708を用い、セキュリティ要件リスト 0109の正当性の確認を行う。

次に、不正動作防止制御部 0106は、セキュリティ要件と機能フラグの比較を行う（ステップ S 1802)。

ここで、不正動作防止制御部 0106は、正当性を確認したセキュリティ要件リスト 01 09とプログラム管理情報 T1301に含まれるプログラム Aの機能フラグを比較し、セキユリティ要件を満たしているかどうかの確認、および、セキュリティ要件管理情報テーブル T1400に含まれる生成したプログラムがプログラム Aであるセキュリティ要件管理情報のセキュリティ要件がセキュリティ要件リスト 0109を満たしているかどうかの確認を行う。

[0156] セキュリティ要件を満たしていないと判断された場合 (ステップ SI 802の NO)、不正動作防止制御処理を終了する。

セキュリティ要件管理情報テーブル T1400に含まれる他のデータ領域のセキユリティ要件がセキュリティ要件リスト 0109を満たしているかどうか確認することで、保護対象データ 0108のセキュリティ要件を満たしていないデータ領域力もデータが漏洩することを防止することができる。

[0157] 次に、不正動作防止制御部 0106は、データ暗号鍵 0702の復号ィ匕を行った後 (ステツプ S1803)、データ領域管理情報テーブルの更新 (ステップ S0603)を行う。ここで、不正動作防止制御部 0106は、プログラム A用データ領域管理情報テープル T0500にデータ領域管理情報 T0502を追加すると共に、セキュリティ要件管理情報テーブル T1400にセキュリティ要件管理情報 T1402を追加する。

[0158] データ領域管理情報 T0502のデータ暗号鍵には、データ暗号鍵 0702が格納される。

図 17では、データ暗号鍵 0702は、 "KD_S "と示されている。

次にプログラム A0102は、 1600〜1699番地までのデータ領域をセキュリティ要件リスト 0109に基づくセキュリティ要件で確保するよう不正動作防止制御部 0106に依頼をする（ステップ S1103)。

[0159] ここで、セキュリティ要件リスト 0109には、保護対象データ 0108はファイル出力禁止である旨の情報が含まれて、る。

ここで、不正動作防止制御部 0106は、要求されたセキュリティ要件が、プログラム A0102が既に生成しているすべてのデータ領域のセキュリティ要件と同等力もしくは厳、ものであるかをセキュリティ要件管理情報テーブル T1400を用いて確認する。

[0160] もし、要求されたセキュリティ要件が、既に生成しているすべてのデータ領域のセキユリティ要件と同等力もしくは厳しいものでなければ、管理情報の追カ卩は行わない。要求されたセキュリティ要件が、既に生成して!/、るすべてのデータ領域のセキユリティ要件と同等力もしくは厳しいものであると、プログラム A用データ領域管理情報テーブル T0500にデータ領域管理情報 T0503が追加されると共に、セキュリティ要件管理情報テーブル T1400にセキュリティ要件管理情報 T1403が追加される。

[0161] 次に、プログラム A0102は、保護対象データ 0108を保護対象データ領域 1210から読み出し、保護対象データ 0108の処理を行う (ステップ S 1105)。

処理結果は、プログラム Aのデータ領域 1203に格納される。

次に、プログラム A0102は、プログラム A0102からプログラム B0103への切替処理を行う（ステップ S 1106)。

[0162] ここで切替処理は、図 13及び図 14のステップ S0901〜ステップ S0933の処理を行う。

切替処理 (ステップ S 1106)が実行される以前、不正動作防止制御部 0105には、プログラム A用コード領域管理情報テーブル T0900およびプログラム A用データ領域管理情報テーブル T0500の情報が設定されている。

[0163] 切替処理 (ステップ S 1106)が実行されると、不正動作防止制御部 0105には、プログラム B用コード領域管理情報テーブル T1000およびプログラム B用データ領域管理情報テーブル T0600の情報が設定される。

ここで、動作中のプログラムに合わせた鍵が鍵レジスタに設定されるように、不正動作防止制御部 0105を構成している鍵レジスタ 0205の命令用鍵情報テーブル 0305 に各コード領域管理情報テーブルの設定が反映され、データ用鍵情報テーブル 03 06に各データ領域管理情報テーブルの設定が反映される。

[0164] このように、プログラム保護装置 0101がプログラム A0102からプログラム B0103への切替処理 (ステップ S1106)を行、、プログラム A0102がロードされて!/、る領域を喑 Z復号する鍵を変更するので、プログラム B0103によるプログラム A0102の不正実行を防止することができる。

例えば、プログラム B0103の動作中にコード暗号鍵 KC— Aで暗号化されて RAM 0202に格納されているプログラム Aのコード領域 1201 (1000〜1099番地に配置されている）に分岐する場合、コード領域 1201のコードはコード暗号鍵 KC—RBを用いて復号ィ匕される。

[0165] 鍵 KC— Aで暗号化されて!/、るコードを鍵 KC—RBで復号してもコードは正しく復号されないため、正しく CPU0201は実行することができず、プログラム B0103によるプログラム A0102の不正実行を防止することができる。

また、同様にプログラム B0103の動作中にプログラム Aのデータ領域 1202にァクセスしたとしてもデータ暗号鍵が異なるので、意味のあるデータは取得できな!/、。

[0166] また、プログラム保護装置 0101がプログラム A0102からプログラム B0103への切替処理 (ステップ S 1106)を行うことで、割り込みおよび例外が発生した場合にはプログラム B用割り込み管理部 0403に含まれるハンドラが実行される。

そのため、割り込みおよび例外によって、プログラム B0103以外のプログラムに制御を奪われることがない。

[0167] 次に、プログラム B0103は、プログラム Bのデータ領域 1205を使用可能にするために不正動作防止制御部 0106に対しデータ保護設定を依頼する (ステップ S1107

) o

ここで、プログラム B0103は、 2500〜2599番地までのデータ領域をプログラム B0 103のみアクセス可能な状態で確保するよう不正動作防止制御部 0106に依頼をする。

[0168] その結果、プログラム B用データ領域管理情報テーブル T0600にデータ領域管理情報 T0601が追加されると共に、セキュリティ要件管理情報テーブル T1400にセキユリティ要件管理情報 T1404が追加される。

次に、プログラム B0103は、データ領域 1203をプログラム Aと共有するためにデータ保護設定を行う (ステップ S 1108)。

[0169] ここで、プログラム B0103は、 1600〜1699番地までのデータ領域 1203をフアイルへの出力不可を示すセキュリティ要件で確保するよう不正動作防止制御部 0106 に依頼をする。

データ領域 1203は、既にプログラム A0102によって確保されているので、データ領域を共有することとなる。

[0170] プログラム保護装置 0101は、図 12に示すステップ S0801〜ステップ S0813と同様の処理を行う。

ここで、コード'データ保護設定 (ステップ S0807)において、不正動作防止制御部 0106は、図 10に示すデータ領域共有設定処理 0604を行う。データ領域共有設定処理 0604において、不正動作防止制御部 0106は、要求されているデータ領域がセキュリティ要件管理情報テーブル T1400に存在するかどうかを確かめる（ステップ S0632)。

[0171] 不正動作防止制御部 0106は、セキュリティ要件管理情報 T1403の存在を確認できる。

次に不正動作防止制御部 0106は、プログラム Bのプログラム管理情報 T1302に含まれる機能フラグが、要求されているデータ領域のセキュリティ要件管理情報 T14 03に含まれるセキュリティ要件を満たす力どうかを確かめる。

[0172] ここでは、共有対象のデータ領域 1203のセキュリティ要件はファイル出力不可であるのに対し、プログラム B0103の機能フラグはファイル出力不可能であるので、妥当であると判断される。

その結果、セキュリティ要件管理情報 T1403に含まれる共有プログラム識別子にプログラム Bの識別子が設定される。

[0173] プログラム B0103がデータ領域 1203に要求するセキュリティ要件は、ファイルへの出力不可であり、これは既存のセキュリティ要件と等しいので、セキュリティ要件管理情報 T1403のセキュリティ要件は変更しな、。

次に管理テーブルの更新 (ステップ S0634)が行われ、プログラム B用データ領域管理情報テーブル T0600にデータ領域管理情報 T0602が追加される。

[0174] データ領域管理情報 T0602のデータ暗号鍵は、プログラム A用データ領域管理情報 T0503と同様の鍵が設定される。

次にデータ保護設定の変更 (ステップ S0635)が行われ、鍵レジスタ 0205の設定が変更される。

その結果、プログラム B0103からもプログラム Aのデータ領域 1203の参照が可能となる。

[0175] 次に、プログラム B0103は、データ領域 1203のデータを用いて処理を行う（ステツプ S1109)。

次にプログラム保護装置 0101は、プログラム B力も Cへの切替処理を行う（ステップ S1110)。次に、プログラム C0107は、プログラム Cのデータ領域 1207を使用可能にするために不正動作防止制御部 0106に対しデータ保護設定を依頼する (ステップ S 1111

) o

[0176] ここで、プログラム C0107は、 3500〜3599番地までのデータ領域をプログラム C のみアクセス可能な状態で確保するよう不正動作防止制御部 0106に依頼をする。その結果、プログラム C用データ領域管理情報テーブル T0700にデータ領域管理情報 T0701が追加されると共に、セキュリティ要件管理情報テーブル T1400にセキユリティ要件管理情報 T1405が追加される。

[0177] 次に、プログラム C0107は、データ領域 1203をプログラム A0102と共有するためにデータ保護設定を行う (ステップ S 1112)。

ここで、プログラム C0107は、 1600〜1699番地までのデータ領域 1203をフアイルへの出力可を示すセキュリティ要件で確保するよう不正動作防止制御部 0106に依頼をする。

[0178] 共有メモリの設定 (ステップ S1108)と同様に不正動作防止制御部 0106は、データ領域共有設定処理 0604を行う。

共有メモリの設定 (ステップ S 1112)は、共有メモリの設定 (ステップ S 1108)と異なり、共有メモリの設定は失敗する。

データ領域共有設定処理 0604における、要求の妥当性判断 (ステップ S0633)で妥当でないと判断されるからである。

[0179] より具体的には、不正動作防止制御部 0106は、セキュリティ要件管理情報 T1403 のセキュリティ要件をプログラム管理情報 T1303の機能フラグが満たすかどうかの確認を行う。

セキュリティ要件がファイル出力不可であるのに機能フラグが出力可能であるので、不正動作防止制御部 0106は、データ領域 1203のセキュリティ要件をプログラムじが満たしていないと判断し (ステップ S0633の NO)、不正動作防止制御部 0106は、不正動作防止制御処理を終了する。

< 6.変形例 >

なお、本発明を上記の実施の形態に基づいて説明してきたが、本発明は、上記の実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる。

(1) 第 1実施形態において、コード暗号鍵 0710等のコード暗号鍵は、公開鍵暗号アルゴリズムで暗号化されて、るとして、たが、これに限るものではな、。

[0180] それぞれのコード暗号鍵を共通鍵暗号方式で暗号ィ匕してもよぐこの場合、暗号ィ匕する際に用いた共通鍵は不正動作防止制御部 0106が保持する。また、プログラムは必ずしも暗号ィ匕する必要はない。その場合、コード暗号鍵 0710は NULL鍵とする。また、コード暗号鍵 0710は、プログラム Aのコード 0711を暗号ィ匕する際に用いたアルゴリズム情報を含むことができる。

[0181] また、データ暗号鍵 0702についても、データ暗号鍵 0702を共通鍵暗号方式で暗号ィ匕してもよぐこの場合、暗号化する際に用いた共通鍵は不正動作防止制御部 01 06が保持する。

また、データ 0701を暗号化しない場合、データ暗号鍵 0702は NULL鍵とする。

[0182] また、データ暗号鍵 0702は、データ 0701を暗号ィ匕する際に用いたアルゴリズム情報を含むことができる。

(2) 上述の実施形態では、不正動作防止回路 0105を用いて、 RAM0202へのァクセスを制限していた力これに限らず、 RAM0202へのアクセスを、プログラム単位で制限することができる他の回路、方法等を用いてもよい。

[0183] 例えば、図 22に示すように、不正動作防止回路 0105に代えて、不正動作防止回路 2105を用いてもよい。

不正動作防止回路 2105は、 RAM0202に記憶させるコード、データに対し暗号ィ匕、復号を行うのに代えて、 RAM0202へのアクセスを、プログラム IDを用いて制限する。

[0184] 不正動作防止回路 2105は、鍵レジスタに代えて IDレジスタ 2205を備え、バス喑号回路に代えてバス接続許可回路 2204を備える。

IDレジスタ 2205は、図 23に示すように、アドレスと命令用バス接続 IDとの対応を示す命令用 ID情報テーブル 2305と、アドレスとデータ用バス接続 IDとの対応を示すデータ用 HD情報テーブル 2306とを保持しており、バス接続許可回路 2204からアドレス信号 2301を取得して、アドレス信号 2301が示すアドレスに対応づけられている命令用バス接続 ID2302と、データ用バス接続 ID2303とをバス接続許可回路 2204 に出力する。

[0185] ここで、命令用 HD情報テーブル 2305は、命令用 HD情報 T2311、 T2312、 T231 3 · · ·を含み、各命令用 Iひ f青報は、アドレスと命令用バス接続 ID暗号鍵との対応を示しており、データ用 HD情報テーブル 2306は、データ用 HD情報 T2321、 Τ2322、 Τ2 323 · · ·を含み、各データ用 HD情報は、アドレスとデータ用バス接続 IDとの対応を示している。

[0186] この変更に伴い、不正動作防止制御部 0106が管理する管理テーブル 0110の内容は、上述の実施形態で説明したものに代えて、不正動作防止回路 2105に設定するための IDに関する情報とする。

また、 IDレジスタ 2205の設定は、状態切替回路 0208が出力する状態信号 Bが保護モードを示すときのみ、バス 0210により通知される設定信号 2304を用いて変更することができる。

[0187] RAM0202は、バス接続許可回路 2204と接続されているメモリ装置である。

バス接続許可回路 2204は、 IDレジスタ 2205から通知されるデータ用バス接続 ID 、コード用ノス接続 IDと、現在動作中のプログラム固有の IDとを比較し、一致する場合に、当該アドレスで示されるメモリ領域へのアクセスを許可する。前述の現在動作中のプログラム固有の IDは、カレントプログラム管理テーブル T0503に設定されているカレントプログラムの固有の IDである。

[0188] これにより、コードやデータが、バス 0210と RAM0202との間でやり取りされるか否かをバス接続許可回路 2204により制御することができる。

また、バス接続許可回路 2204は、 CPU0201上で動作するプログラムが命令フエツチのために RAM0202にアクセスして!/、るのか、データアクセスのためにアクセスして!、るのかを検知し、同一物理アドレスへの命令フェッチの場合には命令用バス接続 IDを用い、データアクセスの場合にはデータ用バス接続 IDを用いる。

[0189] (3)上記の実施形態では、プログラム単位で、コード領域、データ領域、セキユリティ要件、プログラムの管理情報、メモリの共有など情報の管理や、実行単位の切替を行っていたが、これに限らず、プロセス、スレッドなど他の単位毎に行ってもよい。この場合、通常モードや保護モードのそれぞれで連携動作するプロセスやスレッドは、互いに異なるプログラムに含まれるプロセスやスレッドではなぐ同一のプログラムの別プロセスや別スレッドであってもよ、。（4)上記の各装置は、具体的には、マイクロプロセッサ、 ROM、 RAM、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなど力も構成されるコンピュータシステムである。前記 RAM又は前記ハードデイスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサ力前記コンピュータプログラムに従って動作することにより、各装置は、その機能を達成する。ここで、コンピュータプログラムは、所定の機能を達成するために、コンビュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである

[0190] (5)上記の各装置を構成する構成要素の一部又は全部は、 1個のシステム LSI (La rge Scale Integration:大規模集積回路）から構成されているとしてもよい。システム LSIは、複数の構成部を 1個のチップ上に集積して製造された超多機能 LSIであり、具体的には、マイクロプロセッサ、 ROM、 RAMなどを含んで構成されるコンビュータシステムである。前記 RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサ力前記コンピュータプログラムに従って動作することにより、システム LSIは、その機能を達成する。これらは個別に 1チップィ匕されても良いし、一部又は全てを含むように 1チップ化されても良、。

[0191] ここでは、 LSIとした力集積度の違いにより、 IC、システム LSI、スーパー LSI、ゥノレ卜ラ LSIと呼称されることちある。

また、集積回路化の手法は LSIに限るものではなぐ専用回路又は汎用プロセサで実現してもよい。 LSI製造後に、プログラムすることが可能な FPGA (Field Progra mmable Gate Array)や、 LSI内部の回路セルの接続や設定を再構成可能なリコンフィギユラブル ·プロセッサーを利用しても良、。

[0192] さらには、半導体技術の進歩又は派生する別技術により LSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積ィ匕を行ってもよい。バイオ技術の適応等が可能性としてありえる。 (6)上記の各装置を構成する構成要素の一部又は全部は、各装置に脱着可能な I Cカード又は単体のモジュール力構成されて、るとしてもよ、。前記 ICカード又は前記モジュールは、マイクロプロセッサ、 ROM, RAM,などから構成されるコンビュータシステムである。前記 ICカード又は前記モジュールは、上記の超多機能 LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、前記 ICカード又は前記モジュールは、その機能を達成する。この ICカード又はこのモジュールは、耐タンパ性を有するとしてもよ!/、。

[0193] (7)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンビュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラム力もなるデジタル信号であるとしてもよい。

また、本発明は、前記コンピュータプログラム又は前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、 CD— RO M、 MO、 DVD, DVD-ROM, DVD -RAM, BD (Blu— ray Disc)、半導体メモリなど、〖こ記録したものとしてもよい。また、これらの記録媒体に記録されている前記コンピュータプログラム又は前記デジタル信号であるとしてもよい。

[0194] また、本発明は、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

また、本発明は、マイクロプロセッサとメモリとを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムに従って動作するとしてもよい。

[0195] また、前記プログラム又は前記デジタル信号を前記記録媒体に記録して移送することにより、又は前記プログラム又は前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい

(8)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよ！/、。

< 7.用語についての補足説明 >

前記データ処理装置は、プログラム保護装置 0101に相当する。 [0196] 前記検出手段は、 CPU0201及び状態切替部 0208に相当する。

前記アクセス手段は、不正動作防止制御回路 0105及び RAM0202及び保護メモリ 0206及びアクセス制限回路 0207に相当する。

前記切替手段は、状態切替部 0208に相当する。

前記判定手段は、不正動作防止制御部 0106に相当する。

[0197] 前記制御手段は、不正動作防止制御部 0106及びセキュリティカーネル 0401に相当する。

前記メモリは、 RAM0202〖こ相当する。

前記保持部は、鍵レジスタ 0205に相当する。

前記アクセス制限部は、不正動作防止制御部 0106及びセキュリティカーネル 040 1及び不正動作防止制御回路 0105及び RAM0202及び保護メモリ 0206及びァクセス制限回路 0207に相当する。

[0198] 前記アクセス制限部における前記取得部は、 RAM0202と、不正動作防止回路 02 05と、セキュリティカーネル 0401と、不正動作防止制御部 0106に相当する。

前記アドレス判定部は、鍵レジスタ 0205とバス暗号回路 0204に相当する。前記アクセス実行部は、バス暗号回路 0204に相当する。

前記管理情報追加部は、不正動作防止制御部 0106に相当する。

[0199] 前記べクタテーブル保持手段は、不揮発メモリ 221に相当する。

前記べクタテーブル書換手段は、不正動作防止制御部 0106に相当する。前記使用要求受付部は、バス暗号回路 0204に相当する。

前記使用判定部は、バス暗号回路 0204に相当する。

前記権限判定部は、不正動作防止制御部 0106に相当する。

[0200] 前記管理情報登録部は、不正動作防止制御部 0106に相当する。

前記デバッグ手段は、デバッガ IZF0209に相当する。

前記強制無効化手段は、 CPU0201に相当する。

産業上の利用可能性

[0201] 本発明のプログラム保護装置は、機能追加、不具合修正などのためにプログラムの更新が可能なデジタル家電などとして使用され、家電製品を扱う業者などにより、生産、使用、販売等される。

Claims

請求の範囲

[1] プログラムに従って動作するプロセッサを備え、前記プログラムの実行単位であるプ口セスが動作する通常モードと前記プロセスの動作が抑制される保護モードを切り替えて動作するデータ処理装置であって、

通常モードにおいて、第 1プロセスの処理対象データに対して、前記第 1プロセスによるアクセスを許可し、他のプロセスによるアクセスを禁止するアクセス禁止手段と、通常モードにおいて、前記第 1プロセスから、第 2プロセスの呼び出しを指示する呼出命令を検出する検出手段と、

前記呼出命令が検出されると、通常モードから保護モードに切り替える切替手段と保護モードにおいて、前記第 2プロセスが、前記処理対象データについての使用権限を有している力否かを判断する判断手段と、

保護モードにおいて、前記第 2プロセスが前記使用権限を有していると判断される場合に、前記アクセス禁止手段に対して、前記第 2プロセスが前記通常モードにおいて、前記処理対象データに対しアクセスすることが許可されるように制御する制御手段と

を備えることを特徴とするデータ処理装置。

[2] 前記アクセス禁止手段は、

メモリと、

プロセス毎の前記メモリ内でアクセスを許可する領域を示す管理情報を、保護モードにおいてのみ書き換え可能に保持する保持部と、

通常モードで動作するプロセスを、前記管理情報に従って前記メモリにアクセスさせるアクセス制限部と、

を含み、

前記制御手段は、前記判断手段により使用権限があると判定された場合に、第 2プ口セスの管理情報に、前記メモリ上で前記対象データが保持されている領域へのァクセスを許可する情報を追加する

ことを特徴とする請求項 1に記載のデータ処理装置。

[3] 前記保持部が保持する前記管理情報は、前記メモリ中のアドレスと、アドレスに対応する鍵とを対応付けた情報を一以上含み、

前記アクセス制限部は、

前記メモリのアドレスを含む前記メモリへのアクセス要求を取得する取得部と、前記アクセス要求に含まれるアドレスが、前記管理情報に含まれる力否かを判定するアドレス判定部と、

含まれると判定された場合に、前記アクセス要求が書込要求であれば、書き込むデータを前記アドレスに対応する鍵で暗号ィ匕して前記アドレスで示される領域に書込み、前記アクセス要求が読出要求であった場合には、前記メモリの前記アドレスから読み出したデータを、前記アドレスに対応する鍵を用、て復号して出力するアクセス実行部と

を含むことを特徴とする請求項 2に記載のデータ処理装置。

[4] 前記データは、プロセスのコードである

ことを特徴とする請求項 2に記載のデータ処理装置。

[5] 各プロセスには、個別のプロセス識別子が割り当てられ、

前記保持部が保持する前記管理情報は、前記メモリ中のアドレスと、前記アドレスへのアクセスが許可されているプロセスを示すプロセス識別子とを対応付けた情報を一以上含み、

前記アクセス制限部は、

前記メモリのアドレスを含む前記メモリへのアクセス要求を取得する取得部と、アクセス要求に含まれるアドレスと、アクセス要求したプロセスに割り当てられたプロセス識別子とを対応付けた情報が、前記管理情報に含まれる力否かを判定するアドレス判定部と、

含まれると判定された場合に、アクセス要求したプロセスを、前記メモリの前記アドレスにアクセスさせるアクセス実行部と

[6] 前記データには、一以上のデータ処理方法それぞれについて実行を許可するか否かを示すセキュリティ要件情報が割り当てられ、プロセスそれぞれには、一以上のデータ処理方法それぞれを実行可能か否かを示す機能情報が割り当てられ、

前記呼出命令は、一以上のデータ処理方法の!/、ずれかを示す処理特定情報を含み、

前記判断手段は、前記セキュリティ要件情報が前記処理特定情報により示されるデータ処理方法の実行を許可しておりかつ第 2プロセスの機能情報が、前記処理特定情報により示されるデータ処理方法の実行が可能であることを示す場合に、前記使用権限があると決定する

ことを特徴とする請求項 1に記載のデータ処理装置。

[7] 前記切替手段は、前記通常モードから前記保護モードへと切り替える場合に、前記

、るプロセスのコンテキストを前記メモリに退避し、

前記保護モードから前記通常モードへと切り替える場合に、次に前記通常モードで動作するプロセスのコンテキストを前記メモリから復帰させる

ことを特徴とする請求項 1に記載のデータ処理装置。

[8] 前記第 1プロセス及び前記第 2プロセスは、それぞれが動作している間に割り込み又は例外が発生した場合に、その割り込み又は例外を処理する割込処理又は例外処理を含み、

前記データ処理装置は、さらに、

割り込み又は例外が発生した場合に、実行されるべき処理を示すベクタテーブルを、保護モードにおいてのみ書き換え可能に保持するべクタテーブル保持手段と、動作するプロセス力前記第 1プロセス力前記第 2プロセスへと切り替わる前に、保護モードにぉ、て前記べクタテーブルを、前記通常モードにぉ、て割り込み又は例外が発生した際に第 2プロセスの割込処理又は例外処理を実行するよう書き換えるべクタテーブル書換手段とを含むことを特徴とする請求項 7記載のデータ処理装置。

[9] 前記判断手段は、さらに、

プロセス力前記メモリにおける領域の使用要求を受け付ける使用要求受付部と、使用要求されたアドレスが、既に使用されている力否かを判定する使用判定部と、使用されていな力つた場合に、使用要求したプロセスの、前記アドレスに格納を要望するデータについての使用権限の有無を判定する権限判定部と、

前記権限判定部により使用権限があると判定された場合に、使用要求したプロセスの管理情報に、前記アドレスで示される領域へのアクセスを許可する情報を登録する管理情報登録部と

を含むことを特徴とする請求項 1に記載のデータ処理装置。

[10] 前記管理情報登録部は、前記権限判定部により使用権限があると判定された場合に、鍵を生成し、前記アクセスを許可する情報として、前記アドレスと生成した鍵とを対応付けた情報の組を使用要求した前記プロセスの管理情報に追加する

ことを特徴とする請求項 9に記載のデータ処理装置。

[11] 前記データ処理装置は、さらに、

前記プロセスに係るデバッグを行うデバッグ手段を含み、

前記切替手段は、さらに、前記通常モードに切り替える場合に、前記デバッグ手段を有効化し、前記保護モードに切り替える場合に、前記デバッグ手段を無効化することを特徴とする請求項 1記載のデータ処理装置。

[12] プログラムに従って動作するプロセッサを備え、前記プログラムの実行単位であるプ口セスが動作する通常モードと前記プロセスの動作が抑制される保護モードを切り替えて動作するデータ処理装置に用いられるデータ処理方法であって、

通常モードにおいて、第 1プロセスの処理対象データに対して、前記第 1プロセスによるアクセスを許可し、他のプロセスによるアクセスを禁止するアクセス禁止ステップと通常モードにおいて、前記第 1プロセスから、第 2プロセスの呼び出しを指示する呼出命令を検出する検出ステップと、

前記呼出命令が検出されると、通常モードから保護モードに切り替える切替ステツプと、

保護モードにおいて、前記第 2プロセスが、前記処理対象データについての使用権限を有しているカゝ否かを判断する判断ステップと、

保護モードにおいて、前記第 2プロセスが前記使用権限を有していると判断される場合に、前記アクセス禁止手段に対して、前記第 2プロセスが前記通常モードにおいて、前記処理対象データに対しアクセスすることが許可されるように制御する制御ステツプと

を含むことを特徴とするデータ処理方法。

[13] プログラムに従って動作するプロセッサを備え、前記プログラムの実行単位であるプ口セスが動作する通常モードと前記プロセスの動作が抑制される保護モードを切り替えて動作するデータ処理装置に用いられるコンピュータプログラムであって、通常モードにおいて、第 1プロセスの処理対象データに対して、前記第 1プロセスによるアクセスを許可し、他のプロセスによるアクセスを禁止するアクセス禁止ステップと通常モードにおいて、前記第 1プロセスから、第 2プロセスの呼び出しを指示する呼出命令を検出する検出ステップと、

を含むことを特徴とするコンピュータプログラム。

[14] プログラムに従って動作するプロセッサを備え、前記プログラムの実行単位であるプ口セスが動作する通常モードと前記プロセスの動作が抑制される保護モードを切り替えて動作する集積回路であって、

通常モードにおいて、第 1プロセスの処理対象データに対して、前記第 1プロセスによるアクセスを許可し、他のプロセスによるアクセスを禁止するアクセス禁止手段と、通常モードにおいて、前記第 1プロセスから、第 2プロセスの呼び出しを指示する呼出命令を検出する検出手段と、前記呼出命令が検出されると、通常モードから保護モードに切り替える切替手段と保護モードにおいて、前記第 2プロセスが、前記処理対象データについての使用権限を有している力否かを判断する判断手段と、

を備えることを特徴とする集積回路。