WO2006129641A1

WO2006129641A1 - コンピュータシステム及びプログラム生成装置

Info

Publication number: WO2006129641A1
Application number: PCT/JP2006/310744
Authority: WO
Inventors: Tomoyuki Haga; Hiroshi Okuyama; Hideki Matsushima; Yoshikatsu Ito; Shigehiko Kimura; Yasuki Oiwa; Takafumi Kagawa
Original assignee: Matsushita Electric Industrial Co., Ltd.
Priority date: 2005-06-01
Filing date: 2006-05-30
Publication date: 2006-12-07
Also published as: CN101189586B; US7962746B2; CN101189586A; JPWO2006129641A1; EP1890237A1; US20090106832A1; JP4850830B2; KR20080014786A

Abstract

　携帯電話１０は、ＯＳ、ノンセキュアプログラム、切替デバイスドライバ及びセキュアプログラムに含まれている各命令を読み出し、解読し、その解読結果に応じて動作するＣＰＵ１０２と、管理領域及び管理外領域から構成されるメモリ１０７とを備える。ＯＳは、管理領域のみをアクセス空間として、ノンセキュアプログラムに対して管理領域へのアクセスを仲介する命令と、切替デバイスドライバに対して、セキュアプログラムへの切替を指示する命令とを含む。ノンセキュアプログラムは、ＯＳを介して、管理領域にアクセスする命令を含む。切替デバイスドライバは、ＯＳの指示により、ＯＳからセキュアプログラムへの実行の切替えを行う命令を含む。セキュアプログラムは、管理外領域のみをアクセス空間とし、管理外領域へアクセスする命令を含む。

Description

明細書

コンピュータシステム及びプログラム生成装置

技術分野

[0001] 本発明は、プログラムの不正な改ざんや解析を防止する技術に関する。

背景技術

[0002] プログラムの不正な改ざんや解析を防止する技術にっ、ては従来から研究されている。

例えば、ノッケージとして売られているソフトウェアには、違法コピーによる使用を防ぐために、利用者に対してパスワードの入力を要求するものがある。このようなソフトゥエアには、パスワードが正しいかどうかをチェックするコード（コンピュータプログラム）が含まれている。不正な利用者が、このソフトウェア内において、何らかの方法により、このチェックを行うコードが存在する場所を特定し、このチェックを無効にするようにこのコードに改ざんをカ卩えたとするならば、この不正な利用者は、パスワードを知らなくてもこのソフトウェアを使用することができてしまう。

[0003] また、近年、 PC (パーソナルコンピュータ）で視聴できる有料のデジタルコンテンツが提供されるようになってきている。この有料のデジタルコンテンツは不正にコピーされることを防ぐために暗号ィ匕されており、これを視聴するためのソフトウェアは、暗号を解くための復号アルゴリズム及び復号鍵を含んでいる。もしも、悪意のあるユーザ力視聴用のソフトウェアを解析して、復号鍵を特定することができれば、デジタルコンテンッを不正にコピーすることができるソフトウェアを作成することが可能になる。

[0004] 以上のように、ソフトウェアの内容が解析されると、そのソフトウェアやデジタルコンテンッによるビジネスが成り立たなくなる。そのため、これらのソフトウェアの解析を防止する技術は必要不可欠である。

例えば、非特許文献 1では、ソフトウェアの解析を防ぐための基本原則や具体的手法が記述されている。また、非特許文献 2では、ソフトウェアの解析を防ぐためのツールとして開発された TRCS (Tamper Resistant Coding System)の技術課題とその対策が記述されている。また、非特許文献 3では、ソフトウェアの違法コピーを防ぐためのソフトウェア的な保護手段 (コピープロテ外技術)を無効化されな!/、ようにする技術が解説されている。

[0005] このようなソフトウェアの不正な解析や改ざんを防ぐ技術を「耐タンパ技術」と呼ぶ. 非特許文献 1：「逆解析や改変からソフトを守る」日経エレクトロニクス 1998. 1. 5 (P209- 220)

非特許文献 2 :「ソフトウェアの耐タンパ一化技術」富士ゼロックステク-カルレポート No. 13

非特許文献 3 :「ザ'プロテクト」秀和システム出版 1985年

特許文献 1：特開平 11 15705号公報

発明の開示

発明が解決しょうとする課題

[0006] 複数の OSが普及している現在において、 OS上で動作するソフトウェアデバッガなどの解析ツールが比較的容易に入手できるようになってきて!/、る。

そのため、 OSに依存するライブラリを利用して、 OS上で動作するソフトウェア力秘匿情報を第三者に知られることなぐ安全に処理するように、当該ソフトウェアについてセキュアな実装をした場合であっても、当該ソフトウェアについて、 OS上で動作するデバッガに対して耐性が低いという問題点がある。すなわち、不正解析者により、 o

S上で動作するデバッガを用いて、 OSに依存するライブラリを呼び出している部分が特定され、さらに、秘密情報が特定される危険性がある。

[0007] 本発明は、上記問題点に鑑み、不正解析者による秘密の処理の特定を困難にすることができるコンピュータシステム、集積回路及びプログラム生成装置を提供することを目的とする。

課題を解決するための手段

[0008] 前記目的を達成するために、本発明は、コンピュータシステムであって、基本プログラム、通常プログラム及びセキュアプログラムに含まれている各命令を読み出し、解読し、その解読結果に応じて動作するプロセッサと、管理領域及び前記管理領域とは異なる管理外領域から構成されるメモリ手段とを備え、前記基本プログラムは、ォペレ一ティングシステムを構成し、前記通常プログラムに対して前記管理領域のみをアクセス空間とするアクセスを仲介する命令を含み、前記通常プログラムは、前記基本プログラムを介して、前記管理領域にアクセスする命令を含み、前記セキュアプログラムは、オペレーティングシステムに依存しないプログラムであり、前記管理外領域のみをアクセス空間としてアクセスする命令を含むことを特徴とする。

発明の効果

[0009] この構成によると、セキュアプログラムは、オペレーティングシステムである基本プログラムに依存することなぐオペレーティングシステムの管理外領域にアクセスすることが可能である。一方、通常プログラムは、オペレーティングシステムである基本プログラムを介して、オペレーティングシステムの管理領域にアクセス可能である力オペレーティングシステムの管理外領域に対してはアクセスできな、ので、通常プログラム

1S 例えばソフトゥヱァデバッガである場合に、ソフトゥヱァデバッガは、管理外領域にアクセスできず、セキュアプログラムによる管理外領域へのアクセスにつ、ての安全性を保つことができると!、う優れた効果を奏する。

[0010] ここで、前記管理領域は、さらに、前記基本プログラム及び前記通常プログラムを記憶しており、前記管理外領域は、さらに、前記セキュアプログラムを記憶しており、前記プロセッサは、前記管理領域に記憶されている前記基本プログラム、前記通常プログラムに含まれて、る各命令を読み出し、前記管理外領域に記憶されて!、る前記セキュアプログラムに含まれて、る各命令を読み出すとしてもよ、。

[0011] この構成によると、セキュアプログラムは、オペレーティングシステムの管理外領域に記憶されているので、上記のソフトウェアデバッガは、管理外領域に記憶されているセキュアプログラムにアクセスできず、セキュアプログラム自身の内容を安全に保つことができる。

ここで、前記セキュアプログラムは、前記管理外領域において格納される秘匿すベき情報に関する秘匿処理を行う命令を含むとしてもよい。

[0012] この構成によると、上記のソフトウェアデバッガは、前記セキュアプログラムにより、ォペレ一ティングシステムの管理外領域において格納される秘匿すべき情報にァクセスできず、これらの秘匿すべき情報の内容を安全に保つことができる。

ここで、前記管理領域は、さらに、基本プログラムの指示により、基本プログラムからセキュアプログラムへの実行の切替えを行う命令を含む切替プログラムを記憶しており、前記プロセッサは、さらに、前記管理領域に記憶されている前記切替プログラムに含まれている命令を読み出し、解読し、その解読結果に応じて動作し、前記基本プログラムは、さらに、前記切替プログラムに対して、セキュアプログラムへの切替を指示する命令を含み、前記セキュアプログラムは、さらに、前記秘匿処理の終了後、セキユアプログラム力も基本プログラムへの実行の切替えを行う命令を含むとしてもよい。

[0013] この構成によると、基本プログラム力秘匿処理が必要な時等に、切替プログラムを介して、本来アクセスできないセキュアプログラムに一時的に処理を移すことができ、また、秘匿処理の終了後、再度オペレーティングシステムである基本プログラムに処理を戻すことができる。これにより、基本プログラム力もでも、セキュアプログラムの安全性を確保したまま、セキュアプログラムの秘匿処理を利用することができる。

[0014] ここで、前記切替プログラムは、セキュアプログラムから基本プログラムへの実行の切替えの際に、スタックポインタの設定を基本プログラムが利用するものに戻す命令を含み、セキュアプログラム力基本プログラムへの実行の切替えの際に、スタックポインタの設定をセキュアプログラムが利用するものに戻す命令を含むとしてもよい。この構成によると、セキュアプログラム力基本プログラムへの切り替えの際、スタツクポインタの設定を基本プログラムが利用するものに戻すので、基本プログラムの処理を続行することができる。また、基本プログラムカもセキュアプログラムへの切り替えの際に、スタックポインタの設定をセキュアプログラムが利用するものに戻すので、セキュアプログラムの処理を続行することができる。

[0015] ここで、前記セキュアプログラムは、難読化が施されて、るとしてもよ!/、。

この構成によると、難読ィ匕により、セキュアプログラムの解析が困難となるので、セキユアプログラムの安全性をさらに高めることができる。

また、一般にソフトウェアの処理が実行される前に、実行対象となるソフトウェアが利用するデータは初期化される。不正解析者は、解析対象のソフトウェアの解析を、ソフトウェア初期化シーケンスカゝら行おうとする。この場合、不正解析者が、データ初期化処理に注目し、秘密情報の利用場所を特定する可能性がある。

[0016] ここで、前記セキュアプログラムは、初期化処理を必要とし、初期化処理は、複数のプログラムにより行われるとしてもよい。

この構成によると、複数の初期化プログラムを用いて、それぞれの初期化処理が行われることにより、初期化処理が分割，分散し、不正解析者によるデータ初期化処理に注目した秘密情報の利用場所の特定を困難にすることができる。

[0017] ここで、前記複数の初期化プログラムは、前記セキュアプログラムによる前記秘匿処理に先行して実行されるとしてもよ、。

この構成によると、セキュアプログラムによる秘匿処理に先行して、各初期化プログラムに実行により、各初期化処理が行われるので、秘匿処理において、誤った初期値が使われて、誤った処理が行われることはない。

[0018] ここで、前記複数の初期化プログラムのうちの一部の初期化プログラムは、他の初期プログラムとは異なる時期にお、て、実行されるとしてもよ、。

この構成〖こよると、不正解析者によるデータ初期化処理に注目した秘密情報の利用場所の特定を、さらに、困難にすることができる。

さらに、携帯電話などの電子機器においても耐タンパ技術を適用する場合、耐タンパ化されたソフトウェア力利用するメモリサイズは増加する。そのため、前記耐タンパ化されたソフトウェアの初期化処理に要する時間が大きくなつてしまい、即応性の求められる電子機器においては、ユーザによる所望の処理要求から、実際にソフトゥエアが処理を開始するまでの初期化処理に多大な時間を要することになつてしまう。

[0019] メモリの初期化処理の高速ィ匕に関する文献として、特許文献 1に示されて、るメモリ管理方法がある。しかし、この方法ではプログラムのデータ初期化処理の高速ィ匕ゃセキユリティの向上に対する効果は得られない。

ここで、一部の初期化プログラムは、当該コンピュータシステムのリセットの直後において実行され、セキュアプログラムに含まれる初期化プログラムは、セキュアプロダラムの実行が要求された時に、実行されるとしてもよい。

[0020] この構成によると、 OSに依存しない環境で動作可能なセキュアソフトウェアの初期化処理を分割'分散することで、ユーザによる所望の処理要求から、実際にセキュアソフトウェアが処理を開始するまでの処理時間を短縮するとともに、さらに悪意のある解析者に対する耐性を向上させることができる。以上説明したように、本発明によると、セキュアプログラムが実行するコード (ROM 上に存在する）およびセキュアプログラムが利用するワークメモリ（RAM上に存在する）は、 OS管理外の領域としているため、 OS上で動作するソフトウェアデバッガからの解析を防ぐことが可能となる。

[0021] さらに、セキュアプログラムの RAMデータの初期化処理を分割しているため、ユーザによるセキュアプログラム処理要求発生力セキュアプログラムの起動までの処理時間を短縮することができる。

さらに、分割した初期化処理を分散して実行することにより、セキュアプログラムの初期化処理カゝら解析を行う悪意のある解析者に対して、解析対象範囲を拡大させることが可能となるため、解析を困難にし、セキュリティレベルを向上させることができる

[0022] また、セキュアプログラムが OSに依存しない環境で動作するものであるので、セキユアプログラムの他 OSへの移植性が非常に高い。さらに、他 OSへ移植する際にもセキュアプログラムの OS向けの変更が発生しな、ため、セキュリティレベルを落とすことなく移植することが可能となる。

図面の簡単な説明

[0023] [図 1]セキュア処理システム 1の構成を示すシステム構成図である。

[図 2]コンパイル装置 30の構成を示すブロック図である。

[図 3]コンパイル装置 40の構成を示すブロック図である。

[図 4]メモリカード 20及び携帯電話 10の構成を示すブロック図である。

[図 5]メモリ 107のデータの配置を示す配置図である。

[図 6]バイナリデータの各セクションの配置を示す配置図である。

[図 7]メモリ 107における物理アドレスと論理アドレスとの対応関係を示す図である。

[図 8]セキュアプログラム 202とセキュアプログラム用ワークメモリ 602の内容を示す配置図である。

[図 9]API分岐テーブル 800のデータ構造を示すデータ構造図である。

[図 10]リセットの後、 OSプログラム 210を起動し、 OS上で動作するアプリケーションソフトが起動されるまでのシーケンスを示す図である。 [図 11]セキュアプログラム 202の ZIセクションの初期化処理が完了するまでのシーケンスを示す図である。

[図 12]セキュアプログラム 202の ZIセクションの初期化完了後、セキュア APIの起動までのシーケンスを示す図である。

[図 13]セキュアプログラム 202の実行中に割込みが発生した場合のシーケンスを示す図である。

符号の説明

10 携帯電話

20 .メモリカード

30 ：コンパイル装置

40 ：コンノィノレ装置

101 デバッガ IZF

102 CPU

103 MMU

104 割込コントローラ

105 入力部

106 表示部

107 メモリ

108 入出力部

109 ノッファ

110 符号処理部

111 DZA変換部

112 無線通信制御部

113 スピーカ

114 マイク

115 通信部

116 アンテナ

117 ノス 120 通常領域

122 入出力部

130 セキュア領域

132 セキュア処理部

201 IPLプログラム

202 セキュアプログラム

210 OSプログラム

211 ノンセキュアプログラム

212 セキュアプログラム呼出部

213 切替デバイスドライバ

310 OS依存コンパイル部

320 OS依存リンク部

330 形式変換部

350 情報記憶部

410 OS非依存コンパイル部

420 OS非依存リンク部

430 形式変換部

450 情報記憶部

発明を実施するための最良の形態

[0025] 1.実施の形態

以下、本発明に係る 1の実施の形態としてのセキュア処理システム 1について、図面を参照しながら説明する。

1. 1 セキュア処理システム 1の構成

セキュア処理システム 1は、図 1に示すように、コンパイル装置 30、コンパイル装置 4 0、携帯電話 10及びメモリカード 20から構成されている。メモリカード 20は、携帯電話 10に装着される。

[0026] コンパイル装置 30は、携帯電話 10に導入される OS (Operating System。基本ソフトウェア又は基本プログラムとも呼ぶ。）のカーネルの動作にっ、て記述して、るソースプログラム、及び当該 OSに依存するその他の動作を記述しているソースプログラムから、 1個以上の実行形式のコンピュータプログラム (OS依存バイナリデータと呼ぶ。 )を生成する。また、コンパイル装置 40は、前記 OSに依存しないその他の動作を記述しているソースプログラムから、 1個以上の実行形式のコンピュータプログラム（OS 非依存バイナリデータと呼ぶ。）を生成する。

[0027] 携帯電話 10は、後述するように、 CPU (Central Processing Unit)、 ROM (Read On ly Memory)、 RAM (Random Access Memory)などを含んで構成されるコンピュータシステムである。上記にお、て生成された OS依存バイナリデータ及び OS非依存バイナリデータは、 ROMライタにより、携帯電話 10が備える ROMに書き込まれる。こうして、 ROMは、コンピュータプログラムである OS依存バイナリデータ及び OS非依存ノイナリデータを記憶し、前記 CPUが、前記コンピュータプログラムに従って動作することにより、携帯電話 10は、その一部の機能を達成する。 OS依存バイナリデータであるコンピュータプログラムの一部は、 OSを構成しており、他の部分は、当該 OSの制御の元に動作する。

[0028] メモリカード 20は、一例として、音楽又は映像のコンテンツが暗号ィ匕されて生成された暗号化コンテンツ及び前記暗号化コンテンツを復号するために用いられるコンテンッ鍵を記憶している。

携帯電話 10は、 ROMに書き込まれた OS依存バイナリデータ及び OS非依存バイナリデータに従って動作することにより、メモリカード 20から暗号ィ匕コンテンツを読み出し、読み出した暗号ィ匕コンテンツを前記コンテンツ鍵を用いて復号し、復号コンテンッを生成し、生成した復号コンテンツを音楽又は映像として出力する。

[0029] 1. 2 コンパイル装置 30の構成

コンパイル装置 (プログラム生成装置とも呼ぶ。） 30は、図 2に示すように、 OS依存コンパイル部 310、 OS依存リンク部 320、形式変換部 330及び情報記憶部 350から構成されている。コンパイル装置 30は、携帯電話 10の後述するメモリ 107の OSの管理領域に配置するバイナリデータを生成する。

[0030] コンパイル装置 30は、具体的には、マイクロプロセッサ、 ROM、 RAM,ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記 RAM又は前記ハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサ力前記コンピュータプログラムに従つて動作することにより、コンパイル装置 30を構成する OS依存コンパイル部 310、 OS 依存リンク部 320、形式変換部 330は、その機能を達成する。

[0031] (1)情報記憶部 350

情報記憶部 350は、 OSカーネルソース 301a、 301b, 301c, . . .、ノンセキュアプログラムソース 302aゝ 302bゝ 302cゝ…ゝセキュアプログラム呼出咅ソース 303aゝ 30 3b、 303c, · · ·、切替デバイスドライノソース 304a、 304b, 304c, · · ·、アドレス指定フアイノレ 322、 OS依存ライブラ U321a、 321b, 321c, · · ·を記 '慮してヽる。また、 OS依存バイナリデータ 340a、 340b, 340c, · · ·を記憶するための領域を備えている。

[0032] OSカーネルソース 301a、 301b, 301c, · · ·は、それぞれ、携帯電話 10に導入される OSの各種処理を記述して!/、るソースコード（ソースプログラム）の一部分であるコンピュータプログラムであってコンピュータ命令を含み、 OSカーネルソース 301a、 30 lb、 301c, · · ·は、これらのソースコード全体で、当該 OS処理を記述している。また、 OSカーネルソース 301a、 301b, 301c, · · ·は、全体として、携帯電話 10のメモリ 107上に OSプログラム 210 (後述する）として記憶されるノイナリデータに対応している。

[0033] ノンセキュアプログラムソース（通常プログラムとも呼ぶ。） 302a、 302b, 302c, · · · は、それぞれ、ノンセキュアな処理が記述されたソースコード（ソースプログラム）であるコンピュータプログラムであってコンピュータ命令を含み、ノンセキュアプログラムソース 302aは、携帯電話 10のメモリ 107上にノンセキュアプログラム 211 (後述する）として記憶されるバイナリデータに対応して、る。

[0034] セキュアプログラム呼出部ソース 303aは、携帯電話 10のメモリ 107上に記憶されて V、るセキュアプログラム 202 (後述する）を呼び出すように切替デバイスドライバ 213 ( 後述する）に依頼する処理が記述されたソースコード (ソースプログラム)であるコンビユータプログラムであってコンピュータ命令を含み、メモリ 107上にはノンセキュアプログラム 211 (後述する）として記憶されるノイナリデータに対応する。切替デバイスドラィバ 213に依頼する処理は、本実施の形態では、 OSプログラム 210のライブラリコールで行うものとする。セキュアプログラム呼出部ソース 303b、 303c, · · ·についても同様である。

[0035] 切替デバイスドライバソース 304aは、メモリ 107上のセキュアプログラム呼出部 212 力依頼されたセキュアプログラム 202の処理へ分岐させる処理が記述されたソースコード（ソースプログラム）であるコンピュータプログラムであってコンピュータ命令を含み、メモリ 107上には切替デバイスドライバ 213 (後述する）として記憶されるノイナリデータに対応する。

[0036] アドレス指定ファイル 322は、 OS依存リンク部 320によって作成されるバイナリの R OMデータや RAMデータの配置アドレスを指定するファイルである。例えば、ァドレス指定ファイル 322は、 OS依存リンク部 320により生成される各 OS依存バイナリデータについて、ターゲット装置（つまり、携帯電話 10)のメモリにおいて、配置されるべき位置を示す物理アドレスを含む。

[0037] (2) OS依存コンパイル部 310

OS依存コンパイル部 310は、これらの OSカーネルソース 301a、 301b, 301c, · · ·、ノンセキュアプログラムソース 302a、 302b, 302c, · · ·、セキュアプログラム呼出部ソース 303a、 303b, 303c, · · ·、切替デバイスドライノくソース 304a、 304b, 304c 、 · · ·を入力とし、高級言語で記述されたプログラムコードを低レベルなマシンコード（オブジェクトコード）、つまり、実行形式のコンピュータプログラムに変換して、それぞれ、オブジェクトファイルを生成する。

[0038] (3) OS依存リンク部 320

OS依存リンク部 320は、 OS依存コンパイル部 310で生成された各オブジェクトファィルに対し、再配置とシンボルの解決を行い、各オブジェクトファイル内に OS依存ライブラリ 321a、 321b, 321c, · · ·の関数シンボルが存在するのであれば、関連する OS依存ライブラリをリンクして、 OS依存バイナリデータを生成する。

[0039] OS依存リンク部 320は、アドレス指定ファイル 322が指定されると、アドレス指定フアイル 322内に記載された論理アドレスにおいて ROMデータ、 RAMデータを配置する。 (4)形式変換部 330

形式変換部 330は、 OS依存リンク部 320により生成された各 OS依存バイナリデータを、 ROMライターにより実際の ROMメモリに書き込み可能な形式に変換して、 OS 依存バイナリデータ 340a、 340b, · · ·を生成し、生成した OS依存バイナリデータ 34 0a、 340b, · · ·を情報記憶部 350へ書き込む。形式変換部 330により生成されるデータ形式には、インテル HEX形式やモトローラ Sレコード形式などがある。

[0040] (5) 03管理外の1^01^71^^1の設定

コンパイル装置 30は、以下に示すようにして、 OS管理外の ROMZRAMの設定を行う。

(a) OS管理外の RAM領域の確保

例えば、物理アドレス「0x10000000」力物理アドレス「0x11FFFFFFJまでをアクセス対象のメモリ空間として扱うことができる OSに対して、物理アドレス「0x10000000」から物理アドレス「0x11E00000」までを OS管理の RAM領域として割り当て、物理アドレス「0x11F00000J力物理アドレス「0x11FFFFFFJまでを OS管理外の RAM領域として割り当てる場合には、カーネル起動時に必要な RAMメモリパラメタのサイズを「0xlE 00000」（バイト）と指定して、コンパイルする。

[0041] これにより、物理アドレス「0x10000000」から、指定されたサイズ「0xlE00000」の領域力 OS管理の RAM領域となり、その他の領域が、 OS管理外の RAM領域となる。

(b)セキュアプログラム用の OS管理外の ROM領域と OS管理外の RAM領域の物理餘理のマッピングの設定

セキュアプログラム用の OS管理外の ROM領域と OS管理外の RAM領域の物理 —論理のマッピングを設定する場合には、以下に示すようにする。

[0042] OSカーネルのメモリマッピングを指定するソースファイルにおいては、メモリマップを指定する構造体が存在する。 Linuxの場合は、メモリマップ指定の構造体として、 map― desc standard― ιο― desc口― mitdata

が用意されている。

static struct map― desc standard― ιο― desc口― initdata= {

MAP DESC (論理アドレス、物理アドレス、サイズ、ドメイン属性、 READ属性、 WRITE属性、 CACHE属性、 BUFFER属性); ここで、論理アドレスでは、物理アドレスに対応付けたい論理アドレスを指定し、物理アドレスでは、論理アドレスに対応付けたい物理アドレスを指定し、サイズでは、上記アドレス力も論理 ·物理アドレスの対応付けを行ヽた、サイズを指定する。ドメイン属性では、カーネル領域かユーザ領域なのかを指定し、 READ属性では、 READ可なら「1」を設定し、 READ不可なら「0」を設定し、 WRITE属性では、 WRITE可なら「1」を設定し、 WRITE不可なら「0」を設定し、 CACHE属性では、キャッシュ有効なら「1」を設定し、キャッシュ無効なら「0」を設定し、 BUFFER属性では、 BUFFER有効なら「1」を設定し、 BUFFER無効なら「0」を設定する。

[0043] 後述する図 7に示すように、 OS管理外の ROM、 RAMを指定する場合には、この構造体に対して、以下のように、ソースファイルに記述し、このソースファイルを含む力一ネルソースファイルをコンパイルする。

static struct map― aesc standard― ιο― desc[]― initdata= {

MAP_DESC(0xFFB00000,0xllF00000,0x000FFFFF,DOMAIN_KERNEL,0,l ,1,1)

/*セキュアプログラム用 RAM*/

MAP_DESC(0xFFA00000,0x00260000,0x000FFFFF,DOMAIN_KERNEL,0,0,l , 1)

/*セキュアプログラム用 ROM*/ なお、セキュアプログラムのドメイン属性は、カーネルドメインとし、 OS上で動作する通常ソフトウェアからのアクセスを禁止する。

[0044] さらに、セキュアプログラムのメモリへのアクセスは、切替デバイスドライバ経由で実行されるため、デバイスドライバから、 READ/WRITE実行可能かつ CPUキャッシュが有効であることか必要である。

(6)まとめ

以上説明したように、 OSカーネルソース 301a、 301b, 301c, · · ·、ノンセキュアプログラムソース 302aゝ 302bゝ 302cゝ…ゝセキュアプログラム呼出咅ソース 303aゝ 30 3b、 303c, · · ·、切替デノイスドライノソース 304a、 304b, 304c, それぞれ、 OS依存コンパイル部 310によりコンパイルされ、コンパイルによって作成されたォブジェクトファイルは OS依存リンク部 320によりリンク処理が行われる。 OS依存リンク部 320によって生成された OS依存バイナリデータは、形式変換部 330により、 ROM に書き込める形式に変換され、 OS依存バイナリデータ 340a、 340b, · · ·が情報記憶部 350に書き込まれる。

[0045] OS (基本プログラム）は、前記管理領域のみをアクセス空間とし、ノンセキュアプログラム (通常プログラム）に対して前記管理領域へのアクセスを仲介する命令と、切替デバイスドライバ (切替プログラム）に対して、セキュアプログラムへの切替を指示する命令とを含む。

ノンセキュアプログラム (通常プログラム）は、 OS (基本プログラム）を介して、前記管理領域にアクセスする命令を含む。

[0046] 切替デバイスドライバ (切替プログラム）は、 OS (基本プログラム）の指示により、 OS

(基本プログラム）セキュアプログラムへの実行の切替えを行う命令を含む。

セキュアプログラムは、前記管理外領域のみをアクセス空間とし、前記管理外領域へアクセスする命令を含む。また、セキュアプログラムの対象処理、例えば、暗号化コンテンッの前記コンテンツ鍵を用いた復号の処理の終了後、セキュアプログラムから基本プログラムへの実行の切替えを行う命令を含む。

[0047] 1. 3 コンパイル装置 40の構成

コンパイル装置 (プログラム生成装置とも呼ぶ。）40は、図 3に示すように、 OS非依存コンパイル部 410、 OS非依存リンク部 420、形式変換部 430及び情報記憶部 450 力も構成されている。コンパイル装置 40は、携帯電話 10の後述するメモリ 107の OS の管理外領域に配置するバイナリデータを生成する。

[0048] コンパイル装置 40は、具体的には、マイクロプロセッサ、 ROM、 RAM,ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記 RAM又は前記ハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサ力前記コンピュータプログラムに従つて動作することにより、コンパイル装置 40を構成する OS非依存コンパイル部 410、 O S非依存リンク部 420、形式変換部 430は、その機能を達成する。

[0049] 情報記憶部 450は、セキュアプログラムソース 401a、 401b, 401c, · · ·、アドレス指定ファイル 422、 OS非依存ライブラリ 421a、 421b, 421c, · · ·を記憶している。また、 OS非依存バイナリデータ 440a、 440b, 440c, · · ·を記憶するための領域を備えている。

セキュアプログラムソース 401aは、秘密情報を利用した処理が記述されて、るソ一スコード（ソースプログラム）であるコンピュータプログラムであってコンピュータ命令を含む。このセキュアプログラムソース 401aは、本実施の形態では、暗号化コンテンツを復号するための復号処理が記述されたコードであり、メモリ 107上にセキュアプログラム 202 (後述する）として記憶されるバイナリデータに対応している。セキュアプログラムソース 401b、 401c, · · ·についても同様である。

[0050] アドレス指定ファイル 422は、図 2で説明したアドレス指定ファイル 322同じであるので説明を省略する。ただし、セキュアプログラムソース 401a、 401b, 401c, · · ·、に対応して生成されるセキュアプログラム 202等を、 OSプログラム 210の管理外領域に配置するため、アドレス指定ファイル 422は、管理外領域のアドレスを指定する。

[0051] OS非依存コンパイル部 410は、 OS非依存な処理が記述されたソースコードを高級言語から低レベルなマシンコード (オブジェクト）に変換する。 OS非依存コンパイル部 410は、 CPU102のアーキテクチャに合ったマシンコードを作成する。

OS非依存リンク部 420は、再配置とシンボル解決を行い、必要であれば OS非依存ライブラリをリンクし CPU102で実行可能なバイナリデータを作成する。 OS非依存とは、 OS依存ライブラリ 321a、 321b, 321c, · · ·をリンクしないことを示している。

[0052] 形式変換部 430は、図 2で説明した形式変換部 330と同じであるので説明を省略する。

1. 4 メモリカード 20の構成

メモリカード 20は、図 4に示すように、通常領域 120、セキュア領域 130、入出力部 122、セキュア処理部 132から構成される。

[0053] メモリカード 20は、具体的には、マイクロプロセッサ、 ROM、 RAMなどから構成されるコンピュータシステムである。前記 RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサ力前記コンピュータプログラムに従って動作することにより、メモリカード 20は、その一部の機能を達成する。

通常領域 120は、外部機器により自由にアクセスできる記憶領域であり、本実施の形態では暗号化コンテンッ 121が記憶されて、る。

[0054] セキュア領域 130は、許可された外部機器のみがアクセスできる領域であり、コンテンッ鍵 131が記憶されて、る。

暗号ィ匕コンテンツ 121は、暗号ィ匕された音楽データまたは動画データであり、コンテンッ鍵 131を暗号鍵として暗号アルゴリズムを用いて暗号化されたデータである。各暗号化データは、コンテンツ IDにより識別される。なお、本実施の形態では、暗号化コンテンツ 121は共通鍵方式で暗号化されているものとし、コンテンツ鍵 131を復号鍵として用いることにより、復号されたコンテンツ、すなわち音楽データまたは動画データを取得可能であるものとする。

[0055] 入出力部 122は、外部機器と通常領域 120とセキュア処理部 132との間での各種データを入出力する。

セキュア処理部 132は、外部機器との間で、 CPRM (Content Protection for Recor dable Media)の仕組みに基づいて相互認証を行い、認証に成功した場合に、認証した機器と鍵を共有する。共有した鍵を用いて、外部機器との間で安全にデータの入出力を行う。なお、 CPRMは公知であるので説明を省略する。

[0056] 1. 5 携帯電話 10の構成

携帯電話 10は、図 4に示すように、デバッガ IF101、 CPU102、 MMU (Memory M anagement Unit ) 103、割込コントローラ 104、入力部 105、表示部 106、メモリ 107、入出力部 108、ノッファ 109、符号処理部 110、 DZA変換部 111、無線通信制御部 112、スピーカ 113、マイク 114、通信部 115、アンテナ 116から構成され、各回路はバス 117で接続されて!、る。

[0057] (1)携帯電話 10の各構成要素

メモリ 107は、 ROMおよび RAMから構成され、 CPU102により実行される各種プログラムを記憶している。 CPU102は、命令フェッチ部、命令デコーダ、演算器、プログラムカウンタ、リンクレジスタ、スタックポインタなどを備え、メモリ 107上のプログラムから命令をフェッチし、フツチした命令を解読し、解読した命令を実行する。

[0058] MMU103は、論理アドレスを物理アドレスに変換する仮想記憶機能を実現する。

デバッガ IF101は、携帯電話 10と外部のデバッガとを接続するためのインターフエースである。

割込コントローラ 104は、 FIQ、 IRQなどのハードウェア割込みやソフトウェア割込み（SWI)、プリフェッチアボート、データアボート、リセットなどの各種割込みを検知し、 CPU102の割込検出用のレジスタへ割込み発生通知を出力する。

[0059] 通信部 115は、無線通信制御部 112と、携帯電話網、インターネットに接続された外部機器との間でアンテナ 116を介して情報の送受信を行う。

無線通信制御部 112は、ベースバンド部、変復調部、増幅部などを備えており、通信部およびアンテナ 116を介して送受信される各種情報の信号処理を行う。

符号処理部 110は、ノッファ 109に記憶されている音楽データに MP3などの符号化技術に従った復号処理を施し、 DZA変換部 111へ出力する。

[0060] DZA変換部 111は、符号処理部 110により復号された音楽データをアナログ音声信号に変換し、スピーカ 113へ出力する。

入力部 105は、テンキー、決定ボタンなどの各種ボタンを備え、利用者によるこれらの操作を受け付ける。

表示部 106は、 VRAM、液晶画面を備え、各種の画面を表示する。

[0061] マイク 114は、音を電気信号に変換し、生成した電気信号を無線通信制御部 112 へ出力する。

スピーカ 113は、無線通信制御部 112および DZA変換部 111から、アナログ信号を受け取り、受け取ったアナログ信号を音に変換して出力する。

(2)メモリ 107の構成

メモリ 107の構成を図 5に示す。メモリ 107は、 ROMと RAMから構成される。図 5では、 ROMと RAMとを区別して図示していないが、 ROMと RAMとの区別は、図 7において図示している。 [0062] 一例として図 5に示すように、メモリ 107は、 OSプログラム 210、ノンセキュアプログラム 211、セキュアプログラム呼出部 212、切替デバイスドライバ 213、セキュアプログラム 202、 IPL (Initial Program Loader)プログラム 201を記憶している。

さらに、本実施の形態では、メモリ 107〖こ、 OSが管理する管理領域と OSの管理外である管理外領域との 2つを割り当てて利用する。 OS上で動作するノンセキュアプログラム 211、セキュアプログラム呼出部 212、切替デバイスドライバ 213は、 OSの管理領域に記憶される。一方、 IPLプログラム 201、セキュアプログラム 202は OSの管理外領域に記憶される。この割り当て方法については、後述する。

[0063] このようにセキュアプログラム 202は、 OSの管理外の管理外領域で動作するため、 OS上で動作するソフトウェアデバッガからの解析が不可能となり、セキュア状態でセキュアプログラムの実行が可能となる。

(各プログラムの説明）

IPLプログラム 201は、アセンブラで書かれたコード（コンピュータプログラム）であり

、 OSが起動するために必要なハードウェアの初期化を行い、 OSのカーネル初期化処理へ分岐する命令を含む。また、 IPLプログラム 201は、後述する ZIセクション A7

11のデータの初期化を実施する命令を含む。

[0064] OSプログラム 210は、オペレーティングシステムであり、カーネル初期化時に OSが利用するハードウェアの初期ィ匕、 MMU103の設定やメモリ管理やファイルの管理、ユーザーインターフェースの提供等を行う基本ソフトウェアである。ノンセキュアプログラム 211とセキュアプログラム呼出部 212と切替デバイスドライバ 213は、 OSが管理するメモリで動作するプログラム群である。

[0065] ノンセキュアプログラム 211は、セキュア環境での実行を必要としないアプリケーションである。例えば、携帯電話 10の GUIを管理するアプリケーションや個人のスケジュールを管理するプログラムや音楽再生アプリケーション等である。コンテンツ再生時、メモリカード 20に記憶されている暗号ィ匕コンテンツ 121に対して、メモリカード 20に記憶されているコンテンツ鍵 131を用いて、セキュアに復号処理を施す必要がある。音楽再生アプリケーションは、セキュアプログラム呼出部 212を呼び出す復号処理要求を含む。この復号処理要求は、コンテンツ鍵 131を用いた暗号化コンテンツ 121の復号処理の要求を示す。

[0066] セキュアプログラム呼出部 212は、セキュアプログラム 202を実行するための呼出プログラムであり、切替デバイスドライバ 213にセキュアプログラム 202の実行を依頼する。

切替デバイスドライバ 213は、管理外領域に記憶されたセキュアプログラム 202へ処理を移すインターフェースの役割をする。

[0067] セキュアプログラム 202は、秘密情報を扱って処理を行うプログラムである。本実施の形態では、セキュアプログラム 202は、暗号化コンテンツ 121をコンテンツ鍵 131を用いて復号する復号プログラムである。また、セキュアプログラム 202は、当該セキュァプログラム 202の起動直後に、後述する ZIセクション B712のゼロ初期化処理を実行する。

[0068] なお、本実施の形態において、メモリ 107は、 ROMと RAMと力も構成されるとしているが、これに限定するわけではない。メモリ 107は、プログラムが記憶できるプロダラム記憶部と、プログラム動作時に利用するワークメモリが記憶できるワークメモリ記憶手段とを備えていればよい。例えば、プログラム記憶手段として、 HDD (Hard Disk D rive )や EEPROM (Electrically Erasable Programmable ROM )や FlashROMなどを利用してもよいし、ワークメモリ記憶手段として、 SDRAM (Synchronous DRAM )、 SRAM (Static RAM )などを利用してもよい。

[0069] 上述した OSプログラム 210、ノンセキュアプログラム 211、セキュアプログラム呼出部 212及び切替デバイスドライバ 213は、コンパイル装置 30において、 1個以上の O S依存バイナリデータとして生成され、セキュアプログラム 202は、コンパイル装置 40 にお、て、 1個以上の OS非依存バイナリデータとして生成される。

こうして生成された 1個以上の OS依存バイナリデータと 1個以上の OS非依存バイナリデータとが、 ROMライタにより、 ROMに書き込まれる。図 5は、こうして ROMに書き込まれた結果を示して！/ヽる。

[0070] (各バイナリデータのセクション構成）

ここで、コンパイル装置 30におけるコンノィル及びリンクにより生成された各 OS依存バイナリデータのセクション構成について説明する。各 OS依存バイナリデータは、図 6に示すように、 ZIセクション 501、 RWセクション 5 02及び ROセクション 503から構成されて!、る。

[0071] ZIセクション 501は、ゼロ初期化対象データ領域である。各プログラムの初期化の段階で、このセクション内のデータは、ゼロで初期化されなければならない。

RWセクション 502は、読み書き可能なセクションであり、読み書き可能なデータが配置されるセクションである。

ROセクション 503は、読み込みのみ可能なセクションであり、実行可能なコード (命令）が配置されるセクションである。

[0072] 図 5では、メモリ 107内を ROMと RAMに区別して記述していないが、実際は、図 6 に示すように、各 OS依存バイナリデータの ZIセクションと RWセクションは RAMに配置され、 ROセクションに対応するものは ROMに配置される。

また、コンパイル装置 40におけるコンノィル及びリンクにより生成された各 OS非依存バイナリデータ 440a、 440b, · · 'も、それぞれ、図 6に示すように、 ZIセクション、 R Wセクション及び ROセクションから構成されて!、る。

[0073] セキュアプログラム 202が起動する前に、セキュアプログラム 202を構成する ZIセクシヨンは、ゼロで初期化されなければならない。し力し、 ZIセクションのサイズが大きいと、ゼロ初期化処理に時間を要することになる。端末の応答性能が重要とされる電子機器においては、初期化処理の時間をなるベく削減して、セキュアプログラム 202の起動を高速に行いたい。

[0074] この高速化のために、 ZIセクションを複数のサブセクションに分割し、セキュアプログラム 202が起動される以前に、一部のサブセクションのゼロ初期化処理を行い、セキュアプログラム 202が起動された直後に、残りのサブセクションのゼロ初期化処理を行う。このように、初期化処理を分割することにより、セキュアプログラム 202における初期化処理の高速ィ匕が可能となる。このシーケンスについては、図 10及び図 11を用いて、後述する。

[0075] (メモリ 107の論理アドレスと物理アドレス）

次に、メモリ 107の論理アドレスと物理アドレスの関係について簡単に説明をする。各プログラム中において用いられるアドレスは、論理アドレスであり、これを MMU1 03が物理アドレスに変換して実際にメモリ 107にアクセスする。つまり、上述した OS プログラム 210、ノンセキュアプログラム 211、セキュアプログラム呼出部 212、切替デバイスドライバ 213及びセキュアプログラム 202にお!/、て、メモリ 107が形成する記憶空間を指し示すアドレスは、論理アドレスであり、 MMU103は、これらのプログラムにおいて用いられる論理アドレスを物理アドレスへ変更し、物理アドレスにより、メモリ 10 7が形成する記憶空間を指し示す領域へのアクセスが行われる。

[0076] 携帯電話 10の電源が投入された直後であって、 MMU103の初期化が行われていない場合には、各プログラムには、論理アドレスは割り当てられない。また、物理ァドレスと論理アドレスの変換作業が可能となるのは、 MMU103が有効な状態にあるときである。

(メモリ 107のメモリマップ）

メモリ 107における物理アドレスと論理アドレスとの対応関係を図 7に示す。

[0077] メモリ 107には、上述したように、セキュアプログラム 202、 IPLプログラム 201、 OS プログラム 210、ノンセキュアプログラム 211、セキュアプログラム呼出部 212及び切替デバイスドライバ 213が配置され、また、 OS用メインメモリ 601及びセキュアプログラム用ワークメモリ 602が配置されて!、る。

ここで、セキュアプログラム 202は、 ROM上における OSの管理外領域 651に配置され、 OSプログラム 210、ノンセキュアプログラム 211、セキュアプログラム呼出部 21 2及び切替デバイスドライバ 213は、 ROM上における OSの管理領域 652に配置されている。また、 OS用メインメモリ 601は、 RAM上における OSの管理領域 653に配置され、セキュアプログラム用ワークメモリ 602は、 RAM上における OSの管理外領域 654に配置されている。

[0078] 物理アドレス 0x08000000から 0x080C0000により示される ROM内の領域に、 IPLプログラム 201が存在する。 IPLプログラム 201は、 OSプログラム 210が起動する前に実行されるコード（プログラム命令）であり、 IPLプログラム 201には、論理アドレスは割り当てられていない。なお、本明細書において、 Oxに続く文字列は、 16進数による表現である。

[0079] OSプログラム 210、ノンセキュアプログラム 211、セキュアプログラム呼出部 212及び切替デバイスドライバ 213は、物理アドレス 0x080D0000から ΟχΟΒΕΙΟΟΟΟにより示される ROM内の領域に存在し、この領域には、論理アドレス OxDOOOOOOOから 0xD3D40 000が OSにより割り当てられる。

OS用メインメモリ 601は、 OSや OS上で動作するプログラムが利用するワークメモリであり、物理アドレスが 0x10000000から OxllEOOOOOの RAM内の領域に存在し、この領域には、論理アドレス 0xC0000000から 0xClE00000が割り当てられる。

[0080] セキュアプログラム 202は、セキュアプログラムの実行コード（プログラム命令）が書かれており、物理アドレス 0x00260000から 0x00350000の ROM内の領域に存在し、この領域には、論理アドレス 0xFFA00000から OxFFAFFFFFが割り当てられる。

セキュアプログラム用ワークメモリ 602は、セキュアプログラム 202が利用するワークメモリであり、物理アドレス OxllFOOOOOから OxllFFFFFFの RAM内の領域に存在し、この領域には、論理アドレス 0xFFB00000から OxFFBFFFFFが割り当てられる。

[0081] 上述したような論理アドレスの指定は、 OSプログラム 210のカーネルの初期化処理において行われる。

なお、コンパイル装置 30が記憶し OS依存リンク部 320において用いられるアドレス指定ファイル 322、及びコンパイル装置 40が記憶し OS非依存リンク部 420において用いられるアドレス指定ファイル 422にお!/、ては、上述したようにアドレスが割り当てられるように記述されて、る。

[0082] なお、本実施の形態では、上述したように物理アドレス及び論理アドレスを割り当てているが、実装対象の機器によって変わるものであり、本発明が、このアドレス値に限定されるわけではない。

(セキュアプログラム 202とセキュアプログラム用ワークメモリ 602)

次に、セキュアプログラム 202とセキュアプログラム用ワークメモリ 602の内容について、図 8を用いて、さらに詳しく説明する。

[0083] セキュアプログラム用ワークメモリ 602は、 ZIセクションを 2個に分割した ZIセクション A711、 ZIセクション B712及び RWセクション 713から構成されて!、る。

ZIセクション A711及び ZIセクション B712は、セキュアプログラム 202が実行される前にゼロ初期化され、セキュアプログラム 202により利用されるデータが格納されるデータ格納セクションである。本実施の形態では、セキュアプログラム 202の初期化処理を高速にするために、 ZIセクションは、 ZIセクション A711及び ZIセクション B712 に分割されている。

[0084] セキュアプログラム用ワークメモリ 602の ZIセクションのゼロ初期化処理にお!、ては、携帯電話 10の電源が投入された直後に、 IPLプログラム 201により、 ZIセクション A 711のゼロ初期化処理が実行され、次にユーザによるコンテンツ再生要求がされ、セキュアプログラム 202の起動直後に、セキュアプログラム 202により、 ZIセクション B71 2のゼロ初期化処理が実行される。

[0085] このようにユーザによるコンテンツ再生要求がされるよりも前に、 ZIセクション A711 のゼロ初期化処理を行っておくことにより、ユーザによるコンテンツ再生要求後からセキュアプログラム 202の初期化処理が完了するまでの時間を短縮することができ、ュ一ザの待ち時間を短縮することが可能となる。また、 ZIセクションの初期化処理を分散させることにより、不正解析者によるセキュアプログラム 202の解析を困難にさせることも可能となる

RWセクション 713は、セキュアプログラム 202が利用する読み書き可能なデータが格納される領域である。

[0086] なお、セキュアプログラム用ワークメモリ 602は、セキュアプログラム 202のスタック領域として利用してもよい。

セキュアプログラム 202は、セキュア API分岐処理 701、 ZIセクション B初期化 API

702、セキュア API— A703及びセキュア API— B704から構成される。

[0087] セキュア API分岐処理 701、 ZIセクション B初期化 API702、セキュア API— A703 及びセキュア API— B704は、図 8に示すように、それぞれ、論理アドレス「0xFFA000

00」、 rOxFFAOlOOOj ,「0xFFA02000」及び「0xFFA03000」により開始位置が示されるセキュアプログラム 202内の領域に格納されて、る。

セキュア API分岐処理 701は、 ZIセクション B初期化 API702、セキュア API— A7

03及びセキュア API— B704のそれぞれへの分岐先アドレス情報を含む API分岐テ一ブル 800 (後述する）を格納して、る。

[0088] セキュアプログラム 202の各 APIを識別する識別子は、セキュアプログラム呼出部 2 12から、切替デバイスドライバ 213を経由し、セキュア API分岐処理 701へ出力される。セキュア API分岐処理 701は、切替デバイスドライバ 213より識別子を受け取り、 API分岐テーブル 800から受け取った識別子に対応する分岐先アドレスを抽出し、抽出した分岐先アドレスへ実行を分岐する。

[0089] ZIセクション B初期化 API702は、 ZIセクション B712のゼロ初期化処理を行う実行コード (プログラム命令）である。

セキュア API— A703及びセキュア API— B704は、それぞれ、セキュアプログラムの API処理を行う実行コード（プログラム命令）である。

なお、本実施の形態 1では、セキュアプログラムのセキュアな APIをセキュア API— A703及びセキュア API— B704の 2個として説明している力 2個に限定するわけではなぐ 2個以上存在してもよい。

[0090] (API分岐テーブル 800のデータ構造）

API分岐テーブル 800のデータ構造を図 9に示す。

API分岐テーブル 800は、複数の分岐先アドレス情報 811、 812及び 813から構成されており、分岐先アドレス情報 811、 812及び 813は、それぞれ、セキュアプログラム 202に含まれて!/、る ZIセクション B初期化 API702、セキュア API— A703及びセキュア API— B704に対応しており、各分岐先アドレス情報は、識別子と分岐先ァドレスとを含む。

[0091] ここで、識別子は、当該識別子を含む分岐先アドレス情報に対応してヽる APIを識別する識別情報である。また、分岐先アドレスは、当該分岐先アドレスを含む分岐先アドレス情報に対応して、る APIがセキュアプログラム 202内にお!、て格納されて!ヽる位置を示す論理アドレスである。

次に、分岐先アドレス情報 811、 812及び 813についてさらに説明する。

[0092] 分岐先アドレス情報 811は、図 9に示すように、識別子 801「1」と分岐先アドレス 80 2「0xFFA01000」とを含む。分岐先アドレス情報 811は、 ZIセクション B初期化 API70 2に対して、識別子 801「1」が割り当てられ、論理アドレス「0xFFA01000」により開始位置が示されるセキュアプログラム 202内の領域において、 ZIセクション B初期化 AP 1702の実行コード (プログラム命令）が記憶されて、ることを示して、る。 [0093] 従って、識別子として「1」が指定され、セキュア API分岐処理 701により、「0xFFA0 1000」に分岐すると、 ZIセクション B初期化 API702が実行される。

また、分岐先アドレス情報 812は、図 9に示すように、識別子 803「2」と分岐先アドレス 8O4「0xFFA02000」とを含む。分岐先アドレス情報 812は、セキュア API— A703 に対して、識別子 803「2」が割り当てられ、論理アドレス「0xFFA02000」により開始位置が示されるセキュアプログラム 202内の領域において、セキュア API— A703の実行コード (プログラム命令）が記憶されて、ることを示して、る。

[0094] 従って、識別子として「2」が指定され、セキュア API分岐処理 701により、「0xFFA0 2000」に分岐すると、セキュア API— A703が実行される。

さらに、分岐先アドレス情報 813は、図 9に示すように、識別子 805「3」と分岐先アドレス 8O6「0xFFA03000」とを含む。分岐先アドレス情報 813は、セキュア API— B704 に対して、識別子 805「3」が割り当てられ、論理アドレス「0xFFA03000」により開始位置が示されるセキュアプログラム 202内の領域にお!、て、セキュア API— B704の実行コード (プログラム命令）が記憶されて、ることを示して、る。

[0095] 従って、識別子として「3」が指定され、セキュア API分岐処理 701により、「0xFFA0 3000」に分岐すると、セキュア API— B704が実行される。

なお、本実施の形態では、 API分岐テーブル 800は、識別子と分岐先アドレスとを含む複数個の分岐先アドレス情報カゝら構成されているが、この構成に限定されるわけではなぐ所望の APIに分岐する処理を行うるためのアドレス情報が格納されていればよい。

[0096] (3)セキュア APIの実行のシーケンス

次に、セキュアプログラム 202のセキュア APIが実行されるまでのシーケンスについて説明する。

(a)アプリケーションソフト起動までのシーケンス

ここでは、リセットの後、 OSプログラム 210を起動し、 OS上で動作するアプリケーシヨンソフトが起動されるまでのシーケンスについて、図 10を用いて説明する。

[0097] 本実施の形態においては、セキュアプログラム 202力メモリ 107内の OSの管理外領域においてワークメモリ（RAM)として利用するセキュアプログラム用ワークメモリ 6 02内の ZIセクションのデータの初期化処理に係る時間を短縮するために、上述したように、セキュアプログラムの RAMデータの初期化処理を分割している。具体的には、 ZIセクションの初期化処理を 2段階に分割して、る。

[0098] 携帯電話 10は、利用者による電源投入などにより、リセットを受け付ける (ステップ S 900)。

リセット後、 IPLプログラム 201は、 OSの起動に必要なハードウェアを初期化する。 ( ステップ S 901)

次に、 IPLプログラム 201は、 ZIセクション A711のデータの初期化を実施する。（ステツプ S902)

ZIセクション A711のデータの初期化が終了すると、カーネルに分岐する（ステップ S903〜S904)。

[0099] カーネルに分岐後、以下に示すカーネルの初期化処理が実行される。まず、カーネルの初期化処理としては、 MMU103の初期化が実行され (ステップ S905)、次に、携帯電話 10が備え、 OSが利用する各種デバイスの初期化が実行される (ステップ S906)。

カーネルの初期化が終了すると、 OSが起動されたことになり、その後、各アプリケーシヨンソフトが起動される（ステップ S907)。

[0100] ここで、アプリケーションソフトのうち、ユーザによる操作により起動されるものが存在してもよい。ステップ S907が実行されると、携帯電話としての機能が有効となり、着信、発信等が行える状態となり、ユーザが携帯電話上の各種操作を行える状態となる。

(b)セキュアプログラム 202の実行までのシーケンス

ここでは、セキュアプログラム 202が実行されるまでのシーケンスを、図 11及び図 1 2を用いて、説明する。

[0101] ここで、図 11は、セキュアプログラム 202の ZIセクションの初期化処理が完了するまでのシーケンスを示し、図 12は、セキュアプログラム 202の ZIセクションの初期化完了後、セキュア APIの起動までのシーケンスを示している。

ユーザによる音楽再生のボタン操作が行われると (ステップ S 1000)、 OSは、セキユアプログラム呼出部 212へ処理を移す (ステップ S1001〜ステップ S1002)。 [0102] 次に、セキュアプログラム呼出部 212は、切替デバイスドライバ 213をオープンし (ステツプ S1003)、識別子として「1」を指定して、切替デバイスドライバ 213に対し、ライブラリコールし、切替デバイスドライバ 213へ処理が移る（ステップ S 1004〜ステップ S1005)。

次に識別子「 1」を受け取った切替デバイスドライバ 213は、セキュア API分岐処理 701に分岐し、セキュア API分岐処理 701へ処理が移る（ステップ S 1006〜ステップ S1007)。

[0103] セキュア API分岐処理 701は、スタックポインタの設定を、セキュアプログラム 202が利用するものに戻し (ステップ S1008)、 API分岐テーブル 800から、識別子「1」に対応する分岐先アドレスを取得する。ここでは、識別子「1」に対応する ZIセクション B初期化 API702の分岐先アドレス 8O2「0xFFA01000」が取得され、論理アドレス「0xFF A01000Jにより示される格納位置に格納されている実行コード、つまり、 ZIセクション B 初期化 API702に分岐する（ステップ S1009〜ステップ S1010)。

[0104] 「0xFFA01000」に処理が分岐すると、 ZIセクション B初期化 API702が実行される（ステップ S1011)。これにより、 ZIセクション B712の初期化が完了する。

ZIセクション B712の初期化が完了すると、セキュア API分岐処理 701は、スタックポインタの設定を、 OSが利用するものに戻す (ステップ S1012)。

その後、 OS上で動作するセキュアプログラム呼出部 212へ処理が移る (ステップ S 1013〜ステップ S1014)。

[0105] 以上により、セキュア API— A703及びセキュア API— B704が利用する ZIセクション A711及び ZIセクション B712の初期化が完了する。

次に、セキュアプログラム呼出部 212は、セキュア APIの識別子を指定し、切替デバイスドライバ 213に対し、ライブラリコールし、切替デバイスドライバ 213へ処理が移る（ステップ S 1015〜ステップ S 1016)。

[0106] 切替デバイスドライバ 213は、指定された識別子をセキュア API分岐処理 701へ出力し、セキュア API分岐処理 701へ分岐する（ステップ S 1017〜ステップ S 1018)。セキュア API分岐処理 701は、スタックポインタの設定を、セキュアプログラム 202が利用するものに戻し (ステップ S1019)、次に、 API分岐テーブル 800から、受け取つた識別子に対応する分岐先アドレスを取得し、取得した分岐先アドレスへ分岐する（ステップ S1020〜ステップ S1021)。

[0107] 次に、分岐先アドレスで示される位置に格納されるセキュアプログラム 202の API処理が実行される (ステップ S 1022)。

セキュア APIの処理が終了すると、スタックポインタの設定を、 OSが利用するものに戻し (ステップ S1023)、その後、セキュアプログラム呼出部 212及び OSへ処理が移る（ステップ S 1024〜ステップ S 1026)。

[0108] 図 12に示すステップ S1015からステップ S1026までの処理は、図 11に示すステツプ S1000からステップ S1014までの処理が完了した後、複数回実行されてもよい。図 11に示す全てのステップが完了していることは、セキュアプログラムが実行する際に初期化されるべき ZIセクションの初期化処理完了を意味しているからである。なお、本実施の形態では、セキュア API— A703は、コンテンツ鍵取得を行うコンビユータプログラムであり、セキュア API— B704は、暗号化コンテンツ 121をコンテンツ鍵 131を用いて復号するコンピュータプログラムである。

[0109] この場合、まず図 11に示す全てのステップが実行され ZIセクションの初期化が完了する。次に、識別子を「2」として、図 12に示す全てのステップが実行されることにより

、コンテンツ鍵 131が取得される。次に、識別子を「3」として、図 12に示す全てのステップが実行されることにより、コンテンッ鍵 131を用、て暗号ィ匕コンテンッ 121が復号される。

[0110] 2.その他の変形例

なお、本発明を上記実施の形態に基づいて説明してきた力本発明は、上記の実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる

(1)セキュアプログラム 202は、セキュアプログラム 202の実行中に、 IRQ、 FIQ、ソフトウェア割込み等の割込みが発生した場合に、セキュアプログラム 202による処理を一時的に中断し、セキュアプログラム 202による処理対象のセキュアデータを暗号化し、割込みに対応する処理が完了した後に、暗号ィ匕セキュアデータを復号し、セキユアプログラム 202による処理を一時的に中断した点から、セキュアプログラム 202による処理を継続して実行するとしてもよい。具体的には、以下に示す通りである。

[0111] IPLで初期化される領域である ZIセクション A711又はセキュアプログラム 202により初期化される領域である ZIセクション B712に、セキュアプログラム 202の初期化完了フラグを設ける。初期化完了フラグは、セキュアプログラム 202による ZIセクション B 712の初期化完了後、「1」に設定され、セキュアプログラム 202が実行されている間は、常に、「1」となっている。

[0112] このように、初期化完了フラグを ZIセクションに設けてもよ!、。しかし ZIセクションに限定されることなぐ RWセクションに初期化完了フラグを設けるとしてもよい。

一般的に、コンピュータシステムにおいては、 IRQ、 FIQ、ソフトウェア割込み等の割込みが発生すると、 CPUの例外べクタテーブルに分岐する。例外べクタテーブルには、割込み要因毎に割込み処理ルーチンが登録されており、例外べクタテーブルにより、割込み要因毎に、割込み処理ルーチンへ分岐し、所望の割込み処理が行われる。

[0113] 本変形例においては、例外べクタテーブルにおいて、予め、割込みが発生するとセキュアプログラム 202に分岐するように登録しておく。このようにすることで、割込みが発生するたびに、セキュアプログラム 202^ ^—且処理が移るようになる。

セキュアプログラム 202の実行中に割込みが発生した場合のシーケンスを、図 13を用いて、説明する。

[0114] セキュアプログラム 202は、 ZIセクション Bの初期化を完了すると（ステップ S 1011) 、次に、初期化完了フラグを「1」にセットする (ステップ S1201)。

セキュアプログラム 202が、実行されている間は、初期化完了フラグは、常に、「1」となっている。

セキュアプログラム 202は、セキュア APIの実行を開始する（ステップ S 1022)。

[0115] IRQ, FIQ、ソフトウェア割込み等の割込みが発生すると (ステップ S1202)、 CPU の例外べクタテーブルに処理が移る。例外べクタテーブルには、あらかじめセキュアプログラム 202へ分岐するように、ベクタが登録されているので、セキュアプログラム 2 02に分岐する（ステップ S 1203)。

セキュアプログラム 202に分岐後、セキュアプログラム 202は、初期化完了フラグが「 1」であるか否かを判断する (ステップ S 1204)。

[0116] 初期化完了フラグが、「1」であれば (ステップ S1204で YES)、セキュアプログラム 2 02の対象となる処理が実行中であるので、セキュアプログラム 202は、割込み発生時のポイントを退避し (ステップ S 1206)、セキュアプログラム 202が実行中に利用して V、るセキュアな情報に関連するセキュアデータ (ランタイムデータ）を暗号ィ匕して暗号化セキュアデータを生成する（ステップ S 1207)。暗号化セキュアデータの生成後、 O Sへ処理を移し (ステップ S1208)、 OSは、割込み処理を実施し (ステップ SI 209)、割込み処理が終了したら、セキュアプログラム 202へ処理を移す (ステップ S1210)。セキュアプログラム 202は、初期化完了フラグ力「l」であるか否かを判断する (ステツプ S1211)。初期化完了フラグが、「1」であれば (ステップ S1211で YES)、セキュアプログラム 202は、暗号ィ匕セキュアデータを復号して復号セキュアデータを生成し (ステツプ S 1213)、割込みが発生してセキュアプログラム 202の処理が中断していたポイントに復帰し (ステップ S 1214)、セキュアプログラム 202の処理を継続する（ステツプ S1215)。

[0117] セキュアプログラム 202の対象である処理の実行が終了する直前に、セキュアプログラム 202は、初期化完了フラグを「0」に設定し (ステップ S1216)、その後、セキュァプログラム 202の実行が終了する。

初期化完了フラグが、「1」でなければ (ステップ S1204で NO、又はステップ S121

1で NO)、 OSへ処理を移す (ステップ S 1205、又はステップ S1212)。

[0118] (2)本実施の形態では、セキュアプログラム 202は、暗号ィ匕コンテンツを復号する復号プログラムであるとしている力これに限定されることなぐ秘密情報を扱うプロダラムであるとしてもよい。

(3)本実施の形態では、切替デバイスドライバ 213が、 OS依存バイナリデータから

OS非依存バイナリデータへの切替インターフェースの働きをして、るが、切替デバイスドライバ 213を利用することなぐセキュアプログラム呼出部 212からセキュア API分岐処理 701へ直接分岐するようにしてもよい。

[0119] (4)本実施の形態では、セキュア API分岐処理 701が、スタックポインタの設定を、セキュアプログラム 202が利用するものに戻し、また、スタックポインタの設定を、 OS が利用するものに戻すとしている力これには、限定されない。

切替デバイスドライバ 213は、 OSからセキュアプログラムへの切替の際に、切替の時点で OSが利用しているスタックポインタを退避し、スタックポインタの設定を、予め退避してお!ヽたセキュアプログラム用のスタックポインタへ戻す命令を含むとしてもよい。また、切替デバイスドライバ 213は、セキュアプログラム力も OSへの切替の際に、切替の時点でセキュアプログラムが利用して、るスタックポインタを退避し、スタックポインタの設定を、予め退避しておいた OS用のスタックポインタへ戻す命令を含むとしてもよい。

[0120] また、セキュア API分岐処理 701が上記を行うとしてもよい。

(5)上述したセキュアプログラムは、 BIOS (Basic Input/Output System)を構成するその一部のプログラムであるとしてもよい。 BIOSとは、一般的に、コンピュータに接続されたディスクドライブ、キーボード、ビデオカードなどの周辺機器を制御するプログラム群である。

[0121] (6)上記の実施の形態では、コンパイル装置 30及びコンパイル装置 40は、別々の装置であるとしている力これには限定されない。コンパイル装置 30及びコンパイル装置 40のそれぞれが有する構成要素を備えた 1台のコンパイル装置カゝら構成されるとしてちよい。

このコンパイル装置は、オペレーティングシステムを構成するソースコードにコンパィルを施して、第 1オブジェクトを生成する第 1コンパイル部と、前記第 1オブジェクトのシンボル解決と再配置と第 1ライブラリに含まれるプログラムとのリンクとを行って、オペレーティングシステムである実行可能形式の第 1ソフトウエアを生成する第 1リンク部と、秘匿情報を利用する処理を構成するソースコードにコンノィルを施して、第 2ォブジェクトを生成する第 2コンパイル部と、前記第 2オブジェクトのシンボル解決と再配置と第 2ライブラリに含まれるプログラムとのリンクを行って、秘匿情報を利用する処理力もなる実行可能形式の第 2ソフトウェアを生成する第 2リンク部とを備える。

[0122] (7)本実施の形態では、セキュアプログラムソースに対して耐タンパ化するような例を示してヽな、が、セキュアプログラムソースに対して耐タンパイ匕手法を施してもよ!ヽ耐タンパイ匕手法とは、オリジナルコード (プログラム命令）に対して、実行に影響のない不要な冗長コードの追加、ある命令コードの別の等価な命令コードへの置換え、制御構造の複雑化、 1つのモジュール（プログラム命令の集合）の複数のモジュールへの分割化などの難読ィ匕をしておくこと、又はオリジナルコードを予め暗号ィ匕しておき、実行時に復号することである。耐タンパイ匕手法を適用させることでセキュアプログラム

202のセキュリティレベルを向上させてもよい。コード暗号ィ匕を施す場合は、復号したコードを展開する RAM領域は、 OSがアクセス不可能なエリア、つまり、管理外領域とする。

[0123] この技術に関しては、非特許文献 1、非特許文献 2、非特許文献 3に詳細に述べられて、るので説明は省略する。

(8)上記の実施の形態では、 IPLプログラム 201〖こより、 ZIセクション A711のゼロ初期化処理が実行され、次にユーザによるコンテンツ再生要求がされ、セキュアプログラム 202の起動直後に、セキュアプログラム 202により、 ZIセクション B712のゼロ初期化処理が実行されるとしているが、これには、限定されない。

[0124] IPLプログラム 201により、 ZIセクション A711の中の一部の変数のゼロ初期化処理が実行され、セキュアプログラム 202により、 ZIセクション B712の一部の変数のゼロ初期化処理が実行されるとしてもょヽ。

また、上記の実施の形態及び変形例においては、 ZIセクションを、ゼロ値で初期するとしている力これには限定されない。ゼロ値以外の固定値、例えば、「0xffif」などを、 ZIセクションに書き込むとしてもよい。

[0125] (9)以上説明したように、本発明は、プログラム記憶部とデータ記憶部を備え、前記プログラム記憶部は、第一ソフトウェアと第二ソフトウェアを記憶し、前記データ記憶部は、第一データ記憶部と第二データ記憶部力なり、前記第一データ記憶部は、前記第一ソフトウェアがアクセス可能なエリアであり、前記第二データ記憶部は、前記第二ソフトウェアがアクセス可能なエリアであり、前記第一ソフトウェアは、前記第二データ記憶部にアクセス不可能であることを特徴とするセキュア処理装置である。

[0126] ここで、前記第一ソフトウェアは、オペレーティングシステムであり、前記第二ソフトゥエアは、秘密情報を利用するソフトウェアであるとしてもよい。ここで、第一コンパイラは、第一ソフトウェアのソースコードを入力とし、第一オブジェタトを出力し、第一リンカは、前記第一オブジェクトのシンボル解決と再配置と第一ライブラリをリンクする機能を有し、前記第一オブジェクトを入力とし、前記第一ソフトゥエアを出力し、前記第一ソフトウェアは、前記第一コンパイラおよび前記第一リンカで作成された実行可能データであり、第二コンパイラは、前記第一コンパイラとは異なるコンパイラであって、前記第二ソフトウェアのソースコードを入力とし、第二オブジェクトを出力し、第二リンカは、前記第一リンカとは異なるリンカであり、前記第二オブジェタトのシンボル解決と再配置と第二ライブラリ群をリンクする機能を有し、前記第二ォブジェクトを入力とし、前記第二ソフトウェアを出力し、前記第二ソフトウェアは、前記第二コンパイラおよび前記第二リンカで作成された実行可能データであるとしてもよい。

[0127] ここで、前記第二ソフトウェアは、改ざんや解析に対して耐性をもったソフトウェアであるとしてもよ、。

ここで、前記第二ソフトウェアが利用する前記第二データ記憶部の初期化処理を少なくとも 1つ以上の分割初期化処理に分割するとしてもよい。

ここで、前記分割初期化処理のうち、少なくとも 1つ以上の分割初期化処理は、前記第二ソフトウェアの実行要求が発生するよりも前に実行されるとしてもよい。

[0128] ここで、前記分割初期化処理は、前記第二ソフトウェアの実行前に処理されるように分散して前記プログラム記憶部に記憶されているとしてもよ。

ここで、前記プログラム記憶部は、さらに IPLを含み、前記 IPLが少なくとも 1つ以上の前記分割初期化処理を実行するとしてもよ、。

ここで、前記プログラム記憶部は、さらに切替デバイスドライバを含み、前記切替デバイスドライバ力前記第一ソフトウェア力第二ソフトウェアに処理を移すとしてもよい。

[0129] ここで、前記切替デバイスドライバは、前記第一ソフトウェアが利用する第一スタックポインタと前記第二ソフトウェアが利用する第二スタックポインタを管理し、前記第一ソフトウエアが実行される場合に、前記切替デバイスドライバは、スタックポインタを前記第一スタックポインタに設定し、前記第二ソフトウェアが実行される場合に、前記切替デバイスドライバは、スタックポインタを前記第二スタックポインタに設定するとしてもよい。

[0130] (10)上記の各装置は、具体的には、マイクロプロセッサ、 ROM、 RAM,などから構成されるコンピュータシステムである。前記 RAMには、コンピュータプログラムが記憶されている。ここで、コンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。前記マイクロプロセッサ力前記コンピュータプログラムに従って動作することにより、各装置は、その機能を達成する。つまり、前記マイクロプロセッサは、前記コンビユータブログラムに含まれる各命令を 1個ずつ読み出し、読み出した命令を解読し、解読結果に従って動作する。

[0131] (11)上記の各装置を構成する構成要素の一部又は全部は、 1個のシステム LSI (L arge Scale Integration:大規模集積回路）から構成されているとしてもよい。システム L SIは、複数の構成部を 1個のチップ上に集積して製造された超多機能 LSIであり、具体的には、マイクロプロセッサ、 ROM, RAMなどを含んで構成されるコンピュータシステムである。前記 RAMには、コンピュータプログラムが記憶されている。前記マイク口プロセッサ力前記コンピュータプログラムに従って動作することにより、システム LS Iは、その機能を達成する。

[0132] また、上記の各装置を構成する構成要素の各部は、個別に 1チップィ匕されても良いし、一部又は全てを含むように 1チップ化されてもよい。また、ここでは、 LSIとした力集積度の違いにより、 IC、システム LSI、スーパー LSI、ウルトラ LSIと呼称されることもめる。

また、集積回路化の手法は LSIに限るものではなぐ専用回路又は汎用プロセッサで実現してもよい。 LSI製造後に、プログラムすることが可能な FPGA (Field Program mable Gate Array)や LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブノレ ·プロセッサを利用しても良!、。

[0133] さらには、半導体技術の進歩又は派生する別技術により LSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積ィ匕を行ってもよい。バイオ技術の適応等が可能性としてありえる。 (12)上記の各装置を構成する構成要素の一部又は全部は、各装置に脱着可能な ICカード又は単体のモジュール力も構成されて、るとしてもよ、。前記 ICカード又は前記モジュールは、マイクロプロセッサ、 ROM, RAM,などから構成されるコンビュータシステムである。前記 ICカード又は前記モジュールは、上記の超多機能 LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、前記 ICカード又は前記モジュールは、その機能を達成する。この ICカード又はこのモジュールは、耐タンパ性を有するとしてもよ!/、。

[0134] (13)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンビュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラム力もなるデジタル信号であるとしてもよい。

また、本発明は、前記コンピュータプログラム又は前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、 CD— RO M、 MO、 DVD, DVD-ROM, DVD -RAM, BD (Blu— ray Disc)、半導体メモリなど、〖こ記録したものとしてもよい。また、これらの記録媒体に記録されている前記コンピュータプログラム又は前記デジタル信号であるとしてもよい。

[0135] また、本発明は、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

また、本発明は、マイクロプロセッサとメモリとを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムに従って動作するとしてもよい。

[0136] また、前記プログラム又は前記デジタル信号を前記記録媒体に記録して移送することにより、又は前記プログラム又は前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい

(14)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。産業上の利用可能性

[0137] 本発明にかかるセキュア処理装置および方法は、秘密情報を利用したプログラムを OS管理外のメモリ上で動作させることで、 OS上で動作するソフトウェアデバッガからの解析を防止する効果と、さらに OS管理外で動作するプログラムの RAMデータの初期化処理を分割して行うことで、ユーザ要求発生後から前記プログラム起動までの処理を短縮する効果とを有し、セキュアなソフトウェアの処理方法として有用である。本発明を構成する各装置は、コンテンツを制作し、配給するコンテンツ配給産業において、また、その他の秘密を維持する必要がある情報を扱う産業において、経営的に、また継続的及び反復的に使用することができる。また、本発明を構成する各装置は、電器機器製造産業において、経営的に、また継続的及び反復的に、製造し、販売することができる。

Claims

請求の範囲

[1] コンピュータシステムであって、

基本プログラム、通常プログラム及びセキュアプログラムに含まれて、る各命令を読み出し、解読し、その解読結果に応じて動作するプロセッサと、

管理領域及び前記管理領域とは異なる管理外領域から構成されるメモリ手段とを備え、

前記基本プログラムは、オペレーティングシステムを構成し、前記通常プログラムに対して前記管理領域のみをアクセス空間とするアクセスを仲介する命令を含み、前記通常プログラムは、前記基本プログラムを介して、前記管理領域にアクセスする命令を含み、

前記セキュアプログラムは、オペレーティングシステムに依存しな、プログラムであり、前記管理外領域のみをアクセス空間としてアクセスする命令を含む

ことを特徴とするコンピュータシステム。

[2] 前記管理領域は、さらに、前記基本プログラム及び前記通常プログラムを記憶しており、

前記管理外領域は、さらに、前記セキュアプログラムを記憶しており、

前記プロセッサは、前記管理領域に記憶されている前記基本プログラム、前記通常プログラムに含まれている各命令を読み出し、前記管理外領域に記憶されている前記セキュアプログラムに含まれている各命令を読み出す

ことを特徴とする請求項 1に記載のコンピュータシステム。

[3] 前記セキュアプログラムは、前記管理外領域にお!、て格納される秘匿すべき情報に関する秘匿処理を行う命令を含む

ことを特徴とする請求項 2に記載のコンピュータシステム。

[4] 前記管理領域は、さらに、基本プログラムの指示により、基本プログラム力もセキュァプログラムへの実行の切替えを行う命令を含む切替プログラムを記憶しており、前記プロセッサは、さらに、前記管理領域に記憶されている前記切替プログラムに含まれている命令を読み出し、解読し、その解読結果に応じて動作し、

前記基本プログラムは、さらに、前記切替プログラムに対して、セキュアプログラムへの切替を指示する命令を含み、

前記セキュアプログラムは、さらに、前記秘匿処理の終了後、セキュアプログラムから基本プログラムへの実行の切替えを行う命令を含む

ことを特徴とする請求項 3に記載のコンピュータシステム。

[5] 前記切替プログラムは、セキュアプログラム力基本プログラムへの実行の切替えの際に、スタックポインタの設定を基本プログラムが利用するものに戻す命令を含み、セキュアプログラム力基本プログラムへの実行の切替えの際に、スタックポインタの設定をセキュアプログラムが利用するものに戻す命令を含む

ことを特徴とする請求項 4に記載のコンピュータシステム。

[6] 前記セキュアプログラムは、難読化が施されている

[7] 前記セキュアプログラムは、初期化処理を必要とし、初期化処理は、複数のプログラムにより行われる

[8] 前記複数の初期化プログラムは、前記セキュアプログラムによる前記秘匿処理に先行して実行される

ことを特徴とする請求項 7に記載のコンピュータシステム。

[9] 前記複数の初期化プログラムのうちの一部の初期化プログラムは、他の初期プログラムとは異なる時期において、実行される

ことを特徴とする請求項 8に記載のコンピュータシステム。

[10] 一部の初期化プログラムは、当該コンピュータシステムのリセットの直後において実行され、

セキュアプログラムに含まれる初期化プログラムは、セキュアプログラムの実行が要求された時に、実行される

ことを特徴とする請求項 9に記載のコンピュータシステム。

[11] 集積回路であって、

基本プログラム、通常プログラム及びセキュアプログラムに含まれて、る各命令を読み出し、解読し、その解読結果に応じて動作するプロセッサと、管理領域及び前記管理領域とは異なる管理外領域から構成されるメモリ手段とを備え、

ことを特徴とする集積回路。

[12] プログラム生成装置であって、

オペレーティングシステムを構成するソースコードから、実行対象の装置が有する管理領域にのみアクセスする第 1オブジェクトを生成する第 1オブジェクト生成部と、秘匿情報を使う処理のソースコードから、前記実行対象の装置が有し、前記管理領域とは異なる管理外領域にのみアクセスする第 2オブジェクトを生成する第 2オブジェタト生成部と

を備えることを特徴とするプログラム生成装置。

[13] 基本プログラム及びセキュアプログラムを記録して、るコンピュータ読み取り可能な記録媒体であって、

前記基本プログラムは、オペレーティングシステムを構成し、前記オペレーティングシステムの管理下で動作する通常プログラムに対して、実行対象の装置が有する管理領域のみをアクセス空間とするアクセスを仲介する命令を含み、

前記セキュアプログラムは、オペレーティングシステムに依存しな、プログラムであり、前記実行対象の装置が有し、前記管理領域とは異なる管理外領域のみをアクセス空間としてアクセスする命令を含む

ことを特徴とする記録媒体。