WO2006134691A1

WO2006134691A1 - 情報処理装置、復旧装置、プログラム及び復旧方法

Info

Publication number: WO2006134691A1
Application number: PCT/JP2006/303920
Authority: WO
Inventors: Hiroaki Inoue; Junji Sakai; Tsuyoshi Abe; Masaki Uekubo; Noriaki Suzuki; Masato Edahiro
Original assignee: Nec Corporation
Priority date: 2005-06-17
Filing date: 2006-02-23
Publication date: 2006-12-21
Also published as: US20090119541A1; JPWO2006134691A1; CN101198934B; CN101198934A; US8365021B2; JP4556144B2

Abstract

追加されたアプリケーションプログラム及びデバイスドライバによって障害が生じたドメインを、安全性、信頼性を確保して復旧する情報処理装置は、信頼度に基づいてそれぞれ分離された、メーラーやブラウザ等の基本処理を有する最高信頼度ドメイン１５０Ａと、中信頼度ドメイン１５０Ｂと、低信頼度ドメイン１５０Ｃとを備え、さらに、各ドメインから通知される障害の復旧要求及びドメイン毎に予め設定された復旧条件とに基づいて障害が発生したドメインに対して障害の復旧処理を行う復旧手段とを有する。最高信頼度ドメイン１５０Ａは、中信頼度ドメイン１５０Ｂや低信頼度ドメイン１５０Ｃへのデータ送信時にこれらのドメインの障害を検知し、ドメイン停止復旧手段４００を介して、これらのドメインを復旧する。

Description

明細書情報処理装置、復旧装置、プログラム及び復旧方法技術分野

本発明は、マルチプロセッサにより構成される情報処理装置に関し、特に外部から取得した追加処理を実行することが可能なプロセッサを有するドメインを備える情報処理装置、復旧装置、プログラム及び復旧方法に関する。背景技術

携帯電話機（mobile phone) 等の情報通信端末装置において、通常、該端末装置の基本性能を実現するための基本処理（例えば呼処理機能、インターネットァクセス用のブラウザ機能、電子メール機能、画面制御機能等）は、オペレーティングシステムとともに予めインストールされており、上記基本処理とは別の追加処理（プログラム）については、ユーザの操作等により、ネットワーク等外部から、該端末装置にダウンロードして実行、インストールが行われる。しかしながら、ダウンロードした追加処理を実行した場合、オペレーティングシステムや基本処理等は、該追加処理による攻撃に曝される可能性がある。

図 42は、ダウンロードされた追加処理を実行する情報通信端末装置の典型的な構成の一例を模式的に示す図である。図 42には、よく知られた典型的な装置構成がブロック図にて模式的に例示されている。以下では、追加処理が、ネィテイブコ一ド（提供者側でコンパイル、またはアセンブル処理されたバイナリコ一ド）で提供されるアプリケーションプログラムやデバイスドライバ（デバイスへのアクセス要求、デバイスからの割り込み処理を行うソフトウェアであり、「 I / Oドライバ」とも言う）である場合について説明する。

図 42に示す構成において、追加処理 23をダウンロードして実行したとき（追加処理 23がデバイスドライバの場合には、オペレーティングシステムに組み込んで実行したとき）、基本処理 22、オペレーティングシステム（「〇S」という） 21、 CPU (Con t r o l P r o c e s s i n g Un i t) 10、メモリ 5 0、入出力デバイス（ I ZO) 6 0に対して、追加処理 2 3から、直接的に攻撃が行われる可能性がある。その理由は、基本処理 2 2、 C P U 1 0 , O S 2 1、メモリ 5 0、あるいは入出力デバイス（I ZO) に対する、追加処理 2 3からの攻撃を制限し、安全な実行環境を実現する手段が実装されていないためである。すなわち、図 4 2に示す構成の場合、追加処理 2 3は基本処理 2 2への処理要求、〇S 2 1への処理依頼、 C P U 1 0、メモリ 5 0、及び入出力デバイス 6 0への処理要求を任意に発行することができ、ハードウェア、ソフトウェアの各種資源へのアクセスも自在とされている。このため、悪意の追加処理 2 3 (あるいは、悪意は無くともウィルス等に感染した追加処理）は、無防備な O S 2 1、基本処理 2 2等に対して攻撃自在とされる。

追加デバイスドライバが、例えばレジデント（常駐型）ドライバとして O S 2 1のカーネル内に組み込まれる場合があり、該デバイスドライバの信頼性は、 O S 2 1の信頼性、及び性能にそのまま影響を及ぼすことになる。これは、デバイスドライバが、デバイスへの処理設定と、デバイスからの割り込み時にスケジューラから起動される割り込みサ一ビスとを含み、割り込みサ一ビスの実行時間（この間、再スケジュールは禁止される）は処理性能から特段に短い時間（例えばミリ秒以下）に制限されているという、デバイスドライバの特性からも、明らかである。つまり、追加デバイスドライバが仮に悪意の在るドライバである場合、情報処理装置の処理性能を容易に低下させることが出来る。これは、常駐型でなく、口一ダブルドライバ（メモリに選択的に口一ド、アンロードされるドライバ）の場合も、同様である。このように、追加処理としてインストールされた悪意のあるドライバによって攻撃が行われた場合には、 O S 2 1の力一ネルが直接攻撃されることになり、致命的ともなる（実質的に動作不能となる）。

そこで、ダウンロードされた追加処理の実行環境に制限を与え、基本処理等を保護する設計方式が、従来より、各種提案されている。以下、いくつかの典型例に即して概説しておく。

図 4 3では、ソフトウェアによる追加処理の実行保護環境を提供する構成の一典型例を示す図である。囪 4 3に示す例では、ネイティブコードの追加処理 2 3 は、仮想マシン.2 4上で実行させる構成とされている。一例として、追加処理 2 3が、 JAVA (登録商標）バイトコードで記述されているものとすると、ダウンロードされた JAVA (登録商標）バイトコードは、仮想マシン 24をなす J VM (JAVA (登録商標）仮想マシン）上で実行される。

かかる構成において、基本処理 22や OS 21等は、ソフト的に、追加処理 2 3とは分離され、その安全性が確保されることになる。すなわち、追加処理 23 は、仮想マシン 24を介してのみ、〇S 21、 CPU10、メモリ 50、 I/O 60等へアクセスが行われる。仮想マシン 24には、通常、 OS 21のカーネルモードでの実行（例えば特権的な命令の実行）等を行う権限が付与されていず、このため、追加処理 23が、 OS 21を直接的に操作することは出来ない。また、仮想マシン 24は、一般に、インタープリタ方式で追加処理 23の命令コードを実行するため、追加処理 23の命令 ·動作が適正であるか監視することが容易であり、例えば追加処理 23からのハードウェア資源及びソフトウェア資源に対する不当なアクセス（例えば多重のデータをネットワーク上あるいは画面上に出力する等）を制限することで、仮想マシン 24がソフト的な保護フィルタ、あるいは防護壁又は防護ゲートの役割を担うことも出来る。このように、仮想マシン 2 4を介して、基本処理 22、 OS 21等は、追加処理 23とは、ソフト的には分離されている。

しかしながら、図 43に示した仮想マシン方式は、以下の問題点を有している。ダウンロードされた追加処理 23から、仮想マシン 24の抜け（例えばセキュリティホール）への攻撃等がなされた場合、システムの安全性が損なわれることになる。

また、通常、 JAVA (登録商標）仮想マシン等の仮想マシン 24は、 JAV A (登録商標）バイトコード等の命令コードを、一命令ずつ解釈実行するイン夕一プリ夕方式であるため、その実行速度は遅い。

さらに、仮想マシン 24は、追加処理 23を実行する時、システムコールを発行することで、 OS 21への処理依頼を行っているが、システムコールのオーバへッドは大であることから、処理の実行は遅い。例えば仮想マシン 24において、追加処理 23の 1つの命令に対応するシステムコールが 1つ又は複数発行される。ユーザモ—ドからのシステムコール発行によるシステムモードへのコンテクスト ·スィツチング、 O S 2 1のシステムコ一ルェントリ部におけるシステムコ一ルのパケットデータのデコード、パラメ一夕等の正

当性チェック（エラー検出処理）、処理の振分（ディスパッチ）さらに、処理終了時の処理結果の引渡し及びコンテクスト 'スイッチング、カーネル空間からユーザ空間への切り替え等、一連の制御が行われ、オーバヘッドが大きい。

そして、図 4 3に示す構成の場合、追加処理 2 3として、デバイスドライバを O S 2 1に組み込むことは出来ない。図 4 3からも明らかなように、仮想マシン 2 4は O S 2 1の上層に位置している。仮想マシン 2 4は、追加処理 2 3のコードに基づき、 O S 2 1に対して処理依頼を行い、 O S 2 1から処理結果を受け取り、必要に応じて追加処理 2 3に返す構成とされており、追加処理をデバイスドライバとして O S 2 1内に組み込もうとすると、追加処理の実行を制御する仮想マシンも、 O S 2 1内に組み込むことが必要となり、かかる構成は、図 4 3に示す仮想マシン方式では、原理的に不可能であるためである。

ソフトウェアによる別のセキュリティ管理方式として、例えば図 4 4に示すような構成も知られている。図 4 4に示すように、追加処理 2 3には、それが信頼できるものであることを証明するための証明書 2 5が添付されて、端末（情報処理装置）にダウンロードされる。端末側では、添付された証明書 2 5の内容をチエックし、添付された証明書 2 5が正しい証明書であると認証された場合に、ダゥンロードされた追加処理 2 3のインストール、実行を許可する構成とされている。証明書 2 5としては、デジタル署名（ITU - T XS09) を用いても良い。例えば証明書 2 5には、証明される期間とその公開鍵、 C A (認証局）のデジタル署名（証明される機関や公開鍵などを C Aの秘密鍵で暗号化したもの）が格納され、証明書の認証を行う場合には、 C Aのデジタル署名の部分を、 C Aの公開鍵で解読して証明書のデータの内容と一致するか否か確認し、一致する場合に、証明書のデータを信頼しても良いと判断される。あるいは、証明書 2 5は、真正のベンダーを証明するものであれば、任意の証明書であっても良い。なお、デバイスドライバの署名機能 (Dr iver Signing) は、例えば Windows (登録商標) 2000等にも実装されている。

図 4 4に示した方式の場合、追加処理 2 3はネイティブコードで提供することができ、図 4 3に示した仮想マシン方式と比べて、高速実行が可能である。また、追加処理 2 3として、アプリケーション、デバイスドライバの実行も可能である。しかしながら、システムの信頼性は、追加処理 2 3の安全性に全面的に依拠している。つまり、追加処理 2 3に事前に検知し得ない問題があると、システムに.致命的損害をもたらす可能性もある。

図 4 5は、セキュリティ管理をハードウェアで行うプロセッサの構成を示す図である。図 4 5を参照すると、 C P U 1 1は、安全（セキュア）モード 1 2と、非安全（ノンセキュア）モード 1 3を有し、ダウンロードされた追加処理 2 3と該追加処理 2 3に対応した O S 2 1 Bは、もっぱらノンセキュアモード 1 3で実行される。そして、メモリ管理ユニット 1 4は、ノンセキュアモード 1 3で実行されるメモリの領域（アドレス空間）を、セキュアモード 1 2でアクセスされるメモリの領域と分離して管理し、ノンセキュアモード 1 3からセキュアモード 1 2のメモリ領域へのアクセスは禁止される。すなわち、メモリ管理ユニット 1 4 は、ノンセキュアモード 1 3からのメモリのアクセス制御を行いノンセキュアモード 1 3からセキュアモード 1 2のメモリ領域へのアクセスを禁止する制御を行つている。

このように、図 4 5に示す構成においては、基本処理 2 2をセキュアモード 1

2で実行し、仮想的に、追加処理 2 3を実行する C P Uと別 C P Uに分離することで、安全性の向上を図っている。

しかしながら、セキュアモードとノンセキュアモードは、 C P U上で、時分割で実行されており、ノンセキュアモードから復帰しない場合には、セキュアモードでのシステムの動作は行われない。

また、ノンセキュアモードとセキュアモードを時分割処理しているため、その切替時、モード遷移等のオーバヘッドがかかる。

さらに、追加処理 2 3をデバイスドライバとし、ノンセキュアモードの O S 2

I B内に組み込む場合、ドライバに悪意があると、セキュアモードに復帰することが出来なくなる可能性があり、システムに致命的な損害をもたらす可能性がある。

なお、図 4 5に示した構成と同様、システムメモリ中に分離域を設け、ノーマル実行モードと分離実行モードを構えたプロセッサとして、特表 2 0 0 4— 5 0 0 6 6 6号公報（文献 1 ) の記載が参照される。文献 1に記載の装置において、ノーマル実行モードは、プロセッサが非安全環境、すなわち分離実行モードによつて提供されるセキュリティ機能がない通常の動作モードで動作するモードであり、ノーマル実行モードからは分離域へのアクセスが禁止され、分離実行モードでは、所定の分離命令の実行がサポートされる構成とされている。なお、かかる構成も、ノーマル実行モードと分離実行モードを時分割処理しているため、その切替時、モード遷移等のオーバヘッドがかかる。

また、 2つのプロセッサユニットとスィッチユニットを備え、 1つのプロセッサュニットが公共データ通信ネットワークと接続され、他方のプロセッサュニットは公共データ通信ネットワークと接続せず、データセキュリティ用ュニットとして機能する構成が開示されている（特表 2 0 0 2— 5 4 2 5 3 7号公報（文献 2 )参照）。文献 2に記載されるシステムでは、公共データ通信ネットワークに接続されるプロセッサュニットと、データセキュリティ用ュニットをスィツチで分離しており、データセキュリティ用ユニットの安全性を確保している。しかしながら、公共データ通信ネットワークに接続されるプロセッサユニットが、前述した追加処理（ネットワーク等からダウンロードされた追加処理）の実行により、攻撃されることの対策に関しては、いささかも考慮されていない。データセキュリティ用ュニットは安全であっても、公共データ通信ネットワークに接続されるプロセッサュニットは追加処理による攻撃に対する有効なセキュリティ機構は具備していない。このため、公共データ通信ネットワークに接続されるプロセッサュニッ卜にセキュリティ管理を実現する場合、前述したいずれかの方式を採用する必要がある。

さらに、プロセッサ上で分離された実行プログラムあるいはオペレーティングシステムを同時に実行するシステムにおいて、不正なプログラムの実行環境を保護するために、第 1のプログラムが実行される間、第 1のプログラムのみが利用するメモリ空間が設定され、第 1のプログラムとコンピュータの実行環境との通信は、共有メモリ空間の利用、専用の割り込み、あるいは専用の 1 〇ポートを含む単一のリンクを介して行われ、第 1のプログラムは、制限された実行環境において、設定されたメモリ空間と単一のリンクを除いてプロセッサ上のリソースをアクセスすることが制限されるようにした構成が特表 2002- 533791 号公報（文献 3) に記載されている。この文献 3に記載された方法の場合、第 1 のプログラムは、設定されたメモリ空間と単一のリンク（共有メモリ空間の利用、専用の割り込み、あるいは専用の I /〇ポート）を除いてプロセッサ上のリソースをアクセスすることが制限されるため、第 1のプログラムを、デバイスドライバとして用いることは出来ず、デバイスドライバを含む追加処理に適用することは出来ない。

また、後述される本発明で用いられるプロセッサ間通信手段に関連する技術を開示した刊行物として、特開平 6_ 332864号公報（文献 4) には、マルチプロセッサシステムにおける C P U間通信方式が開示されている。この文献 4には、マルチプロセッサが共逋メモリを利用して CPU間通信を行うにあたり、 C PU 2が CPU 1に割り込みを発生させる場合、 CPU 1に対する固定領域における自己用の C P U間通信情報書き込み領域に、通信情報を書き込んで割り込みを発生し、 CPU1では、割り込みが発生すると、 CPU 2に対応する CPU間通信情報書き込み領域をアクセスして割り込み処理を実行する構成がその従来技術として記載されており、さらに、共有メモリのアクセス回数を削減するようにした発明が記載されている。

さらに、特開 2001— 154999号公報（文献 5 ) では、プロセッサ診断回路が自プロセッサの起動時に故障を検出してサービスプロセッサに復旧を依頼し、サービスプロセッサがその復旧の処理を行う並列計算機システムを提案している。

文献 1 ：特表 2004-500666号公報

文献 2 ：特表 2002-542537号公報 ·

文献 3 ：特表 2002-533791号公報

文献 4 ：特開平 6— 332864号公報

文献 5 ：特開 2001— 154999号公報

上記したように、ダウンロードされた、悪意のある、もしくは過失の追加処理からの攻撃に対する安全性確保の対策を施した従来の装置は、処理性能の点、デバイスドライバの実行が不可である点、安全性確保に問題がある点等、実用上、各種課題が残されている。特に、図 4 3、及び図 4 5に示したように、情報処理装置に関して、装置外部から、追加デバイスドライバのダウンロードが不可である設計方式（アーキテクチャ）は、デバイスの追加、機能追加当が実質的に不可能であることを意味しており、この点で、可用性（avai l ab i l i ty)が制限される。一方、前述したように、追加デバイスドライバを例えばカーネルモードで動作させる場合には、 O S、システムの信頼性に直接影響を及ぼすことから、特段の安全性確保、信頼性の向上が要請されている。

また、文献 5に開示された技術を一例とする従来の並列計算機システムにおける復旧処理では、通知された復旧要求等がウィルスを含んでいる等の悪意のある要求に対しても処理を実行してしまうという問題点がある。

したがって、本発明の目的は、追加されたアプリケーションプログラム及びデバイスドライバによって障害が生じたドメインを、安全性、信頼性を確保して復旧する情報処理装置、復旧装置、プログラム及び復旧方法を提供することにある。発明の開示

上記目的を達成するため本発明は、複数のプロセッサを備え、実行する処理内容に応じて、複数のプロセッサが複数のドメインを構成し、異なるドメイン間のプロセッサ同士は、通信手段を介して互いに通信し、ドメインから通知される障害の復旧要求と、前記ドメイン毎に予め設定された復旧条件とに基づいて、障害が発生したドメインに対して障害の復旧処理を行う構成としている。

この構成により、各ドメインに発生した障害毎に復旧条件が設定されていることから、復旧条件を満たした復旧要求により障害が復旧される。

本発明の好ましい態様では、複数のドメインを、実行する処理内容に応じて、特定ドメインと、他のドメインとに分離して構成し、特定ドメイン又は他のドメィンから通知される障害の復旧要求と、特定ドメイン及び他のドメイン毎に予め設定された復旧条件とに基づいて、障害が発生したドメインに対して障害の復旧処理を行う構成としている。

この構成により、複数のドメインが、実行する処理内容に応じて、特定ドメィンと、他のドメインとに分離して構成され、特定ドメイン又は他のドメインから通知される障害の復旧要求と、特定ドメイン及び他のドメイン毎に予め設定された復旧条件とに基づいて、障害が発生したドメインに対して障害の復旧処理を行うことから、特定ドメインと他のドメインとを異なる復旧条件により復旧することが可能となる。

本発明のさらに好ましい態様では、特定ドメインが、ある一定のセキュリティレベル以上の処理を実行するドメインであり、他のドメインが、特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有するドメインであり、特定ドメインが、他のドメインにおける障害を、他のドメインへの通信手段によるデータ送信を介して検知し、復旧手段に対して障害の復旧要求を行う構成としている。

この構成により、ある一定のセキュリティレベル以上の処理を実行する特定ドメインと特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する他のドメインとが分離して構成され、他のドメインで発生した障害を検知した、ある一定のセキュリティレベル以上の処理を実行する特定ドメインが、復旧手段を介して、特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する他のドメインを復旧する。本発明の別の好ましい態様では、特定ドメインが、ある一定のセキュリティレベル以上の処理を実行するドメインであり、他のドメインが、特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有するドメインであり、他のドメインが、何れかの他のドメインにおける障害を検知し、特定ドメインに他のドメインの障害の復旧要求を通知し、特定ドメインが、復旧手段に対して障害の復旧要求を行う構成としている。

この構成により、ある一定のセキュリティレベル以上の処理を実行する特定ドメインと特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する他のドメインとが分離して構成され、他のドメインで発生した障害を通知された、ある一定のセキュリティレベル以上の処理を実行する特定ドメインが、復旧手段を介して、相対的にセキュリティレベルが低い処理を実行する他のドメインを復旧する。本発明の別の好ましい態様では、特定ドメインが、ある一定のセキュリティレベル以上の処理を実行するドメインであり、他のドメインが、特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有するドメインであり、他のドメインが、何れかの他のドメインにおける障害を検知し、特定ドメインに他のドメインの障害の復旧要求を通知し、特定ドメインが、他のドメインの障害を、他のドメインへの通信手段によるデータ送信を介して検知し、復旧手段に対して障害の復旧要求を行う構成としている。

この構成により、ある一定のセキュリティレベル以上の処理を実行する特定ドメインと特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する他のドメインとが分離して構成され、他のドメインで発生した障害を通知された、ある一定のセキュリティレベル以上の処理を実行する特定ドメインが、障害を検知し、復旧手段を介して、特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する他のドメィンを復旧する。

本発明のさらに好ましい態様では、復旧条件は、ドメインからの障害の復旧要求で示される処理内容毎に設定されたセキュリティレベルに基づいて定められており、復旧手段は、ドメインから通知された障害の復旧要求と、復旧条件とに基づいて、障害が発生したドメインに対して障害の復旧処理を行う構成としている。この構成により、処理内容毎に設定されたセキュリティレベルに基づいて定められた復旧条件を満たした復旧要求が受け付けられる。

本発明のさらに好ましい態様では、復旧手段は、ドメインから通知された障害の復旧要求の許否を判別する判別手段を備え、判別手段で許可された復旧要求に基づいて、障害が発生したドメインに対して障害の復旧処理を行う構成としている。

この構成により、判別手段で許可された復旧要求に基づいて障害の復旧処理が行われる。

本発明によれば、以下の効果が達成される。

第 1の効果は、各ドメインに発生する障害が、予め設定された復旧条件を満たした復旧要求により復旧されることである。その理由は、複数のプロセッサを備え、実行する処理内容に応じて、複数のプ口セッサが複数のドメインを構成し、異なるドメイン間のプロセッサ同士は、通信手段を介して互いに通信し、ドメインから通知される障害の復旧要求と、ドメイン毎に予め設定された復旧条件とに基づいて、障害が発生したドメインに対して障害の復旧処理を行うので、各ドメインに発生する障害毎に予め設定された復旧条件を満たした復旧要求により障害が復旧されるからである。

第 2の効果は、複数のドメインのうち、所定のドメインを、その他のドメインと異なる復旧条件により復旧することが可能となることである。

その理由は、複数のドメインを、実行する処理内容に応じて、特定ドメインと、他のドメインとに分離して構成し、特定ドメイン又は他のドメインから通知される障害の復旧要求と、特定ドメイン及び他のドメイン毎に予め設定された復旧条件とに基づいて、障害が発生したドメインに対して障害の復旧処理を行うからである。したがって、複数のドメインが、実行する処理内容に応じて、特定ドメィンと、他のドメインとに分離して構成され、特定ドメイン又は他のドメインから通知される障害の復旧要求と、特定ドメイン及び他のドメイン毎に予め設定された復旧条件とに基づいて、障害が発生したドメインに対して障害の復旧処理を行うことから、特定ドメインと他のドメインとを異なる復旧条件により復旧することが可能となるからである。

第 3の効果は、ある一定のセキュリティレベル以上の処理を実行するドメインのセキュリティを確保できることである。

その理由は、特定ドメインが、ある一定のセキュリティレベル以上の処理を実行するドメインであり、他のドメインが、特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有するドメインであり、特定ドメインが、他のドメインにおける障害を、他のドメインへの通信手段によるデ —夕送信を介して検知し、復旧手段に対して障害の復旧要求を行うからである。したがって、ある一定のセキュリティレベル以上の処理を実行する特定ドメインと特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する他のドメインとが分離して構成され、他のドメインで発生した障害を検知した、ある一定のセキュリティレベル以上の処理を実行する特定ドメインが、復旧手段を介して、特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する他のドメインを復旧するからである。第 4の効果は、情報処理装置の可用性が向上することである。

その理由は、セキュリティが確保された、ある一定のセキュリティレベル以上の処理を実行するドメインが、特定ドメインで実行される処理よりもセキユリティレベルの低い処理を少なくとも一以上有するドメインで発生した障害を検知して復旧手段を介して復旧するからである。

第 5の効果は、各ドメインで発生した障害を、所定のセキュリティレベルを確保して復旧できることである。

その理由は、復旧条件が、ドメインからの障害の復旧要求で示される処理内容毎に設定されたセキュリティレベルに基づいて定められており、復旧手段が、ドメインから通知された障害の復旧要求と、復旧条件とに基づいて、障害が発生したドメインに対して障害の復旧処理を行うからである。したがって、処理内容毎に設定されたセキュリティレベルに基づいて定められた復旧条件を満たした復旧要求が受け付けられるからである。図面の簡単な説明

図 1は、本発明の第 1例の情報処理装置のハードウエア構成を示す図である。図 2は、第 1例のプロセッサ間通信手段の構成を示す図である。

図 3は、第 1例のプロセッサ間通信手段の動作を説明するための図である。

図 4は、第 1例のアクセス制御手段の構成を示す図である。

図 5は、第 1例のアクセス制御手段のアクセス許可データの例を示す図である。図 6は、第 1例のアクセス制御手段の動作を説明する図である。

図 7は、第 1例のアクセス制御手段 3 0の別構成を示す図である。

図 8は、第 1例のアクセス制御手段 3 0の別構成を示す図である。

図 9は、本発明の第 2例の情報処理装置のハードウェア構成を示す図である。図 1 0は、本発明の第 3例の情報処理装置のハードウェア構成を示す図である。図 1 1は、第 3例の情報処理装置の変形例のハードウェア構成を示す図である。図 1 2は、第 3例の情報処理装置のソフトウェア構成を示す図である。図 1 3は第 3例の動作を説明するための図である。

図 1 4は第 3例の動作を説明するための図である。

図 1 5は第 3例の動作を説明するための図である。

図 1 6は第 3例の動作を説明するための図である。

図 1 7は第 3例の動作を説明するための図である。

図 1 8は第 3例の動作を説明するための図である。

図 1 9は第 3例の動作を説明するための図である。

図 2 0は第 3例の動作を説明するための図である。

図 2 1は本発明の第 4例の情報処理装置の構成を示す図である。

図 2 2は第 4例の動作を説明するための図である。

図 2 3は第 4例の動作を説明するための図である。

図 2 4は本発明の第 1の実施例による情報処理装置の構成を示す図である。図 2 5は本発明の第 1の実施例において設定される信頼度の一例を示す図である。

図 2 6は本発明の第 1の実施例による情報処理装置のドメイン停止復旧手段 4 0 0の構成を示す図である。

図 2 7は、本発明の第 1の実施例による情報処理装置の通信処理の内容（処理内容）と通信の階層構造との対応関係の一例を示す図である。

図 2 8は、本発明の第 1の実施例による情報処理装置のハードウェア構成の一例を示すブロック図である。

図 2 9は、本発明の第 1の実施例による情報処理装置の動作の一例を説明するための図である。

図 3 0は、本発明の第 1の実施例による情報処理装置の動作の一例を説明するための図である。

図 3 1は、本発明の第 1の実施例による情報処理装置の動作の一例を説明するための図である。

図 3 2は、本発明の第 1の実施例による情報処理装置の動作の一例を説明するための図である。

図 3 3は、本発明の第 1の実施例による情報処理装置の動作の一例を説明するための図である。

図 34は、本発明の第 2の実施例による情報処理装置のドメイン停止復旧手段 400の構成を示す図である。

図 35は、本発明の第 2の実施例による情報処理装置の動作の一例を説明するための図である。

図 36は、本発明の第 2の実施例による情報処理装置の動作の一例を説明するための図である。

図 37は、本発明の第 2の実施例による情報処理装置の動作の一例を説明するための図である。

図 38は、本発明の第 3の実施例による情報処理装置のドメイン停止復旧手段

400の構成を示す図である。

図 39は、本発明の第 3の実施例による情報処理装置の復旧処理許可データ 4 04 aの内容の一例を示す図である。

図 40は、本発明の第 3の実施例による情報処理装置の復旧処理制御手段 40 4の動作の一例を説明するための図である。

図 41は、本発明の第 4の実施例による情報処理装置の | メイン停止復旧手段 400の構成を示す図である。

図 42は、従来のシステム構成の一例を示す図である。

図 43は、従来のシステム構成の別の'例を示す図である。

図 44は、従来のシステム構成の別の例を示す図である。

図 45は、従来のシステム構成のさらに別の例を示す図である。

10, 10 A, 10 B, 10 C : CPU、 1 1 : CPU、 12 ：セキュアモ一ド、 13 :非セキュアモード

14：メモリ管理ユニット、 15 :分離手段、 20, 20 A, 20 B, 20 C ：ソフトウェア、 21, 21 A, 21 B, 21 C : OS、 22 ：基本処理、 23,

23 B, 23 C ：追加処理、 24 ：仮想マシン、 25 ：証明書、 30 ：アクセス制御手段、 31 ：アクセス許可手段、 32 ：アクセス許可データ、 33 ：新ァクセス許可デ一夕 33、 34 ：アクセス許可データ更新手段 34、 35 ：アクセス監視手段、 36 ：学習手段、 40 ：プロセッサ間通信手段、 41 ：割り込み制御装置、 410〜41 n : CPU# 0〜CPU#n用割り込み制御装置、 42 :共有メモリ、 420〜42 n : CPU# 0〜 C P U # n用通信領域、 50, 50 A, 50 B, 50 C :メモリ、 60， 6 OA, 60 B, 60 C :入出力デバイス（I ノ 0)、 70 A：基本側バス、 70 B ：追加側バス、 80， 8 OA, 80 B ：チップ、 10 OA :基本ドメイン、 100 B ： T r u s t e d拡張ドメイン、 100 C ： Un t r u s t e d拡張ドメイン、 101 A, 10 1 B, 101 C :〇S、 102 A：外部デバイス、 102 A ' ：仮想外部デバイス、 102 B, 102 C ：許可された外部デバイス、 102 B '， 102 C ' ：許可された仮想外部デバィス、 103 ：専用ファイルシステム、 103 ' ：仮想専用ファイルシステム、 1 04A：ネイティブコードダウンロード管理機能、 104B， 104C :ネィテイブコードダウンロード実行機能、 105 ：セキュリティポリシデータべ一ス、 1 10 :基本ソフト環境、 ί 1 1 ：基本アプリケーション、 1 12 :基本機能、 1 13 :基本ライブラリ、 12 OA, 120 B, 120 C ：ダウンロードアプリケーシヨン、 121A, 12 1 B, 121 C：ダウンロードドライバ、 1 5 OA : 最高信頼度ドメイン、 1 50 B ：中信頼度ドメイン、 150 C :低信頼度ドメイン、 200A， 200 B, 200 C :仮想 CPU、 2 10 A, 210 B, 210 C ：仮想マシンモニタ、 301， 302， 303 :データ送信部、 304, 30 5 ：低信頼度ドメイン用デ一夕送信部、 306, 307 :中信頼度ドメイン用デー夕送信部、 400 : ドメイン停止復旧手段、 401 ：復旧要求受信手段、 402 : ドメイン停止復旧処理手段、 403：停止確認手段、 404：復旧処理制御手段、 404 a :復旧処理許可データ、 404 b :復旧処理許可手段、 41 1 :割り込み指示部、 412 ：割り込み状態保持部、 413 ：割り込み取り消し部、 42 1 : 通信キュー、 422 :排他制御領域発明を実施するための最良の形態

まず、本発明を適用する情報処理装置の基本構成について説明する。

基本構成の第 1例は、複数の C P Uを備えたマルチ C P U構成の情報処理装置において、複数の CPUを、実行するプログラム（処理）のセキュリティレベルに応じて、複数のドメイン（例えば基本ドメイン、信頼ドメイン、無信頼ドメィン等）に分ける。

基本ドメインは、ある一定のセキュリティレベル以上の処理を実行するドメインであり、信頼ドメインは、基本ドメインで実行する処理よりもセキュリティレベルの低い処理を少なくとも一以上有するドメインであり、無信頼ドメインは、信頼ドメインで実行する処理よりもセキュリティレベルの低い処理を少なくとも一以上有するドメインとする。

まだは、基本ドメインの一定のセキュリティレベルの実行処理のそれぞれが、信頼ドメインの実行処理のセキュリティレベルと同じか、又は信頼ドメインの実行処理のセキュリティレベルより高く、そして基本ドメインの実行処理の集合として少なくとも 1つセキュリティレベルの高い処理を含むドメインとしてもよい。信頼ドメインは、信頼ドメインの一定のセキュリティレベルの実行処理のそれぞれが、無信頼ドメインの実行処理のセキュリティレベルと同じか、又は無信頼ドメインの実行処理のセキュリティレベルより高く、そして各ドメインの実行処理の集合として少なくとも 1つセキュリティレベルの高い処理を含むドメインとしても良い。この場合には基本ドメインは信頼ドメインよりも相対的にセキユリティレベルの高い処理を行い、信頼ドメインは無信頼ドメインょりも相対的に高い処理が行われる。

各ドメインは、 1つ又は複数の C P Uを含み、異なるドメイン間での C P Uの通信を、プロセッサ間通信手段（例え図 1の 4 0 ) を介して行うとともに、：追加処理等の低セキュリティの処理を実行するドメインに属する C P Uが、高セキユリティの処理を実行するドメインのメモリ及び入出力装置に対してアクセスする場合には、該アクセス要求は、アクセス制御手段（例えば図 1の 3 0 ) によつて、アクセスの許可 Z非許可が判別され、許可されたアクセスのみが行われる構成とされる。

かかる構成の第 1例によれば、ダウン口一ドされた追加処理（デバイスドライノアプリケ一シヨンプログラムを含む）を、高セキュリティ · ドメインとはハ ―ドウエア的に別構成の低セキュリティ ·ドメイン側の C P Uで実行することで、高セキュリティ · ドメインの安全性を確保している。

ここでいうダウンロードとは、携帯電話のキヤリァが用意するデータ通信網や一般的な無線 LAN網だけではなく、 SD力 ^"ドに代表される蓄積型メディア媒体、 USB に代表される有線通信 ·媒体といった接続を経由した情報装置へのダウン口ードのことも含む。

そして、第 1例によれば、高セキュリティ · ドメインと低セキュリティ · ドメインの CPUを、スィツチ等で分離制御するのではなく、相互に通信可能とする、プロセッサ間通信手段を介して接続することで、安全性を保障しながら、高セキユリティ · ドメインと低セキュリティ · ドメインの CPU間の同期、協調動作も可能としている。

このプロセッサ間通信手段（図 1の 40) は、一のドメインの CPUから他のドメインの CPUへデータ（コマンド）の受け渡しを行うものであり、他のドメインの CPUへの直接的な攻撃等は行えない構成とされている。例えば低セキュリティ · ドメイン側の CPUから高セキュリティ · ドメイン側の CPUへデータを多量に送信し続けることで、高セキュリティ · ドメインの CPUの性能劣化、バッファオーバ一フロー等を生じさせようとしても、プロセッサ間通信手段で抑止され、該データは、高セキュリティ · ドメインの CPUに伝達されない。

また、第 1例において、アクセス制御手段（図 1の 30) は、低セキュリティ · ドメイン側の CPUに対して、予め許可されたメモリ空間、入出力デバイス等へ予め許可された形態によるアクセスのみを許可するアクセス制御を行う。これにより、ダウンロードされた追加処理かもの高セキュリティ · ドメインへの攻撃を防ぐことが出来る。あるいは、アクセス制御手段が、必要に応じて、帯域、流量制御等を行うことで、ダウンロードされた追加処理からの高セキュリティ · ドメィンへの各種攻撃を防ぐことが出来る。以下第 1例に即して説明する。

図 1は、第 1例の構成を示す図である。図 1を参照すると、基本処理 22及び OS 21 Aからなるソフトウェア 20 Aを実行する CPU群 1 OAと、追加処理 23及び追加処理対応の OS 2 1 Bからなるソフトウェア 20 Bを実行する CP U群 10Bと、 CPU群 10A、 10B間で通信を行うプロセッサ間通信手段 4 01、 402と、 CPU群 10 Bによるメモリ 50及びノ又は入出力装置（ 1ノ O) 60へのアクセスを制御するアクセス制御手段 30と、を備えている。なお、図 1には、〇？11群10八、 CPU群 10 Bは、それぞれ複数（3台）の CPU からなる構成として示されているが、各群とも 1つの CPUであっても良いことは勿論である。また、 CPU群 10 A、 CPU群 10 Bにおいて、各群の CPU の台数は等しくなくてもよいことは勿論である。以下では、 CPU群 10A、 C PU群 10 Bを、単に CPU10A、 CPUI OBという。第 1例において、.ダゥンロードされる追加処理 23は、バイナリ形式のネイティブコードよりなる。なお、ダウンロードされたソースプログラムを、コンパイル処理（アセンブル処理）してバイナリ形式としたものであってもよい。

第 1例によれば、追加処理 23を実行する CPU 10 Bを、基本処理 22を実行する CPU 1 OAと別に構え、 CPU10A、 CPUI O Bは、独立に動作可 ' 能であり、安全性を向上しながら、高速実行を可能とし、アプリケーションプログラム、デバイスドライバの実行を可能としている。なお、基本処理 22を実行する CPU 1 OAをマスターとし、追加処理 23を実行する CPU 10 Bをスレーブとして構成し、スレーブ側はマスターの監督下で動作する構成としても良いことは勿論である。この場合、例えば CPU 1 OBによる追加処理 23の実行は、 CPU 10 Aからプロセッサ間通信手段 402を介してコマンドを受け取って行われる。

プロセッサ間通信手段 401、 402は、 CPU1 OAと CPU10 B間でのデータの送受信を制御する。 CPU10A、 10Bは、独立に配設されていることから、それぞれの処理（プログラム）'を並列に実行することが可能であるとともに、プロセッサ間通信手段 401、 402を介して、 CPU10Aと CPU1

0B間における、同期処理、連携（強調）処理も可能としている。一例として、ユーザが表示装置の画面上から追加処理の実行を指示した場合、基本処理 22を実行する CPU10 Aから、プロセッサ間通信手段 401を解して、追加処理 2 3の起動要求が、 CPU10 Bに送信され、 CPU 10 B上で追加処理 23が実行され、実行結果が、 CPU10Bから、プロセッサ間通信手段 402を介して、

CPU10Aに送信され、基本処理 22を構成する画面制御ルーチン等が、追加処理 23の実行結果を反映した情報をユーザに提示する、という具合である。第 1例では、 CPU 1 Ό Bで追加処理 23を実行する際、メモリ 50、入出力デバイス（IZO) 60へのアクセス要求が行われた場合、アクセス制御手段 3 0にて、当該アクセスに関する許諾の制御が行われ、許可されたアクセス要求のみが、メモリ 50、入出力デバイス（IZO) 60に対して実行される構成とされている。そして、 CPU 10Bにおいて、 OS 21 B上で追加処理 23を実行し、追加処理 23からの、基本処理 22あるいは OS 21 Aへの処理要求が発行された場合、該要求は、プロセッサ間通信手段 401を介して、 CPU10Aに通知される。すなわち、追加処理 23が、基本処理 22を、直接操作することは出来ない。例えば、悪意のある追加処理 23が、 CPU 1 OAに要求を頻発して発行して負荷を与え、 CPU1 OA側での基本処理の実行性能を著しく低下させようとしても、プロセッサ間通信手段 401が、このような要求を C PU 10 A 側に伝達しないように制御することで、上記攻撃からの防護が実現され、安全性が確保される。

なお、図 1に示す例では、プロセッサ間通信手段 401は、 CPU10 Bから CPU 1 OAへの情報転送、プロセッサ間通信手段 402は、 CPU 10 Aから CPU 10 Bへの情報転送を制御している。あるいは、一台のプロセッサ間通信装置で双方向のデータの受け渡しを行うようにしても良いことは勿論である。第 1例において、基本処理 22を実行する複数の CPU 1 OA同士で CPU間の通信が必要な場合には、プロセッサ間通信手段 40を用いることなく、 CPU間の通信が行われる。また、追加処理 23を実行する複数の CPU 10 Bについても同様である。ただし、後述するように、' CPU群 10 Bを構成する複数の CPU のいくつかを CPU群 1 OAの要素としてダイナミックに切り替える場合、 CP U群 10Bは、論理的には CPU群 1 OAに属するが、 CPU間の通信は、プロセッサ間通信手段 40を介して行うようにしても良い。

第 1例によれば、追加処理 23として、アプリケーションプログラム、デバイスドライバのダウンロード、インストール、実行が可能とされている。追加されたデバイスドライバは、 OS 21 Bに組み込まれ、 CPU 10 B上で実行され、入出力デバイス 60へのアクセス制御は、アクセス制御手段 30の監視の下で実行される。

なお、携帯電話機、 PDA等の携帯型情報通信装置では、通常、図 1における基本処理 2 2、 OS 2 1 Aは、図示されない書き換え可能な不揮発性メモリ (EEPROM： Electricaly Programmable and Erasable ROM)に格納され、 C P U 10 Aは、 EEPROMから命令コードをフェッチしてデコードし実行する。すなわち、基本処理 22と追加処理 23を実行するそれぞれの OS 21A、 21 Bが格納するメモリは、基本処理側と追加処理側で、ハードウェア的に分離されている。そして、基本処理、 O S等の命令コードは、 EEPROMに格納されたものが実行されるが、 CPU 1 OA, 10 Bで実行されるプログラムにより、初期化、参照、更新されるテーブル等のデータは、それぞれの OS起動時に、 DRAM (Dynamic Random Access Memory) よりなるメモリ 50に展開される。そして、 CPU10 Bについて、リード Zライトするメモリ領域をアクセス制御手段 30によって管理し、 C PU1 OAで参照されるメモリ領域へのアクセスを制限している。携帯型情報通信端末とは別の一般の情報処理装置においても、同様にして、基本処理 22、〇 S 21 Aがロードされ CPU 10 Aが命令コードをフェッチするメモリと、追加処理 23、 OS 21 Bが口一ドされ CPU 10 Bが命令コードをフェッチするメモリとを別々に備えていても良いことは勿論である。あるいは、一般の情報処理装置において、メモリ 50に、基本処理 22、 OS 21 Aがロードされる領域と、追加処理 23、 OS 21 Bがロードされる領域を分離して設け、 CPU10Bのメモリ 50へのリード Zライトアクセスをアクセス制御手段 30によって管理するようにしても良い。この場合、 CPU10A、 C PU 10 Bが参照のみするコードについては、共通のメモリ領域に納し、アクセス制御手段 30によって、共通のメモリ領域を、該 CPU10 Bがリードのみ可とするようにアクセス制御しても良い。

また、携帯型情報処理装置において、搭載する電池残量が少なくなつてきた場合には、基本処理を実行する CPU以外を強制的にシャットダウンする、実行する処理の信頼度に応じてより信頼度の低い処理を実行する CPUを優先的にシャットダウンすることで電池残量の節約を行うことが可能である。これは例えば、電池残量を検出する手段と、検出結果を通知する手段によって得られる電池残量に関する情報に基づき、基本処理を行う CPU上で判断を行い、シャットダウンを実行する、といった処理により実現できる。

さらに、携帯型情報処理装置での資源、例えば外部との通信バンド幅ゃ不揮発メモリ量等はより一層制限されているため、信頼度に応じて資源を確保する相対的な割合を変更することも可能である。これは、例えば、基本処理を行う CPU において、実行する処理の信頼度が高い場合には優先的に資源の確保を許容する、信頼度が低い場合には資源の制限をかける等の判断をすることにより実現される。図 2は、第 1例におけるプロセッサ間通信手段のハードウェア構成の一例を示す図である。図 2を参照すると、左右両側の CPU (基本処理を実行する CPU と追加処理を実行する CPU) 間に配設された、割り込み制御装置 41と共有メモリ 42の 1セットで、図 1のプロセッサ間通信手段 40 1、 402の全体を構成している。割り込み制御装置 41としては、 CPU# 0、 CPU# 1、 * · ' C PU#n用の n個の割り込み制御装置 410〜41 nを備え、各割り込み制御装置は、割り込み指示部 41 1と、割り込み状態保持部 412と、割り込み取り消し部 41 3とを備えている。また、共有メモリ 42は、 CPU# 0、 CPU# 1、 · · · CPU#n用の n個の通信領域 420〜42 nを備え、各通信領域は、送信情報（データ、メッセージ）をキュ一^ Γング又はバッファリングする通信キユー 421と、相互排他制御を行う排他制御領域 422とを備えている。

例えば CPU# 0と CPU# 1の 2つの領域を想定すると、 CPU# 1用の割り込み制御装置 41 1と、 CPU# 1用の通信領域 421とが、 CPU# 0から CPU# 1へプロセッサ間通信手段 401を構成し、 CPU# 0用の割り込み制御装置 410と CPU# 0用の通信領 420とが、 CPU# 1から CPU#0 へのプロセッサ間通信手段 402を構成している。

割り込み制御装置 41と、共有メモリ 42は、 CPU# 0、 CPU# 1、 ' · · CPU#nと、バス接続する構成とされる。また、共有メモリ 42の通信キュー 42 1には、送信データそのものでなく、送信データを格納するバッファポイン夕（たとえばメモリ 50条でのバッファ領域アドレス）を設定するようにしても良い。

第 1例では、共有メモリ 42における CPU# iの排他制御領域 422 iは、 CPU# iの通信領域 42 iを、ある CPUが既に占有している場合、他の CP Uが CPU# iの通信領域 42 iを使用することが無いようにする相互排他制御のために、設けられている。すなわち、 CPU# iの排他制御領域 422 iは、 mutex等のセマフォ、フラグ等の同期管理情報の格納に用いられる。

共有メモリ 42に実装された相互排他制御機構により、送信 CPUと受信 CP

U間におけるデータの整合性（consistency) が保証される。

また、相互排他制御機構により、送信側 CPUは、排他制御領域 422がロック状態のときは、送信 CPUに対する割り込み要求をあげることが出来ず、これにより、送信 CPUから受信 CPUへの頻繁なデータ送信等、不当な割り込み発生を防ぐことが出来る。

なお、排他制御領域 422としては、キューへの繋ぎ（エンキユー）、キューからの取り外し（デキュー）のロック管理として用いても良い。

図 2において、割り込み制御装置 41を介してひとつの受信 CPUへの多重割り込みを許可する構成とした場合、共有メモリ 42において、各 CPUの通信領域における通信キュー 421、排他制御領域 422は、多重数分設けられることになる。

特に制限されないが、共有メモリ 42は、図 1のメモリ 50の所定のメモリ領域を共有メモリとして用いても良いし、メモリ 50とは別に、プロセッサ間通信手段 40内に設ける構成としても良い。また、図示されないが、割り込み制御装置 410〜4 I nからの割り込み要求（Interrupt Request) 線は、パラレルに受信 CPUに接続する構成としてもよいし（割り込み本数が増える）、あるいは、デイジ一チェーン方式で接続する構成と Lても良い。

受信 CPUは、割り込み制御装置 41からの割り込み要求を受理すると、これを割り込み制御装置 41に通知し、割り込み制御装置 41は、図示されないデー夕線に割り込み装置番号（割り込みベクター情報）を転送し、受信 CPUは、割り込み装置番号から割り込みベクターを生成し、スケジューラを介して、受信 C P Uで実行される割り込みサービスルーチンが起動され、割り込みサービスル一チンが、対応する共有メモリ 42の通信キューからデータを取得し、排他制御領域の mutex等のセマフォをリリース（アンロック）し、割り込みから復帰（Return From Interrupt) するという一連の制御が行われる。

図 3は、図 2示した第 1例のプロセッサ間通信手段の動作手順を説明するための図であり、 CPU# kから CPU# 0へデータを転送する場合の手順が示されている。図 3において、矢線脇の数字は、ステップ番号を表している。

ステップ 1 ：送信 CPU#kは、共有メモリ 42の CP U# 0の通信領域の排他制御領域をロックする。なお、共有メモリ 42の CP U# 0の通信領域の排他制御領域が他の C P Uによりロックされていることを示している場合、例えば該ロックが解除されるまで待機する。

ステップ 2 ：送信 CPU#kは、共有メモリ 42の CPU# 0の通信領域の排他制御領域をロックした後、共有メモリ 42の CP U# 0用通信領域の通信キュ —に、受信 CP U# 0に送信するデータを書きこむ。

ステップ 3 ：送信 CPU#kは、割り込み制御領域 41の CPU# 0用割り込み制御装置の割り込み指示部に、割り込み要求を通知する。

ステップ 4 ： CP U# 0用割り込み制御装置の割り込み指示部は、 CPU# 0 用割り込み制御装置の割り込み状態保持部を更新し、「割り込み要求有り」に設定する。

ステップ 5 ： CP U# 0用割り込み制御装置の割り込み指示部は、受信 CPU #0へ割り込みを行う。

ステップ 6 ：受信 CPU# 0は、 CP U# 0用割り込み制御装置の割り込み指示部からの割り込みを受理し、共有メモリ 42の CP U# 0用通信領域の通信キユーから、データを取り出す。このとき、受信 CPU# 0では、上記した割り込みサービスルーチンによる処理が行われる。

ステップ 7 ：受信 CPU# 0は、共有メモリ 42の C PU# 0用通信領域の通信キューから、データを取得した後、 CPU# 0用割り込み取り消し部に、割り込み処理完了を通知する。

ステップ 8 ：受信 CPU# 0からの取り込み処理完了通知を受けた CPU# 0 用割り込み制御装置の割り込み指示部は、 C P U # 0用割り込み制御装置の割り込み状態保持部を

更新する。

ステップ 9 ：受信 CPU# 0は、共有メモリ 42の CPU# 0の通信領域の排他制御領域をアンロックする。

第 1例において、特定の受信 CPUへの割り込み要求の集中を確認した場合、受診 CPUへの割り込み要求を制御する等の流量制御、帯域制御を行うようにしても良い。すなわち、割り込み制御装置 41内に、送信 CPU側から受信 CPU に対して、連続 ·多発して割り込み要求を上げることがないように制限する Qo S (Qu a 1 i t y o f S e r v i c e )保証機能を備えても良い。例えぱ、受信 CPUへのデータの引渡しを伴わない割り込み要求は、排他制御の対象とされず、複数連続して発行することが出来る。そこで、受信 CPU側で割り込み処理が完了しない状態において、送信 CPU側からの割り込み要求が発生し、割り込み制御装置 41の割り込み状態保持部の「割り込み要求有り」が所定以上となつた場合に、以降の送信 CPU側から割り込み要求を不許可とする制御が行うようにしてもよい。かかる構成により、例えば送信 CPUが、受信 CPUへのデー夕の引渡しを伴わない割り込み要求を多量に発生することで、受信 CPUの性能を低下させるといった類の攻撃を抑えることが出来る。

図 4は、図 1に示した第 1例のアクセス制御手段 30の構成を示す図である。図 4を参照すると、このアクセス制御手段は 30は、基本側バス 7 OAを介して、基本処理（図 1の 22 ) を実行する C P U 10 Aに接続詞、追加側バス 70 Bを介して追加処理（図1の23) を実行する CPU 10 Bに接続するアクセス許可手段 31と、アクセス許可データ 32を格納した記憶手段を備えている。

アクセス許可データ 32は、 CPU1 OAから読み出し ·書き込みが可能とされる。アクセス許可手段 3 1からは読み出しのみが許可されている。そして、ァクセス許可デ一夕 32は、 CPU 10 Bからは読み出しも書き込みも不可とされる。すなわち、アクセス許可データ 32と C PU 10 Bの間にはデータバスが存在しない。

アクセス許可手段 31は、追加側バス 70 Bのアドレス信号線、制御信号線に転送される、メモリ 50 (図 1参照）へのアクセスアドレス信号、及び制御信号 (アクセスコマンド）から、アクセスの種別（リード Zライト）を判別し、ァクセス許可データ 32の情報を参照して、当該アクセスが適正であるか否かを判別する。判別の結果、アクセスが不当と判断された場合、アクセス許可手段 31は、基本側バス 70Aへのアクセスアドレス、制御信号（アクセスコマンド）の送出を行わず、これにより、 CPU10B側から、基本側バス 70Aへのアクセスは行われない。この場合、追加側バス 70 Bにアクセスアドレスを送出した C PU 10 B側では、バスエラー、あるいは、リード Zライトアドレスに対するメモリ 50等からの不応答により、該アクセスが失敗したことを知る。

アクセス許可手段 31は、入出力デバイス（IZO) 60がメモリマップド: I ZOである場合には、追加側バス 70 Bを監視し、アクセスアドレスが入出力デバイス対応のアドレスであることを検出し、データバス上に、 I/Oコマンド（リード Zライト等）を検出した場合、該アクセスが適正であるかをアクセス許可デ一夕 32の情報を参照して決定する。入出力デバイスがメモリマップド I Oでない場合も、追加側バス 70 Bに転送される入出力デバイスのデバイス番号、 I ZOコマンドをデコードし、アクセス許可データ 32の情報を参照して、ァクセスの可否を決定する。

なお、第 1例において、アクセス制御手段 30は、単位時間あたりのデータ転送量の制御を行う帯域制約手段を備えてもよい。一例として、アクセス制御手段 30は、 C PU 10 Bがアクセス動作中に、 CPU 1 0 Bから追加側バス 70 B に転送されるデ一夕量を測定監視する手段を備え、例えば、単位時間あたり予め定められた閾値を超えるバイト数のデータが転送される場合、 CPU10Bから CPU 1 OAへのデータ転送を打ち切る制御を行うようにしてもよい。その際、 CPU10 Bが、 CPU1 OAへのデ一夕転送がフェイルしたことを知ってリトライした場合にも、アクセス制御手段 30は、 CPU 10 Bからのデータを CP U 1 OAに転送することは行わない。あるいは、アクセス制御手段 30は、バッファを備え、 CPU10 Bから追加側バス 70 Bに転送されるデータをバッファに蓄積し、 CPU 1 OAに転送されるデータの流量を制御する構成としてもよい。図 5は、第 1例におけるアクセス許可データ 32の一例を示す図である。図 5 を参照すると、アクセス許可データは、追加処理を実行する CPU (図 4の追加側バスに接続する CPU) と、アクセスが許可される範囲の始点アドレスと終点アドレスからなる許可範囲アドレスと、許可するアクセス種別（リード、リード /ライト、ライトの種別）がテーブル形式で格納されている。なお、許可範囲ァドレスは、異なる CPUで重複しても良い。図 5に示す例では、 2行目の CPU # 2、 # 3の許可範囲アドレスは、 O xC O O O O O Oから O xF O O O O O O で、読み出し Z書き込み可 (R/W) あり 3行目の CP U# 3の許可範囲アドレスは、 O xE O O O O O Oから O xF O O O O O Oであり、 2行目と重複している。アドレス許可データの数、したがってテーブルのエントリ数は、その数が多いほど、きめ細かく、アクセス制御を行うことが出来る。なお、図 5では、 .説明のため、 R (読み出し可）、 W (書き込み可）、 RZW (読み出し Z書き込み可）を例示したが、 R (読み出し可）は、読み出しのみ可とし書き込みを不可とする情報であり、 Wを書き込みを可'（読み出しも可）とした場合には、 R/Wは、不要とされる。また、読み出しが不可（書き込みも不可）のアドレス範囲は、アドレス許可データ 32には格納されない。図 5に示す例では、アクセス許可データとして、アクセスが許可された CPUのそれぞれについて、アドレス範囲と、ァクセス種別を有するが、アクセス許可データに、アクセス種別として、アクセス不可の情報をさらに設け、追加処理を実行する CPUについて、アクセス不可のアドレス範囲を格納するようにしても良い。

図 4のアクセス許可手段 31は、追加側の CPUからのアクセス要求（ァドレス、読み書きコマンド）を受け取り、アクセス許可データ 32の許可範囲アドレス、アクセス種別を参照して、許可されたアクセスの場合、該アクセスを許可する。一方、不許可の場合、アクセスを不許可とする。図 5に示す例では、 CPU # 4の揚合、始点ァドレス 1000から終点ァドレス 2000 (へキサデシマル）とされ、アクセス種別は読み出し（R) 'とされる。 CPU# 2、 # 3の場合、始点アドレス 0 X C 000000から終点ァドレス O xF O O O O O O (へキサデシマル）とされ、アクセス種別は読み出しと書き込み（RZW) とされる。 CP U # 3の場合、始点ァドレス O xE O O O O O Oから終点ァドレス 0 X F 000 000 (へキサデシマル）のアクセス種別は書き込み（W) とされる。

図 6は、図 4のアクセス制御手段 30の動作の一例を説明するための図である。図 6において、矢線脇の番号は、ステップ番号を示している。

ステップ 1 ：基本処理を実行する CPU 10Aは、アクセス制御手段 30のァクセス許可データ 32に、全ての追加処理を実行する C PU 10 Bが、あるアドレス範囲を読み出すことを禁止する。

ステップ 2 ： CPU10 Bが、追加処理 23の実行等により、読み出しが禁止されたァドレス範囲への読み出し要求を発行したとする。

ステップ 3 ：アクセス許可手段 3 1は、アクセス許可データ 3 2を読み出し、該アクセス要求の適否をチェックする。

ステップ 4 ：アクセス許可手段 3 1は、 C P U 1 0 Bへエラーを返す。該アドレス範囲は、 C P U 1 0 Bからの読み出しが禁止されているためである。

ステップ 5 ： C P U 1 0 Bは、上記アドレス範囲とは別の範囲への読み出し要求を発行する。

ステップ 6 ：アクセス許可手段 3 1は、アクセス許可データ 3 2を読み出してチェックする。

ステップ 7 ：アクセス許可手段 3 1は、 C P U 1 0 Bの読み出しのアクセス要求を許可し、基本側バス 7 O Aに読み出し要求として発行する。

なお、第 1例では、アクセス制御手段 3 0の構成として、アクセス許可手段 3 1と、アクセス許可データ 3 2を備え、アクセス許可情報に基づき、アクセス制御を行う例について説明したが、第 1例にかかる構成のみに制限されるものでなく、アクセス許可のデータに変えて（反転し）、アクセス拒否データと、アクセス拒否手段を備えても良い。この場合、アクセス拒否手段は、追加処理を実行する C P U 1 0 Bからのアクセスアドレスが、アクセス拒否データに、アクセス拒否が定義されたアドレス範囲に合致した場合に、アクセスを拒否する制御を行う。第 1例の変形例として、アクセス許可'手段 3 1に、キャッシュを備えても良い。この場合、アクセス判定に用いたアクセスアドレス、アクセス許可データは、キャッシュに格納され、次回以降のアクセス制御の判定において、該当するァクセスアドレス（アドレス範囲）のアクセス許可データがキャッシュに存在するかを判定し、キャッシュヒットした場合、アクセス判定の高速化を実現している。キャッシュには、アクセスアドレスの範囲に対応するタグアドレス、アクセス許可データを備え、追加側バス 7 0 Bのアクセスアドレスがキャッシュとヒットするか否か判定するキャッシュヒット判定回路を備えて構成される。

さらに、第 1例の変形例として、アクセス制御手段 3 0が、新アクセス許可デ一夕 3 3と、アクセス許可データ更新手段 3 4を備える構成としてもよい。図 7 を参照すると、アクセス制御手段 3 0は、図 6に示した第 1例に加えて、基本側バス 7 0 Aに接続するァクセス許可データ更新手段 3 4と新アクセス許可デ一タ 3 3を格納した記憶手段を備えている。この 2つの手段の機能について詳細を説明する。

新アクセス許可データ 3 3は、図 6のアクセス許可データ 3 2と同じ特徵 ¾持つのに加え、アクセス許可データ更新手段 3 4からのみの読み出しを許可する記憶手段である。

アクセス許可データ更新手段 3 4は、基本側バス 7 O Aを通じた C P U 1 O A からの要求によって、新アクセス許可データ 3 3の内容をアトミックに新ァクセス許可データ 3 4に上書きする。

なお、第 1例の変形例において、アクセス許可データ 3 2の更新ではなく、新アクセス許可データ 3 3への切替を行う手段を設けてもよい。

このような構成によれば、アクセス許可データ 3 2の更新を C P Uによりアトミックに書き換えることが可能となるため、アクセス制御手段 3 0による保護すべき領域、制限すべき領域を動的に変更することが可能である。

また、図 8は、第 1例のアクセス制御手段 3 0の別構成を示す図である。図 8 を参照すると、このアクセス制御手段 3 0は、図 6に示した第 1例に加えて、追加側バス 7 0 Bに接続するアクセス監視手段 3 5と学習手段 3 6 'を備えている。この手段の機能について詳細を説明する。

アクセス監視手段 3 5は、アクセス許可手段 3 1と同様に追加側バス 7 0 Bを通じた C P U 1 0 Bからのアクセス情報を取得する。

学習手段 3 6は、前記アクセス監視手段 3 5から提供されるアクセス情報に基づき、その参照が適切かどうかを判断する。例えば、ユーザ保護データに対する参照回数をカウントしておき、もしあらかじめ指定された闞値を越えた場合には、異常事態と認定し、アクセス監視手段 3 5にそのことを通知し、別途定められたルールに従ってアクセス許可データ 3 2を動的に変更する。また、場合によっては、基本側バス 7 O Aにつながる C P U l O Aに通知をし、異常時の処理を起動してもよい。

このような構成によれば、実際に参照されたパターンから信頼度が低いと思われる C P Uの動作を履歴情報として蓄積することで自律的に制限できるため、実動作における C P Uの動作状況に基づいたより安全な実行制御を行うことが可能となる。

また、アクセス制御手段 30の構成例としては、図 6の構成に加えて、上記説明した新アクセス許可データ 33、アクセス許可データ更新手段 34、アクセス監視手段 35、学習手段 36のすベてを備える構成とすることも可能である。図 9は、基本構成の第 2例の構成を示す図である。図 9を参照すると、第 2例は、図 1の構成に加えて、追加処理側のソフトウェアと〇S、 CPUをさらに 1 組追加したものである。すなわち、第 2の追加処理側の CPU10 Cは、プロセッサ間通信手段を介して、第 1の追加処理用の C P U 10 Bと相互に通信する。また、第 2の追加処理側の CPU 1 0 Cは、第 2のアクセス制御手段 302を介して、基本側バス 7 OAに接続される。

各アクセス制御手段 301、 302の設定は、基本処理 22を実行する CPU 10 Aが設定する。すなわち、基本処理 22を実行する CPU 1 OAが、マスタ —プロセッサとして機能する。 CPU 10 Aにより、メモリ 50及び入出力デバイス（IZO) 60の集中的な管理が行われる。

第 2の追加処理 23 Cを実行する C P U 10 Cは、第 1の追加処理 23 Bを実行する CPU10 Bに対してプロセッサ間通信手段 403を介して通信（データ、コマンドの送信）を行い、第 1の追加処理 23 Bを実行する CPU 10 Bは、基本処理 22を実行する CPU 1 OAにしてプロセッサ間通信手段 401を介して通信（データ、コマンドの送信）を行う。また、第 2の追加処理 23 Cを実行する CPU 10 Cは、第 2のアクセス制御手段 302の監視の下、メモリ 50、入出力デバイス（IZO) 60に対して許可されたアクセスのみを行い、第 1の追加処理 23 Bを実行する CPU 1 OBは、第 1のアクセス制御手段 301の監視の下、メモリ 50、入出力デバイス（I/O) 60に対して許可されたァクセスのみを行い、第 1のアクセス制御手段 301、第 2のアクセス制御手段 302 のアクセス許可デ一夕の設定は、すべて CPU 1 OAによって行われる。かかる構成により、集中的な管理が行われ、また、プロセッサ間通信手段 40により、 CPU間で処理の受け渡しが行われる。第 2例においても、基本処理 22を実行する CPU 1 OAに対する、追加処理 23 B、 23 Cからの直接的な攻撃等は回避される。すなわち、前記第 1例と同様に、追加処理 23 B、 23 Cは、基本処理 22を直接起動あるいはサブルーチン呼出しすることは出来ず、基本処理 22 の起動要求は、例えば CPU 1 0〇から0 111 08を介して、〇？111 OAに、プロセッサ間通信手段を介して伝達され、該要求を受け取った CPU 1 OAでは、権限が付与されていない CPUからの要求である場合、該要求を受理しない（この詳細については、後述するソフトウェアの実施例で詳述する）。このように、追加処理側の C P Uと基本処理側の C P Uに権限の階層が設けられるほか、プロセッサ間通信手段 40、及びアクセス制御手段 30というハードウェア機構を介することで、基本処理等の直接的な攻撃は、回避される。第 2例におけるプロセッサ間通信手段 40 1〜404は、図 2に示した前記第 1例の構成と同様とされ、アクセス制御手段 30 1、 302も、図 4に示した前記第 1例の構成と同様とされるため、その詳細構成、動作の説明は省略する。

図 1 0は、基本構成の第 3例の構成を示す図である。図 1 0を参照すると、第 3例は、図 9に示した構成と同様に、図 1の構成にさらに、追加処理側の CPU 1 0 Cと、アクセス制御手段 302を追加したものである。第 3例は、図 9に示した前記第 2例と相違して、メモリと入出力デバイス（IZO) を、各組（ドメイン）の CPU群毎に用意している。

第 2の追加処理 CPU 10 Cは、許可されたメモリ 50 C、入出力デバイス（ I / ) 60 Cには、アクセス制限なく在にアクセスすることが出来る。第 1の追加処理 CPU 1 O Bには、許可されたメモリ 50 B、入出力デバイス（IZO) 60 Bには、アクセス制限なくアクセスすることが出来る。

第 2の追加処理側の CPU 1 0 Cからの、基本処理側のメモリ 50A、入出力デバイス（I /O) 6 OAへのアクセスは、第 2のアクセス制御手段 302及び第 1のアクセス制御手段 30 1の 2段構成にて、アクセス制御が行われる。

第 1の追加処理側の CPU 1 0 Bからの、基本処理側のメモリ 50A、入出力デバイス（1ノ〇） 60へのアクセスは、第 1のアクセス制御手段 30 1により、アクセス許可が判定される。

第 1のアクセス制御手段 30 1のアクセス許可デ一夕、第 2のアクセス制御手段 302のアクセス許可データは、基本処理の CPU 1 OAが設定する。第 2のアクセス制御手段 302のアクセス許可デ^"夕は第 1の追加処理の CPU 10 B が設定しても良い。第 3例によれば、メモリ、入出力デバイス（IZO) をドメイン単位に分離し、 CPU間をプロセッサ間通信手段 40で多段に接続する構成としたことにより、追加処理による攻撃からの防護機能を高め、安全性を確保している。

図 1 1は、第 3例の変形例を示す図であり、図 1に示した第 1例を 2以上のチップにおいて適用した例である。図 1 1を参照すると、 CPU10A、 10 B、 10 C、 10 Dとアクセス制御手段 30 1の組み合わせからなるチップ 80を複数並べることに加えて、さらに個々のチップ 80間をアクセス制御手段 303で結合する。すなわち、チップ 80A、チップ 80 B等を複数並べ、チップ 8 OA とチップ 80B間等をアクセス制御手段 303で結合する。

ある一チップ 80内における一部の CPUを基本処理実行用として設けることで、一チップ 80内のアクセス制御手段 301によりアクセス制限を行うこともできるし、各チップ 80内の少なくとも一部の CPUを基本処理実行用として設けることも可能である。

また、異なるチップ 80にまたがってドメインを構成し、各チップ 80間のァクセス制御手段 303により実行を制御することも可能である。

いずれの場合でも、適切なアクセス制御手段 30の設定によって、複数のチップ 80間においても本発明を適用する' | 報処理装置の基本構成における実行制御を行うことが可能となる。

上記第 3例では、主に、本発明のハードウェア構成について説明したが、本発明のソフトウエア構成について以下に説明する。

図 12は、本発明を実施するソフトウェア構成の一例を示す図であり、基本ドメインと、 T r u s t e d (信頼）拡張ドメイン、 Un t r u s t e d (無信頼）拡張ドメインを備えている。図 12のハードウェア構成としては、 3つの群の C

PUを備えた、図 10の構成等を用いることが出来る。この場合、基本処理を実行する実行環境である基本ドメインは、図 10のソフト 20、 OS 21 Aに対応し、 T r u s t e d拡張ドメインは、図 10のソフト 20B、 OS 21 Bに対応し、 Un t r u s t e d拡張ドメインは、図 10のソフト 20 C、 OS 21 Cに対応させることが出来る。

図 12を参照すると、基本ドメイン 10 OAは、基本アプリケーションプログラム（「基本アプリケーション」という） 1 1 1と、基本性能 1 12を含む基本ソフト 1 10と、 OS 101 Aと、専用ファイルシステム 103と、外部デバイス 102Aを備え、ネイティブコ一ドダウンロード管理機能 104 Aと、セキユリティポリシデータべ一ス 105を備えている。特に制限されないが、基本機能 1 12は、例えば、第 3例の情報処理装置が携帯型情報通信端末である場合、発呼、着信処理等の呼処理、インターネッ卜アクセス、画面処理等の、携帯型情報通信端末の基本性能を実現するもので、図 1の基本処理 22に対応している。基本ァプリケ一シヨン 1 1 1は、基本機能 1 12を呼び出して処理を行い、基本機能 1

12は、 OSを介してファイルシステム、外部デバイスへのアクセスを行う。外部デバイスは、ワイヤレス通信インタフェース等の通信インタフェース、表示装置のインタフェース、キー、ポインティングデバイス等の入力イン夕フェース、 SD (Secure Digital) メモリ一カードインタ一フェース、サウンドイン夕フエ —ス等を含む。

T r u s t e d拡張ドメィン 100 Bは、ネィティブコ一ドダウン口一ド実行機能 104Bと、ダウンロードアプリケーションプログラム（「ダウン口一ドアプリケ一シヨン」という） 120 Bと、基本性能ライブラリ（ラッパ一） 1 13と、 O S 101 Bと、許可された外部デバイス 102 Bを備えている。

〇 S 101 Bは、証明書付のダウンロードドライバ 121 Bを含む。証明書付のダウンロードドライバ 121 Bは、許可された外部デバイス 102 Bの入出力制御を行う。

Un t r u s t e d拡張ドメイン 100 Cは、ネイティブコードダウンロード実行機能 104 Cと、ダウンロードアプリケーション 120 Cと、 OS 101 C と、許可された外部デバイス 102 Cを備えている。 OS 101 Cに組み込まれるダウンロードドライバ 121 Cは、許可された外部デバイス 102 Cの入出力制御を行う。

基本ドメイン 10 OAの外部デバイス 102 Aから入力され、ダウンロードされたファイルについて、ネイティブコードダウンロード管理機能 104 Aが、セキユリティポリシデータベース 105の内容を参照することで、信頼できる（信頼できる電子証明書付）ネイティブコードのアプリケーションを、 T r u s t e d拡張ドメイン 100 Bに転送し、信頼できる（信頼できる電子証明書付）ネィティブコードのダウンロードドライバ 121 Bの OS 101 Bへの組み込みを行。

また、ネイティブコードダウンロード管理機能 104Aは、信頼できない（例えば電子証明書無しであるか、 '証明書の内容が正しくない場合等）アプリケーシヨンを、 T r u s t e d拡張ドメィン 100 B経由で、 Un t r u s t e d拡張ドメイン 100 Cへ転送し、信頼できない（証明書無し）ダウンロードドライバの Un t r u s t e d拡張ドメインの OS 101 Cへの組み込みを行う。

T r u s t e d拡張ドメイン 100 Bからは、基本機能 1 12の呼出しは許可されるが、 Un t r u s t e d拡張ドメイン 100 Cからの基本機能 1 12の呼び出しは、許可されない。ただし、 Un t r u s t e d拡張ドメイン 100 Cと Tr u s t e d拡張ドメイン 100 Bとの協働作業は可能である。

信頼できるドメインで動作するアプリケーションプログラムは、信頼できないドメインからのデ一夕について、ユーザの確認（OK) があった場合にのみ、基本機能 1 12へ引き渡す。ユーザの確認無く、信頼できないドメインからのデー夕を、基本機能 1 12に渡さない。なお、信頼できる拡張ドメイン 100 Bから、直接、基本ドメイン 10 OAの基本機能 1 12へ、処理要求を発行することは出来ない。

図 13は、図 12に示した第 3例の動作を説明するための図であり、基本アブリケーシヨンの実行を示す図である。図 1 3において、各矢線に付された番号は、当該線を情報が転送されるステップ番号を表している。

ステップ 1 ：基本ドメイン 100Aの基本アプリケーション 1 1 1は、基本機能 112に、処理要求（例えば、アドレス帳の追加等）を発行する。

ステップ 2 ：基本機能 1 12は、 OS 101 Aを利用して、該当要求を処理する。

ステップ 3 ：基本機能' 1 12は、基本アプリケーション 1 1 1に要求の成否を通知する。図 1 4は、図 1 2に示した第 3例の動作を説明するための図であり、信頼アブリケ一シヨンのダウンロードの実行の様子を示す図である。図 1 4において、各矢線に付された番号は、当該線を情報が転送されるステップ番号を表している。ステップ 1 ：基本ドメイン 1 0 O A上の外部デバイス 1 0 2 A (ネットワーク又は S Dメモリカード等）から〇S 1 0 1 Aにダウンロードデータが到着する。ステップ 2 ：ダウンロードデータは、基本機能 1 1 2にて、属性情報等の情報から、追加アプリケーション（ダウンロードアプリケーション）と認識される。ステップ 3 ：基本機能 1 1 2は、追加アプリケーションを、ネイティブコードダウンロード管理機能 1 0 4 Aに渡し、ネイティブコードダウンロード管理機能 1 0 4 Aは、セキュリティポリシデータベース 1 0 5を参照して、追加アプリケーシヨンに付随した電子証明書をチェックする。前述したように、例えば電子証明書には、公開鍵やデジタル署名（証明される機関や公開鍵などを秘密鍵で暗号化したもの）が格納され、ネイティブコードダウン口一ド管理機能 1 0 4 Aが、証明書の認証を行う場合には、デジタル署名の部分を、公開鍵で解読して、証明書のデ一夕の内容と一致するか否かを確認し、一致する場合に、証明書のデータを信頼してもよいと判断する。さらに、アプリケーションのダイジェストからなるデジタル署名を付随しておくことで、ダウンロードしたアプリケーションが改竄されていないかどうかチェックすることが出来る。

ステップ 4 ：ネイティブコードダウンロード管理機能 1 0 4 Aは、電子証明書とともに、ダウンロード情報を、セキュリティポリシデータベース 1 0 5に保存する。

ステップ.5 ：基本ドメイン 1 0 O Aのネイティブコードダウンロード管理機能 1 0 4 Aは、電子証明書のチェックの結果、正しい場合、 T r u s t e d拡張ドメイン 1 0 0 Bのネイティブコードダウンロード実行機能 1 0 4 Bに、ダウン口ードアプリケーションを送信し、実行を要求する。基本ドメイン 1 0 O Aのネィティブコードダウン口一ド管理機能 1 0 4 Aから、 T r u s t e d拡張ドメイン 1 0 0 Bのネイティブコードダウン口一ド実行機能 1 0 4 Bのデ一夕の送信は、図 9又は図 1 0のプロセッサ間通信手段 4 0を用いて行われる。

ステップ 6 ： T r u s t e d拡張ドメイン 1 0 0 Bのネィティブコードダウンロード実行機能 104Bは、受け取ったダウンロードアプリケーションを実行するように制御する。

ステップ 7 ：ダウンロードアプリケーションは T r u s t e d拡張ドメィン上で実行される。

図 1 5は、図 12に示した第 3例の動作を説明するための図であり、信頼ドラィバのダウンロード実行を示す図である。信頼ドライバとは、例えばダウン口一ドされたドライバに添付される電子証明書の照合結果が正しいドライバを言う。図 15において、各矢線に付された番号は、当該線を情報が転送される図轍鮒番号を表している。

ステップ 1 ：基本ドメイン 10 OA上の外部デバイス 102 A (ネットワーク又は SDカード等）から OS 101 Aにダウンロードデ一夕が到着する。

ステップ 2 ：基本機能 1 12にて、属性情報、自動インストール情報等から、ダウンロードデータは、追加デバイスドライバ（ダウンロードドライバ）であると認識する。

ステップ 3 ：基本機能 1 12は、受信したドライバを、ネイティブコードダウンロード管理機能 104 Aに渡す。ネイティブコードダウンロード管理機能 10 4Aは、セキュリティポリシデータベース 105を参照して、ダウンロードデ一夕に付随した電子証明書をチェックする。

ステップ 4 ：ネイティブコードダウンロード管理機能 104Aは、電子証明書とともに、ダウンロード情報をセキュリティポリシデータベース 105に保存する。

ステップ 5 ：ネィティブコードダウンロード管理機能 104 Aは、 T r u s t e d拡張ドメインのネイティブコードダウンロード実行機能 104 Bに対して、ダウンロードドライバを送信し、インストールの実行を要求する。基本ドメイン 10 OAのネイティブコードダウンロード管理機能 104Aから、 T r u s t e d拡張ドメイン 100 Bのネイティブコードダウンロード実行機能 104Bのデ一夕の送信は、図 9又は図 10のプロセッサ間通信手段 40を用いて行われる。ステップ 6 ： T r u s t e d拡張ドメインのネイティブコードダウンロード実行機能 104Bは、受け取ったダウンロードドライバを自動インストールする。特に制限されないが、第 3例において、ダウンロードドライバはインス ] ^一ルした後 C P Uを再起動して O S 1 0 1 Bのある領域に組み込むレジデント型のドラィバであっても良い。

ステップ 7 ： T r u s t e d拡張ドメインの〇S 1 0 1 Bは、ダウンロードドライバをインストールされたことを、既に実行済みのアプリケーションに通知するカゝ、表示する。

ステップ 8 ： T r u s t e d拡張ドメインにおいて、既に実行済みのアプリケーシヨン 1 0 2 Bは、インストールされたダウンロードドライバ 1 2 1 Bを参照する。

ステップ 9： T r u s t e d拡張ドメィンの O S 1 0 1 Bにインス 1 ルされ、ロードされたダウンロードドライバ 1 2 1 Bは、許可された外部デバイス 1 0 2 Bをアクセスする。

ステップ 1 0 ：ダウンロードドライバ 1 2 1 Bは、ダウンロードアプリケ一シヨン 1 2 1 0 Bに外部デバィス 1 0 2 Bからのデ一夕を返す。

図 1 6は、図 1 2に示した第 3例の動作を説明するための図であり、 T r u s t e d拡張ドメインの信頼アプリケーション（ダウン口一ドアプリケーション）が、基本ドメインの基本機能を利用する場合の動作を示す図である。図 1 6において、各矢線に付された番号は、当該線を情報が転送されるステップ番号を表している。

ステップ 1 ： T r u s t e d拡張ドメイン 1 0 0 Bにおいて、ダウンロードアプリケーシヨン 1 2 0 Bが、基本機能ライブラリ 1 1 3へ、基本ドメイン 1 0 0 Aの基本機能 1 1 2の処理を要求する。基本機能ライブラリ 1 1 3は、基本ドメイン 1 0 O Aの基本機能 1 1 2の処理を実行するためのルーチンを集めたライブラリであり、ダウンロードアプリケーション 1 2 0 Bから起動される。

ステップ 2 ： T r u s t e d拡張ドメイン 1 0 0 Bの基本機能ライブラリ 1 1

3は、ダウンロードアプリケーション 1 2 0 Bが保有する電子証明書の鍵（公開鍵等）を用いて、要求を暗号化し、暗号化した要求を、基本ドメイン 1 0 0 Aのネイティブコードダウン口一ド管理機能 1 0 4 Aへ送信する。 T r u s t e d拡張ドメイン 1 0 0 Bの基本機能ライブラリ 1 1 3から基本ドメイン 1 0 0 Aのネィティブコードダウンロード管理機能 104 Aへの要求の送信は、図 9又は図 1 0のプロセッサ間通信手段 40を介して行われる。

ステップ 3 ：基本ドメイン 10 OAのネイティブコードダウンロード管理機能 104Aは、受け取った要求を復号し、該要求を、電子証明書を利用して、要求送信元が適正であるか否か等のチェックを行う。なお、この例では、要求の暗号化と復号を用いて、要求をチェックしているが、アプリケーションと電子証明書の対応がとれる方法であれば、任意の方法を用いてよいことは勿論である。

ステップ 4 ：基本ドメイン 10 OAのネイティブコードダウンロード管理機能 104 Aは、要求のチェックの結果、〇Kであれば、基本機能 1 12へ要求を依頼する。

ステップ 5 ：基本ドメイン 10 OAの基本機能 1 12は、ネイティブコードダゥンロード管理機能 104Aから受け渡された該要求を処理し、処理終了後、基本ドメイン 10 OAのネイティブコードダウンロード管理機能 104 Aへ、処理完了を通知する。

ステップ 6 ：基本ドメイン 10 OAのネイティブコードダウンロード管理機能

104 Aは、 T r u s t e d拡張ドメイン 100 Bの基本機能ライブラリ 1 13 へ、処理の完了を通知する。基本ドメイン 10 OAのネイティブコードダウン口ード管理機能 104Aから T r u s t e d拡張ドメイン 100 Bの基本機能ライブラリ 113への通知の送信は、図 9又は図 10のプロセッサ間通信手段を介して行われる。

ステップ 7 ： T r u s t e d拡張ドメイン基本機能ライブラリ 1 13は、ダウンロードアプリケーション 120Bに、要求に対する応答として処理の完了を通知する。

図 17は、図 12に示した第 3例の動作を説明するための図であり、 Un t r u s t e d拡張ドメインの無信頼アプリケーションのダウンロードの実行手順を示す図である。図 17において、各矢線に付された番号は、当該線を情報が転送されるステップ番号を表している。

ステップ 1 ：基本ドメイン 10 OA上の外部デバイス 102 A (ネットワーク又は SDカード等）から、〇S 101 Aにダウン口一ドデ一夕が到着する。ステップ 2 ：基本ドメイン 10 OAの基本機能 1 12では、属性情報等を解析し、ダウン口一ドデ一夕をアプリケ一ション (ダウンロードアプリケーション) を認識する。

ステップ 3 ：基本ドメイン 10 OAの基本機能 1 12は、ダウンロードアプリケ一シヨンを、ネイティブコードダウンロード管理機能 104 Aに渡す _ό ネィテイブコードダウンロード管理機能 104Aでは、アプリケーションに、電子証明書が付随されていないか、あるいは電子証明書が正しくないと判別する。

ステップ 4 ：基本ドメイン 10 OAのネイティブコードダウンロード管理機能 104Aは、セキュリティポリシデ一夕ベース 105に、ダウンロード情報を保存する。

ステップ 5 ：基本ドメイン 10 OAのネイティブコードダウンロード管理機能 104 Aは、 T r u s t e d拡張ドメインのネイティブコードダウンロード実行機能 104 Bに、ダウンロードされたアプリケーションを送信する。基本ドメィン 10 OAのネイティブコ一ドダウンロード管理機能 104八から丁1" 11 3 t e d拡張ドメインのネイティブコードダウンロード実行機能 104 Bへのアプリケーシヨンの送信は、図 9又は図 10に示したプロセッサ間通信手段 40を介し t 行われる。

ステップ 6 ： T r u s t e d拡張ドメイン 100 Bのネイティブコードダウンロード実行機能 104Bは、 Un t r u s t e d拡張ドメイン 100 Cのネィテイブコードダウンロード実行機能 104 Cにアプリケーションを送信し、実行を要求する。 T r u s t e d拡張ドメイン 100 Bのネィティブコードダウンロード実行機能 104Bから Un t r u s t e d拡張ドメイン 100 Cのネイティブコードダウンロード実行機能 104 Cへのアプリケーションの送信は、図 9又は図 10に示したプロセッサ間通信手段 40を介して行われる。

ステップ 7 ： Un t r u s t e d拡張ドメインのネイティブコードダウン口一ド実行機能 104Cは、受信したダウンロードアプリケーション 120 Cの起動を行う。

ステップ 8 ：ダウンロードアプリケ一ション 120 Cは、 Un t r u s t e d 拡張ドメイン 100 Cで動作を開始する。この場合、 Un t r u s t e d拡張ドメインのダウンロードアプリケ一ション 1 ·20 Cは、 Un t r u s t e d拡張ドメインの OS 101 C上で動作し、許可された外部デバイス 102 Cへのァクセスのみが許可される。

図 18は、図 12に示した第 3例の動作を説明するための図であり、無信頼ドライバのダウンロード実行の様子を示す図である。図 18において、各矢線に付された番号は、当該線を情報が転送されるステップ番号を表している。

ステップ 1 ：基本ドメイン 10 OA上の外部デバイス 102 A (ネットワーク又は SDカード等）から、 OS 101 Aにダウンロードデータが到着する。

ステップ 2 ：基本機能 1 12は、ダウンロードデータの到着で起動され、' 属性情報、インストール情報等のダウンロードデータを解析し、デバイスドライノ (ダゥンロードドライバ）と認識する。

ステップ 3 ：基本機能 1 12は、ダウンロードドライバを、ネイティブコードダウンロード管理機能 104 Aに渡し、ネイティブコードダウンロード管理機能 104Aは、ダウンロードドライバに電子証明書が添付されていないか、あるいは、電子証明書は添付されているが、電子証明書の内容が正しくないことが分かる。

ステップ 4 ：基本ドメイン 10 OAのネイティブコードダウンロード管理機能 104 Aは、ダウンロード情報のみをセキュリティポリシデータベース 105に保存する。

ステップ 5 ：ネイティブコードダウンロード管理機能 104 Aは、 T r u s t e d拡張ドメイン 100Bのネイティブコードダウンロード実行機能 104Bにダウンロードドライバを送信する。ネイティブコードダウンロード管理機能 10 4八から丁 1" 11 3 セ 6 d拡張ドメイン 10ひ Bのネイティブコードダウンロード実行機能 104 Bへのダウンロードドライバの送信は、図 9又は図 10に示したプロセッサ間通信手段 40を介して行われる。

ステップ 6 ： T r u s t e d拡張ドメィン 100 Bのネィティブコ一ドダウンロード実行機能 104Bは、受け取ったダウンロードドライバを、 Un t r u s t e d拡張ドメイン 100 Cのネイティブコードダウンロード実行機能 104C に転送する。 T r u s t e d拡張ドメイン 100 Bのネイティブコードダウン口ード実行機能 1 0 4 Bから U n t r u s t e d拡張ドメイン 1 0 0 Cのネィティプコ一ドダウン口一ド実行機能 1 0 4 Cへのダウンロードドライバの転送は、図 9又は図 1 0に示したプロセッサ間通信手段 4 0を介して行われる。

ステップ 7 ： U n t r u s t e d拡張ドメィン 1 0 0 Cのネィティブコ一ドダゥンロード実行機能 1 0 4 Cは、受信したダウンロードドライバ 1 2 1 Cをインストールする。

ステップ 8： O S 1 0 1 Cは、'ドライバ 1 2 1 Cがインストールされたことを、既に実行済みのアプリケーション 1 2 0 Cへ通知するか、画面に表示する（ュ一ザに通知する）。

ステップ 9 ： U n t r u s t e d拡張ドメイン 1 0 0 Cにおいて、既に実行済みのアプリケーション 1 2 0 Cは、インス 1 ルされたダウンロードドライバ 1 2 1 Cを参照する。

ステップ 1 0 ： U n t r u s t e d拡張ドメイン 1 0 0 Cにおいて、インスト —ルされたダウンロードドライノ 1 2 1 Cは、 U n t r u s t e d拡張ドメインの O S 1 0 1 Cを介して、許可された外部デバイス 1 0 2 Cをアクセスする。ステップ 1 1 ： U n t r u s t e d拡張ドメインにおいて、ダウンロードドラィバ 1 2 1 Cは、ダウンロードアプリケーション 1 2 0 Cに、外部デバイス 1 0 2 Cから取得したデータを返す。

図 1 9は、図 1 2に示した第 3例の作を説明するための図であり、信頼アブリケ一シヨンと無信頼アプリケーションの連携の様子を示す図である。図 1 9において、各矢線に付された番号は、当該線を情報が転送されるステップ番号を表している。

ステップ 1 ： U n t r u s t e d拡張ドメイン 1 0 0 C上のダウンロードァプリケーション 1 2 0 Cは、 T r u s t e d拡張ドメィン 1 0 0 B上のダウン口一ドアプリケーション 1 2 0 Bへデータを送信する。このデータの送信は、通常、図 9又は図 1 0のプロセッサ間通信手段 4 0によって行われる。

ステップ 2 ： T r u s t e d拡張ドメィン 1 0 0 B上のダウンロードアプリケ —シヨン 1 2 0 B」は、受け取ったデ一夕による処理を行い、基本機能ライブラリ 1 1 3へ、 U n t r u s t e d拡張ドメインと連携した情報を含む基本機能処理を要求する。

ステップ 3 ： T r u s t e d拡張ドメイン 1 0 0 B上の基本機能ライブラリ 1 1 3は、アプリケーションが保有する電子証明書を用いて、要求を暗号化し、基本ドメイン 1 0 O A上のネイティブコ一ドダウンロード管理機能 1 0 4 Aへ送信する。この要求の送信は、通常、図 9又は図 1 0のプロセッサ間通信手段 4 0によって行われる。

ステップ 4 ：基本ドメイン 1 0 O Aのネイティブコードダウンロード管理機能 1 0 4 Aは、要求を復号し、該要求の安全性を、セキュリティポリシデータべ一ス 1 0 5に格納された電子証明書を利用してチェックする。チェックの結果、要求が正しい場合、ネイティブコードダウンロード管理機能 1 0 4 Aは、基本アブリケ一シヨン 1 1 1を介して、ユーザに確認を求める。基本アプリケーション 1 1 1は、画面表示、入力のアプリケーションを含む。なお、この例では、要求の暗号化と復号を用いて、アプリケーションと電子証明書の対応をチェックしているが、アプリケーションと電子証明書との対応が取れる方法であれば、任意の方法を用いても良いことは勿論である。

ステップ 5 ：ユーザからの確認として「N〇」が入力されるとする。

ステップ 6 ：ネイティブコードダウン口一ド管理機能 1 0 4 Aは、 T r u s t e d拡張ドメイン 1 0 0 の基本機能ライブラリ 1 1 3へ不許可を通知する。この不許可の通知は、通常、図 9又は図 1 0のプロセッサ間通信手段 4 0によって行われる。

ステップ 7 ：基本機能ライブラリ 1 1 3は、ダウンロードアプリケーション 1 2 0 Bへ不許可を通知する。

. ステップ 8 ： T r u s t e d拡張ドメイン 1 0 0 B上のダウンロードアプリケーシヨン 1 2 0 Bは、 U n t r u s t e d拡張ドメィン 1 0 0 C上のダウンロードアプリケーション 1 2 0 Cに不許可を通知する。この不許可の通知は、通常、図 9又は図 1 0のプロセッサ間通信手段 4 0によって行われる。

図 2 0は、図 1 2に示した第 3例の動作を説明するための図であり、信頼アブリケーシヨンと無信頼アプリケ一ションの連携を示す図である。図 2 0において、各矢線に付された番号は、当該線を情報が転送されるステップ番号を表している。ステップ 1 ： U n t r u s t e d拡張ドメイン 1 0 0 C上のダウンロードァプリケーション 1 2 0 Cは、 T r u s t e d拡張ドメイン 1 0 0 B上のダウン口一ドアプリケーション 1 2 0 Bへデータを送信する。このデータの送信は、図 9又は図 1 0等のプロセッサ間通信手段 4 0によって行われる。

ステップ 2 ： T r u s t e d拡張ドメイン 1 0 0 B上のダウンロードアプリケーシヨン 1 2 0 Bは、受け取ったデータによる処理を行い、基本機能ライブラリ 1 1 3へ、 U n t r u s t e dと連携した情報を含む基本機能処理を要求する。ステップ 3 ： T r u s t e d拡張ドメイン 1 0 0 Bの基本機能ライブラリ 1 1 3は、アプリケーション 1 2 O B g a保有する電子証明書を用いて、要求を暗号化し、基本ドメイン 1 0 O A上のネイティブコードダウン口一ド管理機能 1 0 4

Aへ送信する。この要求は、通常、図 9又は図 1 0のプロセッサ間通信手段 4 0 によって行われる。

ステップ 4 ：基本ドメイン 1 0 O Aのネイティブコードダウンロード管理機能 1 0 4 Aは、要求を復号し、該要求の安全性を、セキュリティポリシデータべ一ス 1 0 5に格納される電子証明書を利用してチェックする。チェックの結果、要求が正しい場合、ネイティブコードダウンロード管理機能 1 0 4 Aは、基本アブリケ一シヨン 1 1 1を介してユーザに確認を求める。なお、この例では、要求の暗号化と復号を用いて、アプリケーションと電子証明書の対応をチェックしているが、アプリケーションと電子証明書との対応が取れる方法であれば、任意の方法を用いても良いことは勿論である。

ステップ 5 ：この場合、ユーザの確認として「Y E S」が入力される。

ステップ 6 ：基本ドメイン 1 0 O Aのネイティブコードダウンロード管理機能 1 0 4 Aは、基本機能 1 1 2へ要求を依頼する。

ステップ 7 ：基本機能 1 1 2は、要求を処理し、ネイティブコードダウンロード管理機能 1 0 4 Aに処理完了を通知する。

ステップ 8 ：基本ドメイン 1 0 O Aのネイティブコードダウンロード管理機能 1 0 4 Aは、 T r u s t e d拡張ドメイン 1 0 0 Bの基本機能ライブラリ 1 1 3 に完了を通知する。この完了通知は、図 9又は図 1 0のプロセッサ間通信手段 4 0によって行われる。ステップ 9 ： T r u s t e d拡張ドメイン 100 Bの基本機能ライブラリ 1 1 3は、ダウンロードアプリケーション 120Bに完了を通知する。

ステップ 10 ： T r u s t e d拡張ドメィン 100 Bのダウン口一ドアプリケーション 120 Bは、 Un t r u s t e d拡張ドメイン 100 Cのダウンロードアプリケーション 120 Cに完了を通知する。この完了通知は、図 9又は図 10 のプロセッサ間通信手段 40によって行われる。

図 21は、基本構成の第 4例の構成を示す図である。 OSと CPU間に仮想マシンモニタ（OSとの間に設けられ、 CPUで実行されるソフトウェア層）を備えている。これにより、 CPU、 1 0、メモリ資源を仮想化している。仮想マシンモニタは、〇Sと CPU間で、仮想ハードウェア（例えば仮想入出力デバイス）を、実際のハードウェアデバイスにマッピングする。基本ドメイン、 T r u s t e d拡張ドメイン、 Un t r u s t e d拡張ドメィンのそれぞれについて、 OSは、仮想の専用ファイルシステム、仮想外部デバイスとの入出力（IZ〇）制御を行い、 OSと CPU間に、仮想 CPU200 A、 200 B、 200 C、仮想マシンモニタ 210A、 210 B、 210 Cを備え、仮想の専用ファイルシステム 103 '、仮想外部デバイス 102A'、 102 B'、 102 C を、対応する実ファイルシステム、実外部デバィスへマッピングする。

第 4例によれば、図 10のハ一ドウエア構成、図 12のソフトウェア構成と相違して、第 4例において、例えば基本ドメインに対応する仮想 CPUは固定でなく、 T r u s t e d拡張ドメイン等の CPUを、基本ドメインの仮想 CPUとしてマッピングすることができる。なお、仮想マシンモニタは、その実装において、既存の OS、アプリケーションプログラム、 CPU等の修正等は不要とされる。第 4例によれば、各ドメインの CPUの個数は可変とされ、仮想 CPUを構成する。ソフトウェア構成としては、基本ドメイン、 T r u s t e d拡張ドメイン、 Un t r u s t e d拡張ドメインの構成は、デバイス、ファイルシステムが仮想デバイス、仮想ファイルシステムであることを除いて、図 12に示した構成と同様である。

図 22は、図 21に示した第 4例の処理手順の一例を示す図である。図 22において、各矢線に付された番号は、ステップ番号を表している。ステップ 1 ：基本ドメイン 1 0 OAの仮想マシンモニタ 21 OAは、 T r u s t e d拡張ドメイン 100 B上の仮想マシンモニタ 210Bに対して CPUの委譲を要求する。

ステップ 2 ： T r u s t e d拡張ドメイン 100 B上の仮想マシンモニタ 2.1 0Bは、仮想 CPU資源を減らす。

ステップ 3 ： T r u s t e d拡張ドメイン 100 B上の仮想マシンモニタ 21 0 Bは、基本ドメイン 10 OA上の CPU上の仮想マシンモニタ 2 1 OAに委譲可能な CPUを通知する。

ステップ 4 ：基本ドメイン 10 OA上の仮想マシンモニタ 21 OAは、ァクセス制御手段等の設定を行い、仮想 CPUの数を増やす。

第 4例によれば、別の群の CPUを、基本ドメインの CPUのように動作させることが出来る。なお、アプリケーションのダウンロード処理は、前記した第 3 例の処理動作（図 13乃至図 20) と同一であるため、その説明は省略する。第 4例の変形例として、仮想マシンモニタを、セキュアモードで動作させるようにしても良い。このようにすることで、安全性をさらに向上させることが出来る。

上記ソフトウェアの各例において、各ドメインの C PU群がマルチプロセッサとして動作する場合、キャッシュコヒーレンスを保っためのバス、仮想マルチプ口セッサの無効化のために、 TLB (Translation Lookaside Buffer：アドレス管理ユニット内に設けられるアドレス変換表）の全エントリをフラッシュするシユートダウン等、ハードウェアで協調動作するチャネルについては、すべて、基本ドメイン 100Aから、制御できるように構成されている。また、図 23に示すように、各ドメインの CPU群（例えば図 1のマルチ CPU構成の CPU群 1 0A、 10 B)を、分離手段 1 5を介して、複数に分業できる構成としても良い。これにより、例えばあるドメインの CPUを他のドメインに委譲する際の制御が容易化し、さらに障害マルチプロセッサの分離（graceful degrading) 等にも対応可能としている。

なお、前記第 1例〜第 4例では、ネットワーク等装置外部からネイティブコードの追加処理（アプリケーション、デバイスドライバ）をダウンロードして実行する情報通信端末装置を例に説明したが、本発明は、かかる情報通信端末装置に限定されるものでなく、任意の情報処理装置に適用可能である。

(第 1の実施例）

上記において基本構成として示した情報処理装置のいずれかに対して本発明を適用した第 1の実施例について説明する。基本構成で示したのと同様の構成及び動作については適宜説明を省略する。

(第 1の実施例の構成）

図 2 4に示すように、本発明の第 1の実施例による情報処理装置は、マルチプ口セッサにより構成されており、最高信頼度ドメイン 1 5 0 A、中信頼度ドメイン 1 5 0 B、低信頼度ドメイン 1 5 0 Cと、データ送信部 3 0 1， 3 0 2 , 3 0 3と、低信頼度ドメイン用データ送信部 3 0 4， 3 0 5と、中信頼度ドメイン用データ送信部 3 0 6， 3 0 7と、ドメイン停止復旧手段 4 0 0とを備え、ドメインからの復旧等の要求を通知されると、通知された要求に対応する処理を実行する機能を有し、または、その要求が正当な場合に、通知された要求に対応する処理を実行する機能を有する。

なお、本発明の第 1の実施例による情報処理装置は、マルチプロセッサ上で各ドメインが有するシングルプロセッサ向け O Sと既存のアプリケーションをそれらに改造を加えることなく動作させ、その既存のアプリケーションに対してマルチプロセッサによる並列処理を実現できるようにしたシングルプロセッサ向け O Sによる並列処理システムにかかるものでもよい。

この場合には、シングルプロセッサ上でアプリケーションを動作させるよりも高速処理が可能となり、また、マルチプロセッサがそれぞれ独立した O Sを備える並列処理システムよりも簡易な構成により並列処理が実現できる。

最高信頼度ドメイン 1 5 O Aは、前述の第 2例の図 9や第 3例の図 1 0におけるソフトウェア 2 O Aと C P U 1 O Aとからなる構成や、第 4例の図 2 1における基本ドメイン 1 0 0 Aと仮想 C P U 2 0 O Aと仮想マシンモニタ 2 1 O Aとからなる構成に対応し、また、基本ドメイン 1 0 O Aと同様に、基本アプリケーションゃ基本ソフトを有する。これら基本アプリケーションゃ基本ソフトとして、例えば、メーラー、ブラウザ、 iモード（登録商標）や、アドレス帳の機能等を備えるものが挙げられる。

また、最高信頼度ドメイン 1 5 OAは、自身が備える CPU、 OSによって、中信頼度ドメイン 1 50B及び低信頼度ドメイン 1 50 Cと、ドメインで発行された処理要求に関するデータや制御に関するデータ等を通信する機能を有する。なお、最高信頼度ドメイン 1 5 OAは、ある一定のセキュリティレベル以上の処理を実行するドメインであり、他のドメインと分離して設けられており、また、例えば、外部からダウンロードされたネイティブコードの実行は行わず、さらに、最も高い信頼度であることから、他の全てのドメインについて、停止状態等の障害を復旧することが可能である。

また、最高信頼度ドメイン 15 OAは、最高信頼度ドメイン 1 5 OA以外への通信経路専用の低信頼度ドメイン用デ一夕送信部 304及び中信頼度ドメイン用データ送信部 306と、最高信頼度ドメイン 15 OA以外のドメインからの通信経路専用のデータ送信部 302， 303.とに接続しており、各ドメインへの通信経路がそれぞれ別に設けられていることから、最高信頼度ドメイン 1 5 OAのみに各種データの書き込みが許可される。

中信頼度ドメイン 150 Bは、前述の第 2例の図 9や第 3例の図 10におけるソフトウェア 20Bと CPU10 Bとからなる構成や、第 4例の図 21における T r u s t e d (信頼）拡張ドメイン 100 Bと仮想 CPU 200 Bと仮想マシンモニタ 210 Bとからなる構成に対応する。

また、中信頼度ドメイン 150 Bは、自身が備える CPU、〇Sによって、最高信頼度ドメイン 1 5 OA及び低信頼度ドメイン 1 50 Cと、ドメインで発行された処理要求に関するデータや制御に関するデータ等を通信する機能を有する。なお、中信頼度ドメイン 150 Bは、最高信頼ドメイン 1 5 OAで実行する処理よりもセキュリティレベルの低い処理を少なくとも一以上有するドメインであり、他のドメインと分離して設けられており、また、例えば、ダウンロードされたネィティブコードのうち、信頼できると保障されたコ一ドのみを実行する。低信頼度ドメイン 150 Cは、前述の第 2例の図 9や第 3例の図 10におけるソフトウェア 20 Cと CPU10 Cとからなる構成や、第 4例の図 21における U n t r u s t e d (無信頼）拡張ドメイン 1 0 0, ( と仮想じ？11 2 0 0 Cと仮想マシンモニタ 2 1 0 Cとからなる構成に対応する。

また、低信頼度ドメイン 1 5 0 Cは、自身が備える C P U、〇Sによって、最高信頼度ドメイン 1 5 O A及び中信頼度ドメイン 1 5 0 Bと、ドメインで発行された処理要求に関するデータや制御に関するデータ等を通信する機能を有する。なお、低信頼度ドメイン 1 5 0 Cは、中信頼度ドメイン 1 5 0 Bで実行する処理よりもセキュリティレベルの低い処理を少なくとも一以上有するドメインであり、他のドメインと分離して設けられており、また、例えば、ダウンロードされたネィティブコードのうち、信頼できると保障されたコ一ド以外のコ一ドを実行する。

また、最高信頼度ドメイン 1 5 0 A、中信頼度ドメイン 1 5 0 B、低信頼度ドメイン 1 5 0 Cは、以下のように形成してもよい。

最高信頼ドメイン 1 5 O Aは、最高信頼ドメイン 1 5 O Aのセキュリティレべルの実行処理のそれぞれが、中信頼度ドメイン 1 5 0 Bの実行処理のセキユリティレベルと同じか又は高く、そして基本ドメインの実行処理の集合として少なくとも 1つセキュリティレベルの高い処理を含むドメインとし、中信頼ドメイン 1 5 0 Bは、中信頼度ドメイン 1 5 0 Bのセキュリティレベルの実行処理のそれぞれが、低信頼度ドメイン 1 5 O 'Cの実行処理のセキュリティレベルと同じか又は高く、そして各ドメインの実行処理の集合として少なくとも 1つセキュリティレベルの高い処理を含むドメインとし、低信頼度ドメイン 1 5 0 Cは、低信頼度ドメイン 1 5 0 Cのセキュリティレベルの実行処理のそれぞれが、中信頼度ドメイン 1 5 0 Bの実行処理のセキュリティレベルと同じか又は低く、そして各ドメインの実行処理の集合として少なくとも 1つセキュリティレベルの低い処理を含むドメインとする。

この場合には、最高信頼度ドメイン 1 5 O Aは、中信頼度ドメイン 1 5 0 Bよりも相対的にセキュリティレベルの高い処理を行い、中信頼ドメイン 1 5 0 Bは、低信頼度ドメイン 1 5 0 Cよりも相対的に高い処理を行う。

本発明の第 1の実施例における信頼度とは、処理ごとに付与されたセキユリティの度合いを示す電子証明書に基づき、あるセキュリティポリシ一に従ってセキユリティレベルの段階ごとに設定されるものをいう。例えば、デジタル署名が付与された処理ごとに、あるセキュリティポリシーに基づきセキュリティレベルが設定される。

図 2 5は、機能重要度設定テーブル 7 0 0を示す図であり、本発明の第 1の実施例において設定される信頼度の一例を示す。

図 2 5に示すように、信頼度は、例えば、階層的に、レベル A：パスワードが必要、レベル B ： 2度確認しない、レベル C ：実行ごとに確認、レベル D：ァクセスごとに確認、のように各レベルの重要度に応じたセキュリティレベルで設定される。

これを利用して、実行する機能に応じてドメインに信頼度を付与する。すなわち、ドメインによる障害の復旧要求の内容の重要度に応じて信頼度を設定する。これにより、例えば、低信頼度ドメイン 1 5 0 Cからの復旧要求を一律には拒否せずに、軽微な障害についての復旧要求の場合にはこれを許諾するなど、柔軟な復旧処理が可能となる。

最高信頼度ドメイン 1 5 O Aにはレベル A、中信頼度ドメイン 1 5 0 Bにはレベル B、低信頼度ドメイン 1 5 0 Cにはレベル Cを配置するというように、ードメインには同種のセキュリティレベルのみを配置してもよいが、柔軟な復旧処理を可能にする信頼度の設定として、例えば、図 2 5のように、最高信頼度ドメイン 1 5 O Aには実行する機能の重要度によってレベル A以上、レベル B以上、中信頼度ドメイン 1 5 0 Bにも実行する機能によってレベル B以上、レベル C以上、低信頼度ドメイン 1 5 0 Cにも実行する機能によってレベル C以上、レベル D以上という配置としても良い。

このように設定された信頼度は、例えば、最高信頼度ドメイン 1 5 O Aによつて管理されていてもよく、この場合には、最高信頼度ドメイン 1 5 O Aの判断により、実行する機能や処理について信頼度に応じた優先順位を定めることができる。

このような設定が可能であればどんな証明書やどんなセキュリティポ ύシ一に基づいて設定してもよく、' 実行する機能やドメイン数に応じて任意に設定することが可能である。データ送信部 301， 302, 303は、ドメインで発行された処理要求に関するデータや制御に関するデータ等を送信する機能を有し、構成例として例えば、共有メモリとプロセッサ間割込み、 F I FOやキュー、デュアルポートメモリ一や、他に LAN等のネットワーク、有線通信や無線通信等からなる構成が挙げられ、データを送信する機能を有する従来の一般的な技術でよく、データ送信が可能であれば構成は特に制限されない。

データ送信部 301， 302 , 303で送信されるデータは、処理要求を発行した要求元ドメインを識別する情報、処理の対象となるドメインを識別する情報、処理の内容を識別する情報等を含み、また、場合により、処理の対象となるドメィンの実際の障害状況に関する情報を含む。

なお、データ送信部 301, 302, 303は、送信先ドメイン内の上位層へのエラ一通知又はエラー処理を行う機構（不図示）を備える。送信先ドメインが復旧処理中のデータ送信においては、このような機構によりデータ送信完了までの無駄な待ちを排除する必要があるからである。

また、後述のデータ送信手段 304 a、 305 a、 306 a、 307 aも同様である。

データ送信部 30 1は、最高信頼度ドメイン 15 OAで発行された、中信頼度ドメイン 150 Bや低信頼度ドメイン 150 Cの復旧等を要求する処理要求等を、ドメイン停止復旧手段 400に通知する機能を有する。

データ送信部 302は、中信頼度ドメイン 1 50Bで発行された、中信頼度ドメイン 150 Bや低信頼度ドメイン 150Cの復旧等を要求する処理要求等を、最高信頼度ドメイン 15 OAに通知する機能を有する。

データ送信^ 5303は、低信頼度ドメイン 1 50 Cで発行された、中信頼度ドメイン 150 Bや低信頼度ドメイン 150 Cの復旧等を要求する処理要求等を、最高信頼度ドメイン 15 OAに通知する機能を有する。

低信頼度ドメイン用データ送信部 304， 305は、それぞれデ一夕送信手段 304 a, 305 aと、低信頼度ドメイン停止検知手段 304 b， 305 bとを備え、対象ドメインである低信頼度ドメイン 150 Cへのデータ送信時に低信頼度ドメイン 150 Cが実際にどのような障害状況にあるかを検知する機能を有する。

中信頼度ドメイン用データ送信部 3 0 6.， 3 0 7は、それぞれデータ送信手段 3 0 6 a , 3 0 7 aと、中信頼度ドメイン停止検知手段 3 0 6 b , 3 0 7 bとを備え、対象ドメインである中信頼度ドメイン 1 5 0 Bへのデータ送信時に中信頼度ドメイン 1 5 0 Bが実際にどのような障害状況にあるかを検知する機能を有する。

データ送信手段 3 0 4 a， 3 0 5 a , 3 0 6 a , 3 0 7 aは、前述の通り、上記データ送信部 3 0 1， 3 0 2 , 3 0 3と同様の機能を有する。

低信頼度ドメイン停止検知丰段 3 0 4 b， 3 0 5 bは、データ送信手段 3 0 4 a又は 3 0 5 aによって低信頼度ドメイン 1 5 0 Cにデータ送信をする際に、低信頼度ドメイン 1 5 0 Cが実際に停止状態であるか否かを検知する機能を有する。この検知機能は、例えば、送信先ドメインである低信頼度ドメイン 1 5 0 Cに当該デ一夕が受信されているか否かを判断することによって、低信頼度ドメイン 1 5 0 Cが停止状態であるか否かを検知する。具体的には、当該データが低信頼度ドメイン 1 5 0 Cに受理されない時間や回数を計測することによって検知することができる。なお、最高信頼度ドメイン 1 5 O Aや、中信頼度ドメイン 1 5 0 Bの処理負担を増大させないために、当該検知処理に要する時間はより短時間であることが望ましい。

また、低信頼度ドメイン停止検知手段 3 0 4 b , 3 0 5 bは、低信頼度ドメイン 1 5 0 Cが停止状態であることを検知すると、最高信頼度ドメイン 1 5 O Aに、低信頼度ドメイン 1 5 0 Cが停止状態であることを通知する。

中信頼度ドメイン停止検知手段 3 0 6 bは、低信頼度ドメイン停止検知手段 3 0 4 b , 3 0 5 bと同様の構成及び機能を備え、デ一夕送信手段 3 0 6 aによつて中信頼度ドメイン 1 5 0 Bにデ一夕送信をする際に、中信頼度ドメイン 1 5 0 B (の障害内容を検知）が実際に停止状態であるか否かを検知する機能を有する。この検知機能は、例えば、送信先ドメインである中信頼度ドメイン 1 5 0 Bに当該データが受信されているか否かを判断することによって、中信頼度ドメイン 1 5 0 Bが停止状態であるか否かを検知する。具体的には、当該データが中信頼度ドメイン 1 5 0 Bに受理されない時間や回数を計測することによって判断することができる。なお、最高信頼度ドメイン 1 5 O Aの処理負担を増大させないために、当該検知処理に要する時間はより短時間であることが望ましい。

また、中信頼度ドメイン停止検知手段 3 0 6 bは、中信頼度ドメイン 1 5 0 B が停止状態であることを確認すると、最高信頼度ドメイン 1 5 O Aに、中信頼度ドメイン 1 5 0 Bが停止状態であることを通知する。

なお、後述するように、中信頼度ドメイン停止検知手段 3 0 6 bは、中信頼度ドメイン 1 5 0 Bに対する復旧処理を許可するための権限を有する場合には、中信頼度ドメイン 1 5 0 Bが停止状態であることをドメイン停止復旧手段 4 0 0に直接通知し、ドメイン停止復旧手段 4 0 0を用いて中信頼度ドメイン 1 5 0 Bの復旧処理を行ってもよい。

この場合には、最高信頼度ドメイン 1 5 O Aが復旧処理の許可に関する処理を行わないことから、最高信頼度ドメイン 1 5 O Aの処理負担が軽くなるという効果を奏する。

一方、中信頼度ドメイン停止検知手段 3 0 7 bは、自ドメインより信頼度が高いドメインの停止を検知する手段であり、データ送信手段 3 0 6 aによって中信頼度ドメイン 1 5 0 Bにデータ送信をする際に、中信頼度ドメイン 1 5 0 Bが実際に停止状態であるか否かを検知する機能を有する。

この検知機能は、例えば、送信先ドメインである中信頼度ドメイン 1 5 0 Bに当該データが受信されているか否かを判断することによって、中信頼度ドメイン 1 5 0 Bが停止状態であるか否かを検知する。具体的には、当該データが中信頼度ドメイン 1 5 0 Bに受理されない時間や回数を計測することによって判断することができる。なお、当該検知処理の時間が短いと、低信頼度ドメイン 1 5 0 C が最高信頼度ドメイン 1 5 O Aに通知する情報の真偽についての信頼度が低いので、当該検知処理にはより長時間を設けることを必要とする。

また、中信頼度ドメイン停止検知手段 3 0 7 bは、中信頼度ドメイン 1 5 0 B が停止状態であることを検知すると、最高信頼度ドメイン 1 5 O Aに、中信頼度ドメイン 1 5 0 Bが停止状態であることを通知する。

また、上記各ドメイン停止検知手段は、停止検知の対象となるドメインが実際に停止状態であるか否かを、例えば、以下の示すような方法によって検知することができる。

( 1 ) 送信元ドメインが、停止検知の対象となる送信先ドメインに定期的に送るチェックパケットの応答の有無を計測することによって検知できる。具体的には、応答のない時間や回数を計測する。また、計測する当該時間や回数は信頼度の差に応じて変更してもよい。

( 2 ) 送信先ドメインが表示する停止 ·暴走情報を計測することによって検知できる。具体的には、送信先ドメインが定期的に更新する情報が途絶えたことを計測する。

なお、上記における当該時間、回数や更新情報の計測頻度等をそれぞれ送信先ドメインよりも高い信頼度のドメインが設定可能としてもよい。ただし、最低閾値を超えての設定の変更はできないものとする。

上記各ドメイン停止検知丰段は、上記各検知処理の手法や当該時間、回数ゃ更新情報等を任意に組み合わせることによって、停止検知の対象となるドメインが実際に停止状態であるか否かを確認してもよい。

ドメイン停止復旧手段 4 0 0は、データ送信部 3 0 1を介して最高信頼度ドメイン 1 5 O Aから通知された処理要求等に基づいて、対象となるドメイン内の C P Uのリセットや O Sのリブート、ドメイン自体のリブ一トゃ、例えば、何月何日等の特定日時の環境へのロールバックや、あるいは、通信路の復旧やアプリの再起動等、復旧処理を含む様々な処理要求を実行する機能を有しており、さらに、最高信頼度ドメイン 1 5 O Aからのみアクセスできる構成になっており、最高信頼度ドメイン 1 5 O Aからの処理要求は無条件で受け入れる。

なお、ドメイン停止復旧手段 4 0 0は、最高信頼度ドメイン 1 5 O A以外のドメインから偉旧処理等の処理要求がなされた場合、これらは全て拒否する。

すなわち、復旧条件は、個々のドメインの信頼度に応じて、そのドメインからの復旧要求の許可または拒否によって決定することができる。例えば、本実施例での復旧条件は、最高信頼度ドメインからの復旧要求を全て許可し、一方それ以外のドメインからの復旧要求を全て拒否する、と規定される。

図 2 6に、ドメイン停止復旧手段 4 0 0の構成を示す。

図 2 6が示すように、ドメイン停止復旧手段 4 0 0は、復旧要求受信手段 4 0 1と、ドメイン停止復旧処理手段 4 0 2とを備える。

復旧要求受信手段 4 0 1は、最高信頼度ドメイン 1 5 O Aからデ一夕送信部 3 0 1を介して復旧要求（処理要求）を受信し、この処理要求をドメイン停止復旧処理手段 4 0 2に通知する機能を有する。

ドメイン停止復旧処理手段 4 0 2は、復旧要求受信手段 4 0 1から通知された処理要求に基づいて、何れのドメインが処理の対象となり、どのような処理要求がされたのか、その処理内容を識別し、該当するドメインに該当する処理内容を依頼をする。

例えば、最高信頼度ドメイン 1 5 O Aから通知された処理要求が、停止している中信頼度ドメイン 1 5 0 Bの復旧処理要求の場合、ドメイン停止復旧処理手段 4 0 2は、停止している中信頼度ドメイン 1 5 0 Bに対して復旧処理を依頼をする。

なお、通信においては、各層において通信相手が規定されるので、それぞれの階層で検知された障害の種類によって処理内容が異なる。例えば、それぞれの階層で検知された停止の状態によつて復旧内容が異なる。

図 2 7に、通信処理の内容（処理内容）とその階層構造との対応関係の一例を示す。

図 2 7が示すように、各ドメインの階層構造は、上の階層から順に、例えば、アプリケーション層、ライブラリ層、 O S層、 C P U層と構成され、ドメイン停止復旧処理手段 4 0 2は、予め定められた階層毎に対応する停止検知処理を実行して通信処理（復旧処理）を行う。

通信処理の内容（復旧処理内容）は、アプリケーション層でのアプリの再起動、ライブラリ肩でのある時点への口一ルバック、 O S層での O Sリブート、 C P U 層での C P Uロールバックである。

なお、第 1の実施例における情報処理装置を動作させるプログラムは、上記各部及び各手段で実現される機能を安定して実現する必要があるために、外部からダウンロードした追加処理の影響を受けることがない最高信頼度ドメイン 1 5 0 Aで格納及び実行されることが好ましい。

ここで、第 1の実施例による情報処理装置のハードウェア構成の説明をする。図 28は、第 1の実施例による情報処理装置のハードウェア構成の一例を示すブロック図である。

図 28を参照すると、第 1の実施例による情報処理装置は、一般的なコンビュ一夕装置と同様のハードウェア構成を備えることによって実現することができ、複数の CPU (Ce n t r a l P r o c e s s i n g Un i t) 501、 R

AM (Rand om Ac c e s s M e mo r y) 等のメインメモリであるデ一夕の作業領域やデータの一時退避領域に用いられる主記憶部 502、インターネット 600を介してデ一夕の送受信を行う通信部 503、液晶ディスプレイ、プリン夕やスピーカ等の提示部 504、キー操作部等の入力部 505、周辺機器と接続してデータの送受信を行うインタフェース部 506、ROM(Re ad 〇 n 1 y Memo r y),磁気ディスク、半導体メモリ等の不揮発性メモリから構成されるハードディスク装置である補助記憶部 507、本情報処理装置の上記各構成要素を相互に接続するシステムバス 508等を備えている。

第 1の実施例による情報処理装置は、その動作を、情報処理装置内部にそのような機能を実現するプログラムを組み込んだ、 LS I (L a r g e S c a l e

I n t e g r a t i on) 等のハードウェア部品からなる回路部品を実装してハ —ドウエア的に実現することは勿論として、上記した各手段及び各部の各機能を提供するプログラムを、コンピュータ処理装置上の CPU 501で実行することにより、ソフトウェア的に実現することができる。

(第 1の実施例の動作）

(最高信頼度ドメイン 150Aによる処理要求）

図 29は、図 24に示した第 1の実施例の動作の一例を説明するための図であり、最高信頼度ドメイン 150Aによる中信頼度ドメイン 1 50Bの停止検知 · 復旧処理を示す。図 29において、各矢線に付された番号は、当該線を情報が転送されるステップ番号を表している。

まず、初期状態として、中信頼度ドメイン 1 50 Bが異常停止をしていることとする。

ステップ 1 ：最高信頼度ドメイン 150Aが、中信頼度ドメイン停止検知機能付データ送信部 306のデータ送信手段 306 aを介して、中信頼度ドメイン 1 5 0 Bへデ一夕を送信する。

ステップ 2 ：中信頼度ドメイン停止検知機能付データ送信部 3 0 6の中信頼度ドメイン停止検知手段 3 0 6 bが、中信賴度ドメイン 1 5 0 Bの停止を検知する。ステップ 3 ：中信頼度ドメイン停止検知手段 3 0 6 bが中信頼度ドメイン 1 5 0 Bの停止を検知したことにより、最高信頼度ドメイン 1 5 O Aが、データ送信部 3 0 1を介して、ドメイン停止復旧手段 4 0 0に中信頼度ドメイン 1 5 0 Bの復旧を要求する。

ステップ 4 ：ドメイン停止復旧手段 4 0 0が、最高信頼度ドメイン 1 5 O Aからの復旧要求に基づいて、中信頼度ドメイン 1 5 0 Bを復旧する。

図 3 0は、図 2 4に示した第 1の実施例の動作の一例を説明するための図であり、最高信頼度ドメイン 1 5 O Aによる低信頼度ドメイン 1 5 0 Cの停止検知 · 復旧処理を示す。図 3 0において、各矢線に付された番号は、当該線を情報が転送されるステップ番号を表している。

まず、初期状態として、低信頼度ドメイン 1 5 0 Cが異常停止をしていることとする。

ステップ 1 ：最高信頼度ドメイン 1 5 O Aが、低信頼度ドメイン停止検知機能付データ送信部 3 0 4のデータ送信手段 3 0 4 aを介して、低信頼度ドメイン 1 5 0 Cへデータを送信する。

ステップ 2 ：低信頼度ドメイン停止検知機能付デ一夕送信部 3 0 4の中信頼度ドメイン停止検知手段 3 0 4 bが低信頼度ドメイン 1 5 0 Cの停止を検知する。ステップ 3 ：低信頼度ドメイン停止検知手段 3 0 4 bが低信頼度ドメイン 1 5 0 Cの停止を検知したことにより、最高信頼度ドメイン 1 5 O Aが、データ送信部 3 0 1を介して、ドメイン停止復旧手段 4 0 0に低信頼度ドメイン 1 5 0 Cの復旧を要求する。

ステップ 4 ：ドメイン停止復旧手段 4 0 0が、最高信頼度ドメイン 1 5 O Aからの復旧要求に基づいて、低信頼度ドメイン 1 5 0 Cを復旧する。

(中信頼度ドメイン 1 5 0 Bによる処理要求）

図 3 1は、図 2 4に示した第 1の実施例の動作の一例を説明するための図であり、中信頼度ドメイン 1 5 0 Bによる低信頼度ドメイン 1 5 0 Cの停止検知 ·復旧処理を示す。図 3 1において、各矢線に付された番号は、当該線を情報が転送されるステップ番号を表している。

ステップ 1 ：中信頼度ドメイン 1 5 0 Bが、低信頼度ドメイン停止検知機能付デ一夕送信部 3 0 5のデータ送信手段 3 0 5 aを介して、低信頼度ドメイン 1 5 0 Cへデータを送信する。

ステップ 2 ：低信頼度ドメイン停止検知機能付データ送信部 3 0 5の低信頼度ドメイン停止検知手段 3 0 5 bが、低信頼度ドメイン 1 5 0 Cの停止を検知する。ステップ 3 ：低信頼度ドメイン停止検知手段 3 0 5 bが低信頼度ドメイン 1 5

0 Cの停止を検知したことにより、中信頼度ドメイン 1 5 0 Bが、データ送信部 3 0 2を介して、最高信頼度ドメイン 1 5 O Aに低信頼度ドメイン 1 5 0 Cの復旧を要求する。

ステップ 4 ：最高信頼度ドメイン 1 5 O Aが、データ送信部 3 0 1を介して、ドメイン停止復旧手段 4 0 0に低信頼度ドメイン 1 5 0 Cの復旧を要求する。ステップ 5ドメイン停止復旧手段 4 0 0が、最高信頼度ドメイン 1 5 O Aからの復旧要求に基づいて、低信頼度ドメイン 1 5 0 Cを復旧する。

なお、ステップ 3とステップ 4との間において、最高信頼度ドメイン 1 5 O A が、復旧を要求された上記低信頼度ドメイン 1 5 0 Cが実際に停止しているかを確認するために、低信頼度ドメイン停止検知機能付データ送信部 3 0 4を用いて停止の有無を検知してもよい。

あるいは、ステップ 4とステップ 5との間において、ドメイン停止復旧手段 4 0 0が、復旧を要求された上記低信頼度ドメイン 1 5 0 Cが実際に停止しているかを確認するために、低信頼度ドメイン停止検知機能付データ送信部 3 0 4を用いて停止の有無を検知してもよい。

(低信頼度ドメイン 1 5 0 Cによる処理要求） ' 図 3 2は、図 2 4に示した第 1の実施例の動作の一例を説明するための図であり、低信頼度ドメイン 1 5 0 Cによる中信頼度ドメイン 1 5 0 Bの停止検知 ·復旧処理を示す。図 3 2において、各矢線に付された番号は、当該線を情報が転送されるステップ番号を表している。

' まず、初期状態として、中信頼度ドメイン 1 5 0 Bが異常停止をしていることとする。

ステップ 1 ：低信頼度ドメイン 1 5 0 Cが、中信頼度ドメイン停止検知機能付データ送信部 3 0 7のデ一夕送信手段 3 0 7 aを介して、中信頼度ドメイン 1 5

0 Bへデータを送信する。

ステップ 2 ：中信頼度ドメイン停止検知機能付データ送信部 3 0 7の中信頼度ドメイン停止検知手段 3 0 7 bが、中信頼度ドメイン 1 5 0 Bの停止を検知する。ステップ 3 ：中信頼度ドメイン停止検知手段 3 0 7 bが中信頼度ドメイン 1 5 0 Bの停止を検知したことにより、低信頼度ドメイン 1 5 0 Cが、デ一夕送信部

3 0 3を介して、最高信頼度ドメイン 1 5 O Aに中信頼度ドメイン 1 5 0 Bの復旧を要求する。

ステップ 4 ：復旧要求元ドメインである低信頼度ドメイン 1 5 0 Cが、復旧対象ドメインである中信頼度ドメイン 1 5 0 Bより信頼度が低く、さらに、低信頼度であることから、最高信頼度ドメイン 1 5 O Aが、復旧要求の対象や内容の真偽を確認するため、中信頼度ドメイン停止検知機能付デ一夕送信部 3 0 6のデ一タ送信手段 3 0 6 aを介して、中信頼度ドメイン 1 5 0 Bへデータを送信する。ステップ 5 ：中信頼度ドメイン停止検知機能付データ送信部 3 0 6の中信頼度ドメイン停止検知手段 3 0 6 bが、中 ί言頼度ドメイン 1 5 0 Βの停止を検知することにより、実際に中信頼度ドメイン 1 5 0 Βが停止していることを確認する。ステップ 6 ：最高信頼度ドメイン 1 5 O Aが、実際に中信頼度ドメイン 1 5 0 Bが停止していることを確認したことにより、データ送信部 3 0 1を介して、ドメイン停止復旧手段 4 0 0に中信頼度ドメイン 1 5 0 Bの復旧を要求する。

ステップ 7 ：ドメイン停止復旧手段 4 0 0が、最高信頼度ドメイン 1 5 O Aからの復旧要求に基づいて、中信頼度ドメイン 1 5 0 Bを復旧する。

なお、ステップ 4〜ステップ 6において、最高信頼度ドメイン 1 5 O Aが当該確認処理を行わずに、ステップ 6とステップ 7との間において、ドメイン停止復旧手段 4 0 0が、復旧を要求された上記中信頼度ドメイン 1 5 0 Bが実際に停止しているかを確認するために、中信頼度ドメイン停止検知機能付データ送信部 3 0 6を用いて停止の有無を検知してもよい。

(同一信頼度ドメインによる処理要求）

図 3 3は、図 2 4に示した第 1の実施例の動作の一例を説明するための図であり、同一信頼度ドメイン内の停止検知 ·復旧処理の一例として、中信頼度ドメイン 1 5 0 Bによる他の中信頼度ドメイン 1 5 0 Bの停止検知 ·復旧処理を示す。図 3 3において、各矢線に付された番号は、当該線を情報が転送されるステップ番号を表している。

まず、初期状態として、 1群の中信頼度ドメイン 1 5 0 B内の少なくとも一つの中信頼度ドメイン 1 5 0 Bが異常停止をしていることとする。

ステップ 1 ：停止していない他の中信頼度ドメイン 1 5 0 Bが、 1群の中信頼度ドメイン 1 5 0 B内の上記中信頼度ドメイン 1 5 0 Bへデータを送信する。ステップ 2：データ送信先の上記中信頼度ドメイン 1 5 0 Bの停止を検知する。なお、同一信頼度ドメイン内の停止検知処理は、信頼度が設定されていないドメインにおける同一ドメイン内の停止検知処理と同様である。従って、この様な停止検知処理は一般的な技術であるため、説明を省略する。

ステップ 3 ：データ送信先の上記中信頼度ドメイン 1 5 0 Bの停止を検知したことにより、当該データの送信元である中信頼度ドメイン 1 5 0 Bが、データ送信部 3 0 2を介して、最高信頼度ドメイン 1 5 O Aに上記停止状態の中信頼度ドメイン 1 5 0 Bの復旧を要求する。 '

ステップ 4 ：最高信頼度ドメイン 1 5 O Aが、データ送信部 3 0 1を介して、ドメイン停止復旧手段 4 0 0に上記停止状態の中信頼度ドメイン 1 5 0 Bの復旧を要求する。

ステップ 5 ：ドメイン停止復旧手段 4 0 0が、最高信頼度ドメイン 1 5 O Aからの復旧要求に基づいて、上記停止状態の中信頼度ドメイン 1 5 0 Bを復旧する。なお、ステップ 3とステップ 4との間において、最高信頼度ドメイン 1 5 O A が、復旧を要求された上記停止状態の中信頼度ドメイン 1 5 0 Bが実際に停止しているかを確認するために、中信頼度ドメイン停止検知機能付データ送信部 3 0 6を用いて停止の有無を検知してもよい。

あるいは、ステップ 4とステップ 5との間において、ドメイン停止復旧手段 4 0 0が、復旧を要求された上記停止状態の中信頼度ドメイン 1 5 0 Bが実際に停止しているかを確認するために、中信頼度ドメイン停止検知機能付デー夕送信部 3 0 6を用いて停止の有無を検知してもよい。

(第 1の実施例による効果）

このように、本発明の第 1の実施例によれば、信頼度に基づいて各ドメインが分離されているので、メ一ラ一やブラウザ等の基本処理を有する最高信頼度ドメイン 1 5 O Aが、最高信頼度ドメイン 1 5 O A以外のドメインからの攻撃等の影響を受けることがなく、最高信頼度ドメイン 1 5 O A以外のドメインが停止する際にも、情報処理装置のメ一ラーやブラウザ等の基本処理がフリーズしない。すなわち、信頼度が低いドメインからウィルスを含んでいる等の悪意のある処理要求や誤った復旧等の処理要求を受け付けないので、情報処理装置の基本処理がフリ一ズすることを防止することができる。

また、最高信頼度ドメイン 1 5 O Aは、最高信頼度ドメイン 1 5 O A以外への通信経路専用の低信頼度ドメイン用データ送信部 3 0 4及び中信頼度ドメイン用データ送信部 3 0 6と、最高信頼度ドメイン 1 5 O A以外のドメインからの通信経路専用のデータ送信部 3 0 2， 3 0 3とに接続しており、各ドメインへの通信経路がそれぞれ設けられていることから、最高信頼度ドメイン 1· 5 O Aのみに各種データの書き込みが許可され、各ドメイン間の排他制御が不要となる。

さらに、ドメイン停止復旧停止手段によって、停止等の障害が生じた、最高信頼度ドメイン 1 5 O A以外のドメインを復旧できるので、最高信頼度ドメイン 1 5 O Aのセキュリティを確保すると共に、情報処理装置の継続した稼動を可能とする。

また、ウォッチドッグタイマ等による自発的なドメイン復旧では、データ送信先のドメインの復旧にかかる時間が読めないので、エラ一対処によって性能が落ち、さらに、自発的なドメイン復旧が起動できない場合があるという問題を有するが、本発明の第 1の実施例によれば、最高信頼度ドメイン 1 5 O Aが、低信頼度ドメイン用データ送信部 3 0 4及び中信頼度ドメイン用データ送信部 3 0 6によって、中信頼度ドメイン 1 5 0 Bや低信頼度ドメイン 1 5 0 Cへのデ一夕送信時にこれらのドメインで生じている障害を検知できるので、データ送信時に、これらの障害の復旧が可能となり、上記問題を回避できる。

さらにまた、最高信頼度ドメイン 1 5 O Aが、低信頼度ドメイン停止検知手段 3 0 4 b及び中信頼度ドメイン停止検知丰段という 2種類の停止検知手段を備えるため、最高信頼度ドメイン 1 5 O Aによる停止検知処理について分散化でき、高速化を図ることができる。

また、最高信頼度ドメイン 1 5 O Aが、自身の判断により、信頼度に応じた優先順位に基づいて復旧処理を行えるので、必要な機能から優先的に復旧できる等、情報処理装置の適切な復旧が可能となる。例えば、障害が発生したあるドメインに対して複数の復旧要求が同時になされた場合でも、復旧要求の要求元のドメインの信頼度や、復旧要求が示す処理内容の信頼度に応じた優先順位の基づいて、柔軟で効率的な復旧処理が可能となる。また、不必要な復旧処理の発生を抑えることや、必要最低限のみの復旧処理を行うことも可能である。

(第 2の実施例）

第 2の実施例は、図 2 4に示した第 1の実施例に対応し、第 1の実施例と同様の構成を採用するが、ドメイン停止復旧手段 4 0 0が、各種ドメインで発行された要求を受信する停止確認手段 4 0 3を有する点で相違する。

以下、上記の第 1の実施例との相違点について主に説明し、第 1の実施例と共通する構成要素については説明を省略する。

(第 2の実施例の構成）

図 3 4は、第 2の実施例によるドメイン停止復旧手段 4 0 0の構成を示す図である。

図 3 4に示すように、第 2の実施例によるドメイン停止復旧手段 4 0 0は、停止確認手段 4 0 3を備える点で第 1の実施例と相違する。

停止確認手段 4 0 3は、復旧要求受信手段 4 0 1を介して、各種ドメインから通知された情報から、復旧要求（処理要求）を発行した要求元ドメインを識別する情報、処理の対象となるドメインを識別する情報、処理の内容を識別する情報等を取得し、低信頼度ドメイン用デ一夕送信部 3 0 4や中信頼度ドメイン用デー夕送信部 3 0 6を用いて処理の対象となるドメインの実際の障害状況を検知し、取得した処理の内容の真偽を確認する機能を有する。

停止確認手段 4 0 3は、このようにして、取得した処理の内容が正しいと確認した場合に、各種ドメインから通知された情報をドメイン停止復旧処理手段 4 0 2に通知し、処理を要求する。

ドメイン停止復旧処理手段 4 0 2は、停止確認手段から処理を要求されると、停止確認手段 4 0 3から通知された情報に基づいて、処理の対象となるドメイン内の所定の手段に復旧等の処理を依頼する。

なお、第 2の実施例では、ドメイン停止復旧手段 4 0 0が有する停止確認手段 4 0 3が、低信頼度ドメイン用データ送信部 3 0 4や中信頼度ドメイン用データ送信部 3 0 6を備えていてもよいし、また、停止確認手段 4 0 3が、ドメイン停止復旧手段 4 0 0の外部にあり、各種ドメインから通知された情報に基づいて上記検知処理を行い、ドメイン停止復旧手段 4 0 0内のドメイン停止復旧処理手段 4 0 2に処理要求を行う構成としてもよい。

(第 2の実施例の動作）

(中信頼度ドメイン 1 5 0 Bによる処理要求）

図 3 5は、図 2 4に示した第 1の実施例において、図 3 4に示した停止復旧手段 4 0 0を備える場合の動作の一例を説明するための図であり、中信頼度ドメイン 1 5 0 Bによる低信頼度ドメイン 1 5 0 Cの停止検知 ·復旧処理を示す。図 3 5において、各矢線に付された番号は、'当該線を情報が転送されるステップ番号を表している。

なお、中信頼度ドメイン 1 5 0 Bが、データ送信部 3 0 2を介して、ドメイン停止復旧手段 4 0 0に低信頼度ドメイン 1 5 0 Cの復旧を要求する点において、図 2 4に示した第 1の実施例と相違する。

まず、初期状態として、低信頼度ドメイン 1 5 0 Cが異常停止をしており、かつ、中信頼度ドメイン 1 5 0 Bが、ドメイン停止復旧手段 4 0 0を利用でき、もしくは、ドメイン停止復旧手段 4 0 0を利用する権限を有することとする。

ステップ 1 ：中信頼度ドメイン 1 5 0 Bが、低信頼度ドメイン停止検知機能付デ一夕送信部 3 0 5のデータ送信手段 3 0 5 aを介して、低信頼度ドメイン 1 5 0 Cへデータを送信する。ステップ 2 ：低信頼度ドメイン停止検知機能付データ送信部 3 0 5の低信頼度ドメイン停止検知手段 3 0 5 bが、低信頼度ドメイン 1 5 0 Cの停止を検知する。ステップ 3 ：低信頼度ドメイン停止検知手段 3 0 5 bが低信頼度ドメイン 1 5 0 Cの停止を検知したことにより、ドメイン停止復旧手段 4 0 0を利用できる中信頼度ドメイン 1 5 0 Bが、データ送信部 3 0 2を介して、ドメイン停止復旧手段 4 0 0に低信頼度ドメイン 1 5 0 Cの復旧を要求する。

ステップ 4 ：ドメイン停止復旧手段 4 0 0が、中信頼度ドメイン 1 5 0 Bからの復旧要求に基づいて、低信頼度ドメイン 1 5 0 Cを復旧する。

なお、ステップ 3とステップ 4との間において、ドメイン停止復旧手段 4 0 0 が、復旧を要求された上記低信頼度ドメイン 1 5 0 Cが実際に停止しているかを確認するために、低信頼度ドメイン停止検知機能付データ送信部 3 0 4を用いて停止の有無を検知してもよい。

また、ステップ 3とステップ 4との間において、原則的に、ドメイン停止復旧手段 4 0 0が、復旧を要求された上記低信頼度ドメイン 1 5 0 Cが実際に停止しているか等の障害を確認するために、低信頼度ドメイン停止検知機能付データ送信部 3 0 4を用いて停止等の有無を検知し、中信頼度ドメイン 1 5 0 Bから復旧要求がなされた場合には、信頼度の設定に基づき、上記停止等の障害の有無を検知しないこととしてもよい。

(低信頼度ドメイン 1 5 0 Cによる処理要求）

図 3 6は、図 2 4に示した第 1の実施例において、図 3 4に示した停止復旧手段 4 0 0を備える場合の動作の一例を説明するための図であり、低信頼度ドメイン 1 5 0 Cによる中信頼度ドメイン 1 5 0 Bの停止検知 ·復旧処理を示す。図 3 6において、各矢線に付された番号は、当該線を情報が転送されるステップ番号を表している。

なお、低信頼度ドメイン 1 5 0 Cが、デ一タ送信部 3 0 3を介して、ドメイン停止復旧手段 4 0 0に中信頼度ドメイン 1 5 0 Bの復旧を要求し、ドメイン停止復旧手段 4 0 0が、中信頼度ドメイン停止検知機能付データ送信部 3 0 7を用いて、中信頼度ドメイン 1 5 0 Bへのデータ送信及び中信頼度ドメイン 1 5 0 Bの停止を検知する点において、図 2 4に示した第 1の実施例と相違する。まず、初期状態として、中信頼度ドメイン 1 5 0 Bが異常停止をしており、かつ、低信頼度ドメイン 1 5 0 Cが、ドメイン停止復旧手段 4 0 0を利用でき、もしくは、ドメイン停止復旧手段 4 0 0を利用する権限を有することとする。

ステップ 1 ：低信頼度ドメイン 1 5 0 Cが、中信頼度ドメイン停止検知機能付データ送信部 3 0 7のデータ送信手段 3 0 7 aを介して、中信頼度ドメイン 1 5 0 Bへデータを送信する。

ステップ 2 ：中信頼度ドメイン停止検知機能付データ送信部 3 0 7の中信頼度ドメイン停止検知手段 3 0 7 bが、中信頼度ドメイン 1 5 0 Bの停止を検知する。ステップ 3 ：中信頼度ドメイン停止検知手段 3 0 7 bが中信頼度ドメイン 1 5 0 Bの停止を検知したことにより、低信頼度ドメイン 1 5 0 Cが、データ送信部

3 0 3を介して、ドメイン停止復旧手段 4 0 0に中信頼度ドメイン 1 5 0 Bの復旧を要求する。

ステップ 4 ：復旧要求元ドメインである低信頼度ドメイン 1 5 0 Cが、復旧対象ドメインである中信頼度ドメイン 1 5 0 Bより信頼度が低く、さらに、低信頼度であることから、ドメイン停止復旧手段 4 0 0が、復旧要求の対象や内容の真偽を確認するため、中信頼度ドメイン停止検知機能付データ送信部 3 0 6のデー夕送信手段 3 0 6 aを介して、中信頼度ドメイン 1 5 0 Bへデータを送信する。ステップ 5 ：中信頼度ドメイン停止検知機能付データ送信部 3 0 6の中信頼度ドメイン停止検知手段 3 0 6 が、中頼度ドメイン 1 5 0 Bの停止を検知することにより、ドメイン停止復旧手段 4 0 0は、実際に中信頼度ドメイン 1 5 0 B が停止していることを確認する。

ステップ 6 ：ドメイン停止復旧手段 4 0 0は、実際に中信頼度ドメイン 1 5 0 Bが停止していることを確したことにより、低信頼度ドメイン 1 5 0 Cからの復旧要求に基づいて、中信頼度ドメイン 1 5 0 Bを復旧する。

(同一信頼度ドメインによる処理要求）

図 3 7は、図 2 4に示した第 1の実施例において、図 3 4に示した停止復旧手段 4 0 0を備える場合の動作の一例を説明するための図であり、同一信頼度ドメィン内の停止検知 ·復旧処理の一例として、中信頼度ドメイン 1 5 0 Bによる他の中信頼度ドメイン 1 5 0 Bの停止検知 '復旧処理を示す。図 3 7において、各矢線に付された番号は、当該線を情報が転送されるステツプ番号を表している。なお、中信頼度ドメイン 1 5 0 Bが、データ送信部 3 0 2を介して、ドメイン停止復旧手段 4 0 0に他の中信頼度ドメイン 1 5 0 Bの復旧を要求する点において、図 2 4に示した第 1の実施例と相違する。

まず、初期状態として、 1群の中信頼度ドメイン 1 5 0 B内の少なくとも一つの中信頼度ドメイン 1 5 0 Bが、ドメイン停止復旧手段 4 0 0を利用でき、もしくは、ドメイン停止復旧手段 4 0 0を利用する権限を有することとする。

ステップ 1 ：停止していない他の中信頼度ドメイン 1 5 0 Bが、 1群の中信頼度ドメイン 1 5 0 B内の上記中信頼度ドメイン 1 5 0 Bへデータを送信する。ステップ 2：データ送信先の上記中信頼度ドメイン 1 5 0 Bの停止を検知する。ステップ 3 ：データ送信先の上記中信頼度ドメイン 1 5 0 Bの停止を検知したことにより、ドメイン停止復旧手段 4 0 0を利用できる当該データの送信元である中信頼度ドメイン 1 5 0 Bが、データ送信部 3 0 2を介して、ドメイン停止復旧手段 4 0 0に上記停止状態の中信頼度ドメイン 1 5 0 Bの復旧を要求する。ステップ 4 ：ドメイン停止復旧手段 4 0 0が、当該データの送信元である中信頼度ドメイン 1 5 0 Bからの復旧要求に基づいて、上記停止状態の中信頼度ドメイン 1 5 0 Bを復旧する。

なお、ステップ 3とステップ 4との間において、ドメイン停止復旧手段 4 0 0 が、復旧を要求された上記中信頼度ドメイン 1 5 0 Bが実際に停止しているかを確認するために、中信頼度ドメイン停止検知機能付データ送信部 3 0 6を用いて停止の有無を検知してもよい。

(第 2の実施例による効果）

このように、本発明の第 2の実施例によれば、停止確認手段 4 0 3が、各種ドメインから通知された情報に基づいて上記検知処理を行う。従って、最高信頼度ドメイン 1 5 O Aが、中信頼度ドメイン 1 5 0 Bや低信頼度ドメイン 1 5 0 Cから処理要求を通知されても、処理の対象となるドメインの実際の障害状況を検知し、処理の内容の真偽を確認する必要がないので、最高信頼度ドメイン 1 5 O A の処理負担が軽減されるという効果を奏する。 (第 3の実施例）

第 3の実施例は、図 2 4にお示した第 1の実施例に対応し、第 1の実施例と同様の構成を採用するが、ドメイン停止復旧手段 4 0 0が、各種ドメインで発行された要求を受信する復旧処理制御手段 4 0 4を有する点で相違する。

以下、上記の第 1の実施例との相違点について主に説明する。

(第 3の実施例の構成）

図 3 8は、第 3の実施例によるドメイン停止復旧手段 4 0 0の構成を示す図である。

図 3 8に示すように、本実施例によるドメイン停止復旧手段 4 0 0は、復旧処理制御手段 4 0 4を備える点で第 1の実施例と相違する。

復旧処理制御手段 4 0 4は、図 4のアクセス制御手段 3 0と同様の構成及び機能を有し、復旧処理許可データ 4 0 4 aを格納した記憶手段と、復旧処理許可手段 4 0 4 bとを備え、復旧要求受信手段 4 0 1を介して最高信頼度ドメイン 1 5 O A以外のドメインから通知された処理要求に対する許否を判別する機能を有する。

また、復旧処理制御手段 4 0 4は、処理要求が通知された場合、許可された処理要求だけをドメイン停止復旧手段 4 0 0に通知する。

ここで、復旧要求受信手段 4 0 1は、'各ドメインから受信した復旧要求（処理要求）について、最高信頼度ドメイン 1 5 O Aから受信した復旧要求（処理要求）をドメイン停止復旧処理手段 4 0 2に通知し、最高信頼度ドメイン 1 5 O A以外のドメインから受信した復旧要求（処理要求）を復旧処理許可手段 4 0 4 bに通知する。

復旧処理制御手段 4 0 4は、低レベルのセキュリティしか要求されないドメインである、最高信頼度ドメイン 1 5 O A以外のドメインに対して、予め許可されたドメインへの予め許可された形態による処理要求のみを許可する制御を行う。復旧処理許可データ 4 0 4 aは、最高信頼度ドメイン 1 5 O A以外のドメインから通知される処理要求と、所定のドメインに対する所定の処理内容を関連付けて、最高信頼度ドメイン 1 5 O Aが予め設定したデータであり、最高信頼度ドメイン 1 5 O Aから読み出し ·書き込みが可能である。また、復旧処理許可手段 4 0 4 bからは読み出しのみが許可されている。さらに、最高信頼度ドメイン 1 5 O A以外のドメインからは読み出しも書き込みも不可とされる。すなわち、復旧処理許可データ 4 0 4 aと最高信頼度ドメイン 1 5 O A以外のドメインの間にはデータバスが存在しない。

図 3 9に、復旧処理許可デ一夕 4 0 4 aの内容の一例を示す。

図 3 9に示すように、復旧処理許可データ 4 0 4 aは、復旧を要求する側のドメインである要求元ドメインに対して、復旧処理の対象となる復旧先ドメインとその復旧方法とを規定する。

要求元ドメインがドメイン # 1の場合、復旧先ドメイン及び復旧方法は無いことが規定されている。

要求元ドメインがドメイン # 2の場合、復旧先ドメインはドメイン # 1のみ、復旧方法は O Sリブートのみであることが規定されている。

要求元ドメインがドメイン # 3の場合、復旧先ドメインはドメイン # 2のみ、復旧方法はリセット及びロールバックであることが規定されている。

復旧処理許可手段 4 0 4 bは、復旧要求受信手段を介して最高信頼度ドメイン 1 5 O A以外のドメインからの処理要求を受け取ると、復旧処理許可データ 4 0 4 aの要求元ドメイン、復旧先ドメイン及び復旧方法を参照して、当該処理要求が該当するか否かによって、当該処理要求の許否を判断し、許可された処理要求の場合、当該処理要求をドメイン停止復旧手段 4 0 0に発行する機能を有する。一方、不許可の場合、復旧処理許可手段 4 0 4 bは、ドメイン停止復旧手段 4 0 0に当該発行をしない。

すなわち、復旧条件は、第 1の実施例で述べた、偭々のドメインの信頼度に応じて、そのドメインからの復旧要求の許可または拒否に加えて、復旧先ドメインや復旧処理等の処理内容によって決定することができる。例えば、本実施例での復旧条件は、ドメイン # 1からの復旧要求を全て拒否するという第 1の実施例での条件設定に加えて、ドメイン # 2及びドメイン # 3からの復旧要求に対しては、各々復旧先ドメインと処理内容によって部分的に復旧要求を許可する、と規定される。このように、より細い復旧条件の設定が可能となることを特徴とする。 (第 3の実施例の動作）

図 4 0は、復旧処理制御手段 4 0 4の動作の一例を説明するための図である。図 4 0において、矢線脇の番号は、ステップ番号を示している。

まず、初期設定として、最高信頼度ドメイン 1 5 O Aが、復旧処理許可データ 4 0 4 aの内容を規定する。

ステップ 1 ：最高信頼度ドメイン 1 5 O A以外のドメインが、復旧処理許可デ一夕 4 0 4 aと合致しない処理要求を発行したとする。

ステップ 2 ：復旧処理許可手段 4 0 4 bは、当該処理要求を取得することによつて、復旧処理許可データ 4 0 4 aを読み出し、当該処理要求の許否を判断する。ステップ 3 ：復旧処理許可手段 4 0 4 bは、最高信頼度ドメイン 1 5 O A以外のドメインへエラ一を返す。当該処理要求は、復旧処理許可データ 4 0 4 aと合致しないためである。

ステップ 4 ：最高信頼度ドメイン 1 5 O A以外のドメインは、上記処理要求とは別の処理要求を発行する。

ステップ 5 ：復旧処理許可手段 4 0 4 bは、当該処理要求を取得することによつて、復旧処理許可データ 4 0 4 aを読み出し、当該処理要求の許否を判断する。ステップ 6 ：復旧処理許可手段 4 0 4 bは、最高信頼度ドメイン 1 5 O A以外のドメインの当該処理要求を許可した場合、ドメイン停止復旧処理手段 4 0 2に当該処理要求を発行する。 '

なお、第 3の実施例では、復旧処理制御手段 4 0 4の構成として、復旧処理許可データ 4 0 4 aと、復旧処理許可手段 4 0 4 bとを備え復旧処理許可データ 4 0 4 aに基づき、処理要求の制御を行う例について説明したが、本発明にかかる構成のみに制限されるものでなく、復旧処理許可データに変えて（反転し）、復旧処理拒否デ一夕と、復旧処理拒否手段を備えても良い。この場合、復旧処理拒否手段は、最高信頼度ドメイン 1 5 O A以外のドメインからの処理要求が、復旧処理拒否データによって復旧処理の拒否が定義された所定の要求元ドメイン、復旧拒否先ドメイン、復旧方法の何れか又は全部等において、所定の条件に合致した場合に、当該処理要求を拒否する制御を行う。

(第 3の実施例による効果) このように、本発明の第 3の実施例によれば、復旧処理制御手段 4 0 4の復旧処理許可手段 4 0 4 bが、復旧処理許可データ 4 0 4 aに基づいて、予め許可されたドメインへ予め許可された形態による処理要求のみを許可する制御を行うので、最高信頼度ドメイン 1 5 O A以外のドメインがダウンロード等により外部から取得した追加処理による、高レベルのセキュリティを必要とする最高信頼度ドメイン 1 5 O Aへの各種攻撃を防ぐことが出来る。

また、復旧処理制御手段 4 0 4が、ドメイン停止復旧手段 4 0 0の復旧処理を分散化するので、復旧処理の高速化が図れる。

なお、第 3の実施例の変形例として、復旧処理許可手段 4 0 4 bに、キヤッシュを備えても良い。この場合、処理要求の許否の判断に用いた、復旧処理許可デ —タ 4 0 4 aは、キャッシュに格納され、次回以降の処理要求の許否の判断において、該当する処理要求の復旧処理許可デ一夕 4 0 4 aがキャッシュに存在するかを判定し、キャッシュヒットした場合、処理要求の許否の判断の高速化を実現する。

(第 4の実施例）

第 4の実施例は、図 2 4に示した第 1の実施例に対応し、第 1の実施例と同様の構成を採用するが、ドメイン停止復旧手段 4 0 0が、停止確認手段 4 0 3及び復旧処理制御手段 4 0 4を有する点でネ目違する。

図 4 1は、第 4の実施例によるドメイン停止復旧手段 4 0 0の構成を示す図である。

図 4 1に示すように、第 4の実施例によるドメイン停止復旧手段 4 0 0は、停止確認手段 4 0 3及び復旧処理制御手段 4 0 4を備える点で第 1の実施例と相違する。

ここで、停止確認手段 4 0 3は、第 2の実施例における停止確認手段 4 0 3と同様の構成であり、また、復旧処理制御手段 4 0 4は、第 3の実施例における復旧処理制御手段 4 0 4と同様の構成であるため、説明を省略する。

(第 4の実施例の動作）第 4の実施例によるドメイン停止復旧手段 4 0 0は、復旧処理制御手段 4 0 4 が、第 3の実施例と同様に最高信頼度ドメイン 1 5 O A以外のドメインからの処理要求について許否を判断し、停止確認竽段 4 0 3が、復旧処理制御手段 4 0 4 で許諾された処理要求を取得し、第 2の実施例と同様に、取得した処理要求にかかる処理の内容の真偽を確認し、正しいと確認した場合に、取得した処理要求の情報をドメイン停止復旧処理手段 4 0 2に通知する。

(第 4の実施例による効果）

このように、本発明の第 4の実施例によれば、復旧処理制御手段 4 0 4の復旧処理許可手段 4 0 4 bが、復旧処理許可データ 4 0 4 aに基づいて、予め許可されたドメインへ予め許可された形態による処理要求のみを許可する制御を行うので、最高信頼度ドメイン 1 5 O A以外のドメインがダウンロード等により外部から取得した追加処理による、高レベルのセキュリティを必要とする最高信頼度ドメイン 1 5 O Aへの各種攻撃を防ぐことが出来るので最高信頼度ドメイン 1 5 0 Aのセキュリティが向上する。

さらに、停止確認手段 4 0 3が、復旧処理許可手段 4 0 4 bによって許可された処理要求にかかる情報に基づいて上記検知処理を行う。従って、最高信頼度ドメイン 1 5 O Aが、中信頼度ドメイン 1 5 0 Bや低信頼度ドメイン 1 5 0 Cから処理要求を通知されても、処理の対象となるドメインの実際の障害状況を検知し、処理の内容の真偽を確認する必要がないので、最高信頼度ドメイン 1 5 O Aの処理負担が軽減されるという効果を奏するとともに、最高信頼度ドメイン 1 5 O A のセキュリティを確保しつつ、実際にドメインで生じている障害を的確に復旧することができるという効果を奏する。

以上好ましい複数の実施例をあげて本発明を説明したが、本発明は必ずしも、上記実施例に限定されるものでなく、その技術的思想の範囲内において様々に変形して実施することができる。

例えば、本実施例では、 3つドメインにより構成される情報処理装置の例で説明したが、ドメイン数は 3つに限られず、本実施例で説明したように、各ドメインが分離されていれば、 2つでもよく、また、 4つ以上でもよい。

また、例えば、本実施例では、復旧処理制御手段 4 0 4がドメイン停止復旧手段 4 0 0に設けられた構成で説明したが、復旧処理制御手段 4 0 4が設けられる位置は停止復旧手段 4 0 0内に限定されず、停止復旧手段 4 0 0外でもよいし、最高信頼度ドメイン 1 5 O A内でもよいし、複数の位置に設けられていてもよい。復旧処理制御手段 4 0 4が最高信頼度ドメイン 1 5 O A内に設けられた場合、最高信頼度ドメイン 1 5 O Aが、最高信頼度ドメイン 1 5 O A以外のドメインからの処理要求について許否を判断し、許諾した処理要求の情報をドメイン停止復旧処理手段 4 0 2に通知してもよい。

Claims

請求の範囲

1 . 複数のプロセッサを備え、

実行する処理内容に応じて、前記複数のプロセッサが複数のドメインを構成し、異なるドメイン間のプロセッサ同士は、通信手段を介して互いに通信し、前記ドメインから通知される障害の復旧要求と、前記ドメイン毎に予め設定された復旧条件とに基づいて、障害が発生したドメインに対して障害の復旧処理を行う復旧手段を有することを特徴とする情報処理装置。

2 . 前記複数のドメインを、実行する処理内容に応じて、特定ドメインと、他のドメインとに分離して構成し、

前記復旧手段は、前記特定ドメイン又は前記他のドメインから通知される障害の復旧要求と、前記特定ドメイン及び前記他のドメイン毎に予め設定された復旧条件とに基づいて、障害が発生したドメインに対して障害の復旧処理を行うことを特徴とする請求項 2に記載の情報処理装置。

3 . 前記特定ドメインが、ある一定のセキュリティレベル以上の処理を実行するドメインであり、前記他のドメインが、前記特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有するドメインであり、前記特定ドメインが、前記他のドメインにおける障害を、前記他のドメインへの前記通信手段によるデータ送信を介して検知し、前記復旧手段に対して前記障害の復旧要求を行うことを特徴とする請求項 2に記載の情報処理装置。

4 . 前記特定ドメインが、ある一定,のセキュリティレベル以上の処理を実行するドメインであり、前記他のドメインが、前記特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有するドメインであり、前記他のドメインが、何れかの前記他のドメインにおける障害を検知し、前記特定ドメインに前記他のドメインの障害の復旧要求を通知し、

前記特定ドメインが、前記他のドメインの障害を、前記他のドメインへの前記通信手段によるデータ送信を介して検知し、 · 前記復旧手段に対して前記障害の復旧要求を行うことを特徴とする請求項 2に記載の情報処理装置。

5 . データ送信を介した障害の検知を、所定時間又は所定回数における前記データ送信先のドメインからの応答の有無によって行い、

前記特定ドメインが、前記ある一定のセキュリティレベル以上の処理として、基本処理を実行するドメインであり、

前記特定ドメインによる前記他のドメインへのデータ送信を介した障害の検知は、前記所定時間より短い時間を設定すること又は前記所定回数よりも少ない回数を設定することを特徴とする請求項 3又は請求項 4に記載の情報処理装置。

6 . 前記特定ドメインが、ある一定のセキュリティレベル以上の処理を実行するドメインであり、前記他のドメインが、前記特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有するドメインであり、前記他のドメインが、何れかの前記他のドメインにおける障害を検知し、前記特定ドメインに前記他のドメインの障害の復旧要求を通知し、

前記特定ドメインが、前記復旧手段に対して前記障害の復旧要求を行うことを特徴とする請求項 2に記載の情報処理装置。

7 . 前記特定ドメインが、ある一定のセキュリティレベル以上の処理を実行するドメインであり、前記他のドメインが、前記特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有するドメインであり、前記他のドメインが、何れかの前記他のドメインにおける障害を検知し、前記特定ドメインを介さずに前記復旧手段に対して前記障害の復旧要求を行い、前記復旧手段が、前記他のドメインから通知される前記障害の復旧要求と、前記他のドメイン毎に予め設定された復旧条件とに基づいて、障害が発生した前記他のドメインに対して障害の復旧処理を行うことを特徴とする請求項 2に記載の情報処理装置。

8 . 前記復旧条件は、前記ドメインからの障害の復旧要求で示される処理内容毎に設定されたセキュリティレベルに基づいて定められており、

前記復旧手段は、前記ドメインから通知された障害の復旧要求と、前記復旧条件とに基づいて、障害が発生したドメインに対して障害の復旧処理を行うことを特徴とする請求項 1から請求項 7のいずれか 1項に記載の情報処理装置。

9 . 前記他のドメインを、実行する処理内容に応じて、前記特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する第 1 ドメインと、前記第 1ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する第 2ドメインとに分離して構成し、

前記第 1 ドメインが、前記第 2ドメインにおける障害を、前記第 2ドメインへの前記通信手段によるデータ送信を介して検知し、前記特定ドメインに前記第 2 ドメインの障害の復旧要求を通知し、

前記特定ドメインが、前記復旧手段に対して前記障害の復旧要求を行うことを特徴とする請求項 6又は請求項 8に記載の情報処理装置。

1 0 . 前記他のドメインを、実行する処理内容に応じて、前記特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する第 1 ドメインと、前記第 1ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する第 2ドメインとに分離して構成し、

前記第 1 ドメインは、前記第 2ドメインにおける障害を、前記第 2ドメインへの前記通信手段によるデー夕送信を介して検知し、前記特定ドメインを介さずに前記復旧手段に前記第 2ドメインの障害の復旧要求を通知し、

前記復旧手段が、前記第 1ドメインから通知される前記障害の復旧要求と、前記他のドメイン毎に予め設定された復旧条件とに基づいて、障害が発生した前記第 2ドメインに対して障害の復旧処理を行うことを特徴とする請求項 7又は請求項 8に記載の情報処理装置。

1 1 . 前記他のドメインを、実行する処理内容に応じて、前記特定ドメインで実行される処理よりもセキュリティレベルの^ (氐ぃ処理を少なくとも一以上有する第

1 ドメインと、前記第 1 ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する第 2 メインとに分離して構成し、

前記第 2ドメインが、前記第 1ドメインにおける障害を、前記第 1ドメインへの前記通信手段によるデータ送信によって検知し、前記特定ドメインに前記第 1 ドメインの障害の復旧要求を通知し、

前記特定ドメインが、第 1 ドメインの障害を、前記第 1 ドメインへの前記通信手段によるデータ送信を介して検知し、前記復旧手段に対して前記障害の復旧要求を行うことを特徴とする請求項 4又は請求項 8に記載の情報処理装置。

1 2 . 前記他のドメインを、実行する処理内容に応じて、前記特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する第

1ドメインと、前記第 1 ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する第 2ドメインとに分離して構成し、

前記第 2ドメインが、前記第 1 ドメインにおける障害を、前記第 1 ドメインへの前記通信手段によるデータ送信によって検知し、前記特定ドメインを介さずに前記復旧手段に前記第 1ドメインの障害の復旧要求を通知し、

前記復旧手段が、第 1 ドメインの障害を、前記第 1 ドメインへの前記通信手段によるデータ送信を介して検知し、前言第 2ドメインから通知される前記障害の復旧要求と、前記他のドメイン毎に予め設定された復旧条件とに基づいて、障害が発生した前記第 1 ドメインに対して障害の復旧処理を行うことを特徴とする請求項 7又は請求項 8に記載の情報処理装置。

1 3 . データ送信を介した障害の検知を、所定時間又は所定回数の前記データ送信先のドメインからの応答の有無によって行い、

前記第 2ドメインによる前記第 1 ドメインへのデータ送信を介した障害の検知は、前記所定時間より長い時間を設定すること又は前記所定回数よりも多い回数を設定することを特徴とする請求項 1 1又は請求項 1 2に記載の情報処理装置。

1 4 . 前記復旧手段は、前記特定ドメインからの復旧要求を無条件で受け付け、前記他のドメインからの復旧要求は拒否することを特徴とする請求項 2から請求項 1 3のいずれか 1項に記載の情報処理装置。

1 5 . 前記復旧手段は、前記ドメインから障害の復旧要求が通知されると、復旧対象のドメインにおける障害を、前記復旧対象のドメインへのデータ送信を介して検知し、前記障害の復旧要求と、前記復旧条件とに基づいて、障害が発生した前記ドメインに対して障害の復旧処理を行うことを特徴とする請求項 1から請求項 1 3のいずれか 1項に記載の情報処理装置。

1 6 . 前記復旧手段は、

前記ドメインから通知された障害の復旧要求の許否を判別する判別手段を備え、前記判別手段で許可された復旧要求に基づいて、障害が発生したドメインに対して障害の復旧処理を行うことを特徴とする請求項 1から請求項 1 5のいずれか 1項に記載の情報処理装置。

1 7 · 前記判別手段は、

前記ドメイン毎に設定された、障害の復旧に関するデータを備え、

前記ドメインより通知された障害の復旧要求と、前記データとに基づいて、前記障害の復旧要求の許否を判別することを特徴とする請求項 1 6に記載の情報処理装置。 1 8 . 前記デ一夕は、前記ドメインからの障害の復旧要求で示される処理内容毎に設定されたセキュリティレベルに基づいて設定されることを特徴とする請求項 1 7に記載の情報処理装置。

1 9 . 前記復旧手段は、

前記ドメインから通知きれた障害の復旧要求の許否を判別する判別手段を備え、前記判別手段で許可された復旧要求に基づいて、前記復旧対象のドメインにおける障害を、前記復旧対象のドメインへのデータ送信を介して検知し、障害が発生した前記ドメインに対して障害の復旧処理を行うことを特徴とする請求項 1から請求項 1 3のいずれか 1項に記載の情報処理装置。 2 0 . 複数のプロセッサで構成される複数のドメインを有する情報処理装置上で、前記ドメインで発生した障害を復旧する復旧装置において、

実行する処理内容に応じて、前記複数のプロセッサが複数のドメインを構成し、前記ドメインから通知される障害の復旧要求と、前記ドメイン毎に予め設定された復旧条件とに基づいて、障害が発生したドメインに対して障害の復旧処理を行う復旧手段を有することを特徴とする復旧装置。

2 1 . 前記複数のドメインを、実行する処理内容に応じて、特定ドメインと、他のドメインとに分離して構成し、

前記復旧手段は、前記特定ドメイン又は前記他のドメインから通知される障害の復旧要求と、前記特定ドメイン及び前記他のドメイン毎に予め設定された復旧条件とに基づいて、障害が発生したドメインに対して障害の復旧処理を行うことを特徴とする請求項 1 9に記載の復旧装置。

2 2 . 前記復旧条件は、前記ドメインからの障害の復旧要求で示される処理内容毎に設定されたセキュリティレベルに基づいて定められており、

前記復旧手段は、前記ドメインから通知された障害の復旧要求と、前記復旧条件とに基づいて、障害が発生したドメインに対して障害の復旧処理を行うことを特徴とする請求項 2 0又は請求項 2 1に記載の復旧装置。 2 3 . 前記他のドメインが、実行する処理内容に応じて、前記特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する第 1 ドメインと、前記第 1 ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する第 2ドメインとに分離して構成し、

前記第 2ドメインが、前記第 1 ドメインにおける障害を、前記第 1 ドメインへのデータ送信によって検知し、前記特定ドメインを介さずに前記復旧手段に前記第 1ドメインの障害の復旧要求を通知すると、

前記復旧手段が、第 1 ドメインの障害を、前記第 1 ドメインへのデータ送信を介して検知し、前記第 2ドメインから通知される前記障害の復旧要求と、前記他のドメイン毎に予め設定された復旧条件とに基づいて、障害が発生した前記第 1 ドメインに対して障害の復旧処理を行うことを特徴とする請求項 2 1又は請求項 2 2に記載の復旧装置。

2 4 . 前記復旧手段は、前記特定ドメインからの復旧要求を無条件で受け付け、前記他のドメインからの復旧要求は拒否することを特徴とする請求項 2 1から請求項 2 3のいずれか 1項に記載の復旧装置。

2 5 . 前記復旧手段は、前記ドメインから障害の復旧要求が通知されると、復旧対象のドメインにおける障害を、前記復旧対象のドメインへのデータ送信を介して検知し、前記障害の復旧要求と、前記復旧条件とに基づいて、障害が発生した前記ドメインに対して障害の復旧処理を行うことを特徴とする請求項 2 0から請求項 2 2のいずれか 1項に記載の復旧装置。

2 6 . 前記復旧手段は、 '

前記ドメインから通知された障害の復旧要求の許否を判別する判別手段を備え、前記判別手段で許可された復旧要求に基づいて、障害が発生したドメインに対して障害

の復旧処理を行うことを特徴とする請求項 2 0から請求項 2 5のいずれか 1項に記載の復旧装置。

2 7 . 前記判別手段は、

前記ドメイン毎に設定された、障害の復旧に関するデ一夕を備え、

前記ドメインより通知された障害の復旧要求と、前記データとに基づいて、前記障害の復旧要求の許否を判別することを特徴とする請求項 2 6に記載の復旧装置。

2 8 . 前記データは、前記ドメインからの障害の復旧要求で示される処理内容毎に設定されたセキュリティレベルに基づいて設定されることを特徴とする請求項 2 7に記載の復旧装置。

2 9 . 前記復旧手段は、

前記ドメインから通知された障害の復旧要求の許否を判別する判別手段を備え、前記判別手段で許可された復旧要求に基づいて、前記復旧対象のドメインにおける障害を、前記復旧対象のドメインへのデ一夕送信を介して検知し、障害が発生した前記ドメインに対して障害の復旧処理を行うことを特徴とする請求項 2 0 から請求項 2 8のいずれか 1項に記載の復旧装置。 —

3 0 . 複数のプロセッサで構成されるコンピュータ処理装置である情報処理装置上で実行され、前記情報処理装置の機能の復旧を実現するプログラムであって、実行する処理内容に応じて、前記複数のプロセッサが複数のドメインを構成し、異なるドメイン間のプロセッサ同士が互いに通信する通信機能と、

前記ドメインから通知される障害の復旧要求と、前記ドメイン毎に予め設定された復旧条件とに基づいて、障害が発生したドメインに対して障害の復旧処理を行う復旧機能とを前記情報処理装置に持たせることを特徴とするプログラム。

3 1 . 前記複数のドメインを、実行する処理内容に応じて、特定ドメインと、他のドメインとに分離して構成し、

前記復旧機能が、前記特定ドメイン又は前記他のドメインから通知される障害の復旧要求と、前記特定ドメイン及び前記他のドメイン毎に予め設定された復旧条件とに基づいて、障害が発生したドメインに対して障害の復旧処理を行う機能を前記情報処理装置に持たせることを特徴とする請求項 3 0に記載のプログラム。

3 2 . 前記特定ドメインがある一定のセキュリティレベル以上の処理を実行するドメインであり、前記他のドメインが、前記特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有するドメインであり、前記特定ドメインが、前記他のドメインにおける障害を、前記他のドメインへの前記通信機能によるデ一夕送信を介して検知し、前記復旧機能に対して前記障害の復旧要求を行う機能を前記情報処理装置に持たせることを特徴とする請求項

3 0又は請求項 3 1に記載のプログラム。

3 3 . 前記特定ドメインが、ある一定のセキュリティレベル以上の処理を実行するドメインであり、前記他のドメインが、前記特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有するドメインであり、前記他のドメインが、何れかの前記他のドメインにおける障害を検知し、前記特定ドメインに前記他のドメインの障害の復旧要求を通知し、

前記特定ドメインが、前記他のドメインの障害を、前記他のドメインへの前記通信機能によるデータ送信を介して検知し、前記復旧機能に対して前記障害の復旧要求を行う機能を前記情報処理装置に持たせることを特徴とする請求項 3 0又は請求項 3 1に記載のプログラム。

3 4 . データ送信を介した障害の検知を、所定時間又は所定回数における前記デ一夕送信先のドメインからの応答の有無によって行う機能と、

前記特定ドメインが、前記ある一定のセキュリティレベル以上の処理として、基本処理を実行する機能とを有し、

前記障害を検知する機能が、前記特定ドメインによる前記他のドメインへのデ一夕送信を介した障害を検知する場合に、前記所定時間より短い時間を設定すること又は前記所定回数よりも少ない回数を設定する機能を前記情報処理装置に持たせることを特徴とする請求項 3 2又は請求項 3 3に記載のプログラム。

3 5 . 前記特定ドメインが、ある一定のセキュリティレベル以上の処理を実行するドメインであり、前記他のドメインが、前記特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有するドメインであり、前記他のドメインが、何れかの前記他のドメインにおける障害を検知し、前記特定ドメインに前記他のドメインの障害の復旧要求を通知し、

前記特定ドメインが、前記復旧機能に対して前記障害の復旧要求を行う機能を前記情報処理装置に持たせることを特徴とする請求項 3 1に記載のプログラム。

3 6 . 前記特定ドメインが、ある一定のセキュリティレベル以上の処理を実行するドメインであり、前記他のドメインが、前記特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有するドメインであり、前記他のドメインが、何れかの前記他のドメインにおける障害を検知し、前記特定ドメインを介さずに前記復旧機能に対して前記障害の復旧要求を行い、前記復旧機能が、前記他のドメインから通知される前記障害の復旧要求と、前記他のドメイン毎に予め設定された復旧条件とに基づいて、障害が発生した前記他のドメインに対して障害の復旧処理を行う機能を前記情報処理装置に持たせることを特徴とする請求項 3 1に記載のプログラム。

3 7 . 前記復旧条件は、前記ドメインからの障害の復旧要求で示される処理内容毎に設定されたセキュリティレベルに基づいて定められており、

前記復旧機能は、前記ドメインから通知された障害の復旧要求と、前記復旧条件とに基づいて、障害が発生したドメインに対して障害の復旧処理を行う機能を前記情報処理装置に持たせることを特徴とする請求項 3 0から請求項 3 6のいずれか 1項に記載のプログラム。

3 8 . 前記他のドメインを、実行する処理内容に応じて、前記特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する第 1ドメインと、前記第 1 ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する第 2ドメインとに分離して構成し、

前記第 1 ドメインが、前記第 2ドメインにおける障害を、前記第 2ドメインへの前記通信機能によるデー夕送信を介して検知し、前記特定ドメインに前記第 2 ドメインの障害の復旧要求を通知し、前記特定ドメインが、前記復旧機能に対して前記障害の復旧要求を行う機能を前記情報処理装置に持たせることを特徴とする請求項 3 5又は請求項 3 7に記載のプログラム。 3 9 . 前記他のドメインを、実行する処理内容に応じて、前記特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する第 1ドメインと、前記第 1 ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する第 2ドメインとに分離して構成し、

前記第 1 ドメインが、前記第 2ドメインにおける障害を、前記第 2ドメインへの前記通信機能によるデータ送信を介して検知し、前記特定ドメインを介さずに前記復旧機能に前記第 2ドメインの障害の復旧要求を通知し、

前記復旧機能が、前記第 1 ドメインから通知される前記障害の復旧要求と、前記他のドメイン毎に予め設定された復旧条件とに基づいて、障害が発生した前記第 2ドメインに対して障害の復旧処理を行う機能を前記情報処理装置に持たせることを特徴とする請求項 3 6又は請求項 3 7に記載のプログラム。

4 0 . 前記他のドメインを、実行する処理内容に応じて、前記特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する第 1ドメインと、前記第 1ドメインで実 ί亍される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する第 2ドメインとに分離して構成し、

前記第 2ドメインが、前記第 1ドメインにおける障害を、前記第 1ドメインへの前記通信機能によるデー夕送信を介して検知し、前記特定ドメインに前記第 1 ドメインの障害の復旧要求を通知し、

前記特定ドメインが、第 1ドメインの障害を、前記第 1ドメインへの前記通信機能によるデ一夕送信を介して検知し、前記復旧機能に対して前記障害の復旧要求を行う機能を前記情報処理装置に持たせることを特徴とする請求項 3 3又は請求 3 7に記載のプログラム。

4 1 . 前記他のドメインを、実行する処理内容に応じて、前記特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する第

前記第 2 ドメインが、前記第 1 ドメインにおける障害を、前記第 1 ドメインへの前記通信機能によるデータ送信によって検知し、前記特定ドメインを介さずに前記復旧機能に前記第 1 ドメインの障害の復旧要求を通知し、

前記復旧機能が、第 1 ドメインの障害を、前記第 1 ドメインへの前記通信機能によるデ一夕送信を介して検知し、前記第 2ドメインから通知される前記障害の復旧要求と、前記他のドメイン毎に予め設定された復旧条件とに基づいて、障害が発生した前記第 1 ドメインに対して障害の復旧処理を行う機能を前記情報処理装置に持たせることを特徴とする請求項 3 6又は請求項 3 7に記載のプログラム。

4 2 . デ一タ送信を介した障害の検知を、所定時間又は所定回数の前記データ送信先のドメインからの応答の有無によって行う機能を有し、

前記障害を検知する機能が、前記第 2ドメインによる前記第 1 ドメインへのデ一夕送信を介した障害の検知を行う場合に、前記所定時間より長い時間を設定すること又は前記所定回数よりも多い回数を設定する機能を前記情報処理装置に持たせることを特徴とする請求項 4 0又は請求項 4 1に記載のプログラム。 4 3 . 前記復旧機能は、前記特定ドメインからの復旧要求を無条件で受け付け、前記他のドメインからの復旧要求は拒否する機能を前記情報処理装置に持たせることを特徴とする請求項 3 1から請求項 4 2のいずれか 1項に記載のプログラム。

4 4 . 前記復旧機能は、前記ドメインから障害の復旧要求が通知されると、復旧対象のドメインにおける障害を、前記復旧対象のドメインへのデータ送信を介して検知し、前記障害の復旧要求と、前記復旧条件とに基づいて、障害が発生した前記ドメインに対して障害の復旧処理を行う機能を前記情報処理装置に持たせることを特徴とする請求項 3 0から請求項 4 2のいずれか 1項に記載のプログラム。

4 5 . 前記復旧機能が、

前記ドメインから通知された障害の復旧要求の許否を判別する判別機能を備え、前記判別機能で許可された復旧要求に基づいて、障害が発生したドメインに対して障害の復旧処理を行う機能を前記情報処理装置に持たせることを特徴とする請求項 3 0から請求項 4 4のいずれか 1項に記載のプログラム。

4 6 . 前記判別機能が、

前記ドメインより通知された障害の復旧要求と、前記ドメインの処理内容毎に設定されたセキュリティレベルとに基づいて、前記障害の復旧要求の許否を判別する機能を前記情報処理装置に持たせることを特徴とする請求項 4 5に記載のプログラム。

4 7 . 前記復旧機能が、

前記ドメインから通知された障害の復旧要求の拒否を判別する判別機能を備え、前記判別機能で許可された復旧要求に基づいて、前記復旧対象のドメインにおける障害を、前記復旧対象のドメインへの前記通信機能によるデータ送信を介して検知し、障害が発生した前記ドメインに対して障害の復旧処理を行う機能を前記情報処理装置に持たせることを特徴とする請求項 3 0から請求項 4 2のいずれか 1項に記載のプログラム。

4 8 . 複数のプロセッサで構成される情報処理装置の処理機能を復旧する復旧方法であって、

実行する処理内容に応じて、前記複数のプロセッサが複数のドメインを構成し、異なるドメイン間のプロセッサ同士は、通信ステップを介して通信し、

前記ドメインから通知される障害の復旧要求と、前記ドメイン毎に予め設定された復旧条件とに基づいて、障害が発生したドメインに対して障害の復旧処理を、前記情報処理装置上の復旧手段で行う復旧ステップを有することを特徴とする復旧方法。

4 9 . 前記複数のドメインを、実行する処理内容に応じて、特定ドメインと、他のドメインとに分離して構成し、

前記復旧ステツプで、前記特定ドメイン又は前記他のドメインから通知される障害の復旧要求と、前記特定ドメイン及び前記他のドメイン毎に予め設定された復旧条件とに基づいて、障害が発生したドメインに対して障害の復旧処理を行うことを特徴とする請求項 4 8に記載の復旧方法。

5 0 . 前記特定ドメインが、ある一定のセキュリティレベル以上の処理を実行するドメインであり、前記他のドメインが、前記特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有するドメインであり、前記特定ドメインが、前記他のドメインにおける障害を、前記他のドメインへの前記通信ステツプによるデ一タ送信を介して検知する検知ステップと、

前記特定ドメインが、前記復旧手段に対して、前記検知ステップで検知した前記障害についての復旧要求を行うステップとを有することを特徴とする請求項 4 8又は請求項 4 9に記載の復旧方法。

5 1 . 前記特定ドメインが、ある一定のセキュリティレベル以上の処理を実行するドメインであり、前記他のドメインが、前記特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有するドメインであり、前記他のドメインが、何れかの前記他のドメインにおける障害を検知する検知ステップと、

前記他のドメインが、前記特定ドメインに、前記検知ステップで検知した前記他のドメインの障害についての復旧要求を通知する通知ステップと、

前記特定ドメインが、前記通知ステップで通知された前記他のドメインの障害を、前記他のドメインへの前記通信手段によるデータ送信を介して検知する検知ステップと、

5 2 . データ送信を介した障害の検知を、所定時間又は所定回数における前記デ一夕送信先のドメインからの応答の有無によって行うステップを有し、

前記ステップは、前記特定ドメインによる前記他のドメインへのデータ送信を介した障害を検知する場合に、前記所定時間より短い時間又は前記所定回数よりも少ない回数で障害を検知することを特徴とする請求項 5 0又は請求項 5 1に記載の復旧方法。

5 3 . 前記特定ドメインが、ある一定のセキュリティレベル以上の処理を実行するドメインであり、前記他めドメインが、前記特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有するドメインであり、前記他のドメインが、何れかの前記他のドメインにおける障害を検知する検知ステップ

と、

前記特定ドメインが、前記復旧手段に対して、前記通知ステップで通知された前記障害についての復旧要求を行うステップとを有することを特徴とする請求項

' 4 9に記載の復旧方法。

5 4 . 前記特定ドメインが、ある一定のセキュリティレベル以上の処理を実行するドメインであり、前記他のドメインが、前記特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有するドメインであり、前記他のドメインが、何れかの前記他のドメインにおける障害を検知する検知ステップと、

前記他のドメインが、前記特定ドメインを介さずに前記復旧手段に対して、前記検知ステップで検知した前記障害についての復旧要求を行うステップとを有し、前記復旧ステップで、前記他のドメインから通知される前記障害の復旧要求と、前記他のドメイン毎に予め設定された復旧条件とに基づいて、障害が発生した前記他のドメインに対して障害の復旧処理を行うことを特徴とする請求項 4 9に記載の復旧方法。

5 5 . 前記復旧条件は、前記ドメインからの障害の復旧要求で示される処理内容毎に設定されたセキュリティレベルに基づいて定められており、

前記復旧ステップで、前記ドメインから通知された障害の復旧要求と、前記復旧条件とに基づいて、障害が発生した他のドメインに対して障害の復旧処理を行うことを特徴とする請求項 4 8から請求項 5 4のいずれか 1項に記載の復旧方法。

5 6 . 前記他のドメインを、実行する処理内容に応じて、前記特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する第 1 ドメインと、前記第 1 ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する第 2ドメインとに分離して構成し、

前記第 1 ドメインが、前記第 2ドメインにおける障害を、前記第 2ドメインへの前記通信ステップによるデータ送信を介して検知する検知ステップと、

前記第 1 ドメインが、前記特定ドメインに、前記検知ステップで検知した前記第 2ドメインの障害についての復旧要求を通知する通知ステップと、

前記特定ドメインが、前記復旧手段に対して、前記通知ステップで通知された前記障害についての復旧要求を行うステップとを有することを特徴とする請求項 5 3又は請求項 5 5に記載の復旧方法。

5 7 . 前記他のドメインを、実行する処理内容に応じて、前記特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する第 1 ドメインと、前記第 1 ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する第 2ドメインとに分離して構成し、

前記第 1 ドメインが、前記第 2ドメインにおける障害を、前記第 2ドメインへの前記通信ステップによるデータ送信を介して検知する検知ステップと、前記特定ドメインが、前記特定ドメインを介さずに前記復旧手段に、前記検知ステップで検知した前記第 2ドメインの障害についての復旧要求を通知する通知ステップとを有し

前記復旧ステップで、前記第 1 ドメインから通知される前記障害の復旧要求と、前記他のドメイン毎に予め設定された復旧条件とに基づいて、障害が発生した前記第 2ドメインに対して障害の復旧処理を行うことを特徴とする請求項 5 4又は請求項 5 5に記載の復旧方法。

5 8 . 前記他のドメインを、実行する処理内容に応じて、前記特定ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する第

1 ドメインと、前記第 1 ドメインで実行される処理よりもセキュリティレベルの低い処理を少なくとも一以上有する第 2ドメインとに分離して構成し、

前記第 2ドメインが、前記第 1 ドメインにおける障害を、前記第 1 ドメインへの通信ステップによるデ一夕送信を介して検知する検知ステップと、

前記第 2ドメインが、前記特定ドメインに、前記検知ステップで検知した前記第 1ドメインの障害についての復旧要求を通知する通知ステツプと、

前記特定ドメインが、前記通知ステップで通知された第 1ドメインの障害を、前記第 1 ドメインへの前記通信ステップによるデータ送信を介して検知する検知ステップと、

前記特定ドメインが、前記復旧手段に対して、前記検知ステップで検知した前記障害についての復旧要求を行うステップとを有することを特徴とする請求項 5 1又は請求項 5 5に記載の復旧方法。

5 9 . 前記他のドメインを、実行する処理内容に応じて、前記特定ドメインで実行される処理よりもセキユリティレベルの低い処理を少なくとも一以上有する第

前記第 2ドメインが、前記第 1 ドメインにおける障害を、前記第 1ドメインへの前記通信ステップによるデータ送信を介して検知する検知ステップと、前記第 2ドメインが、前記特定ドメインを介さずに前記復旧手段に、前記検知ステツプで検知した前記第 1 ドメインの障害についての復旧要求を通知する通知ステップと、

前記復旧ステップで、第 1 ドメインの障害を、前記第 1ドメインへの前記通信ステップによるデータ送信を介して検知し、前記第 2ドメインから通知される前記障害の復旧要求と、前記他のドメイン毎に予め設定された復旧条件とに基づいて、障害が発生した前記第 1 ドメインに対して障害の復旧処理を行うことを特徴とする請求項 5 4又は請求項 5 5に記載の復旧方法。 6 0 . データ送信を介した障害の検知を、所定時間又は所定回数における前記デ一夕送信先のドメインからの応答の有無によって行うステップを有し、

前記ステップは、前記第 2ドメインによる前記第 1ドメインへのデータ送信を介した障害を検知する場合に、前記所定時間より長い時間又は前記所定回数よりも多い回数で障害を検知することを特徴とする請求項 5 8又は請求項 5 9に記載の復旧方法。

6 1 . 前記復旧ステップで、前記特定ドメインからの復旧要求を無条件で受け付け、前記他のドメインからの復旧要求は拒否することを特徴とする請求項 4 9から請求項 5 0のいずれか 1項に記載の復旧方法。

6 2 . 前記復旧手段が、前記ドメインから障害の復旧要求が通知されると、復旧対象のドメインにおける障害を、前記復旧対象のドメインへの前記通信ステップによるデータ送信を介して検知する検知ステップを有し、

前記検知ステップで検知した以降に、前記復旧ステップで、前記障害の復旧要求と、前記復旧条件とに基づいて、障害が発生した前記ドメインに対して障害の復旧処理を行うことを特徴とする請求項 4 8から請求項 5 0のいずれか 1項に記載の復旧方法。

6 3 . 前記復旧ステップで、前記復旧手段が前記ドメインから通知された障害の復旧要求の許否を判別する判別ステップで許可された復旧要求に基づいて、障害が発生したドメインに対して障害の復旧処理を行うことを特徴とする請求項 4 8から請求項 6 2のいずれか 1項に記載の復旧方法。

6 4 . 前記判別ステップで、

前記ドメインより通知された障害の復旧要求と、前記ドメインの処理内容毎に設定されたセキュリティレベルとに基づいて、前記障害の復旧要求の許否を判別することを特徴とする請求項 6 3に記載の復旧方法。

6 5 . 前記復旧ステップで、

前記復旧手段が前記ドメインから通知された障害の復旧要求を判別する判別ステツプで許可された復旧要求に基づいて、前記復旧対象のドメインにおける障害を、前記復旧対象のドメインへの前記通信ステップによるデータ送信を介して検知し、障害が発生した前記ドメインに対して障害の復旧処理を行うことを特徴とする請求項 4 8から請求項 6 0のいずれか 1項に記載の復旧方法。