WO2007011001A1

WO2007011001A1 - 実行装置

Info

Publication number: WO2007011001A1
Application number: PCT/JP2006/314428
Authority: WO
Inventors: Kazufumi Miyatake; Tomonori Nakamura; Hidetaka Ohto
Original assignee: Matsushita Electric Industrial Co., Ltd.
Priority date: 2005-07-22
Filing date: 2006-07-20
Publication date: 2007-01-25
Also published as: JPWO2007011001A1; CN101228531A; US20100146304A1; EP1909244A1

Abstract

　プログラム実行装置は、オブジェクト指向言語で作成された、実行コードを含む1以上のクラスを有するアプリケーションプログラムを実行する装置であって、　それぞれメモリとプロセッサとを含む、第１実行デバイスと耐タンパ性を有する第２実行デバイスとを有し、ローダは、クラスを実行する際に、当該クラスの実行コードを第２実行デバイスのメモリにロードし、当該クラスの、第２実行デバイスのメモリにロードした実行コード以外の部分を第１実行デバイス内のメモリにロードし、クラスを実行する。

Description

明細書

実行装置

技術分野

[0001] 本発明は、プログラムの盗聴および改竄を防止する技術に関し、特に、プログラム実行時に、プログラムが解析、改竄等されることを防止する技術に関する。

背景技術

[0002] 近年、様々なアプリケーション.プログラム（以下、「アプリケーション」という。）が、パソコンをはじめ、デジタルテレビや携帯電話機などの情報処理機能を有した装置で実行されており、これらのアプリケーションは、例えば、プログラム配信サービスによりインターネット上のサーバからダウンロードされる。

これらのアプリケーションには、著作権等の知的財産権の他、さまざまな権利が発生している。

[0003] その一方で、アプリケーションが改竄されたり、データが盗まれたりという行為が起こつており、このような行為は、アプリケーションに発生している権利の観点から許されるべきものではない。

このような不正行為力もアプリケーションを守るために、従来からさまざまな方法が取られており、その一つとして、アプリケーションのプログラム自体を複雑にする方法がある。

[0004] 通常、プログラムの改竄等を行う場合には、例えば、デバッガなどのツールを用いてメモリ上の実行中のプログラムを解析し、不正行為を行う。そこで、プログラムを複雑にして解析を困難にすることでプログラム自体を保護しょうとするのである。

アプリケーションのプログラム自体を複雑にする方法として、実行時にメモリに配置されるプログラム内のデータと演算式とを、それぞれ複雑化してメモリに配置する方法が開示されている (特許文献 1及び図 29参照)。

[0005] 具体的には、この方法を実現する CPU (Central Processing Unit) 200は、符号化プログラム内のデータのうちデータ決定部 202が決定したデータを、符号化規則決定部 201が決定した方法を用いてデータ符号ィ匕部 203で符号ィ匕し、そのデータを使用する演算式を演算式変換部 204で複雑ィ匕したものをメモリに配置する。復号化が必要なデータは、復号化処理部 205が復号化を行う。

[0006] この方法によれば、メモリ上のプログラム、すなわち、実行中のプログラムのデータやアルゴリズムを解読しに《することが可能となる。

特許文献 1 :特開 2005— 49925号公報

発明の開示

発明が解決しょうとする課題

[0007] しかし、プログラム自体の複雑化は、解析を困難にすることは可能ではある力時間さえかければ解析されてしまうという欠点がある。また、コピーが可能であれば、プログラム自体が複雑化されて!/ヽても実行には問題がな!、。

解析やコピー等をさせないためには、アプリケーションをその実行環境と共に、耐タンパ性を有するデバイス内のメモリに置いて実行させることが望ましいが、サイズ面、コスト面など力も現実的ではな、ことが多!、。

[0008] 特に、実行環境が仮想マシンであれば、そのプログラムは、通常、巨大なプログラムであることから尚更である。

そこで、本発明は、アプリケーションのプログラム自体を複雑にすることなぐまた、大きな耐タンパ性を有するデバイスを必要とせずとも、アプリケーションのプログラムの重要な部分を、解析等の不正行為から防ぐことを可能とする実行装置の提供を目的とする。

課題を解決するための手段

[0009] 上記課題を解決する為に、本発明の実行装置は、オブジェクト指向言語で作成された、実行コードを含む 1以上のクラスを有するアプリケーションプログラムを実行するプログラム実行装置であって、それぞれメモリとプロセッサとを含む、第 1実行デバイスと耐タンパ性を有する第 2実行デバイスと、前記クラスをロードする際に、当該クラスの実行コードを第 2実行デバイスのメモリにロードし、当該クラスの、第 2実行デバイスのメモリにロードした実行コード以外の部分を第 1実行デバイス内のメモリにロードするローダとを備えることを特徴とする。発明の効果

[0010] 本発明に係る実行装置は、上述の構成を備えることにより、アプリケーションのクラスを実行している間、実行コードは耐タンパ性を有する実行デバイスのメモリにのみ口ードされ、実行されるので、実行時にデバッガ等を用いて実行コード部分を解析、改竄することが困難になり、アプリケーションを不正行為力守ることができるようになるクラスのうち実行コード部分のみ力耐タンパ性を有する実行デバイスのメモリに記憶されるので、クラス全体を記憶する場合等に比べ、耐タンパ性を有する実行デバィスは小さくなる。

[0011] また、前記クラスの実行コードは、暗号化されており、前記プログラム実行装置は、更に、暗号化されている情報を復号化する復号化手段を備え、前記ローダは、暗号化されている実行コードを、前記復号ィ匕手段に復号ィ匕させ、復号化された実行コードを第 2実行デバイスのメモリにロードすることとしてもよ!/、。

これにより、保護すべきクラスを暗号ィ匕できるので、アプリケーションをコピーしても実行することはできず、実行時以外でも保護することができ、且つ、実行時は耐タンパ性を有する実行部で実行してアプリケーションを保護することができるようになる。

[0012] また、前記クラスは、暗号化されており、前記第 1実行デバイスは、更に、クラスが暗号化されてヽるカゝ否かを判断する判断する判断手段を備え、前記第 2実行デバイスは、更に、自デバイス内のメモリに記憶する暗号ィ匕されているクラスを復号ィ匕する復号化手段を備え、前記ローダは、前記第 1実行デバイスのプロセッサにより実行される第 1ローダと、前記第 2実行デバイスのプロセッサにより実行される第 2ローダとで構成され、前記第 1ローダは、前記判断手段にクラスが暗号化されているか否かを判断させ、暗号ィ匕されていないと判断されたクラスは、第 1デバイス内のメモリにロードし、暗号ィ匕されていると判断されたクラスは、第 2実行デバイスのメモリに記憶させ、前記第 2ローダは、第 2実行デバイスのメモリに記憶された暗号ィ匕されているクラスを前記復号ィ匕手段に復号化させ、得られた復号化されたクラスの実行コードを第 2実行デバイスのメモリにロードし、当該復号化されたクラスの、第 2実行デバイスのメモリにロードした実行コード以外の部分を、当該実行コードと対応付けて第 1デバイス内のメモリにロードすることとしてもょ、。

[0013] これにより、クラスが暗号ィ匕されている力否かを判断でき、暗号ィ匕されているクラスを実行する際に、復号ィ匕を耐タンパ性を有する実行デバイス内で行い、保護を要しな V、部分のみを耐タンパ性を有する実行デバイス外のメモリ〖こロードすることができるので、保護すべき実行コードを実行する前も実行中も保護することができるようになる。クラスが暗号ィ匕されているカゝ否かを判断する方法としては、例えば、暗号ィ匕されているクラスのクラス名リストを予め作成しておき、そのリストを元に判断する。

[0014] また、前記プログラム実行装置は、更に、クラスの実行を制御する制御手段を備え、前記制御手段は、第 1デバイスのメモリに記憶されているクラスを第 1デバイスのプロセッサに実行させ、当該クラスの実行コードが第 1デバイスのメモリに記録されていない場合には、第 2デバイスのメモリに記憶されている対応する実行コードを第 2デバイスのプロセッサに実行させることとしてもよい。

[0015] これ〖こより、 1つのクラスを分割し、通常の実行デバイスのメモリと耐タンパ性を有する実行デバイスのメモリとに対応付けて記憶することができるので、 1つのクラスを、通常の実行デバイスと耐タンパ性を有する実行デバイスとで分担して実行することができるようになる。従って、クラス内の保護すべき実行コードのみを、耐タンパ性を有する実行デバイスのメモリに記憶しておき、実行することができるようになる。

[0016] 本発明の実行デバイスは、オブジェクト指向言語で作成された、実行コードを含む 1 以上のクラスを有するアプリケーションプログラムを実行するプログラム実行装置に備えられた耐タンパ性を有する実行デバイスであって、メモリと、プロセッサと、前記メモリに記憶する暗号ィ匕されているクラスを復号ィ匕する復号ィ匕手段と、前記メモリに記憶された暗号化されているクラスを前記復号ィ匕手段に復号化させ、得られた復号化されたクラスの実行コードを前記メモリにロードし、当該復号化されたクラスの、前記メモリにロードした実行コード以外の部分を、当該実行コードと対応付けて自デバイス外のメモリにロードするローダとを備えることを特徴とする。

[0017] また、本発明のコンピュータプログラムは、オブジェクト指向言語で作成された、実行コードを含む 1以上のクラスを有するアプリケーションプログラムを実行するプロダラム実行装置に備えられた、メモリとプロセッサとを有する耐タンパ性を有する実行デバイスに、ロード処理を行わせるためのコンピュータプログラムであって、前記メモリに記憶する暗号化されているクラスを復号化する復号化ステップと、前記メモリに記憶された暗号ィ匕されてヽるクラスを前記復号化ステップで復号ィ匕し、得られた復号化されたクラスの実行コードを前記メモリにロードし、当該復号化されたクラスの、前記メモリにロードした実行コード以外の部分を、当該実行コードと対応付けて自デバイス外のメモリにロードするステップとを備えることを特徴とする。

[0018] また、本発明の集積回路は、オブジェ外指向言語で作成された、実行コードを含む 1以上のクラスを有するアプリケーションプログラムを実行するプログラム実行装置に備えられた耐タンパ性を有する集積回路であって、メモリと、プロセッサと、前記メモリに記憶する暗号ィ匕されているクラスを復号ィ匕する復号ィ匕手段と、前記メモリに記憶された暗号化されているクラスを前記復号ィ匕手段に復号化させ、得られた復号化されたクラスの実行コードを前記メモリにロードし、当該復号化されたクラスの、前記メモリにロードした実行コード以外の部分を、当該実行コードと対応付けて自デバイス外のメモリにロードするローダとを備えることを特徴とする集積回路。

[0019] これにより、大きな耐タンパ性を有するデバイスを必要とせずとも、アプリケーションの改竄等の不正行為を防ぐことを可能とする実行装置を容易に提供することができるようになる。

図面の簡単な説明

[0020] [図 1]本発明にかかる実行装置のハードウェア及びソフトウェアの構成を表す図である。

[図 2]第 1ROM1920が記憶するプログラムの例を示す図である。

[図 3]第 2ROM2920が記憶するデータ及びプログラムの例を示す図である。

[0021]

[図 4]本発明にかかる実行装置の構成を示す機能ブロック図である。

[図 5]アプリケーションプログラム 1210の構成例を示す図である。

[図 6]保護対象クラス一覧 1220の構成例及び内容例を示す図である。

[図 7]クラスファイルの構成例を示す図である。

[図 8]仮想マシン 1100のサブプログラムの構成を示す図である。 [図 9]バイトコード処理部のサブプログラムの構成を示す図である。

[図 10]実行装置 100の起動処理を表すフローチャートである。

[図 11]実行装置 100のロード処理を表すフローチャートである。

圆 12]保護対象クラスのクラスファイルがロードされた状態を示す図である。

[図 13]実行装置 100のクラスの実行処理を表すフローチャートである。

[図 14]実行装置 100のバイトコードの実行処理を表すフローチャートを示す。

[図 15 ava (登録商標）言語のメソッドの例を示す図である。

[図 16]メソッド 4000をコンパイルし、得られたバイトコード 4100を示す図である。

[図 17 ava (登録商標）フレームを積み上げた時点での、ワーク領域 1400の状態の例を示す図である。

[図 18]iadd命令を実行後の、ワーク領域 1400の状態の例を示す図である。

[図 19]newarray命令を実行後の、ワーク領域 1400の状態の例を示す図である。

[図 20]areturn命令を実行後の、ワーク領域 1400の状態の例を示す図である。

[図 21]実施形態 2の実行装置 500の構成例を示す機能ブロック図である。

[図 22]実行装置 500のロード処理を表すフローチャートである。

圆 23]保護対象クラスのクラスファイルがロードされた状態を示す図である。

[図 24]バイトコードの例を示す図である。

[図 25]分割したバイトコードの例を示す図である。

[図 26]実施形態 2の実行装置 500のクラスの実行処理を表すフローチャートである。圆 27]実施形態 3の実行装置 800の構成例を示す図である。

[図 28]実施形態 3の実行装置 800のクラスの実行処理を表すフローチャートである。

[図 29]従来技術の構成を表す図である。

符号の説明

100 500 実行装置

1000 5000 通常実行部

1010 アプリ取得プログラム

1200 アプリケーションプログラム記憶部

1210 アプリケーションプログラム 1100 5100 仮想マシン

1110 5110 インタプリタ

1120 5120 ローダ

1020 8100 OS

1300 クラス記憶部

1330 メソッド'のメタ†青報

1331 バイトコード分割フラグ

1332 2611 ID

1400 6700 ワーク領域

1900 第 1CPU

1910 第 1RAM

1920 第 2ROM

2000 6000 8000 保護実行部

2100 6100 復号処理部

2200 6200 バイトコード処理部

2210 6210 セキュアインタプリタ

2220 6220 セキュアローダ

2600 バイトコード記憶部

2610 バイ卜コ^ ~"ド、

2900 第 2CPU

2910 第 2RAM

2920 第 2ROM

発明を実施するための最良の形態

<概要 >

本発明に係る実行装置は、アプリケーションのプログラムのうち、一部のプログラムを不正行為力守ることで、アプリケーション自体を効率よく守ることができる場合が多いことに着目したものである。

アプリケーションはそれぞれ、その用途 ·目的が異なることから、アプリケーション毎に解析、改竄等されたくないプログラム、すなわち、秘匿性を有するプログラムが異なる。

[0024] 例えば、コピー回数を管理する等の著作権管理機能の処理や、課金機能の処理などを行うプログラムを解析、改竄から守り、これらの機能が無効とされることを防ぐことで、アプリケーションの著作権を守ることが可能となる。

本発明は、アプリケーションを不正行為から守る為の要となる処理のプログラムのみを、耐タンパ性を有する実行装置内で実行することで、アプリケーション自体を守ろうとするものである。もちろん、キーとなる処理はアプリケーション全てであってもかまわない。

[0025] 本発明は、このキーとなる処理のプログラムのうち、実行コードのみを耐タンパ性を有する実行装置内で実行することで、プログラムの解析を困難にするものである。また、アプリケーションのうちのキーとなる処理は、作成者またはそのユーザのみが知り得るものであるので、本発明に係る実行装置は、アプリケーション実行中にキーとなる処理のプログラムを判別できる機能を有する。

[0026] 以下、本発明の実施形態に係る実行装置について説明する。

本実施形態では、 Java (登録商標)仮想マシン上で動く Java (登録商標)アプリケーシヨンについて説明する。

尚、本発明に係る実行装置とは、具体的にはデジタルテレビ、セットトップボックス、カーナビ端末、携帯電話機、 PDA (Personal Digital Assistants)などの、 Java (登録商標)仮想マシンを搭載する電子機器全般が該当するものである。

<実施形態 1 >

<構成>

まず、図 1〜図 3を用いて、本発明の実行装置の、ハードウェア及びソフトウェアの構成について簡単に説明し、機能ブロックの構成について説明する。

[0027] <ハードウェア及びソフトウェアの構成 >

図 1は、本発明に力かる実行装置のハードウェア及びソフトウェアの構成を表す図である。

実行装置 100は、通常実行部 1000と保護実行部 2000で構成される。通常実行部 1000は、特別な保護がなされていない実行部であり、通常のパーソナルコンピュータやデジタル家電機器等に搭載されているプログラム実行手段と同様のものである。一方、保護実行部 2000は、耐タンパ性を有する実行部であり、不正なユーザによる盗聴、改竄等を防止し、安全にプログラムを実行させることができるものである。

[0028] ハードウエア構成 110として、通常実行部 1000と保護実行部 2000とは、それぞれ CPUとメモリを備える。具体的には、通常実行部 1000は、第 1CPU1900、第 IRA M (Random Access Memory) 1910及び第 IROM (Read Only Memory) 1920を備え、保護実行部 2000は、第 2CPU2900、第 2RAM2910及び第 2ROM2920を備える。

[0029] 本実施形態では、第 1RAMは、第 2CPU2900からもアクセスが可能であるとする各 RAM (1910、 2910)は、具体的には SRAM、 DRAM等の一次記憶メモリで構成され、各 CPU (1900、 2900)が処理を行う際、一時的にデータを保存するために使用される。

[0030] また、各 ROM (1920、 2920)は、具体的にはフラッシュメモリやハードディスク等の読み出し専用の不揮発性メモリで構成される。第 1ROM1920及び第 2ROM2920 には、それぞれ通常実行部 1000と保護実行部 2000で起動される各処理部のプログラム等が記憶されている。

次に、ソフトウェア構成として、通常実行部 1000は、基本ソフトウェアである OS (Op erating System) 1020、 Java (登録商標）仮想マシン 1100、本実行装置 100で実行するアプリケーションプログラム 1210及び実行装置 100の外部力もアプリケーションプログラム 1210をダウンロードする機能を有するアプリ取得プログラム 1010とで構成される。

[0031] Java (登録商標)仮想マシン 1100 (以下、「仮想マシン」という。 )は、 Java (登録商標)言語で記述されたプログラムを逐次解析し実行する Java (登録商標)バーチャルマシンである。言い換えれば、ソフトウェアプログラムである仮想マシン 1100力仮想の CPUをシミュレートして、 Java (登録商標）の命令コードを解析実行する。 OS 1020は、他のサブプログラムを平行して実行するカーネル及び、ライブラリで構成される技術の総称であり、 Linux等があげられる。 OS 1020は、 Java (登録商標）仮想マシン 1100をサブプログラムとして実行する。

[0032] 保護実行部 2000は、保護実行部 2000でのアプリケーションの実行を制御するバイトコード処理部 2200と、暗号化されたプログラムを復号化する機能を有する復号処理部 2100とで構成される。

図 2は、第 1ROM1920が記憶するプログラムの例を示す図である。

第 1ROM1920には、通常実行部 1000のメモリにロードされるプログラムである OS

1921、仮想マシン 1922及びアプリ取得プログラム 1923の各プログラムが記憶されている。

[0033] また、図 3は、第 2ROM2920が記憶するデータ及びプログラムの例を示す図である。

第 2ROM2920には、保護実行部 2000のメモリにロードされるプログラムであるバイトコード処理部 2921と復号処理部 2922の各プログラム、及び復号化鍵 2923が記憶されている。復号ィ匕鍵 2923は、復号処理部 2100が、暗号ィ匕されているアプリケーシヨンプログラム 1210を復号するために用、るものである。

[0034] 尚、実行装置 100は、本発明にかかる構成の他、本来の機能を実行するためのハ一ドウエアやソフトウェア、例えば、テレビであれば放送の受信装置など、で構成されている。

く機能ブロックの構成 >

図 4は、本発明にかかる実行装置の構成を示す機能ブロック図である。

[0035] 本図にお、て、実線矢印はデータの流れを表し、点線矢印は制御の遷移を表す。

また、細線はクラスをロードするときのデータの流れ等を表し、太線はクラスを実行するときのデータの流れ等を表す。尚、本図では、暗号ィ匕されているクラスファイルの実行の際のデータの流れ等のみを表して、る。図 21も同様である。

実行装置 100は、図 1で示したように、通常実行部 1000と保護実行部 2000とで構成される。ここでは、実施形態の説明に直接関係する機能部のみを記載している。

[0036] まず、通常実行部 1000から説明する。 <通常実行部 >

通常実行部 1000は、アプリケーション記憶部 1200、仮想マシン 1100、クラス記憶部 1300、ワーク領域 1400及び第 1CPUとを備える。

<アプリケーション記憶部 >

アプリケーション記憶部 1200は、アプリケーションプログラム 1210を記憶する機能を有し、本実施形態では、アプリ取得プログラム 1010 (図 1参照）がアプリケーションプログラム 1210を読み込んだ状態力説明する。

[0037] このアプリケーション記憶部 1200は、第 1RAM1010に確保される。

ここで、アプリケーションプログラムの構成について説明する。

図 5は、アプリケーションプログラム 1210の構成例を示す図である。

アプリケーションプログラム 1210は、複数のクラスファイル（1211等)及び保護対象クラス一覧 1220から構成される。

[0038] クラスファイルには、暗号化されたクラスファイルと暗号化されていない平文のクラスファイルとが含まれる。暗号ィ匕されているクラスは、秘匿性を有する処理を行うクラスである。

クラスファイルが暗号ィ匕されているカゝ否かは、保護対象クラス一覧 1220を参照して判断する。

[0039] 図 6は、保護対象クラス一覧 1220の構成例及び内容例を示す図である。

保護対象クラス一覧 1220は、暗号化されたクラスファイルの識別子の一覧であり、本実施形態では、クラス名を識別子とする。このクラス名は、後述するクラス毎のコンスタントプールに記憶されて、る。

例えば、アプリケーションプログラム 1210を構成する「クラスファイル 001」、「クラスファイル 002」等のうち、「クラスファイル 001」、「クラスファイル 003」、「クラスファイル 021」力暗号化されていることになる。

[0040] 次に、クラスファイルの構成を、図 7を用いて説明する。

図 7は、クラスファイルの構成例を示す図である。

クラスファイル 3000は、クラス構造情報 3100、コンスタントプール 3200、 0個以上のメソッドのメタ情報 3300及び 0個以上のバイトコード 3400で構成される。クラスファィルには、他の情報が含まれていても良いが、ここでは本発明に関連のある項目のみ説明する。

[0041] クラス構造情報 3100は、このクラスが保持するフィールドやメソッド、どのクラスを継承する力など、クラスの構造に関する情報である。

コンスタントプール 3200は、このクラスで定義している、またはこのクラス力も参照して、る他クラスのフィールド、メソッドの名前などの情報である。

メソッドのメタ情報 3300は、各メソッドのアクセスフラグや、引数のサイズなどメソッドに関する情報である。

[0042] バイトコード 3400は、そのクラスにおいて実行される処理を記述している。

Java (登録商標）言語で記述されたソースプログラムは、バイトコードコンパイラによつてバイトコードに変換される。このバイトコードとは、ハードウェアに依存しない中間コードである。

メソッドのメタ情報 3300とバイトコード 3400は、クラスに属するメソッドに 1対 1に対応して存在している。すなわち、メソッドの数と同数の、メソッドのメタ情報 3300及びバイトコード 3400がクラスファイルに含まれている。

[0043] 以下では、クラス構造情報 3100、コンスタントプール 3200及びメソッドのメタ情報 3 300を総称して「メタ情報」と!、うものとする。

<仮想マシン >

仮想マシン 1100は、複数のサブプログラムで構成される力本図では、本発明に特有の機能を有するローダ 1120とインタプリタ 1110のみを記載してある。

[0044] まず、図 8を用いて、仮想マシン 1100について説明する。

図 8は、仮想マシン 1100のサブプログラムの構成を示す図である。

仮想マシン 1100は、インタプリタ 1110、 P—ダ 1120、ベリファイャ 1130、 Java (登録商標）ヒープ管理部 1140、 Java (登録商標)ネイティブライブラリ 1150、 JITコンパイラ 1160及びクラスライブラリ 1170で構成される。

[0045] インタプリタ 1110は、クラスファイルに含まれるバイトコードを解釈、実行する機能を有するサブプログラムで、仮想マシン 1100にお!/、て中核な処理を行うサブプロダラムである。本発明のインタプリタ 1110は、カロえて、クラスの実行時に、実行すべきバイトコード力保護実行部に記憶されていることを検出し、制御を渡す機能を有する。

[0046] ローダ 1120は、実行するクラスのクラスファイルをアプリケーションプログラム 1210 から探し出し、見つけたクラスファイルを仮想マシン 1100内部へロードする機能を有する。この際、クラスを実行可能な状態にしてロードする。

本発明のローダ 1120は、加えて、ロードしょうとするクラス力暗号化されているか否かを判定し、暗号ィ匕されている場合には、ロードを保護実行部 2000に依頼する機能を有する。

[0047] また、クラスローダ 1120は、クラスアンロード処理を行う機能を有する。クラスアン口ード処理とは、実行が終了し不要になったクラスを仮想マシン 1100から取り除く処理である。

次に、ベリファイャ 1130は、クラスのデータ形式の不備や、クラスに含まれるノイトコードの安全性を検査する機能を有する（Java (登録商標） Virtual Machine Specificat ion参照）。クラスローダ 1120は、ベリファイャ 1130において妥当ではないと判定されたクラスはロードを行わな！/、。

[0048] Java (登録商標）ヒープ管理部 1140は、 Java (登録商標）ヒープと呼ばれる、 Java ( 登録商標)アプリケーションが使用するワーキングメモリの管理を行う機能を有する。このワーキングメモリは第 1RAM1910に確保される。

また、 Java (登録商標）ヒープ管理部 1140は、ガベージコレクションも行う機能を有する。ガベージコレクションとは、アプリケーション実行において不要になったヮーキングメモリを開放し、他の用途に再利用できるようにする処理である。

[0049] Java (登録商標)ネイティブライブラリ 1150は、 Java (登録商標）アプリケーションから呼出されるライブラリで、 OS 1020や、実行装置 100が備える図 1には記載されて Vヽな、ノヽ一ドウエア、サブプログラム等で提供される機能をアプリケーションへ提供する。

JITコンパイラ 1160は、バイトコードを第 1CPU1900もしくは第 2CPU2900が理解可能な実行形式に翻訳する機能を有する。

[0050] クラスライブラリ 1170は、仮想マシン 1100の実行に必要なクラスで構成され、仮想マシン 1100が実行時に最初にロードするクラスである。クラスライブラリ 1170は仮想マシン 1100の一部であり、一般に公開されている、クラスの集合である。

<クラス記憶部 >

クラス記憶部 1300は、実行するアプリケーションプログラムのクラスを記憶する機能を有する。

[0051] このクラス記憶部 1300は、いわゆるメソッド領域であり、実際には、仮想マシン 110 0内の領域であり、ローダ 1120が実行可能な状態にしたクラスをロードする。

このクラス記憶部 1300には、仮想マシン 1100のローダ 1120又はバイトコード部 2 200の後述するセキュアローダ 2220力ら、クラスがロードされる。

尚、このクラス記憶部 1300は、第 1RAM1910に確保され、保護実行部 2000から参照等が可能である。

[0052] <ワーク領域 >

ワーク領域 1400は、クラスの実行に際し、使用される作業領域である。具体的には、スタックやヒープ等をいい、実際には、仮想マシン 1100内の領域である。

尚、このワーク領域 1400は、第 1RAM1910に確保され、保護実行部 2000から参照等が可能である。

[0053] <保護実行部 >

次に、保護実行部 2000について説明する。

保護実行部 2000は、復号処理部 2100、復号ィ匕クラス記憶部 2400、暗号鍵記憶 ^2500, ノィ卜 =3一ド、; ¾i § 2200、ノィ卜 =fード、言己'隐§^2600¾_び 2GPU2900を備える。

[0054] <復号処理部 >

復号処理部 2100は、ローダ 1120からの依頼によって、アプリケーション記憶部 12

00内の暗号ィ匕されたクラスを読み込み、暗号鍵記憶部 2500に記憶されている暗号化鍵 2923 (図 3参照）を用いて復号ィ匕し、復号化されたクラスを復号化クラス記憶部

2400に記憶させる機能を有する。

[0055] 復号化するクラスのアプリケーション記憶部 1200内のアドレスとサイズは、ローダ 1

120からの依頼と共に渡される。尚、暗号化のためのアルゴリズムは任意の暗号アルゴリズムを用いることが可能であり、代表的な暗号アルゴリズムとしては、 AES (Advanced Encryption Standard)、 D ES (Data Encryption Standard)等があげられる。

[0056] <バイトコード処理部 >

次に、バイトコード処理部について説明する。

バイトコード処理部 2200は、仮想マシン 1100の機能のうち、バイトコードの実行に必要な機能のみを備えたものであり、複数のサブプログラムを備えるが、ここでは、本図では、本発明に特有の機能を有するセキュアインタプリタ 2210とセキュアローダ 2 220のみを記載する。

[0057] 図 9は、バイトコード処理部のサブプログラムの構成を示す図である。

バイトコード処理部 2200は、セキュアインタプリタ 2210、セキュアローダ 2220、セキュアべリファイャ 2230、セキュア Java (登録商標）ヒープ管理部 2240、バイトコード管理部 2250で構成される。

セキュアインタプリタ 2210は、仮想マシン 1100のインタプリタ 1110と同様の機能を有し、仮想マシン 1100のインタプリタ 1110から依頼を受けてバイトコードを実行し、実行が終了すればインタプリタ 1110に通知する機能を有する。

[0058] また、セキュアローダ 1110は、暗号化クラス記憶部 2400のクラスファイルをロードする機能を有する。自実行部のバイトコード記憶部 2600と、通常実行部 1000のクラス記憶部 1300とに、ひとつのクラスを分割してロードする。

この際、自実行部のバイトコード記憶部 2600に記憶した部分と、通常実行部 1000 のクラス記憶部 1300に記憶した部分とを対応付けて記憶する。対応付けの方法は、図 12を用いて後で説明する。

[0059] セキュアべリファイャ 2230は、仮想マシン 1100のべリファイャ 1130と同様の機能を有する。

セキュア Java (登録商標）ヒープ管理部 2240は、仮想マシン 1 lOOJava (登録商標 )ヒープ管理部 1140の機能のうち、クラスアンロード時にバイトコードをアンロードする機能のみを有する。ノイトコード以外は、通常実行部 1000のメモリに存在し、それらの管理は仮想マシン 1100が行うからである。 [0060] バイトコード管理部 2250は、保護実行部 2000におけるクラスの実行の際に、通常実行部 1000内に記憶されている実行に必要なメタ情報とを関連付けて管理しておく機能を有する。具体的には、バイトコード記憶部 2600に記憶されるノイトコードとクラス記憶部 1300に記憶されるメソッドのメタ情報とに、同じ識別子をつけて、 1対 1に対応付けて管理する（図 12参照)。

[0061] <バイトコード記憶部 >

ノイトコード記憶部 2600は、実行するアプリケーションプログラムのクラスのうち、バイトコード（図 7参照)のみを記憶する機能を有する。

このバイトコード記憶部 2600は、いわゆるメソッド領域であり、実際には、ノイトコ一ド処理部 2200内の領域であり、セキュアローダ 2220がロードし、実行可能な状態にしたクラスのバイトコードを記憶する。

[0062] 尚、このバイトコード記憶部 2600は、第 2RAM2910に確保される。従って、このバイトコード記憶部 2600は、通常実行部 1000から参照されることはない。

<動作 >

次に、アプリケーションを実行する実行装置 100の動作を説明する。

実行装置の動作の説明として、アプリケーションのロードと実行の 2つのフェーズに分けて説明する。

[0063] 以下、本発明に係る実行装置 100のクラスのロード処理について図 10〜図 12を用 V、て、クラスの実行処理にっ、て図 13〜図 20を用いて説明する。

<クラスのロード処理 >

まず、図 10を用いて、クラスのロード処理、具体的には、電源投入力も実行装置 10 0がアプリケーションプログラム 1210を起動するまでの処理を説明し、その後、図 11 と図 12とを用いてクラスをロードする処理にっ、て説明する。

[0064] 本実施形態では、実行装置の電源を入れた場合、予め定められているアプリケーシヨンが実行されるものとする。

図 10は、実行装置 100の起動処理を表すフローチャートである。

ユーザが実行装置 100の電源を投入する（ステップ S100)と、第 1CPU1900が、第 1ROM1920に保存されている OS1921 (図 2参照）を第 1RAM1910にロードし、 OS 1020を起動する（ステップ SI 10)。

[0065] 次に、 OS1020力第 1ROM1920に保存されている Java (登録商標）仮想マシン 1922を第 1RAM 1910にロードし、仮想マシン 1100を起動する（ステップ S 120)。続!ヽて、 OS1020iま、第 1CPU1900を介して、第 2CPU2900【こロード依頼を通知し、第 2CPU2900は、第 2ROM2900上に保存されているバイトコード処理部 29 21を第 2RAM2910にロードし、バイトコード処理部 2200を起動する（ステップ S13 0)。

[0066] 次【こ、第 2CPU2900iま、第 2ROM2900上【こ保存されて!ヽる復号処理咅 2922 ( 図 3参照）を第 2RAM2910にロードし、復号処理部 2100を起動する（ステップ S14 0)。

上記の処理により、実行装置 100がアプリケーション実行可能な状態になる。尚、仮想マシン 1100の起動（ステップ S120)と復号処理部 2100及びバイトコード処理部 2200の起動（ステップ S130、 S140)の順番は逆になつていてもかまわない。

[0067] 実行装置 100が、アプリケーションプログラム 1210を実行可能な状態になった後、仮想マシン 1100は、アプリケーションプログラム 1210の実行を開始する。

アプリケーションプログラム 1210の開始は、アプリケーションプログラム 1210の特定のクラスファイルを実行することで行う。この特定のクラスファイル名は、予め、仮想マシン 1100が記憶して!/、るものとする。

[0068] この最初のクラスがローダ 1120によってロードされ、インタプリタ 1110によって実行が開始され、その後、適時必要なクラスファイルがアプリケーション記憶部 1200からロードされ、実行されることで、アプリケーションが実行されていくことになる。

仮想マシン 1100は、最初に特定のクラスファイルをロード (ステップ S160)する前に、この特定のクラスファイルと共にアプリケーションプログラム 1210の中含まれている保護対象クラス一覧 1220をクラス記憶部 1300に記憶させる (ステップ S 150)。

[0069] 次に、各クラスをロードする処理、すなわち、アプリケーションプログラム 1210のクラスファイルを仮想マシン 1100が実行可能な内部形式に変換し、ロードする手順について説明する。

図 11は、実行装置 100のロード処理を表すフローチャートである。このロード処理は、通常実行咅 1000のローダ 1120と保護実行咅 2000のセキュアローダ 2220力 S 行う処理である。

[0070] また、図 12は、保護対象クラスのクラスファイルがロードされた状態を示す図であるまず、インタプリタ 1110がローダ 1120に、クラスファイル名を渡してロードを依頼する。

依頼を受けたローダ 1120は、渡されたクラスファイル名のクラス力保護対象のクラスカすなわち、暗号ィ匕されたクラス力否かを判断する（ステップ S200)。

[0071] 判断の方法は、クラス記憶部 1300の保護対象クラス一覧 1220のリストに渡されたクラスファイル名が載ってヽるかをチェックし、載って、れば保護対象のクラスであると判断する。

ローダ 1120は、ロードの依頼を受けたクラスが、保護対象クラスでないと判断した場合は（ステップ S200 :NO)、クラス記憶部 1300にロードする（ステップ S260)。

[0072] 一方、ロードの依頼を受けたクラスが、保護対象クラスであると判断した場合は (ステップ S200 : YES)、ロードするクラスのアプリケーション記憶部 1200でのアドレスとサィズとを、保護実行部 2000の復号処理部 2100に通知し、ロードを依頼する (ステツプ S210)。

通知を受けた復号処理部 2100は、クラスファイルをアプリケーション記憶部 1200 から読み込み、暗号鍵記憶部 2500に記憶されている復号ィ匕鍵 2923を用いて復号化し、復号ィ匕クラス記憶部 2400に記憶する (ステップ S220)。以下、復号化クラス記憶部 2400に記憶されたクラスを、「復号ィ匕クラスファイル」というものとする。

[0073] 復号ィ匕クラスファイルを作成した復号処理部 2100は、その旨バイトコード処理部 22 00に通知する。

通知を受けたバイトコード処理部 2200は、セキュアべリファイャ 2230に復号化クラスファイルを検査させ、セキュアローダ 2220にロードを依頼する。

ロードの依頼を受けたセキュアローダ 2220は、復号ィ匕クラスファイルの構文を分析し、復号ィ匕クラスファイルのタグから、バイトコードの部分とメタ情報の部分の判別を行い、バイトコードの部分とメタ情報の部分とに分割する (ステップ S230)。この分割の際、セキュアローダ 2220は、 2つの情報を付加する。 1つ目は、バイトコードが分割された旨の情報であり、 2つ目は、バイトコードの部分とメタ情報の部分とを対応付けるための情報である。これら付加する情報については、図 12を用いて後で説明する。

[0074] 分割後、セキュアローダ 2220は、バイトコードの部分をバイトコード記憶部 2600にロードし (ステップ S240)、メタ情報の部分を通常実行部 1000のクラス記憶部 1300 にロードする (ステップ S250)。この際、それぞれの部分は、仮想マシン 1100が実行可能な形式となっている。

それぞれ記憶部にロードされた状態を図 12に示す。保護実行部 2000のバイトコ一ド記憶部 2600には、バイトコード 2610がロードされ、通常実行部 1000のクラス記憶部 1300には、クラス構造情報 1310、コンスタントプール 1320及びメソッドのメタ情報 1330力 —ド、されて!/ヽる。

[0075] クラスファイルのフォーマット（Java (登録商標） Virtual Machine Specification参照）において、メソッドのメタ情報 3300の次に必ずバイトコード 3400があることが保証されているため（図 7参照）、各部分の判別は容易に行うことが可能であり、バイトコード 34 00の部分とメタ情報（図 7参照： 3100、 3200、 3300)の部分とを分割することができる。

[0076] この分割の際（図 11 :ステップ S230参照）、セキュアローダ 2220は、バイトコードが分割された旨の情報と、バイトコードの部分とメタ情報の部分とを対応付けるための情報とを付加する。

ノイトコードが分割された旨の情報として、分割されたことを示すフラグであるバイトコード分割フラグ 1331をメソッドのメタ情報 1330に付加する。本実施形態では、バイトコード分割フラグ 1331が「1」の場合は、分割してあり、「0」の場合は、分割していないことを表すものとする。

[0077] すなわち、バイトコード分割フラグ 1331が「0」の場合は、バイトコードがクラス記憶部 1300に記憶されていることを示し、バイトコード分割フラグ 1331が「1」の場合には、ノイトコードがバイトコード記憶部 2600に記憶されていることを示す。

次に、セキュアローダ 2220は、バイトコードの部分とメタ情報の部分とを対応付けるための情報を付加する。この情報は、バイトコード管理部 2250に指示して付加する。 [0078] バイトコード管理部 2250は、バイトコード 2610とメソッドのメタ情報 1330の関係を特定できるように、ノイトコード 2610に ID2611を、メソッドのメタ情報 1330に ID133 2を付加し、同じ値に IDをつけて管理する。同一のメソッドから内部形式に変換されたメソッドのメタ情報 1330の ID1332とバイトコード 2610の ID2611には同じ値がついている必要がある。

[0079] 例えば、バイトコード 2610の ID2611として「1234」を、メソッドのメタ情報 1330の I D1332IDとして「1234」を設定することで、バイトコードを実行する際には、同じ IDを持つとメソッドのメタ情報 1330を参照すればよいことが分かる。従って、 IDの値は、メソッドのメタ情報 1330毎に異なる必要がある。

一方、保護対象クラスではないと判断され (ステップ S200 : NO)、クラス記憶部 130 0にロードされたクラスでは、ローダ 1120は、メソッドのメタ情報のバイトコード分割フラグ 1331には、「0」を設定する。なお、メソッドのメタ情報 1330の ID1332には、何も設定しない。

[0080] セキュアべリファイャ 2230力復号化クラスファイルを検査し、検査の結果がエラーの場合には、ローダ 1120にその旨を通知し、ロードの処理を終了する。

<クラスの実行処理 >

次に、図 13〜図 20を用いて、クラスの実行の処理について説明する。

図 13は、クラスの実行の処理を表すフローチャートである。

[0081] まず、クラスを実行するにあたり、インタプリタ 1110はメソッドを呼出す (ステップ S30 0)。

インタプリタ 1110は、該当するメソッドのバイトコードが分割されている力すなわち、ノイトコードがクラス記憶部 1300に記憶されており通常実行部 1000で実行可能か否かを判断する (ステップ S310)。

[0082] この判断は、メソッドのメタ情報 1330のバイトコード分割フラグ 1331をチェックすることで行う。

ノイトコード分割フラグ 1331が「0」になっている場合 (ステップ S310 :NO)には、分割がなされてヽな、ため、インタプリタ 1110がメソッドを実行する（ステップ S350) 。インタプリタ 1110がメソッドを実行する処理は従来の Java (登録商標)仮想マシンの動作と同じである（Java (登録商標） Virtual Machine Specification参照）。

[0083] 次にバイトコード分割フラグ 1331が「1」になっている場合 (ステップ S310 : YES)には、インタプリタ 1110は031020に用意された、保護実行部 2000のバイトコード処理部 2200を呼出す実行環境遷移関数を呼び出し、バイトコードの実行を依頼する。例えば、ノイトコード処理部 2200が定期的に第 1RAM1910上の特定ビットを監視しており、実行環境遷移関数がこの特定ビットを「1」とすると、バイトコード処理部 220 0が処理を開始するような仕組みである。

[0084] この依頼の際、実行環境遷移関数の引数として、 ID1332 (図 12参照）の値を渡して依頼する (ステップ S320)。

依頼を受けたバイトコード処理部 2200のセキュアインタプリタ 2210は、バイトコード管理部 2250に、受け取った ID1332の値を渡して、同じ値の IDを持つバイトコードの検索を依頼する。

[0085] 依頼をうけたバイトコード管理部 2250は、バイトコード記憶部 2600から、同じ値の I

D2611を持つバイトコード 2610を検索し、バイトコードのアドレスをセキュアインタプリタ 2210に返す (ステップ S330)。

バイトコードのアドレスを受け取ったセキュアインタプリタ 2210は、バイトコードの実行を行う（ステップ S 340)。

[0086] この実行においては、セキュアインタプリタ 2210は、実行に必要なメタ情報はクラス記憶部 1300を参照し、スタックの領域やヒープの領域は、ワーク領域 1400を使用する。

次に、保護対象クラスのバイトコードが実行される場合を、具体例を用いて説明する図 14に、バイトコードの実行処理を表すフローチャートを示す。このフローチャートは、図 15に示す、 Java (登録商標）言語のメソッド 4000を実行する場合のフローチヤートであり、以下、このメソッド 4000を実行する例を説明する。

[0087] このメソッド 4000は、保護対象クラス 1220のクラスファイルのメソッドであるとする。

従って、このメソッドのバイトコードは、ノイトコード記憶部 2600に記憶されている。図 16に、メソッド 4000をコンパイルし、得られたバイトコード 4100を示す。メソッド 4000のプログラムは、引数に int型の 2つの値をとり、 2つの値を足し算したサイズの int型の配列を作成して、 int型の配列を返り値とするプログラムである。

[0088] このバイトコード 4100を実行する際の動作を図 14のフローチャートと、フレームの領域とヒープの領域との遷移図、図 17〜図 20とを用いて説明する。

セキュアインタプリタ 2210はまず、通常実行部 1000のワーク領域 1400のフレーム領域 1420にフレーム 1430を作成する。具体的には、呼出元の Java (登録商標）フレーム 1440の上に、いまから実行するメソッド 4000の Java (登録商標）フレーム 1430 を積み上げる (ステップ S700)。

[0089] 呼出元の Java (登録商標）フレーム 1440とは、 V、まから実行するメソッド 4000を呼出したメソッドの Java (登録商標）フレームであり、各フレームは、同様の構成を有している。

図 17は、セキュアインタプリタ 2210がいまから実行する Java (登録商標）フレームを積み上げた時点での、ワーク領域 1400の状態である。

[0090] ワーク領域 1400には、 Java (登録商標）ヒープ 1410、 Java (登録商標）フレーム 14 30、呼出 ¾[ava (登録商標）フレーム 1440が生成される。

Java (登録商標）ヒープ 1410は、仮想マシン 1100が利用するワーキングメモリであり、 Java (登録商標）ヒープ管理部 1140 (図 8参照）が管理して、る。

Java (登録商標）フレーム 1430は、セキュアインタプリタ 2210が!、まから実行するメソッドのワーキングメモリであり、ローカル変数領域 1450とオペランドスタック 1460とから構成される。

[0091] ローカル変数領域 1450とは、メソッドが持つローカル変数を保存する領域である。

セキュアインタプリタ 2210が Java (登録商標）フレーム 1430を作成したときに、引数で与えられている int型の 2つの値「i」と「j」と力ローカル変数領域の 1番目（1452)と 2番目（1451)にそれぞれロードされる。

オペランドスタック 1460とは、メソッドが実行する演算を行うスタックであり、例えば、メソッドの中にローカル変数の足し算をするコードがあった場合、ローカル変数領域 1 450からデータをオペランドスタック 1460にロードし、足し算をオペランドスタック 146 0上で行い、ローカル変数領域 1450にストアする、といった使われ方をする。 [0092] 引数をフレームに積んだ、セキュアインタプリタ 2210は、バイトコード 4100の処理を開始する。

バイトコード 4100の 1〜3行のコード 4101は、スタック演算であり、次のように処理が進められる（ステップ S710)。

iload命令は、ローカル変数領域にある変数の値をオペランドスタックにロードする命令である。また、 iadd命令はオペランドスタックに積まれた上から 2つの値を足し合わせる命令である。

[0093] 「iload— 1」及び「iload— 2」で、オペランドスタック 1460に引数で渡された「i」 145 2の値と「j」 1451の値を積み、オペランドスタックに積まれた iの値と jの値の足し算を行う。

足し算の結果「i+j」 1461をオペランドスタック 1460に置く。このとき、積まれていた引数「i」と「j」は、削除される。

[0094] その結果のワーク領域 1400の状態を、図 18に示す。

次に、セキュアインタプリタ 2210は、バイトコード 4100のコード「newarray」 4102 を実行する。

newarray命令は、 Java (登録商標）ヒープ 1410に、オペランドスタックの一番上にある値の数の要素数を持つ配列の領域を確保する命令である。領域を確保した状態のワーク領域 1400の状態を、図 19に示す。

[0095] newarray命令では、 Java (登録商標）ヒープに他のスレッドからも同時のタイミングで書き込みを行われることを防ぐために、通常実行部 1000の OS 1020が提供する口ック機能を利用して、領域を確保する前に、 Java (登録商標）ヒープのロックを獲得する必要がある。

そこで、セキュアインタプリタ 2210は、直接には、通常実行部 1000の OS 1020が提供するロック機能は利用することができないので、「newarray」 4102をフェッチした時点で、オペランドスタック 1460の一番上の値「i+j」 1461をオペランドスタック 14 60から取り出し（図 18参照）、この値を引数として、仮想マシン 1100の Java (登録商標）ヒープ管理部 1140を呼出す (ステップ S720)。

[0096] Java (登録商標）ヒープ管理部 1140は、 OS 1020が提供するロック機能を利用して、 Java (登録商標）ヒープ 1410のロックを獲得する。

ロックが獲得できたことを確認した後で、 Java (登録商標）ヒープ管理部 1140は、 Ja va (登録商標）ヒープ 1410に、引数として受け取った「i+j」のサイズを持つオブジェタト 1 ( 1411 )を確保し (ステップ S 730)、オブジェクト 1への参照 1462をオペランドスタックに積む (ステップ S 740、図 19参照）。

[0097] この時点でのワーク領域 1400の状態力図 19に示す図である。

領域の確保が終わると、処理をセキュアインタプリタ 2210に復帰させ、セキュアインタプリタ 2210は、「newarray」4102の次の処理を開始する。

セキュアインタプリタ 2210は、バイトコード 4000の「areturn」4103の処理を行う。

[0098] セキュアインタプリタ 2210は、「areturn」 4103をフェッチした時点で、現在のメソッドの処理が終了したことを知り、メソッド 4000のワーキングメモリである Java (登録商標 )フレーム 1430を破棄し、呼出元の Java (登録商標）フレーム 1440上に、オペランドスタック 1460の一番上の値、オブジェクト 1への参照 1442を積む（ステップ S 750)。

[0099] その時点でのワーク領域 1400の状態を図 20に示す。

最後に、セキュアインタプリタ 2210は、処理をインタプリタ 1110に戻す。これで、バイトコード 4100の実行が終了し、その次の処理を通常実行部 1000が続けることになる。

この例のように、バイトコードの実行に際して、保護実行部 2000内では処理部できない処理がある場合には、通常実行部 1000に処理を依頼する。この場合でも、バイトコード自体は、保護されている。

[0100] 以上の説明では newarray命令を例にとり、 OS 1020が提供するロック機能を利用する際に、セキュアインタプリタ 2210から通常実行部 120に処理を移していた力上記以外の場合にも、通常実行部 1000への遷移が必要になる場合がある。

例えば、セキュアインタプリタ 2210が、 Java (登録商標)ネイティブライブラリ 1150を呼出した場合には、 Java (登録商標)ネイティブライブラリ 1150は通常実行部 1000 にしか存在しないため、通常実行部 1000に処理を移す必要がある。

[0101] 以上、説明したように、バイトコードを保護実行部 2000のバイトコード記憶部 2600 のみに記憶するため、不正なユーザがデバッガ等を利用して、 Java (登録商標）アブリケーシヨンを盗聴、改竄を試みても、バイトコードにアクセスができないため、盗聴、改竄は不可能になる。

<実施形態 2>

実施形態 1では、メソッドのバイトコードのすべてを保護実行部 2000内に記憶して実行しているが、実施形態 2では、バイトコードの一部のみを保護実行部 2000内に記憶して実行する点が異なる。

[0102] 本実施形態の実行装置は、保護実行部力通常実行部のメモリへのアクセスが制限される場合に、特に有効である。

というのは、実施形態 1では、第 2CPU2900から第 1RAM1910へのアクセスが可能という前提があるので、保護実行部がバイトコードを実行する際に、通常実行部のメモリにあるメタ情報へのアクセスは容易であった。

[0103] し力し、第 2CPU2900が第 1RAM1910にアクセスできない場合には、メタ情報が必要となるたびに、通常実行部 1000に遷移する必要があり、また、 Java (登録商標）ヒープ上のデータの読込み、書込みを行う場合にも、通常実行部 120に遷移する必要があることから、実行速度の観点で実用的ではな!/、場合がある。

そこで、本実施形態では、第 2CPU2900力第 1RAM1910にアクセスできない場合でも、不正なユーザからバイトコードを保護しながら、実行速度も保持できる実行装置を説明する。

[0104] 以下、実施形態 1と相違する点について説明する。

<構成>

図 21は、実施形態 2の実行装置の構成を示す機能ブロック図である。

構成は、実施形態 1の実行装置とほぼ同様である（図 4参照)。但し、保護実行部 2

000から通常実行部 1000のメモリを直接アクセスできないことに伴って、一部の機能部の機能が異なる。

[0105] 以下、実施形態 1の実行装置との相違点を説明する。

実行装置 500は、通常実行部 5000と保護実行部 6000とで構成される。通常実行部 5000は、アプリケーション記憶部 1200、仮想マシン 5100、クラス記憶部 1300、ワーク領域 1400及び第 1CPU1900とを備える。アプリケーション記憶部 1200、クラス記憶部 1300、ワーク領域 1400及び第 1CPU 1900は、実施形態 1と同様である。

[0106] 仮想マシン 5100は、ローダ 5120とインタプリタ 5110とを備え、基本的には、それぞれ実施形態 1のローダ 1120とインタプリタ 1110と同様の機能を有する。

実施形態 1のインタプリタ 1110は、クラスの実行時に、バイトコードが通常実行部 1 000にある力保護実行部 2000にあるかを、メタ情報内のバイトコード分割フラグを参照して判断していたが（図 12、図 13参照）、本実施形態のインタプリタ 5110は、バイトコード内の分割フラグを参照する点が異なる。バイトコード内に分割フラグを設定する方法は、後述する <メタ情報等が必要でないコードの部分を選び出す方法 >で説明する。

[0107] また、実施形態 1のローダ 1120は、ロードしょうとするクラスが暗号ィ匕されている場合には、クラスファイルのアドレスとサイズを渡して、保護実行部 2000にクラスフアイルの読み込みを依頼したが、本実施形態のローダ 5120は、読み込んだ暗号化クラスファイルを渡す点が異なる。保護実行部 6000は、クラスファイルが記憶されているアプリケーション記憶部 1200にアクセスできないからである。

[0108] 保護実行部 6000は、復号処理部 6100、復号化クラス記憶部 2400、暗号鍵記憶 ^2500, ノィ卜 =3ード、 § 6200、ノィ卜 =3ード、言己'隐§^2600、フーク H 670(X¾ び第 2CPU2900を備える。

復号ィ匕クラス記憶部 2400、暗号鍵記憶部 2500、バイトコード記憶部 2600及び第 2CPU2900は、実施形態 1と同様である。

[0109] 復号処理部 6100は、基本的に実施形態 1の復号処理部 2100と同様にクラスファィルの復号化を行うが、復号処理部 2100がアプリケーション記憶部 1200からクラスファイルを読み込んで復号ィ匕したのに対し、復号処理部 6100は、通常実行部 5000 カゝら渡されるクラスファイルを復号ィ匕する点が異なる。

バイトコード処理部 6200は、セキュアインタプリタ 6210とセキュアローダ 6220を備える。

[0110] セキュアインタプリタ 2210は、実行中に、通常実行部 1000のメモリに記憶されているメタ情報やビープにアクセスしていた力セキュアインタプリタ 6210は、実行時にメタ情報等をアクセスしな、点が異なる。

また、セキュアローダ 2220は、メタ情報を直接クラス記憶部 1300に書き込んだが、セキュアローダ 5220は、第 2CPU2900を介してー且通常実行部 5000に出力し、第 1CPU1900によって書き込む必要がある点が異なる。

[0111] ワーク領域 6700は、通常実行部 5000のワーク領域 1400と同様の機能を有する。

実施形態 1では、バイトコードを実行する際に必要なフレームの領域を第 1RAM19 10に確保されたワーク領域 1400に作成していた力本実施形態では、第 1RAM19 10にアクセスできないので保護実行部 6000内の第 2RAM2910に確保することとする。尚、ヒープの領域は、実施形態 1と同様に通常実行部 5000のワーク領域 140 0に確保する。

[0112] <動作 >

本実施形態の実行装置の動作の説明として、アプリケーションのロードと実行の 2つのフェーズに分けて説明する。

<クラスのロード処理 >

まず、各クラスをロードする処理、すなわち、アプリケーションプログラム 1210のクラスファイルを仮想マシン 5100が実行可能な内部形式に変換し、ロードする手順について説明する。

[0113] 図 22は、実行装置 500のロード処理を表すフローチャートである。このロード処理は、通常実行咅 5000のローダ 5120と保護実行咅 6000のセキュァローダ6220カ行う処理である。

また、図 23は、保護対象クラスのクラスファイルがロードされた、クラス記憶部 1300 とバイトコード記憶部 2600の状態を示す図である。

[0114] まず、インタプリタ 5110力ローダ 5120に、クラスファイル名を渡してロードを依頼し、依頼を受けたローダ 5120は、渡されたクラスファイル名のクラス力暗号化されたクラスカゝ否かを判断し (ステップ S200)、保護対象クラスでな!ヽと判断した場合は (ステップ S 200 : NO)、クラス記憶部 1300にロードする（ステップ S 260)。

[0115] 一方、ロードの依頼を受けたクラスが、保護対象クラスであると判断した場合は (ステップ S200 : YES)、ロードするクラスをアプリケーション記憶部 1200から読み出し、読み出したクラスファイルを復号処理部 6100に渡す (ステップ S410)。

クラスファイルを受け取つた復号処理部 6100は、受け取つたクラスファイルを暗号鍵記憶部 2500に記憶されている復号ィ匕鍵 2923を用いて復号ィ匕し、復号化クラス記憶部 2400に記憶する（ステップ S420)。

[0116] 復号ィ匕クラスファイルを作成した復号処理部 6100は、その旨バイトコード処理部 62

00に通知し、通知を受けたバイトコード処理部 6200は、セキュアべリファイャ 2230 に復号ィ匕クラスファイルを検査させ、セキュアローダ 6220にロードを依頼する。

ロードの依頼を受けたセキュアローダ 6220は、復号ィ匕クラスファイルの構文を分析し、仮想マシン 5100が実行可能な内部形式に変換する。このときに、セキュアローダ

6220は、復号ィ匕クラスファイルのタグから、バイトコードの部分とメタ情報の部分の判別を行い、分割する (ステップ S430)。

[0117] 次に、セキュアローダ 6220は、バイトコードから、実行時にメタ情報、および Java ( 登録商標）ヒープにアクセスが必要でな、バイトコードの部分を選び出す。メタ情報等が必要でないコードの部分を選び出す方法は、図 24を用いて後で説明する。

セキュアローダ 6220は、メタ情報が必要でないバイトコードと、メタ情報が必要なバイトコードに分割する (ステップ S440)。

[0118] セキュアローダ 6220は、メタ情報が必要でないバイトコードと、メタ情報が必要なバイトコードに分割したら、バイトコード管理部 2250に依頼し、メソッドのメタ情報と、メタ情報が必要でないバイトコードとを関連付けるための IDをそれぞれに付加する（図 2

3参照： ID5331と ID6611)。

次に、セキュアローダ 6220は、メタ情報とメタ情報等が必要なバイトコードを、第 2C

PU2900を介して第 1CPU1900に転送する。第 1CPU1900は、受け取ったメタ情報（図 23参照：クラス構造情報 1310、コンスタントプール 1320、メソッドのメタ情報 5

330)とメタ情報等が必要なバイトコード 5340 (図 23参照）をクラス記憶部 1300に口ードする（ステップ S450)。

[0119] また、セキュアローダ 5220は、メタ情報が必要でないバイトコード 6610 (図 23参照

)を、バイトコード記憶部 2600にロードする（ステップ S460)。

<メタ情報等が必要でないコードの部分を選び出す方法 > メタ情報等が必要でないコードの部分を選び出す方法を説明するとともに、分割フラグの設定を、図 24に示すバイトコード 7000を参照しながら説明する。

[0120] 1行目の「iload— 1」と 2行目の「iload— 2」とは、ローカル変数領域の 1番目の値をオペランドスタックに積む命令であり、メタ情報が必要でない命令である。オペランドスタックはワーク領域 6700のフレーム領域にある領域である。

また、 3行目の「iadd」は、オペランドスタック上の値の足し算を行う命令であり、メタ情報が必要でな、命令である。

[0121] 従って、 1行目から 3行目までもノイトコード 7001は、メタ情報が必要でない命令である。

4行目の「newarray」は、ワーク領域 1400上の Java (登録商標）ヒープに領域を確保するため、 Java (登録商標）ヒープが必要となる命令である。

最後に「areturn」は、メソッドの後処理をするため、メタ情報が必要となる命令である。

[0122] 従って、 4行目と 5行目のバイトコード 7002は、メタ情報および Java (登録商標）ヒープにアクセスが必要な命令である。

分割したバイトコードの例を、図 25に示す。

バイトコード 7000の 1行目〜3行目のバイトコード 7001を、メタ情報が必要でないバイトコード 7200として作成する。連続した行のバイトコードを 1つの塊として切り出す。本実施形態では、メソッドに 1つの例で説明する。

[0123] また、バイトコード 7000の中で、メタ情報が必要でないバイトコード 7200とし手分割したコードの部分を書き換えたものを、メタ情報が必要なバイトコード 7100とする。メタ情報が必要なバイトコード 7100は、分割された先頭の部分に分割されたことを示す分割フラグ 7101を埋め込んでおく。具体的には、予め決めた、分割フラグである旨を示す命令コードを記載する。

[0124] 分割された先頭以外の部分、すなわちバイトコード記憶部 2600に記憶されているコードの部分には nop命令等の意味のないコード 7102を埋め込んでおく。

以上のように構成することにより、クラスファイルのバイトコードの一部がデバッガ等により、解析できない領域にロードすることが可能となる。尚、メソッドに複数の、メタ情報が必要でないバイトコードの塊がある場合は、分割フラグ 7101と該当するバイトコードを対応付けておくことで、実行が可能となる。例えば、分割フラグと対応するバイトコードとに共通の IDを振るなどである。

[0125] <クラスの実行処理 >

次に、実行装置 500が、バイトコード 7000を実行する処理について図 26を用いて説明する。

図 26は、クラスの実行の処理を表すフローチャートである。

まず、クラスを実行するにあたり、インタプリタ 5110はメソッドを呼出す (ステップ S50 0)。

[0126] インタプリタ 5110は、いまから実行するメソッドの Java (登録商標）フレームを、ヮーク領域 1400に作成し、メタ情報が必要なバイトコード 7100の実行を開始する (ステツプ S510)。

まず、インタプリタ 5110は、命令をフェッチすると、その命令が分割フラグ 7101である力否かを判別する (ステップ S520)。

[0127] 分割フラグ 7101でない場合 (ステップ S520 : NO)、すなわち、他の命令コードであつた場合は、メソッド終了以外 (ステップ S570 : NO)は、通常実行部 5000でその命令の実行を行う（ステップ S 510)。

分割フラグ 7101である場合 (ステップ S520 : YES)は、インタプリタ 5110は、処理を保護実行部内 6000内のバイトコード処理部 6200に処理を依頼する (ステップ S 5 30)。この依頼の際、実行中のメソッドの Java (登録商標）フレーム内のローカル変数領域とオペランドスタック、およびメソッドのメタ情報 5330内の ID5331の値を引数として渡す。

[0128] 依頼を受けたバイトコード処理部 6200のセキュアインタプリタ 6210は、バイトコード管理部 2250に、受け取った ID5331の値を渡して、同じ値の IDを持つバイトコードの検索を依頼する。

バイトコード管理部 2250は、バイトコード記憶部 2600から、受け取った ID5331の値と一致する ID6611を有するメタ情報が必要でないバイトコード 6610を検索する（ステップ S 540)。 [0129] IDの値が一致するメタ情報が必要でないバイトコード 6610を見つけたバイトコード管理部 2250は、バイトコードのアドレスをセキュアインタプリタ 6210に返す。例えば、図 25のメタ情報が必要でないバイトコード 7200のアドレスである。

セキュアインタプリタ 6210は、引数として受け取ったローカル変数領域とオペランドスタックを利用して、メタ情報が必要でないバイトコード 6610の処理を行う（ステップ S 550)。

[0130] メタ情報が必要でないバイトコード 6610が実行中には、通常実行部 5000のメモリ上のデータの読み込み、書き込みをすることは不要なので、バイトコード処理部 620 0ですベての処理が可能である。

メタ情報が必要でないバイトコード 6610の実行が完了すると、ローカル変数領域、オペランドスタック、および、通常実行部 5000のインタプリタ 5110が次に実行する命令を指すプログラムカウンタを返り値として、処理をインタプリタ 5110に復帰させる (ステツプ S560)。

[0131] インタプリタ 5110は、メタ情報が必要なバイトコード 6610の返り値として受け取ったプログラムカウンタ力も続きを実行する（ステップ S570、ステップ S510)。

以降の処理は従来の Java (登録商標)仮想マシンと同じである。

<実施形態 3 >

実施形態 3の実行装置は、通常実行部と保護実行部とがそれぞれマルチタスクで動作可能なものである。

[0132] 実施形態 1と実施形態 2では、第 1CPUと第 2CPUが交互に動作することを前提としていた。

本実施形態では、第 1CPUと第 2CPUが同時に動作するときに、実行装置がアブリケーシヨンを保護しながら実行する方式を説明する。

<構成>

図 27は、本実施形態を実行するための、実行装置 800の構成例を示す図である。

[0133] セキュア OS8100以外は、実施形態 1と同様の構成である（図 1参照)。

第 2CPU2900は、通常実行部 1000内の第 1RAM1910に対して読み込み、書き込みが可能である点も、実施形態 1と同様である。また、第 2CPU2900は、第 1CPU1900とは、物理的に異なる CPUである。

[0134] ここでは、セキュア OS8100のみ説明する。

セキュア OS8100は、保護実行咅 8000内の第 2CPU2900上で動作する、 Linux 等のマルチタスクをサポートして、る OSである。

同一のスレッドの処理が、同じ時間に、保護実行部 8000と通常実行部 1000内とで動作して!/、ることはな!/、ものとする。

[0135] <動作 >

次に、実行装置 800が、アプリケーションを実行する方法を説明する。

実行に先立って行われるクラスファイルのロード処理は、実施形態 1と同様である（図 11等参照)。また、機能ブロックは、実施形態 1と同様であるため、図 4を参照して、本実施形態の実行装置の動作を説明する。

[0136] 図 28は、実施形態 3のクラス実行の処理を表すフローチャートである。

点線で示したステップは、ターゲットとなるクラスの実行に関する処理を表して、る。通常実行部 1000のインタプリタ 1110が、スレッドの実行開始し (ステップ S600)、スレッドが保護対象クラスのメソッドのものであった場合、保護実行部 8000に処理を依頼する。以下、この依頼された処理を、「当該処理」という。

[0137] インタプリタ 1110は、 OS1020を介して、保護実行部 8000のセキュア OS8100に当該処理を依頼する（ステップ S610)。

セキュア OS8100は、保護実行部 8000が行っている処理を一時停止し、依頼を受けたスレッドの当該処理を受け取り（ステップ S 700)、当該処理を受け取つたことを O S1020に通知する。

[0138] このときに、通常実行部 1000のインタプリタ 1110は、当該処理を依頼したスレッドを、保護実行部 8000からの処理完了通知待ち状態にする (ステップ S620)。

以降の処理は、通常実行部 1000と保護実行部 8000とが並行に動作を開始する。セキュア OS8100は、当該処理をセキュア OS8100のスケジューラに渡して登録する（ステップ S710)。当該処理の開始は、セキュア OS8100内のスケジューラが管理する。

[0139] 通常実行部 1000のインタプリタ 1110は、他のスレッドの処理を実行する（ステップ S630)。

一方、保護実行部 8000のノイトコード管理部 2200も、スケジューラに処理を渡した後は、当該処理を渡される前に実行していたバイトコード処理部 2200の処理を継続する (ステップ S 720)。

[0140] その後、保護実行部 8000では、スケジューラにより当該処理の開始通知をバイトコード管理部 2200が受け取り、当該処理を開始する (ステップ S730)。

ノイトコード管理部 2200が当該処理の実行を完了すると、完了を検出したセキュア OS8100力通常実行部 1000の OS1020に処理の完了を通知する（ステップ S74 0)。

[0141] 保護実行部 8000より完了通知を受け、通常実行部 1000のインタプリタ 1110は待ち状態になって、た処理を再び開始する。（ステップ S640)。

その後、通常実行部 1000と保護実行部 8000では、それぞれスケジューラの指示に従い、他の処理を実行していく（ステップ S650、ステップ S750)。

以上説明したように、バイトコードを保護実行部 8000にのみ記憶し、不正行為を防ぐことができることに加え、 2つの CPUが並列で動作することにより、実行速度が向上する。

[0142] なお、実施形態 3では、バイトコードのすべてを第 2RAMに記憶し、保護実行部内で処理をしていた力実施形態 2のようにバイトコードの一部を第 2RAMに記憶しても本発明は実施可能である。

<補足 >

以上、本発明に係る実行装置について実施形態に基づいて説明したが、この実行装置を部分的に変形することもでき、本発明は上述の実施形態に限られないことは勿論である。即ち、

(1)実施形態では、クラスファイルが暗号化されているカゝ否かを判別する場合に、保護対象クラス一覧を参照することとしているが、他の方法であっても良い。

[0143] 例えば、保護対象クラス一覧を使用せずに、クラスファイルの特定箇所に特定のコードが入っていないなど、通常のクラスファイルと異なることを判別できればよい。また、復号ィ匕の過程で、正当性を検証することとしてもよい。実行中にエラーとなることを防ぎ、実行自体を停止することができると!、う利点がある。

また、アプリケーションをダウンロードする場合は、ダウンロードする別のファイルに判別するための情報がはいっていてもよい。アプリケーションが放送波によって送られてくるものである場合には、多重化されて送られてくるファイルを利用して判別してちょい。

[0144] またさらに、アプリケーションプログラムの開発者が、クラスファイルの名前に保護が必要なクラスに特定の文字列を付加し、実行時に、クラスファイルの名前から実行時の保護が必要かを判断をしてもょヽ。

さらに、実施形態では、保護対象クラス一覧に載っているクラスは、保護が必要で暗号化されてヽるものとしてヽるが、暗号化されてヽるすべてのクラスを載せる必要はなく、作成者が保護したヽと希望するクラスのみでもよ、。

[0145] この場合、例えば、通常実行部でも復号ィ匕する機能部を備え、保護対象クラス一覧に乗って!/、な!/、暗号化されたクラスを復号化して実行する。

また、実施形態では、アプリケーションのクラスファイル名を載せることとしている力その他、 Java (登録商標)仮想マシン内のクラスライブラリに含まれるクラス名などを記載していてもよい。

[0146] また、実施形態では、クラス全体を暗号ィ匕している力クラス内のバイトコードのみを暗号ィ匕しておいても良い。この場合、バイトコードのみを保護実行部に送ることとしてちょい。

また、実施形態では、暗号鍵は 1つとして説明しているが、複数を使い分けても良い。例えば、保護対象クラス一覧に、使用する暗号鍵を特定できる情報を入れておき、その情報によって特定される暗号鍵でクラスを復号ィ匕するなどである。

(2)実施形態 1では、バイトコード分割フラグをメソッドのメタ情報内に用意したが、他の場所に作成しても良い。

[0147] たとえば、クラス情報構造情報にフラグを用意してもよい（図 12等参照)。

(3)実施形態 1、実施形態 2及び実施形態 3では、保護実行部で処理が必要なときだけに保護実行部に処理を依頼していたが、保護実行部で処理が必要でないときであつても保護実行部に処理を依頼し、保護実行部は何も処理を行わずに処理を通常実行部に返してもよい。

[0148] クラスの実行時に、必ず保護実行部に制御が移ることで、本当に保護したヽクラスの特定を困難にする効果がある。

なお、実施の形態では、実行する Java (登録商標）アプリケーションや仮想マシンを通常実行部のメモリにおいておき、そのクラスファイルをロードするときに、保護実行部で実行すべきバイトコードである力否かを判別していた力予め、第 2ROMに、保護すべきバイトコードを記憶しておき、実行時に第 2RAMにロードしてもよい。この場合、メタ情報とバイトコードを対応付ける情報、例えば、 IDは、予め設定しておく必要がある。

(4)実施形態 1及び実施形態 2では、実行装置 100の第 1CPU1900と、保護実行部 2000の第 2CPU2900とは、物理的に異なる CPUであるとしている力物理的に 1つの CPU力動作モードを切り替えるなどの方法で仮想的に 2つの CPUのように振舞うこととしてもよい。また、マルチコア CPUのように、 1つの CPUパッケージのなかに複数の CPUコアを持つ CPUでは、そのうちの特定のコアを第 2CPUとして動作させてちょい。

[0149] また、実施形態では、通常実行部 1000と保護実行部 2000とにそれぞれ、 RAM および ROMを持つこととしているが、 1つの RAMを仮想的に 2つの RAMとして扱つてもよい。同様に、 1つの ROMを仮想的に 2つの ROMとして扱ってもよい。さらに、保護実行部 2000内の ROMは第 2CPU2900に混載されていてもよい。

(5)実施形態では、実行装置 100で実行するアプリケーションは、アプリ取得プロダラム 1010力インターネット上にあるサーバから、ダウンロードしたものであるが、ほかの方法で取得したアプリケーションであってもよい。

[0150] 例えば、デジタル放送のデータ放送として、 MPEG (Moving Picture Coding Expert s Group) 2トランスポートストリーム内に埋め込まれ^ Java (登録商標）アプリケーションであってもよい。

この場合、アプリ取得プログラム 1010は、トランスポートストリーム内に埋め込まれた Java (登録商標）アプリケーションを実行装置 100内に読み出すプログラムとなる。

[0151] MPEG2トランスポートストリームに Java (登録商標）プログラムを埋め込む方法としては、例えば、 DSMCC方式がある。 DSMCC方式とは、 MPEG2トランスポートストリームのパケットの中に、コンピュータで使用されているディレクトリやファイルで構成されるファイルシステムをエンコードする方法である（MPEG規格書 ISOZIEC1381 81— 1、 MPEG規格書 ISOZIEC138181— 6参照）。

[0152] またさらに、実行装置 100で実行するアプリケーションは、 SDカード（Secure Digital memory card)、 CD— ROM (Compact Disk Read Only Memory;、 DVD (Digital Ve rsatile Disk)、 Blu—RayDisc等に記録され^ Java (登録商標）アプリケーションであつてもよい。

この場合、アプリ取得プログラム 1010は、これらの記録媒体力もアプリケーションを読み出すプログラムとなる。

[0153] また、実行装置 100で実行するアプリケーションは、実行装置 100内にある ROMなどに記録され ava (登録商標）アプリケーションであってもよ!/、。

この場合、アプリ取得プログラム 1400は、 ROM力も作業メモリに、 Java (登録商標）アプリケーションを読み出すプログラムとなる。

さらに、近年、デジタル TVや携帯電話などの電子機器では、 Java (登録商標)言語で記述されたプログラムをダウンロードし、実行する機能を搭載するものが増加してヽる。例えば携帯電話では、 NTT DoCoMoが i—アプリと呼ばれるサービスを提供している。このサービスは、携帯電話端末力インターネット上にあるアプリケーション配信サーバから Java (登録商標)プログラムをダウンロードして、端末上で実行する。また、欧州では、 DVB— MHP (Digital Video Broadcasting - Multimedia Ho me Platform)と呼ばれる仕様が策定され、既に仕様に準拠した運用が開始されている。 DVB— MHP規格に基づくデジタル放送では、放送波に多重化され^ Java ( 登録商標)プログラムをデジタル TVが受信し、それを実行する。

[0154] この場合、アプリ取得プログラム 1010は、 TLS (Transport Layer Security)、 HTT P (Hypertext Transfer Protocol)等のプロトコルに従い Java (登録商標）アプリケーシヨンをダウンロードする機能を有するプログラムとなる。

ここで、 TLSは暗号ィヒにより通信時のデータの盗聴、改竄を防ぐデータ転送方式である（RFC2246参照）。また、 HTTPは、インターネット上のデータ通信で一般的に用いられて、るデータ転送方式である（RFC2616参照）。

[0155] 尚、 RFC (Request For Comments)とは、インターネット上の技術を規格化する IET F (Internet Engineering Task Force)の公式文書であり、プロトコルなど様々な技術の使用がまとめられているものである。

(6)本実施形態では、アプリ取得プログラム 1010など ^Java (登録商標）言語で記述され^ Java (登録商標）プログラムなどの他、ネイティブ言語で記述されたプロダラムゃ、ハードウェアで実現されていてもよい。

[0156] また、仮想マシンで実行するアプリケーションは、 Java (登録商標）言語で記述されたものに限らず、 C+ +などの他のオブジェクト指向言語で記述されたものであってもよい。また、 Java (登録商標)仮想マシン自体も、オブジェクト指向言語で記述されても、非オブジェクト指向言語で記述されてもよい。

(7)実施形態の保護実行部 2000は、例えば、 ARM社の TrustZone (登録商標）技術を使うことで実現することができる。

[0157] TrustZone (登録商標）技術では、 RAMや ROMなどのハードウェア資源の一部をセキュアドメインと呼ばれる仮想的に実行環境に割り当てることができる。セキュアドメインに割り当てられた RAMや ROMは、セキュアドメインで動作するプログラムのみが利用可能であり、セキュアドメイン以外で動作するプログラムからは一切利用することができない。

[0158] 従来の CPUでは、アプリケーションが動作する通常モードと OSなどが動作する特権モードの 2種類のモードを持ち、通常モードで動作するプログラムからは特権モードで動作するプログラムを改ざんすることができないようになつている。

TrustZone (登録商標）技術では、さらに、モニターモードと呼ばれる特殊なモードが新しく用意される。モニターモードへは、 CPUが用意する特殊な命令を実行することで遷移することができる。モニターモードで CPUが動作するときには、 S— bitと呼ばれるセキュリティ情報が RAMや ROMなどの周辺ハードに通知される。 TrustZon e (登録商標）技術に対応した RAMや ROMは、 S— bitが通知された場合に限り、セキュアドメインに割り当てられた領域へのデータの読み書きを許可するように構成されて、る。またセキュアドメインに割り当てられて!/、な、領域へのデータへの読み書きは S— bitが通知されている力否かに関わらず読み書きを許可する。このように、安全な実行部はセキュアドメインにより実現することができる。

[0159] また、 Intel社の LaGrande技術でも、通常のアプリケーションや OSが動作するドメインと保護が必要なアプリケーションが動作するドメインを仮想的に分離するなど、 Tr ustZone (登録商標)技術と同様の機能を提供して、る。このような技術を使うことで安全な実行部を実現することができる。

(8)実施形態では、保護実行部 2000は、実行装置 100に内蔵されているものとしているが、実行装置 100から着脱可能なスマートカードや ICカードなどであることとしてもよい。このスマートカード、 ICカードはカード内部に CPUやメモリ、セキュリティ回路を含むものである。

[0160] 保護実行部 2000は、その全体をノヽードウエアにより実現してもよい。

この場合、第 1CPUと第 2CPU間のデータ通信は暗号ィ匕して行い、第 3者による盗聴を防ぐことが必要となる。具体的には、両 CPUを結ぶデータバスを介してデータを送信する際に、送信するデータを暗号化し、データを受信後に復号することで行われる。

(9)実施形態では、アプリケーションの実行環境プログラムとして、 Java (登録商標）仮想マシンを例に説明している力他の実行環境であってもよぐ OSであってもよい

[0161] また、更に、アプリケーションが実行環境プログラムに該当する場合には、そのアブリケーシヨン自体を秘匿するノイトコードの対象としてもよヽ。

(10)実施形態で示した実行装置の各機能を実現させる為の各制御処理 (図 4等参照）を CPUに実行させる為のプログラムを、記録媒体に記録し又は各種通信路等を介して、流通させ頒布することもできる。このような記録媒体には、 ICカード、光デイスク、フレキシブルディスク、 ROM,フラッシュメモリ等がある。流通、頒布されたプログラムは、機器における CPUで読み取り可能なメモリ等に格納されることにより利用に供され、その CPUがそのプログラムを実行することにより実施形態で示した実行装置の各機能が実現される。

(11)実行装置における保護実行部（2000、 6000、 8000)は典型的には集積回路である LSIとして実現される。これらは個別に 1チップ化されても良いし、一部又は全てを含むように 1チップィ匕されても良い。

[0162] ここでは、 LSIとした力集積度の違いにより、 IC、システム LSI、スーパー LSI、ゥノレ卜ラ LSIと呼称されることちある。

また、集積回路化の手法は LSIに限るものではなぐ専用回路又は汎用プロセサで実現してもよい。 LSI製造後に、プログラムすることが可能な FPGA (Field Programma ble Gate Array)や、 LSI内部の回路セルの接続や設定を再構成可能なリコンフィギユラブル'プロセッサーを利用しても良い。

[0163] さらには、半導体技術の進歩又は派生する別技術により LSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積ィ匕を行ってもよい。バイオ技術の適応等が可能性としてありえる。

産業上の利用可能性

[0164] 本発明に係るアプリケーションの実行装置は、アプリケーションの実行、解析に不可欠なノイトコードを、ハードウェアなどで実現された、盗聴、改竄が困難な保護実行部へと隠蔽することで、アプリケーションを実行時の盗聴、改竄力保護することができ、今後本格展開が予想されるアプリケーションのダウンロード配信ビジネスにお、て、コンテンツに発生する作成者の権利などを保護することができる。

Claims

請求の範囲

[1] オブジェクト指向言語で作成された、実行コードを含む 1以上のクラスを有するアブリケーシヨンプログラムを実行するプログラム実行装置であって、

それぞれメモリとプロセッサとを含む、第 1実行デバイスと耐タンパ性を有する第 2実行デバイスと、

前記クラスをロードする際に、当該クラスの実行コードを第 2実行デバイスのメモリにロードし、当該クラスの、第 2実行デバイスのメモリにロードした実行コード以外の部分を第 1実行デバイス内のメモリにロードするローダと

を備えることを特徴とするプログラム実行装置。

[2] 前記クラスの実行コードは、暗号化されており、

前記プログラム実行装置は、更に、暗号化されている情報を復号化する復号化手段を備え、

前記ローダは、暗号ィ匕されている実行コードを、前記復号ィ匕手段に復号ィ匕させ、復号化された実行コードを第 2実行デバイスのメモリにロードする

ことを特徴とする請求項 1記載のプログラム実行装置。

[3] 前記クラスは、暗号化されており、

前記第 1実行デバイスは、更に、クラスが暗号化されているカゝ否かを判断する判断する判断手段を備え、

前記第 2実行デバイスは、更に、自デバイス内のメモリに記憶する暗号ィ匕されているクラスを復号化する復号化手段を備え、

前記ローダは、前記第 1実行デバイスのプロセッサにより実行される第 1ローダと、前記第 2実行デバイスのプロセッサにより実行される第 2ローダとで構成され、前記第 1ローダは、前記判断手段にクラスが暗号化されているか否かを判断させ、暗号ィ匕されていないと判断されたクラスは、第 1デバイス内のメモリにロードし、暗号ィ匕されていると判断されたクラスは、第 2実行デバイスのメモリに記憶させ、

前記第 2ローダは、第 2実行デバイスのメモリに記憶された暗号化されて!/、るクラスを前記復号ィ匕手段に復号化させ、得られた復号化されたクラスの実行コードを第 2実行デバイスのメモリにロードし、当該復号化されたクラスの、第 2実行デバイスのメモリにロードした実行コード以外の部分を、当該実行コードと対応付けて第 1デバイス内のメモリにロードする

ことを特徴とする請求項 1記載のプログラム実行装置。

[4] 前記プログラム実行装置は、更に、クラスの実行を制御する制御手段を備え、前記制御手段は、第 1デバイスのメモリに記憶されているクラスを第 1デバイスのプ口セッサに実行させ、当該クラスの実行コードが第 1デバイスのメモリに記録されていない場合には、第 2デバイスのメモリに記憶されている対応する実行コードを第 2デバイスのプロセッサに実行させる

ことを特徴とする請求項 3記載のプログラム実行装置。

[5] オブジェクト指向言語で作成された、実行コードを含む 1以上のクラスを有するアブリケーシヨンプログラムを実行するプログラム実行装置に備えられた耐タンパ性を有する実行デバイスであって、

メモリと、プロセッサと、

前記メモリに記憶する暗号化されてヽるクラスを復号化する復号化手段と、前記メモリに記憶された暗号ィ匕されてヽるクラスを前記復号ィ匕手段に復号ィ匕させ、得られた復号ィ匕されたクラスの実行コードを前記メモリにロードし、当該復号化されたクラスの、前記メモリにロードした実行コード以外の部分を、当該実行コードと対応付けて自デバイス外のメモリにロードするローダと

を備えることを特徴とする実行デバイス。

[6] オブジェクト指向言語で作成された、実行コードを含む 1以上のクラスを有するアブリケーシヨンプログラムを実行するプログラム実行装置に備えられた、メモリとプロセッサとを有する耐タンパ性を有する実行デバイスに、ロード処理を行わせるためのコンピュータプログラムであって、

前記メモリに記憶する暗号化されてヽるクラスを復号化する復号化ステップと、前記メモリに記憶された暗号ィ匕されて、るクラスを前記復号化ステップで復号ィ匕し、得られた復号ィ匕されたクラスの実行コードを前記メモリにロードし、当該復号化されたクラスの、前記メモリにロードした実行コード以外の部分を、当該実行コードと対応付けて自デバイス外のメモリにロードするステップとを備えることを特徴とするコンピュータプログラム。

オブジェクト指向言語で作成された、実行コードを含む 1以上のクラスを有するアブリケーシヨンプログラムを実行するプログラム実行装置に備えられた耐タンパ性を有する集積回路であって、

メモリと、プロセッサと、

を備えることを特徴とする集積回路。