WO2011114621A1 - プログラム実行装置、情報処理方法、情報処理プログラム、記録媒体及び集積回路 - Google Patents

Abstract

　本発明は、高価なリソースを増やすことなく、ユーザプログラムの改竄をより確実に検出するプログラム実行装置を提供することを目的とする。プログラムスケジューリング手段１２１は、ユーザプログラム１０４が起動され実行可能状態となった場合に、起動プログラム情報記録手段１２２にユーザプログラムに係るプログラム情報を記録する。起動プログラム監視手段１１２は、プログラム情報が記録されるのを監視しており、ユーザプログラム１０４が改竄未検査である旨を改竄検出状態１１４に記録する。ユーザプログラム１０４が実行状態になるまでに、改竄検出状態１１４が改竄未検査を示している場合、改竄検出手段１０５に改竄を検出させる。

Description

プログラム実行装置、情報処理方法、情報処理プログラム、記録媒体及び集積回路

　本発明は、ユーザプログラムを実行するプログラム実行装置に関し、特に、ユーザプログラムの改竄を検出する技術に関する。

　近年、携帯端末等のプログラム実行装置に関し、プログラム実行装置の製造者により作成されたプログラム以外にも、コンテンツ提供者等により作成されたプログラム（ユーザプログラム）が、プログラム実行装置の出荷後にダウンロードされ実行される形態が増えている。プログラム実行装置には、種々の保護されるべき重要な情報（保護情報）が保持されており、認証等を受けた正規のユーザプログラムのみに保護情報の使用を許可することでセキュリティを確保している。特に、ユーザプログラムが改竄等されてしまうと保護情報が不正に使用され得るので、プログラム実行装置では、ユーザプログラムの改竄を検出し、改竄されているユーザプログラムには保護情報を扱わせないなどとして対策を行っている。

　ここで、保護情報をセキュアに処理する従来のプログラム実行装置の一例について具体的に説明する。プログラム実行装置は、通常のＯＳ（Ｏｐｅｒａｔｉｎｇ Ｓｙｓｔｅｍ）やプログラムが動作する通常モードと、特定のセキュアＯＳやセキュアプログラム、セキュアデバイスドライバ等が動作し、保護情報処理を行うセキュアモードとを搭載する（特許文献１、特許文献２参照）。通常モードでは、ブートコード、ＯＳ、改竄検査手段、保護情報処理受付手段及びユーザプログラムの各プログラムが動作し、セキュアモードでは、セキュアＯＳ及び保護情報処理手段の各プログラムが動作する。次に、これらプログラムの動作について説明する。プログラム実行装置に電源が投入されると、通常モードになりブートコードが起動される。ブートコードは、ＯＳ、改竄検査手段に改竄がないかチェックして改竄が無ければＯＳを起動し、改竄があれば起動を取りやめる。起動されたＯＳは改竄検査手段を起動し、改竄検査手段にユーザプログラムの改竄検査を要求する。

　改竄検査手段は、ユーザプログラムの改竄有無を検査しその結果をＯＳに通知する。ユーザプログラムに改竄が検出されなかった場合、ＯＳは、セキュアＯＳを介して改竄検出状態情報にプログラム改竄チェック済みである旨を記録した後、ユーザプログラムを起動する。ここで、改竄検出状態情報は、ユーザプログラムについて改竄チェック済みであるか否かを示し、セキュアモードにおいてのみ参照、書換可能な情報である。

　ユーザプログラムは、保護情報処理受付手段を介して保護情報処理手段に対し保護情報処理を依頼する。保護情報処理受付手段は、通常モードをセキュアモードに切り替える。セキュアモードにおいて、保護情報処理手段は、改竄検出状態情報を確認し、プログラム改竄チェック済み状態であった場合、保護情報処理を行い、保護情報処理の結果をユーザプログラムに通知する。以上のようにして、改竄検査が行われたユーザプログラムのみが起動することを保証している。

特開２００６－２２１６３１号公報 特開２００５－２２７９９５号公報

　しかしながら、上述のようにユーザプログラムの起動時に必ず改竄チェックを行うとしても、その改竄チェック後にユーザプログラムが改竄され得るという問題がある。すなわち、ユーザプログラムは、保護情報処理手段に保護情報処理を依頼すると、保護情報処理手段による保護情報処理が完了するまで待ち状態に入る。また、ユーザプログラムは、ハードディスクに対するデータ書き込み、読み出しをデバイスドライバに対し依頼する場合などにも、デバイスドライバによる入出力が完了するまで待ち状態に入る。このように待ち状態に入ったときに、主記憶メモリ中のユーザプログラムがハードディスクなどの記録媒体にスワップする場合があり、このスワップされたユーザプログラムに改竄が成され得る。改竄されたユーザプログラムが主記憶メモリに復帰すると、改竄されたユーザプログラムにより保護情報が扱われてしまう。

　また、入出力待ちになった場合にユーザプログラムをスワップはしないが、入出力が完了した時に、改めてユーザプログラムを主記憶メモリに再ロードするよう構成した場合、その再ロード前にユーザプログラムが改竄されてしまうと、改竄されたユーザプログラムが実行され、保護情報が扱われてしまうという問題が生じる。

　上記問題に鑑み、本発明は、ユーザプログラムの改竄をより確実に検出するプログラム実行装置を提供することを目的とする。

　上記課題を解決するために、本発明は、プログラムをセキュアに実行するプログラム実行装置であって、プログラムをＣＰＵ使用権の割り当て待ちにするスケジューリング手段と、前記プログラムの改竄を検査する改竄検査手段と、前記プログラムがＣＰＵ使用権の割り当て待ちになってからＣＰＵ使用権が割り当てられるまでに前記改竄検査手段に前記プログラムの改竄を検査させるプログラム監視手段とを備える。

　本発明のプログラム実行装置は、上述の構成を備えることにより、プログラムの実行終了までの間に、入出力待ちなどの原因によりＣＰＵ使用権が剥奪された場合であっても、次にＣＰＵ使用権の割り当て待ちになりＣＰＵ使用権が割り当てられるまでに必ず改竄検査を受けるので、プログラムの改竄をより確実に検出することができる。

本発明の一実施の形態に係るプログラム実行装置１の構成を示す図である。 本発明の一実施の形態に係る改竄検出装置１００のプログラム構成図である。 本発明の一実施の形態に係る改竄検出状態を示す図である。 本発明の一実施の形態に係る改竄検出装置において実行されるユーザプログラムの状態遷移を示す図である。 本発明の一実施の形態に係るプログラム毎のプロセス制御ブロックを記録するプロセス制御ブロックＤＢ（ＤａｔａＢａｓｅ）の一例を示す図である。 本発明の一実施の形態に係る実行可能待ち行列の一例を表す模式図である。 本発明の一実施の形態に係るプログラム実行手段によるＣＰＵ割り当てを変更する際のフローチャートである。 本発明の一実施の形態に係る改竄検出装置の起動から保護情報処理を行うまでの処理を示すフローチャートである。 本発明の一実施の形態に係る改竄検出装置の起動から保護情報処理を行うまでの処理を示すフローチャートである（図８の続き）。 本発明の一実施の形態に係る改竄検出装置の起動から保護情報処理を行うまでの処理を示すフローチャートである（図９の続き）。 本発明の一変形例に係るプログラム実行装置のプログラム構成図である。 本発明の一変形例に係るプログラム実行装置に適用されるプログラムの動作を示す図である。

　本発明の一実施態様であるプログラム実行装置は、プログラムをセキュアに実行するプログラム実行装置であって、プログラムをＣＰＵ使用権の割り当て待ちにするスケジューリング手段と、前記プログラムの改竄を検査する改竄検査手段と、前記プログラムがＣＰＵ使用権の割り当て待ちになってからＣＰＵ使用権が割り当てられるまでに前記改竄検査手段に前記プログラムの改竄を検査させるプログラム監視手段とを備える。

　また、前記プログラム監視手段は、前記プログラムの改竄状態を示す改竄情報を保持しており、前記プログラムがＣＰＵ使用権の割り当て待ちになったときに、前記改竄情報が改竄未検査を示すよう設定し、前記プログラムの改竄を検査したときに、前記改竄情報が改竄検査済みを示すよう設定するとしてもよい。

　この構成によれば、プログラム監視手段は、改竄情報を参照することで、プログラムがＣＰＵ割り当て待ちになったときに改竄未検査状態であることをより確実に把握できる。

　また、前記プログラム監視手段は、前記改竄情報に、前記改竄検出手段による改竄検査結果である改竄有無を設定することによって前記改竄情報が改竄検査済みを示すよう設定し、前記プログラム実行装置は、前記改竄情報が改竄無を示す場合に前記プログラムを実行することとしてもよい。

　この構成によれば、改竄情報を参照することで、改竄未検査であるか否かに加え、そのプログラムについての改竄の有無を把握できるので、改竄の無い安全なプログラムのみ実行し、自装置のセキュリティを確保することができる。

　また、前記プログラム実行装置は、さらに、保護された情報をセキュアに処理する保護情報処理手段を備えており、前記プログラムは、前記セキュアな処理を前記保護情報処理手段に要求し、前記保護情報処理手段は、前記改竄情報が改竄未検査を示す場合、前記保護された情報に対するセキュアな処理の実行を抑止することとしてもよい。

　この構成によれば、前記保護情報処理手段は、改竄情報を参照することにより、プログラムが改竄未検査であるか否かを把握でき、改竄未検査であるプログラムからの要求に対するセキュアな処理の実行を抑止でき、自装置のセキュリティを確保することができる。

　また、前記保護情報処理手段は、前記プログラム監視手段に対し、前記プログラムの改竄検査を要求し、前記プログラム監視手段は、前記改竄情報が改竄未検査を示すよう設定された後、前記要求があったときに、前記プログラムについての前記改竄検査手段を用いた改竄の検査を行うこととしてもよい。

　この構成によれば、前記プログラム監視手段は、前記改竄情報が改竄未検査を示すよう設定された後、前記保護情報処理手段により保護情報処理が行われる前に必ず改竄検査をするので、改竄未検査であるプログラムにより保護情報処理の結果が用いられるのを防ぐことができ、自装置のセキュリティを確保することができる。

　また、前記プログラム実行装置は、さらに、前記保護された情報に関する処理が禁止された通常モードと、前記保護された情報に関する処理が許可され、前記通常モードにおいて動作するプログラムから保護されたセキュアモードとを備えており、前記プログラム監視手段と保護情報処理手段はセキュアモード上で実行されることとしてもよい。

　この構成によれば、前記プログラム監視手段と前記保護情報処理手段を、ＬＳＩ内のオンチップメモリ等、一般的に高価なリソースを用いるセキュアモードで動作させ、前記プログラム、前記改竄検査手段は通常モードで動作させるので、プログラムや改竄検出手段についてもセキュアモードで動作させる場合に比べ、コストを低減することができるとともに、セキュアモード上のプログラムの復号や署名検証に多くの時間を費やすことによるプログラム実行装置の全体的な処理性能低下を避けることができる。さらに、全てセキュアモードで動作させるとした場合、ユーザによって自由に作成またはダウンロードできるプログラムについて保護情報処理を一切禁止する必要があるが、本構成ではこれを避けることができ、結果として、プログラム実行装置において拡張性が損なわれるのを避けることができる。

　また、前記プログラム監視手段と前記保護情報処理手段をセキュアモード上で実行することにより、通常モードで動作させる場合に比べ、自装置のセキュリティをより強固にすることができる。

　また、前記プログラム実行装置は、さらに、読み出し専用の記憶領域を備え、前記読み出し専用の記憶領域には、プログラム実行装置の電源が投入されたときに最初に実行されるブートコードが記録されており、前記ブートコードが、前記スケジューリング手段、前記プログラム監視手段及び前記保護情報処理手段の改竄を検出することとしてもよい。

　この構成によれば、改竄されないブートコードにより、前記スケジューリング手段、前記プログラム監視手段及び前記保護情報処理手段の改竄をより確実に検出することができる。

　また、前記プログラムは、実行開始時にＣＰＵ使用権の割り当てを待つ実行可能状態となり、実行開始から実行終了までの間、前記実行可能状態と、ＣＰＵ使用権が割り当てられている実行状態と、プログラムが実行可能となるための条件が揃うのを待つ待ち状態との３つの状態を遷移し、前記プログラム監視手段は、前記スケジューリング手段が前記プログラムを前記待ち状態から前記実行可能状態に遷移させるのを検出し、その後前記プログラムにＣＰＵ使用権が割り当てられるまでに前記改竄検査手段に前記プログラムの改竄を検査させることとしてもよい。

　この構成によれば、プログラムの実行終了までの間に、入出力待ちなどの原因によりＣＰＵ使用権が剥奪された場合であっても、前記プログラムが前記待ち状態から前記実行可能状態に遷移された場合に改竄検査を行うので、プログラムの改竄をより確実に検出することができる。

　また、前記プログラム監視手段は、前記プログラムが前記待ち状態から前記実行可能状態に遷移する毎に改竄情報を生成し、前記改竄情報が改竄未検査を示すよう設定し、前記プログラムが待ち状態に遷移した場合に前記改竄情報を削除することとしてもよい。

　この構成によれば、前記プログラムが前記実行可能状態及び前記実行状態の場合にのみ改竄情報を記憶するので、使用する記憶領域のサイズを低減できる。

　また、前記プログラム監視手段は、前記プログラムが起動されたときに前記改竄情報を生成し、前記改竄情報が改竄未検査を示すよう設定することとしてもよい。

　この構成によれば、改竄検出の頻度を下げ、プログラム実行装置全体として処理性能の低下を防ぐことができる。

　また、前記プログラム監視手段は、さらに、一定時間毎に前記プログラムの改竄情報を削除することとしてもよい。

　この構成によれば、前記改竄情報についての問い合わせが前記プログラムの終了をまたがっており、プログラム終了からプログラム起動の間に改竄があったとしても、それを検出することができる。

　また、前記スケジューリング手段及び前記改竄検査手段はコンピュータプログラムに従ってＣＰＵが動作することにより実現され、前記スケジューリング手段と、前記改竄検査手段のうち少なくとも１つは主記憶メモリに読み出し専用属性でロードされ常駐することとしてもよい。

　また、前記スケジューリング手段及び前記改竄検査手段はコンピュータプログラムであり、前記スケジューリング手段と、前記改竄検査手段のうち少なくとも１つは主記憶メモリにおけるスワップされない領域にロードされることとしてもよい。

　この構成によれば、前記スケジューリング手段及び前記改竄検査手段のうち少なくとも１つを改竄されることなくセキュアに実行することができる。

　また、前記プログラムには、前記プログラムの識別情報が付随し、前記スケジューリング手段は、実行可能待ち行列を備えており、前記識別情報を前記実行可能待ち行列に加えることによって、前記プログラムをＣＰＵ使用権の割り当て待ちにすることとしてもよい。

　この構成によれば、ＣＰＵ使用権の割り当て待ちを、ＯＳに備わっていることの多い実行可能待ち行列を監視することで容易に検出できる。

　また、前記スケジューリング手段は、プログラムに関する情報を記録するプロセス制御ブロックに、前記プログラムに係る情報を追加することで、前記プログラムをＣＰＵ使用権の割り当て待ちにすることとしてもよい。

　この構成によれば、ＣＰＵ使用権の割り当て待ちを、ＯＳに備わっていることの多いプロセス制御ブロックを監視することで容易に検出できる。

　また、前記プログラムは、自身の改竄検出をプログラム監視手段に依頼し、前記プログラム監視手段は、前記プログラムについての改竄の検査を、前記依頼を受けてから前記セキュアな処理の実行前に行うこととしてもよい。

　この構成によれば、前記改竄検査のタイミングを、さらにプログラム側でも決定することができる。

　また、前記改竄検査手段は、改竄有無の判断に必要な情報を前記プログラム監視手段から参照可能な領域に配置し、前記プログラム監視手段は、前記改竄有無の判断に必要な情報を元に前記プログラムが改竄されたか否かを判断することとしてもよい。

　この構成によれば、前記プログラムが改竄されたか否かの判定結果自体を、前記プログラム監視手段と前記改竄検査手段との間等で受け渡す必要が無いので、前記判定結果を前記プログラム監視手段内に留めるなどセキュアに維持することができる。

　本発明の一実施形態である情報処理方法は、プログラムをセキュアに実行する情報処理方法であって、プログラムをＣＰＵ使用権の割り当て待ちにする起動ステップと、前記プログラムがＣＰＵ使用権の割り当て待ちになってからＣＰＵ使用権が割り当てられるまでに、前記プログラムの改竄を検査するプログラム監視ステップとを含む。

　本発明の一実施形態である情報処理プログラムは、プログラムをセキュアに実行する情報処理プログラムであって、プログラムをＣＰＵ使用権の割り当て待ちにする起動ステップと、前記プログラムがＣＰＵ使用権の割り当て待ちになってからＣＰＵ使用権が割り当てられるまでに、前記プログラムの改竄を検査するプログラム監視ステップとを含む。

　本発明の一実施形態である記録媒体は、プログラムをセキュアに実行する情報処理プログラムを記録している、コンピュータ読み取り可能な記録媒体であって、前記情報処理プログラムは、プログラムをＣＰＵ使用権の割り当て待ちにする起動ステップと、前記プログラムがＣＰＵ使用権の割り当て待ちになってからＣＰＵ使用権が割り当てられるまでに、前記プログラムの改竄を検査するプログラム監視ステップとを含む。

　本発明の一実施形態である集積回路は、プログラムをセキュアに実行する集積回路であって、プログラムをＣＰＵ使用権の割り当て待ちにするスケジューリング手段と、前記プログラムの改竄を検査する改竄検査手段と、前記スケジューリング手段を監視し、前記プログラムがＣＰＵ使用権の割り当て待ちになってからＣＰＵ使用権が割り当てられるまでに前記改竄検査手段を用いて前記プログラムの改竄を検査するプログラム監視手段とを備える。

　この構成によれば、プログラムの実行終了までの間に、入出力待ちなどの原因によりＣＰＵ使用権が剥奪された場合であっても、次にＣＰＵ使用権の割り当て待ちになりＣＰＵ使用権が割り当てられるまでに必ず改竄検査を受けるので、プログラムの改竄をより確実に検出することができる。

 
　以下本発明の実施の形態について、図面を参照しながら説明する。

　１．実施の形態１
　図１は、本発明の一実施の形態に係るプログラム実行装置１の構成を示す図である。

　プログラム実行装置１は、プログラム２をＣＰＵ使用権の割り当て待ちにするスケジューリング手段３と、プログラム２の改竄を検査する改竄検査手段４と、プログラム監視手段５とから構成される。プログラム監視手段５は、スケジューリング手段３を監視し、プログラム２がＣＰＵ使用権の割り当て待ちになってからＣＰＵ使用権が割り当てられるまでに改竄検査手段４を用いてプログラム２の改竄を検査する。

　この構成により、プログラム２にＣＰＵ使用権が割り当てられるにあたり、必ず改竄検査を行うことができる。プログラム２の実行中に、入出力待ちなどによりプログラム２が待ち状態へと遷移し、この時にプログラム２がハードディスク等へスワップするような場合がある。そして、スワップしたプログラム２が改竄された場合であっても、スワップしたプログラム２が主記憶メモリにロードされるときにＣＰＵ使用権の割り当て待ちになる。しかし、ＣＰＵ使用権の割り当て待ちになってからＣＰＵ使用権が実際に割り当てられるまでに必ず改竄検査がなされるので、プログラム２について成された改竄を検出することができる。

　２．実施の形態２
　上述の実施形態におけるプログラム実行装置１についてより具体的に説明する。本実施の形態では、プログラム実行装置１としての改竄検出装置１００を例に説明する。

　改竄検出装置１００は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）マイクロプロセッサ、ハードディスク、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、フラッシュメモリ等の不揮発メモリ、ＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ）、ディスプレイユニット及びキーパッドなどから構成されるコンピュータシステムである。前記ＲＯＭ又は前記ハードディスクユニットには、コンピュータプログラムが記憶されており、ＲＡＭ上に読み出されたコンピュータプログラムに従ってＣＰＵが動作することにより、改竄検出装置１００はその機能を達成する。ＬＳＩ内には、特に改竄から保護が必要な情報などを記憶するために、記録内容の改竄が不可能なオンチップメモリ（セキュアメモリ）等を備えている。

　改竄検出装置１００は、具体的には、携帯電話機、Ａｎｄｒｏｉｄ（登録商標）及びｉＰｈｏｎｅ（登録商標）等のような携帯情報端末である。

　また、改竄検出装置１００は、テレビ、レコーダ、プレーヤー等のＡＶ機器、デジタルカメラ、ＦＡＸ等の通信機器といった情報処理装置である。

　図２は、本実施の形態における改竄検出装置１００のプログラム構成図である。

　改竄検出装置１００は、プログラムを改竄等から保護してセキュアに動作させるセキュアモードと、セキュアに動作させる必要のないプログラムを動作させる通常モードの２モードを備える。セキュアモードで動作するプログラムは、セキュアメモリに配置されるため信頼性が高く、通常モードで動作するプログラムには許可されない、保護された情報に関する処理が許可される。また、セキュアモードで動作するプログラムは、ある秘密鍵によって暗号化や署名付与等がなされており、特定の開発者のみ作成が許可されている。

　改竄検出装置１００は、図２に示すように、通常モードで動作するブートコード１０１、ＯＳ（Ｏｐｅｒａｔｉｎｇ Ｓｙｓｔｅｍ）１０２、保護情報処理受付手段１０３、ユーザプログラム１０４・・・などユーザプログラム及び改竄検出手段１０５並びにセキュアモードで動作するセキュアＯＳ１１０、保護情報処理手段１１１及び起動プログラム監視手段１１２を含む。改竄検出手段１０５は、上述の改竄検査手段４に対応し、起動プログラム監視手段１１２が上述のプログラム監視手段５に対応する。また、ユーザプログラム１０４・・・が上述のプログラム２に対応する。

　改竄検出状態１１４は、セキュアメモリに記録される情報であり、各プログラムについての改竄状態（改竄未チェック、改竄有及び改竄無の別）を示す。改竄検出状態１１４は、ブートコード１０１及びセキュアモード上のプログラムからのみ書き換え可能であり、プログラムの起動可否の判定に用いられる。

　図３は、改竄検出状態１１４の一例を示す図である。

　改竄検出情報１１４は、具体的には、プログラムに係るプロセス毎の識別子であるＰＩＤと、そのプログラムの改竄状態の組のリストである。例えば、図３の場合、ＰＩＤが１０２であるプログラムの改竄状態は、改竄無である。

　ブートコード１０１は、改竄検出装置１００の電源がＯＮされたとき最初に実行されるプログラムであり、書き換え不可能なＲＯＭ領域に記録されている。ブートコード１０１は、信頼を要するプログラムであるＯＳ１０２、改竄検出手段１０５、セキュアＯＳ１１０、保護情報処理手段１１１及び起動プログラム監視手段１１２等の改竄を検査する。改竄が検出された場合、改竄検出装置１００の起動を停止又は機能制限するなど必要な処理を行う。改竄が検出されなかった場合、ブートコード１０１は、改竄検出状態１１４に、ＯＳの改竄状態として「改竄無」と記録し、ＯＳ１０２を起動する。ここで、ブートコード１０１は、書き換え不可能な信頼性の高いプログラムであるので、改竄検出状態１１４を例外的に書き換え可能としている。

　ＯＳ１０２は、オペレーティングシステムであり、改竄検出手段１０５を起動し、ユーザプログラム１０４を起動する。ここでは、ＯＳ１０２は、一例としてLinux（登録商標）とするが、同様な機能を有する他のＯＳでもよい。ＯＳ１０２は、プログラム起動手段１２１、起動プログラム情報記録手段１２２、プログラム実行手段１２３及びファイルシステム１２４を含む。

　プログラム起動手段１２１は、他のプログラム等からあるプログラムの起動要求を受け付けて、プログラム情報を生成及び初期化し、起動プログラム情報記録手段１２２に通知する。本実施の形態では、プログラム情報は、後述する実行可能待ち行列に登録されるプログラムの識別子（ＰＩＤ）を含む。プログラム起動手段１２１は、一例としてｆｏｒｋシステムコールとするが、他のプログラム等でもよい。

　起動プログラム情報記録手段１２２は、プログラム起動手段１２１から通知されたプログラム情報を記録する。また、ＯＳ１０２等の信頼できる特定のプログラムからプログラム情報の変更要求を受け、変更要求に従ってプログラム情報を変更し、削除要求を受け、削除する。

　プログラム実行手段１２３は、起動プログラム情報記録手段１２２に記録されたプログラム情報に従ってプログラムを実行する。プログラム実行手段１２３の一例には、ＣＰＵスケジューリングを実施するＣＰＵスケジューラや、現在実行中のプロセスをプロセス制御ブロックに退避し、次に実行するプロセスのプロセス制御ブロックに従ってその実行するプロセスにＣＰＵを割り当てるディスパッチャ等がある。プログラム実行手段１２３は、上述のスケジューリング手段３に対応する。

　図４は、改竄検出装置１００において実行されるユーザプログラムの状態遷移図である。

　ユーザプログラムは、実行可能状態４０１、実行状態４０２及び待ち状態４０３の３つの状態を取り得る。ユーザプログラムは、プログラム起動手段１２１により起動されたときに、まず実行可能状態４０１に設定される。実行可能状態４０１は、ＣＰＵが割り当てられれば実行可能であることを表す状態である。ここで、プログラム実行手段１２２によってＣＰＵが割り当てられると、プログラムが実際に実行されている状態である実行状態４０２に遷移する。そして、実行状態４０２において、プログラムに割り当てられたＣＰＵを使用できる時間を使い果たしたときや、より優先度の高い他のプログラムが実行可能状態４０１になったとき等に、実行可能状態４０１に遷移する。また、実行状態４０２のプログラムは、ファイルアクセス等の入出力待ちが発生したとき、他のプログラムと同期を取るため等によりイベント待ちが発生したとき、プログラム自身がスリープしＣＰＵ割り当てを放棄したとき等に、待ち状態４０３に遷移する。待ち状態４０３のプログラムは、プログラムが待っている入出力完了やイベント等が発生した場合に、待ち状態４０３から実行可能状態４０１に遷移する。待ち状態４０３のプログラムは、実行可能状態４０１に遷移するまでＣＰＵが割り当てられることはない。

　プログラムが、実行可能状態４０１、実行状態４０２及び待ち状態４０３の３つのうちいずれの状態であるかはプロセス制御ブロックに記録される。ＯＳ１０２がLinuxである場合、プロセス制御ブロックはtask_struct構造体等で表現される。

　図５は、プログラム毎のプロセス制御ブロックを記録するプロセス制御ブロックＤＢ５００の一例を表す図である。

　プロセス制御ブロックＤＢ５００の各行（プロセス制御ブロック）が１つのプログラムに対応しており、プロセス制御ブロックは、プログラムＩＤ５０１、ＣＰＵ退避情報５０２、状態５０３、優先度５０４、ＣＰＵ残り時間５０５及び資源情報５０６を含んで構成される。なお、本実施の形態では、１個のプロセスに係る情報をプロセス制御ブロックと称しているが、一般的に、本実施の形態におけるプロセス制御ブロックＤＢ５００相当の情報をプロセス制御ブロックと称する場合もある。

　プログラムＩＤ５０１は、プログラム毎に割り当てられる固有の識別子であり、プログラムを識別するために使用される。

　状態５０３は、プログラムが上述の状態遷移に係る実行可能状態４０１、実行状態４０２及び待ち状態４０３のいずれであるかを示す。本実施の形態では、実行可能状態４０１と実行状態４０２を区別せずに「実行可能」と表現しており、状態５０３は、「実行可能」「待ち状態」のいずれかが設定される。なお、状態５０３において、実行可能状態４０１と実行状態４０２とを区別して表現してもよい。

　ＣＰＵ退避情報５０２は、実行状態４０２のプログラムが他の状態に遷移する際、遷移前の状態から処理を再開するために用いられる情報であり、遷移時のＣＰＵレジスタの内容等が保存される。

　優先度５０４は、プログラムを実行する場合の優先度を示し、具体的には、「高」「中」「低」のいずれかが設定される。優先度５０４は、プログラム実行手段１２２が実行可能待ち行列から次に実行するプログラムを決定する際に使用され、優先度が「高」のものを始めとして「中」「低」の順に選択される。優先度５０４は、プログラム毎に固定ではなく、プログラムの性質や状況等に応じてＯＳ１０２により変更される。

　ＣＰＵ残り時間５０５は、プログラムがＣＰＵに割り当てられ実行される残り時間を示す。ＣＰＵ残り時間５０５には、実行状態４０２に移行しＣＰＵが割り当てられる際に初期値として所定時間が設定される。そして、プログラムがＣＰＵを使用している間、その使用した時間分だけＣＰＵ残り時間５０５が減算されていく。ＣＰＵ残り時間５０５の値が０になったときにプログラムは実行状態４０２から実行可能状態４０１に遷移し、後述する実行可能待ち行列の該当する優先度付きキューの後尾に追加される。このとき、後述するＣＰＵ残り時間５０５を使い切ったプログラム用の有効期限切れ実行可能待ち行列に登録されることとしてもよい。

　資源情報５０６は、プログラムが使用しているメモリやファイル等の資源を表す情報であり、これら資源の参照時や、プログラム終了時に資源を解放する際などに使用される。資源情報５０６は、具体的には、プログラムの実体やデータ、スタック等が配置されているアドレス、オープン中であるファイルのファイルディスクリプタなどを含む。

　各プロセス制御ブロックは、親プログラムＩＤやグループＩＤ等の情報をも含むが、本発明の実施形態の説明に関連しない事項なので説明は省略する。

　実行可能待ち行列６００は、実行可能状態４０１のプログラムのＰＩＤが優先度毎に設けられたキューに先入れ先出し方式でキューイングされる。ＯＳ１０２がＬｉｎｕｘである場合、実行可能待ち行列はＲＵＮキューと呼ばれるデータ構造で表現される。

　図６は、実行可能待ち行列６００の一例を表す模式図である。

　実行可能待ち行列６００は、優先度５０４が「高」であるプログラムに対応する高優先度キュー６０１、優先度５０４が「中」のプログラムに対応する中優先度キュー６０２、及び優先度５０４が「低」のプログラムに対応する低優先度キュー６０３から構成される。各キューは図面に向かって右端が先頭、左端が後尾を表し、同一のキューに記録されているプログラムは、キューの先頭に記録されたＰＩＤに係るプログラムから順にＣＰＵが割り当てられ実行される。また、異なる優先度のキューにＰＩＤが記録されている場合、優先度の高いキューにＰＩＤが記録されているプログラムから先にＣＰＵが割り当てられて実行される。

　プログラムが、図４における待ち状態４０３から実行可能状態４０１になった場合に、そのプログラムの優先度に応じたキューにそのプログラムのＰＩＤがキューイングされる。プログラムが待ち状態４０３になった場合に、実行可能待ち行列６００からＰＩＤが削除され、次にキューの先頭となるＰＩＤに係るプログラムが実行状態４０２になる。

　また、プログラムが実行状態４０２から実行可能状態４０１になった場合には、そのプログラムのＰＩＤは、キューイングされていた実行可能待ち行列６００から削除されて、その実行可能待ち行列６００の最後尾に記録される。

　図７は、プログラム実行手段１２２が、プログラムへのＣＰＵの割り当てを変更する処理の手順を示すフローチャートである。ここでは、説明の便宜上、あるプログラムにＣＰＵが割り当てられている状態から開始する。この状態において、プログラム実行手段１２２は、現在ＣＰＵが割り当てられているプログラムが実行状態４０２から実行可能状態４０１あるいは待ち状態４０３に遷移するのを待つ（Ｓ１）。実行可能状態或いは待ち状態に遷移する場合には、遷移するプログラムのＣＰＵレジスタの内容等をプロセス制御ブロック５００のＣＰＵ退避情報５０２に退避する（Ｓ２）。そして、プログラム実行手段１２２は、実行可能待ち行列６００のいずれかの優先度付きキューにＰＩＤが記録されているか否か判定し（Ｓ３）、記録されていない場合（Ｓ３：Ｙ）にはＰＩＤが追加されるのを待つ。ＰＩＤが記録されている場合、プログラム実行手段１２２は、高優先度キュー６０１が空でなければ（Ｓ４：Ｎ）、高優先度キュー６０１の先頭の要素（ＰＩＤ）を取得し、取得した要素をキューから削除する（Ｓ５）。高優先度キュー６０１が空の場合（Ｓ４：Ｙ）、プログラム実行手段１２２は、中優先度キュー６０２が空でなければ（Ｓ６：Ｎ）、中優先度キュー６０２の先頭の要素を取得し、取得した要素をキューから削除する（Ｓ７）。中優先度キュー６０２が空の場合（Ｓ６：Ｙ）、低優先度キュー６０３の先頭の要素を取得し、当該要素をキューから削除する（Ｓ８）。Ｓ９において、プログラム実行手段１２２は、Ｓ５、Ｓ７、Ｓ８のいずれかにおいて取得した要素に係るプログラムに対し、プロセス制御ブロック５００のＣＰＵ退避情報５０２等に従いＣＰＵを割り当てる。図６の場合であれば、高優先度キュー６０１の先頭に登録されているプログラムＩＤが１００の要素６０４が選択される。その後、プログラムＩＤが「１０３」「１０１」「１０４」「１０２」のプログラムの順に選択され、実行されていく。以上のように、プログラムがＣＰＵの割り当てを受けて実行するためには、必ず実行可能待ち行列６００のいずれかの優先度付きキューに追加される必要がある。

　なお、ここでは実行可能待ち行列６００の一例として優先度付きキューを挙げたが、単一のキューや他のデータ構造、アルゴリズムであっても構わない。

　なお、ここでは実行可能待ち行列６００が一組である例を示したが、例えばアクティブな実行待ち行列と有効期限切れ実行待ち行列とを用い、ＣＰＵ残り時間５０５を使い切ったプログラムは有効期限切れ実行待ち行列に登録され、アクティブな実行待ち行列が空になった場合、アクティブな実行待ち行列と有効期限切れ実行待ち行列を入れ替えることとしてもよい。こうすることで、低優先度のプログラムにも必ずＣＰＵが割り当てられることを保証し得る構成とすることができる。

　また、本実施の形態では、プログラム情報を実行可能待ち行列におけるＰＩＤとしたが、プログラムが実行されるタイミングを把握できる情報であればよく、例えば、プロセス制御ブロック等を用いてもよい。

　保護情報処理受付手段１０３は、通常モードとセキュアモードの切替を行い、保護情報処理手段１１１に対する処理の要求をユーザプログラム１０４等から受け付け、受け付けた処理をセキュアＯＳ１１０に依頼する。

　セキュアＯＳ１１０は、セキュアモードで動作するオペレーティングシステムである。セキュアＯＳ１１０は、保護情報処理受付手段１０３から保護情報処理手段１１１に対する処理要求を受け取り、保護情報処理手段１１１を呼び出す。処理要求には、要求元のプログラムを識別するＩＤが含まれるものとする。

　保護情報処理手段１１１は、セキュアＯＳ１１０を介してユーザプログラム１０４などからの保護情報処理の要求を受け取ると、改竄検出状態１１４に記録されている要求元のＰＩＤにより識別される改竄状態を確認し、改竄状態が改竄無を示す場合に保護情報処理を実行する。保護情報処理とは、例えば、鍵設定や権利情報操作、個人情報処理等である。そして、保護情報処理の実行結果を、要求元のプログラムにセキュアＯＳ１１０、保護情報処理受付手段１０３を介して通知する。

　起動プログラム監視手段１１２は、起動プログラム情報記録手段１２２に記録されたプログラム情報を監視し、また、改竄検出状態１１４を管理する。とりわけ、ＣＰＵの割り当てに必要な実行可能待ち行列を監視し、ＣＰＵが割り当てられるプログラムについて必ず改竄検出済みか否かを判定することになるため、改竄検出装置１００で動作するプログラムの改竄をより確実に検出することができる。

　ここで、改竄検出状態１１４について補足説明する。改竄検出状態１１４においては、実行可能待ち行列６００に登録されたプログラム毎に改竄情報を保持している。各プログラムが実行可能待ち行列６００に追加された際、起動プログラム監視手段１１２により改竄未チェックとした改竄情報が保持される。その後、改竄検出手段１０５により改竄が検出されなかったプログラムは、改竄情報が改竄無と更新され、改竄が検出されたプログラムは改竄情報が改竄有と更新される。また、実行可能待ち行列６００からプログラムに係るＰＩＤが削除されたとき、又はプログラムが終了しＯＳ１０２等からの要請に応じ起動プログラム情報記録手段１２２によりプロセス制御ブロック５００からプログラム情報が削除されたとき、改竄情報は、起動プログラム監視手段１１２により削除される。

　なお、プログラム毎の改竄情報を改竄検出状態１１４から削除するタイミングについて、当該プログラムが実行可能待ち行列６００から削除されたときとすると、プログラムが待ち状態４０３になる度に当該プログラムの改竄検出を行う必要があるため、改竄検出装置３００の応答性は悪化するが、一方でセキュリティ強度を上げることができる。例えば、改竄チェック済み状態のあるプログラムが、メモリからハードディスク等にスワップアウトされ、スワップアウト先で改竄された場合、一般にスワッピングスケジューリングよりもＣＰＵスケジューリングの方が周期が短いため、スワップアウト先での改竄を検出できるようになる。

　次に、改竄検出装置１００の起動から保護情報処理を行うまでの処理の流れについて図８、９、１０を用いて説明する。

　まず、改竄検出装置１００に電源が投入されると、ブートコード１０１が起動し、ＯＳ１０２、保護情報処理受付手段１０３及び改竄検出手段１０５の改竄を検出する（Ｓ２１）。改竄が検出された場合には（Ｓ２２：Ｙ）、改竄検出装置１００における改竄によりセキュリティが脅かされる処理を停止したり、改竄から復旧する処理以外の処理を終了するなどにより改竄への対応を行う。

　改竄が検出されなかった場合（Ｓ２２：Ｎ）、ブートコード１０１は、ＯＳ１０２、保護情報処理受付手段１０３を起動し（Ｓ２３）、ブートコード１０１は処理を終了する（Ｓ２４）。

　次に、ＯＳ１０２が、ユーザプログラム１０４などユーザプログラムを起動する（Ｓ２５）。そして、ユーザプログラム１０４が実行可能待ち行列に追加されるまで待つ（Ｓ２６：Ｎ）。このとき、保護情報処理を必要としないユーザプログラム等は、並行して実行されるものとする。ユーザプログラム１０４が実行可能待ち行列に追加された場合（Ｓ２６：Ｙ）、保護情報処理受付手段１０３がセキュアモードへの切り替えを行い（Ｓ２７）、起動プログラム監視手段１１２が、ユーザプログラム１０４のＰＩＤと、「改竄未チェック」を示す改竄状態とを改竄検出状態１１４に記録する（Ｓ２８）。

　そして、起動プログラム監視手段１１２は、保護情報処理受付手段１０３を用いて通常モードへの切り替えを行う（Ｓ２９）。

　次に、ユーザプログラム１０４により保護情報処理受付手段１０３に保護情報処理が依頼されるか（Ｓ３０）、ユーザプログラムのＰＩＤが実行可能待ち行列から削除される（Ｓ４１）のを待つ（Ｓ３０：Ｎ及びＳ４１：Ｎ）。

　ユーザプログラムのＰＩＤが実行可能待ち行列から削除された場合（Ｓ４１：Ｙ）、そのプログラムの改竄状態を削除し（Ｓ４２）、Ｓ２６に移行する。

　ユーザプログラム１０４により保護情報処理受付手段１０３に保護情報処理が依頼された場合（Ｓ３０：Ｙ）、保護情報処理受付手段１０３がセキュアモードへ切り替える（Ｓ４４）。そして、保護情報処理手段１１１は、保護情報処理を依頼したユーザプログラム１０４び改竄情報を起動プログラム監視手段１１２に問い合わせる（Ｓ４５）。起動プログラム監視手段１１２は、保護情報処理手段１１１から問い合わせのあったユーザプログラム１０４の改竄検出状態１１４における改竄情報を確認し（Ｓ４６）、改竄未チェックであれば（Ｓ４７：Ｙ）、改竄検出手段１０５へのユーザプログラム１０４に係る改竄検出情報の要求を、セキュアＯＳ１１０を介し、保護情報処理受付手段１０３に通知する（Ｓ４８）。保護情報処理受付手段１０３は、通常モードへの切り替えを行う（Ｓ４９）。

　改竄検出手段１０５は、ユーザプログラム１０４が改竄されているかどうかを判断するのに必要な改竄検出情報を生成し、保護情報処理受付手段１０３に通知する（Ｓ６１）。改竄検出情報は、一例として、不揮発メモリ１０６に記録されたユーザプログラム１０４の実行コードを入力とし、既定のハッシュ値計算や暗号化、署名計算等を行った結果とする。

　保護情報処理受付手段１０３は、セキュアモードへの切り替えを行う（Ｓ６２）。

　次に、起動プログラム監視手段１１２は、改竄検出情報を受け取り、予め信頼性の高い環境にて生成された期待値と一致するかどうかにより改竄有無を判断し（Ｓ６３）、判断結果（改竄有／改竄無）を改竄検出状態１１４における改竄情報に反映し（Ｓ６４）、保護情報処理手段１１１に通知する。なお、改竄検出は他の方法で行ってもよい。例えば不揮発メモリ１０６上ではなく、ＲＡＭ上に展開されたプログラムの実行コードを入力としてもよい。また、ハッシュ値等は用いず、プログラムが正規の作成者によるものであることを確認するために既定のパスワード等による認証方法を用いてもよい。

　保護情報処理手段１１１は、受け取った改竄検出状態１１４における改竄情報が改竄無を示す場合のみ（Ｓ６５：Ｙ）、ユーザプログラム１０４から依頼のあった保護情報処理を実行する（Ｓ６６）。そして、保護情報処理の実行結果をユーザプログラム１０４に通知するよう保護情報処理受付手段１０３に要求する（Ｓ６７）。

　また、Ｓ６５において、保護情報処理手段１１１は、受け取った改竄検出状態１１４における改竄情報が改竄有を示す場合（Ｓ６５：Ｎ）、保護情報処理の実行が不可である旨をユーザプログラム１０４に通知するよう保護情報処理受付手段１０３に要求する（Ｓ６８）。

　保護情報処理受付手段１０３は、通常モードへの切り替えを行い（Ｓ６９）、通知要求された情報をユーザプログラム１０４に通知し（Ｓ７０）、Ｓ３０に移行する。

　また、上述のＳ４７において、改竄情報が改竄未チェックで無いと判定した場合（Ｓ４７：Ｎ）、Ｓ４８～Ｓ６４は行わず、Ｓ６５に移行する。

　以上で、改竄検出装置１００の起動から保護情報処理を行うまでの処理の流れについての説明を終える。

　以上のように、本発明の改竄検出装置１００は、ユーザプログラム１０４の起動時にプログラムの改竄検出状態１１４に係る改竄情報を、改竄未チェックを示すよう設定する。その後の改竄検出処理においてユーザプログラム１０４の改竄が検出されなかった場合には、ユーザプログラム１０４の改竄検出状態１１４に係る改竄情報を改竄無とし、改竄が検出された場合には、改竄情報を改竄有とする。改竄無を示す場合のみユーザプログラム１０４に対して保護情報処理を許可し、ユーザプログラム１０４の終了時にプログラムの改竄情報を改竄検出状態１１４から削除する。これにより、ユーザプログラム１０４の起動前、及び起動してから実行までの間に改竄されたプログラムについて、その改竄をより確実に検出することができる。特に、プログラムがＣＰＵの割り当てを受けて実行するためには、必ず実行可能待ち行列６００のいずれかの優先度付きキューに追加される必要があるため、実行可能待ち行列６００を監視することで、改竄検出装置１００で実行され保護情報処理を必要とするプログラムについて、より確実に改竄検出処理が行われていることを保証できることとなる。

　また、プログラムや改竄検出手段１０５を通常モード１０１で動作させることとしているため、改竄検出装置１００のリソース増大や処理性能低下、拡張性の損失を招くことなく、プログラムの改竄をより確実に検出できる。

　３．変形例その他
　以上、本発明の実施の形態を説明したが、本発明はこれらに限定されるものではない。以下にその他の変形例について説明する。

　（１）上述の実施の形態では、ユーザプログラム１０４についての改竄の有無の検出は、ユーザプログラム１０４が保護情報処理手段１１１に対し保護情報処理の要求を行うことをトリガにして行っていたが、これに限らず、保護情報処理を実行するときに改竄有無の検出が行われていればよい。改竄検出情報の作成を開始するトリガはいろいろ想定される。

　例えば、ユーザプログラム１０４に係るＰＩＤが、実行可能待ち行列に登録されると起動プログラム監視手段１１２は改竄情報として「改竄未チェック」を登録するが、登録と同時に、保護情報処理の要求を待たずに、改竄検出手段１０５に対して改竄検出情報を要求してもよい。

　このようにすれば、改竄検出手段１０８における改竄検出情報の作成に時間がかかるような場合、保護情報処理が要求されるのに先立って改竄検出情報を作成しておくことができる。したがって、ユーザプログラム１０４が、保護情報処理を要求した場合に、保護情報処理の開始にあたり、改竄検出情報が作成される時間分待たされるようなことなく、迅速に保護情報処理を行うことができる。

　また、ユーザプログラム１０４が、起動プログラム監視手段１１２に対し、保護情報処理を要求するより前のタイミングで、改竄情報の生成要求を行ってもよい。この場合でも、保護情報処理が要求されるのに先立って改竄検出情報を作成しておくことができる。

　（２）上述の実施の形態では、起動プログラム情報記録手段１２２を通常モードで動作するものとしていたがこれに限らない。図１１に示すように、起動プログラム情報記録手段１２２をセキュアモードで動作するものとしてもよい。この場合において、ＯＳ１０２、プログラム起動手段１２１、プログラム実行手段１２２等がプログラム情報を変更させるときには、保護情報処理受付手段１０３及びセキュアＯＳ１１０を通じてセキュアモード上の起動プログラム情報記録手段１２２にプログラム情報の変更を依頼することとなる。

　このようにすれば、想定しない不正なプログラムからプログラム情報を不正に書き換えられてしまうのを阻止することができ、よりセキュリティ強度を向上することができる。

　（３）上述の実施の形態では、改竄検出装置１００が、通常モードとセキュアモードを切り替えながら動作する例で説明したが、これに限らない。改竄検出装置１００において、通常モードとセキュアモードが並行して動作する構成であってもよい。この場合、セキュア処理と通常モードとの切り替え毎に発生する切り替えのためのオーバーヘッドを無くすことができる。また、起動プログラム監視手段１１２によりプログラム情報の追加、削除等を常に監視させることができる。

　（４）上述の実施の形態では、改竄検出装置１００は、単一のＣＰＵを備えていたが、複数のＣＰＵを備える構成であってもよい。この場合、ＣＰＵ毎に実行可能待ち行列６００が存在することになるが、起動プログラム監視手段はすべての実行可能待ち行列を監視することになる。

　（５）上述の実施の形態では、改竄検出手段１０５は改竄検出装置１００の電源がＯＮされたときに、ブートコード１０１により改竄検出されることとしたが、その後、改竄検出手段１０５はメモリ上に常駐することとしてもよい。

　この場合、改竄検出手段１０５についての改竄検出処理が終了し、メモリに常駐した後、不揮発メモリに記録された改竄検出手段１０５のプログラムが改竄されたとしても、改竄される前の常駐している改竄検出手段によって正しい改竄検出処理が実行されるので、改竄検出手段への改竄の影響を改竄検出処理に与えないようにできる。

　さらに、改竄検出手段１０５は、ＯＳ１０２によりスワップされない領域に展開され実行されることとしてもよい。これにより、改竄検出手段１０５がスワップファイル上で改竄されることを防ぐことができる。また、改竄検出手段１０５に限らず、起動プログラム情報記録手段１２２やプログラム起動手段１２１、プログラム実行手段１２３、保護情報処理受付手段１０３等、セキュリティ上重要な構成物はスワップされない領域に展開され実行されることとしてもよい。

　（６）上述の実施の形態では、起動プログラム監視手段１１２によりプログラム情報を常に監視することとしたが、保護情報処理手段１１１または保護情報処理を必要とするユーザプログラム１０４から起動プログラム監視手段１１２に対して改竄検出状態１１４の問い合わせがあった際にプログラム情報を確認し、プログラムの改竄検出状態を追加及び削除することとしてもよい。これにより、起動プログラム監視手段１１２のプログラムサイズを抑えることができ、改竄検出装置１００のリソース増大や処理性能低下、拡張性の損失をより抑えることができる。

　（７）改竄検出状態１１４における改竄情報の削除を一定時間毎に行うこととしてもよい。これにより、起動プログラム監視手段１１２が、改竄検出状態１１４に係るプログラム情報を確認する場合、改竄検出状態１１４の問い合わせがプログラムの終了をまたがっており、プログラム終了からプログラム起動の間にプログラムが改竄されていたとしても、それを検出することができる。

　（８）上述の実施の形態では、改竄検出情報の作成を改竄検出手段１０５で行うこととしたが、これに限らない。例えば、改竄検出手段１０５が、改竄検出情報の作成に必要な情報を起動プログラム監視手段１１２から参照可能な領域に配置して、起動プログラム監視手段１１２が、その必要な情報を用いて改竄検出情報の作成を実施することとしてもよい。これにより、改竄検出情報自体の改竄を防ぐことができる。

　（９）上述の実施の形態では、実行可能待ち行列６００にプログラムが追加された際、その追加されたプログラムの改竄検出状態１１４に係る改竄情報を改竄未チェックとして保持することとしたが、実行可能待ち行列６００とプロセス制御ブロック５００の実体を同じものとする場合は、プロセス制御ブロック５００を参照することとしてもよい。

　また、プログラムが実行可能待ち行列６００から削除される度に、そのプログラムの改竄検出状態１１４から改竄情報を削除することとしたが、前述のようにプログラムが終了し、ＯＳ１０２等からの要請に応じプロセス制御ブロックＤＢ５００からプロセス制御情報が削除されたときに、そのプログラムの改竄情報を改竄検出状態１１４から削除することとしてもよい。

　（１０）上述の実施の形態では、特に説明しなかったが、改竄検出装置が、ＯＳ、ユーザプログラム等プログラムをメモリにロードする場合には、読み出し専用属性でロードするとしてもよい。また、ロードされたプログラムの一部又は全部は、メモリに常駐することとしてもよい。

　特に、プログラム起動手段１２１、起動プログラム情報記録手段１２２、プログラム実行手段１２３及びファイルシステム１２４を含むＯＳや、改竄検出手段１０５については、情報処理効率、セキュリティの観点等から、メモリ上に読み出し専用属性でロードされ、メモリに常駐する方が望ましい。

　読み取り専用属性の設定は、メモリ等のハードウェアがプログラムを読み取り専用属性でロードする機能を有し、ハードウェア的に行われているものとしてもよいし、ブートコード１０１、ＯＳ１０２等のシステムに係るソフトウェアが、メモリ上のプログラムが書き換えられないよう、ソフトウェア的にアクセス制御することとしてもよい。

　（１１）本願発明は、以下に説明するステップを含む情報処理方法又は情報処理プログラムとしてもよい。図１２は、本発明の一実施の形態に係るプログラム実行装置に適用される情報処理方法、情報処理プログラムに係る処理を示す図である。まず、起動ステップ（Ｓ１０１）において、プログラムをＣＰＵ使用権の割り当て待ちにする。次に、プログラム監視ステップ（Ｓ１０２）において、プログラムがＣＰＵ使用権の割り当て待ちになってからＣＰＵ使用権が割り当てられるまでに、プログラムの改竄を検査する。

　本発明に係るプログラム実行装置、プログラム実行方法、プログラム、記録媒体及び集積回路は、映画や音楽、個人情報等、不正なアクセスからの保護が必要な情報を取り扱う携帯電話機、携帯情報端末等に用いるのに好適であり、これら端末等を取り扱う企業等により、生産され、譲渡等される。

　１　プログラム実行装置
　２　プログラム
　３　起動手段
　４　改竄検査手段
　５　プログラム監視手段
　１００　改竄検出装置
　１０１　ブートコード
　１０２　ＯＳ
　１０３　保護情報処理受付手段
　１０４　ユーザプログラム
　１０５　改竄検出手段
　１１０　セキュアＯＳ
　１１１　保護情報処理手段
　１１２　起動プログラム監視手段
　１１４　改竄検出状態
　１２１　プログラム起動手段
　１２２　起動プログラム情報記録手段
　１２３　プログラム実行手段
　１２４　ファイルシステム

Claims (21)

1. 　プログラムをセキュアに実行するプログラム実行装置であって、
   　プログラムをＣＰＵ使用権の割り当て待ちにするスケジューリング手段と、
   　前記プログラムの改竄を検査する改竄検査手段と、
   　前記プログラムがＣＰＵ使用権の割り当て待ちになってからＣＰＵ使用権が割り当てられるまでに前記改竄検査手段に前記プログラムの改竄を検査させるプログラム監視手段と
   　を備えることを特徴とするプログラム実行装置。
2. 　前記プログラム監視手段は、前記プログラムの改竄状態を示す改竄情報を保持しており、前記プログラムがＣＰＵ使用権の割り当て待ちになったときに、前記改竄情報が改竄未検査を示すよう設定し、前記プログラムの改竄を検査したときに、前記改竄情報が改竄検査済みを示すよう設定する
   　ことを特徴とする請求項１記載のプログラム実行装置。
3. 　前記プログラム監視手段は、前記改竄情報に、前記改竄検出手段による改竄検査結果である改竄有無を設定することによって前記改竄情報が改竄検査済みを示すよう設定し、
   　前記プログラム実行装置は、前記改竄情報が改竄無を示す場合に前記プログラムを実行する
   　ことを特徴とする請求項２記載のプログラム実行装置。
4. 　前記プログラム実行装置は、さらに、
   　保護された情報をセキュアに処理する保護情報処理手段を備えており、
   　前記プログラムは、前記セキュアな処理を前記保護情報処理手段に要求し、
   　前記保護情報処理手段は、前記改竄情報が改竄未検査を示す場合、前記保護された情報に対するセキュアな処理の実行を抑止する
   　ことを特徴とする請求項３記載のプログラム実行装置。
5. 　前記保護情報処理手段は、前記プログラム監視手段に対し、前記プログラムの改竄検査を要求し、
   　前記プログラム監視手段は、前記改竄情報が改竄未検査を示すよう設定された後、前記要求があったときに、前記プログラムについての前記改竄検査手段を用いた改竄の検査を行う
   　ことを特徴とする請求項４記載のプログラム実行装置。
6. 　前記プログラム実行装置は、さらに、前記保護された情報に関する処理が禁止された通常モードと、前記保護された情報に関する処理が許可され、前記通常モードにおいて動作するプログラムから保護されたセキュアモードとを備えており、
   　前記プログラム監視手段と保護情報処理手段はセキュアモード上で実行される
   　ことを特徴とする請求項４記載のプログラム実行装置。
7. 　前記プログラム実行装置は、さらに、読み出し専用の記憶領域を備え、
   　前記読み出し専用の記憶領域には、プログラム実行装置の電源が投入されたときに最初に実行されるブートコードが記録されており、
   　前記ブートコードが、前記スケジューリング手段、前記プログラム監視手段及び前記保護情報処理手段の改竄を検出する
   　ことを特徴とする請求項６記載のプログラム実行装置。
8. 　前記プログラムは、実行開始時にＣＰＵ使用権の割り当てを待つ実行可能状態となり、実行開始から実行終了までの間、前記実行可能状態と、ＣＰＵ使用権が割り当てられている実行状態と、プログラムが実行可能となるための条件が揃うのを待つ待ち状態との３つの状態を遷移し、
   　前記プログラム監視手段は、前記スケジューリング手段が前記プログラムを前記待ち状態から前記実行可能状態に遷移させるのを検出し、その後前記プログラムにＣＰＵ使用権が割り当てられるまでに前記改竄検査手段に前記プログラムの改竄を検査させる
   　ことを特徴とする請求項１記載のプログラム実行装置。
9. 　前記プログラム監視手段は、前記プログラムが前記待ち状態から前記実行可能状態に遷移する毎に改竄情報を生成し、前記改竄情報が改竄未検査を示すよう設定し、前記プログラムが待ち状態に遷移した場合に前記改竄情報を削除する
   　ことを特徴とする請求項８記載のプログラム実行装置。
10. 　前記プログラム監視手段は、前記プログラムが起動されたときに前記改竄情報を生成し、前記改竄情報が改竄未検査を示すよう設定する
    　ことを特徴とする請求項９記載のプログラム実行装置。
11. 　前記プログラム監視手段は、さらに、一定時間毎に前記プログラムの改竄情報を削除する
    　ことを特徴とする請求項４記載のプログラム実行装置。
12. 　前記スケジューリング手段及び前記改竄検査手段はコンピュータプログラムに従ってＣＰＵが動作することにより実現され、前記スケジューリング手段と、前記改竄検査手段のうち少なくとも１つは主記憶メモリに読み出し専用属性でロードされ常駐する
    　ことを特徴とする請求項１に記載のプログラム実行装置。
13. 　前記スケジューリング手段及び前記改竄検査手段はコンピュータプログラムであり、前記スケジューリング手段と、前記改竄検査手段のうち少なくとも１つは主記憶メモリにおけるスワップされない領域にロードされる
    　ことを特徴とする請求項１に記載のプログラム実行装置。
14. 　前記プログラムには、前記プログラムの識別情報が付随し、
    　前記スケジューリング手段は、実行可能待ち行列を備えており、前記識別情報を前記実行可能待ち行列に加えることによって、前記プログラムをＣＰＵ使用権の割り当て待ちにする
    　ことを特徴とする請求項１記載のプログラム実行装置。
15. 　前記スケジューリング手段は、プログラムに関する情報を記録するプロセス制御ブロックに、前記プログラムに係る情報を追加することで、前記プログラムをＣＰＵ使用権の割り当て待ちにする
    　ことを特徴とする請求項１記載のプログラム実行装置。
16. 　前記プログラムは、自身の改竄検出をプログラム監視手段に依頼し、
    　前記プログラム監視手段は、前記プログラムについての改竄の検査を、前記依頼を受けてから前記セキュアな処理の実行前に行う
    　ことを特徴とする請求項４記載のプログラム実行装置。
17. 　前記改竄検査手段は、改竄有無の判断に必要な情報を前記プログラム監視手段から参照可能な領域に配置し、
    　前記プログラム監視手段は、前記改竄有無の判断に必要な情報を元に前記プログラムが改竄されたか否かを判断する
    　ことを特徴とする請求項１に記載のプログラム実行装置。
18. 　プログラムをセキュアに実行する情報処理方法であって、
    　プログラムをＣＰＵ使用権の割り当て待ちにする起動ステップと、
    　前記プログラムがＣＰＵ使用権の割り当て待ちになってからＣＰＵ使用権が割り当てられるまでに、前記プログラムの改竄を検査するプログラム監視ステップと
    　を含むことを特徴とする情報処理方法。
19. 　プログラムをセキュアに実行する情報処理プログラムであって、
    　プログラムをＣＰＵ使用権の割り当て待ちにする起動ステップと、
    　前記プログラムがＣＰＵ使用権の割り当て待ちになってからＣＰＵ使用権が割り当てられるまでに、前記プログラムの改竄を検査するプログラム監視ステップと
    　を含むことを特徴とする情報処理プログラム。
20. 　プログラムをセキュアに実行する情報処理プログラムを記録している、コンピュータ読み取り可能な記録媒体であって、
    　前記情報処理プログラムは、
    　プログラムをＣＰＵ使用権の割り当て待ちにする起動ステップと、
    　前記プログラムがＣＰＵ使用権の割り当て待ちになってからＣＰＵ使用権が割り当てられるまでに、前記プログラムの改竄を検査するプログラム監視ステップと
    　を含むことを特徴とする記録媒体。
21. 　プログラムをセキュアに実行する集積回路であって、
    　プログラムをＣＰＵ使用権の割り当て待ちにするスケジューリング手段と、
    　前記プログラムの改竄を検査する改竄検査手段と、
    　前記スケジューリング手段を監視し、前記プログラムがＣＰＵ使用権の割り当て待ちになってからＣＰＵ使用権が割り当てられるまでに前記改竄検査手段を用いて前記プログラムの改竄を検査するプログラム監視手段と
    　を備えることを特徴とする集積回路。

Images