WO2013168255A1

WO2013168255A1 - アプリケーションプログラム実行装置

Info

Publication number: WO2013168255A1
Application number: PCT/JP2012/061979
Authority: WO
Inventors: 泉　幸雄; 鐘治桜井; 信博小林; 陽一柴田
Original assignee: 三菱電機株式会社
Priority date: 2012-05-10
Filing date: 2012-05-10
Publication date: 2013-11-14
Also published as: JP5905087B2; CN104272313B; US20150047001A1; DE112013002396T5; WO2013168461A1; JPWO2013168461A1; CN104272313A

Abstract

　アプリケーションプログラム管理部６の第一の通信部９が、アプリケーション５から、保護対象リソース２の利用を要求するアクセス要求を受信すると、認証情報取得部１６が、アプリケーションプログラム管理部６が正当であることの検証に用いられる認証情報１３を認証情報記憶部１２から取得する。そして、第二の通信部１０が、アプリケーション５からのアクセス要求と認証情報１３とを、アプリケーション５による保護対象リソース２の利用可否を判断する認証部７に送信する。

Description

アプリケーションプログラム実行装置

　本発明は、アプリケーションプログラム（以下、単に「アプリケーション」ともいう）を認証する技術に関する。

　近年、携帯電話や携帯端末、テレビなどの機器では、ダウンロードしたアプリケーションを実行させ、利用者に各種のサービスを提供するシステムが実現されている。
　利用者は、これらのアプリケーションを、ネットワークを介してアプリケーション配信サーバからダウンロードし、携帯電話などの機器にインストールすることができる。
　また、利用者は、他の機器やＰＣ（パーソナルコンピュータ）などからメモリカード（登録商標）などの交換型記憶媒体を用いて携帯電話などの機器にアプリケーションをインストールする。
　しかし、これらのアプリケーションには、不正なアプリケーションが含まれている可能性がある。
　このため、不正なアプリケーションが、機器内部の個人情報など機密情報に対する不正なアクセスをするおそれや利用者には利用が許可されていない機能を悪用するおそれがある。
　そのため、特定の機密情報や機器が持つ機能（以下、これらを「リソース」という）へのアクセスを特定のアプリケーションのみに許可するセキュリティ対策が必要となる。

　このようなセキュリティ対策として、例えば、特許文献１に記載の技術がある。
　特許文献１では、正当なアプリケーションであることを認証するための秘密の認証情報や認証情報を生成する秘密の認証鍵がアプリケーションに組み込まれている。
　そして、このアプリケーションが、インストールされた機器において、機器内部のリソースにアクセスする前に、機器内部に設けられた認証モジュールが、アプリケーションから認証情報を受信し、受信した認証情報を用いて正当なアプリケーションであることを認証する。
　そして、認証成功の場合に、認証モジュールがアプリケーションにリソースへのアクセスを許可する。

特開２００５－４９９９１号公報

　特許文献１の技術では、認証モジュールが認証に用いる認証情報がアプリケーション内部に組み込まれている。
　このため、悪意のある利用者がアプリケーションを解析することで、アプリケーション内部の認証情報が暴露されてしまい、機器内のリソースへの不正なアクセスが行われる可能性がある。

　この発明は、これらに鑑みたものであり、誰でもダウンロードできるアプリケーションプログラムに認証情報を組み込むことなく、正当なアプリケーションプログラムであることを認証できる仕組みを実現することを主な目的とする。

　本発明に係るアプリケーションプログラム実行装置は、
　アプリケーションプログラムが実装されており、前記アプリケーションプログラムによるリソースの利用を管理するアプリケーションプログラム管理部を有するアプリケーションプログラム実行装置であって、
　前記アプリケーションプログラム管理部が、
　前記アプリケーションプログラムから、前記アプリケーションプログラム実行装置内の所定のリソースの利用を要求するリソース利用要求を受信する第一の通信部と、
　所定の認証処理により、前記アプリケーションプログラム管理部が正当であることが立証される認証情報を、前記アプリケーションプログラムとは無関係に取得する認証情報取得部と、
　前記第一の通信部により受信された前記リソース利用要求と、前記認証情報取得部により取得された前記認証情報とを、前記アプリケーションプログラムによる前記リソースの利用可否を判断する認証部に対して送信する第二の通信部と有すること特徴とする。

　本発明によれば、認証情報取得部がアプリケーションプログラムとは無関係に認証情報を取得し、認証部に認証情報を送信するため、アプリケーションプログラムに認証情報を組み込むことなく、正当なアプリケーションプログラムであることを認証することができる。

実施の形態１に係るアプリケーションプログラム実行装置の構成例を示す図。実施の形態１に係る処理フローを示すフローチャート図。実施の形態２に係るアプリケーションプログラム実行装置の構成例を示す図。実施の形態２に係る処理フローを示すフローチャート図。実施の形態２に係る処理フローを示すフローチャート図。実施の形態３に係るアプリケーションプログラム実行装置の構成例を示す図。実施の形態３に係るアプリケーションプログラム実行装置の機能概念図。実施の形態３に係る処理フローを示すフローチャート図。実施の形態３に係る処理フローを示すフローチャート図。実施の形態４に係るアプリケーションプログラム実行装置の構成例を示す図。実施の形態１～４に係るアプリケーションプログラム実行装置のハードウェア構成例を示す図。

　実施の形態１．
　図１は、本実施の形態に係るアプリケーションプログラム実行装置の構成例を示す。

　図１において、アプリケーションプログラム実行装置１は、例えば、携帯電話、携帯端末、テレビ等のアプリケーションがインストールされる機器である。

　保護対象リソース２は、保護対象のリソースであり、秘密情報、特定のプログラム、特定のファイル、特定の機能等である。

　アプリケーション登録部３は、アプリケーションプログラム実行装置１外からインストールされるアプリケーション５を保管する。
　アプリケーション５には、利用者インタフェースである操作部４と、アプリケーションプログラム管理部６と通信するための第一の通信部８が含まれており、認証情報は含まれていない。
　アプリケーション５は、保護対象リソース２の利用を要求するアクセス要求（リソース利用要求）を第一の通信部８から送信する。

　アプリケーションプログラム管理部６（以下、「アプリケーション管理部６」と表記する）は、アプリケーション５からアクセス要求があった際に、アクセス要求を認証部７に送信するとともに、アクセス要求の送信元が正当なアプリケーション管理部６であることを立証するための認証情報を認証部７に送信する。

　アプリケーション管理部６において、第一の通信部９は、アプリケーション５内の第一の通信部８からアクセス要求を受信する。

　認証情報記憶部１２は、認証情報１３を記憶している。
　認証情報１３は、認証部７の認証処理により、アクセス要求の送信元であるアプリケーション管理部６が正当であることを立証できる情報である。
　認証情報１３は、例えば、後述する認証情報検証部１４が記憶している認証情報１５と同じ情報である。
　このように、認証情報記憶部１２は、認証情報検証部１４と認証情報を共有している。
　また、認証情報１３は、認証部７以外には秘匿されている。

　認証情報取得部１６は、第一の通信部９がアクセス要求を受信した際に、アプリケーション５とは無関係に、認証情報記憶部１２から認証情報１３を取得する。

　第二の通信部１０は、第一の通信部９が受信したアクセス要求と、認証情報取得部１６が取得した認証情報１３を、認証部７の第二の通信部１１に送信する。

　認証部７は、アプリケーション管理部６の認証を実施し、保護対象リソース２へのアクセスを実施する。

　認証部７において、第二の通信部１１は、アプリケーション管理部６の第二の通信部１０からアクセス要求と認証情報１３を受信する。

　認証情報検証部１４は、認証情報１５を記憶しており、認証情報１５を用いて、第二の通信部１１が受信した認証情報１３を検証する。

　アプリケーションプログラム実行装置１には、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）等が備わっており、アプリケーション管理部６及び認証部７の要素をソフトウェアにより実現可能である。
　また、アプリケーション管理部６及び認証部７の一部をファームウェアにより実現してもよいし、アプリケーション管理部６及び認証部７の一部をハードウェアにより実現してもよい。
　なお、アプリケーションプログラム実行装置１のハードウェア構成、ハードウェアとソフトウェアとファームウェアの関係については後述する。

　次に動作について説明する。
　図２は、本実施の形態に係るアプリケーションプログラム実行装置１の処理フローである。
　なお、図２では、アプリケーション管理部６を「管理部」と表記している。

　アプリケーション登録部３にあるアプリケーション５が動作して、保護対象リソース２へのアクセスを行う際に、第一の通信部８が保護対象リソース２の利用を要求するアクセス要求をアプリケーション管理部６に送信する（Ｓ１００）。
　保護対象リソース２へのアクセスは、情報の書き込みや読み出しなどのアクセスの他、外部との通信機能などアプリケーションプログラム実行装置１が持つ機能へのアクセスである。
　後者は機能を介した情報の書き込みや読み出し、情報や命令の送信、命令が実行された結果の読み出しなど様々なアクセスがあるので、処理に応じて保護対象リソース２へのアクセス要求に書き込み対象の情報や処理命令などを含めてもよい。

　アプリケーション管理部６では、第一の通信部９が、アプリケーション５からの保護対象リソース２へのアクセス要求を受信（Ｓ１０１）する。
　そして、認証情報取得部１６が、認証情報記憶部１２から認証情報１３を取得し、第二の通信部１０が認証情報１３と保護対象リソース２へのアクセス要求とを認証部７へ送信する（Ｓ１０２）。
　なお、アプリケーション５の正当性は、アプリケーション５のインストール時の検証等により担保されているものとする。

　認証部７では、第二の通信部１１が、アプリケーション管理部６から保護対象リソース２へのアクセス要求と認証情報１３を受信（Ｓ１０３）する。
　そして、認証情報検証部１４が、認証情報１５を用いて認証情報１３を検証することで、アクセス要求が正当な送信元（つまり、アプリケーション管理部６）から送信されたものであるかどうかを認証する（Ｓ１０４）。
　認証情報１３の検証は、どのような方法によってもよい。
　Ｓ１０４の認証の結果、認証に成功した場合、認証情報検証部１４は、要求されたリソースへアクセスする（Ｓ１０５）。
　一方、認証に失敗した場合、アクセス要求を破棄する（Ｓ１０６）。
　この際、認証情報検証部１４は、認証に失敗した旨をアプリケーション管理部６に応答してもよい。

　その後、認証部７は、第二の通信部１１を介してアプリケーション管理部６にアクセス応答を送信する（Ｓ１０７）。
　アクセス要求が情報の読み出しなどの場合、本応答に読み出した情報を含めてもよい。

　アプリケーション管理部６では、第二の通信部１０が認証部７からのアクセス応答を受信（Ｓ１０８）し、第一の通信部９がアプリケーション５にアクセス応答を送信（Ｓ１０９）する。
　アプリケーション５では、第一の通信部８が、アプリケーション管理部６からアクセス応答を受信する（Ｓ１１０）。

　なお、上記では、アプリケーション５からのリソースへのアクセス要求をアプリケーション管理部６が受信した後に、認証部７が認証情報１３と認証情報１５とを用いた認証を行うフローを説明した。
　これに代えて、アプリケーションプログラム実行装置１の電源投入時に認証部７が認証情報１３と認証情報１５とを用いた認証を行い、以降のアクセス要求時には認証処理を行わないようにしてもよい。
　また、電源投入時から一定時間以内のアクセス要求であれば認証処理を行わないようにしてもよい。
　また、認証部７をＩＣカードのようにアプリケーションプログラム実行装置１の外部に設け、アプリケーションプログラム実行装置１内部のアプリケーション管理部６から外部の認証部７を経由してアプリケーションプログラム実行装置１内部のリソースもしくは外部のリソースにアクセスする構成にしてもよい。

　以上のように、アプリケーションは、アプリケーション管理部と認証部を介してリソースにアクセスするようにしているので、アプリケーション内部には秘密にすべき認証情報を組み込む必要がなく、安全なシステムを利用者に提供できる。
　また、アプリケーション開発者が認証情報の機密管理を行う必要がなくなり、複数のアプリケーションに対する認証が１つのアプリケーション管理部で可能となるため、アプリケーション開発コストを低減させ、利用者に低コストでサービスを提供できる。

　実施の形態２．
　以上の実施の形態１では、アプリケーション５はアプリケーション管理部６を介して認証部７にアクセスする構成であるが、次にダウンロードされたアプリケーション５が事前にインストールされたアプリケーションを介して認証部７にアクセスする実施の形態を示す。

　図３は、本実施の形態に係るアプリケーションプログラム実行装置１の構成例を示す。

　本実施の形態でのアプリケーションプログラム実行装置１は、保護対象リソース２、アプリケーション登録部３、認証部７、共有メモリ２０に大別される。

　本実施の形態では、アプリケーション登録部３は、内部にアプリケーションプログラム管理部２１（以下、「アプリケーション管理部２１」と表記する）を有している。
　アプリケーション管理部２１は、アプリケーションプログラム実行装置１の製造者により事前にアプリケーションプログラム実行装置１にインストールされているアプリケーションである。
　なお、アプリケーション管理部２１は利用者インタフェースを持たず、アプリケーションプログラム実行装置１に接続されるＳＤ（登録商標）カードのような外部記憶装置にデータのコピーや移動ができない構成になっている。

　アプリケーション５は、実施の形態１と同様に、後からダウンロードされたアプリケーションである。
　アプリケーション５の内部構成は、実施の形態１と同様であるため、説明を省略する。

　アプリケーション管理部２１において、認証鍵記憶部２２は認証鍵２３を記憶している。
　認証鍵２３は、チャンレンジ・レスポンス方式や鍵付メッセージ認証コードなど認証方式に対応した共通鍵アルゴリズムの鍵や公開鍵アルゴリズムの公開鍵・秘密鍵である。
　共通鍵アルゴリズムが用いられている場合は、認証鍵記憶部２２が記憶している認証鍵２３は、認証部７の認証情報検証部１４が記憶している認証鍵２７と同じである。
　公開鍵アルゴリズムが用いられている場合は、認証鍵記憶部２２が記憶している認証鍵２３は、認証部７の認証情報検証部１４が記憶している認証鍵２７に対応する鍵である。
　このように、認証鍵記憶部２２は、認証部７の認証情報検証部１４と認証鍵を共有している。

　認証情報生成部２４は、認証鍵記憶部２２の認証鍵２３を用いて、認証情報を生成する。
　認証情報は、実施の形態１と同様に、アプリケーション管理部２１が正当であることの検証に用いられる。
　本実施の形態では、認証情報生成部２４が認証情報取得部の例に相当する。

　暗号部２６は、暗号鍵２５を保有しており、暗号鍵２５を用いて認証情報の暗号化を行う。

　第一の通信部９は、実施の形態１と同様に、アプリケーション５内の第一の通信部８からアクセス要求を受信する。
　第一の通信部８と第一の通信部９との間の通信は、プロセス間通信などでよい。

　第二の通信部１０は、暗号部２６により暗号化された認証情報を共有メモリ２０に書き込む。

　認証部７は、認証鍵２７を用いて、受信した認証情報を検証する認証情報検証部１４と、暗号鍵２８を用いて暗号化・復号を行う暗号部２９と、共有メモリ２０へのアクセスを行う第二の通信部１１から構成されている。

　共有メモリ２０はＲＡＭなどの記憶装置であり、アプリケーション管理部２１と認証部７とが、情報の書き込みや読み出しを行うことができる。
　また、共有メモリ２０には、アプリケーション管理部２１と認証部７のどちらが情報の書き込みを行っているかを示す転送フラグ３０が設けられている。
　本実施の形態での転送フラグ３０は、クリアではアプリケーション管理部２１が、セットでは認証部７が共有メモリ２０に書き込めるものとする。

　次に動作について説明する。
　図４及び図５は、本実施の形態に係るアプリケーションプログラム実行装置１の処理フローである。
　なお、図４及び図５では、アプリケーション管理部２１を「管理部」と表記している。

　アプリケーション登録部３にあるアプリケーション５が動作して、保護対象リソース２へのアクセスを行う際に、第一の通信部８が保護対象リソース２の利用を要求するアクセス要求をアプリケーション管理部２１に送信する（Ｓ２００）。
　なお、アプリケーション５からアプリケーション管理部２１への通信は、例えば、アプリケーション５がインストールされた際に使用された電子証明書とアプリケーション管理部２１がインストールされた際に使用された電子証明書とが同じ場合にのみ許可される。

　アプリケーション管理部２１では、第一の通信部９が、アプリケーション５からの保護対象リソース２へのアクセス要求を受信（Ｓ２０１）する。
　次に、認証情報生成部２４が認証鍵２３を用いて認証情報を生成し、暗号部２６が暗号鍵２５を用いてアクセス要求と認証情報を暗号化する（Ｓ２０２）。
　認証情報の生成アルゴリズムは、認証情報検証部１４が認証情報を検証できるものであれば、どのようなものでもよい。
　暗号化は、本実施の形態のように認証情報とアクセス要求のすべてではなく、一部の情報を暗号化するようにしてもよい。
　また、認証情報及びアクセス要求に、メッセージ認証コードや電子署名など改ざんを検知するための情報を付加してもよい。
　そして、第二の通信部１０が、暗号化されたアクセス要求と認証情報を共有メモリ２０に書き込む（Ｓ２０３）。
　そして、第二の通信部１０は、共有メモリ２０に設けられた転送フラグ３０をセットにする（Ｓ２０４）。

　認証部７では、第二の通信部１１が、転送フラグ３０をポーリングし（Ｓ２０５）、転送フラグ３０がセットになっている場合に、共有メモリ２０内の情報を読み出す（Ｓ２０６）。
　そして、暗号部２９が、暗号化されている認証情報及びアクセス要求を暗号鍵２８で復号（Ｓ２０７）する。
　更に、認証情報検証部１４が、認証鍵２７を用いて認証情報を検証することで、アクセス要求が正当な送信元（つまり、アプリケーション管理部２１）から送信されたものであるかどうかを認証する（Ｓ２０８）。
　認証情報の検証は、どのような方法によってもよい。
　Ｓ２０８の認証の結果、認証に成功した場合、認証情報検証部１４は、要求されたリソースへアクセスする（Ｓ２０９）。
　一方、認証に失敗した場合、アクセス要求を破棄する（Ｓ２１０）。
　この際、認証情報検証部１４は、共有メモリ２０を介してアプリケーション管理部２１に認証が失敗した旨を応答してもよい。

　その後、認証部７では、暗号部２９が暗号鍵２８を用いてアクセス応答を暗号化（Ｓ２１１）する。
　そして、第二の通信部１１が、暗号化されたアクセス応答を共有メモリ２０に書き込み（Ｓ２１２）、転送フラグ３０をクリアにする（Ｓ２１３）。

　アプリケーション管理部２１では、第二の通信部１０が、転送フラグ３０をポーリングし（Ｓ２１４）、転送フラグ３０がクリアになったら、共有メモリ２０内の情報を読み出す（Ｓ２１５）。
　その後、暗号部２６が、暗号鍵２５を用いて、暗号化されたアクセス応答を復号（Ｓ２１６）し、第一の通信部９がアプリケーション５にアクセス応答を送信（Ｓ２１７）する。

　アプリケーション５では、第一の通信部８が、アプリケーション管理部２１からアクセス応答を受信する（Ｓ２１８）。

　なお、本実施の形態では、アプリケーション管理部２１をアプリケーション登録部３の内部に設けたが、アプリケーション登録部３とは別に設けてもよい。
　また、アプリケーション管理部２１はアプリケーションではなく、バックグラウンドで動作する利用者インタフェースを持たないサービスであってもよい。

　本実施の形態では、認証鍵と別の暗号鍵を設けたが、認証鍵と暗号鍵とで同じ鍵を用いてもよい。
　この場合は、認証情報生成部２４が認証情報の生成と暗号化・復号を行うことになる。
　また、認証部７がアプリケーション管理部２１を認証する形態を示したが、アプリケーション管理部２１が認証部７を認証する処理を追加し、相互認証するようにしてもよい。
　このような相互認証により、さらに安全なシステムを利用者に提供することができる。

　また、認証部７をＩＣカードのようにアプリケーションプログラム実行装置１の外部に設け、アプリケーションプログラム実行装置１内部のアプリケーション管理部２１から外部の認証部７を経由してアプリケーションプログラム実行装置１内部のリソースもしくは外部のリソースにアクセスする構成にしてもよい。

　以上のように、アプリケーション５は、アプリケーション管理部２１と認証部７を介してリソースにアクセスするようにしているので、アプリケーション５内部には秘密にすべき認証情報を組み込む必要がなく、安全なシステムを利用者に提供できる。
　また、アプリケーション開発者が認証情報の機密管理を行う必要がなくなり、複数のアプリケーションに対する認証が１つのアプリケーション管理部２１で可能となるため、アプリケーション開発コストを低減させ、利用者に低コストでサービスを提供できる。
　また、暗号部をアプリケーション管理部２１と認証部７に設けているので、共有メモリ２０からの情報漏えいリスクが低下し、より安全なシステムを利用者に提供できる。
　また、認証情報生成部２４により毎回認証情報を生成しているので、認証情報を再利用した攻撃にも対抗でき、より安全なシステムを利用者に提供できる。

　実施の形態３．
　以上の実施の形態は、ＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）でアプリケーションが動作する実環境又は仮想実行環境での認証処理を説明した。
　本実施の形態では、仮想実行環境と実環境が共存する機器での実施の形態を示す。

　図６は、本実施の形態に係るアプリケーションプログラム実行装置１の構成図であり、図７は本実施の形態に係るアプリケーションプログラム実行装置１の機能概念図である。

　本実施の形態のアプリケーションプログラム実行装置１は、図７に示すように、ＯＳ５１上でネイティブアプリケーション５０と仮想実行環境５２（仮想マシンモニタ）が動作し、仮想実行環境５２上でアプリケーション管理部２１とアプリケーション５とが動作する。
　ネイティブアプリケーション５０には、認証部７が含まれている。
　また、ネイティブアプリケーション５０とＯＳ５１に、保護対象リソース２が含まれている。
　なお、図７では、認証部７、アプリケーション管理部２１及びアプリケーション５の内部構成の図示を省略しているが、各要素の内部構成は図６に示すとおりである。

　図６において、アプリケーション登録部３は、実施の形態２と同様に、内部にアプリケーション管理部２１を有する。
　アプリケーション管理部２１は、アプリケーションプログラム実行装置１の製造者により事前にアプリケーションプログラム実行装置１にインストールされており、仮想実行環境５２で動作する。
　アプリケーション管理部２１の内部構成は、実施の形態２に示したものと同様である。
　但し、実施の形態２では、第二の通信部１０は、共有メモリ２０に暗号化された認証情報とアクセス要求を書き込んでいたが、本実施の形態では、認証部７の第二の通信部１１に暗号化された認証情報とアクセス要求を送信する。
　なお、第二の通信部１１は、実施の形態２で示した共有メモリ２０を用いた通信を行ってもよい。
　また、実施の形態２と同様に、アプリケーション管理部２１は利用者インタフェースを持たず、アプリケーションプログラム実行装置１に接続されるＳＤ（登録商標）カードのような外部記憶装置にデータのコピーや移動ができない構成になっている。

　また、アプリケーション５及び認証部７の構成も、実施の形態２と同様である。

　次に動作について説明する。
　図８及び図９は、本実施の形態に係るアプリケーションプログラム実行装置１の処理フローである。
　なお、図８及び図９では、アプリケーション管理部２１を「管理部」と表記している。

　アプリケーション登録部３にあるアプリケーション５が動作して、保護対象リソース２へのアクセスを行う際に、第一の通信部８が保護対象リソース２の利用を要求するアクセス要求をアプリケーション管理部２１に送信する（Ｓ３００）。
　なお、アプリケーション５からアプリケーション管理部２１への通信は、例えば、アプリケーション５がインストールされた際に使用された電子証明書とアプリケーション管理部２１がインストールされた際に使用された電子証明書とが同じ場合にのみ許可される。

　アプリケーション管理部２１では、第一の通信部９が、アプリケーション５からの保護対象リソース２へのアクセス要求を受信（Ｓ３０１）する。
　次に、認証情報生成部２４が認証鍵２３を用いて認証情報を生成し、暗号部２６が暗号鍵２５を用いてアクセス要求と認証情報を暗号化する（Ｓ３０２）。
　認証情報の生成アルゴリズムは、認証情報検証部１４が認証情報を検証できるものであれば、どのようなものでもよい。
　暗号化は、本実施の形態のように認証情報とアクセス要求のすべてではなく、一部の情報を暗号化するようにしてもよい。
　また、認証情報及びアクセス要求に、メッセージ認証コードや電子署名など改ざんを検知するための情報を付加してもよい。
　そして、第二の通信部１０が、暗号化されたアクセス要求と認証情報を認証部７に送信する（Ｓ３０３）。

　認証部７では、第二の通信部１１が、アプリケーション管理部２１からの暗号化されたアクセス要求と認証情報を受信（Ｓ３０４）する。
　そして、暗号部２９が、暗号化されている認証情報及びアクセス要求を暗号鍵２８で復号（Ｓ３０５）する。
　更に、認証情報検証部１４が、認証鍵２７を用いて認証情報を検証することで、アクセス要求が正当な送信元（つまり、アプリケーション管理部２１）から送信されたものであるかどうかを認証する（Ｓ３０６）。
　Ｓ３０６の認証の結果、認証に成功した場合、認証情報検証部１４は、要求されたリソースへアクセスする（Ｓ３０７）。
　一方、認証に失敗した場合、アクセス要求を破棄する（Ｓ３０８）。
　この際、第二の通信部１１がアプリケーション管理部２１に、認証が失敗した旨を応答してもよい。

　その後、認証部７では、暗号部２９が暗号鍵２８を用いてアクセス応答を暗号化（Ｓ３０８）する。
　そして、第二の通信部１１が、暗号化されたアクセス応答をアプリケーション管理部２１に送信する（Ｓ３０９）。
　アクセス要求が情報の読み出しなどの場合、本応答に読み出した情報を含めてもよい。

　アプリケーション管理部２１では、第二の通信部１０が、認証部７からの暗号化されたアクセス応答を受信（Ｓ３１０）し、暗号部２６が、暗号鍵２５を用いて、暗号化されたアクセス応答を復号（Ｓ３１１）し、第一の通信部９がアプリケーション５にアクセス応答を送信（Ｓ３１２）する。

　アプリケーション５では、第一の通信部８が、アプリケーション管理部２１からアクセス応答を受信する（Ｓ３１３）。

　なお、アプリケーション管理部２１はアプリケーションではなく、バックグラウンドで動作する利用者インタフェースを持たないサービスであってもよい。

　本実施の形態では、認証鍵と別の暗号鍵を設けたが、認証鍵と暗号鍵とで同じ鍵を用いてもよい。
　この場合は、認証情報生成部２４が認証情報の生成と暗号化・復号を行うことになる。
　また、暗号部２９を、アプリケーション管理部２１内ではなく、仮想実行環境５２内に設け、仮想実行環境５２内にある暗号部を用いてもよい。
　同様に、暗号部２９を、認証部７内ではなく、ＯＳ５１内に設け、ＯＳ５１内の暗号部を用いてもよい。
　また、アプリケーション管理部２１の認証情報生成部２４は、仮想実行環境５２にある暗号部を用いて認証情報を生成するようにしてもよい。
　同様に、認証部７の認証情報検証部１４は、ＯＳ５１の暗号部を用いて認証情報を検証するようにしてもよい。

　なお、本実施の形態では、認証部７がアプリケーション管理部２１を認証する形態を示したが、アプリケーション管理部２１が認証部７を認証する処理を追加し、相互認証するようにしてもよい。
　このような相互認証により、さらに安全なシステムを利用者に提供することができる。

　以上のように、アプリケーション５は、アプリケーション管理部２１と認証部７を介してリソースにアクセスするようにしているので、アプリケーション５内部には秘密にすべき認証情報を組み込む必要がなく、安全なシステムを利用者に提供できる。
　また、アプリケーション開発者が認証情報の機密管理を行う必要がなくなり、複数のアプリケーションに対する認証が１つのアプリケーション管理部２１で可能となるため、アプリケーション開発コストを低減させ、利用者に低コストでサービスを提供できる。
　また、暗号部をアプリケーション管理部２１と認証部７に設けているので、共有メモリ２０からの情報漏えいリスクが低下し、より安全なシステムを利用者に提供できる。
　また、認証情報生成部２４により毎回認証情報を生成しているので、認証情報を再利用した攻撃にも対抗でき、より安全なシステムを利用者に提供できる。
　また、本実施の形態によれば、仮想実行環境で保護するリソースとは別のリソースを保護することができ、幅広いサービスを安全に利用者へ提供できる。

　実施の形態４．
　以上の実施の形態では、認証部７がアプリケーションプログラム実行装置１の内部にある例を示した。
　本実施の形態では、認証部７がアプリケーションプログラム実行装置１の外部に設けられている例を示す。

　図１０は、本実施の形態に係るアプリケーションプログラム実行装置１の構成図である。

　本実施の形態では、実施の形態１～３で示した認証部７の機能が、認証装置６１として、アプリケーションプログラム実行装置１の外部に設けられている。
　認証装置６１は、外部装置の例に相当する。
　なお、認証装置６１は、例えばＩＣカードで実現できる。
　また、図１０において破線で囲んだ範囲が実施の形態１～３で示した認証部７に相当する。
　本実施の形態では、認証装置６１には、アプリケーションプログラム実行装置１の第三の通信部６０と通信するための第三の通信部６２が設けられている。
　認証装置６１内の他の要素は、既に説明したものと同様なので、説明を省略する。

　アプリケーションプログラム実行装置１は、保護対象リソース２と、アプリケーション５とアプリケーション管理部２１が含まれるアプリケーション登録部３と、保護対象リソース２にアクセスするための第三の通信部６０で構成されている。
　アプリケーション５及びアプリケーション管理部２１は、実施の形態３に示したものと同様であるので、説明を省略する。

　動作は、実施の形態３で述べた図８及び図９の処理フローにおいて、認証部７の動作を認証装置６１が行い、認証部７の保護対象リソース２へのアクセス（Ｓ３０７）が第三の通信部６２と第三の通信部６０を介して行われる点が異なり、他の処理フローは同じであるので、説明を省略する。

　なお、アプリケーション管理部２１はアプリケーションではなく、バックグラウンドで動作する利用者インタフェースを持たないサービスであってもよい。
　また、本実施の形態では、認証鍵と別の暗号鍵を設けたが、認証鍵と暗号鍵とで同じ鍵を用いてもよい。
　この場合は、認証情報生成部２４が認証情報の生成と暗号化・復号を行うことになる。

　なお、本実施の形態では、認証装置６１がアプリケーション管理部２１を認証する形態を示したが、アプリケーション管理部２１が認証装置６１を認証する処理を追加し、相互認証するようにしてもよい。
　このような相互認証により、さらに安全なシステムを利用者に提供することができる。
　また、本実施の形態では、アプリケーションプログラム実行装置１内部のリソースへのアクセスを示したが、アプリケーションプログラム実行装置１外部のリソースにアクセスする構成でも同様の効果が得られる。

　以上のように、認証装置をアプリケーションプログラム実行装置１の外部に設けても前述の実施の形態と同様の効果が得られる。

　最後に、実施の形態１～４に示したアプリケーションプログラム実行装置１のハードウェア構成例を図１１を参照して説明する。
　アプリケーションプログラム実行装置１はコンピュータであり、アプリケーションプログラム実行装置１の各要素をプログラムで実現することができる。
　アプリケーションプログラム実行装置１のハードウェア構成としては、バスに、演算装置９０１、外部記憶装置９０２、主記憶装置９０３、通信装置９０４、入出力装置９０５が接続されている。

　演算装置９０１は、プログラムを実行するＣＰＵである。
　外部記憶装置９０２は、例えばＲＯＭやフラッシュメモリ、ハードディスク装置である。
　主記憶装置９０３は、ＲＡＭである。
　通信装置９０４は、例えば、実施の形態４の認証装置６１と通信する際に用いられる。
　また、通信装置９０４は、ＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）等のネットワークに接続されていてもよい。
　入出力装置９０５は、例えばマウス、キーボード、ディスプレイ装置等である。

　プログラムは、通常は外部記憶装置９０２に記憶されており、主記憶装置９０３にロードされた状態で、順次演算装置９０１に読み込まれ、実行される。
　プログラムは、図１等に示すアプリケーション管理部６、２１の「～部」（但し、「認証鍵記憶部２２」を除く）として説明している機能を実現するプログラムである。
　更に、外部記憶装置９０２にはオペレーティングシステム（ＯＳ）も記憶されており、ＯＳの少なくとも一部が主記憶装置９０３にロードされ、演算装置９０１はＯＳを実行しながら、図１等に示す「～部」の機能を実現するプログラムを実行する。
　また、アプリケーション５及び認証部７も外部記憶装置９０２に記憶されており、主記憶装置９０３にロードされた状態で、順次演算装置９０１により実行される。
　また、認証鍵、暗号鍵も外部記憶装置９０２に記憶されており、主記憶装置９０３にロードされた状態で、順次演算装置９０１により利用される。
　また、実施の形態１～４の説明において、「～の判断」、「～の判定」、「～の検証」、「～の認証」、「～の取得」、「～の読み出し」、「～の抽出」、「～の検知」、「～の設定」、「～の登録」、「～の選択」、「～の生成」、「～の入力」、「～の受信」等として説明している処理の結果を示す情報やデータや信号値や変数値が主記憶装置９０３にファイルとして記憶されている。
　また、乱数値、パラメータや電子証明書が、主記憶装置９０３にファイルとして記憶されてもよい。
　また、図１等に示すアプリケーション管理部６、２１の「～部」の少なくとも一部を、ファームウェアで実現してもよい。

　なお、図１１の構成は、あくまでもアプリケーションプログラム実行装置１のハードウェア構成の一例を示すものであり、アプリケーションプログラム実行装置１のハードウェア構成は図１１に記載の構成に限らず、他の構成であってもよい。

　１　アプリケーションプログラム実行装置、２　保護対象リソース、３　アプリケーション登録部、４　操作部、５　アプリケーション、６　アプリケーション管理部、７　認証部、８　第一の通信部、９　第一の通信部、１０　第二の通信部、１１　第二の通信部、１２　認証情報記憶部、１３　認証情報、１４　認証情報検証部、１５　認証情報、１６　認証情報取得部、２０　共有メモリ、２１　アプリケーション管理部、２２　認証鍵記憶部、２３　認証鍵、２４　認証情報生成部、２５　暗号鍵、２６　暗号部、２７　認証鍵、２８　暗号鍵、２９　暗号部、３０　転送フラグ、５０　ネイティブアプリケーション、５１　ＯＳ、５２　仮想実行環境、６０　第三の通信部、６１　認証装置、６２　第三の通信部。

Claims

　アプリケーションプログラムが実装されており、前記アプリケーションプログラムによるリソースの利用を管理するアプリケーションプログラム管理部を有するアプリケーションプログラム実行装置であって、
　前記アプリケーションプログラム管理部が、
　前記アプリケーションプログラムから、前記アプリケーションプログラム実行装置内の所定のリソースの利用を要求するリソース利用要求を受信する第一の通信部と、
　所定の認証処理により、前記アプリケーションプログラム管理部が正当であることが立証される認証情報を、前記アプリケーションプログラムとは無関係に取得する認証情報取得部と、
　前記第一の通信部により受信された前記リソース利用要求と、前記認証情報取得部により取得された前記認証情報とを、前記アプリケーションプログラムによる前記リソースの利用可否を判断する認証部に対して送信する第二の通信部と有すること特徴とするアプリケーションプログラム実行装置。
　前記認証情報取得部は、
　前記認証部以外には秘匿されている認証情報を取得することを特徴とする請求項１に記載のアプリケーションプログラム実行装置。
　前記アプリケーションプログラム管理部は、更に、
　前記認証部と共有している、前記アプリケーションプログラム管理部が正当であることが立証される認証情報を記憶する認証情報記憶部を有し、
　前記認証情報取得部は、
　前記認証情報記憶部から前記認証情報を読み出し、
　前記第二の通信部は、
　前記第一の通信部により受信された前記リソース利用要求と、前記認証情報取得部により前記認証情報記憶部から読み出された前記認証情報とを、前記認証部に対して送信することを特徴とする請求項１又は２に記載のアプリケーションプログラム実行装置。
　前記アプリケーションプログラム管理部は、更に、
　前記認証部と共有している認証鍵を記憶する認証鍵記憶部を有し、
　前記認証情報取得部は、
　前記認証鍵記憶部に記憶されている認証鍵を用いて、前記アプリケーションプログラム管理部が正当であることが立証される認証情報を生成し、
　前記第二の通信部は、
　前記第一の通信部により受信された前記リソース利用要求と、前記認証情報取得部により生成された前記認証情報とを、前記認証部に対して送信することを特徴とする請求項１～３のいずれかに記載のアプリケーションプログラム実行装置。
　前記アプリケーションプログラム実行装置は、更に、
　前記認証部との通信に用いられる共有メモリを有し、
　前記第二の通信部は、
　前記リソース利用要求と前記認証情報とを、前記共有メモリに書き込むことを特徴とする請求項１～４のいずれかに記載のアプリケーションプログラム実行装置。
　前記アプリケーションプログラム管理部と前記アプリケーションプログラムとが、前記アプリケーションプログラム実行装置に構築されている仮想実行環境上で動作することを特徴とする請求項１～５のいずれかに記載のアプリケーションプログラム実行装置。
　前記認証部は、
　前記アプリケーションプログラム実行装置内に配置されており、
　前記第二の通信部は、
　前記リソース利用要求と前記認証情報とを、前記アプリケーションプログラム実行装置内の前記認証部に対して送信することを特徴とする請求項１～６のいずれかに記載のアプリケーションプログラム実行装置。
　前記認証部は、
　前記アプリケーションプログラム実行装置以外の外部装置内に配置されており、
　前記第二の通信部は、
　前記リソース利用要求と前記認証情報とを、前記外部装置内の前記認証部に対して送信することを特徴とする請求項１～６のいずれかに記載のアプリケーションプログラム実行装置。