WO2021171906A1

WO2021171906A1 - 情報処理装置、及びプログラム起動方法

Info

Publication number: WO2021171906A1
Application number: PCT/JP2021/003372
Authority: WO
Inventors: 伸義森田; 康広藤井; 金子　周平; 晃啓野村
Original assignee: 株式会社日立製作所
Priority date: 2020-02-28
Filing date: 2021-01-29
Publication date: 2021-09-02
Also published as: JP7477990B2; JP2021135937A; US20230114009A1; CN115244534A

Abstract

プログラムを実行する情報処理装置であって、版が異なる同種のプログラムを書換え可能に格納する第１の領域と第２の領域とを含む記憶部と、前記記憶部に格納されたプログラムを実行する演算部とを備え、前記第１の領域及び前記第２の領域の各々は、前記プログラムと、当該プログラムの新しさに関する最新性情報とを格納しており、更新すべきプログラムと共に受信した最新性情報によって、当該プログラムで前記記憶部を更新するかを判定し、前記各領域に格納されたプログラムのうち、前記最新性情報が新しいプログラムを起動する。

Description

情報処理装置、及びプログラム起動方法

参照による取り込み

　本出願は、令和２年（２０２０年）２月２８日に出願された日本出願である特願２０２０－３３８７０の優先権を主張し、その内容を参照することにより、本出願に取り込む。

　本発明は、情報処理装置や制御装置に関し、特に、プログラムの起動方法に関する。

　プログラム更新の失敗時におけるリカバリー対策として、同じ種類のプログラムを保持可能な二つの記憶領域を備える装置を対象に、一方の記憶領域のプログラムのみを更新するプログラム更新技術が検討されている。具体的には、プログラムを実行する起動領域と、プログラムを実行しない待機領域を含むメモリ領域を備え、待機領域に格納されたプログラムを更新し、プログラム更新完了後に起動領域と待機領域を入れ替えるように起動情報を更新する。これによって、万一プログラムの更新に失敗した場合、更新対象ではない起動領域に影響を与えないように構成されている。

　また、プログラムの更新において、更新用プログラムが正しいものであること、すなわち、不正に改ざんされていないことを検証することが好ましい。例えば、特許文献１（特開２０１７－２１４３４号公報）には、第１の検証部は、アップデート用ソフトウェア及びバージョン番号の正当性を検証し、ロールバック検知部は、アップデート用ソフトウェアのバージョン番号とカウンタ部が保持する現在のソフトウェアのバージョン番号を比較し、アップデート用ソフトウェアのバージョンが新しいか否かを検知し、新しいと判断された場合にアップデート部はアップデート用ソフトウェアを用いてソフトウェアを更新し、第２の検証部は、ソフトウェアの更新に成功したか否かを検証し、バージョン管理部は、第２の検証部がソフトウェアの更新に成功した場合にのみ、カウンタ部が保持するバージョン番号を、アップデート用ソフトウェアのバージョン番号と一致するまで増加させる情報処理装置に記載されている。このような特許文献１の技術によれば、現状のプログラムを改ざんされていない最新のプログラムに更新することが可能である。

　特許文献１に記載された技術では、更新時にプログラムが検証されるが、プログラム更新後もサイバー攻撃の影響を受ける機会があり、脆弱性が悪用された場合、プログラムが不正に改ざんされる可能性がある。

　プログラムの起動時に、当該プログラムの完全性を検証する技術として、セキュアブートが普及している。しかしながら、プログラムの更新によって起動領域情報が変化し、事前に情報処理装置の起動領域を把握できないため、起動領域情報が改ざんされていないことを検証できない。仮に、情報処理装置に対して現状の起動領域を確認すれば、事前に起動領域を把握することは可能であるが、対象となる情報処理装置が数百万台規模になる場合、プログラム更新作業は各情報処理装置の事前管理が必要となり、運用負荷が増大して現実的ではない。

　本発明は、以上の問題に鑑みなされたものであり、情報処理装置が起動する際に、プログラムが最新のものであることを担保しつつ、起動するプログラム及び起動領域情報が改ざんされていないことを保証し、プログラムの更新作業者の運用負荷を低減することを目的とする。

　本願において開示される発明の代表的な一例を示せば以下の通りである。すなわち、プログラムを実行する情報処理装置であって、版が異なる同種のプログラムを書換え可能に格納する第１の領域と第２の領域とを含む記憶部と、前記記憶部に格納されたプログラムを実行する演算部とを備え、前記第１の領域及び前記第２の領域の各々は、前記プログラムと、当該プログラムの新しさに関する最新性情報とを格納しており、更新すべきプログラムと共に受信した最新性情報によって、当該プログラムで前記記憶部を更新するかを判定し、前記各領域に格納されたプログラムのうち、前記最新性情報が新しいプログラムを起動することを特徴とする。

　本発明によれば、最新性情報によってプログラムの最新性を担保でき、起動時に、最新のプログラムが格納された領域を選定し、そのプログラムを起動できる。前述した以外の課題、構成及び効果は、以下の実施例の説明によって明らかにされる。

本発明の実施例の情報処理装置の構成を示す図である。本発明の実施例の情報処理装置におけるプログラム更新の概要処理フローを示す図である。本発明の実施例の情報処理装置におけるプログラム起動の概要処理フローを示す図である。本発明の実施例の更新用プログラム関連データのデータ構造を示す図である。本発明の実施例のデータ構造を示す図である。本発明の実施例の記憶領域の概要を示す図である。本発明の実施例の検証対象範囲情報のデータ構造を示す図である。本発明の実施例の更新用プログラムパッケージのデータ構造を示す図である。

　以下、本発明の実施例について、図面を参照しながら詳細に説明する。

　本発明の実施例として、車載ネットワークに接続された情報処理装置（例えば、車両を制御するＥｌｅｃｔｒｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）を対象としたプログラムの起動方法の例を説明する。但し、本発明の技術的思想は、この例に限定されるものではない。例えば、車載制御装置（ＥＣＵ）ではなく、起動中領域と待機中領域の２面構成を有し、プログラムを更新する情報処理装置であれば、車両制御装置以外（例えば、ヘルスケアデバイス）にも本発明を適用可能である。

　図１は、本発明の実施例の情報処理装置の構成を示す図である。情報処理装置１は、通信バス２を介して他の情報処理装置３に接続されている。但し、通信バス２は物理的には複数の通信バスで構成されてもよく、これらの通信バスの規格は同一でもよいし異なってもよい。これら通信バスの規格はＣＡＮ（登録商標）、ＬＩＮ（登録商標）、ＦｌｅｘＲａｙ（登録商標）、イーサネット（登録商標）などを用いることができる。以下、情報処理装置１について説明するが、情報処理装置３も同じ構成を有する。

　情報処理装置１は、不図示のＣＰＵ、不図示のＲＯＭ、及び不図示のＲＡＭを有し、ＲＯＭに格納されたプログラムをＣＰＵがＲＡＭに展開して実行することによって以下の機能を実現する。すなわち、情報処理装置１は、その機能として、最新性情報検証部１２、検証期待値検証部１３、プログラム更新部１４、起動関連情報検証部１５、起動領域特定部１６、起動領域情報更新部１７、及びプログラム実行部１８を有する。また、情報処理装置１は、不揮発性の記憶装置である記憶部１９、及び通信インタフェースであり通信に必要な演算を行う通信部１１を有する。

　通信部１１は、通信バス２を介して他の情報処理装置３から送信されたメッセージを受信し、通信バス２を介して他の情報処理装置３にメッセージを送信する。前述のとおり通信バス２は物理的に複数の通信バスから構成されてもよい。情報処理装置１は、通信部１１を用いてプログラム更新に必要な情報を送受信する。最新性情報検証部１２は、情報処理装置１が保持する最新性情報と、更新用プログラム関連データに含まれる最新性情報を比較し、どちらが新しい最新性情報であるかを判定する。検証期待値検証部１３は、更新用プログラム関連データの改ざん有無を検証する。プログラム更新部１４は、待機領域を更新用プログラム関連データに更新する。起動関連情報検証部１５は、検証対象となっているプログラム及び最新性情報などを含む所定の起動関連情報の改ざんの有無を検証する。起動領域特定部１６は、各領域の最新性情報を比較し、新しい最新性情報を保持する領域を起動領域として特定する。起動領域情報更新部１７は、起動領域特定部１６によって特定された領域を後述する起動領域情報１９１として更新する。プログラム実行部１８は、前記起動関連情報検証部１５によって起動領域情報１９１が改ざんされていないと判定した場合、該当する起動領域のプログラムを実行する。

　記憶部１９には、起動時に実行されるプログラムが保持される記憶領域を示す起動領域情報１９１、及び起動関連情報検証部１５の検証対象範囲を示す検証対象範囲情報１９２が記憶される。

　図２は、情報処理装置１がプログラムを更新する処理のフローチャートである。以下に説明する各ステップの実行主体は、情報処理装置１の不図示のＣＰＵである。

　ステップ２０１では、情報処理装置１は通信部１１を用いて更新用プログラム関連データを受信する。

　図４に、ステップ２０１において情報処理装置１が受信する更新用プログラム関連データ４０１の例を示す。制御装置４のプログラムは、図示する更新用プログラム関連データ４０１の形式のパッケージで、サーバから送信される。更新用プログラム関連データ４０１は、情報処理装置１で実行されるプログラム４０２と、当該プログラム４０２に関連付けられる最新性情報４０３と、検証期待値検証部１３が当該プログラム４０２の改ざん有無を検証する際に参照する検証期待値４０４を含む。例えば、更新用プログラム関連データ４０１の作成者又は作成ツールが、当該更新用プログラム関連データ４０１を作成する際の日時情報を最新性情報４０３とし、プログラム４０２と最新性情報４０３を用いた署名生成結果を検証期待値４０４とする。なお、検証期待値４０４は、ＤＳＡ、ＥＣＤＳＡ、ＲＳＡ等の公開鍵暗号技術を用いて生成した署名値でもよく、ＡＥＳ－ＣＭＡＣのような共通鍵暗号技術を用いて生成したＭＡＣ（Ｍｅｓｓａｇｅ　Ａｕｔｈｅｎｔｉｃａｔｉｏｎ　Ｃｏｄｅ）の値でもよく、ハッシュやチェックサムでもよい。

　ステップ２０２では、最新性情報検証部１２は、ステップ２０１で受信した更新用プログラム関連データ４０１から最新性情報４０３を取得し、取得した最新性情報４０３と情報処理装置１が保持する最新性情報を比較する。

　ステップ２０３では、最新性情報検証部１２は、ステップ２０２での比較の結果、ステップ２０１で受信した更新用プログラム関連データ４０１から取得した最新性情報４０３の方が新しい場合はステップ２０４に進み、新しくない場合はステップ２０８に進む。例えば、最新性情報として日時情報を用いる場合、更新用プログラム関連データ４０１から取得した最新性情報４０３の値が「２０１９年１２月１日１２時４５分５２秒」であり、情報処理装置１が保持する最新性情報が「２０１９年１１月２０日２０時３０分３５秒」である場合、受信した最新性情報４０３の方が新しいと判定する。他にも、最新性情報としてインクリメントされるカウンタやノンスが保証される値を用いてもよく、この場合はより大きな値を示す方が新しいと判定する。

　ステップ２０４では、検証期待値検証部１３は、ステップ２０１で受信した更新用プログラム関連データ４０１に含まれるプログラム４０２と最新性情報４０３を用いて、所定の検証期待値検証アルゴリズムによって検証期待値を算出し、当該算出された検証期待値が更新用プログラム関連データ４０１に含まれる検証期待値４０４と一致するかを検証する。

　ステップ２０５では、検証期待値検証部１３は、ステップ２０４で算出した検証期待値と検証期待値４０４が一致する場合はステップ２０６に進み、一致しない場合はステップ２０８に進む。

　ステップ２０６では、起動領域特定部１６は、起動領域情報１９１を参照し、現在の起動領域を特定し、待機領域をプログラムを更新すべき更新該当領域として特定する。

　図５に、ステップ２０６において記憶部１９の各領域が起動領域であるかを起動領域特定部１６が特定するために参照する起動領域情報１９１の例を示す。起動領域情報１９１は、プログラムを更新すべき装置に対応する記憶部１９の記憶領域５０１と、起動領域と待機領域を示す識別子５０２を含む。例えば、領域１（Ａ面）が「起動」、領域２（Ｂ面）が「待機」となっている場合、現在の起動領域が、領域１（Ａ面）であることを示す。なお、図示した様に各領域が起動領域であるか待機領域であるかを示す情報を識別子５０２に登録しても、各領域のＡ面又はＢ面のいずれが起動領域であるかを示す情報を識別子５０２に登録しても、各領域のＡ面又はＢ面のいずれが待機領域であるかを示す情報を識別子５０２に登録してもよい。

　ステップ２０７では、プログラム更新部１４は、更新用プログラム関連データ４０１を用いて、ステップ２０６で特定された更新該当領域を更新する。例えば、プログラム更新部１４は、ステップ２０６で更新該当領域として特定した領域２（Ｂ面）を更新する場合、アドレス６０１における領域２（Ｂ面）に関連するメモリを新たな更新用プログラム関連データに書き換える。

　図６に、ステップ２０７においてプログラム更新対象となる記憶領域の例を示す。アドレス６０１は記憶領域の先頭に割り当てられたアドレス値を示し、種別６０２は当該アドレス６０１から始まる記憶領域の種別を示し、更新対象６０３はアドレス６０１から始まる記憶領域が更新対象になるかを示す。例えば、プログラム更新部１４は、ステップ２０６で更新該当領域として特定した領域２（Ｂ面）を更新する場合、種別６０２のうち、Ｂ面に関連するアドレス６０１から始まる領域を更新対象として、このアドレスから始まる領域を更新用プログラム関連データで書き換える。

　ステップ２０８では、情報処理装置１は、ステップ２０３において最新性が保証されない場合、又はステップ２０５において署名検証に失敗した場合、所定のエラー処理を実行する。

　以上のステップによって、車載ネットワークに接続された情報処理装置１のプログラムを更新できる。

　図３は、情報処理装置１がプログラムを起動する処理を示すフローチャートである。以下に説明する各ステップの実行主体は、情報処理装置１の不図示のＣＰＵである。

　ステップ３０１では、起動関連情報検証部１５は、検証対象範囲情報１９２を参照し、起動時に改ざん有無を検証する対象を特定する。特に、起動するプログラムに加えて、当該プログラムが格納される領域の最新性も検証対象とする。

　図７に、ステップ３０１において起動関連情報検証部１５が検証対象範囲を特定するために参照する検証対象範囲情報１９２の例を示す。検証対象範囲情報１９２は、記憶領域の先頭に割り当てられたアドレスを示すアドレス７０１、当該アドレスから始まる記憶領域の種別を示す種別７０２、及び当該アドレス７０１から始まる記憶領域が検証対象になるかを示す検証対象７０３を含む。例えば、起動関連情報検証部１５は、検証対象７０３が「対象」となっているアドレス７０１「０ｘ００５０Ｃ０００」以降の所定の範囲の記憶領域を検証対象とする。なお、各記憶領域の検証対象範囲は、予め決定してもよく、所定の手続きに基づいて動的に変更してもよい。例えば、プログラムが実際に使用する範囲を検証対象範囲としてもよい。

　ステップ３０２では、起動関連情報検証部１５は、ステップ３０１において特定した検証対象の改ざん有無を検証する。検証対象領域に格納されているデータから算出される検証期待値と、ステップ２０７において記憶領域に書き込まれた検証期待値４０４が一致すれば、検証対象領域は改ざんされていないと判定できる。検証処理で用いる検証期待値は、ＡＥＳ－ＣＭＡＣのような共通鍵暗号技術を用いて生成したＭＡＣの値でも、ＥＣＤＳＡ、ＲＳＡ等の公開鍵暗号技術を用いて生成した署名値でもよく、ハッシュやチェックサムでもよい。

　ステップ３０３では、起動関連情報検証部１５は、ステップ３０２における検証結果が一致を示す場合はステップ３０４に進み、検証結果が一致を示さない場合はステップ３０７に進む。

　ステップ３０４では、起動領域特定部１６は、各記憶領域に格納される最新性情報４０３を取得し、最も新しい値の領域を特定する。

　ステップ３０５では、起動領域情報更新部１７は、ステップ３０４で特定した最も新しい最新性情報４０３を保持する記憶領域５０１を「起動領域」とし、最も新しい最新性情報４０３を保持しない記憶領域５０１を「待機領域」として起動領域情報１９１を更新する。

　ステップ３０６では、プログラム実行部１８は、ステップ３０５において起動領域と定められた記憶領域に格納されるプログラムを実行する。

　ステップ３０７では、情報処理装置１は、ステップ３０３において検証結果が一致を示さない場合、所定のエラー処理を実行する。

　なお、図３に示すフローチャートでは、最新性情報を比較し（３０４）、起動領域情報１９１を更新する（３０５）前に、起動領域を検証する（３０２、３０３）が、最新性情報を比較し（３０４）、起動領域情報１９１を更新した（３０５）後に、起動領域を検証して（３０２、３０３）もよい。すなわち、ステップ３０２及び３０３の処理をステップ３０５とステップ３０６の間で実行する。このようにすると、検証範囲が狭くなり、プログラムを高速に起動できる。一方、図３に示す形態では起動領域と共に待機領域も検証されるが、前述した変形例では待機領域が検証されずに未検証領域として残る。このため、未検証領域のプログラムを起動させないようにロックするとよい。

　以上のステップによって、車載ネットワークに接続された情報処理装置１を対象にプログラムを安全に起動できる。

　本実施例では、プログラム更新時の検証に用いる検証期待値と、プログラム起動時の検証に用いる検証期待値に同じものを用いる場合を説明した。一方、ステップ２０７において、更新用プログラム関連データ４０１に含まれる検証期待値４０４が対象とする検証範囲と、情報処理装置が起動時に実施する起動関連情報の検証範囲が一致しない場合は、プログラム更新用の検証期待値とプログラム起動用の検証期待値の両方を更新用プログラム関連データ４０１に含むとよい。具体的には、ステップ２０４におけるプログラム更新時の検証処理では、プログラム更新用検証期待値８０４を検証期待値として利用し、ステップ３０２におけるプログラム起動時の検証処理では、起動用検証期待値８０７を検証期待値として利用する。

　図８に、プログラム更新用の検証期待値とプログラム起動用の検証期待値が異なる場合の更新用プログラムパッケージ８０１の例を示す。

　更新用プログラムパッケージ８０１は、更新用プログラム関連データ８０２と、プログラム更新用最新性情報８０３と、プログラム更新用検証期待値８０４を含む、更新用プログラム関連データ８０２は、プログラム８０５と、起動用最新性情報８０６と、起動用検証期待値８０７を含む。更新用プログラム関連データ８０２は、ステップ２０７において、プログラム更新部１４が待機領域を書き換えるために使用する。プログラム更新用最新性情報８０３は、更新用プログラムパッケージ８０１の作成時に生成され、ステップ２０２において、最新性情報検証部１２が最新性情報を検証するために使用する。プログラム更新用検証期待値８０４は、更新用プログラムパッケージ８０１の作成時に生成され、ステップ２０４において、検証期待値検証部１３が更新用プログラムを検証するために使用する。起動用最新性情報８０６は、プログラム８０５の作成時に生成され、ステップ３０３において、起動領域特定部１６が新しい最新性情報を保持する領域を特定するために参照する。起動用検証期待値８０７は、プログラム８０５の作成時に生成され、ステップ３０２において、起動関連情報検証部１５が検証対象となる領域の改ざんの有無を検証するための検証期待値として使用する。

　以上に説明したように、本発明の実施例１によれば、プログラム起動時において、実行されるプログラムに加えて、起動する領域を示す起動領域情報１９１の改ざんの有無を検証できる。また、プログラム更新作業者は、情報処理装置１に保持されている最新性情報を意識することなく、更新用プログラム関連データの生成時点の最新性情報を付与するだけでよい。これにより、起動の度に、情報処理装置１の安全性を担保できるとともに、プログラム更新作業者の運用負荷を抑制できる。

　以上に説明したように、本発明の実施例の情報処理装置１は、版が異なる同種のプログラムを書換え可能に格納する第１の領域と第２の領域とを含む記憶部１９と、記憶部１９に格納されたプログラムを実行する演算部（ＣＰＵ）とを備え、第１の領域及び第２の領域の各々は、プログラムと、当該プログラムの新しさに関する最新性情報とを格納しており、更新すべきプログラムと共に受信した最新性情報によって、当該プログラムで記憶部１９を更新するかを判定し、複数の領域に格納されたプログラムのうち、最新性情報が新しいプログラムを起動するので、最新性情報によってプログラムのバージョンが担保できる。すなわち、起動時に、最新のプログラムが格納された領域を選定し、そのプログラムを起動できる。

　また、第１の領域及び第２の領域の各々は、各領域に格納されたプログラム及び最新性情報を検証するための検証期待値をさらに格納しており、情報処理装置１は、プログラムの起動時に、検証期待値を用いて、当該プログラム及び当該プログラムの最新性情報を検証し、当該検証に成功すると当該プログラムを起動可能とするので、最新性情報も含めて、起動するプログラムが改ざんされていないことを保証できる。

　また、第１の領域及び第２の領域は、一方がプログラムが実行される起動領域であり、他方がプログラムが更新される待機領域であるので、情報処理装置１を停止することなくプログラムを更新できる。

　また、プログラムは、パッケージに含まれて情報処理装置１に送信され、パッケージは、当該パッケージの作成時に生成される最新性情報を含むので、パッケージ毎に最新性を判定できる。

　また、プログラムは、パッケージに含まれて情報処理装置１に送信され、パッケージは、当該パッケージ又は当該パッケージに含まれるプログラムの作成時に生成される最新性情報と、プログラム及び最新性情報を検証するための検証期待値を含み、情報処理装置１は、プログラムの更新時及び起動時に、検証期待値を用いて前記パッケージに含まれる最新性情報を検証するので、更新時と起動時に一つの検証期待値を用いてプログラムの改ざんの有無を判定できる。

　また、プログラムは、パッケージに含まれて情報処理装置に送信され、パッケージは、当該パッケージの作成時に生成される更新用最新性情報と、当該パッケージに含まれるプログラムの作成時に生成される起動用最新性情報とを含み、情報処理装置１は、プログラムの更新時に、更新用最新性情報を検証し、プログラムの起動時に、起動用最新性情報を検証するので、更新されるプログラムの範囲と起動されるプログラムの範囲とが異なっても、更新時と起動時にプログラムの改ざんの有無を判定できる。

　なお、本発明は前述した実施例に限定されるものではなく、添付した特許請求の範囲の趣旨内における様々な変形例及び同等の構成が含まれる。例えば、前述した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに本発明は限定されない。また、ある実施例の構成の一部を他の実施例の構成に置き換えてもよい。また、ある実施例の構成に他の実施例の構成を加えてもよい。また、各実施例の構成の一部について、他の構成の追加・削除・置換をしてもよい。

　また、前述した各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等により、ハードウェアで実現してもよく、プロセッサがそれぞれの機能を実現するプログラムを解釈し実行することにより、ソフトウェアで実現してもよい。

　各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）等の記憶装置、又は、ＩＣカード、ＳＤカード、ＤＶＤ、ＢＤ等の記録媒体に格納することができる。

　また、制御線や情報線は説明上必要と考えられるものを示しており、実装上必要な全ての制御線や情報線を示しているとは限らない。実際には、ほとんど全ての構成が相互に接続されていると考えてよい。

Claims

　プログラムを実行する情報処理装置であって、
　版が異なる同種のプログラムを書換え可能に格納する第１の領域と第２の領域とを含む記憶部と、
　前記記憶部に格納されたプログラムを実行する演算部とを備え、
　前記第１の領域及び前記第２の領域の各々は、前記プログラムと、当該プログラムの新しさに関する最新性情報とを格納しており、
　更新すべきプログラムと共に受信した最新性情報によって、当該プログラムで前記記憶部を更新するかを判定し、
　前記各領域に格納されたプログラムのうち、前記最新性情報が新しいプログラムを起動することを特徴とする情報処理装置。
　請求項１に記載の情報処理装置であって、
　前記第１の領域及び前記第２の領域の各々は、各領域に格納されたプログラム及び前記最新性情報を検証するための検証期待値をさらに格納しており、
　前記情報処理装置は、前記プログラムの起動時に、前記検証期待値を用いて、当該プログラム及び当該プログラムの最新性情報を検証し、当該検証に成功すると当該プログラムを起動可能とすることを特徴とする情報処理装置。
　請求項１に記載の情報処理装置であって、
　前記第１の領域及び前記第２の領域は、一方がプログラムが実行される起動領域であり、他方がプログラムが更新される待機領域であることを特徴とする情報処理装置。
　請求項１に記載の情報処理装置であって、
　前記プログラムは、パッケージに含まれて情報処理装置に送信され、
　前記パッケージは、当該パッケージの作成時に生成される最新性情報を含むことを特徴とする情報処理装置。
　請求項２に記載の情報処理装置であって、
　前記プログラムは、パッケージに含まれて情報処理装置に送信され、
　前記パッケージは、当該パッケージ又は当該パッケージに含まれるプログラムの作成時に生成される最新性情報と、前記プログラム及び前記最新性情報を検証するための検証期待値を含み、
　前記情報処理装置は、前記プログラムの更新時及び起動時に、前記検証期待値を用いて前記パッケージに含まれる最新性情報を検証することを特徴とする情報処理装置。
　請求項２に記載の情報処理装置であって、
　前記プログラムは、パッケージに含まれて情報処理装置に送信され、
　前記パッケージは、当該パッケージの作成時に生成される更新用最新性情報と、当該パッケージに含まれるプログラムの作成時に生成される起動用最新性情報とを含み、
　前記情報処理装置は、
　前記プログラムの更新時に、前記更新用最新性情報を検証し、
　前記プログラムの起動時に、前記起動用最新性情報を検証することを特徴とする情報処理装置。
　プログラムを実行する情報処理装置のプログラムを更新するプログラム起動方法であって、
　前記情報処理装置は、版が異なる同種のプログラムを書換え可能に格納する第１の領域と第２の領域とを含む記憶部と、前記記憶部に格納されたプログラムを実行する演算部とを有し、
　前記第１の領域及び前記第２の領域の各々は、前記プログラムと、当該プログラムの新しさに関する最新性情報とを格納しており、
　前記プログラム起動方法は、
　前記情報処理装置が、更新すべきプログラムと共に受信した最新性情報によって、当該プログラムで前記記憶部を更新するかを判定し、
　前記情報処理装置が、前記各領域に格納されたプログラムのうち、前記最新性情報が新しいプログラムを起動することを特徴とするプログラム起動方法。