WO2006090800A1

WO2006090800A1 - セキュア処理装置、及びセキュア処理システム

Info

Publication number: WO2006090800A1
Application number: PCT/JP2006/303320
Authority: WO
Inventors: Tomoyuki Haga; Yoshikatsu Ito; Hideki Matsushima; Yukie Shoda; Shigehiko Kimura; Hiroshi Okuyama; Yasuki Oiwa; Takafumi Kagawa
Original assignee: Matsushita Electric Industrial Co., Ltd.
Priority date: 2005-02-25
Filing date: 2006-02-23
Publication date: 2006-08-31
Also published as: JPWO2006090800A1; JP4796050B2; CN101128833A; EP1862937A1; KR20070105989A

Abstract

　プログラム記憶部１１１には、複数の被保護プログラムが記憶されており、無効化リスト記憶部１１７には、無効化されている被保護プログラムの情報が記憶されている。実行プログラム選択部１１２は、無効化リストを参照して、無効化されていない１の被保護プログラムを選択する。実行前、又は実行中の被保護プログラムについて、不正解析が検出されると、不正解析検出部１１６は、前記被保護プログラムの実行を中止させ、無効化リスト更新部１１８は、無効化リストに前記被保護プログラムが無効化されている旨を登録する。

Description

明細書

セキュア処理装置、及びセキュア処理システム

技術分野

[0001] 本発明は、プログラムの不正な改ざんや解析を防止する技術に関する。

背景技術

[0002] PCや携帯電話機を用いて視聴するための有料のデジタルコンテンツが配信されているが、不正コピーを防止するために、デジタルコンテンツは暗号ィ匕されて配信される。そのため、デジタルコンテンツを再生するためのプログラムは、暗号ィ匕を解くための暗号鍵を含んでいる。従って、不正解析を目的とする悪意のユーザが再生用のプログラムを解析して、暗号鍵を特定することができれば、デジタルコンテンツを不正にコピーされてしまう。

[0003] このようなプログラムの解析を防止する技術は、従来力も存在しており、解析防止の技術が施されたプログラムに対し、悪意のユーザは、一般的に毎回異なる不正解析の手法を試行しながら徐々に解析を進めていき、最終的に暗号鍵等の秘密情報を取得する。そこで、不正解析を検出すると、それ以降プログラムの実行を不可能にすることで、そのプログラムに対して不正解析が繰り返されることを防ぐ技術がある。発明の開示

発明が解決しょうとする課題

[0004] しかしながら、プログラムの不正な解析、及び改ざんを行う意図の無い善意のユーザの誤操作が、不正な解析、及び改ざんとして検出される場合がある。このような場合、上記の従来技術では、プログラムの実行が不可能になり、以後、そのプログラムを利用することができなくなる。これは、善意のユーザにとって不利益となる。

本発明は、上記の問題点に鑑みなされたものであって、プログラムの不正解析の防止と、善意のユーザにとっての利便性とを両立することができるセキュア処理システムを提供することを目的とする。

課題を解決するための手段

[0005] 上記の目的を達成するために、本発明は、セキュア処理装置であって、オリジナルプログラムと同一の結果が得られるように、前記オリジナルプログラムに基づき生成された複数の被保護プログラムを記憶して、るプログラム記憶手段と、解析の対象とされた被保護プログラムを無効化する無効化手段と、前記複数の被保護プログラムから、無効化されていない 1の被保護プログラムを選択する選択手段と、選択された 1の被保護プログラムを実行する実行手段とを備えることを特徴とする。

発明の効果

[0006] 上記の構成によると、解析の対象とされた被保護プログラムを無効化することにより、悪意のユーザにより同一の被保護プログラムに対する解析が再試行されるのを防止することができる。更に、当該セキュア処理装置は、複数の被保護プログラムを記憶しているため、解析の対象とされた被保護プログラムが無効化された場合であっても、無効化されていない他の被保護プログラムを実行することにより、善意のユーザのプログラムを利用する権利を担保することができる。

[0007] ここで、前記セキュア処理装置は、前記実行手段が 1の被保護プログラムを実行する際に、前記被保護プログラムが解析の対象とされているか否かを判断する解析検出手段を備え、前記無効化手段は、無効化されている被保護プログラムを示す無効ィ匕リストを記憶する無効化リスト記憶部と、前記解析検出手段により、前記被保護プログラムが解析の対象とされていると判断されると、前記無効化リストに、前記被保護プログラムが無効化された旨を登録する無効化登録部とを備えるように構成してもよい

[0008] この構成によると、無効化リスト記憶部が無効化リストを記憶していることにより、選択手段は、無効化された被保護プログラムを識別可能であり、実行すべき被保護プログラムとして、無効化されていない被保護プログラムを選択することができる。また、解析検出手段により、解析の対象となった被保護プログラムが検出されると、無効化登録部により無効化リストが更新されるので、選択手段は、常に新しい無効化リストを参照して、無効化されて、な、被保護プログラムを選択することができる。

[0009] ここで、前記無効化リストは、当該無効化リストの正当性を証明するための署名データが付加されており、前記選択手段は、前記無効化リストに付加されている前記署名データを検証し、前記署名データの検証の結果、前記無効化リストの不正が検出された場合には、被保護プログラムの選択処理を中止するように構成してもよ、。

この構成によると、不正解析を試みる悪意のユーザにより、無効化リストが改ざんされた場合であっても、署名データを検証することにより、無効化リストの改ざんの有無を判断することが可能となる。また、無効化リストの改ざんが検出された場合には、全ての被保護プログラムの実行を中止することができ、不正解析を防止することができる。

[0010] ここで、前記複数の被保護プログラムは、オリジナルプログラムを難読ィ匕した難読ィ匕プログラムであって、各被保護プログラムは、難読化の方法及び Z又は難読化の程度がそれぞれ異なることにより、異なるコードを有するプログラムであるように構成してちょい。

この構成によると、悪意のユーザによる被保護プログラムの解析を困難にすることができる。

[0011] ここで、前記複数の被保護プログラムの内、何れか 1以上の被保護プログラムは、前記難読ィ匕の方法として、前記オリジナルプログラムに含まれる複数の部分プログラムの内、異なる部分プログラムを暗号ィ匕する方法を用い、生成されたプログラムであるように構成してもよい。

この構成によると、前記 1以上の被保護プログラムは、暗号ィ匕されている部分プログラム、即ち暗号化されている位置が異なるために、悪意のユーザが複数回解析を試みた場合であっても、解析が困難となる。

[0012] ここで、部分プログラムを暗号ィ匕することにより生成された前記 1以上の被保護プログラムは、暗号ィ匕の対象である各部分プログラム力異なる暗号ィ匕アルゴリズム及び

Z又は異なる暗号鍵を用いて暗号ィ匕されたプログラムであるように構成してもよ、。この構成によると、前記 1以上の被保護プログラムは、暗号ィ匕されている位置が異なるだけでなぐ暗号ィ匕のアルゴリズムや暗号鍵も異なるため、更に解析を困難にすることができる。

[0013] ここで、前記複数の被保護プログラムの内、何れか 1以上の被保護プログラムは、前記難読ィ匕の方法として、前記オリジナルプログラムに含まれる複数の命令の内、相互に依存関係にな、命令である並列命令の実行順序を入れ替える方法を用い、生成されたプログラムであるように構成してもよ!/、。

この構成によると、前記 1以上の被保護プログラムは、オリジナルプログラムの並列性に基づき生成されており、オリジナルプログラムと同一の出力結果を担保しつつ、悪意のユーザによる解析を困難にすることができる。

[0014] ここで、前記複数の被保護プログラムの内、何れか 1以上の被保護プログラムは、前記難読ィ匕の方法として、前記オリジナルプログラムに含まれる命令を、当該命令と異なる処理を行い、且つ当該命令と同一の結果を出力する 1以上の命令力なる恒等命令に置き換える方法を用い、生成されたプログラムであるように構成してもよ、。この構成によると、前記 1以上の被保護プログラムは、オリジナルプログラムの恒等命令を用いて生成されており、オリジナルプログラムと同一の出力結果を担保しつつ

、悪意のユーザによる解析を困難にすることができる。

[0015] ここで、前記複数の被保護プログラムの内、何れか 1以上の被保護プログラムは、前記難読ィ匕の方法として、前記オリジナルプログラムの結果に影響を与えな、命令であるダミー命令を、前記オリジナルプログラムに挿入する方法を用い、生成されたプログラムであるように構成してもよ!/、。

この構成によると、前記 1以上の被保護プログラムは、ダミーコードを用いて冗長化して生成されており、オリジナルプログラムと同一の出力結果を担保しつつ、悪意のユーザによる解析を困難にすることができる。

[0016] ここで、前記セキュア処理装置は、前記実行手段が 1の被保護プログラムを実行する際に、前記被保護プログラムが解析の対象とされているか否かを判断する解析検出手段を備えるように構成してもよ、。

この構成〖こよると、解析検出手段が被保護プログラムの解析の可能性を検出することにより、無効化手段は、秘密の情報が暴露される危険のある被保護プログラムを無効ィ匕することができる。

[0017] ここで、前記解析検出手段は、前記実行手段による被保護プログラムの実行中にデバッガを検出すると、検出したデバッガを無効化するデバッガ検出部と、前記デバッガ検出部によりデバッガが検出されると、前記実行手段に対し、実行中止を指示する指示部とを備え、前記実行手段は、前記指示部から実行中止の指示を受け付けると、実行中である前記被保護プログラムの実行を即座に中止するように構成してもよい。

[0018] この構成〖こよると、当該セキュア処理装置は、デバッガを検出する機能を有し、更に、検出したデバッガを無効化することにより、実行中の被保護プログラムが解析され、秘匿にすべき情報が暴露されるのを防止することができる。

ここで、前記解析検出手段は、被保護プログラムの改ざんを検出する改ざん検出部と、前記改ざん検出部により改ざんが検出されると、前記実行手段に対し、実行中止を指示する指示部とを備え、前記実行手段は、前記指示部から実行中止の指示を受け付けると、前記被保護プログラムの実行を中止するように構成してもよい。

[0019] この構成によると、当該セキュア処理装置は、改ざんが検出された被保護プロダラム以外の他の被保護プログラムは実行可能であるため、善意のユーザの利益を害することなく不正なプログラムの実行を防止することができる。

ここで、前記解析検出手段は、前記被保護プログラムが解析の対象とされていると判断すると、前記解析に係る解析ログ情報を生成するログ情報生成部を備えるように構成してちょい。

[0020] この構成〖こよると、解析に係る解析ログ情報を生成することにより、どのような解析行為がなされたかを知ることができる。また、セキュア処理装置の開発段階におけるテスト工程において、解析検出手段が正しく解析行為を検出するか否かを確認することができる。

ここで、前記セキュア処理装置は、ネットワークを介して外部サーバと接続されており、前記ログ情報生成部は、生成した前記解析ログ情報を、前記外部サーバへ送信するように構成してちょい。

[0021] この構成によると、解析ログ情報を外部サーバへ送信することにより、外部サーバでは、どのような解析行為がなされたのカゝを分析することができる。解析行為を分析することにより、より解析の困難な被保護プログラムを生成することができる。

ここで、前記解析検出手段は、更に、所定の数値に設定された閾値を記憶している閾値記憶部と、被保護プログラムが解析の対象とされて、ると判断した回数を保持し、前記判断の都度、保持している回数を更新する解析回数計数部とを備え、前記無効化登録部は、前記解析回数計数部が保持している回数が前記閾値を超える場合に、前記無効化リストに、前記被保護プログラムが無効化された旨を登録するように構成してちょい。

[0022] この構成〖こよると、解析された回数が、予め設定されている閾値を超えた場合にのみ、被保護プログラムが無効化される。したがって、善意のユーザの偶然による誤操作で、直ちに実行中の被保護プログラムが無効化されてしまうことを防ぐことができる。また、悪意のユーザが解析を繰り返すと、解析の回数が予め設定されている閾値を超え、被保護プログラムが無効化されるので、被保護プログラムに含まれる秘匿にすべき情報が暴露されることを防止することができる。

[0023] ここで、前記選択手段は、前記無効化リストを参照し、無効化されていない 1の被保護プログラムをランダムに選択するように構成してもよ、。

この構成〖こよると、選択する被保護プログラム、即ち実行する被保護プログラムが毎回ランダムに決定されるので、悪意のユーザによる不正解析を困難にすることができる。

ここで、前記選択手段は、選択した被保護プログラムを識別するための情報を記憶しており、前記情報と前記無効化リストとを参照し、未選択であり、且つ無効化されて V、ない 1の被保護プログラムをランダムに選択するように構成してもよ!/、。

[0024] この構成〖こよると、選択する被保護プログラム、即ち実行する被保護プログラムが、毎回ランダムに決定され、尚且つ一度実行された被保護プログラムが、次回から選択されないため、悪意のユーザによる不正解析をより困難にすることができる。

ここで、前記選択手段は、予め所定の選択順序を記憶しており、前記無効化リストを参照し、無効化されていない 1の被保護プログラムを、前記選択順序に応じて選択するように構成してちょい。

[0025] この構成〖こよると、所定の選択順序を記憶しておくことで、実行する被保護プロダラムをランダムに選択する場合と比較すると、乱数生成の処理等を省略することができ、処理時間を短縮することができる。

ここで、前記選択手段は、前記複数の被保護プログラムについて、各被保護プログラムの難読化の程度を示す難読化度情報を記憶しており、前記難読化度情報と前記無効化リストとを参照し、難読化の程度の高、被保護プログラムカゝら順に実行されるように、無効化されてヽなヽ 1の被保護プログラムを選択するように構成してもよ、。

[0026] この構成によると、難読ィ匕の程度の高い被保護プログラム、即ち、解析の困難な被保護プログラム力順に実行することで、悪意のユーザによる不正解析を効果的に防止することができる。

ここで、前記選択手段は、前記複数の被保護プログラムについて、各被保護プログラムの難読化の程度を示す難読化度情報を記憶しており、

前記難読化度情報を参照し、難読化の程度の低ヽ被保護プログラムカゝら順に実行されるように、無効化されてヽない 1の被保護プログラムを選択するように構成してもよい。

[0027] 一般的に、難読ィ匕の程度が高い被保護プログラムほど、プログラム実行速度が遅く、難読ィ匕の程度が高い被保護プログラムほど、プログラム実行速度が速くなるの。従つて、この構成〖こよると、実行速度の速い被保護プログラム力も実行され、不正解析の意図のな、善意のユーザにとっては、利便性が高、セキュア処理装置を提供することができる。

ここで、前記選択手段は、実行速度の速い被保護プログラム力順に実行されるように、無効化されてヽない 1の被保護プログラムを選択するように構成してもよ、。

[0028] この構成〖こよると、実行速度の速い被保護プログラム力も実行されるので、不正解祈の意図のな、善意のユーザにとっては、利便性が高、セキュア処理装置を提供することがでさる。

ここで、前記セキュア処理装置は、ネットワークを介して、被保護プログラムを保持しているプログラム更新サーバと接続されており、前記選択手段は、無効化されていない被保護プログラムの残数が、所定の閾値以下であるカゝ否かを判断する判断部と、前記判断部により、所定の閾値以下であると判断された場合に、前記プログラム更新サーバに対し、新たな被保護プログラムの送信を要求するプログラム要求部と、前記プログラム更新サーバから、新たな被保護プログラムを受信するプログラム受信部とを備えるように構成してもよ、。

[0029] この構成によると、プログラム記憶手段に記憶されている複数の被保護プログラムが全て無効化された場合であっても、セキュア処理装置は、プログラム更新サーバから新たな被保護プログラムを取得することが可能であり、善意のユーザのプログラムを利用する権利を担保することができる。

また、プログラム記憶手段の記憶容量が少なぐ予め多くの被保護プログラムを記憶しておいくことができないセキュア処理装置であっても、外部のプログラム更新サーノくから被保護プログラムを取得することが可能である。

[0030] また、本発明は、ネットワークを介して接続されてセキュア処理装置とプログラム更新サーバとから構成されるセキュア処理システムであって、前記セキュア処理装置は、オリジナルプログラムと同一の結果が得られるように、前記オリジナルプログラムに基づき生成された複数の被保護プログラムを記憶して、る第 1記憶手段と、解析の対象とされた被保護プログラムを無効化する無効化手段と、前記複数の被保護プロダラムから、無効化されていない 1の被保護プログラムを選択する選択手段と、選択された 1の被保護プログラムを実行する実行手段と、前記第 1記憶手段に記憶されている複数の被保護プログラムの内、無効化されていない被保護プログラムの残数が、所定の閾値以下である場合に、前記プログラム更新サーバに対し、被保護プログラムの送信を要求する要求手段とを備え、前記プログラム更新サーバは、複数の被保護プログラムを記憶している第 2記憶手段と、前記セキュア処理装置から、被保護プロダラムの送信要求を受け付ける要求受付手段と、前記要求受付手段が前記送信要求を受け付けると、前記第 2記憶手段から、 1以上の被保護プログラムを読み出して、前記セキュア処理装置へ送信する送信手段とを備えることを特徴とする。

[0031] この構成〖こよると、解析の対象とされた被保護プログラムを無効化することにより、悪意のユーザにより同一の被保護プログラムに対する解析が再試行されるのを防止することができる。更に、当該セキュア処理装置は、複数の被保護プログラムを記憶しているため、解析の対象とされた被保護プログラムが無効化された場合であっても、無効化されていない他の被保護プログラムを実行することにより、善意のユーザのプログラムを利用する権利を担保することができる。

[0032] また、第 1記憶手段に記憶されている複数の被保護プログラムが全て無効化された場合であっても、セキュア処理装置は、プログラム更新サーノから新たな被保護プログラムを取得することが可能であり、善意のユーザのプログラムを利用する権利を担保することができる。

図面の簡単な説明

[0033] [図 1]セキュア処理システム 1の構成を示すシステム構成図である。

[図 2]携帯電話機 10の構成を機能的に示す機能ブロック図である。

[図 3]プログラム記憶部 111に記憶されて、る被保護プログラムを示す図である。

[図 4]セキュアプログラムの特徴について説明するための図である。

[図 5]不正解析検出部 116の機能を説明するための図である。

[図 6]改ざん検出部 402が保持する改ざん検出値テーブル 410のデータ構成を示す図である。

[図 7]不正解析ログ情報 420のデータ構成を示す図である。

[図 8]無効化リスト 500のデータ構成を示す図である。

[図 9]プログラム更新サーバ 20の構成を機能的に示す機能ブロック図である。

[図 10]更新用プログラム記憶部 604に記憶されている被保護プログラムを示す図である。

[図 11]セキュア処理システム 1全体の動作を示すフローチャートである。

[図 12]セキュア処理システム 1における被保護プログラムの更新処理を示すフローチヤートである。

[図 13]セキュア処理システム 1におけるプログラム選択処理 1の動作を示すフローチヤートである。

[図 14]セキュア処理システム 1におけるプログラム選択処理 2の動作を示すフローチヤートである。

[図 15]セキュア処理システム 1における不正検出時の処理を示すフローチャートである。

符号の説明

[0034] 1 セキュア処理システム

10 携帯電話機

20 プログラム更新サーバ 30 ネットワーク

101 アンテナ

102 送受信部

103 通信制御部

104 n己' 1思 ρβ

105 表示部

106 操作部

107 スピーカ

108 マイク

109 セキュア処理部

111 プログラム記憶部

112 実行プログラム選択部

113 プログラムロード、咅

114 プログラムロード領域

115 プログラム実行部

116 不正解析検出部

117 無効化リスト記憶部

118 無効化リスト更新部

401 デバッガ検出部

402 改ざん検出部

403 不正解析通知部

601 送受信部

602 制御部

603 不正解析ログ情報記憶部

604 更新用プログラム記憶部

発明を実施するための最良の形態

本発明に係る実施の形態として、セキュア処理システム 1について図面を参照して説明する。 <構成>

1.セキュア処理システム 1

図 1は、セキュア処理システム 1の構成を示すシステム構成図である。同図に示すように、セキュア処理システム 1は、携帯電話機 10、プログラム更新サーバ 20、及びネットワーク 30から構成される。

[0036] 携帯電話機 10は、無線電波を用いて通信を行う可搬型の電話機である。携帯電話機 10は、暗号化コンテンツをダウンロードし、ダウンロードした暗号ィ匕コンテンツを保持している。また、携帯電話機 10は、 B音号化コンテンツを復号し、再生するための暗号化コンテンツ復号プログラムを保持している。ここで、携帯電話機 10が保持している暗号化コンテンツは、音楽コンテンツに、暗号ィ匕アルゴリズム Eを施して生成されたデータである。

[0037] プログラム更新サーバ 20は、ネットワーク 30を介して携帯電話機 10と接続されており、携帯電話機 10による暗号ィ匕コンテンツの復号に用いられる暗号ィ匕コンテンツ復号プログラムの更新を行う。

ここで、ネットワーク 30の具体例はインターネットである。また、図 1では、携帯電話網及び無線基地局等を省略して!/、る。

[0038] 2.携帯電話機 10

図 2は、携帯電話機 10の構成を機能的に示す機能ブロック図である。同図に示すように、携帯電話機 10は、アンテナ 101、送受信部 102、通信制御部 103、記憶部 1 04、表示部 105、操作部 106、スピーカ 107、マイク 108、及びセキュア処理部 109 力も構成される。ここで、アンテナ 101、送受信部 102、通信制御部 103、記憶部 10 4、表示部 105、操作部 106、スピーカ 107、及びマイク 108は、通常の携帯電話機としての機能を達成するための機能ブロックであり、セキュア処理部 109が、本発明の特徴的な機能ブロックである。なお、携帯電話機 10は、具体的には、マイクロプロセッサ、 ROM、 RAM等から構成されるコンピュータシステムである。

[0039] 送受信部 102は、アンテナ 101を介して、通話、電子メール送受信、ネットワーク 30 を介したプログラム更新サーバ 20との通信等を行う。

通信制御部 103は、通信制御用コンピュータプログラムを記憶しており、マイクロプ口セッサが通信制御用コンピュータプログラムを実行することにより、携帯電話機 10 が有する通話、メール送受信、ネットワーク接続等の通信機能を制御する。

[0040] 記憶部 104は、電話帳やスケジュール帳、送受信済みの電子メールデータ、ダウンロードした暗号ィ匕コンテンツ等を記憶して、る。

表示部 105は、液晶ディスプレイを含み、各種の画面を液晶ディスプレイに表示する。

操作部 106は、携帯電話機 10の操作面に設けられた複数のボタン等から構成され、ボタンの押下により、ユーザ力もの入力を受け付ける。

[0041] スピーカ 107は、音声を出力し、マイク 108は、音声の入力を受け付ける。

セキュア処理部 109は、プログラム記憶部 111、実行プログラム選択部 112、プログラムロード部 113、プログラムロード領域 114、プログラム実行部 115、不正解析検出部 116、無効化リスト記憶部 117、及び無効化リスト更新部 118から構成される。

[0042] プログラム記憶部 111は、 FlashROM, EEPROM、又は HDDで構成される。図 3 は、プログラム記憶部 111の内部を示す図である。同図に示すように、プログラム記憶部 111は、被保護プログラム A (201)、被保護プログラム B (202)、 · ··、被保護プログラム C (203)を含む、複数個の被保護プログラムを記憶して、る。

各被保護プログラムには、プログラム識別子が付与されている。具体的に、被保護プログラム A(201)には、プログラム識別子 A : 0001 (211)、被保護プログラム B (20 2)には、プログラム識別子 B: 0002 (212)、被保護プログラム C (203)には、プログラム識別子 C： 0003 (213)が付与されて、る。

[0043] ここで、被保護プログラムの性質について、図 4を用いて説明する。

プログラム記憶部 111に記憶されて、る全ての被保護プログラムは、暗号化コンテンッ復号プログラムであるオリジナルプログラム 200を、難読ィ匕して生成されたプログラムであり、図 4に示すように、オリジナルプログラム 200及び各被保護プログラムは、暗号ィ匕コンテンツ 301と復号鍵 302とを入力値とすると、同一の出力値である復号コンテンッ 303を出力する。なお、本実施形態における被保護プログラムは、復号鍵 3 02を内部に含んでいるものとする。

[0044] ここで、難読化とは、プログラムをその構造的意味を変えずに複雑ィ匕することで、プログラムの解析を困難にすることを目的とした技術であり、具体的には、オリジナルプログラム 200の一部又は全部に暗号ィ匕を施したり、オリジナルプログラム 200に、実行に影響を与えな、不要なダミーコードを挿入したり、オリジナルプログラム 200に含まれる一部のコードを、当該一部のコードと異なるコードであるが同一の結果を得られる等価なコードに置き換えたり、オリジナルプログラム 200に含まれるコードの内、順序を入れ替えても結果の変わらないコードの順序を入れ替えたり、 1つのモジユールを複数のモジュールに分割したり、制御構造を複雑ィ匕したりする方法より実現される。

なお、各被保護プログラムは、それぞれ異なる方法で難読化されたり、複数の方法をそれぞれ異なる組み合わせで用いて難読化されたり、それぞれ異なる暗号ィ匕アルゴリズムや暗号鍵を用いて暗号化されたり、それぞれオリジナルプログラム 200の異なる部分が暗号化されたり、それぞれ異なる程度で難読化されたりすることにより、異なるバイナリコードを有するプログラムである。難読ィ匕の程度は、ダミーコードの追カロサイズや、制御構造の複雑化パターン、モジュールの分割数、暗号ィ匕アルゴリズムの強度等を変更することにより変えることができる。

[0045] 実行プログラム選択部 112は、無効化リスト記憶部 117に記憶されている無効化リスト 500を参照し、無効化されていない 1つの被保護プログラムを選択する。実行プログラム選択部 112は、選択した被保護プログラムのプログラム先頭アドレス、及びプログラムサイズを無効化リストから読み出し、読み出したプログラム先頭アドレス、及びプログラムサイズを、プログラムロード部 113へ通知する。なお、実行プログラム選択部 1 12は、乱数生成器を用いて乱数を生成し、生成した乱数に基づき、実行する被保護プログラムを選択する。被保護プログラム選択の詳細については、後述する。

[0046] ここで、無効化リスト 500を参照することにより、全ての被保護プログラムが無効化されていると判断する場合には、実行プログラム選択部 112は、無効化リスト更新部 11 8に対し、新たな被保護プログラムのダウンロードを要求する。

プログラムロード部 113は、実行プログラム選択部 112から、プログラム先頭アドレス、及びプログラムサイズを受け取ると、被保護プログラムをプログラムロード領域 114にロードする。プログラムロード領域 114は、本実施形態では具体例として RAMである [0047] プログラム実行部 115は、マイクロプロセッサを含み、プログラムロード領域 114に口ードされた被保護プログラムを実行する。

先に述べたように、被保護プログラムは、暗号ィ匕コンテンツ復号プログラムであるから、プログラム実行部 115は、被保護プログラムを実行することにより、記憶部 104から暗号化コンテンツを読み出し、読み出した暗号ィ匕コンテンツに、コンテンツ復号鍵を用いて復号アルゴリズム Dを施し、音楽コンテンツを復号する。プログラム実行部 1 15は、復号された音楽コンテンツを、通信制御部 103を介してスピーカ 107へ出力する。ここで、復号アルゴリズム Dは、暗号化アルゴリズム Eを施して暗号化された暗号文を、平文に変換するアルゴリズムである。

[0048] 不正解析検出部 116は、図 5に示すように、デバッガ検出部 401、改ざん検出部 4 02、及び不正解析通知部 403から構成される。

デバッガ検出部 401は、プログラム実行部 115による被保護プログラムの実行中に、インサーキットエミュレータ (登録商標である。）や、ソフトウェアデバッガを検出する機能を有する。デバッガ検出部 401は、デバッガを検出すると、デバッガインタフエ一スを切断する等により、デバッガを無効化する。デバッガ検出部 401は、デバッガを無効化すると、不正解析通知部 403に不正解析を検出した旨を通知する。

[0049] 改ざん検出部 402は、予め、図 6に示す改ざん検出値テーブル 410を記憶している。改ざん検出値テーブル 410は、改ざん検出値情報 411、 412、 · ··、 413を含み、各改ざん検出値情報は、プログラム識別子と判定用改ざん検出値とを含む。プロダラム識別子は、被保護プログラムを一意に識別するための情報である。判定用改ざん検出値は、対応付けられているプログラム識別子により識別される被保護プログラムに、予め一方向関数を用いて算出された値であり、改ざんの有無を判定するために用いられるデータである。

[0050] ここで、改ざん検出値テーブル 410は、プログラム記憶部 111に記憶されて、るすベての被保護プログラムについて、各被保護プログラムと 1対 1に対応する改ざん検出値情報を含んでいる。

具体的には、改ざん検出値情報 411は、プログラム識別子「0001」と判定用改ざん検出値「検出値 A」とを含む。プログラム識別子「0001」は、被保護プログラム A(201 )に対応するプログラム識別子であるから、判定用改ざん検出値「検出値 A」は、被保護プログラム A (201)の改ざんの有無を判定するために用いられるデータである。

[0051] また、改ざん検出値情報 412は、プログラム識別子「0002」と判定用改ざん検出値「検出値 B」とを含む。プログラム識別子「0002」は、被保護プログラム B (202)に対応するプログラム識別子であるから、改ざん検出値「検出値 B」は、被保護プログラム B (202)の改ざんの有無を判定するために用いられるデータである。

また、改ざん検出値情報 413は、プログラム識別子「0003」と判定用改ざん検出値「検出値 C」とを含む。プログラム識別子「0003」は、被保護プログラム C (203)に対応するプログラム識別子であるから、改ざん検出値「検出値 C」は、被保護プログラム C (203)の改ざんの有無を判定するために用いられるデータである。

[0052] 改ざん検出部 402は、新たな被保護プログラムのダウンロードに伴、、無効化リスト更新部 118から、判定用改ざん検出値とプログラム識別子とを受け取ると、これらを新に改ざん検出値テーブル 410に登録する。

改ざん検出部 402は、プログラムロード領域 114に被保護プログラムがロードされると、ロードされた被保護プログラムに一方向関数を用いて、改ざん検出値を算出する。改ざん検出部 402は、算出された改ざん検出値と、改ざん検出値テーブル 410に記述されている判定用改ざん検出値とがー致するか否力判断する。一致する場合には、プログラムロード領域 114にロードされて、る被保護プログラムは改ざんされて!/ヽないと判定し、一致しない場合は、被保護プログラムは改ざんされていると判定する。改ざん検出部 402は、被保護プログラムの改ざんを検出すると、不正解析通知部 40 3に不正解析を検出した旨を通知する。なお、判定用改ざん検出値及び改ざん検出値は、一例として、 SHA (Secure Hash Algorithm) - 1を用いて算出するものとする。

[0053] 不正解析通知部 403は、デバッガ検出部 401及び改ざん検出部 402から不正解析を検出した旨の通知を受けると、プログラム実行部 115に対し、プログラムの実行中止を指示し、更に、不正解析ログ情報を生成する。不正解析通知部 403は、生成した不正解析ログ情報を、通信制御部 103、送受信部 102、アンテナ 101、及びネットワーク 30を介して、プログラム更新サーバ 20へ送信する。

[0054] 図 7は、不正解析通知部 403が生成する不正解析ログ情報 420のデータ構成を示す図である。同図に示すように、不正解析ログ情報 420は、プログラム識別子欄 421 、不正解析検知コード欄 422、汎用レジスタ値欄 423、スタックポインタ欄 424、リンクレジスタ欄 425、及びプログラムカウンタ欄 426を含む。

プログラム識別子欄 421には、不正解析検知時にプログラム実行部 115が実行して!ヽた被保護プログラムを識別するプログラム識別子が記述される。不正解析検知コード欄 422には、不正解析を検出したの力デバッガ検出部 401及び改ざん検出部 402の何れであるかを示す不正解析検知コードが記述される。不正解析検知コードは、デバッガ検出部 401がデバッガを検出した場合は「1」に設定され、改ざん検出部 402が改ざんを検出した場合は「2」に設定される。汎用レジスタ値欄 423、スタックポインタ欄 424、リンクレジスタ欄 425、及びプログラムカウンタ欄 426には、デバッガ検出時におけるマイクロプロセッサ内部の、レジスタファイルの各値が記述される。

[0055] なお、デバッグレジスタを有するプロセッサを利用する場合には、不正解析通知部 403は、デバッグレジスタの状態を示す値や、デバッグレジスタにセットされているァドレス値などを不正解析ログ情報に記述してもよい。

無効化リスト記憶部 117は、図 8に示す無効化リスト 500を保持している。無効化リスト 500は、複数のプログラム無効化情報を含み、各プログラム無効化情報は、プログラム識別子、プログラム先頭アドレス、プログラムサイズ、及び無効化フラグ力も構成される。

[0056] プログラム識別子は、被保護プログラムを一意に識別するための情報である。プログラム先頭アドレスは、対応する被保護プログラムの、プログラム記憶部 111における記録開始位置を示し、プログラムサイズは、被保護プログラムのデータサイズを示す情報である。無効化フラグは、対応する被保護プログラムが無効化されているか否かを示す情報であり、「0」及び「1」の何れかに設定される。「0」は、被保護プログラムが無効化されていないことを示し、「1」は、被保護プログラムが無効化されていることを示す。

[0057] ここで、無効化リスト 500は、プログラム記憶部 111に記憶されているすべての被保護プログラムについて、各被保護プログラムと 1対 1に対応するプログラム無効化情報を含んでいる。具体的に、プログラム無効化情報 501は、被保護プログラム A(201) に対応しており、プログラム無効化情報 502は、被保護プログラム B (202)に対応しており、プログラム無効化情報 503は、被保護プログラム C (203)に対応している。

[0058] 無効化リスト更新部 118は、実行プログラム選択部 112から被保護プログラムのダウンロード要求を受け付けると、受け付けたダウンロード要求を通信制御部 103、送受信部 102、アンテナ 101、及びネットワーク 30を介して、プログラム更新サーバ 20へ送信する。無効化リスト更新部 118は、ダウンロード要求に応じて、プログラム更新サーバ 20から送信された被保護プログラムと判定用改ざん検出値とを、ネットワーク 30 、アンテナ 101、送受信部 102、及び通信制御部 103を介して受信する。無効化リスト更新部 118は、受信した被保護プログラムをプログラム記憶部 111へ書き込み、受信した判定用改ざん検出値と被保護プログラムを識別するプログラム識別子とを、不正解析検出部 116の改ざん検出部 402へ出力する。

[0059] また、無効化リスト更新部 118は、以下の場合に、無効化リスト記憶部 117に記憶されて、る無効化リスト 500を更新する。

(a)被保護プログラムの不正解析が検出された場合。即ち、無効化リスト更新部 11 8は、不正解析通知部 403から不正解析が検出された被保護プログラムのプログラム識別子を受け取ると、受け取ったプログラム識別子と対応付けられている無効化フラグを「0」から「1」に書き換えることにより、無効化リスト 500を更新する。

[0060] (b)プログラム更新サーバ 20から新たな被保護プログラムを受信した場合。即ち、無効化リスト更新部 118は、プログラム更新サーバ 20から被保護プログラムと判定用改ざん検出値とを受信すると、受信した被保護プログラムに係るプログラム無効化情報を生成し、生成したプログラム無効化情報を無効化リスト 500に登録する。

3.プログラム更新サーバ 20

図 9は、プログラム更新サーバ 20の構成を機能的に示す機能ブロック図である。同図に示すように、プログラム更新サーバ 20は、送受信部 601、制御部 602、不正解析ログ情報記憶部 603、及び更新用プログラム記憶部 604から構成される。プロダラム更新サーバ 20は、具体的には、マイクロプロセッサ、 ROM, RAM,ハードディスクユニット等力も構成されるコンピュータシステムである。

[0061] 送受信部 601は、ネットワーク接続ユニットであって、ネットワーク 30を介して携帯電話機 10から送信される情報を受信し、受信した情報を制御部 602へ出力する。また、送受信部 601は、制御部 602から出力される情報を受け取り、受け取った情報を、ネットワーク 30を介して、携帯電話機 10へ送信する。

制御部 602は、プログラム更新サーバ 20全体を制御する。具体的には、制御部 60 2は、送受信部 601及びネットワーク 30を介して、携帯電話機 10から被保護プロダラムのダウンロード要求を受け付けると、更新用プログラム記憶部 604から被保護プログラムと判定用改ざん検出値とを読み出し、読み出した被保護プログラムと判定用改ざん検出値とを送受信部 601へ出力する。また、制御部 602は、送受信部 601及びネットワーク 30を介して、携帯電話機 10から不正解析ログ情報を受信すると、受信した不正解析ログ情報を、不正解析ログ情報記憶部 603に書き込む。

[0062] 不正解析ログ情報記憶部 603は、携帯電話機 10から送信された不正解析ログ情報を記憶する。

図 10は、更新用プログラム記憶部 604の内部を示す図である。同図に示すように、更新用プログラム記憶部 604は、被保護プログラム X (611)、被保護プログラム Y (6 12)、 · ··、被保護プログラム Z (613)を含む、複数個の被保護プログラムを記憶している。

[0063] 各被保護プログラムには、プログラム識別子が付与されている。具体的に、被保護プログラム χ(611)には、プログラム識別子 X： 1001 (621)、被保護プログラム Υ(61 2)には、プログラム識別子 Υ: 1002 (622)、被保護プログラム Ζ (613)には、プロダラム識別子 Ζ： 1003 (623)が付与されて!、る。

なお、更新用プログラム記憶部 604に記憶されている各被保護プログラムは、携帯電話機 10のプログラム記憶部 111に記憶されて、る被保護プログラムと同様に、オリジナルプログラム 200を難読ィ匕して生成したプログラムであって、それぞれが異なるノイナリコードを有し、更に、図 4に示す性質を有する。即ち、被保護プログラム Χ(61 1)、被保護プログラム Υ(612)、 · ··、被保護プログラム Ζ (613)は、暗号化コンテンツ 301及びコンテンツ復号鍵 302を入力値とすると、出力値として、復号コンテンツ 303 を出力する。

[0064] また、更新用プログラム記憶部 604は、各被保護プログラムに対応付けて、判定用改ざん検出値を記憶している。図 10に示すように、被保護プログラム X (611)と、判定用改ざん検出値 X(631)とが対応しており、被保護プログラム Y (612)と、判定用改ざん検出値 Y(632)とが対応しており、被保護プログラム Ζ (613)と、判定用改ざん検出値 Ζ (633)とが対応している。各判定用改ざん検出値は、対応する被保護プログラムに、予め一方向関数を用いて算出された値であり、対応する被保護プロダラムの改ざんの有無を判定するために用いられるデータである。

[0065] <動作 >

ここでは、図 11から図 15に示すフローチャートを用いて、セキュア処理システム 1の動作について説明する。

1.セキュア処理システム 1全体の動作

図 11は、セキュア処理システム 1全体の動作を示すフローチャートである。なお、ここに示す動作は、携帯電話機 10において暗号化コンテンツの復号要求が発生することにより開始する。

[0066] 携帯電話機 10の実行プログラム選択部 112は、無効化リスト記憶部 117に記憶されて、る無効化リスト 500を読み込む (ステップ S 101)。実行プログラム選択部 112 は、無効化リスト 500の無効化フラグを読み、プログラム記憶部 111に記憶されている全ての被保護プログラムが、無効化されてヽるカゝ否か判断する (ステップ S 102)。

[0067] 全ての被保護プログラムが無効化されている場合 (ステップ S 102で YES)、即ち、無効化リスト 500の無効化フラグが全て「1」に設定されている場合、携帯電話機 10 は、被保護プログラムの更新処理を行う（ステップ S 103)。無効化されていない被保護プログラムが存在する場合、即ち、無効化リスト 500に、「0」に設定されている無効化フラグが存在する場合 (ステップ S 102で NO)、実行プログラム選択部 112は、被保護プログラム選択処理を行ヽ、 1の被保護プログラムを選択する (ステップ S 104)。

[0068] 次に、プログラムロード部 113は、ステップ S104において選択された 1の被保護プログラムを、プログラム記憶部 111からプログラムロード領域 114へロードする (ステツプ S105)。次に、不正解析検出部 116の改ざん検出部 402は、プログラムロード領域 114に口ードされた被保護プログラムの改ざん検出値を算出する (ステップ S106)。被保護プログラムの改ざんが検出された場合 (ステップ S107で YES)、即ち、ステップ S106で算出した改ざん検出値が、予め保持している判定用改ざん検出値と一致しない場合 ίま、ステップ S 112に進む。

[0069] 被保護プログラムの改ざんが検出されな、場合 (ステップ S107で NO)、即ち、ステップ S106で算出した改ざん検出値が、予め保持している判定用改ざん検出値と一致する場合は、プログラム実行部 115は、ステップ S 105でロードされた被保護プログラムの実行を開始する (ステップ S 108)。

被保護プログラムの実行中に、不正解析検出部 116のデバッガ検出部 401がデバッガを検出しなければ (ステップ S109で NO)、プログラム実行部 115は、被保護プログラムの実行を継続する。

[0070] 被保護プログラムの実行中に、デバッガ検出部 401がデバッガを検出すると (ステツプ S109で YES)、デバッガ検出部 401は、デバッガを無効化し、ステップ S111に進む。

改ざんを検出した改ざん検出部 402、及びデバッガを検出したデバッガ検出部 40 1は、不正解析通知部 403に対し、その旨を通知し、不正解析通知部 403はプロダラム実行部 115に対し実行中止を指示する。その後、プログラム実行部 115は実行して!、た被保護プログラムの実行を中止する (ステップ S112)。

[0071] 不正解析通知部 403は、不正解析通知処理を行い (ステップ S 113)、携帯電話機 10は処理を終了する。

2.被保護プログラム更新処理の動作

図 12は、被保護プログラム更新処理の動作を示すフローチャートである。なお、ここに示す動作は、図 11に示したフローチャートにおけるステップ S 103の詳細である。

[0072] 携帯電話機 10の実行プログラム選択部 112は、新たな被保護プログラムのダウン口ードを要求するためのダウンロード要求を生成する (ステップ S201)。実行プログラム選択部 112は、生成したダウンロード要求を、無効化リスト更新部 118へ出力し、無効化リスト更新部 118は、通信制御部 103、送受信部 102、アンテナ 101、及びネットワーク 30を介して、プログラム更新サーバ 20へ、ダウンロード要求を送信し、プログラム更新サーバ 20の送受信部 601は、ダウンロード要求を受信する (ステップ S202)

[0073] プログラム更新サーバ 20の制御部 602は、送受信部 601からダウンロード要求を受け取ると、更新用プログラム記憶部 604から、被保護プログラムと判定用改ざん検出値とを読み出す (ステップ S 203)。制御部 602は、読み出した被保護プログラムと判定用改ざん検出値とを、送受信部 601へ出力する。

送受信部 601は、ネットワーク 30を介して被保護プログラムと判定用改ざん検出値とを携帯電話機 10へ送信し、携帯電話機 10の送受信部 102は、アンテナ 101を介して、被保護プログラムと判定用改ざん検出値とを受信する (ステップ S204)。

[0074] 無効化リスト更新部 118は、ステップ S204で受信した被保護プログラムに係るプログラム無効化情報を生成し、生成したプログラム無効化情報を、無効化リスト記憶部 1 17に記憶されて、る無効化リスト 500に登録する (ステップ S205)。

次に、無効化リスト更新部 118は、ステップ S 204で受信した判定用改ざん検出値とプログラム識別子とを、不正解析検出部 116の改ざん検出部 402へ出力し、改ざん検出部 402は、判定用改ざん検出値をプログラム識別子と対応付けて、改ざん検出値テーブル 410に登録する（ステップ S 206)。

[0075] 更に、無効化リスト更新部 118は、ステップ S 204で受信した被保護プログラムを、プログラム記憶部 111に書き込み (ステップ S207)、書き込みが終了すると (ステップ S208)、図 11のステップ S104に戻り処理を続ける。

3.プログラム選択処理 1の動作

図 13は、プログラム選択処理 1の動作を示すフローチャートである。なお、ここに示す動作は、図 11に示したフローチャートにおけるステップ S104の詳細である。

[0076] 実行プログラム選択部 112は、無効化リスト記憶部 117に記憶されている無効化リスト 500を参照し、無効化リスト 500に登録されて、るプログラム無効化情報の総数、即ち、プログラム記憶部 111に記憶されて、る被保護プログラムの総数を Nとする (ステツプ S301)。

次に、実行プログラム選択部 112は、乱数生成器にて、 1から Nまでの整数範囲で、乱数 rを生成する (ステップ S302)。実行プログラム選択部 112は、無効化リスト 500 に含まれる N個のプログラム無効化情報の内、上力 r番目に位置するプログラム無効化情報に含まれる無効化フラグを読む (ステップ S303)。

[0077] 無効化フラグが 1に設定されて!ヽる場合 (ステップ S304で YES)、対応する被保護プログラムは無効化されていることから、実行プログラム選択部 112は、当該被保護プログラムを選択できないため、ステップ S302に戻り、別の被保護プログラムを選択する処理を続ける。

無効化フラグが 0に設定されている場合 (ステップ S304で NO)、対応する被保護プログラムは無効化されていないため、実行プログラム選択部 112は、 r番目の被保護プログラムを選択する (ステップ S305)。実行プログラム選択部 112は、選択した被保護プログラムに係るプログラム識別子、プログラム先頭アドレス、及びプログラムサィズを、無効化リストから読み出し、読み出したプログラム識別子、プログラム先頭アドレス、及びプログラムサイズを、プログラムロード部 113へ通知する（ステップ S306)。その後、図 11のステップ S105へ戻り、処理を続ける。

[0078] なお、実行プログラム選択部 112による被保護プログラム選択処理は、上記の方法に限定されず、次に説明する方法を用いてもよい。

4.プログラム選択処理 2の動作

ここでは、図 14に示すフローチャートを用いて、プログラム選択処理 2の動作について説明する。プログラム選択処理 2は、先に説明したプログラム選択処理 1の変形例であり、図 11に示したフローチャートのステップ S 104の詳細に相当する。

実行プログラム選択部 112は、無効化リスト記憶部 117に記憶されて、る無効化リスト 500を参照し、無効化リスト 500に登録されているプログラム無効化情報の総数、即ち、プログラム記憶部 111に記憶されて、る被保護プログラムの総数を Nとする (ステップ S401)。

ここで、実行プログラム選択部 112は、内部に乱数リストを保持している。乱数リストは、既に乱数生成器にて生成された乱数を登録しているリストである。実行プログラム選択部 112は、乱数リストを参照し (ステップ S402)、乱数リストに登録されている乱数の総数を計数する。乱数リストに登録されて、る乱数の総数が Nの場合 (ステップ S 403で YES)、実行プログラム選択部 112は、内部に保持している乱数リストをクリアする（ステップ S404)。

乱数リストに登録されて、る乱数の総数が Nより少な、場合 (ステップ S403で NO) 、実行プログラム選択部 112は、乱数生成器にて、 1から Nまでの整数範囲で、乱数 r を生成する (ステップ S405)。実行プログラム選択部 112は、ステップ S405で生成した乱数 rが乱数リストに登録済みである力否か判断する。

乱数 rが、乱数リストに登録済みである場合 (ステップ S406で YES)、実行プロダラム選択部 112は、ステップ S401に戻り処理を続ける。乱数 r力乱数リストに登録されていない場合 (ステップ S406で NO)、ステップ S405で生成した乱数 rを、乱数リストに登録する（ステップ S407)。

続いて、実行プログラム選択部 112は、無効化リスト 500に含まれる N個のプロダラム無効化情報の内、上から r番目に位置するプログラム無効化情報に含まれる無効化フラグを読む (ステップ S408)。

[0079] 無効化フラグが 1に設定されて!ヽる場合 (ステップ S409で YES)、対応する被保護プログラムは無効化されていることから、実行プログラム選択部 112は、当該被保護プログラムを選択できな、ため、ステップ S401に戻り処理を続ける。

無効化フラグが 0に設定されている場合 (ステップ S409で NO)、対応する被保護プログラムは無効化されていないため、実行プログラム選択部 112は、 r番目の被保護プログラムを選択する (ステップ S410)。実行プログラム選択部 112は、選択した被保護プログラムに係るプログラム識別子、プログラム先頭アドレス、及びプログラムサィズを、無効化リストから読み出し、読み出したプログラム識別子、プログラム先頭アドレス、及びプログラムサイズを、プログラムロード部 113へ通知する（ステップ S411)。その後、図 11のステップ S105へ戻り、処理を続ける。

[0080] 5.不正解析通知処理の動作

ここでは、図 15に示すフローチャートを用いて、不正解析通知処理の動作について説明する。なお、ここで説明する動作は、図 11のステップ S113の詳細である。不正解析検出部 116の不正解析通知部 403は、プログラム実行部 115を介してプログラムロード領域 114にロードされてヽた被保護プログラムのプログラム識別子を取得する（ステップ S 501)。

[0081] 次に、不正解析通知部 403は、不正解析を検出したのがデバッガ検出部 401である力、又は改ざん検出部 402であるかを判断する。

不正解析を検出したのがデバッガ検出部 401の場合 (ステップ S502で「デバッガ検出」）、不正解析通知部 403は、不正解析検知コードを「1」に設定する (ステップ S50 3)。その後、不正解析通知部 403は、プログラム実行部 115に含まれるレジスタファィルから汎用レジスタ、スタックポインタ、リンクレジスタ、及びプログラムカウンタの各値を取得する（ステップ S 504)。

[0082] 不正解析を検出したのが改ざん検出部 402の場合 (ステップ S502で「改ざん検出」 )、不正解析通知部 403は、不正解析検知コードを「2」に設定する (ステップ S505) 不正解析通知部 403は、取得したプログラム識別子を、不正解析ログ情報 420のプログラム識別子 421欄に記述し、更に、「1」及び「2」の何れかに設定した不正解析検知コードを不正解析検知コード欄 422に記述する。次に、不正解析通知部 403は、ステップ S504でレジスタファイルの各値を取得した場合には、取得した各値を、不正解析ログ情報 420の汎用レジスタ値欄 423、スタックポインタ欄 424、リンクレジスタ欄 425、及びプログラムカウンタ欄 426の各欄に記述し、不正解析ログ情報 420を生成する（ステップ S 506)。

[0083] 不正解析通知部 403は、生成した不正解析ログ情報 420を、通信制御部 103、送受信部 102、アンテナ 101、及びネットワーク 30を介して、プログラム更新サーバ 20 へ送信し、プログラム更新サーバ 20は不正解析ログ情報 420を受信する (ステップ S 507) o

プログラム更新サーバ 20の制御部 602は、送受信部 601から不正解析ログ情報 4 20を受信すると、受信した不正解析ログ情報 420を、不正解析ログ情報記憶部 603 へ書き込み、不正解析ログ情報記憶部 603は、不正解析ログ情報 420を記憶する（ステップ S508)。

[0084] 一方、携帯電話機 10の不正解析通知部 403は、ステップ S501で取得したプログラム識別子と共に、無効化リスト更新部 118に対し、不正解析の検出を通知する (ステツプ S509)。無効化リスト更新部 118は、不正解析の検出を受け付けると、無効化リストから、受け付けたプログラム識別子により識別されるプログラム無効化情報の無効化フラグを「1」に設定する (ステップ S510)。その後、図 11のフローチャートに戻る

[0085] <その他の変形例 >

(1)本発明における被保護プログラムは、オリジナルプログラムの全体に難読ィ匕処理を施し、生成されたプログラムであってもよいし、オリジナルプログラムの一部分に難読化処理を施し、生成されたプログラムであってもよヽ。

(2)上記実施形態では、携帯電話機 10のプログラム記憶部 111は、それぞれが異なるバイナリコードを有する複数の被保護プログラムを記憶する構成を備えるが、本発明において、プログラム記憶部 111は、バイナリコードである被保護プログラムを記憶していることは必須ではなぐ例えば、異なる難読ィ匕を施したソースプログラムである被保護プログラムを記憶している構成であってもよい。この場合、プログラム実行部 115は、インタプリタを用い、各被保護プログラムを実行するように構成してもよい。

[0086] (3)上記実施形態では、携帯電話機 10の改ざん検出部 402は、一方向関数を用いて改ざん検出を行う構成を有するが、本発明における改ざん検出の方法は一方向関数に限定されないのは勿論であり、例えば、予め各被保護プログラムを暗号ィ匕した暗号ィ匕被保護プログラムを記憶しており、実行プログラム選択部 112により選択された被保護プログラムに、同じ暗号化処理を施した結果と、予め記憶している暗号化被保護プログラムとを比較することにより、改ざんの有無を検出する方法などを用いてもよい。

[0087] (4)上記実施形態では、携帯電話機 10の実行プログラム選択部 112は、図 13に示したプログラム選択処理 1、又は図 14に示したプログラム選択処理 2を実施することにより無効化されていない 1つの被保護プログラムを選択する構成を有するが、本発明における被保護プログラムの選択方法は、これらに限定されず、例えば、以下のような場合も本発明に含まれる。

[0088] (a)実行プログラム選択部 112は、予め所定の選択順序を記憶しており、当該選択順序に応じて実行すべき被保護プログラムを選択してもよい。具体的には、実行プログラム選択部 112は、選択順序に応じて並べられたプロダラム識別子を記憶しており、暗号化コンテンツの復号要求が発生すると、実行プロダラム選択部 112は、選択順序が上位のプログラム識別子を読み出す。続いて、実行プログラム選択部 112は、無効化リスト記憶部 117から無効化リスト 500を読み込み、先に読み出したプログラム識別子により識別される被保護プログラムが、無効化されているカゝ否かを判断する。無効化されていない場合には、当該被保護プログラムを選択し、プログラム先頭アドレス、及びプログラムサイズを、プログラムロード部 113へ通知する。無効化されている場合には、実行プログラム選択部 112は、選択順位が次のプログラム識別子を読み出し、上記の処理を繰り返す。このように、実行プログラム選択部 112は、所定の選択順序に応じて、無効化されていない 1の被保護プロダラムを選択する。

(b)実行プログラム選択部 112は、予め各被保護プログラムの難読ィ匕の程度に応じた選択順序を記憶しており、当該選択順序に応じて実行すべき被保護プログラムを選択してもよい。上記実施形態で述べたように、各被保護プログラムの難読ィ匕の程度は、ダミーコードの追加サイズや、制御構造の複雑化パターン、モジュールの分割数

、暗号ィ匕アルゴリズムの強度等によりそれぞれ異なっており、難読化の程度が高いほど、被保護プログラムの解析や改ざんは困難になる。

実行プログラム選択部 112は、難読ィ匕の程度が高い順にプログラム識別子を記憶しており、暗号ィ匕コンテンツの復号要求が発生すると、実行プログラム選択部 112は、上位の、即ち難読ィ匕の程度が高い被保護プログラムのプログラム識別子を読み出す。その後、実行プログラム選択部 112は、（a)と同様の処理を行い、難読化の程度の高、被保護プログラム力も順に、無効化されて、ない 1の被保護プログラムを選択する。

また、実行プログラム選択部 112は、難読ィ匕の程度が低い被保護プログラム力も順に、無効化されていない 1の被保護プログラムを選択するように構成してもよい。これは、一般的に難読ィ匕の程度の高い被保護プログラムほど、実行速度が遅くなるので、不正解析を行わない善意のユーザにとっては、実行速度の速いプログラム、即ち、難読化の程度の低、プログラム力優先的に選択される方が望ま、からである。 [0090] また、難読化の程度に依らず、実際の実行速度が速い順に、無効化されていない 1 の被保護プログラムを選択するように構成してもよい。この場合、実行プログラム選択部 112が、各被保護プログラムを識別するプログラム識別子と対応付けて、各被保護プログラムの実行速度を示す情報を記憶して、てもよ、し、携帯電話機 10が被保護プログラムをダウンロードする都度、テスト実行を行い、ダウンロードした被保護プログラムの実行速度を測定するように構成してもよ、。

[0091] (5)上記実施形態では、改ざん検出部 402は、被保護プログラムがプログラムロード領域 114にロードされたときに改ざん検出値の算出を行い、改ざんの有無を判定する構成を有するが、発明における被保護プログラムの改ざん検出は、被保護プログラムがロードされる前にプログラム記憶部 111に記憶されて、るプログラムに対して行ってもよいし、被保護プログラムの実行前に行ってもよいし、ロードされたプログラムに対して実行中定期的に行つてもよい。

[0092] (6)上記実施の形態では、不正解析検出部 116の不正解析通知部 403は、デバッガ検出部 401及び改ざん検出部 402の何れかから、不正解析を検出した旨の通知を受け付けると、無条件でプログラム実行部 115に対し、被保護プログラムの実行中止を指示すると共に、不正解析ログ情報を作成する構成を有するが、例えば、以下のような場合であっても、本発明に含まれる。

[0093] 不正解析通知部 403は、予め所定数を示す閾値を保持している。不正解析通知部 403は、デバッガ検出部 401及び改ざん検出部 402から不正解析を検出した旨の通知を受け付ける都度、その回数をカウントする。カウントしている回数が保持している閾値を超えると、不正解析検出部 403は、プログラム実行部 115に対し、被保護プログラムの実行中止を指示すると共に、不正解析ログ情報を作成するように構成してもよい。これにより、善意のユーザの誤操作が不正解析と判定され、直ちに実行中のプログラムが停止することを防止することができる。

[0094] (7)上記実施形態では、不正解析が検出（デバッガ検出又は改ざん検出）された被保護プログラムは、無効化リストの無効化フラグを「0」から「1」に書き換えることにより無効化される構成を有するが、本発明におけるプログラムの無効化は、無効化フラグの書き換えに加えて、プログラム記憶部 111内の被保護プログラムをゼロクリアしたり、乱数データでメモリを上書きしたりすることにより、実際にプログラムが実行されないようにしてもよい。このように、解析された可能性のある被保護プログラムを実行不能にすることで、ユーザの誤作動等により、無効化したはずの被保護プログラムが再度実行される危険を低減することができる。

[0095] また、無効化された被保護プログラムの無効化フラグを「1」に書き換える構成に換えて、無効化リストからプログラム無効化情報を削除するように構成してもよい。無効ィ匕リストからプログラム無効化情報を削除することにより、無効化された被保護プログラムのアドレス等に係る情報が削除されるので、ユーザの誤作動等により、無効化したはずの被保護プログラムが再度実行される危険を低減することができる。

[0096] また、上記実施形態では、被保護プログラムが無効化されて!/ヽるか否かを無効化フラグにより判定する構成を有するが、この構成は必須ではなぐフラグに換えて、他の情報により判定する場合も本発明に含まれる。

(8)本発明における無効化リストには、正当な機関力発行された署名データが付カロされていてもよい。この場合、実行プログラム選択部 112は、ステップ S101 (図 11) で無効化リストを読み込んだ後、署名データの検証を行い、署名データの検証に成功した場合、ステップ S 102以降の処理を継続し、署名データの検証に失敗した場合、即ち無効化リストが不正である場合には、ステップ S 102以降の処理を行わないように構成してもよい。この構成によると、無効化されている被保護プログラムが。無効化リストの改ざんにより無効化されていないものと判断されて、実行されるのを防止することができる。

[0097] (9)上記実施形態では、保護対象プログラムは、暗号ィ匕コンテンツ復号プログラムであるオリジナルプログラム 200のみである力本発明においては、保護対象のプログラムは複数存在してもよ、。

この場合、複数の保護対象プログラムのそれぞれについて、複数の被保護プロダラムが生成され、プログラム記憶部 111には、これら複数の被保護プログラムが記憶されているものとする。また、無効化リスト記憶部 117には、保護対象プログラム毎にそれぞれ無効化リストが記憶されて、るものとする。

[0098] (10)本発明においては、携帯電話機 10がプログラム更新サーバ 20からダウン口ードした被保護プログラムは、プログラム記憶部 111内の、無効化されている被保護プログラムが記憶されて、る領域に上書きしてもよ、し、プログラム記憶部 111内の他の領域に記憶してもよい。これにより、無効化された被保護プログラムの消去と新たな被保護プログラムの追加とを一度に行うことができる。また、無効化された被保護プログラムの記憶領域を、追加する新たな被保護プログラムの記憶領域として再利用するので、プログラム記憶部 111の容量を有効に利用することができる。

[0099] (11)上記実施形態において、携帯電話機 10は、プログラム記憶部 111に記憶されている全ての被保護プログラムが無効化されていると判断してから、プログラム更新サーノから新たな被保護プログラムをダウンロードする構成を有するが、この構成は必須ではなぐプログラム更新サーノくから被保護プログラムをダウンロードするタイミングについては特に限定しない。例えば、 1つの被保護プログラムが無効化される都度、携帯電話機 10は、プログラム更新サーバ 20から新たな被保護プログラムをダゥンロードしてもよい。

[0100] また、携帯電話機 10は、プログラム記憶部 111に記憶されて、る全ての被保護プログラムが無効化されておらず、有効な被保護プログラムが残って、る状態であっても

、プログラム更新サーバ 20から新たな被保護プログラムをダウンロードしてもよい。例えば、プログラム記憶部 111に記憶されて、る有効な被保護プログラムの数が所定数以下になったら場合、携帯電話機 10が過去の選択履歴を保持し、同じ被保護プログラムが選択される確率が所定値以上になった場合等に、新たな被保護プロダラムをダウンロードするように構成してもよ、。

[0101] この構成〖こよると、携帯電話機 10は、有効な被保護プログラムの数が減ってくると、新しヽ被保護プログラムを取得するので、実行する被保護プログラムをある程度ランダムに選択することが保証できる。

(12)本発明において、携帯電話機 10とプログラム更新サーバ 20との間の通信は、安全な通信路、所謂 SAC (Secure Authentication Channel)を確立し、 SAC を介して、被保護プログラムのダウンロード処理、不正解析ログ情報の送受信処理を行うよう構成してもよい。なお、 SACについては、 Secure Sockets Layer (SSL) 等で利用されており、既知の技術で実現可能であるから、説明は省略する。 [0102] (13)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンビュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラム力もなるデジタル信号であるとしてもよい。

また、本発明は、前記コンピュータプログラム又は前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、 CD RO M、 MO、 DVD, DVD-ROM, DVD RAM, BD (Blu- ray Disc)、半導体メモリなど、に記録したものとしてもよい。また、これらの記録媒体に記録されている前記コンピュータプログラム又は前記デジタル信号であるとしてもよい。

[0103] また、本発明は、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク等を経由して伝送するものとしてもよ、。

また、本発明は、マイクロプロセッサとメモリとを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムに従って動作するとしてもよい。

[0104] また、前記プログラム又は前記デジタル信号を前記記録媒体に記録して移送することにより、又は前記プログラム又は前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい

(14)また本発明は、上記実施形態における携帯電話機 10及びプログラム更新サーバ 20の機能ブロックの一部又は全てが集積回路である LSIとして実現される場合も本発明に含まれる。これらは個別に 1チップィ匕されても良いし、一部又は全てを含むように 1チップィ匕されてもよい。ここでは、 LSIとした力集積度の違いにより、 IC、システム LSI、スーパー LSI、ゥノレトラ LSIと呼称されることもある。

[0105] また、集積回路化の手法は LSIに限るものではなぐ専用回路で実現してもよい。 L SI製造後に、プログラムすることが可能な FPGA (Field Programmable Gate Array) や LSI内部の回路セルの接続や設定を再構成可能なリコンフィギユラブル'プロセッサを利用してもよい。

更には、半導体技術の進歩又は派生する別技術により LSIに置き換わる集積回路化の技術が登場すれば、当然その技術を用いて機能ブロックの集積ィ匕を行ってもよい。バイオ技術の適応などが可能性として有り得る。

[0106] (15)前記実施形態及び前記変形例をそれぞれ組み合わせた構成も、本発明に含まれる。

産業上の利用可能性

[0107] 本発明は、デジタルコンテンツを配信するサービス業において、不正解析により秘匿にすべき情報が暴露されるのを防止する仕組みとして利用することができる。また、本発明は、デジタルコンテンツを再生する再生装置を生産する製造業においても禾 IJ用することがでさる。

Claims

請求の範囲

[1] オリジナルプログラムと同一の結果が得られるように、前記オリジナルプログラムに基づき生成された複数の被保護プログラムを記憶しているプログラム記憶手段と、解析の対象とされた被保護プログラムを無効化する無効化手段と、

前記複数の被保護プログラムから、無効化されてヽない 1の被保護プログラムを選択する選択手段と、

選択された 1の被保護プログラムを実行する実行手段と

を備えることを特徴とするセキュア処理装置。

[2] 前記セキュア処理装置は、

前記実行手段力^の被保護プログラムを実行する際に、前記被保護プログラムが解祈の対象とされているか否かを判断する解析検出手段を備え、

前記無効化手段は、

無効化されている被保護プログラムを示す無効化リストを記憶する無効化リスト記憶部と、

前記解析検出手段により、前記被保護プログラムが解析の対象とされていると判断されると、前記無効化リストに、前記被保護プログラムが無効化された旨を登録する無効化登録部とを備える

ことを特徴とする請求項 1に記載のセキュア処理装置。

[3] 前記無効化リストは、当該無効化リストの正当性を証明するための署名データが付加されており、

前記選択手段は、

前記無効化リストに付加されて!ヽる前記署名データを検証し、前記署名データの検証の結果、前記無効化リストの不正が検出された場合には、被保護プログラムの選択処理を中止する

ことを特徴とする請求項 2に記載のセキュア処理装置。

[4] 前記複数の被保護プログラムは、オリジナルプログラムを難読ィ匕した難読ィ匕プログラムであって、各被保護プログラムは、難読化の方法及び Z又は難読化の程度がそれぞれ異なることにより、異なるコードを有するプログラムであることを特徴とする請求項 1に記載のセキュア処理装置。

[5] 前記複数の被保護プログラムの内、何れか 1以上の被保護プログラムは、

前記難読ィ匕の方法として、前記オリジナルプログラムに含まれる複数の部分プログラムの内、異なる部分プログラムを暗号ィ匕する方法を用い、生成されたプログラムである

ことを特徴とする請求項 4に記載のセキュア処理装置。

[6] 部分プログラムを暗号ィ匕することにより生成された前記 1以上の被保護プログラムは

暗号ィ匕の対象である各部分プログラム力異なる暗号ィ匕アルゴリズム及び Z又は異なる暗号鍵を用いて暗号ィ匕されたプログラムである

ことを特徴とする請求項 5に記載のセキュア処理装置。

[7] 前記複数の被保護プログラムの内、何れか 1以上の被保護プログラムは、

前記難読ィ匕の方法として、前記オリジナルプログラムに含まれる複数の命令の内、相互に依存関係にな、命令である並列命令の実行順序を入れ替える方法を用い、生成されたプログラムである

ことを特徴とする請求項 4に記載のセキュア処理装置。

[8] 前記複数の被保護プログラムの内、何れか 1以上の被保護プログラムは、

前記難読ィ匕の方法として、前記オリジナルプログラムに含まれる命令を、当該命令と異なる処理を行い、且つ当該命令と同一の結果を出力する 1以上の命令力なる恒等命令に置き換える方法を用い、生成されたプログラムである

ことを特徴とする請求項 4に記載のセキュア処理装置。

[9] 前記複数の被保護プログラムの内、何れか 1以上の被保護プログラムは、

前記難読ィ匕の方法として、前記オリジナルプログラムの結果に影響を与えな、命令であるダミー命令を、前記オリジナルプログラムに挿入する方法を用い、生成されたプログラムである

ことを特徴とする請求項 4に記載のセキュア処理装置。

[10] 前記セキュア処理装置は、

前記実行手段力^の被保護プログラムを実行する際に、前記被保護プログラムが解祈の対象とされているか否かを判断する解析検出手段を備える

ことを特徴とする請求項 1に記載のセキュア処理装置。

[11] 前記解析検出手段は、

前記実行手段による被保護プログラムの実行中にデバッガを検出すると、検出したデバッガを無効化するデバッガ検出部と、

前記デバッガ検出部によりデバッガが検出されると、前記実行手段に対し、実行中止を指示する指示部とを備え、

前記実行手段は、前記指示部から実行中止の指示を受け付けると、実行中である前記被保護プログラムの実行を中止する

ことを特徴とする請求項 10に記載のセキュア処理装置。

[12] 前記解析検出手段は、

被保護プログラムの改ざんを検出する改ざん検出部と、

前記改ざん検出部により改ざんが検出されると、前記実行手段に対し、実行中止を指示する指示部とを備え、

前記実行手段は、前記指示部から実行中止の指示を受け付けると、前記被保護プログラムの実行を中止する

ことを特徴とする請求項 10に記載のセキュア処理装置。

[13] 前記解析検出手段は、

前記被保護プログラムが解析の対象とされてヽると判断すると、前記解析に係る解析ログ情報を生成するログ情報生成部を備える

ことを特徴とする請求項 10に記載のセキュア処理装置。

[14] 前記セキュア処理装置は、ネットワークを介して外部サーバと接続されており、前記ログ情報生成部は、生成した前記解析ログ情報を、前記外部サーバへ送信する

ことを特徴とする請求項 13に記載のセキュア処理装置。

[15] 前記解析検出手段は、更に、

所定の数値に設定された閾値を記憶している閾値記憶部と、

被保護プログラムが解析の対象とされてヽると判断した回数を保持し、前記判断の都度、保持している回数を更新する解析回数計数部とを備え、

前記無効化手段は、

前記解析回数計数部が保持して!/ヽる回数が前記閾値を超える場合に、前記被保護プログラムを無効化する

ことを特徴とする請求項 10に記載のセキュア処理装置。

[16] 前記選択手段は、

無効化されて、な、 1の被保護プログラムをランダムに選択する

ことを特徴とする請求項 1に記載のセキュア処理装置。

[17] 前記選択手段は、

選択した被保護プログラムを識別するための情報を記憶しており、

前記情報を参照し、未選択であり、且つ無効化されていない 1の被保護プログラムをランダムに選択する

ことを特徴とする請求項 1に記載のセキュア処理装置。

[18] 前記選択手段は、

予め所定の選択順序を記憶しており、

無効化されていない 1の被保護プログラムを、前記選択順序に応じて選択することを特徴とする請求項 1に記載のセキュア処理装置。

[19] 前記選択手段は、

前記複数の被保護プログラムにつ、て、各被保護プログラムの難読ィ匕の程度を示す難読化度情報を記憶しており、

前記難読化度情報を参照し、難読化の程度の高ヽ被保護プログラムカゝら順に実行されるように、無効化されて、ない 1の被保護プログラムを選択する

ことを特徴とする請求項 1に記載のセキュア処理装置。

[20] 前記選択手段は、

前記難読化度情報を参照し、難読化の程度の低ヽ被保護プログラムカゝら順に実行されるように、無効化されて、ない 1の被保護プログラムを選択することを特徴とする請求項 1に記載のセキュア処理装置。

[21] 前記選択手段は、

実行速度の速、被保護プログラム力も順に実行されるように、無効化されて、なヽ 1の被保護プログラムを選択する

ことを特徴とする請求項 1に記載のセキュア処理装置。

[22] 前記セキュア処理装置は、ネットワークを介して、被保護プログラムを保持して、るプログラム更新サーバと接続されており、

前記選択手段は、

無効化されていない被保護プログラムの残数が、所定の閾値以下である力否かを判断する判断部と、

前記判断部により、所定の閾値以下であると判断された場合に、前記プログラム更新サーバに対し、新たな被保護プログラムの送信を要求するプログラム要求部と、前記プログラム更新サーバから、新たな被保護プログラムを受信するプログラム受信部と

を備えることを特徴とする請求項 1に記載のセキュア処理装置。

[23] オリジナルプログラムと同一の結果が得られるように、前記オリジナルプログラムに基づき生成された複数の被保護プログラムを記憶しているプログラム記憶手段と、解析の対象とされた被保護プログラムを無効化する無効化手段と、

選択された 1の被保護プログラムを実行する実行手段と

を備えることを特徴とする集積回路。

[24] セキュア処理装置で用いられるセキュア処理方法であって、

前記セキュア処理装置は、

オリジナルプログラムと同一の結果が得られるように、前記オリジナルプログラムに基づき生成された複数の被保護プログラムを記憶しており、

前記セキュア処理方法は、

解析の対象とされた被保護プログラムを無効化する無効化ステップと、前記複数の被保護プログラムから、無効化されてヽない 1の被保護プログラムを選択する選択ステップと、

選択された 1の被保護プログラムを実行する実行ステップと

を含むことを特徴とするセキュア処理方法。

ネットワークを介して接続されてセキュア処理装置とプログラム更新サーバとから構成されるセキュア処理システムであって、

前記セキュア処理装置は、

オリジナルプログラムと同一の結果が得られるように、前記オリジナルプログラムに基づき生成された複数の被保護プログラムを記憶している第 1記憶手段と、解析の対象とされた被保護プログラムを無効化する無効化手段と、

選択された 1の被保護プログラムを実行する実行手段と、

前記第 1記憶手段に記憶されている複数の被保護プログラムの内、無効化されていない被保護プログラムの残数力所定の閾値以下である場合に、前記プログラム更新サーバに対し、被保護プログラムの送信を要求する要求手段とを備え、前記プログラム更新サーバは、

複数の被保護プログラムを記憶している第 2記憶手段と、

前記セキュア処理装置から、被保護プログラムの送信要求を受け付ける要求受付手段と、

前記要求受付手段が前記送信要求を受け付けると、前記第 2記憶手段から、 1以上の被保護プログラムを読み出して、前記セキュア処理装置へ送信する送信手段とを備える

ことを特徴とするセキュア処理システム。