WO2007125911A1 - データ処理装置、方法、プログラム、集積回路、プログラム生成装置 - Google Patents

Abstract

データ処理装置は、デバッガによるプログラムに対するデバッグ処理の実行を制御する。プログラムには、デバッグ処理の可否を判定するための検証値と、プログラムへのアクセスの可否をプログラムの部分ごとに示すアクセス制御リストが含まれる。データ処理装置は、デバッガのデバッガＩＤと、プログラムに含まれる検証値およびアクセス制御リストを取得する。デバッガＩＤと検証値との比較結果に応じてデバッグ処理の可否を判定する。また、デバッグの対象となるプログラムの部分が、アクセス制御リストにおいてアクセス可と示されていればアクセスを許可し、アクセス不可であればアクセスを許可しない。

Description

明 細 書

データ処理装置、方法、プログラム、集積回路、プログラム生成装置 技術分野

[0001] 本発明は、プログラムの保護に関し、特に、プログラムのデバッグ処理の実行を制 御する技術に関する。

背景技術

[0002] 著作権管理のためのプログラムのような、不正な解析などの不正行為がなされるの が望ましくな!/、プログラム (以下、「保護プログラム」 t 、う）を保護する技術が広く用い られている。保護が不十分であると、プログラムの権利者に限らず様々な方面で損害 が発生しうるからである。

例えば、暗号化されたディジタルコンテンツの復号処理を行って再生するプロダラ ムを不正者が不正に解析して改ざんすることができると、ディジタルコンテンツが不正 に利用されるおそれが出てくる。すなわち、不正者がディジタルコンテンツを不正に 再生したり、ディジタルコンテンツの複製回数や再生回数を制限していても、その制 限を無効化したりする。

[0003] 不正者による不正な解析等からプログラム等のデータを保護する技術として、下記 の非特許文献 1には、外部からの不正アクセスを防止する機構を有するセキュアドメ インを構築し、セキュアドメインにおいて処理を行うセキュアモードと、セキュアドメイン を用いないで処理を行う通常モードとを備え、通常モードとセキュアモードとを切り換 えて動作する LSI (Large Scale Integration)技術が開示されている。この技術によると 、セキュアモード時においてのみ保護プログラムを動作させることで、保護プログラム を不正な解析等力 保護することができる。

[0004] ところで、セキュアドメインにお 、て動作するプログラムを開発する場合、動作の検 証や不具合の修正を行うために前記プログラムのデバッグが必要となる。かと 、つて 、誰でも前記プログラムをデバッグできるようにすると、不正者がデバッグして不正な 解析等の足がかりとされてしまうので、デバッグ可能な者を前記プログラムの開発者 などの関係者のみに限定する必要がある。 [0005] そこで、従来は、所定の認証コードを知っている者のみ力 セキュアドメインにおい て動作して!/、るプログラムをデバッグ可能とする技術が用いられて 、る（下記の特許 文献 1参照)。具体的には、特許文献 1の技術は、認証コードを用いた認証に成功し た者のみが、デバッグ処理を実行できることとして 、る。

こうすることで、認証コードを知らない者は、認証に失敗するので、セキュアドメイン において動作するプログラムを不正者がデバッグすることを防ぐことができる。

特許文献 1 :特開 2004— 171565号公報

特干文献 1 : TrustZone - Integrated Hardware and Software Security(http:/ / www. arm.com/ pdfs/TZ Whitepaper.pdl)

発明の開示

発明が解決しょうとする課題

[0006] 上記特許文献 1の技術によると、プログラムの開発関係者が例えば自社内のみの 特定のグループに限られている場合は、認証コードの管理が適切になされている限 り、プログラムの保護を実現することができる。

一方、近年では、プログラム開発の負担を和らげるために、複数のプログラムがそ れぞれ別の権利者により開発され、これらプログラムが連係して動作する場合がある 。例えば、 OMA DRM (Open Mobile Alliance Digital Rights Management)規格で配 信された音楽コンテンツを、 SDメモリカード（Secure Digital Memory Card)に SD- Audi o規格でエクスポートする場合、 OMA DRM規格に基づいた処理を行うプログラムと SD -Audio規格に基づいた処理を行うプログラムとがそれぞれ別の権利者によって開発 され、これらプログラムが連係して動作する。

[0007] これら連係動作する複数のプログラムの開発時に不具合が発生し、連係動作にか 力るプログラムの少なくとも一部が保護プログラムである場合、開発者は、保護プログ ラムと別のプログラムとを同時にデバッグする必要がある。そうすると、これらプロダラ ムの権利者がそれぞれのプログラムで異なる場合、ある権利者の保護プログラムを、 他の権利者側の開発者がデバッグすることが必要となる。

[0008] しかし、上記特許文献 1の技術は、セキュアドメインにおいて動作するプログラムを デバッグして良いか否かを、認証コードを用いて制御している。認証コードを知って V、る者は、セキュアドメインにお 、て動作する全てのプログラムをデバッグできる。 そうすると、前記他の権利者側の開発者は、認証コードを知っていると、連係動作 にかかるプログラムに限らず、あらゆる保護プログラムをデバッグすることができる。そ の結果、デバッグされることを前記ある権利者が望まない保護プログラムをも、前記他 の権利者側の開発者は、その保護プログラムを入手することができればデバッグでき てしまう。したがって、前記ある権利者は、連係動作するプログラム群を共同開発する 場合、デバッグされることを望まな ヽ他の保護プログラムが解析等されて機密情報が 外部に流出する力もしれないという多大なリスクを抱えることとなる。このようなリスクを 伴うために、連係動作するプログラム群を、プログラムを保護しつつそれぞれ異なる 権利者が共同で開発するのは困難である。

[0009] そこで、本発明は、プログラムを保護しつつ、異なる権利者が共同でプログラムを開 発することを容易にするデータ処理装置、データ処理方法、集積回路、デバッグ処 理の実行を制御するプログラム、プログラム生成装置を提供することを目的とする。 課題を解決するための手段

[0010] 上記課題を解決するため、本発明は、デバッグ処理部によるデバッグ処理の実行 を制御するデータ処理装置であって、前記デバッグ処理部を識別する識別子を取得 する第 1取得手段と、不正アクセス力 保護された状態にあるデバッグ対象プロダラ ムの所定部分に含まれる検証値を取得する第 2取得手段と、前記デバッグ対象プロ グラム力 取得された前記検証値と前記第 1取得手段により取得された前記識別子と を比較し、その比較結果に応じて、前記デバッグ対象プログラムに対するデバッグ処 理が許可されているか判定する判定手段と、許可されていないと判定されたとき、前 記デバッグ対象プログラムに対するデバッグ処理の実行を禁止する制御手段とを備 えることを特徴とする。

発明の効果

[0011] 本発明のデータ処理装置は、取得した検証値とデバッグ処理部の識別子とを比較 して、比較結果に応じてデバッグ処理部によるデバッグ処理の実行の可否を制御す る。すなわち、ある検証値をプログラムの権利者が当該プログラムに含ませると、当該 プログラムのデバッグ処理が許可されるデバッグ処理部の識別子が定まる。 したがって、当該プログラムの権利者は、当該プログラムのデバッグ処理を行うこと が可能なデバッグ処理部の識別子を、自身がそのプログラムに含ませた検証値によ つて指定することができる。

[0012] つまり、当該プログラムの権利者は、当該プログラムのデバッグ処理が可能な識別 子を有するデバッグ処理部を、 自身が希望するように限定することができるので、当 該識別子を有さないデバッグ処理部を保持している利害関係者等に当該プログラム が不要にデバッグされることを回避することができる。

ところで、プログラムの権利者としては、当該プログラムを他の権利者等にデバッグ させることを許容するとしても、そのプログラムのデバッグを制限したいことがある。例 えば、当該プログラムに秘匿しておきたい情報が含まれている場合は、その秘匿部 分が暴露されると様々な方面で損害が発生しうるため、その秘匿部分については解 祈されな!、ようにした 、ものである。

[0013] そこで、前記デバッグ対象プログラムの前記所定部分には、前記デバッグ対象プロ グラムを構成する各部分についてアクセスが許可または不許可であることを示すァク セス制御リストが含まれ、前記第 2取得手段は、前記デバッグ対象プログラムの前記 所定部分に含まれる前記アクセス制御リストを取得するアクセス制御リスト取得部を含 み、前記データ処理装置は、さらに、前記取得した前記アクセス制御リストに基づい て、前記デバッグ対象プログラムの一部分のアクセスが許可されて 、るかを判定する アクセス判定手段を備え、前記制御手段は、前記判定手段により許可されていると判 定され、かつ、前記アクセス判定手段により許可されていないと判定された第 1の場 合、前記一部分のデバッグ処理の実行を禁止し、前記判定手段により許可されてい ると判定され、かつ、前記アクセス判定手段により許可されていると判定された第 2の 場合、前記一部分のデバッグ処理を前記デバッグ処理部に実行させることとしてもよ い。

[0014] これにより、プログラムの権利者は、当該プログラムにおいて秘匿しておきたい情報 が含まれて 、る部分をデバッグされな 、ようにすることができる。

具体的には、前記アクセス制御リストに示される前記部分のそれぞれは、前記デバ ッグ対象プログラムをメモリにロードする場合におけるロード先メモリアドレスの前記部 分それぞれに対応するアドレス範囲を示し、前記アクセス制御リストには、前記部分 それぞれに対応する前記アドレス範囲のそれぞれにつ 、て、アクセスの可否が対応 づけられており、前記アクセス判定手段は、前記デバッグ対象プログラムをメモリに口 ードする場合におけるロード先メモリアドレスの前記一部分に対応するアドレス範囲 につ 、て、前記アクセス制御リストにぉ 、て対応づけられて 、るアクセスの可否を参 照することにより前記判定を行うこととしてもよい。

[0015] これにより、特定のメモリアドレスに配置される秘匿情報に対するデバッグを制限す ることがでさる。

この他に、前記アクセス制御リストに示される前記部分のそれぞれは、前記デバッグ 対象プログラムに含まれるシンボルを示し、前記アクセス制御リストには、前記シンポ ルのそれぞれについて、アクセスの可否が対応づけられており、前記アクセス判定手 段は、前記デバッグ対象プログラムの前記一部分に含まれるシンボルについて、前 記アクセス制御リストにおいて対応づけられているアクセスの可否を参照することによ り前記判定を行うこととしてもょ 、。

[0016] これにより、特定のシンボルへのデバッグを制限することができ、シンボルを指定す ると 、う簡単な処理で、シンボルが秘匿情報を扱う場合に秘匿情報を保護することが できる。

ところで、利害関係者によってプログラムの保護の強度を柔軟に設定した 、場合が ある。例えば、関連会社の有するデバッグ処理部に対しては、広くデバッグ処理の実 行を許可し、部外者のデバッグ処理部に対しては、秘匿情報を含めてデバッグ処理 の実行を制限したい場合などである。

[0017] そこで、前記デバッグ対象プログラムの前記所定部分には、前記検証値が複数含 まれ、前記アクセス制御リストは、前記所定部分に 1以上含まれ、前記アクセス制御リ ストのそれぞれは、前記検証値の少なくとも 1つと対応づけられており、前記判定手 段は、前記検証値のそれぞれにつ!、て前記取得した識別子と比較して前記判定を 行い、前記アクセス判定手段は、前記判定手段により許可されていると判定された前 記検証値に対応づけられて 、る前記アクセス制御リストに基づ 、て前記判定を行うこ ととしてもよ 、。 [0018] これにより、検証値それぞれに対応する識別子を有するデバッグ処理部ごとに、デ ノ ッグ対象プログラムのデバッグ可能な部分を指定することができる。すなわち、プロ グラムの権利者は、デバッグ処理部の識別子に応じて、プログラムの保護する部分を 設定することができる。

また、前記データ処理装置は、さらに、表示部を備え、前記制御手段は、前記第 1 の場合、前記一部分のデバッグ処理が禁止された旨を示す表示を前記表示部に行 わせ、前記第 2の場合、前記デバッグ処理の結果を前記表示部に表示させる表示制 御部を含むとすることが望まし 、。

[0019] こうすることで、デバッグを行う者は、デバッグが許可されたか否かを知ることができ る。

上述のデータ処理装置においては、判定手段による判定の仕方は、前記判定手段 は、前記検証値と前記識別子とを比較し、前記検証値と前記識別子とがー致した場 合に、前記デバッグ処理が許可されていると判定する、とするとよい。

[0020] これにより、プログラムの権利者はデバッグ処理の実行を許可するデバッグ処理部 を前記検証値によって指定することができる。また、前記検証値と前記識別子とがー 致する力否かという簡単な演算によって判定を行うので、判定に要する時間が短くて 済む。

この他に、判定の仕方としては、前記判定手段は、比較値を不正アクセス力も保護 された状態で記憶する比較値保持部を含み、前記検証値と前記識別子とを演算子と して用いた所定の演算を行い、その演算結果が、前記記憶している前記比較値と一 致した場合に、前記デバッグ処理が許可されていると判定する、としてもよい。

[0021] こうすると、仮に前記検証値が何らかの不正な手段により暴露されたとしても、所定 の演算と比較値とを用いて前記判定を行うため、前記検証値からは、デバッグ処理が 許可されているデバッグ処理部の識別子を得ることが難しい。すなわち、上述の構成 によると、プログラムの保護の強度を上げることができる。

このデータ処理装置は、具体的には、前記データ処理装置は、外部からの不正ァ クセスを防止する機構を備えたセキュアドメインを有し、前記データ処理装置は、動 作モードとして、通常モードとセキュアモードとを備え、前記通常モードと前記セキュ アモードとを切り替えて動作し、前記セキュアモード時にぉ 、てのみ前記セキュアドメ インを用いて動作し、前記データ処理装置は、さらに、前記通常モードと前記セキュ アモードとを切り替える切替部を備え、前記通常モードで動作するプログラムは、前 記切替部を経由して所定の処理の要求を前記セキュアモードで動作するプログラム に通知することで前記セキュアモードで動作するプログラムにアクセス可能であり、前 記デバッグ対象プログラムは、前記セキュアドメインにおいて記憶され、前記第 2取得 手段は、前記セキュアドメインにお 、て前記デバッグ対象プログラム力も前記検証値 の前記取得を行い、前記判定手段は、前記セキュアドメインにおいて前記判定を行う 、という構成で実現することもできる。

[0022] 上述の構成によると、前記デバッグ対象プログラムはセキュアドメインにおいて記憶 され、また、前記検証値は、前記第 2取得手段により、セキュアドメインにおいて取得 される。

したがって、前記検証値は、データ処理装置がこれを取得する過程において、利害 関係者や不正者等、何人も知得することが難しい。そのため、不正者等は、プロダラ ムを入手したとしても、プログラムのデバッグ処理が可能な識別子を有するデバッグ 処理部を特定することが困難となるので、プログラムが不正にデバッグされる可能性 を小さくすることができる。また、プログラムに前記検証値が含まれているので、デバッ グの可否を制御するための情報を予めデータ処理装置に記憶させておく必要もない

[0023] この構成において、前記デバッグ処理部は、前記セキュアドメインの外部にあって 前記通常モードにおいて動作し、前記データ処理装置は、さらに、前記セキュアモー ドにお 、てデバッグ処理を実行するセキュアデバッガを備え、前記セキュアデバッガ は、前記セキュアドメインに含まれ、前記デバッグ処理部は、前記デバッグ対象プロ グラムのデバッグ処理要求を出力し、前記制御手段は、前記デバッグ処理部が前記 デバッグ処理要求を出力すると、前記判定手段に前記判定を行わせ、許可されてい な 、と判定されたとき、前記デバッグ処理要求に力かる前記デバッグ対象プログラム に対する前記セキュアデバッガによるデバッグ処理を禁止することとするとよい。

[0024] 上述の構成によると、通常モードで動作するデバッグ処理部と、セキュアモードで動 作するセキュアデバッガとを備えて 、るので、デバッグ処理部が不正に改ざん等され ても、セキュアデバッガには影響がなぐセキュアモードで動作するプログラムへの不 正な解析を防ぐことができる。

また、この構成においても、前記デバッグ対象プログラムの前記所定部分には、前 記デバッグ対象プログラムを構成する各部分についてアクセスが許可または不許可 であることを示すアクセス制御リストが含まれ、前記第 2取得手段は、前記デバッグ対 象プログラムの前記所定部分に含まれる前記アクセス制御リストを取得するアクセス 制御リスト取得部を含み、前記データ処理装置は、さらに、前記取得した前記ァクセ ス制御リストに基づ 、て、前記デバッグ対象プログラムの前記一部分のアクセスが許 可されているかを判定するアクセス判定手段を備え、前記アクセス判定手段は、前記 セキュアドメインにおいて前記判定を行い、前記制御手段は、前記デバッグ処理部 が出力した前記デバッグ処理要求に力かる前記デバッグ対象プログラムについて、 前記判定手段により許可されていると判定され、かつ、前記アクセス判定手段により 許可されて 、な 、と判定された場合、前記セキュアデバッガによる前記一部分の前 記デバッグ処理の実行を禁止し、前記判定手段により許可されていると判定され、か つ、前記アクセス判定手段により許可されていると判定された場合、前記一部分のデ ノッグ処理を前記セキュアデバッガに実行させることとしてもよい。

[0025] これにより、プログラムの権利者は、当該プログラムにおいて秘匿しておきたい情報 が含まれて 、る部分をデバッグされな 、ようにすることができる。

また、プログラムが連係して動作する場合には、以下の構成とするとよい。 すなわち、前記デバッグ処理部は、前記通常プログラム、および、前記通常プログ ラムと連係する前記デバッグ対象プログラムに対してデバッグ処理を行う機能を有し、 前記デバッグ処理部による前記デバッグ対象プログラムのデバッグ処理は、前記デ バッグ処理部がデバッグ処理要求を出力し、出力された前記デバッグ処理要求に対 して前記セキュアデバッガにより行われたデバッグ処理の結果を前記切替部を介して 前記デバッグ処理部が受け付けることにより行われることとしてもよい。

[0026] これにより、連係して動作するプログラムが通常モードで動作するものであってもセ キュアモードで動作するものであっても通常モードで動作するデバッグ処理部でデバ ッグ処理を同時に実行できるので、連係動作するプログラムを効率良く開発できる。 ところで、通常モードで動作しているプログラムからは、セキュアモードで動作してい るプログラムに直接アクセスできないので、セキュアモードにおいて通常モードで動 作して 、るデバッグ処理部は、 V、つ力 セキュアモードにぉ 、てデバッグ対象プログ ラムが動作したかがわからない。そのため、プログラムの開発者にとって、セキュアモ ードで動作するデバッグ対象プログラムのデバッグが困難となっている。

[0027] そこで、前記デバッグ処理部は、自デバッグ処理部がアタッチされた通常プロダラ ムを識別するプロセス識別子を出力し、前記セキュアデバッガは、前記デバッグ処理 部から出力された前記プロセス識別子に示される通常プログラムと連係動作するデ ノ ッグ対象プログラムのエントリポイントにある命令をブレーク命令へと変更するとして ちょい。

こうすることで、デバッグ対象プログラムが動作を開始すると、ブレーク命令によりい つたん動作が止まるので、プログラムの開発者に対してデバッグ処理の実行のための 設定等を行わせることが可能となる。

[0028] また、前記データ処理装置は、前記セキュアモードにお!、て前記デバッグ対象プロ グラムの実行中にデバッグ例外が検出されると、前記切替部を介して前記デバッグ 処理部にデバッグ例外の発生を通知し、前記デバッグ処理部は、前記切替部から前 記デバッグ例外の発生の通知を受け付けると、デバッグ処理の実行結果を示すデバ ッグ情報の取得要求を出力し、前記セキュアデバッガは、前記デバッグ対象プロダラ ムにつ 1、て前記判定手段が肯定的な判定をして 、るときに前記デバッグ情報の取得 要求を受け付けると、前記デバッグ対象プログラムのデバッグ処理を実行してデバッ グ情報を取得し、取得したデバッグ情報を、前記切替部を介して前記デバッグ処理 部に出力するとするとよい。

[0029] こうすることで、プログラムの開発者は、デバッグ処理が許可されて!、れば、セキュ アモードで動作するプログラムに対するデバッグ処理の結果を知ることができる。 また、前記データ処理装置は、さらに、前記通常プログラムのデバッグ処理の結果 を第 1の表示領域に表示する第 1の結果表示部と、前記通常プログラムとの連係にか 力るデバッグ対象プログラムのデバッグ処理の結果を、前記第 1の表示領域とは異な る第 2の表示領域に表示する第 2の結果表示部とを備え、前記第 1および第 2の結果 表示部は、前記連係に力かるデバッグ対象プログラムと前記通常プログラムとが連係 して動作しているとき、前記第 1の表示領域および前記第 2の表示領域に、前記デバ ッグ対象プログラムと前記通常プログラムのデバッグ処理の結果を表示するとしてもよ い。

[0030] これにより、プログラムの開発者は、通常プログラムとデバッグ対象プログラムの両 方の動作を確認しながらデバッグを行うことができる。

また、前記通常モードにおいては、通常 OSが動作し、前記セキュアモードにおいて は、保護 OSが動作し、前記通常プログラムは、前記通常 OSが生成するプロセスとし て前記通常モードにおいて動作し、前記デバッグ処理部は、前記通常 OSで動作す るデバッガとして前記通常モードにぉ 、て動作し、前記デバッグ対象プログラムは、 前記保護 OSが生成するプロセスとして前記セキュアモードにおいて動作し、前記セ キュアデバッガは、前記保護 OSの有する機能として実装されて 、るとしてもよ 、。

[0031] また、前記制御手段は、前記デバッグ処理部が前記デバッグ処理要求を出力する と、前記判定手段に前記判定を行わせ、許可されていないと判定されたとき、前記デ ノ ッグ処理の実行の禁止を示すデバッグ処理不可通知を前記デバッグ処理部へ出 力するとしてちょい。

これにより、デバッグ処理部を用いてデバッグしているユーザは、デバッグ対象プロ グラムのデバッグが許可されて ヽな 、場合に、その旨を知ることができる。

[0032] また、上述のプログラムは、以下のようにして生成される。

すなわち、プログラム生成装置は、秘匿すべき保護情報を含んだプログラムを取得 するプログラム取得手段と、取得した前記プログラムに対するデバッグ処理をデバッ グ処理部の識別子に応じて許可するか否かを判定するための検証値を生成する検 証値生成手段と、前記プログラムにつ！ヽて前記検証値生成手段で生成された検証 値を前記プログラムに付加して保護プログラムを生成する保護プログラム生成手段と を備えることを特徴とする。

[0033] ここで、前記プログラム生成装置は、さらに、前記プログラムを構成する各部分につ いてアクセスが許可または不許可であることを示すアクセス制御リストを取得するァク セス制御リスト取得部を含み、前記保護プログラム生成手段は、前記取得したァクセ ス制御リストを、前記プログラムに付加するアクセス制御リスト付加部を含むとしてもよ い。

この構成〖こよると、プログラムの開発者自身が前記検証値をプログラムに含ませる ので、開発者の意図したようにプログラムのデバッグ処理の実行を制御することがで きる。

[0034] また、本発明は、デバッグ処理部によるデバッグ処理の実行を制御するデータ処理 方法であって、前記デバッグ処理部を識別する識別子を取得する第 1取得ステップと 、不正アクセスから保護された状態にあるデバッグ対象プログラムの所定部分に含ま れる検証値を取得する第 2取得ステップと、前記デバッグ対象プログラムから取得さ れた前記検証値と前記第 1取得ステップにおいて取得された前記識別子とを比較し 、その比較結果に応じて、前記デバッグ対象プログラムに対するデバッグ処理が許可 されている力判定する判定ステップと、許可されていないと判定されたとき、前記デバ ッグ対象プログラムに対するデバッグ処理の実行を禁止する制御ステップとを含むこ とを特徴とするデータ処理方法でもある。

[0035] また、本発明は、デバッグ処理部によるデバッグ処理の実行の制御をデータ処理装 置に行わせる、コンピュータ読み取り可能な制御プログラムであって、前記デバッグ 処理部を識別する識別子を取得する第 1取得ステップと、不正アクセスカゝら保護され た状態にあるデバッグ対象プログラムの所定部分に含まれる検証値を取得する第 2 取得ステップと、前記デバッグ対象プログラム力も取得された前記検証値と前記第 1 取得ステップにお 、て取得された前記識別子とを比較し、その比較結果に応じて、 前記デバッグ対象プログラムに対するデバッグ処理が許可されている力判定する判 定ステップと、許可されていないと判定されたとき、前記デバッグ対象プログラムに対 するデバッグ処理の実行を禁止する制御ステップとを含むことを特徴とする制御プロ グラムでもある。

[0036] また、本発明は、デバッグ処理部によるデバッグ処理の実行を制御するデータ処理 装置において用いられる集積回路であって、前記デバッグ処理部を識別する識別子 を取得する第 1取得部と、不正アクセスから保護された状態にあるデバッグ対象プロ グラムの所定部分に含まれる検証値を取得する第 2取得部と、前記デバッグ対象プ ログラムから取得された前記検証値と前記第 1取得手段により取得された前記識別 子とを比較し、その比較結果に応じて、前記デバッグ対象プログラムに対するデバッ グ処理が許可されて！ヽるか判定する判定部と、許可されて！ヽな ヽと判定されたとき、 前記デバッグ対象プログラムに対するデバッグ処理の実行を禁止する制御部とを含 むことを特徴とする集積回路でもある。

[0037] また、本発明は、秘匿すべき保護情報を含んだプログラムを取得するプログラム取 得ステップと、取得した前記プログラムに対するデバッグ処理をデバッグ処理部の識 別子に応じて許可するか否かを判定するための検証値を生成する検証値生成ステツ プと、前記プログラムにつ 、て前記検証値生成ステップで生成された検証値を前記 プログラムに付加して保護プログラムを生成する保護プログラム生成ステップとを含む ことを特徴とするプログラム生成方法でもある。

[0038] また、本発明は、プログラムを生成する処理をプログラム生成装置に行わせるため の、コンピュータ読み取り可能な制御プログラムであって、秘匿すべき保護情報を含 んだプログラムを取得するプログラム取得ステップと、取得した前記プログラムに対す るデバッグ処理をデバッグ処理部の識別子に応じて許可する力否かを判定するため の検証値を生成する検証値生成ステップと、前記プログラムにつ 、て前記検証値生 成ステップで生成された検証値を前記プログラムに付加して保護プログラムを生成す る保護プログラム生成ステップとを含むことを特徴とする制御プログラムでもある。

[0039] また、本発明は、プログラムを生成するプログラム生成装置において用いられる集 積回路であって、秘匿すべき保護情報を含んだプログラムを取得するプログラム取得 部と、取得した前記プログラムに対するデバッグ処理をデバッグ処理部の識別子に 応じて許可するか否かを判定するための検証値を生成する検証値生成部と、前記プ ログラムについて前記検証値生成手段で生成された検証値を前記プログラムに付カロ して保護プログラムを生成する保護プログラム生成部とを含むことを特徴とする集積 回路でもある。

図面の簡単な説明

[0040] [図 1]本発明の実施の形態 1におけるデータ処理装置 1の概略図。 [図 2]デバッグ機能 7の詳細なブロック図。

[図 3]デバッガ ID判定部 22の詳細なブロック図。

[図 4]切替デバドラ 13のブロック図。

圆 5]暗号化された保護プログラム 73を示す図。

[図 6]アクセス判定部 23が取得するアクセス制御リスト 53のデータ構造の例を示す図 圆 7]デバッグ機能 7の動作を示す図。

[図 8]本発明の実施の形態 1における、デバッグを行わない場合の通常プログラム 12 および保護プログラム 8の実行のフローチャート。

圆 9]通常プログラム 12が、保護プログラム 8の機能の実行を必要とする場合の動作 を示すフローチャート。

圆 10]通常プログラム 12aが保護プログラム 8aの使用を終了する場合の動作を示す フローチャート。

[図 11]デバッガ 14が、通常プログラム 12と保護プログラム 8とに対するデバッグ処理 を行うための前処理を示すフローチャート。

[図 12]保護プログラム 8a実行中にブレークポイントによるデバッグ例外が発生し、デ バッガ 14を用いて保護プログラム 8aに対してデバッグ処理を行うときのフローチヤ一 ト。

圆 13]本発明にかかる保護プログラム 8の生成方法を説明するための図。

圆 14]保護プログラム生成装置 72の構成図。

圆 15]保護プログラム生成装置 72が、暗号化された保護プログラム 73を生成する処 理を示すフローチャート。

[図 16]デバッガ ID管理サーバによるデバッガ IDの管理方法を説明するための図。

[図 17]デバッガ ID管理サーバ 81がデバッガ IDの管理に用いるデバッガ ID管理ファ ィル 90のデータ構造を示す図。

[図 18]プログラムの動作情報を表示するためのグラフィカルユーザインターフェース（ GUI)を示す図。

[図 19]本発明実施の形態 5におけるキャラクタベースユーザインターフェース (CUI) の表示方法の説明図。

符号の説明

1 データ処理装置

2 LSI

3 切替機構

6 保護 OS

7 デバッグ機能

8 保護プログラム

11 通常 OS

12 通常プログラム

13 切替デバイスドライバ

14 デノ ッガ

15 デバッガ用切替デバイスドライバ

21 制御部

22 デバッガ ID判定部

23 アクセス判定部

24 セキュアデバッガ

25 デバッグ情報取得部

26 ブレークポイント設定部

27 レジスタ値取得設定部

28 メモリ値取得設定部

31 デバッガ ID比較部

32 デバッガ ID演算部

33 比較値保持部

41 切替操作部

42 要求振り分け部

43 通常要求受付部

44 デバッグ要求受付部 保護プログラム本体 許可デバッガ 情報 アクセス制御リスト

復号化用ヘッダ情報 アクセス制御リスト

開始アドレス

終了アドレス

アクセス許可情報

シンボノレ名

アクセス許可情報

保護プログラムソースコード 保護プログラム生成装置 暗号ィ匕された保護プログラム 許可デバッガ ID格納ファイル アクセス制御リスト格納ファイル 秘匿情報領域格納ファイル コンノイラ

ジン力

保護プログラム化ツール デバッガ ID管理サーバ 保護プログラム開発装置 保護プログラム解析装置 デバッガ ID管理ファイル 管理番号

デバッガ ID

保護プログラムの開発者名 連絡先

GUI 151 コード表示部

152 レジスタ表示部

153 メモリ表示部

154 シンボル表示部

155 ウォッチポイント表示部

156 コールスタック表示部

157 ウィンドウタイトル表示部

158 メニュー表示部

159 モード表示部

160 通常プログラム用デバッグウィンドウ

161 保護プログラム用デバッグウィンドウ

170 CUI

171 デバッグ処理結果の表示例

発明を実施するための最良の形態

[0042] 以下本発明の実施の一形態について、図面を参照しながら説明する。

1 実施の形態 1

図 1は、本発明の実施の形態 1におけるデータ処理装置 1の概略図である。データ 処理装置 1は、保護機構を持つ LSI2と切替機構 3、保護 OS6、デバッグ機能 7、保 護プログラム 8 (8a、 8b、 · ·）、通常 OS11、通常プログラム 12 (12a、 12b、 · ·）、切替 デバイスドライバ 13 (以下、「切替デバドラ 13」という）、デバッガ 14、デバッガ用切替 デバイスドライバ 15 (以下、「デバッガ用切替デバドラ 15」という）から構成される。

[0043] 1. 1 実施の形態 1における各機能ブロックの説明

1. 1. 1 LSI2

図 1において、 LSI2は、プログラムの不正な解析や改竄力も保護するための機構 である保護機構を搭載している。保護機構は、外部からの不正アクセスを防止するハ 一ドウエア機構を有している。保護機構の具体的な例としては、外部力ものアクセスを 一時的に遮断する等が挙げられる。

[0044] LSI2は、動作モードとして保護モード (または、「セキュアモード」と呼ぶこととしても よい）と通常モードとを備えており、保護モードと通常モードとを切り替えて動作する。 動作モードの切り替えは、後述する切替機構 3を用いて行う。

保護モードとは、保護機構によってプログラムが不正な解析や改ざん力も保護され る特殊なモードであり、保護 OS6や保護プログラム 8が動作する。一方、通常モードと は、保護機構によってプログラムが保護されない一般的なモードであり、通常 OS11 や通常プログラム 12が動作する。

[0045] 保護モードから通常モードへの切替は、保護 OS6が切替機構 3を用いて行う。通常 モードから保護モードへの切替は、通常 OS 11にある切替デバドラ 13等が切替機構 3を用いて行う。

1. 1. 2 切替機構 3

切替機構 3は、保護 OS6や通常 OS11からの、動作モードの切り替え指示を受け 付けて、動作モード切り替えに必要な処理を行うためのハードウェア機構を有する。 動作モードの切り替え処理は、例えば、非特許文献 1に記載の技術を適用することが できる。

[0046] この場合、切替機構 3は、通常モードにおいても保護モードにおいても動作し、通 常モードおよび保護モードがともにアクセス可能な記憶領域を有している。通常モー ドで LSI2が動作している場合に、通常モードで動作する通常プログラム 12から保護 モードで動作する保護プログラム 8への要求等を、上記記憶領域に!/、つたん格納さ せる。動作モードが切り替わつてから、保護 OS6や保護プログラム 8が、前記格納さ れた情報を読み出すことで、通常モードで動作するプログラムと保護モードで動作す るプログラムとの間の通信を実現する。

[0047] 1. 1. 3 保護 OS 6

保護 OS6は、 LSI2が保護モードの時の、データ処理装置 1の動作を制御する OS である。

保護 OS6は、保護モード上で動作する保護プログラム 8の管理 (プロセス管理)ゃリ ソース管理、メモリ管理ユニット（MMU)を用いた保護プログラム間のアクセス制御、 割り込み処理、切替機構 3を用いた通常モードへの切替処理、保護プログラムをデ ノッグするためにデバッグ機能 7を用いたデバッグ処理などを行う。 [0048] 1. 1. 4 デバッグ機能 7

デバッグ機能 7は、デバッガ 14が保護プログラム 8に対するデバッグ処理を行う際に 、そのデバッグ処理の実行を制御する。

すなわち、デバッグ機能 7は、デバッガ 14が保護プログラム 8をデバッグするときに 、デバッガ 14による保護プログラム 8のデバッグが許可されて 、るかどうかを判定する 。判定の結果、許可されている場合には、デバッガ 14からの要求に従い、デバッグ情 報の取得やブレークポイントの設定、レジスタ値やメモリ値の取得'設定などの処理を 保護プログラム 8に対して行う。なお、デバッグ情報とは、プログラムのデバッグのため の情報であり、オブジェクトファイル中のプログラムコードとソースコードの対応関係な どを示す。また、デバッグ機能 7は、停止フラグを用いて、保護プログラム 8のデバッグ 処理の前処理を行う。なお、デバッグ機能 7の詳細については、後述する。

[0049] 1. 1. 5 保護プログラム 8

保護プログラム 8は、不正な解析や改ざん力 保護しなければならな 、情報 (以下、 秘匿情報）を含むアプリケーションプログラムである。

秘匿情報の例としては暗号ィ匕されたディジタルコンテンツを復号するための復号鍵 ゃ復号アルゴリズム、再生やコピーに関する権利を格納する権利情報等がある。また 、保護プログラム 8は不正な解析を防止するため、実行が開始されるまでは暗号化さ れた状態で保持されており、実行開始時に保護 OS6によって復号化される。

[0050] 1. 1. 5. 1 保護プログラム 8の補足

保護プログラム 8は、実行が開始されるまでは、図 5に示す暗号化された保護プログ ラム 73のように、暗号化された状態で保持されて!、る。

図 5に示すように、暗号化された保護プログラム 73は、保護プログラム本体 51と、許 可デバッガ 情報 52と、アクセス制御リスト 53と、復号ィ匕用ヘッダ情報 54とから構成 される。暗号化された保護プログラム 73を、復号化用ヘッダ情報 54を用いて復号す ると、保護プログラム 8が得られる。保護プログラム 8は、保護プログラム本体 51と、許 可デバッガ HD情報 52と、アクセス制御リスト 53とからなる。

[0051] 1. 1. 5. 2 保護プログラム本体 51

保護プログラム本体 51は、プログラムの実行コードである。 1. 1. 5. 3 許可デバッガ HD情報 52

許可デバッガ 情報 52は、保護プログラム 8に対するデバッグ処理を許可するか 否かを判定するための検証値である。この実施形態では、許可デバッガ 情報 52と は、保護プログラム 8に対するデバッグ処理が許可されて 、るデバッガの識別子 (デ ノ ッガ ID)を示していることとする。すなわち、許可デバッガ ID情報 52に示される値と 同一のデバッガ IDを有するデバッガが、保護プログラム 8に対するデバッグ処理を行 うことができる。デバッグ機能 7の前記判定に際しては、この許可デバッガ 情報 52 が用いられる。

[0052] 1. 1. 5. 4 アクセス制御リスト 53

アクセス制御リスト 53は、保護プログラム 8の所定領域に対するアクセスが許可され ている力否かを示すリストである。アクセス制御リスト 53とは、要するに、保護プロダラ ム 8を構成する各部分のそれぞれにつ 、て、アクセスを許可するか否かを対応づけ たものである。アクセス制御リスト 53の詳細は後述する。

[0053] 1. 1. 5. 5 復号化用ヘッダ情報 54

復号化用ヘッダ情報 54は、暗号化された保護プログラム 73の復号ィ匕に必要な情 報を示す。例えば、暗号ィ匕に用いられたアルゴリズムや、保護プログラム 8をメモリに ロードするアドレスなどが復号ィ匕用ヘッダ情報 54には含まれる。なお、暗号化された プログラムに、復号ィ匕に必要な情報を付加してプログラムの復号を行う技術は従来広 く知られており、本発明の主要な構成要件ではないため詳細な説明を省略する。

[0054] 1. 1. 5. 6 各データの配置

保護プログラム 8のうち、許可デバッガ HD情報 52やアクセス制御リスト 53や保護プ ログラム本体 51は、どのように配置してもよい。具体的には、どのように許可デバッガ I ひ f青報 52等を配置して 、るかと 、う情報を、ヘッダ等の情報としてプログラムに付カロ してちよい。

[0055] また、予め保護プログラムのどの部分に含まれるかを定義しておき、その定義に従 つてデータ処理装置 1のデバッグ機能 7が許可デバッガ Iひ f青報 52を読み出すことと してもよい。例えば、許可デバッガ HD情報 52を示すビットの数 (またはバイト数）と、ァ クセス制御リスト 53を示すビットの数とを予め定義しておき、保護プログラム 8の先頭 力も所定ビットまでを許可デバッガ 情報 52とし、そこから後続する所定ビットまでを アクセス制御リスト 53とする。

[0056] なお、許可デバッガ HD情報 52とアクセス制御リスト 53とからなる組が複数ある場合 は、保護プログラムの先頭に、これら組がいくつあるかを示す情報を含ませておくとし てもよい。

また、これら許可デバッガ ID情報 52等を、保護プログラム 8内にどのように配置する かを、復号ィ匕用ヘッダ情報 54に含めてもよい。デバッグ機能 7は、これら許可デバッ ガ 情報 52等の保護プログラム 8に占める位置を示す情報を読み取る等することで 、許可デバッガ Iひ f青報 52やアクセス制御リスト 53を取得することができる。

[0057] なお、保護プログラム 8の詳細については、実施の形態 2でその生成方法とともに 詳しく説明する。

1. 1. 6 通常 OS11

通常 OS 11は、 LSI2が通常モードの時の、データ処理装置 1の動作を制御する O Sである。

[0058] すなわち、通常 OS 11は、通常モードで動作している時に、通常モードで動作する 通常プログラム 12の管理 (プロセス管理)やリソース管理、割り込み処理等を行う。

1. 1. 7 切替デバドラ 13

切替デバドラ 13は、通常 OS 11のデバイスドライバとして動作し、通常プログラム 12 が保護プログラム 8との通信を行うときに使用する。なお、後述するが、デバッガ 14が デバッグ機能 7との通信を行う場合は、デバッガ用切替デバドラ 15が利用される。

[0059] 具体的には、切替デバドラ 13は、通常プログラム 12と保護プログラム 8との間の通 信データの受け渡し処理と、通常モード力 保護モードへの切替処理を行う。通信デ ータの受け渡し処理とは、要するに、通常プログラム 12が出力するデータを受け付け て、切替機構 3を経由して保護プログラム 8へ出力し、また、保護プログラム 8から出 力されたデータを、切替機構 3を経由して取得し、取得したデータを通常プログラム 1 2へ出力する処理のことである。

[0060] 切替デバドラ 13の詳細につ 、ては後述する。

1. 1. 8 デバッガ用切替デバドラ 15 デバッガ用切替デバドラ 15は、通常 OS 11のデバイスドライバとして動作し、デバッ ガ 14がデバッグ機能 7との通信を行うときに使用する。

デバッガ用切替デバドラ 15は、デバッガ 14とデバッグ機能 7の通信データの受け 渡し処理と、通常モードから保護モードへの切替処理を行う。

[0061] 1. 1. 9 通常プログラム 12

通常プログラム 12 (12a、 12b、 · ·）は、通常 OS11上で動作するアプリケーションプ ログラムである。

通常プログラム 12は、切替デバドラ 13を利用して保護モードで動作する保護プロ グラム 8と通信を行 ヽ、保護プログラム 8と連携して動作する。

[0062] 1. 1. 10 デバッガ 14

デバッガ 14は、通常プログラム 12に対してデバッグ処理を行う機能と、保護プログ ラム 8に対してデバッグ処理を行う機能とを有する。デバッガ 14は、自身を識別する ための識別子であるデバッガ IDを有している。デバッグ機能 7による、デバッグが許 可されている力否かの判定に際しては、このデバッガ IDが用いられる。なお、デバッ ガ 14のデバッガ IDの管理等に関しては、実施の形態 3で詳しく説明する。

[0063] デバッガ 14の通常プログラム 12をデバッグする機能は、例えば Linux (登録商標） で使用される GDBなどのアプリケーションデバッガと同様の機能とすることで実現で きる。

また、保護プログラム 8に対してデバッグ処理を行う機能とは、デバッガ 14が、デバ ッガ用切替デバドラ 15を介して保護 OS6のデバッグ機能 7と通信し、デバッグ機能 7 が保護プログラム 8に対してデバッグ情報の取得やブレークポイントの設定、レジスタ 値やメモリ値の取得 ·設定などのデバッグ処理を行 、、そのデバッグ処理の結果を受 け付ける機能のことである。

[0064] なお、以下の説明では、デバッガ 14は、通常モードで動作する通常プログラム 12 にアタッチし、アタッチした通常プログラム (例えば、通常プログラム 12a)、および、そ の通常プログラムと連携動作している保護プログラム (例えば、保護プログラム 8a)に 対してデバッグ処理を行うものとする。

なお、本実施の形態 1におけるデバッガ 14は、通常 OS 11上で動作するアプリケー シヨンデバッガとした力 これに限定するものではなぐ例えば Linux (登録商標）で使 用される KGDB等のカーネルモードデバッガとし通常モードや保護モードで動作す るデバイスドライバのデバッグを可能としてもよい。

[0065] 1. 2 デバッグ機能 7の詳細な説明

「1. 1. 4 デバッグ機能 7」で説明したデバッグ機能 7の詳細を、以下、説明する。 図 2はデバッグ機能 7の詳細なブロック図である。デバッグ機能 7は、制御部 21、デ バッガ ID判定部 22、アクセス判定部 23、セキュアデバッガ 24とを有している。セキュ ァデバッガ 24は、デバッグ情報取得部 25、ブレークポイント設定部 26、レジスタ値取 得設定部 27、メモリ値取得設定部 28とを有して 、る。

[0066] なお、「1. 1. 5 保護プログラム 8」で説明したように、保護プログラム 8には許可デ ノ ッガ ID情報 52とアクセス制御リスト 53が含まれており、「1. 1. 10 デバッガ 14」で 説明したように、デバッガ 14は、デバッガ IDを有している。

なお、以下のデバッグ機能 7の説明では、デバッグ対象の保護プログラムについて 、どのプログラムがデバッグ対象か特定せず、デバッグ対象の保護プログラム 8と総称 して説明する。

[0067] 1. 2. 1 デバッガ ID判定部 22

図 2において、デバッガ ID判定部 22は、デバッガ 14力 デバッグ対象の保護プロ グラム 8に対するデバッグ処理を許可されて!ヽるカゝ否かを判定する。

すなわち、デバッガ ID判定部 22は、デバッガ 14の持つデバッガ IDと、デバッグ対 象の保護プログラム 8に含まれる許可デバッガ 情報 52とを取得する。取得したデ ノ ッガ IDと許可デバッガ 情報 52とを比較する。その比較の結果に応じて、デバッ グ対象の保護プログラム 8のデバッグ (すなわち、デバッガ 14によるデバッグ対象の 保護プログラムに対するデバッグ処理の実行）がデバッガ 14に許可されて ヽるか否 か判定を行う。

[0068] 1. 2. 1. 1 デバッガ ID判定部 22の詳細な説明

図 3はデバッガ ID判定部 22の詳細なブロック図である。

図 3に示すように、デバッガ ID判定部 22は、デバッガ ID比較部 31とデバッガ ID演 算部 32、比較値保持部 33とを有している。デバッガ ID判定部 22は、デバッガ 14の デバッガ IDとデバッグ対象の保護プログラム 8に含まれる許可デバッガ 情報 52に 示される値とがー致して 、るかどうかを判定する。

[0069] 具体的に説明すると、図 3に示すように、デバッガ ID演算部 32は、デバッガ 14のデ ノ ッガ IDとデバッグ対象の保護プログラム 8に含まれる許可デバッガ 情報 52を受 け付ける。デバッガ ID力 許可デバッガ HD情報 52に示される値を引く。引いた結果 を演算結果としてデバッガ ID比較部 31へ出力する。

デバッガ ID比較部 31は、デバッガ ID演算部 32の演算結果と、比較値保持部 33の 保持して!/ヽる比較値とを比較し、一致して ヽる場合に「デバッグ可」を制御部 21に通 知し、一致しなかった場合に「デバッグ不可」を制御部 21に通知する。なお、比較値 保持部 33は、デバッガ ID演算部 32の演算結果と比較するための比較値として〃0 "を 保持している。

[0070] 1. 2. 1. 2 デバッガ ID判定部 22の補足説明

なお、本実施の形態 1におけるデバッガ ID判定部 22は、デバッガ 14のデバッガ ID とデバッグ対象の保護プログラム 8に含まれる許可デバッガ ID情報 52に示される値と がー致しているかどうかを判定するとしたが、デバッガ IDの一致を判定することに限 定するものではない。すなわち、デバッガ ID演算部 32では減算以外に乗算ゃ喑復 号演算を行ってもよい。また、比較値保持部 33では" 0〃以外の値を保持するとしても よい。

[0071] 要するに、デバッガ ID判定部 22は、デバッガ 14の識別子と、デバッグ対象の保護 プログラム 8に含まれる検証値とを演算子として所定の演算を行い、その結果が、比 較値保持部 33に保持されている比較値と一致すれば「デバッグ可」と判定し、一致し なければ「デバッグ不可」と判定すればよ!、。

また、この他に、図示しないデバッガ ID保持部に予め保護プログラム 8の許可デバ ッガ HD情報 52に示される値を保持しておき、デバッガ ID判定部 22がデバッガ 14か ら受け付けたデバッガ 14のデバッガ IDと、デバッガ ID保持部に保持して 、る値とを 比較するとしてもよい。この場合、デバッガ ID演算部 32は特に演算を行わない。

[0072] 1. 2. 2 アクセス判定部 23

図 2に戻って説明を続ける。 アクセス判定部 23は、デバッガ 14がデバッグ対象の保護プログラム 8の所定領域 に対してアクセスを要求して 、る場合に、そのアクセスが許可されて 、る力判定する。 すなわち、アクセス判定部 23は、デバッグ対象の保護プログラム 8からアクセス制御 リスト 53を取得し、取得したアクセス制御リスト 53に基づいて、デバッガ 14がアクセス しょうとしている領域へのアクセスが許可されているかどうか判定を行う。

[0073] 1. 2. 2. 1 アクセス制御リスト 53の詳細な説明

ここで、アクセス制御リスト 53の詳細について説明する。

図 6は、アクセス判定部 23が取得するアクセス制御リスト 53のデータ構造の例を示 す図である。

アクセス制御リスト 53は、アクセス制御を行う領域と、その領域に関するアクセス許 可情報の 2つの部分力もなる。以下の説明では、メモリアドレスでアクセス制御を行う 場合のアクセス制御リスト 53aと、シンボルによってアクセス制御を行う場合のアクセス 制御リスト 53bとについて説明する。なお、シンボルとは、プログラムに含まれる変数 や関数などを識別する識別子のことである。

[0074] 1. 2. 2. 2 メモリアドレスでアクセス制御を行う場合

図 6 (a)は、アクセス制御を行う領域をメモリアドレスで指定するときのアクセス制御リ スト 53aのデータ構造であり、アクセス制御を行う領域は開始アドレスと終了アドレス で指定される。

図 6 (a)に示すように、アクセス制御リスト 53aの 1件のレコードは、開始アドレス 61a と、終了アドレス 62aと、アクセス許可情報 63aとを含む。

[0075] 開始アドレス 61aと終了アドレス 62aとは、アクセス制御を行うメモリ領域の開始アド レスと終了アドレスとを示す。

アクセス許可情報 63aは、開始アドレス 61aと終了アドレス 62aとに示されるメモリ領 域へのアクセスを許可するカゝ否かを示す。許可する場合は「アクセス可」、許可しない 場合は「アクセス不可」を例えば 1ビットの情報で示す。アクセス制御リスト 53aには、 開始アドレス 61aおよび終了アドレス 62aにより示されるメモリ領域の組を複数含んで おり、これら組のそれぞれに、アクセスを許可するか否かを対応づけて記憶している。

[0076] なお、リストの先頭には、開始アドレス 61aと終了アドレス 62aとにより示されていな い領域を「default」と定義している。「default」の領域へのアクセスは、本実施形態で は、「アクセス不可」としている。

また、開始アドレス 61a等に示されるアドレスは、本実施形態では、相対的なァドレ スである。すなわち、保護プログラム 8の復号ィ匕用ヘッダ情報 54には、保護プロダラ ム 8をメモリにロードする際のメモリアドレスが示されており、このメモリアドレスの先頭 を 0とした相対的なアドレス力 開始アドレス 61a等に示されている。もちろん、開始ァ ドレス 61a等に示されるアドレスは、メモリの絶対アドレスとしてもよい。

[0077] 1. 2. 2. 3 メモリアドレスでアクセス制御を行う場合の動作

アクセス判定部 23は、アクセス制御リスト 53aと保護プログラム 8aのデバッグ情報を 取得する。また、デバッガ 14がアクセスを要求しているシンボルを、保護プログラム 8a のデバッグ情報を用いてアドレスに変換する。

アクセス判定部 23は、変換したアドレスが、アクセス制御リスト 53a中の開始アドレス 61aおよび終了アドレス 62aにより示されるメモリ領域それぞれに含まれるかどうかをリ ストの上から順に判定する。含まれると判定されると、その領域に対応づけられたァク セス許可情報 63aを取得し、アクセス許可情報 63aに示される情報、すなわち「ァクセ ス可」か「アクセス不可」かを制御部 21に通知する。また、リスト中のメモリ領域に含ま れなカゝつた場合には、リスト先頭の「default」と対応づけられて ヽるアクセス許可情報 6 3aに基づ 、て「アクセス可」か「アクセス不可」かを制御部 21に通知する。

[0078] 1. 2. 2. 4 シンボルによってアクセス制御を行う場合

図 6 (b)は、アクセス制御を行う領域をシンボル名で指定するときのアクセス制御リス ト 53bのデータ構造であり、アクセス制御を行う領域はシンボル名で指定される。 図 6 (b)に示すように、アクセス制御リスト 53bの 1件のレコードは、シンボル名 64bと 、アクセス許可情報 65bとを含む。

[0079] シンボル名 64bは、アクセス制御の対象となるシンボルの名称を示す。

アクセス許可情報 65bは、シンボル名 64bに示されるシンボルに対するアクセスを 許可するか否かを示す。

図 6 (b)に示すように、アクセス制御リスト 53bには、シンボルそれぞれについて、ァ クセスを許可する力否かが示されて 、る。 [0080] なお、リストの先頭には、シンボル名 64bに示されていないシンボルを「default」と定 義している。「default」のシンボルへのアクセスは、本実施形態では、「アクセス不可」 としている。

1. 2. 2. 5 シンボルによってアクセス制御を行う場合の動作

アクセス判定部 23は、アクセス制御リスト 53bを取得する。デバッガ 14がアクセスを 要求しているシンボルの名称力 アクセス制御リスト 53b中のシンボル名 64bに示さ れるシンボル名と一致するかをリストの上力も順に判定する。リスト中のシンボル名と 一致した場合にはそのシンボル名に対応づけられたアクセス許可情報 65bを取得し 、アクセス許可情報 65bに示される情報、すなわち「アクセス可」か「アクセス不可」か を制御部 21に通知する。リスト中のシンボル名と一致しな力つた場合には、リストの先 頭の「default」と対応づけられて!/、るアクセス許可情報 65bに基づ!/、て「アクセス可」 か「アクセス不可」かを制御部 21に通知する。

[0081] 1. 2. 2. 6 補足説明

なお、本実施の形態 1におけるアクセス制御リスト 53a、 53bは、そのリストの先頭に 、アクセス制御リスト 53a、 53bに示されていないシンボルを「default」として、「default」 に対応づけてアクセス許可情報 63a、 65bを記憶することとしている力 これに限定す るものではない。

[0082] すなわち、アクセス判定部 23において、アクセス制御リスト 53a、 53bに含まれない メモリ領域やシンボル名の場合には常に「アクセス可」と判定するものとしてもよ!、し、 逆に「アクセス不可」と判定するものとしてもよ 、。

また、デバッガ 14は、シンボルによりアクセスを要求するとした力 シンボルに限定 するものではない。例えば、デバッガ 14はメモリのアドレスによりアクセスする領域を 旨定してちよい。

[0083] この場合、上記の例ではアクセス制御リスト 53aを用いたアクセス許可の判定にお V、て、デバッガ 14から指定されたシンボルをー且アドレスに変換する処理を行って!/ヽ たが、デバッガ 14から指定されたアドレスによって直接判定することとなる。

1. 2. 3 セキュアデバッガ 24

セキュアデバッガ 24は、デバッガ 14からの依頼に応じて、様々なデバッグ処理を行 [0084] セキュアデバッガ 24は、デバッグ情報取得部 25、ブレークポイント設定部 26、レジ スタ値取得設定部 27、メモリ値取得設定部 28を含んで 、る。

デバッグ処理としては、デバッグ情報取得部 25により、デバッグ対象の保護プログ ラム 8からシンボル情報などのデバッグ情報を取得する処理を行う。

また、ブレークポイント設定部 26により、デバッグ対象の保護プログラム 8にブレーク ポイントを設定する処理を行う。

[0085] また、レジスタ値取得設定部 27により、デバッグ対象の保護プログラム 8が使用して V、るレジスタ値を取得し、あるいはデバッグ対象の保護プログラム 8が使用するレジス タ値を設定する。

また、メモリ値取得設定部 28により、デバッグ対象の保護プログラム 8が使用してい るメモリの値を取得し、あるいはデバッグ対象の保護プログラム 8が使用するメモリの 値を設定する。

[0086] 1. 2. 4 制御部 21

制御部 21はデバッガ ID判定部 22とアクセス判定部 23との判定結果に基づいて、 デバッガ 14によるデバッグ対象の保護プログラム 8に対するデバッグ処理の実行が 許可されて!ゝるかを確認する。

確認の結果、デバッグ処理の実行が許可されていれば、制御部 21は、デバッガ 14 力もの依頼に応じてセキュアデバッガ 24に含まれる各処理 (デバッグ情報取得部 25 、ブレークポイント設定部 26、レジスタ値取得設定部 27、メモリ値取得設定部 28)を 呼び出す。

[0087] 制御部 21は、デバッガ ID判定部 22により、デバッグ対象の保護プログラム 8をデバ ッガ 14がデバッグ処理することが不許可と判定された場合や、アクセス判定部 23に より、デバッガ 14によるアクセスを禁止されている領域へのアクセスと判定された場合 には、デバッガ 14から依頼された要求を処理しない。すなわち、セキュアデバッガ 24 に含まれる各処理を呼び出さない。なお、このとき、セキュアデバッガ 24に含まれる 各処理を呼び出さな力つたことをデバッガ 14に通知するために、デバッグ処理の実 行が許可されな力つたことを示すデバッグ処理不可通知をデバッガ 14へ出力するこ ととしてもよい。こうすることで、デバッガ 14では、デバッグ処理の実行が許可されな 力つたことをデバッガ 14のユーザに示す等の処理を行うことができる。

[0088] なお、上述のように、許可デバッガ HD情報 52とアクセス制御リスト 53とを用いてデ ノ ッグ処理の実行の制御を行うとして説明したが、保護プログラム 8に含まれる許可 デバッガ 情報 52に示されるデバッガ IDは、 1つでもよ 、し複数でもよ!/ヽ。デバッガ I Dを複数含ませることで、複数の開発者にデバッグ処理を許可することができる。例 えば、複数の開発者が共同でプログラムを開発する場合などが考えられる。

[0089] また、許可デバッガ ID情報 52とアクセス制御リスト 53とを対応づけた組力 複数、 保護プログラム 8に含まれることとしてもょ 、。

もちろん、 1のデバッガ IDが含まれる許可デバッガ 情報 52を複数含み、それぞ れの許可デバッガ ID情報 52に、アクセス制御リスト 53を対応づけることとしてもよい。 この場合、アクセス制御リスト 53は、それぞれの許可デバッガ 情報 52ごとに異なる アクセス制限を示すものであってもよい。こうすると、デバッガ IDごとに、異なるァクセ ス制限を課すことができる。

[0090] 制御部 21は、デバッガ ID判定部 22に、保持して 、る複数の許可デバッガ m情報 52に示されるデバッガ IDそれぞれにつ ヽて判定を行わせ、デバッグ許可と判定され たデバッガ IDがあれば、アクセス判定部 23に、そのデバッガ IDに対応したアクセス 制御リストによるアクセス判定を依頼する。すべてのデバッガ IDがデバッグ不許可と 判定された場合には、デバッガ 14から依頼された要求を処理しな ヽ。

[0091] 1. 3 切替デバドラ 13の詳細な説明

「1. 1. 7 切替デバドラ 13」で説明した切替デバドラ 13の詳細を、以下、説明する 図 4は切替デバドラ 13のブロック図である。切替デバドラ 13は、切替操作部 41、要 求振り分け部 42、通常要求受付部 43、デバッグ要求受付部 44とを有している。

[0092] 1. 3. 1 切替操作部 41

切替操作部 41は、通常モードで使用しているレジスタ値などを保存することで通常 モードでのデータ処理装置の状態を退避し、その後、切替機構 3を使用して通常モ ード力 保護モードへ切り替える処理を行う。 さらに、保護モードから通常モードへ切り替わったときに、退避しておいた状態の復 帰処理を行い、切り替え時に発生した保護モードからの要求を要求振り分け部 42に 通知する。なお、この要求としては、デバッグ例外によるデバッグ要求と、通常プログ ラム 12への要求とがある。

[0093] 1. 3. 2 要求振り分け部 42

要求振り分け部 42は、保護モードからの要求が、保護モード動作中に発生したデ ノ ッグ例外によるデバッグ要求力、通常プログラム 12への要求かを判断する。

判断の結果、デバッグ要求の場合にはデバッグ要求受付部 44にデバッグ要求を 通知し、通常プログラム 12への要求の場合は通常要求受付部 43に保護モードから の要求を通知する。

[0094] 1. 3. 3 通常要求受付部 43

通常要求受付部 43は、保護 OS6や保護プログラム 8等の保護モードで動作してい るプログラムと、通常プログラム 12との通信を仲介する。

すなわち、保護モードで動作して 、るプログラム力もの要求を通常プログラム 12へ 通知したり、反対に通常プログラム 12からの要求を保護モードで動作しているプログ ラムへ通知したりする。

[0095] 1. 3. 4 デバッグ要求受付部 44

デバッグ要求受付部 44は、保護プログラム 8中に設定されたブレークポイントにより 発生したデバッグ例外を、保護プログラム 8と連係動作中の通常プログラム 12をデバ ッグしているデバッガ 14に通知する。

切替デバドラ 13を上述の様な構成〖こすることにより、通常プログラム 12と保護プロ グラム 8との通信を仲介しつつ、保護プログラム 8で発生したデバッグ例外を適切なデ ノ ッガ 14に通知することが可能となる。こうすることで、保護プログラム 8に含まれる秘 匿情報を無関係なデバッガに通知することによる秘匿情報の流出を防ぐことができる

[0096] 1. 3. 5 切替デバドラ 13の補足

なお、本実施の形態 1における切替デバドラ 13は、切替操作部 41以外に要求振り 分け部 42や通常要求受付部 43、デバッグ要求受付部 44から構成されるとしたが、こ の様な構成に限定するものではない。例えば、切替デバドラ 13は切替操作部 41だ けからなり、要求振り分け部 42や通常要求受付部 43、デバッグ要求受付部 44は通 常プログラム 12にライブラリとして組み込まれていてもよい。この場合、要求振り分け 部 42や通常要求受付部 43、デバッグ要求受付部 44の動作は、通常プログラム 12 の実行中に呼び出されるライブラリが行うこととなる。

[0097] 1. 4 動作

続いて、データ処理装置 1の動作について説明する。

以下の説明では、まず、本発明の特徴でもある、デバッグ機能 7の動作を「1. 4. 1 デバッグ機能 7の動作」で説明する。

次に、全体の動作として、デバッグ処理を行わない場合の動作を「1. 4. 2 デバッ グ処理を行わない場合の動作」で説明する。すなわち、通常プログラム 12と保護プロ グラム 8との連係動作を説明する。

[0098] 続いて、デバッガ 14力 通常プログラム 12と保護プログラム 8とに対してデバッグ処 理を行う場合の動作を、その前処理とあわせて「1. 4. 3 デバッグ処理の前処理」「1 . 4. 4 デバッグ処理」で説明する。

なお、保護プログラム 8は保護モードで動作するプログラムのため、通常モードで動 作するプログラムおよびデバッガは保護プログラム 8へ直接にはアクセスできな 、。そ のため、セキュアデバッガ 24が保護プログラム 8へのデバッグ処理を行って、デバッ ガ 14は、その結果を受け付ける。

[0099] 1. 4. 1 デバッグ機能 7の動作

図 7は、デバッグ機能 7の動作を示す図である。

デバッガ ID判定部 22は、デバッガ 14のデバッガ IDと保護プログラム 8の許可デバ ッガ ID情報 52とに基づ 、て、デバッガ 14による保護プログラム 8のデバッグが許可さ れて 、るかどうか判定する（S 101)。

[0100] 制御部 21は、デバッガ ID判定部 22の判定結果に基づいて処理を切り替える（S10 2)。すなわち、デバッガ ID判定部 22の判定結果力 ^デバッグ不可」であった場合に は（S 102 : NO)、デバッグ処理を中止する。

デバッガ ID判定部 22の判定結果が「デバッグ可」であった場合には（S 102： YES) 、アクセス判定部 23は、デバッガ 14がアクセスしょうとしている保護プログラム 8の領 域力 デバッガ 14によるアクセスが許可されているかを、保護プログラム 8のアクセス 制御リスト 53に基づいて判定する（S 103)。

[0101] 制御部 21は、アクセス判定部 23の判定結果に基づいて処理を切り替える（S104) 。すなわち、アクセス判定部 23の判定結果が「アクセス不可」であった場合には（S 10 4 : NO)、デバッグ処理を中止する。

アクセス判定部 23の判定結果が「アクセス可」であった場合には（S 104 : YES)、 デバッグ機能 7は、セキュアデバッガ 24の各処理部（デバッグ情報取得部 25、ブレー クポイント設定部 26、レジスタ値取得設定部 27、メモリ値取得設定部 28)を呼び出し て処理を行わせる（S 105)。

[0102] 1. 4. 2 デバッグ処理を行わない場合の動作

図 8は、本発明の実施の形態 1における、デバッグを行わない場合の通常プロダラ ム 12および保護プログラム 8の実行のフローチャートである。

1. 4. 2. 1 保護プログラム 8のロード処理

まず、保護プログラム 8のロード処理についての説明を行う。なお、以下では、通常 プログラム 12と保護プログラム 8とは、連係して動作するものとする。通常プログラム 1 2は、通常 OS11のデバイスドライバである切替デバドラ 13と保護 OS6を経由して、 保護プログラム 8を呼び出す。以下の説明では、通常プログラム 12aが、保護プロダラ ム 8aと連係して動作する場合を例にして説明する。なお、通常プログラム 12bが動作 する場合や、保護プログラム 8bが連係して動作する場合も同様である。

[0103] 図 8に示すように、まず通常プログラム 12aが起動される。起動された通常プロダラ ム 12aは、動作モードを保護モードに切り替えるための前処理として、切替デバドラ 1 3を openする（ステップ S 201)。 openするとは、切替デバドラ 13が、保護 OS6等の、 保護モードで動作するプロセスと通信可能な状態にするということである。

通常プログラム 12aは、保護プログラム 8aを動作させるために、暗号化された保護 プログラムを指定し、その指定にかかる暗号化された保護プログラムをメモリへロード させる要求を、切替デバドラ 13を経由して、保護 OS6へ通知する (ステップ S202)。 なお、ここでは、暗号化された保護プログラムを復号すると、保護プログラム 8aが生成 されることとする。

[0104] 保護 OS6は、暗号化された保護プログラムのロードの要求を受け付けて、暗号化さ れた保護プログラムの復号化用ヘッダ情報から、ロードに必要な情報を取得する (ス テツプ S203)。ロードに必要な情報には、暗号ィ匕された保護プログラムに含まれる、 保護プログラム本体のロード先アドレスなど、暗号化された保護プログラムの復号ィ匕 に必要な情報などが含まれる。

[0105] 保護 OS6は、取得にかかる、ロードに必要な情報に基づいて、暗号化された保護 プログラムを復号化する。復号により得られた保護プログラム 8aを、保護モードで管 理しているメモリ領域へロードし (ステップ S204)、保護プログラム 8aを実行できる状 態にする。

保護プログラム 8aが実行できる状態になると、保護 OS6から切替デバドラ 13を経由 して通常プログラム 12aヘリターンする（ステップ S205)。すなわち、通常プログラム 1 2aにプロセスの実行権が移り、通常プログラム 12aの実行が再開される。

[0106] 1. 4. 2. 2 保護プログラム 8の実行

続いて、通常 OS11において通常プログラム 12aが実行している時に、通常プログ ラム 12aが保護プログラム 8aの有する機能の実行が必要になった場合の処理を説明 する。

図 9は、通常プログラム 12が、保護プログラム 8の機能の実行を必要とする場合の 動作を示すフローチャートである。

[0107] なお、図 9に示す処理の説明においては、上述の図 8で示した処理が既に行われ ていて、保護プログラム 8が実行できる状態にあるとする。

通常プログラム 12aは、保護プログラム 8aの実行の要求を、切替デバドラ 13を経由 して、保護 OS6へ通知する (ステップ S 206)。前記実行の要求には、保護プログラム 8aが行うべき命令や処理が示されて 、る。

[0108] 保護 OS6は、保護プログラム 8aの実行の要求を受け付けて、保護プログラム 8aを 実行し、前記実行の要求に応じた処理を行う（ステップ S 207)。

保護プログラム 8aが処理を終えると、保護プログラム 8aから保護 OS6、切替デバド ラ 13を経由して、通常プログラム 12aヘリターンする (ステップ S208)。保護プロダラ ム 8aの処理結果を通常プログラム 12aが利用することがあれば、切替機構 3や切替 デバドラ 13を経由して保護プログラム 8aと通常プログラム 12aとの間で処理結果の受 け渡しが行われる。

[0109] 保護プログラム 8aの有する機能の実行が必要となるたびに、上述のステップ S206 力 ステップ S208の処理が行われる。

1. 4. 2. 3 保護プログラム 8の使用の終了

続いて、通常プログラム 12aが保護プログラム 8aの使用を終了する場合の動作を説 明する。

[0110] 図 10は、通常プログラム 12aが保護プログラム 8aの使用を終了する場合の動作を 示すフローチャートである。

図 10に示すように、通常プログラム 12aが保護プログラム 8aの使用を終了すると、 通常プログラム 12aは、保護プログラム 8aの削除の要求を、切替デバドラ 13を経由し て、保護 OS6へ出力する (ステップ S209)。なお、削除の要求には、削除の対象とな る保護プログラム 8が示されている。本実施形態では、削除の要求により保護プロダラ ム 8aを削除することとする。

[0111] 保護 OS6は、削除の要求を受け付けて、保護プログラム 8aを削除する (ステップ S2 10)。その後、保護 OS6から切替デバドラ 13を経由して通常プログラム 12aヘリター ンする。この削除の操作により、保護プログラム 8aの機能は再び保護プログラム 8aが ロードされるまで使用できなくなる。また、平文の状態である保護プログラム 8aがメモリ 力も無くなるため、不正解析を受けに《することができる。

[0112] その後、通常プログラム 12aにおいて、保護モードへ切り替わる必要がなくなれば、 切替デバドラ 13を closeする（S211)。 closeするとは、切替デバドラ 13が保護 OS6 等との通信を行わない状態にすることである。

1. 4. 3 デバッグ処理の前処理

次に、通常プログラム 12と保護プログラム 8とに対して、デバッガ 14がデバッグ処理 を行う場合の動作を説明する。まず、デバッグ処理の前処理を説明する。

[0113] 1. 4. 3. 1 前処理

図 11は、デバッガ 14力 通常プログラム 12と保護プログラム 8とに対するデバッグ 処理を行うための前処理を示すフローチャートである。

なお、以下の説明では、通常プログラム 12aと保護プログラム 8aとが連係して動作 するものとし、デバッガ 14は、通常プログラム 12aと保護プログラム 8aとに対してデバ ッグ処理を行うこととする。

[0114] デバッガ 14は、プログラム開発者のアタッチの操作を受け付けて、通常プログラム 1

2aに対してデバッグ処理を行うために通常プログラム 12aにアタッチされる（S301)。 デバッガ 14は、デバッグ処理実行時に保護モードで動作して ヽるデバッグ機能 7と 通信するために、デバッガ用切替デバドラ 15を openする（S302)。

[0115] デバッガ 14は、デバッグ機能 7に通常プログラム 12aのプロセス IDを通知するため に、デバッガ用切替デバドラ 15を経由して、通常プログラム 12aのプロセス IDを、保 護モードで動作するデバッグ機能 7に通知する（S303)。

デバッグ機能 7は、通知されたプロセス IDを保存し、保護プログラム 8aを実行すると きに、実行開始直後に保護プログラムを停止するかどうかを示す停止フラグを有効に する（S304)。なお、停止フラグを有効にする処理を行う理由は後述の「1. 4. 3. 2 前処理の補足」で説明する。停止フラグは、 1ビットの情報であり、保護機構内でレジ スタゃメモリ等の記憶領域に記憶される。

[0116] デバッガ 14は、プログラム開発者から、デバッグ処理に力かる操作を受け付けて、 通常プログラム 12aに対するデバッグ処理を行う。必要な処理を終えると、デバッガ 1

4は、プログラム開発者力もプログラムの実行再開の操作を受け付けて、デバッグ対 象である通常プログラム 12aの実行を再開する（S305)。

実行が再開された通常プログラム 12aは、切替デバドラ 13を openし、保護プロダラ ム 8aのロード処理（S306)と、保護プログラム 8aの実行処理（S307)とを切替デバド ラ 13を経由して保護 OS6に要求する。

[0117] なお、ステップ S306のロード処理は、図 7に示したステップ S 202、 S203、 S204と ほぼ、同様である。また、ステップ S307の実行処理は、図 8のステップ S206、 S207、

S208とほぼ同様である。異なるのは、デバッガ 14動作時には、通常プログラム 12a がデバッグされて 、るかどうかをデバッグ機能 7が判断するために、各処理で受け渡 しするデータと一緒に通常プログラム 12aのプロセス IDが通知される（S303)、という 点である。

[0118] また、保護 OS6が保護プログラム 8aの実行の要求を受け付けたとき、保護 OS6は、 デバッグ機能 7に前処理の実行を要求する（S308)。デバッグ機能 7は、要求を受け 付けて前処理を行う。ここで、前処理とは、デバッグ機能 7が、プロセス IDに対応する 停止フラグが有効であるか判断し (S309)、有効になっている場合は（S309： YES) 、保護プログラム 8aのエントリポイントにある命令をブレーク命令へ変更することを 、う (S310)。なお、停止フラグが有効でなければ（S309 : NO)、デバッグ機能 7は、ェ ントリポイントの命令を変更しな!、。

[0119] 保護 OS6は、保護プログラム 8aを実行する（S311)。

1. 4. 3. 2 前処理の補足

なお、上記の動作では、ステップ S304で、停止フラグを有効にさせている力 この ような処理を行っているのは、要するにプログラム開発者が容易にデバッグできるよう にするためである。

[0120] 以下、このような処理を行っている理由を示すと、本実施の形態 1では、デバッグを 行わな 、場合の処理の説明にて述べたように、保護プログラム 8aは通常プログラム 1 2aに呼び出された時にロードされ、必要なくなるとメモリ上から削除される。ここで、本 実施の形態 1のプログラムは通常プログラム 12aの実行から開始するため、プログラム 開発者は、保護プログラム 8aへ実行が切り替わつたことを確認することが困難である

[0121] また、本実施の形態 1のデバッガ 14は、通常プログラムにアタッチするものとしてい るので、プログラム開発者は、保護プログラム 8aに対して直接ブレークポイントを設定 することもできず、保護プログラム 8aのデバッグが難しくなる。

そのため、プログラム開発者に保護プログラム 8aへ処理が移ったことを知らせ、保 護プログラム 8aに対してブレークポイントの設定を可能とする機会等を与えるために 、保護プログラム 8aが読み出された際には処理が停止するものとしている。

[0122] 1. 4. 4 デバッグ処理

図 12は、保護プログラム 8a実行中にブレークポイントによるデバッグ例外が発生し 、デバッガ 14を用いて保護プログラム 8aに対してデバッグ処理を行うときのフローチ ヤートである。

1. 4. 4. 1 デバッグ処理

図 12に示すように、保護プログラム 8a実行中に、保護プログラム 8aに設定されたブ レークポイントによるデバッグ例外が発生すると、保護 OS6にデバッグ例外が通知さ れる（S401)。

[0123] 保護 OS6は、デバッグ例外の通知を受け付けて、切替デバドラ 13にデバッグ例外 の発生を通知する（S402)。

切替デバドラ 13は、デバッグ例外の発生の通知を受け付けると、デバッガ 14にデ ノッグ処理を行わせるために、デバッグ要求受付部 44によりデバッガ 14へデバッグ 処理実行を要求する（S403)。

[0124] デバッガ 14は、デバッグ処理実行の要求を受け付けると、プログラム開発者へデバ ッグ情報を提供するために、デバッガ用切替デバドラ 15を経由して、保護 OS6にデ バッグ情報の取得を要求する（S404)。このとき、デバッガ 14のデバッガ IDや、図示 しないデバッグ用の通信領域の通知も保護 OS6に要求する。ここで、デバッグ用の 通信領域は、通常モードと保護モードとの両方がアクセス可能な領域であり、保護モ ードから通常モードへデバッグ情報を受け渡す際に使用する。

[0125] 保護 OS6は、デバッグ機能 7にデバッグ情報の取得を要求する（S405)。

デバッグ機能 7は、保護プログラム 8aに対するデバッグ処理と、保護プログラム 8aの 、デバッグ処理に力かる所定部分へのアクセスとが許可されて 、るかどうかをデバッ ガ ID判定部 22およびアクセス判定部 23により判定する（S406)。

ステップ S406にお!/、て、デバッグ処理およびアクセスが許可されて!、たと判定され た場合には（S406 : YES)、デバッグ情報取得部 25は、保護プログラム 8aのデバッ グ情報を取得し、デバッグ情報をデバッグ用通信用領域にコピーする（S407)。コピ 一後、デバッグ機能 7は、デバッグ情報の取得の完了を、保護 OS6、デバッガ用切替 デバドラ 15を経由してデバッガ 14へと通知して、デバッグ機能 7からデバッガ 14へと 処理が戻る（S408)。

[0126] デバッガ 14は、デバッグ用通信用領域にコピーされたデバッグ情報を取得し、図示 しな 、表示部に表示することでプログラム開発者にデバッグ情報を示す (S409)。 その後、プログラム開発者が、デバッグ情報を参照して必要な処理を終えると、デ ノ ッガ 14は、プログラム開発者力も所定の操作を受け付けて、デバッグ対象である保 護プログラム 8aの実行再開を、切替デバドラ 13を経由して保護 OS6に要求する（S4 10)。

[0127] 保護 OS6は、実行再開の要求を受け付けて、保護プログラム 8aの実行を再開する

(S411)。

この後、再びデバッグ例外が発生した場合には、同様のフローで処理が行われる。

1. 4. 4. 2 デバッグ処理の補足

以上の例では、保護プログラム 8a実行中にブレークポイントによるデバッグ例外が 発生した場合の処理について説明した。この他にも、デバッグ機能 7を使ったデバッ グ処理のパターンとしては、様々なものが考えられる。具体的には、プログラム開発者 によってブレークポイントの設定処理やレジスタ値'メモリ値の設定や取得処理などの 他のデバッグ処理が要求され、この要求に応じてデバッグ機能 7がデバッグ処理を行 う。これらの場合にも、上記と同様のフローでデバッグ機能 7 (厳密には、セキュアデ バッガ 24の持つ各機能部）により処理が行われる力 基本的な処理は同様であるの で、詳細な説明は省略する。

[0128] なお、本実施の形態 1においては、デバッグ例外発生時に、その例外発生に力かる 保護プログラム 8aに対するデバッグ処理を行えるとしたが、これは保護プログラム 8に 限定するものではな 、。デバッガ 14がデバッグして!/、る通常プログラム 12aなどの通 常プログラムに対するデバッグ処理も行えるとしてもよい。

2 実施の形態 2

以下、実施の形態 2について説明する。実施の形態 2では、特に、保護プログラム 8 の生成方法、および、保護プログラム 8を生成するプログラム生成装置について説明 する。

[0129] 2. 1 プログラムの生成方法の概略

図 13は、本発明にかかる保護プログラム 8の生成方法を説明するための図である。 保護プログラム 8は、暗号化されて生成される。暗号化された保護プログラム 73が 生成されるのに、保護プログラムソースコード 71と、保護プログラム生成装置 72と、保 護プログラムに付加される情報である許可デバッガ ID格納ファイル 74とアクセス制御 リスト格納ファイル 75、そして秘匿情報領域格納ファイル 76が用いられる。

[0130] 図 13に示す保護プログラムソースコード 71は、保護プログラム 8の動作を記述した ソースコードである。

保護プログラム生成装置 72は、保護プログラムソースコード 71のコンパイルとリンク を行う。生成された実行ファイルに許可デバッガ ID情報とアクセス制御リストを付加し 、暗号化を行う。さらに、復号ィ匕に必要な情報を復号ィ匕用ヘッダ情報として付加する ことで、暗号化された保護プログラム 73を生成する。具体的には、後述する。

[0131] 暗号化された保護プログラム 73は、保護プログラム生成装置 72により生成されたプ ログラムである。

許可デバッガ ID格納ファイル 74とアクセス制御リスト格納ファイル 75は、それぞれ、 保護プログラム 8に対してデバッグが行われる時にデバッグ機能 7やデバッガ 14が使 用する許可デバッガ Iひ f青報、アクセス制御リストを含むデータである。

[0132] 秘匿情報領域格納ファイル 76は、プログラム中の各情報の領域と、その領域に関 する情報が秘匿情報力否かを示す秘匿情報区分力 構成される。

保護プログラム開発者は、保護プログラムソースコード 71を作成する。また、ソース コード中でデバッガからのアクセスを許可する領域と不許可にする領域とをアクセス 制御リストとして作成し、アクセス制御リスト格納ファイル 75に記す。さらに、秘匿情報 の領域とそうでない領域を、秘匿情報領域格納ファイル 76に記す。許可デバッガ ID 格納ファイル 74は、別途入手する。入手した許可デバッガ ID格納ファイル 74と保護 プログラムソースコード 71、アクセス制御リスト格納ファイル 75、秘匿情報領域格納フ アイル 76を入力として保護プログラム生成装置 72を動作させる。その結果、暗号化さ れた保護プログラム 73が生成される。

[0133] 2. 2 保護プログラム生成装置 72の構成

図 14は、保護プログラム生成装置 72の構成図である。

保護プログラム生成装置 72は、コンパイラ 77と、リンカ 78、保護プログラム化ツール 79から構成される。

2. 2. 1 コンノイラ 77 図 14に示すコンパイラ 77は、入力された保護プログラムソースコード 71をコンパィ ルしてオブジェクトファイルを生成する。変数や関数の配置を示すシンボル情報や、 オブジェクトファイル中のプログラムコードとソースコードの対応関係などをデバッグ情 報として作成し、オブジェクトファイルに付加する。

[0134] 2. 2. 2 リンカ 78

リンカ 78は、コンパイラ 77により生成されたオブジェクトフアイルとライブラリとをリンク し、実行可能なファイルを生成する。さらに、リンカ 78は、生成された実行可能なファ ィル中のどこにどの変数や関数を配置したかを示すシンボルファイルを生成する。

[0135] 2. 2. 3 保護プログラム化ツール 79

保護プログラム化ツール 79は、リンカ 78が作成した実行可能ファイルのヘッダに、 保護プログラム生成装置 72に入力される許可デバッガ ID格納ファイル 74に格納さ れて 、る許可デバッガ 情報と、アクセス制御リスト格納ファイル 75に格納されて ヽ るアクセス制御リストとを付加する。さらに、秘匿情報領域格納ファイル 76に記載され た各領域が秘匿情報である力否かの情報をデバッグ情報に追加し、保護プログラム を生成する。

[0136] 保護プログラム化ツール 79は、生成された保護プログラムを、保護 OS6と保護プロ グラム生成装置 72とで共通に保持している鍵により暗号ィ匕を行い、保護プログラムを ロードするアドレスなどを復号ィ匕用ヘッダ情報として付加する。

なお、暗号ィ匕は、保護 OS6と保護プログラム生成装置 72とが共通に保持している 鍵を用いる（いわゆる共通鍵暗号方式)こととしたが、互いに異なる鍵を保持すること となる公開鍵暗号方式などを用いてもょ 、ことは言うまでもな 、。

[0137] なお、アクセス制御リストがシンボル名とアクセス許可情報の組と!/、う形式で与えら れていた場合は、リンカ 78が出力したシンボルファイルを使用して、シンボル名から そのシンボルが配置されている領域を求め、アクセス制御リストのシンボル名を、その 領域 (つまり、実行可能なファイル中のどこかを示す情報)へ変更してもよい。

なお、暗号ィ匕された保護プログラム 73の構成は、実施の形態 1において、図 5を用 いて説明した通りである。暗号ィ匕された保護プログラム 73は、保護プログラム本体 51 と許可デバッガ m情報 52、アクセス制御リスト 53、復号ィ匕用ヘッダ情報 54から構成 され、許可デバッガ Iひ f青報 52とアクセス制御リスト 53が保護プログラム本体 51のへッ ダに付加され、暗号ィ匕された構造になっている。復号化用ヘッダ情報 54は復号に必 要なデータを格納して 、るために暗号ィ匕はされな 、。

[0138] 2. 3 保護プログラム生成装置 72の動作

次に、保護プログラム生成装置 72による、暗号化された保護プログラム 73を生成す る処理について説明する。

図 15は、保護プログラム生成装置 72が、暗号化された保護プログラム 73を生成す る処理を示すフローチャートである。

[0139] なお、保護プログラムソースコード 71、アクセス制御リスト格納ファイル 75、秘匿情 報領域格納ファイル 76は、プログラム開発者が既に作成しているものとする。すなわ ち、プログラム開発者は、保護プログラムソースコード 71を記述する。また、ソースコ ード中でデバッガのアクセスを不可にする領域と可能にする領域を決定してアクセス 制御リストを作成し、アクセス制御リスト格納ファイル 75として記述する。また、秘匿情 報が記されている領域を秘匿情報領域格納ファイルに記述する。

[0140] また、プログラム開発者は、許可デバッガ ID格納ファイル 74を、別途入手して!/、る ものとする。

保護プログラム生成装置 72の動作にっ 、て説明すると、保護プログラム生成装置 7 2は、保護プログラムソースコード 71と、許可デバッガ ID格納ファイル 74と、アクセス 制御リスト格納ファイル 75と、秘匿情報領域格納ファイル 76とを入力として受け付け る（S501)。

[0141] 保護プログラム生成装置 72は、コンパイラ 77とリンカ 78を用いて、入力された保護 プログラムソースコード 71のコンパイルとリンクを行う（S502)。

保護プログラム化ツール 79は、保護プログラムソースコード 71のコンパイルとリンク により生成された保護プログラム本体 51に、アクセス制御リスト格納ファイル 75に格 納されているアクセス制御リスト 53と、デバッガ ID格納ファイル 74に格納されている 許可デバッガ HD情報 52とを付加し (S503)、さらに、秘匿情報領域格納ファイル 76 に記載された各領域が秘匿情報であるか否かの情報をデバッグ情報に追加して、暗 号化を行う（S504)。 [0142] 保護プログラム化ツール 79は、暗号ィ匕されたプログラムに保護プログラム本体 51の ロード先アドレスなど復号に必要な情報を復号ィ匕用ヘッダ情報 54として付加し、暗号 化された保護プログラム 73として出力する（S505)。

2. 4 実施の形態 2の補足説明

なお、上記の説明では、秘匿情報領域格納ファイル 76への書き込みをプログラム 開発者が行うものとした力 これに限られない。例えば、コンパイラ等のコンピュータプ ログラムが自動的にこれらのアクセス制御リストや秘匿情報格納ファイルの作成等を 行ってもよい。より具体的には、ソースコードに対して秘匿情報のある箇所に予め何ら かの印をつけておき、コンパイラがその印の有無に従って秘匿情報格納ファイルへ の書き込みを行ったりしてもよい。

[0143] また、上記の説明では、保護プログラムソースコードのコンノ ィルカも保護プロダラ ムの作成までの全ての処理を保護プログラム生成装置 72が行っているが、これに限 られない。例えば、保護プログラムの生成と、アクセス制御リスト等の付加とを異なる 装置で行うとしてもよい。この場合、保護プログラム生成装置 72は、保護プログラムソ ースコード 71をコンパイルおよびリンクして保護プログラム本体 51を生成する装置と 、生成された保護プログラム本体 51を取得してアクセス制御リスト等を付加する装置 との組として構成されることとなる。上述の構成では、保護プログラム本体 51を生成す る装置は、入力として保護プログラムソースコード 71のみがあれば十分である。

[0144] また、アクセス制御リスト等を付加する装置には、保護プログラム本体 51が与えられ るので、保護プログラムソースコード 71の入力は不要である。このような構成だと、保 護プログラム本体 51の作成とアクセス制御リスト等の付加を別々に行えるので、それ ぞれの作業を別会社等に委託することでプログラムの開発効率の向上を図ることなど ができる。

[0145] 3 実施の形態 3

以下、実施の形態 3について説明する。実施の形態 3では、特に、デバッガ IDをど のように管理するかについて説明する。なお、実施の形態 3においては、デバッガ ID は、デバッガ ID管理サーバによって管理されているものとして説明する。

図 16は、デバッガ ID管理サーバによるデバッガ IDの管理方法を説明するための 図である。

[0146] 3. 1 構成の説明

3. 1. 1 デバッガ ID管理サーバ 81

図 16に示すデバッガ ID管理サーバ 81は、デバッガ IDを管理している。デバッガ I Dの管理は、後述するデバッガ ID管理ファイル 90を用いて行う。

保護プログラム開発者が誰であるかに応じて (または、保護プログラム開発者の用 V、る保護プログラム開発装置 82に応じて)デバッグ処理の実行可否を制御するため には、デバッガ IDは、保護プログラム開発者ごと (または、保護プログラム開発装置 8 2ごと）にそれぞれ異なる値にすることが望ましい。そのため、デバッガ ID管理サーバ 81は、複数の保護プログラム開発者 (または、保護プログラム開発装置 82)に同じデ ノ ッガ IDが付与されな 、ように管理する必要がある。

[0147] デバッガ ID管理サーバ 81は、デバッガ IDを管理する会社 (デバッガ ID管理会社） が持つサーバである（なお、「会社」としている力 これに限るものではなぐデバッガ I Dを管理する管理者であれば、会社以外の組織や個人であってもよ 、ことは言うまで もない)。

デバッガ ID管理サーバ 81は保護プログラム開発装置 82からの要求により、過去に 発行したデバッガ IDと異なるデバッガ IDを発行し、発行したデバッガ IDを格納した デバッガ ID格納ファイルを保護プログラム開発装置 82に提供する。また、デバッガ I D管理会社は、デバッガ IDに対応した IDを持つデバッガを作成して保護プログラム 開発装置 82に提供する。

[0148] 3. 1. 2 保護プログラム開発装置 82

保護プログラム開発装置 82は、保護プログラム生成装置 72を用いて保護プロダラ ムを作成する。

具体的には、保護プログラム開発装置 82は、保護プログラム解析装置 83から、デ ノ ッガ ID格納ファイルを受け付ける。受け付けたデバッガ ID格納ファイルに示される デバッガ IDを取得して、許可デバッガ ID格納ファイル 74として、実施の形態 2で説明 した保護プログラム生成装置 72へ入力することで、取得したデバッガ IDに示される デバッガへのデバッグを許可する保護プログラム 8を生成する。 [0149] なお、保護プログラム開発装置 82は、保護プログラムを開発するプログラム開発者 (個人もしくは組織）が所有して 、る。

3. 1. 3 保護プログラム解析装置 83

保護プログラム解析装置 83は、保護プログラムに含まれる不具合の解析を行うため の装置である。保護プログラム解析装置 83は、個人もしくは組織が所有している。

[0150] 具体的には、保護プログラム解析装置 83は、デバッガ ID管理サーバ 81からデバッ ガ IDを発行してもらい、入手したデバッガ ID格納ファイルを、解析対象の保護プログ ラムを開発した保護プログラム開発装置 82に提供する。

デバッガ ID格納ファイルを提供した保護プログラム開発装置 82が、デバッガ ID格 納ファイルに基づいて保護プログラムを生成すると、保護プログラム開発装置 82から 、デバッグ可能な保護プログラムを入手し、その保護プログラムを解析する。

[0151] 3. 2 デバッガ ID管理ファイル 90のデータ構造

図 17は、デバッガ ID管理サーバ 81がデバッガ IDの管理に用いるデバッガ ID管理 ファイル 90のデータ構造である。

デバッガ ID管理ファイル 90の 1件のレコードは、管理番号 91と、デバッガ ID92と、 保護プログラムの開発者名 93と、連絡先 94とから構成される。

[0152] 管理番号 91には、デバッガ ID管理サーバ 81で発行済みのデバッガ IDを管理する ための番号が格納される。

デバッガ ID92には、管理番号 91で管理されている発行済みのデバッガ IDの値が 格納される。なお、デバッガ ID92は、各プログラム開発者 (または、保護プログラム開 発装置 82のそれぞれ)を識別でき、かつ、デバッガのデバッグ IDをなりすましてデバ ッグ処理を行うなりすまし攻撃を防ぐために、十分な長さの数値列とすることが望まし い。

[0153] 保護プログラムの開発者名 93には、デバッガ IDの発行を申請してきたプログラム開 発者の名前が格納される。

連絡先 94には、デバッガ IDの発行を申請してきたプログラム開発者の連絡先が格 納される。

3. 3 実施の形態 3の補足説明 なお、実施の形態 3において、デバッガ ID管理サーバ 81は、保護プログラム開発 装置 82にデバッガを提供するとしたが、デバッガの提供先を保護プログラム開発装 置 82に限定するものではない。例えば、保護プログラム解析装置 83に提供してもよ い。

[0154] また、デバッガ ID管理ファイル 90は発行済みのデバッガ IDを管理するためのファ ィルとした力 発行済みのデバッガ IDに限定するものではなぐ未発行のデバッグ ID も一緒に管理してもよい。

さらに、デバッガ ID管理ファイル 90で発行済みデバッガ IDの発行先のプログラム 開発者の名前やその連絡先も管理するとしたが、発行済みのデバッガ IDのみを管理 するとしても良い。

[0155] また、デバッガは、必ずしもデバッガ ID管理会社から提供されるものではなぐデバ ッグ管理会社からデバッガの開発を委託された他者のサーバ等力も提供されるものと してもよい。この場合、その他者は、デバッガ IDの情報を、デバッガ ID管理サーバ 81 から取得する。

4 実施の形態 4

以下の実施の形態では、上述のデバッガ 14等が行ったデバッグ処理の結果を、ど のように表示するかにっ 、て説明する。

[0156] 実施の形態 4は、実施の形態 1のデバッガに対して、プログラムの動作情報をグラフ ィカルユーザインターフェースに表示する表示手段を付カ卩したものである。デバッガ 本体の機能は実施の形態 1と同様であるので、説明を省略する。

ここで、プログラムの動作情報とは、デバッグ対象となっているプログラムをデバッグ するために参照する情報、つまり、プログラムの動作に関連する情報のことを指す。 具体的には、以下の例では、動作情報は、プログラムのコードや、プログラムを実行し ているプロセッサの各レジスタの値、ローカル変数のシンボル名とその値、シンボル により指定された変数とその値、メモリの使用量等の値、関数の呼び出し階層、およ び、保護モードと通常モードのどちらのモードで動作して 、るかの情報などを指す。 なお、実施の形態 1を例とすると、保護プログラム 8の動作情報は、デバッガ 14がデ ノ ッグ機能 7を介して取得する情報に基づいて得られ、通常プログラム 12の動作情 報は、デバッガ 14が直接取得する情報に基づいて得られる。

[0157] 4. 1 GUI150aの説明

図 18は、プログラムの動作情報を表示するためのグラフィカルユーザインターフエ ース（GUI)を示す。

図 18 (a)には、デバッガ 14が通常プログラム 12にアタッチし、通常プログラム 12を デバッグしているときの表示手段の画面構成である GUI150aを示す。また、図 18 (b )には、通常プログラム 12が保護プログラム 8を実行し、通常プログラム 12と保護プロ グラム 8をデバッグしているときの表示手段の画面構成である GUI 150bを示す。

[0158] 図 18 (a)〖こ示すように、 GUI150aは、コード表示部 151、レジスタ表示部 152、メモ リ表示部 153、シンボル表示部 154、ウォッチポイント表示部 155、コールスタック表 示部 156、ウィンドウタイトル表示部 157、メニュー表示部 158で構成される。

コード表示部 151は、デバッグ対象のプログラムのコードを表示するための表示部 で、ソースコードやアセンブラコード、マシン語が表示される。

[0159] レジスタ表示部 152には、プログラムを実行しているプロセッサの各レジスタの値が 表示される。

メモリ表示部 153には、メモリの値が表示される。

シンボル表示部 154は、デバッグ対象のプログラムにおいて、停止した関数内で使 用されて!、るローカル変数のシンボル名とその値を表示する。

[0160] ウォッチポイント表示部 155は、シンボルにより指定された変数とその値を表示する コールスタック表示部 156は、デバッグ対象のプログラムにおいて、停止させられた 関数が呼び出されるまでの呼び出し階層を表示する。

ウィンドウタイトル表示部 157は、ウィンドウのタイトルを表示するための表示部で、 デバッガやデバッグ対象のプログラムのプログラム名やプログラムの状態が表示され る。

[0161] メニュー表示部 158は、デバッガのメニューを表示する。メニューとしては、デバッグ 対象のプログラムのオープンやアタッチ、デバッガの終了、デバッガの動作ゃプログ ラムの動作情報の表示方法を設定する設定画面の表示、デバッグ対象プログラムの 実行や中断、再開、ステップ実行等がある。

モード表示部 159は、プログラムがブレークポイント等により停止した時に、プロダラ ムが実行されていたモードを表示するための表示部であり、通常プログラム実行中に 停止した場合には通常モードであることを示すために「通常モード」と表示し、保護プ ログラム実行中に停止した場合には保護モードであることを示すために「保護モード」 と表示する。

[0162] 4. 2 GUI 150aの説明の補足

なお、実施の形態 4においては、通常プログラム 12と保護プログラム 8のどちらでデ バッグ例外が発生したかを表示するために、モード表示部に「通常モード」や「保護 モード」と表示するとしている力 これに限られない。例えば、モードの表示を「通常モ ード」や「保護モード」の文字列に限定するものではなぐ異なるモードであることが分 力るような表示であれば、どのようなものでもよい。具体的な例を挙げると、アイコンな どであってもよい。さらに、表示箇所もモード表示部に限定するものではなぐウィンド ゥ全体で表示してもよぐウィンドウの色などで区別させるとしてもよい。また、モード表 示用のウィンドウを別途設けるとしてもよい。

[0163] これらの表示部には、デバッガ 14が通常プログラムにアタッチした直後や、通常プ ログラムがブレークポイント命令で停止し、デバッガ 14によるデバッグが可能な状態 の時に、実行を停止している通常プログラムの停止時点での各種状態や、デバッガ 1 4の実行中にデバッガ 14の実行状態が表示される。さらにレジスタやメモリ、変数等 に設定されている値をユーザからの入力等により変更することも出来る。

[0164] 4. 3 GUI150bの説明

図 18 (b)に示すように、 GUI150bは、通常プログラム用デバッグウィンドウ 160と保 護プログラム用デバッグウィンドウ 161から構成される。

通常プログラム用デバッグウィンドウ 160は、通常プログラム 12の各種情報を表示 するためのウィンド'ゥである。

[0165] 保護プログラム用デバッグウィンドウ 161は、保護プログラムの各種情報を表示する ためのウィンドウである。どちらのウィンドウ（通常プログラム用デバッグウィンドウ 160、 保護プログラム用デバッグウィンドウ 161)もウィンドウ内には、図 18 (a)の各表示部（ コード表示部 151、レジスタ表示部 152、メモリ表示部 153、シンボル表示部 154、ゥ ォツチポイント表示部 155、コールスタック表示部 156)が表示される構成になる。な お、図面が煩雑となるため、図 18 (b)では、これらの各表示部は載せていない。

[0166] この様な表示手段を持つデバッガを用いて、デバッガのユーザが通常プログラム 1 2と保護プログラム 8をデバッグするときには、デバッガの起動直後や、通常プロダラ ムにアタッチした直後の状態では図 18 (a)に示すような画面構成になっている。 その後、通常プログラム 12が保護プログラム 8を実行し、保護プログラム 8の実行中 にブレークポイントによるデバッグ例外が発生した場合には、保護プログラムの各種 情報を表示するために、図 18 (a)の画面を 2つに分割し、図 18 (b)に示すような画面 構成に変更する。

[0167] このとき、保護プログラム 8のデバッグであることをユーザに知らせるために、ポップ アップ表示を行い、さらにビープ音などの特定の音やユーザにより設定された音を鳴 らし、モード表示部 159に「保護モード」と表示することで、ユーザに保護モードであ ることを意識させる。

4. 4 実施の形態 4の補足

なお、実施の形態 4において、保護プログラム 8デバッグ時にデバッガのウィンドウ 力^つに分割されるとした力 分割されることに限定するものではない。例えば、保護 プログラムのデバッグ用に新しくウィンドウを生成してもよいし、タブやメニューにより通 常プログラム用デバッグウィンドウ 160と保護プログラム用デバッグウィンドウ 161を切 り替えられるようにしてちょ 、。

[0168] 保護プログラム 8の実行中にデバッグ例外が発生し、デバッグ可能な状態になった 場合には、保護プログラム用デバッグウィンドウ 161にフォーカスが移り、保護プログ ラムに対してブレークポイントの設定やメモリ'レジスタ値の変更などが実施できる。さ らに通常プログラム 12に対しても同様の設定や変更の操作を行うことが可能である。 なお、実施の形態 4において、保護プログラム 8の実行中にデバッグ例外が発生し た場合に保護プログラム 8のデバッグと通常プログラム 12のデバッグをデバッガのュ 一ザが同時に行えるとしたが、同時にデバッグが行えることに限定するものではない 。例えば、デバッグが行うことができる対象を保護プログラムのみに限定してもよぐ通 常プログラムのデバッグウィンドウ 160にアクセスできな 、ように制限してもよ 、。

[0169] また、実施の形態 1で述べたように、デバッガ 14とデバッグ機能 7を用いた保護プロ グラム 8のデバッグは、デバッガ 14によっては制限される。このため、保護プログラム 8 に対するデバッグ処理が許可されていない場合や、アクセス制御リストによりアクセス が許可されていない領域を表示しょうとした場合など、各表示部に情報を表示できな い場合がある。

[0170] この様に、表示できない情報を要求された場合には、表示できないことを、デバッガ を使用しているユーザに知らせる必要がある。この様な表示できない情報があること を知らせる方法として、表示できない旨のポップアップ表示を行い、さらにビープ音な どの特定の音やユーザにより設定された音を鳴らし、表示できな 、部分を「 *」など特 定の文字列で表示する。

[0171] なお、上記では、表示できない部分を「 *」などの特定の文字列で表示するとしたが 、特定の文字列で表示することに限定するものではなぐアイコンを表示してもよいし 、何も表示しなくてもよい。また、表示できない部分の背景色を、表示できる部分の背 景色と異なるようにしてもよ 、。

また、保護プログラム 8をデバッグするときには、保護プログラム 8の中の秘匿情報 や、通常プログラム 12と保護プログラム 8との通信用の共有領域など、プログラムの開 発や解析にあたって重要な情報や領域が存在する。このためデバッガ 14では、この 様な注意しなければならな 、情報や領域の表示方法を工夫することで、デバッガを 使用して 、るユーザに注意を促すことが望ま U、。

[0172] 秘匿情報の表示方法としては、デバッガ 14が保護プログラム 8に対するデバッグ処 理の実行時に、保護プログラム 8のデバッグ情報に含まれている秘匿情報領域に関 する情報を取得し、各表示部に情報を表示する時に表示しょうとしているコードゃデ ータが秘匿情報領域に含まれているかどうかを判定する。

判定の結果、秘匿情報であった場合には、ユーザによる設定で秘匿情報を表示し ないと設定されていた場合には、秘匿情報を表示せず、その部分が空白になった状 態で表示される。

[0173] 一方、秘匿情報を表示すると設定されていた場合には、その秘匿情報を表示する ときの文字の色をユーザにより設定された色 (例えば赤色）にすることで、秘匿情報で あることを強調する。さらに、情報を表示する時に秘匿情報を表示する旨のポップァ ップ表示を行い、ビープ音などの特定の音やユーザにより設定された音を鳴らす。こ の様に動作することで、ユーザに秘匿情報であると注意を促す。

[0174] なお、実施の形態 4にお 、て、秘匿情報を表示しな!、と設定されて!、た場合にはそ の部分が空白になった状態で表示されるとしたが、空白の状態で表示することに限 定するものではなぐ秘匿情報が表示される部分を背景色と別の色で塗りつぶしても よぐアイコンを用いてもよい。すなわち、ユーザ力 秘匿情報の内容が見えない状 態に出来ればどのような表示方法でもよい。

[0175] 通常プログラム 12と保護プログラム 8とで共有する情報である共有情報の表示方法 としては、デバッガ 14が保護プログラム 8に対するデバッグ処理の実行時に、保護 O S6から通常モードと保護モードで情報を共有している領域に関する情報を取得し、 各表示部に情報を表示する時に表示しょうとしているコードやデータの領域が共有 情報の領域に含まれているかどうかをチヱックする。

[0176] 共有情報の領域であった場合には、その領域の情報を表示するときの文字の色を ユーザにより設定された色 (例えば黄色）にすることで、共有情報であることを強調す る。さらに、情報を表示する時に共有情報を表示する旨のポップアップ表示を行い、 ビープ音などの特定の音やユーザにより設定された音を鳴らす。この様に動作するこ とで、ユーザに共有情報であると注意を促す。

[0177] なお、共有情報についても秘匿情報と同様に多様な表示方法を適用するとしてもよ いが、共有情報と秘匿情報とが区別できるように秘匿情報とでは異なる表示方法を用 いた方がよい。

なお、本実施の形態 4において、秘匿情報や共有情報を表示するときの文字の色 をユーザにより設定された色にするとしたが、文字の色を変更することに限定するも のではなぐ背景の色を変更してもよいし、太字ゃ斜体など文字のスタイルを変更し たり、下線や網掛けなど字飾りを付けてもよぐさらに、秘匿情報や共有情報全体を 囲うなどしてもよい。

[0178] 5 実施の形態 5 実施の形態 5は、実施の形態 1のデバッガに対して、実施の形態 4とは異なり、プロ グラムの動作情報をキャラクタベースのユーザインタフェースに表示する表示手段を 付加したものである。実施の形態 5でも、デバッガ本体の機能は実施の形態 1と同様 であるので、説明を省略する。

[0179] 5. 1 CUIの説明

図 19は、本発明実施の形態 5におけるキャラクタベースユーザインターフェース (C UI170)の表示方法の説明図である。

デバッガ 14は、起動されると、コンソールと異なる、例えば「（dbg)」の様なプロンプ トを表示し、デバッガ 14が使用できる状態にあることを示す。この状態は、通常プログ ラム 12がデバッグ可能であることを示している（デバッグ処理結果の表示例 17 la)。

[0180] 通常プログラム 12が実行され、通常プログラム 12により保護プログラム 8が実行され ると、実施の形態 1で述べた動作に従い、一番最初の実行時に保護プログラムのェ ントリポイントに設定されたブレークポイントでデバッグ例外が発生される。

この時デバッガ 14は、保護プログラム 8がデバッグ可能であることを示すために、通 常プログラム 12のデバッグ時とは異なる、例えば「（dbg— sec)」の様なプロンプトを 表示することでユーザが区別できるようにする。なお、プロンプトと、デバッガ 14から のメッセージとの表示は、ユーザが区別できるように表示する。例えば、図示するよう に、括弧を用いてプロンプトを表すこととしてもよい。

[0181] また、デバッガ 14は、保護プログラム 8の実行中に停止した場合には、プロンプトや デバッガ 14からのメッセージ、ユーザ力も入力された文字のスタイルを斜体に変更す ることで、保護プログラム 8の実行中に停止していることを表示し、ユーザが区別出来 るようにする（デバッグ処理結果の表示例 171b)。

上記の状態では、実行が停止したプログラムを対象としたデバッグが可能となるが、 実施の形態 5では通常プログラム 12と保護プログラム 8とが連係動作している状態を 対象としたデバッグを行うので、通常プログラム 12の実行中に保護プログラム 8をデ ノ ッグしたり、逆に保護プログラム 8の実行中に通常プログラム 12をデバッグできるよ うにすることが望ましい。

[0182] 以下、このような場合に用いるインタフェースについて説明を行う。 まず、通常プログラム 12の実行中にデバッグ例外が発生し、通常プログラム 12がデ ノ ッグ可能な状態の時、通常プログラム 12のデバッグではなぐ保護プログラム 8の デバッグをデバッガ 14のユーザが行いたい場合がある。この場合は、通常プログラム 12がデバッグ可能な状態で、「secure」というコマンドを入力することにより、データ処 理装置 1が保護モードに移行して保護プログラム 8がデバッグ可能な状態になる。

[0183] このとき、プロンプトは、「（dbg)」から「（dbg— sec)」へ変更される力 通常プロダラ ム 12の実行中に停止したと 、う状態は変わらな!/、ので、字体は斜体などに変化しな Vヽ（デバッグ処理結果の表示例 17 lc)。

逆に、保護プログラム 8の実行中にデバッグ例外が発生し、保護プログラムがデバッ グ可能な状態の時、保護プログラムのデバッグではなぐ通常プログラムのデバッグ が行いたい場合には、「normal」というコマンドを入力することにより、通常プログラム がデバッグ可能な状態になる。

[0184] このとき、プロンプトは、「（dbg— sec)」から「（dbg)」へ変更される力 保護プロダラ ム 8の実行中に停止したと 、う状態は変わらな!/、ので、字体は斜体で表示されたまま であり、通常の字体に戻ったりはしない（デバッグ処理結果の表示例 171d)。

デバッガ 14のユーザが保護プログラム 8のデバッグをしょうとした場合に、デバッグ が許可されて 、な力つたり、アクセスが禁止されて 、る領域の情報を表示しょうとした 場合には、コマンドを入力した時に、「Access invalid」などを表示することで、ユー ザにデバッグが許可されて ヽな 、ことやアクセスが禁止されて 、ることを通知する。

[0185] 5. 2 実施の形態 5の補足

なお、実施の形態 5において、通常プログラム 12がデバッグ可能か保護プログラム 8がデバッグ可能かを区別するために表示されるプロンプトを変更するとしたが、プロ ンプトを変更することに限定するものではない。

例えば、プロンプトとは別にユーザから要求された処理が終わるたびに現在の状態 を示す文字を表示してもよい。また、プロンプトやデバッガからのメッセージ、ユーザ から入力された文字のスタイルを太字ゃ斜体に変更するとしてもよ!ヽし、文字の色や 背景色を変更するとしてもよいし、下線や網掛けなど字飾りを付けてもよい。

[0186] さらに、通常プログラム 12の実行中に停止した力保護プログラム実行中に停止した かを区別するために文字のスタイルを斜体に変更するとした力 文字のスタイルを斜 体にすることに限定するものではない。

例えば、太字などの他のスタイルに変更するとしてもよいし、文字の色や背景色を 変更するとしてもよいし、下線や網掛けなど字飾りを付けてもよい。さらに、行頭に通 常プログラム 12の実行中に停止したの力保護プログラム 8の実行中に停止したのか が分力るような文字列を表示してもよ 、。

[0187] また、通常プログラム 12か保護プログラム 8が停止し、ユーザがコマンドを入力可能 になる度や通常プログラム 12のデバッグと保護プログラム 8のデバッグが切り替わる 度に、以前の出力をすベて消すとしてもよい。

なお、本実施形態では、コマンドやメッセージの一例を以下のようにしている。

メッセージ「Change to Secure mode.」は、データ処理装置 1が保護モードに 移行したことを示すものである。メッセージ「Change to Normal mode.」は、デ ータ処理装置 1が通常モードに移行したことを示すものである。メッセージは、ユーザ の入力したコマンドに応じた処理をデータ処理装置 1が行つた後、その処理の結果を 通知するものである。

[0188] なお、コマンド「secure」は、保護モードに移行するためのコマンドで、コマンド「nor maljは、通常モードに移行するためのコマンドであるとする。

なお、デバッガに対して入力できるコマンドや、コマンドに応じて出力されるメッセ一 ジは、各デバッガに応じて異なるため、詳細な説明は省略する。

6 補足

なお、本発明を上記実施の形態に基づいて説明してきた力 本発明は、上記の実 施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる

(1)上述の実施の形態では、許可デバッガ HD情報 52やアクセス制御リスト 53は、保 護プログラム 8に含まれることとした力 これに限らず、許可デバッガ ID情報 52ゃァク セス制御リスト 53を、データ処理装置の外部力も取得することとしてもよい。この場合 、取得に力かる許可デバッガ ID情報 52等が、どの保護プログラム 8と対応しているか を示す情報を併せて取得するとよ 、。 [0189] こうすることで、保護プログラム 8に対するデバッグ処理実行の可否の判定を容易に 行うことができる。

なお、許可デバッガ 情報 52等は、デバッグ可能なデバッガ IDや、アクセス可能 な領域を示すものであるため、解析されると、保護プログラム 8の保護が図れなくなる ため、不正アクセスによって暴露されないよう、データ処理装置において保護機構等 の安全な領域で記憶する必要がある。

[0190] また、許可デバッガ 情報 52等の取得も、不正者の盗聴等により不正取得されな V、よう安全に行われる必要があることは言うまでもな 、。

(2)上記の実施の形態では、保護プログラム 8や通常プログラム 12は保護 OS6や通 常 OS11上で動作するものとした力 これに限られるものではない。例えば、 OSを介 さずに直接動作するものとしてもよい。

[0191] この場合、デバッグ機能 7や切替デバドラ 13およびデバッガ用切替デバドラ 15は L SI2の機能等として設けられ、各 OSが行っていた割り込みの監視等の処理も行うこと となる。また、デバッガ 14も直接的に LSI2上の CPU等で実行可能な言語で作成さ れたものとすること等が考えられる。

(3)上記の実施の形態では、デバッガ 14、切替デバドラ 13、デバッガ用切替デバド ラ 15、デバッグ機能 7等は LSI2上で動作するソフトウェアとして実装されているものと したが、これに限られるものでない。例えば、 LSI2の機能として実現したり、 LSI2と相 互に通信しあうハードウェア等の形で実現してもよい。また、各構成要素の一部のみ を LSI2の機能として実現したり、ハードウェアとして実現したりしてもよい。

(4)上記の実施の形態 3では、複数の保護プログラム開発装置 82を所有する組織等 のために、保護プログラム開発装置 82を介して送信される要求に応じて、同一のデ ノ ッガ IDを複数の保護プログラム開発装置 82に付与したりしてもよい。

(5)上記の実施の形態 4および実施の形態 5では、図 18および図 19を参照してユー ザインタフエースの例を紹介した力 ユーザインタフェースの表示は、図 18および図 19に示されるようなものに限られない。

[0192] すなわち、インタフェースを構成する一部の構成要素を表示しないとしてもよいし、 各構成要素の表示位置を適宜入れ替えたり、文字等の書体を別のものにしたりして もよ！/、ことは言うまでもな！/、。

(6)上記の実施の形態では、デバッグ機能 7は、デバッガ IDの確認によりデバッグが 許可されていることを確認し、アクセス制御リストの確認により要求している領域への アクセスが許可されている場合のみ、デバッグを行うことが許可されるとした力 いず れか一方の確認のみでデバッグを許可されるとしてもよい。

[0193] また、確認の順序もデバッガ IDの確認の後にアクセス制御リストの確認を行うという 順序に限らず、どちらを先に確認してもよい。

(7)上記の実施の形態では、デバッガ 14は、通常プログラム 12にアタッチし、その通 常プログラム 12と連係動作する保護プログラム 8に対するデバッグ処理を行うものとし た力 これに限られるものではない。例えば、保護プログラム 8に直接アタッチできる デバッガであるとしてもよ!、。

[0194] この場合、デバッガ 14はロードされていないプログラムにアタッチできないので、保 護プログラム 8は予めメモリ上にロードされ、保護プログラム 8で発生したデバッグ例外 はデバッガ用切替デバドラ 15を経由してデバッガ 14に通知される。

さらに、データ処理装置が保護モードで使用可能な入出力装置を有している場合 には、デバッガは通常モードではなく保護モードで動作するようにしてもよい。この場 合、デバッグ機能 7とデバッガ 14は、デバッガ用切替デバドラ 15を経由することなぐ 直接通信する。

(8)上記の実施の形態では、前処理において停止フラグを有効にすることで、保護 プログラム 8等の実行開始時に必ずプログラムが停止するものとしている力 これに限 られるものではない。

[0195] 例えば、変形例（7)のようにデバッガ 14が直接保護プログラム 8にアタッチしてブレ ークポイントを設定できる場合や、通常プログラム 12のみをデバッグしたい場合には 、保護プログラム 8の実行開始時に必ずプログラムが停止すると不便である。そのた め、前処理時に常に停止フラグを有効にするのではなぐユーザの選択により有効に するカゝ否かを決定できるとしてもよ!/ヽ。

(9)上記の実施の形態では、デバッガ IDの生成の仕方について特に言及していな いが、以下のようにすることが考えられる。 [0196] 例えば、デバッガ ID管理サーバ 81が乱数を生成してデバッガ IDとしてデバッガに 割り当てることとしても良い。

また、この他には、例えば、保護プログラム 8の一部または全体のハッシュ値をデバ ッガ IDとして用いてもよい。

この場合、デバッガ ID判定部 22は、比較値保持部 33に、デバッガ 14のデバッガ I Dを保持しておく。デバッガ 14からデバッグが要求されると、デバッガ ID演算部 32は 、デバッグ要求の対象となっている保護プログラム 8のノ、ッシュ値を計算し、計算結果 と、比較値保持部 33が保持している値とをデバッガ ID比較部 31が比較することによ り判定を行う。

[0197] これにより、保護プログラム 8の中身が変化している場合にはハッシュ値とデバッガ I Dとの比較が成功しないため、保護プログラム 8をアップデートすると自動的に古いデ ノ ッガによるデバッグを禁止することが出来る。

なお、この場合、実施の形態 3における保護プログラム開発装置 82は、デバッガ ID 管理サーバ 81に対して、保護プログラム 8のうち、ハッシュ値が取られる箇所が完成 した時点でその保護プログラム 8を送信する。デバッガ ID管理サーバ 81は、保護プ ログラム 8のハッシュ値を計算し、そのハッシュ値をデバッガ IDとして保護プログラム 開発装置 82に返送する。返送されたデバッガ IDは、保護プログラム 8の開発者のみ が知りうる情報である。したがって、デバッガの作者は、この保護プログラム 8のデバッ グに対応したデバッガを作成するには、力かるデバッガ IDを保護プログラム 8の開発 者から通知してもらい、通知により取得したデバッガ IDを、デバッガ 14に割り当てる 必要がある。ただし、上記の場合でも、デバッガ ID管理サーバ 81の所有者とデバッ ガの作者とが同一である場合は、デバッガの作者はデバッガ IDの通知を受けなくとも デバッガを作成できる。なぜなら、デバッガの作者は自身が所有するデバッガ ID管 理サーバ 81からデバッガ IDを知ることが出来るからである。

[0198] また、上述のようにハッシュ値を用いる場合、ノ、ッシュ値を計算することにより、保護 プログラム 8に対するデバッグ処理が可能なデバッガのデバッガ IDが算出されるので 、保護プログラム 8に許可デバッガ 情報 52を含ませておく必要がな 、。

さらに、デバッガ IDには、プログラム開発者ごとの値とプログラムごとの値とが含まれ ることとしてもよい。この場合、プログラム開発者ごとの値のチェックによりプログラム開 発者単位でのデバッグ許可 Z不許可を確認し、プログラム開発者単位でのデバッグ 許可がある場合にのみ、プログラム単位の値をチェックすることによりプログラム単位 でのデバッグ許可を確認する等とすることで、より細かなデバッグ制御を実現できる。

(10)上述の実施の形態では、保護プログラム 8a実行中にブレークポイントによるデ ノ ッグ例外が発生したことを検出して保護プログラム 8aに対するデバッグ処理を行う 場合を説明した。これに限らず、保護プログラム 8の実行中に一般的なエラー割り込 みが発生した場合に、その割り込みが検出されることでデバッガ 14によるデバッグ処 理が行われるとしても良い。一般的なエラー割り込みとは、例えば、保護プログラム 8 実行中に 0による除算が発生した場合や、オーバーフローが発生した場合などがある 。一般的なエラー割り込みが発生した場合に、保護 OS6がデバッグ例外の発生を切 替デバドラ 13に通知する等の処理を行うことにより（S402等）、デバッガ 14は、保護 プログラム 8に対するデバッグ処理を行うことができる。

(11)上述の実施の形態では、保護プログラム 8に対するデバッグ処理の実行の可否 を制御することとした力 これに限らず、通常プログラム 12についても、デバッグ処理 を許可するデバッガのデバッガ IDを割り当てて、通常プログラム 12に対するデバッグ 処理の実行の可否を制御することとしてもょ 、。

(12)上述した構成要素の一部、または全部を LSI等の集積回路として実現してもよ い。この場合の集積回路は LSI2と同一の集積回路であってもよいし、異なる集積回 路であってもよい。

[0199] なお、 LSIは集積度の違いにより、 IC、システム LSI、スーパー LSI、ウルトラ LSIと 呼称されることもあるが、システム LSI2を上記の 、ずれの集積度で実現した場合も本 発明に含まれることは言うまでもない。また、 LSI製造後に、プログラムすることが可能 な FPGA(Field Programmable Gate Array)や、 LSI内部の回路セルの接続 や設定を再構成可能なリコンフィギユラブル ·プロセッサを利用しても良 、。

[0200] さらには、半導体技術の進歩または派生する別技術により LSIに置き換わる集積回 路化の技術が登場すれば、当然、その技術を用いて構成要素の集積ィ匕を行ってもよ い。バイオ技術の適用等が可能性としてありえる。 (13)本発明は、上記に示す方法であるとしてもよい。また、これらの方法を CPUの処 理として実現するプログラムであるとしてもよいし、前記コンピュータプログラム力もな るディジタル信号であるとしてもよ 、。

(14)また、本発明は、前記コンピュータプログラムまたは前記ディジタル信号をコン ピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、 C D—ROM MO DVD DVD— ROM DVD— RAM BD (Blu—rayDisc)、半 導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されてい る前記ディジタル信号であるとしてもょ ヽ。

(15)これらの実施の形態および変形例の組合せであってもよ!/、。

産業上の利用可能性

本発明に力かるデータ処理装置は、デバッグ処理の実行の可否を制御することで プログラムの保護を図ることができ、特に、プログラムを保護しつつ開発を支援するた めの装置として有用である。

Claims

請求の範囲

[1] デバッグ処理部によるデバッグ処理の実行を制御するデータ処理装置であって、 前記デバッグ処理部を識別する識別子を取得する第 1取得手段と、

不正アクセスから保護された状態にあるデバッグ対象プログラムの所定部分に含ま れる検証値を取得する第 2取得手段と、

前記デバッグ対象プログラムから取得された前記検証値と前記第 1取得手段により 取得された前記識別子とを比較し、その比較結果に応じて、前記デバッグ対象プロ グラムに対するデバッグ処理が許可されている力判定する判定手段と、

許可されて 、な 、と判定されたとき、前記デバッグ対象プログラムに対するデバッグ 処理の実行を禁止する制御手段とを備える

ことを特徴とするデータ処理装置。

[2] 前記デバッグ対象プログラムの前記所定部分には、前記デバッグ対象プログラムを 構成する各部分についてアクセスが許可または不許可であることを示すアクセス制御 リストが含まれ、

前記第 2取得手段は、前記デバッグ対象プログラムの前記所定部分に含まれる前 記アクセス制御リストを取得するアクセス制御リスト取得部を含み、

前記データ処理装置は、さらに、前記取得した前記アクセス制御リストに基づいて、 前記デバッグ対象プログラムの一部分のアクセスが許可されているかを判定するァク セス判定手段を備え、

前記制御手段は、前記判定手段により許可されていると判定され、かつ、前記ァク セス判定手段により許可されていないと判定された第 1の場合、前記一部分のデバッ グ処理の実行を禁止し、前記判定手段により許可されていると判定され、かつ、前記 アクセス判定手段により許可されていると判定された第 2の場合、前記一部分のデバ ッグ処理を前記デバッグ処理部に実行させる

ことを特徴とする請求項 1記載のデータ処理装置。

[3] 前記アクセス制御リストに示される前記部分のそれぞれは、前記デバッグ対象プロ グラムをメモリにロードする場合におけるロード先メモリアドレスの前記部分それぞれ に対応するアドレス範囲を示し、 前記アクセス制御リストには、前記部分それぞれに対応する前記アドレス範囲のそ れぞれについて、アクセスの可否が対応づけられており、

前記アクセス判定手段は、前記デバッグ対象プログラムをメモリにロードする場合に おけるロード先メモリアドレスの前記一部分に対応するアドレス範囲について、前記 アクセス制御リストにおいて対応づけられているアクセスの可否を参照することにより 前記判定を行う

ことを特徴とする請求項 2記載のデータ処理装置。

[4] 前記アクセス制御リストに示される前記部分のそれぞれは、前記デバッグ対象プロ グラムに含まれるシンポノレを示し、

前記アクセス制御リストには、前記シンボルのそれぞれについて、アクセスの可否が 対応づけられており、

前記アクセス判定手段は、前記デバッグ対象プログラムの前記一部分に含まれるシ ンボルにっ 、て、前記アクセス制御リストにお!、て対応づけられて!/、るアクセスの可 否を参照することにより前記判定を行う

ことを特徴とする請求項 2記載のデータ処理装置。

[5] 前記デバッグ対象プログラムの前記所定部分には、前記検証値が複数含まれ、 前記アクセス制御リストは、前記所定部分に 1以上含まれ、前記アクセス制御リスト のそれぞれは、前記検証値の少なくとも 1つと対応づけられており、

前記判定手段は、前記検証値のそれぞれにつ 、て前記取得した識別子と比較し て前記判定を行い、

前記アクセス判定手段は、前記判定手段により許可されて！ヽると判定された前記検 証値に対応づけられて 、る前記アクセス制御リストに基づ 、て前記判定を行う ことを特徴とする請求項 2記載のデータ処理装置。

[6] 前記データ処理装置は、さらに、

表示部を備え、

前記制御手段は、前記第 1の場合、前記一部分のデバッグ処理が禁止された旨を 示す表示を前記表示部に行わせ、前記第 2の場合、前記デバッグ処理の結果を前 記表示部に表示させる表示制御部を含む ことを特徴とする請求項 2記載のデータ処理装置。

[7] 前記判定手段は、

前記検証値と前記識別子とを比較し、前記検証値と前記識別子とがー致した場合 に、前記デバッグ処理が許可されて ヽると判定する

ことを特徴とする請求項 1記載のデータ処理装置。

[8] 前記判定手段は、比較値を不正アクセスから保護された状態で記憶する比較値保 持部を含み、

前記検証値と前記識別子とを演算子として用いた所定の演算を行い、その演算結 果が、前記記憶している前記比較値と一致した場合に、前記デバッグ処理が許可さ れていると判定する

ことを特徴とする請求項 1記載のデータ処理装置。

[9] 前記データ処理装置は、外部力 の不正アクセスを防止する機構を備えたセキュア ドメインを有し、

前記データ処理装置は、動作モードとして、通常モードとセキュアモードとを備え、 前記通常モードと前記セキュアモードとを切り替えて動作し、前記セキュアモード時 にお 、てのみ前記セキュアドメインを用いて動作し、

前記データ処理装置は、さらに、前記通常モードと前記セキュアモードとを切り替え る切替部を備え、

前記通常モードで動作するプログラムは、前記切替部を経由して所定の処理の要 求を前記セキュアモードで動作するプログラムに通知することで前記セキュアモード で動作するプログラムにアクセス可能であり、

前記デバッグ対象プログラムは、前記セキュアドメインにお 、て記憶され、 前記第 2取得手段は、前記セキュアドメインにお!/ヽて前記デバッグ対象プログラム から前記検証値の前記取得を行 ヽ、

前記判定手段は、前記セキュアドメインにお!、て前記判定を行う

ことを特徴とする請求項 1記載のデータ処理装置。

[10] 前記デバッグ処理部は、前記セキュアドメインの外部にあって前記通常モードにお いて動作し、 前記データ処理装置は、さらに、前記セキュアモードにおいてデバッグ処理を実行 するセキュアデバッガを備え、前記セキュアデバッガは、前記セキュアドメインに含ま れ、

前記デバッグ処理部は、前記デバッグ対象プログラムのデバッグ処理要求を出力し 前記制御手段は、前記デバッグ処理部が前記デバッグ処理要求を出力すると、前 記判定手段に前記判定を行わせ、許可されていないと判定されたとき、前記デバッ グ処理要求に力かる前記デバッグ対象プログラムに対する前記セキュアデバッガによ るデバッグ処理を禁止する

ことを特徴とする請求項 9記載のデータ処理装置。

[11] 前記デバッグ対象プログラムの前記所定部分には、前記デバッグ対象プログラムを 構成する各部分についてアクセスが許可または不許可であることを示すアクセス制御 リストが含まれ、

前記第 2取得手段は、前記デバッグ対象プログラムの前記所定部分に含まれる前 記アクセス制御リストを取得するアクセス制御リスト取得部を含み、

前記データ処理装置は、さらに、前記取得した前記アクセス制御リストに基づいて、 前記デバッグ対象プログラムの前記一部分のアクセスが許可されているかを判定す るアクセス判定手段を備え、

前記アクセス判定手段は、前記セキュアドメインにお!、て前記判定を行 、、 前記制御手段は、

前記デバッグ処理部が出力した前記デバッグ処理要求にかかる前記デバッグ対象 プログラムについて、前記判定手段により許可されていると判定され、かつ、前記ァク セス判定手段により許可されていないと判定された場合、前記セキュアデバッガによ る前記一部分の前記デバッグ処理の実行を禁止し、前記判定手段により許可されて いると判定され、かつ、前記アクセス判定手段により許可されていると判定された場合 、前記一部分のデバッグ処理を前記セキュアデバッガに実行させる

ことを特徴とする請求項 10記載のデータ処理装置。

[12] 前記デバッグ処理部は、前記通常プログラム、および、前記通常プログラムと連係 する前記デバッグ対象プログラムに対してデバッグ処理を行う機能を有し、 前記デバッグ処理部による前記デバッグ対象プログラムのデバッグ処理は、前記デ バッグ処理部がデバッグ処理要求を出力し、出力された前記デバッグ処理要求に対 して前記セキュアデバッガにより行われたデバッグ処理の結果を前記切替部を介して 前記デバッグ処理部が受け付けることにより行われる

ことを特徴とする請求項 10記載のデータ処理装置。

[13] 前記デバッグ処理部は、自デバッグ処理部がアタッチされた通常プログラムを識別 するプロセス識別子を出力し、

前記セキュアデバッガは、前記デバッグ処理部から出力された前記プロセス識別子 に示される通常プログラムと連係動作するデバッグ対象プログラムのエントリポイント にある命令をブレーク命令へと変更する

ことを特徴とする請求項 12記載のデータ処理装置。

[14] 前記データ処理装置は、前記セキュアモードにおいて前記デバッグ対象プログラム の実行中にデバッグ例外が検出されると、前記切替部を介して前記デバッグ処理部 にデバッグ例外の発生を通知し、

前記デバッグ処理部は、前記切替部力も前記デバッグ例外の発生の通知を受け付 けると、デバッグ処理の実行結果を示すデバッグ情報の取得要求を出力し、 前記セキュアデバッガは、前記デバッグ対象プログラムにつ！ヽて前記判定手段が 肯定的な判定をしているときに前記デバッグ情報の取得要求を受け付けると、前記 デバッグ対象プログラムのデバッグ処理を実行してデバッグ情報を取得し、取得した デバッグ情報を、前記切替部を介して前記デバッグ処理部に出力する

ことを特徴とする請求項 12記載のデータ処理装置。

[15] 前記データ処理装置は、さらに、

前記通常プログラムのデバッグ処理の結果を第 1の表示領域に表示する第 1の結 果表示部と、

前記通常プログラムとの連係に力かるデバッグ対象プログラムのデバッグ処理の結 果を、前記第 1の表示領域とは異なる第 2の表示領域に表示する第 2の結果表示部 とを備え、 前記第 1および第 2の結果表示部は、前記連係に力かるデバッグ対象プログラムと 前記通常プログラムとが連係して動作しているとき、前記第 1の表示領域および前記 第 2の表示領域に、前記デバッグ対象プログラムと前記通常プログラムのデバッグ処 理の結果を表示する

ことを特徴とする請求項 12記載のデータ処理装置。

[16] 前記通常モードにおいては、通常 OSが動作し、

前記セキュアモードにぉ 、ては、保護 OSが動作し、

前記通常プログラムは、前記通常 OSが生成するプロセスとして前記通常モードに おいて動作し、

前記デバッグ処理部は、前記通常 OSで動作するデバッガとして前記通常モードに おいて動作し、

前記デバッグ対象プログラムは、前記保護 OSが生成するプロセスとして前記セキュ アモードにおいて動作し、

前記セキュアデバッガは、前記保護 OSの有する機能として実装されて 、る ことを特徴とする請求項 12記載のデータ処理装置。

[17] 前記制御手段は、前記デバッグ処理部が前記デバッグ処理要求を出力すると、前 記判定手段に前記判定を行わせ、許可されていないと判定されたとき、前記デバッ グ処理の実行の禁止を示すデバッグ処理不可通知を前記デバッグ処理部へ出力す る

ことを特徴とする請求項 10記載のデータ処理装置。

[18] 秘匿すべき保護情報を含んだプログラムを取得するプログラム取得手段と、

取得した前記プログラムに対するデバッグ処理をデバッグ処理部の識別子に応じて 許可する力否かを判定するための検証値を生成する検証値生成手段と、

前記プログラムについて前記検証値生成手段で生成された検証値を前記プロダラ ムに付加して保護プログラムを生成する保護プログラム生成手段とを備える ことを特徴とするプログラム生成装置。

[19] 前記プログラム生成装置は、さらに、

前記プログラムを構成する各部分についてアクセスが許可または不許可であること を示すアクセス制御リストを取得するアクセス制御リスト取得部を含み、 前記保護プログラム生成手段は、前記取得したアクセス制御リストを、前記プロダラ ムに付加するアクセス制御リスト付加部を含む

ことを特徴とする請求項 18記載のプログラム生成装置。

[20] デバッグ処理部によるデバッグ処理の実行を制御するデータ処理方法であって、 前記デバッグ処理部を識別する識別子を取得する第 1取得ステップと、 不正アクセスから保護された状態にあるデバッグ対象プログラムの所定部分に含ま れる検証値を取得する第 2取得ステップと、

前記デバッグ対象プログラムから取得された前記検証値と前記第 1取得ステップに おいて取得された前記識別子とを比較し、その比較結果に応じて、前記デバッグ対 象プログラムに対するデバッグ処理が許可されている力判定する判定ステップと、 許可されて 、な 、と判定されたとき、前記デバッグ対象プログラムに対するデバッグ 処理の実行を禁止する制御ステップとを含む

ことを特徴とするデータ処理方法。

[21] デバッグ処理部によるデバッグ処理の実行の制御をデータ処理装置に行わせる、 コンピュータ読み取り可能な制御プログラムであって、

前記デバッグ処理部を識別する識別子を取得する第 1取得ステップと、 不正アクセスから保護された状態にあるデバッグ対象プログラムの所定部分に含ま れる検証値を取得する第 2取得ステップと、

前記デバッグ対象プログラムから取得された前記検証値と前記第 1取得ステップに おいて取得された前記識別子とを比較し、その比較結果に応じて、前記デバッグ対 象プログラムに対するデバッグ処理が許可されている力判定する判定ステップと、 許可されて 、な 、と判定されたとき、前記デバッグ対象プログラムに対するデバッグ 処理の実行を禁止する制御ステップとを含む

ことを特徴とする制御プログラム。

[22] デバッグ処理部によるデバッグ処理の実行を制御するデータ処理装置にお!、て用 いられる集積回路であって、

前記デバッグ処理部を識別する識別子を取得する第 1取得部と、 不正アクセスから保護された状態にあるデバッグ対象プログラムの所定部分に含ま れる検証値を取得する第 2取得部と、

前記デバッグ対象プログラムから取得された前記検証値と前記第 1取得手段により 取得された前記識別子とを比較し、その比較結果に応じて、前記デバッグ対象プロ グラムに対するデバッグ処理が許可されている力判定する判定部と、

許可されて 、な 、と判定されたとき、前記デバッグ対象プログラムに対するデバッグ 処理の実行を禁止する制御部とを含む

ことを特徴とする集積回路。

[23] 秘匿すべき保護情報を含んだプログラムを取得するプログラム取得ステップと、 取得した前記プログラムに対するデバッグ処理をデバッグ処理部の識別子に応じて 許可するか否かを判定するための検証値を生成する検証値生成ステップと、 前記プログラムについて前記検証値生成ステップで生成された検証値を前記プロ グラムに付加して保護プログラムを生成する保護プログラム生成ステップとを含む ことを特徴とするプログラム生成方法。

[24] プログラムを生成する処理をプログラム生成装置に行わせるための、コンピュータ読 み取り可能な制御プログラムであって、

秘匿すべき保護情報を含んだプログラムを取得するプログラム取得ステップと、 取得した前記プログラムに対するデバッグ処理をデバッグ処理部の識別子に応じて 許可するか否かを判定するための検証値を生成する検証値生成ステップと、 前記プログラムについて前記検証値生成ステップで生成された検証値を前記プロ グラムに付加して保護プログラムを生成する保護プログラム生成ステップとを含む ことを特徴とする制御プログラム。

[25] プログラムを生成するプログラム生成装置にぉ 、て用いられる集積回路であって、 秘匿すべき保護情報を含んだプログラムを取得するプログラム取得部と、 取得した前記プログラムに対するデバッグ処理をデバッグ処理部の識別子に応じて 許可するか否かを判定するための検証値を生成する検証値生成部と、

前記プログラムについて前記検証値生成手段で生成された検証値を前記プロダラ ムに付加して保護プログラムを生成する保護プログラム生成部とを含む ことを特徴とする集積回路。