[发明专利]信息处理装置、信息处理方法以及程序分发系统

说明书

技术领域

本发明涉及防止向数据的非法访问的信息处理装置、信息处理方法以及程序分发系统等。

背景技术

在以往的便携式电话中，在用户购买设备(便携式电话)之后，为了追加新的功能，能够下载应用软件(以下，称为“应用”)并利用。在这样的应用中，以往，对设备内的各种资源的访问受到限制。在此，设备内的资源例如是指GPS(Global Positioning System：全球定位系统)等的位置信息、键盘(dial)功能以及电话簿，书签以及图像数据等的其他应用生成的数据等。但是，近年来，为了开发多种多样的应用，出现了缓和访问限制、能够进行向位置信息、键盘功能以及电话簿等的数据的访问的设备。例如，在谷歌公司(Google Inc.)所提供的安卓(Android：注册商标)中，从作为应用分发网站的Android Market下载的应用能够访问电话簿、书签、GPS信息、或者网络功能等。

将来，为了使用户能够追加新的硬件，会出现能够安装设备驱动软件(以下，称为“设备驱动”)的设备。

此外，以往，只有指定的应用开发公司才开发并发布如上所述的应用。但是，近年来，还出现了普通用户也能够进行应用的开发以及发布的结构。在这样的结构中，为了使普通用户能够简单地开发应用，在个人计算机(以下，称为“PC”(Personal Computer))中一般利用的开发工具能够利用于应用的开发，或者能够对销售着的设备连接调试器。

另一方面，PC以及便携式电话等中保存的个人信息(姓名、住所、电话号码、邮件地址，信用卡号码等)或个人内容(照片、动画、邮件、位置信息)等的数据的泄漏成为问题。尤其是在PC中，由于从因特网等的开放式网络下载的非法的下载软件，保存在PC的存储装置中的个人信息或个人内容等的数据被读取，与用户的意图相反地经由网络被发送到设备的外部等的数据的泄漏成为问题。此外，非法的下载软件利用邮件等来使用户认为该下载软件本身是有益的软件而使其下载，或者利用在PC上动作的软件的脆弱性而使其下载。

尤其，设备驱动还能够访问应用在存储器上展开的数据。因此，在能够安装设备驱动的设备中，关于个人信息等的不想对其他应用公开的数据，也被设备驱动访问，因此泄漏的风险较高。

这样，在PC以及便携式电话中，下载的应用(以下，称为“DL应用”)以及下载的设备驱动(以下，称为“DL设备驱动”)能够访问许多的资源。此外，普通用户能够开发及发布应用，进而，将来还可能会开发及发布设备驱动。因此，持有恶意的攻击者能够开发及安装攻击用的应用(以下，称为“非法应用”)以及攻击用的设备驱动(以下，称为“非法设备驱动”)。由此，非法应用以及非法设备驱动能够访问设备内部的信息，信息被泄漏以及篡改的危险性增加。

此外，非法应用或非法设备驱动能动地动作以访问设备内部的信息，除此之外还利用与其他应用的联合功能，取得设备内部的信息，从而可以使信息泄漏。例如，谷歌公司(Google Inc.)所提供的安卓中，有叫作“Intent”的向其他应用委托数据的处理的功能。在该功能中，处理的委托源以想要委托的处理、希望处理的数据以及该数据的种类为变元，调出该功能。被委托的系统对由变元指定的数据的种类，选择能够进行同样由变量指定的处理的应用。此时，在能够选择的应用有多个的情况下，向用户提示应用的列表，使用户选择使用哪个应用。并且，系统启动所选择的应用，并对启动的应用委托数据的处理。此时，由持有恶意的攻击者开发的非法应用对系统宣布能够对所有的数据的种类进行所有的处理。于是，该非法应用能够取得利用该应用间联合的结构来交换的所有的数据。由此，存在非法应用取得在应用间交换的个人信息或个人内容等，并向设备外部泄漏的危险性。

以往，作为从DL应用以及DL设备驱动中保护便携式电话等中的电话功能那样的设备本来的功能的方法，有将执行各个软件的执行环境进行分离的方法(例如，参照非专利文献1)。在非专利文献1中，作为分离执行环境的方法，记载了利用具有通常模式和安全模式这样的多个模式的CPU来分离执行环境的方法、以及利用虚拟化技术来分离执行环境的方法。

图32是表示利用非专利文献1中记载的以往的虚拟化技术的执行环境分离方法的图。

在图32中，虚拟机30执行便携式电话等的通信事业者选定及开发的操作系统(以下，称为“OS”)以及应用。此外，虚拟机40执行用于提供由通信事业者以外的企业向职员提供的日程以及邮件的服务的应用等。进而，虚拟化软件20对虚拟机30和虚拟机40提供将硬件10虚拟化而得到的虚拟硬件的功能。此外，虚拟化软件20控制虚拟机30和虚拟机40的动作。