访问控制装置、访问控制程序及访问控制方法

专利名称：访问控制装置、访问控制程序及访问控制方法
技术领域：
本发明涉及一种对程序向资源的访问进行控制的控制装置。
背景技术：
近年来，基于CPU (Central Processing Unit:中央处理装置)的性能的提高、存
储器等存储元件的大容量化等，在一个设备上能够进行多个互不相同的信息处理。例如，在便携电话终端中，除了本来的电话功能之外，由一个便携电话终端实 现了邮件收发功能、互联网浏览器功能、摄像机功能、音乐再生功能、One-seg电视接收 功能等各种信息处理功能。便携电话终端通过以多任务控制方式等使用于实现这样的功能的应用程序并列 动作，实现了多种多样的功能的顺畅动作。作为在计算机系统上执行多个程序的技术，例如提出了当多个程序访问同一存 储器等资源时，限制对资源的访问的技术(例如参照专利文献1)。专利文献1 日本特开平6-161789号公报但是，在利用多任务控制方式等进行基于多个程序的处理的计算机系统中，存 在着即使想要执行需要立即开始处理的新的程序，但在想要使用的资源已经被执行中的 程序确保的情况下，如果不等到执行中的程序释放资源，则无法执行新的程序这一问题。尤其在因等待资源的释放而无法开始执行的程序进行的处理，是被要求实时性 的处理时，因为程序进行的处理被延迟开始，所以会导致不能确保实时性。

发明内容
因此，本发明鉴于上述问题而提出，其目的在于，提供一种在想要通过程序、 使用构成计算机系统的存储器等资源来开始处理的情况下，即便已经由其他程序确保了 对应的资源时，也不会发生因对应的资源的释放等待处于瓶颈而导致程序的处理开始被 延迟的访问控制装置。为了解决上述课题，本发明涉及的访问控制装置，在发出了资源的利用请求 后，控制向该资源进行访问的多个程序对资源的访问，其特征在于，具备请求受理 部，受理来自程序的利用资源的请求；信息保持部，对包含程序信息的资源访问信息进 行保持；访问许可部，许可向对应的资源访问，但只限于来自所述信息保持部保持的资 源访问信息中包含的程序信息所表示的程序的访问；以及信息改写部，在所述信息保持 部对包含表示第1程序的第1程序信息的第1资源访问信息进行保持的情况下，当所述请 求受理部受理了来自第2程序的利用资源的请求时，如果对所述第2程序预先设定的优先 级比对所述第1程序预先设定的优先级高，则将所述第1资源访问信息从所述信息保持部 删除，将包含表示所述第2程序的第2程序信息的第2资源访问信息追加到所述信息保持 部中。
5
这里，访问是指读出数据、或写入数据。另外，将资源访问信息从信息保持部删除是指从信息保持部消去资源访问信 息，处于许可信息保持部中不存在资源访问信息的状态；或者，不从信息保持部消去资 源访问信息，而通过对资源访问信息追加表示资源访问信息已被删除的标记，由此即便 是来自信息保持部保持的资源访问信息所表示的程序的访问，访问许可部也不许可向对 应的资源访问。发明的效果具备上述构成的本发明所涉及的访问控制装置，只有信息保持部保持的资源访 问信息所表示的程序，才许可向对应的资源访问，并且，有来自请求受理部接收到资源 的利用请求的程序的、向包含与对被允许了向资源的访问的程序所访问的资源相同部分 的资源的访问请求时，如果有请求的程序的优先级较高，则针对被允许了向包含与有请 求的程序所访问的资源相同部分的资源的访问的程序，取消对资源访问的许可，对有请 求的程序许可向资源的访问。因此，在执行的优先级比执行中的程序高的程序，想要访问含有与执行中的程 序所访问的资源相同部分的资源时，通过取消执行中的程序对资源访问的许可，对执行 的优先级较高的程序赋予向资源访问的许可，由此，具有执行的优先级高的程序不会因 对应的资源的释放等待处于瓶颈而导致程序的处理开始被延迟这一效果。而且，所述资源访问信息是将所述程序信息、与对所述程序信息表示的程序访 问的资源进行表示的资源信息建立对应的信息，所述信息改写部是，在所述信息保持部 对将表示第1资源的第1资源信息与表示第1程序的第1程序信息建立对应的第1资源访 问信息加以保持的情况下，当所述请求受理部受理来自第2程序的对包含所述第1资源的 至少一部分的资源的第2资源进行利用的请求时，如果对所述第2程序预先设定的优先级 比对所述第1程序预先设定的优先级高，则将所述第1资源访问信息从所述信息保持部删 除，将表示所述第2资源的第2资源信息与表示所述第2程序的第2程序信息建立对应的 信息、即第2资源访问信息追加到所述信息保持部中的信息改写部。由此，在存在多个资源的情况下，能够进行与每个资源对应的访问控制。另外，所述信息改写部在将所述资源访问信息从所述信息保持部删除的情况 下，对删除的资源访问信息中包含的程序信息所表示的程序，通知取消向对应的资源的 访问的许可。通过采用这样的构成，与被从访问许可部删除的资源访问信息对应的程序，在 因资源访问信息被从信息保持部删除而不能向资源访问的情况下，由于程序能够收到取 消向资源访问的许可的通知，所以能够进行与无法向资源访问对应的处理。而且，还具备保持所述资源访问信息的待机信息保持部，所述信息改写部，在 将所述第2资源访问信息追加到所述信息保持部中时，将所述第1资源访问信息追加到所 述待机信息保持部中，在所述信息保持部保持所述第1资源访问信息的情况下，当所述 请求受理部受理来自所述第2程序的对含有所述第1资源的至少一部分的资源的所述第2 资源进行利用的请求时，如果对所述第2程序预先设定的优先级比对所述第1程序预先设 定的优先级高，则将所述第2资源访问信息追加到所述待机信息保持部中。通过采用这样的构成，即便是未被信息保持部保持的资源访问信息，由于也由待机信息保持部保持，所以在需要信息保持部没有保持的资源访问信息的情况下，能够 在短时间内利用资源访问信息。而且，所述信息改写部在所述请求受理部受理来自第3程序的利用第3资源的请 求的情况下，当所述第3资源不含有所述信息保持部保持的所有资源访问信息中包含的 资源信息所表示的资源时，将表示所述第3资源的资源信息与表示所述第3程序的程序信 息建立对应的信息、即第3资源访问信息追加到所述信息保持部中，在所述信息保持部 保持所述第3资源访问信息的情况下，当所述第3程序的执行结束时，将所述第3资源访 问信息从所述信息保持部删除。通过采用这样的构成，在来自对未被其他程序利用的资源请求利用的程序的利 用资源的请求的情况下，能够对请求了资源的利用的程序允许资源的利用，并且在程序 结束了资源的利用时，能够使该资源被其他程序利用。另外，还可以具备信息追加部，该信息追加部，在从所述信息保持部删除了所 述资源访问信息的情况下，当在所述待机信息保持部保持的资源访问信息中，存在对应 的资源信息不含有所述信息保持部保持的所有资源访问信息中包含的资源信息所表示的 资源的能够许可资源访问信息时，将所述能够许可资源访问信息中、针对对应的程序信 息所表示的程序预先设定的优先级最高的能够许可资源访问信息，从所述待机信息保持 部删除，追加到所述信息保持部中。通过采用这样的构成，当从信息保持部删除了资源访问信息时，由于将已经被 待机信息保持部保持的资源访问信息追加到信息保持部中，所以能够在短时间内向信息 保持部追加资源访问信息。而且，所述信息追加部，在将所述资源访问信息追加到所述信息保持部的情况 下，对所述追加的资源访问信息中含有的程序信息所表示的程序，通知许可向对应的资 源的访问。通过采用这样的构成，在将资源访问信息追加到许可信息保持部的情况下，由 于与向信息保持部追加的资源访问信息对应的程序，能够接收到许可向资源访问的通 知，所以接收到通知的程序能够进行与可以向资源访问对应的处理。另外，所述资源访问信息是，在所述资源信息和所述程序信息的基础上，与表 示程序对资源访问的方式表示许可来自其他程序的访问的共享方式、或不许可来自其他 程序的访问的独占方式中任意一个访问方式的方式信息建立对应的信息，所述信息改写 部，仅在进一步满足与所述第1资源对应的方式信息和与所述第2资源对应的方式信息中 至少一个方式信息表示所述独占方式这一条件的情况下，执行从所述信息保持部删除所 述第1资源访问信息、和向所述信息保持部追加所述第2资源访问信息。通过采用这样的构成，由于可以根据对资源访问的方式来控制向资源的访问， 所以可实现效率良好的资源利用。而且，所述信息追加部，在从所述信息保持部删除了资源访问信息的情况下， 当所述待机信息保持部保持所述能够许可资源访问信息时，或者当所述待机信息保持部 保持的资源访问信息中，存在方式信息表示所述共享方式，对应的资源不含有所述信息 保持部保持的资源访问信息中、与方式信息表示所述独占方式的资源访问信息对应的资 源的能够许可共享资源访问信息时，将所述能够许可资源访问信息及所述能够许可共享资源访问信息中、针对对应的所述程序信息所表示的程序预先设定的优先级最高的资源 访问信息，从所述待机信息保持部删除，并追加到所述信息保持部中。通过采用这样的构成，能够根据待机信息保持部保持的资源访问信息的访问方 式，来决定对信息保持部追加的资源访问信息。而且，具备策略保持部，该策略保持部接收特定的程序、特定的资源、特定的 优先级、及它们的组合被认证为正当的证书，保持将表示所述特定的资源的正当资源信 息、表示所述特定的程序的正当程序信息和表示所述特定的优先级的正当优先级信息建 立了对应的信息即策略信息，所述请求受理部在来自程序的资源利用请求不满足来自所 述策略保持部保持的策略信息中包含的正当程序信息所表示的程序的、对应的正当资源 信息所表示的资源的利用请求这一条件的情况下，拒绝来自程序的资源的利用请求的受 理，针对所述第1程序预先设定的优先级是指，所述策略保持部保持的所述策略信息的 所述第1程序访问所述第1资源时的所述优先级信息所表示的优先级，针对所述第2程序 预先设定的优先级是指，所述策略保持部保持的所述策略信息的所述第2程序访问所述 第2资源时的所述优先级信息所表示的优先级。通过采用这样的构成，能够实现未被证书认证的非法程序对资源的利用得不到 认可的访问控制装置。而且，所述请求受理部只在所述信息保持部中追加了所述资源访问信息的情况 下，向该被追加的资源访问信息中含有的程序信息所表示的程序，提供向对应的资源的 访问所使用的逻辑地址。通过采用这样的构成，由于程序被提供向对应的资源访问所使用的逻辑地址， 所以能够利用逻辑地址实现向对应的资源的访问。另外，所述访问许可部只对来自所述信息保持部保持的资源访问信息中含有的 程序信息所表示的程序的访问，在解码与程序中的存储器的读写有关的指令时，进行是 否许可向对应的资源的访问的判定，在为否定的判定的情况下，执行错误处理。通过采用这样的构成，由于以解码与存储器的读写相关的指令的定时，进行是 否许可向资源访问的判断，并在不许可访问的情况下，执行错误处理，所以例如在判断 为不许可向资源访问的情况下，可以进行产生中断、使OS结束程序那样的处理。


图2是表示资源与物理地址的对应关系的图。 图1是访问控制装置的构成图。 图3是表示策略保持部所保持的策略信息的图。 图4是表示策略保持部所保持的访问限制信息的图。 图5是表示由许可信息保持部保持的资源访问信息的图。 图6是表示由待机信息保持部保持的资源访问信息的图。 图7是有来自程序的资源利用请求时的流程图之一。 图8是有来自程序的资源利用请求时的流程图之二。 图9是资源访问程序结束时的流程图。 图10是许可信息保持部被更新时的流程图。
图11是将逻辑地址转换成物理地址时的流程图。图12是更新策略信息时的流程图。图13是表示变形例中的策略保持部所保持的策略信息的图。图14是表示变形例中的策略保持部所保持的访问限制信息的图。图15是表示变形例中的发生的物理地址重复时的图之一。图16是表示变形例中的发生的物理地址重复时的图之二。图17是变形例中的有来自程序的资源利用请求时的流程图之一。图18是变形例中的有来自程序的资源利用请求时的流程图之二。图中100-访问控制装置，101-程序组，102-资源，103-认证机构(Certificate Authority), 111-请求受理部，112-策略(policy)保持部，113-许可信息保持部，114-待 机信息保持部，115-许可信息改写部，116-许可信息追加部，117-访问许可部，118-地 址表转换部，121-保护存储器，122-共用存储器，123-加密引擎。
具体实施例方式<实施方式>下面，作为本发明涉及的访问控制装置的一个实施方式，说明对从多个程序的 每一个向资源的访问进行控制的访问控制装置。< 构成 >本实施方式涉及的访问控制装置是只受理被认证机构认证了正当性的应用程序 的资源的利用请求，并根据与进行了受理的应用程序的资源利用相关的优先级等，排他 性地控制应用程序对资源的访问的访问控制装置。下面，参照附图，对本实施方式涉及的访问控制装置的构成进行说明。图1是表示本实施方式涉及的包括访问控制装置100、程序组101、资源102、认 证机构103的资源访问系统1000的结构的构成图。访问控制装置100是由未图示的处理器、存储器、存储器控制器、计时器、硬 盘等硬件、和在该硬件上执行的OS (Operating System)实现，对从构成程序组101的多个 应用程序分别向资源102的访问进行控制的访问控制装置。这里，应用程序访问资源是指通过由处理器对构成应用程序的、从存储器读 出、向存储器写入等指令进行译解，并加以执行，来进行从资源读出数据、向资源写入 数据等。程序组101由对资源102进行访问的多个应用程序(下面，简单称为“程序”) 构成，各程序被在该OS上执行。资源102是通过对存储器控制器指定物理地址而被访问的资源，由访问控制装 置100对来自构成程序组101的程序的访问进行控制。认证机构103是认证程序访问资源的正当性的认证机构，访问控制装置100只许 可从认证机构103认证的程序访问资源。下面，利用附图，按顺序对程序组101、资源102、认证机构103及访问控制装 置100进行说明。< 程序组 101>
9
构成程序组101的程序是含有下述处理程序的程序由对资源102访问一次以上 的一系列处理构成的处理程序(下面称作“资源访问处理程序”)；和程序所包含的处理 程序中，将接收来自OS的通知而动作的处理程序各自的开始地址通知给OS的处理程序 (下面称作“OS通知处理程序”)。资源访问处理程序在对资源102访问一次以上的一系列处理开始之际，向请求 受理部111请求资源102的利用，在结束一系列处理之际，向许可信息改写部115通知资 源访问处理程序执行结束的信息。为了由程序对请求受理部111请求资源102的利用，OS具备在从程序指定并调 用资源时，使请求受理部111根据对所调用的程序进行确定的信息、确定所指定的资源 的信息、和策略保持部112保持的策略信息，开始进行生成资源访问信息的处理的资源 禾丨J 用 API (Application Program Interface)。在从程序进行调用时，该资源利用API使请求受理部111将程序利用资源时所使 用的逻辑地址空间的开始地址(下面称作“开始逻辑地址”)作为返回值，返回给所调用 的程序。在访问资源102的情况下，资源访问处理程序指定利用作为返回值而被返回的 开始逻辑地址而生成的逻辑地址，对资源102进行访问。OS还具备当为了由程序向许可信息改写部115通知资源访问处理程序的执行 结束的信息，而从程序调用时，许可信息改写部115开始进行将由许可信息保持部113保 持的、与所调用的程序对应的资源访问信息删除的处理的结束处理API;和当为了由程 序向OS通知处理程序的开始地址，而从程序指定并调用处理程序的开始地址时，使OS 关联存储处理程序的开始地址的地址通知API。本实施方式成为如下所述的一个实施例，即删除资源访问信息的情况，是处 于消去资源访问信息而不存在的状态的情况。< 资源 102>资源102是通过对存储器控制器指定物理地址而被访问的资源，包括保护存储 器121、共用存储器122、加密引擎123。加密引擎123是加密处理用硬件，通过将其寄存器分配作为存储器地址，以与 其他存储器同样的接口，进行对寄存器的读出、写入等操作。图2是表示构成资源102的保护存储器121、共用存储器122、加密引擎123所 被分配的物理地址的图。保护存储器121是物理地址的开始地址为0x00010000、尺寸为0x010000的存储 器，其被分配的物理地址为0x00010000 OxOOOlFFFF。同样，共用存储器122是被分配的物理地址为0X000B0000 OxOOOBFFFF的存 储器，加密引擎123是被分配的物理地址为0xE0004000 0xE0005FFFF的加密处理用硬件。<认证机构103>认证机构103是在接收到表示程序的信息、该程序所访问的资源的信息、该程 序对资源访问时的优先级的信息、和该程序访问资源时的访问方式的信息时，对特定的 程序以特定的优先级按特定的访问方式对特定的资源访问实施认证，并发放对获得认证进行证明的证书的证书发行系统。认证机构103在特定的程序对特定的资源以特定的优先级按特定的访问方式进 行访问发生不妥的情况下，生成将与特定的程序、特定的资源、特定的优先级和特定的 访问方式的信息建立对应的信息、即策略信息，并使用按每个优先级而不同的密钥对生 成的策略信息进行加密，由此作为证书进行发放。<访问控制装置100>访问控制装置100是只受理来自被认证机构103认证了正当性的程序的资源102 的利用请求，根据与受理了的程序的资源利用相关的优先级等，控制程序对资源102的 访问的访问控制装置，包括请求受理部111、策略保持部112、许可信息保持部113、待 机信息保持部114、许可信息改写部115、许可信息追加部116、和含有地址转换表118的 访问许可部117。下面，利用附图，按顺序对构成访问控制装置100的各块进行说明。<策略保持部112>策略保持部112保持访问限制信息(后述)，是使用与密钥对应的公钥将认证机 构103发放的证书解密成策略信息、只在至少解密后的策略信息的内容是满足不违反访 问限制信息的限制这一条件的策略信息时、保持该策略信息的块。而且，策略保持部112具备未图示的显示器，当解密证书时，在保持了解密后 的策略信息的情况下，显示表示登记成功的讯息，在没有保持解密后的策略信息的情况 下，显示表示登记失败的讯息。图3是表示策略保持部112所保持的策略信息的图。策略信息是表示允许或不允许由程序ID (IDentification) 302确定的程序以优先级 303所表示的优先级，对保护存储器121、共用存储器122、或加密引擎123，以独占方 式、或共享方式中的任意一种方式进行访问的信息。这里，进行访问的方式为独占方式是指程序对资源进行访问时的方式是不允 许其他程序对资源访问的排他访问方式，共享方式是指程序对资源进行访问时的方式 是允许其他程序对资源访问的非排他访问方式。例如，在图3中，策略编号301为2的策略信息表示了允许程序ID为0002的程 序以优先级2，对保护存储器121进行独占方式的访问、对共用存储器122进行共享方式 的访问、对加密引擎123进行共享方式的访问。图4是表示策略保持部112所保持的访问限制信息的图。访问限制信息是指允许或不允许具有优先级401所表示的优先级的程序，对 保护存储器121、共用存储器122或加密引擎123以独占方式、或共享方式中的任意一个 方式进行访问的信息，是预先作为策略保持部112的一部分而被写入的信息。例如，在图4中，被赋予了优先级为3的程序表示了允许对保护存储器121进行 独占访问方式的访问，对共用存储器122进行共享访问方式的访问，对加密引擎123进行 共享访问方式的访问，所以如果是优先级为3的策略信息，则策略保持部112只保持表示 程序对保护存储器121以独占访问方式进行访问、对共用存储器122以共享访问方式进行 访问、程序对加密引擎123以共享访问方式进行访问的策略信息。<请求受理部111>
11
请求受理部111是当从构成程序组101的程序进行了利用资源102的请求时，生 成使程序的信息、资源的信息、优先级的信息和访问方式的信息建立对应的信息、即资 源访问信息，并将开始逻辑地址作为返回值向程序返回的块。当从程序进行了利用资源102的请求时，请求受理部111在由策略保持部112保 持的策略信息中，检索是否有与发出了请求的程序对应的策略信息，在有与发出了请求 的程序对应的策略信息的情况下，只有不存在与许可信息保持部113对应的资源访问信 息时，参照对应的策略信息的、程序的信息、资源的信息、优先级的信息和访问方式的 信息，生成资源访问信息，当从许可信息改写部115或许可信息追加部116通知了开始逻 辑地址时，作为返回值对发出了请求的程序返回被通知的开始逻辑地址。这里，以请求受理部111生成资源访问信息作为请求受理部111受理了来自程序 的对资源的利用请求。另外，当在策略保持部112中没有与发出了请求的程序对应的策略信息时，请 求受理部111使发出了请求的程序的执行停止。<许可信息保持部113>许可信息保持部113是将请求受理部111生成的资源访问信息中的、访问控制装 置100对程序允许了向资源102的访问的资源访问信息，与开始逻辑地址对应保持的块。图5是表示许可信息保持部113与开始逻辑地址对应保持的资源访问信息的图。许可信息保持部113将使由资源名501和物理地址502确定的资源、由程序 ID506确定的程序、由优先级507指定的优先级、由访问方式508确定的访问方式建立对 应的信息、即资源访问信息，与开始逻辑地址509对应保持。这里，开始逻辑地址509只在资源访问信息首次被许可信息保持部113保持的情 况下，由许可信息改写部115或许可信息追加部116根据资源访问信息而生成。例如，在图5中，许可信息保持部113将程序ID0001的程序以优先级5、独占 方式对保护存储器121进行访问这一资源访问信息，与针对程序ID0001的程序作为开始 逻辑地址的OxAOOOO对应存储。<待机信息保持部114>待机信息保持部114是将请求受理部111生成的资源访问信息中、不允许对资源 访问的资源访问信息、即与等待对资源的访问被许可的程序对应的资源访问信息，与逻 辑开始地址、保持开始时刻对应保持的块。图6是表示待机信息保持部114将逻辑开始地址、保持开始时刻对应保持的资源 访问信息的图。待机信息保持部114将使由资源名601和物理地址602确定的资源、由程序 ID606确定的程序、由优先级607指定的优先级、由访问方式608确定的访问方式对应的 信息、即资源访问信息，与开始逻辑地址609、和对保持了该资源访问信息的时刻进行表 示的保持开始时刻610对应保持。如上所述，由于开始逻辑地址609只对由许可信息保持部113保持的资源访问信 息提供，所以对于未被许可信息保持部113保持的资源访问信息，不存在应该对应的开 始逻辑地址。例如，在图6中，待机信息保持部114在保护存储器121的等待时隙(slot)编号
12为2的时隙中，将程序ID0009的程序以优先级4、独占方式访问保护存储器121这一资 源访问信息、对程序ID0009的程序提供了 0x90000作为开始逻辑地址这一信息、和保持 了该资源访问信息的时刻为2009年4月4日21时00分01秒33这一信息对应存储。<许可信息改写部115>许可信息改写部115是具备下述功能的块在请求受理部111生成了资源访问信 息的情况下，将生成的资源访问信息追加给许可信息保持部113或待机信息保持部114中 任意一方的功能；以及当从与许可信息保持部113所保持的资源访问信息对应的程序， 通知了资源访问处理程序的执行结束时，将该资源访问信息从许可信息保持部113删除 的功能。这里，在请求受理部111生成的资源访问信息，是访问控制装置100允许从程序 对资源的访问的资源访问信息时，将资源访问信息追加给许可信息保持部113，在是不允 许的资源访问信息时，将资源访问信息追加给待机信息保持部114。下面，将许可信息改写部115的功能分成几种情况进行说明。许可信息改写部115在对许可信息保持部113追加资源访问信息的情况下，1)根 据资源访问信息，生成开始逻辑地址、和用于将逻辑地址转换成物理地址的信息(下面 称为“地址转换信息”)；2)使资源访问信息与生成的开始逻辑地址对应，追加给许可 信息保持部113; 3)使生成的地址转换信息与表示程序的信息对应，作为地址转换表构 成要素，将生成的地址转换表构成要素追加到访问许可部117保持的地址转换表118中； 4)将生成的逻辑开始地址通知给请求受理部111 ； 5)针对与资源访问信息对应的程序， 通知表示允许向对应的资源访问的许可信息。当许可信息改写部115对程序通知了许可信息时，程序开始资源访问处理程序 的执行。许可信息改写部115在想要将请求受理部111生成的资源访问信息追加给许可信 息保持部113的情况下，当与生成的资源访问信息所表示的资源一致的资源，存在于许 可信息保持部113已经保持的资源访问信息所表示的资源之中时，将表示一致的资源的 由许可信息保持部113保持的资源访问信息从许可信息保持部113中删除，并追加到待机 信息保持部114中。在删除由许可信息保持部113保持的资源访问信息的情况下，许可信息改写部 115针对对应的程序通知表示向对应的资源的访问的许可被取消的删除信息，从访问许可 部117的地址转换表118中删除对应的地址转换表构成要素。当许可信息改写部115对程序通知了删除信息时，程序进行用于结束程序的后 处理，从而结束程序。<许可信息追加部116>许可信息追加部116是具备在许可信息保持部113所保持的资源访问信息被更新 的情况下，将由待机信息保持部114保持的资源访问信息追加给许可信息保持部113的功 能的块。下面，将许可信息追加部116的功能分为几种情况进行说明。在许可信息保持部113所保持的资源访问信息被更新的情况下，当在由待机信 息保持部114保持的资源访问信息中，存在表示能够向许可信息保持部113追加的资源的
13资源访问信息(以下称为“对应资源访问信息”)时，许可信息追加部116从对应资源访 问信息中选择应该由许可信息保持部113保持的资源访问信息(以下称为“追加资源访问 信息”)，并将所选择的追加资源访问信息从待机信息保持部114中删除，追加到许可信 息保持部113中。这里，能够向许可信息保持部113追加的资源是指下述资源中的任意一个资 源，即1)访问方式为独占方式、不包含许可信息保持部113所保持的所有资源访问信 息所表示的资源的资源；或者2)访问方式为共享方式，不包含许可信息保持部113保持 的资源访问信息所表示的资源中访问方式为独占方式的资源的资源。对于追加资源访问信息的选择条件，将在后面详细说明。许可信息追加部116在对许可信息保持部113追加资源访问信息的情况下，当与 所追加的资源访问信息对应的开始逻辑地址，在待机信息保持部114中没有保持时，1) 根据资源访问信息，生成开始逻辑地址、和地址转换信息，2)使资源访问信息与生成的 开始逻辑地址对应，追加到许可信息保持部113中，3)使生成的地址转换信息与表示程 序的信息对应，作为地址转换表构成要素，将生成的地址转换表构成要素追加到访问许 可部117保持的地址转换表118中，4)将生成的逻辑开始地址通知给请求受理部111，5) 针对与资源访问信息对应的程序，通知表示允许向对应的资源访问的追加信息。当许可信息追加部116对程序通知了追加信息时，程序开始资源访问处理程序 的执行。许可信息追加部116在对许可信息保持部113追加资源访问信息的情况下，当与 所追加的资源访问信息对应的开始逻辑地址，已经在待机信息保持部114中保持时，1) 根据资源访问信息，生成地址转换信息，2)使资源访问信息与开始逻辑地址对应，追加 到许可信息保持部113中，3)使生成的地址转换信息与表示程序的信息对应，作为地址 转换表构成要素，将生成的地址转换表构成要素追加到访问许可部117保持的地址转换 表118中，4)将生成的逻辑开始地址通知给请求受理部111，5)启动与资源访问信息对应 的程序。<访问许可部117>访问许可部117是在由处理器的解码器对程序中包含的与资源的读写相关的指 令进行解码时，利用地址转换表118，将与资源的读写相关的指令所指定的逻辑地址转换 成对应的物理地址，并使用转换后的物理地址，使管理对资源102的访问的存储器控制 器动作，由此进行对资源的读写的块，其一部分由处理器的解码器的一部分构成。访问许可部117所保持的地址转换表118保持有多个地址转换表构成要素，所述 地址转换表构成要素为将表示程序的信息、与用于将逻辑地址转换成物理地址的信息、 即地址转换信息建立对应的信息。访问许可部117只对地址转换表118所保持的、与地址转换表构成要素对应的程 序，使用对应的地址转换信息，将逻辑地址转换成物理地址。访问许可部117在构成地址转换表118的、与地址转换表构成要素对应的程序以 外的程序进行向资源102的读写的情况下，发生异常，使OS停止该程序的执行。<动作><接收到资源的利用请求时的动作>
14
下面，利用附图，对接收到来自程序的资源利用请求时的动作进行说明。图7、8是表示从构成程序组101的程序接收到资源102的利用请求时的动作的 流程图。请求受理部111在从程序组101中的程序发出了利用资源102的请求(步骤S100) 时，检索在策略保持部112所保持的策略信息中，是否存在与发出了请求的程序对应的 策略信息(步骤S110)，当存在对应的策略信息时(步骤SllO :是)，检索在许可信息保 持部113中是否存在与发出了请求的程序对应的资源访问信息(步骤S113)，如果没有发 现对应的资源访问信息(步骤S113:是)，则生成与发出了请求的程序对应的资源访问信 息(步骤S116)，受理资源利用请求。如果请求受理部111受理了资源利用请求，则许可信息改写部115检索在许可信 息保持部113中是否保持有对与请求受理部111生成的资源访问信息(以下称为“新建资 源访问信息”)所表示的资源相同的资源(以后称为“重复资源”)进行表示的资源访问 信息(以下称为“重复资源访问信息”)(步骤S120)。许可信息改写部115在许可信息保持部113中已经保持有重复资源访问信息的情 况下(步骤S120 是)，如果新建资源访问信息所表示的程序(以下称为“新程序”)对 重复资源访问的访问方式、和重复资源访问信息所表示的程序(以下称为“重复程序”) 对重复资源访问的访问方式中至少一方的访问方式是独占方式(步骤S130:是)，则将 新程序对重复资源访问的优先级、与重复程序对重复资源访问的优先级进行比较(步骤 S140),如果新程序对重复资源访问的优先级比重复程序对重复资源访问的优先级高(步 骤S140 是)，则许可信息改写部115对重复程序通知删除信息(步骤S150)。如果许可信息改写部115对重复程序通知了删除信息，则重复程序执行前述的 后处理，将程序结束。如果从通知删除信息开始经过了规定的时间，则许可信息改写部115从许可信 息保持部113中将重复资源访问信息、和对应的开始逻辑地址删除(步骤S160)。这里所说的规定时间是指重复程序执行后处理来结束程序所必要的预先设定 的时间，这里，针对所有的程序一律设定为相同的时间，许可信息改写部115使用未图 示的计时器来计测规定的时间。如果从许可信息保持部113删除了重复资源访问信息、和对应的开始逻辑地 址，则许可信息改写部115从地址转换表118删除对应的地址转换表构成要素(步骤 S170),并将重复资源访问信息与对应的开始逻辑地址建立对应、追加到待机信息保持部 114 中(步骤 S250)。如果将重复资源访问信息追加到待机信息保持部114中，则许可信息改写部115 生成与新建访问信息对应的地址转换表构成要素，将新建资源与生成的逻辑开始地址对 应地追加到访问信息许可信息保持部113中(步骤S260)，然后向地址转换表118追加生 成的地址转换表构成要素(步骤S270)。许可信息改写部115在执行步骤S270，或者在步骤Sl 13中，请求受理部111 在许可信息保持部113发现了与发出了请求的程序对应的资源访问信息时(步骤S113 否)，将与发出了请求的程序对应的开始逻辑地址通知给请求受理部111，向发出了请求 的程序通知许可信息。
请求受理部111在由许可信息改写部115通知了开始逻辑地址时，将被通知的开 始逻辑地址作为返回值，返回给发出了请求的程序(步骤S280)，将接收到资源的利用请 求时的动作结束。在程序被通知了许可信息和开始逻辑地址之后，开始资源访问处理程序。在步骤S140中，如果新程序对重复资源访问的优先级不比重复程序对重复资源 访问的优先级高(步骤S140:否)，则许可信息改写部115向待机信息保持部114追加新 建资源访问信息(步骤S180)，将接收到资源的利用请求时的动作结束。在步骤S120中，当许可信息保持部113中没有保持重复资源访问信息时(步骤 S120否)，或者在步骤S130中，新程序对重复资源访问的访问方式、与重复程序对重 复资源访问的访问方式双方都是共享方式时(步骤S130:否)，许可信息改写部115进行 上述步骤S260 步骤S280的动作，将接收到资源的利用请求时的动作结束。当在步骤SllO中没有对应的策略信息时(步骤SllO 否)，请求受理部111使 程序的执行停止(步骤S200)，将接收到资源的利用请求时的动作结束。<资源访问处理程序结束时的动作>下面，利用附图，对资源访问处理程序结束时的动作进行说明。图9是表示资源访问处理程序结束时的动作的流程图。程序在资源访问处理程序结束时，向许可信息改写部115通知执行结束的信息 (步骤 S300)。许可信息改写部115在从程序被通知了执行结束的信息时，从许可信息保持部 113删除资源访问信息、和对应的开始逻辑地址(步骤S310)，并从地址转换表118删除 对应的地址转换表构成要素(步骤S320)，然后将资源访问处理程序结束时的动作结束。<许可信息保持部113被更新时的动作>下面，利用附图，对许可信息保持部113所保持的内容被更新时的动作进行说 明。图10是表示在接收到了来自程序的资源利用请求的情况、或执行中的程序结束 的情况等，许可信息保持部113所保持的信息被更新时的动作的流程图。如果许可信息保持部113所保持的信息被更新(步骤S400)，则在待机信息保持 部114所保持的资源访问信息中，存在能够向许可信息保持部113追加的资源的情况(步 骤S410:是)下，如果对应的资源访问信息为多个(步骤S420:是)，则许可信息追加 部116将对应的资源访问信息所对应的优先级进行比较(步骤S430)。在比较优先级的结果是优先级最高的资源访问信息有多个的情况下(步骤 S430是)，许可信息追加部116将待机信息保持部114中保持的时刻最早的资源访问信 息，选择作为追加资源访问信息(步骤S440)，在优先级最高的资源访问信息为一个的情 况下(步骤S430:否)，将该优先级最高的资源访问信息选择作为追加资源访问信息(步 骤S450)，而且在步骤S420中，当对应的资源访问信息是一个时(步骤S420 否)，将 对应的资源访问信息选择作为追加资源访问信息。如果在许可信息追加部116选择追加资源访问信息的情况下，对应的开始逻辑 地址已经由待机信息保持部114保持，则1)使追加资源访问信息与开始逻辑地址对应地 追加到许可信息保持部113中(步骤S470)，2)生成地址转换表构成要素，将生成的地址转换表构成要素追加到地址转换表118中(步骤S480)，向请求受理部111通知逻辑开始 地址，3)从待机信息保持部114中删除追加资源访问信息、对应的开始逻辑地址和保持 开始时刻，4)启动与追加资源访问信息对应的程序。另外，如果在许可信息追加部116选择追加资源访问信息的情况下，待机信息 保持部114中没有保持对应的开始逻辑地址，则1)生成开始逻辑地址，将追加资源访问 信息与开始逻辑地址对应地追加到许可信息保持部113中(步骤S470)，2)生成地址转换 表构成要素，将生成的地址转换表构成要素追加到地址转换表118中(步骤S480)，向请 求受理部111通知逻辑开始地址，3)从待机信息保持部114中删除追加资源访问信息、 对应的开始逻辑地址和保持开始时刻，4)向与追加资源访问信息对应的程序通知许可信 肩、ο请求受理部111在被通知了开始逻辑地址之后，将被通知的开始逻辑地址作为 返回值，返回到对应的程序(步骤S490)。对于将逻辑地址转换成物理地址的动作，将在后面详细说明。如果请求受理部111将开始逻辑地址通知给与追加资源访问信息对应的程序(步 骤S490)，则再次返回到步骤S410，继续进行之后的处理。如果在步骤S410中，没有许可信息追加部116能够向待机信息保持部所保持的 资源访问信息中追加的资源(步骤S410:否)，则结束许可信息保持部113被更新时的动作。<程序对资源访问的动作>下面，利用附图，说明程序对资源访问的动作。图11是表示由处理器的解码器对程序中包含的与资源的读写相关的指令进行解 码，进行对资源102的读写的流程图。当访问许可部117通过指定逻辑地址，从处理器的指令提取部接收到进行资源 102的读写的指令时(步骤S600)，访问许可部117开始解码接收到的指令。访问许可部117在开始指令的解码时，确认地址转换表118中是否存在对应的地 址转换表构成要素(步骤S610)，当存在地址转换表构成要素时(步骤S610:是)，根据 对应的地址转换信息，将逻辑地址转换成物理地址(步骤S620)，并利用转换后的物理地 址，完成接收到的指令的解码。并且，访问许可部通过利用含有物理地址的解码后的指令，使对向资源102的 访问进行管理的存储器控制器动作，来进行向资源102的读写，然后结束程序对资源访 问的动作。当在步骤S610中没有对应的地址转换表时(步骤S610 否)，访问许可部117 产生中断，通过由OS执行使程序的执行停止的处理程序，将程序的执行停止(步骤 S630),结束程序对资源访问的动作。<更新策略信息的动作>下面，利用附图，对接收来自认证机构103的证书时的动作进行说明。图12是表示从认证机构103接收证书，将策略信息登记到策略保持部112时的 动作的流程图。认证机构103在接收到的程序对特定的资源以特定的优先级、特定的访问方式
17进行访问没有不妥的情况下，认证为接收到的程序对特定的资源以特定的优先级、特定 的访问方式进行访问，并生成将得到了认证的特定的程序、特定的资源、特定的优先级 和特定的访问方式的信息建立对应的信息、即策略信息。认证机构103使用按每个优先级而不同的密钥，对生成的策略信息进行加密， 并将加密后的信息作为证书提交给程序所有者。认证机构103将与密钥对应的公钥广泛公开。程序所有者在接收到证书后，将证书输入给策略保持部112。利用访问控制装置100对资源102访问的程序的所有者，向认证机构103提交该 程序、该程序所使用的资源、使用该资源时的优先级、和使用该资源时的访问方式。如果认证机构103认证了特定的程序对特定的资源以特定的优先级、特定的访 问方式访问的正当性，则生成策略信息，对生成的策略信息使用与每个优先级对应的密 钥进行加密，由此生成证书。这里使用的与密钥对应的公钥被预先广泛公开。策略保持部112预先保持有与认证机构生成证书时所使用的密钥对应的公钥(步 骤 S700)。想要将由认证机构103生成的策略信息登记到策略保持部112的程序的所有者， 将认证机构103发放的证书输入给策略保持部112，策略保持部112在被输入证书之后 (步骤S710)，使用与优先级0 5这6种优先级分别对应的6个公钥，确认能够正确译 解证书(步骤S720)。这里，OS具备当指定并调用证书时，策略保持部112开始对指定的证书进行解 读处理的证书输入API，通过在OS上执行由程序的所有者调用证书输入API的程序，程 序的所有者将证书输入给策略保持部112。策略保持部112在利用6个公钥中任意一个公钥正确解读了证书时(步骤S720 是)，如果1)通过解读而获得的策略信息的优先级、和与解读所使用的公钥对应的优先 级一致，2)通过解读而得到的策略信息中的、优先级、资源与访问条件的组合，不违 反策略保持部112所保持的访问限制信息的限制，则判断为登记请求内容是正当的请求 (步骤S730 是)，将通过解读而获得的策略信息追加保持到策略保持部112中(步骤 S740),并在显示器上显示登记结束的讯息(步骤S750)，结束对策略信息进行更新的动 作。在步骤S720中，当策略保持部112利用6个公钥中任意一个公钥无法正确解读 证书(步骤S720:否)时，或者在步骤S730中，策略保持部112判断为登记内容不是正 当的请求时(步骤S730:否)，策略保持部112不会新追加保持策略信息，使显示器显示 登记失败的讯息(步骤S760)，结束对策略信息进行更新的动作。<变形例>在实施方式中，对资源102以保护存储器121、共用存储器122和加密引擎123 这3个单位加以区别的例子进行了说明，但在变形例中，资源102被区分成物理地址的范 围被任意指定的区域，成为以被任意区分的区域的单位而被使用的资源的例子。下面针对变形例，以与实施方式的不同点为中心进行说明。<变形例中的策略信息、资源访问信息和访问限制信息>
图13是变形例中的策略保持部112所保持的策略信息。策略保持部112保持如下所述的策略信息，该策略信息是表示由程序ID1302确 定的程序以优先级1303所表示的优先级，对由资源的地址1304指定的区域的资源，能够 以访问方式1307所表示的访问方式进行访问的信息。与实施方式中的策略信息的不同点在于在实施方式的策略信息中，资源是保 护存储器121、共用存储器122和加密引擎123这3个资源，但在变形例的策略信息中， 资源成为由物理地址指定的任意区域的资源；以及在实施方式的策略信息中，对资源的 访问方式是使访问方式与保护存储器121、共用存储器122和加密引擎123这3个资源分 别对应，但在变形例的策略信息中，使由物理地址指定的任意区域的一个资源与对应的 一个访问方式建立对应。资源访问信息是参照策略保持部所保持的策略信息，由请求受理部111生成的 信息，与策略信息的情况同样，在实施方式的资源访问信息中，资源是保护存储器121、 共用存储器122和加密引擎123这3个资源，但在变形例的策略信息中，资源成为由物理 地址指定的任意区域的资源。而且，同样在实施方式的资源访问信息中，对资源的访问方式是使访问方式与 保护存储器121、共用存储器122和加密引擎123这3个资源分别对应，但在变形例的资 源访问信息中，使由物理地址指定的任意区域的一个资源与对应的一个访问方式建立对应。图14是变形例中的策略保持部112所保持的访问限制信息。如图14所示，访问限制信息是根据由优先级1401表示的优先级，表示了对应的 程序进行对资源的访问时的限制的信息。在实施方式中，作为资源，有保护存储器121、共用存储器122和加密引擎123 这3个资源，但变形例中的访问限制信息只成为一个资源。<变形例中的资源的重复>在实施方式中，作为与多个程序对应的资源重复的情况，只有与多个程序对应 的资源是相同资源的情况，但在变形例中，产生多个程序想要访问的资源以各种形态重 复的情况。这里，对于变形例中的资源发生重复的情况，将资源发生重复的形态分成如下 所述的两个模式，并利用附图进行说明，所述两个模式是指将存在对包含所有与多个 程序对应的区域的资源的资源利用请求的形态设为模式1、将存在对包含与程序对应的区 域的资源的一部分区域的资源的资源利用请求的形态设为模式2。图15是在变形例中，针对资源的重复在模式1的形态下发生的情况，示意表示 各程序所使用的资源的区域关系的图。这里，以在程序A、程序B和程序C是使用资源而处于执行中的程序的情况下， 当程序A所使用的资源是物理地址空间1500上的、0000_1000h 0000_llFFh的区域的 资源，程序B所使用的资源是0000_1200h 0000_13FFh的区域的资源，程序C所使用的 资源是000_1400h 0000_15FFh的区域的资源时，从程序D新接收到利用0000_1000h 0000_15FFh的区域的资源的情况为例，将资源的重复以模式1的形态发生的情况分几种 情形进行说明。
19
1)程序D对资源访问的访问方式是独占方式的情况。在程序D的优先级比程序A的优先级、程序B的优先级和程序C的优先级都高 的情况下，由许可信息改写部115将与程序D对应的资源访问信息追加到许可信息保持 部113中，并从许可信息保持部113中删除与程序A、程序B和程序C对应的资源访问 信息，将其追加到待机信息保持部114中。在程序D的优先级与程序A的优先级、程序B的优先级和程序C的优先级相 比，都不高的情况下，由许可信息改写部115将与程序D对应的资源访问信息追加到待机 信息保持部114中。在程序D的优先级不高于程序A的优先级、且比程序B的优先级、程序C的优 先级高的情况下(例如，程序A的优先级>程序D的优先级>程序B的优先级>程序C 的优先级)，当由许可信息改写部115删除了程序A的资源访问信息时，与程序B和程序 C对应的资源访问信息被从许可信息保持部113删除、追加到待机信息保持部114中，并 且，与程序D对应的资源访问信息被追加到许可信息保持部113中。2)程序D对资源访问的访问方式是共享方式的情况。2-1)程序A、程序B、程序C对资源访问的方式全都是独占方式的情况。在程序D的优先级比程序A的优先级、程序B的优先级和程序C的优先级都高 的情况下，由许可信息改写部115将与程序D对应的资源访问信息追加到许可信息保持部 113中，与程序A、程序B和程序C对应的资源访问信息被从许可信息保持部113删除， 并追加到待机信息保持部114中。在程序D的优先级与程序A的优先级、程序B的优先级和程序C的优先级相 比，优先级都不高的情况下，由许可信息改写部115将与程序D对应的资源访问信息追加 到待机信息保持部114中。2-2)程序A、程序B、程序C对资源访问的方式是独占方式与共享方式混合存 在的情况。这里，以程序A与程序B对资源访问的访问方法是独占方式、程序C对资源访 问的访问方法是共享方式为例，进行说明。在程序D的优先级与对资源访问的访问方式是独占方式的所有程序(即程序A 和程序B)的优先级相比，优先级都高的情况下，由许可信息改写部115将与程序D对应 的资源访问信息追加到许可信息保持部113中，并从许可信息保持部113删除与程序A和 程序B对应的资源访问信息，将其追加到待机信息保持部114中。在程序D的优先级与对资源访问的访问方式是独占方式的所有程序(即程序A 和程序B)的优先级相比，优先级都不高的情况下，由许可信息改写部115将与程序D对 应的资源访问信息追加到待机信息保持部114中。2-3)程序A、程序B、程序C对资源访问的方法都是共享方式的情况。与程序D对应的资源访问信息被许可信息改写部115追加到许可信息保持部113 中。图16是在变形例中，针对资源的重复以模式1的形态发生的情况，示意表示各 程序所使用的资源的区域关系的图。这里，以在程序A和程序B是使用资源而处于执行中的程序的情况下，当程序
20A所使用的资源是物理地址空间1500上的、0000_1000h 0000_llFFh的区域的资源， 程序B所使用的资源是0000_1200h 0000_13FFh的区域的资源时，从程序C新接收到 利用0000_1100h 0000_12FFh的区域的资源的情况为例，将资源的重复以模式2的形态 发生的情况分为几种情形进行说明。3)程序C对资源访问的访问方式是独占方式的情况。在程序C的优先级与程序A的优先级和程序B的优先级双方相比，优先级都高 的情况下，由许可信息改写部115将与程序C对应的资源访问信息追加到许可信息保持部 113中，并将与程序A和程序B对应的资源访问信息从许可信息保持部113删除，追加到 待机信息保持部114中。在程序C的优先级与程序A的优先级和程序B的优先级双方相比，优先级都不 高的情况下，由许可信息改写部115将与程序C对应的资源访问信息追加到待机信息保持 部114中。4)程序C对资源访问的访问方式是共享方式的情况。4-1)程序A、程序B对资源访问的方式都是独占方式的情况。在程序C的优先级与程序A的优先级和程序B的优先级双方相比，优先级都高 的情况下，由许可信息改写部115将与程序C对应的资源访问信息追加到许可信息保持部 113中，并将与程序A和程序B对应的资源访问信息从许可信息保持部113删除，追加到 待机信息保持部114中。在程序C的优先级与程序A的优先级和程序B的优先级双方相比，优先级都不 高的情况下，由许可信息改写部115将与程序C对应的资源访问信息追加到待机信息保持 部114中。4-2)程序A、程序B对资源访问的方式是独占方式与共享方式混合存在的情 况。这里，以程序A对资源访问的访问方法是独占方式、程序B对资源访问的访问 方法是共享方式为例，进行说明。在程序C的优先级与对资源访问的访问方式为独占方式的程序A的优先级相 比，其优先级高的情况下，由许可信息改写部115将与程序C对应的资源访问信息追加到 许可信息保持部113中，并将与程序A对应的资源访问信息从许可信息保持部113删除， 追加到待机信息保持部114中。在程序C的优先级与对资源访问的访问方式为独占方式的程序A的优先级相 比，其优先级不高的情况下，由许可信息改写部115将与程序C对应的资源访问信息追加 到待机信息保持部114中。4-3)程序A、程序B对资源访问的方法都是共享方式的情况。与程序C对应的资源访问信息被许可信息改写部115追加到许可信息保持部113 中。<变形例中的接收到资源的利用请求时的动作>下面，利用附图，对变形例中的接收到来自程序的资源利用请求时的动作进行 说明。图17、18是表示从构成程序组101的程序接收到对资源102的利用请求时的动作的流程图。请求受理部111在从程序组101中的程序接收到利用资源102的请求后(步骤 S800),检索在策略保持部112所保持的策略信息中是否有与发出了请求的程序对应的策 略信息(步骤S810)，在有对应的策略信息的情况下(步骤S810:是)，检索在许可信息 保持部113中是否有与发出了请求的程序对应的资源访问信息(步骤S813)，如果没有发 现对应的资源访问信息(步骤S813:是)，则生成与发出了请求的程序对应的资源访问信 息(步骤S816)，受理资源利用请求。如果请求受理部111受理了资源利用请求，则许可信息改写部115检索在许可 信息保持部113中是否已经保持有资源访问信息(重复资源访问信息)，该资源访问信息 (重复资源访问信息)表示至少一部分中含有请求受理部111生成的资源访问信息(新建 资源访问信息)所表示的区域的资源的区域资源(重复资源)(步骤S820)。许可信息改写部115在重复资源访问信息已经被保持于许可信息保持部113的情 况下(步骤S820 是)，当从新建资源访问信息所表示的程序(以下称为“新程序”)访 问对应的资源的访问方式是共享方式时(步骤S830:是)，如果重复资源访问信息所表示 的程序(以下称为“重复程序”)访问重复资源的访问方式中、至少一个访问方式为独占 方式(步骤S840:是)，则将新程序访问重复资源的优先级、与重复程序中访问资源的访 问方式为独占方式的程序(以下称为“重复独占程序”)访问重复资源的优先级(以下称 为“重复独占优先级”)进行比较(步骤S850)，如果新程序访问重复资源的优先级比所 有的重复独占优先级高(步骤S850:是)，则许可信息改写部115对所有的重复独占程序 通知删除信息(步骤S860)。另外，当在步骤S830中，从新程序访问对应的资源的访问方式为独占方式时 (步骤S830:否)，将新程序访问重复资源的优先级与重复程序访问重复资源的优先级进 行比较(步骤S845)，如果新程序对重复资源访问的优先级比所有的重复程序访问重复资 源的优先级高(步骤S845:是)，则许可信息改写部115对所有的重复程序通知删除信息 (步骤 S860)。被通知了删除信息的重复独占程序或者重复程序(以下称为“对应程序”)在被 通知删除信息后，执行前述的后处理，结束程序。在通知了删除信息后经过规定的时间时，许可信息改写部115从许可信息保持 部113删除所有的与对应程序对应的资源访问信息(以下称为“对应资源访问信息”)、 和对应的开始逻辑地址(步骤S870)，然后从地址转换表118删除对应的所有地址转换表 构成要素(步骤S950)，并使所有的对应资源访问信息与对应的开始逻辑地址建立对应， 追加到待机信息保持部114中(步骤S960)。在将所有的对应资源访问信息追加到待机信息保持部114时，许可信息改写部 115生成与新建访问信息对应的地址转换表构成要素，并将新建资源访问信息与生成的逻 辑开始地址对应地追加到许可信息保持部113中(步骤S970)，然后向地址转换表118追 加生成的地址转换表构成要素(步骤S980)。如果执行步骤S980，或者在步骤S813中，请求受理部111在许可信息保持部 113中发现了与发出了请求的程序对应的资源访问信息(步骤S813:否)，则许可信息改 写部115将与发出了请求的程序对应的开始逻辑地址通知给请求受理部111，并向发出了请求的程序通知许可信息。请求受理部111在从许可信息改写部115被通知开始逻辑地址后，将被通知的开 始逻辑地址作为返回值，返回给发出了请求的程序(步骤S990)，将接收到资源的利用请 求时的动作结束。程序在被通知了许可信息和开始逻辑地址后，开始资源访问处理程序。如果对新程序通知了许可通知信号，则许可信息改写部115根据新建资源访问 信息，生成地址转换表构成要素和开始逻辑地址，并将新建资源访问信息与生成的开始 逻辑地址对应追加到许可信息保持部113中(步骤S970)，然后向地址转换表118中追加 生成的地址转换表构成要素(步骤S980)，并将生成的开始逻辑地址通知给请求受理部 111。请求受理部111在被通知开始逻辑地址之后，将被通知的开始逻辑地址作为返 回值返回给新程序(步骤S990)，然后结束接收到资源的利用请求时的动作。如果在步骤S845中，新程序访问重复资源的优先级比所有的重复程序访问重复 资源的优先级高(步骤S845:否)，或者如果在步骤S850中，新程序访问重复资源的优 先级比所有的重复独占优先级高(步骤S850:否)，则许可信息改写部115将新建资源访 问信息追加到待机信息保持部114中(步骤S880)，并结束接收到资源的利用请求时的动 作。当在步骤S820中，许可信息保持部113中没有保持重复资源访问信息时(步骤 S820否)，或者在步骤S840中，如果重复程序访问重复资源的访问方式全是共享方式 (步骤S840 否)，则许可信息改写部115对新程序通知许可通知信号，进行上述步骤 S970 步骤S990的处理，结束接收到资源的利用请求时的动作。当在步骤S810中没有对应的策略信息时(步骤S810 否)，请求受理部111使 程序的执行停止(步骤S900)，结束接收到资源的利用请求时的动作。< 补充 >以上，作为本发明涉及的访问控制装置的一个实施方式，说明了对从多个程序 分别向资源的访问进行控制的访问控制装置、和作为其变形例的访问控制装置，但还能 够进一步如下述那样进行变形，本发明当然不限定于上述的实施方式中所展示的访问控 制装置。(1)在实施方式中，作为保持资源访问信息的块，说明了使用许可信息保持部 113和待机信息保持部114这2个块的情况，但例如也可以只通过被称为信息保持部的一 个块来保持资源访问信息。此时，例如当资源访问信息是在实施方式中由许可信息保持部113保持的资源 访问信息时，在是待机信息保持部114所保持的资源访问信息的情况下，预先准备成为0 的许可信息标志(flag)，在由信息保持部保持资源访问信息的情况下，将资源访问信息和 该许可信息标志对应保持。即使保持资源访问信息的块是1个，由于通过参照与资源访问信息对应的许可 信息标志，也能够区分是实施方式中的应该由许可信息保持部113保持的资源访问信 息、还是实施方式中的应该由待机信息保持部114保持的资源访问信息，所以能够进行 与实施方式同样的动作。
23
通过采用这样的构成，在实施方式中，取代了在许可信息保持部113与待机信 息保持部114之间进行资源访问信息的删除、追加，而能够只通过变更许可信息标志的 值，便实现同样的动作。(2)在实施方式中，对于资源访问信息而言，如果从程序发出了利用资源的请 求，则请求受理部111参照与发出了请求的程序对应的策略信息的、程序的信息、资源 的信息、优先级的信息和访问方式的信息，生成资源访问信息，但也可以参照程序的信 息、资源的信息、优先级的信息和访问方式的信息这样的信息中、一部分的信息或者所 有的信息的策略信息以外的信息，生成资源访问信息。例如，在程序对请求受理部111发出利用资源的请求时，可以指定并请求包含 程序的信息、资源的信息、优先级的信息和访问信息的数据，请求受理部111根据该被 指定的数据，参照程序的信息、资源的信息、优先级的信息和访问信息，生成资源访问 fn息ο这里，仅在该被指定的数据满足了策略保持部112所保持的访问限制信息的情 况下，生成资源访问信息；或者仅在满足了策略保持部112所保持的策略信息的情况 下，生成资源访问信息。通过采用这样的构成，请求受理部111能够每当从程序请求了资源的利用时都 生成资源访问信息，即使在生成与同一程序对应的资源访问信息的情况下，也能够生成 对应于状况而不同的资源访问信息。(3)在实施方式中，说明了策略保持部112的访问限制信息在对资源进行访问时 被允许的访问方式、以及策略信息在对资源进行访问时被允许的访问方式是可以独占访 问和可以共享访问中的任意一个方式的例子，但也可以包含除此以外的方式，例如，表 示允许以独占访问和共享访问等多个访问方式进行访问的可以多种方式访问的方式。通过采用这样的构成，在请求受理部111能够每当从程序请求了资源的利用时 都能生成资源访问信息的情况下，即使在生成与同一程序对应的资源访问信息的情况 下，也可以根据状况，生成不同的访问方式的资源访问信息。(4)在实施方式中，认证机构103通过以每个优先级不同的密钥对生成的策略信 息进行加密，来生成证书，但也可以通过除此以外的方法生成证书。例如，可以与优先级无关地以公共的密钥进行加密，也可以通过不使用密钥的 方法进行加密，还可以不进行加密直接作为证书。对于加密的方法，可以兼顾该加密被译解的风险、和与加密相伴的成本，优选 采用被认为最佳的方法。(5)在实施方式中，请求受理部111在从程序发出了利用资源102的请求的情况 下，当与发出了请求的程序对应的策略信息在策略保持部112中不存在时，使程序的执 行停止，但也可以不使程序的执行停止。对于程序而言，即使没有从请求受理部111停止程序的执行，也无法通过访问 许可部117对资源进行访问，所以如果没有特意使程序的执行停止的积极理由，则专门 使程序停止的必要性低，因此例如在没有使程序的执行停止的理由的系统中，不使程序 的执行停止的作法也没有问题。(6)许可信息改写部115在将资源访问信息向许可信息保持部113追加的情况
24下，对与资源访问信息对应的程序通知许可信息，但也可以是不通知许可信息的构成。例如，如果程序是即使未被通知许可信息、在被追加与地址转换表118对应的 地址转换表构成要素时、也开始对资源的访问那样的程序，则不需要通知许可信息。(7)许可信息改写部115在将资源访问信息从许可信息保持部113删除的情况 下，向与资源访问信息对应的程序通知了删除信息，但也可以是不通知删除信息的构 成。许可信息改写部115不向程序通知删除信息，因此，即便是不执行中断处理地 使访问处理程序停止的构成，例如如果是在重新开始停止了的访问处理程序的情况下， 从最初执行访问处理程序这一构成，则也不需要通知删除信息。(8)在将资源访问处理程序结束时，程序向许可信息改写部115通知执行结束的 信息，但即便是不向许可信息改写部115通知执行结束的信息的构成，例如若OS在资源 访问处理程序结束时，能够得知资源访问处理程序结束的信息，则也可以采用OS对许可 信息改写部115通知资源访问处理程序结束的构成。(9)访问限制信息是预先作为策略保持部112的一部分而被组入的信息，但也可 以采用除此以外的构成，例如通过将策略保持部112所保持的访问控制信息，由外部的 用户能够改写的非易失性存储器等存储等构成，由此可以成为能够由用户设定访问限制 信息的构成。通过采用这样的构成，即使在访问限制信息产生了不良情况的情况下，也能够 由用户更新访问限制信息。(10)开始逻辑地址由许可信息改写部115或者许可信息追加部116根据资源访问 信息生成，但也可以采用除此以外的构成，例如策略信息是在程序、优先级、资源和访 问方法的基础上，与开始逻辑地址建立对应的信息，通过许可信息改写部115或者许可 信息追加部116参照该策略保持部112所保持的策略信息，生成逻辑开始地址。(11)另外，构成程序组101的程序在被通知删除信息后，进行用于将程序结束 的后处理，使程序结束，但也可以进行使在停止时刻资源访问程序所使用的寄存器的信 息等退避到存储器或硬盘等中这一退避处理，以便能够停止执行中的资源访问程序，重 新开始停止了的资源访问处理程序。并且，在许可信息追加部116对许可信息保持部113追加资源访问信息的情况 下，当与所追加的资源访问信息对应的开始逻辑地址已被待机信息保持部114保持时， 向与资源访问信息对应的程序通知再许可信息，程序在被通知了再许可信息后，读取通 过退避处理而退避到存储器或硬盘等中的信息，使停止了的资源访问处理程序重新开 始。由此，由于即使程序被通知了删除信息而使资源访问处理程序停止，在被通知 再许可信息后，也从停止了的时刻开始使资源访问处理程序重新开始，所以能够不浪费 在停止时刻之前进行的处理地执行资源访问处理程序。(12)另外，也可以将与访问控制装置相当的OS的一部分程序记录到计算机可读 取的记录介质，例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、 BD(Blu-rayDisc)>半导体存储器等中，或者经由电气通信线路、无线或有线通信线路、 以互联网为代表的网络等进行传输。
25
由此，通过将与访问控制装置相当的OS的一部分程序安装到计算机系统中，能 够作为实施方式中表示的访问控制装置发挥功能。产业上的可利用性本发明能够在计算机系统领域、使用了计算机系统的信息设备与家电设备等领 域等中广泛利用。
权利要求
1.一种访问控制装置，在发出了资源的利用请求后，控制向该资源进行访问的多个 程序对资源的访问，其特征在于，具备请求受理部，受理来自程序的利用资源的请求；信息保持部，对包含程序信息的资源访问信息进行保持；访问许可部，许可向对应的资源访问，但只限于来自所述信息保持部保持的资源访 问信息中包含的程序信息所表示的程序的访问；以及信息改写部，在所述信息保持部对包含表示第1程序的第1程序信息的第1资源访问 信息进行保持的情况下，当所述请求受理部受理了来自第2程序的利用资源的请求时， 如果对所述第2程序预先设定的优先级比对所述第1程序预先设定的优先级高，则将所述 第1资源访问信息从所述信息保持部删除，将包含表示所述第2程序的第2程序信息的第 2资源访问信息追加到所述信息保持部中。
2.根据权利要求1所述的访问控制装置，其特征在于，所述资源访问信息是将所述程序信息、与对所述程序信息表示的程序访问的资源进 行表示的资源信息建立对应的信息，所述信息改写部是，在所述信息保持部对将表示第1资源的第1资源信息与表示第1 程序的第1程序信息建立对应的第1资源访问信息加以保持的情况下，当所述请求受理部 受理了来自第2程序的对包含所述第1资源的至少一部分的资源的第2资源进行利用的请 求时，如果对所述第2程序预先设定的优先级比对所述第1程序预先设定的优先级高，则 将所述第1资源访问信息从所述信息保持部删除，将表示所述第2资源的第2资源信息与 表示所述第2程序的第2程序信息建立对应的信息、即第2资源访问信息追加到所述信息 保持部中的信息改写部。
3.根据权利要求2所述的访问控制装置，其特征在于，所述信息改写部在将所述资源访问信息从所述信息保持部删除的情况下，对删除的 资源访问信息中包含的程序信息所表示的程序，通知取消向对应的资源的访问的许可。
4.根据权利要求3所述的访问控制装置，其特征在于，还具备保持所述资源访问信息的待机信息保持部，所述信息改写部，在将所述第2资源访问信息追加到所述信息保持部中时，将所述 第1资源访问信息追加到所述待机信息保持部中，在所述信息保持部保持所述第1资源访问信息的情况下，当所述请求受理部受理了 来自所述第2程序的对含有所述第1资源的至少一部分的资源的所述第2资源进行利用的 请求时，如果对所述第2程序预先设定的优先级比对所述第1程序预先设定的优先级高， 则将所述第2资源访问信息追加到所述待机信息保持部中。
5.根据权利要求4所述的访问控制装置，其特征在于，所述信息改写部在所述请求受理部受理了来自第3程序的利用第3资源的请求的情况 下，当所述第3资源不含有所述信息保持部保持的所有资源访问信息中包含的资源信息 所表示的资源时，将表示所述第3资源的资源信息与表示所述第3程序的程序信息建立对 应的信息、即第3资源访问信息追加到所述信息保持部中，在所述信息保持部保持所述第3资源访问信息的情况下，当所述第3程序的执行结束 时，将所述第3资源访问信息从所述信息保持部删除。
6.根据权利要求5所述的访问控制装置，其特征在于，还具备信息追加部，该信息追加部，在从所述信息保持部删除了所述资源访问信息 的情况下，当在所述待机信息保持部保持的资源访问信息中，存在对应的资源信息不含 有所述信息保持部保持的所有资源访问信息中包含的资源信息所表示的资源的能够许可 资源访问信息时，将所述能够许可资源访问信息中、针对对应的程序信息所表示的程序 预先设定的优先级最高的能够许可资源访问信息，从所述待机信息保持部删除，追加到 所述信息保持部中。
7.根据权利要求6所述的访问控制装置，其特征在于，所述信息追加部，在将所述资源访问信息追加到所述信息保持部的情况下，对所述 追加的资源访问信息中含有的程序信息所表示的程序，通知许可向对应的资源的访问。
8.根据权利要求4所述的访问控制装置，其特征在于，所述资源访问信息是，在所述资源信息和所述程序信息的基础上，与表示程序对资 源访问的方式表示许可来自其他程序的访问的共享方式、或不许可来自其他程序的访问 的独占方式中任意一个访问方式的方式信息建立对应的信息，所述信息改写部，仅在进一步满足与所述第1资源对应的方式信息和与所述第2资 源对应的方式信息中至少一个方式信息表示所述独占方式这一条件的情况下，执行从所 述信息保持部删除所述第1资源访问信息、和向所述信息保持部追加所述第2资源访问信 肩、ο
9.根据权利要求8所述的访问控制装置，其特征在于，所述信息追加部，在从所述信息保持部删除了资源访问信息的情况下，当所述待机信息保持部保持所述能够许可资源访问信息时，或者当所述待机信息保持部保持的资源访问信息中，存在方式信息表示所述共享方 式，对应的资源不含有所述信息保持部保持的资源访问信息中、与方式信息表示所述独 占方式的资源访问信息对应的资源的能够许可共享资源访问信息时，将所述能够许可资源访问信息及所述能够许可共享资源访问信息中、针对对应的所 述程序信息所表示的程序预先设定的优先级最高的资源访问信息，从所述待机信息保持 部删除，并追加到所述信息保持部中。
10.根据权利要求9所述的访问控制装置，其特征在于，具备策略保持部，该策略保持部接收特定的程序、特定的资源、特定的优先级、及 它们的组合被认证为正当的证书，保持将表示所述特定的资源的正当资源信息、表示所 述特定的程序的正当程序信息和表示所述特定的优先级的正当优先级信息建立了对应的 信息即策略信息，所述请求受理部在来自程序的资源利用请求不满足来自所述策略保持部保持的策略 信息中包含的正当程序信息所表示的程序的、对应的正当资源信息所表示的资源的利用 请求这一条件的情况下，拒绝来自程序的资源的利用请求的受理，针对所述第1程序预先设定的优先级是指，所述策略保持部保持的所述策略信息的 所述第1程序访问所述第1资源时的所述优先级信息所表示的优先级，针对所述第2程序预先设定的优先级是指，所述策略保持部保持的所述策略信息的所述第2程序访问所述第2资源时的所述优先级信息所表示的优先级。
11.根据权利要求10所述的访问控制装置，其特征在于，所述请求受理部只在所述信息保持部中追加了所述资源访问信息的情况下，向该被 追加的资源访问信息中含有的程序信息所表示的程序，提供向对应的资源的访问所使用 的逻辑地址。
12.根据权利要求1所述的访问控制装置，其特征在于，所述访问许可部只对来自所述信息保持部保持的资源访问信息中含有的程序信息所 表示的程序的访问，在解码与程序中的存储器的读写有关的指令时，进行是否许可向对 应的资源的访问的判定，在为否定的判定的情况下，执行错误处理。
13.—种访问控制程序，使计算机作为在发出了资源的利用请求后，控制向该资源进 行访问的多个应用程序对资源的访问的访问控制装置发挥功能，其特征在于，使计算机 作为下述访问控制装置发挥功能，所述访问控制装置包括请求受理部，受理来自程序的利用资源的请求；信息保持部，对包含程序信息的资源访问信息进行保持；访问许可部，许可向对应的资源访问，但只限于来自所述信息保持部保持的资源访 问信息中包含的程序信息所表示的程序的访问；以及信息改写部，在所述信息保持部对包含表示第1程序的第1程序信息的第1资源访问 信息进行保持的情况下，当所述请求受理部受理了来自第2程序的利用资源的请求时， 如果对所述第2程序预先设定的优先级比对所述第1程序预先设定的优先级高，则将所述 第1资源访问信息从所述信息保持部删除，将包含表示所述第2程序的第2程序信息的第 2资源访问信息追加到所述信息保持部中。
14.一种访问控制方法，用于使具备对包含程序信息的资源访问信息进行保持的信息 保持部、请求受理部、访问许可部和信息改写部的访问控制装置，在发出了资源的利用 请求后，控制向该资源进行访问的多个程序对资源的访问，其特征在于，具备请求受理步骤，所述请求受理部受理来自程序的利用资源的请求；访问许可步骤，所述访问许可部许可向对应的资源访问，但只限于来自所述信息保 持部保持的资源访问信息中包含的程序信息所表示的程序的访问；以及许可信息改写步骤，在所述信息保持部对包含表示第1程序的第1程序信息的第1资 源访问信息进行保持的情况下，当所述请求受理步骤受理了来自第2程序的利用资源的 请求时，如果对所述第2程序预先设定的优先级比对所述第1程序预先设定的优先级高， 则所述信息改写部将所述第1资源访问信息从所述信息保持部删除，将包含表示所述第2 程序的第2程序信息的第2资源访问信息追加到所述信息保持部中。
全文摘要
访问控制装置(100)在新的程序想要利用存储器等资源开始处理的情况下，即使对应的资源已经被其他执行中的程序确保，如果新的程序的优先级比执行中的程序的优先级高，则也使执行中的程序停止，使新的程序利用资源。
文档编号G06F9/50GK102016873SQ20098011454
公开日2011年4月13日 申请日期2009年6月2日 优先权日2008年6月24日
发明者东出烈, 仙野友树, 坂木清治, 星野千代美, 矶贝典仙 申请人:松下电器产业株式会社