信息处理装置以及应用程序不正当协作防止方法

专利名称：信息处理装置以及应用程序不正当协作防止方法
技术领域：
本发明涉及防止因多个恶意软件间的不正当的协作处理而导致的个人信息等秘密信息向外部漏泄的信息处理装置以及应用程序不正当协作防止方法。
背景技术：
近些年，以智能便携式电话为代表，利用了开放平台的民用设备正在快速地普及。在面向现在的民用设备的开放平台环境中，不论谁都能够开发应用程序，并能够将开发的应用程序加载到应用程序分发网站。并且，被加载到应用程序分发网站的应用程序不论谁都能够下载，用户通过将下载的应用程序进行安装，从而能够扩展自身终端的功能。并且，能够同时启动多个应用程序的多任务功能也得到支持，在某个应用程序在后台被处理的同时，在前台则进行其他的应用程序的处理，或者进行多个应用程序间的协作处理，这样用户的便利性则不断地增高。并且，在这样的用户终端被记录有邮件地址、电话号码等被注册的通讯簿、密码信息以及照片等个人信息。由于谁都能够将应用程序加载到应用程序分发网站，因此具有恶意的人开发能够盗窃这些个人信息的、具有恶意的应用程序的恶意软件，并将开发的恶意软件加载到应用程序分发网站。于是，通过用户下载被加载的恶意软件，从而进行了这种下载的用户的被害也不断増加。而且，恶意软件非常巧妙，在多个恶意软件之间进行不正当地协作，同时也出现了不正当的处理。一般而言，由于多个应用程序之间的协作处理是以用户看不到的方式而被执行的，因此通过多个恶意软件之间的协作，在用户不知不觉中个人信息等会有被漏泄到外部的危险性。例如可以考虑到以下的情况有恶意软件A、恶意软件B以及恶意软件C，这三个恶意软件进行不正当地协作。恶意软件A为访问电话簿的应用程序，恶意软件B为游戏软件，恶意软件C为访问浏览器等外部的通信网络的应用程序。恶意软件开发者，将各个単体的应用程序的工作，作为不进行不正当处理的、进行正常工作的应用程序，而加载到恶意软件A、B以及C。之后，恶意软件开发者将各个恶意软件装扮为正常的应用程序，利用各种巧妙的手法，费尽心机使用户下载恶意软件A、B以及C0而在用户一方，认为是正常的应用程序，而下载恶意软件A、B以及C。恶意软件A、B以及C由于不能作为单体的应用程序来进行不正当的处理，因此用户在不能卸装这些恶意软件的状态下一直利用。而且，由于用户終端也与多任务相对应，因此在恶意软件A、B以及C被启动之时才以恶意软件来工作，恶意软件之间进行不正当的协作，通过应用程序A —应用程序B —应用程序C这种不正当的进程间通信，从而会威胁到个人信息经由外部的通信网络而被漏泄。因此，作为以往的恶意软件的对策例如提出了专利文献I所公开的方法。在专利文献I中公开的方法是，将恶意软件中共同的表现预先规定为不正当规则文件，不利用恶意软件的签名，判断利用进程的通信是否为由恶意软件进行的，以此来阻止不正当的进程。并且，在专利文献2中公开了其他的恶意软件对策方法。在专利文献2中，在可疑事件达到预先规定的阈值的情况下，判断恶意软件，为了不使恶意软件蔓延而进行安全性设定的设定控制。(现有技术文献)(专利文献)专利文献I日本特许第4327698号公报专利文献2日本特开2006-285983号公报但是，在上述以往的专利文献I的构成中，不正当规则文件是固定的信息，在被安装有应用程序的終端中，需要从服务器获取并更新与被下载的应用程序相对应的新的不正当规则文件。因此，出现的课题是在应用程序被下在的終端中，对于被下载的应用程序所进行的不正当的协作处理，在从服务器不进行不正当规则文件的获取以及更新的情况下就不能进行检測。并且，在上述以往的专利文献2的构成中也存在同样的课题，S卩用于判断是否为恶意软件的阈值信息是固定的信息。因此，在被安装有应用程序的終端中，对于被下载的应用程序所进行的不正当的协作处理，在从服务器不进行不正当规则文件的获取以及更新的情况下就不能进行检測。

发明内容
因此，本发明为了解决上述以往的课题，目的在于提供ー种信息处理装置以及应用程序不正当协作防止方法，这样即使是新被安装的应用程序，也能够防止使个人信息等秘密信息漏泄的不正当的应用程序间的协作处理。为了解决上述以往的课题，本发明的一个实施例所涉及的信息处理信息包括网络控制部，进行与外部的通信网络的连接；安装控制部，进行应用程序的安装；进程控制部，进行所述应用程序的启动以及所述应用程序间的协作处理；调用履历图更新部，在所述应用程序的启动或所述应用程序间的协作处理被请求的情况下，将作为所述应用程序间的调用关系的履历信息的调用履历图，更新为在执行了被请求的所述启动或所述协作处理的情况下的调用履历图；以及应用程序不正当协作控制部，利用从所述调用履历图和包含所述应用程序的访问权限信息的应用程序权限列表中得到的信息，判断是否有针对秘密信息的应用程序间的不正当的协作处理，在判断为有所述不正当的协作处理的情况下，按照针对所述秘密信息的、与应用程序间的不正当的协作处理相对应的应用程序的执行控制方法，控制所述应用程序的执行，所述秘密信息是作为秘密而被管理的信息。根据此构成，通过參照作为应用程序间的调用关系的履历信息的调用履历图和应用程序权限列表，从而能够检测针对秘密信息的应用程序间的不正当的协作处理。并且，为了进行该不正当的协作处理的有无的判断而參照的调用履历图，是在信息处理装置内的应用程序的启动以及作为应用程序间的协作处理的进程间通信的请求时被更新的。因此，不需要进行来自以往的服务器的恶意软件的模式文件的更新，就能够检测对于新被下载的应用程序是否有不正当的协作处理。因此，根据该信息处理装置，即使针对新被安装的应用程序，也能够防止个人信息等秘密信息被漏泄的不正当的应用程序间的协作处理。
并且，最好是，所述应用程序不正当协作控制部，利用从所述应用程序权限列表得到的信息，来判断是否有所述不正当的协作处理，所述应用程序权限列表包含表示针对个人信息或机密信息的访问权利的访问权限信息。根据此构成，能够检测对于个人信息或机密信息的应用程序的不正当的协作处理。并且，最好是，所述应用程序不正当协作控制部，利用从所述应用程序权限列表得到的信息，来判断是否有所述不正当的协作处理，所述应用程序权限列表还包含表示针对所述外部的通信网络的访问权利的访问权限信息。根据此构成，能够检测使秘密信息被漏泄到外部的通信网络的不正当的协作。并且，最好是，所述应用程序不正当协作控制部，判断是否有应用程序间的不正当的协作处理，在判断为有该不正当的协作处理的情况下，根据示出能够防止该不正当的协作处理的应用程序的执行控制方法的应用程序执行控制设定信息，控制所述应用程序的执行，所述应用程序间的不正当的协作处理是指，经由所述外部的通信网络，使所述秘密信息泄漏的处理。根据此构成，能够防止秘密信息通过外部的通信网络而被漏泄的应用程序间的不正当的协作处理。并且，最好是，所述应用程序不正当协作控制部，在判断为有所述不正当的协作处理的情况下，根据示出不进行被请求的应用程序的启动的应用程序的执行控制方法的应用程序执行控制设定信息，按照该应用程序执行控制设定信息所示的应用程序的执行控制方法，不进行应用程序的启动。根据此构成，在检测到应用程序间的不正当的协作处理后，通过进行不使应用程序启动的控制，从而能够防止不正当的协作处理。并且，最好是，所述应用程序不正当协作控制部，在判断为有所述不正当的协作处理的情况下，根据示出切断与所述外部的通信网络之间的连接的应用程序的执行控制方法的应用程序执行控制设定信息，按照该应用程序执行控制设定信息所示的应用程序的执行控制方法，切断与所述外部的通信网络之间的连接。根据此构成，在检测应用程序间的不正当的协作处理之后，由于能够切断与外部网络的连接，因此能够防止个人信息等秘密信息经由外部网络而被漏泄。并且，最好是，所述应用程序不正当协作控制部，在判断为有所述不正当的协作处理的情况下，根据示出直到判断为没有所述不正当的协作处理为止使应用程序结束的应用程序的执行控制方法的应用程序执行控制设定信息，按照该应用程序执行控制设定信息所示的应用程序的执行控制方法，直到判断为没有所述不正当的协作处理为止，使已经被启动的应用程序结束。根据此构成，在检测到应用程序间的不正当的协作处理之后，由于能够直到不发生不正当的协作处理的多任务状态为止使应用程序结束，因此能够防止因不正当的协作处理而造成的秘密信息的漏泄。并且，最好是，所述应用程序不正当协作控制部，在判断为有所述不正当的协作处理的情况下，根据示出卸装应用程序的应用程序的执行控制方法的应用程序执行控制设定信息，按照该应用程序执行控制设定信息所示的应用程序的执行控制方法，卸装被请求的、应用程序。根据此构成，由于能够卸装与不正当的协作处理相关联的应用程序，因此能够防止因不正当的协作处理而造成的秘密信息的漏泄。并且，最好是，所述应用程序不正当协作控制部，在判断为有所述不正当的协作处理的情况下，将示出具有执行该不正当的协作处理的危险性的信息通知给用户。根据此构成，用户在具有不正当的协作处理的可能性的情况下，通过接受示出具 有该不正当的协作处理被执行的危险性的信息的通知，从而用户自身能够控制应用程序的启动。并且，最好是，所述调用履历图更新部，进ー步，參照更新后的所述调用履历图和所述应用程序权限列表，更新应用程序不正当协作模式，该应用程序不正当协作模式示出，具有所述不正当的协作处理被执行的可能性的应用程序的启动状态；所述应用程序不正当协作控制部，參照所述应用程序不正当协作模式，判断在所述应用程序间是否有不正当的协作处理。根据此构成，通过利用示出成为不正当的协作处理的应用程序的多任务状态信息的应用程序不正当协作模式，从而能够在进行不正当的协作处理的有无判断中，不必进行调用履历图的解析，从而能够实现高速化。并且，最好是，该信息处理装置还包括秘密信息保持部，保持所述秘密信息；调用履历图保持部，保持所述调用履历图；应用程序权限列表保持部，保持所述应用程序权限列表；以及应用程序执行控制设定信息保持部，保持应用程序执行控制设定信息，该应用程序执行控制设定信息示出，针对所述秘密信息的、与所述应用程序间的不正当的协作处理相对应的应用程序的执行控制方法；所述调用履历图更新部，更新所述调用履历图保持部中所保持的所述调用履历图；所述应用程序不正当协作控制部，利用从被更新的所述调用履历图和所述应用程序权限列表保持部中所保持的所述应用程序权限列表中得到的信息，对针对所述秘密信息保持部中所保持的所述秘密信息是否存在应用程序间的不正当的协作处理进行判断，在判断为有所述不正当的协作处理的情况下，按照所述应用程序执行控制设定信息保持部中所保持的所述应用程序控制设定信息所示的应用程序的执行控制方法，对所述应用程序的执行进行控制。根据此构成，信息处理装置保持秘密信息、调用履历图、应用程序权限列表、以及应用程序执行控制设定信息，并利用这些信息来控制应用程序的执行。据此，该信息处理装置能够防止秘密信息被漏泄等不正当的应用程序间的协作处理。并且，本发明不仅能够作为这样的信息处理装置来实现，而且能够作为将信息处理装置中所包含的具有特征性的単元作为步骤的、防止应用程序间的不正当的协作处理的应用程序不正当协作防止方法来实现，并且能够作为使计算机执行这些特征性的步骤的程序来实现。并且，这样的程序是能够通过CD — ROM等记录介质以及互联网等传输介质来流通的。并且，本发明能够作为实现这样的信息处理装置的一部分功能或所有功能的半导体集成电路(LSI)来实现。通过本发明所涉及的信息处理装置，即使是新被安装的应用程序，也能够防止使个人信息等秘密信息漏泄的应用程序间的不正当协作处理。


图I是本发明的实施例I中的应用程序分发系统的构成图。图2是本发明的实施例I中的应用程序包的构成图。图3是本发明的实施例I中的信息处理终端的整体构成图。图4是示出本发明的实施例I中的信息处理终端的工作的一个例子的流程图。
图5是示出本发明的实施例I中的安装控制部安装应用程序的处理的时序图。图6示出了本发明的实施例I中的应用程序权限列表保持部所保持的应用程序权限列表的ー个例子。图7示出了本发明的实施例I中的进程控制部在识别执行中的应用进程状况时所保持的进程管理信息的ー个例子。图8是示出本发明的实施例I中的从调用履历图更新部进行调用履历图更新处理到由应用程序不正当协作控制部所进行的不正当协作判断为止的处理的时序图。图9是示出本发明的实施例I中的从调用履历图更新部所进行的调用履历图更新处理到由应用程序不正当协作控制部所进行的不正当协作判断为止的处理的时序图。图10是示出本发明的实施例I中的应用程序不正当协作控制部判断是否存在不正当协作处理的处理的流程图。图11示出了本发明的实施例I中的应用程序执行控制设定信息的ー个例子。图12示出了本发明的实施例I中的调用履历图的迁移概念。图13示出了本发明的实施例I中的调用履历图的构成。图14A示出了本发明的实施例I中的应用程序不正当协作控制部所进行的应用程序执行控制的例子。图14B示出了本发明的实施例I中的应用程序不正当协作控制部所进行的应用程序执行控制。图15示出了本发明的实施例2中的信息处理终端40的全体构成图。图16是用于说明本发明的实施例2中的应用程序不正当协作模式的图。图17示出了本发明的实施例2中的从调用履历图更新部进行调用履历图以及应用程序不正当协作模式的更新处理到应用程序不正当协作控制部所进行的不正当协作判断为止的处理的时序图。图18示出了本发明的实施例中的信息处理终端的最小构成。
具体实施例方式以下，对本发明的实施例利用附图来进行说明。并且，以下所要说明的实施方式均为本发明的一个最佳具体例子。以下的实施方式中所示的数值、构成要素、构成要素的配置位置以及步骤、步骤的顺序等均为ー个例子，本发明并非受这些所限。本发明限定于权利要求书。因此，以下的实施方式中的构成要素中的、示出本发明的最上位概念的独立权利要求项中没有记载的构成要素，虽然不是达成本发明的课题的必要构成，而是作为最佳构成方式来被说明。(实施例I)
图I是本发明的实施例I中的应用程序分发系统10的构成图。如该图所示，应用程序分发系统10是具备应用程序分发服务器20、应用程序开发装置30、作为信息处理装置的信息处理终端40和41的系统。信息处理终端40经由通信网络60，下载被存储在应用程序分发服务器20的存储器21中的应用程序包50。下载后，信息处理终端40通过安装应用程序包50，来添加新的功能。应用程序包50的构成将利用图2进行说明。应用程序开发装置30是用于开发在信息处理终端40上进行工作的应用程序的装置。应用程序开发装置30以通用串行总线(Universal Serial Bus)等接ロ而与信息处理終端41连接，实施在信息处理终端41上开发的应用程序是否进行了想要进行的工作的测试。之后，应用程序开发装置通过通信网络60，将开发的应用程序加载到应用程序分发服务器20。并且，信息处理终端40和信息处理终端41是具有相同功能的終端。 图2是本发明的实施例I中的应用程序包50的构成图。应用程序包50具有应用程序51、访问权限信息52、应用程序签名列表53、以及公钥证书54。应用程序51是在信息处理终端40上执行的应用程序的代码。即，应用程序51是应用程序开发装置30内的图中未示出的软件开发工具包(Software Development Kit SDK)的编译程序或链接程序所生成的代码。访问权限信息52是对应用程序51在信息处理终端40上进行工作时的访问权限的信息所做的列表。访问权限信息52用于，在信息处理终端40进行应用程序包50的安装时，向用户提示应用程序包50内的应用程序51以怎样的权限进行工作中。并且，访问权限信息52被利用于执行信息处理终端40内的应用程序51时的访问控制。在此，访问权限信息52例如是对以下的信息所做的列表，这些信息示出了 应用程序51是否有向个人信息等秘密信息进行访问的权利，以及是否有向通信网络60等外部网络进行访问的权利。并且，秘密信息是指，作为秘密而被管理的信息，例如是个人信息或企业的机密信息等信息。并且，在访问秘密信息的权利中不仅包含直接访问秘密信息的权利，而且还包含向SD卡等内存进行写入或读出的权利。即，通过向该内存写入秘密信息以及从该内存中读出秘密信息，从而能够访问该秘密信息。并且，访问权限信息52也可以不受限于表示是否能够向秘密信息或外部网络进行访问的权利等。即，访问权限信息52只要是能够在信息处理终端40上使应用程序51エ作的平台所能够支持的访问权限信息即可。应用程序签名列表53是针对构成应用程序包50的所有的信息，使散列值列表，并针对该列表赋予数字签名的列表。应用程序签名列表53在应用程序包50的安装时，被利用于应用程序包50内的信息的签名验证。公钥证书54是用于存放应用程序签名列表53被利用于签名验证时的公钥的信息的证书。关于应用程序签名生成和验证算法，只要利用在公钥基础设施(Public KeyInfrastructure :以后称为PKI)中被广泛利用的算法即可。并且,公钥证书54可以是PKI被广泛利用的证书格式的X. 509的格式。图3是本发明的实施例I中的信息处理终端40的全体构成图。
如该图所示，信息处理终端40包括五个应用进程、进程控制部200、应用程序权限判断部210、应用程序不正当协作控制部220、应用程序执行控制设定信息保持部230、调用履历图更新部290、个人信息保持部240、网络控制部250、安装控制部260、应用程序权限列表保持部270、以及调用履历图保持部280，所述五个应用进程是指应用程序A进程101、应用程序B进程102、应用程序C进程103、应用程序D进程104、以及应用程序E进程105。 在此，信息处理终端40只要是以下的设备即可，例如以智能便携式电话为代表的移动设备、用于再生DVD (Digital Versatile Disc :数字多功能光盘)以及蓝光光盘(Blu-ray (注册■商标)Disc)等介质的设备、电视或游戏机等民用设备、个人电脑等能够与网络连接的设备。并且，应用程序执行控制设定信息保持部230、个人信息保持部240、应用程序权限列表保持部270以及调用履历图保持部280分别是信息处理终端40所具备的存储器内的存储区域。安装控制部260进行应用程序的安装。具体而言，安装控制部260在对图I以及图2所说明的应用程序包50进行安装之时，将应用程序的签名验证以及访问权限信息通知给用户，在得到用户的安装许可后进行安装。并且，被安装的应用程序包50与用于识别应用程序的应用程序ID204相关联，被记录到图中未示出的非易失性存储器。应用程序包50的公钥证书54也与应用程序ID204相关联后被管理。应用程序包50的访问权限信息52被记录到应用程序权限列表保持部270所保持的应用程序权限列表271。应用程序权限列表271将利用图6后述。应用程序A进程101、应用程序B进程102、应用程序C进程103、应用程序D进程104以及应用程序E进程105分别是应用程序的进程。在图3的例子中示出了五个应用程序被执行的例子。作为进程也可以是应用进程以外的进程。进程控制部200进行应用程序的启动以及该应用程序之间的协作处理。具体而言，进程控制部200是用于管理启动了的五个应用进程(应用程序A进程101至应用程序E进程105)的处理部，保持有使用于识别进程的进程ID202与上述的应用程序ID204相对应的进程管理信息201。对于进程管理信息201将利用图7来说明。并且，进程控制部200也进行进程间通信的控制。进程控制部200在进行进程间通信的控制之吋，向调用履历图更新部290请求更新调用履历图281，该调用履历图281中记录有各个进程的调用关系。调用履历图281的更新处理将利用图13、图14A以及图14B后述。个人信息保持部240保持成为个人信息的电话号码、地址、邮件地址等被注册的地址簿。并且，个人信息保持部240也可以不保持地址簿，而是可以保持照片数据或电子邮件等。并且，只要是记录个人的行动履历的終端，行动履历信息也成为个人信息。行动履历是包含商品的购买履历、个人的位置信息、互联网上的检索履历等的信息。在此，个人信息保持部240也可以将个人信息与企业秘密等机密信息一起保持，或者取代个人信息而保持企业秘密等机密信息。即，个人信息保持部240也可以是秘密信息保持部，保持作为保密而被管理的个人信息或机密信息等秘密信息。在这种情况下，信息处理终端40可以具有防止该秘密信息漏泄的功能，以下对防止个人信息的漏泄进行说明。
并且，在本实施例中，虽然是不便这些个人信息全都被漏泄到外部，不过也可以按照各个个人信息的种类来进行不向外部漏泄的设定。例如，可以考虑到为了接受适合于个人生活方式的服务，而将行动履历这种个人信息发送到外部的服务器的情況。在本实施例中没有进行图示，在这种情况下进行只有行动履历不向外部漏泄的设定，并且防止其他的个人信息向外部漏泄的设定的设定信息被预先保持在終端，应用程序不正当协作控制部220只要通过參照该设定信息就能够进行针对个人信息的访问控制。并且，该设定信息可以由用户来设定。网络控制部250进行与外部的通信网络60的连接。即，网络控制部250对用于向外部网络连接的网络设备进行控制。外部网络设备是无线网络设备以及有限网络设备。并且，网络控制部250也可以是控制向便携式电话的通信网的连接的处理部。应用程序权限判断部210，在五个应用进程(应用程序A进程101至应用程序E进程105)通过进程控制部200向个人信息保持部240或网络控制部250进行访问时，參照图6所示的应用程序权限列表保持部270所保持的应用程序权限列表271，判断是否允许访问。应用程序权限判断部210所进行的判断结果是，返回向进程控制部200，进程控制部200根据该判断结果，进行向个人信息保持部240或网络控制部250的访问控制。接着，对调用履历图更新部290和调用履历图保持部280进行说明。调用履历图保持部280保持调用履历图281，该调用履历图281是在图3所示的应用进程(应用程序A进程101至应用程序E进程105)之间的调用关系的履历信息。调用履历图更新部290在应用程序的启动或应用程序之间的协作处理被请求的情况下，将调用履历图281更新为执行被请求了启动或协作处理时的调用履历图。具体而言，调用履历图更新部290从进程控制部200接受调用履历图281的更新请求，访问调用履历图保持部280，更新调用履历图281。关于调用履历图281的更新处理将利用图13、图14A以及图14B来说明。接着，对应用程序不正当控制部220和应用程序执行控制设定信息保持部230进行说明。应用程序执行控制设定信息保持部230中被注册有，在应用程序间的不正当协作处理被检测到的情况下，检测后的应用程序的状态的设定信息。具体而言，应用程序执行控制设定信息保持部230保持应用程序执行控制设定信息231，该应用程序执行控制设定信息231示出针对个人信息的与应用程序之间的不正当协作处理相对应的应用程序的执行控制方法。在此，应用程序执行控制设定信息231是示出应用程序的执行控制方法的信息，该应用程序的执行控制方法能够防止通过外部的通信网络60个人信息被漏泄的应用程序之间的不正当协作处理。应用程序不正当协作控制部220參照调用履历图281和应用程序权限列表271，判断是否有针对个人信息的应用程序间的不正当协作处理，在判断为有该不正当协作处理的情况下，按照应用程序执行控制设定信息231所示的应用程序的执行控制方法来控制应用程序的执行。具体而言，应用程序不正当协作控制部220判断是否有该不正当的协作处理，在判断为有该不正当的协作处理的情况下，根据示出能够防止该不正当的协作处理的应用程序的执行控制方法的执行控制设定信息231，来控制应用程序的执行。 S卩，应用程序不正当协作控制部220是ー处理部，所进行的控制是不便具有个人信息经由外部网络漏泄的危险性的应用程序成为启动状态，也就是说不进行应用程序间的不正当的协作处理。具体而言，应用程序不正当协作控制部220參照应用程序权限列表保持部270所保持的应用程序权限列表271、调用履历图保持部280所保持的调用履历图281.判断具有使个人信息经由网络漏泄的危险性的应用程序是否处于启动状态。应用程序不正当协作控制部220在判断为有不正当协作，即判断为有个人信息经由外部网络漏泄的危险性的情况下，根据应用程序执行控制设定信息231，进行应用进程的执行控制。关于应用程序不正当协作控制部220的判断处理以及根据应用程序执行控制设定信息231的应用程序控制方法的详细，以后将利用图8至图15来进行说明。图4是示出本发明的实施例I中的信息处理终端40的工作的一个例子的图。具体而言，在该图中示出了从信息处理终端40中的应用程序包50的安装，到用于防止个人信息漏泄到外部网络的应用程序的工作的控制为止的流程。首先，信息处理终端40通过通信网络60，下载应用程序分发服务器20中的应用程序包50。下载后，信息处理终端40的安装控制部260安装应用程序包50 (S401)。在S401，执行应用程序包50内的文件的签名验证，若签名验证0K，则将访问权限信息通知给用户，得到用户的安装许可后，进行安装。关于安装处理的流程以后将利用图5来说明。接着，在信息处理终端40内，被安装的应用程序的启动请求或应用程序间的协作处理请求被执行(S402)。在S402的请求被通知给进程控制部200。在S402的被请求了启动或进程间通信的应用程序不仅可以是从应用程序分发服务器20的，也可以是被预装的应用程序。在这种情况下，被预装的应用程序的公钥证书54以及访问权限信息52也与从应用程序分发服务器20下载的应用程序同样被管理。并且，在此的应用程序的启动请求或进程间的通信请求既有用户明确指出的情况，也有在应用程序的启动过程中没有用户的请求而主动进行的情況。接着，接受了 S402的请求的进程控制部200通过调用履历图更新部290，确定启动请求对象的应用程序或进程间通信请求对象的应用程序，确定调用源和调用目的地，对调用关系进行图表化，使调用履历图保持部280生成调用履历图281并进行更新(S403)。接着，应用程序不正当协作控制部220參照应用程序权限列表保持部270所保持的应用程序权限列表271和调用履历图保持部280所保持的调用履历图281，在S402被请求的应用程序被启动的情况下或进程间通信被请求的情况下，根据目前的进程启动状况来判断存在个人信息经由外部网络漏泄的危险性的应用程序是否成为启动状态(S404)。接着，S404的结果是，若被判断为没有个人信息经由外部网络漏泄的危险性(没有不正当协作)的情况下(S404的“否”)，进程控制部200进行在S402请求的应用程序的启动或应用程序间的协作处理(S405 )。如果S404的结果是，被判断为有个人信息经由外部网络漏泄的危险性(有不正当协作)的情况下(S404的“是”)，应用程序不正当协作控制部220根据应用程序执行控制设定信息231，控制应用程序的执行(S406)。图5是示出本发明的实施例I中的安装控制部260安装应用程序的时序图。即，在该图中示出了，信息处理终端40通过通信网络60，下载应用程序分发服务器20中的应用程序包50，并进行安装处理(图4中的S401)的详细流程。
首先，信息处理终端40的安装控制部260通过网络控制部250与外部的通信网络60连接，并向应用程序分发服务器20进行应用程序下载请求(S501)。在此，应用程序下载请求是指，请求下载应用程序包50。
接着，应用程序分发服务器20将被请求的应用程序包50分发给信息处理终端40(S502)。接着，安装控制部260下载应用程序包50 (S503)。接着，安装控制部260进行应用程序包50的签名验证(S504)。在签名验证中包括以下的步骤利用公钥证书54确认应用程序签名列表没有被篡改的步骤，以及确认应用程序包50内的各个文件是否被篡改的步骤。签名验证结果若为“验证NG”(S504的“ NG”)，结束应用程序包50的安装。若不是这种情况，若签名验证的结果为“验证OK”(S504的“0K”)，移向S505的处理。接着，安装控制部260參照应用程序包50的访问权限信息52，检查安装对象的应用程序是具有怎样的权限的应用程序，并判断安装的许可或不许可(S505)。例如，安装控制部260也可以向用户提示访问权限信息52的内容，让用户来进行安装许可的判断。或者，也可以是在信息处理终端40内预先记录白名单或黑名单，根据这些名单的内容来使安装控制部260进行判断，所述白名单是预先对允许安装的内容所做的名单，所述黑名单是对不允许安装的内容所做的名単。并且，这些名单的内容可以由用户来设定。接着，安装控制部260在S505的结果是被判断为“不允许安装”的情况下(S505的“不允许”)，结束应用程序包50的安装。否则，安装控制部260在S504的结果是判断为“允许安装”的情况下(S505的“允许”)，进行应用程序权限列表更新要求(S506)。在此，应用程序权限列表更新要求是指，要求进行应用程序权限列表271的更新。根据该应用程序权限列表更新要求，安装对象应用程序的访问权限信息52被添加到应用程序权限列表保持部270所保持的应用程序权限列表271。接着，安装控制部260将应用程序51记录到未图示的非易失性存储器，将用于识别应用程序51的应用程序ID204与应用程序51相关联以进行管理。应用程序包50的公钥证书54也与应用程序ID204相关联并被记录(S508)。以上是应用程序包50的安装处理流程的说明。图6示出了本发明的实施例I中的应用程序权限列表保持部270所保持的应用程序权限列表271的ー个例子。在图6中示出了图3中的五个应用进程(应用A进程101至应用E进程105)被安装的例子。应用程序权限列表271具有用于识别应用程序的应用程序ID204的域、示出将要安装应用程序的安装通路272的域、以及注册有各个应用程序的访问权限信息52的内容的访问权限设定273的域。在图6中示出了图3的应用程序A进程101所示的应用程序A的具体内容，即应用程序A为照片浏览的应用程序，应用程序ID为“A”，安装通路为“/data/app/photoviewer, exe”，针对个人信息的访问为“可”，向外部网络的访问为“不可”。并且，还示出了 应用程序C进程103所示的应用程序C为浏览器应用程序，应用程序ID为“C”，安装通路为“/data/app/browser. exe",向个人信息的访问为“不可”，向外部网络的访问为“可”。由于其他的应用程序也是同样，因此省略说明。这样，应用程序权限列表保持部270保持应用程序权限列表271，该应用程序权限列表271包括表示针对人信息的访问权利的访问权限信息、以及表示针对外部的通信网络60的访问权利的访问权限信息。图7示出了本发明的实施例I中的进程控制部200在识别执行中的应用进程状况时所保持的进程管理信息201的ー个例子。进程管理信息201包括用于识别进程的进程ID202的域、用于识别该进程的母进程的母进程ID203的域、以及用于识别该进程与哪个应用程序相对应的应用程序ID204的域。在图7的例子中示出了图3的应用程序A进程101所示的应用程序A为，以进程ID为“10”来工作，母进程ID为“1”，进程ID为“A”。由于其他的应用程序也是同样，因此省略说明。图8以及图9是示出本发明的实施例I中的从调用履历图更新部290所进行的调用履历图更新处理到应用程序不正当协作控制部220所进行的不正当协作判断为止的处理的时序图。首先，如图8所示，进程控制部200接收有关应用程序的进程的控制的请求(应用程序启动请求或进程间通信请求、进程停止以及结束请求等)(S801)。接着，进程控制部200判断接受的请求是否为应用程序启动或者进程间通信(S802)。进程控制部200在判断接受的请求为是应用程序启动或进程间通信的情况下(S802的“是”)，移向S803的处理。并且，进程控制部200在判断为既不是应用程序启动也不是进程间通信的情况下(S802的“否”)，执行在S801被请求的处理。接着，调用履历图更新部290进行应用调用源确认(S803)。进程控制部200所接受的请求若为应用程序启动或进程间通信的请求，则调用履历图更新部290确认地调用源和调用目的地的进程。接着，调用履历图更新部290通过将在S803确认的进程调用关系写入到调用履历图保持部280的调用履历图281，从而对调用履历图281进行更新(S804)。接着，调用履历图更新部290通过执行在S801被请求的进程控制请求，从而向应用程序不正当协作控制部220发出不正当协作判断请求，以便判断是否成为具有个人信息经由外部网络而被漏泄的危险性的应用程序的启动状态(S805)。接着，接受了 S805的判断请求的应用程序不正当协作控制部220从调用履历图保持部280读入调用履历图281 (S806)。接着，应用程序不正当协作控制部220从应用程序权限列表保持部270读入应用程序权限列表271 (S807)。接着，应用程序不正当协作控制部220从进程控制部200读入进程管理信息201
(5808)。接着，如图9所示，应用程序不正当协作控制部220參照在S806到S808读入的调用履历图281、应用程序权限列表271以及进程管理信息201，通过执行在S801被请求的进程控制请求，从而判断是否成具有为个人信息经由外部网络被漏泄的危险性的多任务状态
(5809)。、
对于上述的判断方法利用图10进行详细的步骤说明，并且利用图12进行具体说明。在S809的结果是，被判断为不具有个人信息经由外部网络被漏泄的危险性(不是不正当协作)的情况下(S809的“否”)，在图8的S801执行被请求的处理(S810)。并且，应用程序不正当协作控制部220在判断为具有个人信息经由外部网络被漏泄(是不正当协作)的情况下(S809的“是”)，读出被注册在应用程序执行控制设定信息保持部230中的应用程序执行控制设定信息231 (S811)，控制应用程序的执行(S812)。关于应用程序执行控制将利用S813到S816以及图11来进行说明。 并且，虽然在图中没有示出，不过应用程序不正当协作控制部220在判断为在S809具有不正当协作处理的情况下，也可以将示出具有进行该不正当协作处理的危险性的信息通知给用户。这样，用户在具有不正当协作的可能性的情况下，用户自身能够控制应用程序的启动。图10是示出本发明的实施例I中的应用程序不正当协作控制部220判断是否有不正当协作处理的流程图。具体而言，该图是对图9的S809进行更详细的步骤说明的时序图。首先，应用程序不正当协作控制部220參照在图8的S807被读入的应用程序权限列表271，确定具有向个人信息访问的权限的应用程序ID (S901)。接着，应用程序不正当协作控制部220參照在图8的S807读入的应用程序权限列表271，确定具有访问外部网络权限的应用程序ID (S902)。接着，应用程序不正当协作控制部220參照在S901和S902确定的应用程序ID、以及在图8的S806读入的调用履历图281，对能够从访问个人信息的应用程序向访问外部网络的应用程序的调用的多任务状态进行列表(S903)。在本实施例中，在S903被列表的多任务状态不仅限于ー个，也可以是多个。在本实施例中，为了实现防止个人信息经由外部网络的漏泄，因此控制应用程序的执行以便不成为在S903被确定的多任务状态。接着，应用程序不正当协作控制部220參照在图8的S808被读入的进程管理信息201，确定目前启动完毕的进程，预测执行了图8的S801的请求的情况下的多任务状态模式(S904)。接着，应用程序不正当协作控制部220判断，在S904预想的多任务状态是否作为在S903确定的多任务状态被列表(S905)。应用程序不正当协作控制部220在判断为已被列表的情况下(S905的“是”)，由于成为个人信息有可能漏泄的多任务状态，因此移向图9的S812的处理，进行应用程序的执行控制。并且，应用程序不正当协作控制部220在被判断为没有被列表的情况下(S905的“否”)，由于没有成为个人信息有可能漏泄的多任务状态，因此移向图9的S810的处理，执行在图8的S801被请求的处理。图11示出了本发明的实施例I中的应用程序执行控制设定信息231的ー个例子。应用程序执行控制设定信息231是设定了应用程序的状态控制的信息的集合，该应用程序的状况控制的设定是在图9的S809的判断结果为，被判断为个人信息有经由外部网络被漏泄(被不正当协作)的危险性的情况下进行的。具体而言，应用程序执行控制设定信息231是从不正当协作判断时的应用程序的状态的控制内容233的域、以及ON/OFF信息232的域构成的，ON/OFF (设定/不设定)信息232设定各个控制内容是Enable (有效)还是 Disable (无效)。在图11的例子中注册的四个控制内容是“不启动被请求的应用程序或不进行进程间通信”、“強制切断外部网絡”、“安装应用程序”、以及“结束启动中的应用程序，以便成为没有个人信息漏泄的可能性的、安全的多 任务状态”，其中“不启动被请求的应用程序或不进行进程间通信”的设定为“0N”(进行设定控制)。如图11所示，若“不启动被请求的应用程序或不进行进程间通信”的设定为“0N”，则在图9的S812的判断之后，应用程序不正当协作控制部220通知进程控制部200，以使得不启动在S801请求的应用程序(图9的S813)。据此，若在图8的S801请求是应用程序启动，由于能够不便被请求的应用程序启动，因此能够防止成为个人信息有可能经由外部网络被漏泄的多任务状态。并且，若在图8的S801请求为进程间通信，由于不进行被请求的进程间的通信，因此由于具有个人信息经由外部网络被漏泄的可能性的进程间通信不被执行，从而能够防止个人信息经由外部网络的漏泄。即，应用程序执行控制设定信息保持部230保持应用程序执行控制设定信息231，该应用程序控制设定信息231示出不进行被请求的应用程序的启动的应用程序的执行控制方法，应用程序不正当协作控制部220在判断为具有不正当的协作处理的情况下，按照该应用程序执行控制设定信息231所示的应用程序的执行控制方法，不进行应用程序的启动。并且，在图11中若“结束启动中的应用程序，以成为没有个人信息漏泄的可能性的、安全的多任务状态”为“0N”，应用程序不正当协作控制部220直到即使在图8的S801被请求的应用程序被启动，也没有成为具有个人信息经由外部网络被漏泄的可能性的多任务状态为止，使已经启动的其他的应用程序结束，使在图8的S801被请求的应用程序启动或进行进程间通信(图9的S814)。据此，能够防止成为具有个人信息经由外部网络被漏泄的可能性的多任务状态。S卩，应用程序执行控制设定信息保持部230保持应用程序执行控制设定信息231，该应用程序执行控制设定信息231示出，直到判断为没有不正当的协作处理为止，使应用程序结束的应用程序的执行控制方法，在判断为有不正当的协作处理的情况下，按照该应用程序执行控制设定信息231所示的应用程序的执行控制方法，直到判断为没有不正当的协作处理为止，使已经被启动的应用程序结束。并且，在图11中，若“強制切断外部网络”为“0N”，在图9的S812的判断之后，应用程序不正当协作控制部220通知网络控制部250，以使其強制切断网络(图9的S815)。据此，由于能够在切断外部网络的状态下，使图8的S801所请求的应用程序启动或者进行进程通信，因此能够防止个人信息经由外部网络漏泄。S卩，应用程序控制设定信息保持部230保持示出切断与外部的通信网络60的连接的应用程序的执行控制方法的执行控制设定信息231，应用程序不正当协作控制部220在判断为具有不正当协作处理的情况下，按照该应用程序执行控制设定信息231所示的应用程序的执行控制方法，切断与外部的通信网络60的连接。并且，在图11中，若“安装应用程序”为“ 0N”，则在图9的S812的判断之后，应用程序不正当协作控制部220向安装控制部260发出请求，以安装在图8的S801被请求的应用程序(图9的S816)。据此，由于能够卸装具有个人信息经由外部网络被漏泄的可能性的多任务状态的应用程序，从而能够防止个人信息的漏泄。即，应用程序执行控制设定信息保持部230保持应用程序执行控制设定信息231，该应用程序执行控制设定信息231示出安装应用程序的应用程序的执行控制方法，应用程序不正当协作控制部220在判断为有不正当的协作处理的情况下，按照该应用程序执行控制设定信息231所示的应用程序的执行控制方法，安装被请求的应用程序。并且，对于将图n所示的哪个应用程序执行控制设定信息231设为“0N”，可以由应用程序不正当协作控制部220自动选择，也可以是由用户来选择。并且，在控制对象的应用程序是优先想要被启动的应用程序的情况下，也可以不进行该应用程序的执行控制。并且，也可以是，信息处理终端40不具备应用程序执行控制设定信息保持部230，应用程序不正当协作控制部220不參照应用程序执行控制设定信息231，而是按照被预先決定的应用程序的执行控制方法来对应用程序的执行进行控制。图12示出了本发明的实施例I中的调用履历图281的迁移状态。即，在该图中示出了，根据应用程序的启动以及进程间的通信，调用履历图281将会被更新为怎样的状态。图12的状态I示出的状态是，应用程序C进程103、应用程序D进程104、应用程序E进程105被启动，应用程序D进程104与应用程序C进程103进行进程间通信，应用程序D进程104与应用程序E进程105进行进程间通信。图12的状态2示出的状态是，在状态I之后，应用程序B进程102被启动，应用程序B进程102与应用程序C进程103进行进程间通信。图12的状态3示出的状态是，在状态2之后，应用程序A进程101被启动，应用程序A进程101与应用程序B进程102进行进程间通信。图12的状态4示出的状态是，在状态3之后，应用程序A进程101与应用程序D进程104进行进程间通信。在此，如图6所示，应用程序A进程101能够访问个人信息，应用程序C进程103虽然不能访问个人信息，但是能够访问外部网络。因此，从应用程序A进程101到应用程序C进程103的调用通路上的应用程序若以多任务被启动，则会有个人信息经由外部网络被漏泄到外部的危险性。具体而言，在状态3的阶段中示出了，(应用程序A进程101、应用程序B进程102、应用程序C进程103)这样的多任务状态是，具有个人信息经由外部网络被漏泄到外部的危险性的状态。并且，在状态4的阶段中除了状态3的情况之外，还示出了，(应用程序A进程101、应用程序D进程104、应用程序C进程103)这样的多任务状态是，具有个人信息经由外部网络被漏泄到外部的危险性的状态。因此，例如在图12的状态4的情况下，应用程序不正当协作控制部220通过控制应用程序的启动以便不成为上述的两个多任务状态，从而能够防止个人信息被漏泄到外部网络。图13示出了本发明的实施例I中的调用履历图281的构成。具体而言，在该图中将图12的状态4的调用履历图281的状态以列表的形式来表现，实际上调用履历图保持部280保持具有图13所示的列表结构的调用履历图281。调用履历图281由应用程序ID282和作为各个应用程序的调用目的地的ID的调用目的地应用程序ID283构成。例如，应用程序ID “A”示出了应用程序ID “B”和应用程序ID “D”之间的调用关系。 通过參照该调用履历图281和应用程序权限列表271，从而能够判别哪个多任务状态是具有个人信息以外部网络被漏泄的危险性的状态。并且，在图12以及图13的例子中，进程间通信的调用关系虽然是单方向的，不过由于是进程间通信因此也可以是双方向的调用关系。图14A以及图14B示出了本发明的实施例I中的应用程序不正当协作控制部220所进行的应用程序执行控制的例子。图14A示出了，调用履历图281在图13 (图12的状态4)的情况下，目前被启动的应用程序仅为应用程序A进程101、应用程序C进程103，而应用程序B进程102、应用程序D进程104、以及应用程序E进程105没有被启动的多任务状态。在这种状态下，若想要启动应用程序B进程102，并且在应用程序不正当协作控制部220若启动了应用程序B进程102的情况下，则成为(应用程序A进程101、应用程序B进程102、应用程序C进程103)这样的多任务状态，因此判断为具有个人信息漏泄的危险性，根据应用程序执行控制设定信息231，对应用程序B进程102的启动进行控制。图14B示出的状态是，调用履历图281在图13 (图12的状态4)的情况下，目前被启动的应用程序仅为应用程序A进程101或应用程序C进程103之中的ー个的状态。在这种状态下，若想要启动应用程序B进程102，并且应用程序不正当协作控制部220即使启动了应用程序B进程102，也会判断为不是具有(应用程序A进程101、应用程序B进程102、以及应用程序C进程103)这种个人信息经由外部网络漏泄的危险性的多任务状态，因此进程控制部200启动应用程序B进程102。以上是对实施例I进行的说明。通过以上的处理，对于因恶意软件而造成的不正当协作判断中所利用的模式信息的更新而言，可以不必利用外部的服务器，仅根据自身終端内的应用程序间的调用关系就能够生成调用履历图281并进行更新，因此对于新被安装的应用程序而言，能够确实地防止个人信息经由外部网络被漏泄这种应用程序的不正当协作处理。具体而言，利用本发明的实施例I所涉及的信息处理终端40，通过在信息处理终端40内保持作为应用程序间的调用关系的履历信息的调用履历图281，并參照调用履历图281和应用程序权限列表271，从而能够检测针对个人信息等秘密信息的应用程序之间的不正当的协作处理。并且，用于判断该不正当的协作处理的有无而參照的调用履历图281是，在信息处理终端40内的应用程序的启动或作为应用程序间的协作处理的进程间通信被请求时被更新的。因此，不需要以往的对来自服务器的恶意软件的模式文件进行更新，就能够检测针对新下载的应用程序的不正当的协作处理。因此，根据信息处理终端40，即使是对于新被安装的应用程序，也能够防止个人信息等秘密信息被漏泄等不正当的应用程序间的协作处理。并且，能够检测个人信息等秘密信息通过外部的通信网络被漏泄的不正当的协作，因此能够防止经由外部的通信网络个人信息等秘密信息被漏泄的应用程序间的不正当的协作处理。并且，在检测应用程序间的不正当的协作处理之后，通过进行不使应用程序启动的控制，从而能够防止不正当的协作处理。并且，在检测应用程序间的不正当的协作处理之后，由于能够切断与外部网络的连接，因此能够防止个人信息等经由外部网络而被漏泄。并且，在检测应用程序间的不正当的协作处理之后，由于直到不发生不正当的协作处理的多任务状态为止能够结束应用程序，因此能够防止因不正当的协作处理而造成的个人信息等秘密信息的漏泄。并且，由于能够卸装与不正当的协作处理相关的应用程序，因此能够防止因不正当的协作处理而造成的个人信息等秘密信息的漏泄。并且，在具有不正当的协作处理的可能性的情况下，用户通过接受示出具有该不正当的协作处理的危险性的信息的通知，从而用户自身能够控制应用程序的启动。(实施例2) 接着，对本发明的实施例2所涉及的信息处理终端进行说明。在上述的实施例I中是，參照调用履历图281和应用程序权限列表271，来确定具有个人信息等秘密信息经由外部网络漏泄的危险性的多任务状态的。但是，每当应用程序的执行或进程间通信的调用吋，都需要进行该确定处理，从而效率降低。因此，在本实施例2中，对于具有个人信息等秘密信息经由外部网络被漏泄的危险性的多任务状态的确定，被预先作为不正当的协作模式而被存储，从而在每当应用程序的执行或进程间通信的调用时的确定处理能够被快速执行。由于大多数的处理与实施例I相同，因此仅对与实施例I不同之处进行说明，并省略相同之处的详细说明。图15是本发明的实施例2中的信息处理终端40a的全体构成图。与实施例I的不同之处是，添加了应用程序不正当协作模式保持部300。应用程序不正当协作模式保持部300是保持应用程序不正当协作模式301的存储器内的存储区域。将利用图16对不正当协作模式301进行说明。图16是用于说明本发明的实施例2中的应用程序不正当协作模式301的图。具体而言，该图示出了，应用程序不正当协作模式保持部300所保持的应用程序不正当协作模式301随着应用程序的调用是怎样变化的。关于应用程序的调用经过与图12进行同样的说明。应用程序不正当协作模式301是，示出具有不正当的协作处理被执行的可能性的应用程序的启动状态的信息。具体而言，应用程序不正当协作模式301是以应用程序ID的集合模式来表示多任务状态的模式的信息的集合，该多任务状态是指，具有个人信息等秘密信息经由外部网络被漏泄的危险性的状态。首先，在状态I以及状态2中，应用程序不正当协作模式301，由于具有个人信息等秘密信息经由外部网络被漏泄的危险性的调用通路不存在，因此为“空(示出没有任何信息)，，。并且，当成为状态3时，在从应用程序A进程101到应用程序C进程103为止的调用通路上的应用程序以多任务被启动时，由于具有个人信息等秘密信息经由外部网络被漏泄的危险性，因此在应用程序不正当协作模式301中记录应用程序ID (A、B、C)。并且，在状态4的阶段中，除状态3的情况以外，(应用程序A进程101、应用程序D进程104、应用程序C进程103)这些多任务状态具有个人信息等秘密信息通过外部网络而被漏泄到外部的危险性，因此，应用程序不正当协作模式301中除了被添加有应用程序ID(A、B、C)之外，还被添加有应用程序ID (A、D、C)。并且，在应用程序不正当协作模式301中进行新的不正当协作模式的更新吋，由调用履历图更新部290执行。接着，利用图17对调用履历图更新部290针对应用程序不正当协作模式保持部300，更新应用程序不正当协作模式301的时序进行说明。图17示出了，本发明的实施例2中的从调用履历图更新部290所进行的调用履历图281以及应用程序不正当协作模式301的更新处理，到应用程序不正当协作控制部220所进行的不正当协作判断为止的处理的时序图。从S1601到S1604由于与图8的S801到S804的处理相同，因此省略说明。
接着，调用履历图更新部290从调用履历图保持部280读入调用履历图281(S1605)。接着，调用履历图更新部290从应用程序权限列表保持部270读入应用程序权限列表 271 (S1606)。接着，调用履历图更新部290判断是否存在新的不正当协作模式，该新的不正当协作模式是指，成为具有个人信息等秘密信息经由外部网络被漏泄的危险性的多任务状态
(51607)。调用履历图更新部290，在判断为存在新的不正当协作模式的情况下(S1607的“是”)，将该新的不正当协作模式追记到应用程序不正当协作模式保持部300所保持的应用程序不正当协作模式301，以进行更新。并且，调用履历图更新部290，在判断为不存在新的不正当协作模式的情况下(S1607的“否”)，移向S1608的处理。接着，通过调用履历图更新部290针对不正当协作控制部220进行在S1601被请求的处理，请求判断是否成为具有危险性的不正当协作模式，该具有危险性的不正当协作模式是指，成为具有个人信息等秘密信息经由外部网络漏泄的危险性的多任务状态
(51608)。接着，接受了在S1608的请求的应用程序不正当协作控制部220，读入应用程序不正当协作模式保持部300所保持的应用程序不正当协作模式301 (S1609)。接着，应用程序不正当协作控制部220从进程控制部200读入进程管理信息201(S1610)。接着，应用程序不正当协作控制部220參照应用程序不正当协作模式301和进程管理信息201，通过进行在S1601被请求的处理，从而判断是否存在具有危险性的不正当协作模式，该具有危险性的不正当协作模式是指，成为具有个人信息等秘密信息经由外部网络被漏泄的危险性的多任务状态(S1611)。应用程序不正当协作控制部220在判断结果为，被判断为不正当协作模式的情况下，应用程序执行控制设定信息保持部230根据保持的应用程序执行控制设定信息231，控制应用程序的启动(S1612)。关于S1612的详细处理由于与实施例I的图9的S811到S816相同，因此省略说明。据此，能够成为比实施例I效率高的应用程序间的不正当协作的判断。即，能够针对被加载到多个进程空间的共享程序库，高效率地进行篡改检查。
以上是实施例2的说明。这样，根据本发明的实施例2所涉及的信息处理终端40a，通过将示出成为不正当协作处理的应用程序的多任务状态信息的应用程序不正当协作模式301，与作为应用程序的调用履历信息的调用履历图281分别保持，从而在进行不正当协作处理的有无的判断中，则不需要调用履历图281的解析，从而能够实现高速化。
并且，在本实施例中，虽然没有利用图来进行说明，调用履历图281或应用程序不正当协作模式301若被篡改，则迂回不正当协作的检测处理。因此，也可以对这些信息进行完整性验证。完整性验证中可以利用一般所周知的数字签名或散列函数等。并且，虽然根据上述的实施例对本发明进行了说明，本发明不受上述的实施例所限是不言而喻的。例如，信息处理终端也可以是图18所示的构成。图18示出了本发明的实施例中的信息处理终端的最小构成。具体而言，如该图所示，信息处理终端40b具备进程控制部200、应用程序不正当协作控制部220、网络控制部250、安装控制部260、调用履历图更新部290。S卩，信息处理终端40b可以不具备个人信息保持部240、应用程序执行控制设定信息保持部230、应用程序权限列表保持部270以及调用履历图保持部280，而可以具备SD卡等外装的存储器、或通过通信网络而连接的服务器的存储器等外部存储器。在这种情况下，信息处理终端40b将信息存储到具有外部存储器的该保持部，并且从该保持部获得信息。即，安装控制部260进行应用程序的安装，进程控制部200进行应用程序的启动以及应用程序间的协作处理。并且，调用履历图更新部290，在应用程序的启动或应用程序间的协作处理被请求的情况下，从外部存储器读出调用履历图281，并更新为被请求了启动或协作处理被执行的情况下的调用履历图，并使该外部存储器进行存储。并且，应用程序不正当协作控制部220从外部存储器读出最新的调用履历图281和应用程序权限列表271，判断是否存在针对秘密信息的应用程序间的不正当协作处理，在判断为有不正当协作处理的情况下，从外部存储器读出应用程序执行控制设定信息231，按照应用程序执行控制设定信息231所示的应用程序的执行控制方法，控制应用程序的执行。并且，对于实施例2也是同样，应用程序不正当协作模式保持部300也可以不具备信息处理终端，而可以具备SD卡等外装的存储器或通过通信网络而被连接的服务器的存储器等外部存储器。并且，以下的情况也包含在本发明内。(I)上述的各个装置，具体而言是由微处理器、R0M、RAM、硬盘单元、显示器単元、键盘、以及鼠标等构成的计算机系统。所述RAM或硬盘单元中记忆有计算机程序。所述微处理器通过按照所述计算机程序进行工作，各个装置能够实现其功能。在此，计算机程序是为了实现规定的功能，而由多个针对计算机指示指令的指令代码组合而成。(2)构成上述的各个装置的构成要素的一部分或全部可以由ー个系统LSI (LargeScale Integration:大规模集成电路)构成。例如，可以作为具备图18所示的信息处理终端40b的各个构成要素的集成电路来实现。
系统LSI是将多个构成部集成在一个芯片上而被制造的超多功能LSI，具体而言是包括微处理器、ROM、以及RAM等的计算机系统。所述RAM中记忆有计算机程序。所述微处理器通过按照所述计算机程序进行工作，系统LSI能够实现其功能。并且，构成上述的各个装置的构成要素的各个部可以被分别制成一个芯片，也可以将其中的一部分或全部包含在一个芯片之中。在此，虽然例示了系统LSI，不过根据集成度的不同，也可以称为1C、LSI、超级LSI、极超级LSI。并且，集成电路化的方法不仅限于LSI，也可以以专用电路或通用处理器来实现。在LSI制造后，也可以利用可编程的FPGA (Field Programmable Gate Array :现场可编程门阵列)或利用能够将LSI内部的电路单元的连接以及设定重新构建的可重装处理器。
而且，随着半导体技术的进步或派生出的其他的技术，若出现了能够取代LSI的集成电路化的技木，当然也可以利用这些技术来对功能块进行集成化。生物技术的适用等也将成为可能。(3)构成上述的各个装置的构成要素的一部分或全部也可以由能够装卸于各个装置的IC卡或单体的模块构成。所述IC卡或所述模块是由微处理器、ROM、RAM等构成的计算机系统。所述IC卡或所述模块也可以包括上述的超多功能LSI。微处理器通过按照所述计算机程序进行工作，所述IC卡或所述模块能够实现其功能。该IC卡或该模块也可以具有抗篡改性。(4)本发明可以作为将信息处理终端所包含的具有特征性的単元作为步骤来实现，也可以作为防止应用程序间的不正当协作处理的应用程序不正当协作防止方法来实现。并且，也可以作为使计算机执行这些方法的计算机程序来实现，也可以是由所述计算机程序构成的数字信号。并且，本发明可以将所述计算机程序或所述数字信号记录到计算机可读取的记录介质中，这些记录介质例如是软盘、硬盘、CD-ROM、MO、DVD (数字多功能光盘)、DVD-ROM、DVD-RAM、BD (Blu-ray (注册商标)Disc)、半导体存储器等。并且，也可以作为被记录在这些记录介质中的所述数字信号来实现。并且，本发明可以通过电气通信电路、无线或有线通信电路、以因特网为代表的网络、以及数据广播等来传递所述计算机程序或所述数字信号。并且，本发明可以是具备微处理器和存储器的计算机系统，所述存储器也可以存储上述计算机程序，所述微处理器也可以按照所述计算机程序来工作。并且，可以将所述程序或所述数字信号记录到所述记录介质并传送，或者可以将所述程序或所述数字信号通过所述网络等来传送，从而可以由独立的其它的计算机系统来执行。(5)对上述的实施例以及上述的变形例中的构成要素分别进行组合而构筑的方式也包含在本发明的范围内。此次所公开的实施例全部应该理解为是ー个例子，对本发明没有任何限制。本发明的范围不是上述的说明而是由权利要求来表示，与权利要求具有同等意思以及范围内的所有的变更均为本发明的趣_所在。本发明由于能够在不利用外部的服务器，就能够针对利用于因恶意软件造成的不正当协作判断的模式信息的更新，通过根据自终端内的应用程序间的调用关系来生成并更新模式信息，从而能够提供一种即使对于新被安装的应用程序，也能够确实地防止个人信息等的秘密信息被漏泄的不正当的应用程序协作处理的信息处理终端，并且能够防止因多个应用程序的不正当的协作处理而造成的个人信息等秘密信息经由外部网络而被泄漏，因此本发明能够有用于使处理个人信息等的秘密信息的应用程序以多任务来工作的信息处理终端。符号说明10 应用程序分发系统20 应用程序分发服务器21 存储器30 应用程序开发装置40，40 a，40b，41 信息处理端末50 应用程序包51 应用程序52 访问权限信息53 应用程序签名列表54 公钥证书60 通信网络101 应用程序A进程102 应用程序B进程103 应用程序C进程104 应用程序D进程105 应用程序E进程200 进程控制部202 进程 ID203 母进程 ID204,282 应用程序 ID210 应用程序权限判断部220 应用程序不正当协作控制部230 应用程序实行控制设定信息保持部231 应用程序实行控制设定信息232 0N/0FF 信息233 控制内容240 个人信息保持部250 网络控制部、260 安装控制部270 应用程序权限列表保持部271 应用程序权限列表272 安装通路
273访问权限设定280调用履历图保持部281调用履历图283调用目的地应用程序ID290调用履历图更新部300应用程序不正当协作模式保持部
301应用程序不正当协作模式
权利要求
1.ー种信息处理装置包括 网络控制部，进行与外部的通信网络的连接； 安装控制部，进行应用程序的安装； 进程控制部，进行所述应用程序的启动以及所述应用程序间的协作处理； 调用履历图更新部，在所述应用程序的启动或所述应用程序间的协作处理被请求的情况下，将作为所述应用程序间的调用关系的履历信息的调用履历图，更新为在执行了被请求的所述启动或所述协作处理的情况下的调用履历图；以及 应用程序不正当协作控制部，利用从所述调用履历图和包含所述应用程序的访问权限信息的应用程序权限列表中得到的信息，判断是否有针对秘密信息的应用程序间的不正当的协作处理，在判断为有所述不正当的协作处理的情况下，按照针对所述秘密信息的、与应 用程序间的不正当的协作处理相对应的应用程序的执行控制方法，控制所述应用程序的执行，所述秘密信息是作为秘密而被管理的信息。
2.如权利要求I所述的信息处理装置， 所述应用程序不正当协作控制部，利用从所述应用程序权限列表得到的信息，来判断是否有所述不正当的协作处理，所述应用程序权限列表包含表示针对个人信息或机密信息的访问权利的访问权限信息。
3.如权利要求2所述的信息处理装置， 所述应用程序不正当协作控制部，利用从所述应用程序权限列表得到的信息，来判断是否有所述不正当的协作处理，所述应用程序权限列表还包含表示针对所述外部的通信网络的访问权利的访问权限信息。
4.如权利要求I至3的任一项所述的信息处理装置， 所述应用程序不正当协作控制部，判断是否有应用程序间的不正当的协作处理，在判断为有该不正当的协作处理的情况下，根据示出能够防止该不正当的协作处理的应用程序的执行控制方法的应用程序执行控制设定信息，控制所述应用程序的执行，所述应用程序间的不正当的协作处理是指，经由所述外部的通信网络，使所述秘密信息泄漏的处理。
5.如权利要求4所述的信息处理装置， 所述应用程序不正当协作控制部，在判断为有所述不正当的协作处理的情况下，根据示出不进行被请求的应用程序的启动的应用程序的执行控制方法的应用程序执行控制设定信息，按照该应用程序执行控制设定信息所示的应用程序的执行控制方法，不进行应用程序的启动。
6.如权利要求4所述的信息处理装置， 所述应用程序不正当协作控制部，在判断为有所述不正当的协作处理的情况下，根据示出切断与所述外部的通信网络之间的连接的应用程序的执行控制方法的应用程序执行控制设定信息，按照该应用程序执行控制设定信息所示的应用程序的执行控制方法，切断与所述外部的通信网络之间的连接。
7.如权利要求4所述的信息处理装置， 所述应用程序不正当协作控制部，在判断为有所述不正当的协作处理的情况下，根据示出直到判断为没有所述不正当的协作处理为止使应用程序结束的应用程序的执行控制方法的应用程序执行控制设定信息，按照该应用程序执行控制设定信息所示的应用程序的执行控制方法，直到判断为没有所述不正当的协作处理为止，使已经被启动的应用程序结束。
8.如权利要求4所述的信息处理装置， 所述应用程序不正当协作控制部，在判断为有所述不正当的协作处理的情况下，根据示出卸装应用程序的应用程序的执行控制方法的应用程序执行控制设定信息，按照该应用程序执行控制设定信息所示的应用程序的执行控制方法，卸装被请求的应用程序。
9.如权利要求I至8的任一项所述的信息处理装置， 所述应用程序不正当协作控制部，在判断为有所述不正当的协作处理的情况下，将示出具有执行该不正当的协作处理的危险性的信息通知给用户。
10.如权利要求I至9的任一项所述的信息处理装置， 所述调用履历图更新部，进ー步，參照更新后的所述调用履历图和所述应用程序权限列表，更新应用程序不正当协作模式，该应用程序不正当协作模式示出，具有所述不正当的协作处理被执行的可能性的应用程序的启动状态； 所述应用程序不正当协作控制部，參照所述应用程序不正当协作模式，判断在所述应用程序间是否有不正当的协作处理。
11.如权利要求I至10的任一项所述的信息处理装置， 该信息处理装置还包括 秘密信息保持部，保持所述秘密信息； 调用履历图保持部，保持所述调用履历图； 应用程序权限列表保持部，保持所述应用程序权限列表；以及应用程序执行控制设定信息保持部，保持应用程序执行控制设定信息，该应用程序执行控制设定信息示出，针对所述秘密信息的、与所述应用程序间的不正当的协作处理相对应的应用程序的执行控制方法； 所述调用履历图更新部，更新所述调用履历图保持部中所保持的所述调用履历图； 所述应用程序不正当协作控制部，利用从被更新的所述调用履历图和所述应用程序权限列表保持部中所保持的所述应用程序权限列表中得到的信息，对针对所述秘密信息保持部中所保持的所述秘密信息是否存在应用程序间的不正当的协作处理进行判断，在判断为有所述不正当的协作处理的情况下，按照所述应用程序执行控制设定信息保持部中所保持的所述应用程序控制设定信息所示的应用程序的执行控制方法，对所述应用程序的执行进行控制。
12.—种应用程序不正当协作防止方法，包括以下的步骤 进行应用程序的安装的步骤； 进行所述应用程序的启动以及所述应用程序间的协作处理的步骤； 在所述应用程序的启动或所述应用程序间的协作处理被请求的情况下，将作为所述应用程序间的调用关系的履历信息的调用履历图，更新为在执行了被请求的所述启动或所述协作处理的情况下的调用履历图的步骤； 利用从所述调用履历图和包含所述应用程序的访问权限信息的应用程序权限列表中得到的信息，判断针对作为秘密而被管理的信息的秘密信息是否存在应用程序间的不正当的协作处理的步骤；以及在被判断为有所述不正当的协作处理的情况下，按照针对所述秘密信息的、与应用程序间的不正当的协作处理相对应的应用程序的执行控制方法，来对所述应用程序的执行进行控制的步骤。
13.ー种程序，用于使计算机执行权利要求12所述的应用程序不正当协作防止方法中所包含的步骤。
14.ー种记录介质，该记录介质是记录有权利要求13所述的程序的计算机能够读取的记录介质。
15.—种集成电路,包括 网络控制部，进行与外部的通信网络的连接； 安装控制部，进行应用程序的安装； 进程控制部，进行所述应用程序的启动以及所述应用程序间的协作处理； 调用履历图更新部，在所述应用程序的启动或所述应用程序间的协作处理被请求的情况下，将作为所述应用程序间的调用关系的履历信息的调用履历图，更新为在执行了被请求的所述启动或所述协作处理的情况下的调用履历图；以及 应用程序不正当协作控制部，利用从所述调用履历图和包含所述应用程序的访问权限信息的应用程序权限列表中得到的信息，判断是否有针对秘密信息的应用程序间的不正当的协作处理，在判断为有所述不正当的协作处理的情况下，按照针对所述秘密信息的、与应用程序间的不正当的协作处理相对应的应用程序的执行控制方法，控制所述应用程序的执行，所述秘密信息是作为秘密而被管理的信息。
全文摘要
一种信息处理终端(40)，包括网络控制部(250)；安装控制部(260)；进行应用程序的启动以及协作处理的进程控制部(200)；调用履历图更新部(290)，在应用程序的启动或协作处理被请求的情况下，将作为应用程序间的调用关系的履历信息的调用履历图(281)，更新为在执行了被请求的启动或协作处理的情况下的调用履历图；以及应用程序不正当协作控制部(220)，利用从调用履历图(281)和包含应用程序的访问权限信息的应用程序权限列表(271)中得到的信息，判断是否有针对秘密信息的应用程序间的不正当的协作处理，在判断为有不正当的协作处理的情况下，按照针对所述秘密信息的、与应用程序间的不正当的协作处理相对应的应用程序的执行控制方法，控制应用程序的执行。
文档编号G06F21/00GK102630320SQ20118000471
公开日2012年8月8日 申请日期2011年9月26日 优先权日2010年10月4日
发明者前田学, 松岛秀树, 芳贺智之 申请人:松下电器产业株式会社