服务器装置及程序管理系统的制作方法

专利名称：服务器装置及程序管理系统的制作方法
技术领域：
本发明涉及一种由信息处理终端执行工作的程序的分配的服务器装置，以及由服务器装置和信息处理终端构成的程序管理系统，特别涉及企图非法使用程序的信息处理终端的排除技术。
背景技术：
近年来伴随网络的发展，已公布了许多通过网络进行商务交易的电子商务交易系统(Electronic commerce system)和进行电影、音乐等的内容发信的内容发送系统。在这些系统中，在通过网络而连接的设备之间，不仅可以更换内容的使用权利、收费用密钥等有价值的信息数据，也可以更换音乐播放程序等程序自身。另外，这种程序的更换，除现有PC以外，预计在携带电话等的组装设备中也能实现。
在通过网络实现电子购物或内容发信服务等伴随有收费的商用系统时，如果心存恶意的使用者可以非法地改写程序，则具有通过进行收费信息的操作免费购买商品或内容等的非法行为的危险性。因此，在通过网络更新程序进行非法修改或追加时，为了防止心存恶意的使用者的非法使用，需要验证程序的正当性。
作为以往验证程序正当性的方法，有使用电子署名的方法(例如，参照特开2000-339153号公报)。在该方法中，利用使用被称为公开密钥加密方式的2个为一对的密钥组的加密数据交换方式。图20是有关使用了该电子署名的程序的正当性验证方法的说明图。
程序发送者2000确认程序发送的身份，向作为担保的第三者机构的认证局(CACertification Authority)2010发送公开密钥2001。然后，认证局2010确认并审查程序发送者2000的身份。在认证局2010判断为可以信赖程序发送者2000的情况下，利用CA密钥2012向程序发送者2000的公开密钥2001发送进行电子署名的证明书2003。证明书2003包括识别公开密钥所有者的身份的信息，认证局2010保证公开密钥所有者的身份。认证局2010向程序发送者2000发送公开密钥证明书2003。
程序发送者2000对分配给使用者2020的程序，利用自己的密钥2002进行电子署名，并发送公开密钥证明书2003及带署名的程序2004。
使用者2020从认证局2010取得CA公开密钥2011，使用CA公开密钥2011验证程序发送者的公开密钥证明书2003的署名。在正确进行了署名验证的情况下，使用公开密钥证明书2003中包含的公开密钥2001验证带署名的程序2004的署名。在正确进行了该署名验证的情况下，所发送的程序是从程序发送者2000发送的程序，可以验证未被篡改。
因此，在该正当性验证方式中，通过向程序附加程序发送者2000的电子署名来保证程序的正当性，使用者2020可以验证所取得的程序2021是从程序发送者2000正当发送的程序。
但是，在图20所示正当性验证方式中，虽然可以进行发送时的程序的正当性验证，但对发送后的信息处理终端的程序不能保证正当性。另外，关于公开密钥加密方式及证明书、署名、认证的结构，在各种文献(例如，参照“AppliedCryptography”Bruce Schneier，John Wiley & Sons，Inc(1996))中有详细记述。
作为解决该问题的方法有如下方法，使用程序发送地的使用者识别符，由程序发送地对程序进行加密并发送，使用者在使用时使用识别符对程序解密并执行程序(例如，参照特开平7-295800号公报)。在该方法中，万一程序被非法复制时，如果使用者识别符不一致，就不能对程序解密并执行程序，所以可以防止非法复制和非法篡改。
另外，作为程序的发送装置已公开有下述装置，在进行程序发送时，根据程序的复制数和许可复制数之差判定发送的正当性，可以物理地防止进行无限制发送，使在物理上遵守有关程序复制的使用合同。
在本发明中，程序发送装置可以形成存储每个程序的信息处理装置的发送地，根据复制许可数和复制数发送程序的程序发送装置。
另一方面，在实现使用网络的电子购物或内容发送服务等伴随有收费的商用系统的情况下，由于对使用者进行收费，所以需要对使用者进行确定的方法。作为该方法之一，有使程序或与程序一起发送的信息中，含有分配给每个使用者的ID和密钥等固有信息的情况。该情况时，对每个使用者分配固有信息，在程序发送地的服务器装置侧管理固有信息，从而在使用者进行非法行为时，可以以固有信息为基础来确定使用者。
图21是以往的信息处理终端2101和服务器装置2102及2103间的程序管理系统的参考图。在图21中，为了进行说明而分开表示为应用数据用服务器装置2103和程序用服务器装置2102。
信息处理终端2101从作为程序发送地的服务器装置2102，下载例如喜欢的音乐数据，取得可以播放的音乐播放程序。在该音乐播放程序中含有固有信息“0101”。另外，为了实现程序的安全发送，通信路径使用SSL(Sceure SocketLayer)进行加密，防止盗听等窃听行为。
在信息处理终端2101的使用者请求取得音乐数据等时，从信息处理终端2101向应用数据用服务器装置2103发送被赋予了所述固有信息“0101”的音乐数据取得请求。服务器装置2103具有排除执行非法音乐播放程序的信息处理终端的无效目录(CRLcertificate revocation list)，由于从信息处理终端2101根据音乐数据取得请求发送的固有信息“0101”被记载在CRL中，所以不向信息处理终端2101进行音乐数据的发送。另外，在CRL中未记载着固有信息时，向信息处理终端2101发送所请求的音乐数据。
这样，如果确定非法使用程序的信息处理终端2101具有的程序的固有信息，就可以使用CRL排除企图进行非法使用的信息处理终端2101。
另外，向从服务器装置2102等下载到信息处理终端2101的数据附加电子署名，在信息处理终端2101侧进行署名验证，可以防止下载数据的篡改、偷换、盗听等，保护下载数据在无非法行为下的安全发送。
但是，在上述的程序发送地进行与各使用者识别符相适应的程序加密处理的方法，产生增大程序发送地的这种处理负担的问题。
另外，上述的程序发送装置对每个程序存储信息处理装置的发送地，根据复制许可数和复制数来发送程序的方法，是程序发送装置针对程序的每个发送请求，确认发送的装置ID，根据复制许可数来发送程序，并非用来防止程序的非法使用。
此外，在图21所示的服务器装置2103使用记载有程序的固有信息的CRL来排除企图非法使用的信息处理终端2101的方法中，即使在信息处理终端2101尝试非法地取得数据，并通过服务器装置2103的CRL把其作为非法终端来排除数据取得的情况下，也会产生下述问题信息处理终端2101的使用者从服务器装置2102进行其他固有信息的下载，把程序的固有信息更新为新的固有信息，从而可以避免因使用了服务器装置2103的CRL而被排除的问题。

发明内容
本发明就是鉴于以上课题而提出的，其第1目的是提供一种服务器装置，在作为程序发送方的服务器装置中，防止通过使用了固有信息的目录被排除的非法信息处理终端取得新的固有信息以回避被排除。另外，其目的还在于减少服务器装置向信息处理终端发送程序时的处理负担。
此外，本发明的目的在于提供一种程序管理系统，即使在服务器装置和信息处理终端之间进行程序发送的程序管理系统中，也能排除来自非法的信息处理终端取得新固有信息的请求，防止信息处理终端非法使用程序。
为了解决上述课题，本发明涉及的服务器装置，通过网络连接用于保持从外部不能进行改写的终端ID的信息处理终端，保持所述信息处理终端执行动作的程序，其特征在于，具有数据表保持单元，保持表示以前发送的程序和终端ID的关联的数据表；和判定单元，参照所述数据表，判定对从所述信息处理终端发送的具有所述终端ID的程序取得请求发送程序是否正当。
另外，在本发明涉及的从服务器装置发送给信息处理终端的程序中，包括所述信息处理终端执行动作的程序主体和所述程序主体使用的固有信息即程序固有信息，所述判定单元的特征在于，在赋予给所述程序取得请求的所述终端ID被记录在所述数据表中时，判定为禁止发送所述程序固有信息，仅向所述信息处理终端发送所述程序主体，在判定为所述终端ID未被记录在所述数据表中时，判定为使所述终端ID与所述程序固有信息对应并追加到所述数据表中，同时向所述信息处理装置发送所述程序主体和所述程序固有信息。
由此，服务器装置可以防止信息处理终端重新取得与以前发送的程序对应的程序固有信息，能够可靠防止取得新的程序固有信息而企图躲避排除的信息处理终端的非法行为。
另外，为了解决上述课题，本发明涉及的程序管理系统，由保持不能从外部进行改写的终端ID的信息处理终端、和通过网络连接该信息处理终端并保持所述信息处理终端执行动作的程序的服务器装置构成，其特征在于，所述信息处理终端在请求取得所述程序时，向所述服务器装置发送赋予了所述终端ID的程序取得请求，所述服务器装置具有数据表保持单元，接收所述程序取得请求，保持表示以前发送的程序和终端ID的关联的数据表；和判定单元，参照所述数据表，判定对从所述信息处理终端发送的赋予有所述终端ID的程序取得请求发送程序是否正当。
这样，本发明不仅可以实现上述的服务器装置，也可以实现以具有服务器装置和信息处理终端间的程序管理系统或服务器装置具备的单元为步骤的程序发送方法。另外，当然也可以实现使计算机等执行该程序发送方法的程序，或通过CD-ROM等记录介质和通信网络等传送介质使该程序可以流通。


图1是表示实施方式1的信息处理终端和服务器装置的构成图。
图2是从本实施方式1涉及的服务器装置向信息处理终端侧发送的程序的整体结构图。
图3(a)是表示存储在程序标题中的信息的一个示例。
图3(b)是表示存储在程序中的信息的一个示例。
图4(a)是表示存储在固有信息标题中的信息的一个示例。
图4(b)是表示存储在程序固有信息的信息的一个示例。
图5是表示在信息处理终端和服务器之间进行的程序更新系统的动作步骤的图。
图6是表示保持在固有信息发送履历保持单元的固有信息发送履历的信息存储的一个示例的图。
图7是表示服务器装置的程序发送步骤的流程图。
图8是表示使用本实施方式1涉及的服务器装置的程序管理系统的整体图。
图9是表示本实施方式1涉及的程序标题和程序中包含的其他数据结构的图。
图10是表示固有信息标题和程序固有信息中包含的其他数据结构的图。
图11是表示本实施方式2涉及的信息处理终端和服务器装置的构成图。
图12(a)是表示本实施方式2涉及的固有信息发送履历中包含的信息的一个示例图。
图12(b)是表示本实施方式2涉及的程序/固有信息对应表中包含的信息的一个示例图。
图13是表示服务器装置的程序发送步骤的流程图。
图14是表示本实施方式3涉及的信息处理终端和服务器装置的构成图。
图15是表示本实施方式3涉及的发送次数信息的信息存储例的图。
图16是表示服务器装置的程序发送步骤的流程图。
图17是表示本实施方式4涉及的信息处理终端和服务器装置的构成图。
图18(a)是表示本实施方式4涉及的发送次数信息中存储的数据的一个示例图。
图18(b)是表示本实施方式4涉及的程序/固有信息对应表中存储的数据的一个示例。
图19是表示服务器装置的程序发送步骤的流程图。
图20是说明有关使用以往的电子署名的程序的正当性验证方法的图。
图21是以往的信息处理终端和服务器之间的程序管理系统的参考图。
具体实施例方式
以下，使用

本发明的实施方式涉及的服务器装置及程序管理系统。
(实施方式1)图1是表示本发明的实施方式1的信息处理终端100和服务器装置120的构成图。
信息处理终端100是使用以下程序的终端装置，该程序用于从服务器装置120取得的电子商务交易或内容发送等中，由以下部分构成CPU101；RAM102；进行程序或数据等的加密及解密处理的加密处理单元103；与服务器装置120进行通信的通信处理单元104；存储程序的程序存储单元105；存储CA公开密钥等不需要特别隐秘的信息的数据存储单元106；以及存储密钥等需要隐秘的信息的隐秘信息存储单元107。
程序存储单元105存储CPU101执行动作的程序116。
数据存储单元106存储有信息处理终端100使用的数据中不需要特别隐秘的数据，同时存储信息处理终端100中存储的程序的ID或版本号等作为存储程序的管理信息的程序管理信息108及CA公开密钥109。
隐秘信息存储单元107存储需要在信息处理终端100内隐秘的信息，并存储对每个信息处理终端不同的密钥即终端固有密钥110、作为对每个信息处理终端不同的公开密钥对之一的终端加密密钥111、程序使用的固有密钥等的程序固有信息112、作为对每个信息处理终端不同的公开密钥对的另一方的终端公开密钥证明书113。终端公开密钥证明书113包括唯一地识别信息处理终端100的ID即终端ID114，和认证局附加给终端公开密钥证明书113的CA署名115。
另一方面，本发明涉及的服务器装置120是发送信息处理终端100要求的程序的装置，由以下部分构成CPU121；RAM122；进行程序或数据等的加密和解密处理的加密处理单元123；与信息处理终端100进行通信的通信处理单元124；存储CA公开密钥等不需要特别隐秘的信息的数据存储单元125；存储发送给信息处理终端100的程序等的信息的发送信息存储单元126；和固有信息发送履历保持单元140。
本发明涉及的服务器装置120的特征是具有固有信息发送履历保持单元140。该固有信息发送履历保持单元140保持用于管理发送给信息处理终端100的程序的程序固有信息的履历的固有信息发送履历600。
数据存储单元125是存储服务器装置120使用的信息的区域，存储作为公开密钥对之一的服务器加密密钥127、作为公开密钥对的另一方的服务器公开密钥证明书128、和CA公开密钥129。服务器公开密钥证明书128包括唯一地识别服务器的ID的服务器ID130和对服务器公开密钥证明书附加了CA的CA署名131。发送信息存储单元126是存储服务器装置120发送给信息处理终端100的信息的区域，存储程序标题300、程序310、固有信息标题400、和程序固有信息420。另外，作为该发送信息的程序整体图如后面的图2所示。
存储在发送信息存储单元126的程序标题300、程序310、固有信息标题400、和程序固有信息420被附加上作为第三者认证机构的CA署名，利用该CA署名保证发送信息是由正当的发送方发送。
图2是从本实施方式1涉及的服务器装置120向信息处理终端100侧发信的程序整体200的构成图。该程序整体200是被存储在服务器装置120的发送信息存储单元126中的信息，在本实施方式1中，由程序标题300、程序310、固有信息标题400、和程序固有信息420构成。另外，在本发明中的特征是，把程序整体200划分为程序310和程序固有信息420，并进一步划分为标题部分和数据部分。
另外，在本实施方式涉及的程序管理系统中，信息处理终端100在从服务器装置120等取得在程序310使用的应用数据时，向应用数据取得请求赋予程序固有信息420进行发送。这样，可以通过使用了服务器装置120等具有的程序固有信息420的CRL，来排除非法的信息处理终端。
图3(a)和(b)是表示存储在程序标题300和程序310的信息的一个示例图。
程序标题300用于存储与程序310有关的信息，包括以下信息。
(1)表示程序标题300存储的信息等是与哪个程序310对应的信息的程序ID(301)。(2)对应的程序310的版本号(302)。(3)对应的程序310的程序大小(303)。(4)对应的程序310的散列(hash)数据值(304)。(5)含有从所述(1)到(4)的信息的程序标题300整体的CA署名(305)。
并且，向程序310附加相对程序310的CA署名(311)。这样，由于程序标题300和程序310均含有CA署名305和311，所以在信息处理终端100可以验证程序标题、程序是从正当的发送方发送的。
图4(a)和(b)是表示存储在固有信息标题400和程序固有信息420的信息的一个示例图。
固有信息标题400用于存储与程序固有信息420相关的信息，包括以下信息。
(1)表示固有信息标题400存储的信息等是与哪个程序固有信息420对应的信息的程序固有信息ID(401)。(2)使用对应的程序固有信息420的程序310的程序ID(402)。(3)对应的程序固有信息420存储的固有信息数(403)。(4)对应的程序固有信息420整体的大小(404)。(5)表示与对应的程序固有信息420中包含的每个固有信息有关的信息的固有信息子标题(405)。固有信息子标题405仅存在程序固有信息420中包含的每个固有信息数(1～n)。(6)对含有从所述(1)到(5)的信息的固有信息标题400整体的CA署名(406)。
固有信息子标题405由用于识别每个固有信息的ID即程序固有信息子ID411和每个固有信息的大小(size)412构成。
程序固有信息420包括多个程序固有信息(421)和对程序固有信息整体的CA署名(422)。因此，由于固有信息标题400、程序固有信息420均含有CA署名(406和422)，所以在信息处理终端100能够验证固有信息标题400、程序固有信息420是从正当的发送方发送的。
下面，使用图5说明在信息处理终端100和服务器装置120之间进行的程序更新系统的动作步骤的示例。在该程序更新系统中，信息处理终端100首先进行标题取得请求，进行空闲区域的确认。在服务器装置120，通过从固有信息发送履历保持单元140参照固有信息发送履历600，可以排除企图非法使用程序的信息处理终端100。
首先，信息处理终端100利用SSL进行与服务器装置120的连接(S501)。此时，服务器装置120取得信息处理终端100的终端ID。另外，SSL为了在两点之间安全收发数据，采取并用公开密钥加密方式和隐秘密钥加密方式，对数据加密后进行收发的机构。由于在SSL仅在被称为对话密钥的该对话中共享有效的密钥，所以在图5所示S502以后的信息处理终端100和服务器装置120之间的数据收发全部是利用使用了对话密钥的加密数据来进行的。
然后，信息处理终端100向服务器装置120指定想要取得的程序310的程序ID，进行标题取得请求(S502)。此时，服务器装置120根据保持在固有信息发送履历保持单元140的固有信息发送履历600，确认终端ID和程序固有信息ID的对应关系。即，针对信息处理终端100，确认是否已经发送固有信息ID。在判断为是来自正规的信息处理终端的标题取得请求时，接收到标题取得请求的服务器装置120把存储在发送信息存储单元126的程序标题300发送给信息处理终端100(S503)。
从服务器装置120接收到程序标题300的信息处理终端100，使用存储在数据存储单元106的CA公开密钥109，验证程序标题300中包含的CA署名(S504)。这样，信息处理终端100验证是从程序标题300未被篡改的正当发送方发送的信息。另外，在程序标题300存储有程序的程序ID301、版本号302、大小303、程序的散列数据值304等与程序有关的信息，信息处理终端100比较这些信息和存储在数据存储单元106的程序管理信息108中记载的程序ID、版本信息、空闲容量信息，确认更新对象的程序310是否已从服务器装置120被正确发送，是否存在存储程序310的空闲容量(S504)。因此，本实施方式1涉及的信息处理终端100可以防止在程序310的下载中不能取得程序的弊端。
然后，服务器装置120把存储在发送信息存储单元126的固有信息标题400发送给信息处理终端100(S505)。
从服务器装置120接收到固有信息标题400的信息处理终端100，使用存储在数据存储单元106的CA公开密钥109验证固有信息标题400中包含的CA署名(S506)。这样，信息处理终端100验证固有信息标题400是未被篡改的从正当的发送方发送的信息。在固有信息标题400存储有唯一地识别程序固有信息420的程序固有信息ID401、与程序固有信息相关联的程序的程序ID402、被发送的信息中包含的程序固有信息数403、大小404等与程序固有信息420相关的信息，信息处理终端100在下载程序310之前，比较这些信息和存储在数据存储单元106的程序管理信息108中记载的程序ID、空闲容量信息，确认与更新对象的程序310相关的程序固有信息420是否已从服务器装置120被正确发送，是否存在存储程序固有信息420的空闲容量(S506)。
信息处理终端100在判断为可以取得程序310、程序固有信息420时，向服务器装置120指定程序ID，请求取得程序(S507)。
接收到程序取得请求的服务器装置120向信息处理终端100发送存储在发送信息存储单元126的程序310(S508)。从服务器装置120接收到程序310的信息处理终端100使用存储在数据存储单元106的CA公开密钥109验证程序310中包含的CA署名(S509)。这样，信息处理终端100验证程序310是未被篡改的从正当的发送方发送的信息。在可以验证到取得数据的正当性的情况下，利用存储在隐秘信息存储单元107的终端固有密钥110对所取得的程序310加密，存储在程序存储单元105(S509)。此时，把程序存储位置和程序ID、版本号等存储在程序管理信息108，进行程序的管理。
然后，在程序的存储完成后，使用终端固有密钥110对存储在程序存储单元105的程序116进行解密，算出散列数据值。进行所算出的值与存储在程序标题300中的散列数据值的比较，确认程序被正确存储(S510)。
然后，信息处理终端100向服务器装置120指定程序ID，进行程序固有信息取得请求(S511)。
服务器装置120向信息处理终端100发送存储在发送信息存储单元126的程序固有信息420(S512)。从服务器装置120接收到程序固有信息420的信息处理终端100使用存储在数据存储单元106的CA公开密钥109，验证程序固有信息420中包含的CA署名(S513)。这样，信息处理终端100验证程序固有信息是未被篡改的从正当的发送方发送的信息。在可以验证到取得数据的正当性的情况下，把所取得的程序固有信息存储在隐秘信息存储单元107(S513)。
最后，在信息处理终端100的程序。程序固有信息的存储完成后，切断信息处理终端100和服务器装置120之间的通信(S514)。
这样，本实施方式1涉及的信息处理终端100通过进行标题取得请求，确认是否存在存储程序310的空闲容量等，可以更安全地进行程序的下载。在这种情况下，也可以作如下考虑，算出程序310和程序固有信息420的散列数据值，通过比较所算出的散列数据值和程序标题300及程序固有信息标题400中存储的散列数据值，确认是正当的发送信息。
图6是表示保持在固有信息发送履历保持单元140的固有信息发送履历600的信息存储的一个示例图。
服务器装置120把记录了与以前发送给信息处理终端100的程序对应的程序固有信息420和该信息处理终端100的终端ID的数据表作为固有信息发送履历600。
服务器装置120把作为识别发送了程序固有信息420的信息处理终端100的ID的终端ID601、和作为识别所发送的程序固有信息420的ID的程序固有信息ID602存储在固有信息发送履历保持单元140。另外，根据需要把表示最后发送程序固有信息420的日期的最终发送日期603存储在固有信息发送履历600。
在图6中，服务器装置120向信息处理终端100已发送5个程序固有信息420，各自的终端ID601、程序固有信息ID602的组成为(终端ID、程序固有信息ID)＝(0001，0001)、(0002，0002)、(0010，0003)、(0015，0004)、(0020，0005)。
图7是表示服务器装置120的程序310的发送步骤的流程图。
首先，服务器装置120从信息处理终端100接收程序发送请求(S701)。然后，服务器装置120取得所接收的程序发送请求中包含的信息处理终端100的终端ID(S702)，针对固有信息发送履历600检索所取得的终端ID(S703)，进行固有信息发送履历600中是否存储有相同的终端ID的判断(S704)。
服务器装置120在固有信息发送履历600中存储有相同的终端ID时(S704为是)，由于已向信息处理终端100发送程序固有信息420，所以仅发送程序310，并结束处理(S708)。
另外，服务器装置120在固有信息发送履历600中没有存储有相同的终端ID时(S704为否)，针对信息处理终端100分配新的程序固有信息420(S705)，对该新分配的程序固有信息420，追加终端ID601和程序固有信息ID602的对应，更新固有信息发送履历600(S706)。服务器装置120向信息处理终端100发送程序固有信息420，向信息处理终端100发送程序310，并结束处理(S708)。
这样，通过在服务器装置120使用固有信息发送履历600来发送管理程序固有信息，可靠防止向一个信息处理终端100发送多个程序固有信息420。由此，服务器装置120识别为是通过CRL等使用程序固有信息420的非法终端，并向被排除的信息处理终端100不分配新的程序固有信息420。因此，可以防止取得新的程序固有信息420，企图逃避排除的信息处理终端100的非法行为。
图8是表示使用了本实施方式1涉及的服务器装置120的程序管理系统的整体图。
程序用服务器装置120a向信息处理终端100发送与程序取得请求对应的程序。服务器装置120b向信息处理终端100发送在信息处理终端100执行的程序使用的应用数据。另外，在图8中，把信息处理终端100保持的程序的程序固有信息设为“0101”，说明为了企图逃避被CRL800排除而非法取得新的程序固有信息的终端。此外，为了谋求程序的安全发送，通信路径使用SSL作为加密通信路径。
在信息处理终端100的使用者请求应用数据时，把赋予了信息处理终端100保持的程序的程序固有信息“0101”的应用取得请求发送给应用数据用服务器装置120b。
服务器装置120b具有使用了程序固有信息的非法程序的无效目录(CRL)800，由于赋予给来自信息处理终端100的取得请求的程序固有信息“0101”已记载在CRL800中，所以不进行应用数据的发送，而进行非法信息处理终端的排除。另外，如果是未记载在CRL的程序固有信息时，服务器装置120b向信息处理终端100发送应用数据。并且，向从服务器装置120a等下载的数据上附加CA署名，在信息处理终端100进行署名验证，由此防止在下载数据的通信路径上的篡改、偷换、盗听等。
程序固有信息“0101”已被记载在CRL800的信息处理终端100的使用者，为了获得新的其他程序固有信息，逃避被CRL排除，从程序用服务器装置120a进行程序固有信息的取得请求。
在这种情况时，本发明涉及的服务器装置120a在固有信息发送履历保持单元140，关于以前发送的程序，具有记录了信息处理终端100的终端ID“0102”和程序固有信息ID“0101”的固有信息发送履历600。
在从信息处理终端100向服务器装置120a进行新的程序固有信息取得请求时，服务器装置120a判断赋予给该程序固有信息取得请求的终端ID“0102”是否已记载在固有信息发送履历600中，在已有记载的情况下，禁止发送程序固有信息，向所述信息处理终端100仅发送程序主体。并且，参照固有信息发送履历600，在未记载与赋予给程序固有信息取得请求的终端ID对应的程序固有信息ID的情况下，使终端ID和程序固有信息ID对应，追加到固有信息发送履历600中，同时向信息处理终端100发送程序和程序固有信息。
另外，服务器装置120a不向信息处理终端100再次发送的仅是程序固有信息，程序主体可以被发送2次以上。这是因为程序固有信息通过CRL800被无效化，只要程序固有信息不被更新，就能排除企图非法使用的信息处理终端100的使用者取得新的应用数据。
图9是表示本实施方式1涉及的程序标题900和程序910中包含的其他数据结构的图。在图9中，与图3的不同之处是不向程序910附加CA署名311。
程序标题900用于存储与程序910有关的信息，包括和上述的程序标题300相同的信息的程序ID(901)、版本号(902)、程序大小(903)、散列数据值(904)、CA署名(905)。
在信息处理终端100进行程序标题900和程序910的正当性验证时，首先从服务器装置120取得程序标题900，验证附加给程序标题900的CA署名905。这样，信息处理终端100验证程序标题900是未被篡改的从正当发送方发送的信息。
然后，算出程序910的散列数据值。比较所算出的散列数据值和存储在程序标题900的程序的散列数据值904，确认是一致的。这样，信息处理终端100可以验证到程序910是未被篡改的从正当发送方发送的信息。
这样，在进行程序910的正当性验证时通过使用存储在程序标题900的程序的散列数据值904，向程序标题900仅附加CA署名905，可以降低程序910的CA署名的必要信息，与向程序标题900、程序910附加署名的情况时相同，可以进行正当性验证。另外，当程序标题900和程序910的组合被非法变更的情况下，在信息处理终端100通过算出程序的散列数据值，可以检测组合的异常。并且，通过不进行程序910的CA署名，没必要把程序910转发给认证局进行CA署名。
下面，图10是表示固有信息标题1000和程序固有信息1020中包含的其他数据结构的图。在图10中，与图4的不同之处是，固有信息标题1000具有程序固有信息散列数据值1005，向程序固有信息1020不附加CA署名422。
固有信息标题1000用于存储与程序固有信息1020有关的信息，由与存储在上述固有信息标题400的信息相同的信息的程序固有信息ID1001、程序ID1002、固有信息数1003、程序固有信息整体的大小1004、程序固有信息整体的散列数据值1005、固有信息子标题1006、和对固有信息标题整体的CA署名1007构成。
因此，信息处理终端100算出程序固有信息1020的散列数据值，比较所算出的散列数据值与存储在固有信息标题1000的程序固有信息的散列数据值1005，确认是一致的，由此可以验证程序固有信息1020未被篡改的从正当发送方发送的信息。
如上所述，本实施方式1涉及的服务器装置120具有固有信息发送履历保持单元140，由此服务器装置120可以防止信息处理终端100重新取得与以前发送的程序对应的程序固有信息。因此，可以避免企图取得新的程序固有信息420逃避排除的信息处理终端100的窃听等非法行为，实现安全下载。
另外，在信息处理终端100，通过利用记录在仅可以从内部存取的安全的闪存等上的终端固有密钥110对从服务器装置120取得的程序进行加密，不需要以往在服务器装置利用信息处理终端的固有密钥对程序进行加密的处理，可以减轻服务器装置120的程序加密处理的负担。另外，在这种情况下，在信息处理终端100用终端固有密钥110进行加密的情况下，需要确认能够正确进行加密。关于这一点，在本发明中，信息处理终端100在存储程序后用终端固有密钥110进行解密，利用明文程序的散列数据值进行验证，从而不必有意识地对每个信息处理终端100利用不同的终端固有密钥110进行加密，就可以判定程序存储是否成功。
另外，服务器装置120把程序整体划分为程序310和程序固有信息420来分别生成。因此，服务器装置120管理多个在各个信息处理终端100成为不同信息的容量较小的程序固有信息420，仅管理一个在所有信息处理终端100成为共同信息的容量大的程序310，从而进一步降低服务器装置120管理的发送信息的容量，进而可以减轻信息管理的负担。
在服务器装置120，向固有信息标题1000存储程序固有信息1020的散列数据值1005，仅向固有信息标题1000附加CA署名1007，由此可以一面降低程序910的CA署名所需要的信息，一面获得与向固有信息标题1000、程序固有信息1020附加署名时相同的效果。并且，在固有信息标题1000和程序固有信息1020的组合被非法变更的情况下，在信息处理终端100，通过算出程序固有信息1020的散列数据值，可以检测组合的异常。
另外，在本实施方式1所示的固有信息发送履历保持单元140保持的固有信息发送履历600的形式仅是一例，可以删除最终发送日期603，也可以附加其他信息。在本实施方式1中，对记载在固有信息发送履历600的终端ID601拒绝发送程序固有信息420，但只要不是非法取得，也可以对具有该终端ID601的信息处理终端100再次发送已经发送的程序固有信息420。
在本实施方式1涉及的服务器装置120中，来自信息处理终端100的请求可以是伴随有程序发送的程序发送请求，或者不伴随程序发送的程序固有信息发送请求中的任一种。
在本实施方式1中，在信息处理终端100和服务器装置120之间进行使用了SSL的加密数据的收发，但只要是在两点间能够安全收发数据的方法，不限于SSL，也可使用其他通信协议。
在本实施方式1中，数据存储单元106和程序存储单元105是两个不同单元，但也可以形成同一个存储单元。另外，在隐秘信息存储单元107存储终端公开密钥证明书113，但也可以存储在数据存储单元106。
本实施方式1涉及的服务器装置120把程序标题300、固有信息标题400作成不同的程序310、程序固有信息420，但也可以把程序310和程序标题300、程序固有信息420和固有信息标题400作成一体的信息，在从服务器装置120发送之前，先抽出标题部分发送给信息处理终端100。
在本实施方式1中，表示了对程序310、程序固有信息420在发送时使用对话密钥进行加密的示例，但也可以用不同于对话密钥的密钥进行加密，把该密钥也发送给程序标题300、固有信息标题400。
在本实施方式1中对记载为散列数据值之处，作为散列数据算法，也可以使用SHA-1、MD5等已有的散列数据算法，还可以使用独自的算法。另外，也可以取代散列数据算法，用检查和等方法进行篡改检测。另外，向每个信息处理终端100发送不需要不同的信息的程序时，不必进行程序固有信息的发送。
(实施方式2)图11表示本发明的实施方式2涉及的信息处理终端1100和服务器装置1120的构成图。在该图中，与本实施方式1的不同之处是，服务器装置1120具有程序/固有信息对应表保持单元1150。
该程序/固有信息对应表保持单元1150是保持程序/固有信息对应表1210的存储单元，该程序/固有信息对应表1210表示唯一地识别程序固有信息的程序固有信息ID和唯一地确定使用程序固有信息的程序的程序ID的对应关系。
图12(a)和(b)是表示本实施方式2涉及的固有信息发送履历1200和程序/固有信息对应表1210中包含的信息的一个示例图。
固有信息发送履历保持单元1140与前述的实施方式1的固有信息发送履历600不同，管理被附加了识别与所发送的程序固有信息对应的程序的程序ID1202的固有信息发送履历1200。关于存储在固有信息发送履历1200的终端ID1201、程序固有信息ID1203、及最终发送日期1204，和前述图6相同，所以省略详细说明。
在固有信息发送履历1200的示例中，服务器装置1120向信息处理终端1100已发送5个程序固有信息ID1203，各自的终端ID1201、程序ID1202、程序固有信息ID1203的组成为(终端ID、程序ID、程序固有信息ID)＝(0001，0001，0001)、(0002，0001，0002)、(0010，0001，0003)、(0015，0001，0004)、(0020，0002、1001)。
程序/固有信息对应表保持单元1150向程序/固有信息对应表1210存储服务器装置1120管理的程序的程序ID1211、和识别各程序使用的程序固有信息的程序固有信息ID1212的对应关系。
在图12的示例中，服务器装置1120管理程序ID是0001的程序，作为该程序使用的程序固有信息，管理程序固有信息ID为从0001到1000的程序固有信息。同样，管理程序ID是0002的程序，和该程序使用的程序固有信息ID为从1001到2000的程序固有信息。另外，为了防止再次发送以及发送给信息处理终端1100的程序固有信息，在下次开始发送程序固有信息时，在程序/固有信息对应表1210存储作为应该发送的程序固有信息的发送开始ID1213。
在图12的示例中，表示对程序ID是0001的程序分配新的程序固有信息时，服务器装置1120分配程序固有信息ID0123的程序固有信息。同样，表示对程序ID是0002的程序分配新的程序固有信息时，服务器装置1120分配程序固有信息ID1423的程序固有信息。
另外，服务器装置1120使用该程序/固有信息对应表1210，对来自信息处理终端1100的指定程序ID的程序发送请求，发送与该程序ID对应的程序固有信息。
下面，使用图13说明本发明的实施方式2的程序发送步骤。图13是表示服务器装置1120的程序发送步骤的流程图。
首先，服务器装置1120从信息处理终端1100接收程序发送请求(S1301)。该程序发送请求用于指定程序ID。
然后，服务器装置1120从所接收的程序发送请求取得信息处理终端1100的终端ID和程序ID(S1302)。对固有信息发送履历1200检索所取得的终端ID、程序ID(S1303)，确认固有信息发送履历1200是否存储有相同终端ID且相同程序ID的履历(S1304)。
在固有信息发送履历1200存储有相同终端ID且相同程序ID的履历时(S1304为是)，服务器装置1120由于已经向信息处理终端1100发送相对已指定程序的程序固有信息1135，所以仅发送程序1133，并结束处理(S1309)。
在固有信息发送履历1200没有存储相同终端ID且相同程序ID的履历时(S1304为否)，服务器装置1120以存储在程序/固有信息对应表1210的发送开始ID的信息为基础，向信息处理终端1100分配新的程序固有信息1135(S1305)。
然后，服务器装置1120针对新分配的程序固有信息1135，参照存储在程序/固有信息对应表保持单元1150的程序/固有信息对应表1210，更新发送开始ID1213的值(S1306)。并且，对新分配的程序固有信息1135，向固有信息发送履历1200追加终端ID和程序固有信息ID的对应关系(S1307)。然后，服务器装置1120向信息处理终端1100发送程序固有信息1135(S1308)，发送程序1133，结束处理(S1309)。
如上所述，本实施方式2涉及的服务器装置1120，具有固有信息发送履历保持单元1140和程序/固有信息对应表1150，使用固有信息发送履历1200和程序/固有信息对应表1210进行程序固有信息的发送管理，防止对由一个信息处理终端1100执行的同一程序发送多个程序固有信息1135。因此，能够防止企图取得新的程序固有信息1135来逃避排除的信息处理终端1100取得新的程序固有信息1135。
本实施方式2涉及的服务器装置1120，把下载对象的程序和执行该程序的信息处理终端1100的对应关系存储在程序/固有信息对应表1210中，按程序单位管理程序固有信息1135的发送，由此可以对每个程序判定可否发送程序固有信息1135。因此，服务器装置1120参照程序/固有信息对应表1210，可以防止向非执行对象的信息处理终端1100发送程序。
另外，在本实施方式2中，数据存储单元1106和程序存储单元1105是两个不同单元，但也可以形成同一个存储单元。另外，在本实施方式2所示的固有信息发送履历1200的形式仅是一例，可以删除最终发送日期1204，也可以附加其他信息。同样，程序/固有信息对应表1210的形式也仅是一例，也可以用其他形式管理发送开始ID1213。例如，也可以设置具有存储了所有程序固有信息ID的数据表，识别是否已对各个程序固有信息ID进行分配的旗标，由此管理程序固有信息1135的发送状态。
在本实施方式2中，对记载在固有信息发送履历1200的终端ID1201拒绝发送程序固有信息1135，但也可以对该信息处理终端1100再次发送已经发送的程序固有信息1135。另外，在本实施方式2中，来自信息处理终端1100的请求可以是伴随有程序发送的程序发送请求，或者不伴随程序发送的程序固有信息发送请求。
(实施方式3)图14表示本实施方式3涉及的信息处理终端1400和服务器装置1420的构成图。在该图中，与前述的实施方式1和实施方式2的不同之处是，服务器装置1400具有发送次数信息保持单元1440。
该发送次数信息保持单元1440是保持用于管理从服务器装置1420向同一信息处理终端1400发送程序固有信息1435的次数的发送次数信息1500的硬盘。
图15是表示本实施方式3涉及的发送次数信息1500的信息存储示例。
在发送次数信息1500中存储作为识别发送了程序固有信息1435的信息处理终端1400的ID终端ID1501，和表示已发送次数的次数计数器1502。在该图示例中，表示对终端ID是0001、0002的信息处理终端1400发送一次程序固有信息1435，对终端ID是0003的信息处理终端1400未发送程序固有信息1435。
图16是表示服务器装置1420的程序发送步骤的流程图。
首先，服务器装置1420从信息处理终端1400接收程序发送请求(S1601)。然后，服务器装置1420取得在S1601所接收的程序发送请求中包含的信息处理终端1400的终端ID(S1602)。
服务器装置1420使用保持在发送次数信息保持单元1440的发送次数信息1500检索在S1602所取得的终端ID，取得次数计数器的值(S1603)。并且，判定所取得的次数计数器的值是否为规定值以上(S1604)。
当所取得的次数计数器的值是规定值以上时(S1604为是)，服务器装置1420由于已经向信息处理终端1400发送规定次数以上的程序固有信息1435，所以仅发送程序1433，并结束处理(S1608)。
另一方面，当所取得的次数计数器的值不足规定值时(S1604为否)，服务器装置1420向信息处理终端1400分配新的程序固有信息1435(S1605)。并且，服务器装置1420加算存储在发送次数信息保持单元1440中的发送次数信息1500的次数计数器的值(S1606)。服务器装置1420向信息处理终端1400发送程序固有信息1435(S1607)，发送程序1433，结束处(S1608)。
这样，本实施方式3涉及的服务器装置1420具有发送次数信息保持单元1440，使用发送次数信息1500进行程序固有信息1435的发送管理，由此可以防止向一个信息处理终端1400发送规定值以上的程序固有信息1435。特别是，当把规定值设为1时，和本发明的实施方式1和实施方式2相同，服务器装置1420使用程序固有信息1435包含的信息，可以防止对被识别为非法终端将被排除的信息处理终端1400分配新的程序固有信息1435，防止非法终端逃避排除。
另外，通过把表示程序固有信息1435的发送次数的规定值设为2以上，对因硬盘故障等非非法目的再次购买程序的使用者，可以正规地进行程序固有信息1435的再发送和重新分配。
在本实施方式3中，数据存储单元1406和程序存储单元1405是两个不同单元，但也可以形成同一个存储单元。另外，本实施方式3表示的发送次数信息1500的形式仅是一例，也可以附加其他信息。在本实施方式3中，来自信息处理终端1400的请求可以是伴随有程序发送的程序发送请求，或者不伴随程序发送的程序固有信息发送请求。
(实施方式4)图17是本实施方式4涉及的信息处理终端1700和服务器装置1720的构成图。在该图中，与前述实施方式3的不同之处是，服务器装置1720具有程序/固有信息对应表保持单元1750。该程序/固有信息对应表保持单元1750是与图11中说明的程序/固有信息对应表保持单元1150相同的存储单元。
图18(a)和(b)是表示本实施方式4涉及的发送次数信息1800和存储在程序/固有信息对应表1810的数据的一个示例图。
发送次数信息1800存储所发送的程序的程序ID1801、发送了程序固有信息1735的信息处理终端1700的终端ID1802、表示发送了程序固有信息的次数的次数计数器1803。与前述实施方式3的发送次数信息1500的不同之处是，附加了识别使用程序固有信息的程序的程序ID1801。
发送次数信息1800表示把使用程序ID是0001的程序的程序固有信息1735，对终端ID是0001、0002的信息处理终端1700发送一次，对终端ID是0003的信息处理终端1700不发送程序固有信息1735。同样，把使用程序ID是0002的程序的程序固有信息1735，对终端ID是0001的信息处理终端1700发送一次，对终端ID是0002、0003的信息处理终端1700不发送程序固有信息1735。
另外，程序/固有信息对应表1810和前述图12的程序/固有信息对应表1210相同，所以省略详细说明。
图19是表示服务器装置1720的程序发送步骤的流程图。
首先，服务器装置1720从信息处理终端1700接收程序发送请求(S1901)。该程序发送请求包含信息处理终端1700请求取得的程序的程序ID。然后，服务器装置1720取得在S1901所接收的程序发送请求中包含的信息处理终端1700的终端ID、程序ID(S1902)。
服务器装置1720对发送次数信息1800检索在S1902所取得的终端ID、程序ID，取得次数计数器的值(S1903)。并且，判定所取得的次数计数器的值是否为规定值以上(S1904)。
当所取得的次数计数器的值是规定值以上时(S1904为是)，服务器装置1720由于已经向信息处理终端1700发送规定次数以上的程序固有信息1735，所以仅发送程序1733，并结束处理(S1909)。
然后，当所取得的次数计数器的值不足规定值时(S1904为否)，服务器装置1720以存储在程序/固有信息对应表1810的发送开始ID的信息为基础，向信息处理终端1700分配新的程序固有信息1735(S1905)。
并且，服务器装置1720对在S1905新分配的程序固有信息1735，更新存储在程序/固有信息对应表1810的发送开始ID的值(S1906)。而且，加算存储在发送次数信息1800的次数计数器的值(S1907)，向信息处理终端1700发送程序固有信息1735(S1908)，发送程序1733，结束处理(S1909)。
如上所述，本实施方式4涉及的服务器装置1720具有发送次数信息保持单元1740和程序/固有信息对应表保持单元1750，使用保持在各保持单元的发送次数信息1800和程序/固有信息对应表1810，发送并管理程序固有信息1735，防止对由一个信息处理终端1700执行的同一程序发送规定值以上的程序固有信息1735，可以排除企图非法使用程序固有信息1735的信息处理终端1700。
另外，在本实施方式4中，服务器装置1720通过按程序单位管理程序固有信息的发送，可以按每个程序判定可否发送程序固有信息1735。
另外，在本实施方式4中，数据存储单元1706和程序存储单元1705是两个不同单元，但也可以形成同一个存储单元。另外，本实施方式4表示的发送次数信息1800的形式仅是一例，也可以附加其他信息。同样，程序/固有信息对应表1810的形式仅是一例，也可以用其他形式来管理。在本实施方式4中，来自信息处理终端1700的请求可以是伴随有程序发送的程序发送请求，或者不伴随程序发送的程序固有信息发送请求。
如上所述，本发明涉及的服务器装置具有固有信息发送履历保持单元，可以防止信息处理终端程序取得与以前发送的程序对应的程序固有信息，能够可靠防止企图取得新的程序固有信息来逃避被排除的信息处理终端的非法行为。
另外，本发明涉及的信息处理终端通过利用终端固有密钥对从服务器装置取得的程序进行加密，可以减轻服务器装置的程序加密处理的负担。并且，本发明涉及的服务器装置把程序整体划分为程序和程序固有信息来分别生成，所以服务器装置能够管理多个在各信息处理终端成为不同信息的容量较小的程序固有信息，而在所有信息处理终端成为共同信息的容量大的程序仅管理一个，可以降低服务器装置管理的发送信息的容量，减轻信息管理的负担。
另外，在从本发明涉及的服务器装置发送给信息处理终端的程序整体中，包含由信息处理终端执行的程序主体、程序标题、程序固有信息和固有信息标题，所以通过对构成程序的各个信息使用CA署名或散列数据值，能够确认从服务器装置发送给信息处理终端的信息的正当性。
工业应用性本发明涉及的服务器装置和程序管理系统可以用作通过互联网向具有通信功能的个人计算机、移动电话等信息处理终端发送程序的服务器装置、及该服务器装置和信息处理终端之间的程序管理系统。
权利要求
1.一种服务器装置，通过网络连接用于保持从外部不能进行改写的终端ID的信息处理终端，保持所述信息处理终端执行动作的程序，其特征在于，具有数据表保持单元，保持表示以前发送的程序和终端ID的关联的数据表；和判定单元，参照所述数据表，判定是否对从所述信息处理终端发送的具有所述终端ID的程序取得请求发送程序。
2.根据权利要求1所述的服务器装置，其特征在于，在所述程序中，包括所述信息处理终端执行动作的程序主体和所述程序主体使用的固有信息即程序固有信息，所述判定单元，在赋予给所述程序取得请求的所述终端ID被记录在所述数据表中时，判定为禁止发送所述程序固有信息，仅向所述信息处理终端发送所述程序主体，在判定为所述终端ID未被记录在所述数据表中时，判定为使所述终端ID与所述程序固有信息对应并追加到所述数据表中，同时向所述信息处理终端发送所述程序主体和所述程序固有信息。
3.根据权利要求2所述的服务器装置，其特征在于，所述判定单元对来自所述信息处理终端的所述程序取得请求，判定为所述程序主体的发送是按每个所述程序取得请求进行的，而所述程序固有信息的发送仅进行一次。
4.根据权利要求1所述的服务器装置，其特征在于，所述数据表保持单元保持表示所述终端ID和所述程序固有信息的发送次数的数据表，所述判定单元参照所述数据表，当与赋予给从所述信息处理终端发送的所述程序取得请求的所述终端ID对应的发送次数达到规定值时，判定为禁止发送所述程序固有信息，向所述信息处理终端仅发送所述程序主体，当参照所述数据表，与赋予给从所述信息处理终端发送的所述程序取得请求的所述终端ID对应的发送次数未达到规定值时，使与所述终端ID对应，更新记载在所述数据表中的发送次数，并判定为向所述信息处理终端发送所述程序主体和所述程序固有信息。
5.根据权利要求4所述的服务器装置，其特征在于，所述数据表保持单元保持表示向来自所述信息处理终端的程序取得请求赋予的所述终端ID、唯一地确定发送给所述终端ID的信息处理终端的所述程序主体的程序主体ID、和表示向所述终端ID的信息处理终端发送的程序固有信息的次数的发送次数的关联的数据表，所述判定单元参照所述数据表，当与赋予给从所述信息处理终端发送的所述程序取得请求的所述终端ID和所述程序ID双方对应的发送次数达到规定值时，判定为禁止发送所述程序固有信息，向所述信息处理终端仅发送所述程序主体，当参照所述数据表，当与赋予给从所述信息处理终端发送的所述程序取得请求的所述终端ID和所述程序ID对应的发送次数未达到规定值时，使所述终端ID和所述程序ID对应并更新记载于所述数据表中的发送次数，并判定为向所述信息处理终端发送所述程序主体和所述程序固有信息。
6.根据权利要求4或5所述的服务器装置，其特征在于，所述规定值是表示从所述服务器装置发送给所述信息处理终端的程序固有信息的发送次数的值。
7.根据权利要求1所述的服务器装置，其特征在于，所述数据表保持单元保持表示赋予给来自所述信息处理终端的程序取得请求的所述终端ID、唯一地确定发送给所述终端ID的信息处理终端的所述程序主体的程序主体ID、和唯一地确定发送给所述终端ID的信息处理终端的程序固有信息的程序固有信息ID的关联的数据表，所述判定单元参照所述数据表，当记载有与赋予给从所述信息处理终端发送的所述程序取得请求的所述终端ID和所述程序ID双方对应的程序固有信息ID时，判定为禁止发送所述程序固有信息，向所述信息处理终端仅发送所述程序主体，当参照所述数据表，当未记载与赋予给所述程序取得请求的所述终端ID和所述程序ID双方对应的程序固有信息ID时，使所述终端ID和所述程序固有信息ID和所述程序ID对应并追加到所述数据表中，同时判定为向所述信息处理终端发送所述程序主体和所述程序固有信息。
8.根据权利要求2所述的服务器装置，其特征在于，所述服务器装置保持多个在各个信息处理终端信息不同的所述程序固有信息，并保持一个在所有信息处理终端信息相同的所述程序主体。
9.根据权利要求2所述的服务器装置，其特征在于，所述数据表保持单元保持表示唯一地确定所述程序主体的程序主体ID和所述程序主体动作的所述信息处理终端的终端ID的关联的数据表，所述判定单元参照所述数据表，当对应记载赋予给从所述信息处理终端发送的所述程序取得请求的所述终端ID和所述程序ID时，判定为可以发送所述程序，当参照所述数据表，未对应记载赋予给从所述信息处理终端发送的所述程序取得请求的所述终端ID和所述程序ID时，判定为不可发送所述程序。
10.一种程序管理系统，由保持不能从外部进行改写的终端ID的信息处理终端、和通过网络连接该信息处理终端并保持所述信息处理终端执行动作的程序的服务器装置构成，其特征在于，所述信息处理终端在请求取得所述程序时，向所述服务器装置发送赋予了所述终端ID的程序取得请求，所述服务器装置具有数据表保持单元，接收所述程序取得请求，保持表示以前发送的程序和终端ID的关联的数据表；和判定单元，参照所述数据表，判定是否对从所述信息处理终端发送的赋予有所述终端ID的程序取得请求发送程序。
11.根据权利要求10所述的程序管理系统，其特征在于，所述信息处理终端具有存储单元，在不能从外部进行改写的存储器单元按每个所述信息处理终端存储不同的固有密钥，使用所述固有密钥对从所述服务器装置取得的所述程序进行加密并存储在所述信息处理终端内的存储器单元。
12.根据权利要求10所述的程序管理系统，其特征在于，所述程序包括由所述信息处理终端执行动作的程序主体，存储与该程序主体有关的信息的程序标题，所述程序主体使用的固有信息即程序固有信息，和存储与该程序固有信息有关的信息的固有信息标题，所述信息处理终端进行向所述服务器装置请求取得的程序中包含的所述程序标题和请求取得所述固有信息标题的标题取得请求，所述服务器装置在所述判定单元判定为可以发送所述程序主体时，向所述信息处理终端发送所述程序标题和所述固有信息标题，所述信息处理终端具有根据所述程序标题和所述固有信息标题进行验证的验证单元，在利用该验证单元进行验证后，向所述服务器装置发送所述程序取得请求。
13.根据权利要求12所述的程序管理系统，其特征在于，所述程序标题包括可以唯一地确定所述程序的认证符，所述信息处理终端具有验证单元，利用所述固有密钥对用所述固有密钥加密并存储在所述信息处理终端内的存储器单元中的程序进行解密，使用所述认证符验证是利用所述固有密钥正确进行了加密。
14.根据权利要求12所述的程序管理系统，其特征在于，所述程序、所述程序标题、所述程序固有信息、及所述固有信息标题被附加有电子署名。
15.根据权利要求12所述的程序管理系统，其特征在于，所述程序标题包括可以唯一地确定所述程序的认证符，所述固有信息标题包括可以唯一地确定所述程序固有信息的认证符。
16.一种程序发送方法，由保持不能从外部进行改写的终端ID的信息处理终端、和通过网络连接该信息处理终端并保持所述信息处理终端执行动作的程序的服务器装置构成，其特征在于，所述信息处理终端具有在请求取得所述程序时，向所述服务器装置发送赋予了所述终端ID的程序取得请求的步骤，所述服务器装置具有数据表保持步骤，接收所述程序取得请求，保持表示以前发送的程序和终端ID的关联的数据表；和判定步骤，参照所述数据表，判定是否对从所述信息处理终端发送的赋予有所述终端ID的程序取得请求发送程序。
17.一种程序，由通过网络连接用于保持不能从外部进行改写的终端ID的信息处理终端，并保持所述信息处理终端执行动作的程序的服务器装置使用，其特征在于，使计算机执行下述步骤数据表保持步骤，保持表示以前发送的程序和终端ID的关联的数据表；和判定步骤，参照所述数据表，判定是否对从所述信息处理终端发送的赋予有所述终端ID的程序取得请求发送程序。
全文摘要
服务器装置(120)具有CPU(121) RAM(122)；进行加密及解密处理的加密处理单元(123)；与信息处理终端(100)进行通信的通信处理单元(124)；存储不需要隐秘的信息的数据存储单元(125)；存储将要发送的程序等的信息的发送信息存储单元(126)；以及固有信息发送履历保持单元(140)，保持用于管理以前发送给信息处理终端(100)的程序的程序固有信息的履历的固有信息发送履历(600)。
文档编号G06F21/00GK1568447SQ03801278
公开日2005年1月19日 申请日期2003年4月16日 优先权日2002年4月23日
发明者前田卓治, 三浦康史, 德田克己, 井上信治 申请人:松下电器产业株式会社