WO2003091862A1 - Dispositif serveur et systeme de gestion de programme - Google Patents

Description

明 細 書 サーバ装置及びプログラム管理システム 技術分野

本発明は、 情報処理端末で動作するプログラムの配布を行うサーバ装 置、 及びサーバ装置と情報処理端末からなるプログラム管理システムに 関し、 特に不正なプログラムの使用を図る情報処理端末の排除における 技術に関する。 背景技術

近年のネッ トワークの発展に伴い、 ネッ トワークを経由 して商取引を 行う電子商取弓 Iシステム ( E l ec tron i c c ommerc e sys t em) 、 映画、 音楽 等のコ ンテンツの配信を行うコンテンツ配信システムが多く発表されて いる。 これらのシステムにおいては、 ネッ トワークを介して接続される 機器間で、 コンテンツの利用権利、 課金に使用する鍵等の価値ある情報 データのみでなく 、 音楽プレーヤプログラム等のプログラム自体を交換 することも可能である。 また、 このようなプログラムの交換は、 従来の P C以外にも携帯電話等の組込み機器においても実現されることが予測 される。

そして、 電子ショ ッ ピングやコ ンテンツ配信サービスなど、 課金を伴 う商用システムをネッ トワークを介して実現する場合においては、 悪意 のあるユーザが不正にプログラムを書き換えることが可能であれば、 課 金情報の操作によ り無料で商品やコ ンテンツを購入するなどの不正行為 が行われる危険性がある。 そのため、 ネッ トワーク経由のプログラム更 新による不具合修正や追加を行う場合、 悪意のあるユーザの不正使用を 防止するために、 プログラムの正当性を検証する必要がある。

従来プログラムの正当性を検証する方法と しては、 電子的な署名を用 いる方法が存在する（例えば、特開 2 0 0 0 - 3 3 9 1 5 3号公報参照）。 この方法では、 公開鍵暗号方式と呼ばれる 2つの対となる鍵の組を用い た暗号化データ交換方式を利用する。 図 2 0は、 この電子的な署名を用 いたプログラムの正当性検証方法に関する説明図である。

プログラム発行者 2 0 0 0は、 プログラム発行の身元を確認し、 保証 する第三者機関である認証局 （ C A ： Certification Authority) 2 0 1 0に公開鍵 2 0 0 1 を送付する。 その後、 認証局 2 0 1 0は、 プログラ ム発行者 2 0 0 0の身元を確認、 審査する。 認証局 2 0 1 0がプログラ ム発行者 2 0 0 0を信頼できると判断した場合、 プログラム発行者 2 0 0 0の公開鍵 2 0 0 1 に対し C A秘密鍵 2 0 1 2で電子的な署名を行つ た証明書 2 0 0 3を発行する。 証明書 2 0 0 3は公開鍵保有者の身元を 識別する情報を含み、 認証局 2 0 1 0が公開鍵保有者の身元を保証する ものである。 そして、 認証局 2 0 1 0は、 プログラム発行者 2 0 0 0に 公開鍵証明書 2 0 0 3を送付する。

プログラム発行者 2 0 0 0は、 ユーザ 2 0 2 0に配布するプログラム に対し、 自己の秘密鍵 2 0 0 2で電子的な署名を行い、 公開鍵証明書 2 0 0 3、 及び署名付きプログラム 2 0 0 4を配布する。

ユーザ 2 0 2 0は、認証局 2 0 1 0から C A公開鍵 2 0 1 1 を取得し、 C A公開鍵 2 0 1 1 を用いてプログラム発行者の公開鍵証明書 2 0 0 3 の署名を検証する。 署名の検証が正しく行われた場合、 公開鍵証明書 2 0 0 3に含まれる公開鍵 2 0 0 1 を用いて署名付きプログラム 2 0 0 4 の署名を検証する。 この署名の検証が正しく行われた場合、 配布された プログラムがプログラム発行者 2 0 0 0から配布されたプログラムであ リ、 改ざんされていないことを検証できる。 従って、 この正当性検証方式においては、 プログラムにプログラム発 行者 2 0 0 0の電子的な署名を付加することによりプログラムの正当性 を保証して、 ユーザ 2 0 2 0は取得したプログラム 2 0 2 1 がプログラ 厶発行者 2 0 0 0から正当に配布されたものであることを検証できる。

しかし、 図 2 0に示す正当性検証方式においては、 配布時におけるプ 口グラムの正当性検証は行えるが、 配布後の情報処理端末におけるプロ グラムに関して正当性を保証することはできない。 尚、 公開鍵暗号方式 及び証明書、署名、認証の仕組みに関しては、種々の文献（例えば、 「A p p I i e d C r y p t o g r a p h y J B r u c e S c h n e i e r , J o h n W i l e y & S o n s , I n c ( 1 9 9 6 ) 参照） に詳細が記されている。

この問題点を解決する方法と して、 プログラム配布先のユーザ識別子 を用いてプログラム配布元でプログラムを暗号化して配布し、 ユーザは 使用時にユーザ識別子を用いてプログラムを復号化して実行する方法が ある （例えば、 特開平 7 — 2 9 5 8 0 0号公報参照） 。 この方法では、 万が一プログラムが不正にコピーされたとしても、 ユーザ識別子が一致 しなければプログラムを復号し実行することができないため、 不正コピ 一、 不正改ざんを防止することが可能となる。

また、 プログラムの配布装置としては、 プログラムの配布に当たって 配布の妥当性をプログラムのコピー数とコピー許可数の差により判定し て、 無制限な配布が行われることを物理的に防ぐことができ、 プログラ ムコピーに関する使用契約を物理的に尊守させる配布装置が開示されて いる （例えば、 特公平 6— 8 7 2 2 0号公報参照） 。

この発明においては、 プログラム配布装置は、 プログラム毎に情報処 理装置の配布先を記憶して、 コピー許可数とコピー数とによりプログラ 厶を配布するプログラム配布装置とすることが可能となる。 一方、 ネッ トワークを用いた電子ショ ッピングやコンテンツ配信サー ビス等の課金を伴う商用システムを実現する場合、 ユーザに対する課金 を行うため、 ユーザを特定する方法が必要となる。 この方法の 1 つとし て、 プログラムあるいはプログラムと共に配布する情報の中に、 ユーザ 毎に割り当てる I Dや鍵などの固有情報を含ませる場合がある。 この場 合、 ユーザ毎に固有情報を割り当て、 プログラム配布元のサーバ装置側 において固有情報を管理することで、 ユーザが不正行為を行った際にお いて固有情報を元にユーザを特定することが可能となる。

図 2 1 は、 従来の情報処理端末 2 1 0 1 とサーバ装置 2 1 0 2及び 2 1 0 3 との間のプログラム管理システムの参考図である。 尚、 図 2 1 に おいては説明のためにアプリケーショ ンデータ用のサーバ装置 2 1 0 3 及びプログラム用のサーバ装置 2 1 0 2に分けて示す。

情報処理端末 2 1 0 1 は、 プログラム配布元となるサーバ装置 2 1 0 2から、 例えば好みの音楽データをダウンロードして再生可能な音楽プ レーャプログラムを取得する。 この音楽プレーヤプログラムには固有情 報 「 0 1 0 1 」 が含まれるとする。 尚、 プログラムの安全な配布を図る ために、 通信路は S S L (Secure Socket Layer) を用いて暗号化し、 盗 聴等のハッキング行為を防止する。

情報処理端末 2 1 0 1 の利用者が音楽データ等の取得を要求する際に おいては、 情報処理端末 2 1 0 1 から前記固有情報 「 0 1 0 1 」 が付与 された音楽データ取得要求をアプリケーション用のサーバ装置 2 1 0 3 に送信する。 そして、 サーバ装置 2 1 0 3は、 不正な音楽プレーヤプロ グラムが実行される情報処理端末を排除するための無効化リス ト （ C R L ： certificate revocation list) を有しており、 情報処理端末 2 1 0 1 から音楽データ取得要求に合わせて送信される固有情報 「 0 1 0 1 」 が C R Lに記載されているため情報処理端末 2 1 0 1 に音楽データの送 信を行わない。 尚、 C R Lに固有情報が記載されていない場合において は要求される音楽データ を情報処理端末 2 1 0 1 に送る。

このよ うに、 不正なプログラム使用を行っている情報処理端末 2 1 0 1 の有するプログラムの固有情報を特定すれば、 C R Lを用いて不正使 用を図る情報処理端末 2 1 0 1 を排除することが可能となる。

尚、 サーバ装置 2 1 0 2等から情報処理端末 2 1 0 1 にダウンロー ド されるデータに電子的な署名を付加して、 情報処理端末 2 1 0 1 側で署 名検証を行う ことによ り、 ダウンロー ドデータの改ざん、 すり替え、 盗 聴等を防止して、 不正行為からダウンロー ドデータ を守る安全な配布も 可能となる。

しかしながら、 上述したプログラム配布元において各ユーザ識別子に 応じたプログラム暗号処理を行う方法においては、 プログラム配布元に かかる処理の負担が大きく なるという問題が生じる。

また、 上述したプログラム配布装置がプログラム毎に情報処理装置の 配布先を記憶して、 コ ピー許可数とコ ピー数とによ り プログラムを配布 する方法は、 プログラム配布装置はプログラムの配布要求毎に配布先の 装置の 〖 Dを確認してコ ピー許可数に従ってプログラムを配布するもの であり、 プログラムの不正使用を防止するものではない。

さ らに、 図 2 1 に示すサーバ装置 2 1 0 3がプログラムの固有情報を 記載した C R Lを用いて不正利用を図る情報処理端末 2 1 0 1 の排除を 行う方法においては、 情報処理端末 2 1 0 1 が不正にデータを取得しよ う と試み、 サーバ装置 2 1 0 3の C R Lによ り不正端末と してデータ取 得を排除される場合においても、 情報処理端末 2 1 0 1 の使用者が、 別 の固有情報のダウンロー ドをサーバ装置 2 1 0 2から行いプログラムの 固有情報を新たな固有情報に更新することによ りサーバ装置 2 1 0 3の C R Lを用いた排除から回避することが可能となるという問題がある。 本発明は以上のよ うな課題に鑑みてなされたものであり、 プログラム 配布元であるサーバ装置において、 固有情報を用いたリス トによ り排除 された不正な情報処理端末が新規な固有情報を取得して排除を回避する ことを防止するサーバ装置を提供することを第 1 の目的とする。 また、 情報処理端末へのプログラム配信においてサーバ装置の処理負担を少な くすることをも目的とする。

そして、 サーバ装置と情報処理端末との間においてプログラムの配布 を行うプログラム管理システムにおいても、 不正な情報処理端末からの 新規な固有情報の取得要求を排除して情報処理端末でのプログラムの不 正使用を防ぐことが可能なプログラム管理システムを提供することを目 的とする。 発明の開示

前記課題を解決するために、 本発明に係るサーバ装置は、 外部から書 き換えが行えない端末 I Dを保持する情報処理端末とネッ トワークを介 して接続され前記情報処理端末で動作するプログラムを保持するサーバ 装置であって、 以前に配布したプログラムと端末 I Dとの関連を示すテ —ブルを保持するテーブル保持手段と、 前記テーブルを参照して、 前記 情報処理端末から送信され前記端末 I Dを伴う プログラム取得要求に対 するプログラムの配布の当否を判定する判定手段とを備えることを特徴 とする。

また、 本発明に係るサーバ装置から情報処理端末に配布されるプログ ラムには、 前記情報処理端末で動作するプログラム本体及び前記プログ ラム本体に使用される固有の情報であるプログラム固有情報が含まれ、 前記判定手段は、 前記プログラム取得要求に付与されている前記端末 I Dが前記テーブルに記録されている場合には、 前記プログラム固有情報 の配布を禁止して前記プログラム本体のみの配布を前記情報処理端末に 行う と判定し、 前記端末 I Dが前記テーブルに記載されていない場合に は、 前記端末 I Dと前記プログラム固有情報とを対応させて前記テープ ルに追加すると共に、 前記プログラム本体と前記プログラム固有情報と を前記情報処理端末に配布すると判定することを特徴とする。

これらによ り、 サーバ装置は、 情報処理端末が以前に配布したプログ ラムに対応するプログラム固有情報の新規取得を防止することが可能と なり、 新たなプログラム固有情報を取得して排除の回避を図る情報処理 端末の不正行為を確実に防止することが可能となる。

そして、 前記課題を解決するために、 本発明に係るプログラム管理シ ステムは、 外部から書き換えが行えない端末 I Dを保持する情報処理端 末と、 当該情報処理端末とネッ トワークを介して接続され前記情報処理 端末で動作するプログラムを保持するサーバ装置とから構成されるプロ グラム管理システムであって、 前記情報処理端末は、 前記プログラムの 取得を要求する場合には、 前記端末 I Dを付与したプログラム取得要求 を前記サーバ装置に送信し、 前記サーバ装置は、 前記プログラム取得要 求を受信して、 以前に配布したプログラムと端末 I Dとの関連を示すテ 一ブルを保持するテーブル保持手段と、 前記テーブルを参照して、 前記 情報処理端末から送信されて前記端末 I Dが付与されているプログラム 取得要求に対するプログラムの配布の当否を判定する判定手段とを備え ることを特徴とする。

このように、 本発明は、 上述のようなサーバ装置と して実現できるの みではなく 、 サーバ装置と情報処理端末との間のプログラム管理システ 厶ゃサーバ装置が備える手段をステップとするプログラム配布方法と し ても実現できる。 また、 このプログラム配布方法をコ ンピュータ等で実 現させるプログラムと して実現したり、 当該プログラムを C D— R O M 等の記録媒体や通信ネッ トワーク等の伝送媒体を介して流通させること ができるのは言うまでもない。 図面の簡単な説明

図 1 は、 実施の形態 1 における情報処理端末とサーバ装置との構成図 を示している。

図 2は、 本実施の形態 1 に係るサーバ装置から情報処理端末側に送信 されるプログラム全体の構成図である。

図 3 ( a ) は、 プログラムヘッダに格納される情報の一例を示す図で ある。

図 3 ( b ) は、 プログラムに格納される情報の一例を示す図である。 図 4 ( a ) は、 固有情報ヘッダに格納される情報の一例を示す図であ る。

図 4 ( b ) は、 プログラム固有情報に格納される情報の一例を示す図 である。

図 5は、 情報処理端末とサーバ装置と間で行われるプログラム更新シ ステムにおける動作手順を示す図である。

図 6は、 固有情報配布履歴保持部に保持される固有情報配布履歴の情 報格納の一例を示す図である。

図 7は、 サーバ装置におけるプログラムの配布手順を示すフローチヤ 一トである。

図 8は、 本実施の形態 1 に係るサーバ装置を用いたプログラム管理シ ステムを示す全体図である。

図 9は、 本実施の形態 1 に係るプログラムヘッダとプログラムに含ま れる別のデータ構造を示す図である。

図 1 0は、 固有情報ヘッダとプログラム固有情報とに含まれる别のデ ータ構造を示す図である。

図 1 1 は、 本発明の実施の形態 2に係る情報処理端末とサーバ装置と の構成図を示す。

図 1 2 ( a ) は、 本実施の形態 2に係る固有情報配布履歴に含まれる 情報の一例を示す図である。

図 1 2 ( b ) は、 本実施の形態 2に係るプログラム Z固有情報対応表 に含まれる情報の一例を示す図である。

図 1 3は、 サーバ装置におけるプログラムの配布手順を示すフローチ ヤートである。

図 1 4は、 本実施の形態 3に係る情報処理端末とサーバ装置の構成図 を示す。

図 1 5は、 本実施の形態 3に係る配布回数情報の情報格納例を示す図 である。

図 1 6は、 サーバ装置におけるプログラムの配布手順を示すフローチ ャ一トである。

図 1 7は、 本実施の形態 4に係る情報処理端末とサーバ装置の構成図 を示す。

図 1 8 ( a ) は、 本実施の形態 4に係る配布回数情報に格納されるデ —タの一例を示す図である。

図 1 8 ( b ) は、 本実施の形態 4に係るプログラム 固有情報対応表 に格納されるデータの一例を示す図である。

図 1 9は、 サーバ装置におけるプログラムの配布手順を示すフローチ ヤートである。

図 2 0は、 従来の電子的な署名を用いたプログラムの正当性検証方法 に関する説明図である。

図 2 1 は、 従来の情報処理端末とサーバ装置との間のプログラム管理 システムの参考図である。 発明を実施するための最良の形態

以下、 本発明の実施の形態に係るサーバ装置及びプログラム管理シス テムについて図面を用いて説明する。

(実施の形態 1 )

図 1 は本発明の実施の形態 1 における情報処理端末 1 0 0とサーバ装 置 1 2 0との構成図を示している。

情報処理端末 1 0 0は、 サーバ装置 1 2 0から取得した電子商取引や コンテンツ配信等に用いられるプログラムを使用する端末装置であり、 C P U 1 0 1 、 R A M I 0 2、 プログラムやデータ等の暗号化及び復号 化処理を行う暗号処理部 1 0 3、 サーバ装置 1 2 0との通信を行う通信 処理部 1 0 4、 プログラムを格納するプログラム格納部 1 0 5、 C A公 開鍵など特に秘匿する必要がない情報を格納するデータ格納部 1 0 6、 及び秘密鍵など秘匿する必要がある情報を格納する秘匿情報格納部 1 0 7から構成されている。

プログラム格納部 1 0 5は、 C P U 1 0 1 で動作するプログラム 1 1 6を格納する。

データ格納部 1 0 6は、 情報処理端末 1 0 0で使用されるデータのう ち特に秘匿する必要がないものを格納すると共に、 情報処理端末 1 0 0 に格納されているプログラムの I Dやバージョン番号など格納プログラ 厶の管理情報であるプログラム管理情報 1 0 8及び C A公開鍵 1 0 9を 格納する。

また、 秘匿情報格納部 1 0 7は、 情報処理端末 1 0 0内で秘匿する必 要がある情報を格納しており、 情報処理端末毎に異なる鍵である端末固 有鍵 1 1 0、 情報処理端末毎に異なる公開鍵ペアの 1 つである端末秘密 鍵 1 1 1 、 プログラムが使用する固有鍵などのプログラム固有情報 1 1 2、 情報処理端末毎に異なる公開鍵ペアの他方である端末公開鍵証明書 1 1 3を格納する。 そして、 端末公開鍵証明書 1 1 3は情報処理端末 1 0 0を一意に識別する I Dである端末 I D 1 1 4、 端末公開鍵証明書 1 1 3に対し認証局が付加した C A署名 1 1 5を含んでいる。

—方、 本発明に係るサーバ装置 1 2 0は、 情報処理端末 1 0 0から要 求されるプログラムを配布する装置であり、 C P U 1 2 1 、 R A M I 2 2、 プログラムやデータなどの暗号化及び復号化処理を行う暗号処理部 1 2 3、 情報処理端末 1 0 0との通信を行う通信処理部 1 2 4、 C A公 開鍵など特に秘匿する必要がない情報を格納するデータ格納部 1 2 5、 情報処理端末 1 0 0に配布するプログラムなどの情報を格納する配布情 報格納部 1 2 6、 及び固有情報配布履歴保持部 1 4 0とから構成されて いる。

そして、 本発明に係るサーバ装置 1 2 0は、 固有情報配布履歴保持部 1 4 0を有することを特徴としている。 この固有情報配布履歴保持部 1 4 0は、 情報処理端末 1 0 0に配布したプログラムのプログラム固有情 報の履歴を管理するための固有情報配布履歴 6 0 0を保持している。 データ格納部 1 2 5は、 サーバ装置 1 2 0が使用する情報を格納する 領域であり、 公開鍵ペアの 1 つであるサーバ秘密鍵 1 2 7、 公開鍵ペア の他方であるサーバ公開鍵証明書 1 2 8、 及び C A公開鍵 1 2 9を格納 する。 サーバ公開鍵証明書 1 2 8は、 サーバを一意に識別する I Dであ るサーバ I D 1 3 0、 サーバ公開鍵証明書に対し C Aが付加した C A署 名 1 3 1 を含んでいる。 配布情報格納部 1 2 6は、 サーバ装置 1 2 0が 情報処理端末 1 0 0に対して配布する情報を格納する領域であり、 プロ グラムヘッダ 3 0 0、 プログラム 3 1 0、 固有情報ヘッダ 4 0 0、 及び プログラム固有情報 4 2 0を格納する。 尚、 この配布情報であるプログ ラム全体の図は後述の図 2に示す。

配布情報格納部 1 2 6に格納されているプログラムヘッダ 3 0 0、 プ ログラム 3 1 0、 固有情報ヘッダ 4 0 0、 及びプログラム固有情報 4 2 0には第三者認証機関である C A署名が付加されておリ、 この C A署名 によ り配布情報が正当な配布元から配布されるものであることを保証す る。

図 2は、 本実施の形態 1 に係るサーバ装置 1 2 0から情報処理端末 1 0 0側に送信されるプログラム全体 2 0 0の構成図である。 このプログ ラムの全体 2 0 0はサーバ装置 1 2 0の配布情報格納部 1 2 6に格納さ れる情報であり、本実施の形態 1 においては、プログラムヘッダ 3 0 0、 プログラム 3 1 0、 固有情報ヘッダ 4 0 0及びプログラム固有情報 4 2 0よ り構成される。 また、 本発明においては、 プログラム全体 2 0 0を プログラム 3 1 0及びプログラム固有情報 4 2 0に分離し、 さ らに、 へ ッダ部とデータ部とに分離することを特徴と している。

尚、 本実施の形態に係るプログラム管理システムにおいては、 情報処 理端末 1 0 0がプログラム 3 1 0で使用するアプリケーショ ンデータを サーバ装置 1 2 0等から取得する場合においては、 アプリ ケーショ ンデ ータ取得要求にプログラム固有情報 4 2 0 を付与して送信する。 このこ とによ り、 サーバ装置 1 2 0等が有するプログラム固有情報 4 2 0を用 いた C R Lによ リ不正な情報処理端末を排除することが可能となる。 図 3 ( a ) 及び （ b ) は、 プログラムヘッダ 3 0 0及びプログラム 3 1 0に格納される情報の一例を示す図である。

プログラムヘッダ 3 0 0は、 プログラム 3 1 0に関する情報を格納す るものであり、 次の情報を含む。

( 1 ) プログラムヘッダ 3 0 0が格納する情報がどのプログラム 3 1

0に対応する情報かを示すプログラム I D ( 3 0 1 ) 。 （ 2 ) 対応する プログラム 3 1 0のバージョ ン番号 （ 3 0 2 ) 。 （ 3 ) 対応するプログ ラム 3 1 0のプログラムサイズ （ 3 0 3 ) 。 （ 4 ) 対応するプログラム 3 1 0のハッシュ値 （ 3 0 4 ) 。 （ 5 ) 前記 （ 1 ) から （ 4') までの情 報を含むプログラムヘッダ 3 0 0全体に対する C A署名 （ 3 0 5 ) 。

また、プログラム 3 1 0には、プログラム 3 1 0に対する C A署名 （ 3 1 1 ) が付加されている。 このように、 プログラムヘッダ 3 0 0及びプ ログラム 3 1 0は共に C A署名 3 0 5及び 3 1 1 を含むため、 情報処理 端末 1 0 0においてプログラムヘッダ、 プログラムが正当な配布元から 配布されたものであることを検証することが可能である。

図 4 ( a ) 及び （ b ) は、 固有情報ヘッダ 4 0 0及びプログラム固有 情報 4 2 0に格納される情報の一例を示す図である。

固有情報ヘッダ 4 0 0は、 プログラム固有情報 4 2 0に関する情報を 格納するものであり、 次の情報を含む。

( 1 ) 固有情報ヘッダ 4 0 0が格納する情報がどのプログラム固有情 報 4 2 0に対応した情報かを示すプログラム固有情報 I D ( 4 0 1 ) 。 ( 2 ) 対応するプログラム固有情報 4 2 0を使用するプログラム 3 1 0 のプログラム I D ( 4 0 2 ) 。 （ 3 ) 対応するプログラム固有情報 4 2 0が格納する固有情報の数 （ 4 0 3 ) 。 （ 4 ) 対応するプログラム固有 情報 4 2 0全体のサイズ （ 4 0 4 ) 。 （ 5 ) 対応するプログラム固有情 報 4 2 0に含まれる個々の固有情報に関する情報を示す固有情報サブへ ッダ （ 4 0 5 ) 。 固有情報サブヘッダ 4 0 5はプログラム固有情報 4 2 0に含まれる個々の固有情報の数 （ 1 〜 n ) だけ存在する。 （ 6 ) 前記 ( 1 ) から （ 5 ) までの情報を含む固有情報ヘッダ 4 0 0全体に対する C A署名 （ 4 0 6 ) 。

固有情報サブヘッダ 4 0 5は、 さらに個々の固有情報を識別するため の I Dであるプログラム固有情報サブ I D 4 1 1 、 個々の固有情報のサ ィズ 4 1 2から構成される。

また、 プログラム固有情報 4 2 0は、 複数のプログラム固有情報 （ 4 2 1 ) と、 プログラム固有情報全体に対する C A署名 （ 4 2 2 ) を含む。 このため、 固有情報ヘッダ 4 0 0、 プログラム固有情報 4 2 0は共に C A署名 （ 4 0 6及び 4 2 2 ) を含むため、 情報処理端末 1 0 0において 固有情報へッダ 4 0 0、 プログラム固有情報 4 2 0が正当な配布元から 配布されたものであることを検証することが可能である。

次に情報処理端末 1 0 0とサーバ装置 1 2 0との間で行われるプログ ラム更新システムにおける動作手順の例を、 図 5を用いて説明する。 こ のプログラム更新システムにおいて、 情報処理端末 1 0 0は、 まず、 へ ッダ取得要求を行い、 空き領域の確認を行う。 また、 サーバ装置 1 2 0 においては、 固有情報配布履歴保持部 1 4 0から固有情報配布履歴 6 0 0を参照することにより、 プログラムの不正使用を図る情報処理端末 1 0 0を排除することが可能となる。

最初に、 情報処理端末 1 0 0はサーバ装置 1 2 0と S S Lによる接続 を行う （ S 5 0 1 ) 。 この際、 サーバ装置 1 2 0は情報処理端末 1 0 0 の端末 I Dの取得を行う。 尚、 S S Lは、 2点間でデータを安全に送受 信するために、 公開鍵暗号方式と秘密鍵暗号方式を併用して、 データを 暗号化して送受信する仕組みである。 また、 S S Lではセッショ ン鍵と 呼ばれるそのセッションでのみ有効な鍵を共有するため、 図 5に示す S 5 0 2以降の情報処理端末 1 0 0とサーバ装置 1 2 0間のデータ送受信 は、 すべてセッション鍵を用いた暗号化データにより行われるものとす る。

次に、 情報処理端末 1 0 0はサーバ装置 1 2 0に対し、 取得したいプ ログラム 3 1 0のプログラム I Dを指定してヘッダ取得要求を行う （ S 5 0 2 ) 。 この際、 サーバ装置 1 2 0は、 固有情報配布履歴保持部 1 4 0に保持されている固有情報配布履歴 6 0 0により、 端末 I Dとプログ ラム固有情報 I Dとの対応関係を確認する。 つまり、 情報処理端末 1 0 0に対して、固有情報 1 Dを既に配布したかどうかを確認する。そして、 正規の情報処理端末からのヘッダ取得要求であると判断する場合におい ては、 ヘッダ取得要求を受信したサーバ装置 1 2 0は、 配布情報格納部 1 2 6に格納したプログラムへッダ 3 0 0を情報処理端末 1 0 0に送信 する （ S 5 0 3 ) 。

そして、 サーバ装置 1 2 0からプログラムヘッダ 3 0 0を受信した情 報処理端末 1 0 0は、 データ格納部 1 0 6に格納している C A公開鍵 1 0 9を用いて、 プログラムヘッダ 3 0 0に含まれている C A署名を検証 する （S 5 0 4 ) 。 これにより、 情報処理端末 1 0 0はプログラムへッ ダ 3 0 0が改ざんされていない正当な配布元から配布された情報である ことを検証する。 また、 プログラムヘッダ 3 0 0には、 プログラムのプ ログラム I D 3 0 1 、 バージョン番号 3 0 2、 サイズ 3 0 3、 プログラ ムのハッシュ値 3 0 4などプログラムに関する情報が格納されているた め、 情報処理端末 1 0 0は、 これらの情報と、 データ格納部 1 0 6に格 納されているプログラム管理情報 1 0 8内に記載されているプログラム I D、 バージョン情報、 空き容量情報を比較し、 更新対象のプログラム 3 1 0が正しくサーバ装置 1 2 0から配布されたか、 プログラム 3 1 0 を格納する空き容量が存在するか確認する （ S 5 0 4 ) 。 このため、 本 実施の形態 1 に係る情報処理端末 1 0 0はプログラム 3 1 0のダウン口 —ド中にプログラムの取得不可となるような弊害を防止する。

次に、 サーバ装置 1 2 0は配布情報格納部 1 2 6に格納した固有情報 ヘッダ 4 0 0を情報処理端末 1 0 0に送信する （ S 5 0 5 ) 。

そして、 サ一パ装置 1 2 0から固有情報ヘッダ 4 0 0を受信した情報 処理端末 1 0 0は、 データ格納部 1 0 6に格納している C A公開鍵 1 0 9を用いて、 固有情報ヘッダ 4 0 0に含まれている C A署名を検証する ( S 5 0 6 ) 。 これにより、 情報処理端末 1 0 0は固有情報ヘッダ 4 0 0が改ざんされていない、 正当な配布元から配布された情報であること を検証する。 固有情報ヘッダ 4 0 0には、 プログラム固有情報 4 2 0を —意に識別するプログラム固有情報 I D 4 0 1 、 プログラム固有情報に 関連するプログラムのプログラム I D 4 0 2、 プログラム固有情報で配 布される情報に含まれる固有情報の数 4 0 3、 サイズ 4 0 4などプログ ラム固有情報 4 2 0に関する情報が格納されているため、 情報処理端末 "1 0 0は、 これらの情報と、 データ格納部 1 0 6に格納されているプロ グラム管理情報 1 0 8内に記載されているプログラム I D、 空き容量情 報を比較し、 更新対象のプログラム 3 1 0に関するプログラム固有情報 4 2 0が正しくサーバ装置 1 2 0から配布されたか、 プログラム固有情 報 4 2 0を格納する空き容量が存在するかプログラム 3 1 0のダウン口 ードの前に確認する （S 5 0 6 ) 。

そして、 情報処理端末 1 0 0は、 プログラム 3 1 0、 プログラム固有 情報 4 2 0の取得が行えると判断した場合、 サーバ装置 1 2 0に対しプ ログラム I Dを指定してプログラム取得要求を行う （S 5 0 7 ) 。

そして、 プログラム取得要求を受信したサーバ装置 1 2 0は、 配布情 報格納部 1 2 6に格納したプログラム 3 1 0を情報処理端末 1 0 0に送 信する （S 5 0 8 ) 。 サーバ装置 1 2 0からプログラム 3 1 0を受信し た情報処理端末 1 0 0は、 データ格納部 1 0 6に格納している C A公開 鍵 1 0 9を用いて、 プログラム 3 1 0に含まれている C A署名を検証す る （S 5 0 9 ) 。 これにより、 情報処理端末 1 0 0はプログラム 3 1 0 が改ざんされていない、 正当な配布元から配布された情報であることを 検証する。 取得データの正当性が検証できた場合、 取得したプログラム 3 1 0を秘匿情報格納部 1 0 7に格納している端末固有鍵 1 1 0で暗号 化し、 プログラム格納部 1 0 5に格納する （ S 5 0 9 ) 。 その際、 プロ グラム格納位置やプログラム I D， パージヨ ン番号などをプログラム管 理情報 1 0 8に格納し、 プログラムの管理を行う。

次に、 プログラムの格納が完了 した後、 プログラム格納部 1 0 5に格 納したプログラム 1 1 6 を、 端末固有鍵 1 1 0 を用いて復号し、 ハツシ ュ値を算出する。 算出した値とプログラムヘッダ 3 0 0に格納されてい るハッシュ値の比較を行い、 プログラムが正し く格納されていることを 確認する （ S 5 1 0 ) 。

次に、 情報処理端末 1 0 0はサーバ装置 1 2 0に対しプログラム I D を指定してプログラム固有情報取得要求を行う （ S 5 1 1 ) 。

そして、 サーバ装置 1 2 0は配布情報格納部 1 2 6に格納したプログ ラム固有情報 4 2 0を情報処理端末 1 0 0に送信する （ S 5 1 2 ) 。 サ ーバ装置 1 2 0からプログラム固有情報 4 2 0 を受信した情報処理端末 1 0 0は、 データ格納部 1 0 6に格納している C A公開鍵 1 0 9 を用い て、 プログラム固有情報 4 2 0に含まれている C A署名を検証する （ S 5 1 3 ) 。 これによ り、 情報処理端末 1 0 0はプログラム固有情報が改 ざんされていない、 正当な配布元から配布された情報であることを検証 する。 取得データの正当性が検証できた場合、 取得したプログラム固有 情報を秘匿情報格納部 1 0 7 に格納する （ S 5 1 3 ) 。

最後に、 情報処理端末 1 0 0におけるプログラム、 プログラム固有情 報の格納が完了 した後、 情報処理端末 1 0 0 とサーバ装置 1 2 0 との間 の通信を切断する （ S 5 1 4 ) 。

このように、 本実施の形態 1 に係る情報処理端末 1 0 0は、 ヘッダ取 得要求を行う ことによ り プログラム 3 1 0を格納する空き容量が存在す るか等の確認して、 よ り安全にプログラムのダウンロー ドを行う ことが 可能となる。 尚、 この場合において、 プログラム 3 1 0及びプログラム 固有情報 4 2 0のハッシュ値を算出して、 算出したハッシュ値と、 プロ グラムヘッダ 3 0 0及びプログラム固有情報ヘッダ 4 0 0に格納されて いるハッシュ値とを比較することにより正当な配布情報であることを確 認することも考え得る。

図 6は、 固有情報配布履歴保持部 1 4 0に保持される固有情報配布履 歴 6 0 0の情報格納の一例を示す図である。

サーバ装置 1 2 0は、 以前に情報処理端末 1 0 0に配布したプログラ ムに対応するプログラム固有情報 4 2 0と当該情報処理端末 1 0 0の端 末 I Dとを記録したテーブルを固有情報配布履歴 6 0 0とする。

そして、 サーバ装置 1 2 0は、 プログラム固有情報 4 2 0を配布した 情報処理端末 1 0 0を識別する I Dである端末 I D 6 0 1 、 及び配布し たプログラム固有情報 4 2 0を識別する I Dであるプログラム固有情報 I D 6 0 2を固有情報配布履歴保持部 1 4 0に格納する。 また、 必要に 応じてプログラム固有情報 4 2 0を最後に配布した日時を示す最終配布 日付 6 0 3を固有情報配布履歴 6 0 0に格納する。

図 6においては、 サーバ装置 1 2 0は情報処理端末 1 0 0に 5つのプ ログラム固有情報 4 2 0を配布済みであり、それぞれの端末 I D 6 0 1 、 プログラム固有情報 I D 6 0 2の組は、 （端末 I D . プログラム固有情 報 I D ) = ( 0 0 0 1 , 0 0 0 1 ) 、 （ 0 0 0 2 , 0 0 0 2) 、 （ 0 0 1 0 , 0 0 0 3 ) 、 （ 0 0 1 5 , 0 0 0 4 ) 、 ( 0 0 2 0 , 0 0 0 5 ) となる。

図 7は、 サーバ装置 1 2 0におけるプログラム 3 1 0の配布手順を示 すフローチャー トである。

最初に、 サーバ装置 1 2 0は情報処理端末 1 0 0からプログラム配布 要求を受信する （ S 7 0 1 ) 。 次に、 サーバ装置 1 2 0は、 受信したプ ログラム配布要求に含まれる情報処理端末 1 0 0の端末 I Dを取得して ( S 7 0 2 ) 、 固有情報配布履歴 6 0 0に対して取得した端末 I Dを検 索し （S 7 0 3 ) 、 固有情報配布履歴 6 0 0に同じ端末 I Dが格納され ているか否かの判定を行う （ S 7 0 4 ) 。

サーバ装置 1 2 0は、 固有情報配布履歴 6 0 0に同じ端末 I Dが格納 されていた場合には （S 7 0 4の Y ) 、 情報処理端末 1 0 0には既にプ ログラム固有情報 4 2 0を配布済みであるため、 プログラム 3 1 0のみ を送信し処理を終了する （S 7 0 8 ) 。

また、 サーバ装置 1 2 0は、 固有情報配布履歴 6 0 0に同じ端末 I D が格納されていない場合 （S 7 0 4で N ) 、 情報処理端末 1 0 0に対し ては新たにプログラム固有情報 4 2 0を割り当てて （S 7 0 5 ) 、 この 新たに割リ当てたプログラム固有情報 4 2 0に関し、 端末 I D 6 0 1 と プログラム固有情報 I D 6 0 2の対応を追加して固有情報配布履歴 6 0 0を更新する （ S 7 0 6 ) 。 そして、 サーバ装置 1 2 0は、 プログラム 固有情報 4 2 0を情報処理端末 1 0 0に送信し、 プログラム 3 1 0を情 報処理端末 1 0 0に送信して処理を終了する （ S 7 0 8 ) 。

このように、 サーバ装置 1 2 0において固有情報配布履歴 6 0 0を用 いてプログラム固有情報を配布管理することにより、 1 つの情報処理端 末 1 0 0へ複数のプログラム固有情報 4 2 0を配布することを確実に防 止する。 これにより、 サーバ装置 1 2 0は、 既に C R L等によリブログ ラム固有情報 4 2 0を用いて不正端末と認識され、 排除されている情報 処理端末 1 0 0に対しては、 新たなプログラム固有情報 4 2 0を割り当 てることはない。 従って、 新たなプログラム固有情報 4 2 0を取得して 排除の回避を図る情報処理端末 1 0 0の不正行為を防止することが可能 となる。

図 8は、 本実施の形態 1 に係るサーバ装置 1 2 0を用いたプログラム 管理システムを示す全体図である。 プログラム用のサーバ装置 1 2 0 a は、 プログラム取得要求に対応す るプログラムを情報処理端末 1 0 0に送信する。サーバ装置 1 2 0 bは、 情報処理端末 1 0 0で動作するプログラムに用いるアプリケーションを 情報処理端末 1 0 0に送信する。 尚、 図 8においては、 情報処理端末 1 0 0の保持するプログラムのプログラム固有情報を「 0 1 0 1 」と して、 C R L 8 0 0の排除からの回避を図るために新たなプログラム固有情報 の不正取得を図る端末と して説明を行う。 また、 プログラムの安全な配 布を図るために、 通信路は S S Lを用いて暗号化通信路と している。 情報処理端末 1 0 0の利用者がアプリケーショ ンデータを要求する際 においては、 情報処理端末 1 0 0の保持するプログラムのプログラム固 有情報 「 0 1 0 1 J を付与したアプリケーショ ン取得要求をアプリケー ショ ンデータ用のサーバ装置 1 2 0 bに送信する。

そして、 サーバ装置 1 2 O bは、 プログラム固有情報を用いた不正プ ログラムの無効化リス ト （ C R L ) 8 0 0を有しており、 情報処理端末 1 0 0からの取得要求に付与されるプログラム固有情報 「 0 1 0 1 」 が C R L 8 0 0に記載されているためにアプリケーショ ンデータの送信を 行わないことで不正な情報処理端末の排除を行う。 尚、 C R Lにプログ ラム固有情報が記載されていない場合においては、 サーバ装置 1 2 0 b は、 アプリケーショ ンデータ を情報処理端末 1 0 0に送る。 また、 サ一 バ装置 1 2 0 a等からダウンロー ドするデータに C A署名を付加して、 情報処理端末 1 0 0で署名検証を行う ことによ り、 ダウンロー ドデータ の通信路上での改ざん、 すり替え、 盗聴等を防止する。

プログラム固有情報 「 0 1 0 1 J が C R L 8 0 0に記載された情報処 理端末 1 0 0のユーザは、 新たな別のプログラム固有情報を得て C R L による排除を回避するためにプログラム用のサーバ装置 1 2 0 a よ リ ブ ログラム固有情報の取得要求を行う。 このよ うな場合において、 本発明に係るサーバ装置 1 2 0 a は、 固有 情報配布履歴保持部 1 4 0において、以前に配布したプログラムに関し、 情報処理端末 1 0 0の端末 I D 「 0 1 0 2」 と、 プログラム固有情報 I D 「 0 1 0 1 」 と を記録した固有情報配布履歴 6 0 0を有している。 そして、 情報処理端末 1 0 0から、 新たなプログラム固有情報取得要 求をサーバ装置 1 2 0 a に対して行う場合には、サーバ装置 1 2 0 a は、 このプログラム固有情報取得要求に付与されている端末 I D「 0 1 0 2」 が固有情報配布履歴 6 0 0に記載されているか否か判断して、 記載され ている場合においては、 プログラム固有情報の配布を禁止してプログラ ム本体のみの配布を前記情報処理端末 1 0 0に行う。 尚、 固有情報配布 履歴 6 0 0を参照して、 プログラム固有情報取得要求に付与されている 端末 I Dに対応するプログラム固有情報 1 Dが記載されていない場合に おいては、 端末 I Dとプログラム固有情報 I Dとを対応させて固有情報 配布履歴 6 0 0に追加すると共に、 プログラムとプログラム固有情報と を情報処理端末 1 0 0に配布する。

尚、 サーバ装置 1 2 0 aが情報処理端末 1 0 0に再度配布をしないの は、 プログラム固有情報のみであり、 プログラムの本体は 2回以上配布 しても構わない。 これは、 プログラム固有情報が C R L 8 0 0によ り無 効化されているため、 プログラム固有情報が更新されない限り、 不正使 用を図る情報処理端末 1 0 0のユーザが新たなアプリケ一ショ ンデータ を取得することを排除しているためである。

図 9は、 本実施の形態 1 に係るプログラムヘッダ 9 0 0 とプログラム 9 1 0に含まれる別のデータ構造を示す図である。 図 9において、 図 3 と異なる点は、 プログラム 9 1 0に C A署名 3 1 1 を付加しない点であ る。

プログラムヘッダ 9 0 0は、 プログラム 9 1 0に関する情報を格納す るものであり、 上述したプログラムヘッダ 3 0 0 と同様の情報であるプ ログラム I D ( 9 0 1 ) 、 パージヨ ン番号 （ 9 0 2 ) 、 プログラムサイ ズ （ 9 0 3 ) 、 ノヽッシュ値 （ 9 0 4 ) 、 C A署名 （ 9 0 5 ) を含むもの である。

プログラムヘッダ 9 0 0及びプログラム 9 1 0の正当性検証を情報処 理端末 1 0 0において行う場合、 第 1 に、 プログラムヘッダ 9 0 0をサ ーパ装置 1 2 0から取得し、 プログラムヘッダ 9 0 0に付加された C A 署名 9 0 5 を検証する。 これにより、 情報処理端末 1 0 0はプログラム ヘッダ 9 0 0が改ざんされていない、 正当な配布元から配布された情報 であることを検証する。

次に、 プログラム 9 1 0のハッシュ値を算出する。 算出 したハッシュ 値と、 プログラムヘッダ 9 0 0に格納されているプログラムのハッシュ 値 9 0 4を比較し、 一致することを確認する。 これによ り、 情報処理端 末 1 2 0はプログラム 9 1 0が改ざんされていない正当な配布元から配 布された情報であることを検証することが可能となる。

このように、 プログラム 9 1 0の正当性検証にプログラムヘッダ 9 0 0に格納されたプログラムのハッシュ値 9 0 4を使用し、 プログラムへ ッダ 9 0 0にのみ C A署名 9 0 5 を付加することで、 プログラム 9 1 0 の C A署名に必要とする情報を低減しながら、プログラムヘッダ 9 0 0、 プログラム 9 1 0に署名を付加する場合と同様に正当性を検証すること が可能となる。 また、 プログラムヘッダ 9 0 0 とプログラム 9 1 0の組 み合わせが不正に変更された場合、 情報処理端末 1 0 0において、 プロ グラムのハッシュ値を算出することによ り組み合わせの異常を検出する ことが可能となる。 尚、 プログラム 9 1 0の C A署名を行わないことに よ り、 プログラム 9 1 0を認証局に渡して C A署名を行う必要がなく な る。 次に、 図 1 0 を用いて、 固有情報ヘッダ 1 0 0 0 とプログラム固有情 報 1 0 2 0 とに含まれる別のデータ構造を示す図である。 図 1 0におい て、 図 4 と異なる点は、 固有情報ヘッダ 1 0 0 0がプログラム固有情報 ハッシュ値 1 0 0 5 を有し、 プログラム固有情報 1 0 2 0に 0八署名 4 2 2 を付加しない点である。

固有情報ヘッダ 1 0 0 0は、 プログラム固有情報 1 0 2 0に関する情 報を格納するものであり、 上述した固有情報ヘッダ 4 0 0に格納される 情報と同様な情報であるプログラム固有情報 I D 1 0 0 1 、 プログラム I D 1 0 0 2、 固有情報の数 1 0 0 3、 プログラム固有情報全体のサイ ズ 1 0 0 4、 プログラム固有情報全体のハッシュ値 1 0 0 5、 固有情報 サブヘッダ 1 0 0 6、 及び固有情報ヘッダ全体に対する C A署名 1 0 0 7 よ り構成される。

従って、 情報処理端末 1 0 0は、 プログラム固有情報 1 0 2 0のハツ シュ値を算出して、 算出したハッシュ値と、 固有情報ヘッダ 1 0 0 0に 格納されているプログラム固有情報のハッシュ値 1 0 0 5 とを比較して 一致することを確認することによ り、 プログラム固有情報 1 0 2 0が改 ざんされていない、 正当な配布元から配布された情報であることを検証 することが可能となる。

以上のように、 本実施の形態 1 に係るサーバ装置 1 2 0が固有情報配 布履歴保持部 1 4 0 を有することによ り、 サーバ装置 1 2 0は、 情報処 理端末 1 0 0が以前に配布したプログラムに対応するプログラム固有情 報の新規取得を防止することが可能となる。 このため、 新たなプログラ ム固有情報 4 2 0 を取得して排除の回避を図る情報処理端末 1 0 0のハ ッキング等の不正行為を回避してセキュアなダウンロー ドを実現できる, また、 情報処理端末 1 0 0においてサーバ装置 1 2 0から取得したプ ログラムを内部からのみアクセス可能なセキュアなフラ ッシュメモリ等 に記録されている端末固有鍵 1 1 0で暗号化することによ り、 従来のよ うにサーバ装置においてプログラムを情報処理端末の固有の鍵で暗号化 する処理を必要と しなく なリ、 サーバ装置 1 2 0におけるプログラム暗 号化処理の負担を軽減することが可能となる。 尚、 この場合、 情報処理 端末 1 0 0において端末固有鍵 1 1 0で暗号化した場合、 正しく暗号化 が行えたことを確認する必要がある。 この点に関し本発明では、 情報処 理端末 1 0 0は、 プログラム格納後に端末固有鍵 1 1 0で復号し、 平文 プログラムのハッシュ値による検証を行う ことで、 情報処理端末 1 0 0 毎に異なる端末固有鍵 1 1 0による暗号化を意識することなく 、 プログ ラム格納の成否を判定することが可能となる。

さ らに、 サーバ装置 1 2 0は、 プログラム全体をプログラム 3 1 0及 びプログラム固有情報 4 2 0に分離して個別に作成している。 従って、 サーバ装置 1 2 0は、 各情報処理端末 1 0 0で異なる情報となる容量の 比較的小さなプログラム固有情報 4 2 0を複数管理して、 全情報処理端 末 1 0 0で共通な情報となる容量の大きなプログラム 3 1 0は 1 つのみ 管理することによ り、 サーバ装置 1 2 0で管理する配布情報の容量を格 段に低減され、ひいては、情報管理の負担を軽減することが可能となる。 そして、 サーバ装置 1 2 0においては、 固有情報ヘッダ 1 0 0 0にプ ログラム固有情報 1 0 2 0のハッシュ値 1 0 0 5を格納し、 固有情報へ ッダ 1 0 0 0にのみ C A署名 1 0 0 7 を付加することで、 プログラム 9 1 0の C A署名に必要とする情報を低減しながら、 固有情報ヘッダ 1 0 0 0、 プログラム固有情報 1 0 2 0に署名を付加する場合と同様の効果 を得ることが可能となる。 また、 固有情報ヘッダ 1 0 0 0 とプログラム 固有情報 1 0 2 0の組み合わせが不正に変更された場合、 情報処理端末 1 0 0において、 プログラム固有情報 1 0 2 0のハッシュ値を算出する ことによ り組み合わせの異常を検出することが可能となる。 尚、 本実施の形態 1 で示した固有情報配布履歴保持部 1 4 0に保持さ れる固有情報配布履歴 6 0 0の形式は一例であり、 最終配布日付 6 0 3 を削除してもよいし、 他の情報を付加してもよい。 また、 本実施の形態 1 では固有情報配布履歴 6 0 0に記載されている端末 I D 6 0 1 に対し てプログラム固有情報 4 2 0の配布を拒否しているが、 不正取得でない 限りにおいては、 当該端末 I D 6 0 1 を有する情報処理端末 1 0 0に対 して既に配布済みのプログラム固有情報 4 2 0を再度配布してもよい。 そして、 本実施の形態 1 に係るサーバ装置 1 2 0では、 情報処理端末 1 0 0からの要求はプログラムの配布を伴うプログラム配布要求、 又は プログラムの配布を伴わないプログラム固有情報配布要求のいずれかと できる。

また、 本実施の形態 1 では情報処理端末 1 0 0とサーバ装置 1 2 0間 で S S Lを用いた暗号化データの送受信を行っているが、 2点間で安全 にデータの送受信が行える方法であれば、 S S Lに限らず他のプロ トコ ルを用いてもよい。

そして、 本実施の形態 1 ではデータ格納部 1 0 6とプログラム格納部 1 0 5を別にしているが、 同一の格納部としてもよい。 また、 秘匿情報 格納部 1 0 7に端末公開鍵証明書 1 1 3を格納しているが、 データ格納 部 1 0 6に格納してもよい。

また、 本実施の形態 1 に係るサーバ装置 1 2 0は、 プログラムヘッダ 3 0 0、 固有情報ヘッダ 4 0 0をプログラム 3 1 0、 プログラム固有情 報 4 2 0とは別に作成しているが、 プログラム 3 1 0とプログラムへッ ダ 3 0 0、 プログラム固有情報 4 2 0と固有情報ヘッダ 4 0 0をそれぞ れ一体の情報とし、 サーバ装置 1 2 0からの配布に先立ちヘッダ部分の み切り出して情報処理端末 1 0 0に送信してもよい。

さらに、 本実施の形態 1 ではプログラム 3 1 0、 プログラム固有情報 4 2 0に対し配布時にセッショ ン鍵による暗号化を行う例を示したが、 セッショ ン鍵とは異なる鍵でさ らに暗号化し、 その鍵をプログラムへッ ダ 3 0 0、 固有情報ヘッダ 4 0 0に含めて配布する構成と してもよい。 そして、 本実施の形態 1 でハッシュ値と記載している点は、 ハッシュ アルゴリズムと して S H A— 1、 M D 5などの既存のハッシュアルゴリ ズムを使用してもよいし、 独自のアルゴリズムを用いてもよい。 また、 ハッシュアルゴリズムのかわりにチ： t ックサムなどの方法を用いて改ざ んの検出を行ってもよい。 また、 情報処理端末 1 0 0毎に異なる情報を 必要と しないプログラムを配布する場合は、 プログラム固有情報の配布 を行う必要はない。

(実施の形態 2 )

図 1 1 は、 本発明の実施の形態 2に係る情報処理端末 1 1 0 0 とサ一 パ装置 1 1 2 0 との構成図を示す。 同図において、 実施の形態 1 と異な る点は、 サーバ装置 1 1 2 0がプログラム 固有情報対応表保持部 1 1 5 0を保持する点である。

このプログラム 固有情報対応表保持部 1 1 5 0は、 プログラム固有 情報を一意に識別するプログラム固有情報 I Dと、 プログラム固有情報 を使用するプログラムを一意に特定するプログラム I Dとの対応を示し たプログラムノ固有情報対応表 1 2 1 0を保持する記憶部である。 図 1 2 ( a ) 及び （ b ) は、 本実施の形態 2に係る固有情報配布履歴 1 2 0 0及びプログラム 固有情報対応表 1 2 1 0に含まれる情報の一 例を示す図である。

固有情報配布履歴保持部 1 1 4 0は、 前述した実施の形態 1 の固有情 報配布履歴 6 0 0 と異なり、 配布したプログラム固有情報に対応するプ ログラムを識別するプログラム I D 1 2 0 2が付加されている固有情報 配布履歴 1 2 0 0を管理する。 尚、 固有情報配布履歴 1 2 0 0に格納さ れる端末 I D 1 2 0 1 、 プログラム固有情報 I D 1 2 0 3、 及び最終配 布日付 1 2 0 4については前述した図 6と同様のため詳細な説明は省略 する。

固有情報配布履歴 1 2 0 0の例では、 サーバ装置 1 1 2 0は情報処理 端末 1 1 0 0に 5つのプログラム固有情報 I D 1 2 0 3を配布済みであ リ、 それぞれの端末 I D 1 2 0 1 、 プログラム I D 1 2 0 2、 プログラ 厶固有情報 I D 1 2 0 3の組は、 （端末 I D, プログラム I D , プログ ラム固有情報 I D ) = ( 0 0 0 1 ， 0 0 0 1 , 0 0 0 1 ) 、 ( 0 0 0 2 , 0 0 0 1 , 0 0 0 2 ) 、 ( 0 0 1 0 , 0 0 0 1 , 0 0 0 3 ) 、 ( 0 0 1 5 , 0 0 0 1 , 0 0 0 4 ) 、 ( 0 0 2 0 , 0 0 0 2 , 1 0 0 1 ) となる。 また、 プログラム/固有情報対応表保持部 1 1 5 0は、 プログラム/ 固有情報対応表 1 2 1 0に、 サーバ装置 1 1 2 0が管理しているプログ ラムのプログラム I D 1 2 1 1 と、 各プログラムが使用するプログラム 固有情報を識別するプログラム固有情報 I D 1 2 1 2との対応関係を格 納する。

図 1 2の例では、 サーバ装置 1 1 2 0はプログラム I Dが 0 0 0 1 の プログラムを管理しており、 そのプログラムが使用するプログラム固有 情報と してプログラム固有情報 I Dが 0 0 0 1 から 1 0 0 0までのプロ グラム固有情報を管理している。 同様にプログラム I Dが 0 0 0 2のプ ログラムと、 そのプログラムが使用するプログラム固有情報 I Dが 1 0 0 1 から 2 0 0 0までのプログラム固有情報を管理している。 また、 プ ログラム 固有情報対応表 1 2 1 0には、 情報処理端末 1 1 0 0に配布 済みのプログラム固有情報の再配布を防止するために、 次回のプログラ 厶固有情報配布の開始時に、 配布すべきプログラム固有情報である配布 開始 I D 1 2 1 3を格納する。

図 1 2の例では、 プログラム I Dが 0 0 0 1 のプログラムに対し新た にプログラム固有情報を割り 当てる場合、 サーバ装置 1 1 2 0はプログ ラム固有情報 I D 0 1 2 3のプログラム固有情報を割り当てることを示 している。 同様にプログラム I Dが 0 0 0 2のプログラムに対し新たに プログラム固有情報を割り 当てる場合、 サーバ装置 1 1 2 0はプログラ ム固有情報 I D 1 4 2 3のプログラム固有情報を割リ当てることを示し ている。

また、 サーバ装置 1 1 2 0は、 このプログラム 固有情報対応表 1 2 1 0 を用いて、 情報処理端末 1 1 0 0からのプログラム I Dを指定した プログラム配布要求に対し、 そのプログラム I Dに対応したプログラム 固有情報を配布すること となる。

本発明の実施の形態 2におけるプログラム配布手順について、 図 1 3 を用いて説明する。 図 1 3は、 サーバ装置 1 1 2 0におけるプログラム の配布手順を示すフローチャー トである。

第 1 に、 サーバ装置 1 1 2 0は情報処理端末 1 1 0 0からプログラム 配布要求を受信する （ S 1 3 0 1 ) 。 このプログラム配布要求は、 プロ グラム I Dを指定するものである。

次に、 サーバ装置 1 1 2 0は、 受信したプログラム配布要求から情報 処理端末 1 1 0 0の端末 I D及びプログラム I Dを取得する （ S 1 3 0 2 ) 。 そして、 固有情報配布履歴 1 2 0 0に対して取得した端末 I D、 プログラム I Dを検索し （ S 1 3 0 3 ) 、 固有情報配布履歴 1 2 0 0に 同じ端末 I Dかつ同じプログラム 〖 Dの履歴が格納されているか否か確 認する （ S 1 3 0 4 ) 。

固有情報配布履歴 1 2 0 0に同じ端末 I Dかつ同じプログラム I 。の 履歴が格納されていた場合には （ S 1 3 0 4で Y ) 、 サーバ装置 1 1 2 0は、 情報処理端末 1 1 0 0に既に指定プログラムに対するプログラム 固有情報 1 1 3 5 を配布済みであるため、 プログラム 1 1 3 3のみを送 信し処理を終了する （ S 1 3 0 9 ) 。

固有情報配布履歴 1 2 0 0に同じ端末 I Dかつ同じプログラム I Dの 履歴が格納されていない場合には （ S 1 3 0 4で N ) 、 サーバ装置 1 1 2 0は、 プログラムノ固有情報対応表 1 2 1 0に格納されている配布開 始 I Dの情報を元に情報処理端末 1 1 0 0へ新たにプログラム固有情報 1 1 3 5 を割り当てる （ S 1 3 0 5 ) 。

次に、 サーバ装置 1 1 2 0は、 新たに割り当てたプログラム固有情報 1 1 3 5に関し、 プログラム 固有情報対応表保持部 1 1 5 0に格納さ れているプログラム/固有情報対応表 1 2 1 0 を参照して、 配布開始 I D 1 2 1 3の値を更新する （ S 1 3 0 6 ) 。 また、 新たに割り当てたプ ログラム固有情報 1 1 3 5に関し、 端末 I Dとプログラム固有情報 I D の対応を固有情報配布履歴 1 2 0 0に追加する （ S 1 3 0 7 )。そして、 サーバ装置 1 1 2 0は、 プログラム固有情報 1 1 3 5を情報処理端末 1 1 0 0に送信し （ S 1 3 0 8 ) 、 プログラム 1 1 3 3を送信し処理を終 了する （ S 1 3 0 9 ) 。

以上のように、 本実施の形態 2に係るサーバ装置 1 1 2 0は、 固有情 報配布履歴保持部 1 1 4 0 とプログラム 固有情報対応表保持部 1 1 5 0 と を有し、 固有情報配布履歴 1 2 0 0 とプログラム/固有情報対応表 1 2 1 0 を用いてプログラム固有情報の配布管理を行う ことによ り、 1 つの情報処理端末 1 1 0 0で動作する同一プログラムに対して複数のプ ログラム固有情報 1 1 3 5を配布することを防ぐ。 このため、 新たなプ ログラム固有情報 1 1 3 5 を取得して排除の回避を図る情報処理端末 1 1 0 0がプログラム固有情報 1 1 3 5 を新規取得することを防止するこ とが可能となる。

また、 本実施の形態 2に係るサーバ装置 1 1 2 0は、 ダウンロー ド対 象のプログラムと、 当該プログラムが動作する情報処理端末 1 1 0 0 と の対応をプログラム 固有情報対応表 1 2 1 0に格納してプログラム固 有情報 1 1 3 5の配布をプログラム単位に管理することにより、 プログ ラム毎にプログラム固有情報 1 1 3 5の配布可否を判定することが可能 となる。 このため、 サーバ装置 1 1 2 0はプログラム/固有情報対応表 1 2 1 0 を参照して、 プログラムを動作対象でない情報処理端末 1 1 0 0に配布することを防止することが可能となる。

尚、 本実施の形態 2ではデータ格納部 1 1 0 6 とプログラム格納部 1 1 0 5 を別にしているが、 同一の格納部と してもよい。 また、 本実施の 形態 2で示した固有情報配布履歴 1 2 0 0の形式は一例であり、 最終配 布日付 1 2 0 4を削除してもよいし、 他の情報を付加してもよい。 同様 にプログラム 固有情報対応表 1 2 1 0の形式も一例であり、 配布開始 I D 1 2 1 3 を別の形式で管理してもよい。 例えば、 全プログラム固有 情報 I Dを格納したテーブルを持ち、 各プログラム固有情報 I Dに対し て割り 当て済みか否かを識別するフラグを設けることによ り、 プログラ ム固有情報 1 1 3 5の配布状態を管理してもよい。

また、 本実施の形態 2では固有情報配布履歴 1 2 0 0に記載されてい る端末 I D 1 2 0 1 に対してプログラム固有情報 1 1 3 5の配布を拒否 しているが、 その情報処理端末 1 1 0 0に対して既に配布済みのプログ ラム固有情報 1 1 3 5 を再度配布してもよい。 また、 本実施の形態 2で は情報処理端末 1 1 0 0からの要求はプログラムの配布を伴う プログラ ム配布要求、 又はプログラムの配布が伴わないプログラム固有情報配布 要求とできる。

(実施の形態 3 )

図 1 4は、 本実施の形態 3に係る情報処理端末 1 4 0 0とサーバ装置 1 4 2 0の構成図を示す。 同図において、 前述した実施の形態 1 及び実 施の形態 2 と異なる点は、 サーバ装置 1 4 2 0が配布回数情報保持部 1 4 4 0を有する点である。

この配布回数情報保持部 1 4 4 0は、 サーバ装置 1 4 2 0から同一の 情報処理端末 1 4 0 0に対してプログラム固有情報 1 4 3 5を配布した 回数を管理するための配布回数情報 1 5 0 0を保持するハードディスク である。

図 1 5は、 本実施の形態 3に係る配布回数情報 1 5 0 0の情報格納例 を示す図である。

配布回数情報 1 5 0 0には、 プログラム固有情報 1 4 3 5を配布した 情報処理端末 1 4 0 0を識別する I Dである端末 I D 1 5 0 1 、 配布し た回数を示す回数カウンタ 1 5 0 2が格納される。 同図の例では、 端末 I Dが 0 0 0 1 、 0 0 0 2の情報処理端末 1 4 0 0に対してプログラム 固有情報 1 4 3 5を 1 回配布しており、 端末 I Dが 0 0 0 3の情報処理 端末 1 4 0 0に対してプログラム固有情報 1 4 3 5を配布していないこ とが示されている。

図 1 6は、 サーバ装置 1 4 2 0におけるプログラムの配布手順を示す フローチヤ一トである。

まず、 サーバ装置 1 4 2 0は情報処理端末 1 4 0 0からプログラム配 布要求を受信する （S 1 6 0 1 ) 。 次に、 サーバ装置 1 4 2 0は、 S 1 6 0 1 で受信したプログラム配布要求に含まれる情報処理端末 1 4 0 0 の端末 I Dを取得する （S 1 6 0 2 ) 。

そして、 サーバ装置 1 4 2 0は配布回数情報保持部 1 4 4 0に保持さ れる配布回数情報 1 5 0 0を用いて S 1 6 0 2で取得した端末 I Dを検 索し、 回数カウンタの値を取得する （ S 1 6 0 3 ) 。 また、 取得した回 数カウンタの値が規定値以上か否かを判定する （ S 1 6 0 4 ) 。

そして、 取得した回数カウンタの値が規定値以上であった場合 （ S 1 6 0 4で Y ) 、 サーバ装置 1 4 2 0は、 情報処理端末 1 4 0 0に対して は既にプログラム固有情報 1 4 3 5を規定回数以上配布しているため、 プログラム 1 4 3 3のみを送信し処理を終了する （S 1 6 0 8 ) 。

—方、 取得した回数カウンタの値が規定値未満であった場合 （ S 1 6 0 4で N ) 、 サーバ装置 1 4 2 0は情報処理端末 1 4 0 0へは新たにプ ログラム固有情報 1 4 3 5を割り当てる （ S 1 6 0 5 ) 。 また、 サーバ 装置 1 4 2 0は配布回数情報保持部 1 4 4 0内に格納されている配布回 数情報 1 5 0 0の回数カウンタの値を加算する （S 1 6 0 6 )。そして、 サーバ装置 1 4 2 0は、 プログラム固有情報 1 4 3 5を情報処理端末 1 4 0 0に送信し （ S 1 6 0 7 ) 、 プログラム 1 4 3 3を送信し処理を終 了する （ S 1 6 0 8 ) 。

このよ うに、 本実施の形態 3に係るサーバ装置 1 4 2 0は、 配布回数 情報保持部 1 4 4 0を有し、 配布回数情報 1 5 0 0を用いてプログラム 固有情報 1 4 3 5の配布管理を行うことにより、 1 つの情報処理端末 1 4 0 0へ規定値以上のプログラム固有情報 1 4 3 5を配布することを防 ぐことができる。 特に、 規定値を 1 に設定した場合、 本発明の実施の形 態 1 及び実施の形態 2と同様に、 サーバ装置 1 4 2 0は、 プログラム固 有情報 1 4 3 5が含む情報を用いて不正端末と認識され、 排除されてい る情報処理端末 1 4 0 0に対し、 新たにプログラム固有情報 1 4 3 5を 割り当てることにより、 不正端末が排除を回避することを防ぐことが可 能となる。

また、 プログラム固有情報 1 4 3 5の配布回数を示す規定値を 2以上 とすることにより、 ハードディスクが故障したような不正の目的でなく プログラムを再度購入するようなユーザに対してプログラム固有情報 1 4 3 5の再配布や新たな配布を正規に行うことが可能となる。

尚、 本実施の形態 3ではデータ格納部 1 4 0 6とプログラム格納部 1 4 0 5を別にしているが、 同一の格納部としてもよい。 また、 本実施の 形態 3で示した配布回数情報 1 5 0 0の形式は一例であリ、 他の情報を 付加してもよい。 また、 本実施の形態 3では情報処理端末 1 4 0 0から の要求はプログラムの配布を伴う プログラム配布要求、 又はプログラム の配布要求を伴わないプログラム固有情報配布要求とできる。

(実施の形態 4 )

図 1 7は、 本実施の形態 4に係る情報処理端末 1 7 0 0 とサーバ装置 1 7 2 0の構成図を示す。 同図において、 前述の実施の形態 3 と異なる 点は、 サーバ装置 1 7 2 0がプログラム/固有情報対応表保持部 1 7 5 0 を保持する点である。 このプログラム 固有情報対応表保持部 1 7 5 0は、 図 1 1 において説明したプログラム 固有情報対応表保持部 1 1 5 0 と同様の記憶部である。

図 1 8 ( a ) 及び （ b ) は、 本実施の形態 4に係る配布回数情報 1 8 0 0 とプログラム/固有情報対応表 1 8 1 0に格納されるデータの一例 を示す図である。

配布回数情報 1 8 0 0は、 配布したプログラムのプログラム I D 1 8 0 1 、 プログラム固有情報 1 7 3 5を配布した情報処理端末 1 7 0 0の 端末 1 D 1 8 0 2、 プログラム固有情報を配布した回数を示す回数カウ ンタ 1 8 0 3 を格納する。 前記実施の形態 3における配布回数情報 1 5 0 0 と異なる点は、 プログラム固有情報を使用するプログラムを識別す るプログラム I D 1 8 0 1 が付加されている点である。

配布回数情報 1 8 0 0は、 プログラム I Dが 0 0 0 1 のプログラムが 使用するプログラム固有情報 1 7 3 5 を、 端末 I Dが 0 0 0 1 、 0 0 0 2の情報処理端末 1 7 0 0に対して 1 回配布し、 端末 I Dが 0 0 0 3の 情報処理端末 1 7 0 0に対してプログラム固有情報 1 7 3 5 を配布して いないことを示す。 また同様に、 プログラム 〗 Dが 0 0 0 2のプログラ ムが使用するプログラム固有情報 1 7 3 5 を、 端末 I Dが 0 0 0 1 の情 報処理端末 1 7 0 0に対して 1 回配布しておリ、 端末 I Dが 0 0 0 2、 0 0 0 3の情報処理端末 1 7 0 0に対してプログラム固有情報 1 7 3 5 を配布していないことを示している。

尚、 プログラム Z固有情報対応表 1 8 1 0は、 前述した図 1 2におけ るプログラム/固有情報対応表 1 2 1 0と同様であり、 詳細な説明は省 略する。

図 1 9は、 サーバ装置 1 7 2 0におけるプログラムの配布手順を示す フローチヤ一 卜である。

まず、 サーバ装置 1 7 2 0は情報処理端末 1 7 0 0からプログラム配 布要求を受信する （S 1 9 0 1 ) 。 このプログラム配布要求には、 情報 処理端末 1 7 0 0より取得の要求されるプログラムのプログラム I Dを 含む。 次に、 サ一パ装置 1 7 2 0は、 S 1 9 0 1 で受信したプログラム 配布要求に含まれる情報処理端末 1 7 0 0の端末 I D、 プログラム I D を取得する （ S 1 9 0 2 ) 。

そして、 サーバ装置 1 7 2 0は、 配布回数情報 1 8 0 0に対して S 1 9 0 2で取得した端末 I D、 プログラム I Dを検索し、 回数カウンタの 値を取得する （S 1 9 0 3 ) 。 次に、 取得した回数カウンタの値が規定 値以上か否かを判定する （S 1 9 0 4 ) 。

また、 取得した回数カウンタの値が規定値以上であった場合 （ S 1 9 0 4で Y ) 、 サーバ装置 1 7 2 0は、 情報処理端末 1 7 0 0へは既にプ ログラム固有情報 1 7 3 5を規定回数以上配布しているため、 プログラ ム 1 7 3 3のみを送信し処理を終了する （ S 1 9 0 9 ) 。

次に、 取得した回数カウンタの値が規定値未満であった場合 （ S 1 9 0 4で N ) 、 サーバ装置 1 7 2 0は、 プログラム/固有情報対応表 1 8 1 0に格納されている配布開始 I Dの情報を元に情報処理端末 1 7 0 0 へ新たにプログラム固有情報 1 7 3 5を割り当てる （S 1 9 0 5 ) 。 そして、 サーバ装置 1 7 2 0は、 S 1 9 0 5で新たに割り当てたプロ グラム固有情報 1 7 3 5に関し、 プログラム 固有情報対応表 1 8 1 0 に格納されている配布開始 I Dの値を更新する （ S 1 9 0 6 ) 。 また、 配布回数情報 1 8 0 0 内に格納されている回数カウンタの値を加算し ( S 1 9 0 7 ) 、 プログラム固有情報 1 7 3 5 を情報処理端末 1 7 0 0 に送信し （ S 1 9 0 8 ) 、 プログラム 1 7 3 3 を送信し処理を終了する ( S 1 9 0 9 ) 。

以上のように、 本実施の形態 4に係るサーバ装置 1 7 2 0は、 配布回 数情報保持部 1 7 4 0 とプログラム/固有情報対応表保持部 1 7 5 0 と を有し、 各保持部に保持される配布回数情報 1 8 0 0及びプログラム/ 固有情報対応表 1 8 1 0を用いてプログラム固有情報 1 7 3 5 を配布管 理することによ り、 1 つの情報処理端末 1 7 0 0で動作する同一プログ ラムに対して規定値以上のプログラム固有情報 1 7 3 5 を配布すること を防いで、 プログラム固有情報 1 7 3 5の不正使用を図る情報処理端末 1 7 0 0を排除することが可能となる。

また、 本実施の形態 4では、 サーバ装置 1 7 2 0は、 プログラム固有 情報の配布をプログラム単位に管理することによ り、 プログラム毎にプ ログラム固有情報 1 7 3 5の配布可否を判定することが可能となる。 尚、 本実施の形態 4ではデータ格納部 1 7 0 6 とプログラム格納部 1 7 0 5を別にしているが、 同一の格納部と してもよい。 また、 本実施の 形態 4で示した配布回数情報 1 8 0 0の形式は一例であり、 他の情報を 付加してもよい。 同様にプログラム 固有情報対応表 1 8 1 0の形式も —例であり、 別の形式で管理してもよい。 また、 本実施の形態 4では情 報処理端末 1 7 0 0からの要求はプログラムの配布を伴う プログラム配 布要求、 又はプログラムの配布を伴わないプログラム固有情報配布要求 とできる。 以上のように、 本発明に係るサーバ装置は、 固有情報配布履歴保持部 を有することによ り、 情報処理端末が以前に配布したプログラムに対応 するプログラム固有情報の新規取得を防止することが可能となり、 新た なプログラム固有情報を取得して排除の回避を図る情報処理端末の不正 行為を確実に防止することが可能となる。

また、 本発明に係る情報処理端末は、 サーバ装置から取得したプログ ラムを端末固有鍵で暗号化することによ り、 サーバ装置におけるプログ ラム暗号化処理の負担を軽減することが可能となる。 さ らに、 本発明に 係るサーバ装置は、 プログラム全体をプログラム及びプログラム固有情 報に分離して個別に作成しているため、 サーバ装置は、 各情報処理端末 で異なる情報となる容量の比較的小さなプログラム固有情報を複数管理 して、 全情報処理端末で共通な情報となる容量の大きなプログラムは 1 つのみ管理して、 サーバ装置で管理する配布情報の容量を低減すること が可能となリ、 情報管理の負担を軽減することが可能となる。

そして、 本発明に係るサーバ装置から情報処理端末に配布されるプロ グラムの全体には、 情報処理端末で動作するプログラム本体、 プログラ ムヘッダ、 プログラム固有情報、 及び固有憎報ヘッダが含まれるため、 プログラムを構成する各情報に C A署名やハッシュ値を用いることによ リ、 サーバ装置から情報処理端末に配布される情報の正当性を確認する ことが可能となる。 産業上の利用の可能性

本発明に係るサーバ装置及びプログラム管理システムは、 通信機能を 備えるパーソナルコ ンピュータ、 携帯電話等の情報処理端末にネッ トヮ ークを介してプログラムを配布するサーバ装置、 及び当該サーバ装置と 情報処理端末との間のプログラム管理システムと して有用である。

Claims

請 求 の 範 囲

1 . 外部から書き換えが行えない端末 I Dを保持する情報処理端末と ネッ トワークを介して接続され前記情報処理端末で動作するプログラム を保持するサーバ装置であって、

以前に配布したプログラムと端末 I Dとの関連を示すテーブルを保持 するテーブル保持手段と、

前記テーブルを参照して、 前記情報処理端末から送信され前記端末 I Dを伴う プログラム取得要求に対するプログラムの配布をするか否かを 判定する判定手段とを備える

ことを特徴とするサーバ装置。

2 . 前記プログラムには、 前記情報処理端末で動作するプログラム本 体、 及び当該プログラム本体に使用される固有の情報であるプログラム 固有情報が含まれ、

前記判定手段は、

前記プログラム取得要求に付与されている前記端末 I Dが前記テープ ルに記録されている場合には、 前記プログラム固有情報の配布を禁止し て前記プログラム本体のみの配布を前記情報処理端末に行う と判定し、 前記端末 I Dが前記テーブルに記載されていない場合には、 前記端末 I Dと前記プログラム固有情報とを対応させて前記テーブルに追加する と共に、 前記プログラム本体と前記プログラム固有情報と を前記情報処 理端末に配布すると判定する

ことを特徴とする請求項 1 記載のサーバ装置。

3 . 前記判定手段は、

前記情報処理端末からの前記プログラム取得要求に対して、 前記プロ グラム本体の配布は前記プログラム取得要求毎に行う と判定する一方、 前記プログラム固有情報の配布は 1 回のみ行うと判定する

ことを特徴とする請求項 2記載のサーバ装置。

4 . 前記テーブル保持手段は、

前記端末 I Dと前記プログラム固有情報の配布回数とを示すテーブル を保持し、

前記判定手段は、

前記テーブルを参照して、 前記情報処理端末より配布された前記プロ グラム取得要求に付与されている前記端末 I Dに対応する配布回数が規 定値に達している場合においては、 前記プログラム固有情報の配布を禁 止して前記プログラム本体のみの配布を前記情報処理端末に行うと判定 し、

前記テーブルを参照して、 前記情報処理端末より配布された前記プロ グラム取得要求に付与されている前記端末 I Dに対応する配布回数が規 定値に達していない場合においては、 前記端末 I Dに対応させて前記テ —ブルに記載されている配布回数を更新すると共に、 前記プログラム本 体と前記プログラム固有情報とを前記情報処理端末に配布すると判定す る

ことを特徴とする請求項 1 記載のサーバ装置。

5 . 前記テーブル保持手段は、

前記情報処理端末からのプログラム取得要求に付与されている前記端 末 I りと、 前記端末 I Dの情報処理端末に配布した前記プログラム本体 を一意に特定するプログラム本体 I Dと、 前記端末 I Dの情報処理端末 にプログラム固有情報を配布した回数を示す配布回数との関連を示すテ 一ブルを保持し、

前記判定手段は、

前記テーブルを参照して、 前記情報処理端末より配布された前記プロ グラム取得要求に付与されている前記端末 〖 Dと前記プログラム I りと の両方に対応する配布回数が規定値に達している場合においては、 前記 プログラム固有情報の配布を禁止して前記プログラム本体のみの配布を 前記情報処理端末に行うと判定し、

前記テーブルを参照して、 前記情報処理端末より配布された前記プロ グラム取得要求に付与されている前記端末 I D及び前記プログラム I D に対応する配布回数が規定値に達していない場合においては、 前記端末 I Dと前記プログラム I Dとに対応させて前記テーブルに記載されてい る配布回数を更新すると共に、 前記プログラム本体と前記プログラム固 有情報とを前記情報処理端末に配布すると判定する

ことを特徴とする請求項 4記載のサーバ装置。

6 . 前記規定値は、 前記サーバ装置から前記情報処理端末に配布する プログラム固有情報の配布回数を示す値である

ことを特徴とする請求項 4又は請求項 5記載のサーバ装置。

7 . 前記テーブル保持手段は、

前記情報処理端末からのプログラム取得要求に付与されている前記端 末 I Dと、 前記端末 I Dの情報処理端末に配布した前記プログラム本体 を一意に特定するプログラム本体 I りと、 前記端末 I Dの情報処理端末 に配布したプログラム固有情報を一意に特定するプログラム固有情報 I Dとの関連を示すテーブルを保持し、

前記判定手段は、

前記テーブルを参照して、 前記情報処理端末より送信された前記プロ グラム取得要求に付与されている前記端末 I Dと前記プログラム I Dと の両方に対応するプログラム固有情報 I Dが記載されている場合におい ては、 前記プログラム固有情報の配布を禁止して前記プログラム本体の みの配布を前記情報処理端末に行うと判定し、 前記テーブルを参照して、 前記プログラム取得要求に付与されている 前記端末 I Dと前記プログラム I Dとの両方に対応するプログラム固有 情報 I Dが記載されていない場合においては、 前記端末 I Dと前記プロ グラム固有情報 I Dと前記プログラム I Dとを対応させて前記テーブル に追加すると共に、 前記プログラム本体と前記プログラム固有情報とを 前記情報処理端末に配布すると判定する

ことを特徴とする請求項 1 記載のサーバ装置。

8 . 前記サーバ装置は、

前記情報処理端末毎に異なる情報となる前記プログラム固有情報を複 数保持し、

前記情報処理端末で共通な前記プログラム本体を 1 つ保持する ことを特徴とする請求項 2記載のサーバ装置。

9 . 前記テーブル保持手段は、

前記プログラム本体を一意に特定するプログラム本体 I りと、 前記プ ログラム本体が動作する前記情報処理端末の端末 I Dとの関連を示すテ —ブルを保持し、

前記判定手段は、

前記テーブルを参照して、 前記情報処理端末よ り配布された前記プロ グラム取得要求に付与されている前記端末 I Dと前記プログラム I Dと が対応して記載されている場合においては、 前記プログラムの配布可能 と判定し、

前記テーブルを参照して、 前記プログラム取得要求に付与されている 前記端末 I Dと前記プログラム I Dとが対応して記載されていない場合 においては、 前記プログラム本体の配布不可と判定する

ことを特徴とする請求項 2記載のサーバ装置。

1 0 . 外部から書き換えが行えない端末 I Dを保持する情報処理端末 と、 当該情報処理端末とネッ トワークを介して接続され前記情報処理端 末で動作するプログラムを保持するサーバ装置とから構成されるプログ ラム管理システムであって、

前記情報処理端末は、

前記プログラムの取得を要求する場合には、 前記端末 I Dを付与した プログラム取得要求を前記サーバ装置に送信し、

前記サーバ装置は、

前記プログラム取得要求を受信して、 以前に配布したプログラムと端 末 I Dとの関連を示すテーブルを保持するテーブル保持手段と、 前記テーブルを参照して、 前記情報処理端末から送信されて前記端末 I Dが付与されているプログラム取得要求に対するプログラムの配布を するか否かを判定する判定手段とを備える

ことを特徴とするプログラム管理システム。

1 1 . 前記情報処理端末は、 外部から書き換えが行えないメ モ リ部に 前記情報処理端末毎に異なる固有鍵を格納し、

前記サーバ装置から取得した前記プログラムを、 前記固有鍵を用いて 暗号化して前記情報処理端末内のメ モ リ部に格納する格納手段を備える ことを特徴とする請求項 1 0記載のプログラム管理システム。

1 2 . 前記プログラムには、 前記情報処理端末で動作するプログラム 本体、 当該プログラム本体に関する情報を格納するプログラムヘッダ、 前記プログラム本体に使用される固有の情報であるプログラム固有情報 及び当該プログラム固有情報に関する情報を格納した固有情報ヘッダが 含まれ、

前記情報処理端末は、

前記サーバ装置に取得を要求するプログラムに含まれる前記プログラ ムヘッダ及び前記固有情報ヘッダの取得を要求するヘッダ取得要求を行 い、

前記サーバ装置は、

前記判定手段において前記プログラム本体の配布可能と判定される場 合においては、 前記プログラムヘッダ及び前記固有情報ヘッダを前記情 報処理端末に配布し、

前記情報処理端末は、

前記プログラムヘッダ及び前記固有情報ヘッダに基づいて検証を行う 検証手段を備え、 当該検証手段での検証を行った後に前記プログラム取 得要求を前記サーバ装置に送信する

ことを特徴とする請求項 1 0記載のプログラム管理システム。

1 3 . 前記プログラムヘッダには、 前記プログラムを一意に特定する ことが可能な認証子が含まれ、

前記情報処理端末は、 前記固有鍵で暗号化され前記情報処理端末内の メ モ リ部に格納されているプログラムを前記固有鍵で復号し、 前記認証 子を用いて前記固有鍵での暗号化が正しく行われたことを検証する検証 手段を備える

ことを特徵とする請求項 1 2記載のプログラム管理システム。

1 4 . 前記プログラム、 前記プログラムヘッダ、 前記プログラム固有 情報、 及び前記固有情報へッダには電子的な署名が付加されている ことを特徴とする請求項 1 2記載のプログラム管理システム。

1 5 . 前記プログラムヘッダには、 前記プログラムを一意に特定する ことが可能な認証子が含まれ、 前記固有情報ヘッダには、 前記プログラ 厶固有情報を一意に特定することが可能な認証子が含まれる

ことを特徴とする請求項 1 2記載のプログラム管理システム。

1 6 . 外部から書き換えが行えない端末 I Dを保持する情報処理端末 と、 当該情報処理端末とネッ トワークを介して接続され前記情報処理端 末で動作するプログラムを保持するサーバ装置とから構成されるプログ ラム配布方法であって、

前記情報処理端末は、

前記プログラムの取得を要求する場合には、 前記端末 I Dを付与した プログラム取得要求を前記サーバ装置に送信するステップを有し、 前記サーバ装置は、

前記プログラム取得要求を受信して、 以前に配布したプログラムと端 末 I Dとの関連を示すテーブルを保持するテーブル保持ステップと、 前記テーブルを参照して、 前記情報処理端末から送信されて前記端末 I Dが付与されているプログラム取得要求に対するプログラムの配布を するか否かを判定する判定ステップとを有する

ことを特徴とするプログラム配布方法。

1 7 . 外部から書き換えが行えない端末 I Dを保持する情報処理端末 とネッ トワークを介して接続され前記情報処理端末で動作する配布プロ グラムを保持するサーバ装置で用いられるプログラムであって、 以前に配布した配布プログラムと端末 I Dとの関連を示すテーブルを 保持するテーブル保持ステップと、

前記テーブルを参照して、 前記情報処理端末から送信され前記端末 I Dを伴うプログラム取得要求に対する配布プログラムの配布をするか否 かを判定する判定ステップとをコンピュータに実行させる

ことを特徴とするプログラム。