終端裝置以及軟體檢查方法

2023-06-04 15:00:46

專利名稱：終端裝置以及軟體檢查方法
技術領域：
本發明涉及具備執行軟體的第1域、和糹企查所述軟體是否安全的第2域的 終端裝置以及軟體^r查方法。
背景技術：
以往，在便攜電話、PDA (Personal Digital Assistants), PC等終端裝置中， 有可能從外部對作業系統(以下記作OS)或應用程式等軟體進行篡改而降低 安全性。因此，近年來，為了確保終端裝置的安全性，提出了檢查該軟體是否 安全的各種技術(例如參照專利文獻1 )。
在專利文獻1中公開了使用多個處理器來進行軟體的檢查的技術。在專利 文獻1所公開的技術中，在具備執行在裝置中所使用的基本軟體的主處理器、 和與該主處理器隔離的安全處理器的裝置中，安全處理器檢查通過主處理器執 行的軟體。在所述安全處理器中以無法從外部訪問的方式保存了加密處理以及 解密處理中使用的密鑰。並且，所述安全處理器使用該密鑰，根據通過主處理 器執行的軟體的解密是否成功，檢查該軟體是否安全。另外，所述安全處理器， 每當將軟體從二次存儲存儲器向主存儲器加載以及存儲時，進行該軟體的檢 查，由此確保通過主處理器執行的軟體的安全性。
專利文獻l:特開2006-18528號公才艮
但是，在專利文獻1所公開的技術中，當啟動(加載)OS或應用程式等 軟體時進行該軟體的檢查，在該檢查結束後，該軟體成為可以利用。因此，存 在引導時順次執行OS或應用程式的終端裝置的啟動時間的增加、或用戶調用 應用程式時的應答性的惡化等，用戶的便利性惡化的問題。另外，在便攜電話 或PC等中使用的軟體的容量近年來持續增加，與之相伴，軟體的檢查時間增 加，因此需要縮短檢查時間或對用戶隱蔽檢查時間等的對策。

發明內容
因此，鑑於上述問題而提出本發明，其目的在於提供一種抑制安全性降低，同時減少由於軟體的檢查而使OS或應用程式的啟動時間增加的終端裝置以及 軟體4全查方法。
為了達到上述目的，本發明的第1特徵的主旨在於j是供一種終端裝置(終 端裝置l),具有執行多個軟體的第l域(第I域IO)，以及與所述第l域獨立
地動作、檢查所述多個軟體的每一個是否安全的第2域(第2域20)，其中， 所述第2域具有執行順序存儲部(執行順序存儲部111),其存儲通過所述 第l域執行的所述多個軟體的執行優先順序；軟體檢查部(軟體檢查部117),
是否安全；以及執行限制部(執行限制部123),其在所述多個軟體的全部4僉 查結束之前，限制通過所述第1域執行所述多個軟體內得到不安全的檢查結果 的軟體。
根據該特徵，在終端裝置中，第2域的軟體檢查部可以不依賴於第l域的 處理，獨立地逐個檢查軟體，因此可以縮短軟體的檢查時間。另外，當第1 域執行應用程式或中間件、OS、設備驅動程序等軟體時，第1域不進行檢查 處理，因此對於用戶，可以隱蔽檢查時間的開銷(overhead )。而且，第2域 的執行限制部，在多個軟體的全部檢查結束前限制通過第1域執行軟體，因此， 即使在第1域要在全部檢查結束前執行軟體的情況下，也可以確保安全性。
於是，根據該特徵，終端裝置可以通過檢查軟體來確保安全性，同時可以 減少由於該才企查而4吏OS或應用程式的啟動時間增加。
本發明的第2特徵的主旨在於，在第1特徵所述的終端裝置中，所述執行 順序存儲部，將用於識別所述第1域的第1域識別信息或用於識別所述第2 域的第2域識別信息中的某一個、與所述多個軟體的每一個對應起來存儲，所 述第2域的所述軟體檢查部，按照所述執行優先順序，檢查與所述第2域識別 信息對應存儲的軟體是否安全，所述第1域具備用於檢查與所述第1域識別信 息對應存儲的軟體是否安全的副軟體檢查部(副軟體檢查部200 )。
根據該特徵，通過第2域的硬體或軟體的制約，可以通過將不能檢查的軟 件委託給第1域或其它域等分擔檢查處理。另外，可以使檢查處理的負荷分散
來提高終端裝置整體的處理效率。
本發明的第3特徵的主旨在於，在第1或第2特徵所述的終端裝置中，所述執行順序存儲部，將表示所述終端裝置的啟動時和所述終端裝置的啟動後中 至少一方的時刻的時刻信息、和所述多個軟體的每一個對應起來存儲，所述軟 件檢查部和所述副軟體檢查部，按照由所述時刻信息表示的時刻，檢查所述軟 件是否安全。
根據該特徵，通過第2域的檢查處理性能或檢查開始時刻等的制約，針對 在第1域的執行前未完成檢查的軟體，可以在第1域啟動時的時刻進行檢查， 可以確保安全性。即，在第1域中可以防止執行完成檢查前的軟體。
本發明的第4特徵的主旨在於，在1至3任意一個特徵所述的終端裝置中， 所述第2域還具備安全軟體列表(安全軟體列表119),其存儲所述多個軟 件內、在所述軟體檢查部中確認為安全的軟體的識別信息，所述第l域在執行 預定的軟體前，判定所述預定的軟體的識別信息是否存儲在所述安全軟體列表 中，當所述預定的軟體的識別信息未存儲在所述安全軟體列表中時，限制(阻 止)所述預定的軟體的執行。
根據該特徵，在第l域中，可以防止執行完成檢查前的軟體。
本發明的第5特徵的主旨在於，在1至4任意一個特徵所述的終端裝置中， 在所述多個軟體中包含通過所述第l域始終執行的第l軟體、和以預定頻率執 行的第2軟體，所述執行順序存儲部，與所述第2軟體的所述執行優先順序相 比，優先存儲了所述第1軟體的所述執行優先順序，所述軟體檢查部按照所述 執行優先順序，使所述第1軟體優先於所述第2軟體來檢查是否安全。
本發明的第6特徵的主旨在於，在第5特徵所述的終端裝置中，所述第2 域還具備執行頻率取得部(執行頻率取得部113),其取得通過所述第1域 執行的所述第2軟體的執行頻率；以及執行頻率存儲部(執行頻率存儲部115 ), 其將所取得的所述執行頻率和所述第2軟體對應起來存儲，所述軟體檢查部，
所述第2軟體是否安全。
本發明的第7特徵的主旨在於，在1至6任意一個特徵所述的終端裝置中， 所述第2域還具備非安全軟體列表(非安全軟體列表121),其存儲所述多 個軟體內、在所述軟體檢查部中確認為不安全的軟體的識別信息。
本發明的第8特徵的主旨在於，在1至7任意一個特徵所述的終端裝置中，所述軟體檢查部每隔預定的期間檢查所述多個軟體是否安全。
本發明的第9特徵的主旨在於，在第7特徵所述的終端裝置中，所述第1 域發送用於請求所述多個軟體內被檢查過的軟體的檢查結果的結果請求信息，
所述第2域還具備結果通知部(結果通知部127),其在從所述第1域接收 到所述結果請求信息時，向所述第l域發送結果應答信息，該結果應答信息包 含存儲在所述安全軟體列表中的所述識別信息、和存儲在所述非安全軟體列表 中的所述識別信息，所述第l域，根據從所述結果通知部接收到的所述結果應 答信息，僅執行通過所述軟體檢查部確認為安全的所述軟體。
本發明的第IO特徵的主旨在於，在第9特徵所述的終端裝置中，所述第 2域還具備請求接收部(請求接收部131 ),其從所述第1域接收用於請求檯r 查所述軟體的檢查請求信息，所述第l域，在從所述結果通知部通知的所述結 果應答信息中沒有包含從現在起開始執行的特定軟體的識別信息的情況下，向 所述請求接收部發送用於請求檢查所述特定軟體的所述檢查請求信息，所述請 求接收部，在接收到所述檢查請求信息時，在所述軟體檢查部正在檢查與所述 特定軟體不同的其它軟體的情況下，使所述其它軟體的檢查中斷，所述軟體檢 查部，使所述特定軟體優先來檢查所述特定軟體是否安全。
本發明的第ll特徵的主旨在於，在第IO特徵所述的終端裝置中，所述第 l域，在發送了所述檢查請求信息時，停止所述特定軟體的執行，直到接收到 來自所述執行限制部的指示為止，所述執行限制部，當通過所述軟體檢查部確 認為所述特定軟體安全的情況下，指示所述第l域執行所述特定軟體。
本發明的第12特徵的主旨在於，在第IO特徵所述的終端裝置中，所述第 l域，在向所述請求接收部發送了所述檢查請求信息時，開始所述特定軟體的 執行，所述執行限制部，在通過所述軟體檢查部確認為所述特定軟體不安全的 情況下，限制所述第1域執行所述特定軟體。
本發明的第13特徵的主旨在於，在第1特徵所述的終端裝置中，所述執 行限制部，在通過所述軟體^r查部結束所述多個軟體是否安全的^r查之前，限 制所述第1域執行所述多個軟體。
本發明的第14特徵的主旨在於，提供一種終端裝置中的軟體檢查方法， 該終端裝置具有執行多個軟體的第1域、以及檢查所述多個軟體的每一個是否安全的第2域，該軟體檢查方法中包含以下步驟順序存儲步驟，所述第2 域存儲通過所述第1域執行的所述多個軟體的執行優先順序；檢查步驟，所述 第2域按照所述執行優先順序檢查所述多個軟體是否安全；以及限制步驟，所 述第2域在所述多個軟體的全部檢查結束之前，限制通過所述第1域執行所述 多個軟體內得到不安全的^^查結果的軟體。
如上所述，根據本發明，可以提供抑制安全性降低，同時減少由於軟體的 檢查而使OS或應用程式的啟動時間增加的終端裝置以及軟體檢查方法。


圖l是第1實施方式的終端裝置的全體概略結構以及第2域的最小功能框圖。
圖2是具體表示第1實施方式的第2域的結構的功能框圖。 圖3是表示在第1實施方式的執行順序存儲部中存儲的信息的圖。 圖4是表示在第1實施方式的執行頻率存儲部中存儲的信息的圖。 圖5是表示在第1實施方式中，第1域和第2域啟動時的時間序列上的動 作的圖。
圖6是表示在第1實施方式中，第1域執行軟體、第2域檢查軟體時的時
間序列上的動作的圖。
圖7是表示在第2實施方式的執行順序存儲部中存儲的信息的圖。 圖8是表示在第3實施方式中，第2域的處理狀態遷移的圖^象的圖。 圖9是表示在第1實施方式的執行順序存儲部中存儲的信息的一例的圖。 圖IO是表示在第1實施方式的執行順序存儲部中存儲的信息的一例的圖。 圖ll是表示在第1實施方式的執行順序存儲部中存儲的信息的一例的圖。
具體實施例方式
接下來，參照

本發明的實施方式。在以下附圖的記載中，對於相 同或類似的部分標記了相同或類似的符號。其中，應該注意附圖為示意圖。 [第1實施方式〗 (終端裝置的結構)
對本發明的第1實施方式的終端裝置1的結構進行說明。本發明以具有使 多個域動作的功能的終端裝置作為對象。另外，在本實施方式中，終端裝置l設想為在多個域上執行作業系統(以下記為OS)以及應用程式等軟體的便攜
電"^舌、PDA ( Personal Digital Assistants )、 PC等。
在此，在本實施方式中，所謂域(domain),無論物理上、邏輯上，指的 是由處理器、RAM ( Random Access Memory )構成的1個獨立的處理才玄 (processing core )。作為物理上具有多個域的實施方式的例子而存在為了實 現高速化或低功耗，在主域之外具有DSP ( Digital Signal Processor )來作為副 域的多媒體便攜終端；作為副域而具有遵從IPSec ( Security Architecture for Internet Protocol)的加密處理加速器的信息便攜終端等。尤其是DSP或加密加 速器，接收到來自主域的指示後進行處理的類型較多，在此期間空閒或休眠。
在一個處理器中具有多個處理核的多核處理器也是物理上具有多個域的 實施方式。另外，作為通過對1個處理核進行時間空間分割來分割計算機資源， 在邏輯上具有多個域的方法，例如ARM公司的Trust Zone或VMware等虛擬 計算機。
上述多個域分別獨立動作，在域上運行的OS也獨立運行。本發明的裝置 和方法是關於利用擔負終端裝置1的多數處理的主域(以後稱為第1域)、 和支援主域的副域(以後稱為第2域)，在第1域上使包含OS的軟體正常運 行，同時在第2域上使與在第1域上運行的OS不同的OS運行，第2域並行 地檢查第1域的全部軟體。即，在終端裝置1中，第1域和第2域不是運行一 個OS的域，而分別獨立且並行地運行不同OS。此外，第1域和第2域也可 以使用獨立的不同的代碼來使相同種類的OS運行。另外，第2域在啟動的同 時開始檢查可以通過第1域執行的軟體。第2域，可以當在第1域的軟體中確 認了異常時，進行終端裝置的啟動的中止或復位(reset),也可以在第1域的 動作過程中僅對異常的軟體進行停止執行或禁止執行等。
圖1是表示本實施方式的終端裝置1的結構的功能框圖。如圖1所示，本 實施方式的終端裝置1具備第1域10和第2域20。
第1域IO執行在終端裝置1中使用的基本的多個軟體。具體而言，第1 域IO執行在終端裝置1中作為基礎來使用的OS、或在該OS上啟動的應用程 序等軟體。此外，預先全部存儲了這些軟體。
此外，在本實施方式中，軟體分類為始終執行的第l軟體、和以預定頻率執行的第2軟體。例如，OS是在終端裝置1的啟動時必定被執行的軟體，被 包含在始終執行的第1軟體中。另外，在應用程式中包含始終執行的第1軟體
(應用程式)、和以預定頻率執行的第2軟體(應用程式)。例如在以便攜電話
為例時，作為第1軟體而存在始終啟動的電話用的應用程式等。另外，作為以
預定頻率執行的第2軟體，存在通過用戶操作被啟動的遊戲用的應用程式等。 第2域20啟動用於使各種功能工作的OS。另外，第2域20檢查(確認) 通過第1域10執行的多個軟體是否安全。具體而言，第2域20檢查在第1 域10中存儲的軟體是否安全，例如當確認為不安全時執行以下用於確保終端 裝置1的安全性的處理在第1域中禁止執行成為對象的軟體、或者使第1 域10的啟動或執行停止、或者進行將終端裝置本身復位等處理。另外，如圖 1所示，第2域20具備執行順序存儲部111、軟體檢查部117、執行限制部123 等功能，以這些功能為主，執行用於確保安全性的處理。
此外，希望檢查第1域10的第2域20確保高安全性。因此，第2域20 為了提高安全性，可以利用ARM公司的Trust Zone等安全空間、或通過/人主 處理器進行隔離而實現了高安全性的安全處理器(secure processor)等。以下 說明第2域20中具備的各種功能。 (第2域的結構)
接下來，具體說明第2域20的結構。如圖l所示，第2域20具備執行順 序存儲部111、軟體檢查部117和執行限制部123。
執行順序存儲部111存儲了與通過第1域10執行的軟體對應的執行優先 順序。所謂執行優先順序，是在通過後述的軟體檢查部H7檢查軟體時，作為 檢查的順序而使用的信息。在此，在OS中一般靜態地定義了作為內核(kernel )、 設備驅動器、伺服器而工作的守護程序(daemon program)、自動啟動的應用 程序等的執行順序。在執行順序存儲部111中，例如關於第1域10的OS,以 靜態執行的順序作為執行優先順序來存儲這些程序
此外，在執行優先順序的指定中，可以合併多個軟體作為 一個軟體來處理。 例如可以將內核和多個設備驅動器合併作為一個軟體，存儲在執行順序存儲部中。
軟體檢查部117按照在執行順序存儲部111中存儲的執行優先順序，進行第1域10的軟體的檢查。希望在第2域的OS的啟動結束後立即開始一企查。
另外，為了確保安全性，希望軟體檢查部117檢查(確認)第1域10中存儲
的全部軟體是否安全。
作為軟體的檢查方法而列舉出求出與軟體代碼對應的檢驗和或散列值 (hash)來預先存儲，並且在檢查時讀出來對照的方法；和利用軟體代碼中附 帶的電子署名來檢查有無篡改的方法等。在上述的執行順序存儲部111中存儲 了這些檢查所需的程序代碼的信息，根據需要而存儲了檢驗和列表、散列值。 實際上，軟體檢查部117利用這些信息和使用了散列計算功能或RSA方式的 公開密鑰加密方式等來進行檢查。
執行限制部123根據通過軟體檢查部117檢查的軟體的檢查結果，指示通 過第1域IO執行該軟體時的動作。例如，執行限制部123指示第1域10禁止 執行確認為不安全的軟體。另外，執行限制部123,在第1域10執行了被確 認為不安全的軟體的情況下，進行其停止指示(禁止執行指示.)等。此外，執 行限制部123也可以進行被確認為不安全的軟體的刪除、第1域10或終端裝 置1的復位或停止執行。這樣，執行限制部123在多個軟體的全部4企查結束前， 限制通過第1域IO執行多個軟體內的、通過軟體檢查部117得到了表示不安 全的檢查結果的軟體。
(第2域的詳細結構)
接著，更詳細地說明第2域20的結構。圖2是具體表示第2域20的結構 的功能框圖。如圖2所示，第2域20具備執行順序存儲部lll、執行頻率 取得部113、執行頻率存儲部115、軟體檢查部117、安全軟體列表119、非安 全軟體列表121、執行限制部123、結果通知部127、列表閃速存儲部(list flash) 129和請求接收部131。
如上所述，執行順序存儲部111存儲了與通過第1域IO執行的軟體對應 的執行優先順序。在圖3中表示了在執行順序存儲部111中存儲的信息的具體 例。如圖3所示，在執行順序存儲部1U中，將識別在第1域10中存儲的軟 件的軟體ID (識別信息)、通過第1域10執行的軟體的執行優先順序、軟體 的檢查所需要的散列值等關聯起來進行存儲。
此外，軟體ID可以是對1個軟體賦予的識別信息，也可以是對多個軟體構成的1組賦予的識別信息。另外，軟體ID可以是文件名，也可以是配置了 軟體的地址、或地址和大小的組合。
在圖3的具體例中指定了執行優先順序，但也可以不明確指定，如圖9的 例子所示，以從存儲區域的先頭開始的順序作為執行優先順序。
而且，如圖IO所示，執行順序存儲部111可以針對多個軟體的每一個， 存儲由哪個域進行檢查的指定。具體而言，如圖l所示，在第1域10中也可 以具備檢查軟體是否安全的副軟體檢查部300。在這種情況下，^^行順序存^諸 部111將識別第1域10的第1域識別信息、或識別所述第2域20的第2域識 別信息的某一個與各個軟體對應起來存儲。在圖10的具體例中指定了軟體 ID為"1"的軟體由第1域(域ID = 1)進行檢查，其它軟體ID的軟體由第2 域(域ID-2)進行一企查。
於是，第2域20的軟體;險查部117按照執行優先順序檢查與第2域識別 信息對應存儲的軟體，可以由第1域10的副軟體檢查部300檢查與第1域識 別信息對應存儲的軟體。
在圖11的具體例中，執行順序存儲部111針對各個軟體保存了終端裝置1 的啟動時以及啟動後的某一個、或者雙方的檢查的時刻的指定。具體而言，執 行順序存儲部111,將表示終端裝置1的啟動時和終端裝置1的啟動後中至少 一方的時刻的時刻信息(啟動時、啟動後、啟動時和啟動後的雙方)與各個庫欠 件對應起來存儲。在圖11的具體例中指定了軟體ID為'T，的軟體由第1 域(域ID = 1)在啟動時進行檢查，軟體ID為"2"的軟體由第2域(域ID =2)在啟動時和啟動後的雙方進行檢查。
在這種情況下，第2域20的軟體檢查部117以及第1域的副軟體檢查部 300,可以按照時刻信息和執行優先順序來檢查軟體是否安全。
另外，在圖4所示的具體例中，在執行順序存儲部111中存儲了通過第 1域10始終執行的OS或應用程式等第1軟體的軟體ID;和通過第1域10以 預定頻率執行的應用程式等第2軟體的軟體ID。
另外，在執行順序存儲部111中，與以預定頻率執行的第2軟體的執行優 先順序相比，優先存儲始終被執行的第l軟體的執行優先順序。具體而言，在 執行順序存儲部111中，關於始終被執行的OS或應用程式等第l軟體，對應存儲了執行優先順序，但關於以預定頻率執行的應用程式等第2軟體，未對應 存儲執行優先順序。在這種情況下，以預定頻率執行的第2軟體並非沒有執行 優先順序，而是將執行優先順序存儲為最低。
執行頻率取得部113,每當通過第1域IO執行軟體時，從第1域10取得 用於識別被執行的該軟體的軟體ID(識別信息)。另外，執行頻率取得部113, 每當取得該軟體ID時，對在預定期間(例如一周等)內取得的該軟體ID的取 得次數進行累積，存儲在執行頻率存儲部115中。此外，執行頻率取得部113 也可以定期地(例如每隔預定期間)清除執行頻率來進行更新。另外，與在第 1域10中始終被執行的第1軟體相比，執行頻率取得部113主要取得以預定 頻率執行的第2軟體的執行頻率。
執行頻率存儲部115存儲在第1域10中以預定頻率執行的軟體的執行頻 率。此外，在執行頻率存儲部115中以如下軟體作為對象存儲該軟體的執行頻 率，該軟體是在通過第1域IO執行的軟體中沒有在執行順序存儲部111中存 儲執行優先順序的軟體。這些信息通過執行頻率取得部113被存儲。在圖4中 表示了在執行頻率存儲部115中存儲的信息的具體例。如圖4所示，執行頻率 存儲部115將軟體ID和執行頻率對應起來存儲。另外，存儲在執行頻率存儲 部115中的信息，通過後述的軟體檢查部117被讀出，在決定檢查軟體的順序 時被使用。
軟體檢查部117參照在執行順序存儲部111中存儲的執行優先順序，按照 該執行優先順序檢查(確認)在第1域10中存儲的軟體。另外，軟體檢查部 117也可以使第l軟體優先於第2軟體來檢查是否安全。具體而言，軟體檢查 部117在執行了第1軟體的檢查後，關於第2軟體，參照執行頻率存儲部115 來檢查在第1域10中存儲的軟體是否安全。此時，軟體檢查部117可以以執 行頻率存儲部115中存儲的執行頻率作為優先執行順序，按照從執行頻率較大 的一方開始的順序，檢查與執行頻率對應的第2軟體是否安全。
另外，軟體檢查部117每隔預定期間檢查一個或多個軟體是否安全。具體 而言，軟體檢查部117,當從後述的列表閃速存儲部129每隔預定期間接收到 指示執行檢查的通知時，參照在執行順序存儲部111以及執行頻率存儲部115 中存儲的信息，執行軟體的檢查。此時，軟體檢查部117為了提高處理效率，可以僅再次檢查前一次確認為安全的、與安全軟體列表119中存儲的軟體ID 只於應的4欠件。
另外，軟體檢查部117,在後述的請求接收部131中從第1域IO接收到 請求檢查特定軟體是否安全的檢查請求信息時，使與該檢查請求信息中包含的 軟體ID對應的軟體(特定軟體)優先，檢查該軟體是否安全。例如，軟體檢 查部117，即使正在以某個軟體為對象來執行是否安全的檢查處理，當通過請 求接收部131從第1域IO接收到檢查請求信息時，中斷所述檢查處理，檢查 與檢查請求信息中包含的軟體ID對應的軟體是否安全。
另夕卜，軟體檢查部117將檢查結果存儲在安全軟體列表119和非安全軟體 列表121中。具體而言，軟體檢查部117在檢查軟體是否安全後，在確認該軟 件安全的情況下，將識別所述軟體的軟體ID存儲在安全軟體列表119中。另 外，軟體檢查部117在檢查軟體是否安全後，在確認該軟體不安全的情況下， 將識別所述軟體的軟體ID存儲在非安全軟體列表121中。另外，軟體檢查部 117將檢查結果和軟體ID通知給執行限制部123。根據該通知，在執行限制部 123中控制第1域10的動作。
安全軟體列表119存儲在軟體檢查部117中確認為安全的軟體的識別信 息。具體而言，安全軟體列表119存儲與在軟體檢查部117中檢查的結果是未 被篡改的安全的軟體對應的軟體ID (識別信息)。另外，非安全軟體列表121 存儲在軟體檢查部117中確認為不安全的軟體的識別信息。具體而言，非安全 軟體列表121存儲與在軟體檢查部117中檢查的結果是已被篡改的軟體對應的 軟體ID。在這兩個列表中存儲的軟體組，當後述的結果通知部127從第1域 IO接收到請求檢查結果的結果請求信息時，通過結果通知部127被通知到第1 域10。
列表閃速存儲部129具備間隔計時器(interval timer )，定期向軟體檢查部 117通知實施檢查。另外，此時列表閃速存儲部129將安全軟體列表119中存 4諸的信息全部或者部分清除。在此，以前一度被確認為安全的軟體也有被隨機 篡改的可能性，因此，列表閃速存儲部129通過催促軟體檢查部117定期地進 行檢查，確保安全性。
執行限制部123根據軟體檢查部117的檢查結果，指示第1域10執行軟體時的動作。另外，執行限制部123根據需要向第1域IO指示軟體的禁止執
行、中斷執行等限制第1域10的動作，並根據情況將第1域10強制復位。
此外，執行限制部123可以在通過軟體檢查部117結束了第1域10中存 儲的全部軟體是否安全的檢查之前，向第1域IO指示軟體的禁止執行。在此 情況下，執行限制部123例如可以在通過軟體檢查部117結束在執行順序存儲 部111中存儲的全部軟體的檢查之前，使在第1域10中執行的OS的啟動暫 時中斷。另外，執行限制部123也可以在第2域20的OS的啟動結束之前， 使在第1域10中執行的OS的啟動暫時中斷。於是，通過由執行限制部123 限制第1域10的動作，在終端裝置1中可以在檢查結束後的安全的狀態下4吏 第1域10^l行軟體。
結果通知部127從第1域10接收請求通過軟體4全查部117被檢查的軟體 的檢查結果的結果請求信息，並且向第1域10發送包含在安全軟體列表119 中存儲的識別信息、和在非安全軟體列表121中存儲的識別信息在內的結果應 答信息。這樣，第1域10通過利用結果通知部127,可以取得與已檢查的軟 件組相關的信息。另外，在將安全軟體列表、非安全軟體列表配置在可以從第 1域10訪問的存儲器(RAM)或存儲裝置中的情況下，即使沒有結果請求信 息的接收或結果應答信息的發送步驟，第1域10也可以取得與已檢查的軟體 組相關的信息。
請求接收部131,在從第1域10接收到請求檢查特定軟體的檢查請求信 息時，將該檢查請求信息通知給軟體檢查部117。此時，請求接收部131向軟 件檢查部117通知中止當前執行中的檢查處理，催促其優先檢查在檢查請求信 息中請求的軟體。於是，例如當第1域10執行在軟體檢查部117中未檢查的 軟體時，可以向軟體檢查部117請求對其進行檢查。
此外，當檢查的結果是確認為安全時，軟體檢查部117通過執行限制部 123對第1域10通知該內容。另外，在確認進行了篡改而不安全時，執行限 制部123立即對應該情況，在執行該軟體前催促禁止執行該軟體。 (終端裝置的動作)
接著，說明上述結構的終端裝置1的動作。具體而言，說明在終端裝置l 中，當第1域10和第2域20啟動時第2域20執行軟體的檢查的控制動作、和所述第2域20在檢查軟體的過程中接收到來自第1域10的檢查請求時的控制動作。
(終端裝置啟動時的動作)
首先，參照圖5說明終端裝置1啟動時，第1域10和第2域20啟動，第2域20執行軟體的檢查的控制動作。在圖5中表示了第1域10和第2域20啟動時的時間序列上的動作。此外，作為前提，在第2域20的執行順序存儲部111中預先存儲了通過第1域IO執行的軟體的執行優先順序。另外，第2域20是進行第1域10的檢查的主體，因此需要確保安全。因此，在本實施方式中，假定第2域20具備安全引導(secure boot)功能。即，在第2域20中的啟動步驟(引導步驟)中，檢查接下來執行的軟體，在確認是正當軟體之後執行該軟體。具體而言，在最初啟動的第l加載程序(loader)檢查第2加載程序後執行第2加載程序，在第2加載程序檢查OS的內核部後執行內核。
在步驟Sll中，當終端裝置1啟動時，第1域10以及第2域20開始啟動，在第1域10以及第2域20的各自中執行OS的初始化。在第2域20中，在OS的初始化結束後開始第1域的檢查。為了更早開始檢查，在第2域20中可以將軟體檢查部117等作為設備驅動器來執行。在這種情況下，即使在第2域20的OS的初始化結束前，軟體檢查部117也可以開始軟體的4全查。
根據第1域10和第2域20的啟動的時刻的構成，在第1域10中通過第l域執行未檢查的軟體。與此對應，可以採用以下3種方法。
在第1方法A中，由執行順序存儲部111存儲了通過第1域10最初執行的若干軟體，由此，第1域10在執行該軟體前進行檢查。作為具體例，執行順序存儲部111如圖10的例子所示，在將軟體ID和域ID對應存儲的情況下，第1域10的副軟體檢查部200識別出在執行特定軟體前需要檢查特定軟體，然後進行檢查。由此防止通過第1域10執行未檢查的軟體。
在第2方法B中，第1域10在軟體的執行前參照安全軟體列表，在安全軟體列表119中包含所述軟體時進行執行,在不包含的情況下阻止(block)(限制)執行。第1域10在阻止後參照安全軟體列表119,若包含所述軟體則解除阻止來糹丸行。
在第3方法C中，執行限制部123使第1域10的動作中斷，直到通過軟體檢查部117結束第1域10的OS的軟體檢查為止。例如，在想要確保靜態
定義了執行的軟體的OS的安全性時，執行限制部123使第1域10的啟動延遲，直到通過軟體檢查部117結束與在執行順序存儲部111中存儲的執行優先順序對應的軟體(即第1軟體)的檢查為止。
在步驟S13中，在第2域20中，軟體檢查部117在第2域20的OS的初始化結束後，按照在執行順序存儲部111中存儲的執行優先順序，開始軟體的檢查。在執行順序存儲部111中存儲的執行優先順序，首先是通過第1域10執行的OS的代碼(第1軟體)。作為具體例，在所述代碼中記載了作為內核、設備驅動器、伺服器而運行的守護程序。另外，軟體檢查部117也可以將檢查結果存儲在安全軟體列表119以及非安全軟體列表121中。
步驟S15是可選步驟，在第2域20中，軟體檢查部117在與執行順序存儲部111中存儲的執行優先順序對應的軟體的檢查結束後，接著參照執行頻率存儲部115，按照從執行頻率較大的一方開始的順序，執行與存儲的執行頻率對應的軟體(第2軟體)的檢查。
在第2域20中，結果通知部127在從第1域10接收到結果請求信息時，將包含^^查結果的結果應答信息發送給第1域10。
另外，在第2域20中，執行限制部123也可以指示第1域10禁止執行通過軟體檢查部117確認為不安全的軟體。當第2域20具備通過對終端裝置1上的軟體進行備份等，在安全狀態下將其安全地保存的功能時，執行限制部123可以刪除通過軟體檢查部117確認為不安全的軟體，更新為所保存的安全的軟體，然後存儲在第1域10中。
在步驟S19中，第1域10按照正常的啟動動作進行第1域10上的OS的初始化。
在步驟S21中，在第1域10上的OS的初始化結束後，第1域10執行應用程式等軟體。此時，可以參照安全軟體列表119來進^f於阻止，以便僅執行通過第2域20的軟體檢查部117確認為安全的應用程式等軟體，也可以跳過未檢查的軟體來執行別的軟體。在後一種情況下，第1域10，在通過第2域20的軟體檢查部117結束第1域10中存儲的全部軟體的檢查前，也可以執行通過軟體檢查部117確認為安全的軟體。另夕卜，第1域10可以在執行軟體時將與執行的軟體對應的軟體ID通知給
第2域20的執行頻率取得部113。在執行頻率耳又得部113中，根據該通知，對在預定期間內取得的軟體ID的取得次數進行累積，導出第1域10中的軟體的執行頻率，存儲在執行頻率存儲部115中。另外，通過使用該信息，第2域20的軟體檢查部117將在執行頻率存儲部115中存儲的執行頻率作為應該檢查的軟體的執行優先順序，來檢查軟體是否安全。
另外，第1域IO可以在軟體的執行前向第2域20的結果通知部127發送結果請求信息，從結果通知部127得到結果應答信息。另外，第1域10根據結果應答信息確認通過軟體檢查部117確認為不安全的軟體。然後，第1域IO執行除了被確認為不安全的軟體以外的軟體。即，第1域10不執行與結果應答信息中包含的軟體ID內、存儲在非安全軟體列表121中的軟體ID相對應的軟體。另外，在第1域10中確認在結果應答信息中包含的全部軟體ID,確認從現在起開始執行的軟體是否通過第2域20的軟體檢查部117進行了檢查。通過該確認，在第1域10中可以執行確認為安全的軟體。另外，第1域10，在從結果通知部127通知的結果應答信息中不包含從現在起開始執行的特定軟體的識別信息時，向請求接收部131發送請求檢查該特定軟體是否安全的檢查請求信息。此時，第1域10發送包含成為對象的特定軟體的軟體ID的檢查請求信息，請求檢查對象軟體。
在此，在本實施方式中，第1域IO執行在發送了檢查請求信息時停止執行請求了檢查的軟體，直到接收到來自執行限制部123的指示的方法(1)、和在發送了檢查請求信息時，立即開始執行該軟體的方法(2)中的某個方法。
例如，在方法(1)中，在第1域IO發送了檢查請求信息時，在接收到來自第2域20的執行限制部123的指示前，停止執行請求了檢查的軟體。另夕卜，在該方法中，當通過軟體檢查部117確認在檢查請求信息中請求的軟體(特定軟體)安全時，執行限制部123指示第1域10執行軟體。然後，第1域10接著開始執行軟體。另外，在確認為不安全時，執行限制部123指示第1域IO禁止執行軟體。然後，第1域10取消該軟體的執行。
另外，在方法(2)中，在第1域10發送了檢查請求信息時，立即執行請求了檢查的軟體。在該方法中，第2域20的執行限制部123,當通過軟體檢查部117確認為通過第1域10正在執行的軟體(特定軟體)不安全時，指示第1域IO停止執行特定軟體、以及此後禁止執行。另外，關於被確認為安全
的軟體，第2域20的執行限制部123對第1域10不進行任何操作。
於是，在終端裝置l中，第1域IO在要執行未檢查的軟體時，可以設定方法(1)至(2)中的某一個方法。此外，方法(1)至(2)中的某一種方法，理想的是根據終端裝置1的運算處理能力等性能來設定。
另外，第2域20的軟體檢查部117，從第2域20啟動時起，開始在第1域10中存儲的軟體的檢查，在大致結束全部軟體的檢查時，在某程度的時間(預定期間)後，再次重新開始軟體的檢查。此時，在第2域20的軟體檢查部117中，為了實現檢查處理的高效化，僅檢查在前一次的檢查中確認為安全的軟體。此時，軟體檢查部117，當根據在執行順序存儲部111以及執行頻率取得部113中存儲的執行優先順序以及執行頻率進行檢查時，參照安全軟體列表119,僅4全查已經確認為安全的軟體。
(檢查應用程式時的動作)
接下來，參照圖6具體說明通過第1域10以及第2域2(H企查例如以預定頻率執行的應用程式等第2軟體時的控制動作。此外，在此以第1域10發送用於請求檢查的檢查請求信息，並且立即開始軟體的執行的上述方法(2)為例進《亍i兌明。
在步驟S101中，在第2域20中，軟體檢查部117正在執行應用程式C的檢查。然後，在第2域20中，假定請求接收部131從第1域10接收到檢查請求信息。
在步驟S103中，在第2域20中，軟體衝企查部117中斷當前正在執行的應用程式C的檢查，檢查與通過請求接收部131接收到的檢查請求信息中包含的軟體ID對應的軟體(例如應用程式D)是否安全。另外，此時，軟體檢查部117在確認為應用程式D不安全時向執行限制部123通知該情況。接收到該通知的執行限制部123指示第1域10停止執行該應用程式D、以及此後禁止執行。
在步驟S105中，在第2域20中，軟體檢查部117在檢查了接收到該請求的軟體後，重新開始剛才中斷的軟體的檢查，接著繼續檢查與在執行順序存儲部111以及執行頻率取得部113中存儲的執行優先順序以及執行頻率對應的軟體。
在步驟S107中，第1域10向第2域20發送應用程式D的檢查請求信息，同時開始^^亍該應用程式D。另外，第1域10在執-f亍該應用程式D的過程中從執行限制部123指示停止執行該應用程式D時，立即停止執行。(作用及效果)
根據本實施方式的終端裝置1，在第2域20中，軟體檢查部117按照執行優先順序檢查(確認)多個軟體是否安全。另外，第1域10在通過軟體檢查部117糹企查第1域10中存儲的全部軟體是否安全之前，也可以執行被確認為安全的軟體。
因此，如現有技術那樣，在終端裝置l中不檢查存儲的全部多個軟體是否安全，而可以由第1域IO執行檢查結束並且確認為安全的軟體。另外，在終端裝置1中，軟體卩險查部117按照預先存儲的執行優先順序或執行頻率，逐個自動檢查軟體。因此，第1域IO在執行軟體時可以進一步縮短得到檢查結果之前的待才幾期間。
另外，才艮據本實施方式的終端裝置1，在第2域20中，軟體才企查部117使通過第1域10始終執行的軟體(第1軟體)優先於以預定頻率執行的軟體(第2軟體)來4企查是否安全，因此，第1域10在執行軟體時可以進一步縮短等待檢查的期間。另外，軟體檢查部117按照與執行頻率對應的順序逐個自動檢查應用程式等軟體，因此，當根據用戶的請求由第1域IO執行軟體時，可以更早地提供已經完成了檢查的環境。而且，此時通過第1域IO提高了消除等待檢查結果的待機期間本身的可能性。
於是，根據所述特徵，終端裝置1可以通過檢查軟體來抑制安全性降低，同時通過該才全查可以減少OS或應用程式的啟動時間的增加。因此，根據所述終端裝置1可以確保不斷大容量化的軟體的安全性，同時可以將啟動時間的增加抑制到最小限度，並且可以全面地檢查軟體。
另外，根據本實施方式的終端裝置1,在第2域20中，執行限制部123根據通過軟體檢查部117檢查的軟體的檢查結果，限制第1域10的動作。因此，執行限制部123可以禁止執行被確認為不安全的軟體，確保終端裝置1的安全性。另外，在第2域20中，結果通知部127根據第1域10的請求通知斥企查結果，因此第1域10可以迅速地確認檢查結果。
另外，根據本實施方式的終端裝置1，在第2域20中，通過安全軟體列表119和非安全軟體列表121可以可靠地管理安全的軟體和不安全的軟體。
另外，根據本實施方式的終端裝置1,在第2域20中，軟體檢查部117根據列表閃速存儲部129的指示，每隔預定期間定期地檢查多個軟體是否安全，因此即使一度檢查為安全，也每隔預定期間再次檢查，可以確保安全性。另外，此時軟體檢查部117僅檢查前一次確認為安全的軟體，因此不執行沒用的處理，可以降低運算處理負荷。
根據本實施方式的終端裝置1,在第1域10中不執行檢查結果確認為不安全的軟體，因此可以確保安全性。另外，第1域10,在未檢查從現在起預定執行的軟體的情況下，請求檢查該軟體。另外，在接收到該請求的第2域20中，軟體檢查部117優先檢查所請求的軟體，因此可以縮短得到檢查結果之前的第1域10的待機期間。
根據本實施方式的終端裝置1,作為第1域10請求了檢查時的一種方法(方法(1 )),停止執行軟體直到有來自第2域20的執行限制部123的指示為止，因此在特定軟體不安全的情況下，可以防止通過該特定軟體流出個人信息等，可以較高地保持安全性。另外，作為第1域10請求了檢查時的另一方法(方法(2)),並行地立即開始執行已經請求了的軟體，因此可以抑制軟體啟動的期間延長。另外，在這種情況下，在第2域20中，當通過軟體檢查部117確認所請求的軟體不安全時，指示第1域IO立即停止執行，因此也可以確保安全性。.
另夕卜，在第2域20中，執行限制部123也可以指示第1域10禁止執行軟體，直到通過軟體檢查部117完成全部軟體是否安全的檢查為止，因此可以根據用戶希望，提供安全性較高的環境。
另外， 一般終端裝置l在通過電池等驅動的情況下，希望節電化。根據現有技術，例如在終端裝置啟動OS等時檢查存儲的全部軟體是否安全，因此在應用程式等軟體對於用戶成為可以使用的狀態之前，消耗電力增大。因此，當在電池中積蓄的電力非常少的情況下，有時甚至無法對用戶提供可以使用軟體的狀態。但是，根據本發明的終端裝置1按照通常那樣使OS啟動，因此可以對用戶提供可以使用應用程式的狀態。
(第2實施方式的終端裝置的結構)接下來，著眼於和上述第1實施方式的不同點，說明本發明的第2實施方式的終端裝置1的結構。在上述第1實施方式的終端裝置1的第2域20中，執行限制部123指示第1域10停止執行(或禁止執行)通過軟體檢查部117確認為不安全的軟體，但也設想到在該第1域10中已經執行了該軟體的情況下、或第1域10已經被篡改，未接收到來自第2域20的指示的情況下，不遵從該指示的情況。而且也設想到，在該軟體中包含例如在啟動OS時參照的設定信息等的情況下，即使當前未通過第1域IO執行(參照)該軟體，在確認不安全的情況下也需要在通過第1域IO執行前再次啟動。因此，在本實施方式中說明在第1域10不遵從指示的情況下、或需要再次啟動的情況下第2域20執行的處理。首先，在本實施方式的第2域20中，衝丸行限制部123，在通過第1域IO執行軟體時，例如由於執行了被篡改的軟體而在第1域10中檢查出異常的情況下，將第1域10復位(再次啟動)。另外，執行限制部123,在檢查通過第2域20執行的軟體是否安全的處理中，例如由於在第2域20中執行了被篡改的軟體而在第2域20中檢查出異常的情況下，將第2域20復位(reset)。此外，執行限制部123可以在第1域IO檢查出凍結(freeze)等異常時也將第1域10復位。另夕卜，執行限制部123也可以不僅將第1域10復位，而且將第2域20—起復位。另外，執行限制部123,在第2域20中發生安全引導失敗等異常，無法保證第2域20的安全性的情況下，可以進行終端裝置1本身的復位。
另外，如圖7所示，在本實施方式的執行順序存儲部111中預先對應地存儲了軟體ID、執行優先順序、當正在執行與該軟體ID對應的軟體時表示對第1域10的指示內容的信息、當並非正在執行時表示對第1域10的指示內容的信息。
另外，在執行順序存儲部111中，作為表示第1域IO正在執行軟體的情況下的指示內容的信息，存儲了表示可以進行第1域10的控制的情況下的指示內容的"可控制時指示信息"(例如停止執行)、和表示不可控制的情況下的指示內容的"不可控制時指示信息"(例如復位)。而且，在執行順序存儲部111中，作為表示第1域10並非正在執行軟體的情況下的指示內容的信息，存儲了表示可以進行第1域10的控制的情況下的指示內容的"可控制時指示信息，，(例如禁止執行)、和表示不可控制的情況下的指示內容的"不可控制時指示信息"(例如復位)。
另外，本實施方式的執行限制部123,當從軟體檢查部117接收到作為檢查結果而確認為不安全的軟體ID的通知時，在第1域10中判定與所通知的軟體ID對應的軟體是否正在執行。此外，執行限制部123，當從軟體檢查部117接收到作為判定結果而確認為安全的軟體ID的通知時，執行與上述第1實施方式相同的處理。另外，作為判定是否正在通過第1域IO執行該軟體的方法，可以構成為，每當第1域IO執行軟體時，將對應的軟體ID通知給執行限制部123，也可以構成為，執行限制部123根據該通知，判定被判定為不安全的軟體是否是通過第1域IO正在執行的軟體。
另外，執行限制部123,在判定在第1域10中是否正在執行該軟體後，參照上述實施順序存儲部111,根據在執行順序存儲部111中存儲的正在執行或並非正在執行時的"可控制時指示信息"，控制第1域10的動作。
具體而言，扭j亍限制部123，當判定為正在執行軟體時，在執行順序存儲部111中，根據與該軟體ID對應的正在執行時的"可控制時指示信息(例如停止執行)"，向第1域10指示該軟體的動作(例如停止執行)。另外，執行限制部123,當判定為並非正在執行時，也根據與該軟體ID對應的並非正在執行時的"可控制時指示信息(例如禁止執行)"，向第1域IO指示該軟體的動作(例如禁止執行)。
然後，執行限制部123，在根據"可控制時指示信息"對第1域10進行指示後，在第1域10不遵從該指示的情況下，參照上述執行順序存儲部111，根據在執行順序存儲部111中存儲的正在執行或並非正在執行時的"不可控制時指示信息"，控制第1域10的動作。
具體而言，執行限制部123,在第1域10正在執行該軟體、並且第1域10不遵從該指示的情況下，根據在執行順序存儲部111中與該軟體ID對應存儲的正在執行時的"不可控制時指示信息(例如刪除)，，，向第1域10指示動
作(例如刪除)。另外，執行限制部123,在第1域10並非是正在執行該軟體(並非正在執行)、並且不遵從該指示的情況下，也根據與該軟體ID對應存儲的並非正在4丸^f於時的"不可控制時指示信息(例如刪除)，，，向第1域10指示動作(例如刪除)。此外，執行限制部123,在執行順序存儲部111中與該軟體ID對應的"不可控制時指示信息"例如是"刪除，，的情況下，可以不向第1域10指示"刪除"，而立即執行該軟體的刪除。
另夕卜，執行限制部123，在執行順序存儲部111中與該軟體ID對應的"不可控制時指示信息"例如是"復位"的情況下，將第1域10強制復位。此外，執行限制部123也可以執行在"刪除"該軟體後，將第1域10 "復位"等兩個處理。
如上所述，在本實施方式的第2域20中，執行限制部123根據第1域10是否遵從指示(是否可以控制)，進行軟體的停止執行(或禁止執行)、或軟體的刪除、第1域10的復位等，因此根據第1域10中的軟體的執行狀態確保安全性，所以能恰當地進行控制。
另外，在本實施方式的第2域20中，執行限制部123在第1域10中檢查出異常的情況下、或在第2域20中檢查出異常的情況下，將第1域10或第2域20復位，因此可以確保終端裝置1的安全性。
(第3實施方式的終端裝置的結構)
接下來，著眼於和上述第1實施方式的不同點，說明本發明的第3實施方式的終端裝置l的結構。如上所述，將第2域20應用於DSP或加密加速器等以支援第1域10為目的的第2域20。因此，有時從第1域10為了第2域20的本來目的而調用第2域20。因而，第2域20實現與第2域20的本來的處理相同的處理。假定在加密加速器中導入第2域20時，在第2域20中可以作為任務或進程來實現從第1域接受的加密處理。圖8是表示在本實施方式的終端裝置l中，通過第2域20執行的處理的對象發生遷移的情形的圖像。
例如，在第2域20正在檢查軟體的情況下(步驟S201 )，當從第1域10發出例如執行預定的應用程式等本來的處理請求時，通過第2域20的內核而被調度(步驟S203 )。此時，第2域20通過將檢查處理的優先度設定得較低，立即根據請求切換到加密處理等第2域20本來的應用程式的處理動作(步驟S205 )。另外，第2域20,當完成所請求的應用程式的處理時，通過內核調度檢查處理，再次重新開始軟體的檢查處理的任務(步驟S207)。
於是，在第2域中，不對本來的處理產生影響，也無損於對請求了處理的第1域10的應答性，因此可以使使用終端裝置1時的影響達到最小限度。
本發明通過上述實施方式進行了記載，但構成本公開的 一部分的論述以及附圖不應理解為對本發明進行限定。根據本公開，本領域技術人員可以明了各種替代實施方式、實施例以及運用技術。
例如，本發明的第2域20未對處理器或RAM等硬體進行特別的限制，因此也可以向多核處理器等通用的處理器導入第2域。在這種情況下，通過在與多核相對應的通用處理器中導入本發明的第2域20,在PC或伺服器等中也可以不對正常利用造成影響地維持安全性。
於是，本發明當然包含在此未記載的各種實施方式等。另外，各實施方式也可以進行組合。從而，根據上述說明，本發明的^l支術範圍僅通過妥當的請求保護的範圍中的發明特定事項而決定。
此外，日本專利申請第2007-031380號(2007年2月9日申請)的全部內容，通過參照被併入本說明書。
產業上的可利用性
如上所述，根據本發明的終端裝置以及軟體檢查方法，在終端裝置中，可以在確保安全性的同時，通過軟體的檢查來減少OS或應用程式的啟動時間增加，因此十分有用。
權利要求
1.一種終端裝置，其特徵在於，具有執行多個軟體的第1域，以及與所述第1域獨立地動作、檢查所述多個軟體的每一個是否安全的第2域，所述第2域具有執行順序存儲部，其存儲通過所述第1域執行的所述多個軟體的執行優先順序；軟體檢查部，其按照存儲在所述執行順序存儲部中的所述執行優先順序，檢查所述多個軟體是否安全；以及執行限制部，其在所述多個軟體的全部檢查結束之前，限制通過所述第1域執行所述多個軟體內得到不安全的檢查結果的軟體。
2. 根據權利要求1所述的終端裝置，其特徵在於，所述執行順序存儲部，將用於識別所述第1域的第1域識別信息或用於識 別所述第2域的第2域識別信息中的某一個、與所述多個軟體的每一個對應起 來存儲，所述第2域的所述軟體檢查部，按照所述執行優先順序，檢查與所述第2 域識別信息對應存儲的軟體是否安全，所述第l域具備用於檢查與所述第l域識別信息對應存儲的軟體是否安全 的副軟體檢查部。
3. 根據權利要求2所述的終端裝置，其特徵在於，所述執行順序存儲部，將表示所述終端裝置的啟動時和所述終端裝置的啟 動後中至少一方的時刻的時刻信息、和所述多個軟體的每一個對應起來存儲，所述軟體檢查部和所述副軟體檢查部，按照由所述時刻信息表示的時刻， 檢查所述軟體是否安全。
4. 根據權利要求1至3中任意一項所述的終端裝置，其特徵在於， 所述第2域還具備安全軟體列表，其存儲所述多個軟體內、在所述軟體檢查部中確認為安全的軟體的識別信息，所述第1域在執行預定的軟體前，判定所述預定的軟體的識別信息是否存儲在所述安全軟體列表中，當所述預定的軟體的識別信息未存儲在所述安全軟 件列表中時，限制所述預定的軟體的執行。
5. 根據權利要求1至4中任意一項所述的終端裝置，其特徵在於， 在所述多個軟體中包含通過所述第l域始終執行的第l軟體、和以預定頻率執行的第2軟體，所述執行順序存儲部，與所述第2軟體的所述執行優先順序相比，優先存 儲了所述第1軟體的所述執行優先順序，所述軟體檢查部按照所述執行優先順序，使所述第1軟體優先於所述第2 軟體來檢查是否安全。
6. 根據權利要求5所述的終端裝置，其特徵在於， 所述第2域還具備執行頻率取得部，其取得通過所述第1域執行的所述第2軟體的執行頻率；以及執行頻率存儲部，其將所取得的所述執行頻率和所述第2軟體對應起來存儲，述執行優先順序，檢查所述第2軟體是否安全。
7. 根據權利要求1至6中任意一項所述的終端裝置，其特徵在於， 所述第2域還具備非安全軟體列表，其存儲所述多個軟體內、在所述軟體檢查部中確認為不安全的軟體的識別信息。
8. 根據權利要求1至7中任意一項所述的終端裝置，其特徵在於， 所述軟體檢查部每隔預定的期間檢查所述多個軟體是否安全。
9. 根據權利要求7所述的終端裝置，其特徵在於，所述第1域發送用於請求所述多個軟體內被檢查過的軟體的檢查結果的 結果請求信息，所述第2域還具備結果通知部，其在從所述第l域接收到所述結果請求信息時，向所述第1域發送結果應答信息，該結果應答信息包含存儲在所述安全軟體列表中的所述識別信息、和存儲在所述非安全軟體列表中的所述識別信 臺所述第l域，根據從所述結果通知部接收到的所述結果應答信息，僅執行 通過所述軟體檢查部確認為安全的所述軟體。
10. 根據權利要求9所述的終端裝置，其特徵在於，所述第2域還具備請求接收部，其從所述第1域接收用於請求檢查所述 軟體的檢查請求信息，所述第1域，在從所述結果通知部通知的所述結果應答信息中沒有包含從 現在起開始執行的特定軟體的識別信息的情況下，向所述請求接收部發送用於 請求檢查所述特定軟體的所述檢查請求信息，所述請求接收部，在接收到所述檢查請求信息時，在所述軟體檢查部正在 檢查與所述特定軟體不同的其它軟體的情況下，使所述其它軟體的檢查中斷，所述軟體檢查部，使所述特定軟體優先來檢查所述特定軟體是否安全。
11. 根據權利要求IO所述的終端裝置，其特徵在於，所述第l域，在發送了所述檢查請求信息時，停止所述特定軟體的執行， 直到接收到來自所述執行限制部的指示為止，所述執行限制部，當通過所述軟體;險查部確認為所述特定軟體安全的情況 下，指示所述第1域執行所述特定軟體。
12. 根據權利要求IO所述的終端裝置，其特徵在於，所述第l域，在向所述請求接收部發送了所述檢查請求信息時，開始所述 特定軟體的執行，所述執行限制部，在通過所述軟體檢查部確認為所述特定軟體不安全的情 況下，限制所述第l域執行所述特定軟體。
13. 根據權利要求1所述的終端裝置，其特徵在於，所述執行限制部，在通過所述軟體檢查部結束所述多個軟體是否安全的檢 查之前，限制所述第1域執行所述多個軟體。
14. 一種終端裝置中的軟體檢查方法，該終端裝置具有執行多個軟體的第 l域、以及檢查所述多個軟體的每一個是否安全的第2域，該軟體檢查方法的特徵在於，包含以下步驟順序存儲步驟，所述第2域存儲通過所述第1域執行的所述多個軟體的執行優先順序；檢查步驟，所述第2域按照所述執行優先順序檢查所述多個軟體是否安 全；以及限制步驟，所述第2域在所述多個軟體的全部檢查結束之前，限制通過所 述第1域執行所述多個軟體內得到不安全的檢查結果的軟體。
全文摘要
本發明的終端裝置具備執行多個軟體的第1域，以及與該第1域獨立地動作、檢查軟體是否安全的第2域。第2域具備執行順序存儲部，其存儲通過第1域執行的所述多個軟體的執行優先順序；軟體檢查部，其按照執行順序存儲部，檢查多個軟體是否安全；執行限制部，其在所述多個軟體的全部檢查結束前，限制通過第1域執行多個軟體內得到不安全的檢查結果的軟體。
文檔編號G06F21/22GK101606164SQ20088000457
公開日2009年12月16日 申請日期2008年2月12日 優先權日2007年2月9日
發明者太田賢, 小熊壽 申請人:株式會社Ntt都科摩