近年来，在各种设备中，处理包括音乐及影像的数字内容。这些设 备能够不使数字内容劣化地进行复制、编辑。但是，从著作权的观点出 发，这些数字内容需要保护起来进行处理。
根据以往的技术，公开有通过监视器切换并执行可对需要保护的安 全数据及需要保护的安全应用程序进行访问的安全模式、和不能访问这 些安全数据及安全应用程序的普通模式的数据处理装置。根据该技术， 在普通模式下工作的应用程序，经由在普通模式下工作的操作系统，向 安全应用程序委托处理。操作系统向监视器委托执行模式的切换，监视 器切换执行模式。安全应用程序进行被委托的处理，将处理结果经由在 安全执行模式下工作的安全操作系统返回给应用程序。安全操作系统向 监视器委托执行模式的切换，监视器切换执行模式。根据这样的结构， 通过切换并执行安全模式和普通模式，在普通模式下工作的应用程序不 能直接访问安全数据或安全应用程序。因而，能够保护安全数据及安全 应用程序。
非专许文献1：A New Foundation for CPU Systems Security(平成15 年11月20日检索，URL：
http://www.arm.com/armtech.nsf/htmlall/FC4C07580E29428080256D1 A004A2345/$File/TrustZone#WP.pdf？OpenElement)
但是，在以往技术所示的方法中，需要分开确保用于存储在安全模 式下使用的数据及程序等的存储器与在普通模式下使用的存储器。在安 全模式下使用的存储器需要保护该存储器不受非法的访问的保护机构。 因而，如果增加在安全模式下使用的存储器，则有关保护机构的负荷变 大，产生了增大保护机构的规模的需要。因此，需求能够削减在安全模 式下使用的存储器的数据处理装置。

所以，本发明是鉴于这种问题点而做出的，其目的是提供一种能够 削减在安全模式下使用的存储器的数据处理装置、数据处理方法、数据 处理程序以及存储介质。
为了实现上述目地，本发明的数据处理装置，切换允许利用保护对 象的安全源的安全模式和仅允许利用保护对象外的普通源的普通模式， 来执行程序，其特征在于，具备：普通存储机构，存储由利用上述普通 源的1个以上的处理过程构成的普通程序；安全存储机构，存储由利用 上述安全源的1个以上的处理过程构成、至少包含调出上述普通程序的 调出指令的安全程序；判断机构，在安全模式下，判断接着要执行的指 令是否是上述调出指令；输出机构，在安全模式下，在判断为上述调出 指令的情况下，输出表示由该调出指令调出的上述普通程序的识别信息； 切换机构，在判断为上述调出指令的情况下，保护安全源，从安全模式 切换为普通模式；接受机构，在普通模式下接受上述识别信息；读出机 构，在普通模式下，从上述普通存储机构读出由所接受的上述识别信息 表示的上述普通程序；处理机构，在普通模式下按照所读出的普通程序 动作。
根据上述结构，上述安全程序包含上述调出指令，在接着要执行的 指令是上述调出指令的情况下，切换机构从安全模式切换为普通模式， 在普通模式下，接受机构接受上述识别信息，读出机构从上述普通存储 机构读出由所接受的上述识别信息表示的上述普通程序，处理机构按照 所读出的普通程序动作。因而，通过执行上述调出指令，上述安全程序 能够将处理委托给在普通模式下动作的普通程序。即，通过使普通程序 执行不利用安全源的处理，来减少安全程序自身的程序尺寸。进而，在 安全模式下，能够减少安全程序所使用的存储器。
在上述数据处理装置中，上述切换机构通过中断用于控制上述安全 程序的安全操作系统、启动用于控制上述普通程序的普通操作系统，从 安全模式切换为普通模式。
根据该结构，上述切换机构在中断上述安全操作系统后启动普通操 作系统。因此，该数据处理装置能够在普通模式下动作过程中完全切断 对上述安全源的访问路径，能够排他地实现安全模式和普通模式。
此外，上述数据处理装置的特征在于，具备在安全模式及普通模式 两者下允许访问的共用存储区域；上述输出机构在安全模式下，通过将 上述识别信息写入到上述共用存储区域中，来输出上述识别信息；上述 接受机构在普通模式下，通过从上述共用存储区域读出上述识别信息， 来接受上述识别信息。
根据该结构，上述共用存储区域能够在普通模式及安全模式下访问。 因而，本发明的数据处理装置能够在排他地实现安全模式和普通模式、 保护安全源的同时，能够在安全模式与普通模式之间可靠地进行信息的 传递。
此外，其特征在于，上述读出机构将上述识别信息与表示上述普通 存储机构中的上述普通程序的存在位置的位置信息对应起来进行存储， 从由与所接受的上述识别信息对应的位置信息表示的存在位置读出上述 普通程序。
根据该结构，由于上述读出机构将上述识别信息与表示上述普通存 储机构中的上述普通程序的存在位置的位置信息对应起来进行存储，所 以能够利用与所接受的识别信息对应的位置信息，可靠且迅速地读出上 述普通程序。
在上述数据处理装置中，其特征在于，构成上述普通程序的1个处 理过程包含构成库的多个函数，其他处理过程调出上述多个函数中的某 个；上述处理机构在按照上述其他处理过程动作的情况下，按照由该其 他处理过程调出的函数动作。
根据该结构，构成上述普通程序的1个处理过程包含构成库的多个 函数，另一个处理过程调出上述多个函数中的某一个。因而，上述安全 程序能够将使用构成库的函数的处理委托给上述普通程序。因此，在安 全模式下不需要在存储器上保持库。
其特征在于，上述数据处理装置还具有：指示取得机构，在安全模 式下，接受表示向上述安全存储机构写入上述安全程序的写入指示；安 全装载机构，在安全模式下，在取得了上述写入指示的情况下，将上述 安全程序写入到上述安全存储机构中，输出表示上述写入已结束的写入 结束信息；在输出了上述写入结束信息的情况下，上述切换机构再从安 全模式切换为普通模式；上述数据处理装置还具有普通装载机构，在普 通模式下，接受上述写入结束信息，将上述普通程序写入到上述普通存 储机构中。
根据该结构，在指示取得机构取得了写入指示的情况下，如果上述 安全装载机构在安全模式下接受了表示向上述安全存储机构写入上述安 全程序的写入指示，则将上述安全程序写入到上述安全存储机构中。通 过这样，在上述安全程序的执行过程中，总是在上述普通存储机构中存 储着上述普通程序，在执行包含在安全程序中的调出指令时，能够迅速 地转移到上述普通程序的执行。
其特征在于，构成上述数据处理装置的上述读出机构在普通模式下， 在通过上述普通装载机构将上述普通程序写入到上述普通存储机构中的 情况下，还将上述识别信息与表示上述普通存储机构中的上述普通程序 的存在位置的位置信息对应起来进行存储。
在该结构中，在上述普通程序写入在上述普通存储机构中的情况下， 上述读出机构将上述识别信息与表示上述普通存储机构中的上述普通程 序的存在位置的位置信息对应起来进行存储。通过这样，在上述安全程 序装载后，上述读出机构能够立即将上述识别信息与表示上述普通存储 机构中的上述普通程序的存在位置的位置信息对应起来进行存储。因而， 在执行包含在安全程序中的调出指令时，能够迅速读出上述普通程序。
其特征在于，上述数据处理装置还具有：删除指示取得机构，在安 全模式下，取得指示删除上述安全程序的删除指示；安全删除机构，在 取得了上述删除指示的情况下，在安全模式下，将上述安全程序从上述 安全存储机构删除，输出表示上述删除已结束的删除结束信息；在输出 了上述删除结束信息的情况下，上述切换机构再从安全模式切换为普通 模式；上述数据处理装置还具有普通删除机构，在普通模式下，取得上 述删除结束信息，将上述普通程序从上述普通存储机构删除。
根据该结构，如果删除指示取得机构取得了指示删除上述安全程序 的删除指示，则安全删除机构从上述安全存储机构删除上述安全应用程 序，普通删除机构从上述普通存储机构删除上述普通程序。
因而，由于在没有装载上述安全程序的期间也不需要装载上述普通 程序，所以通过这样，能够防止由上述普通程序浪费在普通模式下使用 的存储器区域的情况。
在上述数据处理装置中，其特征在于，上述读出机构将上述识别信 息与表示上述普通存储机构中的上述普通程序的存在位置的位置信息对 应起来进行存储，从由与所接受的上述识别信息对应的位置信息表示的 存在位置读出上述普通程序。
根据该结构，由于上述读出机构将上述识别信息与表示上述普通存 储机构中的上述普通程序的存在位置的位置信息对应起来进行存储，所 以能够利用与所接受的识别信息对应的位置信息，可靠且迅速读出上述 普通程序。
上述数据处理装置的特征在于，还具备：引导程序存储机构，存储 有引导程序，该引导程序包含将具有上述处理机构的该数据处理装置所 具备的1个以上的设备进行初始化的初始化过程及启动上述安全操作系 统的启动过程；初始化机构，从上述引导程序存储机构读出上述引导程 序，按照所读出的上述引导程序对上述设备进行初始化，在初始化结束 后，启动安全操作系统。
根据该结构，上述初始化机构在电源接通时按照上述引导程序对上 述设备进行初始化，在初始化结束后启动安全操作系统。这样，本发明 的数据处理装置在启动在普通模式下执行的程序之前启动安全操作系 统，由此，能够防止在启动时通过在普通模式下执行的程序的非法动作 来非法利用在安全模式下执行的程序或安全源。
上述数据处理装置的特征在于，还具有普通输出机构，该普通输出 机构在普通模式下，输出上述处理机构的处理结果和表示上述安全程序 的安全识别信息；在输出了上述处理结果的情况下，上述切换机构再从 普通模式切换为安全模式；上述数据处理装置还具有：安全接受机构， 在安全模式下，接受上述处理结果与上述安全识别信息；安全读出机构， 从上述普通存储机构读出与所接受的上述安全识别信息对应的上述安全 程序；上述处理机构还在安全模式下，利用上述处理结果，按照上述安 全程序动作。
在该结构中，普通输出机构在普通模式下输出上述处理机构的处理 结果和表示上述安全程序的安全识别信息，安全接受机构在安全模式下 接受上述处理结果与上述安全识别信息，安全读出机构从上述普通存储 机构读出与所接受的上述安全识别信息对应的上述安全程序，上述处理 机构还在安全模式下利用上述处理结果，按照上述安全程序动作。因而， 在本发明的数据处理装置中，在普通模式下，上述处理机构按照上述普 通程序执行由在安全模式下执行的上述安全程序委托的处理，能够将处 理结果正确地返回给上述安全程序。
此外，其特征在于，在从安全模式切换为普通模式时，上述切换机 构将上述安全源与上述处理机构切断。
根据该结构，上述切换机构在从安全模式切换为普通模式时将上述 安全源与上述处理机构切断，所以在普通模式下，上述处理机构不能访 问上述安全源。因而，能够确保上述安全源的安全。
其特征在于，在从安全模式切换为普通模式时，上述切换机构将保 持在上述安全源中的安全信息加密。
在该结构中，上述切换机构在从安全模式切换为普通模式时将保持 在上述安全源中的安全信息进行加密，所以在普通模式下，上述处理机 构不能访问上述安全源。因而，在普通模式下能够确保上述安全源所保 持的数据的安全。
在上述数据处理装置中，其特征在于，保持在上述安全源中的上述 安全信息包含有在安全模式下执行、由指令代码部分、数据部分和堆栈 部分构成的程序；在从安全模式切换为普通模式时，上述切换机构将上 述指令代码部分加密。
此外，也可以在从安全模式切换为普通模式时，上述切换机构对上 述数据部分进行加密。
此外，也可以在从安全模式切换为普通模式时，上述切换机构对上 述堆栈部分进行加密。
根据该结构，上述切换机构在从安全模式切换为普通模式时，对上 述指令代码部分进行加密。或者在从安全模式切换为普通模式时，上述 切换机构对上述数据部分进行加密。或者在从安全模式切换为普通模式 时，上述切换机构对上述堆栈部分进行加密。
这样，通过仅对上述程序中的需要保护的部分进行加密，能够减轻 有关加密的处理负荷。
上述数据处理装置的特征在于，还具有调试接受机构，该调试接受 机构从监视和操作上述处理机构的动作的调试装置接受调试操作信号； 在从安全模式切换为普通模式时，上述切换机构将上述处理机构与上述 调试接受机构连接，在从普通模式切换为安全模式时，上述切换机构将 上述处理机构与上述调试接受机构切断。
根据该结构，在从普通模式切换为安全模式时，上述切换机构将上 述处理机构与上述调试接受机构切断，所以，本发明的数据处理装置在 安全模式下动作过程中不对外部的调试器装置进行动作的监视及操作， 所以能够保护上述安全源不受上述调试器装置访问。
在本发明的数据处理装置中，也可以构成为，上述读出机构将上述 识别信息与表示上述普通存储机构中的上述普通程序的存在位置的位置 信息对应起来进行存储，从由与所接受的上述识别信息对应的位置信息 表示的存在位置读出上述普通程序。
根据该结构，上述读出机构将上述识别信息与表示上述普通存储机 构中的上述普通程序的存在位置的位置信息对应起来进行存储，所以能 够利用与所接受的识别信息对应的位置信息，可靠且迅速读出上述普通 程序。
本发明的数据处理装置，切换第1操作系统和第2操作系统，将在 各操作系统中生成的进程转移到执行状态、执行等待状态、休止状态中 的某一个，来执行并管理进程，其特征在于，具备：第1生成机构，在 上述第1操作系统中生成第1进程；第2生成机构，在上述第2操作系 统中生成与上述第1进程对应的第2进程；第1检测机构，在上述第1 操作系统中检测上述第1进程的状态转移；第1输出机构，在上述第1 操作系统中输出表示检测到的状态转移的转移信息；OS切换机构，将上 述第1操作系统切换为上述第2操作系统；第2取得机构，在上述第2 操作系统中取得上述转移信息；第2转移机构，按照所取得的上述转移 信息，转移上述第2进程的状态。
根据该结构，在上述第1操作系统中，上述第1输出机构输出上述 转移信息，OS切换机构将上述第1操作系统切换为上述第2操作系统， 在上述第2操作系统中，第2转移机构按照上述转移信息而转移上述第2 进程的状态。因而，在排他地执行2个操作系统动作的上述数据处理装 置中，在上述第2操作系统中也能够经由上述第2进程监视由上述第1 操作系统控制的上述第1进程的动作状态。
其特征在于，上述数据处理装置还具有：第2检测机构，在上述第2 操作系统中，检测上述第2进程的状态转移；第2输出机构，在上述第2 操作系统中，输出表示检测到的状态转移的转移信息；上述OS切换结构 还将上述第2操作系统切换为上述第1操作系统；上述数据处理装置还 具有：第1取得机构，在上述第1操作系统中取得上述转移信息；第1 转移机构，按照所取得的上述转移信息，转移上述第1进程的状态。
根据该结构，上述第2输出机构在上述第2操作系统中输出上述转 移信息，上述第1转移机构按照上述转移信息转移上述第1进程的状态。 由此，在上述第1操作系统中也能够经由上述第1进程监视由上述第2 操作系统控制的上述第2进程的动作状态。因而，上述第1操作系统及 上述第2操作系统能够相互地监视各自所控制的第1进程及第2进程的 动作状态。
进而，上述数据处理装置的特征在于，具备在第1操作系统及第2 操作系统的两者中能够访问的共用存储区域；上述第1输出机构通过将 上述转移信息写入到上述共用存储区域中，来输出上述转移信息；上述 第2取得机构通过从上述共用存储区域中读出上述转移信息，来取得上 述转移信息。
根据该结构，上述第1输出机构及上述第2取得机构在第1操作系 统及第2操作系统两者中经由可访问的上述共用存储区域传递上述转移 信息。由于上述共用存储区域在第1操作系统及第2操作系统两者中能 够访问，所以本发明的数据处理装置能够在排他地执行第1操作系统和 第2操作系统的同时，从第1操作系统向第2操作系统传递信息。
其特征在于，构成上述数据处理装置的上述第2输出机构通过将上 述转移信息写入到上述共用存储区域中，来输出上述转移信息；上述第1 取得机构通过从上述共用存储区域中读出上述转移信息，来取得上述转 移信息。
因而，能够在排他地执行第2操作系统和第1操作系统的同时，从 第2操作系统向第1操作系统传递信息。
此外，上述数据处理装置的特征在于，具有在上述第2操作系统中 被管理并动作的设备；上述第2进程是控制上述设备的驱动的设备驱动 程序；上述第2检测机构检测伴随上述设备的动作的上述第2进程的状 态转移。
根据该结构，上述第2进程是控制上述设备的驱动的设备驱动程序， 上述第2检测机构检测伴随着上述设备的动作的上述第2进程的状态转 移。因而，上述第1进程也伴随着上述设备驱动程序的状态转移而状态 转移，在上述第1操作系统中也能够监视上述设备的驱动状态。
其特征在于，在上述第1操作系统中，在上述第1进程从休止状态 转移到执行状态的情况下，上述数据处理装置按照进行排他处理的上述 第1进程动作，该排他处理用于避免对上述设备重复委托处理；在上述 第1操作系统中，上述第1输出机构在上述排他处理结束后输出上述转 移信息。
通常，这种排他处理是通过控制上述设备的驱动的设备驱动程序来 执行的，但根据该结构，在上述数据处理装置中，在上述第1进程进行 了避免对设备重复委托处理的排他处理后，在上述第1操作系统中，上 述第1输出机构输出上述转移信息。根据所输出的上述转移信息，上述 第2进程转移到执行状态，开始上述设备的驱动的控制。如果假设是分 别需要由第1操作系统和第2操作系统使用的存储器空间、特别是需要 保护由第2操作系统使用的存储器不受外部的访问的情况，则由于上述 第1进程进行排他处理，所以上述第2进程不再需要进行排他处理。因 而，减少了上述第2进程为了排他处理而使用的存储器区域。因此，削 减了需要保护的存储器，能够减轻保护这些存储器不受外部访问的保护 机构的负荷。
其特征在于，上述数据处理装置还具有：中断检测机构，在第1操 作系统及第2操作系统中检测中断的发生；中断调查机构，在上述第1 操作系统中，在检测到中断的情况下，调查中断发生主因；中断转移机 构，在上述第1操作系统中，在通过中断调查机构判断为上述设备中断 的情况下，使上述第1进程从休止状态转移到执行状态。
进而，上述数据处理装置构成为，上述数据处理装置还具有通知机 构，该通知机构在上述第2操作系统中，在检测到中断的情况下，输出 表示检测到了中断的中断通知信息；上述OS切换机构将上述第2操作系 统切换为上述第1操作系统；上述第1取得机构还在上述第1操作系统 中取得上述中断通知信息；上述中断调查机构还在上述第1操作系统中， 在取得了上述中断通知的情况下，调查中断发生主因。
根据该结构，在上述第1操作系统中，在检测到中断的情况下，中 断调查机构调查中断发生主因。此外，在上述第2操作系统中，在检测 到中断的情况下，上述通知机构输出表示检测到了中断的中断通知信息， 在第1操作系统中，中断调查机构调查中断发生主因。
通过这样，在第2操作系统的管理下不，再需要提供中断调查机构。 因而，在本发明的数据处理装置中只具备一个中断调查机构就可以。
在上述数据处理装置中，其特征在于，在检测到了中断的情况下， 上述通知机构使上述中断检测机构停止检测中断；上述第1取得机构在 取得了上述中断通知信息的情况下，对上述中断检测机构解除上述停止。
根据该结构，上述通知机构在检测到中断的情况下使上述中断检测 机构停止中断的检测，上述第1取得机构在取得了上述中断通知信息的 情况下，对上述中断检测机构解除上述停止。因而，在上述第1取得机 构取得从上述通知机构输出的中断通知信息之前的期间，不会由上述中 断检测机构妨碍从上述第2操作系统向上述第1操作系统的切换的动作。 此外，在从第2操作系统向第1操作系统切换之前的期间，上述中断检 测机构能够防止重复检测到相同的中断。
本发明是按照程序而动作的数据处理装置，其特征在于，具备存储 机构，存储由多个处理过程构成的程序；合法性判断机构，判断存储在 上述存储机构中的上述程序是否是非法的；无效化机构，在判断为非法 的情况下，使上述程序无效化。
根据该结构，上述合法性判断机构判断存储在上述存储机构中的上 述程序是否是非法的，在判断为非法的情况下，使上述程序无效化，所 以在本发明的数据处理装置中，能够防止非法程序的执行。
在上述数据处理装置中，其特征在于，上述合法性判断机构具有： 程序信息取得部，取得表示存储在上述存储机构中的上述程序的程序识 别信息；无效化信息取得部，取得表示已无效化的程序的无效化识别信 息；判断部，判断所取得的上述程序识别信息与所取得的上述无效化识 别信息是否一致；在判断为一致的情况下，确定上述程序是非法的。
在上述结构中，根据上述信息取得部所取得的上述程序识别信息与 上述无效化信息取得部所取得的上述无效化信息是否一致，能够容易确 定该程序是否是非法的。
其特征在于，包含在本发明的数据处理装置中的上述程序信息取得 部具有：识别信息存储部，存储表示上述程序的程序识别信息；读出部， 通过从上述识别信息存储部读出来取得上述程序识别信息；上述无效化 信息取得部具有：无效化信息存储部，存储表示已无效化的程序的无效 化识别信息；读出部，通过从上述无效化信息存储部读出来取得上述无 效化识别信息。
根据该结构，上述程序信息取得部能够从预先存储有表示上述程序 的程序识别信息的上述识别信息存储部中迅速取得上述程序识别信息。 此外，上述无效化信息取得部能够从预先存储有表示已无效化的程序的 无效化识别信息的上述无效化信息存储部迅速取得上述无效化识别信 息。
上述数据处理装置的特征在于，上述合法性判断机构根据分配给上 述程序的证明公开密钥的合法性的公开密钥证书，判断上述程序是否是 非法的。
根据该结构，上述合法性判断机构根据分配给上述程序的证明公开 密钥的合法性的上述公开密钥证书进行上述判断。通过使用由公共的第3 机构发行的公开密钥证书，能够更可靠地判断上述程序的合法性。
在上述数据处理装置中，其特征在于，上述合法性判断机构具有： 证书存储部，存储包含用于识别上述公开密钥的公开密钥识别信息的上 述公开密钥证书；公开密钥信息取得部，从上述公开密钥证书取得上述 公开密钥识别信息；无效化信息存储部，存储表示已无效化的公开密钥 的无效化识别信息；无效化信息读出部，从上述无效化信息存储部读出 无效化识别信息；判断部，判断所取得的上述公开密钥识别信息和所读 出的上述无效化识别信息是否一致；在判断为一致的情况下，确定上述 程序是非法的。
根据上述结构，上述判断部通过比较上述证书存储部所存储的上述 公开密钥证书中所包含的公开密钥识别信息和上述无效化信息存储部所 存储的上述无效化识别信息，能够容易确定上述程序是否为非法。
在上述数据处理装置中，其特征在于，上述合法性判断机构还具有 更新部，该更新部从外部取得最新的无效化识别信息，并将所取得的无 效化识别信息写入到上述无效化信息存储部中。
根据该结构，上述更新部从外部取得最新的无效化识别信息，将所 取得的无效化识别信息写入到上述无效化信息存储部中。一般，公开密 钥证书的发行机构会在后面追加表示无效化的公开密钥的信息并定期更 新上述无效化识别信息。通过从该发行机构取得最新的无效化识别信息， 也能够适应在上述数据处理装置的销售后判明为非法的程序。
此外，其特征在于，在每次检测到对上述存储机构的访问请求时， 上述更新部取得最新的无效化识别信息。
在上述结构中，在每次检测到对上述存储机构的访问请求时，上述 更新部取得最新的无效化识别信息，所以上述判断部能够总是利用最新 的无效化识别信息判断上述程序的合法性。
在上述数据处理装置中，其特征在于，上述更新部通过经由网络从 CRL(Certificate Revocation List，证书吊销列表)发行装置接收上述无效 化识别信息，并经由网络及服务器装置从CRL发行装置接收上述无效化 识别信息，或者从存储介质读出上述无效化识别信息，来取得上述无效 化识别信息。
在上述结构中，由于上述更新部经由网络从CRL发行装置接收上述 无效化识别信息，所以能够取得最新的无效化识别信息。
此外，由于经由网络及服务器装置从CRL发行装置接受上述无效化 识别信息，所以即使在数据处理装置本身没有与外部网络通信的通信功 能的情况下，也能够通过服务器装置更新上述无效化识别信息。
此外，通过从存储介质读出上述无效化识别信息，即使在没有与上 述CRL发行装置通信的环境的情况下，该数据处理装置也能够更新上述 无效化识别信息。
其特征在于，上述更新部还从外部取得对上述最新的无效化识别信 息实施数字署名而生成的署名数据，对所取得的署名数据实施署名验证， 在署名验证成功的情况下，将所取得的上述无效化识别信息写入到上述 无效化信息存储部中。
在该结构中，上述更新部取得上述署名数据，对所取得的署名数据 实施署名验证，在署名验证成功的情况下，将所取得的上述无效化识别 信息写入到上述无效化信息存储部中，所以能够取得从上述无效化识别 信息的合法发行者发行的无效化识别信息。
其特征在于，构成上述数据处理装置的上述合法性判断机构具有： 证书存储部，存储有至少包含有对该公开密钥实施数字署名而生成的署 名数据的上述公开密钥证书；公开密钥证书取得部，从上述证书存储部 取得上述公开密钥证书；验证部，通过对包含在所取得的上述公开证书 中的署名数据实施署名验证，来验证所取得的上述公开密钥证书是否是 正确的；在上述公开密钥证书不正确的情况下，确定上述程序为非法。
在该结构中，上述合法性判断机构通过对上述署名数据实施署名验 证，来验证所取得的上述公开密钥证书是否是正确的，在判断为上述公 开密钥证书不正确的情况下，确定上述程序为非法。因而，上述数据处 理装置能够判断分配给上述程序的公开密钥证书是否是由非法的第三者 非法地生成的，能够仅执行具有合法的公开密钥证书的程序。
此外，在上述数据处理装置中，其特征在于，上述合法性判断机构 利用至少分别证明2个公开密钥的合法性的至少2个公开密钥证书，判 断存储在上述存储机构中的上述程序是否是非法的。
在该结构中，上述合法性判断机构利用至少2个公开密钥证书，判 断存储在上述存储机构中的上述程序是否是非法的。通过利用多个公开 密钥证书进行上述判断，能够更正确地判断上述程序是否是非法的。
其特征在于，上述2个公开密钥是分配给上述程序的第1公开密钥 及分配给控制上述数据处理装置或上述程序的动作的操作系统的第2公 开密钥；上述合法性判断机构具有：证书存储部，存储第2公开密钥证 书和第1公开密钥证书，所述第2公开密钥证书包含第2署名数据、和 上述第2公开密钥，该第2署名数据是利用具有权威的认证机构的保密 密钥至少对上述第2公开密钥实施数字署名而生成的，所述第1公开密 钥证书包含第1署名数据、和上述第1公开密钥，该第1署名数据是利 用上述数据装置或上述操作系统的保密密钥至少对上述第1公开密钥实 施数字署名而生成的；公开密钥证书取得部，从上述证书存储部取得上 述第1公开密钥证书及上述第2公开密钥证书；验证部，通过利用上述 认证机构的公开密钥对包含在所取得的第2公开密钥证书中的第2署名 数据实施署名验证，验证所取得的上述第2公开密钥证书是否是正确的， 在判断为正确的情况下，从上述第2公开密钥证书取得上述第2公开密 钥；通过利用所取得的上述第2公开密钥对包含在所取得的第1公开密 钥证书中的第1署名数据实施署名验证，验证所取得的上述第1公开密 钥证书是否是正确的；在判断为上述第2公开密钥不是正确的情况下、 以及判断为上述第1公开密钥不是正确的情况下，确定上述程序是非法 的。
根据上述结构，上述合法性判断机构通过利用上述认证机构的公开 密钥对包含在所取得的上述第2公开密钥证书中的第2署名数据实施署 名验证，验证所取得的上述第2公开密钥证书是否正确，在判断为正确 的情况下，从上述第2公开密钥证书取得上述第2公开密钥；通过利用 所取得的上述第2公开密钥对包含在所取得的第1公开密钥证书中的第1 署名数据实施署名验证，验证所取得的上述第1公开密钥证书是否正确。 这样，通过利用形成层次构造的多个公开密钥证书进行验证，即使在上 述公开密钥证书为无效的情况下、即控制上述程序的操作系统是非法的 情况下，也能够使上述程序无效化，防止基于非法的操作系统执行上述 程序。
或者，即使在该数据处理装置是非法的情况下，也能够防止上述程 序的执行。
其特征在于，在每次检测到对上述存储机构的访问请求时，上述合 法性判断机构进行上述判断。
此外，在每次检测到对存储在上述存储机构中的程序的访问请求时， 上述合法性判断机构进行上述判断。
此外，在向该数据处理装置开始供电后，上述合法性判断机构紧接 着进行上述判断。
根据上述结构，在每次检测到对上述存储机构的访问请求时，上述 合法性判断机构进行上述判断。或者在每次检测到对存储在上述存储机 构中的程序的访问请求时，进行上述判断。或者在向该数据处理装置开 始电力供给后紧接着进行上述判断。因而，在执行上述程序前能够判断 上述程序是否是非法的。
此外，本发明的数据处理装置，将加密的程序解密并执行，其特征 在于，上述存储机构代替上述程序而存储利用程序密钥对上述程序实施 加密算法而生成的加密程序；上述合法性判断机构具有：加密密钥存储 部，存储从p个加密密钥选择的m个加密密钥；加密信息存储部，将利 用上述m个加密密钥的各加密密钥对上述程序密钥及规定的检测信息的 任一个进行加密而生成的m个加密信息与m个上述加密密钥对应起来进 行存储；解密部，利用上述m个加密密钥的各加密密钥对对应的加密信 息实施解密算法来生成m个解密信息；判断部，判断所有的生成的m个 解密信息是否是上述检测信息；在判断为所有的生成的m个解密信息都 是上述检测信息的情况下，确定上述程序是非法的。
进而，其特征在于，上述p个加密密钥配置在n行m列(p＝n×m) 的第1矩阵的各要素位置上，通过从上述第1矩阵的各列选择1个加密 密钥，从上述第1矩阵选择m个加密密钥；上述加密密钥存储部在上述 第1矩阵中将配设有各加密密钥的要素位置与各加密密钥对应起来进行 存储；上述加密信息存储部在n行m列的第2矩阵中、在与配设有对应 于各加密信息的加密密钥的要素位置相同的要素位置存储该加密信息； 解密部从上述加密密钥存储部读出与加密密钥对应的要素位置，在上述 加密信息存储部的第2矩阵中，读出配设在与上述读出的要素位置相同 的要素位置的加密信息，利用所读出的上述加密密钥对所读出的上述加 密信息实施解密算法。
根据上述结构，上述合法性判断机构利用上述m个加密密钥的各个 而对对应的加密信息实施解密算法，做成m个解密信息，在判断为所生 成的m个解密信息都是上述检测信息的情况下，确定上述程序是非法的。 在上述程序是合法的情况下，该数据处理装置根据加密的上述加密密钥 生成加密密钥，用所生成的加密密钥对上述加密程序进行解密而生成程 序，并执行所生成的程序。这样，通过实施2级加密，能够保护上述程 序不受非法利用。
此外，通过从上述第1矩阵的各列选择1个加密密钥，选择上述p 个加密密钥。这里，假设是存在利用相同的程序密钥进行了加密的多个 加密程序的情况。某个程序是非法的，利用分配给该非法程序的m个加 密密钥生成的m个解密信息都是上述检测信息。即使分配给其他合法程 序的m个加密密钥中的某一个与上述非法程序的m个加密密钥一致，也 能够通过其他加密密钥生成上述程序。通过对以每个程序不同的组合分 配m个加密密钥，仅使非法的程序无效化，而能够利用合法程序。
此外，本发明的特征在于，在上述数据处理装置中，具备：存储器 机构，用来存储数据；处理器，按照由多个处理过程构成的程序动作； 监视机构，配置在上述存储器机构与上述处理器之间，判断从上述处理 器输出的目的地为上述存储器机构的传送数据是否满足传送限制条件， 在判断为满足传送限制条件的情况下，抑制向上述存储器机构的传送数 据的传送，在判断为不满足传送限制条件的情况下，进行向上述存储器 机构的传送数据的传送。
根据该结构，上述监视机构配置在上述存储器机构与上述处理器之 间，判断从上述处理器输出的目的地为上述存储器机构的传送数据是否 满足传送限制条件，在判断为满足传送限制条件的情况下，抑制向上述 存储器机构的传送数据的传送。通过这样，能够防止在上述程序的动作 过程中发生的对上述存储器的非法访问。
在上述数据处理装置中，其特征在于，上述监视机构对多个应用程 序的每一个存储传送限制条件，对每个由上述处理器执行的应用程序选 择传送限制条件，并利用所选择的传送限制条件。
在该结构中，上述监视机构对每个由上述程序执行的应用程序选择 传送限制条件，并利用所选择的传送限制条件。在上述数据处理装置中， 在执行了多个应用程序的情况下，充分地考虑到了在每个应用程序中利 用的数据及设备不同。因而，通过使用对每个应用程序不同的传送限制 条件，该数据处理装置能够安全地执行多个应用程序。
此外，其特征在于，上述传送限制条件是表示上述存储器机构内的 规定的存储空间的地址范围信息；上述监视机构从上述传送数据中提取 地址信息，在所提取的地址信息包含在上述地址范围信息中的情况下， 抑制上述传送数据的传送。
根据上述结构，上述监视机构在所提取的地址信息包含在上述地址 范围信息中的情况下，抑制上述传送数据的传送。因而，能够阻止上述 处理器访问上述规定的存储空间。
其特征在于，上述传送限制条件是表示对上述存储器机构内的规定 的存储空间的访问次数的上限的限制次数；上述监视机构存储对过去的 上述存储空的访问的累积次数，从上述传送数据中提取地址信息，并在 所提取的地址信息包含在上述地址范围信息中的情况下，对上述累积次 数加1，在相加得到的相加后次数超过了上述限制次数的情况下，抑制上 述传送数据的传送。
根据该结构，上述监视机构在相加后次数超过了上述限制次数的情 况下，抑制上述传送数据的传送。通过这样，对于在上述程序的执行过 程中因某种原因而偶然发生的非法访问，仅在发生了漏过、例如因上述 程序的非法篡改而固定地向上述规定的存储空间发生非法访问的情况 下，抑制伴随着上述程序的执行的对传送数据的传送。
在本发明中，其特征在于，上述监视机构判断在与上述处理器连接 的总线上传送的上述传送数据是否满足传送限制条件。
根据该结构，上述监视机构判断在与上述处理器连接的总线上传送 的上述传送数据是否满足传送限制条件，所以每次从上述处理器输出传 送数据时都能够可靠地进行上述判断。
其特征在于，构成本发明的数据处理装置的上述存储器机构存储利 用加密密钥将与由上述处理器执行的当前程序不同的应用程序的代码部 分和数据部分分别进行加密而生成的加密代码及加密数据；上述传送限 制条件是表示在上述存储器机构内保存有上述加密数据的存储空间的地 址范围信息；上述监视机构存储用来对上述加密密钥及加密数据进行解 密的解密密钥，从上述传送数据提取地址信息，在所提取的地址信息在 表示保存有上述加密代码的存储空间的地址范围内的情况下，利用上述 解密密钥对将存在于由上述传送数据表示的存储空间中的加密代码进行 解密而生成解密代码，并将所生成的解密代码传送给上述处理器，在所 提取的地址信息包含在上述地址范围信息中的情况下，抑制传送数据的 传送。
根据该结构，上述监视机构存储用来对上述加密代码及加密数据进 行解密的解密密钥，在上述地址信息在表示保存有上述加密代码的存储 空间的地址范围内的情况下，利用上述解密密钥对存在于由上述传送数 据表示的存储空间中的加密代码进行解密而生成解密代码，将所生成的 解密代码传送给上述处理器，在所提取的地址信息包含在上述地址范围 信息中的情况下，抑制传送数据的传送。由此，能够将上述应用程序的 数据部分的使用仅限定于该应用程序。
其特征在于，上述监视机构还在判断为满足传送限制条件的情况下， 将识别由上述处理器执行中的上述程序的识别信息追加到程序无效化列 表中。
在该结构中，上述监视机构在判断为满足传送限制条件的情况下， 将用于识别由上述处理器执行中的上述程序的识别信息追加到程序无效 化列表中，所以能够防止由上述处理器再次执行该程序的情况。
本发明的上述数据处理装置的特征在于，具备：存储器机构，用来 存储数据；处理器，按照由多个处理过程构成的程序动作，具备保存有 作为下一个执行对象的指令的地址的程序计数器；监视机构，判断保存 在上述程序计数器中的地址是否包含在规定的地址范围内，在判断为包 含在规定的地址范围内的情况下，对上述处理器指示将规定的值保存到 程序计数器中；上述处理器接受到上述指示后，将上述规定的值保存到 程序计数器中。
根据该结构，上述监视机构判断保存在上述程序计数器中的地址是 否包含在规定的地址范围内，在判断为包含在规定的地址范围内的情况 下，对上述处理器指示将规定的值保存到程序计数器中。通过这样，能 够事前防止上述处理器访问与上述规定的地址范围对应的存储区域，例 如通过将上述处理器的执行权转移给操作系统等其他程序，能够中断上 述程序的执行。
附图说明
图1是表示实施方式1的便携电话100的使用例。
图2是表示便携电话100及存储卡300的结构的框图。
图3表示存储在次存储部104中的信息的一例。
图4表示存储在普通存储器111中的信息的一例。
图5表示应用程序管理表166的详细情况。
图6表示存储在安全存储器113中的信息的一例。
图7表示安全应用程序管理表186的详细情况。
图8是表示存储在普通存储器111及安全存储器113中的程序的关 联的框图。
图9表示普通OS151及安全存储器113的处理指令的数据结构。
图10是表示普通OS151的动作的流程图。
图11是表示安全OS171的动作的流程图。
图12是表示音乐解密守护程序156的动作的流程图。
图13是表示从普通OS151向安全OS171的切换处理的流程图。
图14是表示从安全OS171向普通OS151的切换处理的流程图。
图15是表示便携电话100的动作的流程图。
图16是表示音乐解密程序的登录处理中的各程序的动作的流程图。
图17是表示音乐解密程序的登录处理中的各程序的动作的流程图。 接图16。
图18是表示对音乐解密程序176的委托处理中的各程序的动作的流 程图。
图19是表示对音乐解密程序176的委托处理中的各程序的动作的流 程图。上接图18。
图20是表示对音乐解密程序176的委托处理中的各程序的动作的流 程图。上接图19。
图21是表示对音乐解密程序176的委托处理中的各程序的动作的流 程图。上接图20。
图22是表示对音乐解密程序176的委托处理中的各程序的动作的流 程图。上接图21。
图23是表示对音乐解密程序176的委托处理中的各程序的动作的流 程图。上接图22。
图24是表示对音乐解密程序176的委托处理中的各程序的动作的流 程图。上接图23。
图25是表示对音乐解密程序176的委托处理中的各程序的动作的流 程图。上接图24。
图26是表示对音乐解密程序176的委托处理中的各程序的动作的流 程图。上接图25。
图27是表示对音乐解密程序176的委托处理中的各程序的动作的流 程图。上接图26。
图28是表示普通OS151的执行中的、普通输入输出设备132的中断 发生时的处理的流程图。是图21的步骤S239的详细情况。
图29是表示安全OS171的执行中的、普通输入输出设备132的中断 发生时的处理的流程图。
图30是表示普通OS151的执行中的、安全设备133的中断发生时的 处理的流程图。是图23的步骤S287的详细情况。
图31是表示普通OS151的执行中的、安全设备133的中断发生时的 处理的流程图。上接图30。
图32是表示普通OS151的执行中的、加密处理设备117的中断发生 时的处理的流程图。是图27的步骤S337的详细情况。
图33是表示普通OS151的执行中的、加密处理设备117的中断发生 时的处理的流程图。上接图32。
图34是表示普通OS151的执行中的、加密处理设备117的中断发生 时的处理的流程图。上接图33。
图35是表示音乐解密程序176的删除处理的流程图。
图36是在便携电话110的动作中、表示程序间的指令的传递。
图37是在便携电话110的动作中、表示程序间的指令的传递。
图38是在便携电话110的动作中、表示程序间的指令的传递。上接 图37。
图39是在便携电话110的动作中、表示程序间的指令的传递。上接 图38。
图40是在便携电话110的动作中、表示程序间的指令的传递。上接 图39。
图41是在便携电话110的动作中、表示程序间的指令的传递。上接 图40。
图42是在便携电话110的动作中、表示程序间的指令的传递。上接 图41。
图43表示存储在普通存储器111中的信息的一例。
图44是表示便携电话100的启动时的动作的流程图。
图45表示存储在安全存储器113中的信息的一例。
图46表示由MMU控制程序184形成的逻辑存储空间的一例。
图47是表示实施方式1的变形例中的各程序的关联的框图。
图48是在实施方式1的变形例中、表示普通OS151及安全OS171 所具有的安全设备驱动器管理表231的结构。
图49表示实施方式2的便携电话400的使用例。
图50是表示无效化列表发布装置250的结构的框图。
图51是表示包含在便携电话400中的存储器保护部414及安全存储 器413的结构的框图。
图52是存储器保护部414的动作的流程图。
图53是存储器保护部414的动作的流程图。上接图52。
图54是表示实施方式2的变形例中的存储器保护部454及安全存储 器453的结构的框图。
图55表示安全OS证书的详细情况。
图56是在实施方式2的变形例中、表示音乐解密程序476所具备的 应用程序证书501、厂商证书511、CA证书521的结构及关联。
图57表示OS无效化列表的结构的一例。
图58表示实施方式3中的无效化列表发布装置的信息存储部610中 存储的信息的一例。
图59表示应用程序固有密钥矩阵592及OS固有密钥矩阵597的结 构。
图60表示应用程序矩阵无效化列表611的详细结构。
图61是表示生成应用程序矩阵无效化列表的的处理过程的流程图。
图62是表示实施方式3的便携电话所具备的存储器保护部571及安 全存储器613的结构的框图。
图63是表示存储器保护部571的验证动作的流程图。
图64是表示应用程序验证部578的音乐解密程序592的验证动作的 流程图。
图65是表示实施方式3的变形例的家庭网络结构的结构图。
图66是表示构成实施方式4的便携电话的存储器保护部701及安全 存储器713的结构的框图。
图67是在实施方式5中、表示安全存储卡820的结构及存储在安全 存储卡820中的信息的一例。
图68是表示实施方式5的便携电话750及安装在便携电话750中的 普通存储卡800及安全存储卡820的结构的框图。
图69是表示存储器保护部764的结构的框图。
图70表示安全存储器表811及普通存储器表861的结构。
图71是表示访问控制部783及ID检测部786的动作的流程图。
图72是表示访问控制部783的动作的流程图。上接图71。
标记说明：
10便携电话网
15基站
20因特网
100便携电话
101调试器IF
102CPU
103MMU
104次存储部
106切换控制部
107中断控制器
108输入部
109显示部
111普通存储器
112共用存储器
113安全存储器
114存储器保护部
116输入输出部
117加密处理设备
118无线通信控制部
119麦克风
120扬声器
121通信部
122天线
123缓存器
124编码处理部
126D/A变换部
130总线
131访问部
132普通输入输出设备
133安全输入输出设备
300存储卡

下面，利用附图详细说明本发明的实施方式。
1、实施方式1
下面，对本发明的实施方式进行说明。
图1表示本发明的便携电话100的使用例。便携电话100安装有存 储卡300。
存储卡300存储有加密的音乐数据，便携电话100从存储卡300读 出并再现音乐数据。
此外，便携电话100经由基站15、便携电话网10、因特网20与内 容传送装置连接。便携电话100经由因特网、便携电话网取得内容传送 装置所存储的由音乐、影像等构成的各种内容。
1.1存储卡300
存储卡300如图2所示，包括：输入输出部301、安全处理部302、 一般区域303及安全区域306。
一般区域303是能够由外部设备自由地访问的存储区域，存储有加 密音乐数据。安全区域306是只有被许可的外部设备能够访问的存储区 域，存储有内容密钥307。
加密音乐数据304……是利用内容密钥307对1曲的音乐数据执行加 密算法E1来生成的。通过乐曲ID来识别各加密音乐数据。
加密算法E1作为一例而采用DES(Data Encryption Standard，数据 加密标准)等。
输入输出部301在外部设备与一般区域303及安全处理部302之间 输入输出各种数据。
安全处理部302在与外部设备之间根据CPRM(Content Protection for Recordable Media，可记录媒体内容保护)的结构进行相互认证，在认证 成功的情况下，共用认证后的设备和密钥。利用共用的密钥，在与外部 设备之间安全地进行数据的输入输出。
另外，对于CPRM，由于是公知的，所以省略说明。此外，也可以 通过其他认证方法进行认证。
1.2便携电话100的结构
便携电话100如图2所示，包括：调试器IF101、CPU102、MMU103、 次存储部104、切换控制部106、中断控制器107、输入部108、显示部 109、普通存储器111、共用存储器112、安全存储器113、存储器保护部 114、输入输出部116、加密处理设备117、无线通信控制部118、麦克风 119、扬声器120、通信部121、天线122、缓存器123、编码处理部124 及D/A变换部126。各电路与总线130连接。
便携电话100具体而言是计算机系统，在普通存储器111、共用存储 器112、安全存储器113、次存储部104中存储有各种计算机程序，CPU102 按照这些计算机程序动作，由此，便携电话100实现其功能的一部分。
(1)次存储部104、共用存储器112
次存储部104由ROM构成，作为一例，如图3所示，存储有加密音 乐解密程序141及音乐解密守护程序142等。
加密音乐解密程序141是对装载到安全存储器113上并执行的音乐 解密程序进行加密而生成的。音乐解密程序是对存储在存储卡300中的 加密音乐数据304进行解密的程序。对其在后面详细说明。
音乐解密守护程序142是装载到普通存储器111上来执行的程序， 与音乐解密程序一一对应。
在音乐解密的处理中，音乐解密程序执行需要高安全性的处理及处 理想要保护的数据的处理，音乐解密守护程序执行不需要高安全性的处 理。对于详细情况在后面叙述。
共用存储器112由RAM构成，是由普通存储器111上的程序及安全 存储上的程序的某个程序都能够使用的存储器。
另外，这里次存储部104由ROM构成，但也可以由硬盘单元构成。
(2)普通存储器111及安全存储器113
普通存储器111由RAM及ROM构成，存储有由CPU102执行的各 种程序。作为一例，如图4所示，存储有普通OS151、库152、音乐再现 程序153、音乐解密守护程序156、普通输入输出设备驱动器157、安全 输入输出条目设备驱动器158、加密条目设备驱动器159、普通切换设备 驱动器160及普通中断处理器161。
安全存储器113由RAM构成，存储有由CPU102执行的各种程序。 安全存储器113经由存储器保护部114与总线130连接。
作为一例，安全存储器113如图6所示，存储有安全OS171、音乐 解密程序176、安全输入输出设备驱动器178、加密设备驱动器179、安 全切换设备驱动器180、安全中断处理器181。
图8是功能地表示存储在普通存储器111及安全存储器113中的各 程序间的关系的框图。实际上，同一存储器上的各程序间的通信是通过 向普通OS151及安全OS171输出系统调用来实现的。此外，通过普通切 换设备驱动器160、安全切换设备驱动器180、及切换控制部106动作， 来切换普通OS151和安全OS171，但在图8中，省略了有关操作系统的 中继及普通OS151和安全OS171的切换的程序。
此外，在图8中，共用存储器112与普通输入输出设备132及加密 处理设备117连接，但这表示共用存储器112所发挥作用的一部分，共 用存储器112也可以被其他程序使用。
<普通OS151>
普通OS151是对装载到普通存储器111上来执行的各种程序进行控 制的基本软件，由控制程序和控制数据构成。
在控制数据中，如图4所示，包含应用程序管理表166。应用程序管 理表166如图5所示，包含多个条目167、168、……。各条目由句柄值、 守护程序地址、应用程序前后关系地址构成。
句柄值是分配给装载到安全存储器113上的安全应用程序的标识符。
在以下的说明中，将装载到安全存储器113上、执行安全处理的应 用程序称作安全应用程序。这里，所谓的安全处理，是指处理想要保护 的数据的处理及需要保护算法本身的处理。
守护程序地址是与安全程序对应地动作的程序的普通存储器111上 的装载地址。
应用程序前后关系地址是保存有对与句柄值对应的安全应用程序委 托安全处理的应用程序的前后关系的普通存储器111上的地址。在前后 关系中，包含CPU102的寄存器值、堆栈指针、MMU的内容等。
如果具体说明条目167，则句柄值“1”是分配给音乐再现程序153 委托安全处理的音乐解密程序176(后述)的标识符。守护程序地址 “0000BBBB”是与音乐解密程序176对应地动作的音乐解密守护程序 156的普通存储器111上的装载地址。应用程序前后关系地址 “0000AAEE”是保存有音乐再现程序153的前后关系的普通存储器111 上的地址。
此外，在控制数据中包含：作为表示普通输入输出设备驱动器157 的识别信息设备的设备ID_A、作为识别安全输入输出条目设备驱动器 158的识别信息的设备ID_B、以及作为表示加密条目设备驱动器159的 识别信息的设备ID_C。它们分别与普通输入输出设备驱动器157、安全 输入输出条目设备驱动器158、及加密条目设备驱动器159的普通存储器 111上的装载地址对应地存储。设备ID_B与表示安全输入输出设备驱动 器178(后述)的识别信息相同，设备ID_C与表示加密设备驱动器179 的识别信息相同。
普通OS151经由共用存储器112内的规定的区域(称作指令区域)， 在与安全OS171之间进行各种指令的收发。此外，在与普通存储器111 上的程序之间也进行各种指令的收发。在与普通存储器111上的程序之 间的指令的收发中，既可以使用共用存储器112，也可以使用普通存储器 111。
图9(a)表示普通OS151所处理的指令的数据构造的一例。指令1000 由指令部1011和数据保存部1012构成。
在保存于指令部1011中的指令中，有安全应用程序登录请求、登录 结束通知、应用程序返回请求、安全应用程序删除指令、删除结束通知、 系统调用、响应通知、安全处理请求、外部处理请求、休眠请求、中断 发生通知等。
在数据保存部1012中，与保存在指令部1011中的指令对应地保存 各种数据及指令1016、表示作为接受数据及指令1016的目的地的程序的 识别信息1013等。
安全应用程序登录请求是在普通存储器111上动作的应用程序请求 使委托安全处理的安全应用程序成为装载到安全存储器113上来可使用 的状态的指令。此时，如图9(b)所示，在数据保存部1012中，保存有 表示安全应用程序的安全应用程序信息和与安全应用程序对应地动作的 程序的守护程序信息。以从音乐再现程序153输出的安全程序登录请求 为例，安全应用程序信息是次存储部104上的存储有加密音乐解密程序 141的地址，守护程序信息是存储有音乐解密守护程序142的地址。另外， 安全应用程序信息及守护程序信息也可以是与加密音乐解密程序141及 音乐解密守护程序142对应的标识符等。
登录结束通知将在安全存储器113上装载了安全应用程序、向安全 应用程序管理表(后述)的登录已结束的情况进行通知。此时，在数据 保存部1012中保存有与登录的安全应用程序对应的句柄值。
应用程序返回请求是结束了被委托的处理的安全应用程序请求向作 为委托源的应用程序的返回的指令。此时，在数据保存部中保存有表示 安全应用程序的识别信息。
安全应用程序删除指令是指示安全存储器113上的安全应用程序的 删除的指令。此时，在数据保存部1012中保存有唯一识别要删除的安全 应用程序的句柄值。
删除结束通知是通知将安全存储器113上的安全应用程序已删除的 情况的指令。此时，在数据保存部1012中保存有唯一识别已删除的安全 应用程序的句柄值。
系统调用是委托从普通存储器111上的应用程序向普通OS151、普 通存储器111上的其他程序中继指令或数据的指令。此时，在数据保存 部1012中，写入有表示委托了中继的应用程序的识别信息和中继目的地 的程序的识别信息、和所中继的数据及指令。
作为一例，图9(c)表示音乐解密守护程序156所输出的系统调用 的数据构造。在指令部1011中保存有系统调用，在数据保存部1012中， 保存有：作为系统调用的发送源的音乐解密守护程序156的句柄值“1”、 和表示作为数据的接受目的地的加密条目设备驱动器159的设备ID_C、 和所中继的数据“处理结果”。
响应通知是通过系统调用而从应用程序接受了指令或数据的程序按 照所接受的指令及数据进行处理、将向系统调用的输出源应用程序通知 处理结果的工作委托给普通OS151。在数据保存部1012中，保存有表示 委托了通知的程序的识别信息和表示通知目的地应用程序的识别信息、 和处理结果等。
作为一例，通过图9(c)所示的系统调用接受了句柄值“1”、设备 ID_C、及处理结果的加密条目设备驱动器159解除排他控制(详细情况 在后面叙述)，将包含句柄值“1”、设备ID_C、及处理结果的响应通知 输出给普通OS151，由此，经由普通OS151将句柄值“1”、设备ID_C、 及处理结果通知给音乐解密守护程序156(详细情况在后面叙述)。
安全处理请求是从普通存储器111上的程序向普通存储器113上的 程序委托指令或数据的中继的指令。此时，在数据保存部1012中，保存 有：表示作为安全处理请求的输出源的程序的识别信息、和表示中继目 的地程序的信息及中继的数据及指令。图9(d)中，作为一例，表示从 音乐解密守护程序156输出的安全处理请求的数据构造。在数据保存部 1012中，保存有表示作为安全处理请求的输出源的音乐解密守护程序156 的句柄值“1”、作为接受目的地的加密设备驱动器179的设备ID_C、和 中继的指令“中断通知”。
外部处理请求是从安全存储器113上的程序向普通存储器111上的 程序委托指令及数据的中继的指令。此时，在数据保存部1012中，保存 有：表示作为安全处理请求的输出源的程序的识别信息、表示中继目的 地程序的识别信息、和中继的数据及指令。图9(e)中，作为一例，表 示从加密设备驱动器179输出的外部处理请求的数据结构。在指令部中 保存有外部处理请求，在数据保存部中，保存有与作为外部处理请求的 输出源的加密设备驱动器179对应的设备ID_C、与作为接受目的地的音 乐解密守护程序156对应的句柄值“1”、和中继的指令“休眠请求”。
休眠请求是委托使向便携电话100所具备的设备的设备驱动器及设 备委托了处理的程序转移到休眠状态的指令。此时，在数据保存部1012 中保存有表示委托休眠请求的设备驱动器的识别信息、和与向设备委托 处理的程序对应的识别信息。
中断发生通知是通知有中断发生的指令。
下面利用图10的流程图说明普通OS151的动作。另外，普通OS151 除了在该流程图中说明的处理以外，也执行各种处理。
这里，对于安全应用程序登录请求、登录结束通知、应用程序返回 请求、安全应用程序删除指令及删除结束通知，具体而言，设普通存储 器111上的应用程序为音乐再现程序153、设安全应用程序为音乐解密程 序176、设与安全应用程序成对动作的程序为音乐解密守护程序156，来 进行说明。
普通OS151如果通过切换处理返回到CPU102，则从共用存储器112 的指令区域中读出指令(步骤S1001)。另外，对于切换处理，在以下的 普通切换设备驱动器160及安全切换设备驱动器180的说明中，详细加 以说明。
将读出后的指令译码(步骤S1002)，如果译码后的指令为登录结束 通知，则将音乐解密守护程序156装载到普通存储器111上(步骤S1004)， 将装载的地址、和包含在登录结束通知的数据保存部中来接受的句柄值 “1”写入到应用程序管理表166的条目167中(步骤S1005)，将句柄值 “1”输出给音乐再现程序153。
如果所读出的指令为外部处理请求(步骤S1002)，则调出与表示包 含在数据保存部中的中继目的地的识别信息对应的程序，向所调出的程 序输出包含在外部处理请求的数据保存部中来接受的信息(步骤S1006)。
如果所读出的指令是中断发生通知(步骤S1002)，则通过清除写入 到CPU102的中断寄存器中的伪数据来解除中断掩码(步骤S1007)。对 于中断掩码，在后面的有关安全中断处理器181的说明中叙述。
在所读出的指令是应用程序返回请求的情况下(步骤S1002)，基于 包含在数据保存部中的句柄值“1”、和应用程序管理表166，返回音乐再 现程序153的前后关系(步骤S1009)。
如果所读出的指令是删除结束通知(步骤S1002)，则将与包含在数 据保存部中的句柄值“1”对应的音乐解密守护程序156从普通存储器111 中删除(步骤S1011)，从应用程序管理表166中将包含句柄值“1”的条 目167删除(步骤S1012)。
接着，接受来自普通存储器111上的各程序的指令(步骤S1013)。
如果接受了系统调用(步骤S1013)，则调出与写入在数据保存部中 的句柄值或表示设备ID等中继目的地的识别信息对应的程序，输出包含 在数据保存部中的信息(步骤S1014)。例如，如果包含有句柄值“1”， 则在应用程序管理表166中选择包含句柄值“1”的条目167，基于所选 择的条目167的守护程序地址调出音乐解密守护程序156，如果包含有设 备ID_C，则调出加密条目设备驱动器159。
此外，虽没有具体地图示，但在接受了响应通知的情况下，也与接 受了系统调用的情况同样，调出与写入在数据保存部中的识别信息对应 的应用程序，输出包含在数据保存部中的信息。
如果接受了休眠请求(步骤S1013)，则使与写入在数据保存部中的 句柄值或设备ID等识别信息对应的程序转移到休眠状态(步骤S1016)。 所谓的休眠状态，是指不进行所有的动作的状态。
如果从音乐解密程序176接受了如图9(b)所示那样在数据保存部 中包含安全应用程序信息和守护程序信息的安全应用程序登录请求(步 骤S1013)，则将音乐再现程序153的前后关系保存到普通存储器111上， 将保存目的地的地址写入到应用程序前后关系地址中，基于安全应用程 序信息，将从次存储部104读出的加密音乐解密程序141写入到共用存 储器112中(步骤S1017)。接着，将安全应用程序登录请求写入到共用 存储器112上(步骤S1018)，将处理转移到步骤S1028。此时的安全应 用程序登录请求在数据保存部中，包含有加密音乐解密程序的共用存储 器112上的写入目的地的地址。
如果从音乐再现程序153接受了安全应用程序删除指令(步骤 S1013)，则将所接受的安全应用程序删除指令写入到共用存储器112中 (步骤S1019)。这里，在数据保存部中，保存有表示作为删除对象的音 乐解密程序176的句柄值“1”。
如果接受了安全处理请求(步骤S1013)，则将所接受的安全处理请 求写入到共用存储器112中(步骤S1021)。接着进行切换处理(步骤 S1028)。
此外，发生了中断，从中断控制器107接受了中断发生通知(步骤 S1023)，启动普通中断处理器161(步骤S1024)。解除普通中断处理器 161的基于中断原因的调查结果而休眠的程序的休眠(步骤S1026)。将 处理转移到步骤S1013。
另外，在本实施方式中，普通OS151与安全OS171经由共用存储器 112传递各种指令，但也可以使用专用寄存器来代替共用存储器112。
<安全OS171>
安全OS171如图6所示，由操作程序172、调试无效化程序173、加 密解密程序174构成。
调试无效化程序173是将伪数据写入到调试器IF101的寄存器中、 使调试器IF101无效的程序。另外，在调试器IF101与CPU102之间具备 开关，调试无效化程序173也可以是通过开闭该开关来构成使调试器 IF101无效的结构。
加密解密程序174预先对解密密钥进行编码，对加密音乐解密程序 进行解密，来生成音乐解密程序。
操作程序172是控制装载到安全存储器113上的各种程序的基本软 件，由控制程序和控制数据构成。在控制部数据中，如图6所示，包含 有安全应用程序管理表186。
安全应用程序管理表186如图7所示，包含多个条目187、188、……。 各条目由句柄值、安全应用程序地址、安全应用程序前后关系地址构成， 与装载在安全存储器113上的安全应用程序对应。
句柄值是分配给各安全应用程序的标识符。
安全应用程序地址是装载有安全应用程序的、安全存储器113上的 地址。安全应用程序前后关系地址是保存有安全应用程序的前后关系的 安全存储器113上的地址。
作为一例，条目187的句柄值“1”是操作程序172分配给音乐解密 程序176的标识符。安全应用程序地址“1111EEEE”是存储有音乐解密 程序176的安全存储器113上的地址，安全应用程序前后关系地址 “11AADDDE”是存储有音乐解密程序176的前后关系的安全存储器113 上的地址。
此外，在控制数据中，包含有作为与安全输入输出设备驱动器178 对应的识别信息的设备ID_B、作为与加密设备驱动器179对应的识别信 息的设备ID_C。它们分别与安全输入输出设备驱动器178及加密设备驱 动器179的安全存储器113上的装载地址对应起来，存储在安全存储器 113上。
这里，设备ID_B及设备ID_C与普通OS151所具有的控制数据中包 含的设备ID_B及设备ID_C相同。
安全OS171通过共用存储器112的指令区域，在与普通OS151之间 进行各种指令的收发。此外，在与安全存储器113上的各程序之间，通 过安全存储器113上的操作程序172所具有的存储区域收发指令。
在以下的说明中，为了便于说明，将操作程序172所进行的处理作 为安全OS171所进行的处理来呈现。
安全OS171所处理的各种指令与普通OS151所处理的指令同样，是 图9(a)所示的构造。在保存于指令部1011中的指令中，有安全登录请 求、登录结束通知、应用程序返回请求、安全应用程序删除指令、删除 结束通知、系统调用、响应通知、安全处理请求、外部处理请求、中断 发生通知等。关于安全登录请求、登录结束通知、应用程序返回请求、 安全应用程序删除指令、删除结束通知、安全处理请求、外部处理请求、 中断发生通知，如在上述有关普通OS151的说明中已经叙述。系统调用 是从安全存储器113上的应用程序向安全存储器113上的其他程序委托 数据及指令的中继的指令，响应通知是通过系统调用而接受了指令及数 据的程序将处理结果等的通知委托给安全OS171的指令。
下面，利用图11的流程图说明安全OS171的动作。这里，对于安全 登录请求、登录结束通知、安全应用程序删除指令、及删除结束通知， 具体而言，设应用程序为音乐再现程序153，设安全应用程序为音乐解密 程序176，设与安全应用程序成对地动作的程序为音乐解密程序156，来 进行说明。另外，安全OS171在该流程图所示的处理以外也进行各种处 理，但由于与本发明没有关系，所以这里不做说明。
通过切换处理，安全OS171返回到CPU102(步骤S1041)。安全OS171 从共用存储器112的指令区域读出指令并解密(步骤S1042)，通过解密 后的指令，进行以下的处理。
如果所读出的指令是安全应用程序登录请求(步骤S1042)，则通过 加密解密程序174对共用存储器112上的加密音乐解密程序进行解密， 生成音乐解密程序176，装载到安全存储器113上(步骤S1043)。将装 载地址及句柄值“1”写入到安全应用程序管理表186的条目187中(步 骤S1044)。接着，将登录结束通知保存在指令部中，生成将句柄值“1” 保存到数据保存部中的登录结束通知，写入到共用存储器112中(步骤 S1046)。接着，转移到切换处理(步骤S1062)。
如果译码后的指令是安全处理请求(步骤S1042)，则调出与保存在 数据保存部中的作为接受目的地的程序的识别信息对应的程序(步骤 S1047)。例如，如果保存有句柄值“1”，则调出音乐再现程序153，如果 保存有设备ID_B，则调出安全输入输出设备驱动器178。接着转移到步 骤S1052。
如果读出的指令是安全应用程序删除指令(步骤S1042)，则提取保 存在数据保存部中的、表示作为删除的对象的程序的句柄值“1”，将与 提取的句柄值“1”对应的音乐解密程序176从安全存储器113上删除， 接着从安全应用程序管理表186中删除条目187(步骤S1049)。
结束了删除时，将删除结束通知写入到共用存储器112中(步骤 1051)。此时，在指令部中保存有删除结束通知，在数据存储部中保存有 句柄值“1”。接着将处理转移到步骤S1062。
接着，安全OS171从安全存储器113上的各程序接受指令(步骤 S1052)。
如果所接受的指令是外部处理请求(步骤S1052)，则将所接受的外 部处理请求写入到共用存储器中(步骤S1053)，将处理转移到步骤 S1062。
如果从安全中断处理器181(后述)接受了表示在某个设备中发生了 中断的中断发生通知，则将所接受的中断发生通知写入到共用存储器112 中(步骤S1054)，将处理转移到步骤S1062。
如果所接受的指令是系统调用(步骤S1052)，则根据保存在数据保 存部中的表示接受目的地的程序的识别信息，调出对应的程序(步骤 S1056)。
如果所接受的指令是应用程序返回请求(步骤S1052)，则将所接受 的应用程序返回请求写入到共用存储器中(步骤S1061)，将处理转移到 步骤S1062。此外，虽没有具体地图示，但响应通知的情况也同样，调出 与包含在数据保存部中的识别信息对应的应用程序。
如果在这些处理的中途发生了中断、从中断控制器107接受到中断 发生通知(步骤S1057)，则启动安全中断处理器181(步骤S1059)，回 到步骤S1052。
<库152>
库152包含有在各种程序中公同利用的函数，作为一例，包含有进 行存储卡300的访问的访问函数。访问函数是调出普通输入输出设备控 制器157、指示数据的读出的函数。
<音乐再现程序153>
音乐再现程序153包含有对利用者显示的各种图像数据，是接受利 用者的操作来将存储在存储卡300中的音乐再现的应用程序。在音乐再 现程序153中，预先将安全应用程序信息和守护程序信息进行编码。安 全应用程序信息是表示音乐再现程序153委托安全处理的程序的信息， 具体而言，是存储有加密音乐解密程序141的次存储部104上的地址。 守护程序信息是表示与安全应用程序信息所示的程序成对的程序的信 息，具体而言，是存储有音乐解密守护程序142的次存储部104上的地 址。
<音乐解密程序176及音乐解密守护程序156>
音乐解密程序176与音乐解密守护程序156通过成对地动作，来实 现加密音乐数据的解密处理。
音乐解密程序176经由普通OS151及安全OS171，从音乐再现程序 153接受解密指令，如图8所示那样经过数据读出步骤、 读出步 骤、解密步骤及音乐数据输出步骤，生成音乐数据，在音乐数据输出步 骤中，作为处理结果，输出缓存器123上的音乐数据的写入目的地地址。
在这些处理中，将不需要高安全性的处理委托给音乐解密守护程序 156。具体而言，通过向安全OS171输出外部处理请求，向音乐解密守护 程序156输出数据读出指令。作为其处理结果，接受共用存储器112上 的加密音乐数据的写入目的地地址。此外，通过向安全OS171的外部处 理请求，向音乐解密守护程序156输出解密指令，作为处理结果，取得 缓存器123上的音乐数据的写入目的地地址。
音乐解密守护程序156经由安全OS171及普通OS151，从音乐解密 程序176接受数据读出指令及解密指令。并且，从普通输入输出设备驱 动器157、安全输入输出条目设备驱动器158、加密条目设备驱动器159、 安全输入输出设备驱动器178、及加密设备驱动器179接受各种指令及数 据。根据所接受的指令及数据进行各种处理。对于音乐解密守护程序156 的处理，利用图12的流程图进行说明。另外，在图9中虽然省略了，但 在音乐解密守护程序156所接受的所有指令、数据中，作为表示接受目 的地即音乐解密守护程序156的识别信息而包含句柄值“1”。
音乐解密守护程序156经由安全OS171接受各种指令及数据(步骤 S011)。音乐解密守护程序156判别所接受的指令(S012)，如果是数据 读出指令，则调出库152的访问函数(步骤S013)。
如果作为表示指令的输出源的识别信息而接受了设备ID_A和处理 结果，则根据外部处理请求，将所接受的处理结果输出给音乐解密程序 176(步骤S014)。此时，在数据保存部中，保存处理结果和表示接受目 的地的句柄值“1”。
如果接受了表示指令的输出源的设备ID_B和休眠请求(步骤S012)， 则通过对普通OS151的系统调用，将所接受的休眠请求向安全输入输出 条目设备驱动器158输出(步骤S015)。此时，在数据保存部中，作为表 示接受目的地的识别信息而保存所接受的设备ID_B，作为表示系统调用 的输出源的识别信息而保存表示音乐解密守护程序156本身的句柄值 “1”。
如果接受了表示指令的输出源的设备ID_B和中断通知(步骤S012)， 则将所接受的中断通知、设备ID_B、和表示音乐解密守护程序156本身 的句柄值“1”保存在安全处理请求的数据保存部中，向普通OS输出， 由此，将所接受的中断通知输出给安全输入输出设备驱动器178(步骤 S016)。
如果经由安全OS171及普通OS151，从音乐解密程序176接受了解 密指令，则通过系统调用向加密条目设备驱动器159输出解密指令(步 骤S017)。
如果通过响应通知而从加密条目设备驱动器159接受了设备ID_C和 解密指令(步骤S012)，则根据安全处理请求，将所接受的解密指令输出 给加密设备驱动器179。此时，在数据保存部中，保存解密指令、所接受 的设备ID_C、和表示音乐解密守护程序156本身的句柄值“1”(步骤 S018)。
如果从普通OS151接受了设备IC_C和休眠请求，则通过系统调用 向加密条目设备驱动器159输出所接受的休眠请求(步骤S019)。此时， 在数据存储部中，作为表示接受目的地的识别信息而保存所接受的设备 ID_C、表示音乐解密守护程序156本身的句柄值“1”、和休眠请求。
如果通过响应通知而从加密条目设备驱动器159接受了设备ID_C和 中断通知(步骤S012)，则根据安全处理请求，将所接受的中断通知输出 给加密设备驱动器179(步骤S021)。在数据保存部中，保存所接受的设 备ID_C、中断通知、和表示音乐解密守护程序156本身的句柄值“1”。
如果从普通OS151接受了设备ID_C和处理结果，则通过系统调用， 将所接受的处理结果输出给加密条目设备驱动器159(步骤S022)。
如果通过响应通知而从加密条目设备驱动器159接受了设备ID_C和 处理结果，则根据安全处理请求，将所接受的处理结果输出给音乐解密 程序176(步骤S023)。
<普通输入输出设备驱动器157>
普通输入输出设备驱动器157预先具有设备ID_A作为表示普通输入 输出设备驱动器157本身的识别信息。
普通输入输出设备驱动器157是控制构成输入输出部116的普通输 入输出设备132的程序。
此外，普通输入输出设备驱动器157存储有排他标志。在普通输入 输出设备132动作中设定为排他标志“1”，如果不在动作中，则设定为 排他标志“0”。如果在接受了输入输出的处理指令时为排他标志“1”， 则普通输入输出设备132处于动作中，输出表示不能接受处理的错误通 知。
<安全输入输出条目设备驱动器158及安全输入输出设备驱动器 178>
安全输入输出设备驱动器178及安全输入输出条目设备驱动器158 预先具有相同的识别信息、设备ID_B。
安全输入输出设备驱动器178及安全输入输出条目设备驱动器158 成对进行控制，由此，安全输入输出设备133正常动作。安全输入输出 设备驱动器178进行安全输入输出设备133的控制中的作为安全的处理 的输入输出处理的委托及处理结果的取得，安全输入输出条目设备驱动 器158进行不需要高安全性的处理、即休眠及中断的检测。
在本实施方式中，安全输入输出设备驱动器178经由安全OS171从 音乐解密程序176接受内容密钥读出指令。当接受到内容密钥读出指令 时，向加密处理设备117指示读出内容密钥。接着，通过向安全OS171 输出外部处理请求，向音乐解密守护程序156输出休眠请求，此时，在 指令的数据保存部中，保存休眠请求、作为表示接受目的地的识别信息 而保存从音乐解密程序176接受的句柄值“1”、作为表示指令的输出源 的识别信息而保存表示安全输入输出设备驱动器178本身的设备ID_B。
接着，安全输入输出设备驱动器178经由安全OS171从音乐解密守 护程序156接受中断通知、从安全输入输出设备133取得内容密钥的保 存地址作为处理结果。通过向安全OS171的响应通知，将所接受的处理 结果输出给音乐解密程序176。
安全输入输出条目设备驱动器158经由普通OS151从音乐解密守护 程序156接受休眠请求。接受了休眠请求后，对普通OS151输出存储在 数据保存部中的包括句柄值“1”和设备ID_B的休眠请求。
接着，当通过普通OS151解除了休眠时，安全输入输出条目设备驱 动器158通过响应通知，经由普通OS151向音乐解密守护程序156输出 中断通知。此时，在数据保存部中，保存“休眠请求”、设备ID_B、和 句柄值“1”。
<加密设备驱动器179及加密条目设备驱动器159>
加密设备驱动器179及加密条目设备驱动器159预先作为识别信息 而具有设备ID_C。
通过加密设备驱动器179和加密条目设备驱动器159成对进行控制， 加密处理设备117能够正常地动作。在加密处理设备117的控制中，加 密设备驱动器179进行解密处理的委托和处理结果的取得，加密条目设 备驱动器159进行排他控制、休眠、及中断通知。
在本实施方式中，具体而言，加密条目设备驱动器159通过系统调 用从音乐解密守护程序156接受解密指令。接受了解密指令后，进行排 他标志的排他控制。即，如果排他标志是“1”，则输出错误通知，中止 以下的处理，如果排他标志是“0”，则将排他标志变更为“1”。
接着，通过将数据保存部中包含所接受的解密指令、句柄值“1”、 和加密条目设备驱动器159本身所具有的设备ID_C的响应通知输出给普 通OS151，将解密指令输出给音乐解密守护程序156。
接着，通过系统调用从音乐解密守护程序156接受休眠请求。接着， 向普通OS151输出休眠请求。此时，在休眠请求的数据保存部中，保存 包含在系统调用中而接受的句柄值“1”和设备ID_C。
接着，通过普通OS151解除休眠。解除休眠，通过响应通知将中断 通知输出给音乐解密守护程序156。
接着，经由普通OS151从音乐解密守护程序156接受处理结果。接 受了处理结果后，解除排他控制，将排他标志返回为“0”。通过响应通 知，将所接受的处理结果输出给音乐解密守护程序156。
加密设备驱动器179通过安全处理请求，经由安全OS171从音乐解 密守护程序156接受解密处理指令，对加密处理设备117委托解密。接 着，加密设备驱动器179向安全OS171输出外部处理请求，该外部处理 请求包括保存在数据保存部中的加密设备驱动器179本身所具有的设备 ID_C、与解密处理指令一起接受的句柄值“1”、和休眠请求。
接着，通过向安全OS171的安全处理请求，从音乐解密守护程序156 接受中断通知，从加密处理设备117接受缓存器123上的写入目的地地 址作为处理结果。通过将在数据保存部中包含有所接受的处理结果、句 柄值“1”、和设备ID_C的外部处理请求输出给安全OS171，将处理结果 输出给音乐解密守护程序156。
<普通切换设备驱动器160及安全切换设备驱动器180>
普通切换设备驱动器160及安全切换设备驱动器180是从普通 OS151或安全OS接受切换指示、将切换指示输出给切换控制部106、将 CPU102的使用权从普通OS151转移给安全OS171、或从安全OS171转 移给普通OS151的程序。
(a)切换处理1
下面利用图13说明从普通OS151向安全OS171的切换处理。另外， 这是图10的步骤S1028及图16以后的流程图的切换处理1的详细情况。
普通切换设备驱动器160被普通OS151调出、接受切换指示(步骤 S162)。接受了切换指示后，将普通OS151的前后关系保存到普通存储 器111上(步骤S163)。接着，向切换控制部106输出切换指示(步骤 S164)。
切换控制部106在将CPU102及MMU103清空后，向存储器保护部 114输出连接指示，将安全存储器113与总线130连接(步骤S166)。接 着，切换控制部106调出安全存储器113上的安全切换设备驱动器180 (步骤S167)。
当安全切换设备驱动器180如果被调出时，将安全OS171的前后关 系返回给CPU102(步骤S168)。
安全OS171通过调试无效化程序173，使调试器IF101无效化(步 骤S169)。
(b)切换处理2
下面，利用图14的流程图说明从安全OS171向普通OS151的切换 处理。另外，这是图11的步骤S1062及图16以后的流程图的切换处理2 的详细情况。
安全OS171通过调试无效化程序173使调试器IF101有效化(步骤 S176)，调出安全切换设备驱动器180，输出切换指示(步骤S177)。
安全切换设备驱动器180保存安全OS171的前后关系(步骤S178)， 向切换控制部106输出切换指示。
切换控制部106接受切换指示，将CPU102及MMU103清空后，向 存储器保护部114输出切断指示，将安全存储器113与总线130切断(步 骤S181)。接着，调出普通存储器111上的普通切换设备驱动器160(步 骤S182)。
普通切换设备驱动器160将普通OS151的前后关系返回给CPU102 (步骤S183)。
另外，在此，在从安全OS171向普通OS151切换时，使调试器IF101 为有效，但也可以不使其有效。在此情况下，对便携电话100接通电源， 最初在从普通OS151向安全OS171切换时，通过调试无效化程序173使 调试器IF101无效，然后，在从安全OS171向普通OS151的切换处理中、 在从普通OS151向安全OS171的切换处理中，都使调试器IF101保持无 效的状态。
此外，在本实施方式中，通过安全OS171所具有的调试无效化程序 173使调试器IF101无效化及有效化，但普通OS151也可以包含调试无 效化程序。此外，调试无效化程序也可以是装载在普通存储器111上、 受普通OS151管理的独立的程序。
此外，普通OS151及安全OS171也可以分别具有调试无效化程序。 在此情况下，普通OS151所具有的调试无效化程序使调试器IF101无效 化，安全OS171所具有的调试无效化程序使调试器IF有效化。此外，也 可以相反地，安全OS171所具有的调试无效化程序使调试器IF无效化， 普通OS151所具有的调试无效化程序使调试器IF101有效化。
此外，这些调试无效化程序也可以分别作为独立的程序装载在普通 存储器111及安全存储器113上。
<普通中断处理器161及安全中断处理器181>
普通中断处理器161在普通OS151及由普通OS151控制的程序的执 行中、在发生了中断的情况下、由普通OS151调出。如果从普通OS151 调出、接受了中断发生通知，则控制中断控制器107，调查发生中断的主 因。接着，将表示发生了中断的设备的识别信息和中断通知输出给普通 OS151。
在安全OS171及由安全OS171控制的程序的执行中、在发生了中断 的情况下，安全OS171调出安全中断处理器181。如果安全中断处理器 181被安全OS171调出、接受了中断发生通知，则通过向CPU102的中 断检测用寄存器写入伪数据，来实施中断掩码处理，将中断发生通知输 出给安全OS171。
(3)输入输出部116
输入输出部116如图8所示，由访问部131、普通输入输出设备132 及安全输入输出设备133构成。
访问部131与存储卡300连接，在存储卡300与普通输入输出设备 132及安全输入输出设备133之间进行信息的输入输出。
普通输入输出设备132通过普通输入输出设备驱动器157的控制， 进行对存储卡300的一般区域303的数据读出及写入。作为一例，如果 作为自变量而接受乐曲ID、收到读出请求，则将与所接受的乐曲ID对 应的加密音乐数据从一般区域303中读出，将所读出的加密音乐数据写 入到共用存储器112中。
在写入结束后，如果从普通输入输出设备驱动器157接受了结果请 求，则作为处理结果，输出写入了加密音乐数据的、共用存储器112上 的地址。
安全输入输出设备133通过安全输入输出设备驱动器178的控制， 在与存储卡300的安全处理部302之间，根据CPRM的结构进行相互认 证。仅在相互认证成功的情况下共用密钥，利用所共用的密钥安全地进 行对安全区域306的数据写入及读出。
此外，在认证失败的情况下，将表示不能访问存储卡300的卡错误 通知输出给安全输入输出设备驱动器178。
这里，安全输入输出设备133是仅在访问存储卡300的安全区域306 的情况下使用的设备，访问存储卡300的安全区域306的程序并没有限 制。因而，由于不会有从多个应用程序同时委托处理的情况，所以不需 要进行排他控制。
(4)加密处理设备117
加密处理设备117通过加密设备驱动器179的控制，进行各种数据 的加密处理。在本实施方式中，从加密设备驱动器179接受存储有加密 音乐数据的共用存储器112上的地址、和存储有内容密钥的安全存储器 113上的地址，指示对加密音乐数据进行解密。利用内容密钥，对加密音 乐数据实施解密算法D1，生成音乐数据，将所生成的音乐数据写入到缓 存器123中。将写入目的地的地址作为处理结果输出给加密设备驱动器 179。解密算法D1是对通过加密算法E1生成的加密文本进行解密的算 法。
这里，加密处理设备117是对各种加密后的数据进行解密的设备， 也进行从内容发送服务器发送的加密内容等的解密。因而，加密处理设 备117有可能从多个不同的程序委托解密处理，需要进行排他控制。
(5)CPU102
CPU102具备指令取出部、指令译码器、运算器、程序计数器、寄存 器等，从普通存储器111或安全存储器113上的程序中取出指令，对取 出的指令译码，执行译码后的指令。
(6)MMU103
MMU103通过将逻辑地址变换为物理地址来实现虚拟存储功能。
(7)调试器IF101及中断控制器107
调试器IF101是用来将便携电话100与外部的调试器连接的接口。
中断控制器107检测各种中断，向CPU102的中断检测用寄存器输 出中断发生通知。
(8)切换控制部106及存储器保护部114
切换控制部106从普通存储器111上的普通切换设备驱动器160、或 安全存储器113上的安全切换设备驱动器180接受切换指示，通过存储 器保护部114将总线130与安全存储器113连接或切断。切换控制部106 及存储器保护部114的详细动作，在上述(a)切换处理1及(b)切换 处理2中所说明那样。
(9)无线通信控制部118、通信部121及天线122
通信部121在无线通信控制部118、便携电话网10、连接到因特网 20上的外部设备之间，通过天线122进行信息的收发。
无线通信控制部118具备基带部、调制解调部、放大器等，进行经 由通信部121及天线122收发的各种信息的信号处理。
(10)缓存器123、编码处理部124、D/A变换部126
缓存器123暂时存储音乐数据。
编码处理部124对存储在缓存器123中的音乐数据实施按照MP3等 编码技术的解密处理，输出给D/A变换部126。
D/A变换部126将由编码处理部124解密的音乐数据变换为模拟声 音信号，输出给扬声器120。
(11)输入部108、显示部109、麦克风119及扬声器120
输入部108具备数字密钥、决定按钮等各种按钮，接受使用者的这 些操作。
显示部109具备VRAM、液晶画面，显示各种画面。
麦克风119检测声音，将检测到的声音输出给无线通信控制部118。
扬声器120从无线通信控制部118及D/A变换部126接受模拟声音 信号，输出基于所接受的声音信号的声音。
1.3便携电话100及存储卡300的动作
图15～图35所示的流程图是表示便携电话100的动作的流程图。图 36～图40是表示便携电话100的动作中的各程序间的指令的收发的次序 图。利用这些流程图及次序图说明便携电话100的动作。
另外，对于次序图与流程图对应的处理，赋予相同的步骤号。此外， 如在对普通OS151及安全OS171的说明中已经叙述，普通存储器111及 安全存储器113上的各程序通过系统调用、响应通知、外部处理请求、 安全处理请求，委托普通OS151及安全OS171向其他程序中继指令及数 据。在图15～图40及以下的说明中，省略了系统调用、响应通知、外部 处理请求、安全处理请求的记载，各程序仅记载了保存在这些指令的数 据保存部中并输出的识别信息、数据及指令。
(1)便携电话100的动作
利用图15所示的流程图说明便携电话100的动作。
便携电话100通过输入部108接受利用者的按钮操作(步骤S101)。 在所接受的操作表示音乐再现的情况下，启动音乐再现程序153(步骤 S102)。在所接受的按钮操作表示其他处理的情况下，进行其他处理(步 骤S103)。
接着，进行音乐解密程序的登录处理(步骤S104)。接着，向音乐解 密程序176委托解密处理(步骤S106)。音乐解密程序176的解密结束后， 通过按照MP3的方法将所生成的音乐数据展开，变换为模拟数据而生成 模拟音乐数据，将所生成的模拟音乐数据通过扬声器120输出(步骤 S107)。重复步骤S106～108，直到通过输入部108接受到表示音乐再现 结束的按钮操作(步骤S108)。
接受到表示音乐再现结束的按钮操作后(步骤S108中的是)，进行 音乐解密程序的删除处理(步骤S109)。
(2)音乐解密程序的登录
图16～图17是详细地表示音乐解密程序的登录处理中的各程序的 动作的流程图。这与图36中的步骤S132～步骤S153的次序对应。利用 图16～图17所示的流程图及图36的次序图，说明音乐解密程序的登录 处理。
音乐再现程序153预先读出已编码的守护程序信息和安全应用程序 信息(步骤S131)。将安全应用程序登录请求、所读出的守护程序信息、 及安全应用程序信息输出给普通OS151(步骤S132)。
普通OS151接受了安全应用程序登录请求后，保存音乐再现程序153 的前后关系，将保存目的地的地址写入到应用程序管理表的条目167的 应用程序前后关系地址中(步骤S133)。接着，从次存储部104中读出与 所接受的安全应用程序信息对应的加密音乐解密程序141，写入到共用存 储器112中(步骤S134)。接着，将安全应用程序登录请求写入到共用存 储器112的指令区域中(步骤S136)，转移到切换处理1(步骤S137)。
切换处理1结束后，安全OS171从共用存储器112中读入安全应用 程序登录请求(步骤S138)。接着，通过加密解密程序，将共用存储器 112上的加密音乐解密程序进行解密而生成音乐解密程序，将所生成的音 乐解密程序写入到安全存储器113上(步骤S139)。对音乐解密程序设定 句柄值“1”，在安全应用程序管理表186的条目187的句柄值中写入“1”， 将写入了音乐解密程序176的安全存储器113上的地址写入到安全应用 程序地址中(步骤S141)。
接着，将登录结束通知和句柄值“1”写入到共用存储器112中(步 骤S143)，将处理转移到切换处理2(步骤S144)。
普通OS151从共用存储器112读出登录结束通知和句柄值“1”(步 骤S146)。将所读出的句柄值“1”写入到应用程序管理表166的条目167 中(步骤S147)。基于守护程序信息，从次存储部104中读出音乐解密守 护程序142，写入到普通存储器111上(步骤S149)。将普通存储器111 上的音乐解密守护程序156的写入目的地地址写入到应用程序管理表 166的条目167中(步骤S151)。
接着，基于条目167的应用程序前后关系地址，将音乐再现程序153 的前后关系返回给CPU102(步骤S152)，将所接受的句柄值“1”输出 给音乐再现程序153(步骤S153)。
音乐再现程序153将所接受的句柄值“1”写入到普通存储器111中 的音乐再现程序153本身的存储区域中(步骤S154)。
(3)向音乐解密程序的处理委托
图18～图27的流程图表示通过音乐再现程序153的委托、音乐解密 程序176对加密音乐数据进行解密时的各程序的动作。这与图36的步骤 S193～图42的步骤S347对应。
音乐再现程序153显示包含曲目列表等的选择画面，接受利用者的 乐曲选择(步骤S191)。读出表示所接受的乐曲的乐曲ID和句柄值“1” (步骤S192)。将所读出的乐曲ID作为自变量，将自变量、句柄值“1”、 和解密处理指令输出给普通OS151(步骤S193)。
普通OS151将音乐再现程序153的前后关系保存在普通存储器111 上(步骤S196)，将保存目的地的地址写入到应用程序管理表166的包含 句柄值“1”的条目167中(步骤S197)。接着，将所接受的自变量、句 柄值“1”、和解密处理指令写入到共用存储器112中(步骤S198)，进行 切换处理1(步骤S199)。
安全OS171在切换处理1结束后(步骤S199)，从共用存储器112 读出自变量、句柄值“1”、和解密处理指令(步骤S201)。在安全应用程 序管理表186上，基于包含所读出的句柄值“1”的条目187的安全应用 程序地址，启动音乐解密程序176(步骤S202)，将所读出的自变量、句 柄值“1”、和解密处理指令输出给音乐解密程序176(步骤S203)。
音乐解密程序176从安全OS171接受自变量和解密处理指令，存储 所接受的自变量(乐曲ID)。接着，CPU102执行音乐解密程序176(数 据读出步骤)(步骤S204)。音乐解密程序176读出乐曲ID(步骤S206)， 将所读出的乐曲ID作为自变量，将数据读出指令、自变量、和句柄值“1” 输出给安全OS171(步骤S208)。
安全OS171从音乐解密程序176接受数据读出指令、自变量、和句 柄值“1”，将音乐解密程序176的前后关系保存在安全存储器113上， 将保存目的地的地址写入到安全应用程序管理表186的条目187中(步 骤S209)。接着，将所接受的数据读出指令、自变量、和句柄值“1”写 入到共用存储器112中(步骤S211)，转移到切换处理2(步骤216)。
在切换处理2结束后(步骤S216)，普通OS151从共用存储器112 读出数据读出指令、自变量、和句柄值“1”(步骤S217)。选择应用程序 管理表166的包含句柄值“1”的条目167，通过包含在所选择的条目167 中的守护程序地址，启动音乐解密守护程序156(步骤S218)。将所读出 的数据读出指令、自变量、和句柄值“1”输出给音乐解密守护程序156 (步骤S219)。
音乐解密守护程序156接受数据读出指令、自变量、和句柄值“1”。 接受了数据读出指令后，调出保存在库152中的访问函数，输出自变量 和句柄值“1”(步骤S221)。被音乐解密守护程序156调出的访问函数将 读出请求、自变量、设备ID_A、和所接受的句柄值“1”输出给普通OS151 (步骤S222)。普通OS151将读出请求、自变量、设备ID_A、和所接受 的句柄值“1”输出给与所接受的设备ID_A对应的普通输入输出设备驱 动器157(步骤S223)。
普通输入输出设备驱动器157接受读出请求、自变量、及句柄值“1”。 接着，判断排他标志是否是“0”(步骤S224)。如果排他标志是“1”(步 骤S224中为否)，则普通输入输出设备驱动器157输出表示普通输入输 出设备132处于动作中、不能接受新的读出请求的错误通知。
音乐解密守护程序156经由普通OS151及访问函数接受错误通知， 经过一定时间后再次输出读出请求。此外，也可以将所接受的错误通知 经由普通OS151、安全OS171输出给音乐解密程序176，并中止解密处 理。
如果判断排他标志为“0”(步骤S224中为是)，则将排他标志变更 为“1”(步骤S227)，将所接受的自变量输出给普通输入输出设备132， 并指示读出数据(步骤S231)。
普通输入输出设备132接受自变量(乐曲ID)和读出请求，开始从 存储卡300的一般区域303中的与所接受的乐曲ID对应的加密音乐数据 304的读出、以及所读出的加密音乐数据304向共用存储器112的写入(步 骤S236)。
普通输入输出设备驱动器157向普通输入输出设备132输出了读出 请求后(步骤S231)，向普通OS151输出包含普通输入输出设备驱动器 157本身所具有的设备ID_A及所接受的句柄值“1”的休眠请求(步骤 S232)。
普通OS151接受了休眠请求后，使与句柄值“1”对应的音乐解密守 护程序156、和与设备ID_A对应的普通输入输出设备驱动器157成为休 眠状态(步骤S233，步骤S234)。接着，通过任务安排，将CPU102分 配给可执行状态的其他程序(步骤S238)。
在普通输入输出设备132的处理结束后，发生中断，音乐解密守护 程序156取得处理结果(步骤S239)。对于步骤S239中的中断发生时的 处理1在后进行说明。此外，步骤S239的处理与图37的步骤S463～478 的次序对应。
在中断发生时的处理1(步骤S239)中，音乐解密守护程序156取 得加密音乐数据的共用存储器112上的写入目的地地址，作为普通输入 输出设备132的处理结果。将所取得的处理结果和句柄值“1”写入到共 用存储器112中(步骤S242)，进行切换处理1(步骤S244)。
在切换处理1(步骤S2244)结束后，安全OS171从共用存储器112 中读出句柄值“1”和处理结果(步骤S251)。从安全应用程序管理表186 中选择包含所读出的句柄值“1”的条目187，通过条目187的安全应用 程序前后关系地址，将音乐解密程序176的前后关系返回给CPU102(步 骤S252)。接着，将所读出的处理结果和句柄值“1”输出给音乐解密程 序176(步骤S254)。
音乐解密程序176接受加密音乐数据的写入目的地地址，作为处理 结果，将所接受的写入目的地地址存储在自身的存储区域中。
接着，CPU102执行音乐解密程序176(内容密钥读出步骤)(步骤 S256)。音乐解密程序176将包含内容密钥读出指令、设备ID_B、和表 示音乐解密程序176本身的句柄值“1”的系统调用输出给安全OS171(步 骤S257)。
安全OS171接受内容密钥读出指令、设备ID_B、和句柄值“1”，将 所接受的内容密钥读出指令、设备ID_B、和句柄值“1”输出给与所接 受的设备ID_B对应的安全输入输出设备驱动器178(步骤S258)。
安全输入输出设备驱动器178接受内容密钥读出指令、设备ID_B、 和句柄值“1”，将内容密钥读出指令输出给安全输入输出设备133(步骤 S259)。
安全输入输出设备133接受内容密钥读出指令，接着在与存储卡300 的安全处理部302之间进行相互认证(步骤S262)。如果认证成功(步骤 S262中的是)，则开始内容密钥的取得(步骤S266)。
在认证为失败的情况下，输出卡错误通知，中止上述内容密钥的取 得(步骤S264)。在此情况下，音乐解密守护程序156及音乐解密程序 176中止解密处理，音乐再现程序153显示通知存储卡300不可读取的画 面。
安全输入输出设备驱动器178接着向安全OS171输出休眠请求、所 接受的句柄值“1”、和表示安全输入输出设备驱动器178本身的设备ID_B (步骤S271)。另外，这里所输出的休眠请求不是向安全OS171请求休 眠处理，而是保存到外部处理请求的数据保存部中、使音乐解密守护程 序156中继的指令。
安全OS171从安全输入输出设备驱动器178接受休眠请求、句柄值 “1”、和设备ID_B，将所接受的休眠请求、句柄值“1”、和设备ID_B 写入到共用存储器112中(步骤S272)。接着，转移到切换处理2(步骤 S273)。
在切换处理结束后(步骤S273)，普通OS151从共用存储器112中 读出休眠请求、句柄值“1”、和设备ID_B(步骤S274)。基于包含所读 出的句柄值“1”的条目168，启动音乐解密守护程序156(步骤S276)， 输出所读出的休眠请求、设备ID_B、和句柄值“1”(步骤S277)。
音乐解密守护程序156从普通OS151接受休眠请求、设备ID_B、和 句柄值“1”。接受了休眠请求后，将包含休眠请求、设备ID_B、和句柄 值“1”的系统调用输出给普通OS151(步骤S278)。
安全OS171将所接受的休眠请求、设备ID_B、和句柄值“1”输出 给与所接受的设备ID_B对应的安全输入输出条目设备驱动器158(步骤 S281)。
安全输入输出条目设备驱动器158经由普通OS151从音乐解密守护 程序156接受了休眠请求后，将包含设备ID_B和句柄值“1”的休眠请 求输出给普通OS151(步骤S282)。
普通OS151接受休眠请求、设备ID_B、和句柄值“1”。接受了休眠 请求后，对与所接受的设备ID_B对应的安全输入输出条目设备驱动器 158、和与所接受的句柄值“1”对应的音乐解密守护程序156进行休眠 处理(步骤S283，步骤S284)。
接着，普通OS151进行任务安排，将CPU分配给可执行状态的其他 程序(步骤S286)。
安全输入输出设备133的内容密钥的取得结束，通过中断发生时的 处理2(步骤S287)，音乐解密程序176取得处理结果。对于步骤S287 的中断发生时的处理2，在后面进行说明。此外，步骤S287的处理与图 38的步骤S512～图39的步骤S541对应。
在步骤S287中，音乐解密程序176取得存储有内容密钥的安全存储 器113上的地址，作为处理结果。接着，CPU102执行音乐解密程序176 (解密步骤)(步骤S291)。音乐解密程序176将安全存储器113上的存 储有内容密钥的地址和共用存储器112上的存储有加密音乐数据的地址 作为自变量，将解密指令、自变量、和句柄值“1”输出给安全OS171(步 骤S292)。
安全OS171从音乐解密程序176接受解密指令、自变量、和句柄值 “1”。接着，将所接受的解密指令、自变量、和句柄值“1”写入到共用 存储器112中(步骤S293)，进行切换处理2(步骤S294)。
在切换处理2结束后(步骤S294)，普通OS151从共用存储器112 中读出解密指令、自变量、和句柄值“1”(步骤S296)。利用所读出的句 柄值“1”和应用程序管理表166，启动音乐解密守护程序156，将所读 出的解密指令、自变量、和句柄值“1”输出给音乐解密守护程序156(步 骤S297)。
音乐解密守护程序156从普通OS151接受解密指令、自变量、和句 柄值“1”。接受了解密指令后，将所接受的解密指令、自变量、设备ID_C、 和句柄值“1”输出给普通OS151(步骤S298)。
普通OS151从音乐解密守护程序156接受解密指令、自变量、设备 ID_C、和句柄值“1”，将所接受的解密指令、自变量、设备ID_C、和句 柄值“1”输出给与所接受的设备ID_C对应的加密条目设备驱动器159 (步骤S301)。
加密条目设备驱动器159经由普通OS151从音乐解密守护程序156 接受自变量、解密指令、设备ID_C、和句柄值“1”。在接受了解密指令 时，如果排他标志是“1”(步骤S303中的否)，则输出表示加密处理设 备117已经处于动作中、不接受新的处理的委托的错误通知(步骤S304)。 此时，接受了错误通知的音乐解密守护程序156经过一定时间后再次输 出解密指令。
如果排他标志是“0”(步骤S303中的是)，则将排他标志变更为“1” (步骤S306)，将所接受的自变量、解密指令、句柄值“1”及设备ID_C 输出给普通OS151(步骤S307)。
普通OS调出与所接受的句柄值“1”对应的音乐解密守护程序156， 输出所接受的自变量、解密指令、句柄值“1”及设备ID_C(步骤S308)。
音乐解密守护程序156经由普通OS151从加密条目设备驱动器159 接受解密指令、自变量、句柄值“1”、和设备ID_C。接着，将所接受的 自变量、解密指令、设备ID_C、及句柄值“1”输出给普通OS151(步 骤S309)。
普通OS151从音乐解密守护程序156接受解密指令、自变量、设备 ID_C、和句柄值“1”，将所接受的解密指令、自变量、设备ID_C、和句 柄值“1”写入到共用存储器112中(步骤S312)，进行切换处理2(步 骤S313)。
在切换处理2结束后(步骤S313)，安全OS171从共用存储器112 读出解密指令、自变量、设备ID_C、和句柄值“1”(步骤S314)。基于 所读出的设备ID_C，启动加密设备驱动器179(步骤S315)，将所读出 的解密指令、自变量、设备ID_C、和句柄值“1”输出给加密设备驱动 器179(步骤S316)。
加密设备驱动器179从安全OS171接受解密指令、自变量、设备 ID_C、和句柄值“1”，将所接受的自变量输出给加密处理设备117，命 令进行解密(步骤S317)。
加密处理设备117从加密设备驱动器179收到解密指令后，从安全 存储器113读出内容密钥，利用所读出的内容密钥，对共用存储器112 上的加密音乐数据实施解密算法D1而生成音乐数据，将所生成的音乐数 据输出给缓存器123(步骤S318)。
加密设备驱动器179在向加密处理设备117命令解密后，将休眠请 求、从安全OS171接受的句柄值“1”、和表示加密设备驱动器179本身 的设备ID_C输出给安全OS171(步骤S321)。另外，这里所输出的休眠 请求是并不向安全OS171请求休眠处理，而保存在外部处理请求的数据 保存部中、使音乐解密守护程序156中继的指令。
安全OS171从加密设备驱动器179接受休眠请求、句柄值“1”、和 设备ID_C，将所接受的休眠请求、句柄值“1”、和设备ID_C写入到共 用存储器112中(步骤S322)。接着，进行切换处理2(步骤S323)。
在切换处理2结束后(步骤S323)，普通OS151从共用存储器112 读出句柄值“1”、和设备ID_C、及休眠请求(步骤S326)。基于所读出 的句柄值“1”和应用程序管理表166启动音乐解密守护程序156，将所 读出的休眠请求、句柄值“1”、和设备ID_C输出给音乐解密守护程序 156(步骤S327)。
音乐解密守护程序156从普通OS151接受休眠请求、句柄值“1”、 和设备ID_C。将所接受的休眠请求、设备ID_C、和表示音乐解密守护 程序156本身的句柄值“1”输出给普通OS151(步骤S328)。普通OS151 将所接受的休眠请求、设备ID_C、和句柄值“1”输出给与所接受的设 备ID_C对应的加密条目设备驱动器159(步骤S329)。
加密条目设备驱动器159经由普通OS151，从音乐解密守护程序156 接受休眠请求、设备ID_C、和句柄值“1”。接着，将休眠处理、所接受 的句柄值“1”、和加密条目设备驱动器159本身所具有的设备ID_C输出 给普通OS151(步骤S332)。
普通OS151从加密条目设备驱动器159接受休眠请求、句柄值“1”、 和设备ID_C，使与所接受的句柄值“1”对应的音乐解密守护程序156 成为休眠状态(步骤S333)。接着，使与所接受的设备ID_C对应的加密 条目设备驱动器159成为休眠状态(步骤S334)。接着，进行任务安排， 将CPU分配给可执行状态的程序(步骤S336)。
加密处理设备117的解密处理结束，在中断发生时的处理3中，音 乐解密程序176接受加密处理设备117的处理结果(步骤S337)。对于步 骤S337，在后面进行说明。另外，步骤S337对应于图37的步骤S552～ 图38的步骤S606。
作为加密处理设备117的处理结果，音乐解密程序176取得音乐数 据的缓存器123上的写入目的地地址。接着，CPU102执行音乐解密程序 176(音乐数据输出步骤)(步骤S338)。音乐解密程序176将音乐数据的 写入目的地地址作为处理结果，将处理结果、应用程序返回请求、和句 柄值“1”输出给安全OS171(步骤S339)。
安全OS171接受应用程序返回请求、处理结果、和句柄值“1”，将 所接受的应用程序返回请求、处理结果、和句柄值“1”写入到共用存储 器112中(步骤S341)。接着进行切换处理2(步骤S342)。
在切换处理2结束后(步骤S342)，普通OS151从共用存储器112 中读出应用程序返回请求、处理结果、和句柄值“1”(步骤S344)。基于 应用程序管理表166的包含句柄值“1”的条目167，返回音乐解密程序 176的前后关系(步骤S346)。接着，将所读出的处理结果输出给音乐解 密程序176(步骤S347)。
(4)中断发生时的处理1
利用图28所示的流程图，说明中断发生时的处理1。这是图21的步 骤S239的详细情况。此外，与图37的步骤S463～478的次序对应。
普通输入输出设备132结束了加密音乐数据的读出后(步骤S462)， 发生中断(步骤S463)。
中断控制器107检测中断的发生，向普通OS151输出中断发生通知 (步骤S464)。普通OS151接受中断发生通知，基于中断表，启动普通 中断处理器161(步骤S466)。接着，向普通中断处理器161输出中断发 生通知(步骤S467)。
普通中断处理器161控制中断控制器107，调查中断的原因(步骤 S468)。接着，将与发生了中断的普通输入输出设备对应的设备ID_A和 中断通知输出给普通OS151(步骤S469)。
普通OS151从普通中断处理器161接受中断通知和设备ID_A。将与 所接受的设备ID_A对应的普通输入输出设备驱动器157、以及与普通输 入输出设备驱动器157一起实施了休眠处理的音乐解密守护程序156解 除休眠(步骤S471，步骤S472)，将CPU102分配给普通输入输出设备 驱动器157。
普通输入输出设备驱动器157被解除休眠，向普通输入输出设备132 输出结果请求(步骤S473)，作为处理结果，从普通输入输出设备132 取得共用存储器112上的加密音乐数据的写入目的地地址(步骤S474)。 取得了处理结果后，将排他标志设定为“0”(步骤S476)，将所取得的处 理结果、作为表示读出请求的输出源的识别信息而接受的句柄值“1”、 和表示普通输入输出设备驱动器157本身的设备ID_A，输出给普通 OS151(步骤S477)，普通OS151将所接受的处理结果、句柄值“1”、 和设备ID_A输出给与句柄值“1”对应的音乐解密守护程序156(步骤 S478)。
(5)中断发生时的处理1-2
上述中断发生时的处理1表示在普通OS151或受普通OS151管理的 普通存储器111上的程序的执行中发生了中断时的动作。这里，利用图 29的流程图，对安全OS171或受安全OS171管理的程序的执行中发生了 中断时的动作进行说明。
普通输入输出设备132结束了加密音乐数据的读出后(步骤S491)， 发生中断(步骤S492)。
中断控制器107检测中断，向安全OS171输出中断发生通知(步骤 S493)。
安全OS171从中断控制器107接受中断发生通知。接受了中断发生 通知后，启动安全中断处理器181(步骤S494)，输出中断发生通知(步 骤S496)。
安全中断处理器181接受中断发生通知，向CPU102进行中断掩码 处理(步骤S497)，向安全OS171输出中断发生通知(步骤S498)。
安全OS171从安全中断处理器181接受中断发生通知，将所接受的 中断发生通知写入到共用存储器112中(步骤S499)。接着，安全OS171 与普通OS151进行切换处理2(步骤S501)。
在切换处理2结束后(步骤S501)，从共用存储器112读出中断发生 通知，解除CPU的中断掩码(步骤S502)。
这里，中断控制器107由于没有被清空，所以持续输出中断发生通 知，步骤S502以后的处理与图28的步骤S464以后的处理相同。
(6)中断发生时的处理2
下面，利用图30～图31的流程图，对中断发生时的处理2进行说明。 这是图23的步骤S287的详细情况。此外，这与图38的步骤S512～图 39的步骤S541的次序对应。
安全输入输出设备133结束内容密钥的读出后(步骤S511)，产生中 断(步骤S512)。
中断控制器107检测中断的发生，将中断发生通知输出给普通OS151 (步骤S513)。
普通OS151从中断控制器107接受中断发生通知，启动普通中断处 理器161(步骤S514)。接着，向普通中断处理器161输出中断发生通知 (步骤S516)。
普通中断处理器161接受中断发生通知，调查发生中断的主因(步 骤S517)。检测到安全输入输出设备133发生了中断的情况，将与安全输 入输出设备133对应的设备ID_B和中断通知输出给普通OS151(步骤 S518)。
普通OS151从普通中断处理器161接受中断通知和设备ID_B。接着， 将与所接受的设备ID_B对应的安全输入输出条目设备驱动器158、和与 安全输入输出条目设备驱动器158一起实施了休眠处理的音乐解密守护 程序156的休眠解除(步骤S519，步骤S521)。将CPU102分配给安全 输入输出条目设备驱动器158。
安全输入输出条目设备驱动器158被解除休眠，将中断通知、作为 表示休眠请求的输出源的识别信息而接受的句柄值“1”、和安全输入输 出条目设备驱动器158本身所具有的设备ID_B输出给普通OS151(步骤 S523)。
普通OS151将所接受的中断通知、句柄值“1”、和设备ID_B输出 给与所接受的句柄值“1”对应的音乐解密守护程序156(步骤S524)。
音乐解密守护程序156接受中断通知、句柄值“1”、和设备ID_B， 将所接受的中断通知、设备ID_B、和表示音乐解密守护程序156本身的 句柄值“1”输出给普通OS151(步骤S527)。
普通OS151从音乐解密守护程序156接受中断通知、设备ID_B、和 句柄值“1”。将所接受的中断通知、设备ID_B、和句柄值“1”写入到 共用存储器112中(步骤S529)，转移到切换处理1(步骤S531)。
在切换处理1结束后，安全OS171从共用存储器112中读出中断通 知、设备ID_B、和句柄值“1”(步骤S532)，基于所读出的设备ID_B， 启动安全输入输出设备驱动器178(步骤S533)。接着，将所读出的中断 通知、设备ID_B、和句柄值“1”输出给安全输入输出设备驱动器178 (步骤S534)。
安全输入输出设备驱动器178接受中断通知、设备ID_B、和句柄值 “1”，向安全输入输出设备133请求处理结果(步骤S536)。作为处理结 果，从安全输入输出设备133接受安全存储器113上的内容密钥保存地 址(步骤S537)。将包含所接受的处理结果、句柄值“1”、和设备ID_B 的响应通知输出给安全OS171(步骤S539)。
安全OS171将所接受的处理结果、句柄值“1”、和设备ID_B输出 给与所接受的句柄值“1”对应的音乐解密程序176(步骤S541)。
到此为止，在利用图30～图31进行的说明中，说明了普通OS151 或由普通OS151管理的普通存储器111上的程序的执行中的中断发生时 的动作，但安全OS171及由安全OS171管理的程序的执行中的中断发生 时的动作与上述中断发生时的处理1-2大致相同，只要将图26中的普 通输入输出设备变更为安全输入输出设备就可以。步骤S502以后的处理 下接图30的步骤S513。
(7)中断发生时的处理3
下面利用图32～图34的流程图，对中断发生时的处理3进行说明。 这是图27的步骤S337的详细情况。此外，中断发生时的处理3与图40 的步骤S552～图41的步骤S606的次序对应。
加密处理设备117在结束了加密音乐数据的解密后，发生中断(步 骤S552)。
中断控制器107检测中断的发生，向普通OS151输出中断发生通知 (步骤S553)。
普通OS151从中断控制器107接受中断发生通知，启动普通中断处 理器161(步骤S556)。将中断发生通知输出给普通中断处理器161(步 骤S557)。
普通中断处理器161接受了中断发生通知后，调查发生中断的主因 (步骤S558)。检测到加密处理设备117发生了中断，将设备ID_C和中 断通知输出给普通OS151(步骤S561)。
普通OS151从普通中断处理器161接受中断通知和设备ID_C。将与 所接受的设备ID_C对应的加密条目设备驱动器159、以及与加密条目设 备驱动器159一起实施了休眠处理的音乐解密守护程序156的休眠解除 (步骤S562，步骤S563)，将CPU102分配给加密条目设备驱动器159。
加密条目设备驱动器159被解除了休眠后，将中断通知、句柄值“1”、 和表示本身的设备ID_C输出给普通OS151(步骤S564)。
普通OS151接受中断通知、句柄值“1”、和设备ID_C，将中断通知、 句柄值“1”、和设备ID_C输出给与所接受的句柄值“1”对应的音乐解 密守护程序156(步骤S567)。
音乐解密守护程序156经由普通OS151从加密条目设备驱动器159 接受设备ID_C和中断通知。接着，将所接受的中断通知及设备ID_C、 和与音乐解密守护程序156本身对应的句柄值“1”输出给普通OS151(步 骤S568)。
普通OS151从音乐解密守护程序156接受中断通知、设备ID_C、和 句柄值“1”，将所接受的中断通知、设备ID_C、和句柄值“1”写入到 共用存储器112中(步骤S571)。
接着，普通OS151及安全OS171进行切换处理1(步骤S572)。
在切换处理1结束后，安全OS171从共用存储器112中读出中断通 知、设备ID_C、和句柄值“1”(步骤S576)。基于所读出的设备ID_C， 启动加密设备驱动器179，输出所读出的中断通知、设备ID_C、和句柄 值“1”(步骤S577)。
加密设备驱动器179接受中断通知、设备ID_C、和句柄值“1”，向 加密处理设备117请求处理结果(步骤S578)。作为处理结果，从加密处 理设备117取得缓存器123中的音乐数据的写入目的地地址(步骤S579)。
加密设备驱动器179将所取得的处理结果、所接受的句柄值“1”、 和表示加密设备驱动器179本身的设备ID_C输出给安全OS171(步骤 S582)。
安全OS171从加密设备驱动器179接受处理结果、句柄值“1”、和 设备ID_C，将所接受的处理结果、句柄值“1”、和设备ID_C写入到共 用存储器112中(步骤S583)。
接着，安全OS171及普通OS151进行切换处理2(步骤S584)。
在切换处理2结束后，普通OS151从共用存储器112中读出句柄值 “1”、处理结果、和设备ID_C(步骤S586)。基于所读出的句柄值“1”， 启动音乐解密守护程序156，将所读出的处理结果、句柄值“1”、和设备 ID_C输出给音乐解密守护程序156(步骤S587)。
音乐解密守护程序156从普通OS151接受处理结果、句柄值“1”、 和设备ID_C。将包含所接受的处理结果、设备ID_C、和表示音乐解密 守护程序156本身的句柄值“1”的系统调用输出给普通OS151(步骤 S588)。
普通OS151将所接受的处理结果、设备ID_C、和句柄值“1”输出 给与设备ID_C对应的加密条目设备驱动器159(步骤S589)。
加密条目设备驱动器159经由普通OS151从音乐解密守护程序156 接受处理结果、设备ID_C、和句柄值“1”，将排他标志变更为“0”(步 骤S592)。接着，加密条目设备驱动器159通过向普通OS151的响应通 知(步骤S596)，将所接受的处理结果、句柄值“1”、和设备ID_C输出 给音乐解密守护程序156(步骤S597)。
音乐解密守护程序156经由安全OS171从音乐解密守护程序156接 受处理结果、句柄值“1”、和设备ID_C。接着，将所接受的处理结果和 句柄值“1”输出给普通OS151(步骤S598)。
普通OS151从音乐解密守护程序156接受处理结果和句柄值“1”， 将所接受的处理结果和句柄值“1”写入到共用存储器112中(步骤S601)。
接着，普通OS151和安全OS171进行切换处理1(步骤S602)。
在切换处理1结束后，安全OS171从共用存储器112中读出句柄值 “1”和处理结果(步骤S603)。基于安全应用程序管理表186上的包含 句柄值“1”的条目187，返回音乐解密程序176的前后关系(步骤S604)， 将所读出的处理结果输出给音乐解密程序176(步骤S606)。
到此为止，在利用图32～图34的说明中，说明了普通OS151或由 普通OS151管理的普通存储器111上的程序的执行中的中断发生时的动 作，但安全OS171及由安全OS171管理的程序的执行中的中断发生时的 动作与上述中断发生时的处理1-2大致相同，只要将图29中的普通输 入输出设备变更为加密处理设备就可以。步骤S502以后的处理下接图32 的步骤S553。
(7)音乐解密程序的删除
利用图35所示的流程图，说明音乐解密程序的删除处理。这是图15 的步骤S109的详细情况。此外，音乐解密程序的删除处理与图42的步 骤S611～618的次序对应。
音乐解密程序176将安全应用程序删除指令和句柄值“1”输出给普 通OS151(步骤S611)。
普通OS151从音乐解密程序176接受句柄值“1”和安全应用程序删 除指令，将所接受的句柄值“1”和安全应用程序删除指令写入到共用存 储器112中(步骤S612)。
接着，普通OS151及安全OS171进行切换处理1(步骤S613)。
在切换处理1结束后，安全OS171从共用存储器112中读出安全应 用程序删除指令和句柄值“1”(步骤S614)。基于安全应用程序管理表 186上的包含句柄值“1”的条目的安全应用程序地址，将音乐解密程序 176从安全存储器113上删除(步骤S616)，将包含句柄值“1”的条目 187从安全应用程序管理表186中删除(步骤S617)。
接着，将句柄值“1”和删除结束通知写入到共用存储器112中(步 骤S618)。
接着，安全OS171和普通OS151进行切换处理2(步骤S619)。
在切换处理2结束后，普通OS151从共用存储器112中读出删除处 理结束通知和句柄值“1”(步骤S621)。基于句柄值“1”和应用程序管 理表166，将音乐解密守护程序156从普通存储器111中删除(步骤S622)。 接着，将删除结束通知输出给音乐再现程序153(步骤S623)，将包含句 柄值“1”的条目167从应用程序管理表166中删除(步骤S624)。
1.3总结·效果
如以上说明，在本发明的便携电话100中，被装载到普通存储器111 上而执行的音乐再现程序153将想要保护的处理、具体而言是加密音乐 数据的解密处理委托给装载到安全存储器113上而执行的音乐解密程序 176。
音乐解密程序176和普通存储器111上的音乐解密守护程序156成 对动作，有关加密音乐数据的解密的一系列处理中的想要保护的处理由 音乐解密程序176分担，不需要保护的处理由音乐解密守护程序156承 担。
通过这样分担处理，音乐解密程序176本身的程序尺寸变小，音乐 解密程序176所保持的数据、变量等也减少。进而，通过来自音乐解密 程序176的委托，音乐解密守护程序156使用保存在普通存储器111上 的库中的函数。因此，在安全存储器113上不再需要保持库。
因而，在音乐解密程序176及音乐解密守护程序156的一系列解密 处理中，能够削减想要确保的安全存储器113的容量，能够减轻保护安 全存储器113的保护机构的负荷。
对于与作为受安全OS171管理的、要保护的设备的加密处理设备117 的控制有关的处理，对于不需要保护的排他控制、休眠、中断的通知， 由装载到普通存储器111上而执行的加密条目设备驱动器159来执行。
如果沿着时间的经过考察该动作，则普通OS151通过来自音乐解密 守护程序156的系统调用，使加密条目设备驱动器159转移到执行状态。 加密条目设备驱动器159进行排他控制，调出音乐解密守护程序156。音 乐解密守护程序156通过普通OS151及安全OS171，调出加密设备驱动 器179。安全OS171使加密设备驱动器179转移到执行状态。加密设备 驱动器179在对加密处理设备117指示了解密处理后，输出休眠请求。 加密条目设备驱动器159通过安全OS171、普通OS151及音乐解密守护 程序156接受了休眠请求后，向普通OS151委托休眠处理，普通OS151 使加密条目设备驱动器159转移到休眠状态。
接着，加密处理设备117的处理结束，发生中断，普通OS151解除 音乐解密守护程序156的休眠，使其转移到执行状态。加密条目设备驱 动器159输出中断通知，音乐解密守护程序156通过普通OS151及安全 OS171，将中断通知输出给加密设备驱动器179。普通OS151将CPU102 分配给加密设备驱动器179，设为执行状态。
这样，加密设备驱动器179和加密条目设备驱动器159相对应地进 行状态转移。因而，普通OS151能够通过加密条目设备驱动器159，管 理由安全OS171管理的加密处理设备117的使用状态。
对于由安全OS171管理的设备即安全输入输出设备133也同样，通 过控制安全输入输出条目设备驱动器158，普通OS151能够监视和控制 安全输入输出设备133的动作。
1.4便携电话100的其他动作
下面对便携电话100的初始动作及虚拟存储器空间的构造进行说明。
(1)引导程序
图43表示存储在普通存储器111中的数据的一例。这表示便携电话 100刚启动后的普通存储器111内的状况。
普通OS151、库152、普通输入输出设备驱动器157、安全输入输出 条目设备驱动器158、加密条目设备驱动器159、普通切换设备驱动器 160、普通中断处理器161如已说明那样。
引导程序162预先存储在构成普通存储器111的ROM中，引导程序 162虽没有具体地图示，但是是由包含在便携电话100中的启动部读出并 执行的程序。
启动部在对便携电话100接通了电源后马上从普通存储器111读出 引导程序162，按照所读出的引导程序162动作。下面，通过按照引导程 序162动作的启动部的动作，说明引导程序。
首先，引导程序162将CPU102的寄存器、MMU103清空，对切换 控制部106输出初始化请求。引导程序162从切换控制部106接受通知 安全存储器113上的程序的初始化结束的初始化结束通知之后，将普通 OS151、普通切换设备驱动器160等装载到普通存储器111上，进行初始 化。
(2)便携电话100的初始动作
便携电话100在启动时由切换控制部106及引导程序进行初始化。 对于便携电话100的启动时的动作，利用图44所示的流程图进行说明。
当便携电话100的电源变为接通状态、开始了电力供给(步骤S651) 时，启动部启动引导程序162(步骤S652)。引导程序162首先通过将 CPU102及MMU103的寄存器清空，来进行初始化(步骤S653)。接着， 向切换控制部106输出初始化请求(步骤S654)。
切换控制部106接受初始化请求，从次存储部104读出加密安全OS (步骤S656)。将所读出的加密安全OS进行解密而生成安全OS(步骤 S657)。接着，通过存储器保护部114将总线130与安全存储器113连接 (步骤S658)。将所生成的安全OS写入到安全存储器113上，进行初始 化(步骤S659)。接着，从次存储部104读出安全切换设备驱动器，装载 到安全存储器113上(步骤S661)。
接着，通过存储器保护部114将安全存储器113与总线130切断(步 骤S662)，将初始化结束通知输出给引导程序162(步骤S663)。
引导程序162从切换控制部106接受初始化结束通知，接着，将普 通OS151、普通切换设备驱动器160等程序装载到普通存储器上，进行 初始化(步骤S664)。
另外，在上述说明中，设加密安全OS、安全切换设备驱动器存储在 次存储部104上来进行了说明，但也可以存储在外部的存储介质等上。
(3)普通OS151及安全OS171的初始化动作
普通输入输出设备驱动器157、安全输入输出条目设备驱动器158、 加密条目设备驱动器159是在普通OS151的管理下、常驻在普通存储器 111中的程序。
此外，安全输入输出设备驱动器178及加密设备驱动器179是在安 全OS171的管理下、常驻在安全存储器113上的程序。
引导程序162将普通OS151及普通切换设备驱动器160等装载到普 通存储器111上，结束初始化后，启动安全OS151。
普通OS151启动后，首先，搜索装载在普通存储器111上的程序， 判断是否装载了普通输入输出设备驱动器157、安全输入输出条目设备驱 动器158、加密条目设备驱动器159，如果没有装载，则从次存储部104 读出并装载。
在普通OS151装载安全输入输出条目设备驱动器158及加密条目设 备驱动器159时，通过安全OS171将安全输入输出设备驱动器178及加 密设备驱动器179也装载到安全存储器113上。
普通OS151及安全OS171的该动作由于与已经说明的音乐解密程序 的登录处理类似，所以在这里进行简单说明。另外，假设次存储部104 预先存储有将各设备驱动器及条目设备驱动器进行加密而生成的加密条 目设备驱动器。
当判断为未装载安全输入输出条目设备驱动器时，普通OS151从次 存储部104中读出安全输入输出条目设备驱动器，写入到普通存储器111 中。将写入目的地的地址与安全输入输出条目设备驱动器158对应起来 进行存储。接着，将指示设备驱动器的装载的设备驱动器登录请求和表 示安全输入输出设备驱动器的设备ID_B写入到共用存储器112中。接着， 向普通切换设备驱动器160输出切换指示。
在切换处理结束后，安全OS171返回CPU102。从共用存储器112 读出设备驱动器登录请求和设备ID_B。读出与设备ID_B对应的加密安 全输入输出条目设备驱动器，通过加密解密程序174将所读出的加密条 目设备驱动器进行解密，生成安全输入输出条目设备驱动器，写入到安 全存储器113中。将写入目的地的地址与设备ID_B对应起来进行存储。
接着，将设备驱动器登录结束通知写入到共用存储器112中，向安 全切换设备驱动器180输出切换指示。
在切换处理结束、并返回CPU102后，普通OS151从共用存储器112 中读出设备驱动器登录结束通知。
接着，对加密条目设备驱动器也同样装载。
(4)MMU控制程序184的虚拟存储空间
虽然此前没有言及，但安全OS171如图45所示那样包含有MMU控 制程序184。MMU控制程序184是由MMU103执行的程序，通过将安 全存储器113、共用存储器112、及次存储部104的物理地址与逻辑地址 进行变换，构建虚拟存储空间。
图46表示通过MMU控制程序184实现的虚拟存储空间的一例。如 图45所示，假设在安全存储器113上装载有音乐解密程序176和通信密 钥生成程序185。音乐解密程序176及通信密钥生成程序185是安全应用 程序。
音乐解密程序176及通信密钥生成程序185分别装载在虚拟空间 201、虚拟空间204中。在各个程序中分别分配有普通共用空间202和普 通共用空间206。普通共用空间202和普通共用空间206是各个程序与普 通存储器111上的程序共用的虚拟空间。
音乐解密程序176不能访问虚拟空间204及普通共用空间206。此外， 通信密钥生成程序185不能访问虚拟空间201及普通共用空间202。
安全共用空间207是从音乐解密程序176及通信密钥生成程序185 中的哪个都能够访问、但不能从普通OS151的管理下动作的程序访问的 虚拟空间。
安全OS171被装载在虚拟空间208中。安全OS171能够访问虚拟空 间201及204，但不能从音乐解密程序176及通信密钥生成程序185访问 虚拟空间208。
这样，MMU控制程序184控制为将各自的虚拟空间分配给各应用程 序，使它们不能相互访问。
另外，MMU控制程序184在安全存储器113、共用存储器112、及 次存储部104上实现上述虚拟存储空间。MMU控制程序184也可以包含 加密处理程序，在将存储于安全存储器113上的数据在次存储部104上 出页面时，对数据进行加密，在从次存储部104页面调入到安全存储器 113上时进行解密。
此外，也可以使音乐解密程序176及通信密钥生成程序185能够相 互访问各自的普通共用空间。
1.5实施方式1的变形例
(1)在实施方式1中，说明了通过音乐解密程序176与音乐解密守 护程序156成对地动作来实现加密音乐数据的解密处理，但也可以是图 47所示那样的结构。
在该结构中，在普通存储器111上，代替音乐再现程序153而装载 有音乐再现程序153b。音乐再现程序153b包含外部处理管理器156b而 构成，外部处理管理器156b与上述的音乐解密守护程序156同样，分担 加密音乐数据的解密处理中的不需要保护的处理。并且，进行音乐解密 程序176与普通OS151之间的各种信息及指令的输入输出。
在该结构的情况下，应用程序管理表166的各条目由句柄值和应用 程序前后关系地址构成。普通OS151接受了包含句柄值“1”的指令，作 为表示接受目的地的识别信息后，基于应用程序管理表166，返回音乐再 现程序153的前后关系，将CPU102分配给外部处理管理器的线程。
根据这样的结构，由于音乐再现程序153包含有外部处理管理器 156b，所以在音乐解密程序的登录处理时，不需要将音乐解密守护程序 156装载到普通存储器上，而能够缩短在实施方式1中说明的登录处理。
(2)另外，在本实施方式中，通过相同的识别信息设备ID_B识别 安全输入输出条目设备驱动器158和安全输入输出设备驱动器178，但也 可以通过不同的识别信息来识别。对于加密条目设备驱动器159和加密 设备驱动器179也同样。
具体而言，普通OS151及安全OS171在各自的存储区域中具有图48 所示的安全设备驱动器管理表231，作为控制数据。
图48所示的安全设备驱动器管理表231包含2个安全设备驱动器管 理信息232、234。各安全设备驱动器管理信息由条目设备驱动器标识符 和安全设备驱动器标识符构成。安全设备驱动器标识符是表示控制由安 全OS171管理的设备的设备驱动器的识别信息，条目设备驱动器标识符 是表示与上述设备驱动器成对地动作的普通存储器111上的程序的识别 信息。具体而言，安全设备驱动器管理信息232由作为识别安全输入输 出条目设备驱动器158的信息的设备ID_B、和作为识别与安全输入输出 条目设备驱动器158成对地动作的安全输入输出设备驱动器178的信息 的“100”构成。安全设备驱动器管理信息234由作为表示加密条目设备 驱动器159的识别信息的设备ID_C、和作为表示与加密条目设备驱动器 159成对地动作的加密设备驱动器179的识别信息“101”构成。
安全设备驱动器管理表231是在普通OS151及安全OS171启动时生 成的，当将安全输入输出条目设备驱动器装载到普通存储器111上时， 普通OS151将作为表示安全输入输出条目设备驱动器的识别信息的设备 ID_B写入到共用存储器112中，转移到切换处理。
在切换处理结束后，安全OS171从共用存储器112中读出设备ID_B， 接着，从次存储部104中读出加密安全设备驱动器，并解密后，装载到 安全存储器113上。这里，生成包含表示已装载的安全输入输出设备驱 动器的识别信息“100”和所接受的设备ID_B的安全设备驱动器管理信 息232，写入到安全存储器113上。接着，将识别信息“100”写入到共 用存储器112上，转移到切换处理。
在切换处理结束后，普通OS151从共用存储器112中读出识别信息 “100”，生成由所读出的识别信息“100”、和表示安全输入输出条目设 备驱动器158的设备ID_B构成的安全设备驱动器管理信息，写入到普通 存储器111上。
对于安全设备驱动器管理信息234也同样。
普通OS151利用上述那样生成的安全设备驱动器管理表231，管理 安全输入输出条目设备驱动器158及加密条目设备驱动器159。此外，安 全OS171利用安全设备驱动器管理表231，管理安全输入输出设备驱动 器178及加密设备驱动器179。
(3)在上述实施方式中，安全OS171包含有调试无效化程序，但也 可以是安全切换设备驱动器180具备该功能。
在该结构中，安全切换设备驱动器180每次被从切换控制部106调 出时，首先使调试器IF101无效化，接着返回安全OS171的前后关系。
此外，如果从安全OS171接受了切换指示，则在保存了安全OS171 的前后关系后，使调试器IF101变为有效，向切换控制部106输出切换 指示。
这样，在安全OS171返回CPU102之前，通过使调试器IF101无效 化，能够更可靠地防止安全OS171的动作被外部的调试器装置检测、操 作。
此外，也可以由切换控制部106使调试器IF101无效化、有效化， 来代替安全存储器113上的程序。
(4)在上述实施方式1中，普通输入输出设备驱动器157及加密条 目设备驱动器159利用排他标志进行排他控制，如果排他标志为“1”， 则输出错误通知。但是，也可以在各驱动器动作的期间储存所接受的处 理委托。
在此情况下，普通输入输出设备驱动器157及加密条目设备驱动器 159具备存储所接受的处理委托的QUEUE，如果接受了处理请求，则将 所接受的处理委托保存在QUEUE中，来代替确认排他标志。
普通输入输出设备驱动器157在普通输入输出设备132结束处理后 取得处理结果。接着，从QUEUE中读出接下来的处理委托，输出给普 通输入输出设备132。
加密条目设备驱动器159接受处理结果，将所接受的处理结果输出 后，从QUEUE中读出下一个处理委托。将所读出的处理委托输出给加 密设备驱动器179。
此外，代替QUEUE，也可以具备加密条目设备驱动器159专用的缓 存区域，将所接受的处理委托、和所接受的处理委托的优先级对应起来 写入到缓存区域中。
在此情况下，在加密处理设备117的处理结束、接受了处理结果后， 加密设备驱动器179读出优先级高的处理委托，输出给加密处理设备 117。
(5)在上述实施方式中，安全切换设备驱动器180进行安全OS171 的前后关系的保存及返回，但也可以由普通切换设备驱动器160来进行。
在此情况下，在从安全OS171向普通OS151的切换处理2时，安全 OS171向切换控制部106输出切换指示。切换控制部106将切断指示输 出给存储器保护部114，将安全存储器113与总线130切断。接着，调出 普通切换设备驱动器160。普通切换设备驱动器160将包含CPU102的寄 存器、MMU103的内容等的安全OS171的前后关系保存在普通存储器111 上，将CPU102及MMU103清空，返回普通OS151的前后关系。
在从普通OS151向安全OS171的切换处理1时，如果从普通OS151 接受了切换指示，则普通切换设备驱动器160保存普通OS151的前后关 系，将CPU102及MMU103清空。接着，返回安全OS171的前后关系， 向切换控制部106输出切换指示。
这样，通过由普通存储器111上的普通切换设备驱动器160进行安 全OS171的前后关系的保存和返回，在安全存储器113上不再需要安全 切换设备驱动器180。因而，能够削减安全存储器113的容量。
(6)在上述实施方式及变形例中，便携电话100通过MMU103形 成虚拟存储空间。但是，也可以是不使用虚拟存储空间的结构。在此情 况下，存储在各存储器中的数据及程序通过物理地址来管理。
因而，在这样的结构的情况下，不再需要进行与前后关系的保存及 返回有关的MMU的内容的保存。
此外，在此情况下，也可以是不保存安全OS171的前后关系的结构。 当从切换控制部106调出安全切换设备驱动器180时，则将安全OS171 的开头地址返回给CPU102，从最初开始启动安全OS171。
(7)此外，在上述实施方式中，便携电话100具备装载到普通存储 器111上的普通OS151和装载到安全存储器113上的安全OS171，但也 可以是不具备普通OS151的结构。
如在便携电话100的初始动作中所说明那样，在接通电源后，首先， 启动引导程序162。引导程序162在将CPU102及MMU103初始化后， 向切换控制部106输出初始化请求，切换控制部106将安全OS171及安 全切换设备驱动器180装载到安全存储器113上。
安全OS171将各种程序装载到安全存储器113及普通存储器111上。
普通存储器111上的各程序将包括系统调用的所有指令代替普通 OS151而输出给普通切换设备驱动器160。
普通切换设备驱动器160从普通存储器111上的程序接受了指令后， 将所接受的指令写入到规定的存储区域中，进行切换处理。安全OS171 返回CPU102后，从规定的存储区域中读出指令。
这样，安全OS171控制普通存储器111及安全存储器113上的各程 序。
此外，反之也可以是不具备安全OS171的结构。在此情况下，安全 切换设备驱动器180或切换控制部106具备调试无效化程序。
安全存储器113上的各程序将包括系统调用的所有指令输出给安全 切换设备驱动器180。安全切换设备驱动器180将所接受的指令写入到共 用存储器112上的指令区域中，向切换控制部106输出切换指示。
普通OS151返回CPU102后，从共用存储器112的指令区域中读出 从安全存储器113上的程序输出的指令。
这样，也可以由普通OS151控制普通存储器111及安全存储器113 上的各程序。
(8)在上述实施方式及变形例中，切换控制部106及存储器保护部 114通过将安全存储器113与总线130切断，来保护安全存储器113上的 程序及数据不受外部的访问。
也可以通过存储器保护部114将安全存储器113内的数据进行加密 及解密来进行保护，以代替上述方式。切换控制部106向存储器保护部 114指示加密或解密，来代替连接指示或切断指示。
存储器保护部114通过切换控制部106的指示，将安全存储器113 内的数据进行加密或解密。
此外，也可以不是将安全存储器113内的所有数据，而是根据需要 仅将音乐再现程序153的代码部分、数据部分、或堆栈部分进行加密。 对于安全OS171、加密设备驱动器179、安全输入输出设备驱动器178 等也同样。
(9)在上述实施方式及变形例中，普通OS151管理应用程序管理表 166，利用应用程序管理表166，调出与相应的应用程序及与安全应用程 序相对应的程序(例如音乐解密守护程序156)。但是，在与音乐再现程 序153同样地存在多个对安全应用程序委托处理的应用程序的情况下， 也可以是除普通OS151之外，具备进行应用程序管理表166的管理、和 程序的调出的程序的结构。将该程序称作守护程序控制程序。
在此情况下，当普通切换设备驱动器160被由切换控制部106调出 时，代替普通OS151而启动守护程序控制程序。守护程序控制程序从共 用存储器112中读出指令，根据包含在所读出的识别信息，调出相应的 程序。
此外，各应用程序以及以音乐解密守护程序156为代表的程序将安 全处理请求输出给守护程序控制程序，来代替普通OS151。
守护程序控制程序将所接受的安全处理请求写入共用存储器112中， 向普通切换设备驱动器160输出切换指示。
(10)到此为止，作为本发明的一个实施方式，对便携电话100进 行了说明，但也可以是具有同样功能的信息处理装置、例如个人电脑等。
在此情况下，普通存储器111及安全存储器113包含RAM及硬盘而 构成。在上述说明中，安全OS171及音乐解密程序176被加密而存储在 次存储部104中，但也可以存储在安全存储器113上的硬盘部分。
2、实施方式2
下面，对本发明的实施方式2进行说明。
图49表示本发明的实施方式2的便携电话400的使用例。便携电话 400经由基站15、便携电话网10、因特网20，与无效化列表发布装置250 连接。
无效化列表发布装置250管理有关已无效化的程序的信息，生成表 示这些程序的无效化肋板，经由因特网20将所生成的无效化列表发送给 便携电话400。
便携电话400从无效化列表发布装置250接受无效化列表，基于接 收到的无效化列表，判断自身所存储的程序是否是无效的。
2.1无效化列表发布装置250
无效化列表发布装置250如图50所示，由通信部251、署名生成部 252、密钥存储部253、散列生成部254、控制部257、信息存储部260、 输入部262及显示部263构成。
具体而言，无效化列表发布装置250是包含微处理器、RAM、ROM 而构成的计算机系统。在RAM、ROM中存储有计算机程序，通过上述 微处理器按照上述计算机程序动作，无效化列表发布装置250实现上述 功能。
(1)信息存储部260
信息存储部260如图50所示，存储有OS无效化列表266及应用程 序无效化列表276。
OS无效化列表266由发行者ID267、列表ID268、以及无效化ID269、 270、271……构成。
发行者ID267表示OS无效化列表的发行者，作为一例，是无效化 列表发布装置250的装置ID、无效化列表发布装置250的管理者的识别 信息等。
列表ID268是表示OS无效化列表266的新旧的信息，这里，将OS 无效化列表266的制成日“20041015”作为列表ID268。
无效化ID269、270、271……是无效化的操作系统的识别信息。
应用程序无效化列表276由发行者ID277、列表ID278、无效化ID279、 280、281……构成。发行者ID277是表示应用程序无效化列表的发行者 的信息，作为一例，是无效化列表发布装置250的装置ID、无效化列表 发布装置250的管理者的识别信息等。
列表ID278是表示应用程序无效化列表276的新旧的信息。这里， 将应用程序无效化列表276的制成日“20041009”作为列表278。
无效化ID279、280、281……是无效化的应用程序的识别信息。
(2)通信部251
通信部251与因特网20连接，在控制部257与连接到因特网20上 的外部设备之间进行信息的收发。这里，所谓的外部设备是便携电话400。
(3)散列生成部254
散列生成部254从控制部257接受OS无效化列表266和散列生成指 示。并且，接受应用程序无效化列表276和散列生成指示。
接受了散列生成指示后，将所接受的OS无效化列表266或应用程序 无效化列表276代入到散列函数中，生成160字节的OS摘要数据或应用 程序摘要数据。这里，在散列函数中作为一例而采用SHA-1。对于散列 函数SHA-1，由于是公知的技术，所以省略说明。此外，也可以使用其 他散列函数。
将所生成的OS摘要数据或应用程序摘要数据输出给控制部257。
(4)密钥存储部253及署名生成部252
密钥存储部253存储有无效化列表发布装置250所固有的发行装置 密密钥、和与上述发行装置密密钥对应的发行装置公开密钥。
署名生成部252从控制部257接受OS摘要数据或应用程序摘要数 据，被指示进行署名生成。
在接受了OS摘要数据、被指示进行署名生成后，从密钥存储部253 读出发行装置密密钥，利用所读出的发行装置密密钥，对所接受的OS 摘要数据实施署名生成算法S，生成署名数据，将所生成的署名数据输出 给控制部257。署名生成算法S作为一例而使用椭圆DSA署名、RSA (RivestShamirAdleman)署名等。
对于接受应用程序摘要数据、被指示进行署名生成的情况也同样生 成署名数据，输出给控制部257。
(5)控制部257
控制部257经由通信部251及因特网20从便携电话400接受请求最 新的OS无效化列表及应用程序无效化列表的发送的列表请求。
如果接收到列表请求，则从信息存储部260读出OS无效化列表266， 将所读出的OS无效化列表266输出给散列生成部254，输出散列生成指 示。接着，从散列生成部254接受OS摘要数据。将所接受的OS摘要数 据输出给署名生成部252，指示进行署名生成。接着，从署名生成部252 接受署名数据。将所接受的署名数据附加到OS无效化列表266中，生成 带署名的OS无效化列表。
对于应用程序无效化列表276也同样，向散列生成部254及署名生 成部252指示生成署名数据。将所接受的署名数据附加到应用程序无效 化列表276中，生成带署名的应用程序无效化列表。
接着，经由通信部251及因特网20向便携电话400发送所生成的带 署名的OS无效化列表和带署名的应用程序无效化列表。
此外，控制部257经由输入部262接受操作者的各种指示及数据， 按照所接受的指示动作。
(6)输入部262及显示部263
输入部262接受无效化列表发布装置250的操作者的指示及数据的 输入，将所接受的指示及数据输出给控制部257。
显示部263根据控制部257的指示，显示各种画面。
2.2便携电话400
便携电话400的硬件结构与图2所示的便携电话100的结构大体相 同，由调试器IF、CPU、MMU、次存储部、切换控制部106、中断控制 器、输入部、显示部、普通存储器、共用存储器、安全存储器413、存储 器保护部414、输入输出部、加密处理设备、无线通信控制部、麦克风、 扬声器、通信部、缓存、编码处理部、D/A变换部构成。
对于安全存储器413、存储器保护部414以外的各部分，由于与便携 电话100相同，所以省略详细说明，这里，仅对与便携电话100不同的 部分进行说明。
(1)安全存储器413
安全存储器413如图51所示，存储有音乐解密程序446、安全OS441 等各种程序。
音乐解密程序446与实施方式1的音乐解密程序176同样，包含加 密音乐数据的解密的过程，对于该过程省略说明。
音乐解密程序446在头部分包含有应用程序ID447及无效标志448。 应用程序ID447是音乐解密程序446所固有的识别信息。无效标志448 是表示音乐解密程序446是否被无效化的标志，无效标志“1”表示音乐 解密程序446被无效化，标志“0”表示没有被无效化。
安全OS441由于是执行与实施方式1的安全OS171同样的处理的主 软件，所以对于安全OS441的动作省略说明。但是，安全OS441在启动 安全存储器413上的各程序或返回到CPU时，读出各应用程序的头部分 的无效标志，在无效标志是“1”的情况下，中止该应用程序的启动或返 回。
安全OS441在头部分包含有安全OSID442及无效标志443。
安全OSID442是与安全OS441对应的识别信息。无效标志443是表 示安全OS441是否被无效化的标记，无效标记“1”表示音乐解密程序 446已无效化的情况，无效标志“0”表示没有无效化。
此外，在本实施方式中，被装载到安全存储器413上而进行切换处 理的安全切换设备驱动器在将安全OS441的前后关系返回给CPU之前， 读出安全OS441的无效标志443，在无效标志是“1”的情况下，中止安 全OS441的返回。
(2)存储器保护部414
存储器保护部414如图51所示，由无效化列表存储部421、无效化 列表更新部424、应用程序验证部428、应用程序无效化部429、OS验证 部431及OS无效化部432构成。
<无效化列表存储部421>
无效化列表存储部421存储有应用程序无效化列表422及OS无效化 列表423。
应用程序无效化列表422及OS无效化列表423是分别与存储在无效 化列表发布装置250的信息存储部260中的应用程序无效化列表276及 OS无效化列表266同样的结构。
<无效化列表更新部424>
无效化列表更新部424预先存储有署名验证密钥426。署名验证密钥 426是与存储在无效化列表发布装置250的密钥存储部253中的发行装置 公开密钥相同的密钥。
无效化列表更新部424从切换控制部106接受指示连接安全存储器 413与总线130的连接指示。接受了连接指示后，经由无线通信控制部、 通信部，将请求最新的应用程序无效化列表及OS无效化列表的发送的列 表请求发送给无效化列表发布装置250。
接着，经由无线通信控制部、通信部，从无效化列表发布装置250 接收带署名的OS无效化列表和带署名的应用程序无效化列表。
利用署名验证密钥，对于所接收到的带署名的OS无效化列表的署名 数据进行署名验证。具体而言，对于署名数据，利用署名验证密钥，实 施署名验证算法V来生成检查数据。署名验证算法V是验证由署名生成 算法S生成的署名数据的算法。
接着，将接收到的OS无效化列表代入散列函数中，生成OS摘要数 据。比较所生成的检查数据与摘要数据，在两者一致的情况下判断为署 名验证成功，在不一致的情况下，判断为失败。在署名验证失败的情况 下，中止以下所说明的列表ID的比较及OS无效化列表的更新。
对于接收到的带署名的应用程序无效化列表也同样进行署名验证。 在署名验证失败的情况下，中止以下所说明的应用程序ID的比较及应用 程序无效化列表的更新。
接着，将所接收到的OS无效化列表与包含在无效化列表存储部421 所存储的OS无效化列表423中的列表ID进行比较。如果两者相同，则 将接收到的OS无效化列表丢弃。如果接收到的OS无效化列表的列表ID 显示比无效化列表存储部421所存储的OS无效化列表423中的列表ID 新的日期，则利用接收到的OS无效化列表更新无效化列表存储部421 所存储的OS无效化列表423。
对于应用程序无效化列表也同样，将接收到的应用程序无效化列表 与无效化列表存储部421所存储的应用程序无效化列表422的新旧进行 比较，在应用程序无效化列表422较旧的情况下，通过接收到的应用程 序无效化列表更新无效化列表存储部421内的应用程序无效化列表422。

OS验证部431从安全OS441的头部分读出安全OSID442。接着， 从无效化列表存储部421中读出OS无效化列表423，判断所读出的安全 OSID442是否包含在OS无效化列表423的无效ID中。在安全OSID442 包含在OS无效化列表423中的情况下，判断为安全OS441为无效，向 OS无效化部432指示进行无效化。
如果安全OSID442没有包含在OS无效化列表423中，则判断为有 效。
OS无效化部432被OS验证部431指示进行无效化，将安全OS441 的头部分的无效标志改写为“1”。
<应用程序验证部428及应用程序无效化部429>
应用程序验证部428从安全存储器413上的音乐解密程序446的头 部分读出应用程序ID447。接着，从无效化列表存储部421读出应用程序 无效化列表422，判断应用程序ID447是否包含在应用程序无效化列表 422中。在应用程序ID447包含在应用程序无效化列表422中的情况下， 判断音乐解密程序446为无效的程序，向应用程序无效化部429指示进 行无效化。
如果应用程序ID447没有包含在应用程序无效化列表422中，则判 断为音乐解密程序446是有效的程序。
应用程序无效化部429从应用程序验证部428受到进行无效化的指 示，将音乐解密程序446的无效标志设定为“1”。
在安全存储器413上存在多个应用程序的情况下，对于所有的应用 程序，应用程序验证部428及应用程序无效化部429同样地重复应用程 序是否为无效的判断、以及在无效的情况下的无效标志的设定。
(3)存储器保护部的验证动作
利用图52～图53所示的流程图，对存储器保护部414的程序的验证 动作进行说明。
从切换控制部106接受连接指示(步骤S671)。接受了连接指示后， 无效化列表更新部424经由无线通信控制部118及通信部121向无效化 列表发布装置250发送列表请求(步骤S672)。接着，经由通信部及无线 通信控制部，取得带署名的OS无效化列表和带署名的应用程序无效化列 表(步骤S673)。
无效化列表更新部424读出署名验证密钥426，利用所读出的署名验 证密钥，进行所取得的带署名的OS无效化列表及带署名的应用程序无效 化列表的署名验证(步骤S674)。若署名验证失败(步骤S676的否)， 则将处理转移到OS验证部的步骤S681。
如果署名验证成功(步骤S676的是)，则读出存储在无效化列表存 储部中的OS无效化列表423及应用程序无效化列表422的列表ID(步 骤S677)。将所读出的OS无效化列表423的列表ID与所接收到的OS 无效化列表的列表ID进行比较，将应用程序无效化列表422的列表ID 与所接收到的应用程序无效化列表的列表ID进行比较，来判断OS无效 化列表423及应用程序无效化列表422是否是最新版本(步骤S678)。当 判断为不是最新版本(步骤S678中的否)，则利用所接收到的OS无效 化列表及接收到的应用程序无效化列表，更新存储在无效化列表存储部 421中的OS无效化列表423及应用程序无效化列表422(步骤S679)。
当判断为最新版本时(步骤S678中的是)，省略步骤S679的处理。
当步骤S672～679的无效化列表更新部424的处理结束时，OS验证 部431从安全存储器413读出安全OSID442(步骤S681)，根据所读出 的安全OSID442是否登录在OS无效化列表423中，来判断安全OS441 是无效还是有效的(步骤S682)。
如果判断为有效(步骤S683中的是)，则转移到应用程序验证部428 的步骤S686的处理。
如果判断为无效(步骤S683中的否)，则OS无效化部432将安全 OS441的无效标志443设定为“1”(步骤S684)。
在OS验证部431及OS无效化部432的步骤S684为止的处理结束 后，应用程序验证部428读出安全存储器413上的音乐解密程序446的 应用程序ID447(步骤S686)，根据所读出的应用程序ID是否登录在应 用程序无效化列表422中，判断音乐解密程序446是有效的还是无效的 (步骤S687)。
如果判断为有效(步骤S688中的是)，则结束验证处理。如果判断 为无效(步骤S688中的否)，则应用程序无效化部429将音乐解密程序 446的无效标志设定为“1”(步骤S689)。
2.3总结·效果
如以上说明，本实施方式的便携电话400从无效化列表发布装置250 取得随时更新的OS无效化列表及应用程序无效化列表。基于所取得的 OS无效化列表及应用程序无效化列表，判断以自身所存储的安全OS441、 音乐解密程序446为代表的装载到安全存储器413上的应用程序是否是 有效的，并中止已无效化的程序的执行。
通过做成这样的结构，在便携电话400销售后，对于在之后判断应 使其无效化的程序，能够中断其执行，能够防止因非法程序的执行造成 的数据的非法使用。
2.4实施方式2的变形例1
关于本发明的实施方式2，也可以是以下这样的结构。
(1)无效化列表发布装置250
无效化列表发布装置250构成为，虽然存储有OS无效化列表及应用 程序无效化列表，但OS无效化列表包含无效化的操作系统的安全OS证 书(后述)的证书ID，来代替无效化ID269、270、271……。
对于应用程序无效化列表，也构成为包含无效化的应用程序的应用 程序证书(后述)的证书ID，来代替无效化ID279、280、281……。
(2)便携电话400
便携电话400具备存储器保护部454来代替存储器保护部414，具备 安全存储器453来代替安全存储器413。代替存储器保护部414根据安全 存储器413上的各程序所固有的ID判断各程序有效还是无效，存储器保 护部454利用安全存储器453上的各程序所固有的证书进行判断。
下面，对实现该功能的结构进行说明。
(2-1)安全存储器453
安全存储器453作为一例，如图54所示，包含有音乐解密程序476、 安全OS481。
安全OS481在头部分包含有安全OS证书482及无效标志483。
安全OS证书482是按照X.509的公开密钥证书，如图55所示，包 含发行者ID484、证书ID487、安全OS公开密钥488、署名算法489及 CA署名491而构成。
发行者ID484是作为安全OS证书482的发行源的认证局(以下称 作CA：Certificate Authority)的标识符。安全OS公开密钥488是由安全 OS证书482证明了合法性的安全OS481所固有的公开密钥。署名算法 489是表示在CA署名491的生成中使用的算法的识别信息。CA署名491 是署名数据，该署名数据是利用作为安全OS证书482的发行源的CA的 保密密钥，对上述发行者ID484、证书ID487……实施署名算法489所示 的算法S1而生成的。
无效标志483表示安全OS481有效还是无效。
音乐解密程序476在其头部分包含有应用程序证书477和无效标志 478。
应用程序证书477是将图55的安全OS公开密钥488替换为应用程 序公开密钥的结构。
无效标志478表示音乐解密程序476有效还是无效。
(2-2)存储器保护部454
存储器保护部454如图54所示，由无效化列表存储部461、无效化 列表更新部424、密钥保存部464、应用程序验证部468、应用程序无效 化部429、OS验证部471及OS无效化部432构成。
由于无效化列表更新部424、OS无效化部432及应用程序无效化部 429的动作与上述实施方式2的无效化列表更新部424、OS无效化部432 及应用程序无效化部429同样，所以这里省略说明。
<无效化列表存储部461>
无效化列表存储部461如图54所示，包含OS无效化列表463及应 用程序无效化列表462。
OS无效化列表463是与无效化列表发布装置250所存储的OS无效 化列表同样的结构，包含有无效化的操作系统的证书ID。
应用程序无效化列表462是与无效化列表发布装置250所存储的应 用程序无效化列表同样的结构，包含有无效化的应用程序的证书ID。
<密钥保存部464>
密钥保存部464存储有CA公开密钥466。CA公开密钥466是作为 安全OS证书482及应用程序证书477的发行源的CA的公开密钥，是与 包含在安全OS证书482及应用程序证书477中的CA署名的生成中使用 的CA的保密密钥成对的密钥。

OS验证部471在结束了无效化列表更新部424的OS无效化列表及 应用程序无效化列表的更新的处理后，从安全存储器453读出包含在安 全OS481中的安全OS证书482。从密钥保存部464读出CA公开密钥 466，利用所读出的CA公开密钥466，对包含在安全OS证书482中的 CA署名491实施署名验证算法V1来进行署名验证。署名验证算法V1 是验证由署名生成算法S1生成的署名数据的算法。
如果署名验证的结果为失败，则中止以后的处理，向OS无效化部 432指示安全OS481的无效化。
如果署名验证的结果为成功，则接着根据包含在安全OS证书482 中的证书ID487是否登录在OS无效化列表463中，判断安全OS481是 否是无效的。如果有登录，则判断为安全OS481是无效的程序，向OS 无效化部432指示安全OS481的无效化。
如果没有登录，则OS验证部471判断为安全OS481是有效的程序。
另外，在本实施方式中，进行安全OS证书482的署名验证，在署名 验证成功的情况下，判断证书ID487是否登录在OS无效化列表463中， 但也可以判断证书ID487是否登录在OS无效化列表463中，在没有登 录的情况下，进行署名验证。
<应用程序验证部468>
应用程序验证部468在结束了OS验证部471对安全OS481的验证 后，从安全存储器453中读出包含在音乐解密程序476中的应用程序证 书477。从密钥保存部464中读出CA公开密钥466，利用所读出的CA 公开密钥466，对包含在应用程序证书477中的CA署名实施署名验证算 法V1，进行署名验证。
如果署名验证的结果为失败，则中止以后的处理，向应用程序无效 化部429指示音乐解密程序476的无效化。
如果署名验证的结果为成功，则接着根据包含在应用程序证书477 中的证书ID是否登录在应用程序无效化列表462中，判断音乐解密程序 476是否是无效的。如果有登录，则判断为音乐解密程序476是无效的程 序，向应用程序无效化部429指示音乐解密程序476的无效化。
如果没有登录，则判断为音乐解密程序476为有效的程序。
另外，对上述署名验证和证书ID是否登录在应用程序无效化列表 462中的判断的顺序也可以相反。
2.5实施方式2的变形例2
在上述变形例1中，音乐解密程序476也可以包含构成层次构造的 多个证书。
图56表示音乐解密程序476所具有的多个证书的结构及这些证书的 层次构造。
音乐解密程序476如图56所示，包含有应用程序证书501、厂商证 书511及CA证书521。
应用程序证书501包含发行源502、证书ID503、应用程序公开密钥 504、署名算法506及厂商署名508而构成。
发行源502是表示作为应用程序证书501的发行源的应用程序厂商 的识别信息。在图56中为了便于说明而记作“应用程序厂商”。证书ID503 是应用程序证书501所固有的识别信息。应用程序公开密钥504是音乐 解密程序476所固有的公开密钥，通过应用程序证书501来证明其合法 性。署名算法506是表示在厂商署名508的生成中使用的署名生成算法 的识别信息。厂商署名508是利用音乐解密程序476的制造商所固有的 应用程序厂商密密钥519对发行源502、证书ID503、应用程序公开密钥 504、署名算法506等包含在应用程序证书501中的信息实施署名生成算 法S2而生成的署名数据。
厂商证书511包含有发行源512、证书ID513、厂商公开密钥514、 署名算法516及CA署名518而构成。
发行源512是表示作为厂商证书511的发行源的CA的识别信息。 在图56中为了便于说明而记作“CA”。证书ID513是厂商证书511所固 有的识别信息。厂商公开密钥514是音乐解密程序476的制造商的公开 密钥，通过厂商证书511来证明其合法性。厂商公开密钥514是与应用 程序厂商密密钥519对应的密钥。署名算法516是表示在CA署名518 的生成中使用的署名生成算法的识别信息。CA署名518是利用CA密密 钥529对发行源512、证书ID513、厂商公开密钥514、署名算法516等 包含在厂商证书511中的信息实施署名生成算法S3而生成的署名数据。
CA证书521包含发行源522、证书ID523、CA公开密钥524、署名 算法526及根CA署名528而构成。
发行源522是表示作为CA证书521的发行源的根CA的识别信息。 为了便于说明，在图56中记作“根CA”。证书ID523是CA证书521所 固有的识别信息。CA公开密钥524是CA的公开密钥，利用CA证书521 来证明其合法性。CA公开密钥524是与CA密密钥529对应的密钥。署 名算法526是表示在根CA署名528的生成中使用的署名生成算法的识 别信息。根CA署名528是利用根CA密密钥531对发行源522、证书 ID523、CA公开密钥524、署名算法526等包含在CA证书521中的信 息实施署名生成算法S4而生成的署名数据。根CA密密钥531是根CA 所固有的保密密钥。
这里，作为一例，CA相当于便携电话400的销售厂商、根CA相当 于公开证书发行机关。此外，也可以使用控制音乐解密程序476的安全 OS481的OS证书482、分配给便携电话400的证书、安全OS481的制 造商的证书，来代替厂商证书511。
在该变形例中，密钥保存部464存储有根CA公开密钥，以代替CA 公开密钥466。根CA公开密钥是与根CA密密钥531对应的密钥。此外， 无效化列表存储部461除了应用程序无效化列表462以外，还存储有厂 商无效化列表、以及CA无效化列表。厂商无效化列表是包含无效化的 厂商证书的证书ID的列表，CA无效化列表是表示含无效化的CA证书 的证书ID的列表。
应用程序验证部468首先读出CA证书521和根CA公开密钥，利用 所读出的根CA公开密钥，对包含在CA证书521中的根CA署名528实 施署名验证算法V4来进行署名验证。署名验证算法V4是验证通过署名 生成算法S4生成的署名数据的算法。
如果署名验证失败，则应用程序验证部468中止以下的处理，向应 用程序无效化部429指示音乐解密程序476的无效化。
如果署名验证成功，则接着判断包含在CA证书521中的证书ID523 是否已登录在CA无效化列表中，如果已登录，则应用程序验证部468 中止以下的处理，向应用程序无效化部429指示音乐解密程序476的无 效化。
如果没有登录，则接着读出厂商证书511，利用包含在CA证书521 中的CA公开密钥524，对包含在所读出的厂商证书511中的CA署名518 实施署名验证算法V3而进行署名验证。署名验证算法V3是验证通过署 名生成算法S3生成的署名数据的算法。
如果署名验证失败，则应用程序验证部468中止以下的处理，向应 用程序无效化部429指示音乐解密程序476的无效化。
如果署名验证成功，则接着判断包含在厂商证书511中的证书ID513 是否已登录在厂商无效化列表中，如果已登录，则应用程序验证部468 中止以下的处理，向应用程序无效化部429指示音乐解密程序476的无 效化。
如果没有登录，则接着读出应用程序证书501。利用包含在厂商证书 511中的厂商公开密钥514，对包含在所读出的应用程序证书501中的厂 商署名508实施署名验证算法V2而进行署名验证。署名验证算法V2是 验证通过署名生成算法S2生成的署名数据的算法。
如果署名验证失败，则应用程序验证部468中止以下的处理，向应 用程序无效化部429指示音乐解密程序476的无效化。
如果署名验证成功，则接着判断包含在应用程序证书501中的证书 ID503是否已登录在应用程序无效化列表中，如果已登录，则应用程序验 证部468向应用程序无效化部429指示音乐解密程序476的无效化。
如果没有登录，则判断音乐解密程序476为有效的程序。
这样，通过2级、3级的验证，能够确保更高的安全性。此外，通过 导入厂商证书，能够使由同一厂商开发的全部程序无效化。
对于安全OS481也可以同样进行多个证书的验证。
2.6其他变形例
(1)在上述实施方式2中，OS无效化列表作为列表ID而包含有 OS无效化列表的生成日期，但也可以如图57所示的OS无效化列表541 那样作为列表ID543而包含有版本号。所谓的版本信息是指表示OS无 效化列表的更替的号码，值越大表示越新。
此外，如OS无效化列表551所示，也可以包含无效化ID的总数来 作为列表ID553。无效化的程序的总数由于不会减少，所以通过将无效化 ID的总数作为列表ID，能够判断列表ID的值越大、越是新的OS无效 化列表。
(2)在上述说明中，无效化列表发行装置250生成了OS无效化列 表及应用程序无效化列表，但应用程序无效化列表与OS无效化列表的发 行源也可以不同。
例如，OS无效化列表由操作系统开发厂商所管理的无效化列表发行 装置生成并发行。应用程序无效化列表由应用程序的开发厂商所管理的 无效化列表发行装置生成并发行。
(3)在上述实施方式及变形例中，也可以是OS验证验证安全应用 程序，应用程序验证部验证安全OS。
在安全应用程序与安全OS的开放厂商不同的情况下，通过这样相互 认证，能够进一步提高安全性。
(4)此外，无效化列表发行装置250发送的应用程序无效化列表及 OS无效化列表一定是最新的列表，无效化列表存储部421所存储的应用 程序无效化列表422及OS无效化列表423不会比它们新。因而，无效化 列表更新部424在进行应用程序无效化列表及OS无效化列表的更新时， 也可以省略上述那样的列表ID的比较，如果署名验证成功，则无条件地 通过从无效化列表发行装置250接收到的应用程序无效化列表及OS无效 化列表来更新应用程序无效化列表422及OS无效化列表423。
(5)在上述实施方式中，如果从切换控制部106输出了连接指示， 则进行存储在安全存储器413中的各程序的验证，但验证的时刻并不限 于此，也可以在便携电话400的电源接通时、各程序的启动时等。
3、实施方式3
下面，对有关本发明的实施方式3进行说明。
本实施方式的便携电话与实施方式2同样，经由便携电话网及因特 网与无效化列表发行装置连接。
3.1无效化列表发行装置
本实施方式的无效化列表发行装置与实施方式2的无效化列表发行 装置250同样，由通信部、署名生成部、密钥存储部、散列生成部、控 制部、信息存储部610、输入部及显示部构成。
通信部、署名生成部、密钥存储部、散列生成部、输入部及显示部 的结构及动作与包含在无效化列表发行装置250中的通信部251、署名生 成部252、密钥存储部253、散列生成部254、输入部262及显示部263 大致相同，散列生成部代替OS无效化列表及应用程序无效化列表而根据 OS矩阵无效化列表(后述)生成OS摘要数据，根据应用程序矩阵无效 化列表(后述)生成应用程序摘要数据。对于这些各部省略说明，仅对 作为本实施方式的特征的信息存储部610及控制部进行说明。
(1)信息存储部610
信息存储部610如图58所示，存储有应用程序发行密钥矩阵601、 OS发行密钥矩阵602、应用程序无效化信息604、606……、应用程序矩 阵无效化列表611及OS矩阵无效化列表621。
<应用程序发行密钥矩阵601及OS发行密钥矩阵602>
应用程序发行密钥矩阵601如图58所示，作为4行×4列的矩阵的 各矩阵要素而配置有16个发行密钥Key_11、Key_12、Key_13……。各 发行密钥作为一例是使用伪随机数生成的、64位长的密钥数据。
应用程序发行密钥矩阵601在纵向上从上开始依次配置行号“1”、 “2”、“3”、“4”，在横向上从左开始依次配置列号“1”、“2”、“3”、“4”。
与行号“1”、列号“1”对应的矩阵要素661是发行密钥Key_11， 与行号“1”、列号“2”对应的矩阵要素662是发行密钥Key_12。与行 号“1”、列号“3”对应的矩阵要素663是发行密钥Key_13，与行号“1”、 列号“4”对应的矩阵要素664是发行密钥Key_14。
同样，行号“2”、列号“1”～“4”的矩阵要素665～668分别为发 行密钥Key_21、Key_22、Key_23、Key_24。行号“3”、列号“1”～“4” 的矩阵要素669～672分别为发行密钥Key_31、Key_32、Key_33、Key_34。 行号“4”、列号“1”～“4”的矩阵要素673～676分别为发行密钥Key_41、 Key_42、Key_43、Key_44。
在本实施方式中，对于各安全应用程序，从应用程序发行密钥矩阵 601的各列中分别分配1个、共计4个发行密钥。4个发行密钥的组合对 于每个安全应用程序是不同的。
作为一例，对于便携电话中执行的音乐解密程序(后述)，在应用程 序发行密钥矩阵601中，分配了由实线圆677、678、679、680围成的发 行密钥Key_11、Key_32、Key_23、Key_14。此外，对于与音乐解密程 序不同的安全应用程序(称作应用程序B)，分配了由实线圆681、682、 683、684围成的发行密钥Key_21、Key_32、Key_23、Key_44。
OS发行密钥矩阵602是与应用程序发行密钥矩阵601相同的结构， 作为4行×4列的矩阵的矩阵要素而保存有16个发行密钥。
<应用程序无效化信息604、606……>
为了使对应用程序无效化信息604、606……的说明变得容易，首先 对应用程序固有密钥矩阵及OS固有密钥矩阵进行说明。
图59是在本实施方式的便携电话中存储的加密音乐解密程序591 (后述)中所包含的应用程序固有密钥矩阵592及加密安全OS596(后 述)中所包含的OS固有密钥矩阵597。
应用程序固有密钥矩阵592与将加密音乐解密程序591解密而生成 的音乐解密程序一一对应，包含有分配给音乐解密程序的4个发行密钥。 应用程序固有密钥矩阵592由4个密钥信息901、902、903、904构成。 各密钥信息包含有行号、列号、和发行密钥，密钥信息901包含有从应 用程序发行密钥矩阵601的第1列的矩阵要素分配给音乐解密程序的发 行密钥Key_11、和在应用程序发行密钥矩阵601上与Key_11对应的行 号“1”和列号“1”。密钥信息902包含有从应用程序发行密钥矩阵601 的第2列的矩阵要素分配给音乐解密程序的发行密钥Key_32、和在应用 程序发行密钥矩阵601上与Key_32对应的行号“3”和列号“2”。密钥 信息903包含有从应用程序发行密钥矩阵601的第3列的矩阵要素分配 给音乐解密程序的发行密钥Key_23、和在应用程序发行密钥矩阵601上 与Key_23对应的行号“2”和列号“3”。密钥信息904包含有从应用程 序发行密钥矩阵601的第4列的矩阵要素分配给音乐解密程序的发行密 钥Key_14、和在应用程序发行密钥矩阵601上与Key_14对应的行号“1” 和列号“4”。
OS固有密钥矩阵597是与应用程序固有密钥矩阵同样的结构，由密 钥信息906、907、908、909构成。各密钥信息包含行号、列号、和发行 密钥。
对于将本实施方式中所存储的加密安全OS596解密而生成的安全 OS，从OS发行密钥矩阵602的各列分别分配1个、共计4个发行密钥。 该4个发行密钥的组合对于每个操作系统是不同的。
密钥信息906～909分别具有从OS发行密钥矩阵602的各列分配给 安全OS的固有密钥、与固有密钥对应的OS发行密钥矩阵602上的列号 和行号。
应用程序无效化信息604、606……是从无效化的应用程序的应用程 序固有密钥矩阵的各密钥信息提取了列号及行号而成的。
作为一例，应用程序无效化信息604与上述应用程序B对应。应用 程序无效化信息604如图58所示，由4各列号“1”_931、“2”_932、“3” _933、“4”_934、和与各个列号对应的行号935～938构成。列号“1” _931和行号“2”_935与从应用程序发行密钥矩阵601的第1列分配给 应用程序B的发行密钥Key_21对应。列号“2”_932和行号“3”_936 与从应用程序发行密钥矩阵601的第2列分配给应用程序B的发行密钥 Key_32对应。同样，列号“3”_933和行号“3”_937与发行密钥Key_33 对应。列号“4”和行号“4”与发行密钥Key_44对应。
此外，虽然没有具体图示，但信息存储部610存储有从无效化的操 作系统的OS固有密钥矩阵的各密钥信息中提取了列号及行号的OS无效 化信息。
<应用程序矩阵无效化列表611及OS矩阵无效化列表621>
应用程序矩阵无效化列表611如图60所示，是将16个矩阵要素911～ 926配置成4行×4列的矩阵状而构成的。为了便于说明，利用变量Mij 表现保存在第i行j列的矩阵要素中的矩阵要素。
变量Mij是利用应用程序发行密钥矩阵601的第i行j列的发行密钥， 对用来将以加密音乐解密程序591为代表的加密应用程序进行解密的解 密密钥实施加密算法E2而生成的。图中的Enc(Key_ij，解密密钥)是 表示利用发行密钥Key_ij对解密密钥进行加密而生成的。例如，行号“1”、 列号“1”的矩阵要素911即变量M11是利用应用程序发行密钥矩阵601 上的行号“1”、列号“1”的矩阵要素661的发行密钥Key_11对解密密 钥进行加密而成的。
这里，应用程序矩阵无效化列表611是在存储于信息存储部610中 的应用程序无效化信息仅为应用程序无效化信息604时生成的。此时， 与包含在应用程序无效化信息604中的行号及列号对应的矩阵要素M21、 M32、M33、M44是代替解密密钥而利用发行密钥对伪数据“0000”进 行加密而成的。
OS矩阵无效化列表621是与应用程序矩阵无效化列表611同样的结 构，将16个矩阵要素配置为4行×4列的矩阵状。第i行j列的矩阵要素 是利用配置在OS发行密钥矩阵602的第i行j列上的发行密钥，对解密 密钥进行了加密的矩阵要素，该解密密钥用来将包括加密安全OS596的 各种加密操作系统进行解密。但是，与包含在OS无效化信息中的行号及 列号对应的矩阵要素是代替上述解密密钥而对伪数据进行加密的矩阵要 素。
此外，虽然没有具体图示，但在应用程序矩阵无效化列表611及OS 矩阵无效化列表中包含有表示其新旧的列表ID。
(2)控制部
控制部经由因特网从便携电话接收列表请求。接收到列表请求后， 从信息存储部610读出OS矩阵无效化列表621及应用程序矩阵无效化列 表611，将附加了由散列控制部、署名生成部生成的署名的带署名的OS 矩阵无效化列表和带署名的应用程序矩阵无效化列表发送给便携电话。 这与实施方式2的控制部257进行的带署名的OS无效化列表及带署名的 应用程序无效化列表的生成及发送同样，所以省略详细的说明。
此外，控制部经由输入部接受由操作者发出的新应用程序无效化信 息的输入及应用程序矩阵无效化列表的生成的指示。按照所接受的指示， 新生成应用程序矩阵无效化列表。
此外，接受新OS无效化信息的输入及OS矩阵无效化列表的生成指 示。按照所接受的指示，新生成OS矩阵无效化列表。
下面，利用图61所示的流程图，说明应用程序矩阵无效化列表的生 成动作。另外，在本实施方式中，应用程序发行密钥矩阵601及应用程 序矩阵无效化列表是将16个要素配置成4×4的矩阵状而构成的，但并 不限于此。在流程图中，更一般地对p行n列的情况进行说明。(p、n 为1以上的整数)。
首先，将解密密钥代入到p×n个各矩阵要素M11、M12……Mpn中 (步骤S721)。用0将保存列号的变量j及保存行号的变量I进行初始化 (步骤S722)。
接着，读出应用程序无效化信息(步骤S723)，对变量j加1(步骤 S724)。提取与所读出的应用程序无效化信息的列号j对应的行号，将所 提取的行号代入到变量i中(步骤S726)。
接着，将伪数据“0000”代入到矩阵要素Mij中(步骤S727)。接着， 判断是否为变量j＝n(步骤S729)。如果判断为不是j＝n(步骤S729中 的否)，则回到步骤S724，重复步骤S724～729直到变为j＝n。
在判断为变量j＝n的情况下(步骤S729中的是)，判断是否已读出 了存储在信息存储部610中的所有应用程序无效化信息(步骤S731)，如 果没有完成读出(步骤S731中的否)，则回到步骤S722，对于下个应用 程序无效化信息也重复步骤S722～731的处理。
如果判断为已经读出了所有的应用程序无效化信息(步骤S731中的 是)，则将0代入变量i中(步骤S734)，将0代入到变量j中(步骤S736)。 接着，对变量i加1(步骤S737)，对变量j加1(步骤S739)。
读出应用程序发行密钥矩阵601的第i行j列的发行密钥Key_ij(步 骤S741)。利用所读出的发行密钥Key_ij，对矩阵要素Mij实施加密算法 E2，生成Enc(Key_ij，Mij)，将所生成的Enc(Key_ij，Mij)代入到 Mij中(步骤S742)。
如果变量j＝n(步骤S743中的是)，则将处理转移到步骤S744，如 果不是变量j＝n(步骤S743中的否)，则回到步骤S739，重复步骤S739～ 743的处理，直到成为变量j＝n。
接着，如果变量i＝p(步骤S744中的是)，则结束应用程序矩阵无 效化列表的生成。
如果不是变量i＝p(步骤S744中的否)，则回到步骤S736，重复步 骤S736～744的处理，直到成为变量i＝p。
另外，对于OS矩阵无效化列表也利用OS发行密钥矩阵和OS无效 化信息，通过同样的过程生成。
3.2便携电话
本实施方式的便携电话是与实施方式2的便携电话400类似的结构。 因而，这里省略与实施方式2同样的部分的说明，而仅对本实施方式的 特征部分进行说明。
(1)安全存储器613
在安全存储器613中，作为一例，如图62所示，存储有加密音乐解 密程序591及加密安全OS596。
加密音乐解密程序591是对包含与实施方式2的音乐解密程序446 同样的音乐解密过程的音乐解密程序实施加密算法E3而生成的。此外， 加密音乐解密程序591在头部分包含有音乐解密程序所固有的应用程序 固有密钥矩阵592和无效标志593。对于应用程序固有密钥矩阵592，同 上面已经叙述那样。无效标志593是表示上述音乐解密程序是否为无效 的标志，表示如果为“0”则为有效、如果为“1”则为无效。
加密安全OS596是对具有与实施方式2的安全OS441同样的操作功 能的安全OS实施加密算法E3而生成的。加密安全OS596在头部分包含 上述安全OS所固有的OS固有密钥矩阵597和无效标志598。对于OS 固有密钥矩阵597，同上面已经叙述那样。
无效标志598是表示安全OS是否为无效的标志，表示如果为“0” 则为有效、如果为“1”则为无效。
(2)存储器保护部571
存储器保护部571如图62所示，由无效化列表存储部572、无效化 列表更新部575、应用程序验证部578、应用程序无效化部579、OS验证 部581、OS无效化部582及加密解密部586构成。
无效化列表存储部572存储有应用程序矩阵无效化列表573及OS 矩阵无效化列表574。应用程序矩阵无效化列表573及OS矩阵无效化列 表574是与存储在无效化列表发行装置的信息存储部610中的应用程序 矩阵无效化列表611及OS矩阵无效化列表相同的结构。
无效化列表更新部575的动作与实施方式2的无效化列表更新部424 同样，代替应用程序无效化列表及OS无效化列表而更新应用程序矩阵无 效化列表及OS矩阵无效化列表。
应用程序无效化部579及OS无效化部582的动作与实施方式2的应 用程序无效化部429及OS无效化部432同样，所以在这里不重新说明。
<应用程序验证部578及OS验证部581>
应用程序验证部578利用包含在加密音乐解密程序591中的应用程 序固有密钥矩阵592及存储在无效化列表存储部572中的应用程序矩阵 无效化列表573，生成加密音乐解密程序591的解密密钥。在能够正确地 生成解密密钥的情况下，判断为音乐解密程序为有效。对于上述的音乐 解密程序的验证的详细步骤在后面进行说明。
如果判断为有效，则向加密解密部586输出所生成的解密密钥，指 示对加密解密程序176进行解密。
如果判断为无效，则向应用程序无效化部579指示进行无效化。
OS验证部581与应用程序验证部578同样，判断将加密安全OS596 进行解密而成生的安全OS有效还是无效。这里，代替应用程序固有密钥 矩阵592、应用程序矩阵无效化列表573，而使用OS固有密钥矩阵597、 OS矩阵无效化列表574。
<加密解密部586>
加密解密部586从OS验证部581接受加密安全OS596的解密密钥， 被指示进行解密。如果被指示进行解密，则利用所接受的解密密钥，对 安全存储器613上的加密安全OS596实施解密算法D3而生成安全OS。
此外，从应用程序验证部578接受加密音乐解密程序591的解密密 钥，被指示进行解密。如果被指示进行解密，则利用所接受的解密密钥， 对加密音乐解密程序591实施解密算法D3而生成音乐解密程序。
这里，D3是将由加密算法E3生成的加密文本进行解密的算法，作 为一例，采用DES、AES(Advanced Encryption Standard，高级加密标准) 等。
此外，检测从切换控制部576输出的、指示安全存储器613与总线 130的切断的切断指示。如果检测到切断指示，则通过所接受的解密密钥， 将音乐解密程序及安全OS加密，生成加密音乐解密程序591及加密安全 OS596。
(3)存储器保护部571的验证动作
利用图63的流程图，对存储器保护部571进行的安全存储器613上 的程序的验证动作进行说明。
存储器保护部571接受连接指示(步骤S701)。接受了连接指示后， 无效化列表更新部575经由因特网从无效化列表发行装置取得最新的应 用程序矩阵无效化列表和OS矩阵无效化列表，将存储在无效化列表存储 部572中的应用程序矩阵无效化列表573及OS矩阵无效化列表574进行 更新(步骤S702)。无效化列表更新部575的步骤S702的处理与实施方 式2的无效化列表更新部424的步骤S672～679(图49)的处理同样， 只要将OS无效化列表替换为OS矩阵无效化列表、将应用程序无效化列 表替换为应用程序矩阵无效化列表就可以。
接着，OS验证部581进行安全OS的验证(步骤S703)，如果判断 为安全OS有效(步骤S706中的是)，则向加密解密部586指示加密安 全OS596的解密，加密解密部586将加密安全OS596进行解密，生成安 全OS(步骤S707)。
如果判断为安全OS无效(步骤S706中的否)，则向OS无效化部 582指示，将无效标志598设定为“1”(步骤S709)。
接着，应用程序验证部578验证音乐解密程序是否是有效的(步骤 S711)。如果判断为有效(步骤S712中的是)，则加密解密部586将加密 音乐解密程序591进行解密而生成音乐解密程序(步骤S713)。
如果判断为无效(步骤S712中的否)，则应用程序无效化部579将 无效标志593设定为“1”(步骤S716)。
(4)音乐解密程序的验证
下面利用图64的流程图，说明应用程序验证部578进行的音乐解密 程序的验证处理。这是图63的步骤S711的详细情况。在本实施方式中， 应用程序矩阵无效化列表573构成4行×4列的矩阵，应用程序固有密钥 矩阵592包含4个密钥信息而构成，但在这里，更一般地，对应用程序 矩阵无效化列表573构成n行p列的矩阵、应用程序固有密钥矩阵592 由p个密钥信息构成的情况进行说明。
应用程序验证部578读出应用程序固有密钥矩阵573(步骤S731)。 为了便于说明，导入表示行号的变量i和表示列号的变量j进行说明。
应用程序验证部578将1代入变量j中(步骤S732)。将与应用程序 固有密钥矩阵592的与列号j对应的行号代入到变量i中(步骤S733)。
接着，从应用程序矩阵无效化列表573读出矩阵要素Mij(步骤 S736)。从应用程序固有密钥矩阵592提取发行密钥Key_ij，利用所提取 的发行密钥Key_ij，对所读出的矩阵要素Mij实施解密算法D2，进行解 密(步骤S737)。如果解密结果不是“0000”(步骤S739中的否)，则判 断为音乐解密程序有效(步骤S741)，将解密结果、即加密音乐解密程序 591的解密密钥输出给加密解密部586(步骤S742)。
如果处理结果是“0000”(步骤S739中的“是”)，则接着判断是否 为变量j＝p，如果不是j＝p(步骤S744中的“否”)，则对变量j加1(步 骤S747)，回到步骤S733。
如果是变量j＝p(步骤S744中的是)，则判断为音乐解密程序无效 (步骤S746)。
另外，关于步骤S703的OS验证部581进行的安全OS的验证，由 于是将图61的流程图的应用程序固有密钥矩阵替换为OS固有密钥矩阵、 将应用程序矩阵无效化列表替换为OS矩阵无效化列表，所以省略说明。
3.3总结·效果
如以上说明，在实施方式3中，便携电话的安全存储器613上的加 密音乐解密程序591及加密安全OS596包含有各自所固有的应用程序固 有密钥矩阵592、OS固有密钥矩阵597。
存储器保护部571根据应用程序矩阵无效化列表573及应用程序固 有密钥矩阵592判断音乐解密程序是否有效。仅在有效的情况下，能够 根据应用程序矩阵无效化列表573生成解密密钥。
对于安全OS也同样，利用OS矩阵无效化列表574及OS固有密钥 矩阵来判断是否有效。
考虑应用程序的制造商利用同一个加密密钥按同一种方法对多个应 用程序进行加密来出厂的情况。
在构成图58的应用程序发行密钥矩阵601的16个密钥中，对各应 用程序从各列各分配1个、合计4个发行密钥。此时，进行分配以使分 配给不同程序的发行密钥不会4个都一致。作为一例，对本实施方式的 音乐解密程序分配发行密钥Key_11、Key_32、Key_23、Key_14，这些 发行密钥包含在加密音乐解密程序591的应用程序固有密钥矩阵592中。
对从与音乐解密程序相同的制造商出货的应用程序(称作应用程序 B)分配发行密钥Key_21、Key_32、Key_33、Key_44，在加密应用程序 B的应用程序发行密钥矩阵中包含这4个发行密钥。
这里，当出厂后判明为应用程序B是应无效化的程序时，在无效化 列表发行装置中追加应用程序无效化信息604。应用程序无效化信息604 由与分配给应用程序B的4个发行密钥对应的行号和列号构成。根据应 用程序无效化信息604生成的应用程序矩阵无效化列表611如图60所示， 由于在矩阵要素M21、M32、M33及M44中包含有伪数据，所以通过分 配给加密应用程序B的4个发行密钥不能生成解密密钥。
如图58所示，对音乐解密程序也分配了Key_32，但根据利用图64 的流程图说明的验证动作，能够通过其他发行密钥生成解密密钥。
这样，对各应用程序分配了多个发行密钥，如果是利用应用程序无 效化列表和发行密钥生成解密密钥的结构，则即使通过同样的方法加密， 也能够仅将应无效化的应用程序无效化。
进而，加密解密部586在切断安全存储器613和总线时，对安全OS 及以音乐解密程序为代表的应用程序再次进行加密。因而，在普通存储 器上的程序使用CPU的期间，能够更可靠地保护安全存储器613上的程 序。此外，在这样的结构的情况下，存储器保护部也可以不将总线与安 全存储器613在物理上切断。
3.4变形例
(1)在实施方式3中，存储器保护部571每次从切换控制部106接 收连接指示时，都经由通信控制部取得最新的OS矩阵无效化列表及应用 程序矩阵无效化列表，将它们进行更新，来验证安全存储器613上的各 程序。但是，进行OS矩阵无效化列表及应用程序矩阵无效化列表的更新、 以及安全存储器613上的各程序的验证的时刻并不限于此。
作为一例，也可以在便携电话的启动时，也可以1日1次那样定期 地进行。此外，也可以在启动时进行OS矩阵无效化列表及应用程序矩阵 无效化列表的更新，在启动时以后接受了连接指示时，进行程序的验证。
此外，也可以在启动各程序时如从普通OS向安全OS的切换处理时 进行安全OS的验证，安全OS启动音乐解密程序时，进行音乐解密程序 的验证。
此外，从存储器保护部571向无效化列表发行装置发送列表请求而 取得最新的OS矩阵无效化列表及应用程序矩阵无效化列表，但也可以新 判明应无效化的程序，在重新制作OS矩阵无效化列表及应用程序矩阵无 效化列表时，从无效化列表发行装置向便携电话发送。
(2)便携电话经由因特网而取得最新的OS矩阵无效化列表及应用 程序矩阵无效化列表，但也可以从存储卡等存储介质取得。
(3)到此为止，作为本发明的1个实施方式而说明了便携电话，但 也可以是以下说明那样的构成LAN的通信设备。
也可以是构成LAN的设备中的任一个取得最新的无效化列表，并发 布给其他设备。
作为一例，是如图65所示的形成家庭网络的设备。家庭网络是通过 总线连接PC(Personal Computer)650、笔记本PC651、DVD播放机652、 家庭服务器653、微波炉654而构成的。
各设备具备不能从普通的操作系统或应用程序直接访问的安全存储 器，具有验证装载到安全存储器上而执行的各种应用程序及操作系统的 有效性的功能。
家庭服务器653与因特网20连接，定期地向无效化列表发行装置250 请求应用程序无效化列表及OS无效化列表。经由因特网，从无效化列表 发行装置250取得最新的应用程序矩阵无效化列表及OS矩阵无效化列 表。将所取得的无效化列表经由总线输出给构成家庭网络的各设备。
4、实施方式4
下面，对本发明的实施方式4进行说明。
4.1便携电话的结构
本实施方式的便携电话与实施方式1的便携电话100同样，由调试 器IF、CPU102、MMU、次存储部、切换控制部、中断控制器、输入部、 显示部、普通存储器、共用存储器、安全存储器713、存储器保护部701、 输入输出部、加密处理设备、无线通信控制部、麦克风、扬声器、通信 部、天线、缓存、编码处理部、D/A变换部构成，各电路与总线连接。
在本实施方式的便携电话中，由于存储器保护部701及安全存储器 713以外的结构及动作与实施方式1相同，所以省略说明，这里仅对本实 施方式的特征部分进行说明。
(1)安全存储器713
安全存储器713如图66所示，存储有音乐解密程序704、通信密钥 生成程序706等安全应用程序、以及安全OS707。
音乐解密程序704是包含与实施方式1的音乐解密程序176同样的 音乐解密的处理过程的安全应用程序。
通信密钥生成程序706是用于生成便携电话经由因特网进行内容的 收发时的加密密钥的安全应用程序。
安全OS707是与实施方式1的安全OS171同样的操作系统。
这里，当安全存储器713上的各程序在安全存储器上被启动时，将 本身的访问信息输出给访问管理部702。所谓的访问信息是各程序能够访 问的存储区域的地址。
(2)存储器保护部701
存储器保护部701如图66所示，包含访问管理部702和信号监视部 703而构成。
访问管理部702从安全存储器713上的各程序接受访问信息、将所 接受的访问信息与对应的程序对应起来进行存储。此外，在各程序中具 备计数非法访问的次数的计数器。
信号监视部703预先存储有允许各程序的非法访问的次数(允许次 数)。信号监视部703监视安全存储器713与CPU之间的总线上的信号， 检测作为CPU的访问对象的安全存储器713上的地址。
接着，从访问管理部702读出当前执行中的程序的访问信息，将所 读出的访问信息与检测到的地址进行比较。如果所检测到的地址包含在 表示读出的访问信息的存储区域中，则原样继续监视。
如果没有包含，则访问管理部702对与对应的程序对应起来存储的 计数器加1。接着，将计数器与存储的允许次数进行比较。如果计数器在 允许次数以下，则原样继续监视。
如果计数器超过了允许次数，则判断为对应的程序非法。
这里，在被判断为非法的程序是音乐解密程序704的情况下，信号 监视部703强制性地中止音乐解密程序704的执行，将CPU102的执行 权转移给安全OS707。
在被判断为非法的程序是其他安全应用程序的情况下也同样。
在判断为非法的程序是安全OS707的情况下，信号监视部703强制 性地中止安全OS707的执行，将CPU102及MMU清空，向切换控制部 输出切换指示。
4.2总结·效果
如以上说明，本发明的便携电话监视装载到安全存储器713中的各 程序的动作，中止重复非法动作的程序的执行。通过这样，即使在万一 安全存储器713中的程序中存在缺陷的情况下、或在执行中途施加了非 法的篡改的情况下，也能够停止这些程序的执行。
4.3实施方式4的变形例
(1)在上述实施方式中，存储器保护部701通过由信号监视部703 监视总线上的信号来检测非法动作，但也可以代之定期检测CPU的程序 计数器值。
(2)在上述实施方式中，安全存储器713上的各程序在启动时将每 个程序不同的访问信息输出给访问管理部702，信号监视部703基于这些 访问信息来监视各程序的动作，但也可以是访问管理部702预先存储表 示安全存储器713上的访问禁止区域的信息。在此情况下，不论哪个程 序在执行中，如果想要访问禁止区域，信号监视部都中止CPU102的程 序执行，将CPU102及MMU清空，向切换控制部输出切换指示。
(3)在本实施方式中，存储器保护部701也可以如实施方式2中说 明那样，具备无效化列表存储部、应用程序验证部、应用程序无效化部、 OS验证部、OS无效化部，当从切换控制部接受了连接指示时，判断安 全存储器上的各程序是否有效的。
在该结构中，信号监视部703发现在动作中途进行非法动作的程序、 使该程序的动作停止，并且对无效化列表存储部所存储的OS无效化列表 或应用程序无效化列表追加与进行了非法动作的程序对应的安全OSID 或应用程序ID。
通过这样，不会再次执行新发现的无效的程序。
5.实施方式5
下面对本发明的实施方式5进行说明。
实施方式5的便携电话750安装有2张存储卡。在存储卡中的一个 上，存储有OS(操作系统)以及各种应用程序，便携电话750读出这些 程序并执行。为了便于说明，将该存储卡称作普通存储卡800。
在另一个存储卡上，加密存储有进行应受到保护的处理的程序。各 程序由程序部分和数据部分构成。为了便于说明，将该存储卡称作安全 存储卡820。
便携电话750允许安全存储卡820上的各程序读出其他程序的程序 部分，但禁止读出其他程序的数据部分。
5.1安全存储卡820
安全存储卡820如图67所示，由输入输出部821及信息存储部830 构成。
安全存储卡820具体而言是包含微处理器、RAM及ROM而构成的 计算机系统，在上述RAM、ROM中存储有计算机程序。通过上述微处 理器按照上述计算机程序动作，安全存储卡820实现其功能的一部分。
输入输出部821在与外部设备之间进行信息的输入输出。
信息存储部830存储有安全ID850、加密音乐解密程序831、加密密 钥生成程序841等。
安全ID850是安全存储卡820所固有的信息，表示保存有安全存储 卡820进行安全处理的程序。
加密音乐解密程序831包含ID832“A”、加密解密程序834及加密 解密数据836。ID832“A”是加密音乐解密程序831所固有的识别信息。
加密解密程序834是对包含解密音乐数据的过程的解密程序进行加 密而生成的，加密解密数据836是对解密程序在解密处理中所使用的参 数等数据进行加密而成的。
加密密钥生成程序841包含ID842“B”、加密生成程序844、加密密 钥数据846而构成。
ID842“B”是加密密钥生成程序841所固有的识别信息。加密生成 程序844是对包含生成加密密钥的过程的生成程序进行加密而成的，加 密密钥数据846是对上述生成程序所使用的参数等数据进行加密而成的。
5.2普通存储卡800
普通存储卡800如图68所示，包含输入输出部801和信息存储部802 而构成。
输入输出部801在信息存储部802与外部设备之间进行各种数据的 输入输出。
信息存储部802存储有以音乐再现程序808为代表的各种应用程序 及OS806。存储在信息存储部802中的程序由包含各程序所执行的处理 的过程的代码部和数据部构成。此外，在各个程序中具有固有的程序ID。 作为一例，OS806具有程序ID“OS”，音乐再现程序808具有程序ID“E”。
5.3便携电话750
便携电话750如图68所示，通过总线760连接调试器IF751、CPU752、 MMU753、中断控制器757、输入部758、显示部759、存储器761、存 储器保护部764、输入输出部765、输入输出部766、无线通信控制部768、 通信部771、天线772、麦克风769、扬声器770、缓存773、编码处理部 774、D/A变换部776而构成。
调试器IF751、MMU753、中断控制器757、输入部758、显示部759、 无线通信控制部768、通信部771、天线772、麦克风769、扬声器770、 缓存773、编码处理部774、D/A变换部776的动作及结构与实施方式1 同样，所以这里省略说明。此外，存储器761存储有各种数据及程序， CPU752一个个地取出包含在存储于存储器761、普通存储卡800及安全 存储卡820中的程序中的指令，将所取出的指令进行解密并执行。
下面，对作为本实施方式的特征部分的存储器保护部764、输入输出 部765、输入输出部766进行说明。
(1)输入输出部765及输入输出部766
输入输出部765及输入输出部766与2张存储卡中的某一个连接， 在存储卡与存储器保护部764之间进行信息的输入输出。
(2)存储器保护部764
存储器保护部764如图69所示，由解密部781、解密密钥存储部782、 访问控制部783、密钥存储部784、存储器信息存储部785及ID检测部 786构成。
(2-1)密钥存储部784
密钥存储部784将加密音乐解密程序831的解密密钥及加密密钥生 成程序841的解密密钥与各程序的ID对应起来进行存储。
(2-2)解密部781及解密密钥存储部782
解密部781从访问控制部783接受解密指示及加密文本。当接受了 解密指示时，从解密密钥存储部782读出解密密钥，利用所读出的解密 密钥对加密数据进行解密而生成明码文本。将所生成的明码文本输出给 CPU752。
这里解密部781所解密的加密数据是构成存储在安全存储卡820中 的加密音乐解密程序831、加密密钥生成程序841的加密数据。
解密密钥存储部782仅保存解密部781所使用的1个解密密钥。
(2-3)存储器信息存储部785
存储器信息存储部785如图70所示，存储有安全存储器信息表811 及普通存储器信息表861。
安全存储器信息表811由多个安全存储器信息812、813……构成。 各安全存储器信息包含有程序ID、代码地址及数据地址。
程序ID是存储在安全存储卡820中的各程序的ID。代码地址是表 示存储在安全存储卡820内的加密应用程序的程序部分所保存的区域的 地址。数据地址是表示加密应用程序的数据部分所保存的区域的地址。
具体而言，安全存储器信息812作为程序ID而包含有加密音乐解密 程序831的ID“A”832、作为代码地址而包含有加密解密程序834所存 储的地址“A000～A111”、作为数据地址而包含有加密解密数据836所 存储的地址“A222～A333”。
安全存储器信息813作为程序ID而包含有加密密钥生成程序841的 ID“B”842、作为代码地址而包含有加密生成程序844所存储的地址 “A444～A555”、作为数据地址而包含有加密密钥数据846所存储的地 址“A666～A777”。
普通存储器信息表861包含多个普通存储器信息862、863……而构 成，各普通存储器信息包含有程序ID、代码地址及数据地址。
程序ID是存储在普通存储卡800中的各程序的ID。代码地址是表 示与程序ID对应的程序的程序部分所保存的区域的地址。数据地址是表 示数据部分所存储的区域的地址。
具体而言，普通存储器信息862与存储在普通存储卡800上的OS806 对应，普通存储器信息863与音乐再现程序808对应。
(2-4)ID检测部786
ID检测部786总是监视CPU752的程序计数器(以下称作PC)，在 CPU752执行安全存储卡820上的程序的期间，CPU752存储表示执行 中的程序的程序ID。
下面，利用图71的流程图对ID检测部786的动作进行说明。另外， 为了便于说明，从步骤S801开始说明。此时，CPU752执行存储于普通 存储卡800或存储器761上的程序。
ID检测部786监视PC(步骤S801)，通过将包含在存储器信息存储 部785所存储的安全存储器信息表811及普通存储器信息表861中的各 程序的代码地址、与PC所示的地址进行比较，判断PC所示的地址是否 是安全存储卡820上的地址(步骤S802)。
如果不是安全存储卡820上的地址(步骤S802中的否)，则继续PC 的监视。
如果判断为是安全存储卡820上的地址(步骤S802中的是)，则接 着从安全存储器信息表811中选择与从PC检测出的地址对应的安全存储 器信息，提取包含在所选择的安全存储器信息中的程序ID(步骤S803)。 存储所提取的程序ID(步骤S804)。接着，向访问控制部783输出表示 开始安全存储卡820上的程序的执行的安全访问通知(步骤S805)。
接着，监视PC(步骤S806)，判断保存在PC中的地址是否是安全 存储卡820上的地址(步骤S807)。
如果判断为是安全存储卡820上的地址(步骤S807中的是)，则从 安全存储器信息表811中选择与从PC检测到的地址对应的安全存储器信 息，并提取包含在所选择的安全存储器信息中的程序ID(步骤S809)。 将所提取的程序ID与ID检测部786本身所存储的程序ID进行比较。如 果两者一致(步骤S811中的是)，则返回步骤S806，继续PC的监视。
在两者不一致的情况下(步骤S811中的否)，将所存储的程序ID替 换为所提取的程序ID(步骤S812)，回到步骤S806。
在步骤S807中，如果判断为不是安全存储卡820上的地址(步骤 S807中的否)，则消去ID检测部786本身所存储的程序ID(步骤S814)， 回到步骤S801。
(2-5)访问控制部783
访问控制部783预先存储有写入到安全存储卡820中的安全ID。
经由输入输出部765及输入输出部766检测是否安装有存储卡。如 果检测到存储卡的安装，则检索写入到存储卡中的数据。在检测到与所 存储的安全ID相同的安全ID850的情况下，检测到该存储卡为安全存储 卡820。这里，设想输入输出部765与普通存储卡800连接、输入输出部 766与安全存储卡820连接的情况。
访问控制部783当经由输入输出部765检测到普通存储卡800的安 装时，经由输入输出部765搜索存储在普通存储卡800中的信息，生成 普通存储器信息表，将所生成的普通存储器信息表保存到存储器信息存 储部785中。
此外，当经由输入输出部766检测到安全存储卡820的安装时，经 由输入输出部766搜索存储在安全存储卡820中的信息，生成安全存储 器信息表，将所生成的安全存储器信息表写入到存储器信息存储部785 中。
在CPU752访问普通存储卡800时，访问控制部783将从CPU752 输出的信号(以下称作访问信号)原样中继给普通存储卡800，并且从普 通存储卡800接受所输出的数据，将所接受的数据输出给CPU752。
在CPU752向安全存储卡820访问时，从访问信号中提取访问目的 地的地址，根据所提取的地址，进行安全存储卡820的数据的读出或读 出禁止。对于这样的访问控制部783的动作，利用图71、图72所示的流 程图详细地进行说明。另外，为了便于说明，从步骤S821开始说明。此 时，CPU752执行普通存储卡800或存储器761上的程序。
访问控制部783在CPU752与普通存储卡800之间中继数据的输入 输出(步骤S821)。
从ID检测部786接受表示开始了安全存储卡820上的程序的执行的 安全访问通知(步骤S805)。
接受了安全访问通知后，访问控制部783使调试器IF751无效化(步 骤S823)，读出存储在ID检测部786中的程序ID(步骤S824)。从密钥 存储部784读出与所读出的程序ID对应的解密密钥(步骤S826)，将所 读出的解密密钥写入到解密密钥存储部782中(步骤S827)。
接着，接受从CPU752输出的访问信号，根据所接受的访问信号， 检测访问目的地的地址(步骤S829)。
如果检测到访问目的地的地址，则从ID检测部786读出程序ID(步 骤S831)。如果读出了程序ID(步骤S832中的是)，则从安全存储器信 息表811中选择在代码地址或数据地址中包含检测到的访问目的地地址 的安全存储器信息，从所选择的安全存储器信息中提取程序ID(步骤 S834)。
将所提取的程序ID与从ID检测部786读出的程序ID进行比较，如 果两者一致(步骤S836中的是)，则将处理转移到步骤S844。
在两者不一致的情况下(步骤S836中的否)，访问控制部783再判 断所检测到的地址是包含在所选择的安全存储器信息的代码地址中、还 是包含在数据地址中(步骤S838)。在判断为包含在数据地址中的情况下 (步骤S838中的否)，将表示不能允许访问的错误通知输出给CPU752， 回到步骤S829。
在判断为包含在代码地址中的情况下(步骤S838中的是)，从密钥 存储部784读出与所提取的程序ID对应的解密密钥，将解密密钥存储部 782所存储的解密密钥变更为读出的解密密钥(步骤S842)。
接着，读出存储在与经由输入输出部766检测到的地址对应的存储 区域中的信息(步骤S844)。向解密部781指示对所读出的信息进行解密 (步骤S846)，回到步骤S829。
在步骤832中，在不存在存储于ID检测部786中的程序ID的情况 下(步骤S832中的否)，访问控制部783将存储在解密密钥存储部782 中的解密密钥消除(步骤S851)，将调试器IF751设为有效(步骤S852)， 回到步骤S821。
5.4总结·效果
如以上说明，本发明的便携电话执行存储在普通存储卡及安全存储 卡上的程序。预先对存储在安全存储卡中的程序进行加密。
在CPU752执行存储在安全存储卡820中的程序时，存储器保护部 764通过执行中的程序管理允许访问的区域和禁止访问的区域。
如果以执行音乐解密程序的情况为例进行说明，则CPU752能够访 问包含在加密音乐解密程序831中的存储加密音乐解密程序831的区域、 和加密密钥生成程序的加密生成程序844所存储的区域，但不能访问存 储有加密密钥生成程序的加密密钥数据846的区域。
这样，安全存储卡820上的各应用程序能够避免从其他应用程序访 问自身的数据部、非法地读出、变更数据的情况。
此外，由于存储在安全存储卡820中的信息已加密，所以即使在 CPU752执行安全存储卡820上的程序以外的程序的中途访问到安全存储 卡820的情况下，也不会解密。因而，能够保护安全存储卡820上的数 据不受非法的访问。
5.5有关实施方式5的变形例
在上述实施方式中，在安全存储卡820上的安全应用程序的执行中， CPU752要访问其他应用程序的数据部分的情况下，访问控制部783对 CPU752输出了错误通知，但也可以与实施方式4同样，将CPU752的执 行权转移给例如OS806。在此情况下，访问控制部783将存储在解密密 钥存储部782中的解密密钥消除，将OS806所存储的地址设定在CPU752 的程序计数器中。
6.其他变形例
以上，通过实施方式1～5对本发明进行了说明，但本发明并不限于 这些实施方式，也包括以下这样的情况。
(1)本发明也可以是执行上述实施方式1～3及变形例的方法。
(2)此外，也可以是将这些方法通过计算机实现的计算机程序，也 可以是由上述计算机程序构成的数字信号。
此外，本发明也可以是可将上述计算机程序或上述数字信号存储到 计算机可读取的存储介质、例如软盘、硬盘、CD-ROM、MO、DVD、 DVD-ROM、DVD-RAM、BD(Blu-ray Disc)、半导体存储器等中而成的。 此外，也可以是存储在这些存储介质中的上述计算机程序或上述数字信 号。
此外，本发明也可以是将上述计算机程序或上述数字信号经由电气 通信线路、无线或有线通信线路、以因特网为代表的网络、数据广播等 传送的系统。
此外，本发明也可以是具备微处理器和存储器的计算机系统、上述 存储器存储有上述计算机程序，上述微处理器按照上述计算机程序而动 作。
此外，可以通过将上述程序或上述数字信号存储在上述存储介质中 并移送、或通过将上述程序或上述数字信号经由上述网络等移动，来通 过独立的其他计算机系统来实施。
(3)也可以将上述实施方式及上述变形例分别组合。
工业实用性
构成本发明的各装置及存储介质可以在处理需要保护的信息的产 业、例如包括影像及声音的内容的制作、有关配给的产业、以及制造并 销售处理这些信息的电器设备的产业中，经营性地或持续且反复使用。 此外，构成本发明的各装置及存储介质可以在电器设备制造产业中，经 营性地或持续且反复制造、销售。