<実施の形態>
 以下、本発明に係るアクセス制御装置の一� ��施形態として、複数のプログラムそれぞれ� ��らの資源へのアクセスを制御するアクセス� ��御装置について説明する。

 <構成>
 本実施の形態に係るアクセス制御装置は、� ��証局によって正当性を認証されているアプ� ��ケーションプログラムに限って資源の利用� ��求を受け付け、受け付けたアプリケーショ� ��プログラムの資源利用に関する優先度等に� ��づいて、アプリケーションプログラムによ� ��資源へのアクセスを排他的に制御するアク� ��ス制御装置である。

 以下、本実施の形態に係るアクセス制御� ��置の構成について、図面を参照しながら説� ��する。

 図1は、本実施の形態に係るアクセス制御 装置100と、プログラム群101と、資源102と、認 証局103とからなる資源アクセスシステム1000� �構成を示す構成図である。

 アクセス制御装置100は、図示していない� ��ロセッサ、メモリ、メモリコントローラ、� ��イマ、ハードディスク等のハードウエアと� ��このハードウエア上で実行されるOS(Operating� �System)とによって実現される、プログラム群1 01を構成する複数のアプリケーションプログ� ��ムそれぞれからの資源102へのアクセスを制� ��するアクセス制御装置である。

 ここで、アプリケーションプログラムが� ��源をアクセスするとは、アプリケーション� ��ログラムを構成する、メモリへの読み出し� ��書き込み等の命令が、プロセッサによって� ��読、実行されることで、資源へのデータの� ��み出し、資源へのデータの書き込み等がな� ��れることをいう。

 プログラム群101は、資源102にアクセスす� ��アプリケーションプログラム(以後、単に「 プログラム」と呼ぶ)複数個から構成され、� �プログラムは、このOS上で実行される。

 資源102は、メモリコントローラに物理ア� ��レスを指定することでアクセスされる資源� ��あって、アクセス制御装置100によって、プ� ��グラム群101を構成するプログラムからのア� ��セスを制御されている。

 認証局103は、プログラムが資源にアクセ� ��することの正当性を認証する認証局であっ� ��、アクセス制御装置100は、認証局103が認証� ��ているプログラムから資源へのアクセスに� ��って、アクセスを許可する。

 以下、プログラム群101、資源102、認証局1 03、及び、アクセス制御装置100ついて、図を� ��いながら順に説明する。

  <プログラム群101>
 プログラム群101を構成するプログラムは、� ��源102を1回以上アクセスする一連の処理から なる処理ルーチン(以後「資源アクセス処理� �ーチン」と呼ぶ)と、プログラムに含まれる� ��理ルーチンのうち、OSからの通知を受けて� �作する処理ルーチンそれぞれの開始アドレ� �を、OSに通知する処理ルーチン(以後「OS通知 処理ルーチン」と呼ぶ)とを含んでいるプロ� �ラムである。

 資源アクセス処理ルーチンは、資源102を1 回以上アクセスする一連の処理を開始する際 に、要求受付部111に対して資源102の利用を要 求し、一連の処理を終了する際に、許可情報 書換部115に資源アクセス処理ルーチンの実行 終了の旨を通知する。

 プログラムが要求受付部111に対して資源1 02の利用を要求する為に、OSは、プログラム� �ら資源を指定されて呼び出されると、要求� �付部111が、呼び出したプログラムを特定す� �情報と、指定された資源を特定する情報と� �ポリシィ保持部112が保持するポリシィ情報� �から、資源アクセス情報を作成する処理を� �始する資源利用API(Application Program Interface)� �備えている。

 この資源利用APIは、プログラムから呼び� ��されると、要求受付部111が、戻り値として� ��プログラムが資源を利用する際に使用する� ��理アドレス空間の開始アドレス(以後「開始 論理アドレス」と呼ぶ)を、呼び出したプロ� �ラムに戻す。

 資源アクセス処理ルーチンは、資源102を� ��クセスする場合に、戻り値として戻された� ��始論理アドレスを用いて作成する論理アド� ��スを指定して、資源102にアクセスする。

 OSはさらに、プログラムが許可情報書換� �115に資源アクセス処理ルーチンの実行終了� �旨を通知する為に、プログラムから呼び出� �れると、許可情報書換部115が、許可情報保� �部113で保持する、呼び出したプログラムに� �応する資源アクセス情報を削除する処理を� �始する終了処理APIと、プログラムがOSに処理 ルーチンの開始アドレスを通知する為に、プ ログラムから処理ルーチンの開始アドレスを 指定されて呼び出されると、OSに、処理ルー� ��ンの開始アドレスを関連付けて記憶させる� ��ドレス通知APIとを備えている。

 本実施の形態は、資源アクセス情報を削� ��する場合が、資源アクセス情報を消去して� ��在しない状態にする場合である一実施例と� ��っている。

  <資源102>
 資源102は、メモリコントローラに物理アド� ��スを指定することでアクセスされる資源で� ��って、保護メモリ121と、共用メモリ122と、� ��号エンジン123とから構成されている。

 暗号エンジン123は、暗号処理用ハードウ� ��アであって、そのレジスタをメモリアドレ� ��として割り当てられることによって、他の� ��モリと同様のインターフェースで、レジス� ��への読み出し、書き込み等の操作が行われ� ��。

 図2は、資源102を構成する保護メモリ121、 共用メモリ122、暗号エンジン123に割り当てら れている物理アドレスを示す図である。

 保護メモリ121は、物理アドレスの開始ア� ��レスが0x00010000でサイズが0x010000のメモリで� ��って、割り当てられている物理アドレスが0 x00010000~0x0001FFFFである。

 同様に、共用メモリ122は、割り当てられ� ��いる物理アドレスが0x000B0000~0x000BFFFFのメモ� ��であって、暗号エンジン123は、割り当てら� ��ている物理アドレスが0xE0004000~0xE0005FFFFの暗 号処理用ハードウエアである。

  <認証局103>
 認証局103は、プログラムを示す情報と、そ� ��プログラムがアクセスする資源の情報と、� ��のプログラムが資源にアクセスする際の優� ��度の情報と、そのプログラムが資源にアク� ��スする際のアクセス方式の情報とを受け取� ��と、特定のプログラムが特定の資源に特定� ��優先度で特定のアクセス方式でアクセスす� ��ことを認証し、認証したことを証明する証� ��書を発行する、証明書発行システムである� ��

 認証局103は、特定のプログラムが特定の� ��源に特定の優先度で特定のアクセス方式で� ��クセスすることに不都合がない場合に、特� ��のプログラムと特定の資源と特定の優先度� ��特定のアクセス方式との情報を対応付けた� ��報であるポリシィ情報を作成し、作成した� ��リシィ情報を、優先度毎に異なる秘密鍵を� ��って暗号化することで、証明書として発行� ��る。

  <アクセス制御装置100>
 アクセス制御装置100は、認証局103によって� ��当性を認証されているプログラムに限って� ��源102の利用要求を受け付け、受け付けたプ� ��グラムの資源利用に関する優先度等に基づ� ��て、プログラムによる資源102へのアクセス� ��制御するアクセス制御装置であって、要求� ��付部111と、ポリシィ保持部112と、許可情報� ��持部113と、待機情報保持部114と、許可情報� ��換部115と、許可情報追加部116と、アドレス� ��換テーブル118を含むアクセス許可部117とか� ��構成されている。

 以下、アクセス制御装置100を構成する各� ��ロックについて、図を用いながら順に説明� ��る。

  <ポリシィ保持部112>
 ポリシィ保持部112は、アクセス制限情報(後 述)を保持し、認証局103が発行した証明書を� �秘密鍵に対応する公開鍵を使ってポリシィ� �報に復号し、少なくとも復号したポリシィ� �報の内容が、アクセス制限情報の制限に違� �していないという条件を満たすポリシィ情� �に限って、そのポリシィ情報を保持するブ� �ックである。

 また、ポリシィ保持部112は、図示してい� ��いディスプレイを備え、証明書を復号した� ��に、復号したポリシィ情報を保持した場合� ��、登録成功の旨を示すメッセージを表示し� ��復号したポリシィ情報を保持しなかった場� ��に、登録失敗の旨を示すメッセージを表示� ��る。

 図3は、ポリシィ保持部112が保持するポリ シィ情報を示す図である。

 ポリシィ情報は、プログラムID(IDentificatio n)302で特定されるプログラムが、優先度303で� ��される優先度で、保護メモリ121、共用メモ� ��122、又は、暗号エンジン123に、占有方式、� ��は共有方式のいずれかの方式でアクセスす� ��ことが許されている、もしくはアクセスす� ��ことが許されていない旨を示す情報である� ��

 ここで、アクセスする方式が占有方式と� ��、プログラムが資源にアクセスする際の方� ��が他のプログラムによる資源のアクセスを� ��めない排他的なアクセスである方式のこと� ��あり、共有方式とは、プログラムが資源に� ��クセスする際の方式が他のプログラムによ� ��資源のアクセスを認める排他的でないアク� ��スである方式のことである。

 例えば、図3において、ポリシィ番号301が 2であるポリシィ情報は、プログラムIDが0002� �あるプログラムが、優先度2で、保護メモリ1 21には占有方式でのアクセス、共用メモリ122� ��は共有方式でのアクセス、暗号エンジン123� ��は共有方式でのアクセスが許されている旨� ��示している。

 図4は、ポリシィ保持部112が保持するアク セス制限情報を示す図である。

 アクセス制限情報とは、優先度401で示さ� ��る優先度を持つプログラムは、保護メモリ1 21、共用メモリ122、又は、暗号エンジン123に� ��占有方式、又は共有方式のいずれかの方式� ��アクセスすることが許されている、もしく� ��アクセスすることが許されていない旨を示� ��情報であって、予めポリシィ保持部112の一� ��として組み込まれている情報である。

 例えば、図4において、優先度3が付与さ� �ているプログラムは、保護メモリ121には占� �アクセス方式でのアクセスが許され、共用� �モリ122には共有アクセス方式でのアクセス� �許され、暗号エンジン123には共有アクセス� �式でのアクセスが許されている旨を示して� �るので、ポリシィ保持部112は、優先度が3で� ��るポリシィ情報であれば、プログラムが保� ��メモリ121へ占有アクセス方式でアクセスし� ��共用メモリ122へ共有アクセス方式でアクセ� ��し、プログラムが暗号エンジン123へ共有ア� ��セス方式でアクセスすることを示すポリシ� ��情報に限って、保持する。

  <要求受付部111>
 要求受付部111は、プログラム群101を構成す� ��プログラムから、資源102を利用する要求を� ��れると、プログラムの情報と資源の情報と� ��先度の情報とアクセス方式の情報とを対応� ��けた情報である資源アクセス情報を作成し� ��プログラムに対して開始論理アドレスを戻� ��値として戻すブロックである。

 要求受付部111は、プログラムから、資源1 02を利用する要求をされると、ポリシィ保持� ��112で保持するポリシィ情報の中に、要求を� ��したプログラムに対応するポリシィ情報が� ��るか否かを検索し、要求を出したプログラ� ��に対応するポリシィ情報がある場合であっ� ��、許可情報保持部113に対応する資源アクセ� ��情報が存在しないときに限って、対応する� ��リシィ情報の、プログラムの情報と資源の� ��報と優先度の情報とアクセス方式の情報と� ��参照して資源アクセス情報を作成し、許可� ��報書換部115又は許可情報追加部116から開始� ��理アドレスを通知されると、要求を出した� ��ログラムに対して、通知された開始論理ア� ��レスを、戻り値として戻す。

 ここでは、要求受付部111が資源アクセス� ��報を作成することをもって、要求受付部111� ��プログラムからの資源への利用要求を受け� ��けたこととする。

 なお、要求を出したプログラムに対応す� ��ポリシィ情報が、ポリシィ保持部112にない� ��合には、要求受付部111は要求を出したプロ� ��ラムの実行を停止させる。

  <許可情報保持部113>
 許可情報保持部113は、要求受付部111が作成� ��た資源アクセス情報のうち、アクセス制御� ��置100がプログラムに対して資源102へのアク� ��スを許可している資源アクセス情報を、開� ��論理アドレスと対応付けて保持するブロッ� ��である。

 図5は、許可情報保持部113が、開始論理ア ドレスと対応付けて保持する資源アクセス情 報を示すものである。

 許可情報保持部113は、資源名501と物理ア� ��レス502とで特定される資源と、プログラムI D506で特定されるプログラムと、優先度507で� �定される優先度と、アクセス方式508とで特� �されるアクセス方式とを対応付けた情報で� �る資源アクセス情報と、開始論理アドレス50 9とを対応付けて保持する。

 ここで、開始論理アドレス509は、資源ア� ��セス情報が初めて許可情報保持部113に保持� ��れる場合にのみ、許可情報書換部115又は許� ��情報追加部116によって、資源アクセス情報� ��基にして作成される。

 例えば、図5において、許可情報保持部113 は、保護メモリ121を、プログラムID0001のプロ グラムが、優先度5で、占有方式でアクセス� �るという資源アクセス情報と、プログラムID 0001のプログラムに対して開始論理アドレス� �して0xA0000を対応付けて記憶している。

  <待機情報保持部114>
 待機情報保持部114は、要求受付部111が作成� ��た資源アクセス情報のうち、資源へのアク� ��スを許可していない資源アクセス情報、す� ��わち、資源へのアクセスが許可されること� ��待機しているプログラムに対応する資源ア� ��セス情報を、論理開始アドレスと、保持開� ��時刻とを対応付けて保持するブロックであ� ��。

 図6は、待機情報保持部114が、論理開始ア ドレスと、保持開始時刻とを対応付けて保持 する資源アクセス情報を示すものである。

 待機情報保持部114は、資源名601と物理ア� ��レス602とで特定される資源と、プログラムI D606で特定されるプログラムと、優先度607で� �定される優先度と、アクセス方式608とで特� �されるアクセス方式とを対応付けた情報で� �る資源アクセス情報と、開始論理アドレス60 9と、この資源アクセス情報を保持した時刻� �示す保持開始時刻610とを対応付けて保持す� �。

 開始論理アドレス609は、前述したように� ��許可情報保持部113で保持されたことがある� ��源アクセス情報に対してのみ、提供されて� ��る為、許可情報保持部113で保持されたこと� ��ない資源アクセス情報に対しては、対応付� ��るべき開始論理アドレスは存在しない。

 例えば、図6において、待機情報保持部114 は、保護メモリ121の待ちスロット番号2のス� �ットに、保護メモリ121を、プログラムID0009� �プログラムが、優先度4で、占有方式でアク� ��スするという資源アクセス情報と、プログ� ��ムID0009のプログラムに対して開始論理アド� ��スとして0x90000を提供しているという情報と 、この資源アクセス情報を保持した時刻が、 2009年4月4日21時00分01秒33であるという情報と� ��対応付けて記憶している。

  <許可情報書換部115>
 許可情報書換部115は、要求受付部111が資源� ��クセス情報を作成した場合に、作成された� ��源アクセス情報を、許可情報保持部113か待� ��情報保持部114かのいずれか一方に追加する� ��能と、許可情報保持部113が保持する資源ア� ��セス情報に対応するプログラムから、資源� ��クセス処理ルーチンの実行終了の旨を通知� ��れると、その資源アクセス情報を許可情報� ��持部113から削除する機能とを備えるブロッ� ��である。

 ここで、要求受付部111が作成した資源ア� ��セス情報が、アクセス制御装置100がプログ� ��ムから資源へのアクセスを許可する資源ア� ��セス情報である場合に、資源アクセス情報� ��許可情報保持部113に追加し、許可しない資� ��アクセス情報である場合に、資源アクセス� ��報を待機情報保持部114に追加する。

 以下、許可情報書換部115の機能を、いく� ��かの場合にわけて説明する。

 許可情報書換部115は、許可情報保持部113� ��、資源アクセス情報を追加する場合に、1)� �源アクセス情報に基づいて、開始論理アド� �スと、論理アドレスを物理アドレスに変換� �る為の情報(以後「アドレス変換情報」と呼� ��)とを作成し、2)資源アクセス情報を、作成� ��た開始論理アドレスと対応付けて、許可情� ��保持部113に追加し、3)作成したアドレス変� �情報を、プログラムを示す情報と対応付け� �、アドレス変換テーブル構成要素とし、作� �したアドレス変換テーブル構成要素を、ア� �セス許可部117が保持する、アドレス変換テ� �ブル118に追加し、4)作成した論理開始アドレ スを、要求受付部111に通知し、5)資源アクセ� ��情報に対応するプログラムに対して対応す� ��資源へのアクセスを許可する旨を示す許可� ��報を通知する。

 許可情報書換部115が、プログラムに対し� ��許可情報を通知すると、プログラムは、資� ��アクセス処理ルーチンの実行を開始する。

 許可情報書換部115は、要求受付部111が作� ��した資源アクセス情報を許可情報保持部113� ��追加しようとする場合において、作成した� ��源アクセス情報が示す資源と一致する資源� ��、許可情報保持部113が既に保持している資� ��アクセス情報が示す資源の中にあるときに� ��、一致する資源を示す許可情報保持部113で� ��持している資源アクセス情報を、許可情報� ��持部113から削除して待機情報保持部114に追� ��する。

 許可情報書換部115は、許可情報保持部113� ��保持している資源アクセス情報を削除する� ��合に、対応するプログラムに対して、対応� ��る資源へのアクセスの許可を取り消す旨を� ��す削除情報を通知し、アクセス許可部117の� ��ドレス変換テーブル118から対応するアドレ� ��変換テーブル構成要素を削除する。

 許可情報書換部115がプログラムに対して� ��除情報を通知すると、プログラムは、プロ� ��ラムを終了する為の後処理をして、プログ� ��ムを終了する。

  <許可情報追加部116>
 許可情報追加部116は、許可情報保持部113が� ��持する資源アクセス情報が更新される場合� ��、待機情報保持部114で保持する資源アクセ� ��情報を許可情報保持部113に追加する機能を� ��えるブロックである。

 以下、許可情報追加部116の機能を、いく� ��かの場合にわけて説明する。

 許可情報追加部116は、許可情報保持部113� ��保持する資源アクセス情報が更新された場� ��において、待機情報保持部114で保持してい� ��資源アクセス情報の中に、許可情報保持部1 13に追加できる資源を示す資源アクセス情報( 以後「該当資源アクセス情報」と呼ぶ)があ� �とき、該当資源アクセス情報の中から許可� �報保持部113で保持すべき資源アクセス情報(� ��後「追加資源アクセス情報」と呼ぶ)を選択 し、選択した追加資源アクセス情報を待機情 報保持部114から削除し、許可情報保持部113に 追加する。

 ここで、許可情報保持部113に追加できる� ��源とは、1)アクセス方式が占有方式であっ� �、許可情報保持部113が保持する全ての資源� �クセス情報が示す資源を含まない資源か、2) アクセス方式が共有方式であって、許可情報 保持部113が保持する資源アクセス情報が示す 資源のうちアクセス方式が占有方式である資 源を含まない資源かのいずれかの資源のこと を言う。

 追加資源アクセス情報の選択条件につい� ��は、後程詳細に説明する。

 許可情報追加部116は、許可情報保持部113� ��資源アクセス情報を追加する場合であって� ��追加する資源アクセス情報に対応する開始� ��理アドレスが、待機情報保持部114に保持さ� ��ていなかったときに、1)資源アクセス情報� �基づいて、開始論理アドレスと、アドレス� �換情報とを作成し、2)資源アクセス情報を、 作成した開始論理アドレスと対応付けて許可 情報保持部113に追加し、3)作成したアドレス� ��換情報を、プログラムを示す情報と対応付� ��て、アドレス変換テーブル構成要素とし、� ��成したアドレス変換テーブル構成要素を、� ��クセス許可部117が保持する、アドレス変換� ��ーブル118に追加し、4)作成した論理開始ア� �レスを、要求受付部111に通知し、5)資源アク セス情報に対応するプログラムに対して対応 する資源へのアクセスを許可する旨を示す追 加情報を通知する。

 許可情報追加部116が、プログラムに対し� ��追加情報を通知すると、プログラムは、資� ��アクセス処理ルーチンの実行を開始する。

 許可情報追加部116は、許可情報保持部113� ��資源アクセス情報を追加する場合であって� ��追加する資源アクセス情報に対応する開始� ��理アドレスが、待機情報保持部114に保持さ� ��ていたときに、1)資源アクセス情報に基づ� �て、アドレス変換情報を作成し、2)資源アク セス情報を、開始論理アドレスと対応付けて 許可情報保持部113に追加し、3)作成したアド� ��ス変換情報を、プログラムを示す情報と対� ��付けて、アドレス変換テーブル構成要素と� ��、作成したアドレス変換テーブル構成要素� ��、アクセス許可部117が保持する、アドレス� ��換テーブル118に追加し、4)作成した論理開� �アドレスを、要求受付部111に通知し、5)資源 アクセス情報に対応するプログラムを起動す る。

  <アクセス許可部117>
 アクセス許可部117は、プログラムに含まれ� ��、資源の読み書きに係る命令をプロセッサ� ��デコーダがデコードする場合に、資源の読� ��書きに係る命令で指定される論理アドレス� ��、アドレス変換テーブル118を用いて、対応� ��る物理アドレスに変換し、変換した物理ア� ��レスを用いて、資源102へのアクセスを管理� ��ているメモリコントローラを動作させるこ� ��で、資源への読み書きを行うブロックであ� ��て、その一部は、プロセッサのデコーダの� ��部によって構成されている。

 アクセス許可部117が保持するアドレス変� ��テーブル118は、プログラムを示す情報と、� ��理アドレスを物理アドレスに変換する為の� ��報であるアドレス変換情報とを対応付けた� ��報である、アドレス変換テーブル構成要素� ��複数保持している。

 アクセス許可部117は、アドレス変換テー� ��ル118の保持する、アドレス変換テーブル構� ��要素に対応するプログラムにのみ、対応す� ��アドレス変換情報を用いて、論理アドレス� ��物理アドレスに変換する。

 アクセス許可部117は、アドレス変換テー� ��ル118を構成する、アドレス変換テーブル構� ��要素に対応するプログラム以外のプログラ� ��が、資源102への読み書きを行う場合には、� ��外を発生して、OSにそのプログラムの実行� �停止させる。

 <動作>
  <資源の利用要求を受けた場合の動作>
 以下、図面を使って、プログラムからの資� ��の利用要求を受けた場合の動作について説� ��する。

 図7、8は、プログラム群101を構成するプ� �グラムから資源102の利用要求を受けた場合� �動作を示すフローチャートである。

 要求受付部111は、プログラム群101の中の� ��ログラムから資源102を利用する要求をされ� ��(ステップS100)と、ポリシィ保持部112で保持� ��るポリシィ情報の中に、要求を出したプロ� ��ラムに対応するポリシィ情報があるか否か� ��検索し(ステップS110)、該当するポリシィ情� ��がある場合(ステップS110:Yes)には、許可情報 保持部113に要求を出したプログラムに対応す る資源アクセス情報があるか否かを検索し(� �テップS113)、対応する資源アクセス情報を見 つけられなかったら(ステップS113:Yes)、要求� �出したプログラムに対応する資源アクセス� �報を作成して(ステップS116)資源利用要求を� �け付ける。

 要求受付部111が資源利用要求を受け付け� ��と、許可情報書換部115は、要求受付部111が� ��成した資源アクセス情報(以後「新規資源ア クセス情報」と呼ぶ)の示す資源と同一の資� �(以後「重複資源」と呼ぶ)を示す資源アクセ ス情報(以後「重複資源アクセス情報」と呼� �)が許可情報保持部113に保持されているか否� ��を検索する(ステップS120)。

 許可情報書換部115は、重複資源アクセス� ��報が許可情報保持部113に保持されている場� ��(ステップS120:Yes)、新規資源アクセス情報が 示すプログラム(以後「新規プログラム」と� �ぶ)が重複資源にアクセスするアクセス方式� ��、重複資源アクセス情報が示すプログラム( 以後「重複プログラム」と呼ぶ)が重複資源� �アクセスするアクセス方式のうち、少なく� �も一方のアクセス方式が占有方式であれば(� ��テップS130:Yes)、新規プログラムが重複資源� ��アクセスする優先度と、重複プログラムが� ��複資源にアクセスする優先度とを比較し(ス テップS140)、新規プログラムが重複資源にア� ��セスする優先度のほうが重複プログラムの� ��複資源にアクセスする優先度よりも高けれ� ��(ステップS140:Yes)、許可情報書換部115は、重 複プログラムに対して削除情報を通知する(� �テップS150)。

 許可情報書換部115が重複プログラムに対� ��て削除情報を通知すると、重複プログラム� ��、前述した後処理を実行してプログラムを� ��了する。

 許可情報書換部115は、削除情報を通知し� ��から所定の時間経過すると、許可情報保持� ��113から重複資源アクセス情報と、対応する� ��始論理アドレスとを削除する(ステップS160)� ��

 ここでいう所定の時間とは、重複プログ� ��ムが後処理を実行してプログラムを終了す� ��のに必要な、予め定めておいた時間のこと� ��いい、ここでは、全てのプログラムに対し� ��一律同じ時間に設定してあり、許可情報書� ��部115は、図示していないタイマを使って所� ��の時間を計測している。

 許可情報書換部115は、許可情報保持部113� ��ら重複資源アクセス情報と、対応する開始� ��理アドレスとを削除すると、アドレス変換� ��ーブル118から該当するアドレス変換テーブ� ��構成要素を削除し(ステップS170)、重複資源� ��クセス情報を、対応する開始論理アドレス� ��対応付けて、待機情報保持部114に追加(ステ ップS250)する。

 許可情報書換部115は、重複資源アクセス� ��報を待機情報保持部114に追加すると、新規� ��クセス情報に対応するアドレス変換テーブ� ��構成要素を作成し、許可情報保持部113に、� ��規資源アクセス情報を、作成した論理開始� ��ドレスに対応付けて追加して(ステップS260)� ��アドレス変換テーブル118に作成したアドレ� ��変換テーブル構成要素を追加する(ステップ S270)。

 許可情報書換部115は、ステップS270を実行 する、もしくは、ステップS113において、要� �受付部111が、許可情報保持部113に、要求を� �したプログラムに対応する資源アクセス情� �を見つけると(ステップS113:No)、要求を出し� �プログラムに対応する開始論理アドレスを� �求受付部111に通知し、要求を出したプログ� �ムに、許可情報を通知する。

 要求受付部111は、許可情報書換部115から� ��始論理アドレスを通知されると、通知され� ��開始論理アドレスを戻り値として、要求を� ��したプログラムに返して(ステップS280)資源� ��利用要求を受けた場合の動作を終了する。

 プログラムは、許可情報と開始論理アド� ��スと通知されると、資源アクセス処理ルー� ��ンを開始する。

 ステップS140において、新規プログラムが 重複資源にアクセスする優先度のほうが重複 プログラムが重複資源にアクセスする優先度 よりも高くなければ(ステップS140:No)、許可情 報書換部115は、新規資源アクセス情報を待機 情報保持部114に追加(ステップS180)して、資源 の利用要求を受けた場合の動作を終了する。

 ステップS120において、許可情報保持部113 に重複資源アクセス情報が保持されていない 場合(ステップS120:No)、または、ステップS130� �おいて、新規プログラムが重複資源にアク� �スするアクセス方式と、重複プログラムが� �複資源にアクセスするアクセス方式との双� �が共有方式である場合(ステップS130:No)には� �許可情報書換部115は、上述したステップS260~ ステップS280の動作を行い、資源の利用要求� �受けた場合の動作を終了する。

 ステップS110において該当するポリシィ情 報がない場合(ステップS110:No)には、要求受付 部111は、プログラムの実行を停止させて(ス� �ップS200)、資源の利用要求を受けた場合の動 作を終了する。

  <資源アクセス処理ルーチンが終了した� ��合の動作>
 以下、図面を使って、資源アクセス処理ル� ��チンが終了した場合の動作について説明す� ��。

 図9は、資源アクセス処理ルーチンが終了 した場合の動作を示すフローチャートである 。

 プログラムは、資源アクセス処理ルーチ� ��を終了すると、許可情報書換部115に実行終� ��の旨を通知する(ステップS300)。

 許可情報書換部115は、プログラムから実� ��終了の旨を通知されると、許可情報保持部1 13から、資源アクセス情報と、対応する開始� ��理アドレスとを削除し(ステップS310)、アド� ��ス変換テーブル118から該当するアドレス変� ��テーブル構成要素を削除して(ステップS320)� ��資源アクセス処理ルーチンが終了した場合� ��動作を終了する。

  <許可情報保持部113が更新される場合の� ��作>
 以下、図面を使って、許可情報保持部113の� ��持する内容が更新された場合の動作につい� ��説明する。

 図10は、プログラムからの資源の利用要� �を受け付けた場合や、実行中のプログラム� �終了した場合等において、許可情報保持部11 3の保持する情報が更新されるときの動作を� �すフローチャートである。

 許可情報保持部113の保持する情報が更新� ��れる(ステップS400)と、許可情報追加部116は� ��待機情報保持部114の保持する資源アクセス� ��報の中に、許可情報保持部113に追加するこ� ��ができる資源がある場合(ステップS410:Yes)に おいて、該当する資源アクセス情報が複数(� �テップS420:Yes)であれば、該当する資源アク� �ス情報の該当する優先度を比較する(ステッ� ��S430)。

 許可情報追加部116は、優先度を比較した� ��果、最も優先度が高い資源アクセス情報が� ��数ある場合(ステップS430:Yes)には、待機情報 保持部114に保持された時刻が最も早い資源ア クセス情報を追加資源アクセス情報として選 択し(ステップS440)、最も優先度が高い資源ア クセス情報が1つである場合(ステップS430:No)� �は、その最も優先度が高い資源アクセス情� �を追加資源アクセス情報として選択し(ステ� ��プS450)、また、ステップS420において、該当� ��る資源アクセス情報が1つであった場合(ス� �ップS420:No)には、該当する資源アクセス情報 を追加資源アクセス情報として選択する。

 許可情報追加部116は、追加資源アクセス� ��報を選択する場合において、対応する開始� ��理アドレスが待機情報保持部114で保持され� ��いれば、1)追加資源アクセス情報を開始論� �アドレスに対応付けて、許可情報保持部113� �追加し(ステップS470)、2)アドレス変換テーブ ル構成要素を作成して、作成したアドレス変 換テーブル構成要素をアドレス変換テーブル 118に追加して(ステップS480)要求受付部111に論 理開始アドレスを通知し、3)待機情報保持部1 14から、追加資源アクセス情報と、対応する� ��始論理アドレスと保持開始時刻とを削除し� ��4)追加資源アクセス情報に対応するプログ� �ムを起動する。

 また、許可情報追加部116は、追加資源ア� ��セス情報を選択する場合において、対応す� ��開始論理アドレスが待機情報保持部114で保� ��されていなければ、1)開始論理アドレスを� �成し、追加資源アクセス情報を開始論理ア� �レスに対応付けて、許可情報保持部113に追� �し(ステップS470)、2)アドレス変換テーブル構 成要素を作成して、作成したアドレス変換テ ーブル構成要素をアドレス変換テーブル118に 追加して(ステップS480)要求受付部111に論理開 始アドレスを通知し、3)待機情報保持部114か� ��、追加資源アクセス情報と、対応する開始� ��理アドレスと保持開始時刻とを削除し、4)� �加資源アクセス情報に対応するプログラム� �、許可情報を通知する。

 要求受付部111は、開始論理アドレスを通� ��されると、通知された開始論理アドレスを� ��り値として対応するプログラムに返す(ステ ップS490)。

 論理アドレスを物理アドレスに変換する� ��作については、後程詳細に説明する。

 要求受付部111が、開始論理アドレスを追� ��資源アクセス情報に対応するプログラムに� ��知する(ステップS490)と、再びステップS410に 戻って、以降の処理を継続する。

 ステップS410において、許可情報追加部116 は、待機情報保持部の保持する資源アクセス 情報の中に追加することができる資源がない (ステップS410:No)と、許可情報保持部113が更新 される場合の動作を終了する。

  <プログラムが資源にアクセスする動作& gt;
 以下、図面を使って、プログラムが資源に� ��クセスする動作について説明する。

 図11は、プログラムに含まれる資源の読� �書きに係る命令を、プロセッサのデコーダ� �デコードして、資源102への読み書きを行う� �作を示すフローチャートである。

 アクセス許可部117は、論理アドレスを指� ��することで資源102の読み書きを行う命令を� ��プロセッサの命令フェッチ部から受け取る( ステップS600)と、アクセス許可部117は、受け� ��った命令のデコードを開始する。

 アクセス許可部117は、命令のデコードを� ��始すると、アドレス変換テーブル118の中に� ��対応するアドレス変換テーブル構成要素が� ��るか否かを確認し(ステップS610)、アドレス� ��換テーブル構成要素がある場合(ステップS61 0:Yes)、対応するアドレス変換情報に基づいて 、論理アドレスを物理アドレスに変換して(� �テップS620)、変換した物理アドレスを用いて 、受け取った命令のデコードを完了する。

 さらに、アクセス許可部は、物理アドレ� ��を含むデコード後の命令を用いて、資源102� ��のアクセスを管理しているメモリコントロ� ��ラを動作させることで、資源102への読み書� ��を行い、プログラムが資源にアクセスする� ��作を終了する。

 ステップS610において、対応するアドレス 変換テーブルがない場合(ステップS610:No)、ア クセス許可部117は、割り込みを発生して、OS� ��プログラムの実行を停止させる処理ルーチ� ��を実行させることで、プログラムの実行を� ��止させて(ステップS630)、プログラムが資源� ��アクセスする動作を終了する。

  <ポリシィ情報を更新する動作>
 以下、図面を使って、認証局103からの証明� ��を受け取る場合の動作について説明する。

 図12は、認証局103から証明書受け取って� �ポリシィ情報をポリシィ保持部112に登録す� �場合の動作を示すフローチャートである。

 認証局103は、受け取ったプログラムが特� ��の資源に特定の優先度で特定のアクセス方� ��でアクセスすることに不都合がない場合に� ��受け取ったプログラムが特定の資源に特定� ��優先度で特定のアクセス方式でアクセスす� ��ことを認証し、認証した特定のプログラム� ��特定の資源と特定の優先度と特定のアクセ� ��方式との情報を対応付けた情報であるポリ� ��ィ情報を作成する。

 認証局103は、作成したポリシィ情報を、� ��先度毎に異なる秘密鍵を使って暗号化し、� ��号化したものを証明書としてプログラム所� ��者へ提出する。

 認証局103は、秘密鍵に対応する公開鍵を� ��く一般に公開している。

 プログラム所有者は、証明書を受け取る� ��、証明書をポリシィ保持部112に入力する。

 アクセス制御装置100を用いて資源102にア� ��セスするプログラムの所有者は、そのプロ� ��ラムと、そのプログラムが使用する資源と� ��その資源を使用する際の優先度と、その資� ��を使用する際のアクセス方式とを認証局103� ��提出する。

 認証局103は、特定のプログラムが特定の� ��源に特定の優先度で特定のアクセス方式で� ��定のアクセス方式でアクセスすることの正� ��性を認証すると、ポリシィ情報を作成し、� ��成したポリシィ情報に対して、優先度毎に� ��応する秘密鍵を使って暗号化して証明書を� ��成する。

 ここで使用する秘密鍵に対応する公開鍵� ��、予め広く一般に公開している。

 ポリシィ保持部112は、認証局が証明書作� ��の際に使用する秘密鍵に対応する公開鍵を� ��め保持しておく(ステップS700)。

 認証局103で作成したポリシィ情報を、ポ� ��シィ保持部112に登録させたいプログラムの� ��有者は、認証局103が発行した証明書をポリ� ��ィ保持部112に入力し、ポリシィ保持部112は� ��証明書を入力されると(ステップS710)、優先� ��0~5の6種類の優先度のそれぞれに対応する6� �の公開鍵を使って、証明書を正しく解読で� �るか否かを確かめる(ステップS720)。

 ここで、OSは、証明書を指定して呼びだ� �と、ポリシィ保持部112が指定された証明書� �解読処理を開始する証明書入力APIを備えて� �り、プログラムの所有者が、証明書入力API� �呼び出すプログラムを、OS上で実行すること で、プログラムの所有者は、証明書をポリシ ィ保持部112に入力する。

 ポリシィ保持部112は、6つの公開鍵のうち のいずれか1つの公開鍵で証明書を正しく解� �する(ステップS720:Yes)と、1)解読したことに� �って得られたポリシィ情報の優先度と、解� �に使用した公開鍵に対応する優先度とが一� �して、2)解読したことによって得られたポリ シィ情報における、優先度と資源とアクセス 条件との組み合わせが、ポリシィ保持部112が 保持するアクセス制限情報の制限に違反して いなければ、登録要求内容が正当な要求であ ると判断し(ステップS730:Yes)、解読したこと� �よって得られたポリシィ情報をポリシィ保� �部112に追加して保持し(ステップS740)、ディ� �プレイに登録完了の旨のメッセージを表示� �て(ステップS750)、ポリシィ情報を更新する� �作を終了する。

 ステップS720において、ポリシィ保持部112が 、6つの公開鍵のうちいずれか1つの公開鍵で� ��明書を正しく解読できない(ステップS720:No)� ��合、もしくは、ステップS730において、ポリ シィ保持部112が、登録内容が正当な要求であ ると判断しない場合(ステップS730:No)には、ポ リシィ保持部112は新たにポリシィ情報を追加 して保持することなく、ディスプレイに登録 失敗の旨のメッセージを表示させて(ステッ� �S760)、ポリシィ情報を更新する動作を終了す る。
<変形例>
 実施の形態では、資源102が保護メモリ121と� ��用メモリ122と暗号エンジン123という3つの単 位で区別されている例について説明したが、 変形例では、資源102が、物理アドレスの範囲 を任意に指定される領域に区別され、任意に 区別された領域の単位で使用される資源とな っている例である。

 以下変形例について、実施の形態との相� ��点を中心に説明する。

 <変形例における ポリシィ情報と資源ア� ��セス情報とアクセス制限情報>
 図13は変形例におけるポリシィ保持部112が� �持するポリシィ情報である。
ポリシィ保持部112は、プログラムID1302で特定 されるプログラムが、優先度1303で示される� �先度で、資源のアドレス1304で指定される領� ��の資源に、アクセス方式1307で示されるアク セス方式でアクセスすることができる旨を示 す情報であるポリシィ情報を保持する。

 実施の形態におけるポリシィ情報との相� ��点は、実施の形態におけるポリシィ情報で� ��、資源は、保護メモリ121と共用メモリ122と� ��号エンジン123の3つの資源であった部分が、 変形例におけるポリシィ情報では、資源は、 物理アドレスで指定される任意の領域の資源 となっている点と、実施の形態におけるポリ シィ情報では、資源へのアクセス方式が、保 護メモリ121と共用メモリ122と暗号エンジン123 の3つの資源それぞれにアクセス方式を対応� �けていた部分が、変形例におけるポリシィ� �報では、物理アドレスで指定される任意の� �域の1つの資源に対応する1つのアクセス方式 を対応付けるようになっている点である。

 資源アクセス情報は、ポリシィ保持部の� ��持するポリシィ情報を参照して、要求受付� ��111が作成する情報であり、ポリシィ情報の� ��合と同様に、実施の形態における資源アク� ��ス情報では、資源は、保護メモリ121と共用� ��モリ122と暗号エンジン123の3つの資源であっ た部分が、変形例におけるポリシィ情報では 、資源は、物理アドレスで指定される任意の 領域の資源となっている。

 また、同様に、実施の形態における資源� ��クセス情報では、資源へのアクセス方式が� ��保護メモリ121と共用メモリ122と暗号エンジ� ��123の3つの資源それぞれにアクセス方式を対 応付けていた部分が、変形例における資源ア クセス情報では、物理アドレスで指定される 任意の領域の1つの資源に対応する1つのアク� ��ス方式を対応付けるようになっている。

 図14は、変形例におけるポリシィ保持部11 2が保持するアクセス制限情報である。

 図14に示すように、アクセス制限情報は� �優先度1401で示される優先度に応じて、対応� ��るプログラムが資源へのアクセスを行う際� ��制限を示している情報である。

 実施の形態では、資源として保護メモリ1 21と共用メモリ122と暗号エンジン123との3つの 資源があったが、変形例におけるアクセス制 限情報は、1つの資源のみとなっている。

 <変形例における資源の重複>
 実施の形態においては、複数のプログラム� ��対応する資源が重複している場合として、� ��数のプログラムに対応する資源が同じ資源� ��ある場合しかなかったが、変形例において� ��、複数のプログラムのアクセスしようとす� ��資源が、様々な形態で重複している場合が� ��生する。

 ここでは、変形例における資源の重複が� ��生する場合について、資源の重複が発生す� ��形態を、複数のプログラムに対応する領域� ��資源を全て含む資源の利用要求がある形態� ��パターン1、プログラムに対応する領域の資 源の一部の領域を含む資源への資源の利用要 求がある形態をパターン2とする2つのパター� ��に分類して、図面を使って説明する。

 図15は、変形例において、資源の重複が� �ターン1の形態で発生する場合について、各� ��ログラムが使用する資源の領域の関係を、� ��式的に示す図である。

 ここでは、プログラムAとプログラムBと� �ログラムCとが、資源を使用して実行中のプ� ��グラムである場合において、プログラムAが 使用している資源が、物理アドレス空間1500� �の、0000_1000h~0000_11FFhの領域の資源であって� �プログラムBが使用している資源が、0000_1200h ~0000_13FFhの領域の資源であって、プログラムC が使用している資源が、000_1400h~0000_15FFhの領� ��の資源あるとき、新たにプログラムDから、 0000_1000h~0000_15FFhの領域の資源を利用する要求 を受け取った場合を例として、資源の重複が パターン1の形態で発生する場合を、いくつ� �の場合に場合分けして説明する。

 1)プログラムDが資源にアクセスするアク� ��ス方式が、占有方式である場合。

 プログラムDの優先度が、プログラムAの� �先度とプログラムBの優先度とプログラムCの 優先度の全てよりも優先度が高い場合に、許 可情報書換部115によって、プログラムDに対� �する資源アクセス情報が、許可情報保持部11 3に追加され、プログラムAとプログラムBとプ ログラムCとに対応する資源アクセス情報が� �許可情報保持部113から削除されて、待機情� �保持部114に追加される。

 プログラムDの優先度が、プログラムAの� �先度とプログラムBの優先度とプログラムCの 優先度の全てよりも優先度が高くない場合に 、許可情報書換部115によって、プログラムD� �対応する資源アクセス情報が、待機情報保� �部114に追加される。

 プログラムDの優先度が、プログラムAの� �先度よりも高くなく、プログラムBの優先度� ��、プログラムCの優先度より高い場合に(例� �ば、プログラムAの優先度>プログラムDの� �先度>プログラムBの優先度>プログラムC� ��優先度)、許可情報書換部115によって、プロ グラムAの資源アクセス情報が削除されたと� �、プログラムBとプログラムCに対応する資源 アクセス情報が、許可情報保持部113から削除 されて、待機情報保持部114に追加され、さら に、プログラムDに対応する資源アクセス情� �が、許可情報保持部113に追加される。

 2)プログラムDが資源にアクセスするアク� ��ス方式が、共有方式である場合。

 2-1)プログラムA、プログラムB、プログラ� ��Cが資源にアクセスする方式が、全て占有方 式である場合。

 プログラムDの優先度が、プログラムAの� �先度とプログラムBの優先度とプログラムCの 優先度の全てよりも優先度が高い場合に、許 可情報書換部115によって、プログラムDに対� �する資源アクセス情報が、許可情報保持部11 3に追加され、プログラムAとプログラムBとプ ログラムCとに対応する資源アクセス情報が� �許可情報保持部113から削除されて、待機情� �保持部114に追加される。

 プログラムDの優先度が、プログラムAの� �先度とプログラムBの優先度とプログラムCの 優先度の全てよりも優先度が高くない場合に 、許可情報書換部115によって、プログラムD� �対応する資源アクセス情報が、待機情報保� �部114に追加される。

 2-2)プログラムA、プログラムB、プログラ� ��Cが資源にアクセスする方式が、占有方式と 共有方式とが混在している場合。

 ここではプログラムAとプログラムBとが� �源にアクセスするアクセス方法が、占有方� �で、プログラムCが資源にアクセスするアク� ��ス方法が、共有方式であるとして説明する� ��

 プログラムDの優先度が、資源にアクセス するアクセス方式が占有方式である全てのプ ログラム(すなわちプログラムAとプログラムB )の優先度よりも優先度が高い場合に、許可� �報書換部115によって、プログラムDに対応す� ��資源アクセス情報が、許可情報保持部113に� ��加され、プログラムAとプログラムBとに対� �する資源アクセス情報が、許可情報保持部11 3から削除されて、待機情報保持部114に追加� �れる。

 プログラムDの優先度が、資源にアクセス するアクセス方式が占有方式である全てのプ ログラム(すなわちプログラムAとプログラムB )の優先度よりも優先度が高くない場合に、� �可情報書換部115によって、プログラムDに対� ��する資源アクセス情報が、待機情報保持部1 14に追加される。

 2-3)プログラムA、プログラムB、プログラ� ��Cが資源にアクセスする方法が、全て共有方 式である場合。

 プログラムDに対応する資源アクセス情報 が、許可情報書換部115によって、許可情報保 持部113に追加される。

 図16は、変形例において、資源の重複が� �ターン1の形態で発生する場合について、各� ��ログラムが使用する資源の領域の関係を、� ��式的に示す図である。

 ここでは、プログラムAとプログラムBと� �、資源を使用して実行中のプログラムであ� �場合において、プログラムAが使用している� ��源が、物理アドレス空間1500上の、0000_1000h~0 000_11FFhの領域の資源であって、プログラムB� �使用している資源が、0000_1200h~0000_13FFhの領� �の資源であるとき、新たにプログラムCから� ��0000_1100h~0000_12FFhの領域の資源を利用する要� ��を受け取った場合を例として、資源の重複� ��パターン2の形態で発生する場合を、いくつ かの場合に場合分けして説明する。

 3)プログラムCが資源にアクセスするアク� ��ス方式が、占有方式である場合。

 プログラムCの優先度が、プログラムAの� �先度とプログラムBの優先度との双方よりも� ��先度が高い場合に、許可情報書換部115によ� ��て、プログラムCに対応する資源アクセス情 報が、許可情報保持部113に追加され、プログ ラムAとプログラムBとに対応する資源アクセ� ��情報が、許可情報保持部113から削除されて� ��待機情報保持部114に追加される。

 プログラムCの優先度が、プログラムAの� �先度とプログラムBの優先度との双方よりも� ��先度が高くない場合に、許可情報書換部115� ��よって、プログラムCに対応する資源アクセ ス情報が、待機情報保持部114に追加される。

 4)プログラムCが資源にアクセスするアク� ��ス方式が、共有方式である場合。

 4-1)プログラムA、プログラムBが資源にア� ��セスする方式が、全て占有方式である場合� ��

 プログラムCの優先度が、プログラムAの� �先度とプログラムBの優先度との双方よりも� ��先度が高い場合に、許可情報書換部115によ� ��て、プログラムCに対応する資源アクセス情 報が、許可情報保持部113に追加され、プログ ラムAとプログラムBとに対応する資源アクセ� ��情報が、許可情報保持部113から削除されて� ��待機情報保持部114に追加される。

 プログラムCの優先度が、プログラムAの� �先度とプログラムBの優先度との双方よりも� ��先度が高くない場合に、許可情報書換部115� ��よって、プログラムCに対応する資源アクセ ス情報が、待機情報保持部114に追加される。

 4-2)プログラムA、プログラムBが資源にア� ��セスする方式が、占有方式と共有方式とが� ��在している場合。

 ここではプログラムAが資源にアクセスす るアクセス方法が占有方式で、プログラムB� �資源にアクセスするアクセス方法が共有方� �であるとして説明する。

 プログラムCの優先度が、資源にアクセス するアクセス方式が占有方式であるプログラ ムAの優先度よりも優先度が高い場合に、許� �情報書換部115によって、プログラムCに対応� ��る資源アクセス情報が、許可情報保持部113� ��追加され、プログラムAに対応する資源アク セス情報が、許可情報保持部113から削除され て、待機情報保持部114に追加される。

 プログラムCの優先度が、資源にアクセス するアクセス方式が占有方式であるプログラ ムAの優先度よりも優先度が高くない場合に� �許可情報書換部115によって、プログラムCに� ��応する資源アクセス情報が、待機情報保持� ��114に追加される。

 4-3)プログラムA、プログラムBが資源にア� ��セスする方法が、全て共有方式である場合� ��

 プログラムCに対応する資源アクセス情報 が、許可情報書換部115によって、許可情報保 持部113に追加される。

 <変形例における資源の利用要求を受けた 場合の動作>
 以下、図面を使って、変形例における、プ� ��グラムからの資源の利用要求を受けた場合� ��動作について説明する。

 図17、18は、プログラム群101を構成するプ ログラムから資源102の利用要求を受けた場合 の動作を示すフローチャートである。

 要求受付部111は、プログラム群101の中の� ��ログラムから資源102を利用する要求をされ� ��(ステップS800)と、ポリシィ保持部112で保持� ��るポリシィ情報の中に、要求を出したプロ� ��ラムに対応するポリシィ情報があるか否か� ��検索し(ステップS810)、該当するポリシィ情� ��がある場合(ステップS810:Yes)には、許可情報 保持部113に要求を出したプログラムに対応す る資源アクセス情報があるか否かを検索し(� �テップS813)、対応する資源アクセス情報を見 つけられなかったら(ステップS813:Yes)、要求� �出したプログラムに対応する資源アクセス� �報を作成して(ステップS816)資源利用要求を� �け付ける。

 要求受付部111が資源利用要求を受け付け� ��と、許可情報書換部115は、要求受付部111が� ��成した資源アクセス情報(新規資源アクセス 情報)の示す領域の資源を少なくとも一部に� �む領域資源(重複資源)を示す資源アクセス情 報(重複資源アクセス情報)が許可情報保持部1 13に保持されているか否かを検索する(ステッ プS820)。

 許可情報書換部115は、重複資源アクセス� ��報が許可情報保持部113に保持されている場� ��(ステップS820:Yes)において、新規資源アクセ ス情報が示すプログラム(以後「新規プログ� �ム」と呼ぶ)から対応する資源にアクセスす� ��アクセス方式が共有方式であるとき(ステッ プS830:Yes)、重複資源アクセス情報が示すプロ グラム(以後「重複プログラム」と呼ぶ)が重� ��資源にアクセスするアクセス方式のうち、� ��なくとも1つのアクセス方式が占有方式であ れば(ステップS840:Yes)、新規プログラムが重� �資源にアクセスする優先度と、重複プログ� �ムのうち、資源にアクセスするアクセス方� �が占有方式であるプログラム(以後「重複占� ��プログラム」)が重複資源にアクセスする優 先度(以後「重複占有優先度」と呼ぶ)とを比� ��し(ステップS850)、新規プログラムが重複資� ��にアクセスする優先度の方が全ての重複占� ��優先度よりも高ければ(ステップS850:Yes)、許 可情報書換部115は、全ての重複占有プログラ ムに対して削除情報を通知する(ステップS860) 。

 また、ステップS830において、新規プログ ラムから対応する資源にアクセスするアクセ ス方式が占有方式であるとき(ステップS830:No) 、新規プログラムが重複資源にアクセスする 優先度と重複プログラムが重複資源にアクセ スする優先度とを比較し(ステップS845)、新規 プログラムが重複資源にアクセスする優先度 の方が全ての重複プログラムが重複資源にア クセスする優先度よりも高ければ(ステップS8 45:Yes)、許可情報書換部115は、全ての重複プ� �グラムに対して削除情報を通知する(ステッ� ��S860)。

 削除情報を通知された、重複占有プログ� ��ムもしくは重複プログラム(以後「該当プロ グラム」と呼ぶ)は、削除情報を通知される� �、前述した後処理を実行してプログラムを� �了する。

 許可情報書換部115は、削除情報を通知し� ��から所定の時間経過すると、許可情報保持� ��113から全ての該当プログラムに対応する資� ��アクセス情報(以後「該当資源アクセス情報 」と呼ぶ)と、対応する開始論理アドレスと� �削除し(ステップS870)、アドレス変換テーブ� �118から該当する全てのアドレス変換テーブ� �構成要素を削除して(ステップS950)、全ての� �当資源アクセス情報を、対応する開始論理� �ドレスに対応付けて、待機情報保持部114に� �加(ステップS960)する。

 許可情報書換部115は、全ての該当資源ア� ��セス情報を待機情報保持部114に追加すると� ��新規アクセス情報に対応するアドレス変換� ��ーブル構成要素を作成し、許可情報保持部1 13に、新規資源アクセス情報を、作成した論� ��開始アドレスに対応付けて追加して(ステッ プS970)、アドレス変換テーブル118に作成した� ��ドレス変換テーブル構成要素を追加する(ス テップS980)。

 許可情報書換部115は、ステップS980を実行 する、もしくは、ステップS813において、要� �受付部111が、許可情報保持部113に、要求を� �したプログラムに対応する資源アクセス情� �を見つけると(ステップS813:No)、要求を出し� �プログラムに対応する開始論理アドレスを� �求受付部111に通知し、要求を出したプログ� �ムに、許可情報を通知する。

 要求受付部111は、許可情報書換部115から� ��始論理アドレスを通知されると、通知され� ��開始論理アドレスを戻り値として、要求を� ��したプログラムに返して(ステップS990)資源� ��利用要求を受けた場合の動作を終了する。

 プログラムは、許可情報と開始論理アド� ��スと通知されると、資源アクセス処理ルー� ��ンを開始する。

 許可情報書換部115は、新規プログラムに� ��して許可通知信号を通知すると、新規資源� ��クセス情報を基にして、アドレス変換テー� ��ル構成要素と開始論理アドレスとを作成し� ��新規資源アクセス情報を作成した開始論理� ��ドレスに対応付けて許可情報保持部113に追� ��し(ステップS970)、アドレス変換テーブル118� ��作成したアドレス変換テーブル構成要素を� ��加し(ステップS980)、作成した開始論理アド� ��スを要求受付部111に通知する。

 要求受付部111は、開始論理アドレスを通� ��されると、通知された開始論理アドレスを� ��り値として新規プログラムに返して(ステッ プS990)、資源の利用要求を受けた場合の動作� ��終了する。

 ステップS845において、新規プログラムが 重複資源にアクセスする優先度の方が全ての 重複プログラムが重複資源にアクセスする優 先度よりも高くなければ(ステップS845:No)、も しくは、ステップS850において、新規プログ� �ムが重複資源にアクセスする優先度の方が� �ての重複占有優先度よりも高くなければ(ス� ��ップS850:No)許可情報書換部115は、新規資源� �クセス情報を待機情報保持部114に追加(ステ� ��プS880)して、資源の利用要求を受けた場合� �動作を終了する。

 ステップS820において、許可情報保持部113 に重複資源アクセス情報が保持されていない 場合(ステップS820:No)、または、ステップS840� �おいて、重複プログラムが重複資源にアク� �スするアクセス方式が全て共有方式であれ� �(ステップS840:No)、許可情報書換部115は、新� �プログラムに対して許可通知信号を通知し� �、上述したステップS970~ステップS990の処理� �行い、資源の利用要求を受けた場合の動作� �終了する。

 ステップS810において該当するポリシィ情報 がない場合(ステップS810:No)には、要求受付部 111は、プログラムの実行を停止させて(ステ� �プS900)、資源の利用要求を受けた場合の動作 を終了する。
<補足>
 以上、本発明に係るアクセス制御装置の一� ��施形態として、複数のプログラムそれぞれ� ��らの資源へのアクセスを制御するアクセス� ��御装置について、また、その変形例として� ��アクセス制御装置について説明したが、さ� ��に以下のように変形することも可能であり� ��本発明は上述した実施の形態で示した通り� ��アクセス制御装置に限られないことはもち� ��んである。
(1)実施の形態において、資源アクセス情報を 保持するブロックとして、許可情報保持部113 と待機情報保持部114との2つのブロックを使� �するとして説明したが、例えば、情報保持� �という1つのブロックのみで、資源アクセス� ��報を保持するとしてもよい。

 この際、例えば、資源アクセス情報が、� ��施の形態において許可情報保持部113で保持� ��る資源アクセス情報である場合に1、待機情 報保持部114で保持する資源アクセス情報であ る場合に0となる許可情報フラグを用意して� �き、情報保持部で資源アクセス情報を保持� �る場合に、資源アクセス情報とこの許可情� �フラグとを対応付けて保持するようにして� �く。

 資源アクセス情報を保持するブロックが1 つであっても、資源アクセス情報に対応付け られている許可情報フラグを参照することで 、実施の形態における許可情報保持部113で保 持されているべき資源アクセス情報なのか、 実施の形態における待機情報保持部114で保持 されているべき資源アクセス情報なのかの区 別をすることができる為、実施の形態と同様 の動作を行うことができる。

 このような構成にすることによって、実施� ��形態において、許可情報保持部113と待機情� ��保持部114との間で、資源アクセス情報の削� ��、追加を行う代わりに、許可情報フラグの� ��を変更するだけで同様の動作を実現できる� ��うになる。
(2)実施の形態において、資源アクセス情報は 、要求受付部111が、プログラムから、資源を 利用する要求をされると、要求を出したプロ グラムに対応するポリシィ情報の、プログラ ムの情報と資源の情報と優先度の情報とアク セス方式の情報とを参照して、資源アクセス 情報を作成するとしたが、プログラムの情報 と資源の情報と優先度の情報とアクセス方式 の情報との情報のうち、一部の情報もしくは 全ての情報を、ポリシィ情報以外の情報を参 照して、資源アクセス情報を作成するとして もよい。

 例えば、プログラムが要求受付部111に対� ��て、資源を利用する要求をする際に、プロ� ��ラムの情報と資源の情報と優先度の情報と� ��クセス情報とを含むデータを指定して要求� ��、要求受付部111は、この指定されたデータ� ��ら、プログラムの情報と資源の情報と優先� ��の情報とアクセス情報とを参照して資源ア� ��セス情報を作成するとしても構わない。

 ここでは、この指定されたデータが、ポ� ��シィ保持部112が保持するアクセス制限情報� ��満たしている場合にのみ、資源アクセス情� ��を作成するとしておくか、ポリシィ保持部1 12が保持するポリシィ情報を満たしている場� ��にのみ、資源アクセス情報を作成するとし� ��おく。

 このような構成にすることによって、要求� ��付部111は、プログラムから資源の利用を要� ��される毎に資源アクセス情報を作成できる� ��うになり、同一のプログラムに対応する資� ��アクセス情報を作る場合であっても、状況� ��応じて異なる資源アクセス情報を作成する� ��とができるようになる。
(3)実施の形態において、ポリシィ保持部112の アクセス制限情報の資源へのアクセスを行う 際に許されているアクセス方式、及び、ポリ シィ情報の資源へのアクセスを行う際に許さ れているアクセス方式が、占有アクセス可と 共有アクセス可とのいずれかの方式である例 を示したが、これ以外の方式、例えば、占有 アクセスと共有アクセス等の複数のアクセス 方式でアクセスすることを許していることを 示す、複数方式アクセス可という方式をも含 んでいても構わない。

 このような構成にすることによって、要求� ��付部111が、プログラムから資源の利用を要� ��される毎に資源アクセス情報を作成できる� ��合において、同一のプログラムに対応する� ��源アクセス情報を作る場合であっても、状� ��に応じて、異なるアクセス方式の資源アク� ��ス情報を作成することができるようになる� ��
(4)実施の形態において、認証局103は、作成し たポリシィ情報を、優先度毎に異なる秘密鍵 で暗号化することで証明書としていたが、こ れ以外の方法で証明書を作成しても構わない 。

 例えば、優先度に関わらず共通の秘密鍵� ��暗号化しても構わないし、秘密鍵を用いな� ��手法で暗号化しても構わないし、暗号化せ� ��に証明書としても構わない。

 暗号化の手法については、その暗号が解読� ��れるリスクと、暗号化に伴うコストとのト� ��ードオフで、最も適切だと考えられる手法� ��採用するのが望ましい。
(5)実施の形態において、要求受付部111は、プ ログラムから資源102を利用する要求をされる 場合において、要求を出したプログラムに対 応するポリシィ情報がポリシィ保持部112にな いときは、プログラムの実行を停止させると したが、プログラムの実行を停止させるとし なくても構わない。

 プログラムは、要求受付部111からプログラ� ��の実行を停止されなくても、アクセス許可� ��117によって資源へのアクセスができなくな� ��ている為、わざわざプログラムの実行を停� ��させる積極的理由がなければ、特にプログ� ��ムを停止させる必要性は低い為、例えば、� ��ログラムの実行を停止させる理由がないシ� ��テムにおいては、プログラムの実行を停止� ��せない仕様であっても問題はない。
(6)許可情報書換部115は、資源アクセス情報を 許可情報保持部113に追加する場合、資源アク セス情報に対応するプログラムに、許可情報 を通知するとしたが、許可情報を通知しない 構成であっても構わない。

 例えば、プログラムが、許可情報を通知さ� ��なくても、アドレス変換テーブル118に対応� ��るアドレス変換テーブル構成要素が追加さ� ��ると、資源へのアクセスを開始するような� ��ログラムであれば、許可情報を通知する必� ��がない。
(7)許可情報書換部115は、資源アクセス情報を 許可情報保持部113から削除する場合、資源ア クセス情報に対応するプログラムに、削除情 報を通知するとしたが、削除情報を通知しな い構成であっても構わない。

 許可情報書換部115は、プログラムに削除情� ��を通知することなく、従って、中断処理を� ��行することなくアクセス処理ルーチンを停� ��させる構成であっても、例えば、停止した� ��クセス処理ルーチンを再開する場合に、ア� ��セス処理ルーチンを最初から実行させると� ��う構成であれば、削除情報を通知する必要� ��ない。
(8)プログラムは資源アクセス処理ルーチンを 終了すると、許可情報書換部115に実行終了の 旨を通知するとしたが、許可情報書換部115に 実行終了の旨を通知しない構成であっても、 例えば、OSが、資源アクセス処理ルーチンが� ��了すると、資源アクセス処理ルーチンが終� ��した旨を知ることができるようになってい� ��ば、OSが、許可情報書換部115に、資源アク� �ス処理ルーチンが終了した旨を通知すると� �う構成しても構わない。
(9)アクセス制限情報は、予めポリシィ保持部 112の一部として組み込まれている情報である としたが、これ以外の構成、例えば、ポリシ ィ保持部112で保持するアクセス制御情報を、 外部のユーザが書き換えることができる不揮 発性メモリ等で記憶させている等の構成にす ることで、ユーザによってアクセス制限情報 を設定することができる構成であっても構わ ない。

 このような構成にすることで、アクセス制� ��情報に不都合が生じた場合でも、ユーザに� ��ってアクセス制限情報を更新することがで� ��るようになる。
(10)開始論理アドレスは、許可情報書換部115� �もしくは、許可情報追加部116が、資源アク� �ス情報を基にして作成するとしたが、これ� �外の構成、例えば、ポリシィ情報が、プロ� �ラムと、優先度と、資源と、アクセス方法� �に加えて、開始論理アドレスを対応付けた� �報であるとしておいて、許可情報書換部115� �もしくは、許可情報追加部116が、このポリ� �ィ保持部112の保持するポリシィ情報を参照� �ることで、論理開始アドレスを作成すると� �ても構わない。
(11)なお、プログラム群101を構成するプログ� �ムは、削除情報を通知されると、プログラ� �を終了する為の後処理をして、プログラム� �終了するとしたが、実行中の資源アクセス� �ーチンを停止し、停止した資源アクセス処� �ルーチンを再開できるように、停止時点で� �源アクセスルーチンが使用しているレジス� �の情報等を、メモリやハードディスク等に� �避させるという退避処理をするとしてもよ� �。

 さらに、許可情報追加部116が、許可情報� ��持部113に資源アクセス情報を追加する場合� ��あって、追加する資源アクセス情報に対応� ��る開始論理アドレスが、待機情報保持部114� ��保持されているとき、資源アクセス情報に� ��応するプログラムに、再許可情報を通知し� ��プログラムは、再許可情報を通知されると� ��退避処理でメモリやハードディスク等に退� ��させていた情報を読み込んで、停止してい� ��資源アクセス処理ルーチンを再開させると� ��てもよい。

 このようにすることで、プログラムは、削� ��情報を通知されて資源アクセス処理ルーチ� ��を停止させても、再許可情報を通知される� ��、停止させた時点から資源アクセス処理ル� ��チンを再開させることができる為、停止さ� ��た時点までに行った処理を無駄にすること� ��く、資源アクセス処理ルーチンを実行する� ��とができるようになる。
(12)また、アクセス制御装置に相当するOSの一 部のプログラムを、コンピュータ読み取り可 能な記録媒体、例えば、フレキシブルディス ク、ハードディスク、CD―ROM、MO、DVD、DVD-ROM� ��DVD-RAM、BD(Blu-ray Disc)、半導体メモリなどに� ��録したり、電気通信回線、無線又は有線通� ��回線、インターネットを代表とするネット� ��ーク等を経由して伝送してもよい。

 このようにすることで、アクセス制御装� ��に相当するOSの一部のプログラムを、コン� �ュータシステムにインストールして、実施� �態で示したアクセス制御装置として機能さ� �ることができる。