JPH09259104A - Dual-purpose maintenance architecture having protected internal operating system - Google Patents
Dual-purpose maintenance architecture having protected internal operating systemInfo
- Publication number
- JPH09259104A JPH09259104A JP8064466A JP6446696A JPH09259104A JP H09259104 A JPH09259104 A JP H09259104A JP 8064466 A JP8064466 A JP 8064466A JP 6446696 A JP6446696 A JP 6446696A JP H09259104 A JPH09259104 A JP H09259104A
- Authority
- JP
- Japan
- Prior art keywords
- processor
- dual
- mode processor
- dual mode
- input
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
- Microcomputers (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、チップアーキテク
チャに関し、詳細には保護された内部オペレーティング
システムを有する二重目的の保全チップアーキテクチャ
に関するものである。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to chip architectures and, more particularly, to a dual purpose secure chip architecture with a protected internal operating system.
【0002】[0002]
【従来の技術】処理アプリケーションにおいては、オペ
レーションが探査されたり変更されたりできないように
安全な環境で稼動することが必要不可欠である。従来、
安全な処理環境を設けるように様々な方法が用いられて
きた。In processing applications, it is essential to operate in a secure environment so that operations cannot be explored or modified. Conventionally,
Various methods have been used to provide a secure processing environment.
【0003】例えば、処理機器を収容するのに機械的シ
ャシを用いることが可能である。この機械的シャシは干
渉及び変更を検出するとともにこれから保護するよう
に、タンパスイッチ及び他の要素を有することができ
る。しかし、この機械的シャシは製品にかかる費用を大
幅に増加させる可能性がある。For example, it is possible to use a mechanical chassis to house the processing equipment. The mechanical chassis may have tamper switches and other elements to detect and protect against interference and alteration. However, this mechanical chassis can add significantly to the cost of the product.
【0004】また、特定の集積回路へのアクセスを制限
すべく、アクセスを妨げるように集積回路をエポキシ樹
脂又は他の化学物質で被覆することができる。しかし、
この被覆は容易にその効果を失うことが多く、保護する
程度は僅かである。Also, in order to limit access to certain integrated circuits, the integrated circuits can be coated with epoxy resin or other chemicals to prevent access. But,
This coating often loses its effect easily and provides little protection.
【0005】安全な処理環境を提供する別の方法は、1
つの集積回路上にてシステムを実行することである。し
かし、安全なオペレーティングシステムが実行されなけ
れば、これらのシステムも概してその効果を失う可能性
がある。しかし、全ての機能に対して完全に安全なオペ
レーティングシステムを実行すると、システムの機能性
が著しく制限される。Another method of providing a secure processing environment is:
Running the system on one integrated circuit. However, if a secure operating system is not running, these systems can also generally lose their effect. However, running a completely secure operating system for all functions severely limits the functionality of the system.
【0006】[0006]
【発明が解決しようとする課題】本発明は上記問題点を
解決するためになされたものであって、その目的は、デ
ュアルモード処理において安全な処理環境を安価かつ効
率的に設ける手段を提供することにある。SUMMARY OF THE INVENTION The present invention has been made to solve the above problems, and an object thereof is to provide a means for inexpensively and efficiently providing a safe processing environment in dual mode processing. Especially.
【0007】[0007]
【課題を解決するための手段】上記目的を達成するた
め、本発明の方法では、(a)プロセッサ外部の供給源
により供給される命令を実行するステップと、これら命
令はプロセッサに対する入力/出力を介してプロセッサ
に供給されることと、(b)保全機能を明示する割込み
を受信すると同時に、以下のサブステップを実行するス
テップとを有し、前記サブステップは、(b.1)プロ
セッサに対する入力/出力をディセーブルにするサブス
テップと、(b.2)割込みにより明示される保全機能
を実行するサブステップと、保全機能に対する命令はプ
ロセッサ内の読取専用メモリに記憶されることと、
(b.3)保全機能の実施完了時、プロセッサに対する
入力/出力をイネーブルにするとともに、プロセッサ外
部の供給源により供給される命令の実行の再開を許容す
るイグジットルーチンを実行するサブステップと、イグ
ジットルーチンに対する命令は読取専用メモリ内に記憶
されることとを備える。To achieve the above objects, the method of the present invention comprises the steps of (a) executing instructions provided by a source external to the processor, which instructions provide input / output to the processor. Via the processor, and (b) receiving an interrupt indicating a security function and at the same time performing the following sub-steps, said sub-steps comprising: (b.1) input to the processor. / A substep of disabling the output, (b.2) performing the integrity function specified by the interrupt, and instructions for the integrity function being stored in read-only memory within the processor;
(B.3) Upon completion of implementation of the integrity function, a substep of enabling an input / output to the processor and executing an exit routine that allows resumption of execution of instructions supplied by a source external to the processor; Instructions for the routine are stored in read-only memory.
【0008】[0008]
【発明の実施の形態】以下、本発明を具体化した一実施
形態を図1〜図5に従って説明する。図1は本発明の好
ましい実施形態に基づき、暗号化及び復号化用に保全
(内部)モードにてデュアルモードプロセッサ12が使
用されるシステムのブロック図を示す。デュアルモード
プロセッサ12はデータチャネル18及びデータチャネ
ル19を介し、コントロールチャネルプロセッサ11と
信号伝達を行う。データチャネル18,19は、例えば
業界基準アーキテクチャ(ISA)のような入力/出力
バス基準に基づいて動作する入力/出力(I/O)バス
として装備されている。コントロールチャネルプロセッ
サ11はデュアルモードプロセッサ12にデータを供給
する。加えて、デュアルモードプロセッサ12が一般
(外部)モードにある時、コントロールチャネルプロセ
ッサ11はデュアルモードプロセッサ12が実行すべき
命令を供給する。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS One embodiment of the present invention will be described below with reference to FIGS. FIG. 1 shows a block diagram of a system in which a dual mode processor 12 is used in secure (internal) mode for encryption and decryption, according to a preferred embodiment of the present invention. The dual mode processor 12 communicates with the control channel processor 11 via the data channel 18 and the data channel 19. The data channels 18, 19 are equipped as input / output (I / O) buses that operate according to input / output bus standards, such as industry standard architecture (ISA). The control channel processor 11 supplies data to the dual mode processor 12. In addition, when the dual mode processor 12 is in the general (external) mode, the control channel processor 11 supplies the instructions that the dual mode processor 12 should execute.
【0009】デュアルモードプロセッサ12は暗号又は
公開キーの交換のような暗号機能を実行するのに使用さ
れる。例えば、図1は暗号化されたデータストリーム1
4を受信するとともに、多重分離された復号化データス
トリーム15を生成するデマルチプレクサ13を示す。
暗号化データストリーム14及び復号化データストリー
ム15は、例えばデマルチプレクサ13に伝送されると
ともにデマルチプレクサ13から伝送されるデータブロ
ック、即ちデータパケットからなっている。デマルチプ
レクサ13はデータ経路16を介し、暗号化データをデ
ュアルモードプロセッサ12に転送する。デュアルモー
ドプロセッサ12はこのデータを復号化し、データ経路
17を介し、復号化データをデマルチプレクサ13に戻
す。The dual mode processor 12 is used to perform cryptographic functions such as cryptography or public key exchange. For example, FIG. 1 shows an encrypted data stream 1
4 shows a demultiplexer 13 receiving 4 and producing a demultiplexed decoded data stream 15.
The encrypted data stream 14 and the decrypted data stream 15 are composed of data blocks, that is, data packets transmitted to the demultiplexer 13 and transmitted from the demultiplexer 13, for example. The demultiplexer 13 transfers the encrypted data to the dual mode processor 12 via the data path 16. The dual mode processor 12 decodes this data and returns the decoded data to the demultiplexer 13 via the data path 17.
【0010】使用する暗号構造の完全性を保護するに
は、デュアルモードプロセッサ12内における暗号機能
をアクセス又は変更から保護する必要がある。これを目
的として、デュアルモードプロセッサ12は2つのオペ
レーティングモードを有している。一般モードでは、デ
ュアルモードプロセッサ12はコントロールチャネルプ
ロセッサ11から受信される命令を実行する。保全モー
ドでは、デュアルモードプロセッサ12は以下に更に詳
細に説明するように、安全な環境において暗号機能を実
行する。To protect the integrity of the cryptographic structure used, it is necessary to protect the cryptographic functions within the dual mode processor 12 from access or modification. To this end, the dual mode processor 12 has two operating modes. In the general mode, the dual mode processor 12 executes the instructions received from the control channel processor 11. In secure mode, dual-mode processor 12 performs cryptographic functions in a secure environment, as described in more detail below.
【0011】図2は本発明に基づくデュアルモードプロ
セッサ12の概略ブロック図を示す。処理機能は処理機
能回路21により実行される。例えば、処理機能回路2
1は縮小命令セットコンピュータ(RISC)プロセッ
サである。処理機能回路21はバス入力/出力(I/
O)インターフェース回路23を介し、データチャネル
18,19とインターフェース接続している。処理機能
回路21は暗号入力/出力(I/O)インターフェース
回路25を介し、データ経路16,17にインターフェ
ース接続している。FIG. 2 shows a schematic block diagram of a dual mode processor 12 according to the present invention. The processing function is executed by the processing function circuit 21. For example, the processing function circuit 2
1 is a reduced instruction set computer (RISC) processor. The processing function circuit 21 uses a bus input / output (I /
O) Interfaces with the data channels 18 and 19 via the interface circuit 23. The processing function circuit 21 is interfaced to the data paths 16 and 17 via a cryptographic input / output (I / O) interface circuit 25.
【0012】ランダムアクセスメモリ(RAM)22
は、例えばデータを記憶するとともにコードの小ブロッ
クを高速で実行するため、処理機能回路21により使用
される。読取専用メモリ(ROM)24は、デュアルモ
ードプロセッサ12が保全モードにある時、処理機能回
路21により実行される保全プリミティブを有するよう
に使用される。I/Oハードウェア制御回路26は、デ
ュアルモードプロセッサ12が保全モードから一般モー
ドに移行している時にI/O制御を解除すべく、保全モ
ードイグジットルーチンによってアドレスされる。ハー
ドウェア制御回路26は、デュアルモードプロセッサ1
2がステップを喪失した場合には実行しない可能性があ
る一連のコマンドをデュアルモードプロセッサ12が確
実に実行するようにする出口論理を有している。ハード
ウェア制御回路26を保全モードと一般モードとの移行
に用いることにより、デュアルモードプロセッサ12
が、例えば電力障害又は干渉によりステップを喪失して
も、デュアルモードプロセッサ12が早期に又は不完全
な状態で保全モードを出ないようにしている。保全モー
ド中に干渉又は障害がデュアルモードプロセッサ12の
オペレーションに影響を及ぼす時、デュアルモードプロ
セッサ12のオペレーションが再開する前に、ハードウ
ェア制御回路26はデュアルモードプロセッサ12をロ
ックし、リセットを要求する。Random access memory (RAM) 22
Are used by the processing function circuit 21 to store data and execute small blocks of code at high speed, for example. Read only memory (ROM) 24 is used to have integrity primitives which are executed by processing function circuitry 21 when dual mode processor 12 is in integrity mode. The I / O hardware control circuit 26 is addressed by the secure mode exit routine to release I / O control when the dual mode processor 12 is transitioning from secure mode to general mode. The hardware control circuit 26 is the dual mode processor 1
2 has exit logic that ensures that the dual-mode processor 12 executes a series of commands that it may not execute if it loses steps. By using the hardware control circuit 26 for transition between the maintenance mode and the general mode, the dual mode processor 12
However, it prevents the dual mode processor 12 from exiting maintenance mode prematurely or incompletely if a step is lost, for example due to a power failure or interference. When an interference or failure affects the operation of the dual-mode processor 12 during the maintenance mode, the hardware control circuit 26 locks the dual-mode processor 12 and requests a reset before the operation of the dual-mode processor 12 resumes. .
【0013】保全モードに入ると、ハードウェア制御回
路26はデュアルモードプロセッサ12に対する入力/
出力をディセーブルにする。保全モードを出ると、ハー
ドウェア制御回路26はデュアルモードプロセッサ12
に対する入力/出力をイネーブルにする。Upon entering secure mode, hardware control circuit 26 inputs / outputs to dual mode processor 12.
Disable output. Upon exiting maintenance mode, the hardware control circuit 26 causes the dual mode processor 12 to
Enable input / output to.
【0014】保全モードでは、処理機能回路21への全
ての外部アクセスがディセーブルにされる。処理機能回
路21は保全モードにある間、ROM24における保全
プリミティブのみを実行する。保全モードでは、処理機
能回路21はデータを求めて外部メモリにアクセスする
能力を依然として有しているが、ROM24内の保全プ
リミティブにより許容される程度に制限される。更に、
保全モードでは、デュアルモードプロセッサ12は違法
命令を挿入しようとする試みを全て無視する。In the secure mode, all external access to the processing function circuit 21 is disabled. Processing function circuit 21 executes only the integrity primitives in ROM 24 while in integrity mode. In integrity mode, processing function circuit 21 still has the ability to access external memory for data, but only to the extent allowed by integrity primitives in ROM 24. Furthermore,
In secure mode, dual mode processor 12 ignores any attempt to insert an illegal instruction.
【0015】保証ロジック27は物理的及び電気的干渉
に対する保護を付与する。保証ロジック27は保全モー
ドに入る際に作動される。図3はデュアルモードプロセ
ッサ12の初期設定を示すフローチャートを示す。ステ
ップ31において、システムはリセットされる。リセッ
トとともにデュアルモードプロセッサ12の全ての入力
/出力パスはディセーブルにされる。ステップ32にお
いて、デュアルモードプロセッサ12は適正なオペレー
ションを保証するように自己試験機能を遂行する。実行
された自己試験ルーチンは保全ルーチンとしてROM2
4に記憶される。自己試験ルーチンの実行中、保証ロジ
ック27が作動され、デュアルモードプロセッサ12に
対する物理的及び電気的干渉を防止する。デュアルモー
ドプロセッサ12が自己試験機能を経ると、ステップ3
3において、保全モードイグジットルーチンが実行され
る。保全モードイグジットルーチンは全てのレジスタを
決済し、即ち消去する。そして、保全モードイグジット
ルーチンはI/O制御を解除すべく、ハードウェア制御
回路26をアドレス指定する。ステップ34において、
イグジットルーチンは終了し、プログラムマネージャが
呼び出される。ステップ35において、デュアルモード
プロセッサ12が一般モードにある時、プログラムマネ
ージャはデュアルモードプロセッサ12により実行され
る外部プログラミングコードの実行を管理する。Assurance logic 27 provides protection against physical and electrical interference. Assurance logic 27 is activated upon entering maintenance mode. FIG. 3 shows a flowchart showing the initial setting of the dual mode processor 12. In step 31, the system is reset. Upon reset, all input / output paths of dual mode processor 12 are disabled. In step 32, dual mode processor 12 performs a self test function to ensure proper operation. The executed self-test routine is ROM2 as a maintenance routine.
4 is stored. During the execution of the self-test routine, assurance logic 27 is activated to prevent physical and electrical interference with dual mode processor 12. Once the dual mode processor 12 has undergone the self test function, step 3
At 3, the maintenance mode exit routine is executed. The secure mode exit routine clears, or erases, all registers. The integrity mode exit routine then addresses the hardware control circuit 26 to release I / O control. In step 34,
The exit routine ends and the program manager is called. In step 35, the program manager manages the execution of external programming code executed by the dual mode processor 12 when the dual mode processor 12 is in the general mode.
【0016】図4は本発明の好ましい実施形態に基づく
保全オペレーティングモードにおけるデュアルモードプ
ロセッサ12のオペレーションを示すフローチャートを
示す。ステップ41の前に、デュアルモードプロセッサ
12は一般モードにあって、プログラムマネージャはデ
ュアルモードプロセッサ12により実行される外部プロ
グラミングコードの実行を管理する。ステップ41にお
いて、特別なソフトウェア又はハードウェアの割込み
(SWI)が明示される。特別なソフトウェア/ハード
ウェアの割込みはデュアルモードプロセッサ12を内部
保全オペレーティングシステムに入れるべく、デュアル
モードプロセッサ12に指示する。特別なソフトウェア
/ハードウェアの割込みは、ROM24内に記憶された
実行されるべき機能を示すアドレスを有している。FIG. 4 shows a flow chart illustrating the operation of dual mode processor 12 in the secure operating mode in accordance with the preferred embodiment of the present invention. Prior to step 41, the dual mode processor 12 is in general mode and the program manager manages the execution of external programming code executed by the dual mode processor 12. In step 41, a special software or hardware interrupt (SWI) is identified. Special software / hardware interrupts direct the dual mode processor 12 to enter the internal security operating system. The special software / hardware interrupt has an address stored in ROM 24 that indicates the function to be performed.
【0017】ステップ42において、保全オペレーティ
ングシステムが入力される。全ての入力/出力がI/O
ハードウェア制御回路26によりディセーブルにされ
る。保証ロジック27が作動され、デュアルモードプロ
セッサ12を物理的又は電気的干渉から保護する。ステ
ップ43において、特別なソフトウェア/ハードウェア
の割込み内におけるアドレスにより指定されるROM2
4内におけるアドレス機能が、内部ポインタにより位置
決めされる。ステップ44において、アドレスされた機
能が実行される。ステップ45において、保全モードイ
グジットルーチンが実行される。保全モードイグジット
ルーチンは全てのレジスタを決済し、即ち消去する。そ
して、保全モードイグジットルーチンはハードウェア制
御回路26にI/O制御を解除するように命令する。ス
テップ46において、イグジットルーチンは終了し、プ
ログラムマネージャが呼び出される。ステップ47にお
いて、デュアルモードプロセッサ12が一般モードにあ
る時、プログラムマネージャはデュアルモードプロセッ
サ12により実行される外部プログラミングコードの実
行を管理する。In step 42, the security operating system is entered. All inputs / outputs are I / O
It is disabled by the hardware control circuit 26. Assurance logic 27 is activated to protect dual-mode processor 12 from physical or electrical interference. ROM 2 specified by address in special software / hardware interrupt in step 43
Address functions within 4 are positioned by internal pointers. At step 44, the addressed function is performed. At step 45, the maintenance mode exit routine is executed. The secure mode exit routine clears, or erases, all registers. Then, the maintenance mode exit routine commands the hardware control circuit 26 to release the I / O control. In step 46, the exit routine ends and the program manager is called. In step 47, the program manager manages the execution of external programming code executed by the dual mode processor 12 when the dual mode processor 12 is in the general mode.
【0018】図5はROM24内の内容の例を示す。R
OM24は保全モードエントリールーチン51を有して
いる。保全モードエントリールーチン51は、保全モー
ドに入る時、又はデュアルモードプロセッサ12がリセ
ットされる時に実行される最初のルーチンである。保全
モードエントリールーチン51はデュアルモードプロセ
ッサ12に対する全てのI/Oをディセーブルにすると
ともに、保全機能53に飛び越すように内部ポインタ5
2を使用する。複数の保全機能53中の各保全機能は1
つ以上の保全プリミティブからなっている。ROM24
内に記憶された保全機能は実行されるアプリケーション
により多様である。例えば、好ましい実施形態におい
て、保全機能53は暗号オペレーションに使用されるプ
リミティブを有している。保全機能の実行後、保全モー
ドから出るには保全モードイグジットルーチン54が使
用される。FIG. 5 shows an example of contents in the ROM 24. R
The OM 24 has a security mode entry routine 51. The integrity mode entry routine 51 is the first routine executed when entering the integrity mode or when the dual mode processor 12 is reset. The integrity mode entry routine 51 disables all I / O to the dual mode processor 12 and internal pointer 5 to jump to the integrity function 53.
Use 2. Each maintenance function in the plurality of maintenance functions 53 is 1
It consists of one or more integrity primitives. ROM24
The security functions stored within are diverse depending on the application being performed. For example, in the preferred embodiment, the security function 53 has the primitives used for cryptographic operations. After executing the maintenance function, the maintenance mode exit routine 54 is used to exit the maintenance mode.
【0019】本発明の好ましい実施形態に基づき、デュ
アルモードプロセッサ12内における保全モードが実行
される。一般/外部モードにおいて、デュアルモードプ
ロセッサ12は外部の供給源から供給される命令を実行
する。この命令はプロセッサに対する入力/出力を介し
てプロセッサに供給される。特別なソフトウェア又はハ
ードウェアの割込みを受信すると、デュアルモードプロ
セッサ12は保全/内部モードに入る。この割込みはデ
ュアルモードプロセッサ12内における読取専用メモリ
に記憶された保全機能を特定する。この割込みを受信す
ると、デュアルモードプロセッサ12に対する入力/出
力がディセーブルになる。プロセッサ内の読取専用メモ
リに記憶される保全機能の位置を特定するのに、割込み
により特定される内部ポインタが使用される。特定され
た保全機能がプロセッサにより実行される。保全機能の
実施中、読取専用メモリからは発生していない命令を挿
入しようとする試みは無視される。しかし、プロセッサ
は実行される保全機能により特定されるデータにアクセ
スすることを許容される。In accordance with the preferred embodiment of the present invention, a secure mode within dual mode processor 12 is implemented. In general / external mode, dual mode processor 12 executes instructions provided by an external source. This instruction is provided to the processor via an input / output to the processor. Upon receiving a special software or hardware interrupt, the dual mode processor 12 enters secure / internal mode. This interrupt identifies a security function stored in read-only memory within dual mode processor 12. Upon receipt of this interrupt, the input / output to dual mode processor 12 is disabled. An internal pointer specified by the interrupt is used to locate the integrity function stored in read-only memory within the processor. The identified security function is performed by the processor. Attempts to insert instructions that have not occurred from read-only memory are ignored while performing the integrity function. However, the processor is allowed to access the data specified by the integrity function performed.
【0020】保全機能の遂行完了後、プロセッサに対す
る入力/出力をイネーブルにするとともに、プロセッサ
の外部の供給源からの入力/出力を介して供給される命
令の実行を再開するように、イグジットルーチンが実行
される。イグジットルーチンに対する命令も読取専用メ
モリ内に記憶される。After the integrity function has been performed, the exit routine is enabled to enable inputs / outputs to the processor and resume execution of instructions provided via inputs / outputs from sources external to the processor. To be executed. Instructions for the exit routine are also stored in read-only memory.
【0021】好ましい実施形態において、イグジットル
ーチンはプロセッサに対する入力/出力をイネーブルに
するように特別なハードウェア制御回路26を用いる。
また、好ましい実施形態において、リセットと同時にプ
ロセッサは入力/出力がディセーブルの状態で保全モー
ドにて自己試験を行う。自己試験機能の実施を完遂後、
プロセッサに対する入力/出力をイネーブルにするとと
もに、プロセッサの外部の供給源からの入力/出力を介
して供給される命令の実行を開始するように、イグジッ
トルーチンが実行される。物理的及び電気的干渉から保
護するように保証ハードウェアが使用される。In the preferred embodiment, the exit routine uses special hardware control circuitry 26 to enable inputs / outputs to the processor.
Also, in the preferred embodiment, upon reset, the processor self-tests in maintenance mode with inputs / outputs disabled. After completing the implementation of the self-test function,
An exit routine is executed to enable inputs / outputs to the processor and begin executing instructions supplied via inputs / outputs from sources external to the processor. Assurance hardware is used to protect against physical and electrical interference.
【0022】デュアルモード処理システムは、例えば暗
号又は公開キーの交換のような暗号機能を実行するのに
使用される。例えば、このようなアプリケーションの1
つでは、データブロック、即ちデータパケットが遮断さ
れ、デュアルモードプロセッサ12に送信される。デー
タを暗号化/復号化するプリミティブはプロセッサ内の
読取専用メモリに記憶される。これらのプリミティブは
デュアルモードプロセッサが保全モードにある時に実行
される。他のシステム機能は一般モードにて実行され
る。The dual mode processing system is used to perform cryptographic functions such as cryptographic or public key exchange. For example, one of such applications
In one, data blocks, or data packets, are intercepted and sent to the dual mode processor 12. The primitives that encrypt / decrypt data are stored in read-only memory within the processor. These primitives are executed when the dual mode processor is in secure mode. Other system functions are performed in general mode.
【0023】本発明はデュアルモード処理に提供するの
に安価であって効率的な手段を提供している。一般モー
ドで稼動している時、全ての外部命令は保全オペレーテ
ィングシステムに関連するオーバヘッドなしに実行可能
である。保全モードオペレーションでのオペレーション
中、保全機能は変更及び探査から保護されるように実行
される。The present invention provides an inexpensive and efficient means of providing dual mode processing. When operating in general mode, all external instructions are executable without the overhead associated with a secure operating system. During operation in integrity mode operation, integrity functions are performed to be protected from modification and exploration.
【0024】前記は単に本発明の例示的方法及び実施形
態を開示し、説明するものである。当業者は理解されよ
うが、本発明は本発明の思想又は不可欠な特徴から逸脱
することなく、他の態様にて具体化することも可能であ
る。従って、本発明の開示は本発明の範囲を例示するも
のであっても限定するものではなく、請求の範囲に示さ
れている。The foregoing merely discloses and describes exemplary methods and embodiments of the present invention. As those skilled in the art will appreciate, the present invention may be embodied in other ways without departing from its spirit or essential characteristics. Accordingly, the disclosure of the present invention is provided by way of illustration and not by way of limitation, of the scope of the present invention.
【0025】[0025]
【発明の効果】以上詳述したように、本発明によれば、
デュアルモード処理において安全な処理環境を安価かつ
効率的に設けることができるという優れた効果がある。As described in detail above, according to the present invention,
In the dual mode processing, there is an excellent effect that a safe processing environment can be provided inexpensively and efficiently.
【図1】 本発明の好ましい実施形態に基づく、デュア
ルモードプロセッサが暗号化及び復号化するために保全
モードにて使用されるシステムのブロック図。FIG. 1 is a block diagram of a system in which a dual mode processor is used in secure mode for encryption and decryption, according to a preferred embodiment of the present invention.
【図2】 本発明の好ましい実施形態に基づく図1に示
すデュアルモードプロセッサの概略ブロック図。FIG. 2 is a schematic block diagram of the dual mode processor shown in FIG. 1 according to a preferred embodiment of the present invention.
【図3】 本発明の好ましい実施形態に基づく図2に示
すデュアルモードプロセッサの初期設定を示すフローチ
ャート。FIG. 3 is a flow chart showing initialization of the dual mode processor shown in FIG. 2 according to a preferred embodiment of the present invention.
【図4】 本発明の好ましい実施形態に基づく保全オペ
レーティングモードにあるデュアルモードプロセッサの
オペレーションを示すフローチャート。FIG. 4 is a flow chart illustrating operation of a dual mode processor in secure operating mode according to a preferred embodiment of the present invention.
【図5】 本発明の好ましい実施形態に基づく図2に示
すデュアルモードプロセッサ内におけるROMの内容を
示すブロック図。FIG. 5 is a block diagram showing the contents of ROM in the dual mode processor shown in FIG. 2 according to a preferred embodiment of the present invention.
12…デュアルモードプロセッサ、26…ハードウェア
制御回路。12 ... Dual mode processor, 26 ... Hardware control circuit.
───────────────────────────────────────────────────── フロントページの続き (71)出願人 596043357 1109 McKay Drive M/S45 San Jose Californi a 95131 USA ─────────────────────────────────────────────────── ─── Continued Front Page (71) Applicant 596043357 1109 McKay Drive M / S45 San Jose California a 95131 USA
Claims (15)
めのコンピュータ実行方法であって、 (a)プロセッサ外部の供給源により供給される命令を
実行するステップと、これら命令はプロセッサに対する
入力/出力を介してプロセッサに供給されることと、 (b)保全機能を明示する割込みを受信すると同時に、
以下のサブステップを実行するステップとを有し、前記
サブステップは、(b.1)プロセッサに対する入力/
出力をディセーブルにするサブステップと、(b.2)
割込みにより明示される保全機能を実行するサブステッ
プと、保全機能に対する命令はプロセッサ内の読取専用
メモリに記憶されることと、(b.3)保全機能の実施
完了と同時にプロセッサに対する入力/出力をイネーブ
ルにするとともに、プロセッサ外部の供給源により供給
される命令の実行の再開を許容するイグジットルーチン
を実行するサブステップと、イグジットルーチンに対す
る命令は読取専用メモリ内に記憶されることとを備えた
コンピュータ実行方法。1. A computer-implemented method for providing an integrity mode within a processor, the method comprising: (a) executing instructions provided by a source external to the processor, the instructions providing input / output to the processor. At the same time as being supplied to the processor via (b) receiving an interrupt indicating a security function,
Performing the following sub-steps, said sub-steps comprising: (b.1) input to the processor /
A substep of disabling output, (b.2)
A sub-step for executing a security function specified by an interrupt, an instruction for the security function is stored in a read-only memory in the processor, and (b.3) an input / output to the processor at the same time when the execution of the security function is completed. A computer with substeps for enabling and resuming execution of instructions supplied by a source external to the processor, the instructions for the exit routine being stored in read-only memory. Execution method.
ロセッサに対する入力/出力をイネーブルにすることは
ハードウェア制御回路(26)により実行される請求項
1に記載のコンピュータ実行方法。2. The computer-implemented method of claim 1, wherein enabling input / output to a processor in said sub-step (b.3) is performed by a hardware control circuit (26).
と同時に、(c.1)プロセッサに対する入力/出力を
ディセーブルにし、(c.2)プロセッサの自己試験を
実行し、自己試験に対する命令はプロセッサ内の読取専
用メモリに記憶され、(c.3)自己試験機能の実施完
遂と同時に、イグジットルーチンを実行するステップを
更に備えた請求項1に記載のコンピュータ実行方法。3. (c) Upon receipt of a reset by the processor, (c.1) disabling inputs / outputs to the processor, (c.2) performing a self test of the processor, and the instruction for the self test is the processor The computer-implemented method of claim 1, further comprising the step of: (c.3) executing an exit routine upon completion of execution of the self-test function stored in a read-only memory therein.
より特定される内部ポインタを使用することを含み、内
部ポインタは保全機能を指し示す請求項1に記載のコン
ピュータ実行方法。4. The computer-implemented method of claim 1, wherein said sub-step (b.2) includes using an internal pointer identified by an interrupt, the internal pointer pointing to a security function.
トリームを暗号化/復号化するプリミティブを実行する
ことを含む請求項1に記載のコンピュータ実行方法。5. The computer-implemented method of claim 1, wherein said sub-step (b.2) comprises executing a primitive to encrypt / decrypt a data stream.
デュアルモードプロセッサ(12)の外部の供給源によ
り外部命令を供給するための入力/出力手段と、安全な
オペレーティングシステムのためのプリミティブを記憶
する読取専用メモリとを備え、命令を有するプリミティ
ブが、命令実行手段により実行される時、デュアルモー
ドプロセッサ(12)に対する入力/出力をディセーブ
ルにする機能と、デュアルモードプロセッサ(12)に
対する割込みにより明示される保全機能を実行する機能
と、保全機能の実施完了と同時に、デュアルモードプロ
セッサ(12)に対する入力/出力をイネーブルにする
とともに、デュアルモードプロセッサ(12)の外部の
供給源により供給される命令の実行の再開を許容するイ
グジットルーチンを実行する機能とを遂行するようにし
たデュアルモードプロセッサ。6. Instruction executing means for executing instructions,
A primitive having instructions, comprising input / output means for supplying external instructions by a source external to the dual mode processor (12), and read-only memory storing the primitives for a secure operating system. A function for disabling input / output to the dual mode processor (12) when executed by the executing means, a function for executing a security function specified by an interrupt for the dual mode processor (12), and an implementation of the security function. Upon completion, the ability to enable an input / output to the dual mode processor (12) and to execute an exit routine that allows resumption of execution of instructions supplied by a source external to the dual mode processor (12). Dual mode Processor.
される時にデュアルモードプロセッサ(12)に対する
入力/出力をイネーブルにするとともに、保全モードに
入る時、デュアルモードプロセッサ(12)に対する入
力/出力をディセーブルにするように使用される特別回
路を更に備えた請求項6に記載のデュアルモードプロセ
ッサ。7. An input / output to a dual mode processor (12) is enabled when called by the exit routine and an input / output to the dual mode processor (12) is disabled when entering maintenance mode. 7. The dual mode processor of claim 6, further comprising special circuitry used in the.
ードにある時、デュアルモードプロセッサ(12)に物
理的及び電気的保全性を提供する保証ハードウェアを更
に有する請求項7に記載のデュアルモードプロセッサ。8. The dual mode processor of claim 7, further comprising assurance hardware that provides physical and electrical integrity to the dual mode processor (12) when the dual mode processor is in the secure mode.
ブを記憶し、そのプリミティブが命令実行手段により実
行される時、リセットを受信するデュアルモードプロセ
ッサ(12)に応答して、 前記デュアルモードプロセッサ(12)に対する入力/
出力をディセーブルにし、デュアルモードプロセッサ
(12)の自己試験を行い、かつ自己試験機能の実施完
遂と同時にイグジットルーチンを実行する機能を実施す
る請求項6に記載のデュアルモードプロセッサ。9. The read-only memory further stores a primitive and is responsive to a dual-mode processor (12) that receives a reset when the primitive is executed by an instruction executing means, the dual-mode processor (12). ) /
7. The dual mode processor of claim 6, wherein the output is disabled, the dual mode processor (12) is self-tested and the exit routine is executed at the same time the self-test function is completed.
示す内部ポインタを有し、内部ポインタはデュアルモー
ドプロセッサ(12)に対する割込みにより示される請
求項6に記載のデュアルモードプロセッサ。10. The dual-mode processor of claim 6, wherein the read-only memory has an internal pointer to a secure function, the internal pointer being indicated by an interrupt to the dual-mode processor (12).
号化/復号化するプリミティブを有する請求項6に記載
のデュアルモードプロセッサ。11. The dual mode processor of claim 6, wherein the integrity function comprises a primitive to encrypt / decrypt a data stream.
断手段と、デュアルモードプロセッサとを備え、データ
ストリームにおけるデータについて暗号機能を実施する
ためのシステムであって、 前記デュアルモードプロセッサ(12)は命令を実行す
るための命令実行手段と、デュアルモードプロセッサ
(12)の外部の供給源により外部命令を供給するため
の入力/出力手段と、安全なオペレーティングシステム
のためのプリミティブを記憶する読取専用メモリとを有
し、 前記命令を有するプリミティブは、命令実行手段により
実行される時、デュアルモードプロセッサ(12)に対
する入力/出力をディセーブルにし、デュアルモードプ
ロセッサ(12)に対する割込みにより明示される保全
機能を実施し、特別機能はデータストリームにおけるデ
ータを暗号化/復号化するプリミティブを含み、いずれ
かの保全機能の実施完了と同時に、デュアルモードプロ
セッサ(12)に対する入力/出力をイネーブルにする
とともに、デュアルモードプロセッサ(12)の外部の
供給源により供給される命令の実行の再開を許容するイ
グジットルーチンを実行する機能を実施するシステム。12. A system for performing a cryptographic function on data in a data stream, the system comprising a shut-off means for shutting off a data stream and a dual-mode processor, the dual-mode processor (12) executing instructions. Instruction executing means for executing, input / output means for supplying external instructions by a source external to the dual mode processor (12), and read only memory storing primitives for a secure operating system. A primitive having the instruction, when executed by the instruction executing means, disables input / output to the dual mode processor (12) and implements a security function manifested by an interrupt to the dual mode processor (12). And the special feature is the data stream Includes primitives for encrypting / decrypting data in the dual-mode processor (12), as well as enabling inputs / outputs to the dual-mode processor (12) upon completion of performing any integrity function. A system that performs the functions of executing an exit routine that allows resumption of execution of an instruction supplied by a source.
2)はイグジットルーチンによって呼び出される時にデ
ュアルモードプロセッサ(12)に対する入力/出力を
イネーブルにする特別回路を更に有する請求項12に記
載のシステム。13. The dual mode processor (1)
13. The system of claim 12, wherein 2) further comprises special circuitry to enable inputs / outputs to the dual mode processor (12) when called by the exit routine.
ブを記憶し、それらのプリミティブが命令実行手段によ
り実行される時にリセットを受信するデュアルモードプ
ロセッサ(12)に応答して、 前記デュアルモードプロセッサ(12)に対する入力/
出力をディセーブルにし、デュアルモードプロセッサ
(12)の自己試験を実施し、自己試験機能の実施完遂
と同時にイグジットルーチンを実行する機能を実施する
請求項12に記載のシステム。14. The dual mode processor (12) further responsive to a dual mode processor (12) for storing primitives and receiving a reset when the primitives are executed by an instruction executing means. Input for /
13. The system of claim 12, wherein the output is disabled, the dual-mode processor (12) is self-testing, and the function of executing an exit routine upon completion of self-testing is completed.
示す内部ポインタを有し、内部ポインタはデュアルモー
ドプロセッサ(12)に対する割込みにより示される請
求項12に記載のシステム。15. The system of claim 12, wherein the read-only memory has an internal pointer to a security function, the internal pointer being indicated by an interrupt to a dual mode processor (12).
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP8064466A JPH09259104A (en) | 1996-03-21 | 1996-03-21 | Dual-purpose maintenance architecture having protected internal operating system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP8064466A JPH09259104A (en) | 1996-03-21 | 1996-03-21 | Dual-purpose maintenance architecture having protected internal operating system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH09259104A true JPH09259104A (en) | 1997-10-03 |
Family
ID=13259041
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP8064466A Pending JPH09259104A (en) | 1996-03-21 | 1996-03-21 | Dual-purpose maintenance architecture having protected internal operating system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH09259104A (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003529984A (en) * | 2000-03-31 | 2003-10-07 | インテル・コーポレーション | Generating key hierarchies for use in a separate execution environment |
-
1996
- 1996-03-21 JP JP8064466A patent/JPH09259104A/en active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003529984A (en) * | 2000-03-31 | 2003-10-07 | インテル・コーポレーション | Generating key hierarchies for use in a separate execution environment |
| JP4822646B2 (en) * | 2000-03-31 | 2011-11-24 | インテル・コーポレーション | Generating a key hierarchy for use in an isolated execution environment |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5615263A (en) | Dual purpose security architecture with protected internal operating system | |
| US8838950B2 (en) | Security architecture for system on chip | |
| US8775824B2 (en) | Protecting the security of secure data sent from a central processor for processing by a further processing device | |
| CN107851151B (en) | Protecting state information of virtual machines | |
| US9542114B2 (en) | Methods and apparatus to protect memory regions during low-power states | |
| US7673152B2 (en) | Microprocessor with program and data protection function under multi-task environment | |
| KR100823374B1 (en) | Sleep protection | |
| US7089419B2 (en) | Control function with multiple security states for facilitating secure operation of an integrated system | |
| US8438658B2 (en) | Providing sealed storage in a data processing device | |
| US20160300064A1 (en) | Secure processor for soc initialization | |
| US20070180271A1 (en) | Apparatus and method for providing key security in a secure processor | |
| EP3470990B1 (en) | Electronic device comprising a digital module for accessing encrypted data in a memory and corresponding method | |
| US20170046280A1 (en) | Data processing device and method for protecting a data processing device against attacks | |
| EP3314502B1 (en) | Protecting state information for virtual machines | |
| JPH08185361A (en) | Semiconductor integrated circuit device | |
| JPH09259104A (en) | Dual-purpose maintenance architecture having protected internal operating system | |
| JP2002244757A (en) | Semiconductor circuit | |
| GB2311152A (en) | Dual mode security architecture with protected internal operating system | |
| JPS62171031A (en) | Firmware protecting device | |
| JPH02311928A (en) | Ciphering firmware system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20050909 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20050909 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060307 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20060607 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20060614 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060906 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070123 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20070410 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20070420 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20070410 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070706 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070723 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20070619 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20071225 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080307 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20080414 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20080430 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20080502 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20090619 |