DE10113828A1 - Prozessor zum sicheren Verarbeiten von Daten unter Verwendung einer Datensicherheitsmarke und/oder von Befehlen unter Verwendung einer Befehlssicherheitsmarke - Google Patents
Prozessor zum sicheren Verarbeiten von Daten unter Verwendung einer Datensicherheitsmarke und/oder von Befehlen unter Verwendung einer BefehlssicherheitsmarkeInfo
- Publication number
- DE10113828A1 DE10113828A1 DE10113828A DE10113828A DE10113828A1 DE 10113828 A1 DE10113828 A1 DE 10113828A1 DE 10113828 A DE10113828 A DE 10113828A DE 10113828 A DE10113828 A DE 10113828A DE 10113828 A1 DE10113828 A1 DE 10113828A1
- Authority
- DE
- Germany
- Prior art keywords
- data
- command
- security
- security tag
- mark
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/629—Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
Ein Prozessor zum Verarbeiten von Daten und Befehlen, wobei in Zuordnung zu den Daten eine Datensicherheitsmarke abgespeichert ist und wobei in Zuordnung zu einem Befehl eine Befehlssicherheitsmarke abgespeichert ist, umfaßt eine Einrichtung (16) zum Abrufen eines Befehls samt Befehlssicherheitsmarke und von Daten samt Datensicherheitsmarke von einem Speicher (18). Eine Einrichtung (22) zum Untersuchen der Befehlssicherheitsmarke des Befehls und der Datensicherheitsmarke der Daten, auf die der Befehl zugreifen soll, stellt fest, ob die Befehlssicherheitsmarke und die Datensicherheitsmarke eine vorbestimmte Beziehung zueinander aufweisen. Wird festgestellt, daß die vorbestimmte Beziehung vorliegt, so steuert die Einrichtung (22) zum Untersuchen eine Einrichtung (10) zum Ausführen an, um den Befehl auf die Daten auszuführen. Ist die vorbestimmte Beziehung nicht erfüllt, so wird die Einrichtung (10) angesteuert, um den Befehl auf die Daten nicht auszuführen. Durch Zuordnen einer Befehlssicherheitsmarke zu einem Befehl und/oder einer Datensicherheitsmarke zu einem Datenwort kann unmittelbar vor Ausführen des Befehls bzw. vor dem Zugreifen auf die Daten geprüft werden, ob hierzu überhaupt eine Berechtigung besteht. Damit werden Single Points of Attack vermieden, da die Zugriffskontrolle dezentral gestaltet wird.
Description
Die vorliegende Erfindung bezieht sich auf Prozessoren zum
Verarbeiten von Daten und/oder Befehlen und insbesondere auf
Prozessoren, die eine hohe Sicherheit gegenüber Angreifern
bei der Verarbeitung von Daten und/oder Befehlen liefern.
Es existiert eine Vielzahl von Anwendungen für Mikroprozesso
ren, Security Token und andere Datenverarbeitungseinheiten,
bei denen eine sichere Datenverarbeitung von großer Bedeutung
ist. Bei Datenverarbeitungseinheiten, bei denen eine Vielzahl
von Benutzer Zugriff auf einen einzelnen Prozessor haben, ist
es wesentlich, daß Zugriffsrechte auf Daten, wie z. B. Befeh
le, zu verarbeitende Daten oder Adressen, unzweideutig und
sicher geregelt sind.
Dies trifft sowohl auf Rechenanlagen und Prozessorsysteme zu,
bei denen mehrere Anwendungen (Multiapplikation) oder Abläufe
(Multitasking) gleichzeitig ausgeführt werden, als auch bei
spielsweise auf Smartcards oder Security Token. Bei diesen
muß auch eine einzelne Applikation gegen Angriffe wie Ausspä
hen von Daten oder Manipulation von Daten durch Softwarean
griffe (Viren) oder physikalische Manipulation der Hardware
einheit (Tampering) geschützt werden. Diese Problematik ge
winnt an Brisanz, wenn auf Smartcards auch Multiapplikation
und Multitasking betrieben wird.
Ein Systemverwalter hat typischerweise Zugriff auf sämtliche
Betriebssystemimmanente Daten, derselbe soll jedoch keinen
Zugriff auf personenbezogene Daten der Anwender haben. Die
Anwender sollen wiederum keinen Zugriff auf Betriebssystem
immanente Daten und insbesondere auch nicht auf persönliche
Daten anderer Benutzer haben, um zum einen bewußte Manipulationen
zu unterbinden, und um zu anderen auch unbewußte und
unbeabsichtigte Manipulationen beispielsweise durch eine
Fehlbedienung des Rechners, zu vermeiden.
Üblicherweise wird eine Zugriffskontrolle unter Verwendung
hierarchisch aufgebauter privilegierter Betriebsmodi er
reicht, welche beispielsweise als "Superuser-Mode", "Protec
ted-Mode", etc. bezeichnet werden. In diesen verschiedenen,
nach Zugriffsrechten hierarchisch geordneten Modi werden wei
tergehende Zugriffsprivilegien auf Hardware und Daten ermög
licht, als sie im Normalbetriebsmodus möglich sind. Bei
spielsweise hat ein Programm, das in einem privilegiertem Be
triebsmodus abläuft, wie z. B. das Betriebssystem selbst,
Zugriff auf die Speicherverwaltungseinheit MMU (MMU = Memory
Management Unit) und kann damit Programmen Speicherzugriffs
rechte zuteilen, sowie auf die Daten sämtlicher Programme
zugreifen.
Nachteilig an einem solchen System ist die Tatsache, daß die
privilegierte Betriebsmodi spezielle Angriffspunkten darstel
len, die auch als "Single Points of Attack" bezeichnet wer
den. Wenn ein Angreifer durch Hardwaremanipulation oder einen
Angriff auf die privilegierte Software, wie z. B. das Be
triebssystem, sich Zugang in einen privilegierten Modus ver
schafft hat, erhält er vollen Zugriff auf alle verarbeiteten
Daten. Manipulationen und Datenausspähung bzw. Datendiebstahl
ist somit Tür und Tor geöffnet, wenn der Angreifer die einzi
ge Schwelle überwunden hat.
Beim UNIX-Betriebssystem werden unterschiedlich gestaffelte
Zugriffsrechte auf verschiedene Programme dadurch erteilt,
daß die Adressen, in denen die Daten/Befehle stehen, als zu
greifbar bzw. nicht-zugreifbar markiert werden. Diese Markie
rung findet in einer eigenen Zugriffsrechte-Tabelle statt,
die getrennt vom Speicher, in dem die Daten/Befehle gespei
chert sind, die Gegenstand der Zugriffssteuerung sind, ange
ordnet ist. Wenn sich ein Angreifer Zugang zu dieser
Zugriffs-Tabelle verschafft hat, wenn er also diesen "Single
Point" "geknackt" hat, indem er sich beispielsweise als Be
triebssystem oder Superuser ausgeben kann, hat er freien un
gehinderten Zugriff auf sämtliche Daten mit allen Manipulati
ons- und Ausspähmöglichkeiten. Dies ist der Fall, da die
Zugriffsrechteüberprüfung zentralisiert, also unabhängig von
den Befehlen/Daten stattfindet, auf die zugegriffen werden
soll, wobei, beispielsweise im Fall des Superuser-Mode keine
Zugriffskontrolle für sämtliche Daten und Programme im Compu
tersystem mehr stattfindet, wenn der Angreifer die Superuser-
Berechtigung manipuliert bzw. umgangen hat. Dies ist der Fal
l, da die CPU des Rechnersystems selbst vor der Ausführung
von Befehlen keine Sicherheitsüberprüfung mehr durchführt,
sondern gewissermaßen ohne Rücksicht auf Verluste Befehle
ausführt, wenn sich ein Benutzer Zutritt in einen berechtig
ten Modus verschafft hat, ohne daß darauf geachtet wird, wel
che Daten/Befehle ausgeführt werden sollen.
Die Aufgabe der vorliegenden Erfindung besteht darin, ein
Prozessorkonzept zu schaffen, das eine höhere Sicherheit ge
genüber Angriffen liefert.
Diese Aufgabe wird durch einen Prozessor nach Patentanspruch
1, 2 oder 3 oder durch ein Verfahren nach Patentanspruch 13,
14 oder 15 gelöst.
Der vorliegenden Erfindung liegt die Erkenntnis zugrunde, daß
im Interesse einer höheren Sicherheit von der Softwarelösung
weggegangen werden muß und eine Hardwarerealisierung des Zu
griffsschutzes eine höhere Sicherheit gegenüber Angriffen
liefert. Hierzu wird ein erfindungsgemäßer Prozessor dahinge
hend modifiziert, daß zu den durch den Prozessor zu verarbei
tenden Informationen Informationssicherheitsmarken im Spei
cher in Zuordnung zu den Informationen abgespeichert werden,
wobei diese Informationssicherheitsmarken, wenn die Informa
tionen zu verarbeiten sind, durch den Prozessor vom Speicher
abgerufen werden und vor der Verarbeitung der Informationen
überprüft werden. Eine Verarbeitung der Informationen findet
nur statt, wenn der Prozessor die Informationssicherheitsmar
ke untersucht hat und aufgrund der Informationssicherheits
marke eine Verarbeitung frei gibt.
Im Gegensatz zum Stand der Technik, bei dem Zugriffsrechte
zentral und unabhängig von den zu sichernden Informationen
abgespeichert werden und unabhängig von der Verarbeitung der
Informationen überprüft werden, schafft die vorliegende Er
findung aufgrund der dezentralen Anordnung der Informations
sicherheitsmarken in Zuordnung zu den Informationen und der
Überprüfung der Zugriffsrechte im Prozessor selbst nach dem
Laden der Informationen in den Prozessor und vor der Ausfüh
rung der Informationen eine dezentrale Zugriffsrechte-
Verwaltung.
Die dezentrale Zugriffsrechte-Verwaltung hat den Vorteil, daß
es keinen Single Point of Attack mehr gibt. Ein Angreifer muß
im Gegensatz zum Stand der Technik die Informationssicher
heitsmarke jeglicher vom Prozessor zu verarbeitenden Informa
tion manipulieren. Wenn er nur die Informationssicherheits
marke einer Information manipuliert hat, so hat er zwar
Zugriff auf diese eine Information, der Angreifer hat jedoch
noch keinen Zugriff auf irgendwelche anderen Informationen,
da er hierzu auch die Informationssicherheitsmarken sämtli
cher anderer Informationen manipulieren müsste. Erfindungsge
mäß wird der Aufwand für den Angreifer daher in astronomische
Höhen getrieben, da es einem Angreifer nicht mehr genügt, ei
ne zentrale Zugriffsrechteverwaltungsstelle anzugreifen, son
dern der Angreifer muß den gesamten Speicherbereich, in dem
die Informationen gespeichert sind, manipulieren, um die dort
abgespeicherten Zugriffsrechte zu verändern bzw. zu umgehen.
Informationen können in Daten und Befehle klassifiziert wer
den. Befehle versetzen den Prozessor in die Lage, Daten, wie
z. B. Betriebsdaten, Parameter, Identifikationsdaten, Adres
sen, etc., zu verarbeiten.
Erfindungsgemäß kann ein Befehl mit einer in Zuordnung zu dem
Befehl abgespeicherten Befehlssicherheitsmarke gesichert wer
den. Alternativ können auch Daten über eine den Daten zuge
ordnete Datensicherheitsmarke gesichert werden. Wieder alter
nativ können sowohl Befehle als auch Daten mit einer Befehls
sicherheitsmarke bzw. einer Datensicherheitsmarke gesichert
werden. Die dritte Möglichkeit bietet dahingehend den höchs
ten Schutz, daß nicht nur Daten oder Befehle zugriffsmäßig
gesichert sind, sondern daß, wenn sowohl Daten als auch Be
fehle zugriffsmäßig gesichert sind, vom Prozessor auch über
prüft werden kann, ob ein Befehl einen Zugriff auf die von
ihm zu verarbeiteten Daten hat oder nicht. Haben die Befehls
sicherheitsmarke und die Datensicherheitsmarke keine vorbe
stimmte Beziehung zueinander, so wird der erfindungsgemäße
Prozessor das Ausführen des Befehls, dem die untersuchte Be
fehlssicherheitsmarke zugeordnet ist, auf die Daten, denen
die untersuchte Datensicherheitsmarke zugeordnet ist, verwei
gern.
Erfindungsgemäß wird zusammen mit einem Befehl die Befehlssi
cherheitsmarke in den Prozessor geladen. Existieren lediglich
Datensicherheitsmarken, so werden erfindungsgemäß zusammen
mit den Daten auch die den Daten zugeordneten Datensicher
heitsmarken in den Prozessor geladen. Sind sowohl Daten als
auch Befehle durch Datensicherheitsmarken bzw. Befehlssicher
heitsmarken geschützt, so wird es bevorzugt, sowohl die Da
tensicherheitsmarke als auch die Befehlssicherheitsmarke zu
sammen mit den entsprechenden Daten/Befehlen in den Prozessor
zu laden, um vor Ausführung des Befehls auf die Daten die Zu
griffsrechte überprüfen zu können.
Ein Vorteil der vorliegenden Erfindung besteht darin, daß
flexibel ein Kompromiß gefunden werden kann zwischen Spei
cherbedarf einerseits und Sicherheitsbedarf andererseits. Für
eine hohe Sicherheit kann jedem Befehl im Speicher seine ei
gene Befehlssicherheitsmarke zugeordnet werden. Diese Zuordnung
kann so stattfinden, daß unter der Adresse, unter der
der Befehl abgespeichert ist, auch seine Sicherheitsmarke zu
finden ist. Wenn jeder Befehl seine eigene Befehlssicher
heitsmarke hat, so wird dies zu einem relativ großen Spei
cherverbrauch führen. Dafür muß ein Angreifer jedoch, um die
Zugriffssicherung zu umgehen, für jeden Befehl, den er durch
die CPU ausführen möchte, die Sicherheitsmarke irgendwie ma
nipulieren. Dies stellt einen extrem hohen Aufwand dar. Wird
dagegen eine geringere Sicherheitsstufe als ausreichend für
eine bestimmte Gruppe von Befehlen erachtet, so können mehre
re Befehle gemeinsam dieselbe Befehlssicherheitsmarke erhal
ten, wobei diese Befehlssicherheitsmarke immer dann, wenn ei
ner der Gruppe von Befehlen in den Prozessor geladen wird,
zusammen mit dem Befehl in den Prozessor geladen wird. Ist
ein Speicher beispielsweise seitenweise (page wise) organi
siert, so könnte beispielsweise jeder Speicherseite eine Be
fehlssicherheitsmarke und/oder eine Datensicherheitsmarke ge
geben werden.
Im Gegensatz zum Stand der Technik, bei dem der Angreifer le
diglich eine einzige von den Daten/Befehlen getrennte Zu
griffsrechtetabelle angreifen muß, die typischerweise immer
an der selben Position im Speicher angeordnet ist, muß der
Angreifer, wenn er den erfindungsgemäßen Prozessor angreifen
möchte, im Prinzip den gesamten Speicher manipulieren, wobei
er von vorne herein nicht einmal genau weiß, wo im Speicher
Befehlssicherheitsmarken oder Datensicherheitsmarken stehen.
Die Zugriffssicherung ist beim Gegenstand der vorliegenden
Erfindung dezentral in unmittelbarer Zuordnung zu den Da
ten/Befehlen gestaltet, und nicht mehr zentral in einer Stel
le gebündelt, und wird ferner bei jedem Informationszugriff
überprüft, so daß es bei dem erfindungsgemäßen Prozessor kei
nen Single Point of Attack mehr gibt. Ein Angreifer müsste
daher viele Speichermarken für Befehle und/oder Daten im
Speicher manipulieren, um einen unerlaubten Zugriff auf In
formationen zu erhalten.
Bevorzugte Ausführungsbeispiele der vorliegenden Erfindung
werden nachfolgend bezugnehmend auf die beiliegenden Zeich
nungen detailliert erläutert. Es zeigen:
Fig. 1 ein schematisches Blockschaltbild eines erfindungs
gemäßen Prozessors; und
Fig. 2 eine detailliertere Darstellung des erfindungsgemä
ßen Prozessors von Fig. 1, wobei dieser Prozessor
beispielhaft eine Harvard-Architektur aufweist.
Fig. 1 zeigt einen erfindungsgemäßen Prozessor. Der Prozessor
umfaßt eine Einrichtung 10 zum Ausführen von Befehlen, die
über eine Befehlsleitung 12 zugeführt werden, auf Daten, die
über eine Datenleitung 14 zugeführt werden. Der auf der Be
fehlsleitung 12 vorhandene Befehl genauso wie die auf der Da
tenleitung 14 vorhandenen Daten werden mittels einer Einrich
tung 16 zum Abrufen der Daten und Befehle von einem Speicher
18 abgerufen. Die Einrichtung 16 zum Abrufen der Befehle und
Daten ist erfindungsgemäß ausgebildet, um nicht nur einen be
stimmten Befehl, sondern auch die diesem Befehl zugeordnete
Befehlssicherheitsmarke (BSM) vom Speicher abzurufen. Dassel
be gilt für die Daten. Nicht nur Daten, sondern auch die die
sen Daten zugeordnete Datensicherheitsmarke (DSM) wird durch
die Einrichtung 16 von dem Speicher 18 abgerufen. Hierzu
steht die Einrichtung 16 zum Abrufen mit dem Speicher über
eine Nachrichtenverbindung 18 in Kommunikation, um einen Be
fehl samt zugehöriger Befehlssicherheitsmarke und Daten samt
zugehöriger Datensicherheitsmarke von dem Speicher 18 zu
erhalten. Während Befehle und Daten über die Leitungen 12
bzw. der Einrichtung zum Ausführen 10 zugeführt werden können,
wird die Befehlssicherheitsmarke (BSM) bzw. die Datensicher
heitsmarke (DSM) einer Einrichtung 22 zum Untersuchen der Be
fehlssicherheitsmarke des abgerufenen Befehls und/oder der
Datensicherheitsmarke (DSM) der Daten, auf die der Befehl zu
greifen soll, zugeführt. Je nach Ausführungsbeispiel ist die
Einrichtung 22 zum Untersuchen angeordnet, um festzustellen,
len, ob die Befehlssicherheitsmarke einen vorbestimmten Wert
aufweist, um feststellen, ob die Datensicherheitsmarke einen
vorbestimmten Wert aufweist, oder um festzustellen, ob zwi
schen der Befehlssicherheitsmarke und der Datensicherheits
marke eine vorbestimmte Beziehung besteht.
Hat die Befehlssicherheitsmarke bzw. hat die Datensicher
heitsmarke einen vorbestimmten Wert, so steuert die Einrich
tung 22 die Einrichtung 10 über eine Steuerleitung 24 derart
an, daß die Einrichtung 10 den Befehl auf die baten ausführt,
wenn der Benutzer den Befehl ausführen darf, wenn der Benut
zer auf die Daten zugreifen darf, oder wenn auf spezielle Da
ten mit einem speziellen Befehl zugegriffen werden darf. An
dernfalls, wenn die Befehlssicherheitsmarke oder die Datensi
cherheitsmarke den vorbestimmten Wert nicht aufweisen bzw.
wenn die vorbestimmte Beziehung zwischen der Befehlssicher
heitsmarke und der Datensicherheitsmarke nicht gegeben ist,
so wird die Einrichtung 22 zum Untersuchen über die Steuer
leitung 24 die Einrichtung 10 zum Ausführen blockieren, so
daß kein unberechtigter Zugriff auf die Daten und/oder Befeh
le stattfinden kann.
Im letzteren Fall könnte der Prozessor z. B. in einen Ausnah
mezustand übergehen (Trap, Interrupt, Exception), um entspre
chend auf den unberechtigten Zugriff zu reagieren.
Die Einrichtung 10 zum Ausführen umfaßt ferner eine Ausgabe
leitung 26, mittels der die Ergebnisse der Einrichtung 10 an
gezeigt, abgespeichert oder auf irgendeine andere Art und
Weise verarbeitet werden können.
Fig. 2 zeigt einen Prozessor gemäß einem bevorzugten Ausfüh
rungsbeispiel der vorliegenden Erfindung, der in der bekann
ten Harvard-Architektur implementiert ist. Der Prozessor um
faßt einen Befehls-Cache-Speicher 18a, einen Daten-Cache-
Speicher 18b und einen externen Speicher 18c, der der RAM-
Arbeitsspeicher der Prozessors sein kann, der jedoch auch ein
Bandspeicher, ein Diskettenspeicher, ein CD-ROM-Speicher, ein
Festplattenspeicher und dergleichen sein kann. Sämtliche
Speicher stehen über einen Bus 30 miteinander in Verbindung,
an dem beispielsweise weitere Prozessoren, Peripheriegeräte
etc. angekoppelt sein können. Der Prozessor umfaßt ferner die
Einrichtung 16 zum Abrufen, die in der Technik auch als
Fetch-Einheit bezeichnet wird. Der Einrichtung 16 zum Abrufen
ist eine Einrichtung 32 zum Decodieren, die auch als Decode-
Einheit bezeichnet wird, nachgeschaltet. Die Einrichtung 32
zum Decodieren ist ausgangsseitig mit der Einrichtung 22 zum
Untersuchen gekoppelt, die wiederum, wie es bezugnehmend auf
Fig. 1 bereits erläutert worden ist, mit der Einrichtung 10
zum Ausführen in Kommunikationsverbindung steht. Die Einrich
tung 10 zum Ausführen wird in der Technik auch als Execu
te/Writeback-Stufe bezeichnet.
Wie es aus Fig. 2 ersichtlich wird, steht die Einrichtung 16
zum Abrufen mit dem Befehls-Cache 18a in Verbindung, und um
faßt keine unmittelbare Verbindung zum Daten-Cache 18b. In
diesem Fall hat die Einrichtung 10 zum Ausführen ebenfalls
Abruf-Funktionalitäten, um die Daten von dem Daten-Cache 18b
abzurufen, auf die zugegriffen werden soll, um beispielsweise
Daten zu lesen, Daten zu schreiben oder Daten zu manipulie
ren. Der in Fig. 2 gezeigte erfindungsgemäße Prozessor hat
also eine dreistufige Pipeline und ferner, um die Zugriffs
überprüfung gemäß der vorliegenden Erfindung durchführen zu
können, die Einrichtung 22 zum Untersuchen der Befehlssicher
heitsmarke und/oder der Datensicherheitsmarke.
Wie es aus Fig. 2 ersichtlich ist, ist jedem Befehl, wie z. B.
dem Befehl 40 in dem Befehls-Cache eine Befehlssicher
heitsmarke 42 zugeordnet, die in Fig. 2 mit "A" bezeichnet
ist. Ferner ist jedem Datenblock, wie z. B. dem Datenblock 44
in dem Daten-Cache, eine Datensicherheitsmarke 46 zugeordnet,
die in Fig. 2 beispielhaft mit "C" bezeichnet ist. So exis
tieren Befehle mit unterschiedlichen Befehlssicherheitsmarken
(in Fig. 2 "A" und "B" oder "C"), während Daten ebenfalls unterschiedliche
Datensicherheitsmarken haben können, wie z. B.
"A", "B" oder "C". Die Befehlssicherheitsmarken und/oder die
Datensicherheitsmarken werden zusammen mit den entsprechenden
Befehlen/Daten von dem externen Speicher 18c in den Befehls-
Cache 18a bzw. den Daten-Cache 18b geladen, so daß sämtliche
Informationen, die in der Prozessor-Pipeline 50 bzw. in den
Cache-Speichern 18a, 18b vorhanden sind, Informationssicher
heitsmarken aufweisen, wie z. B. die Befehlssicherheitsmarken
42 oder die Datensicherheitsmarke 46.
Die Informationssicherheitsmarken, d. h. BSM, DSM oder BSM
und DSM, werden in der Pipeline 50 gehalten und von Stufe zu
Stufe übernommen bzw. weitergereicht.
Erfindungsgemäß existieren verschiedene Möglichkeiten, die
einen unterschiedlich starken Schutz gegen unerlaubte Zugrif
fe bieten.
Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung
haben nur Befehle eine Befehlssicherheitsmarke, während Daten
keine Datensicherheitsmarke haben. In diesem Fall kann die
Einrichtung 10 zum Ausführen auf alle Daten im Daten-Cache
frei zugreifen, wenn die Einrichtung 22 zum Untersuchen fest
gestellt hat, daß eine Befehlssicherheitsmarke eines Befehls
einen vorbestimmten Wert aufweist. Der vorbestimmte Wert
könnte beispielsweise darin bestehen, daß ein Benutzer, der
sich als normaler User in dem Computersystem angemeldet hat,
eine solche Berechtigung aufweist, daß er zwar Befehle mit
der Sicherheitsmarke "B" ausführen darf, jedoch nicht Befehle
mit einer Befehlssicherheitsmarke "A". Ein anderen Benutzer,
der sich als Systemverwalter angemeldet hat, könnte eine Be
rechtigung haben, um sämtliche Befehle mit der Befehlssicher
heitsmarke "A" und "B" auszuführen, jedoch keine Befehle mit
der Befehlssicherheitsmarke "C", da diese Befehle lediglich
für den Hersteller des Computersystems zur freien Ausführung
vorliegen. In diesem Fall wird es bevorzugt, daß die Einrich
tung 22 zum Untersuchen einen weiteren Eingang 52 aufweist,
über den der vorbestimmte Wert eingestellt werden kann, den
eine Befehlssicherheitsmarke haben muß, damit die Einrichtung
10 zum Ausführen über die in Fig. 2 nicht gezeigte Steue
rungsleitung 24 (Fig. 1) angesteuert wird, um einen Befehl
auszuführen. Über den weiteren Eingang 52 könnte der Einrich
tung 22 beispielsweise mitgeteilt werden, ob der derzeitige
Benutzer ein normaler Benutzer, ein Systemverwalter oder z. B.
der Hersteller selbst ist.
Alternativ könnte der erfindungsgemäße Prozessor derart aus
gebildet sein, daß sämtliche Befehle zur freien Verfügung
sind, daß jedoch Daten mit einer Datensicherheitsmarke verse
hen sind. Eine solche Anwendung wäre beispielsweise auf einer
Chipkarte, auf der ein Programm, also eine Abfolge von Befeh
len, gespeichert ist, die einen bekannten Kryptoalgorithmus
darstellen, während Daten in Form eines Schlüssels, wie z. B.
eines öffentlichen Schlüssels oder eines geheimen Schlüssels,
vorliegen, die mit einer Datensicherheitsmarke geschützt
sind. Wenn die Chipkarte eine Multifunktions-Anwendung ist,
so könnte der Fall auftreten, daß für verschiedene Anwendun
gen, wie z. B. Bankkarte und Personalausweis, verschiedene
Schlüssel vorliegen, die auch nur in den verschiedenen Anwen
dungen eingesetzt werden sollen. Je nach Anwendung der Karte,
die feststellen kann, ob sie in einem Bankautomat steckt oder
in einem Personalausweislesegerät, hat ein Befehl dann
Zugriff lediglich auf die Schlüssel für die Bankanwendung o
der die Schlüssel für die Personalausweisanwendung, während
jedoch der Kryptoalgorithmus, also die Abfolge von Befehlen,
für beide Anwendungen derselbe sein kann. Hier müssen also
die Befehle nicht unbedingt mit Befehlssicherheitsmarken ge
schützt werden. Hierbei ist es statt dessen von Vorteil, Da
ten wie z. B. Schlüsseldaten oder sonstige personenbezogene
Daten vor unberechtigtem Zugriff zu schützen, beispielsweise
auch, um einen illegalen Terminal daran zu hindern, die per
sönlichen Daten aus der Karte auszulesen, ohne daß es der
Karteninhaber will bzw. überhaupt weiß.
In diesem Fall ist die Einrichtung zum Untersuchen ausgebil
det, um die Datensicherheitsmarke der Daten, auf die ein Be
fehl zugreifen möchte, zu untersuchen, um festzustellen, ob
die Datensicherheitsmarke einen vorbestimmten Wert aufweist.
Der vorbestimmte Wert könnte der Einrichtung 22 zum Untersu
chen beispielsweise wieder über einen externen Eingang 52
mitgeteilt werden, so daß die Einrichtung 22 zum Untersuchen
weiß, auf welchen Wert dieselbe die Datensicherheitsmarke un
tersuchen soll, um über die Steuerleitung 24 (Fig. 1) die
Einrichtung 10 zum Ausführen anzusteuern, damit dieselbe den
Befehl mit den entsprechenden Daten ausführt oder nicht.
Für höchste Sicherheitsansprüche wird es bevorzugt, sowohl
Befehle als auch Daten mit Sicherheitsmarken zu versehen. In
diesem Fall kann eine direkte Zuordnung von Befehlen mit Da
ten erreicht werden. Neben der Tatsache, daß ein bestimmter
Benutzer überhaupt Befehle ausführen darf bzw. überhaupt auf
Daten zugreifen darf, liefert die Verwendung von Sicherheits
marken sowohl für Daten als auch für Befehle die Möglichkeit,
zusätzlich noch zu spezifizieren, daß ein Befehl nur auf be
stimmte Daten zugreifen soll.
Ein Anwendungsbeispiel besteht darin, daß der Befehl Lesen
sämtlichen Benutzern zur Verfügung gestellt wird, wobei je
doch die Daten mit hierarchisch unterschiedlichen Datensi
cherheitsmarken versehen sind, so daß jeder Benutzer je nach
Kategorie bestimmte Daten lesen darf. Der Befehl Schreiben
können derart beschaffen sein, daß ein Benutzer zwar seine
eigenen Daten überschreiben darf, jedoch nicht die Daten der
anderen Benutzer oder Betriebssystemdaten etc. Dasselbe gilt
für den Befehl Manipulieren. Eine Datenmanipulation könnte
ebenfalls lediglich dem Benutzer mit seinen eigenen Daten
gestattet sein, jedoch nicht mit Daten anderer Benutzer bzw.
Betriebssystemdaten, die wiederum nur dem Systemadministrator
zur Manipulation zugänglich sein sollen.
Jedem Befehl in der jeweiligen Pipelinestufe ist somit ein
eigener, durch die Marke definierter Betriebs- bzw. Zugriffs
modus zugeordnet. In der Einrichtung 10 zum Ausführen, die
auch als Execute/Writeback-Stufe bezeichnet wird, werden die
Zugriffe auf die Daten durchgeführt, welche, wie es ausge
führt worden ist, z. B. im Lesen, Schreiben oder Manipulieren
bestehen können. Die Einrichtung 22 zum Untersuchen führt da
bei die Kontrolle durch, daß nur Befehle mit einer bestimmten
Marke auf Daten mit einer oder mehreren definierten Marken
zugreifen können.
Die vorliegende Erfindung liefert die Möglichkeit, Zugriffs
privilegien flexibel festzulegen. Zunächst ist eine bijektive
Zuordnung ohne weiteres realisierbar. Befehle, die in der
Verarbeitungsstufe, die den Zugriff durchführt, in dem durch
die Befehlssicherheitsmarke Ai gekennzeichneten Modus sind,
haben Zugriff auf Daten mit der selben Marke Ai.
Darüber hinaus ist auch einen privilegierte Zuordnung mög
lich. Befehle, die in der Verarbeitungsstufe, welche den
Zugriff durchführt, in dem durch die Marke A0 gekennzeichne
ten Modus sind, haben Zugriff auf alle Daten mit der Marke
Ai, wobei i gleich 0, 1, 2, . . ., n sein kann.
Selbstverständlich sind auch alle Arten von Mischformen der
Zuordnung von Zugriffsprivilegien von Befehlen mit einer Mar
ke Ai auf Daten mit einer Marke Ak möglich. Dabei können die
Privilegien mittels der Marke auch z. B. nach lesenden,
schreibenden oder anderen Zugriffsarten unterschieden werden.
Die Anzahl der Marken und die Zuordnung auf Zugriffsrechte
kann flexibel an das Einsatzgebiet des Prozessors oder Secu
rity Token angepaßt werden. Ist viel Speicherplatz vorhanden,
so kann, um höchste Sicherheitsansprüche zu erreichen, jedem
Befehl an jeder Speicheradresse eine eigene
Befehlssicherheitsmarke zugeordnet werden, und es kann jedem
Datenblock unmittelbar angrenzend im Speicher eine eigene
Datensicherheitsmarke zugeordnet werden. Um Speicherplatz zu
heitsmarke zugeordnet werden. Um Speicherplatz zu sparen,
kann, wie es ausgeführt worden ist, entweder auf die Datensi
cherheitsmarke oder auf die Befehlssicherheitsmarke verzich
tet werden. Alternativ, z. B. wenn sowohl Daten- als auch Be
fehlssicherheitsmarke beibehalten werden sollen, kann eine
gröbere Granularität gewählt werden. Es können beispielsweise
Gruppen von Befehlen oder Gruppen von Datenblöcken dieselbe
Sicherheitsmarke erhalten, wobei die Sicherheitsmarke dann
nur einmal in Zuordnung zu mehreren Befehlen bzw. mehreren
Daten abgespeichert wird, jedoch bei einem Abrufen der Daten
bzw. der Befehle immer in die Pipeline geladen wird.
Zugriffsprivilegien können somit mit beliebig feiner Granula
rität vergeben werden. Diese kann an das gewünschte Sicher
heitsniveau und die architektonischen Vorgaben des Prozessors
angepaßt werden.
Wenn der Prozessor ein auf Paging basierendes Speichersystem
aufweist, kann z. B. eine Sicherheitsmarke pro Page implemen
tiert werden, was bedeutet, daß sämtliche Befehle und sämtli
che Daten in einer Speicherseite dieselbe Daten- bzw. Be
fehlssicherheitsmarke haben. Diese Daten- oder Befehlssicher
heitsmarke wird nur einmal auf der Speicherseite abgespei
chert, wird jedoch, wenn ein Befehl oder ein Datenblock aus
dieser Speicherseite geladen wird, dem Befehl bzw. den Daten
hinzugefügt, wie es in Fig. 2 am Beispiel des Befehls-Cache
und des Daten-Cache gezeigt ist. So könnten beispielsweise
die ersten drei Befehle des Befehls-Cache 18a, die die Si
cherheitsmarke "A" haben, aus derselben Speicherseite stam
men, wobei auf dieser Speicherseite ferner die Daten in der
dritten Zeile des Daten-Cache stammen können, welche eben
falls die Sicherheitsmarke "A" haben.
Erfindungsgemäß ist somit eine beliebig wählbare entweder
sehr grobe oder sehr feine Granularität bis hin zu Marken an
einzelnen Befehlen und/oder Datenworten realisierbar. Damit
werden Single Points of Attack wirksam unterbunden.
Wird das erfindungsgemäße Verwenden von Sicherheitsmarken mit
Verschlüsselungsverfahren kombiniert, so kann eine weitere
Erhöhung des Sicherheitsniveaus erreicht werden. Marken kön
nen durch Verschlüsselung zusammen mit den Daten auf den Ver
bindungsleitungen (Bussen) und in den Speichern (Cache-
Speicher und interne Speicher, wie z. B. RAM oder nicht
flüchtige Speicher) geschützt werden, so daß die Sicherheits
marken im Speicher nicht mehr explizit, beispielsweise als
das letzte Byte des Speicherblocks, der mit einer bestimmten
Adresse adressierbar ist, vorhanden sind, sondern nur noch
implizit, d. h. verschlüsselt, vorliegen. Damit wird es einem
Angreifer nahezu unmöglich gemacht, beispielsweise durch phy
sikalische Angriffe oder ähnliches Befehlssicherheitsmarken
oder Datensicherheitsmarken zu manipulieren, da dieselben
nicht mehr explizit vorliegen sondern verschlüsselt sind.
Auch wenn die Marken jedoch nicht verschlüsselt sind, müßte
ein Angreifer aufgrund der Tatsache, daß jedem Befehl bzw.
jedem Datenwort eine Sicherheitsmarke zugeordnet ist, die vor
dem Ausführen des Befehls bzw. vor dem Zugriff auf die Daten
überprüft wird, für jedes Datenwort und jeden Befehl die Si
cherheitsmarke manipulieren, was zu einem astronomisch großen
Aufwand für einen Angreifer führen wird.
10
Einrichtung zum Ausführen
12
Befehlsleitung
14
Datenleitung
16
Einrichtung zum Abrufen
18
Speicher
18
a Befehls-Cache
18
b Daten-Cache
18
c externer Speicher
20
Kommunikationsleitung zum Speicher
22
Einrichtung zum Untersuchen
24
Steuerleitung abhängig von der
Befehlssicherheitsmarke/Datensicherheitsmarke
26
Ausgabeleitung
30
Bus
32
Einrichtung zum Decodieren
40
Befehl
42
Befehlssicherheitsmarke
44
Daten
46
Datensicherheitsmarke
50
Verarbeitungspipeline
52
weiterer Eingang der Einrichtung zum Untersuchen
Claims (15)
1. Prozessor zum Verarbeiten von Daten und Befehlen, wobei in
Zuordnung zu einem Befehl eine Befehlssicherheitsmarke abge
speichert ist, mit folgenden Merkmalen:
einer Einrichtung (16) zum Abrufen eines Befehls (42) und der dem Befehl (42) zugeordneten Befehlssicherheitsmarke (40) so wie von Daten, auf die der Befehl (42) zugreifen soll, von einem Speicher (18);
einer Einrichtung (22) zum Untersuchen der Befehlssicher heitsmarke (42) des Befehls (40), um festzustellen, ob die Befehlssicherheitsmarke einen vorbestimmten Wert aufweist; und
einer Einrichtung (10) zum Ausführen des Befehls (40) auf die Daten, wobei die Einrichtung (10) zum Ausführen durch die Einrichtung (22) zum Untersuchen steuerbar ist, um nur dann den Befehl (40) auf die Daten auszuführen, wenn die Befehls sicherheitsmarke (42) den vorbestimmten Wert aufweist.
einer Einrichtung (16) zum Abrufen eines Befehls (42) und der dem Befehl (42) zugeordneten Befehlssicherheitsmarke (40) so wie von Daten, auf die der Befehl (42) zugreifen soll, von einem Speicher (18);
einer Einrichtung (22) zum Untersuchen der Befehlssicher heitsmarke (42) des Befehls (40), um festzustellen, ob die Befehlssicherheitsmarke einen vorbestimmten Wert aufweist; und
einer Einrichtung (10) zum Ausführen des Befehls (40) auf die Daten, wobei die Einrichtung (10) zum Ausführen durch die Einrichtung (22) zum Untersuchen steuerbar ist, um nur dann den Befehl (40) auf die Daten auszuführen, wenn die Befehls sicherheitsmarke (42) den vorbestimmten Wert aufweist.
2. Prozessor zum Verarbeiten von Daten und Befehlen, wobei in
Zuordnung zu den Daten eine Datensicherheitsmarke abgespei
chert ist, mit folgenden Merkmalen:
einer Einrichtung (16) zum Abrufen eines Befehls und von Da ten (44) und der den Daten (44) zugeordneten Datensicher heitsmarke (46) von einem Speicher (18);
einer Einrichtung (22) zum Untersuchen der Datensicherheits marke (46), die den Daten zugeordnet ist, auf die der Befehl zugreifen soll, um festzustellen, ob die Datensicherheitsmar ke (46) einen vorbestimmten Wert aufweist; und
einer Einrichtung (10) zum Ausführen des Befehls auf die Da ten (44), wobei die Einrichtung (10) zum Ausführen durch die Einrichtung (22) zum Untersuchen steuerbar ist, um nur dann den Befehl auf die Daten (44) auszuführen, wenn die Datensi cherheitsmarke (46) den vorbestimmten Wert aufweist.
einer Einrichtung (16) zum Abrufen eines Befehls und von Da ten (44) und der den Daten (44) zugeordneten Datensicher heitsmarke (46) von einem Speicher (18);
einer Einrichtung (22) zum Untersuchen der Datensicherheits marke (46), die den Daten zugeordnet ist, auf die der Befehl zugreifen soll, um festzustellen, ob die Datensicherheitsmar ke (46) einen vorbestimmten Wert aufweist; und
einer Einrichtung (10) zum Ausführen des Befehls auf die Da ten (44), wobei die Einrichtung (10) zum Ausführen durch die Einrichtung (22) zum Untersuchen steuerbar ist, um nur dann den Befehl auf die Daten (44) auszuführen, wenn die Datensi cherheitsmarke (46) den vorbestimmten Wert aufweist.
3. Prozessor zum Verarbeiten von Daten und Befehlen, wobei in
Zuordnung zu den Daten eine Datensicherheitsmarke abgespei
chert ist, und wobei in Zuordnung zu einem Befehl eine Be
fehlssicherheitsmarke abgespeichert ist, mit folgenden Merk
malen:
einer Einrichtung (16) zum Abrufen eines Befehls (40) und der diesem Befehl zugeordneten Befehlssicherheitsmarke (42) und von Daten (44) sowie der den Daten zugeordneten Datensicher heitsmarke (46) von einem Speicher (18);
einer Einrichtung (22) zum Untersuchen der Befehlssicher heitsmarke (42) des Befehls (40) und der Datensicherheitsmar ke (46) der Daten (44), auf die der Befehl (40) zugreifen soll, um festzustellen, ob die Befehlssicherheitsmarke (42) und die Datensicherheitsmarke (46) eine vorbestimmte Bezie hung zueinander aufweisen; und
einer Einrichtung (10) zum Ausführen des Befehls (40) auf die Daten (44), wobei die Einrichtung zum Ausführen (10) durch die Einrichtung (22) zum Untersuchen steuerbar ist, um nur dann den Befehl (40) auf die Daten (44) auszuführen, wenn die Befehlssicherheitsmarke (42) und die Datensicherheitsmarke (46) die vorbestimmte Beziehung zueinander aufweisen.
einer Einrichtung (16) zum Abrufen eines Befehls (40) und der diesem Befehl zugeordneten Befehlssicherheitsmarke (42) und von Daten (44) sowie der den Daten zugeordneten Datensicher heitsmarke (46) von einem Speicher (18);
einer Einrichtung (22) zum Untersuchen der Befehlssicher heitsmarke (42) des Befehls (40) und der Datensicherheitsmar ke (46) der Daten (44), auf die der Befehl (40) zugreifen soll, um festzustellen, ob die Befehlssicherheitsmarke (42) und die Datensicherheitsmarke (46) eine vorbestimmte Bezie hung zueinander aufweisen; und
einer Einrichtung (10) zum Ausführen des Befehls (40) auf die Daten (44), wobei die Einrichtung zum Ausführen (10) durch die Einrichtung (22) zum Untersuchen steuerbar ist, um nur dann den Befehl (40) auf die Daten (44) auszuführen, wenn die Befehlssicherheitsmarke (42) und die Datensicherheitsmarke (46) die vorbestimmte Beziehung zueinander aufweisen.
4. Prozessor nach einem der vorhergehenden Ansprüche, bei dem
einer Gruppe von Befehlen und/oder einer Gruppe von Daten
dieselbe Befehlssicherheitsmarke bzw. dieselbe Datensicher
heitsmarke zugeordnet sind, und bei der die Einrichtung (16)
zum Abrufen ausgebildet ist, um zusammen mit jedem Befehl der
Gruppe von Befehlen diese Befehlssicherheitsmarke und/oder
zusammen mit jeden Daten der Gruppe von Daten die Datensicherheitsmarke,
die für die Gruppe der Daten abgespeichert
ist, aus dem Speicher (18) abzurufen.
5. Prozessor nach einem der vorhergehenden Ansprüche, der
ferner folgendes Merkmal aufweist:
eine Einrichtung (32) zum Decodieren des durch die Einrich tung (16) zum Abrufen abgerufenen Befehls, wobei die Einrich tung (32) zum Decodieren angeordnet ist, um die Befehlssi cherheitsmarke von der Einrichtung (16) zum Abrufen zu erhal ten.
eine Einrichtung (32) zum Decodieren des durch die Einrich tung (16) zum Abrufen abgerufenen Befehls, wobei die Einrich tung (32) zum Decodieren angeordnet ist, um die Befehlssi cherheitsmarke von der Einrichtung (16) zum Abrufen zu erhal ten.
6. Prozessor nach Anspruch 3, bei dem die Befehlssicherheits
marke (42) und die Datensicherheitsmarke (46) als Bitmuster
ausgeführt sind, und bei dem die Einrichtung (22) zum Unter
suchen als Bitkomparator in Hardware ausgestaltet ist, um die
Bitmuster zu vergleichen.
7. Prozessor nach Anspruch 3, bei dem die Einrichtung (22)
zum Untersuchen ausgestaltet ist, um nur dann die vorbestimm
te Beziehung festzustellen, wenn die Befehlssicherheitsmarke
(42) und die Datensicherheitsmarke (46) identisch sind.
8. Prozessor nach einem der vorhergehenden Ansprüche, bei dem
der Speicher (18) seitenweise organisiert ist, wobei auf
Speichereiten eine Anzahl von Befehlen abgespeichert ist, die
zusammen ein Programm bilden,
wobei ein erster Anteil der Anzahl von Befehlen auf einer
Speicherseite gespeichert ist, und wobei ein zweiter Anteil
der Anzahl von Befehlen auf einer anderen Speicherseite ge
speichert ist, wobei der einen Speicherseite eine Befehlssi
cherheitsmarke zugeordnet ist, und wobei der anderen Spei
cherseite eine unterschiedliche Befehlssicherheitsmarke zuge
ordnet ist, wobei die Befehlssicherheitsmarke der jeweiligen
Speicherseite sämtlichen Befehlen dieser Speicherseite zuge
ordnet ist.
9. Prozessor nach Anspruch 2 oder 3, bei dem der Speicher
(18) seitenweise organisiert ist, wobei in dem Speicher (18)
eine Anzahl von Datenworten abgespeichert ist, wobei ein ers
ter Anteil der Anzahl von Datenworten auf einer Speicherseite
gespeichert ist, und wobei ein zweiter Anteil der Anzahl von
Datenworten auf einer anderen Speicherseite gespeichert ist,
wobei der einen Speicherseite eine Datensicherheitsmarke zu
geordnet ist, und wobei der anderen Speicherseite eine andere
Datensicherheitsmarke zugeordnet ist, wobei die Datensicher
heitsmarke der jeweiligen Speicherseite sämtlichen Datenwor
ten dieser Speicherseite zugeordnet ist.
10. Prozessor nach einem der Ansprüche 1 bis 3, der in ver
schiedenen Betriebsmodi mit verschiedenen Hierarchien
betreibbar ist, wobei der vorbestimmte Wert bzw. die vorbe
stimmte Beziehung von einem Benutzer, der einen Betriebsmodus
festgelegt hat, abhängt (52).
11. Prozessor nach einem der Ansprüche 1 bis 3, bei dem zu
sammen mit einer Mehrzahl von Befehlen eines Programms die
selbe Befehlssicherheitsmarke abgespeichert ist.
12. Prozessor nach einem der vorhergehenden Ansprüche, bei
dem die Befehlssicherheitsmarke und/oder die Datensicher
heitsmarke verschlüsselt sind, und der ferner folgendes Merk
mal aufweist:
eine Einrichtung zum Entschlüsseln, die ausgebildet ist, um die Befehlssicherheitsmarke und/oder die Datensicherheitsmar ke zu entschlüsseln, wobei die Einrichtung zum Entschlüsseln der Einrichtung zum Untersuchen (22) vorgeschaltet ist.
eine Einrichtung zum Entschlüsseln, die ausgebildet ist, um die Befehlssicherheitsmarke und/oder die Datensicherheitsmar ke zu entschlüsseln, wobei die Einrichtung zum Entschlüsseln der Einrichtung zum Untersuchen (22) vorgeschaltet ist.
13. Verfahren zum Verarbeiten von Daten und Befehlen, wobei
in Zuordnung zu einem Befehl eine Befehlssicherheitsmarke ab
gespeichert ist, mit folgenden Schritten:
Abrufen (16) eines Befehls (42) und der dem Befehl (42) zuge ordneten Befehlssicherheitsmarke (40) sowie von Daten, auf die der Befehl (42) zugreifen soll, von einem Speicher (18);
Untersuchen (22) der Befehlssicherheitsmarke (42) des Befehls (40), um festzustellen, ob die Befehlssicherheitsmarke einen vorbestimmten Wert aufweist; und
Ausführen (10) des Befehls (40) auf die Daten, wobei die Ein richtung (10) zum Ausführen durch die Einrichtung (22) zum Untersuchen steuerbar ist, um nur dann den Befehl (40) auf die Daten auszuführen, wenn die Befehlssicherheitsmarke (42) den vorbestimmten Wert aufweist.
Abrufen (16) eines Befehls (42) und der dem Befehl (42) zuge ordneten Befehlssicherheitsmarke (40) sowie von Daten, auf die der Befehl (42) zugreifen soll, von einem Speicher (18);
Untersuchen (22) der Befehlssicherheitsmarke (42) des Befehls (40), um festzustellen, ob die Befehlssicherheitsmarke einen vorbestimmten Wert aufweist; und
Ausführen (10) des Befehls (40) auf die Daten, wobei die Ein richtung (10) zum Ausführen durch die Einrichtung (22) zum Untersuchen steuerbar ist, um nur dann den Befehl (40) auf die Daten auszuführen, wenn die Befehlssicherheitsmarke (42) den vorbestimmten Wert aufweist.
14. Verfahren zum Verarbeiten von Daten und Befehlen, wobei
in Zuordnung zu den Daten eine Datensicherheitsmarke abge
speichert ist, mit folgenden Schritten:
Abrufen (16) eines Befehls und von Daten (44) und der den Da ten (44) zugeordneten Datensicherheitsmarke (46) von einem Speicher (18);
Untersuchen (22) der Datensicherheitsmarke (46), die den Da ten zugeordnet ist, auf die der Befehl zugreifen soll, um festzustellen, ob die Datensicherheitsmarke (46) einen vorbe stimmten Wert aufweist; und
Ausführen (10) des Befehls auf die Daten (44), wobei die Ein richtung (10) zum Ausführen durch die Einrichtung (22) zum Untersuchen steuerbar ist, um nur dann den Befehl auf die Da ten (44) auszuführen, wenn die Datensicherheitsmarke (46) den vorbestimmten Wert aufweist.
Abrufen (16) eines Befehls und von Daten (44) und der den Da ten (44) zugeordneten Datensicherheitsmarke (46) von einem Speicher (18);
Untersuchen (22) der Datensicherheitsmarke (46), die den Da ten zugeordnet ist, auf die der Befehl zugreifen soll, um festzustellen, ob die Datensicherheitsmarke (46) einen vorbe stimmten Wert aufweist; und
Ausführen (10) des Befehls auf die Daten (44), wobei die Ein richtung (10) zum Ausführen durch die Einrichtung (22) zum Untersuchen steuerbar ist, um nur dann den Befehl auf die Da ten (44) auszuführen, wenn die Datensicherheitsmarke (46) den vorbestimmten Wert aufweist.
15. Verfahren zum Verarbeiten von Daten und Befehlen, wobei
in Zuordnung zu den Daten eine Datensicherheitsmarke abge
speichert ist, und wobei in Zuordnung zu einem Befehl eine
Befehlssicherheitsmarke abgespeichert ist, mit folgenden
Schritten:
Abrufen (16) eines Befehls (40) und der diesem Befehl zuge ordneten Befehlssicherheitsmarke (42) und von Daten (44) so wie der den Daten zugeordneten Datensicherheitsmarke (46) von einem Speicher (18);
Untersuchen (22) der Befehlssicherheitsmarke (42) des Befehls (40) und der Datensicherheitsmarke (46) der Daten (44), auf die der Befehl (40) zugreifen soll, um festzustellen, ob die Befehlssicherheitsmarke (42) und die Datensicherheitsmarke (46) eine vorbestimmte Beziehung zueinander aufweisen; und
Ausführen (10) des Befehls (40) auf die Daten (44), wobei die Einrichtung zum Ausführen (10) durch die Einrichtung (22) zum Untersuchen steuerbar ist, um nur dann den Befehl (40) auf die Daten (44) auszuführen, wenn die Befehlssicherheitsmarke (42) und die Datensicherheitsmarke (46) die vorbestimmte Be ziehung zueinander aufweisen.
Abrufen (16) eines Befehls (40) und der diesem Befehl zuge ordneten Befehlssicherheitsmarke (42) und von Daten (44) so wie der den Daten zugeordneten Datensicherheitsmarke (46) von einem Speicher (18);
Untersuchen (22) der Befehlssicherheitsmarke (42) des Befehls (40) und der Datensicherheitsmarke (46) der Daten (44), auf die der Befehl (40) zugreifen soll, um festzustellen, ob die Befehlssicherheitsmarke (42) und die Datensicherheitsmarke (46) eine vorbestimmte Beziehung zueinander aufweisen; und
Ausführen (10) des Befehls (40) auf die Daten (44), wobei die Einrichtung zum Ausführen (10) durch die Einrichtung (22) zum Untersuchen steuerbar ist, um nur dann den Befehl (40) auf die Daten (44) auszuführen, wenn die Befehlssicherheitsmarke (42) und die Datensicherheitsmarke (46) die vorbestimmte Be ziehung zueinander aufweisen.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10113828A DE10113828A1 (de) | 2001-03-21 | 2001-03-21 | Prozessor zum sicheren Verarbeiten von Daten unter Verwendung einer Datensicherheitsmarke und/oder von Befehlen unter Verwendung einer Befehlssicherheitsmarke |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10113828A DE10113828A1 (de) | 2001-03-21 | 2001-03-21 | Prozessor zum sicheren Verarbeiten von Daten unter Verwendung einer Datensicherheitsmarke und/oder von Befehlen unter Verwendung einer Befehlssicherheitsmarke |
Publications (1)
Publication Number | Publication Date |
---|---|
DE10113828A1 true DE10113828A1 (de) | 2002-09-26 |
Family
ID=7678429
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10113828A Withdrawn DE10113828A1 (de) | 2001-03-21 | 2001-03-21 | Prozessor zum sicheren Verarbeiten von Daten unter Verwendung einer Datensicherheitsmarke und/oder von Befehlen unter Verwendung einer Befehlssicherheitsmarke |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE10113828A1 (de) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006090231A2 (en) * | 2005-02-25 | 2006-08-31 | Axalto Sa | Method to secure writing in memory against attacks by radiation or other |
EP1818848A1 (de) * | 2006-02-08 | 2007-08-15 | Samsung Electronics Co., Ltd. | Sichere Multimediakarte und Speicherkartensystem |
EP2455882A3 (de) * | 2003-05-06 | 2013-07-31 | Nortel Networks Limited | Speicherschutzsysteme und Verfahren für beschreibbaren Speicher |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4962533A (en) * | 1989-02-17 | 1990-10-09 | Texas Instrument Incorporated | Data protection for computer systems |
EP0407060B1 (de) * | 1989-06-30 | 1997-02-05 | Novell, Inc. | Verfahren zur Versorgung der Sicherung von Datei-Zwangsheimlichkeit und -Integrität in einem Computersystem |
-
2001
- 2001-03-21 DE DE10113828A patent/DE10113828A1/de not_active Withdrawn
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4962533A (en) * | 1989-02-17 | 1990-10-09 | Texas Instrument Incorporated | Data protection for computer systems |
EP0407060B1 (de) * | 1989-06-30 | 1997-02-05 | Novell, Inc. | Verfahren zur Versorgung der Sicherung von Datei-Zwangsheimlichkeit und -Integrität in einem Computersystem |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2455882A3 (de) * | 2003-05-06 | 2013-07-31 | Nortel Networks Limited | Speicherschutzsysteme und Verfahren für beschreibbaren Speicher |
WO2006090231A2 (en) * | 2005-02-25 | 2006-08-31 | Axalto Sa | Method to secure writing in memory against attacks by radiation or other |
WO2006090231A3 (en) * | 2005-02-25 | 2007-04-12 | Axalto Sa | Method to secure writing in memory against attacks by radiation or other |
EP1818848A1 (de) * | 2006-02-08 | 2007-08-15 | Samsung Electronics Co., Ltd. | Sichere Multimediakarte und Speicherkartensystem |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE3811378C3 (de) | Informationsaufzeichnungssystem | |
DE3407642C2 (de) | ||
DE69635868T2 (de) | Verfahren und vorrichtung zum kryptographisch gesteuerten betrieb eines zusatzgeräts | |
DE19536169A1 (de) | Multifunktionale Chipkarte | |
DE19839847A1 (de) | Speichern von Datenobjekten im Speicher einer Chipkarte | |
DE10115118A1 (de) | Verfahren zur Übertragung von Daten über einen Datenbus | |
DE112014000311B4 (de) | Absichern der Inhalte einer Speichereinheit | |
DE102006032129A1 (de) | Skalierbares Verfahren zur Zugriffssteuerung | |
WO2009040273A1 (de) | Verfahren zum schutz mindestens von teilen von auf mindestens einem server und/oder in mindestens einer datenbank abgelegten, einem durch ein rfid-tag identifizierten produkt zugeordnete produktdaten vor unberechtigtem zugriff | |
EP0224639A1 (de) | Verfahren zum Kontrollieren eines Speicherzugriffs auf einer Chipkarte und Anordnung zur Durchführung des Verfahrens | |
DE112006004173T5 (de) | Schutz eines programmierbaren Speichers gegen unberechtigte Veränderung | |
EP1338970B1 (de) | Verfahren und Anordnung zur Zugriffssteuerung auf EEPROMs sowie ein entsprechendes Computerprogrammprodukt und ein entsprechendes computerlesbares Speichermedium | |
EP2350904B1 (de) | Verfahren und anordnung zum konfigurieren von elektronischen geräten | |
DE10113828A1 (de) | Prozessor zum sicheren Verarbeiten von Daten unter Verwendung einer Datensicherheitsmarke und/oder von Befehlen unter Verwendung einer Befehlssicherheitsmarke | |
EP1022659A2 (de) | Schaltungsanordnung zur elektonischen Datenverarbeitung | |
DE19717900A1 (de) | Verfahren und Vorrichtung zur Verarbeitung eines Computer-Applets | |
DE102021131424A1 (de) | Verfahren und systeme zur sitzungsbasierten und gesicherten zugriffsteuerung auf ein datenspeichersystem | |
DE19508288A1 (de) | Verfahren und Anordnung zur Verhinderung der unberechtigten Nutzung eines Rechners | |
DE60116658T2 (de) | Datenträger mit zusatzvorrichtung | |
DE10307996A1 (de) | Verfahren zum Ver- und Entschlüsseln von Daten durch verschiedene Nutzer | |
EP2169579A1 (de) | Verfahren und Vorrichtung zum Zugriff auf ein maschinenlesbares Dokument | |
DE10101972A1 (de) | Vorrichtung mit einem Steuergerät und einem nicht-flüchtigen Speicher sowie Verfahren zum Betreiben einer solchen Vorrichtung | |
EP1904980A1 (de) | Verfahren zum betreiben eines tragbaren datenträgers | |
DE19538124A1 (de) | Verfahren und Vorrichtung zum Schutz von Software gegen unautorisierte Benutzung | |
WO1996010812A1 (de) | Mehrstufige zugriffssteuerung auf datenträgerkarten |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8130 | Withdrawal |