DE10113828A1 - Prozessor zum sicheren Verarbeiten von Daten unter Verwendung einer Datensicherheitsmarke und/oder von Befehlen unter Verwendung einer Befehlssicherheitsmarke - Google Patents

Prozessor zum sicheren Verarbeiten von Daten unter Verwendung einer Datensicherheitsmarke und/oder von Befehlen unter Verwendung einer Befehlssicherheitsmarke

Info

Publication number
DE10113828A1
DE10113828A1 DE10113828A DE10113828A DE10113828A1 DE 10113828 A1 DE10113828 A1 DE 10113828A1 DE 10113828 A DE10113828 A DE 10113828A DE 10113828 A DE10113828 A DE 10113828A DE 10113828 A1 DE10113828 A1 DE 10113828A1
Authority
DE
Germany
Prior art keywords
data
command
security
security tag
mark
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE10113828A
Other languages
English (en)
Inventor
Holger Sedlak
Berndt M Gammel
Hans Friedinger
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Infineon Technologies AG
Original Assignee
Infineon Technologies AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Infineon Technologies AG filed Critical Infineon Technologies AG
Priority to DE10113828A priority Critical patent/DE10113828A1/de
Publication of DE10113828A1 publication Critical patent/DE10113828A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/629Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)

Abstract

Ein Prozessor zum Verarbeiten von Daten und Befehlen, wobei in Zuordnung zu den Daten eine Datensicherheitsmarke abgespeichert ist und wobei in Zuordnung zu einem Befehl eine Befehlssicherheitsmarke abgespeichert ist, umfaßt eine Einrichtung (16) zum Abrufen eines Befehls samt Befehlssicherheitsmarke und von Daten samt Datensicherheitsmarke von einem Speicher (18). Eine Einrichtung (22) zum Untersuchen der Befehlssicherheitsmarke des Befehls und der Datensicherheitsmarke der Daten, auf die der Befehl zugreifen soll, stellt fest, ob die Befehlssicherheitsmarke und die Datensicherheitsmarke eine vorbestimmte Beziehung zueinander aufweisen. Wird festgestellt, daß die vorbestimmte Beziehung vorliegt, so steuert die Einrichtung (22) zum Untersuchen eine Einrichtung (10) zum Ausführen an, um den Befehl auf die Daten auszuführen. Ist die vorbestimmte Beziehung nicht erfüllt, so wird die Einrichtung (10) angesteuert, um den Befehl auf die Daten nicht auszuführen. Durch Zuordnen einer Befehlssicherheitsmarke zu einem Befehl und/oder einer Datensicherheitsmarke zu einem Datenwort kann unmittelbar vor Ausführen des Befehls bzw. vor dem Zugreifen auf die Daten geprüft werden, ob hierzu überhaupt eine Berechtigung besteht. Damit werden Single Points of Attack vermieden, da die Zugriffskontrolle dezentral gestaltet wird.

Description

Die vorliegende Erfindung bezieht sich auf Prozessoren zum Verarbeiten von Daten und/oder Befehlen und insbesondere auf Prozessoren, die eine hohe Sicherheit gegenüber Angreifern bei der Verarbeitung von Daten und/oder Befehlen liefern.
Es existiert eine Vielzahl von Anwendungen für Mikroprozesso­ ren, Security Token und andere Datenverarbeitungseinheiten, bei denen eine sichere Datenverarbeitung von großer Bedeutung ist. Bei Datenverarbeitungseinheiten, bei denen eine Vielzahl von Benutzer Zugriff auf einen einzelnen Prozessor haben, ist es wesentlich, daß Zugriffsrechte auf Daten, wie z. B. Befeh­ le, zu verarbeitende Daten oder Adressen, unzweideutig und sicher geregelt sind.
Dies trifft sowohl auf Rechenanlagen und Prozessorsysteme zu, bei denen mehrere Anwendungen (Multiapplikation) oder Abläufe (Multitasking) gleichzeitig ausgeführt werden, als auch bei­ spielsweise auf Smartcards oder Security Token. Bei diesen muß auch eine einzelne Applikation gegen Angriffe wie Ausspä­ hen von Daten oder Manipulation von Daten durch Softwarean­ griffe (Viren) oder physikalische Manipulation der Hardware­ einheit (Tampering) geschützt werden. Diese Problematik ge­ winnt an Brisanz, wenn auf Smartcards auch Multiapplikation und Multitasking betrieben wird.
Ein Systemverwalter hat typischerweise Zugriff auf sämtliche Betriebssystemimmanente Daten, derselbe soll jedoch keinen Zugriff auf personenbezogene Daten der Anwender haben. Die Anwender sollen wiederum keinen Zugriff auf Betriebssystem­ immanente Daten und insbesondere auch nicht auf persönliche Daten anderer Benutzer haben, um zum einen bewußte Manipulationen zu unterbinden, und um zu anderen auch unbewußte und unbeabsichtigte Manipulationen beispielsweise durch eine Fehlbedienung des Rechners, zu vermeiden.
Üblicherweise wird eine Zugriffskontrolle unter Verwendung hierarchisch aufgebauter privilegierter Betriebsmodi er­ reicht, welche beispielsweise als "Superuser-Mode", "Protec­ ted-Mode", etc. bezeichnet werden. In diesen verschiedenen, nach Zugriffsrechten hierarchisch geordneten Modi werden wei­ tergehende Zugriffsprivilegien auf Hardware und Daten ermög­ licht, als sie im Normalbetriebsmodus möglich sind. Bei­ spielsweise hat ein Programm, das in einem privilegiertem Be­ triebsmodus abläuft, wie z. B. das Betriebssystem selbst, Zugriff auf die Speicherverwaltungseinheit MMU (MMU = Memory Management Unit) und kann damit Programmen Speicherzugriffs­ rechte zuteilen, sowie auf die Daten sämtlicher Programme zugreifen.
Nachteilig an einem solchen System ist die Tatsache, daß die privilegierte Betriebsmodi spezielle Angriffspunkten darstel­ len, die auch als "Single Points of Attack" bezeichnet wer­ den. Wenn ein Angreifer durch Hardwaremanipulation oder einen Angriff auf die privilegierte Software, wie z. B. das Be­ triebssystem, sich Zugang in einen privilegierten Modus ver­ schafft hat, erhält er vollen Zugriff auf alle verarbeiteten Daten. Manipulationen und Datenausspähung bzw. Datendiebstahl ist somit Tür und Tor geöffnet, wenn der Angreifer die einzi­ ge Schwelle überwunden hat.
Beim UNIX-Betriebssystem werden unterschiedlich gestaffelte Zugriffsrechte auf verschiedene Programme dadurch erteilt, daß die Adressen, in denen die Daten/Befehle stehen, als zu­ greifbar bzw. nicht-zugreifbar markiert werden. Diese Markie­ rung findet in einer eigenen Zugriffsrechte-Tabelle statt, die getrennt vom Speicher, in dem die Daten/Befehle gespei­ chert sind, die Gegenstand der Zugriffssteuerung sind, ange­ ordnet ist. Wenn sich ein Angreifer Zugang zu dieser Zugriffs-Tabelle verschafft hat, wenn er also diesen "Single Point" "geknackt" hat, indem er sich beispielsweise als Be­ triebssystem oder Superuser ausgeben kann, hat er freien un­ gehinderten Zugriff auf sämtliche Daten mit allen Manipulati­ ons- und Ausspähmöglichkeiten. Dies ist der Fall, da die Zugriffsrechteüberprüfung zentralisiert, also unabhängig von den Befehlen/Daten stattfindet, auf die zugegriffen werden soll, wobei, beispielsweise im Fall des Superuser-Mode keine Zugriffskontrolle für sämtliche Daten und Programme im Compu­ tersystem mehr stattfindet, wenn der Angreifer die Superuser- Berechtigung manipuliert bzw. umgangen hat. Dies ist der Fal­ l, da die CPU des Rechnersystems selbst vor der Ausführung von Befehlen keine Sicherheitsüberprüfung mehr durchführt, sondern gewissermaßen ohne Rücksicht auf Verluste Befehle ausführt, wenn sich ein Benutzer Zutritt in einen berechtig­ ten Modus verschafft hat, ohne daß darauf geachtet wird, wel­ che Daten/Befehle ausgeführt werden sollen.
Die Aufgabe der vorliegenden Erfindung besteht darin, ein Prozessorkonzept zu schaffen, das eine höhere Sicherheit ge­ genüber Angriffen liefert.
Diese Aufgabe wird durch einen Prozessor nach Patentanspruch 1, 2 oder 3 oder durch ein Verfahren nach Patentanspruch 13, 14 oder 15 gelöst.
Der vorliegenden Erfindung liegt die Erkenntnis zugrunde, daß im Interesse einer höheren Sicherheit von der Softwarelösung weggegangen werden muß und eine Hardwarerealisierung des Zu­ griffsschutzes eine höhere Sicherheit gegenüber Angriffen liefert. Hierzu wird ein erfindungsgemäßer Prozessor dahinge­ hend modifiziert, daß zu den durch den Prozessor zu verarbei­ tenden Informationen Informationssicherheitsmarken im Spei­ cher in Zuordnung zu den Informationen abgespeichert werden, wobei diese Informationssicherheitsmarken, wenn die Informa­ tionen zu verarbeiten sind, durch den Prozessor vom Speicher abgerufen werden und vor der Verarbeitung der Informationen überprüft werden. Eine Verarbeitung der Informationen findet nur statt, wenn der Prozessor die Informationssicherheitsmar­ ke untersucht hat und aufgrund der Informationssicherheits­ marke eine Verarbeitung frei gibt.
Im Gegensatz zum Stand der Technik, bei dem Zugriffsrechte zentral und unabhängig von den zu sichernden Informationen abgespeichert werden und unabhängig von der Verarbeitung der Informationen überprüft werden, schafft die vorliegende Er­ findung aufgrund der dezentralen Anordnung der Informations­ sicherheitsmarken in Zuordnung zu den Informationen und der Überprüfung der Zugriffsrechte im Prozessor selbst nach dem Laden der Informationen in den Prozessor und vor der Ausfüh­ rung der Informationen eine dezentrale Zugriffsrechte- Verwaltung.
Die dezentrale Zugriffsrechte-Verwaltung hat den Vorteil, daß es keinen Single Point of Attack mehr gibt. Ein Angreifer muß im Gegensatz zum Stand der Technik die Informationssicher­ heitsmarke jeglicher vom Prozessor zu verarbeitenden Informa­ tion manipulieren. Wenn er nur die Informationssicherheits­ marke einer Information manipuliert hat, so hat er zwar Zugriff auf diese eine Information, der Angreifer hat jedoch noch keinen Zugriff auf irgendwelche anderen Informationen, da er hierzu auch die Informationssicherheitsmarken sämtli­ cher anderer Informationen manipulieren müsste. Erfindungsge­ mäß wird der Aufwand für den Angreifer daher in astronomische Höhen getrieben, da es einem Angreifer nicht mehr genügt, ei­ ne zentrale Zugriffsrechteverwaltungsstelle anzugreifen, son­ dern der Angreifer muß den gesamten Speicherbereich, in dem die Informationen gespeichert sind, manipulieren, um die dort abgespeicherten Zugriffsrechte zu verändern bzw. zu umgehen.
Informationen können in Daten und Befehle klassifiziert wer­ den. Befehle versetzen den Prozessor in die Lage, Daten, wie z. B. Betriebsdaten, Parameter, Identifikationsdaten, Adres­ sen, etc., zu verarbeiten.
Erfindungsgemäß kann ein Befehl mit einer in Zuordnung zu dem Befehl abgespeicherten Befehlssicherheitsmarke gesichert wer­ den. Alternativ können auch Daten über eine den Daten zuge­ ordnete Datensicherheitsmarke gesichert werden. Wieder alter­ nativ können sowohl Befehle als auch Daten mit einer Befehls­ sicherheitsmarke bzw. einer Datensicherheitsmarke gesichert werden. Die dritte Möglichkeit bietet dahingehend den höchs­ ten Schutz, daß nicht nur Daten oder Befehle zugriffsmäßig gesichert sind, sondern daß, wenn sowohl Daten als auch Be­ fehle zugriffsmäßig gesichert sind, vom Prozessor auch über­ prüft werden kann, ob ein Befehl einen Zugriff auf die von ihm zu verarbeiteten Daten hat oder nicht. Haben die Befehls­ sicherheitsmarke und die Datensicherheitsmarke keine vorbe­ stimmte Beziehung zueinander, so wird der erfindungsgemäße Prozessor das Ausführen des Befehls, dem die untersuchte Be­ fehlssicherheitsmarke zugeordnet ist, auf die Daten, denen die untersuchte Datensicherheitsmarke zugeordnet ist, verwei­ gern.
Erfindungsgemäß wird zusammen mit einem Befehl die Befehlssi­ cherheitsmarke in den Prozessor geladen. Existieren lediglich Datensicherheitsmarken, so werden erfindungsgemäß zusammen mit den Daten auch die den Daten zugeordneten Datensicher­ heitsmarken in den Prozessor geladen. Sind sowohl Daten als auch Befehle durch Datensicherheitsmarken bzw. Befehlssicher­ heitsmarken geschützt, so wird es bevorzugt, sowohl die Da­ tensicherheitsmarke als auch die Befehlssicherheitsmarke zu­ sammen mit den entsprechenden Daten/Befehlen in den Prozessor zu laden, um vor Ausführung des Befehls auf die Daten die Zu­ griffsrechte überprüfen zu können.
Ein Vorteil der vorliegenden Erfindung besteht darin, daß flexibel ein Kompromiß gefunden werden kann zwischen Spei­ cherbedarf einerseits und Sicherheitsbedarf andererseits. Für eine hohe Sicherheit kann jedem Befehl im Speicher seine ei­ gene Befehlssicherheitsmarke zugeordnet werden. Diese Zuordnung kann so stattfinden, daß unter der Adresse, unter der der Befehl abgespeichert ist, auch seine Sicherheitsmarke zu finden ist. Wenn jeder Befehl seine eigene Befehlssicher­ heitsmarke hat, so wird dies zu einem relativ großen Spei­ cherverbrauch führen. Dafür muß ein Angreifer jedoch, um die Zugriffssicherung zu umgehen, für jeden Befehl, den er durch die CPU ausführen möchte, die Sicherheitsmarke irgendwie ma­ nipulieren. Dies stellt einen extrem hohen Aufwand dar. Wird dagegen eine geringere Sicherheitsstufe als ausreichend für eine bestimmte Gruppe von Befehlen erachtet, so können mehre­ re Befehle gemeinsam dieselbe Befehlssicherheitsmarke erhal­ ten, wobei diese Befehlssicherheitsmarke immer dann, wenn ei­ ner der Gruppe von Befehlen in den Prozessor geladen wird, zusammen mit dem Befehl in den Prozessor geladen wird. Ist ein Speicher beispielsweise seitenweise (page wise) organi­ siert, so könnte beispielsweise jeder Speicherseite eine Be­ fehlssicherheitsmarke und/oder eine Datensicherheitsmarke ge­ geben werden.
Im Gegensatz zum Stand der Technik, bei dem der Angreifer le­ diglich eine einzige von den Daten/Befehlen getrennte Zu­ griffsrechtetabelle angreifen muß, die typischerweise immer an der selben Position im Speicher angeordnet ist, muß der Angreifer, wenn er den erfindungsgemäßen Prozessor angreifen möchte, im Prinzip den gesamten Speicher manipulieren, wobei er von vorne herein nicht einmal genau weiß, wo im Speicher Befehlssicherheitsmarken oder Datensicherheitsmarken stehen. Die Zugriffssicherung ist beim Gegenstand der vorliegenden Erfindung dezentral in unmittelbarer Zuordnung zu den Da­ ten/Befehlen gestaltet, und nicht mehr zentral in einer Stel­ le gebündelt, und wird ferner bei jedem Informationszugriff überprüft, so daß es bei dem erfindungsgemäßen Prozessor kei­ nen Single Point of Attack mehr gibt. Ein Angreifer müsste daher viele Speichermarken für Befehle und/oder Daten im Speicher manipulieren, um einen unerlaubten Zugriff auf In­ formationen zu erhalten.
Bevorzugte Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend bezugnehmend auf die beiliegenden Zeich­ nungen detailliert erläutert. Es zeigen:
Fig. 1 ein schematisches Blockschaltbild eines erfindungs­ gemäßen Prozessors; und
Fig. 2 eine detailliertere Darstellung des erfindungsgemä­ ßen Prozessors von Fig. 1, wobei dieser Prozessor beispielhaft eine Harvard-Architektur aufweist.
Fig. 1 zeigt einen erfindungsgemäßen Prozessor. Der Prozessor umfaßt eine Einrichtung 10 zum Ausführen von Befehlen, die über eine Befehlsleitung 12 zugeführt werden, auf Daten, die über eine Datenleitung 14 zugeführt werden. Der auf der Be­ fehlsleitung 12 vorhandene Befehl genauso wie die auf der Da­ tenleitung 14 vorhandenen Daten werden mittels einer Einrich­ tung 16 zum Abrufen der Daten und Befehle von einem Speicher 18 abgerufen. Die Einrichtung 16 zum Abrufen der Befehle und Daten ist erfindungsgemäß ausgebildet, um nicht nur einen be­ stimmten Befehl, sondern auch die diesem Befehl zugeordnete Befehlssicherheitsmarke (BSM) vom Speicher abzurufen. Dassel­ be gilt für die Daten. Nicht nur Daten, sondern auch die die­ sen Daten zugeordnete Datensicherheitsmarke (DSM) wird durch die Einrichtung 16 von dem Speicher 18 abgerufen. Hierzu steht die Einrichtung 16 zum Abrufen mit dem Speicher über eine Nachrichtenverbindung 18 in Kommunikation, um einen Be­ fehl samt zugehöriger Befehlssicherheitsmarke und Daten samt zugehöriger Datensicherheitsmarke von dem Speicher 18 zu erhalten. Während Befehle und Daten über die Leitungen 12 bzw. der Einrichtung zum Ausführen 10 zugeführt werden können, wird die Befehlssicherheitsmarke (BSM) bzw. die Datensicher­ heitsmarke (DSM) einer Einrichtung 22 zum Untersuchen der Be­ fehlssicherheitsmarke des abgerufenen Befehls und/oder der Datensicherheitsmarke (DSM) der Daten, auf die der Befehl zu­ greifen soll, zugeführt. Je nach Ausführungsbeispiel ist die Einrichtung 22 zum Untersuchen angeordnet, um festzustellen, len, ob die Befehlssicherheitsmarke einen vorbestimmten Wert aufweist, um feststellen, ob die Datensicherheitsmarke einen vorbestimmten Wert aufweist, oder um festzustellen, ob zwi­ schen der Befehlssicherheitsmarke und der Datensicherheits­ marke eine vorbestimmte Beziehung besteht.
Hat die Befehlssicherheitsmarke bzw. hat die Datensicher­ heitsmarke einen vorbestimmten Wert, so steuert die Einrich­ tung 22 die Einrichtung 10 über eine Steuerleitung 24 derart an, daß die Einrichtung 10 den Befehl auf die baten ausführt, wenn der Benutzer den Befehl ausführen darf, wenn der Benut­ zer auf die Daten zugreifen darf, oder wenn auf spezielle Da­ ten mit einem speziellen Befehl zugegriffen werden darf. An­ dernfalls, wenn die Befehlssicherheitsmarke oder die Datensi­ cherheitsmarke den vorbestimmten Wert nicht aufweisen bzw. wenn die vorbestimmte Beziehung zwischen der Befehlssicher­ heitsmarke und der Datensicherheitsmarke nicht gegeben ist, so wird die Einrichtung 22 zum Untersuchen über die Steuer­ leitung 24 die Einrichtung 10 zum Ausführen blockieren, so daß kein unberechtigter Zugriff auf die Daten und/oder Befeh­ le stattfinden kann.
Im letzteren Fall könnte der Prozessor z. B. in einen Ausnah­ mezustand übergehen (Trap, Interrupt, Exception), um entspre­ chend auf den unberechtigten Zugriff zu reagieren.
Die Einrichtung 10 zum Ausführen umfaßt ferner eine Ausgabe­ leitung 26, mittels der die Ergebnisse der Einrichtung 10 an­ gezeigt, abgespeichert oder auf irgendeine andere Art und Weise verarbeitet werden können.
Fig. 2 zeigt einen Prozessor gemäß einem bevorzugten Ausfüh­ rungsbeispiel der vorliegenden Erfindung, der in der bekann­ ten Harvard-Architektur implementiert ist. Der Prozessor um­ faßt einen Befehls-Cache-Speicher 18a, einen Daten-Cache- Speicher 18b und einen externen Speicher 18c, der der RAM- Arbeitsspeicher der Prozessors sein kann, der jedoch auch ein Bandspeicher, ein Diskettenspeicher, ein CD-ROM-Speicher, ein Festplattenspeicher und dergleichen sein kann. Sämtliche Speicher stehen über einen Bus 30 miteinander in Verbindung, an dem beispielsweise weitere Prozessoren, Peripheriegeräte etc. angekoppelt sein können. Der Prozessor umfaßt ferner die Einrichtung 16 zum Abrufen, die in der Technik auch als Fetch-Einheit bezeichnet wird. Der Einrichtung 16 zum Abrufen ist eine Einrichtung 32 zum Decodieren, die auch als Decode- Einheit bezeichnet wird, nachgeschaltet. Die Einrichtung 32 zum Decodieren ist ausgangsseitig mit der Einrichtung 22 zum Untersuchen gekoppelt, die wiederum, wie es bezugnehmend auf Fig. 1 bereits erläutert worden ist, mit der Einrichtung 10 zum Ausführen in Kommunikationsverbindung steht. Die Einrich­ tung 10 zum Ausführen wird in der Technik auch als Execu­ te/Writeback-Stufe bezeichnet.
Wie es aus Fig. 2 ersichtlich wird, steht die Einrichtung 16 zum Abrufen mit dem Befehls-Cache 18a in Verbindung, und um­ faßt keine unmittelbare Verbindung zum Daten-Cache 18b. In diesem Fall hat die Einrichtung 10 zum Ausführen ebenfalls Abruf-Funktionalitäten, um die Daten von dem Daten-Cache 18b abzurufen, auf die zugegriffen werden soll, um beispielsweise Daten zu lesen, Daten zu schreiben oder Daten zu manipulie­ ren. Der in Fig. 2 gezeigte erfindungsgemäße Prozessor hat also eine dreistufige Pipeline und ferner, um die Zugriffs­ überprüfung gemäß der vorliegenden Erfindung durchführen zu können, die Einrichtung 22 zum Untersuchen der Befehlssicher­ heitsmarke und/oder der Datensicherheitsmarke.
Wie es aus Fig. 2 ersichtlich ist, ist jedem Befehl, wie z. B. dem Befehl 40 in dem Befehls-Cache eine Befehlssicher­ heitsmarke 42 zugeordnet, die in Fig. 2 mit "A" bezeichnet ist. Ferner ist jedem Datenblock, wie z. B. dem Datenblock 44 in dem Daten-Cache, eine Datensicherheitsmarke 46 zugeordnet, die in Fig. 2 beispielhaft mit "C" bezeichnet ist. So exis­ tieren Befehle mit unterschiedlichen Befehlssicherheitsmarken (in Fig. 2 "A" und "B" oder "C"), während Daten ebenfalls unterschiedliche Datensicherheitsmarken haben können, wie z. B. "A", "B" oder "C". Die Befehlssicherheitsmarken und/oder die Datensicherheitsmarken werden zusammen mit den entsprechenden Befehlen/Daten von dem externen Speicher 18c in den Befehls- Cache 18a bzw. den Daten-Cache 18b geladen, so daß sämtliche Informationen, die in der Prozessor-Pipeline 50 bzw. in den Cache-Speichern 18a, 18b vorhanden sind, Informationssicher­ heitsmarken aufweisen, wie z. B. die Befehlssicherheitsmarken 42 oder die Datensicherheitsmarke 46.
Die Informationssicherheitsmarken, d. h. BSM, DSM oder BSM und DSM, werden in der Pipeline 50 gehalten und von Stufe zu Stufe übernommen bzw. weitergereicht.
Erfindungsgemäß existieren verschiedene Möglichkeiten, die einen unterschiedlich starken Schutz gegen unerlaubte Zugrif­ fe bieten.
Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung haben nur Befehle eine Befehlssicherheitsmarke, während Daten keine Datensicherheitsmarke haben. In diesem Fall kann die Einrichtung 10 zum Ausführen auf alle Daten im Daten-Cache frei zugreifen, wenn die Einrichtung 22 zum Untersuchen fest­ gestellt hat, daß eine Befehlssicherheitsmarke eines Befehls einen vorbestimmten Wert aufweist. Der vorbestimmte Wert könnte beispielsweise darin bestehen, daß ein Benutzer, der sich als normaler User in dem Computersystem angemeldet hat, eine solche Berechtigung aufweist, daß er zwar Befehle mit der Sicherheitsmarke "B" ausführen darf, jedoch nicht Befehle mit einer Befehlssicherheitsmarke "A". Ein anderen Benutzer, der sich als Systemverwalter angemeldet hat, könnte eine Be­ rechtigung haben, um sämtliche Befehle mit der Befehlssicher­ heitsmarke "A" und "B" auszuführen, jedoch keine Befehle mit der Befehlssicherheitsmarke "C", da diese Befehle lediglich für den Hersteller des Computersystems zur freien Ausführung vorliegen. In diesem Fall wird es bevorzugt, daß die Einrich­ tung 22 zum Untersuchen einen weiteren Eingang 52 aufweist, über den der vorbestimmte Wert eingestellt werden kann, den eine Befehlssicherheitsmarke haben muß, damit die Einrichtung 10 zum Ausführen über die in Fig. 2 nicht gezeigte Steue­ rungsleitung 24 (Fig. 1) angesteuert wird, um einen Befehl auszuführen. Über den weiteren Eingang 52 könnte der Einrich­ tung 22 beispielsweise mitgeteilt werden, ob der derzeitige Benutzer ein normaler Benutzer, ein Systemverwalter oder z. B. der Hersteller selbst ist.
Alternativ könnte der erfindungsgemäße Prozessor derart aus­ gebildet sein, daß sämtliche Befehle zur freien Verfügung sind, daß jedoch Daten mit einer Datensicherheitsmarke verse­ hen sind. Eine solche Anwendung wäre beispielsweise auf einer Chipkarte, auf der ein Programm, also eine Abfolge von Befeh­ len, gespeichert ist, die einen bekannten Kryptoalgorithmus darstellen, während Daten in Form eines Schlüssels, wie z. B. eines öffentlichen Schlüssels oder eines geheimen Schlüssels, vorliegen, die mit einer Datensicherheitsmarke geschützt sind. Wenn die Chipkarte eine Multifunktions-Anwendung ist, so könnte der Fall auftreten, daß für verschiedene Anwendun­ gen, wie z. B. Bankkarte und Personalausweis, verschiedene Schlüssel vorliegen, die auch nur in den verschiedenen Anwen­ dungen eingesetzt werden sollen. Je nach Anwendung der Karte, die feststellen kann, ob sie in einem Bankautomat steckt oder in einem Personalausweislesegerät, hat ein Befehl dann Zugriff lediglich auf die Schlüssel für die Bankanwendung o­ der die Schlüssel für die Personalausweisanwendung, während jedoch der Kryptoalgorithmus, also die Abfolge von Befehlen, für beide Anwendungen derselbe sein kann. Hier müssen also die Befehle nicht unbedingt mit Befehlssicherheitsmarken ge­ schützt werden. Hierbei ist es statt dessen von Vorteil, Da­ ten wie z. B. Schlüsseldaten oder sonstige personenbezogene Daten vor unberechtigtem Zugriff zu schützen, beispielsweise auch, um einen illegalen Terminal daran zu hindern, die per­ sönlichen Daten aus der Karte auszulesen, ohne daß es der Karteninhaber will bzw. überhaupt weiß.
In diesem Fall ist die Einrichtung zum Untersuchen ausgebil­ det, um die Datensicherheitsmarke der Daten, auf die ein Be­ fehl zugreifen möchte, zu untersuchen, um festzustellen, ob die Datensicherheitsmarke einen vorbestimmten Wert aufweist. Der vorbestimmte Wert könnte der Einrichtung 22 zum Untersu­ chen beispielsweise wieder über einen externen Eingang 52 mitgeteilt werden, so daß die Einrichtung 22 zum Untersuchen weiß, auf welchen Wert dieselbe die Datensicherheitsmarke un­ tersuchen soll, um über die Steuerleitung 24 (Fig. 1) die Einrichtung 10 zum Ausführen anzusteuern, damit dieselbe den Befehl mit den entsprechenden Daten ausführt oder nicht.
Für höchste Sicherheitsansprüche wird es bevorzugt, sowohl Befehle als auch Daten mit Sicherheitsmarken zu versehen. In diesem Fall kann eine direkte Zuordnung von Befehlen mit Da­ ten erreicht werden. Neben der Tatsache, daß ein bestimmter Benutzer überhaupt Befehle ausführen darf bzw. überhaupt auf Daten zugreifen darf, liefert die Verwendung von Sicherheits­ marken sowohl für Daten als auch für Befehle die Möglichkeit, zusätzlich noch zu spezifizieren, daß ein Befehl nur auf be­ stimmte Daten zugreifen soll.
Ein Anwendungsbeispiel besteht darin, daß der Befehl Lesen sämtlichen Benutzern zur Verfügung gestellt wird, wobei je­ doch die Daten mit hierarchisch unterschiedlichen Datensi­ cherheitsmarken versehen sind, so daß jeder Benutzer je nach Kategorie bestimmte Daten lesen darf. Der Befehl Schreiben können derart beschaffen sein, daß ein Benutzer zwar seine eigenen Daten überschreiben darf, jedoch nicht die Daten der anderen Benutzer oder Betriebssystemdaten etc. Dasselbe gilt für den Befehl Manipulieren. Eine Datenmanipulation könnte ebenfalls lediglich dem Benutzer mit seinen eigenen Daten gestattet sein, jedoch nicht mit Daten anderer Benutzer bzw. Betriebssystemdaten, die wiederum nur dem Systemadministrator zur Manipulation zugänglich sein sollen.
Jedem Befehl in der jeweiligen Pipelinestufe ist somit ein eigener, durch die Marke definierter Betriebs- bzw. Zugriffs­ modus zugeordnet. In der Einrichtung 10 zum Ausführen, die auch als Execute/Writeback-Stufe bezeichnet wird, werden die Zugriffe auf die Daten durchgeführt, welche, wie es ausge­ führt worden ist, z. B. im Lesen, Schreiben oder Manipulieren bestehen können. Die Einrichtung 22 zum Untersuchen führt da­ bei die Kontrolle durch, daß nur Befehle mit einer bestimmten Marke auf Daten mit einer oder mehreren definierten Marken zugreifen können.
Die vorliegende Erfindung liefert die Möglichkeit, Zugriffs­ privilegien flexibel festzulegen. Zunächst ist eine bijektive Zuordnung ohne weiteres realisierbar. Befehle, die in der Verarbeitungsstufe, die den Zugriff durchführt, in dem durch die Befehlssicherheitsmarke Ai gekennzeichneten Modus sind, haben Zugriff auf Daten mit der selben Marke Ai.
Darüber hinaus ist auch einen privilegierte Zuordnung mög­ lich. Befehle, die in der Verarbeitungsstufe, welche den Zugriff durchführt, in dem durch die Marke A0 gekennzeichne­ ten Modus sind, haben Zugriff auf alle Daten mit der Marke Ai, wobei i gleich 0, 1, 2, . . ., n sein kann.
Selbstverständlich sind auch alle Arten von Mischformen der Zuordnung von Zugriffsprivilegien von Befehlen mit einer Mar­ ke Ai auf Daten mit einer Marke Ak möglich. Dabei können die Privilegien mittels der Marke auch z. B. nach lesenden, schreibenden oder anderen Zugriffsarten unterschieden werden.
Die Anzahl der Marken und die Zuordnung auf Zugriffsrechte kann flexibel an das Einsatzgebiet des Prozessors oder Secu­ rity Token angepaßt werden. Ist viel Speicherplatz vorhanden, so kann, um höchste Sicherheitsansprüche zu erreichen, jedem Befehl an jeder Speicheradresse eine eigene Befehlssicherheitsmarke zugeordnet werden, und es kann jedem Datenblock unmittelbar angrenzend im Speicher eine eigene Datensicherheitsmarke zugeordnet werden. Um Speicherplatz zu heitsmarke zugeordnet werden. Um Speicherplatz zu sparen, kann, wie es ausgeführt worden ist, entweder auf die Datensi­ cherheitsmarke oder auf die Befehlssicherheitsmarke verzich­ tet werden. Alternativ, z. B. wenn sowohl Daten- als auch Be­ fehlssicherheitsmarke beibehalten werden sollen, kann eine gröbere Granularität gewählt werden. Es können beispielsweise Gruppen von Befehlen oder Gruppen von Datenblöcken dieselbe Sicherheitsmarke erhalten, wobei die Sicherheitsmarke dann nur einmal in Zuordnung zu mehreren Befehlen bzw. mehreren Daten abgespeichert wird, jedoch bei einem Abrufen der Daten bzw. der Befehle immer in die Pipeline geladen wird.
Zugriffsprivilegien können somit mit beliebig feiner Granula­ rität vergeben werden. Diese kann an das gewünschte Sicher­ heitsniveau und die architektonischen Vorgaben des Prozessors angepaßt werden.
Wenn der Prozessor ein auf Paging basierendes Speichersystem aufweist, kann z. B. eine Sicherheitsmarke pro Page implemen­ tiert werden, was bedeutet, daß sämtliche Befehle und sämtli­ che Daten in einer Speicherseite dieselbe Daten- bzw. Be­ fehlssicherheitsmarke haben. Diese Daten- oder Befehlssicher­ heitsmarke wird nur einmal auf der Speicherseite abgespei­ chert, wird jedoch, wenn ein Befehl oder ein Datenblock aus dieser Speicherseite geladen wird, dem Befehl bzw. den Daten hinzugefügt, wie es in Fig. 2 am Beispiel des Befehls-Cache und des Daten-Cache gezeigt ist. So könnten beispielsweise die ersten drei Befehle des Befehls-Cache 18a, die die Si­ cherheitsmarke "A" haben, aus derselben Speicherseite stam­ men, wobei auf dieser Speicherseite ferner die Daten in der dritten Zeile des Daten-Cache stammen können, welche eben­ falls die Sicherheitsmarke "A" haben.
Erfindungsgemäß ist somit eine beliebig wählbare entweder sehr grobe oder sehr feine Granularität bis hin zu Marken an einzelnen Befehlen und/oder Datenworten realisierbar. Damit werden Single Points of Attack wirksam unterbunden.
Wird das erfindungsgemäße Verwenden von Sicherheitsmarken mit Verschlüsselungsverfahren kombiniert, so kann eine weitere Erhöhung des Sicherheitsniveaus erreicht werden. Marken kön­ nen durch Verschlüsselung zusammen mit den Daten auf den Ver­ bindungsleitungen (Bussen) und in den Speichern (Cache- Speicher und interne Speicher, wie z. B. RAM oder nicht­ flüchtige Speicher) geschützt werden, so daß die Sicherheits­ marken im Speicher nicht mehr explizit, beispielsweise als das letzte Byte des Speicherblocks, der mit einer bestimmten Adresse adressierbar ist, vorhanden sind, sondern nur noch implizit, d. h. verschlüsselt, vorliegen. Damit wird es einem Angreifer nahezu unmöglich gemacht, beispielsweise durch phy­ sikalische Angriffe oder ähnliches Befehlssicherheitsmarken oder Datensicherheitsmarken zu manipulieren, da dieselben nicht mehr explizit vorliegen sondern verschlüsselt sind. Auch wenn die Marken jedoch nicht verschlüsselt sind, müßte ein Angreifer aufgrund der Tatsache, daß jedem Befehl bzw. jedem Datenwort eine Sicherheitsmarke zugeordnet ist, die vor dem Ausführen des Befehls bzw. vor dem Zugriff auf die Daten überprüft wird, für jedes Datenwort und jeden Befehl die Si­ cherheitsmarke manipulieren, was zu einem astronomisch großen Aufwand für einen Angreifer führen wird.
Bezugszeichenliste
10
Einrichtung zum Ausführen
12
Befehlsleitung
14
Datenleitung
16
Einrichtung zum Abrufen
18
Speicher
18
a Befehls-Cache
18
b Daten-Cache
18
c externer Speicher
20
Kommunikationsleitung zum Speicher
22
Einrichtung zum Untersuchen
24
Steuerleitung abhängig von der Befehlssicherheitsmarke/Datensicherheitsmarke
26
Ausgabeleitung
30
Bus
32
Einrichtung zum Decodieren
40
Befehl
42
Befehlssicherheitsmarke
44
Daten
46
Datensicherheitsmarke
50
Verarbeitungspipeline
52
weiterer Eingang der Einrichtung zum Untersuchen

Claims (15)

1. Prozessor zum Verarbeiten von Daten und Befehlen, wobei in Zuordnung zu einem Befehl eine Befehlssicherheitsmarke abge­ speichert ist, mit folgenden Merkmalen:
einer Einrichtung (16) zum Abrufen eines Befehls (42) und der dem Befehl (42) zugeordneten Befehlssicherheitsmarke (40) so­ wie von Daten, auf die der Befehl (42) zugreifen soll, von einem Speicher (18);
einer Einrichtung (22) zum Untersuchen der Befehlssicher­ heitsmarke (42) des Befehls (40), um festzustellen, ob die Befehlssicherheitsmarke einen vorbestimmten Wert aufweist; und
einer Einrichtung (10) zum Ausführen des Befehls (40) auf die Daten, wobei die Einrichtung (10) zum Ausführen durch die Einrichtung (22) zum Untersuchen steuerbar ist, um nur dann den Befehl (40) auf die Daten auszuführen, wenn die Befehls­ sicherheitsmarke (42) den vorbestimmten Wert aufweist.
2. Prozessor zum Verarbeiten von Daten und Befehlen, wobei in Zuordnung zu den Daten eine Datensicherheitsmarke abgespei­ chert ist, mit folgenden Merkmalen:
einer Einrichtung (16) zum Abrufen eines Befehls und von Da­ ten (44) und der den Daten (44) zugeordneten Datensicher­ heitsmarke (46) von einem Speicher (18);
einer Einrichtung (22) zum Untersuchen der Datensicherheits­ marke (46), die den Daten zugeordnet ist, auf die der Befehl zugreifen soll, um festzustellen, ob die Datensicherheitsmar­ ke (46) einen vorbestimmten Wert aufweist; und
einer Einrichtung (10) zum Ausführen des Befehls auf die Da­ ten (44), wobei die Einrichtung (10) zum Ausführen durch die Einrichtung (22) zum Untersuchen steuerbar ist, um nur dann den Befehl auf die Daten (44) auszuführen, wenn die Datensi­ cherheitsmarke (46) den vorbestimmten Wert aufweist.
3. Prozessor zum Verarbeiten von Daten und Befehlen, wobei in Zuordnung zu den Daten eine Datensicherheitsmarke abgespei­ chert ist, und wobei in Zuordnung zu einem Befehl eine Be­ fehlssicherheitsmarke abgespeichert ist, mit folgenden Merk­ malen:
einer Einrichtung (16) zum Abrufen eines Befehls (40) und der diesem Befehl zugeordneten Befehlssicherheitsmarke (42) und von Daten (44) sowie der den Daten zugeordneten Datensicher­ heitsmarke (46) von einem Speicher (18);
einer Einrichtung (22) zum Untersuchen der Befehlssicher­ heitsmarke (42) des Befehls (40) und der Datensicherheitsmar­ ke (46) der Daten (44), auf die der Befehl (40) zugreifen soll, um festzustellen, ob die Befehlssicherheitsmarke (42) und die Datensicherheitsmarke (46) eine vorbestimmte Bezie­ hung zueinander aufweisen; und
einer Einrichtung (10) zum Ausführen des Befehls (40) auf die Daten (44), wobei die Einrichtung zum Ausführen (10) durch die Einrichtung (22) zum Untersuchen steuerbar ist, um nur dann den Befehl (40) auf die Daten (44) auszuführen, wenn die Befehlssicherheitsmarke (42) und die Datensicherheitsmarke (46) die vorbestimmte Beziehung zueinander aufweisen.
4. Prozessor nach einem der vorhergehenden Ansprüche, bei dem einer Gruppe von Befehlen und/oder einer Gruppe von Daten dieselbe Befehlssicherheitsmarke bzw. dieselbe Datensicher­ heitsmarke zugeordnet sind, und bei der die Einrichtung (16) zum Abrufen ausgebildet ist, um zusammen mit jedem Befehl der Gruppe von Befehlen diese Befehlssicherheitsmarke und/oder zusammen mit jeden Daten der Gruppe von Daten die Datensicherheitsmarke, die für die Gruppe der Daten abgespeichert ist, aus dem Speicher (18) abzurufen.
5. Prozessor nach einem der vorhergehenden Ansprüche, der ferner folgendes Merkmal aufweist:
eine Einrichtung (32) zum Decodieren des durch die Einrich­ tung (16) zum Abrufen abgerufenen Befehls, wobei die Einrich­ tung (32) zum Decodieren angeordnet ist, um die Befehlssi­ cherheitsmarke von der Einrichtung (16) zum Abrufen zu erhal­ ten.
6. Prozessor nach Anspruch 3, bei dem die Befehlssicherheits­ marke (42) und die Datensicherheitsmarke (46) als Bitmuster ausgeführt sind, und bei dem die Einrichtung (22) zum Unter­ suchen als Bitkomparator in Hardware ausgestaltet ist, um die Bitmuster zu vergleichen.
7. Prozessor nach Anspruch 3, bei dem die Einrichtung (22) zum Untersuchen ausgestaltet ist, um nur dann die vorbestimm­ te Beziehung festzustellen, wenn die Befehlssicherheitsmarke (42) und die Datensicherheitsmarke (46) identisch sind.
8. Prozessor nach einem der vorhergehenden Ansprüche, bei dem der Speicher (18) seitenweise organisiert ist, wobei auf Speichereiten eine Anzahl von Befehlen abgespeichert ist, die zusammen ein Programm bilden, wobei ein erster Anteil der Anzahl von Befehlen auf einer Speicherseite gespeichert ist, und wobei ein zweiter Anteil der Anzahl von Befehlen auf einer anderen Speicherseite ge­ speichert ist, wobei der einen Speicherseite eine Befehlssi­ cherheitsmarke zugeordnet ist, und wobei der anderen Spei­ cherseite eine unterschiedliche Befehlssicherheitsmarke zuge­ ordnet ist, wobei die Befehlssicherheitsmarke der jeweiligen Speicherseite sämtlichen Befehlen dieser Speicherseite zuge­ ordnet ist.
9. Prozessor nach Anspruch 2 oder 3, bei dem der Speicher (18) seitenweise organisiert ist, wobei in dem Speicher (18) eine Anzahl von Datenworten abgespeichert ist, wobei ein ers­ ter Anteil der Anzahl von Datenworten auf einer Speicherseite gespeichert ist, und wobei ein zweiter Anteil der Anzahl von Datenworten auf einer anderen Speicherseite gespeichert ist, wobei der einen Speicherseite eine Datensicherheitsmarke zu­ geordnet ist, und wobei der anderen Speicherseite eine andere Datensicherheitsmarke zugeordnet ist, wobei die Datensicher­ heitsmarke der jeweiligen Speicherseite sämtlichen Datenwor­ ten dieser Speicherseite zugeordnet ist.
10. Prozessor nach einem der Ansprüche 1 bis 3, der in ver­ schiedenen Betriebsmodi mit verschiedenen Hierarchien betreibbar ist, wobei der vorbestimmte Wert bzw. die vorbe­ stimmte Beziehung von einem Benutzer, der einen Betriebsmodus festgelegt hat, abhängt (52).
11. Prozessor nach einem der Ansprüche 1 bis 3, bei dem zu­ sammen mit einer Mehrzahl von Befehlen eines Programms die­ selbe Befehlssicherheitsmarke abgespeichert ist.
12. Prozessor nach einem der vorhergehenden Ansprüche, bei dem die Befehlssicherheitsmarke und/oder die Datensicher­ heitsmarke verschlüsselt sind, und der ferner folgendes Merk­ mal aufweist:
eine Einrichtung zum Entschlüsseln, die ausgebildet ist, um die Befehlssicherheitsmarke und/oder die Datensicherheitsmar­ ke zu entschlüsseln, wobei die Einrichtung zum Entschlüsseln der Einrichtung zum Untersuchen (22) vorgeschaltet ist.
13. Verfahren zum Verarbeiten von Daten und Befehlen, wobei in Zuordnung zu einem Befehl eine Befehlssicherheitsmarke ab­ gespeichert ist, mit folgenden Schritten:
Abrufen (16) eines Befehls (42) und der dem Befehl (42) zuge­ ordneten Befehlssicherheitsmarke (40) sowie von Daten, auf die der Befehl (42) zugreifen soll, von einem Speicher (18);
Untersuchen (22) der Befehlssicherheitsmarke (42) des Befehls (40), um festzustellen, ob die Befehlssicherheitsmarke einen vorbestimmten Wert aufweist; und
Ausführen (10) des Befehls (40) auf die Daten, wobei die Ein­ richtung (10) zum Ausführen durch die Einrichtung (22) zum Untersuchen steuerbar ist, um nur dann den Befehl (40) auf die Daten auszuführen, wenn die Befehlssicherheitsmarke (42) den vorbestimmten Wert aufweist.
14. Verfahren zum Verarbeiten von Daten und Befehlen, wobei in Zuordnung zu den Daten eine Datensicherheitsmarke abge­ speichert ist, mit folgenden Schritten:
Abrufen (16) eines Befehls und von Daten (44) und der den Da­ ten (44) zugeordneten Datensicherheitsmarke (46) von einem Speicher (18);
Untersuchen (22) der Datensicherheitsmarke (46), die den Da­ ten zugeordnet ist, auf die der Befehl zugreifen soll, um festzustellen, ob die Datensicherheitsmarke (46) einen vorbe­ stimmten Wert aufweist; und
Ausführen (10) des Befehls auf die Daten (44), wobei die Ein­ richtung (10) zum Ausführen durch die Einrichtung (22) zum Untersuchen steuerbar ist, um nur dann den Befehl auf die Da­ ten (44) auszuführen, wenn die Datensicherheitsmarke (46) den vorbestimmten Wert aufweist.
15. Verfahren zum Verarbeiten von Daten und Befehlen, wobei in Zuordnung zu den Daten eine Datensicherheitsmarke abge­ speichert ist, und wobei in Zuordnung zu einem Befehl eine Befehlssicherheitsmarke abgespeichert ist, mit folgenden Schritten:
Abrufen (16) eines Befehls (40) und der diesem Befehl zuge­ ordneten Befehlssicherheitsmarke (42) und von Daten (44) so­ wie der den Daten zugeordneten Datensicherheitsmarke (46) von einem Speicher (18);
Untersuchen (22) der Befehlssicherheitsmarke (42) des Befehls (40) und der Datensicherheitsmarke (46) der Daten (44), auf die der Befehl (40) zugreifen soll, um festzustellen, ob die Befehlssicherheitsmarke (42) und die Datensicherheitsmarke (46) eine vorbestimmte Beziehung zueinander aufweisen; und
Ausführen (10) des Befehls (40) auf die Daten (44), wobei die Einrichtung zum Ausführen (10) durch die Einrichtung (22) zum Untersuchen steuerbar ist, um nur dann den Befehl (40) auf die Daten (44) auszuführen, wenn die Befehlssicherheitsmarke (42) und die Datensicherheitsmarke (46) die vorbestimmte Be­ ziehung zueinander aufweisen.
DE10113828A 2001-03-21 2001-03-21 Prozessor zum sicheren Verarbeiten von Daten unter Verwendung einer Datensicherheitsmarke und/oder von Befehlen unter Verwendung einer Befehlssicherheitsmarke Withdrawn DE10113828A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE10113828A DE10113828A1 (de) 2001-03-21 2001-03-21 Prozessor zum sicheren Verarbeiten von Daten unter Verwendung einer Datensicherheitsmarke und/oder von Befehlen unter Verwendung einer Befehlssicherheitsmarke

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10113828A DE10113828A1 (de) 2001-03-21 2001-03-21 Prozessor zum sicheren Verarbeiten von Daten unter Verwendung einer Datensicherheitsmarke und/oder von Befehlen unter Verwendung einer Befehlssicherheitsmarke

Publications (1)

Publication Number Publication Date
DE10113828A1 true DE10113828A1 (de) 2002-09-26

Family

ID=7678429

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10113828A Withdrawn DE10113828A1 (de) 2001-03-21 2001-03-21 Prozessor zum sicheren Verarbeiten von Daten unter Verwendung einer Datensicherheitsmarke und/oder von Befehlen unter Verwendung einer Befehlssicherheitsmarke

Country Status (1)

Country Link
DE (1) DE10113828A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006090231A2 (en) * 2005-02-25 2006-08-31 Axalto Sa Method to secure writing in memory against attacks by radiation or other
EP1818848A1 (de) * 2006-02-08 2007-08-15 Samsung Electronics Co., Ltd. Sichere Multimediakarte und Speicherkartensystem
EP2455882A3 (de) * 2003-05-06 2013-07-31 Nortel Networks Limited Speicherschutzsysteme und Verfahren für beschreibbaren Speicher

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4962533A (en) * 1989-02-17 1990-10-09 Texas Instrument Incorporated Data protection for computer systems
EP0407060B1 (de) * 1989-06-30 1997-02-05 Novell, Inc. Verfahren zur Versorgung der Sicherung von Datei-Zwangsheimlichkeit und -Integrität in einem Computersystem

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4962533A (en) * 1989-02-17 1990-10-09 Texas Instrument Incorporated Data protection for computer systems
EP0407060B1 (de) * 1989-06-30 1997-02-05 Novell, Inc. Verfahren zur Versorgung der Sicherung von Datei-Zwangsheimlichkeit und -Integrität in einem Computersystem

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2455882A3 (de) * 2003-05-06 2013-07-31 Nortel Networks Limited Speicherschutzsysteme und Verfahren für beschreibbaren Speicher
WO2006090231A2 (en) * 2005-02-25 2006-08-31 Axalto Sa Method to secure writing in memory against attacks by radiation or other
WO2006090231A3 (en) * 2005-02-25 2007-04-12 Axalto Sa Method to secure writing in memory against attacks by radiation or other
EP1818848A1 (de) * 2006-02-08 2007-08-15 Samsung Electronics Co., Ltd. Sichere Multimediakarte und Speicherkartensystem

Similar Documents

Publication Publication Date Title
DE3811378C3 (de) Informationsaufzeichnungssystem
DE3407642C2 (de)
DE69635868T2 (de) Verfahren und vorrichtung zum kryptographisch gesteuerten betrieb eines zusatzgeräts
DE19536169A1 (de) Multifunktionale Chipkarte
DE19839847A1 (de) Speichern von Datenobjekten im Speicher einer Chipkarte
DE10115118A1 (de) Verfahren zur Übertragung von Daten über einen Datenbus
DE112014000311B4 (de) Absichern der Inhalte einer Speichereinheit
DE102006032129A1 (de) Skalierbares Verfahren zur Zugriffssteuerung
WO2009040273A1 (de) Verfahren zum schutz mindestens von teilen von auf mindestens einem server und/oder in mindestens einer datenbank abgelegten, einem durch ein rfid-tag identifizierten produkt zugeordnete produktdaten vor unberechtigtem zugriff
EP0224639A1 (de) Verfahren zum Kontrollieren eines Speicherzugriffs auf einer Chipkarte und Anordnung zur Durchführung des Verfahrens
DE112006004173T5 (de) Schutz eines programmierbaren Speichers gegen unberechtigte Veränderung
EP1338970B1 (de) Verfahren und Anordnung zur Zugriffssteuerung auf EEPROMs sowie ein entsprechendes Computerprogrammprodukt und ein entsprechendes computerlesbares Speichermedium
EP2350904B1 (de) Verfahren und anordnung zum konfigurieren von elektronischen geräten
DE10113828A1 (de) Prozessor zum sicheren Verarbeiten von Daten unter Verwendung einer Datensicherheitsmarke und/oder von Befehlen unter Verwendung einer Befehlssicherheitsmarke
EP1022659A2 (de) Schaltungsanordnung zur elektonischen Datenverarbeitung
DE19717900A1 (de) Verfahren und Vorrichtung zur Verarbeitung eines Computer-Applets
DE102021131424A1 (de) Verfahren und systeme zur sitzungsbasierten und gesicherten zugriffsteuerung auf ein datenspeichersystem
DE19508288A1 (de) Verfahren und Anordnung zur Verhinderung der unberechtigten Nutzung eines Rechners
DE60116658T2 (de) Datenträger mit zusatzvorrichtung
DE10307996A1 (de) Verfahren zum Ver- und Entschlüsseln von Daten durch verschiedene Nutzer
EP2169579A1 (de) Verfahren und Vorrichtung zum Zugriff auf ein maschinenlesbares Dokument
DE10101972A1 (de) Vorrichtung mit einem Steuergerät und einem nicht-flüchtigen Speicher sowie Verfahren zum Betreiben einer solchen Vorrichtung
EP1904980A1 (de) Verfahren zum betreiben eines tragbaren datenträgers
DE19538124A1 (de) Verfahren und Vorrichtung zum Schutz von Software gegen unautorisierte Benutzung
WO1996010812A1 (de) Mehrstufige zugriffssteuerung auf datenträgerkarten

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8130 Withdrawal