DE102015116181B4

DE102015116181B4 - Datenverarbeitung

Info

Publication number: DE102015116181B4
Application number: DE102015116181.8A
Authority: DE
Inventors: Narasimha Kumar VEDALA; Bala Nagendra Raja Munjuluri; Prakash Nayak
Original assignee: Infineon Technologies AG
Current assignee: Infineon Technologies AG
Priority date: 2014-09-26
Filing date: 2015-09-24
Publication date: 2022-10-06
Anticipated expiration: 2035-09-25
Also published as: CN105468997B; US20160092378A1; DE102015116181A1; US9910794B2; CN105468997A

Abstract

Verfahren zum Ausführen eines Programmcodes, wobei das Verfahren umfasst:- Überprüfen einer Speicherzugriffsregelressource basierend auf einem Trigger; und- Vergleichen eines aktuellen Programmzählers mit einer durch die Speicherzugriffsregelressource bereitgestellten Programmzählerinformation, und wenn der Vergleich des aktuellen Programmzählers und der Programmzählerinformation eine vordefinierte Bedingung erfüllt, Durchführen einer Speicherzugriffsregelprüfung- wobei das Durchführen einer Speicherzugriffsregelprüfung umfasst:- Abrufen eines Speicherzugriffsregelwerts aus der Speicherzugriffsregelressource;- Vergleichen des Speicherzugriffsregelwerts mit einem vordefinierten Wert;- Weiterausführen des Programmcodes, wenn der Speicherzugriffsregelwert dem vordefinierten Wert entspricht; und- Durchführen einer vordefinierten Handlung, wenn der Speicherzugriffsregelwert dem vordefinierten Wert nicht entspricht.

Description

Ausführungsformen der vorliegenden Erfindung betreffen Datenverarbeitung, insbesondere auf einer Chipkarte. Moderne Chipkartenanwendungen erfordern Datenschutzmechanismen, die einen hohen Grad an Veränderlichkeit erlauben.
Aus US 6,282,657 B1 ist eine Lösung zum Schutz eines Kernels bekannt, wobei in einem sogenannten Kernel-Modus der Zugriff auf den Kernel-Speicher nur von einem sicheren Kernel aus erfolgen kann.
Eine Aufgabe besteht insbesondere darin, bekannte Ansätze zu verbessern.
Diese Aufgabe wird gemäß den Merkmalen der unabhängigen Ansprüche gelöst. Bevorzugte Ausführungsformen sind insbesondere den abhängigen Ansprüchen entnehmbar.
Diese hierin vorgeschlagenen Beispiele können insbesondere auf zumindest einer der nachfolgenden Lösungen basieren. Insbesondere können Kombinationen der nachfolgenden Merkmale eingesetzt werden, um ein gewünschtes Ergebnis zu erreichen. Die Merkmale des Verfahrens können mit (einem) beliebigen Merkmal(en) der Vorrichtung, des Geräts oder Systems oder umgekehrt kombiniert werden.
Es wird ein Verfahren zum Ausführen eines Programmcodes bereitgestellt, wobei das Verfahren umfasst:

- Überprüfen einer Speicherzugriffsregelressource basierend auf einem Trigger; und
- Vergleichen eines aktuellen Programmzählers mit einer durch die Speicherzugriffsregelressource bereitgestellten Programmzählerinformation, und wenn der Vergleich des aktuellen Programmzählers und der Programmzählerinformation eine vordefinierte Bedingung erfüllt, Durchführen einer Speicherzugriffsregelprüfung,
- wobei das Durchführen einer Speicherzugriffsregelprüfung umfasst:
- - Abrufen eines Speicherzugriffsregelwerts aus der Speicherzugriffsregelressource;
- - Vergleichen des Speicherzugriffsregelwerts mit einem vordefinierten Wert;
- - Weiterausführen des Programmcodes, wenn der Speicherzugriffsregelwert dem vordefinierten Wert entspricht; und
- - Durchführen einer vordefinierten Handlung, wenn der Speicherzugriffsregelwert dem vordefinierten Wert nicht entspricht.

Das Konzept erlaubt einer Hardware, Zugriff zu einem definierten Speicherteil basierend auf durch eine Anwendungslogik angegebene Bedingungen zu gewähren oder zu begrenzen. Diese Speicherteile können in jeder beliebigen Skalierung durch die Anwendung definiert sein. Dieser Ansatz erlaubt Ausführung von sicherem Code auf kostengünstigen Mikrocontrollern. Insbesondere erlaubt es das Verringern des Betrags an Software-Gegenmaßnahmen für Sicherheit und bewirkt dadurch eine Verringerung des für den Code erforderlichen Speicherplatzbedarfs.
Basierend auf dem Trigger kann die Hardware validieren, ob der gegenwärtig ausgeführte Code erforderliche Zugriffsregeln erfüllt.
Der aktuelle Programmzähler kann ein Wert eines Programmzählers einer Verarbeitungseinheit (z.B. Mikroprozessors) sein, der auf einen auszuführenden Teil von Programmcode zeigt.
Es ist eine Weiterbildung, dass das Verfahren umfasst:

- Nichtdurchführen der Speicherzugriffsregelprüfung, wenn der Vergleich des Programmzählers mit der Programmzählerinformation nicht die vordefinierte Bedingung erfüllt.

Es ist eine Weiterbildung, dass die Programmzählerinformation eine Programmzählereinstellung oder einen Bereich für den Programmzähler umfasst.
Es ist eine Weiterbildung, dass der Vergleich des aktuellen Programmzählers und der Programmzählerinformation eine vordefinierte Bedingung erfüllt, wenn der aktuelle Programmzähler gleich der Programmzählereinstellung ist oder im Bereich für den Programmzähler liegt.
Als Wahlmöglichkeit kann der Speicherzugriffsregelwert mit dem vordefinierten Wert verglichen werden, der im aktuellen Ausführungszusammenhang erhalten wird.
Als weitere Wahlmöglichkeit kann Weiterausführen des Programmcodes ein Zulassen erlaubter Operationen umfassen, wenn der Speicherzugriffsregelwert dem im aktuellen Ausführungszusammenhang erreichten vordefinierten Wert entspricht.
Es ist eine Weiterbildung, dass die vordefinierte Handlung wenigstens eines der Folgenden umfasst:

- Auslösen einer Ausnahmehandlung („exception handling“);
- Auslösen einer Unterbrechung (eines Interrupts);
- Ausgeben eines Alarms, insbesondere eines Sicherheitsalarms; und
- Ausgeben einer Benachrichtigung.

Es ist eine Weiterbildung, dass der vordefinierte Wert ein globaler Wert ist, der anwendungsspezifische Zugriffsregeln umfasst.
Der vordefinierte Wert kann insbesondere in einem aktuellen Kontext einer Programmausführung erhalten werden.
Es ist eine Weiterbildung, dass die Speicherzugriffsregelressource eine im Speicher gespeicherte Datenstruktur, insbesondere eine Tabelle ist.
Es ist eine Weiterbildung, dass die Speicherzugriffsregelressource eine Datenstruktur ist, wobei jeder Eintrag der Datenstruktur umfasst:

- eine Startadresse des Speichers;
- eine Größe des Speichers;
- einen Speicherzugriffsregelwert; und
- wenigstens eine erlaubte Operation.

Es ist eine Weiterbildung, dass jeder Eintrag der Datenstruktur weiterhin mindestens eine erlaubte Operation umfasst.
Die erlaubte(n) Operation(en) kann (können) wenigstens eines der Folgenden umfassen: Lesen, Schreiben, Ausführen.
Es ist eine Weiterbildung, dass die Programmzählerinformation basierend auf der Startadresse des Speichers und der Größe des Speichers bestimmt wird.
Es ist eine Weiterbildung, dass der Trigger von einem vorbestimmten Zeitintervall abhängig ist.
Es ist eine Weiterbildung, dass der Trigger auf einem vordefinierten Operationscode basiert.
Es ist eine Weiterbildung, dass das Verfahren auf einer Verarbeitungseinheit einer sicheren integrierten Schaltung, einem sicheren Mikrocontroller, einem Mikrocontroller oder einer Chipkarte ausgeführt wird.
Es ist eine Weiterbildung, dass die Speicherzugriffsregel für auszuführenden Programmcode oder für Daten, auf die zugegriffen wird, anwendbar ist.
Weiterhin wird eine Vorrichtung angegeben umfassend eine Verarbeitungseinheit, wobei die Verarbeitungseinheit eingerichtet ist zum

- Überprüfen einer Speicherzugriffsregelressource basierend auf einem Trigger; und
- Vergleichen eines aktuellen Programmzählers mit einer durch die Speicherzugriffsregelressource bereitgestellten Programmzählerinformation, und wenn der Vergleich des aktuellen Programmzählers und der Programmzählerinformation eine vordefinierte Bedingung erfüllt, Durchführen einer Speicherzugriffsregelprüfung, wobei das Durchführen einer Speicherzugriffsregelprüfung umfasst:
- - Abrufen eines Speicherzugriffsregelwerts aus der Speicherzugriffsregelressource;
- - Vergleichen des Speicherzugriffsregelwerts mit einem vordefinierten Wert;
- - Weiterausführen des Programmcodes, wenn der Speicherzugriffsregelwert dem vordefinierten Wert entspricht; und
- - Durchführen einer vordefinierten Handlung, wenn der Speicherzugriffsregelwert dem vordefinierten Wert nicht entspricht.

Auch wird eine Chipkarte vorgeschlagen, umfassend

- eine Verarbeitungseinheit; und
- einen Speicher,
- wobei die Verarbeitungseinheit eingerichtet ist zum
- - Überprüfen einer Speicherzugriffsregelressource basierend auf einem Trigger; und
- Vergleichen eines aktuellen Programmzählers mit einer durch die Speicherzugriffsregelressource bereitgestellten Programmzählerinformation, und wenn der Vergleich des aktuellen Programmzählers und der Programmzählerinformation eine vordefinierte Bedingung erfüllt, Durchführen einer Speicherzugriffsregelprüfung, wobei das Durchführen einer Speicherzugriffsregelprüfung umfasst:
- - Abrufen eines Speicherzugriffsregelwerts aus der Speicherzugriffsregelressource;
- - Vergleichen des Speicherzugriffsregelwerts mit einem vordefinierten Wert;
- - Weiterausführen des Programmcodes, wenn der Speicherzugriffsregelwert dem vordefinierten Wert entspricht; und
- - Durchführen einer vordefinierten Handlung, wenn der Speicherzugriffsregelwert dem vordefinierten Wert nicht entspricht.

Auch wird ein Computerprogrammprodukt angegeben, das (direkt) in einen Speicher einer digitalen Verarbeitungsvorrichtung ladbar ist, umfassend Softwarecodeteile zum Durchführen der Schritte des hier beschriebenen Verfahrens.
Es werden Ausführungsformen gezeigt und unter Bezugnahme auf die Zeichnungen dargestellt. Die Zeichnungen dienen zum Erläutern des Grundprinzips, so dass nur zum Verständnis des Grundprinzips notwendige Aspekte dargestellt sind. Die Zeichnungen sind nicht maßstabsgerecht. In den Zeichnungen bezeichnen gleiche Bezugszeichen gleiche Merkmale.

1 zeigt ein schematisches Flussdiagramm, umfassend solche Schritte, die durchgeführt werden, um zu validieren, ob der gegenwärtig ausgeführte Code erforderliche Zugriffsregeln erfüllt;
2 zeigt ein schematisches Hardwareblockschaltbild, umfassend eine Mikrosteuerung und einen Speicher.

Vorgeschlagene Beispiele bieten Mechanismen, z.B. für Mikrosteuerungen (auch bezeichnet als Mikrocontroller), zum Ermöglichen der Ausführung eines gewissen Codeabschnitts nur wenn bestimmte vordefinierte und/oder vom Benutzer eingerichtete Bedingungen erfüllt sind.
Zum Beispiel kann ein vertraulicher Schlüsselbearbeitungscode nur dann ausgeführt werden, wenn wenigstens eine der folgenden Bedingungen erfüllt ist:

- eine Kommunikationsschnittstelle ist deaktiviert;
- Zugang zum Schlüsselbearbeitungscode wird für einen Befehl bereitgestellt;
- anwendungsspezifische Bedingungen zum Durchführen der Operation am Schlüssel sind erfüllt.

Zugang zu Datengebieten kann nur gewährt werden, wenn angegebene und/oder vom Benutzer eingerichtete Bedingungen erfüllt sind. Zum Beispiel kann Zugang zu einem Speicher, der (z.B. geheime Schlüssel enthält) nur zugelassen werden, wenn die Bedingungen wie oben erwähnt erfüllt sind.
Hier beschriebene Beispiele können insbesondere ermöglichen, dass Hardware diese Probleme löst, und dass Speicherzugang flexibel gewährt wird, falls vordefinierte Bedingungen erfüllt wurden.
Beispiele können auch anwendungsspezifische Bedingungen bereitstellen, unter denen Zugang zu einem Speicher, z.B. wenigstens einem Teil von Speicher, zugelassen ist. Solche Bedingungen werden als Speicherzugriffsregel (MAP - Memory Access Policy) bezeichnet.
Der Speicher kann mit der MAP markiert sein. Der Speicher kann Code und Daten umfassen. Solcher Speicher kann sich auf Speicherteile unterschiedlicher Größen oder Skalierungen beziehen.
Während der Ausführung kann eine Verarbeitungseinheit (z.B. Zentraleinheit, ZE) die folgenden Prüfungen durchführen:

- Ist die MAP für den ausgeführten Code erfüllt?
- Ist die MAP für die Daten, auf die zugegriffen wird, erfüllt?

Sollte irgendeine der Prüfungen misslingen, kann eine vordefinierte Handlung ausgelöst werden, z.B. ein Alarm gegeben werden oder eine Benachrichtigung ausgegeben werden.
Zum Beispiel können zwei Modi zum Durchführen der MAP-Prüfung bereitgestellt werden:

- In einem AUTO-Modus wird von der Verarbeitungseinheit die MAP-Prüfung in konfigurierbaren vordefinierten Zeitintervallen durchgeführt.
- In einem MANUAL-Modus kann eine Sonderoperation (Operationscode) zum Auslösen der MAP-Prüfung benutzt werden.

Nach einer beispielhaften Ausführungsform können folgende Instanzen benutzt werden:

- eine MAP-Tabelle;
- ein MAP_STATUS-Register;
- ein MAP _CFGx-Register;
- ein Operationscode: ASSERTMAP.

Hiernach werden diese Instanzen ausführlicher erläutert:
MAP-Tabelle:
Die MAP-Tabelle kann als eine Tabelle mit folgenden Einträgen (Spalten) strukturiert sein:

- eine Startadresse des Speichers;
- eine Größe;
- ein MAP-Wert;
- eine Zugriffserlaubnis.

Die MAP-Tabelle kann eine Liste (erforderlicher) Speicherzugriffsregeln (entsprechend dem MAP-Wert) für einen gegebenen Speicheradressbereich umfassen. Der Speicheradressbereich kann durch eine Startadresse und eine Größe definiert sein.
MAP _STATUS-Register:
Jedes Bit in diesem MAP_STATUS-Register kann anwendungsspezifischen Zugriffsregeln entsprechen, die im Zusammenhang mit einer aktuellen Ausführung erfüllt werden. Eine Zuweisung und eine Einstellung dieser Bit kann durch eine Anwendungslogik gemanagt werden.
MAP CFGx-Registers:
Dies sind Konfigurationsregister, die Einrichten der Modi der MAP-Prüfungen, d.h. AUTO-Modus oder MANUAL-Modus, zulassen.
Im AUTO-Modus wird die MAP-Prüfung wie in den MAP_CFGx-Registem definiert in gewissen Zeitintervallen ausgeführt. Daher kann es im Auto-Modus möglich sein, solche Zeitintervalle einzurichten, in denen MAP-Prüfungen ausgelöst werden.
Im MANUAL-Modus kann ein besonderer Operationscode „ASSERTMAP“ an verschiedenen Stellen des Codes eingefügt sein, um die MAP-Prüfung ausdrücklich auszulösen.
Auch können die MAP_CFGx-Register zum Einrichten von Stelle und Größe der MAP-Tabelle benutzt werden.
Op-Code: ASSERTMAP:
Dies ist ein Operationscode (Anweisung), der die MAP-Prüfung (manuell) auslöst.
Operation
Während des Starts eines Chips (Hardware), sind die MAP_CFGx-Register mit einem Vorgabewert eingerichtet. Ein solcher Vorgabewert kann ein AUTO-Modus sein, der die MAP-Prüfung in einem vorbestimmten Zeitintervall auslöst. Auch kann das MAP_STATUS-Register rückgesetzt werden. Zusätzlich können die MAP-Tabellenstelle und/oder -größe eingerichtet werden.
Während des Betriebs kann basierend auf der Erfüllung von anwendungsspezifischen Zugriffsregeln die Anwendung das MAP_STATUS-Register entsprechend einstellen.
Basierend auf einem Trigger einer MAP-Prüfung kann die Hardware validieren, ob der gegenwärtig ausgeführte Code erforderliche Zugriffsregeln erfüllt.
1 zeigt ein schematisches Flussdiagramm mit solchen Schritten, die durchgeführt werden, um zu validieren, ob der gegenwärtig ausgeführte Code erforderliche Zugriffsregeln erfüllt.
In einem Zustand 101 wird ein Trigger 102 zum Durchführen einer MAP-Prüfung ausgegeben. In einem Schritt 103 wird ein Nachschlagen der MAP-Tabelle basierend auf dem aktuellen Programmzähler durchgeführt. In einem Schritt 104 wird geprüft, ob der aktuelle Wert des Programmzählers einen Eintrag in der MAP-Tabelle aufweist. Wenn nicht, dann wird die Ausführung des Programms in einem Schritt 105 fortgeführt. Wenn die MAP-Tabelle einen solchen Eintrag umfasst, der dem aktuellen Wert des Programmzählers entspricht, wird eine Zugriffsregelprüfung in einem Schritt 106 durchgeführt.
Der aktuelle Wert des Programmzählers wählt einen Eintrag in der MAP-Tabelle aus. Aus diesem Eintrag wird ein MAP-Wert abgerufen, der einer Speicherzugriffsregel MAP (Memory Access Policy) entspricht. Diese MAP wird im Schritt 106 wie folgt geprüft: $MAP&MAP_STATUS = = MAP?$
In einem Schritt 107 wird bestimmt, ob die MAP erfüllt wurde. Wenn ja, dann wird zum Schritt 105 verzweigt. Wenn die MAP nicht erfüllt wurde, kann eine vordefinierte Handlung ausgelöst werden, z.B. kann ein Alarm ausgegeben werden und/oder eine Benachrichtigung in einem Schritt 108 ausgegeben werden.
Eine ähnliche Art Prüfung kann für einen Datenzugriff durchgeführt werden. Zum Verbessern der Leistung können die MAP_CFKx-Register eine Einstellung umfassen, bei der die Prüfung auf Datenzugriff abgeschaltet werden kann. Zum Beispiel kann die MAP-Tabelle Einträge entsprechend sicheren Datengebieten umfassen. Vor Anforderung von Daten auf einem Adressbus kann die Verarbeitungseinheit eine Prüfung mit der MAP-Tabelle durchführen. Eine solche Prüfung kann bei jedem Datenabruf stattfinden.
Hiernach wird ein Muster-C-Code gezeigt, um den dargestellten Ansatz ausführlicher zu erläutern:

    #pragma MAPENTRY(MAP_VALUE_1, X) // Dieses Pragma erzeugt einen
    Eintrag in die MAP-Tabelle. „X" zeigt eine Erlaubnis für „ausführen" an. In
    diesem Beispiel wird MAP_VALUE_10xC000 zugewiesen
    #pragma MAPEXIT; dieses Pragma ist der Abschluss des vorhergehenden
    MAPENTRY 

    // Beispiel einer MAP-Tabellenstruktur:

Speicherstartadresse	Größe	MAP-Werte	Erlaubnisse
Start_Adresse_von(Load_Key)	Größevon(Load_Key function) + Größevon(Update_Key function)	MAP_VALUE_1	X
...	...	...	...
Start_Adresse_von(...)	Größevon(...)	MAP_VALUE_n	RWX

Das Hauptprogramm kann eine endlose Warteschleife (While-Loop) wie folgt sein:

void main()
            while(1)
    {{Befehl_empfangen();
                    wenn(comms_gesperrt_ist)
                    {MAP_STATUS |= 0x8000; //setzen der Bedingung, dass
    Kommunikationsmodul deaktiviert ist, ist erfüllt worden
                    }
                    process_command()(Befehl verarbeiten); // der
    Funktionsprozess_Befehl ist aufgerufen (siehe unten).
    }}send_response() (Antwort senden);

Das Hauptprogramm ruft den Funktionsprozessbefehl auf:

void process_command() (Fehlstelle im Funktionsprozessbefehl)
    {switch(current_command) (aktuellen Befehl umschalten)
            {
            Fall READ_FILE: (Datei lesen)
                    Unterbrechung;
            Fall UPDATE_KEY: (Schlüssel aktualisieren)
                    MAP_STATUS |= 0x4000; // Bedingung setzen, dass aktueller
    Befehl Zugang zum Schlüsselspeicher erfordert
                    Update_Key(); (Schlüssel aktualisieren)
                    MAP_STATUS ^= 0x4000; //Bedingung rücksetzen
                    Unterbrechung; 





            Fall ...
            Fall ...
            Vorgabe:
    }}SECALARM(); // Sicherheitsalarm auslösen

Die Prozessbefehlsfunktion umfasst „UPDATE_KEY“ als einen aktuellen Befehl, der Zugriff zum Schlüsselspeicher erfordert. Basierend auf dem UDATE_KEY-Befehl ruft die Prozessbefehlsfunktion die Update _Key-Funktion auf.

    void Update_Key() (Fehlstelle Update _Key)//Diese Funktion aktualisiert den
    Schlüssel im NVM
    {identify_free_key_address_in_nvm(); (freie Schlüsseladresse in NVM
    kennzeichnen)
            validate_new_key_value(); (neuen Schlüsselwert validieren)
            _ASSERTMAP_(); //Diese Anweisung löst ausdrücklich MAP-Prüfung
    aus
    }Store_key(); (Schlüssel speichern)

Innerhalb der Funktion Update _Key wird die ASSERTMAP-Operation ausdrücklich aufgerufen, was die Auslösung der MAP-Prüfung ergibt.

Auch kann eine Funktion Load Key bereitgestellt werden umfassend die ASSERTMAP-Operation, die die MAP-Prüfung ausdrücklich auslöst:

    void Load_Key() (Fehlstelle Load_Key)
    {// Diese Funktion lädt den Schlüssel aus Schlüsselspeicher in einen
    symmetrischen Krypto-Prozessor
            resolve_key_address_in_nvm(); (Schlüsseladresse in nvm auflösen)
            validate_key(); (Schlüssel validieren)
            _ASSERTMAP_(); // Diese Anweisung löst MAP-Prüfung aus
    }Load_key_into_SCP(); (Schlüssel in SCP laden)

2 zeigt ein schematisches Hardware-Blockschaltbild umfassend eine Mikrosteuerung 201 (auch bezeichnet als Mikrocontroller) und einen Speicher 202.

Sowohl die Mikrosteuerung 201 als auch der Speicher 202 können sich auf einer Chipkarte befinden. Die Mikrosteuerung 201 kann umfassen: eine Takteinheit 203, eine Anweisungseinheit 204, eine Adresseinheit 205, einen Programmzähler 206, einen Sicherheitsmonitor 207, ein MAP_STATUS-Register 208, MAP_CFGx-Register 209, ein Markierungsregister 210 (auch bezeichnet als Merker-Register), einen Akkumulator 211, eine arithmetische Logikeinheit 212, ein X-Register 213, ein Y-Register 214 und ein Z-Register 215. Der Speicher 202 umfasst eine MAP-Tabelle.

Die folgenden Schritte können durchgeführt werden, wenn die Sonderoperation ASSERTMAP in dem den MANUAL-Modus auslösenden Code vorkommt, d.h. ein manueller Trigger für die MAP-Prüfung:

Schritt 251: Der Op-Code ASSERTMAP wird gefunden, die Anweisungseinheit 204 signalisiert dies dem Sicherheitsmonitor 207.
Schritt 252: Vom Sicherheitsmonitor 207 wird der Adresseinheit 205 signalisiert, einen Eintrag i aus der MAP-Tabelle zu holen.
Schritt 253: Die Adresseinheit 205 holt Daten aus dem Eintrag i in der MAP-Tabelle in die folgenden Register:
- - eine Startadressstelle in das X-Register 213;
- - eine Größe in das Y-Register 214; und
- - einen erwarteten MAP-Wert in das Z-Register 215.
Schritt 254: Vom Sicherheitsmonitor 207 wird überprüft, ob sich der Programmzähler 206 im Bereich befindet [start_address (X), start_address+size (X+Y)], d.h. zwischen der Startadresse nach dem X-Register 213 und der durch das X-Register 213 und das Y-Register 214 bestimmten Endadresse.
Schritt 255: Wenn sich der Programmzähler 206 in diesem Bereich befindet, ist der Schritt 257 der Nächste.
Schritt 256: Wenn sich der Programmzähler 206 nicht im Bereich befindet, wird die MAP-Tabelle auf weitere Einträge überprüft. Wenn solche Einträge bestehen, wird mit Schritt 252 fortgefahren, um den nächsten Eintrag zu holen; wenn nicht, wird mit Schritt 259 fortgefahren.
Schritt 257: Vom Sicherheitsmonitor 207 wird überprüft, ob der Wert des MAP_STATUS-Register 208 dem durch das Z-Register 215 bestimmten erwarteten MAP-Wert entspricht; d.h. ob die folgende Bedingung wahr ist: $(MAP_STATUS&Z) = = Z$
Schritt 258: Wenn die Bedingung von Schritt 257 wahr ist, wird mit Schritt 259 fortgefahren; ansonsten wird mit Schritt 260 fortgefahren.
Schritt 259: Der Sicherheitsmonitor 207 weist die Anweisungseinheit 204 an, weitere Anweisungen zu decodieren und auszuführen (nicht zum Schritt 260 zu springen).
Schritt 260: Vom Sicherheitsmonitor 207 wird ein Sicherheitsalarm ausgelöst.

Daher wird durch das Konzept einer Hardware erlaubt, Zugriff zu einem definierten Teil von Speicher basierend auf durch eine Anwendungslogik angegebene Bedingungen zu gewähren oder zu beschränken. Diese Speicherteile können in unterschiedlichen Größen oder Skalierungen durch die Anwendung definiert sein. Dieser Ansatz erlaubt Verringern des Betrags an Software-Gegenmaßnahmen für Sicherheit und bewirkt damit eine Verringerung des für den Code erforderlichen Speicherplatzbedarfs.

In einem oder mehreren Beispielen können die hier beschriebenen Funktionen wenigstens teilweise in Hardware ausgeführt werden, wie beispielsweise bestimmten Hardwarekomponenten oder einem Prozessor. Allgemeiner gesagt können die Verfahren in Hardware, Prozessoren, Software, Firmware oder einer beliebigen Kombination derselben ausgeführt sein. Wenn sie in Software ausgeführt sind, können die Funktionen als eine oder mehrere Anweisungen oder Code auf einem computerlesbaren Medium gespeichert oder darüber übertragen werden und durch eine hardwarebasierende Verarbeitungseinheit ausgeführt werden. Computerlesbare Medien können computerlesbare Speichermedien umfassen, die einem fassbaren Medium wie beispielsweise Datenspeichermedium oder Kommunikationsmedium einschließlich jedes Mediums entsprechen, das Übertragung eines Computerprogramms von einer Stelle zu einer anderen erleichtert, z.B. nach einem Kommunikationsprotokoll. Auf diese Weise können computerlesbare Medien allgemein (1) fassbaren computerlesbaren Speichermedien entsprechen, die kurzzeitig sind, oder (2) einem Kommunikationsmedium wie beispielsweise einem Signal oder einer Trägerwelle entsprechen. Datenspeichermedien können beliebige verfügbare Medien sein, auf die durch einen oder mehrere Computer oder einen oder mehrere Prozessoren zum Abrufen von Anweisungen, Code und/oder Datenstrukturen zur Ausführung der in der vorliegenden Offenbarung beschriebenen Verfahren zugegriffen werden kann. Ein Computerprogrammprodukt kann ein computerlesbares Medium umfassen.

Beispielsweise und nicht als Begrenzung kann ein solches computerlesbares Speichermedium RAM, ROM, EEPROM, CD-ROM oder sonstige optische Plattenspeicherung, Magnetplattenspeicherung oder sonstige Magnetspeichervorrichtungen, Flash-Speicher oder jedes sonstige Medium umfassen, das zum Speichern gewünschten Programmcodes in der Form von Anweisungen oder Datenstrukturen benutzt werden kann und auf das durch einen Computer zugegriffen werden kann. Auch wird jede Verbindung als computerlesbares Medium, d.h. ein computerlesbares Übertragungsmedium bezeichnet. Wenn zum Beispiel Anweisungen von einer Website, einem Server oder einer sonstigen entfernten Quelle unter Verwendung von Koaxialkabel, faseroptischem Kabel, verdrilltem Paar, digitaler Teilnehmerleitung (DSL - Digital Subscriber Line) oder drahtlosen Techniken wie beispielsweise Infrarot, Funk und Mikrowellen übertragen werden, dann sind das Koaxialkabel, faseroptische Kabel, verdrillte Paare, DSL oder drahtlose Techniken wie beispielsweise Infrarot, Funk und Mikrowelle in der Definition von Medium enthalten. Es versteht sich jedoch, dass computerlesbare Speichermedien und Datenspeichermedien nicht Verbindungen, Trägerwellen, Signale oder sonstige kurzzeitige Medien umfassen, sondern stattdessen auf nichtflüchtige, fassbare Speichermedien gerichtet sind. Eine Platte, so wie hier verwendet, umfasst Compact-Disc (CD), Lasterplatte, optische Platte, DVD - (Digital Versatile Disc), Diskette und Blu-Ray-Platte, wobei Platten (Discs) gewöhnlich Daten magnetisch wiedergeben, während Platten (Discs) Daten optisch mit Lasern wiedergeben. Kombinationen der obigen sollten auch im Schutzbereich computerlesbarer Medien enthalten sein.

Anweisungen können durch einen oder mehrere Prozessoren ausgeführt werden, wie beispielsweise eine oder mehrere Zentraleinheiten (CPU - Central Processing Units), Digitalsignalprozessoren (DSP), Universal-Mikroprozessoren, anwendungsspezifische integrierte Schaltungen (ASIC), freiprogrammierbare Logikanordnungen (FPGA - Field Programmable Logic Arrrays), oder sonstige gleichwertige integrierte oder getrennte Logikschaltungen. Dementsprechend kann sich der Begriff „Prozessor“, so wie hier verwendet, auf jede beliebige der vorangehenden Struktur oder jede sonstige für die Ausführung der hier beschriebenen Verfahren geeignete Struktur beziehen. Zusätzlich kann die hier beschriebene Funktionalität mittels fest zugeordneter Hardware und/oder mittels Softwaremodulen, die zum Codieren und Decodieren eingerichtet sind oder mittels eines kombinierten Codec bereitgestellt werden. Auch könnten die Verfahren in einer oder mehreren Schaltungen oder Logikelementen voll implementiert sein.

Die Verfahren der vorliegenden Offenbarung können in einer großen Vielzahl von Vorrichtungen oder Einrichtungen einschließlich eines drahtlosen Handapparats, einer integrierten Schaltung (IC - Integrated Circuit) oder einem Satz von IC (z.B. einem Chipsatz) ausgeführt sein. Verschiedene Komponenten, Module oder Einheiten werden in der vorliegenden Offenbarung zum Betonen von Funktionsaspekten von Vorrichtungen, eingerichtet zum Durchführen der offenbarten Verfahren, beschrieben, erfordern aber nicht unbedingt Realisierung durch verschiedene Hardwareeinheiten. Stattdessen können wie oben beschrieben verschiedene Einheiten in einer einzelnen Hardwareeinheit kombiniert sein oder durch eine Sammlung von zusammenwirkenden Hardwareeinheiten einschließlich einem oder mehreren Prozessoren wie oben beschrieben in Verbindung mit geeigneter Software und/oder Firmware vorgesehen sein.

Claims

Verfahren zum Ausführen eines Programmcodes, wobei das Verfahren umfasst: - Überprüfen einer Speicherzugriffsregelressource basierend auf einem Trigger; und - Vergleichen eines aktuellen Programmzählers mit einer durch die Speicherzugriffsregelressource bereitgestellten Programmzählerinformation, und wenn der Vergleich des aktuellen Programmzählers und der Programmzählerinformation eine vordefinierte Bedingung erfüllt, Durchführen einer Speicherzugriffsregelprüfung - wobei das Durchführen einer Speicherzugriffsregelprüfung umfasst: - Abrufen eines Speicherzugriffsregelwerts aus der Speicherzugriffsregelressource; - Vergleichen des Speicherzugriffsregelwerts mit einem vordefinierten Wert; - Weiterausführen des Programmcodes, wenn der Speicherzugriffsregelwert dem vordefinierten Wert entspricht; und - Durchführen einer vordefinierten Handlung, wenn der Speicherzugriffsregelwert dem vordefinierten Wert nicht entspricht.
Verfahren nach Anspruch 1, weiterhin umfassend: - Nichtdurchführen der Speicherzugriffsregelprüfung, wenn der Vergleich des Programmzählers mit der Programmzählerinformation nicht die vordefinierte Bedingung erfüllt.
Verfahren nach einem der vorhergehenden Ansprüche, bei dem die Programmzählerinformation eine Programmzählereinstellung oder einen Bereich für den Programmzähler umfasst.
Verfahren nach Anspruch 3, bei dem der Vergleich des aktuellen Programmzählers und der Programmzählerinformation eine vordefinierte Bedingung erfüllt, wenn der aktuelle Programmzähler gleich der Programmzählereinstellung ist oder im Bereich für den Programmzähler liegt.
Verfahren nach einem der vorhergehenden Ansprüche, bei dem die vordefinierte Handlung wenigstens eines der Folgenden umfasst: - Auslösen einer Ausnahmehandlung; - Auslösen einer Unterbrechung; - Ausgeben eines Alarms, insbesondere eines Sicherheitsalarms; und - Ausgeben einer Benachrichtigung.
Verfahren nach einem der vorhergehenden Ansprüche, bei dem der vordefinierte Wert ein globaler Wert ist, der anwendungsspezifische Zugriffsregeln umfasst.
Verfahren nach einem der vorhergehenden Ansprüche, bei dem die Speicherzugriffsregelressource eine im Speicher gespeicherte Datenstruktur, insbesondere eine Tabelle ist.
Verfahren nach einem der vorhergehenden Ansprüche, bei dem die Speicherzugriffsregelressource eine Datenstruktur ist, wobei jeder Eintrag der Datenstruktur umfasst: - eine Startadresse des Speichers; - eine Größe des Speichers; - einen Speicherzugriffsregelwert; und - wenigstens eine erlaubte Operation.
Verfahren nach Anspruch 8, bei dem jeder Eintrag der Datenstruktur weiterhin mindestens eine erlaubte Operation umfasst.
Verfahren nach einem der Ansprüche 8 oder 9, bei dem die Programmzählerinformation basierend auf der Startadresse des Speichers und der Größe des Speichers bestimmt wird.
Verfahren nach einem der vorhergehenden Ansprüche, bei dem der Trigger von einem vorbestimmten Zeitintervall abhängig ist.
Verfahren nach einem der vorhergehenden Ansprüche, bei dem der Trigger auf einem vordefinierten Operationscode basiert.
Verfahren nach einem der vorhergehenden Ansprüche, wobei das Verfahren auf einer Verarbeitungseinheit einer sicheren integrierten Schaltung, einem sicheren Mikrocontroller, einem Mikrocontroller oder einer Chipkarte ausgeführt wird.
Verfahren nach einem der vorhergehenden Ansprüche, bei dem die Speicherzugriffsregel für auszuführenden Programmcode oder für Daten, auf die zugegriffen wird, anwendbar ist.
Vorrichtung, umfassend eine Verarbeitungseinheit, wobei die Verarbeitungseinheit eingerichtet ist zum - Überprüfen einer Speicherzugriffsregelressource basierend auf einem Trigger; und - Vergleichen eines aktuellen Programmzählers mit einer durch die Speicherzugriffsregelressource bereitgestellten Programmzählerinformation, und wenn der Vergleich des aktuellen Programmzählers und der Programmzählerinformation eine vordefinierte Bedingung erfüllt, Durchführen einer Speicherzugriffsregelprüfung, wobei das Durchführen einer Speicherzugriffsregelprüfung umfasst: - Abrufen eines Speicherzugriffsregelwerts aus der Speicherzugriffsregelressource; - Vergleichen des Speicherzugriffsregelwerts mit einem vordefinierten Wert; - Weiterausführen des Programmcodes, wenn der Speicherzugriffsregelwert dem vordefinierten Wert entspricht; und - Durchführen einer vordefinierten Handlung, wenn der Speicherzugriffsregelwert dem vordefinierten Wert nicht entspricht.
Chipkarte, umfassend: - eine Verarbeitungseinheit; und - einen Speicher, - wobei die Verarbeitungseinheit eingerichtet ist zum - Überprüfen einer Speicherzugriffsregelressource basierend auf einem Trigger; und - Vergleichen eines aktuellen Programmzählers mit einer durch die Speicherzugriffsregelressource bereitgestellten Programmzählerinformation, und wenn der Vergleich des aktuellen Programmzählers und der Programmzählerinformation eine vordefinierte Bedingung erfüllt, Durchführen einer Speicherzugriffsregelprüfung, wobei das Durchführen einer Speicherzugriffsregelprüfung umfasst: - Abrufen eines Speicherzugriffsregelwerts aus der Speicherzugriffsregelressource; - Vergleichen des Speicherzugriffsregelwerts mit einem vordefinierten Wert; - Weiterausführen des Programmcodes, wenn der Speicherzugriffsregelwert dem vordefinierten Wert entspricht; und - Durchführen einer vordefinierten Handlung, wenn der Speicherzugriffsregelwert dem vordefinierten Wert nicht entspricht.
Computerprogrammprodukt, das in einen Speicher einer digitalen Verarbeitungsvorrichtung ladbar ist, umfassend Softwarecodeteile zum Durchführen der Schritte des Verfahrens nach einem der Ansprüche 1 bis 14.