DE1940296B2 - SETUP IN ELECTRONIC DATA PROCESSING MACHINES TO PROTECT THE CONTROL PROGRAM - Google Patents

SETUP IN ELECTRONIC DATA PROCESSING MACHINES TO PROTECT THE CONTROL PROGRAM

Info

Publication number
DE1940296B2
DE1940296B2 DE19691940296 DE1940296A DE1940296B2 DE 1940296 B2 DE1940296 B2 DE 1940296B2 DE 19691940296 DE19691940296 DE 19691940296 DE 1940296 A DE1940296 A DE 1940296A DE 1940296 B2 DE1940296 B2 DE 1940296B2
Authority
DE
Germany
Prior art keywords
memory
control program
control
program
loading
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19691940296
Other languages
German (de)
Other versions
DE1940296A1 (en
DE1940296C3 (en
Inventor
Kurt Dr Ing 7036 Schonaich Krogh Christoph von Dipl Ing 703 1 Weil im Schonbuch Vogt Edwin Dr Ing 7030 Boblingen Knauft Gunter 7030 Boblingen Ebbinghaus
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
IBM Deutschland GmbH
Original Assignee
IBM Deutschland GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by IBM Deutschland GmbH filed Critical IBM Deutschland GmbH
Priority to DE1940296A priority Critical patent/DE1940296C3/en
Priority to JP45063989A priority patent/JPS5117019B1/ja
Priority to NL7011550A priority patent/NL7011550A/xx
Publication of DE1940296A1 publication Critical patent/DE1940296A1/en
Publication of DE1940296B2 publication Critical patent/DE1940296B2/en
Application granted granted Critical
Publication of DE1940296C3 publication Critical patent/DE1940296C3/en
Expired legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4403Processor initialisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/22Microcontrol or microprogram arrangements
    • G06F9/24Loading of the microprogram

Description

3. Einrichtung nach Anspruch 2, dadurch ge- nen.3. Device according to claim 2, characterized in that.

kennzeichnet, daß die UND-Schaltung (11: 50 Wird davon ausgegangen, daß ein Zustand vorlic- Ψ i g. 2) einen weiteren Eingang besitzt, der durch gen kann, in dem der Steuerspeicher vollständig getin nur vom Wartungspersonal erzeugtes Signal löscht ist, d. h., daß selbst solche Mikroprogrammteile Ci) über den Inverter (10) die Erzeugung des (Lader) gelöscht wurden, die für das Laden des Steutpeichersperrsignals (£) verhindert. erprogrammes selbst erforderlich sind, dann gibt esindicates that the AND circuit (11:50 is assumed that a state provisionally Ψ i g. 2) has a further input that can be generated by deleting the control memory completely getin only the signal generated by the maintenance staff, that is, that even such microprogram parts Ci) have been deleted via the inverter (10) the generation of the (loader), which prevents the loading of the memory lock signal (£). erprograms themselves are required, then there is

4. Einrichtung nach Anspruch 2 und/oder 3. 55 zur Vermeidung von Schw ierigkeiten im wesentlichen dadurch gekennzeichnet, daß der bistabile Schal- zwei Möglichkeiten, von denen die eine darin beter (9; Fig. 2) als Verriegelungsschaltung aufge- steht, den ganzen Lader als Schaltungsanordnung baut ist. auszubilden. Die andere Lösung sieht nur eine Schaltungsanordnung für das Einlesen der ersten Loch-4. Device according to claim 2 and / or 3. 55 to avoid difficulties essentially characterized in that the bistable switch has two possibilities, one of which is better (9; Fig. 2) stands up as a locking circuit, the entire charger as a circuit arrangement is building. to train. The other solution only sees a circuit arrangement for reading in the first hole

60 karte, auf der sich der erste Teil des Laders befindet, vor. Die Maschine verzweigt dann zu der eingelese-60 card on which the first part of the loader is located. The machine then branches to the read

nen Stelle und führt mit Hilfe des bis hierher eingelesenen Mikroprogramms das weitere Einlesen des Laders aus.NEN place and carries out the further reading of the loader with the help of the microprogram read in up to this point the end.

65 Eine Realisierung des Laders für das Steuerpro-65 A realization of the loader for the control pro-

Die Erfindung betrifft eine Einrichtung in elektro- gramm als Schaltungsanordnung scheidet besonders nischen Datenverarbeitungsmaschinen zum Schutz bei kleinen Datenverarbeitungsmaschinen aus folgendes Ladeprogramms und des durch das Ladepro- den Gründen aus:The invention relates to a device in electrogram as a circuit arrangement is particularly different niche data processing machines for the protection of small data processing machines from the following Loading program and the reasons for the loading process:

1. Die Kosten der notwendigen Schaltungsanord- Ladeprogramm mit einer Einrichtung &emaßder .r" nung verteuern die Anlage verhältnismäßig findung gegen unerlaubten Zugriff geschützt wir1. The cost of the necessary circuit arrangement loading program with a device & emaß d er . In order to make the system more expensive, we protect it against unauthorized access

2. Bei Änderungen bzw. Li-weiterungen des Steuer- Fig. 2 das Blockschaltbild der Schutzeinrichtung programms ist auch eine Änderung der Schal- 5 gemäß einem Ausführungsbeispiel. Ithid tungsanordnung notwendig, die besonders bei Fig. 1 zeigt im wesentlichen ein B1°cKSChaitDii der Verwendung integrierter Technik sehr um- des Hauptspeichers und seiner unmittelbaren Lese- «,tändlich, zeitraubend und teuer ist und Schreibschaltungen, die in der Zentraleinneii2. In the event of changes or extensions to the control program, FIG. 2 the block diagram of the protective device program is also a change to the circuit 5 according to an exemplary embodiment. Ithid processing arrangement necessary, which particularly in Fig. 1 shows essentially a B1 ° cKSChaitDii the use of integrated technology very around the main memory and its immediate read ", laborious, time-consuming and expensive and write circuits that are in the Zentraleinneii

einer kleinen elektronischen Datenverarbeitungsan-a small electronic data processing device

Aus diesen Gründen empfiehlt sich eine Realisie- io lage eingebaut sind. Der Hauptspeicher 2 besteht in mn" des Laders für das Steuerprogramm in Form bekannter Weise aus einem nur dem Wartungspersoeines Mikroprogramms, in das ein Prüf algorithmus nal zugänglichen Steuerteil 1, in dem sich nacü aem aufgenommen werden kann, mit dessen Hilfe das Laden das Steuerprogramm der Maschine oeimaeu Steuerprogramm bei jedem Laden geprüft wird, ob es Da es, wie bereits erwähnt, für den ordnungsgemadas für die Maschine zugelassene ist und ob es feh- 15 ßen Betrieb der Datenverarbeitungsmaschine wicnug lerfrei eingelesen wird. ist, daß nur das für den Betrieb dieser Datenverar-Es ist bereits daran gedacht worden, diesen Prüfal- beitun esmaschine zugelassene Steuerprogramm in me goiithmus, der letzlich die Überprüfung des eingele- Maschine geladen werden kann, müssen bestimmte senen Steuerprogramms vornimmt, als Schaltungsan- Vorkehrungen zum Schutz dieses Steuerprogramms Ordnung auszuführen. Dieses ist aber nur dann sinn- 20 getroffen werden. Der übrige Teil des Hauptsptavoll wenn der Lader selbst gegen Veränderungen ge- chers, der sogenannte Kundenspeicher, ist an Sien schütn ist, da eine Änderung beispielsweise das Prü- nicht gegen Kundenzugänglichkeit geschützt, in inm fen außer Funktion setzen könnte. Ein weiterer befindet sich das problemorientierte Programm, aas Nachteil diesen Prüfalgorithmus als Schaltkreisan- der Kunde auszuführen wünscht. Da der Hauptspeiordnunc auszubilden, besieht darin, daß bei ge- 25 eher (MS) 2 im allgemeinen ein Kernspeicher ist, aeswünschten Änderungen des Steuerprogramms auch sen Information nicht ohne weiteres zerstorungsirei d.- 1 ader aeändert werden müßte, wodurch die Ko- ausgelesen werden kann, besteht ein SpeicnerzyKiu* stender Anlage ansteigen würden. aus zwei Teilzyklen, dem Lesezyklus undI dem Es ist daher die Aufgabe der Erfindung, eine Ein- Schreibzyklus. Im Lesezyklus wird die im 5Peicn" richtung anzugeben, dfe das Lade- und Steuerpro- 30 adressenregister (SAR) 3 befindliche Adresse zur orimirT einer elektronischen Datenverarbeitungsma- Adressierung der gewünschten Speicherstelle verw schinc oeeen unerwünschte Änderungen schützt und det und die an dieser Stelle befindliche lniorr.i^.on dabei die genannten Nachteile vermeidet. in das Speicherdatenregister (SDR) 5 a"sSe!"en n Für eine Einrichtung in elektronischen Datenver- Während des Schreibzyklus erfolgt ^Regeneration •irbeitungsmaschinen zum Schutz des Ladcpro- 35 dieser Information in der ur;P™n|llcnen ^e]CnQT π,amms'(Laders) und des durch das Ladepronramm stelle über den Sperrschalter (INH)A. ewuWnden Steuerprogramms ge«en fehlerhafte Wie Fi g. 1 weiter zeigt, kann über den spemuuu oder unerwünschte Änderung besteht die Erfindung ter4 nicht nur die im Speicherdatenregisters oeiinu dmn daß eine Einrichtung zur Übertragung des aus liehe Information regeneriert werden, sonaera e ,.■ m Unterprogramm zum Einlesen des zweiten 40 kann auch eine beispielsweise von der anmef":" ' T, 's des I adenfund Prüfen des Laders und Steuer- und logischen Einheit (ALU)S vorliegende iniorrnanrorramms auf Maschinenzugehörigkeit bestehender tion in einer durch das Speicheradressenregister j erster Ύή\ des Laders in den gegen Kunden/ugriff finierten Speicherstelle wahrend des LesezyKius gc cc-chützten Steuerteil des Hauptspeichers, daß ferner speichert werden. Dieser zuletztgenanje UWenpj.a ein, Einrichtung zur Übertragung des aus einem Un- 45 kann aber durch eine besondere Steuenntomatioirc temroaramm für Ladefunktionen für den Transfer gesperrt werden. Dieses ist in F1 g. 1 sedlenwist der Informationen vom Eingabe- zum Befehlsbereich dargestellt, indem dieses Steuersignal übe ™f£ des Speichers und für Fehlererkennung bestehenden verier 7 eine Torschaltung 6 ^uert, Je eine : m zweiten Teil des Laders in den ar sich ungeschützten mationsübertragung von der arithmetiscnen unu s Teil des Hauptspeichers und daß schließlich eine 50 sehen Einheit 8 zu dem Sperrschalter 4 vernmaer Einrichtung vorgesehen ist, die den an sich unge- Wie bereits in der Einleitung erwähnt wurde,_ist es ^MiIiV.inui.g, fr ^ ηη1.,η,,0,οΛρ tiinocmaschinen wicntig, aai3 For these reasons, it is advisable to have a built-in implementation. The main memory 2 consists in mn "of the loader for the control program in the form of a known manner from a microprogram only to the maintenance staff, in which a test algorithm nal accessible control part 1, in which aem can be included, with the help of which the loading of the control program Machine oeimaeu control program is checked every time it is loaded, as it is, as already mentioned, for the correct operation of the machine and whether it is read in error-free operation of the data processing machine Data processing has already been thought of, this test workun es machine approved control program in algorithm, which can ultimately be loaded to check the loaded machine, certain control programs must carry out as circuit arrangements to protect this control program but it is only sensible to be taken 20. The remaining part of the main spta full if the loader itself is protected against changes, the so-called customer memory, is protected from Sien, since a change could, for example, put the test not protected against customer access, and could inevitably render it inoperative. Another is the problem-oriented program, a disadvantage of which is that the customer wishes to execute this test algorithm as a circuit. Since the main memory is to be developed, it means that in the case of (MS) 2 there is generally a core memory, desired changes to the control program and this information would not have to be changed without further destruction, which means that the codes are read out can, there is a SpeicnerzyKiu * stender system would increase. from two partial cycles, the read cycle and the It is therefore the object of the invention to provide a one-write cycle. In the read cycle, the direction in the 5 P eicn "direction will be indicated, dfe the loading and control process 30 address register (SAR) 3 located address for the orimirT of an electronic data processing addressing of the desired memory location and protects and detects unwanted changes at this point In the storage data register (SDR) 5 a " s S e !" en n For a device in electronic data processing machines during the write cycle, regeneration takes place to protect the load pro-35 This information in the ur ; P ™ n | llcnen ^ e] CnQT π, amms' (loader) and the control program required by the loading prronram via the locking switch (INH) A. can about the spemuuu or unwanted change, the invention consists of ter4 not only the oeiinu dmn in the memory data register that a device for the transmission of the borrowed information can be regenerated, s . onaera e, ■ m subroutine of the second 40 may for reading a example of aNME f ""'T,' s of the I adenfund examining the loader and control and logic unit (ALU) S present iniorrnanrorramms on machines belonging existing tion in a by the memory address register j first Ύή \ of the loader in the memory location defined against customer / access during the read cycle gc cc-protected control part of the main memory that is also stored. This last-genanje UWenpj.a ein, device for transferring the data from an Un- 45 can, however, be blocked for the transfer by a special control automatioirc temroaramm for loading functions. This is in F1 g. 1 sedlenwist of the information from the input area to the command area by this control signal over ™ f £ the memory and for error detection existing verier 7 a gate circuit 6 ^ uert, each one: in the second part of the loader in the ar itself unprotected mation transmission from the arithmetic unu s part of the main memory and that finally a 50-see unit 8 is provided for the locking switch 4 vernmaer device, which is inherently un- As already mentioned in the introduction, _is ^ MiIiV.inui.g, fr ^ η η1 ., η ,, 0 , οΛρ Tiinocmaschinen important, aai3

Einrichtung vorgesehen ist, die den an sich unge- Wie bereits in der Einleitung er _ schützten Teil des Hauptspeichers während des La- für kleine Datenverarbeitungsmaschinen lc™& u den Ts Laders und d« Steuerprogramms gegen der Lader für das Laden des Steu^rogrammes beVeränderung schützt. Weiterbildungen der Erfindung züglich seiner Kosten nicht zu aufwenig ist< üa^_ sind in den Unteransprüchen gekennzeichnet. 55 nicht unwesentlich an den .Οε5!."^ίοΐεη Der durch den Gegenstand der Erfindung erziel- schine beteiligt ist. Der Lader, de im jesentb€fa«i bare Vorteil betrifft im wesentlichen die Kostenredu- als kleines MlkroP;ofam™.mi /^eilhafter Weise zierung der Einrichtung zum Schutz des Ladepro- struktionen ausgeführt ist, wird in vorteilnatter weis gramms und des Steuerprogramms gegen uner- in 2 Teile aufgespalten.Device is provided that the un- se As mentioned in the introduction, he _ protected portion of main memory during the laser for small data processing machines lc ™ & u Ts loader and d "control program to the charger for charging the STEU ^ rogrammes change protects. Developments of the invention züglich its cost is not aufwenig <üa ^ _ are presented in the dependent claims. 55 not insignificant to the. Οε5 ^ ° !. "^ Ίο ΐ εη The one who achieves through the subject matter of the invention is involved. The loader, the real advantage concerns essentially the cost reduction as a small Mlkro P; o f am ™ . mi / ^ eilhafter way of financing facility to protect the Ladepro- constructions is carried out, is split into beneficial natter oriented program and the control program against unwanted in two parts.

zierung gdecoration g

gramms und des Steuerprogramms gegenprogram and the control program against

wünschte Veränderung, die vor allem bei kleinen 60desired change, especially with little 60

nndung In Hand der Zeichnungen naher b«Sch™- ^'ΓεΑΑ Ka^fÄS Kdepro-nndung In hand of the drawings near b « S ch ™ - ^ 'ΓεΑΑ Ka ^ fÄS Kdepro-

schützten, d. h. dem Kunden zugänglichen Teil des Hauptspeichers 2 eingelesen wird und im wesentlichen aus Routinen besteht, welche Ladefunktionen, wie beispielsweise Transfer der Daten und Instruktionen vom Eingabe- zum Befehlsbereich, unter Einbeziehung von Speicherverschiebungen, Ausdrucken einer Ladeliste, Fehlererkennung usw. ausführen.protected, d. H. the customer accessible part of the main memory 2 is read and in essentially consists of routines, which load functions, such as transferring the Data and instructions from the input to the command area, including memory shifts, Print out a loading list, perform error detection, etc.

Der erste Teil des Laders, sowie nach Durchführung der Ladeoperation das gesamte Steuerprogramm, befindet sich als im prinzipiell geschützten Steuerteil 1 des Hauptspeichers. Der zweite Teil dagegen befindet sich im zunächst ungeschützten Teil des Hauptspeichers, dem sogenannten Kundenspeicher. Während der Durchführung der Ladeoperalion muß jedoch auch dieser Teil geschützt werden können, damit eine Änderung des zugelassenen Steuerprogrammes vom Benutzer sowohl in beabsichtigter, als auch in unbeabsichtigter Weise unmöglich ist. Dem Wartungspersonal muß diese Änderungsmöglichkeit jedoch in jedem Falle gegeben sein und sie muß sich in jedem Falle sowohl auf den Steuerteil 1 des Hauptspeichers 2 als auch auf den Kundenspeicher während der Durchführung der Ladeoperation beziehen.The first part of the loader, as well as the entire control program after the load operation has been carried out, is located in the principally protected control part 1 of the main memory. The second part against it is located in the initially unprotected part of the main memory, the so-called customer memory. However, it must also be possible to protect this part while the loading operation is being carried out, so that a change in the approved control program by the user in both the intended, as well as inadvertently impossible. The maintenance staff must be able to make this change however, it must be given in each case and it must apply to both the control part 1 of the main memory 2 as well as the customer memory while the loading operation is being carried out relate.

Der Schutz des zweiten Teils des Laders muß sich vor allem darauf beziehen, daßThe protection of the second part of the loader must primarily relate to the fact that

1. manuelle Änderungen.des Programms im Speicher durch logische Schaltungen (vgl. Fig.2) unterdrückt werden und1. Manual changes to the program in the memory using logic circuits (see Fig. 2) be suppressed and

2. eine vorzeitige Beendigung des Programmladens durch eine Systemrückstellung, die aus Sicherheitsgründen erlaubt sein muß, zwar gestattet ist, daß aber keine Ausführung des geladenen Programms stattfindet, solange die Ladeoperation nicht vollständig durchlaufen ist.2. A premature termination of the program loading due to a system reset for security reasons must be allowed, it is allowed, but no execution of the loaded program takes place as long as the load operation has not been run through completely.

Dieses wird, wie im Zusammenhang mit F i g. 2 noch ausführlich erläutert werden wird, mittels eines bistabilen Schalters bewirkt, der beim Drücken der Starttaste für das Laden des Programms eingestellt wird und nur durch eine Instruktion nach Abschluß des vollständigen Ladens zurückgestellt wird. Es sei in diesem Zusammenhang noch einmal daran erinnert, daß diese beiden Sperrfunktionen von dem Wartungspersonal aufgehoben werden können müssen. As in connection with FIG. 2 will be explained in detail by means of a bistable switch, which is set for loading the program when the start button is pressed and is only reset by an instruction after the full load is complete. Be it in this context reminded once again that these two locking functions of the Maintenance personnel must be able to be picked up.

Bei bekannten Maschinen ist daher an der Bedienungskonsole ein nur durch einen Sicherheitsschlüssel betätigbarer Schalter vorgesehen, der die Maschine von der Benutzer-Betriebsart in die Wartungsbetriebsart umschalten kann. Wenn sich die Maschine in der Wartungsbetriebsart befindet, wird der Programmladevorgang dadurch gestartet, daß ein Programmladeschalter betätigt wird. Dadurch wird die "erste Karte in den Steuerteil 1 des Hauptspeichern 2 eingelesen. Es ist hierbei möglich mit Hilfe der Adressenschalter an der Konsole den Ort im Speicher zu definieren, in den die erste Karte eingelesen wird.In known machines, therefore, a security key is only available on the control panel operable switch provided which can switch the machine from the user mode to the maintenance mode. When the machine is in the maintenance mode, the program loading is started by a Program load switch is operated. This becomes the "first card in the control section 1 of the main memory 2 read in. It is possible to use the address switch on the console to locate the location in the Define memory into which the first card is read.

Wenn sich die Maschine dagegen in der Benutzer-Betriebsart befindet, wird das Einlesen der ersten Karte an einer festen, vorher definierten Adresse erzwungen. ~On the other hand, if the machine is in user mode, the reading will be the first Card forced to a fixed, previously defined address. ~

Gleichzeitig mit dem Drucken der Starttaste wird auch das Steuersignal D erzeugt, das den in F i g. 2 dargestellten bistabilen Schalter 9 in seine »1 «-Position schaltet. Wenn dieser bistabile Schalter eingestellt ist, kann die Maschine nur Karten einlesen und ihren Inhalt verarbeiten. Die übrigen Funktionen der Ein-/ Ausgabegeräte, wie beispielsweise Drucken, Stanzen, Lesen oder Schreiben vom Plattenspeicher u. dgl. werden vorübergehend gesperrt. Bei der Wartungs-Betriebsart können jedoch auch diese Funktionen ausgeführt und verwendet werden.At the same time as the start button is pressed, the control signal D is also generated which corresponds to the one shown in FIG. 2 illustrated bistable switch 9 switches to its "1" position. When this bistable switch is set the machine can only read cards and process their contents. The other functions of the Input / output devices, such as printing, punching, reading or writing from disk storage and the like are temporarily blocked. However, these functions can also be used in the maintenance mode executed and used.

ίο Während des Ladens des Steuerprogrammes können alle Verarbeitungsfunktionen der Zentraleinheit der elektronischen Datenverarbeitungsmaschine über den gesamten Kernspeicher hinweg verwendet werden. Der Beginn der Verarbeitung während dieser Betriebsart wird jedoch nach dem Einlesen einer Karte zwangsweise in den Steuerteil des Hauptspeichers verlegt.ίο While the control program is being loaded, you can all processing functions of the central unit of the electronic data processing machine the entire core memory can be used. The start of processing during this However, the operating mode is forcibly entered into the control section of the main memory after a card has been read relocated.

Die Lade-Betriebsart kann jedoch von dem System nur dann verlassen werden, wenn der erwähnte bistabile Schalter wieder zurückgestellt ist. Dieses wird, wie bereits erwähnt, mittels einer Mikroprogrammroutine durchgeführt, die sich im Steuerteil des Hauptspeichers befindet. Wenn der bistabile Schalter also wieder zurückgestellt ist, kann die Maschine den Lade-Betrieb verlassen und zum Benutzer-Betrieb, d. h. dem Verarbeitungs-Betrieb übergehen.However, the system can only exit the charging mode if the aforementioned bistable Switch is reset. As already mentioned, this is done by means of a microprogram routine carried out, which is located in the control section of the main memory. When the bistable switch is reset again, the machine can leave the loading mode and go to the user mode, d. H. pass to the processing plant.

Im Rahmen des Ladeprogramms sind im Steuerspeicher folgende Programmteile gespeichert:As part of the loading program, the following program parts are stored in the control memory:

Der erste Teil des Laders zum Laden des Steuerprogramms, The first part of the loader for loading the control program,

der Prüfalgorithmus und die Prüfdaten, um sicherzustellen, daß ein korrekter Lader eingelesen wurde,the test algorithm and test data to ensure that a correct loader has been read became,

ein weiterer Prüfalgorithmus, um sicherzustellen, daß das richtige Steuerprogramm eingelesen wurde, undAnother checking algorithm to ensure that the correct control program has been read was, and

die Instruktion, mit deren Hilfe der bistabile Schalter von der Lade-Betriebsart in die Benutzer-Betriebsart umgeschaltet wird.the instruction, with the help of which the bistable switch from the loading mode to the user mode is switched.

Da der Steuerteil des Hauptspeichers für den Kunden nicht zugänglich ibt, können folgende Funktionen ausgeführt werden:Since the control part of the main memory is not accessible to the customer, the following functions to be carried out:

Es wird zunächst sichergestellt, daß der Lader korrekt geladen wurde und daß es unmöglich ist, ihn zu ändern;It is first made sure that the loader was loaded correctly and that it is impossible is to change him;

es wird femer sichergestellt, daß das richtige Steuerprogramm geladen wurde und daß es unmöglich ist, auch dieses zu ändern, und
es wird der bistabile Schalter umgeschaltet, wenn das korrekte Steuerprogranim geladen wurde.it is also ensured that the correct control program has been loaded and that it is impossible to change this too, and
the bistable switch is switched over when the correct control program has been loaded.

Wie bereits erwähnt wurde, enthält der Steuerteil 1 des Hauptspeichers 2 alle Information, die notwendig ist, um die Richtigkeit des Laders zu überprüfen. Da die Prüfdaten für das Steuerprogramm Teil des Laders sind, gestattet auch der Steuerteil keine Änderung des Steuerprogramms.As already mentioned, the control part 1 of the main memory 2 contains all the information that is necessary is to check the correctness of the loader. As the test data for the control program part of the loader the control section does not allow any changes to the control program.

F i g. 2 zeigt nun eine Schaltungsanordnung, mit deren Hilfe der für die Durchführung der Ladei*peration verwendete Kundenspeicher während der Ladeoperation für den Benutzer gesperrt wird. Wie bereits mehrfach erwähnt, muß diese Schaltung jedoch für das Wartungspersonal den Zugriff zu diesem Speicher ermöglichen. Mit dem Drücken der Startta-F i g. 2 now shows a circuit arrangement with the aid of which the charging operation is carried out used customer memory is locked for the user during the load operation. As already Mentioned several times, however, this circuit must be accessible to the maintenance personnel Enable storage. By pressing the start button

ste für den Start der Ladeoperation wird das Signal D erzeugt, welches den bistabilen Schalter 9 in seine »1«-Lage steuert. Das »1 «-Ausgangssignal dieses Schalters wird zu einem Eingang des UND-Tores H übertragen. Nur wenn der Betriebsartenschalter nicht auf Wartungs-Betrieb eingestellt ist, liefert er ein »O«-Signal, das zu dem Eingang des Inverters IO übertragen wird. Das Ausgangssignal dieses Inverters ist eine binäre »1«, die ebenfalls zu der UND-Schaltung 11 übertragen wird. Manipuliert der Benutzer absichtlich oder versehentlich mit bestimmten, bei den meisten Datenverarbeitungsmaschinen vorhandenen Funktionen, die das Einschreiben von Information in den Hauptspeicher ermöglichen sollen, dann wird ein Signal B erzeugt, das nun die UND-Schaltung 11 öffnet, die an ihrem Eingang dann ein »1«- Ausgangssignal erzeugt. Dieses Signal wird zu dem Inverter 7 in F i g. 1 übertragen, der dieses Signal in eine binäre »0« umwandelt Dadurch wird die beispielsweise über die arithmetische und logische Schaltung 8 durchgeführte Speicheränderungsfunktion gesperrt, da die UND-Schaltung 6, über die der Datenpfad verläuft, gesperrt istFor the start of the loading operation, the signal D is generated, which controls the bistable switch 9 in its "1" position. The "1" output signal of this switch is transmitted to an input of the AND gate H. Only if the operating mode switch is not set to maintenance mode does it deliver an »O« signal, which is transmitted to the input of the inverter IO. The output signal of this inverter is a binary “1”, which is also transmitted to the AND circuit 11. If the user intentionally or inadvertently manipulates certain functions which are present in most data processing machines and which are intended to enable information to be written into the main memory, then a signal B is generated, which now opens the AND circuit 11, which then has a » 1 «- output signal generated. This signal goes to the inverter 7 in FIG. 1, which converts this signal into a binary "0". As a result, the memory change function carried out, for example, via the arithmetic and logic circuit 8 is blocked, since the AND circuit 6, via which the data path runs, is blocked

Wenn sich der Betriebsartenschalter in der Stellung Wartungsbetrieb befindet, dann erzeugt er das Signale, das einer binären »1« entspricht. Der Ausgang der Inverters 10 in F i g. 2 wandelt dieses Signal an seinem Ausgang in eine binäre »0«, so daß die UND-Schaltung 11 gesperrt wird. Das Ausgangssignal E entspricht dann einer binären »0«. Das bedeutet, daß nun im Wartungs-Betrieb der Datenverarbeitungsmaschine vom Wartungspersonal auch während der Ladeoperation Speicheränderungen durchgeführt werden können, da die UND-Schaltung6 in Fig. 1 die übertragung von Information zu dem Sperrschalter 4 und von dort in den Speicher 2 ermöglicht.When the operating mode switch is in the maintenance mode position, it generates the signal that corresponds to a binary "1". The output of the inverter 10 in FIG. 2 converts this signal at its output into a binary "0" so that the AND circuit 11 is blocked. The output signal E then corresponds to a binary "0". This means that when the data processing machine is in maintenance mode, the maintenance personnel can also make changes to the memory during the loading operation, since the AND circuit 6 in FIG.

Kurze ZusammenfassungShort Summary

Der als Mikroprogramm ausgeführte Lader zum Laden des Steuerprogramms in den Steuerteil des Hauptspeichers einer elektronischen Datenverarbeitungsmaschine besteht aus 2 Teilen, dessen erster Teil Routinen zum Einziehen der Karten des zweiten Teils enthält, sowie Routinen zur Prüfung des Laders, um sicherzustellen, daß der richtige Lader in das System geladen wird. Der zweite Teil befindet sich vorübergehend im Kundenspeicher und enthält die wesentlichen Ladefunktionen, wie Übertragung der Daten und Instruktion vom Eingabe- in den Befehlsbereich.
Während der im Steuerteil des Hauptspeichers be-The loader, implemented as a microprogram, for loading the control program into the control part of the main memory of an electronic data processing machine consists of 2 parts, the first part of which contains routines for drawing in the cards of the second part, as well as routines for checking the loader to ensure that the correct loader is in the system is loading. The second part is temporarily located in the customer's memory and contains the essential loading functions, such as transferring data and instructions from the input to the command area.
While the data in the control section of the main memory

findliche erste Teil des Laders generell dadurch geschützt ist, daß er sich in einem durch den Benutzer nicht zugänglichen Speicherteil befindet, muß der zweite Teil, der sich im normalerweise zugänglichen Kundenteil befindet, geschützt werden. Hierzu werden logische Schaltungen verwendet, die im wesentlichen aus einem bistabilen Schalter bestehen, der bei Beginn der Laderoutine eingestellt wird und verhindert, daß andere, als die Ladedaten und -Instruktionen in die Maschine eingelesen werden. Am EndeThe sensitive first part of the loader is generally protected in that it is in one by the user inaccessible part of the memory, the second part, which is in the normally accessible part of the memory, must be Customer part is to be protected. For this purpose, logic circuits are used that essentially consist of a bistable switch that is set at the start of the charging routine and prevents that other than the loading data and instructions are read into the machine. At the end

der Ladeoperation wird mit Hilfe einer besonderen Mikroinstruktion dieser Schalter wieder zurückgestellt, so daß nun die Maschine für das Benutzerprogramm freigegeben wird.the loading operation is reset with the help of a special microinstruction of this switch, so that the machine is now released for the user program.

Hierzu 1 Blatt Zeichnungen1 sheet of drawings

Claims (2)

gramm eLizulesenden Steuerprogramms gegen feh- Patentansprüche: Ierhafte oder unerwünschte Änderung, wobei das Steuerprogramm zur Interpretation von Kundenpro-gram eLizreadenden control program against incorrect patent claims: required or undesired change, whereby the control program for the interpretation of customer pro- 1. Einrichtung in elektronischen Datenverar- grammen dient.1. Establishment in electronic data processing is used. beitungsmaschinen zum Schutz des Ladepro- 5 Steuerprogramme sind vom Hersteller des elektrogramms (Laders) und des durch das Ladepro- irischen Datenverarbeitungssystems entwickelte Programm einzulesenden Steuerprogramms gegen gramme (im allgemeinen Mikroprogramme), die das fehlerhafte oder unerwünschte Änderungen, wo- eigentliche Kundenprogramm, das in der Systembei das Steuerprogramm zur Interpretation von spräche der jeweiligen Maschine niedergeschrieben Kundenprogrammen dient, dadurch ge- ίο ist, interpretieren. Diese Steuerprogramme sind tykennzeichnet, daß eine Einrichtung zur penabhängig und können auch entsprechend der Übertragung des aus einem Unterprogramm zum Ausstattung der gleichen Maschine mit Zusatzein-Einlesen des zweiten Teils des Laders und zum richtungen und peripheren Einheiten unterschiedlich Prüfen des Laders und Steuerprogramms auf Ma- sein. Eine Änderung dieser Steuerprogramme ist aber schinenzugehörigkeit bestehenden ersten Teil des 15 aus folgenden Grimden unerwünscht
Laders in den gegen Kundenzugriff geschütztenProcessing machines to protect the loading program 5 Control programs are to be read in by the manufacturer of the electrogram (loader) and the program developed by the loading program data processing system against programs (generally microprograms) that contain the incorrect or undesired changes, including the actual customer program that is contained in The system in the case of the control program is used to interpret the languages of the respective machine written down customer programs, thereby ίο is able to interpret them. These control programs are typically characterized by a device for depending on the pen and can also be differently checking the loader and control program for measurements according to the transmission of the from a subroutine for equipping the same machine with additional reading-in of the second part of the loader and for directions and peripheral units . A change in these control programs, however, is undesirable in the first part of the first part of the following Grimden, which is part of the machine
Loaders in the protected against customer access Steuerteil (1: Fig. 1) des Hauptspeichers (2), daß 1. Bestimmte Steuerbefehlsfolgen nehmen auf die lerner eine Einrichtung zur Übertragung des aus zulässige Einschaltdauer von Maschinenelemen-Control part (1: Fig. 1) of the main memory (2) that 1. Certain control command sequences take on the learner a device for the transmission of the permissible duty cycle of machine elements ♦inem Unterprogramm für Ladefunktionen für ten Rücksicht, die Außenstehenden nicht be-♦ in a subprogram for loading functions for the sake of consideration, the outsiders do not den Transfer der Informationen vom Eingabe- 20 kannt ist.the transfer of the information from the input 20 is known. turn Befehlsbereich des Speichers und für Feh- 2. Rei unsachgemäßer Änderung des Steuerpro- turn command area of the memory and for incorrect 2. Rei improper change of the control pro- fcrerkennung bestehenden zweiten Teil des La- gramms können die Richtigkeit der ErgebnisseThe existing second part of the program can determine the correctness of the results ders in den an sich ungeschützten Teil des und die Geschwindigkeitsangaben des Herstel-ders in the inherently unprotected part of the and the speed specifications of the manufac- Hauptspeichers und daß schließlich eine Einrich- lers nkht garantiert werden,Main memory and that ultimately a fitter nkht will be guaranteed, •ung (F i g. 2) vorgesehen ist, die den an sich un- 25• ung (F i g. 2) is provided that the per se un- 25 ieschützten Teil des Speichers während des La- Dieses Problem ist von relativ untergeordneter Bc-Protected part of the memory during loading This problem is of relatively minor importance. ens des Laders und des Steuerprogramms gegen deutung. wenn sich das Steuerprogramm in Perma-Veränderungen schützt. nent- oder Semipermanentspeichern befindet, da eineens of the loader and the control program against interpretation. when the control program is in perma changes protects. nent or semi-permanent storage is because a 2. Einrichtung zum Schutz des an sich unge- Änderung hier ohnedies nur sehr schwer möglich ist. ichützten Teils des Hauptspeichers während des 30 Anders ist diese Situation bei solchen elektroni-Ladens des Laders und Steuerprogramms nach sehen Datenverarbeitungsmaschinen, bei denen sich Anspruch 1, dadurch gekennzeichnet, daß ein bi- das Steuerprogramm in einem dem Kunden nicht zuitabiler Schalter (9; Fig. 2) vorgesehen ist, der gänglichen Teil des Hauptspeichers befindet. Hier durch ein Startsignal (D) zu Beginn der I.adeope- sind fehlerhafte Veränderungen des Steuerprogramlation in seine binäre »1 «-Position gesteuert 35 mes unter anderem auch deswegen möglich, weil der *ird, daß dieses »1 «-Ausgangssignal zu einer im allgemeinen als Kernspeicher ausgebildete Haupt UND-Schaltung (11) übertragen wird, deren an- speicher nicht von sich aus bereits zerstörungsfrei deres Eingangssignal (ß) anliegt, wenn eine In- ausgelesen werden kann. Die aus einer bestimmten lormationsänderung im Speicher durchgeführt Speicherstelle ausgelesenc Information muß deshalb herden soll, wobei das Ausgangssignal (E) dieser 40 in einem RegiMer zwischengespeichert und in einem UND-Schaltung das Neueinschreiben von neuen Schreibzyklus aus diesem Register in die ui-Speicherinformationen (F i g. 1). jedoch nicht die sprüngliche Speicherstelle wieder zurückgeschrieben Speicherregenerierung sperrt und daß der bista- werden. Bei diesem Vorgang ist es möglich, daß kile Schalter am Ende der Ladeoperation durch durch ein Störsignal auf einer Speicherleitung eine •in von einer besonderen Mikroinstruktion abge- 45 falsche Information in den Speicher zurückgeschrieleitetes Signal (C) wieder zurückgestellt wird, so ben wird. Es muß deshalb bei solchen Maschinen die daß nun Informationsänderungen im ungeschütz- Möglichkeit gegeben sein, das Steuerprogramm neu len Teil des Hauptspeichers durchführbar sind. in den Steuerteil des Hauptspeichers laden zu kön-2. Facility to protect what is in itself unchangeable. Change is very difficult here anyway. This situation is different with such electronic loading of the loader and control program according to data processing machines in which claim 1, characterized in that a two-way control program in a switch (9; Fig . 2) is provided, the usual part of the main memory is located. Here by a start signal (D) at the beginning of the I.adeope, erroneous changes in the control program are controlled in its binary "1" position, among other things, because it is possible that this "1" output signal becomes a Generally designed as a core memory main AND circuit (11) is transmitted, the memory of which is not inherently already non-destructive input signal (β) when an In can be read out. The information read out from a specific lormation change in the memory must therefore be stored, the output signal (E) of this 40 being temporarily stored in a register and the new writing of new write cycles from this register in the ui memory information (F i g. 1). however, the original memory location is not written back again. Memory regeneration locks and that the bista- are. During this process, it is possible that at the end of the loading operation, a signal (C) sent back to the memory by a disturbance signal on a memory line causes incorrect information to be sent back to the memory (C). It must therefore be possible in such machines that information changes are now given in the unprotected way, the control program can be carried out as part of the main memory. to be able to load into the control part of the main memory
DE1940296A 1969-08-07 1969-08-07 Device in electronic data processing machines for protecting the control program Expired DE1940296C3 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE1940296A DE1940296C3 (en) 1969-08-07 1969-08-07 Device in electronic data processing machines for protecting the control program
JP45063989A JPS5117019B1 (en) 1969-08-07 1970-07-23
NL7011550A NL7011550A (en) 1969-08-07 1970-08-05

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE1940296A DE1940296C3 (en) 1969-08-07 1969-08-07 Device in electronic data processing machines for protecting the control program

Publications (3)

Publication Number Publication Date
DE1940296A1 DE1940296A1 (en) 1971-02-25
DE1940296B2 true DE1940296B2 (en) 1973-04-26
DE1940296C3 DE1940296C3 (en) 1973-11-29

Family

ID=5742217

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1940296A Expired DE1940296C3 (en) 1969-08-07 1969-08-07 Device in electronic data processing machines for protecting the control program

Country Status (3)

Country Link
JP (1) JPS5117019B1 (en)
DE (1) DE1940296C3 (en)
NL (1) NL7011550A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3034581A1 (en) * 1980-09-13 1982-04-22 Robert Bosch Gmbh, 7000 Stuttgart READ-OUT LOCK FOR ONE-CHIP MICROPROCESSORS

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5334077A (en) * 1976-09-10 1978-03-30 Oki Electric Ind Co Ltd Making-out method and device of nc-tape
US4654783A (en) * 1982-07-26 1987-03-31 Data General Corporation Unique process for loading a microcode control store in a data processing system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3034581A1 (en) * 1980-09-13 1982-04-22 Robert Bosch Gmbh, 7000 Stuttgart READ-OUT LOCK FOR ONE-CHIP MICROPROCESSORS

Also Published As

Publication number Publication date
NL7011550A (en) 1971-02-09
DE1940296A1 (en) 1971-02-25
DE1940296C3 (en) 1973-11-29
JPS5117019B1 (en) 1976-05-29

Similar Documents

Publication Publication Date Title
DE3048365C2 (en)
DE2615861C3 (en) Circuit arrangement for checking programs
DE2456578C2 (en) Data processing system
DE2758152A1 (en) MEMORY PROTECTION ARRANGEMENT
DE2145709C3 (en) Data processing system in which branch commands can result in the interruption of running programs
DE2648229A1 (en) SWITCH-ON CIRCUIT AS LOADER FOR DIGITAL COMPUTER
EP0011685A1 (en) Programmable memory protection arrangement for microprocessors and circuitry with such an arrangement
DE2417578C2 (en) Method for preventing command conflicts in a central unit of a data processing system and device for carrying out the method
EP1190319B1 (en) Protection of the core part of a computer against external manipulation
DE3320378A1 (en) PROGRAM PROTECTION DEVICE FOR COMPUTER PROGRAMS
DE1266026B (en) Method and arrangement for preventing a change in a memory content
DE1909090B2 (en) Protection device for the main memory of a computer system
DE1940296B2 (en) SETUP IN ELECTRONIC DATA PROCESSING MACHINES TO PROTECT THE CONTROL PROGRAM
DE2458777C2 (en) Circuit arrangement for word processing
DE2756033A1 (en) METHOD AND EQUIPMENT FOR DIAGNOSING FAULTS IN CALCULATING MACHINES
DE3404782A1 (en) METHOD AND CIRCUIT ARRANGEMENT FOR CHECKING A PROGRAM IN DATA PROCESSING SYSTEMS
DE2622140C3 (en) Device for controlling manual operations
DE1958747C3 (en) Device for microprogram-controlled error checking
DE2350871A1 (en) COMPUTING UNIT FOR PROCESSING SPECIAL COMMANDS
DE3603807C1 (en) Method and circuit arrangement for protecting typewriters or similar office machines against the consequences of electrostatic discharges
DE2631545A1 (en) TEST DEVICE
EP0214390A1 (en) Release method and device for a controlled-access user memory
EP0329966B1 (en) Method for securing secret code data stored in a data memory, and circuitry for carrying out this method
DE2240432C3 (en) Method and device for establishing fixed points and for repeating operations from the last fixed point in data processing systems with an overlapped working method
DE10110050A1 (en) Method for protecting safety-critical program parts or routines from inadvertent execution, especially for automotive use, in which a safety critical routine will only run if a bit pattern has been set by a calling program section

Legal Events

Date Code Title Description
C3 Grant after two publication steps (3rd publication)
E77 Valid patent as to the heymanns-index 1977
8339 Ceased/non-payment of the annual fee