DE1940296C3 - Device in electronic data processing machines for protecting the control program - Google Patents

Device in electronic data processing machines for protecting the control program

Info

Publication number
DE1940296C3
DE1940296C3 DE1940296A DE1940296A DE1940296C3 DE 1940296 C3 DE1940296 C3 DE 1940296C3 DE 1940296 A DE1940296 A DE 1940296A DE 1940296 A DE1940296 A DE 1940296A DE 1940296 C3 DE1940296 C3 DE 1940296C3
Authority
DE
Germany
Prior art keywords
loader
memory
control program
loading
signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired
Application number
DE1940296A
Other languages
German (de)
Other versions
DE1940296A1 (en
DE1940296B2 (en
Inventor
Kurt Dr.-Ing. 7036 Schoenaich Ebbinghaus
Guenter 7030 Boeblingen Knauft
Christoph Von Dipl.Ing. 7031 Weil Im Schoenbuch Krogh
Edwin Dr.-Ing. 7030 Boeblingen Vogt
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
IBM Deutschland GmbH
Original Assignee
IBM Deutschland GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by IBM Deutschland GmbH filed Critical IBM Deutschland GmbH
Priority to DE1940296A priority Critical patent/DE1940296C3/en
Priority to JP45063989A priority patent/JPS5117019B1/ja
Priority to NL7011550A priority patent/NL7011550A/xx
Publication of DE1940296A1 publication Critical patent/DE1940296A1/en
Publication of DE1940296B2 publication Critical patent/DE1940296B2/en
Application granted granted Critical
Publication of DE1940296C3 publication Critical patent/DE1940296C3/en
Expired legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4403Processor initialisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/22Microcontrol or microprogram arrangements
    • G06F9/24Loading of the microprogram

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Storage Device Security (AREA)

Description

6060

Die Erfindung betrifft eine Einrichtung in elektronischen Datenverarbeitungsmaschinen zum Schutz des Ladeprogramms und des durch das Ladeprogramm einzulesenden Steuerprogramms gegen feh-Terhafte oder unerwünschte Änderung, wobei das Steuerprogramm zur Interpretation von Kundenprogrammen dient.The invention relates to a device in electronic data processing machines for protection of the loading program and the control program to be read in by the loading program against erroneous or unwanted change, the control program to the interpretation of customer programs serves.

Steuerprogramme sind vom Hersteller des elektronischen Datenverarbeitungssystems entwickelte Programme (im allgemeinen Mikroprogramme), die das eigentliche Kundenprogramm, das in der Systemsprache der jeweiligen Maschine niedergeschrieben is!, interpretieren. Diese Steuerprogramme sind typenabhängig und können auch entsprechend der Ausstattung der gleichen Maschine mit Zusatzeinrichtungen und peripheren Einheiten unterschiedlich sein. Eine Änderung dieser St.euerprogramme ist aber aus folgenden Gründen unerwünscht:Control programs are programs developed by the manufacturer of the electronic data processing system (generally microprograms) which are the actual customer program that is in the system language is written down on the respective machine! These control programs are type-dependent and can also be equipped with additional equipment according to the equipment of the same machine and peripheral units may be different. However, there is a change to these tax programs undesirable for the following reasons:

1. Bestimmte Steuerbefehlsfolgen nehmen auf die zulässige Einschaltdauer von Maschinenelementen Rücksicht, die Außenstehenden nicht bekannt ist.1. Certain control command sequences affect the permissible duty cycle of machine elements Consideration that is unknown to outsiders.

2. Bei unsachgemäßer Änderung des Steuerprogramms können die Richtigkeit der Ergebnisse und die Geschwindigkeitsangaben des Herstellers nicht garantiert werden.2. In the event of improper changes to the control program, the correctness of the results can be compromised and the manufacturer's speed specifications cannot be guaranteed.

Dieses Problem ist von relativ untergeordneter Bedeutung, wenn sich das Steuerprogramm in Permanent- oder Semipermanentspeichcrn befindet, da eine Änderung hier ohnedies nur sehr schwer möglich ist.This problem is of relatively minor importance, if the control program is in permanent or semi-permanent storage, there is a Change here is very difficult anyway.

Anders ist diese Situation bei solchen elektronischen Datenverarbeitungsmaschinen, bei denen sich das Steucrprograrnm in einem dem Kunden nicht zugänglichen Teil des Hauptspeichers befindet. Hier sind fehlerhafte Veränderungen des Steuerprogrammes unter anderem auch deswegen möglich, weil der im allgemeinen als Kernspeicher ausgebildete Hauptspeicher nicht von sich aus bereits zerstörungsfrei ausgelesen werden kann. Die aus einer bestimmten Speicherstelle ausgelesene Information muß deshalb in einem Register zwischengespeichert und in einem neuen Schreibzyklus aus diesem Register in die ursprüngliche Speicherstelle wieder zurückgeschrieben werden. Bei diesem Vorgang ist es möglich, daß durch ein Störsignal auf einer Speicherleitung eine falsche Information in den Speicher zurückgeschrieben wird. Es muß deshalb bei solchen Maschinen die Möglichkeit gegeben sein, das Steuerprogramm neu in den Steuerteil des Hauptspeichers laden zu können. This situation is different with such electronic data processing machines in which the control program is located in a part of the main memory that is not accessible to the customer. here Incorrect changes to the control program are also possible because of the Main memories generally designed as core memories are not inherently non-destructive can be read out. The information read out from a specific memory location must therefore buffered in a register and in a new write cycle from this register to the original one Memory location can be written back. In this process it is possible that incorrect information is written back to the memory due to an interference signal on a memory line will. It must therefore be possible with such machines to rewrite the control program to be able to load into the control part of the main memory.

Wird davon ausgegangen, daß ein Zustand vorliegen kann, in dem der Steuerspeicher vollständig gelöscht ist, d. h., daß selbst solche Mikroprogrammteile (Lader) gelöscht wurden, die für das Laden des Steuerprogrammes selbst erforderlich sind, dann gibt es zur Vermeidung von Schwierigkeiten im wesentlichen zwei Möglichkeiten, von denen die eine darin besteht, den ganzen Lader als Schaltungsanordnung auszubilden. Die andere Lösung sieht nur eine Schaltungsanordnung für das Einlesen der ersten Lochkarte, auf der sich der erste Teil des Laders befindet, vor. Die Maschine verzweigt dann zu der eingelesenen Stelle und führt mit Hilfe des bis hierher eingelesenen Mikroprogramms das weitere Einlesen des Laders aus.It is assumed that there may be a state in which the control store is completely erased is, d. This means that even those microprogram parts (loaders) that were necessary for loading the control program were deleted themselves are required, then there are essentially to avoid difficulties two possibilities, one of which is the whole charger as a circuit arrangement to train. The other solution only sees a circuit arrangement for reading in the first punch card, on which the first part of the loader is located. The machine then branches to the one that has been read And uses the microprogram that has been read in to carry out the further reading of the loader out.

Eine Realisierung des Laders für das Steuerprogramm als Schaltungsanordnung scheidet besonders bei kleinen Datenverarbeitungsmaschinen aus folgenden Gründen aus:A realization of the loader for the control program as a circuit arrangement is particularly different in the case of small data processing machines for the following reasons:

1. Die Kosten der notwendigen Schaltungsanord- Ladepragramni mit einer Einrichtung1. The cost of the necessary circuit arrangement charging pragramni with a facility

nung verteuern die Anlage verhältnismäßig findung gegen unerlaubten AUgrmtion make the system more expensive than unauthorized AUgrm

> Änderungen bzw. Erweiterungen des Steuer- "f i g. 2 das Blockschaltbild der Schutzeinrichtung> Changes or extensions to the control "f i g. 2 the block diagram of the protective device

Programms ist auch eine Änderung der Sehai- 5 gemäß einem Ausfuhriingsbeispiei. schaltbildThe program is also a change in the standard 5 according to an exemplary embodiment. clam ltbild

tungsanordnung notwendig, die besonders bei Fig. 1 zeigt im wesentlichen ein »·? Lese.necessary, which especially in Fig. 1 shows essentially a »·? Read .

der Verwendung integrierter Technik sehr um- des Hauptspeichers und semer u"mi" t ldnheit the use of integrated technology very environmentally main memory and semer u "mi" t ldnheit

ständHch, zeitraubend^ teuer is, ^!ei^Ä^constant, time-consuming ^ expensive is, ^! ei ^ Ä ^

Aus diesen Gründen empfiehlt sich eine Realisie- io lage eingebaut sind. Der HauPtsPelC^rtlin e B S s!;ers0_For these reasons, it is advisable to have a built-in implementation. Der Hau P ts P elC ^ rtlin e B S s!; ers0 _

rung des Laders für das Steuerprosramm in Form bekannter Weise aus einem nur dem «JSK ^tion of the loader for the Steuerprosramm in the form of a known manner from only the «JSK ^

eines Mikroprogramms, in das ein Prüfalgorithmus nal zugänglichen Steuerteil 1, in dem mca microprogram, in which a test algorithm nal accessible control part 1, in which mc

aufgenommen werden kann, mit dessen Hilfe das Laden das Steuerprogramm der Ma~""' mU:can be included, with the help of which the loading of the control program of the measure ~ ""' mU :

Steucrprogramm bei jedem Laden geprüft wird, ob es Da es, wie bereits erwähnt fur derι oro MControl program is checked each time it is loaded, as it is, as already mentioned for derι oro M

das für die Maschine zugelassene ist und ob es feh- *s Ben Betrieb der Datenverarbeitungsmaschme wemifewhat is approved for the machine and whether it is defective

lerfrei eingelesen wird. ist, daß nur das für den Betneb dieser^^erar^is read in empty. is that only for the benefit of this ^^ erar ^

Es ist bereits daran gedacht worden, diesen Prüfal- beitungsmaschine zugelassene MeuerprogranIt has already been thought of using Meuerprogran approved for this testing machine

oorilhmus, der letzlich die Überprüfung des eingele- Maschine geladen werden kann, müssen' ms oorilhmus, who can ultimately check the loaded machine, must ' ms

senen SteueφrogΓamms vornin-..nt, als Schaltungsan- Vorkehrungen zum Schutz dieses ^sxeuc 1H &·senen SteueφrogΓamms in front - .. nt, as circuit precautions to protect this ^ sxeuc 1 H & ·

Ordnung auszuführen. Dieses ist aber nur dann sinn- 20 getroffen werden. Der übrige leiiα w \ To carry out order. But this is only meaningful then. The rest of the leiiα w \

voll, wenn der Lader selbst gegen Veränderungen ge- chers, der sogenannte Kundenspeicnw, "full if the loader itself is protected against changes, the so-called customer specification "

schützt in, da eine Änderung beispielsweise das Prii- nicht gegen Kundenzugänglichkeit geschützt mprotects in, since a change, for example, the prii- not protected against customer accessibility m

fen außer Funktion setzen könnte. Ein weiterer befindet sich das problemoneiitierte P™B™"™' °£ fen could disable function. Another is the problematic P ™ B ™ "™" ° £

Nachteil, diesen Prüfalgorithmus als Schaltkreisan- der Kunde auszuführen wünscht. Da,de ."JVPUJDisadvantage of the customer wanting to run this test algorithm as a circuit. Da, de. "JVP U J

Ordnung auszubilden, besteht darin, daß bei ge- « eher (M^ 2 im allgemeinen ein lrns^chCT^To develop order consists in the fact that in general a lrns ^ chCT ^

Äd d S h Iftion nicht ohne «Äd d S h Iftion not without «

Ordnung auszubilden, besteht darin, daß bei ge « eher (M^ 2 i g ^To develop order consists in the fact that with ge «rather (M ^ 2 i g ^

wünschten Änderungen des Steuerprogramms auch sen Information nicht ohne «eueresdid not want changes to the control program without your information

der Lader geändert werden müßte, wodurch die Ko- ausgelesen werden kann besteht ein ^the loader would have to be changed, whereby the Ko- can be read out there is a ^

sten der Anlage ansteigen würden. aus zwei Teilzyklen, dem Lesezyiuusmost of the system would increase. from two partial cycles, the reading cycle

Es ist daher die Aufgabe der Erfindung, eine Ein- Schreibzyklus. 1™ ^W™ ^^ Tdressf zurIt is therefore the object of the invention to provide a one-write cycle. 1 ™ ^ W ™ ^^ Tdressf zur

richtung anzugeben, die das Lade- uud Steuerpro- 30 adressenreg.ster (SAR) 3 befindl«Je Aar*indicate the direction that the loading and control pro- 30 adressenreg.ster (SAR) 3 is located «per aar *

gramm einer elektronischen Datcnverarbeitungsma- Adressierung der gewünschten SpeichersteUeveran electronic data processing system addressing the desired memory control

tchine gegen unerwünschte Änderungen schützt und det und die an d.eser Stelle befindliche I"™™0"tchine protects against undesired changes and det and the I "™ ™ 0 " in this position

dabei die cenannten Nachteile vermeidet. in das Speicherdatenregister (SDR)S ausgelesen.thereby avoiding the named disadvantages. read out into the memory data register (SDR) S.

Für euTe Einrichtung in elektronischen Datenver- Während des Schreibzyklus erfogt d« ^»^ arbeitungsmaschinen zum Schutz des Ladepro- 35 dieser Information in der ur;Pr"n|llchen (Ld) il üb d Sperrschalter (mn,* For oday facility in electronic data encryption during the write cycle erfogt d '^' ^ processing machines to protect the Ladepro- 35 this information in ur P r "n | llchen (Ld) il üb d lock switch (mn *

arbeitungsmaschinen zum Schutz des Ladepro- 35 dieser Information in der ur;Pr"| gramms (Laders) und des durch das Ladeprogramm steile über den Sperrschalter (mn,*. einzulesenden Steuerprogramms gegen fehlerhafte Wie F i g. 1 weiter zeigt, kannuprocessing machines to protect the Ladepro- 35 of this information in the ur;. P r '| Program (supercharger) and by the loading program steep over the locking switch (mn * read in the control program against faulty As F i g 1 further shows, Kannu.

oder unerwünschte Änderung besteht die Erfindung ter4 nicht nur die im Speicherdatenrg darin, daß eine Einrichtung zur Übertragung des aus liehe Information regeneriert werden einem Unterprogramm zum Einlesen des zweiten 40 kann auch eine beispielsweise von der ^' Teils des Laders und Prüfen des Laders und Steuer- und logischen Einheit (ALU)» vorliegende Informa Programms auf Maschinenzugehör»keit bestehender tion in einer durch das Speichcradressenre&sier J erster Teil des Laders in den gegen Kundenzugriff finierten Speicherstelle wahrend des LesezyKius gc geschützten Steuerteil des Hauptspeichers, daß ferner speichert werden. D.eser zuletztgenannte »ate^d eine Einrichtung zur Übertragung des aus einem Un- 45 kann aber durch emc besondere Steuennformation t terprogramm für Ladefunktionen für den Transfer gesperrt werden. Dieses, ist in F^ig 1J=11^8™ der Informationen vom Eingabe- zum Befehlsbereich dargestellt, indem dieses Steuersignal übe einen in des Speichers und für Fehlererkennung bestehenden verter? eine Torschaltung 6 steuert die eine 1ntor zweiten Teil des Laders in den an sich ungeschützten matiensübertragung von der ar'tn,met'sche". u"afe Teil des Hauptspeichers und daß schließlich eine so sehen Einheit 8 zu dem Sperrschalter 4 wrhndert Einrichtung vorgesehen ist, die den an sich unge- Wie bereits in der Einleitung erwähnt «,st esor undesired change, the invention consists not only of the memory data that a device for transmitting the information can be regenerated, a subroutine for reading in the second 40, for example, of the ^ 'part of the loader and checking of the loader and control and logical unit (ALU) " present information program on machine affiliation" in a first part of the loader through the memory address register J in the memory location defined against customer access during the read cycle gc protected control part of the main memory that is also stored. This last-mentioned »ate ^ d a device for transferring the data from an Un- 45 can, however, be blocked for the transfer by emc special control information t subprogram for loading functions. This is shown in F ^ ig 1J = 11 ^ 8 ™ of the information from the input to the command area, by this control signal via a verter existing in the memory and for error detection. a gate circuit 6 controls a 1ntor second portion of the loader in the unprotected se matiensübertragung of the ar-specific 'tn, met.' "u" afe part of the main memory and that finally such a see unit wrhndert 8 to the lock switch 4 A facility is provided which, as already mentioned in the introduction, «st it

schützten Teil des Hauptspeichers während des La- für kleine Datenverarbeitungsmaschinen w,chh ,daß dens des Laders und des Steuerprogramms gegen der Lader für das Laden des SteuerPro8rarnrncs be Veränderung schützt. Weiterbildungen der Erfindung züglich seiner Kosten nicht zu aufwe™'g ist' da^r sind in den Unteransprüchen gekennzeichnet. 55 nicht unwesentlich an d_en .Ges»™tst^_?"Uc I}Jenprotected part w of the main memory during the laser for small data processing machines, chh that dens of the charger and the control program to the charger for charging the tax P ro protects 8rarnrncs be change. Developments of the invention züglich its cost not au fwe'g' da ^ r are presented in the dependent claims. 55 not insignificant _ to d s. Ges »™ t ^ ° st ^ _?" Uc I } Jen

Der durch den Gegenstand der Erfindung erziel- ,chine beteiligt ist. Der ^-α«™™£. bare Vorteil betrifft im wesentlichen die Kostenredu- als kleines Mikroprogramm m, ^ J°° ™%™c zierung der Einrichtung zum Schutz des Ladepro- struktionen ausgeführt ist, wird in vorteilhafter Weise gramms und des Steuerprogramms gegen uner- in 2 Teile aufgespalten:The achieved by the subject matter of the invention, chine is involved. The ^ - α «™haben £. The advantage of this is essentially the cost reduction as a small microprogram, ^ J °° ™ % ™ c decoration of the device for protecting the loading procedures is carried out, the program and the control program are advantageously split into two parts:

wünschte Veränderung, die vor allem bei kleinen 60 Kundenwanted change, especially with small 60 customers

Maschinen besonders vorteilhaft ist. In. einen ersten Teil, der m .den «lern KundenMachinery is particularly beneficial. In. a first part of the m .the "learning K u ends

Im folgenden wird ein Ausführungsbeispiel der Er- pnnzipiell niemals zuganglichen Steuertet 1 einIn the following, an exemplary embodiment of the control value 1, which is theoretically never accessible, is given

findungln Hand der Zeichnungen näher beschrie- ^^^,^^S Spf-findungln hand of the drawings described in more detail- ^^^, ^^ S Spf-

Fi?! d8as Blockschaltbild eines Teiles der Zentral- 65 grammteils sowie aus solchen Routinen besteht,Fi ?! d 8 he block diagram of part of the central 6 5 gram part and consists of such routines,

einheit einer kleineren elektronischen Datenverar- die die Prüfung Jes Steuerprogramms auf Ma-unit of a smaller electronic data processor that checks Jes control program on Ma-

beitungsmaschine mit dem Stcuerspeicher, in den das sch.nenzugehongke, vornehmen, undprocessing machine with the control memory, in which the sch.nenzuehongke, make, and

Steuerprogramm eingelesen wird, wobei es und das in einen zweiten Teil, der in den zunächst ungeControl program is read in, with it and that in a second part, which is initially in the unge

schützten, d. h. dem Kunden zugänglichen Teil des Hauptspeichers 2 eingelesen wird und im wesentlichen aus Routinen besteht, welche Ladefunktionen, wie beispielsweise Transfer der Daten und Instruktionen vom Eingabe- zum Befehlsbereich, unter Einbeziehung von Speicherverschiebungen, Ausdrucken einer Ladeliste, Fehlererkennung usw. ausführen.protected, d. H. the customer accessible part of the main memory 2 is read and in essentially consists of routines, which load functions, such as transferring the Data and instructions from the input to the command area, including memory shifts, Print out a loading list, perform error detection, etc.

Der erste Teil des Laders, sowie nach Durchführung der Ladeoperation das gesamte Steuerprogramm, befindet sich als im prinzipiell geschützten Steuerteil 1 des Hauptspeichers. Der zweite Teil dagegen befindet sich im zunächst ungeschützten Teil des Hauptspeichers, dem sogenannten Kundenspeicher. Während der Durchführung der Ladeoperation muß jedoch auch dieser Teil geschützt werden können, damit eine Änderung des zugelassenen Steuerprogrammes vom Benutzer sowohl in beabsichtigter, als auch in unbeabsichtigter Weise unmöglich ist. Dem Wartungspersonal muß diese Änderungsmöglichkeit jedoch in jedem Falle gegeben sein und sie muß sich in jedem Falle sowohl auf den Steuerteil 1 des Hauptspeichers 2 als auch auf den Kundenspeicher während der Durchführung der Ladeoperation beziehen.The first part of the loader, as well as the entire control program after the load operation has been carried out, is located in the principally protected control part 1 of the main memory. The second part against it is located in the initially unprotected part of the main memory, the so-called customer memory. However, it must also be possible to protect this part while the loading operation is being carried out, so that a change in the approved control program by the user in both the intended, as well as inadvertently impossible. The maintenance staff must be able to make this change however, it must be given in each case and it must apply to both the control part 1 of the main memory 2 as well as the customer memory while the loading operation is being carried out relate.

Der Schutz des zweiten Teils des Laders muß sich vor allem darauf beziehen, daßThe protection of the second part of the loader must primarily relate to the fact that

1. manuelle Änderungen des Programms im Speicher durch logische Schaltungen (vgl. F i g. 2) unterdrückt werden und1.Manual changes to the program in the memory using logic circuits (see Fig. 2) be suppressed and

2. eine vorzeitige Beendigung des Programmladens durch eine Systemrückstellung, die aus Sicherheitsgründen erlaubt sein muß, zwar gestattet ist, daß aber keine Ausführung des geladenen Programms stattfindet, solange die Ladeoperation nicht vollständig durchlaufen ist.2. A premature termination of the program loading due to a system reset for security reasons must be allowed, it is allowed, but no execution of the loaded program takes place as long as the load operation has not been run through completely.

Dieses wird, wie im Zusammenhang mit F i g. 2 noch ausführlich erläutert werden wird, mittels eines bislabilen Schalters bewirkt, der beim Drücken der Starttaste für das Laden des Programms eingestellt wird und nur durch eine Instruktion nach Abschluß des vollsländigen Ladens zurückgestellt wird. Es sei in diesem Zusammenhang noch einmal daran erinnert, daß diese beiden Sperrfunktionen von dem Wartungspersonal aufgehoben werden können müssen. As in connection with FIG. 2 will be explained in detail by means of a unstable switch, which is set for loading the program when the start button is pressed and is only reset by an instruction after completion of the full loading. Be it in this context reminded once again that these two locking functions of the Maintenance personnel must be able to be picked up.

Bei bekannten Maschinen ist daher an der Bedienungskon?ole ein nur durch einen Sicherheitsschlüssel betätigbarer Schalter vorgesehen, der die Maschine von der Benutzer-Betriebsart in die Wartungsbetriebsart umschalten kann. Wenn sich die Maschine in der Wartungsbetriebsart befindet, wird der Programmladevorgang dadurch gestartet, daß ein Programmladeschalter betätigt wird. Dadurch wird die erste Karte in den Steuerteil 1 des Hauptspeichers 2 eingelcscn. Es ist hierbei möglich mit Hilfe der Adrcssenschalter an der Konsole den Ort im Speicher zu definieren, in den die erste Karte eingelesen wird.In known machines is therefore on the control panel one only through a security key operable switch provided which can switch the machine from the user mode to the maintenance mode. When the machine is in the maintenance mode, the program loading is started by a Program load switch is operated. This puts the first card in the control section 1 of the main memory 2 locked in. It is possible to use the address switch on the console to locate the location in the Define memory into which the first card is read.

Wenn sich die Maschine dagegen in der Benutzer-Betriebsart befindet, wird das Einlesen der ersten Karle an einer festen, vorher definierten Adresse erzwungen. If, on the other hand, the machine is in user mode is located, the first card is forced to be read in at a fixed, previously defined address.

Gleichzeitig mit dem Drücken der Startlaste wird auch das Steuersignal D crzeuct, das den in F i g. 2 dargestellten bistabilen Schalter 9 in seine »1 «-Position schaltet. Wenn dieser bistabile Schalter eingestellt ist, kann die Maschine nur Karten einlesen und ihren Inhalt verarbeiten. Die übrigen Funktionen dei Ein-/ Ausgabegeräte, wie beispielsweise Drucken. Stanzen, Lesen oder Schreiben vom Plattenspeicher u. dgl. weiden vorübergehend gesperrt. Bei der Wartungs-Betriebsart können jedoch auch diese Funktionen ausgeführt und verwendet werden.Simultaneously with the pressing of the starting load, the control signal D crzeuct, which corresponds to the one shown in FIG. 2 illustrated bistable switch 9 switches to its "1" position. When this bistable switch is set, the machine can only read cards and process their contents. The other functions of the input / output devices, such as printing. Punching, reading or writing from disk storage and the like are temporarily blocked. However, these functions can also be carried out and used in the maintenance mode.

ίο Während des Ladens des Steuerprogrammes können alle Verarbeilungsfunktionen der Zentraleinheit der elektronischen Datenverarbeitungsmaschinc über den gesamten Kernspeicher hinweg verwendet werden. Der Beginn der Verarbeitung während dieser Betriebsart wird jedoch nach dem Einlesen einer Karte zwangsweise in den Steuerten des Hauptspeichers verlegt.ίο While the control program is being loaded, you can all processing functions of the central unit of the electronic data processing machine the entire core memory can be used. The start of processing during this However, the operating mode is forcibly entered in the main memory controls after a card has been read relocated.

Die Lade-Betriebsart kann jedoch von dem System nur dann verlassen werden, wenn der erwähnte bislabile Schalter wieder zurückgestellt ist. Dieses wird, wie bereits erwähnt, mittels einer Mikroprogrammroutine durchgeführt, die sich im Steuerteil des Hauptspeichers befindet. Wenn der bistabile Schalter also wieder zurückgestellt ist, kann die Maschine den Lade-Betrieb verlassen und zum Benutzer-Betrieb, d. h. dem Verarbeitungs-Betrieb übergehen.However, the system can only exit the charging operating mode if the aforementioned unstable Switch is reset. As already mentioned, this is done by means of a microprogram routine carried out, which is located in the control section of the main memory. When the bistable switch so is reset again, the machine can the Exit charging mode and return to user mode, d. H. pass to the processing plant.

Im Rahmen des Ladeprogramms sind im Steuerspeicher folgende Programmteile gespeichert:As part of the loading program, the following program parts are stored in the control memory:

Der erste Teil des Laders zum Laden des Stcuerprogramms, The first part of the loader for loading the control program,

der Prüfalgorithmus und die Prüfdaten, um sicherzustellen, daß ein korrekter Lader eingclcsen wurde,the test algorithm and test data to ensure that a correct loader is included would,

ein weiterer Prüfalgorithmus, um sicherzustellen, daß das richtige Steuerprogramm cingelescn wurde, undanother checking algorithm to ensure that the correct control program is cingelescn was, and

die Instruktion, mit deren Hilfe der bistabile Schaller von der Lade-Betriebsart in die Benutzer-Betriebsart umgeschaltet wird.the instruction, with the help of which the bistable Schaller switches from the loading mode to the user mode is switched.

Da der Steuerteil des Hauptspeichers für den Kunden nicht zugänglich ist, können folgende Funktionen ausgeführt werden:Since the control part of the main memory is not accessible to the customer, the following functions to be carried out:

Es wird zunächst sichergestellt, daß der Lader korrekt geladen wurde und daß es unmöglich ist, ihn zu ändern;It is first made sure that the loader was loaded correctly and that it is impossible is to change him;

es wird ferner sichergestellt, daß das richtige Steuerprogramm geladen wurde und daß es unmöglich ist, auch dieses zu ändern, und
es wird der bistabile Schalter umgeschaltet, wenn das korrekte Steuerprogramm geladen wurde.
55 it is also ensured that the correct control program has been loaded and that it is impossible to change this too, and
the bistable switch is switched over when the correct control program has been loaded.
55

Wie bereits erwähnt wurde, enthält der Steuerteil 1 des Hauptspeichers 2 alle Information, die notwendig ist, um die Richtigkeit des Laders zu überprüfen. Da die Prüfdaten für das Steuerprogramm Teil des Laders sind, gestattet auch der Steuerteil keine Änderung des Steuerprogramms.As already mentioned, the control part 1 of the main memory 2 contains all the information that is necessary is to check the correctness of the loader. As the test data for the control program part of the loader the control section does not allow any changes to the control program.

F i g. 2 zeigt nun eine Schaltungsanordnung, mit deren Hilfe der für die Durchführung der Ladeoperation verwendete Kundenspeicher während der Ladeoperation für den Benutzer gesperrt wird. Wie bereits mehrfach erwähnt, muß diese Schallung jedoch für das Wartungspersonal den Zugriff zu diesem Speicher ermöglichen. Mit dem Drücken der Startta-F i g. 2 now shows a circuit arrangement with the aid of which the for carrying out the loading operation used customer memory is locked for the user during the load operation. As already Mentioned several times, however, this sounding must have access to it for the maintenance personnel Enable storage. By pressing the start button

sie für den Start der Ladeoperation wird das Si- werden können, da die UND-Schaltung6 in Fig. 1 gnal/) erzeugt, welches den bistabilen Schalter 9 in die Übertragung von Information zu dem Sperrschalseine »!«-Lage steuert. Das »!«-Ausgangssignal die- ter4 und von dort in den Speicher2 ermöglicht,
ses Schalters wird zu einem Eingang des UND-Toresit will be able to become the Si for the start of the loading operation, since the AND circuit 6 in FIG. 1 generates a signal which controls the bistable switch 9 in the transmission of information to the locking switch in a "!" position. The »!« Output signal this4 and from there into memory2 enables
This switch becomes an input of the AND gate

11 übertragen. Nur wenn der Betriebsartenschalter 5 Kurze Zusammenfassung
nicht auf Wartungs-Betrieb eingestellt ist, liefert er11 transferred. Only if the operating mode switch is 5 Brief summary
is not set to maintenance mode, it delivers

ein »(!«-Signal, das zu dem Eingang des Inverters 10 Der als Mikroprogramm ausgeführte Lader zum übertragen wird. Das Ausgangssignal dieses Inverters Laden des Steuerprogramms in den Steuerteil des ist eine binäre »1«, die ebenfalls zu der UND-Schal- Hauptspeichers einer elektronischen Datenverarbeitung 11 übertragen wird. Manipuliert der Benutzer io Uingsmaschine besteht aus 2Teilen, dessen erster absichtlich oder versehentlich mit bestimmten, bei Teil Routinen zum Einziehen der Karten des zweiten den meisten Datenverarbeitungsmaschinen vorhandc- Teils enthält, sowie Routinen zur Prüfung des Lanen Funktionen, die das Einschreiben von Informa- ders, um sicherzustellen, daß der richtige Lader in tion in den Hauptspeicher ermöglichen sollen, dann das System geladen wird. Der zweite Teil befindet wird ein Signal β erzeugt, das nun die UND-Schal- 15 sich vorübergehend im Kundenspeicher und enthält lung U öffnet, die an ihrem Eingang dann ein »1«- die wesentlichen Ladefunklionen, wie Übertragung Ausgangssignal erzeugt. Dieses Signal wird zu dem der Daten und Instruktion vom Eingabe- in den Be-Invertert in Fig. 1 übertragen, der dieses Signal in fehlsbereich.a "(!" signal, which is sent to the input of the inverter 10 The loader executed as a microprogram for the is transmitted. The output signal of this inverter loads the control program into the control part of the is a binary "1", which is also part of the AND switch main memory of electronic data processing 11 is transmitted. If the user manipulates io Uingsmaschine consists of 2 parts, the first of which intentionally or inadvertently with certain, in the case of part, routines for withdrawing the cards of the second Most data processing machines contain part, as well as routines for checking the lane Functions that allow informers to be written to ensure that the correct loader is in tion into the main memory, then the system is loaded. The second part is located a signal β is generated, which now contains the AND switch 15 temporarily in the customer memory and ment U opens, which then has a "1" at its input - the essential charging functions, such as transmission Output signal generated. This signal becomes that of the data and instruction from the input to the Be inverter transmitted in Fig. 1, which this signal is in error range.

eine binäre »0« umwandelt. Dadurch wird die bei- Während der im Steuerteil des Hauptspeichers be-converts a binary "0". As a result, the two

spielsweise über die arithmetische und logische 20 findliche erste Teil des Laders generell dadurch ge-for example via the arithmetic and logical 20 sensitive first part of the loader

Schaltung 8 durchgeführte Speicheränderungsfunk- schützt ist, daß er sich in einem durch den BenutzerCircuit 8 carried out memory change radio protection is that it is in a by the user

tion gesperrt, da die UND-Schaltung 6, über, die der nicht zugänglichen Speicherteil befindet, muß dertion blocked because the AND circuit 6, which is located in the inaccessible memory section, must

Datenpfad verläuft, gesperrt ist. zweite Teil, der sich im normalerweise zugänglichenData path runs, is locked. second part, which is normally accessible

Wenn sich der Betriebsartenschalter in der Stel- Kundenteil befindet, geschützt werden. Hierzu wer-If the operating mode switch is in the customer's part, be protected. For this purpose

lung Wartungsbetrieb befindet, dann erzeugt er das 25 den logische Schaltungen verwendet, die im wesentli-If the maintenance company is located, then it generates the 25 logic circuits used which are essentially

Signal/4, das einer binären »1« entspricht. Der Aus- chen aus einem bistabilen Schalter bestehen, der beiSignal / 4, which corresponds to a binary "1". The outcrop consist of a bistable switch that works with

gang der Inverters 10 in Fig. 2 wandelt dieses Signal Beginn der Laderoutine eingestellt wird, und verhin-output of the inverter 10 in Fig. 2 converts this signal, the beginning of the charging routine is set, and prevents

an seinem Ausgang in eine binäre »0«, so daß die dert, daß andere, als die Ladedaten und -instruktio-at its output in a binary "0", so that it changes that other than the load data and instructions

UND-Schaltung 11 gesperrt wird. Das Ausgangssi- nen in die Maschine eingelesen werden. Am EndeAND circuit 11 is blocked. The output signals can be read into the machine. At the end

gnal E entspricht dann einer binären »0«. Das bedeu- 30 der Ladeoperation wird mit Hilfe einer besonderergnal E then corresponds to a binary "0". The importance of the loading operation is made with the help of a special one

tet, daß nun im Wartungs-Betrieb der Datenverarbei- Mikroinstruktion dieser Schalter wieder zurückge-This means that the data processing microinstruction is now back on this switch in maintenance mode.

tungsmaschine vom Wartungspersonal auch während stellt, so daß nun die Maschine für das Benutzerproprocessing machine by the maintenance staff also during, so that now the machine for the user pro

' der Ladeoperation Speicheränderungen durchgelührt gramm freigegeben wird.'the load operation memory changes performed is released.

Hierzu 1 Blatt Zeichnungen1 sheet of drawings

36333633

Claims (4)

Patentansprüche:Patent claims: 1. Einrichtung in elektronischen Datenverarbeitungsmaschinen zum Schutz des Ladeprogramms (Laders) und des durch das Ladeprogramm einzulesenden Steuerprogramms gegen fehlerhafte oder unerwünschte Änderungen, wobei das Steuerprogramm zur Interpretation von Kundenprogrammen dient, dadurch ge- ίο kennzeichnet, daß eine Einrichtung zur Übertragung des aus einem Unterprogramm zum Einlesen des zweiten Teils des Laders und zum Piüfen des Laders und Steuerprogramms auf Maschinenzugehörigkeit bestehenden ersten Teil des Laders in den gegen Kundenzugriff geschützten Steuerteil (1; Fig. 1) des Hauptspeichers (2), daß ferner eine Einrichtung zur Übertragung des aus einem Unterprogramm für Ladefunktionen für den Transfer der Informationen vom Eingabezum Befehlsbereich des Speichers und für Fehlererkennung bestehenden zweiten Teil des Laders in den an sich ungeschützten Teil des Hauptspeichers und daß schließlich eine Einrichtung (Fig. 2) vorgesehen ist, die den an sich ungeschützten Teil des Speichers während des Ladens des La_ders und des Steuerprogramms gegen Veränderungen schützt.1. Device in electronic data processing machines to protect the loading program (Loader) and the control program to be read in by the loader program against incorrect or undesired changes, whereby the control program is used to interpret customer programs, thereby making ίο indicates that a device for transmitting the from a subroutine to Reading in the second part of the loader and for checking the loader and control program for machine affiliation existing first part of the loader in the protected against customer access Control part (1; Fig. 1) of the main memory (2) that also has a device for transmitting the from a subroutine for loading functions for the transfer of the information from the input to the Command area of the memory and the second part of the loader for error detection in the inherently unprotected part of the main memory and that finally a device (Fig. 2) is provided that the inherently unprotected Part of the memory while the loader and the control program are being loaded Change protects. 2. Einrichtung zum Schutz des an sich ungeschützten Teils des Hauptspeichers während des Ladens des Laders und Steuerprogramms nach Anspruch 1, dadurch gekennzeichnet, daß ein bistabiler Schalter (9; Fig. 2) vorgesehen ist, der durch ein Startsignal (D) zu Beginn der Ladeoperation in seine binäre »!«-Position gesteuert wird, daß dieses »!«-Ausgangssignal zu einer UND-Schaltung (II) übertragen wird, deren anderes Eingangssignal (B) anliegt, wenn eine Informationsänderung im Speicher durchgeführt werden soll, wobei das Ausgangssignal (£) dieser UND-Schaltung das Neueinschreiben von Speicherinformationen (Fig. 1), jedoch nicht die Speicherregenerierung sperrt und daß der bistabile Schalter am Ende der Ladeoperation durch ein von einer besonderen Mikroinstruktion abgeleitetes Signal (C) wieder zurückgestellt wird, so daß nun Informationsänderungen im ungeschützten Teil des Hauptspeichers durchführbar sind.2. Device for protecting the per se unprotected part of the main memory during the loading of the loader and control program according to claim 1, characterized in that a bistable switch (9; Fig. 2) is provided which is triggered by a start signal (D) at the beginning of Load operation in its binary "!" Position is controlled so that this "!" Output signal is transmitted to an AND circuit (II) whose other input signal (B) is present when an information change is to be carried out in the memory, the output signal (£) this AND circuit blocks the rewriting of memory information (Fig. 1), but does not block the memory regeneration and that the bistable switch is reset again at the end of the loading operation by a signal (C) derived from a special microinstruction, so that information changes can be carried out in the unprotected part of the main memory. 3. Einrichtung nach Anspruch 2, dadurch gekennzeichnet, daß die UND-Schaltung (11; F i g. 2) einen weiteren Eingang besitzt, der durch ein nur vom Wartungspersonal erzeugtes Signal (A) über den Inverter (10) die Erzeugung des Speichersperrsignals (E) verhindert.3. Device according to claim 2, characterized in that the AND circuit (11; F i g. 2) has a further input which generates the memory lock signal via a signal (A) generated only by the maintenance staff via the inverter (10) (E) prevented. 4. Einrichtung nach Anspruch 2 und/oder 3. dadurch gekennzeichnet, daß der bistabile Schalter (9; F i g. 2) als Verriegelungsschaltung aufgebaut ist.4. Device according to claim 2 and / or 3, characterized in that the bistable switch (9; F i g. 2) is constructed as a locking circuit.
DE1940296A 1969-08-07 1969-08-07 Device in electronic data processing machines for protecting the control program Expired DE1940296C3 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE1940296A DE1940296C3 (en) 1969-08-07 1969-08-07 Device in electronic data processing machines for protecting the control program
JP45063989A JPS5117019B1 (en) 1969-08-07 1970-07-23
NL7011550A NL7011550A (en) 1969-08-07 1970-08-05

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE1940296A DE1940296C3 (en) 1969-08-07 1969-08-07 Device in electronic data processing machines for protecting the control program

Publications (3)

Publication Number Publication Date
DE1940296A1 DE1940296A1 (en) 1971-02-25
DE1940296B2 DE1940296B2 (en) 1973-04-26
DE1940296C3 true DE1940296C3 (en) 1973-11-29

Family

ID=5742217

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1940296A Expired DE1940296C3 (en) 1969-08-07 1969-08-07 Device in electronic data processing machines for protecting the control program

Country Status (3)

Country Link
JP (1) JPS5117019B1 (en)
DE (1) DE1940296C3 (en)
NL (1) NL7011550A (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5334077A (en) * 1976-09-10 1978-03-30 Oki Electric Ind Co Ltd Making-out method and device of nc-tape
DE3034581A1 (en) * 1980-09-13 1982-04-22 Robert Bosch Gmbh, 7000 Stuttgart READ-OUT LOCK FOR ONE-CHIP MICROPROCESSORS
US4654783A (en) * 1982-07-26 1987-03-31 Data General Corporation Unique process for loading a microcode control store in a data processing system

Also Published As

Publication number Publication date
DE1940296A1 (en) 1971-02-25
JPS5117019B1 (en) 1976-05-29
DE1940296B2 (en) 1973-04-26
NL7011550A (en) 1971-02-09

Similar Documents

Publication Publication Date Title
DE3048365C2 (en)
DE2615861C3 (en) Circuit arrangement for checking programs
DE2747384C2 (en) Data processing unit with device for checking the processing section
DE2744531A1 (en) ELECTRONIC DATA PROCESSING SYSTEM
DE2758152A1 (en) MEMORY PROTECTION ARRANGEMENT
DE2648229A1 (en) SWITCH-ON CIRCUIT AS LOADER FOR DIGITAL COMPUTER
DE19835609C2 (en) Program controlled unit
EP1248198A2 (en) Program-controlled unit with emulation units
DE3228405C2 (en) Control for an emulator for the development of microprocessor systems
EP0011685A1 (en) Programmable memory protection arrangement for microprocessors and circuitry with such an arrangement
DE3781794T2 (en) DEVICE AND METHOD FOR PROVIDING A CACHE MEMORY WITH A WRITE OPERATION WITH TWO SYSTEM CLOCK CYCLES.
DE2737353A1 (en) METHOD FOR TESTING ADDRESS FORMATION IN A DP SYSTEM AND DEVICE FOR CARRYING OUT THE METHOD
DE2810421C2 (en) Memory protection device
DE1909090C3 (en) Protection device for the main memory of a computer system
DE3688136T2 (en) Procedure for testing and putting data into a record on a disk in an atomic I / O operation.
DE1940296C3 (en) Device in electronic data processing machines for protecting the control program
EP0657820A1 (en) Method for preventing unauthorised data modification in an apparatus with a non-volatile memory
DE19709975C2 (en) Microcomputer
DE3603807C1 (en) Method and circuit arrangement for protecting typewriters or similar office machines against the consequences of electrostatic discharges
DE2037506C3 (en) Programmable data processing system with a controllable main control
DE69517630T2 (en) Arrangement to optimize the performance of a processor
DE3016269C2 (en)
DE102004003323A1 (en) Semiconductor memory device and circuit arrangement
DE1958747A1 (en) Microprogram-controlled data processing system
DE60312159T2 (en) Transmission of safety-relevant data between two memories

Legal Events

Date Code Title Description
C3 Grant after two publication steps (3rd publication)
E77 Valid patent as to the heymanns-index 1977
8339 Ceased/non-payment of the annual fee