DE3709205A1 - Schutzschaltung fuer informationsdaten im arbeitsspeicher - Google Patents

Schutzschaltung fuer informationsdaten im arbeitsspeicher

Info

Publication number
DE3709205A1
DE3709205A1 DE19873709205 DE3709205A DE3709205A1 DE 3709205 A1 DE3709205 A1 DE 3709205A1 DE 19873709205 DE19873709205 DE 19873709205 DE 3709205 A DE3709205 A DE 3709205A DE 3709205 A1 DE3709205 A1 DE 3709205A1
Authority
DE
Germany
Prior art keywords
area
data
memory
preamble
protection circuit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE19873709205
Other languages
English (en)
Inventor
Thomas Kirchner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KIRCHNER HANS WILHELM
Original Assignee
KIRCHNER HANS WILHELM
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from DE19853533787 external-priority patent/DE3533787A1/de
Application filed by KIRCHNER HANS WILHELM filed Critical KIRCHNER HANS WILHELM
Priority to DE19873709205 priority Critical patent/DE3709205A1/de
Publication of DE3709205A1 publication Critical patent/DE3709205A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/1425Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
    • G06F12/1441Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block for a range

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)

Description

Die Erfindung geht aus von einer Schutzschaltung zur Sicherung der Übernahme eines geschützten Datenstromes gemäß dem Hauptanspruch der deutschen Patentanmeldung P 35 33 787.7.
Es ist bekannt, daß Daten zur Übertragung chiffriert und nach ihrer Übertragung wieder dechiffriert werden. Dabei kommt es weniger auf das Problem des Ver- und Entschlüsselns, für das es zahlreiche Lösungsvorschläge gibt, als vielmehr auf den Schutz vor unberechtig­ tem Zugriff im Datenziel an. Dort müssen die empfangenen Daten vor unberechtigtem Zugriff geschützt werden. Dieses Problem wird dadurch zu lösen versucht, daß den Zugriffsberechtigten eine Identifikation zugeordnet wird (DE-PS 28 01 608 und DE-PS 29 26 013). Je nachdem, ob die von dem Zugriffswilligen eingegebene Identifikation mit der in den Daten enthaltenen Vergleichsidentifikation übereinstimmt, wird der Zugriff gestattet oder auch nicht.
Bei manchen Mikroprozessoren hat es sich durchgesetzt, daß Teile des Arbeitsspeichers bestimmte Schutzlevel erhalten können. Es gibt dann Teile, die nur der Betriebssystemkernel benutzen darf und wie­ derum andere, auf die auch Anwenderprogramme zugreifen können. Diese Einteilung gestattet es zwar einem Anwenderprogramm nicht, auf den Kernel zuzugreifen, dafür kann aber letzterer auf Anwenderprogramme zugreifen. Das Betriebssystem verwaltet diese Schutzlevel, das heißt mit seiner Hilfe kann man (also auch unberechtigte Benutzer, die sich bis zum Betriebssystem durch alle anderen Paßwortabfragen geschli­ chen haben) Schutzlevel einrichten und auch wieder aufheben. Es gibt daneben noch einfachere Schutzmechanismen, bei denen nur zwischen Benutzer und Betriebssystem (User/Supervisor) unterschieden wird.
Ebenso werden auch Vektoren, Zeiger oder auch Pointer genannt, benutzt, die eingegeben werden und auf Verarbeitungsprogramme zeigen (beispielsweise US-PS 32 45 045). Diese Vektoren werden einer "right- to-know"-Untersuchung zugeführt. Eine Vermittlungseinheit und eine "right-to-know"-Prüfeinheit stellen fest, ob der Vektor gleichzeitig mit der Ansteuerung der zugehörigen programmautorisierten Benutzer­ terminalleitung anliegt, wodurch bei positivem Feststellergebnis eine Initialisierungsleitung aktiviert wird. Somit kann zwar verhindert werden, daß bei einem bestimmten Vektor nicht autorisierte Terminal­ benutzer Zugriff zu bestimmten, diesem Vektor zugeordneten Programmen erhalten. Die das Terminal benutzende Person wird demnach nicht ge­ prüft, sondern nur der jeweilige Anschluß, das heißt diese Siche­ rungsprüfung funktioniert nur, wenn der Person auch der Zugang zum Terminal versagt ist. Zudem besteht die Gefahr, daß der Vektor mani­ pulierbar ist.
Darüber hinaus erfordert jedoch jedes Verarbeitungsprogramm eine eigene Initialisierungsleitung zum Start des jeweiligen Verarbei­ tungsprogramms im Zentralcomputer. Bei Erweiterungswünschen muß eine zusätzliche Leitung installiert werden.
Ein weiterer Punkt ist, daß diese Schaltung auf einer hohen Si­ cherungsebene arbeitet. Somit kann man zwar Anwenderprogramme bis zu einem gewissen Grad schützen, nicht jedoch das Betriebssystem. Auf Maschinenebene kann diese Schaltung keinen Schutz garantieren.
Demgegenüber ist in der obigen Patentanmeldung P 35 33 787.7 eine prinzipiell andersartige Schutzschaltung angegeben, bei der der Vektor von der Datenquelle selbst bereitgestellt wird. Es wird hier­ bei nicht geprüft, ob das Datenziel, beispielsweise ein Benutzer, der bestimmte Vektoren eingeben darf, Zugriff auf bestimmte Daten hat, sondern ob die Daten an das Datenziel übergeben werden dürfen. Dies geschieht, indem der von der Datenquelle bereitgestellte Vektor di­ rekt und automatisch aus einem zugriffssicheren Zwischenspeicher in das einen Zielspeicher verwaltende Rechenwerk übertragen wird, das daraufhin automatisch und zwangsweise das Verarbeitungsprogramm für die Daten auswählt, auf das dieser Vektor zeigt. Mit anderen Worten muß bei Erstellung der Daten festgelegt werden, welches Verarbei­ tungsprogramm die Daten bearbeiten darf. Dieses wird immer gestartet, wenn auf die Daten zugegriffen wird, auch wenn dieser Zugriff von System- oder Maschinenebene her geschieht. Auf diese Weise kann ein nicht berechtigter Systemprogrammierer das Programm nicht umgehen, sondern muß es gezwungenermaßen benutzen und kann deshalb auch die in bekannter und üblicher Weise in Programmen eingebauten Sicherheits­ maßnahmen nicht umgehen. Denn sollte er versuchen, von Maschinenebene aus an die Daten heranzukommen, müßte er auch auf sie zugreifen, und jeder Zugriff aktiviert die Schutzschaltung. Gleichzeitig erhält man einen Schutz, der auch vor defekten Betriebssystemen oder zerstöreri­ schen Programmen sichert. Das nicht umgehbare Programm ist vor allem dann besonders abgesichert, wenn es in der Datenquelle in den ge­ schützten Daten enthalten ist, wodurch sich allerdings durch die Pro­ grammübertragung eine verlängerte Übertragungszeit ergibt. Es wäre demnach wünschenswert, wenn die Programme bereits im Ziel- oder Ar­ beitsspeicher enthalten wären, um so deren Übertragungszeit einzuspa­ ren. Allerdings besteht dann die Gefahr, daß diese Programme vor den Programmierern nicht mehr geschützt sind. Es wäre in diesem Fall mög­ lich, diese Programme so zu ändern, daß die Daten jedem Benutzer zu­ gänglich wären.
Ausgehend von den Merkmalen des Anspruchs 1 der Anmeldung P 35 33 787.7 liegt der Erfindung die Aufgabe zugrunde, eine Schutzschaltung zu schaffen, die auch im Arbeitsspeicher enthaltene Informationsdaten vor unerlaubtem Zugriff schützt.
Diese Aufgabe wird durch den Gegenstand des Anspruchs 1 gelöst.
Jeder einzelne Speicherbereich wird mit der erfindungsgemäßen Schutzschaltung geschützt. Ferner ist gewährleistet, daß nur bei einem Zugriff auf einen neuen Bereich die Schutzschaltung aktiviert wird. Eine Zugriffstesteinheit prüft, wann dies der Fall ist. Die Präambel legt für jeden Bereich fest, ob er geschützt ist und welches Programm gegebenenfalls diesen Bereich bearbeiten darf. Die Schutz­ schaltung wertet diese Präambel zuverlässug aus. Dazu werden zunächst die Schlüsseldaten ausgewertet, und wenn diese mit der im Identifika­ tionsspeicher stehenden Identifikation übereinstimmen, handelt es sich tatsächlich um einen geschützten Bereich. Daraufhin kann der Vektor aus dem Zwischenspeicher entnommen und an das Rechenwerk über­ geben werden. Dieser Vektor wirkt nun als Zeiger auf das Programm, das den geschützten Bereich verwalten darf. Wenn der Vektor durch diese erfindungsgemäße Schaltung an das Rechenwerk übergeben wird, startet dieses augenblicklich das entsprechende Verwaltungsprogramm.
Die Zugriffsprüfeinheit stellt somit sicher, daß die Präambel bei Zugriff auf einen neuen Bereich identifiziert wird, indem die Schlüsseldaten geprüft werden. Handelt es sich um einen nicht gesi­ cherten Bereich, der angesprochen wird, gewährt die Schutzschaltung den Zugriff und aktiviert sich nicht. Ist der Bereich hingegen gesi­ chert, wird nach erfolgtem Vergleich der Schlüsseldaten der Vektor aus der Präambel an das Rechenwerk übergeben, das heißt, das durch den Vektor bestimmte Programm läuft zwangsläufig ab. Es wird daher wirksam verhindert, daß die Präambel eines neuen Speicherbereiches, die die Programmzuweisung regelt, übergangen wird, so daß es nicht möglich ist, mit einem nicht erlaubten Programm in einen geschützten Bereich zu gehen oder die im aufgezwungenen Programm enthaltenen Sicherheitsmaßnahmen von Maschinenebene her zu umgehen.
Vorteilhafte Weiterbildungen sind durch die Unteransprüche ge­ kennzeichnet.
Eine Weiterbildung besteht darin, daß die Präambel Bereichsver­ binder enthält, die angeben, von welchen anderen Bereichen aus auf den Bereich dieser Präambel zugegriffen werden darf, ohne daß die Schutzschaltung aktiv wird. Dies ist insbesondere dann von Vorteil, wenn längere Datenbestände geschützt werden sollen, die nicht in einen Bereich passen. Wenn dann von einem anderen Bereich dieses Da­ tenbestandes auf einen anderen zugegriffen wird, würde ohne diese Bereichsverbinder unnötigerweise ein Vektor übergeben.
In manchen Mehrprozessorsystemen mit moderner Architektur ist es notwendig, daß ein Programm in mehreren Speichern von Prozessoren gleichzeitig erreichbar ist, denn jeder dieser Prozessoren bearbeitet Teile des Programms. Dazu müssen Kopien der Programme von einem Spei­ cher für die anderen Speicher hergestellt werden. Eine Übertragungs­ schutzeinheit in einer Weiterbildung der erfindungsgemäßen Schutz­ schaltung sichert die Übertragung der Daten und Programme so ab, daß sie bei Ankunft im Zielspeicher ebenso wie der Quellspeicher des an­ deren Prozessors gesichert sind.
Einerseits werden in dieser Weiterbildung die Präambel und die Informationsdaten von der Übertragungsschutzeinheit, angesteuert durch die Ansteuerlogik, übergeben, so daß auch im neuen Bereich die Präambel für die Schutzschaltung zur Verfügung steht und ausgewertet wird, so daß die Daten durch die Schutzschaltung auch in diesem Be­ reich wirksam geschützt sind. Andererseits ist die Übertragung der Daten durch die Zwischenschaltung der auch eine Zielangabe berück­ sichtigenden Übertragungsschutzeinheiten nicht manipulierbar. Eine Dekodiereinrichtung kann diese Wirkung verstärken.
Bei über einen gemeinsamen Bus miteinander verbundenen Prozesso­ ren ist eine Benutzungsprüfeinheit von Vorteil, die die Ansteuerlogik so ansteuert, daß letztere den Vektor bei nicht berechtigten Be­ nutzern nicht übergibt. Durch die Benutzungsprüfeinheit können eine Vielzahl von unterschiedlichen Berechtigungsfällen kontroliert wer­ den. Eine Neusetzeinheit stellt sicher, daß die Benutzerdaten nur im berechtigten Fall geändert werden können.
Eine andere Weiterbildung unterstützt die Wartung der Daten in geschützten Bereichen. Dazu wird von der Schutzschaltung für die Dauer der Wartung ein Zeiger auf den zu wartenden Bereich in einem Zwischenspeicher abgelegt, oder es wird nach Anspruch 8 eine Kenn­ zeichnung in der Präambel des Bereiches abgelegt. Greift man nun auf einen solchen Bereich zu, aktiviert sich die Schutzschaltung nicht, und es wird kein Vektor übergeben. Durch diesen Zeiger bzw. diese Kennzeichnung wird andererseits sicher verhindert, daß bei einem Be­ reichswechsel unerlaubte Wartungen vorgenommen werden können.
In der Schutzschaltung nach Anspruch 1 sowie in sämtlichen in den Unteransprüchen gekennzeichneten Weiterbildungen werden sogenann­ te unberechtigte Benutzer durch die Schutzschaltung auf ein höheres Sicherungsniveau gehoben, wobei diese Bereichswechsel sowie Berechti­ gungen automatisch überprüft und dem Benutzer bestimmte Programme zur Bearbeitung der Daten aufzwingt bzw. ihm die Benutzung der Informa­ tion gänzlich verwehrt, wenn er zur Verarbeitung nicht berechtigt ist. So gelangt er auf ein höheres Sicherungsniveau. Auf diesem Si­ cherungsniveau, das leicht zu kontrollieren ist, hat der Benutzer nicht mehr die Möglichkeit, die verschiedenen Schutzsysteme, wie bei­ spielsweise Paßwortmechanismen, die in den Vearbeitungsprogrammen enthalten sind, zu umgehen. Dort kann man dann auch beispielsweise Protokolle über die Zugriffe auf diese geschützten Daten anlegen. Die Schutzschaltung kann auch ein Protokoll anlegen, wann eine Service­ routine gebraucht wird, oder sogar ein Signal geben, sobald eine sol­ che aufgerufen wird, das dann ausgewertet wird. Auf Maschinenebene hingegen wäre dies nicht möglich.
Im folgenden wird die Erfindung anhand der Zeichnungen näher erläutert. Dabei zeigt
Fig. 1 ein Ausführungsbeispiel der erfindungsgemäßen Schutz­ schaltung,
Fig. 2 die Aufteilung des Speichers und der Deskriptoren,
Fig. 3 eine erste Weiterbildung der erfindungsgemäßen Schutz­ schaltung nach Fig. 1,
Fig. 4 eine zweite Weiterbildung der erfindungsgemäßen Schutz­ schaltung nach Fig. 1 für ein Mehrprozessorsystem,
Fig. 5A eine Weiterbildung der erfindungsgemäßen Schutzschaltung für Mehrprozessorsysteme,
Fig. 5B1 eine dritte Weiterbildung der erfindungsgemäßen Schutz­ schaltung nach Fig. 3 in einem Mehrprozessorsystem mit Bussen,
Fig. 5B2 diese dritte Weiterbildung in einem Mehrprozessorsystem mit feldförmiger Anordnung und
Fig. 6 eine vierte Weiterbildung der erfindungsgemäßen Schutz­ schaltung.
In Fig. 1 ist ein Ausführungsbeispiel der erfindungsgemäßen Schutzschaltung gezeigt, wie es besonders für die Verwendung in Paging- und Segmentspeichern geeignet ist. Hierbei fallen Datenquelle und Datenziel teilweise zusammen.
Der Speicher in solchen Geräten ist in einzelne Bereiche aufge­ teilt, genannt Seiten, die von je einem Deskriptor beschrieben wer­ den. Dieser legt beispielsweise fest, ob diese Seite sich gerade im Speicher befindet und ob sie Daten oder Programme enthält. Stellt man den Speicher wie in Fig. 2a dar, so gibt es zwei verschiedene Mög­ lichkeiten für die Plazierung der Deskriptoren in den Speichern: Ent­ weder am Anfang einer jeden Seite (Fig. 2a) oder in einem Deskriptor­ bereich (Fig. 2b). Greift das Rechenwerk in einem solchen Computer auf einen neuen Bereich zu, holt es sich aus dem Speicher den jewei­ ligen Deskriptor, um z. B. zu überprüfen, ob der angesprochene Be­ reich überhaupt im Speicher ist (virtueller Speicher).
Soll nun ein solcher Speicher vor unberechtigtem Zugriff ge­ schützt werden, fügt man zu dem schon vorhandenen Deskriptor zusätz­ lich eine Präambel hinzu, die wenigstens Schlüsseldaten und einen Vektor enthält. Sie muß so gesichert sein, daß sie nicht überschrie­ ben werden kann, denn sie gibt an, ob ein Bereich geschützt ist. Die Sicherung vor Überschreiben erreicht man, indem man beispiels­ weise für Präambeln am Anfang eines Bereichs ein grundsätzliches Schreibverbot einführt. Bei Präambeln in Deskriptoren in Deskriptor­ bereichen kann dies mit einem Schreibverbot nur für das Präambelwort innerhalb des Deskriptors erreicht werden.
Wie bereits erwähnt, holt sich das Rechenwerk bei einem Zugriff auf einen neuen Bereich automatisch den neuen Deskriptor. Dies nutzt man nun für die Schutzschaltung aus, und zwar werden Teile der Präam­ bel, die das Rechenwerk zusammen mit dem Deskriptor holt, in einen Zwischenspeicher 12 übertragen. Der Vektor gelangt in einen weiteren Zwischenspeicher 4. In den Zwischenspeicher 12 kommen im gezeigten Ausführungsbeispiel nur die Schlüsseldaten und gegebenenfalls andere Informationen für die Schutzschaltung. Damit diese sich auf die An­ kunft der Präambel vorbereiten kann, stellt die Zugriffsprüfeinheit fest, wenn auf einen neuen Bereich zugegriffen wird und teilt dies der Ansteuerlogik 2 mit.
Diese veranlaßt, daß der Zwischenspeicher 12 die Schlüsseldaten an den Vergleicher 4 übergibt, der sie mit dem Inhalt des Identifika­ tionsspeichers 5 vergleicht. Stimmen diese Daten überein, wird der Vektor an das Rechenwerk übergeben. Statt zweier Zwischenspeicher 4, 12 kann auch ein einziger Zwischenspeicher verwendet werden. Auch kann, wenn die Zugriffsprüfeinheit 11 den Zugriff auf einen neuen Speicherbereich feststellt, die Präambel ohne Zwischenspeicherung geholt werden. Das heißt die Schlüsseldaten werden dem Vergleicher 1 ohne Zwischenspeicherung zugeführt.
Diese Schutzschaltung kann noch weiter verbessert werden, wenn man Bereichsverbinder vorsieht, die in der Präambel enthalten sind. Bereichsverbinder sind Anweisungen, die anzeigen, welche Daten mit ein und demselben Programm bearbeitet werden dürfen. Fig. 3 zeigt die dazugehörige Schaltung. Stellt die Zugriffsprüfeinheit 11 fest, daß auf einen neuen Bereich zugegriffen wird, sorgt auch hier wieder die Ansteuerlogik 2 dafür, daß die Präambel geholt wird. Die Zugriffs­ prüfeinheit 11 legt eine Kennzeichnung für den alten Bereich in einen dritten Zwischenspeicher 13, die dann zusammen mit den Bereichsver­ bindern aus Zwischenspeicher 12 an den Vergleicher 14 gegeben wird.
Dessen Aufgabe ist es nun, festzustellen, ob irgend einer der Bereichsverbinder auf den alten Bereich zeigt, das heißt ob die Kennzeichnung mit einem der Bereichsverbinder übereinstimmt. Ist dies der Fall, gibt er ein Signal an die Ansteuerlogik 2 ab, die dann da­ für sorgt, daß die Schutzschaltung bei diesem Zugriff auf einen neuen Bereich das Programm zur Verarbeitung der Daten in diesem Bereich nicht von neuem startet.
In Mehrprozessorsystemen braucht man oftmals von einem Programm oder Datenbestand einige Kopien in den lokalen Speichern mehrerer Prozessoren, wenn es deren Aufgabe ist, ein Programm parallel zu be­ arbeiten. Mit der bisher diskutierten Schaltung läßt sich dies nicht ohne weiteres realisieren, denn greift man auf einen geschützten Be­ reich zu, um ihn zu kopieren, aktiviert sich die Schutzschaltung, so daß man also nur ungeschützte Bereiche bzw. Programme und Daten pa­ rallel verarbeiten könnte. Die Schutzschaltung nach Fig. 4 bietet hier Abhilfe. Sie enthält neben den aus Fig. 3 bekannten Elementen zusätzlich eine Übertragungsschutzeinheit 15 und eine (optionale) Dekodiereinrichtung 16. Voraussetzung für diese Schaltung ist ein Rechnersystem mit Prozessoren, die in einem Feld einer Pipeline oder auf vergleichbare Weise angeordnet sind, z. B. ein Transputersystem. Zwischen den Prozessoren gibt es Leitungen, auf denen Programme, In­ formationen über den Zustand der Prozessoren und andere Daten ausge­ tauscht werden. Für Prozessoren, die über einen gemeinsamen Bus ver­ fügen, eignet sich in erster Linie eine Schaltung nach Fig. 5B, wenn­ gleich jedoch auch Kombinationslösungen mit dieser denkbar sind.
Wie bereits erwähnt, benötigen mehrere Prozessoren in einem Mul­ tiprozessorsystem gleichzeitig Daten oder Programme, die sie auf den Übertragungsstrecken ("Links") untereinander austauschen. Möchte man verhindern, daß die Daten nach ihrem Empfang im Speicher des zweiten Prozessors ungeschützt stehen - was unbedingt erfolgen sollte, denn sonst bräuchte man sie im ersten Speicher (dem Quellspeicher) gar nicht erst zu schützen, so muß bei der Übertragung dafür gesorgt wer­ den, daß die Daten im Ziel ebenfalls sicher sind. Prinzipiell könnte man dies mit der eingangs erläuterten Schutzschaltung nach der P 35 33 787.7 erledigen. Dies beinhaltet jedoch einige Nachteile. Wollte man beispielsweise einmal nur Daten zur Bearbeitung an einen anderen Prozessor übergeben, der das passende Verarbeitungsprogramm schon be­ sitzt, müßte der Quellprozessor wissen, wo dieses Programm sich be­ findet, damit er den Vektor dementsprechend vorbereiten könnte, was jedoch recht umständlich wäre. Außerdem könnte es sein, daß der Ziel­ prozessor erst noch ein anderes Programm beenden möchte und sich die neuen Daten nur im voraus holt.
Vorteilhafter und einfacher ist die in Fig. 4 gezeigte Lösung. Der gesamte Bereich oder die gesamten Bereiche werden anden Zielpro­ zessor übertragen, das heißt die Präambel und die Informationsdaten. Damit die Übertragung nicht zu einer ungeschützten angreifbaren Sy­ stemstelle wird, wird sie von einer Übertragungsschutzeinheit 15 übernommen. Ein Programm könnte bekanntlich verändert werden und ist aus diesem Grunde für die Übertragung ungeeignet. Als zusätzliche Si­ cherung können weiterhin eine Dekodiereinrichtung 16 vor die Eingänge der Übertragungsschutzeinheiten 15 und eine Enkodierschaltung vor de­ ren Ausgänge geschaltet werden. Neue Übertragungsprotokolle sind hierbei nicht notwendig, weil sich an diesen nichts ändert. Unge­ schützte Bereiche können in üblicher Weise übertragen werden. Zur Übertragung geschützter Bereiche erhält die Übertragungsschutzeinheit 15 ein Signal von der Ansteuerlogik 2 und vom Rechenwerk einer Zeiger oder ähnliches auf den geschützten Bereich. Daraufhin gibt sie sen­ dende Übertragungsschutzeinheit an die empfangende Einheit über die Verbindung ein Zeichen, daß ein geschützter Bereich übertragen wird. Letztere beantragt daraufhin bei ihrem Rechenwerk einen freien Be­ reich, in den der übertragene geschützte Bereich gespeichert werden soll. Die sendende Übertragungsschutzeinheit holt sich währenddessen oder anschließend die Präambel aus dem Speicher und gibt sie an die empfangende weiter, die sie auch wieder als Präambel speichert. Dann kann die sendende Übertragungsschutzeinheit die Informationsdaten ab­ geben, die die empfangende ebenfalls speichert. Die Übertragung ist damit beendet.
Für die Übertragung der Informationsdaten können auch die ohne­ hin schon vorhandenen Übertragungseinheiten verwendet werden. In diesem Fall muß jedoch noch eine Leitung verwendet werden, die im Rechenwerk und in der alten Übertragungseinheit dafür sorgt, daß die Übertragung nicht abgebrochen oder sonstwie gestört wird, wie dies manchmal möglich ist, wenn auf bestimmte Ereignisse geachtet werden muß. Die Übertragung muß also selbständig ohne Kontrolle von außen, z. B. durch ein Programm, ablaufen.
Es gibt noch eine weitere Art von Mehrprozessorsystemen, die nicht mit Übertragungsleitungen wie oben, sondern über einen gemein­ samen "Bus" verbunden sind. Einen Ausschnitt aus einer solchen Schal­ tung zeigt Fig. 5A. Jeder Prozessor hat einen eigenen lokalen Spei­ cher, und ein globaler Speicher steht allen Prozessoren zur Verfü­ gung. Daneben können auch andere Prozessoren auf den lokalen Speicher eines Prozessors zugreifen, wenn auch zumeist nur auf einen Teil die­ ses Speichers. Für lokale und globale Speicher gelte ebenfalls die Speicheraufteilung nach Fig. 2. Häufig ist es so, daß ein Prozessor einen Bereich bearbeitet und ein zweiter Prozessor zur selben Zeit auf diesen Bereich nicht auch noch zugreifen soll. Es kann auch so sein, daß mehrere Rechenwerke, jedoch nicht alle, auf den Bereich zugreifen dürfen. Deshalb seien im folgenden mehrere Rechenwerke als "Rechengruppe" bezeichnet. Fig. 5B1 zeigt eine Schutzschaltung für globale Speicher, die sich von der Schutzschaltung für lokale Spei­ cher nach Fig. 5B2 geringfügig unterscheidet. In solchen Systemen muß die Präambel zusätzlich entsprechende Benutzungsdaten enthalten. Eine Benutzungsprüfeinheit 17 (Fig. 5B1 und 5B2) stellt bei jedem Zugriff einer Rechengruppe auf einen Bereich fest, ob in den Benutzungsdaten eine Kennzeichnung für diese Rechengruppe enthalten ist. Findet sie keine Kennzeichnung, legt sie dort eine für die zugreifende Rechen­ gruppe ab. Enthalten die Benutzungsdaten jedoch bereits eine Kenn­ zeichnung, vergleicht die Benutzungsprüfeinheit diese Kennzeichnung mit der der zugreifenden Rechengruppe. Ist die Kennzeichnung für diese Rechengruppe gedacht, wird der Zugriff gewährt, das heißt wird der Vektor übergeben. Paßt die Kennzeichnung nicht zur zugreifenden Rechengruppe, wird der Vektor nicht übergeben, und der Zugriff wird nicht gewährt. Auf diese Weise wird erreicht, daß immer nur eine Re­ chengruppe bearbeiten kann. Damit ein einmal für eine Rechengruppe reservierte Speicherbereich auch wieder freigegeben werden kann, wird noch eine Neusetzeinheit 19, die Benutzungsdaten ändert, benö­ tigt. Hierzu darf stets nur die Rechengruppe die Benutzungsdaten ändern, die gerade in der Kennzeichnung genannt ist.
Zur Änderung gibt die zugreifende Rechengruppe ein Signal 20 an die Neusetzeinheit ab, welches angibt, daß die Benutzungsdaten geän­ dert werden sollen. Dieses Signal kann eines der Rechenwerke bei­ spielsweise aus einem Befehl erzeugen. Alternativ kann dieses Signal auch aus einer Ausgabeoperation entnommen werden. Außerdem besteht die Möglichkeit, das Signal durch einen Schreibzugriff mit bestimmten Werten auf die Präambel zu erzeugen, der jedoch nicht ausgeführt wird, sondern zum Änderungssignal abgeändert wird. Neben diesem Ände­ rungssignal muß der Neusetzeinheit 19 zusätzlich mit einem weiteren Signal von der Benutzungsprüfeinheit bestätigt werden, daß die än­ dernde Rechengruppe in den Benutzungsdaten enthalten ist.
Nur beim Vorliegen beider Signale übernimmt die Neusetzeinheit 19 vom Datenbus die neuen Benutzungsdaten und setzt sie an die Stelle der alten Benutzungsdaten der Präambel. Damit dies geschehen kann, teilt die Benutzungsprüfeinheit 17 dem gerade aktiven Rechenwerk mit, daß der Schreibschutz für die Dauer der Berichtigung abgestellt wird. Dies geschieht über die Leitung 18. Dann erst übernimmt das Rechen­ werk die neuen Benutzungsdaten vom Datenbus und schreibt sie in die entsprechende Stelle der Präambel.
Ein Punkt, der bei Schutzsystemen eine wichtige Rolle spielt und oft auf Kosten des Komforts zugunten einer zweifelhaften und meist nicht sonderlich guten Sicherheit unberücksichtigt bleibt, ist die Wartung der geschützten Daten. Diese kann jedoch bei der vorliegen­ den Erfindung gleich auf verschiedene Weise bewerkstelligt werden.
Entweder wird der Vektor bei der Wartung geändert, oder es wird die Schutzschaltung in dieser Zeit völlig abgestellt. Außerdem kann man auch im Verarbeitungsprogramm eine spezielle Wartungsroutine im­ plementieren. Die Änderung des Vektor stellt die Lösung dar, die auch während der Servierarbeiten die größte Sicherheit garantiert. Jedoch stellt die Änderung des Vektors eine sehr aufwendige Lösung dar, die zudem teuer ist. Einfacher ist es, die Schutzschaltung wäh­ rend dieser Zeit völlig abzuschalten. Dazu kann beispielsweise ein Hardwareschlüssel verwandt werden, der an die Schutzschaltung ange­ schlossen wird und dann eine bestimmte Bitkombination abgibt. Die Schutzschaltung schaltet sich ab, wenn die richtige Kombination ein­ gegeben worden ist. Diesen Schlüssel darf nur eine Führungsperson besitzen.
Die eleganteste Lösung ist eine Wartungsroutine im Verarbei­ tungsprogramm der geschützten Daten. Hierbei muß die Wartungsein­ richtung so gestaltet sein, daß die Schutzschaltung diese Wartungs­ einrichtung nur für die Bereiche zuläßt, die durch Bereichsverbinder eingebunden sind, und natürlich auch für den Bereich, der gerade an­ gesprochen ist. Mit Hilfe eines Befehls, der unter der Wartungsrou­ tine aufgerufen wird, wird der Schaltung der Beginn der Wartung mit­ geteilt. Das Ende erfährt die Schaltung auf die gleiche Weise. Die Wartungsroutine wird durch einen Paßwortmechanismus so geschützt, daß sie nicht ohne weiteres benutzt werden kann. Befindet sich dieser Me­ chanismus in einem geschützten Bereich, kann er nicht umgangen wer­ den. Eine Alternative hierzu bildet ein Hardwareschlüssel. Diese Me­ thode hängt zwar wieder von einem Paßwortschutz ab, jedoch ist der Paßwortschutz in der im folgenden erläuterten erfindungsgemäßen Wei­ terbildung nicht umgehbar.
In der Schutzschaltung in Fig. 6 gibt das zugreifende Rechenwerk oder die zugreifende Rechengruppe an eine Abschalteinrichtung 22 ein Signal, daß der zuletzt angesprochene Bereich gewartet werden soll. Dieses Signal kann man beispielsweise, wie weiter oben bereits im Zu­ sammenhang mit den Benutzungsdaten geschildert, aus Befehlen erzeu­ gen. Desweiteren bietet sich aber auch der Hardwareschlüssel an. Die Abschalteinrichtung 22 markiert diesen Bereich zur Wartung. Dazu nimmt sie einen Zeiger auf den entsprechenden Bereich aus der Zu­ griffsprüfeinheit 11 oder erhält ihn vom Rechenwerk und übernimmt diesen Zeiger in einen Zwischenspeicher 23. Greift ein Rechenwerk nun auf einen geschützten Bereich zu, prüft die Abschalteinrichtung 22, ob für diesen schon ein Zeiger im Zwischenspeicher 23 liegt. Findet sie einen, aktiviert sie sich nicht, sondern läßt den Zugriff wie bei einem ungeschützten Bereich ablaufen. Sobald es für einen Bereich keinen Zeiger gibt, ist dieser Bereich entweder nicht für die Wartung bestimmt, oder er gehört zu einem Datenbestand, der sich über mehrere Bereiche erstreckt und der gewartet werden soll, und für den es folg­ lich Bereichsverbinder gibt, weil er zu einem größeren Datenbestand gehört. Deshalb stellt die Abschalteinrichtung 22 fest, ob es in der Präambel des neuen Bereichs einen Bereichsverbinder gibt, der auf einen Bereich zeigt, für den im Zwischenspeicher 23 ein Zeiger vor­ handen ist. Trifft dies zu, handelt es sich um einen Bereich, der zu einem zu wartenden Bereich gehört und ebenfalls gewartet werden sollte.
Zusätzlich kann jeder Bereichsverbinder noch eine (Nichtwar­ tungs-)Kennung erhalten, die sich ebenfalls in der Präambel befindet. Diese Kennung sorgt dann dafür, daß ein Bereich, der durch einen Be­ reichsverbinder mit einem anderen verbunden ist, nicht gewartet wird, wenn im anderen Bereich sich die Schutzschaltung nicht aktiviert.
Stellt die Abschalteinrichtung demnach bei einem Zugriff auf einen geschützten Bereich fest, daß dieser gewartet werden soll, weil er einen Bereichsverbinder für einen zu wartenden Bereich enthält, oder aber weil im Zwischenspeicher 23 ein Zeiger auf diesen Bereich liegt, aktiviert sie sich nicht. Dies bedeutet, daß das Wartungspro­ gramm in diesem Fall die Kontrolle übernehmen kann, weil die Schutz­ schaltung von der Abschalteinrichtung abgeschaltet worden ist und kein Vektor übergeben wurde.
Nun mag es in größeren Systemen vorkommen, daß sehr viele Berei­ che gleichzeitig gewartet werden sollen. Dann kann es passieren, daß der Zwischenspeicher 23 zu klein wird. Man müßte dann entweder den Service einschränken oder diesen Speicher vergrößern. In einem Lö­ sungsbeispiel fällt der Zwischenspeicher 23 weg. Stattdessen erhält die Präambel eine Nichtaktivierungskennung, wenn ein Bereich von der Abschalteinrichtung zur Wartung vorbereitet wird. Greift in diesem Fall ein Rechenwerk auf einen neuen geschützten Bereich zu, überprüft die Abschalteinrichtung 22 nicht mehr den Zwischenspeicher 23, son­ dern erhält stattdesen über eine Verbindung 30 zum Datenbus die Nichtaktivierungskennung, wenn auch der Rest der Präambel zur Schutz­ schaltung gelangt. Sie kann dann diese Kennung überprüfen und in einem neuen Bereich, der eine Nichtaktivierungskennung enthält, die Schutzschaltung weiterhin nicht aktivieren. Die Nichtaktivierungsken­ nung kann nicht mit der Nichtwartungskennung gleichzeitig benutzt werden.
Wird in geschützten Bereichen die Vektorübergabe abgeschaltet, kann dies bei Mehrprozessorsystemen dazu führen, daß andere Prozesso­ ren sich Zugang zu den eigentlich geschützten Daten verschaffen. Dies verhindert entweder eine Prozessorerkennung oder die schon dargelegte Änderung des übergebenen Vektors.
Bei der Vektoränderung schaltet die Abschalteinrichtung 22 nicht die gesamte Schutzschaltung einfach ab, so daß der Vektor nicht über­ geben wird. Anstelle des echten Vektors wird von der Abschalteinrich­ tung ein Wartungsvektor übergeben, den sie aus einem Wartungsvektor­ speicher 25 entnimmt. Dieser Wartungsvektor zeigt auf ein entspre­ chendes, die Wartung ermöglichendes Programm. Sobald die Zugriffs­ prüfeinheit den Zugriff auf einen neuen Speicherbereich feststellt, gibt sie über eine Leitung 26 an den Wartungsvektorspeicher 25 ein Signal zur Löschung des Wartungsvektors. Auf diese Weise wird verhin­ dert, daß mit einem Wartungsvektor für den augenblicklichen Bereich, der berechtigt gewartet wird, ein weiterer Bereich versehentlich oder unberechtigterweise gewartet wird. Dieser Vektor gelangt in den Spei­ cher 25, wenn auch hier ein bestimmter Befehl des Rechenwerkes ausge­ führt oder ein bestimmter Wert ausgegeben wird.
Für die Prozessorerkennung sind zusätzlich ein Prozessorspeicher 28 und eine Prozessorerkennungseinheit 27 vorgesehen. Diese Erken­ nungseinheit 27 merkt sich, welcher Prozessor anfangs auf den zu wartenden Bereich zugreift, indem sie eine Kennzeichnung für diesen Bereich in den Prozessorspeicher 28 legt. Greift nun ein Prozessor auf den geschützten Bereich zu, testet die Prozessorerkennungseinheit 27, ob dieser Prozessor mit dem gespeicherten übereinstimmt. Tut er das nicht, gibt sie über eine Leitung 31 zur Ansteuerlogik 2 ein derartiges Signal, das letztere dem Prozessor den Zugriff verwehrt.

Claims (12)

1. Schutzschaltung nach dem Patentanspruch 1 der P 35 33 787.7 zur Anwendung für den Schutz von im Zielspeicher enthaltenen Daten, dadurch gekennzeichnet, daß eine mit der Ansteuerlogik (2) des Arbeitsspeichers verbundene Zugriffsprüfeinheit (11) vorgesehen ist, die vor der Übergabe dieses Vektors, der der Vektor der Präambel eines geschützten Arbeitsspei­ cherbereichs ist, auf den zugegriffen wird, bei jedem Zugriff eines Rechenwerks prüft, ob bei diesem Zugriff derselbe Speicherbereich wie bei einem vorhergehenden angesprochen wird, und die veranlaßt, daß bei Zugriff auf einen neuen Speicherbereich die Präambel aus einer vorbestimmten Stelle im Arbeitsspeicherbereich geholt wird und die Schlüsseldaten zum Vergleich mit der Identifikation dem Vergleicher (1) zugeführt werden, so daß bei Übereinstimmung der Schlüsseldaten mit der Identifikation der Vektor aus dem Zwischenspeicher (4) ent­ nommen und an das auf den Arbeitsspeicher zugreifende Rechenwerk übergeben wird.
2. Schutzschaltung nach Anspruch 1, dadurch gekennzeichnet, daß die Präambel zusätzlich Bereichsverbinder enthält, die angeben, von welchen anderen Bereichen aus auf den Bereich dieser Präambel zugegriffen werden darf, ohne daß die Schutzschaltung Schlüsseldaten und Identifikation vergleicht, daß bei Zugriff auf einen neuen Spei­ cherbereich eine Kennzeichnung für den bisherigen Bereich in einem weiteren Zwischenspeicher (13) abgelegt wird, und die Präambel für den neuen Bereich geholt wird, deren Bereichsverbinder, wie auch die Kennzeichnung aus diesem weiteren Speicher (13) einem weiteren Ver­ gleicher (14) zugeführt werden, der prüft, ob ein Bereichsverbinder auf den durch diese Kennzeichnung angegebenen Bereich zeigt, und der der Ansteuerlogik (2) in Abhängigkeit vom Resultat dieser Prüfung ein die Schutzschaltung aktivierendes oder nicht aktivierendes Signal zuführt.
3. Schutzschaltung nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, daß in einem Mehrprozessorsystem eine mit der Ansteuerlogik (2) ver­ bundene Übertragungsschutzeinheit (15) vorgesehen ist, die zur Über­ tragung von Programmen oder Daten aus einem anderen Bereich eines Prozessors in den eines anderen Prozessors ein Signal von der An­ steuerlogik (2) erhält und daraufhin die Präambel und Informations­ daten des Bereiches zusammen mit einer Zielangabe über ihre Ein/Aus­ gänge an die Übertragungsschutzeinheit (15) des anderen Prozessors abgibt, und die, wenn an einem ihrer Ein/Ausgänge, die mit den Über­ tragungsschutzeinheiten der anderen Prozessoren verbunden sind, eine Nachricht ankommt, prüft, ob sie als Ziel vorgesehen ist, wenn dies zutrifft, die Präambel und die Informationsdaten übernimmt und im anderen Fall Zielangabe, Präambel und Informationsdaten an den näch­ sten Prozessor weitergibt.
4. Schutzschaltung nach Anspruch 3, dadurch gekennzeichnet, daß eine Dekodiereinrichtung (16) vorgesehen ist, die am Eingang der Übertragungsschutzeinheit (15) der Schutzschaltung liegt und die Präambel entschlüsselt, sobald diese in die Schutzschaltung gelangt.
5. Schutzschaltung nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, daß bei Anwendung in Mehrprozessorsystemen eine Benutzungsprüfeinheit (17) vorgesehen ist, die Benutzungsdaten aus der Präambel entnimmt, die angeben, ob die Daten oder das Programm des Bereichs im jeweili­ gen Augenblick schon von einem anderen Prozessor bearbeitet werden, und die diese Daten mit dem jeweils auf den Bereich zugreifenden Pro­ zessor vergleicht und ein entsprechendes Signal (18) an die Ansteuer­ logik (2) abgibt, die für den Fall, daß Benutzungsdaten und Rechen­ werk nicht übereinstimmen und Daten oder Programm bereits benutzt werden, den Zugriff auf den Bereich verwehrt, und die, wenn die Be­ nutzungsdaten keine Rechenwerkkennung enthalten, eine Kennung für das zugreifende Rechenwerk in die Benutzungsdaten legt, oder, wenn die Benutzungsdaten eine allgemeine Kennung enthalten, jedem Rechenwerk den Zugriff gewährt.
6. Schutzschaltung nach Anspruch 5, dadurch gekennzeichnet, daß eine Neusetzeinheit (19) vorgesehen ist, die von der Ansteuerlo­ gik (2) erste Signale (20) zur Änderung der jeweiligen Benutzungsda­ ten und von der Benutzungsprüfeinheit (17) die Übereinstimmung des zugreifenden, Rechenwerkes und des in den Benutzungsdaten enthaltenen Rechenwerkes anzeigende zweite Signale (21) erhält, und die bei Vor­ liegen dieser beiden Signale über den Datenbus vom ändernden Rechen­ werk die neuen Benutzungsdaten erhält und diese in die Präambel einfügt.
7. Schutzschaltung nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, daß die Präambel im Deskriptor enthalten ist.
8. Schutzschaltung nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, daß eine Abschalteinrichtung (22) vorgesehen ist, die an ihrem Ein­ gang Wartungsinformationen empfängt und daraufhin einen Zeiger auf den augenblicklichen Bereich in einen weiteren Zwischenspeicher (23) überträgt und bei jedem Zugriff auf einen neuen Bereich, der ihr über eine Verbindung (24) mit der Zugriffsprüfeinheit (11) von letzterer mitgeteilt wird, prüft, ob für den Bereich ein Zeiger in diesem Zwi­ schenspeicher (23) liegt, und, wenn dies zutrifft oder wenn auf einen Bereich zugegriffen wird, der durch einen Bereichsverbinder mit einem Bereich verbunden ist, für den ein Zeiger existiert, zum Zwecke der Wartung die Schutzschaltung für den jeweiligen Bereich abschaltet.
9. Schutzschaltung nach Anspruch 8, dadurch gekennzeichnet, daß anstelle der Ablegung des Zeigers im Zwichenspeicher in die Präambel eine Nichtaktivierungskennung eingetragen wird, und daß die Schutzschaltung sich in einem Bereich, der eine solche Nichtaktivie­ rungskennung enthält, nicht in Betrieb setzt.
10. Schutzschaltung nach einem der Ansprüche 8 oder 9, dadurch gekennzeichnet, daß jeder Bereichsverbinder noch zusätzlich von der Abschalteinrich­ tung (22) daraufhin überprüft wird, ob in ihm eine Nichtwartungsken­ nung eingetragen ist, und daß die Abschalteinrichtung sich in einem so gekennzeichneten Bereich nicht abschaltet.
11. Schutzschaltung nach einem der Ansprüche 8 bis 10, dadurch gekennzeichnet, daß die Abschalteinrichtung (22) nicht die gesamte Schutzschaltung für den zu wartenden Bereich abschaltet, sondern statt des zu überge­ benden Vektors einen Wartungsvektor übergibt, den sie aus enem War­ tungsvektorspeicher (25) entnimmt, der mit dem Rechenwerk verbunden ist und in dem es einen Wartungsvektor gibt, und daß die Zugriffs­ prüfeinheit (11) bei einem Bereichswechsel ein Signal über eine Leitung (26) an den Wartungsvektorspeicher gibt, der daraufhin den Wartungsvektor löscht.
12. Schutzschaltung nach einem der Ansprüche 8 bis 11, dadurch gekennzeichnet, daß eine Prozessorerkennungseinheit (27) vorhanden ist, die überprüft, welcher Prozessor in einem Mehrprozessorsystem als erster auf einen abgeschalteten Bereich zugreift, einen Zeiger auf diesen Prozessor in einem Prozessorspeicher (28) ablegt und bei jedem weiteren Zugriff auf einen abgeschalteten Bereich überprüft, ob der zugreifende Prozes­ sor mit dem in dem Zwischenspeicher stehenden übereinstimmt, und über eine Verbindung (31) der Ansteuerlogik (2) mitteilt, daß der Zugriff verwehrt werden soll, wenn keine Übereinstimmung vorliegt.
DE19873709205 1985-09-21 1987-03-20 Schutzschaltung fuer informationsdaten im arbeitsspeicher Withdrawn DE3709205A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE19873709205 DE3709205A1 (de) 1985-09-21 1987-03-20 Schutzschaltung fuer informationsdaten im arbeitsspeicher

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE19853533787 DE3533787A1 (de) 1985-09-21 1985-09-21 Schutzschaltung zur sicherung der uebernahme eines geschuetzten datenstroms
DE19873709205 DE3709205A1 (de) 1985-09-21 1987-03-20 Schutzschaltung fuer informationsdaten im arbeitsspeicher

Publications (1)

Publication Number Publication Date
DE3709205A1 true DE3709205A1 (de) 1988-09-29

Family

ID=25836244

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19873709205 Withdrawn DE3709205A1 (de) 1985-09-21 1987-03-20 Schutzschaltung fuer informationsdaten im arbeitsspeicher

Country Status (1)

Country Link
DE (1) DE3709205A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2694120A1 (fr) * 1992-07-24 1994-01-28 Sgs Thomson Microelectronics Circuit de gestion de mots mémoires.
US5666077A (en) * 1993-06-11 1997-09-09 Sgs-Thomson Microelectronics S.A. Method and apparatus for detecting an operating voltage level in an integrated circuit
WO1998040821A1 (de) * 1997-03-11 1998-09-17 Siemens Aktiengesellschaft Mikrocomputer mit einer speicherverwaltungseinheit

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2694120A1 (fr) * 1992-07-24 1994-01-28 Sgs Thomson Microelectronics Circuit de gestion de mots mémoires.
EP0585149A1 (de) * 1992-07-24 1994-03-02 STMicroelectronics S.A. Speicherwörterverwaltungsschaltung
US5384749A (en) * 1992-07-24 1995-01-24 Sgs-Thomson Microelectronics S.A. Circuit for the management of memory words
US5666077A (en) * 1993-06-11 1997-09-09 Sgs-Thomson Microelectronics S.A. Method and apparatus for detecting an operating voltage level in an integrated circuit
WO1998040821A1 (de) * 1997-03-11 1998-09-17 Siemens Aktiengesellschaft Mikrocomputer mit einer speicherverwaltungseinheit
US6487649B1 (en) 1997-03-11 2002-11-26 Siemens Aktiengesellschaft Microcomputer

Similar Documents

Publication Publication Date Title
DE3048365C2 (de)
DE3689569T2 (de) Verfahren zur Systemdateiensicherung und Datenverarbeitungseinheit zu dessen Durchführung.
DE3750249T2 (de) Privilegausführung in Mikroprozessoranordnungen zur Verwendung in der Software-Gütersicherung.
DE69533312T2 (de) Geschütztes speichersystem und verfahren dafür
EP0512542B1 (de) Datenschützende Mikroprozessorschaltung für tragbare Datenträger, beispielsweise Kreditkarten
EP0011685B1 (de) Programmierbare Speicherschutzeinrichtung für Mikroprozessorsysteme und Schaltungsanordnung mit einer derartigen Einrichtung
DE10345385B4 (de) Entschlüsselung bzw. Verschlüsselung bei Schreibzugriffen auf einen Speicher
EP0951673B1 (de) Verfahren zur überwachung der vorgeschriebenen ausführung von softwareprogrammen
EP0600112A1 (de) Datenverarbeitungsanlage mit virtueller Speicheradressierung und schlüsselgesteuertem Speicherzugriff
DE19536169A1 (de) Multifunktionale Chipkarte
DE2758152A1 (de) Speicherschutzanordnung
DE10115118A1 (de) Verfahren zur Übertragung von Daten über einen Datenbus
DE3432721C2 (de)
EP1118941B1 (de) Mikroprozessoranordnung und Verfahren zum Betreiben einer Mikroprozessoranordnung
WO2000008558A1 (de) Programmgesteuerte einheit und verfahren zum debuggen derselben
DE2810421C2 (de) Speicherschutzeinrichtung
EP0935214B1 (de) Chipkarte mit integrierter Schaltung
EP0224639A1 (de) Verfahren zum Kontrollieren eines Speicherzugriffs auf einer Chipkarte und Anordnung zur Durchführung des Verfahrens
DE68928608T2 (de) Versichertes Fernladungssystem eines Terminals
EP0276450A1 (de) Datenschutzschaltung zur Sperrung der Uebertragung von Signalen über einen Bus
EP1248200A1 (de) Verriegelungsschaltung zur Verhinderung eines unzulässigen Zugriffs auf die Speichereinrichtung eines Prozessors
EP1636700A1 (de) Verfahren zum nachladen einer software in den bootsektor eines programmierbaren lesespeicher
DE3709205A1 (de) Schutzschaltung fuer informationsdaten im arbeitsspeicher
WO2003048943A2 (de) Speicher für die zentraleinheit einer rechenanlage, rechenanlage und verfahren zum synchronisieren eines speichers mit dem hauptspeicher einer rechenanlage
WO2000022533A1 (de) Verfahren zur verbindung von stackmanipulationsangriffen bei funktionsaufrufen

Legal Events

Date Code Title Description
AF Is addition to no.

Ref country code: DE

Ref document number: 3533787

Format of ref document f/p: P

AF Is addition to no.

Ref country code: DE

Ref document number: 3533787

Format of ref document f/p: P

8141 Disposal/no request for examination