JP2001524229A

JP2001524229A - コンピュータシステムの安全保障性能向上用の安全保障形共同プロセッサ

Info

Publication number: JP2001524229A
Application number: JP53585198A
Authority: JP
Inventors: エー．，シニアヘルビッグ，ウォルター; エイチ．ザサードアッカーマン，ウイリアム
Original assignee: ピーシーエスイーシー，リミティドライアビリティカンパニー
Priority date: 1997-02-13
Filing date: 1998-02-10
Publication date: 2001-11-27
Also published as: EP1013023A4; EP1013023A1; EP1013023B1; WO1998036517A1; ATE308171T1; KR20000071056A; DE69832082D1; KR100543268B1

Abstract

(57)【要約】安全保障性能の向上させられたコンピュータのシステムの配置は、従来のコンピュータのシステムの構成に挿入された協働プロセッサ（10）および多重プロセッサ論理制御装置（38）を包含する。協働プロセッサおよび多重プロセッサ論理制御装置は従来のコンピュータシステムのCPUの間に介在させられCPUと協働するクリティカルな制御信号ラインの或るものを通過する制御信号を横取りし置換する。CPUは制御信号が再びCPUとコンピュータシステムの間を進行することを許容することにより解放される。CPU制御信号をコンピュータシステムの残余部分から隔離することは、多重プロセッサ論理制御装置（38）が正規のコンピュータシステムの作動に任意の時点で割込みを行うことを許容し、コンピュータシステムにおけるファームウェアまたはソフトウェアのデジタルなシグネチャを点検する。このようにして多重プロセッサ論理制御装置の配置は従来のコンピュータシステムのCPUを従来のコンピュータシステムの残余部分から隔離し、CPUについての個別の制御およびコンピュータシステムの残余の部分についての個別の制御を可能にする。

Description

【発明の詳細な説明】コンピュータシステムの安全保障性能向上用の安全保障形共同プロセッサ発明の分野本発明はコンピュータの安全保障（security）の分野に関し、コンピュータの安全保障の侵害を検出およびまたは防止する能力に関する。発明の背景コンピュータ・システムは、有用なデータまたはプログラムを盗用したり汚染しようとする侵入者により攻撃を受ける。攻撃者はセキュリティ対策を打破する種々の技術を有し、コンピュータ・システム資源へとアクセスする。斯かる攻撃は一般的に、コンピュータ制御ソフトウェアの一定重要部分の内容を変更することに掛かっている。ひとつの例は、割り込みベクトルのテーブル内のエントリを変更し、冒された割り込みが実行されるときに実行を埋め込みプログラムに移すことである。他の種類の攻撃としては、ハードディスクのブート・セクタの部分の書き換えまたはBIOSソフトウェアの変更が挙げられる。いずれの場合にも、埋め込みプログラムが実行されると攻撃者がコンピュータ・システムへとアクセスできるようになる。侵入を防止するひとつの手法は、コンピュータ制御ソフトウェアの重要部分を含むRAMまたはディスクのメモリ空間の領域を、特定条件下以外では上書きから保護することである。一定のコンピュータ・アーキテクチャにおいては、ソフトウェアのアドレス空間は２つ以上の保護リングに分割されている。而して、予防的保護対策は相当に複雑であるとともに、保護対策を巧みに逃れるべく攻撃者が利用し得る弱リンクを含むのが一般的である。例えば、２重リング・アーキテクチャを使用するUNIXのオペレーティング・システムにおいては、特権の少ない外側リングでプロセスを実行する為の内側リングのルートアクセス用の機能がある。外側リングにおけるプロセスは保護された内側リングのメモリ空間内におけるルート・プロセスとして実行可能であることから、プロテクテッド・メモリを制御するコンピュータ制御ソフトウェアの一部を変更することが依然として可能である。プロセッサのリングレスの実アドレス・モードを使用するIBM互換PCの標準稼働DOSにおいては、任意のプログラムによるシステム・ソフトウェアの汚染を防止するアーキテクチャ制約は無い。インテル386及び最近のマイクロプロセッサのリアル・アドレッシング・モード及びプロテクテッド・アドレッシング・モードを使用しても、通常はプロテクテッド・モードからリアル・モードへとアクセス可能であることから、プロテクテッド・モードで設定されたセキュリティ機能を迂回する不法手段を構成する。上記の対策は、侵入を防止すべく設計されている。犯行の後で侵入を検出することは、別の種類の問題である。侵入が行われたか否かを検出する手法のひとつは、コンピュータ制御ソフトウェアのいずれかの重要部分が変更されたか否かをチェックすることである。一般的に、ファイルの変更を検出するには、そのファイルのデジタル署名(digital s ignature)を種々の技術のひとつを使用して計算するが、それは、1995年４月17 日に刊行された“機密ハッシュ規格(Secure Hash Standard)”、FIPS PUB 180-1 にて国立規格技術研究所(National Institute of Standards and T echnology)により記述された不可逆ハッシュ・アルゴリズムなどである。この種のデジタル署名は、改変検出コード(MDC)、操作認証コード(MAC)またはメッセージ・ダイジェストとしても知られている。上記に記述されたハッシュ規格は安全なものとされている、と言うのも、与えられたメッセージ・ダイジェストに対応するメッセージを発見し又は同一のメッセージ・ダイジェストを生成する２個の異なるメッセージを発見することは計算では実現不可能だからである。システム・ソフトウェアを照合する改変検出コード及び信用アプリケーション・プログラムを使用したシステムは、米国特許第5,421,006号に示されている。信頼ある操作者(trusted operator)は、コンピュータ制御ソフトウェアまたはデータの各重要部分に対するデジタル署名の計算を開始する。重要プログラム領域または制御ソフトウェアは、実行可能プログラムまたは重要システムデータ（例えば、データエントリのテーブル）のいずれかであり得ることを銘記されたい。結果的なデジタル署名の組は、メモリの安全領域に格納される。後の時点において、コンピュータ制御ソフトウェアまたはデータの同一重要部分のデジタル署名を再計算すると共に、再計算されたデジタル署名の各々を先に格納された対応デジタル署名と比較することにより、当該システムはチェックされ得る。もし再計算されたデジタル署名が最初に計算されたデジタル署名と同一でなければ、エラー状態がユーザに対してフラグ化されて侵入不正変更の検出が表示される。しかし、セキュリティ・シーケンス自体の作用を攻撃者が変更しなかったことは保証されず、不正変更検出システムを無力化している。例えば、電源投入またはシステムリセット時にコンピュータは、変更に対して内容がチェックされていないコンピュータ自身のBIOSメモリ内容を使用してシステムを初期化する。上記で引用した米国特許第5,421,006号においては、実行BIOSによりロードされたブート・レコードはチェックされるが、BIOS自体は実行前に照合されない。同様に、BIOSエクステンションは照合なしで実行される。引用した上記米国特許においては、BIOSは読出し専用メモリに格納されるものと示されているが、最近のアーキテクチャは電気的変更可能なEEROMをBIOS格納に使用している。（後で署名チェックを行うか否かに関わりなく）照合なしでスタートアップ時にBIOS及びそのエクステンションを実行することは、エントリを獲得すべく利用され得る潜在的な弱リンクを残すことになる。コンピュータ・セキュリティの侵入を防御的に阻止すること、及び、セキュリティの侵入を検出することは別であるが、関連した目標である。実質的に全てのコンピュータ・セキュリティの侵入を防御的に阻止するというコンピュータ・セキュリティ・システムは、該システムが安全でない別のコンピュータに接続され得る限り、依然として達成困難である。セキュリティ侵入のリアルタイムの検出または略々リアルタイムの検出は、損害が発生する前に処理のシャットダウンを開始して更なる侵入を防止するに十分なだけ迅速とすべきである。信頼性のある検出だけでは侵入を阻止しないが、それを迅速に通報して監査証跡を提供することにより損害は制限される。実質的に全てのコンピュータ・セキュリティへの侵入を信頼性を以て検出する検出システムを提供することが望ましい。侵入の検出はまた、検出システムへの一切の攻撃の検出も含んでいる。この目的の為に検出システム自体は攻撃に対して十分に不浸透性(impervious)とされ、その重要機能すなわち攻撃検出機能を成就可能とせねばならない。発明のサマリー本発明に依れば、従来のコンピュータ・システムのアーキテクチャに対して新規な手法で共同プロセッサ(coprocessor)装置が挿入される。詳細には、上記共同プロセッサ装置は中央処理ユニット(CPU)とコンピュータ・システムの残部との間に介設され、両者間において一定の重要制御信号ラインが通過するのを該共同プロセッサが阻止し得るものである。その様にして、上記共同プロセッサ装置は従来のコンピュータ・システムを該コンピュータ・システムの残部から隔離する故に、該共同プロセッサはCPU及びコンピュータ・システムのいずれからも異なる制御を獲得し得る。CPU制御信号をコンピュータ・システムの残部から隔離することにより、上記共同プロセッサは、コンピュータ・システムの一切のファームウェアまたはソフトウェアが最初にまたは後の任意の時点で使用される前の任意の時点で通常のコンピュータ・システム作動に割り込みをかけて該ファームウェアまたはソフトウェアのデジタル署名をチェックできる。本発明のシステムは例えば、CPUとしてIntelのI486マイクロプロセッサを有する既存のPCシステムに対し、そのマザーボード上のソケットからCPUを取り外すと共に、ASIC（特定用途IC）、ドーターボード(daughter board)または他の形態のマルチチップ・モジュール(MCM)として空きCPUソケットへ挿入することにより改装組込み可能である。取り外されたI486はドーターボード上のソケットへと再挿入される。CPUに対する制御信号の入出力は、通常のCPU制御信号を遮断すると共に必要に応じて共同プロセッサが作動する為の他の制御信号を置換するドーターボード上のロジックを介して受け渡される。CPUとコンピュータ・システムとの間の制御信号の再度の受け渡しを許容することによりCPUは復旧せしめられる。データ及びアドレス信号はドーターボード上のラインを介して直接的に CPUとコンピュータ・システムとの間で接続されると共にドーターボード上のロジックへも接続される。将来的なシステムにおいては、ドーターボードの機能は部分的にもしくは全体的にマザーボード内に組み込まれ、および／または、全体的にもしくは部分的に将来的なICマイクロプロセッサに集積化される。上記ドーターボードは更に、RISCマイクロプロセッサ・チップ及びマルチプロセッサ論理制御器の形態の共同プロセッサ・サブシステムを含んでいる。上記マルチプロセッサ論理制御器は、ハードウェアにより制御されると共に一個以上の書き換え可能ゲート・アレイ(FPGA)ならびに一個以上の不揮発メモリIC内のファームウェアにより実現された有限状態マシンである。上記マルチプロセッサ論理制御器は、関連制御信号ラインを従来のPCコンピュータ・システムのCPU及び残部からいつ切断していつ再接続するかを決定する。CPUがコンピュータ・システムの残部から切断されている間、上記マルチプロセッサ論理制御器はCPU及びRIS C共同プロセッサの働きを許容制御することにより、コンピュータ・システムの構成要素のセキュリティ・チェックを実行する。制御信号ラインの切断及び再接続は、（リレーなどによる）物理的なもの、（光カプラなどによる）光学的なもの、（半導体スィッチなどによる）電気的なもの、又は、（論理ゲートなどによる）論理的なものとされ得る。（CPUとの間で制御信号を搬送する）双方向的な制御信号ラインは、切断されると共にいずれかの方向に挿入された制御信号を置換し得る。例えばドーターボード上のマルチプロセッサ論理制御器はCPU制御信号を捕捉( capture)かつ解放(release)すると共に、それ自体のファームウェアによりCPUを作動させ、所定コンピュータ・ファイルに対するデジタル署名の生成または照合をRISC共同プロセッサ・サブシステムに行わせる。この目的の為に、コンピュータ・システムの残部に対する制御は、ファームウェアに従い、上記マルチプロセッサ論理制御器によりRISC共同プロセッサとCPUとの間で相互に受け渡される。一個以上のデジタル署名の照合が完了したなら、マルチプロセッサ論理制御器はコンピュータ・システムのCPUと残部との間の接続を再確立し、当該システムは通常のPC 作動を再開する。通常のコンピュータ作動においてCPUはマザーボードから通常方式でデータ及び制御信号を受信する。信頼ある操作者の要求があれば上記RISC共同プロセッサは該信用オペレータにより指示されたファイルに対するデジタル署名を計算する。RISC共同プロセッサはそれらのデジタル署名を記憶する。保護の対象となる典型的なファイルは、BIOSメモリ、DOS、割り込みテーブル、及び、ルート・ディレクトリのautoexec.bat及びconfig.sysファイルである。記憶されたデジタル署名は、一切の侵入が生ずる前におけるコンピュータ・システムの保護状態すなわちコンピュータ制御ソフトウェア・ファイルの選択重要部分の状態を表している。ドーターボード上の回路の作用は通常作動に対しては透過的である。当該システムが再始動される毎に、侵入に対する新たなチェックが実行される。電源投入時またはシステム・リセット時のシステム・セキュリティ・チェックそれまでの侵入を検出すべく、上記RISCプロセッサ及びCPUは電源投入時に（またはハード・システム・リセットに続いて）交互にクロス・チェックを実行する。ドーターボードにおけるマルチプロセッサ論理制御器は最初にCPU制御信号ラインを支配してから、CPU及びドーターボードのRISCプロセッサの両者に対し、それらのビルトイン自己診断ルーチンを実行させる。次にCPUはドーターボードのフラッシュRAMに記憶されたファームウェアを実行するが、該ファームウェアはRISC共同プロセッサに対し、該RISC共同プロセッサのソフトウェア関連自己診断ルーチンの実行を命令するものである。この時点においてCPU は作動を一時停止(halt)すると共に、RISC共同プロセッサは自己チェック・ルーチン及びドーターボード上のメモリのテストなどのシステム・チェックを実行する。これらのテストが好首尾に完了したなら、RISC共同プロセッサは作動を一時停止し、CPUが作動を再開する。もし信用オペレータがこの時点においてBIOS RO Mがテストされるべきことを予め選択していれば、CPUはRISC共同プロセッサがBI OSテストを実行することを要求すると共に、RISC共同プロセッサがテストを実行すべく作動を再開する間にCPUはその作動を一時停止する。次にRISC共同プロセッサはマザーボード上のBIOSに対するデジタル署名を計算し、BIOSに対して以前に生成されてドーターボードに記憶された署名と比較する。もし、再計算されたデジタル署名が以前に計算されたデジタル署名に対して照合されれば、CPUは解放されると共に、他の信頼ある操作者が指定したテストの実行、又は、通常のPC作動に対して必要とされる他の全てのテーブル及びパラメータを設定するBIOSの通常実行の開始、が許容される。 CPUによる通常BIOS実行の最後の部分としてCPUは、コンピュータ・システムの構成要素のいずれかがビルトインBIOSに対するエクステンションを有するか否かを調べてから、存在が発見されたBIOSエクステンションを実行する。BIOSエクステンションのひとつとして作動することにより、（ドーターボード上のBIOSエクステンションの実行により）ドーターボード上のマルチプロセッサ論理制御器は、CPUがシステム・ブート・アップ・ファームウェアを実行し得る前に(CPUの制御信号ラインを支配することにより)CPUを再支配する。次に、先に指定された信頼ある操作者の選択により指示された如くドーターボードは、(システムのRAM及びハードディスク・セクタに対する直接アクセスにより)DOS、割り込みテーブル、autoexec.bat及config.sysファイルのデジタル署名、または、信頼ある操作者により予選択された他の重要プログラムのデジタル署名をチェックする。もし信用オペレータにより指定されたシステム構成要素の全てのデジタル署名をドーターボードのマルチプロセッサ論理制御器システムが照合したなら、CPU は解放されてシステムはブートして通常的に実行することが許容される。この時点から、ドーターボードの存在はコンピュータ・システムの作動に対して透過的となる。信頼ある操作者により保護されるべく設計されたコンピュータのBIOSファームウェアのいずれかの部分を変更した、以前の何らかのコンピュータ・システム攻撃は、次のシステム・リセットまたは電源投入時にエラー状態として現れる。BI OSエクステンション・ファームウェアのいずれか、又は、信頼ある操作者により保護されるべく設計された重要ソフトウェアのいずれかに対する一切の攻撃は、ハード・リセットまたはソフト・リセット(CTRL-ALT-DELのキーストロークの同時押圧により命令されたリセット)であれば、一切の種類の次のシステム・リセット時にエラー状態として現れる。この様にして、コンピュータ・セキュリティを突破した可能性のある侵入が検出される。監視作用本発明の第２の側面に依れば、上記共同プロセッサ装置はセキュリティ・モニタとして利用され得る。セキュリティを監視すべく、透過的に作動し乍らドーターボード上のマルチプロセッサ論理制御器は、CPUに対する制御、データ及びアドレス・ラインを監視する。特に、重要プログラムまたはデータを含むプロテクテッド・メモリに対する書き込み操作が監視される。もし信頼ある操作者により保護されるべく設計されたコンピュータ制御ソフトウェアの重要部分のいずれかが変更されようとしたなら、マルチプロセッサ論理制御器はCPUの制御を支配し、アラームが鳴り出してシステムはシャット・ダウンする。もしエラー状態が反復するなら、システムは信頼ある操作者によってのみ再始動され得る。その様にして、コンピュータ・セキュリティの突破の可能性を表す侵入は突破が生ずる前に阻止される。本発明の共同プロセッサ・アーキテクチャの単一プロセッサによる実現上記CPU、マルチプロセッサ論理制御器及びRISC共同プロセッサの間における機能の分割は極めて柔軟性がある。理論的には、マルチプロセッサ論理制御器の一定の機能はRISC共同プロセッサ・ソフトウェアに組み込まれ得る。但し、CPU に対する制御信号の物理的遮断はハードウェアにより実現されるのが自然である。これに加え、アドレス・バス上の禁止アドレスの出現に応答し、又は、電源投入時に制御を支配する上で必要な速度の故に、マルチプロセッサ論理制御器はハードウェアで実現するのが好適である。同様に、上記CPU及びRISC共同プロセッサはマルチプロセッサ論理制御器の制御下でそれらの作動を交互実施する（一方が始動するときに他方は停止する）ことから、CPUが両方の機能を実行すればRISC共同プロセッサは排除され得る。斯かる場合においてマルチプロセッサ論理制御器はCPUの制御を、PCにおける通常環境からドーターボード上の保護環境へと切り替える。ドーターボード上の保護環境において、CPUはRISC共同プロセッサのセキュリティ機能を実行し得る。但し、単一個のプロセッサが通常のPC機能とセキュリティ機能との間で切り替え使用されることの主な利点は、単一個のプロセッサによる経済性である。RISC共同プロセッサを排除したことのトレードオフとしてセキュリティが低下するが、一定の市販アプリケーションでは容認され得るものである。セキュリティを高めるのであれば、別体で独立した共同プロセッサが使用される。汎用共同プロセッサのアーキテクチャ本発明の更なる側面によれば、上記RISC共同プロセッサは汎用共同プロセッサとして活用され得る。通信は、マルチプロセッサ論理制御器により監視されるデータ及びアドレス・ラインを介して行われる。アドレス及びデータ形態の一定の組合せは、特定のタスクの実行をRISC共同プロセッサに命令する。このタスクを実行する為にマルチプロセッサ制御ロジックはPCの制御を支配して制御をRISC共同プロセッサに移し、該RISC共同プロセッサは要求されたタスクを実行する。上記タスクが行われたとき、上記RISC共同プロセッサはCPUが利用し得るメモリ空間にタスク結果を格納すると共に、マルチプロセッサ論理制御器を介してPCの制御をCPUに戻す。代替実施例において、上記RISC共同プロセッサはアドレス及びデータラインを支配してタスク結果をRAMメモリ内にロードし、または、その結果をCPUの汎用レジスタのひとつに委ねても良い。上記RISC共同プロセッサ及びCPUは両者ともに、別体の共有メモリアドレス空間を有している。上述の如く共有メモリ空間は、プロセッサ間通信の為に使用される。RISC共同プロセッサにおける別体の専用アドレス空間により、RISC共同プロセッサにより実行されたセキュリティ処置によってはCPUが不当変更され得ないことが確実となる。CPUの制御ラインを遮断する能力をRISC共同プロセッサが有すると共に、CPU及びRISC共同プロセッサに対して別体のメモリアドレス空間を使用することにより、本発明の共同プロセッサ装置のセキュリティには高レベルの信頼性が与えられる。本発明を使用することにより、RISC共同プロセッサによりソフトウェアが最初に照合されなければ（マザーボードBIOSを含む）ファームウェアまたはソフトウェアのいずれをもCPUは実行しない様に、信頼ある操作者によりコンピュータ・システムは設定され得る。照合を何処でスタートするか（何処で開始するか）に関する先行技術の問題を解決すべく、本発明に係るマルチプロセッサ論理制御器はCPUの制御を支配することにより開始することから、信頼されないソフトウェアが実行される可能性は無い。その後、RISC共同プロセッサによりシステム・ソフトウェアが順番に照合されたとき、CPUもまた順番に、照合されたソフトウェアを続々と実行することが許容される。先行技術と比較し、信用オペレータが信用状態を示してから何も変更されていないBIOSの実行の絶対的始動時点の前においてさえも、全てのレベルにおいてシステム・ソフトウェアは照合される。図面の説明図１は、本発明に係るセキュリティ強化プロセッサ・ボードのブロック図である。図２Ａ及び図２Ｂは、I486CPU作動制御用の本発明に係る論理制御器の状態図である。図３は、RISC共同プロセッサ作動制御用の本発明に係る論理制御器の状態図である。図４は、本発明に係るマルチプロセッサ・システムの侵入検出作用のフローチャート図である。図５は、本発明に係るマルチプロセッサ・システムの侵入阻止作用のフローチャート図である。図６及び図７は、I486 CPU、RISC共同プロセッサ(MYK-80)及びドーターボードのフラッシュRAMのメモリ空間のメモリ割り当てマップである。図８は、本発明に係るセキュリティ強化プロセッサ・ボードのブロック図である。図９は、本発明に係るセキュリティ強化プロセッサ・ボードにより遮断、バイパス(bypass)及び監視される信号を列挙したテーブルである。図１０は、信頼ある操作者のインタフェース・プログラムにより提供される選択性の図である。詳細な説明概要図１には、本発明に係るセキュリティ強化プロセッサ・ボード(SEPB)を形成する機密保持共同プロセッサを備えたコンピュータのブロック図が示されている。上記SEPBは、Intel I486 CPU 24、および、機密保持共同プロセッサとしてプログラムされたRISC共同プロセッサMYK-80 10の２重マイクロプロセッサ配置構成から成る。上記MYK-80は、ARN6 RISCマイクロプロセッサ、ルーチンを構成するファームウェアを記憶する一定量のROM、および、MYK-80ならびに外部操作をサポートするに必要な他のロジックの特定用途結合体である。上記MYK-80はMyko tronix社により設計されると共にVLSIテクノロジ社により調製されたものである。Mykotronix社はMYK-80およびその資料に対する技術サポートを行う。２個のマイクロプロセッサ10、24に対し、32ビット・ワイド・メモリとして構築されると共にMYK-80およびIntel 80486マイクロプロセッサに対する専用プログラムおよびデータを保持する２組のRO MであるMPROM 28およびIFROM 30と、共有32ビット・ワイドRAMであるSRAM 26とが配備される。上記SEPB上には、ホストPCの概略的作用ならびにMYK-80およびI4 86マイクロプロセッサの作用を制御するロジックを提供する２個のFPGA、すなわち制御FPGA2 40(MYK80CT2)及び制御FPGAl 38(I486CTB)が在る。また、MYK-80、I 486及びPC電子機器の間の全ての通信をプロセッサ・アドレス・バス32およびプロセッサ・データ・バス34を介して制御する２個のFPGA、すなわちアドレス・バス・セパレータFPGA 12(SEPBABUS)及びデータ・バス・セパレータFPGA 14(SEPBD BSB)が在る。FPGA 12および14はサブシステム制御バス18を介してMYK-80に対し、I486プロセッサ・アドレス・バス32およびI486プロセッサ・データ・バス34からMYK-80サブシステム・アドレス・バス20およびMYK-80サブシステム・データ・バス22を夫々分離するのを許容する。既存のホストPCに対するアドオン・ボードとして設計されたときに上記SEPBはホストPCにおけるI486 CPUの168ピンPinGridと同一のコネクタを有することから、該SEPBはI486 CPUを保持するのと同一のソケットにおいてホストPCに差込まれ得る。次にI486 CPUがSEPB上に用意されたソケットに差込まれる。尚、プロセッサ・アドレス・バス32およびプロセッサ・データ・バス34はI486 CPUに対して定常的に接続されると共にFPGA 12および14を介してMYK-80を選択的に接続し、プロセッサ・アドレス・バス32上でアドレスを転送すると共にプロセッサ・データ・バス34上ではデータを送受信することを銘記されたい。但し、 I486 CPU 24に対して通常的に直接的に接続されたプロセッサ制御バス36の一部は、FPGAl 38およびFPGA2 40にビルトインされたマルチプロセッサ論理制御器の制御の下でI486 CPU 24からFPGA 38により分離される。その様にして、CPU 24に対する共同プロセッサとして作用しているマルチプロセッサ論理制御器は、CPU 24のプロセッサ制御バス(部分A)36の信号を遮断すると共に他のプロセッサ制御バス(部分A)36Aの信号を(CPUに対する信号およびCPUからの信号を制御する)FPGA 38の出力にて置換することにより、C PU 24を支配し得る。残りのプロセッサ制御バス(部分B)36Bは、I486 CPU 24に対して直接的に接続される。上記マルチプロセッサ論理制御器はI486に対して特定コードの実行を許容するが、該I486はそのときにMYK-80プロセッサ10に対して（通常はセキュリティ関連タスクである）タスクを実行することを要求し得る。電源投入回路16およびリセット信号42はFPGA 38および40に連結される。図８および図９には、上記SEPBのロジックにより生じせしめられる信号の更に詳細なブロック図が示されている。図８において、SEPBロジック806は、プロセッサ側とマザーボードとの間で行き来806、808する17本の信号を遮断する。遮断された17本の信号は図９において、遮断の各側におけるテーブル904およびテーブル906に列挙されている。図８における67本の信号は上記SEPBロジックにより監視804される。これらの67本の監視信号は図９でテーブルテーブル904に列挙されている。図８における16本の信号はSEPBロジックによりバイパス802される。これらの16本のバイパス信号は図９ではテーブル902に列挙される。（I486 CPU 24に関して）従来のホストPCシステムを構成する図１の部分は、I/O インタフェース44、インタフェース制御器48、EISAコンバータ50、関連DRAMメモリ54を備えた拡張メモリ制御器52、並びに、マスタ・メモリ制御器46およびDRAM メモリ56を含んでいる。共同プロセッサ10、SRAMメモリ26、FROMメモリ28、FPGA 12、14、38、40およびFROM 30は、ホストPCシステムに付加されてセキュリティ強化プロセッサ・ボードを形成する要素を構成する。安全でないホストPCがアップグレードされる場合、後に述べた方の要素はプラグ・イン・ドーターボードを介して付加される。但し後に述べた方の要素は、従来のマザーボード上に付加され、または、特定用途I486 CPU内に完全にまたは部分的に一体化されても良い。侵入検出（図４）侵入検出の為の本発明の共同プロセッサの使用法のフローチャートは図４に示されている。侵入検出機能はリセットまたは電源投入時にステップ60にて開始され、其処でドーターボード上のマルチプロセッサ論理制御器はCPUの制御信号ラインを支配する。最初にステップ62にてマルチプロセッサ論理制御器は、CPUがその自己テストを行うと同時に、RISCプロセッサがその自己テストおよびメモリならびにSEPBハードウェアなどのRISC SEPBファームウェアにプログラムされた他のテストを行うことを要求する。これらのテストの実行が完了されたとき、RISCプロセッサの作動は一時停止される一方、CPUの作動はCPU SEPBファームウェアの実行により継続される。上記制御器がCPUファームウェアの第１部分を実行すると、RISCプロセッサのソフトウェア関連自己テストを実行する為の要求をSRAMを介してRISCプロセッサに受け渡すことになる。上記要求がSRAMに通知されたならCPUは操作を実行するが、該操作により、CPUのファームウェアの実行が一時停止され、且つ、RISCプロセッサはそのファームウェアを実行すべく作動を開始すると共にCPUによりSRA Mに通知された要求メッセージをフェッチして該要求をインタープリットした後で、要求された自己テストを実行する。RISCプロセッサがそのソフトウェア関連自己テストの実行を完了した後、該RISCは、そのファームウェアの実行を一時停止すると共にCPUファームウェアの実行を再開する操作を行う。この時点において、もし信用オペレータの先行オプションにて、一個以上のデジタル署名照合テストをSEPBが実行すべき要求がCPU SEPB FROMに記憶されていれば、CPUファームウェアは一回にひとつのメッセージをSRAMに通知することにより、所望のデジタル署名照合テストが実行されることを要求する。前述と同様に、上記要求がSRAMに通知されたならCPUは操作を実行するが、該操作により、C PUのファームウェアの実行が一時停止され、且つ、RISCプロセッサはそのファームウェアを実行すべく作動を開始すると共にCPUによりSRAMに通知された要求メッセージをフェッチして該要求をインタープリットした後で、要求されたデジタル署名照合テストを実行する。RISCプロセッサが要求された照合の実行を完了した後、該RISCは、そのファームウェアの実行を一時停止すると共にCPUファームウェアの実行を再開する操作を行う。上記CPUは、そのFROMに記憶された３個のテスト要求テーブルの最初のものに記憶されたテストの各々に対し、RISCプロセッサにより実行されるべきデジタル署名照合テストの要求を通知する。斯かるテスト要求の各々に対し、SEPBの構成要素により行われる操作は上述のものと同一である。この第１のテスト要求テーブルに列挙された全てのテストが行われた後、CPU はSEPBファームウェアの実行からPCのBIOSファームウェアの実行へと遷移を行う。上記SEPBロジックによればこの遷移は、PCがそのCPU自己テストを行うべく構築されていてもいなくてもSEPBが設置されていないPCで為されるであろう遷移と同一の手法で確実に行われる。典型的には、SEPBが設置されたPCにおいて信頼ある操作者は、ステップ64にて、CPUマザーボード上のBIOS ROM(またはFROMまたはEPROM)、ドーターボード上の ROM、及び、PCに設置された一切のBI OSエクステンション装置上のROMの内容に関するデジタル署名照合テストをSEPB が行う如く、システムを設定する。各自己テストおよびデジタル署名テストが行われた後、RISC共同プロセッサは応答メッセージを上記SRAMに通知してテストの結果を示す。もしテストされた構成要素が照合テストに合格すれば、CPUには、それがその作動シーケンスを継続して別のテストを実行し得ることが告げられる。第１テスト・テーブルに列挙された全てのテストに合格した後、CPUは遷移操作を行うことから該CPUはシステム BIOSの実行開始が許容される。もし上記テストのいずれかが不合格であれば、上記RISCプロセッサにより上記SRAMに通知された結果メッセージはCPU SEPBファームウェアにより、不合格可聴アラーム信号を鳴らしてからシステムをシャット・ダウンし且つその作動を再開する前に次のハード・リセット信号を待つ、というコマンドとして解釈される。上記SEPBロジックおよび上記CPU SEPBファームウェアによりCPUがその作動をシステムBIOSの実行のひとつへと遷移した後、上記SEPBはPCに対して完全に透過的であり、すなわち、PCの作動には何らの影響を与えず且つPCからは見えないことを銘記されたい。この間、および、SEPBがPC作動に対して透過的である他の期間の間、PC上で実行されつつあるプログラムに対してはSEPB BIOSエクステンション・コードのみが見える。PCに設置されたペリフェラル制御器は斯かる装置が通常的に利用できる接続を用いては上記SEPBを検出し得ないことから、一切の遠隔装置がPC内の一切の装置の一切の作用により上記PCにおける上記SEPBの存在を検出するのが防止される。一方、上記SEPBは自身が接続されたCPU信号を監視し続け、上記SEPB BIOSエクステンション・コードを読み取る又はこのBIOSエクステンション・コードを実行する通常的PC作用に対して自身が応答すベきか否かを決定する。上記SEPBはまたこれらの信号を監視し続け、セキュリティへの侵入として自身が報告且つ／又は阻止すべき事象の発生に対して自身が応答すべきか否かを決定する。上記CPUがそのBIOSファームウェアを実行してPCを設定した後、それはPCに設置されたペリフェラル制御器に対するBIOSエクステンション・ファームウェアを探索して実行することによりシステムの設定を完了する。ステップ68にて、上記 SEPBのマルチプロセッサ論理制御器はこれらのペリフェラル制御器のひとつを装うことにより上記CPUを再支配し、そのBIOSエクステンション・ファームウェアの実行を引き起こす。上記PCがSEPB BIOSエクステンション・ファームウェアをを実行する間、ステップ70にてはCPUの制御をSEPBに再び受け渡す段階が実行される。この時点においてSEPBはその第２テスト・テーブルを探し、RISCプロセッサが行うべきであると自身が要求すべき（信用オペレータのオプションにて先に選択された）デジタル署名照合テストが在るか否かを決定する。このときに行われるべき斯かる照合テストは、ホストにおけるPC RAMおよびハードディスク・トラック・セクタに直接的にアクセスすることによる、PCブート・セクタ割り込みテーブル、autoexec.batファイル、config.sysファイル、および、他の作動重要ファイルの内容に関するテストであろう。RISCプロセッサが上記テストを行うことを要求すべく、上記CPUは上記と同様にSRAM内に要求メッセージを通知してからそのSEPBファームウェアの実行を一時停止すると共に上記と同様にそのSEPBファームウェアのRISCプロセッサ実行を開始する。上記RISCプロセッサは要求されたテストを上記と同様に実行してから上記と同様にその作動を一時停止してCPU 作動を再開する。上記SEPBがその機能を実行しているとき、CPUすなわちI486およびそのRISCすなわちMYK-80はFPGAにより実現されたマルチプロセッサ論理制御器の制御下で作動を交互実施する。すなわち、一方のプロセッサが作動を開始すると他方が一時停止し、又はその逆となる。第２のSEPBテスト・テーブルの内容により要求されたテストの全てに合格すると、上記SEPBはCPU接続を、PCが通常的に作動するのを許容する状態に戻す。（上記と同様に、もしこれらのテストのいずれかが不合格であればPCはシャット・ダウンして、上記と同様に最初からシステム作動を開始するハード・リセットを待つ）。この時点においてPCのオペレーティング・システムはステップ72にて通常的にブート・アップすることが許容される。ブート作動の為にI486 CPUがPCへと向けられたとき、上記SEPBはその監視を除き再び透過的となる。図４は、この相互制御をフローチャートの処理ステップの位置で示している。中央には、マルチプロセッサ論理制御器の作動60、62および68が在る。左側には、CPUのステップ66および72があり、右側にはRISC共同プロセッサのステップ64 および70が在る。本発明の配置構成においては、I486 CPUからのハードワイヤード信号がI486 CPUを活動停止せしめると共にMYK-80がアクティブとなることを命令する。同様に、MYK-80プロセッサからの別のハードワイヤード信号がMYK-80プロセッサを活動停止せしめると共にI486 CPUがアクティブとなることを命令する。本発明のアーキテクチャは、もし各プロセッサがマスタ・スレーブ式に作動するのであれば複数のマルチプロセッサ・システムで実現され得る。この場合、マスタ・ユニットに適用される本発明の設計態様で十分である。もし各プロセッサが異種マルチタスク配置構成で作動するのであれば、斯かるプロセッサ・ユニットの各々に対する信頼性のある計算基礎を提供するには本発明のSEPBが二重に必要とされる。侵入監視（図５）作動において、マルチプロセッサ論理制御器およびMYK-80共同プロセッサは透過的である。しかし、透過的であり乍らもマルチプロセッサ論理制御器は監視機能を実行する。図５は、ステップ80で開始する侵入監視機能を示しており、該ステップにおいて信頼ある操作者(TO)は不当変更から保護されるべきホストPCの領域を指定する。マルチプロセッサ制御ロジックはアドレス、データおよび制御バス32、34および36を介し、ステップ82にてCPUメモリ空間のアドレス・ラインを監視すると共に、ステップ84にて、メモリの保護領域へのデータの書き込みなどの禁止アクセスが試行された時点を決定する。ステップ84にて侵入試行が検出されたとき、ステップ86にてSEPBはアラームを鳴らしてシステムをシャット・ダウンする。シャット・ダウンは、特定の命令の実行により引き起こされるI486 CPU の通常作動である。斯かるコマンドを有さないプロセッサに対しては、シャット・ダウンはSEPBのマルチプロセッサ論理制御器により引き起こされる。 I486に対する感化（活動停止）制御 I486のSEPB作動を一時停止させ、RISCプロセッサに対してそのSEPBファームウェアの適切な部分の実行を許容する代替的手法がある。上記好適実施例はメモリ・バス・サイクルに介入するものである。CPUは、バス・アクセスを行い、アドレスをアドレス・バス・ラインに載せてADS#信号を送信することによりバス・サイクルを開始する。I486は次に、バス・サイクルの終わりを意味するready信号の戻りを待つ。ready信号はアドレスされたPCユニットによりCPUに送信され、CP Uが要求したデータが該CPUにより受け入れられる準備ができたか又はCPUにより送信されたデータがアドレスされたユニットにより受け入れられたかのいずれかを表す。もしready信号がCPUにより受信されなければ、CPUはそれをいつまでも待つ。而して、SEPBが CPUを停止せしめる為に、CPUにより実行されつつあるSEPBファームウェアはマルチプロセッサ論理制御器に対してデータを送信する“データ書き込み”操作を含んでいる。この時点においてSEPBファームウェアのCPU実行を停止すべく、マルチプロセッサ論理制御器は単純に、CPUに対してready信号を戻さない。該論理制御器はその代わりに、RISCクロックの生成を再始動すると共にI486のバスおよび制御信号を解放せしめることにより、そのSEPBファームウェアをRISCプロセッサが実行するのを開始せしめる。この様にしてSEPB作動の間において、CPUにそのSEPBファームウェアを実行させ又はRISCプロセッサにそのファームウェアを実行させ、但し両者を同時には実行させない、といういずれかの目的は達成される。CPUはready信号を待機していることをマルチプロセッサ論理制御器が知り乍らも該マルチプロセッサ論理制御器はそのSEPBファームウェアをRISCプロセッサに実行させたいとき、該マルチプロセッサ論理制御器はhold信号を生成してCPUに送信することによりCPUによるプロセッサ・アドレス・バスおよびプロセッサ・データ・バスの両者の制御をCPU に解放させ、そのバス・ドライバ回路をハイ・インピーダンス状態とする。次に、自由になったプロセッサ・アドレス・バスおよびプロセッサ・データ・バスにより、RISCプロセッサは自身とSEPBまたはPCの他の部分との間のデータ転送を欲するときは常にこれらのバスを使用できる。後に、RISCプロセッサのSEPBファームウェアの実行が、該ファームウェア実行は停止され且つCPU SEPBファームウェアの実行が再開されるべき時点に到達したとき、RISCプロセッサは同様に“データ書き込み”操作を実行して信号をマルチプロセッサ論理制御器に送信することにより上記切り替えを行うに必要な操作を実行する。この特別の“データ書き込み”操作を検出したときに上記マルチプロセッサ論理制御器はRISCプロセッサの作動を停止すると共にCPUを解放してそのSEPBファームウェアの実行の継続を許容するが、これは単に、RISCプロセッサに対するクロック信号の生成を停止し、hold信号の生成を停止し、それをCPUに送信するのを中止し、且つ、ready信号を生成してそれをCPUに送信することにより行われる。 CPUの制御の代替的な実現は、RISCプロセッサ・クロックをCPUが行うときにCP Uのクロックを停止することである。しかし乍らこの手法は幾分か制限されている、と言うのも、この手法は内部クロック速度を高めるべくオンチップのフェーズド・ロック・ループを有するCPUに対しては使用され得ないからである。クロック速度増加の為に使用される斯かるフェーズド・ロック・ループは、外部クロックが停止された後も暫くの間は動き続けると共に、外部クロックが始動した後でその完全作動状態に到達するには非ゼロ量の時間を要する。 CPUに関する感化制御を行う更なる代替実施例は、マスタCPUがスレーブCPUを一時停止するというマルチプロセッサ・マスタ・スレーブ配置構成で行われるのと同様にCPUを一時停止することである。CPUはまた、ひとつの割り込み信号を遮断して別の割り込み信号で置換し、または、制御信号に対して異なる割り込みベクトルもしくは割り込みアドレスを置換することで制御され得る。CPUを制御する他の手法としては、書き込みストローブ信号を遮断し、読取ストローブ信号を遮断し、または、上述の如くデータ・レディ信号を遮断することが挙げられる。本明細書中で使用された如く書き込みストローブとは、バス（データまたはアドレス）に対する情報出力が何処かに書き込まれるべきことをCPUが示す任意の種類の制御信号である。一例は、プロセッサ・バスに対する開始信号であるアドレス・ストローブ信号ADS#である。また読み込みストローブは、バス（データまたはアドレス）からの情報入力が読み取られるべきことをCPUが示す任意の種類の制御信号である。データ・レディ信号は、情報（データまたはアドレス）がデータ・バスもしくはアドレス・バスに載せられたか又はデータ・バスもしくはアドレス・バスから読み取られたことを示す任意の種類の制御信号である。 CPUに対する制御を主張する更に別の手法は、アドレスおよび／またはデータ・ラインを遮断することである。例えば、データ・ラインの遮断は、アドレスされたメモリ空間からCPUに通常的に提供されるべきものとは異なる実行可能コードの置換を許容する。アドレス・ラインの遮断により、CPUには実行可能プログラムまたはデータに対する代替的メモリ空間が強いられる。 FPGAのデータ・バス分離器FPGA14(SEPBDBSB)におけるマルチプロセッサ論理制御器の実現このFPGAにて設計されたデータ・バス分離器ロジックは、データの双方向転送に対する接続を提供する。上記SEPB I486サブシステムはこのユニットを使用し、共有RAM 26により両方向の転送を達成する。上記MYK-80はこのユニットを使用し、SEPB I486サブシステムのフラッシュROM30およびPCの各RAMおよびROM内に記憶された情報を読み取る。 SEPB I486サブシステムの構成要素を包含するデータ転送の全ては、上記SEPBD BUS制御ロジックおよびデータバス出力トライステート・ドライバを通過していた。PCメモリ・サブシステムからMYK-80へと転送されるベデータは、ADS#信号がアクティブとなった後でPCメモリ・サブシステムが最初のRDY#信号またはBRDY# をアクティブ化したときにSEPBDBUSにラッチされる。ラッチの出力は後にMYK-80 によりサンプリングされる。 FPGA 14はまた、PCメモリ・サブシステムにより供給された情報をラッチすべくADS#またはBRDY#信号のいずれを使用するかの選択を制御するロジックを含んでいる。正にこのロジックは、MYK-80メモリの読取作用をI486メモリ読取バス・サイクルへと変換すべく使用されるADS#、BOFF#およびBLAST#信号を生成する回路の一部である。バス分離器FPGA 12(SEPBABUS) 上記アドレス・バス分離器ロジックもまたFPGA上に実現される。大部分においてそれは30個の双方向トライステート・ドライバから成る。各アドレスは、SEBP の共有RAMをアドレスすべくI486によりアドレス供給されたときには一方向へ、且つ、PCのメモリまたはSEPB I486サブシステムのフラッシュをアドレスすべくM YK-80によりアドレス供給されたときには他方向へ、通過せしめられる。この双方向的切換ロジックに対する例外は、I486およびMYK-80がアドレスの２つの最下位ビットを操作する違いに適応すべく含まれる。I486は、バイトおよびワード・アドレッシングに代えて、これらを４個の信号BEO#〜BE3#で置換する。これらの信号を適切にコード化かつ順序付けすることによりI486は、バイト、ワードおよびダブルワードの後者のふたつの操作の一方がダブルワード境界上のメモリに記憶されたアイテムをアドレスしても、バイト、ワードおよびダブルワードの転送を適切に実行し得る。 MYK-80はこれらの２個の最下位アドレス・ビットのコード化バージョンのみを使用すると共に、I/O作用がバイトまたは（ダブル）ワードであるかを定義する別の信号によりそれらを拡張する。この信号NBWLはアクティブlowでバイト転送を定義すると共にhighでダブルワード転送を定義する。MYK-80のARM6が16ビット転送を行っているか否かを知る唯一の方法は、NBWL信号がhighであり且つ２個の最下位アドレス・ビットが10bの値を有することである。（ARM6においては、NBWL信号がhigh であるときには他の２つの値01bおよび11bは生じ得ない。）上記SEPBABUSはこれらの単純な規則を実現することにより、SEPBMYK-80のサブシステムの適切な作動の為に必要なI486データのサブセットの転送作用の為に、 SEPB I486サブシステムとPCのメモリ・サブシステムとに対して送信される適切なBEO#〜BE3#信号を生成する。制御FPGA 38、40 上記SEPBマルチプロセッサ論理制御器（有限状態マシン）の作用は、図２Ａ、図２Ｂおよび図３の状態図に要約されている。SEPBファームウェアは複数個のコード組から構成され、ひとつのコード組は図２Ａ、図２Ｂおよび図３の状態図の各モードに対応している。各コード組は一個以上のセクションから成り、各セクションは１個の入口および１個の出口を有している。次のモードの各々に対するコード組があるが、（I）により表されたモードは図２のI486モードを指し、（M ）により表されたモードは図３のMYK-80モードを指している。モードの定義ａ．モード＃０（Ｉ）このコードはパワーオン、モード＃15（Ｉ）、コードからエンターされる。これはMYK・80にそれのソフトウェア指示の自己試験を遂行するよう指示し、次いでSEPBにI486's Ａテーブルの内容により規定される試験のすべてを遂行することを指示する。I486がMYK・80サブシステムに遂行することを命令する操作のたびごとに、その操作はモード＃０（Ｉ）からモード＃４（Ｉ）への移行を行い、モード＃４（Ｉ）において与えられた命令がMYK・80により遂行されるまで操作を停止する。命令された操作が完了すると、モード＃０（Ｉ）への移行が行われる。モード＃０（Ｉ）からモード＃４（Ｉ）への移行を行うにあたり、I486コードは適切なFPGAアドレスをもって記憶装置への書込み指示を実行し、モードの切換えを行わせる。“Memory Write”バスのサイクルがI486により開始されると、 FPGAはアドレスを認識し、バスサイクル完了RDY＃の信号をI486に送ることをしない。その結果、I486はプログラム実行をアイドルとし、FPGAはHOLD信号をI486 へ送り、すべてのバスをフリーにし、MYK・80サブシステム用のバス関連の制御信号が使用されるようにする。MYK・80サブシステムが“Command Completion” 信号をI486コントローラFPGAへ送ると、FPGAは RDY＃信号をI486へ送りHOLD信号を解放することによりI486プログラムの実行を再開始する。SEPB's I486コードのパーセルも支援用MYK・80コードもホストPCに見られるものではない。したがってこれらのコードのいずれも、ホストPCに内蔵される記憶内容試験プログラムに読取られることはできない。これらのコードのパーセルはまたSEPBI486'SフラッシュROMおよびSEPB MYK・80'sフラッシュROMに記憶され、したがってホストPC にもとづくプログラムにより変更されることはできない。 MYK・80命令実行サイクルの任意の１つにおいてエラーが検出されるとI486はM ode ＃７（Ｉ）用のコードへジャンプを行う。Mode ＃７（Ｉ）コードへのジャンプはEPGAアドレスへの他の書込みにより遂行され、このことはI486コントローラがコントロールステートマシンのモードを変化させることを行わせる。エラーが発見されないと、I486コードはPC'sシステムイニシャライゼイションコードの実行への移行を行う。この移行は、I486がRESETおよびBIST操作を完了してしまい最初の指令を取込みつつあるように見えるために要求される。この変化を遂行するためMode ＃０（Ｉ）コードは第３のFPGAアドレスに対するメモリライトの指令を実行し、その場合この指令はI486のSEPBフラッシュROMにおいてOXFFFFFFFOの直前の指令の場所に対応するアドレスに位置する。その結果、I486コントローラはコントロールステートマシンのモードをモード＃３（Ｉ）へ変化し、I486により取込まれる次位の指令はシステムイニシャライゼイションファームウエアの最初の指令である。ｂ．モード＃１（Ｉ）モード＃１（Ｉ）で作動しているとき、I486は試験の区域のエントリについて “Ｂ”テーブルを点検する。エントリが存在すれば、I486は、適切なFPGAアドレスについて記憶書込み指令を実行しモードがモード＃５（Ｉ）へ切換えられるようにする(MYK・80が進行)。I486がMYK・80サブシステムを遂行することを命令する操作のたびごとに、該操作はSEPB's SRAM 26におけるMYK・80サブシステムについて命令メッセージを設定し、次いでモード＃１（Ｉ）からモード＃５（Ｉ）への移行を行う。“Memory Wyite”バスサイクルがI486により開始されると、FP GAはアドレスを認識し、バスサイクル完了RDY＃信号をI486に送ることをしない。その結果、I486はプログラム実行においてアイドルを行い、FPGAはHOLD信号を I486に送り、すべてのバスを解放しMYK・80サブシステムについてのバス関連の制御信号が使用されるようにさせる。MYK・80が“Command Completion”信号をI 486コントローラFPGAに送ると、FPGAはRDY＃信号をI486に送りHOLD信号を解放することによりI486プログラムの実行を再開始させる。 MYK・80コマンドエクゼキューションサイクルのいずれか１つにおいて、エラーが検出されると、I486はモード＃７（Ｉ）用のコードへジャンプを行う。モード＃７（Ｉ）へのジャンプはFPGAアドレスへの他の書込みにより遂行され、このことはI486コントローラにコントロールステートマシンのモードをモード＃６（Ｉ）へ変化するようにさせる。エラーが発見されないとI486は“Ｂ”表を点検し、進行させるべき追加の試験を求める。より多くの試験があるときは、I486は前記の手順を反復し点検を行う。 “Ｂ”表にもはやエントリが存在しないときは、I486はSEPBのモード＃２（Ｉ）コードの追加部分の実行への移行を行う。モード＃１（Ｉ）からモード＃２（Ｉ）へのこの移行はI486により行われ適切なHALTの指令が実行される。HALTの指令が実行されると、I486は、特殊なバスサイクル制御信号を送出することにより、バスに接続されている装置すべてにHALTの指示が実行されたことを警報する。多重プロセッサ論理制御装置がI486がHALT指令を実行しHALT操作を通知する特殊バスサイクル制御信号を送出すると、該装置は非マスク可能の割込み、NMI、の信号を発生しI486へ送出する。NMI信号の受理に応答し、I486は割込み応答宛先アドレスを取込み、次位の指示をどこに実行させるかを決定し作動モードスイッチのモード＃２（Ｉ）への切換えを行う。適切な割込み応答宛先アドレスを取込むのに用いられるフラッシュROMのアドレスは表Ｃ−１および表Ｃ−２に記述される論理に従い発生させられる。（SEPBのコードのこのパーセルはPCには見えるものではなく、どのPC内蔵の記憶内容の試験プログラムによっても読取られることができないことに注意すべきである。このコードはまたPCには見られることなく、SEPBI48６のフラッシュROMに記憶されており、したがってどのPCの非SEPBの操作によっても変更されることがでない。） SEPB BIOS実行のコードの最初の部分は、HALT指令の実行により終了する。HAL T BUSのサイクルはI486 FPGAコントローラ論理装置により認識され、該装置は非マスク可能の割込み、NMI、の信号を自動的に発生させ、I486へ送る。次いでI486は割込み応答バスサイクルを遂行し、割込み応答コードの最初の指令のアドレスを読取る。割込み応答バスサイクルを遂行するにあり、I486はアドレスOXOOOOOOO8を用いメモリリードの操作を行う。SEPB I486 コントローラは操作を認識し記憶装置読取りを再指令し、それによりI486により読取られるデータは適切なSEPB I486フラッシュROMから来る。このアドレスがI4 86により読取られるときI486コントローラはコントロールステートマシンのモードをモード＃２（Ｉ）へ変化させI486により取込まれる次位の指令はBIOSファームウェアの第２のパーセルの最初の指令である。SEPB's I486コードのこのパーセルも支援のMYK・80コードもPCには見えない。したがってこれらのコードパーセルのいずれも、どのホストPC内蔵の記憶内容の試験プログラムに読取られることはできない。これらのコードパーセルもまたホストPCには見えないが、その理由はこれらはまたSEPBのフラッシュROMおよびSEPB MYK・80のフラッシュROMにそれぞれ記憶されているからである。したがって、それらはどのPCの非SEPBの操作によっても変更されることができない。このコードは、モード＃３（Ｉ）BIOSエクステンションコードの最初のセグメントからエンターされる。モード＃２（Ｉ）はモード＃３（Ｉ）およびモード＃１（Ｉ）からのまたはそれへのブリッジである。それは、SEPBがハードドライブにアクセスすることを許容するよう使用される。テーブルエントリがディスクアクセスを要求する場合は、SEPBはモード＃１（Ｉ）からモード＃２（Ｉ）へ進行し、ドライブを読取り、次いでモード＃１（Ｉ）へ（そしてモード＃５（Ｉ）へ）帰還しデータを点検する。 SEPBがI486のＢテーブルの内容により規定される試験のすべての遂行を完了した後、SEPBは他のHALTの指令を実行する。HALTの指令の実行、およびそれに続く多重のプロセッサの論理制御装置によるNMI信号の発生に応答し、I 486は割込み応答宛先アドレスを取込み実行すべき次位の指令をどこで得るべきかを決定しモード＃11（Ｉ）への操作モードの切換えを行う。適切な割込み応答宛先アドレスを取込むのに用いられるフラッシュROMのアドレスは表Ｃ−１および表Ｃ−２に記述される論理に従って発生させられる。ｄ．モード＃３（Ｉ）たいていの部分においてモード＃３（Ｉ）で実行されるコードはPCのシステム初期化ファームウェアからなる。しかしこのファームウェアの実行の終末においてファームウェアはPCのアドレス空間をOXCOOOOからOXEOOOCまで探索し、BIOSエクステンション装置がシステムに付加されたかどうかを決定する。そのような装置がPCに付加されていると、BIOSエクステンション装置のコードに実行制御が与えられ、付加されたサブシステムが初期化されることが可能である。正常にはモード＃３（Ｉ）システム初期化コードの実行は場所OXFFFFFFFOから取込まれた指令とともに開始されるが、この操作はハードウェアがハードリセットおよび適切なBIST'sに続いて行われるものである。システム初期化コードの実行、またはその一部は、操作者が制御（CNTL）、交互的(ALT)および抹消(DEL)のキイを同時に押下することによりシステムキイボードからソフトリセット命令をエンターした後に開始されることができる。このCNTL−ALT−DEL命令のキイボードを通してエンターされると、PCはモード＃11（Ｉ）で作動するが、モード＃３（Ｉ）で作動するとき実行される同じコードを実行する。その結果、I486コントローラはモード＃３（Ｉ）およびモード＃11（Ｉ）内のコードの実行を観察し、 BIOSエクステンションアドレスの最初の0.5KB内のコードは同じであり、そしてSEPBがモード＃２（Ｉ）の操作へ移行することが許容される。実行のサイクルの終末において、モード＃３（Ｉ）またはモード＃３（Ｉ）で実行されるシステム初期化のコードは、そのような装置について、BIOSエクステンションアドレス空間の２KBのブロックの各々を試験するが、どのPCにも幾つかのそのような装置がある可能性がある。そのような装置の１つはSEPBである。実行の制御がSEPB BIOSエクステンションコードへ転送されると、転送はサブルーチンコールの実行により遂行される。したがってSEPB BIOSエクステンションコードの実行の最初のパーセルの実行はモード＃３（Ｉ）で作動するSEPBとともに遂行される。SEPB BIOSエクステンションアドレス空間の最初の0.5KB内に見出されるコードは、I486のスタックの状態を適切な状態に置きモード＃２（Ｉ）への作動モードの移行を行うよう停止の指令を実行することに使用されるものである。 SEPBのBIOSエクステンションコードはPCから見られることができ、任意のPC内蔵の記憶内容試験のプログラム、例えばDOSデバック機能、により読取られることができる。しかし、SEPBのBIOSエクステンションコードはSEPB I486のフラッシュROMに記憶されているから、該コードはどのPCの非SEPBの操作によっても変化させられることはできない。ｅ．モード＃４（Ｉ）モード＃４（Ｉ）においては、I486はプログラムを実行していない。むしろ、 I486は記憶装置書込みの操作を、EPGA論理へマップされるアドレスが進行の前に完了すべきであるとして、待機する。SEPBのMYK・80サブシステムが、I486により操作指令を遂行するよう、コードを実行するのは、この期間においてである。 SEPBのコードのこのパーセルはPCには見えず、どのPCの内蔵記憶内容の試験プログラムによっても読取られることはできない。このコードはPCには見られることができず、SE PB I486のフラッシュROMに記憶されているからどのPCの非SEPBの操作によっても変更されることができない。ｆ．モード＃５（Ｉ）モード＃５（Ｉ）においては、I486はプログラムを実行しない。むしろ、I486 は、FPGA論理装置へマップされるアドレスが進行の前に完了すべきとして、記憶装置書込みの操作を待機している。 I486により指令される操作を遂行するようSEPBのMYK・80サブシステムがコードを実行しているのは、この期間においてである。SEPBのこのパーセルはPCには見えないのであり、どのPC内蔵の記憶内容試験のプログラムによっても読取られることができない。このコードはPCには見えないのであり、このコードはSEPB I 486のフラッシュROMに記憶されているから、どのPCの非SEPBの操作によっても変更させられることはできない。ｇ．モード＃６（Ｉ）このモードで操作中、I486はシャットダウン指令を実行し、コードを実行することを停止させる。このシャットダウン指令が実行された後この状態からの出口は、I486およびPCおよびSEPBの残余のものへハードのリセット信号を送ることである。SEPBのコードのこのパーセルはPCには見えないのであり、どのPCの内蔵の記憶内容試験のプログラムによっても読取られることはできない。このコードは PCには見えないのであり、SEPB I486のフラッシュROMに記憶されているから、どの非SEPBの操作によっても変更されることはできない。ｈ．モード＃７（Ｉ） I486がモード＃０（Ｉ）、モード＃１（Ｉ）、またはモード＃９（Ｉ）のいずれかで作動しており、検証によるエラーを検出した場合には、FPGA論理装置へマップされたアドレスを用いて記憶装置書込みの操作を遂行することによりモード＃７（Ｉ）へのジャンプおよび操作のモードのモード＃７（Ｉ）への切換えを遂行することができる。次いでSEPBは、適切なＩ／Ｏ読取りおよび書込み操作を実行し、可聴の警報音を発生させることができる。SEPBコードのこのパーセルはPC には見えないのであり、どのPCの内蔵記憶内容の試験プログラムによっても読取られることはできない。このコードはまた、PCには見えないのであり、SEPB I48 6のフラッシュROMに記憶されているからどのPCの非SEPBの操作によっても変更されることはできない。ｉ．モード＃９（Ｉ）モード＃９（Ｉ）で操作している期間に、I486は適切なFPGAアドレスを用い記憶装置書込みの指示を実行し、モードのモード＃13（Ｉ）への切換えを行わせる。“Memory Write”バスサイクルがI486により開始されると、FPGAはアドレスを認識し、I486へバスサイクル完了RDY＃信号を送らない。その結果、I486はプログラム実行においてアドレスを行い、FPGAはHOLD信号をI486へ送り、MYK・80サブシステム用のすべてのバスおよびバス関連の制御信号の使用を自由にさせる。 MYK・80サブシステムが“Command Completion”信号をI486コントローラFPGAへ送ると、FPGAは、RDY＃信号を発生しそれをI486へ送ることによりI486プログラム実行を再開始させ、HOLD信号を解放する。MYK・80命令実行サイクルのいずれか１つでエラーが検出されると、エラー条件が信頼ある操作者へ帰還させられる。エラーが発見されないと、I486コードはSEPBのモード＃10（Ｉ）コードの追加の部分の実行への移行を行う。モード＃９（Ｉ）からモード＃10（Ｉ）へのこの移行は、適切なHALT指令を実行するI486により行われる。HALT指令が実行されるとき、I486は、特殊なバスサイクル制御信号を送出することにより、HALT指令が実行されたことをバスに接続される装置すべてに、警報する信号を送出する。多重プロセッサ論理制御装置がI486がHALT指示を実行し停止操作を通知する特殊なバスサイクル制御信号を送出したことを認識すると、多重プロセッサ論理制御装置は非マスク可能、NMI、の信号を発生しI486へ送出する。NMI信号の受理に応答しI486は割込み応答宛先アドレスを取込み、次位の指令をどこで実行させるかを決定し、操作モードスイッチのモード＃10（Ｉ）への切換えを行わせる。適切な割込み応答宛先アドレスを取込むことに用いられるフラッシュROM のアドレスは表Ｃ−１および表Ｃ−２に記述される論理に従って発生させられる。SEPBのI486のコードのパーセルも支援のMYK・80のコードもPCには見えないものである。したがって、これらのコードパーセンのいずれもどのPC内蔵の記憶内容の試験によっても読取られることができないものである。これらのコードパーセルはSEPBI486のフラッシュROMおよびSEPB MYK・80のフラッシュROMに記憶されているから、これらのコードパーセルはPCに見られることのできないものであり、どのPCの非SEPBの操作によっても変更されることができないものである。ｊ．モード＃10（Ｉ）このコードはモード＃11（Ｉ）BIOSエクステンションコードの最初のセグメントからエンターされる。このコードは、SEPBに、信頼ある操作者のインターフェイスプログラムへの使用者エントリからモード＃11（Ｉ）のBIOSエクステンションコードを通してSEPBへ送られる命令を遂行することを指示する。モード＃10（Ｉ）は、命令が直接のディスクのアクセスを要求すると、SEPBはモード＃９（Ｉ）ないしモード＃10（Ｉ）（ディスクの読取り）からモード＃９（Ｉ）ないしモード＃13（Ｉ）（データの点検）へ進行する点で、モード＃２（Ｉ）に似ている。信頼ある操作者がサブシステムに遂行することを要請する操作のたびごとに、モード＃10（Ｉ）はハードドライブから命令を検索し、PC記憶装置の知られている場所へ置き、次いでモード＃９（Ｉ）へ進行する。モード＃９（Ｉ）において、I486はMYK ・80に、記憶装置から命令を検索することを依頼する。次いでI486は命令を実行する。かくされたSEPBのBIOSエクステンションコードの第２の部分はまた、停止の命令の実行により終了する。HALT指令が実行されるとき、I486は、特殊なバスサイクル制御の信号を送出することにより、バスに接続される装置のすべてにHA LT指令が実行されたことを警報する信号を送出する。多重のプロセッサの論理コントローラが、I486がHALT指令を実行し停止の操作を通知する特殊なバスサイクル制御信号を送出したことを認識すると、多重のプロセッサの論理コントローラは非マスク可能な割込み、NMI、信号を発生しI486へ送る。NMI信号の受理に応答し、I486は、割込み応答宛先アドレスを取込み、どこで次位の指令を実行させるかを決定し、操作モードのスイッチのモード＃10（Ｉ）への切換えを行う。適切な割込み応答宛先アドレスを取込むことに用いられるフラッシュROMのアドレスは、表Ｃ−１および表Ｃ−２に記述される論理に従い発生させられる。SEPBのI4 86のこのコード、支援のMYK・80コード、のいずれもPCには見えることはない。したがってこれらのコードパーセルのいずれも、どのPCの内蔵の記憶内容試験によっても読取られることはできない。これらのコードは、SEPB I486のフラッシュROMおよびSEPB MYK・80のフラッシュROMに記憶されているからPCには見えることはなく、どのPCの非SEPBによっても変更されることはできない。 SEPBが信頼ある操作者のインターフェイスプログラムから受理されるメッセージの内容により規定される操作の遂行を完了した後、このコードは他のHALT指令を実行する。HALT指示の実行に応答しI486は割込み応答宛先アドレスを取込み、次位の指令をどこで実行するかを決定し、モード＃11（Ｉ）への操作モードの変更を行う。適切な割込み応答宛先アドレスを取込むことに用いられるフラッシュ ROMのアドレスは表Ｃ−１および表Ｃ−２に記述される論理に従って発生させられる。ｋ．モード＃11（Ｉ）このコードは信頼ある操作者インターフェイスプログラムとSEPBファームウェアの間の連系を提供する。使用者が操作が遂行されることを要請するとき、信頼ある操作者インターフェイスプログラムは遂行されるべき動作を記述する命令メッセージを公式化し、PCハードドライブ(またはRAM)の標準の場所に寄託する。次いでプログラムのコールがなされ、プログラム系列をモード＃11（Ｉ）のBIOS エクステンションコードへジャンプすることをさせる。モード＃11（Ｉ）のBIOS エクステンションコードはモード＃10（Ｉ）コードへの移行を行い、SEPBに、命令メッセージを読取り、モード＃９（Ｉ）へ進行し、そして要請された操作を遂行することをさせる。信頼ある操作者インターフェイスプログラムから受理される各命令がSEPBにより処理された後、SEPBはこのモード＃11（Ｉ）のBIOSエクステンションコードの第２の部分へ復帰する移行を行う。このコードの実行は、実行制御を信頼ある操作者インターフェイスプログラムへ移行させる帰還指令の実行により終了する。 SEPBのBIOSエクステンションコードのこのパーセルはPCには見られることができるのであり、任意のPCの内蔵記憶装置内容試験プログラム、例えば、DOSデバッグ機能のようなプログラム、により読取られることができる。しかし、このコードはSEPB I486のフラッシュROMに記憶されているから、このコードはどのPCの非SEPBの操作によっても変更されることはできない。１．モード＃13（Ｉ）モード＃13（Ｉ）においては、I486はプログラムの実行は行わない。むしろ、 FPGA論理へマップされるアドレスが進行の前に完了すべきものとして、記憶装置書込み操作を待機している。I486により命令される操作を遂行するようSEPBのMY K・80サブシステムがコードを実行するのは、この期間においてである。SEPBコードのこのパーセルはPCには見えるものではなく、どのPCの内蔵の試験プログラムによっても読取られることはできない。このコードはPCには見えるものではなく、SEPB I486のフラッシュROMに記憶されているから、どのPCの非SEPBの操作によっても変更されることはできない。ｍ．モード＃15（Ｉ）・パワーオンこのモードはハードリセットの信号が発生されるときはいつでも、例えばパワーオンのとき、または操作者がPCの制御パネル上のリセットのボタンを押下するときにエンターされる。このモードにエンターするにあたり、多重プロセッサの論理制御装置は信号を発生し、リセットの信号が不活性化された直後に多重プロセッサ論理制御装置は信号を発生し、I486に内蔵自己試験、BIST、の操作を遂行させる。その代りに、MYK・80は、リセット信号が不活性になった後に自動的に内蔵の自己試験を遂行するよう構成される。I486が内蔵自己試験の操作を完了した後（ここに該操作はMYK・80が内蔵自己試験操作を完了させ、SEPBファームウェアの最初のセグメントを進行させSEPBのハードウェアおよび記憶装置、次いでモード＃０（Ｍ）への移行を試験し、そして多重プロセッサ論理制御装置にクロックを停止させるに要するより長い時間を要する）、I486はSEPBのフラッシュRO Mに記憶されているコードを実行することを開始する。正常には、I486はPCのシステム初期化コードの最初の部分を記憶アドレスOXFFFFFFFOから取込むことによりコードの実行を開始することが可能である。SEPBが存在するとして、多重のプロセッサの論理制御装置はコード取込み操作を再指示し、このコードをI486のSE PBフラッシュROMにおけるSEPB I486パワーオンのコード記憶装置から獲得する。このコードのパーセルの４つの二重ワードはモード＃０（Ｉ）用のコードのエントリポイントへのジャンプからなる。ジャンプが行われると、コントロールステートマシンのモードはモード＃０（Ｉ）へ変化する。SEPBのこのパーセルはPC には見えるものではなく、どのPCの内蔵記憶装置内容試験プログラムによっても読取られることはできない。該パーセルはまたSEPB I486のフラッシュROMに記憶され、それによりどのPCにもとづくプログラムによっても変更されることはできない。非マスク可能の割込みアドレス発生 I486コントローラはアドレスを発生する論理を包含し、該アドレスはI486のフラッシュROMへ送られ割込み応答ベクトルを読取る。このアドレスは、５つの相異なる部分から構成され、８ビットの長さである。I486により発生される６個の最下位アドレスビットのうち最上位の４個は、アドレスビット０ないし３として、あらゆる場合に、フラッシュROMへ直接に送出される。これはあらゆる場合についてでありしたがってこの場合には２に等しい。I486のプログラムまたはハードウェアにより発生させられる２つの最下位アドレスビットは復号され記憶装置用の４バイトの選択信号を形成する。この操作は二重ワードの読取り操作であるから、これらの信号はすべて活性の状態にされる。アドレスビットの第２の群、すなわちビット４ないし７、は、I486が割込み応答宛先アドレスを読取りつつあるときを除き、I486プログラムにより発生されるアドレスビット６ないし９に等しい。この後者の場合において、これらの４つのビットは、BIOSエクステンションアドレスとしてSEPB内へプログラムされる値に等しいよう設定される。フラッシュアドレスビット６はBIOSエクステンションアドレススイッチ０等の設定に等しい。割込み応答宛先アドレス読取り操作として、アドレスビットの第３の群、すなわちビット８ないし10は、HALTバスサイクルがI486により発生される前に取込まれる最後の指令の、I486プログラムにより発生されるアドレスビット10ないし12 に等しいよう設定される。これらのビットは、８個の割込み、すなわちコードの各パーセル内のHALT指令の実行、についての応答を発生させる。これらはI486により発生されるアドレスビットから、たとえアドレス空間がコードの各パーセルについて必ずしも同じでなくても、４または８であるよう、導出される。このことは、コードのそのパーセルについて、アドレス空間の８分の１の各々において、ベクトルの数が１に制限されねばならぬことを意味する。表Ｃ−１はSEPBI486 の論理内に構成される組合せのすべてを表示する。 I486のフラッシュROMに送られるアドレスの次位の最上位の３ビットは、I486 コントローラが発生するモード移行情報の符号化である。個々の値は、フラッシュROMアドレスのこれらの３ビットについて、どのモードの上で論理が操作されているか、およびNMIを遂行する結果としてどのモードへ論理が移行するか、に依存して、発生させられる。表Ｃ−２はフラッシュROMアドレスビットを発生させることに用いられる論理を記述する。残余のフラッシュROMのアドレスビットは、割込み応答宛先アドレス読取り操作の期間にフラッシュROMのアドレスビット14は０に等しく、ビット15は１に等しく、そしてビット16は０に等しいよう、導線結線されている。操作の概観本明細書の主題の安全保障性能が向上させられたプロセッサボード、すなわちSEPB、は積極的なソフトウェア形態の制御をもつパーソナルコンピュータおよびサーバを提供する。本明細書に示される実施例においては、SEPBは Intel 80486(I486)を使用するIntel XPressシャーシのパーソナルコンピュータに搭載され、PCの要素の自動的な、および使用者の要請による、検証を提供する。操作において、SEPBはホストPCがオン状態に切換えられたときに作動開始し、ホストPCがリセットされるたびごとに作動反復する。或るI486PCとBIOSの組合せは、電源オンによりまたはリセットボタンを押下することにより発生するハードのリセットおよびキイボード上の制御（Ctrl）、交番動作(Alt)、および抹消(De l)のキイを同時に押下することにより発生するソフトのリセットを有する。ソフトのリセットはI486をリセットすることは行わないが、システムはその代りにシステム初期化の再エンターを行う。 SEPBは、システムのハードリセットのたびごとに操作サイルの、段階１を遂行するが、該段階はSEPBがPCおよびI486の操作を取込み、I486上およびそれ自身の要素の上でハードウェア自己試験を遂行することで開始される。ハードウェア試験のどれか１つが不合格であると、SEPBはPCの操作すべてを停止する。ハードウェア試験のどれかまたは安全保障性能検証試験のいずれかに不合格であると、SE PBはPCの操作のすべてを停止させるがその態様は、PCを再開始させる唯一の方法は、PC内でハードリセット信号を発生させその結果SEPBおよびPCのハードウェアおよびファームウェアの試験、およびPCのディスクまたはRAMに内蔵されるファイルの試験を以前のように再初期化するという態様である。自己試験の成功裡の完了に際し、しかしPCがシステム初期化を実行することを許容される前に、SEPBは操作の段階２を遂行する。SEPBは、このことを、SEPBファームウェアをI486上で実行し、MYK・ 80に、信頼ある操作者により以前に指定されたように、SEPBのファームウェアの部分の上でおよびPCのファームウェアの部分の上で安全保障性能の検証の試験を遂行することを指示する、ことにより行う（下記において論じられる）。これらの安全保障性能の検証の試験のいずれかが不合格であると、SEPBはPCの操作をすべて停止させる。 PCがキイボードにより始動されるソフトリセット（制御、交番作動、およひ抹消キイを同時に押下する操作者による）を用いてリセットされる場合、SEPBおよびI486はリセットされることはない。その結果、SEPBの操作の段階（および段階２のハードウェアおよびシステム初期化ファームウェア安全保障性能の検証の試験は遂行されない。その代りに、PCのシステム初期化操作は再開始され、SEPBの操作は操作サイクルにおいて段階３にリセットされる。成功裡のシステム初期化に続いて、操作の段階３が遂行される。段階３はSEPB が遂行する安全保障性能検証の試験からなり、これはPCのオペレーティングシステム（OS）のブートであり、或るPCのファイル上のものであり、PCがリセットされるまで行われるべきではないものであり、信頼ある操作者により以前に指定されたPCのオペレーティングシステム、OS、ディスクブートセクタの内容、および他の任意のファイルである。これらの安全保障検証の試験のいずれかに不合格であると、SEPBは以前のようにPCのすべての操作を停止させる。すべての検証の試験に合格すると、SEPBはI486とPCの残余部分の間の接続を構成することにより操作の段階４へ進行し、その態様はシステムがSEPBが存在しないときにPCが遂行するであろうところのことを遂行する態様である。信頼ある操作者のインターフェイス PCは３つの段階を進行し、アプリケーションプログラムを実行することを準備する。段階１はハードウェアの初期化であり、該初期化はリセットとともに開始され、代表的には内蔵の自己試験が後続する。段階２は、BIOSプログラムにより遂行されるシステム初期化である。段階３はオペレーティングシステムのブートである。信頼ある操作者が、SEPBのファームウェアおよびPCのファームウェアのどの要素が、およびPCのディスクの１つに記憶されるどのファイルが、保護されるのか（そして、どの段階において各保護される要素が検証されるのか）を特定することを可能にするため、信頼ある操作者のインターフェイスプログラムがSEPBに設けられる。信頼ある操作者インターフェイスプログラムはPC上のDOSのもとで進行するが、実行されるとき、信頼ある操作者に、どの情報ファイル（BIOS、割込みテーブル、DOS，autoexec.bat，config.sys等）がデジタル署名（または或る等価の修飾検出コード）で署名されるべきか、およびいつ（下記の３つの段階のうちのどの段階において）それらの署名が検証されるべきかを指定する便利な仕組みを提供する。第10図は、信頼ある操作者のインターフェイスプログラムにより信頼ある操作者に提供される選択を図解する。前記の情報ファイルの各々についてクリティカルなプログラム区域1002が選択され、そのクリティカルなプログラム区域についての検証のタイミング1004が選択される。信頼ある操作者はまた、試験が自動的にか、またはPCの操作者が始動する要請に応じ手動的に遂行されるか、を特定することができる。各試験について、信頼ある操作者は下記から１つを選択することにより試験のタイミング1004を特定する。ａ．試験を、SEPBの操作の段階２の一部として自動的に遂行する（ハードウェア試験が完了した後、しかし第10図におけるシステム初期化1006に先立って）ｂ．試験をSEPBの操作の段階３の一部として自動的に遂行する（システム初期化の後、しかし第10図におけるオペレーティングシステムブートに先立って）ｃ．試験を、SEPBの操作の段階４において、信頼ある操作者インターフェイスプログラムが実行されつつあり次いで第10図における信頼ある操作者（または任意の操作者）1010により要請されたときのみ、遂行する信頼ある操作者のインターフェイスプログラムは仕組みを提供し、その仕組みは信頼ある操作者に、以前に発生したデジタルの署名が情報ファイルの最新の形態に対応するよう更新される、または試験されるべきファイルのリストから削除されることを要請することを許容するという仕組みである。信頼ある操作者はまた、以前に指定された安全保障性能の検証の試験が取消されることを要請することが可能であり、およびデジタルの署名を発生させ検証するためにSEPBが使用するであろう暗号値を変更することが可能である。信頼ある操作者は、許可された使用者の名前および新しい使用者が信頼ある操作者のインターフェイスプログラムに対し同定するために使用する個人の識別番号、PIN、をエンターすることにより誰かどのように信頼ある操作者の特権を有するものとして指定されるかを制御することが可能である。信頼ある操作者はまた、以前にエンターされた使用者の名前を、この信頼ある操作者のインターフェイスプログラム実行する可能性のあるもののリストから削除することが可能である。信頼ある操作者のインターフェイスプログラムを実行することを許可されると、使用者は、任意の不許可の使用者が付与された特権を行使することを防止するため、いつでも彼の個人識別番号を変更することが可能である。システムの管理者がSEPBがファイルに署名を行うことを要請する便利な方法を提供するために、信頼ある操作者のプログラムが、設定段階のすべてが遂行された後に、DOSのもとに実行を行うために開発された。信頼ある操作者のプログラムは、９個の可能な操作のうちのどれを信頼ある操作者がSEPBに遂行することを希望するかを決定するために、信頼ある操作者へのインターフェイスを提供する。この情報がエンターされた後、信頼ある操作者のインターフェイスプログラムは操作用のデータをPCのハードディスク内の知られている場所に置き、標準のフォーマットによるメッセージをSEPB用に準備する。次いで信頼ある操作者はSEPB のBIOSエクステンションプログラムを呼出す。BIOSエクステンションプログラムはSEPB MYK・80のサブシステムがPCのRAMからデータを読取り、SEPB I486サブシステムに利用可能なものにすることを要請する。次いでSEPBのBIOSエクステンションプログラムおよびプライベートなI486およびMYK・80 SEPBファームウェアのかくされた部分は、適切な段階を通して、SEPBに、要請された操作を遂行することを指示する。第６図および第７図に示されるように、I486のCPUおよびMYK・80（オペレーティングモードにもとづき多重のプロセッサの論理制御装置によりマップされる）は、種々のSEPBおよびPCの記憶装置のアドレスを行う相異なる記憶アドレス空間を有する。個別の記憶アドレス空間を使用することは、PCの要素がSEPBの記憶内容へのアクセスを行うことを防止し（BIOSエクステンションコードの小なる部分を除く）、それによりCPUがMYK・80のテーブルへのアクセスを得ることを防止する。同時にMYK・80は、すべてのCPUフラッシュROM内容、PCのRAMおよびROMの内容、およびすべてのSRAMの場所（プライベートなI486 SEPB RAMの空間を除く）へのアクセスを行うことを許容される。多重のプロセッサの論理制御装置によりマップされるCPUおよびMYK・80 のための物理的に隔離された記憶装置のアドレス空間の使用は、I486 CPUの制御ラインを横切りする多重プロセッサの論理制御装置の能力と組合わされ、本発明用の共同プロセッサ配置の安全保障性能の信頼の高いレベルを提供する。自動的に遂行されるデジタルの署名の検証の試験のいずれか１つにおける不合格は下記の結果をもたらす。ａ）システムは可聴の警報を発生する、ｂ）PCを遮断し、修理を待機する。操作者の要請により遂行されるデジタルな署名の検証における不合格は、信頼ある操作者のインターフェイスプログラムが可聴の警報を発生させることをもたらし、ｃ）システムのモニタ上に“不合格”のメッセージを表示する。故障が信頼ある操作者に要請されたデジタル署名の検証の試験の遂行の期間に発生したとき、システムは自動的に動作遮断することはないことに注意すべきである。その代りに、信頼ある操作者インターフェイスプログラムは、操作者からのさらなる入力を待機している間は、実行を継続する。操作第２図および第３図に示されるように、SEPB上のマイクロプロセッサのサブシステムはパワー・オン／リセットモードにおいて操作を最初に開始するのであり、I486サブシステム（第２図）はモード＃15（Ｉ）において作動し、MYK・80サブシステム（第３図）はモード＃３（Ｍ）において作動する。I486サブシステムはI486に内蔵の自己試験（BIST）を遂行させることにより操作を開始する。同時に、MYK・80サブシステムは操作を開始し、その場合にMYK・80に内蔵されるARM ６マイクロプロセッサは自己内蔵の自己試験を実行し、それに自動的に引続きサブシステムの要素を試験する或るプログラムセグメントを実行し、次いでプログラム要素の幾つかをMFROM28（第１図）からSRAM 26へコピイすることによりSRAM 26（第１図）を初期化する。次いでMYK・80プログラムは、モード＃０（Ｍ）へ移行することにより不活性化し、I486サブシステムがモード＃１（Ｍ）へ移行する前に或る操作を遂行することを命令するまでこのモードで待機し、そして再び活性になるよう命令する。 I486がBISTサイクルを完了すると、I486はモード＃０（Ｉ）へ移行しシステム検証の操作を開始させる。遂行する最初の操作はSRAM 26内に命令メッセージをポストすることである。命令メッセージのポストすることを行って、I486はシステム間レベルの命令を実行するが、該命令はI486サブシステムを不活性化し、モード＃４（Ｉ）への移行を行い、モード＃０（Ｍ）からモード＃１（Ｍ）への移行を行うことによりMYK・80サブシステムを活性化する。モード＃１（Ｍ）の期間に、MYK・80サブシステムはプログラムを実行するが、該プログラムはMYK・80にソフトウェア割込み、SWI、を送り、内部自己試験サイクル、すなわちMYK・80自己試験(STEST)の操作を遂行することを命令する。MY K・80が任意の内部操作を遂行するために割込みを行われると、サブシステムはモード＃２（Ｍ）へ移行し、プロセッサのアドレスバスおよびプロセッサデータバスへのすべての接続を高インピーダンス状態にする。 MYK・80がSTEST操作を完了した後、MYK・80はサブシステムがモード＃１（Ｍ）へ復帰移行するようにさせる。このモードの期間において、サブシステムはAR M ６一般用レジスタの１つからSTEST操作の結果を読取り、該結果をSRAM 26の標準の場所へポストし、I486が読取るようにする。MYK・80は、サブシステムを不活性化するサブシステム間レベルの命令を実行し、モード＃０（Ｍ）への移行を行わせることにより操作のこのサイクルを完了し、モード＃０（Ｉ）への移行を行うことによりI486サブシステムを活性化する。 MYK・80 STEST操作の結果が故障を表示するときは、I486は、サブシステムにモード＃７（Ｉ）への移行を行わせ、可聴の警報を発出させ、次いでモード＃６（Ｉ）へ移行させ、I486の動作遮断の命令を実行させることにより動作遮断の操作を実行する。 MYK・80 STEST操作の結果がそのサイクルが成功裡に完了したことをあらわすと、I486はSEPBを継続する。 BIOS初期化に先立つ操作 MYK・80自己試験の成功裡の完了に引続き、I486はPCの読取り専用記憶装置の内容を検証することを可能にする操作を開始する。この操作のためにSEPBのサブシステムはモード＃０（Ｉ）においてファームウェアを実行する。この操作を指示するため、I486はフラッシュROM 30内にテーブルを維持する。テーブルＡはSEPBのROMおよびPCのROMのセクションを記述するエントリを包含するが、このエントリのためにデジタルの署名が事前に発生させられる。ハッシングおよびサイニングはMYK・80により遂行され、MYK・80が維持するテーブルにおける発生させられた署名の値はフラッシュROMに記憶されている。SEPBのROM内容およびPCのROMの内容の、これらの同じセクションは再びハッシュされ、次いでP Cのシステム初期化に先立ちMYK・80によるデジタル署名検証試験を進行させ、その場合に、ROMの内容がサインされるとき署名の値は創出される署名の値と比較される。（本明細書におけるSEPBの実施形態においては、MYK・80のフラッシュROMには、デジタル署名テーブルエントリの記憶用には１つだけのテーブルが存在する。各エントリの寸法およびこのテーブルを１つだけのフラッシュROMのセクタに制限する必要性のために、このシステムは最大で300の署名を有することに制限される。さらに、SRAMの空間制限のために最大のファイル寸法は65KBに制限される。より大なるファイルを取扱うようシステムを拡大するために、MYK・80のファームウェアに幾つかの変更がなされた。そのうちの１つはファイルの比較的小なるセクションについて遂行される安全保障のハッシュ値を発生させることを有し、操作のセグメントを連系し全体のファイルについて１つのものにすることを行う。このことはデジタルの署名の最大の数を減少させ、１つの署名テーブルについて300より相当に小なる数に維持されることが可能である。この制限を克服するため、３つのデジタルの署名テーブルを使用すること、Ａテーブルテスト用に１つ、Ｂテーブルテスト用に１つ、そしてＣテーブルテスト用に１つ、を使用することへ変更することが示唆され、審理され、それが満足な、容易実施可能なものであることが見出されたのであり、このことはI486のフラッシュROMとMYK・80用のフラッシュROMが組合わされて統合されたSEPBのフラッシュROMにされる場合であってものことである。） MYK・80を呼出し任意のデジタルシグネチャ検証の操作を遂行させるに先立って、I486はSRAM 26の固有の場所に適切な命令メッセージをポストする。命令メッセージをポストした後、I486はサブシステムを不活性化するサブシステム間レベルの命令を実行し、モード＃１（Ｍ）への移行を行わせ、モード＃１（Ｍ）への移行を行わせることによりMYK・80サブシステムを活性化する。デジタル署名検証の試験を遂行するため、MYK・80は２つの操作を遂行するよう命令されねばならぬ。第１のものは、共通の操作Verify Setupであり、これはSEPB暗号化の値のコピイをMYK・80のフラッシュROMからMYK・80の内部RAMへ転送するものであり、このことの結果は、 SEPBがリセットされるまでまたは他の検証セットアップ操作が遂行されるまで１つまたはそれ以上の後続のデジタルシグネチャ検証試験のために用いられる。モード＃１（Ｍ）の期間において、検証セットアップ操作について、MYK・80 サブシステムはプログラムを実行するが、該プログラムは暗号化の値をフラッシュROM 28からコピイし、SRAM 26の標準の区域に置くものである。次いでMYK・80 サブシステムはソフトウェア割込み、SWI、をMYK・80に送り、負荷暗号化値、DS SP、の操作を遂行することを命令する。MYK・80がこの内部操作を遂行するよう割込みを行われると、サブシステムはモード＃２（Ｍ）へ移行し、プロセッサアドレスバスおよびプロセッサデータバスへの接続のすべてを高インピーダンス状態に置く。暗号化操作が完了した後、MYK・80サブシステムはモード＃１（Ｍ）へ復帰し、ARM６の一般的レジスタの１つからのDSSPの操作の結果をコピイし、結果をSRAMの標準の場所にポストしI486が読取りを行うようにする。MYK・80は、サブシステムを不活性化するサブシステム間レベルの命令を実行することにより操作のこのサイクルを完了し、モード＃０（Ｍ）への移行を行わせ、モード＃０（Ｉ）への移行を行うことによりI4S6サブシステムを活性化する。デジタル署名の検証の操作を遂行するため、I486は適切な命令メッセージを、 SRAM 26の固有の場所にポストする。命令メッセージをポストした後、I486はサブシステムを不活性化するサブシステム間レベルの命令を実行し、モード＃４（Ｉ）への移行を行い、モード＃１（Ｍ）への移行を行うことによりMYK・80サブシステムを活性化する。次いでMYK・80はPCの記憶装置からファイルの現在の内容を読取り、SRAM 26の標準の区域へ置く。次いでMYK・80のファームウェアはソフトウェア割込み、SWI、をMYK・80へ送り、安全保障のハッシュ(SHA)暗号化操作を行うよう命令する。MYK・80がこの内部操作を遂行するため割込みが行われると、サブシステムはモード＃２（Ｍ）への移行を行い、プロセッサアドレスバスおよびプロセッサデータバスへのすべての接続を高インピーダンス状態に置く。 MYK・80がSHA操作を完了した後、デジタル署名検証の操作を遂行しているとき、MYK・80はサブシステムにモード＃１（Ｍ）へ復帰移行するようにさせる。このモードにおいて、サブシステムはSHA操作の結果を読取り更新されたハッシュ値を送り、それとともにファイルの以前に発生させられたデジタルの署名の値およびMYK・80に対するデジタル署名を発生させるに用いられる同じ暗号化値から発生させられる暗号化鍵の公開成分ybを送る。次いでMYK・80はデジタル署名検証DSVER暗号化操作を実行し入力シグネチャを検証するよう命令される。次いでM YK・80ファームウェアはソフトウェア割込みSWIをMYK・80へ送り、DSVER操作を遂行するよう命令する。MYK・80がこの内部操作を遂行するため割込みを行われているとき、サブシステムはモード＃２（Ｍ）への移行を行いプロセッサアドレスバスおよびプロセッサデータバスへの接続を高インピーダンス状態に置く。次いで試験の結果はI486の読取り動作のためSRAM 26の標準の場所へポストされる。MYK・80は、サブシステムを不活性化しモード＃０（Ｍ）への移行を行うサブシステム間レベルの命令を実行することにより操作のこのサイクルを完了し、モード＃０（Ｉ）への移行を行うことによりI486サブシステムを活性化する。 MYK・80デジタル署名検証試験の操作の結果が不合格を表示すると、I486は可聴の警報音を発出し次いでサブシステムにモード＃７（Ｉ）へ次いでモード＃６（Ｉ）へ移行するようにさせることにより動作遮断の操作を実行する。この後者のモードにおいてI486は動作遮断され、パワーオフ次いで再びパワーオンとサイクルすることによりまたは使用者がPCのリセットボタンを押下することにより、PCシステムがリセットされるまでI486はその状態を維持する。 MYK・80の検証の操作がサイクルが成功裡に完了したことを表示すると、I486 はSEPB操作を継続する。 I486のテーブルＡのエントリの各々が成功裡に処理された後、I486はテーブルを検査し、PCのシステム初期化の前に検証されるべきファイルを記述する他のエントリが存在するかどうかを決定する。他のエントリが存在すると、I486は新しい命令メッセージをポストする以前の操作を反復し、検証されるべきファイルを SRAM 26の適切な場所に記述する。次いでI486は以前のようにMYK・80を呼出し、デジタル署名の検証の操作を遂行し、結果をSRAM 26の標準の場所へポストしI48 6が読取りを行うようにする。テーブルＡに検証されるべきそれ以上のエントリが存在しないと、I486は、モード＃０（Ｉ）の操作を終了させモード＃３（Ｉ）への移行を行う。モード＃３（Ｉ）において、I486はPCに接続され、操作はSEPBにとって透明である。 I486がモード＃３（Ｉ）へのこの移行を行うと、SEPBが存在しなければパワーオンリセットの後にそうなるであろうと同じ態様でPCのROMのエンターを行う。すなわち、I486により遂行される最初の操作は、アドレスOXFFFFFFFOから実行し次いでBIOSのシステム初期化ファームウェアを実行することへ進行する指令を取込む操作である。システムの多くにおいて、システム初期化のROM(フラッシュROMまたはEEPROM) の内容は圧縮されている。システムが初期化されると、BIOSはPCのRAMへ拡大されそこからの実行を行うようにする。もしあなたが初期化の前にシステム初期化へのアドレスを行えば、あなたはROM の内容であるコードの圧縮された形式を見ることになるであろう。もしあなたが初期化の後にシステム初期化へのアドレスを行えば、あなたはPCのRAMの内容である拡大されたコードを見ることになるであろう。もしあなたがそうあるべきであるように初期化の後にシステム初期化コードにサインし次いで初期化の前にコードを試験するならば、試験は常に不合格であろう。試験がレベルＡについてシステムの要素のサインを行うことを通過させるためには、試験は、試験が進行させられるところにおいて遂行されねばならぬ。SEPBは、信頼ある操作者サイン命令の情報をI486のフラッシュROMに記憶させ次いでTOがシステムをリセットしレベルＡにおいて試験されるべき要素のために固有の署名の発生を行わせることを主張するよう修正されている。レベルＡまたはレベルＢにおけるシステム要素の試験への不合格が存在すれば、システムはブートしない。システムをリセットすることは、同じ動作遮断をもたらし、TOに問題を訂正する能力を与えない。この問題に対処するため、SEPBはバイパスのジャンパを有するが、これは２次の位置に置かれたとき、システムがレベルＡとレベルＢの両方の試験をバイパスしOSをブートすることを許容するものである。この操作を遂行しているのはTOであることを確実化するために、SEPB はレベルＢの試験を、TOの使用者名前およびPINを検証する試験で置換する。ジャンパが正確な場所にありTOが適切に識別されると、システムはブートしTOインターフェイスプログラムが進行しTOに問題を解決する機会を与えることを許容する。（或る暗号化の操作、通常は出力を発生しないもの例えばDSSP，Verify Setup 等、について、MYK・80はARM ６の一般的レジスタに合格／不合格の表示を有しない。この場合に、SEPBは擬似的な合格／不合格の表示を発生させるが、これはファームウェアのこのセクションの実行が成功裡に完了したことを表示するだけである。）システム初期化からSEPB操作への復帰移行 PCがシステム初期化を完了した後操作の正常の経路はオペレーティングシステムをロードすることであることが可能である。信頼あるコンピュータシステムについて、オペレーティングシステムは、システムが操作者により使用されることを許容することに先立ち、PCのROMの内容について以前に遂行されたものと同様に、検証の操作の支配を受けるべきである。しかし、オペレーティングシステム検証の操作を遂行することは、システム初期化が完了した後に、しかしOSブートに先立って、PCがSEPBにより“再捕捉される”ことを必要とする。 PCシステムにおいては、システム初期化コードは、実行のサイクルの終末の近傍において、PCの記憶装置の選択された場所、アドレス、COOOOhないしDFFFFh、の内容を点検し、PCにおいて、ファームウェアがそれ自身の独特のＩ／Ｏサービス操作を提供することによりシステムBIOSを延長させる任意の装置が存在するか否かを決定する。システムBIOSのそのような延長は、システム初期化コードにより検出されるが、その場合に、PCの記憶装置の装置についてのアドレス間の各２ KBのセグメントの始めにおける各二重ワードの内容を読み、標準の規約に従っているかどうかを見るために点検する。システム初期化のファームウェアがこれらの装置の１つを見出すと、実行制御は、そのコードへ進行させられる。このコードが実行されると、Ｉ／Ｏ装置はセットアップされ、PCのシステムにおけるエントリのすべてが発生させられ固有の場所に記憶される。このコードの実行が完了した後、実行制御はシステム初期化コードへ復帰進行するが、システム初期化コードはBIOSエクステンション装置についての探索を継続する。すべてのBIOSエクステンションが検出されセットアップされた後、実行制御はOSブートの過程へ規定された態様で移行させられる。 SEPBのフラッシュROMに記憶されているプログラムは、PCには、BIOSエクステンション装置のようにみえる。SEPB BIOSエクステンションコードがシステム初期化について実行を行うと、他のSEPBファームウェアへの移行を遂行し、追加のデジタル署名検証試験、例えばオペレーティングシステムのブートセクタにおけるようなもの、が遂行されるべきか否かを決定する。この移行はI486サブシステムの操作をモード＃３（Ｉ）からモード＃（Ｉ）へ切換えることを行わさせる。モード＃２（Ｉ）は、この場合においては単にブリッジである。モード＃１（Ｉ）における作動の期間に、I486は試験が進行させられるべきか否か、およびシステムのどこに試験されるべき情報が存在するかを決定する。試験がシステムのディスクの１つに存在するファイルの内容について行われるべきであると、I486サブシステムはBIOSエクステンションのモード＃２（Ｉ）のかくれた部分への移行を行うが、１つはPCからは見られることができないが、１つは PCがディスクを読む操作を遂行しファイルをPCのRAM内へ置くことを命令することができるものである。この移行は、データを試験するためモード＃１（Ｉ）への復帰切換えが行われるようにさせる。 SEPBファームウェアは独特の技法を用い、I486の実行サイクルにおける、SEPB プログラムであるモード＃１（Ｉ）プログラムの実行から、可視のまたはかくれたBIOSエクステンションプログラムであるモード＃３（Ｉ）またはモード＃２（Ｉ）のプログラムの実行への希望される移行を行う。この仕組みは、I486がSEPB のフラッシュ記憶装置に記憶されるプログラムにおけるHaltの指令を実行することにより活性化される。Haltの指令が実行されることに応答しSEPBの論理はI486 サブシステムの作動モードを希望されるように変更し次いで非マスク可能の割込み、NMI、の信号を送出しプログラムの実行を再開させる。 NMI信号の受理に応答しI486は割込み応答ベクトル取込みの操作を遂行する。正常のPCの操作においては、I486により取込まれるべクトルはPCのRAMから場所８ｈにおいて読取られることが可能である。SEPBシステムにおいては、Haltの指令がSEPBプログラムにより実行されると、割込み応答ベクトルがSEPB I486サブシステムのフラッシュROM内の適切な場所から取出される。NMI信号に応答し、I4 86は８ｈのアドレスを発生させるが、該アドレスをもって基準の記憶装置に対し割込みのベクトルを得る。このアドレスは正常には、割込みベクトルのテーブルに関係し、該アドレスはシステム初期化の期間にBIOSによりRAMの最下位のバイトに置かれる。割込みベクトルを取込むI486のバスサイクルは、ハードウェア制御のもとに特殊のバスサイクルとして生起する。 SEPBが、NMI信号が発生するようにさせるhaltの指示がSEPB I486サブシステムのフラッシュROMから実行されたことを認識すると、割込み応答サイクルのI486 により発生させられるアドレスを修正し、I486フラッシュROMテーブル空間、アドレス2008ｈないし2F008h、における場所の幾つかのうちの１つを指示するようにさせる。SEPBハードウェアにより発生させられるアドレスは、I486ファームウェアの実行、I486サブシステムの作動モード、およびSEPBのBIOSエクステンションアドレスから取出される種々の情報を使用することにより形成されるが、これら種々の情報は、SEPBのファームウェアの実行を再開始する固有のアドレスを得るためのものである。割込み応答ベクトルは、コードセグメント数とオフセット数という一対の数を包含するが、該一対の数はI486が、これら２つの数を適切に組合せることにより創出されるアドレスに記憶される指令を取込むことにより操作を方向変更することに使用するものである。SEPBがプログラムの移行を行っているとき、次位の指令は、SEPBのフラッシュROMコードの記憶セグメントにおける固有の場所から取込まれる。 BIOS初期化の後であるがしかしOSブートに先立つ操作操作のSEPBファームウェアへの復帰移行に引続き、I486はPCのソフトウェア／ファームウェアを検証する操作を再開始する。これらの操作についてSEPBのI486 サブシステムはファームウェアをモード＃１（Ｉ）において実行する。これらの操作を指示するために、I486はフラッシュROMにおける第２の表、テーブルＢを維持するが、該テーブルＢは項目、例えばPCのOSディスクブートセクターの内容およびこの時点で検証されるべき任意の他のPC情報等、を記述するエントリを包含する。これらのもののすべてはデジタルの署名を有し、該署名は前記される同じMYK・80テーブルに記憶される発生したデジタルの署名の値をもつM YK・80により以前に発生させられている。PCのディスクのこれらの同じセクション、ROMおよびRAMの内容はPCシステムの初期化に先立ってMYK・80により点検されることになっているが、この点検はROMおよびRAMの内容が、内容がサインされたときに作られた値と同じデジタルの署名の値をいまだに有していることを確認するためのものである。 MYK・80を呼出してデジタル署名の検証の操作を遂行させるに先立って、I486 はSRAM 26の固有の場所に適切な命令メッセージをポストする。命令をポストした後、I486はサブシステム間レベルの命令を実行するが、該サブシステム間レベルの命令はサブシステムを不活性化し、モード＃５（Ｉ）への移行を行わせ、モード＃１（Ｍ）への移行を行わせることによりMYK・80サブシステムを活性化するものである。モード＃１（Ｍ）の期間において、MYK・80サブシステムはプログラムを実行するが、該プログラムはソフトウェア割込み、SWI、をMYK・80に送り安全保障のハッシュ暗号化の操作を遂行することを命令するものである。MYK・80が任意の内部操作を遂行するよう割込みを行われるとき、サブシステムはモード＃２（Ｍ）への移行を行いプロセッサアドレスバスおよびプロセッサデータバスへの接続のすべてを高インピーダンスの状態に置く。デジタル署名の検証デジタル署名の検証の操作を遂行するために、I486はSRAM 26の固有の場所に適切な命令のメッセージをポストする。命令のメッセージをポストした後、I486 はサブシステム間レベルの命令を実行するが、このサブシステム間レベルの命令は、サブシステムを不活性化し、モード＃５（Ｉ）への移行を行い、モード＃１（Ｍ）への移行を行うことによりMYK・80サブシステムを活性化するものである。次いでMYK・80はPCの記憶装置からファイルの現在の内容を読取りSRAM 26の標準の区域へ置く。次いでMYK・80ファームウェアはソフトウェア割込み、SWI、を MYK・80に送り安全保障のハッシュ、SHA、暗号化操作を遂行するよう命令する。 MYK・80がこの内部操作を遂行するため割込みが行われると、サブシステムはモード＃２（Ｍ）への移行を行い、プロセッサアドレスバスおよびプロセッサデータバスへの接続のすべてを高インピーダンス状態に置く。 MYK・80がSHA操作を完了した後、デジタル署名の検証の操作を遂行しているとき、サブシステムにモード＃１（Ｍ）への復帰移行を行うようにさせる。このモードの期間において、サブシステムは SHA操作の結果を読取り更新されたハッシュ値を送出し、それとともにファイルの以前に発生させられたデジタル署名の値およびMYK・80へのデジタル署名を発生させるに用いられる同じ暗号化の値から発生させられる暗号鍵の公開成分を送出する。次いでMYK・80はデジタル署名の検証、DSVER、暗号化操作を実行するよう命令され入力された署名を検証する。次いでMYK・80ファームウェアはソフトウェア割込み、SWI、をMYK・80へ送りDSVER操作を遂行することを命令する。MYK ・80がこの内部操作を遂行するために、割込みが行われると、サブシステムはモード＃２（Ｍ）への移行を行い、プロセッサアドレスバスおよびプロセッサデータバスへの接続のすべてを高インピーダンスの状態に置く。次いで試験の結果が SRAMの標準の場所へポストされI486が読取りを行う。MYK・80はサブシステム間レベルの命令を実行することにより操作のこのサイクルを完了するが、この命令はサブシステムを不活性化し、モード＃０（Ｍ）への移行を行わせ、モード＃１（Ｉ）への移行を行うことによりI486サブシステムを活性化するものである。 MYK・80のデジタル署名検証試験の操作が不合格を示すと、I486は可聴の警報音を発出し次いでサブシステムをモード＃７（Ｉ）への移行を行わせ、次いでモード＃６（Ｉ）への移行を行わせることにより動作遮断の操作を実行する。この後者のモードにおいて、I486は動作遮断し、その状態が、パワーオフ次いで再びパワーオンとサイクルすることにより、または使用者がPCのリセットボタンを押下することにより、PCのシステムがリセットされるまで維持される。 MYK・80の検証操作の結果がサイクルは成功裡に完了したことを示すときは、I 486はSEPB操作を継続する。 I486のテーブルＢの各エントリが成功裡に処理された後、I486はテーブルを調査し、PCのOSのブートの前に検証されるべきファイルを記述する他のエントリが存在するか否かを決定する。他のエントリが存在すると、I486はSR AM 26の固有の場所に新しい命令のメッセージをポストする以前の操作を反復し検証されるべきファイルを記述する。次いでI486は前記のようにMYK・80を呼出し検証の操作を遂行し結果をSRAM 26の固有の場所にポストする。ディスクの読取りが必要であるときは、コントローラはモード＃２（Ｉ）へ進行し読取りを行い、そしてモード＃１（Ｉ）は復帰進行しデータの試験を行う。テーブルＢに検証されるべきそれ以上のエントリが存在しないときは、I486はモード＃１（Ｉ）の操作を終了し、モード＃２（Ｉ）を通って、モード＃11（Ｉ）への移行を行う。モード＃11（Ｉ）においてI486はPCの操作への復帰を実行するが、操作はSEPBに対して透明である。すなわち、正常のPCのOSの機能は使用者に利用可能である。ファイルを署名するためのPCおよびSEPBの操作個別のプログラムは、操作者がファイルを署名しその検証を後続の作動開始のすべての過程の一部として包含させるための便利な仕組みを提供する。このプログラムの実行が開始されると、SEPBのI486のサブシステムはモード＃11（Ｉ）において作動する。進行の命令のエントリに引続き、プログラムは信頼ある操作者と通信する。 BIOSエクステンション割込みの方法目標は、システムのBIOSがハードウェアを初期化した後、しかもオペレーティングシステムをブートするより前に、PCを捕捉することである。その時点で、システムBIOSはBIOSエクステンションの探索を遂行する。１つが発見されると、そのBIOSへの呼出しが行われ、それによりそれの初期化を行うことができる。BIOS エクステンションが完了した後、PCがシステムBIOSへ復帰するよう作動する。 SEPBのBIOSエクステンションを有するPCのエクステンションバスへボードを追加するよりむしろ、好適な技法は、SEPB論理にBIOSエクステンションのアドレスを割当て、BIOSエクステンションを探索するときI486 CPUの読取り要請を監視させることである。このことのために、SEPBは、設置者がSEPB用に不使用の標準の BIOSエクステンションアドレスを選択することを許容するための一組のスイッチを有する。その代りに、システム初期化が進行しているときSEPBが不使用のBIOS エクステンションアドレスを発見し次いで不使用のBIOSエクステンションアドレスに自動的に設置するようプログラムすることにより、スイッチを廃止することができる。システムのBIOSはSEPBのBIOSエクステンションを発見した後、ファームウェアを実行しSEPBを初期化する。この初期化は、SEPBがOSのブートセクターをハードディスクから読取り検証する時点である。すべての場合において、BIOSエクステンションソフトウェアが実行されるとき、SEPBファームウェアへのアクセスを得る前に使用される同じ停止／割込みの技術を使用する。停止／割込みの操作がSEPBにより命令されるときは、コードはSE PBのフラッシュROMから取込まれている。状態の情報のこの組合せは、OSブートセクタ検証の操作、ファイル検証の操作または信頼ある操作者により要請される操作を遂行するため、SEPBがSEPBモード＃１（Ｉ）への移行を許容する。したがって、本発明によるシステムおよび方法は信頼性あるコンピュータの環境を提供する。システムがオンにされまたはリセットされるときいつでもソフトウェアおよびファームウェアの要素すべてが署名されたときと同じ署名を有することを主張することにより、要素に不許可の変更を行おうとする試みは、そのような変更のどれもがシステムの操作に影響を与えることができる前に検出される。CPUへの制御信号の或るものを横取りし置換することにより、本発明の仕組みは、信頼のないソフトウェアが進行する機会をもつことはないことを提供する。システムソフトウェアは諸段階において検証されるから、CPUは検証されたシステムソフトウェアの一層より多くを進行されることが許容される。デジタル署名検証の試験の各サイクルが遂行され合格した後、SEPBの論理はI4 86とホストPCの残余部分の間の接続を、ホストPCシステムがちょうどSEPBが存在しないとき遂行するような態様であるよう、構成する。デジタル署名検証試験のサイクルのいずれか１つにおいて試験された要素の１つが不合格であると、SEPB はそれ自身およびホストPCについて、すべての操作を停止させる。自己試験、デジタル署名検証試験、およびSEPBにより遂行されるシステム制御、の操作のすべては使用者への通知なしにそのように行われ正常のPCの初期化およびブートの操作の一部であるようにみえる。この態様で、ホストのPCのシステムは、ファームウェアおよびソフトウェアの要素のすべてが固有の形態に復帰し信頼あるコンピュータシステムにするまでは、どのような目的のためにも（信頼ある操作者による修理を除き）使用されることはできない。

───────────────────────────────────────────────────── フロントページの続き (81)指定国ＥＰ(ＡＴ，ＢＥ，ＣＨ，ＤＥ，ＤＫ，ＥＳ，ＦＩ，ＦＲ，ＧＢ，ＧＲ，ＩＥ，ＩＴ，ＬＵ，ＭＣ，ＮＬ，ＰＴ，ＳＥ)，ＪＰ，ＫＲ (72)発明者アッカーマン，ウイリアムエイチ．ザサードアメリカ合衆国，ニュージャージー 08033，サマーデール，セダーアベニュ 309

Claims

【特許請求の範囲】１．コンピュータシステムの安全保障性能を向上させる方法であって、該コンピュータシステムは記憶装置と中央プロセッサ装置を包含し、該中央プロセッサ装置はそれぞれのアドレス信号、データ信号、およびそれらに結合される複数の制御信号を有し、第１の制御信号ラインを包含する制御信号ラインのそれぞれの複数の上において該中央プロセッサ装置へおよびそれから提供される該複数の制御信号は該複数の制御信号ラインの１つであり、該コンピュータシステムは該記憶装置に記憶される少くとも１つのクリティカルなプログラム区域を有し、該方法は、該中央プロセッサ装置からの該第１の制御信号ラインを非接続にし、それにより該第１の制御信号を実質的に横取りし、該第１の制御信号ラインに該第２の制御信号をさしはさむことにより、該第１の制御信号を該中央プロセッサ装置へおよびそれからの第２の制御信号で置換し、該記憶装置における該クリティカルなプログラム区域を検証し、そして、該クリティカルなプログラム区域が検証されると、該第１の制御信号ラインを該中央プロセッサ装置へ再接続する、コンピュータシステムの安全保障性能を向上させる方法。２．該クリティカルなプログラムの区域は入出力システム（BIOS）である、請求の範囲１記載の方法。３．該クリティカルなプログラムの区域は割込みベクトルアドレスのテーブルである、請求の範囲１記載の方法。４．該クリティカルなプログラムの区域はオペレイティングシステム(DOS)である、請求の範囲１記載の方法。５．該クリティカルなプログラムの区域は作動開始時の自動的な実行(autoexe c・bat)のファイルである。請求の範囲１記載の方法。６．該クリティカルなプログラムの区域はシステム形態制御(config・sys)のファイルである、請求項１記載の方法。７．該クリティカルなプログラムの区域は信頼あるオペレータにより特定されるプログラムまたはデータの区域である、請求項１記載の方法。８．該コンピュータのシステムは複数のプログラムの区域を有し、第２のクリティカルなプログラムの区域は該クリティカルなプログラムの区域が検証された後に検証される、請求の範囲１記載の方法。９．該第２のクリティカルなプログラムの区域は割込みのベクトルアドレスのテーブルである、請求の範囲８記載の方法。 10．該第２のクリティカルなプログラムの区域はオペレイティングシステム(D OS)である、請求の範囲８記載の方法。 11．該第２のクリティカルなプログラムの区域は作動開始時に自動的に実行(a utoexec・bat)を行うファイルである、請求の範囲８記載の方法。 12．該第２のクリティカルなプログラムの区域はシステム形態の制御(config ・sys)のファイルである、請求の範囲８記載の方法。 13．該第２のクリティカルなプログラムの区域は信頼ある操作者により特定されるプログラムまたはデータの区域である、請求の範囲８記載の方法。 14．該コンピュータのシステムは、アプリケーションプログラムを実行するよう準備を行う３つの段階を通り、第１の段階はハードウェアに組込まれている自己試験であり、第２の段階は入出力（BI OS）のプログラムシステムの初期化であり、第３の段階はオペレーティングシステムをブートすることであり、該方法は、該ハードウェアが自己試験の段階に組込まれた後該バイオス（BIOS ）プログラムシステムの初期化に先立ち該クリティカルなプログラムの区域を検証する段階をさらに具備する、請求の範囲１記載の方法。 15．該コンピュータのシステムは、アプリケーションプログラムを実行するよう準備を行う３つの段階を通り、第１の段階はハードウェアに組込まれている自己試験であり、第２の段階は入出力（BIOS）のプログラムシステムの初期化であり、第３の段階はオペレーティングシステムをブートすることであり、該方法は、該BIOSのプログラムシステムの初期化の段階の後、該オペレーティングシステムをブートする段階に先立ち該クリティカルなプログラムの区域を検証する段階をさらに具備する、請求の範囲１記載の方法。 16．該コンピュータのシステムは、アプリケーションプログラムを実行するよう準備を行う３つの段階を通り、第１の段階はハードウェアに組込まれている自己試験であり、第２の段階は入出力（BIOS）のプログラムシステムの初期化であり、第３の段階はオペレーティングシステムをブートすることであり、該方法は、該オペレーティングシステムをブートする該段階の後、信頼ある操作者による要請に従い該クリティカルなプログラムの区域を検証する段階をさらに具備する、請求の範囲１記載の方法。 17．コンピュータのシステムの安全保障性能を向上させる方法であって、該コンピュータのシステムは記憶装置および中央プロセッサ装置を包含し、該中央プロセッサ装置はそれぞれのアドレス信号、データ信号、および結合される制御信号の複数個を有し、第１の制御信号ラインを包含する制御信号ラインのそれぞれの複数個の上における該中央プロセッサ装置へおよびそれから提供される該複数の制御信号は該複数の制御信号ラインの１つであり、該第１の制御信号ラインは第１の制御信号を包含し、該コンピュータのシステムは該記憶装置に記憶される少くとも１つのクリティカルなプログラムの区域を有し、該方法は、第２のプロセッサを設けること、該コンピュータのシステムの作動開始を検出すること、該コンピュータのシステムの作動開始を検出する該段階に応答し該中央プロセッサ装置の制御を捕捉すること、該第２のプロセッサを用いて該記憶装置における第１のクリティカルなプログラムの区域を検証し、そして、該第２のプロセッサにより該第１のクリティカルなプログラムの区域が検証されると、該中央プロセッサ装置の制御を解放し該クリティカルなプログラムを進行させること、を具備する方法。 18．該コンピュータシステムの作動開始を検出する該段階に応答する該中央プロセッサ装置の制御を捕捉する該段階は、該中央プロセッサ装置を作動停止させる段階を具備する、請求の範囲17記載の方法。 19．該中央プロセッサ装置はクロック信号を受理するクロック信号入力部を包含し、該コンピュータシステムの作動開始を検出する該段階に応答する該中央プロセッサ装置の制御を捕捉する該段階は、該中央プロセッサ装置への該クロック信号を横取りすることを具備する、請求の範囲17記載の方法。 20．該コンピュータシステムの作動開始を検出する該段階に応答する該中央プロセッサ装置の制御を捕捉する該段階は、該第１の制御信号を横取りすることを具備する、請求の範囲17記載の方法。 21．該第１の制御信号を横取りする該段階は、該第１の制御信号のラインを該中央プロセッサ装置と非接続にしそれにより該第１の制御信号を実質的に横取りすること、および該第１の制御信号ライン上に該第２の制御信号を介在させることにより、該第１の制御信号の代りに該中央プロセッサ装置へのまたはそれからの第２の制御信号を置換すること、を具備する、請求の範囲20記載の方法。 22．該中央プロセッサユニットの制御を解放し該クリティカルなプログラムを進行させる段階は、該第１の制御信号ラインを該中央プロセッサ装置へ再接続する段階を包含する、請求の範囲21記載の方法。 23．該コンピュータのシステムの作動開始の該段階に応答する該中央プロセッサ装置の捕捉制御の該段階は、割込みベクトルアドレス信号を横取りすることを具備する、請求の範囲17記載の方法。 24．該コンピュータのシステムの作動開始の該段階に応答する該中央プロセッサ装置の捕捉制御の該段階は、データストローブ信号を横取りすることを具備する、請求の範囲17記載の方法。 25．該コンピュータのシステムの作動開始の該段階に応答する該中央プロセッサ装置の捕捉制御の該段階は、アドレスストローブ信号を横取りすることを具備する、請求の範囲17記載の方法。 26．該コンピュータのシステムの作動開始の該段階に応答する該中央プロセッサ装置の捕捉制御の該段階は、データ準備完了の信号を横取りすることを具備する、請求の範囲17記載の方法。 27．該コンピュータのシステムの作動開始を検出する該段階は、該コンピュータのシステムのパワーアップを検出することを具備する、請求の範囲17記載の方法。 28．該コンピュータのシステムの作動開始を検出する該段階は、該コンピュータのシステムのハードシステムリセットを検出することを具備する、請求の範囲 17記載の方法。 29．該第１のクリティカルなプログラムの区域は入出力システム（BIOS）である、請求の範囲17記載の方法。 30．該クリティカルなプログラムの進行に応答し該中央プロセッサ装置の制御を再捕捉すること、該第２のプロセッサを用い該記憶装置における第２のクリティカルなプログラムの区域を検証すること、および、該第２のクリティカルなプログラムの区域が該第２のプロセッサにより検証されると、該中央プロセッサ装置の制御を解放し該第２のクリティカルなプログラムを進行させること、をさらに具備する、請求の範囲29記載の方法。 31．該第２のクリティカルなプログラムの区域は割込みベクトルアドレステーブルである、請求の範囲30記載の方法。 32．該第２のクリティカルなプログラムの区域はオペレイティングシステム(D OS)である、請求の範囲30記載の方法。 33．該第２のクリティカルなプログラムの区域は作動開始時に自動的な実行(a utoexec・bat)を行うファイルである、請求の範囲30記載の方法。 34．該第２のクリティカルなプログラムの区域は、システムの形態制御(confi g・sys)のファイルである、請求の範囲30記載の方法。 35．該第２のクリティカルなプログラムの区域は信頼ある操作者により特定されるプログラムまたはデータの区域である、請求の範囲30記載の方法。 36．コンピュータのシステムの安全保障性能を向上させる装置であって、該コンピュータのシステムは記憶装置および中央プロセッサ装置を包含し、該中央プロセッサ装置はそれぞれアドレス信号、データ信号、および結合される複数の制御信号を有し、第１の制御信号ラインを包含する該制御信号ラインのそれぞれの複数個の上で中央プロセッサ装置へまたはそれから提供される該複数の制御信号は該複数の制御信号ラインの１つであり、該第１の制御信号ラインは第１の制御信号を包含し、該コンピュータのシステムは該記憶装置に記憶される少くとも１つのクリティカルなプログラムの区域を有し、該安全保障性能を向上させる装置は、該第１の制御信号ラインを該中央プロセッサ装置と非接続にし該第１の制御信号を実質的に横取りする手段、該第１の制御信号ライン上に該第２の制御信号を介在させることにより、該第１の制御信号に代って該中央プロセッサ装置へのまたはそれからの第２の制御信号に置換する手段、該記憶装置における該クリティカルなプログラムの区域を検証する手段、および該クリティカルなプログラムの区域が検証されると、該第１の制御信号ラインを該中央プロセッサ装置へ再接続する手段、を具備する装置。 37．該クリティカルなプログラムの区域は入出力システム（BIOS）である、請求の範囲36記載の装置。 38．該クリティカルなプログラム区域は割込みベクトルアドレステーブルである、請求の範囲36記載の装置。 39．該クリティカルなプログラムの区域はオペレイティングシステム(DOS)である、請求の範囲36記載の装置。 40．該クリティカルなプログラムの区域は作動開始時に自動的な実行(autoexe c・bat)を行うファイルである、請求の範囲36記載の装置。 41．該クリティカルなプログラムの区域はシステムの形態制御(config・sys) のファイルである、請求の範囲36記載の装置。 42．該クリティカルなプログラムの区域は信頼ある操作者により特定されるプログラムまたはデータの区域である、請求の範囲36記載の装置。 43．該コンピュータのシステムは複数のクリティカルなプログラムの区域を有し、第２のクリティカルなプログラムの区域は該クリティカルなプログラムの区域が検証された後に検証される、請求の範囲36記載の装置。 44．該第２のクリティカルなプログラムの区域は割込みベクトルアドレステーブルである、請求の範囲43記載の装置。 45．該第２のクリティカルなプログラムの区域はオペレイティングシステム(D OS)である、請求の範囲43記載の装置。 46．該第２のクリティカルなプログラムの区域は作動開始時に自動的な実行(a utoexec・bat)を行うファイルである、請求の範囲43記載の装置。 47．該第２のクリティカルなプログラムの区域はシステムの形態制御(config ・sys)のファイルである、請求の範囲43記載の装置。 48．該第２のクリティカルなプログラムの区域は信頼ある操作者により特定されるプログラムまたはデータの区域である、請求の範囲43記載の装置。 49．該コンピュータのシステムはアプリケーションプログラムを実行するための準備を行う３つの段階を進行させ、第１の段階はハードウェア内蔵の自己試験であり、第２の段階は入出力（BIOS）のプログラムシステムの初期化であり、第３の段階はオペレーティングシステムをブートすることであり、該装置は、該ハードウェア内蔵の自己試験の段階の後、該BIOSプログラムシステム初期化の手段に先立って該クリティカルなプログラムの区域を検証する手段をさらに具備する、請求の範囲36記載の装置。 50．該コンピュータのシステムはアプリケーションプログラムを実行する準備を行う３つの段階を進行させ、第１の段階はハードウェア内蔵の自己試験であり、第２の段階は入出力（BIOS）プログラムシステム初期化であり、第３の段階はオペレーティングシステムをブートすることであり、該装置は、該BIOSプログラムシステム初期化の手段の後、該オペレーティングシステムをブートする該手段に先立って該クリティカルなプログラムの区域を検証する手段、を具備する請求の範囲36記載の装置。 51．該コンピュータのシステムはアプリケーションプログラムを実行する準備を行う３つの段階を進行させ、第１の段階はハードウェア内蔵の自己試験であり、第２の段階は入出力（BIOS）プログラムシステム初期化であり、第３の段階はオペレーティングシステムをブートすることであり、該装置は、該オペレイティングシステムをブートする該手段の後、信頼ある操作者による要請に従い該クリティカルなプログラムの区域を検証する手段、をさらに具備する、請求の範囲36記載の装置。 52．コンピュータのシステムの安全保障性能を向上させる装置であって、該コンピュータのシステムは記憶装置および中央プロセッサ装置を包含し、該中央プロセッサ装置はそれぞれのアドレス信号、データ信号、および結合する複数の制御信号を有し、第１の制御信号ラインを包含するそれぞれの複数の制御信号ライン上において該中央プロセッサ装置へまたはそれから提供される該複数の制御信号は該複数の制御信号ラインの１つであり、該第１の制御信号ラインは第１の制御信号を包含し、該コンピュータのシステムは該記憶装置に記憶される少くとも１つのクリティカルなプログラムの区域を有し、該安全保障性能を向上させる装置は、第２のプロセッサを提供する手段、該コンピュータシステムの作動開始を検出する手段、該コンピュータシステムの作動開始を検出する該手段に応答し該中央プロセッサ装置の制御を捕捉する手段、該第２のプロセッサを用い該記憶装置における第１のクリティカルなプログラムの区域を検証する手段、および、該第１のクリティカルなプログラムの区域が該第２のプロセッサにより検証されると、該中央プロセッサ装置の制御を解放し該クリティカルなプロセッサを進行させる手段、を具備する装置。 53．該コンピュータのシステムの作動開始を検出する該手段に応答し該中央プロセッサ装置の制御を捕捉する該手段は、該中央プロセッサ装置を停止させる手段、を具備する、請求の範囲52記載の装置。 54．該中央プロセッサ装置はクロック信号を受理するクロック信号入力部を包含し、該コンピュータシステムの作動開始を検出する手段に応答し該中央プロセッサ装置の制御を捕捉する該手段は、該中央プロセッサ装置への該クロック信号を横取りする手段、を具備する、請求の範囲52記載の装置。 55．該コンピュータのシステムの作動開始を検出する手段に応答し該中央プロセッサ装置の制御を捕捉する該手段は、該第１の制御信号を横取りする手段、を具備する、請求の範囲52記載の装置。 56．該第１の制御信号を横取りする該手段は、該第１の制御信号ラインを該中央プロセッサ装置と非接続にし該第１の制御信号を実質的に横取りする手段、および、該第１の制御信号ライン上に該第２の制御信号を介在させることにより該第１の制御信号の代りに該中央プロセッサ装置へのまたはそれからの第２の制御信号で置換する手段、を具備する、請求の範囲55記載の装置。 57．該中央プロセッサ装置の制御を解放し該クリティカルなプログラムを進行させる該手段は、該第１の制御信号ラインを該中央プロセッサ装置へ再接続する手段を包含する、請求の範囲56記載の装置。 58．該コンピュータのシステムの作動開始の検出に応答し該中央プロセッサ装置の制御を捕捉する該手段は、割込みベクトルアドレス信号を横取りする手段、を具備する、請求の範囲52記載の装置。 59．該コンピュータのシステムの作動開始の検出に応答し該中央プロセッサ装置の制御を捕捉する手段は、データストローブ信号を横取りする手段、を具備する、請求の範囲52記載の装置。 60．該コンピュータのシステムの作動開始の検出に応答し該中央プロセッサ装置の制御を捕捉する手段は、アドレスストローブ信号を横取りする手段、を具備する、請求の範囲52記載の装置。 61．該コンピュータのシステムの作動開始の検出に応答し該中央プロセッサ装置の制御を捕捉する手段は、データ準備完了の信号を横取りする手段、を具備する、請求の範囲52記載の装置。 62．該コンピュータのシステムの作動開始を検出する該手段は、該コンピュータのシステムのパワーアップを検出する手段、を具備する、請求の範囲52記載の装置。 63．該コンピュータのシステムの作動開始を検出する該手段は、該コンピュータのシステムのハードシステムリセットを検出する手段、を具備する、請求の範囲52記載の装置。 64．該第１のクリティカルなプログラムの区域は入出力のシステム（BIOS）である、請求の範囲52記載の装置。 65．該クリティカルなプログラムの進行に応答し該中央プロセッサ装置の制御を再捕捉する手段、該第２のプロセッサを用いて該記憶装置における第２のクリティカルなプログラムの区域を検証する手段、および、該第２のクリティカルなプログラムの区域が該第２のプロセッサにより検証されると、該中央プロセッサ装置の制御を解放し該第２のクリティカルなプログラムを進行させる手段、をさらに具備する請求の範囲29記載の装置。 66．該第２のクリティカルなプログラムの区域は割込みベクトルアドレステーブルである、請求の範囲30記載の装置。 67．該第２のクリティカルなプログラムの区域はオペレイティングシステム(D OS)である、請求の範囲30記載の装置。 68．該第２のクリティカルなプログラムの区域は作動開始時に自動的な実行(a utoexec・bat)を行うファイルである、請求の範囲30記載の装置。 69．該第２のクリティカルなプログラムの区域はシステムの形態制御(config ・sys)のファイルである、請求の範囲30記載の装置。 70．該第２のクリティカルなプログラムの区域は信頼ある操作者により特定されるプログラムまたはデータの区域である、請求の範囲30記載の装置。 71．コンピュータのシステムの安全保障性能を向上させる方法であって、該コンピュータのシステムは中央プロセッサ装置を包含し、該中央プロセッサ装置は第１の回路板上の第１のソケットに挿入され、該中央プロセッサ装置はそれぞれのアドレス信号、データ信号、および複数の制御信号が該第１のソケットを通して結合され、第１の制御信号を含むそれぞれの複数の制御信号ライン上において該中央プロセッサ装置へまたはそれから提供される該複数の制御信号は該複数の制御信号ラインの１つであり、該第１の制御信号ラインは第１の制御信号を包含し、該安全保障性能を向上させる方法は、該中央プロセッサ装置を該第１のソケットから除去すること、第２の回路板を該第１のソケットヘ挿入することにより該中央プロセッサを置換し、該第２の回路板は該第１のソケットと実質的に同一の第２の回路板をさらに有するようにすること、該中央プロセッサ装置を該第２の回路板上の該第２のソケットへ挿入すること、および、該第１の制御信号を横取りすること、を具備する、方法。 72．該第１の制御信号を横取りする段階は、該第１の制御信号ラインを該中央プロセッサ装置と非接続にすること、および、該第１の制御信号ライン上に該第２の制御信号を介在させることにより該第１の制御信号の代りに該中央プロセッサ装置へのまたはそれからの第２の制御信号を置換すること、を具備する、請求の範囲71記載の方法。 73．該第１の制御信号はクロック信号である、請求の範囲71記載の方法。 74．該第１の制御信号は割込み信号である、請求の範囲71記載の方法。 75．該第１の制御信号は書込みストローブ信号である、請求の範囲71記載の方法。 76．該第１の制御信号は読取りストローブ信号である、請求の範囲71記載の方法。 77．該第１の制御信号はデータ準備完了の信号である、請求の範囲71記載の方法。 78．それぞれのアドレス信号、データ信号、および複数の制御信号が結合される第１のプロセッサであって、第１の制御信号ラインを含むそれぞれの複数の信号ライン上において該第１のプロセッサへまたはそれから提供される複数の制御信号は該複数の制御信号ラインの１つであり、該第１の制御信号ラインは第１の制御信号を包含するもの、および、第１のプロセッサへの該第１の制御信号を横取りし該第１の制御信号の代りに第２の制御信号を置換する装置を包含する論理制御装置、を具備する、コンピュータのシステム。 79．該第１の制御信号を横取りする該段階は、該第１の制御信号を該中央プロセッサ装置と非接続すること、および、該第１の制御信号ライン上において該第２の制御信号を介在させることにより該第１の制御信号の代りに該中央プロセッサ装置へのまたはそれからの第２の制御信号を置換すること、を具備する、請求の範囲78記載の方法。 80．該第１の制御信号はクロック信号である、請求の範囲78記載の方法。 81．該第１の制御信号は割込み信号である、請求の範囲78記載の方法。 82．該第１の制御信号は書込みストローブ信号である、請求の範囲78記載の方法。 83．該第１の制御信号は読取りストローブ信号である、請求の範囲79記載の方法。 84．該第１の制御信号はデータ準備完了の信号である、請求の範囲78記載の方法。 85．それぞれのアドレス信号、データ信号、および複数の制御信号が結合される第１のプロセッサであって、第１の制御信号ラインを包含するそれぞれの複数の制御信号ライン上において該第１のプロセッサへまたはそれから提供される複数の制御信号は該複数の制御信号ラインの１つであり該第１の制御信号ラインは第１の制御信号を包含するもの、第１のプロセッサへの該第１の制御信号を横取りすることにより該第１のプロセッサ装置を捕捉する多重プロセッサ論理制御装置、および、第２のプロセッサ、を具備し、該多重プロセッサ論理制御装置は該第１のプロセッサを捕捉し該第２のプロセッサを選択的にエネイブルにする、コンピュータのシステム。 86．該第１の制御信号を横取りする該段階は、該第１の制御信号ラインを該中央プロセッサ装置と非接続にすること、および、該第１の制御信号ライン上において該第２の制御信号を介在させることにより該第１の制御信号の代りに該中央プロセッサ装置へのまたはそれからの第２の制御信号を置換すること、を具備する、請求の範囲85記載の方法。 87．該多重プロセッサ論理制御装置は、該第１のプロセッサへの該第１の制御信号を横取りしないことにより、該第２のプロセッサに応答し該中央プロセッサ装置を解放する、請求の範囲85記載の方法。 88．該多重プロセッサ論理制御装置は、該第１の制御信号を第１のプロセッサへ再接続することにより、該第２のプロセッサに応答し該中央プロセッサ装置を解放する、請求の範囲85記載の方法。 89．該第１の制御信号はクロック信号である、請求の範囲85記載の方法。 90．該第１の制御信号は割込み信号である、請求の範囲85記載の方法。 91．該第１の制御信号は書込みストローブ信号である、請求の範囲85記載の方法。 92．該第１の制御信号は読取りストローブ信号である、請求の範囲85記載の方法。 93．該第１の制御信号はデータ準備完了の信号である、請求の範囲85記載の方法。 94．制御信号の第１の複数個を受理する複数の端子が結合される第１のプロセッサ、第２のプロセッサ、および、多重プロセッサ論理制御装置であって該第１のプロセッサへの該第１の複数の制御信号の少くとも１つを横取りし該第１の複数の制御信号の該１つの代りに第２の複数の制御信号の少くとも１つを置換するもの、を具備し、該多重プロセッサ論理制御装置は該第１のプロセッサおよび該第２のプロセッサを選択的にエネイブルにする、多重のプロセッサのシステム。 95．該第１の複数の制御信号の該１つはクロック信号である、請求の範囲94記載の多重のプロセッサのシステム。 96．該第１の複数の制御信号の該１つは割込み信号である、請求の範囲94記載の多重のプロセッサのシステム。 97．該第１の複数の制御信号の該１つは書込みストローブ信号である、請求の範囲94記載の多重のプロセッサのシステム。 98．該第１の複数の制御信号の該１つは読取りストローブ信号である、請求の範囲94記載の多重のプロセッサのシステム。 99．該第１の複数の制御信号の該１つはデータ準備完了の信号である、請求の範囲94記載の多重のプロセッサのシステム。 100．複数の制御信号を受理する複数の端子が結合され複数のアドレス信号が結合される第１のプロセッサ、論理制御装置であって、該第１のプロセッサの予め定められたアドレス信号および予め定められた制御信号に対応する少くとも１つのクリティカルなプログラムの区域を監視し該クリティカルなプログラムの区域を修飾しようとする試行を検出するもの、および、該論理制御装置に応答し該クリティカルなプログラムの区域を修飾しようとする試行を検出する警報装置、を具備し、該論理制御装置は該警報装置に応答し、該複数の制御信号の少くとも１つに割込みを行い、該第１の複数の制御信号の少くとも１つの代りに第２の複数の制御信号の少くとも１つを置換する、多重のプロセッサのシステム。 101．該予め定められたクリティカルなプログラムの区域は入出力のシステム（BIOS）である、請求の範囲100記載の多重のプロセッサのシステム。 102．該予め定められたクリティカルなプログラムの区域は割込みベクトルアドレステーブルである、請求の範囲100記載の多重のプロセッサのシステム。 103．該予め定められたクリティカルなプログラムの区域はオペレイティングシステム(DOS)である、請求の範囲100記載の多重のプロセッサのシステム。 104．該予め定められたクリティカルなプログラムの区域は作動開始時に自動的な実行(autoexec・bat)を行うファイルである、請求の範囲100記載の多重のプロセッサのシステム。 105．該予め定められたクリティカルなプログラムの区域はシステムの形態制御(config・sys)のファイルである、請求の範囲100記載の多重のプロセッサシステム。 106．該予め定められたクリティカルなプログラムの区域は信頼ある使用者により特定されるプログラムまたはデータの区域である、請求の範囲100記載の多重のプロセッサのシステム。 107．該複数の制御信号の該１つはクロック信号である、請求の範囲100記載の多重のプロセッサのシステム。 108．該複数の制御信号の該１つは割込みの信号である、請求の範囲100記載の多重のプロセッサのシステム。 109．該複数の制御信号の該１つは書込みストローブ信号である、請求の範囲1 00記載の多重プロセッサのシステム。 110．該複数の制御信号の該１つは読取りストローブ信号である、請求の範囲1 00記載の多重のプロセッサのシステム。 111．該複数の制御信号の該１つはデータ準備完了の信号である、請求の範囲1 00記載の多重のプロセッサのシステム。 112．複数の制御信号を受理する複数の端子が結合され複数のアドレス信号が結合される第１のプロセッサ、および、該複数のアドレス信号および該複数の制御信号に結合される、論理制御装置であって予め定められたアドレスおよび予め定められた制御の信号に応答し警報装置を設定するもの、を具備する多重のプロセッサのシステム。 113．該警報装置は該複数の制御信号の少くとも１つを横取りし該複数の制御信号の該１つの代りに相異なる制御信号に置換する手段を包含する、請求の範囲 112記載の多重のプロセッサのシステム。 114．該複数の制御信号の該１つはクロック信号である、請求の範囲112記載の多重のプロセッサのシステム。 115．該複数の制御信号の該１つは割込みの信号である、請求の範囲112記載の多重のプロセッサのシステム。 116．該複数の制御信号の該１つは書込みストローブ信号である、請求の範囲1 12記載の多重のプロセッサのシステム。 117．該複数の制御信号の該１つは読取りストローブ信号である、請求の範囲1 12記載の多重のプロセッサのシステム。 118．該複数の制御信号の該１つはデータ準備完了の信号である、請求の範囲1 12記載の多重のプロセッサのシステム。 119．該予め定められたアドレスはクリティカルなプログラムの区域に応答する、請求の範囲112記載の多重のプロセッサのシステム。 120．該予め定められたクリティカルなプログラムの区域は入出力のシステム（BIOS）である、請求の範囲119記載の多重のプロセッサのシステム。 121．該予め定められたクリティカルなプログラムの区域は割込みのベクトルアドレスのテーブルである、請求の範囲119記載の多重のプロセッサのシステム。 122．該予め定められたクリティカルなプログラムの区域はオペレーティングシステム(DOS)である、請求の範囲119記載の多重のプロセッサのシステム。 123．該予め定められたクリティカルなプログラムの区域は作動開始時に自動的な実行(autoexec・bat)を行うファイルである、請求の範囲119記載の多重のプロセッサのシステム。 124．該予め定められたクリティカルなプログラムの区域はシステムの形態制御(config・sys)のファイルである、請求の範囲119記載の多重のプロセッサのシステム。 125．該予め定められたクリティカルなプログラムの区域は信頼ある操作者により特定されるプログラムまたはデータの区域である、請求の範囲119記載の多重のプロセッサのシステム。