JP2004341769A - 回路装置及びその不正アクセス防止方法 - Google Patents
回路装置及びその不正アクセス防止方法 Download PDFInfo
- Publication number
- JP2004341769A JP2004341769A JP2003136898A JP2003136898A JP2004341769A JP 2004341769 A JP2004341769 A JP 2004341769A JP 2003136898 A JP2003136898 A JP 2003136898A JP 2003136898 A JP2003136898 A JP 2003136898A JP 2004341769 A JP2004341769 A JP 2004341769A
- Authority
- JP
- Japan
- Prior art keywords
- memory
- execution code
- program execution
- circuit device
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Abandoned
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】不特定多数のアクセスに対する柔軟な許容性と不正アクセスに対する高いセキュリティ性とを得る。
【解決手段】プログラムやデータを格納するメモリに書き換え不能メモリ14と書き換え可能メモリ16を設ける。また、ロジック回路部20も保護されたモジュール群20A、保護されていないモジュール群20Bと区別しておく。そして、悪意のあるアクセスに対しては書き換え不能メモリ14とモジュール群20Aによるセキュリティ性を有効に用いて防止する。一方、書き換え可能メモリ16とモジュール群20Bの機能を用いて不特定多数のユーザが利用でき、利便性を図れるとともに、仮に書き換え可能メモリ16やモジュール群20Bに対して不正なアクセスが行なわれた場合でも、これを書き換え不能メモリ14とモジュール群20A側に波及することを防止し、セキュリティ性の維持を図る。
【選択図】 図1
【解決手段】プログラムやデータを格納するメモリに書き換え不能メモリ14と書き換え可能メモリ16を設ける。また、ロジック回路部20も保護されたモジュール群20A、保護されていないモジュール群20Bと区別しておく。そして、悪意のあるアクセスに対しては書き換え不能メモリ14とモジュール群20Aによるセキュリティ性を有効に用いて防止する。一方、書き換え可能メモリ16とモジュール群20Bの機能を用いて不特定多数のユーザが利用でき、利便性を図れるとともに、仮に書き換え可能メモリ16やモジュール群20Bに対して不正なアクセスが行なわれた場合でも、これを書き換え不能メモリ14とモジュール群20A側に波及することを防止し、セキュリティ性の維持を図る。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、CPU、メモリ、及びロジック回路部を備えて外部からのアクセスによって各種の処理を行なう回路装置に関し、特にその不正アクセス防止方法に関する。
【0002】
【従来の技術】
従来より、この種の回路装置を搭載した各種システムにおいて、外部入力装置やネットワーク等を通して各種処理命令やデータの書き込みを行なう場合に、不正なアクセスを防止する方法としては、主に以下の2通りの方法が用いられていた。
まず、第1の方法は、全メモリ領域のうち、プログラム実行コードあるいはプログラムで用いるデータを格納している特定のメモリ領域への不正アクセスを監視する方法である(例えば、特許文献1参照)。
これは、例えば所定のプログラムを実行するCPUと、そのプログラムで実行するデータが格納されているメモリとを有するシステムにおいて、そのプログラムがメモリに対して不正アクセスをしたか否かを判定するメモリ保護制御装置を設け、このメモリ保護制御装置がメモリの各メモリ領域へのアクセスを監視し、上述した不正アクセスとなる特定メモリ領域へのアクセスを阻止するものである。
【0003】
また、第2の方法は、CPUからの命令によりメモリから発行されたプログラム実行コードを監視する方法である(例えば、特許文献2参照)。
これは、例えば所定のプログラムを実行するCPUと、このCPUによる命令に基づくプログラム実行コードを格納するメモリ(ここでは命令メモリという)とを有するシステムにおいて、CPUからの命令に従って命令メモリから発行されたプログラム実行コードを一時格納する命令語レジスタと、この命令語レジスタに格納された命令語が不正なものか否かを判定する比較器と、この比較器が比較判定するための比較値を格納した設定器と、CPUからの命令に従って設定器に設定値を送るための設定値メモリ等を設け、命令語レジスタに格納されたプログラム実行コードが設定器に格納された比較値と一致した場合に、その実行コードが適正であると判定し、一致しない場合には、その実行コードが不正であると判定するものである。
【0004】
【特許文献1】
特開2002−91826号公報
【特許文献2】
特開平11−219304号公報
【0005】
【発明が解決しようとする課題】
しかしながら、上述した従来例の第1の方法では、メモリ保護制御装置によってメモリのメモリ領域へのアクセスを監視することであるため、データ自体の正否を判定するものではないことから、例えばメモリ内部に悪意あるユーザデータが格納されているような場合に、そのユーザデータがシステムの他の部分に転送されて不正な動作が行なわれるといった恐れがあり、十分な不正アクセスの防止機能を得ることができないという問題がある。
また、上述した従来例の第2の方法では、実行コードを比較判定するための比較値を格納する設定値メモリの機能が有限であるため、設定値メモリの設定内容の範囲でしか不正アクセスを判定することができない。
このため有効なアクセスとして実行できる処理が極めて限られた範囲となり、例えば不特定多数のユーザが書き込んだデータ(ここではユーザデータという)について幅広い利用を許容することが困難であり、極めて限定的で柔軟性に欠けるシステムとなってしまう問題がある。
この結果、上述した2つの方法では、いずれも実行プログラムなどを格納するメモリに不特定多数のユーザデータを書き込むようなシステムを構成した場合に、システムのセキュリティが脆弱になってしまうという課題がある。
【0006】
そこで本発明の目的は、不特定多数のアクセスに対する柔軟な許容性と不正アクセスに対する高いセキュリティ性とを得ることが可能な回路装置及びその不正アクセス防止方法を提供することにある。
【0007】
【課題を解決するための手段】
本発明は前記目的を達成するため、予めプログラム実行コードを含むデータを格納した書き換え不能な第1のメモリと、外部入力によってプログラム実行コードを含むデータを格納する書き換え可能な第2のメモリと、前記第1のメモリ及び第2のメモリにアクセスし、前記プログラム実行コードの発行を指示するCPUと、前記第1のメモリ及び第2のメモリから発行されたプログラム実行コードに基づいて該当する処理を実行する複数のモジュールよりなるロジック回路部と、前記プログラム実行コードの発行元を識別する識別手段と、前記識別手段によってプログラム実行コードの発行元が前記第2のメモリであると識別された場合に、前記ロジック回路部で処理を実行するモジュールを制限するアクセス制限手段とを有することを特徴とする。
【0008】
また本発明は、プログラム実行コードを含むデータを格納するメモリと、前記メモリにアクセスしてプログラム実行コードの発行を指示するCPUと、前記メモリから発行されたプログラム実行コードに基づいて該当する処理を実行する複数のモジュールよりなるロジック回路部とを有する回路装置の不正アクセス防止方法であって、前記メモリに、予めプログラム実行コードを含むデータを格納した書き換え不能な第1のメモリと、外部入力によってプログラム実行コードを含むデータを格納する書き換え可能な第2のメモリとを設け、前記プログラム実行コードの発行時にその発行元を識別し、前記プログラム実行コードの発行元が前記第2のメモリであると識別された場合に、前記ロジック回路部で処理を実行するモジュールを制限することを特徴とする。
【0009】
本発明の回路装置及びその不正アクセス防止方法では、プログラム実行コードを含むデータを格納するメモリに、予めプログラム実行コードを含むデータを格納した書き換え不能な第1のメモリと、外部入力によってプログラム実行コードを含むデータを格納する書き換え可能な第2のメモリとを設け、プログラム実行コードの発行時にその発行元を識別し、プログラム実行コードの発行元が第2のメモリであると識別された場合に、ロジック回路部で処理を実行するモジュールを制限するようにしたことから、重要なプログラムやデータについては、第1のメモリに格納して書き換え不能に保護し、特定のモジュールを専用に動作させるようにして不正アクセスに対する高いセキュリティ性を確保し、その他の機能については、第2のメモリに書き換え可能とし、不特定多数のアクセスに対する柔軟な許容性を確保できるようにする。
【0010】
【発明の実施の形態】
以下、本発明による回路装置及びその不正アクセス防止方法の実施の形態例について説明する。
本実施の形態例による回路装置は、例えば半導体集積回路によって構成されたものであり、周辺装置(入出力機器等)と組み合わされて各種電子機器に搭載され、ネットワーク等に接続されて使用されるものについて説明する。
図1は本実施の形態例による回路装置の構成例を示すブロック図である。
図示のように、本例の回路装置は、集積回路10内にCPU12と、書き換え不能メモリ14と、書き換え可能メモリ16と、書き換え不能メモリインタフェース18と、メインロジック回路部20と、内部バス22とを設けたものである。また、集積回路10の外部には、外部インタフェース24を介して外部メモリ26が接続される。
【0011】
CPU12は、本回路装置全体の制御を行ない、各種の処理を実行するものであり、例えば書き換え不能メモリ14や書き換え可能メモリ16にアクセスし、これらメモリ14、16に格納されたプログラム実行コードの発行を指示することにより、メインロジック回路部20における各種の処理を制御する。
書き換え不能メモリ(M1)14は、例えば予めプログラム実行コードを含むデータを格納したリードオンリーメモリ(ROM)であり、例えば出荷前に既にプログラムやデータを書き込んだ素子を本回路装置に実装するようにしたものである。このメモリ14には、不特定多数のユーザが容易にアクセスしてデータを書き込んだり、読み取ったりすることが不適切な機密性を要するプログラムやデータを格納するものであり、例えば暗号化処理のためのプログラムやキーコード等のように、高いセキュリティ性を要するものを格納している。
【0012】
書き換え可能メモリ(M2)16は、外部入力によって不特定のユーザが各種のプログラムやデータを適宜書き込んだり、読み出したりできるランダムアクセスメモリ(RAM)であり、例えば外部メモリやネットワークを通して書き込みを行なうことが可能である。
書き換え不能メモリインタフェース(I/F)18は、上述のような機密性を必要とする書き換え不能メモリ14と内部バス22とのインタフェースをとるものであり、特に本例では、書き換え不能メモリ14からプログラム実行コードが読み出された場合に識別符号「1」を立て、それ以外の場合には識別符号「0」を立てるような処理を行なうものである。なお、このような識別符号の立て方は具体的には種々採用でき、実行コードの発行元が特定できれば、他の方式でもよいものである。
【0013】
また、メインロジック回路部20は、本例の回路装置で利用できる各種処理を実行するためのハードウエアロジック回路であり、多数のモジュールより構成されたものである。そして、本例では、メインロジック回路部20の各モジュールのうち、不特定ユーザによる任意の利用を規制してセキュリティ上保護されたモジュール群20Aと、外部から不特定のユーザが利用できるセキュリティ上保護されていないモジュール群20Bとを2分した構成となっており、外部からのアクセス時の取り扱いを分けたものである。
また、このメインロジック回路部20には、この回路部の制御を行なう制御部(SC)201や不正アクセス時の割り込む動作(実行中止動作)を行なうための割り込み処理部(INT)202が設けられている。
【0014】
また、外部メモリ(M3)26は、各種のプログラムやデータを格納した可搬型記憶媒体であり、各種プログラムやデータをインタフェース24を介して本回路装置内に書き込んだり、本回路装置内のデータをインタフェース24を介して読み出すような機能を有するものである。なお、本例では後述する動作例で説明するように、この外部メモリ26は書き換え可能メモリ16と同等の扱いで処理されるものである。
また、図1では省略しているが、本例の回路装置はネットワークに接続してプログラムやデータをやりとりできる機能をも有している。
なお、本例において、各メモリ14、16、26や各モジュール群20A、20Bのアドレスは例えばプログラムカウンタによるアドレスレジスタ内の値を読み取ることにより、リアルタイムで認識し、順次動作を行なうものとする。
【0015】
以上のような本例の回路装置は、例えば著作権保護(盗用・不正コピー防止)の規定により暗号化されて販売されているオーディオ情報やビデオ情報を外部メモリ26から取り込み、メインロジック回路部20で復号して再生し、さらに再暗号化して外部メモリ26に戻すような処理を行なうものであり、この盗用防止のための処理において、書き換え不能メモリ14とモジュール群20Aによるセキュリティ性を有効に用いて暗号化コード等の機密性を確保し、コンテンツの悪用を防止するものである。
また、その他の悪意のある侵入(アクセス)に対しても、書き換え不能メモリ14とモジュール群20Aによるセキュリティ性を有効に用いて防止することができる。
一方、書き換え可能メモリ16とモジュール群20Bの機能を用いて不特定多数のユーザが自由に利用でき、利便性を図れるとともに、仮に書き換え可能メモリ16やモジュール群20Bに対して不正なアクセスが行なわれた場合でも、これを書き換え不能メモリ14とモジュール群20A側に波及することを防止し、セキュリティ性の維持を図るものである。
【0016】
以下、本例の回路装置における具体的な動作例を詳細に説明する。
図2は動作例を示すフローチャートであり、CPU12が各メモリ(M1、M2、M3)14、16、26に命令を発行した後の動作を示している(ステップS1)。
まず、書き換え不能メモリ(M1)14のインタフェース18は、CPU12のアクセス先メモリを判定し(ステップS2)、CPU12が回路装置10内の書き換え不能メモリ(M1)14にアクセスすると識別符号「1」を発行し、それ以外のメモリ(M2)16またはメモリ(M3)26にアクセスすると識別符号「0」を発行し、それをロジック回路部20の制御回路201に伝える(ステップS3)。
ロジック回路部20の制御回路201は、この識別符号「1」または「0」を検知し、「1」の場合には、メモリ(M1)14より発行された実行コード、データなどをCPU12の命令に応じて保護されたモジュール群20Aまたは保護されていないモジュール群20Bに送る(ステップS7)。
【0017】
一方、「0」の場合には、ロジック回路部20の制御回路201はメモリ(M2)16またはメモリ(M3)26より発行された実行コード、データなどを保護されていないモジュール群20Bに送ることのみを許可し、たとえCPU12が保護されているモジュール群20Aに送るように命令を出していても許可しない(ステップS4)。
したがって、このような回路装置において、システムの基幹に係わる部分を保護されたモジュール群20Aに含めておけば、この部分を操作し得る実行コード、データは書き換え不能メモリ(M1)14から発行されたもののみであり、他方の書き換え可能メモリ(M2)16、外部メモリ(M3)26から発行されたものは、保護されたモジュール群20Aへのアクセスは制限され、この部分に関する操作は制限される.
【0018】
以上のようにして、ロジック回路部20のモジュール群を保護されたモジュール群20A、保護されていないモジュール群20Bと区別しておき、その上で実行コード、データに発行元に応じてアクセス制限、実行権限を割り振っておけば、書き換え可能メモリ16や外部メモリ26が持ち得るどんな種類のプログラム、データに関しても全て平等に保護されたモジュール20Aにアクセス制限をかけられることになる。
そのため、書き換え可能メモリ16、外部メモリ26を不特定多数用のユーザプログラム、データ格納領域といて用いることにすれば、不特定多数のユーザプログラム、データに悪意あるもが含まれていたとしても、それがシステムの基幹に係わる部分を含む保護されたモジュール群20Aを操作することはない。
【0019】
また、このシステムは以下の場合に不正アクセスであると判断し。割り込みの発生、リセット動作を行う(ステップS8)。
すなわち、メモリ16、26から発行された実行コード、データが保護されたモジュール20Aにアクセスしようとしたとき(ステップS5)、また、メモリ14、16、26から発行された実行コード、データのアクセス先アドレスが、モジュール群20Aまたは20Bに割り振られたアドレスのリザーブ領域あった場合(ステップS6)、制御回路201、モジュール群20A、20Bが割り込みを発生し、それを割り込み制御回路202に送る。
このような動作により、上述した従来例の第1の方法で説明したメモリ領域へのアクセス監視による不正アクセス監視方法に代わるモジュールのアドレス領域へのアクセス監視による不正アクセス監視方法を提供できるものであり、上述した悪意のあるプログラムがメモリにある場合の問題点を改善するものである。
【0020】
なお、以上の例では。メモリを書き換え不可と可能の2通りに分け、ロジック回路部のモジュール群を保護と非保護の2通りに分けてアクセスを制限する構成例を説明したが、処理内容の重用度等に基づいて保護のレベルを3段階以上に分け、各ランクに応じたアクセス制限を行なうような構成も可能である。
【0021】
【発明の効果】
以上説明したように本発明の回路装置及びその不正アクセス防止方法では、プログラム実行コードを含むデータを格納するメモリに、予めプログラム実行コードを含むデータを格納した書き換え不能な第1のメモリと、外部入力によってプログラム実行コードを含むデータを格納する書き換え可能な第2のメモリとを設け、プログラム実行コードの発行時にその発行元を識別し、プログラム実行コードの発行元が第2のメモリであると識別された場合に、ロジック回路部で処理を実行するモジュールを制限するようにした。
したがって、重要なプログラムやデータについては、第1のメモリに格納して書き換え不能に保護し、特定のモジュールを専用に動作させるようにして不正アクセスに対する高いセキュリティ性を確保することができ、その他の機能については、第2のメモリに書き換え可能とし、不特定多数のアクセスに対する柔軟な許容性を確保でき、高いセキュリティ性と利便性の両方を確保することが可能である。
【図面の簡単な説明】
【図1】本実施の形態例による回路装置の構成例を示すブロック図である。
【図2】図1に示す回路装置の動作例を示すフローチャートである。
【符号の説明】
10……集積回路、12……CPU、14……書き換え不能メモリ、16……書き換え可能メモリ、18……書き換え不能メモリインタフェース、20……メインロジック回路部、22……内部バス、24……外部インタフェース、26……外部メモリ。
【発明の属する技術分野】
本発明は、CPU、メモリ、及びロジック回路部を備えて外部からのアクセスによって各種の処理を行なう回路装置に関し、特にその不正アクセス防止方法に関する。
【0002】
【従来の技術】
従来より、この種の回路装置を搭載した各種システムにおいて、外部入力装置やネットワーク等を通して各種処理命令やデータの書き込みを行なう場合に、不正なアクセスを防止する方法としては、主に以下の2通りの方法が用いられていた。
まず、第1の方法は、全メモリ領域のうち、プログラム実行コードあるいはプログラムで用いるデータを格納している特定のメモリ領域への不正アクセスを監視する方法である(例えば、特許文献1参照)。
これは、例えば所定のプログラムを実行するCPUと、そのプログラムで実行するデータが格納されているメモリとを有するシステムにおいて、そのプログラムがメモリに対して不正アクセスをしたか否かを判定するメモリ保護制御装置を設け、このメモリ保護制御装置がメモリの各メモリ領域へのアクセスを監視し、上述した不正アクセスとなる特定メモリ領域へのアクセスを阻止するものである。
【0003】
また、第2の方法は、CPUからの命令によりメモリから発行されたプログラム実行コードを監視する方法である(例えば、特許文献2参照)。
これは、例えば所定のプログラムを実行するCPUと、このCPUによる命令に基づくプログラム実行コードを格納するメモリ(ここでは命令メモリという)とを有するシステムにおいて、CPUからの命令に従って命令メモリから発行されたプログラム実行コードを一時格納する命令語レジスタと、この命令語レジスタに格納された命令語が不正なものか否かを判定する比較器と、この比較器が比較判定するための比較値を格納した設定器と、CPUからの命令に従って設定器に設定値を送るための設定値メモリ等を設け、命令語レジスタに格納されたプログラム実行コードが設定器に格納された比較値と一致した場合に、その実行コードが適正であると判定し、一致しない場合には、その実行コードが不正であると判定するものである。
【0004】
【特許文献1】
特開2002−91826号公報
【特許文献2】
特開平11−219304号公報
【0005】
【発明が解決しようとする課題】
しかしながら、上述した従来例の第1の方法では、メモリ保護制御装置によってメモリのメモリ領域へのアクセスを監視することであるため、データ自体の正否を判定するものではないことから、例えばメモリ内部に悪意あるユーザデータが格納されているような場合に、そのユーザデータがシステムの他の部分に転送されて不正な動作が行なわれるといった恐れがあり、十分な不正アクセスの防止機能を得ることができないという問題がある。
また、上述した従来例の第2の方法では、実行コードを比較判定するための比較値を格納する設定値メモリの機能が有限であるため、設定値メモリの設定内容の範囲でしか不正アクセスを判定することができない。
このため有効なアクセスとして実行できる処理が極めて限られた範囲となり、例えば不特定多数のユーザが書き込んだデータ(ここではユーザデータという)について幅広い利用を許容することが困難であり、極めて限定的で柔軟性に欠けるシステムとなってしまう問題がある。
この結果、上述した2つの方法では、いずれも実行プログラムなどを格納するメモリに不特定多数のユーザデータを書き込むようなシステムを構成した場合に、システムのセキュリティが脆弱になってしまうという課題がある。
【0006】
そこで本発明の目的は、不特定多数のアクセスに対する柔軟な許容性と不正アクセスに対する高いセキュリティ性とを得ることが可能な回路装置及びその不正アクセス防止方法を提供することにある。
【0007】
【課題を解決するための手段】
本発明は前記目的を達成するため、予めプログラム実行コードを含むデータを格納した書き換え不能な第1のメモリと、外部入力によってプログラム実行コードを含むデータを格納する書き換え可能な第2のメモリと、前記第1のメモリ及び第2のメモリにアクセスし、前記プログラム実行コードの発行を指示するCPUと、前記第1のメモリ及び第2のメモリから発行されたプログラム実行コードに基づいて該当する処理を実行する複数のモジュールよりなるロジック回路部と、前記プログラム実行コードの発行元を識別する識別手段と、前記識別手段によってプログラム実行コードの発行元が前記第2のメモリであると識別された場合に、前記ロジック回路部で処理を実行するモジュールを制限するアクセス制限手段とを有することを特徴とする。
【0008】
また本発明は、プログラム実行コードを含むデータを格納するメモリと、前記メモリにアクセスしてプログラム実行コードの発行を指示するCPUと、前記メモリから発行されたプログラム実行コードに基づいて該当する処理を実行する複数のモジュールよりなるロジック回路部とを有する回路装置の不正アクセス防止方法であって、前記メモリに、予めプログラム実行コードを含むデータを格納した書き換え不能な第1のメモリと、外部入力によってプログラム実行コードを含むデータを格納する書き換え可能な第2のメモリとを設け、前記プログラム実行コードの発行時にその発行元を識別し、前記プログラム実行コードの発行元が前記第2のメモリであると識別された場合に、前記ロジック回路部で処理を実行するモジュールを制限することを特徴とする。
【0009】
本発明の回路装置及びその不正アクセス防止方法では、プログラム実行コードを含むデータを格納するメモリに、予めプログラム実行コードを含むデータを格納した書き換え不能な第1のメモリと、外部入力によってプログラム実行コードを含むデータを格納する書き換え可能な第2のメモリとを設け、プログラム実行コードの発行時にその発行元を識別し、プログラム実行コードの発行元が第2のメモリであると識別された場合に、ロジック回路部で処理を実行するモジュールを制限するようにしたことから、重要なプログラムやデータについては、第1のメモリに格納して書き換え不能に保護し、特定のモジュールを専用に動作させるようにして不正アクセスに対する高いセキュリティ性を確保し、その他の機能については、第2のメモリに書き換え可能とし、不特定多数のアクセスに対する柔軟な許容性を確保できるようにする。
【0010】
【発明の実施の形態】
以下、本発明による回路装置及びその不正アクセス防止方法の実施の形態例について説明する。
本実施の形態例による回路装置は、例えば半導体集積回路によって構成されたものであり、周辺装置(入出力機器等)と組み合わされて各種電子機器に搭載され、ネットワーク等に接続されて使用されるものについて説明する。
図1は本実施の形態例による回路装置の構成例を示すブロック図である。
図示のように、本例の回路装置は、集積回路10内にCPU12と、書き換え不能メモリ14と、書き換え可能メモリ16と、書き換え不能メモリインタフェース18と、メインロジック回路部20と、内部バス22とを設けたものである。また、集積回路10の外部には、外部インタフェース24を介して外部メモリ26が接続される。
【0011】
CPU12は、本回路装置全体の制御を行ない、各種の処理を実行するものであり、例えば書き換え不能メモリ14や書き換え可能メモリ16にアクセスし、これらメモリ14、16に格納されたプログラム実行コードの発行を指示することにより、メインロジック回路部20における各種の処理を制御する。
書き換え不能メモリ(M1)14は、例えば予めプログラム実行コードを含むデータを格納したリードオンリーメモリ(ROM)であり、例えば出荷前に既にプログラムやデータを書き込んだ素子を本回路装置に実装するようにしたものである。このメモリ14には、不特定多数のユーザが容易にアクセスしてデータを書き込んだり、読み取ったりすることが不適切な機密性を要するプログラムやデータを格納するものであり、例えば暗号化処理のためのプログラムやキーコード等のように、高いセキュリティ性を要するものを格納している。
【0012】
書き換え可能メモリ(M2)16は、外部入力によって不特定のユーザが各種のプログラムやデータを適宜書き込んだり、読み出したりできるランダムアクセスメモリ(RAM)であり、例えば外部メモリやネットワークを通して書き込みを行なうことが可能である。
書き換え不能メモリインタフェース(I/F)18は、上述のような機密性を必要とする書き換え不能メモリ14と内部バス22とのインタフェースをとるものであり、特に本例では、書き換え不能メモリ14からプログラム実行コードが読み出された場合に識別符号「1」を立て、それ以外の場合には識別符号「0」を立てるような処理を行なうものである。なお、このような識別符号の立て方は具体的には種々採用でき、実行コードの発行元が特定できれば、他の方式でもよいものである。
【0013】
また、メインロジック回路部20は、本例の回路装置で利用できる各種処理を実行するためのハードウエアロジック回路であり、多数のモジュールより構成されたものである。そして、本例では、メインロジック回路部20の各モジュールのうち、不特定ユーザによる任意の利用を規制してセキュリティ上保護されたモジュール群20Aと、外部から不特定のユーザが利用できるセキュリティ上保護されていないモジュール群20Bとを2分した構成となっており、外部からのアクセス時の取り扱いを分けたものである。
また、このメインロジック回路部20には、この回路部の制御を行なう制御部(SC)201や不正アクセス時の割り込む動作(実行中止動作)を行なうための割り込み処理部(INT)202が設けられている。
【0014】
また、外部メモリ(M3)26は、各種のプログラムやデータを格納した可搬型記憶媒体であり、各種プログラムやデータをインタフェース24を介して本回路装置内に書き込んだり、本回路装置内のデータをインタフェース24を介して読み出すような機能を有するものである。なお、本例では後述する動作例で説明するように、この外部メモリ26は書き換え可能メモリ16と同等の扱いで処理されるものである。
また、図1では省略しているが、本例の回路装置はネットワークに接続してプログラムやデータをやりとりできる機能をも有している。
なお、本例において、各メモリ14、16、26や各モジュール群20A、20Bのアドレスは例えばプログラムカウンタによるアドレスレジスタ内の値を読み取ることにより、リアルタイムで認識し、順次動作を行なうものとする。
【0015】
以上のような本例の回路装置は、例えば著作権保護(盗用・不正コピー防止)の規定により暗号化されて販売されているオーディオ情報やビデオ情報を外部メモリ26から取り込み、メインロジック回路部20で復号して再生し、さらに再暗号化して外部メモリ26に戻すような処理を行なうものであり、この盗用防止のための処理において、書き換え不能メモリ14とモジュール群20Aによるセキュリティ性を有効に用いて暗号化コード等の機密性を確保し、コンテンツの悪用を防止するものである。
また、その他の悪意のある侵入(アクセス)に対しても、書き換え不能メモリ14とモジュール群20Aによるセキュリティ性を有効に用いて防止することができる。
一方、書き換え可能メモリ16とモジュール群20Bの機能を用いて不特定多数のユーザが自由に利用でき、利便性を図れるとともに、仮に書き換え可能メモリ16やモジュール群20Bに対して不正なアクセスが行なわれた場合でも、これを書き換え不能メモリ14とモジュール群20A側に波及することを防止し、セキュリティ性の維持を図るものである。
【0016】
以下、本例の回路装置における具体的な動作例を詳細に説明する。
図2は動作例を示すフローチャートであり、CPU12が各メモリ(M1、M2、M3)14、16、26に命令を発行した後の動作を示している(ステップS1)。
まず、書き換え不能メモリ(M1)14のインタフェース18は、CPU12のアクセス先メモリを判定し(ステップS2)、CPU12が回路装置10内の書き換え不能メモリ(M1)14にアクセスすると識別符号「1」を発行し、それ以外のメモリ(M2)16またはメモリ(M3)26にアクセスすると識別符号「0」を発行し、それをロジック回路部20の制御回路201に伝える(ステップS3)。
ロジック回路部20の制御回路201は、この識別符号「1」または「0」を検知し、「1」の場合には、メモリ(M1)14より発行された実行コード、データなどをCPU12の命令に応じて保護されたモジュール群20Aまたは保護されていないモジュール群20Bに送る(ステップS7)。
【0017】
一方、「0」の場合には、ロジック回路部20の制御回路201はメモリ(M2)16またはメモリ(M3)26より発行された実行コード、データなどを保護されていないモジュール群20Bに送ることのみを許可し、たとえCPU12が保護されているモジュール群20Aに送るように命令を出していても許可しない(ステップS4)。
したがって、このような回路装置において、システムの基幹に係わる部分を保護されたモジュール群20Aに含めておけば、この部分を操作し得る実行コード、データは書き換え不能メモリ(M1)14から発行されたもののみであり、他方の書き換え可能メモリ(M2)16、外部メモリ(M3)26から発行されたものは、保護されたモジュール群20Aへのアクセスは制限され、この部分に関する操作は制限される.
【0018】
以上のようにして、ロジック回路部20のモジュール群を保護されたモジュール群20A、保護されていないモジュール群20Bと区別しておき、その上で実行コード、データに発行元に応じてアクセス制限、実行権限を割り振っておけば、書き換え可能メモリ16や外部メモリ26が持ち得るどんな種類のプログラム、データに関しても全て平等に保護されたモジュール20Aにアクセス制限をかけられることになる。
そのため、書き換え可能メモリ16、外部メモリ26を不特定多数用のユーザプログラム、データ格納領域といて用いることにすれば、不特定多数のユーザプログラム、データに悪意あるもが含まれていたとしても、それがシステムの基幹に係わる部分を含む保護されたモジュール群20Aを操作することはない。
【0019】
また、このシステムは以下の場合に不正アクセスであると判断し。割り込みの発生、リセット動作を行う(ステップS8)。
すなわち、メモリ16、26から発行された実行コード、データが保護されたモジュール20Aにアクセスしようとしたとき(ステップS5)、また、メモリ14、16、26から発行された実行コード、データのアクセス先アドレスが、モジュール群20Aまたは20Bに割り振られたアドレスのリザーブ領域あった場合(ステップS6)、制御回路201、モジュール群20A、20Bが割り込みを発生し、それを割り込み制御回路202に送る。
このような動作により、上述した従来例の第1の方法で説明したメモリ領域へのアクセス監視による不正アクセス監視方法に代わるモジュールのアドレス領域へのアクセス監視による不正アクセス監視方法を提供できるものであり、上述した悪意のあるプログラムがメモリにある場合の問題点を改善するものである。
【0020】
なお、以上の例では。メモリを書き換え不可と可能の2通りに分け、ロジック回路部のモジュール群を保護と非保護の2通りに分けてアクセスを制限する構成例を説明したが、処理内容の重用度等に基づいて保護のレベルを3段階以上に分け、各ランクに応じたアクセス制限を行なうような構成も可能である。
【0021】
【発明の効果】
以上説明したように本発明の回路装置及びその不正アクセス防止方法では、プログラム実行コードを含むデータを格納するメモリに、予めプログラム実行コードを含むデータを格納した書き換え不能な第1のメモリと、外部入力によってプログラム実行コードを含むデータを格納する書き換え可能な第2のメモリとを設け、プログラム実行コードの発行時にその発行元を識別し、プログラム実行コードの発行元が第2のメモリであると識別された場合に、ロジック回路部で処理を実行するモジュールを制限するようにした。
したがって、重要なプログラムやデータについては、第1のメモリに格納して書き換え不能に保護し、特定のモジュールを専用に動作させるようにして不正アクセスに対する高いセキュリティ性を確保することができ、その他の機能については、第2のメモリに書き換え可能とし、不特定多数のアクセスに対する柔軟な許容性を確保でき、高いセキュリティ性と利便性の両方を確保することが可能である。
【図面の簡単な説明】
【図1】本実施の形態例による回路装置の構成例を示すブロック図である。
【図2】図1に示す回路装置の動作例を示すフローチャートである。
【符号の説明】
10……集積回路、12……CPU、14……書き換え不能メモリ、16……書き換え可能メモリ、18……書き換え不能メモリインタフェース、20……メインロジック回路部、22……内部バス、24……外部インタフェース、26……外部メモリ。
Claims (11)
- 予めプログラム実行コードを含むデータを格納した書き換え不能な第1のメモリと、
外部入力によってプログラム実行コードを含むデータを格納する書き換え可能な第2のメモリと、
前記第1のメモリ及び第2のメモリにアクセスし、前記プログラム実行コードの発行を指示するCPUと、
前記第1のメモリ及び第2のメモリから発行されたプログラム実行コードに基づいて該当する処理を実行する複数のモジュールよりなるロジック回路部と、
前記プログラム実行コードの発行元を識別する識別手段と、
前記識別手段によってプログラム実行コードの発行元が前記第2のメモリであると識別された場合に、前記ロジック回路部で処理を実行するモジュールを制限するアクセス制限手段と、
を有することを特徴とする回路装置。 - プログラム実行コードを含むデータを格納する外部メモリを接続するインタフェース手段を有し、前記CPUは前記外部メモリにアクセスして前記プログラム実行コードの発行を指示し、前記アクセス制限手段は前記識別手段によってプログラム実行コードの発行元が前記外部メモリであると識別された場合に、前記ロジック回路部で処理を実行するモジュールを制限することを特徴とする請求項1記載の回路装置。
- 前記ロジック回路部は不特定のアクセスから保護される第1のモジュール群と不特定のアクセスから保護されない第2のモジュール群とを含み、前記アクセス制限手段は前記識別手段によってプログラム実行コードの発行元が前記第2のメモリであり、そのプログラム実行コードの処理を実行するモジュールが前記第1のモジュール群に含まれる場合に、その実行を制限することを特徴とする請求項1記載の回路装置。
- 前記識別手段は前記第1のメモリと内部バスとの間に設けられるメモリインタフェース部に設けられ、前記第1のメモリからプログラム実行コードが発行された場合に特定の識別コードを発行することを特徴とする請求項1記載の回路装置。
- 前記メモリインタフェース部は前記第1のメモリへのデータの書き込みを排除することを特徴とする請求項4記載の回路装置。
- 前記ロジック回路部は不正アクセスであると判断したときに所定の不正排除処理を行なうことを特徴とする請求項4記載の回路装置。
- 前記不正排除処理は割り込み処理であることを特徴とする請求項6記載の回路装置。
- 前記不正排除処理はリセット処理であることを特徴とする請求項6記載の回路装置。
- 前記第1のメモリは予めプログラム実行コードを含むデータを書き込んだリードオンリーメモリよりなることを特徴とする請求項1記載の回路装置。
- 半導体集積回路よりなることを特徴とする請求項1記載の回路装置。
- プログラム実行コードを含むデータを格納するメモリと、前記メモリにアクセスしてプログラム実行コードの発行を指示するCPUと、前記メモリから発行されたプログラム実行コードに基づいて該当する処理を実行する複数のモジュールよりなるロジック回路部とを有する回路装置の不正アクセス防止方法であって、
前記メモリに、予めプログラム実行コードを含むデータを格納した書き換え不能な第1のメモリと、外部入力によってプログラム実行コードを含むデータを格納する書き換え可能な第2のメモリとを設け、
前記プログラム実行コードの発行時にその発行元を識別し、前記プログラム実行コードの発行元が前記第2のメモリであると識別された場合に、前記ロジック回路部で処理を実行するモジュールを制限する、
ことを特徴とする回路装置の不正アクセス防止方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003136898A JP2004341769A (ja) | 2003-05-15 | 2003-05-15 | 回路装置及びその不正アクセス防止方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003136898A JP2004341769A (ja) | 2003-05-15 | 2003-05-15 | 回路装置及びその不正アクセス防止方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004341769A true JP2004341769A (ja) | 2004-12-02 |
Family
ID=33526689
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003136898A Abandoned JP2004341769A (ja) | 2003-05-15 | 2003-05-15 | 回路装置及びその不正アクセス防止方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004341769A (ja) |
-
2003
- 2003-05-15 JP JP2003136898A patent/JP2004341769A/ja not_active Abandoned
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7444668B2 (en) | Method and apparatus for determining access permission | |
| US6986006B2 (en) | Page granular curtained memory via mapping control | |
| US7353404B2 (en) | Tamper resistant microprocessor | |
| JP4925422B2 (ja) | データ処理装置内コンテンツへのアクセス管理 | |
| JP5114617B2 (ja) | 秘密鍵を保護する、セキュア端末、プログラム、および方法 | |
| KR100629069B1 (ko) | 데이터 액세스 방법, 데이터 액세스 시스템 및 컴퓨터 판독 가능 기록 매체 | |
| WO2019104988A1 (zh) | Plc的安全处理单元及其总线仲裁方法 | |
| KR101567620B1 (ko) | 데이터 처리 시스템 및 방법 | |
| US20100131729A1 (en) | Integrated circuit with improved device security | |
| CN103593603B (zh) | 保护多安全cpu系统中的安全软件 | |
| JPH0812645B2 (ja) | データ処理システム内のシステムフアイルを保護する方法及びデータ処理システム | |
| JP2005018770A (ja) | システム・オン・チップのためのセキュリティ・アーキテクチャ | |
| JP4945053B2 (ja) | 半導体装置、バスインターフェース装置、およびコンピュータシステム | |
| CN110069935B (zh) | 基于标记内存的内部敏感数据保护方法及系统 | |
| JP2009129394A (ja) | 情報処理装置及びそのプログラム実行制御方法 | |
| JPH08272625A (ja) | マルチプログラム実行制御装置及び方法 | |
| CN112818327A (zh) | 基于TrustZone的用户级代码和数据安全可信保护方法及装置 | |
| JP4591163B2 (ja) | バスアクセス制御装置 | |
| WO2005121979A1 (ja) | アクセス制御装置及びアクセス制御方法 | |
| CN114065257A (zh) | 地址空间的保护方法、保护装置、设备和存储介质 | |
| JP4847827B2 (ja) | アクセス制御装置 | |
| JP2004341769A (ja) | 回路装置及びその不正アクセス防止方法 | |
| CN115905108A (zh) | 一种用于risc-v芯片的iopmp架构实现方法 | |
| JP5380392B2 (ja) | 半導体装置、バスインターフェース装置、およびコンピュータシステム | |
| JPH01261760A (ja) | コンピュータ装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060420 |
|
| A762 | Written abandonment of application |
Free format text: JAPANESE INTERMEDIATE CODE: A762 Effective date: 20080226 |