JP3563412B2 - コードシーケンスを変更する方法及び関連の装置 - Google Patents
コードシーケンスを変更する方法及び関連の装置 Download PDFInfo
- Publication number
- JP3563412B2 JP3563412B2 JP50179599A JP50179599A JP3563412B2 JP 3563412 B2 JP3563412 B2 JP 3563412B2 JP 50179599 A JP50179599 A JP 50179599A JP 50179599 A JP50179599 A JP 50179599A JP 3563412 B2 JP3563412 B2 JP 3563412B2
- Authority
- JP
- Japan
- Prior art keywords
- code sequence
- program
- value
- address
- time delay
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 10
- 230000015654 memory Effects 0.000 claims description 58
- 238000012360 testing method Methods 0.000 claims description 14
- 230000000977 initiatory effect Effects 0.000 claims description 6
- 230000008859 change Effects 0.000 claims description 5
- 230000004913 activation Effects 0.000 claims description 3
- 230000009191 jumping Effects 0.000 claims description 3
- 230000006870 function Effects 0.000 description 7
- 230000003936 working memory Effects 0.000 description 6
- 101100388220 Caenorhabditis elegans adr-2 gene Proteins 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 101100490563 Caenorhabditis elegans adr-1 gene Proteins 0.000 description 3
- 230000001934 delay Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000007420 reactivation Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000001174 ascending effect Effects 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/30—Arrangements for executing machine instructions, e.g. instruction decode
- G06F9/32—Address formation of the next instruction, e.g. by incrementing the instruction counter
- G06F9/322—Address formation of the next instruction, e.g. by incrementing the instruction counter for non-sequential address
- G06F9/328—Address formation of the next instruction, e.g. by incrementing the instruction counter for non-sequential address for runtime instruction patching
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
- G06F8/66—Updates of program code stored in read-only memory [ROM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/22—Microcontrol or microprogram arrangements
- G06F9/26—Address formation of the next micro-instruction ; Microprogram storage or retrieval arrangements
- G06F9/262—Arrangements for next microinstruction selection
- G06F9/268—Microinstruction selection not based on processing results, e.g. interrupt, patch, first cycle store, diagnostic programs
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Storage Device Security (AREA)
Description
本発明はコードシーケンスを変更する方法及び関連の装置に関する。
本発明はコンピュータプログラム、特に少なくとも容易には変更できない媒体に記録されるコンピュータプログラムに関する。これらの媒体は、特にCPU、作業メモリ、不揮発性メモリ及び入出力手段を備えた情報処理システムに組み込まれる。より具体的には、この情報処理システムはチップカードに組み込むことができる。この場合、カードは少なくともマイクロプロセッサと、プログラムや場合によってはデータが格納されているROMと、作業メモリと、不揮発性プログラマブルメモリとを備える回路を搭載する。有利には、回路はモノリシックな形で構成される。不揮発性メモリはデータ及び/又はコードを格納することができる。従って、マイクロプロセッサはこのコードをROMに記録されているコードと同じ方法で実行することができる。従って、カードには二種類のメモリが搭載される。即ち、第一のメモリの内容は回路の製造時に書き込まれ、変更不可能である。第二のメモリの内容は出荷時に空白であり、値はこのメモリの通常の使用の過程で書き込まれる。
今日、チップカードは技術的に多数のニーズを満たすことができる。「オペレーティングシステム」とも呼ばれている、カードに組み込まれているプログラムはカードの諸機能をその最終用途に適応させることを可能にする。実際のところ、オペレーティングシステムは集積回路の製造の際にROMに書き込まれて格納される。新しいニーズに応えることを目的としたプログラムの変更は時間のかかる作業であり、クライアントが急を要しているときは大きな問題を引き起こす。また、この作業は非常にコストが高くつく。それゆえに、数千枚のカードの購入を希望する多くの「小規模な」クライアントは二の足を踏み、彼らの期待を部分的にしか満たさないカードで我慢する場合が多い。解決法は既存のマスクを使用するとともに、クライアントが必要とする諸機能をプログラマブルメモリに追加すること、あるいはROMに存在している諸機能を変更することからなる。
追加コードをプログラマブルメモリに挿入し、実行できることは、古いプログラムに新しい機能を容易に付加することを可能にする、あるいは古い機能を特定のニーズに適応させるという利点を提供する。
本願出願人の特許願96/05454はいくつかの命令の実行の際にプログラムを分枝(rerouting)するための具体的なメカニズムについて記載している。この発明はROMのいくつかのロケーションに質問ポイント(interrogation point)とオリエンテーションポイント(orientation point)をそれぞれの命令によって確立することからなる。質問ポイントは番号によって参照され、この番号によって示されているアドレスに対応したコードシーケンスが存在している場合、プログラマブルメモリ内のルーチンへのアクセスを可能にする。肯定の場合には、フラグがセットされ、分枝アドレスがRAMに記憶される。オリエンテーションポイントは、質問ポイントが事前に実行された場合に、アクティブである。有利なケースでは、分枝は、通常のプログラムをプログラムされたアドレスへジャンプさせることによって開始される。実行されるべきコードシーケンスはプログラマブルメモリ内にあってもよいし、ROM内にあってもよい。
しかしながら、この実施形態は、プログラムの実行において多数の変更を考慮することが必要な場合、いくつかの問題を生じる。即ち、この場合、ROMに多数のオリエンテーションポイントを設ける必要がある。極端な例では、広範囲の適応性が望まれるならば、プログラムはメインプログラムを構成しているコードの数より多い、分枝を可能にするコードを含むことになる。ROMのサイズが制限されている場合、このポイントの多さが主な欠点である。更に、実行時間がポイント数に比例して増大する。分枝ポイント数が制限されるならば、この構成はフレキシビリティを失う。なぜならば、それはどんな命令の実行の際でもプログラムを分枝させることができなくなるからである。
本発明は、固定プログラムのいくつかの動作異常を是正することを可能にする、従って正しい実行を可能にする装置、あるいは書き込まれるべきコードシーケンスの最適化を図りながら、既存のプログラムに様々な機能性を容易に付加することを可能にする装置を目的とする。
この目的は、媒体のメモリに書き込まれたコードシーケンスを変更する装置が、該コードシーケンスを実行可能なCPUと、CPUによって実行可能なメインプログラムを格納する該メモリと、場合によっては実行可能な新しいコードシーケンスが格納する第二の不揮発性プログラマブルメモリと、第三の作業メモリとを備え、第二のプログラマブルメモリに格納される分枝テーブルTAB_DERが、新しいコードシーケンスのリファレンスデータを持つ少なくとも一つのフィールドと、実行されたコードシーケンスからの三つのメモリのうちの一つに書き込まれた新しいコードシーケンスに向かう遅延された分枝を可能にする分枝手段と、分枝前に実行されたコードシーケンスの一つのポイントへの復帰を可能にする新しいコードシーケンス内の手段とを含むことによって達成される。
本発明の別の目的は、オリエンテーションポイント数が制限されていても、どんな命令の実行であれその実行の前に、プログラムの通常の実行の中断を可能にすることである。
この目的は、分枝手段がメインプログラムのコードが格納されているメモリに予め挿入された、活動化可能なオリエンテーション命令(IORi)からなることによって達成される。各オリエンテーション命令はプログラマブルメモリに書き込まれた分枝テーブルTAB_DERのリファレンスiに関連づけられる。
別の特徴によれば、活動化される各オリエンテーション命令(IORi)は下記手段を持つ新しいコードシーケンスの実行を開始する。
− オリエンテーション命令のリファレンスに対応している時間遅延ΔTiをプログラマブルメモリのテーブルTAB_DERから読み取る手段。この時間遅延は、時間遅延に関連してアドレス(Adri)がテーブル内に示されている新しいコードシーケンスへの分岐を行う割込みの開始を遅延することを可能にする。
− アドレス(Adri)を装置のメモリに記憶する手段。
− 分枝の時間遅延に必要な時間をカウントするために装置のタイマをスタートさせる手段。
本発明の別の目的は、CPUによって実行される、いわゆるセンシブルオペレーションのオペレーションをマスクすることを可能にすることである。
この目的は、コードシーケンスを変更する装置が、装置のメモリに記憶され、新しいコードシーケンスの実行に先立ち、時間遅延ΔTiに関連した時間間隔[ΔTmini;ΔTmaxi]を各分枝ポイント(i)に関連づける第二のテーブルTAB_SECと、時間遅延がこのテーブルによって与えられる関連時間間隔によって許可されることを検査する手段とを備えていることによって達成される。
別の特徴によれば、コードシーケンス装置は時間遅延ΔTiを時間間隔[ΔTmini;ΔTmaxi]の値だけシフトさせることを可能にする手段を備えている。
別の特徴によれば、コードシーケンス装置は、時間遅延ΔTiが時間間隔内にあるとき、エラーメッセージを発生させる手段を備えている。
別の特徴によれば、コードシーケンス装置は、タイマが零値に達するとき、時間遅延(ΔTi)の終了の結果として、割込みを開始する手段と、PCプログラムカウンタレジスタのカレント値をスタックに記憶する手段と、割込みベクトルを含んでいるROM部分内に規定されているアドレスにプログラムをジャンプさせる、割込みのコードシーケンスの開始のアドレスを提供する手段と、スタックに記憶されているPCプログラムカウンタレジスタの値Val_PCがテーブルTAB_SEC内に含まれているセンシブルシーケンスアドレス値でないことを検査する手段と、オペレーションの実行を変更する手段とを備えている。
別の特徴によれば、検査手段はプログラムカウンタレジスタの値がセンシブルシーケンス中のプログラムの中断に対応している間隔[Adrdeb_i、Adrfin_1]内にTAB_SECに含まれているかどうかテストし、カードのオペレーションの実行を変更する手段は、カードのセキュリティが破られ、禁止されることを示すメッセージを送り返すか、あるいは検査手段はプログラムカウンタレジスタの値Val_PCが非センシブルシーケンス中のプログラムの中断に対応している間隔[Adrfin_i、Adrdeb_i+1]に含まれているかどうかテストし、オペレーションの実行を変更する手段は、オリエンテーション命令(IORi)の処理中に開始アドレスが記憶された新しいコードシーケンスを実行することをプログラムに許可する。
別の特徴によれば、コードシーケンスを変更する装置はCPUによるプログラムの実行を可能にする周波数ソースとは異なるカウンタのための周波数ソースを備えており、分枝テーブルTAB_DERにプログラムされている時間遅延(ΔTi)の値は決定されたアドレスにおいてプログラムを中断することを可能にするために計算され、テーブルTAB_DERは時間遅延の各値について、この決定されたアドレスを含んでいる追加要素と、割込みによって中断された命令のアドレスをテーブル内に示されているアドレスと比較し、アラームを発生させる手段とを持つ。
別の特徴によれば、コードシーケンス装置は媒体をブロックするために、またメモリへの書き込みという不正な試みを示すためにアラームを発生させる手段を備えている。
別の特徴によれば、各新しいコードシーケンスは新しい時間遅延値(ΔTi)をタイマにロードするためにオリエンテーション命令で終わる。
最後の目的は、CPU及びメモリを含む媒体に書き込まれた固定コードシーケンスを変更する方法である。
この目的は、CPU及びメモリを含む媒体に書き込まれた固定コードシーケンスを変更する方法が、オリエンテーション命令に関連したリファレンスiに応じて、オリエンテーション命令のリファレンスiに対応しているテーブル行の内容によって決定された時間遅延内に、メモリに格納されているプログラムの実行を時間遅延された中断によって分枝テーブルTAB_DERによって決定されたアドレスに向けてジャンプすることを可能にする少なくとも一つのオリエンテーション命令(IORi)を、少なくとも一つの固定コードシーケンスに設けることによって達成される。なお、時間遅延の終了時に生じる割込みの際に実行可能な新しいコードシーケンスはテーブル(TAB_DER)内に含まれているアドレスに設けられる。
別の特徴によれば、割込みを開始させるステップの前に検査ステップがあり、時間遅延は、媒体の不揮発性メモリに書き込まれているセキュリティテーブルと呼ばれる第二のテーブルTAB_SECによって規定された間隔内に含まれない。
本発明のその他の特徴及び利点は、添付図を参照しながら行う以下の説明を読むことによってより明確になるであろう。
第1図は、本発明の実施に必要な電子回路の概略図である。
第2A図は、本発明の実施に必要なコードシーケンスのタイムチャートである。
第2B図は、分枝ポイントの活動化に対応するコードシーケンスの論理図である。
第2C図は、カウンタによって生じる割込みの処理に対応するコードシーケンスである。
第2D図は、分枝テーブルTAB_DERである。
第3図は、本発明の実施形態における、オリエンテーション命令処理及び割込み処理アプリケーションプログラムのコードシーケンスのネスティングのタイムチャートである。
第4A図は、セキュリティテーブルTAB_SECである。
第4B図は、本発明の分枝テーブルと一緒にセキュリティテーブルが使用される場合における分枝シーケンスの論理フローチャートの変更である。
第5図は、分枝テーブル内の書き込みプログラムの論理フローチャートである。
本発明を「チップカード」、より具体的にはマイクロプロセッサカードを例に挙げて説明する。これらのカードは一般に集積回路を有しており、その全体構成は第1図に示されているとおりである。この回路はアドレス及びデータバスにより例えばメインプログラムを格納しているROMタイプの不揮発性メモリ(2)に接続されているCPU(1)と、EEPROMタイプの不揮発性プログラマブルメモリ(3)と、作業メモリRAM(4)と、入出力インターフェイスI/O(5)と、タイマ(6)とを備えている。カウンタは割込みを発生させることができる。従って、タイマはCPUによって実行されるプログラムの通常の実行を中断することができる。割込みはベクトルに関連づけられており、ベクトルは割込みルーチンの開始アドレスである。割込みを発生させるものは、シーケンスの最初の命令のアドレスである。タイマの内部あるいは外部の手段により、割込み禁止手段は割込みを遅らせたり、キャンセルすることも可能である。この場合、割込みはあとで考慮されるか、まったく考慮されない。
プログラマブルメモリ(3)は複数の部分に分かれている。システムゾーンと呼ばれる第一の部分には外部から読取り不可能なシステム情報が格納されている。この部分は特にメモリの他の部分の各々を画定することを可能にするポインタの値を含んでいる。データゾーンと呼ぶ第二の部分(32)は外部からアクセス可能であり、主にユーザデータを含んでいる。第三の部分(33)にはオリエンテーションテーブルTAB_DERが格納されている。このテーブルは少なくとも三つのフィールド(RefNo、ΔTi及びAdri)で構成された同一フォーマットによる要素を含んでいる。シーケンスゾーンと呼ぶ第四の部分(34)はオリエンテーションポイントの参照番号(RefNo)から、またテーブルから読み取られたアドレス(Adri)からメインプログラムによって呼び出され得るコードシーケンスを含んでいる。本発明の変形形態では、オリエンテーションテーブルあるいは一つ又は複数のコードシーケンスは不揮発性プログラマブルメモリではなく作業メモリRAMにロードし得ることに留意されたい。
オリエンテーションテーブルTAB_DERの、AD_TABと呼ばれる開始アドレスはシステムゾーン(31)内に記憶される。正確なロケーションがこの値を収容するために設けられる。このロケーションを書き込むことにより、テーブルが適正に存在していること、及びオリエンテーションポイントが実際に使用できることが示される。
特にメインプログラムが格納されているROM(2)は三つの部分に分かれている。第一の部分(21)は電源投入時におけるプログラムの初期化を行う。第二の部分(22)にはアプリケーションプログラムが格納されている。第三の部分(23)は「休眠」コードを含んでいる。このコードの役割については、後述する。
プログラムが分枝ポイント又はオリエンテーションポイント(220)に到達すると、プログラムは第2B図に示されている分枝シーケンスを実行する。この分枝シーケンスは割込みがすでに実行中であるかどうかをプログラムが調べる第一のステップからなる。肯定の場合には、プログラムは中止される。否定の場合には、プログラムはステップ2202へ進み、ここで分枝ポイントiに対応しているインディケータがアクティブであるかどうか調べる。
否定の場合には、プログラムは前に述べた出願に記載されているタイプのエラー処理を行う。肯定の場合には、プログラムはEEPROMの第三の部分(33)に書き込まれているテーブルTAB_DER内において、分枝iに対応しているタイマのプログラミング値(ΔTi)及び分枝アドレス(Adrsi)を探索するステップへ進む。
次のステップ2205はテーブルTAB_DERの行iによって与えられる遅延値(ΔTi)を遅延タイマ(6)にロードすることを可能にする。そしてプログラムの次のステップ2206は遅延タイマのスタートを可能にする。ある種のマイクロプロセッサでは、タイマへの新しい値の書き込みはその活動化をもたらす。この場合、二つのステップ2205と2206は統合される。このステップの後、分枝シーケンスは、ステップ2207で、分枝又はオリエンテーション命令(IOR)に遭遇したときに実行中であったプログラムの次の命令にジャンプする。
ステップ2206においてスタートしたタイマがテーブルTAB_DERの行iによって与えられた時間(ΔTi)を経過した場合、タイマ(6)はマイクロプロセッサ(1)に割込みをかける。これに伴い、割込みシーケンスが処理される(221;第2A図)。第2C図に詳細が示されているこの割込みシーケンスはジャンプコンテキスト(2210)をRAM(4)に一時記憶可能なステップから始まる。割込みの処理はステップ2204で先に記憶されたアドレスにおいて、EEPROM(3)の第四の部分内(34)、あるいはROMの第三の部分内(23)に格納されている新しいコードシーケンスを実行するステップ(2211)へ進む。割込みは、例えば割込みリターン命令RTIを用いて、即ち第2A図の参照記号2212Bで示されているように(例えばJUMP命令によって)ジャンプを行うことによってメインプログラムに戻るために、即ち割込み前に実行されていたプログラムの次の命令(2212A)に戻るために一時記憶されているコンテキストを使用可能なステップ(2212)で終わる。
以上から分かるように、EEPROMにテーブルを、ROMに割込みシーケンスを、また揮発性あるいは不揮発性メモリに分枝シーケンスを記録することにより、ROMに記憶されているアプリケーションプログラムのあらゆる点において介入することが可能であり、更に休眠コード部分を利用することによって、あるいは例えばEEPROMに新しいコード部分を書き込むことによって、機能を変更したり、新しい機能を付け加えたりすることが可能である。
オリエンテーションポイントは、今変更すべきプログラム部分より前に存在している。このオリエンテーションポイントはそれに固有の参照番号が付されており、この場合「1」である。
テーブルTAB_DERはプログラマブルメモリに挿入されている。参照記号「1」に対応した入力は例えば次表のとおりである。
ΔT1は所望アドレスAdr_2においてメインプログラムの実行を中断するのに必要な時間に相当するように計算されている(第3図)。この計算を行うにあたっては、命令の数がアドレスAdr_2に「届く」ことが必要であり、タイマのカウントダウン周波数が考慮される。
最初に、オリエンテーションテーブルの存在がテストされる。先に述べたように、これはテーブルTAB_DERの開始アドレスを含んでいるロケーションの書込みの有無をテストすることになる。次に、タイマの実行中の割込みの存在がテストされる。もしタイマが動作中であるならば、分枝ポイントの実行を禁止しなければならず、先行のオリエンテーションポイントに対応しているコードシーケンスのみが実行される。もしタイマが動作中でないならば、プログラムは番号1のオリエンテーションポイントに対応している第二及び第三の要素内に書き込まれている値を探索する。値ΔT1及びAdr_1が要素の第一及び第二のフィールドからそれぞれ抽出される。そして、タイマのデータレジスタに値ΔT1がロードされ、タイマによって引き起こされた割込みに関連した割込みベクトルに値Adr_1がロードされる。最後に、オリエンテーションポイントのシーケンスから出る直前に、タイマはスタートされ、そのデータレジスタに格納された値は時間の関数として減少する。
値ΔT1はきわめて正確に決定されなければならない。この値は、タイマのスタート命令の実行時点と実行すべきでない第一の命令の実行時点とを分離するサイクルの数に直接依存している。もしタイマがCPUのクロックと同期しているならば、上述の二つの命令を分離している各命令のサイクルの数を加算すれば十分である。もしタイマがCPUと同じ周波数で同期化されていないならば、計算は概算であり微妙である。
もしタイマの周波数ソースがプログラムの実行を可能にする周波数ソースと異なっているならば、本発明の方法は例えば安全検査タスクを行うことを可能にする。即ち、テーブルTAB_DERにプログラムされた値は所与のアドレスにおいて中断を可能にする。このアドレスとは、テーブルTAB_DER内で追加要素として示されたアドレスである。いったん中断がアクティブになれば、中断された命令のアドレスをテーブル内に示されているアドレスと比較することができる。もしこれらのアドレスが等しくないならば、そのときは、おそらく不正な試みに起因する周波数ソースの擾乱があるものと結論づけることができ、プログラムは(例えばブロックされることによって)適切に動作することができる。
本発明の好ましい実施方法はプログラマブルメモリにテーブル(第2D図)を作成することからなる。このテーブルの第一の要素はオリエンテーションポイントの参照番号であり、第二の要素はタイマへのローディング値であり、第三の要素は実行されるべきコードシーケンスのアドレスである。
このテーブル(第2D図)は5バイトの六つの行に配分された30バイトの最大サイズを有する。テーブルの第一の要素は1バイトを持つ。これは、1から255まで番号付けされた255のオリエンテーションポイントをROMコード内に置くことを可能にする。値ゼロはもはや値がないことを示している。即ち、テーブルエンドに達している。第二の値は2バイトで表示される。これは65536の異なる値をタイマにロードすることを可能にする。最後に、ジャンプアドレスは2バイトで示され、これはチップカードタイプのマイクロプロセッサでは通常の値である。このアドレスはプログラマブルメモリEEPROMに書き込まれたコードシーケンスならびにROM内のコード(スリーピングコード)を実行させることを可能にしなければならない。
このテーブルTAB_DER(第2D図)の六番目の行は「00」であることが分る。従って、この場合は、実際に使用可能なオリエンテーションポイントは五つしかない。即ち、番号1と3と4(二つの入力)と6である。オリエンテーションポイント3と6は同じジャンプアドレスAdr_3を持っている。これはプログラムの変更がこれらの二つのポイントについて同じであることを意味している。従って、三つの分枝シーケンスが設けられている。これらの分枝シーケンスは、プログラマブルメモリ及びROMコードの一部に記憶可能であり、「休眠」コードは、オリエンテーションポイントを用いてこれを実行することができる。
プログラマがテーブルのサイズに対応する情報をメモリに格納することを不要にする、別のオリエンテーションテーブルの管理方法は、オリエンテーションテーブルの次の要素のアドレス値を含む追加フィールドを用意することからなる。より詳細については、前述の特許出願を参照されたい。
有利には、新しいコードシーケンスはオリエンテーションポイントで終わる。これはタイマの再ローディングを可能にし、従って上記表が参照番号「4」について示しているように新しい遅延を付け加えることができる。これは特にタイマの容量を超える非常に長い遅延を得る上で有用である。この場合、あるスタート値に初期化される割込みタイマの管理をコードシーケンス内に設ける。この値はTAB_DER内に書き込まれている値をタイマにプログラムする前に行われるべき最大遅延数を表している。この最後の遅延に続いて、メインプログラムの変更に関するコードシーケンス部分が実行される。
本発明の実施形態が第3図に表されている。第3図において、ROMに書き込まれているアプリケーションプログラムは、本願出願人によるフランス特許出願No.96/05454の原理に従って、ある数のポーリング命令(IIi)と、該命令に続いており、該命令と対応するオリエンテーション命令(IOi)とを分離するコードシーケンスとを含むことができる。
これらのポーリング命令(IIi)は対応するオリエンテーション命令(IORi)がアクティブであるか否か決定することを可能にするとともに、アクティブである場合には、プログラムがオリエンテーション命令に到達すると、オリエンテーション命令(IOi)のための参照番号がiであるオリエンテーション又は分枝ポイント(i)に向けてプログラムを分枝することを可能にする。
オリエンテーション命令(IORi)の実行は複数の動作を引き起こす。この実行は、まず最初に、EEPROMのゾーン33に書き込まれている分枝テーブルTAB_DERの読み取りを引き起こし、このテーブルのアドレスiにおいて、タイマの値ΔT1及びジャンプアドレス(Adri)が記入されているかどうか決定する。これらの値が存在している場合には、対応する情報、即ちタイマの値ΔT1及びジャンプアドレスAdriが、例えば、RAM(4)に一時的に記憶される。そして、オリエンテーション命令はタイム6のスタートで終わる。
一旦、オリエンテーション命令が実行されると、アプリケーションプログラムはそのシーケンスの順次実行を続行し、補遺1に記載されている実行可能なコード例に対応するアドレスAdr_1で示される命令の実行に到達し、シーケンスの一連の命令を実行し、アドレスAdr_2によって示される命令に到達する。このアドレスは、通常ROMに記録されているプログラムのシーケンスの命令の後の動作で使用される、対応する値を別の値に変更することに決定したアドレスである。このため、プログラムがアドレス(Adr_2)の命令を実行する前に割込みが発生するように、また割込みがアドレスAdriにおけるコードシーケンスに向けてプログラムを分枝させるようにΔTiが決定される。従って、補遺1のプログラムの示されている例では、次にアドレスAdr_3において行われる乗算で値10を値20に置き換える必要がある。
これは補遺2に記載されているコードシーケンスによって得られる。従って、値10の代わりに値20がアキュムレータBにロードされることが分かる。これにより、ROMに書き込まれているプログラムを変更しなくとも乗算の結果が変わることになる。
従って、第3図の四角341に示されているようにEEPROMのゾーン34に新しいコードシーケンスを書き込むことにより、またEEPROM(3)のゾーン33に分枝テーブルTAB_DERを書き込むことにより、さらにチップカードのROMに記憶されているオペレーティングプログラムにオリエンテーション命令を設けることにより、遅延ΔTi及びカードのメモリの一つに書き込まれた新しいコードシーケンスが位置する介入アドレスAdriとを選択することによって全ての命令に介入し修正することが可能となる。
補遺1のプログラム部分の先頭は「01」と番号付けされたオリエンテーションポイントの呼出を含む。次に命令が存在する。そして、特定のシーケンスが記述される。最初に、Xで示されるバイトの値に値10が掛けられ、2バイトの結果が二つのレジスタに格納され、プログラマブルメモリへの書き込みサブプログラムが実行される。プログラムはROMに固定されているので、変更不可能であるが、値「10」が「20」に変える必要があることは明らかである。どのようにして本発明がこの問題を解決できるか説明する。
CPUはそのときメインプログラム(PP;第3図)の実行を続けている。マイクロプロセッサがadr_2と記されているアドレスの命令の実行をスタートさせる時点で、分枝ポイントにおいて値ΔTiで初期化されたタイマ(6)のデータレジスタは零値に達する。これはアドレスAdriの分岐を可能にする割込み(IT;第3図)を引き起こす。命令「LDB #010d」は従って実行されない。CPUは補遺2に記述されているコードシーケンスが位置するアドレスAdriに向かう。
補遺2に示されているこの小さなコードシーケンスは乗算に使用されるレジスタBに値「20」をロードすることを可能にするとともに、メインプログラムに、即ち変更されるべき、あるいは実行されるべきでない命令の直後のアドレスadr_3に戻ることを可能にする。このアドレスにおける乗算命令は、ROMコード内の先行の命令に含まれている値「10」ではなく、新しいコードシーケンスに含まれている値「20」を用いる。
本発明の以下の変形形態はセキュリティニーズを考慮している。安全上の理由により、割込みによるプログラム部分の実行を停止し得ることは有利である。例えば、暗号計算や受け取った値と計算された値との比較を伴う認証のケースである。即ち、秘密のキーが作業メモリにある限り、従って分枝シーケンスによって見ることができる限り、割り込みを許可してはならない。これは、「センシブルな」プログラムの実行の間中、全ての割込みを、又は少なくともタイマの割込みを禁止することによって可能になる。
割込みの禁止及び割込みの再活動化は、ほとんど全てのマイクロプロセッサによって解読可能な命令によりそれぞれ行われる。これらの命令は一般にマイクロプロセッサのステータスレジスタのビットを変更する。即ち、このビットがアクティブである限り、割込みの開始は妨げられ、アクティブでない限り、割込みは許可される。センシブルシーケンスの前に、割込み禁止命令がROM内に存在し、再活動化命令がセンシブルシーケンスの後に置かれているならば、センシブルシーケンスは最終的に保護されることになる。
センシブルシーケンスの実行の際に割込みの開始を禁止するための別の方法は、テーブルTAB_DERの利用の際にタイマのプログラミング値を各オリエンテーションポイントについてテストすることである。従って、カウンタのあらゆるプログラミング値を禁止する間隔を規定している一組の値[ΔTmini、ΔTmaxi]を、メインプログラムの各オリエンテーションポイント毎に有する、ロックされたテーブルTAB_SECがROMに、あるいはEEPROMに設けられる。有利には、テーブルTAB_SECは、第4A図に表されているように、同じオリエンテーションポイントについて複数の組[ΔTmini、ΔTmaxi]を有することができる。
ROM内のテーブルTAB_SECの存在は、前述のようにセンシブルシーケンスを固定する。一方、EEPROM内に存在することは、キーによりロックされるまでセンシブルシーケンスゾーンを変更することを可能にする。
オリエンテーションポイント3と5については、二つの時間間隔がプログラムされる。
テーブルTAB_DER内の情報の利用の際に、オペレーティングシステムはオリエンテーションポイントiに対応している書き込まれるべき値ΔTiが間隔[ΔTmini、ΔTmaxi]に属するかどうかテストする。もし属しているならば、センシブルシーケンスは中断され、オペレーティングシステムは書き込みを禁止し、エラーメッセージを送り返す。もし反対に、このオリエンテーションポイントに対応して、値ΔTiが許可されていない時間間隔内に含まれていないならば、書き込みは問題なく実行され、オリエンテーションポイントは使用可能になる。
セキュリティテーブルTAB_SECが用いられる変形形態では、分枝シーケンスは第4B図に対応している。このシーケンスは、第2B図の諸ステップのほかに、第2B図のステップ2204とステップ2205との間に追加される以下の諸ステップを含んでいる。
− 間隔[ΔTmini、ΔTmaxi]を決定するために、更に例えば遅延タイマの初期化値ΔTiが、この間隔[ΔTmaxi、ΔTmini]内に含まれていないかどうか検査するためにセキュリティテーブルTAB_SECの行iを読み取る第一のステップ22041。反対の論理も可能である。もし値ΔTiが含まれていないならば、ステップ2205へ進む。もし値(ΔTi)が含まれているならば、エラーメッセージの表示を可能にするステップ22043Aへ進むか、あるいは間隔をプラスした値(ΔTi)をタイマに再ロードすることを可能にする命令を実行するステップ22043Bへ進む。これは割込みの開始を間隔の長さだけ遅延する。
この変形形態は割込みの開始を可能にするが、保護すべきアプリケーションプログラムのシーケンスに介入することは可能にしない。なぜならば、それらは保護セグメントの一部であるからである。
その他の部分については、分枝シーケンスは第2B図の場合と同じ方法で続けられる。
最後に、アプリケーションプログラム、又は休眠コードの一部は、例えば固定初期アドレスにおけるオリエンテーションによって呼び出され得る書き込みプログラムを含むことができる。これは、該書き込みプログラムへのオリエンテーションを介し、第5図に示されているシーケンスに従った分枝テーブルTAB_DERの書き込みを可能にするためである。
このプログラムはテーブルTAB_DER内の一つ又は複数の要素の書き込み命令を受け取るステップから始まる。要素ΔTi及びAdriは、テーブル内の要素の行iに書き込まれなければならない。このステップの次に、テーブルの書き込みフラグECAがアクティブであるか非アクティブであるかを検査するためのテストステップが存在する。ECAがアクティブである場合には、プログラムはステップ61のエラーメッセージへ進む。ECAが非アクティブである場合には、プログラムはセキュリティテーブルTAB_SEC内の対応する値との対比により各要素ΔTiを分析するステップ53へ進む。このステップは値ΔTiが間隔[ΔTmaxi、ΔTmini]内にあるかどうか決定するためにテスト54を含んでいる。肯定の場合には、プログラムは、禁止されているシーケンスに進まないようにするため、割込みを遅延させるべく、間隔の値を表しているΔTiを変更してステップ22043Bへ進む。これと一緒に表されている変形形態はエラーメッセージ22043Aを送ることからなる。
これは、(ΔTi)を値(ΔTi+x)に置き換えることからなるオペレーションにより、ステップ59に表されている。ここで、xは間隔(ΔTmaxi−ΔTmini)である。ΔTが間隔内に存在しない、あるいは変更された値ΔTiでない場合には、プログラムはステップ55へ進み、ここでテーブルの書き込みフラグECAがアクティブ状態にセットされる。
このステップの後、プログラムは分枝テーブルを更新するとともに書き込みを検査するステップ56へ進む。この検査はステップ57に表されているテストによって行われる。書き込みが適正であることがテストによって確認された場合には、プログラムは書き込まれるべき別の要素があるかどうか調べるステップへ進む。否定の場合には、プログラムはステップ62で終わる。肯定の場合には、プログラムはステップ53に戻る。
検査テストが否定の場合は、プログラムは書き込みフラグを非アクティブ状態にセットするステップ60へ進む。
テーブルTAB_DERによる本発明の変形形態では、いくつかのコード部分を、他の部分の変更を妨げることなしに保護することも可能である。
第三の変形形態は、ROM内のテーブルTAB_SECに、各センシブルシーケンスに関連した開始アドレスと終了アドレスを格納することからなる。アドレス値は容易に決定され、前述の時間を決定するための計算の結果とは異なる。
例えば、
TAB_SEC:ここで、各行はセンシブルシーケンスの開始アドレスと終了アドレスを表している。
有利には、アドレスウインドウ[Adrdeb_i、Adrfin_1]は数字の小さいアドレス順に格納される。これはテーブルの読み取りを容易にする。従って、間隔]Adrfin_i、Adrdeb_i+1[内に位置する値は非センシブルなプログラムのアドレス値である。
センシブルシーケンスの割込みの検査は時間遅延の終了時に行われる。カウンタが零値に達すると、割込みが開始され、PCのカレント値がスタックに格納され、プログラムは、一般的には「割込みベクトル」と呼ばれているROM部分内で規定されているアドレスへ分枝される。プログラムの設計者は、タイマの終了によって発生する割込みに対応しているベクトルの値を、割込みのコードシーケンスの開始のアドレスで初期化するようにしている。前記ルーチンはROM内にあり、従って変更不可能である。これはセキュリティ上の理由によるものである。従って、前記ルーチンは常に実行されることになる。
前記割込みコードシーケンスの開始時に、スタックに記憶されているPCの値Val_PC(即ち、割込みがなかったならばマイクロプロセッサが実行しなければならない命令のアドレス)がセンシブルシーケンスアドレス値でないことが検査される。もしテーブルTAB_SECが存在していないか空であるならば、テストは行われなく、プログラムは新しいコードシーケンスを直接実行する。もしそうでないならば、ルーチンプログラムはスタックから値Val_PCを抽出するとともに、この値がどのアドレス値の間に位置しているかテーブルTAB_SECにおいて探索する。
もし値が[Adrdeb_i、Adrfin_i]タイプのものであるならば、プログラムはセンシブルシーケンスの期間中中断されている。この場合、カードはそのセキュリティが破られており、禁止され得ることを示すメッセージを送り返すことができる。もし値が]Adrfin_i、Adrdeb_i+1[タイプのものであるならば、プログラムは非センシブルシーケンスの期間中中断されている。この場合、プログラムはオリエンテーションポイントの処理の間に開始アドレスが格納された新しいコードシーケンスを実行する。
その他の変更も本発明の範囲の一部をなしている。
補遺1
下記コードはメインプログラムの一つの実行可能なコード部分である。このコードはMOTOROLA 6805アセンブラで書かれている。
補遺2
本発明はコンピュータプログラム、特に少なくとも容易には変更できない媒体に記録されるコンピュータプログラムに関する。これらの媒体は、特にCPU、作業メモリ、不揮発性メモリ及び入出力手段を備えた情報処理システムに組み込まれる。より具体的には、この情報処理システムはチップカードに組み込むことができる。この場合、カードは少なくともマイクロプロセッサと、プログラムや場合によってはデータが格納されているROMと、作業メモリと、不揮発性プログラマブルメモリとを備える回路を搭載する。有利には、回路はモノリシックな形で構成される。不揮発性メモリはデータ及び/又はコードを格納することができる。従って、マイクロプロセッサはこのコードをROMに記録されているコードと同じ方法で実行することができる。従って、カードには二種類のメモリが搭載される。即ち、第一のメモリの内容は回路の製造時に書き込まれ、変更不可能である。第二のメモリの内容は出荷時に空白であり、値はこのメモリの通常の使用の過程で書き込まれる。
今日、チップカードは技術的に多数のニーズを満たすことができる。「オペレーティングシステム」とも呼ばれている、カードに組み込まれているプログラムはカードの諸機能をその最終用途に適応させることを可能にする。実際のところ、オペレーティングシステムは集積回路の製造の際にROMに書き込まれて格納される。新しいニーズに応えることを目的としたプログラムの変更は時間のかかる作業であり、クライアントが急を要しているときは大きな問題を引き起こす。また、この作業は非常にコストが高くつく。それゆえに、数千枚のカードの購入を希望する多くの「小規模な」クライアントは二の足を踏み、彼らの期待を部分的にしか満たさないカードで我慢する場合が多い。解決法は既存のマスクを使用するとともに、クライアントが必要とする諸機能をプログラマブルメモリに追加すること、あるいはROMに存在している諸機能を変更することからなる。
追加コードをプログラマブルメモリに挿入し、実行できることは、古いプログラムに新しい機能を容易に付加することを可能にする、あるいは古い機能を特定のニーズに適応させるという利点を提供する。
本願出願人の特許願96/05454はいくつかの命令の実行の際にプログラムを分枝(rerouting)するための具体的なメカニズムについて記載している。この発明はROMのいくつかのロケーションに質問ポイント(interrogation point)とオリエンテーションポイント(orientation point)をそれぞれの命令によって確立することからなる。質問ポイントは番号によって参照され、この番号によって示されているアドレスに対応したコードシーケンスが存在している場合、プログラマブルメモリ内のルーチンへのアクセスを可能にする。肯定の場合には、フラグがセットされ、分枝アドレスがRAMに記憶される。オリエンテーションポイントは、質問ポイントが事前に実行された場合に、アクティブである。有利なケースでは、分枝は、通常のプログラムをプログラムされたアドレスへジャンプさせることによって開始される。実行されるべきコードシーケンスはプログラマブルメモリ内にあってもよいし、ROM内にあってもよい。
しかしながら、この実施形態は、プログラムの実行において多数の変更を考慮することが必要な場合、いくつかの問題を生じる。即ち、この場合、ROMに多数のオリエンテーションポイントを設ける必要がある。極端な例では、広範囲の適応性が望まれるならば、プログラムはメインプログラムを構成しているコードの数より多い、分枝を可能にするコードを含むことになる。ROMのサイズが制限されている場合、このポイントの多さが主な欠点である。更に、実行時間がポイント数に比例して増大する。分枝ポイント数が制限されるならば、この構成はフレキシビリティを失う。なぜならば、それはどんな命令の実行の際でもプログラムを分枝させることができなくなるからである。
本発明は、固定プログラムのいくつかの動作異常を是正することを可能にする、従って正しい実行を可能にする装置、あるいは書き込まれるべきコードシーケンスの最適化を図りながら、既存のプログラムに様々な機能性を容易に付加することを可能にする装置を目的とする。
この目的は、媒体のメモリに書き込まれたコードシーケンスを変更する装置が、該コードシーケンスを実行可能なCPUと、CPUによって実行可能なメインプログラムを格納する該メモリと、場合によっては実行可能な新しいコードシーケンスが格納する第二の不揮発性プログラマブルメモリと、第三の作業メモリとを備え、第二のプログラマブルメモリに格納される分枝テーブルTAB_DERが、新しいコードシーケンスのリファレンスデータを持つ少なくとも一つのフィールドと、実行されたコードシーケンスからの三つのメモリのうちの一つに書き込まれた新しいコードシーケンスに向かう遅延された分枝を可能にする分枝手段と、分枝前に実行されたコードシーケンスの一つのポイントへの復帰を可能にする新しいコードシーケンス内の手段とを含むことによって達成される。
本発明の別の目的は、オリエンテーションポイント数が制限されていても、どんな命令の実行であれその実行の前に、プログラムの通常の実行の中断を可能にすることである。
この目的は、分枝手段がメインプログラムのコードが格納されているメモリに予め挿入された、活動化可能なオリエンテーション命令(IORi)からなることによって達成される。各オリエンテーション命令はプログラマブルメモリに書き込まれた分枝テーブルTAB_DERのリファレンスiに関連づけられる。
別の特徴によれば、活動化される各オリエンテーション命令(IORi)は下記手段を持つ新しいコードシーケンスの実行を開始する。
− オリエンテーション命令のリファレンスに対応している時間遅延ΔTiをプログラマブルメモリのテーブルTAB_DERから読み取る手段。この時間遅延は、時間遅延に関連してアドレス(Adri)がテーブル内に示されている新しいコードシーケンスへの分岐を行う割込みの開始を遅延することを可能にする。
− アドレス(Adri)を装置のメモリに記憶する手段。
− 分枝の時間遅延に必要な時間をカウントするために装置のタイマをスタートさせる手段。
本発明の別の目的は、CPUによって実行される、いわゆるセンシブルオペレーションのオペレーションをマスクすることを可能にすることである。
この目的は、コードシーケンスを変更する装置が、装置のメモリに記憶され、新しいコードシーケンスの実行に先立ち、時間遅延ΔTiに関連した時間間隔[ΔTmini;ΔTmaxi]を各分枝ポイント(i)に関連づける第二のテーブルTAB_SECと、時間遅延がこのテーブルによって与えられる関連時間間隔によって許可されることを検査する手段とを備えていることによって達成される。
別の特徴によれば、コードシーケンス装置は時間遅延ΔTiを時間間隔[ΔTmini;ΔTmaxi]の値だけシフトさせることを可能にする手段を備えている。
別の特徴によれば、コードシーケンス装置は、時間遅延ΔTiが時間間隔内にあるとき、エラーメッセージを発生させる手段を備えている。
別の特徴によれば、コードシーケンス装置は、タイマが零値に達するとき、時間遅延(ΔTi)の終了の結果として、割込みを開始する手段と、PCプログラムカウンタレジスタのカレント値をスタックに記憶する手段と、割込みベクトルを含んでいるROM部分内に規定されているアドレスにプログラムをジャンプさせる、割込みのコードシーケンスの開始のアドレスを提供する手段と、スタックに記憶されているPCプログラムカウンタレジスタの値Val_PCがテーブルTAB_SEC内に含まれているセンシブルシーケンスアドレス値でないことを検査する手段と、オペレーションの実行を変更する手段とを備えている。
別の特徴によれば、検査手段はプログラムカウンタレジスタの値がセンシブルシーケンス中のプログラムの中断に対応している間隔[Adrdeb_i、Adrfin_1]内にTAB_SECに含まれているかどうかテストし、カードのオペレーションの実行を変更する手段は、カードのセキュリティが破られ、禁止されることを示すメッセージを送り返すか、あるいは検査手段はプログラムカウンタレジスタの値Val_PCが非センシブルシーケンス中のプログラムの中断に対応している間隔[Adrfin_i、Adrdeb_i+1]に含まれているかどうかテストし、オペレーションの実行を変更する手段は、オリエンテーション命令(IORi)の処理中に開始アドレスが記憶された新しいコードシーケンスを実行することをプログラムに許可する。
別の特徴によれば、コードシーケンスを変更する装置はCPUによるプログラムの実行を可能にする周波数ソースとは異なるカウンタのための周波数ソースを備えており、分枝テーブルTAB_DERにプログラムされている時間遅延(ΔTi)の値は決定されたアドレスにおいてプログラムを中断することを可能にするために計算され、テーブルTAB_DERは時間遅延の各値について、この決定されたアドレスを含んでいる追加要素と、割込みによって中断された命令のアドレスをテーブル内に示されているアドレスと比較し、アラームを発生させる手段とを持つ。
別の特徴によれば、コードシーケンス装置は媒体をブロックするために、またメモリへの書き込みという不正な試みを示すためにアラームを発生させる手段を備えている。
別の特徴によれば、各新しいコードシーケンスは新しい時間遅延値(ΔTi)をタイマにロードするためにオリエンテーション命令で終わる。
最後の目的は、CPU及びメモリを含む媒体に書き込まれた固定コードシーケンスを変更する方法である。
この目的は、CPU及びメモリを含む媒体に書き込まれた固定コードシーケンスを変更する方法が、オリエンテーション命令に関連したリファレンスiに応じて、オリエンテーション命令のリファレンスiに対応しているテーブル行の内容によって決定された時間遅延内に、メモリに格納されているプログラムの実行を時間遅延された中断によって分枝テーブルTAB_DERによって決定されたアドレスに向けてジャンプすることを可能にする少なくとも一つのオリエンテーション命令(IORi)を、少なくとも一つの固定コードシーケンスに設けることによって達成される。なお、時間遅延の終了時に生じる割込みの際に実行可能な新しいコードシーケンスはテーブル(TAB_DER)内に含まれているアドレスに設けられる。
別の特徴によれば、割込みを開始させるステップの前に検査ステップがあり、時間遅延は、媒体の不揮発性メモリに書き込まれているセキュリティテーブルと呼ばれる第二のテーブルTAB_SECによって規定された間隔内に含まれない。
本発明のその他の特徴及び利点は、添付図を参照しながら行う以下の説明を読むことによってより明確になるであろう。
第1図は、本発明の実施に必要な電子回路の概略図である。
第2A図は、本発明の実施に必要なコードシーケンスのタイムチャートである。
第2B図は、分枝ポイントの活動化に対応するコードシーケンスの論理図である。
第2C図は、カウンタによって生じる割込みの処理に対応するコードシーケンスである。
第2D図は、分枝テーブルTAB_DERである。
第3図は、本発明の実施形態における、オリエンテーション命令処理及び割込み処理アプリケーションプログラムのコードシーケンスのネスティングのタイムチャートである。
第4A図は、セキュリティテーブルTAB_SECである。
第4B図は、本発明の分枝テーブルと一緒にセキュリティテーブルが使用される場合における分枝シーケンスの論理フローチャートの変更である。
第5図は、分枝テーブル内の書き込みプログラムの論理フローチャートである。
本発明を「チップカード」、より具体的にはマイクロプロセッサカードを例に挙げて説明する。これらのカードは一般に集積回路を有しており、その全体構成は第1図に示されているとおりである。この回路はアドレス及びデータバスにより例えばメインプログラムを格納しているROMタイプの不揮発性メモリ(2)に接続されているCPU(1)と、EEPROMタイプの不揮発性プログラマブルメモリ(3)と、作業メモリRAM(4)と、入出力インターフェイスI/O(5)と、タイマ(6)とを備えている。カウンタは割込みを発生させることができる。従って、タイマはCPUによって実行されるプログラムの通常の実行を中断することができる。割込みはベクトルに関連づけられており、ベクトルは割込みルーチンの開始アドレスである。割込みを発生させるものは、シーケンスの最初の命令のアドレスである。タイマの内部あるいは外部の手段により、割込み禁止手段は割込みを遅らせたり、キャンセルすることも可能である。この場合、割込みはあとで考慮されるか、まったく考慮されない。
プログラマブルメモリ(3)は複数の部分に分かれている。システムゾーンと呼ばれる第一の部分には外部から読取り不可能なシステム情報が格納されている。この部分は特にメモリの他の部分の各々を画定することを可能にするポインタの値を含んでいる。データゾーンと呼ぶ第二の部分(32)は外部からアクセス可能であり、主にユーザデータを含んでいる。第三の部分(33)にはオリエンテーションテーブルTAB_DERが格納されている。このテーブルは少なくとも三つのフィールド(RefNo、ΔTi及びAdri)で構成された同一フォーマットによる要素を含んでいる。シーケンスゾーンと呼ぶ第四の部分(34)はオリエンテーションポイントの参照番号(RefNo)から、またテーブルから読み取られたアドレス(Adri)からメインプログラムによって呼び出され得るコードシーケンスを含んでいる。本発明の変形形態では、オリエンテーションテーブルあるいは一つ又は複数のコードシーケンスは不揮発性プログラマブルメモリではなく作業メモリRAMにロードし得ることに留意されたい。
オリエンテーションテーブルTAB_DERの、AD_TABと呼ばれる開始アドレスはシステムゾーン(31)内に記憶される。正確なロケーションがこの値を収容するために設けられる。このロケーションを書き込むことにより、テーブルが適正に存在していること、及びオリエンテーションポイントが実際に使用できることが示される。
特にメインプログラムが格納されているROM(2)は三つの部分に分かれている。第一の部分(21)は電源投入時におけるプログラムの初期化を行う。第二の部分(22)にはアプリケーションプログラムが格納されている。第三の部分(23)は「休眠」コードを含んでいる。このコードの役割については、後述する。
プログラムが分枝ポイント又はオリエンテーションポイント(220)に到達すると、プログラムは第2B図に示されている分枝シーケンスを実行する。この分枝シーケンスは割込みがすでに実行中であるかどうかをプログラムが調べる第一のステップからなる。肯定の場合には、プログラムは中止される。否定の場合には、プログラムはステップ2202へ進み、ここで分枝ポイントiに対応しているインディケータがアクティブであるかどうか調べる。
否定の場合には、プログラムは前に述べた出願に記載されているタイプのエラー処理を行う。肯定の場合には、プログラムはEEPROMの第三の部分(33)に書き込まれているテーブルTAB_DER内において、分枝iに対応しているタイマのプログラミング値(ΔTi)及び分枝アドレス(Adrsi)を探索するステップへ進む。
次のステップ2205はテーブルTAB_DERの行iによって与えられる遅延値(ΔTi)を遅延タイマ(6)にロードすることを可能にする。そしてプログラムの次のステップ2206は遅延タイマのスタートを可能にする。ある種のマイクロプロセッサでは、タイマへの新しい値の書き込みはその活動化をもたらす。この場合、二つのステップ2205と2206は統合される。このステップの後、分枝シーケンスは、ステップ2207で、分枝又はオリエンテーション命令(IOR)に遭遇したときに実行中であったプログラムの次の命令にジャンプする。
ステップ2206においてスタートしたタイマがテーブルTAB_DERの行iによって与えられた時間(ΔTi)を経過した場合、タイマ(6)はマイクロプロセッサ(1)に割込みをかける。これに伴い、割込みシーケンスが処理される(221;第2A図)。第2C図に詳細が示されているこの割込みシーケンスはジャンプコンテキスト(2210)をRAM(4)に一時記憶可能なステップから始まる。割込みの処理はステップ2204で先に記憶されたアドレスにおいて、EEPROM(3)の第四の部分内(34)、あるいはROMの第三の部分内(23)に格納されている新しいコードシーケンスを実行するステップ(2211)へ進む。割込みは、例えば割込みリターン命令RTIを用いて、即ち第2A図の参照記号2212Bで示されているように(例えばJUMP命令によって)ジャンプを行うことによってメインプログラムに戻るために、即ち割込み前に実行されていたプログラムの次の命令(2212A)に戻るために一時記憶されているコンテキストを使用可能なステップ(2212)で終わる。
以上から分かるように、EEPROMにテーブルを、ROMに割込みシーケンスを、また揮発性あるいは不揮発性メモリに分枝シーケンスを記録することにより、ROMに記憶されているアプリケーションプログラムのあらゆる点において介入することが可能であり、更に休眠コード部分を利用することによって、あるいは例えばEEPROMに新しいコード部分を書き込むことによって、機能を変更したり、新しい機能を付け加えたりすることが可能である。
オリエンテーションポイントは、今変更すべきプログラム部分より前に存在している。このオリエンテーションポイントはそれに固有の参照番号が付されており、この場合「1」である。
テーブルTAB_DERはプログラマブルメモリに挿入されている。参照記号「1」に対応した入力は例えば次表のとおりである。
最初に、オリエンテーションテーブルの存在がテストされる。先に述べたように、これはテーブルTAB_DERの開始アドレスを含んでいるロケーションの書込みの有無をテストすることになる。次に、タイマの実行中の割込みの存在がテストされる。もしタイマが動作中であるならば、分枝ポイントの実行を禁止しなければならず、先行のオリエンテーションポイントに対応しているコードシーケンスのみが実行される。もしタイマが動作中でないならば、プログラムは番号1のオリエンテーションポイントに対応している第二及び第三の要素内に書き込まれている値を探索する。値ΔT1及びAdr_1が要素の第一及び第二のフィールドからそれぞれ抽出される。そして、タイマのデータレジスタに値ΔT1がロードされ、タイマによって引き起こされた割込みに関連した割込みベクトルに値Adr_1がロードされる。最後に、オリエンテーションポイントのシーケンスから出る直前に、タイマはスタートされ、そのデータレジスタに格納された値は時間の関数として減少する。
値ΔT1はきわめて正確に決定されなければならない。この値は、タイマのスタート命令の実行時点と実行すべきでない第一の命令の実行時点とを分離するサイクルの数に直接依存している。もしタイマがCPUのクロックと同期しているならば、上述の二つの命令を分離している各命令のサイクルの数を加算すれば十分である。もしタイマがCPUと同じ周波数で同期化されていないならば、計算は概算であり微妙である。
もしタイマの周波数ソースがプログラムの実行を可能にする周波数ソースと異なっているならば、本発明の方法は例えば安全検査タスクを行うことを可能にする。即ち、テーブルTAB_DERにプログラムされた値は所与のアドレスにおいて中断を可能にする。このアドレスとは、テーブルTAB_DER内で追加要素として示されたアドレスである。いったん中断がアクティブになれば、中断された命令のアドレスをテーブル内に示されているアドレスと比較することができる。もしこれらのアドレスが等しくないならば、そのときは、おそらく不正な試みに起因する周波数ソースの擾乱があるものと結論づけることができ、プログラムは(例えばブロックされることによって)適切に動作することができる。
本発明の好ましい実施方法はプログラマブルメモリにテーブル(第2D図)を作成することからなる。このテーブルの第一の要素はオリエンテーションポイントの参照番号であり、第二の要素はタイマへのローディング値であり、第三の要素は実行されるべきコードシーケンスのアドレスである。
このテーブル(第2D図)は5バイトの六つの行に配分された30バイトの最大サイズを有する。テーブルの第一の要素は1バイトを持つ。これは、1から255まで番号付けされた255のオリエンテーションポイントをROMコード内に置くことを可能にする。値ゼロはもはや値がないことを示している。即ち、テーブルエンドに達している。第二の値は2バイトで表示される。これは65536の異なる値をタイマにロードすることを可能にする。最後に、ジャンプアドレスは2バイトで示され、これはチップカードタイプのマイクロプロセッサでは通常の値である。このアドレスはプログラマブルメモリEEPROMに書き込まれたコードシーケンスならびにROM内のコード(スリーピングコード)を実行させることを可能にしなければならない。
このテーブルTAB_DER(第2D図)の六番目の行は「00」であることが分る。従って、この場合は、実際に使用可能なオリエンテーションポイントは五つしかない。即ち、番号1と3と4(二つの入力)と6である。オリエンテーションポイント3と6は同じジャンプアドレスAdr_3を持っている。これはプログラムの変更がこれらの二つのポイントについて同じであることを意味している。従って、三つの分枝シーケンスが設けられている。これらの分枝シーケンスは、プログラマブルメモリ及びROMコードの一部に記憶可能であり、「休眠」コードは、オリエンテーションポイントを用いてこれを実行することができる。
プログラマがテーブルのサイズに対応する情報をメモリに格納することを不要にする、別のオリエンテーションテーブルの管理方法は、オリエンテーションテーブルの次の要素のアドレス値を含む追加フィールドを用意することからなる。より詳細については、前述の特許出願を参照されたい。
有利には、新しいコードシーケンスはオリエンテーションポイントで終わる。これはタイマの再ローディングを可能にし、従って上記表が参照番号「4」について示しているように新しい遅延を付け加えることができる。これは特にタイマの容量を超える非常に長い遅延を得る上で有用である。この場合、あるスタート値に初期化される割込みタイマの管理をコードシーケンス内に設ける。この値はTAB_DER内に書き込まれている値をタイマにプログラムする前に行われるべき最大遅延数を表している。この最後の遅延に続いて、メインプログラムの変更に関するコードシーケンス部分が実行される。
本発明の実施形態が第3図に表されている。第3図において、ROMに書き込まれているアプリケーションプログラムは、本願出願人によるフランス特許出願No.96/05454の原理に従って、ある数のポーリング命令(IIi)と、該命令に続いており、該命令と対応するオリエンテーション命令(IOi)とを分離するコードシーケンスとを含むことができる。
これらのポーリング命令(IIi)は対応するオリエンテーション命令(IORi)がアクティブであるか否か決定することを可能にするとともに、アクティブである場合には、プログラムがオリエンテーション命令に到達すると、オリエンテーション命令(IOi)のための参照番号がiであるオリエンテーション又は分枝ポイント(i)に向けてプログラムを分枝することを可能にする。
オリエンテーション命令(IORi)の実行は複数の動作を引き起こす。この実行は、まず最初に、EEPROMのゾーン33に書き込まれている分枝テーブルTAB_DERの読み取りを引き起こし、このテーブルのアドレスiにおいて、タイマの値ΔT1及びジャンプアドレス(Adri)が記入されているかどうか決定する。これらの値が存在している場合には、対応する情報、即ちタイマの値ΔT1及びジャンプアドレスAdriが、例えば、RAM(4)に一時的に記憶される。そして、オリエンテーション命令はタイム6のスタートで終わる。
一旦、オリエンテーション命令が実行されると、アプリケーションプログラムはそのシーケンスの順次実行を続行し、補遺1に記載されている実行可能なコード例に対応するアドレスAdr_1で示される命令の実行に到達し、シーケンスの一連の命令を実行し、アドレスAdr_2によって示される命令に到達する。このアドレスは、通常ROMに記録されているプログラムのシーケンスの命令の後の動作で使用される、対応する値を別の値に変更することに決定したアドレスである。このため、プログラムがアドレス(Adr_2)の命令を実行する前に割込みが発生するように、また割込みがアドレスAdriにおけるコードシーケンスに向けてプログラムを分枝させるようにΔTiが決定される。従って、補遺1のプログラムの示されている例では、次にアドレスAdr_3において行われる乗算で値10を値20に置き換える必要がある。
これは補遺2に記載されているコードシーケンスによって得られる。従って、値10の代わりに値20がアキュムレータBにロードされることが分かる。これにより、ROMに書き込まれているプログラムを変更しなくとも乗算の結果が変わることになる。
従って、第3図の四角341に示されているようにEEPROMのゾーン34に新しいコードシーケンスを書き込むことにより、またEEPROM(3)のゾーン33に分枝テーブルTAB_DERを書き込むことにより、さらにチップカードのROMに記憶されているオペレーティングプログラムにオリエンテーション命令を設けることにより、遅延ΔTi及びカードのメモリの一つに書き込まれた新しいコードシーケンスが位置する介入アドレスAdriとを選択することによって全ての命令に介入し修正することが可能となる。
補遺1のプログラム部分の先頭は「01」と番号付けされたオリエンテーションポイントの呼出を含む。次に命令が存在する。そして、特定のシーケンスが記述される。最初に、Xで示されるバイトの値に値10が掛けられ、2バイトの結果が二つのレジスタに格納され、プログラマブルメモリへの書き込みサブプログラムが実行される。プログラムはROMに固定されているので、変更不可能であるが、値「10」が「20」に変える必要があることは明らかである。どのようにして本発明がこの問題を解決できるか説明する。
CPUはそのときメインプログラム(PP;第3図)の実行を続けている。マイクロプロセッサがadr_2と記されているアドレスの命令の実行をスタートさせる時点で、分枝ポイントにおいて値ΔTiで初期化されたタイマ(6)のデータレジスタは零値に達する。これはアドレスAdriの分岐を可能にする割込み(IT;第3図)を引き起こす。命令「LDB #010d」は従って実行されない。CPUは補遺2に記述されているコードシーケンスが位置するアドレスAdriに向かう。
補遺2に示されているこの小さなコードシーケンスは乗算に使用されるレジスタBに値「20」をロードすることを可能にするとともに、メインプログラムに、即ち変更されるべき、あるいは実行されるべきでない命令の直後のアドレスadr_3に戻ることを可能にする。このアドレスにおける乗算命令は、ROMコード内の先行の命令に含まれている値「10」ではなく、新しいコードシーケンスに含まれている値「20」を用いる。
本発明の以下の変形形態はセキュリティニーズを考慮している。安全上の理由により、割込みによるプログラム部分の実行を停止し得ることは有利である。例えば、暗号計算や受け取った値と計算された値との比較を伴う認証のケースである。即ち、秘密のキーが作業メモリにある限り、従って分枝シーケンスによって見ることができる限り、割り込みを許可してはならない。これは、「センシブルな」プログラムの実行の間中、全ての割込みを、又は少なくともタイマの割込みを禁止することによって可能になる。
割込みの禁止及び割込みの再活動化は、ほとんど全てのマイクロプロセッサによって解読可能な命令によりそれぞれ行われる。これらの命令は一般にマイクロプロセッサのステータスレジスタのビットを変更する。即ち、このビットがアクティブである限り、割込みの開始は妨げられ、アクティブでない限り、割込みは許可される。センシブルシーケンスの前に、割込み禁止命令がROM内に存在し、再活動化命令がセンシブルシーケンスの後に置かれているならば、センシブルシーケンスは最終的に保護されることになる。
センシブルシーケンスの実行の際に割込みの開始を禁止するための別の方法は、テーブルTAB_DERの利用の際にタイマのプログラミング値を各オリエンテーションポイントについてテストすることである。従って、カウンタのあらゆるプログラミング値を禁止する間隔を規定している一組の値[ΔTmini、ΔTmaxi]を、メインプログラムの各オリエンテーションポイント毎に有する、ロックされたテーブルTAB_SECがROMに、あるいはEEPROMに設けられる。有利には、テーブルTAB_SECは、第4A図に表されているように、同じオリエンテーションポイントについて複数の組[ΔTmini、ΔTmaxi]を有することができる。
ROM内のテーブルTAB_SECの存在は、前述のようにセンシブルシーケンスを固定する。一方、EEPROM内に存在することは、キーによりロックされるまでセンシブルシーケンスゾーンを変更することを可能にする。
オリエンテーションポイント3と5については、二つの時間間隔がプログラムされる。
テーブルTAB_DER内の情報の利用の際に、オペレーティングシステムはオリエンテーションポイントiに対応している書き込まれるべき値ΔTiが間隔[ΔTmini、ΔTmaxi]に属するかどうかテストする。もし属しているならば、センシブルシーケンスは中断され、オペレーティングシステムは書き込みを禁止し、エラーメッセージを送り返す。もし反対に、このオリエンテーションポイントに対応して、値ΔTiが許可されていない時間間隔内に含まれていないならば、書き込みは問題なく実行され、オリエンテーションポイントは使用可能になる。
セキュリティテーブルTAB_SECが用いられる変形形態では、分枝シーケンスは第4B図に対応している。このシーケンスは、第2B図の諸ステップのほかに、第2B図のステップ2204とステップ2205との間に追加される以下の諸ステップを含んでいる。
− 間隔[ΔTmini、ΔTmaxi]を決定するために、更に例えば遅延タイマの初期化値ΔTiが、この間隔[ΔTmaxi、ΔTmini]内に含まれていないかどうか検査するためにセキュリティテーブルTAB_SECの行iを読み取る第一のステップ22041。反対の論理も可能である。もし値ΔTiが含まれていないならば、ステップ2205へ進む。もし値(ΔTi)が含まれているならば、エラーメッセージの表示を可能にするステップ22043Aへ進むか、あるいは間隔をプラスした値(ΔTi)をタイマに再ロードすることを可能にする命令を実行するステップ22043Bへ進む。これは割込みの開始を間隔の長さだけ遅延する。
この変形形態は割込みの開始を可能にするが、保護すべきアプリケーションプログラムのシーケンスに介入することは可能にしない。なぜならば、それらは保護セグメントの一部であるからである。
その他の部分については、分枝シーケンスは第2B図の場合と同じ方法で続けられる。
最後に、アプリケーションプログラム、又は休眠コードの一部は、例えば固定初期アドレスにおけるオリエンテーションによって呼び出され得る書き込みプログラムを含むことができる。これは、該書き込みプログラムへのオリエンテーションを介し、第5図に示されているシーケンスに従った分枝テーブルTAB_DERの書き込みを可能にするためである。
このプログラムはテーブルTAB_DER内の一つ又は複数の要素の書き込み命令を受け取るステップから始まる。要素ΔTi及びAdriは、テーブル内の要素の行iに書き込まれなければならない。このステップの次に、テーブルの書き込みフラグECAがアクティブであるか非アクティブであるかを検査するためのテストステップが存在する。ECAがアクティブである場合には、プログラムはステップ61のエラーメッセージへ進む。ECAが非アクティブである場合には、プログラムはセキュリティテーブルTAB_SEC内の対応する値との対比により各要素ΔTiを分析するステップ53へ進む。このステップは値ΔTiが間隔[ΔTmaxi、ΔTmini]内にあるかどうか決定するためにテスト54を含んでいる。肯定の場合には、プログラムは、禁止されているシーケンスに進まないようにするため、割込みを遅延させるべく、間隔の値を表しているΔTiを変更してステップ22043Bへ進む。これと一緒に表されている変形形態はエラーメッセージ22043Aを送ることからなる。
これは、(ΔTi)を値(ΔTi+x)に置き換えることからなるオペレーションにより、ステップ59に表されている。ここで、xは間隔(ΔTmaxi−ΔTmini)である。ΔTが間隔内に存在しない、あるいは変更された値ΔTiでない場合には、プログラムはステップ55へ進み、ここでテーブルの書き込みフラグECAがアクティブ状態にセットされる。
このステップの後、プログラムは分枝テーブルを更新するとともに書き込みを検査するステップ56へ進む。この検査はステップ57に表されているテストによって行われる。書き込みが適正であることがテストによって確認された場合には、プログラムは書き込まれるべき別の要素があるかどうか調べるステップへ進む。否定の場合には、プログラムはステップ62で終わる。肯定の場合には、プログラムはステップ53に戻る。
検査テストが否定の場合は、プログラムは書き込みフラグを非アクティブ状態にセットするステップ60へ進む。
テーブルTAB_DERによる本発明の変形形態では、いくつかのコード部分を、他の部分の変更を妨げることなしに保護することも可能である。
第三の変形形態は、ROM内のテーブルTAB_SECに、各センシブルシーケンスに関連した開始アドレスと終了アドレスを格納することからなる。アドレス値は容易に決定され、前述の時間を決定するための計算の結果とは異なる。
例えば、
TAB_SEC:ここで、各行はセンシブルシーケンスの開始アドレスと終了アドレスを表している。
センシブルシーケンスの割込みの検査は時間遅延の終了時に行われる。カウンタが零値に達すると、割込みが開始され、PCのカレント値がスタックに格納され、プログラムは、一般的には「割込みベクトル」と呼ばれているROM部分内で規定されているアドレスへ分枝される。プログラムの設計者は、タイマの終了によって発生する割込みに対応しているベクトルの値を、割込みのコードシーケンスの開始のアドレスで初期化するようにしている。前記ルーチンはROM内にあり、従って変更不可能である。これはセキュリティ上の理由によるものである。従って、前記ルーチンは常に実行されることになる。
前記割込みコードシーケンスの開始時に、スタックに記憶されているPCの値Val_PC(即ち、割込みがなかったならばマイクロプロセッサが実行しなければならない命令のアドレス)がセンシブルシーケンスアドレス値でないことが検査される。もしテーブルTAB_SECが存在していないか空であるならば、テストは行われなく、プログラムは新しいコードシーケンスを直接実行する。もしそうでないならば、ルーチンプログラムはスタックから値Val_PCを抽出するとともに、この値がどのアドレス値の間に位置しているかテーブルTAB_SECにおいて探索する。
もし値が[Adrdeb_i、Adrfin_i]タイプのものであるならば、プログラムはセンシブルシーケンスの期間中中断されている。この場合、カードはそのセキュリティが破られており、禁止され得ることを示すメッセージを送り返すことができる。もし値が]Adrfin_i、Adrdeb_i+1[タイプのものであるならば、プログラムは非センシブルシーケンスの期間中中断されている。この場合、プログラムはオリエンテーションポイントの処理の間に開始アドレスが格納された新しいコードシーケンスを実行する。
その他の変更も本発明の範囲の一部をなしている。
補遺1
下記コードはメインプログラムの一つの実行可能なコード部分である。このコードはMOTOROLA 6805アセンブラで書かれている。
Claims (13)
- コードシーケンスを実行可能なCPU(1)と、該CPU(1)によって実行可能な少なくとも一つのコードシーケンスを有するプログラムが格納されている第一のメモリ(2)と、第二のプログラマブルメモリ(3)とを備え、前記第一のメモリ(2)又は前記第二 のプログラマブルメモリ(3)に新しいコードシーケン スを格納した媒体においてコードシーケンスを変更する 装置であって、
第二のプログラマブルメモリ(3)に、各オリエンテー ション命令(IORi)を識別するためのリファレンス番号 (i)、該オリエンテーション命令に対応する時間遅延 値(ΔTi)、及びジャンプアドレス(Adr_i)の三つの フィールドを少なくとも含む分岐テーブルTAB_DERが格 納されており、
前記第一のメモリ(2)のプログラム中のリファレンス ポイントに挿入されたオリエンテーション命令(IORi) を実行することにより、前記分岐テーブルTAB_DERか ら、当該オリエンテーション命令(IORi)のリファレン ス番号に対応する時間遅延値(ΔTi)、及びジャンプア ドレス(Adr_i)を読み出し、該時間遅延値(ΔTi)を 初期値としてタイマ(6)にカウントダウンを開始させ る手段と、
前記オリエンテーション命令(IORi)の実行後、前記プ ログラムのコードシーケンスの実行を続行する手段と、
前記時間遅延値が経過したとき前記ジャンプアドレス (Adr_i)にジャンプして前記新しいコードシーケンス を実行する手段と、
前記新しいコードシーケンスを実行した後、前記プログ ラムのコードシーケンスへ復帰する手段とを含むことを特徴とする装置。 - プログラムのコードが格納されているメモリの前記リファレンスポイントには、活動化可能なオリエンテーション命令(IORi)が予め挿入されており、各オリエンテーション命令は、プログラマブルメモリ(3)に書き込まれた分岐テーブルTAB_DERのリファレンス番号(i)に関連づけられていることを特徴とする請求の範囲第1項に記載のコードシーケンスを変更する装置。
- 活動化された各オリエンテーション命令(IORi)が新しいコードシーケンスの実行を開始し、
− オリエンテーション命令のリファレンス番号に対応している時間遅延値(ΔTi)であって、該時間遅延値が、該時間遅延値に関連してテーブル内にアドレス(Adr_i)が示されている新しいコードシーケンスへの分岐を行う割込みの開始を延期させることを可能にする時間遅延値をプログラマブルメモリ(3)のテーブルTAB_DERから読み取る手段と、
− アドレス(Adr_i)を装置のメモリに記憶する手段と、
− 分岐の時間遅延値に必要な時間をカウントダウンするために装置のタイマ(6)をスタートさせる手段とを備えることを特徴とする請求の範囲第2項に記載のコードシーケンスを変更する装置。 - 装置のメモリに記憶されており、新しいコードシーケンスの実行に先立って、時間遅延値(ΔTi)に関連する時間間隔[ΔTmini;ΔTmaxi]を各分岐ポイント(i)に関連づけている第二のテーブルTAB_SECと、時間遅延値が該テーブルによって与えられる関連の時間間隔によって許可されていることを検査する手段とを備えることを特徴とする請求の範囲第3項に記載のコードシーケンスを変更する装置。
- 時間遅延値(ΔTi)に(ΔTmaxi−ΔTmin i)を加算した値をタイマ(6)にロードする手段を備えることを特徴とする請求の範囲第4項に記載のコードシーケンスを変更する装置。
- 時間遅延値ΔTiが前記時間間隔内にあるとき、エラーメッセージを発生させる手段を備えることを特徴とする請求の範囲第4項に記載のコードシーケンスを変更する装置。
- タイマ(6)が零値に達したとき、時間遅延値(ΔTi)の終了の結果として、割込みを開始する手段と、PCプログラムカウンタレジスタのカレント値をスタックに記憶する手段と、割込みベクトルを含んでおりROM部分内に規定されているアドレスにプログラムを分 岐させ、割込みのコードシーケンスの開始のアドレスを与える手段と、スタックに記憶されているPCプログラムカウンタレジスタの値Val_PCがテーブルTAB_SEC内に含まれているセンシブルシーケンスアドレス値でないことを検査する手段と、オペレーションの実行を変更する手段とを備えることを特徴とする請求の範囲第3項に記載のコードシーケンスを変更する装置。
- 検査手段が、プログラムカウンタレジスタの値がTAB_SECによりセンシブルシーケンスの期間中のプログラムの中断に対応する間隔[Adrdeb_i、Adrfin_i]内に含まれているかどうかテストし、カードのオペレーションの実行を変更する手段が、カードのセキュリティが破られ、禁止されることを示すメッセージを送り返すか、あるいは検査手段が、プログラムカウンタレジスタの値Val_PCが非センシブルシーケンスの期間中のプログラムの中断に対応する間隔[Adrfin_i、Adrdeb_i+1]に含まれているかどうかテストし、オペレーションの実行を変更する手段が、オリエンテーション命令(IORi)の処理中に開始アドレスが記憶された新しいコードシーケンスを実行することをプログラムに許可することを特徴とする請求の範囲第7項に記載のコードシーケンスを変更する装置。
- CPU(1)によるプログラムの実行を可能にする周波数ソースとは異なるタイマ(6)のための周波数ソースを備えている場合、分岐テーブルTAB_DERにプログラムされている時間遅延値(ΔTi)は、決定されたアドレスにおいてプログラムを中断することを可能にするように計算され、テーブルTAB_DERが、各時間遅延 値について、当該決定されたアドレスを含んでいる追加のフィールドを備えており、前記装置は、時間遅延値 (ΔTi)によって中断された命令のアドレスを、前記追 加のフィールドに示されているアドレスと比較する手段 と、前記二つのアドレスが一致しない場合にアラームを発生させる手段とを有することを特徴とする請求の範囲第1項に記載のコードシーケンスを変更する装置。
- 媒体の動作を停止するために、またメモリへの書き込みを介する不正な試みを示すためにアラームを発生させる手段を備えることを特徴とする請求の範囲第9項に記載のコードシーケンスを変更する装置。
- 新しいコードシーケンスのそれぞれが、新しい時間遅延値(ΔTi)をタイマ(6)に再ロードするためにオリエンテーション命令で終わることを特徴とする請求の範囲第1項に記載のコードシーケンスを変更する装置。
- コードシーケンスを実行可能なCPU(1)と、該CPU(1)によって実行可能な少なくとも一つのコードシーケンスを有するプログラムが格納されている第一のメモリ(2)と、第二のプログラマブルメモリ(3)とを備え、前記第一のメモリ(2)又は前記 第二のプログラマブルメモリ(3)に新しいコードシー ケンスを格納した媒体においてコードシーケンスを変更 する方法であって、
各オリエンテーション命令(IORi)を識別するためのリ ファレンス番号(i)、該オリエンテーション命令に対 応する時間遅延値(ΔTi)、ジャンプアドレス(Adr_ i)の三つのフィールドを少なくとも含む分岐テーブルT AB_DERを第二のプログラマブルメモリ(3)に格納する ステップと、
前記第一のメモリ(2)のプログラム中のリファレンス ポイントに挿入されたオリエンテーション命令(IORi) を実行することにより、前記分岐テーブルTAB_DERか ら、当該オリエンテーション命令(IORi)のリファレン ス番号に対応する時間遅延値(ΔTi)、及びジャンプア ドレス(Adr_i)を読み出し、該時間遅延値(ΔTi)を 初期値としてタイマ(6)にカウントダウンを開始させ るステップと、
前記オリエンテーション命令(IORi)の実行後、前記プ ログラムのコードシーケンスの実行を続行するステップ と、
前記時間遅延値が経過したとき前記ジャンプアドレス (Adr_i)にジャンプして前記新しいコードシーケンス を実行するステップと、
前記新しいコードシーケンスを実行した後、前記プログ ラムのコードシーケンスへ復帰するステップとを含むことを特徴とする方法。 - 前記新しいコードシーケンスを実行するステップの前に、前記第1のメモリまたは第2のプログ ラマブルメモリに書き込まれているセキュリティテーブルと呼ばれる第二のテーブルTAB_SECによって規定された間隔内に前記時間遅延値が含まれていないことを検査する検査ステップが実行されることを特徴とする請求の範囲第12項に記載の方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR97/07321 | 1997-06-13 | ||
| FR9707321A FR2764716B1 (fr) | 1997-06-13 | 1997-06-13 | Procede de modification de sequences de code et dispositif associe |
| PCT/FR1998/001228 WO1998057255A1 (fr) | 1997-06-13 | 1998-06-12 | Procede de modification de sequences de code et dispositif associe |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2000500897A JP2000500897A (ja) | 2000-01-25 |
| JP3563412B2 true JP3563412B2 (ja) | 2004-09-08 |
Family
ID=9507918
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP50179599A Expired - Fee Related JP3563412B2 (ja) | 1997-06-13 | 1998-06-12 | コードシーケンスを変更する方法及び関連の装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US6536034B1 (ja) |
| EP (1) | EP0919026A1 (ja) |
| JP (1) | JP3563412B2 (ja) |
| FR (1) | FR2764716B1 (ja) |
| WO (1) | WO1998057255A1 (ja) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2995030B2 (ja) * | 1998-03-31 | 1999-12-27 | 三洋電機株式会社 | コンピュータシステム、並びにコンピュータシステムにおけるプログラム及びデータの修正方法 |
| US6260157B1 (en) * | 1999-02-16 | 2001-07-10 | Kurt Schurecht | Patching of a read only memory |
| GB2349485B (en) * | 1999-04-23 | 2003-12-10 | Ibm | Application management |
| FR2795838B1 (fr) * | 1999-06-30 | 2001-08-31 | Bull Cp8 | Procede de securisation du traitement d'une information sensible dans un module de securite monolithique, et module de securite associe |
| US7152224B1 (en) * | 2000-11-21 | 2006-12-19 | Microsoft Corporation | Versioned project associations |
| FR2818766A1 (fr) * | 2000-12-21 | 2002-06-28 | Bull Cp8 | Procede de securisation de l'execution d'un programme implante dans un module electronique a microprocesseur, ainsi que le module electronique et la carte a microcircuit associes |
| JP2005332221A (ja) * | 2004-05-20 | 2005-12-02 | Renesas Technology Corp | 記憶装置 |
| JP4038216B2 (ja) * | 2005-05-10 | 2008-01-23 | ファナック株式会社 | シーケンスプログラム編集装置 |
| US9348730B2 (en) * | 2007-01-31 | 2016-05-24 | Standard Microsystems Corporation | Firmware ROM patch method |
| FR2928754B1 (fr) * | 2008-03-13 | 2012-05-18 | Sagem Securite | Carte a circuit integre ayant un programme d'exploitation modifiable et procede de modification correspondant |
| US9348597B2 (en) * | 2008-06-30 | 2016-05-24 | Infineon Technologies Ag | Device and method for bypassing a first program code portion with a replacement program code portion |
| US8200888B2 (en) * | 2008-06-30 | 2012-06-12 | Intel Corporation | Seek time emulation for solid state drives |
| US8930894B2 (en) * | 2008-10-08 | 2015-01-06 | Oracle America, Inc. | Method and system for executing an executable file |
| FR2999845A1 (fr) * | 2012-12-14 | 2014-06-20 | Thomson Licensing | Methode d'activation d'un mode de maintenance dans un dispositif electronique et dispositif associe |
| DE102015211458A1 (de) * | 2015-06-22 | 2016-12-22 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Absichern einer Programmzählerstruktur eines Prozessorsystems und zum Überwachen der Behandlung einer Unterbrechungsanfrage |
| US9892024B2 (en) * | 2015-11-02 | 2018-02-13 | Sony Interactive Entertainment America Llc | Backward compatibility testing of software in a mode that disrupts timing |
| CN116643140A (zh) * | 2022-02-15 | 2023-08-25 | 华为技术有限公司 | 集成电路及集成电路的测试方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4542453A (en) * | 1982-02-19 | 1985-09-17 | Texas Instruments Incorporated | Program patching in microcomputer |
| JPS5969749A (ja) * | 1982-10-14 | 1984-04-20 | Sharp Corp | 電子写真複写機の光学装置 |
| US4831517A (en) * | 1986-10-10 | 1989-05-16 | International Business Machines Corporation | Branch and return on address instruction and methods and apparatus for implementing same in a digital data processing system |
| US5623665A (en) * | 1992-01-13 | 1997-04-22 | Sony Corporation | Electronic apparatus for patching a read-only memory |
| US5748981A (en) * | 1992-10-20 | 1998-05-05 | National Semiconductor Corporation | Microcontroller with in-circuit user programmable microcode |
| US5485629A (en) * | 1993-01-22 | 1996-01-16 | Intel Corporation | Method and apparatus for executing control flow instructions in a control flow pipeline in parallel with arithmetic instructions being executed in arithmetic pipelines |
-
1997
- 1997-06-13 FR FR9707321A patent/FR2764716B1/fr not_active Expired - Fee Related
-
1998
- 1998-06-12 US US09/242,282 patent/US6536034B1/en not_active Expired - Fee Related
- 1998-06-12 WO PCT/FR1998/001228 patent/WO1998057255A1/fr active Application Filing
- 1998-06-12 JP JP50179599A patent/JP3563412B2/ja not_active Expired - Fee Related
- 1998-06-12 EP EP98930843A patent/EP0919026A1/fr not_active Withdrawn
Also Published As
| Publication number | Publication date |
|---|---|
| FR2764716B1 (fr) | 2001-08-17 |
| JP2000500897A (ja) | 2000-01-25 |
| WO1998057255A1 (fr) | 1998-12-17 |
| FR2764716A1 (fr) | 1998-12-18 |
| EP0919026A1 (fr) | 1999-06-02 |
| US6536034B1 (en) | 2003-03-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3563412B2 (ja) | コードシーケンスを変更する方法及び関連の装置 | |
| JP2727520B2 (ja) | メモリカード及びその作動方法 | |
| US5224160A (en) | Process for securing and for checking the integrity of the secured programs | |
| GB2408359A (en) | Controlling upgrade of firmware | |
| WO2001055845A2 (en) | System and method for flexible software linking | |
| CN110968254B (zh) | 一种非易失性存储器的分区保护方法及装置 | |
| JP2006522968A (ja) | 携帯型データ・キャリアのバーチャル・マシン向けプログラムの制御実行 | |
| EP2996034B1 (en) | Execution flow protection in microcontrollers | |
| JP5225071B2 (ja) | 埋め込みシステム、特にスマートカードにロードされる疑似コードの検証方法 | |
| US7228569B2 (en) | Programmable unit | |
| JPH01219982A (ja) | Icカード | |
| WO2001097010A2 (en) | Data processing method and device for protected execution of instructions | |
| US8763138B2 (en) | Method and device for security loading a memory and an associated memory | |
| JP2018195329A (ja) | 情報処理装置 | |
| JP2008287449A (ja) | データプロセッサ | |
| JPH10510652A (ja) | 固定したプログラムを修正できるようにする方法および装置 | |
| EP2008217B1 (en) | Security storage of electronic keys within volatile memories | |
| JPH08190614A (ja) | Icカード | |
| JP3219082B2 (ja) | データ格納方法 | |
| US6564178B1 (en) | Method and apparatus for evaluating processors for architectural compliance | |
| JP7247638B2 (ja) | 電子情報記憶媒体、icカード、改竄チェック方法、及びプログラム | |
| CN115543488B (zh) | 一种多核SoC的固件启动方法及相关装置 | |
| JP4774681B2 (ja) | 共通コマンドアプリケーションを実装したマルチアプリケーション型icカード | |
| JP4641157B2 (ja) | マルチアプリケーション型icカードおよびアプリケーションプログラム | |
| CN114064478A (zh) | 生成验证用例的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20040518 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20040603 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080611 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090611 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090611 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100611 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110611 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110611 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120611 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130611 Year of fee payment: 9 |
|
| LAPS | Cancellation because of no payment of annual fees |