JP4394572B2 - セキュアモードまたは非セキュアモードでプログラムを実行するコンピュータアーキテクチャ - Google Patents
セキュアモードまたは非セキュアモードでプログラムを実行するコンピュータアーキテクチャ Download PDFInfo
- Publication number
- JP4394572B2 JP4394572B2 JP2004527089A JP2004527089A JP4394572B2 JP 4394572 B2 JP4394572 B2 JP 4394572B2 JP 2004527089 A JP2004527089 A JP 2004527089A JP 2004527089 A JP2004527089 A JP 2004527089A JP 4394572 B2 JP4394572 B2 JP 4394572B2
- Authority
- JP
- Japan
- Prior art keywords
- processor
- mode
- circuit system
- storage
- data security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
本発明はデータ機密保護を実現するための回路系に関し、この回路系は少なくとも1つのプロセッサと少なくとも1つの記憶回路とを含む。本発明は、さらに、少なくとも1つのプロセッサと少なくとも1つの記憶回路とを含む回路系においてデータ機密保護を実現する方法にも関する。
移動遠距離通信端末装置、ポータブルコンピュータ、および、PDAのような様々な電子装置が、アプリケーションプログラム、暗号化鍵、暗号化鍵データマテリアル、中間暗号化計算結果(intermediate cryptographical calculation result)、パスワード、外部ダウンロードデータの認証等のような機密保護関連構成要素に対するアクセスを必要とする。これらの構成要素とこれらの構成要素の処理とが電子装置内で秘密に保たれることが必要であることが多い。理想的には、こうした構成要素は、可能な限り少数の人々だけにしか知られてはならない。これは、例えば、これらの構成要素が知られる場合には、例えば移動端末装置のような装置が不正操作される可能性があるからである。これらのタイプの構成要素に対するアクセスは、端末装置を操作する悪意ある意図を有する攻撃者を手助けする可能性もある。
さらに、これらの装置では、これらの上述の機密保護関連構成要素が、セキュアな処理を全く必要としないより汎用の構成要素と共に、取り扱われ、処理され、管理されるだろう。したがって、電子装置内のプロセッサが機密保護関連構成要素にアクセスすることが可能であるセキュア実行環境が導入される。セキュア実行環境に対するアクセスと、この実行環境内での処理と、この実行環境からのイグジットは慎重に制御されなければならない。このセキュア環境を含む従来技術のハードウェアは、耐タンパー性パッケージング(tamper resistant packaging)内に封入されていることが多い。機密保護関連構成要素とその処理とが知られてしまうことを結果的に生じさせる可能性があるこのタイプのハードウェアに対する調査、すなわち、このタイプのハードウェアに対する測定と試験とを行うことが不可能でなければならない。
セキュア環境において情報を処理し、および、機密保護関連情報をセキュアな形で記憶する電子装置が、米国特許第5,892,900号に示されている。この特許は、電子情報の使用を機密保護し管理し制御する仮想配信環境(virtual distribution environment)を開示する。これは、配信元、金融サービスプロバイダ、エンドユーザ等にための権利保護ソリューションを含む。この発明は、機密保護と、セキュア情報記憶および通信とを実現するために、「セキュア処理ユニット」と呼ばれる電子装置を使用する。プロセッサを含むこうした装置は、外部世界からセキュア環境を隔離する「耐タンパー性機密保護バリア(tamper resistant security barrier)」内に封入されている。この電子装置は、セキュア環境と非セキュア環境との両方を実現し、後者の場合には、この装置のプロセッサは機密保護関連情報に対してアクセスできない。
解決されなければならない問題が、セキュア環境内にあるときに機密保護機能に悪影響を与えるようにこの電子装置の機密保護関連構成要素を操作することを可能にする情報に対するアクセス権がサードパーティに与えられるという危険を冒すことなしに、サードパーティがこの電子装置とそのソフトウェアとに対して検査とデバッギングと保守とを行うことを可能にすることである。その2つの環境間の移行が行われる毎に一方の環境または他方の環境を初期化する必要なしに、その2つの環境の間を円滑に移行することが可能であるべきである。
本発明の目的は、暗号化鍵と他の機密保護関連データとのような情報をセキュアな形で記憶および処理することが可能であると同時に、機密保護データに対するアクセス権を与えることなしに非セキュアな環境においてアーキテクチャとその付属のソフトウェアとを検査しデバッグすることを可能にする、セキュアな環境を含むアーキテクチャを提案することによって、上述の問題に対する解決策を提供することである。
この目的は、本発明によって、第1の側面において、データ機密保護を実現するための回路系の形で達成され、この回路系は、請求項1による少なくとも1つのプロセッサと少なくとも1つの記憶回路とを含み、および、第2の側面において、請求項7による少なくとも1つのプロセッサと少なくとも1つの記憶回路とを含む回路系でデータ機密保護を実現する方法の形で達成される。好ましい実施態様が従属請求項によって定義されている。
本発明の第1の側面によって、記憶回路内に少なくとも1つの記憶域を有する回路系が提供され、この記憶域内には、回路系の機密保護に関係する保護データが置かれている。この回路系は、この回路系内に含まれているプロセッサを少なくとも2つの互いに異なる動作モードの1つのモードにするように構成されているモード設定手段を備えており、このモード設定手段は、プロセッサ動作モードを変更することが可能である。さらに、この回路系は、第1のプロセッサ動作モードに基づいて、保護データが中に置かれている記憶域に対してプロセッサがアクセスするように制御する形に構成されており、および、第2のプロセッサ動作モードに基づいて、保護データが中に置かれている記憶域にプロセッサがアクセスすることを防止し、それによってその回路系の中にダウンロードされた未検証のソフトウェアをプロセッサが実行することを可能にするように構成されている、記憶回路アクセス制御手段を含む。
本発明の第2の側面によって、回路系の機密保護に関係する保護データが記憶回路内に記憶される方法が提供される。プロセッサは、少なくとも2つの互いに異なる変更可能な動作モードの1つのモードに設定される。この方法は、さらに、第1の動作モードにそのプロセッサを設定することによって、保護データが中に置かれている記憶域に対してプロセッサがアクセスすることを可能にし、および、そのプロセッサを第2の動作モードに設定することによって、保護データが中に置かれている記憶域にプロセッサがアクセスすることを防止し、それによってその回路系の中にダウンロードされた未検証のソフトウェアをプロセッサが実行することを可能にするという段階を含む。
本発明は、1つが第1のセキュア動作モードであり、かつ、1つが第2の非セキュアモードである、少なくとも2つの互いに異なるモードにおいてプロセッサが動作することが可能である回路系が実現されるという着想に基づいている。セキュアモードでは、プロセッサは、その回路系内に配置されている様々な記憶装置内に置かれている機密保護関連データに対するアクセス権を有する。機密保護データは、暗号化鍵および暗号化アルゴリズムと、回路系を起動するためのソフトウェアと、暗号化鍵マテリアルとして使用される乱数のような秘密データと、アプリケーションプログラム等を含む。この回路系が移動遠距離通信端末装置において有利に使用されることが可能であるが、さらに、コンピュータ、PDA、および、データ保護が必要とされる他の装置のような他の電子装置においても有利に使用されることが可能である。その回路系が移動遠距離通信端末装置内に配置される場合には、その回路系が、固有の識別番号と、その識別番号に対する暗号化演算のための付随する鍵とをその端末装置に提供することが望ましいだろう。機密保護データに対するアクセス権を有する侵入者がその端末装置を操作する可能性があるので、こうした機密保護データに対するアクセスとこうしたデータの処理とが制限されることが必要である。この端末装置に対する検査および/またはデバッギングが行われるときには、機密保護情報に対するアクセスは許可されない。この理由から、プロセッサは非セキュア動作モードにされ、このモードでは、プロセッサは保護データに対するアクセス権を与えられない。
本発明は、有利なことに、回路系の中にダウンロードされた未検証のソフトウェアをその回路系のプロセッサが実行することを可能にする。このことが、セキュア環境にあるときに、機密保護機能に悪影響を与えるようにその装置の機密保護関連構成要素を操作することを可能にする情報に対するアクセス権がサードパーティに与えられるという危険を冒すことなしに、その電子装置とそのソフトウェアとに対する検査とデバッギングと保守とを可能にする。
米国特許第5,892,900号では、非セキュアモードが、トランザクションと通信とがセキュアでなければならないときに使用される「通常」モードであり、一方、本発明では、セキュアモードが通常モードである。本発明では、検査および/またはデバッギング中にだけ、または、機密保護データが保護されなければならないとき、すなわち、セキュアモードが実際上は維持されること不可能であるときの他のタイプの特殊な場合にだけ、非セキュアモードに入る。
本発明は、研究開発での使用に適合化されている特殊用途の端末装置のための使用を排除する。開発段階中は、信頼できないコードおよび/または未検査のコードを端末装置の中にダウンロードすることが必要条件であることがある。非セキュアモードを実行可能にすることによって、機密保護関連構成要素に対するアクセス権を与えることなしに、端末装置の中へチャネルが提供される。したがって、同じ端末装置が、通常の動作と開発段階とにおいて使用されることが可能である。特殊用途の端末装置を製造することが著しく高コストであるということが理解されるべきである。
本発明の実施様態では、本発明の回路系は、プロセッサがその期間中に非セキュアモードにある時間期間を制御するタイマを備えている。他の機密保護制御動作が役立たない場合には、非セキュアなプロセッサモードに対するアクセス権がその期間中に与えられる最長の特定の時間期間が設定される。これは、侵入者がその装置のデバッギングと検査とを行う可能性を抑止する。
本発明の別の実施態様では、認証手段が設けられ、この認証手段は、端末装置に外部から与えられるデータを認証するように構成されている。この特徴の利点は、製造段階中に、および、通常のセキュア動作モードが起動されていない他の段階中に、端末装置が、容認された署名付きコードを端末装置の中にロードするのに十分な限定された時間期間の間だけ使用されることが可能であるということである。さらに、セキュア動作モード中に、署名されたコードパッケージを端末装置の中にダウンロードすることも可能である。これは、新たな機密保護機能を端末装置に追加する可能性を容易化し、そのアーキテクチャに柔軟性をもたらす。このアーキテクチャは、アプリケーションがセキュア部分と非セキュア部分とに分割されることを可能にする。その回路は、適切に署名されたコードパッケージを検査する。セキュアなアプリケーションが、保護データを保持する記憶域にダウンロードされ、この記憶域から実行される。これは、データのダウンロードをより円滑にする。この機能が存在しない場合には、セキュアなアプリケーションと非セキュアなアプリケーションとを別々にダウンロードすることが必要だろう。
本発明のさらに別の実施態様では、この回路系は、プロセッサが動作しているモードの表示のための手段を備えている。現在のモードを常時監視するモードレジスタが回路系内に設定されていることが適切である。この回路系が移動遠距離通信端末装置内に配置されている場合には、その端末装置のスピーカを介して、または、他の視覚的な方法で、その端末装置が非セキュアモードで動作中であることを端末装置ユーザに対して端末装置表示装置上で表示することが可能であるべきである。これは、非セキュアモードにすでに入っているという事実に対してユーザの注意を喚起するだろう。
本発明のさらに別の実施態様では、プロセッサのモードを制御するように構成されているモード設定手段が、アプリケーションプログラムを含む。これは、モードがその装置自体によって設定されることが可能であり、外部信号に依存しなくて済むという利点を有する。機密保護の観点から見ると、これは、アプリケーションソフトウェアを制御することによってプロセッサモードの設定も制御されることが可能であるので、好ましい。さらに、その回路系に接続されている外部信号を有することも可能であり、この信号によってプロセッサのモードを制御することが可能である。外部信号を使用することによって、モード変更が容易かつ迅速に行われることが可能であり、このことは、検査環境において有利であり得る。これら2つのモード設定手段の組合せが実現可能である。
本発明を、添付図面を参照してさらに詳細に説明する。
図1は、本発明の好ましい実施形態のブロック図を示す。この図から理解できるように、図1のアーキテクチャがソフトウェアとハードウェアの両方を含む。このアーキテクチャは、ASIC(特定用途向け集積回路)の形で実現されている。このアーキテクチャの処理部分は、CPUとディジタル信号プロセッサDSPとを含む。これらの2つのプロセッサは単一のプロセッサの形に統合されることが可能である。通常は、このCPUは通信動作を処理し、および、DSPはデータの計算を処理する。
セキュア環境は、ASICが起動されるROMを含む。このROMは起動アプリケーションソフトウェアとオペレーティングシステムOSとを含む。オペレーティングシステムはアプリケーションを制御して実行し、および、アプリケーションソフトウェアの完全性の制御とアクセス制御とのような様々な機密保護サービスをアプリケーションに提供する。オペレーティングシステムはASICハードウェアに対するアクセス権を有し、および、それ自体としては厳密なハードウェア機密保護を実現せず、機密保護アーキテクチャに依存しなければならない。
セキュア環境、すなわち、保護データ記憶域内に存在する特定のアプリケーションプログラムは、他のアプリケーションプログラムよりも高い優先度を有する。ASICが中に配置されることが可能な移動遠距離通信端末装置では、起動ソフトウェアが存在しなければならず、このソフトウェアがその端末装置の主要な機能性を含む。このソフトウェアが無ければその端末装置を通常動作モードに起動することは不可能である。これは、この起動ソフトウェアを制御することによって、あらゆる端末装置の初期起動を制御することも可能であるという利点を有する。
このセキュア環境は、さらに、データおよびアプリケーションの記憶のためのRAMも含む。このRAMがいわゆる「保護アプリケーション(protected application)」を記憶することが好ましく、この保護アプリケーションは、セキュア環境の内側でセキュリティクリティカルな動作を行うための、よりサイズが小さいアプリケーションである。通常は、保護アプリケーションを使用する方法は、「通常の」アプリケーションに特定の保護アプリケーションからのサービスをリクエストさせることである。新たな保護アプリケーションが任意の時点にセキュア環境の中にダウンロードされることが可能であるが、このことは保護アプリケーションがROM内に存在する場合には当てはまらないだろう。セキュア環境ソフトウェアは保護アプリケーションのダウンロードと実行とを制御する。署名された保護アプリケーションだけが実行を許可される。その保護アプリケーションはセキュア環境内のあらゆるリソースにアクセスすることが可能であり、および、さらに、機密保護サービスの提供のために通常のアプリケーションと通信することも可能である。
セキュア環境においては、製造中に生成されてASICの中にプログラムされている固有乱数を含むヒューズメモリが含まれている。この乱数は個々のASICの識別情報として使用され、および、さらには、暗号化演算のための鍵を得るために使用される。さらに、機密保護制御レジスタの形の記憶回路アクセス制御手段が備えられている。この機密保護制御レジスタの目的は、そのレジスタにおいて設定されているモードに応じて、セキュア環境に対するアクセス権をCPUに与えること、または、セキュア環境にCPUがアクセスすることを防止することである。プロセッサ動作モードはアプリケーションソフトウェアによってそのレジスタにおいて設定されることが可能であり、その結果として、そのアーキテクチャが外部信号に依存しなくても済むことになる。機密保護の観点からは、これは、そのアプリケーションソフトウェアを制御することによってプロセッサモードの設定も制御されることが可能であるので好ましい。さらに、ASCIに接続されている外部信号(図示されていない)を有することも可能であり、この外部信号によって、機密保護制御レジスタを設定することが可能である。外部信号を使用することによって、モード変更が容易かつ迅速に実行されることが可能であり、このことは検査環境において有利であり得る。これら2つのモード設定手段の組合せが実現可能である。
好ましくは、移動遠距離通信端末装置が、端末装置スピーカを介してまたは他の任意の視覚的方法によって、その端末装置が非セキュアモードで動作中であることを端末装置ユーザに対してその端末装置の表示装置上で表示すべきである。これは、非セキュアモードにすでに入っているということにユーザを気づかせるだろう。
ウォッチドッグが様々なタイマ用途のために備えられている。ダウンロードされたソフトウェアの署名検証でできず、チェックサムが一致せず、または、何らかの他の誤りが検出される場合には、ASICの動作、または、ASICが中に配置されている移動遠距離通信端末装置が停止しなければならない。好ましくは、これは、誤りが発生した直後に行われるべきではない。ランダムなタイムアウト、例えば、30秒間までの様々な時間期間が望ましい。これは、端末装置が誤りを検出した瞬間を攻撃者が検出することをより一層困難にする。ウォッチドッグ更新の無効化が機密保護制御レジスタ内において設定される。この動作の結果が、端末装置が自己リセットするということである。ウォッチドッグは、さらに、プロセッサがその期間中は非セキュアモードにある時間期間を制御することが可能である。他の機密保護制御動作が役立たない場合には、非セキュアプロセッサモードに対してアクセス権がその期間中に与えられる最大の特定の時間期間が設定される。これは、侵入者がその装置のデバッギングと検査とを行う可能性を抑制する。
CPUは、メモリ動作を処理するメモリ管理ユニットMMUを経由してセキュア環境ハードウェアに接続されている。CPUは、そのCPU内で実行されるプロセスのためのメモリの物理アドレスに対して仮想アドレスをマッピングする。MMUは、データ信号とアドレス信号と制御信号とを含むバス上に配置されている。さらに、セキュア環境の外側に位置しているASICのためのメモリ動作を処理するように構成されている第2のMMUを有することも可能である。バス上でのデータ可視性の制限のための標準的なブリッジ回路がASIC内に配置されている。このアーキテクチャは耐タンパー性パッケージング内に封入されているべきである。このタイプのハードウェアを調査すること、すなわち、機密保護関連構成要素の露出とこれらの構成要素の処理とに結果する可能性があるこのタイプのハードウェアに対する測定と検査を行うことが、不可能でなければならない。DSPは、直接記憶アクセス(DMA)ユニットのような他の周辺装置に対するアクセス権を有する。DMAは、DSPからメモリにデータが直接送られることを可能にするために、そのアーキテクチャによって実現される。DSPはデータ転送との関係から自由であり、したがって全体的な動作の速度を上昇させる。RAM、フラッシュメモリ、および、追加のプロセッサのような他の周辺装置がASICの外側に備えられることが可能である。RAMは、さらに、ASIC内のセキュア環境の外側に配置され、このRAMは、CPUによって実行される未検証のソフトウェアを保持する。
CPUが2つの互いに異なるモード、すなわち、セキュア動作モードと非セキュア動作モードとで動作可能である上述のアーキテクチャを提供することによって、このアーキテクチャのCPUは、ASICの中にダウンロードされた未検証のソフトウェアを実行するために使用可能にされることが可能である。これは、検証されたソフトウェアだけがセキュア環境に対するアクセス権を有するという理由からである。このことが、セキュア環境内にあるときに機密保護機能に悪影響を与えるようにこの電子装置の機密保護関連の構成要素をサードパーティが操作することを可能にする情報に対するアクセス権がそのサードパーティに与えられるという危険を冒すことなしに、移動遠距離通信端末装置とそのソフトウェアとの検査とデバッギングと保守とを行うことを可能にする。
セキュアモードでは、プロセッサは、セキュア環境内にある機密保護関連データに対するアクセス権を有する。この機密保護データは、暗号化鍵および暗号化アルゴリズムと、回路系を起動するためのソフトウェアと、暗号化鍵マテリアルとして使用される乱数のような秘密データと、アプリケーションプログラム等を含む。この回路系が移動遠距離通信端末装置において有利に使用されることが可能であるが、さらに、コンピュータ、PDA、および、データ保護が必要とされる他の装置のような他の電子装置においても有利に使用されることが可能である。機密保護データに対するアクセス権を有する侵入者がその端末装置を操作する可能性があるので、こうした機密保護データに対するアクセスとこうしたデータの処理とが制限されることが必要である。この端末装置に対する検査および/またはデバッギングが行われるときには、機密保護情報に対するアクセスは許可されない。この理由から、プロセッサは非セキュア動作モードにされ、この非セキュア動作モードでは、プロセッサはセキュア環境内の保護データに対するアクセス権を与えられることはない。
図2は、このアーキテクチャに関する電源投入起動プロセスの流れ図を示す。電源投入時には、ROM起動ソフトウェアが初期構成のためのセキュアモードを起動させる。その次に、ダウンロードされるべき第1の保護アプリケーションとオペレーティングシステムとに関する署名が検査される。この署名が適正である場合には、そのアプリケーションとオペレーティングシステムとがセキュア環境RAM内にダウンロードされる。所望のアプリケーションがダウンロードされ終わると、CPUが、ダウンロードが完了したことを知らされ、および、そのCPUが検証済みのソフトウェアの実行を開始する。したがって、オペレーティングシステムと保護アプリケーションは、セキュアでかつ信頼できる形でセキュアな環境の中にダウンロードされ終わっている。
しかし、署名の検査が不合格であるか、または、署名が存在しない場合には、非セキュアモードが起動されて、未検証アプリケーションがセキュア環境の外側に位置しているASIC RAMの中にロードされる。おそらくは、ウォッチドッグが、非セキュアモードがその期間中に有効である時間期間を制限するように設定される。非セキュアモードがその期間中に有効である最長の時間期間が設定される。起動が完了すると、この未検証アプリケーションがCPUによって実行される。この時点では、セキュア環境に対するアクセスは不可能である。
本発明をその特定の例示的な実施形態に関して説明してきたが、多くの様々な変更と改変等とが当業者に明らかになるだろう。従って、上述の実施形態は、添付されている特許請求の範囲に定義されている本発明の範囲を限定することは意図されていない。
Claims (12)
- 少なくとも1つのプロセッサと少なくとも1つの記憶回路とを含む、データ機密保護を実現する回路系であって、
回路系の機密保護に関係する保護データが中に置かれている、前記記憶回路内の少なくとも1つの記憶域と、
少なくとも2つの互いに異なる動作モードの1つに前記プロセッサを設定するように構成されているモード設定手段であって、前記プロセッサの動作モードを変更することが可能であるモード設定手段と、
前記少なくとも2つの互いに異なる動作モードのうちの第1のプロセッサ動作モードまたは第2のプロセッサ動作モードで動作するように前記プロセッサを制御するように構成されている記憶回路アクセス制御手段と、及び
前記第1の動作モードにおいて前記回路系に提供されるソフトウェアを認証するように構成されている認証手段と、
を含み、
前記プロセッサが前記記憶域への全てのアクセスを処理することによって前記記憶域中に置かれている前記保護データを保護するものであって、
前記第1の動作モードは、前記保護データが中に置かれている前記記憶域に前記プロセッサがアクセスすることを可能にし、及び、
前記第2の動作モードは、前記保護データが中に置かれている前記記憶域に対して前記プロセッサがアクセスすることを防止し、それによって前記回路系の中にダウンロードされた未検証ソフトウェアを前記少なくとも1つのプロセッサが実行することを可能にし、
前記認証手段によってダウンロードすべきソフトウェアが認証されず、前記未検証ソフトウェアであるとされたとき、前記モード設定手段は前記プロセッサの動作モードを前記第2の動作モードに設定する、
データ機密保護を実現する回路系。 - 前記プロセッサがその期間中は前記第2の動作モードにある期間を制御するように構成されているタイマ、
をさらに含む、請求項1に記載のデータ機密保護を実現する回路系。 - 前記保護データが中に置かれている前記記憶域は、前記認証手段が認証のため使用する認証に関する情報を記憶する、請求項1に記載のデータ機密保護を実現する回路系。
- どのモードで前記プロセッサが動作しているかを示すように構成されている手段、
をさらに含む、請求項1から請求項3までのいずれか一項に記載のデータ機密保護を実現する回路系。 - 前記モード設定手段はアプリケーションプログラムを含む、請求項1から請求項4までのいずれか一項に記載のデータ機密保護を実現する回路系。
- 前記回路系が移動通信端末装置内に含まれている、請求項1から請求項5までのいずれか一項に記載のデータ機密保護を実現する回路系。
- 少なくとも1つのプロセッサと少なくとも1つの記憶回路とを含む回路系においてデータ機密保護を実現する方法であって、
前記記憶回路内において回路系の機密保護に関係する保護データを少なくとも1つの記憶域に記憶する段階と、
少なくとも2つの互いに異なる変更可能な動作モードの1つに前記プロセッサを設定する段階と、
前記少なくとも2つの互いに異なる動作モードのうちの第1のプロセッサ動作モードまたは第2のプロセッサ動作モードで動作するように前記プロセッサを制御する段階と、及び
前記第1の動作モードにおいて前記回路系に提供されるソフトウェアを認証する段階と、
を含み、
前記プロセッサが前記記憶域への全てのアクセスを処理することによって、前記記憶域中に置かれている前記保護データを保護するものであって、
前記第1の動作モードは、前記保護データが中に置かれている前記記憶域に前記プロセッサがアクセスすることを可能にし、及び、
前記第2の動作モードは、前記保護データが中に置かれている前記記憶域に対して前記プロセッサがアクセスすることを防止し、それによって前記回路系の中にダウンロードされた未検証ソフトウェアを前記少なくとも1つのプロセッサが実行することを可能にし、
前記認証する段階においてダウンロードすべきソフトウェアが認証されず、前記未検証ソフトウェアであるとされたとき、前記設定する段階において前記プロセッサの動作モードを前記第2の動作モードに設定する、
データ機密保護を実現する方法。 - 前記プロセッサがその期間中に前記第2の動作モードにある期間をタイマによって制御する段階、
をさらに含む、請求項7に記載のデータ機密保護を実現する方法。 - 前記保護データが中に置かれている前記記憶域は、前記認証する段階が認証のため使用する認証に関する情報を記憶する、請求項7に記載のデータ機密保護を実現する方法。
- どのモードで前記プロセッサが動作しているかを示す段階、
をさらに含む、請求項7から請求項9までのいずれか一項に記載のデータ機密保護を実現する方法。 - 前記少なくとも2つの互いに異なる変更可能な動作モードの1つに前記プロセッサを設定する前記段階は、アプリケーションプログラムによって行われる、請求項7から請求項10までのいずれか一項に記載のデータ機密保護を実現する方法。
- 前記少なくとも1つのプロセッサと前記少なくとも1つの記憶回路とを含む前記回路系は、移動通信端末装置内に含まれている、請求項7から請求項11までのいずれか一項に記載のデータ機密保護を実現する方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/IB2002/003216 WO2004015553A1 (en) | 2002-08-13 | 2002-08-13 | Computer architecture for executing a program in a secure of insecure mode |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005535953A JP2005535953A (ja) | 2005-11-24 |
| JP4394572B2 true JP4394572B2 (ja) | 2010-01-06 |
Family
ID=34509314
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004527089A Expired - Fee Related JP4394572B2 (ja) | 2002-08-13 | 2002-08-13 | セキュアモードまたは非セキュアモードでプログラムを実行するコンピュータアーキテクチャ |
Country Status (7)
| Country | Link |
|---|---|
| EP (1) | EP1535124B1 (ja) |
| JP (1) | JP4394572B2 (ja) |
| AT (1) | ATE497618T1 (ja) |
| DE (1) | DE60239109D1 (ja) |
| DK (1) | DK1535124T3 (ja) |
| ES (1) | ES2357421T3 (ja) |
| PT (1) | PT1535124E (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050223227A1 (en) * | 2004-03-31 | 2005-10-06 | Deleeuw William C | Addressable authentication in a scalable, reconfigurable communication architecture |
| US7734827B2 (en) * | 2005-09-27 | 2010-06-08 | Sony Computer Entertainment, Inc. | Operation of cell processors |
| WO2008078564A1 (ja) * | 2006-12-22 | 2008-07-03 | Panasonic Corporation | 情報処理装置、集積回路、方法、およびプログラム |
| WO2009031573A1 (ja) * | 2007-09-07 | 2009-03-12 | Nec Corporation | 情報処理装置、プロセッサの状態遷移方法、プロセッサの状態遷移の制御装置、プロセッサ |
| US8880827B2 (en) * | 2009-10-15 | 2014-11-04 | Fts Computertechnik Gmbh | Method for executing security-relevant and non-security-relevant software components on a hardware platform |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5737760A (en) * | 1995-10-06 | 1998-04-07 | Motorola Inc. | Microcontroller with security logic circuit which prevents reading of internal memory by external program |
| DE10126281A1 (de) * | 2001-05-29 | 2002-12-12 | Infineon Technologies Ag | Programmgesteuerte Einheit |
-
2002
- 2002-08-13 DK DK02755462.5T patent/DK1535124T3/da active
- 2002-08-13 ES ES02755462T patent/ES2357421T3/es not_active Expired - Lifetime
- 2002-08-13 JP JP2004527089A patent/JP4394572B2/ja not_active Expired - Fee Related
- 2002-08-13 PT PT02755462T patent/PT1535124E/pt unknown
- 2002-08-13 DE DE60239109T patent/DE60239109D1/de not_active Expired - Lifetime
- 2002-08-13 EP EP02755462A patent/EP1535124B1/en not_active Expired - Lifetime
- 2002-08-13 AT AT02755462T patent/ATE497618T1/de not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| DE60239109D1 (de) | 2011-03-17 |
| EP1535124A1 (en) | 2005-06-01 |
| DK1535124T3 (da) | 2011-03-07 |
| JP2005535953A (ja) | 2005-11-24 |
| PT1535124E (pt) | 2011-03-09 |
| ATE497618T1 (de) | 2011-02-15 |
| ES2357421T3 (es) | 2011-04-26 |
| EP1535124B1 (en) | 2011-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9111097B2 (en) | Secure execution architecture | |
| Sun et al. | Trustice: Hardware-assisted isolated computing environments on mobile devices | |
| US7139915B2 (en) | Method and apparatus for authenticating an open system application to a portable IC device | |
| US7010684B2 (en) | Method and apparatus for authenticating an open system application to a portable IC device | |
| KR100851631B1 (ko) | 보안 모드 제어 메모리 | |
| TWI584152B (zh) | 用於電腦安全的系統及其方法 | |
| KR100851623B1 (ko) | 암호 코프로세서를 포함하는 장치 | |
| JP5735509B2 (ja) | マルウェアがある状態でユーザが検証可能な信頼性のあるパスを得るための方法および機器 | |
| US8793803B2 (en) | Termination of secure execution mode in a microprocessor providing for execution of secure code | |
| US8332930B2 (en) | Secure use of user secrets on a computing platform | |
| US20060130130A1 (en) | Programmable processor supporting secure mode | |
| US20040176068A1 (en) | Architecture for encrypted application installation | |
| JP2011511383A (ja) | 保護された動作モードの間にシステムアクセスを制御するための方法および装置 | |
| Schiffman et al. | The smm rootkit revisited: Fun with usb | |
| EP1593015B1 (en) | Architecture for encrypted application installation | |
| KR20190085387A (ko) | 반도체 장치 및 반도체 장치의 동작 방법 | |
| JP4394572B2 (ja) | セキュアモードまたは非セキュアモードでプログラムを実行するコンピュータアーキテクチャ | |
| KR100638713B1 (ko) | 불안전 모드에서 안전하게 프로그램을 실행하는 컴퓨터 구조 | |
| Iannillo et al. | An REE-independent Approach to Identify Callers of TEEs in TrustZone-enabled Cortex-M Devices | |
| Shepherd et al. | Trusted World Systems | |
| JP2002166023A (ja) | 遊技装置の制御装置、遊技装置の判別方法および遊技装置の記憶装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081104 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090203 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090317 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090715 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20090727 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090915 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091015 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4394572 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121023 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131023 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |