JP5263602B2 - アクセス制御システム、アクセス制御方法、電子装置、及び制御プログラム - Google Patents

アクセス制御システム、アクセス制御方法、電子装置、及び制御プログラム Download PDF

Info

Publication number
JP5263602B2
JP5263602B2 JP2008557164A JP2008557164A JP5263602B2 JP 5263602 B2 JP5263602 B2 JP 5263602B2 JP 2008557164 A JP2008557164 A JP 2008557164A JP 2008557164 A JP2008557164 A JP 2008557164A JP 5263602 B2 JP5263602 B2 JP 5263602B2
Authority
JP
Japan
Prior art keywords
access
task
secret information
access right
right setting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008557164A
Other languages
English (en)
Other versions
JPWO2008096848A1 (ja
Inventor
淳嗣 酒井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2008557164A priority Critical patent/JP5263602B2/ja
Publication of JPWO2008096848A1 publication Critical patent/JPWO2008096848A1/ja
Application granted granted Critical
Publication of JP5263602B2 publication Critical patent/JP5263602B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/468Specific access rights for resources, e.g. using capability register

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Storage Device Security (AREA)

Description

本発明は、デバイス間のアクセスを制御するアクセス制御システム、アクセス制御方法、電子装置、及び制御プログラムに関するものである。
近年、例えば携帯電話機(mobile phone)等の携帯端末あるいは車載用の情報通信端末等を含む情報通信機能を備える電子装置においては、小型化や低コストの要請から電子部品のワンチップ化や更なる集積化が進められてきている。また、それに伴い電子装置のCPU上で動作し、各種の機能を実現する複数のタスク(プログラム)が複数のデバイス(例えば、DSP(Digital
Signal Processor)やメモリ等)を共有するといった設計がなされている。
このような状況下において、例えば、複数のタスクで同一のメモリを使用する場合、一方のタスクが他方のタスクの処理に対して処理の続行を不能にするような悪影響を与えるといった事態が発生することが考えられる。
例えば、マルチコアCPU等の複数のCPU上で動作するタスク間での通信、あるいは、CPUとDSPで動作するタスク間の通信については、何らかのセキュリティソフトウェアによって形式的なセキュリティが施されているが、1つのメモリを共有するような場合には、一方のタスクが他方のタスクで使用するメモリ領域を破壊してしまったり、他方のタスクで処理しているメモリ上のデータを改ざんしてしまうといった事態が発生しうる。また、同様の事態が、メモリに限らず、他のデバイスの共有においても発生する可能性がある。
上述した複数のタスク(プログラム)が1つのデバイスを共同で使用する場合に、上述したような不具合の発生を未然に防ぐために、様々な制御方法が提案されている。以下、提案されている制御方法について、文献を挙げて説明する。
特許文献1(特開2002−342166)を一例とする関連技術は、アクセスレベルが変更された場合においてレベル変更ルーチンのアドレスへのアクセスが検出されたときにのみアクセスレベルを変更可能とし、かつ、レベル変更ルーチン実行後に必ず管理プログラムに戻るようにすることで、タスク変化時におけるセキュリティの向上を図るものである。
特許文献2(特開2001−290691)を一例とする関連技術は、二次記憶装置が、ファイルオープン処理時に生成したトークンを、オープンしたファイルのファイル識別子とともに登録してユーザプログラムに通知し、ユーザプログラムが、通知されて組みにして記録したトークンとファイル識別子をファイル単位の入出力処理を行う際に渡し、ファイル単位の入出力を依頼された二次記憶装置が、指定されたファイル識別子とトークンの組の登録の有無に基づいてファイル入出力処理を行うものである。このような関連技術によれば、OS(Operating System)を介さない低オーバーヘッドのファイル入出力機能をユーザプログラムに提供しつつ、ユーザプログラムからの不当なファイルアクセスを防ぐことができる。
特許文献3(特開平8−278953)を一例とする関連技術は、いずれかの計算機からなされた排他制御要求における計算機識別番号、タスク番号及びグループ番号を各共有データ装置のデータ領域毎に順次キューイングするキューと、共有データ装置のデータ領域単位にいずれかの計算機からも排他制御要求がないときにフラグをセットするフラグレジスタと、計算機毎に同一グループ番号が指定された全排他制御要求分のフラグ領域を自動生成し、データ領域へのアクセスが可能となった排他制御要求のフラグをセットする管理テーブルとを有し、複数の共有データ装置にまたがる複数のデータ領域への同時排他制御アクセスを行うものである。このような関連技術によれば、分散処理システム内の共有資源アクセスのための排他制御要求に係わる計算機又は共有データ装置の負荷を軽減させることができる。
特開2002−342166号公報 特開2001−290691号公報 特開平8−278953号公報
しかし、関連技術としてあげた制御方法において、特に、特許文献1に記載の関連技術は、タスクの変化を知るために、命令フェッチのアドレス一致比較を行い、特定処理(アクセスレベル変更ルーチン)の呼び出しを検知してアクセスレベル変更を許可するため、命令キャッシュがあると当該アクセスレベル変更ルーチンを検知できない場合があるほか、CPU以外のマスタには普通の命令フェッチがないため適用が困難であった。
また、特許文献2に記載の関連技術は、そもそも、ターゲットデバイス側に改造(トークン生成機構の実装)を行う必要がある点、初回オープン時のチェックにOSを用いる点、ターゲットデバイスの一回の利用(open-close)期間を超えてアクセス権限が続かない点、任意の他マスタにアクセス権限の譲渡をできない点が問題であった。
さらに、特許文献3(特開平8−278953)に記載の関連技術は、排他制御の場合なら毎回タスクIDを付与することもできるが、ターゲットデバイスアクセス(例えばメモリの読み書き)のたびにタスクIDを付与するのは非現実的であり、実用的でなかった。
(発明の目的)
本発明の目的は、アクセスの対象となるデバイス側に改造を行うことなく、また、デバイスへのアクセス毎にタスクIDを付与することなくタスク毎にアクセスを制御するアクセス制御システム、アクセス制御方法、電子装置、及び制御プログラムを提供する。
本発明によるアクセス制御システムは、電子装置に搭載されるデバイス間のアクセスを制御するアクセス制御システムであって、デバイス毎に設定された一意の秘密情報を、電子装置上で動作するタスク毎に、デバイスに対するアクセス権として付与し、デバイスに対するアクセスを要求するアクセス要求タスクが、デバイスの秘密情報を有するかどうかによって、デバイスに対するアクセスの可否を判定するアクセス制御手段を含む。
本発明によるアクセス制御方法は、電子装置に搭載されるデバイス間のアクセスを制御するアクセス制御方法であって、デバイス毎に設定された一意の秘密情報を、電子装置上で動作するタスク毎に、デバイスに対するアクセス権として付与し、デバイスに対するアクセスを要求するアクセス要求タスクが、デバイスの秘密情報を有するかどうかによって、デバイスに対するアクセスの可否を判定するアクセス制御ステップを含む。
本発明による電子装置は、デバイス間のアクセスを制御するアクセス制御手段を搭載する電子装置であって、アクセス制御手段は、デバイス毎に設定された一意の秘密情報を、電子装置上で動作するタスク毎に、デバイスに対するアクセス権として付与し、デバイスに対するアクセスを要求するアクセス要求タスクが、デバイスの秘密情報を有するかどうかによって、デバイスに対するアクセスの可否を判定する。
本発明による制御プログラムは、コンピュータ上で実行されることにより、電子装置に搭載されるデバイス間のアクセスを制御する制御プログラムであって、コンピュータに、デバイス毎に設定された一意の秘密情報を、電子装置上で動作するタスク毎に、デバイスに対するアクセス権として付与し、デバイスに対するアクセスを要求するアクセス要求タスクが、デバイスの秘密情報を有するかどうかによって、デバイスに対するアクセスの可否を判定するアクセス制御処理を実行させる。
本発明によれば、タスク毎にデバイスアクセス制御が可能となる。
その理由は、デバイス毎に設定された一意の秘密情報を、電子装置上で動作するタスク毎に、デバイスに対するアクセス権として付与し、デバイスに対するアクセスを要求するアクセス要求タスクが、デバイスの秘密情報を有するかどうかによって、デバイスに対するアクセスの可否を判定するため、デバイスにアクセスを要求するタスクは、所定の秘密情報を付与されている場合に当該デバイスへのアクセスを許可されるからである。
本発明の第1の実施の形態によるアクセスフィルタシステムの構成の概略を示すブロック図である。 第1の実施の形態によるアクセスフィルタシステムの構成例を示すブロック図である。 第1の実施の形態によるアクセスフィルタシステムの構成例を示すブロック図である。 第1の実施の形態によるデバイスキー管理表を説明する図である。 第1の実施の形態によるアクセスフィルタマトリクスを説明する図である。 第1の実施の形態による照合部の構成を示すブロック図である。 第1の実施の形態によるアクセスフィルタ更新手段を説明する図である。 第1の実施の形態によるアクセスフィルタリセット手段を説明する図である。 第1の実施の形態によるアクセスフィルタリセット手段を説明する図である。 第1の実施の形態によるアクセスフィルタのハードウェア構成を示すブロック図である。 第1の実施の形態によるアクセスフィルタシステムの動作を示すフローチャートである。 第1の実施の形態によるアクセスフィルタシステムの動作を示すフローチャートである。 第1の実施の形態によるアクセスフィルタシステム全体の動作について説明する図である。 本発明の第2の実施の形態によるアクセスフィルタシステムの構成例を示すブロック図である。 第2の実施の形態によるアクセス権一時付与手段の構成を説明する図である。 第2の実施の形態によるアクセスフィルタシステムの動作を示すフローチャートである。 第2の実施の形態によるアクセスフィルタマトリクスの設定状態の遷移を示す図である。 第2の実施の形態によるアクセスフィルタシステム全体の動作について説明する図である。 本発明の第3の実施の形態によるアクセスフィルタシステムの構成例を示すブロック図である。 第3の実施の形態によるデバイスキー生成手段の構成を示すブロック図である。 第3の実施の形態によるアクセスフィルタシステムの動作を示すフローチャートである。 本発明の第4の実施の形態によるアクセスフィルタマトリクスを説明する図である。 本発明の第6の実施の形態によるデバイスキー管理表を説明する図である。 本発明のアクセスフィルタシステム有する回路を備えた電子装置の実施例を示す図である。 本発明のアクセスフィルタシステム有する回路を備えた電子装置の実施例を示す図である。
(第1の実施の形態)
本発明の第1の実施の形態によるアクセスフィルタシステムを図面を用いて詳細に説明する。
(第1の実施の形態の構成)
図1は、本実施の形態によるアクセスフィルタシステムの構成の概略を示すブロック図である。
図1を参照すると、本実施の形態によるアクセスフィルタシステムは、デバイス間のアクセスの許可/拒絶を判定する機能有するアクセスフィルタ10を、アクセス制御対象のデバイス間の全ての通信が通過する通信線20上に備える。
図2は、本実施の形態によるアクセスフィルタシステムの構成例を示すブロック図である。
図2を参照すると、本構成例におけるデバイスの種類には、CPUコア0(M0)、CPUコア1(M1)、CPUコアi(Mi)・・・等からなるプログラマブルマスタIP(Intellectual Property)と、DMAC(Direct
Memory Access Controller)(Mdmac)、IMP(IMage Processor)(Mimp)、・・・等からなる非プログラマブルマスタIPと、プログラマブルマスタIP及び非プログラマブルマスタIPを有するマスタIP(Mi)群と、CPUコア0制御レジスタ(S0)、CPUコア1制御レジスタ(S1)、DMAC制御レジスタ(Sdmac)、IMP制御レジスタ(Simp)、アクセスフィルタ10の制御レジスタ部であるアクセスフィルタ制御レジスタ(Sfilter)・・・等と、これらを有するスレーブIP(Si)群とが含まれる。
なお、アクセスフィルタシステムを構成するデバイスは、スレーブIP(Si)と、少なくとも1つのプログラマブルマスタIPを持つマスタIP(Mi)とを有すればよく、例えば、マスタIP(Mi)としてCPUを1つも有さず、DSPのみを有していてもよいし、CPUとDSPをひとつずつ有していてもよいし(図3参照)、また、CPUがマルチコアであってもよいし、シングルコアであってもよい。また、CPU等が用いるメインメモリはアクセスの対象となるデバイスであるため、スレーブIP群に含まれる。
本構成例におけるアクセスフィルタ10は、例えば、CPU(Central
Processing Unit)やDSP(Digital Signal
Processor)やDMAC等、アクセスの主体となるデバイス(マスタIPと呼ぶ)と、例えば、CPU制御レジスタやメモリなど、アクセス対象となるデバイス(スレーブIPと呼ぶ)とを有するマルチコアシステム(典型的にはマルチコアSOC(system on a chip)及び外部メモリで構成される)において、マスタIPとスレーブIPの間の通信線(典型的にはSOC内のバス)20内部に配置され、マスタIP上のタスクを識別して、タスク毎にアクセス権を与える機能を有する。
通信線20は、例えば、チップ内バスであり、マスタIPからスレーブIPへのアクセス(通信)を実現する機能を有する。
アクセスフィルタ10は、デバイスキー管理表11と、アクセスフィルタマトリクス12と、照合部13と、アクセスフィルタ更新手段と、アクセスフィルタリセット手段とを備える。
デバイスキー管理表11は、アクセスフィルタマトリクス12を更新できる権限を各スレーブ毎の秘密鍵によって管理すると共に、各スレーブのアドレス範囲を規定するテーブルである。アクセスマトリクス12は、ある時点における各スレーブIPへのアクセス権を管理するテーブルである。
図4は、本実施の形態によるデバイスキー管理表11を説明する図である。
デバイスキー管理表11は、各スレーブIPのアドレス範囲を特定する情報と秘密鍵を対応付けて管理している。図4を参照すると、デバイスキー管理表11は、各スレーブ(Si)にmask(ADMi)、val(ADVi)、KA(KAi)、KU(KUi)を対応付けて管理している。
mask及びvalは、固定値で設定され、あるマスタIPがいずれのスレーブIPにアクセスするのかを、アドレスバスを介して出てきた値によって区別するために用いられる。各スレーブ(Si)のアドレス範囲は、mask/valに基づいて、(A & mask) =
val を満たすアドレスAによって定まる。
KA及びKUは秘密鍵であり、KAは、各スレーブ(Si)に対するデバイスキー更新及びアクセスフィルタマトリクス12の更新が可能となる管理者権限を有するデバイス管理人キーを示し、KUは、アクセスフィルタマトリクス12の更新のみ可能となる利用者権限を有するデバイス利用者キーを示す。
このため、マスタIPは、maskとVAlに対応する秘密鍵KAかKUのいずれかを持っていないとアクセスフィルタマトリクス12を更新できない。
図5は、本実施の形態によるアクセスフィルタマトリクス12を説明する図である。
図5を参照すると、アクセスフィルタマトリクス12は、現時点での、各スレーブIPに対する各マスタのアクセス権の有無を行列によって示しており、アクセスが必要な短い期間だけ「許可」に設定される。また、行列の各要素は真偽値であり、例えば、マスタMj の列とスレーブSi
の行とが交差するAFMi,jの値が真値ならマスタMjからスレーブSiへのアクセスが現在許可されていることを示す。
図6は、本実施の形態による照合部13の構成を示すブロック図である。
図6を参照すると、照合部13は、スレーブIPに対してアクセスを要求するIP(マスタIP)が、アクセスフィルタマトリクスを更新する正当な権限を有しているかを判定するアクセスフィルタマトリクス更新判定手段131と、スレーブIPにアクセスする正当な権限を有しているかを判定するアクセス権判定手段132とを備える。
アクセスフィルタマトリクス更新判定手段131は、デバイスキー管理表11に基づいて、アクセス対象となるIP(スレーブIP)に対してアクセスを要求するIP(マスタIP)が、アクセスフィルタマトリクス12を更新する正当な権限を持っているか否かを判定する機能を有する。
すなわち、アクセスフィルタマトリクス更新判定手段131は、CPU(マスタIP (Mj
))上のタスクTがデバイスキーKAiを提示してデバイスSiにアクセスする際に、現時点のデバイスキー管理表11に基づいて、タスクTから提示されたデバイスキーKAiがデバイスSiに対応するデバイスキーKAまたはデバイスキーKUと一致するか否かを照合し、一致する場合に当該更新権限を有していると判定し、不一致の場合に当該更新権限を有していないと判定する。
アクセス権判定手段132は、アクセスフィルタマトリクス12に基づいて、アクセス対象となるIP(スレーブIP)に対してアクセスを要求するIP(マスタIP)が、正当なアクセス権を有しているか否かを判定する機能を有する。すなわち、アクセス権判定手段132は、アクセスフィルタマトリクス12の行列において、要求されたアクセスに対応する該当欄(例えば、マスタIP(Mj)から要求されたスレーブIP(Si)へのアクセスに対応する「AFMi,j」。図5参照。)の真偽値を判定し、真値の場合に正当なアクセス権を有している旨判定し、偽値の場合に正当なアクセス権を有していない旨判定する。
図7は、本実施の形態によるアクセスフィルタ更新手段を説明する図である。
図7を参照すると、アクセスフィルタ更新手段は、CPU(マスタIP Mj )上のタスクTがデバイスSiにアクセスする際に、照合部13による照合判定の結果、更新権限有りと判定されれば、アクセスフィルタマトリクス12中の、[マスタIP Mj , デバイスSi ] に相当する欄に真値(アクセス許可)を設定するアクセス許可設定手段141と、CPU(マスタIP Mj
)上のタスクTがデバイスSiに対して所望のアクセスを終えた際に、アクセスフィルタマトリクス12中の[マスタIP Mj , デバイスSi ]に相当する欄に偽値(アクセス拒否)を設定するアクセス拒否設定手段142とを有する。
図8は、本実施の形態によるアクセスフィルタリセット手段を説明する図である。
図8を参照すると、アクセスフィルタリセット手段は、タスク切り替えが発生したCPU(マスタIP Mj )からのアクセスを拒否する設定を行う機能を有し、タスク切り替え検出手段151と、列クリア手段152とを備える。
タスク切り替え検出手段151は、CPU(マスタIP Mj
)上でのタスクの切り替えの発生を検出し、タスクの切り替えが発生したCPU(マスタIP Mj )を特定する機能を有する。タスクの切り替えは「外部割込み」か「例外」によって引き起こされるため、タスク切り替え検出手段151は、CPUの割り込み信号線を電気的に観測することによって「外部割込み」を検出する。一方、「例外」はソフトウェアによる動作なので電気的に観測することができないことから、例外ハンドラ内に小さなコードを埋め込み、そこでタスク切り替え検出手段151のレジスタをアクセスするなど、ソフトウェアを組み合わせて検出する。
また、マスタIPが動作状態を外部信号線で観測され得るようなCPU等であれば、タスク切り替え検出手段151による検出をハードウェア構成によって行うことで、当該CPU等の動作状態の遷移(ユーザモード→カーネルモード遷移等)をハードウェア的に検出することができる。この場合、タスク切り替え検出手段151は、モードを検出できる回路であるモード検出回路1511を有していてもよい(図9参照)。
列クリア手段152は、タスク切り替え検出手段151によって特定されたタスク切り替えが発生したCPU(マスタIP Mj )について、アクセスフィルタマトリクス12の Mj 列の値すべてに偽値を書き込む(設定する)機能を有する。
ここで、アクセスフィルタ10のハードウェア構成の説明をする。
図10は、本実施の形態によるアクセスフィルタ10のハードウェア構成を示すブロック図である。
図10を参照すると、本発明によるアクセスフィルタ10は、一般的なコンピュータ装置と同様のハードウェア構成によって実現することができ、CPU(Central Processing Unit)801、RAM(Random Access Memory)等のメインメモリであり、データの作業領域やデータの一時退避領域に用いられる主記憶部802、通信線20を介してデータの送受信を行う通信制御部803、周辺機器と接続してデータの送受信を行うインタフェース部804、ROM(Read Only Memory)、磁気ディスク、半導体メモリ等の不揮発性メモリから構成されるハードディスク装置である補助記憶部805、上記各構成要素を相互に接続するシステムバス806等を備えている。
本発明によるアクセスフィルタ10は、その動作を、アクセスフィルタ10内部にそのような機能を実現するプログラムを組み込んだ、LSI(Large Scale Integration)等のハードウェア部品からなる回路部品を実装してハードウェア的に実現することは勿論として、上記した各構成要素及び後述する各構成要素の各機能を提供するプログラムを、コンピュータ処理装置上のCPU801で実行することにより、ソフトウェア的に実現することもできる。
すなわち、CPU801は、補助記憶部805に格納されているプログラムを、主記憶部802にロードして実行し、アクセスフィルタ10の動作を制御することにより、上述した各機能をソフトウェア的に実現する。
(第1の実施の形態の動作)
まず、本実施の形態によるアクセスフィルタシステムの初期設定におけるデバイスキーの割り振り例を説明する。
典型的には、例えば、システムや電子装置は通常書き換え不可能なROMからブートするため、当該ROMに記述されているものは信頼するという前提において、ブートROM中に通常プログラムから判別しづらい形で埋め込まれているデバイスキーを変えずにそのまま用いるという割り振り方法や、日付けに基づいてデバイスキー変えていくという割り振り方法や、デバイスの番号順に連続したデバイスキーを付与していく割り振り方法等によって、デバイスキー管理表11を初期設定する。
アクセスフィルタマトリクス12は、電力を入力された直後において全部の欄が許可(真)になっており、その後、例えば、あるマスタIPがデバイスキーの初期値を握った段階で、他のタスクの全部の権限を消去していき、次のタスク次のタスクにというように、使用させるデバイスキーを生成して芋づる式に渡していく。
図11及び図12は、本実施の形態によるアクセスフィルタシステムの動作を示すフローチャートである。
図7及び図11を用いて、CPUがデバイスにアクセスする際のアクセスフィルタシステムの動作を説明する。
まず、初期状態として、CPU(マスタIP Mj
)上のタスクTは、デバイスSiに対してアクセスするために有効なデバイスキーK (デバイス管理人キー又はデバイス利用者キー)を持っている。
ステップS101:デバイスSiに対するタスクTからのアクセスに先立ち、アクセスフィルタ10は、アクセス対象デバイスSiのアドレス値ADと、アクセスを要求したタスクTのデバイスキーKをタスクTから受け取る。
ステップS102:照合部13は、デバイスキー管理表11のmask列及びval列を参照し、論理演算式 (AD & mask) == val を満たす行を見つけることによってアクセス要求先デバイスSiを特定すると共に、デバイスキー管理表11の当該行にあるデバイスキー値(KA又はKU)と、タスクTから受け取ったデバイスキーKが一致するかどうか、照合する。
ステップS103:照合の結果、一致していれば、アクセスフィルタ更新手段は、アクセスフィルタマトリクス12中の、[マスタIP Mj , デバイスSi ] に相当する欄に真値を設定する。これにより、CPU (マスタIP Mj
)はデバイスSiへのアクセス権を得たことになる。
ステップS104:その後、タスクTは通常動作によってデバイスSiに対してアクセスを要求する。
ステップS105:アクセスの要求がなされると、アクセスフィルタ10は、ステップS102と同様の手順で照合部13においてアクセスアドレスをデバイスキー管理表11に照らしてデバイスSiを特定し、次にアクセスフィルタマトリクス12の[マスタIP Mj , デバイスSi ]欄を参照し、その値が真値ならアクセスを要求したタスクTに対して当該アクセスを許可する。
ステップS106:タスクTが一連の所望のデバイスアクセスを終えたら、タスクTはアクセスフィルタ10にデバイスアクセス終了を通知し、それによりアクセスフィルタ更新手段は、アクセスフィルタマトリクス12中の[マスタIP Mj , デバイスSi ]欄に偽値を設定する。
ステップS107:以後、アクセスフィルタ10は、アクセスフィルタマトリクス12に基づいて、マスタIP MjからデバイスSiへのアクセスを拒絶する。
図8及び図12を用いて、CPU上でタスクの切り替えが発生した際のアクセスフィルタシステムの動作を説明する。
ステップS201:CPU(マスタIP Mj
)上でタスクの切り替えが発生すると、タスク切り替え検出手段151が当該タスクの切り替えを検出し、タスクの切り替えが発生したCPU(マスタIP Mj )を特定する。
ステップS202:列クリア手段152は、タスク切り替え検出手段151によって特定されたタスク切り替えが発生したCPU(マスタIP Mj )について、アクセスフィルタマトリクス12の
Mj 列の値すべてに偽値を書き込む(設定する)。
この結果、切り替えが発生したCPUは全てのデバイスへのアクセス権を失い、切り替え後のタスクはどのデバイスへのアクセス権も有さない状態で動作が始まる。
しかし、切り替え後のタスクがデバイスSiに対してアクセスするために有効なデバイスキーを持っている場合、当該切り替え後のタスクTは、アクセスフィルタ10によって、上記図6及び図10に示された手順により(再度)デバイスSiに対するアクセス権を付与される。
上記のように、タスクの切り替えが発生すると、切り替え前のタスクは既に獲得していたデバイスアクセス権を失う。タスクの切り替えはタスクからは不可視ゆえ、「いつの間にかアクセス権が失効していた」事態に見える。これを防ぐため、デバイスアクセスの際は、アクセス権取得→アクセス実行→アクセス権返上
の一連の処理を割り込み禁止で行うことが好ましい。なぜなら、割り込みを禁止することでプログラムから不可視のタスク切り替えが発生するのを抑止できるからである。
上述したように、本発明は、タスクをアクセス権付与の単位としている。一般のOSでは、デバイスアクセスはデバイスドライバに限定しており、またデバイスドライバは複数タスクから呼び出される。従って、この場合、アクセスキーの管理とデバイスドライバの役割について、以下のようにすることが好ましい。
デバイスドライバがまだどのタスクからもopenされていない場合、あるタスクがそのデバイスドライバをopenすると、デバイスドライバは、タスクからアクセスキーを受け取り、内部で当該アクセスキーを安全に保管し、デバイスアクセスのたびにアクセスフィルタ10に当該デバイスキーを提示してアクセス権を得、デバイスをアクセスし、その後アクセスフィルタ設定を戻してアクセス権を解放する。なお、この一連の操作は割り込み禁止状態で行う。これにより、割り込みハンドラ中でのデバイスアクセスも問題なく行える。
すでにopenされたデバイスドライバを別タスクが更にopenしようとする場合は、その別タスクもデバイスキーを持っている必要がある。デバイスドライバが有効なデバイスキーを確認できなければ、openは失敗する。
デバイスドライバを最後にcloseする際、デバイスドライバ内に保管していたデバイスキーを抹消する。
例えば、複数のタスクが、同一デバイスに関してデバイスキーKUを持っている場合、上記ステップS101〜ステップS105の手順によって、複数CPU上のタスク間で同一デバイスを共有することができ、また、上記ステップS106〜ステップS107や上記ステップS201〜ステップS202によって、当該デバイスへのアクセスを拒絶することができる。
すなわち、あるタスクが、デバイスSiに対してアクセスするために有効なデバイス管理人キー(KA)とデバイス利用者キー(KU)との双方を保持し、必要に応じて、タスクグループ内の他タスクにデバイス利用者キー(KU)を渡すことにより、デバイス管理人キー(KA)を有する当該タスク以外のタスクからのデバイスキーの更新を禁止しつつ、当該タスクグループだけで所定のデバイスを共有することができる。
ここで、第1の実施の形態によるアクセスフィルタシステム全体の動作について図13を用いて説明する。
図13に示すように、このアクセスフィルタシステムでは、CPU1上のタスクT(Mj)からアクセスフィルタ10に対してデバイスキーが通知され(図13のa)、アクセスフィルタ10が、通知されたデバイスキーをデバイスキー管理表11に基づいて照合できた場合に、アクセスフィルタマトリクス12上にアクセス権を設定する(図13のb)。
CPU1上のタスクT(Mj)からアクセスフィルタ10に対してアクセス要求がされると(図13のc)、アクセスフィルタ10は、タスクT(Mj)に対し、デバイスキー管理表11及びアクセスフィルタマトリクス12に基づいて照合し、アクセス対象デバイス(Si)へのアクセスを許可する(図13のd)。その後、アクセスフィルタ10は、タスクの切り替えを検出すると、アクセス権をリセットする(図13のe)。
(第1の実施の形態の効果)
本実施の形態によれば、以下の効果を達成することができる。
第1に、タスク毎に異なるアクセス権を付与することができる。
その理由は、現時点での、各スレーブIP(アクセス対象デバイス)に対する各マスタIP(アクセス要求デバイス、タスク)のアクセス権の設定の有無を示すアクセスフィルタマトリクス12と、各マスタIPが有するデバイスキーとアクセスフィルタマトリクス12の対応関係を示すデバイスキー管理表11とを有し、マスタIP毎にアクセスフィルタマトリクス12の更新権限を有するデバイスキーを付与し、デバイスキー管理表11に基づいて、アクセス要求デバイスがアクセス対象デバイスに対する有効なデバイスキーを持つか否かを判定し、当該有効なデバイスキーを持つアクセス要求デバイスが、アクセスフィルタマトリクス12上の当該アクセス対象デバイスの欄にアクセス権を設定できるからである。
第2に、同一CPU上や複数CPU上に性格の異なる複数のタスクがある場合に、タスク毎に異なるアクセス権を識別することができる。
その理由は、現時点での、各スレーブIPに対する各マスタIPのアクセス権の設定の有無を示すアクセスフィルタマトリクス12と、各マスタIPが有するデバイスキーとアクセスフィルタマトリクス12の対応関係を示すデバイスキー管理表11とを有し、マスタIP毎にデバイスキーを付与し、当該デバイスキー、アクセスフィルタマトリクス12及びデバイスキー管理表11に基づいて、マスタIP毎に、アクセス対象デバイスへのアクセス権の有無を判定するからである。
第3に、複数CPUにまたがるタスクグループ(連係動作する複数のタスクの集合)で一つのデバイスを共有させることができる。
その理由は、タスクグループ内のあるタスクが、デバイスSiに対してアクセスするために有効なデバイス管理人キー(KA)とデバイス利用者キー(KU)との双方を保持し、必要に応じて、タスクグループ内の他タスクにデバイス利用者キー(KU)を渡すことにより、当該タスクグループ内で、当該デバイスに対するデバイス利用者キーを共有できるからである。
第4に、メインタスク以外のタスクによる共有デバイスに対するアクセス乱用リスクを低減させることができる。
その理由は、メインタスク以外のタスクは、当該デバイスにアクセスできるが、デバイス管理人キー(KA)を保持していないためデバイスキーを更新できないからである。
また、メインタスクは、当該デバイスへの一連のアクセスが完了するなどのタイミングでデバイスキーを更新することにより、メインタスク以外のタスクが長時間デバイスキーを保持することによる潜在的なリスクを低減させることができる。
第5に、所定の処理が終了したタスクからのアクセスを拒否するため、アクセス対象デバイスの信頼性を保持できる。
その理由は、アクセスフィルタリセット手段が、タスクの切り替えが発生したCPU(マスタIP(Mj))からのアクセスを拒否する設定を行うからである。また、タスク切り替え検出手段151による検出をハードウェア構成によって行う場合には、ソフトウェアで検出するよりも迅速・確実にアクセスを拒否する設定を行うことができる。
第6に、マスタIPが動作状態を外部信号線で観測され得るようなCPU等であれば、タスク切り替え検出手段151による検出をハードウェア構成によって行うことで、当該CPU等の動作状態の遷移(ユーザモード→カーネルモード遷移等)をハードウェア的に検出できるため、この検出をすべてハードウェアで行うことによって信頼度が高まる(悪意やバグをもつソフトウェアに対し、アクセスフィルタシステムを有する機構が安全に動作し続けられる可能性が高まる)。
(第2の実施の形態)
本発明の第2の実施の形態によるアクセスフィルタシステムを図面を用いて詳細に説明する。
(第2の実施の形態の構成)
図14は、本実施の形態によるアクセスフィルタシステムの構成例を示すブロック図である。
図14を参照すると、本実施の形態によるアクセスフィルタシステムは、アクセスフィルタがアクセス権一時付与手段16を供える点で第1の実施の形態と相違するため、以下、相違する点を中心に説明する。
図15は、本実施の形態によるアクセス権一時付与手段16の構成を説明する図である。
図15を参照すると、アクセス権一時付与手段16は、アクセスフィルタ行退避領域(記憶領域)161と、アクセスフィルタ行退避手段162と、アクセス権設定手段163とを備える。
アクセスフィルタ行退避手段162は、照合部13によってアクセス権の保持が確認された場合に、アクセスを要求するデバイスが専有又は共有を希望するデバイスに関する現時点のアクセス権の設定をアクセスフィルタ行退避領域161に退避させる機能を有する。すなわち、例えば、アクセス対象デバイス(Si)に対するアクセス権をCPU(Mj)が別のマスタIPの一つであるDMACに一時付与する場合を考えると、照合部13がアクセス対象デバイス(Si)及びDMAC制御レジスタ(Sdmac)に対するCPU(Mj)の現時点におけるアクセス権の保持の有無を確認し、アクセス権の保持が確認された場合には、アクセスフィルタ行退避手段162は、スレーブIPであるDMAC制御レジスタ(Sdmac)の現時点のアクセス権の設定をアクセスフィルタ行退避領域161に退避させる。
アクセス権設定手段163は、アクセス権一時付与先デバイスへのアクセス権の設定を、アクセスを要求するデバイスが希望する専有又は共有が可能となるように設定する機能と、アクセス権を一時的に付与するデバイスに対してアクセス対象デバイス(Si)へのアクセス権を設定する機能を有する。すなわち、アクセスフィルタ行退避領域161に退避させたDMAC制御レジスタ(Sdmac)のアクセス権について、DMAC制御レジスタ(Sdmac)の専有を希望するマスタIPであるCPU(Mj)に関して真値を設定し、他のマスタIPに関して偽値を設定し、さらに、アクセス権を一時的に付与するDMAC(Mk)に対してアクセス対象デバイス(Si)へのアクセス権(AFMi,k)に真値を設定する。
(第2の実施の形態の動作)
図16は、本実施の形態によるアクセスフィルタシステムの動作を示すフローチャートである。
図14及び図16を用いて、CPUがDMAC使ってデバイスにアクセスする際のアクセスフィルタシステムの動作を説明する。
まず、初期状態として、CPU(マスタIP(Mj
))上のタスクTは、デバイスSi及びデバイスSdmac(DMACの制御レジスタ部)に対してアクセスするために有効なデバイスキー (デバイスSi, Sdmac用のデバイス管理人キー又はデバイス利用者キー)を持っており、デバイスSi及びデバイスSdmacへのアクセス権を得ているものとする。
ステップS301:タスクTは、DMACの情報(マスタIP(Mdmac),制御レジスタ部のスレーブIP(Sdmac))及びDMACに使用させたいデバイスSiの情報を、アクセスフィルタ10に渡す。
ステップS302:照合部13は、タスクTについて、アクセスフィルタマトリクス12中の [マスタIP Mj , デバイスSi ] 欄及び[マスタIP Mj , デバイスSdmac ]欄がそれぞれ真値か偽値かを確認する。
ステップS303:[マスタIP Mj , デバイスSi ] 欄及び[マスタIP Mj , デバイスSdmac ]欄が共に真値の場合、次にアクセス権一時付与手段16は、アクセスフィルタマトリクス12中のSdmac行の内容をアクセスフィルタ10内の記憶領域(アクセスフィルタ行退避領域161)にコピーして退避させ、同Sdmac行中の[マスタIP Mj , デバイスSdmac] 欄以外を偽に、 [マスタIP Mj , デバイスSdmac] 欄を真に、それぞれセットする。すなわち、この動作によって、当該CPUがデバイスSdmacを専有できるため、当該CPU以外からのDMACに対する設定の変更が禁止されることとなる。
ステップS304:アクセス権一時付与手段16は、更に、同アクセスフィルタマトリクス12中の [マスタIP
Mdmac, デバイスSi ] 欄(AFMdmac,i)に、新たに真の値をセットする。すなわち、この動作によって、DMACからデバイスSiへのアクセスが許可されることとなる。
ステップS305:この後、DMACがデバイスSiをアクセスするように通常通りタスクTがDMACを設定すれば、アクセスキーを持たないDMACも問題なくデバイスSiにアクセスすることができ、当初の目的であるアクセス権一時付与が達成される。
上記各動作によるアクセスフィルタマトリクス12の設定状態の遷移を図17に示す。
アクセスフィルタマトリクス12ー1は、初期状態〜ステップS301〜ステップS302までの設定状態を示し、アクセスフィルタマトリクス12ー2は、ステップS303後の設定状態を示し、アクセスフィルタマトリクス12ー3は、ステップS304後の設定状態を示す。
なお、タスクの切り替えが発生すると、上記第1の実施の形態と同様に、CPU(Mj)からデバイスSiへのアクセス権は自動消失するが、DMAC(Mdmac)からデバイスSiへのアクセス権はそのまま残る。また、DMACの処理完了時は、上記手順をステップS304、ステップS303というように逆の順序によって行うことで、アクセス権を一時的に付与する前のアクセスフィルタマトリクス12の設定状態に戻す。すなわち、タスクからの指示により、アクセス権一時付与手段16は、まず、ステップS304において、真の値をセットした[マスタIPMdmac, デバイスSi
] 欄(AFMdmac,i)を元の設定値(偽値)に戻し、次いで、ステップS303において、アクセスフィルタ行退避領域161に退避させた内容をSdmac行の内容に戻す。
ここで、第2の実施の形態によるアクセスフィルタシステム全体の動作について図18を用いて説明する。
図18に示すように、このアクセスフィルタシステムでは、CPU1上のタスクT(Mj)からアクセスフィルタ10に対してデバイスSiの情報及びデバイスキーが通知されると(図18のa)、アクセスフィルタ10が、通知されたデバイスキーをデバイスキー管理表11に基づいて照合できた場合に、DMAC制御レジスタSdmacのアクセス権の設定を退避させ(図18のb)、DMAC制御レジスタSdmacのアクセス権をタスクTで専有させ(図18のc)、DMACに対してデバイスSiへのアクセス権を設定する(図18のd)。
アクセスフィルタ10の照合によりDMAC制御レジスタSdmacへのCPU1上のタスクT(Mj)からのアクセスが許可されると共に(図18のe)、CPU1上のタスクT(Mj)が、DMACに対してデバイスSiへのアクセスを指示すると(図18のf)、DMACからアクセスフィルタ10に対してアクセス要求を行い(図18のg)、アクセスフィルタ10が、DMAC(Mdmac)に対し、アクセスフィルタマトリクス12に基づいて照合し、アクセス対象デバイス(Si)へのアクセスを許可する(図18のh)。
(第2の実施の形態の効果)
本実施の形態によれば、上記第1の実施の形態の効果に加え、以下の効果を達成することができる。
第1に、現時点でアクセス権を持っていないマスタIPに一時的にアクセス権を付与することができる。
その理由は、デバイスSiに対してアクセス権を更新するために有効なデバイスキーを有するマスタIPからのアクセス権更新要求に基づいて、アクセス権一時付与手段16が、アクセスフィルタマトリクス12における当該デバイスSiの現時点のアクセス権の設定をアクセスフィルタ行退避領域161に退避させ、当該現時点でアクセス権を持っていないマスタIPに対してアクセス対象デバイス(Si)へのアクセス権を設定できるからである。
第2に、アクセスを要求するマスタIPが、例えば、自身ではプログラム有さないためアクセス権を自主的に持ち得ないDMAC等のマスタIPにアクセス権を設定し、当該DMAC等のマスタIPを用い、アクセス対象となるスレーブデバイスに対してアクセスすることができる。
その理由は、デバイスSi及び当該DMAC等のマスタIPを制御する制御レジスタSdmacに対してアクセス及びアクセス権の更新をするために有効なデバイスキーを有するマスタIPからのアクセス要求に基づき、アクセス権一時付与手段16が、当該DMAC等のマスタIPに対してアクセス対象となるデバイスSiへのアクセス権を設定するからである。
また、メインタスクは、当該デバイスへの一連のアクセスが完了するなどのタイミングで、アクセスフィルタ行退避領域161に退避させたアクセス権の設定をアクセスフィルタマトリクス12に再設定することにより、メインタスク以外のタスクが長時間デバイスキーにアクセスし続けることを防ぐことができる。
(第3の実施の形態)
本発明の第3の実施の形態によるアクセスフィルタシステムを図面を用いて詳細に説明する。
(第3の実施の形態の構成)
図19は、本実施の形態によるアクセスフィルタシステムの構成例を示すブロック図である。
図19を参照すると、本実施の形態によるアクセスフィルタシステムは、アクセスフィルタ10がデバイスキー生成部17を供える点で第1の実施の形態と相違するため、以下、相違する点を中心に説明する。
図20は、本実施の形態によるデバイスキー生成部17の構成を示すブロック図である。
図20を参照すると、デバイスキー生成部17は、乱数生成手段171と、乱数設定手段172と、乱数通知手段173とを備える。
乱数生成手段171は、乱数を用いて別のデバイスキー(デバイス管理人キー(KAi´)及びデバイス利用者キー(KUi´))を生成する機能を有する。
乱数設定手段172は、生成したデバイスキー(デバイス管理人キー(KAi´)及びデバイス利用者キー(KUi´))を現在のデバイスキー管理表11に設定する機能を有する。
乱数通知手段173は、生成したデバイスキー(デバイス管理人キー(KAi´)及びデバイス利用者キー(KUi´))をマスタIPのタスクに渡す機能を有する。
デバイスキー生成部17によって生成するデバイスキーの実体は、スカラ整数であり、典型的には16ないし32bitのスカラ整数である。デバイスキーを扱うプログラムは、デバイスキーが容易に他タスクや外部デバイスから覗き見られないよう、注意して設計される必要がある。そのため、デバイスキーを扱うプログラムのソースコードは非公開であることが望ましい。当該ソースコードを公開せざるを得ない場合は、デバイスキーの管理を別タスクに分離してそのソースコードを非公開とし、実行時に安全なタスク間通信でデバイスキーを授受するようにすることが好ましい。また、あるデバイスキーを長時間使い続けず、ある程度頻繁にデバイスキーを再発行させて更新するようにプログラムを設計することが好ましい。
なお、本実施の形態は、上記第1の実施の形態あるいは上記第2の実施の形態と組み合わせることも可能である。
(第3の実施の形態の動作)
図21は、本実施の形態によるアクセスフィルタシステムの動作を示すフローチャートである。
図20及び図21を用いて、デバイスキーを管理する際のアクセスフィルタシステムの動作を説明する。
まず、初期状態として、マスタIP(Mi)が、有効なデバイス管理人キー(KAi)とデバイス利用者キー(KUi)との双方を持っており、デバイスSiに対するアクセス権を得ているものとする。
ステップS501:マスタIP(Mi)は、アクセス対象のデバイスSiの情報及びそれに対応するデバイス管理人キーKAiを、アクセスフィルタ10に渡す。
ステップS502:照合部13は、マスタIP(Mi)から渡されたKAi値をデバイスキー管理表11中の現在のデバイスSi 行のKA値と照合する。
ステップS503:照合して一致と判断された場合、デバイスキー生成部17は、乱数を用いて別のデバイスキー(デバイス管理人キー(KAi´)及びデバイス利用者キー(KUi´))を生成する。
ステップS504:デバイスキー生成部17は、生成したデバイスキー(デバイス管理人キー(KAi´)及びデバイス利用者キー(KUi´))を、現在のデバイスキー管理表11の内、Si行の新しいKA値及びKU値として設定する。
ステップS505:デバイスキー生成部17は、生成したデバイスキー(デバイス管理人キー(KAi´)及びデバイス利用者キー(KUi´))をマスタIPのタスクに渡す。
上記動作によって、マスタIPのタスクからデバイスキー生成部17に現在有効なデバイス管理人キーが渡されると、新しいデバイスキーの組が当該タスク側に返されることとなる。
(第3の実施の形態の効果)
本実施の形態によれば、上記第1の実施の形態の効果に加え、以下の効果を達成することができる。
第1に、デバイス管理人キー(KAi)及びデバイス利用者キー(KUi)の秘密性が向上する。
その理由は、デバイス管理人キー(KAi)及びデバイス利用者キー(KUi)の代わりに、デバイスキー生成部17によって乱数に基づき生成したデバイスキー(デバイス管理人キー(KAi´)及びデバイス利用者キー(KUi´))を用いるからである。
第2に、本実施の形態を上記第1の実施の形態と組み合わせた場合、上記第2の実施の形態の効果に加え、他のタスクに対してデバイスキーを付与するマスタIPに関し、デバイスSiに対してアクセスするために有効で、当該マスタIPが元々有しているデバイス管理人キー(KAi)及びデバイス利用者キー(KUi)の秘密性が向上する。
その理由は、デバイス利用者キー(KUi)の代わりに、デバイスキー生成部17によって乱数に基づき生成したデバイス利用者キー(KUi´)を他のタスクに対して付与するからである。
第3に、本実施の形態を上記第1の実施の形態と組み合わせた場合、上記第2の実施の形態の効果に加え、一時的にアクセス権を付与されたタスクが所定の処理の終了後においても当該アクセス権を保持することを防止できる。
その理由は、一時的にアクセス権を付与されたタスクによる所定の処理の終了後において、デバイス管理人キー(KAi)及びデバイス利用者キー(KUi)を再設定するため、アクセス権を付与されたタスクが保有している古いデバイス利用者キーでは照合部13で照合できずアクセス権を得られないからである。
(第4の実施の形態)
本発明の第4の実施の形態によるアクセスフィルタシステムを図面を用いて詳細に説明する。
図22は、本実施の形態によるアクセスフィルタマトリクス12を説明する図である。
図22を参照すると、本実施の形態によるアクセスフィルタマトリクス12は、所定のCPU0(M0)に対し、全てのスレーブIP(Si)へのアクセス権(真値)が常に設定されている点で第1から第3の実施の形態と相違するため、以下、相違する点を中心に説明する。
CPU0等のマスタIP(M0)は、例えば、各CPUの負荷、処理の安定性やセキュリティレベル(信頼度)に基づいて定められる。また、当該所定のマスタIP(M0)を、例えば、ハードワイヤロジックで完全に安全が確保されているマスタIPとしてもよい。ここで、セキュリティレベル(信頼度)とは、処理ごとに、あるセキュリティポリシーに従って段階ごとに付与されるものをいう。
CPU0上の全てのタスクに対し、初期設定として、CPU0へのアクセス権(真値)が常に設定されている当該スレーブIP(Si)に関するデバイスキー(デバイス管理人キー(KA)、デバイス利用者キー(KU))が付与され(図4参照)、照合部13及びアクセス許可設定手段141によってアクセスが許可されてもよいし、また、CPU0上のタスクからアクセス要求を受けたアクセスフィルタ10が無条件に当該タスクに対して当該スレーブIP(Si)へのアクセス及び他のマスタIPのアクセス権の更新を許可してもよい。
なお、CPU0に対し、全てのスレーブIP(Si)ではなく、所定のスレーブIP(Si)へのアクセス権(真値)が常に設定されていてもよい。
このため、本実施の形態によるアクセスフィルタリセット部15は、タスクの切り替え時において、CPU0に設定されたアクセス権をリセットしない。
(第4の実施の形態の効果)
本実施の形態によれば、上記第1から第3の実施の形態の効果に加え、以下の効果を達成することができる。
第1に、例えば、各CPUの負荷、処理の安定性やセキュリティレベル(信頼度)に基づいてアクセスフィルタマトリクス12を設定するため、第1の実施の形態と比較し、当該セキュリティレベル(信頼度)等に基づいて、タスクからのアクセスを制御することができる。
第2に、CPU0を常に信頼する場合、アクセスフィルタ10の複雑な操作を経ることなくCPU0上のタスクがデバイスにアクセスできるため、CPU0上で動くタスクのプログラムが簡素化され、安全性をある程度維持しつつソフトウェア規模の増大を抑えることができる。
第3に、CPU0上のタスクが要求する他のタスクのアクセス権の許否に関してソフトウェアを信頼することによって、ソフトウェアの管理を容易にすることができる。
第4に、CPU0上のタスクからアクセス要求を受けたアクセスフィルタ10が無条件に当該タスクに対して当該スレーブIP(Si)へのアクセス及び他のマスタIPのアクセス権の更新を許可する場合には、CPU0に対応するアクセスフィルタマトリクス12の列を減らすことができ、ハードウェアコストの削減に寄与できる。
(第5の実施の形態)
本発明の第5の実施の形態によるアクセスフィルタシステムは、第3の実施の形態によるデバイスキー生成部17の変形例を備える。
本実施の形態によるアクセスフィルタシステムは、デバイスキー生成部17の一部または全部を、ハードウェア実装からソフトウェア実装に置き換えたものである。
ソフトウェア実装の例として、デバイスキー生成部17の中の乱数生成手段171をソフトウェア化し、ソフトウェア化された乱数生成手段171によって、現在のデバイス管理人キーKAiに加え、新しいデバイスキーの組KAi’, KUi
を生成して乱数設定手段172に与え、乱数設定手段172が、与えられた新デバイスキーをデバイスキー管理表11に登録する。
また、ソフトウェア実装の他の例として、デバイスキー生成部17の中の乱数生成手段171をソフトウェア化し、新デバイスキーのデバイスキー管理表11への登録処理をソフトウェア化された乱数設定手段172で行う。
(第5の実施の形態の効果)
本実施の形態によれば、デバイスキー生成部17の一部または全部を、ハードウェア実装からソフトウェア実装に置き換えることによって、上記第1から第4の実施の形態の効果に加え、ハードウェアコストを下げることができる。
(第6の実施の形態)
本発明の第6の実施の形態によるアクセスフィルタシステムは、第1の実施の形態によるデバイスキー管理表11の変形例を備える。
第1の実施の形態によるデバイスキー管理表11は、管理人用のデバイス管理人キーKAiと利用者用のデバイス利用者キーKUiの2つを1組として設定されていたが、一方、本実施の形態によるデバイスキー管理表11は、図23に示すように、デバイス管理人キーKAi及びデバイス利用者キーKUiをデバイス管理人キーKAiに代表させ、1つにまとめて設定されたものである。
デバイス管理人キーKAiを有するタスクが、他のタスクのアクセス権の設定を要求する場合、当該デバイス管理人キーKAiが当該他のタスクに付与されることで、当該他のタスクは、付与された当該デバイス管理人キーKAiによって、所定のアクセス対象デバイスへのアクセス及びさらに別のタスクへのアクセス権の設定の許否が可能となる。
(第6の実施の形態の効果)
本実施の形態によれば、デバイス管理人キーKAi及びデバイス利用者キーKUiを1つにまとめて設定したため、デバイスキー管理表11を小さくできるほか、照合部13やアクセスフィルタ更新部14などのハードウェアロジックを若干簡素化できるため、ハードウェアコストを下げることができる。
本発明によるアクセスフィルタシステムの実施例を図面を用いて説明する本実施例は、上記各実施の形態に対応するものである。
図24及び図25は、上記各実施の形態に対応するアクセスフィルタシステム有する回路を備えた電子装置の実施例であり、図24は、本発明によるアクセスフィルタシステム有する回路を備えた携帯電話機の例、図25は、本発明によるアクセスフィルタシステム有する回路を備えたカーナビゲーションシステムの例である。すなわち、本発明によるアクセスフィルタ10の機能を実行するファームウェアを搭載したICをチップ上に有する回路を備えた電子装置の実施例である。
以上好ましい実施の形態をあげて本発明を説明したが、本発明は必ずしも、上記実施の形態に限定されるものでなく、その技術的思想の範囲内において様々に変形して実施することができる。
この出願は、2007年2月8日に出願された日本出願特願2007−029677を基礎とする優先権を主張し、その開示の全てをここに取り込む。

Claims (42)

  1. 電子装置に搭載されるデバイス間のアクセスを制御するアクセス制御システムであって、
    前記デバイス毎に設定された一意の秘密情報を、前記電子装置上で動作するタスク毎に、前記デバイスに対するアクセス権として付与し、
    前記デバイスに対するアクセスを要求するアクセス要求タスクが、前記デバイスの秘密情報を有するかどうかによって、前記デバイスに対するアクセスの可否を判定するアクセス制御手段を備え,
    前記アクセス制御手段が、
    前記タスク毎に前記デバイスの前記秘密情報の有無を設定した、アクセス制御テーブルを有し、
    前記アクセス制御テーブルに基づいて、前記デバイスに対するアクセスの可否を判定し、
    前記アクセス制御テーブルは、
    前記デバイスに対するアクセスの可否を示すアクセス権設定テーブルと、
    前記秘密情報に対応して前記アクセス権設定テーブルの設定変更の可否を示す変更権限テーブルとを含み、
    前記アクセス制御手段は、
    前記秘密情報を付与された前記アクセス要求タスクを有するデバイスからのアクセス権設定要求及び前記変更権限テーブルに基づいて、アクセスの対象となるアクセス対象デバイスへのアクセス権を、当該アクセス権設定要求に対応するタスクに対して設定し、前記アクセス権設定テーブルを変更するアクセス権設定テーブル変更手段を有し、
    変更後の前記アクセス権設定テーブルに基づいて、アクセス権を設定されたデバイスに対してアクセスを許可する
    ことを特徴とするアクセス制御システム。
  2. 前記アクセス権設定テーブル変更手段は、
    前記秘密情報を付与された前記アクセス要求タスクが他のタスクに対するアクセス権の設定を要求した場合に、当該他のタスクに対して前記秘密情報を付与することで前記両タスク間でのアクセス権を共有可能とすることを特徴とする請求項1に記載のアクセス制御システム
  3. 前記アクセス権設定テーブル変更手段は、
    タスクの切り替えを検出し、切り替え前のタスクを有するデバイスに対して全デバイスへのアクセスを禁止する設定を行うことを特徴とする請求項2に記載のアクセス制御システム
  4. 前記アクセス権設定テーブル変更手段は、
    前記アクセス要求タスクに付与された前記秘密情報に対応する前記アクセス対象デバイスに設定された前記アクセス権設定テーブル上のアクセス権の設定情報を一時的に保存するアクセス権設定情報保存手段を有し、
    前記アクセス権設定テーブル変更手段によって当該アクセス対象デバイスへのアクセス権を新たに設定されたデバイス内のタスクによる所定の処理の終了後に、保存された前記アクセス権設定情報を当該アクセス対象デバイスに対して再設定することを特徴とする請求項1から請求項3の何れか1項に記載のアクセス制御システム
  5. 前記アクセス権設定テーブル変更手段は、
    前記秘密情報を付与された前記アクセス要求タスクからのアクセス権設定要求に基づいて、アクセス権を自主的に持ち得ないデバイスに対してアクセス権を新たに設定することを特徴とする請求項1から請求項4の何れか1項に記載のアクセス制御システム
  6. 前記秘密情報は、
    前記変更権限テーブル上で対応する前記アクセス対象デバイスについてのアクセス権の設定情報の変更権限を示すと共に、前記秘密情報を新しい別の有効な秘密情報に更新する権限を示す第1の秘密情報と、
    前記変更権限テーブル上で対応する前記アクセス対象デバイスについてのアクセス権の設定情報の変更権限を示す第2の秘密情報とを含み、
    前記第1の秘密情報を付与された前記アクセス要求タスク又は前記アクセス制御手段は、
    当該アクセス要求タスクがアクセス権の設定を要求した他のタスクに対して前記第2の秘密情報を通知することを特徴とする請求項1から請求項5の何れか1項に記載のアクセス制御システム
  7. 前記アクセス制御手段は、
    乱数を用い、前記アクセス要求タスクに付与された前記秘密情報から擬似秘密情報を生成する擬似秘密情報生成手段と、
    前記変更権限テーブルの内、前記秘密情報に対応する前記アクセス対象デバイスの前記秘密情報を、生成した前記擬似秘密情報に変更する変更権限テーブル変更手段と、
    生成した前記擬似秘密情報を前記アクセス要求タスクに通知する擬似秘密情報通知手段とを備え、
    前記秘密情報の代わりに前記擬似秘密情報を用いることを特徴とする請求項1から請求項6のいずれか1項に記載のアクセス制御システム
  8. 前記アクセス制御手段は、
    所定のタスクからの前記アクセス権設定テーブルの変更要求を常に許可することを特徴とする請求項1から請求項7のいずれか1項に記載のアクセス制御システム
  9. 前記アクセス制御手段は、
    所定のタスクからの前記アクセス対象デバイスへのアクセス要求を常に許可することを特徴とする請求項1から請求項8のいずれか1項に記載のアクセス制御システム
  10. 前記アクセス権設定テーブルは、
    所定のタスクに関し、前記アクセス対象デバイスへのアクセス権が常に設定されていることを特徴とする請求項9に記載のアクセス制御システム
  11. 前記所定のタスクは、
    処理の負荷や安定性あるいはセキュリティレベルのいずれか1以上を含む条件に基づいて定められたタスクであることを特徴とする請求項8から請求項10のいずれか1項に記載のアクセス制御システム
  12. 前記アクセス制御手段を、ハードウェア回路で構成したことを特徴とする請求項1から請求項11のいずれか1項に記載のアクセス制御システム
  13. 前記アクセス制御手段が、特定のデバイス間の通信経路上に設けられていることを特徴とする請求項1から請求項12のいずれか1項に記載のアクセス制御システム
  14. 電子装置に搭載されるデバイス間のアクセスを制御するアクセス制御方法であって、
    前記デバイス毎に設定された一意の秘密情報を、前記電子装置上で動作するタスク毎に、前記デバイスに対するアクセス権として付与し、
    前記デバイスに対するアクセスを要求するアクセス要求タスクが、前記デバイスの秘密情報を有するかどうかによって、前記デバイスに対するアクセスの可否を判定するアクセス制御ステップを備え、
    前記アクセス制御ステップにおいて、
    前記タスク毎に前記デバイスの前記秘密情報の有無を設定されたアクセス制御テーブルに基づいて、前記デバイスに対するアクセスの可否を判定し、
    前記アクセス制御テーブルは、
    前記デバイスに対するアクセスの可否を示すアクセス権設定テーブルと、
    前記秘密情報に対応して前記アクセス権設定テーブルの設定変更の可否を示す変更権限テーブルとを含み、
    前記アクセス制御ステップにおいて、
    前記秘密情報を付与された前記アクセス要求タスクを有するデバイスからのアクセス権設定要求及び前記変更権限テーブルに基づいて、アクセスの対象となるアクセス対象デバイスへのアクセス権を、当該アクセス権設定要求に対応するタスクに対して設定し、前記アクセス権設定テーブルを変更するアクセス権設定テーブル変更ステップを有し、
    変更後の前記アクセス権設定テーブルに基づいて、アクセス権を設定されたデバイスに対してアクセスを許可する
    ことを特徴とするアクセス制御方法
  15. 前記アクセス権設定テーブル変更ステップにおいて、
    前記秘密情報を付与された前記アクセス要求タスクが他のタスクに対するアクセス権の設定を要求した場合に、当該他のタスクに対して前記秘密情報を付与することを特徴とする請求項14に記載のアクセス制御方法
  16. 前記アクセス権設定テーブル変更ステップにおいて、
    タスクの切り替えを検出し、切り替え前のタスクを有するデバイスに対して全デバイスへのアクセスを禁止する設定を行うことを特徴とする請求項15に記載のアクセス制御方法
  17. 前記アクセス権設定テーブル変更ステップにおいて、
    前記アクセス要求タスクに付与された前記秘密情報に対応する前記アクセス対象デバイスに設定された前記アクセス権設定テーブル上のアクセス権の設定情報を一時的に保存するアクセス権設定情報保存ステップを有し、
    前記アクセス権設定テーブル変更ステップにおいて当該アクセス対象デバイスへのアクセス権を新たに設定されたデバイス内のタスクによる所定の処理の終了後に、保存された前記アクセス権設定情報を当該アクセス対象デバイスに対して再設定することを特徴とする請求項14から請求項16の何れか1項に記載のアクセス制御方法
  18. 前記アクセス権設定テーブル変更ステップにおいて、
    前記秘密情報を付与された前記アクセス要求タスクからのアクセス権設定要求に基づいて、アクセス権を自主的に持ち得ないデバイスに対してアクセス権を新たに設定することを特徴とする請求項14から請求項17の何れか1項に記載のアクセス制御方法
  19. 前記秘密情報は、
    前記変更権限テーブル上で対応する前記アクセス対象デバイスについてのアクセス権の設定情報の変更権限を示すと共に、前記秘密情報を新しい別の有効な秘密情報に更新する権限を示す第1の秘密情報と、
    前記変更権限テーブル上で対応する前記アクセス対象デバイスについてのアクセス権の設定情報の変更権限を示す第2の秘密情報とを含み、
    前記アクセス制御ステップにおいて、
    前記第1の秘密情報を付与された前記アクセス要求タスクがアクセス権の設定を要求した他のタスクに対して前記第2の秘密情報を通知することを特徴とする請求項14から請求項18の何れか1項に記載のアクセス制御方法
  20. 前記アクセス制御ステップにおいて、
    乱数を用い、前記アクセス要求タスクに付与された前記秘密情報から擬似秘密情報を生成する擬似秘密情報生成ステップと、
    前記変更権限テーブルの内、前記秘密情報に対応する前記アクセス対象デバイスの前記秘密情報を、生成した前記擬似秘密情報に変更する変更権限テーブル変更ステップと、
    生成した前記擬似秘密情報を前記アクセス要求タスクに通知する擬似秘密情報通知ステップとを備え、
    前記秘密情報の代わりに前記擬似秘密情報を用いることを特徴とする請求項14から請求項19のいずれか1項に記載のアクセス制御方法
  21. 前記アクセス制御ステップにおいて、
    所定のタスクからの前記アクセス権設定テーブルの変更要求を常に許可することを特徴とする請求項14から請求項20のいずれか1項に記載のアクセス制御方法
  22. 前記アクセス制御ステップにおいて、
    所定のタスクからの前記アクセス対象デバイスへのアクセス要求を常に許可することを特徴とする請求項14から請求項21のいずれか1項に記載のアクセス制御方法
  23. デバイス間のアクセスを制御するアクセス制御手段を搭載する電子装置であって、
    前記アクセス制御手段は、
    前記デバイス毎に設定された一意の秘密情報を、前記電子装置上で動作するタスク毎に、前記デバイスに対するアクセス権として付与し、
    前記デバイスに対するアクセスを要求するアクセス要求タスクが、前記デバイスの秘密情報を有するかどうかによって、前記デバイスに対するアクセスの可否を判定し、
    前記タスク毎に前記デバイスの前記秘密情報の有無を設定した、アクセス制御テーブルを有し、
    前記アクセス制御テーブルに基づいて、前記デバイスに対するアクセスの可否を判定し、
    前記アクセス制御テーブルは、
    前記デバイスに対するアクセスの可否を示すアクセス権設定テーブルと、
    前記秘密情報に対応して前記アクセス権設定テーブルの設定変更の可否を示す変更権限テーブルとを含み、
    前記アクセス制御手段は、
    前記秘密情報を付与された前記アクセス要求タスクを有するデバイスからのアクセス権設定要求及び前記変更権限テーブルに基づいて、アクセスの対象となるアクセス対象デバイスへのアクセス権を、当該アクセス権設定要求に対応するタスクに対して設定し、前記アクセス権設定テーブルを変更するアクセス権設定テーブル変更手段を有し、
    変更後の前記アクセス権設定テーブルに基づいて、アクセス権を設定されたデバイスに対してアクセスを許可する
    ことを特徴とする電子装置
  24. 前記アクセス権設定テーブル変更手段は、
    前記秘密情報を付与された前記アクセス要求タスクが他のタスクに対するアクセス権の設定を要求した場合に、当該他のタスクに対して前記秘密情報を付与することで前記両タスク間でのアクセス権を共有可能とすることを特徴とする請求項23に記載の電子装置
  25. 前記アクセス権設定テーブル変更手段は、
    タスクの切り替えを検出し、切り替え前のタスクを有するデバイスに対して全デバイスへのアクセスを禁止する設定を行うことを特徴とする請求項24に記載の電子装置
  26. 前記アクセス権設定テーブル変更手段は、
    前記アクセス要求タスクに付与された前記秘密情報に対応する前記アクセス対象デバイスに設定された前記アクセス権設定テーブル上のアクセス権の設定情報を一時的に保存するアクセス権設定情報保存手段を有し、
    前記アクセス権設定テーブル変更手段によって当該アクセス対象デバイスへのアクセス権を新たに設定されたデバイス内のタスクによる所定の処理の終了後に、保存された前記アクセス権設定情報を当該アクセス対象デバイスに対して再設定することを特徴とする請求項23から請求項25の何れか1項に記載の電子装置
  27. 前記アクセス権設定テーブル変更手段は、
    前記秘密情報を付与された前記アクセス要求タスクからのアクセス権設定要求に基づいて、アクセス権を自主的に持ち得ないデバイスに対してアクセス権を新たに設定することを特徴とする請求項23から請求項26の何れか1項に記載の電子装置
  28. 前記秘密情報は、
    前記変更権限テーブル上で対応する前記アクセス対象デバイスについてのアクセス権の設定情報の変更権限を示すと共に、前記秘密情報を新しい別の有効な秘密情報に更新する権限を示す第1の秘密情報と、
    前記変更権限テーブル上で対応する前記アクセス対象デバイスについてのアクセス権の設定情報の変更権限を示す第2の秘密情報とを含み、
    前記第1の秘密情報を付与された前記アクセス要求タスク又は前記アクセス制御手段は、
    当該アクセス要求タスクがアクセス権の設定を要求した他のタスクに対して前記第2の秘密情報を通知することを特徴とする請求項23から請求項27の何れか1項に記載の電子装置
  29. 前記アクセス制御手段は、
    乱数を用い、前記アクセス要求タスクに付与された前記秘密情報から擬似秘密情報を生成する擬似秘密情報生成手段と、
    前記変更権限テーブルの内、前記秘密情報に対応する前記アクセス対象デバイスの前記秘密情報を、生成した前記擬似秘密情報に変更する変更権限テーブル変更手段と、
    生成した前記擬似秘密情報を前記アクセス要求タスクに通知する擬似秘密情報通知手段とを備え、
    前記秘密情報の代わりに前記擬似秘密情報を用いることを特徴とする請求項23から請求項28のいずれか1項に記載の電子装置
  30. 前記アクセス制御手段は、
    所定のタスクからの前記アクセス権設定テーブルの変更要求を常に許可することを特徴とする請求項23から請求項29のいずれか1項に記載の電子装置
  31. 前記アクセス制御手段は、
    所定のタスクからの前記アクセス対象デバイスへのアクセス要求を常に許可することを特徴とする請求項23から請求項30のいずれか1項に記載の電子装置
  32. 前記アクセス権設定テーブルは、
    所定のタスクに関し、前記アクセス対象デバイスへのアクセス権が常に設定されていることを特徴とする請求項31に記載の電子装置
  33. 前記所定のタスクは、
    処理の負荷や安定性あるいはセキュリティレベルのいずれか1以上を含む条件に基づいて定められたタスクであることを特徴とする請求項30から請求項32のいずれか1項に記載の電子装置
  34. 前記アクセス制御手段を、ハードウェア回路で構成したことを特徴とする請求項23から請求項33のいずれか1項に記載の電子装置
  35. 前記アクセス制御手段が、特定のデバイス間の通信経路上に設けられていることを特徴とする請求項23から請求項34のいずれか1項に記載の電子装置
  36. コンピュータ上で実行されることにより、電子装置に搭載されるデバイス間のアクセスを制御する制御プログラムであって、
    前記コンピュータに、
    前記デバイス毎に設定された一意の秘密情報を、前記電子装置上で動作するタスク毎に、前記デバイスに対するアクセス権として付与し、
    前記デバイスに対するアクセスを要求するアクセス要求タスクが、前記デバイスの秘密情報を有するかどうかによって、前記デバイスに対するアクセスの可否を判定するアクセス制御処理を実行させ、
    前記タスク毎に前記デバイスの前記秘密情報の有無を設定されたアクセス制御テーブルが、
    前記デバイスに対するアクセスの可否を示すアクセス権設定テーブルと、
    前記秘密情報に対応して前記アクセス権設定テーブルの設定変更の可否を示す変更権限テーブルとを含み、
    前記アクセス制御処理において、
    前記秘密情報を付与された前記アクセス要求タスクを有するデバイスからのアクセス権設定要求及び前記変更権限テーブルに基づいて、アクセスの対象となるアクセス対象デバイスへのアクセス権を、当該アクセス権設定要求に対応するタスクに対して設定し、前記アクセス権設定テーブルを変更するアクセス権設定テーブル変更処理を有し、
    変更後の前記アクセス権設定テーブルに基づいて、アクセス権を設定されたデバイスに対してアクセスを許可する
    ことを特徴とする制御プログラム
  37. 前記アクセス権設定テーブル変更処理において、
    前記秘密情報を付与された前記アクセス要求タスクが他のタスクに対するアクセス権の設定を要求した場合に、当該他のタスクに対して前記秘密情報を付与することを特徴とする請求項36に記載の制御プログラム
  38. 前記アクセス権設定テーブル変更ステップにおいて、
    タスクの切り替えを検出し、切り替え前のタスクを有するデバイスに対して全デバイスへのアクセスを禁止する設定を行うことを特徴とする請求項37に記載の制御プログラム
  39. 前記アクセス権設定テーブル変更ステップにおいて、
    前記アクセス要求タスクに付与された前記秘密情報に対応する前記アクセス対象デバイスに設定された前記アクセス権設定テーブル上のアクセス権の設定情報を一時的に保存するアクセス権設定情報保存ステップを有し、
    前記アクセス権設定テーブル変更ステップにおいて当該アクセス対象デバイスへのアクセス権を新たに設定されたデバイス内のタスクによる所定の処理の終了後に、保存された前記アクセス権設定情報を当該アクセス対象デバイスに対して再設定することを特徴とする請求項36から請求項38の何れか1項に記載の制御プログラム
  40. 前記アクセス制御ステップにおいて、
    乱数を用い、前記アクセス要求タスクに付与された前記秘密情報から擬似秘密情報を生成する擬似秘密情報生成ステップと、
    前記変更権限テーブルの内、前記秘密情報に対応する前記アクセス対象デバイスの前記秘密情報を、生成した前記擬似秘密情報に変更する変更権限テーブル変更ステップと、
    生成した前記擬似秘密情報を前記アクセス要求タスクに通知する擬似秘密情報通知ステップとを備え、
    前記秘密情報の代わりに前記擬似秘密情報を用いることを特徴とする請求項36から請求項39のいずれか1項に記載の制御プログラム
  41. 前記アクセス制御ステップにおいて、
    所定のタスクからの前記アクセス権設定テーブルの変更要求を常に許可することを特徴とする請求項36から請求項40のいずれか1項に記載の制御プログラム
  42. 前記アクセス制御ステップにおいて、
    所定のタスクからの前記アクセス対象デバイスへのアクセス要求を常に許可することを特徴とする請求項36から請求項41のいずれか1項に記載の制御プログラム
JP2008557164A 2007-02-08 2008-02-08 アクセス制御システム、アクセス制御方法、電子装置、及び制御プログラム Expired - Fee Related JP5263602B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008557164A JP5263602B2 (ja) 2007-02-08 2008-02-08 アクセス制御システム、アクセス制御方法、電子装置、及び制御プログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2007029677 2007-02-08
JP2007029677 2007-02-08
PCT/JP2008/052118 WO2008096848A1 (ja) 2007-02-08 2008-02-08 アクセス制御システム、アクセス制御方法、電子装置、及び制御プログラム
JP2008557164A JP5263602B2 (ja) 2007-02-08 2008-02-08 アクセス制御システム、アクセス制御方法、電子装置、及び制御プログラム

Publications (2)

Publication Number Publication Date
JPWO2008096848A1 JPWO2008096848A1 (ja) 2010-05-27
JP5263602B2 true JP5263602B2 (ja) 2013-08-14

Family

ID=39681749

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008557164A Expired - Fee Related JP5263602B2 (ja) 2007-02-08 2008-02-08 アクセス制御システム、アクセス制御方法、電子装置、及び制御プログラム

Country Status (4)

Country Link
US (1) US8434127B2 (ja)
EP (1) EP2120178A4 (ja)
JP (1) JP5263602B2 (ja)
WO (1) WO2008096848A1 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010102380A (ja) * 2008-10-21 2010-05-06 Fuji Xerox Co Ltd 情報処理装置、画像形成装置、端末装置、ユーザインタフェース制御方法、設定変更要求送信方法およびプログラム
CN101827374B (zh) * 2009-12-31 2013-08-07 中兴通讯股份有限公司 用于管理电调天线的操作维护系统、控制器和射频子系统
CN102289282B (zh) * 2011-06-13 2013-11-06 鸿富锦精密工业(深圳)有限公司 用于同步控制系统中的电子设备及其同步控制方法
CN103065098B (zh) * 2011-10-24 2018-01-19 联想(北京)有限公司 访问方法和电子设备
US9092647B2 (en) 2013-03-07 2015-07-28 Freescale Semiconductor, Inc. Programmable direct memory access channels
US10248977B2 (en) 2013-08-24 2019-04-02 Vmware, Inc. NUMA-based client placement
US10365947B2 (en) 2014-07-28 2019-07-30 Hemett Packard Enterprise Development Lp Multi-core processor including a master core performing tasks involving operating system kernel-related features on behalf of slave cores
US10360135B2 (en) * 2016-03-31 2019-07-23 Microsoft Technology Licensing, Llc Privilege test and monitoring
JP6726088B2 (ja) * 2016-12-15 2020-07-22 ルネサスエレクトロニクス株式会社 データ処理装置、及びアクセス制御方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07200317A (ja) * 1993-12-28 1995-08-04 Toshiba Corp 操作権管理装置
JPH09305418A (ja) * 1996-05-15 1997-11-28 Nec Corp 共有メモリ管理方式
US5802590A (en) * 1994-12-13 1998-09-01 Microsoft Corporation Method and system for providing secure access to computer resources
JP2001325150A (ja) * 2000-03-10 2001-11-22 Fujitsu Ltd アクセス監視装置及びアクセス監視方法
JP2002505476A (ja) * 1998-02-26 2002-02-19 サンマイクロシステムズ インコーポレーテッド スタックをベースとしたアクセス制御
JP2002342166A (ja) * 2001-05-15 2002-11-29 Fujitsu Ltd 情報処理装置及びアクセスレベル制御方法
JP2005502128A (ja) * 2001-08-13 2005-01-20 クゥアルコム・インコーポレイテッド アプリケーションにデバイスリソースを割り当てるための許可の使用
JP2006252345A (ja) * 2005-03-11 2006-09-21 Ntt Docomo Inc タスク管理システム

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08278953A (ja) 1995-04-07 1996-10-22 Mitsubishi Electric Corp 計算機システムにおける排他制御方式
JP3411159B2 (ja) * 1996-08-02 2003-05-26 株式会社日立製作所 移動計算機サポートシステム
GB2351588B (en) * 1999-07-01 2003-09-03 Ibm Security for network-connected vehicles and other network-connected processing environments
CA2287871C (en) * 1999-11-01 2007-07-31 Ibm Canada Limited-Ibm Canada Limitee Secure document management system
US6754829B1 (en) * 1999-12-14 2004-06-22 Intel Corporation Certificate-based authentication system for heterogeneous environments
JP2001290691A (ja) 2000-04-07 2001-10-19 Hitachi Ltd 計算機システム及び二次記憶装置
ATE320684T1 (de) * 2002-01-18 2006-04-15 Nokia Corp Verfahren und einrichtung zur zugriffskontrolle eines mobilen endgerätes in einem kommunikationsnetzwerk
US20030235309A1 (en) * 2002-03-08 2003-12-25 Marinus Struik Local area network
JP3866597B2 (ja) * 2002-03-20 2007-01-10 株式会社東芝 内部メモリ型耐タンパプロセッサおよび秘密保護方法
US7146133B2 (en) * 2003-06-19 2006-12-05 Microsoft Corporation Wireless transmission interference avoidance on a device capable of carrying out wireless network communications
TWI280029B (en) * 2004-10-27 2007-04-21 Inst Information Industry Method and system for data authorization and mobile device using the same
KR100704627B1 (ko) * 2005-04-25 2007-04-09 삼성전자주식회사 보안 서비스 제공 장치 및 방법
JP2007029677A (ja) 2005-07-22 2007-02-08 Shigeo Arikawa 連結型蛸足物干し
KR101185595B1 (ko) * 2005-09-30 2012-09-24 삼성전자주식회사 스마트 카드를 이용하여 보안 기능을 수행하는 장치 및 그방법
CN100580642C (zh) * 2006-02-28 2010-01-13 国际商业机器公司 通用串行总线存储设备及其访问控制方法
JP4973032B2 (ja) * 2006-07-03 2012-07-11 富士通株式会社 アクセス権限管理プログラム、アクセス権限管理装置およびアクセス権限管理方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07200317A (ja) * 1993-12-28 1995-08-04 Toshiba Corp 操作権管理装置
US5802590A (en) * 1994-12-13 1998-09-01 Microsoft Corporation Method and system for providing secure access to computer resources
JPH09305418A (ja) * 1996-05-15 1997-11-28 Nec Corp 共有メモリ管理方式
JP2002505476A (ja) * 1998-02-26 2002-02-19 サンマイクロシステムズ インコーポレーテッド スタックをベースとしたアクセス制御
JP2001325150A (ja) * 2000-03-10 2001-11-22 Fujitsu Ltd アクセス監視装置及びアクセス監視方法
JP2002342166A (ja) * 2001-05-15 2002-11-29 Fujitsu Ltd 情報処理装置及びアクセスレベル制御方法
JP2005502128A (ja) * 2001-08-13 2005-01-20 クゥアルコム・インコーポレイテッド アプリケーションにデバイスリソースを割り当てるための許可の使用
JP2006252345A (ja) * 2005-03-11 2006-09-21 Ntt Docomo Inc タスク管理システム

Also Published As

Publication number Publication date
EP2120178A4 (en) 2010-12-08
US8434127B2 (en) 2013-04-30
US20090300713A1 (en) 2009-12-03
JPWO2008096848A1 (ja) 2010-05-27
EP2120178A1 (en) 2009-11-18
WO2008096848A1 (ja) 2008-08-14

Similar Documents

Publication Publication Date Title
JP5263602B2 (ja) アクセス制御システム、アクセス制御方法、電子装置、及び制御プログラム
TWI470552B (zh) Data processor
JP4872001B2 (ja) メモリ・アクセス安全性管理
US7444668B2 (en) Method and apparatus for determining access permission
JP4556144B2 (ja) 情報処理装置、復旧装置、プログラム及び復旧方法
JP4823481B2 (ja) 安全な環境を初期化する命令を実行するシステムおよび方法
JP4925422B2 (ja) データ処理装置内コンテンツへのアクセス管理
TWI431533B (zh) 微處理器系統及用以初始化安全操作之方法與處理器
US7930539B2 (en) Computer system resource access control
Nasahl et al. Hector-v: A heterogeneous cpu architecture for a secure risc-v execution environment
CN112948321A (zh) 用于管理片上系统的操作的方法和对应的片上系统
KR20160146955A (ko) 인증된 변수의 관리
JP2013537347A (ja) コンピュータシステムにおけるリソースアクセス制御を実行する方法
US7779254B1 (en) Mechanism to enhance and enforce multiple independent levels of security in a microprocessor memory and I/O bus controller
JP2003186746A (ja) ハードウェア実施セマフォおよび他の同様のハードウェア実施直列化および順位付け機構を使用する、コンピュータ内でのメモリへのアクセスのハードウェア実施制御の方法
JP2008524740A (ja) 装置のセキュリティを改良した集積回路
CN113254949B (zh) 控制设备、用于控制访问的系统及由控制器执行的方法
US11188321B2 (en) Processing device and software execution control method
JPH08272625A (ja) マルチプログラム実行制御装置及び方法
JPWO2007040228A1 (ja) 情報処理装置、情報処理方法およびプログラム
CN112749397A (zh) 一种系统和方法
US20060031672A1 (en) Resource protection in a computer system with direct hardware resource access
US7774517B2 (en) Information processing apparatus having an access protection function and method of controlling access to the information processing apparatus
US20230161484A1 (en) Dynamic management of a memory firewall
JP2007109053A (ja) バスアクセス制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110112

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130115

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130314

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130404

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130417

R150 Certificate of patent or registration of utility model

Ref document number: 5263602

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees