JPH08508352A - データ処理システムのための安全臨界プロセッサおよび処理方法 - Google Patents
データ処理システムのための安全臨界プロセッサおよび処理方法Info
- Publication number
- JPH08508352A JPH08508352A JP6513317A JP51331794A JPH08508352A JP H08508352 A JPH08508352 A JP H08508352A JP 6513317 A JP6513317 A JP 6513317A JP 51331794 A JP51331794 A JP 51331794A JP H08508352 A JPH08508352 A JP H08508352A
- Authority
- JP
- Japan
- Prior art keywords
- intermediate shell
- safety
- critical
- safety critical
- processor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/0757—Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2207/00—Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F2207/72—Indexing scheme relating to groups G06F7/72 - G06F7/729
- G06F2207/7219—Countermeasures against side channel or fault attacks
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Quality & Reliability (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
- Hardware Redundancy (AREA)
Abstract
(57)【要約】
安全臨界環境においてアプリケーションソフトウエアを動作するためのシステムおよび方法が、データ処理実行のためのデータプロセッサと、オペレーティングシステムおよびアプリケーションソフトウエアと作用し合うための中間シェルとを具備する。2つのタイミング信号列間の時間間隔が所定の値よりも長いことをそして可能性のある安全臨界障害を構成することの決定のため、安全臨界プロセッサは中間シェルからタイミング信号列を受け取りそして可能性のある安全臨界障害を中間シェルへ指示する。
Description
【発明の詳細な説明】
データ処理システムのための安全臨界プロセッサ
および処理方法
発明の背景
本発明はデータ処理システムのための安全臨界プロセッサおよび処理方法に関
するものである。
安全臨界環境とは、コンピュータの(プロセスや機能などの)ソフトウエア動
作のエラー(たとえば怠慢な出現あるいは不許可の出現、要求時の出現不履行、
誤った値または検出されないハードウエア障害)が可能性のある危険またはシス
テム結果予測可能性の喪失を招くようなものをいう。怠慢な動作が死やけがや占
有上の病あるいは重大操作の直接の原因となるかもしれない場合に、あるいは死
やけがあるいは重大動作を招くおそれのある決定のためにコンピュータ活動結果
が頼りにされるであろう場合に、安全臨界環境が安全臨界コンピュータソフトウ
エア構成要素に必要である。安全臨界環境が複数の標準または取決めの共通集合
でありそしてDOD-STD-2167およびDOD-STD-2168のもとで形成されるソフトウエア
と協調して動作するたとえばMIL-STD-882Bなどの軍事上の仕様において取り扱わ
れる。さらに、命令追従を保証するため、コンピュータプログラムの実行完了後
、コンピュータプログラム動作の再調査および検査を行う能力が
安全臨界環境の部分となる。
1992年10月22日付けで出願され本出願と同じ譲受人に譲渡された米国特許出願
第07/964,742号において、安全臨界環境を通常提供できずそしてパーソナルコン
ピュータのための産業標準のオペレーティングシステムで動作するデータ処理シ
ステムにおいて安全臨界環境を提供するためあるシステムが開示されている。こ
のシステムにおいて、中間オペレーティングシェルが(たとえば、DOS、マッ
キントッシュのためのSystem 7というオペレーティングシステム、ウインドウズ
、OS/2などの)標準的なパーソナルコンピュータオペレーティングシステム
に重畳されそして中間シェルの機能が、通常、安全臨界システムではないパーソ
ナルコンピュータのために安全臨界環境をエミュレートすることである。安全臨
界性能の逸脱について全てのシステム機能の監視を行うため、シェルは安全臨界
の道具としてシステム性能の完全性をモニタしそしてオペレーティングシステム
と作用し合い、これらをリアルタイムで修正するかあるいはシステムが進行しな
いようにする。アプリケーションソフトウエアが通常のオペレーティングシステ
ムと作用しあう必要がないように、シェルはさらにアプリケーションソフトウエ
アと作用し合う機能をも有する。1992年10月22日付け出願の同時継続の米国出願
番号第07/964,742号の開示内容を参照されたい。
上述の継続出願において開示されているシステムは、
パーソナルコンピュータで利用できる標準コンピュータハードウエアの使用によ
り安全臨界モニタの機能を実行できるけれども場合によっては処理速度を犠牲に
してこれを行う。
発明の概要
本発明の主たる目的は、パーソナルコンピュータ速度と妥協することなく安全
臨界モニタ機能を実行するため、パーソナルコンピュータのメインプロセッサと
同時動作の安全臨界プロセッサを提供することである。
安全臨界プロセッサは、コンピュータハウジング内の利用可能なスロット部に
装填されるプラグインボードとして構成できるし、あるいは、そこで利用可能な
パワーを有するのが好ましい複数のコンピュータポートのうちの一つ(たとえば
プリンタポートなど)またはこれと等価なポートに接続する装置として構成でき
る。
本発明の上述の目的およびその他の目的は、中間シェルからのタイミング信号
列のうちの2つの信号間の時間間隔が所定値よりも長くそれにより可能性のある
安全臨界障害を構成することの決定のため中間シェルからのタイミング信号列の
受信手段と、中間シェルへの可能性のある安全臨界障害の指示のための手段とを
具備するデータ処理システムのための安全臨界プロセッサにより本発明により達
成される。
好ましい実施例において、電源が電圧を提供しそして電源電圧が所定の時間よ
りも長い時間、所定限界の外側
にあることを、そしてそれにより可能性のある安全臨界障害を構成することの決
定のため、安全臨界プロセッサは電源電圧のモニタ手段を別途具備する。システ
ムはさらにランダムアクセスメモリ(RAM)を具備しそしてデータ処理手段は
RAM内のメモリ場所へのアクセス手段を有する。中間シェルはRAMの読取り
専用部分のため定義される場所およびアプリケーションソフトウエアのためRA
Mの定義された場所の決定のための手段を具備し、安全臨界ププロセッサはRA
Mの定義場所格納手段と、データ処理手段による全てのメモリアクセスと格納場
所との比較を行い、不適当なアクセスが出現し、それにより可能性のある安全臨
界障害を構成するかどうかの決定手段とを有する。
さらに本発明によれば、データ処理手段が制御信号発生手段を有し、中間シェ
ルがデータ処理手段より発生される制御信号の指示手段を有し、安全臨界プロセ
ッサが発生される制御信号の指示の受け取り手段と、望ましくない比較とそれに
よる可能性のある安全臨界障害を構成することの指示のため、これらを実際に発
生される制御信号とを比較する手段とを有する。
中間シェルは一意識別コード指示手段を有するのが好ましく、安全臨界プロセ
ッサは、一意識別コードの格納手段と、中間シェルにより指示される識別コード
と格納識別コードとの比較および望ましいあるいは望ましくない比較の中間シェ
ルへの指示のため、中間シェルにより
指示される識別コードの受取手段とを具備する。
安全臨界プロセッサは、中間シェルからのデータの暗号化のため中間シェルか
らのデータの受取手段と、暗号化データを中間シェルへ導くための手段と、暗号
化データの解読のため中間シェルからの暗号化データの受取手段とを別途具備す
る。
暗号化手段は一意暗号化キーで暗号化するための手段を含み、解読化手段は、
前記一意暗号化キーで解読するための手段を含み、安全臨界プロセッサは、暗号
化データが一意暗号化キーで暗号化されなかったことを、そして可能性のある安
全臨界障害を構成することを指示するための手段を有する。
本発明の別の目的が、安全臨界プロセッサの使用により安全臨界環境において
アプリケーションソフトウエアを動作する方法を提供することである。
本発明の上述の目的およびその他の目的は添付図面を参照しつつ以下の発明の
詳細な説明において開示される。
図面の簡単な説明
図1は本発明による安全臨界プロセッサを含むデータ処理システムのブロック
図である。
図2は本発明による安全臨界プロセッサの一実施例のブロック図である。
発明の詳細な説明
たとえば、Intel 80X86またはMotorola 680XXのマイ
クロプロセッサをベースにした中央処理装置11を具備する図1に示されるよう
な現在のマイクロコンピュータシステムは、2種類のデータを含むROM12と
情報が送られる場所を特定するアドレス線と実際の情報を伝達するデータ線とを
含むシステムの他の要素と、CPUバス18上で通信するバスシステムである。
現在のバス網は8、12、16、32および64ビットである。ROMは簡単プ
ログラムをCPUへ送信する立ち上げ情報、いずれの要素がシステムに存在する
かどうかについてのシステム情報およびCPUの機能実行のためのマイクロプロ
グラムを含む。CPU11はさらに、プログラムおよびデータを格納するRAM
13とバス18を介して通信する。同時継続の米国特許出願第07/964,742号に開
示されるごとく、RAM13および/またはROM12は、本発明による使用中
にロードされるオペレーティングシステム、中間シェルおよびアプリケーション
ソフトウエアを有する。
CPUはさらにキーボード21からの入力を受け取るキーボード制御部または
プロセッサ14とバス18を通じて通信する。
データおよびソフトウエアもまたディスクコントローラ15および16を介し
バス18を通じて通信するフロッピーディスク19およびハードディスク20に
格納される。
システムはさらに入/出力コントローラ17を通じて
(プリンタ23やモデムなどの)外部機器とも接続し、入/出力コントローラ1
7は順次シリアルポートやパラレルポートなどのポートを介して外部機器が接続
されるところの入/出力バス22と順次接続する。
マイクロコンピュータはさらに全要素への調整電圧Vの供給を行う電源24を
含む。
本発明によるシステムは、安全臨界機能の保持のため、本発明の好ましい実施
例において、RAM13および/またはROM12に格納された中間シェルの制
御のもとでこれと協調動作するそしてCPUバス18に接続される安全臨界プロ
セッサ10をも含む。
本発明の代替実施例において、安全臨界プロセッサ10′は入/出力バス22
へ接続され、プリンタ23が接続可能なようにする出力部にパラレルポートを提
供し、そして伝達路としての入/出力バス22から印刷情報を受け取る。
図2は図1に図示の安全臨界プロセッサ10、10′を実施する方法の重要な
要素を示す。
安全臨界プロセッサは、CPUバス18に直接接続されるときCPUバス18
からあるいは、そこで利用可能なパワー出力を有するのが好ましい(プリンタポ
ートなどの)出力ポートまたは等価ポートに直接接続されるとき入/出力バス2
2からデータを受け取る入力レジスタを含む。
入力レジスタ105の受信情報が安全臨界プロセッサ
内部バス107へ適用され、ここからシステムの種々の要素へ伝送される。プロ
セッサはバス18または22へ情報を適用する出力レジスタ106をも具備する
。
安全臨界プロセッサは後述のごとく安全臨界プロセッサの主たる機能の全ての
ものの支持のためマイクロプログラムを含む別のマイクロプロセッサ101を包
含する。
中間シェルが動作していることの検証を支持する監視タイマー104がバス1
07へ接続される。中間シェルは、事前定義された信号列のバスへの適用により
中間シェルが動作していることをバス18または22を通じて安全臨界プロセッ
サに通知することが要求される。事前定義信号列は中間シェルが循環しているこ
とを表わす。事前定義信号列は、マイクロプロセッサ101により設定される画
定時間内に出現しなければならない。監視タイマー104はマイクロプロセッサ
101により設定された時間およびバス107を通じての受信信号列をモニター
する。もし新規な事前定義信号列がマイクロプロセッサ101により設定される
時間期間内に受信されなければ、監視タイマー104は、バス18または22へ
適用される緊急の高優先度フラグを中間バス107へ送出し、動作を終了するか
あるいはオペレータへ可能性のある障害を通知するよう直ちにシステムに通知す
る。
使用において、マイクロプロセッサ101は通常監視タイマー104を不能化
する。ユーザは最初中間シェル
をRAM108にロードし、それからアプリケーションプログラムがランされる
。先ずシステムにおいて安全臨界レベルを設定するために、アプリケーシヨンプ
ログラムは中間シェルと作用し合う。この安全臨界レベルは、中間シェルにより
マイクロプロセッサ101へ与えられる時間値へ翻訳され、マイクロプロセッサ
101はそれからこの時間値を、監視タイマーのため事前定義信号列が出現しな
ければならないところの時間として設定する。中間シェルがアプリケーションプ
ログラム動作を開始するとき、それは直ちにマイクロプロセッサにこの事実を通
知し、マイクロプロセッサ101がその機能実行のため監視タイマー104を可
能化する。
監視タイマーは引き続き事前定義信号列ならびにその前に障害が画定されると
ころのそしてこれら事前定義信号列の受信と受信との間で生じ得るところの最大
時間期間を捜す。マイクロプロセッサ101が監視タイマー104を不能化する
ときであるモニタ動作終了をマイクロプロセッサ101に中間シェルが通知する
まで、安全臨界プロセッサはソフトウエア活動の独立観測装置として動作する。
安全臨界プロセッサは電源24からの電圧Vを直接入力として受信する電源モ
ニター103をも具備する。コンピュータパワーが許容可能な余裕の範囲内にあ
ることの検証のため、電源モニターはシステムにおけるパワーレベルをモニター
する。電源モニターは画定された時間
の間のレンジ外の読取りの発生を認定できそしてかかる事象をバス107を通じ
マイクロプロセッサ101に通知する。
監視タイマーの場合と同様に、電源モニターはシステムの初期立上げの際に不
能化される。電源モニターのモニターおよび報告機能は、バス18、22を介し
てのマイクロプロセッサ101へ向う信号による電源モニター機能の始動および
停止を指示する中間シェルにより起動される。マイクロプロセッサ101が引き
続き適当な時間に電源モニタ103を可能化しそしてこれを不能化する。電源の
任意の障害がバス107を通じマイクロプロセッサ101へ直ちに伝達され、マ
イクロプロセッサ101は引き続きこの事実をバス18、22を通じ中間シェル
へ伝達できる。
安全臨界プロセッサはRAM13、フロッピディスク19およびハードディス
ク20のアドレスマップの格納のため内部107へ接続されるRAM108を有
する。RAM108におけるメモリマップ格納の目的は、あるアドレスが違法に
アクセスされたかどうかの決定のため、全てのCPUおよび入出力バスの活動を
モニタすることである。
マイクロプロセッサ101は、読取り専用として指定されたアドレスが書き込
まれるどうかあるいはシステムにより使用される定義領域の外側のアドレスが読
み取られあるいは書き込まれるかどうかの決定のためバスのア
ドレス活動をモニターする。このような出現の検出で、オペレータに直ちに通知
できるようマイクロプロセッサ101は中間シェルに通知する。
マイクロプロセッサ101はCPU11による制御信号活動が正しいかどうか
の認定のためバス活動をモニタする。このことについて、中間シェルは、予想さ
れる制御信号の指示のため安全臨界プロセッサと通信する。これらの信号はRA
M108に格納され、マイクロプロセッサ101はバス18、22を通じて実際
の制御信号を受信しそしてこれらの実際の制御信号が正しいかどうかを見るため
RAM108の格納信号と比較する。モニターされる制御信号のタイプは、クロ
ック割り込み、入出力装置信号および検査信号そしてダイレクトメモリアクセス
信号などのシステム割り込みである。入出力装置へ向う信号のモニタ動作はシス
テムが不適当な装置への入力または出力を行っていないことの検証を可能にする
。割り込みモニタ動作はクロックサイクル時間およびCPU11の活動を検証す
る。
他のモニタ機能と類似して、アドレスアクセスおよ制御信号モニタ動作はシス
テム立ち上げのときアイドル状態である。モニタ動作は、アプリケーションソフ
トウエアのロードおよび安全臨界レベルの指示の後、中間シェルを通じて開始さ
れる。その後、中間シェルは読取り専用と指定されるメモリ使用のアドレスおよ
び活動のための画定領域を供給する。条件が指示するときに、中間シ
ェルは、RAM108の内容の変化を順次生じさせるマイクロプロセッサ101
とのバスを介しての通信によってモニタアドレスを変化できる。臨界レベルは、
どの活動が監視されるかをそして不適当な活動の認識で形成される動作を指図す
る。
安全臨界プロセッサの別の要素がマイクロプロセッサ101に直接接続された
識別ROMないしIDROM102である。IDROM102が製造の際に装着
される一意識別コードを含みそしてこれは特定の安全臨界プロセッサに特有であ
る。このコードはマイクロプロセッサ101によってアクセス可能なだけであり
そして内部バス107または出力レジスタ106を通じてボード外で利用可能で
ない。
IDROM102の目的は安全臨界プロセッサと特定中間シェルとを整合する
ことである。中間シェルは、中間シェルおよび安全臨界プロセッサの両方の装着
の際に識別コードが知らしめられている。こうして、複製中間シェルと一緒に使
用される任意のソフトウエアは別のコンピュータで使用不可能である。なぜなら
、中間シェルは、それが最初識別コードを安全臨界プロセッサに送信しそしてマ
イクロプロセッサ101に整合があることを指示させなければ動作しないからで
ある。
IDROM102に格納される識別コードはさらにアプリケーションソフトウ
エアがそれのために装着されるところの特定機械とは別の機械でそのコピーが違
法使用
されないことの保証のため、アプリケーションソフトウエアと一緒に使用される
。
識別コードおよびIDROM102はさらに後述するごとく安全臨界プロセッ
サの暗号化能力で使用可能である。
安全臨界プロセッサはバス107へ接続される暗号器109および解読器11
0をも具備する。暗号器109は製造のときに装着される暗号化キーを有しそし
て中間シェルまたはアプリケーションソフトウエアによって読み取られない。中
間シェルは、バス18、22で、安全臨界プロセッサへのデータ伝達およびデー
タの暗号化された形式のものを受け取る。暗号器109の使用は、データログ内
の情報が変造されなかったことの保証のため、データログ上に署名が行われるこ
とを可能にする。これは、アプリケーションソフトウエアおよび中間シェルの性
能の検証および防護として働く。
暗号器109により暗号化される暗号データ形式はそれの検証および認証のた
めに使用できる補助的な情報を包含する。ログは関連情報の暗号コピーおよび読
取り可能コピーの両方を包含できるので、暗号化情報の検索が許容される。暗号
データの実際の検証のために、安全臨界プロセッサはバス18、22を介して暗
号化データを受け取り、情報を解読する解読器110へ適用し、それが同じ安全
臨界プロセッサによって実際に暗号化されたことの検証を行い、そして表示のた
め情報をシステムに
供給する。
暗号化情報内に包含されるデータは最初与えられた情報だけでなく、データを
暗号化した特定の安全臨界プロセッサによってのみ認識できる検証および署名情
報をも包含する。この検証および署名情報は安全臨界プロセッサ10の外部に伝
送されないので、暗号キーの決定またはデータの変造を行うことは事実上不可能
である。
ログ内の暗号データ記録の数および順序は中間シェルにより制御されそしてこ
れら記録内の関連情報は安全臨界レベルに基づいて中間シェルにより定められる
。
中間シェルはさらに、安全臨界プロセッサが正しく動作していることの保証の
ため、バス18、22を介しての安全臨界プロセッサとの通信によって安全臨界
プロセッサの動作をモニタする。この通信は健全性検査の形式でありそして知ら
れる結果動作の性能を要求する。これは、中間シェルおよび安全臨界プロセッサ
が互いに他のものの損失を認識しそして必要に応じ矯正動作をとることを可能に
する。
安全臨界プロセッサは、内部問題を認識できるようバックグラウンドモードに
おいて自己試験をも実行できる。発見された任意の問題が障害モード動作の起動
のため中間シェルへ指示される。自己試験は、マイクロプロセッサ101から暗
号器109への既知メッセージの送信そして引き続く既知メッセージの解読器1
10への送信および結果の検証を含む。さらにモニタハードウエアの
ラップアラウンド試験が、出力レジスタのデータが入力レジスタ105のデータ
と同じことの検証により実行できる。
安全臨界プロセッサは、それが入出力バス22へ直接接続される構成において
使用されるとき、図2に示されるごとく内部バス107への直接アクセスを有す
るコネクタをも含む。これはプリンタ23へ接続し、入出力バス22からプリン
タ23へのプリンタデータの通り抜け手段として動作する。この動作において、
マイクロプロセッサ101はプリンタデータを認識しそして入力レジスタから直
接プリンタ23へのおよびその反対方向へデータを直接的に転送するよう動作す
る。
安全臨界プロセッサは、これと中間シェルとの間の通信のために使用される共
用メモリまたは先入れ先出しメモリと一緒に構成できることが理解されよう。安
全臨界プロセッサは、識別と暗号化のために使用される一般内部プログラムおよ
び情報の格納のためEEROM(電気的消去・書き込み可能PROM)メモリを
含むことができる。識別および暗号化キーにおける実際のシステムは、外部装置
による任意の制御処理動作およびその情報へのアクセスを除去するマイクロコン
トローラのタイプのチップの部分として記憶されるのが好ましい。装置の障害が
、修理および/または取り替えのため、安全臨界プロセッサの工場への戻しを要
求する。安全臨界プロセッサは、オペレータがバックアップシステムへ切り替え
る
ことができるまで障害を受けた動作が要求される場合において、冗長構成要素を
含むことが理解されよう。
明細書の説明は例示のためでありそして本発明の精神および技術思想から逸脱
することなく種々の修正および変更が可能であることを理解されたい。
─────────────────────────────────────────────────────
フロントページの続き
(81)指定国 EP(AT,BE,CH,DE,
DK,ES,FR,GB,GR,IE,IT,LU,M
C,NL,PT,SE),OA(BF,BJ,CF,CG
,CI,CM,GA,GN,ML,MR,NE,SN,
TD,TG),AT,AU,BB,BG,BR,BY,
CA,CH,CZ,DE,DK,ES,FI,GB,H
U,JP,KP,KR,KZ,LK,LU,MG,MN
,MW,NL,NO,NZ,PL,PT,RO,RU,
SD,SE,SK,UA
(72)発明者 アデルソン,アレグザンダ エム.
アメリカ合衆国 10566 ニューヨーク,
ピークスキル,マウンテンサイド トレイ
ル(番地なし)
(72)発明者 エビ,ジェイムズ エイ.
アメリカ合衆国 08534 ニュージャージ
ー,ペニントン,ハーバトン ウッズビル
ロード 37
(72)発明者 メデイロス,ジョエル イー.
アメリカ合衆国 08075 ニュージャージ
ー,デルラン,ベントウッド ドライブ
225
Claims (1)
- 【特許請求の範囲】 1.処理動作実行のためのデータ処理手段と、オペレーティングシステムおよび アプリケーションソフトウエアと作用し合うための中間シェルを形成する手段と を有する、安全臨界環境においてアプリケーションソフトウエアを動作するため のシステムにおいて、 2つのタイミング信号列間の時間間隔が所定値よりも長く、可能性のある安全 臨界障害を構成していることの決定のため、中間シェルからのタイミング信号列 を受け取るための手段と、 可能性のある安全臨界障害を中間シェルへ指示するための手段とを安全臨界プ ロセッサが有することを特徴とするシステム。 2.供給電圧を提供するための電源を具備し、そして安全臨界プロセッサが、供 給電圧が所定の時間よりも長い時間所定の限界の外側にあることをそして可能性 のある安全臨界障害を構成することの決定のため、供給電圧をモニタするための 手段を別途具備する請求項1のシステム。 3.ランダムアクセスメモリ(RAM)を具備し、そしてデータ処理手段がRA M内のメモリ場所へのアクセス手段を有し、中間シェルがRAMの読取り専用部 分の定義された場所およびアプリケーションソフトウエアのた めRAMの定義された場所の決定のための手段を具備し、安全臨界プロセッサが RAMの定義場所格納手段と、データ処理手段による全てのメモリアクセスと格 納場所との比較を行い、不適当なアクセスが出現し、それにより可能性のある安 全臨界障害を構成するかどうかの決定を行う手段とを有する請求項1のシステム 。 4.データ処理手段が制御信号発生手段を有し、中間シェルがデータ処理手段よ り発生される制御信号の指示手段を有し、安全臨界プロセッサが発生される制御 信号の指示の受け取り手段と、望ましくない比較とそれによる可能性のある安全 臨界障害を構成することの指示のため、これらを実際に発生される制御信号とを 比較する手段とを有する請求項1のシステム。 5.中間シェルが一意識別コード指示手段を有し、安全臨界プロセッサが、一意 識別コードの格納手段と、中間シェルにより指示される識別コードと格納識別コ ードとの比較および望ましい比較の中間シェルへの指示のため、中間シェルによ り指示される識別コードの受取手段とを具備する請求項1のシステム。 6.安全臨界プロセッサが、中間シェルからのデータの暗号化のため中間シェル からのデータの受取手段と、暗号化データを中間シェルへ導くための手段とを別 途具備する請求項1のシステム。 7.安全臨界プロセッサが、暗号化データの解読のため中間シェルからの暗号化 データの受取手段を別途具備す る請求項6のシステム。 8.暗号化手段が、一意暗号化キーで暗号化するための手段を含み、解読化手段 は、前記一意暗号化キーで解読するための手段を含み、安全臨界プロセッサが、 暗号化データが一意暗号化キーで暗号化されなかったことを、そして可能性のあ る安全臨界障害を構成することを指示するための手段を有する請求項7のシステ ム。 9.メインバスを別途具備し、安全臨界プロセッサがメインバスからの信号受け 取り手段を有する請求項1のシステム。 10.メインバスを別途具備し、入出力コントローラがメインバスからの信号を 受け取りそして入出力バスが入出力コントローラから信号を受け取り、そして安 全臨界プロセッサが入出力バスからの信号受取手段と入出力バスからの信号を送 り込むための出力手段を有する請求項1のシステム。 11.処理動作実行のためデータ処理手段が提供され、オペレーティングシステ ムおよびアプリケーションソフトウエアと作用し合うため中間シェルの形成のた め手段が提供される、安全臨界環境においてアプリケーションソフトウエアを動 作するための方法において、 2つのタイミング信号列間の時間間隔が所定値よりも長く、可能性のある安全 臨界障害を構成していることの決定のため、中間シェルからタイミング信号列を 安全臨界プロセッサにおいて受け取りそして可能性のある安全 臨界障害を中間シェルへ指示することを備えたことを特徴とする方法。 12.供給電圧を提供し、安全臨界プロセッサにおいて供給電圧をモニタし、そ して供給電圧が所定の時間よりも長い時間所定の限界の外側にあるかどうかそし て可能性のある安全臨界障害を構成するかどうかを決定することを備えた請求項 11の方法。 13.データ処理手段によりアクセスされるランダムアクセスメモリ(RAM) を提供し、中間シェル内のアプリケーションソフトウエアのためRAMの定義さ れた場所およびRAMの読取り専用部分の定義された場所を決定し、安全臨界プ ロセッサにRAMの定義場所を格納し、データ処理手段による全てのメモリアク セスと格納場所との比較を行い、不適当なアクセスが出現し、それにより可能性 のある安全臨界障害を構成するかどうか決定することを別途備えた請求項11の 方法。 14.データ処理手段が制御信号を発生し、中間シェルがデータ処理手段より発 生される制御信号を指示し、発生される制御信号の指示を安全臨界プロセッサに おいて受け取り、これらを実際に発生される制御信号と比較し、望ましくない比 較とそれによる可能性のある安全臨界障害を構成することを指示することを備え た請求項11の方法。 15.中間シェルが一意識別コードを指示し、安全臨界プロセッサが、一意識別 コードを格納し、中間シェルに より指示される識別コードを受け取り、これらを格納識別コードと比較し、そし て望ましい比較を中間シェルへ指示することを備える請求項11の方法。 16.中間シェルからのデータを安全臨界プロセッサにて受け取り、これを暗号 化しそして暗号化データを中間シェルへ導くことを別途備える請求項11の方法 。 17.中間シェルからの暗号化データを安全臨界プロセッサにて受け取りそして これを解読することを別途備える請求項16の方法。 18.暗号化の段階は一意暗号化キーで暗号化することを含み、解読の段階は、 前記一意暗号化キーで解読することを含み、暗号化データが一意暗号化キーで暗 号化されなかったことを、そして可能性のある安全臨界障害を構成することを指 示することを別途含む請求項17の方法。 19.安全臨界環境の実施のためデータ処理システムで使用するための安全臨界 プロセッサにおいて、 2つのタイミング信号列間の時間間隔が所定値よりも長く、可能性のある安全 臨界障害を構成しているかどうかの決定のため、タイミング信号列を受け取るた めの手段と、 可能性のある安全臨界障害を指示するための手段とを具備する安全臨界プロセ ッサ。 20.供給電圧が所定の時間よりも長い時間所定の限界の外側にあるかどうかそ して可能性のある安全臨界障害 を構成するかどうかの決定のため、供給電圧をモニタするための手段を別途具備 する請求項19の安全臨界プロセッサ。 21.ランダムアクセスメモリ(RAM)の定義された場所を格納する手段と、 メモリアクセスと格納場所との比較を行い、不適当なアクセスが出現し、それに より可能性のある安全臨界障害を構成するかどうかの決定を行う手段を別途具備 する請求項19の安全臨界プロセッサ。 22.発生される制御信号の指示を受け取る手段と、望ましくない比較とそれに よる可能性のある安全臨界障害を構成することの指示のため、これらを実際に発 生される制御信号と比較する手段とを有する請求項19の安全臨界プロセッサ。 23.一意識別コードの格納手段と、一意識別コードを受け取りこれを格納され た識別コードと比較しそして望ましい比較を指示するための手段を別途具備する 請求項19のシステム。 24.データを受け取り、これを暗号化するための手段と暗号化データを出力す るための手段とを別途具備する請求項19の安全臨界プロセッサ。 25.暗号化データを受け取り、これを解読するための手段を別途具備する請求 項19の安全臨界プロセッサ。 26.暗号化手段が、一意暗号化キーで暗号化するため の手段を含み、解読化手段は、前記一意暗号化キーで解読するための手段を含み 、さらに暗号化データが一意暗号化キーで暗号化されなかったことを、そして可 能性のある安全臨界障害を構成することを指示するための手段を別途具備する請 求項25の安全臨界プロセッサ。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US98348992A | 1992-11-30 | 1992-11-30 | |
| US07/983,489 | 1992-11-30 | ||
| PCT/US1993/011355 WO1994012923A2 (en) | 1992-11-30 | 1993-11-22 | A safety critical processor and processing method for a data processing system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH08508352A true JPH08508352A (ja) | 1996-09-03 |
Family
ID=25529984
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP6513317A Pending JPH08508352A (ja) | 1992-11-30 | 1993-11-22 | データ処理システムのための安全臨界プロセッサおよび処理方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US5561767A (ja) |
| EP (1) | EP0671030A1 (ja) |
| JP (1) | JPH08508352A (ja) |
| AU (1) | AU5616694A (ja) |
| CA (1) | CA2145854A1 (ja) |
| WO (1) | WO1994012923A2 (ja) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1998036517A1 (en) * | 1997-02-13 | 1998-08-20 | Jpc, Inc. | Security coprocessor for enhancing computer system security |
| US5953502A (en) | 1997-02-13 | 1999-09-14 | Helbig, Sr.; Walter A | Method and apparatus for enhancing computer system security |
| US6065073A (en) * | 1998-08-17 | 2000-05-16 | Jato Technologies, Inc. | Auto-polling unit for interrupt generation in a network interface device |
| DE19928517C2 (de) * | 1999-06-22 | 2001-09-06 | Pilz Gmbh & Co | Steuerungssystem zum Steuern von sicherheitskritischen Prozessen |
| US6564326B2 (en) | 1999-07-06 | 2003-05-13 | Walter A. Helbig, Sr. | Method and apparatus for enhancing computer system security |
| EP1325458B1 (de) * | 2000-09-05 | 2007-11-21 | Storz-Endoskop GmbH | System und verfahren zur zentralen steuerung von einrichtungen, die während einer operation benutzt werden |
| DE10325263B4 (de) * | 2003-06-03 | 2013-09-19 | Phoenix Contact Gmbh & Co. Kg | Sicherstellung von maximalen Reaktionszeiten in komplexen oder verteilten sicheren und/oder nicht sicheren Systemen |
| US7328370B2 (en) * | 2003-09-12 | 2008-02-05 | Rockwell Automation Technologies, Inc. | Safety controller with simplified interface |
| DE102005007477B4 (de) * | 2005-02-17 | 2015-06-11 | Bosch Rexroth Aktiengesellschaft | Programmierbare Steuerung zur Maschinen-und/oder Anlagenautomatisierung mit Standard-Steuerungs- und Sicherheitsfunktionen und Kommunikation mit einer Sicherheits-EA sowie Verfahren zum Betrieb der programmierbaren Steuerung |
| US7568128B2 (en) * | 2006-04-11 | 2009-07-28 | International Business Machines Corporation | Selective alteration of shell utility return code |
| WO2008129359A2 (en) * | 2007-04-18 | 2008-10-30 | Freescale Semiconductor, Inc. | Data processing control unit, method for controlling data processing operations and data processing system |
| DE102007050708B4 (de) * | 2007-10-22 | 2009-08-06 | Phoenix Contact Gmbh & Co. Kg | System zum Betreiben wenigstens eines nicht-sicherheitskritischen und wenigstens eines sicherheitskritischen Prozesses |
| US20090276515A1 (en) * | 2008-05-02 | 2009-11-05 | Boston Scientific Scimed, Inc. | Multi-modality network for improved workflow |
| US10157282B2 (en) | 2013-12-16 | 2018-12-18 | International Business Machines Corporation | Multiband encryption engine and a self testing method thereof |
| DE102018120347A1 (de) * | 2018-08-21 | 2020-02-27 | Pilz Gmbh & Co. Kg | Automatisierungssystem zur Überwachung eines sicherheitskritischen Prozesses |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4839745A (en) * | 1984-06-25 | 1989-06-13 | Kirsch Technologies, Inc. | Computer memory back-up |
| US4695946A (en) * | 1984-10-25 | 1987-09-22 | Unisys Corporation | Maintenance subsystem for computer network including power control and remote diagnostic center |
| US4701845A (en) * | 1984-10-25 | 1987-10-20 | Unisys Corporation | User interface processor for computer network with maintenance and programmable interrupt capability |
| US4674038A (en) * | 1984-12-28 | 1987-06-16 | International Business Machines Corporation | Recovery of guest virtual machines after failure of a host real machine |
| US4787031A (en) * | 1985-01-04 | 1988-11-22 | Digital Equipment Corporation | Computer with virtual machine mode and multiple protection rings |
| JPS62154037A (ja) * | 1985-12-26 | 1987-07-09 | Hitachi Ltd | 仮想計算機監視制御方式 |
| US4726024A (en) * | 1986-03-31 | 1988-02-16 | Mieczyslaw Mirowski | Fail safe architecture for a computer system |
| US5130922A (en) * | 1989-05-17 | 1992-07-14 | International Business Machines Corporation | Multiprocessor cache memory system using temporary access states and method for operating such a memory |
| US5008805A (en) * | 1989-08-03 | 1991-04-16 | International Business Machines Corporation | Real time, fail safe process control system and method |
| EP0470322B1 (en) * | 1990-08-07 | 1996-04-03 | BULL HN INFORMATION SYSTEMS ITALIA S.p.A. | Message-based debugging method |
| US5175847A (en) * | 1990-09-20 | 1992-12-29 | Logicon Incorporated | Computer system capable of program execution recovery |
| US5339261A (en) * | 1992-10-22 | 1994-08-16 | Base 10 Systems, Inc. | System for operating application software in a safety critical environment |
-
1993
- 1993-11-22 CA CA002145854A patent/CA2145854A1/en not_active Abandoned
- 1993-11-22 WO PCT/US1993/011355 patent/WO1994012923A2/en not_active Application Discontinuation
- 1993-11-22 AU AU56166/94A patent/AU5616694A/en not_active Abandoned
- 1993-11-22 JP JP6513317A patent/JPH08508352A/ja active Pending
- 1993-11-22 EP EP94901653A patent/EP0671030A1/en not_active Ceased
-
1995
- 1995-03-07 US US08/400,630 patent/US5561767A/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| EP0671030A1 (en) | 1995-09-13 |
| US5561767A (en) | 1996-10-01 |
| AU5616694A (en) | 1994-06-22 |
| WO1994012923A3 (en) | 1994-08-04 |
| CA2145854A1 (en) | 1994-06-09 |
| WO1994012923A2 (en) | 1994-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU703856B2 (en) | Preboot protection for a data security system | |
| CN100489805C (zh) | 运行时间安全保证的自动存储器检测器及其方法 | |
| JPH08508352A (ja) | データ処理システムのための安全臨界プロセッサおよび処理方法 | |
| EP2262259A1 (en) | Method for monitoring execution of data processing program instructions in a security module | |
| CN107506663A (zh) | 基于可信bmc的服务器安全启动方法 | |
| KR100543268B1 (ko) | 컴퓨터 시스템의 보안성을 향상시키는 보안용 코프로세서 | |
| US9778642B2 (en) | Protection unit for a programmable data-processing system | |
| JP2007310688A (ja) | マイクロコンピュータおよびそのソフトウェア改竄防止方法 | |
| US7487350B2 (en) | Fixed client identification system for positive identification of client to server | |
| US11531769B2 (en) | Information processing apparatus, information processing method, and computer program product | |
| JP2564593B2 (ja) | プログラムを機密保護し且つ機密保護されたプログラムを保全制御する方法 | |
| CN109583214B (zh) | 一种安全控制方法 | |
| US11580225B2 (en) | Determine whether to perform action on computing device based on analysis of endorsement information of a security co-processor | |
| CN111783120A (zh) | 一种数据的交互方法、计算设备、bmc芯片及电子设备 | |
| CN115618366B (zh) | 用于服务器的验证方法及装置 | |
| US8429423B1 (en) | Trusted platform modules | |
| Zhao et al. | Gracewipe: Secure and Verifiable Deletion under Coercion. | |
| CN109583196B (zh) | 一种密钥生成方法 | |
| US20230140975A1 (en) | Memory system verification | |
| WO2018194568A1 (en) | Executing processes in sequence | |
| JP2002244757A (ja) | 半導体回路 | |
| CN1269024C (zh) | 保护外围设备附加卡上软件的方法及系统 | |
| CN116467006A (zh) | 一种安全启动方法及计算设备 | |
| US20080189791A1 (en) | Device running with embedded software and method for verifying embedded software license | |
| CN117494232B (zh) | 固件的执行方法和装置、系统、存储介质及电子设备 |