TWI450093B

TWI450093B - 訪問控制裝置、訪問控制方法及訪問控制程序

Info

Publication number: TWI450093B
Application number: TW097133442A
Authority: TW
Inventors: Naoyuki Watanabe; Motonari Yokoshima
Original assignee: Kyoraku Ind Co Ltd
Priority date: 2007-09-03
Filing date: 2008-09-01
Publication date: 2014-08-21
Also published as: TW200912646A; JP4562759B2; KR101449971B1; KR20090024093A; JP2009059303A; CN101382920A; CN101382920B

Description

訪問控制裝置、訪問控制方法及訪問控制程序

本發明係關於一種訪問控制裝置、訪問控制方法及訪問控制程序，其控制對記錄裝置的訪問。上述對記錄裝置的訪問借助於基於特定的指令碼處理數據的數據處理裝置來實行。

先前，提出有用於防止電路板、電路模組、電子設備裝置等數據處理裝置的非法處理的技術。數據處理裝置實施非法動作的原因，例如包括人為的行為引起的非法動作及電性、物理性的錯誤引起的非法動作等。人為的行為可列舉例如更改控制程序和更改認證數據等。並且，人為的行為還可列舉例如以非法的芯片替換數據處理裝置內的芯片(LSI等半導體裝置)，以及在數據處理裝置內追加非法的芯片等行為。上述情況主要是指有非法企圖的人為了讓數據處理裝置實施符合自身利益的處理而實施的情況。

並且，電性、物理性的錯誤可列舉例如在讀出(讀取)指令碼時因位錯等導致芯片所實施處理的指令碼的代碼串發生變化的情況等。這種情況下，有可能因錯誤導致數據處理裝置停止處理，或數據處理裝置的處理失控，不斷地實施用戶不希望的處理。

為了防止上述的非法處理，例如提出有微處理器，其構成為，在由中央處理器(CPU)進行比較的結果認證碼不一致時，運行監視應用程序的執行地址的裝置或者監視應用程序的執行時間的裝置，同時執行應用程序，並在程序超出區域時或者程序執行時間經過特定時間時，停止裝置的運行，而在藉由比較認證碼一致時執行應用程序(例如參照下述專利文獻1)。

並且，例如以寄存器保存程序計數器的值的同時，對保存存儲器上保護區域的地址的列表及保存允許對保護區域進行訪問的指令的地址的列表進行保存，藉由訪問檢測電路基於指令的解讀結果、訪問目的地的地址與列表的地址的比較結果，判定是否是對保護區域的訪問指令。並且，提出有在檢測出對保護區域的訪問指令時，藉由比較電路對寄存器及列表的地址進行比較，在判斷是從不允許對保存區域進行訪問的區域讀出的指令時，輸出禁止信號，從而禁止非法存儲器訪問的技術(例如參照下述專利文獻2)。

專利文獻1：日本專利文獻特開平6－327831號公報專利文獻2：日本專利文獻特開平10－228421號公報

然而，雖然可以根據上述專利文獻1中的技術檢測出程序的更改(或者無意的更改，以下相同)，但是存在無法檢測出微處理器本身被替換成非法的產品，或微處理器的外部追加有非法的芯片等問題。如果是數據處理裝置的所有者等，則可以較輕易地替換成非法產品及追加非法芯片。因此，存在如果不能夠檢測出對非法芯片的替換或非法芯片的追加，就不可能謀求真正防止對芯片的非法操作的問題。

並且，根據上述專利文獻1中的技術，存在無法檢測出並不是更改程序本身，而是更改藉由程序讀寫的數據的非法處理的問題。

並且，根據上述專利文獻2中的技術，存在由於實施指令碼的解讀及程序計數器值的讀入，而使對非法處理的檢測步驟複雜化，開發及設計的難度增大的問題。並且，根據專利文獻2中的技術，存在由於在CPU內裝載有訪問控制功能，而無法應用在使用目前CPU的數據處理裝置中的問題。

本發明的目的在於提供一種解決上述習知技術的問題，可防止數據處理裝置的非法處理的訪問控制裝置、訪問控制方法及訪問控制程序。

為解決上述課題並達成目的，申請專利範圍1所述的發明的訪問控制裝置，是基於特定的指令碼控制處理數據的數據處理裝置對記錄裝置的訪問的訪問控制裝置，該訪問控制裝置的特徵在於，具有：獲取裝置，其獲取有關上述數據處理裝置所執行的指令碼的信息，控制裝置，其基於有關藉由上述獲取裝置所獲取的指令碼的信息，控制上述數據處理裝置對上述記錄裝置的訪問。

根據該申請專利範圍1的發明，可基於數據處理裝置所執行的指令碼，控制數據處理裝置對記錄裝置的訪問。由此，可以防止藉由數據處理裝置的非法處理，非法改寫記錄在記錄裝置的數據，或非法讀出數據。藉由反覆“讀出數據”、“運算數據”、“寫入數據”而實施數據處理。權力要求1的發明藉由控制使“讀出數據”及“寫入數據”僅在執行合法的指令碼時實施，從而可以防止執行非法處理。

並且，權力要求2所述的發明的訪問控制裝置，其特徵在於，在權力要求1所述的發明中，上述獲取裝置獲取上述數據處理裝置所執行的指令碼的代碼串，上述控制裝置在上述代碼串為特定的代碼串時，允許對上述記錄裝置的訪問。

根據該申請專利範圍2的發明，僅在數據處理裝置所執行的指令碼為特定的代碼串時，方可訪問記錄裝置。由此，可以防止藉由執行被非法改寫的指令碼及數據亂碼等導致的錯誤內容的指令碼，非法改寫記錄在記錄裝置的數據，或非法讀出數據。

並且，權力要求3中發明的訪問控制裝置，其特徵在於，在權力要求1或2所述的發明中，上述指令碼記錄在指令碼用記錄裝置，上述獲取裝置獲取上述數據處理部所執行的指令碼的上述指令碼用記錄裝置中的記錄位置信息，上述判斷裝置在上述指令碼的記錄位置為特定的位置時，允許對上述記錄裝置的訪問。

根據該權力要求3的發明，僅在數據處理裝置所執行的指令碼為記錄在特定位置的指令碼時，方可訪問記錄裝置。由此，可以防止藉由執行記錄在非法位置的指令碼，非法改寫記錄在記錄裝置的數據，或非法讀出數據。

並且，權力要求4所述的發明的訪問控制裝置，其特徵在於，在權力要求1至3中的任一項所述的發明中，上述指令碼記錄在指令碼用記錄裝置，且具有運算裝置，其採用記錄在上述指令碼用記錄裝置的指令碼的至少一部分而實施特定的運算，上述獲取裝置獲取藉由上述運算裝置計算的計算值，上述控制裝置在上述計算值為特定值時，允許訪問上述記錄裝置。

根據該申請專利範圍4的發明，可以檢測出記錄在指令碼用記錄裝置的指令碼被非法改寫。

並且，權力要求5所述的發明的訪問控制裝置，其特徵在於，在權力要求1至3中的任一項所述的發明中，上述指令碼記錄在指令碼用記錄裝置，且具有運算裝置，其採用記錄在上述指令碼用記錄裝置的特定的固定值而實施特定的運算，上述獲取裝置獲取藉由上述運算裝置計算的計算值，上述控制裝置在上述計算值為特定值時，允許訪問上述記錄裝置。

根據該申請專利範圍5的發明，可以檢測出指令碼用記錄裝置被替換成非法的記錄裝置。

並且，申請專利範圍6所述的發明的訪問控制裝置，其特徵在於，在權力要求1至5中的任一項所述的發明中，上述控制裝置控制對上述記錄裝置中特定的地址空間的訪問。

根據該申請專利範圍6的發明，可以防止藉由控制對記錄裝置中記錄有機密信息等重要信息的地址空間的訪問，非法改寫或者非法讀出重要的信息。

並且，權力要求7所述的發明的訪問控制裝置，其特徵在於，在申請專利範圍1至6中的任一項所述的發明中，具有報知裝置，其報知上述控制裝置對上述記錄裝置的訪問的控制情況。

根據該申請專利範圍7的發明，在數據處理裝置對記錄裝置的訪問被拒絕時，即，在可能藉由數據處理裝置實施非法訪問時，可將其報知給用戶等，防止數據處理裝置的非法處理。

並且，權力要求8所述的發明的訪問控制方法，它是基於特定的指令碼控制處理數據的數據處理裝置對記錄裝置的訪問的訪問控制方法，其特徵在於，具有：獲取步驟，其獲取有關上述數據處理裝置所執行的指令碼的信息，控制步驟，其基於在上述獲取步驟中所獲取的有關指令碼的信息，控制上述數據處理裝置對上述記錄裝置的訪問。

根據該申請專利範圍8的發明，基於數據處理裝置所執行的指令碼，可以控制數據處理裝置對記錄裝置的訪問。由此，可以防止藉由數據處理裝置的非法處理，非法改寫記錄在記錄裝置的數據，或非法讀出數據。藉由反覆“讀出數據”、“運算數據”、“寫入數據”而實施數據處理。權力要求8的發明藉由控制使“讀出數據”及“寫入數據”僅在執行合法的指令碼時實施，可以防止執行非法處理。

並且，權力要求9所述的發明的訪問控制程序，其特徵在於，使計算機執行權力要求8所述的訪問控制方法。

根據該申請專利範圍9的發明，可基於數據處理裝置所執行的指令碼，控制數據處理裝置對記錄裝置的訪問。由此，可以防止藉由數據處理裝置的非法處理，非法改寫記錄在記錄裝置的數據，或非法讀出數據。藉由反覆“讀出數據”、“運算數據”、“寫入數據”而實施數據處理。權力要求9的發明，藉由控制使“讀出數據”及“寫入數據”僅在執行合法指令碼時實施，可以防止執行非法處理。

以下參照附圖詳細說明本發明的訪問控制裝置、訪問控制方法及訪問控制程序的最佳實施方式。

[第1實施方式]

(數據處理裝置100的硬件構成) 首先，說明第1實施方式的數據處理裝置100的硬件構成。圖1是用於說明數據處理裝置的硬件構成的方塊圖。在以下說明中，以數據處理裝置100為一具體例，說明應用本發明的個人計算機的例子。

在圖1中，數據處理裝置100具有：CPU101、ROM102、RAM103、磁盤驅動器104、磁盤105、光盤驅動器106、光盤107、音頻I/F(接口)108、麥克風109、揚聲器110、輸入裝置111、視頻I/F112、顯示器113、通信I/F(接口)114和外部連接用I/F115。並且，各構成部分101~115分別藉由總線120相連接。

首先，CPU101負責控制整個數據處理裝置100。ROM102記錄引導程序、通信程序、數據分析程序等程序。並且，RAM103作為CPU101的工作區域使用。

磁盤驅動器104根據CPU101的控制，控制磁盤105讀取/寫入數據。磁盤105記錄在磁盤驅動器104的控制下所寫入的數據。磁盤105例如可使用HD(硬盤)及FD(軟盤)。

光盤驅動器106根據CPU101的控制，控制光盤107讀取/寫入數據。光盤107是根據光盤驅動器106的控制讀出數據的裝卸自如的記錄裝置。光盤107也可以使用可寫入的記錄裝置。並且，該可裝卸的記錄裝置也可以是光盤107以外的MO、存儲卡等。

音頻I/F108與音頻輸入用麥克風109及音頻輸出用揚聲器110相連接。麥克風109所接收的聲響在音頻I/F108內進行A/D轉換。並且，從揚聲器110輸出聲響。並且，輸入裝置111可列舉具有用於輸入文字、數值、各種指示等的複數個鍵的遙控器、鍵盤、鼠標、觸模屏等。

視頻I/F112與顯示器113相連接。視頻I/F112，具體地講，基於例如控制整個顯示器113的圖形控制器，暫時性記錄可立即顯示的圖像信息的VRAM(Video RAM；視頻隨機存取記憶器)等緩衝存儲器和從圖形控制器輸出的圖像數據，由顯示控制顯示器113的控制IC等構成。

顯示器113中顯示圖標、光標、菜單、窗口或者文字、圖像等各種數據。該顯示器113例如可採用CRT、TFT液晶顯示器及等離子顯示器等。

通信I/F114連接到網絡，並具有網絡與CPU101之間接口的功能。

外部連接用I/F115是用於連接外部設備的接口類。外部連接用I/F115與外部設備的連接，既可以採用電纜等有線連接，也可以採用無線連接。外部連接用I/F115例如由專用的連接電纜的端口、無線通信用端口等構成。

下面，說明數據處理裝置100的數據處理單元200的功能性構成。數據處理單元200在圖1所示的數據處理裝置100的硬件構成中，功能性地描述為實施實質性數據處理的構成。圖2是用於說明第1實施方式中數據處理單元的功能性構成的方塊圖。數據處理單元200由數據處理部210、數據供給部220、數據記錄部230和指令碼記錄部240構成。另外，構成數據處理單元200的各個部分例如在同一電路板上或同一模塊(半導體裝置等)內構成。

數據處理部210例如是CPU101，讀出(讀取)記錄在後述指令碼記錄部240的指令碼(更詳細地說，是指令碼的代碼串)，並根據指令碼藉由控制部211進行各種數據處理。數據處理部210由控制部211、運算部212及寄存器213構成。控制部211向連接數據處理裝置100的各個構成部分的總線120輸出信號，並讀寫數據，從而控制整個數據處理裝置100的動作。運算部212對於後述的寄存器213所讀入的數據進行各種運算。寄存器213暫時性地保存藉由運算部212所處理的數據，並保存從後述指令碼記錄部240讀出的指令碼及記錄有這些指令碼的地址。

數據供給部220例如是亂數生成器及運算電路等，藉由運算部221生成、計算及獲取用於在數據處理部210進行處理的數據。數據供給部220具有記錄在運算部221生成或者計算的數據的寄存器222。並且，藉由訪問控制部223控制對記錄在寄存器222的數據的訪問。

訪問控制部223控制對記錄在寄存器222的數據的讀出(訪問)及向寄存器222的數據的寫入。具體地講，訪問控制部223監視數據處理部210所執行的指令碼，並僅在正確地執行事先設定好的指令碼時，允許讀出記錄在寄存器222的數據及向寄存器222寫入數據。

更具體地講，訪問控制部223監視例如在數據處理部210執行的指令碼中伴隨對寄存器222的訪問的指令的指令碼的記錄源(在指令碼記錄部240的地址)及指令碼的代碼串。並且，訪問控制部223例如在數據處理部210執行的指令是記錄在事先允許的地址內的指令碼且是事先允許的代碼串時，允許對記錄在寄存器222的數據的訪問及向寄存器222寫入數據。另外，訪問控制部223既可以同時監視地址及代碼串中的兩者，也可以僅監視其中之一。並且，作為允許的指令碼而設定的指令碼，既可以是單數，也可以是複數。

數據記錄部230是ROM102、磁盤105、光盤107等，記錄藉由數據處理部210所處理的數據及從其他設備獲取的數據、程序數據等。數據記錄部230由記錄區域231及訪問控制部232構成。記錄區域231保存記錄在數據記錄部230的數據。訪問控制部232控制對記錄在記錄區域231 的數據的訪問及向記錄區域231的數據的寫入。具體地講，訪問控制部232與訪問控制部223同樣地監視數據處理部210所執行的指令碼。並且，訪問控制部232僅在正確地執行事先設定好的指令碼時，允許對記錄在記錄區域231的數據的訪問。

另外，在上述說明中，採用了數據供給部220與數據記錄部230分離的構成，但是也可以使牠們構成為一體。並且，在數據供給部220和數據記錄部230分別設置訪問控制部223、232，但是也可以構成為僅在其中任意一方設置訪問控制部。並且，連接數據處理部210的控制部211與訪問控制部223、232的路徑，既可以是物理性地同一的路徑，也可以是雙重化的個別路徑。

指令碼記錄部240是ROM102及磁盤105、光盤107等，記錄數據處理部210所執行的指令的指令碼。數據處理部210讀出記錄在指令碼記錄部240的指令碼，並根據指令碼進行各種數據處理。指令碼記錄部240如圖2所示，既可以與數據處理部210分開設置，也可以設在數據處理部210的內部。

這裡，採用圖3說明指令碼記錄部240的結構。圖3是模式性地說明指令碼記錄部的結構之一例的說明圖。在指令碼記錄部240的記錄區域310，每個特定的區域(例如每1字節)分別配置有相應的地址。在圖示的例子中，記錄區域310配置有地址0x000~0xNNN，每個地址表示相當於1字節的區域。例如，在地址0x100中所表示的區域存儲有指令代碼串0xABCDEFGH。並且，在地址0x104中所表示的區域存儲有指令代碼串0xJKLMNOPQ。數據處理部210讀出存儲於以指定的地址開始的區域內的指令碼，並按照所讀出的指令碼實施處理。

(數據處理部210的數據處理之一例) 接著，說明數據處理部210實施的數據處理之一例。圖4是用於說明數據處理部所實施的數據處理之一例的順序的流程圖。數據處理部210實施各種處理，但是，在這裡以對於與數據處理裝置100相連接的連接設備等實施認證處理的情況為例進行說明。

數據處理裝置100可連接各種設備及裝置，但是也可能非法連接用戶及廠商未認可的設備及裝置，發生數據處理裝置100的錯誤運行，或者存儲在數據處理裝置100的數據被更改、竊取。為防止上述情況的發生，數據處理裝置100定期地對與數據處理裝置100相連接的連接設備等進行認證處理。

在圖4的流程圖中，數據處理部210首先從所連接的設備及裝置(以下稱為“連接設備”)獲取認證用數據(步驟S401)，並利用所獲取的認證用數據藉由數據供給部220生成校驗值V(步驟S402)。校驗值V是在認證連接設備時使用的值。數據供給部220在運算部221生成校驗值V，並存儲在寄存器222。另外，也可以將在步驟S401中獲取的認證用數據直接作為校驗值V。

然後，數據處理部210從數據供給部220的寄存器222 讀出校驗值V(步驟S403)。數據處理部210將讀出的校驗值V暫時存儲在寄存器213(步驟S404)。並且，數據處理部210將校驗值V寫入數據記錄部230的記錄區域231(步驟S405)。接著，數據處理部210藉由數據供給部220生成期望值P(步驟S406)。期望值P是用於核對校驗值V的值。數據供給部220在運算部221生成期望值P，並存儲在寄存器222。

數據處理部210從數據供給部220的寄存器222讀出期望值P(步驟S407)，進而，從數據記錄部230的記錄區域231讀出校驗值V(S408)。並且，數據處理部210核對校驗值V與期望值P(步驟S409)，並判斷核對結果是否正確(步驟S410)。核對結果正確與否，例如根據校驗值V與期望值P之間是否構成特定的關係(例如校驗值V＝期望值P等)而判斷。

當核對結果正確時(步驟S410：Yes)，數據處理部210藉由認證連接設備(步驟S411)，結束本流程圖的處理。另一方面，當核對結果不正確時(步驟S410：No)，數據處理部210不認證連接設備(步驟S412)，結束本流程圖的處理。在未認證連接設備的情況下，數據處理部210例如在數據處理裝置100的顯示器113上顯示錯誤信息，報知連接有非法設備，切斷與連接設備的連接。

根據上述處理，數據處理部210對與數據處理裝置100相連接的連接設備等實施認證處理。然而，例如存在具有惡意的人(以下稱為“惡意者”)更改認證處理以使非法設備被認證的情況。

例如，在步驟S405中，向數據記錄部230的記錄區域231寫入有校驗值V。這時，原來暫時存儲在數據處理部210的寄存器213的校驗值V(步驟S404)被寫入記錄區域231。但是，有可能是藉由非法的指令碼將記錄在寄存器213以外位置(或者，在寄存器213中存儲有校驗值V的區域以外的區域)的值寫入記錄區域231。

並且，例如在步驟S403中，從數據供給部220的寄存器222讀出校驗值V。這時，可以將讀出的值作為記錄在寄存器222以外的位置(或者，在寄存器222中存儲有校驗值V的區域以外的區域)的值。這些非法處理例如可以藉由非法的補丁等使數據處理部210分別實施處理而實現。

如果實施上述非法處理，則不能實施正確的認證處理，從而可能與非法設備連接。因此，在數據處理單元200中，藉由分別在數據供給部220設置訪問控制部223和在數據記錄部230設置訪問控制部232，控制數據處理部210對寄存器222及記錄區域231的訪問(寫入、讀出)。由此，防止因執行非法的指令碼而認證非法的設備。

(訪問控制部223、232的訪問控制) 圖5是用於說明訪問控制部的訪問控制概要的說明圖。另外，在圖5中，為便於說明而部分省略了數據處理單元200的構成。

如圖5所示，例如在數據記錄部230的訪問控制部232 中允許的指令碼，設為存儲在指令碼記錄部240的地址0x104的代碼串0xJKLMNOPQ(寫入指令)。這時，在通常時的指令碼記錄部240，在地址0x104記錄有代碼串0xJKLMNOPQ(寫入指令)。數據處理部210，在讀出並執行存儲在通常的指令碼記錄部240的地址0x104的讀取指令的代碼串0xJKLMNOPQ時(箭頭α)，訪問控制部232允許向記錄區域231寫入數據。

然而，例如非法處理例1所示，假設在指令碼記錄部240的地址0x200寫入了非法指令碼的代碼串0xPOIUYTRE(寫入指令)。這時，數據處理部210即使讀出並執行地址0x200的代碼串0xPOIUYTRE(寫入指令)(箭頭β)，但是由於不是從被允許的地址讀出的指令，所以訪問控制部232不允許對記錄區域231的訪問(拒絕寫入指令)。

並且，例如非法處理例2所示，假設在指令碼記錄部240的地址0x080插入了非法的指令碼的代碼串0xLKJHGFDS。該非法的指令碼例如是更改寫入記錄區域231的值的指令。但是，因插入了該指令，導致被允許指令的存儲位置偏離，代碼串0xJKLMNOPQ(寫入指令)的存儲位置變為地址0xl08。

因此，數據處理部210即使讀出並執行地址0x108的代碼串0xJKLMNOPQ(寫入指令)(箭頭γ)，但是由於不是從被允許的地址讀出的指令，所以訪問控制部232不允許對記錄區域231的訪問(拒絕寫入指令)。由此，即使因非法的代碼串0xLKJHGFDS導致寫入值的變化，該值也不會寫入記錄區域231，而可以防止非法處理。

並且，在訪問控制部223、232對寄存器222等的訪問被拒絕的情況下，數據處理部210也可以報知其有正在進行非法處理的可能性。具體地講，例如在顯示器113上顯示錯誤信息，或從麥克風109音頻輸出錯誤信息等。並且，例如也可以藉由通信I/F114向數據處理裝置100的製造商及管理者等傳送錯誤信息。由此，可以讓用戶等意識到數據處理單元200有被非法處理的可能，從而使他們采取調查及修理等措施。

圖6是用於說明訪問控制部的數據認證處理順序的流程圖。這裡，說明圖4中的步驟S403~S405(從數據供給部220讀出校驗值V至寫入數據記錄部230)的處理中訪問控制部223、232的處理。在圖6的流程圖中，數據供給部220的訪問控制部223待機至數據處理部210執行存儲在寄存器222的數據(在圖4的步驟S402中生成的校驗值V)的讀取指令(步驟S601：No的循環)。

如果數據處理部210執行讀取指令(步驟S601：Yes)，則訪問控制部223判斷數據處理部210所執行的指令是否是允許的讀取指令(步驟S602)。是否是允許的讀取指令，例如根據存儲有讀取指令的地址(讀取指令時的地址)是否是允許的地址，或者數據處理部210所執行的指令的代碼串是否與允許的指令的代碼串一致而判斷。

在數據處理部210所執行的指令是允許的讀取指令時 (步驟S602：Yes)，訪問控制部223將存儲在寄存器222的數據(校驗值V)輸出至數據處理部210(步驟S603)。所輸出的數據暫時存儲在數據處理部210的寄存器213。

另一方面，在數據處理部210所執行的指令為非允許的讀取指令時(步驟S602：No)，不向數據處理部210輸出存儲在寄存器222的數據(校驗值V)，移至步驟S604。這時，在數據處理部210的寄存器213中，因為沒有來自數據供給部220的輸出，所以存儲“0000”、“1111”等非合法值。在將該非合法值設定為特定的值且該值被存儲在寄存器213時，也可以報知其有正在進行非法處理的可能性。這裡，所謂特定的值，是指複數種固定值群及事先設定變動規則的變動值等。

並且，所謂其有正在進行非法處理的可能性的報知，例如是指在數據處理裝置100的顯示器113上顯示特定的信息及標記等，或者從麥克風109輸出特定的音頻信息及效果音等。並且，例如藉由通信I/F114及外部連接用I/F115，也可以向其他設備傳送(輸出)特定的信息，或者輸出控制信號以使上述的信息顯示及音頻輸出在其他設備上實施。

接著，數據記錄部230的訪問控制部232待機至數據處理部210執行存儲在寄存器222的數據(校驗值V)的寫入指令(步驟S604：No的循環)。如果數據處理部210執行寫入指令(步驟S604：Yes)，則訪問控制部223判斷數據處理部210所執行的指令是否是允許的寫入指令(步驟S605)。判斷是否是允許的寫入指令，藉由與步驟S602的判斷相同的處理進行。

在數據處理部210所執行的指令是允許的寫入指令時(步驟S605：Yes)，訪問控制部232將暫時存儲在數據處理部210的寄存器213的數據寫入記錄區域231(步驟S606)，並結束本流程圖的處理。另一方面，在數據處理部210所執行的指令為非允許的寫入指令時(步驟S605：No)，不向記錄區域231寫入數據，結束本流程圖的處理。這時，數據處理部210也可以向用戶等報知其有正在進行非法處理的可能性。

根據上述的處理，訪問控制部223、232監視數據處理部210所執行的指令碼，並使其無法訪問因執行非法指令碼而產生的數據。由此，可以防止因執行非法的指令碼而認證非法設備。

例如，存在以晶體管電平解析並複製數據處理單元200的各個裝置，以及正規的指令碼記錄部240的存儲器型號被解析並被替換成寫入非法指令碼的相同型號存儲器的非法處理的情況。採用通常的非法處理檢測方法，很難檢測出上述的非法處理。但是，在數據處理單元200中，由於是監視指令碼的代碼串及存儲地址，所以可以檢測出上述非法處理。

並且，根據數據處理單元200，除可以防止上述人為的非法處理以外，還可防止因數據亂碼等電性原因所導致的數據處理裝置100的錯誤動作。圖7是用於說明訪問控制部的訪問控制的其他例的說明圖。如圖7所示，例如設在數據記錄部230的訪問控制部232中允許的指令碼為存儲在指令碼記錄部240的地址0x100的讀取指令及存儲在地址0x104的寫入指令。並且，在指令碼記錄部240的地址0x100中記錄有代碼串0xABCDEFGH(讀取指令)。

這裡，當數據處理部210讀出指令碼時，有可能出現在指令碼中產生數據亂碼(“1”變成“0”等)的情況。其結果，存在數據處理部210從地址0x100讀出的代碼串0xABCDEFGH(讀取指令)，例如被替換成代碼串0xABCDEFGI(寫入指令)的情況(箭頭δ)。這種情況下，如果數據處理裝置100執行代碼串0xABCDEFGI(寫入指令)，則數據記錄部230的數據有可能以意想不到的形式被改寫。

但是，在訪問控制部232中，由於監視數據處理部210執行的指令碼，所以即使作為寫入指令執行了指令A’(箭頭ε)，也由於該指令的讀取地址是0x100，所以不允許向記錄區域231的寫入。並且，這時，不僅可以監視讀取地址，而且還可以監視數據處理部210所執行的指令代碼串。

如上述說明，根據數據處理單元200，即使是在讀出指令碼時出現數據亂碼的情況，仍可以防止因錯誤動作而刪除重要數據。並且，如果應用在上述的讀取指令上，還可以防止因錯誤動作而讀出重要的數據。

並且，根據數據處理單元200，由於並不實施指令碼的解讀和程序計數器值的讀入，而僅實施位模式的比較，所以不僅簡化了檢測非法處理的步驟，還可以降低開發和設計的難度。並且，根據數據處理單元200，由於未在數據處理部210內搭載訪問控制功能，所以還可以應用於採用目前數據處理部210(CPU等)的數據處理裝置。進而，根據數據處理單元200，可以將藉由數據處理部210訪問的對象的構成(數據記錄部230等)為主體，決定保密強度。

[第2實施方式]

在第1實施方式中，訪問控制部監視了指令碼及存儲指令碼的地址。在以下說明的第2實施方式中，訪問控制部不僅監視指令碼及存儲指令碼的地址，而且還監視從指令碼計算的校驗值。由此，可以提高訪問控制部的檢測非法的精度。另外，在以下說明中，對於與第1實施方式相同的構成附加相同的標號，省略詳細的說明。

圖8是用於說明第2實施方式的數據處理單元的功能性構成的方塊圖。第2實施方式中的數據處理單元800與第1實施方式中的數據處理單元200相同，是功能性地說明圖1所示的數據處理裝置100的硬件構成中實施實質性數據處理的構成的裝置。數據處理單元800由數據處理部210、數據供給部220、數據記錄部230、指令碼記錄部240及校驗值計算部810構成。數據處理部210、數據供給部220、數據記錄部230的各個構成均與第1實施方式中的數據處理單元200相同。

校驗值計算部810從指令碼記錄部240獲取數據處理部210所執行的指令碼的代碼串。並且，從由指令碼記錄部240獲取的代碼串計算檢查指令碼的合法性的校驗值。藉由校驗值計算部810計算的校驗值，用於控制訪問控制部223、232向寄存器222及記錄區域231讀寫數據。

在這裡，所謂校驗值是指例如從記錄在指令碼記錄部240的全部(或者一部分)指令碼中計算的值。校驗值計算部810例如對記錄在指令碼記錄部240的所有指令碼，藉由實施依據雜湊函數的運算、觭偶校驗、循環冗余校驗(Cyclic Redundancy Check；CRC)、校驗和等的錯誤校驗運算，計算校驗值。這樣，校驗值從實際記錄在指令碼記錄部240的指令碼計算。因此，藉由利用校驗值進行核對，可以檢測出記錄在指令碼記錄部240的指令碼的非法改寫及指令碼記錄部240的非法替換等。

訪問控制部223、232如第1實施方式中的說明，藉由監視數據處理部210所執行的指令碼，判斷是否正確地執行事先設定的指令碼。並且，在第2實施方式中，判斷由校驗值計算部810計算的校驗值是否等於校驗值的期望值(或者是否處於特定的關係)。這樣，藉由組合指令碼本身的核對與校驗值的核對，可以更準確地檢測出非法處理。

訪問控制部223、232用於核對的期望值，例如事先記錄在(製造時等)訪問控制部223、232中。並且，也可以從其它構成部分將訪問控制部223、232用於核對的期望值傳送至訪問控制部223、232。所謂其他構成部分，例如是指數據處理部210及用於生成校驗值的期望值的專用處理部(以下稱為“期望值計算部”)等。數據處理部210與期望值計算部，既可以將事先記錄的期望值傳送至訪問控制部223、232，也可以在每次核對處理中生成期望值。並且，也可以藉由外部連接用I/F115(參照圖1)，從外部設備向數據處理部210及期望值計算部傳送計算期望值中必須的係數等。這樣，如果不事先向訪問控制部223、232記錄校驗值用數據的期望值而從其他構成部分獲取，則可能後發性地更改指令碼記錄部240的校驗值。

下面，說明校驗值計算部810的校驗值計算處理。圖9是用於說明校驗值計算部的校驗值計算處理的順序的流程圖。在圖9的流程圖中，校驗值計算部810待機至從訪問控制部223、232接收校驗值的獲取要求(步驟S901：No的循環)。

如果接收校驗值的獲取要求(步驟S901：Yes)，則校驗值計算部810從指令碼記錄部240讀出全部(或者一部分)指令碼(步驟S902)，並對讀出的值實施檢錯用的運算，從而計算校驗值(步驟S903)。並且，校驗值計算部810將在步驟S903中藉由運算計算的值(校驗值)傳送至訪問控制部223、232(步驟S904)，從而結束本流程圖的處理。

另外，在圖9的流程圖中，校驗值計算部810在從訪問控制部223、232接收校驗值的獲取要求的基礎上計算了校驗值，但是並不限於此。例如，在事先設定的條件成立的情況下，校驗值計算部810生成校驗值，也可以使校驗值傳送至訪問控制部223、232。

接著，說明訪問控制部223、232的數據認證處理。圖10及圖11是用於說明訪問控制部的數據認證處理順序的流程圖。這裡，與圖6的流程圖相同，說明圖4的步驟S403~S405(從數據供給部220讀出校驗值V至寫入數據記錄部230)的處理中的訪問控制部223、232的處理。在圖10的流程圖中，數據供給部220的訪問控制部223待機至數據處理部210執行存儲在寄存器222的數據(在圖4的步驟S402中生成的校驗值V)的讀取指令(步驟S1001：No的循環)。

如果數據處理部210執行讀取指令(步驟S1001：Yes)，則訪問控制部223判斷數據處理部210所執行的指令是否是允許的讀取指令(步驟S1002)。在數據處理部210執行的指令是允許的讀取指令時(步驟S1002：Yes)，訪問控制部223對校驗值計算部810發送校驗值的獲取要求(步驟S1003)，並從校驗值計算部810接收校驗值(步驟S1004)。這時，訪問控制部223也可以獲取被分割成複數個的校驗值。這種情況下，訪問控制部223在整合被分割成複數個的校驗值後實施後續處理。

接著，訪問控制部223獲取校驗值的期望值(步驟S1005)。訪問控制部223，例如藉由讀出事先記錄的期望值或接收數據處理部210及期望值計算部生成的期望值，而獲取期望值。

並且，訪問控制部223判斷在步驟S1004中接收的校驗值與在步驟S1005中獲取的期望值是否一致(步驟S1006)。另外，訪問控制部223也可以不判斷校驗值與期望值是否一致，而是判斷校驗值與期望值是否處於特定的關係。所謂特定的關係，例如是指對校驗值實施的特定運算的值等於期望值等的關係。

在校驗值與期望值一致時(步驟S1006：Yes)，訪問控制部223向數據處理部210輸出存儲在寄存器222的數據(校驗值V)(步驟S1007)。被輸出的數據暫時存儲在數據處理部210的寄存器213。另一方面，在校驗值不一致時(步驟S1006：No)或者數據處理部210所執行的指令不是允許的讀取指令時(步驟S1002：No)，訪問控制部223不向數據處理部210輸出存儲在寄存器222的數據(校驗值V)，移至步驟S1008(參照圖11)。

移至圖11的說明，數據記錄部230的訪問控制部232待機至數據處理部210執行存儲在寄存器222的數據(校驗值V)的寫入指令(步驟S1008：No的循環)。如果數據處理部210執行寫入指令(步驟S1008：Yes)，則訪問控制部223判斷數據處理部210所執行的指令是否是允許的寫入指令(步驟S1009)。

在數據處理部210所執行的指令是允許的寫入指令時(步驟S1009：Yes)，訪問控制部232對校驗值計算部810發送校驗值的獲取要求(步驟S1010)，並從校驗值計算部810接收校驗值(步驟S1011)。接著，訪問控制部232獲取校驗值的期望值(步驟S1012)。

並且，訪問控制部223判斷在步驟S1011中接收的校驗值與在步驟S1012中獲取的期望值是否一致(步驟S1013)。步驟S1010~S1013的處理，藉由與步驟S1003~S1006(參照圖10)相同的處理而實施。

在校驗值與期望值一致時(步驟S1013：Yes)，訪問控制部232，向紀錄區域231寫入暫時存儲在數據處理部210的寄存器213的數據(步驟S1014)，從而結束本流程圖的處理。另一方面，在校驗值與期望值不一致時(步驟S1013：No)或者數據處理部210所執行的指令並非允許的寫入指令時(步驟S1009：No)，不向記錄區域231寫入數據，而結束本流程圖的處理。這時，數據處理部210也可以報知其可能在進行非法處理。

另外，在上述說明中，設定為從指令碼計算校驗值，但是也可以採用例如記錄在指令碼記錄部240的數據(以下稱為“校驗值用數據”)代替指令碼，計算校驗值。所謂校驗值用數據，例如是指記錄在指令碼記錄部240的固定數據。另外，校驗值用數據，並不限於固定數據，例如也可以是能夠正確地預測變動前後的數據值的起伏數據。所謂能夠正確地預測變動前後的數據值，具體地講，是指例如變動範圍被確定的情況及變動規則被確定的情況等。

校驗值計算部810，讀出記錄在指令碼記錄部240的校驗值用數據，並計算校驗值。並且，訪問控制部223、232事先記錄校驗值用數據的期望值。訪問控制部223、232從校驗值用數據的期望值計算校驗值，並判斷是否與校驗值計算部810計算的校驗值一致(或者是否處於特定的關係)。另外，也可以同時採用從指令碼計算的校驗值和從校驗值用數據計算的校驗值，實施非法處理的檢測。

如上述說明，根據第2實施方式，與指令碼本身的監視(第1實施方式)一起，判斷數據處理部210所執行的指令碼的校驗值是否與藉由校驗值計算部810計算的校驗值相同(或者是否處於特定的關係)。這樣，藉由組合指令碼其本身的核對與校驗值的核對，可更準確地檢測非法處理。

並且，依據校驗值的對非法處理的檢測，由於和指令碼本身的監視(第1實施方式)一起實施，所以即使在校驗值的計算中採用處理附加較少的檢錯方式(例如騎偶校驗等)，也可以得到一定的精度。

另外，在上述的說明中，以數據處理裝置100為例說明瞭應用本發明的個人計算機的情況，但是，本發明也可以應用於例如手機終端、家庭用遊戲機等各種家庭用電子設備、自動售票機及遊戲機等各種商業用電子設備。這種情況下，將上述說明中的數據處理裝置100換讀成各種電子設備即可。

並且，在本實施方式中說明的訪問控制方法，可以藉由以個人計算機或虛擬計算機等的計算機執行事先準備的程序來實現。該程序被記錄在可以在硬盤、軟盤、CD－ROM、MO、DVD等計算機讀取的記錄裝置，並藉由由計算機從記錄裝置中讀出而執行。並且，該程序也可以是藉由因特網等網絡能夠發布的傳播媒體。

[發明效果]

根據本發明的訪問控制裝置、訪問控制方法及訪問控制程序，可防止數據處理裝置的非法處理。

[產業利用性]

如上所述，本發明的訪問控制裝置、訪問控制方法及訪問控制程序，有用於對記錄認證用信息、計費信息及個人信息等記錄媒體的訪問控制，特別適用於實施認證處理的認證服務器、實施計費處理的計費服務器及處理個人信息的企業用終端裝置等。

200、800‧‧‧數據處理單元

210‧‧‧數據處理部

211‧‧‧控制部

212‧‧‧運算部

213、222‧‧‧寄存部

220‧‧‧數據供給部

221‧‧‧運算部

223、232‧‧‧訪問控制部

230‧‧‧數據記錄部

231‧‧‧記錄區域

240‧‧‧指令碼記錄部

810‧‧‧校驗值計算部

圖1是用於說明數據處理裝置的硬件構成的方塊圖。

圖2是用於說明第1實施方式的數據處理單元的功能性構成的方塊圖。

圖3是用於模式性地說明指令碼記錄部的結構之一例的說明圖。

圖4是用於說明數據處理部實施的數據處理之一例的順序的流程圖。

圖5是用於說明訪問控制部的訪問控制的概要的說明圖。

圖6是用於說明訪問控制部的數據認證處理順序的流程圖。

圖7是用於說明訪問控制部的訪問控制的其他例的說明圖。

圖8是用於說明第2實施方式的數據處理單元的功能性構成的方塊圖。

圖9是用於說明校驗值計算部的校驗值計算處理順序的流程圖。

圖10是用於說明訪問控制部的數據認證處理順序的流程圖。

圖11是用於說明訪問控制部的數據認證處理順序的流程圖。

200‧‧‧數據處理單元