WO2005020069A1

WO2005020069A1 - コンピュータシステムのcpu（中央処理装置）

Info

Publication number: WO2005020069A1
Application number: PCT/JP2004/012165
Authority: WO
Inventors: Kiyoto Yui
Original assignee: Denki Hompo Ltd.
Priority date: 2003-08-25
Filing date: 2004-08-25
Publication date: 2005-03-03
Also published as: JPWO2005020069A1

Abstract

【課題】　セキュリティホールの発生原因と言われるバッファオーバーラン現象を防止し、コンピュータウイルスや不正アクセスを抑制することのできるコンピュータシステムのＣＰＵ（中央処理装置）を提供する。【解決手段】　記憶装置のどのアドレスまで現時点で使用しているかを示し、記憶装置を使用するごとに、未使用の記憶装置のアドレスを示すように値を演算する機能を有するスタックレジスタ装置を複数備えるコンピュータシステムのＣＰＵ（中央処理装置）１００であって、プログラムが使用するデータ処理に用いる第一のスタックレジスタ装置Ｒ１と、サブルーチンコールを行う際に書き込む戻りアドレスの格納に用いる第二のスタックレジスタ装置Ｒ３とを少なくとも備える。

Description

明細書

コンピュータシステムの CPU (中央処理装置）

技術分野

[0001] 本発明は、コンピュータウィルスに感染しにくい、安全性の高いコンピュータシステムの CPU (中央処理装置）に関する。

背景技術

[0002] インターネットの普及に従い、企業、個人用途のコンピュータシステムの多くが、ネットワークに接続し、相互にデータのやり取りをするに至っている。

し力しながら、コンピュータシステムに対し、外部より悪意あるネットワーク利用者が接続し、システム管理者が気付かないうちに、コンピュータシステムが書き換えられる問題が頻繁に発生している。また、所謂コンピュータウィルスと呼ばれる悪意ある実行形式のデータ（プログラム）がシステムに書き込まれるという問題も多ぐこれらは深亥 IJな社会問題となっている。

尚、コンピュータシステムや、悪意あるネットワーク接続者による行為については、非特許文献 1一 4にそれぞれ記載されている。

非特許文献 1 :「ハッカー 'プログラミング大全」， UNYUN著

非特許文献 2 :「 OPERATING SYSTEM Internals andDesignJ , William S talings, Ph. D.著

非特許文献 3 :「インテル'ァーキテクイチヤ最適化マニュアル」，米インテル社非特許文献 4 :「IA— 32 Intel Architecture Software Developer' s Manua

U，米インテル社

発明の開示

発明が解決しょうとする課題

[0003] 前記したような悪意あるネットワーク接続者による行為は、コンピュータシステムに存在するセキュリティホールを利用して行われる。このセキュリティホールとは、インターネットを通じた不正アクセス及び、コンピュータウィルスによりコンピュータシステムを破壊改造するための警備の穴である。現在では、世界中のコンピュータシステムにおいて、多数のセキュリティホールが存在し、前記したように、これを利用した不正アクセス、コンピュータウィルスが社会問題となっている。

[0004] セキュリティホールの発生原因の一つは、バッファオーバーラン現象にあると言われている。このバッファオーバーラン現象について説明すると、例えば、ある電子メールの送付ソフトにおいて、送付先の入力可能なメールアドレスの最大文字数が 50文字とする。

ここで、送付先のメールアドレスに、 1000文字の長さのメールアドレスを指定すると、（想定していなレ、） 50文字を超えた 950文字のデータがメモリ領域を超えて書き込まれ、これによりコンピュータの制御が破綻を来たす。このような現象がバッファォーバーラン現象と呼ばれてレ、る。

[0005] 更に、バッファオーバーラン現象について、詳細に説明する。図 1は、一般的なコンピュータにおいて、プログラムを実行する際に使用する記憶装置 (メモリとも呼ぶ）の構成を模式的に示した図である。

[0006] 図 1のメモリ構成のうち、プログラムは領域 Al lに格納される。そして、プログラムのデータ処理に使用する領域として、領域 A12、 A13、 A14を確保する。このうち、領域 A12は、プログラム全体で使用するデータの読み書きに使用する。領域 A13は、プログラムを実行する上で、適時データ領域を確保したいときに使用し、プログラムの実行中にメモリ中の領域が伸縮する。また、領域 A14は、スタックメモリと呼称する特殊なメモリ領域であって、プログラムを構成するサブルーチンと呼ばれる小さレ、構成のプログラムの実行管理と、サブルーチンが一時的に使用するデータの管理を行うための領域である。

尚、サブルーチンとは当文書において次のように定義する。

サブルーチンとはスタックメモリに事前にサブルーチンを実行し終わったら実行すベき次のプログラムの開始アドレスを格納して実行するプログラムと規定するものとする。サブルーチンコールとはこのサブルーチンを呼び出すこと、つまり実行する事を示すものとする。

[0007] 図 2に、サンプルプログラムと共に、領域 A14のスタックメモリの働きを模式的に示す。尚、サンプルプログラムは c言語により記述されている。

前記サンプルプログラムは、プログラム 12行目で testという名称のサブルーチン（子プログラム）を呼び出し、それを実行する構成となっている。また、そのサブルーチン実行時に、引数と呼ばれるデータを 4つ渡している。即ち、その引数は、 'Τ'、 Έ' 、 ' S '、 'T'の 4つである。これらのデータは、スタックメモリ上の領域 Α21、 Α22、 Α2 3、 Α24に書き込まれる。

[0008] このサンプノレプログラム実行時において、前記引数がスタックメモリに書き込まれた後、サブルーチン' test'に制御が移行する。また、このとき、サブルーチン実行終了後にプログラム 13行目に制御が戻るように、スタックメモリの領域 A25に、プログラム 1 3行目を示すアドレスデータを記憶する。

[0009] そして、プログラム 14行目力も始まるサブルーチン' test'の実行においては、先ず、プログラム 14行目、 16行目において初期設定が行われる。次いで、 17行目において、変数 sに 'A'という値が代入される。この値は、スタックメモリの領域 A26に書き込まれる。

[0010] そして、プログラム 18行目においては、故意に、変数 sの存在するメモリ領域をアドレス指定し、そこからゼロ（0)を 100文字、メモリに書き込むよう指示している。すなわち、これが実行されると、領域 A21— A26を含め、 100文字分の全ての内容が、ゼロに上書きされ、その結果プログラムの流れが破壊される。

[0011] すなわち、プログラム 19行目において、本来ならば、領域 A25に格納されている、呼び出し元の 13行目のアドレスに戻り、 13行目力の処理に続くのである力実際には、領域 A25にはゼロが書き込まれており、プログラムはゼロ番地から実行しようとする。その結果、コンピュータに障害が生じる。

[0012] 以上、説明したように、本来設定されたメモリの領域を超えて不正に書き込まれる現象をバッファオーバーランと呼んでいる。尚、このような脆弱性が現在の CPU (中央処理装置）には存在しており、コンピュータウィルスや不正アクセスは、前記した現象を利用してコンピュータシステムに不正を働く。また、実際のコンピュータウィルスや不正アクセスにあっては、メモリへの上書きにおいて、自身に都合のょレ、メモリアドレスを書き込み、ここにプログラムの制御が移行するように仕向け、不正を働くようにしている。

[0013] 本発明は、前記したような事情のもとになされたものであり、セキュリティホールの発生原因と言われるバッファオーバーラン現象を防止し、コンピュータウィルスや不正ァクセスを抑制することのできるコンピュータシステムの CPU (中央処理装置）を提供することを目的とする。

課題を解決するための手段

[0014] 前記した課題を解決するため、本発明に係るコンピュータシステムの CPU (中央処理装置）は、記憶装置のどのアドレスまで現時点で使用しているかを示し、記憶装置を使用するごとに、未使用の記憶装置のアドレスを示すように値を演算する機能を有するスタックレジスタ装置を複数備えるコンピュータシステムの CPU (中央処理装置）であって、プログラムが使用するデータ処理に用いる第一のスタックレジスタ装置と、サブルーチンコールを行う際に書き込む戻りアドレスの格納に用いる第二のスタックレジスタ装置とを少なくとも備えることに特徴を有する。

[0015] このように、アドレス処理を専用に行う第二のスタックレジスタ装置を設け、プロダラムの流れを決定するアドレスデータをそのスタックに格納するよう構成したため、アドレス以外のデータを格納する第一のスタックレジスタ装置が不正に上書きされ、バッファオ一バーフロー現象が生じる危険があってもプログラム全体の流れの不正な変化を防止することができる。

発明の効果

[0016] 本発明によれば、プログラムの不具合により、スタック上のデータを連続上書きし、その内容を破壊したときに、被害をデータ処理用のスタック装置内に限定することができる。その結果、アドレス格納専用スタックの内容を保護し、バッファオーバーフロ一現象が生じる危険があってもプログラム全体の流れの不正な変化を防止することができる。

発明を実施するための最良の形態

[0017] 以下、本発明のコンピュータシステムの CPUに係る実施の形態について説明する。先ず、図 3乃至図 13に基づいて本発明に係る第一の実施の形態について説明する。図 3は、本発明に係る CPUの概略構成図の一例である。この構成は、米国インテル社の IA32と呼ぶ CPUの構成を基本とする。

[0018] 図 3に示す CPU100において、レジスタ 'セット 100aは、 CPUが持つ汎用レジスタのひと揃いを示す。

また、インストラクション ·レジスタ（Instruction Register) 100bは、 CPU100がメモリより読み取った、次に実行する命令を格納し、その内容に従い、 CPUコントロール部 100dが必要とする制御信号を CPU内部および外部に配る。

[0019] ALU (Arithmetic Logical Unit) 100cは、算術論理演算機構である。即ち、 C PU100内部で必要とする論理演算、算術演算を行なう。また、 CPU100内部におレ、てブラックボックスとして存在してレ、る。

アドレス.バッファ（Address Buffer) 100eは、 CPU100が外部バスと接続する時の中継を行なう。即ち、この機構は外部バスを制御するためのアドレス情報の中継を行なう。

また、データ'バッファ（Data Buffer) 100fは、 CPU100が外部バスと接続する時の中継を行なう。即ち、この機構は外部バスを制御するためのデータ情報の中継を行なう。

[0020] 本発明に係る CPU100においては、前記レジスタ ·セット 100aに特徴を有し、例えば IA32が有するレジスタ 'セットの構成を基本とする。図 4は IA32が有するレジスタ' セットの概略構成図、図 5は図 4の構成を基本とするレジスタ 'セット 100aの概略構成図である。

尚、本発明は、スタックレジスタを備えた全ての CPUに適用できる力ここでは、 IA 32を例にとり本発明を説明する。

[0021] 図 4に示す IA32が有するレジスタ.セット 200aは、スタックレジスタ Rl 1 (32ビット表現で ESPのレジスタ）と、プログラムカウンタ R12 (32ビット表現で EIPのレジスタ）を備える。プログラムカウンタ R12は、 CPUがこれから実行したいプログラムのメモリのアドレスを示すものである。

また、図中に示す 32ビット表現名での EAX、 EBX、 ECX、 EDX、 ESI、 EDI、 EBP の各レジスタは、汎用レジスタである。 EAX、 EBX、 EDXは、主に一般的な演算に使用する。 ECXは、一般的な演算に加えてカウンタ処理用に機能の拡張を行っている汎用レジスタである。 ESI、 EDIは、インデックス参照と呼ぶ機能を強化した汎用レジスタである。また、 EBPは、スタックレジスタ R11と連動して使用する機能を強化した沉用レジスタである。

[0022] 図 5に示す CPU100が有するレジスタ.セット 100aは、図 4の構成に、アドレス処理専用スタックレジスタ R3 (第二のスタックレジスタ装置）を追加した構成とする。また、図 4の構成と同様に、スタックレジスタ R1 (第一のスタックレジスタ装置）と、プログラムカウンタ R2を備える。但し、図 5に示すスタックレジスタ R1は、図 4のスタックレジスタ

R11よりも機能を削減された構成となされる。その削減された機能とは、サブルーチンコールの際の戻りアドレスをスタックに格納する処理 (機能）、及びサブルーチンコールを終了するときに格納した戻りアドレスを取得する処理 (機能）である。スタックレジスタ R1におけるその他の機能にっレ、てはスタックレジスタ Rl 1と同様である。

[0023] 尚、従来のコンピュータプログラムとのより高い互換性を保っため、ダミーの戻りアドレスをスタックレジスタ R1に格納するようにしてもよい。但し、この場合、ダミーとしてスタックレジスタ R1に書き込むのみであり、プログラムの戻り値としては使用しなレ、。実際のプログラムの戻り値として使用するのは、アドレス処理専用スタックレジスタ R3に格納された値である。

[0024] また、図 6に、 CPU100において、プログラムを実行する際に使用する記憶装置の構成を模式的に示す。この図 6においては、実行したプログラムに割り振られるメモリ領域を示している。即ち、図示するように、 0番地から順に、プログラム領域 A31、データ領域 A32、ヒープ領域 A33、アドレス処理専用スタック領域 A37、スタック領域（データ処理専用スタック領域) A34、引数領域 A35、環境変数領域 A36等が割り振られる。

[0025] 図 6の構造を図 1の従来構造と比較すると、アドレス処理専用スタック領域 A37が増設されている。このアドレス処理専用スタック領域 A37は、アドレス処理専用スタックレジスタ R3と連動しており、アドレス処理専用スタックレジスタ R3は、常にスタック領域 A37のメモリを示してレヽる。

[0026] このような構造の CPU100において、図 2に示したサンプルプログラムを実行すると、プログラム 12行目において、 4つの引数 'Τ，、 'Ε，、 ' S '、 'T'が、図 7に示すスタツク領域（データ処理専用スタック領域） Α34内の領域 Α41、 Α42、 Α43、 Α44に書き込まれる。そして、サブルーチン' test'が終了した時点でプログラム 13行目に戻るよう、図 7に示すアドレス処理専用スタック領域 A37の領域 A45に、プログラム 13行目を示すメモリのアドレスを保存するようになされる。

[0027] そして、プログラム 14行目力も始まるサブルーチン' test'の実行においては、先ず、プログラム 14行目、 16行目において初期設定が行われる。次いで、 17行目において、変数 sに 'A'という値が代入される。この値は、スタックメモリの領域 A12に書き込まれる。

[0028] そして、プログラム 18行目においては、故意に、変数 sの存在するメモリ領域から、ゼロ（0)を 100文字、メモリに書き込むよう指示しており、これが実行されると、 A41 A46を含め、 100文字全ての内容が、ゼロに上書きされる。

し力ながら、プログラムの流れを決定するアドレス処理専用スタック領域 A37の領域 A45は、前記ゼロが上書きされた領域とは異なる領域に存在するため影響を受けない。

[0029] 続いて、サブルーチンコールで行うアドレス処理が発生する際の CPU100の動作について、さらに図 8のフロー図に基づき説明する。

[0030] 先ず、現在のプログラムカウンタ R2の内容を、アドレス処理専用スタックレジスタ R3 が示すアドレスに書き込む（ステップ Sl)。尚、従来の CPUでは、スタックレジスタ R1

1の示すアドレスに書き込むよう構成されている。

[0031] アドレス処理専用スタックレジスタ R3の示すメモリにデータが書き込まれたため、ァドレス処理専用スタックレジスタ R3の保持する内容を減算し、未使用のメモリを示すようにする (ステップ S2)。

次いで、プログラムカウンタ R2にサブルーチンコールしたいプログラムのアドレスをセットする (ステップ S3)。以後、 CPUの実行は、サブルーチンに移行する。

[0032] また、サブルーチンコールを終了し、呼び出し元に戻るとき（リターン処理）にも、ァドレス処理専用スタックレジスタ R3が作動する。続いて、その処理について図 9のフロ一図に基づき説明する。 [0033] アドレス処理専用スタックレジスタ R3の保持する値を加算して、図 8のステップ 31にて戻りアドレスを書き込んだアドレスを示すようにする（ステップ Sl l)。

図 8のステップ SIで書き込んだアドレスがアドレス処理専用スタックレジスタ R3の示すアドレスに格納されている。このアドレス（即ち、アドレス処理専用スタックが示したアドレス）を読み取る（ステップ S 12)。

[0034] 次いで、プログラムカウンタ R2にステップ S11で読み込んだ値を設定する（ステップ

S13)。以後、 CPU100の実行は、呼び出し元のプログラムに移行し、サブルーチンコールは終了する。

[0035] 以上、説明した第一の実施の形態によれば、アドレス処理専用スタックレジスタ R3 を設け、プログラムの流れを決定するアドレスデータをアドレス処理専用スタックレジスタ R3の示すメモリ領域に格納するよう構成したため、アドレス以外のデータを格納するスタックが不正に上書きされ、ノッファオ一バーフロー現象が生じる危険があってもプログラム全体の流れの不正な変化を防止することができる。

[0036] 尚、前記第一の実施の形態において、図 6に示した、プログラムを実行する際に使用する記憶装置の構成は、一例であって、これに限定されるものではなレ、。例えば、図 10乃至図 13にそれぞれ示す他の構成を用いても、第一の実施の形態と同様の作用効果を得ることができる。

[0037] 続いて、図 14乃至図 21に基づき、本発明に係る第二の実施の形態について説明する。この第二の実施の形態において示す CPU100は、前記第一の実施の形態で示した構成に加え、従来から存在するソフトウェアを問題なく動作させるための手段を備える構成となされる。

[0038] 即ち、従来のソフトウェアは、 CPU内に 1つのみ存在するスタックレジスタ装置の制御しか行わない。したがって、前記第一の実施形態のように、 2つのスタックレジスタ装置が存在し常に機能する場合には、誤動作が発生する。そこで、この第二の実施の形態においては、従来のソフトウェアに対しても問題なく動作する CPU100の構成及び動作にっレ、て説明する。

[0039] 図 14は、本発明に係るコンピュータシステムの CPUの第二の実施の形態を示すレジスタ 'セットの概略構成図である。図 14の構成においては、第一の実施形態で説明した図 5の構成に加え、 CPU100の動作状態を設定するレジスタであるスィッチ装置 R4 (第一、第二のスィッチ装置を含む）を備える。また、所定値を記憶し格納する加算値記憶装置 R5、保護開始アドレス格納装置 R6、及び保護終了アドレス格納装置 R7の各レジスタを新たに備える。

[0040] 即ち、前記スィッチ装置 R4、加算値記憶装置 R5、保護開始アドレス格納装置 R6、及び保護終了アドレス格納装置 R7の各レジスタ（以下、便宜的に、追加レジスタ群と称す）は、従来の CPUにおいては存在しないものであり、アドレス処理専用スタックレジスタ R3と共に、本発明に係る CPU100の特徴的な構成要件である。

尚、図 5には図示しなかったが、図 14に示すセグメントレジスタ R8、コントロールレジスタ R9、 R10は、既存の CPUに備えられているものである。

[0041] また尚、前記追加レジスタ群を制御する簡単な方法は、それら各レジスタにデータを直接書き込む命令を、 CPU100に新たに定義することである。し力ながら、新しい命令を用いるということは、この新しい命令を含むプログラム力 CPU100上でのみ動作し、他の CPUでは動作しないということである。そこで、本発明に係る CPU10 0では、従来の CPUが有する命令のみで前記レジスタ群を制御することのできる機構を実装する。

[0042] 前記追加レジスタ群のうち、スィッチ装置 R4は、 CPU100の動作設定を切り替える手段である。即ち、その設定により、前記追加レジスタ群やアドレス処理専用スタックレジスタ R3を有効とし、機能させるカまたは、無効とし、従来通りの CPU環境にすること力 Sできる。例えば、従来通りの環境にしたときには、既存のソフトウェアに対し、従来通りの動作環境を提供することができる。

[0043] また、 CPUの動作途中において、スィッチを切り替え、前記追加レジスタ群等を機能させたり、あるいは無効にすることもできる。その場合、プログラムカウンタ R2の内容は保持された状態である。また、プログラム実行中に、スィッチ装置 R4の有する各設定を自由に行うことができる。したがって、ソフトウェアの用途に合わせ、スィッチを切り替え、常に最適な状態でプログラムを実行することができる。

[0044] 図 15A Gに、スィッチ装置 R4の詳細構成を示す。スィッチ装置 R4は、 32ビットのレジスタ構成である。このうち、ゼロから第 6ビットまでの各ビットのオンオフをスィッチとして利用している。

[0045] 図 15A— Gにおいて、各スィッチモードにおける動作を説明している。即ち、図 15

Aは、前記追加レジスタ群、並びにアドレス処理専用スタックレジスタ R3を使用するか否かの設定にっレ、て示してレ、る。

[0046] 図 15Bは、スタックレジスタ R1とアドレス処理専用スタックレジスタ R3の役割を決定する設定にっレ、て示してレ、る。

図 15Cは、プログラムから、スタックレジスタ R1へ新しい値の書き込みがあつたときに、アドレス処理専用スタックレジスタ R3への自動設定を行うか否かの設定について示している。

[0047] 図 15Dは、アドレス処理専用スタックレジスタ R3への自動設定の方法の設定について示している。

図 15Eは、保護開始アドレス格納装置 R6、保護終了アドレス格納装置 R7の使用の設定にっレ、て示してレ、る。

[0048] 図 15Fは、スタックレジスタ R1の拡張する方向の設定について示している。

そして、図 15Gは、アドレス処理専用スタックレジスタ R3の拡張する方向の設定について示している。即ち、図 15F、図 15Gは第二のスィッチ装置としての機能を示している。

[0049] 図 16は、前記スィッチ装置 R4のオンオフ動作を実現するためのアセンブラ実装例である。尚、図示するプログラム P41、 P42において、スタックレジスタ R1は espと記載される。

プログラム P41は、本発明に係る各機能に設定を行い、各機能を有効にするためのプログラムである。具体的な処理として、このプログラム 41は、スタックレジスタ R1に値ゼロを設定する。この実行により、第一のスィッチ装置としてのスィッチ装置 R4がォン状態となり、加算値記憶装置 R5、保護開始アドレス格納装置 R6、及び保護終了ァドレス格納装置 R7、アドレス処理専用スタックレジスタ R3の各レジスタにデータが書き込める状態となる（この状態を拡張設定モードと称す)。

[0050] 一方、プログラム P42は、本発明に係る各機能を無効にするためのプログラムである。即ち、拡張設定モードを解除するためのプログラムである。具体的には、例えば、スタックレジスタ Rl (espレジスタ）に有値を設定し、自身に自身を mov命令でコピーする（espの内容を espにコピーする）ことによりデータ転送される。これにより、 CPU1 00は従来の CPUと同様の状態となる。

[0051] このように、スィッチ装置 R4は、少なくともスタックレジスタ R1に値ゼロが設定されたときに、スィッチオン状態となされる。

また、この条件だけでは、誤動作によりスィッチオンの状態となるおそれがあるため、ダブルトリガ方式となされる。即ち、プログラム P41、 P42のそれぞれの 2行目で行なつている、 espレジスタの内容を espレジスタにコピーするという無意味な命令力もう 1つのトリガとされる。これら 2つのトリガにより、誤動作のない設定を行なう。

[0052] 本発明の係る各機能を使用するには、 2通りの方法がある。 1つは、 OS (オペレーティングシステム）またはプログラム起動時に明示的に設定を行う方法である。この方法によれば、従来の〇Sまたはプログラムに対しごく僅かの仕様変更のみで実行することができる。既存のソフトウェアを変更する必要があるが、高い互換性を得ることができる。その設定方法にっレ、て図 17に基づレ、て説明する。

[0053] 図 17のプログラム P51は、スタックレジスタ R1にスタック領域を設定するサンプルプログラムである。従来のソフトウェアは、プログラム起動時に必ずこのようにしてスタツクレジスタ R1にスタック領域を設定してレ、る。

一方、プログラム P52は、本発明に係る各機能を活用するためのプログラムである。即ち、前記各機能を活用するには、従来プログラム P51のように記述していた部分を、プログラム P52のように記述すればよい。尚、プログラム P52中、 espはスタックレジスタ Rl、 eaxはスィッチ装置 R4、 ecxは保護開始アドレス格納装置 R6、 edxは保護終了アドレス格納装置 R7、 esiはアドレス処理専用スタックレジスタ R3をそれぞれ示している。

[0054] このプログラム P52の流れを簡単に説明すると、先ず、 CPU100を拡張設定モードにする。そして、スィッチ装置 R4に CPUモードを設定する。次いで、保護開始アドレス格納装置 R6にスタックメモリのゼロ側のアドレス（STACK_L〇W)を設定し、保護終了アドレス格納装置 R7にスタックメモリの高位側のアドレス（STACK_L〇W+ 8 OOOh)を設定する。そして、アドレス処理専用スタックの開始アドレス（STACK L〇 W)を設定し、最後に CPU100を元の状態に戻す処理が行なわれる。

[0055] これにより、本発明に係る各機能を活用することができる。図 18にプログラム P52を使用したときのメモリ配置図を示す。図示するように、スタックレジスタ R1が示すメモリ領域とは別領域にアドレス処理専用スタックレジスタ R3が示すメモリ領域が確保される。また、アドレス処理専用スタックは、保護開始アドレス格納装置 R6と保護終了アドレス格納装置 R7とにより指定されたメモリ領域において保護される。即ち、この領域におレ、ては、サブルーチンコールの格納アドレス以外のデータの書き込みが禁止される。

[0056] 尚、従来、プログラム P51が OSのアプリケーション起動プログラムの中に入っている場合には、 OSに対してプログラム P51を P52に変更すればよレ、。勿論、 CPUが本発明における新機能を実装していない場合であっても、見かけ上、無意味な命令を実行しているだけであり、支障なく従来のプログラムを実行することができる。

[0057] 続いて、本発明の係る各機能を使用するための、もう 1つの方法について説明するこの方法は、プログラム実行中に、スタックレジスタ R1に対しデータが書き込まれたとき、自動的にアドレス処理専用スタックレジスタ R3を初期化し使用可能とする方法（自動設定処理と呼ぶ）である。

この方法における CPU100の動作について、図 19のフロー図に基づき説明する。尚、図 19においては、図中に示すプログラム P71が実行された際に自動的に行なわれる制御を示している。プログラム P71は、スタックレジスタ R1に任意の定数 STA

CK_HIGHを設定するプログラムである。

[0058] 先ず、プログラム P71が実行され、スタックレジスタ R1に任意の定数（STACK_H

IGH)が設定される（図 19のステップ S71)。

ここでスタックレジスタ R1の内容がスタック用に確保したメモリ領域の高位側の最先端にある場合 (ステップ S72)、スタック領域の設定がなされたと判断し、アドレス処理専用スタックレジスタ R3に、スタック領域の初期値が設定される（ステップ S73)。

[0059] 尚、スタックメモリ領域の最先端アドレスの情報は、 IA32 (Intel社の 32ビットマイク口プロセッサ）ではプログラムカウンタ R2を参照することにより得ることができる。 IA32 は、 32ビットで動作するプロテクトモードの時には、プログラムカウンタ R2、セグメントレジスタ R8、コントロールレジスタ R9を参照し、スタック領域を定義するメモリ領域管理情報を得ることができる。尚また、ステップ S72の判定処理は省略してもよレ、が、誤動作防止のために行うのが望ましい。

[0060] また、ステップ S73における、アドレス処理専用スタックレジスタ R3への値の設定については、スィッチ装置 R4の第 3ビットに依存する（図 15D参照）。即ち、第 3ビットがオフ（論理 0)のときには、スタック領域として、スタックレジスタ R1の値を設定する。また、第 3ビットがオン (論理 1)のときには、スタック領域に設定されたゼロ側の最先端の値を設定するようになされる。尚、この値は、 IA32においては、プログラムカウンタ R2、セグメントレジスタ R8、コントロールレジスタ R9を参照することにより取得することができる。

[0061] 次いで、アドレス処理専用スタックレジスタ R3に、加算値記憶装置 R5に記憶された値を加算する (ステップ S74)。この加算処理は、スタック領域の最先端を直接入れるリスクを回避するための安全処理である。

尚、この加算値は、加算結果が、スタック用メモリ領域のうち、空き領域に設定されるよう、スタック用メモリ領域のゼロ番地側の開始アドレスを参照して決定される。また、加算値記憶装置 R5には、負数を設定して加算してもよいし、あるいは、スタックレジスタ R1に設定された値が高位側の値であった場合には、加算値記憶装置 R5の値を正数として減算してもよい。

[0062] 以上の制御により、自動的にアドレス処理専用スタックレジスタ R3が有効となる。即ち、 CPU100においては、従来の CPUと同様に、先ず 1つのレジスタ装置だけで動作し、スタックレジスタ R1にデータ設定がなされた時点で、アドレス処理専用スタックレジスタ R3が初期化され、使用可能な状態となる。したがって、プログラム実行中に CPU100にこの設定がなされることで、従来のソフトウェアを問題なく動作させることができる。

[0063] 尚、アドレス処理専用スタックレジスタ R3に前記の自動設定処理を行う場合のメモリ配置を図 20に示す。図 20においては、スィッチ装置 R4に対して 2進法数値 10100 00 (16進法 50)を設定しているものとする。スタックレジスタ R1にデータが与えられたとき、図 19のフロー図に示した制御が行なわれ、メモリ配置は図 20のようになる。これにより、既存のソフトウェアに対して高い互換性を自動的に提供することができる。

[0064] また、図 21は、 IA32がプロテクトモードと呼称する 32ビットモード時のメモリ領域の確保方法を説明した図である。図中、セグメントセレクタ（Segment Selector) 13は、図 14におけるセグメントレジスタ R8に相当する。セグメントセレクタ 13の内容により、 GDT (グローバルディスクリプタテーブル） 14あるいは LDT (ローカルディスクリプタテーブル） 15を経由して LDTR (ローカルディスクリプタテーブルレジスタ） 16を取得すること力 Sできる。

[0065] この LDTR16は、メモリ領域の開始番地、終了番地を示す情報を備えている。したがって、 IA32において、本発明に係る CPU100の機能を実装する際には、メモリ領域の開始番地及び終了番地を必要とするときには LDTR16を参照し取得すればよレ、。

[0066] 以上、説明した第二の実施の形態によれば、スィッチ装置 R4を設けたことにより、本発明に係る構成として追加されたレジスタ群やアドレス処理専用スタックレジスタ R 3の機能を有効とするか無効とするかを切り替えることができ、無効とした場合には、従来のソフトウェアに対し、従来の CPUと同様の動作環境を提供することができる。

[0067] また、スタックレジスタ R1のみが使用可能な状態において、実行中のソフトウェアがスタックレジスタ R1に対しスタック領域の開始アドレスを書き込むことにより、自動的にアドレス処理専用スタックレジスタ R3に対して初期化設定がなされる。これにより、ァドレス処理専用スタックレジスタ R3を使用可能な状態にすることができる。したがって、従来のソフトウェアを、特別な操作なしに、従来同様に動作させることができ、且つ、バッファオーバーランによる被害を抑制することができる。

[0068] また、保護開始アドレス格納装置 R6、及び保護終了アドレス格納装置 R7を設け、それらに格納されたアドレス領域においては、サブルーチンコールの格納アドレス以外のデータの書き込みを禁止することで、アドレス処理専用スタックレジスタ R3が使用するメモリ領域を保護することができる。

[0069] また、スィッチ装置 R4におレ、て、スタックレジスタ R1及びアドレス処理専用スタックレジスタ R3が示すメモリの確保方向を低位方向（ゼロ番地方向）と高位方向のいずれかに切り替えることができる。したがって、スタックレジスタ R1が示すメモリの確保方向を高位方向に設定することにより、ノくッファオ一バーラン現象が発生したときに、データ破壊は未使用の領域に対して行なわれ、被害を最小限に食い止めることができる。

[0070] 尚、前記第二の実施の形態において、スィッチ装置 R4は、 CPU100上に備えられた 1つのレジスタとして示したが、各設定をそれぞれ別個に行う複数のレジスタとして構成されてもよい。あるいは、メモリ上で、特定番地のビット列をスィッチとして定義し、これをスィッチ装置 R4としてもよい。

図面の簡単な説明

[0071] [図 1]図 1は、一般的なコンピュータにおいて、プログラムを実行する際に使用する記憶装置 (メモリとも呼ぶ）の構成を模式的に示した図である。

[図 2]図 2は、サンプノレプログラム及びスタックメモリの働きを模式的に示す図である。

[図 3]図 3は、本発明に係る CPUの概略構成図の一例である。

[図 4]図 4は、米国インテル社の IA32系 CPUのレジスタ.セットの概略構成図である。

[図 5]図 5は、第一の実施形態における本発明に係る CPUのレジスタ 'セットの概略構成図である。

[図 6]図 6は、 CPUにおいてプログラムを実行する際に使用する記憶装置の構成を模式的に示す図である。

[図 7]図 7は、データ処理専用スタック領域とアドレス処理専用スタック領域とを模式的に示す図である。

[図 8]図 8は、サブルーチンコールで行うアドレス処理が発生する際の CPUの動作を示すフロー図である。

[図 9]図 9は、サブルーチンコールを終了し、呼び出し元に戻るとき（リターン処理）の動作を示すフロー図である。

[図 10]図 10は、プログラムを実行する際に使用する記憶装置の他の構成例である。

[図 11]図 11は、プログラムを実行する際に使用する記憶装置の他の構成例でる。

[図 12]図 12は、プログラムを実行する際に使用する記憶装置の他の構成例である。

[図 13]図 13は、プログラムを実行する際に使用する記憶装置の他の構成例である。 [図 14]図 14は、第二の実施の形態における本発明に係る CPUのレジスタ 'セットの概略構成図である。

[図 15A-G]図 15A— Gは、スィッチ装置の詳細構成を説明するための図である。

[図 16]図 16は、スィッチ装置のオンオフ動作を実現するためのアセンブラ実装例である。

園 17]図 17は、 OSまたはプログラム起動時に明示的に設定を行うプログラム例である。

[図 18]図 18は、図 17のプログラムを使用したときのメモリ配置図の一例である。

[図 19]図 19は、自動設定処理を行う場合の CPUの動作を説明するためのフロー図である。

[図 20]図 20は、アドレス処理専用スタックレジスタに自動設定処理を行う場合のメモリ配置の一例である。

[図 21]図 21は、 IA32がプロテクトモードと呼称する 32ビットモード時のメモリ領域の確保方法を説明した図である。

Claims

請求の範囲

[1] 記憶装置のどのアドレスまで現時点で使用しているかを示し、記憶装置を使用するごとに、未使用の記憶装置のアドレスを示すように値を演算する機能を有するスタックレジスタ装置を複数備えるコンピュータシステムの CPU (中央処理装置）であって、プログラムが使用するデータ処理に用いる第一のスタックレジスタ装置と、サブルーチンコールを行う際に書き込む戻りアドレスの格納に用いる第二のスタックレジスタ装置とを少なくとも備えることを特徴とするコンピュータシステムの CPU。

[2] 前記第一及び/または第二のスタックレジスタ装置は、

記憶装置を使用するごとに、アドレスを減算ではなく加算し、未使用の記憶装置のアドレスを示すことを特徴とする請求項 1に記載されたコンピュータシステムの CPU。

[3] 前記第一のスタックレジスタ装置と第二のスタックレジスタ装置の両方、または、レヽずれか一方を使用可能な状態に切り替える第一のスィッチ装置を備え、

前記第一のスィッチ装置により、第一のスタックレジスタ装置と第二のスタックレジスタ装置のいずれか一方が使用可能な状態になされた際は、該使用可能なスタックレジスタ装置は、サブルーチンコールを行う際の戻りアドレスの管理とプログラムが使用するデータ処理とを行うレジスタとして使用されることを特徴とする請求項 1または請求項 2に記載されたコンピュータシステムの CPU。

[4] 所定値を記憶する加算値記憶装置を備え、

プログラムから前記第一のスタックレジスタ装置と第二のスタックレジスタ装置のいずれか一方にデータが書き込まれた際、該データに対し前記所定値を加算または減算した結果を、他のスタックレジスタ装置に格納する処理が行なわれることを特徴とする請求項 1乃至請求項 3のいずれかに記載されたコンピュータシステムの CPU。

[5] プログラムから第一のスタックレジスタ装置と第二のスタックレジスタ装置のレ、ずれか一方にデータが書き込まれた際、スタック用に割り振られたメモリ領域のゼロ番地側の開始アドレスを取得し、前記加算値記憶装置が記憶する所定値を決定する処理が行なわれることを特徴とする請求項 4に記載されたコンピュータシステムの CPU。

[6] スタック用に割り振られたメモリ領域の開始アドレスと終了アドレスの情報を格納するアドレス格納装置を備え、前記アドレス格納装置が格納するアドレス情報により決定されたメモリ領域に対し、サブルーチンコールの格納アドレスの書き込みを許可し、それ以外のデータの書き込みを禁止することを特徴とする請求項 1乃至請求項 5のいずれかに記載されたコンピュータシステムの CPU。

[7] 前記第一及び/または第二のスタックレジスタ装置が示すメモリの確保方向をメモリの高位方向と低位方向のいずれかに動作させる設定を行う第二のスィッチ装置を備えることを特徴とする請求項 1乃至請求項 6のいずれかに記載されたコンピュータシステムの CPU。

[8] 前記第一のスタックレジスタ装置と第二のスタックレジスタ装置のレ、ずれか一方が、サブルーチンコールを行う際の戻りアドレスの管理とプログラムが使用するデータ処理とを行うレジスタとして使用されている状態から、前記請求項 4および請求項 5に記載された処理が行なわれることにより、前記第一のスィッチ装置の設定が変更され、他方のスタックレジスタ装置が使用可能な状態となることを特徴とする請求項 5乃至請求項 7のいずれかに記載されたコンピュータシステムの CPU。