WO2005114353A1

WO2005114353A1 - プログラム実行制御装置及びプログラム実行制御方法

Info

Publication number: WO2005114353A1
Application number: PCT/JP2005/008779
Authority: WO
Inventors: Shigeya Takagi; Hidetaka Matsumoto
Original assignee: Matsushita Electric Industrial Co., Ltd.
Priority date: 2004-05-17
Filing date: 2005-05-13
Publication date: 2005-12-01
Also published as: JP4583808B2; US20070214366A1; JP2005327187A; US8127351B2

Abstract

　検査後に不正なプログラムに書き換えられたとしても、そのプログラムの実行を防ぐことができ、また、いつの時点で、どのプログラムが不正に書き換えられたかを容易に確認することができるプログラム実行制御装置及びプログラム実行制御方法を提供することを目的とする。　本発明のプログラム実行制御装置は、プログラムを格納するフラッシュメモリ１０１と、前記プログラムの不正の有無を検査する検査時点を検出する条件検出部１０３と、前記検査時点で、前記不正の有無を検査する不正検査部１０４と、前記検査結果に応じて、前記プログラムを実行するか否かを制御する実行制御部１０５と、前記実行制御部１０５の結果に応じて、前記プログラムを実行するＣＰＵ１０２とを備える。

Description

プグラム ] プグラム ] 分野

０００1 、不正なプグラムの行を防止するプグラム置及びプグラム御方法に関する。

０００2 来、プグラムを納し、格納したプグラムの去及び書き換えをすることができるりと、メりにプグラムの令を解釈し実行する P とを含むステムを、意図しな不正なプグラムの行ら保護する方法として、実行するプグラムを納するりのき換えを所定の法で保護することで、不正なプグラムのき換えを防止し、不正なプグラムの行を防止するの ( えば、

)と、メりに納されたプグラムをステムのまたはドウアセット後に所定の法で検査し、正常と判定されたプグラムのみを P で実行することで、不正なプグラムの行を防止する 2の ( えば、特許または特許 2を参照)が知られてる。

０００3 の法として、例えば、 S C 製のラッメ S2g 5 2 にされてるプテクト能が知られており、所定のンドを実行することにより不正な書き換えら保護する恒久プテクト、使用者が定義したスワドにより不正な書き換えら保護するスワドプテクトなどが知られてる。

０００4 2の法として、特許に記載された発明は、ステムを作動さるためのプグラムを納する外部 O と、情報き込み後に消去・き込みができななるよ成された内蔵P O と、 P とを含む置におて、電源またはドウアセット後に、内蔵P O に納されたプグラムにより、外部 O のデタを検査して、正常であれば外部 O のプグラムを実行し、異常であれば査を繰り返すとものである。

０００5 また、 2の法として、特許 2に記載された発明は、セジ・ダイジスト理された実行プグラムを納するりと、メッセジ・ダイジスト理し、プグを実行する理部と、を含む置におて、電源またはドウアセット後に、メッセジ・ダイジスト法に所定のプグラムを検査し、正常であればプグラムを実行し、異常であればプグラムを停止するとものである。

1 S2gG o ラッァデタト

J2763 1 行日 2 3 2 5 (2763 Oc 6、 3 45 セクタプテクト

1 9 3259 4

2 39 58

の

が解しよとする

０００6 ししながら、特許、2に記載された発明は、メりに納されてるプグラムの査を電源入後またはドウアセット後に実施し、その点以外の査を実施しな。年の Sを用たステムでは、電源またはドウアセット後にOS(O e a S s e ) プグラム制御するプグラムが最初に実行され、その後で S上で動作するアプケョン・プグラムが実行される成されてるため、検査後にネットワクまたはC O などの体ら不正なアプケョ・プグラムやその他の不正なプグラムがりに納された場合、あるは、検査後に不正なプグラムが納された別のりに物理的に取り替えられた場合、不正なプグラムを発見することができず、結果として不正なプグラムの行を許してしまことになる。

０００7 また、検査後に不正なプグラムがりに納されても、不正なプグラムを発見できなため、の点で、どのプグラムが不正に書き換えられたを確認することができなた。

０００8 、上記の題を解決するもので、どの点で不正なプグラムに書き換えられたとしても、その正なプグラムの行を防ぐことができるプグラム

置及びプグラム御方法を提供することを目的とする。

０００9 また、、の点で、どのプグラムが不正なプグラムに書き換えられたを容易に確認することができるプグラム置及びプグラム御方法を提供することを目的とする。

題を解決するための

００1０明のプグラム、プグラムを納するりと、前記プグラムの正の無を検査する検査点を検出する検出段と、前記点で、前記正の無を検査する検査段と、前記段により判断された不正しのプグラムを実行するよ御する制御手段と、前記しのプグラムを実行する実行段と、を備える。

００11 また、明のプグラム、前記御手段が、前記段により判断された不正りのプグラムを実行さなよ、前記段が、前記りのプグラムを実行しな。

００12 明のプグラム御方法は、メりに納されたプグラムの正の無を検査する検査点を検出する検出ステップ、前記点で、前記正の無を検査する検査ステップ、前記ステップにより判断された不正しのプグラムを実行するよ御する制御ステップ、前記しのプグラムを実行する実行ステップ、を備える。

００13 また、明のプグラム御方法は、前記ステップが、前記ステップにより判断された不正りのプグラムを実行さなよ、前記ステップが、前記りのプグラムを実行しな。

００14 来、固定の点でのみプグラムの正の無を検査してたため、不正なプグラムを発見できなことがあたが、この成によれば、任意の点でプグラムの正の無を検査するため、不正なプグラムを見落とすことな発見できる。００15 また、明のプグラム、前記段が、所定の点を検出する。

００16 また、明のプグラム御方法は、前記ステップが、所定の点を検出する。

００17 この成によれば、定した数の点でプグラムの正の無を検査するため、不正なプグラムを率的に発見できる。００18 また、明のプグラム、前記段が、前記プグラムが書き換えられた時点を検出する。

００19 また、明のプグラム御方法は、前記ステップが、前記プグラムが書き換えられた時点を検出する。

００2０この成によれば、プグラムが書き換えられた全ての点でプグラムを検査するため、不正なプグラムに書き換えられた時点で座に発見できる。

００2 また、明のプグラム、前記段が、一定ごとの点を検出する。

００22 また、明のプグラム御方法は、前記ステップが、一定ごとの点を検出する。

００23 この成によれば、一定ごとにプグラムを検査するため、不正なプグラムに書き換えられても、効率的に不正なプグラムを発見できる。

００24 また、明のプグラム、前記段による検査の果を記録する記録手段を備える。

００25 また、明のプグラム御方法は、前記ステップによる検査の果を記録する記録ステップを有する。

００26 この成によれば、検査段による検査結果を記録しておことによて、の点で、どのプグラムが不正に書き換えられたを確認することができる。００27 また、明のプグラム、前記御手段が、前記録手段に記録された検査の果を参照、前記しのプグラムを実行するよ御する。００28 また、明のプグラム御方法は、前記ステップが、記録された検査の果を参照、前記しのプグラムを実行するよ御する。

００29 また、明のプグラム、前記御手段が、前記録手段に記録された検査の果を参照、前記りのプグラムを実行さなよ御する。

００3０また、明のプグラム御方法は、前記ステップが、記録された検査の果を参照、前記りのプグラムを実行さなよ御する。

００31 この成によれば、記録された検査結果を参照して不正しのプグラムを実行することによて、不正なプグラムの無を検査するたびに、プグラムを実行する否を制御する必要が無ため、効率的にプグラムを実行することができる。００32 また、明のプグラム、前記りのプグラムを実行する否を判定する判定段を備え、前記御手段が、実行すると判定された前記りのプグラムを実行するよ御する。

００33 また、明のプグラム御方法は、前記りのプグラムを実行する否を判定する判定ステップを有し、前記ステップが、実行すると判定された前記りのプグラムを実行するよ御する。

００34 この成によれば、不正されても影響が無、は、プグラムが不正なプグラムに書き換えられても、そのプグラムを実行するよ御することによて、効率的にプグラムを実行することができる。

の

００35 明のプグラム置及びプグラム御方法によれば、任意の点でプグラムの正の無を検査するため、不正なプグラムを見落とすことな発見し、不正なプグラムの行を防ぐことができる。

００36 また、明のプグラム置及びプグラム御方法によれば、検査段による検査結果を記録しておことによて、の点で、どのプグラムが不正に書き換えられたを確認することができる。

００37 明に係る第、 2の施の態のプグラム置を示す

2 明に係る第、 2の施の態のプグラム置の

3 明に係る第3、4の施の態のプグラム置を示す 4 明に係る第3、4の施の態のプグラム置の

5 明に係る第5、6の施の態のプグラム置を示す 6 明に係る第5、6、 7、 8の態のプグラム置の 7 明に係る第5、6の施の態のプグラム置の

8 明に係る第7、8の施の態のプグラム置を示す 9 明に係る第7、8の施の態のプグラム置の

1０グラムが納されてるメイメジ

11 的にプグラムが追加されたメイメジ

号の

００38 ラッメ

2 CP

3

4 査部

5

3 アクセス

5

5 2 メ

5 3

8 アクセス

9 き換え

2 りの

2 プグラム

2 2

2 3

2 4 待値

3 プグラム

3 2

するための良の

００39 明のプグラム置及びプグラム御方法の態にて、図面を参照しながら明する。

００4０ ( の施の )

００41 は、明に係る第の施の態のプグラム置を示すである。プグラム、実行するプグラムを納するラッメと、プグラムを実行するCP 2と、ラッメがCP 2によて書き換えられたことを検出する条件 3と、条件 3が検出したときにラッメに納されてるプグラムが不正否を検査する不正査部 4と、不正査部 4の果に応じてプグラムの行を制御する実行 5とで構成されてる。

００42 ここで、不正なプグラムとは、明に係る実施の態の査部が一意に判定することができるプグラムのことである。査部は、例えば、従来ら知られてるよに、実行するプグラムが納されたラッメ上の全てのデタを加算した値と予められてる正常なとを較し、正常なと異なてた場合、そのデタを有するプグラムを不正なプグラム判定する。下の明では、全てこのよな意味で不正なプグラム現を用るものとする。

００43 、メイメジ図を用て、の施の態の査部が不正なプグラムであると判定する検査方法にて詳細に説明する。

００44 は、プグラムが納されてるメイメジ図である。地らまでがりの 2 であり、地ら

7 までにプグラム 2 が納されており、 8 地らまでの間にはりのであるO が納されてる。はまず域の値の総 2 2を算出する。地の C ら地のO までを加算すると 23 Cとなる。次に、総和の 8ビットの 2 3を算出するとO Cとなる。このとあらじ

。のメイメジの検査 2 3 2 4がO Cで一致するため査結果は正常と判定される。

００45 方、図、のりに動的にプグラム 3 が追加されたメイメジ図である。プグラム 3 は、の間である 8 地ら納される。納された 8 地らまでである。、で説明した方法と同様に行、検査 2 3 2 4が O Cで一致するため、検査結果は正常と判定される。プグラムが追加されてるにも関わらず常と判定される理由は、正常なプグラム 3 は検査 2 3 期待値 2 4とを一致さるための 3 2を備えてるためである。プグラム 3 のである地のO が補正 3 2であるが、この

3 2を含めて域の値の総 2 2を算出することで、検査 2 3 期待値 2 4が一致する。正に追加されたプグラムの、この 3 2ではな、メりのであるO のままである。このため、不正に追加されたプグラムの合、地がO では検査 2 3が C2となり、期待値 2 4 異なるため、不正なプグラム判定される。

００46 なお、検査方法をあらじめめておた8 、の待値と、ラッメ

の域の値の総和の 8ビットのとを較して一致するどで判定する検査方法に限定して説明したが、その旨を逸脱しな範囲でした検査方法を採用することができる。また、検査方法をプグラムとして実装する場合は、プグラムを読み出しできなりに納する、スク O に納する、あるは検査用のドウアとする、などの応をとることで、検査方法の読を防止する。、上述のメイメジ図を用た検査方法は、以下で説明する実施の態におても同じため、以下では説明をする。

００47 2は、明に係る第の施の態のプグラム置の図である。まず、条件 3が、ラッメに納されたプグラムが P 2によて書き換えられたことを検出する(ステップS2 )。ここで、条件

3がプグラムのき換えを検出する方法として、本実施の態では、ラッメに対して書き換えンドが発行され、書き換え理が完了したことを検出する。

００48 次に、上述の査方法によて、不正査部 4が、ラッメに書き換えられたプグラムが不正否を検査する(ステップS2 2)

００49 次に、不正査部 4が、ステップS2 2における検査結果を実行 5に伝える(ステップS2 3)。 5は、ステップS2 3で検査結果が正常と伝えられたのであれば、 P 2を起動してプグラムを実行さる(ステップ 4) また、ステップS2 3で検査結果が不正と伝えられたのであれば、 P 2を停止するなどの御を〒、不正と判定されたプグラムをCP 2が実行しなよにする(ステップS2 5)

００5０上のよに、明に係る第の施の態のプグラム置及びプグラム御方法によれば、ラッメりに納されたプグラムが書き換えられるごとに、プグラムを検査することによて、ラッメりに納されたプグラムが不正なプグラムに書き換えられたとしても、不正なプグラムの行を防止することができる。

００51 また、ラッメがCP 2によて書き換えられるタイングは、ラッメの域が初期態でプグラムが書き換えられた時、既存のプグラムが動作した後で動的に別のプグラムが追加されるタイングである。

００52 ( 2の施の )

００53 2の施の態のプグラム置の、に示すの施の態のプグラム置の成と同じである。 2の施の態のプグラム置が第の施の態と異なるのは、条件 3がCP 2に内蔵されるタイらの込み号を検出することである。査部 4は、条件 3がタイらの込み号を検出したときに、ラッメに納されてるプグラムが不正否を検査し、実行 5は、不正査部 4の果に応じてプグラムの行を制御するよ構成されてる。

００54 また、 2の施の態のプグラム置の図は、 2に示すの施の態のプグラム置の図を用て説明できる。まず、条件 3が、タイらの込み号を検出する(ステップS2 )。ここで、CP 2は、割込み号を一定時間繰り返発生さることができる。その、実施時に一意に決めることができ、例えば間隔のよに決めることができる。

００55 次に、不正査部 4が、ラッメに納されたプグラムが不正否を検査する(ステッ 2)

００56 次に、不正査部 4が、ステプS2 2における検査結果を実行 5に伝える(ステップS2 3)。 5は、ステップS2 3で検査結果が正常と伝えられたのであれば、CP 2を起動してプグラムを実行さる(ステップ 4) また、ステップS2 3で検査結果が不正と伝えられたのであれば、CP 2を停止するなどの御を〒、不正と判定されたプグラムをCP 2が実行しなよにする(ステップS2 5)

００57 上のよに、明に係る第2の施の態のプグラム置及びプグラム御方法によれば、ラッメが物理的に取り外し能であて、不正なプグラムを納した別の、メに取り替えられるなどの法によて、ラッメに納されたプグラムが書き換えられたことを検出できな場合でも、一定時間繰り返発生する割込み号が発生した時に、ラ、メりに納されたプグラムが不正否を検査することによて、不正なプグラムの行を防ぐことができる。

００58 ( 3の施の )

００59 3は、明に係る第3の施の態のプグラム置を示す

である。プグラム、実行するプグラムを納するラッメと、プグラムを実行するCP 2と、ラッメがCP 2によて書き換えられたことを検出する条件 3と、条件 3が検出したときにラッメにれてるプグラムが不正否を検査する不正査部 4と、不正査部 4の果及びラッメにおけるCP 2のッのドスを参照して、CP 2 のプグラムの行を制御するアクセス 3 とで構成されてる。

００6０ 4は、明に係る第3の施の態のプグラム置の図である。まず、条件 3が、ラッメに納されたプグラムが P 2によて書き換えられたことを検出する(ステップS2 )。ここで、条件

3がプグラムが書き換えられたことを検出する方法として、本実施の態では、ラッメに対して書き換えンドが発行され、書き換え理が完了したことを検出する。

００6 次に、不正査部 4が、ラ、メに書き換えられたプグラムが不正否を検査する(ステップS2 2) ００62 次に、不正査部 4が、ステップS2 2における検査結果をアクセス 3 に伝える。 (ステッ 2 3)。アクセス 3 は、ステップ 2 3で検査結果が正常と伝えられたのであれば、ラッメプグラムを取得してCP 2 に発行する(ステッ 4 )。ステップ 2 3で検査結果が不正と伝えられたのであ。れば、アクセス 3 CP 2のッのドスを参照、不正なグラムであても実行できる否を判定する(ステップS4 2)

００63 ステップ 4 2で実行できると判定されれば、アクセス 3 はラッメプグラムを取得してCP 2に発行する(ステップS4 )。ステップS4 2 で実行できなと判定されれば、アクセス 3 はCP 2で何もしな命令である OP 令をCP 2に発行する(ステップS4 4)

。

００64 次に、ステッ S4 またはステップS4 4で発行された命令をCP 2が受け取り、CP 2がプグラムを実行または OP 令を実行する(ステップS4 3) ００65 ここで、命令ッのドスを参照、不正なプグラムであても実行する否。

を判定することによて、ステッ S4 またはステップS4 4に分岐さる理由は、

、初期理のプグラムを納してるドスは不正なプグラム判定された場合であてもそのプグラムを実行するとし、それ以外のプグラムを納してるドスは不正なプグラムであれば行しなよにすると、不正査部 4が不正プグラム判断してもその正の響が無、は、小さ初期理のプグラムは動作さるが、その正の響が大きそれ以外のプグラムは動作さなよ制御することができ、円滑に、効率よプグラムの行を制御することができる。また、内部メのドスは不正なプグラム判定された場合であてもそのプグラムを実行するよにし、外部メのドスは不正なプグラムであれば行しなよにすることによて、効率よプグラムの行を制御することができる。

００66 また、プグラムが書き換えできな領域ののドスは不正なプグラム判定された場合であてもそのプグラムを実行するよにし、プグラムが書き換えできる域ののドスは不正なプグラムであれば行しなよにするこによて、効率よプグラムの行を制御することができる。００67 なお、上記の明では、ステップS4 4におて、アクセス 3 がCP 2 に何も実行しな P 令を発行するよ制御する例にて説明したが、これに限定されな。えば、CP 2が実質的に停止する(クックの止など) 令であても良し、CP 2がザプグラムではな、ッグ用のプグラムを実行する命令を発行するものでも良。

００68 上のよに、明に係る第3の施の態のプグラム置及びプグラム御方法によれば、ラッメりに納されたプグラムが書き換えられるごとに、プグラムを検査することによて、ラッメりに納されたプグラムが不正なプグラムに書き換えられたとしても、不正なプグラムの行を防止することができる。また、不正されても影響が無、は、プグラムなどの定のプグラムが不正なプグラムに書き換えられても、そのプグラムを実行するよ制御することによて、円滑に、効率よプグラムの行を制御することができる。００69 ( 4の施の )

００7０ 4の施の態のプグラム置の、 3に示す 3の施の態のプグラム置の成と同じである。 4の施の態のプグラム置が第3の施の態と異なるのは、条件 3がCP 2に内蔵されるタイらの込み号を検出することである。査部 4は、条件 3がタイらの込み号を検出したときに、ラッメに納されてるプグラムが不正否を検査し、アクセス 3 は、不正査部 4 の果及びラッメにおけるCP 2ののドスを参照して、CP 2 のプグラムの行を制御するよ構成されてる。

００71 また、 4の施の態におけるプグラム置の図は、 4 に示す 3の施の態のプグラム置の図を用て説明できる。まず、条件 3が、タイらの込み号を検出する(ステップS2 ) 。ここで、CP 2は、割込み号を一定時間繰り返し発生さることができる。その、実施時に一意に決めることができ、例えば間隔のよに決めることができる。

００72 次に、不正査部 4が、ラッメに書き換えられたプグラムが不正否を検査する(ステップS2 2)

００73 次に、不正査部 4が、ステップ 2 2における検査結果をアクセス 3 に伝える(ステップ 2 3)。アクセス 3 は、ステップ 2 3で検査結果が正常と伝えられたのであれば、ラッメプグラムを取得してCP 2 に発行する(ステッ 4 )。ステップ 2 3で検査結果が不正と伝えられたのであ。れば、アクセス 3 CP 2のッのドスを参照、不正なグラムであても実行できる否を判定する(ステップS4 2

００74 ステップ 4 2で実行できると判定されれば、アクセス 3 はラッメプグラムを取得してCP 2に発行する(ステップS4 )。ステップS4 2 で実行できなと判定と判定されれば、アクセス 3 はCP 2で何もしな命令である OP 令をCP 2に発行する(ステップS4 4)

。

００75 次に、ステッ S4 またはステップS4 4で発行された命令をCP 2が受け取り、CP 2がプグラムを実行または OP 令を実行する(ステップS4 3) ００76 なお、命令ッのドスを参照、不正なプグラムであても実行する否。

を判定することによて、ステッ S4 またはステップS4 4に分岐さる理由は、 3の施の態の合と同じため明をする。

００77 上のよに、明に係る第4の施の態のプグラム置及びプグラム御方法によれば、ラッメが物理的に取り外し能であて、不正なプグラムを納した別のラッメに取り替えられるなどの法によて、ラッメに納されたプグラムが書き換えられたことを検出できな場合でも、一定時間繰り返発生する割込み号が発生した時に、ラッメりに納されたプグラムが不正否を検査することによて、不正なプグラムの行を防ぐことができる。また、不正されても影響が無、は、小さプグラムなどの定のプグラムが不正なプグラムに書き換えられても、そのプグラムを実行するよ制御することによて、円滑に、効率よプグラムの行を制御することができる。

００78 ( 5の施の

００79 5は、明に係る第5の施の態のプグラム置を示すである。プグラム、実行するプグラムを納するラッメと、プグラムを実行するCP 2と、ラッメがCP 2によて書き換えられたことを検出する条件 3と、条件 3が検出したときにラッメに納されてるプグラムが不正否を検査する不正査部 4と、不正メ 5 2と、不正査部 4の果を不正メ 5 2に記録する不正 5 と、不正メ 5 2に記録された結果に応じてプグラムの行を制御する実行 5 3とで構成されてる。

００8０ 6 7は、明に係る第5の施の態のプグラム置の図である。

００81 6は、明に係る第5の施の態のプグラム置が、不正メ

5 2に不正査部 4の果を記録するまでの理を示す図である。 6 におて、まず、条件 3が、ラッメに納されたプグラムが CP 2によて書き換えられたことを検出する(ステップS2 )。実施の態では、ラッメに対して書き換えンドが発行され、書き換え理が完了したことを検出する。

００82 次に、不正査部 4が、ラッメに書き換えられたプグラムが不正否を検査する(ステップS2 2)

００83 次に、不正査部 4が、ステップS2 2における検査結果を不正 5 に伝える(ステップ 2 3)。ステップ 2 3で検査結果が正常と伝えられたのであれば、不正 5 が不正メ 5 2に正常を記録する(ステップS6 )。また、ステップS2 3で検査結果が不正と伝えられた場合は、不正 5 が不正メ 5 2に不正を記録する(ステップ 6 2)。ここで、例えば、正常とはであり、不正とはであるとする。

００84 7は、明に係る第5の施の態のプグラム置の図である。既に不正査が行われたプグラムを実行する時に、実行 5 3は不正メ 5 2に記録した検査結果を取得する(ステップS7 )。次に、取得した検査結果が正常不正の定を〒 (ステップS7 2)

００85 5 3は、検査結果が正常であれば、CP 2を起動してプグラ実行さる(ステップS7 3)。また、実行 5 3は、検査結果が不正であれば、CP 2を停止するなどの、不正と判定されたプグラムを P 2が実行しなよにする(ステップS7 4)

００86 上のよに、明に係る第5の施の態のプグラム置及びプグラム御方法によれば、ラッメりに納されたプグラムが書き換えられるごとに、プグラムを検査することによて、ラッメりに納されたプグラムが不正なプグラムに書き換えられたとしても、不正なプグラムの行を防止することができる。また、検査結果を記録しておことによて、不正なプグラム、、不正なプグラムが納された時点を容易に確認することができる。また、記録した検査結果に応じてプグラムの行を制御することによて、不正なプグラムの無を検査するたびに、プグラムを実行する否を制御する必要が無ため、円滑に、効率よプグラムの行を制御することができる。

００87 ( 6の施の )

００88 6の施の態のプグラム置の、 5の施の態のプグラム置の成と同じである。 6の施の態のプグラム

置が、 5の施の態と異なるのは、条件 3がCP 2に内蔵されるタイらの込み号を検出することである。査部 4は、条件 3 がタイらの込み号を検出したときに、ラッメに納されてるプグラムが不正否を検査し、不正 5 は、不正査部 4の果を不正メ 5 2に記録し、実行 5 3は、不正メ 5 2に記録された結果に応じてプグラムの行を制御するよ成されてる。

００89 6 7は、明に係る第6の施の態のプグラム置のフ図である。

００9０ 6は、明に係る第6の施の態のプグラム置が、不正メモ 5 2に不正査部 4の果を記録するまでの理を示す図である。 6 におて、まず、条件 3が、タイらの込み号を検出する(ステップS 2 )。ここで、CP 2は、割込み号を一定時間繰り返し発生さることができる。その、実施時に一意に決めることができ、例えば間隔のよに決めることができる。

００9 次に、不正 4が、ラ、メに書き換えられたプグラムが不正否を検査する(ステップS2 2)

００92 次に、不正査部 4が、ステップ 2における検査結果を不正 5 に伝える(ステップ 2 3)。ステップ 2 3で検査結果が正常と伝えられたのであれば、不正 5 が不正メ 5 2に正常を記録する(ステップS6 )。また、ステップS2 3で検査結果が不正と伝えられた場合は、不正 5 が不正メ 5 2に不正を記録する(ステップ 6 2)。ここで、例えば、正常とはであり、不正とはであるとする。

００93 7は、明に係る第6の施の態のプグラム置の図である。既に不正査が行われたプグラムを実行する時に、実行 5 3は不正メ 5 2に記録した検査結果を取得する(ステップS7 。次に、取得した検査結果が正常不正の定を〒 (ステップS7 2)

００94 5 3は、検査結果が正常であれば、CP 2を起動してプグラムを実行さる(ステップS7 3)。また、実行 5 3は、検査結果が不正であれば、CP 2を停止するなどの御を、不正と判定されたプグラムを P 2が実行しなよにする(ステップS7 4)

００95 上のよに、明に係る第4の施の態のプグラム置及びプグラム御方法によれば、ラッメが物理的に取り外し能であて、不正なプグラムを納した別のラッメに取り替えられるなどの法によて、ラッメに納されたプグラムが書き換えられたことを検出できな場合でも、一定時間繰り返発生する割込み号が発生した時に、ラメりに納されたプグラムが不正否を検査することによて、不正なプグラムの行を防ぐことができる。また、検査結果を記録しておことによて、不正なプグラム、、不正なプグラムが納された時点を容易に確認することができる。また、記録した検査結果に応じてプグラムの行を制御することによて、不正なプグラムの無を検査するたびに、プグラムを実行する否を制御する必要が無ため、円滑に、効率よプグラムの行を制御することができる。００96 ( 7の施の )

００97 8は、明に係る第7の施の態のプグラム置を示す

である。プグラム、実行するプグラムを納するラッメ

と、プグラムを実行するCP 2と、ラッメがCP 2によて書き換えられたことを検出する条件 3と、 3が検出したときに、メに納されたプグラムが不正否を検査する不正査部 4と、不正メ 5 2と、不正査部 4の果を不正メ 5 2に記録する不正 5 と、不正メ 5 2に記録された結果及びラッメにおけるCP 2ののドスを参照して、CP 2 のプグラムの行を制御するアクセス 8 で構成されてる。

００98 9は、明に係る第7の施の態のプグラム置の図である。査部 4の果を不正メ 5 2に記録するまでの

は、 5の施の態の合と同じため明を、プグラムの行を制御する理を図9を用て説明する。

００99 既に不正査が行われたプグラムを実行する時に、アクセス 8 は不正メ 5 2に記録した検査結果を取得する(ステップS7 )。次に、取得した検査結果が正常不正の定を〒 (ステップS7 2)

０1００アクセス 8 は、検査結果が正常であれば、ラッメプグラムを取得してCP 2に発行する(ステップS9 )。ステップS7 2で検査結果が不正であれば、アクセス 8 はCP 2ののドスを参照、不正なプグラムであても実行できる否を判定する(ステップS9 2) ０1０1 ステップ 9 2で実行できると判定されれば、アクセス 8 はラッメプグラムを取得してCP 2に発行する(ステップS9 )。ステップS9 2 で実行できなと判定されれば、アクセス 8 はCP 2で何もしな命令である OP 令をCP 2に発行する(ステップS9 4)

０1０2 次に、ステップS9 またはステップS9 4で発行された命令をCP 2が受け取り、CP 2がプグラムを実行または OP 令を実行する(ステプS9 3 ０1０3 なお、命令のドスを参照、不正なプグラムであても実行するを判定することによて、ステップS9 ステップS9 4に分岐する理由は、 3 の施の態の合と同じため明をする。

０1０4 上のよに、明に係る第7の施の態のプグラム置及びプグラム御方法によれば、ラッメりに納されたプグラムが書き換えられるごとに、プグラムを検査することによて、ラッメりに納されたプグラムが不正なプグラムに書き換えられたとしても、不正なプグラムの行を防止することができる。また、検査結果を記録しておことによて、不正なプグラム、、不正なプグラムが納された時点を容易に確認することができる。また、記録した検査結果に応じてプグラムの行を制御することによて、円滑に、効率よプグラムの行を制御することができる。また、不正されても影響が無、は、プグラムなどの定のプグラムが不正なプグラムに書き換えられても、そのプグラムを実行するよ制御することによて、円滑に、効率よプグラムの行を制御することができる。

０1０5 ( 8の施の )

０1０6 8の施の態のプグラム置の、 8に示す 7の施の態のプグラム置の成と同じである。 8の施の態のプグラム

置が第7の施の態と異なるのは、条件 3がCP 2に内蔵されるタイらの込みの号を検出することである。査部 4は、条件

3がタイらの込み号を検出したときに、ラッメに納されてるプグラムが不正否を検査し、不正 5 は、不正査部 4の果を不正メ 5 2に記録し、アクセス 8 は、不正メ 5 2に記録された結果及びラッメにおけるCP 2ののドスを参照して、CP 2 のプグラムの行を制御するよ構成されてる。

０1０7 査部 4の果を不正メ 5 2に記録するまでのは、 6 の施の態の合と同じため明を、プグラムの行を制御する

は、 7の施の態の合と同じため明をする。

０1０8 上のよに、明に係る第8の施の態のプグラム置及びプグラム御方法によれば、ラッメが物理的に取り外し能であて、不正なプグラムを納した別のラッメに取り替えられるなどの法によて、ラッメに納されたプグラムが書き換えられたことを検出できな場合でも、一定時間繰り返発生する割込み号が発生した時に、ラ、メりに納されたプグラムが不正否を検査することによて、不正なプグラムの行を防ぐことができる。また、検査結果を記録しておことによて、不正なプグラム、、不正なプグラムが納された時点を容易に確認することができる。また、記録した検査結果に応じてプグラムの行を制御することによて、円滑に、効率よプグラムの行を制御することができる。また、不正されても影響が無、は、プグラムなどの定のプグラムが不正なプグラムに書き換えられても、そのプグラムを実行するよ制御することによて、円滑に、効率よプグラムの行を制御することができる。

０1０9 なお、実施のら8におて、実行するプグラムを納するをラッメに限定して説明したが、プグラムを記憶するりであればなるものであてもよ。

０11０また、実施のら8におて、条件 3の件を、ラッメ

がCP 2によて書き換えられた時と、CP 2に内蔵されるタイによて割込みが発生した時に限定して説明したが、検出する条件は、外部御によるC P 2を使用しなき換えがあた時や、プグラム中の専用命令が実行された時などの件であてもよ。また、初期理が終了する時点の後とステム体が動作し始める時点の3 後とタンングのよに、複数の件を設定し、その件を満たすそれぞれの点で検査をするよにしてもよ。

０111 明を詳細にまた特定の様を参照して説明したが、明の神と囲を逸脱することな変更や正を加えることができることは当業者にとて明らである。

０112 出願は、2００4 5 17 出願の本特許 ( 2００4 146395)に基ものであり、そのはここに参照として取り込まれる。

上の利用，０113 明に係るプグラム置及びプグラム御方法は、任意の点でプグラムの正の無を検査するため、不正なプグラムを見落とすことな発見し、不正なプグラムの行を防ぐことができる。正なプグラムに書き換えられた後に、その正なプグラムを検査し、その査結果を記録しておことによて、の点で、どのプグラムが不正に書き換えられたを確認することができるため、不正なプグラムがりに納され行されたことに起因するステムの具合が発生した場合、不具合因の定が容易になるため、機器み込みステムのソトウア野で有用である。

Claims

求の

プグラムを納するりと、

前記プグラムの正の無を検査する検査点を検出する検出段と、前記点で、前記正の無を検査する検査段と、

前記段により判断された不正しのプグラムを実行するよ御する制御手段と、

前記しのプグラムを実行する実行段と、

を備えるプグラム。

2 御手段は、前記段により判断された不正りのプグラムを実行さなよ、

前記、前記りのプグラムを実行しな載のプグラム

3 、所定の点を検出する 2 載のプグラム

4 、前記プグラムが書き換えられた時点を検出する 2 載のプグラム。

5 、一定ごとの点を検出する 2 載のプグラム

。

6 段による検査の果を記録する記録手段を備える 2 ら5のずれに記載のプグラム。

7 御手段は、前記録手段に記録された検査の果を参照、前記しのプグラムを実行するよ御する 6 載のプグラム。8 御手段は、前記録手段に記録された検査の果を参照、前記りのプグラムを実行さなよ御する 7 載のプグラム。9 りのプグラムを実行する否を判定する判定段を備え、

前記御手段は、実行すると判定された前記りのプグラムを実行するよ御する 2 ら8のずれに記載のプグラム。

りに納されたプグラムの正の無を検査する検査点を検出する検出テップ、

前記点で、前記正の無を検査する検査ステップ、

前記ステップにより判断された不正しのプグラムを実行するよ御する制御ステップ、

前記しのプグラムを実行する実行ステップ、

を備えるプグラム御方法。

ステップは、前記ステップにより判断された不正りのプグラムを実行さなよ、

前記ステップは、前記りのプグラムを実行しな載のプグラム御方法。

2 ステップは、所定の点を検出する載のプグラム御方法。

3 ステップは、前記プグラムが書き換えられた時点を検出する

載のプグラム御方法。

4 ステップは、一定ごとの点を検出する載のプグラム御方法。

5 ステップによる検査の果を記録する記録ステップを有する皿ら 4のずれに記載のプグラム御方法。

6 ステップは、記録された検査の果を参照、前記しのプグラムを実行するよ御する 5 載のプグラム御方法。

7 ステップは、記録された検査の果を参照、前記りのプグラムを実行さなよ御する 6 載のプグラム御方法。

8 りのプグラムを実行する否を判定する判定ステップを有し、前記ステップは、実行すると判定された前記りのプグラムを実行するよ御する皿ら 7のずれに記載のプグラム御方法。