WO2015140831A1

WO2015140831A1 - 情報処理装置

Info

Publication number: WO2015140831A1
Application number: PCT/JP2014/001564
Authority: WO
Inventors: 政明武安
Original assignee: 三菱電機株式会社
Priority date: 2014-03-19
Filing date: 2014-03-19
Publication date: 2015-09-24

Abstract

　この発明は、上記のような課題を解消するためになされたもので、複数のアプリケーションによりデータが読み書きされるメモリと、第一のアプリケーションの連続する起動タイミングの間に、第一のアプリケーションより重要度が低い第二のアプリケーションが起動されたか否かを判定するメモリアクセススケジューリング制御部２３８と、第二のアプリケーションが起動されたと判定された場合、誤り検出符号を計算する誤り検出符号計算部２３５と、第二のアプリケーションが起動さなかったと判定された場合、第一のアプリケーションからの書き込み要求があったデータをメモリに書き込みを行い、第二のアプリケーションが起動されたと判定された場合、第一のアプリケーションからの書き込み要求があったデータを誤り検出符号とともにメモリに書き込みを行うメモリアクセス制御部２３４と、を有することを特徴とする情報処理装置１を提供する。

Description

情報処理装置

　本発明は、複数のアプリケーションプログラムを実行する情報処理装置に関する。

　自動車の制御装置は、制御するシステムの増加に伴い、搭載されるＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）数が増加している。このため、ＥＣＵ数の増加に伴うコスト増や搭載スペースの不足に対応するため、複数のＥＣＵによって実現されていた機能を集約し、より少ないＥＣＵで実行させる機能の統合化が進められている。
　機能の統合化に伴い、これまで個々のＥＣＵで実現されていたアプリケーションプログラム（以下、アプリケーションと称する）を１つのＥＣＵ（情報処理装置）に搭載する必要がある。しかし、複数のアプリケーションを１つのＥＣＵに搭載する際には、それぞれのアプリケーションが利用するデータを保護する機構（メモリ保護機能）を設ける必要がある。
　従来の情報処理装置では、ＭＭＵ（Ｍｅｍｏｒｙ　Ｍａｎａｇｅｍｅｎｔ　Ｕｎｉｔ）やＭＰＵ（Ｍｅｍｏｒｙ　Ｐｒｏｔｅｃｔｉｏｎ　Ｕｎｉｔ）といったＣＰＵのハードウェア機能を備え、例えば、ＭＰＵでデータを格納するメモリを複数の領域に分割し、分割した領域毎にアクセス権を設ける事でメモリアクセスしたユーザによるアクセスの可否を判定し、メモリ保護機能を実現している。
　また、従来の情報処理装置では、ＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）を介して、ＭＭＵやＭＰＵからの通知を受け取り、ＯＳ上でメモリへのアクセス可否を判別することによって、アプリケーションによるメモリ上に格納されたデータへのアクセス可否を判別しているものもある。
　特許文献１では、アプリケーションがデータをメモリ上に書き込む際に、データ及び該アプリケーションに固有のアプリケーション情報、例えば、チェックサムやＣＲＣ（Ｃｙｃｌｉｃ　Ｒｅｄｕｎｄａｎｃｙ　Ｃｈｅｃｋ）などを書き込むようにしている。
　そして特許文献１では、アプリケーションがデータを前記メモリから読み出す際には、データ及びアプリケーション情報を前記メモリから読み出し、アプリケーション情報が自身のアプリケーション識別情報と一致しない場合は、読み出したデータを破棄する手段を提供している。

特開２０１３－１７１４６７公報

　従来の情報処理装置では、ＭＭＵやＭＰＵといったＣＰＵのハードウェア機能及びＯＳを備える必要がある。このため、コスト増が生じ、低コスト化を実現するのが困難であった。

　特許文献１では、アプリケーションによるデータ書き込み、読み込みが行われる際に、メモリ領域に格納されるデータの保護に関わる処理が必ず実行されるため、システム全体のアプリケーション起動時間が増加する課題がある。

　また、特許文献１では、アプリケーションがデータを書き込む際にメモリ保護に利用する固有のアプリケーション情報の生成を行う必要があり、アプリケーションによるデータ書き込みの応答が遅延してしまう課題があった。

　また、特許文献１では、アプリケーションが書き込むデータ毎に識別子情報も書き込む必要があるため、必要とするメモリ量が増加すると言う課題もある。

　この発明は、上記のような課題を解消するためになされたもので、複数のアプリケーションによりデータが読み書きされるメモリと、第一のアプリケーションの連続する起動タイミングの間に、前記第一のアプリケーションより重要度が低い第二のアプリケーションが起動されたか否かを判定するメモリアクセススケジューリング制御部と、前記メモリアクセススケジューリング制御部により前記第二のアプリケーションが起動されたと判定された場合、誤り検出符号を計算する誤り検出符号計算部と、前記メモリアクセススケジューリング制御部により前記第二のアプリケーションが起動さなかったと判定された場合、前記第一のアプリケーションからの書き込み要求があったデータを前記メモリに書き込みを行い、前記メモリアクセススケジューリング制御部により前記第二のアプリケーションが起動されたと判定された場合、前記第一のアプリケーションからの書き込み要求があったデータを前記誤り検出符号とともに前記メモリに書き込みを行うメモリアクセス制御部と、を有することを特徴とする情報処理装置を提供する。

　本発明は、複数のアプリケーションプログラムを実行する情報処理装置において、保護されたデータへの書き込みを高速に行なうことができる。

本発明における情報処理装置のハードウェア構成を示す一例である。本発明におけるプログラムメモリの構成を示す一例である。本発明におけるデータ記憶領域の構成を示す一例である。本発明における保護アプリの機能ブロックを示す一例である。本発明におけるスケジュール情報を示す一例である。本発明におけるアプリケーションの動作順番に関係する情報を示す一例である。本発明におけるアプリケーションの動作周期のタイムチャートを示す一例である。本発明における誤り検出符号計算部の処理の構成を示す一例である。本発明におけるアプリ１と保護アプリの動作手順を示すフローチャートの一例である。本発明における保護アプリの前処理の動作手順を示すフローチャートの一例である。本発明における書き込み処理の動作手順を示すフローチャートの一例である。本発明における読み出し処理の動作手順を示すフローチャートの一例である。本発明における保護アプリの後処理の動作手順を示すフローチャートの一例である。

実施の形態１．
　図１は、本実施の形態における、情報処理装置のハードウェア構成図である。
　図１において、情報処理装置１は、主要な構成として、ＣＰＵ２とメモリ３がある。また、メモリ３はプログラムメモリ２０とデータ領域３０で構成されている。プログラムメモリ（プログラム）２０は、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）等の不揮発性メモリである。データ格納領域（メモリ）３０は、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）等の記憶装置である。本実施例において、情報処理装置１は、ＣＰＵ２がプログラムを実行する構成を備えていれば、どのようなマイコンでも良い。

　図２と図３は、実施の形態１におけるプログラムとメモリの構成の一例である。図２は、本実施例のプログラムメモリ２０に記憶されているプログラムの一例を示す構成図であり、図３は、本実施例のデータ記憶領域３０に割り当てるメモリ構成の一例を示す構成図である。

　図２において、本実施例では、プログラムメモリ２０に記憶されているプログラムとして、アプリ１（２１０）、アプリ２（２２０）等、複数のアプリケーション及び、これらアプリケーションが読み書きするデータを保護する保護アプリ２３０が含まれている。
　保護アプリ２３０は、アプリケーションがデータの読み書きを行なう際に呼び出されるだけではなく、アプリケーションが実行される前には前処理として、アプリケーションが実行された後でも後処理として実行される。
　アプリケーション及び保護アプリ２３０がどのように連携して動作するかについては、アプリ１（２１０）及び保護アプリ２３０の構成について述べた後で説明する。

　図３において、データ記憶領域３０にはプログラムが使用するデータが格納され、本実施例では、保護を必要とするデータを定義するアプリ毎にメモリ領域を割り当てる。アプリ１（２１０）が定義し使用するデータは、アプリ１定義データ格納領域３０１に、アプリ２（２２０）が定義し使用するデータでは、アプリ２定義データ格納領域３０２へ格納される。

　なお、本実施の形態では保護を必要とするデータを定義するアプリ毎にメモリ領域を割り当てる形で記載するが、専用にメモリ領域を割り当て無くても良い。また、保護アプリ２３０が使用するデータを一時的に格納するデータ一時領域を割り当てる。データ一時領域は、図に示すようにデータ一時領域Ａ３０３、データ一時領域Ｂ３０４と二重化することで、データ一時領域のデータ内容の保証を行う。

　このデータ一時領域は、データ一時領域Ａ３０３だけであっても良いし、三つ以上あってもよい。例えば、データ一時領域Ａ３０３、データ一時領域Ｂ３０４の他、更にデータ一時領域Ｃを割り当てても構わない。データ一時領域Ｃを割り当てる場合は、一時領域に書き込まれたデータが全て同一の場合、または、いずれか２つのデータが同一の場合に、一時領域からアプリ１定義データ格納領域へデータの書き込みを実施する。
　データ一時領域が四つ以上あった場合は、過半数以上のデータが同一の場合に、一時領域からアプリ１定義データ格納領域へデータの書き込みを実施する。

　図４は、本発明の実施例に関わる情報処理装置におけるアプリ１（２１０）と保護アプリ２３０の構成を示す機能ブロック図である。

　保護アプリ２３０は、アプリ１（２１０）からのデータ書き込み要求及びデータ読み出し要求に応じて呼びだされる。また、保護アプリ２３０は、アプリ１（２１０）自身が呼び出される前と後に、呼び出される。
　アプリ１（２１０）自身が呼び出される前と後に保護アプリ２３０を呼び出す方法として、アプリ１（２１０）の処理の先頭と末尾に保護アプリ２３０を呼び出すようにしても良い。
　また、情報処理装置１が、アプリ１（２１０）及び保護アプリ２３０等のアプリケーションを制御するスケジュール機能を有している場合、そのスケジュール機能が、アプリ１（２１０）自身が呼び出される前と後に保護アプリ２３０を呼び出すようにスケジュールしても良い。

　なお、図４では図示していないが、プログラムメモリ２０上にアプリ１（２１０）だけではなく、アプリ２（２２０）等の複数のアプリケーションを搭載することができる。複数のアプリケーションが搭載された場合も構成は同じである。

　アプリ１（２１０）は、処理部２１１と、データ書き込み処理部２１２と、データ読み出し部２１３を備える。
　処理部２１１は、データの計算処理など、アプリ１（２１０）の主となる処理を実行する。また、処理部２１１は、アプリ１定義データ格納領域３０１に対し、データの書き込みを行なう際には、データ書き込み処理部２１２を、データの読み出しを行なう際には、データ読み出し処理部２１３を呼び出す。

　データ書き込み処理部２１２は、処理部２１１からデータの書き込みを行なうアドレスとデータの内容を取得する。データ書き込み処理部２１２は、取得したアドレスとデータの内容を保護アプリ２３０へ渡す。
　データ読み出し処理部２１３は、処理部２１１からデータの読み出しを行なうアドレスを取得する。データ読み出し処理部２１３は、取得したアドレスを保護アプリ２３０へ渡し、データを受け取る。

　保護アプリ２３０は、データ書き込み受付部２３１と、データ読み出し受付部２３２と、一時領域アクセス制御部２３３と、メモリアクセス制御部２３４と、誤り検出符号計算部２３５と、メモリアクセス判定部２３６と、メモリアクセス情報２３７と、メモリアクセススケジューリング制御部２３８と、スケジューリング情報２３９を備える。

　メモリアクセススケジューリング制御部２３８は、アプリケーションが実行される前後に呼び出される。
（１．データ保護機能の前処理）
　メモリアクセススケジューリング制御部２３８は、アプリケーションがデータ書き込み処理またはデータ読み出し処理を行なう前に呼び出される。
　メモリアクセススケジューリング制御部２３８は、スケジューリング情報２３９を参照し、自分を呼び出したアプリケーションの重要度を獲得する。
　また、メモリアクセススケジューリング制御部２３８は、自分を呼び出したアプリケーション（第一のアプリケーション）が前回起動された後から、今回起動されるまでの間に、自分自身を呼び出したアプリケーションの重要度よりも低い重要度のアプリケーション（第二のアプリケーション）が、他に起動されていないか判定する。
　メモリアクセススケジューリング制御部２３８は、自分自身を呼び出したアプリケーションの重要度よりも低い重要度のアプリケーションが、起動されていた場合、前処理として呼びだしている情報とともに、メモリアクセス判定部２３６を呼び出す。
（２．データ保護機能の後処理）
　メモリアクセススケジューリング制御部２３８は、アプリケーションがデータ書き込み処理またはデータ読み出し処理を行なった後に呼び出される。
　メモリアクセススケジューリング制御部２３８は、後処理として呼びだしている情報とともに、メモリアクセス判定部２３６を呼び出す。

　スケジューリング情報２３９は、情報処理装置１上で動作するアプリケーションの動作順番及び、重要度が記憶されている。図５にスケジューリング情報２３９の例を示す。

　スケジューリング情報２３９では、情報処理装置１上で動作するアプリケーションの動作順番を繰り返し周期分保持したものであり、アプリケーションを識別するためのアプリケーション識別子とアプリケーションに割り当てられた重要度が記憶されている。

　動作順番とは、各アプリケーションが動作する順番を繰り返し周期分保持したものである。アプリケーションのスケジューリングアルゴリズムは多種提案されており、例えば、優先度固定のスケジューリングとしては、レートモノトニックスケジューリングやデットラインモノトニックスケジュールがある。

　情報処理装置１上で動作するアプリケーションは上述したスケジューリングアルゴリズムに基づき動作順番を決定し、一定周期で繰り返し実行される。アプリケーションの動作順番の例を図６及び図７に示す。図６は、本例におけるアプリケーションの動作順番に関係する情報を示したものである。図７は、本例に示したアプリケーションの起動周期を図示したタイムチャートである。図７に示すようにアプリケーションの起動周期に基づいて、一定周期で繰り返し起動される。本タイムチャートに基づいてスケジューリング情報２３９を作成したものが図５となる。

　また、ここで言う重要度とは、例えば、情報処理装置１が車両に搭載される制御装置である場合、アプリケーションの重要度には、車両の電子制御機器に対する機能安全に関する規格であるＩＳＯ２６２６２で定義されたＡＳＩＬ（Ａｕｔｏｍｏｔｉｖｅ　Ｓａｆｅｔｙ　Ｉｎｔｅｇｒｉｔｙ　Ｌｅｖｅｌ）を適用しても良い。また、他の定義を適用しても良い。

　なお、ＡＳＩＬとは、自動車の電気電子制御システムが持つ不安全なリスクに関する指標値であり、ＱＭ、Ａ、Ｂ、Ｃ、Ｄの順に高いレベルの安全方策が求められている。異なるＡＳＩＬが割り当てられた複数のアプリケーションを１つの情報処理装置に混在して搭載される場合、より低いＡＳＩＬが割り当てられたアプリケーションがより高いＡＳＩＬが割り当てられたアプリケーションに対して干渉しないことを説明する必要がある。本説明ができない場合は、より高いＡＳＩＬのプロセスに従い開発する必要がある。

　つまり、自アプリケーションよりも高い重要度のアプリケーションは、自アプリケーションに対し、勝手にメモリの変更を行なうなどの干渉を行なわないことが保証されているが、自アプリケーションよりも低い重要度のアプリケーションからの干渉は保証されていないことを意味する。

　データ書き込み受付部２３１は、アプリ１（２１０）からのデータ書き込み処理を受け付け、書き込みを行なうアプリ１定義データ格納領域３０１（第一のメモリ）内のアドレスとデータを取得する。また、データ書き込み受付部２３１は、アプリ１（２１０）を識別するための情報（アプリ識別子）と取得したアドレスとデータをメモリアクセス判定部２３６に出力する。

　データ読み出し受付部２３２は、アプリ１（２１０）からのデータ読み出し処理を受け付け、読み出しを行なうアプリ１定義データ格納領域３０１内のアドレスを取得する。また、データ読み出し受付部２３２は、アプリ１（２１０）を識別するための情報（アプリ識別子）と取得したアドレスをメモリアクセス判定部２３６に出力する。

　メモリアクセス判定部２３６は、以下の４種類の呼びだされ方がある。
（１．書き込み処理）
　メモリアクセス判定部２３６は、データ書き込み受付部２３１から送信されたアプリ識別子とアドレスとデータをもとに、データサイズを計算する。
　また、メモリアクセス判定部２３６は、アドレスとデータとデータサイズとアプリ識別子を一時領域アクセス制御部２３３及びメモリアクセス制御部２３４に送信する。
（２．読み出し処理）
　メモリアクセス判定部２３６は、データ読み出し受付部２３２から送信されたアドレスをメモリアクセス情報２３７と照らし合わせることによって、読み出し対象のデータが一時領域（第二のメモリ）に書き込まれているかの判定を行なう。
　また、メモリアクセス判定部２３６は、読み出し対象のデータがアプリ１定義データ格納領域３０１に書き込まれたものであった場合、メモリアクセス制御部２３４にアドレスを送信する。
　また、メモリアクセス判定部２３６は、アプリ１定義データ格納領域３０１より読み出したデータのチェックサムが正しかった場合、アプリ１（２１０）へ読み出しデータを送信する。
　なお、本実施の形態では、アプリケーションに固有の情報として、チェックサムを用いているが、ＣＲＣを用いてもよい。
　また、メモリアクセス判定部２３６は、読み出し対象のデータが一時領域に書き込まれたものであった場合、一時領域アクセス制御部２３３にアドレスを送信する。
　また、メモリアクセス判定部２３６は、複数の一時領域より読み出したデータが一致した場合、アプリ１（２１０）へ読み出しデータを送信する。
　また、メモリアクセス判定部２３６は、複数の一時領域より読み出したデータが一致しなかった場合、フェールセーフ処理（後述）を行なう。
（３．データ保護機能の前処理）
　メモリアクセス判定部２３６は、メモリアクセススケジューリング制御部２３８から前処理であるとの情報とともに呼びだされ、メモリアクセス制御部２３４を呼び出す。
　また、メモリアクセス判定部２３６は、メモリアクセス制御部２３４を呼び出した結果、アプリ１定義データ格納領域３０１より読み出したデータの内容に変更があった場合、フェールセーフ処理（後述）を行なう。
（４．データ保護機能の後処理）
　メモリアクセス判定部２３６は、メモリアクセススケジューリング制御部２３８から後処理であるとの情報とともに呼びだされ、一時領域アクセス制御部２３３を呼び出す。
　また、メモリアクセス判定部２３６は、一時領域アクセス制御部２３３を呼び出した結果、データ一時領域Ａ３０３とデータ一時領域Ｂ３０４のデータが一致した場合、メモリアクセス情報２１８をもとに、データ格納先のアドレスがアプリ１によるアクセスが許可されたメモリ領域か否かを判定し、アクセスが許可されていた場合、メモリアクセス制御部２３４にデータ一時領域Ａ３０３及びデータ一時領域Ｂ３０４のデータを送信する。
　また、メモリアクセス判定部２３６は、一時領域アクセス制御部２３３を呼び出した結果、データ一時領域Ａ３０３とデータ一時領域Ｂ３０４のデータが一致しなかった場合、または、データ格納先のアドレスがアプリ１によるアクセスが許可されていなかった場合、フェールセーフ処理（後述）を行なう。

　メモリアクセス制御部２３４は、以下の２種類の呼びだされ方がある。
（１．データ保護機能の前処理及び読み出し処理）
　メモリアクセス制御部２３４は、メモリアクセス判定部２３６から前処理もしくは、読み出し処理として呼び出される。
　メモリアクセス制御部２３４は、アプリ１（２１０）が定義するデータを格納するアプリ１定義データ格納領域３０１より、データ値ならびに誤り検出符号を読み出す。
　また、メモリアクセス制御部２３４は、データ値ならびに誤り検出符号を誤り検出符号計算部２３５に送信する。
　また、メモリアクセス制御部２３４は、誤り検出符号計算部２３５を呼び出した結果、アプリ１定義データ格納領域３０１より読み出したデータの内容に変更が無いか判定する。
　また、メモリアクセス制御部２３４は、判定した結果をメモリアクセス判定部２３６に返す。
（２．データ保護機能の後処理及び書き込み処理）
メモリアクセス制御部２３４は、メモリアクセス判定部２３６から後処理もしくは、書き込み処理として呼び出される。
　メモリアクセス制御部２３４は、メモリアクセス判定部２３６から送信されたデータを元に、アプリ１定義データ格納領域３０１へ書き込む。
　また、メモリアクセス制御部２３４は、データの書き込み後に、誤り検出符号計算部２１６を起動し、アプリ１定義データ格納領域３０１内の全データよりチェックサムを計算する。
　また、メモリアクセス制御部２３４は、チェックサム計算後、アプリ１定義データ格納領域３０１にチェックサム値を書き込む。

　一時領域アクセス制御部２３３は、以下の２種類の呼びだされ方がある。
（１．書き込み処理）
　一時領域アクセス制御部２３３は、メモリアクセス判定部２３６から入力されたアドレスとデータとデータサイズとアプリ識別子をもとに、データ一時領域Ａ３０３とデータ一時領域Ｂ３０４にアプリ１（２１０）のデータ格納アドレス、データ値ならびにアプリ識別子を格納する。
（２．読み出し処理及びデータ保護機能の後処理）
　一時領域アクセス制御部２３３は、メモリアクセス判定部２３６から入力されたアドレスとアプリ識別子をもとに、データ一時領域Ａ３０３及びデータ一時領域Ｂ３０４からデータを読み出す。
　また、一時領域アクセス制御部２３３は、読み出したデータをメモリアクセス判定部２３６に送信する。

　メモリアクセス情報２３７は、アプリ１定義データ格納領域３０１が割り当てられたアドレスの情報（アプリ１によってアクセスが許可されたメモリであるか否か）を保有する。

　誤り検出符号計算部２３５は、以下の２種類の呼びだされ方がある。
（１．データ保護機能の前処理及び読み出し処理）
　誤り検出符号計算部２３５は、メモリアクセス制御部２３４から入力されたデータ値ならびに誤り検出符号をもとに、アプリ１定義データ格納領域３０１より読み出したデータの内容に変更が無いか確認を行なう。
　また、誤り検出符号計算部２３５は、メモリアクセス制御部２３４に確認した結果を送信する。
（２．データ保護機能の後処理及び書き込み処理）
　誤り検出符号計算部２３５は、メモリアクセス制御部２３４からデータ保護機能の後処理及び書き込み処理として呼び出された場合、アプリ１データ格納領域３０１の誤り検出符号を生成し、アプリ１定義データ格納領域３０１へ書き込みを行う。
　なお、本実施例では、アプリ１定義データ格納領域３０１全体に対して誤り検出符号を生成しているが、誤り検出符号はデータ単位に付与しても良い。

　データ内容の変更検出のための誤り検出符号として、チェックサムを使用した実施例を簡単に説明する。
　チェックサムは対象となるデータを８ビットや１６ビットなど、任意のワード単位で加算し、総計の下位１ワードを符号値とするものである。

　本実施例では、アプリ１（２１０）の処理完了後、保護アプリ２３０が起動され、保護アプリ２３０のメモリアクセス制御部２３４にて、アプリケーション用のデータ格納領域全体のデータを読み出し、１６ビット単位でデータを加算し、総計の下位１６ビットの補数をアプリケーション用のデータ格納領域全体のチェックサムとしてデータとともに格納する。

　なお、対象となるデータ格納領域内のデータのデータ長さが１６ビットで割り切れない場合は、下位に０のビットを追加するなどして１６ビットの長さに整え、チェックサムを計算する。

　続いて、アプリ１（２１０）の処理が起動する前に保護アプリ２３０が起動され、保護アプリ２３０のメモリアクセス制御部２３４にて、アプリケーション用のデータ格納領域全体のデータならびにチェックサムを取り出す。データならびにチェックサムを１６ビット単位で加算し、総計が０であればデータは変更されていないこととなる。

　チェックサムの計算方法として、アプリケーション用のデータ格納領域の内、一部の領域のみが書き換えられる場合に備え、差分計算を実施する手段も設けておく。差分計算は、アプリケーション用のデータ格納領域を１６ビット単位で領域を区切り、一時領域に保持しているアプリケーションにより書き込みが行われたデータが含まれる領域に対して、データ格納領域から読み出したアプリケーションによる書き込みが行われる前のデータを加算した値と、一時領域に保持しているアプリケーションによる書き込みが行われた後のデータを加算した値との差分を全体のチェックサムに加算することで実現する。

　図８は、本実施の形態における情報通信の流れ（チェックサム差分計算）を示す一例である。
　チェックサムを計算する誤り検出符号計算部２３５は、チェックサム取得対象領域取得部２７１と、チェックサム差分計算部２７２と、チェックサム生成部２７３で構成される。

　チェックサム取得対象領域取得部２７１は、データ格納領域のデータ全体と一時領域に格納されたアプリケーションによる書き込みが行われたデータをもとに、チェックサムの差分計算を行う必要がある領域を取得する。

　チェックサム差分計算部２７２は、対象領域におけるアプリケーションによる書き込みが行われる前の値とアプリケーションによる書き込みが行われた後の値をもとに、対象領域のチェックサムの差分を求める。

　チェックサム生成部２７３は、アプリケーションによる書き込みが行われる前のデータ格納領域全体のチェックサム値とチェックサム差分値をもとにチェックサムの再計算を行う。

　図５に示すように、誤り検出符号計算部２３５では、アプリ１定義データ格納領域３０１全体のデータ値とチェックサム情報と、一時領域内に格納しているアプリケーションにより書き込みが行われたデータ格納アドレス、サイズ、値が入力される。

　チェックサム計算対象領域取得部２７１では、アプリ１定義データ格納領域３０１の先頭アドレスより１６ビット単位で領域を区切り、一時領域内のデータ格納アドレスとサイズから、チェックサムの再計算を実施する必要のある領域を取得する。
　取得した領域情報をもとに、アプリケーションによりデータが書き込まれる前の領域内のデータとアプリケーションによりデータが書き込まれた後の領域内のデータを取得し、チェックサム差分計算部２７２に引き渡す。

　チェックサム差分計算部２７２では、アプリケーションによりデータが書き込まれる前の領域内のデータを加算した値とアプリケーションによりデータが書き込まれた後の領域内のデータを加算した値を求め、チェック差分値を取得する。
　チェックサム生成部２７３では、アプリ１定義データ格納領域３０１内のチェックサムとチェックサム差分値の総計を新しいチェックサムとして生成する。

　このような処理を行うことで、アプリケーション用のデータ格納領域全体のサイズが大きい場合のチェックサム計算時間を短縮することができる。
　なお、チェックサムの差分値を計算する必要のある領域を求める時間を短縮するため、予めチェックサムを計算するワード単位の倍数でアプリケーションのデータを定義しても良い。
　また、本実施例は誤り検出符号としてチェックサムを用いる例としたが、誤り検出符号はパリティビットのような単純な方式でもＣＲＣ値のような検出精度の高い方式を適用しても良い。

　次に図９、１０、１１、１２、１３を用いて本発明の動作を説明する。
　図９は、本実施の形態における、アプリ１（２１０）と保護アプリ２３０の動作手順を示すフローチャートである。
　図１０、１１，１２、１３は本実施の形態における、情報処理装置１の動作手順を示すフローチャートの一例である。図１０は、保護アプリ２３０の前処理の動作手順について示す。図１１は、アプリ１（２１０）によりデータ書き込みが行なわれる場合の動作手順について示す。図１２は、アプリ１（２１０）によりデータ読み出しが行なわれる場合の動作手順について示す。図１３は、保護アプリ２３０の後処理の動作手順について示す。
　まず、図９について説明する。

　図９は、アプリ１（２１０）と保護アプリ２３０の動作手順を示すフローチャートである。図４で説明したように、保護アプリ２３０は、アプリ１（２１０）からのデータ書き込み要求及びデータ読み出し要求に応じて呼びだされる。また、保護アプリ２３０は、アプリ１（２１０）自身が呼び出される前と後に、呼び出される。

　ステップＳ４０１において、保護アプリ２３０内のメモリアクセススケジューリング制御部２３８は、アプリ１（２１０）の処理を実行する前に、前処理を行なう。

　ステップＳ４０２において、アプリ１（２１０）内の処理部２１１は、アプリ１（２１０）の主となる処理を実行する。

　ステップＳ４０３において、アプリ１（２１０）内の処理部２１１は、データ記憶領域３０（メモリ）をアクセスする処理を行なうかの判定を行なう。アプリ１（２１０）内の処理部２１１は、データの書き込み処理であれば、データ書き込み処理部２１２を、データの読み出し処理であれば、データ読み出し処理部２１３を呼び出す。

　ステップＳ４０４において、アプリ１（２１０）内のデータ書き込み処理部２１２は、保護アプリ２３０を呼び出し、データ記憶領域３０への書き込み処理を行なう。

　ステップＳ４０５において、アプリ１（２１０）内のデータ読み出し処理部２１３は、保護アプリ２３０を呼び出し、データ記憶領域３０から読み出し処理を行なう。

　ステップＳ４０６において、アプリ１（２１０）内のデータ読み出し処理部２１３は、自身の処理が完了したか判断する。完了していない場合、ステップＳ４０２に戻り、アプリケーションの実行を再度行なう。完了した場合、保護アプリ２３０を呼び出す。

　ステップＳ４０７において、保護アプリ２３０内のメモリアクセススケジューリング制御部２３８は、後処理を行なう。

　次に、図１０について説明する。図１０は、図９のステップＳ４０１で説明した保護アプリ２３０の前処理の動作手順を示すフローチャートである。

　ステップＳ１０１において、メモリアクセススケジューリング制御部２３８は、アプリケーションの起動順番とアプリケーションの重要度を、スケジューリング情報２３９から読み出す。

　ステップＳ１０２において、メモリアクセススケジューリング制御部２３８は、スケジューリング情報２３９から読み出したアプリケーションの起動順番の情報をもとに、アプリ１（２１０）が前回起動されてから、今回起動されるまでの間に、アプリ１（２１０）自身の重要度よりも低い重要度が設定されたアプリケーション（低重要度アプリ）が起動されたかどうかを判定する。低重要度アプリが起動された場合、勝手にメモリの変更が行われた可能性があることを意味する。
　なお、本実施の形態では、アプリ１（２１０）が前回起動されてから、今回起動されるまでの間に、低重要度アプリが起動されたがどうかを判定するようにしたが、情報処理装置１上で起動されるアプリケーション全ての起動順番が予測できる場合には、アプリ１（２１０）が前回起動されてから、次回アプリ１（２１０）が起動されるまでの間、低重要度アプリが起動されたがどうかを判定するようにしてもよい。

　ステップＳ１０２において、低重要度アプリが起動されていなかった場合について述べる。
　低重要度アプリが起動されていなかった場合、ステップＳ１０３において、メモリアクセススケジューリング制御部２３８は、データチェック処理を不要に設定し、保護アプリ２３０の前処理を終了する。

　ステップＳ１０２において、低重要度アプリが起動された場合について述べる。
　低重要度アプリが起動された場合、ステップＳ１０４において、メモリアクセススケジューリング制御部２３８は、データチェック処理を要に設定する。

　次にステップＳ１０５において、メモリアクセススケジューリング制御部２３８は、メモリアクセス判定部２３６を起動する。メモリアクセス判定部２３６は、メモリアクセス制御部２３４を起動し、アプリ１定義データ格納領域３０１からデータとチェックサムを読み出す。

　ステップＳ１０６において、メモリアクセス制御部２３４は、誤り検出符号計算部２３５を読み出す。また、メモリアクセス制御部２３４は、アプリ１定義データ格納領域３０１内のデータとチェックサムを計算し、データが変更されているか否かを判定する。

　メモリアクセス制御部２３４は、データが変更されていると判定した場合、ステップＳ１０７において、フェールセーフ処理を行い、前処理を終了する。

　フェールセーフ処理を行なう方法は、予めアプリケーション毎に定めてられており、例えばデフォルト値へ置き換える方法や、データ値を書き込まない等の方法が挙げられる。

　次に、図１１について説明する。図１１は、図９のステップＳ４０４で説明したアプリ１（２１０）及び保護アプリ２３０による、データ書き込み処理の動作手順を示すフローチャートである。

　ステップＳ１１１において、アプリ１（２１０）内のデータ書き込み処理部２１２は、アプリ１定義データ格納領域３０１に対するデータの書き込み要求（データを書き込むアドレス、書き込むデータ）を、保護アプリ２３０内のデータ書き込み受付部２３１に送る。

　ステップＳ１１２において、データ書き込み受付部２３１は、データ書き込み処理部２１２から受け取った、データを書き込むアドレス及び書き込むデータを、メモリアクセス判定部２３６に渡す。メモリアクセス判定部２３６は、データチェック処理の要否を確認する。

　データチェック処理が要の場合、ステップＳ１１３において、メモリアクセス判定部２３６は、一時領域アクセス制御部２３３へ、アプリ１（２１０）から受けたデータ格納アドレス、データ値ならびに、アプリ識別子を引き渡す。
　一時領域アクセス制御部２３３は、データ一時領域A３０３に、アプリ１のデータ格納アドレス、データ値ならびにアプリ識別子を格納する。

　ステップＳ１１４にて、一時領域アクセス制御部２３３は、データ一時領域Ｂ３０４にアプリ１のデータ格納アドレス、データ値とアプリ識別子を格納する。

　データチェック処理が不要の場合、ステップＳ１１５において、メモリアクセス判定部２３６は、メモリアクセス制御部２３４へ、アプリ１から受けたデータ格納アドレス、データ値ならびに、アプリ識別子を引き渡す。
　メモリアクセス判定部２３６は、アプリ１定義データ格納領域３０１に、アプリ１のデータ格納アドレス、データ値を格納する。

　本動作は、アプリ１のプログラムにより、アプリ１定義データ格納領域３０１への書き込みデータが発生する度に実行される。
　このように複数の一時領域へデータを格納することにより、データ保護アプリが利用するデータ一時領域のデータ変更を検出でき、一次領域の安全性を保証することができる。

　次に、図１２について説明する。図１２は、図９のステップＳ４０５で説明したアプリ１（２１０）及び保護アプリ２３０による、データ読み出し処理の動作手順を示すフローチャートである。

　ステップＳ１２１において、アプリ１（２１０）内のデータ読み出し処理部２１３は、アプリ１定義データ格納領域３０１に対するデータの読み出し要求（データを読み出すアドレス、サイズ）を保護アプリ２３０内のデータ読み出し受付部２３２に送る。
　アプリ１（２１０）のプログラムが特有の処理を行うことで、アプリ１定義データ格納領域３０１からのデータ読み出し処理が発生する。アプリ１のデータをアプリ１定義データ格納領域３０１から読み出す際に、保護アプリ２０１内のデータ読み出し受付部２１３で要求を受け付け、メモリアクセス判定部２１７にデータが受け渡される。メモリアクセス判定部２１７はデータチェック処理要否を判定する（Ｓ１２１）。

　ステップＳ１２２において、データ読み出し受付部２３２は、データ読み出し処理部２１３から受け取った、データを読み出すアドレス及び読み出すデータのサイズを、メモリアクセス判定部２３６に渡す。メモリアクセス判定部２３６は、データチェック処理の要否を確認する。

　ステップＳ１２２において、データチェック処理要の場合について述べる。
　データチェック処理要の場合、ステップＳ１２３において、メモリアクセス判定部２３６は、メモリアクセス制御部２３４へ、アプリ１（２１０）から受けたを読み出すデータのアドレス、読み出すデータのサイズならびに、アプリ識別子を引き渡す。
　メモリアクセス制御部２３４は、メモリアクセス判定部２３６から渡された、読み出すデータのアドレス、読み出すデータのサイズならびに、アプリ識別子を用いて、アプリ１定義データ格納領域３０１よりデータを読み出し、データ読み出し受付部２３２へ渡す。

　ステップＳ１２８において、データ読み出し受付部２３２は、メモリアクセス制御部２３４から受け取ったデータをアプリ１（２１０）へ通知し、読み出し処理を終了する。

　ステップＳ１２２において、データチェック処理不要の場合について述べる。
　データチェック処理不要の場合、ステップＳ１２４において、メモリアクセス判定部２３６は、一時領域アクセス制御部２３３へ、アプリ１（２１０）から受けたを読み出すデータのアドレス、読み出すデータのサイズならびに、アプリ識別子を引き渡す。
　一時領域アクセス制御部２３３は、メモリアクセス判定部２３６から渡された、読み出すデータのアドレス、読み出すデータのサイズならびに、アプリ識別子を用いて、データ一時領域に対し、読み出しの対象となっているデータが書き込まれているか否か判断を行なう。
　ステップＳ１２４において、読み出し対象データが一時領域に書き込まれている場合について述べる。
　読み出し対象データが一時領域に書き込まれている場合、ステップＳ１２５において、一時領域アクセス制御部２３３は、データ一時格納領域A３０３よりデータを読み出す。
　なお、ステップＳ１２４で

　ステップＳ１２６において、一時領域アクセス制御部２３３は、データ一時格納領域Ｂ３０４よりデータを読み出す。

　ステップＳ１２７において、一時領域アクセス制御部２３３は、データ一時格納領域A３０３より読み出したデータと、データ一時格納領域Ｂ３０４より読み出したデータとを比較する。
　ステップＳ１２７において、比較した結果が同一だった場合について述べる。
　比較した結果が同一だった場合、ステップＳ１２８において、一時領域アクセス制御部２３３は、読み出したデータを、データ読み出し受付部２３２へ渡す。
　データ読み出し受付部２３２は、メモリアクセス制御部２３４から受け取ったデータをアプリ１（２１０）へ通知し、読み出し処理を終了する。

　ステップＳ１２７において、比較した結果が同一で無かった場合、比較した結果が同一で無かった場合、ステップＳ１２９において、一時領域アクセス制御部２３３は、フェールセーフ処理を行い、読み出し処理を終了する。

　本動作は、アプリ１のプログラムにより、アプリ１定義データ格納領域３０１からのデータ読み出しが発生する度に実行される。

　次に、図１３について説明する。図１３は、図９のステップＳ４０７で説明した保護アプリ２３０の後処理の動作手順を示すフローチャートである。

　ステップＳ１３１において、メモリアクセススケジューリング制御部２３８は、メモリアクセス判定部２３６を起動する。メモリアクセス判定部２３６は、データチェック処理の要否を判定する。データチェック処理が不要であった場合、後処理を終了する。

　ステップＳ１３１において、データチェック処理が要であった場合について述べる。
　データチェック処理が要であった場合、ステップＳ１３２において、メモリアクセス判定部２３６は、一時領域アクセス制御部２３３を起動し、データ一時領域Ａ３０３からデータを読み出す。

　ステップＳ１３３において、メモリアクセス判定部２３６は、一時領域アクセス制御部２３３を起動し、データ一時領域Ｂ３０４からデータを読み出す。

　ステップＳ１３４において、メモリアクセス判定部２３６は、データ一時領域Ａ３０３から読み出したデータと、データ一時領域Ｂ３０４から読み出したデータとが同一であるか比較する。
　ステップＳ１３４において、比較したデータが同一であった場合について述べる。
　比較したデータが同一であった場合、ステップＳ１３５において、メモリアクセス判定部２３６は、データ一時領域から読み出したデータのアドレスが、アプリ１定義データ格納領域３０１内のアドレスであるか否かの判定を行なう。

　ステップＳ１３５において、データ一時領域から読み出したデータのアドレスが、アプリ１定義データ格納領域３０１内のアドレスであった場合について述べる。
　データ一時領域から読み出したデータのアドレスが、アプリ１定義データ格納領域３０１内のアドレスであった場合、ステップＳ１３６において、メモリアクセス判定部２３６は、データ一時領域から読み出したデータをメモリアクセス制御部２３４へ渡す。
　また、メモリアクセス制御部２３４は、メモリアクセス判定部２３６から渡されたデータ一時領域から読み出したデータをアプリ１定義格納領域へ格納する。

　ステップＳ１３７において、メモリアクセス制御部２３４は、誤り検出符号計算部２３５を呼び出す。
　また、誤り検出符号計算部２３５は、アプリ１定義データ格納領域３０１の全データからチェックサムを生成する。

　ステップＳ１３８において、メモリアクセス制御部２３４は、誤り検出符号計算部２３５が生成したチェックサムを、アプリ１定義データ格納領域３０１へ格納する。

　ステップＳ１３９において、一時領域アクセス制御部２３３は、データ一時領域Ａ３０３の消去、及び、データ一時領域Ｂ３０４の消去を行ない、後処理を終了する。

　ステップＳ１３４において、比較したデータが同一では無かった場合について述べる。
　比較したデータが同一では無かった場合、ステップＳ１４０において、メモリアクセス判定部２３６は、フェールセーフ処理を行う。
　また、メモリアクセス判定部２３６は、フェールセーフ処理を行なった後に、一時領域アクセス制御部２３３に対し、データ一時領域の消去を指示する。

　ステップＳ１３５において、データ一時領域から読み出したデータのアドレスが、アプリ１定義データ格納領域３０１内のアドレスで無かった場合について述べる。
　データ一時領域から読み出したデータのアドレスが、アプリ１定義データ格納領域３０１内のアドレスでは無かった場合、ステップＳ１４０において、メモリアクセス判定部２３６は、フェールセーフ処理を行う。
　また、メモリアクセス判定部２３６は、フェールセーフ処理を行なった後に、一時領域アクセス制御部２３３に対し、データ一時領域の消去を指示する。

　以上のように、アプリケーションが書き込み及び読み出しを行う前の前処理として、低重要度アプリが起動されたか否かを予め調べておき、低重要度アプリが起動されていない場合、つまり、メモリが勝手に変更されていない場合には、メモリチェックを行わずに書き込み及び読み出しを行うことにより、メモリ保護を維持しつつ、システム全体のアプリケーション起動時間を増加させることなく、処理の応答速度を改善するとともに、必要とするメモリ量を減らすことができる。

１　情報処理装置、２　ＣＰＵ、３　メモリ、２０　プログラムメモリ、３０　データ格納領域、２１０　アプリ１、２１１　処理部、２１２　データ書き込み処理部、２１３　データ読み出し処理部、２２０　アプリ２、２３０　保護アプリ、２３１　データ書き込み受付部、２３２　データ読み出し受付部、２３３　一時領域アクセス制御部、２３４　メモリアクセス制御部、２３５　誤り検出符号計算部、２３６　メモリアクセス判定部、２３７　メモリアクセス情報、２３８　メモリアクセススケジューリング制御部、２３９　スケジューリング部、３０１　アプリ１定義データ格納領域、３０２　アプリ２定義データ格納領域、３０３　データ一時領域Ａ、３０４　データ一時領域Ｂ。

Claims

　複数のアプリケーションによりデータが読み書きされるメモリと、
　第一のアプリケーションの連続する起動タイミング間に、前記第一のアプリケーションより重要度が低い第二のアプリケーションが起動されたか否かを判定するメモリアクセススケジューリング制御部と、
　前記メモリアクセススケジューリング制御部により前記第二のアプリケーションが起動されたと判定された場合、誤り検出符号を計算する誤り検出符号計算部と、
　前記メモリアクセススケジューリング制御部により前記第二のアプリケーションが起動さなかったと判定された場合、前記第一のアプリケーションからの書き込み要求があったデータを前記メモリに書き込み、前記メモリアクセススケジューリング制御部により前記第二のアプリケーションが起動されたと判定された場合、前記第一のアプリケーションからの書き込み要求があったデータを前記誤り検出符号とともに前記メモリに書き込むメモリアクセス制御部と、
を有することを特徴とする情報処理装置。
　前記メモリは、第一のメモリと第二のメモリとで構成され、
　前記メモリアクセス制御部は、前記メモリアクセススケジューリング制御部により前記第二のアプリケーションが起動されなかったと判定された場合、前記第一のアプリケーションからの書き込み要求があったデータを複数の前記第一のメモリに書き込み、前記メモリアクセススケジューリング制御部により前記第二のアプリケーションが起動されたと判定された場合、前記第一のアプリケーションからの書き込み要求があったデータを前記誤り検出符号とともに前記第二のメモリに書き込む
ことを特徴とする請求項１に記載の情報処理装置。
　前記複数の第一のメモリそれぞれから読み出した複数のデータが一致しなかった場合、または、前記第二のメモリから読み出したデータを前記誤り検出符号計算部で計算した結果と前記第二のメモリから読み出した誤り検出符号が一致しなかった場合、データが前記第二のアプリケーションによって変更されたと判定するメモリアクセス判定部を
有する事を特徴とする請求項２に記載の情報処理装置。