[go: up one dir, main page]

JP2014059635A - Controller and method of preventing data leakage for controller - Google Patents

Controller and method of preventing data leakage for controller Download PDF

Info

Publication number
JP2014059635A
JP2014059635A JP2012203160A JP2012203160A JP2014059635A JP 2014059635 A JP2014059635 A JP 2014059635A JP 2012203160 A JP2012203160 A JP 2012203160A JP 2012203160 A JP2012203160 A JP 2012203160A JP 2014059635 A JP2014059635 A JP 2014059635A
Authority
JP
Japan
Prior art keywords
data
debugger
signal
microprocessor
sdram
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2012203160A
Other languages
Japanese (ja)
Inventor
Satoshi Kai
聡 甲斐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fuji Electric Co Ltd
Original Assignee
Fuji Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Electric Co Ltd filed Critical Fuji Electric Co Ltd
Priority to JP2012203160A priority Critical patent/JP2014059635A/en
Publication of JP2014059635A publication Critical patent/JP2014059635A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】 デバッガが接続された際にも、外付けメモリなどに保持されたデータを流出させない、すなわちデータを保護する制御装置およびデータ漏洩防止方法を提供する。
【解決手段】 制御装置1は、マイクロプロセッサ4と、マイクロプロセッサ4が実行するプログラムを含むデータを保持し、所定の指令が与えられることによりデータを揮発する記憶部7と、プログラムをデバッグするデバッガ2を接続する接続部3と、接続部3にデバッガ2が接続されたことを検出する接続検出部11と、該接続検出部11によってデバッガ2の接続が検出されると、所定の指令を記憶部7に与え、記憶部7のデータを揮発させる制御部5と、により構成される。
【選択図】図1PROBLEM TO BE SOLVED: To provide a control device and a data leakage prevention method for protecting data that does not flow out data held in an external memory even when a debugger is connected.
A control device includes a microprocessor, a storage unit that holds data including a program executed by the microprocessor, and volatilizes the data when a predetermined command is given, and a debugger that debugs the program 2, a connection detection unit 11 that detects that the debugger 2 is connected to the connection unit 3, and stores a predetermined command when the connection detection unit 11 detects the connection of the debugger 2. And a control unit 5 that gives the unit 7 and volatilizes the data in the storage unit 7.
[Selection] Figure 1

Description

本発明は、記憶部を備える制御装置、およびその記憶部に記憶されたデータの漏洩防止方法に関する。   The present invention relates to a control device including a storage unit and a method for preventing leakage of data stored in the storage unit.

電力変換装置などの組み込みシステムではデバック機能としてJTAG(Joint Test Action Group)機能を搭載することが主流になっている。
PC(Personal Computer)等、汎用のコンピュータシステムは勿論のこと、各種組込みシステムにおいて、プログラムやデータ等、ソフトウェアの保護は重要である。しかしながら、上記したJTAGを用いると、メモリに保持されたプログラムやデータを自由に読みだすことができる。 In an embedded system such as a power conversion device, a JTAG (Joint Test Action Group) function is mainly installed as a debugging function.
In various embedded systems as well as general-purpose computer systems such as PCs (Personal Computers), it is important to protect software such as programs and data. However, by using the above-described JTAG, it is possible to freely read out programs and data held in the memory.

従来、第三者によるJTAGインタフェースを介したプログラムやデータの読み出しができないような仕組みが開発され提案されている。例えば、特許文献1には、内蔵フラッシュROMにセキュリティビットを設け、このセキュリティビットをONすることでJTAGインタフェースの機能を禁止してフラッシュROMに保持されたプログラムの読出しができない仕組みが開示されている。また、特許文献2には、JTAGインタフェースにICE等のデバッグ機器が接続されているときは、内蔵RAMのアクセスを禁止することで内蔵RAMに保持されたプログラムの読み出しができない仕組みが開示されている。   Conventionally, a mechanism has been developed and proposed in which a program or data cannot be read by a third party via a JTAG interface. For example, Patent Document 1 discloses a mechanism in which a security bit is provided in a built-in flash ROM, and by turning on this security bit, the function of the JTAG interface is prohibited and the program held in the flash ROM cannot be read. . Patent Document 2 discloses a mechanism in which, when a debugging device such as ICE is connected to the JTAG interface, a program held in the internal RAM cannot be read by prohibiting access to the internal RAM. .

特開2002−32267号公報。JP 2002-32267 A. 特開2009−25907号公報。JP 2009-25907 A.

上記のようにプログラムやデータの保護が重要になって来ているが、特許文献1や特許文献2に開示されているように、従来はJTAGインタフェースからプログラムやデータの読み出しを防止する対象がマイクロプロセッサに内蔵されたメモリを対象としたものである。従って、外付けメモリを対象としたものではなく、マイクロプロセッサに外付けメモリを接続した場合でもJTAGインタフェースを介してプログラムやデータの漏洩を防止することが望まれている。   As described above, protection of programs and data has become important. However, as disclosed in Patent Document 1 and Patent Document 2, a target for preventing reading of programs and data from a JTAG interface has been conventionally used. It is intended for the memory built in the processor. Therefore, it is not intended for an external memory, and it is desired to prevent leakage of programs and data via the JTAG interface even when the external memory is connected to a microprocessor.

本発明は、上記を鑑みて考案されたものであり、その目的はデバッガが接続された際にも、外付けメモリなどに保持されたデータを流出させない、すなわちデータを保護する制御装置およびデータ漏洩防止方法を提供することにある。   The present invention has been devised in view of the above, and an object of the present invention is to prevent data stored in an external memory or the like from flowing out even when a debugger is connected, that is, a control device and data leakage for protecting data. It is to provide a prevention method.

課題を解決するための請求項1記載の発明は、マイクロプロセッサと、前記マイクロプロセッサが実行するプログラムを含むデータを保持し、所定の指令が与えられることにより前記データを揮発する記憶部と、前記プログラムをデバッグするデバッガを接続する接続部と、前記接続部に前記デバッガが接続されたことを検出する接続検出部と、該接続検出部によって前記デバッガの接続が検出されると、前記所定の指令を前記記憶部に与え、前記記憶部のデータを揮発させる制御部と、を備えることを特徴とする制御装置である。   The invention according to claim 1 for solving the problem includes a microprocessor, a storage unit that holds data including a program executed by the microprocessor, and volatilizes the data when a predetermined instruction is given; A connection unit for connecting a debugger for debugging a program; a connection detection unit for detecting that the debugger is connected to the connection unit; and when the connection detection unit detects connection of the debugger, the predetermined command And a control unit that volatilizes data stored in the storage unit.

請求項2記載の発明は、前記所定の指令は前記記憶部をパワーダウンモードに移行させる指令であることを特徴とする請求項1記載の制御装置である。
請求項3記載の発明は、前記制御部は所定のコードが前記マイクロプロセッサから与えられると、この与えられた所定のコードと予め保持されている解除コードとを比較し、この比較結果が等しいとき、前記所定の指令の出力を解除することを特徴とする請求項1記載の制御装置である。 The invention according to claim 2 is the control device according to claim 1, wherein the predetermined command is a command to shift the storage unit to a power-down mode.
According to a third aspect of the present invention, when the predetermined code is given from the microprocessor, the control unit compares the given code with a release code held in advance, and the comparison result is equal. 2. The control device according to claim 1, wherein the output of the predetermined command is canceled.

請求項4記載の発明は、前記制御部は外部ピンを有するプログラマブルデバイス素子で構成され、その外部ピンに入力されるビットパターンが予め保持されている解除コードと等しいとき、前記所定の指令の出力を解除することを特徴とする請求項1記載の制御装置である。   According to a fourth aspect of the present invention, the control unit is configured by a programmable device element having an external pin, and when the bit pattern input to the external pin is equal to a release code held in advance, the predetermined command is output. The control device according to claim 1, wherein the control device is released.

請求項5記載の発明は、モードを変更する機能を有する記憶部に、マイクロプロセッサが実行するプログラムを含むデータを保持させた制御装置のデータ漏洩防止方法であって、前記プログラムをデバッグするデバッガが接続されたことを検出すると、前記記憶部をパワーダウンモードに変更させて、前記記憶部のデータを揮発することを特徴とするデータ漏洩防止方法である。   The invention according to claim 5 is a data leakage prevention method of a control device in which data including a program executed by a microprocessor is held in a storage unit having a function of changing a mode, and a debugger for debugging the program When the connection is detected, the storage unit is changed to a power-down mode to volatilize data in the storage unit.

本発明によれば、制御部は、デバッガの接続が検出されると所定の指令を記憶部に与えて記憶部のデータを揮発させる。このため、デバッガが接続された際にも外付けメモリなどに保持されたデータの流出を防止することができ、したがって外付けメモリ等に保持されたデータの保護が可能になる。   According to the present invention, when the connection of the debugger is detected, the control unit gives a predetermined command to the storage unit to volatilize the data in the storage unit. For this reason, even when the debugger is connected, it is possible to prevent the data held in the external memory or the like from being leaked, and thus the data held in the external memory or the like can be protected.

本発明に係る制御装置の一実施形態を示すブロック図。The block diagram which shows one Embodiment of the control apparatus which concerns on this invention. 本発明に係る制御装置の制御部の一例を示すブロック図。The block diagram which shows an example of the control part of the control apparatus which concerns on this invention. SDRAMのリフレッシュ動作を示すタイミングチャート。4 is a timing chart showing the refresh operation of the SDRAM. 本発明に係るデバッガが未接続の際のSDRAMのリフレッシュ動作を示すタイミングチャート。5 is a timing chart showing the refresh operation of the SDRAM when the debugger according to the present invention is not connected. 本発明に係るデバッガが接続された際にSDRAMのデータを揮発させる動作を示すタイミングチャート。6 is a timing chart showing an operation of volatilizing SDRAM data when a debugger according to the present invention is connected.

以下、この発明の実施の形態について図面を参照して詳細に説明する。
図1は、本発明に係る制御装置の一例を示すブロック図、図2は、同じく制御装置の制御部の一例を示すブロック図である。ここで制御装置とは、例えば、パワーエレクトロニクス技術を応用した電力変換装置等をいう。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
FIG. 1 is a block diagram illustrating an example of a control device according to the present invention, and FIG. 2 is a block diagram illustrating an example of a control unit of the control device. Here, the control device refers to, for example, a power conversion device applying power electronics technology.

図1において制御装置1は、システムバス(アドレスバス8、データバス9)を介してマイクロプロセッサ4、PLD5、フラッシュROM6、SDRAM(Synchronous Dynamic Random Access Memory)7が接続されている。SDRAM7はクロックに同期して動作する同期メモリであり、本発明ではSDR−SDRAM、DDR−SDRAM、DDR2−SDRAM、DDR3−SDRAM等を総称している。また、SDRAM7への入出力信号やコマンドは、JEDEC半導体技術協会(英国:JEDEC Solid State Technology Association)によって規格化されている。   In FIG. 1, the control device 1 is connected to a microprocessor 4, a PLD 5, a flash ROM 6, and an SDRAM (Synchronous Dynamic Random Access Memory) 7 via a system bus (address bus 8 and data bus 9). The SDRAM 7 is a synchronous memory that operates in synchronization with a clock. In the present invention, SDR-SDRAM, DDR-SDRAM, DDR2-SDRAM, DDR3-SDRAM and the like are generically named. Input / output signals and commands to / from the SDRAM 7 are standardized by the JEDEC Semiconductor Technology Association (UK: JEDEC Solid State Technology Association).

制御装置1はデバッガ2(JTAG−ICE(In Circuit Emulator))を接続するJTAGポート3(接続部)を有する。フラッシュROM6にはマイクロプロセッサ4が実行するプログラムが保持されており、当該プログラムは予め暗号化されている。SDRAM7にはフラッシュROM6の暗号化プログラムを復号した復号後のプログラムが保持されているし。マイクロプロセッサ4はSDRAM7に保持された復号後のプログラムを参照して装置全体の動作を制御する。なお、フラッシュROM6やSDRAM7には、プログラムの他、各種テーブルや設定データなどのデータが含まれている。後に詳述するが、PLD5は外部ピンを有するプログラマブルデバイス素子であり、フラッシュROM6やSDRAM7に保持されたデータを保護する機能が搭載されている。PLD5を制御部ともいう。   The control device 1 has a JTAG port 3 (connection unit) for connecting a debugger 2 (JTAG-ICE (In Circuit Emulator)). The flash ROM 6 holds a program executed by the microprocessor 4, and the program is encrypted in advance. The SDRAM 7 holds a decrypted program obtained by decrypting the encrypted program stored in the flash ROM 6. The microprocessor 4 controls the operation of the entire apparatus with reference to the decrypted program held in the SDRAM 7. Note that the flash ROM 6 and SDRAM 7 include data such as various tables and setting data in addition to programs. As will be described in detail later, the PLD 5 is a programmable device element having an external pin and has a function of protecting data held in the flash ROM 6 and the SDRAM 7. The PLD 5 is also referred to as a control unit.

JTAGポート3とマイクロプロセッサ4、そしてPLD5とはJTAG制御信号10a、JTAGデータ入力10bによって接続されている。また、JTAGポート3はJTAGデータ出力信号10cを介してマイクロプロセッサ4と接続されている。さらに、マイクロプロセッサ4はライン10d:制御信号READ(読出し信号)、10e:制御信号CSPLD(PLDをチップセレクトする信号)、10k:制御信号HOLDREQ(マイクロプロセッサ4へのバス解放要求信号)、10i:制御信号SDCKE(マイクロプロセッサ4から入力されるCKイネーブル)を介してPLD5に接続されている。   The JTAG port 3, the microprocessor 4, and the PLD 5 are connected by a JTAG control signal 10a and a JTAG data input 10b. The JTAG port 3 is connected to the microprocessor 4 through a JTAG data output signal 10c. Further, the microprocessor 4 has lines 10d: control signal READ (read signal), 10e: control signal CSPLD (signal for chip-selecting the PLD), 10k: control signal HOLDREQ (bus release request signal to the microprocessor 4), 10i: It is connected to the PLD 5 via a control signal SDCKE (CK enable input from the microprocessor 4).

さらに、マイクロプロセッサ4と外付けフラッシュROM6とは、ライン10f:制御信号CSROM(読出しを防止したいメモリのチップセレクト信号)、10g:制御信号CSRAM(SDRAMをチップセレクトする信号)によって接続されている。さらに、マイクロプロセッサ4とSDRAM7は、ライン10g:制御信号CSRAM(SDRAMをチップセレクトする信号)、ライン10h:制御信号BUSCLK(バスクロック(SDRAMのクロック))によって接続されている。PLD5とSDRAM7は、ライン10j:制御信号SDCKE2(SDRAM7へ出力するCKイネーブル)によって接続されている。   Further, the microprocessor 4 and the external flash ROM 6 are connected by a line 10f: a control signal CSROM (a chip select signal of a memory to be prevented from being read), 10g: a control signal CSRAM (a signal for chip selecting an SDRAM). Further, the microprocessor 4 and the SDRAM 7 are connected by a line 10g: a control signal CSRAM (a signal for chip-selecting SDRAM) and a line 10h: a control signal BUSCLK (a bus clock (SDRAM clock)). The PLD 5 and the SDRAM 7 are connected by a line 10j: a control signal SDCKE2 (CK enable to be output to the SDRAM 7).

図2に示すように、PLD5(Programmable Logic Device)は、JTAGポート3にデバッガ2が接続されたことを検出するJTAG接続検出部11(接続検出部)を有する。また、PLD5は、SDRAM7等に保持されているデータを保護する機能としてソフト保護機能制御部12と、当該ソフト保護機能制御部の機能を無効化するかどうかを判定する無効化判定部13を有する。さらにPLD5は、HOLDREQ信号をマイクロプロセッサ4に出力するHOLDREQ出力部14と、マイクロプロセッサ4が出力したSDCKE信号(CKイネーブル)を受けSDCKE2信号として出力するCKE制御部15を有している。   As shown in FIG. 2, the PLD 5 (Programmable Logic Device) has a JTAG connection detection unit 11 (connection detection unit) that detects that the debugger 2 is connected to the JTAG port 3. The PLD 5 includes a software protection function control unit 12 as a function for protecting data held in the SDRAM 7 and the like, and an invalidation determination unit 13 that determines whether to invalidate the function of the software protection function control unit. . The PLD 5 further includes a HOLDREQ output unit 14 that outputs a HOLDREQ signal to the microprocessor 4 and a CKE control unit 15 that receives the SDCKE signal (CK enable) output from the microprocessor 4 and outputs the SDCKE2 signal.

JTAG接続検出部11は、JTAG制御信号と、JTAGデータを入力し接続検出信号を出力する。ソフト保護機能制御部はJTAG接続検出部11から出力された接続検出信号と無効化判定部13の無効化信号を受け保護動作許可信号を出力する。HOLDREQ出力部14は、保護動作許可信号を受けマイクロプロセッサ4にHOLDREQ信号を出力する。また、CKE制御部15は、保護動作許可信号を受けSRAM7にSDCKE2信号を出力する。   The JTAG connection detection unit 11 inputs a JTAG control signal and JTAG data, and outputs a connection detection signal. The software protection function control unit receives the connection detection signal output from the JTAG connection detection unit 11 and the invalidation signal from the invalidation determination unit 13 and outputs a protection operation permission signal. The HOLDREQ output unit 14 receives the protection operation permission signal and outputs a HOLDREQ signal to the microprocessor 4. Further, the CKE control unit 15 receives the protection operation permission signal and outputs the SDCKE2 signal to the SRAM 7.

このような構成をもつ制御装置1の動作について、以下に、図3乃至図5のタイミングチャートを用いて詳細に説明する。図3は、SDRAM7の動作を説明する図である。CKはクロック入力であり、図1のBUSCLK信号である。SDRAM7はこのクロックに同期して動作する。CKEはパワーダウンモードへの切替えやセルフリフレッシュモードへの切り替えを目的とした信号であり、図1のSDCKE信号に相当する。なお、図1のSDCKE信号は、図3では、直接SDRAM7のCKE端子に入力されていると仮定して説明する。   The operation of the control device 1 having such a configuration will be described in detail below with reference to the timing charts of FIGS. FIG. 3 is a diagram for explaining the operation of the SDRAM 7. CK is a clock input and is the BUSCLK signal of FIG. The SDRAM 7 operates in synchronization with this clock. CKE is a signal for switching to the power-down mode or the self-refresh mode, and corresponds to the SDCKE signal in FIG. The SDCKE signal in FIG. 1 will be described on the assumption that it is directly input to the CKE terminal of the SDRAM 7 in FIG.

SDRAM7はCKE信号がアサート(Hレベル)のとき、入力されたクロックを有効とみなし、CKE信号がネゲート(Lレベル)のとき入力されたクロックを無効扱いする。SDRAM7はCKEがネゲート(Lレベル)されることでSDRAM内部のクロックを停止状態にして、消費電力を抑えることができる。その反面、そのまま放置すると常温では数秒程度でDRAMセルの内容は揮発する。   The SDRAM 7 regards the input clock as valid when the CKE signal is asserted (H level), and treats the input clock as invalid when the CKE signal is negated (L level). The SDRAM 7 can suppress power consumption by stopping the clock inside the SDRAM by negating CKE (L level). On the other hand, if left as it is, the contents of the DRAM cell volatilize in about a few seconds at room temperature.

このため、SDRAM7は、CKEがネゲートされている間でもDRAMセルの内容が揮発しないようにセルフリフレッシュ機能を有している。セルフリフレッシュ機能は図3のタイミングチャートのようにCKEのネゲート(H→L)に同期してSRE(Self Refresh Entry)コマンドをSDRAM7に与えることで成される。一方、CKEのアサート(L→H)に同期してSRX(Self Refresh Exit)コマンドをSDRAM7に与えることでSDRAM7はセルフリフレッシュ機能を解除する。なお、SREやSRXなどのコマンドは、不図示であるがSDRAM7に供給される制御信号(CS/RAS/CAS/WE)を組み合わせたコードである。   Therefore, the SDRAM 7 has a self-refresh function so that the contents of the DRAM cell do not volatilize even while CKE is negated. The self-refresh function is performed by giving an SRE (Self Refresh Entry) command to the SDRAM 7 in synchronization with the negation (H → L) of CKE as shown in the timing chart of FIG. On the other hand, the SDRAM 7 cancels the self-refresh function by giving an SRX (Self Refresh Exit) command to the SDRAM 7 in synchronization with CKE assertion (L → H). Note that commands such as SRE and SRX are codes (not shown) that combine control signals (CS / RAS / CAS / WE) supplied to the SDRAM 7.

このようにして本発明の制御装置1は、デバッガが接続されない通常時の動作において、SDRAM7をパワーダウンモードにしてもデータが消失しないようにセルフリフレッシュ機能を活用している。   In this way, the control device 1 of the present invention utilizes the self-refresh function so that data is not lost even when the SDRAM 7 is in the power-down mode in the normal operation when the debugger is not connected.

以下、制御装置1のデータ保護機能について、図4,図5のタイミングチャートを用い、PLD5の動作を交えながら説明する。なお、図4,図5に示す信号は図2に示す信号と同じであるがコマンドは図3に示すコマンドと同様である。   Hereinafter, the data protection function of the control device 1 will be described using the timing charts of FIGS. 4 and 5 and the operation of the PLD 5. 4 and 5 are the same as the signals shown in FIG. 2, but the commands are the same as the commands shown in FIG.

『デバッガ2が未接続の場合の動作』
デバッガ2がJTAGポート2に未接続の場合、PLD5のJTAG接続検出部11は、接続検出信号10lをネゲート(L)する。接続検出信号10lがネゲートすると、ソフト保護機能制御部12は保護動作許可信号10nをネゲートする。保護動作許可信号10nがネゲートのとき、CKE制御部15は、マイクロプロセッサ4から受けたSDCKE信号10iをSDCKE2信号10jとしてそのまま出力する。図4ではデバッガ2がJTAGポート2に未接続なので、保護動作許可信号10nはネゲートの状態であり、SDCKE2信号10jは、SDCKE信号10iがアサートすることによりアサートし、SDCKE信号10iがネゲートすればネゲートしている。 "Operation when debugger 2 is not connected"
When the debugger 2 is not connected to the JTAG port 2, the JTAG connection detection unit 11 of the PLD 5 negates (L) the connection detection signal 10l. When the connection detection signal 101 is negated, the software protection function control unit 12 negates the protection operation permission signal 10n. When the protection operation permission signal 10n is negated, the CKE control unit 15 outputs the SDCKE signal 10i received from the microprocessor 4 as it is as the SDCKE2 signal 10j. In FIG. 4, since the debugger 2 is not connected to the JTAG port 2, the protection operation permission signal 10n is negated, the SDCKE2 signal 10j is asserted when the SDCKE signal 10i is asserted, and is negated when the SDCKE signal 10i is negated. doing.

このように、制御装置1にデバッガが接続されず保護動作許可信号10nがネゲートしているとき、SDCKE信号10iとSDCKE2信号10jとは連動して動作する。
また、図4においてSREコマンドやSRXコマンドは、図3同様SDCKE信号10iとSDCKE2信号10jの変化に同期して与えられている。このため、DRAMセルの内容が揮発することはない。従って、マイクロプロセッサ4は、フラッシュROM6やSDRAM7からプログラムやワーク変数を正常に読出すことができる。このようにすることによって、マイクロプロセッサ4は例えばSDRAM7に記憶されたコンピュータプログラムに従ってソフトウェア処理を実行することができる。 Thus, when the debugger is not connected to the control device 1 and the protection operation permission signal 10n is negated, the SDCKE signal 10i and the SDCKE2 signal 10j operate in conjunction with each other.
In FIG. 4, the SRE command and the SRX command are given in synchronism with changes in the SDCKE signal 10i and the SDCKE2 signal 10j as in FIG. For this reason, the contents of the DRAM cell do not volatilize. Therefore, the microprocessor 4 can normally read programs and work variables from the flash ROM 6 and the SDRAM 7. By doing so, the microprocessor 4 can execute software processing in accordance with a computer program stored in the SDRAM 7, for example.

『デバッガ2が接続された場合の動作』
一方、デバッガ2がJTAGポート2に接続された場合、PLD5のJTAG接続検出部11は接続検出信号10lをアサート(H)する。接続検出信号10lがアサートすると、ソフト保護機能制御部12は保護動作許可信号10nをアサートする。CKE制御部15は、保護動作許可信号10nがアサートすると、SDCKE信号10iの状態に係わらず、SDCKE2信号10jを強制的にネゲートしてSDRAMをパワーダウンモードにする。SDCKE2信号10jがネゲートされると、数秒程度でSDRAMセルは揮発するためSDRAM7に保持されたデータは不定状態になる。従って、マイクロプロセッサ4は、SDRAM7からプログラムやワーク変数を正常に読出すことができなくなる。このようにすることによって本発明はSDRAM7に記憶された正規のデータの流出を防止できる(すなわちデータの保護が可能である)。 "Operation when debugger 2 is connected"
On the other hand, when the debugger 2 is connected to the JTAG port 2, the JTAG connection detection unit 11 of the PLD 5 asserts (H) the connection detection signal 10l. When the connection detection signal 101 is asserted, the software protection function control unit 12 asserts the protection operation permission signal 10n. When the protection operation permission signal 10n is asserted, the CKE control unit 15 forcibly negates the SDCKE2 signal 10j regardless of the state of the SDCKE signal 10i and puts the SDRAM in the power down mode. When the SDCKE2 signal 10j is negated, the SDRAM cell is volatilized within a few seconds, and the data held in the SDRAM 7 becomes indefinite. Accordingly, the microprocessor 4 cannot normally read the program and work variables from the SDRAM 7. By doing so, the present invention can prevent outflow of regular data stored in the SDRAM 7 (that is, data can be protected).

図5では、デバッガ2がJTAGポート2に接続されたことに伴い、保護動作許可信号10nが途中でアサートされ、これに連動してSDCKE2信号10jがネゲートしている。このように保護動作許可信号10nがアサートされると、SDCKE2信号10jはSDCKE信号10iの状態に係わらず、SDCKE2信号10jを強制的にネゲートする。よって、SDRAM7に保持されたデータは揮発する。尚、本発明において、デバッガ2の接続はマイクロプロセッサ4が動作していないとき(例えば、制御装置1を起動する前)に行われることを前提としている。つまり、デバッガ2が接続された時にSREコマンドは発行されない。   In FIG. 5, as the debugger 2 is connected to the JTAG port 2, the protection operation permission signal 10n is asserted in the middle, and the SDCKE2 signal 10j is negated in conjunction with this. When the protection operation permission signal 10n is asserted in this way, the SDCKE2 signal 10j is forcibly negated regardless of the state of the SDCKE signal 10i. Therefore, the data held in the SDRAM 7 is volatilized. In the present invention, it is assumed that the debugger 2 is connected when the microprocessor 4 is not operating (for example, before starting the control device 1). That is, the SRE command is not issued when the debugger 2 is connected.

次にデータ保護を解除する場合の動作について説明する。デバッガ2が接続された場合の動作は上記と同じであるが、所定の条件を満たせばデータの保護状態を解除することができる。すなわち、無効化判定部13(図2)は、予め定められているビットパターン(PLD5に予め設定された解除コード)とPLD5の外部ピンに設定されたビットパターンを比較し、一致する場合に無効化信号10mをアサートする。もしくは、別の方法として無効化判定部13(図2)は、前述予め定められているビットパターンとユーザがデバッガ2を介してPLD5の内部レジスタに書込んだ値(ビットパターン)を比較し、一致する場合に無効化信号10mをアサートする。   Next, the operation for releasing data protection will be described. The operation when the debugger 2 is connected is the same as described above, but the data protection state can be canceled if a predetermined condition is satisfied. That is, the invalidation determination unit 13 (FIG. 2) compares a predetermined bit pattern (cancellation code preset in PLD5) with a bit pattern set in an external pin of PLD5, and invalidates if they match. Assert the enable signal 10m. Alternatively, the invalidation determination unit 13 (FIG. 2) as another method compares the above-described predetermined bit pattern with the value (bit pattern) written by the user in the internal register of the PLD 5 via the debugger 2; If they match, the invalidation signal 10m is asserted.

無効化信号10mがアサートされるとソフト保護機能制御部12は、保護動作許可信号10nをネゲートする。保護動作許可信号10nのネゲートに伴いSDCKE2信号10jはSDCKE10iと連動するようになる。以降の動作は、デバッガ2が未接続の場合と同じである。すなわち、DRAMセルの内容が揮発することはなく、従って、マイクロプロセッサ4は、フラッシュROM6やSDRAM7からプログラムやワーク変数を正常に読出すことができるようになる。このようにデータ保護を解除することにより、マイクロプロセッサ4は、例えばSDRAM7に記憶されたコンピュータプログラムに従ってソフトウェア処理を実行することができる。   When the invalidation signal 10m is asserted, the software protection function control unit 12 negates the protection operation permission signal 10n. With the negation of the protection operation permission signal 10n, the SDCKE2 signal 10j is linked with the SDCKE10i. The subsequent operation is the same as when the debugger 2 is not connected. That is, the contents of the DRAM cell are not volatilized. Therefore, the microprocessor 4 can normally read the program and work variables from the flash ROM 6 and the SDRAM 7. By releasing the data protection in this way, the microprocessor 4 can execute software processing according to a computer program stored in the SDRAM 7, for example.

尚、以上に説明した制御装置1は、SDRAM7をパワーダウンモードに移行させ、セルフリフレッシュ機能を解除する(データを揮発させる)ことによってデータの保護を行うものとして説明した。別の方法として本発明は、マイクロプロセッサ4のHOLDREQ信号を活用することもできる。この方法は、デバッガ2が接続されたら、マイクロプロセッサ4にHOLDREQ信号をアサートし、マイクロプロセッサ4のバス使用権を剥奪することである。   The control device 1 described above is described as protecting data by shifting the SDRAM 7 to the power-down mode and releasing the self-refresh function (volatilizing the data). Alternatively, the present invention can make use of the HOLDREQ signal of the microprocessor 4. In this method, when the debugger 2 is connected, the HOLDREQ signal is asserted to the microprocessor 4 and the bus use right of the microprocessor 4 is revoked.

すなわち、本発明の別方法として、PLD5の動きは次のようになる。デバッガ2がJTAGポート2接続されると、JTAG接続検出部11は接続検出信号10lをアサートし、これに伴いソフト保護機能制御部12は保護動作許可信号10nをアサートする。保護動作許可信号10nのアサートに基づき、HOLDREQ出力部はHOLDREQ信号10kアサートしてマイクロプロセッサ4に与える。こうすることにより、マイクロプロセッサ4はアドレスバス8やデータバス9を解放するため、当該マイクロプロセッサ4はフラッシュROM6やSDRAM7のアクセスを実行しない。このような別の方法を採っても、本発明はデータ保護を実現できる。   That is, as another method of the present invention, the movement of the PLD 5 is as follows. When the debugger 2 is connected to the JTAG port 2, the JTAG connection detection unit 11 asserts the connection detection signal 10 l, and accordingly, the software protection function control unit 12 asserts the protection operation permission signal 10 n. Based on the assertion of the protection operation permission signal 10n, the HOLDREQ output unit asserts the HOLDREQ signal 10k and supplies it to the microprocessor 4. By doing so, the microprocessor 4 releases the address bus 8 and the data bus 9, so that the microprocessor 4 does not access the flash ROM 6 or the SDRAM 7. Even if such another method is adopted, the present invention can realize data protection.

逆に、デバッガ2がJTAGポート2に未接続のときは、HOLDREQ信号10kがネゲートする。よって、マイクロプロセッサ4はバス使用権を獲得できるため、フラッシュROM6やSDRAM7へのアクセスが実行できるようになる。   Conversely, when the debugger 2 is not connected to the JTAG port 2, the HOLDREQ signal 10k is negated. Accordingly, since the microprocessor 4 can acquire the right to use the bus, the microprocessor 4 can execute access to the flash ROM 6 and the SDRAM 7.

尚、本発明の「所定の命令」とはSDRAM7のCKE端子に入力される信号、すなわち、SDRAM7のモード切り替えを目的とした信号を指す。   The “predetermined instruction” in the present invention refers to a signal input to the CKE terminal of the SDRAM 7, that is, a signal intended for mode switching of the SDRAM 7.

1…制御装置、2…デバッガ、3…JTAGポート、4…マイクロプロセッサ、5…PLD(制御部)、6…外付けフラッシュROM、7…SDRAM、11…JTAG接続検出部、12…ソフト保護機能制御部、13…無効化判定部、14…HOLDREQ出力部、15…CKE制御部。
DESCRIPTION OF SYMBOLS 1 ... Control apparatus, 2 ... Debugger, 3 ... JTAG port, 4 ... Microprocessor, 5 ... PLD (control part), 6 ... External flash ROM, 7 ... SDRAM, 11 ... JTAG connection detection part, 12 ... Software protection function Control part, 13 ... invalidation determination part, 14 ... HOLDREQ output part, 15 ... CKE control part.

Claims (5)

マイクロプロセッサと、
前記マイクロプロセッサが実行するプログラムを含むデータを保持し、所定の指令が与えられることにより前記データを揮発する記憶部と、
前記プログラムをデバッグするデバッガを接続する接続部と、
前記接続部に前記デバッガが接続されたことを検出する接続検出部と、
該接続検出部によって前記デバッガの接続が検出されると、前記所定の指令を前記記憶部に与え、前記記憶部のデータを揮発させる制御部と、
を備えることを特徴とする制御装置。 A microprocessor;
A storage unit that holds data including a program executed by the microprocessor and volatilizes the data when given a predetermined command;
A connection for connecting a debugger for debugging the program;
A connection detection unit for detecting that the debugger is connected to the connection unit;
When the connection detection unit detects the connection of the debugger, the control unit that gives the predetermined command to the storage unit and volatilizes the data in the storage unit;
A control device comprising: 前記所定の指令は前記記憶部をパワーダウンモードに移行させる指令であることを特徴とする請求項1記載の制御装置。   The control device according to claim 1, wherein the predetermined command is a command to shift the storage unit to a power down mode. 前記制御部は、
所定のコードが前記マイクロプロセッサから与えられると、この与えられた所定のコードと予め保持されている解除コードとを比較し、この比較結果が等しいとき、前記所定の指令の出力を解除することを特徴とする請求項1記載の制御装置。 The controller is
When a predetermined code is given from the microprocessor, the given predetermined code is compared with a release code held in advance, and when the comparison result is equal, the output of the predetermined command is canceled. The control device according to claim 1, wherein: 前記制御部は、
外部ピンを有するプログラマブルデバイス素子で構成され、その外部ピンに入力されるビットパターンが予め保持されている解除コードと等しいとき、前記所定の指令の出力を解除することを特徴とする請求項1記載の制御装置。 The controller is
The output of the predetermined command is released when the bit pattern input to the external pin is equal to a release code held in advance, and is configured by a programmable device element having an external pin. Control device. モードを変更する機能を有する記憶部に、マイクロプロセッサが実行するプログラムを含むデータを保持させた制御装置のデータ漏洩防止方法であって、
前記プログラムをデバッグするデバッガが接続されたことを検出すると、前記記憶部をパワーダウンモードに変更させて、前記記憶部のデータを揮発することを特徴とするデータ漏洩防止方法。
A data leakage prevention method for a control device in which data including a program executed by a microprocessor is held in a storage unit having a function of changing a mode
A data leakage prevention method comprising: when detecting that a debugger for debugging the program is connected, changing the storage unit to a power-down mode and volatilizing data in the storage unit.
JP2012203160A 2012-09-14 2012-09-14 Controller and method of preventing data leakage for controller Pending JP2014059635A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012203160A JP2014059635A (en) 2012-09-14 2012-09-14 Controller and method of preventing data leakage for controller

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012203160A JP2014059635A (en) 2012-09-14 2012-09-14 Controller and method of preventing data leakage for controller

Publications (1)

Publication Number Publication Date
JP2014059635A true JP2014059635A (en) 2014-04-03

Family

ID=50616081

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012203160A Pending JP2014059635A (en) 2012-09-14 2012-09-14 Controller and method of preventing data leakage for controller

Country Status (1)

Country Link
JP (1) JP2014059635A (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1173309A (en) * 1997-08-27 1999-03-16 Nec Corp Instruction code protection system
JP2005309785A (en) * 2004-04-21 2005-11-04 Nippon Telegr & Teleph Corp <Ntt> Pixel interpolation device, pixel interpolation method, pixel interpolation program, and computer-readable recording medium recording the pixel interpolation program
JP2006505022A (en) * 2002-03-18 2006-02-09 フリースケール セミコンダクター インコーポレイテッド Integrated circuit security and method
JP2008225624A (en) * 2007-03-09 2008-09-25 Fujitsu Ltd Memory controller, semiconductor memory control method and system
JP2008299717A (en) * 2007-06-01 2008-12-11 Yamaha Corp Integrated circuit system
WO2010116742A1 (en) * 2009-04-10 2010-10-14 パナソニック株式会社 Information processing device and integrated circuit

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1173309A (en) * 1997-08-27 1999-03-16 Nec Corp Instruction code protection system
JP2006505022A (en) * 2002-03-18 2006-02-09 フリースケール セミコンダクター インコーポレイテッド Integrated circuit security and method
JP2005309785A (en) * 2004-04-21 2005-11-04 Nippon Telegr & Teleph Corp <Ntt> Pixel interpolation device, pixel interpolation method, pixel interpolation program, and computer-readable recording medium recording the pixel interpolation program
JP2008225624A (en) * 2007-03-09 2008-09-25 Fujitsu Ltd Memory controller, semiconductor memory control method and system
JP2008299717A (en) * 2007-06-01 2008-12-11 Yamaha Corp Integrated circuit system
WO2010116742A1 (en) * 2009-04-10 2010-10-14 パナソニック株式会社 Information processing device and integrated circuit

Similar Documents

Publication Publication Date Title
US9092622B2 (en) Random timeslot controller for enabling built-in self test module
US8873747B2 (en) Key management using security enclave processor
US7991943B2 (en) Implementation of one time programmable memory with embedded flash memory in a system-on-chip
US9448942B2 (en) Random access of a cache portion using an access module
CN101311913B (en) Control data modification in cache memory
KR102721449B1 (en) Dynamic refresh rate control
US20070180269A1 (en) I/O address translation blocking in a secure system during power-on-reset
KR20170127046A (en) Method, apparatus and system for responding to a row hammer event
JP2012128850A (en) Memory protection unit and method for controlling access to memory device
JP2008305350A (en) Memory system, memory device, and method for controlling memory device
JP6029437B2 (en) Semiconductor device and access restriction method
JP2010021793A (en) Semiconductor integrated circuit device and power consumption control method
CN105718208A (en) Flash program memory protection design method and hardware implementation device
JP6475151B2 (en) Semiconductor device and memory access control method
JP2014059635A (en) Controller and method of preventing data leakage for controller
US9130566B1 (en) Programmable IC with power fault tolerance
WO2013021240A1 (en) An electronic device and a computer program product
JP4770283B2 (en) Memory control device and memory control method
JP2008040585A (en) Microcomputer
JP6409590B2 (en) Information processing apparatus and program
US20220121588A1 (en) Direct memory access (DMA) controller, electronic device using the DMA controller and method of operating the DMA controller
Khalifa et al. A novel memory controller architecture
TW201324155A (en) Flash memory storage system and data protection method thereof
JP2009193310A (en) Memory access control method
JP2007052481A (en) LSI for IC card

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150812

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20151005

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20151005

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160531

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160614

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20170131