WO2010032330A1

WO2010032330A1 - 情報処理装置及びそのメモリ保護方法

Info

Publication number: WO2010032330A1
Application number: PCT/JP2008/067100
Authority: WO
Inventors: 亮田部井; 浩近藤; 裕之出井; 圭三東
Original assignee: 富士通株式会社
Priority date: 2008-09-22
Filing date: 2008-09-22
Publication date: 2010-03-25
Also published as: US20110173412A1; JPWO2010032330A1; JP5392263B2

Abstract

　アプリケーションによる不当な書込みが行われようとした際にトラップを発生させるためのアクセス禁止領域のサイズをＯＳのメモリ管理単位に依存しない任意のサイズで設定することができるようにし、アライメントの調整も不要とすることで、メモリ資源を有効に活用することを可能としつつ、不当な書込みによるメモリの破壊を防止する情報処理装置。この情報処理装置は、アプリケーションからのメモリ割当て要求に応じて、アクセス可能領域を割当てるとともに、その直後に予め設定されたサイズのアクセス禁止領域を設け、該アクセス禁止領域をアドレス設定レジスタに設定し、かつ、当該禁止領域へのアクセスにより発生するトラップのタイプをトラップタイプ設定レジスタに設定する。この情報処理装置は、そのトラップが発生した場合、該アプリケーションのメモリイメージを生成して該アプリケーションを異常終了させる。

Description

情報処理装置及びそのメモリ保護方法

　本発明は、情報処理装置、及び、情報処理装置において不当な書込みによるメモリの破壊を防止するメモリ保護方法に関する。

　情報処理装置のオペレーティングシステム（ＯＳ：Operating System）上で動作するアプリケーション（プロセス）は、メモリの動的割当て要求によりＯＳからメモリ領域を獲得する。その後、アプリケーションが、獲得されたメモリ領域以外の領域へ不当な書込みを行うことがある。その場合には、別の用途で使用されているメモリ領域が破壊されることとなるため、当該アプリケーションが誤動作し又は異常終了するなどのトラブルが発生する。

　特に、アプリケーションが、獲得したメモリ領域を超える書込みを行うことにより、次の領域を破壊してしまうケースが多い。例えば、図１に示されるように、８バイトの領域しか獲得されていないにもかかわらず、９バイト分のデータが書込まれることで、獲得された領域の次の領域が１バイト破壊されるようなケースである。

　このように、あるプロセス（処理）が不当な書込みによりメモリ領域を破壊した後に、当該プロセスがその破壊された領域を参照して誤動作又は異常終了する場合がある。その場合、不当な書込みを行ったプロセスとメモリ破壊を検出するプロセスとのタイミングが異なるため、原因の特定が困難となる。特に、不当な書込みが行われた時点から破壊された領域が参照される時点までの時間が長い場合には、メモリ破壊の原因の特定が更に困難となる。

　不当な書込みによるメモリの破壊を防止するメモリ保護方法として、図２に示される従来技術が知られている。かかる従来技術は、その構成として、主記憶装置としてのメモリ２００と、メモリを使用するアプリケーション２１０と、アプリケーションからの動的メモリ割当て要求に応じてメモリを割当てるＯＳ２２０と、を含む。

　アプリケーション２１０は、自らが使用するデータ領域を確保するため、ＯＳ２２０へメモリ割当て要求を発行する（ブロック２１２）。ＯＳ２２０は、アプリケーション２１０からのメモリ割当て要求に対して、メモリ領域２０２を確保するとともに、当該メモリ領域に連続するメモリ領域２０４に対しアクセス不可属性を設定する（ブロック２２２及び２２４）。

　具体的には、このシステムでは、特定の大きさのメモリブロック単位でメモリ管理がされており、アプリケーション２１０からメモリ割当て要求が発行されると、ＯＳ２２０は一つのメモリブロック２０４にアクセス不可属性を設定する。そして、ＯＳ２２０は、メモリブロック２０４の直前のメモリブロックの終端を起点にして先頭に向かってアプリケーションが要求した大きさのメモリ領域２０２を確保する。

　そして、ＯＳ２２０は、アプリケーション２１０にメモリ領域２０２を割当てる（ブロック２２６）。アプリケーション２１０は、メモリ領域２０２を割当てられると、メモリ領域２０２に対して書込みを行うことができる。しかし、アプリケーション２１０は、メモリ領域２０２を超えて、アクセス不可属性が設定された領域２０４へのアクセス要求を発行する場合がある（ブロック２１４）。その場合には、例外割込みが発生し、ＯＳ２２０は、アクセス例外処理を実行することでメモリ領域２０４への不当な書込みを防止する（ブロック２２８）。

　図３は、図２に示される従来技術の問題点について説明するための図である。この従来技術では、アプリケーションからのメモリ割当て要求時に、必ずアクセス不可属性が設定されるメモリブロックが余分に確保される必要がある。このメモリブロックは、最小でもＯＳのメモリ管理単位（ページ、例えば、１ページ＝８ＫＢとする）となるため、メモリ資源の無駄が多い。

　また、割当てられるメモリのアドレスはページ境界に合わせる必要がある。しかし、上述の従来技術のようにメモリブロックの終端を起点にして、先頭に向かって要求された大きさのメモリ領域を割当てる手法では、割当てられたメモリのアドレスがページ境界に合わない可能性がある。このようなアドレスにアクセスするとエラーが発生するため、メモリを余分に確保してアライメントを調整する必要がある。

特開２００２－０５５８５１号公報

　本開示技術は、上述した問題点に鑑みてなされたものであり、その目的は、アプリケーションによる不当な書込みが行われようとした際にトラップを発生させるためのアクセス禁止領域のサイズをＯＳのメモリ管理単位に依存しない任意のサイズで設定することができるようにし、アライメントの調整も不要とすることで、メモリ資源を有効に活用することを可能としつつ、不当な書込みによるメモリの破壊を防止する情報処理装置及びそのメモリ保護方法を提供することにある。

　上記目的を達成するために、本開示技術によれば、メモリ領域が設定される一又は複数のアドレス設定レジスタと、前記アドレス設定レジスタに対応して設けられトラップタイプが設定される一又は複数のトラップタイプ設定レジスタと、前記アドレス設定レジスタの各々に設定されたメモリ領域へのアクセス要求に応じて、対応するトラップタイプ設定レジスタに設定されたトラップタイプのトラップを生成するトラップ機構と、使用者からの入力に応じて、予めアクセス禁止領域サイズを設定する禁止領域サイズ設定手段と、アプリケーションからのメモリ割当て要求に応じて、該アプリケーションに対しメモリ領域をアクセス可能領域として割当てるとともに、該アクセス可能領域の直後に該アクセス禁止領域サイズを有するアクセス禁止領域を設け、該アクセス禁止領域を第一のアドレス設定レジスタに設定し、かつ、第一のトラップタイプを対応する第一のトラップタイプ設定レジスタに設定するメモリ割当て手段と、該第一のトラップタイプのトラップが発生した場合に、該アプリケーションのメモリイメージを生成して該アプリケーションを異常終了させる不当アクセス処理手段と、を具備する情報処理装置が提供される。

　さらに、本開示技術の他の面によれば、上述の情報処理装置で実行されるメモリ保護方法と、情報処理装置に当該メモリ保護方法を実行させるプログラムと、が提供される。

　開示の情報処理装置及びそのメモリ保護方法によれば、アプリケーションからのメモリ割当て要求時に、アプリケーションに割当てられたメモリ領域の直後にアクセス禁止領域が設けられ、そのアクセス禁止領域がアドレス設定レジスタに設定される。アプリケーションがアクセス禁止領域にアクセスしようとした際には、情報処理装置においてトラップが発生する。これにより、アプリケーションが獲得したメモリ領域のサイズを超える不当な書込みが行われようとした場合、即座に該当アプリケーションのメモリイメージ（コアファイル）が生成されて、該当アプリケーションが異常終了せしめられる。生成されたアプリケーションのメモリイメージを解析すれば、不当な書込みを行おうとしたプロセスが容易に特定される。

　使用者は、アプリケーションによる不当な書込みが行われようとした際にトラップを発生させるためのアクセス禁止領域のサイズをＯＳのメモリ管理単位に依存しない任意のサイズで予め設定することができる。そのため、使用者は、不当な書込みによるメモリ破壊の想定サイズに応じてアクセス禁止領域のサイズを自由に変更することができる。また、アライメントの調整も必要でない。結果として、メモリ資源を有効に活用することが可能とされつつ、不当な書込みによるメモリの破壊が防止される。

不当な書込みによるメモリの破壊を説明するための図である。不当な書込みによるメモリの破壊を防止するメモリ保護方法の従来例について説明するための図である。図２に示される従来技術の問題点について説明するための図である。本開示技術による情報処理装置の一実施形態のハードウェア構成を示す図である。メモリ割当て時の処理を示すフローチャートである。メモリアクセス時の処理を示すフローチャートである。メモリ領域の設定を例示する図である。図７に示されるメモリ領域の設定に対応する動作について説明するための図である。本開示技術によるメモリ獲得処理について説明するための図である。

符号の説明

　４００　　ＣＰＵ
　４１０　　アドレス設定レジスタ
　４２０　　トラップタイプ設定レジスタ
　４３０　　アドレスマッチ回路
　４４０　　アドレストラップ発生回路
　４６０　　メモリ
　４７０　　磁気ディスク装置
　４８０　　キーボード
　４９０　　ディスプレイ

　以下、添付図面を参照して本実施形態について説明する。図４は、本開示技術による情報処理装置の一実施形態のハードウェア構成を示す図である。この情報処理装置は、ＣＰＵ（Central Processing Unit：中央処理ら装置）４００、メモリ４６０、磁気ディスク装置４７０、キーボード４８０及びディスプレイ４９０を含む。ＣＰＵ４００は、主記憶装置としてのメモリ４６０にロードされたＯＳ及びアプリケーションを実行する。また、ＣＰＵ４００は、複数のアドレス設定レジスタ４１０、複数のトラップタイプ設定レジスタ４２０、アドレスマッチ回路４３０及びアドレストラップ発生回路４４０を備える。

　複数のアドレス設定レジスタ４１０には、各々、メモリ領域を指定するためのアドレスが設定される。複数のトラップタイプ設定レジスタ４２０は、複数のアドレス設定レジスタ４１０に対応して設けられたものであり、その各々にはトラップタイプが設定される。ここで、トラップタイプとは、例外等の発生を誘引するトラップの種類を表す情報である。アドレスマッチ回路４３０及びアドレストラップ発生回路４４０は、アドレス設定レジスタ４１０の各々に設定されたメモリ領域へのアクセス要求に応じて、対応するトラップタイプ設定レジスタ４２０に設定されたトラップタイプのトラップを生成するトラップ機構である。

　図５は、メモリ割当て時の処理を示すフローチャートである。なお、使用者が設定ファイルに記述する方法等により、アプリケーションに割当てられたメモリ領域の直後に設けられるべきアクセス禁止領域のサイズが予め設定されているものとする。

　まず、アプリケーションが、ＯＳに対してメモリ割当て要求を発行する（ブロック５０２）。それを受けて、ＯＳは、要求されたメモリサイズを有するメモリ領域をアクセス可能領域として確保する（ブロック５０４）。次いで、ＯＳは、確保したメモリ領域（アクセス可能領域）の開始アドレスと終了アドレスとをアドレス設定レジスタ４１０の一つに設定する（ブロック５０６）。

　また、ＯＳは、確保したメモリ領域に対し、アクセス可能領域が正常なアクセス要求によりアクセスされたことを表すトラップタイプとして例えば“＃１０”を対応するトラップタイプ設定レジスタ４２０に設定する（ブロック５０８）。なお、このトラップタイプは、当該情報処理装置において既に設けられている他のトラップタイプと重複しないように決定される。

　次いで、ＯＳは、使用者によって設定ファイルに予め記述されているアクセス禁止領域サイズを取得する（ブロック５１０）。そして、ＯＳは、アプリケーションに割当てたメモリ領域の直後に、取得したアクセス禁止領域サイズを有するアクセス禁止領域を設け、そのアクセス禁止領域の開始アドレスと終了アドレスとをアドレス設定レジスタ４１０の他の一つに設定する（ブロック５１２）。

　また、ＯＳは、そのアクセス禁止領域に対して、不当なアクセス要求によりアクセスされたことを表すアクセス禁止領域用のトラップタイプとして例えば“＃１１”を対応するトラップタイプ設定レジスタ４２０に設定する（ブロック５１４）。なお、このトラップタイプは、当該情報処理装置において既に設けられている他のトラップタイプと重複しないように決定される。最後に、ＯＳは、確保したメモリ領域（アクセス可能領域）を要求元のアプリケーションに割当てる（ブロック５１６）。以上でメモリ割当て処理が終了する。

　図６は、メモリアクセス時の処理を示すフローチャートである。まず、アプリケーションが、メモリアクセスを伴う命令すなわちメモリアクセス要求を発行する（ブロック６０２）。すると、アドレスマッチ回路４３０が、そのメモリアクセス要求によるアクセスアドレスを、各アドレス設定レジスタ４１０に設定された開始アドレス及び終了アドレスと比較することにより、当該アクセスアドレスがアクセス可能領域内のアドレスか、及び、当該アクセスアドレスがアクセス禁止領域内のアドレスか、を判定する（ブロック６０４）。

　このとき、当該アクセスアドレスがアクセス可能領域内のアドレスである場合には、正常に読出し又は書込み処理が実行される（ブロック６０６）。次いで、アドレストラップ発生回路４４０が、対応するトラップタイプ設定レジスタ４２０に設定された、正常なアクセス要求によりアクセスされたことを表すトラップタイプ“＃１０”のトラップを生成する（ブロック６０８）。ＯＳは、このトラップを受けて、アクセスログの採取を実行する（ブロック６１０）。

　一方、当該アクセスアドレスがアクセス禁止領域内のアドレスである場合、アドレストラップ発生回路４４０が、対応するトラップタイプ設定レジスタ４２０に設定された、不当なアクセス要求によりアクセスされたことを表すトラップタイプ“＃１１”のトラップを生成する（ブロック６１２）。ＯＳは、このトラップを受けて、メモリアクセスを発行したプロセス（アプリケーション）のメモリイメージ（コアファイル）を生成して、該当プロセスを強制終了させる（ブロック６１４）。

　図７は、メモリ領域の設定を例示する図である。図７に示される例では、アドレス“Ａ”からアドレス“Ｂ”までのメモリ領域が、アプリケーションに割当てられたアクセス可能領域である。そして、当該アクセス可能領域に続くアドレス“Ｃ”からアドレス“Ｄ”までのメモリ領域が、当該アクセス可能領域に対応して設けられたアクセス禁止領域である。同様に、アドレス“Ｅ”からアドレス“Ｆ”までのメモリ領域がアクセス可能領域で、アドレス“Ｇ”からアドレス“Ｈ”までのメモリ領域がアクセス禁止領域である。

　図８は、図７に示されるメモリ領域の設定に対応する動作について説明するための図である。各アドレス設定レジスタ４１０は、開始アドレスレジスタと終了アドレスレジスタとを含む。図７に示されるメモリ領域の設定に対応して、一つのアドレス設定レジスタ４１０の開始アドレスレジスタにはアドレス“Ａ”が設定されるとともに、その終了アドレスレジスタにはアドレス“Ｂ”が設定される。更に、当該アドレス設定レジスタ４１０に対応するトラップタイプ設定レジスタ４２０には、アクセス可能領域用に用意された、正常なアクセス要求によりアクセスされたことを表すトラップタイプ“＃１０”が設定される。

　もう一つのアドレス設定レジスタ４１０の開始アドレスレジスタにはアドレス“Ｃ”が設定されるとともに、その終了アドレスレジスタにはアドレス“Ｄ”が設定される。更に、当該アドレス設定レジスタ４１０に対応するトラップタイプ設定レジスタ４２０には、アクセス禁止領域用に用意された、不当なアクセス要求によりアクセスされたことを表すトラップタイプ“＃１１”が設定される。アドレス“Ｅ”から “Ｆ”までのアクセス可能領域、及び、アドレス“Ｇ”から“Ｈ”までのアクセス禁止領域についても同様である。

　かくして、図７及び図８に示される例では、アドレス“Ａ”から“Ｂ”までのメモリ領域又はアドレス“Ｅ”から “Ｆ”までのメモリ領域、すなわち、アクセス可能領域への正常なアクセス要求があった場合には、トラップタイプ“＃１０”のトラップが生成される。そのトラップを受けて、ＯＳはメモリアクセスログを採取する。

　一方、アドレス“Ｃ”から“Ｄ” までのメモリ領域又はアドレス“Ｇ”から“Ｈ”までのメモリ領域、すなわち、アクセス禁止領域へのアクセス要求があった場合には、不当なアクセス要求によりアクセスされたことを表すトラップタイプ“＃１１” のトラップが生成される。そのトラップを受けて、ＯＳは、メモリイメージ（コアファイル）を作成するとともに該当プロセス（アプリケーション）を異常終了させる。

　このように、本実施形態では、アプリケーションがＯＳから割当てられたメモリ領域をアクセスすると、対応するトラップが生成され、そのトラップを受信したＯＳが、アクセスログを採取する。一方、アプリケーションがＯＳから割当てられたメモリ領域を超えた不当な書込みを行おうとすると、対応するトラップが生成され、そのトラップを受信したＯＳが、即座に該当アプリケーションのメモリイメージ（コアファイル）を生成して異常終了させる。そのため、不当な書込みを早期に検出することが可能となる。

　本開示技術では、用途に合わせてハードウェアが報告するトラップタイプが設定可能とされ、トラップの種類が複数用意されることで、アプリケーションがアクセスした領域によってアクセスログを採取するか又は該当アプリケーションのコアファイルを生成して異常終了させるかを変更することができる。

　アプリケーションが獲得したメモリ領域以外の領域への不当な書込み要求がアプリケーションから発行されると、即座にアプリケーションのコアファイルが生成されてアプリケーションが異常終了せしめられる。そのため、不当な書込みを行おうとしたプロセスを容易に特定することができる。また、情報処理装置のトラップ機構を利用してメモリアクセスを監視することになるため、デバッガなどのソフトウェアで全てのメモリアクセスを監視する必要がなく、これによる性能劣化はほとんどない。

　前述のように、図２及び図３に示される従来技術では、アプリケーションがメモリ割当て要求を発行する度に、ＯＳのメモリ管理単位分（ページ、例えば、１ページ＝８ＫＢとする）の使用できない領域が発生していた。本開示技術では、ＯＳのメモリ管理単位に依存せず、任意のサイズでアクセス禁止領域を設定することができるため、余分なメモリ確保は必要ない。また、図９に示されるように、開示の情報処理装置は、同一ページ内にアクセス禁止領域を複数設定することができる。

　なお、本実施形態では、アドレス設定レジスタ４１０の各々は、メモリ領域の開始アドレスが設定される開始アドレスレジスタと、メモリ領域の終了アドレスが設定される終了アドレスレジスタと、を含むように構成されている。それに代えて、アドレス設定レジスタ４１０の各々が、メモリ領域の開始アドレスが設定される開始アドレスレジスタと、メモリ領域のサイズが設定される領域サイズレジスタと、を含むように構成することも可能である。

Claims

　メモリ領域が設定されるアドレス設定レジスタと、
　前記アドレス設定レジスタに対応して設けられトラップタイプが設定されるトラップタイプ設定レジスタと、
　前記アドレス設定レジスタの各々に設定されたメモリ領域へのアクセス要求に応じて、対応するトラップタイプ設定レジスタに設定されたトラップタイプのトラップを生成するトラップ機構と、
　使用者からの入力に応じて、予めアクセス禁止領域サイズを設定する禁止領域サイズ設定手段と、
　アプリケーションからのメモリ割当て要求に応じて、該アプリケーションに対しメモリ領域をアクセス可能領域として割当てるとともに、該アクセス可能領域の直後に該アクセス禁止領域サイズを有するアクセス禁止領域を設け、該アクセス禁止領域を第一のアドレス設定レジスタに設定し、かつ、第一のトラップタイプを対応する第一のトラップタイプ設定レジスタに設定するメモリ割当て手段と、
　該第一のトラップタイプのトラップが発生した場合に、該アプリケーションのメモリイメージを生成して該アプリケーションを異常終了させる不当アクセス処理手段と、
　を具備する情報処理装置。
　前記メモリ割当て手段は、アプリケーションにメモリ領域をアクセス可能領域として割当てる際、更に、該アクセス可能領域を第二のアドレス設定レジスタに設定し、かつ、第二のトラップタイプを対応する第二のトラップタイプ設定レジスタに設定し、
　該情報処理装置は、該第二のトラップタイプのトラップが発生した場合にメモリアクセスのログを採取するメモリアクセスログ採取手段、を更に具備する、
　請求項１に記載の情報処理装置。
　前記アドレス設定レジスタの各々は、メモリ領域の開始アドレスが設定される開始アドレスレジスタと、メモリ領域の終了アドレスが設定される終了アドレスレジスタと、を含む、請求項１に記載の情報処理装置。
　前記アドレス設定レジスタの各々は、メモリ領域の開始アドレスが設定される開始アドレスレジスタと、メモリ領域のサイズが設定される領域サイズレジスタと、を含む、請求項１に記載の情報処理装置。
　メモリ領域が設定されるアドレス設定レジスタと、
　前記アドレス設定レジスタに対応して設けられトラップタイプが設定されるトラップタイプ設定レジスタと、
　前記アドレス設定レジスタの各々に設定されたメモリ領域へのアクセス要求に応じて、対応するトラップタイプ設定レジスタに設定されたトラップタイプのトラップを生成するトラップ機構と、
　を備える情報処理装置において、不当な書込みによるメモリの破壊を防止するメモリ保護方法であって、
　禁止領域サイズ設定手段が、使用者からの入力に応じて、予めアクセス禁止領域サイズを設定するステップと、
　メモリ割当て手段が、アプリケーションからのメモリ割当て要求に応じて、該アプリケーションに対しメモリ領域をアクセス可能領域として割当てるとともに、該アクセス可能領域の直後に該アクセス禁止領域サイズを有するアクセス禁止領域を設け、該アクセス禁止領域を第一のアドレス設定レジスタに設定し、かつ、第一のトラップタイプを対応する第一のトラップタイプ設定レジスタに設定するメモリ割当てステップと、
　不当アクセス処理手段が、該第一のトラップタイプのトラップが発生した場合に、該アプリケーションのメモリイメージを生成して該アプリケーションを異常終了させるステップと、
　を具備する、情報処理装置のメモリ保護方法。
　前記メモリ割当てステップは、アプリケーションにメモリ領域をアクセス可能領域として割当てる際、更に、該アクセス可能領域を第二のアドレス設定レジスタに設定し、かつ、第二のトラップタイプを対応する第二のトラップタイプ設定レジスタに設定し、
　該方法は、メモリアクセスログ採取手段が、該第二のトラップタイプのトラップが発生した場合にメモリアクセスのログを採取するステップ、を更に具備する、
　請求項５に記載の情報処理装置のメモリ保護方法。
　メモリ領域が設定されるアドレス設定レジスタと、
　前記アドレス設定レジスタに対応して設けられトラップタイプが設定されるトラップタイプ設定レジスタと、
　前記アドレス設定レジスタの各々に設定されたメモリ領域へのアクセス要求に応じて、対応するトラップタイプ設定レジスタに設定されたトラップタイプのトラップを生成するトラップ機構と、
　を備える情報処理装置に、不当な書込みによるメモリの破壊を防止するメモリ保護方法を実行させるプログラムであって、
　使用者からの入力に応じて、予めアクセス禁止領域サイズを設定するステップと、
　アプリケーションからのメモリ割当て要求に応じて、該アプリケーションに対しメモリ領域をアクセス可能領域として割当てるとともに、該アクセス可能領域の直後に該アクセス禁止領域サイズを有するアクセス禁止領域を設け、該アクセス禁止領域を第一のアドレス設定レジスタに設定し、かつ、第一のトラップタイプを対応する第一のトラップタイプ設定レジスタに設定するメモリ割当てステップと、
　該第一のトラップタイプのトラップが発生した場合に、該アプリケーションのメモリイメージを生成して該アプリケーションを異常終了させるステップと、
　を前記情報処理装置に実行させるプログラム。
　前記メモリ割当てステップは、アプリケーションにメモリ領域をアクセス可能領域として割当てる際、更に、該アクセス可能領域を第二のアドレス設定レジスタに設定し、かつ、第二のトラップタイプを対応する第二のトラップタイプ設定レジスタに設定し、
　該プログラムは、該第二のトラップタイプのトラップが発生した場合にメモリアクセスのログを採取するステップ、を更に前記情報処理装置に実行させる、
　請求項７に記載のプログラム。