DE102018207504A1 - Steuervorrichtung und Steuerverfahren - Google Patents

Steuervorrichtung und Steuerverfahren Download PDF

Info

Publication number
DE102018207504A1
DE102018207504A1 DE102018207504.2A DE102018207504A DE102018207504A1 DE 102018207504 A1 DE102018207504 A1 DE 102018207504A1 DE 102018207504 A DE102018207504 A DE 102018207504A DE 102018207504 A1 DE102018207504 A1 DE 102018207504A1
Authority
DE
Germany
Prior art keywords
control
verification
unit
processing
control processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102018207504.2A
Other languages
English (en)
Inventor
Toshiki IKEGASHIRA
Toshinori Matsui
Koji Shimamura
Hiroshi Okuyama
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of DE102018207504A1 publication Critical patent/DE102018207504A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Steuervorrichtung, die hohe Sicherheitsstärke und Hochgeschwindigkeits-Aktivierung erfordert und mit einer Kommunikationsleitung verbunden ist, beinhaltet: eine erste und eine zweite Verarbeitungsumgebung, die voneinander isoliert sind. Die erste Verarbeitungsumgebung beinhaltet: eine Steuerverarbeitungseinheit, konfiguriert, ein Steuern eines Steuersubjekts auszuführen; einen ersten Speicherbereich zum Speichern von Daten zum Steuern des Steuersubjekts; und eine Verifikations-Bestimmungseinheit. Die zweite Verarbeitungsumgebung beinhaltet: einen zweiten Speicherbereich zum Speichern eines erwarteten Wertes; eine Verifikationswert-Erzeugungseinheit, konfiguriert, einen Verifikationswert zu erzeugen; und eine Verifikations-Ausführungseinheit, konfiguriert, die Daten des ersten Speicherbereichs zu verifizieren. Die Verifikationswert-Erzeugungseinheit erzeugt den Verifikationswert, bevor das Steuern gestoppt wird. Die Verifikations-Ausführungseinheit führt einen Vergleich des erwarteten Wertes und des Verifikationswertes durch, bevor das Steuern aktiviert wird. Wenn das Vergleichsergebnis einen Verifikationserfolg anzeigt, führt die Verifikations-Bestimmungseinheit eine Bestimmung aus, dass das Steuern zu aktivieren ist und führt die Bestimmung aus, dass Aktivierung des Steuerns zu stoppen ist, wenn das Vergleichsergebnis ein Verifikationsscheitern anzeigt.

Description

  • HINTERGRUND DER ERFINDUNG
  • Gebiet der Erfindung
  • Die vorliegende Erfindung bezieht sich auf eine Steuervorrichtung, die Hochsicherheitsstärke und Hochgeschwindigkeits-Aktivierung erfordert, und ist mit einer Kommunikationsleitung verbunden.
  • Beschreibung verwandten Stands der Technik
  • Bislang ist für eine in einem Fahrzeug installierte Steuervorrichtung, beispielsweise eine Elektroniksteuereinheit (ECU), eine Technologie vorgeschlagen worden, die sich auf eine Maßnahme gegen Datenmanipulation innerhalb der ECU bezieht (siehe beispielsweise japanische Patentoffenlegungsschrift Nr. 2017-33248).
  • Im Allgemeinen ist eine Vielzahl von ECUs im Fahrzeug installiert und sind die ECUs in einer Weise verbunden, die Kommunikation zwischen ihnen gestattet. Die ECUs sind daher gegenüber einer unberechtigten Invasion von außerhalb empfindlich. Wenn die ECU unberechtigt von außerhalb invadiert wird und Daten innerhalb der ECU somit manipuliert werden, kann die ECU somit von außerhalb illegitim entfernt betrieben werden.
  • Eine sichere Boot-Verarbeitung ist als eine Maßnahme gegen das Manipulieren von Daten bekannt. Die sichere Boot-Verarbeitung ist eine Technologie zum Verifizieren von Daten durch Verwendung einer Verschlüsselungs-Technologie zum Detektieren des Manipulierens von Daten. Durch die Detektion davon, ob Daten innerhalb der ECU manipuliert werden oder nicht, bevor die ECU aktiviert wird, kann bestimmt werden, ob die ECU mit hoher Sicherheitsstärke aktiviert werden kann oder nicht.
  • Jedoch gibt es eine strikte Begrenzung an der in einem Fahrzeug zu installierenden ECU im Hinblick auf eine Zeitperiode ab dem Start bis zum Abschluss der Aktivierung der ECU. Hohe Sicherheitsstärke und Hochgeschwindigkeits-Verarbeitung sind daher erforderlich, damit die sichere Boot-Verarbeitung ausgeführt wird, wenn eine ECU aktiviert wird. Weiter kann ein Programm für das sichere Boot-Verarbeiten selbst manipuliert sein. Eine hohe Sicherheitsstärke gegenüber Manipulation ist daher auch für die sichere Boot-Verarbeitung selbst erforderlich.
  • In der japanischen Patentanmeldungs-Offenlegungsschrift Nr. 2017-33248 wird ein Anwendungsprogramm, für das eine Manipulation zu detektieren ist, aus Anwendungsprogrammen ausgewählt, um dadurch eine Zeitperiode für die sichere Boot-Verarbeitung abzukürzen. Zusätzlich werden gemäß der Patentoffenlegungsschrift Nr. 2017-33248 bei der Verifikation zu verwendende Daten jedes Mal aktualisiert, wenn ein Ereignis auftritt und somit kann die sichere Boot-Verarbeitung auch mit hoher Sicherheitsstärke aktiviert werden.
  • Jedoch hat der Stand der Technik die nachfolgenden Probleme. In der japanischen Patentoffenlegungsschrift Nr. 2017-33248 , um die Zeitperiode für die sichere Boot-Verarbeitung abzukürzen, muss ein Anwendungsprogramme, für welches Manipulation zu detektieren ist, aus Anwendungsprogrammen vorab durch einen Systemadministrator ausgewählt werden. Das heißt, dass das Manipulieren nicht für ein Applikationsprogramm detektiert wird, das nicht aus den Applikationsprogrammen vorab ausgewählt wird. Daher, wenn Daten eines Applikationsprogramms, das nicht aus Anwendungsprogrammen vorab ausgewählt wird, illegal durch einen Angreifer manipuliert wird, kann die Manipulation nicht detektiert werden.
  • Jedoch, um die Sicherheitsstärke gegenüber dem Manipulieren des sicheren Boot-Verarbeitens selbst zu vergrößern, ist es erforderlich, eine in der Verifikation des sicheren Boot-Verarbeitens zu verwendende Datenmenge zu erhöhen. Zusätzlich ist es erforderlich, eine Datenmenge eines Verschlüsselungsschlüssels zum Erzeugen eines Verifikationswertes zu steigern.
  • Wenn die Mengen an Programm und Daten, für welche Manipulieren zu detektieren ist, auf diese Weise erhöht werden, ist es für einen Angreifer schwierig, der ein System von außerhalb invadiert, zu versuchen, die Daten zu manipulieren, um den verschlüsselten Verifikationswert zu entschlüsseln. Als Ergebnis wird die Sicherheitsstärke gegenüber Manipulieren vergrößert.
  • Derweil, wenn die Mengen eines Programms und Daten, für welche das Manipulieren zu detektieren ist, vergrößert werden, gibt es ein Problem dahingehend, dass eine Zeitperiode, die für die sichere Boot-Verarbeitung erforderlich ist, sicher verlängert. Als Verfahren zum Reduzieren einer Zeitperiode der sicheren Boot-Verarbeitung ist ein Verfahren des Verwendens einer Hardware-Komponente bekannt gewesen, die zur Hochgeschwindigkeitsrechnung in der Lage ist, beispielsweise ein Hardware-Sicherheitsmodul (HSM). Jedoch, wenn die Datenmenge groß ist, gibt es das Problem, dass eine Zeitperiode der Verarbeitung nicht ausreichend reduziert werden kann, selbst in einem Fall, bei dem das HSM verwendet wird.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Die vorliegende Erfindung ist gemacht worden, um die oben erwähnten Probleme zu lösen und es ist eine Aufgabe der vorliegenden Erfindung, eine Steuervorrichtung oder ein Steuerverfahren bereitzustellen, die zum Sicherstellen hoher Sicherheitsstärke und Reduzieren einer Zeitperiode sicheren Boot-Verarbeitens in der Lage sind, welche ausgeführt wird, wenn die Steuervorrichtung aktiviert wird, im Vergleich mit dem Stand der Technik, selbst wenn Mengen eines Programms und Daten, für welche Manipulation zu detektieren ist, gesteigert werden, oder selbst eine Datenmenge, die im sicheren Boot-Verarbeiten selbst zu verwenden ist, gesteigert wird.
  • Gemäß einer Ausführungsform der vorliegenden Erfindung ist eine Steuervorrichtung bereitgestellt, die beinhaltet: eine erste Verarbeitungsumgebung und eine zweite Verarbeitungsumgebung, die von der ersten Verarbeitungsumgebung isoliert ist, wobei die erste Verarbeitungsumgebung beinhaltet: eine Steuerverarbeitungseinheit, die konfiguriert ist, eine Steuerverarbeitung an einem Steuersubjekt auszuführen; einen ersten Speicherbereich zum Speichern von durch die Steuerverarbeitungseinheit zu verwendenden Daten zum Steuern des Steuerobjektes; und eine Verifikations-Bestimmungseinheit, die konfiguriert ist, zu bestimmen, ob die Steuerverarbeitung auszuführen ist, wobei die zweite Verarbeitungsumgebung beinhaltet: einen zweiten Speicherbereich zum Speichern eines erwarteten Wertes, der vorab basierend auf den Daten des ersten Speicherbereichs erzeugt wird; eine Verifikationswert-Erzeugungseinheit, die konfiguriert ist, einen Verifikationswert basierend auf den Daten des ersten Speicherbereichs zu erzeugen; und eine Verifikations-Ausführungseinheit, die konfiguriert ist, die Daten des ersten Speicherbereichs zu verifizieren; wobei der zweite Speicherbereich so eingestellt wird, dass er nur von der zweiten Verarbeitungsumgebung zugänglich ist, wobei die Verifikationswert-Erzeugungseinheit konfiguriert ist, den Verifikationswert zu erzeugen, bevor die durch die Steuerverarbeitungseinheit ausgeführte Steuerverarbeitung gestoppt wird, und den erzeugten Verifikationswert im zweiten Speicherbereich zu speichern, wobei die Verifikationsausführeinheit konfiguriert ist, eine Vergleichsverarbeitung des Vergleichens des erwarteten Werts und des Verifikationswertes auszuführen, bevor die durch die Steuerverarbeitungseinheit ausgeführte Steuerverarbeitung aktiviert wird, und ein einen Verifikationserfolg oder ein Verifikationsscheitern angebendes Vergleichsergebnis an die Verifikations-Bestimmungseinheit, die in der ersten Verarbeitungsumgebung enthalten ist, zu senden, wobei die Verifikations-Bestimmungseinheit konfiguriert ist, um: beim Empfangen, aus der Verifikationsausführeinheit, des Vergleichsergebnisses, das den Verifikationserfolg angibt, eine Bestimmungsverarbeitung des Bestimmens, dass die durch die Steuerverarbeitungseinheit ausgeführte Steuerverarbeitung zu aktivieren ist, auszuführen, und, wenn aus der Verifikationsausführeinheit das Vergleichsergebnis, das das Verifikationsscheitern angibt, empfangen wird, eine Bestimmungsverarbeitung des Bestimmens, dass die Aktivierung der durch die Steuerverarbeitungseinheit ausgeführten Steuerverarbeitung zu stoppen ist, auszuführen.
  • Weiter, gemäß einer Ausführungsform der vorliegenden Erfindung, wird ein Steuerverfahren für eine Steuervorrichtung bereitgestellt, wobei die Steuervorrichtung beinhaltet: eine erste Verarbeitungsumgebung; eine zweite Verarbeitungsumgebung, die gegenüber der ersten Verarbeitungsumgebung isoliert ist; und eine Steuerverarbeitungseinheit, die konfiguriert ist, ein Steuersubjekt durch Verwendung von unter der ersten Verarbeitungsumgebung gespeicherten Daten zu steuern, wobei das Steuerverfahren beinhaltet: Erzeugen eines Verifikationswerts, basierend auf Daten eines in der ersten Verarbeitungsumgebung enthaltenen ersten Speicherbereichs; Speichern des Verifikationswerts in einem, in der zweiten Verarbeitungsumgebung enthaltenen zweiten Speicherbereich, wobei das Erzeugen des Verifikationswerts und das Speichern des Verifikationswerts ausgeführt werden, bevor die durch die Steuerverarbeitungseinheit ausgeführte Steuerverarbeitung gestoppt wird; Ausführen eines Vergleichsverarbeitung des Vergleichens eines erwarteten Werts, der vorab erzeugt wird, basierend auf den Daten des ersten Speicherbereichs und dem Verifikationswert; Ausführen, wenn ein durch die Vergleichsverarbeitung erhaltenes Vergleichsergebnis einen Verifikationserfolg angibt, einer Bestimmungsverarbeitung des Bestimmens, dass die durch die Steuerverarbeitungseinheit ausgeführte Steuerverarbeitung zu aktivieren ist; und Ausführen, wenn ein durch die Vergleichsverarbeitung erhaltenes Vergleichsergebnis ein Verifikationsscheitern angibt, einer Bestimmungsverarbeitung des Bestimmens, dass die Aktivierung der durch die Steuerverarbeitungseinheit ausgeführten Steuerverarbeitung zu stoppen ist, wobei das Ausführen der Vergleichsverarbeitung, das Ausführen der Bestimmungsverarbeitung des Bestimmens, dass die durch die Steuerverarbeitungseinheit ausgeführte Steuerverarbeitung zu aktivieren ist, und das Ausführen der Bestimmungsverarbeitung des Bestimmens, dass die Aktivierung der durch die Steuerverarbeitungseinheit ausgeführten Steuerverarbeitung zu stoppen ist, ausgeführt wird, bevor die durch die Steuerverarbeitungseinheit ausgeführte Steuerverarbeitung aktiviert wird.
  • Gemäß der vorliegenden Erfindung wird der Verifikationswert für sichere Boot-Verarbeitung (für Manipulationsdetektion) vorab erzeugt, bevor die Steuervorrichtung gestoppt wird, um dadurch zu gestatten, dass die sichere Boot-Verarbeitung ausgeführt wird, durch Verwendung des Verifikationswerts, wenn die Steuervorrichtung aktiviert wird. Als Ergebnis ist es möglich, die Steuervorrichtung und das Steuerverfahren zu erhalten, die in der Lage sind, hohe Sicherheitsstärke sicherzustellen und eine Zeitperiode der sicheren Boot-Verarbeitung zu reduzieren, die ausgeführt wird, wenn die Steuervorrichtung aktiviert wird, selbst wenn die Mengen von Programm und Daten, für welche eine Manipulation zu detektieren ist, vergrößert werden, und selbst wenn die Menge der in dem sicheren Boot-Verarbeiten selbst zu verwendenden Daten erhöht wird.
  • Figurenliste
    • 1 ist ein Funktionsblockdiagramm einer Steuervorrichtung gemäß einer ersten Ausführungsform der vorliegenden Erfindung.
    • 2 ist ein Flussdiagramm zum Illustrieren der Verarbeitung des Stoppens und Aktivierens der Steuervorrichtung gemäß der ersten Ausführungsform der vorliegenden Erfindung.
  • BESCHREIBUNG DER AUSFÜHRUNGSFORMEN
  • Nunmehr werden eine Steuervorrichtung und ein Steuerverfahren gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung unter Bezugnahme auf die Zeichnungen beschrieben. Nachfolgend wird als ein spezifisches Beispiel der Steuervorrichtung eine detaillierte Beschreibung eines Falls gegeben, bei welchem die Steuervorrichtung auf eine FahrzeugSteuervorrichtung (ECU) angewendet wird, die konfiguriert ist, ein Fahrzeug und eine Fahrzeugvorrichtung zu steuern.
  • Erste Ausführungsform
  • 1 ist ein Funktionsblockdiagramm zum Illustrieren einer Fahrzeugsteuervorrichtung (ECU), auf welche eine Steuervorrichtung gemäß einer ersten Ausführungsform der vorliegenden Erfindung angewendet wird. Die Fahrzeugsteuervorrichtung gemäß der ersten Ausführungsform (nachfolgend als eine „Steuervorrichtung 10“ bezeichnet), beinhaltet eine Aktivierungssteuereinheit 100, eine Steuerverarbeitungseinheit 101, eine nicht-flüchtige Speichereinheit 102, eine Verifikationswert-Erzeugungseinheit 103, eine Verifikationsausführeinheit 104, eine Verifikations-Bestimmungseinheit 105, eine Kommunikationssteuereinheit 106 und ein Zeitmesseinheit 107.
  • Wie in 1 illustriert, beinhaltet die Steuervorrichtung 10 eine erste Verarbeitungsumgebung und eine zweite Verarbeitungsumgebung. Die zweite Verarbeitungsumgebung ist eine Verarbeitungsumgebung, die gegenüber der ersten Verarbeitungsumgebung im Hinblick auf Hardware isoliert ist. Beispielsweise kann ein Hardware-Sicherheitsmodul (HSM) als die zweite Verarbeitungsumgebung verwendet werden.
  • Die erste Verarbeitungsumgebung beinhaltet die Aktivierungssteuereinheit 100, die Steuerverarbeitungseinheit 101, einen erste Speicherbereich 102a innerhalb der nicht-flüchtigen Speichereinheit 102, die Verifikations-Bestimmungseinheit 105, die Kommunikationssteuereinheit 106 und die Zeitmesseinheit 107.
  • Derweil beinhaltet die zweite Verarbeitungsumgebung einen zweiten Speicherbereich 102b innerhalb der nicht-flüchtigen Speichereinheit 102, die Verifikationswert-Erzeugungseinheit 103 und die Verifikationsausführeinheit 104. Weiter wird der zweite Speicherbereich 102b so eingestellt, dass er nur aus der zweiten Verarbeitungsumgebung zugänglich ist.
  • Die Steuervorrichtung 10 ist die Fahrzeugsteuervorrichtung, die konfiguriert ist, ein Fahrzeug zu steuern. Die Steuervorrichtung 10 ist mit einer anderen Steuervorrichtung, die im Fahrzeug enthalten ist, über eine (nicht gezeigte) Kommunikationsleitung verbunden, beispielsweise ein Steuerbereichsnetzwerk (CAN, Controller Area Network).
  • Die Aktivierungssteuereinheit 100 weist eine Funktion des Steuerns der Aktivierung und des Stoppens der Steuerverarbeitungseinheit 101 der Steuervorrichtung 10 auf. Die Aktivierungssteuereinheit 100 weist auch eine Funktion des Durchführens einer Gesamtsteuerung des Stoppens der Verarbeitung und Aktivierens der Verarbeitung an der Steuerverarbeitungseinheit 101 auf.
  • Wie hierin verwendet, bezieht sich ein Zustand, in welchem die Steuerverarbeitungseinheit 101 nicht aktiviert ist, auf einen Zustand, in welchem die Steuervorrichtung 10 in einem Schlafzustand ist oder eine Stromversorgung der Steuervorrichtung 10 ausgeschaltet ist.
  • Die Steuerverarbeitungseinheit 101 weist eine Funktion des Steuerns einer zu steuernden Vorrichtung, die in dem Fahrzeug installiert ist, auf. In 1 ist die zu steuernde Vorrichtung nicht gezeigt. In der nachfolgenden Beschreibung wird die zu steuernde Vorrichtung einfach als ein „Steuersubjekt“ bezeichnet. Das im Fahrzeug installierte Steuersubjekt ist ein Aktuator oder eine andere solche Vorrichtung.
  • Spezifisch liest die Steuerverarbeitungseinheit 101 Steuerprogrammdaten entsprechend dem Steuersubjekt aus dem ersten Speicherbereich 102a der nicht-flüchtigen Speichereinheit 102 aus und führt das eingelesene Programm aus, um dadurch das Steuersubjekt zu steuern.
  • Die nicht-flüchtige Speichereinheit 102 beinhaltet den ersten Speicherbereich 102a und den zweiten Speicherbereich 102b. Der erste Speicherbereich 102a und der zweite Speicherbereich 102b sind voneinander im Hinblick auf ihre physikalischen oder logischen Adressen isoliert.
  • Der erste Speicherbereich 102a ist ein Bereich zum Speichern der durch die Steuerverarbeitungseinheit 101 zu verwendenden Steuerprogrammdaten zum Ausführen der Steuerverarbeitung. Der erste Speicherbereich 102a ist ein Bereich, in welchem durch die Steuerverarbeitungseinheit 101 zum Zeitpunkt normalen Betriebs zu verwendenden Daten gespeichert werden. Daher wird nachfolgend der erste Speicherbereich 102a auch als „erster Speicherbereich“ (Normalspeicherbereich) 102a bezeichnet.
  • Der zweite Speicherbereich 102b ist ein Bereich zum Speichern eines erwarteten Wertes und eines im sicheren Boot-Verarbeiten zu verwendenden Verifikationswerts. Nachfolgend wird der zweite Speicherbereich 102b manchmal als „zweiter Speicherbereich (sicherer Speicherbereich) 102b“ bezeichnet. Der erwartete Wert wird beispielsweise in einer Entwicklungsstufe der Steuervorrichtung 10 durch dasselbe Rechenverfahren wie dasjenige des Verifikationswerts erzeugt, basierend auf den Daten des ersten Speicherbereichs (Normalspeicherbereich) 102a.
  • Die im ersten Speicherbereich (normaler Speicherbereich) 102a gespeicherten Daten sind, wie oben beschrieben, die durch die Steuerverarbeitungseinheit 101 zu verwendenden Programmdaten zur Ausführung der Steuerverarbeitung. Daher, wenn die im ersten Speicherbereich (normaler Speicherbereich) 102a gespeicherten Daten illegal manipuliert werden, kann ein ernsthaftes Problem im Betrieb des Steuersubjektes und der Steuerung des gesamten Fahrzeugs auftreten.
  • Die in der zweiten Verarbeitungsumgebung vorgesehene Verifikationswert-Erzeugungseinheit 103 weist eine Funktion des Erzeugens des in dem sicheren Boot-Verarbeiten zu verwendenden Verifikationswerts auf, basierend auf dem im ersten Speicherbereich (normaler Speicherbereich) 102a gespeicherten Daten und zum Zeitpunkt des Normalbetriebs verwendet. Als der Verifikationswert kann beispielsweise ein Nachrichten-Authentifizierungscode (MAC), ein zyklischer Redundanz-Check (CRC) oder ein Hash-Wert verwendet werden.
  • Die in der zweiten Verarbeitungsumgebung vorgesehene Verifikationsausführeinheit 104 verifiziert, ob der in dem zweiten Speicherbereich gespeicherte erwartete Wert und der durch die Verifikationswert-Erzeugungseinheit 103 erzeugte Verifikationswert, basierend auf den Daten des ersten Speicherbereichs (Normalspeicherbereich) 102a zueinander passen oder nicht.
  • Die in der ersten Verarbeitungsumgebung vorgesehene Verifikations-Bestimmungseinheit 105 bestimmt, ob der Steuerverarbeitungseinheit 101 zu erlauben ist, die Verarbeitung für das Steuersubjekt zu steuern, basierend auf dem durch die Verifikationsausführeinheit 104 erhaltenen Verifikationsergebnis.
  • Wenn das durch die Verifikationsausführeinheit 104 erhaltene Verifikationsergebnis angibt, dass der erwartete Wert und der Verifikationswert zueinander passen, bestimmt die Verifikations-Bestimmungseinheit 105, dass die Daten des ersten Speicherbereichs (Normalspeicherbereich) 102a nicht manipuliert sind. Dieses Verifikations-Bestimmungsergebnis wird nachfolgend als „Verifikationserfolg“ bezeichnet.
  • Zusätzlich, wenn das Verifikationsergebnis anzeigt, dass der erwartete Wert und der Verifikationswert nicht zueinander passen, bestimmt die Verifikations-Bestimmungseinheit 105, dass die Daten des ersten Speicherbereichs (normaler Speicherbereich) 102a manipuliert sind. Dieses Verifikations-Bestimmungsergebnis wird hier als „Verifikationsscheitern“ bezeichnet.
  • Das Verifikations-Bestimmungsergebnis wird aus der Verifikations-Bestimmungseinheit 105 an die Aktivierungssteuereinheit 100 ausgegeben. Basierend auf dem aus der Verifikations-Bestimmungseinheit 105 ausgegebenen Verifikations-Bestimmungsergebnis aktiviert die Aktivierungssteuereinheit 100 die Steuerverarbeitungseinheit 101, wenn das Verifikations-Bestimmungsergebnis „Verifikationserfolg“ ist und stoppt die Aktivierung der Steuerverarbeitungseinheit 101, wenn das Verifikations-Bestimmungsergebnis „Verifikationsscheitern“ ist.
  • In der obigen Beschreibung, wenn die Aktivierung der Steuerverarbeitungseinheit 101 gestoppt wird, wird die Ausführung aller Funktionen der Steuerverarbeitungseinheit 101 gestoppt. Jedoch ist die Stoppverarbeitung der ersten Ausführungsform nicht darauf beschränkt. Beispielsweise kann die Steuerverarbeitungseinheit 101 in einem Zustand aktiviert werden, in welchem die Ausführung eines Teils der Funktionen der Steuerverarbeitungseinheit 101 beschränkt ist.
  • Die Kommunikationssteuereinheit 106 ist mit anderen im Fahrzeug installierten Vorrichtungen über die Kommunikationsleitung (nicht gezeigt) verbunden. Die Kommunikationssteuereinheit 106 weist eine Funktion des Ermöglichens oder Sperrens einer Kommunikationsfunktion zwischen der Steuervorrichtung 10 und den externen Vorrichtungen auf, basierend auf einer Ausgabe aus der Aktivierungssteuereinheit 100.
  • Die Zeitmesseinheit 107 weist eine Uhrenfunktion des Mitteilens der Aktivierungssteuereinheit 100 und der Kommunikationssteuereinheit 106, dass ein vorbestimmter Zeitpunkt erreicht worden ist, oder eine Timer-Funktion zum Mitteilen jener Einheiten, dass eine vorbestimmte Zeitperiode verstrichen ist seit einem gegebenen Zeitpunkt, auf.
  • Die Aktivierungssteuereinheit 100 und die Zeitmesseinheit 107 sind so konfiguriert, dass sie in der Lage sind, kontinuierlich aktiviert zu sein, selbst wenn die Steuervorrichtung 10 in eine Schlafzustand oder einem Abschaltzustand ist. Beispielsweise sind die Aktivierungssteuereinheit 100 und die Zeitmesseinheit 107 so konfiguriert, dass ihnen kontinuierlich Strom aus einer Batterie oder einer Batterie-Stromversorgung, die im Fahrzeug installiert ist, zugeführt wird, selbst wenn die Steuervorrichtung 10 in einem Schlafzustand oder einem Ausschaltzustand ist.
  • Als Nächstes wird die zum Zeitpunkt des Stoppens und der Aktivierung der Steuerverarbeitungseinheit 101 auszuführende Verarbeitung im Detail unter Bezugnahme auf 2 beschrieben. 2 ist ein Flussdiagramm zum Illustrieren eines Ablaufs der zum Zeitpunkt des Stoppens und der Aktivierung der Steuerverarbeitungseinheit 101 in der ersten Ausführungsform der vorliegenden Erfindung auszuführenden Verarbeitung.
  • Im Schritt S201 beginnt die Aktivierungssteuereinheit 100 die Verarbeitung des Stoppens der Steuerverarbeitungseinheit 101. Die Verarbeitung des Stoppens der Steuerverarbeitungseinheit 101 wird so eingestellt, dass sie automatisch ausgeführt wird, unmittelbar bevor die Steuervorrichtung 10 in einen Schlafzustand oder einen Ausschaltzustand übergeht.
  • Als Nächstes erfragt in Schritt S202 die Aktivierungssteuereinheit 100 von der Kommunikationssteuereinheit 106 einen aktuellen Kommunikationszustand. Die Kommunikationssteuereinheit 106 bestätigt, ob Kommunikation zwischen der Steuervorrichtung 10 und den externen Vorrichtungen freigegeben ist oder nicht und gibt ein Ergebnis der Bestätigung an die Aktivierungssteuereinheit 100 aus.
  • Als Nächstes, wenn im Schritt S202 bestätigt wird, dass die Kommunikation gesperrt ist (Schritt S202: NEIN), rückt die Aktivierungssteuereinheit 100 die Verarbeitung zu Schritt S204 vor. Wenn stattdessen im Schritt S202 bestätigt wird, dass die Kommunikation freigegeben ist (Schritt S202: JA), rückt die Aktivierungssteuereinheit 100 die Verarbeitung zu Schritt S203 vor.
  • Im Schritt S203 gibt die Aktivierungssteuereinheit 100 eine Anweisung zum Sperren der Kommunikation an die Kommunikationssteuereinheit 106 aus. Nach bestätigen, dass die Kommunikation durch die Kommunikationssteuereinheit 106 gesperrt ist, rückt die Aktivierungssteuereinheit 100 zu Schritt S204 vor.
  • Im Schritt S204 gibt die Aktivierungssteuereinheit 100 eine Anweisung zum Erzeugen eines Verifikationswertes an die Verifikationswert-Erzeugungseinheit 103 innerhalb der zweiten Verarbeitungsumgebung aus.
  • Die Verifikationswert-Erzeugungseinheit 103 liest aus dem ersten Speicherbereich (normaler Speicherbereich) 102a innerhalb der ersten Verarbeitungsumgebung der nicht-flüchtigen Speichereinheit 102 Daten aus, die bei der Verifikation in der sicheren Boot-Verarbeitung zu verwenden sind, und erzeugt basierend auf den gelesenen Daten den Verifikationswert. Die Verifikationswert-Erzeugungseinheit 103 speichert den erzeugten Verifikationswert im zweiten Speicherbereich (sicherer Speicherbereich) 102b.
  • Wenn beispielsweise der Verifikationswert ein Nachrichten-Authentifizierungscode (MAC) ist, und die zweite Verarbeitungsumgebung ein Hardware-Sicherheitsmodul (HSM) ist, erzeugt die Verifikationswert-Erzeugungseinheit 103 einen Verifikationswert MAC. Die Verifikationswert-Erzeugungseinheit 103 speichert den erzeugten Verifikationswert MAC im zweiten Speicherbereich (sicherer Speicherbereich) 102b.
  • Wie oben beschrieben, bevor die Steuerverarbeitung gestoppt wird, sperrt die Steuervorrichtung 10 gemäß der ersten Ausführungsform die Kommunikationsfunktion in Schritt S203 und erzeugt dann vorab den in der sicheren Boot-Verarbeitung (Manipulations-Detektionsverarbeitung) im Schritt S204 zu verwendenden Verifikationswert.
  • Als Nächstes stoppt im Schritt S205 die Aktivierungssteuereinheit 100 den Betrieb der durch die Steuerverarbeitungseinheit 101 ausgeführten Steuerverarbeitung. Nachdem der Betrieb der Steuerverarbeitungseinheit 101 gestoppt ist, geht die Steuervorrichtung 10 in einen Schlafzustand oder einen Stromabschaltzustand über. In diesem Fall werden die Aktivierungssteuereinheit 100 und die Zeitmesseinheit 107 eingestellt, kontinuierlich aktiviert zu sein, wenn die Steuervorrichtung 10 in den Schlafzustand oder Ausschaltzustand geht.
  • Nach der oben erwähnten Verarbeitung wird die Verarbeitung des Stoppens der Steuerverarbeitungseinheit 101 beendet. In dieser Stufe wird der in der sicheren Boot-Verarbeitung zu verwendende Verifikationswert bereits in dem zweiten Speicherbereich 102b erzeugt und gespeichert.
  • Als Nächstes wird die Verarbeitung des Aktivierens der Steuerverarbeitungseinheit 101 beschrieben.
  • Im Schritt S206 teilt die Zeitmesseinheit 107 als eine Aktivierungsanweisung der Aktivierungssteuereinheit 100 mit, dass ein vorbestimmter Zeitpunkt zum Aktivieren der durch die Steuerverarbeitungseinheit 101 auszuführenden Steuerverarbeitung erreicht ist. Der vorbestimmte Zeitpunkt ist in diesem Fall beispielsweise ein Zeitpunkt unmittelbar bevor (zum Beispiel 1 Stunde bevor) ein Fahrer üblicherweise einen Motor des Fahrzeugs startet. Als ein anderes Beispiel kann dem Fahrer gestattet sein, einen Zeitpunkt als den vorbestimmten Zeitpunkt auszuwählen und einzustellen.
  • Weiter, anstelle des vorbestimmten Zeitpunkts, kann die Zeitmesseinheit 107 der Aktivierungssteuereinheit 100 der Aktivierungsanweisung mitteilen, wenn eine vorbestimmte Zeitperiode (z.B. 1 Stunde bis 12 Stunden) seit einem gegebenen Zeitpunkt verstrichen ist. In diesem Fall kann der gegebene Zeitpunkt beispielsweise auf einen Zeitpunkt eingestellt werden, zu welchem der Motor gestoppt wird oder einen Zeitpunkt, zu welchem die Steuervorrichtung 10 in einen Schlafzustand oder einen Ausschaltzustand geht. Als ein anderes Beispiel kann dem Fahrer gestattet sein, eine Zeitperiode auszuwählen und einzustellen, als die vorbestimmte Zeitperiode.
  • Als Nächstes hebt in Schritt S207 die Aktivierungssteuereinheit 100 einen Schlafzustand oder einen Ausschaltzustand der Steuervorrichtung 10 auf. Als Ergebnis geht die Steuervorrichtung 10 in einen aktivierten Zustand.
  • Weiter gibt im Schritt S207 die Aktivierungssteuereinheit 100 eine Anweisung zum Freigeben der Kommunikationsfunktion an die Kommunikationssteuereinheit 106 aus. Die Kommunikationssteuereinheit 106 ändert, basierend auf der Ausgabe aus der Aktivierungssteuereinheit 100, die Kommunikationsfunktion zwischen der Steuervorrichtung 10 und der Außenseite von einem gesperrten Zustand zu einem freigegebenen Zustand.
  • Als Nächstes bestimmt im Schritt S208 die Aktivierungssteuereinheit 100, ob eine Anfrage zur Aktivierung der Steuerverarbeitung an die Steuervorrichtung 10 aus der externen Vorrichtung über die Kommunikationsleitung und die Kommunikationssteuereinheit 106 erteilt wird oder nicht. Dann, wenn die Anfrage zum Aktivieren der Steuerverarbeitung erteilt ist (Schritt S208: JA), startet die Aktivierungssteuereinheit 100 die Verarbeitung des Aktivierens der Steuerverarbeitungseinheit 101.
  • Derweil, wenn es keine Anfrage zum Aktivieren der Steuerverarbeitung im Schritt S208 gibt (S208: NEIN), führt die Aktivierungssteuereinheit 100 die Verarbeitung zum Aktivieren der Steuerverarbeitungseinheit 101 nicht aus. Die Anfrage zum Aktivieren der Steuerverarbeitung, die in diesem Fall aus der externen Vorrichtung erteilt wird, ist beispielsweise eine aus einer anderen ECU als der Steuervorrichtung 10 über die CAN-Kommunikation ausgegebene Aktivierungsanfrage.
  • Als Nächstes wird die Verarbeitung zum Aktivieren der Steuerverarbeitungseinheit 101 beschrieben. Im Schritt S208 gibt die Aktivierungssteuereinheit 100, von der verlangt wird, die Steuerverarbeitung zu aktivieren, eine Anweisung zum Ausführen der Verifikation an die Verifikationsausführeinheit 104 innerhalb der zweiten Verarbeitungsumgebung aus.
  • In Schritt S209 liest die Verifikationsausführeinheit 104 den Verifikationswert und den erwarteten Wert aus dem zweiten Speicherbereich (sicherer Speicherbereich) 102b aus und bestimmt, ob der Verifikationswert und der erwartete Wert zueinander passen oder nicht. Der Verifikationswert in diesem Fall ist ein in dem zweiten Speicherbereich (sicherer Speicherbereich) 102b im Schritt S204 gespeicherte Verifikationswert, bevor die Steuerverarbeitung im Schritt S205 gestoppt wird. Das Vergleichsergebnis wird aus der Verifikationsausführeinheit 104 innerhalb der zweiten Verarbeitungsumgebung an die Verifikations-Bestimmungseinheit 105 innerhalb der ersten Verarbeitungsumgebung ausgegeben.
  • Im Schritt S210 bestimmt die Verifikations-Bestimmungseinheit 105, ob die Daten des ersten Speicherbereichs (normaler Speicherbereich) 102a manipuliert werden oder nicht, basierend auf dem Vergleichsergebnis. Die Verifikations-Bestimmungseinheit 105 gibt ein Ergebnis der Verifikationsbestimmung an die Aktivierungssteuereinheit 100 aus.
  • Spezifisch, wenn der erwartete Wert und der Verifikationswert im Vergleichsergebnis passen, bestimmt die Verifikations-Bestimmungseinheit 105, dass die Daten des erste Speicherbereichs (normaler Speicherbereich) 102a nicht manipuliert sind und bestimmt den Verifikationserfolg als ein Ergebnis der Verifikationsbestimmung (Schritt S210: JA). Andererseits, wenn der erwartete Wert und der Verifikationswert im Vergleichsergebnis nicht passen, bestimmt die Verifikations-Bestimmungseinheit 105, dass die Daten des ersten Speicherbereichs (normaler Speicherbereich) 102a manipuliert sind und bestimmt das Verifikationsscheitern als ein Ergebnis der Verifikationsbestimmung (S210: NEIN). Das Ergebnis der Verifikationsbestimmung wird aus der Verifikations-Bestimmungseinheit 105 an die Aktivierungssteuereinheit 100 ausgegeben.
  • Die Aktivierungssteuereinheit 100 steuert, ob die Steuerverarbeitungseinheit 101 zu aktivieren ist oder nicht, basierend auf dem Ergebnis der Verifikationsbestimmung. Wenn die Verifikationsbestimmung ein Erfolg ist (S210: JA), aktiviert die Aktivierungssteuereinheit 100 die Steuerverarbeitungseinheit 101 (Schritt S211). Die Steuerverarbeitungseinheit 101 startet das Steuern des Steuersubjekts.
  • Andererseits, wenn die Verifikationsbestimmung ein Scheitern ist (S210: NEIN), stoppt die Aktivierungssteuereinheit 100 die Aktivierung der Steuerverarbeitungseinheit 101 (S212). Mit dieser Konfiguration ist es möglich, zu verhindern, dass die Steuerverarbeitungseinheit 101 das Steuersubjekt basierend auf den manipulierten Daten steuert.
  • In der obigen Beschreibung führt die Verifikations-Bestimmungseinheit 105 die Verifikationsbestimmung im Schritt S210 in zwei Niveaus eines Erfolgs und eines Scheiterns aus. Weiter, wenn die Aktivierung der Steuerverarbeitungseinheit 101 gestoppt ist, wird die Ausführung aller der Funktionen der Steuerverarbeitungseinheit 101 gestoppt. Jedoch ist die erste Ausführung nicht auf eine solche Verarbeitung beschränkt.
  • Beispielsweise, können als die Niveaus der Verifikationsbestimmung, basierend auf dem Verifikationsergebnis, zwei Niveaus des Verifikationserfolges und des Verifikationsteilscheiterns oder drei Niveaus eines Verifikationserfolgs, eines Verifikationsteilscheiterns und eines Verifikationsscheiterns verwendet werden. Dann, wenn bestimmt wird, dass das Verifikationsergebnis ein Verifikationsteilscheitern ist, kann beispielsweise die Aktivierungssteuereinheit 100 die Steuerverarbeitungseinheit 101 in einem Zustand aktivieren, in welchem die Ausführung eines Teils der Funktionen der Steuerverarbeitungseinheit 101 entsprechend einem Teil von Daten oder Programmen, welche durch das Verifikationsscheitern bestimmt sind, begrenzt ist.
  • Spezifisch, wie unten beschrieben, ist es vorstellbar, dass eine Verifikation für alle Steuerprogrammdaten ausgeführt wird und dann die Aktivierungssteuereinheit 100 die Steuerverarbeitungseinheit 101 aktiviert, indem eine solche Beschränkung auferlegt wird, dass eine Steuerverarbeitung, die Steuerprogrammdaten entspricht, die als ein Verifikationserfolg bestimmt sind, ausgeführt wird und dass eine Steuerverarbeitung, die Steuerprogrammdaten entspricht, die als Verifikationsscheitern bestimmt sind, nicht ausgeführt wird.
  • Es wird ein Fall angenommen, in welchem eine Vielzahl von Teilen von Steuerprogrammdaten entsprechend einer Vielzahl von Steuersubjekten oder einer Vielzahl von Steuerverarbeitungsprozeduren in den ersten Speicherbereich 102a gespeichert werden. In diesem Fall erzeugt die Verifikationswert-Erzeugungseinheit 103 eine Vielzahl von Verifikationswerten jeweils entsprechend der Vielzahl von Teilen von Steuerprogrammdaten.
  • Nachfolgend vergleicht die Verifikationsausführeinheit 104 die Vielzahl von, jeweils der Vielzahl von Teilen von Steuerprogrammdaten entsprechenden Verifikationswerten und vorab in dem zweiten Speicherbereich 102b in Assoziierung mit der Vielzahl von Verifikationswerten jeweils gespeicherte erwartete Werten. Eine Vielzahl von Vergleichsergebnissen, die so erhalten wird, werden aus der Verifikationsausführeinheit 104 an die Verifikations-Bestimmungseinheit 105 ausgegeben.
  • Basierend auf der Vielzahl von aus der Verifikationsausführeinheit 104 ausgegebenen Vergleichsergebnissen bestimmt die Verifikations-Bestimmungseinheit 105 für jede der Vielzahl von Teilen von Steuerprogrammdaten, ob das Verifikationsergebnis ein Verifikationserfolg oder ein Verifikationsscheitern ist. Dann, wenn die erwarteten Werte der Vielzahl von Teilen von Steuerprogrammdaten und der entsprechenden Verifikationswerte alle passen, bestimmt die Verifikations-Bestimmungseinheit 105, dass die Daten des ersten Speicherbereichs (normaler Speicherbereich) 102a nicht manipuliert sind und bestimmt einen Verifikationserfolg als ein Ergebnis der Verifikationsbestimmung. Andererseits, wenn die erwarteten Werte der Vielzahl von Teilen von Steuerprogrammdaten und der entsprechenden Verifikationswerte nicht partiell passen, bestimmt die Verifikations-Bestimmungseinheit 105, dass die Daten des ersten Speicherbereichs (normaler Speicherbereich) 102a partiell manipuliert sind und bestimmt ein Verifikationsteilscheitern als Ergebnis der Verifikationsbestimmung.
  • Nachfolgend bezeichnet die Verifikations-Bestimmungseinheit 105 eine Steuerverarbeitung entsprechend Steuerprogrammdaten, die als ein Verifikationserfolg bestimmt wird, als eine Steuerverarbeitung, der gestattet wird, ausgeführt zu werden, und bezeichnet Steuerverarbeitung entsprechend Steuerprogrammdaten, die als Verifikationsscheitern bestimmt sind, als Steuerverarbeitung, der nicht gestattet wird, ausgeführt zu werden. Die Aktivierungssteuereinheit 100 aktiviert die Steuerverarbeitungseinheit 101, so dass die Steuerverarbeitungseinheit 101 nur Steuerverarbeitung ausführen kann, welche durch die Verifikations-Bestimmungseinheit 105 als Steuerverarbeitung bezeichnet wird, der gestattet wird, ausgeführt zu werden. Auf diese Weise kann die Steuerverarbeitungseinheit 101 so aktiviert werden, dass die Steuerverarbeitungseinheit 101 eine Steuerverarbeitung nicht ausführen kann, die Programmdaten entspricht, die als Verifikationsscheitern bestimmt sind.
  • In der ersten oben beschriebenen Ausführungsform wird der Fall beschrieben, in welchem die Steuervorrichtung gemäß der vorliegenden Erfindung als eine Fahrzeugsteuervorrichtung verwendet wird. Jedoch ist die Steuervorrichtung gemäß der vorliegenden Erfindung nicht darauf beschränkt. Die Steuervorrichtung gemäß der vorliegenden Erfindung ist auf beispielsweise jegliche Steuervorrichtung anwendbar, die eine hohe Sicherheitsstärke und Hochgeschwindigkeits-Aktivierung verlangt, und die mit einer Kommunikationsleitung verbunden ist.
  • Gemäß der ersten Ausführungsform der vorliegenden, oben beschriebenen Erfindung können die folgenden Effekte für die sichere Boot-Verarbeitung erhalten werden, die durchgeführt wird, um zu verifizieren, ob in der Steuerverarbeitung zu verwendende Daten manipuliert sind oder nicht.
  • In der Steuervorrichtung des Stands der Technik wird der Verifikationswert, der bei der sicheren Boot-Verarbeitung zu verwenden ist, erzeugt, bevor die Steuerverarbeitung aktiviert wird. Demgegenüber wird die Steuervorrichtung gemäß der ersten Ausführungsform konfiguriert, den in der sicheren Boot-Verarbeitung zu verwendenden Verifikationswert zu erzeugen, bevor die Steuerverarbeitung gestoppt wird, und die sichere Boot-Verarbeitung durch Verwendung des Verifikationswerts durchzuführen, der vorab erzeugt wird, bevor die Steuerverarbeitung aktiviert wird.
  • Mit dieser Konfiguration kann eine Zeitperiode der sicheren Boot-Verarbeitung, die durchgeführt wird, bevor die Steuerverarbeitung aktiviert wird, im Vergleich mit dem Stand der Technik verkürzt werden.
  • Weiter, indem so der in dem sicheren Boot-Verarbeiten zu verwendende Verifikationswert vorab erzeugt wird, nicht vor der Aktivierung der Steuervorrichtung, wo es wenig freie Zeit gibt, sondern vor dem Stopp der Steuervorrichtung kann eine ausreichende Menge an Daten eines Verschlüsselungsschlüssels zum Erzeugen des Verifikationswerts sichergestellt werden. Als Ergebnis kann die Zuverlässigkeit des sicheren Boot-Verarbeitens verbessert werden.
  • Weiter beinhaltet die Steuervorrichtung gemäß der ersten Ausführungsform die erste Verarbeitungsumgebung und die zweite Verarbeitungsumgebung, die gegenüber der ersten Verarbeitungsumgebung isoliert ist, und ist konfiguriert, den Verifikationswert zu erzeugen, der in der sicheren Boot-Verarbeitung innerhalb der zweiten Verarbeitungsumgebung zu verwenden ist, den Verifikationswert zu speichern und die Verifikation mit der sicheren Boot-Verarbeitung auszuführen. Zusätzlich wird der zweite Speicherbereich, in welchem der Verifikationswert gespeichert ist, so eingestellt, dass er nur aus der zweiten Verarbeitungsumgebung zugänglich ist. Mit dieser Konfiguration kann die Sicherheitsstärke und Zuverlässigkeit der sicheren Boot-Verarbeitung selbst verbessert werden.
  • Weiter ist die Steuervorrichtung gemäß der ersten Ausführungsform konfiguriert, den Verifikationswert mit der Kommunikationsfunktion der Steuervorrichtung abgeschaltet zu erzeugen und zu speichern. Mit dieser Konfiguration ist es möglich, zu verhindern, dass Daten durch einen Angriff von außerhalb über die Kommunikationsleitung manipuliert werden.
  • Weiter beinhaltet die Steuervorrichtung gemäß der ersten Ausführungsform darin die Zeitmesseinheit als Mittel, um zu gestatten, dass der Kommunikationszustand der Steuervorrichtung aus dem Kommunikationssperrzustand zum Kommunikationsfreigabezustand zurückgeführt wird und ist konfiguriert, den Kommunikationszustand der Steuervorrichtung auf den Kommunikationsfreigabezustand einzustellen, basierend auf einer vorbestimmten Zeitperiode, welche durch die Zeitmesseinheit gemessen wird. Mit dieser Konfiguration ist es möglich, zu gestatten, dass der Kommunikationszustand der Steuervorrichtung aus dem Kommunikationssperrzustand zum Kommunikationsfreigabezustand rückgeführt wird, ohne von außerhalb über die Kommunikationsleitung angegriffen zu werden.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 201733248 [0006, 0007]

Claims (5)

  1. Steuervorrichtung (1), umfassend: eine erste Verarbeitungsumgebung; und eine zweite Verarbeitungsumgebung, die von der ersten Verarbeitungsumgebung isoliert ist, wobei die erste Verarbeitungsumgebung beinhaltet: eine Steuerverarbeitungseinheit (101), die konfiguriert ist, eine Steuerverarbeitung an einem Steuersubjekt auszuführen; einen ersten Speicherbereich (102a) zum Speichern von durch die Steuerverarbeitungseinheit (101) zu verwendenden Daten zum Steuern des Steuerobjektes; und eine Verifikations-Bestimmungseinheit (105), die konfiguriert ist, zu bestimmen, ob die Steuerverarbeitung auszuführen ist, wobei die zweite Verarbeitungsumgebung beinhaltet: einen zweiten Speicherbereich (102b) zum Speichern eines erwarteten Werts, der vorab basierend auf den Daten des ersten Speicherbereichs (102a) erzeugt wird; eine Verifikationswert-Erzeugungseinheit (103), die konfiguriert ist, einen Verifikationswert basierend auf den Daten des ersten Speicherbereichs (102a) zu erzeugen; und eine Verifikations-Ausführungseinheit (104), die konfiguriert ist, die Daten des ersten Speicherbereichs (102a) zu verifizieren; wobei der zweite Speicherbereich (102b) so eingestellt wird, dass er nur von der zweiten Verarbeitungsumgebung zugänglich ist, wobei die Verifikationswert-Erzeugungseinheit (103) konfiguriert ist, den Verifikationswert zu erzeugen, bevor die durch die Steuerverarbeitungseinheit (101) ausgeführte Steuerverarbeitung gestoppt wird, und den erzeugten Verifikationswert im zweiten Speicherbereich (102b) zu speichern, wobei die Verifikationsausführeinheit (104) konfiguriert ist, eine Vergleichsverarbeitung des Vergleichens des erwarteten Werts und des Verifikationswertes auszuführen, bevor die durch die Steuerverarbeitungseinheit (101) ausgeführte Steuerverarbeitung aktiviert wird, und ein, einen Verifikationserfolg oder ein Verifikationsscheitern angebendes Vergleichsergebnis an die Verifikations-Bestimmungseinheit (105), die in der ersten Verarbeitungsumgebung enthalten ist, zu senden, wobei die Verifikations-Bestimmungseinheit (105) konfiguriert ist, um: wenn aus der Verifikationsausführeinheit (104) das Vergleichsergebniss, das den Verifikationserfolg angibt, empfangen wird, eine Bestimmungsverarbeitung des Bestimmens, dass die durch die Steuerverarbeitungseinheit (101) ausgeführte Steuerverarbeitung zu aktivieren ist, auszuführen, und, wenn aus der Verifikationsausführeinheit (104) das Vergleichsergebnis, das das Verifikationsscheitern angibt, empfangen wird, eine Bestimmungsverarbeitung des Bestimmens, dass die Aktivierung der durch die Steuerverarbeitungseinheit (101) ausgeführten Steuerverarbeitung zu stoppen ist, auszuführen.
  2. Steuervorrichtung (1) gemäß Anspruch 1, wobei die erste Verarbeitungsumgebung weiter beinhaltet: eine Aktivierungssteuereinheit (100), die konfiguriert ist, Aktivierung und Anhalten der durch die Steuerverarbeitungseinheit (101) ausgeführten Steuerverarbeitung zu steuern; und Eine Kommunikationssteuereinheit (106), die eine Kommunikationsfunktion des Kommunizierens zu und aus einer externen Vorrichtung aufweist; und wobei die Aktivierungssteuereinheit (100) konfiguriert ist: die Kommunikationsfunktion der Kommunikationssteuereinheit (106) vor dem Stoppen der durch die Steuerverarbeitungseinheit (101) ausgeführten Steuerverarbeitung zu sperren; und nachfolgend die durch die Steuerverarbeitungseinheit (101) ausgeführte Steuerverarbeitung zu stoppen, nach Veranlassen der Verifikationswert-Erzeugungseinheit (103), den Verifikationswert zu erzeugen.
  3. Steuervorrichtung (1) gemäß Anspruch 2, wobei die erste Verarbeitungsumgebung weiter eine Zeitmesseinheit (107) enthält, die konfiguriert ist, als eine Aktivierungsanweisung mitzuteilen, dass ein Zeitpunkt zum Aktivieren der durch die Steuerverarbeitungseinheit (101) ausgeführten Steuerverarbeitung erreicht ist, und wobei die Aktivierungssteuereinheit (100) konfiguriert ist: die Kommunikationsfunktion der Kommunikationssteuereinheit (106) freizugeben, wenn die Aktivierungsanweisung aus der Zeitmesseinheit (107) empfangen wird, nachdem die durch die Steuerverarbeitungseinheit (101) ausgeführte Steuerverarbeitung gestoppt ist; und wenn die Kommunikationssteuereinheit (106) aus der externen Vorrichtung eine Aktivierungsanfrage zum Aktivieren der durch die Steuerverarbeitungseinheit (101) ausgeführten Steuerverarbeitung empfängt, die Verifikationsausführeinheit (104) zu veranlassen, die Vergleichsverarbeitung auszuführen und die Verifikations-Bestimmungseinheit (105), die Bestimmungsverarbeitung auszuführen, vor der Aktivierung der durch die Steuerverarbeitungseinheit (101) ausgeführten Steuerverarbeitung.
  4. Steuervorrichtung (1) gemäß einem der Ansprüche 1 bis 3, wobei die Verifikationsausführeinheit (104) konfiguriert ist, eine Vielzahl von durch die Verifikationswert-Erzeugungseinheit (103) erzeugten Verifikationswerten mit einer Vielzahl von in dem zweiten Speicherbereich (102b) gespeicherten erwarteten Werten zu vergleichen und eine Vielzahl von Vergleichsergebnissen, die alle einen Verifikationserfolg oder ein Verifikationsscheitern für jeden der Vielzahl von Verifikationswerten an die Verifikations-Bestimmungseinheit (105), die in der ersten Verarbeitungsumgebung enthalten ist, zu senden, und wobei die Verifikations-Bestimmungseinheit (105) konfiguriert ist, basierend auf der Vielzahl von Vergleichsergebnissen einen Teil einer Aktivierung der durch die Steuerverarbeitungseinheit 101 ausgeführten Steuerverarbeitung so zu gestatten, dass nur eine Steuerverarbeitung entsprechend einem Verifikationswert, für welchen der Verifikationserfolg erhalten wird, gestattet wird, ausgeführt zu werden.
  5. Steuerverfahren für eine Steuervorrichtung (1), wobei die Steuervorrichtung (1) beinhaltet: eine erste Verarbeitungsumgebung; eine zweite Verarbeitungsumgebung, die gegenüber der ersten Verarbeitungsumgebung isoliert ist; und eine Steuerverarbeitungseinheit (101), die konfiguriert ist, ein Steuersubjekt durch Verwendung von unter der ersten Verarbeitungsumgebung gespeicherten Daten zu steuern, wobei das Steuerverfahren umfasst: Erzeugen eines Verifikationswerts, basierend auf Daten eines in der ersten Verarbeitungsumgebung enthaltenen ersten Speicherbereichs (102a), Speichern des Verifikationswerts in einem in der zweiten Verarbeitungsumgebung enthaltenen zweiten Speicherbereich (102b), wobei das Erzeugen des Verifikationswerts und das Speichern des Verifikationswerts ausgeführt wird, bevor die Steuerverarbeitung, die durch die Steuerverarbeitungseinheit (101) ausgeführt wird, gestoppt wird; Ausführen einer Vergleichsverarbeitung des Vergleichens eines vorab erzeugten erwarteten Werts, basierend auf den Daten des ersten Speicherbereichs (102a) mit dem Verifikationswert; Ausführen, wenn ein durch die Vergleichsverarbeitung erhaltenes Vergleichsergebnis einen Verifikationserfolg anzeigt, einer Bestimmungsverarbeitung des Bestimmens, dass die durch die Steuerverarbeitungseinheit (101) ausgeführte Steuerverarbeitung zu aktivieren ist; und Ausführen, wenn ein durch die Vergleichsverarbeitung erhaltenes Vergleichsergebnis ein Verifikationsscheitern anzeigt, eine Bestimmungsverarbeitung des Bestimmens, dass die Aktivierung der durch die Steuerverarbeitungseinheit (101) ausgeführten Steuerverarbeitung zu stoppen ist, wobei das Ausführen der Vergleichsverarbeitung, das Ausführen der Bestimmungsverarbeitung des Bestimmens, dass die durch die Steuerverarbeitungseinheit (101) ausgeführte Steuerverarbeitung zu aktivieren ist, und die Ausführung der Bestimmungsverarbeitung des Bestimmens, dass die Aktivierung der durch die Steuerverarbeitungseinheit (101) ausgeführten Steuerverarbeitung zu stoppen ist, ausgeführt werden, bevor die durch die Steuerverarbeitungseinheit (101) ausgeführte Steuerverarbeitung aktiviert wird.
DE102018207504.2A 2017-10-04 2018-05-15 Steuervorrichtung und Steuerverfahren Pending DE102018207504A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2017194025A JP6463435B1 (ja) 2017-10-04 2017-10-04 制御装置および制御方法
JP2017-194025 2017-10-04

Publications (1)

Publication Number Publication Date
DE102018207504A1 true DE102018207504A1 (de) 2019-04-04

Family

ID=65270571

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018207504.2A Pending DE102018207504A1 (de) 2017-10-04 2018-05-15 Steuervorrichtung und Steuerverfahren

Country Status (3)

Country Link
US (1) US10789365B2 (de)
JP (1) JP6463435B1 (de)
DE (1) DE102018207504A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7010543B1 (ja) * 2020-11-19 2022-01-26 Necプラットフォームズ株式会社 コンピュータシステム、ソフトウェア改竄検証方法、及び、プログラム

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017033248A (ja) 2015-07-31 2017-02-09 パナソニックIpマネジメント株式会社 処理装置、車載端末装置、処理装置の起動方法、及び処理装置の起動プログラム

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7024555B2 (en) * 2001-11-01 2006-04-04 Intel Corporation Apparatus and method for unilaterally loading a secure operating system within a multiprocessor environment
CN1871568B (zh) * 2003-08-26 2010-04-28 松下电器产业株式会社 程序执行设备
US7533274B2 (en) * 2003-11-13 2009-05-12 International Business Machines Corporation Reducing the boot time of a TCPA based computing system when the core root of trust measurement is embedded in the boot block code
US7398408B2 (en) * 2004-11-24 2008-07-08 Conexant Systems, Inc. Systems and methods for waking up wireless LAN devices
JP2009225260A (ja) * 2008-03-18 2009-10-01 Fujitsu Ten Ltd 制御装置、制御方法、車両の制御装置、及び車両の制御システム
JP5434190B2 (ja) * 2009-03-30 2014-03-05 日本電気株式会社 端末装置、端末ネットワークシステム、端末装置のリモート電源制御方法、リモート電源制御プログラム
JP5355351B2 (ja) * 2009-11-06 2013-11-27 株式会社日立ソリューションズ コンピュータ
JP5582909B2 (ja) * 2010-07-29 2014-09-03 キヤノン株式会社 プラットフォーム完全性検証システム
EP2711862A1 (de) * 2012-09-19 2014-03-26 ST-Ericsson SA Datenspeicherung in einem Speicher einer elektronischen Vorrichtung
US20150052616A1 (en) * 2013-08-14 2015-02-19 L-3 Communications Corporation Protected mode for securing computing devices
EP3299986A4 (de) * 2015-05-20 2018-05-16 Fujitsu Limited Programmverifizierungsverfahren, verifizierungsprogramm und informationsverarbeitungsvorrichtung
WO2018066329A1 (ja) * 2016-10-03 2018-04-12 日立オートモティブシステムズ株式会社 車載電子制御装置
US10565130B2 (en) * 2017-09-25 2020-02-18 Intel Corporation Technologies for a memory encryption engine for multiple processor usages
US11088846B2 (en) * 2019-03-28 2021-08-10 Intel Corporation Key rotating trees with split counters for efficient hardware replay protection

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017033248A (ja) 2015-07-31 2017-02-09 パナソニックIpマネジメント株式会社 処理装置、車載端末装置、処理装置の起動方法、及び処理装置の起動プログラム

Also Published As

Publication number Publication date
JP6463435B1 (ja) 2019-02-06
US20190102557A1 (en) 2019-04-04
JP2019068341A (ja) 2019-04-25
US10789365B2 (en) 2020-09-29

Similar Documents

Publication Publication Date Title
DE102012212471B3 (de) Vorrichtung zum Realisieren einer physikalischen Degradations-/Tampererkennung eines digitalen ICs mittels einer (digitalen) PUF und Unterscheiden zwischen einer Degradation aufgrund von physikalischer Manipulation und aufgrund von Alterungsprozessen
DE102013003071A1 (de) Verifizierungs-(Sperrungs)-Verfahren mit Authentifizierungschip zur Identifizierung eines Chips auf Systemebene
DE112019005701T5 (de) Sichere boot-unterstützung für vorrichtungen und zugehörige systeme, verfahren und vorrichtungen
DE112007003231T5 (de) Programmierbare Anzeigevorrichtung, Steuersystem und Backup-/Wiederherstellungsprozessverfahren
DE102019127100A1 (de) Verfahren und system zum bereitstellen von sicherheit eines fahrzeuginternen netzwerkes
DE102014208838A1 (de) Verfahren zum Betreiben eines Steuergeräts
DE112016002785T5 (de) Elektronische Steuereinheiten für Fahrzeuge
DE102014208855A1 (de) Verfahren zum Durchführen einer Kommunikation zwischen Steuergeräten
DE102016210788B4 (de) Komponente zur Verarbeitung eines schützenswerten Datums und Verfahren zur Umsetzung einer Sicherheitsfunktion zum Schutz eines schützenswerten Datums in einer solchen Komponente
DE102014208851A1 (de) Verfahren zum Verhindern eines unbefugten Betriebs eines Kraftfahrzeugs
EP1760623A2 (de) Sicherheitseinrichtung für elektronische Geräte
DE102018207504A1 (de) Steuervorrichtung und Steuerverfahren
EP1664978B1 (de) Vorrichtung und verfahren zur sicheren ausführung eines programmes
DE112014004611T5 (de) Steuersystem und Authentifikationsvorrichtung
EP3139354B1 (de) Verfahren zur einstellung einer betriebsart eines sicherheitssystems
DE102023110645A1 (de) Sicherheitsverfahren und Sicherheitsvorrichtung
EP3451215B1 (de) Hardwareeinrichtung und verfahren zum betreiben und herstellen einer hardwareeinrichtung
DE102016200413A1 (de) Mikrocomputer
WO2009030544A1 (de) Steuergerät und verfahren zur ansteuerung von personenschutzmitteln
DE102017214057A1 (de) Verfahren zum Prüfen der Integrität von Systemkomponenten eines Systems und Anordnung zur Durchführung des Verfahrens
DE102016221359A1 (de) Anordnung und Verfahren zum Schutz eines Geräts
WO2020088908A1 (de) Vorrichtung und betriebsverfahren zum überprüfen von betriebsdaten einer gesicherten start-betriebsphase eines insbesondere in einer industriellen anlagenumgebung verwendbaren gerätes
DE102014208840A1 (de) Verfahren zum Behandeln von Software-Funktionen in einem Steuergerät
DE102017219195A1 (de) Verfahren zum gewährleisten eines betriebs eines rechners
BE1030716B1 (de) Medizinisches Gerät und Verfahren zum Validieren eines Software-Updates

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R084 Declaration of willingness to licence