JP2013168143A - 不正変更からのパッケージ保護 - Google Patents

不正変更からのパッケージ保護 Download PDF

Info

Publication number
JP2013168143A
JP2013168143A JP2013018632A JP2013018632A JP2013168143A JP 2013168143 A JP2013168143 A JP 2013168143A JP 2013018632 A JP2013018632 A JP 2013018632A JP 2013018632 A JP2013018632 A JP 2013018632A JP 2013168143 A JP2013168143 A JP 2013168143A
Authority
JP
Japan
Prior art keywords
package
configuration
processor
electronics
rfid
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013018632A
Other languages
English (en)
Inventor
David Cruzado Edwin
エドウィン・デーヴィッド・クルザード
J Dalzell William
ウィリアム・ジェイ・ダルゼル
Keith A Souders
キース・エイ・ソーダーズ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honeywell International Inc
Original Assignee
Honeywell International Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honeywell International Inc filed Critical Honeywell International Inc
Publication of JP2013168143A publication Critical patent/JP2013168143A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K17/00Methods or arrangements for effecting co-operative working between equipments covered by two or more of main groups G06K1/00 - G06K15/00, e.g. automatic card files incorporating conveying and reading operations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/73Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/0723Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips the record carrier comprising an arrangement for non-contact communication, e.g. wireless communication circuits on transponder cards, non-contact smart cards or RFIDs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • G06K19/07309Means for preventing undesired reading or writing from or onto record carriers
    • G06K19/07372Means for preventing undesired reading or writing from or onto record carriers by detecting tampering with the circuit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • G06K19/07309Means for preventing undesired reading or writing from or onto record carriers
    • G06K19/07372Means for preventing undesired reading or writing from or onto record carriers by detecting tampering with the circuit
    • G06K19/07381Means for preventing undesired reading or writing from or onto record carriers by detecting tampering with the circuit with deactivation or otherwise incapacitation of at least a part of the circuit upon detected tampering
    • HELECTRICITY
    • H05ELECTRIC TECHNIQUES NOT OTHERWISE PROVIDED FOR
    • H05KPRINTED CIRCUITS; CASINGS OR CONSTRUCTIONAL DETAILS OF ELECTRIC APPARATUS; MANUFACTURE OF ASSEMBLAGES OF ELECTRICAL COMPONENTS
    • H05K5/00Casings, cabinets or drawers for electric apparatus
    • H05K5/02Details
    • H05K5/0208Interlock mechanisms; Means for avoiding unauthorised use or function, e.g. tamperproof

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Storage Device Security (AREA)
  • Selective Calling Equipment (AREA)

Abstract

【課題】シャーシと、このシャーシ内に配置された複数のコンポーネントと、複数のRFIDデバイスと、少なくとも1つの処理デバイスとを含むパッケージを提供すること。
【解決手段】RFIDデバイスは、モデル構成に対するパッケージの実際の構成の準拠を認証するように構成されたアレイを形成するように複数のロケーションに配置される。処理デバイスは、それらのRFIDデバイスと通信し、それらのRFIDとの通信に基づいて、パッケージの実際の構成がモデル構成に準拠しているかどうかを判定し、パッケージの実際の構成がモデル構成に準拠しているかどうかを判定することに応答して、パッケージのコンポーネントのうちの1つまたは複数のコンポーネントの動作モードを設定するように構成されている。
【選択図】図1

Description

[0001]本開示は、パッケージ、およびパッケージの構成コンポーネントの不正変更を検出し、そのような不正変更から保護することに関する。
[0002]電子パッケージなどのパッケージは、慎重に扱うべき性質のコンポーネントを含み得る。例えば、エレクトロニクスパッケージのエレクトロニクスコンポーネントは、許可のない者によって検査されること、修復されること、除去されること、または置換されることを製造業者または顧客が防止することを所望する回路を備え得る。
本願発明の実施例は、例えば、不正変更からのパッケージ保護に関する。
[0003]概して、本開示は、パッケージを不正変更から保護することを対象とする。一例において、パッケージは、シャーシと、シャーシ内に配置された複数のコンポーネントと、複数のRFID(無線周波数ID)デバイスと、少なくとも1つの処理デバイスとを含む。RFIDデバイスは、モデル構成に対するパッケージの実際の構成の準拠を認証するように構成されたアレイを形成するように複数のロケーションに配置される。少なくとも1つの処理デバイスは、RFIDデバイスと通信し、RFIDとの通信に基づいて、パッケージの実際の構成がそのモデル構成に準拠しているかどうかを判定し、パッケージの実際の構成がそのモデル構成に準拠しているかどうかを判定することに応答して、パッケージのコンポーネントのうちの1つまたは複数のコンポーネントの動作モードを設定するように構成されている。
[0004]別の例において、方法が、モデル構成に対するパッケージの実際の構成の準拠を認証するように構成されたアレイを形成するようにパッケージのシャーシ上、またはシャーシ内部の複数のロケーションに複数のRFIDデバイスを配置すること、RFIDデバイスと通信すること、RFIDデバイスとの通信に基づいて、パッケージの実際の構成がそのモデル構成に準拠しているかどうかを判定すること、およびパッケージの実際の構成がそのモデル構成に準拠しているかどうかを判定することに応答して、パッケージのコンポーネントのうちの1つまたは複数のコンポーネントの動作モードを設定することを含む。
[0005]別の例において、コンピュータ可読記憶媒体が、プロセッサに、モデル構成に対するパッケージの実際の構成の準拠を認証するように構成されたアレイを形成するようにパッケージのシャーシ上、またはシャーシ内部の複数のロケーションに配置された複数のRFIDデバイスと通信し、RFIDデバイスとの通信に基づいて、パッケージの実際の構成がそのモデル構成に準拠しているかどうかを判定し、パッケージの実際の構成がそのモデル構成に準拠しているかどうかを判定することに応答して、パッケージのコンポーネントのうちの1つまたは複数のコンポーネントの動作モードを設定するようにさせる、プログラマブルプロセッサによって実行可能な命令を含む。
[0006]別の例において、方法が、パッケージの複数のコンポーネントにそれぞれ関連付けられた複数の処理ノードを初期設定すること、それらの処理ノードのそれぞれから、そのパッケージの少なくとも1つの処理デバイスによって実行されるキーマネージャモジュールにキースプリットを送信すること、キーマネージャモジュールによる、処理ノードのしきい値数の複数のキースプリットを組み合わせて暗号化/解読キーを定義すること、その暗号化/解読キーを用いて処理ノードのそれぞれに関連付けられた構成ファイルを解読すること、および解読された構成ファイルのうちの1つまたは複数に基づいて、複数の処理ノードのうちの1つまたは複数の構成を認証することを含む。
[0007]別の例において、本開示は、コンピュータ可読記憶媒体を備える製造品を対象とする。このコンピュータ可読記憶媒体は、プロセッサによって実行されるようにコンピュータ可読命令を備える。これらの命令は、プログラマブルプロセッサに、本明細書で説明される技術の任意の部分を実行させる。これらの命令は、例えば、ソフトウェアまたはコンピュータプログラムを定義するのに使用されるソフトウェア命令などの、ソフトウェア命令であり得る。このコンピュータ可読媒体は、本明細書で説明される技術をプログラマブルプロセッサに実行させる(例えば、コンピュータプログラムの形態の、または他の実行可能な)命令を格納するストレージデバイス(例えば、ディスクドライブまたは光ドライブ)、メモリ(例えば、フラッシュメモリ、ROM(読取り専用メモリ))もしくはRAM(ランダムアクセスメモリ)、または任意の他のタイプの揮発性メモリもしくは不揮発性メモリなどのコンピュータ可読記憶媒体であり得る。このコンピュータ可読媒体は、一時的でないことが可能である。
[0008]本開示の1つまたは複数の例の詳細が、添付の図面、および後段の説明において示される。本開示の他の特徴、目的、および利点は、その説明、およびそれらの図面、ならびに特許請求の範囲から明白となろう。
[0009]パッケージの様々なコンポーネントに関連付けられたRFIDデバイスのアレイを含む例示的なパッケージを示す概略図である。 [0010]図2Aは図1のパッケージのエレクトロニクスカードの例を示す概略図である。[0011]図2Bは図1のパッケージのRFIDデバイスの例を示す概略図である。 [0012]パッケージを不正変更から保護する例示的な方法を示す流れ図である。 [0012]パッケージを不正変更から保護する例示的な方法を示す流れ図である。 [0012]パッケージを不正変更から保護する例示的な方法を示す流れ図である。 [0012]パッケージを不正変更から保護する例示的な方法を示す流れ図である。
[0013]概して、本開示は、パッケージ、および/またはパッケージのコンポーネントが不正変更されているかどうかを判定するためのデバイス、システム、および方法を対象とする。本明細書で使用される「パッケージ」という用語は、個々のコンポーネントの任意のパッケージ、システム、構造、コレクション、編集、取り合せ、アレイ、または構成を指すことが可能であり、それらの個々のコンポーネントのうちの1つまたは複数が、その他のコンポーネントのうちの1つまたは複数に対して移動することが可能である。本明細書で使用される「コンポーネント」という用語は、パッケージの一部分を形成し得る任意の組立て品、部分組立て品、個々のコンポーネント、パーツ、部品、メンバ、部分、要素、構成要素、モジュール、デバイス、装置、機器、マシン、機構、器具、または仕掛けを指すことが可能である。エレクトロニクスパッケージなどのパッケージは、許可のないユーザによって検査される、またはそれ以外でいずれの仕方でも扱われることを製造業者または顧客が所望しないコンポーネントを含み得る。例えば、それらのコンポーネントが、法律または規制によってアクセスが特定のグループの人々に限定される機密扱いの情報などの専有データ、知的財産、または秘密情報を含み得る。このため、パッケージが不正変更された場合にそのことを自動的に検出し、さらに、一部の例において、そのパッケージのコンポーネント、またはそれらのコンポーネントによって保持される情報への意味のあるアクセスを防止するのに役立つアクションを行うことが望ましい可能性がある。
[0014]一部の提案されるパッケージ不正変更保護技術またはパッケージ不正変更防止技術は、パッケージを開けること、および/またはパッケージのコンポーネントを除去すること、もしくは追加することに対する物理的な障壁を含めている。しかし、そのような技術は、例えば、パッケージが開けられた後の修復可能性問題、パーツ数およびパッケージの複雑度の増大、ならびに重量、サイズ、および材料の増大を含め、いくつかの欠点を含み得る。
[0015]さらに、一部の提案されるパッケージ不正変更保護技術またはパッケージ不正変更防止技術は、センサを使用して、保護されるパッケージの許可のない扱いを検出することを含めている。しかし、既存の一部の不正変更センサは、例えば、センサの構造のため、さらにそれらのセンサが特定のパッケージに合わせて特別に設計されなければならず、したがって、大量生産が実現不可能であるため、高価であり得る。さらに、既存の不正変更センサは、パッケージの不正変更を検出する際のセンサの有効性を低下させ得る、知られている脆弱性を有する可能性がある。
[0016]パッケージが不正変更から保護され得るいくつかのレベルが存在する。例えば、パッケージのシャーシによって規定される物理的ボリューム(physical volume)、例えば、シャーシのすべての側面の内側の空間が、許可のない作業員によって開けられることから保護され得る。さらに、パッケージのコンポーネントの真正性が検証可能であり、さらにそのようなコンポーネントの許可のない、いずれの除去、置換、または追加からも保護され得る。さらに、パッケージのコンポーネントの特定の構成、例えば、ソフトウェアバージョン、動作パラメータなどが、許可のない変更から保護され得る。多くの事例において、パッケージのこれらのレベルすべての真正性を実質的に同時に(例えば、同時に、またはほぼ同時に)保護することが望ましい可能性がある。
[0017]本開示による例は、パッケージ、およびパッケージのコンポーネントを不正変更から保護するためのデバイス、システム、および方法を対象とする。開示される例は、パッケージによって規定される物理的ボリュームの保護、組立て品、部分組立て品、および部品パーツを含むパッケージのコンポーネントの保護、ならびにパッケージの中にあるコンポーネントの各コンポーネントの構成の真正性の保護を含む。これらの様々なレベルの保護のいずれも、個々に、または互いに任意に組み合わせて使用可能である。
[0018]一例において、パッケージの所定のセットのコンポーネントの物理的ボリュームおよび存在が、不正変更から保護される。そのような例において、無線周波数ID(以降、「RFID」)デバイスが、モデル構成に対するパッケージの実際の構成の準拠を認証するように構成されたアレイを形成するようにパッケージ上、またはパッケージ内部の複数のロケーションに配置される。このモデル構成は、例えば、元の機器製造業者によって定められたパッケージ構成を含むことが可能であり、このパッケージ構成は、パッケージの物理的ボリュームを規定するシャーシの定められた構成と、パッケージのシャーシ内のコンポーネントの定められた構成とを含み得る。保護されるパッケージに含められた、または保護されるパッケージにそれ以外で関連付けられた処理デバイスが、RFIDデバイスと通信し、RFIDデバイスとの通信に基づいて、パッケージの実際の構成がそのモデル構成に準拠しているかどうかを判定し、さらにパッケージの実際の構成がそのモデル構成に準拠しているかどうかを判定することに応答して、パッケージのコンポーネントのうちの1つまたは複数のコンポーネントの動作モードを設定するように構成され得る。
[0019]RFIDデバイスに問い合わせて、パッケージの実際の構成を判定するのに使用される処理デバイスは、いくつかの異なる仕方で配置され、構成されている、いくつかの異なるタイプのデバイスであり得る。例えば、1つまたは複数のマイクロプロセッサが、パッケージに含められることが可能であり、さらに命令またはハードウェアレベル機能と通信し、それらの命令または機能を実行して、開示される例に従ってパッケージの構成を認証するように構成され得る。概して、処理デバイスは、ソフトウェア、ハードウェア、またはソフトウェアとハードウェアの組合せで全体として、または部分的に実施される様々な異なるタイプのデバイスであり得る。例えば、処理デバイスは、本開示による保護されたパッケージに含められたエレクトロニクスにおいて実現される、マイクロプロセッサ、DSP(デジタルシグナルプロセッサ)、ASIC(特定用途向け集積回路)、FPGA(フィールドプログラマブルゲートアレイ)、または他の任意の均等の集積論理回路もしくはディスクリートの論理回路、ならびにそのようなコンポーネントの任意の組合せを含み得る。処理デバイスは、不正変更保護の目的でパッケージに追加される専用のデバイスであることが可能であり、または、別の例において、保護されているパッケージのコンポーネントのうちの1つであることが可能である。さらに、または代わりに、一部の例において、処理デバイスは、RFIDデバイスのうちの1つまたは複数に含められてもよい。
[0020]一部の例において、モデル構成に準拠することが意図されるパッケージの構成は、例えば、パッケージの物理的ボリュームを規定するシャーシの構成を含み得る。一例において、RFIDデバイスのいくつかは、シャーシによって規定される物理的ボリュームをシミュレートする仮想ボリュームを形成するようにパッケージのシャーシ上、またはシャーシ内部の複数の所定のロケーションに配置される。本開示によるそのような例は、パッケージ、およびパッケージ内のコンポーネント、例えば、エレクトロニクスを不正変更からセキュリティで保護することに関して費用の低減、および柔軟性のあるソリューションをもたらし得る。
[0021]現在、不正変更からのパッケージの一部の能動的ボリューム保護は、ボリュームの材料、サイズ、および重量、ならびに取付け機構(例えば、パッケージシャーシの中に入ることに対する物理的障壁)およびセキュリティで保護する方法に関する問題を中心に設計されている。仮想ボリュームをもたらすように機能する本開示による例は、仮想ボリューム保護を含むパッケージを保護するのに、かさばるシャーシ、およびさらなる取付け機構が必要でない可能性があるため、パーツ数を減らすこと、ボリュームを開けることに関する修復可能性問題を小さくする、もしくは解消すること、および材料費を低減することによって、一部の既存の能動的ボリューム保護システムと比べて、費用を低減することが可能である。
[0022]別の例において、モデル構成に準拠することが意図されるパッケージの構成は、パッケージのシャーシ内のコンポーネントの構成を含み得る。一例において、RFIDデバイスのいくつかが、パッケージのコンポーネントに関連付けられ、例えば、1つのRFIDデバイスが、複数のコンポーネントのそれぞれに関連付けられ得る。本開示による例において、1つのRFIDデバイスが、複数のコンポーネントに関連付けられてもよく、さらに複数のRFIDデバイスが、単一のコンポーネントに関連付けられてもよいことに留意されたい。いずれにしても、パッケージのコンポーネントに関連付けられたRFIDデバイスは、パッケージの中にすべてのコンポーネントが存在することを検証するのに、例えば、許可のない作業員によって除去されたコンポーネントがあるかどうかを検出するのに使用され得る。例えば、不正変更保護システムの処理デバイスが、パッケージのコンポーネントのそれぞれに関連付けられたRFIDデバイスと通信し、さらにそれらのRFIDデバイスとの通信に基づいて、コンポーネントのうちの1つまたは複数が存在しないことを検出するように構成され得る。一部の例において、コンポーネントに関連付けられたRFIDデバイスは、コンポーネントを認証し、例えば、パッケージの中の実際のコンポーネントが偽造品ではなく、OEM(相手先ブランド名製造)コンポーネントであることを認証し、さらにコンポーネントの構成を認証するのに、例えば、コンポーネントに関して現在、インストールされているソフトウェアバージョンを認証するのに使用され得る。
[0023]米国本土においても、外国においてもともに、製造、組立て、サービスおよび修復が契約会社にアウトソーシングされていることに起因して、パッケージをセキュリティで保護することに関して多くの課題が生じる可能性がある。例えば、偽造品、中古のコンポーネント、またはその両方が、真正のコンポーネントの代わりに使われていることがあり得、そのような代用の管理および検出は、最も入念なアカウンティング方法を用いてさえ、困難であり得る。これらのコンポーネント代用の発見は、高価な修復、パッケージの部分的な、または完全な再製造の必要性、または最適未満のパッケージ、もしくは意図された目的に適さないパッケージにつながる可能性がある。パーツおよび部分組立て品に単に印をつけることだけでは、許可のない代用が行われていないことを保証することはできない。さらに、パッケージの完全性を損ない得る許可のないアフターサービスが、製品が適切に保守されない可能性、さらに規格または較正を外れている可能性があるという点で、問題であり得る。このため、本開示による例は、パッケージの組立て品、部分組立て品、および部品パーツに電子的にタグを付けること、および処理デバイスを使用してコンポーネントを迅速に、正確に監視および識別するとともに、個々のコンポーネントの適切な構成を認証することも行うことによって、保護されたパッケージの製造、アフターサービス、および修復の管理を向上させることを対象とする。
[0024]前述したとおり、モデル構成に対するパッケージの実際の構成の準拠を認証するように構成されたアレイを形成するようにパッケージ上、またはパッケージ内のいくつかの異なるロケーションに配置されたRFIDデバイスを使用することに加えて、またはそうする代わりに、本開示による例は、暗号化キー分割(秘密共有としても知られる)と併せてパッケージの各コンポーネントに関連付けられた、暗号化された構成ファイルを使用して、それらのコンポーネントの自己認証および相互認証を行い、その結果、構成ファイルの内容に基づいてパッケージを認証することも含む。一例において、パッケージが、いくつかのコンポーネントを含み、コンポーネントの中には、いくつかの処理ノードが含まれる。処理ノードは、例えば、処理デバイスと、メモリとを含み得る。構成ファイルが、パッケージの中の各処理ノードに関連付けられ、さらにそのノードの適切な構成と関係する情報、例えば、ソフトウェアロード、ソフトウェアバージョン番号、プログラマブルロジックバージョン番号、コンポーネント識別番号、処理ノード間通信のためのパスキー、コンポーネントパケットサービス情報、処理ノードのすべてに関するサービス情報タグ、および他の処理ノードに関するサービス情報検証コードを含む。これらの処理ノードは、処理ノード自らの構成を比較して、例えば、ノードのメモリの中に格納された処理ノードの構成を示す1つまたは複数の値を構成ファイルと比較して、処理ノード自らの構成を自己認証することが可能である。一部の例において、1つの処理ノードが、その処理ノードの構成と関係する情報を別の処理ノードに通信することが可能であり、その別の処理ノードが、第2の処理ノードの構成ファイル、および第1の処理ノードからのメッセージを使用して、第1の処理ノードの構成の真正性を確認することが可能である。
[0025]しかし、認証ルーチンを実行して、個々のコンポーネント、およびパッケージ全体の構成を検証する前に、処理ノードの構成ファイルが解読される必要がある。このため、パッケージの中の各処理ノードは、例えば、そのノードのメモリの中に格納されたキースプリットを含み、このキースプリットが、他の処理ノードからの他のキースプリットと組み合わされて、処理ノードの構成ファイルを解読する暗号化/解読キーが生成され得る。
[0026]一例において、パッケージのコンポーネントに関連付けられた処理ノードが、初期設定される。パッケージの処理ノードのそれぞれが、キーマネージャモジュールにキースプリットを供給することが可能であり、キーマネージャモジュールは、一例において、パッケージの(例えば、処理ノードの中に含まれる、または処理ノードとは別個の)処理デバイスによって実行され得る。キーマネージャモジュールは、処理ノードのしきい値数のキースプリットを組み合わせて暗号化/解読キーを定義することが可能であり、この暗号化/解読キーが、パッケージの処理ノードのそれぞれに関連付けられた構成ファイルを解読するのに使用され得る。処理ノードのうちの1つが、その処理ノードに関する解読された構成ファイルを用いて、その処理ノードの構成を検証することが可能である。また、処理ノードは、検証メッセージを別の処理に送信することも可能であり、その別の処理が、この検証メッセージ、および/またはその別の処理ノードに関する解読された構成ファイルを用いて第1の処理ノードの構成を検証することが可能である。
[0027]図1は、複数のコンポーネントを含む例示的なエレクトロニクスパッケージ10を示す概念図である。エレクトロニクスパッケージ10が、本開示によるいくつかの異なる例示的な不正変更保護技術のうちの1つまたは複数を使用することによって、不正変更から保護され得る。例えば、エレクトロニクスパッケージ10が、いくつかの異なるRFIDデバイスを含み、これらのRFIDデバイスは、後段でより詳細に説明されるとおり、受動型RFIDデバイス、能動型RFIDデバイス、およびバッテリ支援RFIDデバイス、ならびにRFID読取り装置、RFIDトランスポンダ、およびRFID受信器を含み得る。いずれにしても、エレクトロニクスパッケージ10のRFIDデバイスは、モデル構成に対するパッケージの実際の構成の準拠を認証するように構成されたアレイを形成するようにエレクトロニクスパッケージ10上、またはエレクトロニクスパッケージ10内の複数のロケーションに配置され得る。エレクトロニクスパッケージ10の1つまたは複数の処理デバイスが、RFIDデバイスと通信して、パッケージの構成を認証することが可能である。
[0028]一部の例において、エレクトロニクスパッケージ10の構成を認証することは、パッケージ10によって規定される物理的ボリュームに対する変更、または許可のないアクセスを検出すること、および/またはパッケージ10のコンポーネントのうちの1つまたは複数のコンポーネントの存在および構成を認証することを含み得る。エレクトロニクスパッケージ10を不正変更から保護するための前述の技術に加えて、エレクトロニクスパッケージ10の1つまたは複数の処理ノードが、各ノードに関連付けられた暗号化された構成ファイルを暗号化キー分割と併せて使用して、パッケージのコンポーネントの自己認証および相互認証を行い、その結果、それらの構成ファイルの内容に基づいて、パッケージを認証することが可能である。
[0029]図1で、エレクトロニクスパッケージ10が、いくつかのコンポーネントが内部に配置されたチャンバを規定するシャーシ12を含む。エレクトロニクスパッケージ10のコンポーネントは、組立て品、部分組立て品、部品パーツなどを含み得る。例えば、シャーシ12が、例えば、シャーシ12によって規定されるパッケージ10の物理的ボリュームに対する許可のないアクセスから保護することによって、不正変更から保護されるように構成されたエレクトロニクスパッケージ10の1つのコンポーネントであり得る。さらに、図1に示される例において、エレクトロニクスパッケージ10は、複数のエレクトロニクスカード14A〜14D(ひとまとめにして「エレクトロニクスカード14」または「カード14」)を含み、エレクトロニクスカード14A〜14Dは、例えば、プリント基板であり得る。本開示による別の例において、エレクトロニクスパッケージ10のようなパッケージが、カード14のような、より多くの、またはより少ないコンポーネントを含んでもよい。
[0030]カード14のそれぞれは、例えば、処理デバイス、揮発性メモリおよび不揮発性メモリ、ブリッジおよび他の回路などを含む、任意の数、および/または任意の組合せのエレクトロニクスデバイスを含み得る。例えば、図1に示される例において、エレクトロニクスカード14Aが、プロセッサ16および18と、フィールドプログラマブルゲートアレイ(以降、「FPGA」)20と、メモリ22とを含む。さらに、エレクトロニクスカード14Bが、プロセッサ24と、メモリ26とを含む。このため、例示的なエレクトロニクスパッケージ10は、シャーシ12、カード14、プロセッサ16、18、および24、FPGA20、メモリ22、およびメモリ26を含む複数のコンポーネントを含む。別の例において、本開示によるパッケージは、そのパッケージが不正変更から保護するように構成された、より多くの、またはより少ないコンポーネントを含んでもよい。
[0031]エレクトロニクスカード14は、一緒になってエレクトロニクスカード14が機能上のエレクトロニクスパッケージ10を形成するように、電気的に互いに接続され、さらに/または他の回路に接続可能である。例えば、エレクトロニクスカード14、およびパッケージ10の他のコンポーネントが、民間および軍用の航空アプリケーションにおいて使用される光ファイバジャイロスコープを形成することが可能である。別の例において、エレクトロニクスカード14、およびパッケージ10の他のコンポーネントが、民間および軍用の航空アプリケーションにおける操縦士または他の操作者によって使用される電子ヘッドアップディスプレイを形成することが可能である。
[0032]一例において、エレクトロニクスカード14のうちの1つまたは複数が、シャーシ12に実装されたカードラック(図示せず)内に実装可能である。そのような事例におけるカードラックは、エレクトロニクスカード14のうちの1つを、互いに対して定められた位置で受けて、保持するように構成された、いくつかのスロットを含み得る。エレクトロニクスカード14を受けるカードラックのスロットはそれぞれ、パッケージ10の2つ以上のエレクトロニクスカード14の任意の数の組合せの間の電気的相互接続、またはそれぞれのエレクトロニクスカード14と、シャーシ12の内部または外部の他の回路との間の電気的接続をもたらす1つまたは複数の電気コネクタを含むことも可能である。一例において、エレクトロニクスカード14は、カードラック、および/またはそのようなラック内のスロット以外の、いくつかの異なる手段によって電気的に、またはそれ以外で互いに接続可能である。
[0033]パッケージ10の特定のコンポーネントおよび機能にかかわらず、一部の例において、各エレクトロニクスカード14の、またはひとまとめにしたエレクトロニクスカード14の構成、ならびにパッケージ10の全体的な構成は、専有であることが可能であり、したがって、製造業者またはエンドユーザは、パッケージ、またはパッケージの構成コンポーネントの許可のない不正変更を防止することを所望することが可能である。不正変更は、例えば、シャーシ12の内容に対する許可のない物理的アクセス、パッケージ10の1つまたは複数のコンポーネントの許可のない除去、パッケージ10の1つまたは複数のコンポーネントの許可のない代用などを含み得る。したがって、一例において、エレクトロニクスパッケージ10は、いくつかの異なるレベルの粒度でパッケージおよび/またはパッケージのコンポーネントを不正変更から保護するように構成されている。この目的で、図1の例示的なエレクトロニクスパッケージ10は、シャーシ12上、またはシャーシ12内部の複数のロケーションに配置された複数のRFIDデバイス、例えば、エレクトロニクスカード14Aに関連付けられたRFIDデバイス28A〜28Eを含む。エレクトロニクスパッケージ10のRFIDデバイスは、本開示による例において、モデル構成に対するパッケージの実際の構成の準拠を認証するように構成され得る。エレクトロニクスパッケージ10の構成は、RFIDデバイスが、例えば、シャーシ12によって規定される物理的ボリュームを保護するのにも、カード14、プロセッサ16、18、および24、FPGA20、メモリ22、およびメモリ26(または、他の例においてパッケージ10が他のコンポーネントを含む場合、他のコンポーネント)のうちの1つまたは複数の存在および真正性を検出するのにも使用され得るという意味で、いくつかの異なるレベルの粒度で認証され得る。
[0034]図1の例において、エレクトロニクスパッケージ10は、カード14、プロセッサ16、18、および24、FPGA20、メモリ22、およびメモリ26を含むパッケージの異なるコンポーネントにそれぞれが関連付けられたRFIDデバイスのアレイを含む。本開示で説明される、パッケージの1つまたは複数のコンポーネントに関連付けられた1つまたは複数のRFIDは、例えば、RFIDを特定のコンポーネントに物理的に接続すること、およびこの接続により、パッケージ、またはパッケージのコンポーネントの構成を認証することを含む。さらに、RFIDデバイスをコンポーネントに関連付けることは、例えば、1つまたは複数のRFIDデバイスを使用して、パッケージの1つまたは複数のコンポーネントの存在および/または構成を認証することを含む。そのような例において、RFIDデバイスは、本開示による不正変更保護の目的でコンポーネントに関連付けられるのに、特定のコンポーネントに物理的に接続される必要はない。
[0035]図1の例において、RFIDデバイス28Aが、エレクトロニクスカード14A上のプロセッサ16に関連付けられ、RFIDデバイス28Bが、エレクトロニクスカード14A上のプロセッサ18に関連付けられ、RFIDデバイス28Cが、エレクトロニクスカード14A上のFPGA20に関連付けられ、RFIDデバイス28Dが、エレクトロニクスカード14A上のメモリ22に関連付けられ、さらにRFIDデバイス28Eが、エレクトロニクスカード14Aに関連付けられる。さらに、RFIDデバイス30Aが、エレクトロニクスカード14B上のプロセッサ24に関連付けられ、RFIDデバイス30Bが、エレクトロニクスカード14B上のメモリ26に関連付けられ、さらにRFIDデバイス30Cが、エレクトロニクスカード14Bに関連付けられる。RFIDデバイス32が、エレクトロニクスカード14Cに関連付けられ、さらにRFIDデバイス34が、エレクトロニクスカード14Dに関連付けられる。
[0036]さらに、図1の例において、複数のRFIDデバイス36が、シャーシ12に関連付けられる。RFIDデバイス36は、図1の例示の簡明のために、シャーシ12の2つの壁の上だけに配置されるものとして例示されていることに留意されたい。しかし、一部の例において、シャーシ12の2つより多くの壁(例えば、側壁、上側の壁、および下側の壁のすべて)が、シャーシによって規定される物理的ボリュームをシミュレートするアレイを形成するRFIDデバイスを含んでもよい。例示的なエレクトロニクスパッケージ10の以下の説明のために、シャーシ12に関連付けられたRFIDデバイス36は、パッケージ10の物理的ボリュームをシミュレートするアレイを形成するようにシャーシの側壁、上側、および下側のすべてにわたって配置されるものと想定される。さらに、図1の例におけるシャーシ12の各壁は、5つのRFIDデバイス36に関連付けられるものの、他の例において、シャーシの各壁につき5つより多い、または5つより少ないRFIDデバイスを含め、より多い、またはより少ない数のRFIDデバイスが、パッケージのシャーシに関連して使用されてもよい。
[0037]エレクトロニクスパッケージ10、および他のパッケージを不正変更から保護するための技術を説明する以下の例において、パッケージは、特定のOEM規格に準拠して構成されており、さらにこの元の構成が、パッケージの実際の構成が後に比較されるモデル構成の役割をするものと想定され得る。前述したとおり、一部の例において、このモデル構成は、パッケージの物理的ボリュームを規定するシャーシの定められた構成と、コンポーネントの定められた数およびタイプ、ならびに特定の識別可能なコンポーネントを含む、パッケージのシャーシ内のコンポーネントの定められた構成とを含み得る。例えば、最初に製造され、組み立てられる際、OEMが、エレクトロニクスパッケージ10のハードウェア、ソフトウェア、メモリ、および他のコンポーネントを、シャーシ12、エレクトロニクスカード14、プロセッサ16、18、および24、FPGA20、メモリ22、およびメモリ26を含む特定のコンポーネントの所定の配置に従って構成することが可能である。さらに、OEMは、エレクトロニクスパッケージ10を、パッケージ10の様々なコンポーネントに関連付けられた所定の数、および所定の配置のRFIDデバイスを伴って構成することが可能である。後段で詳細に説明されるとおり、パッケージ10のOEMによって定められたこのモデル構成は、パッケージの中に様々な仕方でエンコードされ、例えば、パッケージの様々なコンポーネントの中にエンコードされ、したがって、パッケージは、OEMの管理を離れた後、例えば、パッケージを購入する顧客に発送された後、様々な時点で初期設定されると、自己認証するように構成されている。
[0038]OEMの管理を離れた後、エレクトロニクスパッケージ10は、複数の関係者およびロケーションの間で受け渡される可能性がある。例えば、エレクトロニクスパッケージ10は、パッケージ10を組み立てて別の製品、例えば、航空機エンジンまたは航空機にし、その後、パッケージ10を含む製品をエンドユーザに販売する別の製造会社に販売され得る。エレクトロニクスパッケージ10を移送するこのプロセスは、パッケージを組み立てて製品にし、パッケージを運用する/動作させることだけでなく、パッケージの動作寿命中の様々な時点におけるパッケージの保守およびアフターサービスも含み得る。エレクトロニクスパッケージの所有者が変わる、またはエレクトロニクスパッケージがアフターサービスおよび/または保守を受けるこれらの時点のいずれの時点においても、不正変更のリスクが存在し得る。パッケージ10は、場所および関係者の数にかかわらず、OEMを離れた後から動作するが、いずれか後に、エレクトロニクスパッケージ10は、電源投入され、初期設定ルーチンへと入ることが可能である。初期設定されると、エレクトロニクスパッケージ10は、本開示の例に従って、パッケージの構成を自己認証し、さらに認証プロセスの結果に基づいて、1つまたは複数の機能を実行するように構成されている。例えば、エレクトロニクスパッケージ10は、実際の構成がOEMによって定められたモデル構成に準拠していないとエレクトロニクスパッケージ10が判定した場合、パッケージの1つまたは複数のコンポーネントを使用不可にするように構成され得る。
[0039]さらに、組織および作業員が、時とともに、保護されたパッケージ、例えば、図1のパッケージ10にアフターサービスおよび保守を行うことをOEMによって許可され得る。このため、OEMによって最初に定められたモデル構成は、許可されたアフターサービスを行う組織によって実行されるアフターサービスおよび/または保守に基づいて、定期的に更新され得る。例えば、許可されたアフターサービス担当者が、パッケージ10にアクセスし、パッケージ10を変更することができる可能性があり、したがって、構成変更およびコンポーネント変更を含む、パッケージに行われた変更は、パッケージの実際の構成が後に比較されるモデル構成に組み込まれる。例えば、パッケージ10のモデル構成ファイルは、まとめておよび/またはパッケージの1つまたは複数の個々のコンポーネントごとに、メモリ22および/またはメモリ26など、パッケージのメモリ内に格納され得る。このモデル構成は、暗号化された形態で格納され得、したがって、パッケージ10のOEMによって許可され、さらに正しい暗号化/解読キーを所有している作業者だけが、パッケージ、およびパッケージのコンポーネントにアフターサービスを行うことができ、さらに、その後、そのような変更を反映するようにモデル構成を更新することができる。パッケージ10が、許可のない作業員によるアフターサービスを受けた場合、パッケージ、および/またはパッケージのコンポーネントに行われた変更がどのようなものであれ、それらの変更は、モデル構成ファイルの中で反映されず、このため、本開示の例による不正変更保護対策の1つまたは複数によって自動的に検出される。
[0040]一例において、エレクトロニクスパッケージ10のシャーシ12に関連付けられたRFIDデバイス36が、シャーシによって規定される実際の物理的ボリュームをシミュレートする仮想ボリュームを形成するようにシャーシ上の複数の所定のロケーションに配置される。例えば、RFIDデバイス36は、RFIDデバイス36間の空間が、シャーシ12によって規定される物理的ボリュームと実質的に等しい(例えば、等しい、またはほぼ等しい)ようにシャーシ12上に配置され得る。ある例として、RFIDデバイス36は、シャーシ12の外側の表面に沿って位置付けられた仮想の壁を規定するように配置され得る。エレクトロニクスパッケージ10の1つまたは複数の処理デバイスが、RFIDデバイス36と通信し、さらにRFIDデバイス36のいずれかが、シャーシ12上の各デバイスのそれぞれの所定のロケーションから除去される、または再配置されると、そのことを検出し、その結果、シャーシ12の許可のない不正変更を検出するように構成されている。例えば、エレクトロニクスパッケージ10の処理デバイスが、RFIDデバイス36と通信して、RFIDデバイス36によって規定される仮想ボリュームが侵入されたこと、または再構成されたことを検出することにより、シャーシ12への許可のない物理的侵入を検出するように構成され得る。また、エレクトロニクスパッケージ10の処理デバイスは、RFIDデバイス36のいずれかが、シャーシ12上の各デバイスのそれぞれの所定のロケーションから除去されたこと、または再配置されたことを検出したことに応答して、エレクトロニクスパッケージ10の1つまたは複数のコンポーネントの動作モードを設定するように、例えば、パッケージのコンポーネントのうちの1つまたは複数のコンポーネントの動作を不可にする、またはパッケージのコンポーネントのうちの1つまたは複数を、低減された機能モードで動作するように設定するように構成され得る。
[0041]エレクトロニクスパッケージ10のRFIDデバイスと通信し、さらにそのような通信に応答して機能を実行する処理デバイスまたは複数の処理デバイスには、本開示による例においていくつかの異なるデバイスが含まれ得る。例えば、エレクトロニクスパッケージ10のプロセッサ16、18、および24のうちの任意の1つまたは複数が、パッケージ10のRFIDデバイスと通信して、そのような通信に応答して機能を実行するように構成され得る。一例において、FPGA20が、パッケージ10のRFIDデバイスと通信し、さらにそのような通信に応答して機能を実行するように構成され得る。さらに、エレクトロニクスパッケージのRFIDデバイスのいくつかが、処理デバイスを含むことが可能であり、この処理デバイスが、一部の例において、他のRFIDデバイスとの通信を制御し、さらにそのような通信に応答して機能を実行することが可能である。エレクトロニクスパッケージ10のRFIDデバイスとの通信、およびそのような通信に応答して実行される機能に関する特定の例が、後段で与えられる。しかし、それらの例は、単に例示的であり、異なる多くのタイプおよび組合せのデバイスが、これらの機能を実行して、本開示に従ってパッケージを不正変更から保護するのに使用可能である。
[0042]シャーシ12に関連付けられたRFIDデバイス36を使用するエレクトロニクスパッケージ10の仮想ボリューム保護を含む一例において、エレクトロニクスカード14Aのプロセッサ16が、RFIDデバイス36と通信し、さらにこの通信に基づいて、シャーシ12が不正変更されているかどうかを判定するように構成されている。一部の例において、プロセッサ16は、RFIDデバイス36のすべてが存在するかどうかを判定することによって(例えば、RFIDデバイス36の一意の識別コードを格納されたデータと比較することによって)、シャーシ12が不正変更されているかどうかを判定する。例えば、プロセッサ16が、エレクトロニクスカード14A上でRFIDデバイス28Aに直接に接続され得る。RFIDデバイス28Aは、他のRFIDデバイスと通信し、さらに他のRFIDデバイスを識別するように構成されたRFID読取り装置であり得る。そのような一例において、エレクトロニクスパッケージ10の初期設定後、例えば、パッケージに電源投入した後、プロセッサ16が、RFIDデバイス28Aと通信して、このデバイスに、シャーシ12に関連付けられたRFIDデバイス36と通信させ、さらにRFIDデバイス36に問い合わせを行わせるように構成され得る。この例における、RFID読取り装置であるRFIDデバイス28Aは、RFIDデバイス36に無線周波数(以降、「RF」)信号を送信して、例えば、それらのデバイスのそれぞれの一意の識別コードで応答するようデバイス36に要求することができ、プロセッサから命令が行われると、そうする。そのような例において、RFIDデバイス28Aは、RFIDデバイス36の各デバイスの一意の識別コードを受信し、さらにその情報をプロセッサ16に通信することが可能である。
[0043]プロセッサ16が、RFIDデバイス28Aから受信されたRFIDデバイス36の各デバイスの一意の識別コードを、例えば、OEMによって定められたエレクトロニクスパッケージ10のモデル構成におけるシャーシ12に関連付けられたRFIDデバイスの識別コードを含む構成ファイルと比較することが可能である。一例において、プロセッサ16は、エレクトロニクスカード14A上のメモリ22から、またはパッケージ10の別のメモリから構成ファイルを取り出すことが可能である。しかし、別の例において、プロセッサ16は、例えば、プロセッサ16内に含まれるメモリ、エレクトロニクスカード14B上のメモリ26、またはエレクトロニクスパッケージ10もしくはパッケージ10の外部の別のメモリソースを含む、他のロケーション/メモリから構成ファイルを取り出すことが可能である。いずれにしても、プロセッサ16は、RFIDデバイス28Aから受信されたRFIDデバイス36の各デバイスの一意の識別コードと、モデル構成におけるシャーシ12に関連付けられたRFIDデバイスの識別コードの間の比較に基づいて、モデル構成によって定められた1つまたは複数のRFIDデバイスが、他のRFIDデバイスを完全に欠落しているかどうか、または他の、例えば、中古の、もしくは偽造のRFIDデバイスで代用されているかどうかを判定することが可能である。一例において、プロセッサ16によって実行される比較によって示される、そのような欠落した、または代用されたRFIDデバイスは、パッケージ10に対する許可のない不正変更と解釈され得る。
[0044]別の例において、パッケージ10のプロセッサ16および/または他のデバイスは、RFIDデバイス36が、エレクトロニクスパッケージ10のOEMによって定められたモデル構成において規定される正しいロケーションに配置されているかどうかを判定するように構成され得る。RFIDデバイス36のロケーションは、例えば、エレクトロニクスパッケージ10の中に含まれる複数の他のRFIDデバイスを使用してRFIDデバイス36の各デバイスの位置を三角測量すること、およびRFIDデバイス36の各デバイスと、エレクトロニクスパッケージ10の別のRFIDデバイスとの間で送信される信号の電力シグネチャ、または他の特性、例えば、RFIDデバイス36のうちの1つが、別のRFIDデバイスによってそのデバイスに送信された信号に応答するのにかかる時間を解析することを含む、いくつかの技術を使用して特定され得る。エレクトロニクスパッケージ10のプロセッサ16および/または他の処理デバイスが、RFIDデバイス36の各デバイスの実際のロケーションを特定する特定の仕方にかかわらず、一例において、プロセッサ16は、次に、RFIDデバイス36の実際のロケーションを、エレクトロニクスパッケージ10のシャーシ12に関連付けられた、モデル構成において規定されるリストのRFIDデバイスの所定のロケーションと比較することが可能である。この比較に基づいて、プロセッサ16は、RFIDデバイス36によって規定されるエレクトロニクスパッケージ10の仮想ボリュームが、パッケージのOEMによって定められたモデル構成において規定される構成に準拠しているかどうかを判定することが可能である。
[0045]プロセッサ16が、例えば、RFIDデバイス28Aとデバイス36の間の通信に基づいて、シャーシ12に関連付けられたRFIDデバイス36のうちの1つまたは複数が、除去されている、または再配置されていると判定した場合、プロセッサ16は、エレクトロニクスパッケージ10に対する可能な不正変更の検出に応答して、1つまたは複数の機能を実行することが可能である。例えば、プロセッサ16は、シャーシ12に関連付けられたRFIDデバイス36のいずれかの除去または再配置を検出したことに応答して、エレクトロニクスパッケージ10のコンポーネントのうちの1つまたは複数のコンポーネントの動作を不可にする、または低減された機能モードで動作するようにパッケージのコンポーネントのうちの1つまたは複数を設定することが可能である。例えば、エレクトロニクスカード14Aが、エレクトロニクスパッケージ10のメインボードまたはマザーボードであることが可能であり、さらにプロセッサ16が、パッケージのCPU(中央処理装置)であることが可能である。プロセッサ16は、エレクトロニクスカード14A上で限られた数の機能を維持しながら、エレクトロニクスパッケージ10の周辺ボード、例えば、エレクトロニクスカード14B〜14Dのすべてを使用不可にするように構成され得る。例えば、プロセッサ16が、カード14、およびカード14のコンポーネントを、エレクトロニクスカード14B〜14Dが使用不可にされるように動作するように設定することが可能である一方で、エレクトロニクスカード14A上のプロセッサ16、18、およびFPGA20が、依然として、メモリ22上に格納された情報に関連して機能を実行して、エレクトロニクスパッケージ10に対する可能な不正変更の検出を、パッケージを診断して、パッケージにアフターサービスを行う許可された修復作業員に通信することが可能である。
[0046]また、プロセッサ16は、シャーシ12に関連付けられたRFIDデバイス36のいずれかの除去または再配置を検出したことに応答して、エレクトロニクスパッケージ10の実際の構成が、OEMによって定められたモデル構成に準拠していないことを示す通知(例えば、アラート)を生成するように構成可能である。例えば、プロセッサ16は、エレクトロニクスパッケージ10のコンポーネントを振動させて、または、例えば、パッケージ10上のLED(発光ダイオード)または他のディスプレイから光を発することによることを含め、視覚的アラートを表示させてパッケージに対する不正変更の可能性を操作者に知らせるように構成され得る。また、プロセッサ16は、例えば、テキストメッセージもしくは電子メール、またはグラフィカルなアラートを含む、可聴のアラート、テキストベースのアラートを発行するように構成可能である。このようにして、プロセッサ16は、シャーシ12に関連付けられたRFIDデバイス36のいずれかの除去または再配置を検出したことに応答して、エレクトロニクスパッケージ10の実際の構成が、OEMによって定められたモデル構成に準拠していないことを示す可聴の通知、視覚的通知、または触覚的通知をトリガするように構成され得る。いくつかの例において、プロセッサ16によって生成された通知は、遠隔ユーザに送信可能である一方で、他の例において、この通知は、例えば、パッケージ10の知覚範囲内(例えば、耳で聞こえる範囲内、目に見える範囲内、または体性知覚範囲内)のユーザに限られて、よりローカルである。
[0047]プロセッサ16がRFIDデバイス36と通信し、この通信に基づいて、エレクトロニクスパッケージ10のシャーシ12に対する可能な不正変更を検出するプロセスは、前述したとおり、パッケージの他の処理デバイスによって実行され得る。例えば、FPGA20が、一意の識別コードをRFIDデバイス36に問い合わせるよう、さらに、その後、デバイス36から受信されたコードを、メモリ26の中に格納されており、OEMによって定められたパッケージ10のモデル構成におけるRFIDデバイスに関するコードを含む構成ファイルと比較するようRFIDデバイス28Cを制御するように構成され得る。
[0048]一部の例において、RFIDデバイス36によって規定される仮想ボリュームを認証するようにプロセッサ16によって実行される、前述した機能は、繰り返されてもよく、さらに、このため、エレクトロニクスパッケージ10の他の処理デバイスによって相互確認され得る。一例において、プロセッサ16が、RFIDデバイス36の一意の識別コードを構成ファイルの中のコードと比較し、さらに、RFIDデバイス36の構成が、エレクトロニクスパッケージ10のOEMによって定められたモデル構成に準拠していると判定することが可能である。次に、プロセッサ16は、プロセッサ16がRFIDデバイス36の構成を認証したことを示す検証メッセージを、エレクトロニクスパッケージ10の別の処理デバイスに、例えば、エレクトロニクスカード14A上のプロセッサ18に送信することが可能であり、このことにより、プロセッサ18がRFIDデバイス36の認証を繰り返すようにさせられることが可能である。プロセッサ18が、いくつかの仕方でRFIDデバイス36の構成の冗長な認証を実行することが可能である。
[0049]一例において、プロセッサ16によってプロセッサ18に送信される検証メッセージは、認証プロセスを開始するようプロセッサ18をトリガするように機能するだけでなく、前述したRFIDデバイス28AとRFIDデバイス36の間の通信からのRFIDデバイス36の一意の識別コードを含んでもいる。この事例において、プロセッサ18は、RFIDデバイス36と2回目の通信を行う代わりに、検証メッセージの中に含まれる一意の識別コードを、プロセッサ16によって使用されるファイルとは異なるロケーションに格納された、異なる構成ファイル、例えば、プロセッサ16も含むマイクロチップの中に含まれるメモリの中に格納された冗長な構成ファイルと比較することが可能である。プロセッサ18によって参照される構成ファイルは、RFIDデバイス36の一意の識別コードが比較可能な、エレクトロニクスパッケージ10のOEMによって定められたモデル構成におけるシャーシ12に関連付けられたRFIDデバイスの一意の識別コードを含む。
[0050]しかし、別の例において、プロセッサ18は、RFIDデバイス36の認証を繰り返すことが可能であり、さらに、その結果、RFIDデバイス36と再び通信して、それらのデバイスの一意の識別コードを特定することを含め、プロセッサ16に関して前述したのと実質的に同一の仕方でエレクトロニクスパッケージ10の仮想ボリュームの認証を繰り返すことが可能である。しかし、プロセッサ18は、プロセッサ16によって使用されるRFIDデバイス28Aの代わりに、RFIDデバイス28Bに、RFIDデバイス36と通信させて、それらのデバイスの一意の識別コードを取り出してもよい。RFIDデバイス36の構成のこの相互確認または冗長な認証が、異なる処理デバイスによって任意の回数、繰り返されて、この例では、シャーシ12であるエレクトロニクスパッケージ10が、不正変更されている可能性があるか否かが判定されてもよい。
[0051]前述したシャーシ12に関連付けられたRFIDデバイス36を使用するエレクトロニクスパッケージ10の仮想ボリューム保護に加えて、またはそのような仮想ボリューム保護の代わりに、パッケージ10内のコンポーネントが、RFIDデバイス(例えば、それぞれのRFIDデバイス)に関連付けられて、そのようなデバイスを使用して不正変更から保護されてもよい。エレクトロニクスパッケージ10に関する個々のコンポーネント構成認証は、いくつかの異なるレベルで実行され得る。一例において、エレクトロニクスパッケージ10のOEMによって定められたモデル構成に基づくパッケージ10の正しいコンポーネントが存在すること、または存在しないことが検出されて、パッケージが不正変更されている可能性があるかどうかが判定され得る。一例において、エレクトロニクスパッケージ10の中にすべての正しいコンポーネントが存在することに加えて、パッケージは、個々のコンポーネントの特定の構成、例えば、ソフトウェアビルド、ソフトウェアバージョン、動作パラメータ設定などを認証するように構成され得る。
[0052]一例において、エレクトロニクスパッケージ10のコンポーネントのそれぞれに関連付けられたRFIDデバイスが、パッケージのコンポーネント構成を認証するのに使用される。例えば、プロセッサ16および18、FPGA20、メモリ22、およびエレクトロニクスカード14Aに関連付けられたRFIDデバイス28A〜28Eを使用して、カード14A、および/またはカード上のコンポーネントの1つまたは複数が存在すること、または存在しないことが検出され得る。さらに、プロセッサ24、メモリ26、およびエレクトロニクスカード14Bに関連付けられたRFIDデバイス30A〜30Cを使用して、カード14B、および/またはカード上のコンポーネントの1つまたは複数が存在すること、または存在しないことが検出され得る。最後に、図1の例において、RFIDデバイス32を使用して、エレクトロニクスカード14Cが存在すること、または存在しないことが検出され得、さらにRFIDデバイス34を使用して、エレクトロニクスカード14Dが存在すること、または存在しないことが検出され得る。シャーシ12によって規定されるエレクトロニクスパッケージ10の物理的ボリュームを認証することに関連して前述したのと同様に、パッケージ10の1つまたは複数の処理デバイスが、RFIDデバイス28A〜28E、30A〜30C、32、および34と通信し、さらにRFIDデバイスのいずれかが存在すること、または存在しないことを検出し、さらに、その結果、これらのRFIDデバイスに関連付けられたコンポーネントに対する許可のない不正変更を検出するように構成され得る。
[0053]RFIDデバイス36を使用する仮想ボリューム保護に関連して前述したのと同様に、いくつかの異なるデバイスが、RFIDデバイス28A〜28E、30A〜30C、32、および34を使用してエレクトロニクスパッケージ10の中に正しいコンポーネントが存在することを認証するように機能することが可能である。例えば、プロセッサ16、18、および24、FPGA20を含むエレクトロニクスパッケージ10の中に含まれる任意の1つまたは複数の処理デバイス、および/またはパッケージ10のRFIDデバイスのいずれかの中に含まれる処理デバイスが、RFIDデバイス28A〜28E、30A〜30C、32、および34を使用してエレクトロニクスパッケージ10の中に正しいコンポーネントが存在することを認証するのに使用され得る。
[0054]また、エレクトロニクスパッケージ10の処理デバイスは、パッケージ10の中に正しいコンポーネントの1つまたは複数が存在しないことを検出したこと、またはパッケージの中に1つまたは複数の誤ったコンポーネントが存在することを検出したことに応答して、エレクトロニクスパッケージ10の1つまたは複数のコンポーネントの動作モードを設定するように、例えば、パッケージのコンポーネントのうちの1つまたは複数のコンポーネントの動作を不可にするように、または低減された機能モードで動作するようにパッケージのコンポーネントの1つまたは複数を設定するように構成され得る。
[0055]さらに、前述したのと同様に、エレクトロニクスパッケージ10のRFIDデバイス28A〜28E、30A〜30C、32、および34と通信し、さらにそのような通信に応答して機能を実行する処理デバイスまたは複数の処理デバイスが、パッケージ10の中に正しいコンポーネントの1つまたは複数が存在しないことを検出したこと、またはパッケージ10の中に誤ったコンポーネントが存在することを検出したことに応答して、エレクトロニクスパッケージ10のコンポーネントの実際の構成が、OEMによって定められたモデル構成に準拠していないことを示すアラートを生成することが可能である。例えば、処理デバイスは、エレクトロニクスパッケージ10のコンポーネントの実際の構成が、OEMによって定められたモデル構成に準拠していないことを示す可聴の通知、視覚的通知、または触覚的通知をトリガするように構成され得る。
[0056]エレクトロニクスパッケージ10のコンポーネント構成を認証する一例において、エレクトロニクスカード14Aのプロセッサ16が、RFIDデバイス28A〜28E、30A〜30C、32、および34と通信し、さらにこの通信に基づいて、これらのRFIDデバイスに関連付けられたコンポーネントのうちの1つまたは複数が不正変更されているかどうかを判定するように構成されている。一例において、プロセッサ16が、エレクトロニクスカード14A上でRFIDデバイス28Aに直接に接続される。RFIDデバイス28Aは、他のRFIDデバイスと通信し、さらに他のRFIDデバイスを識別するように構成されたRFID読取り装置であり得る。そのような一例において、エレクトロニクスパッケージ10の初期設定後、例えば、パッケージに電源投入した後、プロセッサ16が、RFIDデバイス28Aと通信して、このデバイスに、プロセッサ18、FPGA20、メモリ22、エレクトロニクスカード14A、プロセッサ24、メモリ26、エレクトロニクスカード14B、エレクトロニクスカード14C、およびエレクトロニクスカード14Dにそれぞれ関連付けられたRFIDデバイス28B〜28E、30A〜30C、32、および34と通信させるように構成され得る。RFID読取り装置であるRFIDデバイス28Aは、RFIDデバイス28B〜28E、30A〜30C、32、および34にRF信号を送信して、これらのRFIDデバイスに問い合わせること、例えば、そのデバイスの一意の識別コードで応答するよう各RFIDデバイスに要求することができ、プロセッサから命令が行われると、そうする。そのような例において、RFIDデバイス28Aは、RFIDデバイス28B〜28E、30A〜30C、32、および34の各デバイスの一意の識別コードを受信し、さらにそれらのコードをプロセッサ16に通信することが可能である。
[0057]プロセッサ16は、RFIDデバイス28Aから受信されたRFIDデバイス28B〜28E、30A〜30C、32、および34の各デバイスの一意の識別コードを、例えば、OEMによって定められたエレクトロニクスパッケージ10のモデル構成においてプロセッサ18、FPGA20、メモリ22、エレクトロニクスカード14A、プロセッサ24、メモリ26、エレクトロニクスカード14B、エレクトロニクスカード14C、およびエレクトロニクスカード14Dに関連付けられたRFIDデバイスの識別コードを含む構成ファイルと比較することが可能である。一例において、プロセッサ16は、エレクトロニクスカード14A上のメモリ22から構成ファイルを取り出すことが可能である。しかし、別の例において、プロセッサ16は、例えば、プロセッサ16を含むマイクロチップの中に含まれるメモリ、エレクトロニクスカード14B上のメモリ26、もしくはエレクトロニクスパッケージ10の別のメモリソースを含む、または一部の例においてパッケージ10に電気的に接続された他のロケーション/メモリから構成ファイルを取り出すことも可能である。
[0058]RFIDデバイス28Aに、RFIDデバイス28B〜28E、30A〜30C、32、および34と通信させる前、または通信させた後、プロセッサ16は、RFIDデバイス28Aと通信して、このデバイスの一意の識別コードを要求し、さらにこのコードを、OEMによって定められたエレクトロニクスパッケージ10のモデル構成を含む構成ファイルの中のコードに照らして認証することも可能である。このプロセスは、プロセッサ16がプロセッサ16自らを認証することを含むので、一例において、エレクトロニクスパッケージ10の別の処理デバイスが、RFIDデバイス28Aと通信して、このデバイスの一意の識別コードを要求し、さらにこのコードを、OEMによって定められたエレクトロニクスパッケージ10のモデル構成を含む構成ファイルの中のコードに照らして認証することも可能である。
[0059]以上のように、RFIDデバイス28A〜28E、30A〜30C、32、および34の各デバイスの一意のハードウェア識別コードを使用して、エレクトロニクスパッケージ10の関連するコンポーネント、プロセッサ16、プロセッサ18、FPGA20、メモリ22、エレクトロニクスカード14A、プロセッサ24、メモリ26、エレクトロニクスカード14B、エレクトロニクスカード14C、およびエレクトロニクスカード14Dがシリアル化される。つまり、エレクトロニクスパッケージ10の各コンポーネントに関連付けられた各RFIDデバイスの一意の識別コードが、そのコンポーネントを一意に識別するプロキシとして使用される。しかし、別の例において、プロセッサ16、プロセッサ18、FPGA20、メモリ22、エレクトロニクスカード14A、プロセッサ24、メモリ26、エレクトロニクスカード14B、エレクトロニクスカード14C、およびエレクトロニクスカード14Dであるハードウェアコンポーネントの各コンポーネントの実際の一意の識別コードが、エレクトロニクスパッケージ10のコンポーネント構成を認証するのに使用されてもよい。
[0060]例えば、エレクトロニクスパッケージ10のプロセッサ16または別の処理デバイスが、パッケージのコンポーネントに関連付けられたRFIDデバイスのすべてに、それらのRFIDデバイスの一意の識別コードを問い合わせることを1つまたは複数のRFIDデバイスに行わせる代わりに、それらのRFIDデバイスが、各コンポーネントの一意の識別コードをパッケージの個々のコンポーネントに問い合わせるように構成され得る。一例において、プロセッサ16が、RFIDデバイス28Aと通信して、このデバイスに、例えば、FPGA20に関連付けられたRFIDデバイス28Cと通信させるように構成され得る。しかし、RFIDデバイス28Cは、RFIDデバイス28C自らの一意の識別コードを戻す代わりに、FPGA20の一意の識別コード、例えば、通し番号を特定し、さらにこの情報をRFIDデバイス28Aに送信するように構成され得る。次に、プロセッサ16が、RFIDデバイス28AによってRFIDデバイス28Cから受信されたこの通し番号を、OEMによって定められたエレクトロニクスパッケージ10のモデル構成を含む構成ファイルの中の通し番号と比較することが可能である。このプロセスが、エレクトロニクスパッケージ10の任意の数のコンポーネントに関して繰り返されてもよい。
[0061]プロセッサ16が、RFIDデバイス28A〜28E、30A〜30C、32、および34と通信して、この通信に基づいて、エレクトロニクスパッケージ10のプロセッサ16、プロセッサ18、FPGA20、メモリ22、エレクトロニクスカード14A、プロセッサ24、メモリ26、エレクトロニクスカード14B、エレクトロニクスカード14C、およびエレクトロニクスカード14Dに対する可能な不正変更を検出するプロセスは、前述したとおり、パッケージの他の処理デバイスによって実行されてもよい。例えば、FPGA20が、一意の識別子コードをRFIDデバイス28A、28B、28D、28E、30A〜30C、32、および34に問い合わせ、さらに、その後、それらのコードを、メモリ26の中に格納されており、OEMによって定められたパッケージ10のモデル構成におけるRFIDデバイスに関するコードを含む構成ファイルと比較するようRFIDデバイス28Cを制御するように構成され得る。
[0062]さらに、エレクトロニクスパッケージのコンポーネント構成を認証するようにプロセッサ16によって実行される、前述した機能は、繰り返されてもよく、このため、パッケージ10の他の処理デバイスによって相互確認され得る。一例において、プロセッサ16が、RFIDデバイス28A〜28E、30A〜30C、32、および34の一意の識別コードを構成ファイルの中のコードと比較し、さらにこの比較に基づいて、エレクトロニクスパッケージ10のコンポーネント構成が、パッケージ10のOEMによって定められたモデル構成に準拠していると判定することが可能である。次に、プロセッサ16は、プロセッサ16が、RFIDデバイス28A〜28E、30A〜30C、32、および34と通信することによってエレクトロニクスパッケージ10のコンポーネント構成を認証したことを示す検証メッセージを、エレクトロニクスパッケージ10の別の処理デバイスに、例えば、エレクトロニクスカード14A上のプロセッサ18に送信することが可能であり、さらに認証プロセスを繰り返すようプロセッサ18をトリガするように構成され得る。プロセッサ18は、例えば、プロセッサ16によって実行された認証プロセスを完全に繰り返すこと、またはプロセッサ16からの検証メッセージの中に含まれる情報を使用して、パッケージ10のコンポーネント構成を認証することを含め、仮想ボリューム認証に関連して前述したのと同様の技術を使用して、エレクトロニクスパッケージ10のコンポーネント構成の冗長な認証を実行することが可能である。
[0063]エレクトロニクスパッケージ10の中に正しいコンポーネントが存在することを認証することの代わりに、またはそうすることに加えて、本開示による例において、パッケージ10のコンポーネント構成と関係する他の情報が認証されてもよい。例えば、パッケージのコンポーネントのソフトウェアバージョン番号およびソフトウェアビルド番号、ならびに動作パラメータ設定値を認証することを含め、エレクトロニクスパッケージ10のコンポーネントが機能する仕方に影響を与える構成パラメータが、認証されてもよい。例えば、パッケージ10のコンポーネントのうちのいずれか、例えば、エレクトロニクスカード14Aのプロセッサ16が、サービス情報タグに関連付けられることが可能であり、このサービス情報タグが、コンポーネント、またはプロセッサ16に関連付けられたRFIDデバイス28Aのメモリ上に格納され得る。サービス情報タグは、コンポーネントの通し番号、または他の一意の識別コード、例えば、プロセッサ16を、プロセッサタイプ、メインメモリサイズ、不揮発性ストレージサイズ、ファームウェアバージョンなどのプロセッサ16についての情報をエンコードするビットの系列のような構成設定と併せて表す識別子を含み得る。プロセッサ16、またはパッケージ10の他のコンポーネントに関するサービス情報タグは、パッケージ10にアフターサービスが行われるといつでも更新され、変更され得、さらに、その後、パッケージ10のモデル構成によって定められた構成設定に照らして認証され得る。
[0064]一例において、エレクトロニクスカード14Aのプロセッサ16が、エレクトロニクスパッケージ10のいくつかのコンポーネント、例えば、プロセッサ18および24、FPGA20の動作構成を認証し、さらにプロセッサ16自らの構成を認証するように構成されている。前述したとおり、プロセッサ16は、RFIDデバイス28Aと通信して、このデバイスに、プロセッサ18、FPGA20、およびプロセッサ24にそれぞれ関連付けられたRFIDデバイス28B、28C、および30Aと通信させるように構成され得る。プロセッサ16からの命令または開始があると、RFIDデバイス28Aは、RF信号をRFIDデバイス28B、28C、および30Aに送信して、例えば、各RFIDデバイスに問い合わせ、各RFIDデバイスはそれぞれ、プロセッサ18、FPGA20、およびプロセッサ24に関する構成情報でRFIDデバイス28Aに応答することが可能である。
[0065]これらの例のいくつかにおいて、RFIDデバイス28B、28C、および30Aは、処理デバイスと、メモリとを含むことが可能である。RFIDデバイス28B、28C、および30Aの各デバイスの中に含まれるメモリは、情報のなかでもとりわけ、プロセッサ18、FPGA20、およびプロセッサ24のそれぞれに関する構成情報をそれぞれ格納することが可能である。例えば、RFIDデバイス28B、28C、および30Aの各デバイスの中に含まれるメモリは、プロセッサ18、FPGA20、およびプロセッサ24のそれぞれに関するソフトウェアバージョン番号およびソフトウェアビルド番号をそれぞれ格納することが可能である。このため、一例において、RFIDデバイス28Aから要求が行われると、RFIDデバイス28B、28C、および30Aは、プロセッサ18、FPGA20、およびプロセッサ24のそれぞれに関するソフトウェアバージョン番号およびソフトウェアビルド番号をそれぞれ取り出し、さらに、RFIDデバイス28Aによる問い合わせに応答して、この構成情報をRFIDデバイス28Aに戻すことが可能である。RFIDデバイス28Aは、プロセッサ18、FPGA20、およびプロセッサ24に関するソフトウェアバージョン情報およびソフトウェアビルド情報をプロセッサ16に通信することが可能である。プロセッサ16は、RFIDデバイス28Aから受信されたこの構成情報を、OEMによって定められたパッケージ10のモデル構成によるプロセッサ18、FPGA20、およびプロセッサ24に関する正しいソフトウェアバージョン番号およびソフトウェアビルド番号を含む構成ファイルと比較することが可能である。一例において、プロセッサ16は、エレクトロニクスカード14A上のメモリ22から構成ファイルを取り出すことが可能である。しかし、別の例において、プロセッサ16は、例えば、プロセッサ16を含むマイクロチップの中に含まれるメモリ、エレクトロニクスカード14B上のメモリ26、もしくはエレクトロニクスパッケージ10の別のメモリソースを含む、またはエレクトロニクスパッケージ10に電気的に接続された他のロケーション/メモリから構成ファイルを取り出すことも可能である。
[0066]別の例において、RFIDデバイス28B、28C、および30Aが、それぞれのRFIDデバイスの中に含まれるメモリからプロセッサ18、FPGA20、およびプロセッサ24に関するソフトウェアバージョン番号およびソフトウェアビルド番号をそれぞれ取り出す代わりに、RFIDデバイス28B、28C、および30Aのそれぞれが、関連付けられたコンポーネントのそれぞれ、すなわち、プロセッサ18、FPGA20、およびプロセッサ24のそれぞれから構成情報をそれぞれ要求する(例えば、要求信号を送信することによって)ことが可能である。プロセッサ18、FPGA20、およびプロセッサ24は、これらのコンポーネントのそれぞれに関するソフトウェアバージョン番号およびソフトウェアビルド番号を戻すことを含め、RFIDデバイス28B、28C、および30Aに構成情報をそれぞれ戻すように構成され得る。RFIDデバイス28B、28C、および30Aが、構成情報をRFIDデバイス28Aに戻すことが可能であり、RFIDデバイス28Aが、プロセッサ18、FPGA20、およびプロセッサ24に関するソフトウェアバージョン情報およびソフトウェアビルド情報をプロセッサ16に通信することが可能である。次に、プロセッサ16が、RFIDデバイス28Aから受信された構成情報を、OEMによって定められたパッケージ10のモデル構成によるプロセッサ18、FPGA20、およびプロセッサ24に関する正しいソフトウェアバージョン番号およびソフトウェアビルド番号を含む構成ファイルと比較することが可能である。
[0067]前述した他の例の場合と同様に、プロセッサ16が、前述したとおり、RFIDデバイス28A〜28C、および30Aと通信し、さらにプロセッサ18、FPGA20、およびプロセッサ24に関する構成情報を認証するプロセスは、エレクトロニクスパッケージ10の他の処理デバイスによって実行されてもよい。さらに、エレクトロニクスパッケージ10のコンポーネント構成を認証するようにプロセッサ16によって実行される、前述した機能は、パッケージ10の他の処理デバイスによって繰り返されてもよく、さらに、このため、相互確認され得る。さらに、やはり前述したとおり、エレクトロニクスパッケージ10のプロセッサ16、または別のデバイスが、パッケージのコンポーネントに関する構成情報を認証する例は、ソフトウェアバージョン番号およびソフトウェアビルド番号以外の情報を認証することを含んでもよい。例えば、エレクトロニクスパッケージ10のコンポーネントの動作パラメータ設定値が、認証されてもよい。
[0068]前述したとおり、RFIDデバイス28A〜28E、30A〜30C、32、および34を使用して、エレクトロニクスパッケージ10のコンポーネントの実際の構成がモデル構成に準拠していることを認証することに加えて、またはそうする代わりに、本開示による例は、パッケージの各コンポーネントに関連付けられた、暗号化された構成ファイルを暗号化キー分割と併せて使用して、パッケージのコンポーネントの自己認証および相互認証を行い、その結果、構成ファイルの内容に基づいて、パッケージを認証することも含む。エレクトロニクスパッケージ10のコンポーネントは、いくつかの処理ノードを含むものと考えられることが可能である。処理ノードは、例えば、処理デバイスと、メモリとを含み得る。エレクトロニクスパッケージ10に関連して、プロセッサ16、18、および24が単独で、またはメモリ22および26と併せて、処理ノードと考えられることが可能である。さらに、FPGA20が、エレクトロニクスカード14A上のメモリ22と併せて、処理ノードと考えられることも可能である。また、処理デバイスと、メモリとを含むRFIDデバイス28A〜28E、30A〜30C、32、および34のいずれも、処理ノードと考えられることが可能であることに留意されたい。しかし、暗号化された構成ファイルの以下の例は、エレクトロニクスパッケージ10の中の1つまたは複数のRFIDデバイスを使用すること、またはそのようなRFIDデバイスの必要性とは無関係に使用され得る。
[0069]前述したとおり、一部の例において、構成ファイルが、エレクトロニクスパッケージ10の中の各処理ノードに関連付けられ、さらにそのノードの適切な構成と関係する情報を含む。エレクトロニクスパッケージ10の処理ノードは、処理ノード自らの構成を構成ファイルと比較して、例えば、ノードのメモリの中に格納された処理ノードの構成を示す1つまたは複数の値を構成ファイルと比較して、処理ノード自らの構成を自己認証することが可能である。さらに、1つの処理ノードが、その処理ノードの構成と関係する情報を別の処理ノードに通信することが可能であり、その別の処理ノードが、次に、第2の処理ノードの構成ファイル、および第1の処理ノードからのメッセージを使用して、第1の処理ノードの構成の真正性を確認することが可能である。しかし、エレクトロニクスパッケージ10の個々のコンポーネント、およびエレクトロニクスパッケージ10全体の構成を検証する認証ルーチンを実行する前に、処理ノードの構成ファイルが、解読される必要がある。このため、エレクトロニクスパッケージ10の中の各処理ノードは、例えば、ノードのメモリの中に格納された、キースプリットを含み、このキースプリットが、他の処理ノードからの他のキースプリットと組み合わされて、処理ノードの構成ファイルを解読する暗号化/解読キーが生成可能である。
[0070]暗号化された構成ファイルを使用する一例において、プロセッサ16、18、および24、ならびにFPGA20がそれぞれ、エレクトロニクスパッケージ10の処理ノードを含む。プロセッサ16、18、および24、ならびにFPGA20のそれぞれが、組み込まれたメモリを有して構成可能であり、またはエレクトロニクスカード14A上のメモリ22、およびエレクトロニクスカード14B上のメモリ26の1つまたは複数と連携して機能して処理ノードを形成することが可能である。何らかの時点で、例えば、エレクトロニクスパッケージ10に電源投入が行われると、プロセッサ16、18、および24、ならびにFPGA20のそれぞれが初期設定される。初期設定されると、エレクトロニクスパッケージ10のプロセッサ16、18、および24、ならびにFPGA20のそれぞれが、キーマネージャモジュールにキースプリットを供給することが可能であり、キーマネージャモジュールは、一例において、パッケージの処理デバイス(例えば、処理ノードの中に含まれる、または処理ノードとは別個の)によって実行可能であり、またはパッケージの中の別個のコンポーネントとして、ハードウェアで、ソフトウェアで、またはハードウェアとソフトウェアの組合せで実装可能である。
[0071]エレクトロニクスパッケージ10のキーマネージャモジュールは、どのように実装されるかにかかわらず、プロセッサ16、18、および24、ならびにFPGA20のしきい値数のキースプリットを組み合わせて、暗号化/解読キーを定義することが可能である。一部の例において、暗号化/解読キーを定義するのに必要なエレクトロニクスパッケージ10の処理ノードのキースプリットのしきい値数は、処理ノードの数と等しい。つまり、一部の例において、キースプリットのすべてが、暗号化/解読キーを定義するのに要求される。しかし、一例において、処理ノードからのすべてには満たない数のキースプリットを使用して、暗号化/解読キーが定義されることも可能である。一例において、プロセッサ16、18、および24、ならびにFPGA20のキースプリットを組み合わせることは、各コンポーネントのキースプリットを連結して、暗号化/解読キーを定義することを含み得る。別の例において、エレクトロニクスパッケージ10のキーマネージャモジュールは、プロセッサ16、18、および24、ならびにFPGA20のキースプリットを使用して暗号化/解読キーを定義する別のアルゴリズムを実行することが可能であり、例えば、このアルゴリズムは、パッケージの個々のコンポーネントのキースプリットに基づくが、それらのキースプリットを必ずしも含まない暗号化/解読キーを生成する。次に、キーマネージャモジュールは、暗号化/解読キーをプロセッサ16、18、および24、ならびにFPGA20のそれぞれに供給して、各処理ノードが各ノードに関するそれぞれの構成ファイルを解読できるようにすることが可能である。
[0072]一例において、処理ノード、例えば、パッケージ10のプロセッサ16、18、および24、ならびにFPGA20によって使用されるキースプリットは、複数回、暗号化された量であり、例えば、AES(高度暗号化標準)ラップされたキーは、アンラップされると、128ビットのキー材料を含む192ビットで暗号化された量である。
[0073]一例において、キーマネージャモジュールは、暗号化/解読キーを生成して、プロセッサ16に送信する。プロセッサ16は、このキーを使用して、エレクトロニクスパッケージ10のOEMによって定められたプロセッサ16に関するモデル構成と関係する情報を含む、メモリ22上に格納された構成ファイルを解読する。構成ファイルを解読した後、プロセッサ16は、プロセッサ16を含む処理ノードの現在の構成を、解読された構成ファイルの中に含まれる構成情報と比較して、プロセッサ16を含む処理ノードが、OEMによって定められたモデル構成に準拠しているかどうかを判定する。例えば、プロセッサ16は、エレクトロニクスパッケージ10の製造中、および/またはアフターサービス中、もしくは修復中に実行されたソフトウェアロード、ソフトウェアバージョン番号およびソフトウェアビルド番号、処理ノードの、例えば、プロセッサ16およびメモリ22の通し番号のようなコンポーネント識別番号を特定することが可能である。プロセッサ16が、処理ノードの実際の構成が、解読された構成ファイルの中に反映されるモデル構成に準拠していると判定した場合、プロセッサ16は、エレクトロニクスパッケージ10の別の処理ノードに、その別の処理ノードに、プロセッサ16を含む処理ノードの構成の真正性を相互確認させるために、検証メッセージを送信するように構成され得る。
[0074]パッケージ10のコンポーネントに関する構成ファイルの解読、およびそれらのコンポーネントの構成の認証の一環として、MAC(メッセージ認証コード)タグが使用可能である。MACタグは、ときとして、暗号ハッシュ機能と呼ばれるMACアルゴリズムによって生成可能であり、MACアルゴリズムは、入力としての暗号化キーと、認証されるべき任意の長さのメッセージとを受け入れ、さらにMACタグを出力することが可能である。MACタグは、検証者が、メッセージ内容の変更を検出する暗号化キーも所有することを許すことによって、メッセージのデータ完全性および真正性を保護するように機能することが可能である。本開示による例において、MACタグおよびメッセージは、パッケージ10の様々な処理ノードに関する構成ファイルの中に格納され得、さらにそれらの構成ファイルを暗号化/解読するために使用されるのと同一の暗号化/解読キーを使用して、または異なる暗号化/解読キーを使用して認証され得る。処理ノードのいずれかが、関連する構成ファイルの中に含まれるMACタグが正しい値ではないと判定した場合、このことは、パッケージ10の1つまたは複数の処理ノードが、動作するようになることを防止するように機能することが可能であり、または処理ノードに、制限付き機能モードで動作させることが可能である。
[0075]一例において、直接に接続された処理ノード、例えば、同一のエレクトロニクスカード上の処理ノードが、暗号化された構成ファイルを使用して互いの真正性を相互確認するように構成されているように、エレクトロニクスパッケージ10は構成されている。例えば、プロセッサ16が、エレクトロニクスカード14A上のプロセッサ18に、プロセッサ16を含む処理ノードの構成の真正性を、プロセッサ18を含む処理ノードに相互確認させるために、検証メッセージを送信するように構成され得る。この例において、プロセッサ16とプロセッサ18は、エレクトロニクスカード14A上で直接に接続され得る。しかし、別の例において、RFIDデバイス28A〜28E、30A〜30C、32、および34の1つまたは複数が、パッケージ10の異なるエレクトロニクスカード上の処理ノード間で、例えば、エレクトロニクスカード14A上のプロセッサ16と、エレクトロニクスカード14B上のプロセッサ24の間で通信するのに使用されてもよい。
[0076]プロセッサ16からの検証メッセージは、どのように送信されるかにかかわらず、エレクトロニクスパッケージ10の別の処理ノードが、プロセッサ16を含む処理ノードの構成の真正性を相互確認することを可能にする情報を含み得る。例えば、プロセッサ16を含む処理ノードの実際の構成に関する、プロセッサ16によって特定された情報のすべてが、検証メッセージの中で送信され得る。さらに、一部の例において、エレクトロニクスパッケージ10のコンポーネント間の検証メッセージおよび他の通信は、セキュリティで保護され得る。そのような事例において、プロセッサ16からの検証メッセージは、セキュリティで保護された処理ノード間通信のためのパスキーまたは他の資格情報を含み得る。
[0077]いずれにしても、プロセッサ16が検証メッセージを送信する処理ノードは、プロセッサ16を含む処理ノードの実際の構成を、その処理ノードに関する解読された構成ファイルの中に含まれるモデル構成と比較して、プロセッサ16を含む処理ノードの構成を認証するように構成され得る。例えば、プロセッサ16が、FPGA20を含むエレクトロニクスパッケージ10の処理ノードに検証メッセージを送信するように構成され得る。この例において、FPGA20が、検証メッセージを受信し、さらにこのメッセージと一緒にプロセッサ16によって送信されたパスキーを確認することによって、このメッセージがプロセッサ16から来ていることをまず認証する。FPGA20が、検証メッセージの中で正しいパスキーが与えられていると判定した場合、FPGA20は、プロセッサ16を含む処理ノードの実際の構成を、FPGA20に関連付けられたメモリ上に格納された構成ファイルの中の情報によるモデル構成と比較することが可能であり、この構成ファイルは、エレクトロニクスパッケージ10のキーマネージャモジュールによって供給された暗号化/解読キーを使用してFPGA20によってあらかじめ解読されている。したがって、FPGA20を含む処理ノードを使用して、プロセッサ16を含む処理ノードの構成の真正性が相互確認され得る。各処理ノードからのキースプリットから組み立てられたキーによって解読された、暗号化された構成ファイルを使用して、エレクトロニクスパッケージの処理ノードを認証し、さらに相互認証する前述のプロセスは、必要に応じて繰り返されて、エレクトロニクスパッケージ10の処理ノードのすべて、例えば、プロセッサ16、18、および24、ならびにFPGA20を含む処理ノードのすべての構成が認証可能である。
[0078]エレクトロニクスパッケージ10の処理ノードのいずれかが、OEMによって定められたモデル構成に準拠していないと判定された場合(例えば、前述した技術を使用して)、プロセッサ16、またはエレクトロニクスパッケージ10の別の処理デバイスが、エレクトロニクスパッケージ10に対する可能な不正変更の検出に応答して、1つまたは複数の機能を実行することが可能である。例えば、プロセッサ16が、パッケージ10の処理ノードのいずれかが、OEMによって定められたパラメータに従って構成されていないことを検出したことに応答して、エレクトロニクスパッケージ10のコンポーネントのうちの1つまたは複数のコンポーネントの動作を不可にすること、または低減された機能モードで動作するようにパッケージのコンポーネントのうちの1つまたは複数を設定することが可能である。また、プロセッサ16、またはエレクトロニクスパッケージ10の別のコンポーネントが、パッケージ10の処理ノードのうちの1つまたは複数の処理ノードの実際の構成が、モデル構成に準拠していないと判定したことに応答して、エレクトロニクスパッケージ10の実際の構成が、OEMによって定められたモデル構成に準拠していないことを示す通知を生成するように構成可能である。例えば、プロセッサ16が、エレクトロニクスパッケージ10の実際の構成が、OEMによって定められたモデル構成に準拠していないことを示す可聴のアラート、視覚的アラート、または触覚的アラートをトリガするように構成され得る。
[0079]前述の例のうちの少なくともいくつかは、少なくとも部分的に、プロセッサ16によって、またはやはりエレクトロニクスパッケージ10の動作コンポーネントである別の処理デバイスによって実行されるものとして説明されてきた。しかし、一部の例において、本開示の例による一部の不正変更保護機能は、エレクトロニクスパッケージ10の中に含まれるRFIDデバイスのうちの1つまたは複数によって完全に実行されてもよい。例えば、RFIDデバイス28A〜28E、30A〜30C、32、および34のうちのいずれか1つが、プロセッサ16によって、またはやはりエレクトロニクスパッケージ10の動作コンポーネントである別の処理デバイスによって実行されるものとして前段で説明された機能を実行するように構成された処理デバイスを含んでもよい。さらに、前述したとおり、必要な限りで、RFIDデバイス28A〜28E、30A〜30C、32、および34のうちのいずれか1つが、例えば、OEMによって定められたパッケージ10のモデル構成と関係する情報を含む、エレクトロニクスパッケージ10の構成を認証するための情報を格納するメモリも含むことが可能である。
[0080]不正変更からエレクトロニクスパッケージ10を保護するための前述した機能がどのように実施され得るかに関するさらなる詳細を、エレクトロニクスカード14Aの概略図、およびエレクトロニクスカード14A上のプロセッサ16に関連付けられたRFIDデバイス28Aの例示的な構成の概略図である図2Aおよび図2Bを参照して、以下に説明する。図2Aは、プロセッサ16と、プロセッサ18と、FPGA20と、メモリ22と、RFIDデバイス28A〜28Eと、キーマネージャモジュール50と、入出力回路(以降、「I/O回路」)52と、電源54とを含むエレクトロニクスカード14Aの概略図である。図2Aには明示されないものの、プロセッサ16と、プロセッサ18と、FPGA20と、メモリ22と、RFIDデバイス28A〜28Eと、キーマネージャモジュール50と、入出力回路(以降、「I/O回路」)52と、電源54とは、例えば、エレクトロニクスカード14Aの導電性のトレースを介して、互いに電気的に接続可能である。図2Bは、RFIDデバイス28Aの例示的な構成の概略図であり、RFIDデバイス28Aは、図2Bに示される例では、プロセッサ62と、メモリ64とを備えた集積回路(以降、「IC」)60を含むRFID読取り装置である。また、RFIDデバイス28Aは、アンテナ66も含む。
[0081]図2Aにおいて、プロセッサ16が、エレクトロニクスパッケージ10に関するCPUとして構成され得、さらにエレクトロニクスカード14A上のメモリ22およびI/O回路に通信するように接続される。また、プロセッサ18もメモリ22に通信するように接続され、さらにエレクトロニクスパッケージ10のいくつかの副次的な機能のいずれかを実行するように、さらに/またはメインプロセッサ16をサポートして構成され得、例えば、プロセッサ18は、エレクトロニクスパッケージ10の中に含まれる、またはエレクトロニクスパッケージ10に接続されたグラフィックディスプレイのためのグラフィックスプロセッサとして構成され得る。FPGA20は、エレクトロニクスパッケージ10の特殊機能を実行するように構成され得る。例えば、FPGA20は、エレクトロニクスパッケージ10が内部で使用可能な航空機に関する航法アルゴリズムを実行するように構成され得る。
[0082]プロセッサ16および18はそれぞれ、1つまたは複数のマイクロプロセッサ、DSP、ASIC、FPGAなどの1つまたは複数のプロセッサ、または他の任意の均等の集積論理回路もしくはディスクリートの論理回路、ならびにそのようなコンポーネントの任意の組合せを含み得る。前述したとおり、一部の例において、プロセッサ16および18のいずれか、または両方が、プロセッサと、メモリとを含む集積回路を含み得る。
[0083]メモリ22が、プロセッサ16および18によって実行される命令、ならびにエレクトロニクスパッケージ10の動作、およびパッケージの様々なコンポーネントによって実行される不正変更保護機能と関係する他の情報、例えば、パッケージ10、個々のコンポーネントなどに関する構成ファイルを格納する。メモリ22は、例えば、RAM(ランダムアクセスメモリ)、ROM(読取り専用メモリ)、NVRAM(不揮発性ランダムアクセスメモリ)、EEPROM(電気的に消去可能なプログラマブル読取り専用メモリ)、および/またはFLASHメモリとして構築された1つまたは複数のメモリモジュールを含むことが可能である。プロセッサ16および18、ならびにエレクトロニクスパッケージ10の他のコンポーネントが、メモリ22にアクセスして、例えば、パッケージ10の機能、ならびに本開示による、例えば、図1を参照して説明された例による不正変更保護対策を実行するための命令を取り出すことが可能である。
[0084]エレクトロニクスカード14Aは、プロセッサ16、プロセッサ18、FPGA20、メモリ22、およびエレクトロニクスカード14Aにそれぞれ関連付けられたRFIDデバイス28A〜28Eも含む。前述したとおり、RFIDデバイス28A〜28Eは、RFID読取り装置およびRFIDタグ、ならびに受動型RFIDデバイス、能動型RFIDデバイス、およびバッテリ支援RFIDデバイスを含む、様々な異なるタイプのRFIDデバイスを含み得る。例えば、RFIDデバイス28Aが、RFID読取り装置として構成され得る一方で、仮想ボリューム保護(図1)のために使用されるRFIDデバイス36、およびエレクトロニクスカード14Aに関連付けられたRFIDデバイス28Eが、RFIDタグとして構成され得る。本開示の例により機能するエレクトロニクスパッケージ10のコンポーネントに関連付けられた様々なタイプのRFIDデバイスの任意の組合せが、使用可能である。
[0085]図2Bに示されるとおり、一例においてRFID読取り装置であるRFIDデバイス28Aは、プロセッサ62と、メモリ64と、RFアンテナ66とを有するIC60を含む。RFIDデバイス28Aは、エレクトロニクスカード14Aのシステム電源54によって電力を供給される能動型RFIDデバイスとして構成され得る。しかし、別の例において、RFIDデバイス28Aは、組み込まれた電源、例えば、バッテリを含むことが可能であり、このため、バッテリ支援RFID読取り装置として機能することが可能である。RFIDデバイス28Aは、RFアンテナ66を介して他のRFIDデバイスに信号を送信して、例えば、RFIDタグに問い合わせて、RFIDタグが、そのタグの一意の識別を含む信号で応答するように構成されている。
[0086]RFIDデバイス28Aは、プロセッサ62と、メモリ64とを有するIC60を含むので、一部の例において、RFIDデバイス28Aは、エレクトロニクスパッケージ10の中に含まれるRFIDタグを読み取ることに加えて、いくつかの機能を実行するように構成され得る。例えば、RFIDデバイス28Aは、本開示の例によるいくつかの不正変更保護機能を実行するように構成され得る。一例において、プロセッサ62が、RFIDデバイス28Aのメモリ64と併せて、RFアンテナ66を介してRFIDデバイス36と通信して、エレクトロニクスパッケージ10のシャーシ12によって規定されるボリュームが、パッケージのOEMによって定められたボリュームに関するモデル構成に準拠していることを認証するように構成され得る。
[0087]また、RFIDデバイス28Aのプロセッサ62は、RFアンテナ66を介してRFIDデバイス28B〜28E、30A〜30C、32、および34と通信して、プロセッサ18、FPGA20、メモリ22、エレクトロニクスカード14A、プロセッサ24、メモリ26、エレクトロニクスカード14B、エレクトロニクスカード14C、およびエレクトロニクスカード14Dそれぞれに関する1つまたは複数のレベルのコンポーネント構成認証を実行するようにも構成され得る。RFIDデバイス28Aのメモリ64が、RFIDデバイス36によって規定されるパッケージのモデル仮想ボリューム(例えば、パッケージ10が不正変更されていない場合の仮想ボリューム)と関係する情報、および/またはパッケージのコンポーネントのうちの1つまたは複数のコンポーネントの存在および構成を認証するのに使用される構成ファイルを含め、エレクトロニクスパッケージ10の構成を認証するのにプロセッサ62によって使用される情報を格納することが可能である。
[0088]エレクトロニクスカード14A上の他のRFIDデバイス、ならびにパッケージ10全体の中に含まれる他のRFIDデバイスは、RFIDデバイス28Aに関連して前述したより多くの、またはそれより少ない機能上の能力を含み得る。例えば、RFIDデバイス28Eが、受動型RFIDタグであることが可能であり、このタグは、このタグの近くのRFID読取り装置から送信される信号から電力を得て、このタグ自らの一意の識別コード、すなわち、RFIDデバイス28Eの一意の識別コードでその読取り装置に応答するように構成されている。
[0089]図2Aに示される例において、エレクトロニクスカード14Aは、エレクトロニクスカード14A上のプロセッサ16および18、FPGA20、およびメモリ22、ならびにエレクトロニクスパッケージ10の他のコンポーネントからいくつかのキースプリットを受け取り、これらのキースプリットを組み合わせて、個々のコンポーネントおよび/またはエレクトロニクスパッケージ10全体に関連付けられた構成ファイルを暗号化するため、および解読するための暗号化/解読キーを生成するように構成され得るキーマネージャモジュール50も含む。キーマネージャモジュール50は、全体として、または部分的にソフトウェアで、ハードウェアで、またはソフトウェアとハードウェアの組合せで実装され得る。一例において、キーマネージャモジュール50は、例えば、DSP、ASIC、FPGA、およびメモリを含む、様々な電子ハードウェアコンポーネントとして実装され得る。別の例において、キーマネージャモジュール50は、図2Aで、エレクトロニクスカード14Aの論理コンポーネントとしてだけ例示されるとともに、メモリ22上に格納され、さらにプロセッサ16および18およびFPGA20のうちの任意の1つまたは複数によって実行される命令およびデータとして実装される。さらに、一例において、本開示による例において使用されるキーマネージャモジュールは、エレクトロニクスカード14Aに加えて、またはエレクトロニクスカード14Aの代わりに、例えば他の1つまたは複数のエレクトロニクスカード14を用いて、エレクトロニクスカード14Aに関連して図2Aに例示されるコンポーネント以外のエレクトロニクスパッケージ10のコンポーネント上で、またはそのようなコンポーネントに関連付けられて実装されてもよい。
[0090]I/O回路52は、例えば、マウス、ポインティングデバイス、またはタッチスクリーンのようなユーザ入力デバイス、ならびにグラフィックディスプレイもしくは他のディスプレイ、およびプリンタのような周辺デバイスのような出力デバイスを含む、エレクトロニクスパッケージ10の中に含まれ得る、またはパッケージ10に接続され得る様々なI/Oデバイスに関する様々な電子コンポーネントおよび電子回路を含み得る。
[0091]電源54は、エレクトロニクスカード14A上のコンポーネントのうちの1つまたは複数のための、さらに、一例では、エレクトロニクスパッケージ10の他のコンポーネントのための電力を生じさせるように構成された回路、および他のコンポーネントを含む。例えば、電源54は、エレクトロニクスパッケージ10を交流電源に接続するための交流−直流アダプタを含み得る。また、電源54は、電力管理回路を含むことも可能であり、さらに、一部の例において、例えば、エレクトロニクスパッケージ10が外部電源に接続されていない場合に揮発性メモリに電力を供給する、一次電源および/または充電可能なバッテリを含むことも可能である。
[0092]プロセッサ16および18、FPGA20、およびメモリ22、ならびに本開示の例による不正変更保護機能において使用される、またはそのような不正変更保護機能に含まれるエレクトロニクスパッケージの他の任意のコンポーネントは、様々な仕方で互いに通信するように構成され得る。RFIDデバイス28A〜28E、30A〜30C、32、34、および36のいずれも、エレクトロニクスパッケージ10のコンポーネント間のワイヤレス通信のための機構として使用され得る。さらに、図2Aのエレクトロニクスカード14Aの例において、カード上の様々なコンポーネントが、カード上で互いに直接に接続されてもよい。例えば、プロセッサ16および18が、メモリ22に直接に接続されてもよい。さらに、プロセッサ16、プロセッサ18、FPGA20、およびメモリ22のいずれも、RFIDデバイス28A〜28Dにそれぞれ直接に接続され得る。
[0093]一部の例において、エレクトロニクスカード14A上のプロセッサ16および18、FPGA20、およびメモリ22の間を含め、エレクトロニクスパッケージ10のコンポーネント間の通信が、様々なレベル、および様々なタイプの保護で保護されるように構成され得る。例えば、エレクトロニクスカード14A上のプロセッサ16および18、FPGA20、およびメモリ22のいずれかの間のコンポーネント間通信が、カードのOEMによって定められ、さらにモデル構成に準拠してコンポーネントの正しいバージョンに関連付けられたパスキーの交換を含み得る。このことは、エレクトロニクスパッケージ10の第1のコンポーネントが、第1のコンポーネントと通信しようと試みている別のコンポーネントの真正性を確認できるようにすることが可能である。一例において、プロセッサ16は、解読された構成ファイルを使用してプロセッサ16自らの構成を認証した後、検証メッセージをプロセッサ18に送信することが可能である。検証メッセージは、プロセッサ18によって受け入れられ、対応がなされるように、コンポーネント間通信のためにエレクトロニクスカード14AのOEMによって定められたパスキーを含み得る。別の例において、コンポーネント間通信は、暗号化され得、さらに様々なコンポーネント組合せが、エレクトロニクスパッケージ10のメモリの中に格納された暗号化キーを使用してメッセージの暗号化および解読を行うように構成可能である。
[0094]様々な機構および標準が、エレクトロニクスカード14A上、およびエレクトロニクスパッケージ10の他のコンポーネント間のコンポーネント間通信のために使用され得る。例えば、エレクトロニクスカード14A上のプロセッサ16および18、FPGA20、およびメモリ22のいずれかの間で交換される情報は、ソフトウェア可読形態、ジョイントテストアクショングループ(以降、「JTAG」)可読形態、またはハードウェア間可読形態であることが可能であり、さらにこれらのコンポーネント間のセキュリティで保護されたリンクを介して、前述したとおり、送信可能である。
[0095]コンポーネントのタイプ、およびそれらのコンポーネント間の相互接続に関するエレクトロニクスカード14Aの構成および配置の以上の説明は、エレクトロニクスパッケージ10の他のグループのコンポーネント、例えば、エレクトロニクスカード14B〜14Dにも同様に適用可能である。さらに、エレクトロニクスカード14A〜14D、およびエレクトロニクスカード14A〜14Dのコンポーネントは、RFIDデバイス28A〜28E、30A〜30C、32、および34、またはパッケージ10の中に含まれる他のワイヤレス通信コンポーネントのいずれかを介してワイヤレスで接続されること、ならびに、例えば、カード間の電気的接続を有するカードラックを介して直接に接続されることを含め、互いに相互接続可能である。
[0096]図3〜図6は、パッケージを不正変更から保護する例示的な方法の様々な部分を示す流れ図である。図3〜図6に示される例示的な方法は、前述の例のすべてを組み合わせて、エレクトロニクスパッケージを不正変更から保護するための単一のプロセスにする。例えば、図3に示されるとおり、例示的な方法は、パッケージによって規定される物理的ボリュームの完全性、パッケージ内に正しいコンポーネントが存在すること、およびそれらのコンポーネントの各コンポーネントの構成を認証するための技術を含む。しかし、前述したとおり、開示される例のいずれも、他の例とは無関係に使用され得る。さらに、本開示による例は、様々な組合せで組み合わされてもよく、さらに図3〜図6を参照して説明されるのとは異なる順序で実施されてもよい。図3〜図6の方法は、エレクトロニクスパッケージ10を不正変更から保護することの脈絡で説明されている。しかし、図3〜図6の例示的な方法を参照して説明される機能は、他のタイプのパッケージに適用されてもよい。
[0097]図3は、パッケージを不正変更から保護する例示的な方法を示す流れ図である。図3の方法は、パッケージに電源投入すること(本明細書で「起動すること」としても説明される)(100)、不正変更保護対策を初期設定すること(102)、パッケージによって規定されるボリュームを認証すること(104)、パッケージ内に正しいコンポーネントが存在することを認証すること(106)、パッケージのコンポーネントの構成を認証すること(108)、およびパッケージの通常の動作を初期設定すること(110)、またはパッケージの動作を不可にすること、もしくは低減された機能モードで動作するようにパッケージを設定することの(112)うちの少なくとも一方を含む。
[0098]一部の例において、エレクトロニクスパッケージ10によって実行される不正変更保護対策は、パッケージに電源投入すると、開始される。パッケージ10に電源投入することは、パッケージの電源54(図2A)を交流電源に接続し、さらにパッケージをオンにして、パッケージを、パッケージの意図された用途で使用すること、または他の目的で、例えば、試験または較正のためにパッケージと対話することを含み得る。しかし、一部の例において、エレクトロニクスパッケージ10は、1つまたは複数のバッテリを含むことが可能であり、これらのバッテリにより、パッケージがオンにされていない場合でさえ、パッケージが、本開示による不正変更保護対策を実行することが可能である。さらに、これらの例のいくつかは、エレクトロニクスパッケージ10をオンにすると実行されるものとして説明されてきたものの、本開示において説明される不正変更保護対策のいずれも、パッケージの最初の電源投入後を含め、パッケージがオンにされている期間中に周期的に実行され得る。
[0099]本開示による様々な不正変更保護対策は、多数の組合せで実施されても、多数の異なる仕方で組み合わされてもよい。このため、一部の例において、エレクトロニクスパッケージ10の1つまたは複数のデバイスが、不正変更保護プロセスを初期設定するように構成可能であり、不正変更保護プロセスが、例えば、実行すべき様々なタイプの不正変更保護、およびそれらの不正変更保護を実行する順序を選択することが可能である。初期設定プロセス、およびこのプロセスを実行するエレクトロニクスパッケージ10のコンポーネントは、例えば、パッケージのOEMによって事前構成可能であり、またはパッケージの動作寿命にわたって1回、または複数回、任意の許可された作業員によってプログラミング可能/構成可能であり得る。
[0100]一例において、エレクトロニクスパッケージ10のプロセッサ16が、パッケージのためのCPUとして機能し、さらにパッケージによって自動的に実行される不正変更保護対策を初期設定するように構成されている。プロセッサ16が、選択可能な不正変更保護対策のメニューから選択することが可能であり、さらに選択された対策のうちの1つを、一番目に実行すべき対策、2番目に実行するべき対策といった具合に選択することが可能である。一例において、プロセッサ16は、ボリューム、コンポーネント、およびコンポーネント構成保護を選択し、さらにエレクトロニクスパッケージ10によって規定されるボリュームを認証することから始める。
[0101]一例において、プロセッサ16は、図4の流れ図に概略を示した機能を実行すること、または実行させることからエレクトロニクスパッケージ10の物理的ボリュームの認証を開始し、これらの機能は、RFIDデバイス36と通信し(202)、さらにエレクトロニクスパッケージ10のシャーシ12に関連付けられたモデル構成において規定されるRFIDデバイスのリストの中のRFIDデバイスが存在しないことを検出すること(204)、またはRFIDデバイス36のうちのいずれかのRFIDデバイス36のロケーションが、それらのRFIDデバイスに関するモデル構成において規定される複数の所定のロケーションとは異なることを検出すること(206)を含む。
[0102]一例において、プロセッサ16が、不正変更対策を初期設定した後、RFIDデバイス28Aのプロセッサ62が、RFIDデバイス36によって規定される仮想ボリュームが、パッケージのモデル構成において規定されるエレクトロニクスパッケージのボリュームに準拠していることを自動的に認証するように構成され得る。例えば、RFIDデバイス28Aのプロセッサ62が、RFアンテナ66を介して、シャーシ12に関連付けられたRFIDデバイス36と通信することが可能である(202)。例として、RFIDデバイス28Aのプロセッサ62が、アンテナ66を介してRFIDデバイス36に信号を送信して、デバイス36がそれらのデバイスの各デバイスの一意の識別コードで応答することを要求することが可能である。そのような例において、RFIDデバイス28Aのプロセッサ62は、RFIDデバイス36の各デバイスの一意の識別コードを受信し、さらにその情報を、RFIDデバイス28Aのメモリ64の中に一時的に、または永久に格納することが可能である。
[0103]RFIDデバイス28Aのプロセッサ62が、RFIDデバイス36の各デバイスの一意の識別コードを、OEMによって定められたエレクトロニクスパッケージ10のモデル構成におけるシャーシ12に関連付けられたRFIDデバイスの識別コードを含む構成ファイルと比較することが可能である。一例において、プロセッサ62は、RFIDデバイス28Aのメモリ64から構成ファイルを取り出すことが可能である。しかし、別の例において、プロセッサ62は、例えば、エレクトロニクスカード14A上のメモリ22、エレクトロニクスカード14B上のメモリ26、またはエレクトロニクスパッケージ10の別のメモリソースを含む、他のロケーション/メモリから構成ファイルを取り出すことが可能である。
[0104]RFIDデバイス36のいずれかが存在しないことを検出すること(204)に加えて、またはそうする代わりに、RFIDデバイス208Aのプロセッサ62が、RFIDデバイス36が、エレクトロニクスパッケージ10のOEMによって定められたモデル構成において規定される正しいロケーションに配置されているかどうかを判定する(206)ように構成されてもよい。RFIDデバイス36のロケーションは、例えば、エレクトロニクスパッケージ10の中に含まれる複数の他のRFIDデバイスを使用してRFIDデバイス36の各デバイスの位置を三角測量すること、およびRFIDデバイス36の各デバイスと、エレクトロニクスパッケージ10の別のRFIDデバイスとの間で送信される信号の電力シグネチャ、または他の特性、例えば、RFIDデバイス36のうちの1つが、別のRFIDデバイスによってそのデバイスに送信された信号に応答するのにかかる時間を解析することを含む、いくつかの技術を使用して特定され得る。
[0105]プロセッサ62、および/またはエレクトロニクスパッケージ10の他の処理デバイス、例えば、RFIDデバイス28Bおよび30Aの中に含まれるプロセッサが、RFIDデバイス36の各デバイスの実際のロケーションを特定する特定の仕方にかかわらず、一例において、プロセッサ62は、RFIDデバイス36の実際のロケーションを、エレクトロニクスパッケージ10のシャーシ12に関連付けられたモデル構成において規定されるリストのRFIDデバイスの所定のロケーションと比較することが可能である。モデル構成によって定められたロケーションは、構成ファイルの中に含まれることが可能であり、この構成ファイルを、プロセッサ62は、メモリ64から、またはエレクトロニクスパッケージ10の別のメモリ/ロケーションから取り出すことが可能である。この比較に基づいて、プロセッサ62は、RFIDデバイス36によって規定されるエレクトロニクスパッケージ10の仮想ボリュームが、パッケージのOEMによって定められたモデル構成において規定される配置に準拠しているかどうかを判定することが可能である。
[0106]図3に示される例示的な方法を再び参照すると、プロセッサ16が、例えば、図4に示される技術を使用して、パッケージ10の仮想ボリュームが、例えば、その仮想ボリュームを形成するRFIDデバイス36が1つも存在しないことが検出された(204)ために、またはRFIDデバイス36のうちの1つまたは複数のデバイスの再配置が検出された(206)ために、真正ではないと判定した場合(104)、プロセッサ16は、パッケージ10の1つまたは複数のコンポーネント(例えば、コンポーネントのすべて、またはプロセッサ16などのクリティカルなコンポーネント)の機能を使用不可にする、または低減することが可能である(112)。
[0107]他方、プロセッサ16が、パッケージ10に対する不正変更がボリュームレベルで検出されない、すなわち、仮想ボリュームが真正であると判定した場合(104)、エレクトロニクスパッケージ10が、パッケージ10がより小さいスケールで不正変更されているかどうかを判定することが可能である。例えば、エレクトロニクスパッケージ10は、例えば、パッケージの中に含まれるコンポーネントのうちの1つまたは複数を認証すること(106)によって、パッケージのコンポーネントが、OEMによるパッケージに関するモデル構成において規定される特定のコンポーネントであることを判定することによって、不正変更から保護するように構成され得る。一例において、RFIDデバイス28Aのプロセッサ62が、単独で、またはエレクトロニクスパッケージ10の1つまたは複数のデバイスと連携して、図5の流れ図に例示される機能を使用してエレクトロニクスパッケージ10のコンポーネントを認証するように構成され、それらの機能は、それらのコンポーネントに関連付けられたRFIDデバイスと通信すること(302)、およびRFIDデバイスとの通信に基づいて、それらのコンポーネントのうちの1つまたは複数のコンポーネントが存在しないことを検出すること(304)を含む。
[0108]図1の例を参照して前述したとおり、エレクトロニクスパッケージ10は、カード14、プロセッサ16、18、および24、FPGA20、メモリ22、およびメモリ26を含むパッケージの様々なコンポーネントにそれぞれ関連付けられたRFIDデバイスのアレイを含み得る。例えば、図1に示される例において、RFIDデバイス28Aが、エレクトロニクスカード14A上のプロセッサ16に関連付けられ、RFIDデバイス28Bが、エレクトロニクスカード14A上のプロセッサ18に関連付けられ、RFIDデバイス28Cが、エレクトロニクスカード14A上のFPGA20に関連付けられ、RFIDデバイス28Dが、エレクトロニクスカード14A上のメモリ22に関連付けられ、さらにRFIDデバイス28Eが、エレクトロニクスカード14Aに関連付けられる。さらに、RFIDデバイス30Aが、エレクトロニクスカード14B上のプロセッサ24に関連付けられ、RFIDデバイス30Bが、エレクトロニクスカード14B上のメモリ26に関連付けられ、さらにRFIDデバイス30Cが、エレクトロニクスカード14Bに関連付けられる。RFIDデバイス32が、エレクトロニクスカード14Cに関連付けられ、さらにRFIDデバイス34が、エレクトロニクスカード14Dに関連付けられる。
[0109]一例において、プロセッサ16および18、FPGA20、メモリ22、エレクトロニクスカード14A、プロセッサ24、メモリ26、エレクトロニクスカード14B、エレクトロニクスカード14C、およびエレクトロニクスカード14Dにそれぞれ関連付けられたRFIDデバイス28A〜28E、30A〜30C、32、および34が、エレクトロニクスパッケージ10の実際のコンポーネントが、OEMによって定められたモデル構成において規定されるコンポーネントに準拠していることを認証するのに使用される。例えば、RFIDデバイス28Aのプロセッサ64が、RFIDデバイス28A〜28E、30A〜30C、32、および34と通信し(302)、さらにこの通信に基づいて、RFIDデバイスに関連付けられたコンポーネントの1つまたは複数が不正変更されているかどうかを判定するように構成され得る。一例において、RFIDデバイス28Aのプロセッサ64が、RFアンテナ66を介してRFIDデバイス28B〜28E、30A〜30C、32、および34に信号を送信して、各RFIDデバイスが、そのデバイスの一意の識別コードで応答することを要求する。そのような例において、プロセッサ64が、RFIDデバイス28B〜28E、30A〜30C、32、および34の各デバイスの一意の識別コードを受信し、さらにそれらのコードを、RFIDデバイス28Aのメモリ64の中に一時的に、または永久に格納することが可能である。
[0110]プロセッサ64は、RFIDデバイス28B〜28E、30A〜30C、32、および34の各デバイスの一意の識別コードを、OEMによって定められたエレクトロニクスパッケージ10のモデル構成におけるプロセッサ18、FPGA20、メモリ22、エレクトロニクスカード14A、プロセッサ24、メモリ26、エレクトロニクスカード14B、エレクトロニクスカード14C、およびエレクトロニクスカード14Dに関連付けられたRFIDデバイスの識別コードを含む構成ファイルと比較することが可能である。一例において、プロセッサ64は、RFIDデバイス28Aのメモリ64からこの構成ファイルを取り出す。しかし、別の例において、プロセッサ64は、例えば、メモリ22、メモリ26、またはエレクトロニクスパッケージ10の別のメモリソースを含む他のロケーション/メモリからこの構成ファイルを取り出す。いずれにしても、プロセッサ64は、RFIDデバイス28Aから受信されたRFIDデバイス28B〜28E、30A〜30C、32、および34の各デバイスの一意の識別コードと、モデル構成におけるRFIDデバイスの識別コードの間の比較に基づいて、モデル構成によって定められた1つまたは複数のRFIDデバイスが、完全に欠落しているかどうか、またはその他のRFIDデバイス、例えば、中古のRFIDデバイスもしくは偽造品のRFIDデバイスで代用されているかどうかを判定することが可能である。一例において、プロセッサ16によって実行される比較によって示される、そのような欠落したRFIDデバイス、または代用されたRFIDデバイスは、パッケージ10に対する許可のない不正変更と解釈され得る。
[0111]RFIDデバイス28Aのプロセッサ64が、RFIDデバイス28B〜28E、30A〜30C、32、および34と通信する前、または通信した後に、プロセッサ64は、RFIDデバイス28Aの一意の識別コードを、OEMによって定められたエレクトロニクスパッケージ10のモデル構成を含む構成ファイルの中のコードに照らして認証することも可能である。このプロセスは、RFIDデバイス28AがRFIDデバイス28A自らを認証することを含むので、一例において、エレクトロニクスパッケージ10の別の処理デバイスが、RFIDデバイス28Aと通信して、そのデバイスの一意の識別コードを要求し、さらにこのコードを、OEMによって定められたエレクトロニクスパッケージ10のモデル構成を含む構成ファイルの中のコードに照らして認証することが可能である。
[0112]以上のように、RFIDデバイス28A〜28E、30A〜30C、32、および34の各デバイスの一意のハードウェア識別コードを使用して、エレクトロニクスパッケージ10の関連するコンポーネント、プロセッサ16、プロセッサ18、FPGA20、メモリ22、エレクトロニクスカード14A、プロセッサ24、メモリ26、エレクトロニクスカード14B、エレクトロニクスカード14C、およびエレクトロニクスカード14Dがシリアル化される。つまり、エレクトロニクスパッケージ10の各コンポーネントに関連付けられた各RFIDデバイスの一意の識別コードが、そのコンポーネントを一意に識別するプロキシとして使用される。
[0113]図3に示される例示的な方法を再び参照すると、プロセッサ16が、例えば、図5に示される技術を使用して、パッケージ10の1つまたは複数のコンポーネントが、例えば、パッケージ10のコンポーネントが1つも存在しないことが検出された(304)ために、真正ではないと判定した場合(106)、プロセッサ16は、パッケージ10の1つまたは複数のコンポーネント(例えば、コンポーネントのすべて、またはプロセッサ16などのクリティカルなコンポーネント)の機能を使用不可にする、または低減することが可能である(112)。
[0114]他方、プロセッサ16が、コンポーネントの真正性(例えば、1つまたは複数のコンポーネントが存在しないことが、真正性の欠如を示し得る)に基づいて、パッケージ10に対する不正変更が検出されないと判定した場合(106)、エレクトロニクスパッケージ10が、パッケージの中に含まれるコンポーネントのうちの1つまたは複数のコンポーネントの動作構成を認証することによって、例えば、パッケージのコンポーネントが機能するように構成されているいくつかの動作パラメータのうちの1つまたは複数が、OEMによるそのパッケージに関するモデル構成において定義されたパラメータと同一であると判定することによって、パッケージ10が不正変更されているかどうかを判定することが可能である。一例において、RFIDデバイス28Aのプロセッサ62が、単独で、またはエレクトロニクスパッケージ10の1つまたは複数のデバイスと併せて、コンポーネントを認証することに関して前述したのと同様の仕方で、例えば、各RFIDデバイスからの識別コードだけでなく、RFIDデバイスに関連付けられたコンポーネントの各コンポーネントに関する構成設定も要求し、次に、それらのコンポーネントの実際の構成を、OEMによって定められたモデル構成を含む構成ファイルの中の構成設定と比較することによって、エレクトロニクスパッケージ10のコンポーネントの構成を認証するように構成されている。
[0115]しかし、別の例において、エレクトロニクスパッケージ10のいくつかのコンポーネントに関する、例えば、プロセッサ16、18、および24、ならびにFPGA20のうちの1つまたは複数を含む処理ノードに関する特定の動作構成設定が、暗号化された構成ファイルの中に格納され得、これらの構成ファイルは、コンポーネントの構成を、モデル構成に準拠するものとして認証するのに使用される前に、解読されなければならない。このため、一例において、エレクトロニクスパッケージ10の1つまたは複数の処理デバイスが、図6の流れ図に例示される機能を使用して、エレクトロニクスパッケージ10のコンポーネントの構成を認証するように構成され、それらの機能は、エレクトロニクスパッケージ10のいくつかの処理ノードの各処理ノードからのキースプリットをキーマネージャモジュール50(図2A)に送信すること(400)、それらの処理ノードのキースプリットを組み合わせて、暗号化/解読キーを定義すること(402)、この暗号化/解読キーをキーマネージャモジュール50からそれらの処理ノードに送信すること(404)、この暗号化/解読キーを使用してそれらの処理ノードのそれぞれに関連付けられた構成ファイルを解読すること(406)、および解読された構成ファイルのうちの1つまたは複数に基づいて、それらの処理ノードのうちの1つまたは複数の処理ノードの構成を認証すること(408)を含む。
[0116]一例において、エレクトロニクスパッケージのコンポーネントが、前述したとおり認証された(106)後、プロセッサ16および18、FPGA20、およびプロセッサ24にそれぞれ関連付けられたRFIDデバイス28A〜28C、および30Aが、これらのRFIDデバイスの各デバイスの一意の識別コードをエレクトロニクスパッケージ10のコンポーネントのそれぞれに送信することが可能である。プロセッサ16および18、FPGA20、およびプロセッサ24は、エレクトロニクスパッケージ10のいくつかの処理ノードの中に含まれることが可能であり、さらに、一例において、プロセッサ16および18、FPGA20、およびプロセッサ24のそれぞれが、各コンポーネントに関連付けられたRFIDデバイスの各デバイスの一意の識別コードを、それらのデバイスがキーマネージャモジュール50(図2A参照)に送信するキースプリットとして使用することが可能である。
[0117]エレクトロニクスパッケージ10のキーマネージャモジュール50は、プロセッサ16、18、および24、ならびにFPGA20のキースプリットを組み合わせて、暗号化/解読キーを定義することが可能である。一例において、プロセッサ16、18、および24、ならびにFPGA20のキースプリットを組み合わせることは、各コンポーネントのキースプリットを連結して、暗号化/解読キーを定義することを含み得る。別の実施形態において、キーマネージャモジュール50は、プロセッサ16、18、および24、ならびにFPGA20のキースプリットを使用して暗号化/解読キーを定義する別のアルゴリズムを実行することが可能であり、例えば、このアルゴリズムは、パッケージの個々のコンポーネントのキースプリットに基づくが、それらのキースプリットを必ずしも含まない暗号化/解読キーを生成する。次に、キーマネージャモジュール50は、暗号化/解読キーをプロセッサ16、18、および24、ならびにFPGA20のそれぞれに送信して、各処理ノードが各ノードに関するそれぞれの構成ファイルを解読できるようにすることが可能である。
[0118]一例において、キーマネージャモジュール50は、暗号化解除/解読キーを生成して、プロセッサ16に送信する。プロセッサ16は、このキーを使用して、エレクトロニクスパッケージ10のOEMによって定められたプロセッサ16に関するモデル構成と関係する情報を含む、メモリ22上に格納された構成ファイルを解読する。構成ファイルを解読した後、プロセッサ16は、プロセッサ16を含む処理ノードの現在の構成を、解読された構成ファイルの中に含まれる構成情報と比較して、プロセッサ16を含む処理ノードが、OEMによって定められたモデル構成に準拠しているかどうかを判定する。例えば、プロセッサ16は、エレクトロニクスパッケージ10の製造中、および/またはアフターサービス中、もしくは修復中に実行されたソフトウェアロード、ソフトウェアバージョン番号およびソフトウェアビルド番号、処理ノードの、例えば、プロセッサ16およびメモリ22の通し番号のようなコンポーネント識別番号を特定することが可能である。プロセッサ16が、処理ノードの実際の構成が、解読された構成ファイルの中に反映されるモデル構成に準拠していると判定した場合、プロセッサ16は、エレクトロニクスパッケージ10の別の処理ノードに、その別の処理ノードに、プロセッサ16を含む処理ノードの構成の真正性を相互確認させるために、検証メッセージを送信するように構成され得る。
[0119]プロセッサ16からの検証メッセージは、エレクトロニクスパッケージ10の別の処理ノードが、プロセッサ16を含む処理ノードの構成の真正性を相互確認することを可能にする情報を含み得る。例えば、プロセッサ16を含む処理ノードの実際の構成に関する、プロセッサ16によって特定された情報のすべてが、検証メッセージの中で送信され得る。さらに、一部の例において、エレクトロニクスパッケージ10のコンポーネント間の検証メッセージおよび他の通信は、セキュリティで保護されていることが可能である。そのような事例において、プロセッサ16からの検証メッセージは、セキュリティで保護された処理ノード間通信のためのパスキーまたは他の資格情報を含み得る。
[0120]いずれにしても、プロセッサ16が検証メッセージを送信する処理ノードは、プロセッサ16を含む処理ノードの実際の構成を、その処理ノードに関する解読された構成ファイルの中に含まれるモデル構成と比較して、プロセッサ16を含む処理ノードの構成を認証するように構成され得る。例えば、プロセッサ16が、FPGA20を含むエレクトロニクスパッケージ10の処理ノードに検証メッセージを送信するように構成され得る。この例において、FPGA20が、検証メッセージを受信し、さらにこのメッセージと一緒にプロセッサ16によって送信されたパスキーを確認することによって、このメッセージがプロセッサ16から来ていることをまず認証することが可能である。検証メッセージの中で正しいパスキーが与えられていると想定して、FPGA20は、プロセッサ16を含む処理ノードの実際の構成を、FPGA20に関連付けられたメモリ上に格納された構成ファイルの中の情報によるモデル構成と比較することが可能であり、この構成ファイルは、エレクトロニクスパッケージ10のキーマネージャモジュールによって供給された暗号化/解読キーを使用してFPGAによってあらかじめ解読されている。したがって、FPGA20を含む処理ノードを使用して、プロセッサ16を含む処理ノードの構成の真正性が相互確認され得る。各処理ノードからのキースプリットから組み立てられたキーによって解読された、暗号化された構成ファイルを使用して、エレクトロニクスパッケージの処理ノードを認証し、さらに相互認証する前述のプロセスは、必要に応じて繰り返されて、エレクトロニクスパッケージ10の処理ノードのすべて、例えば、プロセッサ16、18、および24、ならびにFPGA20を含む処理ノードのすべての構成が認証可能である。
[0121]図3を再び参照すると、例示的な方法が、エレクトロニクスパッケージ10の中に含まれる様々なデバイスによって自動的に実行される前述した不正変更保護対策のいずれかが、パッケージが不正変更されていることを示す場合、パッケージの1つまたは複数のデバイス、例えば、1つまたは複数の処理デバイスが、エレクトロニクスパッケージ10に対する可能な不正変更の検出に応答して、1つまたは複数の機能を実行することが可能である。例えば、プロセッサ16および/または別の処理デバイスが、シャーシ12に関連付けられたRFIDデバイス36のいずれかが除去されていること、もしくは再配置されていること、パッケージ10の正しいコンポーネントのいずれかが存在しないこと、またはパッケージ10のコンポーネントのうちのいずれかのコンポーネントの構成が、OEMによって定められたパッケージに関するモデル構成において規定される構成に準拠しないことを検出したことに応答して、エレクトロニクスパッケージ10のコンポーネントのうちの1つまたは複数のコンポーネントの動作を使用不可にすること、または低減された機能モデルで動作するようにパッケージのコンポーネントのうちの1つまたは複数を設定すること(112)が可能である。一例において、プロセッサ16は、前述の条件のいずれか1つまたは複数が検出されたことに応答して、エレクトロニクスパッケージ10の実際の構成が、OEMによって定められたモデル構成に準拠していないことを示す可聴の通知、視覚的通知、または触覚的通知をトリガするように構成可能である。
[0122]エレクトロニクスパッケージ10のボリューム、コンポーネント、およびコンポーネント構成が認証され、さらにパッケージ10の実際の構成が、OEMによって定められたモデル構成に準拠していると判定された場合、パッケージの1つまたは複数のデバイスが、パッケージの通常の動作を初期設定して、パッケージが、パッケージの意図された用途に従って機能し得るようにすることが可能である(110)。
[0123]エレクトロニクスパッケージ10の不正変更保護の前述した例の多くは、パッケージの中に含まれるRFIDデバイスのアレイにおける様々なセットのRFIDデバイスの間の通信を含む、または要求する。エレクトロニクスパッケージ10の様々なRFIDデバイス間の通信に対する干渉を低減するのに、いくつかのワイヤレス通信技術のいずれかを使用して、そのような干渉が低減される、または解消される可能性がある。例えば、エレクトロニクスパッケージ10のRFIDデバイスの1つまたは複数が、純粋な、またはスロット化されたAloha法を使用して、様々なセットのRFIDデバイス間の通信衝突を減らすように構成され得る。
[0124]本開示による例は、様々な異なる仕方で組み合わされて、慎重な扱いを要するパッケージに関して様々なレベルの不正変更保護を提供することが可能である。一例において、エレクトロニクスパッケージのいくつかのコンポーネントに関する、例えば、暗号化された構成ファイルの中に格納されたパッケージの処理ノードに関する特定の動作構成設定に関して図6を参照して説明した特徴は、前述したその他の不正変更保護対策とは無関係に使用されてもよい。
[0125]一例において、方法が、パッケージの複数のコンポーネントにそれぞれ関連付けられた複数の処理ノードを初期設定すること、それらの処理ノードのそれぞれから、そのパッケージの少なくとも1つの処理デバイスによって実行されるキーマネージャモジュールにキースプリットを送信すること、キーマネージャモジュールによる、処理ノードのしきい値数の複数のキースプリットを組み合わせて、暗号化/解読キーを定義すること、その暗号化/解読キーを用いて処理ノードのそれぞれに関連付けられた構成ファイルを解読すること、および解読された構成ファイルのうちの1つまたは複数に基づいて、複数の処理ノードのうちの1つまたは複数の処理ノードの構成を認証することを含む。
[0126]また、前述の例は、複数の処理ノードのうちの第1の処理ノードによる、第1の処理ノードに関する解読された構成ファイルに基づいて、第1の処理ノードの構成を認証すること、複数の処理ノードのうちの第2の処理ノードに検証メッセージを送信すること、および第2の処理ノードによる、この検証メッセージと、第2の処理ノードに関する解読された構成ファイルとのうちの少なくとも一方に基づいて、第1の処理ノードの構成を認証することをオプションとして含むことも可能である。
[0127]さらに、この例示的な方法は、第2の処理ノードによる、第2の処理ノードに関する解読された構成ファイルに基づいて、第2の処理ノードの構成を認証すること、複数の処理ノードのうちの第3の処理ノードに検証メッセージを送信すること、第3の処理ノードによる、この検証メッセージと、第3の処理ノードに関する解読された構成ファイルとうちの少なくとも一方に基づいて、第2の処理ノードの構成を認証することを含み得る。
[0128]プロセッサ16、18、および24、ならびにFPGA20、または本明細書で説明される他の任意のコンポーネントによって実行される機能は、少なくとも部分的に、ハードウェアによって、ソフトウェアによって、ファームウェアによって、または以上の任意の組合せによって実施され得る。例えば、これらの技術の様々な態様は、エレクトロニクスパッケージ10または別のデバイスの中に含まれるエレクトロニクスにおいて実現された、1つまたは複数のマイクロプロセッサ、DSP、ASIC、FPGAを含む1つまたは複数のプロセッサ、または他の任意の均等の集積論理回路もしくはディスクリートの論理回路、ならびにそのようなコンポーネントの任意の組合せの内部で実施可能である。「プロセッサ」または「処理回路」という用語は、概して、前述の論理回路のいずれかを、単独で、または他の論理回路と組合せで指すことも、他の任意の均等の回路を指すことも可能である。
[0129]そのようなハードウェア、ソフトウェア、ファームウェアは、本開示において説明される様々な動作および機能をサポートするように同一のデバイス内に実装されても、別々のデバイス内に実装されてもよい。さらに、説明されるユニット、モジュール、またはコンポーネントのいずれも、一緒に実装されても、ディスクリートではあるが、相互運用可能な論理デバイスとして別々に実装されてもよい。様々な特徴がモジュールまたはユニットとして説明されていることは、様々な機能上の態様を強調することを意図しており、そのようなモジュールまたはユニットが、別々のハードウェアコンポーネントまたはソフトウェアコンポーネントによって実現されなければならないことを必ずしも暗示するものではない。そうではなく、1つまたは複数のモジュールまたはユニットに関連する機能は、別々のハードウェアコンポーネントまたはソフトウェアコンポーネントによって実行されても、あるいは共通の、または別々のハードウェアコンポーネントもしくはソフトウェアコンポーネントの内部に組み込まれてもよい。
[0130]ソフトウェアで実装される場合、プロセッサ16、18、および24、ならびにFPGA20に帰せられる機能、ならびに前述した他のコンポーネント、デバイス、および技術に帰せられる機能は、RAM、ROM、NVRAM、EEPROM、FLASHメモリ、磁気データ記憶媒体、光データ記憶媒体などのコンピュータ可読媒体上の命令として実現され得る。これらの命令は、本開示において説明される機能の1つまたは複数の態様をサポートするように実行され得る。コンピュータ可読媒体は、一時的でないことが可能である。
[0131]様々な例が説明されてきた。これら、およびその他の例は、添付の特許請求の範囲に含まれる。
10 エレクトロニクスパッケージ
12 シャーシ
14A、14B、14C、14D エレクトロニクスカード
16、18、24、62 プロセッサ
20 フィールドプログラマブルゲートアレイ
22、26、64 メモリ
28A、28B、28C、28D、28E、30A、30B、30C、32、34、36 RFIDデバイス
50 キーマネージャモジュール
52 入力/出力回路
54 電源
66 RFアンテナ

Claims (3)

  1. シャーシと、
    前記シャーシ内に配置された複数のコンポーネントと、
    モデル構成に対するパッケージの実際の構成の準拠(compliance)を認証(authenticate)するように構成されたアレイを形成するように複数のロケーションに配置された複数のRFIDデバイスと、
    前記RFIDデバイスと通信し、前記RFIDデバイスとの通信に基づいて、パッケージの前記実際の構成が前記モデル構成に準拠しているかどうかを判定し、パッケージの前記実際の構成が前記モデル構成に準拠しているかどうかを判定することに応答して、パッケージの前記コンポーネントのうちの1つまたは複数のコンポーネントの動作モードを設定するように構成された少なくとも1つの処理デバイスと
    を備えるパッケージ。
  2. パッケージの前記実際の構成は、前記シャーシの構成を備え、
    前記複数のRFIDデバイスのサブセットは、前記シャーシによって規定される物理的ボリューム(physical volume)をシミュレートする仮想ボリューム(virtual volume)を形成するように前記シャーシ上の複数のロケーションに配置され、
    前記少なくとも1つの処理デバイスは、前記シャーシに関連付けられた前記モデル構成において規定されるリストのRFIDデバイスのいずれかが存在しないことを検出するように構成され、
    前記少なくとも1つの処理デバイスは、前記シャーシに関連付けられた前記モデル構成において規定される前記サブセットのRFIDデバイスのいずれかが存在しないことを検出することを、少なくとも
    前記サブセットのRFIDデバイスのそれぞれから一意の(unique)識別コードを要求すること、
    各RFIDデバイスから前記サブセットのRFIDデバイスの各デバイスの前記一意の識別コードを受信すること、および
    前記サブセットのRFIDデバイスの各デバイスの前記一意の識別コードを、前記モデル構成において規定されるリストのコードと比較することによって行うように構成されている
    請求項1に記載のパッケージ。
  3. パッケージの前記実際の構成は、前記シャーシ内の前記コンポーネントのうちの1つまたは複数のコンポーネントの構成を備え、
    前記複数のRFIDデバイスのサブセットは、前記サブセットのRFIDデバイスの各RFIDデバイスが、前記複数のコンポーネントのうちの少なくとも1つに関連付けられるように前記複数のコンポーネントに関連付けられ、
    前記少なくとも1つの処理デバイスは、前記サブセットのRFIDデバイスと通信し、前記複数のコンポーネントの各コンポーネントの実際の動作構成が、パッケージに関する前記モデル構成に準拠しているかどうかを判定するように構成され、
    前記少なくとも1つの処理デバイスは、前記複数のコンポーネントの各コンポーネントの前記実際の動作構成が、パッケージに関する前記モデル構成に準拠しているかどうかを判定することを、少なくとも
    前記複数のコンポーネントのそれぞれに関して、前記コンポーネントの前記実際の動作構成を規定するデータを、前記コンポーネントに関連付けられた前記サブセットのRFIDデバイスからの1つのRFIDデバイスから要求すること、
    前記複数のコンポーネントのそれぞれに関して、前記コンポーネントに関連付けられた前記サブセットのRFIDデバイスからの前記RFIDデバイスから前記実際の動作構成を受信すること、および
    前記複数のコンポーネントのそれぞれに関して、前記コンポーネントの前記実際の動作構成(operation configuration)を、パッケージに関する前記モデル構成において規定された前記コンポーネントに関するモデル動作構成と比較することによって行うように構成されている
    請求項1に記載のパッケージ。
JP2013018632A 2012-02-15 2013-02-01 不正変更からのパッケージ保護 Pending JP2013168143A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US13/397,020 US9007182B2 (en) 2012-02-15 2012-02-15 Protecting packages from tampering
US13/397,020 2012-02-15

Publications (1)

Publication Number Publication Date
JP2013168143A true JP2013168143A (ja) 2013-08-29

Family

ID=47998859

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013018632A Pending JP2013168143A (ja) 2012-02-15 2013-02-01 不正変更からのパッケージ保護

Country Status (4)

Country Link
US (1) US9007182B2 (ja)
JP (1) JP2013168143A (ja)
KR (1) KR20130094253A (ja)
GB (1) GB2500306B (ja)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8890672B2 (en) 2011-08-29 2014-11-18 Harnischfeger Technologies, Inc. Metal tooth detection and locating
US8797139B2 (en) * 2012-02-23 2014-08-05 Infineon Technologies Ag System-level chip identify verification (locking) method with authentication chip
US9177181B2 (en) * 2012-04-19 2015-11-03 Infineon Technologies Ag Secure epass booklet based on double chip technology
US9606529B2 (en) 2014-07-31 2017-03-28 Miq Llc User customization of auto-detected data for analysis
US10073990B1 (en) * 2014-09-10 2018-09-11 Maxim Integrated Products, Inc. System and method for monitoring network devices incorporating authentication capable power supply modules
US10055612B2 (en) * 2014-12-15 2018-08-21 International Business Machines Corporation Authentication using optically sensed relative position
US9611625B2 (en) 2015-05-22 2017-04-04 Harnischfeger Technologies, Inc. Industrial machine component detection and performance control
US9588504B2 (en) * 2015-06-29 2017-03-07 Miq Llc Modular control system
US9589287B2 (en) * 2015-06-29 2017-03-07 Miq Llc User community generated analytics and marketplace data for modular systems
DE102015010458A1 (de) * 2015-08-11 2017-02-16 Giesecke & Devrient Gmbh Tragbarer Datenträger, inbesondere Chipkarte
US10365636B2 (en) * 2015-09-15 2019-07-30 Inovatech Engineering Corporation Client initiated vendor verified tool setting
WO2017083691A1 (en) 2015-11-12 2017-05-18 Harnischfeger Technologies, Inc. Methods and systems for detecting heavy machine wear
US9630614B1 (en) 2016-01-28 2017-04-25 Miq Llc Modular power plants for machines
FR3048528B1 (fr) * 2016-03-07 2018-09-21 Idemia France Procede de verification de l'integrite d'un dispositif electronique, et dispositif electronique correspondant
US11213773B2 (en) * 2017-03-06 2022-01-04 Cummins Filtration Ip, Inc. Genuine filter recognition with filter monitoring system
EP3655890A4 (en) * 2017-07-19 2021-04-28 Birde Technologies LLC Tamper-proof articles as well as the system and procedure for the validation of articles
CN107368866B (zh) * 2017-07-25 2020-11-24 北京电旗连江科技发展有限公司 一种基于双频rfid的结算系统及方法
US11093599B2 (en) * 2018-06-28 2021-08-17 International Business Machines Corporation Tamper mitigation scheme for locally powered smart devices
US11314953B2 (en) * 2019-03-12 2022-04-26 Case Western Reserve University Tagging of materials and objects and analysis for authentication thereof
EP3734513B1 (en) * 2019-04-30 2023-03-08 EM Microelectronic-Marin SA A tamper detection device
US11685580B2 (en) 2019-08-07 2023-06-27 International Business Machines Corporation Medication counterfeit detection
US11269975B2 (en) * 2019-11-07 2022-03-08 Bank Of America Corporation System for authenticating a user using an application specific integrated circuit embedded within a user device
DE102020206803A1 (de) * 2020-05-29 2021-12-02 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung eingetragener Verein Elektrische Komponente für das Verfahren zur Herstellung derselben

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6357007B1 (en) 1998-07-01 2002-03-12 International Business Machines Corporation System for detecting tamper events and capturing the time of their occurrence
US20020067264A1 (en) 2000-03-15 2002-06-06 Soehnlen John Pius Tamper Evident Radio Frequency Identification System And Package
US7644290B2 (en) 2003-03-31 2010-01-05 Power Measurement Ltd. System and method for seal tamper detection for intelligent electronic devices
US7061382B2 (en) 2003-12-12 2006-06-13 Francis M. Claessens Apparatus for electronically verifying the authenticity of contents within a container
US7274289B2 (en) 2004-05-27 2007-09-25 Eastman Kodak Company System and device for detecting object tampering
US7348887B1 (en) 2004-06-15 2008-03-25 Eigent Technologies, Llc RFIDs embedded into semiconductors
US7839289B2 (en) 2004-08-26 2010-11-23 Avante International Technology, Inc. Object monitoring, locating, and tracking system and method employing RFID devices
WO2006026365A2 (en) 2004-08-26 2006-03-09 Amerasia International Technology, Inc. Object monitoring, locating, and tracking method, system, and rfid device
US7712674B1 (en) 2005-02-22 2010-05-11 Eigent Technologies Llc RFID devices for verification of correctness, reliability, functionality and security
US20070271596A1 (en) * 2006-03-03 2007-11-22 David Boubion Security, storage and communication system
US20080033368A1 (en) * 2006-04-04 2008-02-07 Mallinckrodt Inc. Systems and methods for managing information relating to medical fluids and containers therefor
DE102007048423A1 (de) 2007-10-09 2009-04-16 Volkswagen Ag Vorrichtung und Verfahren zur Überprüfung von Manipulationsversuchen an einer Komponente eines Kraftfahrzeuges
TW200936866A (en) 2008-02-26 2009-09-01 Jin-Hao Chaocheng RFID electronic lock
US20120181270A1 (en) * 2010-11-15 2012-07-19 Angel Secure Networks, Inc. Intelligent reconfigurable container system and method

Also Published As

Publication number Publication date
US20130207783A1 (en) 2013-08-15
GB2500306B (en) 2015-10-28
GB2500306A (en) 2013-09-18
US9007182B2 (en) 2015-04-14
KR20130094253A (ko) 2013-08-23
GB201302293D0 (en) 2013-03-27

Similar Documents

Publication Publication Date Title
JP2013168143A (ja) 不正変更からのパッケージ保護
US11962701B2 (en) Verifying identity of a vehicle entering a trust zone
US11361660B2 (en) Verifying identity of an emergency vehicle during operation
US10958435B2 (en) Providing security in an intelligent electronic device
US8322608B2 (en) Using promiscuous and non-promiscuous data to verify card and reader identity
US20080024268A1 (en) Component authentication for computer systems
CN113632417A (zh) 使用物理不可克隆函数产生计算装置的身份
US9887984B2 (en) Autonomous system for secure electric system access
CN102576397A (zh) 令牌的验证和数据完整性保护
CN101416129B (zh) 现场设备
JP5183517B2 (ja) 情報処理装置及びプログラム
JP6738636B2 (ja) 紡績機の装置機能の許可方法
CN104680054A (zh) 一种rfid数据处理方法
JP6318868B2 (ja) 認証システム、及び携帯通信端末
JP2008176741A (ja) クライアント端末、サービス提供サーバ、サービス提供システム、制御方法、およびサービス提供方法
CN105959249A (zh) 电子设备的管理方法及系统
EP3699802B1 (en) Security data processing device
CN103827877A (zh) 用于剽窃保护的方法以及执行装置
CN103414565B (zh) 输出方法及安全设备、响应方法及系统、执行方法及系统
CN103414566B (zh) 输出方法及安全设备、响应方法及系统、执行方法及系统
WO2014134827A1 (en) System and method for authentication
CA2967353A1 (en) Autonomous systems and methods for secure access
US20120331290A1 (en) Method and Apparatus for Establishing Trusted Communication With External Real-Time Clock