JP2015119357A - Information processor - Google Patents
Information processor Download PDFInfo
- Publication number
- JP2015119357A JP2015119357A JP2013261733A JP2013261733A JP2015119357A JP 2015119357 A JP2015119357 A JP 2015119357A JP 2013261733 A JP2013261733 A JP 2013261733A JP 2013261733 A JP2013261733 A JP 2013261733A JP 2015119357 A JP2015119357 A JP 2015119357A
- Authority
- JP
- Japan
- Prior art keywords
- general
- security
- cpu
- storage device
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、データにセキュリティ処理を施す情報処理装置に関する。 The present invention relates to an information processing apparatus that performs security processing on data.
ネットワーク上の通信の安全性を確保するため、送信元の端末が通信内容を暗号化して送信し、送信先の端末が復号する暗号通信が知られている。この暗号通信を車載ネットワークにおいても適用することが検討されている。車載ネットワークでは端末としてのECU(Electronic Control Unit)に、暗号化・復号を専門に行う暗号ハードウェアを搭載
することで暗号通信を行う技術が知られている(例えば、特許文献1参照。)。特許文献1には、メインPEサブシステムで実行されているプログラムの正当性又はプログラムを実行して得られるデータの正当性を判断するHSMサブシステムが搭載されたプロセッサシステムが開示されている。
In order to ensure the safety of communication on a network, encryption communication is known in which a transmission source terminal encrypts and transmits a communication content, and a transmission destination terminal decrypts the communication content. Application of this encryption communication to an in-vehicle network is also being studied. In an in-vehicle network, a technique for performing cryptographic communication by installing cryptographic hardware that specializes in encryption / decryption in an ECU (Electronic Control Unit) as a terminal is known (for example, see Patent Document 1). Patent Document 1 discloses a processor system equipped with an HSM subsystem that determines the validity of a program executed in the main PE subsystem or the validity of data obtained by executing the program.
しかしながら、特許文献1のように暗号ハードウェアが搭載された装置では、暗号ハードウェアが故障した場合に暗号通信が困難になるという問題がある。すなわち、暗号通信では、暗号ハードウェア内に暗号鍵などを記憶することでセキュリティを高めているため、暗号ハードウェアが故障した場合、暗号通信が困難になる。車載ネットワークでは、ECUの暗号ハードウェアが故障しても通信結果を利用した制御や処理を継続することが要求される。 However, an apparatus equipped with cryptographic hardware as in Patent Document 1 has a problem that cryptographic communication becomes difficult when the cryptographic hardware fails. That is, in encryption communication, security is enhanced by storing an encryption key or the like in encryption hardware, and therefore encryption communication becomes difficult if the encryption hardware breaks down. In the in-vehicle network, it is required to continue control and processing using the communication result even if the encryption hardware of the ECU fails.
暗号ハードウェアが故障した場合に通信を継続するフェールセーフ技術として、暗号ハードウェアを冗長化(二重化)することが考えられる。しかし、ハードウェアを冗長化することはコスト増をもたらしてしまう。 As a fail-safe technique for continuing communication when cryptographic hardware fails, it is conceivable to make the cryptographic hardware redundant (redundant). However, making the hardware redundant increases the cost.
本発明は、上記課題に鑑み、コスト増を抑制して暗号ハードウェアが故障した場合でも暗号通信が可能な情報処理装置を提供することを目的とする。 In view of the above problems, an object of the present invention is to provide an information processing apparatus capable of performing cryptographic communication even when cryptographic hardware breaks down while suppressing an increase in cost.
本発明は、暗号化、復号又は認証を行うセキュリティモジュールと、汎用レジスタでアクセスすることで汎用記憶装置に記憶されたプログラムを実行する汎用処理CPUと、を有する情報処理装置であって、前記セキュリティモジュールは、前記汎用処理CPUからの要求に応じてセキュリティ処理を行うセキュリティCPUと、前記セキュリティCPUの故障を検出する故障検出装置と、秘匿情報が記憶されたセキュア記憶装置と、前記セキュリティCPUの故障時は、前記汎用処理CPUからの前記セキュア記憶装置へのアクセスを許可するアクセス制御装置と、を有し、前記汎用処理CPUは、前記汎用記憶装置へのアクセスが制限され、かつ、前記セキュア記憶装置へアクセスするためのアドレス情報が記憶されたセキュリティ専用レジスタと、前記故障検出装置から前記セキュリティCPUの故障の通知を取得した場合、前記汎用処理CPUが使用するレジスタを前記汎用レジスタから前記セキュリティ専用レジスタへ切り替える切替装置と、を有し、前記故障検出装置から前記セキュリティCPUの故障の通知を取得した場合、前記セキュリティ専用レジスタを用いて前記セキュア記憶装置へアクセスし、暗号化、復号又は認証の少なくとも1つを行う、ことを特徴とする。 The present invention is an information processing apparatus comprising: a security module that performs encryption, decryption, or authentication; and a general-purpose processing CPU that executes a program stored in a general-purpose storage device by accessing with a general-purpose register. The module includes a security CPU that performs security processing in response to a request from the general-purpose processing CPU, a failure detection device that detects a failure of the security CPU, a secure storage device that stores confidential information, and a failure of the security CPU. An access control device that permits access from the general-purpose processing CPU to the secure storage device, wherein the general-purpose processing CPU is restricted in access to the general-purpose storage device, and the secure storage Dedicated security for storing address information for accessing the device And a switching device that switches a register used by the general-purpose processing CPU from the general-purpose register to the security-dedicated register when a notification of a failure of the security CPU is obtained from the failure detection device. When a notification of a failure of the security CPU is acquired from a device, the secure storage device is accessed using the security dedicated register, and at least one of encryption, decryption, or authentication is performed.
コスト増を抑制して暗号ハードウェアが故障した場合でも暗号通信が可能な情報処理装置を提供することができる。 It is possible to provide an information processing apparatus capable of performing cryptographic communication even when the cryptographic hardware breaks down while suppressing an increase in cost.
以下、本発明を実施するための形態について図面を参照しながら説明する。 Hereinafter, embodiments for carrying out the present invention will be described with reference to the drawings.
〔本実施形態のECUの特徴の概略〕
図1は本実施形態のECUの概略的な構成図の一例を示す。始めに、本実施形態のECU100の概略的な特徴について説明する。
1.ECU100は下記の新しい構成を有している。
[Outline of features of ECU of this embodiment]
FIG. 1 shows an example of a schematic configuration diagram of an ECU according to the present embodiment. First, schematic features of the
1. The ECU 100 has the following new configuration.
1−1:故障監視装置
1−2:アクセス制御装置(従来からあるが新しい機能を有する)
1−3:レジスタ切り替え制御装置とセキュリティ処理専用レジスタ
2.そしてECU100は以下のように動作する
2−1:故障監視装置35がセキュリティ処理CPU31の故障を検知して、汎用処理CPU11に通知する
2−2:セキュリティ処理CPU31が故障すると、汎用処理CPU11は、セキュリティ処理専用レジスタ25を使用する。セキュリティ処理専用レジスタ25は、暗号ハードウェア12のセキュア記憶装置33にアクセスするためのレジスタである。汎用処理CPU11は、セキュリティ処理専用レジスタ25を使用した場合、セキュア記憶装置33の暗号鍵などを用いてセキュリティ処理を行うことができる一方、汎用記憶装置13にアクセスできなくなる。
1-1: Fault monitoring device 1-2: Access control device (conventional but with new functions)
1-3: Register switching control device and security processing dedicated register The ECU 100 operates as follows: 2-1: The
したがって、本実施形態のECU100は、暗号ハードウェア12が故障しても、汎用処理CPU11が暗号処理を行うので暗号通信を継続することが可能である。暗号ハードウェア12を冗長化する必要がないのでコスト増を抑制できる。また、汎用処理CPU11は汎用記憶装置13にアクセスできないので、セキュア記憶装置33の暗号鍵などを汎用記憶装置13に書き込んだりできず、汎用処理CPU11が悪意のあるアプリケーションを実行してもセキュリティを維持できる。
Therefore, even if the
〔構成例〕
図2は、比較のために図示した従来のECU100の概略構成図の一例である。システムバス17に接続された汎用処理CPU11、暗号ハードウェア(HSM:Hardware Security Module)12、汎用記憶装置13、及び、周辺バスブリッジ14を有している。周辺バスブリッジ14にはI/O15、Timer16などが接続されている。図示する構成は、本実施形態で説明されるECU100の主要部であり、図示するほかにECUの汎用的な構成を有している。
[Configuration example]
FIG. 2 is an example of a schematic configuration diagram of a
なお、ECU100は車載される情報処理装置の通称で、主にマイコン、電源ユニット、ワイヤーハーネスを接続するためのインタフェースなどを有している。本実施形態ではマイコンとECU100を同一視してもよい。ECU100の種類は多種多様であり、例えば、エンジンECU、ブレーキECU、ボディECU、パワステECU、ナビゲーションECU(AV・情報処理ECU)、HV−ECU、ゲートウェイECU等が知られている。本実施形態のECUは暗号ハードウェア12を有していればよく、どのようなECUであってもよい。
The ECU 100 is a common name for an on-board information processing apparatus, and mainly includes an interface for connecting a microcomputer, a power supply unit, a wire harness, and the like. In the present embodiment, the microcomputer and the ECU 100 may be regarded as the same. The types of the
ECU100は、図示する構成の他、他のECUと通信するための通信装置を備えている。通信装置には、例えばCANプロトコルに基づき通信するもの、FrexLayプロトコルに基づき通信するもの、イーサネット(登録商標)に基づき通信するもの、LIN(Local Interconnect Network)プロトコルに基づき通信するもの、などがある。 ECU 100 includes a communication device for communicating with other ECUs in addition to the illustrated configuration. Examples of the communication device include those that communicate based on the CAN protocol, those that communicate based on the FlexRay protocol, those that communicate based on the Ethernet (registered trademark), and devices that communicate based on the LIN (Local Interconnect Network) protocol.
本実施形態では、ECU間で通信されるデータを暗号ハードウェア12が暗号化し、また、復号することができる。また、暗号ハードウェア12は識別情報やパスワードの組が一致するか否かという認証処理に利用することもできる。これらをまとめてセキュリティ処理という場合がある。
In this embodiment, the
汎用処理CPU11は、アプリケーションを実行するCPUである。アプリケーションはECU100に固有の又は特徴的な制御を行うプログラムで、暗号化・復号に関係しないほぼ全てのプログラム(OSやデバイスドライバを除く)が相当する。例えば、エンジンECUであればエンジンを制御するアプリケーションであり、ブレーキECUであればブレーキアクチュエータを制御するアプリケーションである。
The general-
汎用処理CPU11は、通常処理用レジスタ21、演算実行部22、及び、バス制御部23を有している。CPUとしての公知の機能を有していればよく、これらの機能の他に公知の機能を有する。通常処理用レジスタ21は、例えば汎用記憶装置13の先頭アドレスを記憶するレジスタ、演算結果を格納するレジスタ、次のアクセス先のアドレスを記憶するレジスタなどである。
The general-
演算実行部22は、汎用記憶装置13に記憶された命令を読み出して実行し、演算結果に応じた処理を行う。バス制御部23は、汎用処理CPU11、汎用記憶装置13、周辺バスブリッジ14、及び、暗号ハードウェア12によるシステムバス17の使用要求を調停する。使用権が与えられた汎用処理CPU11は、アドレスをシステムバス17に出力し、汎用記憶装置13から命令を読み出したり、データを書き込んだりする。また、使用権が与えられた汎用処理CPU11は、暗号ハードウェア12に暗号化又は復号を要求して、暗号化されたデータや復号されたデータを取得する。また、認証処理を要求して認証結果を取得する。
The
汎用記憶装置13は、アプリケーションを記憶する記憶装置である。汎用記憶装置13は、プログラムがいったんRAMなどの揮発性メモリに転送される仕様のマイコンの場合は揮発性メモリである。フラッシュメモリなどの不揮発性メモリから直接命令が実行される仕様のマイコンの場合は、不揮発性メモリである。
The general-
周辺バスブリッジ14は、周辺バス18とシステムバス17との周波数の違いを吸収して、汎用処理CPU11のI/O15、Timer16へのアクセス要求に応じて、これらにアクセスする。また、I/O15、Timer16からのアクセス要求に応じて汎用処理CPU11に割り込みするなどの処理を行う。
The
なお、I/O15は、例えばSPI、UARTなどのシリアルインタフェースである。Timer16は設定された時間を測定する。
The I /
暗号ハードウェア12は、HSM内バス36に接続されたセキュリティ処理CPU31、アクセス制御装置32、セキュア記憶装置33、及び、暗号処理装置34を有している。セキュア記憶装置33は、セキュリティ処理CPU31が実行するプログラム、及び、暗号鍵などの秘匿情報が記憶された不揮発性メモリである。
The
セキュリティ処理CPU31は、セキュア記憶装置33に記憶されたプログラムを実行して、暗号処理装置34に暗号化、復号、又は、認証などを要求する。暗号処理装置34は、主に秘密鍵を使用した暗号化・復号を行う。公開鍵を使用してもよい。また、暗号アルゴリズムはどのようなものでもよいが、例えばDES、IDEA、RC2/RC4、MULTI2、Camellia、MISTY1などがある。セキュリティ処理CPU31が、暗号アルゴリズムを選択可能であってもよい。
The
アクセス制御装置32は、暗号ハードウェア12への外部からのアクセスをセキュリティ処理CPU31にのみ通知する。すなわち、外部からはセキュア記憶装置33や暗号処理装置34にアクセスできない。これにより、悪意のあるアプリケーションが暗号鍵を読み出したり、暗号アルゴリズムを解読することを防止している。セキュリティ処理CPU31はセキュア記憶装置33のプログラムしか実行しないので、暗号鍵を外部に出力するなどのおそれはない。
The
続いて、図1を用いて、新たな構成である故障監視装置35、アクセス制御装置32、及び、レジスタ切り替え制御装置24とセキュリティ処理専用レジスタ25について説明する。
Next, the
故障監視装置35は、セキュリティ処理CPU31が故障したことを検知して、アクセス制御装置32と汎用処理CPU11に通知する。故障監視装置35は、例えば、ウォッチドッグタイマーのように常に時間を計測し、オーバーフローする前にセキュリティ処理CPU31がリセットしたか否かに基づきセキュリティ処理CPU31が故障したことを検知する。この他、セキュリティ処理CPU31に故障検知用のプログラムを実行させ、予め保持している値と一致するか否かにより故障を検知してもよい。
The
アクセス制御装置32は従来からあるが、本実施形態では機能が追加されている。アクセス制御装置32は、故障監視装置35から故障通知を受信すると、アクセス制御装置32を通常モードから暗号装置故障モードに移行させる。暗号装置故障モードでは、アクセス制御装置32は、汎用処理CPU11によるセキュア記憶装置33へのアクセスを許可する。暗号装置故障モードでは、汎用処理CPU11はセキュリティ処理専用レジスタ25を使用するので、セキュア記憶装置33へアクセスできるようになる。
Although the
セキュア記憶装置33にアクセスした汎用処理CPU11は、セキュア記憶装置33のプログラムを実行して暗号化・復号を直接行うか、暗号処理装置34にアクセスすることで暗号化・復号を行うことが可能になる。
The general-
レジスタ切り替え制御装置24は、演算実行部22が使用するレジスタを通常処理用レジスタ21からセキュリティ処理専用レジスタ25に(又はその逆に)切り替える。すなわち、暗号ハードウェア12から故障検知を取得した汎用処理CPU11は、汎用処理CPU11の動作モードを通常モードから暗号装置故障モードに移行する。これにより、レジスタ切り替え制御装置24は、演算実行部22が使用するレジスタを通常処理用レジスタ21からセキュリティ処理専用レジスタ25に切り替える。
The register
演算実行部22が使用するレジスタがセキュリティ処理専用レジスタ25になることで、汎用処理CPU11はセキュア記憶装置33へのアクセスが可能になる。セキュリティ処理専用レジスタ25には、セキュア記憶装置33にアクセスするための特殊なアドレスを生成させる値が記憶されている。例えば、セキュリティ処理専用レジスタ25には汎用記憶装置13の終了アドレスよりも大きな値が記憶されている。汎用処理CPU11がセキュリティ処理専用レジスタ25を使用して生成するアドレスは、汎用記憶装置13のアドレス範囲に含まれないため、暗号装置故障モードでは、汎用処理CPU11は汎用記憶装置13にアクセスすることができない。
Since the register used by the
汎用処理CPU11が汎用記憶装置13にアクセスすることができないことで、セキュア記憶装置33の暗号鍵やプログラムを、汎用処理CPU11が汎用記憶装置13に書き出すことを防止できるので、セキュア記憶装置33の内部情報が漏洩することを防止できる。
Since the general-
以上のような構成によれば、暗号ハードウェア12を二重化しなくても、暗号ハードウェア12が故障した場合に、ECU100はセキュリティを維持した処理が可能である。
According to the configuration as described above, even if the
〔動作手順〕
図3〜5を用いて、暗号ハードウェア12が故障した際のECU100の動作手順について説明する。図3は、故障監視装置35の動作手順を示すフローチャート図の一例である。
故障監視装置35は、セキュリティ処理CPU31を監視しており故障したか否かを判定する(S10)。車両がIG−ONの場合、監視は周期的に行われることが好ましい。また、暗号ハードウェア12の負荷が高い場合は監視を行わず、負荷が低下したタイミングで行ってもよい。さらに、暗号化・復号に失敗したことから、故障を検知してもよい。車両がIG−OFFの場合、ECU100が定期的にスリープ状態から起動するのであればそのタイミングで監視する。IG−OFFの間、ECU100が起動しないのであれば、IG−ONの直後に監視する。
[Operation procedure]
The operation procedure of the
The
セキュリティ処理CPU31が故障していない場合(S10のNo)、故障監視装置35は何もしない。
If the
セキュリティ処理CPU31が故障していた場合(S10のYes)、故障監視装置35はアクセス制御装置32に対しセキュリティ処理CPU31の故障を通知する(S20)。
When the
アクセス制御装置32は、汎用処理CPU11に対しセキュリティ処理CPU31の故障を通知する(S30)。この故障の通知は例えば割り込みで行う。割り込みは暗号化・復号処理が必要な通信と同程度以上の優先度を持っており、暗号化・復号処理が必要な通信の前に割り込みが受け付けられるようになっている。これにより、汎用処理CPU11は故障の通知を確実に受信できる。
The
図4は汎用処理CPU11の動作手順を示すフローチャート図の一例である。
FIG. 4 is an example of a flowchart showing an operation procedure of the general-
汎用処理CPU11は暗号ハードウェア12のセキュリティ処理CPU31の故障通知を受信すると動作モードを変える必要があるため、故障通知を受信したか否かを監視している(S110)。
Since the general-
故障通知を受信していない場合(S110のNo)、処理はステップS130に進む。 If no failure notification has been received (No in S110), the process proceeds to step S130.
故障通知を受信した場合(S110のYes)、演算実行部22は故障通知という割り込み内容に対応したプログラム(割込みハンドラ)を実行して汎用処理CPU11の動作モードを暗号装置故障モードに移行する(S120)。
When the failure notification is received (Yes in S110), the
次いで、演算実行部22はセキュリティ処理要求を受信したか否かを判定する(S130)。セキュリティ処理要求は、他のECU100から送信されたデータが暗号化されているため復号する必要があるデータを受信することを言う。データが暗号化されているか否かは、例えばCANプロトコルのCAN IDに基づき判断される。または、データの先頭に配置されている、暗号化されていることを示すフラグやIDに基づき判断されてもよい。その他の通信プロトコルの場合も、メッセージのIDや送信元のアドレス、又は、データなどに基づき判断される。
Next, the
なお、暗号ハードウェア12が故障したECU100がデータを送信する場合も、データを暗号化することが好ましい。演算実行部22がデータを暗号化して車載ネットワークで送信する場合、暗号ハードウェア12を使用して暗号化する。なお、暗号化して送信されるデータは、ECU毎に固定である。
Even when the
セキュリティ処理要求を受信した場合(S130のYes)、汎用処理CPU11は動作モードが暗号装置故障モードか否かを判定する(S140)。この判定は、例えば暗号装置故障モードでONとなるフラグを参照するなどして行われる。
When the security processing request is received (Yes in S130), the general-
動作モードが暗号装置故障モードの場合(S140のYes)、演算実行部22はセキュリティ処理専用レジスタ25を用いてセキュリティ処理CPU31の代替処理を実行する(S150)。すなわち、セキュア記憶装置33にアクセスしてセキュリティ処理CPU31が実行するプログラム、及び、暗号鍵を読み出して、暗号化・復号・認証を行う。
When the operation mode is the encryption device failure mode (Yes in S140), the
汎用処理CPU11が暗号化・復号・認証そのものを行うか、暗号ハードウェア12の暗号処理装置34にアクセスして暗号化・復号を行うかは、汎用処理CPU11の性能や処理負荷、及び、セキュア記憶装置33の記憶容量に応じて設計される。すなわち、汎用処理CPU11の性能が高く処理負荷がそれほど高くなく、セキュア記憶装置33の記憶容量が暗号化・復号・認証のプログラムを記憶するための十分の記憶容量を有している場合、汎用処理CPU11が暗号化・復号・認証そのものを行う。この場合、汎用処理CPU11は暗号処理装置34にアクセスする必要がない。本実施形態ではこの形態を説明するが、汎用処理CPU11が暗号処理装置34にアクセスして暗号化・復号・認証を行ってもよい。
Whether the general-
なお、汎用処理CPU11がセキュリティ処理要求を受信しない場合は、汎用処理CPU11が汎用記憶装置13にアクセスできることが好ましい。このため、ステップS130でセキュリティ処理要求を受信したか否かに応じて、汎用処理CPU11の動作モードを暗号装置故障モードに移行してもよい。こうすることで、セキュリティ処理要求を受信しなかった場合は、汎用処理CPU11が汎用記憶装置13にアクセスして通常の処理を実行できる。
When the general-
また、汎用処理CPU11の動作モードを暗号装置故障モードに移行した場合、セキュリティ処理が終了したら、動作モードを通常モードに戻すことで、汎用記憶装置13にアクセスして通常の処理が可能になる。
Further, when the operation mode of the general-
図5は、アクセス制御装置32の動作手順を示すフローチャート図の一例である。
アクセス制御装置32は、故障監視装置35から故障通知を受信したか否かを判定する(S210)。
FIG. 5 is an example of a flowchart showing an operation procedure of the
The
故障通知を受信した場合(S210のYes)、アクセス制御装置32はアクセス制御装置32の動作モードを暗号装置故障モードに移行する(S220)。
When the failure notification is received (Yes in S210), the
アクセス制御装置32は、外部からセキュア記憶装置33へのアクセスがあったか否かを判定する(S230)。上記のように、アクセス制御装置32は、暗号装置故障モードの汎用処理CPU11以外からセキュア記憶装置33へのアクセスを禁止する。セキュア記憶装置33へのアクセスか否かは、アクセス要求のアドレスから判断される。
The
外部からセキュア記憶装置33へのアクセスがあった場合(S230のYes)、アクセス制御装置32はアクセス制御装置32の動作モードが暗号装置故障モードか否かを判定する(S240)。暗号装置故障モードでなければ、外部からセキュア記憶装置33へのアクセスを許可すべきでないからである。
When there is an external access to the secure storage device 33 (Yes in S230), the
暗号装置故障モードでない場合(S240のNo)、アクセス制御装置32はアクセスを許可しない(S280)。
If it is not the encryption device failure mode (No in S240), the
アクセス制御装置32の動作モードが暗号装置故障モードの場合(S240のYes)、汎用処理CPU11がセキュリティ処理状態か否かを判定する(S250)。汎用処理CPU11がセキュリティ処理を行っていない場合、外部からセキュア記憶装置33へのアクセスを許可すべきでないからである。なお、汎用処理CPU11がセキュリティ処理状態か否かの判定は、例えば、演算実行部22が実行する命令(オペコード)がセキュリティ処理の1つか否かにより判定する。
When the operation mode of the
汎用処理CPU11が暗号装置故障モードでない場合(S250のNo)、アクセス制御装置32はアクセスを許可しない(S280)。
When the general-
汎用処理CPU11が暗号装置故障モードの場合(S250のYes)、アクセス制御装置32は外部からのセキュア記憶装置33へのアクセスを許可する(S260)。
When the general-
一方、ステップS230で、外部からセキュア記憶装置33へのアクセスでない場合(S230のNo)、アクセス制御装置32は外部からのセキュリティ処理CPU31へのアクセスか否かを判定する(S270)。セキュリティ処理CPU31へのアクセスか否かは、アクセス要求のアドレスから判断される。セキュリティ処理CPU31へのアクセスとは、暗号装置故障モードでない汎用処理CPU11が暗号ハードウェア12に暗号化・復号・認証を要求する際に行われる。
On the other hand, if it is determined in step S230 that the
したがって、外部からのセキュリティ処理CPU31へのアクセスがある場合(S270のYes)、正常な状態の暗号ハードウェア12の使用要求なので、アクセス制御装置32はアクセスを許可する(S290)。
Therefore, when there is an access to the
外部からのセキュリティ処理CPU31へのアクセスでない場合(S270のNo)、セキュア記憶装置33へのアクセスでもなく、セキュリティ処理CPU31へのアクセスでもないので、アクセス制御装置32はアクセスを許可しない(S280)。
If the access is not to the
このように、本実施形態のECU100は、汎用処理CPU11が暗号処理を行うので、暗号ハードウェア12を冗長化することなく、暗号通信を継続することが可能である。また、汎用処理CPU11が暗号処理を行っても情報漏洩を抑制できる。
As described above, the
以上、本発明を実施するための最良の形態について実施例を用いて説明したが、本発明はこうした実施例に何等限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々の変形及び置換を加えることができる。 The best mode for carrying out the present invention has been described above with reference to the embodiments. However, the present invention is not limited to these embodiments, and various modifications can be made without departing from the scope of the present invention. And substitutions can be added.
例えば、本実施形態ではECUが車載ネットワークを介して通信する場合のセキュリティ処理について説明したが、ECUが自機の記憶装置にデータを記憶する際にセキュリティ処理を施してもよい。 For example, in the present embodiment, the security process when the ECU communicates via the in-vehicle network has been described. However, the ECU may perform the security process when storing data in the storage device of the ECU.
また、ECU同士の通信でなく、スマートフォンなどの端末同士がネットワークを介して通信するために、スマートフォンなどの端末が本実施形態でECU100として説明された情報処理装置を有していてもよい。
In addition, since terminals such as smartphones communicate via a network instead of communication between ECUs, a terminal such as a smartphone may have the information processing apparatus described as the
11 汎用処理CPU
12 暗号ハードウェア
13 汎用記憶装置
25 セキュリティ処理専用レジスタ
31 セキュリティ処理CPU
32 アクセス制御装置
33 セキュア記憶装置
34 暗号処理装置
35 故障監視装置
100 ECU
11 General-purpose processing CPU
12
32
Claims (1)
前記セキュリティモジュールは、
セキュリティ処理を行うセキュリティCPUと、前記セキュリティCPUの故障を検出する故障検出装置と、秘匿情報が記憶されたセキュア記憶装置と、前記セキュリティCPUの故障時は、前記汎用処理CPUからの前記セキュア記憶装置へのアクセスを許可するアクセス制御装置と、を有し、
前記汎用処理CPUは、
前記汎用記憶装置へのアクセスは制限され、前記セキュア記憶装置へのアクセスは可能なアドレス情報が記憶されたセキュリティ専用レジスタと、
前記故障検出装置から前記セキュリティCPUの故障の通知を取得した場合、前記汎用処理CPUが使用するレジスタを前記汎用レジスタから前記セキュリティ専用レジスタへ切り替える切替装置と、を有し、
前記故障検出装置から前記セキュリティCPUの故障の通知を取得した場合、前記セキュリティ専用レジスタを用いて前記セキュア記憶装置へアクセスし、暗号化、復号又は認証の少なくとも1つを行う、ことを特徴とする情報処理装置。 An information processing apparatus comprising: a security module that performs encryption, decryption, or authentication; and a general-purpose processing CPU that executes a program stored in a general-purpose storage device by accessing with a general-purpose register;
The security module is
A security CPU that performs security processing; a failure detection device that detects a failure of the security CPU; a secure storage device that stores confidential information; and the secure storage device from the general-purpose processing CPU when the security CPU fails An access control device that permits access to
The general-purpose processing CPU is
Access to the general-purpose storage device is restricted, and access to the secure storage device is a security dedicated register in which possible address information is stored;
A switching device that switches the register used by the general-purpose processing CPU from the general-purpose register to the security-dedicated register when the notification of the failure of the security CPU is obtained from the failure detection device;
When a notification of a failure of the security CPU is obtained from the failure detection device, the secure storage device is accessed using the security dedicated register, and at least one of encryption, decryption, or authentication is performed. Information processing device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013261733A JP6067548B2 (en) | 2013-12-18 | 2013-12-18 | Information processing device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013261733A JP6067548B2 (en) | 2013-12-18 | 2013-12-18 | Information processing device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015119357A true JP2015119357A (en) | 2015-06-25 |
JP6067548B2 JP6067548B2 (en) | 2017-01-25 |
Family
ID=53531716
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013261733A Expired - Fee Related JP6067548B2 (en) | 2013-12-18 | 2013-12-18 | Information processing device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6067548B2 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019047370A (en) * | 2017-09-04 | 2019-03-22 | 株式会社デンソー | Network system |
JP2019531646A (en) * | 2016-09-23 | 2019-10-31 | アップル インコーポレイテッドApple Inc. | Secure communication of network traffic |
JP2020067802A (en) * | 2018-10-24 | 2020-04-30 | トヨタ自動車株式会社 | Control device |
WO2022162988A1 (en) * | 2021-01-28 | 2022-08-04 | 日立Astemo株式会社 | Vehicle control device |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS52113584A (en) * | 1976-03-19 | 1977-09-22 | Matsushita Electronics Corp | Lamp and its production method |
JPS55102064A (en) * | 1979-01-31 | 1980-08-04 | Toshiba Corp | Backup system in composite computer system |
JPS6279534A (en) * | 1985-10-03 | 1987-04-11 | Japan Electronic Control Syst Co Ltd | Cpu back-up circuit of control device for automobile |
JPS62115941A (en) * | 1985-11-15 | 1987-05-27 | Hitachi Ltd | Encipherment processing system |
JPH0231240A (en) * | 1988-07-20 | 1990-02-01 | Hokuriku Nippon Denki Software Kk | Processing system for troubled coprocessor |
JP2005293504A (en) * | 2004-04-05 | 2005-10-20 | Sony Corp | Program, computer and data processing method |
-
2013
- 2013-12-18 JP JP2013261733A patent/JP6067548B2/en not_active Expired - Fee Related
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS52113584A (en) * | 1976-03-19 | 1977-09-22 | Matsushita Electronics Corp | Lamp and its production method |
JPS55102064A (en) * | 1979-01-31 | 1980-08-04 | Toshiba Corp | Backup system in composite computer system |
JPS6279534A (en) * | 1985-10-03 | 1987-04-11 | Japan Electronic Control Syst Co Ltd | Cpu back-up circuit of control device for automobile |
JPS62115941A (en) * | 1985-11-15 | 1987-05-27 | Hitachi Ltd | Encipherment processing system |
JPH0231240A (en) * | 1988-07-20 | 1990-02-01 | Hokuriku Nippon Denki Software Kk | Processing system for troubled coprocessor |
JP2005293504A (en) * | 2004-04-05 | 2005-10-20 | Sony Corp | Program, computer and data processing method |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019531646A (en) * | 2016-09-23 | 2019-10-31 | アップル インコーポレイテッドApple Inc. | Secure communication of network traffic |
AU2017330232B2 (en) * | 2016-09-23 | 2020-09-03 | Apple Inc. | Secure communication of network traffic |
JP7037550B2 (en) | 2016-09-23 | 2022-03-16 | アップル インコーポレイテッド | Secure communication of network traffic |
US11595366B2 (en) | 2016-09-23 | 2023-02-28 | Apple Inc. | Secure communication of network traffic |
JP2019047370A (en) * | 2017-09-04 | 2019-03-22 | 株式会社デンソー | Network system |
JP2020067802A (en) * | 2018-10-24 | 2020-04-30 | トヨタ自動車株式会社 | Control device |
JP7196532B2 (en) | 2018-10-24 | 2022-12-27 | 株式会社デンソー | Control device |
WO2022162988A1 (en) * | 2021-01-28 | 2022-08-04 | 日立Astemo株式会社 | Vehicle control device |
Also Published As
Publication number | Publication date |
---|---|
JP6067548B2 (en) | 2017-01-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7827326B2 (en) | Method and apparatus for delegation of secure operating mode access privilege from processor to peripheral | |
JP6067449B2 (en) | Information processing apparatus and information processing program | |
JP6422059B2 (en) | Processing device, in-vehicle terminal device, processing device activation method, and processing device activation program | |
JP6067548B2 (en) | Information processing device | |
JP2007501477A (en) | Method and apparatus for determining access permissions | |
CN107949847B (en) | Electronic control unit for vehicle | |
TWI512529B (en) | A multi-security-cpu system | |
TW200817904A (en) | Memory access security management | |
JP2009521154A (en) | Secure system on chip | |
TW201411405A (en) | Protecting secure software in a multi-security-CPU system | |
JP2005520231A (en) | Data processing system and method including access protection to peripheral devices | |
WO2020029254A1 (en) | Soc chip and bus access control method | |
JP4791250B2 (en) | Microcomputer and its software falsification prevention method | |
JP2023061388A (en) | Semiconductor device | |
US10204228B2 (en) | Device and method for safely operating the device | |
JPWO2020158377A1 (en) | Security verification method for electronic control devices and electronic control devices | |
US20220300612A1 (en) | Security processing device | |
WO2019193845A1 (en) | Electric control unit and electric control system | |
JP7383589B2 (en) | information processing equipment | |
US9218484B2 (en) | Control method and information processing apparatus | |
CN109583196B (en) | Key generation method | |
US20240020386A1 (en) | Control apparatus | |
US20220080989A1 (en) | Information processing apparatus, information processing method, and recording medium | |
GB2592830A (en) | Electronic control units for vehicles | |
CN118041633A (en) | Driving assistance system and vehicle |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160204 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161206 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161221 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6067548 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |