JP2015119357A - Information processor - Google Patents

Information processor Download PDF

Info

Publication number
JP2015119357A
JP2015119357A JP2013261733A JP2013261733A JP2015119357A JP 2015119357 A JP2015119357 A JP 2015119357A JP 2013261733 A JP2013261733 A JP 2013261733A JP 2013261733 A JP2013261733 A JP 2013261733A JP 2015119357 A JP2015119357 A JP 2015119357A
Authority
JP
Japan
Prior art keywords
general
security
cpu
storage device
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013261733A
Other languages
Japanese (ja)
Other versions
JP6067548B2 (en
Inventor
谷口 和也
Kazuya Taniguchi
和也 谷口
英洋 加藤
Hidehiro Kato
英洋 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Otsl Inc
Original Assignee
Toyota Motor Corp
Otsl Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp, Otsl Inc filed Critical Toyota Motor Corp
Priority to JP2013261733A priority Critical patent/JP6067548B2/en
Publication of JP2015119357A publication Critical patent/JP2015119357A/en
Application granted granted Critical
Publication of JP6067548B2 publication Critical patent/JP6067548B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide an information processor capable of performing encryption communication even when encryption hardware breaks down by suppressing an increase in costs.SOLUTION: An information processor 100 having: a security module 12 for performing encryption, decryption or authentication; and a general-purpose processing CPU 11 for executing a program stored in a general-purpose storage device 13 includes: a security CPU 31; a failure detection device 35 for detecting the failure of a security CPU; a secure storage device 33 for storing secret information; an access control device 32 for permitting only access from the general-purpose processing CPU to the secure storage device when the security CPU breaks down; and a security-dedicated register 25 for, when acquiring the notification of the failure of the security CPU from the failure detection device, creating an address for performing access to the security storage device. The information processor is characterized to perform access to the secure storage device by using the security-dedicated register, and to perform at least one of encryption, decryption and authentication.

Description

本発明は、データにセキュリティ処理を施す情報処理装置に関する。   The present invention relates to an information processing apparatus that performs security processing on data.

ネットワーク上の通信の安全性を確保するため、送信元の端末が通信内容を暗号化して送信し、送信先の端末が復号する暗号通信が知られている。この暗号通信を車載ネットワークにおいても適用することが検討されている。車載ネットワークでは端末としてのECU(Electronic Control Unit)に、暗号化・復号を専門に行う暗号ハードウェアを搭載
することで暗号通信を行う技術が知られている(例えば、特許文献1参照。)。特許文献1には、メインPEサブシステムで実行されているプログラムの正当性又はプログラムを実行して得られるデータの正当性を判断するHSMサブシステムが搭載されたプロセッサシステムが開示されている。 In order to ensure the safety of communication on a network, encryption communication is known in which a transmission source terminal encrypts and transmits a communication content, and a transmission destination terminal decrypts the communication content. Application of this encryption communication to an in-vehicle network is also being studied. In an in-vehicle network, a technique for performing cryptographic communication by installing cryptographic hardware that specializes in encryption / decryption in an ECU (Electronic Control Unit) as a terminal is known (for example, see Patent Document 1). Patent Document 1 discloses a processor system equipped with an HSM subsystem that determines the validity of a program executed in the main PE subsystem or the validity of data obtained by executing the program.

特開2013−008145号公報JP 2013-008145 A

しかしながら、特許文献1のように暗号ハードウェアが搭載された装置では、暗号ハードウェアが故障した場合に暗号通信が困難になるという問題がある。すなわち、暗号通信では、暗号ハードウェア内に暗号鍵などを記憶することでセキュリティを高めているため、暗号ハードウェアが故障した場合、暗号通信が困難になる。車載ネットワークでは、ECUの暗号ハードウェアが故障しても通信結果を利用した制御や処理を継続することが要求される。   However, an apparatus equipped with cryptographic hardware as in Patent Document 1 has a problem that cryptographic communication becomes difficult when the cryptographic hardware fails. That is, in encryption communication, security is enhanced by storing an encryption key or the like in encryption hardware, and therefore encryption communication becomes difficult if the encryption hardware breaks down. In the in-vehicle network, it is required to continue control and processing using the communication result even if the encryption hardware of the ECU fails.

暗号ハードウェアが故障した場合に通信を継続するフェールセーフ技術として、暗号ハードウェアを冗長化(二重化)することが考えられる。しかし、ハードウェアを冗長化することはコスト増をもたらしてしまう。   As a fail-safe technique for continuing communication when cryptographic hardware fails, it is conceivable to make the cryptographic hardware redundant (redundant). However, making the hardware redundant increases the cost.

本発明は、上記課題に鑑み、コスト増を抑制して暗号ハードウェアが故障した場合でも暗号通信が可能な情報処理装置を提供することを目的とする。   In view of the above problems, an object of the present invention is to provide an information processing apparatus capable of performing cryptographic communication even when cryptographic hardware breaks down while suppressing an increase in cost.

本発明は、暗号化、復号又は認証を行うセキュリティモジュールと、汎用レジスタでアクセスすることで汎用記憶装置に記憶されたプログラムを実行する汎用処理CPUと、を有する情報処理装置であって、前記セキュリティモジュールは、前記汎用処理CPUからの要求に応じてセキュリティ処理を行うセキュリティCPUと、前記セキュリティCPUの故障を検出する故障検出装置と、秘匿情報が記憶されたセキュア記憶装置と、前記セキュリティCPUの故障時は、前記汎用処理CPUからの前記セキュア記憶装置へのアクセスを許可するアクセス制御装置と、を有し、前記汎用処理CPUは、前記汎用記憶装置へのアクセスが制限され、かつ、前記セキュア記憶装置へアクセスするためのアドレス情報が記憶されたセキュリティ専用レジスタと、前記故障検出装置から前記セキュリティCPUの故障の通知を取得した場合、前記汎用処理CPUが使用するレジスタを前記汎用レジスタから前記セキュリティ専用レジスタへ切り替える切替装置と、を有し、前記故障検出装置から前記セキュリティCPUの故障の通知を取得した場合、前記セキュリティ専用レジスタを用いて前記セキュア記憶装置へアクセスし、暗号化、復号又は認証の少なくとも1つを行う、ことを特徴とする。   The present invention is an information processing apparatus comprising: a security module that performs encryption, decryption, or authentication; and a general-purpose processing CPU that executes a program stored in a general-purpose storage device by accessing with a general-purpose register. The module includes a security CPU that performs security processing in response to a request from the general-purpose processing CPU, a failure detection device that detects a failure of the security CPU, a secure storage device that stores confidential information, and a failure of the security CPU. An access control device that permits access from the general-purpose processing CPU to the secure storage device, wherein the general-purpose processing CPU is restricted in access to the general-purpose storage device, and the secure storage Dedicated security for storing address information for accessing the device And a switching device that switches a register used by the general-purpose processing CPU from the general-purpose register to the security-dedicated register when a notification of a failure of the security CPU is obtained from the failure detection device. When a notification of a failure of the security CPU is acquired from a device, the secure storage device is accessed using the security dedicated register, and at least one of encryption, decryption, or authentication is performed.

コスト増を抑制して暗号ハードウェアが故障した場合でも暗号通信が可能な情報処理装置を提供することができる。   It is possible to provide an information processing apparatus capable of performing cryptographic communication even when the cryptographic hardware breaks down while suppressing an increase in cost.

本実施形態のECUの概略的な構成図の一例である。It is an example of the schematic block diagram of ECU of this embodiment. 従来のECUの概略構成図の一例である。It is an example of the schematic block diagram of conventional ECU. 故障監視装置の動作手順を示すフローチャート図の一例である。It is an example of the flowchart figure which shows the operation | movement procedure of a failure monitoring apparatus. 汎用処理CPUの動作手順を示すフローチャート図の一例である。It is an example of the flowchart figure which shows the operation | movement procedure of general purpose processing CPU. アクセス制御装置の動作手順を示すフローチャート図の一例である。It is an example of the flowchart figure which shows the operation | movement procedure of an access control apparatus.

以下、本発明を実施するための形態について図面を参照しながら説明する。   Hereinafter, embodiments for carrying out the present invention will be described with reference to the drawings.

〔本実施形態のECUの特徴の概略〕
図1は本実施形態のECUの概略的な構成図の一例を示す。始めに、本実施形態のECU100の概略的な特徴について説明する。
1.ECU100は下記の新しい構成を有している。 [Outline of features of ECU of this embodiment]
FIG. 1 shows an example of a schematic configuration diagram of an ECU according to the present embodiment. First, schematic features of the ECU 100 of the present embodiment will be described.
1. The ECU 100 has the following new configuration.

1−1:故障監視装置
1−2:アクセス制御装置(従来からあるが新しい機能を有する)
1−3:レジスタ切り替え制御装置とセキュリティ処理専用レジスタ
2.そしてECU100は以下のように動作する
2−1:故障監視装置35がセキュリティ処理CPU31の故障を検知して、汎用処理CPU11に通知する
2−2:セキュリティ処理CPU31が故障すると、汎用処理CPU11は、セキュリティ処理専用レジスタ25を使用する。セキュリティ処理専用レジスタ25は、暗号ハードウェア12のセキュア記憶装置33にアクセスするためのレジスタである。汎用処理CPU11は、セキュリティ処理専用レジスタ25を使用した場合、セキュア記憶装置33の暗号鍵などを用いてセキュリティ処理を行うことができる一方、汎用記憶装置13にアクセスできなくなる。 1-1: Fault monitoring device 1-2: Access control device (conventional but with new functions)
1-3: Register switching control device and security processing dedicated register The ECU 100 operates as follows: 2-1: The failure monitoring device 35 detects a failure of the security processing CPU 31 and notifies the general-purpose processing CPU 11 2-2: If the security processing CPU 31 fails, the general-purpose processing CPU 11 The security processing dedicated register 25 is used. The security processing dedicated register 25 is a register for accessing the secure storage device 33 of the cryptographic hardware 12. When the general-purpose processing CPU 11 uses the security processing-dedicated register 25, the general-purpose processing CPU 11 can perform security processing using the encryption key of the secure storage device 33, but cannot access the general-purpose storage device 13.

したがって、本実施形態のECU100は、暗号ハードウェア12が故障しても、汎用処理CPU11が暗号処理を行うので暗号通信を継続することが可能である。暗号ハードウェア12を冗長化する必要がないのでコスト増を抑制できる。また、汎用処理CPU11は汎用記憶装置13にアクセスできないので、セキュア記憶装置33の暗号鍵などを汎用記憶装置13に書き込んだりできず、汎用処理CPU11が悪意のあるアプリケーションを実行してもセキュリティを維持できる。   Therefore, even if the cryptographic hardware 12 breaks down, the ECU 100 according to the present embodiment can continue the cryptographic communication because the general-purpose processing CPU 11 performs the cryptographic processing. Since it is not necessary to make the cryptographic hardware 12 redundant, an increase in cost can be suppressed. Since the general-purpose processing CPU 11 cannot access the general-purpose storage device 13, the encryption key of the secure storage device 33 cannot be written to the general-purpose storage device 13, and security is maintained even if the general-purpose processing CPU 11 executes a malicious application. it can.

〔構成例〕
図2は、比較のために図示した従来のECU100の概略構成図の一例である。システムバス17に接続された汎用処理CPU11、暗号ハードウェア(HSM:Hardware Security Module)12、汎用記憶装置13、及び、周辺バスブリッジ14を有している。周辺バスブリッジ14にはI/O15、Timer16などが接続されている。図示する構成は、本実施形態で説明されるECU100の主要部であり、図示するほかにECUの汎用的な構成を有している。 [Configuration example]
FIG. 2 is an example of a schematic configuration diagram of a conventional ECU 100 illustrated for comparison. A general-purpose processing CPU 11 connected to the system bus 17, a cryptographic hardware (HSM: Hardware Security Module) 12, a general-purpose storage device 13, and a peripheral bus bridge 14 are included. The peripheral bus bridge 14 is connected to an I / O 15 and a Timer 16. The illustrated configuration is a main part of the ECU 100 described in the present embodiment, and has a general-purpose configuration of the ECU in addition to the illustrated configuration.

なお、ECU100は車載される情報処理装置の通称で、主にマイコン、電源ユニット、ワイヤーハーネスを接続するためのインタフェースなどを有している。本実施形態ではマイコンとECU100を同一視してもよい。ECU100の種類は多種多様であり、例えば、エンジンECU、ブレーキECU、ボディECU、パワステECU、ナビゲーションECU(AV・情報処理ECU)、HV−ECU、ゲートウェイECU等が知られている。本実施形態のECUは暗号ハードウェア12を有していればよく、どのようなECUであってもよい。   The ECU 100 is a common name for an on-board information processing apparatus, and mainly includes an interface for connecting a microcomputer, a power supply unit, a wire harness, and the like. In the present embodiment, the microcomputer and the ECU 100 may be regarded as the same. The types of the ECU 100 are various, and for example, an engine ECU, a brake ECU, a body ECU, a power steering ECU, a navigation ECU (AV / information processing ECU), an HV-ECU, a gateway ECU, and the like are known. The ECU of the present embodiment only needs to have the cryptographic hardware 12 and may be any ECU.

ECU100は、図示する構成の他、他のECUと通信するための通信装置を備えている。通信装置には、例えばCANプロトコルに基づき通信するもの、FrexLayプロトコルに基づき通信するもの、イーサネット(登録商標)に基づき通信するもの、LIN(Local Interconnect Network)プロトコルに基づき通信するもの、などがある。   ECU 100 includes a communication device for communicating with other ECUs in addition to the illustrated configuration. Examples of the communication device include those that communicate based on the CAN protocol, those that communicate based on the FlexRay protocol, those that communicate based on the Ethernet (registered trademark), and devices that communicate based on the LIN (Local Interconnect Network) protocol.

本実施形態では、ECU間で通信されるデータを暗号ハードウェア12が暗号化し、また、復号することができる。また、暗号ハードウェア12は識別情報やパスワードの組が一致するか否かという認証処理に利用することもできる。これらをまとめてセキュリティ処理という場合がある。   In this embodiment, the encryption hardware 12 can encrypt and decrypt data communicated between ECUs. The cryptographic hardware 12 can also be used for authentication processing for determining whether or not the set of identification information and password matches. These may be collectively referred to as security processing.

汎用処理CPU11は、アプリケーションを実行するCPUである。アプリケーションはECU100に固有の又は特徴的な制御を行うプログラムで、暗号化・復号に関係しないほぼ全てのプログラム(OSやデバイスドライバを除く)が相当する。例えば、エンジンECUであればエンジンを制御するアプリケーションであり、ブレーキECUであればブレーキアクチュエータを制御するアプリケーションである。   The general-purpose processing CPU 11 is a CPU that executes an application. The application is a program that performs control peculiar or characteristic to the ECU 100, and corresponds to almost all programs (except OS and device drivers) that are not related to encryption / decryption. For example, an engine ECU is an application for controlling an engine, and a brake ECU is an application for controlling a brake actuator.

汎用処理CPU11は、通常処理用レジスタ21、演算実行部22、及び、バス制御部23を有している。CPUとしての公知の機能を有していればよく、これらの機能の他に公知の機能を有する。通常処理用レジスタ21は、例えば汎用記憶装置13の先頭アドレスを記憶するレジスタ、演算結果を格納するレジスタ、次のアクセス先のアドレスを記憶するレジスタなどである。   The general-purpose processing CPU 11 includes a normal processing register 21, an operation execution unit 22, and a bus control unit 23. What is necessary is just to have the well-known function as CPU, and it has a well-known function besides these functions. The normal processing register 21 is, for example, a register that stores the start address of the general-purpose storage device 13, a register that stores an operation result, a register that stores an address of the next access destination, or the like.

演算実行部22は、汎用記憶装置13に記憶された命令を読み出して実行し、演算結果に応じた処理を行う。バス制御部23は、汎用処理CPU11、汎用記憶装置13、周辺バスブリッジ14、及び、暗号ハードウェア12によるシステムバス17の使用要求を調停する。使用権が与えられた汎用処理CPU11は、アドレスをシステムバス17に出力し、汎用記憶装置13から命令を読み出したり、データを書き込んだりする。また、使用権が与えられた汎用処理CPU11は、暗号ハードウェア12に暗号化又は復号を要求して、暗号化されたデータや復号されたデータを取得する。また、認証処理を要求して認証結果を取得する。   The arithmetic execution unit 22 reads out and executes an instruction stored in the general-purpose storage device 13 and performs processing according to the arithmetic result. The bus control unit 23 arbitrates requests for using the system bus 17 by the general-purpose processing CPU 11, the general-purpose storage device 13, the peripheral bus bridge 14, and the cryptographic hardware 12. The general-purpose processing CPU 11 to which the right to use is given outputs an address to the system bus 17, reads an instruction from the general-purpose storage device 13, and writes data. Further, the general-purpose processing CPU 11 to which the usage right is given requests the encryption hardware 12 to perform encryption or decryption, and obtains encrypted data or decrypted data. Also, an authentication process is requested and an authentication result is acquired.

汎用記憶装置13は、アプリケーションを記憶する記憶装置である。汎用記憶装置13は、プログラムがいったんRAMなどの揮発性メモリに転送される仕様のマイコンの場合は揮発性メモリである。フラッシュメモリなどの不揮発性メモリから直接命令が実行される仕様のマイコンの場合は、不揮発性メモリである。   The general-purpose storage device 13 is a storage device that stores applications. The general-purpose storage device 13 is a volatile memory in the case of a microcomputer having a specification in which a program is once transferred to a volatile memory such as a RAM. In the case of a microcomputer having a specification in which instructions are directly executed from a non-volatile memory such as a flash memory, it is a non-volatile memory.

周辺バスブリッジ14は、周辺バス18とシステムバス17との周波数の違いを吸収して、汎用処理CPU11のI/O15、Timer16へのアクセス要求に応じて、これらにアクセスする。また、I/O15、Timer16からのアクセス要求に応じて汎用処理CPU11に割り込みするなどの処理を行う。   The peripheral bus bridge 14 absorbs the difference in frequency between the peripheral bus 18 and the system bus 17 and accesses them in response to an access request to the I / O 15 and Timer 16 of the general-purpose processing CPU 11. Also, processing such as interrupting the general-purpose processing CPU 11 is performed in response to an access request from the I / O 15 and Timer 16.

なお、I/O15は、例えばSPI、UARTなどのシリアルインタフェースである。Timer16は設定された時間を測定する。   The I / O 15 is a serial interface such as SPI or UART. The Timer 16 measures the set time.

暗号ハードウェア12は、HSM内バス36に接続されたセキュリティ処理CPU31、アクセス制御装置32、セキュア記憶装置33、及び、暗号処理装置34を有している。セキュア記憶装置33は、セキュリティ処理CPU31が実行するプログラム、及び、暗号鍵などの秘匿情報が記憶された不揮発性メモリである。   The cryptographic hardware 12 includes a security processing CPU 31, an access control device 32, a secure storage device 33, and a cryptographic processing device 34 connected to the HSM internal bus 36. The secure storage device 33 is a non-volatile memory that stores programs executed by the security processing CPU 31 and confidential information such as encryption keys.

セキュリティ処理CPU31は、セキュア記憶装置33に記憶されたプログラムを実行して、暗号処理装置34に暗号化、復号、又は、認証などを要求する。暗号処理装置34は、主に秘密鍵を使用した暗号化・復号を行う。公開鍵を使用してもよい。また、暗号アルゴリズムはどのようなものでもよいが、例えばDES、IDEA、RC2/RC4、MULTI2、Camellia、MISTY1などがある。セキュリティ処理CPU31が、暗号アルゴリズムを選択可能であってもよい。   The security processing CPU 31 executes a program stored in the secure storage device 33 and requests the encryption processing device 34 to perform encryption, decryption, authentication, or the like. The cryptographic processing device 34 performs encryption / decryption mainly using a secret key. A public key may be used. Also, any encryption algorithm may be used, for example, DES, IDEA, RC2 / RC4, MULTI2, Camellia, MISTY1, and the like. The security processing CPU 31 may be able to select an encryption algorithm.

アクセス制御装置32は、暗号ハードウェア12への外部からのアクセスをセキュリティ処理CPU31にのみ通知する。すなわち、外部からはセキュア記憶装置33や暗号処理装置34にアクセスできない。これにより、悪意のあるアプリケーションが暗号鍵を読み出したり、暗号アルゴリズムを解読することを防止している。セキュリティ処理CPU31はセキュア記憶装置33のプログラムしか実行しないので、暗号鍵を外部に出力するなどのおそれはない。   The access control device 32 notifies only the security processing CPU 31 of external access to the cryptographic hardware 12. That is, the secure storage device 33 and the cryptographic processing device 34 cannot be accessed from the outside. This prevents a malicious application from reading the encryption key or decrypting the encryption algorithm. Since the security processing CPU 31 executes only the program of the secure storage device 33, there is no fear of outputting the encryption key to the outside.

続いて、図1を用いて、新たな構成である故障監視装置35、アクセス制御装置32、及び、レジスタ切り替え制御装置24とセキュリティ処理専用レジスタ25について説明する。   Next, the failure monitoring device 35, the access control device 32, the register switching control device 24, and the security processing dedicated register 25, which are new configurations, will be described with reference to FIG.

故障監視装置35は、セキュリティ処理CPU31が故障したことを検知して、アクセス制御装置32と汎用処理CPU11に通知する。故障監視装置35は、例えば、ウォッチドッグタイマーのように常に時間を計測し、オーバーフローする前にセキュリティ処理CPU31がリセットしたか否かに基づきセキュリティ処理CPU31が故障したことを検知する。この他、セキュリティ処理CPU31に故障検知用のプログラムを実行させ、予め保持している値と一致するか否かにより故障を検知してもよい。   The failure monitoring device 35 detects that the security processing CPU 31 has failed and notifies the access control device 32 and the general-purpose processing CPU 11. The failure monitoring device 35 always measures time like a watchdog timer, for example, and detects that the security processing CPU 31 has failed based on whether the security processing CPU 31 has been reset before overflowing. In addition, the security processing CPU 31 may execute a failure detection program to detect a failure based on whether or not the value matches a value stored in advance.

アクセス制御装置32は従来からあるが、本実施形態では機能が追加されている。アクセス制御装置32は、故障監視装置35から故障通知を受信すると、アクセス制御装置32を通常モードから暗号装置故障モードに移行させる。暗号装置故障モードでは、アクセス制御装置32は、汎用処理CPU11によるセキュア記憶装置33へのアクセスを許可する。暗号装置故障モードでは、汎用処理CPU11はセキュリティ処理専用レジスタ25を使用するので、セキュア記憶装置33へアクセスできるようになる。   Although the access control device 32 has been conventionally used, functions are added in this embodiment. When receiving the failure notification from the failure monitoring device 35, the access control device 32 shifts the access control device 32 from the normal mode to the encryption device failure mode. In the encryption device failure mode, the access control device 32 permits the general-purpose processing CPU 11 to access the secure storage device 33. In the encryption device failure mode, the general-purpose processing CPU 11 uses the security processing dedicated register 25, so that the secure storage device 33 can be accessed.

セキュア記憶装置33にアクセスした汎用処理CPU11は、セキュア記憶装置33のプログラムを実行して暗号化・復号を直接行うか、暗号処理装置34にアクセスすることで暗号化・復号を行うことが可能になる。   The general-purpose processing CPU 11 that has accessed the secure storage device 33 can execute encryption / decryption directly by executing the program of the secure storage device 33, or can perform encryption / decryption by accessing the encryption processing device 34. Become.

レジスタ切り替え制御装置24は、演算実行部22が使用するレジスタを通常処理用レジスタ21からセキュリティ処理専用レジスタ25に(又はその逆に)切り替える。すなわち、暗号ハードウェア12から故障検知を取得した汎用処理CPU11は、汎用処理CPU11の動作モードを通常モードから暗号装置故障モードに移行する。これにより、レジスタ切り替え制御装置24は、演算実行部22が使用するレジスタを通常処理用レジスタ21からセキュリティ処理専用レジスタ25に切り替える。   The register switching control device 24 switches the register used by the arithmetic execution unit 22 from the normal processing register 21 to the security processing dedicated register 25 (or vice versa). That is, the general-purpose processing CPU 11 that has acquired the failure detection from the cryptographic hardware 12 shifts the operation mode of the general-purpose processing CPU 11 from the normal mode to the cryptographic device failure mode. Thereby, the register switching control device 24 switches the register used by the arithmetic execution unit 22 from the normal processing register 21 to the security processing dedicated register 25.

演算実行部22が使用するレジスタがセキュリティ処理専用レジスタ25になることで、汎用処理CPU11はセキュア記憶装置33へのアクセスが可能になる。セキュリティ処理専用レジスタ25には、セキュア記憶装置33にアクセスするための特殊なアドレスを生成させる値が記憶されている。例えば、セキュリティ処理専用レジスタ25には汎用記憶装置13の終了アドレスよりも大きな値が記憶されている。汎用処理CPU11がセキュリティ処理専用レジスタ25を使用して生成するアドレスは、汎用記憶装置13のアドレス範囲に含まれないため、暗号装置故障モードでは、汎用処理CPU11は汎用記憶装置13にアクセスすることができない。   Since the register used by the operation execution unit 22 becomes the security processing dedicated register 25, the general-purpose processing CPU 11 can access the secure storage device 33. The security processing dedicated register 25 stores a value for generating a special address for accessing the secure storage device 33. For example, the security processing dedicated register 25 stores a value larger than the end address of the general-purpose storage device 13. Since the address generated by the general-purpose processing CPU 11 using the security processing-dedicated register 25 is not included in the address range of the general-purpose storage device 13, the general-purpose processing CPU 11 can access the general-purpose storage device 13 in the cryptographic device failure mode. Can not.

汎用処理CPU11が汎用記憶装置13にアクセスすることができないことで、セキュア記憶装置33の暗号鍵やプログラムを、汎用処理CPU11が汎用記憶装置13に書き出すことを防止できるので、セキュア記憶装置33の内部情報が漏洩することを防止できる。   Since the general-purpose processing CPU 11 cannot access the general-purpose storage device 13, it is possible to prevent the general-purpose processing CPU 11 from writing the encryption key or program of the secure storage device 33 to the general-purpose storage device 13. Information can be prevented from leaking.

以上のような構成によれば、暗号ハードウェア12を二重化しなくても、暗号ハードウェア12が故障した場合に、ECU100はセキュリティを維持した処理が可能である。   According to the configuration as described above, even if the cryptographic hardware 12 is not duplicated, if the cryptographic hardware 12 fails, the ECU 100 can perform processing that maintains security.

〔動作手順〕
図3〜5を用いて、暗号ハードウェア12が故障した際のECU100の動作手順について説明する。図3は、故障監視装置35の動作手順を示すフローチャート図の一例である。
故障監視装置35は、セキュリティ処理CPU31を監視しており故障したか否かを判定する(S10)。車両がIG−ONの場合、監視は周期的に行われることが好ましい。また、暗号ハードウェア12の負荷が高い場合は監視を行わず、負荷が低下したタイミングで行ってもよい。さらに、暗号化・復号に失敗したことから、故障を検知してもよい。車両がIG−OFFの場合、ECU100が定期的にスリープ状態から起動するのであればそのタイミングで監視する。IG−OFFの間、ECU100が起動しないのであれば、IG−ONの直後に監視する。 [Operation procedure]
The operation procedure of the ECU 100 when the cryptographic hardware 12 fails will be described with reference to FIGS. FIG. 3 is an example of a flowchart showing an operation procedure of the failure monitoring device 35.
The failure monitoring device 35 monitors the security processing CPU 31 and determines whether or not a failure has occurred (S10). When the vehicle is IG-ON, monitoring is preferably performed periodically. Further, when the load on the cryptographic hardware 12 is high, the monitoring may not be performed, and may be performed when the load is reduced. Furthermore, since the encryption / decryption has failed, a failure may be detected. When the vehicle is IG-OFF, if the ECU 100 is periodically activated from the sleep state, monitoring is performed at that timing. If ECU100 does not start during IG-OFF, it will monitor immediately after IG-ON.

セキュリティ処理CPU31が故障していない場合(S10のNo)、故障監視装置35は何もしない。   If the security processing CPU 31 has not failed (No in S10), the failure monitoring device 35 does nothing.

セキュリティ処理CPU31が故障していた場合(S10のYes)、故障監視装置35はアクセス制御装置32に対しセキュリティ処理CPU31の故障を通知する(S20)。   When the security processing CPU 31 has failed (Yes in S10), the failure monitoring device 35 notifies the access control device 32 of the failure of the security processing CPU 31 (S20).

アクセス制御装置32は、汎用処理CPU11に対しセキュリティ処理CPU31の故障を通知する(S30)。この故障の通知は例えば割り込みで行う。割り込みは暗号化・復号処理が必要な通信と同程度以上の優先度を持っており、暗号化・復号処理が必要な通信の前に割り込みが受け付けられるようになっている。これにより、汎用処理CPU11は故障の通知を確実に受信できる。   The access control device 32 notifies the general-purpose processing CPU 11 of the failure of the security processing CPU 31 (S30). Notification of this failure is performed by interruption, for example. The interrupt has the same or higher priority as the communication that requires the encryption / decryption process, and the interrupt is accepted before the communication that requires the encryption / decryption process. As a result, the general-purpose processing CPU 11 can reliably receive a failure notification.

図4は汎用処理CPU11の動作手順を示すフローチャート図の一例である。   FIG. 4 is an example of a flowchart showing an operation procedure of the general-purpose processing CPU 11.

汎用処理CPU11は暗号ハードウェア12のセキュリティ処理CPU31の故障通知を受信すると動作モードを変える必要があるため、故障通知を受信したか否かを監視している(S110)。   Since the general-purpose processing CPU 11 needs to change the operation mode upon receiving the failure notification of the security processing CPU 31 of the cryptographic hardware 12, it monitors whether or not the failure notification has been received (S110).

故障通知を受信していない場合(S110のNo)、処理はステップS130に進む。   If no failure notification has been received (No in S110), the process proceeds to step S130.

故障通知を受信した場合(S110のYes)、演算実行部22は故障通知という割り込み内容に対応したプログラム(割込みハンドラ)を実行して汎用処理CPU11の動作モードを暗号装置故障モードに移行する(S120)。   When the failure notification is received (Yes in S110), the operation execution unit 22 executes a program (interrupt handler) corresponding to the interrupt content called failure notification and shifts the operation mode of the general-purpose processing CPU 11 to the encryption device failure mode (S120). ).

次いで、演算実行部22はセキュリティ処理要求を受信したか否かを判定する(S130)。セキュリティ処理要求は、他のECU100から送信されたデータが暗号化されているため復号する必要があるデータを受信することを言う。データが暗号化されているか否かは、例えばCANプロトコルのCAN IDに基づき判断される。または、データの先頭に配置されている、暗号化されていることを示すフラグやIDに基づき判断されてもよい。その他の通信プロトコルの場合も、メッセージのIDや送信元のアドレス、又は、データなどに基づき判断される。   Next, the operation execution unit 22 determines whether a security processing request has been received (S130). The security processing request refers to receiving data that needs to be decrypted because data transmitted from another ECU 100 is encrypted. Whether or not the data is encrypted is determined based on the CAN ID of the CAN protocol, for example. Alternatively, the determination may be made based on a flag or ID indicating that the data is encrypted, which is arranged at the head of the data. In the case of other communication protocols, the determination is made based on the message ID, the address of the transmission source, or data.

なお、暗号ハードウェア12が故障したECU100がデータを送信する場合も、データを暗号化することが好ましい。演算実行部22がデータを暗号化して車載ネットワークで送信する場合、暗号ハードウェア12を使用して暗号化する。なお、暗号化して送信されるデータは、ECU毎に固定である。   Even when the ECU 100 in which the cryptographic hardware 12 has failed transmits data, it is preferable to encrypt the data. When the arithmetic execution unit 22 encrypts data and transmits it through the in-vehicle network, the operation is performed using the encryption hardware 12. Note that the data transmitted after encryption is fixed for each ECU.

セキュリティ処理要求を受信した場合(S130のYes)、汎用処理CPU11は動作モードが暗号装置故障モードか否かを判定する(S140)。この判定は、例えば暗号装置故障モードでONとなるフラグを参照するなどして行われる。   When the security processing request is received (Yes in S130), the general-purpose processing CPU 11 determines whether or not the operation mode is the cryptographic device failure mode (S140). This determination is performed, for example, by referring to a flag that is turned ON in the encryption device failure mode.

動作モードが暗号装置故障モードの場合(S140のYes)、演算実行部22はセキュリティ処理専用レジスタ25を用いてセキュリティ処理CPU31の代替処理を実行する(S150)。すなわち、セキュア記憶装置33にアクセスしてセキュリティ処理CPU31が実行するプログラム、及び、暗号鍵を読み出して、暗号化・復号・認証を行う。   When the operation mode is the encryption device failure mode (Yes in S140), the operation execution unit 22 executes the alternative process of the security process CPU 31 using the security process dedicated register 25 (S150). That is, the secure storage device 33 is accessed, the program executed by the security processing CPU 31 and the encryption key are read, and encryption / decryption / authentication is performed.

汎用処理CPU11が暗号化・復号・認証そのものを行うか、暗号ハードウェア12の暗号処理装置34にアクセスして暗号化・復号を行うかは、汎用処理CPU11の性能や処理負荷、及び、セキュア記憶装置33の記憶容量に応じて設計される。すなわち、汎用処理CPU11の性能が高く処理負荷がそれほど高くなく、セキュア記憶装置33の記憶容量が暗号化・復号・認証のプログラムを記憶するための十分の記憶容量を有している場合、汎用処理CPU11が暗号化・復号・認証そのものを行う。この場合、汎用処理CPU11は暗号処理装置34にアクセスする必要がない。本実施形態ではこの形態を説明するが、汎用処理CPU11が暗号処理装置34にアクセスして暗号化・復号・認証を行ってもよい。   Whether the general-purpose processing CPU 11 performs encryption / decryption / authentication itself or accesses the cryptographic processing device 34 of the cryptographic hardware 12 to perform encryption / decryption depends on the performance and processing load of the general-purpose processing CPU 11 and secure storage. It is designed according to the storage capacity of the device 33. That is, when the performance of the general-purpose processing CPU 11 is high and the processing load is not so high, and the storage capacity of the secure storage device 33 has a sufficient storage capacity for storing the encryption / decryption / authentication program, the general-purpose processing The CPU 11 performs encryption / decryption / authentication itself. In this case, the general-purpose processing CPU 11 does not need to access the cryptographic processing device 34. Although this embodiment will be described in the present embodiment, the general-purpose processing CPU 11 may access the cryptographic processing device 34 to perform encryption / decryption / authentication.

なお、汎用処理CPU11がセキュリティ処理要求を受信しない場合は、汎用処理CPU11が汎用記憶装置13にアクセスできることが好ましい。このため、ステップS130でセキュリティ処理要求を受信したか否かに応じて、汎用処理CPU11の動作モードを暗号装置故障モードに移行してもよい。こうすることで、セキュリティ処理要求を受信しなかった場合は、汎用処理CPU11が汎用記憶装置13にアクセスして通常の処理を実行できる。   When the general-purpose processing CPU 11 does not receive the security processing request, it is preferable that the general-purpose processing CPU 11 can access the general-purpose storage device 13. For this reason, the operation mode of the general-purpose processing CPU 11 may be shifted to the encryption device failure mode depending on whether or not a security processing request is received in step S130. In this way, when the security processing request is not received, the general-purpose processing CPU 11 can access the general-purpose storage device 13 and execute normal processing.

また、汎用処理CPU11の動作モードを暗号装置故障モードに移行した場合、セキュリティ処理が終了したら、動作モードを通常モードに戻すことで、汎用記憶装置13にアクセスして通常の処理が可能になる。   Further, when the operation mode of the general-purpose processing CPU 11 is shifted to the encryption device failure mode, when the security processing is completed, the operation mode is returned to the normal mode, so that the general-purpose storage device 13 can be accessed to perform normal processing.

図5は、アクセス制御装置32の動作手順を示すフローチャート図の一例である。
アクセス制御装置32は、故障監視装置35から故障通知を受信したか否かを判定する(S210)。 FIG. 5 is an example of a flowchart showing an operation procedure of the access control device 32.
The access control device 32 determines whether a failure notification has been received from the failure monitoring device 35 (S210).

故障通知を受信した場合(S210のYes)、アクセス制御装置32はアクセス制御装置32の動作モードを暗号装置故障モードに移行する(S220)。   When the failure notification is received (Yes in S210), the access control device 32 shifts the operation mode of the access control device 32 to the encryption device failure mode (S220).

アクセス制御装置32は、外部からセキュア記憶装置33へのアクセスがあったか否かを判定する(S230)。上記のように、アクセス制御装置32は、暗号装置故障モードの汎用処理CPU11以外からセキュア記憶装置33へのアクセスを禁止する。セキュア記憶装置33へのアクセスか否かは、アクセス要求のアドレスから判断される。   The access control device 32 determines whether or not there is an access to the secure storage device 33 from the outside (S230). As described above, the access control device 32 prohibits access to the secure storage device 33 from other than the general-purpose processing CPU 11 in the cryptographic device failure mode. Whether or not the access is to the secure storage device 33 is determined from the address of the access request.

外部からセキュア記憶装置33へのアクセスがあった場合(S230のYes)、アクセス制御装置32はアクセス制御装置32の動作モードが暗号装置故障モードか否かを判定する(S240)。暗号装置故障モードでなければ、外部からセキュア記憶装置33へのアクセスを許可すべきでないからである。   When there is an external access to the secure storage device 33 (Yes in S230), the access control device 32 determines whether or not the operation mode of the access control device 32 is the encryption device failure mode (S240). This is because access to the secure storage device 33 from the outside should not be permitted unless the encryption device failure mode is set.

暗号装置故障モードでない場合(S240のNo)、アクセス制御装置32はアクセスを許可しない(S280)。   If it is not the encryption device failure mode (No in S240), the access control device 32 does not permit access (S280).

アクセス制御装置32の動作モードが暗号装置故障モードの場合(S240のYes)、汎用処理CPU11がセキュリティ処理状態か否かを判定する(S250)。汎用処理CPU11がセキュリティ処理を行っていない場合、外部からセキュア記憶装置33へのアクセスを許可すべきでないからである。なお、汎用処理CPU11がセキュリティ処理状態か否かの判定は、例えば、演算実行部22が実行する命令(オペコード)がセキュリティ処理の1つか否かにより判定する。   When the operation mode of the access control device 32 is the encryption device failure mode (Yes in S240), it is determined whether or not the general-purpose processing CPU 11 is in the security processing state (S250). This is because when the general-purpose processing CPU 11 is not performing security processing, access to the secure storage device 33 from the outside should not be permitted. Whether the general-purpose processing CPU 11 is in the security processing state is determined based on, for example, whether or not the instruction (opcode) executed by the calculation execution unit 22 is one of the security processing.

汎用処理CPU11が暗号装置故障モードでない場合(S250のNo)、アクセス制御装置32はアクセスを許可しない(S280)。   When the general-purpose processing CPU 11 is not in the encryption device failure mode (No in S250), the access control device 32 does not permit access (S280).

汎用処理CPU11が暗号装置故障モードの場合(S250のYes)、アクセス制御装置32は外部からのセキュア記憶装置33へのアクセスを許可する(S260)。   When the general-purpose processing CPU 11 is in the encryption device failure mode (Yes in S250), the access control device 32 permits access to the secure storage device 33 from the outside (S260).

一方、ステップS230で、外部からセキュア記憶装置33へのアクセスでない場合(S230のNo)、アクセス制御装置32は外部からのセキュリティ処理CPU31へのアクセスか否かを判定する(S270)。セキュリティ処理CPU31へのアクセスか否かは、アクセス要求のアドレスから判断される。セキュリティ処理CPU31へのアクセスとは、暗号装置故障モードでない汎用処理CPU11が暗号ハードウェア12に暗号化・復号・認証を要求する際に行われる。   On the other hand, if it is determined in step S230 that the secure storage device 33 is not accessed from the outside (No in S230), the access control device 32 determines whether the access is to the security processing CPU 31 from the outside (S270). Whether the access is to the security processing CPU 31 is determined from the address of the access request. Access to the security processing CPU 31 is performed when the general-purpose processing CPU 11 that is not in the encryption device failure mode requests the encryption hardware 12 to perform encryption / decryption / authentication.

したがって、外部からのセキュリティ処理CPU31へのアクセスがある場合(S270のYes)、正常な状態の暗号ハードウェア12の使用要求なので、アクセス制御装置32はアクセスを許可する(S290)。   Therefore, when there is an access to the security processing CPU 31 from the outside (Yes in S270), the access control device 32 permits the access because it is a request for using the cryptographic hardware 12 in a normal state (S290).

外部からのセキュリティ処理CPU31へのアクセスでない場合(S270のNo)、セキュア記憶装置33へのアクセスでもなく、セキュリティ処理CPU31へのアクセスでもないので、アクセス制御装置32はアクセスを許可しない(S280)。   If the access is not to the security processing CPU 31 from the outside (No in S270), the access control device 32 does not permit access (S280) because it is neither an access to the secure storage device 33 nor an access to the security processing CPU 31.

このように、本実施形態のECU100は、汎用処理CPU11が暗号処理を行うので、暗号ハードウェア12を冗長化することなく、暗号通信を継続することが可能である。また、汎用処理CPU11が暗号処理を行っても情報漏洩を抑制できる。   As described above, the ECU 100 according to the present embodiment can continue the encryption communication without making the encryption hardware 12 redundant because the general-purpose processing CPU 11 performs the encryption process. Moreover, information leakage can be suppressed even if the general-purpose processing CPU 11 performs cryptographic processing.

以上、本発明を実施するための最良の形態について実施例を用いて説明したが、本発明はこうした実施例に何等限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々の変形及び置換を加えることができる。   The best mode for carrying out the present invention has been described above with reference to the embodiments. However, the present invention is not limited to these embodiments, and various modifications can be made without departing from the scope of the present invention. And substitutions can be added.

例えば、本実施形態ではECUが車載ネットワークを介して通信する場合のセキュリティ処理について説明したが、ECUが自機の記憶装置にデータを記憶する際にセキュリティ処理を施してもよい。   For example, in the present embodiment, the security process when the ECU communicates via the in-vehicle network has been described. However, the ECU may perform the security process when storing data in the storage device of the ECU.

また、ECU同士の通信でなく、スマートフォンなどの端末同士がネットワークを介して通信するために、スマートフォンなどの端末が本実施形態でECU100として説明された情報処理装置を有していてもよい。   In addition, since terminals such as smartphones communicate via a network instead of communication between ECUs, a terminal such as a smartphone may have the information processing apparatus described as the ECU 100 in the present embodiment.

11 汎用処理CPU
12 暗号ハードウェア
13 汎用記憶装置
25 セキュリティ処理専用レジスタ
31 セキュリティ処理CPU
32 アクセス制御装置
33 セキュア記憶装置
34 暗号処理装置
35 故障監視装置
100 ECU 11 General-purpose processing CPU
12 Cryptographic hardware 13 General-purpose storage device 25 Security processing dedicated register 31 Security processing CPU
32 Access control device 33 Secure storage device 34 Cryptographic processing device 35 Failure monitoring device 100 ECU

Claims (1)

暗号化、復号又は認証を行うセキュリティモジュールと、汎用レジスタでアクセスすることで汎用記憶装置に記憶されたプログラムを実行する汎用処理CPUと、を有する情報処理装置であって、
前記セキュリティモジュールは、
セキュリティ処理を行うセキュリティCPUと、前記セキュリティCPUの故障を検出する故障検出装置と、秘匿情報が記憶されたセキュア記憶装置と、前記セキュリティCPUの故障時は、前記汎用処理CPUからの前記セキュア記憶装置へのアクセスを許可するアクセス制御装置と、を有し、
前記汎用処理CPUは、
前記汎用記憶装置へのアクセスは制限され、前記セキュア記憶装置へのアクセスは可能なアドレス情報が記憶されたセキュリティ専用レジスタと、
前記故障検出装置から前記セキュリティCPUの故障の通知を取得した場合、前記汎用処理CPUが使用するレジスタを前記汎用レジスタから前記セキュリティ専用レジスタへ切り替える切替装置と、を有し、
前記故障検出装置から前記セキュリティCPUの故障の通知を取得した場合、前記セキュリティ専用レジスタを用いて前記セキュア記憶装置へアクセスし、暗号化、復号又は認証の少なくとも1つを行う、ことを特徴とする情報処理装置。 An information processing apparatus comprising: a security module that performs encryption, decryption, or authentication; and a general-purpose processing CPU that executes a program stored in a general-purpose storage device by accessing with a general-purpose register;
The security module is
A security CPU that performs security processing; a failure detection device that detects a failure of the security CPU; a secure storage device that stores confidential information; and the secure storage device from the general-purpose processing CPU when the security CPU fails An access control device that permits access to
The general-purpose processing CPU is
Access to the general-purpose storage device is restricted, and access to the secure storage device is a security dedicated register in which possible address information is stored;
A switching device that switches the register used by the general-purpose processing CPU from the general-purpose register to the security-dedicated register when the notification of the failure of the security CPU is obtained from the failure detection device;
When a notification of a failure of the security CPU is obtained from the failure detection device, the secure storage device is accessed using the security dedicated register, and at least one of encryption, decryption, or authentication is performed. Information processing device.
JP2013261733A 2013-12-18 2013-12-18 Information processing device Expired - Fee Related JP6067548B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013261733A JP6067548B2 (en) 2013-12-18 2013-12-18 Information processing device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013261733A JP6067548B2 (en) 2013-12-18 2013-12-18 Information processing device

Publications (2)

Publication Number Publication Date
JP2015119357A true JP2015119357A (en) 2015-06-25
JP6067548B2 JP6067548B2 (en) 2017-01-25

Family

ID=53531716

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013261733A Expired - Fee Related JP6067548B2 (en) 2013-12-18 2013-12-18 Information processing device

Country Status (1)

Country Link
JP (1) JP6067548B2 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019047370A (en) * 2017-09-04 2019-03-22 株式会社デンソー Network system
JP2019531646A (en) * 2016-09-23 2019-10-31 アップル インコーポレイテッドApple Inc. Secure communication of network traffic
JP2020067802A (en) * 2018-10-24 2020-04-30 トヨタ自動車株式会社 Control device
WO2022162988A1 (en) * 2021-01-28 2022-08-04 日立Astemo株式会社 Vehicle control device

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS52113584A (en) * 1976-03-19 1977-09-22 Matsushita Electronics Corp Lamp and its production method
JPS55102064A (en) * 1979-01-31 1980-08-04 Toshiba Corp Backup system in composite computer system
JPS6279534A (en) * 1985-10-03 1987-04-11 Japan Electronic Control Syst Co Ltd Cpu back-up circuit of control device for automobile
JPS62115941A (en) * 1985-11-15 1987-05-27 Hitachi Ltd Encipherment processing system
JPH0231240A (en) * 1988-07-20 1990-02-01 Hokuriku Nippon Denki Software Kk Processing system for troubled coprocessor
JP2005293504A (en) * 2004-04-05 2005-10-20 Sony Corp Program, computer and data processing method

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS52113584A (en) * 1976-03-19 1977-09-22 Matsushita Electronics Corp Lamp and its production method
JPS55102064A (en) * 1979-01-31 1980-08-04 Toshiba Corp Backup system in composite computer system
JPS6279534A (en) * 1985-10-03 1987-04-11 Japan Electronic Control Syst Co Ltd Cpu back-up circuit of control device for automobile
JPS62115941A (en) * 1985-11-15 1987-05-27 Hitachi Ltd Encipherment processing system
JPH0231240A (en) * 1988-07-20 1990-02-01 Hokuriku Nippon Denki Software Kk Processing system for troubled coprocessor
JP2005293504A (en) * 2004-04-05 2005-10-20 Sony Corp Program, computer and data processing method

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019531646A (en) * 2016-09-23 2019-10-31 アップル インコーポレイテッドApple Inc. Secure communication of network traffic
AU2017330232B2 (en) * 2016-09-23 2020-09-03 Apple Inc. Secure communication of network traffic
JP7037550B2 (en) 2016-09-23 2022-03-16 アップル インコーポレイテッド Secure communication of network traffic
US11595366B2 (en) 2016-09-23 2023-02-28 Apple Inc. Secure communication of network traffic
JP2019047370A (en) * 2017-09-04 2019-03-22 株式会社デンソー Network system
JP2020067802A (en) * 2018-10-24 2020-04-30 トヨタ自動車株式会社 Control device
JP7196532B2 (en) 2018-10-24 2022-12-27 株式会社デンソー Control device
WO2022162988A1 (en) * 2021-01-28 2022-08-04 日立Astemo株式会社 Vehicle control device

Also Published As

Publication number Publication date
JP6067548B2 (en) 2017-01-25

Similar Documents

Publication Publication Date Title
US7827326B2 (en) Method and apparatus for delegation of secure operating mode access privilege from processor to peripheral
JP6067449B2 (en) Information processing apparatus and information processing program
JP6422059B2 (en) Processing device, in-vehicle terminal device, processing device activation method, and processing device activation program
JP6067548B2 (en) Information processing device
JP2007501477A (en) Method and apparatus for determining access permissions
TWI512529B (en) A multi-security-cpu system
CN107949847B (en) Electronic control unit for vehicle
JP2009521154A (en) Secure system on chip
TW201411405A (en) Protecting secure software in a multi-security-CPU system
JP2005520231A (en) Data processing system and method including access protection to peripheral devices
WO2020029254A1 (en) Soc chip and bus access control method
JP4791250B2 (en) Microcomputer and its software falsification prevention method
JP2023061388A (en) Semiconductor device
US10204228B2 (en) Device and method for safely operating the device
JPWO2020158377A1 (en) Security verification method for electronic control devices and electronic control devices
WO2019193845A1 (en) Electric control unit and electric control system
JP7383589B2 (en) information processing equipment
US20220300612A1 (en) Security processing device
US9218484B2 (en) Control method and information processing apparatus
CN109583196B (en) Key generation method
US20240020386A1 (en) Control apparatus
US20220080989A1 (en) Information processing apparatus, information processing method, and recording medium
GB2592830A (en) Electronic control units for vehicles
CN118041633A (en) Driving assistance system and vehicle
JP2023085958A (en) On-vehicle device, program, and information processing method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160204

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161206

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161221

R151 Written notification of patent or utility model registration

Ref document number: 6067548

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees