JP2017004293A - Security control device, electronic apparatus, security control method, and security control program - Google Patents
Security control device, electronic apparatus, security control method, and security control program Download PDFInfo
- Publication number
- JP2017004293A JP2017004293A JP2015118175A JP2015118175A JP2017004293A JP 2017004293 A JP2017004293 A JP 2017004293A JP 2015118175 A JP2015118175 A JP 2015118175A JP 2015118175 A JP2015118175 A JP 2015118175A JP 2017004293 A JP2017004293 A JP 2017004293A
- Authority
- JP
- Japan
- Prior art keywords
- information
- access
- security
- time lapse
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、セキュリティ制御装置、電子機器、セキュリティ制御方法及びセキュリティ制御プログラムに関する。 The present invention relates to a security control device, an electronic device, a security control method, and a security control program.
近年、インターネット等から様々なアプリケーションをダウンロードし、そのアプリケーションを実行できるような組み込み機器が知られている。この種の機器には、電子マネー、電子チケット、デジタルコンテンツといった機密性を高めなければいけない情報等が含まれることがあり、内外部からの攻撃に対して守る必要がある。 In recent years, an embedded device that can download various applications from the Internet or the like and execute the applications is known. This type of device may contain information such as electronic money, electronic tickets, and digital content that must be kept confidential, and must be protected against attacks from inside and outside.
このような問題に対して、例えば、特許文献1には、MPUと不揮発性メモリとの間でやり取りされるデータの暗号化・復号処理を行うモジュールをMPUと不揮発性メモリとの間に配置する構成が開示されている。
To deal with such a problem, for example, in
しかしながら、特許文献1に記載された情報処理装置は、その装置または当該装置を有する産業用機器がライフサイクルといった時間経過による管理がなされていなかった。ライフサイクルとは、一般的に生産、物流、販売、サービス、回収又は廃棄等の機器が生産されてから廃棄又はリサイクルされるまでの一連のサイクルをいう。
However, the information processing apparatus described in
特許文献1の場合、サービス運用中に悪意あるユーザが、当該組み込み機器のデバッグ機能を利用するなどの手段でMPUバスやローカルバス等を伝送されるデータをモニタすることで、機密情報を不正に取得することが可能となるという問題があった。
In the case of
また、特許文献1の場合、ライフサイクルに基づいた機密情報の管理がなされていないので、ライフサイクルの特定のステージのみで使用される機密情報であっても、いつでもアクセスすることが可能となっていた。
In the case of
本発明はかかる問題を解決することを目的としている。即ち、本発明は、例えば、ライフサイクル等の時間経過情報に基づいて管理されている機密情報へ不正にアクセスできないようにすることができるセキュリティ制御装置を提供することを目的としている。 The present invention aims to solve such problems. That is, an object of the present invention is to provide a security control device capable of preventing unauthorized access to confidential information managed based on time-lapse information such as a life cycle.
上記に記載された課題を解決するために、本発明は、機密情報に基づいてデータの暗号化及び復号の処理を行う暗号処理部を有するセキュリティ制御装置において、前記機密情報が記憶されるセキュリティ情報記憶部と、前記時間経過情報を保持する時間経過情報保持部と、時間経過に伴って変更される時間経過情報の時間経過単位でアクセス要求元毎に設定された前記セキュリティ情報記憶部へのアクセス権に基づいて、前記アクセス要求元からの前記セキュリティ情報記憶部へのアクセス制御を行うアクセス制御部と、を有することを特徴とする。 In order to solve the problems described above, the present invention provides security information in which the confidential information is stored in a security control device having an encryption processing unit that performs encryption and decryption of data based on confidential information. Access to a storage unit, a time lapse information holding unit that holds the time lapse information, and the security information storage unit set for each access request source in a unit of time lapse of time lapse information that is changed as time elapses And an access control unit that controls access from the access request source to the security information storage unit based on the right.
本発明によれば、時間経過情報の時間経過単位毎に設定されたアクセス権に基づいてセキュリティ情報記憶部へのアクセス制御を行うことができるので、時間経過情報に基づいて管理されている機密情報へ不正にアクセスできないようにすることができる。 According to the present invention, since access control to the security information storage unit can be performed based on the access right set for each time lapse unit of the time lapse information, the confidential information managed based on the time lapse information Can be prevented from unauthorized access.
(第1の実施形態)
本発明の一実施形態にかかるセキュリティ制御装置を図1乃至図7を参照して説明する。まず、時間経過情報としてのライフサイクル情報について説明する。図1は、電子機器として組み込み機器のライフサイクルの一例を示す。
(First embodiment)
A security control apparatus according to an embodiment of the present invention will be described with reference to FIGS. First, life cycle information as time lapse information will be described. FIG. 1 shows an example of a life cycle of an embedded device as an electronic device.
組み込み機器等の電子機器のライフサイクル状態(ステージ)には、ユーザが単にその組み込み機器を利用する過程だけでなく、工場で組み込み機器を製造する生産ステージ101、販売するためにトラックなどの輸送手段で運搬する物流ステージ102がある。そして、組み込み機器のライフサイクル状態には、販売店で組み込み機器を販売する販売ステージ103、ユーザが利用している最中に組み込み機器が故障した場合などに修理を行うなどのサービスを提供するサービスステージ104がある。さらに、組み込み機器のライフサイクル状態には、環境保護の観点から組み込み機器を回収し、リサイクルする回収リサイクルステージ105がある。組み込み機器によっては、回収リサイクル過程とともに、またはその代わりに組み込み機器を廃棄する廃棄ステージ106がある。この各ステージは、時間経過情報の時間経過単位となる。
The life cycle state (stage) of an electronic device such as an embedded device is not only a process in which a user uses the embedded device, but also a
図1に示されるライフサイクルは、国や地域などの仕向けによって異なることがあるが、本実施形態では、一例としてこれらの各ステージを通じて組み込み機器を運用することを総称してライフサイクルという。本実施形態では、例えば、環境保護の観点から確実に回収を行いリサイクルすることや、廃棄後に不正な利用をさせないために、正規のルートで(正規のステージを通じて)ライフサイクルが運用されるように制御する。 The life cycle shown in FIG. 1 may vary depending on the destination such as the country or region, but in this embodiment, operating an embedded device through each of these stages is generically referred to as a life cycle. In this embodiment, for example, in order to ensure collection and recycling from the viewpoint of environmental protection, and to prevent unauthorized use after disposal, the life cycle is operated on a regular route (through a regular stage). Control.
次に、組み込み機器の一例として車両に搭載される機器(制御モジュール)を図2に示す。図2の場合は、駆動制御モジュール200、エンジン制御モジュール300、ナビゲーションモジュール400、および車載カメラモジュール500が示されている。そして、これらの制御モジュールは、バス50によって接続されてネットワークを構成する。バス50に使用される規格としては、CAN(Controller Area Network)、LIN(Local Interconnect Network)、イーサネット(登録商標)(Ethernet(登録商標))、FlexRay(登録商標)等が挙げられる。
Next, FIG. 2 shows a device (control module) mounted on the vehicle as an example of the embedded device. In the case of FIG. 2, a
なお、本実施形態では、電子機器として車両に搭載される制御モジュールを一例に説明するが、車両に搭載される制御モジュールに限らないことは言うまでもない。例えば、産業用機器の制御モジュールや、家電機器或いは情報通信機器等に含まれるモジュール、基板、半導体集積回路等であってもよい。勿論組み込み機器に限らず、機密情報を扱う電子機器であればよい。 In the present embodiment, a control module mounted on a vehicle as an electronic device will be described as an example. Needless to say, the control module is not limited to a control module mounted on a vehicle. For example, it may be a control module for industrial equipment, a module, a substrate, a semiconductor integrated circuit, etc. included in home appliances or information communication equipment. Of course, it is not limited to an embedded device, and any electronic device that handles confidential information may be used.
図3に制御モジュールの構成例を示す。以下の説明では、制御モジュールに符号10を付して説明する。制御モジュール10は、図1に示したように、CPU(Central Processing Unit)1と、ROM(Read Only Memory)2と、RAM(Random Access Memory)3と、セキュリティモジュール7と、バス8と、を有している。また、制御モジュール10は、ナビゲーションモジュール400であればGPSモジュール、車載カメラモジュール500であればカメラモジュールといった他の機能モジュールがバス8に接続されている。
FIG. 3 shows a configuration example of the control module. In the following description, the control module is described with
CPU1は、制御モジュール10の全体制御を司り、ROM2に記憶されているプログラムに基づいて動作する。また、CPU1は、RAM3に記憶されている所定のデータをセキュリティモジュール7に暗号化させる要求等も行う。また、CPU1は、セキュリティモジュール7内に保持されているライフサイクル情報を更新(変更)する。
The
ROM2は、CPU1で動作するプログラムやデータ等が記憶されている。RAM3は、CPU1で処理されるデータ等が一時的に記憶される。また、RAM3には、セキュリティモジュール7で暗号化されるデータも一時的に記憶される。
The
本発明の第1の実施形態にかかるセキュリティ制御装置としてのセキュリティモジュール7は、図3に示したように、セキュリティ処理部4と、OTPアクセスコントローラ5と、OTP(One Time Programmable)メモリ6と、を有している。
As shown in FIG. 3, the
暗号処理部としてのセキュリティ処理部4は、CPU1からの要求に基づいてRAM3に記憶されているデータをOTPメモリ6に記憶されている機密情報としての秘密鍵情報に基づいて暗号化及び復号の処理を行う。なお、暗号化のアルゴリズムはDES(Data Encryption Standard)等周知のものを用いればよく特に限定されない。
The
アクセス制御部としてのOTPアクセスコントローラ5は、セキュリティ処理部4やCPU1からの要求に対応して、後述するOTPメモリ6へのアクセス権に基づいてOTPメモリ6に対するリードやライト等のアクセス制御を行う。
The
セキュリティ情報記憶部及び時間経過情報保持部としてのOTPメモリ6は、セキュリティ処理部4で使用される秘密鍵情報やライフサイクル情報が記憶されるメモリである。OTPメモリ6は、各ビットの情報を0から1へ(或いは1から0へ)一度のみ書き換えることができる特性を持った周知のメモリである。OTPメモリ6は、前記した特性を持つため、秘密鍵情報のような一度だけ書き込むことが許されるような機密情報が記憶されるメモリに適している。また、ライフサイクル情報のような時間が経過するごとにステージが一方向に変化する(時間経過方向のみに更新することが可能な)情報を管理するために用いるメモリにも適している。なお、本実施形態では、OTPメモリ6がセキュリティ情報記憶部及び時間経過情報保持部の機能を兼ねる構成としているが、2つのメモリに分けてもよい。
The
図4にOTPメモリ6内の記憶領域の一例を示す。OTPメモリ6の記憶領域は、図4に示したように、機密情報が複数記憶可能なデータエリア61と、ライフサイクル情報62と、から構成されている。
FIG. 4 shows an example of a storage area in the
データエリア61には、本実施形態では前記した秘密鍵情報が記憶されている。また、データエリア61は、制御モジュール10の機能や用途に応じて複数の秘密鍵情報が記憶できるように複数設けられている。勿論、1つであってもよい。
The data area 61 stores the secret key information described above in the present embodiment. A plurality of data areas 61 are provided so that a plurality of secret key information can be stored according to the function and use of the
ライフサイクル情報62には、データエリア毎に現在のライフサイクルが設定されている。例えば、データエリア#0に対応するライフサイクル情報(データエリア#0のライフサイクル情報)は、図1に記載した生産ステージ101〜廃棄ステージ106の6つのステージに分けて設定される。ここで、OTPメモリ6の特性上同一のビットに対して2回以上書き換えることがはきないので、例えば、LSBからMSBに向かってライフサイクルのステージ順(時間経過順)に1ビットずつ割り当てる。この場合、生産ステージ101の場合、000001、物流ステージ102の場合000011、販売ステージ103の場合000111などと“1”を書き込むビットが順に増加するように変更する。
In the
ところで、データエリア61に記憶する秘密鍵情報等の機密情報は、図1に示したステージを更に細分化(階層化)して管理する場合がある。例えば、サービスステージ104のステージを運用と保守に細分化するなどである。このような管理ができるようにするために、ライフサイクル情報62は、データエリア毎にビット数を可変に設定できるようにしている。即ち、ライフサイクル情報を機密情報毎に細分化して保持している。
Incidentally, confidential information such as secret key information stored in the data area 61 may be managed by further subdividing (hierarchizing) the stages shown in FIG. For example, the stage of the
図4の例では、データエリア#1のライフサイクル情報は、サービスステージ104を運用と保守に分けている。このようにすることでデータエリア#1に対して運用のみにアクセス可能とするようなアクセス権を設定することができる。
In the example of FIG. 4, the life cycle information of the
そして、データエリア#0のライフサイクル情報、データエリア#1のライフサイクル情報、データエリア#2のライフサイクル情報は、それぞれライフサイクルのステージ移行(変更)に伴って、同じように内容が変更される。但し、ステージを細分化した場合は、その細分化したステージについては他のデータエリアのライフサイクル情報と異なる場合がある。
The contents of the life cycle information of the
例えば、図4において、販売からサービスにステージが移行した場合、データエリア#0のライフサイクル情報は、サービスが“1”になるが、データエリア#1のライフサイクル情報は、運用が“1”になる。その後保守を行った場合は、データエリア#0のライフサイクル情報は変化しないが、データエリア#1のライフサイクル情報は、保守が“1”になる。そして、サービス(保守)から回収リサイクルにステージが移行した場合、データエリア#0、#1のライフサイクル情報ともに回収リサイクルが“1”になる。
For example, in FIG. 4, when the stage shifts from sales to service, the life cycle information of
なお、図4の例の場合、保守を行わないで回収リサイクルに移行することが許されている場合は、運用から回収リサイクルに移行する際に、保守も“1”に変化させるようにしてもよい。 In the case of the example in FIG. 4, if it is permitted to shift to collection and recycling without performing maintenance, maintenance may be changed to “1” when shifting from operation to collection and recycling. Good.
バス8は、CPU1、ROM2、RAM3、セキュリティモジュール7等との間で、データの転送をする。バス8は、周知のように各機能ブロック等がデータを交換するために用いる共通の経路であればよく、例えばAXI(Advanced eXtensible Interface)バスなどが挙げられる。
The bus 8 transfers data to and from the
次に、上述した構成の制御モジュール10の暗号化動作を図5の制御フロー図を参照して説明する。まず、CPU1がセキュリティ処理部4(セキュリティモジュール7)に対して暗号化処理を要求する(ステップS101)。セキュリティ処理部4では、OTPアクセスコントローラ5に対して機密情報(秘密鍵情報)を要求する(ステップS102)。
Next, the encryption operation of the
OTPアクセスコントローラ5は、対象のデータ領域の書き込みが可能かどうかを判断するためOTPメモリ6のライフサイクル情報62から現在のライフサイクルのステージを読出し(ステップS103、S104)、読み出したライフサイクルのステージに基づいてアクセス権を確認する(ステップS105)。OTPアクセスコントローラ5に設定されるアクセス権の例を図6に示す。
The
図6は、ライフサイクルのステージ毎にそれぞれ設定されている。そして、各ステージにおいて、アクセス者(アクセス要求元)としてCPU1とセキュリティ処理部4にライト可やリード可やアクセス不可等のアクセス権が設定されている。即ち、ライフサイクルステージ(時間経過情報毎)にアクセス要求元毎にアクセス権が設定されている。ステップS105では、OTPアクセスコントローラ5は、自身に設定されている図6に示したようなアクセス権テーブルに基づいてアクセス権を確認する。図5の制御フロー図の場合、セキュリティ処理部4からの秘密鍵情報の要求であるので、いずれのステージであってもアクセス可能となる。従って、OTPアクセスコントローラ5は、秘密鍵情報(対象の機密情報)を読み出してセキュリティ処理部4に出力する(ステップS106、S107、S108)。
FIG. 6 is set for each stage of the life cycle. In each stage, access rights such as writable, readable, and inaccessible are set in the
なお、図6では、CPU1とセキュリティ処理部4しか示していないが、他のアクセス者(機能モジュール等)があってもよい。
In FIG. 6, only the
即ち、ステップS103〜S108が、時間経過に伴って変更されるライフサイクルのステージ毎に設定された、機密情報が記憶されるOTPメモリ6へのアクセス権に基づいて、セキュリティ処理部4からのOTPメモリ6へのアクセス制御を行うアクセス制御工程となる。
That is, steps S103 to S108 are performed based on the OTP from the
次に、セキュリティ処理部4では、暗号化する情報をRAM3から読み出す(ステップS109、S110)。なお、このステップS109、S110はステップS103〜S108の間に実行してもよい。
Next, the
続いて、セキュリティ処理部4は、OTPアクセスコントローラ5から出力された秘密鍵情報を用いて暗号化処理を行い(ステップS111)、暗号化されたデータをRAM3に書き込む(ステップS112、S113)。ここでステップS113は、データが書き込めたことを示すRAM3からの応答である。また、暗号化処理が完了すると同時にセキュリティ処理部4は秘密鍵情報を破棄する。そして、セキュリティ処理部4は、暗号化処理が完了したことをCPU1に通知する(ステップS114)。
Subsequently, the
次に、制御モジュール10の機密情報(秘密鍵情報)書き込み動作を図7の制御フロー図を参照して説明する。まず、CPU1がOTPアクセスコントローラ5に対して秘密鍵情報のアクセス要求を行う(ステップS201)。このときOTPメモリ6に書き込む秘密鍵情報も同時に出力する。OTPアクセスコントローラ5は、対象のデータ領域の書き込みが可能かどうかを判断するためOTPメモリ6からライフサイクル情報を読出し(ステップS202、S203)、アクセス権を確認する(ステップS204)。ステップS202〜S204は、図5で説明したステップS103〜S105と同様である。アクセス権があることを確認できた場合は、OTPアクセスコントローラ5は、秘密鍵情報をOTPメモリ6に書き込む(ステップS205、S206)。
Next, the confidential information (secret key information) writing operation of the
なお、図7において、OTPアクセスコントローラ5は、書き込みが成功したか失敗したかの応答は返さない。即ち、外部からの要求によりOTPメモリ6(セキュリティ情報記憶部)への書き込みを行った際における応答通知を行わない。このようにすることで、悪意のある者がCPU1を利用してOTPメモリ6に不正に書き込むことを回避する。例えば、悪意のある者がOTPメモリ6への書き込みを何度も行っても、それがうまくいったことを知ることができない。そのため、悪意のある者自身が不正の書き込みの確認をすることが煩雑かつ困難となり、不正に利用されることを低減することができる。
In FIG. 7, the
本実施形態によれば、ライフサイクル情報のステージ毎に設定されたOTPメモリ6へのアクセス権に基づいて、セキュリティ処理部4又は外部からのOTPメモリ6へのアクセス制御を行うOTPアクセスコントローラ5を有している。このようにすることにより、機密情報が記憶されるOTPメモリ6にはOTPアクセスコントローラ5を介さないとアクセスできないので、機密情報へ不正にアクセスすることができないようにすることができる。
According to this embodiment, the
また、ライフサイクル情報のステージ毎に機密情報へのアクセス権が設定されているので、ライフサイクルのステージに基づいて機密情報が適切に管理することができる。 Further, since the access right to the confidential information is set for each stage of the life cycle information, the confidential information can be appropriately managed based on the stage of the life cycle.
また、セキュリティモジュール7がOTPメモリ6とセキュリティ処理部4を有しているので、OTPメモリ6に記憶されている機密情報がセキュリティモジュール7外に出力されることがなく、バス8から機密情報を不正に取得することを防止できる。
Further, since the
また、OTPメモリ6が、一度“1”に書き換えると“0”に戻すことはできないので、ライフサイクルのステージを時系列的に戻すことが不可能となり、ライフサイクル情報を不正に書き換えて戻すことを防止することができる。
In addition, once the
また、OTPメモリ6は、データエリア61に複数の機密情報が記憶できるようにし、ライフサイクル情報62には、複数の機密情報にそれぞれ対応して複数のライフサイクル情報が保持されている。このようにすることにより、機能、用途別に機密情報を記憶し、運用することができる。
The
また、ライフサイクル情報62は、ライフサイクル情報を機密情報毎に細分化して保持するので、機密情報毎にきめ細かいアクセス権を設定することができる。
Moreover, since the
なお、図4に示した例では、複数の機密情報を使い分けるために、データエリア毎にライフサイクル情報を細分化して設定することができるようにしていたがそれに限らない。例えば、リサイクルする場合に、ライフサイクルの1周目はデータエリア#0とデータエリア#0のライフサイクル情報を使用し、2周目はデータエリア#1とデータエリア#1のライフサイクル情報を使用する。このようにライフサイクルの周回数に合わせて使い分けるようにしてもよい。
In the example shown in FIG. 4, in order to use a plurality of confidential information properly, the life cycle information can be divided and set for each data area, but this is not restrictive. For example, when recycling, the first cycle of the life cycle uses the life cycle information of
OTPメモリ6は、その特性上、一度“1”に書き換えると“0”に戻すことはできないため、上記のように使用することで、リサイクルに対応しながらライフサイクルのステージを戻すといった不正なアクセスを防止することができる。
Since the
また、上述したリサイクルに対応した使用方法と図4に示した使用方法を組み合わせてもよい。例えば、機密情報を記憶する複数のデータエリアと対応する複数のライフサイクル情報とを1セットとして、そのセットを複数設けることで、1セット目は1周目のライフサイクル、2セット目は2周目のライフサイクルといった使用方法が可能となる。 Moreover, you may combine the usage method corresponding to the recycling mentioned above, and the usage method shown in FIG. For example, a plurality of data areas storing confidential information and a plurality of corresponding life cycle information are set as one set, and by providing a plurality of sets, the first set is the first cycle of the life cycle, and the second set is the second cycle. Usage such as the life cycle of the eye is possible.
(第2実施形態)
次に、本発明の第2の実施形態にかかるセキュリティ処理部装置を図8を参照して説明する。なお、前述した第1の実施形態と同一部分には、同一符号を付して説明を省略する。
(Second Embodiment)
Next, a security processing unit apparatus according to a second embodiment of the present invention will be described with reference to FIG. Note that the same parts as those in the first embodiment described above are denoted by the same reference numerals and description thereof is omitted.
第1の実施形態では、OTPメモリ6への書き込みが成功したか失敗したかの応答は返さないようにしていた。しかし、この機能のみの場合、書き込みが失敗した場合に、CPU1等が把握できないので、誤った情報がOTPメモリ6に書き込まれたまま出荷等されてしまう可能性がある。そこで、本実施形態では、OTPメモリ6への書き込み要求自体に対する直接的な応答は行わないものの、その後CPU1等からの確認要求等をセキュリティモジュール7に対して行うことで、書き込みが成功したか失敗したかのを把握できるようにしたものである。
In the first embodiment, a response indicating whether writing to the
OTPメモリ6への書き込みが正しく行われているかを確認する動作を図8の制御フロー図を参照して説明する。まず、CPU1がセキュリティ処理部4(セキュリティモジュール7)に対して書き込みチェック(確認)を要求する(ステップS301)。この書き込みチェック要求には、書き込んだデータを含めて送信する。
The operation for confirming whether or not the writing to the
セキュリティ処理部4では、CPU1からのアクセスが許可された者からのアクセスかを確認する(ステップS302)。このステップS302は、CPU1以外の機能モジュール等や外部機器等からも書き込みを許可していた場合に有効であり、そのアクセスが正当な者かを確認する。正当でない者からのアクセスの場合は、以降の処理を行わない。
The
次に、セキュリティ処理部4は、OTPメモリ6の書き込みデータを要求する。つまり、OTPメモリ6に書き込まれたデータを読み出すためOTPアクセスコントローラ5に対してデータの読み出し要求を行う(ステップS303)。
Next, the
OTPアクセスコントローラ5は、OTPメモリ6のライフサイクル情報62から現在のライフサイクルのステージを読出し(ステップS304、S305)、読み出したステージに基づいてアクセス権を確認する(ステップS306)。アクセス権の確認は、図5のステップS105と同様である。OTPアクセスコントローラ5は、書き込まれたデータ(対象の機密情報)を読み出してセキュリティ処理部4に出力する(ステップS307、S308、S309)。
The
次に、セキュリティ処理部4は、ステップS301で受信した書き込みチェック要求に含まれる書き込みデータと、ステップS309でOTPアクセスコントローラ5(OTPメモリ6)から取得した書き込みデータとを比較する(ステップS310)。そして、比較結果をCPU1等の書き込みチェック要求を出力した者に通知する(ステップS311)。CPU1等は、比較結果が一致しない場合は、例えば、以降の処理に反映させたり、書き込みエラー等の通知を上位のホストコンピュータや外部機器等に出力する。
Next, the
本実施形態によれば、OTPメモリ6への書き込みの確認を、書き込み要求後に別途行うようにしているので、書き込み要求に対する直接の応答がない場合でも、書き込みが成功したか否かを確認することができる。
According to the present embodiment, since confirmation of writing to the
(第3実施形態)
次に、本発明の第3の実施形態にかかるセキュリティ処理部装置を図9を参照して説明する。なお、前述した第1、第2の実施形態と同一部分には、同一符号を付して説明を省略する。
(Third embodiment)
Next, a security processing unit apparatus according to a third embodiment of the present invention will be described with reference to FIG. The same parts as those in the first and second embodiments described above are denoted by the same reference numerals and description thereof is omitted.
本実施形態は、第1の実施形態と基本的な機能構成は同じである。本実施形態では、OTPアクセスコントローラ5やセキュリティ処理部4が有する他の機能について説明する。
This embodiment has the same basic functional configuration as the first embodiment. In the present embodiment, other functions of the
第1の実施形態で説明したように、セキュリティモジュール7では、OTPメモリ6を用いることで、ライフサイクルのステージを前に戻せないようにしているが、それに加えて、不正にライフサイクルのステージを進めないようにもなっている。
As described in the first embodiment, the
OTPアクセスコントローラ5は、CPU1等の外部からライフサイクルのステージを変更するための要求を受信してOTPメモリ6のライフサイクル情報62を変更することができるが、その際に、当該ステージにおいて許可された者からの要求か否かを監視している。
The
監視に際しては、図9に示したようなテーブルに基づいて監視し、不可のアクセス者からの要求については、ライフサイクルのステージの変更をしない。図8において、外部I/Fとは、図1のバス8に接続される外部機器とのインタフェース(回路、コネクタ等)である。つまり、制御モジュール10は、外部I/Fを介して外部機器等からステージの変更を可能としている。但し、外部機器等からステージの変更を無制限に可能とすると、不正にライフサイクルのステージが進められてしまう可能性が高くなるので、変更可能とするステージを制限している。図9の場合、外部I/Fは、生産ステージ101においては、アクセス不可であるため、次の物流ステージ102への変更はできない。
In monitoring, monitoring is performed based on the table as shown in FIG. 9, and the life cycle stage is not changed for a request from an unauthorized accessor. In FIG. 8, an external I / F is an interface (circuit, connector, etc.) with an external device connected to the bus 8 of FIG. That is, the
図8の例では、CPU1と外部I/Fしか示していないが、他のアクセス者があってもよい(例えばバス8に接続された機能モジュール等)。また、CPU1は全てのステージの変更が可能となっていたが、制限を掛けてもよい。その場合、少なくとも他の1つのアクセス者がステージの変更ができるようにしなければならないことは言うまでもない。
In the example of FIG. 8, only the
このようにすることにより、外部からライフサイクルのステージ変更のためのアクセス監視を行う時間経過情報変更管理部としてOTPアクセスコントローラ5を機能させているので、不正にライフサイクルのステージ変更をすることを防止できる。
In this way, since the
また、OTPアクセスコントローラ5は、自身を介したOTPメモリ6へのアクセス記録(ログ)を蓄積するメモリ等を有している。このログには、上述した不正なアクセス要求に限らず、第1の実施形態で説明した正規のアクセスの場合も蓄積する。蓄積する内容例としては、アクセス者、アクセス時間(年月日、時刻)等が挙げられる。
The
このようにすることにより、OTPアクセスコントローラ5(OTPメモリ6)へのアクセス記録を蓄積するアクセス記録蓄積部としてOTPアクセスコントローラ5を機能させているので、不正アクセスの解析ができる。また、セキュリティモジュール7自体の不具合の解析等にもログを活用することができる。
In this way, since the
次に、セキュリティ処理部4の他の機能について説明する。上述したライフサイクルのステージの変更について、OTPアクセスコントローラ5に対して直接CPU1等から要求すると、その要求の内容がバス8をモニタすることで悪意のあるものに不正に取得され、それに基づいて、不正なアクセスをさせる可能性がある。そのため、例えば、OTPアクセスコントローラ5に対して直接要求できるのは、例えば生産ステージ101のみとし、以降のステージの変更はセキュリティ処理部4を介するようにすることで、不正なアクセスを低減させるようにする。
Next, other functions of the
この場合、正規の秘密鍵によって暗号化した要求をセキュリティ処理部4に出力し、セキュリティ処理部4が暗号を復号してOTPアクセスコントローラ5に出力してOTPメモリ6内のライフサイクル情報62を変更する。
In this case, the request encrypted with the regular secret key is output to the
上述したセキュリティ処理部4を利用したライフサイクルのステージ変更の場合であっても、悪意のある者が不正な秘密鍵(正規でない秘密鍵)により暗号化をした要求を送信してステージ変更を試みる場合がある。そこで、セキュリティ処理部4は、不正な秘密鍵によるアクセスも監視する。そして、不正な秘密鍵によるアクセスがあった場合は、OTPアクセスコントローラ5に復号結果を出力しない。
Even in the case of a life cycle stage change using the
なお、セキュリティ処理部4は、上述したライフサイクルのステージ変更要求に限らず、OTPメモリ6への不正な秘密鍵によるアクセス(データの書き込み等)に対しても同様の処理を行う。また、このような不正な秘密鍵によるアクセスをOTPアクセスコントローラ5に通知して、ログとして蓄積するようにしてもよい。
The
このようにすることにより、セキュリティ処理部4を、外部から入力されたデータが正規のデータをあるかの監視を行うアクセス監視部として機能させているので、不正な秘密鍵によるアクセスを防止することができる。
In this way, the
(第4実施形態)
次に、本発明の第4の実施形態にかかるセキュリティ制御プログラムを図10を参照して説明する。なお、前述した第1〜第3の実施形態と同一部分には、同一符号を付して説明を省略する。
(Fourth embodiment)
Next, a security control program according to the fourth embodiment of the present invention will be described with reference to FIG. In addition, the same code | symbol is attached | subjected to the same part as the 1st-3rd embodiment mentioned above, and description is abbreviate | omitted.
本実施形態は、第1の実施形態で説明したセキュリティ処理部4と、OTPアクセスコントローラ5と、をCPU1A(コンピュータ)で動作するコンピュータプログラムとして機能させている。また、これらをコンピュータプログラムとして動作させるに当たり、図10に示したように、コンピュータプログラムが格納されるROM2とOTPメモリ6とをバス8とは別途設けたローカルバス9により接続している。
In the present embodiment, the
ローカルバス9は、ROM2とOTPメモリ6以外は接続されないバスであり、バス8から直接アクセスができないようになっている。
The local bus 9 is a bus that is not connected except for the
なお、図10に示したバス8は、RAM3しか記載されていないが、第1の実施形態と同様に他の機能モジュール等や外部I/F等が接続されている。
Note that only the
図10に示した構成においては、CPU1がローカルバス9に接続されたROM2からセキュリティ制御プログラムを読み出して実行する。このようにすることにより、図1に示したセキュリティ処理部4とOTPアクセスコントローラ5の第1〜第3の実施形態に記載したような機能をソフト的に奏することができる。従って、図5、図7の制御フロー図のうち、CPU1、セキュリティ処理部4、OTPアクセスコントローラ5に関する部分はCPU1A内の動作となる。
In the configuration shown in FIG. 10, the
OTPメモリ6は、上述したようにローカルバス9に接続し、CPU1Aがローカルバス9を介して読み書きを行う。
As described above, the
本実施形態によれば、CPU1Aがローカルバス9に接続されたROMに記憶されたセキュリティ制御プログラムを実行することで、セキュリティ処理部4、OTPアクセスコントローラ5として機能することができる。そのため、機密情報が記憶されるOTPメモリ6にはCPU1を介さないとアクセスできないので、機密情報へ不正にアクセスすることができないようにすることができる。
According to the present embodiment, the
なお、上述した実施形態では、時間経過情報としてライフサイクル情報で説明したが、それに限らない。例えば、年単位、月単位、日単位或いは時単位といった単純な時間情報であってもよい。また、時間経過単位も一定期間であってもよいし、ライフサイクルのようにその都度外部からのトリガによって期間が定まる不定期間であってもよい。 In the above-described embodiment, the life cycle information is described as the time lapse information, but the present invention is not limited to this. For example, simple time information such as year unit, month unit, day unit or hour unit may be used. Further, the time elapsed unit may be a fixed period, or may be an indefinite period in which the period is determined by an external trigger each time as in the life cycle.
なお、本発明は上記実施形態に限定されるものではない。即ち、当業者は、従来公知の知見に従い、本発明の骨子を逸脱しない範囲で種々変形して実施することができる。かかる変形によってもなお本発明のセキュリティ処理装置の構成を具備する限り、勿論、本発明の範疇に含まれるものである。 The present invention is not limited to the above embodiment. That is, those skilled in the art can implement various modifications in accordance with conventionally known knowledge without departing from the scope of the present invention. Of course, such modifications are included in the scope of the present invention as long as the configuration of the security processing apparatus of the present invention is provided.
1、1A CPU
2 ROM
3 RAM
4、4A セキュリティ処理部(暗号処理部)
5、5A OTPアクセスコントローラ(アクセス制御部)
6 OTPメモリ(セキュリティ情報記憶部)
7 セキュリティモジュール(セキュリティ制御装置、時間経過情報保持部)
10 制御モジュール(電子機器)
1, 1A CPU
2 ROM
3 RAM
4, 4A Security processing part (encryption processing part)
5, 5A OTP access controller (access control unit)
6 OTP memory (security information storage)
7 Security module (security control device, time lapse information holding unit)
10 Control module (electronic equipment)
Claims (10)
前記機密情報が記憶されるセキュリティ情報記憶部と、
前記時間経過情報を保持する時間経過情報保持部と、
時間経過に伴って変更される時間経過情報の時間経過単位でアクセス要求元毎に設定された前記セキュリティ情報記憶部へのアクセス権に基づいて、前記アクセス要求元からの前記セキュリティ情報記憶部へのアクセス制御を行うアクセス制御部と、
を有することを特徴とするセキュリティ制御装置。 In a security control device having an encryption processing unit that performs data encryption and decryption processing based on confidential information,
A security information storage unit for storing the confidential information;
A time lapse information holding unit for holding the time lapse information;
Based on the access right to the security information storage unit set for each access request source in the time lapse unit of the time lapse information changed with the passage of time, the access information from the access request source to the security information storage unit An access control unit that performs access control;
A security control device comprising:
前記時間経過情報保持部には、前記時間経過情報を時間経過方向のみに更新することができる記憶素子で構成され、複数の前記機密情報にそれぞれ対応して複数の前記時間経過情報が保持されている、
ことを特徴とする請求項1に記載のセキュリティ制御装置。 The security information storage unit stores a plurality of the confidential information,
The time lapse information holding unit is configured by a storage element that can update the time lapse information only in the time lapse direction, and a plurality of the time lapse information is held corresponding to the plurality of confidential information, respectively. Yes,
The security control apparatus according to claim 1.
時間経過に伴って変更される時間経過情報の時間経過単位でアクセス要求元毎に設定された、前記機密情報が記憶されるセキュリティ情報記憶部へのアクセス権に基づいて、前記アクセス要求元からの前記セキュリティ情報記憶部へのアクセス制御を行うアクセス制御工程を含むことを特徴とするセキュリティ制御方法。 In a security control method including an encryption processing step of performing data encryption and decryption processing based on confidential information,
Based on the access right to the security information storage unit in which the confidential information is stored, set for each access request source in the time lapse unit of the time lapse information changed with the passage of time, from the access request source. A security control method comprising an access control step for controlling access to the security information storage unit.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015118175A JP2017004293A (en) | 2015-06-11 | 2015-06-11 | Security control device, electronic apparatus, security control method, and security control program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015118175A JP2017004293A (en) | 2015-06-11 | 2015-06-11 | Security control device, electronic apparatus, security control method, and security control program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2017004293A true JP2017004293A (en) | 2017-01-05 |
Family
ID=57754308
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015118175A Pending JP2017004293A (en) | 2015-06-11 | 2015-06-11 | Security control device, electronic apparatus, security control method, and security control program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2017004293A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111295645A (en) * | 2018-08-10 | 2020-06-16 | 深圳市汇顶科技股份有限公司 | SoC chip and bus access control method |
JP7391682B2 (en) | 2019-01-31 | 2023-12-05 | ザ・ボーイング・カンパニー | Tamper-proof counter |
-
2015
- 2015-06-11 JP JP2015118175A patent/JP2017004293A/en active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111295645A (en) * | 2018-08-10 | 2020-06-16 | 深圳市汇顶科技股份有限公司 | SoC chip and bus access control method |
CN111295645B (en) * | 2018-08-10 | 2023-09-22 | 深圳市汇顶科技股份有限公司 | SoC chip and bus access control method |
JP7391682B2 (en) | 2019-01-31 | 2023-12-05 | ザ・ボーイング・カンパニー | Tamper-proof counter |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11119905B2 (en) | System and method for managing electronic assets | |
US10102500B2 (en) | System and method for performing serialization of devices | |
EP3568795B1 (en) | Techniques for genuine device assurance by establishing identity and trust using certificates | |
CN102648471B (en) | System and method for hardware based security | |
CN100578473C (en) | Embedded system and method for increasing embedded system security | |
CN102156840B (en) | Controller and managing device thereof | |
US20100037069A1 (en) | Integrated Cryptographic Security Module for a Network Node | |
CN108475319A (en) | Device birth voucher | |
US9489508B2 (en) | Device functionality access control using unique device credentials | |
US20140189374A1 (en) | System and method for the secure transmission of data | |
CN102156835A (en) | Safely and partially updating of content management software | |
CN104025500A (en) | Secure key storage using physically unclonable functions | |
CN107950002A (en) | System and method for the protection Password Management of industrial equipment | |
CN103562930B (en) | A kind of method for data security and data security device | |
US11412047B2 (en) | Method and control system for controlling and/or monitoring devices | |
US20100011221A1 (en) | Secured storage device with two-stage symmetric-key algorithm | |
CN103258148B (en) | Control system, control device and program execution control method | |
US11231958B2 (en) | Method and control system for controlling and/or monitoring devices | |
JP2017004293A (en) | Security control device, electronic apparatus, security control method, and security control program | |
JP6898921B2 (en) | Lifecycle state encryption management | |
CN100464341C (en) | Generation and management method for digital content use trace based on reliable computing technology | |
JP6301701B2 (en) | Single sign-on information management system and management method | |
CN102087683A (en) | Password management and verification method suitable for trusted platform module (TPM) | |
CN111934883B (en) | Credit card number tokenization method and system | |
US20220417253A1 (en) | System and method for managing data of an automation field device in a secure manner against manipulation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20170112 |