JP2017102853A - 機能デバイス、制御装置 - Google Patents

機能デバイス、制御装置 Download PDF

Info

Publication number
JP2017102853A
JP2017102853A JP2015237803A JP2015237803A JP2017102853A JP 2017102853 A JP2017102853 A JP 2017102853A JP 2015237803 A JP2015237803 A JP 2015237803A JP 2015237803 A JP2015237803 A JP 2015237803A JP 2017102853 A JP2017102853 A JP 2017102853A
Authority
JP
Japan
Prior art keywords
authentication
interface
external
functional
functional device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015237803A
Other languages
English (en)
Other versions
JP2017102853A5 (ja
JP6719894B2 (ja
Inventor
松本 昭浩
Akihiro Matsumoto
昭浩 松本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2015237803A priority Critical patent/JP6719894B2/ja
Priority to US15/361,677 priority patent/US11003801B2/en
Priority to CN201611104578.7A priority patent/CN107066871B/zh
Publication of JP2017102853A publication Critical patent/JP2017102853A/ja
Publication of JP2017102853A5 publication Critical patent/JP2017102853A5/ja
Application granted granted Critical
Publication of JP6719894B2 publication Critical patent/JP6719894B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2103Challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】内部機能部品にアクセス可能な外部インタフェースを有する機能デバイスにおいて外部インタフェースを通じて行われる改ざんなどを確実に防止する。
【解決手段】外部インタフェースである外部Flash端子311と、内部のFlashメモリ208との間に結合制御部307を介在させる。結合制御部307は、Fuse(ヒューズ)402が切断された後は、REG403における認証結果が正当性を維持している場合以外は、外部Flash端子311と内部のFlashメモリ208との間を物理的に遮断する。認証結果は、通電中に限り有効となる。
【選択図】図4

Description

本発明は、セキュリティ性の機能デバイス及び制御装置に関する。
ネットワークに接続可能な情報処理装置では、認証処理や秘密情報に対する暗号化処理などのセキュリティ機能を有する機能デバイスを搭載するのが一般的になっている。セキュリティ機能は、情報処理装置に接続される周辺装置との関係でも求められる。例えば特許文献1には、制御装置と周辺装置との間に認証装置を介在させるシステムが開示されている。このシステムでは、周辺装置に対応する鍵識別子と暗号鍵データとを記憶しておく。そして、制御装置から周辺装置の使用要求に関する認証用コマンドを検知すると、認証用コマンドに含まれる関連装置の識別情報及び認証データから鍵を特定する。そして、特定した鍵に対応する暗号鍵データと認証データとを用いて認証処理を実行する。認証処理が成功すると、周辺装置を接続する物理的な入出力ポートを介して周辺装置を動作可能状態にする。これにより、制御装置あるいは周辺装置のセキュリティ情報の改ざんなどを防止することができるとされている。
特開2011−123727号公報
特許文献1に開示されたシステムでは、認証装置と周辺装置とを接続する物理的な外部インタフェースポートが存在する。この外部インタフェースは、通常、当該装置の最終動作チェックなどを行う上で必須となる。しかし、高度なスキルを有する者により、外部インタフェースに入力される信号自体が偽装されると、セキュリティが破られるおそれがある。例えば、正当でない者による外部インタフェースにつながる内部機能部品へのアクセスにより、当該内部機能部品に記憶された秘密情報が改ざんされたり、破壊されたりする脅威がある。
本発明は、このような脅威から秘密情報を保護することができる機能デバイス及びそれを搭載した制御装置を提供することを主たる課題とする。
本発明の機能デバイスは、機能部品を内蔵した機能デバイスであって、外部アクセスを可能にする外部インタフェースと、前記外部インタフェースと導通する第1インタフェースと、前記機能部品と導通する第2インタフェースと、所定の条件を満たす場合を除き、前記第1インタフェースと前記第2インタフェースとを物理的に遮断する結合制御手段と、を備えたことを特徴とする。
本発明によれば、正当でない者が外部インタフェースを通じて内部の機能部品に記憶された秘密情報にアクセスを試みても、当該アクセスを確実に防止することができる。
本実施形態に係る制御装置の構成図。 制御装置を機能デバイスで構成した場合の接続状態の説明図。 セキュリティICのブロック構成図。 結合制御部とその主たる周辺部品との接続状態の説明図。 (a)、(b)は結合回路の構成例を示す図。 SATA規格に従う拡張コマンド群の説明図。 拡張コマンドの詳細説明図。 結合制御部における動作のタイムチャート。 セキュリティICにおける初期化処理の手順説明図。 端子認証IDの登録処理の手順説明図。 端子認証ID登録後の認証処理の手順説明図。
以下、本発明の実施の形態例について図面を用いて説明する。図1は、本発明の実施形態に係る画像形成システムの全体構成図である。この画像形成システムは、複数の機能部品ないし機能デバイスを含む制御装置122を備えている。制御装置122は、CPU(Central Processing Unit)101、ROM(Read Only Memory)103、RAM(Random Access Memory)104を有するコンピュータを有している。ROM103及びRAM104は、メモリ制御部102及びバス121を介してCPU101と接続されている。バス121は、制御バス、データバス及び任意ブロック間のローカルバスを便宜的にまとめて表現したものである。バス121の代表例として「PCIe」(PCI Express)などがある。バス121には、画像処理部110も接続されている。バス121には、さらに、LAN−IF制御部105、Reader−IF制御部108、A−IF制御部111、SATA−Host制御部113、パネルIF制御部117及びビデオIF制御部119も接続されている。なお、「IF」は、端子、コネクタ、ケーブルその他の接続具を含む情報入出力インタフェースの総称である。
CPU101は、所定のコンピュータプログラムを実行することにより、制御装置122の動作を統括的に制御する。メモリ制御部102は、ROM103及びRAM104への入出力制御やDMA(Direct Memory Access)制御を行う。ROM103は、Flashメモリに代表されるリード専用メモリである。ROM103には、BIOS(Basic Input/Output System)プログラムや制御パラメータ等が格納される。Flashメモリを接続することでオンボードでの書き換えも可能である。RAM104は、DDR(Double-Data-Rate)メモリに代表される書き換え専用メモリである。RAM104は、プログラムの作業領域や印刷データの格納領域等の用途に用いられる。
LAN−IF制御部105は、ネットワーク106との間のデータ入出力制御を行う。プロトコルは、例えばTCP/IP(Transmission Control Protocol/Internet Protocol)に対応可能である。ネットワーク106には、HOSTコンピュータ107などのネットワーク対応機器と接続されており、これによりネットワーク経由での画像形成を行うことができる。また、図示しないルータを介してインターネットへの接続も可能である。
Reader−IF制御部108は、スキャナ装置109との入出力制御を行う。スキャナ装置109でスキャンされた入力画像データを印字させることでコピー機能を実現する。画像処理部110は、LAN−IF制御部105、Reader−IF制御部108を介して取り込んだ画像に対して各種画像処理を行う。
パネルIF制御部117は、ユーザが操作するパネル装置118との入出力制御を行う。図1には示されていないが、パネル装置118のUI(User Interface)として表示される画面やボタン画像等を操作することにより画像形成に係る各種設定及び状態の確認ができる。ビデオIF制御部119は、印字部120とのコマンド/ステータスの通信制御や印刷データの転送を行う。印字部120は、画像形成を行う機能ブロックであり、詳細は図示しないが印刷装置本体と給紙系及び排紙系から構成される。印字部120は、主にビデオIF制御部119からのコマンド情報に従い、印刷データを紙媒体などに印刷する。
A−IF制御部111は、ボードA112との入出力制御を行う。ボードA112は、制御装置122と接続される、所定機能を発揮する機能部品である。本実施形態では、Flashメモリのような不揮発性記憶デバイスが搭載された機能部品であるものとする。例えば、ボードA112は、画像形成システムのブートプログラム格納、印字部120に固有となる情報(個体識別データや消耗品情報など)格納などに用いられる。SATA−Host制御部113は、SATA(Serial Advanced Technology Attachment)規格に準拠したIFを有するデバイスとのデータ入出力制御を行う。
暗号化制御部114は、接続される不揮発性記憶デバイスとの入出力制御やミラーリング制御を実行しつつ、不揮発性記憶デバイスへの書き込み及び読み出しデータに対して暗号処理及び復号化処理を行う。ここで用いる不揮発性記憶デバイスは、HDD(Hard Disk Drive)又はSSD(Solid State Drive)などである。ミラーリング制御とは最低2台以上の不揮発性記憶デバイスを用いて上記暗合処理及び復号化処理を行う。本実施形態では、2台のHDD115,116を用いてミラーリング制御を行うものとする。一方のHDD115をマスターHDD、他のHDD116をバックアップHDDと称する。ミラーリング制御ではマスターHDD115のデータをバックアップHDD116にコピーする。書き込み時は、マスターHDD115、バックアップHDD116の双方に暗号化データを書き込む。読み出し時は、マスターHDD115から読み出した暗号データを復号化したものを要求元であるSATA−Host制御部113に送信する。
暗号化制御部114は、一つのパッケージに収容されたIC搭載の機能デバイスとして構成することができる。この場合、画像形成システムのハードウエア構成はより簡略化されたものとなる。そこで、以後、暗号化制御部114を機能デバイスの一例となる「セキュリティIC」と表記する。また、制御装置122のうち、CPU101及び主要制御部もまた、パッケージに収容されたIC搭載の機能デバイスで構成することができる。以後の説明では、この機能デバイスを「コントローラデバイス」あるいは「コントローラIC」と称する。主要制御部は、図1の例では、メモリ制御部102、LAN−IF制御部105、Reader−IF制御部108、画像処理部110、A−IF制御部111、SATA−Host制御部113、パネルIF制御部117、ビデオIF制御部119である。
図2は、コントローラICとセキュリティIC間及びその周辺デバイスとの接続構成図である。周辺デバイスとしては、ボードA112,HDD115,116が例示されている。セキュリティIC114は、SATA−Device−IP203と、SATA−Host−IP204,205とを含む。SATA−Device−IP203は、SATA−IF202を介してコントローラIC201のSATA−Host制御部113と接続される。SATA−Host−IP204は、SATA−IF206を介してHDD115に接続される。また、SATA−Host−IP205は、SATA−IF207を介してHDD116に接続される。SATA−Device−IP203は、SATA−IF202を介してSATA−Host制御部113と接続される。
セキュリティIC114は、固有情報を記憶した機能部品であるFlashメモリ208を内蔵する。このFlashメモリ208は、単独のチップダイであり、その他の機能ブロックのチップダイ(ユーザ・ダイと呼ぶ場合がある)とは独立して設けられる。すなわち、セキュリティIC114は、一つのパッケージに2つのチップが内蔵されるSiP(System in Package)構成を持つ。
コントローラIC201には、A−IF制御部111及びA−IF209を介してボードA112が接続される。ボードA112には、機能部品であるFlashメモリ210が実装されている。このFlashメモリ210は、セキュリティIC114のFlashメモリ208に保持される識別データを読み出し、格納する。その詳細は後述する。
図3は、セキュリティIC114の内部機能構成図である。セキュリティIC114は、制御バス312に接続されたCPU301を有する。CPU301は、所定の暗号・復号プログラムを実行することにより、SATA−IF制御、上述した暗号・復号化制御及びミラーリング制御などを行う。CPU301は、また、所定のICEプログラムを実行することにより、プログラム開発用デバッガとしてのICE(In Circuit Emulator)機能を有する。CPU301は、また、所定の認証用プログラムを実行することにより、認証手段として機能する。
制御バス312には、メモリ制御部302も接続されている。メモリ制御部302は、Flashメモリ208やRAM303に対するデータの入出力制御を行う。Flashメモリ208には、認証処理や暗号化処理及びミラーリング制御に用いられる各種プログラム、データの入出力制御に必要な認証情報及び暗号鍵生成の元データなどの秘密情報及び各種制御パラメータなどが格納される。RAM303は、プログラムの作業領域や一時的なデータの格納用などに用いられる。
制御バス312には、SATA−Device制御部304も接続されている。SATA−Device制御部304は、図2に示したSATA−Device−IP203とその周辺回路を含む。SATA−Device制御部304は、SATA−IF202を介してSATA−Host制御部113との間で、コマンド/ステータス、各種データの入出力制御を行う。
制御バス312には、SATA−Host制御部305も接続されている。SATA−Host制御部305は、図2に示したSATA−Host−IP204、205とその周辺回路とを含む。SATA−Host制御部305は、HDD115、116とSATA−IF206、207を介して、コマンド/ステータス、各種データの入出力制御を行う。制御バス312には、暗号/復号化部306も接続されている。暗号/復号化部306は、HDD115、116への書き込み及び読み出しデータに対して暗号化及び復号化処理を行う。
制御バス312には、また、インタフェース間の結合制御手段として機能する結合制御部307が接続されている。前述したようにFlashメモリ208には、暗号・復号用プログラムや秘密情報が格納されている。Flashメモリダイとユーザ・ダイとをワンパッケージ化するSiP構成は、秘密情報の漏洩や改ざんを防ぐ観点からは単独デバイスとして外部にFlashメモリ208を置くよりも強固なものとなる。しかしながら、セキュリティIC114の内部にFlashメモリ208を封入すると、供給時の出荷テスト等を行うために、当該Flashメモリ208にアクセスするための外部端子が必要となる。ここにセキュリティ・ホールが存在する。例えば、権限は無いが技術レベルの高い者がFlash制御装置310を外部Flash端子311に接続してFlashメモリ208に格納されている認証プログラムや秘密情報に外部アクセスすることが考えられる。そうすると、認証アルゴリズムが解読されたり、認証情報などが暴露されてしまうおそれがある。同様の理由から、ICE制御装置308が接続される外部ICE端子309もセキュリティ・ホールとなり得る。結合制御部307は、このようなセキュリティ・ホールを解消するために設けられる。
図4は、セキュリティIC114のうち、結合制御部307とその要部周辺部との接続状態を示した図である。セキュリティIC114には、外部インタフェースとして、外部ICE端子309、外部Flash端子311などが設けられている。また、SATA−IF202を介してSATA−Host制御部113(図3参照)が接続されている。さらに、SATA−IF206,207を介してHDD115,116が接続されている。
結合制御部307は、外部インタフェースと、CPU301,Flashメモリ208のような内部機能部品及びセキュリティIC114につながる外部デバイス(例えばHDD115,116,SATA−Host制御部113)との間に介在する。そして、Fuse402及びREG403の出力に基づいて結合回路401が、これらを結合状態又は非結合状態にする。結合回路401は、外部インタフェースと導通する第1インタフェースと、CPU301、Flashメモリ208及びメモリ制御部302と導通する第2インタフェースとの間に介在する。結合回路401は、また、第1インタフェースと外部デバイスが接続される制御バス312と導通する第3フェースとの間に介在する。
Fuse402は、過電流状態のときに切断される公知のヒューズを含む部品であり、切断前は第1値の状態(論理High:“1”)を形成し、切断されたときは、該状態を解除する。つまり、Fuse402は、第1値の状態(“1”)を不可逆的に形成する不可逆手段として機能する。
他方、REG403は、認証手段による認証結果に応じて第1値の状態と第2値の状態(論理Low:“0”)を可逆的に形成する可逆手段として機能するレジスタである。REG403は、認証結果が正当性を維持する期間だけ第1値の状態(“1”)を維持する。第1値の状態(“1”)は、セキュリティIC114の通電が遮断されるとリセットされ、第2値の状態(“0”)となる。つまり、第1値の状態(“1”)は、通電中のみ有効となる。
結合制御部307における結合回路401とFuse402及びREG403との間の構成例は例えば図5(a)、(b)に示すものとなる。結合回路401は、図5(a)では結合回路401A、図5(b)の場合は結合回路401Bとなる。
図5(a)は、3ステート・バスが実装可能な場合を前提とした回路構成例である。外部インタフェースと導通する第1インタフェースは、入力端子501、出力端子502、双方向端子503で構成されるものとする。
入力端子501は、結合回路401Aの入力バッファ504に導通接続される。出力端子502は出力バッファ506に導通接続される。双方向端子503は双方向バッファ507に導通接続される。入力バッファ504の入力側に接続されるプルアップ又はプルダウン抵抗505は、信号の特性に応じて適切な方が付加される(双方向バッファ507の場合も同様)。また、各バッファの入出力は、第2インタフェース及び第3インタフェースを兼ねる内部入出力バス508に接続される。内部入出力バス508には、図3に示されたFlashメモリ208、CPU301、メモリ制御部302、制御バス312が接続される。つまり、内部入出力バス508には内部入出力信号が伝送される。
バッファ504〜507は、いずれも3ステート・バッファである。これらの3ステート・バッファ504〜507がオープンの場合、第1インタフェースと第2インタフェース(及び第3インタフェース)とが非結合状態となる。また、クローズの場合、第1インタフェースと第2インタフェース(及び第3インタフェース)とが結合状態となる。各3ステート・バッファ504〜507をオープンにするかクローズにするかは、各3ステート・バッファ504〜507のイネーブル端子に接続されるイネーブル信号により制御される。このイネーブル信号は、CPU301により実現される入出力イネーブル制御部513により制御される。
結合制御部307は、二値回路の一例となるOR回路514を有している。OR回路514の入力には、Fuse402及びREG403からの信号線が接続される。そして、Fuse402とREG403の少なくとも一方が“1”の信号を生成するときは、当該“1”の信号を出力する。それ以外の場合は、“1”を“0”に変化させる。図5(a)の例では、この信号をマスク信号と呼ぶ。マスク信号は、NAND回路509〜512に入力される。マスク信号が“1”の場合、NAND回路509〜512のゲートが開き、入出力イネーブル制御部513から入力されるイネーブル信号が有効になる。つまり、第1インタフェースと第2インタフェースとを結合状態にする。このとき、第1インタフェースと第3インタフェースとの間も結合状態となる。それ以外の場合、結合制御部307は、第1インタフェースと第2インタフェース、第1インタフェースと第3インタフェースをそれぞれ非結合状態にする。すなわち、インタフェース間を物理的に遮断する。つまり、所定の条件を満たす場合を除き、第1インタフェースと第2インタフェースを物理的に非結合状態にする。
例えば図5(a)の構成の場合、OR回路514から出力されるマスク信号が“1”でない期間は、すべてのバッファ504,506,507の動作を停止する。そのため、内部入出力バス508と入力端子501、出力端子502、双方向端子503とがいずれも非結合状態となる。これにより、外部Flash端子311とFlashメモリ208とが非導通となるので、正当でない者が外部Flash端子311を通じてFlashメモリ208に外部アクセスを試みてもそれが不可能となる。
結合回路401は、入力元と出力先とを選択又は分配する回路として使用することもできる。図5(b)は、外部アクセスにより入力された信号及びセキュリティIC114の内部で生じた信号の出力先を選択又は分配する場合の回路構成例を示す。この場合にOR回路514から出力される信号をセレクト信号と呼ぶ。
マルチプレクサ(選択)515は、外部入力端子、例えば外部Flash入力端子517から入力された信号と内部入力バス518から入力された信号のどちらを内部出力バス519に入力するかを決定(選択)する。内部入力バス518には、例えばメモリ制御部302が接続される。内部出力バス519には、例えば内部Flashメモリ208が接続される。
OR回路514から出力され、マルチプレクサ515に入力されるセレクト信号が“1”の場合、外部Flash入力端子517が決定され、入力信号として例えばFlash制御装置310からの入力信号が選択される。他方、セレクト信号が“1”でない場合、つまり“0”の場合、内部入力バス518から入力された信号、例えば内部メモリ制御部302から入力された信号が選択される。
デマルチプレクサ516(分配)は、Flashメモリ208から出力される信号を外部出力端子、例えば外部Flash出力端子520又はメモリ制御部302のいずれに分配するかを決定する。セレクト信号が“1”の場合、外部Flash出力端子520(すなわち、Flash制御装置311への出力信号)へ分配される。他方、セレクト信号が“1”でない場合、つまり“0”の場合、メモリ制御部302への出力信号として分配される。従って、セレクト信号が“1”の期間は、外部Flash出力端子520(第1インタフェース)と第2インタフェースに接続された機能部品とが結合状態となる。
ここで、OR回路514から出力される信号のレベル(“1”/“0”)に応じて、外部Flash入力端子517とFlashメモリ208とがどのタイミングで結合状態となり、あるいは、非結合状態となるかについて図8を参照して説明する。図8は、OR回路514に入力されるFuse402及びREG403とOR回路514から出力されるセレクト信号との関係を示すタイムチャートである。横軸は、セキュリティIC114に電圧が印加される時間軸を示す。ある時刻T0を基点として、T0〜T1の間、Fuse402は切断されていない。つまり、OR回路514から出力されるセレクト信号(「OR」と表記)は“1”を維持しており、外部Flash出力端子520は、Flashメモリ208と結合状態にある。時刻T1で電源をOFFし、時刻T2でFuse402を切断した直後に再び電源ONしたとする。この場合、Fuse402とREG403の出力は、共に“0”となる。そのため、OR回路514から出力されるセレクト信号も“0”レベルとなり、外部Flash出力端子520とFlashメモリ208とが非結合状態となる。つまり、物理的に遮断された状態となる。時刻T3の直前に、後述する認証手段による認証結果が正当とされたとする。するとREG403は“1”となり、OR回路514から出力されるセレクト信号は“1”に遷移する。
時刻T4〜T6は、直前のセレクト信号が“1”で、時刻T4において電源OFFし、再び時刻T5において電源ON、時刻T6で再度REG403を“1”の状態へ信号遷移させるとする。時刻T3でのセレクト信号は“1”であるが、時刻T4の電源OFFによりREG403が初期化される。そのため、再び電源ONした時刻T5後、時刻T6の直前までセレクト信号は“0”の状態となる。そのため、外部Flash出力端子520は、F1ashメモリ208と再び物理的に遮断された状態となる。時刻T6において、認証手段による認証が行われ、REG403が“1”の状態になると(認証が成功すると)、セレクト信号も“1”となり、外部Flash出力端子520は、Flashメモリ208と再び物理的に接続状態となる。
このように、本実施形態では、電源ON状態で、且つFuse402の切断後は、後述する認証手段によりREG403を“1”の状態にすると、外部インタフェースと内部の機能部品とが結合状態となる。但し、結合状態が継続されるのは、セキュリティIC114が電源OFFされるまでの期間となる。
次に、セキュリティIC114と外部デバイス及び周辺デバイスとのデータの受け渡しについて説明する。上述したように、制御装置122上のコントローラIC201とセキュリティIC114との接続インタフェースはSATA−IF202のみであり、サイドバンド信号は生じない。従って、セキュリティIC114との間で受け渡されるデータは、全てSATA−IF202を介して行われる。具体的には、コマンド/ステータスパケットの送受信により行われる。本実施形態では、SATA規格における独自定義である拡張コマンドを使用してコマンド/ステータスパケットの送受信を行うものとする。
SATA規格における拡張コマンドの例を図6に示す。SATA規格では、リードコマンドやライトコマンドのように規格として定義されたもの以外に、コマンドの中身が未定義の空コマンドが準備されている。本実施形態では、この空コマンドに独自の定義を与えることにより、コマンド/ステータスパケットの送受信を行う。図6に示す表は、コマンド名601、機能602、CR603、FR604、TYPE605で構成されている。
CR603は、「Command Register」である。FR604は、「Features Register」である。TYPE605は、転送タイプを表す。なお、CR603やFR604は、SATA規格でタスクレジスタと呼ばれ、パケット内の所定の位置にレジスタとして定義される。CR603には、必ずSATA規格に定義されたコマンド番号をセットしなければならない。図6に示した表でCR603の列に記載されている“F0”は、未定義コマンドを示す番号である。FR604は、サブコマンド番号として独自に定義した拡張コマンドのコマンド番号である。コマンド名601列の上から順次“01”〜“08”が定義される。すなわち、SetUp(SU)コマンド606のコマンド番号が“01”となる。また、InstallSecretコマンド607のコマンド番号が“02”と定義される。以後、“08”までFR604が定義される。なお、実施に際しては、“F0”は“F0h”、“01”〜“08”は“01h”〜“08h”として認識される。TYPE605列に記された略称(POやPI)は、SATA規格で定義された転送タイプを示す記号である。ホストを基準としてOut(書き込み系)かIn(読み出し系)で、且つパケットにデータが伴うか、そうでないかで分類されている。
TYPE605列に記された記号において、POは、PIO−out転送プロトコル、PIはPIO−in転送プロトコルとして定義される。いずれもデータを伴う転送タイプである。データを伴わない(すなわち、レジスタ値のみ)場合は、ND、すなわちNon−Data転送プロトコルが定義される。各拡張コマンドの詳細内容については省略するが、一部の拡張コマンドの機能602について簡単に説明しておく。また、以下の説明の以降で各拡張コマンドを指定する場合には、括弧内に示す略称を用いることにする。
コマンド名601について具体的に説明すると、以下のようになる。SetUp(SU)コマンド606は、本実施形態では、コントローラIC201からセキュリティIC114の各種設定を行うために使用される。設定する事項としては、例えば、暗号機能やミラーリング機能の有効・無効設定やエラー時のタイムアウト時間の設定等がある。InstallSecret(秘密情報設定:IS)コマンド607は、秘密情報の設定を促すコマンドである。CrossCertificationHD(CCHD)及びCrossCertificationDHコマンド(CCDH)608、609は、コントローラIC201とセキュリティIC114間の相互認証を行うために利用される。相互認証は、チャレンジ&レスポンス方式で行う。RegisterTerminalIDコマンド(RT)610は、認証ID候補の登録を促すコマンド、つまり登録コマンドである。CertifyTerminalコマンド(CT)611は、端子認証コマンドである。GetSatusコマンド(GS)612は、セキュリティIC114内部のステータス情報取得を促すコマンドである。例えば、接続される前記HDD115、116の状態やエラー時の内容などを取得できる。GetIdentifyコマンド613は、セキュリティIC114の個体別に内部で生成される識別情報の取得を促すコマンドである。
図7は、RTコマンド610及びCTコマンド611について補足するものである。両コマンドの転送タイプであるPOにはデータパケット702が付随する。すなわち、コマンドパケット701の送信後、続いてデータパケット702が送信される。例えば、認証ID候補の登録コマンドであるRTコマンド610に付随するデータパケット703には、登録したい認証ID候補とハッシュ値を表すK値が送信される。認証ID候補は、外部アクセスを受け入れる外部インタフェース(例えば外部Flash端子311)を識別するための識別情報である認証IDの候補である。K値はハッシュ関数により導出される固有値(第1固有値)である。CTコマンド611に付随するデータパケット704には、外部端子認証処理時に使用する認証ID候補が送信される。このように、セキュリティIC114に対する各種設定や認証及びステータス取得等は、コントローラIC201から発行される拡張コマンドによって制御される。
次に、制御装置122の動作例について説明する。図9は、使用開始時にコントローラIC201が実行する初期化処理の手順説明図である。コントローラIC201では、CPU101が初期化処理を実行する。この初期化処理により、セキュリティIC114側では、CPU301が対応する処理を実行する。
図9を参照すると、CPU101は、セキュリティIC114の設定処理を行う(S11)。具体的には、図6に示したSU(SetUp)コマンド606に所定設定値を定義してCPU301へ送信する。SUコマンド606を受信したセキュリティIC114のCPU301は、SUコマンド606に定義された内容に応じて自身のセットアップを実行する。CPU301は、また、物理乱数を生成し、個体別に固有の個体識別情報を生成し、これを固有情報の一つとして、Flashメモリ208の所定の場所に格納する。個体識別情報は、暗号鍵生成の元データや認証ID候補の登録時の認証などに利用される。
その後、CPU101は、秘密情報の設定処理を行う(S12)。すなわち、CPU101は、図6に示したISコマンド607に秘密情報を定義し、これをCPU301へ送信する。ISコマンド607を受信したCPU301は、秘密情報をFlashメモリ208の所定の場所に格納する。CPU101は、次いで、CCHD(相互認証H⇒D)コマンド608及びCCDH(相互認証D⇒H)コマンド609を用いて、例えばチャレンジ&レスポンス方式でCPU301との相互認証処理を行う(S13)。相互認証が失敗した場合(S14:N)、CPU101は適切なエラー処理実行した後(S18)、初期化処理を終了する。エラー処理関連については、一般的なエラー処理を用いることができる。他方、CPU301は、SATA−IF202での通常アクセス可能なコマンドの受け渡しを遮断する。
S14において、相互認証が成功した場合(S14:Y)、CPU101は、GI(識別情報取得)コマンド613をCPU301へ送信する。GIコマンド613を受信したCPU301は、Flashメモリ208の所定の場所から個体識別情報の取得を試みる(S15)。個体別識別情報の取得に失敗した場合(S16:N)、CPU101はエラー処理実行した後(S18)、初期化処理を終了する。S16において、個体識別情報の取得に成功した場合(S16:Y)、CPU301は、Flashメモリ208から読み出した個体識別情報をステータスとしてCPU101に送信する。そして、通常運用を開始し(S18)、初期化処理を終了する。
ここで、S13の相互認証処理は、電源ON起動時に毎回実施する。相互認証の認証結果が通電中のみ有効となるためである。また、GIコマンド613により個体識別情報を取得したCPU101は、図2で説明したように制御装置122に接続されるボードA112のFlashメモリ210にその個体識別情報を格納する。ボードA112は、容易には取り外せない隠された位置に取り付けられていることを前提としている。
次に、外部アクセスを受け入れるための端子認証IDの登録処理について説明する。図10はCPU301が実行する処理の手順説明図である。この処理は、図9のS13で説明した相互認証処理の実行が前提となる(S21)。相互認証処理が失敗した場合(S22:N)、CPU301は、エラー処理を実行して(S23)、登録処理を終了する。エラー処理は、CPU301が端子認証IDの登録に失敗したことをステータスとしてCPU101に送信する処理である。CPU301は、また、SATA−IF202をHDD115、116から遮断する。
相互認証処理が成功した場合(S22:Y)、CPU301は、コマンドの取得を可能にする。取得したコマンドが登録コマンドではない場合(S24:N)、CPU301は、当該コマンド処理を実行する(S25)。S24において登録コマンドであったということは、図7に示されるように、CPU101が、RTコマンド610に適切な認証ID候補とK値(第1固有値)とをセットしてCPU301へ送信したことを意味する。この場合(S24:Y)、CPU301は、認証ID候補の登録コマンドを取得する取得手段として機能する。
その後、CPU301は、取得した認証ID候補から独自にK値の計算を行う(S26)。独自に計算したK値を第2固有値と呼ぶ。第2固有値となるK値の計算は、CPU301が、S15において取得し、Flashメモリ208に格納している個体識別情報を読み出して行う。K値は、個体識別情報と端子認証IDとを結合して計算したものである。従って、権限を持たない者は、個体識別情報を知らないので、K値を計算することができない。
第2固有値となるK値が算出されると、CPU301は、これをRTコマンド610に設定された第1固有値であるK値と比較する。不一致であれば(S27:N)、エラー処理を行う(S29)。その後、再びS24に戻り、コマンドの待機状態に入る。S27においてK値が一致した場合(S27:Y)、CPU301は、認証ID候補を端子認証IDと認識し、これを機能部品であるFlashメモリ208に記憶させる。つまり、CPU301は、端子認証IDの登録手段として機能する。その後、CPU301は、登録完了したことを表すOK返信をCPU101に対して行い、再びS24に戻る。
次に、登録完了後の認証処理の手順について、図11を参照して説明する。この認証処理は、CPU301が実行する。CPU301は、S13で説明した相互認証処理を実行する(S31)。相互認証処理が失敗した場合(S32:N)、CPU301は、エラー処理実行後(S33)、処理を終了する。また、SATA−IF202をHDD115、116から遮断する。
S32において、相互認証処理が成功した場合(S32:Y)、CPU301は、コントローラIC201からのコマンドの受付を開始する。受け付けたコマンドが端子認証コマンドでない場合(S34:N)、CPU301は、その他のコマンド処理を実行し、その後、S34に戻る。
S34において、受け付けたコマンドが端子認証コマンドであることは、CPU101がCTコマンド611に認証ID候補をセットしてCPU301へ送信し、認証ID候補が端子認証IDとして登録済であることを意味する。この認証ID候補を伴う端子認証コマンドを取得した場合、CPU301は認証手段として機能する。この場合(S34:Y)、CPU301は、設定された認証ID候補と自身がFlashメモリ208に格納している端子認証IDを読み出して比較処理を行う(S35)。一致した場合(S37:Y)、CPU301は、端子認証IDに対応する外部インタフェースと内部機能部品等とを非結合状態から結合状態に遷移させる。その後、CPU301は、後述する累積値Nを初期化(=0)し、外部端子認証が成功したこと(認証結果が正当性を表すこと)をステータスとしてCPU101に送信する。つまりOK返信を行う(S38)。その後、S34に戻り、コマンドの待機状態に入る。
S37において、IDが不一致であった場合(S37:N)、CPU301は、エラー処理として認証結果が正当でないことをステータスとしてCPU101に送信する。CPU301は、また、認証結果が正当でないとされた回数を累積する。すなわち「N→N+1」のカウントアップを行う(S39)。そして累積値Nが予め設定された上限回数を超えていないかどうかを判定する(S310)。上限回数は、権限の無い者が外部端子認証を繰り返す全検索攻撃を防御するために設定される数値である。本実施形態では、3回以下とする。上限回数は、SUコマンド606で設定されているものとする。この上限回数が3回を超えていない場合(S310:N)、再びS34に戻り、受信コマンドの待機状態に入る。
S310において、累積値Nが上限回数(3回)を超えた場合(S310:N)、CPU301は、外部アクセスのアクセス元に対する以後の認証を回避する。具体的にはSATA−IF202を遮断するなどして、コマンドの受け渡しを不能にする。また、CPU101は適切なエラー処理を実行し(S38)、処理を終了する。ここでは図示しないが、相互認証の再認証を実施することで運用を継続してもよい。
なお、外部端子と内部機能リソースとの結合状態は、例えば印刷装置の電源ON期間のみ継続し、電源OFF後は再び図10で説明した外部端子認証処理を実行するなど期間限定でもよい。
セキュリティIC114は、製品化以前の開発段階、IC内部のFlashメモリ208への書き込み及び出荷テストの段階では、Fuse402を通常状態(第1状態)にしておく。これにより、外部インタフェースと内部機能部品とを結合状態とし、製品化後はFuse402を物理的に遮断して非結合状態にする。その後は、外部端子IDを用いた認証処理の結果が正当性を維持する限り結合状態を維持し、その間に製品の障害への迅速な解析等に利用することができる。
なお、本実施形態では、不可逆手段としてFuse402の利用を挙げたが、同等の性質を持つ他の手段を利用してもよい。また、本実施形態では、Fuse402を1個利用する例を記載したが、当然ながら複数個用いても構わない。
[変形例]
本実施形態では、受け入れる外部インタフェースを識別するための認証IDとして外部端子IDを用いる場合の例について説明したが、第1インタフェースを識別するための認証IDを用いてもよい。また、本実施形態では、それぞれIC搭載の機能デバイスであるコントローラIC201とセキュリティIC114とを制御装置122に搭載した場合の例について説明したが、これらのIC搭載デバイスは、一つのパッケージに搭載したものであってもよい。

Claims (14)

  1. 機能部品を内蔵した機能デバイスであって、
    外部アクセスを可能にする外部インタフェースと、
    前記外部インタフェースと導通する第1インタフェースと、
    前記機能部品と導通する第2インタフェースと、
    所定の条件を満たす場合を除き、前記第1インタフェースと前記第2インタフェースとを物理的に遮断する結合制御手段と、
    を備えたことを特徴とする、機能デバイス。
  2. 前記結合制御手段は、前記所定の条件を満たす場合は第1値の信号を出力し、それ以外の場合は前記信号を前記第1値と異なる第2値に変化させる二値回路を含み、該二値回路が前記第1値の信号を出力する期間は前記第1インタフェースと前記第2インタフェースとが導通する結合状態とし、当該期間を除き前記第1インタフェースと前記第2インタフェースとが物理的に遮断された非結合状態にすることを特徴とする、
    請求項1に記載の機能デバイス。
  3. 前記第1インタフェースは、前記外部インタフェースからの外部アクセスを前記機能部品に伝える入力バッファ、前記機能部品からの情報を前記外部インタフェースに伝える出力バッファ、前記外部インタフェースと前記機能部品との間で双方向の情報の受け渡しを行う双方向バッファのいずれかを含み、
    前記結合制御手段は、前記二値回路が前記第1値の信号を出力しないときは当該信号を用いてすべてのバッファの動作を停止させることを特徴とする、
    請求項2に記載の機能デバイス。
  4. 前記機能部品を少なくとも2つ備え、
    前記第1インタフェースは、それぞれ前記外部インタフェースと導通する外部入力端子及び外部出力端子を含み、
    前記結合制御手段は、
    前記外部入力端子からの入力信号と第1機能部品からの入力信号のどちらを第2機能部品に伝えるかを決定するマルチプレクサと、
    前記第2機能部品からの出力信号を前記外部出力端子又は前記第1機能部品のどちらに伝えるかを決定するデマルチプレクサとを含み、前記二値回路が前記第2値の信号を出力するときは、前記マルチプレクサと前記デマルチプレクサの動作を停止させることを特徴とする、
    請求項2に記載の機能デバイス。
  5. 外部デバイスと導通する第3インタフェースをさらに備え、
    前記結合制御手段は、前記二値回路が前記第1値の信号を出力する期間は前記第1インタフェースと前記第3インタフェースとを前記結合状態とし、それ以外の場合は前記非結合状態とすることを特徴とする、
    請求項2ないし4のいずれか一項に記載の機能デバイス。
  6. 前記外部アクセスを認証する認証手段を備えており、
    前記二値回路は、前記認証手段による認証結果が正当性を維持する期間は前記第1値の信号を出力することを特徴とする、
    請求項5に記載の機能デバイス。
  7. 前記機能部品は、前記外部アクセスを受け入れる前記外部インタフェース、又は前記第1インタフェースを識別するための認証IDを記憶しており、
    前記認証手段は、前記外部アクセスに対して前記認証IDを用いた認証を行うことを特徴とする、
    請求項6に記載の機能デバイス。
  8. 前記二値回路は、前記認証結果に関わらず前記第1値の状態を不可逆的に形成する不可逆手段と、前記認証結果に応じて前記第1値の状態と前記第2値の状態とを可逆的に形成する可逆手段とのいずれかで形成された状態に基づいて前記信号を出力することを特徴とする、
    請求項7に記載の機能デバイス。
  9. 前記結合制御手段は、前記認証結果を通電中のみ有効とすることを特徴とする、
    請求項8に記載の機能デバイス。
  10. 前記機能デバイスに固有の個体識別情報を保持する保持手段と、
    認証ID候補と第1固有値とを伴う登録コマンドを取得する取得手段と、
    取得した前記認証ID候補と前記個体識別情報とに基づいて第2固有値を導出するとともに、導出した第2固有値と前記第1固有値とを比較し、一致した場合、前記認証ID候補を前記認証IDとして前記機能部品に記憶させる登録手段とを備えたことを特徴とする、
    請求項6に記載の機能デバイス。
  11. 前記認証手段は、前記個体識別情報を用いて前記外部アクセスの相互認証を行い、相互認証が成功したときに前記登録コマンドの取得を可能にすることを特徴とする、
    請求項10に記載の機能デバイス。
  12. 前記認証手段は、前記相互認証の認証結果が正当でない回数を累積し、累積値が予め設定された上限回数を超えたときは、前記外部アクセスのアクセス元に対する以後の認証を回避することを特徴とする、
    請求項11に記載の機能デバイス。
  13. 一つのパッケージに、請求項10に記載された機能デバイスと、前記外部インタフェースを通じて前記機能デバイスと接続されるコントローラとが収容されており、
    前記コントローラは、
    前記機能デバイスに前記登録コマンドを送信し、これにより前記機能デバイスとの情報の受け渡しを可能にすることを特徴とする、
    制御装置。
  14. 前記コントローラから前記機能デバイスへの前記登録コマンドがSATA規格のプロトコルに従う拡張コマンドに独自定義を与えることにより送信されることを特徴とする、
    請求項13に記載の制御装置。
JP2015237803A 2015-12-04 2015-12-04 機能デバイス、制御装置 Active JP6719894B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2015237803A JP6719894B2 (ja) 2015-12-04 2015-12-04 機能デバイス、制御装置
US15/361,677 US11003801B2 (en) 2015-12-04 2016-11-28 Functional device and control apparatus
CN201611104578.7A CN107066871B (zh) 2015-12-04 2016-12-05 功能装置和控制设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015237803A JP6719894B2 (ja) 2015-12-04 2015-12-04 機能デバイス、制御装置

Publications (3)

Publication Number Publication Date
JP2017102853A true JP2017102853A (ja) 2017-06-08
JP2017102853A5 JP2017102853A5 (ja) 2019-01-17
JP6719894B2 JP6719894B2 (ja) 2020-07-08

Family

ID=58798469

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015237803A Active JP6719894B2 (ja) 2015-12-04 2015-12-04 機能デバイス、制御装置

Country Status (3)

Country Link
US (1) US11003801B2 (ja)
JP (1) JP6719894B2 (ja)
CN (1) CN107066871B (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6498850B1 (ja) * 2017-06-30 2019-04-10 京セラ株式会社 セルスタック装置、燃料電池モジュールおよび燃料電池装置
JP2021522616A (ja) * 2018-10-29 2021-08-30 北京博衍思創信息科技有限公司 外付け端末保護デバイス及び保護システム
JP2021522619A (ja) * 2018-10-29 2021-08-30 北京博衍思創信息科技有限公司 ハードウェア制御ロジックに基づくデータ転送制御方法及びシステム

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102670373B1 (ko) * 2016-10-12 2024-05-28 삼성전자주식회사 반도체 소자 검사 장치 및 이를 포함하는 시스템
CN110489359B (zh) * 2019-08-22 2021-05-14 苏州国芯科技股份有限公司 一种数据传输控制方法及系统

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1005658B (zh) 1985-02-25 1989-11-01 国际标准电气公司 设备接口控制器
US4800523A (en) 1985-02-25 1989-01-24 Itt Corporation Device interface controller having device specific and device common instructions separately stored
US7058856B2 (en) 2000-07-18 2006-06-06 Oki Electric Industry Co., Ltd. Semiconductor circuit with flash ROM and improved security for the contents thereof
JP3760087B2 (ja) 2000-07-18 2006-03-29 株式会社 沖マイクロデザイン 半導体回路
JP4162846B2 (ja) 2000-12-11 2008-10-08 沖電気工業株式会社 マイクロコンピュータ
JP3705255B2 (ja) 2002-08-27 2005-10-12 セイコーエプソン株式会社 半導体装置及びそれを用いたインサーキットエミュレータ
JP4094977B2 (ja) 2003-03-20 2008-06-04 沖電気工業株式会社 半導体装置
US7274283B2 (en) 2004-04-29 2007-09-25 International Business Machines Corporation Method and apparatus for resisting hardware hacking through internal register interface
KR100666328B1 (ko) * 2005-02-11 2007-01-09 삼성전자주식회사 온 칩 메모리를 이용한 기밀 정보 보안 장치 및 보안 방법
JP2008165534A (ja) 2006-12-28 2008-07-17 Oki Electric Ind Co Ltd 半導体装置
CN102037473A (zh) 2008-06-23 2011-04-27 松下电器产业株式会社 信息处理装置、信息处理方法、实现它们的计算机程序及集成电路
US8332641B2 (en) 2009-01-30 2012-12-11 Freescale Semiconductor, Inc. Authenticated debug access for field returns
JP5452099B2 (ja) * 2009-07-01 2014-03-26 株式会社日立製作所 証明書の有効性確認方法、証明書検証サーバ、プログラム及び記憶媒体
JP5402598B2 (ja) 2009-12-11 2014-01-29 大日本印刷株式会社 認証処理装置、認証処理方法、認証処理プログラム、処理システム、及び現金自動預け払い機
US8782387B2 (en) * 2011-12-31 2014-07-15 International Business Machines Corporation Secure boot of a data breakout appliance with multiple subsystems at the edge of a mobile data network
US9256722B2 (en) 2012-07-20 2016-02-09 Google Inc. Systems and methods of using a temporary private key between two devices
CN102932949B (zh) 2012-11-08 2015-07-08 东莞宇龙通信科技有限公司 数据通信装置和数据通信方法
CN104904156B (zh) * 2013-01-08 2018-09-18 三菱电机株式会社 认证处理装置、认证处理系统以及认证处理方法
US9716708B2 (en) 2013-09-13 2017-07-25 Microsoft Technology Licensing, Llc Security certificates for system-on-chip security

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6498850B1 (ja) * 2017-06-30 2019-04-10 京セラ株式会社 セルスタック装置、燃料電池モジュールおよび燃料電池装置
JP2021522616A (ja) * 2018-10-29 2021-08-30 北京博衍思創信息科技有限公司 外付け端末保護デバイス及び保護システム
JP2021522619A (ja) * 2018-10-29 2021-08-30 北京博衍思創信息科技有限公司 ハードウェア制御ロジックに基づくデータ転送制御方法及びシステム
JP7029000B2 (ja) 2018-10-29 2022-03-02 北京博衍思創信息科技有限公司 外付け端末保護デバイス及び保護システム
JP7191990B2 (ja) 2018-10-29 2022-12-19 北京博衍思創信息科技有限公司 ハードウェア制御ロジックに基づくデータ転送制御方法及びシステム

Also Published As

Publication number Publication date
US20170161523A1 (en) 2017-06-08
JP6719894B2 (ja) 2020-07-08
US11003801B2 (en) 2021-05-11
CN107066871B (zh) 2020-12-22
CN107066871A (zh) 2017-08-18

Similar Documents

Publication Publication Date Title
CN107066871B (zh) 功能装置和控制设备
US20210042417A1 (en) Secure reconfiguration of hardware device operating features
EP2248063B1 (en) Method and apparatus for controlling system access during protected modes of operation
US9104894B2 (en) Hardware enablement using an interface
EP2391969B1 (en) Authenticated debug access for field returns
US20190253417A1 (en) Hardware device and authenticating method thereof
JP5572705B2 (ja) 電子資産を管理するためのシステムおよび方法
US6622184B1 (en) Information processing system
KR102604892B1 (ko) 집적 회로를 위한 상이한 엔티티들의 특권들의 관리
US8769295B2 (en) Computing system feature activation mechanism
JP7065578B2 (ja) 情報処理装置、その制御方法、及びプログラム
US20080196086A1 (en) Method and apparatus for authorizing a communication interface
JP2009521772A (ja) 組み込みデバイスへの電子的アクセスのための保護ポート
US11280829B1 (en) System-on-chip having secure debug mode
US20110016310A1 (en) Secure serial interface with trusted platform module
US11481523B2 (en) Secure element
JP5680617B2 (ja) 安全性を有するデータ共有システム及び実行方法
JP2007026051A (ja) 情報処理装置および情報処理システム
CN109150813B (zh) 一种设备的验证方法及装置
WO2007059701A1 (fr) Procede de cryptage systeme par micro-ordinateur mono-circuit polyvalent d'appoint
JP2010160765A (ja) システムlsi及びこのデバッグ方法
CN113518951A (zh) 控制系统、控制方法以及控制设备
US10193694B1 (en) Method and apparatus for securely configuring parameters of a system-on-a-chip (SOC)
TWI526873B (zh) 硬體配置裝置
CN116501680B (zh) I2c总线通信方法、从器件、主器件及i2c网络系统

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181127

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181127

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190913

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191008

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191209

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200519

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200617

R151 Written notification of patent or utility model registration

Ref document number: 6719894

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151