JP2019020872A - 電子制御装置、プログラム改ざん検知方法 - Google Patents

電子制御装置、プログラム改ざん検知方法 Download PDF

Info

Publication number
JP2019020872A
JP2019020872A JP2017136725A JP2017136725A JP2019020872A JP 2019020872 A JP2019020872 A JP 2019020872A JP 2017136725 A JP2017136725 A JP 2017136725A JP 2017136725 A JP2017136725 A JP 2017136725A JP 2019020872 A JP2019020872 A JP 2019020872A
Authority
JP
Japan
Prior art keywords
authenticator
program
verification
partial
electronic control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017136725A
Other languages
English (en)
Other versions
JP6949416B2 (ja
JP2019020872A5 (ja
Inventor
尊裕 司代
Takahiro Shidai
尊裕 司代
雄介 佐藤
Yusuke Sato
雄介 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Toyota Motor Corp
Original Assignee
Denso Corp
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp, Toyota Motor Corp filed Critical Denso Corp
Priority to JP2017136725A priority Critical patent/JP6949416B2/ja
Priority to PCT/JP2018/023808 priority patent/WO2019012952A1/ja
Publication of JP2019020872A publication Critical patent/JP2019020872A/ja
Publication of JP2019020872A5 publication Critical patent/JP2019020872A5/ja
Priority to US16/738,927 priority patent/US11392722B2/en
Application granted granted Critical
Publication of JP6949416B2 publication Critical patent/JP6949416B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/32Means for saving power
    • G06F1/3203Power management, i.e. event-based initiation of a power-saving mode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】改ざんの検証対象プログラムを分割した部分プログラム毎にプログラムの改ざんの検知処理を実施する電子制御装置において、起動時間の制約を満たしつつ、検証用認証子を記憶するために消費される記憶領域を抑制すること。
【解決手段】本発明の電子制御装置100は、プログラムを分割した複数の分割プログラム、および検証用認証子を記憶する記憶部11、15と、暗号演算により前記複数の分割プログラムそれぞれの部分認証子を生成する暗号演算部12、13、30と、複数の前記部分認証子を用いた論理演算を行って演算認証子を生成し、前記検証用認証子と前記演算認証子とが一致するか否かによって前記プログラムの改ざんの有無を検証する検証部14、30と、を有する。
【選択図】図1

Description

本発明は、プログラム改ざんを検知する電子制御装置に関するものである。
車両には、電子制御装置として、エンジン、ハンドル、ブレーキ等の制御を行う制御系ECU(Electronic Control Unit)や、メータやパワーウインドウ等の制御を行うボデー系ECUや、ナビゲーション装置等の情報系ECU等といった異なる種類のECUが搭載されている。これら、車両に搭載される車載ECUのプログラムには、例えば安全性を確保するため、起動時間に厳しい時間的制約が課せられるものが含まれる。
特許文献1には、自動車等の組み込み機器において、OS(Operating System)等が第三者によって改ざんされる危険に対し、意図したOS等のみを動作させるセキュアブート方法の発明が記載されている。同文献に記載のセキュアブート方法の発明は、高速かつ安全にシステムを起動させることを目的として、コンピュータが、システムのプログラム起動毎に、プログラムを複数に区分した部分プログラムのうち、検証対象となる部分プログラムを選択する選択工程と、選択した部分プログラムのハッシュ値を算出する算出工程と、算出したハッシュ値と正解ハッシュ値とが一致するかを判定し、一致する場合に起動処理を継続し、一致しない場合に起動処理を中断する検証工程とを、実行するものである。このように、特許文献1には、検証対象となるプログラム領域を複数の区分に分割し、各区分単位でプログラムの改ざんの有無の検証を順次実施することで、起動時間の制約を満しつつ、検証すべきすべてのプログラム領域を検証できることが記載されている。
特開2015−22521号公報
特許文献1に記載されているセキュアブート方法は、起動時の時間制約を満たすためにプログラム領域を分割した部分プログラムごとに、認証子として生成したハッシュ値と、あらかじめ記憶しておいた検証用認証子である正解ハッシュ値とを比較し、プログラムの改ざんの有無を検証する。
無線インターフェースを経由して外部からの情報が自動車に提供される新たなサービスに伴って、自動車が外部と接続される機会も増える。このため、車載ECUのプログラムが改ざんのリスクも増大するといえる。したがって、安全なシステム起動のために、改ざんの有無を頻繁に検証することが必要になる。例えば、バッテリ接続時に起動する車載ECUの場合、バッテリ接続時にしか起動しないため、次回のバッテリ接続まで起動するタイミングがなく、その間にプログラムが改ざんされると改ざんがあったことに気付くのが遅れてしまう。したがって、スリープモードからのウェイクアップ起動(低消費電力モードから通常モードへの移行)時にも、改ざんの有無の検証を実施するようにすることで、改ざんに早期に気づくことが可能となる。
一般に、スリープからのウェイクアップ起動時間の制約は、通常の起動時間の制約よりも厳しい。このため、スリープからウェイクアップ起動時における時間的制約を満たそうとすると、検証すべきプログラムの領域を細かく分けて、多数の部分プログラムに分割する必要がある。
特許文献1に記載のセキュアブート方法は、各部分プログラムに対して一つずつの検証用認証子(正解ハッシュ値)をあらかじめ記憶しておく必要がある。このため、部分プログラムの数が増加すると、記憶領域に記憶される検証用認証子の数も増加する。したがって、多数の検証用認証子が限られた記憶領域(メモリ)における多くの領域を占めるという問題が発生する。
本発明の目的は、改ざんの検証対象プログラムを分割した分割プログラム毎にプログラムの改ざんを検知する処理を行なう電子制御装置において、起動時間の制約を満たしつつ、検証用認証子を記憶するために消費される記憶領域を抑制することである。
上記課題を解決するために、本発明の電子制御装置(100、200)は、
プログラムを分割した複数の分割プログラム、および検証用認証子を記憶する記憶部(11、15)と、
暗号演算により前記複数の分割プログラムそれぞれの部分認証子を生成する暗号演算部(12、13、30、224)と、
複数の前記部分認証子を用いた論理演算を行って演算認証子を生成し、前記検証用認証子と前記演算認証子とが一致するか否かによって前記プログラムの改ざんの有無を検証する検証部(14、30、224)と、
を有する。
本発明の電子制御装置は、分割プログラムから生成された部分認証子を複数用いた論理演算によって生成された演算認証子と、あらかじめ同じ論理演算を行って生成された検証用認証子と、が一致するか否かにより、プログラムの改ざんの有無を検証する。この構成によって、記憶部にあらかじめ記憶しておく検証用認証子の数を分割プログラムの数よりも少なくすることができる。したがって、起動時間の制約を満たすためにプログラムの分割数を増やしても、検証用認証子の記憶に要する記憶部(メモリ)の消費量が少ない電子制御装置となる。
本発明の実施形態1に係る電子制御装置の構成を説明するブロック図 図1の電子制御装置によるプログラムの改ざんチェック処理の概要を模式的に示す説明図 図1の電子制御装置の動作を説明するフローチャート 本発明の実施形態2に係る電子制御装置の構成を説明するブロック図
以下、本発明の実施形態について、図面を参照して説明する。各図において、同じ機能または発明の構成要素に対応する部分には同じ符号を付し、重複する説明を適宜省略する。実施形態において構成の一部分のみを説明している場合、説明しない他の部分には、先行して説明した他の実施形態の構成を適用することができる。
なお、本発明は、特許請求の範囲に記載された発明を意味しており、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語は、特許請求の範囲に記載された語を意味し、同じく以下の実施形態に限定されるものではない。
また、特許請求の範囲の従属項に記載の構成及び方法、および従属項に記載の構成及び方法に対応する実施形態の構成及び方法は、本発明においては任意の構成及び方法である。
(実施形態1)
1.電子制御装置(ECU)の構成
本実施形態の電子制御装置の構成について以下に説明する。
図1に示すように、電子制御装置100は、ROM(Read Only Memory)10、RAM(Random Access Memory)20、CPU(Central Processing Unit)30、I/O(Input / Output)、およびこれらの構成を接続するバスラインなどから構成されている。
なお、本実施形態は、メッセージ認証コード(Message Authentication Code、MAC)を用いた暗号演算を用いることを主眼として記載しているが、本発明はHASH関数(Hash function)を用いた演算(SHA−256など)をはじめ、その他の演算も含むものである。
ROM10は、改ざんチェック用のプログラム保存部11、暗号演算部12、暗号鍵保存部13、認証子演算部14、および検証用認証子保存部15を備えている。
プログラム保存部11(本発明の「記憶部」に相当)には、改ざんチェック対象のプログラムが、複数のブロックに分割された分割プログラムとして記憶されている。プログラムの分割数は、電子制御装置100の用途や起動時間等を考慮して決定すればよい。
なお、「分割」とは、記憶領域で区切るなどして、プログラムの部分の開始点が特定されていればよく、プログラム自体を分割する必要は必ずしもない。
暗号演算部12(本発明の「暗号演算部」に相当)は、暗号演算プログラムが保存された領域である。暗号演算は、暗号演算部12のプログラムを読み込んだCPU(暗号演算部)30によって実施される。本実施形態では、CMAC(Cipher-based MAC)などのメッセージ認証コード(Message Authentication Code、MAC)を用いた暗号演算プログラムが暗号演算部12に保存されている。MAC以外の暗号演算としては、HASH関数(Hash function)を用いた演算(SHA−256など)が挙げられる。暗号演算により、複数の分割プログラムそれぞれの部分認証子を生成する。
暗号鍵保存部13は、暗号演算部12が暗号演算を実施する際に必要となる、MAC演算の暗号鍵が記憶された領域である。なお、暗号演算部12が暗号演算プログラムとして、HASH関数(Hash function)を用いた演算を行う場合は、暗号鍵は不要なので暗号鍵保存部13を用いる必要はない。
認証子演算部14(本発明の「検証部」に相当)は、改ざんチェック用のプログラム保存部11の各分割プログラムについて生成された、複数の部分認証子を用いて演算認証子を生成する論理演算プログラムが記憶された領域である。論理演算は、認証子演算部14のプログラムを読み込んだCPU(検証部)30によって実施される。認証子演算部14において用いられる論理演算については、図2および図3を参照して後に説明する。また、プログラムの改ざんの有無の検証についても、図2および図3を参照して後に説明する。
検証用認証子保存部15(本発明の「記憶部」に相当)は、改ざんを検証する対象であるプログラム保存部11に記憶された検証対象のプログラムの検証用認証子が保存された領域である。検証用認証子は、プログラム保存部11のプログラムについて、所定の暗号演算および論理演算をあらかじめ行うことにより生成されたものである。
電子制御装置100は、ROM10に保存されているプログラム保存部11を書き換え可能な機能(リプログラム機能)を備えていてもよい。この場合、プログラム保存部11の書き換えにより、検証用認証子も変化するから、併せて検証用認証子保存部15も書き換える必要がある。リプログラム機能を備えている場合、外部から接続される可能性が高くなるから、検証用認証子の記憶に要する領域を増大させることなく、プログラム保存部11の分割数を増やすことができる電子制御装置100は有用である。
RAM20は、次回MAC生成対象ブロック保存部21および認証子保存部22を備えている。
次回MAC生成対象ブロック保存部21には、ブロック番号やROM10におけるアドレス等、次にMAC生成の対象となる分割プログラムを特定できる情報が保存される。
認証子保存部22には、認証子が生成される毎に、新たな認証子が上書き保存される。
CPU30は、プログラムを実行する装置であり、プログラム保存部11のプログラム改ざんを検証する際には、暗号演算部12および認証子演算部14の各プログラムを実行する。
2.改ざんチェック処理
上述した構成を備えた電子制御装置100による、プログラムの改ざんチェック処理について、図2を参照して説明する。
図2に示すように、ROM10のプログラム保存部11に書かれたプログラムをチェック対象とする改ざんチェック処理では、MAC演算および論理演算が行われる。以下、MAC演算および論理演算について順に説明する。
2.1.MAC演算
MAC演算は、メッセージ認証コード(MAC)を用いた暗号演算であり、暗号演算部12のプログラムの実行として、暗号鍵保存部13の暗号鍵を用いて、ROM10の改ざんチェック領域10Aのブロック1〜ブロックnの各分割プログラムを対象として行われる。MAC演算の結果として、ブロック1〜ブロックnの各分割プログラムそれぞれに対してMAC1〜MACn(部分認証子)が生成される。生成されたMACは、例えば、AES(Advanced Encryption Standard)128の暗号アルゴリズムを用いた演算の場合は、128ビットである。なお、SHA(Secure Hash Algorithm)−256のHASH関数を用いた演算の場合は、生成されるHASH値は、256ビットである。
ROM10は、n個の部分プログラムが保存されたプログラム保存部11が置かれた改ざんチェック領域10Aと、それ以外の非改ざんチェック領域10Bとに分かれている。
改ざんチェック領域10Aには、ブロック1〜ブロックnに分割された部分プログラムが保存されている。以下では、ブロック1〜ブロックnの部分プログラムを、適宜、ブロック1〜ブロックnということもある。
非改ざんチェック領域10Bには、検証用認証子が保存されている。検証用認証子は、演算によってあらかじめ生成されたものであり、認証子[1−n](演算用認証子)と比較して、ブロック1〜ブロックnが改ざんされたものが含まれるか否かの判定に用いられるから、重要性の高いデータである。このため、ROM10の非改ざんチェック領域10Bはセキュア領域として構成されている。セキュア領域とは、記憶されている情報へのアクセスが困難であって、情報を保護する機能が高い領域をいう。
図2には、非改ざんチェック領域10Bの全部がセキュア領域として構成された例を示す。しかし、非改ざんチェック領域10Bはセキュア領域ではなく、改ざんチェック領域10Aと同程度の情報保護機能の領域であってもよい、また、一部をセキュア領域としてもよい。
なお、図2では省略しているが、ROM10の非改ざんチェック領域10Bには、暗号演算部12、暗号鍵保存部13および認証子演算部14(図1参照)も置かれている。
2.2.論理演算
ブロックx(xは2〜nの整数)の暗号演算によってMACxが算出されると、RAM20の認証子保存部22に記憶されている認証子とMACxとの論理演算が行われて、認証子[1−x]が生成され、認証子保存部22に上書きされる。併せて、次回MAC生成対象ブロック保存部21にブロックx+1を特定するブロック番号x+1が保存される。
論理演算としては、論理積(AND演算)、論理積の否定(NAND演算)、論理和(OR演算)、論理和の否定(NOR演算)、排他的論理和(XOR演算)および、排他的論理和の否定(XNOR演算=一致論理)が挙げられる。これらのうちでは、排他的論理和および排他的論理和の否定が、真理値表における0と1との数が同じであることから、論理演算の繰り返しによって、0または1の一方に収束しないという点において好ましい。
2.3.MAC演算と論理演算との関係
MAC演算および論理演算はそれぞれ、2.1および2.2で説明したように実施される。以下では、MACがブロック番号順に生成される場合、MAC演算により生成される部分認証子と、論理演算により生成される演算認証子とが、それぞれ、どのように用いられるかについて、順次実施されるブロック1〜ブロックnの演算処理に沿って順に説明する。
ブロック1のMAC1は、最初に生成される部分認証子である。このため、MAC1が生成された時点では、複数の部分認証子を用いた論理演算を行うことができない。そこで、認証子[1](演算認証子)として、ブロック1のMAC1がRAM20の認証子保存部22に保存される。併せて、次回MAC生成対象ブロック保存部21の次回MAC生成対象ブロックを2にする。
続いて、ブロック2のMAC2が生成されると、認証子保存部22の認証子[1]とMAC2との論理演算を行って生成された認証子[1−2](演算認証子)が認証子保存部22に上書き保存される。併せて、次回MAC生成対象ブロック保存部21の次回MAC生成対象ブロックを3にする。
認証子[1]はMAC1と同一だから、MAC2と認証子[1]との論理演算は、2つの部分認証子を用いて行われたものである。
さらに、ブロック3のMAC3が生成されると、認証子保存部22の認証子[1−2]とMAC3との論理演算を行って生成された認証子[1−3](演算認証子)が認証子保存部22に上書き保存される。併せて、次回MAC生成対象ブロック保存部21の次回MAC生成対象ブロックを4にする。
認証子[1−2]は、MAC1とMAC2とを用いた論理演算により生成されたものであるから、認証子[1−2]とMAC3との論理演算は、3つの部分認証子MAC1、MAC2およびMAC3を用いて行われたものである。本発明において、論理演算に用いられた「複数の部分認証子」には、先の論理演算で用いられた部分認証子が含まれる。
ブロックXのMACX(X=4〜n−1)が生成された場合の演算処理は、ブロック3と同様である。
最後に、ブロックnのMACnが生成されると、認証子保存部22の認証子[1−n-1]とMACnとの論理演算を行って生成された認証子[1−n](演算認証子)が認証子保存部22に上書き保存される。併せて、次回MAC生成対象ブロック保存部21の次回MAC生成対象ブロックを1に初期化する。
認証子[1−n-1]は、MAC1〜MACn-1を用いた論理演算により生成されたものであるから、認証子[1−n-1]とMACnとの論理演算は、部分認証子MAC1〜MACnのすべてを用いて行われたものである。
認証子[1−n]は、ブロック1〜ブロックnのMAC1〜MACn(部分認証子)のすべてを用いて行われた論理演算の結果として、生成された演算認証子である。したがって、ブロック1〜ブロックnのいずれかが改ざんされた場合、MAC1〜MACnのいずれかを介して、認証子[1−n]に当該改ざんが反映される。したがって、改ざんがある場合、認証子[1−n]と、事前の演算によって求められた検証用認証子とは一致しない。
そこで、認証子[1−n]と検証用認証子とを比較して、一致しない場合にはプログラムの改ざん有、一致する場合にはプログラムの改ざん無、と判断することができる。当該比較によって、プログラムの改ざん有と判断した場合には、電子制御装置100(図1参照)の起動を中止したり、警告表示を出したりする。
電子制御装置100は、MAC1〜MACnのすべてを用いた演算を行って認証子[1−n](演算認証子)生成し、検証用認証子とを比較して、プログラム保存部11(図1参照)の改ざんの有無を判断する。このため、ROM10の検証用認証子保存部15には一つの検証用認証子を保存すれば足りる。
したがって、従来のように、分割したブロック毎にプログラムの改ざんの有無を検証する、ブロック数と同じ数の検証用認証子が必要なものよりも、ブロック数nから1を引いたn−1個の検証用認証子の記憶容量を削減することができる。
例えば、部分認証子であるMAC1〜MACnとして128ビットのものを用いた場合、(n−1)×128ビットの記憶容量を削減することができる。電子制御装置100によれば、改ざん検証の対象となるプログラムの分割数が多くなるほど、ROM10の記憶容量の削減効果が高くなる。プログラムの分割数の増大は、起動処理が中断した場合に、それまでの処理が無駄になることを防止し、電子制御装置100の起動時間を短縮するために有効である。
図2では、検証用認証子が一つである場合記載した。このように、検証用認証子を一つにすることは、ROM10の検証用認証子保存部15の記憶容量を削減する観点から好ましいといえる。
ただし、検証用認証子保存部15に保存される検証用認証子の数は、一つに限られず、複数としてもよい、検証用認証子を複数とする場合、ブロック1〜ブロックnを複数のグループに分け、各グループ用の検証用認証子をあらかじめROM10に記憶しておく。そして、各グループの部分認証子をすべて用いた論理演算による検証用認証子を生成し、検証用認証子と比較し、当該グループに含まれる分割プログラムの改ざんの有無を判断する。
認証子[1]〜認証子[1−n]の算出を連続して、一度で行うことが出来ない場合、暗号演算や論理演算の途中で改ざんチェック処理が中止される。この場合、認証子保存部22には、中止されるまでの改ざんチェック処理によって得られた認証子(演算認証子)が保存されている。また、次回MAC生成対象ブロック保存部21には、認証子が得られた論理演算の次に、MAC生成対象となるブロックが保存されている。したがって、中止される迄の改ざんチェック処理で、認証子を生成した論理演算の次の暗号演算から再開することができる。そして、再開した暗号演算に続く論理演算では、認証子保存部22の認証子を用いることができため、中断されるまでに完了したブロックに対する暗号処理および論理演算の結果を有効に用いることができる。
したがって、プログラムを分割して、改ざんチェック処理を行うことによって、プログラム検証に要する時間を短縮することが可能になる。
RAM20は、低消費電力モードから通常モードへの起動(Wake Up起動)において、初期化されない非初期化領域20Aと、初期化される初期領域20Bとからなっている。非初期化領域20Aには、次回MAC生成対象ブロック保存部21と認証子保存部22とが置かれている。このため、認証子1〜認証子[1−n]が算出される毎に書き換えられた次回MAC生成対象ブロック保存部21、および認証子保存部22に書き込まれた情報は、Wake Up起動時に維持される。したがって、認証子1〜認証子[1−n]の演算途中で、再起動が生じた場合、再起動前に記録された次回MAC生成対象ブロック保存部21および認証子保存部22の情報に基づいて、改ざんチェック処理を再開することができる。
次回MAC生成対象ブロック保存部21および認証子保存部22が保存される領域は、Wake Up起動時に初期化されない領域であれば、改ざんチェック処理の中断から素早く再開することができる。このため、次回MAC生成対象ブロック保存部21および認証子保存部22を、EEPROMやData Flash等の書き換え可能な不揮発性メモリに保存してもよい。ただし、処理速度は、例示の不揮発性メモリよりもRAM20の方が速いため、電子制御装置100の起動時における時間制約を満たすことができる場合に限って、前記例示の不揮発性メモリを使用できる。
本発明は、電子制御装置を複数備えた電子制御装置ユニットとして実施することもできる。電子制御装置を複数備えた電子制御装置ユニットは、起動時における時間的制約が異なる電子制御装置が組み合わせて用いられることが多い。したがって、記憶部に記憶されている分割プログラムの分割数を、複数の電子制御装置の用途や、移動時の時間的制約に応じて、異ならせることが好ましい。これにより、電子制御装置の各起動時間の制約を満たしつつ、電子制御装置ユニットにおける記憶部全体としてメモリの消費量を抑制することができる。
3.プログラム改ざん検知方法
図3を参照して、上述した電子制御装置100によるプログラム改ざん検知方法について、説明する。
プログラム改ざん検知方法は、CPU30が暗号演算部12および認証子演算部14(図1参照)のプログラムを読み込んで実行するものであり、電子制御装置100の起動時、低消費電力モードから通常モードに移行する際等にコールされる。低消費電力モードは、電子制御装置100が、通常モードにおいて行う処理の一部を行わない、消費電力が通常モードよりも小さい状態をいう。実行中のプログラムがメモリに保存され一時的に停止するスリープモードは、低消費電力モードの一例である。
S10では、RAM20の次回MAC生成対象ブロック保存部21に記録されているブロック番号を参照して、ブロック番号が1以外であるか否かが判定される。そして、次回MAC生成対象ブロック保存部21のブロック番号が1以外ではない場合(1である場合)には(S10:NO)S20(暗号演算ステップ)に処理が移行され、次回MAC生成対象ブロック保存部21のブロック番号が1以外である場合には(S10:YES)S50(暗号演算ステップ)に移行する。
S20では、MAC生成対象ブロックであるブロック1の分割プログラムのMAC1を生成し、S30に移行する。
S30では、S20で生成されたMAC1をRAM20の認証子保存部22に、認証子として記憶し、S40(認証子演算ステップ)に移行する。
S40では、RAM20の次回MAC生成対象ブロック保存部21に、次回MAC生成対象ブロックとして、S20においてMACを生成した部分プログラムのブロック番号に1を加えたブロック番号を書き込んで(設定して)、本処理を終了する。
S50では、MAC生成対象ブロックである、ブロック番号x(xは2〜nの整数)の分割プログラムのMACxを生成して、S60(認証子演算ステップ)に移行する。
S60では、認証子演算部14が、S50で生成されたMACとRAM20の認証子保存部22に記憶されている認証子[1−(x−1)]との論理演算を行い、認証子[1−(x)]を算出し、S70に移行する。
S70では、RAM20の認証子保存部22に、生成された認証子[1−x]を記憶し、S80に移行する。
S80では、S50でMACが生成されたブロックが最終ブロックか否か、すなわち、MACが生成されたブロックのブロック番号xが、分割プログラムのブロック数nと等しい(x=n)か否かが判断される。
x=nである場合には(S80:Yes)、S70で認証子保存部22に記憶された認証子[1−n]は、すべての分割プログラムの部分認証子を用いた論理演算の結果得られたものである。すべての分割プログラムのなかに、改ざんされたプログラムが含まれるか否かを検証する検証用認証子として用いることができる。そこで、S90(検証ステップ)に移行する。
x=nでない場合には、S40に移行する。
S90では、認証子保存部22に保存されている認証子[1−n]と、検証用認証子保存部15に保存されている検証用認証子と、を比較する。
S100(検証ステップ)では、S90において比較した値が一致したか否を判断する。
一致する場合には(S100:YES)S110に処理が移行され、一致しない場合には(S100:YES)S120に処理が移行される。
S110では、改ざんチェック結果を改ざんなしに設定し、S130に移行する。
S120では、改ざんチェック結果を改ざんありに設定し、S130に移行する。
S130では、次回MAC生成対象ブロック保存部21のブロック番号を1に初期化して、本処理を終了する。
本発明は、上述したプログラム改ざん検知方法をコンピュータに実行させるプログラムとして実施することもできる。当該プログラムは、電子制御装置が起動する際や、低消費電力モードから通常モードに移行する際に実行される。
以上のように、本実施形態の電子制御装置によれば、プログラムを分割した分割プログラム毎に必要となる各部分認証子そのものではなく、複数の部分認証子を用いて論理演算を行って得られる演算認証子を検証用認証子との比較対象とし、プログラムの改ざんの有無を検知する。これにより、記憶すべき検証用認証子の数を削減し、ROMの大量消費を抑えることが可能になる。
(実施形態2)
セキュリティチップを利用する電子制御装置(ECU)に本発明を適用する形態について説明する。
図4に示すように、本実施形態の電子制御装置200は、ROM210、セキュリティチップ220、RAM20、CPU30、およびI/Oおよびこれらの構成を接続するバスラインを備えている。
電子制御装置200は、ROM10に代えて、ROM210およびセキュリティチップ220を備えている構成において、電子制御装置100と異なっている。ROM10の各部のうち、ROM210に配置されているのはプログラム保存部11のみである。プログラム保存部11以外は、耐タンパー性(記憶データを解析する困難さ)が高いセキュリティチップ220に置かれている。
セキュリティチップ220は、セキュア(Secure)CPU224、セキュア(Secure)RAM223、セキュアインターフェース(Secure I/F)、ハードウェアIPモジュール(HWIP)221、およびセキュア(Secure)ROM222を備えている。ハードウェアIPモジュール221は、暗号演算部12を有している。セキュア(Secure)ROM222は、暗号鍵保存部13、認証子演算部14および検証用認証子保存部15を有している。セキュア(Secure)RAM223は、次回MAC生成対象ブロック保存部21、および認証子保存部22を有している。そして、実施形態1においては、図2の各種暗号演算や図3のフローの処理はCPU30が実行していたが、本実施形態においてはセキュア(Secure)CPU224がこれを実行する。
以上のように、プログラム改ざんの有無を検証する処理に用いられるプログラム(および演算認証子や次回MAC生成対象ブロック等の一時データ)、暗号鍵、および検証用認証子をセキュリティチップ220に記憶することにより、これらプログラム(および上記一時データ)、暗号鍵、および検証用認証子にアクセスされることを防止することができる。
(総括)
本発明の電子制御装置の形態の例として、半導体、電子回路、モジュール、マイクロコンピュータが挙げられる。またこれらにアンテナや通信用インターフェースなど、必要な機能を追加してもよい。また、カーナビゲーションシステム、スマートフォン、パーソナルコンピュータ、携帯情報端末のような形態をとることも可能である。
加えて、本発明は、上述の専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録したプログラム、及びこれを実行可能な専用又は汎用CPU及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。
専用や汎用のハードウェアの記憶領域(外部記憶装置(ハードディスク、USBメモリ等)、内部記憶装置(RAM,ROM等))に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して上述の専用又は汎用のハードウェア(本発明の「コンピュータ」に相当」に提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。
本発明にかかる電子制御装置は、車載用電子制御装置(ECU)として用いることができる。もちろん、車載用以外の電子制御装置も本発明に含むものである。
10 ROM(記憶部)、10A 非改ざんチェック領域、10B 非改ざんチェック領域、11 プログラム保存部(記憶部)、12 暗号演算部(暗号演算部)、13 暗号鍵保存部、14 認証子演算部(検証部)、15 検証用認証子保存部(記憶部)、20 RAM、20A 非初期化領域、20B 初期領域、21 次回MAC生成対象ブロック保存部、22 認証子保存部、30 CPU(暗号演算部、検証部)、100、200 電子制御装置(電子制御装置)

Claims (9)

  1. プログラムを分割した複数の分割プログラム、および検証用認証子を記憶する記憶部(11、15)と、
    暗号演算により前記複数の分割プログラムそれぞれの部分認証子を生成する暗号演算部(12、13、30、224)と、
    複数の前記部分認証子を用いた論理演算を行って演算認証子を生成し、前記検証用認証子と前記演算認証子とが一致するか否かによって前記プログラムの改ざんの有無を検証する検証部(14、30、224)と、
    を有する電子制御装置。
  2. 前記記憶部(11)に記憶されている前記検証用認証子が一つであり、
    前記検証部(14、30、224)が、すべての前記部分認証子を用いた論理演算を行って一つの演算認証子を生成し、前記一つの検証用認証子と前記一つの演算認証子とが一致するか否かによって前記プログラムの改ざんの有無を検証する、
    請求項1に記載の電子制御装置。
  3. 前記検証部(14、30、224)が行う前記論理演算が、排他的論理和(XOR演算)または排他的論理和の否定(XNOR演算)である、
    請求項1または2に記載の電子制御装置。
  4. プログラムを分割した複数の分割プログラムそれぞれの部分認証子を生成する暗号演算ステップ(S20、S50)と、
    前記暗号演算ステップ(S20、S50)により得られた複数の前記部分認証子を用いて論理演算を行って演算認証子を生成する認証子演算ステップ(S60)と、
    前記演算認証子と、あらかじめ求めた検証用認証子とが一致するか否かを判定する検証ステップ(S90、S100)と、
    を有するプログラム改ざん検知方法。
  5. 電子制御装置が起動する際に前記各ステップを実行する、
    請求項4に記載のプログラム改ざん検知方法。
  6. 電子制御装置の低消費電力モードから通常モードに移行する際に前記各ステップを実行する、
    請求項4に記載のプログラム改ざん検知方法。
  7. プログラムを分割した複数の分割プログラムそれぞれの部分認証子を生成する暗号演算ステップ(S20、S50)と、
    前記暗号演算ステップ(S20、S50)により得られた複数の前記部分認証子を用いて論理演算を行って演算認証子を生成する認証子演算ステップ(S60)と、
    前記演算認証子と、あらかじめ求めた検証用認証子とが一致するか否かを判定する検証ステップ(S90、S100)と、
    を有するプログラム改ざん検知方法、をコンピュータに実行させるプログラム。
  8. プログラムを分割した複数の分割プログラムそれぞれの部分認証子を生成する暗号演算ステップ(S20、S50)と、
    前記暗号演算ステップ(S20、S50)により得られた複数の前記部分認証子を用いて論理演算を行って演算認証子を生成する認証子演算ステップ(S60)と、
    前記演算認証子と、あらかじめ求めた検証用認証子とが一致するか否かを判定する検証ステップ(S90、S100)と、
    を有するプログラム改ざん検知方法、を電子制御装置が起動する際にコンピュータに実行させるプログラム。
  9. プログラムを分割した複数の分割プログラムそれぞれの部分認証子を生成する暗号演算ステップ(S20、S50)と、
    前記暗号演算ステップ(S20、S50)により得られた複数の前記部分認証子を用いて論理演算を行って演算認証子を生成する認証子演算ステップ(S60)と、
    前記演算認証子と、あらかじめ求めた検証用認証子とが一致するか否かを判定する検証ステップ(S90、S100)と、
    を有するプログラム改ざん検知方法、を電子制御装置の低消費電力モードから通常モードに移行する際にコンピュータに実行させるプログラム。
JP2017136725A 2017-07-13 2017-07-13 電子制御装置、プログラム改ざん検知方法 Active JP6949416B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2017136725A JP6949416B2 (ja) 2017-07-13 2017-07-13 電子制御装置、プログラム改ざん検知方法
PCT/JP2018/023808 WO2019012952A1 (ja) 2017-07-13 2018-06-22 電子制御装置、プログラム改ざん検知方法、プログラム改ざん検知方法のプログラム、およびコンピュータ読み出し可能持続的有形記録媒体
US16/738,927 US11392722B2 (en) 2017-07-13 2020-01-09 Electronic control device, program falsification detection method, and computer readable non- transitory tangible storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017136725A JP6949416B2 (ja) 2017-07-13 2017-07-13 電子制御装置、プログラム改ざん検知方法

Publications (3)

Publication Number Publication Date
JP2019020872A true JP2019020872A (ja) 2019-02-07
JP2019020872A5 JP2019020872A5 (ja) 2019-12-26
JP6949416B2 JP6949416B2 (ja) 2021-10-13

Family

ID=65002583

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017136725A Active JP6949416B2 (ja) 2017-07-13 2017-07-13 電子制御装置、プログラム改ざん検知方法

Country Status (3)

Country Link
US (1) US11392722B2 (ja)
JP (1) JP6949416B2 (ja)
WO (1) WO2019012952A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2021015204A1 (ja) * 2019-07-23 2021-01-28
JP7427697B2 (ja) 2022-02-08 2024-02-05 本田技研工業株式会社 電子機器監視装置、移動体、及び電子機器監視方法
US11966746B2 (en) 2021-03-16 2024-04-23 Fujifilm Business Innovation Corp. Information processing apparatus and non-transitory computer readable medium storing information processing program for recovering error

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7012922B2 (ja) 2020-01-28 2022-01-28 三菱電機株式会社 認証子管理装置、認証子管理プログラム及び認証子管理方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007226610A (ja) * 2006-02-24 2007-09-06 Alpine Electronics Inc プログラム正当性検証装置
JP2010508719A (ja) * 2006-10-27 2010-03-18 クゥアルコム・インコーポレイテッド 合成メッセージ認証コード
JP2015055898A (ja) * 2013-09-10 2015-03-23 富士通セミコンダクター株式会社 セキュアブート方法、半導体装置、及び、セキュアブートプログラム
JP2015090682A (ja) * 2013-11-07 2015-05-11 キヤノン株式会社 画像形成装置、その制御方法及びプログラム
WO2016185577A1 (ja) * 2015-05-20 2016-11-24 富士通株式会社 プログラム検証方法、検証プログラム、及び情報処理装置
JP2017509082A (ja) * 2014-03-25 2017-03-30 オベルトゥル テクノロジOberthur Technologies 不揮発性メモリ又はセキュア素子へのデータの読み込みを安全に行うこと

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3763477A (en) * 1971-08-02 1973-10-02 Bell Telephone Labor Inc Magnetic domain logic control arrangement
US20040189713A1 (en) * 2001-10-31 2004-09-30 Metacyber.Net Computer-based user interface for a memory-resident rapid comprehension document for original source information
EP2053533A4 (en) * 2006-11-09 2011-03-23 Panasonic Corp FAKE DETECTION SYSTEM, FAKE DETECTION METHOD, FAKE IDENTIFICATION PROGRAM, RECORDING MEDIUM, INTEGRATED CIRCUIT, DEVICE FOR GENERATING AUTHENTICATION INFORMATION AND FAKE DETECTION DEVICE
EP2413600A4 (en) * 2009-03-25 2015-03-18 Lg Electronics Inc IPTV RECEIVER AND METHOD THEREFOR FOR DOWNLOADING CONTENT
JP2012078953A (ja) 2010-09-30 2012-04-19 Kyocera Mita Corp 改ざん検知装置及び改ざん検知方法
US8780635B2 (en) * 2012-11-09 2014-07-15 Sandisk Technologies Inc. Use of bloom filter and improved program algorithm for increased data protection in CAM NAND memory
JP2015022521A (ja) 2013-07-19 2015-02-02 スパンション エルエルシー セキュアブート方法、組み込み機器、セキュアブート装置およびセキュアブートプログラム
WO2015013440A1 (en) * 2013-07-23 2015-01-29 Battelle Memorial Institute Systems and methods for securing real-time messages
KR102509594B1 (ko) * 2016-06-28 2023-03-14 삼성전자주식회사 어플리케이션 코드의 위변조 여부 탐지 방법 및 이를 지원하는 전자 장치
US10075425B1 (en) * 2016-08-26 2018-09-11 Amazon Technologies, Inc. Verifiable log service
US10558812B2 (en) * 2017-06-21 2020-02-11 Microsoft Technology Licensing, Llc Mutual authentication with integrity attestation

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007226610A (ja) * 2006-02-24 2007-09-06 Alpine Electronics Inc プログラム正当性検証装置
JP2010508719A (ja) * 2006-10-27 2010-03-18 クゥアルコム・インコーポレイテッド 合成メッセージ認証コード
JP2015055898A (ja) * 2013-09-10 2015-03-23 富士通セミコンダクター株式会社 セキュアブート方法、半導体装置、及び、セキュアブートプログラム
JP2015090682A (ja) * 2013-11-07 2015-05-11 キヤノン株式会社 画像形成装置、その制御方法及びプログラム
JP2017509082A (ja) * 2014-03-25 2017-03-30 オベルトゥル テクノロジOberthur Technologies 不揮発性メモリ又はセキュア素子へのデータの読み込みを安全に行うこと
WO2016185577A1 (ja) * 2015-05-20 2016-11-24 富士通株式会社 プログラム検証方法、検証プログラム、及び情報処理装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
平井 由土,大槻 繁雄, GUI時代の情報システム, vol. 第1版, JPN6021000676, 20 December 1994 (1994-12-20), pages 47 - 49, ISSN: 0004425453 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2021015204A1 (ja) * 2019-07-23 2021-01-28
WO2021015204A1 (ja) * 2019-07-23 2021-01-28 株式会社ソニー・インタラクティブエンタテインメント アクセス制御装置、アクセス制御方法及びプログラム
JP7178500B2 (ja) 2019-07-23 2022-11-25 株式会社ソニー・インタラクティブエンタテインメント アクセス制御装置、アクセス制御方法及びプログラム
US11966746B2 (en) 2021-03-16 2024-04-23 Fujifilm Business Innovation Corp. Information processing apparatus and non-transitory computer readable medium storing information processing program for recovering error
JP7427697B2 (ja) 2022-02-08 2024-02-05 本田技研工業株式会社 電子機器監視装置、移動体、及び電子機器監視方法

Also Published As

Publication number Publication date
US20200151361A1 (en) 2020-05-14
WO2019012952A1 (ja) 2019-01-17
JP6949416B2 (ja) 2021-10-13
US11392722B2 (en) 2022-07-19

Similar Documents

Publication Publication Date Title
US11392722B2 (en) Electronic control device, program falsification detection method, and computer readable non- transitory tangible storage medium
JP6373888B2 (ja) 情報処理装置及び制御方法
US9424200B2 (en) Continuous run-time integrity checking for virtual memory
JP6026666B2 (ja) 方法、装置、プログラム、及びコンピュータ可読記憶媒体
US20090144582A1 (en) Anti-virus method based on security chip
US9443107B2 (en) Method for protecting the integrity of a group of memory elements using an aggregate authentication code
US20120066515A1 (en) Electronic device, key generation program, recording medium, and key generation method
TW201500960A (zh) 在配有適用統一可延伸韌體介面(uefi)之韌體之計算裝置中的安全性變數變化檢測技術
CN109445705B (zh) 固件认证方法及固态硬盘
JP6391439B2 (ja) 情報処理装置、サーバ装置、情報処理システム、制御方法及びコンピュータプログラム
EP3678025B1 (en) Computer code integrity checking
JP5718373B2 (ja) 不揮発性メモリのメモリブロックを検査する方法
JP7038185B2 (ja) レジスタ内容のインテグリティを検証するシステム、および、その方法
JP6659180B2 (ja) 制御装置および制御方法
US8311212B2 (en) Method of processing data protected against attacks by generating errors and associated device
Dave et al. Care: Lightweight attack resilient secure boot architecture with onboard recovery for risc-v based soc
US20080263422A1 (en) Control of the integrity of a memory external to a microprocessor
CN109753788B (zh) 内核运行时的完整性校验方法及计算机可读存储介质
CN114547618A (zh) 基于Linux系统的安全启动方法、装置、电子设备及存储介质
JP6622360B2 (ja) 情報処理装置
US20180204006A1 (en) Fast authentication of code in a low-power system
JP2015049785A (ja) プログラム処理装置
JP2021057043A (ja) トラストアンカコンピューティング装置を備える処理システムおよび対応する方法
KR20230082388A (ko) 차량 제어기의 부트로더 검증 장치 및 그 방법
JP2019532402A (ja) セキュア・ブート更新にわたる保護済みの機密情報の維持

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191112

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191112

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210119

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210318

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210629

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210817

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210824

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210917

R150 Certificate of patent or registration of utility model

Ref document number: 6949416

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150