JP2020072431A - Control device - Google Patents
Control device Download PDFInfo
- Publication number
- JP2020072431A JP2020072431A JP2018206968A JP2018206968A JP2020072431A JP 2020072431 A JP2020072431 A JP 2020072431A JP 2018206968 A JP2018206968 A JP 2018206968A JP 2018206968 A JP2018206968 A JP 2018206968A JP 2020072431 A JP2020072431 A JP 2020072431A
- Authority
- JP
- Japan
- Prior art keywords
- unit
- control device
- state information
- storage area
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012795 verification Methods 0.000 claims abstract description 80
- 230000005540 biological transmission Effects 0.000 claims description 18
- 238000004891 communication Methods 0.000 claims description 5
- 238000012545 processing Methods 0.000 abstract description 54
- 238000000034 method Methods 0.000 description 51
- 230000006870 function Effects 0.000 description 19
- 230000004913 activation Effects 0.000 description 15
- 238000001514 detection method Methods 0.000 description 10
- 238000012790 confirmation Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000001960 triggered effect Effects 0.000 description 4
- 230000003213 activating effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Landscapes
- Stored Programmes (AREA)
Abstract
Description
この発明は、起動時に期待値と検証値とを比較して検証を行う制御装置に関する。 The present invention relates to a control device that performs verification by comparing an expected value and a verification value at startup.
一般に、車両には、ECU(Electronic Control Unit)と呼ばれる制御装置が複数台搭載されている。ECUは、他のECUまたは車両外の通信機器と有線または無線によって接続される。そのため、ECUは、不正に侵入される恐れがある。ECUは、不正に侵入されると、ECUのプログラムデータが改ざんされる、または、遠隔操作される可能性がある。 Generally, a plurality of control devices called ECUs (Electronic Control Units) are mounted on a vehicle. The ECU is connected to another ECU or a communication device outside the vehicle by wire or wirelessly. Therefore, the ECU may be illegally intruded. When the ECU is illegally intruded, the program data of the ECU may be falsified or may be remotely operated.
ECUのデータ改ざんへの対策の一つとして、セキュアブートが知られている。セキュアブートは、暗号技術を用いて事前にデータから作成した期待値と、データからその時点で作成した検証値との完全性を検証することで、データの改ざんを検知する技術である。ECUは、制御に関する処理を起動する前に、前回終了時からデータが改ざんされていないかをセキュアブート処理を行って検証することにより、ECUを正常な状態で起動できるか否かを判定することができる。 Secure boot is known as one of the countermeasures against data tampering of the ECU. Secure boot is a technique for detecting tampering of data by verifying the integrity between an expected value created from data in advance using cryptographic technology and a verification value created at that time from the data. The ECU determines whether or not the ECU can be started in a normal state by performing a secure boot process and verifying whether the data has been tampered with since the last time before starting the process related to the control. You can
一方で、ECUは、起動時間の制約が厳しい。そのため、セキュアブート処理の処理時間も、ECUの起動時間の制約内に収めなければならない。すなわち、ECUによる制御が開始するまでの要求時間内に、セキュアブート処理を完了する必要がある。そのため、データの改ざんがないことを保証した上でECUを起動させるためには、セキュアブート処理の処理時間の短縮化が求められる。 On the other hand, the ECU has severe restrictions on the startup time. Therefore, the processing time of the secure boot processing must be within the constraint of the ECU startup time. That is, it is necessary to complete the secure boot process within the required time until the control by the ECU is started. Therefore, in order to start the ECU after ensuring that the data has not been tampered with, it is necessary to shorten the processing time of the secure boot processing.
特許文献1では、上記の課題を解決するために、処理装置が、保存しておいたプログラムリストを参照して、対象のプログラムまたはデータが、検証が必要なプログラムまたはデータであるか否かを判定する。対象のプログラムまたはデータが、検証が必要なプログラムまたはデータである場合にのみ、処理装置は、対象のプログラムまたはデータの検証を実行する。これにより、検証範囲を最小限に留めることができるため、セキュアブート処理を高速に安全に実行することができる。 In Patent Document 1, in order to solve the above problems, the processing device refers to the stored program list to determine whether the target program or data is a program or data that requires verification. judge. The processing device performs the verification of the target program or data only when the target program or data is the program or data that needs to be verified. As a result, the verification range can be minimized, so that the secure boot process can be executed at high speed and safely.
しかしながら、特許文献1の技術においては、次のような課題がある。特許文献1では、制御装置が、セキュアブート処理において、処理のイベント発生ごとの検証範囲が予め決定されているリストを元に、検証範囲を段階的に設定する。しかしながら、起動時には、同一のイベントが特定の順番で発生してしまうため、それらのイベントに応じたセキュアブート処理を段階的に実施する必要がある。その結果、セキュアブート処理全体が完了するまでの処理時間は、セキュアブート処理を実施しない通常起動時間に比べて大幅に増加してしまう。 However, the technique of Patent Document 1 has the following problems. In Patent Document 1, in the secure boot process, the control device sets the verification range step by step based on a list in which the verification range for each event occurrence of the process is predetermined. However, at the time of activation, the same events occur in a specific order, so it is necessary to perform the secure boot processing in accordance with those events in stages. As a result, the processing time until the entire secure boot processing is completed is significantly increased as compared with the normal startup time when the secure boot processing is not performed.
この発明は、かかる課題を解決するためになされたものであり、起動時のセキュアブート処理の処理時間の短縮を図る制御装置を得ることを目的としている。 The present invention has been made to solve the above problems, and an object of the present invention is to obtain a control device that shortens the processing time of the secure boot processing at the time of startup.
この発明は、制御対象の制御を行う制御部と、前記制御に関わる状態情報を取得する状態情報入手部と、2以上の領域を有し、データの重要度に応じて各領域に分けて前記制御部の前記制御に必要なデータを格納する第一の記憶部と、前記制御部の停止時に前記状態情報入手部が入手した前記状態情報が格納される第二の記憶部と、前記第一の記憶部の各領域のデータから生成された期待値を予め格納する第三の記憶部と、前記制御部の起動時に前記状態情報入手部によって入手される前記状態情報と、前記第二の記憶部に格納された前記停止時の前記状態情報との差分に基づいて、前記第一の記憶部の各領域の中から検証値の生成に用いる領域を選択する、第一の選択部と、前記第一の選択部によって選択された前記領域のデータに基づいて前記検証値を生成する検証値生成部と、前記検証値生成部によって生成された前記検証値を、前記検証値の生成に用いた領域と同一の領域のデータから生成されて前記第三の記憶部に格納された前記期待値と比較することにより、前記制御部を起動するか否かを判定する第一の判定部と、前記第一の判定部が前記制御部を起動すると判定した場合に、前記制御部を起動させる制御起動部とを備えた、制御装置である。 The present invention has a control unit that controls a controlled object, a state information acquisition unit that acquires state information related to the control, and two or more regions, and the regions are divided into respective regions according to the importance of data. A first storage unit that stores data required for the control of the control unit; a second storage unit that stores the state information acquired by the state information acquisition unit when the control unit is stopped; A third storage unit that stores in advance expected values generated from the data of each area of the storage unit, the state information acquired by the state information acquisition unit when the control unit is activated, and the second storage unit. A region to be used for generating a verification value from each region of the first storage unit based on a difference from the state information at the time of the stop stored in a unit; Based on the data of the area selected by the first selection unit A verification value generation unit that generates the verification value, the verification value generated by the verification value generation unit is generated from data in the same region as the region used for generating the verification value, and the third storage By comparing with the expected value stored in the unit, the first determination unit for determining whether to activate the control unit, and when the first determination unit determines to activate the control unit And a control start-up unit for starting the control unit.
この発明にかかる制御装置によれば、起動時のセキュアブート処理の処理時間の短縮を図ることができる。 According to the control device of the present invention, it is possible to reduce the processing time of the secure boot processing at the time of activation.
以下、この発明に係る制御装置の実施の形態について、図面を用いて説明する。なお、各実施の形態において、同一もしくは相当する部分は同一符号で示し、重複する説明は省略する。 Hereinafter, an embodiment of a control device according to the present invention will be described with reference to the drawings. In each of the embodiments, the same or corresponding parts are designated by the same reference numerals, and overlapping description will be omitted.
実施の形態1.
図1は、この発明の実施の形態1に係る制御装置の構成の一例を示した図である。図1では、制御装置として、車両制御システムの場合を例に挙げて示している。本実施の形態1に係る制御装置は、安全かつ高速な起動動作を可能とする起動方法が実施される。
Embodiment 1.
FIG. 1 is a diagram showing an example of a configuration of a control device according to Embodiment 1 of the present invention. In FIG. 1, a vehicle control system is shown as an example of the control device. The control device according to the first embodiment implements a startup method that enables safe and high-speed startup operation.
図1に示す車両制御システムは、制御装置としてのモータ制御装置100と駆動用モータ101とを備えて構成されている。駆動用モータ101は、モータ制御装置100の制御対象である。なお、図1に示す車両制御システムは、実際には、図1に示す以外の構成も含まれているが、図1においては、本実施の形態1に直接関係しないものについては図示を省略している。
The vehicle control system shown in FIG. 1 includes a
モータ制御装置100は、駆動用モータ101に接続され、駆動用モータ101を制御する。モータ制御装置100は、制御部110と、停止部111と、状態情報入手部112と、制御起動部113と、検証値生成部114と、第一の判定部115と、第一の選択部116と、カウント部117と、起動モード確認部118と、記憶領域書き換え部119と、第一の記憶領域120と、第二の記憶領域121と、第三の記憶領域122とを備えて構成されている。
The
以下、モータ制御装置100の各構成要素とその機能について簡単に説明する。
Hereinafter, each component of the
制御部110は、駆動用モータ101の制御を行う。具体的には、制御部110は、駆動用モータ101の制御に関わる制御量または各種処理値を演算する。
The
停止部111は、車両内のIG(ignition)スイッチのOFFへの切り替えを検知したことなどをトリガーとして、モータ制御装置100の動作を終了させる。停止部111は、電源リレー等を制御することにより、モータ制御装置100への電源の供給を停止することで、モータ制御装置100の動作を終了させる。
The
状態情報入手部112は、駆動用モータ101の状態情報を入手する。状態情報とは、モータ制御装置100自体が有する、駆動用モータ101の制御に関わる状態を示す情報である。本実施の形態1では、状態情報として、カウント部117が保有するカウント値を用いる。カウント値については、後述する。そのため、本実施の形態1では、状態情報入手部112が、状態情報として、カウント部117からカウント値を入手する。なお、状態情報入手部112は、モータ制御装置100を停止時に、カウント部117から入手した駆動用モータ101の状態情報を第二の記憶領域121に格納する。
The status
制御起動部113は、第一の判定部115の判定結果に基づき、制御部110を起動させる。具体的には、第一の判定部115の判定結果が「正常」の場合には、制御部110を起動させ、判定結果が「異常」の場合には、制御部110を起動させない。
The
検証値生成部114は、第一の記憶領域120の領域Aまたは領域Bに格納されているデータに基づいて、検証値を生成する。領域Aまたは領域Bについては後述する。
The verification
第一の判定部115は、第三の記憶領域122に予め格納されている期待値と、検証値生成部114によって生成された検証値とに基づいて、制御部110を起動させるか否かを判定する。
The
第一の選択部116は、第二の記憶領域121に格納されている状態情報と、状態情報入手部112が今回入手した状態情報とを比較する。なお、ここで、第二の記憶領域121に格納されている状態情報は、前回、モータ制御装置100を停止させるときに、状態情報入手部112が第二の記憶領域121に格納したものである。本実施の形態1では、上述したように、状態情報は、カウント部117によって保有されるカウント値である。従って、第一の選択部116は、第二の記憶領域121に格納されているカウント値と、状態情報入手部112が今回入手したカウント値とを比較する。第一の選択部116は、当該比較により、第二の記憶領域121に格納されているカウント値と、状態情報入手部112が今回入手したカウント値との差分が、予め設定された範囲内に収まっているか否かを判定する。第一の選択部116は、判定結果に基づいて、第一の記憶領域120の領域Aまたは領域Bのどちらのデータを用いて検証値生成部114が検証値を生成するかを選択する。
The
カウント部117は、モータ制御装置100が起動する度に、自身が保有しているカウント値をインクリメントする。
The
起動モード確認部118は、モータ制御装置100の起動時に、ユーザから要求される起動モードの種別を確認する。ここでは、起動モードとして、駆動用モータ101の制御を行う「制御モード」と、第一の記憶領域120と第三の記憶領域122との格納データを書き換える「書き換えモード」とが、予め用意されている。なお、通常時は、制御モードに設定されている。書き換えモードへの切替は、ユーザが予め設定された或る動作を行った場合に実行される。ここでは、例えば、モータ制御装置100に対して、ユーザが、テスター等の機器を外部から接続したことを検知した場合、当該検知を切替要求として認識して、書き換えモードへの切替が実行される。
The startup
記憶領域書き換え部119は、第一の記憶領域120と第三の記憶領域122とのそれぞれに格納されているデータを実際に書き換える。
The storage
第一の記憶領域120は、制御部110が制御に必要とするデータを格納している。第一の記憶領域120は、図2に示すように、第一の領域としての領域Aと第二の領域としての領域Bとに分類されている。領域Aのサイズは、領域Bのサイズより小さい。特に重要なデータを領域Aに格納し、重要度の低いデータを領域Bに格納する。第一の記憶領域120は、例えばメモリデバイスの記憶領域から構成される。第一の記憶領域120は、第一の記憶部を構成している。
The
第二の記憶領域121は、状態情報入手部112が入手した状態情報を格納する。第二の記憶領域121は、例えばメモリデバイスの記憶領域から構成される。第二の記憶領域121は、第二の記憶部を構成している。
The
第三の記憶領域122は、予め生成された期待値を格納している。期待値は、第一の判定部115によって、検証値生成部114が生成した検証値と比較される。期待値は、予め、記憶領域書き換え部119によって、第一の記憶領域120に格納されたデータから生成されて、第三の記憶領域122に格納される。ここでは、第三の記憶領域122は、第一の記憶領域120の領域Aと領域Bとに格納されたデータのそれぞれから作成された期待値Aと期待値Bとを格納していることとする。なお、第三の記憶領域122は、例えばメモリデバイスの記憶領域から構成される。第三の記憶領域122は、第三の記憶部を構成している。
The
なお、第一の記憶領域120、第二の記憶領域121、および、第三の記憶領域122は、別々のメモリデバイスに分けて設けることが望ましいが、一つのメモリデバイス上で別領域として定義してもよい。
Note that the
次に、実施の形態1に係る車両制御システムのモータ制御装置100の停止時および起動時の処理の流れについて、それぞれ、図3および図4のフローチャートを用いて説明する。図3の停止時の処理は、車両内のIGスイッチがOFFにされたことの検知などをトリガーとして、モータ制御装置100を停止させるときの最後の処理として実行される。
図4の起動時の処理は、車両内のIGスイッチがONにされたことなどをトリガーとして、モータ制御装置100へ電源が供給されたとき、あるいは、リセットにより再起動されたときに、最初に実行される。
Next, the flow of processing when the
The process at the time of start-up in FIG. 4 is first performed when power is supplied to the
まず、モータ制御装置100の停止時の処理について、図3を用いて説明する。
First, the process when the
図3において、ステップS201において、制御部110は、モータ制御に係る自身の処理が停止しているか否かを判定する。制御部110のモータ制御に係る処理が終了していれば、ステップS202へ進む。制御部110のモータ制御に係る処理が終了していない場合は、終了するまで待機する。
In FIG. 3, in step S201,
続いて、ステップS202において、状態情報入手部112は、カウント部117から、カウント部117が保有するカウント値を状態情報として入手する。
Subsequently, in step S202, the state
ステップS203において、状態情報入手部112は、カウント部117から入手したカウント値を第二の記憶領域121に対して格納することを試みる。
In step S203, the state
続いて、ステップS204において、状態情報入手部112は、当該カウント値の格納が完了した場合は、ステップS205へ進む。一方、当該カウント値の格納が完了していない場合は、ステップS203へ戻る。
Then, in step S204, the state
ステップS205において、停止部111は、電源リレー等を制御することにより、モータ制御装置100への電源供給を停止してモータ制御装置100を停止させる。
In step S205, the
次に、モータ制御装置100の起動時の処理について図4を用いて説明する。
Next, a process at the time of starting the
図4において、ステップS301において、カウント部117は、自身が保有するカウント値を更新する。具体的には、カウント部117が、自身保有しているカウント値を+1とする。
In FIG. 4, in step S301, the
ステップS302において、起動モード確認部118が起動モードの種別を確認する。起動モードが、駆動用モータ101の制御を行う「制御モード」であれば、ステップS303へ進む。一方、起動モードが、第一の記憶領域120と第三の記憶領域122との格納データを書き換える「書き換えモード」であれば、ステップS310へ進む。
In step S302, the startup
ステップS303において、状態情報入手部112は、カウント部117が保有するカウント値を状態情報として、カウント部117から入手する。
In step S303, the state
続いて、ステップS304において、カウント部117によるカウント値の入手が完了していれば、ステップS305へ進み、カウント部117によるカウント値の入手が完了していない場合は、完了まで待機する。
Succeedingly, in step S304, if acquisition of the count value by the
ステップS305において、第一の選択部116は、ステップS303で状態情報入手部112が入手したカウント値から、第二の記憶領域121に格納されているカウント値を差し引いた差分を求める。
In step S305, the
続いて、ステップS306において、第一の選択部116は、ステップS305で求められた差分が、予め設定された設定範囲に入っているか否かを判定する。ここでは、設定範囲を、+1以下の範囲とする。当該差分が設定範囲に入っている場合は、すなわち、当該差分が+1以下の場合は、ステップS307へ進み、当該差分が設定範囲に入っていない場合は、ステップS312へ進む。
Subsequently, in step S306, the
ステップS307においては、検証値生成部114は、第一の記憶領域120に格納されている領域Aのデータから検証値を生成する。
In step S307, the verification
ステップS312において、検証値生成部114は、第一の記憶領域120に格納されている領域Bのデータから検証値を生成する。
In step S312, the verification
ステップS308において、第一の判定部115は、第三の記憶領域122に格納される期待値、すなわち、期待値Aまたは期待値Bと、ステップS307またはステップS312で生成された検証値、すなわち、検証値Aまたは検証値Bとを比較して判定を行う。つまり、領域Aから検証値を生成した場合は、検証値Aと期待値Aとを比較して判定し、領域Bから検証値を生成した場合は、検証値Bと期待値Bとを比較判定する。
In step S308, the
続いて、ステップS309において、ステップS308の比較判定の結果、期待値と検証値とが同じであれば、ステップS311へ進む。一方、期待値と検証値とが異なれば、制御部110を起動せずに、図4の処理フローを終了する。
Subsequently, in step S309, if the expected value and the verification value are the same as a result of the comparison determination in step S308, the process proceeds to step S311. On the other hand, if the expected value and the verification value are different, the processing flow in FIG. 4 is terminated without activating the
ステップS311において、制御起動部113は、制御部110を起動させる。
In step S311, the
なお、ステップS307、ステップS308、ステップS309、および、ステップS312が、セキュアブート処理として処理時間を要する部分となる。 In addition, step S307, step S308, step S309, and step S312 are portions that require processing time as the secure boot processing.
一方、ステップS310においては、記憶領域書き換え部119は、第一の記憶領域120の格納データを書き換える。また、記憶領域書き換え部119は、第一の記憶領域120に格納したデータから期待値を生成し、生成した期待値を第三の記憶領域122に書き込む。その後、制御部110を起動させずに、図4の処理フローを終了する。なお、記憶領域書き換え部119の動作に関しては、本実施の形態1の動作および効果には影響しないため、特に限定しない。
On the other hand, in step S310, the storage
以上のように、本実施の形態1においては、モータ制御装置100は、停止時に、図3に示す処理フローに従って、状態情報として、自身が持つカウント値を第二の記憶領域121に格納しておく。その後、モータ制御装置100を起動するときには、図4に示す処理フローに従って、第二の記憶領域121に格納しておいたカウント値と、起動時に再度入手したカウント値との差分が、予め設定された設定範囲に入っているかを確認する。当該差分が設定範囲に入っているときには、モータ制御装置100を終了してから本起動までに一度も起動されていないと判断し、領域Aのデータから生成した検証値を用いて検証を行う。これにより、検証する範囲は、領域Aのみとなる。ここで、上述したように、領域Aは、領域Bより小さいため、上記差分が設定範囲に入っている場合には、検証する範囲を狭めて制御部110を起動させることができる。一方、差分が設定範囲に入っていないときには、モータ制御装置100を終了してから本起動までに起動された可能性が高いと判断し、領域Bのデータから生成した検証値を用いて検証を行う。これにより、検証する範囲は、領域Aよりも広い領域Bとなる。
As described above, in the first embodiment, when stopped, the
このように、本実施の形態1に係る制御装置によれば、モータ制御装置100の停止時の状態情報と、起動時の状態情報とを比較することによって、停止中に書き換えの為等で起動されていないこと、および、意図せず起動されていないことが確認できた場合には、起動時に検証する範囲を狭めることが出来る。その結果、セキュアブート処理の処理時間が短縮でき、セキュリティに対する安全性を確保しつつ高速にモータ制御装置100を起動することができる。
As described above, according to the control device of the first embodiment, by comparing the state information when the
なお、上記の本実施の形態1においては、状態情報としてカウント値を用いる場合を例に挙げて説明したが、これに限るものではない。例えば、モータ制御装置100がバックアップ用に保有する電池の電圧値などのアナログ値を、状態情報として用いてもよい。この場合、図4のステップS306で用いる検証時の設定範囲を適切に定めることで、停止中に意図せず起動されていないか否か、および、短時間での再起動であるか否かを検出することができる。その結果、停止中に意図せず起動されていない場合、または、短時間での再起動であった場合には、起動時の検証領域を狭めることで、安全かつ高速にモータ制御装置100を起動することができる。
In the first embodiment, the case where the count value is used as the state information has been described as an example, but the present invention is not limited to this. For example, an analog value such as a voltage value of a battery held by the
また、図3のステップS203で、状態情報を第二の記憶領域121に格納するときに、状態情報を暗号化するようにしてもよい。その場合には、図4のステップS305で、第二の記憶領域121に格納されている暗号化された状態情報を復号化する。このように、状態情報を第二の記憶領域121に格納するときに状態情報を暗号化することにより、状態情報そのものを改ざんされる可能性が下がり、セキュリティに対する安全性を高めることができる。
Further, in step S203 of FIG. 3, when storing the state information in the
さらに、本実施の形態1では、第一の記憶領域120を領域Aと領域Bとの2つに分ける場合を例にあげて説明したが、これに限るものではない。第一の記憶領域120における、領域の個数、および、領域の分け方はこれに限るものではない。
Further, in the first embodiment, the case where the
実施の形態2.
次に、この発明の実施の形態2に係る制御装置について、図5から図8までに基づいて説明する。図5は、この発明の実施の形態2に係る制御装置の構成の一例を示した図である。図5では、制御装置として、車両制御システムを例に挙げて示している。本実施の形態2に係る制御装置は、安全かつ高速な起動動作を可能とする起動方法が実施される。
Embodiment 2.
Next, a control device according to Embodiment 2 of the present invention will be described based on FIGS. 5 to 8. FIG. 5 is a diagram showing an example of the configuration of the control device according to the second embodiment of the present invention. In FIG. 5, a vehicle control system is shown as an example of the control device. The control device according to the second embodiment implements a startup method that enables safe and high-speed startup operation.
上記の実施の形態1においては、車両制御システムは、モータ制御装置100と駆動用モータ101とを備えて構成されていたが、本実施の形態2に係る車両制御システムは、図5に示されるように、モータ制御装置100と、駆動用モータ101と、他の制御装置である第二の制御装置としてのドア制御装置410とを備えて構成される。
In the above-described first embodiment, the vehicle control system is configured to include the
本実施の形態2においては、モータ制御装置100が、図1に示したカウント部117の代わりに、データ送受信部401を備えている点が、図1と異なる。
The second embodiment differs from FIG. 1 in that the
他の構成については、実施の形態1と同じであるため、ここでは、その説明を省略する。 Since other configurations are the same as those in the first embodiment, the description thereof will be omitted here.
なお、図5において、モータ制御装置100およびドア制御装置410は、図5に示す以外の構成も備えているが、実施の形態2に直接関係しないものについては図示を省略している。また、図1に示す上記の実施の形態1において説明したものについては、同じ符号を付して、ここではその説明を省略する。
In FIG. 5, the
本実施の形態2に係る車両制御システムにおいては、モータ制御装置100とドア制御装置410とは、車両の通信線として、CAN(Controller Area Network)ネットワーク400を介して互いに通信可能に接続されている。
In the vehicle control system according to the second embodiment,
まず、実施の形態2に係るモータ制御装置100の追加された構成と機能について簡単に説明する。データ送受信部401は、CANネットワーク400を介して、接続されたドア制御装置410とデータを送受信する。
First, the added configuration and function of the
図6に示すように、モータ制御装置100の第一の記憶領域120は、第一の領域としての領域Aと第二の領域としての領域Bと第三の領域として領域Cに分類されている。第一の記憶領域120には、制御部110が制御に必要とするデータが格納されている。領域Aのサイズは領域Bのサイズより小さくし、領域Bのサイズは領域Cのサイズより小さくする。データの重要度に応じて、特に重要なデータから順に、領域A、領域B、領域Cの順で格納するようにする。従って、領域Aのデータの重要度が最も高く、領域Bのデータの重要度は、領域Aのデータよりも低く、領域Cのデータよりも高く、領域Cのデータの重要度が最も低い。
As shown in FIG. 6, the
図5の説明に戻る。 Returning to the explanation of FIG.
第二の記憶領域121は、状態情報入手部112が入手した状態情報を格納する。
The
第三の記憶領域122は、第一の記憶領域120に格納するデータから予め生成した期待値を格納する。ここでは、第一の記憶領域120のうち、領域A、領域B、および、領域Cのそれぞれから作成された期待値Aと期待値Bと期待値Cとが格納される。これらの記憶領域は、メモリデバイスごと分けることが望ましいが、一つのメモリデバイス上で別領域として定義してもよい。
The
ドア制御装置410は、車両のドアモジュール411に接続されている。ドア制御装置410は、車両のドアのロック/アンロックを制御する。
The
ドア制御装置410の構成と機能について簡単に説明する。ドア制御装置410は、第二の制御部420、記憶領域421、状態検出部422、および、第二のデータ送受信部423を備えて構成されている。
The configuration and function of the
第二の制御部420は、ドアモジュール411の動作の制御を実施する。
The
記憶領域421は、第二の制御部420が制御に必要とするデータを格納する。
The
状態検出部422は、ドアに関する状態情報として、ここでは、車両の運転席のドア開閉回数を収集する。ただし、状態情報は、これに限るものではなく、他のデータでもよい。
The
第二のデータ送受信部423は、CANネットワーク400を介して、モータ制御装置100のデータ送受信部401とデータを送受信する。
The second data transmission /
次に、実施の形態2に係る車両制御システムのモータ制御装置100の停止時および起動時の処理の流れについて、それぞれ、図7および図8のフローチャートを用いて説明する。図7の停止時の処理は、車両内のIGスイッチがOFFにされたことの検知などをトリガーとして、モータ制御装置100を停止させるときに最後の処理として実行される。図8の起動時の処理は、車両内のIGスイッチがONにされたことなどをトリガーとして、モータ制御装置100へ電源が供給されたとき、あるいは、リセットにより再起動されたときに、最初に実行される。
Next, the flow of processing when the
まず、モータ制御装置100の停止時の処理について図7を用いて説明する。
First, the processing when the
図7において、ステップS501において、制御部110は、モータ制御に係る自身の処理が停止しているか否かを判定する。制御部110のモータ制御に係る処理が終了していれば、ステップS502へ進み、モータ制御に係る処理が終了していない場合は、終了するまで待機する。
In FIG. 7, in step S501,
続いて、ステップS502において、状態情報入手部112が、データ送受信部401を用いて、ドア制御装置410へ状態情報の送付を依頼する。
Subsequently, in step S502, the state
続いて、ステップS503において、状態情報入手部112は、ドア制御装置410から、状態情報として、ドア開閉回数の受信を完了させていれば、ステップS504へ進み、ドア開閉回数の受信が完了していない場合は、受信まで待機する。
Subsequently, in step S503, if the state
ステップS504において、状態情報入手部112は、ドア制御装置410から受信したドア開閉回数を、第二の記憶領域121に対して格納を試みる。
In
続いて、ステップS505において、状態情報入手部112のドア開閉回数の格納が完了していれば、ステップS506へ進み、ドア開閉回数の格納が完了していない場合は、ステップS504へ戻る。
Subsequently, in step S505, if the storage of the number of times of opening and closing the door of the state
ステップS506において、停止部111は、電源リレー等を制御することにより、モータ制御装置100への電源供給を停止して、モータ制御装置100を停止させる。
In step S506, the
次に、モータ制御装置100の起動時の処理について図8を用いて説明する。
Next, a process at the time of starting the
図8において、ステップS601において、モータ制御装置100は、データ送受信部401を起動させる。
In FIG. 8, in step S601, the
ステップS602において、起動モード確認部118は、起動モードの種別を確認する。起動モードが、駆動用モータ101の制御を行う「制御モード」であれば、ステップS603へ進み、起動モードが、第一の記憶領域120と第三の記憶領域122との格納データを書き換える「書き換えモード」であれば、ステップS610へ進む。
In step S602, the startup
ステップS603において、状態情報入手部112が、データ送受信部401を用いて、ドア制御装置410へ状態情報の送付を依頼する。
In step S603, the state
続いて、ステップS604において、状態情報としてドア開閉回数の受信が完了していれば、ステップS605へ進み、ドア開閉回数の受信が完了していない場合は、受信が完了するまで待機する。 Then, in step S604, if the reception of the number of times of opening and closing the door is completed as the state information, the process proceeds to step S605, and if the reception of the number of times of opening and closing the door is not completed, the process waits until the reception is completed.
ステップS605において、第一の選択部116は、第二の記憶領域121に格納されているドア開閉回数と、ステップS604で状態情報入手部112が今回入手したドア開閉回数とを比較する。具体的には、第一の選択部116が、第二の記憶領域121に格納されているドア開閉回数から、ステップS604で状態情報入手部112が今回入手したドア開閉回数を差し引いた差分を求める。
In step S605, the
続いて、ステップS606において、第一の選択部116は、ステップS605で求められた差分が、予め設定されたどの設定範囲に入っているかを確認する。差分の値が1より小さい範囲に入っている場合は、ステップS607へ進み、差分の値が1以上2以下の範囲に入っている場合は、ステップS612へ進み、差分の値が2より大きい範囲に入っている場合は、ステップS613へ進む。
Then, in step S606, the
ステップS607において、検証値生成部114は、第一の記憶領域120に格納されている領域Aのデータから検証値Aを生成する。
In step S607, the verification
ステップS612において、検証値生成部114は、第一の記憶領域120に格納されている領域Bのデータから検証値Bを生成する。
In step S612, the verification
ステップS613において、検証値生成部114は、第一の記憶領域120に格納されている領域Cのデータから検証値Cを生成する。
In step S613, the verification
ステップS608において、第一の判定部115は、第三の記憶領域122に格納される期待値、すなわち、期待値Aまたは期待値Bまたは期待値Cと、ステップS607、ステップS612、または、ステップS613で生成した検証値、すなわち、検証値Aまたは検証値Bまたは検証値Cとを比較判定する。
In step S608, the
つまり、領域Aから検証値Aを生成した場合は、検証値Aと期待値Aとを比較判定し、領域Bから検証値Bを生成した場合は、検証値Bと期待値Bとを比較判定し、領域Cから検証値Cを生成した場合は、検証値Cと期待値Cとを比較判定する。 That is, when the verification value A is generated from the area A, the verification value A and the expected value A are compared and determined, and when the verification value B is generated from the area B, the verification value B and the expected value B are compared and determined. If the verification value C is generated from the area C, the verification value C and the expected value C are compared and determined.
続いて、ステップS609において、ステップS608の比較判定の結果、期待値と検証値とが同じであれば、ステップS611へ進み、期待値と検証値とが異なれば、制御部110を起動せずに、図8の処理フローを終了する。なお、ステップS607、ステップS608、ステップS609、ステップS612、および、ステップS613が、セキュアブート処理として処理時間を要する部分となる。
Subsequently, in step S609, if the result of the comparison determination in step S608 is that the expected value and the verification value are the same, the process proceeds to step S611, and if the expected value and the verification value are different, the
ステップS611において、制御起動部113は、制御部110を起動させる。
In step S611, the
一方、ステップS610において、記憶領域書き換え部119は、第一の記憶領域120の格納データを書き換えるとともに、第三の記憶領域122に対して、第一の記憶領域120に格納したデータから予め生成した期待値を書き込む。その後、制御部110を実施せずに処理を終了する。なお、記憶領域書き換え部119に関しては、本実施の形態2の動作および効果には影響しないため、ここでは特に限定しない。
On the other hand, in step S610, the storage
以上のように、本実施の形態2においては、モータ制御装置100は、停止時に、図7に示す処理フローに従って、状態情報として、ドア制御装置410から受信したドア開閉回数を第二の記憶領域121に格納しておく。その後、モータ制御装置100を起動するときには、図8に示す処理フローに従って、第二の記憶領域121に格納しておいたドア開閉回数と、再度ドア制御装置410から受信したドア開閉回数とを比較して、それらの差分を求める。次に、当該差分の値が、どの範囲に入っているかを確認する。その範囲に基づいて、モータ制御装置100を終了してから本起動までにモータ制御装置100にアクセスされている可能性の大小を考慮し、検証する範囲を最小限に狭めて、制御部110を起動させることができる。
As described above, in the second embodiment, when the
本実施の形態2によれば、停止時の状態情報と、起動時の状態情報との比較によって、停止中に書き換えの為に起動されていないこと、あるいは、意図せず起動されていないことの可能性を考慮して、起動時の検証処理範囲を最小限に狭めることが出来るので、セキュリティに対する安全を確保しつつ高速に制御装置を起動することができる。 According to the second embodiment, by comparing the state information at the time of stop with the state information at the time of start, it is confirmed that the state information has not been started for rewriting during stop, or has not been unintentionally started. In consideration of the possibility, the verification processing range at the time of activation can be narrowed to the minimum, so that the control device can be activated at high speed while ensuring safety for security.
なお、上記の実施の形態2の説明において、状態情報を、ドア制御装置410が有するドアの開閉回数として説明したが、これに限るものではない。例えば、モータ制御装置100が保有する車両に対するアクセス回数が示せる他の状態情報を用いても、同様に、検証する領域を狭めて、安全かつ高速に制御装置を起動することができる。また、他の制御装置が保有する時間情報などを状態情報として用いて、ステップS606で用いる検証時の設定範囲を適切に定めることで、短時間での再起動であることを検出し、同様に、検証する領域を狭めて、安全かつ高速に制御装置を起動することができる。
In the above description of the second embodiment, the state information is described as the number of times the door of the
また、図7のステップS504で、状態情報を第二の記憶領域121に格納するときに、状態情報を暗号化するようにしてもよい。その場合には、図8のステップS605で、第二の記憶領域121に格納されている暗号化された状態情報を復号化する。このように、状態情報を第二の記憶領域121に格納するときに状態情報を暗号化することにより、状態情報そのものを改ざんされる可能性が下がり、セキュリティに対する安全性を高めることができる。
Further, in step S504 of FIG. 7, when storing the state information in the
さらに、ドア制御装置410が状態情報を送信するときに暗号化し、モータ制御装置100が状態情報を受信した後に復号化することで、CANネットワーク400上で状態情報を改ざんされる可能性が下がり、セキュリティに対する安全性を高めることができる。
Furthermore, by encrypting the
また、実施の形態2では、通信線としてCANネットワーク400を挙げて説明したが、ネットワークの種類はこれに限るものではない。
Although the
さらに、本実施の形態2では、第一の記憶領域120を、領域A、領域B、および、領域Cの3つに分ける場合を説明したが、これに限るものではない。第一の記憶領域120における、領域の個数、および、領域の分け方はこれに限るものではない。
Furthermore, in the second embodiment, the case where the
ここで、上述した実施の形態1および2に係るモータ制御装置100、および、実施の形態2に係るドア制御装置410のハードウェア構成について説明する。
Here, the hardware configurations of the
上述した実施の形態1および2に係るモータ制御装置100における各機能は、処理回路によって実現される。同様に、実施の形態2に係るドア制御装置410における各機能は、それぞれ、処理回路によって実現される。各機能を実現する処理回路は、専用のハードウェアであってもよく、メモリに格納されるプログラムを実行するプロセッサであってもよい。図9は、本発明の実施の形態1および2に係るモータ制御装置100の各機能を専用のハードウェアである処理回路1000で実現する場合を示した構成図である。また、同様に、本発明の実施の形態2に係るドア制御装置410の各機能についても、図9に示す専用のハードウェアである処理回路1000で実現してよい。また、図10は、本発明の実施の形態1および2に係るモータ制御装置100の各機能をプロセッサ2001およびメモリ2002を備えた処理回路2000により実現する場合を示した構成図である。また、同様に、本発明の実施の形態2に係るドア制御装置410の各機能についても、図10に示すプロセッサ2001およびメモリ2002を備えた処理回路2000により実現してもよい。
Each function in the
処理回路が専用のハードウェアである場合、処理回路1000は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)、またはこれらを組み合わせたものが該当する。モータ制御装置100の制御部110、停止部111、状態情報入手部112、制御起動部113、検証値生成部114、第一の判定部115、第一の選択部116、カウント部117、起動モード確認部118、記憶領域書き換え部119、第一の記憶領域120、第二の記憶領域121、第三の記憶領域122、および、データ送受信部401との各部の機能それぞれを個別の処理回路1000で実現してもよいし、各部の機能をまとめて処理回路1000で実現してもよい。同様に、ドア制御装置410の第二の制御部420、記憶領域421、状態検出部422、および、第二のデータ送受信部423の各部の機能それぞれを個別の処理回路1000で実現してもよいし、各部の機能をまとめて処理回路1000で実現してもよい。
When the processing circuit is dedicated hardware, the
一方、処理回路がプロセッサ2001の場合、モータ制御装置100の制御部110、停止部111、状態情報入手部112、制御起動部113、検証値生成部114、第一の判定部115、第一の選択部116、カウント部117、起動モード確認部118、記憶領域書き換え部119、第一の記憶領域120、第二の記憶領域121、第三の記憶領域122、および、データ送受信部401の各部の機能、並びに、ドア制御装置410の第二の制御部420、記憶領域421、状態検出部422、および、第二のデータ送受信部423の各部の機能は、ソフトウェア、ファームウェア、またはソフトウェアとファームウェアとの組み合わせにより実現される。ソフトウェアおよびファームウェアは、プログラムとして記述され、メモリ2002に格納される。プロセッサ2001は、メモリ2002に記憶されたプログラムを読み出して実行することにより、各部の機能を実現する。すなわち、モータ制御装置100およびドア制御装置410は、処理回路2000により実行されるときに、それぞれ、制御ステップ、停止ステップ、状態情報入手ステップ、制御起動ステップ、検証値生成ステップ、第一の判定ステップ、第一の選択ステップ、カウントステップ、起動モード確認ステップ、記憶領域書き換えステップ、データ送受信ステップ、および、第二の制御ステップ、状態検出ステップ、第二のデータ送受信部が結果的に実行されることになるプログラムを格納するためのメモリ2002を備える。
On the other hand, when the processing circuit is the
これらのプログラムは、上述した各部の手順あるいは方法をコンピュータに実行させるものであるともいえる。ここで、メモリ2002とは、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ、EPROM(Erasable Programmable Read Only Memory)、EEPROM(Electrically Erasable and Programmable Read Only Memory)等の、不揮発性または揮発性の半導体メモリが該当する。また、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等も、メモリ2002に該当する。
It can be said that these programs cause a computer to execute the procedure or method of each unit described above. Here, the
なお、上述した各部の機能について、一部を専用のハードウェアで実現し、一部をソフトウェアまたはファームウェアで実現するようにしてもよい。 Regarding the functions of the respective units described above, a part may be realized by dedicated hardware and a part may be realized by software or firmware.
このように、処理回路は、ハードウェア、ソフトウェア、ファームウェア、またはこれらの組み合わせによって、上述した各部の機能を実現することができる。 As described above, the processing circuit can realize the functions of the above-described units by hardware, software, firmware, or a combination thereof.
以上、この発明の実施の形態1および2について説明したが、この発明は、実施の形態1および2に限定されるものではなく、種々の設計変更を行うことが可能である。その発明の範囲内において、各実施の形態を自由に組み合わせたり、あるいは、各実施の形態の構成を、適宜、変形、省略することが可能である。 The first and second embodiments of the present invention have been described above, but the present invention is not limited to the first and second embodiments, and various design changes can be made. Within the scope of the invention, the respective embodiments can be freely combined, or the configurations of the respective embodiments can be appropriately modified or omitted.
この発明は、車両制御システムのモータ制御装置として利用できる他、ECUで制御される制御装置を含むシステムであれば、起動時の記憶領域の検証部としてどのような制御装置にも利用することができる。 INDUSTRIAL APPLICABILITY The present invention can be used not only as a motor control device for a vehicle control system, but also as a system including a control device controlled by an ECU for any control device as a verification unit for a storage area at startup. it can.
100 モータ制御装置、101 駆動用モータ、110 制御部、111 停止部、112 状態情報入手部、113 制御起動部、114 検証値生成部、115 第一の判定部、116 第一の選択部、117 カウント部、118 起動モード確認部、119 記憶領域書き換え部、120 第一の記憶領域、121 第二の記憶領域、122 第三の記憶領域、400 CANネットワーク、401 データ送受信部、410 ドア制御装置、411 ドアモジュール、420 第二の制御部、421 記憶領域、422 状態検出部、423 第二のデータ送受信部。 100 motor control device, 101 drive motor, 110 control unit, 111 stop unit, 112 state information acquisition unit, 113 control activation unit, 114 verification value generation unit, 115 first determination unit, 116 first selection unit, 117 Counting unit, 118 Startup mode confirming unit, 119 Storage area rewriting unit, 120 First storage area, 121 Second storage area, 122 Third storage area, 400 CAN network, 401 Data transmission / reception unit, 410 Door control device, 411 door module, 420 second control unit, 421 storage area, 422 state detection unit, 423 second data transmission / reception unit.
Claims (5)
前記制御に関わる状態情報を取得する状態情報入手部と、
2以上の領域を有し、データの重要度に応じて各領域に分けて前記制御部の前記制御に必要なデータを格納する第一の記憶部と、
前記制御部の停止時に前記状態情報入手部が入手した前記状態情報が格納される第二の記憶部と、
前記第一の記憶部の各領域のデータから生成された期待値を予め格納する第三の記憶部と、
前記制御部の起動時に前記状態情報入手部によって入手される前記状態情報と、前記第二の記憶部に格納された前記停止時の前記状態情報との差分に基づいて、前記第一の記憶部の各領域の中から検証値の生成に用いる領域を選択する、第一の選択部と、
前記第一の選択部によって選択された前記領域のデータに基づいて前記検証値を生成する検証値生成部と、
前記検証値生成部によって生成された前記検証値を、前記検証値の生成に用いた領域と同一の領域のデータから生成されて前記第三の記憶部に格納された前記期待値と比較することにより、前記制御部を起動するか否かを判定する第一の判定部と、
前記第一の判定部が前記制御部を起動すると判定した場合に、前記制御部を起動させる制御起動部と
を備えた、
制御装置。 A control unit for controlling the controlled object,
A state information acquisition unit that acquires state information related to the control,
A first storage unit having two or more regions and storing the data required for the control of the control unit in each region according to the importance of the data;
A second storage unit in which the state information obtained by the state information obtaining unit when the control unit is stopped is stored,
A third storage unit that stores in advance an expected value generated from the data in each area of the first storage unit;
The first storage unit is based on a difference between the state information acquired by the state information acquisition unit when the control unit is activated and the state information at the time of the stop stored in the second storage unit. Selecting a region used to generate a verification value from each region of
A verification value generation unit that generates the verification value based on the data of the area selected by the first selection unit;
Comparing the verification value generated by the verification value generation unit with the expected value generated from data in the same region as the region used for generating the verification value and stored in the third storage unit. According to the first determination unit for determining whether to start the control unit,
A control start-up unit that starts the control unit when the first determination unit determines to start the control unit,
Control device.
請求項1に記載の制御装置。 The status information acquisition unit acquires the status information from information in the control device,
The control device according to claim 1.
前記状態情報入手部は、前記カウント部から、前記カウント値を前記状態情報として取得する、
請求項1または2に記載の制御装置。 Further comprising a counting unit that increments a count value when the control device is activated,
The state information acquisition unit acquires the count value as the state information from the count unit,
The control device according to claim 1.
前記状態情報入手部は、前記データ送受信部により、前記通信線を介して、前記第二の制御装置から、前記第二の制御装置内の情報を、前記状態情報として取得する、
請求項1または2に記載の制御装置。 A second control device, which is another control device, is further provided with a data transmission / reception unit that transmits and receives data via a communication line.
The status information acquisition unit, by the data transmission / reception unit, via the communication line, from the second control device, acquires information in the second control device, as the status information,
The control device according to claim 1.
前記第一の選択部は、前記差分が、予め設定された設定範囲に入っている場合には、前記第一の領域を選択し、前記差分が、前記設定範囲に入っていない場合には、前記第二の領域を選択する、
請求項1から4までのいずれか1項に記載の制御装置。 The two or more areas of the first storage unit include a first area and a second area for storing data of lower importance than the data stored in the first area,
The first selection unit, if the difference is within a preset setting range, selects the first region, and if the difference is not within the setting range, Selecting the second region,
The control device according to any one of claims 1 to 4.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018206968A JP6639615B1 (en) | 2018-11-02 | 2018-11-02 | Control device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018206968A JP6639615B1 (en) | 2018-11-02 | 2018-11-02 | Control device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6639615B1 JP6639615B1 (en) | 2020-02-05 |
JP2020072431A true JP2020072431A (en) | 2020-05-07 |
Family
ID=69320881
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018206968A Active JP6639615B1 (en) | 2018-11-02 | 2018-11-02 | Control device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6639615B1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7393269B2 (en) * | 2020-03-25 | 2023-12-06 | 東芝テック株式会社 | Terminal device, processing method and terminal control system |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009009372A (en) * | 2007-06-28 | 2009-01-15 | Panasonic Corp | Information terminal, client/server system, and program |
WO2009090706A1 (en) * | 2008-01-18 | 2009-07-23 | Panasonic Corporation | Information processing device and mobile telephone device |
US20110138164A1 (en) * | 2009-12-04 | 2011-06-09 | Lg Electronics Inc. | Digital broadcast receiver and booting method of digital broadcast receiver |
JP2015055898A (en) * | 2013-09-10 | 2015-03-23 | 富士通セミコンダクター株式会社 | Secure boot method, semiconductor device, and secure boot program |
JP2017156945A (en) * | 2016-03-01 | 2017-09-07 | 株式会社東芝 | Information processor and control method |
-
2018
- 2018-11-02 JP JP2018206968A patent/JP6639615B1/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009009372A (en) * | 2007-06-28 | 2009-01-15 | Panasonic Corp | Information terminal, client/server system, and program |
WO2009090706A1 (en) * | 2008-01-18 | 2009-07-23 | Panasonic Corporation | Information processing device and mobile telephone device |
US20110138164A1 (en) * | 2009-12-04 | 2011-06-09 | Lg Electronics Inc. | Digital broadcast receiver and booting method of digital broadcast receiver |
JP2015055898A (en) * | 2013-09-10 | 2015-03-23 | 富士通セミコンダクター株式会社 | Secure boot method, semiconductor device, and secure boot program |
JP2017156945A (en) * | 2016-03-01 | 2017-09-07 | 株式会社東芝 | Information processor and control method |
Non-Patent Citations (1)
Title |
---|
竹森 敬祐 ほか: "セキュアブート+認証による車載制御システムの保護", 電子情報通信学会技術研究報告, vol. 114, no. 225, JPN6016000807, 12 September 2014 (2014-09-12), JP, pages 47 - 54, ISSN: 0004159910 * |
Also Published As
Publication number | Publication date |
---|---|
JP6639615B1 (en) | 2020-02-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7681024B2 (en) | Secure booting apparatus and method | |
CN111095213B (en) | Secure boot method, device, equipment and storage medium for embedded program | |
US10509568B2 (en) | Efficient secure boot carried out in information processing apparatus | |
US10489612B2 (en) | Memory controller to verify authenticity of data | |
US10762177B2 (en) | Method for preventing an unauthorized operation of a motor vehicle | |
CN105892348B (en) | Method for operating a control device | |
JP6659180B2 (en) | Control device and control method | |
CN107092833B (en) | Component for processing data and method for implementing a security function | |
US8095801B2 (en) | Method of protecting microcomputer system against manipulation of data stored in a memory assembly of the microcomputer system | |
KR101806719B1 (en) | The electronic control unit possible auto setting of memory area according to secure boot and method for secure boot using the same | |
CN101855111B (en) | Method of unlocking an engine control computer | |
CN110020561A (en) | The method of semiconductor device and operation semiconductor device | |
US11366911B2 (en) | Cryptography module and method for operating same | |
JP6639615B1 (en) | Control device | |
JP7375201B2 (en) | Device with an interface and method of operating the device with an interface | |
JP6622360B2 (en) | Information processing device | |
JP6461272B1 (en) | Control device | |
US10789365B2 (en) | Control device and control method | |
CN105095766B (en) | Method for processing software functions in a control device | |
CN112703703B (en) | Flash memory device for storing sensitive information and other data | |
JP6698778B2 (en) | Control system | |
CN114637996A (en) | Method for starting a computing unit in a secure manner | |
US20150323919A1 (en) | Method for operating a control unit | |
JP6800276B2 (en) | Control device | |
EP3667533A1 (en) | Method for securing a system in case of an undesired power-loss |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181102 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190904 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190917 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191114 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191126 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191224 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6639615 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |