JP6659180B2 - 制御装置および制御方法 - Google Patents
制御装置および制御方法 Download PDFInfo
- Publication number
- JP6659180B2 JP6659180B2 JP2018078151A JP2018078151A JP6659180B2 JP 6659180 B2 JP6659180 B2 JP 6659180B2 JP 2018078151 A JP2018078151 A JP 2018078151A JP 2018078151 A JP2018078151 A JP 2018078151A JP 6659180 B2 JP6659180 B2 JP 6659180B2
- Authority
- JP
- Japan
- Prior art keywords
- verification
- unit
- control
- activation
- storage area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 58
- 238000012795 verification Methods 0.000 claims description 172
- 238000012545 processing Methods 0.000 claims description 146
- 238000001994 activation Methods 0.000 claims description 71
- 230000004913 activation Effects 0.000 claims description 67
- 238000004891 communication Methods 0.000 claims description 56
- 230000008569 process Effects 0.000 claims description 50
- 238000005259 measurement Methods 0.000 claims description 9
- 230000003213 activating effect Effects 0.000 claims description 2
- 238000010200 validation analysis Methods 0.000 claims description 2
- 230000006870 function Effects 0.000 description 19
- 230000007958 sleep Effects 0.000 description 8
- 238000001514 detection method Methods 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000013524 data verification Methods 0.000 description 2
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000004904 shortening Methods 0.000 description 1
Images
Landscapes
- Stored Programmes (AREA)
- Debugging And Monitoring (AREA)
Description
本願は、制御対象を制御する制御装置および制御方法に関するものである。
従来から、車両に搭載される制御装置である、例えばECU(Electronic Control Unit)において、ECU内部データの改ざん対策に関する技術が提案されている(例えば、特許文献1参照)。
通常、車両には複数のECUが搭載されており、各ECU間は、通信接続されている。このため、外部からの不正な侵入を受けやすい。外部から不正な侵入を受け、ECU内部データが改ざんされてしまうと、その結果として、ECUが外部から不正に遠隔操作されてしまうおそれがある。
通常、車両には複数のECUが搭載されており、各ECU間は、通信接続されている。このため、外部からの不正な侵入を受けやすい。外部から不正な侵入を受け、ECU内部データが改ざんされてしまうと、その結果として、ECUが外部から不正に遠隔操作されてしまうおそれがある。
データ改ざんの対策として、セキュアブート処理がある。このセキュアブート処理とは、暗号技術を用いてデータを検証し、データの改ざんを検知する技術である。ECUを起動する前に、ECUの内部データが改ざんされているか否かを検知することにより、ECUを高いセキュリティ強度で起動できるか否かを判断することができる。
しかしながら、車載用のECUは、起動開始から起動完了までの時間の制約が厳しい。そのため、ECU起動時のセキュアブートには、高いセキュリティ強度および高速な処理が求められる。さらに、セキュアブート処理用のプログラム自体も改ざんされてしまうおそれがある。そのため、セキュアブート処理自体にも改ざんに対する高いセキュリティ強度が求められる。
しかしながら、車載用のECUは、起動開始から起動完了までの時間の制約が厳しい。そのため、ECU起動時のセキュアブートには、高いセキュリティ強度および高速な処理が求められる。さらに、セキュアブート処理用のプログラム自体も改ざんされてしまうおそれがある。そのため、セキュアブート処理自体にも改ざんに対する高いセキュリティ強度が求められる。
特許文献1は、改ざん検出の対象とするアプリケーションプログラムを選別することで、セキュアブート処理時間を短縮している。また、特許文献1は、検証に用いるデータをイベント毎に更新することにより、セキュアブート処理も高いセキュリティ強度で起動することができるとしている。
しかしながら、従来技術には、以下のような問題がある。
特許文献1では、セキュアブート処理時間を短縮するために、改ざん検出の対象とするアプリケーションプログラムを、システム管理者が予め選別することが必要である。
すなわち、事前に選別されなかったアプリケーションプログラムは、改ざん検出の対象とはならない。このため、事前に選別されなかったアプリケーションプログラムに対して攻撃者によって不正にデータが改ざんされた場合には、改ざんを検出することができないという問題がある。
また、セキュアブート処理自体の改ざんに対するセキュリティ強度を高めるためには、セキュアブートの検証に用いるデータ量を増加させる必要がある。また、検証値生成のための暗号鍵のデータ量を増加させる必要がある。
特許文献1では、セキュアブート処理時間を短縮するために、改ざん検出の対象とするアプリケーションプログラムを、システム管理者が予め選別することが必要である。
すなわち、事前に選別されなかったアプリケーションプログラムは、改ざん検出の対象とはならない。このため、事前に選別されなかったアプリケーションプログラムに対して攻撃者によって不正にデータが改ざんされた場合には、改ざんを検出することができないという問題がある。
また、セキュアブート処理自体の改ざんに対するセキュリティ強度を高めるためには、セキュアブートの検証に用いるデータ量を増加させる必要がある。また、検証値生成のための暗号鍵のデータ量を増加させる必要がある。
このように、改ざん検出の対象となるプログラムおよびデータの量を増加させることで、外部からシステム浸入し、データの改ざんを試みる攻撃者は、暗号化された検証値を解読することが困難となる。このため、改ざんに対するセキュリティ強度が向上する。
一方、改ざん検出の対象となるプログラムおよびデータの量を増加させた場合には、セキュアブート処理に要する時間が増大してしまうという問題がある。セキュアブート処理の時間短縮方法として、HSM(Hardware Security Module)などの高速演算可能なハードウェアを用いる方法が知られている。しかしながら、データ量が多い場合には、HSMを使用したとしても、処理時間を十分に短縮できないという問題がある。
本願は、上記のような課題を解決するための技術を開示するものであり、高いセキュリティ強度および高速な起動を実現する制御装置および制御方法を提供することを目的とする。
本願に開示される制御装置は、制御対象への制御処理を実行する制御処理部、この制御処理部による制御対象の制御に用いられるデータを格納した第一の記憶領域、制御処理部を起動するか否かを判定する検証判定部、制御処理部の起動および停止を制御する起動制御部、第一の記憶領域のデータに基づいて予め生成された、データの検証のための基準値を格納する第二の記憶領域、外部機器と通信するための通信機能を有する通信制御部、第一の記憶領域に記憶されたデータに基づいて、このデータを検証するための検証値を生成する検証値生成部、および基準値と検証値とを比較することにより、データの検証を実行し、比較結果を第二の記憶領域に格納する検証実行部を備え、検証値生成部および検証実行部は、制御処理部、検証判定部、起動制御部および通信制御部が動作する第一の処理環境からハードウェア的に隔離された第二の処理環境下で動作し、第二の記憶領域は、第二の処理環境下からのみアクセスを可能にされ、起動制御部により制御処理部が停止される場合には、起動制御部は、制御処理部を停止させるための停止処理を実行し、停止処理には、通信制御部の通信機能を無効にした後、検証値生成部により検証値を生成させるとともに、検証実行部による比較結果を第二の記憶領域へ格納させる処理が含まれ、起動制御部により制御処理部が起動される場合には、起動制御部は、制御処理部を起動させるための起動処理を実行し、起動処理には、検証実行部により、第二の記憶領域に格納された比較結果を検証判定部に送信させて、検証判定部による判定を行わせる処理が含まれ、検証判定部による判定の結果が、検証合格であれば、制御処理部を起動し、検証不合格であれば、制御処理部の起動を中止するようにしたものである。
本願に開示される制御装置によれば、高いセキュリティ強度および高速な起動を実現することができる。
実施の形態1.
以下に、制御装置の具体例として、制御対象を車両および車載機器とする車載制御装置(ECU)に適用する場合について、図を用いて詳細に説明する。
以下に、制御装置の具体例として、制御対象を車両および車載機器とする車載制御装置(ECU)に適用する場合について、図を用いて詳細に説明する。
図1は、実施の形態1による車載制御装置を示す機能ブロック図である。
図1において、車載制御装置10は、後述する起動制御部100、制御処理部101、不揮発性記憶部102、検証値生成部103、検証実行部104、検証判定部105、通信制御部106および時間計測部107を有する。
図1において、車載制御装置10は、後述する起動制御部100、制御処理部101、不揮発性記憶部102、検証値生成部103、検証実行部104、検証判定部105、通信制御部106および時間計測部107を有する。
また、車載制御装置10は、第一の処理環境20aと第二の処理環境20bとを有する。第二の処理環境20bは、第一の処理環境20aとは、ハードウェア的に隔離された処理環境である。例えば、第二の処理環境20bとしては、HSM(Hardware Security Module)を使用することができる。
第一の処理環境20aは、起動制御部100、制御処理部101、不揮発性記憶部102内の第一の記憶領域102a、検証判定部105、通信制御部106および時間計測部107を有する。
第二の処理環境20bは、不揮発性記憶部102内の第二の記憶領域102b、検証値生成部103および検証実行部104を有する。この第二の記憶領域102bは、第二の処理環境20bからのみアクセス可能に設定されている。
第一の処理環境20aは、起動制御部100、制御処理部101、不揮発性記憶部102内の第一の記憶領域102a、検証判定部105、通信制御部106および時間計測部107を有する。
第二の処理環境20bは、不揮発性記憶部102内の第二の記憶領域102b、検証値生成部103および検証実行部104を有する。この第二の記憶領域102bは、第二の処理環境20bからのみアクセス可能に設定されている。
車載制御装置10は、車両の制御を行う。車載制御装置10は、車両内部の他の制御装置と、例えばCAN(Controller Area Network)を介して接続されている。
起動制御部100は、車載制御装置10の制御処理部101の起動および停止を制御する機能を有している。さらに、起動制御部100は、制御処理部101の停止処理および起動処理を統括制御する機能も有している。
ここで、制御処理部101が起動していない状態とは、車載制御装置10がスリープ状態、または車載制御装置10の電源がオフとなっている状態である。
起動制御部100は、車載制御装置10の制御処理部101の起動および停止を制御する機能を有している。さらに、起動制御部100は、制御処理部101の停止処理および起動処理を統括制御する機能も有している。
ここで、制御処理部101が起動していない状態とは、車載制御装置10がスリープ状態、または車載制御装置10の電源がオフとなっている状態である。
制御処理部101は、車内に搭載されている制御対象の機器を制御する機能を有している。なお、図1では、制御対象の機器を図示しておらず、以下の説明では、制御対象の機器のことを、単に制御対象と称する。車内に搭載されている制御対象とは、アクチュエーター等である。
具体的には、制御処理部101は、制御対象に対応した制御用プログラムデータを不揮発性記憶部102の第一の記憶領域102aから読み出して、読み出したプログラムを実行することで、制御対象の制御を行う。
具体的には、制御処理部101は、制御対象に対応した制御用プログラムデータを不揮発性記憶部102の第一の記憶領域102aから読み出して、読み出したプログラムを実行することで、制御対象の制御を行う。
不揮発性記憶部102は、第一の記憶領域102aと第二の記憶領域102bとを有している。第一の記憶領域102aと第二の記憶領域102bは、物理的に隔離されている。
第一の記憶領域102aは、制御処理部101が制御処理を実行するための制御用プログラムデータを格納する領域である。第一の記憶領域102aは、制御処理部101の通常の動作時に使用するデータが格納されている領域である。
第二の記憶領域102bは、セキュアブート処理(改ざん検出処理)で使用する期待値(基準値)と検証値と、これらの期待値および検証値の比較結果を格納する領域である。期待値は、例えば、車載制御装置10の開発段階において、第一の記憶領域102aのデータに基づいて、検証値と同一の算出方法で生成される。
ここで、第一の記憶領域102aに格納されたデータは、上述したように、制御処理部101が制御処理を実行するための制御用プログラムデータである。そのため、第一の記憶領域102aに格納されたデータが不正に改ざんされてしまった場合には、制御対象の動作および車両全体の制御に重大な問題が生じるおそれがある。
第二の処理環境20b内に設けられた検証値生成部103は、第一の記憶領域102aに格納された、通常の動作時に使用されるデータに基づいて、セキュアブート処理で使用する検証値を生成する機能を有している。検証値は、例えば、MAC(Message Authentication Code)、CRC(Cyclic Redundancy Check)、ハッシュなどを使用することができる。
第二の処理環境20b内に設けられた検証実行部104は、第二の記憶領域102bに格納されている期待値と、第一の記憶領域102aのデータを基に検証値生成部103により生成された検証値とが、一致するか否かの検証を実行する。
第一の処理環境20a内に設けられた検証判定部105は、検証実行部104の比較結果に基づいて、制御処理部101が制御対象に対する制御処理を実行してよいか否かを判定する。
検証実行部104による比較結果として、期待値と検証値が一致している場合には、検証判定部105は、第一の記憶領域102aのデータは改ざんされていないと判定する。以下、この検証判定結果を「検証合格」と称する。
また、検証結果として期待値と検証値が一致していない場合には、検証判定部105は、第一の記憶領域102aのデータが改ざんされていると判定する。以下、この検証判定結果を「検証不合格」と称する。
また、検証結果として期待値と検証値が一致していない場合には、検証判定部105は、第一の記憶領域102aのデータが改ざんされていると判定する。以下、この検証判定結果を「検証不合格」と称する。
検証判定結果は、検証判定部105から起動制御部100に出力される。起動制御部100は、検証判定部105から出力された検証判定結果に基づいて、「検証合格」の場合には、制御処理部101の起動を実行し、「検証不合格」の場合には、制御処理部101の起動を中止する。
なお、以上の説明では、制御処理部101の起動を中止する場合には、制御処理部101の全ての機能の実行を中止するものとした。
しかしながら、実施の形態1における中止処理は、これに限られるものではない。例えば、制御処理部101の一部の機能の実行を制限した状態で、制御処理部101の起動を実行するようにしてもよい。
しかしながら、実施の形態1における中止処理は、これに限られるものではない。例えば、制御処理部101の一部の機能の実行を制限した状態で、制御処理部101の起動を実行するようにしてもよい。
通信制御部106は、図示しない通信線を介して、車内に搭載されている他の機器と接続されている。通信制御部106は、起動制御部100からの出力に基づいて、車載制御装置10と外部機器との通信機能を有効化または無効化する機能を備えている。
時間計測部107は、起動制御部100および通信制御部106に、所定の時刻となったことを通知する時計機能、または、ある時刻から所定の時間が経過したことを通知するタイマー機能を有している。
起動制御部100および時間計測部107は、車載制御装置10がスリープ状態または電源オフ状態であっても継続して起動可能なように構成されている。例えば、起動制御部100および時間計測部107には、車載制御装置10がスリープ状態または電源オフ状態であっても、電池または車内のバッテリー電源から電力が継続して供給されるようになっている。
次に、動作について説明する。
制御処理部101の停止時および起動時に実行される処理について、図2を用いて詳細に説明する。
図2は、起動制御部100により、制御処理部101を停止および起動する場合の処理の流れを示している。
制御処理部101の停止時および起動時に実行される処理について、図2を用いて詳細に説明する。
図2は、起動制御部100により、制御処理部101を停止および起動する場合の処理の流れを示している。
ステップS201において、起動制御部100は、制御処理部101の停止処理を開始する。制御処理部101の停止処理は、車載制御装置10がスリープ状態または電源オフ状態となる直前に、自動的に実行されるように設定されている。
次に、ステップS202において、起動制御部100は、通信制御部106に対して、現在の通信状態の問い合わせを行う。通信制御部106は、車載制御装置10と外部機器との通信が有効となっているか否かを確認して、その確認結果を起動制御部100に出力する。
続いて、起動制御部100は、ステップS202において、通信が無効(ステップS202:NO)であった場合は、処理をステップS204に進める。
一方、起動制御部100は、ステップS202において、通信が有効(ステップS202:YES)であった場合は、処理をステップS203に進める。
一方、起動制御部100は、ステップS202において、通信が有効(ステップS202:YES)であった場合は、処理をステップS203に進める。
ステップS203(通信無効化ステップ)において、起動制御部100は、通信制御部106に対して、通信を無効化する命令を出力する。起動制御部100は、通信制御部106によって通信が無効化されたことを確認した後、処理をステップS204に進める。
ステップS204(第一のステップ)において、起動制御部100は、第二の処理環境20b内の検証値生成部103に対して、検証値を生成する命令を出力する。
これを受けて、検証値生成部103は、不揮発性記憶部102の第一の処理環境20a内の第一の記憶領域102aから、セキュアブート処理における検証に用いるデータを読み出し、読み出したデータに基づいて検証値を生成する。
これを受けて、検証値生成部103は、不揮発性記憶部102の第一の処理環境20a内の第一の記憶領域102aから、セキュアブート処理における検証に用いるデータを読み出し、読み出したデータに基づいて検証値を生成する。
例えば、検証値がMAC(Message Authentication Code)であり、第二の処理環境20bがHSM(Hardware Security Module)である場合、検証値生成部103は、検証値MACを生成する。
次いで、ステップS2045において、検証実行部104は、第二の記憶領域102bから期待値を読み出し、生成された検証値と期待値が一致するか否かを比較する(第二のステップ)。
ここで、期待値と検証値が一致している場合には、第一の記憶領域102aのデータは改ざんされておらず、「一致」と判定する。
一方、期待値と検証値が一致していない場合には、検証判定部105は、第一の記憶領域102aのデータは改ざんされており、「不一致」であると判定する。
そして、この比較結果を、第二の記憶領域102bに格納する(第三のステップ)。
ここで、期待値と検証値が一致している場合には、第一の記憶領域102aのデータは改ざんされておらず、「一致」と判定する。
一方、期待値と検証値が一致していない場合には、検証判定部105は、第一の記憶領域102aのデータは改ざんされており、「不一致」であると判定する。
そして、この比較結果を、第二の記憶領域102bに格納する(第三のステップ)。
このように、実施の形態1の車載制御装置10は、制御処理部101を停止する前に、ステップS203で、通信機能を無効化した後に、ステップS204にて、セキュアブート処理で使用する検証値を生成するとともに、ステップS2045において、比較結果を格納する。
次に、ステップS205において、起動制御部100は、制御処理部101による制御処理の動作を停止させる。
制御処理部101の動作停止に伴って、車載制御装置10は、スリープ状態または電源オフ状態に移行する。ここで、起動制御部100および時間計測部107は、車載制御装置10がスリープ状態または電源オフ状態であっても、継続して起動するように設定されている。
制御処理部101の動作停止に伴って、車載制御装置10は、スリープ状態または電源オフ状態に移行する。ここで、起動制御部100および時間計測部107は、車載制御装置10がスリープ状態または電源オフ状態であっても、継続して起動するように設定されている。
以上の処理によって、制御処理部101の停止処理は、終了する。
この段階で、セキュアブート処理において使用する比較結果が導出されており、第二の記憶領域102bに格納された状態となっている。
この段階で、セキュアブート処理において使用する比較結果が導出されており、第二の記憶領域102bに格納された状態となっている。
次に、起動制御部100による制御処理部101の起動処理について説明する。
ステップS206において、時間計測部107は、制御処理部101による制御処理を起動する所定の時刻となったことを、起動指令として、起動制御部100に通知する。
ここで、所定の時刻とは、例えば、運転者が日常的に車両のエンジンを始動する時刻の直前(例えば1時間前)とする。または、運転者が選択した時刻を所定の時刻として、設定可能としてもよい。
ステップS206において、時間計測部107は、制御処理部101による制御処理を起動する所定の時刻となったことを、起動指令として、起動制御部100に通知する。
ここで、所定の時刻とは、例えば、運転者が日常的に車両のエンジンを始動する時刻の直前(例えば1時間前)とする。または、運転者が選択した時刻を所定の時刻として、設定可能としてもよい。
また、所定の時刻ではなく、ある時刻から所定の時間(例えば1時間〜12時間)が経過したタイミングで、時間計測部107が起動制御部100に起動指令を通知するようにしてもよい。
ここで、ある時刻とは、例えば、エンジンが停止した時刻または車載制御装置10がスリープまたは電源オフとなった時刻とすればよい。また、所定の時間は、運転者が任意の時間を設定可能としてもよい。
ここで、ある時刻とは、例えば、エンジンが停止した時刻または車載制御装置10がスリープまたは電源オフとなった時刻とすればよい。また、所定の時間は、運転者が任意の時間を設定可能としてもよい。
次に、ステップS207において、起動制御部100は、車載制御装置10のスリープ状態を解除または電源オフ状態を解除する。これによって、車載制御装置10は、起動状態となる。
続いて、ステップS207において、起動制御部100は、通信制御部106に対して、通信機能を有効化する命令を出力する。通信制御部106は、起動制御部100からの出力に基づいて、車載制御装置10と外部との通信機能を、無効状態から有効状態に変更する。
続いて、ステップS207において、起動制御部100は、通信制御部106に対して、通信機能を有効化する命令を出力する。通信制御部106は、起動制御部100からの出力に基づいて、車載制御装置10と外部との通信機能を、無効状態から有効状態に変更する。
次に、ステップS208において、起動制御部100は、車載制御装置10に対して、通信線および通信制御部106を介して、外部機器から制御処理部101の起動要求があったか否かを判断する。
そして、起動要求があった場合(ステップS208:YES)には、起動制御部100は、制御処理部101の起動処理を開始する。
そして、起動要求があった場合(ステップS208:YES)には、起動制御部100は、制御処理部101の起動処理を開始する。
一方、ステップS208において、制御処理部101の起動要求がない場合(ステップS208:NO)には、起動制御部100は、制御処理部101の起動処理を実行しない。
ここで、外部機器からの制御処理部101の起動要求とは、例えば、CAN通信を介して、車載制御装置10以外の他のECUから出力される起動要求などである。
ここで、外部機器からの制御処理部101の起動要求とは、例えば、CAN通信を介して、車載制御装置10以外の他のECUから出力される起動要求などである。
次いで、制御処理部101の起動処理について説明する。
ステップS209(第四のステップ)において、制御処理部101の起動を要求された起動制御部100は、第二の処理環境20b内の検証実行部104と検証判定部105に対して、比較結果を検証する命令を出力する。
ステップS209において、検証実行部104により、第二の記憶領域102bから比較結果が読み出され、第一の処理環境20a内の検証判定部105に出力される。
ステップS209(第四のステップ)において、制御処理部101の起動を要求された起動制御部100は、第二の処理環境20b内の検証実行部104と検証判定部105に対して、比較結果を検証する命令を出力する。
ステップS209において、検証実行部104により、第二の記憶領域102bから比較結果が読み出され、第一の処理環境20a内の検証判定部105に出力される。
ステップS210(第四のステップ)において、検証判定部105は、比較結果から第一の記憶領域102aのデータが改ざんされているか否かを判定する。検証判定部105は、検証判定の結果を、起動制御部100に出力する。
具体的には、検証判定部105は、比較結果が「一致」の場合には、「検証合格」と判定する(ステップS210:YES)。
一方、比較結果が「不一致」の場合には、「検証不合格」であると判定する(ステップS210:NO)。検証判定の結果は、検証判定部105から起動制御部100に出力される。
具体的には、検証判定部105は、比較結果が「一致」の場合には、「検証合格」と判定する(ステップS210:YES)。
一方、比較結果が「不一致」の場合には、「検証不合格」であると判定する(ステップS210:NO)。検証判定の結果は、検証判定部105から起動制御部100に出力される。
起動制御部100は、検証判定の結果に基づいて、制御処理部101を起動させるか否かを制御する。検証判定の結果が「検証合格」の場合(ステップS210:YES)には、起動制御部100は、制御処理部101を起動させる(ステップS211、第五のステップ)。起動された制御処理部101は、制御対象の制御を開始する。
一方、検証判定の結果が「検証不合格」の場合(ステップS210:NO)には、起動制御部100は、制御処理部101の起動を中止する(ステップS212、第五のステップ)。
このようにすることにより、制御処理部101が、改ざんされたデータに基づいて制御対象を制御することを防止することができる。
このようにすることにより、制御処理部101が、改ざんされたデータに基づいて制御対象を制御することを防止することができる。
なお、以上の説明では、ステップS210において、検証判定部105が実施する検証判定を、「検証合格・検証不合格」の二段階の判定とした。また、制御処理部101の起動を中止する場合には、制御処理部101の全ての機能の実行を中止するとした。しかしながら、本実施の形態1は、これらのような処理に限られるものではない。
例えば、検証実行結果に基づく検証判定の段階を、「検証合格・検証一部不合格」の二段階、または、「検証合格・検証一部不合格・検証不合格」の三段階としてもよい。
そして、検証一部不合格と判定された場合には、例えば、起動制御部100は、検証不合格となった一部のデータまたはプログラムに対応する制御処理部101の一部の機能の実行を制限した状態で、制御処理部101の起動を行うようにしてもよい。
そして、検証一部不合格と判定された場合には、例えば、起動制御部100は、検証不合格となった一部のデータまたはプログラムに対応する制御処理部101の一部の機能の実行を制限した状態で、制御処理部101の起動を行うようにしてもよい。
具体的には、以下に説明するように、制御用プログラムデータ毎に検証を行うことによって、検証合格となった制御用プログラムデータに対応する制御処理を実行し、検証不合格となった制御用プログラムデータに対応する制御処理を実行しないように制限して、制御処理部101の起動を行うようにすればよい。
第一の記憶領域102aに、複数の制御対象または複数の制御処理に対応した複数の制御用プログラムデータが存在する場合が想定される。その場合は、検証値生成部103は、複数の制御用プログラムデータにそれぞれ対応した複数の検証値を生成する。
続いて、検証実行部104は、複数の制御用プログラムデータにそれぞれ対応した複数の検証値と、複数の検証値のそれぞれに対応して予め第二の記憶領域102bに格納された期待値とを比較する。これらの複数の比較結果は、第二の記憶領域102bに格納される。
次に、検証実行部104は、第二の記憶領域102bに格納された比較結果を検証判定部105に出力する。
検証判定部105は、検証実行部104からの複数の比較結果に基づいて、複数の制御用プログラムデータそれぞれについて、検証合格か不合格かを判定する。そして、検証結果が全て「一致」の場合には、検証判定部105は、第一の記憶領域102aのデータは改ざんされておらず、「検証合格」であると判定する。
一方、一部の比較結果に「不一致」が含まれている場合には、検証判定部105は、第一の記憶領域102aのデータは部分的に改ざんされており、「検証一部不合格」であると判定する。
検証判定部105は、検証実行部104からの複数の比較結果に基づいて、複数の制御用プログラムデータそれぞれについて、検証合格か不合格かを判定する。そして、検証結果が全て「一致」の場合には、検証判定部105は、第一の記憶領域102aのデータは改ざんされておらず、「検証合格」であると判定する。
一方、一部の比較結果に「不一致」が含まれている場合には、検証判定部105は、第一の記憶領域102aのデータは部分的に改ざんされており、「検証一部不合格」であると判定する。
続いて、検証判定部105は、「検証合格」と判定された制御用プログラムデータに対応する制御処理を起動許可制御処理に指定し、「検証一部不合格」と判定された制御用プログラムデータのうち「不一致」に対応する制御処理を起動不許可制御処理に指定する。
起動制御部100は、検証判定部105によって起動許可制御処理に指定された制御処理に限定して、制御処理部101の起動を実行する。
これにより、検証不合格となった制御用プログラムデータに対応する制御処理の実行を制限した状態で、制御処理部101を起動することができる。
起動制御部100は、検証判定部105によって起動許可制御処理に指定された制御処理に限定して、制御処理部101の起動を実行する。
これにより、検証不合格となった制御用プログラムデータに対応する制御処理の実行を制限した状態で、制御処理部101を起動することができる。
なお、車載制御装置10は、ハードウェアの一例を図3に示すように、プロセッサ11と記憶装置12から構成される。
記憶装置12は図示していないが、ランダムアクセスメモリ等の揮発性記憶装置と、フラッシュメモリ等の不揮発性の補助記憶装置とを具備する。また、フラッシュメモリの代わりにハードディスクの補助記憶装置を具備してもよい。
プロセッサ11は、記憶装置12から入力されたプログラムを実行する。この場合、補助記憶装置から揮発性記憶装置を介してプロセッサ11にプログラムが入力される。また、プロセッサ11は、演算結果等のデータを記憶装置12の揮発性記憶装置に出力してもよいし、揮発性記憶装置を介して補助記憶装置にデータを保存してもよい。
記憶装置12は図示していないが、ランダムアクセスメモリ等の揮発性記憶装置と、フラッシュメモリ等の不揮発性の補助記憶装置とを具備する。また、フラッシュメモリの代わりにハードディスクの補助記憶装置を具備してもよい。
プロセッサ11は、記憶装置12から入力されたプログラムを実行する。この場合、補助記憶装置から揮発性記憶装置を介してプロセッサ11にプログラムが入力される。また、プロセッサ11は、演算結果等のデータを記憶装置12の揮発性記憶装置に出力してもよいし、揮発性記憶装置を介して補助記憶装置にデータを保存してもよい。
また、上述の実施の形態1の説明では、制御装置を車載制御装置として使用する例について説明した。
しかしながら、制御装置は、これに限られるものでない。例えば、高いセキュリティ強度を有し、かつ、高速な起動を必要とする、通信線に接続された制御装置に利用することができる。
しかしながら、制御装置は、これに限られるものでない。例えば、高いセキュリティ強度を有し、かつ、高速な起動を必要とする、通信線に接続された制御装置に利用することができる。
実施の形態1によれば、制御処理に用いるデータが改ざんされているか否かを確認するために行うセキュアブート処理において、以下のような効果が得られる。
従来の制御装置においては、制御処理を起動する前に、セキュアブート処理に用いる検証値を生成していた。これに対して、実施の形態1の制御装置は、制御処理が停止する前に、セキュアブート処理に用いる比較結果を生成する構成を有している。そして、制御処理が起動する前に、予め生成した比較結果を用いて、セキュアブート処理を行うようにしている。
これにより、制御処理を起動する前に行うセキュアブート処理の処理時間を、従来に比べて短縮することができる。
従来の制御装置においては、制御処理を起動する前に、セキュアブート処理に用いる検証値を生成していた。これに対して、実施の形態1の制御装置は、制御処理が停止する前に、セキュアブート処理に用いる比較結果を生成する構成を有している。そして、制御処理が起動する前に、予め生成した比較結果を用いて、セキュアブート処理を行うようにしている。
これにより、制御処理を起動する前に行うセキュアブート処理の処理時間を、従来に比べて短縮することができる。
また、改ざん検出の対象となるプログラムおよびデータの量を増加させた場合、あるいはセキュアブート処理自体に用いるデータ量を増加させた場合であっても、高いセキュリティ強度を有しつつ、制御装置の起動時に実行されるセキュアブート処理の処理時間を短縮することができる。
また、このように、セキュアブート処理に用いる検証値だけでなく、検証値と期待値の比較結果を、時間制約の厳しい制御装置の起動の前ではなく、制御装置の停止前に予め生成しておくことにより、検証値生成のための暗号鍵のデータ量を十分に確保することができる。そのため、セキュアブート処理の信頼度を高めることができる。
さらに、実施の形態1の制御装置は、第一の処理環境20aと、第一の処理環境20aから隔離された第二の処理環境20bとを有し、第二の処理環境20b内でセキュアブート処理に用いる検証値の生成、検証値の格納、検証値と期待値の比較結果の格納、およびセキュアブートによる検証を実行する構成にしている。
そして、比較結果が格納される第二の記憶領域102bは、第二の処理環境20bからのみアクセス可能に設定されている。これにより、セキュアブート処理自体のセキュリティ強度と信頼度を高めることができる。
そして、比較結果が格納される第二の記憶領域102bは、第二の処理環境20bからのみアクセス可能に設定されている。これにより、セキュアブート処理自体のセキュリティ強度と信頼度を高めることができる。
さらに、実施の形態1の制御装置は、制御装置の通信機能を無効化した状態で、検証値の生成および検証値と期待値の比較結果の格納を行う構成にしている。これにより、通信線を介した外部からの攻撃によるデータの改ざんを防ぐことができる。
さらに、実施の形態1の制御装置は、制御装置の通信状態を、通信無効状態から通信有効状態に復帰させる手段として、制御装置内に時間計測部を備え、時間計測部で計測した所定の時間に基づいて制御装置を通信有効状態とする構成にしている。
これにより、通信線を介した外部からの攻撃を受けることなく、制御装置の通信状態を、通信無効状態から通信有効状態に復帰させることが可能となる。
これにより、通信線を介した外部からの攻撃を受けることなく、制御装置の通信状態を、通信無効状態から通信有効状態に復帰させることが可能となる。
本開示は、例示的な実施の形態が記載されているが、実施の形態に記載された様々な特徴、態様、および機能は特定の実施の形態の適用に限られるのではなく、単独で、または様々な組み合わせで実施の形態に適用可能である。
従って、例示されていない無数の変形例が、本願明細書に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合が含まれるものとする。
従って、例示されていない無数の変形例が、本願明細書に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合が含まれるものとする。
10 車載制御装置、11 プロセッサ、12 記憶装置、20a 第一の処理環境、
20b 第二の処理環境、100 起動制御部、101 制御処理部、
102 不揮発性記憶部、102a 第一の記憶領域、102b 第二の記憶領域、
103 検証値生成部、104 検証実行部、105 検証判定部、
106 通信制御部、107 時間計測部
20b 第二の処理環境、100 起動制御部、101 制御処理部、
102 不揮発性記憶部、102a 第一の記憶領域、102b 第二の記憶領域、
103 検証値生成部、104 検証実行部、105 検証判定部、
106 通信制御部、107 時間計測部
Claims (4)
- 制御対象への制御処理を実行する制御処理部、
この制御処理部による上記制御対象の制御に用いられるデータを格納した第一の記憶領域、
上記制御処理部を起動するか否かを判定する検証判定部、
上記制御処理部の起動および停止を制御する起動制御部、
上記第一の記憶領域のデータに基づいて予め生成された、上記データの検証のための基準値を格納する第二の記憶領域、
外部機器と通信するための通信機能を有する通信制御部、
上記第一の記憶領域に記憶されたデータに基づいて、このデータを検証するための検証値を生成する検証値生成部、
および上記基準値と上記検証値とを比較することにより、上記データの検証を実行し、比較結果を上記第二の記憶領域に格納する検証実行部を備え、
上記検証値生成部および上記検証実行部は、上記制御処理部、上記検証判定部、上記起動制御部および上記通信制御部が動作する第一の処理環境からハードウェア的に隔離された第二の処理環境下で動作し、上記第二の記憶領域は、上記第二の処理環境下からのみアクセスを可能にされ、
上記起動制御部により上記制御処理部が停止される場合には、
上記起動制御部は、上記制御処理部を停止させるための停止処理を実行し、
上記停止処理には、上記通信制御部の上記通信機能を無効にした後、上記検証値生成部により上記検証値を生成させるとともに、上記検証実行部による上記比較結果を上記第二の記憶領域へ格納させる処理が含まれ、
上記起動制御部により上記制御処理部が起動される場合には、
上記起動制御部は、上記制御処理部を起動させるための起動処理を実行し、
上記起動処理には、上記検証実行部により、上記第二の記憶領域に格納された比較結果を上記検証判定部に送信させて、上記検証判定部による上記判定を行わせる処理が含まれ、
上記検証判定部による上記判定の結果が、検証合格であれば、上記制御処理部を起動し、
検証不合格であれば、上記制御処理部の起動を中止することを特徴とする制御装置。 - 上記第一の処理環境下に、
上記制御処理部を起動する時刻になったことを起動指令として、上記起動制御部に通知する時間計測部を備え、
上記起動制御部は、上記制御処理部を停止させた後に、上記時間計測部から上記起動指令を受信した場合には、上記通信制御部の上記通信機能を有効とし、
上記通信制御部により、上記外部機器から上記制御処理部の起動要求を受信して、上記起動処理を実行することを特徴とする請求項1に記載の制御装置。 - 上記第一の記憶領域に記憶されたデータは、複数の制御用プログラムデータを含み、
上記制御処理部は、上記複数の制御用プログラムデータに、それぞれ対応する上記制御処理を実行し、
上記検証実行部は、上記複数の制御用プログラムデータに対応して、上記検証値生成部により生成された複数の検証値と、上記第二の記憶領域に格納された複数の基準値とを比較し、それぞれの検証値について検証合格か検証不合格かを示す複数の比較結果を上記第二の記憶領域に格納し、
上記検証判定部は、上記制御処理部の起動に当たって、上記複数の比較結果に基づいて、複数の制御用プログラムデータについて判定し、上記起動制御部は、上記判定で上記検証合格が得られた検証値に対応する制御用プログラムデータが実行されるように限定し、上記制御処理部を起動させることを特徴とする請求項1または請求項2に記載の制御装置。 - 制御対象への制御処理を第一の処理環境下で実行する制御処理部が停止される場合に、起動処理部が、上記第一の処理環境下で動作する通信制御部の通信機能を無効にする通信無効化ステップ、
この通信無効化ステップの実行後、上記第一の処理環境からハードウェア的に隔離された第二の処理環境下で動作する検証値生成部により、上記第一の処理環境下の第一の記憶領域のデータに基づいて検証値を生成する第一のステップ、
上記第一の記憶領域のデータに基づいて予め生成された基準値と上記検証値との比較処理を、検証実行部により上記第二の処理環境下で実行する第二のステップ、
この第二のステップで得られた比較結果を、上記検証実行部により、上記第二の処理環境下の第二の記憶領域に格納する第三のステップ、
上記制御処理部が起動される場合に、上記第二の記憶領域に格納された比較結果が、上記検証実行部から上記第一の処理環境下で動作する検証判定部に送信され、上記検証判定部が、上記比較結果に基づき、検証合格または検証不合格を判定する第四のステップ、
および起動制御部が、上記検証合格の場合には、上記制御処理部を起動するとともに、上記検証不合格の場合には、上記制御処理部の起動を中止する第五のステップを含むことを特徴とする制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018078151A JP6659180B2 (ja) | 2018-04-16 | 2018-04-16 | 制御装置および制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018078151A JP6659180B2 (ja) | 2018-04-16 | 2018-04-16 | 制御装置および制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019185575A JP2019185575A (ja) | 2019-10-24 |
| JP6659180B2 true JP6659180B2 (ja) | 2020-03-04 |
Family
ID=68341404
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018078151A Active JP6659180B2 (ja) | 2018-04-16 | 2018-04-16 | 制御装置および制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6659180B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7354074B2 (ja) | 2020-09-18 | 2023-10-02 | 株式会社東芝 | 情報処理装置、情報処理方法およびプログラム |
| JP7010543B1 (ja) * | 2020-11-19 | 2022-01-26 | Necプラットフォームズ株式会社 | コンピュータシステム、ソフトウェア改竄検証方法、及び、プログラム |
| JP7427697B2 (ja) | 2022-02-08 | 2024-02-05 | 本田技研工業株式会社 | 電子機器監視装置、移動体、及び電子機器監視方法 |
| CN116566744B (zh) * | 2023-07-07 | 2023-09-22 | 北京瑞莱智慧科技有限公司 | 数据处理方法和安全校验系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5582909B2 (ja) * | 2010-07-29 | 2014-09-03 | キヤノン株式会社 | プラットフォーム完全性検証システム |
| JP6357778B2 (ja) * | 2013-06-26 | 2018-07-18 | 株式会社リコー | 通信装置、通信システム及びプログラム |
| JP6244759B2 (ja) * | 2013-09-10 | 2017-12-13 | 株式会社ソシオネクスト | セキュアブート方法、半導体装置、及び、セキュアブートプログラム |
| JP6601491B2 (ja) * | 2015-05-20 | 2019-11-06 | 富士通株式会社 | プログラム検証方法、検証プログラム、及び情報処理装置 |
| JP6422059B2 (ja) * | 2015-07-31 | 2018-11-14 | パナソニックIpマネジメント株式会社 | 処理装置、車載端末装置、処理装置の起動方法、及び処理装置の起動プログラム |
-
2018
- 2018-04-16 JP JP2018078151A patent/JP6659180B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019185575A (ja) | 2019-10-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6659180B2 (ja) | 制御装置および制御方法 | |
| JP6373888B2 (ja) | 情報処理装置及び制御方法 | |
| US11455397B2 (en) | Secure boot assist for devices, and related systems, methods and devices | |
| JP6422059B2 (ja) | 処理装置、車載端末装置、処理装置の起動方法、及び処理装置の起動プログラム | |
| JP5937109B2 (ja) | 車両の防犯のための方法及び機関制御システム | |
| US9767264B2 (en) | Apparatus, method for controlling apparatus, and program | |
| US11188321B2 (en) | Processing device and software execution control method | |
| US20130124845A1 (en) | Embedded device and control method thereof | |
| CN113190880B (zh) | 基于对安全协处理器的背书信息的分析确定是否对计算设备执行动作 | |
| CN117349849A (zh) | 芯片启动方法和芯片 | |
| US11269986B2 (en) | Method for authenticating a program and corresponding integrated circuit | |
| JP6622360B2 (ja) | 情報処理装置 | |
| JP6463435B1 (ja) | 制御装置および制御方法 | |
| US11941159B2 (en) | Configuration data deletion based on tamper status | |
| JP6698778B2 (ja) | 制御システム | |
| JP7005676B2 (ja) | システム起動を監視するための安全装置及び安全方法 | |
| JP2023510122A (ja) | インタフェースを備える装置およびインタフェースを備える装置の動作方法 | |
| JP7062927B2 (ja) | 車両用電子装置 | |
| US11256811B2 (en) | Secure boot at shutdown | |
| JP2020072431A (ja) | 制御装置 | |
| US11509640B2 (en) | Method for protecting an electronic control unit | |
| JP2023088706A (ja) | 電子制御装置 | |
| CN118051919A (zh) | 数据处理方法、芯片、电子设备以及存储介质 | |
| JP2024079911A (ja) | 電子装置及び改竄検知方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180416 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190618 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190711 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200107 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200204 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6659180 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |