JP6698778B2 - 制御システム - Google Patents
制御システム Download PDFInfo
- Publication number
- JP6698778B2 JP6698778B2 JP2018189095A JP2018189095A JP6698778B2 JP 6698778 B2 JP6698778 B2 JP 6698778B2 JP 2018189095 A JP2018189095 A JP 2018189095A JP 2018189095 A JP2018189095 A JP 2018189095A JP 6698778 B2 JP6698778 B2 JP 6698778B2
- Authority
- JP
- Japan
- Prior art keywords
- control
- unit
- verification
- storage area
- control device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、制御システムに係り、特に、制御装置内の電子情報の改ざんの有無を検証可能な制御システムに関する。
制御装置内に記憶されている、制御プログラム、データ等の電子情報が不正に改ざんされてしまうことは、セキュリティ上の大きな脅威である。そのため、制御装置の起動時に、装置内に記憶されている電子情報の改ざんの有無を検証する技術が提案されている(例えば、特許文献1参照)。
特許文献1では、制御装置内の全ての電子情報を検証するのではなく、改ざんの有無を検証する電子情報を予め選別することによって、装置の起動時間を増大させることなく、改ざんの有無を検証することができる。
しかしながら、特許文献1に記載の技術では、改ざんの有無を検証する電子情報をシステム管理者が予め選別する必要がある。そのため、選別から漏れた電子情報は検証の対象とならず、セキュリティ性が低下してしまう。一方、セキュリティ性を高めるために多くの電子情報を検証の対象とすることは、起動時間の増大につながってしまう。
本発明は、このような課題を解決するためのものであり、起動時間を増大させることなく、高いセキュリティ性を得ることができる、制御システムを提供することを目的とする。
上記の課題を解決するために、本発明に係る制御システムは、制御装置に対して起動指令を通知する起動指令通知部と、制御装置に対して制御処理の開始指令を通知する開始指令通知部とを含む、起動要求装置と、制御装置による制御処理を実行する制御処理部と、制御処理部によって実行される制御処理に用いられる電子情報を記憶する第1の記憶領域と、制御装置の終了時に、第1の記憶領域に記憶されている電子情報に基づいて検証値を生成する検証値生成部と、検証値生成部によって生成された検証値、および第1の記憶領域に記憶されている電子情報に基づいて予め作成される期待値を記憶する第2の記憶領域と、制御装置の起動時に、第2の記憶領域に記憶されている検証値と期待値との比較に基づいて、第1の記憶領域に記憶されている電子情報の改ざんの有無を検証する検証実行部と、起動要求装置の起動指令通知部から起動指令が通知されると、制御装置を起動させ、検証実行部による検証の結果、第1の記憶領域に記憶されている電子情報が改ざんされていないと判定される場合には、制御処理部による制御処理の実行を許可し、検証実行部による検証の結果、第1の記憶領域に記憶されている電子情報が改ざんされていると判定される場合には、制御処理部による制御処理の実行を禁止する起動制御部とを含む、制御装置とを備え、制御装置は、第1の処理環境および第2の処理環境を有し、第1の記憶領域は、第1の処理環境および第2の処理環境の両方からアクセス可能であり、第2の記憶領域は、第2の処理環境からのみアクセス可能であり、検証値生成部および検証実行部は、第2の処理環境に含まれ、起動要求装置の起動指令通知部は、予め決定された時刻になると、または、ある時刻から予め決定された時間が経過すると、制御装置に対して起動指令を通知し、起動要求装置の開始指令通知部は、外部機器からの制御装置に対する起動要求を受信すると、制御装置に対して制御処理の開始指令を通知し、制御装置の起動制御部は、起動要求装置から制御処理の開始指令が通知されると、制御処理部による制御処理の実行を開始させる。
本発明に係る制御システムによれば、起動時間を増大させることなく、高いセキュリティ性を得ることができる。
以下、添付図面を参照して、本願が開示する制御システムの実施の形態について、本願発明に係る制御システムを車載制御システムに適用した場合を例にとって、詳細に説明する。ただし、以下に示す実施の形態は一例であり、これらの実施の形態によって、本願発明が限定されるものではない。本願発明は、他の種類の車載制御システムおよび他の任意の制御システムに対しても、同様に適用することができる。
実施の形態1.
図1は、本発明の実施の形態1に係る車載制御システムの機能構成を示すブロック図である。車載制御システムは、車載制御装置10、およびこの車載制御装置10に接続される起動要求装置20とから構成されている。車載制御装置10と起動要求装置20との間は、専用の信号線30、31によって接続されている。なお、図1において、実線の矢印はデータの流れを表している。
図1は、本発明の実施の形態1に係る車載制御システムの機能構成を示すブロック図である。車載制御システムは、車載制御装置10、およびこの車載制御装置10に接続される起動要求装置20とから構成されている。車載制御装置10と起動要求装置20との間は、専用の信号線30、31によって接続されている。なお、図1において、実線の矢印はデータの流れを表している。
(車載制御装置10)
車載制御装置10は、車両の制御を行う制御装置である。車載制御装置10と、車両内部の他の制御装置との間は、図示しない車載ネットワーク、例えばCAN(Controller Area Network)を介して接続されている。
車載制御装置10は、車両の制御を行う制御装置である。車載制御装置10と、車両内部の他の制御装置との間は、図示しない車載ネットワーク、例えばCAN(Controller Area Network)を介して接続されている。
車載制御装置10は、起動制御部100と、制御処理部101と、記憶部102と、検証値生成部103と、検証実行部104とを備えている。
また、車載制御装置10は、第1の処理環境10aと、第1の処理環境10aから物理的または論理的に隔離された第2の処理環境10bとを有している。図1において、車載制御装置10内に描かれた破線の左側が第1の処理環境10aであり、破線の右側が第2の処理環境10bである。第2の処理環境10bとしては、例えば、HSM(Hardware Security Module)を使用することができる。
第1の処理環境10aには、起動制御部100と、制御処理部101と、記憶部102における第1の記憶領域102aとが含まれている。
第2の処理環境10bには、記憶部102における第2の記憶領域102bと、検証値生成部103と、検証実行部104とが含まれている。
(起動制御部100)
起動制御部100は、車載制御装置10の起動および終了を制御する。ここで、車載制御装置10の起動とは、車載制御装置10がスリープ状態から復帰すること、あるいは車載制御装置10が電源オフ状態から電源オン状態に移行することである。また、車載制御装置10の終了とは、車載制御装置10がスリープ状態または電源オフ状態に移行することである。
起動制御部100は、車載制御装置10の起動および終了を制御する。ここで、車載制御装置10の起動とは、車載制御装置10がスリープ状態から復帰すること、あるいは車載制御装置10が電源オフ状態から電源オン状態に移行することである。また、車載制御装置10の終了とは、車載制御装置10がスリープ状態または電源オフ状態に移行することである。
また、起動制御部100は、制御処理部101による制御処理の実行を許可または禁止する。
なお、起動制御部100は、車載制御装置10がスリープ状態または電源オフ状態であっても、継続して動作可能なように構成されている。例えば、起動制御部100には、車載制御装置10がスリープ状態または電源オフ状態であっても、図示しない電池または車載バッテリからの電力が継続して供給される。
(制御処理部101)
制御処理部101は、車両に搭載されている制御対象の機器、例えばアクチュエータ等を制御する。なお、図1では、制御対象の機器は示されていない。また、これ以降、制御対象の機器のことを単に、制御対象と称することにする。
制御処理部101は、車両に搭載されている制御対象の機器、例えばアクチュエータ等を制御する。なお、図1では、制御対象の機器は示されていない。また、これ以降、制御対象の機器のことを単に、制御対象と称することにする。
制御処理部101は、記憶部102の第1の記憶領域102aに記憶されている、制御対象の機器に対応した制御プログラムを読み出して実行することによって、各種の制御処理を実行する。
(記憶部102)
記憶部102は、先述したように、第1の記憶領域102aと第2の記憶領域102bとを有している。第1の記憶領域102aと第2の記憶領域102bとは、物理的または論理的に隔離されている。
記憶部102は、先述したように、第1の記憶領域102aと第2の記憶領域102bとを有している。第1の記憶領域102aと第2の記憶領域102bとは、物理的または論理的に隔離されている。
第1の記憶領域102aには、制御処理部101が各種の制御処理を実行する際に使用される制御プログラム、データ等が記憶されている。なお、これ以降、制御プログラム、データ等をまとめて、電子情報と称することにする。また、第1の記憶領域102aに記憶されている電子情報は、第1の処理環境10aおよび第2の処理環境10bの両方からアクセスすることができる。
第2の記憶領域102bには、車載制御装置10の起動時に実行される処理、詳細には、第1の記憶領域102aに記憶されている電子情報の改ざんの有無を検証する処理に使用される検証値および期待値が記憶される。
なお、期待値は、例えば、車載制御装置10の製造時に、第1の記憶領域102aに記憶されている電子情報に基づいて、次に述べる検証値と同一の算出方法で作成される。また、第2の記憶領域102bに記憶されている電子情報は、第2の処理環境10bからのみアクセスすることができる。
ここで、第1の記憶領域102aに記憶されている電子情報は、制御処理部101が各種の制御処理を実行する際に使用するものである。そのため、第1の記憶領域102aに記憶されている電子情報が不正に改ざんされてしまうと、制御対象の動作および車両全体の制御に重大な問題が生じるおそれがある。
(検証値生成部103)
検証値生成部103は、第2の処理環境10b内に設けられている。検証値生成部103は、第1の記憶領域102aに記憶されている電子情報に基づいて、検証値を生成する。検証値は、例えば、MAC(Message Authentication Code)、CRC、ハッシュなどによって生成することができる。
検証値生成部103は、第2の処理環境10b内に設けられている。検証値生成部103は、第1の記憶領域102aに記憶されている電子情報に基づいて、検証値を生成する。検証値は、例えば、MAC(Message Authentication Code)、CRC、ハッシュなどによって生成することができる。
(検証実行部104)
検証実行部104は、第2の処理環境内10b内に設けられている。検証実行部104は、上述した検証値と期待値とを比較することによって、第1の記憶領域102aに記憶されている電子情報の改ざんの有無を検証する。
検証実行部104は、第2の処理環境内10b内に設けられている。検証実行部104は、上述した検証値と期待値とを比較することによって、第1の記憶領域102aに記憶されている電子情報の改ざんの有無を検証する。
検証実行部104は、検証値と期待値とが一致している場合には、第1の記憶領域102aに記憶されている電子情報は改ざんされていないと判定する。その場合、検証実行部104は、起動制御部100に対して、検証合格を意味する信号を出力する。
一方、検証実行部104は、検証値と期待値とが一致していない場合には、第1の記憶領域102aに記憶されている電子情報が改ざんされていると判定する。その場合、検証実行部104は、起動制御部100に対して、検証不合格を意味する信号を出力する。
(起動要求装置20)
起動要求装置20は、車載制御装置10を起動するための装置である。また、起動要求装置20と、車両内部の他の制御装置との間は、図示しない車載ネットワーク、例えばCAN(Controller Area Network)を介して接続されている。
起動要求装置20は、車載制御装置10を起動するための装置である。また、起動要求装置20と、車両内部の他の制御装置との間は、図示しない車載ネットワーク、例えばCAN(Controller Area Network)を介して接続されている。
起動要求装置20は、開始指令通知部200と、起動指令通知部201とを備えている。開始指令通知部200と車載制御装置10の起動制御部100とは、信号線30によって接続されている。また、起動指令通知部201と車載制御装置10の起動制御部100とは、信号線31によって接続されている。なお、信号線30、31は、ONまたはOFFのいずれかの状態をとる。
(開始指令通知部200)
開始指令通知部200は、車両に搭載されている図示しない外部機器から、車載制御装置10の起動要求指令を受信する。起動要求部200は、起動要求指令を受信すると、車載制御装置10の起動制御部100に対して、制御処理の開始指令を通知する。
開始指令通知部200は、車両に搭載されている図示しない外部機器から、車載制御装置10の起動要求指令を受信する。起動要求部200は、起動要求指令を受信すると、車載制御装置10の起動制御部100に対して、制御処理の開始指令を通知する。
詳細には、起動要求部200は、信号線30の状態をOFFからONに変化させることによって、車載制御装置10の起動制御部100に対して、制御処理の開始指令を通知する。
(起動指令通知部201)
起動指令通知部201は、予め決定された時刻、すなわち設定時刻になると、車載制御装置10の起動制御部100に対して、起動指令を通知する。あるいは、起動指令通知部201は、ある時刻から予め決定された時間、すなわち設定時間が経過すると、車載制御装置10の起動制御部100に対して、起動指令を通知する。
起動指令通知部201は、予め決定された時刻、すなわち設定時刻になると、車載制御装置10の起動制御部100に対して、起動指令を通知する。あるいは、起動指令通知部201は、ある時刻から予め決定された時間、すなわち設定時間が経過すると、車載制御装置10の起動制御部100に対して、起動指令を通知する。
詳細には、起動指令通知部201は、信号線31の状態をOFFからONに変化させることによって、車載制御装置10の起動制御部100に対して、起動指令を通知する。
上述した開始指令通知部200および起動指令通知部201は、車載制御装置10がスリープ状態または電源オフ状態であっても、継続して動作可能なように構成されている。例えば、開始指令通知部200および起動指令通知部201には、車載制御装置10がスリープ状態または電源オフ状態であっても、図示しない電池または車載バッテリからの電力が継続して供給される。
次に、本発明の実施の形態1に係る車載制御装置10の終了時および起動時の動作について、図2、図3のフローチャートを参照して詳細に説明する。
(車載制御装置10の終了時の動作)
図2は、実施の形態1に係る車載制御装置10の終了時の動作を説明するフローチャートである。この処理は、車載制御装置10がスリープ状態または電源オフ状態に移行する直前に、自動的に実行されるように設定されている。
図2は、実施の形態1に係る車載制御装置10の終了時の動作を説明するフローチャートである。この処理は、車載制御装置10がスリープ状態または電源オフ状態に移行する直前に、自動的に実行されるように設定されている。
ステップS201において、起動制御部100は、図示しない通信インターフェースを介して、車載制御装置10と他の外部機器との間の通信が現在有効となっている否かを判定する。
ステップS201でYESと判定された場合、すなわち車載制御装置10と他の外部機器との間の通信が現在有効である場合には、処理フローはステップS202に進む。
一方、ステップS201でNOと判定された場合、すなわち車載制御装置10と他の外部機器との間の通信が現在無効である場合には、処理フローはステップS203に進む。
ステップS202において、起動制御部100は、図示しない通信インターフェースを介して、車載制御装置10と他の外部機器との間の通信を無効化する。
ステップS203において、起動制御部100は、検証値生成部103に対して、検証値の生成を指示する。検証値生成部103は、第1の記憶領域102aに記憶されている電子情報に基づいて検証値を生成し、生成した検証値を第2の記憶領域102bに記憶させる。
ステップS204において、起動制御部100は、制御処理部101によって実行されている制御処理を停止させる。
ステップS205において、車載制御装置10は、スリープ状態または電源オフ状態に移行する。これにより、車載制御装置10が終了する。
なお、先述したように、車載制御装置10がスリープ状態または電源オフ状態となっても、起動制御部100は、例えば図示しない電池または車載バッテリから供給される電力によって、継続して動作する。
以上説明したように、実施の形態1に係る車載制御装置10は、スリープ状態または電源オフ状態に移行する直前に、第1の記憶領域102aに記憶されている電子情報に基づいて検証値を生成し、第2の記憶領域102bに記憶させておく。
(車載制御装置10の起動時の動作)
図3は、実施の形態1に係る車載制御装置10の起動時の動作を説明するフローチャートである。
図3は、実施の形態1に係る車載制御装置10の起動時の動作を説明するフローチャートである。
ステップS301において、起動要求装置20の起動指令通知部201は、予め決定された時刻、すなわち設定時刻になると、車載制御装置10の起動制御部100に対して、起動指令を通知する。
詳細には、起動指令通知部201は、信号線31の状態をOFFからONに変化させることによって、車載制御装置10の起動制御部100に対して、起動指令を通知する。
ここで、設定時刻とは、例えば、運転者が日常的に車両のエンジンを始動する時刻の直前、例えば1時間前に設定される。あるいは、運転者が任意の時刻を設定可能なようにしてもよい。
代替的には、ステップS301において、起動要求装置20の起動指令通知部201は、ある時刻から予め決定された時間、すなわち設定時間が経過すると、車載制御装置10の起動制御部100に対して、起動指令を通知する。
詳細には、起動指令通知部201は、信号線31の状態をOFFからONに変化させることによって、車載制御装置10の起動制御部100に対して、起動指令を通知する。
ここで、ある時刻とは、例えば、車両のエンジンが停止した時刻または車載制御装置10がスリープ状態または電源オフ状態に移行した時刻である。また、設定時間は、例えば、1〜2時間に設置される。あるいは、設定時間は、運転者が任意の時間を設定可能なようにしてもよい。
ステップS302において、起動制御部100は、車載制御装置10のスリープ状態または電源オフ状態を解除する。これにより、車載制御装置10が起動する。
ステップS303において、検証実行部104は、第2の記憶領域102bに記憶されている検証値と検証値とを比較することによって、第1の記憶領域102aに記憶されている電子情報の改ざんの有無を検証する。
ステップS303で検証値と期待値とが一致している場合には、検証実行部104は、第1の記憶領域102aに記憶されている電子情報は改ざんされていないと判定する。その場合、検証実行部104は、起動制御部100に対して検証合格を意味する信号を出力し、処理フローはステップS304に進む。
一方、ステップS303で検証値と期待値とが一致していない場合には、検証実行部104は、第1の記憶領域102aに記憶されている電子情報が改ざんされていると判定する。その場合、検証実行部104は、起動制御部100に対して検証不合格を意味する信号を出力し、処理フローはステップS305に進む。
ステップS304において、起動制御部100は、制御処理部101による制御処理の実行を許可する。
ステップS305において、起動制御部100は、制御処理部101による制御処理の実行を禁止する。
ステップS306において、起動要求装置20の開始指令通知部200は、図示しない外部機器からの車載制御装置10に対する起動要求を受信すると、車載制御装置10の起動制御部100に対して、制御処理の開始指令を通知する。
詳細には、開始指令通知部200は、信号線30の状態をOFFからONに変化させることによって、車載制御装置10の起動制御部100に対して、制御処理の開始指令を通知する。
ステップS307において、起動制御部100は、図示しない通信インターフェースを介して、車載制御装置10と他の外部機器との間の通信を有効化する。
ステップS308において、起動制御部100は、制御処理部101による制御処理の実行を開始させる。なお、前述したように、この制御処理に使用される電子情報は、第1の記憶領域102aに記憶されているものであり、この電子情報が改ざんされていないことは、ステップS303において検証されている。
以上説明したように、実施の形態1に係る車載制御システムでは、車載制御装置10の起動時に、第2の記憶領域102bに記憶されている検証値と期待値との比較に基づいて、第1の記憶領域102aに記憶されている電子情報の改ざんの有無を検証する。
先述したように、検証値は、車載制御装置10の終了時に生成され、第2の記憶領域102bに記憶されていたものである。また、期待値は、車載制御装置10の製造時に予め作成され、第2の記憶領域102bに記憶されていたものである。
従来の制御システムでは、制御装置の起動時に、装置内に記憶されている電子情報の改ざんの有無を検証するための検証値を生成していた。また、検証値の生成は、多くの計算量を要するために、時間のかかる処理である。そのため、特許文献1では、改ざんの有無を検証する電子情報を予め選別することにより、セキュリティ性の低下と引き換えにして、起動時間の増大を防いでいた。
これに対して、本実施の形態1に係る制御システムでは、制御装置の終了時に、装置内に記憶されている電子情報の改ざんの有無を検証するための検証値を生成して記憶しておく。これにより、起動時間を増大させることなく、高いセキュリティ性を得ることができる。
特に、暗号鍵を使用して検証値を生成する場合、従来の制御システムでは、起動時間を増大させることなく暗号鍵および暗号化するデータ量を十分に確保することが困難であった。これに対して、本実施の形態1に係る制御システムでは、起動時間を増大させることなく暗号鍵および暗号化するデータ量を十分に確保することができる。これにより、高いセキュリティ性を得ることができる。
また、本実施の形態1に係る制御システムの制御装置は、第1の処理環境と、第1の処理環境と物理的または論理的に隔離された第2の処理環境とを有している。第1の記憶領域は、第1の処理環境および第2の処理環境の両方からアクセス可能であり、第2の記憶領域は、第2の処理環境からのみアクセス可能である。そして、検証値生成部および検証実行部は、第2の処理環境に含まれている。これにより、検証処理それ自体のセキュリティ性および信頼性を高めることができる。
また、本実施の形態1に係る制御システムでは、制御装置の終了時に、検証値生成部による検証値の生成に先立って、制御装置と外部との間の通信機能を無効化する。また、制御装置の起動後に、検証実行部による検証結果が合格の場合に、制御装置と外部との間の通信機能を有効化する、これにより、外部からの通信を介した攻撃による電子情報の改ざんを防ぐことができる。
さらに、本実施の形態1に係る制御システムは、起動要求装置を備えている。起動要求装置の起動指令通知部は、予め決定された時刻になると、制御装置に対して起動指令を通知する。代替的には、起動要求装置の起動指令通知部は、ある時刻から予め決定された時間が経過すると、制御装置に対して起動指令を通知する。これにより、外部機器からの制御装置に対する起動要求が受信されるのに先立って、予め制御装置が起動して、装置内に記憶されている電子情報の改ざんの有無の検証が行われる。
起動要求装置の開始指令通知部は、外部機器からの制御装置に対する起動要求を受信すると、制御装置に対して制御処理の開始指令を通知する。制御装置の起動制御部は、起動要求装置から制御処理の開始指令が通知されると、制御処理部による制御処理の実行を開始させる。これにより、外部機器からの制御装置に対する起動要求が行われた際には、きわめて短時間に制御装置の制御処理が開始される。また、電子情報の改ざんの有無の検証が完了した後に受信される起動要求、すなわち信頼性の高い起動要求のみが有効となるため、制御システムのセキュリティ性がさらに向上する。
なお、以上の説明では、制御処理部101による制御処理の実行を禁止する場合には、制御処理部101の全ての機能の実行が禁止されるものとして説明した。しかしながら、実施の形態1における禁止処理は、これに限定されるものではない。例えば、制御処理部101の一部の機能の実行を禁止した状態で、制御処理部101の他の機能の実行を許可するようにしてもよい。
例えば、制御処理部101によって、複数の制御処理が実行される場合を考える。この場合、第1の記憶領域102aには、複数の制御処理に対応する複数の電子情報、すなわち複数の制御プログラムおよびデータが記憶されている。
検証値生成部103は、車載制御装置10の終了時に、第1の記憶領域102aに記憶されている複数の電子情報に基づいて、これら複数の電子情報にそれぞれ対応する複数の検証値を生成する。
第2の記憶領域102bには、複数の検証値と、これら複数の検証値にそれぞれ対応する複数の期待値が記憶される。
検証実行部104は、車載制御装置10の起動時に、第2の記憶領域102bに記憶されている複数の検証値と複数の期待値とのそれぞれの比較に基づいて、第1の記憶領域102aに記憶されている複数の電子情報の改ざんの有無をそれぞれ検証する。
起動制御部100は、複数の制御処理の中で、検証実行部104による検証結果が合格の制御処理のみ、制御処理部101による実行を許可する。
また、上述した実施の形態1に係る車載制御装置10、起動要求装置20における各機能は、処理回路によって実現される。各機能を実現する処理回路は、専用のハードウェアであってもよく、メモリに格納されるプログラムを実行するプロセッサであってもよい。図4は、本発明の実施の形態1に係る車載制御装置10、起動要求装置20の各機能を専用のハードウェアである処理回路1000で実現する場合を示した構成図である。また、図5は、本発明の実施の形態1に係る車載制御装置10、起動要求装置20の各機能をプロセッサ2001およびメモリ2002を備えた処理回路2000により実現する場合を示した構成図である。
処理回路が専用のハードウェアである場合、処理回路1000は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)、またはこれらを組み合わせたものが該当する。起動制御部100、制御処理部101、検証値生成部103、検証実行部104、開始指令通知部200、起動指令通知部201の各部の機能それぞれを個別の処理回路1000で実現してもよいし、各部の機能をまとめて処理回路1000で実現してもよい。
一方、処理回路がプロセッサ2001の場合、起動制御部100、制御処理部101、検証値生成部103、検証実行部104、開始指令通知部200、起動指令通知部201の各部の機能は、ソフトウェア、ファームウェア、またはソフトウェアとファームウェアとの組み合わせにより実現される。ソフトウェアおよびファームウェアは、プログラムとして記述され、メモリ2002に格納される。プロセッサ2001は、メモリ2002に記憶されたプログラムを読み出して実行することにより、各部の機能を実現する。すなわち、エレベータシステムは、処理回路2000により実行されるときに、ステップS201〜S205、ステップS301〜S307が結果的に実行されることになるプログラムを格納するためのメモリ2002を備える。
これらのプログラムは、上述した各部の手順あるいは方法をコンピュータに実行させるものであるともいえる。ここで、メモリ2002とは、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ、EPROM(Erasable Programmable Read Only Memory)、EEPROM(Electrically Erasable and Programmable Read Only Memory)等の、不揮発性または揮発性の半導体メモリが該当する。また、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等も、メモリ2002に該当する。
なお、上述した各部の機能について、一部を専用のハードウェアで実現し、一部をソフトウェアまたはファームウェアで実現するようにしてもよい。
このように、処理回路は、ハードウェア、ソフトウェア、ファームウェア、またはこれらの組み合わせによって、上述した各部の機能を実現することができる。
10 車載制御装置(制御装置)、10a 第1の処理環境、10b 第2の処理環境、20 起動要求装置、30 信号線、31 信号線、100 起動制御部、101 制御処理部、102a 第1の記憶領域、102b 第2の記憶領域、103 検証値生成部、104 検証実行部、200 開始指令通知部、201 起動指令通知部。
Claims (3)
- 制御装置に対して起動指令を通知する起動指令通知部と
前記制御装置に対して制御処理の開始指令を通知する開始指令通知部と
を含む、起動要求装置と、
前記制御装置による制御処理を実行する制御処理部と、
前記制御処理部によって実行される制御処理に用いられる電子情報を記憶する第1の記憶領域と、
前記制御装置の終了時に、前記第1の記憶領域に記憶されている前記電子情報に基づいて検証値を生成する検証値生成部と、
前記検証値生成部によって生成された前記検証値、および前記第1の記憶領域に記憶されている前記電子情報に基づいて予め作成される期待値を記憶する第2の記憶領域と、
前記制御装置の起動時に、前記第2の記憶領域に記憶されている前記検証値と前記期待値との比較に基づいて、前記第1の記憶領域に記憶されている前記電子情報の改ざんの有無を検証する検証実行部と、
前記起動要求装置の前記起動指令通知部から前記起動指令が通知されると、前記制御装置を起動させ、前記検証実行部による検証の結果、前記第1の記憶領域に記憶されている前記電子情報が改ざんされていないと判定される場合には、前記制御処理部による前記制御処理の実行を許可し、前記検証実行部による検証の結果、前記第1の記憶領域に記憶されている前記電子情報が改ざんされていると判定される場合には、前記制御処理部による前記制御処理の実行を禁止する起動制御部と
を含む、制御装置と
を備え、
前記制御装置は、第1の処理環境および第2の処理環境を有し、
前記第1の記憶領域は、前記第1の処理環境および前記第2の処理環境の両方からアクセス可能であり、
前記第2の記憶領域は、前記第2の処理環境からのみアクセス可能であり、
前記検証値生成部および前記検証実行部は、前記第2の処理環境に含まれ、
前記起動要求装置の前記起動指令通知部は、予め決定された時刻になると、または、ある時刻から予め決定された時間が経過すると、前記制御装置に対して前記起動指令を通知し、
前記起動要求装置の前記開始指令通知部は、外部機器からの前記制御装置に対する起動要求を受信すると、前記制御装置に対して制御処理の開始指令を通知し、
前記制御装置の前記起動制御部は、前記起動要求装置から前記制御処理の開始指令が通知されると、前記制御処理部による前記制御処理の実行を開始させる、制御システム。 - 前記起動制御部は、前記制御装置の終了時に、前記検証値生成部による前記検証値の生成に先立って、前記制御装置と外部との間の通信機能を無効化し、前記制御装置の起動後に、前記検証実行部による検証の結果、前記第1の記憶領域に記憶されている前記電子情報が改ざんされていないと判定される場合に、前記制御装置と外部との間の通信機能を有効化する、請求項1に記載の制御システム。
- 前記制御処理部は、複数の制御処理を実行し、
前記第1の記憶領域には、前記制御処理部によって実行される前記複数の制御処理に対応する複数の電子情報が記憶され、
前記検証値生成部は、前記制御装置の終了時に、前記第1の記憶領域に記憶されている前記複数の電子情報に基づいて、該複数の電子情報にそれぞれ対応する複数の検証値を生成し、
前記第2の記憶領域は、前記検証値生成部によって生成された前記複数の検証値、および前記第1の記憶領域に記憶されている前記複数の電子情報に基づいて予め作成される、該複数の電子情報にそれぞれ対応する複数の期待値を記憶し、
前記検証実行部は、前記制御装置の起動時に、前記第2の記憶領域に記憶されている前記複数の検証値と前記複数の期待値とのそれぞれの比較に基づいて、前記第1の記憶領域に記憶されている前記複数の電子情報の改ざんの有無をそれぞれ検証し、
前記起動制御部は、前記複数の制御処理の中で、前記検証実行部による検証の結果、改ざんされていないと判定される電子情報に対応する制御処理のみ実行を許可する、請求項1または2に記載の制御システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018189095A JP6698778B2 (ja) | 2018-10-04 | 2018-10-04 | 制御システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018189095A JP6698778B2 (ja) | 2018-10-04 | 2018-10-04 | 制御システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020057309A JP2020057309A (ja) | 2020-04-09 |
| JP6698778B2 true JP6698778B2 (ja) | 2020-05-27 |
Family
ID=70107386
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018189095A Active JP6698778B2 (ja) | 2018-10-04 | 2018-10-04 | 制御システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6698778B2 (ja) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4738068B2 (ja) * | 2005-06-17 | 2011-08-03 | 富士通セミコンダクター株式会社 | プロセッサ及びシステム |
| JP5263119B2 (ja) * | 2009-10-19 | 2013-08-14 | 富士通株式会社 | 通信制御プログラム、通信制御装置、およびネットワークシステム |
| JP5582909B2 (ja) * | 2010-07-29 | 2014-09-03 | キヤノン株式会社 | プラットフォーム完全性検証システム |
| JP6011379B2 (ja) * | 2013-02-06 | 2016-10-19 | トヨタ自動車株式会社 | 改竄検知システム、電子制御ユニット |
| US10782955B2 (en) * | 2017-01-03 | 2020-09-22 | Ford Global Technologies, Llc | Pre-shutdown swap verification |
-
2018
- 2018-10-04 JP JP2018189095A patent/JP6698778B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020057309A (ja) | 2020-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109446815B (zh) | 基本输入输出系统固件的管理方法、装置和服务器 | |
| US11803366B2 (en) | Firmware updating system and method | |
| WO2017022149A1 (ja) | 処理装置、車載端末装置、処理装置の起動方法、及び処理装置の起動プログラム | |
| CN110520861B (zh) | 用于通过使用安全元件来快速认证程序的方法和装置 | |
| CN105892348B (zh) | 用于运行控制设备的方法 | |
| JP6391439B2 (ja) | 情報処理装置、サーバ装置、情報処理システム、制御方法及びコンピュータプログラム | |
| JP6659180B2 (ja) | 制御装置および制御方法 | |
| CN113407911A (zh) | 验证驻留在远程计算设备上的软件 | |
| US20210367781A1 (en) | Method and system for accelerating verification procedure for image file | |
| KR102002517B1 (ko) | 전자식 제어기 보안 기능 설정 방법 및 시스템 | |
| KR101806719B1 (ko) | 보안 부팅에 따른 메모리 영역 자동 설정이 가능한 전자 제어유닛 및 이를 이용한 보안 부팅 방법 | |
| EP3706387B1 (en) | Vehicle control device, vehicle control device start-up method, and recording medium | |
| JP6698778B2 (ja) | 制御システム | |
| CN111258615A (zh) | 工控主机及其软件升级的方法、装置及移动存储介质 | |
| US11036846B2 (en) | Control device | |
| JP6463435B1 (ja) | 制御装置および制御方法 | |
| US11509640B2 (en) | Method for protecting an electronic control unit | |
| JP7341376B2 (ja) | 情報処理装置、情報処理方法、及び、情報処理プログラム | |
| US11500993B2 (en) | Contingent authenticated boot of an electronic control unit | |
| WO2022185570A1 (ja) | 制御装置 | |
| JP2023510122A (ja) | インタフェースを備える装置およびインタフェースを備える装置の動作方法 | |
| KR20230081988A (ko) | 차량 보안 시동 방법, 장치, 전자 제어 유닛 및 저장 매체 | |
| CN115563625A (zh) | 车载电子控制单元的启动方法、装置、车辆及存储介质 | |
| JP2022107288A (ja) | 自動車用電子制御装置 | |
| CN112487500A (zh) | 认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181004 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190927 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191029 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191129 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200331 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200428 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6698778 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |