JP6779758B2 - Information processing equipment, information processing methods and programs - Google Patents

Information processing equipment, information processing methods and programs Download PDF

Info

Publication number
JP6779758B2
JP6779758B2 JP2016225978A JP2016225978A JP6779758B2 JP 6779758 B2 JP6779758 B2 JP 6779758B2 JP 2016225978 A JP2016225978 A JP 2016225978A JP 2016225978 A JP2016225978 A JP 2016225978A JP 6779758 B2 JP6779758 B2 JP 6779758B2
Authority
JP
Japan
Prior art keywords
access
processing means
level
information processing
area
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016225978A
Other languages
Japanese (ja)
Other versions
JP2018084866A (en
Inventor
石川 学
学 石川
山田 真也
真也 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2016225978A priority Critical patent/JP6779758B2/en
Publication of JP2018084866A publication Critical patent/JP2018084866A/en
Application granted granted Critical
Publication of JP6779758B2 publication Critical patent/JP6779758B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、情報処理装置、情報処理方法及びプログラムに関する。 The present invention relates to an information processing device, an information processing method and a program.

情報の漏えいや改ざんを防ぐため、計算器リソースの分割や仮想化の技術が普及している。例えば、ARM社のTrustZone(登録商標)に代表される技術では、単一のプロセッサでありながら、計算器リソースをセキュア領域と非セキュア領域とでハードウェアレベルで分離することができる。そして、非セキュア領域内で動作するプログラムはセキュア領域内のデータに直接アクセスできない。そのため、万一、非セキュア領域内でマルウェアが動作し、機密データを盗聴又は改ざんしようとしたとしても、機密データをセキュア領域内に保管しておけば漏えい又は改ざんを防ぐことができる。
また、仮想化技術では、信頼性等を判断できないプログラムをサンドボックスや仮想空間内で実行することで、実際のシステムと分離し、セキュリティを高めている。 Computer resource division and virtualization technologies are widespread in order to prevent information leakage and falsification. For example, in the technology represented by ARM's TrustZone (registered trademark), computer resources can be separated into a secure area and a non-secure area at the hardware level even though the processor is a single processor. Then, a program operating in the non-secure area cannot directly access the data in the secure area. Therefore, even if malware operates in the non-secure area and attempts to eavesdrop or falsify the confidential data, if the confidential data is stored in the secure area, leakage or falsification can be prevented.
In addition, with virtualization technology, a program whose reliability cannot be determined is executed in a sandbox or virtual space to separate it from the actual system and enhance security.

特開2010−134572号公報JP-A-2010-134572

従来技術では、非セキュリティ領域のプログラムがセキュリティ領域から得られる情報は限られており、アクセスできるデータも制限されている。したがって、非セキュア領域のプログラムの開発が制限されていた。
本発明は、セキュア領域内のデータの秘匿性を担保しつつ、非セキュア領域のプログラム開発における制限を緩和することを目的とする。 In the prior art, the information that a program in the non-security area can obtain from the security area is limited, and the data that can be accessed is also limited. Therefore, the development of programs in the non-secure area was restricted.
An object of the present invention is to relax restrictions on program development in a non-secure area while ensuring the confidentiality of data in a secure area.

本発明は、セキュリティを確認していない第1の処理手段を動作させる非セキュア領域とセキュリティを確認している第2の処理手段を動作させるセキュア領域とを有するプロセッサを有し、前記第2の処理手段は、前記第1の処理手段に付加されている認証レベルに基づき、前記第1の処理手段のアクセス領域へのアクセスを制御する。 The present invention has a processor having a non-secure area for operating a first processing means whose security has not been confirmed and a secure area for operating a second processing means for which security has been confirmed. The processing means controls access to the access area of the first processing means based on the authentication level added to the first processing means.

本発明によれば、セキュア領域内のデータの秘匿性を担保しつつ、非セキュア領域のプログラム開発における制限を緩和することができる。 According to the present invention, it is possible to relax the restrictions on program development in the non-secure area while ensuring the confidentiality of the data in the secure area.

情報処理装置のハードウェア構成の一例を示す図である。It is a figure which shows an example of the hardware configuration of an information processing apparatus. 実施形態1の情報処理装置の機能構成の一例を示す図である。It is a figure which shows an example of the functional structure of the information processing apparatus of Embodiment 1. 実施形態1の認証レベルの判定処理を示すフローチャートである。It is a flowchart which shows the determination process of the authentication level of Embodiment 1. 実施形態2の情報処理装置の機能構成の一例を示す図である。It is a figure which shows an example of the functional structure of the information processing apparatus of Embodiment 2. バスプロトコルの一例を示す図である。It is a figure which shows an example of a bus protocol. 実施形態2の認証レベルの判定処理を示すフローチャートである。It is a flowchart which shows the determination process of the authentication level of Embodiment 2.

以下、本発明の実施形態について図面に基づいて説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.

図1は、情報処理装置10のハードウェア構成の一例を示す図である。
プロセッサ11は、システムバス14に接続された各種デバイスの制御を行う。
ROM12は、BIOSのプログラムやブートプログラムを記憶する。
RAM13は、プロセッサ11の主記憶装置として使用される。
キーボードコントローラ(KBC)15は、マウス等のポインティングデバイス(PD)109や、キーボード(KB)20からの情報等の入力に係る処理を行う。
表示制御部(CRTC)16は、内部にビデオメモリを有し、プロセッサ11からの指示に従ってそのビデオメモリに描画すると共に、ビデオメモリに描画されたイメージデータをビデオ信号としてCRT21に出力する。なお、図1において表示装置としてCRT21を例示しているが、液晶表示装置等、その表示装置の種類は問わない。
ディスクコントローラ(DKC)17は、ハードディスク(HDD)22へのアクセスを行う。
ネットワークインタフェースカード(NIC)18は、ネットワークに接続し、ネットワークを介しての情報通信を行うものである。
なお、HDD22には、OSのプログラムやOS上で動作する各種アプリケーションのプログラム等が格納される。HDD22は、記憶領域の一例である。
上記構成において、情報処理装置10の電源がONになると、プロセッサ11は、ROM12に格納されたブートプログラムに従って、HDD22からOSのプログラムをRAM13に読み込み、処理を実行することによって、各装置の機能を実現する。
情報処理装置10のプロセッサ11がROM12又はHDD22に記憶されているプログラムに基づき処理を実行することによって、後述する図2、図4のプロセッサ11の機能構成及び後述する図3のフローチャートの処理が実現される。また、後述する実施形態2の場合、情報処理装置10のセキュリティデバイス等のCPU又はプロセッサがセキュリティデバイスのメモリ等に記憶されているプログラムに基づき処理を実行することにより、後述する図4のセキュリティデバイス302の機能及び後述する図6のフローチャートの処理が実現される。 FIG. 1 is a diagram showing an example of a hardware configuration of the information processing device 10.
The processor 11 controls various devices connected to the system bus 14.
The ROM 12 stores a BIOS program and a boot program.
The RAM 13 is used as the main storage device of the processor 11.
The keyboard controller (KBC) 15 performs processing related to input of information and the like from a pointing device (PD) 109 such as a mouse and a keyboard (KB) 20.
The display control unit (CRTC) 16 has a video memory inside, draws the image data in the video memory according to an instruction from the processor 11, and outputs the image data drawn in the video memory to the CRT 21 as a video signal. Although CRT21 is illustrated as a display device in FIG. 1, the type of display device such as a liquid crystal display device does not matter.
The disk controller (DKC) 17 accesses the hard disk (HDD) 22.
The network interface card (NIC) 18 connects to a network and performs information communication via the network.
The HDD 22 stores OS programs, programs of various applications running on the OS, and the like. The HDD 22 is an example of a storage area.
In the above configuration, when the power of the information processing device 10 is turned on, the processor 11 reads the OS program from the HDD 22 into the RAM 13 according to the boot program stored in the ROM 12, and executes the process to perform the function of each device. Realize.
By executing the processing based on the program stored in the ROM 12 or the HDD 22 by the processor 11 of the information processing device 10, the functional configuration of the processor 11 of FIGS. 2 and 4 described later and the processing of the flowchart of FIG. 3 described later are realized. Will be done. Further, in the case of the second embodiment described later, the CPU or processor of the security device of the information processing device 10 executes the process based on the program stored in the memory of the security device, thereby executing the process based on the program of the security device of FIG. The functions of 302 and the processing of the flowchart of FIG. 6 described later are realized.

<実施形態1>
実施形態1の情報処理装置10はセキュア領域に判定モジュールを持たせることにより、アクセス可能なデバイスを制限する方法である。
図2は、実施形態1の情報処理装置10の機能構成の一例を示す図である。
事前認証部100は、事前にプログラムを認証する。事前認証部100は、情報処理装置10とネットワーク等を介して通信可能な他の装置に実装されてもよいが、本実施形態では、情報処理装置10に実装されているものとして説明を行う。なお、工場等で製品プログラム作成時に認証を事前に付加できるようにしてもよい。事前認証部100は、認証レベルを満たすプログラムか否か事前に判定し、判定結果が許可(認証レベルを満たすプログラム)である場合、認証レベル付加情報1012をプログラム1011に付加する機能を有する。認証レベルの申請方法は特に規定しない。認証レベル付加情報1012は、例えば電子証明書等のセキュリティが担保された証明手段を用いるのがよいが、セキュリティが担保されたシステムでは認証レベルのレベル情報のみを付加する等、その他の手段を用いてもよい。 <Embodiment 1>
The information processing device 10 of the first embodiment is a method of limiting accessible devices by having a determination module in a secure area.
FIG. 2 is a diagram showing an example of the functional configuration of the information processing apparatus 10 of the first embodiment.
The pre-authentication unit 100 authenticates the program in advance. The pre-authentication unit 100 may be mounted on another device capable of communicating with the information processing device 10 via a network or the like, but in the present embodiment, it is assumed that the pre-authentication unit 100 is mounted on the information processing device 10. It should be noted that certification may be added in advance when creating a product program at a factory or the like. The pre-authentication unit 100 has a function of determining in advance whether or not the program satisfies the authentication level, and if the determination result is permission (a program satisfying the authentication level), the authentication level additional information 1012 is added to the program 1011. The method of applying for the certification level is not specified. For the authentication level additional information 1012, it is preferable to use a security-guaranteed certification means such as an electronic certificate, but in a security-guaranteed system, other means such as adding only the authentication level level information is used. You may.

プロセッサ101は、図1のプロセッサ11と同様である。レベル1アクセス領域102は、例えば、図1のRAM13である。レベル1アクセス領域102より低いアクセス許可レベルを持つレベルnアクセス領域103は、例えば、図1のROM12である。ここで、nは、2以上の自然数である。アクセス許可レベルを有さない非セキュアデバイス104は、例えば、図1のHDD22である。なお、アクセス許可レベルは2つ以上に細分化されていてもよく、また、同一アクセス許可レベルを有するデバイスが複数あってもよい。図2はレベルnアクセス領域103を1つ具備する例を示している。プロセッサ101には非セキュア領域とセキュア領域とが存在し、モニタ1013は、セキュア領域で動作する。モニタ1013がセキュア領域内のセキュリティを担保している仕組みである。モニタ1013は、判定モジュール1014を有する。判定モジュール1014によりプログラム1011に関するアプリケーションの領域等の細かなアクセス制御が可能となる。判定モジュール1014は事前認証部100によってプログラムに付加された認証レベル付加情報1012からプログラム(プロセッサ11がプログラムに基づき処理を実行することにより実現されるアプリケーション)がアクセス可能なデバイスの範囲を選択する。判別されたレベルに応じて、プログラムは、アクセス領域にアクセスすることができる。例えば、認証レベルが最も高いレベル1認証を受けたプログラム(プログラムに関するアプリケーション)であれば、レベル1アクセス領域102、アクセス許可レベルが下位のレベルnアクセス領域103、非セキュアデバイス104へのアクセスが許可される。一方、認証レベルがレベルn認証を受けたプログラムは認証レベルよりもアクセス許可レベルの高いレベル1アクセス領域102へのアクセスは禁止され、レベルnアクセス領域103及び非セキュアデバイス104へのみアクセスが許可される。アクセス制御はモニタ1013内の判定モジュール1014にて制御される。判定モジュール1014は、レベルを満たさないプログラムのアクセスは拒否する。より具体的に説明すると、判定モジュール1014は、アプリケーションに関するプログラムに付加されている認証レベルと複数のアクセス領域(102〜104)の各々のアクセスレベルとに基づき、アクセスを制御する。即ち、判定モジュール1014は、アプリケーションに関するプログラムの認証レベルと複数のアクセス領域の各々のアクセスレベルとに基づき、複数のアクセス領域のうち、アプリケーションがアクセス可能なアクセス領域へのアクセスを許可する。レベル1アクセス領域102は、レベル1というアクセスレベルが設定されたアクセス領域の一例である。レベルnアクセス領域103は、レベルnというアクセスレベルが設定されたアクセス領域の一例である。
プロセッサ101の非セキュア領域は、セキュリティを確認していない第1の処理手段を動作させる非セキュア領域の一例である。また、プロセッサ101のセキュア領域は、セキュリティを確認している第2の処理手段を動作させるセキュア領域の一例である。プロセッサ101がプログラム1011に基づき処理を実行することにより実現されるアプリケーション、又はプログラム1011は、第1の処理手段の一例である。また、モニタ1013、又は判定モジュール1014は、第2の処理手段の一例である。 The processor 101 is the same as the processor 11 of FIG. The level 1 access area 102 is, for example, the RAM 13 of FIG. The level n access area 103 having an access permission level lower than the level 1 access area 102 is, for example, the ROM 12 of FIG. Here, n is a natural number of 2 or more. The non-secure device 104 having no access permission level is, for example, the HDD 22 in FIG. The access permission level may be subdivided into two or more, and there may be a plurality of devices having the same permission level. FIG. 2 shows an example including one level n access area 103. The processor 101 has a non-secure area and a secure area, and the monitor 1013 operates in the secure area. The monitor 1013 is a mechanism that guarantees security in the secure area. The monitor 1013 has a determination module 1014. The determination module 1014 enables fine access control of the application area and the like related to the program 1011. The determination module 1014 selects a range of devices that can be accessed by the program (application realized by the processor 11 executing processing based on the program) from the authentication level addition information 1012 added to the program by the pre-authentication unit 100. Depending on the determined level, the program can access the access area. For example, if the program (application related to the program) has received the highest level 1 authentication, access to the level 1 access area 102, the lower level n access area 103, and the non-secure device 104 is permitted. Will be done. On the other hand, a program whose authentication level is level n authentication is prohibited from accessing the level 1 access area 102 whose access permission level is higher than the authentication level, and is permitted to access only the level n access area 103 and the non-secure device 104. To. Access control is controlled by the determination module 1014 in the monitor 1013. The determination module 1014 denies access to programs that do not meet the level. More specifically, the determination module 1014 controls access based on the authentication level added to the program related to the application and the access level of each of the plurality of access areas (102 to 104). That is, the determination module 1014 permits access to the access area accessible to the application among the plurality of access areas based on the authentication level of the program related to the application and the access level of each of the plurality of access areas. The level 1 access area 102 is an example of an access area in which an access level of level 1 is set. The level n access area 103 is an example of an access area in which an access level of level n is set.
The non-secure area of the processor 101 is an example of a non-secure area for operating the first processing means whose security has not been confirmed. Further, the secure area of the processor 101 is an example of a secure area for operating the second processing means for which security is confirmed. The application realized by the processor 101 executing the process based on the program 1011 or the program 1011 is an example of the first processing means. Further, the monitor 1013 or the determination module 1014 is an example of the second processing means.

図3は、認証レベルの判定処理の一例を示すフローチャートである。
S201において、判定モジュール1014は、認証レベル付加情報1012から事前認証された認証レベルを取得する。例えば電子証明書で認証されている場合、判定モジュール1014は、認証レベルを証明書から取得する。
S202において、判定モジュール1014は、取得した認証レベルが1であるか否かを判定する。判定モジュール1014は、認証レベルが1であると判定した場合(S202においてYes)、S204に進み、認証レベルが1でないと判定した場合(S202においてNo)、S203に進む。
S204において、判定モジュール1014は、レベル1以下のアクセス許可レベルのデバイスへのアクセスを許可する。
S203において、判定モジュール1014は、認証レベルが2であるか否かを判定する。判定モジュール1014は、認証レベルが2であると判定した場合(S203においてYes)、S205に進み、認証レベルが設定されていないと判定した場合(S203においてNo)、S206に進む。
S205において、判定モジュール1014は、レベル2以下のアクセス許可レベルのデバイスへのアクセスを許可する。判定モジュール1014は、認証レベル、アクセス許可レベルが更に複数に細分化されている場合には細分化されている認証レベル、アクセス許可レベルに合わせて、S203、S205等の処理を繰り返す。
S206において、判定モジュール1014は、非セキュアデバイス104のみへのアクセスを許可する。
S207において、判定モジュール1014は、プログラム1011が処理を終了するか否かを判定する。判定モジュール1014は、プログラム1011が処理を終了すると判定すると(S207においてYes)、S201に進み、再度、認証レベルの判定処理を開始する。判定モジュール1014は、プログラム1011が処理を終了しないと判定すると(S207においてNo)、S202に進み、プログラム1011が終了するまでデバイスに対するアクセスが許可される。 FIG. 3 is a flowchart showing an example of the authentication level determination process.
In S201, the determination module 1014 acquires the pre-authenticated authentication level from the authentication level additional information 1012. For example, when authenticated by a digital certificate, the determination module 1014 acquires the authentication level from the certificate.
In S202, the determination module 1014 determines whether or not the acquired authentication level is 1. The determination module 1014 proceeds to S204 when it is determined that the authentication level is 1 (Yes in S202), and proceeds to S203 when it is determined that the authentication level is not 1 (No in S202).
In S204, the determination module 1014 permits access to a device having a permission level of level 1 or lower.
In S203, the determination module 1014 determines whether or not the authentication level is 2. The determination module 1014 proceeds to S205 when it is determined that the authentication level is 2 (Yes in S203), and proceeds to S206 when it is determined that the authentication level is not set (No in S203).
In S205, the determination module 1014 permits access to a device having a permission level of level 2 or lower. The determination module 1014 repeats the processes of S203, S205, etc. according to the subdivided authentication level and access permission level when the authentication level and access permission level are further subdivided.
In S206, the determination module 1014 permits access only to the non-secure device 104.
In S207, the determination module 1014 determines whether or not the program 1011 ends the process. When the determination module 1014 determines that the program 1011 finishes the process (Yes in S207), the determination module 1014 proceeds to S201 and starts the authentication level determination process again. When the determination module 1014 determines that the program 1011 does not end the process (No in S207), the determination module 1014 proceeds to S202, and access to the device is permitted until the program 1011 ends.

判定モジュール1014の機能によりアクセスできる情報の範囲をプログラム毎に限定することができ、例えば、画像へのアクセスは許可するが、画像の原本性保証機能へのアクセスは拒否する等、非セキュア領域で実行されているプログラム毎に設定可能である。 The range of information that can be accessed can be limited for each program by the function of the judgment module 1014. For example, in a non-secure area, access to an image is permitted, but access to an image originality guarantee function is denied. It can be set for each program being executed.

<実施形態2>
図4は、実施形態2の情報処理装置10の機能構成の一例を示す図である。
事前認証部300は、事前にプログラムを認証する。事前認証部300は、情報処理装置10とネットワーク等を介して通信可能な他の装置に実装されてもよいが、本実施形態では、情報処理装置10に実装されているものとして説明を行う。事前認証部300は、認証レベルを満たすプログラムか否か事前に判定し、判定結果が許可(認証レベルを満たすプログラム)である場合、認証レベル付加情報3012をプログラム3011に付加する機能を有する。認証レベルの申請方法は特に規定しない。認証レベル付加情報3012は、例えば電子証明書等のセキュリティが担保された証明手段を用いるのがよいが、セキュリティが担保されたシステムでは認証レベルのレベル情報のみを付加する等、その他手段を用いてもよい。 <Embodiment 2>
FIG. 4 is a diagram showing an example of the functional configuration of the information processing device 10 of the second embodiment.
The pre-authentication unit 300 authenticates the program in advance. The pre-authentication unit 300 may be mounted on another device capable of communicating with the information processing device 10 via a network or the like, but in the present embodiment, the pre-authentication unit 300 will be described assuming that it is mounted on the information processing device 10. The pre-authentication unit 300 has a function of determining in advance whether or not the program satisfies the authentication level, and if the determination result is permission (a program satisfying the authentication level), the authentication level additional information 3012 is added to the program 3011. The method of applying for the certification level is not specified. For the authentication level additional information 3012, for example, a security-guaranteed certification means such as an electronic certificate may be used, but in a security-guaranteed system, only the authentication level level information is added, or other means may be used. May be good.

プロセッサ301は、図1のプロセッサ11と同様である。セキュリティデバイス302は、レベル1アクセス領域3022、レベル1アクセス領域3022より低いアクセス許可レベルを持つレベルnアクセス領域3023、及びアクセス許可レベルを有さない非セキュアデバイス3024を含む。また、セキュリティデバイス302は、判定モジュール3021を含む。図4において、303は、セキュリティ領域であり、304は、非セキュリティ領域である。セキュリティデバイス302は、例えば、図1のHDD22である。アクセス許可レベルは2つ以上に細分化されていてもよく、また、同一アクセス許可レベルを有するデバイスが複数あってもよい。図4はセキュリティデバイス302が1つ、レベルnアクセス領域3023を1つ有する例を示している。プロセッサ301には非セキュア領域とセキュア領域とが存在し、モニタ3013はセキュア領域で動作する。モニタ3013がセキュア領域内のセキュリティを担保している仕組みである。モニタ3013は、判定モジュール3014と、通知モジュール3015と、を有する。 The processor 301 is the same as the processor 11 of FIG. The security device 302 includes a level 1 access area 3022, a level n access area 3023 having an access permission level lower than the level 1 access area 3022, and a non-secure device 3024 having no access permission level. The security device 302 also includes a determination module 3021. In FIG. 4, 303 is a security area and 304 is a non-security area. The security device 302 is, for example, the HDD 22 of FIG. The permission level may be subdivided into two or more, and there may be a plurality of devices having the same permission level. FIG. 4 shows an example in which one security device 302 has one level n access area 3023. The processor 301 has a non-secure area and a secure area, and the monitor 3013 operates in the secure area. The monitor 3013 is a mechanism that guarantees security in the secure area. The monitor 3013 has a determination module 3014 and a notification module 3015.

判定モジュール3014、通知モジュール3015及び判定モジュール3021の組み合わせによりプログラム3011に関するアプリケーションの領域等の細かなアクセス制御が可能となる。判定モジュール3014は、事前認証部300によってプログラムに付加された認証レベル付加情報3012からプログラムがアクセス可能なデバイスの範囲を選択する。通知モジュール3015は、図5に示すプロトコルを用いて判定モジュール3021にプログラムの認証レベルを通知する。プロセッサ301が接続されるバスプロトコルの一例を図5に示す。アドレスチャネル500、502、504、510、512とデータチャネル501、503、511、513とがある。読み書きを通知する信号5001、データを通知する信号5002、及びセキュア領域からのアクセスか非セキュア領域からのアクセスかを通知するNSビット5003の信号が既に存在する。本実施形態では図5に示す信号を用いて、バスプロトコル、プロセッサの修正なくアクセス許可レベルを通知する手法を示す。例えば、通知モジュール3015は、特定アドレスに対して、信号505(読込命令)、506(書込命令)、507(読込命令)を一つのアクセスパターンとして定義する。通知モジュール3015は、パターンを検知した場合、書き込み命令506によって書き込まれるデータ508に通知する認証レベルのレベル情報を重畳する。このような手法の特殊コマンドは既存バスの規格に則ったものであり、本実施形態の機能のためにバスプロトコル拡張なしに容易にアクセス許可レベルの細分化が可能となる。 The combination of the determination module 3014, the notification module 3015, and the determination module 3021 enables fine access control of the application area and the like related to the program 3011. The determination module 3014 selects the range of devices that the program can access from the authentication level addition information 3012 added to the program by the pre-authentication unit 300. The notification module 3015 notifies the determination module 3021 of the authentication level of the program using the protocol shown in FIG. FIG. 5 shows an example of a bus protocol to which the processor 301 is connected. There are address channels 500, 502, 504, 510, 512 and data channels 501, 503, 511, 513. There is already a signal 5001 for notifying read / write, a signal 5002 for notifying data, and a signal for NS bit 5003 notifying whether the access is from the secure area or the non-secure area. In this embodiment, a method of notifying the access permission level without modifying the bus protocol and the processor is shown by using the signal shown in FIG. For example, the notification module 3015 defines signals 505 (read instruction), 506 (write instruction), and 507 (read instruction) as one access pattern for a specific address. When the notification module 3015 detects a pattern, the notification module 3015 superimposes the level information of the authentication level to be notified on the data 508 written by the write command 506. The special command of such a method conforms to the standard of the existing bus, and the function of this embodiment makes it possible to easily subdivide the access permission level without extending the bus protocol.

上述した方法ではデータアクセス毎にアクセスパターン通知のオーバヘッドが発生する。そのため、オーバヘッドを解決するための手段として、通知モジュール3015は、NSビット5003に認証レベルのレベル情報を持たせるようにしてもよい。通知モジュール3015は、通知する認証レベルのレベル情報に合致するパターンをレベル通知信号一覧516より選択する。そして、通知モジュール3015は、選択した信号を同一アドレスチャネル510内においてNSビット5003の信号レベルを変化させることにより通知する。例えば、通知モジュール3015は、認証レベル1を通知する場合にはレベル1通知514信号として、認証レベル2を通知したい場合にはレベル2通知515として通知する。これら判定モジュール3014、通知モジュール3015及び判定モジュール3021の組み合わせの情報処理により、以下のことが可能となる。判別されたレベルに応じて、例えば、一番高いレベル1認証を受けたプログラムに関するアプリケーションであればレベル1アクセス領域3022、アクセス許可レベルが下位のレベルnアクセス領域3023及び非セキュアデバイス3024へアクセス可能である。レベルn認証を受けたプログラムに関するアプリケーションは、認証レベルよりもアクセス許可レベルの高いレベル1アクセス領域3022へのアクセスは禁止され、レベルnアクセス領域3023及び非セキュアデバイス3024へのみアクセスが許可される。アクセス制御はセキュリティデバイス302内の判定モジュール3021にて制御されるものとし、上述のとおりレベルを満たさないプログラムのアクセスは拒否される。
プロセッサ301の非セキュア領域は、セキュリティを確認していない第1の処理手段を動作させる非セキュア領域の一例である。また、プロセッサ301のセキュア領域は、セキュリティを確認している第2の処理手段を動作させるセキュア領域の一例である。プロセッサ301がプログラム3011に基づき処理を実行することにより実現されるアプリケーション、又はプログラム3011は、第1の処理手段の一例である。また、モニタ3013、又は通知モジュール3015は、第2の処理手段の一例である。判定モジュール3021は、制御手段の一例である。レベル1アクセス領域3022は、レベル1というアクセスレベルが設定されたアクセス領域の一例である。レベルnアクセス領域3023は、レベルnというアクセスレベルが設定されたアクセス領域の一例である。
通知モジュール3015を用いることにより、同一スレーブ内に複数のアクセス許可レベルを持たせることができる。通知された認証レベルは判定モジュール3021において図6に示すフローチャートの情報処理により制御される。 In the method described above, an overhead of access pattern notification occurs for each data access. Therefore, as a means for resolving the overhead, the notification module 3015 may provide the NS bit 5003 with the level information of the authentication level. The notification module 3015 selects a pattern that matches the level information of the authentication level to be notified from the level notification signal list 516. Then, the notification module 3015 notifies the selected signal by changing the signal level of the NS bit 5003 in the same address channel 510. For example, the notification module 3015 notifies as a level 1 notification 514 signal when notifying the authentication level 1, and as a level 2 notification 515 when not wanting to notify the authentication level 2. The information processing of the combination of the determination module 3014, the notification module 3015, and the determination module 3021 enables the following. Depending on the determined level, for example, an application related to the program having the highest level 1 authentication can access the level 1 access area 3022, the level n access area 3023 having a lower access permission level, and the non-secure device 3024. Is. Applications related to programs that have received level n authentication are prohibited from accessing the level 1 access area 3022, which has a higher access permission level than the authentication level, and are allowed access only to the level n access area 3023 and the non-secure device 3024. The access control shall be controlled by the determination module 3021 in the security device 302, and as described above, the access of the program that does not satisfy the level is denied.
The non-secure area of the processor 301 is an example of a non-secure area for operating the first processing means whose security has not been confirmed. Further, the secure area of the processor 301 is an example of a secure area for operating the second processing means for which security is confirmed. The application realized by the processor 301 executing the process based on the program 3011 or the program 3011 is an example of the first processing means. Further, the monitor 3013 or the notification module 3015 is an example of the second processing means. The determination module 3021 is an example of the control means. The level 1 access area 3022 is an example of an access area in which an access level of level 1 is set. The level n access area 3023 is an example of an access area in which an access level of level n is set.
By using the notification module 3015, it is possible to have a plurality of permission levels in the same slave. The notified authentication level is controlled by the information processing of the flowchart shown in FIG. 6 in the determination module 3021.

S400において、判定モジュール3021は、通知モジュール3015からのバスを介したアドレスチャネルのネゴシエーションを検知する。
すると、S401において、判定モジュール3021は、バスのアクセスパターン、又はNSビットのパターンよりプログラム3011の認証レベルを取得する。
S402において、判定モジュール3021は、取得した認証レベルに応じてレベル判定の処理を実施する。
S403において、判定モジュール3021は、取得した認証レベルが1であるか否かを判定する。判定モジュール3021は、認証レベルが1であると判定した場合(S403においてYes)、S404に進み、認証レベルが1でないと判定した場合(S403においてNo)、S405に進む。
S404において、判定モジュール3021は、レベル1以下のアクセス許可レベルのデバイスへのアクセスを許可する。
S405において、判定モジュール3021は、認証レベルが2であるか否かを判定する。判定モジュール3021は、認証レベルが2であると判定した場合(S405においてYes)、S406に進み、認証レベルが設定されていないと判定した場合(S405においてNo)、S407に進む。
S406において、判定モジュール3021は、レベル2以下のアクセス許可レベルのデバイスへのアクセスを許可する。判定モジュール3021は、認証レベル、アクセス許可レベルが更に複数に細分化されている場合には細分化されている認証レベル、アクセス許可レベルに合わせて、S405、S406等の処理を繰り返す。
S407において、判定モジュール3021は、非セキュアデバイス3024のみへのアクセスを許可する。
S408において、判定モジュール3021は、バスプロトコルによるデータチャネルが完了したか否かを判定する。判定モジュール3021は、バスプロトコルによるデータチャネルが完了したと判定すると(S408においてYes)、S400に進み、再度、認証レベルの判定処理を開始する。判定モジュール3021は、バスプロトコルによるデータチャネルが完了していないと判定すると(S408においてNo)、S403に進み、バスプロトコルによるデータチャネルが完了するまでデバイスに対するアクセスが許可される。 In S400, the determination module 3021 detects the negotiation of the address channel from the notification module 3015 via the bus.
Then, in S401, the determination module 3021 acquires the authentication level of the program 3011 from the bus access pattern or the NS bit pattern.
In S402, the determination module 3021 executes the level determination process according to the acquired authentication level.
In S403, the determination module 3021 determines whether or not the acquired authentication level is 1. The determination module 3021 proceeds to S404 when it is determined that the authentication level is 1 (Yes in S403), and proceeds to S405 when it is determined that the authentication level is not 1 (No in S403).
In S404, the determination module 3021 permits access to a device having a permission level of level 1 or lower.
In S405, the determination module 3021 determines whether or not the authentication level is 2. The determination module 3021 proceeds to S406 when it is determined that the authentication level is 2 (Yes in S405), and proceeds to S407 when it is determined that the authentication level is not set (No in S405).
In S406, the determination module 3021 permits access to a device having a permission level of level 2 or lower. The determination module 3021 repeats the processes of S405, S406, etc. according to the subdivided authentication level and access permission level when the authentication level and access permission level are further subdivided.
In S407, the determination module 3021 permits access only to the non-secure device 3024.
In S408, the determination module 3021 determines whether or not the data channel by the bus protocol is completed. When the determination module 3021 determines that the data channel by the bus protocol is completed (Yes in S408), the determination module 3021 proceeds to S400 and starts the authentication level determination process again. If the determination module 3021 determines that the data channel according to the bus protocol has not been completed (No in S408), the determination module 302 proceeds to S403, and access to the device is permitted until the data channel according to the bus protocol is completed.

判定モジュール3021の機能により、アクセスできる情報範囲をプログラム毎に限定することができ、例えば、画像へのアクセスは許可するが、画像の原本性保証機能へのアクセスは拒否する等、非セキュア領域で実行されているプログラム毎に設定可能である。 The function of the determination module 3021 can limit the range of information that can be accessed for each program. For example, in a non-secure area, access to an image is permitted, but access to an image originality guarantee function is denied. It can be set for each program being executed.

<その他の実施形態>
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給する。そして、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサがプログラムを読み出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。 <Other Embodiments>
The present invention supplies a system or device via a network or storage medium with a program that realizes one or more of the functions of the above embodiments. It can also be realized by a process in which one or more processors in the computer of the system or apparatus reads and executes a program. It can also be realized by a circuit (for example, ASIC) that realizes one or more functions.

以上、本発明の好ましい実施形態について詳述したが、本発明は係る特定の実施形態に限定されるものではない。例えば、判定モジュール1014、3014、通知モジュール3015、判定モジュール3021等はハードウェアとして情報処理装置10に実装してもよい。事前認証部100、300も同様である。
情報処理装置10は、プリンタ、MFP等であってもよい。プリンタ、MFPは、画像処理装置の一例である。 Although the preferred embodiment of the present invention has been described in detail above, the present invention is not limited to the specific embodiment. For example, the determination modules 1014 and 3014, the notification module 3015, the determination module 3021, and the like may be mounted on the information processing apparatus 10 as hardware. The same applies to the pre-authentication units 100 and 300.
The information processing device 10 may be a printer, an MFP, or the like. Printers and MFPs are examples of image processing devices.

以上、上述した各実施形態の処理によれば、セキュア領域内のデータの秘匿性を担保しつつ、非セキュア領域のプログラム開発における制限を緩和することができる。 As described above, according to the processing of each of the above-described embodiments, it is possible to relax the restrictions on the program development in the non-secure area while ensuring the confidentiality of the data in the secure area.

10 情報処理装置
11 プロセッサ 10 Information processing device 11 Processor

Claims (11)

セキュリティを確認していない第1の処理手段を動作させる非セキュア領域とセキュリティを確認している第2の処理手段を動作させるセキュア領域とを有するプロセッサを有し、
前記第2の処理手段は、前記第1の処理手段に付加されている認証レベルに基づき、前記第1の処理手段のアクセス領域へのアクセスを制御する情報処理装置。 It has a processor having a non-secure area for operating a first processing means whose security has not been confirmed and a secure area for operating a second processing means whose security has been confirmed.
The second processing means is an information processing device that controls access to the access area of the first processing means based on the authentication level added to the first processing means. 異なるアクセスレベルが設定された複数のアクセス領域を更に有し、
前記第2の処理手段は、前記第1の処理手段に付加されている認証レベルと前記複数のアクセス領域の各々のアクセスレベルとに基づき、前記複数のアクセス領域のうち、前記第1の処理手段がアクセス可能なアクセス領域へのアクセスを許可する請求項1記載の情報処理装置。 It also has multiple access areas with different access levels.
The second processing means is based on the authentication level added to the first processing means and the access level of each of the plurality of access areas, and the first processing means among the plurality of access areas. The information processing apparatus according to claim 1, wherein the information processing apparatus permits access to an access area accessible to the user. セキュリティを確認していない第1の処理手段を動作させる非セキュア領域とセキュリティを確認している第2の処理手段を動作させるセキュア領域とを有するプロセッサと、
異なるアクセスレベルが設定された複数のアクセス領域を有するデバイスと、
を有し、
前記第2の処理手段は、前記第1の処理手段に付加されている認証レベルを前記デバイスに通知し、
前記デバイスは、前記通知された認証レベルに基づき、前記第1の処理手段のアクセス領域へのアクセスを制御する制御手段を有する情報処理装置。 A processor having a non-secure area for operating the first processing means for which security has not been confirmed and a secure area for operating the second processing means for which security has been confirmed, and
Devices with multiple access areas with different access levels and
Have,
The second processing means notifies the device of the authentication level added to the first processing means.
The device is an information processing device having a control means for controlling access to an access area of the first processing means based on the notified authentication level. 前記制御手段は、前記通知された認証レベルと前記複数のアクセス領域の各々のアクセスレベルとに基づき、前記複数のアクセス領域のうち、前記第1の処理手段がアクセス可能なアクセス領域へのアクセスを許可する請求項3記載の情報処理装置。 Based on the notified authentication level and each access level of the plurality of access areas, the control means accesses an access area accessible by the first processing means among the plurality of access areas. The information processing device according to claim 3, which is permitted. 前記プロセッサと前記デバイスとはバスを介して接続されており、
前記第2の処理手段は、前記認証レベルを前記バスのアクセスパターンを用いて前記デバイスに通知する請求項3又は4記載の情報処理装置。 The processor and the device are connected via a bus.
The information processing device according to claim 3 or 4, wherein the second processing means notifies the device of the authentication level using the access pattern of the bus. 前記プロセッサと前記デバイスとはバスを介して接続されており、
前記第2の処理手段は、前記認証レベルをNSビットのパターンを用いて前記デバイスに通知する請求項3又は4記載の情報処理装置。 The processor and the device are connected via a bus.
The information processing device according to claim 3 or 4, wherein the second processing means notifies the device of the authentication level using a pattern of NS bits. 前記第1の処理手段に認証レベルを付加する認証手段を更に有する請求項1乃至6何れか1項記載の情報処理装置。 The information processing apparatus according to any one of claims 1 to 6, further comprising an authentication means for adding an authentication level to the first processing means. 前記情報処理装置は、画像処理装置である請求項1乃至7何れか1項記載の情報処理装置。 The information processing device according to any one of claims 1 to 7, wherein the information processing device is an image processing device. 情報処理装置が実行する情報処理方法であって、
セキュリティを確認していない第1の処理手段を動作させる非セキュア領域とセキュリティを確認している第2の処理手段を動作させるセキュア領域とを有するプロセッサを有し、
前記第2の処理手段が、前記第1の処理手段に付加されている認証レベルに基づき、前記第1の処理手段のアクセス領域へのアクセスを制御する情報処理方法。 It is an information processing method executed by an information processing device.
It has a processor having a non-secure area for operating a first processing means whose security has not been confirmed and a secure area for operating a second processing means whose security has been confirmed.
An information processing method in which the second processing means controls access to an access area of the first processing means based on an authentication level added to the first processing means. 情報処理装置が実行する情報処理方法であって、
セキュリティを確認していない第1の処理手段を動作させる非セキュア領域とセキュリティを確認している第2の処理手段を動作させるセキュア領域とを有するプロセッサと、
異なるアクセスレベルが設定された複数のアクセス領域を有するデバイスと、
を有し、
前記第2の処理手段が、前記第1の処理手段に付加されている認証レベルを前記デバイスに通知し、
前記デバイスが、前記通知された認証レベルに基づき、前記第1の処理手段のアクセス領域へのアクセスを制御する情報処理方法。 It is an information processing method executed by an information processing device.
A processor having a non-secure area for operating the first processing means for which security has not been confirmed and a secure area for operating the second processing means for which security has been confirmed, and
Devices with multiple access areas with different access levels and
Have,
The second processing means notifies the device of the authentication level added to the first processing means.
An information processing method in which the device controls access to the access area of the first processing means based on the notified authentication level. コンピュータを請求項1乃至8何れか1項記載の情報処理装置の各手段として機能させるためのプログラム。 A program for causing a computer to function as each means of the information processing apparatus according to any one of claims 1 to 8.
JP2016225978A 2016-11-21 2016-11-21 Information processing equipment, information processing methods and programs Active JP6779758B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016225978A JP6779758B2 (en) 2016-11-21 2016-11-21 Information processing equipment, information processing methods and programs

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016225978A JP6779758B2 (en) 2016-11-21 2016-11-21 Information processing equipment, information processing methods and programs

Publications (2)

Publication Number Publication Date
JP2018084866A JP2018084866A (en) 2018-05-31
JP6779758B2 true JP6779758B2 (en) 2020-11-04

Family

ID=62236719

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016225978A Active JP6779758B2 (en) 2016-11-21 2016-11-21 Information processing equipment, information processing methods and programs

Country Status (1)

Country Link
JP (1) JP6779758B2 (en)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8640194B2 (en) * 2004-08-25 2014-01-28 Nec Corporation Information communication device and program execution environment control method
US8621551B2 (en) * 2008-04-18 2013-12-31 Samsung Electronics Company, Ltd. Safety and management of computing environments that may support unsafe components
JP5704517B2 (en) * 2010-01-13 2015-04-22 日本電気株式会社 Confidential information leakage prevention system, confidential information leakage prevention method, and confidential information leakage prevention program
US8914876B2 (en) * 2011-05-05 2014-12-16 Ebay Inc. System and method for transaction security enhancement
US8973158B2 (en) * 2011-07-20 2015-03-03 Microsoft Technology Licensing Llc Trust level activation

Also Published As

Publication number Publication date
JP2018084866A (en) 2018-05-31

Similar Documents

Publication Publication Date Title
US10831886B2 (en) Virtual machine manager facilitated selective code integrity enforcement
US8505084B2 (en) Data access programming model for occasionally connected applications
US8806481B2 (en) Providing temporary exclusive hardware access to virtual machine while performing user authentication
US9172724B1 (en) Licensing and authentication with virtual desktop manager
US8955086B2 (en) Offline authentication
US10972449B1 (en) Communication with components of secure environment
JP2014532201A (en) Method, system and computer program for memory protection of virtual guest
KR20130044293A (en) Domain-authenticated control of platform resources
US20220004623A1 (en) Managed isolated workspace on a user device
US20070271472A1 (en) Secure Portable File Storage Device
US10395028B2 (en) Virtualization based intra-block workload isolation
US20230129610A1 (en) Multiple physical request interfaces for security processors
US20090307451A1 (en) Dynamic logical unit number creation and protection for a transient storage device
US20160180080A1 (en) Protecting user input against focus change
CN116569519A (en) Universal resource identification
US20190303305A1 (en) Systems and methods for providing secure memory
EP4006758A1 (en) Data storage apparatus with variable computer file system
JP6779758B2 (en) Information processing equipment, information processing methods and programs
JP7546164B2 (en) Resource management method, device, computer system, and readable storage medium
CN112241309B (en) Data security method and device, CPU, chip and computer equipment
WO2022133817A1 (en) Application display on endpoint device
KR101349807B1 (en) Security system for mobile storage and method thereof
Suciu et al. Poster: Automatic detection of confused-deputy attacks on arm trustzone environments
JP2017207952A (en) Processing device, access control method, and access control program
Huber System Architectures for Data Confidentiality and Frameworks for Main Memory Extraction

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191115

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200827

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200915

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201014

R151 Written notification of patent or utility model registration

Ref document number: 6779758

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151