JP6949416B2 - 電子制御装置、プログラム改ざん検知方法 - Google Patents

電子制御装置、プログラム改ざん検知方法 Download PDF

Info

Publication number
JP6949416B2
JP6949416B2 JP2017136725A JP2017136725A JP6949416B2 JP 6949416 B2 JP6949416 B2 JP 6949416B2 JP 2017136725 A JP2017136725 A JP 2017136725A JP 2017136725 A JP2017136725 A JP 2017136725A JP 6949416 B2 JP6949416 B2 JP 6949416B2
Authority
JP
Japan
Prior art keywords
authenticator
arithmetic
program
partial
storage unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017136725A
Other languages
English (en)
Other versions
JP2019020872A (ja
JP2019020872A5 (ja
Inventor
尊裕 司代
尊裕 司代
雄介 佐藤
雄介 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Toyota Motor Corp
Original Assignee
Denso Corp
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp, Toyota Motor Corp filed Critical Denso Corp
Priority to JP2017136725A priority Critical patent/JP6949416B2/ja
Priority to PCT/JP2018/023808 priority patent/WO2019012952A1/ja
Publication of JP2019020872A publication Critical patent/JP2019020872A/ja
Publication of JP2019020872A5 publication Critical patent/JP2019020872A5/ja
Priority to US16/738,927 priority patent/US11392722B2/en
Application granted granted Critical
Publication of JP6949416B2 publication Critical patent/JP6949416B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/32Means for saving power
    • G06F1/3203Power management, i.e. event-based initiation of a power-saving mode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Description

本発明は、プログラム改ざんを検知する電子制御装置に関するものである。
車両には、電子制御装置として、エンジン、ハンドル、ブレーキ等の制御を行う制御系ECU(Electronic Control Unit)や、メータやパワーウインドウ等の制御を行うボデー系ECUや、ナビゲーション装置等の情報系ECU等といった異なる種類のECUが搭載されている。これら、車両に搭載される車載ECUのプログラムには、例えば安全性を確保するため、起動時間に厳しい時間的制約が課せられるものが含まれる。
特許文献1には、自動車等の組み込み機器において、OS(Operating System)等が第三者によって改ざんされる危険に対し、意図したOS等のみを動作させるセキュアブート方法の発明が記載されている。同文献に記載のセキュアブート方法の発明は、高速かつ安全にシステムを起動させることを目的として、コンピュータが、システムのプログラム起動毎に、プログラムを複数に区分した部分プログラムのうち、検証対象となる部分プログラムを選択する選択工程と、選択した部分プログラムのハッシュ値を算出する算出工程と、算出したハッシュ値と正解ハッシュ値とが一致するかを判定し、一致する場合に起動処理を継続し、一致しない場合に起動処理を中断する検証工程とを、実行するものである。このように、特許文献1には、検証対象となるプログラム領域を複数の区分に分割し、各区分単位でプログラムの改ざんの有無の検証を順次実施することで、起動時間の制約を満しつつ、検証すべきすべてのプログラム領域を検証できることが記載されている。
特開2015−22521号公報
特許文献1に記載されているセキュアブート方法は、起動時の時間制約を満たすためにプログラム領域を分割した部分プログラムごとに、認証子として生成したハッシュ値と、あらかじめ記憶しておいた検証用認証子である正解ハッシュ値とを比較し、プログラムの改ざんの有無を検証する。
無線インターフェースを経由して外部からの情報が自動車に提供される新たなサービスに伴って、自動車が外部と接続される機会も増える。このため、車載ECUのプログラムが改ざんのリスクも増大するといえる。したがって、安全なシステム起動のために、改ざんの有無を頻繁に検証することが必要になる。例えば、バッテリ接続時に起動する車載ECUの場合、バッテリ接続時にしか起動しないため、次回のバッテリ接続まで起動するタイミングがなく、その間にプログラムが改ざんされると改ざんがあったことに気付くのが遅れてしまう。したがって、スリープモードからのウェイクアップ起動(低消費電力モードから通常モードへの移行)時にも、改ざんの有無の検証を実施するようにすることで、改ざんに早期に気づくことが可能となる。
一般に、スリープからのウェイクアップ起動時間の制約は、通常の起動時間の制約よりも厳しい。このため、スリープからウェイクアップ起動時における時間的制約を満たそうとすると、検証すべきプログラムの領域を細かく分けて、多数の部分プログラムに分割する必要がある。
特許文献1に記載のセキュアブート方法は、各部分プログラムに対して一つずつの検証用認証子(正解ハッシュ値)をあらかじめ記憶しておく必要がある。このため、部分プログラムの数が増加すると、記憶領域に記憶される検証用認証子の数も増加する。したがって、多数の検証用認証子が限られた記憶領域(メモリ)における多くの領域を占めるという問題が発生する。
本発明の目的は、改ざんの検証対象プログラムを分割した分割プログラム毎にプログラムの改ざんを検知する処理を行なう電子制御装置において、起動時間の制約を満たしつつ、検証用認証子を記憶するために消費される記憶領域を抑制することである。
上記課題を解決するために、本発明の電子制御装置(100、200)は、
プログラムを分割したm個の分割プログラム、および検証用認証子を記憶する記憶部(11、15)と、
暗号演算により前記m個の分割プログラムそれぞれの部分認証子を生成する暗号演算部(12、13、30、224)と、
1乃至n−1(3≦n≦m)番目の部分認証子を用いた論理演算を行って生成されたn−1番目の演算認証子と、n番目の部分認証子とを用いた論理演算を行って、n番目の演算認証子を生成する認証子演算部(14、30、224)、と、
前記n番目の演算認証子を保存する認証子保存部(22)と、
n+1番目の部分認証子を生成する分割プログラムを特定する情報を保存する次回生成対象保存部(21)と、
前記検証用認証子と前記演算認証子とが一致するか否かによって前記プログラムの改ざんを検証する検証部(30、224)と、
を有し、
前記暗号演算部は、前記認証子演算部が前記n−1番目の演算認証子を生成した後に、前記n番目の部分認証子を生成し、
前記認証子演算部は、前記認証子保存部に保存された前記n−1番目の演算認証子と、前記n番目の部分認証子とを用いた論理演算を行って、前記n番目の演算認証子を生成し、
前記認証子保存部は、前記n−1番目の演算認証子に前記n番目の演算認証子を上書きして保存する。
本発明の電子制御装置は、分割プログラムから生成された部分認証子を複数用いた論理演算によって生成された演算認証子と、あらかじめ同じ論理演算を行って生成された検証用認証子と、が一致するか否かにより、プログラムの改ざんの有無を検証する。この構成によって、記憶部にあらかじめ記憶しておく検証用認証子の数を分割プログラムの数よりも少なくすることができる。したがって、起動時間の制約を満たすためにプログラムの分割数を増やしても、検証用認証子の記憶に要する記憶部(メモリ)の消費量が少ない電子制御装置となる。
本発明の実施形態1に係る電子制御装置の構成を説明するブロック図 図1の電子制御装置によるプログラムの改ざんチェック処理の概要を模式的に示す説明図 図1の電子制御装置の動作を説明するフローチャート 本発明の実施形態2に係る電子制御装置の構成を説明するブロック図
以下、本発明の実施形態について、図面を参照して説明する。各図において、同じ機能または発明の構成要素に対応する部分には同じ符号を付し、重複する説明を適宜省略する。実施形態において構成の一部分のみを説明している場合、説明しない他の部分には、先行して説明した他の実施形態の構成を適用することができる。
なお、本発明は、特許請求の範囲に記載された発明を意味しており、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語は、特許請求の範囲に記載された語を意味し、同じく以下の実施形態に限定されるものではない。
また、特許請求の範囲の従属項に記載の構成及び方法、および従属項に記載の構成及び方法に対応する実施形態の構成及び方法は、本発明においては任意の構成及び方法である。
(実施形態1)
1.電子制御装置(ECU)の構成
本実施形態の電子制御装置の構成について以下に説明する。
図1に示すように、電子制御装置100は、ROM(Read Only Memory)10、RAM(Random Access Memory)20、CPU(Central Processing Unit)30、I/O(Input / Output)、およびこれらの構成を接続するバスラインなどから構成されている。
なお、本実施形態は、メッセージ認証コード(Message Authentication Code、MAC)を用いた暗号演算を用いることを主眼として記載しているが、本発明はHASH関数(Hash function)を用いた演算(SHA−256など)をはじめ、その他の演算も含むものである。
ROM10は、改ざんチェック用のプログラム保存部11、暗号演算部12、暗号鍵保存部13、認証子演算部14、および検証用認証子保存部15を備えている。
プログラム保存部11(本発明の「記憶部」に相当)には、改ざんチェック対象のプログラムが、複数のブロックに分割された分割プログラムとして記憶されている。プログラムの分割数は、電子制御装置100の用途や起動時間等を考慮して決定すればよい。
なお、「分割」とは、記憶領域で区切るなどして、プログラムの部分の開始点が特定されていればよく、プログラム自体を分割する必要は必ずしもない。
暗号演算部12(本発明の「暗号演算部」に相当)は、暗号演算プログラムが保存された領域である。暗号演算は、暗号演算部12のプログラムを読み込んだCPU(暗号演算部)30によって実施される。本実施形態では、CMAC(Cipher-based MAC)などのメッセージ認証コード(Message Authentication Code、MAC)を用いた暗号演算プログラムが暗号演算部12に保存されている。MAC以外の暗号演算としては、HASH関数(Hash function)を用いた演算(SHA−256など)が挙げられる。暗号演算により、複数の分割プログラムそれぞれの部分認証子を生成する。
暗号鍵保存部13は、暗号演算部12が暗号演算を実施する際に必要となる、MAC演算の暗号鍵が記憶された領域である。なお、暗号演算部12が暗号演算プログラムとして、HASH関数(Hash function)を用いた演算を行う場合は、暗号鍵は不要なので暗号鍵保存部13を用いる必要はない。
認証子演算部14(本発明の「検証部」に相当)は、改ざんチェック用のプログラム保存部11の各分割プログラムについて生成された、複数の部分認証子を用いて演算認証子を生成する論理演算プログラムが記憶された領域である。論理演算は、認証子演算部14のプログラムを読み込んだCPU(検証部)30によって実施される。認証子演算部14において用いられる論理演算については、図2および図3を参照して後に説明する。また、プログラムの改ざんの有無の検証についても、図2および図3を参照して後に説明する。
検証用認証子保存部15(本発明の「記憶部」に相当)は、改ざんを検証する対象であるプログラム保存部11に記憶された検証対象のプログラムの検証用認証子が保存された領域である。検証用認証子は、プログラム保存部11のプログラムについて、所定の暗号演算および論理演算をあらかじめ行うことにより生成されたものである。
電子制御装置100は、ROM10に保存されているプログラム保存部11を書き換え可能な機能(リプログラム機能)を備えていてもよい。この場合、プログラム保存部11の書き換えにより、検証用認証子も変化するから、併せて検証用認証子保存部15も書き換える必要がある。リプログラム機能を備えている場合、外部から接続される可能性が高くなるから、検証用認証子の記憶に要する領域を増大させることなく、プログラム保存部11の分割数を増やすことができる電子制御装置100は有用である。
RAM20は、次回MAC生成対象ブロック保存部21および認証子保存部22を備えている。
次回MAC生成対象ブロック保存部21には、ブロック番号やROM10におけるアドレス等、次にMAC生成の対象となる分割プログラムを特定できる情報が保存される。
認証子保存部22には、認証子が生成される毎に、新たな認証子が上書き保存される。
CPU30は、プログラムを実行する装置であり、プログラム保存部11のプログラム改ざんを検証する際には、暗号演算部12および認証子演算部14の各プログラムを実行する。
2.改ざんチェック処理
上述した構成を備えた電子制御装置100による、プログラムの改ざんチェック処理について、図2を参照して説明する。
図2に示すように、ROM10のプログラム保存部11に書かれたプログラムをチェック対象とする改ざんチェック処理では、MAC演算および論理演算が行われる。以下、MAC演算および論理演算について順に説明する。
2.1.MAC演算
MAC演算は、メッセージ認証コード(MAC)を用いた暗号演算であり、暗号演算部12のプログラムの実行として、暗号鍵保存部13の暗号鍵を用いて、ROM10の改ざんチェック領域10Aのブロック1〜ブロックnの各分割プログラムを対象として行われる。MAC演算の結果として、ブロック1〜ブロックnの各分割プログラムそれぞれに対してMAC1〜MACn(部分認証子)が生成される。生成されたMACは、例えば、AES(Advanced Encryption Standard)128の暗号アルゴリズムを用いた演算の場合は、128ビットである。なお、SHA(Secure Hash Algorithm)−256のHASH関数を用いた演算の場合は、生成されるHASH値は、256ビットである。
ROM10は、n個の部分プログラムが保存されたプログラム保存部11が置かれた改ざんチェック領域10Aと、それ以外の非改ざんチェック領域10Bとに分かれている。
改ざんチェック領域10Aには、ブロック1〜ブロックnに分割された部分プログラムが保存されている。以下では、ブロック1〜ブロックnの部分プログラムを、適宜、ブロック1〜ブロックnということもある。
非改ざんチェック領域10Bには、検証用認証子が保存されている。検証用認証子は、演算によってあらかじめ生成されたものであり、認証子[1−n](演算用認証子)と比較して、ブロック1〜ブロックnが改ざんされたものが含まれるか否かの判定に用いられるから、重要性の高いデータである。このため、ROM10の非改ざんチェック領域10Bはセキュア領域として構成されている。セキュア領域とは、記憶されている情報へのアクセスが困難であって、情報を保護する機能が高い領域をいう。
図2には、非改ざんチェック領域10Bの全部がセキュア領域として構成された例を示す。しかし、非改ざんチェック領域10Bはセキュア領域ではなく、改ざんチェック領域10Aと同程度の情報保護機能の領域であってもよい、また、一部をセキュア領域としてもよい。
なお、図2では省略しているが、ROM10の非改ざんチェック領域10Bには、暗号演算部12、暗号鍵保存部13および認証子演算部14(図1参照)も置かれている。
2.2.論理演算
ブロックx(xは2〜nの整数)の暗号演算によってMACxが算出されると、RAM20の認証子保存部22に記憶されている認証子とMACxとの論理演算が行われて、認証子[1−x]が生成され、認証子保存部22に上書きされる。併せて、次回MAC生成対象ブロック保存部21にブロックx+1を特定するブロック番号x+1が保存される。
論理演算としては、論理積(AND演算)、論理積の否定(NAND演算)、論理和(OR演算)、論理和の否定(NOR演算)、排他的論理和(XOR演算)および、排他的論理和の否定(XNOR演算=一致論理)が挙げられる。これらのうちでは、排他的論理和および排他的論理和の否定が、真理値表における0と1との数が同じであることから、論理演算の繰り返しによって、0または1の一方に収束しないという点において好ましい。
2.3.MAC演算と論理演算との関係
MAC演算および論理演算はそれぞれ、2.1および2.2で説明したように実施される。以下では、MACがブロック番号順に生成される場合、MAC演算により生成される部分認証子と、論理演算により生成される演算認証子とが、それぞれ、どのように用いられるかについて、順次実施されるブロック1〜ブロックnの演算処理に沿って順に説明する。
ブロック1のMAC1は、最初に生成される部分認証子である。このため、MAC1が生成された時点では、複数の部分認証子を用いた論理演算を行うことができない。そこで、認証子[1](演算認証子)として、ブロック1のMAC1がRAM20の認証子保存部22に保存される。併せて、次回MAC生成対象ブロック保存部21の次回MAC生成対象ブロックを2にする。
続いて、ブロック2のMAC2が生成されると、認証子保存部22の認証子[1]とMAC2との論理演算を行って生成された認証子[1−2](演算認証子)が認証子保存部22に上書き保存される。併せて、次回MAC生成対象ブロック保存部21の次回MAC生成対象ブロックを3にする。
認証子[1]はMAC1と同一だから、MAC2と認証子[1]との論理演算は、2つの部分認証子を用いて行われたものである。
さらに、ブロック3のMAC3が生成されると、認証子保存部22の認証子[1−2]とMAC3との論理演算を行って生成された認証子[1−3](演算認証子)が認証子保存部22に上書き保存される。併せて、次回MAC生成対象ブロック保存部21の次回MAC生成対象ブロックを4にする。
認証子[1−2]は、MAC1とMAC2とを用いた論理演算により生成されたものであるから、認証子[1−2]とMAC3との論理演算は、3つの部分認証子MAC1、MAC2およびMAC3を用いて行われたものである。本発明において、論理演算に用いられた「複数の部分認証子」には、先の論理演算で用いられた部分認証子が含まれる。
ブロックXのMACX(X=4〜n−1)が生成された場合の演算処理は、ブロック3と同様である。
最後に、ブロックnのMACnが生成されると、認証子保存部22の認証子[1−n-1]とMACnとの論理演算を行って生成された認証子[1−n](演算認証子)が認証子保存部22に上書き保存される。併せて、次回MAC生成対象ブロック保存部21の次回MAC生成対象ブロックを1に初期化する。
認証子[1−n-1]は、MAC1〜MACn-1を用いた論理演算により生成されたものであるから、認証子[1−n-1]とMACnとの論理演算は、部分認証子MAC1〜MACnのすべてを用いて行われたものである。
認証子[1−n]は、ブロック1〜ブロックnのMAC1〜MACn(部分認証子)のすべてを用いて行われた論理演算の結果として、生成された演算認証子である。したがって、ブロック1〜ブロックnのいずれかが改ざんされた場合、MAC1〜MACnのいずれかを介して、認証子[1−n]に当該改ざんが反映される。したがって、改ざんがある場合、認証子[1−n]と、事前の演算によって求められた検証用認証子とは一致しない。
そこで、認証子[1−n]と検証用認証子とを比較して、一致しない場合にはプログラムの改ざん有、一致する場合にはプログラムの改ざん無、と判断することができる。当該比較によって、プログラムの改ざん有と判断した場合には、電子制御装置100(図1参照)の起動を中止したり、警告表示を出したりする。
電子制御装置100は、MAC1〜MACnのすべてを用いた演算を行って認証子[1−n](演算認証子)生成し、検証用認証子とを比較して、プログラム保存部11(図1参照)の改ざんの有無を判断する。このため、ROM10の検証用認証子保存部15には一つの検証用認証子を保存すれば足りる。
したがって、従来のように、分割したブロック毎にプログラムの改ざんの有無を検証する、ブロック数と同じ数の検証用認証子が必要なものよりも、ブロック数nから1を引いたn−1個の検証用認証子の記憶容量を削減することができる。
例えば、部分認証子であるMAC1〜MACnとして128ビットのものを用いた場合、(n−1)×128ビットの記憶容量を削減することができる。電子制御装置100によれば、改ざん検証の対象となるプログラムの分割数が多くなるほど、ROM10の記憶容量の削減効果が高くなる。プログラムの分割数の増大は、起動処理が中断した場合に、それまでの処理が無駄になることを防止し、電子制御装置100の起動時間を短縮するために有効である。
図2では、検証用認証子が一つである場合記載した。このように、検証用認証子を一つにすることは、ROM10の検証用認証子保存部15の記憶容量を削減する観点から好ましいといえる。
ただし、検証用認証子保存部15に保存される検証用認証子の数は、一つに限られず、複数としてもよい、検証用認証子を複数とする場合、ブロック1〜ブロックnを複数のグループに分け、各グループ用の検証用認証子をあらかじめROM10に記憶しておく。そして、各グループの部分認証子をすべて用いた論理演算による検証用認証子を生成し、検証用認証子と比較し、当該グループに含まれる分割プログラムの改ざんの有無を判断する。
認証子[1]〜認証子[1−n]の算出を連続して、一度で行うことが出来ない場合、暗号演算や論理演算の途中で改ざんチェック処理が中止される。この場合、認証子保存部22には、中止されるまでの改ざんチェック処理によって得られた認証子(演算認証子)が保存されている。また、次回MAC生成対象ブロック保存部21には、認証子が得られた論理演算の次に、MAC生成対象となるブロックが保存されている。したがって、中止される迄の改ざんチェック処理で、認証子を生成した論理演算の次の暗号演算から再開することができる。そして、再開した暗号演算に続く論理演算では、認証子保存部22の認証子を用いることができため、中断されるまでに完了したブロックに対する暗号処理および論理演算の結果を有効に用いることができる。
したがって、プログラムを分割して、改ざんチェック処理を行うことによって、プログラム検証に要する時間を短縮することが可能になる。
RAM20は、低消費電力モードから通常モードへの起動(Wake Up起動)において、初期化されない非初期化領域20Aと、初期化される初期領域20Bとからなっている。非初期化領域20Aには、次回MAC生成対象ブロック保存部21と認証子保存部22とが置かれている。このため、認証子1〜認証子[1−n]が算出される毎に書き換えられた次回MAC生成対象ブロック保存部21、および認証子保存部22に書き込まれた情報は、Wake Up起動時に維持される。したがって、認証子1〜認証子[1−n]の演算途中で、再起動が生じた場合、再起動前に記録された次回MAC生成対象ブロック保存部21および認証子保存部22の情報に基づいて、改ざんチェック処理を再開することができる。
次回MAC生成対象ブロック保存部21および認証子保存部22が保存される領域は、Wake Up起動時に初期化されない領域であれば、改ざんチェック処理の中断から素早く再開することができる。このため、次回MAC生成対象ブロック保存部21および認証子保存部22を、EEPROMやData Flash等の書き換え可能な不揮発性メモリに保存してもよい。ただし、処理速度は、例示の不揮発性メモリよりもRAM20の方が速いため、電子制御装置100の起動時における時間制約を満たすことができる場合に限って、前記例示の不揮発性メモリを使用できる。
本発明は、電子制御装置を複数備えた電子制御装置ユニットとして実施することもできる。電子制御装置を複数備えた電子制御装置ユニットは、起動時における時間的制約が異なる電子制御装置が組み合わせて用いられることが多い。したがって、記憶部に記憶されている分割プログラムの分割数を、複数の電子制御装置の用途や、移動時の時間的制約に応じて、異ならせることが好ましい。これにより、電子制御装置の各起動時間の制約を満たしつつ、電子制御装置ユニットにおける記憶部全体としてメモリの消費量を抑制することができる。
3.プログラム改ざん検知方法
図3を参照して、上述した電子制御装置100によるプログラム改ざん検知方法について、説明する。
プログラム改ざん検知方法は、CPU30が暗号演算部12および認証子演算部14(図1参照)のプログラムを読み込んで実行するものであり、電子制御装置100の起動時、低消費電力モードから通常モードに移行する際等にコールされる。低消費電力モードは、電子制御装置100が、通常モードにおいて行う処理の一部を行わない、消費電力が通常モードよりも小さい状態をいう。実行中のプログラムがメモリに保存され一時的に停止するスリープモードは、低消費電力モードの一例である。
S10では、RAM20の次回MAC生成対象ブロック保存部21に記録されているブロック番号を参照して、ブロック番号が1以外であるか否かが判定される。そして、次回MAC生成対象ブロック保存部21のブロック番号が1以外ではない場合(1である場合)には(S10:NO)S20(暗号演算ステップ)に処理が移行され、次回MAC生成対象ブロック保存部21のブロック番号が1以外である場合には(S10:YES)S50(暗号演算ステップ)に移行する。
S20では、MAC生成対象ブロックであるブロック1の分割プログラムのMAC1を生成し、S30に移行する。
S30では、S20で生成されたMAC1をRAM20の認証子保存部22に、認証子として記憶し、S40(認証子演算ステップ)に移行する。
S40では、RAM20の次回MAC生成対象ブロック保存部21に、次回MAC生成対象ブロックとして、S20においてMACを生成した部分プログラムのブロック番号に1を加えたブロック番号を書き込んで(設定して)、本処理を終了する。
S50では、MAC生成対象ブロックである、ブロック番号x(xは2〜nの整数)の分割プログラムのMACxを生成して、S60(認証子演算ステップ)に移行する。
S60では、認証子演算部14が、S50で生成されたMACとRAM20の認証子保存部22に記憶されている認証子[1−(x−1)]との論理演算を行い、認証子[1−(x)]を算出し、S70に移行する。
S70では、RAM20の認証子保存部22に、生成された認証子[1−x]を記憶し、S80に移行する。
S80では、S50でMACが生成されたブロックが最終ブロックか否か、すなわち、MACが生成されたブロックのブロック番号xが、分割プログラムのブロック数nと等しい(x=n)か否かが判断される。
x=nである場合には(S80:Yes)、S70で認証子保存部22に記憶された認証子[1−n]は、すべての分割プログラムの部分認証子を用いた論理演算の結果得られたものである。すべての分割プログラムのなかに、改ざんされたプログラムが含まれるか否かを検証する検証用認証子として用いることができる。そこで、S90(検証ステップ)に移行する。
x=nでない場合には、S40に移行する。
S90では、認証子保存部22に保存されている認証子[1−n]と、検証用認証子保存部15に保存されている検証用認証子と、を比較する。
S100(検証ステップ)では、S90において比較した値が一致したか否を判断する。
一致する場合には(S100:YES)S110に処理が移行され、一致しない場合には(S100:YES)S120に処理が移行される。
S110では、改ざんチェック結果を改ざんなしに設定し、S130に移行する。
S120では、改ざんチェック結果を改ざんありに設定し、S130に移行する。
S130では、次回MAC生成対象ブロック保存部21のブロック番号を1に初期化して、本処理を終了する。
本発明は、上述したプログラム改ざん検知方法をコンピュータに実行させるプログラムとして実施することもできる。当該プログラムは、電子制御装置が起動する際や、低消費電力モードから通常モードに移行する際に実行される。
以上のように、本実施形態の電子制御装置によれば、プログラムを分割した分割プログラム毎に必要となる各部分認証子そのものではなく、複数の部分認証子を用いて論理演算を行って得られる演算認証子を検証用認証子との比較対象とし、プログラムの改ざんの有無を検知する。これにより、記憶すべき検証用認証子の数を削減し、ROMの大量消費を抑えることが可能になる。
(実施形態2)
セキュリティチップを利用する電子制御装置(ECU)に本発明を適用する形態について説明する。
図4に示すように、本実施形態の電子制御装置200は、ROM210、セキュリティチップ220、RAM20、CPU30、およびI/Oおよびこれらの構成を接続するバスラインを備えている。
電子制御装置200は、ROM10に代えて、ROM210およびセキュリティチップ220を備えている構成において、電子制御装置100と異なっている。ROM10の各部のうち、ROM210に配置されているのはプログラム保存部11のみである。プログラム保存部11以外は、耐タンパー性(記憶データを解析する困難さ)が高いセキュリティチップ220に置かれている。
セキュリティチップ220は、セキュア(Secure)CPU224、セキュア(Secure)RAM223、セキュアインターフェース(Secure I/F)、ハードウェアIPモジュール(HWIP)221、およびセキュア(Secure)ROM222を備えている。ハードウェアIPモジュール221は、暗号演算部12を有している。セキュア(Secure)ROM222は、暗号鍵保存部13、認証子演算部14および検証用認証子保存部15を有している。セキュア(Secure)RAM223は、次回MAC生成対象ブロック保存部21、および認証子保存部22を有している。そして、実施形態1においては、図2の各種暗号演算や図3のフローの処理はCPU30が実行していたが、本実施形態においてはセキュア(Secure)CPU224がこれを実行する。
以上のように、プログラム改ざんの有無を検証する処理に用いられるプログラム(および演算認証子や次回MAC生成対象ブロック等の一時データ)、暗号鍵、および検証用認証子をセキュリティチップ220に記憶することにより、これらプログラム(および上記一時データ)、暗号鍵、および検証用認証子にアクセスされることを防止することができる。
(総括)
本発明の電子制御装置の形態の例として、半導体、電子回路、モジュール、マイクロコンピュータが挙げられる。またこれらにアンテナや通信用インターフェースなど、必要な機能を追加してもよい。また、カーナビゲーションシステム、スマートフォン、パーソナルコンピュータ、携帯情報端末のような形態をとることも可能である。
加えて、本発明は、上述の専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録したプログラム、及びこれを実行可能な専用又は汎用CPU及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。
専用や汎用のハードウェアの記憶領域(外部記憶装置(ハードディスク、USBメモリ等)、内部記憶装置(RAM,ROM等))に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して上述の専用又は汎用のハードウェア(本発明の「コンピュータ」に相当」に提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。
本発明にかかる電子制御装置は、車載用電子制御装置(ECU)として用いることができる。もちろん、車載用以外の電子制御装置も本発明に含むものである。
10 ROM(記憶部)、10A 非改ざんチェック領域、10B 非改ざんチェック領域、11 プログラム保存部(記憶部)、12 暗号演算部(暗号演算部)、13 暗号鍵保存部、14 認証子演算部(検証部)、15 検証用認証子保存部(記憶部)、20 RAM、20A 非初期化領域、20B 初期領域、21 次回MAC生成対象ブロック保存部、22 認証子保存部、30 CPU(暗号演算部、検証部)、100、200 電子制御装置(電子制御装置)

Claims (9)

  1. プログラムを分割したm個の分割プログラム、および検証用認証子を記憶する記憶部(11、15)と、
    暗号演算により前記m個の分割プログラムそれぞれの部分認証子を生成する暗号演算部(12、13、30、224)と、
    1乃至n−1(3≦n≦m)番目の部分認証子を用いた論理演算を行って生成されたn−1番目の演算認証子と、n番目の部分認証子とを用いた論理演算を行って、n番目の演算認証子を生成する認証子演算部(14、30、224)、と、
    前記n番目の演算認証子を保存する認証子保存部(22)と、
    n+1番目の部分認証子を生成する分割プログラムを特定する情報を保存する次回生成対象保存部(21)と、
    前記検証用認証子とm番目の演算認証子とが一致するか否かによって前記プログラムの改ざんを検証する検証部(30、224)と、
    を有し、
    前記暗号演算部は、前記認証子演算部が前記n−1番目の演算認証子を生成した後に、前記n番目の部分認証子を生成し、
    前記認証子演算部は、前記認証子保存部に保存された前記n−1番目の演算認証子と、前記n番目の部分認証子とを用いた論理演算を行って、前記n番目の演算認証子を生成し、
    前記認証子保存部は、前記n−1番目の演算認証子に前記n番目の演算認証子を上書きして保存する、
    電子制御装置。
  2. 前記記憶部(11)に記憶されている前記検証用認証子が一つであり、
    前記認証子演算部が、すべての前記部分認証子を用いた論理演算を行って一つの演算認証子を生成し、
    前記検証部は、前記一つの検証用認証子と前記一つの演算認証子とが一致するか否かによって前記プログラムの改ざんを検証する、
    請求項1に記載の電子制御装置。
  3. 前記認証子演算部が行う前記論理演算が、排他的論理和(XOR演算)または排他的論理和の否定(XNOR演算)である、
    請求項1又は2に記載の電子制御装置。
  4. プログラムを分割したm個の分割プログラム及び検証用認証子を記憶する記憶部を有するコンピュータで実行されるプログラム改ざん検知方法であって、
    n−1(4≦n≦m)番目の前記分割プログラムの部分認証子を生成する第1の暗号演算ステップ(S50)と、
    1乃至n−2番目の部分認証子を用いた論理演算を行って生成されたn−2番目の演算認証子と、n−1番目の部分認証子とを用いた論理演算を行って、n−1番目の演算認証子を生成する第1の認証子演算ステップ(S60)と、
    前記n−1番目の演算認証子を認証子保存部に保存する第1の保存ステップ(S70)と、
    n番目の部分認証子を生成する分割プログラムを特定する情報を保存する保存ステップ(S40)と、
    前記第1の認証子演算ステップによって前記n−1番目の演算認証子を生成した後に、n番目の前記分割プログラムの部分認証子を生成する第2の暗号演算ステップ(S50)と、
    前記認証子保存部に保存された前記n−1番目の演算認証子と、前記n番目の部分認証子とを用いた論理演算を行って、n番目の演算認証子を生成する第2の認証子演算ステップ(S60)と、
    前記認証子保存部に、前記n−1番目の演算認証子に前記n番目の演算認証子を上書きして保存する第2の保存ステップ(S70)と、
    m番目の演算認証子と、前記検証用認証子とが一致するか否かを判定する検証ステップ(S90、S100)と、
    を有するプログラム改ざん検知方法。
  5. 電子制御装置が起動する際に前記各ステップを実行する、
    請求項4に記載のプログラム改ざん検知方法。
  6. 電子制御装置の低消費電力モードから通常モードに移行する際に前記各ステップを実行する、
    請求項4に記載のプログラム改ざん検知方法。
  7. プログラムを分割したm個の分割プログラム及び検証用認証子を記憶する記憶部を有するコンピュータで実行可能なプログラムであって、
    n−1(4≦n≦m)番目の前記分割プログラムの部分認証子を生成する第1の暗号演算ステップ(S50)と、
    1乃至n−2番目の部分認証子を用いた論理演算を行って生成されたn−2番目の演算認証子と、n−1番目の部分認証子とを用いた論理演算を行って、n−1番目の演算認証子を生成する第1の認証子演算ステップ(S60)と、
    前記n−1番目の演算認証子を認証子保存部に保存する第1の保存ステップ(S70)と、
    n番目の部分認証子を生成する分割プログラムを特定する情報を保存する保存ステップ(S40)と、
    前記第1の認証子演算ステップによって前記n−1番目の演算認証子を生成した後に、n番目の前記分割プログラムの部分認証子を生成する第2の暗号演算ステップ(S50)と、
    前記認証子保存部に保存された前記n−1番目の演算認証子と、前記n番目の部分認証子とを用いた論理演算を行って、n番目の演算認証子を生成する第2の認証子演算ステップ(S60)と、
    前記認証子保存部に、前記n番目の演算認証子を前記n−1番目の演算認証子に上書きして保存する第2の保存ステップ(S70)と、
    m番目の演算認証子と、前記検証用認証子とが一致するか否かを判定する検証ステップ(S90、S100)と、
    を有するプログラム改ざん検知方法、をコンピュータに実行させるプログラム。
  8. プログラムを分割したm個の分割プログラム及び検証用認証子を記憶する記憶部を有するコンピュータで実行可能なプログラムであって、
    n−1(4≦n≦m)番目の前記分割プログラムの部分認証子を生成する第1の暗号演算ステップ(S50)と、
    1乃至n−2番目の部分認証子を用いた論理演算を行って生成されたn−2番目の演算認証子と、n−1番目の部分認証子とを用いた論理演算を行って、n−1番目の演算認証子を生成する第1の認証子演算ステップ(S60)と、
    前記n−1番目の演算認証子を認証子保存部に保存する第1の保存ステップ(S70)と、
    n番目の部分認証子を生成する分割プログラムを特定する情報を保存する保存ステップ(S40)と、
    前記第1の認証子演算ステップによって前記n−1番目の演算認証子を生成した後に、n番目の前記分割プログラムの部分認証子を生成する第2の暗号演算ステップ(S50)と、
    前記認証子保存部に保存された前記n−1番目の演算認証子と、前記n番目の部分認証子とを用いた論理演算を行って、n番目の演算認証子を生成する第2の認証子演算ステップ(S60)と、
    前記認証子保存部に、前記n番目の演算認証子を前記n−1番目の演算認証子に上書きして保存する第2の保存ステップ(S70)と、
    m番目の演算認証子と、前記検証用認証子とが一致するか否かを判定する検証ステップ(S90、S100)と、
    を有するプログラム改ざん検知方法、を電子制御装置が起動する際にコンピュータに実行させるプログラム。
  9. プログラムを分割したm個の分割プログラム及び検証用認証子を記憶する記憶部を有するコンピュータで実行可能なプログラムであって、
    n−1(4≦n≦m)番目の前記分割プログラムの部分認証子を生成する第1の暗号演算ステップ(S50)と、
    1乃至n−2番目の部分認証子を用いた論理演算を行って生成されたn−2番目の演算認証子と、n−1番目の部分認証子とを用いた論理演算を行って、n−1番目の演算認証子を生成する第1の認証子演算ステップ(S60)と、
    前記n−1番目の演算認証子を認証子保存部に保存する第1の保存ステップ(S70)と、
    n番目の部分認証子を生成する分割プログラムを特定する情報を保存する保存ステップ(S40)と、
    前記第1の認証子演算ステップによって前記n−1番目の演算認証子を生成した後に、n番目の前記分割プログラムの部分認証子を生成する第2の暗号演算ステップ(S50)と、
    前記認証子保存部に保存された前記n−1番目の演算認証子と、前記n番目の部分認証子とを用いた論理演算を行って、n番目の演算認証子を生成する第2の認証子演算ステップ(S60)と、
    前記認証子保存部に、前記n番目の演算認証子を前記n−1番目の演算認証子に上書きして保存する第2の保存ステップ(S70)と、
    m番目の演算認証子と、前記検証用認証子とが一致するか否かを判定する検証ステップ(S90、S100)と、
    を有するプログラム改ざん検知方法、を電子制御装置の低消費電力モードから通常モードに移行する際にコンピュータに実行させるプログラム。
JP2017136725A 2017-07-13 2017-07-13 電子制御装置、プログラム改ざん検知方法 Active JP6949416B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2017136725A JP6949416B2 (ja) 2017-07-13 2017-07-13 電子制御装置、プログラム改ざん検知方法
PCT/JP2018/023808 WO2019012952A1 (ja) 2017-07-13 2018-06-22 電子制御装置、プログラム改ざん検知方法、プログラム改ざん検知方法のプログラム、およびコンピュータ読み出し可能持続的有形記録媒体
US16/738,927 US11392722B2 (en) 2017-07-13 2020-01-09 Electronic control device, program falsification detection method, and computer readable non- transitory tangible storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017136725A JP6949416B2 (ja) 2017-07-13 2017-07-13 電子制御装置、プログラム改ざん検知方法

Publications (3)

Publication Number Publication Date
JP2019020872A JP2019020872A (ja) 2019-02-07
JP2019020872A5 JP2019020872A5 (ja) 2019-12-26
JP6949416B2 true JP6949416B2 (ja) 2021-10-13

Family

ID=65002583

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017136725A Active JP6949416B2 (ja) 2017-07-13 2017-07-13 電子制御装置、プログラム改ざん検知方法

Country Status (3)

Country Link
US (1) US11392722B2 (ja)
JP (1) JP6949416B2 (ja)
WO (1) WO2019012952A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021015204A1 (ja) * 2019-07-23 2021-01-28 株式会社ソニー・インタラクティブエンタテインメント アクセス制御装置、アクセス制御方法及びプログラム
JP7012922B2 (ja) 2020-01-28 2022-01-28 三菱電機株式会社 認証子管理装置、認証子管理プログラム及び認証子管理方法
JP2022142263A (ja) 2021-03-16 2022-09-30 富士フイルムビジネスイノベーション株式会社 情報処理装置及び情報処理プログラム
JP7427697B2 (ja) 2022-02-08 2024-02-05 本田技研工業株式会社 電子機器監視装置、移動体、及び電子機器監視方法

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3763477A (en) * 1971-08-02 1973-10-02 Bell Telephone Labor Inc Magnetic domain logic control arrangement
US20040189713A1 (en) * 2001-10-31 2004-09-30 Metacyber.Net Computer-based user interface for a memory-resident rapid comprehension document for original source information
JP4732921B2 (ja) * 2006-02-24 2011-07-27 アルパイン株式会社 プログラム正当性検証装置
US8949600B2 (en) * 2006-10-27 2015-02-03 Qualcomm Incorporated Composed message authentication code
JP5049288B2 (ja) * 2006-11-09 2012-10-17 パナソニック株式会社 改竄検出システム、改竄検出方法、改竄検出プログラム、記録媒体、集積回路、認証情報生成装置及び改竄検出装置
WO2010110605A2 (ko) * 2009-03-25 2010-09-30 엘지전자 주식회사 Iptv 수신기 및 그의 컨텐트 다운로드 방법
JP2012078953A (ja) 2010-09-30 2012-04-19 Kyocera Mita Corp 改ざん検知装置及び改ざん検知方法
US8780635B2 (en) * 2012-11-09 2014-07-15 Sandisk Technologies Inc. Use of bloom filter and improved program algorithm for increased data protection in CAM NAND memory
JP2015022521A (ja) 2013-07-19 2015-02-02 スパンション エルエルシー セキュアブート方法、組み込み機器、セキュアブート装置およびセキュアブートプログラム
US20150033016A1 (en) * 2013-07-23 2015-01-29 Battelle Memorial Institute Systems and methods for securing real-time messages
JP6244759B2 (ja) * 2013-09-10 2017-12-13 株式会社ソシオネクスト セキュアブート方法、半導体装置、及び、セキュアブートプログラム
JP2015090682A (ja) 2013-11-07 2015-05-11 キヤノン株式会社 画像形成装置、その制御方法及びプログラム
FR3019347B1 (fr) * 2014-03-25 2017-07-21 Oberthur Technologies Securisation du chargement de donnees dans une memoire non-volatile d'un element securise
JP6601491B2 (ja) * 2015-05-20 2019-11-06 富士通株式会社 プログラム検証方法、検証プログラム、及び情報処理装置
KR102509594B1 (ko) * 2016-06-28 2023-03-14 삼성전자주식회사 어플리케이션 코드의 위변조 여부 탐지 방법 및 이를 지원하는 전자 장치
US10075425B1 (en) * 2016-08-26 2018-09-11 Amazon Technologies, Inc. Verifiable log service
US10558812B2 (en) * 2017-06-21 2020-02-11 Microsoft Technology Licensing, Llc Mutual authentication with integrity attestation

Also Published As

Publication number Publication date
US20200151361A1 (en) 2020-05-14
US11392722B2 (en) 2022-07-19
JP2019020872A (ja) 2019-02-07
WO2019012952A1 (ja) 2019-01-17

Similar Documents

Publication Publication Date Title
JP6949416B2 (ja) 電子制御装置、プログラム改ざん検知方法
US9424200B2 (en) Continuous run-time integrity checking for virtual memory
JP6373888B2 (ja) 情報処理装置及び制御方法
EP1973038B1 (en) A method for anti-virus based on a safety chip
TW201500960A (zh) 在配有適用統一可延伸韌體介面(uefi)之韌體之計算裝置中的安全性變數變化檢測技術
CN109997140B (zh) 使用一次写入寄存器从设备的睡眠状态加速安全启动的低功耗嵌入式设备
US11914682B2 (en) Software verification device
CN109445705B (zh) 固件认证方法及固态硬盘
US20130117578A1 (en) Method for verifying a memory block of a nonvolatile memory
JP2021096852A (ja) レジスタ内容のインテグリティを検証するシステム、および、その方法
CN109586898B (zh) 双系统通信密钥生成方法及计算机可读存储介质
US11210238B2 (en) Securing data logs in memory devices
US20090034717A1 (en) Method of processing data protected against attacks by generating errors and associated device
CN109753788B (zh) 内核运行时的完整性校验方法及计算机可读存储介质
CN114547618A (zh) 基于Linux系统的安全启动方法、装置、电子设备及存储介质
WO2017012588A1 (en) Fast authentication of code in low-power system
JP6622360B2 (ja) 情報処理装置
CN109643352B (zh) 跨安全引导更新保留受保护机密
JP2021057043A (ja) トラストアンカコンピューティング装置を備える処理システムおよび対応する方法
CN110311773B (zh) 一种高级加密标准协处理器防注入式攻击的方法
US9213864B2 (en) Data processing apparatus and validity verification method
CN109150534B (zh) 终端设备及数据处理方法
CN117193863B (zh) 主机引导程序的启动方法、装置、系统和处理器
EP3620944B1 (en) Low power embedded device using a write-once register to speed up the secure boot from sleep states of the device
US20240193275A1 (en) Electronic device and secure booting method thereof

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191112

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191112

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210119

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210318

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210629

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210817

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210824

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210917

R150 Certificate of patent or registration of utility model

Ref document number: 6949416

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150