JP7019976B2 - Secure element, computer program, device, OS boot system and OS boot method - Google Patents

Secure element, computer program, device, OS boot system and OS boot method Download PDF

Info

Publication number
JP7019976B2
JP7019976B2 JP2017124308A JP2017124308A JP7019976B2 JP 7019976 B2 JP7019976 B2 JP 7019976B2 JP 2017124308 A JP2017124308 A JP 2017124308A JP 2017124308 A JP2017124308 A JP 2017124308A JP 7019976 B2 JP7019976 B2 JP 7019976B2
Authority
JP
Japan
Prior art keywords
image
unit
encrypted
secure element
boot loader
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017124308A
Other languages
Japanese (ja)
Other versions
JP2019008592A (en
Inventor
正徳 浅野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2017124308A priority Critical patent/JP7019976B2/en
Publication of JP2019008592A publication Critical patent/JP2019008592A/en
Application granted granted Critical
Publication of JP7019976B2 publication Critical patent/JP7019976B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、セキュアエレメント、コンピュータプログラム、デバイス、OS起動システム及びOS起動方法に関する。 The present invention relates to a secure element, a computer program, a device, an OS boot system, and an OS boot method.

パーソナルコンピュータ等を含む電子デバイスのセキュリティの多くは、当該デバイス上で動作するOSによって担保されている。このため、一般に攻撃者はOSの脆弱性を攻撃すること、あるいはOSを脆弱なものに置き換えることによって攻撃を行う。 Most of the security of electronic devices including personal computers is guaranteed by the OS running on the devices. Therefore, in general, an attacker attacks a vulnerability in the OS or replaces the OS with a vulnerable one.

そこで、OSの改ざん又は置き換え等の不正な攻撃をOS起動時に検知することによって、セキュリティを確保する技術が研究されている。例えば、特許文献1には、トラステッドデバイスが端末に接続された際に、トラステッドデバイスから取り出したブートローダを元に、端末とOSサーバとの間で接続を行い、OSサーバから端末に暗号化されたブートイメージ(OSカーネル)をダウンロードし、トラステッドデバイスから取得した鍵によってダウンロードしたブートイメージを復号する方法が開示されている。 Therefore, a technique for ensuring security by detecting an unauthorized attack such as falsification or replacement of an OS at the time of starting the OS is being researched. For example, in Patent Document 1, when a trusted device is connected to a terminal, a connection is made between the terminal and the OS server based on the boot loader taken out from the trusted device, and the OS server is encrypted to the terminal. A method of downloading a boot image (OS kernel) and decrypting the downloaded boot image with a key obtained from a trusted device is disclosed.

特許第5940159号公報Japanese Patent No. 5940159

しかし、特許文献1の方法では、復号用の鍵をトラステッドデバイスから取り出す際の通信を傍受して鍵を入手するとともに、OSイメージを入手するサーバを攻撃者のサーバに変更することによって、OSの改ざん又は置き換えが可能となる。 However, in the method of Patent Document 1, the OS image is obtained by intercepting the communication when the decryption key is taken out from the trusted device, and the server for obtaining the OS image is changed to the attacker's server. It can be tampered with or replaced.

一方で、IoT(Internet of Things)では、多種多様なデバイスがネットワークに接続されることで新たな付加価値を生み出している。このようなデバイスでは、デバイス毎にブートメカニズムは異なるので、デバイス毎に個別のブートローダが必要となる。しかし、特許文献1の方法では、端末がトラステッドデバイスに入っているブートローダを元にOSの起動を行うため、多種多様なデバイスのOSを起動することができない。 On the other hand, IoT (Internet of Things) creates new added value by connecting a wide variety of devices to the network. In such a device, the boot mechanism is different for each device, so a separate boot loader is required for each device. However, in the method of Patent Document 1, since the terminal boots the OS based on the boot loader included in the trusted device, it is not possible to boot the OS of a wide variety of devices.

本発明は、斯かる事情に鑑みてなされたものであり、デバイスのOS起動時のセキュリティを確保することができるセキュアエレメント、コンピュータプログラム、デバイス、OS起動システム及びOS起動方法を提供することを目的とする。 The present invention has been made in view of such circumstances, and an object of the present invention is to provide a secure element, a computer program, a device, an OS boot system, and an OS boot method that can ensure security at the time of OS boot of a device. And.

本発明の実施の形態に係るセキュアエレメントは、OSを読み込むためのブートローダからOSの要求信号を取得する要求信号取得部と、該要求信号取得部で要求信号を取得した場合、暗号化されたOSイメージを復号する復号部と、前記ブートローダによって読み込むため、前記復号部で復号されたOSイメージを出力する出力部とを備える。 The secure element according to the embodiment of the present invention includes a request signal acquisition unit that acquires an OS request signal from a boot loader for reading the OS, and an encrypted OS when the request signal acquisition unit acquires the request signal. It includes a decoding unit that decodes an image, and an output unit that outputs an OS image decoded by the decoding unit for reading by the boot loader.

本発明の実施の形態に係るコンピュータプログラムは、コンピュータに、ブートローダによって読み込むためOSイメージを出力させるためのコンピュータプログラムであって、コンピュータに、前記ブートローダからOSの要求信号を取得する処理と、前記要求信号を取得した場合、暗号化されたOSイメージを復号する処理と、前記ブートローダによって読み込むため、復号されたOSイメージを出力する処理とを実行させる。 The computer program according to the embodiment of the present invention is a computer program for causing a computer to output an OS image to be read by a boot loader, and is a process of acquiring an OS request signal from the boot loader and the request. When the signal is acquired, the process of decoding the encrypted OS image and the process of outputting the decrypted OS image for reading by the boot loader are executed.

本発明の実施の形態に係るデバイスは、本発明の実施の形態に係るセキュアエレメントと、OSを読み込むためのブートローダとを備える。 The device according to the embodiment of the present invention includes a secure element according to the embodiment of the present invention and a boot loader for reading an OS.

本発明の実施の形態に係るOS起動システムは、本発明の実施の形態に係るデバイスと、前記ブートローダによって読み込まれるOSのイメージを暗号化して記憶するサーバとを備える。 The OS boot system according to the embodiment of the present invention includes the device according to the embodiment of the present invention and a server that encrypts and stores the image of the OS read by the boot loader.

本発明の実施の形態に係るOS起動方法は、OSを読み込むためのブートローダからOSの要求信号を要求信号取得部が取得し、前記要求信号が取得された場合、暗号化されたOSイメージを復号部が復号し、前記ブートローダによって読み込むため、復号されたOSイメージを出力部が出力する。 In the OS boot method according to the embodiment of the present invention, the request signal acquisition unit acquires the request signal of the OS from the boot loader for reading the OS, and when the request signal is acquired, the encrypted OS image is decoded. Since the unit decodes and reads it by the boot loader, the output unit outputs the decoded OS image.

本発明によれば、デバイスのOS起動時のセキュリティを確保することができる。 According to the present invention, security at the time of booting the OS of the device can be ensured.

本実施の形態のOS起動システムの構成の一例を示すブロック図である。It is a block diagram which shows an example of the structure of the OS boot system of this embodiment. 本実施の形態のOS起動システムのオンライン起動時の動作の一例を示す説明図である。It is explanatory drawing which shows an example of the operation at the time of online booting of the OS boot system of this embodiment. 本実施の形態のOS起動システムのオフライン起動時の動作の一例を示す説明図である。It is explanatory drawing which shows an example of the operation at the time of offline booting of the OS boot system of this embodiment. 本実施の形態のセキュアエレメントによるOS起動処理手順の一例を示すフローチャートである。It is a flowchart which shows an example of the OS boot processing procedure by the secure element of this embodiment. 本実施の形態のOS起動システムのOSイメージ照合時の動作の一例を示す説明図である。It is explanatory drawing which shows an example of the operation at the time of OS image collation of the OS boot system of this embodiment. 本実施の形態のセキュアエレメントによるOSイメージ照合処理手順の一例を示すフローチャートである。It is a flowchart which shows an example of the OS image collation processing procedure by the secure element of this embodiment.

以下、本発明をその実施の形態を示す図面に基づいて説明する。図1は本実施の形態のOS起動システムの構成の一例を示すブロック図である。本実施の形態のOS起動システムは、セキュアエレメント50が組み込まれたデバイス100、及びサーバ200などを備える。デバイス100は、OSを搭載して独立動作をすることができるデバイス(電子デバイスとも称する)であり、「モノのインターネット」(IoT)でいうところの「モノ」に該当するデバイスを含む。 Hereinafter, the present invention will be described with reference to the drawings showing the embodiments thereof. FIG. 1 is a block diagram showing an example of the configuration of the OS boot system of the present embodiment. The OS boot system of the present embodiment includes a device 100 in which the secure element 50 is incorporated, a server 200, and the like. The device 100 is a device (also referred to as an electronic device) capable of independently operating by mounting an OS, and includes a device corresponding to "things" in the "Internet of Things" (IoT).

デバイス100は、セキュアエレメント50の他に、CPU10、ネットワーク通信部11、ROM又は不揮発性メモリなどの不揮発性記録部12、RAM13、電源の入切を行うための電源スイッチ14、BIOS21、ブートローダ22、OSカーネル23、ファイルシステム24などを備える。なお、便宜上、デバイス100のうち、セキュアエレメント50以外の部分をデバイス側と称する。 In addition to the secure element 50, the device 100 includes a CPU 10, a network communication unit 11, a non-volatile recording unit 12 such as a ROM or a non-volatile memory, a RAM 13, a power switch 14 for turning on / off the power, a BIOS 21, and a boot loader 22. It is equipped with an OS kernel 23, a file system 24, and the like. For convenience, the portion of the device 100 other than the secure element 50 is referred to as the device side.

不揮発性記録部12は、デバイス100の製造時に記録される内容が書き込まれるが、デバイス100の運用中に書き換えることもできる。 The non-volatile recording unit 12 is written with the contents recorded at the time of manufacturing the device 100, but can be rewritten during the operation of the device 100.

RAM13は、揮発性のメモリであり、電源スイッチ14によって電源断・再投入が行われると記録された内容が消去される。 The RAM 13 is a volatile memory, and the recorded contents are erased when the power is turned off and on again by the power switch 14.

BIOS21は、不揮発性記録部12に保持され、デバイス100の基本的な入出力を制御するためのソフトウェアコンポーネント(ソフトウェアモジュール)である。 The BIOS 21 is a software component (software module) held in the non-volatile recording unit 12 and for controlling the basic input / output of the device 100.

ブートローダ22は、不揮発性記録部12に保持され、BIOS21から呼び出されて起動されるソフトウェアコンポーネントである。ブートローダ22は、OSカーネルをRAM13に読み込むために動作する。 The boot loader 22 is a software component held in the non-volatile recording unit 12 and called from the BIOS 21 to be started. The boot loader 22 operates to read the OS kernel into the RAM 13.

OSカーネル23は、OSの基本的な機能を実装しているソフトウェアコンポーネントである。OSカーネル23は、ブートローダ22によってRAM13上に展開され、CPU10によって実行されることによりOSの機能をアプリケーション又はユーザに提供する。本実施の形態では、OSカーネル23は、OSイメージに含まれる。OSイメージは、OSを構成する複数のファイル及びフォルダを一つのファイルに纏めたものである。 The OS kernel 23 is a software component that implements the basic functions of the OS. The OS kernel 23 is expanded on the RAM 13 by the boot loader 22 and executed by the CPU 10 to provide the functions of the OS to the application or the user. In this embodiment, the OS kernel 23 is included in the OS image. The OS image is a collection of a plurality of files and folders constituting the OS into one file.

ファイルシステム24は、デバイス100上で取り扱うファイル(フォルダ)ツリー全てを保持するデータ一式である。ファイルシステム24は、OSカーネル23によって認識されることで、アプリケーション又はユーザは、ファイルシステム24内のファイルを読み書きすることができる。ファイルシステム24は、OSイメージに含まれる。 The file system 24 is a set of data that holds all the file (folder) trees handled on the device 100. By recognizing the file system 24 by the OS kernel 23, the application or the user can read and write the files in the file system 24. The file system 24 is included in the OS image.

ネットワーク通信部11は、デバイス100をネットワークに接続する機能を有し、ネットワーク上の他のデバイス又はクラウド(サーバ)との間で情報の送受信を行うことができる。ネットワーク通信部11は、不図示のセンサ類で検出した情報を送信することができる。 The network communication unit 11 has a function of connecting the device 100 to the network, and can send and receive information to and from other devices or clouds (servers) on the network. The network communication unit 11 can transmit information detected by sensors (not shown).

セキュアエレメント50は、例えば、ICチップ、ICカード等の半導体素子で構成され、外部からの物理的、論理的な攻撃に対して耐タンパ性を有する特別なハードウェアである。 The secure element 50 is special hardware that is composed of a semiconductor element such as an IC chip or an IC card and has tamper resistance against physical and logical attacks from the outside.

セキュアエレメント50は、ダウンロード処理部51、復号処理部52、比較処理部53、記憶部としての不揮発性メモリ54、オフライン起動許可フラグ55、暗号化OSイメージ56、OSイメージ復号鍵57などを備える。なお、便宜上、暗号化OSイメージ56をOSイメージ56とも称する。 The secure element 50 includes a download processing unit 51, a decryption processing unit 52, a comparison processing unit 53, a non-volatile memory 54 as a storage unit, an offline start permission flag 55, an encrypted OS image 56, an OS image decryption key 57, and the like. For convenience, the encrypted OS image 56 is also referred to as an OS image 56.

不揮発性メモリ54は、例えば、耐タンパ性を有する不揮発性メモリとすることができる。 The non-volatile memory 54 can be, for example, a non-volatile memory having tamper resistance.

ダウンロード処理部51は、通信部としての機能を有し、サーバ200に対して秘匿通信路61を確立し、サーバ200が有する暗号化OSイメージを不揮発性メモリ54にダウンロードする。これにより、OSイメージを、秘匿性を保ったまま安全に取得することができる。秘匿通信路61においては、例えば、TLS(Transport Layer Security)などのプロトコルによって通信を行うことができる。なお、プロトコルは、TLSに限定されない。 The download processing unit 51 has a function as a communication unit, establishes a secret communication path 61 for the server 200, and downloads the encrypted OS image of the server 200 to the non-volatile memory 54. As a result, the OS image can be safely acquired while maintaining confidentiality. In the secret communication path 61, communication can be performed by a protocol such as TLS (Transport Layer Security), for example. The protocol is not limited to TLS.

復号処理部52は、復号部としての機能を有し、不揮発性メモリ54に保持されているOSイメージ56に対して暗号化を解除して復号し、復号したOSイメージをデバイス100のRAM13上に展開する。暗号化OSイメージ56の復号処理をセキュアエレメント50内で行うことによって、OSイメージの改ざん又は置き換えを防止することができる。 The decryption processing unit 52 has a function as a decryption unit, decrypts and decrypts the OS image 56 held in the non-volatile memory 54, and deciphers the decrypted OS image on the RAM 13 of the device 100. expand. By performing the decryption process of the encrypted OS image 56 in the secure element 50, it is possible to prevent falsification or replacement of the OS image.

比較処理部53は、照合部としての機能を有し、デバイス100からの要求に応じて、デバイス100で稼働中のOSのOSイメージと、不揮発性メモリ54に保持されているOSイメージ56とを比較し、照合(一致・不一致を判定)する。OSイメージの照合は、OSイメージの全体でもよく、一部(例えば、OSカーネルの一部、ファイルシステムの一部)でもよい。照合アルゴリズムは、例えば、平文による照合でもよいが、これに限定されない。 The comparison processing unit 53 has a function as a collation unit, and in response to a request from the device 100, the OS image of the OS running on the device 100 and the OS image 56 held in the non-volatile memory 54 are combined. Compare and collate (determine match / mismatch). The collation of the OS image may be the whole OS image or a part (for example, a part of the OS kernel, a part of the file system). The collation algorithm may be, for example, plaintext collation, but is not limited to this.

暗号化OSイメージ56は、OSカーネル561、ファイルシステム562をまとめ、かつOSイメージ暗号化鍵で暗号化を行ったデータである。 The encrypted OS image 56 is data in which the OS kernel 561 and the file system 562 are put together and encrypted with the OS image encryption key.

OSイメージ復号鍵57は、不揮発性メモリ54に保持されている。これにより、OSイメージ復号鍵57の秘匿性を担保することができる。OSイメージ復号鍵57は、暗号化OSイメージ56を復号し、OSカーネル23、ファイルシステム24を取り出すための鍵である。OSイメージ復号鍵57は、固定鍵でもよく、あるいは、動的に更新される鍵でもよい。 The OS image decryption key 57 is held in the non-volatile memory 54. As a result, the confidentiality of the OS image decryption key 57 can be ensured. The OS image decryption key 57 is a key for decrypting the encrypted OS image 56 and taking out the OS kernel 23 and the file system 24. The OS image decryption key 57 may be a fixed key or a key that is dynamically updated.

オフライン起動許可フラグ55は、識別子としての機能を有する。オフライン起動許可フラグ55は、デバイス100のOS起動時に、セキュアエレメント50の不揮発性メモリ54に保持されているOSイメージ56のみで起動を許可するか(オフライン起動)、あるいは拒否するか(オンライン起動)を判定するフラグである。拒否する場合には、ダウンロード処理部51は、サーバ200から最新のOSイメージをダウンロードする。デバイス側のブートローダ22によって読み込まれるOSの入手先(例えば、OSの入手先のサーバのURLなど)を決定する識別子をデバイス側でなくセキュアエレメント50が有することにより、セキュアエレメント50によってOSイメージの取得先を決めることができる。 The offline activation permission flag 55 has a function as an identifier. The offline boot permission flag 55 allows or rejects booting only with the OS image 56 held in the non-volatile memory 54 of the secure element 50 when the OS of the device 100 is booted (offline booting). It is a flag to judge. If rejected, the download processing unit 51 downloads the latest OS image from the server 200. By having the secure element 50, not the device side, an identifier that determines the source of the OS read by the boot loader 22 on the device side (for example, the URL of the server from which the OS is obtained), the secure element 50 acquires the OS image. You can decide the destination.

セキュアエレメント50は、内部バス31、32を介してデバイス側と接続されている。より具体的には、内部バス31は、セキュアエレメント50と不揮発性記録部12とを接続し、内部バス32は、セキュアエレメント50とRAM13とを接続している。内部バス31、32は、秘匿性を担保することができるバスであれば、適宜のものを用いることができる。 The secure element 50 is connected to the device side via the internal buses 31 and 32. More specifically, the internal bus 31 connects the secure element 50 and the non-volatile recording unit 12, and the internal bus 32 connects the secure element 50 and the RAM 13. As the internal buses 31 and 32, any appropriate bus can be used as long as it can ensure confidentiality.

サーバ200は、暗号化イメージ201(OSカーネル202及びファイルシステム203を含む)を保持し、デバイス100のOS起動時に秘匿通信路61を介して暗号化イメージ201をセキュアエレメント50へ配信する。 The server 200 holds the encrypted image 201 (including the OS kernel 202 and the file system 203), and distributes the encrypted image 201 to the secure element 50 via the secret communication path 61 when the OS of the device 100 is started.

次に、本実施の形態のOS起動システムの動作について説明する。以下では、オンライン起動時の動作、オフライン起動時の動作、及びOSイメージの照合時の動作について説明する。 Next, the operation of the OS boot system of this embodiment will be described. In the following, the operation at the time of online startup, the operation at the time of offline startup, and the operation at the time of collating the OS image will be described.

図2は本実施の形態のOS起動システムのオンライン起動時の動作の一例を示す説明図である。以下、符号P1~P13で示す処理について説明する。 FIG. 2 is an explanatory diagram showing an example of the operation of the OS boot system of the present embodiment at the time of online booting. Hereinafter, the processes represented by the reference numerals P1 to P13 will be described.

P1(電源投入):ユーザが電源スイッチ14を操作してデバイス100に対して電源を投入する。 P1 (power on): The user operates the power switch 14 to turn on the power to the device 100.

P2(BIOS21の起動):電源投入されたデバイス100は、不揮発性記録部12に保持されているBIOS21を起動する。 P2 (Startup of BIOS21): The power-on device 100 activates the BIOS21 held in the non-volatile recording unit 12.

P3(ブートローダ22の起動):BIOS21は、不揮発性記録部12に保持されているブートローダ22を起動する。 P3 (Startup of boot loader 22): BIOS 21 starts the boot loader 22 held in the non-volatile recording unit 12.

P4(OSイメージダウンロード要求):ブートローダ22は、セキュアエレメント50に対し、OSイメージのダウンロード要求(OSの要求信号とも称する)を行う。セキュアエレメント50は、要求信号取得部としての機能を有し、当該要求を取得した場合、ダウンロード処理部51による処理を呼び出す。 P4 (OS image download request): The boot loader 22 makes an OS image download request (also referred to as an OS request signal) to the secure element 50. The secure element 50 has a function as a request signal acquisition unit, and when the request is acquired, the secure element 50 calls a process by the download processing unit 51.

P5(オフライン起動チェック):ダウンロード処理部51は、不揮発性メモリ54に保持されているオフライン起動許可フラグ55をチェックし、フラグが「拒否(オンライン起動)」であることを確認する。 P5 (offline start check): The download processing unit 51 checks the offline start permission flag 55 held in the non-volatile memory 54, and confirms that the flag is “rejected (online start)”.

P6(秘匿通信路61の確立):ダウンロード処理部51は、フラグが「拒否」であることを確認すると、サーバ200に対してエンドツーエンドの秘匿通信路61を確立する。秘匿通信路61は、例えば、TLS(HTTPS)とすることができる。セキュアエレメント50が自ら物理的な通信手段(例えば、LAN又はWiFiなど)を有する場合、通信路確立を独力で行うことができるが、通信手段を有しない場合には、デバイス100の物理的な通信手段を用いてもよい。 P6 (Establishment of secret communication path 61): When the download processing unit 51 confirms that the flag is "rejection", the download processing unit 51 establishes an end-to-end secret communication path 61 for the server 200. The secret communication path 61 can be, for example, TLS (HTTPS). If the secure element 50 has its own physical communication means (for example, LAN or WiFi), the communication path can be established by itself, but if it does not have the communication means, the physical communication of the device 100 can be performed. Means may be used.

P7(OSイメージのダウンロード):セキュアエレメント50は、サーバ200に対してOSイメージのダウンロード要求を行う。ダウンロード処理部51は、サーバ200から、暗号化OSイメージ201をセキュアな不揮発性メモリ54にダウンロードし、保持する。 P7 (Download OS image): The secure element 50 requests the server 200 to download the OS image. The download processing unit 51 downloads the encrypted OS image 201 from the server 200 to the secure non-volatile memory 54 and holds it.

P8(オフライン起動許可フラグ55の変更):サーバ200は、オフライン起動許可フラグ55を変更したい場合、秘匿通信路61を介してセキュアエレメント50に対してオフライン起動許可フラグ55の変更を行う。セキュアエレメント50は、受付部としての機能を有し、秘匿通信路を介して、オフライン起動許可フラグ55を「拒否(オンライン起動)」又は「許可(オフライン起動)」に設定する処理を受け付ける。これにより、OSイメージの取得先を状況に応じて変更することができる。なお、オフライン起動許可フラグ55の変更は、オンライン起動時のみならず、任意のタイミングで行うことができる。 P8 (Change of offline start permission flag 55): When the server 200 wants to change the offline start permission flag 55, the server 200 changes the offline start permission flag 55 for the secure element 50 via the secret communication path 61. The secure element 50 has a function as a reception unit, and accepts a process of setting the offline activation permission flag 55 to "deny (online activation)" or "permission (offline activation)" via a secret communication path. This makes it possible to change the acquisition destination of the OS image according to the situation. The offline activation permission flag 55 can be changed not only at the time of online activation but also at any timing.

P9(ダウンロード完了):ダウンロード処理部51は、ブートローダ22に対してダウンロード完了を通知する。 P9 (Download complete): The download processing unit 51 notifies the boot loader 22 that the download is complete.

P10(OSイメージ展開要求):ブートローダ22は、ダウンロード完了の通知を受けると、セキュアエレメント50に対して、OSイメージの展開を要求する。セキュアエレメント50は、OSイメージの展開の要求を受けると、復号処理部52による処理を呼び出す。 P10 (OS image expansion request): Upon receiving the notification of download completion, the boot loader 22 requests the secure element 50 to expand the OS image. When the secure element 50 receives a request for expanding the OS image, the secure element 50 calls a process by the decryption processing unit 52.

P11(OSイメージの復号と展開):復号処理部52は、不揮発性メモリ54に保持している暗号化OSイメージ56を、OSイメージ復号鍵57を用いて復号する。安全性の高い不揮発性メモリ54に記憶した暗号化OSイメージ56の復号処理をセキュアエレメント50内で行うことによって、OSイメージの改ざん又は置き換えを防止することができる。復号処理部52は、出力部としての機能を有し、復号されたOSカーネル23及びファイルシステム24をデバイス側へ出力し、RAM13上に展開する。デバイス側とセキュアエレメント50との間は、秘匿性を有する内部バス32によって接続することができるので、ブートするOSイメージの改ざん又は置き換えを防止することができる。 P11 (decoding and decompression of OS image): The decryption processing unit 52 decodes the encrypted OS image 56 held in the non-volatile memory 54 by using the OS image decryption key 57. By performing the decryption processing of the encrypted OS image 56 stored in the highly secure non-volatile memory 54 in the secure element 50, it is possible to prevent the OS image from being tampered with or replaced. The decryption processing unit 52 has a function as an output unit, outputs the decoded OS kernel 23 and the file system 24 to the device side, and deploys them on the RAM 13. Since the device side and the secure element 50 can be connected by an internal bus 32 having confidentiality, it is possible to prevent falsification or replacement of the booted OS image.

P12(OSカーネル23の起動):ブートローダ22は、RAM13上に展開されたOSカーネル23を起動する。 P12 (booting the OS kernel 23): The boot loader 22 boots the OS kernel 23 expanded on the RAM 13.

P13(ファイルシステム24の読み込み):OSカーネル23は、RAM13上に展開されたファイルシステム24を有効化し、アクセス可能にする。ファイルシステム24が有効化された後、OSは起動を完了して定常状態に移行する。これにより、ユーザのログインを許可すること、サーバサービスを開始すること等、OSの機能をユーザに提供することができる。 P13 (reading of file system 24): The OS kernel 23 enables and makes the file system 24 expanded on the RAM 13 accessible. After the file system 24 is activated, the OS completes booting and transitions to steady state. This makes it possible to provide the user with OS functions such as permitting the user to log in and starting the server service.

上述のように、ブートローダ22が、セキュアエレメント50とは別個にデバイス側にあることによって、セキュアエレメント50は、多種多様なデバイス100に対して共通の構造とすることができる。また、上述の構成により、多種多様なデバイス100のOS起動時のセキュリティを確保することができる。 As described above, since the boot loader 22 is located on the device side separately from the secure element 50, the secure element 50 can have a common structure for a wide variety of devices 100. Further, with the above configuration, it is possible to secure the security at the time of OS booting of a wide variety of devices 100.

図3は本実施の形態のOS起動システムのオフライン起動時の動作の一例を示す説明図である。以下、符号P21~P30で示す処理について説明する。なお、オフライン起動時は、サーバ200からの暗号化OSイメージ201のダウンロード処理は行われない。 FIG. 3 is an explanatory diagram showing an example of the operation of the OS boot system of the present embodiment at the time of offline booting. Hereinafter, the processes represented by the reference numerals P21 to P30 will be described. At the time of offline startup, the encrypted OS image 201 is not downloaded from the server 200.

P21(電源投入):ユーザが電源スイッチ14を操作してデバイス100に対して電源を投入する。 P21 (power on): The user operates the power switch 14 to turn on the power to the device 100.

P22(BIOS21の起動):電源投入されたデバイス100は、不揮発性記録部12に保持されているBIOS21を起動する。 P22 (Startup of BIOS21): The power-on device 100 activates the BIOS21 held in the non-volatile recording unit 12.

P23(ブートローダ22の起動):BIOS21は、不揮発性記録部12に保持されているブートローダ22を起動する。 P23 (Starting the boot loader 22): The BIOS 21 starts the boot loader 22 held in the non-volatile recording unit 12.

P24(OSイメージダウンロード要求):ブートローダ22は、セキュアエレメント50に対し、OSイメージのダウンロード要求(OSの要求信号とも称する)を行う。セキュアエレメント50は、当該要求を取得した場合、ダウンロード処理部51による処理を呼び出す。 P24 (OS image download request): The boot loader 22 makes an OS image download request (also referred to as an OS request signal) to the secure element 50. When the secure element 50 acquires the request, the secure element 50 calls the process by the download processing unit 51.

P25(オフライン起動チェック):ダウンロード処理部51は、不揮発性メモリ54に保持されているオフライン起動許可フラグ55をチェックし、フラグが「許可(オフライン起動)」であることを確認する。 P25 (offline start check): The download processing unit 51 checks the offline start permission flag 55 held in the non-volatile memory 54, and confirms that the flag is “permitted (offline start)”.

P26(OSイメージの存在確認):ダウンロード処理部51は、フラグが「許可」であることを確認すると、暗号化OSイメージ56が不揮発性メモリ54に保持されているか確認し、暗号化OSイメージ56が保持されている場合には、ブートローダ22に対してダウンロード完了を通知する。 P26 (confirmation of existence of OS image): When the download processing unit 51 confirms that the flag is "permitted", it confirms whether the encrypted OS image 56 is held in the non-volatile memory 54, and the encrypted OS image 56. Is retained, the boot loader 22 is notified that the download is complete.

P27(OSイメージ展開要求):ブートローダ22は、ダウンロード完了の通知を受けると、セキュアエレメント50に対して、OSイメージの展開を要求する。セキュアエレメント50は、OSイメージの展開の要求を受けると、復号処理部52による処理を呼び出す。 P27 (OS image expansion request): Upon receiving the notification of download completion, the boot loader 22 requests the secure element 50 to expand the OS image. When the secure element 50 receives a request for expanding the OS image, the secure element 50 calls a process by the decryption processing unit 52.

P28(OSイメージの復号と展開):復号処理部52は、不揮発性メモリ54に保持している暗号化OSイメージ56を、OSイメージ復号鍵57を用いて復号する。安全性の高い不揮発性メモリ54に記憶した暗号化OSイメージ56の復号処理をセキュアエレメント50内で行うことによって、OSイメージの改ざん又は置き換えを防止することができる。復号処理部52は、復号されたOSカーネル23及びファイルシステム24をデバイス側へ出力し、RAM13上に展開する。デバイス側とセキュアエレメント50との間は、秘匿性を有する内部バス32によって接続することができるので、ブートするOSイメージの改ざん又は置き換えを防止することができる。 P28 (decoding and decompression of OS image): The decryption processing unit 52 decodes the encrypted OS image 56 held in the non-volatile memory 54 by using the OS image decryption key 57. By performing the decryption processing of the encrypted OS image 56 stored in the highly secure non-volatile memory 54 in the secure element 50, it is possible to prevent the OS image from being tampered with or replaced. The decryption processing unit 52 outputs the decrypted OS kernel 23 and the file system 24 to the device side, and deploys them on the RAM 13. Since the device side and the secure element 50 can be connected by an internal bus 32 having confidentiality, it is possible to prevent falsification or replacement of the booted OS image.

P29(OSカーネル23の起動):ブートローダ22は、RAM13上に展開されたOSカーネル23を起動する。 P29 (booting the OS kernel 23): The boot loader 22 boots the OS kernel 23 expanded on the RAM 13.

P30(ファイルシステム24の読み込み):OSカーネル23は、RAM13上に展開されたファイルシステム24を有効化し、アクセス可能にする。ファイルシステム24が有効化された後、OSは起動を完了して定常状態に移行する。これにより、ユーザのログインを許可すること、サーバサービスを開始すること等、OSの機能をユーザに提供することができる。 P30 (reading of file system 24): The OS kernel 23 enables and makes the file system 24 expanded on the RAM 13 accessible. After the file system 24 is activated, the OS completes booting and transitions to steady state. This makes it possible to provide the user with OS functions such as permitting the user to log in and starting the server service.

上述の構成により、多種多様なデバイス100のOS起動時のセキュリティを確保することができる。 With the above configuration, it is possible to ensure the security at the time of OS booting of a wide variety of devices 100.

図4は本実施の形態のセキュアエレメント50によるOS起動処理手順の一例を示すフローチャートである。セキュアエレメント50は、ブートローダ22からOSイメージのダウンロード要求を取得する(S11)。セキュアエレメント50は、オフライン起動許可フラグ55を判定し(S12)、拒否である場合(S12で拒否)、サーバ200との間で秘匿通信路61を確立する(S13)。 FIG. 4 is a flowchart showing an example of the OS boot processing procedure by the secure element 50 of the present embodiment. The secure element 50 acquires an OS image download request from the boot loader 22 (S11). The secure element 50 determines the offline start permission flag 55 (S12), and if it is rejected (rejected in S12), establishes a secret communication path 61 with the server 200 (S13).

セキュアエレメント50は、秘匿通信路61を介して、サーバ200から暗号化されたOSイメージ(暗号化OSイメージ201)をダウンロードし(S14)、ダウンロード完了をブートローダ22へ通知する(S15)。 The secure element 50 downloads an encrypted OS image (encrypted OS image 201) from the server 200 via the secret communication path 61 (S14), and notifies the boot loader 22 of the completion of the download (S15).

セキュアエレメント50は、ブートローダ22からOSイメージの要求があるか否かを判定し(S16)、要求がない場合(S16でNO)、ステップS16の処理を続ける。要求があった場合(S16でYES)、セキュアエレメント50は、暗号化されたOSイメージを復号し(S17)、復号したOSイメージをデバイス100のRAM13上に展開し(S18)、処理を終了する。 The secure element 50 determines whether or not there is an OS image request from the boot loader 22 (S16), and if there is no request (NO in S16), the process of step S16 is continued. When requested (YES in S16), the secure element 50 decodes the encrypted OS image (S17), expands the decrypted OS image on the RAM 13 of the device 100 (S18), and ends the process. ..

オフライン起動許可フラグ55が許可である場合(S12で許可)、セキュアエレメント50は、不揮発性メモリ54に暗号化されたOSイメージ(暗号化OSイメージ56)が記憶(保持)されているか否かを判定し(S19)、記憶されている場合(S19でYES)、ステップS15以降の処理を行う。 When the offline start permission flag 55 is permitted (permitted in S12), the secure element 50 determines whether or not the encrypted OS image (encrypted OS image 56) is stored (retained) in the non-volatile memory 54. If it is determined (S19) and stored (YES in S19), the processing after step S15 is performed.

暗号化されたOSイメージが記憶されていない場合(S19でNO)、セキュアエレメント50は、処理を終了する。なお、暗号化されたOSイメージが記憶されていない場合に、セキュアエレメント50の処理は、運用上のセキュリティポリシーに準拠することができ、上述のように、動作を停止してもよく、あるいは、サーバ200から強制的に暗号化OSイメージ201をダウンロードしてもよい。 If the encrypted OS image is not stored (NO in S19), the secure element 50 ends the process. When the encrypted OS image is not stored, the processing of the secure element 50 can comply with the operational security policy, and as described above, the operation may be stopped, or the operation may be stopped. The encrypted OS image 201 may be forcibly downloaded from the server 200.

図5は本実施の形態のOS起動システムのOSイメージ照合時の動作の一例を示す説明図である。以下、符号P41~P45で示す処理について説明する。 FIG. 5 is an explanatory diagram showing an example of the operation of the OS boot system of the present embodiment at the time of OS image matching. Hereinafter, the processes represented by the reference numerals P41 to P45 will be described.

P41(OSカーネル23の入力):デバイス100は、現在動作中のOSカーネル23の内容をセキュアエレメント50へ出力する。セキュアエレメント50は、取得したOSカーネル23の内容をRAM58上に保持する。 P41 (input of OS kernel 23): The device 100 outputs the contents of the currently operating OS kernel 23 to the secure element 50. The secure element 50 holds the acquired contents of the OS kernel 23 on the RAM 58.

P42(ファイルシステム24の入力):デバイス100は、現在のファイルシステム24の内容をセキュアエレメント50へ出力する。セキュアエレメント50は、取得したファイルシステム24の内容をRAM58上に保持する。 P42 (input of file system 24): The device 100 outputs the contents of the current file system 24 to the secure element 50. The secure element 50 holds the acquired contents of the file system 24 on the RAM 58.

P43(照合すべきデータの展開):復号処理部52は、不揮発性メモリ54に保持する暗号化OSイメージ56を復号し、復号したOSカーネル563及びファイルシステム564(いずれも平文)をRAM58上に展開する。 P43 (Expansion of data to be collated): The decryption processing unit 52 decodes the encrypted OS image 56 held in the non-volatile memory 54, and puts the decrypted OS kernel 563 and the file system 564 (both in plain text) on the RAM 58. expand.

P44(照合):比較処理部53は、RAM58上に展開されたOSカーネル23とOSカーネル563とを照合し、一致・不一致判定を行う。また、比較処理部53は、RAM58上に展開されたファイルシステム24とファイルシステム564とを照合し、一致・不一致判定を行う。OSイメージの照合は、OSイメージの全体でもよく、一部(例えば、OSカーネルの一部、ファイルシステムの一部)でもよい。照合アルゴリズムは、例えば、平文による照合でもよいが、これに限定されない。 P44 (collation): The comparison processing unit 53 collates the OS kernel 23 expanded on the RAM 58 with the OS kernel 563, and makes a match / mismatch determination. Further, the comparison processing unit 53 collates the file system 24 expanded on the RAM 58 with the file system 564, and makes a match / mismatch determination. The collation of the OS image may be the whole OS image or a part (for example, a part of the OS kernel, a part of the file system). The collation algorithm may be, for example, plaintext collation, but is not limited to this.

P45(照合結果の通知):比較処理部53は、通知部としての機能を有し、照合結果(例えば、一致又は不一致)をブートローダ22によって読み込まれたOS23へ通知する。不揮発性メモリ54に記憶した、正しいOSイメージと比較することができるので、デバイス側で動作しているOSが正しいか(例えば、改ざんされていないか)を確認することができる。 P45 (Notification of collation result): The comparison processing unit 53 has a function as a notification unit, and notifies the collation result (for example, match or mismatch) to the OS 23 read by the boot loader 22. Since it can be compared with the correct OS image stored in the non-volatile memory 54, it is possible to confirm whether the OS operating on the device side is correct (for example, whether it has been tampered with).

セキュアエレメント50は、停止部としての機能を有し、比較処理部53での照合結果に基づいてブートローダ22によって読み込まれたOSの動作を停止させる。例えば、OSイメージが一致しないと判定された場合、デバイス側のOSの動作を停止させることにより、正しくないOSの動作による悪影響を防止することができる。なお、当該停止部の機能をデバイス側で具備するようにしてもよい。この場合、例えば、CPU10が停止部の機能を実行することができる。すなわち、セキュアエレメント50は、比較処理部53での照合結果をデバイス側(CPU10)へ出力し、CPU10は、比較処理部53での照合結果に基づいてブートローダ22によって読み込まれたOSの動作を停止させる。 The secure element 50 has a function as a stop unit, and stops the operation of the OS read by the boot loader 22 based on the collation result in the comparison processing unit 53. For example, if it is determined that the OS images do not match, the operation of the OS on the device side can be stopped to prevent adverse effects due to incorrect OS operation. The device may be provided with the function of the stop unit. In this case, for example, the CPU 10 can execute the function of the stop unit. That is, the secure element 50 outputs the collation result in the comparison processing unit 53 to the device side (CPU 10), and the CPU 10 stops the operation of the OS read by the boot loader 22 based on the collation result in the comparison processing unit 53. Let me.

セキュアエレメント50は、復旧部としての機能を有し、比較処理部53での照合結果に基づいてブートローダ22によって読み込まれたOSのイメージを復旧させる。例えば、OSイメージが一致しないと判定された場合、デバイス側のOSを正しいOSに復旧させることにより、正しくないOSの動作による悪影響を防止することができる。なお、当該復旧部の機能をデバイス側で具備するようにしてもよい。この場合、例えば、CPU10が復旧部の機能を実行することができる。すなわち、セキュアエレメント50は、比較処理部53での照合結果をデバイス側(CPU10)へ出力し、CPU10は、比較処理部53での照合結果に基づいてブートローダ22によって読み込まれたOSのイメージを復旧させる。 The secure element 50 has a function as a recovery unit, and restores the image of the OS read by the boot loader 22 based on the collation result in the comparison processing unit 53. For example, when it is determined that the OS images do not match, the adverse effect of the incorrect OS operation can be prevented by restoring the OS on the device side to the correct OS. The device may be provided with the function of the recovery unit. In this case, for example, the CPU 10 can execute the function of the recovery unit. That is, the secure element 50 outputs the collation result in the comparison processing unit 53 to the device side (CPU 10), and the CPU 10 recovers the image of the OS read by the boot loader 22 based on the collation result in the comparison processing unit 53. Let me.

上述のOSイメージの照合処理は、例えば、1分毎、1時間毎、1日毎など適宜のタイミングで実行することができる。また、OSイメージの照合処理は、ハッシュ関数を用いて、ハッシュ値を比較して行うこともできる。 The above-mentioned OS image collation process can be executed at an appropriate timing such as every minute, every hour, every day, and the like. Further, the OS image collation process can also be performed by comparing hash values using a hash function.

図6は本実施の形態のセキュアエレメント50によるOSイメージ照合処理手順の一例を示すフローチャートである。セキュアエレメント50は、動作中のOSカーネル23の内容をデバイス側から取得し(S31)、現在のファイルシステム24の内容をデバイス側から取得する(S32)。セキュアエレメント50は、取得したOSカーネル23の内容及びファイルシステム24の内容をRAM58上に保持する(S33)。 FIG. 6 is a flowchart showing an example of the OS image collation processing procedure by the secure element 50 of the present embodiment. The secure element 50 acquires the contents of the operating OS kernel 23 from the device side (S31), and acquires the contents of the current file system 24 from the device side (S32). The secure element 50 holds the acquired contents of the OS kernel 23 and the contents of the file system 24 on the RAM 58 (S33).

セキュアエレメント50は、暗号化されたOSイメージ56を記憶部(不揮発性メモリ54)から読み出し(S34)、暗号化されたOSカーネル561及び暗号化されたファイルシステム562を、OSイメージ復号鍵57を用いて復号する(S35)。 The secure element 50 reads the encrypted OS image 56 from the storage unit (nonvolatile memory 54) (S34), reads the encrypted OS kernel 561 and the encrypted file system 562, and uses the OS image decryption key 57. Decrypt using (S35).

セキュアエレメント50は、復号したOSカーネル563及びファイルシステム564をRAM58上に展開する(S36)。セキュアエレメント50は、OSイメージ(OSカーネル及びファイルシステム)の比較処理(照合処理)を行い(S37)、照合結果をデバイス側(動作中のOS)へ通知し(S38)、処理を終了する。 The secure element 50 expands the decrypted OS kernel 563 and the file system 564 on the RAM 58 (S36). The secure element 50 performs a comparison process (collation process) of the OS image (OS kernel and file system) (S37), notifies the device side (operating OS) of the collation result (S38), and ends the process.

秘匿性を有するセキュアな不揮発性メモリに、図4及び図6に示すような処理手順を定めたコンピュータプログラムをロードし、CPU(プロセッサ)により当該コンピュータプログラムを実行させることにより、セキュアエレメント50内のダウンロード処理部51、復号処理部52及び比較処理部53を実現することができる。 A computer program having a processing procedure as shown in FIGS. 4 and 6 is loaded into a secure non-volatile memory having confidentiality, and the computer program is executed by a CPU (processor) in the secure element 50. The download processing unit 51, the decoding processing unit 52, and the comparison processing unit 53 can be realized.

上述のように、本実施の形態によれば、デバイス100が個別にブートローダを具備することにより、ハードウェア制御を含む個々の設定をデバイス100毎に行うことができる。また、OSの起動に関する処理は、セキュアエレメント50に対するOSイメージ要求及び当該OSイメージの起動のみとすることによって、OS起動手順を共通化することができるとともに、最小限化することができる。 As described above, according to the present embodiment, since the device 100 is individually provided with the boot loader, individual settings including hardware control can be performed for each device 100. Further, the processing related to the booting of the OS can be made common and minimized by making only the OS image request to the secure element 50 and the booting of the OS image.

また、本実施の形態によれば、セキュアエレメント50は、サーバ200から取得したOSイメージを、秘匿性を保ったまま安全に保持することができ、オフライン起動時のOSイメージの供給元として機能することができる。また、セキュアエレメント50は、OSイメージを安全に保持するので、デバイス側で動作中のOSイメージとの照合を行うことができ、また、デバイス側のOSイメージが破損し、あるいは改ざんされても、正しいOSイメージに復旧させることができる。 Further, according to the present embodiment, the secure element 50 can safely hold the OS image acquired from the server 200 while maintaining confidentiality, and functions as a supply source of the OS image at the time of offline startup. be able to. Further, since the secure element 50 safely holds the OS image, it can be collated with the operating OS image on the device side, and even if the OS image on the device side is damaged or tampered with. It can be restored to the correct OS image.

また、本実施の形態によれば、OSイメージの復号処理及びOSイメージ復号鍵57をセキュアエレメント50の内部で保持するので、両者の耐タンパ性を保ったまま、デバイス側に正しいOSイメージを提供することができる。 Further, according to the present embodiment, since the OS image decoding process and the OS image decoding key 57 are held inside the secure element 50, the correct OS image is provided to the device side while maintaining the tamper resistance of both. can do.

また、本実施の形態によれば、オフライン起動許可フラグ55をサーバ200から設定可能とすることによって、デバイス100の起動制御をネットワーク経由で行うことができる。また、オフライン起動時でも、セキュアエレメント50は、正しいOSイメージをデバイス側へ供給することができる。 Further, according to the present embodiment, by enabling the offline start permission flag 55 to be set from the server 200, the start control of the device 100 can be performed via the network. Further, the secure element 50 can supply the correct OS image to the device side even at the time of offline startup.

本実施の形態に係るセキュアエレメントは、OSを読み込むためのブートローダからOSの要求信号を取得する要求信号取得部と、該要求信号取得部で要求信号を取得した場合、暗号化されたOSイメージを復号する復号部と、前記ブートローダによって読み込むため、前記復号部で復号されたOSイメージを出力する出力部とを備える。 The secure element according to the present embodiment has a request signal acquisition unit that acquires an OS request signal from a boot loader for reading the OS, and an encrypted OS image when the request signal acquisition unit acquires the request signal. It includes a decoding unit for decoding and an output unit for outputting an OS image decoded by the decoding unit for reading by the boot loader.

本実施の形態に係るコンピュータプログラムは、コンピュータに、ブートローダによって読み込むためOSイメージを出力させるためのコンピュータプログラムであって、コンピュータに、前記ブートローダからOSの要求信号を取得する処理と、前記要求信号を取得した場合、暗号化されたOSイメージを復号する処理と、前記ブートローダによって読み込むため、復号されたOSイメージを出力する処理とを実行させる。 The computer program according to the present embodiment is a computer program for causing a computer to output an OS image to be read by a boot loader, and causes the computer to acquire an OS request signal from the boot loader and to transmit the request signal. When it is acquired, the process of decrypting the encrypted OS image and the process of outputting the decrypted OS image for reading by the boot loader are executed.

本実施の形態に係るデバイスは、本実施の形態に係るセキュアエレメントと、OSを読み込むためのブートローダとを備える。 The device according to this embodiment includes a secure element according to this embodiment and a boot loader for reading an OS.

本実施の形態に係るOS起動システムは、本実施の形態に係るデバイスと、前記ブートローダによって読み込まれるOSのイメージを暗号化して記憶するサーバとを備える。 The OS boot system according to the present embodiment includes a device according to the present embodiment and a server that encrypts and stores an OS image read by the boot loader.

本実施の形態に係るOS起動方法は、OSを読み込むためのブートローダからOSの要求信号を要求信号取得部が取得し、前記要求信号が取得された場合、暗号化されたOSイメージを復号部が復号し、前記ブートローダによって読み込むため、復号されたOSイメージを出力部が出力する。 In the OS boot method according to the present embodiment, the request signal acquisition unit acquires the OS request signal from the boot loader for reading the OS, and when the request signal is acquired, the decryption unit extracts the encrypted OS image. Since it is decoded and read by the boot loader, the output unit outputs the decoded OS image.

要求信号取得部は、OSを読み込むためのブートローダからOSの要求信号を取得する。ブートローダは、セキュアエレメントが組み込まれるデバイスに備えられている。便宜上、デバイスのうちセキュアエレメント以外の部分をデバイス側と称する。ブートローダがデバイス側にあることによって、セキュアエレメントは、多種多様なデバイスに対して共通の構造とすることができる。 The request signal acquisition unit acquires the request signal of the OS from the boot loader for reading the OS. A boot loader is provided on the device that incorporates the secure element. For convenience, the part of the device other than the secure element is referred to as the device side. By having the boot loader on the device side, the secure element can have a common structure for a wide variety of devices.

復号部は、要求信号取得部で要求信号を取得した場合、暗号化されたOSイメージを復号する。暗号化されたOSイメージの復号処理をセキュアエレメント内で行うことによって、復号処理及び復号鍵の秘匿性を担保することができる。 When the request signal acquisition unit acquires the request signal, the decoding unit decodes the encrypted OS image. By performing the decryption process of the encrypted OS image in the secure element, the decryption process and the confidentiality of the decryption key can be ensured.

出力部は、ブートローダによって読み込むため、復号部で復号されたOSイメージを出力する。すなわち、出力部は、復号されたOSイメージをデバイス側へ出力する。デバイス側とセキュアエレメントとの間は、秘匿性を有する内部バスによって接続することができるので、ブートするOSイメージの改ざん又は置き換えを防止することができる。 Since the output unit is read by the boot loader, the OS image decoded by the decoding unit is output. That is, the output unit outputs the decoded OS image to the device side. Since the device side and the secure element can be connected by an internal bus having confidentiality, it is possible to prevent falsification or replacement of the booted OS image.

上述の構成によって、多種多様なデバイスのOS起動時のセキュリティを確保することができる。 With the above configuration, it is possible to ensure the security at the time of OS booting of a wide variety of devices.

本実施の形態に係るセキュアエレメントは、起動態様を識別する識別子と、所定のサーバとの間で暗号化された秘匿通信路を確立する通信部とを備え、前記通信部は、前記識別子がオンライン起動である場合、前記サーバから暗号化されたOSイメージを取得し、前記復号部は、前記通信部で取得したOSイメージを復号する。 The secure element according to the present embodiment includes an identifier for identifying an activation mode and a communication unit for establishing an encrypted secret communication path with a predetermined server, and the communication unit has the identifier online. When it is started, the encrypted OS image is acquired from the server, and the decryption unit decodes the OS image acquired by the communication unit.

識別子は、起動態様を識別する。起動態様は、例えば、オンライン起動及びオフライン起動とすることができる。デバイス側のブートローダによって読み込まれるOSの入手先を決定する識別子をデバイス側でなくセキュアエレメントが有することにより、セキュアエレメントによってOSイメージの取得先を決めることができる。 The identifier identifies the activation mode. The activation mode can be, for example, online activation and offline activation. Since the secure element has an identifier that determines the acquisition destination of the OS read by the boot loader on the device side instead of the device side, the acquisition destination of the OS image can be determined by the secure element.

通信部は、所定のサーバとの間で暗号化された秘匿通信路を確立する。秘匿通信路においては、例えば、TLS(Transport Layer Security)などのプロトコルによって通信を行うことができる。 The communication unit establishes an encrypted secret communication path with a predetermined server. In the secret communication path, communication can be performed by a protocol such as TLS (Transport Layer Security), for example.

通信部は、識別子がオンライン起動である場合、サーバから暗号化されたOSイメージを取得する。これにより、OSイメージを、秘匿性を保ったまま安全に取得することができる。 When the identifier is online startup, the communication unit acquires the encrypted OS image from the server. As a result, the OS image can be safely acquired while maintaining confidentiality.

復号部は、通信部で取得したOSイメージを復号する。安全に取得したOSイメージの復号処理をセキュアエレメント内で行うことによって、OSイメージの改ざん又は置き換えを防止することができる。 The decoding unit decodes the OS image acquired by the communication unit. By performing the decryption process of the safely acquired OS image in the secure element, it is possible to prevent the OS image from being tampered with or replaced.

本実施の形態に係るセキュアエレメントは、暗号化されたOSイメージを記憶する記憶部を備え、前記復号部は、前記識別子がオフライン起動である場合、前記記憶部に記憶したOSイメージを復号する。 The secure element according to the present embodiment includes a storage unit for storing an encrypted OS image, and the decoding unit decodes the OS image stored in the storage unit when the identifier is offline activation.

記憶部は、暗号化されたOSイメージを記憶する。記憶部は、例えば、耐タンパ性を有する不揮発性メモリとすることができる。 The storage unit stores the encrypted OS image. The storage unit can be, for example, a non-volatile memory having tamper resistance.

復号部は、識別子がオフライン起動である場合、記憶部に記憶したOSイメージを復号する。安全性の高い記憶部に記憶したOSイメージの復号処理をセキュアエレメント内で行うことによって、OSイメージの改ざん又は置き換えを防止することができる。 When the identifier is offline activation, the decoding unit decodes the OS image stored in the storage unit. By performing the decryption process of the OS image stored in the highly secure storage unit in the secure element, it is possible to prevent falsification or replacement of the OS image.

本実施の形態に係るセキュアエレメントは、前記ブートローダによって読み込まれたOSのイメージを取得する取得部と、該取得部で取得したOSイメージと前記記憶部に記憶したOSイメージとを照合する照合部と、該照合部での照合結果を前記ブートローダによって読み込まれたOSへ通知する通知部とを備える。 The secure element according to the present embodiment includes an acquisition unit that acquires an image of the OS read by the boot loader, and a collation unit that collates the OS image acquired by the acquisition unit with the OS image stored in the storage unit. It is provided with a notification unit for notifying the OS read by the boot loader of the collation result in the collation unit.

取得部は、ブートローダによって読み込まれたOSのイメージを取得する。例えば、デバイス側で動作中のOSイメージを取得することができる。 The acquisition unit acquires the image of the OS read by the boot loader. For example, it is possible to acquire an operating OS image on the device side.

照合部は、取得部で取得したOSイメージと記憶部に記憶したOSイメージとを照合する。OSイメージの照合は、OSイメージの全体でもよく、一部(例えば、OSカーネルの一部、ファイルシステムの一部)でもよい。照合アルゴリズムは、例えば、平文による照合でもよいが、これに限定されない。 The collation unit collates the OS image acquired by the acquisition unit with the OS image stored in the storage unit. The collation of the OS image may be the whole OS image or a part (for example, a part of the OS kernel, a part of the file system). The collation algorithm may be, for example, plaintext collation, but is not limited to this.

通知部は、照合部での照合結果(例えば、一致又は不一致)をブートローダによって読み込まれたOSへ通知する。記憶部に記憶した、正しいOSイメージと比較することができるので、デバイス側で動作しているOSが正しいか(例えば、改ざんされていないか)を確認することができる。 The notification unit notifies the OS read by the boot loader of the collation result (for example, match or mismatch) in the collation unit. Since it can be compared with the correct OS image stored in the storage unit, it is possible to confirm whether the OS running on the device side is correct (for example, whether it has been tampered with).

本実施の形態に係るセキュアエレメントは、前記照合部での照合結果に基づいて前記ブートローダによって読み込まれたOSの動作を停止させる停止部を備える。 The secure element according to the present embodiment includes a stop unit for stopping the operation of the OS read by the boot loader based on the collation result in the collation unit.

本実施の形態に係るデバイスは、前記セキュアエレメントの前記照合部での照合結果に基づいて前記ブートローダによって読み込まれたOSの動作を停止させる停止部を備える。 The device according to the present embodiment includes a stop unit for stopping the operation of the OS read by the boot loader based on the collation result of the secure element in the collation unit.

停止部は、照合部での照合結果に基づいてブートローダによって読み込まれたOSの動作を停止させる。例えば、OSイメージが一致しないと判定された場合、デバイス側のOSの動作を停止させることにより、正しくないOSの動作による悪影響を防止することができる。 The stop unit stops the operation of the OS read by the boot loader based on the collation result in the collation unit. For example, if it is determined that the OS images do not match, the operation of the OS on the device side can be stopped to prevent adverse effects due to incorrect OS operation.

本実施の形態に係るセキュアエレメントは、前記照合部での照合結果に基づいて前記ブートローダによって読み込まれたOSのイメージを復旧させる復旧部を備える。 The secure element according to the present embodiment includes a recovery unit that recovers the image of the OS read by the boot loader based on the collation result in the collation unit.

本実施の形態に係るデバイスは、前記セキュアエレメントの前記照合部での照合結果に基づいて前記ブートローダによって読み込まれたOSのイメージを復旧させる復旧部を備える。 The device according to the present embodiment includes a recovery unit that recovers the image of the OS read by the boot loader based on the collation result of the secure element in the collation unit.

復旧部は、照合部での照合結果に基づいてブートローダによって読み込まれたOSのイメージを復旧させる。例えば、OSイメージが一致しないと判定された場合、デバイス側のOSを正しいOSに復旧させることにより、正しくないOSの動作による悪影響を防止することができる。 The recovery unit recovers the OS image read by the boot loader based on the collation result in the collation unit. For example, when it is determined that the OS images do not match, the adverse effect of the incorrect OS operation can be prevented by restoring the OS on the device side to the correct OS.

本実施の形態に係るセキュアエレメントは、前記秘匿通信路を介して前記識別子を、オンライン起動又はオフライン起動に設定する処理を受け付ける受付部を備える。 The secure element according to the present embodiment includes a reception unit that accepts a process of setting the identifier to online activation or offline activation via the secret communication path.

受付部は、秘匿通信路を介して識別子を、オンライン起動又はオフライン起動に設定する処理を受け付ける。例えば、サーバから識別子を設定可能にすることができる。これにより、OSイメージの取得先を状況に応じて変更することができる。 The reception unit accepts the process of setting the identifier to online activation or offline activation via the secret communication channel. For example, the identifier can be set from the server. This makes it possible to change the acquisition destination of the OS image according to the situation.

10 CPU
11 ネットワーク通信部
12 不揮発性記録部
13 RAM
14 電源スイッチ
21 BIOS
22 ブートローダ
23 OSカーネル
24 ファイルシステム
31、32 内部バス
50セキュアエレメント
51 ダウンロード処理部
52 復号処理部
53 比較処理部
54 不揮発性メモリ
55 オフライン起動許可フラグ
56 暗号化OSイメージ
561 OSカーネル
562 ファイルシステム
57 OSイメージ復号鍵
58 RAM
61 秘匿通信路
200 サーバ
201 暗号化OSイメージ
202 OSカーネル
203 ファイルシステム 10 CPU
11 Network communication unit 12 Non-volatile recording unit 13 RAM
14 Power switch 21 BIOS
22 Boot loader 23 OS kernel 24 File system 31, 32 Internal bus 50 Secure element 51 Download processing unit 52 Decoding processing unit 53 Comparison processing unit 54 Non-volatile memory 55 Offline boot permission flag 56 Encrypted OS image 561 OS kernel 562 File system 57 OS Image decryption key 58 RAM
61 Secret communication path 200 Server 201 Encrypted OS image 202 OS kernel 203 File system

Claims (12)

OSを読み込むためのブートローダからOSの要求信号を取得する要求信号取得部と、
暗号化されたOSイメージを記憶する記憶部と、
前記要求信号取得部で要求信号を取得した場合、前記記憶部に記憶した、暗号化されたOSイメージを復号する復号部と、
前記ブートローダによって読み込むため、前記復号部で復号されたOSイメージを出力する出力部と
起動態様を識別する識別子と、
所定のサーバとの間で暗号化された秘匿通信路を確立する通信部と
を備え、
前記通信部は、
前記識別子がオンライン起動である場合、前記サーバから暗号化されたOSイメージを取得し、
前記通信部が取得した、暗号化されたOSイメージを前記記憶部に記憶し、
前記復号部は、
前記記憶部に記憶した、暗号化されたOSイメージを復号するセキュアエレメント。 A request signal acquisition unit that acquires the OS request signal from the boot loader for reading the OS,
A storage unit that stores the encrypted OS image,
When the request signal is acquired by the request signal acquisition unit, a decoding unit that decodes the encrypted OS image stored in the storage unit and a decoding unit.
An output unit that outputs an OS image decoded by the decoding unit for reading by the boot loader, and an output unit .
An identifier that identifies the activation mode and
With a communication unit that establishes an encrypted secret communication path with a predetermined server
Equipped with
The communication unit
If the identifier is online boot, get the encrypted OS image from the server and
The encrypted OS image acquired by the communication unit is stored in the storage unit, and the encrypted OS image is stored in the storage unit.
The decoding unit
A secure element that decrypts the encrypted OS image stored in the storage unit . 暗号化されたOSイメージを記憶する記憶部を備え、
前記復号部は、
前記識別子がオフライン起動である場合、前記記憶部に記憶したOSイメージを復号する請求項に記載のセキュアエレメント。 Equipped with a storage unit that stores the encrypted OS image,
The decoding unit
The secure element according to claim 1 , wherein when the identifier is started offline, the OS image stored in the storage unit is decoded. 前記ブートローダによって読み込まれたOSのイメージを取得する取得部と、
該取得部で取得したOSイメージと前記記憶部に記憶したOSイメージとを照合する照合部と、
該照合部での照合結果を前記ブートローダによって読み込まれたOSへ通知する通知部と
を備える請求項に記載のセキュアエレメント。 The acquisition unit that acquires the image of the OS read by the boot loader,
A collation unit that collates the OS image acquired by the acquisition unit with the OS image stored in the storage unit, and
The secure element according to claim 2 , further comprising a notification unit that notifies the OS read by the boot loader of the collation result in the collation unit. 前記照合部での照合結果に基づいて前記ブートローダによって読み込まれたOSの動作を停止させる停止部を備える請求項に記載のセキュアエレメント。 The secure element according to claim 3 , further comprising a stop unit for stopping the operation of the OS read by the boot loader based on the collation result in the collation unit. 前記照合部での照合結果に基づいて前記ブートローダによって読み込まれたOSのイメージを復旧させる復旧部を備える請求項に記載のセキュアエレメント。 The secure element according to claim 3 , further comprising a recovery unit that recovers an image of an OS read by the boot loader based on a collation result in the collation unit. 前記秘匿通信路を介して前記識別子を、オンライン起動又はオフライン起動に設定する処理を受け付ける受付部を備える請求項から請求項のいずれか一項に記載のセキュアエレメント。 The secure element according to any one of claims 1 to 5 , further comprising a reception unit that accepts a process of setting the identifier to online activation or offline activation via the secret communication path. セキュアエレメントに、ブートローダによって読み込むためOSイメージを出力させるためのコンピュータプログラムであって、
コンピュータに、
前記ブートローダからOSの要求信号を取得する処理と、
暗号化されたOSイメージを前記セキュアエレメントが有する記憶部に記憶する処理と、
前記要求信号を取得した場合、前記記憶部に記憶した、暗号化されたOSイメージを復号する処理と、
前記ブートローダによって読み込むため、復号されたOSイメージを出力する処理と
所定のサーバとの間で暗号化された秘匿通信路を確立する処理と、
起動態様を識別する識別子がオンライン起動である場合、前記サーバから暗号化されたOSイメージを取得する処理と、
取得した、暗号化されたOSイメージを前記記憶部に記憶する処理と、
前記記憶部に記憶した、暗号化されたOSイメージを復号する処理と
を実行させるコンピュータプログラム。 A computer program for outputting an OS image to a secure element for reading by the boot loader.
On the computer
The process of acquiring the OS request signal from the boot loader and
The process of storing the encrypted OS image in the storage unit of the secure element , and
When the request signal is acquired, the process of decrypting the encrypted OS image stored in the storage unit and
The process of outputting the decrypted OS image for reading by the boot loader ,
The process of establishing an encrypted secret communication path with a predetermined server,
When the identifier that identifies the boot mode is online boot, the process of acquiring the encrypted OS image from the server and
The process of storing the acquired encrypted OS image in the storage unit,
The process of decrypting the encrypted OS image stored in the storage unit
A computer program that runs a computer program. 請求項1から請求項のいずれか一項に記載のセキュアエレメントと、OSを読み込むためのブートローダとを備えるデバイス。 A device comprising the secure element according to any one of claims 1 to 6 and a boot loader for reading an OS. 前記セキュアエレメントの、前記ブートローダによって読み込まれたOSのイメージと前記記憶部に記憶したOSイメージとを照合した照合結果に基づいて前記ブートローダによって読み込まれたOSの動作を停止させる停止部を備える請求項に記載のデバイス。 Claimed to include a stop unit for stopping the operation of the OS read by the boot loader based on a collation result of collating the image of the OS read by the boot loader with the OS image stored in the storage unit of the secure element. 8. The device according to 8. 前記セキュアエレメントの、前記ブートローダによって読み込まれたOSのイメージと前記記憶部に記憶したOSイメージとを照合した照合結果に基づいて前記ブートローダによって読み込まれたOSのイメージを復旧させる復旧部を備える請求項に記載のデバイス。 A claim comprising a recovery unit for recovering an OS image read by the boot loader based on a collation result of collating the OS image read by the boot loader with the OS image stored in the storage unit of the secure element. 8. The device according to 8. 請求項から請求項10のいずれか一項に記載のデバイスと、前記ブートローダによって読み込まれるOSのイメージを暗号化して記憶するサーバとを備えるOS起動システム。 An OS boot system comprising the device according to any one of claims 8 to 10 and a server that encrypts and stores an OS image read by the boot loader. OSを読み込むためのブートローダからOSの要求信号を要求信号取得部が取得し、
暗号化されたOSイメージをセキュアエレメントが有する記憶部に記憶し、
前記要求信号が取得された場合、前記記憶部に記憶した、暗号化されたOSイメージを復号部が復号し、
前記ブートローダによって読み込むため、復号されたOSイメージを出力部が出力し、
所定のサーバとの間で暗号化された秘匿通信路を通信部が確立し、
起動態様を識別する識別子がオンライン起動である場合、前記サーバから暗号化されたOSイメージを前記通信部が取得し、
取得した、暗号化されたOSイメージを前記記憶部に記憶し、
前記記憶部に記憶した、暗号化されたOSイメージを復号部が復号する
セキュアエレメントによるOS起動方法。 The request signal acquisition unit acquires the OS request signal from the boot loader for reading the OS.
The encrypted OS image is stored in the storage part of the secure element , and it is stored.
When the request signal is acquired, the decoding unit decodes the encrypted OS image stored in the storage unit, and the decryption unit decodes the encrypted OS image.
Since it is read by the boot loader, the output unit outputs the decrypted OS image.
The communication unit establishes an encrypted secret communication path with a predetermined server, and
When the identifier that identifies the boot mode is online boot, the communication unit acquires the encrypted OS image from the server.
The acquired encrypted OS image is stored in the storage unit, and the image is stored in the storage unit.
The decryption unit decodes the encrypted OS image stored in the storage unit .
OS boot method using secure element .
JP2017124308A 2017-06-26 2017-06-26 Secure element, computer program, device, OS boot system and OS boot method Active JP7019976B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017124308A JP7019976B2 (en) 2017-06-26 2017-06-26 Secure element, computer program, device, OS boot system and OS boot method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017124308A JP7019976B2 (en) 2017-06-26 2017-06-26 Secure element, computer program, device, OS boot system and OS boot method

Publications (2)

Publication Number Publication Date
JP2019008592A JP2019008592A (en) 2019-01-17
JP7019976B2 true JP7019976B2 (en) 2022-02-16

Family

ID=65028900

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017124308A Active JP7019976B2 (en) 2017-06-26 2017-06-26 Secure element, computer program, device, OS boot system and OS boot method

Country Status (1)

Country Link
JP (1) JP7019976B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7300866B2 (en) * 2019-03-28 2023-06-30 オムロン株式会社 control system
CN112817644A (en) * 2021-01-20 2021-05-18 浪潮电子信息产业股份有限公司 Virtual CD driver generation method, device and computer readable storage medium

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006221631A (en) 2005-02-07 2006-08-24 Sony Computer Entertainment Inc Method and device for achieving secure session between processor and external device
JP2007034875A (en) 2005-07-29 2007-02-08 Sony Computer Entertainment Inc Use management method for peripheral, electronic system and constituent device therefor
JP2009238155A (en) 2008-03-28 2009-10-15 Nippon Telegr & Teleph Corp <Ntt> Data storage system and data storage method
JP2015152996A (en) 2014-02-12 2015-08-24 セイコーエプソン株式会社 Printer and control method of the same
JP5940159B2 (en) 2011-09-30 2016-06-29 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation Method, computer program, device and apparatus for provisioning an operating system image to an untrusted user terminal

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006221631A (en) 2005-02-07 2006-08-24 Sony Computer Entertainment Inc Method and device for achieving secure session between processor and external device
JP2007034875A (en) 2005-07-29 2007-02-08 Sony Computer Entertainment Inc Use management method for peripheral, electronic system and constituent device therefor
JP2009238155A (en) 2008-03-28 2009-10-15 Nippon Telegr & Teleph Corp <Ntt> Data storage system and data storage method
JP5940159B2 (en) 2011-09-30 2016-06-29 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation Method, computer program, device and apparatus for provisioning an operating system image to an untrusted user terminal
JP2015152996A (en) 2014-02-12 2015-08-24 セイコーエプソン株式会社 Printer and control method of the same

Also Published As

Publication number Publication date
JP2019008592A (en) 2019-01-17

Similar Documents

Publication Publication Date Title
US9965268B2 (en) Method and apparatus for preventing software version rollback
US9904557B2 (en) Provisioning of operating systems to user terminals
US9281949B2 (en) Device using secure processing zone to establish trust for digital rights management
JP6675227B2 (en) Information processing apparatus, information processing system, information processing method, and program
CN110799941A (en) Data protection against theft and tampering
US7930537B2 (en) Architecture for encrypted application installation
US20160070914A1 (en) Secure execution of software modules on a computer
US9344406B2 (en) Information processing device, information processing method, and computer program product
KR101756978B1 (en) Method and System for Protecting application program in trusted execution environment
US10853086B2 (en) Information handling systems and related methods for establishing trust between boot firmware and applications based on user physical presence verification
US20100153667A1 (en) Method, computer program and electronic device
JP7019976B2 (en) Secure element, computer program, device, OS boot system and OS boot method
US20090217375A1 (en) Mobile Data Handling Device
JP2006514321A (en) Architecture for installing encrypted applications
JP2016146618A (en) Information processing device
US20020169976A1 (en) Enabling optional system features
JP6930884B2 (en) BIOS management device, BIOS management system, BIOS management method, and BIOS management program
JP2006139489A (en) Method for restoring environment of common use personal computer system and common use personal computer
JP7428049B2 (en) Devices, secure elements and device secure boot methods
CN110914825B (en) Method for managing instances of classes
KR101906484B1 (en) Method for application security and system for executing the method
RU2777704C1 (en) Method for secure booting of the operating system of computers
KR20190030406A (en) System for controlling file backup
CN116089967A (en) Data rollback prevention method and electronic equipment
JP2020095546A (en) Information processing device, information processing method, and information processing program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200421

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210203

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210224

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210421

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20210831

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211130

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20211130

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20211207

C21 Notice of transfer of a case for reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C21

Effective date: 20211214

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220104

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220117

R150 Certificate of patent or registration of utility model

Ref document number: 7019976

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150