[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2017004293A - セキュリティ制御装置、電子機器、セキュリティ制御方法及びセキュリティ制御プログラム - Google Patents

セキュリティ制御装置、電子機器、セキュリティ制御方法及びセキュリティ制御プログラム Download PDF

Info

Publication number
JP2017004293A
JP2017004293A JP2015118175A JP2015118175A JP2017004293A JP 2017004293 A JP2017004293 A JP 2017004293A JP 2015118175 A JP2015118175 A JP 2015118175A JP 2015118175 A JP2015118175 A JP 2015118175A JP 2017004293 A JP2017004293 A JP 2017004293A
Authority
JP
Japan
Prior art keywords
information
access
security
time lapse
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015118175A
Other languages
English (en)
Inventor
直也 守田
Naoya Morita
直也 守田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2015118175A priority Critical patent/JP2017004293A/ja
Publication of JP2017004293A publication Critical patent/JP2017004293A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】ライフサイクル等の時間経過情報毎に管理されている機密情報へ不正にアクセスできないようにすることができるセキュリティ制御装置を提供する。【解決手段】データの暗号化及び復号化の処理を行うセキュリティ処理部4を有するセキュリティモジュール7において、機密情報が記憶されるOTPメモリ6と、ライフサイクル情報毎に設定されたOTPメモリ6へのアクセス権に基づいて、セキュリティ処理部4又は外部からのOTPメモリ6へのアクセス制御を行うOTPアクセスコントローラ5と、を有することを特徴とする。【選択図】図3

Description

本発明は、セキュリティ制御装置、電子機器、セキュリティ制御方法及びセキュリティ制御プログラムに関する。
近年、インターネット等から様々なアプリケーションをダウンロードし、そのアプリケーションを実行できるような組み込み機器が知られている。この種の機器には、電子マネー、電子チケット、デジタルコンテンツといった機密性を高めなければいけない情報等が含まれることがあり、内外部からの攻撃に対して守る必要がある。
このような問題に対して、例えば、特許文献1には、MPUと不揮発性メモリとの間でやり取りされるデータの暗号化・復号処理を行うモジュールをMPUと不揮発性メモリとの間に配置する構成が開示されている。
しかしながら、特許文献1に記載された情報処理装置は、その装置または当該装置を有する産業用機器がライフサイクルといった時間経過による管理がなされていなかった。ライフサイクルとは、一般的に生産、物流、販売、サービス、回収又は廃棄等の機器が生産されてから廃棄又はリサイクルされるまでの一連のサイクルをいう。
特許文献1の場合、サービス運用中に悪意あるユーザが、当該組み込み機器のデバッグ機能を利用するなどの手段でMPUバスやローカルバス等を伝送されるデータをモニタすることで、機密情報を不正に取得することが可能となるという問題があった。
また、特許文献1の場合、ライフサイクルに基づいた機密情報の管理がなされていないので、ライフサイクルの特定のステージのみで使用される機密情報であっても、いつでもアクセスすることが可能となっていた。
本発明はかかる問題を解決することを目的としている。即ち、本発明は、例えば、ライフサイクル等の時間経過情報に基づいて管理されている機密情報へ不正にアクセスできないようにすることができるセキュリティ制御装置を提供することを目的としている。
上記に記載された課題を解決するために、本発明は、機密情報に基づいてデータの暗号化及び復号の処理を行う暗号処理部を有するセキュリティ制御装置において、前記機密情報が記憶されるセキュリティ情報記憶部と、前記時間経過情報を保持する時間経過情報保持部と、時間経過に伴って変更される時間経過情報の時間経過単位でアクセス要求元毎に設定された前記セキュリティ情報記憶部へのアクセス権に基づいて、前記アクセス要求元からの前記セキュリティ情報記憶部へのアクセス制御を行うアクセス制御部と、を有することを特徴とする。
本発明によれば、時間経過情報の時間経過単位毎に設定されたアクセス権に基づいてセキュリティ情報記憶部へのアクセス制御を行うことができるので、時間経過情報に基づいて管理されている機密情報へ不正にアクセスできないようにすることができる。
ライフサイクルの一例を示す図である。 車両に搭載される制御モジュールの例を示す図である。 本発明の第1の実施形態にかかるセキュリティモジュールを有する制御モジュールのブロック構成図である。 図3に示されたOTPメモリ内の記憶領域の一例を示した説明図である。 図3に示された制御モジュールの暗号化動作の制御フロー図である。 図3に示されたOTPアクセスコントローラに設定されるアクセス権のテーブルの例である。 図3に示された制御モジュールの機密情報書き込み動作の制御フロー図である。 本発明の第2の実施形態にかかるセキュリティモジュールのOTPメモリへの書き込みが正しく行われているかを確認する動作の制御フロー図である。 本発明の第3の実施形態にかかるセキュリティモジュールのOTPアクセスコントローラのライフサイクルステージ変更監視テーブルの例である。 本発明の第4の実施形態にかかるセキュリティ制御プログラムが実行されるセキュリティモジュールの構成図である。
(第1の実施形態)
本発明の一実施形態にかかるセキュリティ制御装置を図1乃至図7を参照して説明する。まず、時間経過情報としてのライフサイクル情報について説明する。図1は、電子機器として組み込み機器のライフサイクルの一例を示す。
組み込み機器等の電子機器のライフサイクル状態(ステージ)には、ユーザが単にその組み込み機器を利用する過程だけでなく、工場で組み込み機器を製造する生産ステージ101、販売するためにトラックなどの輸送手段で運搬する物流ステージ102がある。そして、組み込み機器のライフサイクル状態には、販売店で組み込み機器を販売する販売ステージ103、ユーザが利用している最中に組み込み機器が故障した場合などに修理を行うなどのサービスを提供するサービスステージ104がある。さらに、組み込み機器のライフサイクル状態には、環境保護の観点から組み込み機器を回収し、リサイクルする回収リサイクルステージ105がある。組み込み機器によっては、回収リサイクル過程とともに、またはその代わりに組み込み機器を廃棄する廃棄ステージ106がある。この各ステージは、時間経過情報の時間経過単位となる。
図1に示されるライフサイクルは、国や地域などの仕向けによって異なることがあるが、本実施形態では、一例としてこれらの各ステージを通じて組み込み機器を運用することを総称してライフサイクルという。本実施形態では、例えば、環境保護の観点から確実に回収を行いリサイクルすることや、廃棄後に不正な利用をさせないために、正規のルートで(正規のステージを通じて)ライフサイクルが運用されるように制御する。
次に、組み込み機器の一例として車両に搭載される機器(制御モジュール)を図2に示す。図2の場合は、駆動制御モジュール200、エンジン制御モジュール300、ナビゲーションモジュール400、および車載カメラモジュール500が示されている。そして、これらの制御モジュールは、バス50によって接続されてネットワークを構成する。バス50に使用される規格としては、CAN(Controller Area Network)、LIN(Local Interconnect Network)、イーサネット(登録商標)(Ethernet(登録商標))、FlexRay(登録商標)等が挙げられる。
なお、本実施形態では、電子機器として車両に搭載される制御モジュールを一例に説明するが、車両に搭載される制御モジュールに限らないことは言うまでもない。例えば、産業用機器の制御モジュールや、家電機器或いは情報通信機器等に含まれるモジュール、基板、半導体集積回路等であってもよい。勿論組み込み機器に限らず、機密情報を扱う電子機器であればよい。
図3に制御モジュールの構成例を示す。以下の説明では、制御モジュールに符号10を付して説明する。制御モジュール10は、図1に示したように、CPU(Central Processing Unit)1と、ROM(Read Only Memory)2と、RAM(Random Access Memory)3と、セキュリティモジュール7と、バス8と、を有している。また、制御モジュール10は、ナビゲーションモジュール400であればGPSモジュール、車載カメラモジュール500であればカメラモジュールといった他の機能モジュールがバス8に接続されている。
CPU1は、制御モジュール10の全体制御を司り、ROM2に記憶されているプログラムに基づいて動作する。また、CPU1は、RAM3に記憶されている所定のデータをセキュリティモジュール7に暗号化させる要求等も行う。また、CPU1は、セキュリティモジュール7内に保持されているライフサイクル情報を更新(変更)する。
ROM2は、CPU1で動作するプログラムやデータ等が記憶されている。RAM3は、CPU1で処理されるデータ等が一時的に記憶される。また、RAM3には、セキュリティモジュール7で暗号化されるデータも一時的に記憶される。
本発明の第1の実施形態にかかるセキュリティ制御装置としてのセキュリティモジュール7は、図3に示したように、セキュリティ処理部4と、OTPアクセスコントローラ5と、OTP(One Time Programmable)メモリ6と、を有している。
暗号処理部としてのセキュリティ処理部4は、CPU1からの要求に基づいてRAM3に記憶されているデータをOTPメモリ6に記憶されている機密情報としての秘密鍵情報に基づいて暗号化及び復号の処理を行う。なお、暗号化のアルゴリズムはDES(Data Encryption Standard)等周知のものを用いればよく特に限定されない。
アクセス制御部としてのOTPアクセスコントローラ5は、セキュリティ処理部4やCPU1からの要求に対応して、後述するOTPメモリ6へのアクセス権に基づいてOTPメモリ6に対するリードやライト等のアクセス制御を行う。
セキュリティ情報記憶部及び時間経過情報保持部としてのOTPメモリ6は、セキュリティ処理部4で使用される秘密鍵情報やライフサイクル情報が記憶されるメモリである。OTPメモリ6は、各ビットの情報を0から1へ(或いは1から0へ)一度のみ書き換えることができる特性を持った周知のメモリである。OTPメモリ6は、前記した特性を持つため、秘密鍵情報のような一度だけ書き込むことが許されるような機密情報が記憶されるメモリに適している。また、ライフサイクル情報のような時間が経過するごとにステージが一方向に変化する(時間経過方向のみに更新することが可能な)情報を管理するために用いるメモリにも適している。なお、本実施形態では、OTPメモリ6がセキュリティ情報記憶部及び時間経過情報保持部の機能を兼ねる構成としているが、2つのメモリに分けてもよい。
図4にOTPメモリ6内の記憶領域の一例を示す。OTPメモリ6の記憶領域は、図4に示したように、機密情報が複数記憶可能なデータエリア61と、ライフサイクル情報62と、から構成されている。
データエリア61には、本実施形態では前記した秘密鍵情報が記憶されている。また、データエリア61は、制御モジュール10の機能や用途に応じて複数の秘密鍵情報が記憶できるように複数設けられている。勿論、1つであってもよい。
ライフサイクル情報62には、データエリア毎に現在のライフサイクルが設定されている。例えば、データエリア#0に対応するライフサイクル情報(データエリア#0のライフサイクル情報)は、図1に記載した生産ステージ101〜廃棄ステージ106の6つのステージに分けて設定される。ここで、OTPメモリ6の特性上同一のビットに対して2回以上書き換えることがはきないので、例えば、LSBからMSBに向かってライフサイクルのステージ順(時間経過順)に1ビットずつ割り当てる。この場合、生産ステージ101の場合、000001、物流ステージ102の場合000011、販売ステージ103の場合000111などと“1”を書き込むビットが順に増加するように変更する。
ところで、データエリア61に記憶する秘密鍵情報等の機密情報は、図1に示したステージを更に細分化(階層化)して管理する場合がある。例えば、サービスステージ104のステージを運用と保守に細分化するなどである。このような管理ができるようにするために、ライフサイクル情報62は、データエリア毎にビット数を可変に設定できるようにしている。即ち、ライフサイクル情報を機密情報毎に細分化して保持している。
図4の例では、データエリア#1のライフサイクル情報は、サービスステージ104を運用と保守に分けている。このようにすることでデータエリア#1に対して運用のみにアクセス可能とするようなアクセス権を設定することができる。
そして、データエリア#0のライフサイクル情報、データエリア#1のライフサイクル情報、データエリア#2のライフサイクル情報は、それぞれライフサイクルのステージ移行(変更)に伴って、同じように内容が変更される。但し、ステージを細分化した場合は、その細分化したステージについては他のデータエリアのライフサイクル情報と異なる場合がある。
例えば、図4において、販売からサービスにステージが移行した場合、データエリア#0のライフサイクル情報は、サービスが“1”になるが、データエリア#1のライフサイクル情報は、運用が“1”になる。その後保守を行った場合は、データエリア#0のライフサイクル情報は変化しないが、データエリア#1のライフサイクル情報は、保守が“1”になる。そして、サービス(保守)から回収リサイクルにステージが移行した場合、データエリア#0、#1のライフサイクル情報ともに回収リサイクルが“1”になる。
なお、図4の例の場合、保守を行わないで回収リサイクルに移行することが許されている場合は、運用から回収リサイクルに移行する際に、保守も“1”に変化させるようにしてもよい。
バス8は、CPU1、ROM2、RAM3、セキュリティモジュール7等との間で、データの転送をする。バス8は、周知のように各機能ブロック等がデータを交換するために用いる共通の経路であればよく、例えばAXI(Advanced eXtensible Interface)バスなどが挙げられる。
次に、上述した構成の制御モジュール10の暗号化動作を図5の制御フロー図を参照して説明する。まず、CPU1がセキュリティ処理部4(セキュリティモジュール7)に対して暗号化処理を要求する(ステップS101)。セキュリティ処理部4では、OTPアクセスコントローラ5に対して機密情報(秘密鍵情報)を要求する(ステップS102)。
OTPアクセスコントローラ5は、対象のデータ領域の書き込みが可能かどうかを判断するためOTPメモリ6のライフサイクル情報62から現在のライフサイクルのステージを読出し(ステップS103、S104)、読み出したライフサイクルのステージに基づいてアクセス権を確認する(ステップS105)。OTPアクセスコントローラ5に設定されるアクセス権の例を図6に示す。
図6は、ライフサイクルのステージ毎にそれぞれ設定されている。そして、各ステージにおいて、アクセス者(アクセス要求元)としてCPU1とセキュリティ処理部4にライト可やリード可やアクセス不可等のアクセス権が設定されている。即ち、ライフサイクルステージ(時間経過情報毎)にアクセス要求元毎にアクセス権が設定されている。ステップS105では、OTPアクセスコントローラ5は、自身に設定されている図6に示したようなアクセス権テーブルに基づいてアクセス権を確認する。図5の制御フロー図の場合、セキュリティ処理部4からの秘密鍵情報の要求であるので、いずれのステージであってもアクセス可能となる。従って、OTPアクセスコントローラ5は、秘密鍵情報(対象の機密情報)を読み出してセキュリティ処理部4に出力する(ステップS106、S107、S108)。
なお、図6では、CPU1とセキュリティ処理部4しか示していないが、他のアクセス者(機能モジュール等)があってもよい。
即ち、ステップS103〜S108が、時間経過に伴って変更されるライフサイクルのステージ毎に設定された、機密情報が記憶されるOTPメモリ6へのアクセス権に基づいて、セキュリティ処理部4からのOTPメモリ6へのアクセス制御を行うアクセス制御工程となる。
次に、セキュリティ処理部4では、暗号化する情報をRAM3から読み出す(ステップS109、S110)。なお、このステップS109、S110はステップS103〜S108の間に実行してもよい。
続いて、セキュリティ処理部4は、OTPアクセスコントローラ5から出力された秘密鍵情報を用いて暗号化処理を行い(ステップS111)、暗号化されたデータをRAM3に書き込む(ステップS112、S113)。ここでステップS113は、データが書き込めたことを示すRAM3からの応答である。また、暗号化処理が完了すると同時にセキュリティ処理部4は秘密鍵情報を破棄する。そして、セキュリティ処理部4は、暗号化処理が完了したことをCPU1に通知する(ステップS114)。
次に、制御モジュール10の機密情報(秘密鍵情報)書き込み動作を図7の制御フロー図を参照して説明する。まず、CPU1がOTPアクセスコントローラ5に対して秘密鍵情報のアクセス要求を行う(ステップS201)。このときOTPメモリ6に書き込む秘密鍵情報も同時に出力する。OTPアクセスコントローラ5は、対象のデータ領域の書き込みが可能かどうかを判断するためOTPメモリ6からライフサイクル情報を読出し(ステップS202、S203)、アクセス権を確認する(ステップS204)。ステップS202〜S204は、図5で説明したステップS103〜S105と同様である。アクセス権があることを確認できた場合は、OTPアクセスコントローラ5は、秘密鍵情報をOTPメモリ6に書き込む(ステップS205、S206)。
なお、図7において、OTPアクセスコントローラ5は、書き込みが成功したか失敗したかの応答は返さない。即ち、外部からの要求によりOTPメモリ6(セキュリティ情報記憶部)への書き込みを行った際における応答通知を行わない。このようにすることで、悪意のある者がCPU1を利用してOTPメモリ6に不正に書き込むことを回避する。例えば、悪意のある者がOTPメモリ6への書き込みを何度も行っても、それがうまくいったことを知ることができない。そのため、悪意のある者自身が不正の書き込みの確認をすることが煩雑かつ困難となり、不正に利用されることを低減することができる。
本実施形態によれば、ライフサイクル情報のステージ毎に設定されたOTPメモリ6へのアクセス権に基づいて、セキュリティ処理部4又は外部からのOTPメモリ6へのアクセス制御を行うOTPアクセスコントローラ5を有している。このようにすることにより、機密情報が記憶されるOTPメモリ6にはOTPアクセスコントローラ5を介さないとアクセスできないので、機密情報へ不正にアクセスすることができないようにすることができる。
また、ライフサイクル情報のステージ毎に機密情報へのアクセス権が設定されているので、ライフサイクルのステージに基づいて機密情報が適切に管理することができる。
また、セキュリティモジュール7がOTPメモリ6とセキュリティ処理部4を有しているので、OTPメモリ6に記憶されている機密情報がセキュリティモジュール7外に出力されることがなく、バス8から機密情報を不正に取得することを防止できる。
また、OTPメモリ6が、一度“1”に書き換えると“0”に戻すことはできないので、ライフサイクルのステージを時系列的に戻すことが不可能となり、ライフサイクル情報を不正に書き換えて戻すことを防止することができる。
また、OTPメモリ6は、データエリア61に複数の機密情報が記憶できるようにし、ライフサイクル情報62には、複数の機密情報にそれぞれ対応して複数のライフサイクル情報が保持されている。このようにすることにより、機能、用途別に機密情報を記憶し、運用することができる。
また、ライフサイクル情報62は、ライフサイクル情報を機密情報毎に細分化して保持するので、機密情報毎にきめ細かいアクセス権を設定することができる。
なお、図4に示した例では、複数の機密情報を使い分けるために、データエリア毎にライフサイクル情報を細分化して設定することができるようにしていたがそれに限らない。例えば、リサイクルする場合に、ライフサイクルの1周目はデータエリア#0とデータエリア#0のライフサイクル情報を使用し、2周目はデータエリア#1とデータエリア#1のライフサイクル情報を使用する。このようにライフサイクルの周回数に合わせて使い分けるようにしてもよい。
OTPメモリ6は、その特性上、一度“1”に書き換えると“0”に戻すことはできないため、上記のように使用することで、リサイクルに対応しながらライフサイクルのステージを戻すといった不正なアクセスを防止することができる。
また、上述したリサイクルに対応した使用方法と図4に示した使用方法を組み合わせてもよい。例えば、機密情報を記憶する複数のデータエリアと対応する複数のライフサイクル情報とを1セットとして、そのセットを複数設けることで、1セット目は1周目のライフサイクル、2セット目は2周目のライフサイクルといった使用方法が可能となる。
(第2実施形態)
次に、本発明の第2の実施形態にかかるセキュリティ処理部装置を図8を参照して説明する。なお、前述した第1の実施形態と同一部分には、同一符号を付して説明を省略する。
第1の実施形態では、OTPメモリ6への書き込みが成功したか失敗したかの応答は返さないようにしていた。しかし、この機能のみの場合、書き込みが失敗した場合に、CPU1等が把握できないので、誤った情報がOTPメモリ6に書き込まれたまま出荷等されてしまう可能性がある。そこで、本実施形態では、OTPメモリ6への書き込み要求自体に対する直接的な応答は行わないものの、その後CPU1等からの確認要求等をセキュリティモジュール7に対して行うことで、書き込みが成功したか失敗したかのを把握できるようにしたものである。
OTPメモリ6への書き込みが正しく行われているかを確認する動作を図8の制御フロー図を参照して説明する。まず、CPU1がセキュリティ処理部4(セキュリティモジュール7)に対して書き込みチェック(確認)を要求する(ステップS301)。この書き込みチェック要求には、書き込んだデータを含めて送信する。
セキュリティ処理部4では、CPU1からのアクセスが許可された者からのアクセスかを確認する(ステップS302)。このステップS302は、CPU1以外の機能モジュール等や外部機器等からも書き込みを許可していた場合に有効であり、そのアクセスが正当な者かを確認する。正当でない者からのアクセスの場合は、以降の処理を行わない。
次に、セキュリティ処理部4は、OTPメモリ6の書き込みデータを要求する。つまり、OTPメモリ6に書き込まれたデータを読み出すためOTPアクセスコントローラ5に対してデータの読み出し要求を行う(ステップS303)。
OTPアクセスコントローラ5は、OTPメモリ6のライフサイクル情報62から現在のライフサイクルのステージを読出し(ステップS304、S305)、読み出したステージに基づいてアクセス権を確認する(ステップS306)。アクセス権の確認は、図5のステップS105と同様である。OTPアクセスコントローラ5は、書き込まれたデータ(対象の機密情報)を読み出してセキュリティ処理部4に出力する(ステップS307、S308、S309)。
次に、セキュリティ処理部4は、ステップS301で受信した書き込みチェック要求に含まれる書き込みデータと、ステップS309でOTPアクセスコントローラ5(OTPメモリ6)から取得した書き込みデータとを比較する(ステップS310)。そして、比較結果をCPU1等の書き込みチェック要求を出力した者に通知する(ステップS311)。CPU1等は、比較結果が一致しない場合は、例えば、以降の処理に反映させたり、書き込みエラー等の通知を上位のホストコンピュータや外部機器等に出力する。
本実施形態によれば、OTPメモリ6への書き込みの確認を、書き込み要求後に別途行うようにしているので、書き込み要求に対する直接の応答がない場合でも、書き込みが成功したか否かを確認することができる。
(第3実施形態)
次に、本発明の第3の実施形態にかかるセキュリティ処理部装置を図9を参照して説明する。なお、前述した第1、第2の実施形態と同一部分には、同一符号を付して説明を省略する。
本実施形態は、第1の実施形態と基本的な機能構成は同じである。本実施形態では、OTPアクセスコントローラ5やセキュリティ処理部4が有する他の機能について説明する。
第1の実施形態で説明したように、セキュリティモジュール7では、OTPメモリ6を用いることで、ライフサイクルのステージを前に戻せないようにしているが、それに加えて、不正にライフサイクルのステージを進めないようにもなっている。
OTPアクセスコントローラ5は、CPU1等の外部からライフサイクルのステージを変更するための要求を受信してOTPメモリ6のライフサイクル情報62を変更することができるが、その際に、当該ステージにおいて許可された者からの要求か否かを監視している。
監視に際しては、図9に示したようなテーブルに基づいて監視し、不可のアクセス者からの要求については、ライフサイクルのステージの変更をしない。図8において、外部I/Fとは、図1のバス8に接続される外部機器とのインタフェース(回路、コネクタ等)である。つまり、制御モジュール10は、外部I/Fを介して外部機器等からステージの変更を可能としている。但し、外部機器等からステージの変更を無制限に可能とすると、不正にライフサイクルのステージが進められてしまう可能性が高くなるので、変更可能とするステージを制限している。図9の場合、外部I/Fは、生産ステージ101においては、アクセス不可であるため、次の物流ステージ102への変更はできない。
図8の例では、CPU1と外部I/Fしか示していないが、他のアクセス者があってもよい(例えばバス8に接続された機能モジュール等)。また、CPU1は全てのステージの変更が可能となっていたが、制限を掛けてもよい。その場合、少なくとも他の1つのアクセス者がステージの変更ができるようにしなければならないことは言うまでもない。
このようにすることにより、外部からライフサイクルのステージ変更のためのアクセス監視を行う時間経過情報変更管理部としてOTPアクセスコントローラ5を機能させているので、不正にライフサイクルのステージ変更をすることを防止できる。
また、OTPアクセスコントローラ5は、自身を介したOTPメモリ6へのアクセス記録(ログ)を蓄積するメモリ等を有している。このログには、上述した不正なアクセス要求に限らず、第1の実施形態で説明した正規のアクセスの場合も蓄積する。蓄積する内容例としては、アクセス者、アクセス時間(年月日、時刻)等が挙げられる。
このようにすることにより、OTPアクセスコントローラ5(OTPメモリ6)へのアクセス記録を蓄積するアクセス記録蓄積部としてOTPアクセスコントローラ5を機能させているので、不正アクセスの解析ができる。また、セキュリティモジュール7自体の不具合の解析等にもログを活用することができる。
次に、セキュリティ処理部4の他の機能について説明する。上述したライフサイクルのステージの変更について、OTPアクセスコントローラ5に対して直接CPU1等から要求すると、その要求の内容がバス8をモニタすることで悪意のあるものに不正に取得され、それに基づいて、不正なアクセスをさせる可能性がある。そのため、例えば、OTPアクセスコントローラ5に対して直接要求できるのは、例えば生産ステージ101のみとし、以降のステージの変更はセキュリティ処理部4を介するようにすることで、不正なアクセスを低減させるようにする。
この場合、正規の秘密鍵によって暗号化した要求をセキュリティ処理部4に出力し、セキュリティ処理部4が暗号を復号してOTPアクセスコントローラ5に出力してOTPメモリ6内のライフサイクル情報62を変更する。
上述したセキュリティ処理部4を利用したライフサイクルのステージ変更の場合であっても、悪意のある者が不正な秘密鍵(正規でない秘密鍵)により暗号化をした要求を送信してステージ変更を試みる場合がある。そこで、セキュリティ処理部4は、不正な秘密鍵によるアクセスも監視する。そして、不正な秘密鍵によるアクセスがあった場合は、OTPアクセスコントローラ5に復号結果を出力しない。
なお、セキュリティ処理部4は、上述したライフサイクルのステージ変更要求に限らず、OTPメモリ6への不正な秘密鍵によるアクセス(データの書き込み等)に対しても同様の処理を行う。また、このような不正な秘密鍵によるアクセスをOTPアクセスコントローラ5に通知して、ログとして蓄積するようにしてもよい。
このようにすることにより、セキュリティ処理部4を、外部から入力されたデータが正規のデータをあるかの監視を行うアクセス監視部として機能させているので、不正な秘密鍵によるアクセスを防止することができる。
(第4実施形態)
次に、本発明の第4の実施形態にかかるセキュリティ制御プログラムを図10を参照して説明する。なお、前述した第1〜第3の実施形態と同一部分には、同一符号を付して説明を省略する。
本実施形態は、第1の実施形態で説明したセキュリティ処理部4と、OTPアクセスコントローラ5と、をCPU1A(コンピュータ)で動作するコンピュータプログラムとして機能させている。また、これらをコンピュータプログラムとして動作させるに当たり、図10に示したように、コンピュータプログラムが格納されるROM2とOTPメモリ6とをバス8とは別途設けたローカルバス9により接続している。
ローカルバス9は、ROM2とOTPメモリ6以外は接続されないバスであり、バス8から直接アクセスができないようになっている。
なお、図10に示したバス8は、RAM3しか記載されていないが、第1の実施形態と同様に他の機能モジュール等や外部I/F等が接続されている。
図10に示した構成においては、CPU1がローカルバス9に接続されたROM2からセキュリティ制御プログラムを読み出して実行する。このようにすることにより、図1に示したセキュリティ処理部4とOTPアクセスコントローラ5の第1〜第3の実施形態に記載したような機能をソフト的に奏することができる。従って、図5、図7の制御フロー図のうち、CPU1、セキュリティ処理部4、OTPアクセスコントローラ5に関する部分はCPU1A内の動作となる。
OTPメモリ6は、上述したようにローカルバス9に接続し、CPU1Aがローカルバス9を介して読み書きを行う。
本実施形態によれば、CPU1Aがローカルバス9に接続されたROMに記憶されたセキュリティ制御プログラムを実行することで、セキュリティ処理部4、OTPアクセスコントローラ5として機能することができる。そのため、機密情報が記憶されるOTPメモリ6にはCPU1を介さないとアクセスできないので、機密情報へ不正にアクセスすることができないようにすることができる。
なお、上述した実施形態では、時間経過情報としてライフサイクル情報で説明したが、それに限らない。例えば、年単位、月単位、日単位或いは時単位といった単純な時間情報であってもよい。また、時間経過単位も一定期間であってもよいし、ライフサイクルのようにその都度外部からのトリガによって期間が定まる不定期間であってもよい。
なお、本発明は上記実施形態に限定されるものではない。即ち、当業者は、従来公知の知見に従い、本発明の骨子を逸脱しない範囲で種々変形して実施することができる。かかる変形によってもなお本発明のセキュリティ処理装置の構成を具備する限り、勿論、本発明の範疇に含まれるものである。
1、1A CPU
2 ROM
3 RAM
4、4A セキュリティ処理部(暗号処理部)
5、5A OTPアクセスコントローラ(アクセス制御部)
6 OTPメモリ(セキュリティ情報記憶部)
7 セキュリティモジュール(セキュリティ制御装置、時間経過情報保持部)
10 制御モジュール(電子機器)
特開2006−350494号公報

Claims (10)

  1. 機密情報に基づいてデータの暗号化及び復号の処理を行う暗号処理部を有するセキュリティ制御装置において、
    前記機密情報が記憶されるセキュリティ情報記憶部と、
    前記時間経過情報を保持する時間経過情報保持部と、
    時間経過に伴って変更される時間経過情報の時間経過単位でアクセス要求元毎に設定された前記セキュリティ情報記憶部へのアクセス権に基づいて、前記アクセス要求元からの前記セキュリティ情報記憶部へのアクセス制御を行うアクセス制御部と、
    を有することを特徴とするセキュリティ制御装置。
  2. 前記セキュリティ情報記憶部には、前記機密情報が複数記憶され、
    前記時間経過情報保持部には、前記時間経過情報を時間経過方向のみに更新することができる記憶素子で構成され、複数の前記機密情報にそれぞれ対応して複数の前記時間経過情報が保持されている、
    ことを特徴とする請求項1に記載のセキュリティ制御装置。
  3. 前記時間経過情報保持部は、前記時間経過情報の時間経過単位を複数の前記機密情報毎に細分化して保持することを特徴とする請求項2に記載のセキュリティ制御装置。
  4. 前記アクセス制御部は、外部からの要求により前記セキュリティ情報記憶部への書き込みを行った際における応答通知を行わないことを特徴とする請求項1乃至3のうちいずれか一項に記載のセキュリティ制御装置。
  5. 外部から前記時間経過情報の変更のためのアクセス監視を行う時間経過情報変更管理部を更に有することを特徴とする請求項1乃至4のうちいずれか一項に記載のセキュリティ制御装置。
  6. 前記暗号処理部は、外部から入力されたデータが正規のデータであるかの監視を行うアクセス監視部を更に有することを特徴とする請求項1乃至5のうちいずれか一項に記載のセキュリティ制御装置。
  7. 少なくとも前記セキュリティ情報記憶部及び前記アクセス制御部のうちいずれかへのアクセス記録を蓄積するアクセス記録蓄積部を更に有することを特徴とする請求項1乃至6のうちいずれか一項に記載のセキュリティ制御装置。
  8. 請求項1乃至7のうちいずれか一項に記載のセキュリティ制御装置を有することを特徴とする電子機器。
  9. 機密情報に基づいてデータの暗号化及び復号の処理を行う暗号処理工程を含むセキュリティ制御方法において、
    時間経過に伴って変更される時間経過情報の時間経過単位でアクセス要求元毎に設定された、前記機密情報が記憶されるセキュリティ情報記憶部へのアクセス権に基づいて、前記アクセス要求元からの前記セキュリティ情報記憶部へのアクセス制御を行うアクセス制御工程を含むことを特徴とするセキュリティ制御方法。
  10. 請求項9に記載のセキュリティ制御方法をコンピュータにより実行させることを特徴とするセキュリティ制御プログラム。
JP2015118175A 2015-06-11 2015-06-11 セキュリティ制御装置、電子機器、セキュリティ制御方法及びセキュリティ制御プログラム Pending JP2017004293A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015118175A JP2017004293A (ja) 2015-06-11 2015-06-11 セキュリティ制御装置、電子機器、セキュリティ制御方法及びセキュリティ制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015118175A JP2017004293A (ja) 2015-06-11 2015-06-11 セキュリティ制御装置、電子機器、セキュリティ制御方法及びセキュリティ制御プログラム

Publications (1)

Publication Number Publication Date
JP2017004293A true JP2017004293A (ja) 2017-01-05

Family

ID=57754308

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015118175A Pending JP2017004293A (ja) 2015-06-11 2015-06-11 セキュリティ制御装置、電子機器、セキュリティ制御方法及びセキュリティ制御プログラム

Country Status (1)

Country Link
JP (1) JP2017004293A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111295645A (zh) * 2018-08-10 2020-06-16 深圳市汇顶科技股份有限公司 一种SoC芯片及总线访问控制方法
JP2020144851A (ja) * 2019-01-31 2020-09-10 ザ・ボーイング・カンパニーThe Boeing Company 改ざん防止カウンタ

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111295645A (zh) * 2018-08-10 2020-06-16 深圳市汇顶科技股份有限公司 一种SoC芯片及总线访问控制方法
CN111295645B (zh) * 2018-08-10 2023-09-22 深圳市汇顶科技股份有限公司 一种SoC芯片及总线访问控制方法
JP2020144851A (ja) * 2019-01-31 2020-09-10 ザ・ボーイング・カンパニーThe Boeing Company 改ざん防止カウンタ
JP7391682B2 (ja) 2019-01-31 2023-12-05 ザ・ボーイング・カンパニー 改ざん防止カウンタ

Similar Documents

Publication Publication Date Title
US11119905B2 (en) System and method for managing electronic assets
EP3568795B1 (en) Techniques for genuine device assurance by establishing identity and trust using certificates
US10102500B2 (en) System and method for performing serialization of devices
CN104823207B (zh) 通过与随机成分组合来保护用于移动支付应用程序的个人识别号码
CN102648471B (zh) 用于基于硬件的安全的系统和方法
CN100578473C (zh) 嵌入式系统和增加嵌入式系统安全性的方法
CN102156840B (zh) 控制装置以及管理装置
US9489508B2 (en) Device functionality access control using unique device credentials
CN108475319A (zh) 装置出生凭证
CN102156835A (zh) 内容管理软件的安全局部更新
US20140189374A1 (en) System and method for the secure transmission of data
CN103562930B (zh) 一种用于数据安全性的方法及数据安全性装置
US11412047B2 (en) Method and control system for controlling and/or monitoring devices
US20090089861A1 (en) Programmable data protection device, secure programming manager system and process for controlling access to an interconnect network for an integrated circuit
CN109644129A (zh) 用于硬件加速密码的密钥的线程所有权
US20100011221A1 (en) Secured storage device with two-stage symmetric-key algorithm
US20180137271A1 (en) Method, Server, Firewall, Control Device, and System for Programming a Control Device of a Vehicle
CN103258148B (zh) 控制系统、控制装置和程序执行控制方法
CN103093130A (zh) 一种硬件绑定信息加密方法和网络设备
JP6898921B2 (ja) ライフサイクル状態の暗号化マネジメント
US11231958B2 (en) Method and control system for controlling and/or monitoring devices
JP2017004293A (ja) セキュリティ制御装置、電子機器、セキュリティ制御方法及びセキュリティ制御プログラム
CN100464341C (zh) 基于可信计算技术的数字内容使用痕迹的产生与管理方法
JP6301701B2 (ja) シングルサインオン情報管理システムおよび管理方法
CN102087683A (zh) 适用在可信任安全平台模块的密码管理与验证方法

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20170112