JP7635494B2 - トラストアンカコンピューティング装置を備える処理システムおよび対応する方法 - Google Patents
トラストアンカコンピューティング装置を備える処理システムおよび対応する方法 Download PDFInfo
- Publication number
- JP7635494B2 JP7635494B2 JP2020161525A JP2020161525A JP7635494B2 JP 7635494 B2 JP7635494 B2 JP 7635494B2 JP 2020161525 A JP2020161525 A JP 2020161525A JP 2020161525 A JP2020161525 A JP 2020161525A JP 7635494 B2 JP7635494 B2 JP 7635494B2
- Authority
- JP
- Japan
- Prior art keywords
- time
- checking
- validity
- ssb
- real
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Hardware Redundancy (AREA)
- Multi Processors (AREA)
- Debugging And Monitoring (AREA)
Description
・キー管理、
・証明書管理、
・暗号化演算、
・ソフトウェア保護(セキュアブートおよびセキュア更新)、
・慎重に扱うべきデータの読み取りおよび書き込みのためのアクセスメカニズムおよびデータの可視性を低めるための暗号化技術を用いたデータ保護(セキュアストレージおよびセキュア通信)、
などの、機密かつ慎重に扱うべき情報を伴うセキュリティ操作のために使用される。
・複数のセキュア操作を同時に実行し、
・いくつかの所定のロジックおよびスケジューリングポリシに従って、様々なエンティティ(プロセスまたはタスク)の間で切り替え、
・機密性(情報の隔離)を保証および維持し、
・一般機能が実行されることおよびその実行時間が分かることを保証する、
ことが可能であるべきである。
1つまたは複数の実施形態の目的は、先行技術により達成可能な解決策に内在する制限を解消することである。
-テキストまたはソースコードTXS:プログラムの実行可能コードを格納するメモリエリア。メモリのこのブロックは、通常は読み取り専用である。
-データまたはデータフラッシュDT:プログラマによって初期化された静的/グローバル変数を格納するメモリエリア。これは、さらには、OSアプリケーションがプライベートデータを有することができるメモリのセクションである。
-真正性の特性が暗号を介してチェックされる、不揮発性メモリのための実行時真正性チェック手順500、
-使用されたスタックSSの量が静的境界に対してチェックされる、スタックSS(揮発性メモリ121a)のためのスタックオーバーフロー検出手順600、
を含む様々な特定の手順を通して、不揮発性メモリおよび揮発性メモリをチェックするように構成される。
-ヘッダSSBHフィールドは、ブロックの内容および全ての暗号ハッシュおよび署名についての情報を含み、
-データSSBDフィールドは、真正性および完全性の証明が必要と判定されたデータのブロックである。
-図6に示すように、コンテキストスイッチを実行し、CPU内に存在する退出タスクレジスタ、すなわち第1のタスクTAのタスクレジスタが、第1のタスクTAのスタックエリアSSA内に保存され、次に、進入タスクレジスタ、すなわち第2のタスクTBのタスクレジスタがCPUレジスタ内の第2のタスクTBのスタックエリアSSBからリロードされ、
-システムを初期化して、セキュアリアルタイムオペレーティングシステムを構成する状態マシンおよび内部構造を更新し、
-新たなタスク、すなわち第2のタスクTBにジャンプする。
各場合についてデッドラインDが期間T未満である、制約付きデッドラインシステムと、
デッドラインDと期間Tとの間に制約がない、恣意的デッドラインシステムと、
が区別される。
Claims (12)
- ホスト処理ユニットおよびホストメモリ手段を含む少なくとも1つのホストコンピューティングモジュールと、ハードウェアトラストアンカとを備える、信頼できる操作を実行するように構成された処理システムであって、前記ハードウェアトラストアンカは、それぞれのセキュア処理ユニットと、暗号化演算に専用のハードウェア処理モジュールと、セキュアストレージ手段とを備え、前記ハードウェアトラストアンカは、リアルタイムセキュアオペレーティングシステム(HOS)を格納し実行するように構成され、前記リアルタイムセキュアオペレーティングシステム(HOS)は、前記処理システムにおいて使用されているソフトウェア上で有効性チェックを実行するように構成され、
前記リアルタイムセキュアオペレーティングシステム(HOS)は、実行時にソフトウェアコードの完全性を制御する実行時真正性チェックを実行するように構成され、前記実行時真正性チェックは、少なくとも実行のために前記ハードウェアトラストアンカのプログラムメモリ内に存在する署名済みソフトウェアブロック(SSB)ならびに対応するヘッダ(SSBH)およびデータブロック(SSBD)を識別する段階と、
前記署名済みソフトウェアブロック(SSB)に関連付けられた証明書(C)の有効性をチェックする第1の段階、
前記署名済みソフトウェアブロック(SBB)のヘッダ(SSBH)の有効性をチェックする第2の段階、
前記署名済みソフトウェアブロック(SSB)のデータ(SSBD)のハッシュの有効性をチェックする第3の段階、
を実行する段階と、
前記有効性チェックのチェックする段階のうちの1つによって異常が検出された場合、前記検出された異常に関する情報をセキュアログ(SL)に書き込む段階と、
を含み、
前記リアルタイムセキュアオペレーティングシステム(HOS)は、他のホストコンピューティングモジュールまたはハードウェアトラストアンカのサービスに対して最優先されるタスク(PL)において前記実行時真正性チェックを実行するように構成される、システム。 - 前記実行時真正性チェックは、前記ホストコンピューティングモジュールの不揮発性メモリ内に存在する前記署名済みソフトウェアブロック(SSB)にも適用される、請求項1に記載のシステム。
- 前記リアルタイムセキュアオペレーティングシステム(HOS)は、他のホストコンピューティングモジュールまたはハードウェアトラストアンカのサービスに対して最優先される所与の期間(T)を有する定期的なタスク(PL)において前記実行時真正性チェックを実行するように構成され、前記チェックする段階は、各期間(T)に実行される構成可能な持続時間(DH)の複数のサブ段階に分割される、請求項1または2に記載のシステム。
- 前記署名済みソフトウェアブロック(SSB)に関連付けられた証明書(C)の有効性をチェックする前記第1の段階は、前記ハードウェアトラストアンカに格納されることになる任意の新たな証明書が、自己署名証明書でない限り、前記ハードウェアトラストアンカに格納された別の証明書に対して検証されることを含む、請求項1に記載のシステム。
- 前記署名済みソフトウェアブロック(SSB)のヘッダ(SSBH)の有効性をチェックする前記第2の段階は、現在の前記署名済みソフトウェアブロック(SBB)のヘッダ署名フィールドを検証する段階を含む、請求項1に記載のシステム。
- 前記署名済みソフトウェアブロック(SSB)のデータ(SSBD)のハッシュの有効性をチェックする前記第3の段階は、特にハッシュエンジンによって、暗号化ハードウェアアクセラレーションモジュール内の前記データブロック(SSBD)にわたってハッシュ値を計算する段階と、前記ハッシュ値と、前記データブロックにわたって計算された適合ダイジェストを規定するハッシュ値を格納するヘッダ(SSBH)内のフィールドの内容とを比較する段階とを含む、請求項1に記載のシステム。
- 前記リアルタイムセキュアオペレーティングシステムは、タスク実行に使用される前記ハードウェアトラストアンカの揮発性メモリのスタック(SS)に対して、使用されたスタック(SS)の量を静的境界に対してチェックする段階を含むスタックオーバーフロー検出手順を実行するように構成される、請求項1に記載のシステム。
- 前記リアルタイムセキュアオペレーティングシステムは、タスク最悪実行時間(C)の違反をチェックする段階であって、前記タスクの所与のインスタンスに関する前記タスク最悪実行時間(C)の値は、オフライン時間解析によって与えられる、段階と、前記チェックする段階によって異常が検出された場合、前記検出された異常に関する情報をセキュアログ(SL)に書き込む段階とを含む、リアルタイム検出手順を実行するように構成される、請求項1に記載のシステム。
- 前記少なくとも1つのホストコンピューティングモジュールおよびハードウェアトラストアンカは、システムオンチップの一部であり、特に、前記少なくとも1つのホストコンピューティングモジュールは、車両内で動作するECUである、請求項1に記載のシステム。
- 前記検出された異常に関する情報を前記セキュアログ(SL)に書き込む段階は、前記検出された異常に関する情報を含むセキュアログ(SL)を作成する段階、または、前記セキュアログ(SL)内に前記異常を書き込む段階を含む、請求項1に記載のシステム。
- 請求項1~10のいずれか1項に記載の前記処理システムにおいて使用されているソフトウェア上で有効性チェックを実行するリアルタイムセキュアオペレーティングシステム(HOS)を格納し実行することを含む、前記処理システムにおいて信頼できる操作を実行する方法であって、前記方法は、実行時にソフトウェアコードの完全性を制御する実行時真正性チェックを実行する段階を含み、前記実行時真正性チェックは、少なくとも実行のために前記ハードウェアトラストアンカのプログラムメモリ内に存在する署名済みソフトウェアブロック(SSB)ならびに対応するヘッダ(SSBH)およびデータブロック(SSBD)を識別する段階と、
各署名済みソフトウェアブロック(SSB)について、
前記署名済みソフトウェアブロック(SSB)に関連付けられた証明書(C)の有効性をチェックする第1の段階、
前記署名済みソフトウェアブロック(SBB)のヘッダ(SSBH)の有効性をチェックする第2の段階、
前記署名済みソフトウェアブロック(SSB)のデータ(SSBD)のハッシュの有効性をチェックする第3の段階、
を実行する段階と、
前記有効性チェックのチェックする段階のうちの1つによって異常が検出された場合、前記検出された異常に関する情報をセキュアログ(SL)に書き込む段階と、
を含み、
前記リアルタイムセキュアオペレーティングシステムは、他のホストコンピューティングモジュールまたはハードウェアトラストアンカのサービスに対して最優先されるタスク(PL)において前記実行時真正性チェックを実行するように構成される、方法。 - 前記方法は、請求項2~10のいずれか1項に記載のシステムの前記操作を含む、請求項11に記載の方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IT102019000017534 | 2019-09-30 | ||
| IT102019000017534A IT201900017534A1 (it) | 2019-09-30 | 2019-09-30 | "Sistema di elaborazione comprendente apparato di calcolo di tipo "trust anchor" e corrispondente procedimento" |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021057043A JP2021057043A (ja) | 2021-04-08 |
| JP7635494B2 true JP7635494B2 (ja) | 2025-02-26 |
Family
ID=69191192
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020161525A Active JP7635494B2 (ja) | 2019-09-30 | 2020-09-25 | トラストアンカコンピューティング装置を備える処理システムおよび対応する方法 |
Country Status (3)
| Country | Link |
|---|---|
| JP (1) | JP7635494B2 (ja) |
| CN (1) | CN112580015B (ja) |
| IT (1) | IT201900017534A1 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113961362B (zh) * | 2021-11-14 | 2024-01-16 | 苏州浪潮智能科技有限公司 | 一种进程识别方法、系统、存储介质及设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000293382A (ja) | 1999-04-12 | 2000-10-20 | Denso Corp | リアルタイムオペレーティングシステムを用いたタスク起動制御装置 |
| JP2005227995A (ja) | 2004-02-12 | 2005-08-25 | Sony Corp | 情報処理装置、および情報処理方法、並びにコンピュータ・プログラム |
| JP2009116901A (ja) | 2002-04-23 | 2009-05-28 | Panasonic Corp | 更新方法、送信方法、サーバ及び端末 |
| JP2010182296A (ja) | 2009-01-08 | 2010-08-19 | Panasonic Corp | プログラム実行装置、制御方法、制御プログラム及び集積回路 |
| JP2010274783A (ja) | 2009-05-28 | 2010-12-09 | Autonetworks Technologies Ltd | 制御装置及びコンピュータプログラム |
| JP2014059724A (ja) | 2012-09-18 | 2014-04-03 | Dainippon Printing Co Ltd | アプリケーションプログラムの改竄検知方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8832454B2 (en) * | 2008-12-30 | 2014-09-09 | Intel Corporation | Apparatus and method for runtime integrity verification |
| US8839458B2 (en) * | 2009-05-12 | 2014-09-16 | Nokia Corporation | Method, apparatus, and computer program for providing application security |
| US9792427B2 (en) * | 2014-02-07 | 2017-10-17 | Microsoft Technology Licensing, Llc | Trusted execution within a distributed computing system |
| EP3026557A1 (en) * | 2014-11-28 | 2016-06-01 | Thomson Licensing | Method and device for providing verifying application integrity |
| CN105718807B (zh) * | 2016-01-26 | 2018-08-03 | 东北大学 | 基于软tcm和可信软件栈的安卓系统及其可信认证系统与方法 |
-
2019
- 2019-09-30 IT IT102019000017534A patent/IT201900017534A1/it unknown
-
2020
- 2020-09-25 JP JP2020161525A patent/JP7635494B2/ja active Active
- 2020-09-30 CN CN202011057520.8A patent/CN112580015B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000293382A (ja) | 1999-04-12 | 2000-10-20 | Denso Corp | リアルタイムオペレーティングシステムを用いたタスク起動制御装置 |
| JP2009116901A (ja) | 2002-04-23 | 2009-05-28 | Panasonic Corp | 更新方法、送信方法、サーバ及び端末 |
| JP2005227995A (ja) | 2004-02-12 | 2005-08-25 | Sony Corp | 情報処理装置、および情報処理方法、並びにコンピュータ・プログラム |
| JP2010182296A (ja) | 2009-01-08 | 2010-08-19 | Panasonic Corp | プログラム実行装置、制御方法、制御プログラム及び集積回路 |
| JP2010274783A (ja) | 2009-05-28 | 2010-12-09 | Autonetworks Technologies Ltd | 制御装置及びコンピュータプログラム |
| JP2014059724A (ja) | 2012-09-18 | 2014-04-03 | Dainippon Printing Co Ltd | アプリケーションプログラムの改竄検知方法 |
Non-Patent Citations (1)
| Title |
|---|
| 竹森 敬祐 ほか,セキュアブート+認証による車載制御システムの保護,電子情報通信学会技術研究報告,日本,電子情報通信学会,2014年09月12日,Vol. 114 No. 225,p. 47-54 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112580015B (zh) | 2025-08-22 |
| CN112580015A (zh) | 2021-03-30 |
| JP2021057043A (ja) | 2021-04-08 |
| IT201900017534A1 (it) | 2021-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9762399B2 (en) | System and method for validating program execution at run-time using control flow signatures | |
| EP1560098B1 (en) | Method and system ensuring installation or execution of a software update only on a specific device or class of devices | |
| CN109840430B (zh) | Plc的安全处理单元及其总线仲裁方法 | |
| US9767271B2 (en) | System and method for validating program execution at run-time | |
| US7644287B2 (en) | Portion-level in-memory module authentication | |
| US8640194B2 (en) | Information communication device and program execution environment control method | |
| JP4498735B2 (ja) | オペレーティングシステムおよびカスタマイズされた制御プログラムとインタフェースする安全なマシンプラットフォーム | |
| US7831838B2 (en) | Portion-level in-memory module authentication | |
| US8213618B2 (en) | Protecting content on client platforms | |
| US7401234B2 (en) | Autonomous memory checker for runtime security assurance and method therefore | |
| US8490179B2 (en) | Computing platform | |
| JP5346608B2 (ja) | 情報処理装置およびファイル検証システム | |
| US20200159512A1 (en) | Software installation method | |
| WO2009051471A2 (en) | Trusted computer platform method and system without trust credential | |
| JP2022094755A (ja) | 情報処理装置、方法及びプログラム | |
| EP4287054A1 (en) | Computer implemented method for updating a safety software code, computer hardware device, computer program and a computer-readable medium | |
| Pott et al. | Firmware security module: A framework for trusted computing in automotive multiprocessors | |
| JP7635494B2 (ja) | トラストアンカコンピューティング装置を備える処理システムおよび対応する方法 | |
| US9213864B2 (en) | Data processing apparatus and validity verification method | |
| Lorych et al. | Hardware trust anchor authentication for updatable IoT devices | |
| Nasser | Securing safety critical automotive systems | |
| JP7511492B2 (ja) | 自動車用電子制御装置 | |
| JP7754193B2 (ja) | 秘密計算実行環境を作成する方法、装置、およびプログラム | |
| US20250245303A1 (en) | Peripheral device-based management of user space process credentials | |
| US11526598B2 (en) | Microcontroller and semiconductor device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230804 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240723 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240724 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20241018 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20250114 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20250123 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7635494 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |