特許ウォッチ

公開番号2025069971
公報種別公開特許公報(A)
公開日2025-05-02
出願番号2023179937
出願日2023-10-19
発明の名称電子制御デバイスおよびセキュアブート方法
出願人富士電機株式会社
代理人インフォート弁理士法人
主分類G06F 21/57 20130101AFI20250424BHJP(計算;計数)
要約【課題】安全性を確保しながら可用性を改善したセキュアブート方法を提供する。
【解決手段】電子制御デバイスは、メモリ、検証情報生成部、検証部、及び起動部を備える。メモリは、ファームウェアを格納するためのファームウェア格納領域を含む。検証情報生成部は、ファームウェア格納領域にファームウェアが格納されたときに、ファームウェア格納領域を分割することで得られるN個の部分領域それぞれについて検証情報を生成する。検証部は、ファームウェア格納領域に格納されているファームウェアの起動時に、検証情報生成部により生成された検証情報を利用して、N個の部分領域それぞれの状態を検証する。起動部は、N個の部分領域のうちで検証部による検証が成功した正常部分領域に格納されているファームウェアを起動する。
【選択図】図7

特許請求の範囲【請求項１】
ファームウェアを格納するためのファームウェア格納領域を含むメモリと、
前記ファームウェア格納領域にファームウェアが格納されたときに、前記ファームウェア格納領域を分割することで得られるＮ個の部分領域それぞれについて検証情報を生成する検証情報生成部と、
前記ファームウェア格納領域に格納されているファームウェアの起動時に、前記検証情報生成部により生成された検証情報を利用して、前記Ｎ個の部分領域それぞれの状態を検証する検証部と、
前記Ｎ個の部分領域のうちで前記検証部による検証が成功した正常部分領域に格納されているファームウェアを起動する起動部と、
を備える電子制御デバイス。
続きを表示（約 1,000 文字）【請求項２】
前記ファームウェアには署名が付与されており、
前記検証部は、前記署名の検証が失敗したときに、前記Ｎ個の部分領域それぞれの状態を検証する
ことを特徴とする請求項１に記載の電子制御デバイス。
【請求項３】
前記検証情報生成部は、前記Ｎ個の部分領域それぞれについて前記検証情報として第１のハッシュ値を計算し、
前記検証部は、前記ファームウェア格納領域に格納されているファームウェアの起動時に、前記Ｎ個の部分領域それぞれについて第２のハッシュ値を計算し、
前記検証部は、前記Ｎ個の部分領域それぞれについて、前記第１のハッシュ値と前記第２のハッシュ値とを比較することで、正常部分領域であるか否かを判定する
ことを特徴とする請求項１に記載の電子制御デバイス。
【請求項４】
前記ファームウェアの先頭部分が格納されている、前記Ｎ個の部分領域のうちの第１の部分領域の検証が成功したときに、前記起動部は、前記正常部分領域に格納されているファームウェアを起動する
ことを特徴とする請求項１に記載の電子制御デバイス。
【請求項５】
前記ファームウェアには署名が付与されており、
前記ファームウェアは、
前記署名の検証が失敗したときに前記起動部が呼び出すべき異常系関数、および
前記ファームウェア格納領域において前記異常系関数が格納されるアドレスおよび前記異常系関数のサイズを表す異常系関数情報を含み、
前記ファームウェアの起動時に、前記検証部は、前記署名を検証し、
前記起動部は、前記署名の検証が失敗したときに、前記正常部分領域内に格納されている前記異常系関数を呼び出す
ことを特徴とする請求項１に記載の電子制御デバイス。
【請求項６】
ファームウェア格納領域にファームウェアが格納されたときに、前記ファームウェア格納領域を分割することで得られるＮ個の部分領域それぞれについて検証情報を生成し、
前記ファームウェア格納領域に格納されているファームウェアの起動時に、前記検証情報を利用して、前記Ｎ個の部分領域それぞれの状態を検証し、
前記Ｎ個の部分領域のうちで前記検証が成功した正常部分領域に格納されているファームウェアを起動する
ことを特徴とするセキュアブート方法。

発明の詳細な説明【技術分野】
【０００１】
本発明は、セキュアブート機能を備える電子制御デバイスおよびセキュアブート方法に係わる。
続きを表示（約 1,600 文字）【背景技術】
【０００２】
電子制御デバイスに実装されるファームウェアが不正に書き換えられると、想定外の動作が行われるおそれがある。このため、セキュアブート機能を備える電子制御デバイスが提案および実用化されている。例えば、デバイスの起動時に安全性を確保するために、通常領域において起動が許可されるプログラムを表す参照値と、プログラムの起動時に算出される検証値とを照合することで、プログラムの起動の可否を判定する方法が提案されている（特許文献１）。
【先行技術文献】
【特許文献】
【０００３】
特開２０２０－１４０６６５号公報
【発明の概要】
【発明が解決しようとする課題】
【０００４】
上述のセキュアブート機能によれば、電子制御デバイスは、不正が検出されたプログラムを起動しないので、安全性が確保される。ただし、電子制御デバイスの起動時にプログラムが全く実行されない構成では、可用性が低くなる。すなわち、従来のセキュアブート方法では、安全性と可用性とのトレードオフが生じる。
【０００５】
本発明の１つの側面に係わる目的は、安全性を確保しながら可用性を改善したセキュアブート方法を提供することである。
【課題を解決するための手段】
【０００６】
本発明の１つの態様に係わる電子制御デバイスは、ファームウェアを格納するためのファームウェア格納領域を含むメモリと、前記ファームウェア格納領域にファームウェアが格納されたときに、前記ファームウェア格納領域を分割することで得られるＮ個の部分領域それぞれについて検証情報を生成する検証情報生成部と、前記ファームウェア格納領域に格納されているファームウェアの起動時に、前記検証情報生成部により生成された検証情報を利用して、前記Ｎ個の部分領域それぞれの状態を検証する検証部と、前記Ｎ個の部分領域のうちで前記検証部による検証が成功した正常部分領域に格納されているファームウェアを起動する起動部と、を備える。
【発明の効果】
【０００７】
上述の態様によれば、安全性を確保しながら可用性を改善したセキュアブートが実現される。
【図面の簡単な説明】
【０００８】
本発明の実施形態に係わる電子制御デバイスの一例を示す図である。
メモリの構成の一例を示す図である。
本発明の実施形態に係わる電子制御デバイスの機能構成の一例を示す図である。
ファームウェアを更新する際の処理の一例を示すフローチャートである。
ファームウェア格納領域を分割することで得られる部分領域の一例を示す図である。
検証情報の一例を示す図である。
ファームウェアのブート時の処理の一例を示すフローチャートである。
電子制御デバイスに実装されるファームウェアの一例を示す図である。
異常系関数テーブルの一例を示す図である。
ファームウェアの動作の一例を示すフローチャートである。
【発明を実施するための形態】
【０００９】
図１は、本発明の実施形態に係わる電子制御デバイスの一例を示す。本発明の実施形態に係わる電子制御デバイス１は、この実施例では、プロセッサ１１、メモリ１２、通信デバイス１３、入力デバイス１４、および出力デバイス１５を備える。ただし、電子制御デバイス１は、図１に示していない他の機能、回路、またはデバイス等をさらに備えてもよい。
【００１０】
プロセッサ１１は、演算装置であり、メモリ１２に保存されているプログラムを実行することで電子制御デバイス１の機能を提供する。メモリ１２は、プロセッサ１１が実行するプログラム、およびプロセッサ１１が参照する情報を格納する。また、メモリ１２は、プロセッサ１１の作業領域として使用される。
（【００１１】以降は省略されています）

関連特許