特許 7383589 情報処理装置

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2023-11-10

(45)【発行日】2023-11-20

(54)【発明の名称】情報処理装置

(51)【国際特許分類】

   G06F 9/48 20060101AFI20231113BHJP

   G06F 21/12 20130101ALI20231113BHJP

【ＦＩ】

G06F9/48 120

G06F21/12 310

【請求項の数】 7

(21)【出願番号】P 2020158163

(22)【出願日】2020-09-23

(65)【公開番号】P2022052018

(43)【公開日】2022-04-04

【審査請求日】2022-06-23

(73)【特許権者】

【識別番号】000003078

【氏名又は名称】株式会社東芝

(73)【特許権者】

【識別番号】317011920

【氏名又は名称】東芝デバイス＆ストレージ株式会社

(74)【代理人】

【識別番号】110002147

【氏名又は名称】弁理士法人酒井国際特許事務所

(72)【発明者】

【氏名】橋本 幹生

(72)【発明者】

【氏名】相沢 雅己

(72)【発明者】

【氏名】鈴木 悟

(72)【発明者】

【氏名】佐々木 常喜

【審査官】坂東 博司

(56)【参考文献】

【文献】国際公開第２０１２／０５３０５３（ＷＯ，Ａ１）

【文献】特開２００１－１７５６０６（ＪＰ，Ａ）

【文献】特開２００６－３０９７７８（ＪＰ，Ａ）

【文献】実開平０５－０７５８４５（ＪＰ，Ｕ）

【文献】国際公開第２０１２／０８６１０６（ＷＯ，Ａ１）

【文献】国際公開第２００９／０９６５６６（ＷＯ，Ａ１）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｇ０６Ｆ ９／４８

Ｇ０６Ｆ ２１／１２

(57)【特許請求の範囲】

【請求項1】

プロセッサと、
複数の割り込み要求に関するベクタアドレスを記憶し、前記プロセッサがバスを介して前記複数の割り込み要求に関するベクタアドレスをフェッチすることができ、前記複数の割り込み要求はプロセッサがスリープ状態であることを条件に実行する第１割り込み要求に関するベクタアドレスを含む、第１記憶部と、
前記第１割り込み要求に関する第１ベクタアドレスを記憶する第２記憶部と、
前記第１割り込み要求が入力され、前記プロセッサがスリープ状態になったことを検知するスリープ検知部と、
前記プロセッサのスリープ状態が検知された後に、前記第１記憶部からの前記第１割り込み要求のベクタアドレスのフェッチをバス監視により検知するフェッチ検知部と、
前記第１割り込み要求のベクタアドレスのフェッチが検知された場合、前記第２記憶部に記憶している前記第１ベクタアドレスを前記プロセッサに入力するアドレス入力部と、
を備え、
前記第１ベクタアドレスは、起動時に前記第２記憶部に記憶され、
ランダムアクセスメモリおよびフラッシュメモリをさらに備え、
前記第１記憶部は、前記ランダムアクセスメモリおよび前記フラッシュメモリの両方に配置され、
前記フラッシュメモリは、前記第１記憶部に加えてプログラムが格納される第３記憶部がさらに配置され、
前記プロセッサは、ＸＩＰ機能（ｅＸｅｃｕｔｅ Ｉｎ Ｐｌａｃｅ）機能により、前記プログラムの実行時に、前記フラッシュメモリに配置された前記第１記憶部および前記第３記憶部を直接参照する、
情報処理装置。

【請求項2】

前記第１割り込み要求は、タイマにより要求される、請求項１に記載の情報処理装置。

【請求項3】

前記第１割り込み要求の処理は、バスマスタの停止を更なる条件とする、請求項１に記載の情報処理装置。

【請求項4】

前記スリープ検知部は、前記第１割り込み要求を受け付けた後、所定期間、前記プロセッサがスリープ状態に遷移しない場合、強制終了処理をする、請求項１に記載の情報処理装置。

【請求項5】

前記アドレス入力部により入力された、前記第１ベクタアドレスに基づいて、所定の割り込み処理を実行した結果を出力する割り込み処理部をさらに備える、請求項１に記載の情報処理装置。

【請求項6】

外部装置からチャレンジ値を取得するチャレンジ値取得部と、
前記割り込み処理部により出力された実行結果と、前記チャレンジ値とに対する署名を生成する署名生成部と、
前記生成された署名と、前記チャレンジ値と、前記実行結果と、を前記外部装置へ送信する送信部と、をさらに備える、請求項５に記載の情報処理装置。

【請求項7】

前記第１割り込み要求と異なる第２割り込み要求が入力されたとき、前記プロセッサは、前記第１記憶部に記憶している前記複数の割り込み要求に関するベクタアドレスのうちの前記第２割り込み要求に関するベクタアドレスを使用する、
請求項１に記載の情報処理装置。

【発明の詳細な説明】

【技術分野】

【0001】

本発明の実施形態は、情報処理装置に関する。

【背景技術】

【0002】

従来、割り込み処理のアドレス情報を１回のみ書き込み可能なロジック回路に記憶させる技術がある。

【0003】

しかしながら、全ての割り込み処理のアドレスを１回のみ書き込み可能な回路に記憶させてしまうと、割り込み処理のアドレスを修正することができない。また、全ての割り込み処理のアドレスを記憶してしまうと、ある特定の割り込み処理のアドレスが改ざんされてしまうリスクがある。よって、ある特定の割り込み処理を確実に実行させつつ、他の割り込み処理のアドレスを変更可能とすることが望まれる。

【先行技術文献】

【特許文献】

【0004】

【文献】実開平５－７５８４５号公報

【発明の概要】

【発明が解決しようとする課題】

【0005】

一つの実施形態は、ある特定の割り込み処理を確実に実行させつつ、他の割り込み処理のアドレスを変更可能とする情報処理装置を提供することを目的とする。

【課題を解決するための手段】

【0006】

一つの実施形態によれば、情報処理装置は、プロセッサと、第１記憶部と、第２記憶部と、スリープ検知部と、フェッチ検知部と、アドレス入力部とを、備える。第１記憶部は、複数の割り込み要求に関するベクタアドレスを記憶する。プロセッサがバスを介して複数の割り込み要求に関するベクタアドレスをフェッチすることができる。複数の割り込み要求はプロセッサがスリープ状態であることを条件に実行する第１割り込み要求に関するベクタアドレスを含む。第２記憶部は、第１割り込みに関する第１ベクタアドレスを記憶する。スリープ検知部は、第１割り込み要求が入力された後、プロセッサがスリープ状態になったことを検知する。フェッチ検知部は、プロセッサのスリープ状態が検知された後に、第１記憶部からの第１割り込み要求のベクタアドレスのフェッチをバス監視により検知する。アドレス入力部は、第１割り込みのベクタアドレスのフェッチが検知された場合、第２記憶部で記憶している第１ベクタアドレスをプロセッサに入力する。第１ベクタアドレスは、起動時に第２記憶部に記憶される。情報処理装置は、ランダムアクセスメモリおよびフラッシュメモリをさらに備える。第１記憶部は、ランダムアクセスメモリおよびフラッシュメモリの両方に配置される。フラッシュメモリは、第１記憶部に加えてプログラムが格納される第３記憶部がさらに配置される。プロセッサは、ＸＩＰ機能（ｅＸｅｃｕｔｅ Ｉｎ Ｐｌａｃｅ）機能により、プログラムの実行時に、フラッシュメモリに配置された第１記憶部および第３記憶部を直接参照する。

【図面の簡単な説明】

【0007】

【図1】図１は、実施形態にかかる情報処理装置が適用されたマイクロコンピュータのハードウェア構成の一例を示す模式的な図である。

【図2】図２は、実施形態にかかるマイクロコンピュータの機能構成の一例を示すブロック図である。

【図3】図３は、実施形態にかかるマイクロコンピュータのセキュア割り込み処理の動作を示すシーケンス図である。

【図4】図４は、実施形態にかかるマイクロコンピュータのセキュア割り込み処理の動作タイミングおよび制御信号の流れの一例を示す図である。

【図5】図５は、実施形態にかかるリモートアテステーションを実行するシステム構成図である。

【図6】図６は、実施形態にかかるリモートアテステーションの動作を示すフローチャートである。

【発明を実施するための形態】

【0008】

以下に添付図面を参照して、実施形態にかかる情報処理装置が適用されたマイクロコンピュータについて説明する。なお、実施形態にかかる情報処理装置を適用できる装置はマイクロコンピュータだけに限定されない。実施形態にかかる情報処理装置は、コンピュータプログラムが格納されるメモリと、当該コンピュータプログラムを実行するプロセッサと、を備えた任意の装置に適用され得る。なお、この実施形態により本発明が限定されるものではない。

【0009】

（実施形態）
図１は、実施形態にかかる情報処理装置が適用されたマイクロコンピュータのハードウェア構成の一例を示す模式的な図である。マイクロコンピュータ１は、例えば、通信Ｉ／Ｆ（Interface）１０を介してサーバ装置と接続されている。マイクロコンピュータ１は、センサ装置等に組み込まれる。センサ装置は、例えば、３分に１回数秒かけて非検体の濃度値を測定する。マイクロコンピュータ１は、１日に１回プログラム改ざんされていないか否かを検証する。仮にマイクロコンピュータ１が実行するアプリケーションが、不正プログラムによって乗っ取られた場合でも上記検証が行われる必要がある。

【0010】

以下の説明においては、アプリケーションを主機能、アプリケーションが不正プログラムにより乗っ取りを受けていないかを判定する検証機能を補助機能とする。補助機能により不正プログラムの兆候を検出した場合は、主機能の誤動作を防止するため完全停止もしくは再起動等の処置をとる。不正プログラムの兆候が検出されない場合、主機能は所定の期間、計測もしくは制御処理を継続して実行する。処理が終了するとスリープ状態に入り、不要な電力消費を抑制する。主機能動作中の計測・制御処理の品質低下を抑えるため、検証機能は主機能がスリープ状態にあるときを優先して実行されることを目標とする。計測・制御処理の実行の都度、初期化処理を実行することを抑制するため、不正プログラムが検知されない場合、電池寿命の期間リセットは行わない。

【0011】

マイクロコンピュータ１は、ＣＰＵ２、マスクＲＯＭ３、セキュアタイマ４、状態管理コントローラ５、バス監視コントローラ６、ＳＲＡＭ７、命令フラッシュメモリ８、ＭＡＣ生成管理コントローラ９、通信Ｉ／Ｆ１０、アンテナ１１、および内部バス１２を備えている。

【0012】

なお、ＣＰＵ２、マスクＲＯＭ３、状態管理コントローラ５、バス監視コントローラ６、ＳＲＡＭ７、命令フラッシュメモリ８、ＭＡＣ生成管理コントローラ９、および通信Ｉ／Ｆ１０は、内部バス１２に接続されている。通信Ｉ／Ｆ１０の内部にデータ受信時に自動メモリ転送を行うため、ＣＰＵもしくはＤＭＡＣ（Ｄｉｒｅｃｔ Ｍｅｍｏｒｙ Ａｃｃｅｓｓ Ｃｏｎｔｒｏｌｌｅｒ）によるバスマスタ１３を備える。

【0013】

ＣＰＵ２は、種々のプログラムを実行することができるプロセッサであり、いわゆるコアプロセッサである。ＣＰＵ２は、プログラムに応じた機能を実現する。

【0014】

マスクＲＯＭ３は、書き換え不可能な不揮発性メモリである。マスクＲＯＭ３の内容は、工場においてマイクロコンピュータ１のハードウェアを製造する際に固定される。

【0015】

セキュアタイマ４は、時間を計測し、所定の時間が経過したときにセキュア割り込み要求を状態管理コントローラ５へ出力する。すなわち、セキュア割り込み要求は、セキュアタイマ４により要求される。なお、セキュアタイマ４以外に、外部装置等が、セキュア割り込み要求をしてもよい。

【0016】

状態管理コントローラ５は、セキュア割り込み要求が入力されると、ＣＰＵ２のスリープ状態を検知することで、ＣＰＵ２が実行するセキュア割り込みの処理状態を管理する。

【0017】

バス監視コントローラ６は、ＣＰＵ２のスリープ状態が検知されると、バスを監視することで、ＣＰＵ２からのセキュア割り込みのベクタアドレスのフェッチを検知する。バス監視コントローラ６は、セキュア割り込みのベクタアドレスを記憶するための記憶手段を有している。

【0018】

ＳＲＡＭ７は、揮発性メモリである。ＳＲＡＭ７は、汎用ＲＡＭ７１とセキュア割り込み専用ＲＡＭ７２を有する。汎用ＲＡＭ７１は、各種プログラムがロードされる領域として機能する。また、汎用ＲＡＭ７１は、外部装置とマイクロコンピュータ１との間で転送されるユーザデータのバッファとしても機能するほか、スタックなど主機能、補助機能が使用する汎用データを格納する。また、汎用ＲＡＭ７１は、割り込みベクタを保持する。この割り込みベクタは、各割り込み処理の実行プログラムの割り込みベクタアドレスを保持するテーブル情報である。

【0019】

セキュア割り込み専用ＲＡＭ７２は、セキュア割り込み処理がロードされる領域として機能する。また、セキュア割り込み専用ＲＡＭ７２は、セキュア割り込みの処理結果を保持する領域としても機能する。

【0020】

命令フラッシュメモリ８は、不揮発性メモリであり、各種機能を実現するプログラムを記憶する。具体的に、命令フラッシュメモリ８は、セキュア割り込み用プログラム８１およびＲＴＯＳ８２を記憶する。セキュア割り込み用プログラム８１は、セキュア割り込み処理をするためのプログラムである。ＲＴＯＳ８２は、リアルタイムＯＳである。なお、命令フラッシュメモリ８は、他の各種プログラムを記憶するようにしてもよい。また、組込ＣＰＵにおいては、フラッシュメモリに格納されたプログラムを直接実行する機能(ＸＩＰ機能（ｅＸｅｃｕｔｅ Ｉｎ Ｐｌａｃｅ））を持つものがある。この場合は汎用ＲＡＭ７１、セキュア割り込み専用ＲＡＭ７２へのプログラムロードは不要となる。

【0021】

ＭＡＣ生成管理コントローラ９は、署名生成処理をする。ＭＡＣ生成管理コントローラ９は、秘密鍵を記憶しておくための記憶手段を有している。

【0022】

アンテナ１１は、通信Ｉ／Ｆ１０と電気的に接続されている。通信Ｉ／Ｆ１０は、アンテナ１１を介して無線信号を送受信する。

【0023】

通信Ｉ／Ｆ１０は、外部装置との通信を行うインタフェース装置である。また、通信Ｉ／Ｆ１０は、外部装置から受信した要求をＣＰＵ２に転送することができる。通信Ｉ／Ｆ１０は、外部装置から送られてきたデータを、バスマスタ１３によりＳＲＡＭ７にバッファすることができる。

【0024】

図２は、実施形態にかかるマイクロコンピュータ１の機能の一例を示すブロック図である。マイクロコンピュータ１は、割り込み処理部２１と、チャレンジ値取得部２２と、送信部２３とを有する。ＣＰＵ２が、ＲＴＯＳ８２や当該ＲＴＯＳ８２上で稼働するプログラムを実行することで、割り込み処理部２１と、チャレンジ値取得部２２と、送信部２３とを実現する。

【0025】

また、マイクロコンピュータ１は、スリープ検知部５１を有する。状態管理コントローラ５の論理回路が、スリープ信号検知を含む予め設定されたセキュア割り込み条件を検出することで、スリープ検知部５１を実現する。

【0026】

また、マイクロコンピュータ１は、ベクタアドレス記憶部６１と、フェッチ検知部６２と、アドレス入力部６３とを有する。バス監視コントローラ６が有する所定の記憶手段によりベクタアドレス記憶部６１を実現する。また、バス監視コントローラ６の論理回路がフェッチ検知部６２およびアドレス入力部６３を実現する。

【0027】

また、マイクロコンピュータ１は、ＭＡＣ生成機能有効化管理部９１と、秘密鍵記憶部９２と、ＭＡＣ生成部９３とを有する。ＭＡＣ生成管理コントローラ９の論理回路が、ＭＡＣ生成機能有効化管理部９１およびＭＡＣ生成部９３を実現する。また、ＭＡＣ生成管理コントローラ９が有する所定の記憶手段により秘密鍵記憶部９２を実現する。ＭＡＣ（Ｍｅｓｓａｇｅ Ａｕｔｈｅｎｔｉｃａｔｉｏｎ Ｃｏｄｅ）はハッシュもしくは対称鍵暗号による改ざん検証タグを表し、署名と書かれた場合は一般には非対称鍵署名に限定して用いられる。以下においてＭＡＣ生成機能と書かれた箇所は、非対称鍵署名に置き換えても本実施形態の実施上差し支えない。具体的には、秘密鍵に基づくＭＡＣ生成機能を非対称鍵署名機能、生成されたＭＡＣを署名と、それぞれ読み替えて適用することができる。

【0028】

割り込み処理部２１は、スリープ時にセキュア割り込み要求を受け付けると、ＳＲＡＭ７から当該セキュア割り込み用のプログラムの割り込みベクタアドレスを取得する。割り込みベクタアドレスとは、割り込みのプログラムが保持されているアドレスを示す情報、いわゆるエントリポイントである。例えば、割り込みベクタアドレスは、セキュア割り込み用プログラム８１のアドレスを示す。

【0029】

また、割り込み処理部２１は、入力された割り込みベクタアドレスに基づいて、セキュア割り込み処理を実行し、実行結果を出力する。セキュア割り込みとは、ＲＴＯＳ８２がセキュアな状態であるかどうかを判断する割り込み処理である。ＲＴＯＳ８２がセキュアな状態とは、例えば、プログラム改ざんされていない状態をいい、スタックデータの破壊がなされていないことなどをいう。

【0030】

ＣＰＵ２は、いわゆるセキュアモードで起動した後に、非セキュアモードに遷移すると、起動時のセキュアモードに遷移しないようにしてもよい。この場合、起動時のセキュアモードのセキュアファームウェアに脆弱性があっても攻撃を受けないという利点がある。この場合、ＣＰＵ２は、セキュア割り込み処理をすることで、通信経由により不正ソフトウェアが侵入した兆候の有無を判断する。当該侵入の兆候の例として、スタックデータの破壊などがある。

【0031】

チャレンジ値取得部２２は、外部装置からチャレンジ値を取得する。チャレンジ値取得部２２は、ＲＴＯＳ８２を動作させている際、通信Ｉ／Ｆ１０を介して、外部装置であるサーバ装置等からランダムチャレンジ値を取得する。

【0032】

送信部２３は、ランダムチャレンジ値と、セキュア割り込み処理結果と、署名とを外部装置へ通信Ｉ／Ｆ１０を介して、送信制御する。

【0033】

スリープ検知部５１は、セキュア割り込み要求が入力されると、ＣＰＵ２がスリープ状態になったか否かを判断する。例えば、スリープ検知部５１は、ＣＰＵ２からスリープ状態であることを示す信号を受信することで、ＣＰＵ２がスリープ状態になったと判断する。

【0034】

スリープ検知部５１は、ＣＰＵ２がスリープ状態になったことを検知すると、バス監視コントローラ６へスリープ状態になったことを示す信号を出力する。このスリープ状態になったことを示す信号は、バス監視コントローラ６に対してデータすり替え要求を示す信号である。また、状態管理コントローラ５は、ＣＰＵ２に対してセキュア割り込み要求を通知する。

【0035】

ベクタアドレス記憶部６１は、セキュア割り込みのベクタアドレスを記憶している。例えば、バス監視コントローラ６は、マイクロコンピュータ１の起動時に、セキュア割り込みのベクタアドレスを記憶する。なお、ベクタアドレス記憶部６１は、予めセキュア割り込みのベクタアドレスを記憶していてもよい。

【0036】

フェッチ検知部６２は、ＣＰＵ２のスリープ状態が検知された後に、セキュア割り込みのベクタアドレスのフェッチを検知する。

【0037】

アドレス入力部６３は、セキュア割り込みのベクタアドレスのフェッチを検知すると、ベクタアドレス記憶部６１からセキュア割り込みのベクタアドレスをＣＰＵ２へ入力する。

【0038】

ＭＡＣ生成機能有効化管理部９１は、ＭＡＣ生成機能を有効化するか否かを管理する。ＭＡＣ生成機能有効化管理部９１は、セキュア割り込み処理時のみＭＡＣ生成機能を有効化するように制御する。

【0039】

秘密鍵記憶部９２は、ＭＡＣ生成用の秘密鍵（以下ＭＡＣ鍵）を記憶する。ＭＡＣ生成管理コントローラ９が、ＭＡＣ鍵を保持することで、セキュア割り込み処理およびＲＴＯＳ８２により、ＭＡＣ鍵を直接アクセスすることを防止する。これにより、マイクロコンピュータ１は、ＭＡＣ鍵の隔離を強固にすることができる。ＭＡＣ生成部９３は、ＭＡＣ生成する。

【0040】

続いて、セキュア割り込み処理について説明する。図３は、実施形態にかかるマイクロコンピュータ１のセキュア割り込み処理を示すシーケンス図である。

【0041】

まず、状態管理コントローラ５は、セキュア割り込み要求を受け付ける（Ｓ１）。そして、状態管理コントローラ５は、ＣＰＵ２がスリープ状態になるまで待つ。そして、ＣＰＵ２がスリープ状態となり（Ｓ２）、ＣＰＵ２が、スリープ状態であることを示す信号を状態管理コントローラ５へ送出する（Ｓ３）。状態管理コントローラ５は、当該スリープ状態であることを示す信号を取得することで、ＣＰＵ２がスリープ状態であることを検知する（Ｓ４）。

【0042】

続いて、状態管理コントローラ５は、データすり替え要求が有効である旨の信号をバス監視コントローラ６へ送出する（Ｓ５）。また、状態管理コントローラ５は、ＣＰＵ２へセキュア割り込み処理を指示する信号を送出する（Ｓ６）。

【0043】

バス監視コントローラ６は、データすり替え要求が有効である旨の信号を取得すると、内部バス１２の監視を開始する（Ｓ７）。また、ＣＰＵ２は、セキュア割り込み処理を指示する信号に応じて、ＳＲＡＭ７へセキュア割り込みのベクタアドレスの取得要求をする（Ｓ８）。

【0044】

バス監視コントローラ６は、当該ベクタアドレスの取得要求を検知することで、セキュア割り込みのベクタアドレスのフェッチを検知する（Ｓ９）。

【0045】

バス監視コントローラ６は、セキュア割り込みのベクタアドレスをＣＰＵ２へ入力する（Ｓ１０）。ＣＰＵ２は、ベクタアドレスを取得し（Ｓ１１）、当該ベクタアドレスに基づいてセキュア割り込み処理を実行する（Ｓ１２）。

【0046】

バス監視コントローラ６は、メモリアクセスを検知した旨の信号を状態管理コントローラ５へ送出し（Ｓ１３）、バス監視を終了する（Ｓ１４）。

【0047】

続いて、セキュア割り込み処理の動作タイミングおよび制御信号の流れについて説明する。図４は、実施形態にかかるマイクロコンピュータ１のセキュア割り込み処理の動作タイミングおよび制御信号の流れの一例を示す図である。

【0048】

まず、セキュアタイマ４は、時間を計測し、セキュア割り込み要求のタイミングｔ１となると、セキュア割り込み要求を示す信号Ｃ１を状態管理コントローラ５へ出力する。状態管理コントローラ５は、セキュア割り込み要求が入力された後、ＣＰＵ２がスリープ状態になるまで待つ（Ｓ１に対応）。状態管理コントローラ５は、セキュア割り込み処理を実行するための条件（待ち合わせ条件）に合致するまで待つ。

【0049】

ｔ２において、ＣＰＵ２がスリープ状態に遷移し（Ｓ２に対応）、ＣＰＵ２が、スリープ状態であることを示す信号Ｃ２を状態管理コントローラ５へ送出する（Ｓ３に対応）。

【0050】

ｔ３において、状態管理コントローラ５は、スリープ状態であることを示す信号Ｃ２を取得することで、ＣＰＵ２がスリープ状態となったことを検知する（Ｓ４に対応）。これにより、状態管理コントローラ５は、バス監視コントローラ６に対してデータすり替え要求が有効である旨の信号Ｃ４を出力する（Ｓ５に対応）。データすり替えとは、ベクタアドレスのフェッチをインタセプトする処理をいう。バス監視コントローラ６は、状態管理コントローラ５によるデータすり替え要求を受信すると、内部バス１２を監視する（Ｓ７に対応）。

【0051】

また、ｔ３において、状態管理コントローラ５は、ＣＰＵ２に対して、セキュア割り込み処理を指示する信号Ｃ３を送出する（Ｓ６に対応）。

【0052】

ｔ４において、ＣＰＵ２は、当該信号Ｃ３を受信すると、ＳＲＡＭ７へセキュア割り込みのベクタアドレスの取得要求をする（Ｓ８に対応）。

【0053】

ｔ５において、バス監視コントローラ６は、ＣＰＵ２からのセキュア割り込みのベクタアドレスのフェッチを検知する（Ｓ９に対応）。例えば、バス監視コントローラ６は、フェッチ先の下位アドレスとセキュア割り込み番号の一致を確認し、セキュア割り込みのベクタアドレスをＣＰＵ２へ入力する（Ｓ１０、Ｓ１１に対応）。

【0054】

ＣＰＵ２は、当該ベクタアドレスに基づいて、セキュア割り込み処理をする（Ｓ１２に対応）。このように、バス監視コントローラ６は、セキュア割り込みのベクタアドレスをすり替える。また、ＣＰＵ２は、すり替えられたベクタアドレスを用いてセキュア割り込み処理をする。これにより、マイクロコンピュータ１は、仮にＳＲＡＭ７で保存しているセキュア割り込みのベクタアドレスが改ざんされていたとしても、適切にセキュア割り込みを実行させることができる。

【0055】

バス監視コントローラ６は、ＣＰＵ２からのセキュア割り込みのベクタアドレスのフェッチを検知したことを示す信号である、初回メモリアクセスを示す信号Ｃ５を出力し（Ｓ１３に対応）、バス監視を終了する（Ｓ１４に対応）。また、ｔ６において、状態管理コントローラ５は、データすり替え要求を無効とする。また、セキュアタイマ４は、セキュア割り込み要求が終了したことを示す信号Ｃ６をＣＰＵ２へ送出する。

【0056】

続いて、セキュア割り込み処理を用いたリモートアテステーション技術の連携について説明する。図５は、実施形態にかかるリモートアテステーションを実行するシステム構成図である。管理サーバ１００とマイクロコンピュータ１とが安全ではない通信路を介して情報を送受信するものとする。管理サーバ１００は、マイクロコンピュータ１のプログラムが改ざんされているなど、マイクロコンピュータ１が異常な状態であるか否かを判断するサーバ装置である。

【0057】

図６は、実施形態にかかるリモートアテステーションの動作を示すフローチャートである。前提として、管理サーバ１００は、マイクロコンピュータ１に対して、所定のタイミングで状態確認要求をする。管理サーバ１００は、当該状態確認要求時にマイクロコンピュータ１に対してランダムチャレンジ値を送信する。

【0058】

マイクロコンピュータ１のＣＰＵ２がＲＴＯＳ８２を動作させている際、ＣＰＵ２は、通信Ｉ／Ｆ１０を介してランダムチャレンジ値を取得すると共に、状態確認要求を受け付ける（Ｓ２１）。ＣＰＵ２が、このランダムチャレンジ値を保持してもよいし、ＳＲＡＭ７にランダムチャレンジ値を登録してもよい。

【0059】

ＣＰＵ２は、ランダムチャレンジ値を取得した後に、セキュアタイマ４によるセキュア割り込み要求を状態管理コントローラ５から受け付けると、セキュア割り込み処理を実行する（Ｓ２２）。状態管理コントローラ５は、セキュア割り込み処理を実行中の期間、ＭＡＣ生成管理コントローラ９に対して、セキュア割り込み処理を実行していることを示す信号を送出する。

【0060】

ＭＡＣ生成管理コントローラ９は、当該セキュア割り込み処理を実行していることを示す信号を取得すると、ＭＡＣ生成機能を有効化する。ＣＰＵ２は、セキュア割り込み処理結果をセキュア割り込み専用ＲＡＭ７２へ登録して（Ｓ２３）、ＭＡＣ生成管理コントローラ９にＭＡＣ生成を指示する。また、ＭＡＣ生成管理コントローラ９は、記憶されている秘密鍵を用いて、セキュア割り込み処理結果と、ランダムチャレンジ値とに対するＭＡＣを生成する（Ｓ２４）。ＭＡＣ生成管理コントローラ９によるＭＡＣ生成の完了を確認すると、ＣＰＵ２はセキュア割り込み終了命令（割り込み復帰命令）を発行し、セキュア割り込み処理を終了して、ＲＴＯＳに制御を移行する。ＭＡＣ生成管理コントローラ９によるＭＡＣ生成は、状態管理コントローラ５による信号に基づきセキュア割り込み処理中に限定される。したがって、セキュア割り込み終了後のＲＴＯＳ実行中にはＭＡＣ生成は行われず、不正プログラムによるＭＡＣ偽造が防止される。

【0061】

セキュア割り込みの終了後、ＲＴＯＳの一部として実行される送信部２３は、通信Ｉ／Ｆ１０を介して、ランダムチャレンジ値と、セキュア割り込み処理結果と、ＭＡＣとを管理サーバ１００へ送信する（Ｓ２５）。

【0062】

管理サーバ１００は、ＭＡＣ検証およびランダムチャレンジ値が合致するか否かを確認すると共に、セキュア割り込み処理結果が正常であるか否かを判断する。ＭＡＣを使用する場合、管理サーバ１００は事前にＭＡＣ用秘密鍵を装置と共有しているものとする。

【0063】

管理サーバ１００は、ＭＡＣを検証した結果、ＭＡＣが合致しており、セキュア割り込み処理結果が正常であることを示す場合、マイクロコンピュータ１で異常が発生していないと判断する。一方、管理サーバ１００は、マイクロコンピュータ１からセキュア割り込み処理結果等が受信できない場合、ならびにランダムチャレンジ値が不一致している場合は、マイクロコンピュータ１で異常が発生していると判断する。また、管理サーバ１００は、ＭＡＣを検証した結果、ＭＡＣが一致しない場合やセキュア割り込み処理結果が異常を示すものである場合も、マイクロコンピュータ１で異常が発生していると判断する。

【0064】

上述の実施形態では、ＣＰＵ２がスリープ状態になることをセキュア割り込み処理の実行条件とする場合について述べたが、さらに他の条件を付加するようにしてもよい。例えば、バスマスタの停止を更なる条件とするようにしてもよい。また、サブＣＰＵやＤＭＡコントローラの停止を更なる条件とするようにしてもよい。これにより、ＣＰＵ２は、セキュア割り込み処理実行中の干渉を排除することができる。

【0065】

例えば、通信の受信データを、通信Ｉ／Ｆ１０に内蔵されたサブＣＰＵもしくはＤＭＡコントローラがバスマスタ１３となって、ＳＲＡＭ７に自動転送する機能が備えられている場合がありうる。この機能はセキュア割り込み処理に対してデータ競合を引き起こすことで、動作に干渉する可能性がある。このとき、セキュア割り込み処理の停止をセキュア割り込み処理のさらなる開始条件として、セキュア割り込み処理実行中はバスマスタの動作を停止させることで干渉を排除できる。

【0066】

また、状態管理コントローラ５は、セキュア割り込み要求が入力された後、所定の期間中にＣＰＵ２がスリープ状態に遷移しない場合、所定の強制終了処理をするようにしてもよい。また、状態管理コントローラ５は、強制終了したことを示す情報をセキュア割り込み専用ＲＡＭ７２等に記憶するようにしてもよい。

【0067】

ＣＰＵ２は、セキュア割り込み実行中に、致命的な障害が発生した場合のノンマスカブル割り込みが発生した場合、所定のレジスタに中断を示す情報を記録するようにしてもよい。例えば、割り込み処理部２１は、ノンマスカブル割り込みの入力ラインをモニタしておく。割り込み処理部２１は、セキュア割り込み実行中にノンマスカブル割り込みがアサートされた場合、ノンマスカブル割り込み処理の起動に関わらずセキュア割り込み処理を中断するようにしてもよい。

【0068】

上述の実施形態では、マイクロコンピュータ１は、状態管理コントローラ５と、バス監視コントローラ６とを有する場合について述べたが、状態管理コントローラ５と、バス監視コントローラ６とを一体としたコントローラを有するようにしてもよい。

【0069】

上述の実施形態では、マイクロコンピュータ１は、セキュア割り込み処理として、プログラムの改ざんに関する判断をする場合について述べたが、モータ異常を検出するようにしてもよい。

【0070】

上述の実施形態によれば、バス監視コントローラ６は、ＣＰＵ２がスリープ状態になった後に、セキュア割り込みのベクタアドレスのフェッチを検知し、セキュア割り込みのベクタアドレスをＣＰＵ２へ入力する。これによって、マイクロコンピュータ１は、セキュア割り込み等の重要な処理については、バス監視コントローラ６がセキュア割り込みのベクタアドレスをＣＰＵ２に入力することで確実に実行させることができる。また、マイクロコンピュータ１は、他の割り込み処理のアドレスについては、ＳＲＡＭ７に保存されているアドレスをそのまま使用することで、ユーザによるアドレス変更に応じたアドレスで割り込み処理をすることもできる。

【0071】

ＣＰＵ２のアーキテクチャによっては、ＣＰＵ２内のＶＴＯＲレジスタが割り込みベクタテーブルの上位アドレスを保持している。ＣＰＵ２の外からでは、ＶＴＯＲが変更されたことは検出できない。上述の実施形態では、バス監視コントローラ６が、フェッチ先の下位アドレスとセキュア割り込み番号の一致を確認し、予め記憶しているセキュア割り込みのベクタアドレスをＣＰＵ２へ入力する。よって、上述の実施形態では、ＶＴＯＲの変更に関わらず、適切に割り込み種別を判定することができる。また、ＣＰＵ２は、ＶＴＯＲの設定の影響を受けることなく、入力されたアドレスを用いて適切にセキュア割り込み処理をすることができる。

【0072】

本実施形態は、ＲＴＯＳおよびＲＴＯＳ上で実行される主機能に脆弱性があり、異常動作の脅威が想定される場合において、異常動作を確実に検出することを目的として、主機能と分離して実行される補助機能を確実に実行するための機能を提供するものである。主機能と補助機能の分離について補足する。主機能の通信処理にソフトウェア脆弱性が含まれている場合、外部から通信経由で不正動作が引き起こされる。一例として、スタック上の関数戻りアドレスの不正書き換えがある。プログラム本来の実行フローに代えて、本来プログラムとして実行されるべきではないメモリ領域のデータが実行され、不正動作を行う脅威がある。このような脅威は、スタック領域のデータ構造の確認機能により検出できるが、主機能プログラムの一部として確認機能が実現されている場合、不正プログラムの実行により確認機能の実行が迂回され無効化されてしまう懸念がある。何らかの原因により主機能のプログラムが書き換えられてしまった場合に不正動作が発生するのは当然だが、主機能のプログラムが書き換えられていない状態でも不正動作は起こりうる。このような不正動作の兆候は装置によってさまざまであり、本実施形態では、検出処理を補助機能プログラムとすることでそれぞれの装置に適した不正動作の検出処理を確実に行うことができる。

【0073】

本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。

【符号の説明】

【0074】

１ マイクロコンピュータ、２ ＣＰＵ、３ マスクＲＯＭ、４ セキュアタイマ、５ 状態管理コントローラ、６ バス監視コントローラ、７ ＳＲＡＭ、８ 命令フラッシュメモリ、９ ＭＡＣ生成管理コントローラ、１０ 通信Ｉ／Ｆ、１１ アンテナ、１２ 内部バス、１３ バスマスタ、７１ 汎用ＲＡＭ、７２ セキュア割り込み専用ＲＡＭ、８１ セキュア割り込み用プログラム、８２ ＲＴＯＳ、１００ 管理サーバ。

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】