図面 (/)

技術 情報処理システム、サーバ装置、情報処理装置、動作制御装置及び情報処理システムの動作方法

出願人 株式会社メガチップス
発明者 紀伊康之押切崇
出願日 2018年7月27日 (1年9ヶ月経過) 出願番号 2018-141312
公開日 2019年8月29日 (8ヶ月経過) 公開番号 2019-145062
状態 未査定
技術分野 オンライン・システムの機密保護 記憶装置の機密保護
主要キーワード 動作停止情報 立ち下がり回数 装置動作情報 強制停止制御 基準動作 立ち上がり回数 カウントダウンタイマー 機能制御処理
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2019年8月29日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (20)

課題

情報処理装置の安全性を向上することが可能な技術を提供する。

解決手段

情報処理システムは、第1機能を有する情報処理装置と、情報処理装置と通信ネットワークを通じて通信するサーバ装置とを備える。情報処理装置は、第1機能を制御する動作制御装置を有する。サーバ装置は、情報処理装置に関する所定の条件の成立に応じて、第1機能の動作許可を示す動作許可情報を情報処理装置に送信する。動作制御装置は、情報処理装置が受信する動作許可情報に応じて、第1機能を動作させる。

概要

背景

特許文献1〜3には、半導体集積回路に関する技術が開示されている。

概要

情報処理装置の安全性を向上することが可能な技術を提供する。情報処理システムは、第1機能を有する情報処理装置と、情報処理装置と通信ネットワークを通じて通信するサーバ装置とを備える。情報処理装置は、第1機能を制御する動作制御装置を有する。サーバ装置は、情報処理装置に関する所定の条件の成立に応じて、第1機能の動作許可を示す動作許可情報を情報処理装置に送信する。動作制御装置は、情報処理装置が受信する動作許可情報に応じて、第1機能を動作させる。

目的

本発明は上述の点に鑑みて成されたものであり、情報処理装置の安全性を向上することが可能な技術を提供する

効果

実績

技術文献被引用数
0件
牽制数
0件

この技術が所属する分野

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

第1機能を有する情報処理装置と、前記情報処理装置と通信ネットワークを通じて通信するサーバ装置とを備え、前記情報処理装置は、前記第1機能を制御する動作制御装置を有し、前記サーバ装置は、前記情報処理装置に関する所定の条件の成立に応じて、前記第1機能の動作許可を示す動作許可情報を前記情報処理装置に送信し、前記動作制御装置は、前記情報処理装置が受信する前記動作許可情報に応じて、前記第1機能を動作させる、情報処理システム

請求項2

請求項1に記載の情報処理システムであって、前記動作許可情報は、前記第1機能が動作することが可能な動作可能期間を示す期間情報を含み、前記動作制御装置は、前記期間情報に応じて、前記第1機能を動作させる、情報処理システム。

請求項3

請求項2に記載の情報処理システムであって、前記情報処理装置は、前記期間情報が示す前記動作可能期間において、前記サーバ装置との間で、前記動作許可情報を前記サーバ装置から受信するための処理を行い、前記サーバ装置は、前記処理に応じた前記所定の条件の成立に応じて、前記動作許可情報を前記情報処理装置に送信する、情報処理システム。

請求項4

請求項3に記載の情報処理システムであって、前記情報処理装置は、当該情報処理装置のリセット解除後に、前記動作可能期間よりも短い第1期間動作することが可能であり、当該第1期間において前記処理を行う、情報処理システム。

請求項5

請求項3及び請求項4のいずれか一つに記載の情報処理システムであって、前記情報処理装置は、前記動作可能期間において実行した前記処理に応じた前記動作許可情報を受信しないときに、当該動作可能期間と同じ期間において前記処理を再度実行することができるように、前記処理を繰り返し実行する、情報処理システム。

請求項6

請求項3乃至請求項5のいずれか一つに記載の情報処理システムであって、前記情報処理装置は、前記処理として、前記サーバ装置と相互認証を行い、前記処理に応じた前記所定の条件は、前記相互認証の成功である、情報処理システム。

請求項7

請求項3乃至請求項5のいずれか一つに記載の情報処理システムであって、前記情報処理装置は、前記処理として、前記動作許可情報の送信を要求するための要求信号を前記サーバ装置に送信し、前記処理に応じた前記所定の条件は、前記サーバ装置の前記要求信号の受信である、情報処理システム。

請求項8

請求項1乃至請求項7のいずれか一つに記載の情報処理システムであって、前記動作制御装置は、前記情報処理装置の動作に関する動作情報を取得する、情報処理システム。

請求項9

請求項8に記載の情報処理システムであって、前記情報処理装置は、前記動作制御装置が取得した前記動作情報を前記サーバ装置に送信し、前記サーバ装置は、受信した前記動作情報に基づいて、前記情報処理装置の動作が異常であるか否かを判定する、情報処理システム。

請求項10

請求項9に記載の情報処理システムであって、前記サーバ装置は、前記情報処理装置の動作が異常であると判定した場合、前記情報処理装置が有する第2機能の停止を指示するための動作停止情報を送信し、前記動作制御装置は、前記情報処理装置での前記動作停止情報の受信に応じて、前記第2機能を停止する、情報処理システム。

請求項11

請求項9に記載の情報処理システムであって、前記サーバ装置は、前記情報処理装置の動作が異常であると判定した場合、前記所定の条件が成立したとしても、前記動作許可情報を送信しない、情報処理システム。

請求項12

請求項8に記載の情報処理システムであって、前記動作制御装置は、取得した前記動作情報に基づいて、前記情報処理装置の動作が異常であるか否かを判定する、情報処理システム。

請求項13

請求項12に記載の情報処理システムであって、前記動作制御装置は、前記情報処理装置の動作が異常であると判定した場合、前記情報処理装置が有する第2機能を停止する、情報処理システム。

請求項14

請求項8乃至請求項13のいずれか一つに記載の情報処理システムであって、前記情報処理装置は間欠動作を行い、前記動作制御装置は、前記情報処理装置が前記間欠動作を行っているときに、当該間欠動作に関する情報を、前記動作情報として取得する、情報処理システム。

請求項15

請求項8乃至請求項14のいずれか一つに記載の情報処理システムであって、前記動作情報は、前記第1機能を実現する第1回路を動作させるためのクロック信号に基づいて前記動作制御装置が取得した、前記情報処理装置の動作に関する第1動作情報を含む、情報処理システム。

請求項16

請求項8乃至請求項15のいずれか一つに記載の情報処理システムであって、前記動作情報は、前記情報処理装置が前記動作制御装置とは別に備える少なくとも一つの回路に関する第2動作情報を含む、情報処理システム。

請求項17

請求項16に記載の情報処理システムであって、前記少なくとも一つの回路は、通信回路記憶回路及びセンサ回路の少なくとも一つを含む、情報処理システム。

請求項18

請求項16及び請求項17のいずれか一つに記載の情報処理システムであって、前記第2動作情報は、前記少なくとも一つの回路に含まれる第3回路についての動作時間動作開始タイミング及び動作終了タイミングの少なくとも一つを含む、情報処理システム。

請求項19

請求項18に記載の情報処理システムであって、前記動作開始タイミング及び前記動作終了タイミングの少なくとも一方は時刻で表される、情報処理システム。

請求項20

請求項16及び請求項17のいずれか一つに記載の情報処理システムであって、前記第2動作情報は、前記少なくとも一つの回路に含まれる第3回路の動作の有無を含む、情報処理システム。

請求項21

請求項16及び請求項17のいずれか一つに記載の情報処理システムであって、前記第2動作情報は、前記少なくとも一つの回路に含まれる複数の第3回路の間での動作順序を含む、情報処理システム。

請求項22

請求項17に記載の情報処理システムであって、前記少なくとも一つの回路は、前記サーバ装置と通信することが可能な前記通信回路を含み、前記第2動作情報は、前記通信回路が送信する情報を含む、情報処理システム。

請求項23

請求項16乃至請求項22のいずれか一つに記載の情報処理システムであって、前記動作制御装置は、前記少なくとも一つの回路に接続された信号ラインに流れる信号に対する監視に基づいて前記第2動作情報を取得する、情報処理システム。

請求項24

請求項1乃至請求項14のいずれか一つに記載の情報処理システムであって、前記動作制御装置は、前記第1機能を実現する回路に入力される信号を制御することによって、あるいは前記第1機能を実現する回路に対する電源供給を停止することによって、当該第1機能を停止する、情報処理システム。

請求項25

請求項24に記載の情報処理システムであって、前記動作制御装置は、前記第1機能を実現する回路を動作させるためのクロック信号についての当該回路に対する供給を停止することによって、あるいは前記第1機能を実現する回路に入力されるリセット信号アサートすることによって、当該第1機能を停止する、情報処理システム。

請求項26

請求項10及び請求項13のいずれか一つに記載の情報処理システムであって、前記動作制御装置は、前記第2機能を実現する回路に入力される信号を制御することによって、あるいは前記第2機能を実現する回路に対する電源供給を停止することによって、当該第2機能を停止する、情報処理システム。

請求項27

請求項26に記載の情報処理システムであって、前記動作制御装置は、前記第2機能を実現する回路を動作させるためのクロック信号についての当該回路に対する供給を停止することによって、あるいは前記第2機能を実現する回路に入力されるリセット信号をアサートすることによって、当該第2機能を停止する、情報処理システム。

請求項28

請求項10、請求項13、請求項26及び請求項27のいずれか一つに記載の情報処理システムであって、前記第1及び第2機能は同じである、情報処理システム。

請求項29

請求項1乃至請求項28のいずれか一つに記載の情報処理システムであって、前記第1機能は、前記情報処理装置が前記サーバ装置と通信する通信機能を含む、情報処理システム。

請求項30

請求項10、請求項13、請求項26及び請求項27のいずれか一つに記載の情報処理システムであって、前記第2機能は、前記情報処理装置が前記サーバ装置と通信する通信機能を含む、情報処理システム。

請求項31

請求項1及び請求項2のいずれか一つに記載の情報処理システムであって、前記情報処理装置と前記サーバ装置は相互認証を行い、前記所定の条件は、前記相互認証の成功である、情報処理システム。

請求項32

請求項1乃至請求項31のいずれか一つに記載の情報処理システムであって、前記動作制御装置と、前記第1機能を実現する回路とは、互いに異なるパッケージ収納されている、情報処理システム。

請求項33

請求項1乃至請求項32のいずれか一つに記載の情報処理システムが備えるサーバ装置。

請求項34

請求項1乃至請求項32のいずれか一つに記載の情報処理システムが備える情報処理装置。

請求項35

請求項1乃至請求項32のいずれか一つに記載の情報処理システムが備える動作制御装置。

請求項36

情報処理装置と、前記情報処理装置と通信ネットワークを通じて通信するサーバ装置とを備える情報処理システムの動作方法であって、(a)前記サーバ装置が、前記情報処理装置に関する所定の条件の成立に応じて、前記情報処理装置が有する所定の機能の動作許可を示す動作許可情報を前記情報処理装置に送信する工程と、(b)前記情報処理装置が、受信する前記動作許可情報に応じて、前記所定の機能を動作させる工程とを備える、情報処理システムの動作方法。

請求項37

所定の機能を有する情報処理装置であって、前記所定の機能の動作許可を示す動作許可情報を記憶する記憶部と、前記情報処理装置の動作に関する動作情報を取得する第1処理部と、前記第1処理部が取得する前記動作情報に基づいて、前記情報処理装置の動作が異常であるか否かを判定する第2処理部と、前記第2処理部が前記情報処理装置の動作が異常であると判定した場合、前記記憶部内の前記動作許可情報を、前記所定の機能の動作不可を示す動作不可情報に書き換えて、当該所定の機能を停止する第3処理部とを備える、情報処理装置。

技術分野

0001

本発明は、情報処理装置に関する。

背景技術

0002

特許文献1〜3には、半導体集積回路に関する技術が開示されている。

先行技術

0003

特開2004−173206号公報
特開2002−305250号公報
特許第4899248号公報

発明が解決しようとする課題

0004

回路等を含む情報処理装置については、その安全性の向上が望まれる。

0005

そこで、本発明は上述の点に鑑みて成されたものであり、情報処理装置の安全性を向上することが可能な技術を提供することを目的とする。

課題を解決するための手段

0006

情報処理システムの一態様は、第1機能を有する情報処理装置と、前記情報処理装置と通信ネットワークを通じて通信するサーバ装置とを備え、前記情報処理装置は、前記第1機能を制御する動作制御装置を有し、前記サーバ装置は、前記情報処理装置に関する所定の条件の成立に応じて、前記第1機能の動作許可を示す動作許可情報を前記情報処理装置に送信し、前記動作制御装置は、前記情報処理装置が受信する前記動作許可情報に応じて、前記第1機能を動作させる。

0007

また、サーバ装置の一態様は、上記の情報処理システムが備えるサーバ装置である。

0008

また、情報処理装置の一態様は、上記の情報処理システムが備える情報処理装置である。

0009

また、動作制御装置の一態様は、上記の情報処理システムが備える動作制御装置である。

0010

また、情報処理システムの動作方法の一態様は、情報処理装置と、前記情報処理装置と通信ネットワークを通じて通信するサーバ装置とを備える情報処理システムの動作方法であって、(a)前記サーバ装置が、前記情報処理装置に関する所定の条件の成立に応じて、前記情報処理装置が有する所定の機能の動作許可を示す動作許可情報を前記情報処理装置に送信する工程と、(b)前記情報処理装置が、受信する前記動作許可情報に応じて、前記所定の機能を動作させる工程とを備える。

0011

また、情報処理装置の一態様は、所定の機能を有する情報処理装置であって、前記所定の機能の動作許可を示す動作許可情報を記憶する記憶部と、前記情報処理装置の動作に関する動作情報を取得する第1処理部と、前記第1処理部が取得する前記動作情報に基づいて、前記情報処理装置の動作が異常であるか否かを判定する第2処理部と、前記第2処理部が前記情報処理装置の動作が異常であると判定した場合、前記記憶部内の前記動作許可情報を、前記所定の機能の動作不可を示す動作不可情報に書き換えて、当該所定の機能を停止する第3処理部とを備える。

発明の効果

0012

情報処理装置の安全性を向上することができる。

図面の簡単な説明

0013

情報処理システムの構成の一例を示す図である。
サーバ装置の構成の一例を示す図である。
情報処理装置の構成の一例を示す図である。
主装置の構成の一例を示す図である。
動作制御装置の構成の一例を示す図である。
情報処理システムの動作の一例を示す図である。
情報処理システムの動作の一例を示す図である。
情報処理装置の動作の一例を示すフローチャートである。
情報処理装置の動作の一例を説明するための図である。
情報処理システムの動作の一例を示す図である。
情報処理装置の動作の一例を説明するための図である。
情報処理装置の動作の一例を説明するための図である。
情報処理システムの動作の一例を示す図である。
情報処理システムの動作の一例を示す図である。
動作制御装置の構成の一例を示す図である。
情報処理装置の構成の一例を示す図である。
情報処理装置の構成の一例を示す図である。
機能ブロックの構成の一例を示す図である。
機能ブロックの構成の一例を示す図である。
情報処理装置の構成の一例を示す図である。
情報処理装置の構成の一例を示す図である。
情報処理装置の構成の一例を示す図である。
情報処理装置の構成の一例を示す図である。
情報処理装置の動作の一例を説明するための図である。
動作制御装置の構成の一例を示す図である。
動作制御装置の構成の一例を示す図である。
情報処理装置の構成の一例を示す図である。
動作制御装置の構成の一例を示す図である。
情報処理装置の動作の一例を示すフローチャートである。
サーバ装置の動作の一例を示すフローチャートである。
情報処理装置の動作の一例を示すフローチャートである。
動作制御装置の構成の一例を示す図である。
情報処理装置の構成の一例を示す図である。
情報処理装置の動作の一例を示すフローチャートである。
情報処理装置の構成の一例を示す図である。
主装置の構成の一例を示す図である。
主装置の構成の一例を示す図である。
動作制御装置の構成の一例を示す図である。
動作制御装置の構成の一例を示す図である。
動作制御装置の構成の一例を示す図である。
動作制御装置の構成の一例を示す図である。
動作制御装置の構成の一例を示す図である。
主装置の動作の一例を説明するための図である。
動作制御装置の構成の一例を示す図である。
主装置の構成の一例を示す図である。
動作制御装置の構成の一例を示す図である。
主装置が備える回路の動作の一例を説明するための図である。
主装置の構成の一例を示す図である。

実施例

0014

<システム概要
図1は情報処理システム1の構成の一例を示す図である。図1に示されるように、情報処理システム1は、サーバ装置2と、当該サーバ装置2と通信ネットワーク4を通じて接続された複数の情報処理装置3とを備えている。各情報処理装置3は、通信ネットワーク4を通じて、サーバ装置2と通信可能である。

0015

通信ネットワーク4には、無線ネットワーク及び有線ネットワークの少なくとも一方が含まれる。本例では、通信ネットワーク4には、例えば、基地局等を含む、携帯電話システムネットワーク無線LAN(Local Area Network)及びインターネット等が含まれる。

0016

サーバ装置2は、一種コンピュータ装置であって、例えばクラウドサーバと呼ばれる。サーバ装置2は、各情報処理装置3を制御することが可能である。

0017

各情報処理装置3は、例えば、センサを有し、当該センサが検出した情報をサーバ装置2に送信することが可能である。情報処理装置3は、例えば、家、オフィス工場あるいは屋外などで使用されるIoT(Internet of Things)端末である。

0018

サーバ装置2は、情報処理装置3から受信した情報に基づいて各種処理を行うことが可能である。サーバ装置2は、例えば、情報処理装置3から受信した情報を解析し、その解析結果に基づいて、当該情報処理装置3を制御したり、あるいは他の情報処理装置3を制御したりすることが可能である。またサーバ装置2は、その解析結果を表示してもよい。またサーバ装置2は、複数の情報処理装置3が送信する情報を取集し、取集した情報を表示してもよい。なお情報処理システム1は、複数のサーバ装置2を備えてもよい。またサーバ装置2は、情報処理装置3以外の装置と通信可能であってもよい。

0019

<サーバ装置の構成例>
図2はサーバ装置2の構成の一例を示す図である。図2に示されるように、サーバ装置2は、例えば、制御部20と、記憶部21と、通信ネットワーク4に接続された通信部22と、表示部23と、乱数生成器24とを備える。制御部20、記憶部21、通信部22、表示部23及び乱数生成器24は、例えば、バス25で互いに電気的に接続されている。

0020

表示部23は、例えば、液晶ディスプレイあるいは有機ELディスプレイである。表示部23は、制御部20によって制御されることによって、文字記号、図形などの各種情報を表示することが可能である。

0021

乱数生成器24は、例えば、サーバ装置2と情報処理装置3との間の相互認証で使用される乱数を生成する。乱数生成器24は、例えば真正乱数を生成する。乱数生成器24は、乱数生成回路とも言える。なお、乱数生成器24は、疑似乱数を生成してもよい。サーバ装置2と情報処理装置3との間の相互認証については後で詳細に説明する。

0022

記憶部21は、ROM(Read Only Memory)及びRAM(Random Access Memory)などの、コンピュータ読み取り可能な非一時的な記録媒体を含む。記憶部21には、サーバ装置2を制御するための制御プログラムが記憶されている。

0023

制御部20は、サーバ装置2の他の構成要素を制御することによって、サーバ装置2の動作を統括的に管理することが可能である。制御部20は制御回路であるとも言える。制御部20は、例えば、CPU(Central Processing Unit)を備えている。制御部20の各種機能は、当該制御部20が備えるCPUが記憶部21内の制御プログラムを実行することによって実現される。

0024

通信部22は、有線あるいは無線で通信ネットワーク4に接続されている。通信部22は通信回路であるとも言える。通信部22は、通信ネットワーク4を通じて、当該通信ネットワーク4に接続された、情報処理装置3等の装置と通信することが可能である。通信部22は、通信ネットワーク4から受け取った情報を制御部20に入力することが可能である。また通信部22は、制御部20から受け取った情報を通信ネットワーク4に出力することが可能である。

0025

なお、サーバ装置2の構成は図2の例には限られない。例えば、制御部20は、複数のCPUを備えてもよい。また制御部20は、少なくとも一つのDSP(Digital Signal Processor)を備えてもよい。また、制御部20の全ての機能あるいは制御部20の一部の機能は、その機能の実現にソフトウェアが不要なハードウェア回路によって実現されてもよい。

0026

また記憶部21は、ROM及びRAM以外の、コンピュータが読み取り可能な非一時的な記録媒体を備えてもよい。記憶部21は、例えば、小型のハードディスクドライブ及びSSD(Solid State Drive)などを備えてもよい。

0027

またサーバ装置2は、制御部20、記憶部21、通信部22及び表示部23以外の構成を備えてもよい。サーバ装置2は、例えば、タッチパネル等の、ユーザがサーバ装置2に情報を入力するための入力装置を備えてもよい。

0028

<情報処理装置の構成例>
図3は情報処理装置3の構成の一例を示す図である。本例では、情報処理装置3の主な機能は、例えば、センサで情報を検出し、検出した情報に対して所定の処理を行うことである。情報処理装置3の主な機能は、これに限られず、他の機能であってもよい。

0029

図3に示されるように、情報処理装置3は、当該情報処理装置3の主な機能を実行する主装置30と、当該主装置30を制御することによって、当該情報処理装置3の安全性を向上させる動作制御装置40と、ユーザが操作するリセットスイッチ50とを備える。

0030

主装置30は、例えば、樹脂等から成るパッケージ300に収納された集積回路である。主装置30は、複数のダイで構成されてもよいし、一つのダイで構成されてもよい。ダイは、ウェハチップとも呼ばれる。動作制御装置40は、例えば、樹脂等から成るパッケージ400に収納された集積回路である。動作制御装置40は、複数のダイで構成されてもよいし、一つのダイで構成されてもよい。主装置30と動作制御装置40とは、例えば同じ基板60に実装されている。主装置30及び動作制御装置40は、基板60に設けられた配線によって互いに電気的に接続されている。

0031

主装置30と動作制御装置40とは、互いに通信することによって、情報のやり取りを互いに行うことができる。主装置30と動作制御装置40とは、例えば、SPI(Serial Peripheral Interface)あるいはI2C(Inter-IntegratedCircuit)に基づいて互いに通信することが可能である。なお、主装置30と動作制御装置40との間の通信方式はこれに限られない。また本例では、主装置30と動作制御装置40とは、互いに有線通信を行っているが、互いに無線通信を行ってもよい。

0032

主装置30は、センサを有し、当該センサが検出する情報を通信ネットワーク4を通じてサーバ装置2に送信する。また、主装置30は、動作制御装置40が出力するクロック信号に基づいて動作を行う。動作制御装置40は、後述するように、クロック信号を主装置30に対して供給しないことによって、主装置30の動作を停止することができる。動作制御装置40は、主装置30が有する機能を制御することができるとも言える。

0033

リセットスイッチ50は、ユーザが操作できるように、情報処理装置3のケースから露出するように、当該情報処理装置3に設けられる。リセットスイッチ50は、ユーザによって操作されると(例えば押されると)、操作されたことを示す操作信号SSを動作制御装置40に出力する。動作制御装置40は、リセットスイッチ50からの操作信号SS等に基づいて、当該動作制御装置40が備える各種回路に入力されるリセット信号アサートすることができる。これにより、動作制御装置40の動作が初期化される。また動作制御装置40は、主装置30に入力されるリセット信号をアサートすることが可能である。これにより、主装置30の動作が初期化される。

0034

<主装置の構成例>
図4は主装置30の構成の一例を示す図である。図4に示されるように、主装置30は、例えば、制御部310と、記憶部320と、少なくとも一つのセンサを備えるセンサ装置330と、第1通信部340と、第2通信部350と、処理回路360とを備える。主装置30が備えるこれらの構成要素は、パッケージ300に収納されている。制御部310、記憶部320、センサ装置330、第1通信部340、第2通信部350及び処理回路360は、例えば、バス380で互いに電気的に接続されている。主装置30は、情報処理装置3の主な機能を実現する主回路とも言える。

0035

記憶部320は、ROM及びRAMなどの、コンピュータが読み取り可能な非一時的な記録媒体を含む。また記憶部320は、レジスタを含んでもよい。記憶部320には、主装置30を制御するための制御プログラムが記憶されている。

0036

制御部310は、主装置30の他の構成要素を制御することによって、主装置30の動作を統括的に管理することが可能である。制御部310は制御回路であるとも言える。制御部310は、例えばCPUを備えている。制御部310の各種機能は、当該制御部310が備えるCPUが記憶部320内の制御プログラムを実行することによって実現される。

0037

センサ装置330は、例えば、温度センサ加速度センサ地磁気センサジャイロセンサ圧力センサ及びイメージセンサの少なくとも一つを備える。センサ装置330が備えるセンサは、これに限られず、センサ装置330は他のセンサを備えてもよい。センサ装置330で検出された情報(例えば、温度及び加速度など)は記憶部320に記憶される。以後、センサ装置330で検出された情報を「センサ情報」と呼ぶことがある。

0038

第1通信部340は、動作制御装置40と、例えばSPIあるいはI2Cに基づいて通信することが可能である。第1通信部340は通信回路であるとも言える。第1通信部340は、動作制御装置40から受け取った情報を制御部310に入力することが可能である。また第1通信部340は、制御部310から受け取った情報を動作制御装置40に出力することが可能である。

0039

第2通信部350は、有線あるいは無線で通信ネットワーク4に接続されている。第2通信部350は通信回路であるとも言える。第2通信部350は、通信ネットワーク4を通じて、当該通信ネットワーク4に接続された、サーバ装置2等の装置と通信することが可能である。第2通信部350は、通信ネットワーク4から受け取った情報を制御部310に入力することが可能である。また第2通信部350は、制御部310から受け取った情報を通信ネットワーク4に出力することが可能である。

0040

処理回路360は、制御部310に制御されることによって、記憶部320内のセンサ情報に対して所定の処理を行うことが可能である。処理回路360は、記憶部320からセンサ情報を読み出して、読み出したセンサ情報に対して、例えば、フィルタ処理等を含む加工処理を行う。処理回路360は、加工処理後のセンサ情報を、処理済みセンサ情報として記憶部320に記憶する。本例では、情報処理装置3の主な機能は、センサ装置330で情報を検出し、検出した情報を処理回路360で処理することである。処理回路360は、その機能の実現にソフトウェアが不要なハードウェア回路によって実現されている。なお、処理回路360が実行する処理はこの限りではない。

0041

主装置30は、動作制御装置40から出力されるクロック信号CLKm及びリセット信号RSがそれぞれ入力されるクロック入力口301及びリセット入力口302を備える。本例では、クロック入力口301及びリセット入力口302のそれぞれは、パッケージ300に設けられた金属端子となっている。したがって、本例では、クロック入力口301及びリセット入力口302は、クロック入力端子301及びリセット入力端子302とも言える。主装置30は、クロック入力口301に入力されるクロック信号CLKmに基づいて動作を行う。また主装置30は、リセット入力口302に入力されるリセット信号RSがアサートされると、その動作を初期化する。

0042

なお、主装置30の構成は図3,4の例には限られない。例えば、主装置30が備える複数の回路が、複数のパッケージに分けられて収納されてもよい。また制御部310は、複数のCPUを備えてもよい。また制御部310は、少なくとも一つのDSPを備えてもよい。また、制御部310の全ての機能あるいは制御部310の一部の機能は、その機能の実現にソフトウェアが不要なハードウェア回路によって実現されてもよい。また記憶部320は、ROM及びRAM以外の、コンピュータが読み取り可能な非一時的な記録媒体を備えてもよい。記憶部320は、例えば、小型のハードディスクドライブ及びSSDなどを備えてもよい。

0043

以上のように、本例では、主装置30は、情報処理装置3の主な機能を実行する。また、主装置30は、サーバ装置2と通信することが可能であることから、サーバ装置2と通信する機能も実行する。以後、情報処理装置3がサーバ装置2と通信する機能を「サーバ通信機能」と呼ぶことがある。主装置30は、情報処理装置3が有する主な機能とサーバ通信機能を実現する回路であると言える。

0044

<動作制御装置の構成例>
図5は動作制御装置40の構成の一例を示す図である。図5に示されるように、動作制御装置40は、例えば、制御部410と、タイマー420と、記憶部430と、乱数生成器440と、動作許可レジスタ450と、動作制御部460と、通信部470と、クロック生成部480と、リセット信号生成部490とを備える。動作制御装置40が備えるこれらの構成要素は、パッケージ400に収納されている。制御部410、タイマー420、記憶部430、乱数生成器440、動作許可レジスタ450及び通信部470は、例えば、バス550で互いに電気的に接続されている。

0045

クロック生成部480は、情報処理装置3の動作の基準となるクロック信号CLKを生成する。クロック生成部480はクロック生成回路とも言える。クロック信号CLKは、動作制御装置40が備える、制御部410及び通信部470等を含む内部回路に供給される。動作制御装置40は、クロック信号CLKに基づいて動作する。クロック生成部480は、水晶発振器を備えてもよいし、水晶を利用しない発振器を備えてもよい。水晶を利用しない発振器としては、例えば、MEMS(Micro Electro Mechanical Systems)を利用した発振器がある。

0046

リセット信号生成部490は、リセットスイッチ50から操作信号SSが入力されると、リセット信号RSを一定時間アサートする。リセット信号生成部490はリセット信号生成回路とも言える。また、リセット信号生成部490は、情報処理装置3の電源オフからオン切り替われると、リセット信号RSを一定時間アサートする。リセット信号RSは、動作制御装置40が備える、制御部410及び通信部470等を含む内部回路に入力される。これにより、リセットスイッチ50が操作されたとき、動作制御装置40の動作が初期化される。また、情報処理装置3の電源がオフからオンに切り替わったときに、動作制御装置40の動作が初期化される。リセット信号生成部490で生成されたリセット信号RSは、主装置30のリセット入力口302にも入力される。

0047

記憶部430は、ROM及びRAMなどの、コンピュータが読み取り可能な非一時的な記録媒体を含む。記憶部430には、動作制御装置40を制御するための制御プログラムが記憶されている。

0048

制御部410は、動作制御装置40の他の構成要素を制御することによって、動作制御装置40の動作を統括的に管理することが可能である。制御部410は制御回路であるとも言える。制御部410は、例えばCPUを備えている。制御部410の各種機能は、当該制御部410が備えるCPUが記憶部430内の制御プログラムを実行することによって実現される。

0049

本例では、制御部410は、情報処理装置3からサーバ装置2に送信される情報を暗号化することができる。また、制御部410は、サーバ装置2から情報処理装置3が受信する、暗号化された情報を復号化することができる。記憶部430には、暗号化及び復号化に必要な鍵が記憶されている。制御部410は、情報処理装置3からサーバ装置2に送信される情報を記憶部430内の鍵を用いて暗号化する。また制御部410は、サーバ装置2から情報処理装置3が受信する、暗号化された情報を、記憶部430内の鍵を用いて復号化する。

0050

タイマー420は、制御部410によって設定された所定時間を計測することが可能な回路である。乱数生成器440は、例えば、情報処理装置3とサーバ装置2との間の相互認証で使用される乱数を生成する。乱数生成器440は、例えば真正乱数を生成する。乱数生成器440は乱数生成回路とも言える。なお、乱数生成器440は、疑似乱数を生成してもよい。

0051

通信部470は、主装置30と、例えばSPIあるいはI2Cに基づいて通信することが可能である。通信部470は通信回路とも言える。通信部470は、主装置30から受け取った情報を制御部410に入力することが可能である。また通信部470は、制御部410から受け取った情報を主装置30に出力することが可能である。

0052

動作許可レジスタ450は、情報処理装置3がサーバ装置2から受信する動作許可情報500を記憶することが可能である。動作許可レジスタ450は、記憶部の一種であると言える。言い換えれば、動作許可レジスタ450は、記憶回路の一種であると言える。ここで、動作許可情報500は、情報処理装置3の所定の機能の動作許可を示す情報である。情報処理装置3は、動作許可情報に応じて、所定の機能を動作させる。以後、当該所定の機能を「許可対象機能」と呼ぶことがある。

0053

許可対象機能には、例えば、情報処理装置3の主な機能とサーバ通信機能とが含まれる。情報処理装置3では、主装置30がサーバ装置2からの動作許可情報500を受信し、受信した動作許可情報500を動作制御装置40に送信する。動作制御装置40は、通信部470において、主装置30からの動作許可情報500を受信する。制御部410は、通信部470で受信された動作許可情報500を動作許可レジスタ450に記憶する。

0054

動作制御部460は、動作許可レジスタ450内の動作許可情報500に基づいて、許可対象機能を制御することが可能である。動作制御部460は動作制御回路とも言える。本例では、動作制御部460は、動作許可情報500に基づいて主装置30の動作を制御することによって、許可対象機能を制御する。動作制御部460は、クロック信号の主装置30に対する供給を制御することによって、主装置30を動作させるか否かを制御することが可能である。

0055

動作制御部460は、例えば、カウントダウンタイマー461及びクロックゲート462を備えている。カウントダウンタイマー461は、所定時間を計測することが可能な回路である。クロックゲート462は、カウントダウンタイマー461が所定時間を計測している間だけ、入力されるクロック信号CLKを、クロック信号CLKmとして、主装置30のクロック入力口301に出力することが可能な回路である。カウントダウンタイマー461及びクロックゲート462には、クロック信号CLKが入力される。

0056

ここで、本例では、動作許可情報500には、許可対象機能が動作することが可能な動作可能期間を示す期間情報が含まれる。本例では、期間情報は、許可対象機能を実行する主装置30が動作することが可能な動作可能期間を示すとも言える。期間情報が示す動作可能期間は、例えば、数時間から数十時間に設定される。なお、期間情報が示す動作可能期間はこれに限られない。以後、単に動作可能期間と言えば、期間情報が示す動作可能期間(言い換えれば、動作許可情報500が示す動作可能期間)を意味する。動作可能期間をT1で表すと、T1は数時間から数十時間となる。

0057

本例では、動作許可情報500に含まれる期間情報は、主装置30がクロック信号CLKに基づいて動作することが可能な入力クロック数で表される。つまり、動作可能期間T1は、クロック信号CLKの入力クロック数で表される。

0058

ここで、クロックとは、クロック信号CLKの立ち上がり(言い換えれば立ち上がりエッジ)あるいは立ち下り(言い換えれば立ち下がりエッジ)を意味する。そして、入力クロックとは、クロック信号CLKについての入力される立ち上がり(言い換えれば立ち上がりエッジ)あるいは入力される立ち下がり(言い換えれば立ち下がりエッジ)を意味する。したがって、入力クロック数は、クロック信号CLKについての入力される立ち上がりの数(言い換えれば立ち上がりエッジの数)あるいは入力される立ち下がりの数(言い換えれば立ち下がりエッジの数)を意味する。以後、主装置30がクロック信号CLKに基づいて動作することが可能な入力クロック数を「動作可能クロック数」と呼ぶことがある。また、動作可能クロック数をNで表すことがある。

0059

動作許可レジスタ450に動作許可情報500が書き込まれると、動作許可レジスタ450内の動作許可情報500に含まれる動作可能クロック数Nが、自動的にカウントダウンタイマー461のカウント値に設定される。カウントダウンタイマー461は、カウント値が設定されるとカウント動作を開始する。これにより、カウントダウンタイマー461は、クロック信号CLKが立ち上がるたびにあるいは立ち下がるたびに、カウント値を1つだけカウントダウンする。言い換えれば、カウントダウンタイマー461は、クロックが入力されるたびに、カウント値を1つだけカウントダウンする。そして、カウントダウンタイマー461は、カウント値がになると、カウント動作を停止する。これにより、カウントダウンタイマー461は、入力されるクロックを、動作可能クロック数N、カウントすることができる。言い換えれば、カウントダウンタイマー461は、動作許可情報500が示す動作可能期間を計測することができる。

0060

カウントダウンタイマー461は、クロックゲート462の動作を制御するためのイネーブル信号ENSを、クロックゲート462のイネーブル入力口ENに入力する。カウントダウンタイマー461は、カウント動作を行っていないときには、イネーブル信号ENSをLowレベルに設定し、カウント動作を行っているときには、イネーブル信号ENSをHighレベルに設定する。クロックゲート462は、イネーブル入力口ENに入力されるイネーブル信号ENSがHighレベルのときだけ、クロック入力口CLKinに入力されるクロック信号CLKをクロック信号CLKmとして出力する。クロックゲート462から出力されるクロック信号CLKmは主装置30のクロック入力口301に入力される。これにより、カウントダウンタイマー461が、動作可能クロック数、入力クロックをカンウントすると、クロック信号CLKmのクロックが動作可能クロック数だけ主装置30に入力される。つまり、動作許可情報500が示す動作可能期間だけクロック信号CLKmが主装置30に入力される。よって、主装置30は、動作許可情報500が示す動作可能期間、動作することが可能となる。言い換えれば、主装置30は、クロック信号CLKmが入力されている間、許可対象機能を実行することが可能となる。本例では、主装置30は、クロック信号CLKmが入力されている間、センサ装置330で情報を検出し、検出した情報を処理回路360で処理することが可能となる。また、主装置30は、クロック信号CLKmが入力されている間、サーバ通信機能を実行することが可能である。

0061

このように、情報処理装置3は、サーバ装置2から送信される動作許可情報500に含まれる期間情報に応じて、許可対象機能を動作させる。よって、サーバ装置2は、動作許可情報500を情報処理装置3に送信することによって、情報処理装置3の許可対象機能を制御することができると言える。

0062

本例では、動作制御装置40の制御部410の動作モードには、通常モードと、動作制御装置40の安全性を高めるためのセキュアモードとが含まれる。制御部410の動作モードは、基本的には通常モードに設定される。そして、制御部410の動作モードは、動作制御装置40の安全性を高めたいときに例外的にセキュアモードに設定される。

0063

本例では、制御部410は、動作モードがセキュアモードに設定されている場合にだけ、記憶部430にアクセスすることができる。つまり、制御部410が記憶部430にアクセスする場合には、動作モードはセキュアモードに設定されている。したがって、制御部410は、動作モードがセキュアモードに設定されている場合だけしか、記憶部430内の制御プログラムを実行することができない。また、制御部410は、動作モードがセキュアモードに設定されている場合だけしか、記憶部430内の鍵を用いて、情報を暗号化したり、暗号化された情報を復号化したりすることはできない。このような記憶部430は、セキュアメモリとも呼ばれる。

0064

本例では、制御部410は、動作制御装置40のリセットが解除されると、つまり、リセット信号RSがネゲートされると、まず動作モードをセキュアモードに設定する。そして、制御部410は、記憶部430内の制御プログラムを実行して、動作制御装置40の初期設定を行う。その後、制御部410は、動作モードを通常モードに設定する。以後、制御部410は、必要なときにだけ動作モードをセキュアモードに設定する。

0065

また制御部410は、動作モードがセキュアモードに設定されている場合にだけ、動作許可レジスタ450に情報を書き込むことが可能である。つまり、制御部410が、動作許可レジスタ450に情報を書き込む場合には、動作モードはセキュアモードに設定されている。また制御部410は、動作モードがセキュアモードに設定されている場合にだけ、タイマー420が計測する所定期間を当該タイマー420に設定することができる。通信部470が主装置30と通信する場合には、動作モードは通常モードに設定される。なお、通信部470が主装置30と通信する場合、動作モードがセキュアモードに設定されてもよい。

0066

このように、制御部410の動作モードには、通常モードとセキュアモードが含まれることから、通常モードで動作する動作制御装置40が仮にハッキングされたとしても、セキュアモードで動作する動作制御装置40を保護することができる。よって、記憶部430及び動作許可レジスタ450内の重要な情報が書き換えられる可能性を低減することができる。さらに、記憶部430内の重要な情報が外部に漏れる可能性を低減することができる。その結果、動作制御装置40の安全性を向上することができる。

0067

なお、動作制御装置40の構成は図3,5の例には限られない。例えば、動作制御装置40が備える複数の回路が、複数のパッケージに分けられて収納されてもよい。また制御部410は、複数のCPUを備えてもよい。また制御部410は、少なくとも一つのDSPを備えてもよい。また、制御部410の全ての機能あるいは制御部410の一部の機能は、その機能の実現にソフトウェアが不要なハードウェア回路によって実現されてもよい。また記憶部430は、ROM及びRAM以外の、コンピュータが読み取り可能な非一時的な記録媒体を備えてもよい。記憶部430は、例えば、小型のハードディスクドライブ及びSSDなどを備えてもよい。また記憶部430内の情報が暗号化されていてもよい。また動作制御装置40は、リセット信号生成部490を備えなくてもよい。この場合、リセット信号生成部490は、例えば、動作制御装置40及び主装置30とは異なるパッケージに収納されて、基板60上に実装されてもよい。

0068

<相互認証の一例>
図6は、サーバ装置2と情報処理装置3との間の相互認証処理の一例を示すフローチャートである。相互認証処理は、情報処理装置3のリセットが解除されて、その動作が初期化された直後に実行される。相互認証処理では、例えば公開鍵暗号方式が用いられる。

0069

本例では、情報処理装置3のリセットが解除されると、動作制御装置40の動作許可レジスタ450に対して初期値M(>0)が設定される。初期値Mは、例えば、主装置30が数秒間動作することが可能な値に設定される。言い換えれば、初期値Mは、主装置30にクロック信号CLKmが数秒間入力されるような値に設定される。動作許可レジスタ450に初期値Mが設定されると、カウントダウンタイマー461は、初期値Mをカウント値に設定してカウント動作を行う。これにより、動作許可レジスタ450の値が書き換えられなければ、主装置30には、クロックが初期値Mと同じ数だけ入力される。言い換えれば、主装置30には、数秒間、クロック信号CLKmが供給される。よって、情報処理装置3のリセットが解除された後、主装置30は動作することができる。以後、初期値Mに応じた、主装置30が動作することが可能な期間を「初期動作可能期間」と呼ぶことがある。図6に示される相互認証処理は、初期動作可能期間において実行される。初期動作可能期間をT0で表すと、T0は数秒程度となり、T0<T1となる。つまり、初期動作可能期間T0は、動作許可情報500が示す動作可能期間T1よりも短い。なお、T0≧T1であってもよい。

0070

図6に示されるように、ステップs11において、情報処理装置3は、サーバ装置2が情報処理装置3を認証するための認証用の乱数を生成する。ステップs11では、動作制御装置40の制御部410は、乱数生成器440に、認証用の乱数を生成させる。制御部410は、乱数生成器440で生成された乱数を記憶部430に記憶する。以後、この乱数を「第1乱数」と呼ぶ。

0071

さらに、ステップs11において、制御部410は、第1乱数からハッシュ値を生成して記憶部430に記憶する。以後、このハッシュ値を「第1ハッシュ値」と呼ぶ。次にステップs12において、制御部410は、記憶部430内の第1乱数をサーバ装置2の公開鍵で暗号化する。また制御部410は、記憶部430内の第1ハッシュ値を情報処理装置3の秘密鍵で暗号化する。暗号化で使用されるサーバ装置2の公開鍵及び情報処理装置3の秘密鍵は記憶部430に記憶されている。以後、暗号化された第1乱数を「暗号化第1乱数」と呼び、暗号化された第1ハッシュ値を「暗号化第1ハッシュ値」と呼ぶ。

0072

次にステップs13において、情報処理装置3は、ステップs12で生成した暗号化第1乱数と暗号化第1ハッシュ値をサーバ装置2に送信する。ステップs13では、主装置30は、動作制御装置40から暗号化第1乱数及び暗号化第1ハッシュ値を受け取り、受け取った暗号化第1乱数及び暗号化第1ハッシュ値をサーバ装置2に送信する。

0073

サーバ装置2は、受信した暗号化第1乱数及び暗号化第1ハッシュ値を、ステップs14において復号化する。ステップs14では、サーバ装置2の制御部20は、通信部22が受信した暗号化第1乱数を、サーバ装置2の公開鍵に対応するサーバ装置2の秘密鍵で復号化する。また制御部20は、通信部22が受信した暗号化第1ハッシュ値を、情報処理装置3の秘密鍵に対応する情報処理装置3の公開鍵で復号化する。復号化で使用されるサーバ装置2の秘密鍵及び情報処理装置3の公開鍵は記憶部21に記憶されている、制御部20は、暗号化第1乱数を復号化して得られる乱数を受信乱数として記憶部21に記憶する。また、制御部20は、暗号化第1ハッシュ値を復号化して得られるハッシュ値を受信ハッシュ値として記憶部21に記憶する。

0074

次にステップs15において、制御部20は、記憶部21内の受信乱数からハッシュ値を求める。そして、制御部20は、求めたハッシュ値と記憶部21内の受信ハッシュ値とを比較する。制御部20は、両者が一致すれば、情報処理装置3の認証に成功したと判断する。この場合、記憶部21内の受信乱数は、情報処理装置3で生成された第1乱数と一致する。したがって、記憶部21内には第1乱数が記憶される。一方で制御部20は、両者が一致しない場合には、情報処理装置3の認証に失敗したと判断する。

0075

次にステップs16において、サーバ装置2は、情報処理装置3の認証結果を当該情報処理装置3に通知する。情報処理装置3では、主装置30がサーバ装置2から認証結果を受け取ると、受け取った認証結果を動作制御装置40に送信する。動作制御装置40では、通信部470で受信された認証結果が制御部410に入力される。これにより、制御部410は、サーバ装置2が情報処理装置3に認証に成功したか否かを知ることができる。

0076

ステップs16の後、ステップs17において、サーバ装置2は、情報処理装置3がサーバ装置2を認証するための認証用の乱数を生成する。ステップs17では、制御部20は、乱数生成器24に、認証用の乱数を生成させる。制御部20は、乱数生成器24で生成された乱数を記憶部21に記憶する。以後、この乱数を「第2乱数」と呼ぶ。

0077

さらに、ステップs17において、制御部20は、第2乱数からハッシュ値を生成して記憶部21に記憶する。以後、このハッシュ値を「第2ハッシュ値」と呼ぶ。

0078

次にステップs18において、制御部20は、記憶部21内の第2乱数を情報処理装置3の公開鍵で暗号化する。また制御部20は、記憶部21内の第2ハッシュ値をサーバ装置2の秘密鍵で暗号化する。暗号化で使用される情報処理装置3の公開鍵及びサーバ装置2の秘密鍵は記憶部21に記憶されている。以後、暗号化された第2乱数を「暗号化第2乱数」と呼び、暗号化された第2ハッシュ値を「暗号化第2ハッシュ値」と呼ぶ。

0079

次にステップs19において、サーバ装置2は、ステップs18で生成した暗号化第2乱数と暗号化第2ハッシュ値を情報処理装置3に送信する。

0080

情報処理装置3は、受信した暗号化第2乱数及び暗号化第2ハッシュ値を、ステップs20において復号化する。ステップs20では、主装置30の制御部310は、第2通信部350が受信した暗号化第2乱数及び暗号化第2ハッシュ値を第1通信部340に送信させる。これにより、暗号化第2乱数及び暗号化第2ハッシュ値が動作制御装置40に入力される。動作制御装置40では、制御部410は、通信部470で受信される暗号化第2乱数を、情報処理装置3の公開鍵に対応する情報処理装置3の秘密鍵で復号化する。また制御部410は、通信部470で受信される暗号化第2ハッシュ値を、サーバ装置2の秘密鍵に対応するサーバ装置2の公開鍵で復号化する。復号化で使用される情報処理装置3の秘密鍵及びサーバ装置2の公開鍵は記憶部430に記憶されている、制御部410は、暗号化第2乱数を復号化して得られる乱数を受信乱数として記憶部430に記憶する。また、制御部410は、暗号化第2ハッシュ値を復号化して得られるハッシュ値を受信ハッシュ値として記憶部430に記憶する。

0081

次にステップs21において、制御部410は、記憶部430内の受信乱数からハッシュ値を求める。そして、制御部410は、求めたハッシュ値と記憶部430内の受信ハッシュ値とを比較する。制御部410は、両者が一致すれば、サーバ装置2の認証に成功したと判断する。この場合、記憶部410内の受信乱数は、サーバ装置2で生成された第2乱数と一致する。したがって、記憶部410内には第2乱数が記憶される。一方で制御部410は、両者が一致しない場合には、サーバ装置2の認証に失敗したと判断する。

0082

次にステップs22において、情報処理装置3は、サーバ装置2の認証結果を当該サーバ装置2に通知する。ステップs22では、主装置30が、動作制御装置40から、サーバ装置2の認証結果を受け取り、受け取った認証結果をサーバ装置2に送信する。サーバ装置2では、通信部22で受信された認証結果が制御部20に入力される。これにより、制御部20は、情報処理装置3がサーバ装置2の認証に成功したか否かを知ることができる。

0083

以上のようにして、情報処理装置3とサーバ装置2との間で相互認証が行われる。サーバ装置2の制御部20と、動作制御装置40の制御部410とは、情報処理装置3がサーバ装置2の認証に成功し、かつサーバ装置2が情報処理装置3の認証に成功した場合には、両者の間での相互認証が成功したと判断する。一方で、制御部20,410は、情報処理装置3がサーバ装置2の認証に失敗した場合、あるいはサーバ装置2が情報処理装置3の認証に失敗した場合には、両者の間の相互認証に失敗したと判断する。

0084

<サーバ装置が動作許可情報を送信する際の情報処理システムの動作例>
本例では、サーバ装置2は、情報処理装置3に関する所定の条件の成立に応じて、動作許可情報を情報処理装置3に送信する。この所定の条件を「動作許可条件」と呼ぶことがある。

0085

動作許可条件としては、例えば、サーバ装置2と情報処理装置3との間の相互認証の成功が考えられる。本例では、サーバ装置2は、情報処理装置3との間の相互認証が成功したと判断すると、それを条件として動作許可情報を情報処理装置3に送信する。

0086

図7は、相互認証後のサーバ装置2及び情報処理装置3の動作の一例を示すフローチャートである。図7に示されるように、ステップs31において、サーバ装置2と情報処理装置3との間の相互認証が上述のように行われる。その後、ステップs32において、サーバ装置2の制御部20は、相互認証に成功したと判断すると、ステップs33において、動作許可情報を生成し、生成した動作許可情報を暗号化する。

0087

ここで、本例では、サーバ装置2は、相互認証に成功した後は、記憶部21内における、相互認証で使用された第1及び第2乱数に基づいて生成された鍵を共通鍵として用いて情報を暗号化する。サーバ装置2の制御部410は、例えば、記憶部21内の第1及び第2乱数の排他的論路和を演算し、その演算結果を共通鍵として記憶部21に記憶する。同様に、情報処理装置3は、相互認証に成功した後は、動作制御装置40の記憶部430内における、相互認証で使用された第1及び第2乱数に基づいて生成された鍵を共通鍵として用いて情報を暗号化する。動作制御装置40の制御部410は、例えば、記憶部430内の第1及び第2乱数の排他的論路和を演算し、その演算結果を共通鍵として記憶部430に記憶する。サーバ装置2は、相互認証に成功した後に、情報処理装置3から暗号化された情報を受信する場合には、記憶部21内の共通鍵を用いて当該情報を復号化する。同様に、情報処理装置3は、相互認証に成功した後に、サーバ装置2から暗号化された情報を受信する場合には、記憶部430内の共通鍵を用いて当該情報を復号化する。なお、相互認証が成功した後にサーバ装置2及び情報処理装置3が情報を暗号化する際に使用する鍵は、上記の例には限られない。以後、単に「鍵」と言えば、第1及び第2乱数に基づいて生成された共通鍵を意味する。

0088

ステップs33において、制御部20は、記憶部21内の鍵を用いて、動作許可情報を暗号化する。次にステップs34において、制御部20は、通信部22に、暗号化した動作許可情報(以後、「暗号化動作許可情報」と呼ぶことがある)を情報処理装置3に送信させる。なお、サーバ装置2は、相互認証に失敗した場合には、動作許可情報を送信しない。

0089

情報処理装置3は、暗号化動作許可情報を受信すると、ステップs35において、受信した暗号化動作許可情報を復号化する。ステップs35では、主装置30の制御部310が、第2通信部350で受信された暗号化動作許可情報を第1通信部340に送信させる。これにより、暗号化動作許可情報が動作制御装置40に入力される。動作制御装置40では、制御部410は、通信部470で受信された暗号化動作許可情報を復号化する。具体的には、制御部20は、記憶部430内の鍵を用いて暗号化動作許可情報を復号化する。これにより、平文の動作化許可情報が得られる。

0090

次にステップs36において、制御部410は、平文の動作許可情報を、動作許可レジスタ450に書き込む。これにより、カウントダウンタイマー461のカウント値が、動作許可レジスタ450内の動作許可情報が示す動作可能クロック数Nに設定される。以降、主装置30は、動作許可レジスタ450内の動作許可情報が示す動作可能期間(例えば数時間から数十時間)、動作することが可能となる。

0091

以上のステップs31〜s36から成る処理は、情報処理装置3の初期動作可能期間において、実行される。したがって、相互認証が成功してステップs36が実行される場合には、主装置30は、ステップs36の後も継続して動作することが可能となる。動作許可情報が動作許可レジスタ450に書き込まれた後においては、情報処理装置3は許可対象機能を実行する。

0092

一方で、相互認証が失敗した場合には、動作許可レジスタ450に動作許可情報が設定されないことから、初期動作可能期間の経過後、主装置30に対するクロック信号CLKの供給が停止する。これにより、主装置30の動作が停止する。相互認証が失敗した場合には、情報処理装置3は許可対象機能を実行しない。

0093

なおサーバ装置2は、情報処理装置3に対して、動作許可情報を暗号化せずに送信してもよい。

0094

<主な機能を実行する場合の報処理装置の動作例>
図8は、主な機能を実行する場合の情報処理装置の動作の一例を示すフローチャートである。図8に示されるように、ステップs41において、情報処理装置3は、センサ情報を取得する。ステップs41では、主装置30の制御部310が、センサ装置330を動作させて、センサ装置330に情報を検出させる。そして、制御部310は、センサ装置330で検出されたセンサ情報を記憶部320に記憶する。これにより、センサ情報が取得される。

0095

次にステップs42において、情報処理装置3は、取得したセンサ情報に対して所定の処理を行う。ステップs42では、制御部310は、処理回路360を動作させる。処理回路360は、記憶部320からセンサ情報を取得し、取得したセンサ情報に対して所定の処理を行う。そして、処理回路360は、処理後のセンサ情報を、処理済みセンサ情報として記憶部320に記憶する。

0096

次にステップs43において、情報処理装置3は、処理済みセンサ情報を暗号化する。ステップs43では、制御部310は、記憶部320から処理済みセンサ情報を読み出して第1通信部340に入力する。第1通信部340は、入力された処理済みセンサ情報を動作制御装置40に送信する。動作制御装置40では、制御部410は、通信部470で受信された処理済みセンサ情報を、記憶部430内の鍵を用いて暗号化する。以後、暗号化された処理済みセンサ情報を「暗号化処理済みセンサ情報」と呼ぶことがある。

0097

次にステップs44において、情報処理装置3は、ステップs43で得られた暗号化処理済みセンサ情報をサーバ装置2に送信する。ステップs44では、主装置30は、動作制御装置40から暗号化処理済みセンサ情報を受け取り、受け取った暗号化処理済みセンサ情報をサーバ装置2に送信する。

0098

以上のステップs41〜s44から成る処理を、情報処理装置3は、動作可能期間において、つまり、主装置30にクロック信号CLKが供給されているときに、繰り返し実行する。以後、図8に示される、センサ情報の取得及び送信を「情報取得送信処理」と呼ぶことがある。

0099

サーバ装置2では、通信部22が暗号化処理済みセンサ情報を受信すると、制御部20が、受信された暗号化処理済みセンサ情報を記憶部21内の鍵を用いて復号化する。これにより、平文の処理済みセンサ情報が得られる。そして、制御部20は、平文の処理済みセンサ情報を記憶部21に記憶する。その後、制御部20は、記憶部21内の処理済みセンサ情報を用いた処理を行う。例えば、制御部20は、処理済みセンサ情報を解析し、その解析結果を表示部23に表示させたり、複数の情報処理装置3からの処理済みセンサ情報をグラフ化して表示部23に表示させたりする。

0100

なお情報処理装置3は、サーバ装置2に対して、処理済みセンサ情報を暗号化せずに送信してもよい。

0101

<動作許可情報の繰り返し送信>
上述の説明から理解できるように、情報処理装置3は、サーバ装置2から動作許可情報を受け取った後、当該動作許可情報が示す動作可能期間において、新たに動作許可情報を受信しない場合には、当該動作可能期間の経過後に、許可対象機能を停止することになる。したがって、この場合には、情報処理装置3は、許可対象機能を長い期間実行することが難しくなる。

0102

そこで、本例では、情報処理装置3は、サーバ装置2から受信した動作許可情報が示す動作可能期間において、サーバ装置2との間で、動作許可情報をサーバ装置2から受信するための処理を行う。以後、当該処理を「動作許可用処理」と呼ぶことがある。情報処理装置3は、サーバ装置2から受信した動作許可情報が示す動作可能期間において、サーバ装置2との間で、動作許可情報を再度サーバ装置2が送信するための処理を行うとも言える。動作許可用処理は、情報処理装置3がサーバ装置2に対して許可対象機能の動作許可を要求する処理であるとも言える。

0103

サーバ装置2は、動作許可用処理に応じた動作許可条件の成立に応じて、動作許可情報を情報処理装置3に送信する。これにより、情報処理装置3は、動作可能期間が経過するまでに、新たな動作許可情報を受信することが可能となる。よって、情報処理装置3は、長い期間、主装置30を動作させることが可能となる。つまり、情報処理装置3は、長い期間、許可対象機能を実行することが可能となる。

0104

動作許可用処理としては、例えば、動作許可情報の送信を要求するための要求信号を情報処理装置3がサーバ装置2に送信する処理が考えられる。また、動作許可用処理に応じた動作許可条件とは、例えば、情報処理装置3が送信する要求信号についてのサーバ装置2の受信が考えられる。本例では、情報処理装置3は、動作可能期間において、要求信号を送信する。そして、サーバ装置2は、要求信号の受信に応じて、動作許可情報を情報処理装置3に送信する。

0105

なお、相互認証が成功したときには、サーバ装置2は動作許可情報を送信することから、情報処理装置3がサーバ装置2と行う相互認証は、動作許可用処理であると言える。

0106

また、情報処理装置3のリセットが解除した後にサーバ装置2が最初に動作許可情報を送信するための動作許可条件は、上記の例では、相互認証の成功となっている。一方で、情報処理装置3のリセットが解除した後にサーバ装置2が二回目以降に動作許可情報を送信するための動作許可条件は、サーバ装置2が要求信号を受信することとなっている。

0107

このように、本例では、サーバ装置2の動作許可情報の最初の送信についての動作許可条件と、サーバ装置2の動作許可情報の二回目以降の送信についての動作許可条件とは、互いに異なっている。

0108

図9は、情報処理装置3が要求信号を送信する様子を示す図である。本例では、情報処理装置3は、ステップs36の後、主装置30が動作しているときには、送信間隔T2で要求信号REQを繰り返し送信する。送信間隔T2は、動作可能期間T1以下に設定される。言い換えれば、動作許可用処理の実行間隔は、動作可能期間T1以下に設定される。送信間隔T2は、例えば1時間に設定される。なお、送信間隔T2は一定でなくてもよい。

0109

図10は、サーバ装置2及び情報処理装置3の動作の一例を示すフローチャートである。図10に示されるように、上述のステップs36の後、ステップs51において、情報処理装置3は、動作可能期間T1内に要求信号を送信する。ステップs51では、動作制御装置40の制御部410は、要求信号を生成し、生成した要求信号を通信部470に送信させる。これにより、要求信号が主装置30に入力される。主装置30は、第1通信部340で受信された要求信号をサーバ装置2に送信する。

0110

サーバ装置2は、要求信号を受信すると、つまり、動作許可条件が成立すると、ステップs52において、上述のステップs33と同様にして、暗号化動作許可情報を生成する。そして、ステップs53において、サーバ装置2は、暗号化動作許可情報を情報処理装置3に送信する。

0111

情報処理装置3は、上述のステップs35と同様にして、ステップs54において、受信した暗号化動作許可情報を復号化する。そして、情報処理装置3は、ステップs36と同様にして、ステップs55において、平文の動作許可情報を、動作制御装置40の動作許可レジスタ450に設定する。これにより、動作許可レジスタ450に再度動作許可情報が設定され、あらたな動作可能期間T1が設定される。つまり、動作可能期間T1が更新される。

0112

ステップs55の後、情報処理装置3は、ステップs51の実行から送信間隔T2後に、要求信号を再度サーバ装置2に送信する(ステップs56)。サーバ装置2は、要求信号を受信すると、ステップs57において、ステップs33と同様にして、暗号化動作許可情報を生成する。そして、ステップs58において、サーバ装置2は、暗号化動作許可情報を情報処理装置3に送信する。

0113

情報処理装置3は、ステップs35と同様にして、ステップs59において、受信した暗号化動作許可情報を復号化する。そして、情報処理装置3は、ステップs36と同様にして、ステップs60おいて、平文の動作許可情報を、動作制御装置40の動作許可レジスタ450に設定する。これにより、動作許可レジスタ450に再度動作許可情報が設定され、動作可能期間T1がさらに更新される。

0114

ステップs61の後、情報処理装置3は、ステップs56の実行から送信間隔T2後に要求信号を再度サーバ装置2に送信する(ステップs56)。以後、情報処理装置3及びサーバ装置2は同様に動作する。

0115

なお情報処理装置3は、要求信号をサーバ装置2に送信する場合には、暗号化した要求信号をサーバ装置2に送信してもよい。

0116

このように、情報処理装置3が、動作可能期間T1以下の間隔で要求信号をサーバ装置2に送信することによって、情報処理装置3は、動作可能期間T1が経過する前に、新たな動作許可情報を受信することが可能となる。言い換えれば、情報処理装置3が、動作可能期間T1以下の間隔で、動作許可用処理を実行することによって、情報処理装置3は、動作可能期間T1が経過する前に、新たな動作許可情報を受信することが可能となる。よって、情報処理装置3は、動作可能期間T1が経過する前に、動作可能期間T1を更新することができる。これにより、情報処理装置3は、相互認証が成功した後、主装置30を継続して動作させることができる。よって、情報処理装置3は、長い期間、許可対象機能を実行することが可能となる。

0117

図11は、動作可能期間T1が更新される様子の一例を示す図である。図11に示されるように、本例では、動作可能期間T1内に動作許可情報が動作許可レジスタ450に設定されて動作可能期間T1が更新される処理が繰り返されることによって、主装置30が継続して動作することが可能となる。

0118

また、送信間隔T2が、動作可能期間T1の半分未満に設定される場合には、情報処理装置3とサーバ装置2との間の通信が一時的に適切に行われなかった場合であっても、情報処理装置3が、動作可能期間T1が経過する前に、動作可能期間T1を更新できる可能性を向上することができる。以下にこの点について説明する。

0119

例えば、上述の図10のステップs55で設定される動作可能期間T1を「動作可能期間T1t」と呼ぶ。また、ステップs56,s61で送信される要求信号REQを、それぞれ要求信号REQ1,REQ2と呼ぶ。また、情報処理装置3が、要求信号REQ2の次に送信する要求信号REQを要求信号REQ3と呼ぶ。

0120

情報処理装置3が送信した要求信号REQ1が、通信品質の一時的な悪化等の理由で、サーバ装置2に届かなった場合、ステップs57〜s60が実行されない。したがって、情報処理装置3は、要求信号REQ1の送信に応じた動作可能期間の更新を実行することができない。また、情報処理装置3が送信した要求信号REQ1を受信したサーバ装置2が送信する動作許可情報が、通信品質の一時的な悪化等の理由で、情報処理装置3に届かなった場合、ステップs59,s60が実行されない。したがって、情報処理装置3は、要求信号REQ1の送信に応じた動作可能期間の更新を実行することができない。

0121

このように、情報処理装置3は、送信した要求信号REQ1に応じた動作許可情報を受信できない場合には、要求信号REQ1の送信に応じた動作可能期間の更新を実行することができない。このような場合、送信間隔T2が、動作可能期間T1の半分未満に設定される場合には、図12に示されるように、情報処理装置3は、要求信号REQ1を送信する動作可能期間T1tにおいて、次の要求信号REQ2を送信することができる。つまり、情報処理装置3は、送信した要求信号に応じた動作許可情報を受信できない場合であって、当該要求信号を送信した動作可能期間と同じ期間において、再度要求信号を送信することができる。これにより、情報処理装置3は、動作可能期間T1tにおいて、動作許可情報を受信できる可能性が向上する。つまり、情報処理装置3が、動作可能期間が経過する前に、動作可能期間を更新できる可能性を向上することができる。

0122

また、情報処理装置3は、通信品質の一時的な悪化等の理由で、送信した要求信号REQ2に応じた動作許可情報を受信できない場合であっても、送信間隔T2によっては、図12に示されるように、情報処理装置3は、動作可能期間T1tにおいて、次の要求信号REQ3を送信できることがある。この場合には、情報処理装置3は、動作可能期間T1tにおいて、要求信号REQ3に応じた動作許可情報を受信できる可能性がある。よって、情報処理装置3は、要求信号REQ1,REQ2に応じた動作許可情報を受信できない場合であっても、動作可能期間T1tにおいて、動作許可情報を受信できる可能性が向上する。これにより、情報処理装置3が、動作可能期間が経過する前に、動作可能期間を更新できる可能性を向上することができる。

0123

このように、情報処理装置3が、動作可能期間において送信した要求信号に応じた動作許可情報を受信しないときに、当該動作可能期間と同じ期間において要求信号を再度送信することができるように、要求信号を繰り返し送信することによって、情報処理装置3が、動作可能期間が経過する前に、動作可能期間を更新できる可能性を向上することができる。言い換えれば、情報処理装置3が、動作可能期間において実行した動作許可用処理に応じた動作許可情報を受信しないときに、当該動作可能期間と同じ期間において動作許可用処理を再度実行することができるように、動作許可用処理を繰り返し実行することによって、情報処理装置3が、動作可能期間が経過する前に、動作可能期間を更新できる可能性を向上することができる。

0124

なお上記の例では、サーバ装置2の動作許可情報の最初の送信についての動作許可条件と、サーバ装置2の動作許可情報の二回目以降の送信についての動作許可条件とは、互いに異なっていたが、両者は同じであってもよい。

0125

例えば、サーバ装置2の動作許可情報の最初の送信についての動作許可条件は、サーバ装置2が要求信号REQを受信することであってもよい。図13はこの場合のサーバ装置2及び情報処理装置3の動作の一例を示す図である。図13は上述の図7に対応している。

0126

図13に示されるように、情報処理装置3のリセット解除後においては、相互認証が実行されずに、情報処理装置3はステップs71において、要求信号REQをサーバ装置2に送信する。サーバ装置2は、要求信号REQを受信すると、上述のステップs33,s34を実行して、暗号化動作許可情報を情報処理装置3に送信する。情報処理装置3は、暗号化動作許可情報を受信すると、上述のステップs35,s36を実行して、平文の動作許可情報を動作許可レジスタ450に書き込む。これにより、情報処理装置3に動作可能期間が初めて設定される。

0127

また、サーバ装置2の動作許可情報の二回目以降の送信についての動作許可条件は、相互認証の成功であってもよい。図14はこの場合のサーバ装置2及び情報処理装置3の動作の一例を示す図である。図14は上述の図10に対応している。

0128

図14に示されるように、ステップs36の後、ステップs81において、サーバ装置2と情報処理装置3との間の相互認証が行われる。その後、ステップs82において、サーバ装置2は、相互認証に成功したと判断すると、上述のステップs52,s53を実行して、暗号化動作許可情報を情報処理装置3に送信する。

0129

情報処理装置3は、暗号化動作許可情報を受信すると、上述のステップs54,s54を実行して、平文の動作許可情報を動作許可レジスタ450に書き込む。これにより、動作可能期間が更新される。

0130

次にステップs83において、サーバ装置2と情報処理装置3との間の相互認証が行われる。その後、ステップs84において、サーバ装置2は、相互認証に成功したと判断すると、上述のステップs57,s58を実行して、暗号化動作許可情報を情報処理装置3に送信する。以後、情報処理装置3及びサーバ装置2は同様に動作する。

0131

なお、サーバ装置2の動作許可情報の二回目以降の送信においては、相互認証の成功という動作許可条件と、サーバ装置2の要求信号の受信という動作許可条件とが混在してもよい。例えば、図14のフローチャートにおいて、ステップs81,s82の代わりに、図10のステップs51が実行されてもよい。

0132

上記の例では、制御部410の動作モードには、通常モード及びセキュアモードが含まれているが、制御部410は常にセキュアモードで動作してもよい。この場合には、制御部410について説明した上記の動作はすべてセキュアモードで実行される。

0133

以上のように、本例では、情報処理装置3は、サーバ装置2から受信する動作許可情報に応じて、許可対象機能を動作させる。したがって、情報処理装置3がハッキングされてサーバ装置2から動作許可情報を受信できない場合には、情報処理装置3は許可対象機能を停止することができる。よって、情報処理装置3の許可対象機能がハッカーによって利用される可能性を低減することができる。その結果、情報処理装置3の安全性が向上する。

0134

例えば、通信ネットワーク4に接続された主装置30がハッキングされた結果、DoS(Denial of Service attack)攻撃のように、情報処理装置3が、本来の通信相手のサーバ装置2とは異なる通信装置と頻繁に通信する場合を考える。この場合、情報処理装置3の本来の通信相手であるサーバ装置2は、情報処理装置3から信号を受信することができないことから、動作許可条件が成立しない。したがって、サーバ装置2は、動作許可情報を送信しない。これにより、情報処理装置3の主装置30の動作が停止する。その結果、情報処理装置3の主な機能及びサーバ通信機能がハッカーによって利用される可能性を低減することができる。さらに、情報処理装置3のサーバ通信機能が停止することによって、ハッキングされた情報処理装置3が外部に悪影響を与える可能性を低減することができる。

0135

他の例として、制御部410の動作モードに、通常モード及びセキュアモードが含まれる場合に、主装置30と通信することが可能な通常モードの動作制御装置40がハッキングされた結果、動作制御装置40の通信部470が主装置30と通信できない場合を考える。この場合、サーバ装置2は、情報処理装置3から、動作許可条件の成立に必要な信号(例えば、要求信号あるいは相互認証で使用される乱数など)を受信することができないことから、動作許可情報を送信しない。これにより、情報処理装置3の主装置30の動作が停止し、その結果、許可対象機能がハッカーによって利用される可能性を低減することができる。

0136

また本例では、主装置30、言い換えれば、情報処理装置3の許可対象機能を実現する回路と、動作制御装置40とは、互いに異なるパッケージに収納されている。したがって、例えば、主装置30として機能する既存の機器に対して、後から動作制御装置40を接続することによって、安全性の高い情報処理装置3を簡単に実現することができる。

0137

以後、上述の図10に示されるステップs51〜s55の一連の処理や、上述の図14に示されるステップs81,s82,s52〜s55の一連の処理のように、情報処理装置3での動作許可用処理の実行から、情報処理装置3での動作許可情報の動作許可レジスタ450への書き込みまでの一連の処理を「動作許可要求から動作許可までの一連の処理」と呼ぶことがある。

0138

<主装置の動作の復帰方法の一例>
主装置30に対するクロック信号CLKの供給が停止して、主装置30の動作が停止した場合には、ユーザは、例えば、リセットスイッチ50を操作することによって、情報処理装置3に主装置30の動作を復帰させることができる。

0139

リセットスイッチ50が操作されると、リセット信号生成部490はリセット信号RSをアサートする。これにより、情報処理装置3の動作が初期化される。情報処理装置3の動作が初期化されると、上述のように、動作許可レジスタ450には初期値Mが設定され、主装置30は、初期動作可能期間、動作することが可能となる。情報処理装置3は、初期動作可能期間において、サーバ装置2との間で動作許可用処理(例えば、相互認証あるいは要求信号の送信)を実行する。動作許可用処理の実行の結果、動作許可条件が成立すると、動作許可レジスタ450に動作許可情報が設定される。これにより、情報処理装置3に動作可能期間が設定され、主装置30は引き続き動作することが可能となる。

0140

なお上述のように、リセット信号生成部490は、情報処理装置3の電源がオフからオンに切り替われると、リセット信号RSをアサートする。したがって、情報処理装置3に電源スイッチが設けられている場合には、ユーザは、当該電源スイッチを操作して、情報処理装置3の電源をいったんオフにした後に再度オンにすることによって、情報処理装置3に主装置30の動作を復帰させることができる。

0141

上記の例では、情報処理装置3は、主装置30に対するクロック信号CLKmの供給を停止することによって、許可対象機能を停止していたが、主装置30に入力されるリセット信号をアサートすることによって、許可対象機能を停止してもよい。図15は、この場合の情報処理装置3が備える動作制御装置40の構成の一例を示す図である。図15に示される動作制御装置40は、リセット信号RSとは別に、主装置30用のリセット信号RSmを生成する。リセット信号RSは、動作制御装置40用のリセット信号であるとも言える。

0142

図5に示される動作制御装置40と比較して、図15に示される動作制御装置40は、クロックゲート462を備えていない。また、図15に示される動作制御装置40では、クロック生成部480が出力するクロック信号CLKが主装置30のクロック入力口301に直接入力されている。そして、図15に示される動作制御装置40には、リセット信号RSmを生成するリセット信号生成部510が設けられている。主装置30のリセット入力口302には、リセット信号RSではなく、リセット信号RSmが入力される。図15の例では、カウントダウンタイマー461とリセット信号生成部510とで、主装置30を動作させるか否かを制御する動作制御部520が構成される。

0143

リセット信号生成部510には、リセット信号RSと、カウントダウンタイマー461から出力されるイネーブル信号ENSが入力される。リセット信号生成部510は、入力されるリセット信号RSがアサートされると、主装置30用のリセット信号RSmをアサートする。したがって、リセット信号RSがアサートされる場合には、リセット信号RSmがアサートされて、主装置30の動作が初期化される。

0144

またリセット信号生成部510は、イネーブル信号ENSがLowレベルのとき、リセット信号RSmをアサートする。言い換えれば、リセット信号生成部510は、カウントダウンタイマー461がカウント動作を行わないとき、リセット信号RSmをアサートする。一方で、リセット信号生成部510は、イネーブル信号ENSがHighレベルのとき、リセット信号RSmをアサートしない。言い換えれば、リセット信号生成部510は、カウントダウンタイマー461がカウント動作を行っているとき、リセット信号RSmをネゲートする。図15に示される動作制御装置40の他の動作については、上述の図5に示される動作制御装置40と同様である。

0145

このような構成を有する動作制御装置40では、情報処理装置3のリセット解除後に、動作許可レジスタ450に初期値が設定されると、イネーブル信号ENSがLowレベルからHighレベルに変化して、主装置30のリセット入力口302に入力されるリセット信号RSmがネゲートされる。これより、主装置30は初期動作可能期間、動作することが可能となる。そして、初期動作可能期間において、動作許可条件が成立して、動作許可レジスタ450に動作許可情報500が設定されると、イネーブル信号ENSはHighレベルを維持し、主装置30は動作を継続する。その後、動作許可レジスタ450内の動作許可情報500が更新されない場合には、情報処理装置3に現在設定されている動作可能期間が経過すると、リセット入力口302に入力されるリセット信号RSmがアサートされ、その結果、主装置30の動作が停止する。

0146

このように、情報処理装置3が、主装置30に入力されるリセット信号をアサートすることによって許可対象機能を停止する場合であっても、上記と同様に、情報処理装置3の安全性を向上することができる。

0147

また、主装置30と動作制御装置40とは同一のパッケージに収納されてもよい。図16はこの場合の情報処理装置3の構成の一例を示す図である。図16に示される例では、主装置30及び動作制御装置40は、樹脂等から成る同一のパッケージ600に収納されている。そして、同一のパッケージ600に収納された主装置30及び動作制御装置40は基板60に実装される。主装置30及び動作制御装置40は、パッケージ600内の配線によって、互いに電気的に接続されている。同一のパッケージ600に収納された、主装置30及び動作制御装置40で構成される集積回路は、複数のダイで構成されてもよいし、一つのダイで構成されてもよい。

0148

また図16のように、主装置30と動作制御装置40とが同一のパッケージ600に収納される場合には、主装置30の第2通信部350の代わりに、動作制御装置40の通信部470が通信ネットワーク4と通信してもよい。図17は、この場合の情報処理装置3の構成の一例を示す図である。図17ではリセットスイッチ50の図示を省略している。

0149

図17の例では、動作制御装置40の通信部470が通信ネットワーク4に接続されている。通信部470は、通信ネットワーク4を通じてサーバ装置2と通信可能である。また、主装置30はバス550に接続されている。以後、バス550に接続された主装置30を「機能ブロック30」と呼ぶことがある。

0150

機能ブロック30には、図18に示されるように、例えば、上述の制御部310、記憶部320、センサ装置330及び処理回路360が含まれており、これらはバス380に接続されている。機能ブロック30には、上述の第1通信部340及び第2通信部350は含まれていない。制御部310は、動作制御装置40のバス550に接続されており、バス550を通じて制御部410と情報のやり取りを行う。動作制御装置40の制御部410は、動作モードが通常モードのとき、機能ブロック30の制御部310と情報のやり取りを行う。また、機能ブロック30の制御部310は、バス550を通じて、動作制御装置40のタイマー420、記憶部430及び動作許可レジスタ450に対して直接アクセスすることができないようになっている。

0151

このような構成を有する情報処理装置3では、当該情報処理装置3がサーバ装置2に送信する、乱数、要求信号及び処理済みセンサ情報等の情報は、通信部470からサーバ装置2に送信される。また、サーバ装置2が情報処理装置3に送信する、乱数及び動作許可情報等の情報は、通信部470で受信される。

0152

また、上述の図8に示される情報取得送信処理においては、制御部410は、ステップs43において、機能ブロック30の制御部310から処理済みセンサ情報をバス550を通じて受け取り、受け取った処理済みセンサ情報を暗号化する。その後、ステップs44において、制御部310は、通信部470に、暗号化処理済みセンサ情報をサーバ装置2に送信させる。

0153

図17に示される例であっても、上記と同様に、情報処理装置3の安全性を向上することができる。例えば、サーバ装置2と通信することが可能な通常モードの動作制御装置40がハッキングされた結果、DoS攻撃のように、情報処理装置3が、本来の通信相手のサーバ装置2とは異なる通信装置と頻繁に通信する場合を考える。この場合、情報処理装置3の本来の通信相手であるサーバ装置2は、情報処理装置3から信号を受信することができないことから、動作許可条件が成立しない。その結果、サーバ装置2は、動作許可情報を送信しない。これにより、情報処理装置3の機能ブロック30の動作が停止する。その結果、情報処理装置3の許可対象機能がハッカーによって利用される可能性を低減することができる。図17の例では、機能ブロック30に対するクロック信号CLKの供給が停止すると、情報処理装置3の主な機能が停止するものの、サーバ通信機能は停止しない。よって、図17の例では、許可対象機能にはサーバ通信機能が含まれない。

0154

なお、図17の例において、機能ブロック30は制御部310を備えなくてもよい。図19は、この場合の機能ブロック30の構成の一例を示す図である。

0155

図19の例では、機能ブロック30は、記憶部320、センサ装置330及び処理回路360を備えており、制御部310を備えていない。処理回路360は、動作制御装置40のバス550に接続されており、バス550を通じて制御部310によって制御される。処理回路360は、センサ装置330を制御することが可能である。センサ装置330から出力されるセンサ情報は記憶部330に直接書き込まれる。動作制御装置40の制御部410は、動作モードが通常モードのときに、機能ブロック30の処理回路360を制御することが可能である。

0156

図19に示される機能ブロック30を備える情報処理装置3が、図8に示される情報取得送信処理を行う場合には、ステップs41において、制御部410が、処理回路360を通じてセンサ装置330を動作させる。センサ装置330から出力されるセンサ情報は、記憶部320に書き込まれる。

0157

次にステップs42において、制御部410は、処理回路360を制御して、処理回路360に、記憶部320内のセンサ情報に対して所定の処理を実行させる。処理回路360は、生成した処理済みセンサ情報を制御部410に入力する。

0158

次にステップs43において、制御部410は、入力された処理済みセンサ情報を暗号化する。そして、ステップs44において、制御部410は、通信部470に、生成した暗号化処理済みセンサ情報をサーバ装置2に送信させる。

0159

このように、機能ブロック30が制御部310を備えていない場合であっても、上記と同様に、情報処理装置3の安全性を向上することができる。

0160

なお図17の例では、情報処理装置3は、機能ブロック30に対するクロック信号CLKmの供給を停止することによって、機能ブロック30を停止しているが、上述の図15の例のように、機能ブロック30用のリセット信号RSmを生成し、リセット信号RSmをアサートすることによって、機能ブロック30を停止してもよい。

0161

また図17の例では、許可対象機能に、サーバ通信機能が含まれていないが、サーバ通信機能を含めてもよい。例えば、図20に示されるように、通信部470に対して、クロック生成部480が生成するクロック信号CLKを直接入力するのではなく、クロックゲート462が出力するクロック信号CLKmを入力することによって、許可対象機能に、サーバ通信機能を含めることができる。

0162

また図21に示されるように、通信部470用のリセット信号RSnを生成するリセット信号生成部540を動作制御装置40に設けることによって、許可対象機能にサーバ通信機能を含めることができる。リセット信号生成部540は、リセット信号RSがアサートされると、通信部470に入力されるリセット信号RSnをアサートする。また、リセット信号生成部540は、イネーブル信号ENSがLowレベルになると、リセット信号RSnをアサートする。これより、通信部470に入力されるリセット信号RSnは、カウントダウンタイマー461がカウント動作しているとき(イネーブル信号ENSがHighレベル)ネゲートされ、カウントダウンタイマー461がカウント動作していないとき(イネーブル信号ENSがLowレベル)アサートされる。

0163

また図22に示されるように、イネーブル信号ENSに基づいてバス550と通信部470の接続を制御するスイッチ回路530を設けることによって、許可対象機能にサーバ通信機能を含めてもよい。図22の例では、スイッチ回路530は、イネーブル信号ENSがHighレベルのとき、通信部470をバス550に接続する。この場合、情報処理装置3は、通信部470を使用して、サーバ装置2と通信することができる。よって、サーバ通信機能が動作する。一方で、スイッチ回路530は、イネーブル信号ENSがLowレベルのとき、通信部470をバス550に接続しない。この場合、情報処理装置3は、通信部470を使用して、サーバ装置2と通信することができない。よって、サーバ通信機能が停止する。

0164

上記の例では、許可対象機能に、情報処理装置3の主な機能が含まれているが、当該主な機能が含まれなくてもよい。例えば、図20の構成において、機能ブロック30に対して、クロックゲート462から出力されるクロック信号CLKmを入力する代わりに、クロック生成部480から出力されるクロック信号CLKを直接入力する場合には、許可対象機能に、情報処理装置3の主な機能が含まれなくなる。また図21,22の構成において、クロックゲート462を削除して、クロック生成部480が出力するクロック信号CLKを直接機能ブロック30に入力する場合には、許可対象機能に、情報処理装置3の主な機能が含まれなくなる。

0165

<情報処理システムの他の例>
<情報処理装置の間欠動作
図23は、間欠動作を行う本例に係る情報処理装置3の構成の一例を示す図である。本例に係る情報処理装置3では、その全体の動作モードとして、非スタンバイモードと、当該非スタンバイモードよりも消費電力が低減するスタンバイモードとが存在する。スタンバイモードは、低消費電力モードとも呼ばれる。情報処理装置3は、動作モードを、非スタンバイモードとスタンバイモードに交互に切り替えることによって間欠動作を行う。以後、情報処理装置3が非スタンバイモードで動作している期間を「非スタンバイ期間」と呼び、情報処理装置3がスタンバイモードで動作している期間を「スタンバイ期間」と呼ぶことがある。

0166

図24は情報処理装置3の間欠動作の一例を示す図である。図24に示されるように、情報処理装置3では、所定期間T10ごとに、スタンバイモードから非スタンバイモードに復帰する。そして、非スタンバイ期間T11がスタンバイ期間T12よりも短くなっている。なお、非スタンバイ期間T11は、スタンバイ期間T12よりも長くてもよいし、スタンバイ期間T12と同じ長さであってもよい。以後、所定期間T10を間欠モード周期T10と呼ぶことある。

0167

図23に示されるように、情報処理装置3は、RTC(リアルタイムクロック)70を備えている。RTC70は、例えば、SPIあるいはI2Cに基づいて通信することが可能な通信I/F回路を介して主装置30に接続されている。RTC70は、制御部310によって設定される所定時間を計測することが可能である。RTC70は、設定された所定時間の計測が完了すると、割り込み信号NTを、主装置30の制御部410と動作制御装置40とに出力する。

0168

本例に係る主装置30では、それ独自の動作モードとして、非スタンバイモードと、当該非スタンバイモードよりも消費電力が低減するスタンバイモードとが含まれる。主装置30の動作モードがスタンバイモードである場合、例えば、第1通信部340、第2通信部350、センサ装置330及び処理回路360等の動作が停止する。主装置30は、非スタンバイモードとスタンバイモードとを交互に繰り返す間欠動作を行う。主装置30の動作モードは、制御部310によって設定される。

0169

以後、主装置30の非スタンバイモード及びスタンバイモードをそれぞれ「独自の非スタンバイモード」及び「独自のスタンバイモード」と呼ぶことがある。また、単に非スタンバイモードと言えば、情報処理装置3全体での非スタンバイモードを意味し、単にスタンバイモードと言えば、情報処理装置3全体でのスタンバイモードを意味する。

0170

本例では、主装置30の動作モードが独自のスタンバイモードに設定されると、情報処理装置3全体の動作モードがスタンバイモードに設定される。そして、主装置30の動作モードが、独自のスタンバイモードから独自の非スタンバイモードに復帰すると、情報処理装置3の動作モードが、スタンバイモードから非スタンバイモードに復帰する。

0171

主装置30では、制御部310は、主装置30の動作モードを独自のスタンバイモードに設定すると、スタンバイ信号SB(図23参照)を動作制御装置40に出力する。また、制御部310は、主装置30の動作モードを独自のスタンバイモードに設定すると、RTC70に所定時間を設定する。この所定時間は、スタンバイ期間T12とほぼ同じ値に設定される。

0172

図25は、本例の動作制御装置40の構成の一例を示す図である。本例の動作制御装置40は、割り込みコントローラ560及び省電力設定レジスタ570を備える。また、本例の動作制御装置40の動作制御部460は、カウントダウンタイマー461及びクロックゲート462以外に、クロックゲート465を備える。

0173

省電力設定レジスタ570には、スタンバイ信号SBが入力される。省電力設定レジスタ570では、スタンバイ信号SBが入力されると、情報処理装置3がスタンバイモードで動作することを示す省電力設定情報が設定される。

0174

省電力設定レジスタ570は、クロックゲート465の動作を制御するためのイネーブル信号ENS0を、クロックゲート465のイネーブル入力口EN0に入力する。省電力設定レジスタ570は、省電力設定情報が設定されると、イネーブル信号ENS0をLowレベルに設定し、省電力設定情報がクリアされると、イネーブル信号ENS0をHigレベルに設定する。クロックゲート465は、イネーブル入力口EN0に入力されるイネーブル信号ENS0がHighレベルのときだけ、クロック入力口CLKin0に入力されるクロック信号CLKをクロック信号CLK0として出力する。クロックゲート465から出力されるクロック信号CLK0は、クロックゲート462のクロック入力口CLKinに入力される。クロックゲート462は、イネーブル信号ENSがHighレベルのときだけ、クロック入力口CLKinに入力されるクロック信号CLK0をクロック信号CLKmとして出力する。

0175

割り込みコントローラ560は、RTC70から割り込み信号INTが入力されると、制御部410のCPUに割り込み要求を通知する。制御部410のCPUは、割り込み要求が通知されると、省電力設定レジスタ570内の省電力設定情報をクリア(言い換えれば、消去)する。

0176

以上のような構成を有する本例の情報処理装置3は、リセット解除後の初期動作可能期間においては、非スタンバイモードで動作する。そして、情報処理装置3は、動作制御装置40の動作許可レジスタ450に動作許可情報500が設定されている場合に、言い換えれば、主装置30の動作がサーバ装置2から許可されている場合に、非スタンバイモードとスタンバイモードを繰り返す間欠動作を行う。以下に、動作許可レジスタ450に動作許可情報500が設定されている場合の本例の情報処理装置3の動作の一例について説明する。

0177

主装置30の制御部310は、主装置30の動作モードを独自のスタンバイモードに設定すると、スタンバイ信号SBを出力するとともに、RTC70に所定時間を設定する。

0178

主装置30が出力したスタンバイ信号SBは省電力設定レジスタ570に入力され、省電力設定レジスタ570に省電力設定情報が設定される。これにより、省電力設定レジスタ570から出力されるイネーブル信号ENS0がHighレベルからLowレベルに変化し、クロックゲート465は、クロック信号CLK0の出力を停止する。その結果、クロックゲート462は、クロック信号CLKmの出力を停止する。これにより、主装置30に対するクロック信号CLKmの供給が停止し、情報処理装置3の動作モードがスタンバイモードに設定される。

0179

情報処理装置3の動作モードがスタンバイモードに設定された後、RTC70は、設定された所定時間の計測を完了すると、例えばレベル検出用の割り込み信号INTを動作制御装置40と主装置30に出力する。動作制御装置40では、割り込みコントローラ560は、割り込み信号INTを受け取ると、制御部410のCPUに割り込み要求を通知する。割り込み要求を受け取った制御部410のCPUは、省電力設定レジスタ570内の省電力設定情報をクリアする。省電力設定レジスタ570内の省電力設定情報がクリアされると、イネーブル信号ENS0がLowレベルからHighレベル変化する。これにより、クロックゲート465は、入力されるクロック信号CLKをクロック信号CLK0としてクロックゲート462に出力し、クロックゲート462は入力されるクロック信号CLK0をクロック信号CLKmとして主装置30に出力する。これにより、主装置30に対するクロック信号CLKmの供給が再開する。一方で、クロック信号CLKmの供給が再開した主装置30では、制御部310は、主装置30に割り込み信号INTが入力されているか否かを判断する。制御部310は、主装置30に割り込み信号INTが入力されていると判断した場合には、主装置30の動作モードを、独自のスタンバイモードから独自の非スタンバイモードに変更する。これにより、情報処理装置3の動作モードは、スタンバイモードから非スタンバイモードに変化する。

0180

その後、主装置30の制御部310が、主装置30の動作モードを独自のスタンバイモードに設定すると、以後同様に情報処理装置3は動作する。

0181

このような間欠動作を行う情報処理装置3では、例えば、動作モードが非スタンバイモードに設定されるたびに、上述の図8に示されるステップs41,s42が実行されて、処理済みセンサ情報が記憶部320に記憶される。上述の図24に示される周期T10が例えば1時間である場合、情報処理装置3では、1時間ごとに、センサ情報が取得されて、処理済みセンサ情報が記憶部320に記憶される。そして、情報処理装置3では、例えば、動作モードが非スタンバイモードにX回(Xは1以上の整数)設定されるたびに、上述のステップs43,s44が実行され、暗号化処理済みセンサ情報がサーバ装置2に送信される。例えば、周期T10が1時間であって、X=24に設定されると、情報処理装置3は、24時間に1回、つまり1日に1回、記憶部320内の処理済みセンサ情報を暗号化してサーバ装置2に送信する。

0182

また、本例に係る情報処理装置3は、動作モードが非スタンバイモードのときに、サーバ装置2との間で、図7に示される一連の処理あるいは図13に示される一連の処理を行う。また、本例に係る情報処理装置3は、動作モードが非スタンバイモードのときに、サーバ装置2との間で、上述の図10に示されるステップs51〜s55の一連の処理のような、動作許可要求から動作許可までの一連の処理を実行する。

0183

以上のように、情報処理装置3が、動作許可レジスタ450内の動作許可情報500に応じて間欠動作を行う場合であっても、上記と同様に、情報処理装置3の安全性を向上することができる。

0184

なお、図15に示されるように、主装置30用のリセット信号RSmを生成し、リセット信号RSmをネゲートすることによって許可対象機能を停止する情報処理装置3が、上記と同様の間欠動作を行ってもよい。図26は、この場合の情報処理装置3が備える動作制御装置40の構成の一例を示す図である。

0185

図26に示される動作制御装置40は、図15に示される動作制御装置40において、上述の割り込みコントローラ560、省電力設定レジスタ570及びクロックゲート465を備えるものである。クロックゲート465は、動作制御部520に設けられている。クロックゲート465は、入力されるクロック信号CLKをクロック信号CLKmとして主装置30に出力することが可能である。

0186

図26に示される動作制御装置40を備える情報処理装置3では、主装置30の動作モードが独自のスタンバイモードに設定されると、スタンバイ信号SBが省電力設定レジスタ570に入力され、省電力設定レジスタ570に省電力設定情報が設定される。これにより、省電力設定レジスタ570から出力されるイネーブル信号ENS0がHighレベルからLowレベルに変化し、クロックゲート465は、クロック信号CLKmの出力を停止する。その結果、主装置30に対するクロック信号CLKmの供給が停止し、情報処理装置3の動作モードがスタンバイモードに設定される。

0187

情報処理装置3の動作モードがスタンバイモードに設定された後、RTC70が割り込み信号INTを出力すると、動作制御装置40では、割り込みコントローラ560が制御部410のCPUに割り込み要求を通知する。割り込み要求を受け取った制御部410のCPUは、省電力設定レジスタ570内の省電力設定情報をクリアする。これにより、イネーブル信号ENS0がLowレベルからHighレベルに変化して、クロックゲート465はクロック信号CLKmを主装置30に出力する。一方で、クロック信号CLKmの供給が再開した主装置30では、制御部310は、主装置30に割り込み信号INTが入力されているか否かを判断する。そして、制御部310は、割り込み信号INTが入力されていると判断すると、主装置30の動作モードを、独自のスタンバイモードから独自の非スタンバイモードに変更する。これにより、情報処理装置3の動作モードは、スタンバイモードから非スタンバイモードに変化する。その後、主装置30の動作モードが独自のスタンバイモードに設定されると、以後同様に情報処理装置3は動作する。

0188

また、上述の図17に示されるように、主装置30が機能ブロック30として動作制御装置40のバス550に接続された情報処理装置3が、間欠動作を行ってもよい。図27は、この場合の情報処理装置3の構成の一例を示す図である。

0189

図27に示される情報処理装置3は、図17に示される情報処理装置3において、省電力設定レジスタ570及びクロックゲート465を備えるものである。省電力設定レジスタ570は、バス550に接続されている。制御部410は、省電力設定レジスタ570に対して省電力設定情報を設定したり、省電力設定レジスタ570内の省電力設定情報をクリアしたりすることができる。クロックゲート465は、上述の図25と同様に、動作制御部460に設けられている。

0190

図27に示される情報処理装置3では、動作モードが制御部410によって制御される。図27に示される情報処理装置3では、機能ブロック30に対するクロック信号CLKmの供給が停止されることによって、動作モードがスタンバイモードに設定される、なお、図27の例では、機能ブロック30には、独自の非スタンバイモード及び独自のスタンバイモードは定められていない。

0191

制御部410は、動作モードをスタンバイモードに設定する場合には、省電力設定レジスタ570に省電力設定情報を設定する。これにより、省電力設定レジスタ570から出力されるイネーブル信号ENS0がHighレベルからLowレベルに変化し、クロックゲート465は、クロック信号CLK0の出力を停止する。その結果、機能ブロック30に対するクロック信号CLKmの供給が停止し、情報処理装置3の動作モードがスタンバイモードに設定される。また、制御部410は、省電力設定レジスタ570に省電力設定情報を設定するとともに、タイマー420に所定時間を設定する。この所定時間は、スタンバイ期間T12と同じ値に設定される。

0192

情報処理装置3の動作モードがスタンバイモードに設定された後、タイマー420が、設定された所定時間の計測を終了すると、制御部410は、省電力設定レジスタ570内の省電力設定情報をクリアする。これにより、イネーブル信号ENS0がLowレベルからHighレベルに変化して、クロックゲート465がクロック信号CLK0を出力し、クロックゲート462がクロック信号CLKmを機能ブロック30に入力する。これにより、機能ブロック30の動作が再開し、情報処理装置3の動作モードが、スタンバイモードから非スタンバイモードに復帰する。その後、省電力設定レジスタ570に省電力設定情報が設定されると、以後同様に情報処理装置3は間欠動作を行う。

0193

なお、上述の図20と同様に、図27の例において、クロックゲート462から出力されるクロック信号CLKmを通信部470に入力することによって、許可対象機能にサーバ通信機能を含めてもよい。

0194

また、上述の図21と同様に、図27の例において、カウントダウンタイマー461から出力されるイネーブル信号ENSとリセット信号RSが入力され、通信部470にリセット信号RSnを出力するリセット信号生成部540を設けることによって、許可対象機能にサーバ通信機能を含めてもよい。

0195

また、上述の図22と同様に、図27の例において、イネーブル信号ENSに基づいてバス550と通信部470の接続を制御するスイッチ回路530を設けることによって、許可対象機能にサーバ通信機能を含めてもよい。

0196

また、図27の例において、カウントダウンタイマー461から出力されるイネーブル信号ENSとリセット信号RSが入力され、通信部470にリセット信号RSnを出力するリセット信号生成部540を設けて、クロックゲート462を削除し、クロックゲート465から出力されるクロック信号を機能ブロック30に入力することによって、許可対象機能に、情報処理装置3の主な機能が含まれないようにしてもよい。

0197

<情報処理装置の動作に関する動作情報の取得>
図28は、情報処理装置3の動作に関する動作情報を取得する本例に係る情報処理装置3が備える動作制御装置40の構成の一例を示す図である。本例に係る情報処理装置3は、上記の例と同様に、間欠動作を行うことが可能である。そして、本例に係る情報処理装置3は、間欠動作を行っているときに、当該間欠動作に関する情報を動作情報として取得する。なお、本例に係る情報処理装置3が備える主装置30の構成は、上述の図23に示される情報処理装置3が備える主装置30の構成と同様である。

0198

図28に示されるように、本例に係る動作制御装置40は、上述の図25に示される動作制御装置40において、クロック計測カウンター580をさらに備えるものである。クロック計測カウンター580は、バス550に接続されており、制御部410によって制御される。クロック計測カウンター580は、主装置30に供給されるクロック信号CLKの入力クロック数を計測することが可能である。

0199

本例では、クロック計測カウンター580は、例えば、情報処理装置3が間欠動作を行っているときに、クロック信号CLKが供給されている主装置30に対して所定期間に入力されるクロックの数を計測する。以後、当該所定期間を「クロック計測期間」と呼ぶことがある。

0200

クロック計測期間は、例えば、間欠動作の周期T10(図24参照)の整数倍に設定される。本例では、クロック計測カウンター580の計測値が動作情報として使用される。クロック計測カウンター580は、動作情報を取得する動作情報取得部として機能すると言える。制御部410は、情報処理装置3が間欠動作を行っている場合に、クロック計測カウンター580を制御して、クロック計測カウンター580に、主装置30に入力されるクロックの数を計測させる。また、制御部410は、セキュアモードで動作する場合にだけ、クロック計測カウンター580にアクセスすることができる。したがって、制御部410は、セキュアモードで動作する場合にだけ、クロック計測カウンター580の動作を開始させたり、クロック計測カウンターから計測値を読み出したり、クロック計測カウンターの計測値をリセットしたりすることができる。

0201

ここで、本例では、情報処理装置3が非スタンバイモードで動作しているときには、主装置30にはクロック信号CLKが供給されている。したがって、クロック計測カウンター580で計測される、主装置30に対して所定期間に入力されるクロックの数は、当該所定期間において情報処理装置3が非スタンバイモードで動作している時間を示す情報であると言える。言い換えれば、クロック計測カウンター580でのクロック計測期間での計測値は、クロック計測期間において、情報処理装置3の主な機能が動作している時間を示す情報であると言える。以後、クロック計測カウンター580でのクロックの数の計測値を「クロック計測値」と呼ぶことがある。

0202

図29は、情報処理装置3が間欠動作を行っている場合に、制御部410がクロック計測カウンター580を制御するときの情報処理装置3の動作の一例を示すフローチャートである。本例では、情報処理装置3は、クロック計測カウンター580のクロック計測値を、サーバ装置2に送信する。

0203

図29に示されるように、ステップs101において、制御部410は、クロック計測カウンター580を動作させて、クロック計測カウンター580にクロックの数の計測を開始させる。さらに、制御部410は、タイマー420にクロック計測期間を設定し、タイマー420にクロック計測期間の計測を開始させる。

0204

次にステップs102において、タイマー420がクロック計測期間の計測を完了すると、ステップs103において、制御部410は、クロック計測カウンター580に計測動作を停止させて、クロック計測カウンター580から現在のクロック計測値を取得する。そして、制御部410は、取得したクロック計測値を記憶部430に記憶する。その後、制御部410は、クロック計測カウンター580のクロック計測値をリセットして零にする。記憶部430に記憶されるクロック計測値は、クロック計測期間でのクロック計測値であると言える。つまり、記憶部430に記憶されるクロック計測値は、クロック計測期間において主装置30に入力されたクロックの総数を示す。

0205

次にステップs104において、制御部410は、情報処理装置3の動作モードが非スタンバイモードのときに、記憶部430からクロック計測値を読み出して暗号化し、暗号化されたクロック計測値を通信部470に送信させる。これにより、主装置30に、暗号化後のクロック計測値が入力される。主装置30は、第2通信部350に、第1通信部340が受信する暗号化されたクロック計測値を、動作情報としてサーバ装置2に送信させる。

0206

ステップs104の後、ステップs101が再度実行され、以後同様にして情報処理装置3は動作する。情報処理装置3は、間欠動作を行っている間、ステップs101〜s104までの一連の処理を繰り返し実行する。

0207

図30は、サーバ装置2が動作情報、つまりクロック計測値を受信する際の当該サーバ装置2の動作の一例を示す図である。図30に示されるように、ステップs111において、サーバ装置2の通信部22が動作情報を受信すると、ステップs112において、制御部20は、受信された動作情報を記憶部21に記憶する。このとき、制御部20は、動作情報、つまり暗号化されたクロック計測値を復号化し、それによって得られた平文のクロック計測値を記憶部21に記憶する。

0208

次にステップs113において、制御部20は、記憶部21内のクロック計測値に基づいて、情報処理装置3の動作が異常であるか否かを判定する異常判定処理を実行する。異常判定処理については後で詳細に説明する。

0209

ステップs113での異常判定処理において、情報処理装置3の動作が異常であると判定されると、ステップs114において、サーバ装置2は、情報処理装置3が有する所定の機能の停止を指示するための動作停止情報を情報処理装置3に送信する。以後、当該所定の機能を「停止対象機能」と呼ぶことがある。

0210

ステップs114では、制御部20は、停止対象機能の停止を指示するための動作停止情報を生成して通信部22に入力する。通信部22は、入力された動作停止情報を、情報処理装置3に送信する。停止対象機能は、例えば、情報処理装置3の主な機能及びサーバ通信機能である。ステップs114の後、ステップs111が実行されると、以後同様にサーバ装置2は動作する。また、ステップs113での異常判定処理において、情報処理装置3の動作が正常であると判定され、その後、ステップs111が実行されると、以後同様にサーバ装置2は動作する。

0211

図31は、間欠動作を行う情報処理装置3が動作停止情報を受信する際の当該情報処理装置3の動作の一例を示すフローチャートである。図29のステップs104の後に続く図30のs111〜s114と、ステップs114に続く図31のステップs121,s122とは、例えば、当該ステップs104において動作情報が送信される非スタンバイ期間T11(図24参照)と同じ期間において実行される。

0212

図31に示されるように、ステップs121において、非スタンバイモードで動作する情報処理装置3は、サーバ装置2から動作停止情報を受信する。ステップs121では、主装置30の第2通信部350が動作停止情報を受信し、制御部310は、受信された動作停止情報を記憶部320に書き込む。

0213

次にステップs122において、情報処理装置3は、停止対象機能を停止する。ステップs122では、制御部310は、記憶部320から動作停止情報を読み出して第1通信部340に送信させる。これにより、動作停止情報が動作制御装置40に入力される。動作制御装置40では、制御部410が、通信部470で受信された動作停止情報を、動作許可レジスタ450に書き込む。ここで、動作停止情報は、例えば、零の値を示す。したがって、動作停止情報が動作許可レジスタ450に書き込まれることによって、動作許可レジスタ450には零の値が設定される。これにより、カウントダウンタイマー461のカウント値が零に設定され、カウントダウンタイマー461のカウント動作が停止する。カウントダウンタイマー461のカウント動作が停止すると、イネーブル信号ENSがLowレベルとなり、クロックゲート462はクロック信号CLKmの出力を停止する。これにより、主装置30の動作が停止する。つまり、停止対象機能が停止する。その結果、情報処理装置3の間欠動作が停止する。

0214

このように、本例では、サーバ装置2が、情報処理装置3で取得された動作情報に基づいて情報処理装置3の動作が異常であると判定すると、情報処理装置3は、停止対象機能を停止する。停止対象機能が停止した後、例えばリセットスイッチ50が操作されると、主装置30の動作が復帰して、許可対象機能が復帰する。

0215

<異常判定処理の一例>
本例では、上述のように、動作情報は、クロック計測期間でのクロック計測値である。クロック計測期間でのクロック計測値は、クロック計測期間において、情報処理装置3が非スタンバイモードで動作している時間を示す情報であると言える。情報処理装置3が正常に間欠動作を行う場合には、クロック計測期間において、情報処理装置3が非スタンバイモードで動作している時間は一定である。例えば、情報処理装置3が正常に間欠動作を行う場合の非スタンバイ期間T11とスタンバイ期間T12の比が1:9であり、クロック計測期間が間欠動作の周期T10の整数倍であるとする。この場合、情報処理装置3が正常に間欠動作を行うとき、クロック計測期間において、情報処理装置3が非スタンバイモードで動作している時間は、クロック計測期間の10分の1となる。したがって、情報処理装置3が正常に間欠動作を行う場合には、クロック計測期間でのクロック計測値は一定となる。以後、情報処理装置3が正常に間欠動作を行う場合のクロック計測期間でのクロック計測値を「第1基準値」と呼ぶことがある。

0216

一方で、主装置30がハッキングされた結果、主装置30が間欠動作を行わずに、常にサーバ装置2と通信して当該サーバ装置2をDoS攻撃する場合には、主装置30からスタンバイ信号SBが出力されずに、クロックゲート462は常にクロック信号CLKを出力することになる。この場合、クロック計測カウンター580がクロック計測期間において計測するクロックの数は、第1基準値よりも大きくなる。また、主装置30がハッキングされた結果、間欠動作を行う主装置30が非スタンバイモードで動作する期間が短くなった場合には、クロック計測カウンター580がクロック計測期間において計測するクロックの数は、第1基準値よりも小さくなる。

0217

そこで、本例の異常判定処理において、サーバ装置2の制御部20は、情報処理装置3からの動作情報、つまりクロック計測期間でのクロック計測値と第1基準値とが一致するか否かを判定する。第1基準値は、記憶部21に予め記憶されている。制御部20は、クロック計測期間でのクロック計測値が第1基準値と一致すると判定すると、情報処理装置3の動作は正常であると判定する。一方で、制御部20は、クロック計測期間でのクロック計測値が第1基準値と一致しないと判定すると、情報処理装置3の動作は異常であると判定する。

0218

なお制御部20は、異常判定処理において、クロック計測期間でのクロック計測値が所定範囲内に存在するか否かを判定してもよい。この場合は、制御部20は、クロック計測期間でのクロック計測値が所定範囲内に存在すると判定すると、情報処理装置3の動作は正常であると判定する。一方で、制御部20は、クロック計測期間でのクロック計測値が所定範囲外に存在すると判定すると、情報処理装置3の動作は異常であると判定する。所定範囲は、例えば、第1基準値から第1所定値だけ小さい値から、第1基準値よりも第2所定値だけ大きい値までの範囲に設定される。第1及び第2所定値は同じであってもよいし、異なっていてもよい。

0219

このように、本例では、動作制御装置としての動作制御装置40が、情報処理装置3の動作に関する動作情報を取得することから、動作制御装置40で取得された動作情報を用いた処理の実行が可能となる。例えば、上述のように、動作制御装置40で取得された動作情報がサーバ装置2に送信されることによって、サーバ装置2は、受信した動作情報を用いた処理を実行することが可能となる。サーバ装置2は、例えば、受信した動作情報に基づいて、情報処理装置3の動作が異常であるか否かを判定することができる。

0220

また本例では、サーバ装置2は、情報処理装置3の動作が異常であると判定すると、停止対象機能の停止を指示するための動作停止情報を情報処理装置3に送信する。そして、動作制御装置40は、情報処理装置3での動作停止情報の受信に応じて、主装置30の動作を停止して停止対象機能を停止する。これにより、主装置30等がハッキングされて情報処理装置3の動作が異常となった場合に、情報処理装置3は停止対象機能を停止することができる。よって、情報処理装置3の停止対象機能がハッカーによって利用される可能性を低減することができる。その結果、情報処理装置3の安全性が向上する。

0221

なお、サーバ装置2の制御部20は、情報処理装置3の動作が異常であると判定した場合、動作停止情報を生成せずに、情報処理装置3の動作が異常であることを示す異常判定情報を記憶部21に記憶してもよい。この場合、制御部20は、情報処理装置3から要求信号をサーバ装置2が受信するなどして、動作許可用処理に応じた動作許可条件が成立したと判定すると、記憶部21に異常判定情報が記憶されているか否かを確認する。そして、制御部20は、記憶部21に異常判定情報が記憶されていない場合には、動作許可情報を生成し、通信部22に、生成した動作許可情報を情報処理装置3に送信させる。一方で、制御部20は、記憶部21に異常判定情報が記憶されている場合には、動作許可情報を生成しない。

0222

このように、サーバ装置2が、情報処理装置3の動作が異常であると判定した場合、動作許可用処理に応じた動作許可条件が成立したとしても、動作許可情報を送信しない場合であっても、情報処理装置3の動作に異常が発生した場合に、情報処理装置3は許可対象機能を停止することができる。よって、主装置30等がハッキングされて情報処理装置3の動作が異常となった場合に、情報処理装置3は許可対象機能を停止することができる。よって、情報処理装置3の許可対象機能がハッカーによって利用される可能性を低減することができる。その結果、情報処理装置3の安全性が向上する。

0223

また、図26に示される動作制御装置40にクロック計測カウンター580を設けて、情報処理装置3とサーバ装置2とが上記と同様に動作してもよい。図32は、図26に示される動作制御装置40にクロック計測カウンター580を設けた様子を示す図である。図32の例では、サーバ装置2が情報処理装置3の動作が異常であると判定し、動作許可レジスタ450に動作停止情報が書き込まれると、主装置30に入力されるリセット信号RSmがアサートされて停止対象機能が停止する。

0224

また、図27に示される動作制御装置40にクロック計測カウンター580を設けて、情報処理装置3とサーバ装置2とが上記と同様に動作してもよい。図33は、図27に示される動作制御装置40にクロック計測カウンター580を設けた様子を示す図である。図33の例では、サーバ装置2が情報処理装置3の動作が異常であると判定し、動作許可レジスタ450に動作停止情報が書き込まれると、クロックゲート462からのクロック信号CLKmの出力が停止して停止対象機能が停止する。これにより、例えば、通常モードで動作する動作制御装置40がハッキングされて、情報処理装置3が間欠動作を行わずに常にサーバ装置2と通信するような動作異常が発生した場合には、情報処理装置3は停止対象機能を停止することができる。よって、情報処理装置3の安全性が向上する。

0225

なお、上述の図20と同様に、図33の例において、クロックゲート462から出力されるクロック信号CLKmを通信部470に入力してもよい。この場合の情報処理装置3を、「図33の第1変形例に係る情報処理装置3」と呼ぶ。

0226

また、上述の図21と同様に、図33の例において、カウントダウンタイマー461から出力されるイネーブル信号ENSとリセット信号RSが入力され、通信部470にリセット信号RSnを出力するリセット信号生成部540を設けてもよい。この場合の情報処理装置3を、「図33の第2変形例に係る情報処理装置3」と呼ぶ。

0227

また、上述の図22と同様に、図33の例において、イネーブル信号ENSに基づいてバス550と通信部470の接続を制御するスイッチ回路530を設けてもよい。この場合の情報処理装置3を、「図33の第3変形例に係る情報処理装置3」と呼ぶ。

0228

図33の第1〜第3変形例に係る情報処理装置3では、停止対象機能にサーバ通信機能も含まれる。

0229

また、図33の例において、カウントダウンタイマー461から出力されるイネーブル信号ENSとリセット信号RSが入力され、通信部470にリセット信号RSnを出力するリセット信号生成部540を設けて、クロックゲート462を削除し、クロックゲート465から出力されるクロック信号を機能ブロック30に入力してもよい。この場合の情報処理装置3を、「図33の第4変形例に係る情報処理装置3」と呼ぶ。図33の第4変形例に係る情報処理装置3では、停止対象機能には、サーバ通信機能は含まれるものの、情報処理装置3の主な機能は含まれなくなる。

0230

上記の例では、サーバ装置2が異常判定処理を行っているが、情報処理装置3が異常判定処理を行ってもよい。具体的には、情報処理装置3の動作制御装置40が異常判定処理を行ってもよい。図34はこの場合の動作制御装置40の動作の一例を示すフローチャートである。以下では、一例として、図28に示される動作制御装置40が異常判定処理を行う場合について説明する。

0231

図34に示されるように、ステップs151において、制御部410は、上述のステップs101と同様に、クロック計測カウンター580にクロックの数の計測を開始させるとともに、タイマー420にクロック計測期間の計測を開始させる。

0232

次にステップs152において、タイマー420がクロック計測期間の計測を完了すると、ステップs153において、制御部410は、クロック計測カウンター580に計測動作を停止させて、クロック計測カウンター580から現在のクロック計測値を取得する。そして、制御部410は、取得したクロック計測値を記憶部430に記憶する。その後、制御部410は、クロック計測カウンター580のクロック計測値をリセットする。記憶部430に記憶されるクロック計測値は、クロック計測期間でのクロック計測値であると言える。

0233

次にステップs154において、制御部410は、記憶部430に記憶されている、クロック計測期間でのクロック計測値に基づいて異常判定処理を行う。制御部410が行う異常判定処理は、サーバ装置2が行う上述の異常判定処理と同じである。異常判定処理で使用される第1基準値は記憶部430に記憶されている。

0234

ステップs154において、情報処理装置3の動作が異常であると判定されると、ステップs155において、動作制御装置40は停止対象機能を停止する。ステップs155では、制御部410は、停止対象機能の動作不可を示す動作不可情報を動作許可レジスタ450に書き込む。これにより、動作許可レジスタ450内の動作許可情報500は、動作不可情報に書き換えられる。

0235

動作不可情報は、例えば零の値を示す。したがって、動作不可情報が動作許可レジスタ450に書き込まれることによって、動作許可レジスタ450には零の値が設定される。これにより、カウントダウンタイマー461のカウント値が零に設定され、カウントダウンタイマー461のカウント動作が停止する。カウントダウンタイマー461のカウント動作が停止すると、イネーブル信号ENSがLowレベルとなり、クロックゲート462はクロック信号CLKmの出力を停止する。これにより、主装置30の動作が停止する。つまり、停止対象機能が停止する。

0236

ステップs155の後、リセットスイッチ50が操作されるなどして、停止対象機能が復帰すると、ステップs151が再度実行され、以後同様に動作制御装置40は動作する。また、ステップs154での異常判定処理において、情報処理装置3の動作が正常であると判定されると、ステップs151が再度実行され、以後同様に動作制御装置40は動作する。

0237

なお、上述の図33の第1変形例に係る情報処理装置3がステップs151〜s155を実行してもよい。また、図33の第2変形例に係る情報処理装置3がステップs151〜s155を実行してもよい。また、図33の第3変形例に係る情報処理装置3がステップs151〜s155を実行してもよい。また、図33の第4変形例に係る情報処理装置3がステップs151〜s155を実行してもよい。

0238

このように、情報処理装置3が異常判定処理を行う場合であっても、情報処理装置3の安全性を向上することができる。

0239

なお、サーバ装置2が異常判定処理を行う場合には、情報処理装置3の販売後であっても、異常判定処理で使用される第1基準値の変更が容易となる。また、情報処理装置3の販売後であっても、異常判定処理の方法の変更が容易となる。一方で、情報処理装置3が異常判定処理を行う場合には、情報処理装置3の動作が異常であると判定されるとすぐに停止対象機能を停止することが可能となる。

0240

情報処理装置3が取得する動作情報は、情報処理装置3の動作に関する情報であればよく、上記の例には限られない。例えば、動作情報は、情報処理装置3の動作ログ及び通信ログの少なくとも一方を含んでもよい。

0241

また、クロック計測カウンター580は、主装置30に入力されるクロックに基づいて、所定期間において動作モードが非スタンバイモードに設定される回数を動作情報として求めてもよい。言い換えれば、クロック計測カウンター580は、主装置30に入力されるクロックに基づいて、所定期間において非スタンバイ期間T11が現れる回数を動作情報として求めてもよい。非スタンバイ期間T11では、主装置30にクロック信号CLKのクロックが入力され、スタンバイ期間T12では、主装置30にクロック信号CLKのクロックが入力されない。したがって、クロック計測カウンター580は、主装置30に入力されるクロックに基づいて、所定期間において動作モードが非スタンバイモードに設定される回数を求めることができる。クロック計測カウンター580が求める当該回数を「計測回数」と呼ぶ。計測回数は、クロック計測期間でのクロック計測値と同様に、主装置30に入力されるクロック信号CLKに基づいて取得される情報であると言える。所定期間は、例えば、間欠動作の周期T10の整数倍に設定される。

0242

サーバ装置2の制御部20あるいは情報処理装置3の制御部410は、計測回数に基づいて異常判定処理を行う。具体的には、制御部20あるいは制御部410は、例えば、計測回数が第2基準値と一致するか否かを判定する。第2基準値は、情報処理装置3が正常に間欠動作を行う場合に、所定期間において動作モードが非スタンバイモードに設定される回数である。例えば、所定期間が周期T10の10倍であるとすると、第2基準値は“10”に設定される。制御部20あるいは制御部410は、計測回数が第2基準値と一致すると判定すると、情報処理装置3の動作は正常であると判定する。一方で、制御部20あるいは制御部410は、計測回数が第2基準値と一致しないと判定すると、情報処理装置3の動作は異常であると判定する。なお、制御部20あるいは制御部410は、クロック計測値及び第1基準値が用いられた上述の異常判定処理と同様に、第2基準値を含む所定範囲内に計測回数が存在する場合に、情報処理装置3の動作は正常であると判定し、当該所定範囲外に計測回数が存在する場合に、情報処理装置3の動作は異常であると判定してもよい。以後、異常判定処理の説明において制御部と言えば、制御部20及び制御部410のそれぞれを意味する。

0243

また、クロック計測カウンター580は、一の非スタンバイ期間T11において主装置30に入力されるクロックの数についての所定期間での平均値を動作情報として求めてもよい。所定期間は、例えば、間欠動作の周期T10の整数倍に設定される。ここで、一の非スタンバイ期間T11において主装置30に入力されるクロックの数を「非スタンバイクロック数」と呼ぶ。所定期間が周期T10の10倍であるとすると、所定期間には10個の非スタンバイ期間T11が含まれることから、クロック計測カウンター580は、10個の非スタンバイクロック数の平均値を動作情報として求める。クロック計測カウンター580で求められる当該平均値を「計測平均値」と呼ぶ。計測平均値は、主装置30に入力されるクロック信号CLKに基づいて取得される情報であると言える。

0244

制御部は計測平均値に基づいて異常判定処理を行う。具体的には、制御部は、例えば、計測平均値が第3基準値と一致するか否かを判定する。第3基準値は、情報処理装置3が正常に間欠動作を行う場合における、所定期間での非スタンバイクロック数の平均値である。制御部は、計測平均値が第3基準値と一致すると判定すると、情報処理装置3の動作は正常であると判定する。一方で、制御部は、計測平均値が第3基準値と一致しないと判定すると、情報処理装置3の動作は異常であると判定する。なお、制御部は、第3基準値を含む所定範囲内に計測平均値が存在する場合に、情報処理装置3の動作は正常であると判定し、当該所定範囲外に計測平均値が存在する場合に、情報処理装置3の動作は異常であると判定してもよい。

0245

また動作情報には、複数の情報が含まれてもよい。この場合、異常判定処理において、制御部は、例えば、複数の情報のそれぞれについて、当該情報に基づいて、情報処理装置3の動作が異常であるか否かを暫定的に判定する暫定異常判定を行う。制御部は、動作情報に含まれる複数の情報のすべてについての暫定異常判定において、情報処理装置3の動作が正常であると判定すると、情報処理装置3の動作が正常であると最終的に判定する。一方で、制御部は、動作情報に含まれる複数の情報の少なくとも一つについての暫定異常判定において、情報処理装置3の動作が異常であると判定すると、情報処理装置3の動作が異常であると最終的に判定する。

0246

動作情報には、例えば、クロック計測期間でのクロック計測値、計測回数及び計測平均値の少なくとも2つが含まれてもよい。例えば、動作情報に、クロック計測期間でのクロック計測値及び計測回数が含まれる場合を考える。この場合、制御部は、異常判定処理において、クロック計測値及び計測回数のそれぞれに基づいて、上記のようにして、情報処理装置3の動作が異常であるか否かを暫定的に判定する。制御部は、クロック計測値及び計測回数のそれぞれについての暫定異常判定において、情報処理装置3の動作が正常であると判定すると、情報処理装置3の動作が正常であると最終的に判定する。一方で、制御部は、クロック計測値及び計測回数の少なくとも一つについての暫定異常判定において、情報処理装置3の動作が異常であると判定すると、情報処理装置3の動作が異常であると最終的に判定する。

0247

他の例として、動作情報に、クロック計測期間でのクロック計測値、計測回数及び計測平均値が含まれる場合を考える。この場合、制御部は、異常判定処理において、クロック計測値、計測回数及び計測平均値のそれぞれに基づいて、上記のようにして、情報処理装置3の動作が異常であるか否かを暫定的に判定する。制御部は、クロック計測値、計測回数及び計測平均値のすべてについての暫定異常判定において、情報処理装置3の動作が正常であると判定すると、情報処理装置3の動作が正常であると最終的に判定する。一方で、制御部は、クロック計測値、計測回数及び計測平均値の少なくとも一つについての暫定異常判定において、情報処理装置3の動作が異常であると判定すると、情報処理装置3の動作が異常であると最終的に判定する。以後、クロック計測値、計測回数及び計測平均値を総称してクロック信号CLKに基づく動作情報と呼ぶことがある。

0248

また、許可対象機能と停止対象機能とは、同じであってもよいし、異なっていてもよい。後者の場合、例えば、許可対象機能を情報処理装置3の主な機能とし、停止対象機能をサーバ通信機能としてもよい。図35はこの場合の情報処理装置3の構成の一例を示す図である。図35に示される情報処理装置3は、図33に示される情報処理装置3において、通信部470用のリセット信号RSnを出力するリセット信号生成部590が設けられたものである。リセット信号生成部590は、リセット信号RSがアサートされると、リセット信号RSnをアサートする。図35の例では、情報処理装置3の動作が異常であると判定されると、制御部410は、通信部470の動作の停止を指示する指示信号411をリセット信号生成部590に出力する。リセット信号生成部590は、指示信号411を受け取ると、リセット信号RSnをアサートして通信部470の動作を停止する。これにより、サーバ装置2あるいは動作制御装置40で情報処理装置3の動作が異常であると判定されると、サーバ通信機能が停止する。

0249

また、上記の例の情報処理システム1では、サーバ装置2が動作許可条件が成立するか否かを判定し、当該動作許可条件が成立した場合に動作許可情報を情報処理装置3に送信し、情報処理装置3が受信した動作許可情報に応じて許可対象機能を動作させるといった処理(以後、「第1機能制御処理」と呼ぶことがある)が行われているが、当該処理は行われなくてもよい。

0250

また、上記の例の情報処理システム1では、情報処理装置3の動作が異常であるか否かが判定され、情報処理装置3の動作が異常であると判定されると、停止対象機能を停止するといった処理(以後、「第2機能制御処理」と呼ぶことがある)が行われているが、当該処理は行われなくてもよい。

0251

また、情報処理システム1において、第1機能制御処理が行われずに、第2機能制御処理が行われる場合には、動作許可レジスタ450内に動作許可情報500が予め記憶されていてもよい。つまり、情報処理装置3の工場出荷段階において、動作許可レジスタ450内に動作許可情報500が記憶されていてもよい。この場合、動作許可情報500は、例えば、情報処理装置3の製品寿命(例えば10年)よりも長い動作可能期間(例えば30年)を示す。動作制御装置40の制御部410は、情報処理装置3の動作が異常であると判定されると、動作許可レジスタ450内の動作許可情報500を、サーバ装置2からの動作停止情報あるいは自身で生成する動作不可情報に書き換えることによって、停止対象機能を停止する。なお、この場合において、情報処理装置3が異常判定処理を行うときには、情報処理装置3はサーバ装置2と通信しなくてもよい。

0252

また、異常判定処理の方法は上記の例に限られない。また、動作情報が使用された処理は異常判定処理に限られない。

0253

<主装置の構成の他の例>
図36は主装置30の構成の他の例を示す図である。図36に示される例では、制御部310、記憶部320、センサ装置330、第1通信部340、第2通信部350及び処理回路360は、互いに異なるパッケージ311,321,331,341,351,361にそれぞれに収納されている。制御部310は、記憶部320、センサ装置330、第1通信部340、第2通信部350及び処理回路360のそれぞれと、例えばSPIあるいはI2Cに基づいて通信することが可能である。なお、制御部310と、記憶部320、センサ装置330、第1通信部340、第2通信部350及び処理回路360との間の通信方式はこれに限られない。

0254

制御部310は、図37に示されるように、クロック生成部312を備えてもよい。クロック生成部312は、例えばリングオシレータである。クロック生成部312から出力されるクロック信号CLKpの周波数精度は、例えば、動作制御装置40が備えるクロック生成部480から出力されるクロック信号CLKの周波数精度よりも低くなっている。

0255

図37のように、制御部310がクロック生成部312を備える場合には、主装置30は、クロック信号CLKpに基づいて、動作してもよいし、動作しなくてもよい。後者の場合には、クロック生成部312の動作は常に停止してもよい。一方で、前者の場合、例えば、制御部310は、主装置30のリセットが解除されると、つまり、主装置30に入力されるリセット信号RSがネゲートされると、まず、クロック信号CLKpに基づいて動作を開始し、主装置30の初期設定を行う。初期設定後は、クロック信号CLKpは使用されずに、制御部310はクロック信号CLKmに基づいて動作を行う。初期設定後は、クロック生成部312の動作は停止してもよい。なお、クロック信号CLKpの使用例はこの限りではない。また、クロック生成部312はリングオシレータ以外であってもよい。以後、クロック信号CLKpを内部クロック信号CLKpと呼ぶことがある。

0256

機能停止方法の他の例>
動作制御装置40は、動作可能期間が経過した場合、あるいは情報処理装置3の動作が異常であると判定された場合、主装置30に対する電源供給を停止することによって、主装置30の動作を停止してもよい。図38はこの場合の動作制御装置40の構成の一例を主に示す図である。図38の例では、情報処理装置3は、その電源を生成するバッテリ70を備えている。動作制御装置40及び主装置30は、バッテリ70の出力電圧Vbに基づいて動作する。

0257

図38に示される動作制御装置40は、上述の図15に示される動作制御装置40において、リセット信号生成部510の替わりに電源回路610を備え、リセット信号RSを主装置30に入力するものである。

0258

電源回路610は、主装置30の電源電圧Vmを生成する。電源回路610は、バッテリ70の出力電圧Vbに基づいて電源電圧Vmを生成して出力することが可能である。電源回路610は例えば降圧回路であって、バッテリ70の出力電圧Vbを降圧して出力する。

0259

主装置30には電源電圧Vmが入力される電源入力口303が設けられている。主装置30は、電源入力口303に入力される電源電圧Vmに基づいて動作を行う。図38の例では、カウントダウンタイマー461と電源回路610とで、主装置30の動作を制御する動作制御部620が構成される。

0260

電源回路610には、カウントダウンタイマー461から出力されるイネーブル信号ENSが入力される。電源回路610は、イネーブル信号ENSがLowレベルのとき電源電圧Vmを出力しない。一方で、電源回路610は、イネーブル信号ENSがHighレベルのとき電源電圧Vmを出力する。

0261

このような構成を有する動作制御装置40では、情報処理装置3のリセット解除後に、動作許可レジスタ450に初期値が設定されると、イネーブル信号ENSがLowレベルからHighレベルに変化して、主装置30の電源入力口303に電源電圧Vmが入力される。これより、主装置30は初期動作可能期間、動作することが可能となる。そして、初期動作可能期間において、動作許可条件が成立して、動作許可レジスタ450に動作許可情報500が設定されると、イネーブル信号ENSはHighレベルを維持し、主装置30は動作を継続する。その後、動作許可レジスタ450内の動作許可情報500が更新されない場合には、情報処理装置3に現在設定されている動作可能期間が経過すると、電源入力口303に電源電圧Vmが入力されなくなり、その結果、主装置30の動作が停止する。

0262

なお、図16図17等に示されるように、主装置30と動作制御装置40とが同一のパッケージ600に収納される場合においても、図38の例と同様に、動作制御装置40は、主装置30(言い換えれば機能ブロック30)に対する電源供給を停止することによって、主装置30の動作を停止してもよい。

0263

また、図23〜28等に示されるように、情報処理装置3が間欠動作を行う場合においても、図38の例と同様に、動作制御装置40は、主装置30に対する電源供給を停止することによって、主装置30の動作を停止してもよい。図39は、この場合の動作制御装置40の構成の一例を示す図である。

0264

図39に示される動作制御装置40は、上述の図32に示される動作制御装置40において、リセット信号生成部510の替わりに電源回路610を備え、リセット信号RSを主装置30に入力するものである。図39の例では、カウントダウンタイマー461、クロックゲート465及び電源回路610で、主装置30の動作を制御する動作制御部620が構成される。

0265

図39に示される動作制御装置40では、サーバ装置2が異常判定処理を行う場合、サーバ装置2からの動作停止情報が動作許可レジスタ450に設定されると、動作許可レジスタ450には零の値が設定される。これにより、カウントダウンタイマー461のカウント値が零に設定され、イネーブル信号ENSがLowレベルとなる。その結果、電源回路610から電源電圧Vmが出力されなくなり、主装置30の動作が停止する。また、情報処理装置3で異常判定処理が行われる場合、動作不可情報が動作許可レジスタ450に設定されると、動作許可レジスタ450には零の値が設定される。これにより、カウントダウンタイマー461のカウント値が零に設定され、イネーブル信号ENSがLowレベルとなる。その結果、電源回路610から電源電圧Vmが出力されなくなり、主装置30の動作が停止する。

0266

また、動作制御装置40は、動作可能期間が経過した場合、あるいは情報処理装置3の動作が異常であると判定された場合、通信部470に対する電源供給を停止することによって、通信部470の動作を停止してもよい。図40はこの場合の動作制御装置40の構成の一例を主に示す図である。

0267

図40に示される動作制御装置40は、図21に示される動作制御装置40において、リセット信号生成部540の替わりに電源回路630を備えるものである。電源回路630は、バッテリ70の出力電圧Vbに基づいて、通信部470の電源電圧Vnを生成して出力することが可能である。電源回路630は、例えば降圧回路であって、出力電圧Vbを降圧して出力する。電源回路630には、カウントダウンタイマー461から出力されるイネーブル信号ENSが入力される。電源回路630は、イネーブル信号ENSがLowレベルのとき電源電圧Vnを出力しない。一方で、電源回路630は、イネーブル信号ENSがHighレベルのとき電源電圧Vnを出力する。なお、図27,33等に示されるように、情報処理装置3が間欠動作を行う場合においても、動作制御装置40は、通信部470に対する電源供給を停止することによって、通信部470の動作を停止してもよい。

0268

また、動作制御装置40は、動作可能期間が経過した場合、あるいは情報処理装置3の動作が異常であると判定されたとき、主装置30における、制御部310を除く一部の回路の動作を、制御部310の動作にかかわらず、停止してもよい。図41は、この場合の動作制御装置40の構成の一例を示す図である。

0269

図41に示される動作制御装置40は、上述の図38に示される動作制御装置40において、電源回路610の替わりに制御部650を備えるものである。図41に示される動作制御装置40では、カウントダウンタイマー461及び制御部650によって、主装置30の動作を制御する動作制御部660が構成されている。

0270

制御部650は、イネーブル信号ENSがLowレベルのときには、制御部310の動作にかかわらず、主装置30の一部の回路の動作を停止させる。以後、制御部310の動作にかかわらず、主装置30の一部の回路の動作を停止させることを「強制停止制御」と呼ぶことがある。一方で、制御部650は、イネーブル信号ENSがHighレベルのとき、主装置30の一部の回路に対する強制停止制御を解除する。

0271

制御部650は、例えば、サーバ装置2と通信する第2通信部350に入力される信号を制御することによって、第2通信部350に対して強制停止制御を行う。例えば、上述の図36,37に示される構成において、制御部310がI2Cに基づいて第2通信部350と通信することが可能である場合を考える。この場合、動作制御部660の制御部650は、第2通信部350に入力されるSCL信号強制的にLowレベルに固定する。これにより、制御部310は、第2通信部350と通信しようとしたとしても、SCL信号のレベルが強制的にLowレベルに固定されていることから、第2通信部350と通信できなくなる。制御部650は、制御部310と第2通信部350とを接続する、SCL信号が流れる信号ラインのレベルをLowレベルに固定することによって、第2通信部350に対して強制停止制御を行うことができる。一方で、制御部650は、当該信号ラインをLowレベルに固定することを止めることによって、第2通信部350に対する強制停止制御を解除することができる。第2通信部350に対する強制停止制御が解除されると、制御部410は第2通信部350との通信が可能となり、その結果、第2通信部350は、制御部310による制御に応じて動作することが可能となる。

0272

なお、制御部650は、主装置30における、第2通信部350以外の回路の動作を停止してもよい。また、制御部650は、記憶部320、センサ装置330、第1通信部340及び第2通信部350の少なくとも一つの回路の動作を停止してもよい。

0273

また、制御部650は、主装置30のある回路に対して制御部310から供給される、当該ある回路を活性化するための信号を強制的にネゲートすることができる場合には、当該信号をネゲートすることによって当該ある回路に対して強制停止制御を行ってもよい。回路を活性化するための信号は、例えば、セレクト信号チップセレクト信号、イネーブル信号あるいはチップイネーブル信号と呼ばれることがある。以後、回路を活性化するための信号を活性化信号と呼ぶことがある。

0274

また、図24等に示されるように、情報処理装置3が間欠動作を行う場合においても、図41の例と同様に、動作制御装置40は、制御部310の動作にかかわらず、主装置30の一部の回路を停止してもよい。図42は、この場合の動作制御装置40の構成の一例を示す図である。図42に示される動作制御装置40は、上述の図39に示される動作制御装置40において、電源回路610の替わりに制御部650を設けたものである。

0275

<動作情報の他の例>
上記の例では、異常判定処理で使用される動作情報には、クロック計測期間でのクロック計測値、計測回数及び計測平均値の少なくとも一つが含まれていたが、これらの情報以外の情報が含まれてもよい。以後、異常判定処理で使用される、情報処理装置3の動作に関する動作情報を「装置動作情報」と呼ぶことがある。

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

(分野番号表示ON)※整理標準化データをもとに当社作成

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ