CN114008972A - 图像形成装置、固件的篡改防止方法以及存储有篡改防止程序的计算机可读取的非瞬时性记录介质 - Google Patents
图像形成装置、固件的篡改防止方法以及存储有篡改防止程序的计算机可读取的非瞬时性记录介质 Download PDFInfo
- Publication number
- CN114008972A CN114008972A CN202080044966.9A CN202080044966A CN114008972A CN 114008972 A CN114008972 A CN 114008972A CN 202080044966 A CN202080044966 A CN 202080044966A CN 114008972 A CN114008972 A CN 114008972A
- Authority
- CN
- China
- Prior art keywords
- firmware
- image forming
- forming apparatus
- unit
- storage unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B41—PRINTING; LINING MACHINES; TYPEWRITERS; STAMPS
- B41J—TYPEWRITERS; SELECTIVE PRINTING MECHANISMS, i.e. MECHANISMS PRINTING OTHERWISE THAN FROM A FORME; CORRECTION OF TYPOGRAPHICAL ERRORS
- B41J29/00—Details of, or accessories for, typewriters or selective printing mechanisms not otherwise provided for
- B41J29/38—Drives, motors, controls or automatic cut-off devices for the entire printing mechanism
- B41J29/393—Devices for controlling or analysing the entire machine ; Controlling or analysing mechanical parameters involving printing of test patterns
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B41—PRINTING; LINING MACHINES; TYPEWRITERS; STAMPS
- B41J—TYPEWRITERS; SELECTIVE PRINTING MECHANISMS, i.e. MECHANISMS PRINTING OTHERWISE THAN FROM A FORME; CORRECTION OF TYPOGRAPHICAL ERRORS
- B41J29/00—Details of, or accessories for, typewriters or selective printing mechanisms not otherwise provided for
- B41J29/38—Drives, motors, controls or automatic cut-off devices for the entire printing mechanism
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N1/00—Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
- H04N1/00002—Diagnosis, testing or measuring; Detecting, analysing or monitoring not otherwise provided for
- H04N1/00007—Diagnosis, testing or measuring; Detecting, analysing or monitoring not otherwise provided for relating to particular apparatus or devices
- H04N1/00015—Reproducing apparatus
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N1/00—Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
- H04N1/00002—Diagnosis, testing or measuring; Detecting, analysing or monitoring not otherwise provided for
- H04N1/00026—Methods therefor
- H04N1/00031—Testing, i.e. determining the result of a trial
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N1/00—Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
- H04N1/00002—Diagnosis, testing or measuring; Detecting, analysing or monitoring not otherwise provided for
- H04N1/00071—Diagnosis, testing or measuring; Detecting, analysing or monitoring not otherwise provided for characterised by the action taken
- H04N1/00082—Adjusting or controlling
- H04N1/00084—Recovery or repair, e.g. self-repair
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N1/00—Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
- H04N1/00127—Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture
- H04N1/00204—Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture with a digital computer or a digital computer system, e.g. an internet server
- H04N1/00244—Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture with a digital computer or a digital computer system, e.g. an internet server with a server, e.g. an internet server
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N1/00—Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
- H04N1/00127—Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture
- H04N1/00344—Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture with a management, maintenance, service or repair apparatus
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N1/00—Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
- H04N1/00962—Input arrangements for operating instructions or parameters, e.g. updating internal software
- H04N1/00973—Input arrangements for operating instructions or parameters, e.g. updating internal software from a remote device, e.g. receiving via the internet instructions input to a computer terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N1/00—Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
- H04N1/04—Scanning arrangements, i.e. arrangements for the displacement of active reading or reproducing elements relative to the original or reproducing medium, or vice versa
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N1/00—Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
- H04N1/00912—Arrangements for controlling a still picture apparatus or components thereof not otherwise provided for
- H04N1/00938—Software related arrangements, e.g. loading applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Multimedia (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Biomedical Technology (AREA)
- Bioethics (AREA)
- Computing Systems (AREA)
- Facsimiles In General (AREA)
- Accessory Devices And Overall Control Thereof (AREA)
- Stored Programmes (AREA)
Abstract
能够与网络连接的图像形成装置(100)具备:非易失性的辅助存储部(140),用于存储使图像形成装置(100)发挥功能的固件;篡改检测部(111),用于使用数字签名来判定存储在辅助存储部(140)中的固件是否被篡改;固件恢复部(112),用于删除被判定为被篡改的固件,安装从其他图像形成装置(200)提供的固件;固件提供部(113);控制单元(110);辅助存储部(140)在写入被限制的引导块中存储有作为篡改检测部(111)、固件恢复部(112)、固件提供部(113)以及控制单元(110)发挥功能的固件。
Description
技术领域
本发明涉及图像形成装置、固件的篡改防止方法以及存储有篡改防止程序的计算机可读取的非瞬时性记录介质,涉及用于提高控制图像形成装置的图像形成程序(固件)的安全性的技术。
背景技术
典型的图像形成装置能够执行向印刷介质的图像形成、FAX发送、扫描数据的发送这样的各种处理。这样的各种功能大多通过在图像形成装置所具备的作为非易失性存储装置的硬盘中安装固件来实现。因此,设想固件的篡改的可能性,期望例如使用哈希值来检测固件的篡改。具体而言,例如,对比文件1以及2提出了以下技术:在图像形成装置出货时,预先将安装有固件的版本信息保存在管理服务器中,在设置图像形成装置时向管理服务器询问,在管理服务器中比较版本信息,检测从出货到设置时为止的期间、即在运输中受到了不希望的篡改。
现有技术文献
专利文献
专利文献1:日本特开2009-294859号公报
专利文献2:日本特开2014-26663号公报
发明内容
然而,以往,设想图像形成装置从出货到设置为止的期间的运输中的篡改,没有充分地研究设置后的来自外部的攻击。
本发明是鉴于这样的状况而完成的,其目的在于提供一种简单地提高具备与网络连接的多个图像形成装置的图像形成系统的各图像形成装置的安全性的技术。
用于解决问题的方案
本发明的一个方面所涉及的图像形成装置是能够与网络连接的图像形成装置,所述图像形成装置具备:非易失性的辅助存储部,用于存储使所述图像形成装置发挥功能的固件;篡改检测部,用于对存储在所述辅助存储部中并被赋予了数字签名的固件进行分析,使用所述数字签名来判定所述固件是否被篡改;固件恢复部,用于删除该被判定为被篡改的固件,向与所述网络连接的其他图像形成装置请求提供与所述固件兼容的固件,并安装从所述其他图像形成装置提供的固件;固件提供部,用于在有提供与所述其他图像形成装置的固件兼容的固件的请求的情况下,向该其他图像形成装置提供所述兼容的固件;控制单元,用于控制所述篡改检测部、所述固件恢复部和所述固件提供部;所述辅助存储部具有写入被限制的引导块,在所述引导块中存储有作为所述篡改检测部、所述固件恢复部、所述固件提供部以及控制单元发挥功能的固件。
本发明的一个方面所涉及的固件的篡改防止方法是用于能够与网络连接的图像形成装置的固件的篡改防止方法,所述固件的篡改防止方法具备:存储工序,用于在非易失性的辅助存储部中存储使所述图像形成装置发挥功能的固件;篡改检测工序,用于对存储在所述辅助存储部中并被赋予了数字签名的固件进行分析,使用所述数字签名来判定所述固件是否被篡改;固件恢复工序,用于删除该被判定为被篡改的固件,向与所述网络连接的其他图像形成装置请求提供与所述固件兼容的固件,并安装从所述其他图像形成装置提供的固件;固件提供工序,用于在有提供与所述其他图像形成装置的固件兼容的固件的请求的情况下,向该其他图像形成装置提供该兼容的固件;控制工序,用于控制所述篡改检测工序、所述固件恢复工序和所述固件提供工序;在所述存储工序中,在所述辅助存储部所具有的写入被限制的引导块中,存储使所述图像形成装置执行所述篡改检测工序、所述固件恢复工序、所述固件提供工序以及所述控制工序的固件。
本发明的一个方面所涉及的存储有篡改防止程序的计算机可读取的非瞬时性记录介质是用于防止用于能够与网络连接的图像形成装置的固件的篡改的存储有篡改防止程序的计算机可读取的非瞬时性记录介质,所述存储有篡改防止程序的计算机可读取的非瞬时性记录介质通过所述图像形成装置的计算机的处理器执行该篡改防止程序,使所述图像形成装置的计算机作为以下而发挥功能:篡改检测部,用于对存储在所述图像形成装置所具备的非易失性的辅助存储部中并被赋予了数字签名的使该图像形成装置发挥功能的固件进行分析,使用所述数字签名来判定所述固件是否被篡改;固件恢复部,用于删除该被判定为被篡改的固件,向与所述网络连接的其他图像形成装置请求提供与所述固件兼容的固件,并安装从所述其他图像形成装置提供的固件;固件提供部,用于在有提供与所述其他图像形成装置的固件兼容的固件的请求的情况下,向该其他图像形成装置提供该兼容的固件;控制单元,用于控制所述篡改检测部、所述固件恢复部和所述固件提供部;以如下方式使所述计算机发挥功能:使作为所述篡改检测部、所述固件恢复部、所述固件提供部以及控制单元发挥功能的固件存储在所述辅助存储部所具有的、写入被限制的引导块中。
发明效果
根据本发明,能够简单地提高具备与网络连接的多个图像形成装置的图像形成系统的各图像形成装置的安全性的技术。
附图说明
图1是示出具备本发明的一种实施方式所涉及的图像形成装置的图像形成系统的整体结构的概略结构图。
图2是示出一种实施方式所涉及的一个图像形成装置的概略结构图。
图3A是示出一种实施方式所涉及的三台图像形成装置的各固件的内容的说明图。
图3B是示出在一种实施方式所涉及的三台图像形成装置的各功能中使用的固件的说明图。
图4是示出一种实施方式所涉及的系统启动处理的内容的流程图。
图5是示出一种实施方式所涉及的图像形成装置的启动后的主存储器的各区域的状态的说明图。
图6是示出一种实施方式所涉及的图像形成装置的通常工作模式下的工作内容的流程图。
图7是示出一种实施方式所涉及的图像形成装置的恢复动作模式下的工作内容的流程图。
具体实施方式
以下,参照附图,对用于实施本发明的方式(以下,称为“实施方式”)进行说明。
图1是示出具备本发明的一种实施方式所涉及的图像形成装置的图像形成系统的整体结构的概略结构图。在本实施方式中,图像形成系统10具备与局域网(也简称为LAN。)30相互连接的多个(例如三台)图像形成装置100、200、300。如图1所示,在图像形成系统10中,多个图像形成装置100、200、300经由LAN30相互连接(可连接),支持服务器500、个人计算机(省略图示)等能够连接。
三台图像形成装置100、200、300可以是相同的结构,但在本实施方式中是相互不同的结构。具体而言,在三台图像形成装置100、200、300中,分别安装有固件组142F、固件组242F以及固件组342F。如后述的图3A所示,固件组142F以及固件组242F包括PDL分析程序、颜色转换程序、半色调程序、图像读取程序、二值化程序、PDF化程序、压缩解压缩程序以及管理程序。另一方面,固件组342F包括PDL分析程序、颜色转换程序、半色调程序、图像读取程序以及管理程序,但不具有二值化程序、PDF化程序以及压缩解压缩程序。固件组142F、固件组242F以及固件组342F的内容彼此不同。因此,各图像形成装置100、200、300的功能(一个装置具有发送功能,而另一个装置没有发送功能等)不同。关于各程序的详细情况将在后面叙述。在本说明书中,固件和程序作为同义的用语使用。
支持服务器500经由因特网600与LAN30连接。支持服务器500是三台图像形成装置100、200、300的制造商提供的服务器。支持服务器500还作为公钥证书认证机构(CA,Certificate Authority)发挥功能,能够向用户发行公钥证书。公钥证书是将公钥与其所有者(图像形成装置)的识别信息联系起来的证书。
图2是示出本发明的一种实施方式所涉及的一个图像形成装置100的概略结构图。图像形成装置100具备控制单元110、图像读取部120、存储部140、通信接口部150(也称为通信I/F)、图像形成部160和FAX通信部170。图像读取部120从原稿读取图像,生成作为数字数据的图像数据ID。图像形成部160基于图像数据ID或从个人计算机20接收到的打印作业,在打印介质(未图示)上形成图像并排出。打印介质也被称为图像形成介质。FAX通信部170执行FAX的收发。在FAX的发送中,执行二值化处理。
控制单元110包含CPU(中央处理器(Central Processing Unit))、构成主存储器114的RAM(随机存取存储器(Random Access Memory))、ROM(只读存储器(Read OnlyMemory))以及专用的硬件电路而构成。另外,控制单元110具备与各种I/O、USB(通用串行总线(Universal Serial Bus))、总线、其他硬件等接口相关的控制器功能。控制单元110控制图像形成装置100的整体。在该例中,控制单元110设为使用Linux(注册商标)内核作为操作系统而工作的控制单元。
控制单元110通过由上述CPU执行存储在存储部140中的控制程序(包括后面叙述的篡改检测程序、固件恢复程序以及固件提供程序),作为篡改检测部111、固件恢复部112和固件提供部113发挥功能。CPU在主存储器114内利用规定的各存储区域(后面叙述)来执行各处理。
存储部140是存储使图像形成装置100发挥功能的固件的硬盘驱动器等存储装置。例如,存储部140具有硬盘加密功能,是作为非瞬时性的非易失性的记录介质的硬盘驱动器。存储部140具有引导程序存储区域141、固件存储区域142、公钥存储区域143、私钥存储区域144和固件管理信息存储区域145。固件存储区域142、公钥存储区域143、私钥存储区域144以及固件管理信息存储区域145设定为可重写。另一方面,引导程序存储区域141设定为不可重写,即写入被限制。
引导程序存储区域141是存储引导程序、篡改检测程序、固件恢复程序以及固件提供程序的引导块。篡改检测部111、固件恢复部112以及固件提供部113分别通过由CPU执行篡改检测程序、固件恢复程序以及固件提供程序来实现。固件存储区域142存储固件组142F。
公钥存储区域143是存储公钥的区域。在公钥中,有固件提供源的篡改检测公钥PKf和在图像形成装置100与外部进行通信时使用的外部通信用公钥PKc。篡改检测用公钥PKf由篡改检测部111用于篡改检测。外部通信用公钥PKc设为预先登记在支持服务器500和网络内的其他图像形成装置200、300(图像形成装置100的情况)中。私钥存储区域144是存储私钥的区域。在私钥中,有在图像形成装置100与外部进行通信时使用的通信用私钥SKc。
篡改检测部111分析存储在存储部140中并被赋予了数字签名的固件,使用数字签名来判定固件是否被篡改。
固件恢复部112删除被判定为被篡改的固件,向与LAN30(网络)连接的其他图像形成装置(例如图像形成装置200)请求提供与所述固件兼容的固件,并安装从所述其他图像形成装置(例如图像形成装置200)提供的固件。
在有提供与其他图像形成装置(例如图像形成装置200)的固件兼容的固件的请求的情况下,固件提供部113向其他图像形成装置(例如图像形成装置200)提供该兼容的固件。
图3A是示出一种实施方式所涉及的三台图像形成装置100、200、300的各固件的内容的说明图。在三台图像形成装置100、200、300的各自的固件管理信息存储区域145中,存储有图3A所示的固件管理表T。固件管理表T示出各固件的安装的有无和兼容性。○标志表示相互兼容。△标志表示相互不兼容。×标志表示没有安装。
具体而言,PDL分析程序安装在三台图像形成装置100、200、300的每一个中,相互兼容。半色调程序安装在三台图像形成装置100、200、300的每一个中,但相互不兼容。图像读取程序安装在三台图像形成装置100、200、300的每一个中,但仅在两台图像形成装置100、200之间兼容。PDF化程序仅安装在两台图像形成装置100、200中,相互间兼容。
图3B是示出在一种实施方式所涉及的三台图像形成装置的各功能中使用的固件的说明图。在图3B中,示出在三台图像形成装置100、200、300的各功能中使用的固件。具体而言,例如打印功能使用PDL分析程序、颜色转换程序以及半色调程序。发送功能使用图像读取程序以及PDF化程序。这些信息存储在固件管理信息存储区域145中。
数字签名被赋予到各固件中。数字签名是将翻译成机器语言的固件的哈希值用私钥加密的数字签名。数字签名可以用与私钥成对的公钥(也称为篡改检测用公钥。)进行解密,取得哈希值。篡改检测部111可以重新计算被翻译成机器语言的固件的哈希值,基于计算出的哈希值与解密而取得的哈希值的一致来判定被翻译成机器语言的固件是否被篡改,或者确认固件未被篡改。
在本实施方式中,固件提供者可以使用固件提供者的私钥来生成数字签名,并赋予到固件中以生成带数字签名的固件。假设固件提供者原则上将带数字签名的固件与篡改检测用公钥一起提供给图像形成装置100、200、300的用户,所述篡改检测用公钥与用于数字签名的加密的私钥成对。
此外,在固件提供者提供无数字签名的固件而不是带数字签名的固件的情况下,图像形成装置100、200、300可以使用各个篡改检测部(例如如果是图像形成装置100则为篡改检测部111)生成私钥(或者使用所持有的私钥)来生成数字签名,作为带数字签名的固件。
固件管理信息存储区域145与各固件相关联地存储确定篡改检测用公钥的信息,该篡改检测用公钥与用于生成各固件的数字签名的私钥成对。固件管理信息存储区域145还存储确定各图像形成装置100、200、300的ID信息。
此外,以上使用图2对图像形成装置100的结构进行了说明。图像形成装置200、300至少具备相当于图像形成装置100控制单元110、图像读取部120、存储部140、图像形成装置160以及通信接口部150的各结构。因此,省略对图像形成装置200、300的各结构的详细的说明。
图4是示出一种实施方式所涉及的系统启动处理(步骤S100)的内容的流程图。在步骤S110中,用户接通图像形成装置100的电源。电源的接通例如也可以在由定时器预先设定的时间自动地进行。
在步骤S120中,图像形成装置100执行引导程序启动处理.在引导程序启动处理中,图像形成装置100的CPU(未图示)从存储部140的硬盘的引导块读取引导程序,并启动图像形成装置100。在本实施方式中,在引导程序中,除了启动用的程序和设置信息之外,还包括用于实现控制单元110的篡改检测部111、固件恢复部112以及固件提供部113的程序。存储部140也称为辅助存储部。
在步骤S130中,篡改检测部111取得篡改检测用的公钥。即,篡改检测部111尝试从存储部140的公钥存储区域143取得与各固件对应的篡改检测用公钥PKf。篡改检测部111在与各固件对应的篡改检测用公钥PKf的取得完成了的情况下,使处理进入步骤S140。
篡改检测部111在判断为存在没有存储篡改检测用公钥PKf的固件的情况下,生成该固件用的私钥和公钥的对。篡改检测部111使用该私钥生成数字签名,将确定与用于该数字签名的生成的秘钥成对的篡改检测用公钥的信息与该固件相关联,并存储在固件管理信息存储区域145中。这样的处理在没有数字签名的固件被安装之后,即在安装之后的第一次启动时被执行。
在步骤S140中,篡改检测部111执行启动时篡改检测处理。在启动时篡改检测处理中,在该例子中,篡改检测部111使用在存储部140的硬盘内附随于各固件而存储的数字签名,确认硬盘内的各固件未被篡改。
在步骤S150中,在未检测到篡改的情况下,使处理进入步骤S160,在至少一个固件中检测到篡改的情况下,使处理进入步骤S170。通常工作模式持续到图像形成装置100的电源断开为止(步骤S195)。
此外,篡改检测部111在未检测到篡改的情况下,擦除(删除)由图像形成装置100生成并与篡改检测用公钥成对的私钥。由此,图像形成装置100能够排除在其内部生成的私钥的恶意使用,提高安全性。
图5是示出一种实施方式所涉及的图像形成装置的启动后的主存储器114的各区域的状态的说明图。主存储器114由文本区域114T、静态区域114S、堆区域114H、空闲区域114F以及堆栈区域114V构成。主存储器114也称为主存储部。
文本区域114T也称为程序区域,是存储翻译成机器语言的程序的固定大小的区域。图像形成装置100在启动时,从引导程序存储区域141读出翻译成机器语言的程序,并存储在文本区域114T中。各进程通过在CPU中执行该机器语言的命令而工作。
静态区域114S是存储全局变量等静态变量的固定大小的区域。静态变量是在各进程的工作时不变化的变量。堆栈区域114V是存储自动变量(局部变量)、函数的自变量、返回值这样的临时变量等的固定大小的区域。在堆栈区域114V中,也可以暂时保存CPU的寄存器。
堆区域114H例如是在C语言中,各进程能够使用malloc函数确保物理存储器,使用free函数释放物理存储器的动态区域。各进程的动作所需的存储区域使用malloc函数确保物理存储器而工作,在其动作完成之后使用free函数释放物理存储器。另一方面,空闲区域114F是除了在堆区域114H中确保的区域以外的区域。因此,堆区域114H以及空闲区域114F是根据各进程的动作而变动的区域。
图6是示出一种实施方式所涉及的图像形成装置的通常工作模式(步骤S160)下的工作内容的流程图。通常工作模式是在进行了打印或复印的图像形成装置的工作的背景下检测篡改的工作模式。
在步骤S161中,篡改检测部111执行触发检测处理。在触发检测处理中,篡改检测部111可以检测例如打印作业的接收、原稿台盖的操作、由定时器预先设定的时间的经过这样的事件作为触发。
在步骤S162中,篡改检测部111执行关联程序确定处理。在关联程序确定处理中,篡改检测部111预测基于触发的内容而使用的预定的功能,确定成为篡改检测的对象的固件。具体而言,篡改检测部111例如在触发是打印作业的接收的情况下,将在打印作业中使用的PDL分析程序、颜色转换程序以及半色调程序作为篡改检测的对象。
由此,篡改检测部111能够在固件的执行之前(紧接在固件的执行之前)判定为了预测的功能的实现而执行的固件是否被篡改,完成篡改检测。此外,在触发是基于定时器的时间经过的情况下,篡改检测部111将全部固件作为篡改检测的对象。
在步骤S163中,篡改检测部111执行工作中篡改检测处理。在工作中篡改检测处理中,篡改检测部111使用在主存储器114的文本区域114T中附随于各固件而存储的数字签名,确认主存储器114内的各固件未被篡改。
在步骤S164中,篡改检测部111在未检测到篡改的情况下,结束处理,在至少一个固件中检测到篡改的情况下,使处理进入恢复动作模式(步骤S170)。恢复动作模式的处理内容(步骤S170)与系统启动处理(步骤S100)中的恢复动作模式的处理内容(步骤S170)相同。在该例子中,假设检测到PDL分析程序的篡改。
图7是示出一种实施方式所涉及的图像形成装置100的恢复动作模式下的工作内容的流程图。恢复动作模式是以下处理:固件恢复部112删除在篡改检测部111中检测到篡改的固件,使用从网络内的其他图像形成装置200、300提供的兼容的固件来恢复。
在步骤S171中,图像形成装置100的固件恢复部112参照固件管理表T,检索能够提供兼容的PDL分析程序的两个图像形成装置200、300,并选择其中一个图像形成装置。例如,如图3A所示,固件恢复部112对于两台图像形成装置200、300,选择兼容的项目较多的一方的图像形成装置(在图3A中,图像形成装置200比图像形成装置300的更多的兼容的项目多)作为请求目的地的图像形成装置。在该例子中,假设固件恢复部112选择图像形成装置200作为固件提供源。此外,固件恢复部112也可以根据预定的选择优先级(例如,图像形成装置200为选择优先级“1”、图像形成装置300为作为下一优先级的选择优先级“2”等)来选择图像形成装置200。另外,固件恢复部112也根据操作图像形成装置100的管理员进行的选择指示来选择图像形成装置200。
图像形成装置100的固件恢复部112能够从固件管理信息存储区域145取得确定图像形成装置100的ID信息,并使用该ID信息和用于确定PDL分析程序的固件识别信息来生成带数字签名的固件请求标笺。例如,能够将带数字签名的固件请求标笺作为Simple ObjectAccess Protocol(简单对象访问协议(SOAP))消息而构成。带数字签名的固件请求标笺的SOAP消息是具有包括SOAP主体的SOAP包络的数据文件。
在SOAP主体中,包括:数据,其包含确定作为SOAP消息的发送源的图像形成装置100的ID信息、和固件确定信息;数字签名,其使用通信用秘钥SKc加密该数据的哈希值而生成。由此,图像形成装置100的固件恢复部112能够经由LAN30将带数字签名的固件请求标笺发送到图像形成装置200。
在步骤S172中,图像形成装置200的固件提供部接收SOAP消息。固件提供部通过SOAP消息内的数字签名来确认SOAP消息未被篡改,并分析SOAP消息的内容。
图像形成装置200的固件提供部确认作为SOAP消息的发送者的图像形成装置100预先登记在图像形成装置200的固件管理表T中。在确认图像形成装置100的登记之后,固件提供部确定是来自图像形成装置100的PDL分析程序的提供的请求,并验证图像形成装置200内的PDL分析程序是否被篡改(固件验证处理)。
在步骤S173中,图像形成装置200的固件提供部使用预先从图像形成装置100取得的外部通信用公钥PKc对已验证的PDL分析程序进行加密,生成带数字签名的SOAP消息。图像形成装置200的固件提供部将存储PDL分析程序的SOAP消息发送到图像形成装置100。SOAP在基于XML的标准中不依赖于协议,能够通过HTTPS协议来发送和接收PDL分析程序。
此外,在本实施方式中,图像形成装置100和图像形成装置200之间的通信不限于SOAP消息的使用,只要能够使用数字署名等来确认双方的合法性即可。进而,固件的发送也不限于HTTPS协议的使用,也可以使用Diffie-Hellman密钥共享算法等来共享密钥,并以共享密钥方式发送。
在步骤S174中,图像形成装置100的篡改检测部111确认使用数字签名而接收到的PDL分析程序未被篡改。在步骤S175中,固件恢复部112将接收到的PDL分析程序安装在存储部140的硬盘中。在步骤S176中,固件复原部112根据PDL分析程序向存储部140的硬盘的安装的完成,开始图像形成装置100的重新启动。
在步骤S181(参照图6)中,控制单元110在恢复成功的情况下继续通常工作模式,在恢复不成功的情况下停止图像形成装置100的动作(步骤S191)。此外,在系统启动处理(步骤S100)中,在恢复动作模式(步骤S170)完成的情况下,在恢复成功的情况下转移到引导程序启动处理(步骤S120),在恢复不成功的情况下停止图像形成装置100的动作(步骤S190),结束处理(步骤S180)。
这样,在一种实施方式所涉及的图像形成系统10中,三台图像形成装置100、200、300的每一个能够在从启动时到动作停止为止的期间持续地实施固件的篡改的检测。由此,图像形成系统10能够提高对于利用图像形成装置的来自外部的对公司内部网络的攻击的抵抗性。进而,在图像形成系统10中,三台图像形成装置100、200、300能够相互提供固件而自动地恢复。其结果,能够实现三台图像形成装置100、200、300的停机时间的缩短化和维护人员的负担的减轻。
本发明不仅能够实施上述实施方式,还能够实施以下这样的变形例、
变形例1:在上述实施方式中,三台图像形成装置100、200、300的每一个具有固件管理信息存储区域,但图像形成装置不一定需要存储固件管理信息。可以在与网络连接的服务器(例如支持服务器500)上管理固件管理信息。
变形例2:在上述实施方式中,虽然支持服务器500作为公钥证书认证机构发挥功能,但是也可以构成为,在例如在图像形成系统10中没有发现固件的情况下,支持服务器500将固件提供给图像形成系统10。
变形例3:在上述实施方式中,引导程序存储区域141设定在硬盘内,但例如也可以构成在掩模ROM或PROM中的ROM的内部。在这种情况下,辅助存储部包括硬盘和ROM。
另外,使用图1至图7通过上述实施方式表示的结构以及处理,不过是本发明的一个实施方式,并不意味着将本发明限定于该结构以及处理。
Claims (8)
1.一种图像形成装置,其能够与网络连接,所述图像形成装置的特征在于,具备:
非易失性的辅助存储部,用于存储使所述图像形成装置发挥功能的固件;
篡改检测部,用于对存储在所述辅助存储部中并被赋予了数字签名的固件进行分析,使用所述数字签名来判定所述固件是否被篡改;
固件恢复部,用于删除该被判定为被篡改的固件,向与所述网络连接的其他图像形成装置请求提供与所述固件兼容的固件,并安装从所述其他图像形成装置提供的固件;
固件提供部,用于在有提供与所述其他图像形成装置的固件兼容的固件的请求的情况下,向该其他图像形成装置提供该兼容的固件;
控制单元,用于控制所述篡改检测部、所述固件恢复部和所述固件提供部;
所述辅助存储部具有写入被限制的引导块,在所述引导块中存储有作为所述篡改检测部、所述固件恢复部、所述固件提供部以及控制单元发挥功能的固件。
2.根据权利要求1所述的图像形成装置,其特征在于,还具备主存储部,所述主存储部写入有在所述图像形成装置启动时从所述辅助存储部读出的固件,
所述图像形成装置用于读出作为所述篡改检测部、所述固件恢复部、所述固件提供部以及所述控制单元发挥功能的固件并写入到所述主存储部,
所述控制单元用于判定从所述辅助存储部的存储区域中的所述引导块以外的区域读出的固件是否所述被篡改,并基于该未被篡改的判定,将所述固件写入到所述主存储部。
3.根据权利要求2所述的图像形成装置,所述篡改检测部用于在所述图像形成装置的工作中,根据预先设定的触发的检测,判定使用所述数字签名写入到所述主存储部的固件是否被篡改,
所述固件恢复部用于从所述主存储部中删除该判定为被篡改的固件,将从所述其他图像形成装置提供的固件安装到所述辅助存储部中,并根据所述安装的完成来重新启动所述图像形成装置。
4.根据权利要求3所述的图像形成装置,所述篡改检测部用于预测在所述图像形成装置所具有的多个功能中的、基于所述触发的内容而使用的预定的功能,在固件的执行之前判定在写入到所述主存储部的固件中的、为了所述预测的功能的实现而执行的所述固件是否被篡改。
5.根据权利要求1所述的图像形成装置,所述篡改检测部用于在判断为存在没有存储公钥的固件的情况下,在没有存储该公钥的固件的安装之后生成私钥和公钥的对,计算所述固件的哈希值,在使用所述私钥对所述哈希值进行了加密之后删除所述私钥,由此生成所述数字签名。
6.根据权利要求1所述的图像形成装置,所述辅助存储部具备固件管理信息存储区域,所述固件管理信息存储区域存储有:固件管理表,用于表示该图像形成装置以及所述其他图像形成装置中的各固件的安装的有无和兼容性;ID信息,用于确定该图像形成装置以及所述其他图像形成装置,
所述固件恢复部使用存储在所述辅助存储部的固件管理信息存储区域中的所述固件管理表,检索所述其他图像形成装置,使用该检索的其他图像形成装置的所述ID信息,向所述图像形成装置请求提供所述兼容的固件。
7.一种固件的篡改防止方法,其用于能够与网络连接的图像形成装置,所述固件的篡改防止方法的特征在于,具备:
存储工序,用于在非易失性的辅助存储部中存储使所述图像形成装置发挥功能的固件;
篡改检测工序,用于对存储在所述辅助存储部中并被赋予了数字签名的固件进行分析,使用所述数字签名来判定所述固件是否被篡改;
固件恢复工序,用于删除该被判定为被篡改的固件,向与所述网络连接的其他图像形成装置请求提供与所述固件兼容的固件,并安装从所述其他图像形成装置提供的固件;
固件提供工序,用于在有提供与所述其他图像形成装置的固件兼容的固件的请求的情况下,向该其他图像形成装置提供该兼容的固件;
控制工序,用于控制所述篡改检测工序、所述固件恢复工序和所述固件提供工序;
在所述存储工序中,在所述辅助存储部所具有的写入被限制的引导块中,存储使所述图像形成装置执行所述篡改检测工序、所述固件恢复工序、所述固件提供工序以及所述控制工序的固件。
8.一种存储有篡改防止程序的计算机可读取的非瞬时性记录介质,所述篡改防止程序用于防止固件的篡改,所述固件用于能够与网络连接的图像形成装置,所述存储有篡改防止程序的计算机可读取的非瞬时性记录介质的特征在于,通过所述图像形成装置的计算机的处理器执行该篡改防止程序,使所述图像形成装置的计算机作为以下而发挥功能:
篡改检测部,用于对存储在所述图像形成装置所具备的非易失性的辅助存储部中并被赋予了数字签名的使该图像形成装置发挥功能的固件进行分析,使用所述数字签名来判定所述固件是否被篡改;
固件恢复部,用于删除该被判定为被篡改的固件,向与所述网络连接的其他图像形成装置请求提供与所述固件兼容的固件,并安装从所述其他图像形成装置提供的固件;
固件提供部,用于在有提供与所述其他图像形成装置的固件兼容的固件的请求的情况下,向该其他图像形成装置提供该兼容的固件;
控制单元,用于控制所述篡改检测部、所述固件恢复部和所述固件提供部;
以如下方式使所述计算机发挥功能:使作为所述篡改检测部、所述固件恢复部、所述固件提供部以及控制单元发挥功能的固件存储在所述辅助存储部所具有的、写入被限制的引导块中。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019119517 | 2019-06-27 | ||
JP2019-119517 | 2019-06-27 | ||
PCT/JP2020/024524 WO2020262347A1 (ja) | 2019-06-27 | 2020-06-23 | 画像形成装置、ファームウェアの改竄防止方法及び改竄防止プログラムを記憶したコンピューター読取可能な非一時的な記録媒体 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114008972A true CN114008972A (zh) | 2022-02-01 |
Family
ID=74060902
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202080044966.9A Pending CN114008972A (zh) | 2019-06-27 | 2020-06-23 | 图像形成装置、固件的篡改防止方法以及存储有篡改防止程序的计算机可读取的非瞬时性记录介质 |
Country Status (4)
Country | Link |
---|---|
EP (1) | EP3992826A4 (zh) |
JP (1) | JP7184188B2 (zh) |
CN (1) | CN114008972A (zh) |
WO (1) | WO2020262347A1 (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1977256A (zh) * | 2004-01-21 | 2007-06-06 | 株式会社日立制作所 | 远程访问系统、网关、客户机、程序和存储媒体 |
US7529834B1 (en) * | 2000-06-02 | 2009-05-05 | Hewlett-Packard Development Company, L.P. | Method and system for cooperatively backing up data on computers in a network |
CN102473223A (zh) * | 2010-05-13 | 2012-05-23 | 松下电器产业株式会社 | 信息处理装置以及信息处理方法 |
CN104348903A (zh) * | 2013-07-25 | 2015-02-11 | 物联智慧股份有限公司 | 一种建立点对点联机的通讯系统及其装置 |
CN108632040A (zh) * | 2017-03-17 | 2018-10-09 | 株式会社密如斯 | 信息管理终端装置 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6266754B1 (en) | 1998-05-29 | 2001-07-24 | Texas Instruments Incorporated | Secure computing device including operating system stored in non-relocatable page of memory |
JP2000138917A (ja) * | 1998-05-29 | 2000-05-16 | Texas Instr Inc <Ti> | 安全計算システム及び方法 |
US7043664B1 (en) * | 2002-10-31 | 2006-05-09 | Microsoft Corporation | Firmware recovery |
US8190869B2 (en) * | 2007-04-17 | 2012-05-29 | Lexmark International, Inc. | Dual boot strategy to authenticate firmware in a computing device |
JP5369502B2 (ja) | 2008-06-04 | 2013-12-18 | 株式会社リコー | 機器、管理装置、機器管理システム、及びプログラム |
US8590040B2 (en) * | 2010-12-22 | 2013-11-19 | Intel Corporation | Runtime platform firmware verification |
WO2014175861A1 (en) * | 2013-04-23 | 2014-10-30 | Hewlett-Packard Development Company, L.P. | Recovering from compromised system boot code |
JP5617981B2 (ja) | 2013-09-18 | 2014-11-05 | 株式会社リコー | 機器、管理装置、機器管理システム、及びプログラム |
-
2020
- 2020-06-23 CN CN202080044966.9A patent/CN114008972A/zh active Pending
- 2020-06-23 EP EP20833596.8A patent/EP3992826A4/en active Pending
- 2020-06-23 JP JP2021526996A patent/JP7184188B2/ja active Active
- 2020-06-23 WO PCT/JP2020/024524 patent/WO2020262347A1/ja active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7529834B1 (en) * | 2000-06-02 | 2009-05-05 | Hewlett-Packard Development Company, L.P. | Method and system for cooperatively backing up data on computers in a network |
CN1977256A (zh) * | 2004-01-21 | 2007-06-06 | 株式会社日立制作所 | 远程访问系统、网关、客户机、程序和存储媒体 |
CN102473223A (zh) * | 2010-05-13 | 2012-05-23 | 松下电器产业株式会社 | 信息处理装置以及信息处理方法 |
CN104348903A (zh) * | 2013-07-25 | 2015-02-11 | 物联智慧股份有限公司 | 一种建立点对点联机的通讯系统及其装置 |
CN108632040A (zh) * | 2017-03-17 | 2018-10-09 | 株式会社密如斯 | 信息管理终端装置 |
Also Published As
Publication number | Publication date |
---|---|
JP7184188B2 (ja) | 2022-12-06 |
WO2020262347A1 (ja) | 2020-12-30 |
JPWO2020262347A1 (zh) | 2020-12-30 |
EP3992826A4 (en) | 2023-07-19 |
US20220129558A1 (en) | 2022-04-28 |
EP3992826A1 (en) | 2022-05-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5369502B2 (ja) | 機器、管理装置、機器管理システム、及びプログラム | |
US8301908B2 (en) | Data security in an information processing device | |
US9131169B2 (en) | Apparatus, license determining method, recording medium | |
US10209980B2 (en) | Image forming apparatus and control method for image forming apparatus | |
US20070283170A1 (en) | System and method for secure inter-process data communication | |
US8239328B2 (en) | Information processing apparatus, print control apparatus, printed control system | |
JP6720581B2 (ja) | 情報処理装置、情報処理方法、及び情報処理プログラム | |
JP2008226159A (ja) | 情報処理装置、ソフトウェア更新方法及び画像処理装置 | |
US20090210723A1 (en) | Method of detecting software falsification, apparatus configured to detect software falsification, and computer-readable storage medium | |
US20110173444A1 (en) | Image forming apparatus, image formation processing method, and computer-readable recording medium having stored thereon computer programs for the image formation processing method | |
JP2008234217A (ja) | 情報処理装置、情報保護方法及び画像処理装置 | |
JP5617981B2 (ja) | 機器、管理装置、機器管理システム、及びプログラム | |
JP5582231B2 (ja) | 情報処理装置、真正性確認方法、及び記録媒体 | |
JP2007087026A (ja) | 情報処理装置 | |
CN114008972A (zh) | 图像形成装置、固件的篡改防止方法以及存储有篡改防止程序的计算机可读取的非瞬时性记录介质 | |
JP2008102851A (ja) | 印刷システム、印刷方法、及び印刷用プログラム | |
US11995189B2 (en) | Image forming apparatus, firmware manipulation prevention method, and computer-readable non-transitory recording medium containing manipulation prevention program | |
JP2012160851A (ja) | 画像形成装置 | |
JP2005348250A (ja) | 画像形成装置、データ暗号化方法、プログラム及び記録媒体 | |
US11765302B2 (en) | Image forming apparatus equipped with an anti-malware function of a permission-list type, image forming method using the same, and non-transitory computer-readable recording medium on which image forming program for the same is recorded | |
US20230126541A1 (en) | Information processing apparatus, control method for controlling the same and storage medium | |
JP2018097888A (ja) | 画像形成装置、及び画像形成装置の制御方法 | |
JP4391535B2 (ja) | 外部記憶装置、並びに、この外部記憶装置を備える画像処理装置及び画像形成装置 | |
US20230103698A1 (en) | Information processing apparatus and control method therefor | |
JP5151531B2 (ja) | 画像形成装置及びデータ管理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |