CN109711164A - 信息处理装置和篡改检测方法 - Google Patents
信息处理装置和篡改检测方法 Download PDFInfo
- Publication number
- CN109711164A CN109711164A CN201811080214.9A CN201811080214A CN109711164A CN 109711164 A CN109711164 A CN 109711164A CN 201811080214 A CN201811080214 A CN 201811080214A CN 109711164 A CN109711164 A CN 109711164A
- Authority
- CN
- China
- Prior art keywords
- storage unit
- electronic signature
- decruption key
- interconnecting piece
- processing unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明是能检测程序的篡改的信息处理装置和篡改检测方法。信息处理装置包括第一存储部、连接部和检测处理部。第一存储部存储第一解密密钥,第一解密密钥用于译码附加于在自身装置启动过程中展开到存储器中的检测对象程序的第一电子签名和第二电子签名中的第一电子签名。连接部连接第二存储部,第二存储部存储用于第二电子签名的译码的第二解密密钥。当连接部未连接第二存储部时,检测处理部使用通过第一解密密钥对第一电子签名进行译码得到的第一译码数据,检测检测对象程序中的篡改,当连接部连接了第二存储部时,检测处理部使用通过第二解密密钥对第二电子签名进行译码得到的第二译码数据,检测检测对象程序中的篡改。
Description
技术领域
本发明涉及信息处理装置和在该信息处理装置中执行的篡改检测方法。
背景技术
能够执行安全启动(secure boot)的信息处理装置已为公众所知,所述安全启动只使用已经确认了不存在篡改的程序启动自身装置。在这种信息处理装置中,对在该信息处理装置的启动过程中展开到存储器中的二级引导加载程序(secondary boot loader)以及OS等检测对象程序附加电子签名。另外,所述信息处理装置设置有ROM等存储部,该ROM等存储部存储用于所述电子签名的译码的解密密钥。在所述信息处理装置中,在该信息处理装置的启动过程中,使用所述电子签名以及所述解密密钥,检测所述检测对象程序中的篡改。
另外,在所述信息处理装置中,有时所述解密密钥存储在可更换地与自身装置连接的TPM(可信平台模块)等其它存储部中。
但是,可以考虑在具备所述存储部的所述信息处理装置中增设所述其它存储部,该其它存储部存储与存储于所述存储部的所述解密密钥不同的其它解密密钥,在该信息处理装置中使用所述其它解密密钥检测所述检测对象程序中的篡改。但是,以往为了在所述信息处理装置中使用所述其它解密密钥检测所述检测对象程序中的篡改,需要改变在该信息处理装置中在启动过程中执行的各程序的内容。
发明内容
本发明的目的在于提供信息处理装置以及篡改检测方法,其无需改变启动过程中执行的各程序的内容就能够使用存储于增设的存储部的其它解密密钥检测程序的篡改。
本发明的一个方面提供一种信息处理装置,其包括:第一存储部,存储第一解密密钥,所述第一解密密钥用于第一电子签名和第二电子签名中的所述第一电子签名的译码,所述第一电子签名和所述第二电子签名是附加于在自身装置启动过程中展开到存储器中的检测对象程序的电子签名;连接部,连接第二存储部,所述第二存储部存储第二解密密钥,所述第二解密密钥用于所述第二电子签名的译码且与所述第一解密密钥不同;判断处理部,判断所述连接部是否连接了所述第二存储部;以及检测处理部,当由所述判断处理部判断为所述连接部未连接所述第二存储部时,使用通过所述第一解密密钥对所述第一电子签名进行译码得到的第一译码数据,检测所述检测对象程序中的篡改,当由所述判断处理部判断为所述连接部连接了所述第二存储部时,使用通过所述第二解密密钥对所述第二电子签名进行译码得到的第二译码数据,检测所述检测对象程序中的篡改。
本发明的另一个方面提供一种篡改检测方法,其由信息处理装置执行,所述信息处理装置包括:第一存储部,存储第一解密密钥,所述第一解密密钥用于第一电子签名和第二电子签名中的所述第一电子签名的译码,所述第一电子签名和所述第二电子签名是附加于在自身装置启动过程中展开到存储器中的检测对象程序的电子签名;以及连接部,连接第二存储部,所述第二存储部存储第二解密密钥,所述第二解密密钥用于所述第二电子签名的译码且与所述第一解密密钥不同,所述篡改检测方法包含:判断所述连接部是否连接了所述第二存储部;以及当判断为所述连接部未连接所述第二存储部时,使用通过所述第一解密密钥对所述第一电子签名进行译码得到的第一译码数据,检测所述检测对象程序中的篡改,当判断为所述连接部连接了所述第二存储部时,使用通过所述第二解密密钥对所述第二电子签名进行译码得到的第二译码数据,检测所述检测对象程序中的篡改。
按照本发明,能够实现信息处理装置以及篡改检测方法,其无需改变启动过程中执行的各程序的内容就能够使用存储于增设的存储部的其它解密密钥检测程序的篡改。
本说明书适当地参照附图,通过使对以下详细说明中记载的概念进行总结的内容简略化的方式来进行介绍。本说明书的意图并不是限定权利要求中记载的主题的重要特征和本质特征,此外,意图也不是限定权利要求中记载的主题的范围。此外,在权利要求中记载的对象,并不限定于解决本发明中任意部分中记载的一部分或全部缺点的实施方式。
附图说明
图1是表示本发明实施方式的图像形成装置的构成的图。
图2是表示本发明实施方式的图像形成装置的系统构成的框图。
图3是表示本发明实施方式的图像形成装置1的控制构成的框图。
图4是表示在本发明的实施方式的图像形成装置中执行的第一启动处理的一个例子的流程图。
图5是表示在本发明的实施方式的图像形成装置中执行的第二启动处理的一个例子的流程图。
具体实施方式
以下,参照附图对本发明的实施方式进行说明。另外,以下的实施方式为将本发明具体化的一个例子,而并非用于限定本发明的技术范围。[图像形成装置10的简要结构]
首先,参照图1~图3对本发明实施方式的图像形成装置10的简要结构进行说明。在此,图1是表示图像形成装置10的结构的剖视示意图。
图像形成装置10是数码复合机,该数码复合机在具有基于图像数据形成图像的打印功能的同时,还具有扫描功能、传真功能以及复印功能等多种功能。在此,图像形成装置10是本发明的信息处理装置的一个例子。此外,本发明可以应用于扫描仪、打印机、传真机、复印机、个人计算机、笔记本电脑、智能手机以及平板电脑终端等信息处理装置。
如图1和图2所示,图像形成装置10包括ADF(自动原稿输送装置)1、图像读取部2、图像形成部3、供纸部4、控制部5、操作显示部6、存储部7、连接部8以及存储部9。
ADF1输送由图像读取部2读取的原稿。具体地说,ADF1具备原稿放置部、多个输送辊、原稿按压构件以及出纸部。ADF1将放置于所述原稿放置部的原稿经过由图像读取部2读取图像数据的读取位置,输送向所述出纸部。
图像读取部2从原稿读取图像数据。具体地说,图像读取部2具备原稿台、光源、多个反射镜、光学透镜以及CCD。图像读取部2从放置于所述原稿台的原稿以及由ADF1输送的原稿读取图像数据。
图像形成部3根据图像数据,通过电子照相方式形成图像。具体地说,图像形成部3具备感光鼓、带电装置、光扫描装置、显影装置、转印辊、清洁装置、定影辊、加压辊以及岀纸盘。图像形成部3根据由图像读取部2读取的图像数据或者从外部的个人计算机等信息处理装置输入的图像数据形成图像。此外,图像形成部3也可以通过喷墨方式等其它图像形成方式形成图像。
供纸部4向图像形成部3供给薄片体。具体地说,供纸部4具有供纸盒和多个输送辊。在图像形成装置10中,在由供纸部4供给的薄片体上形成图像,形成图像后的薄片体被排出到所述岀纸盘。
控制部5总体地控制图像形成装置10的各构成。例如,控制部5是ASIC。如图3所示,控制部5具备CPU51、ROM52、RAM53、OTP(一次性可编程)ROM54以及输入输出部55。在控制部5中,CPU51、RAM53、OTPROM54以及输入输出部55通过总线50(参照图3)相互可通信地连接。
CPU51是执行各种计算处理的处理器。
ROM52是非易失性存储装置。ROM52中存储有用于使CPU51执行各种处理的控制程序。CPU51通过执行存储于ROM52的所述控制程序,总体地控制图像形成装置10。
如图3所示,ROM52存储有主引导加载程序(primary boot loader)521。主引导加载程序521是在图像形成装置10启动过程中用于将存储于存储部7的二级引导加载程序71(参照图2)展开到RAM53的程序。
RAM53是易失性存储装置。CPU51使用RAM53作为自身执行的各种处理的临时存储器(工作区域)。
OTPROM54是可以使用专用写入装置写入数据且不能擦除已写入的数据的非易失性存储装置。此外,控制部5也可以替代OTPROM54,具备EEPROM等可以写入和擦除数据的非易失性存储装置。另外,控制部5也可以不具备OTPROM54。
输入输出部55是与控制部5的外部的构成之间执行数据传送处理的接口。
操作显示部6根据用户的操作对控制部5输入各种信息,根据来自控制部5的控制指令输出各种信息。具体地说,操作显示部6具备液晶显示器等显示部、以及操作键或者触摸面板等操作部。
存储部7是非易失性存储装置。例如,存储部7是NVRAM。
如图2所示,在存储部7中存储有二级引导加载程序71以及OS(操作系统)74。二级引导加载程序71是用于在图像形成装置10的启动过程中,将存储于存储部7的OS74展开到RAM53中的程序。二级引导加载程序71在图像形成装置10的启动过程中被展开到RAM53中并被执行。OS74是用于启动图像形成装置10的程序。OS74在图像形成装置10的启动过程中被展开到RAM53中并被执行。在此,二级引导加载程序71以及OS74是本发明的检测对象程序的一个例子。另外,RAM53是本发明的存储器的一个例子。
此外,二级引导加载程序71也可以是用于将OS74展开到RAM53的其它程序或者用于将其它程序组的一部分展开到RAM53的程序,所述其它程序组用于将OS74展开到RAM53。
在图像形成装置10中,执行只使用已确认了不存在篡改的程序启动自身装置的安全启动。具体地说,如图2所示,在存储部7中存储有第一电子签名72以及第一电子签名75。另外,如图3所示,在控制部5的ROM52中存储有第一解密密钥522。在图像形成装置10中,在自身装置的启动过程中,使用第一电子签名72、第一电子签名75以及第一解密密钥522,检测二级引导加载程序71以及OS74中的篡改。在此,ROM52是本发明的第一存储部的一个例子。
第一电子签名72是用于检测二级引导加载程序71中的篡改的、附加于二级引导加载程序71的电子签名。例如,通过使用预定的哈希函数获得二级引导加载程序71的哈希值并加密获得的哈希值来生成第一电子签名72。
第一电子签名75是用于检测OS74中的篡改的、附加于OS74的电子签名。例如,通过使用所述哈希函数获得OS74的哈希值并加密获得的哈希值来生成第一电子签名75。
第一解密密钥522是用于对第一电子签名72以及第一电子签名75进行译码的数据。例如,第一解密密钥522是公开密钥加密方式中的秘密密匙。在该情况下,用于加密第一电子签名72以及第一电子签名75的密匙是与第一解密密钥522对应的公开密匙。
此外,第一解密密钥522也可以是公开密钥加密方式中的公开密匙。在该情况下,用于加密第一电子签名72以及第一电子签名75的密匙是与第一解密密钥522对应的秘密密匙。另外,第一解密密钥522也可以是通用密钥加密方式中的密匙。在该情况下,用于加密第一电子签名72以及第一电子签名75的密匙是第一解密密钥522。
但是,可以考虑到控制部5被分解,存储于ROM52中的第一解密密钥52的内容被分解行为人知道了的情况。在第一解密密钥522的内容被分解行为人知道了的情况下,存在如下的可能性:第一电子签名72以及第一电子签名75被伪造,在图像形成装置10的启动过程中执行被篡改了的二级引导加载程序71以及OS74。
对此,可以考虑在图像形成装置10中增设存储与第一解密密钥522不同的第二解密密钥91(参照图2)的存储部9(参照图2),在图像形成装置10中使用第二解密密钥91检测二级引导加载程序71以及OS74中的篡改。但是,以往,为了在图像形成装置10中使用第二解密密钥91检测二级引导加载程序71以及OS74中的篡改,需要改变在图像形成装置10中在启动过程中执行的各程序的内容。
对此,如以下所述的,在本发明的实施方式的图像形成装置10中,无需改变启动过程中执行的各程序的内容,就能够使用存储于增设的存储部9中的第二解密密钥91检测程序的篡改。
连接部8是连接存储部9的连接器。
存储部9存储与第一解密密钥522不同的第二解密密钥91。在此,存储部9是本发明中的第二存储部的一个例子。
在此,如图2所示,在存储部7中存储有第二电子签名73以及第二电子签名76。
第二电子签名73是用于检测二级引导加载程序71中的篡改的、附加于二级引导加载程序71的与第一电子签名72不同的电子签名。例如,通过使用所述哈希函数获得二级引导加载程序71的哈希值并加密获得的哈希值来生成第二电子签名73。
第二电子签名76是用于检测OS74中的篡改的、附加于OS74的与第一电子签名75不同的电子签名。例如,通过使用所述哈希函数获得OS74的哈希值并加密获得的哈希值来生成第二电子签名76。
第二解密密钥91是用于对第二电子签名73以及第二电子签名76进行译码的数据。例如,第二解密密钥91是公开密钥加密方式中的秘密密匙。在该情况下,用于第二电子签名73以及第二电子签名76的加密的密匙是与第二解密密钥91对应的公开密匙。
此外,第二解密密钥91也可以是公开密钥加密方式中的公开密匙。在该情况下,用于加密第二电子签名73以及第二电子签名76的密匙是与第二解密密钥91对应的秘密密匙。另外,第二解密密钥91也可以是通用密钥加密方式中的密匙。在该情况下,用于加密第二电子签名73以及第二电子签名76的密匙是第二解密密钥91。
例如,在存储部9中,当充分满足预定的发动条件时,变成不能读出第二解密密钥91。例如,所述发动条件是存储部9的封装的一部分或者全部被拆开、所述封装的一部分或者全部变形或者破损、对所述封装施加规定的值以上的压力、以及所述封装的内侧混入外部空气等。例如,在存储部9中,当充分满足所述发动条件时,存储部9产生自我破坏,变成不能读出第二解密密钥91。此外,在存储部9中,第二解密密钥91也可以存储在由于与空气接触而擦除存储内容的存储元件中。另外,在存储部9中,也可以在充分满足所述发动条件时,禁止读出第二解密密钥91。
例如,在图像形成装置10中,存储部9使用了TPM(可信平台模块)。此外,所谓TPM是在TCG(可信计算组织)中被标准化了的、具有防篡改性的安全芯片。TPM能够执行密匙的生成及存储、数据的加密及译码、以及哈希值的生成等处理。
此外,存储部9也可以在充分满足所述发动条件时,不变成不能读出第二解密密钥91。
另外,图像形成装置10也可以不具备存储部9。即,在图像形成装置10中,存储部9也可以不与连接部8连接。
另外,如图2所示,控制部5包含第一判断处理部511、第一检测处理部512、第一通知处理部513、第二判断处理部514、第二检测处理部515以及第二通知处理部516。具体地说,控制部5使用CPU51执行存储于ROM52的主引导加载程序521。由此,控制部5起到作为第一判断处理部511、第一检测处理部512以及第一通知处理部513的功能。另外,控制部5使用CPU51执行存储于存储部7的二级引导加载程序71。由此,控制部5起到作为第二判断处理部514、第二检测处理部515以及第二通知处理部516的功能。在此,第一判断处理部511以及第二判断处理部514是本发明的判断处理部的一个例子。另外,第一检测处理部512以及第二检测处理部515是本发明的检测处理部的一个例子。另外,第一通知处理部513以及第二通知处理部516是本发明的通知处理部的一个例子。
第一判断处理部511判断连接部8是否连接了存储部9。
例如,在图像形成装置10中,将表示连接部8连接了存储部9的连接信息预先存储在控制部5的OTPROM54中。具体地说,在连接部8连接了存储部9时,使用所述专用的写入装置将所述连接信息存储到OTPROM54中。此外,在图像形成装置10中,连接部8未连接存储部9时,所述连接信息不存储到OTPROM54中。在此,OTPROM54是本发明的第三存储部的一个例子。
例如,第一判断处理部511根据OTPROM54中有无所述连接信息,判断连接部8是否连接了存储部9。
此外,第一判断处理部511也可以与存储部9之间执行数据通信,根据该数据通信是否成功,判断连接部8是否连接了存储部9。
当由第一判断处理部511判断为连接部8未连接存储部9时,第一检测处理部512使用通过第一解密密钥522对第一电子签名72译码得到的第一译码数据(本发明的第一译码数据的一个例子),检测二级引导加载程序71中的篡改。
具体地说,第一检测处理部512使用所述哈希函数,获得从存储部7读出并展开到RAM53中的二级引导加载程序71的哈希值。此外,当获得的哈希值与所述第一译码数据一致时,第一检测处理部512判断为在二级引导加载程序71中不存在篡改。另一方面,当获得的哈希值与所述第一译码数据不一致时,第一检测处理部512判断为在二级引导加载程序71中存在篡改。
另外,当由第一判断处理部511判断为连接部8连接了存储部9时,第一检测处理部512使用通过第二解密密钥91对第二电子签名73进行译码得到的第二译码数据(本发明的第二译码数据的一个例子),检测二级引导加载程序71中的篡改。
具体地说,第一检测处理部512使用所述哈希函数,获得从存储部7读出并展开到RAM53中的二级引导加载程序71的哈希值。此外,当获得的哈希值与所述第二译码数据一致时,第一检测处理部512判断为在二级引导加载程序71中不存在篡改。另一方面,当获得的哈希值与所述第二译码数据不一致时,第一检测处理部512判断为在二级引导加载程序71中存在篡改。
当由第一检测处理部512检测到二级引导加载程序71中的篡改时,第一通知处理部513通知该内容。
例如,第一通知处理部513将表示在二级引导加载程序71中检测到篡改的内容的信息显示于操作显示部6。此外,第一通知处理部513也可以发出表示在二级引导加载程序71中检测到篡改的内容的警告音。
与第一判断处理部511同样地,第二判断处理部514判断连接部8是否连接了存储部9。
当由第二判断处理部514判断为连接部8未连接存储部9时,第二检测处理部515使用通过第一解密密钥522对第一电子签名75译码得到的第三译码数据(本发明的第一译码数据的一个例子),检测OS74中的篡改。
具体地说,第二检测处理部515使用所述哈希函数,获得从存储部7读出并展开到RAM53中的OS74的哈希值。此外,在获得的哈希值与所述第三译码数据一致时,第二检测处理部515判断为在OS74中不存在篡改。另一方面,当获得的哈希值与所述第三译码数据不一致时,第二检测处理部515判断为在OS74中存在篡改。
另外,当由第二判断处理部514判断为连接部8连接了存储部9时,第二检测处理部515使用通过第二解密密钥91对第二电子签名76进行译码得到的第四译码数据(本发明的第二译码数据的一个例子),检测OS74中的篡改。
具体地说,第二检测处理部515使用所述哈希函数,获得从存储部7读出并展开到RAM53中的OS74的哈希值。此外,在获得的哈希值与所述第四译码数据一致时,第二检测处理部515判断为在OS74中不存在篡改。另一方面,当获得的哈希值与所述第四译码数据不一致时,第二检测处理部515判断为在OS74中存在篡改。
当由第二检测处理部515检测到OS74中的篡改时,第二通知处理部516通知该内容。
例如,第二通知处理部516将表示在OS74中检测到篡改的内容的信息显示于操作显示部6。此外,第二通知处理部516也可以发出表示在OS74中检测到篡改的内容的警告音。
[第一启动处理]
以下,边参照图4,边对在图像形成装置10中由控制部5执行的第一启动处理的步骤的一个例子进行说明。在此,步骤S11、S12、…表示由控制部5执行的处理步骤的号码。此外,在接通了图像形成装置10的电源的情况下以及进行了指示图像形成装置10再启动的用户操作的情况下,控制部5执行所述第一启动处理。
<步骤S11>
首先,在步骤S11中,控制部5从存储部7读出二级引导加载程序71、第一电子签名72以及第二电子签名73,并将它们展开到RAM53。
<步骤S12>
在步骤S12中,控制部5判断连接部8是否连接了存储部9。在此,步骤S12的处理由控制部5的第一判断处理部511执行。
例如,当在OTPROM54中存在所述连接信息时,控制部5判断为连接部8连接了存储部9。由此,与根据与存储部9之间的数据通信是否成功判断连接部8是否连接了存储部9的构成相比较,能够抑制已连接到连接部8上的存储部9被从该连接部8取下的情况。另外,通过使用OTPROM54作为存储所述连接信息的存储部,能够防止所述连接信息被擦除。
在此,当判断为连接部8连接了存储部9时(S12的“是”侧),控制部5将处理转移到步骤S13。另外,当判断为连接部8未连接存储部9时(S12的“否”侧),控制部5将处理转移到步骤S121。
<步骤S121>
在步骤S121中,控制部5获得所述第一译码数据。具体地说,控制部5通过使用第一解密密钥522对第一电子签名72进行译码,获得所述第一译码数据。
<步骤S13>
在步骤S13中,控制部5获得所述第二译码数据。具体地说,控制部5使存储部9执行使用了第二解密密钥91的第二电子签名73的译码处理,并使存储部9输出所述第二译码数据。此外,控制部5也可以从存储部9读出第二解密密钥91,并使用读出的第二解密密钥91对第二电子签名73进行译码,由此获得所述第二译码数据。
<步骤S14>
在步骤S14中,控制部5执行第一检测处理,所述第一检测处理使用在步骤S121中获得的所述第一译码数据或者在步骤S13中获得的所述第二译码数据,检测二级引导加载程序71中的篡改。在此,步骤S121、步骤S13以及步骤S14的处理由控制部5的第一检测处理部512执行。
具体地说,控制部5使用所述哈希函数,获得在步骤S11中展开到RAM53中的二级引导加载程序71的哈希值。此外,当获得的哈希值与所述第一译码数据或者所述第二译码数据一致时,控制部5判断为二级引导加载程序71中不存在篡改。另一方面,当获得的哈希值与所述第一译码数据或者所述第二译码数据不一致时,控制部5判断为在二级引导加载程序71中存在篡改。
<步骤S15>
在步骤S15中,控制部5判断在步骤S14中执行的所述第一检测处理中是否检测到二级引导加载程序71中的篡改。
在此,当判断为在所述第一检测处理中检测到二级引导加载程序71中的篡改时(S15的“是”侧),控制部5将处理转移到步骤S151。另外,当在所述第一检测处理中未检测到二级引导加载程序71中的篡改时(S15的“否”侧),控制部5将处理转移到步骤S16。
<步骤S151>
在步骤S151中,控制部5通知在二级引导加载程序71中检测到篡改的内容。例如,控制部5将表示在二级引导加载程序71中检测到篡改的内容的信息显示于操作显示部6。在此,步骤S151的处理由控制部5的第一通知处理部513执行。
<步骤S16>
在步骤S16中,控制部5执行在步骤S11中展开到RAM53中的二级引导加载程序71。
[第二启动处理]
以下,边参照图5,边对在图像形成装置10中由控制部5执行的第二启动处理的步骤的一个例子进行说明。此外,在已执行了所述第一启动处理的步骤S16的处理的情况下,控制部5执行所述第二启动处理。
<步骤S21>
首先,在步骤S21中,控制部5从存储部7读出OS74、第一电子签名75以及第二电子签名76并将它们展开到RAM53中。
<步骤S22>
在步骤S22中,与所述第一启动处理的步骤S12同样地,控制部5判断连接部8是否连接了存储部9。在此,步骤S22的处理由控制部5的第二判断处理部514执行。
在此,当判断为连接部8连接了存储部9时(S22的“是”侧),控制部5将处理转移到步骤S23。另外,当判断为连接部8未连接存储部9时(S22的“否”侧),控制部5将处理转移到步骤S221。
<步骤S221>
在步骤S221中,控制部5获得所述第三译码数据。具体地说,控制部5通过使用第一解密密钥522对第一电子签名75进行译码,获得所述第三译码数据。
<步骤S23>
在步骤S23中,控制部5获得所述第四译码数据。具体地说,控制部5使存储部9执行使用第二解密密钥91的第二电子签名76的译码处理并使存储部9输出所述第四译码数据。此外,控制部5也可以从存储部9读出第二解密密钥91,使用读出的第二解密密钥91对第二电子签名76进行译码,由此获得所述第四译码数据。
<步骤S24>
在步骤S24中,控制部5执行第二检测处理,所述第二检测处理使用在步骤S221中获得的所述第三译码数据或者在步骤S23中获得的所述第四译码数据,检测OS74中的篡改。在此,步骤S221、步骤S23以及步骤S24的处理由控制部5的第二检测处理部515执行。
具体地说,控制部5使用所述哈希函数获得在步骤S21中展开到RAM53中的OS74的哈希值。此外,当获得的哈希值与所述第三译码数据或者所述第四译码数据一致时,控制部5判断为在OS74中不存在篡改。另一方面,当获得的哈希值与所述第三译码数据或者所述第四译码数据不一致时,控制部5判断为在OS74中存在篡改。
<步骤S25>
在步骤S25中,控制部5判断在步骤S24中执行的所述第二检测处理中是否检测到OS74中的篡改。
在此,当判断为在所述第二检测处理中检测到OS74中的篡改时(S25的“是”侧),控制部5将处理转移到步骤S251。另外,当判断为在所述第二检测处理中未检测到OS74中的篡改(S25的“否”侧),控制部5将处理转移到步骤S26。
<步骤S251>
在步骤S251中,控制部5通知在OS74中检测到篡改的内容。例如,控制部5将表示在OS74中检测到篡改的内容的信息显示于操作显示部6。在此,步骤S251的处理由控制部5的第二通知处理部516执行。
<步骤S26>
在步骤S26中,控制部5执行在步骤S21中展开到RAM53的OS74。
这样,在图像形成装置10中,当判断为连接部8未连接存储部9时,使用通过第一解密密钥522对第一电子签名72进行译码得到的所述第一译码数据,检测二级引导加载程序71中的篡改,当判断为连接部8连接了存储部9时,使用通过第二解密密钥91对第二电子签名73进行译码得到的所述第二译码数据,检测二级引导加载程序71中的篡改。
另外,在图像形成装置10中,当判断为连接部8未连接存储部9时,使用通过第一解密密钥522对第一电子签名75进行译码得到的所述第三译码数据,检测OS74中的篡改,当判断为连接部8连接了存储部9时,使用通过第二解密密钥91对第二电子签名76进行译码得到的所述第四译码数据,检测OS74中的篡改。
由此,在图像形成装置10中,无需改变启动过程中执行的主引导加载程序521以及二级引导加载程序71这样的各程序的内容,就能够使用存储于增设的存储部9的第二解密密钥91,检测该程序的篡改。
另外,在图像形成装置10中,当充分满足所述发动条件时,变成在存储部9中不能读出第二解密密钥91。由此,由于提高了第二解密密钥91的机密性,所以能够抑制第二电子签名73和第二电子签名76的伪造、以及二级引导加载程序71和OS74的篡改。
本发明的范围并不限于上述内容,而是由权利要求的记载来定义,所以可以认为本说明书记载的实施方式只是举例说明,而并非进行限定。因此,所有不脱离权利要求的范围、界限的更改,以及等同于权利要求的范围、界限的内容都包含在权利要求的范围内。
Claims (6)
1.一种信息处理装置,其特征在于,
所述信息处理装置包括:
第一存储部,存储第一解密密钥,所述第一解密密钥用于第一电子签名和第二电子签名中的所述第一电子签名的译码,所述第一电子签名和所述第二电子签名是附加于在自身装置启动过程中展开到存储器中的检测对象程序的电子签名;
连接部,连接第二存储部,所述第二存储部存储第二解密密钥,所述第二解密密钥用于所述第二电子签名的译码且与所述第一解密密钥不同;
判断处理部,判断所述连接部是否连接了所述第二存储部;以及
检测处理部,当由所述判断处理部判断为所述连接部未连接所述第二存储部时,使用通过所述第一解密密钥对所述第一电子签名进行译码得到的第一译码数据,检测所述检测对象程序中的篡改,当由所述判断处理部判断为所述连接部连接了所述第二存储部时,使用通过所述第二解密密钥对所述第二电子签名进行译码得到的第二译码数据,检测所述检测对象程序中的篡改。
2.根据权利要求1所述的信息处理装置,其特征在于,
所述信息处理装置包括所述第二存储部,
当所述第二存储部与所述连接部连接且充分满足预定的发动条件时,所述第二存储部变成不能读出所述第二解密密钥。
3.根据权利要求1或2所述的信息处理装置,其特征在于,
所述信息处理装置包括第三存储部,
所述第三存储部存储连接信息,所述连接信息表示所述连接部连接了所述第二存储部,
所述判断处理部根据所述第三存储部中有无所述连接信息,判断所述连接部是否连接了所述第二存储部。
4.根据权利要求3所述的信息处理装置,其特征在于,
所述第三存储部是一次可编程ROM。
5.根据权利要求1或2所述的信息处理装置,其特征在于,
所述信息处理装置包括通知处理部,
当由所述检测处理部检测到所述检测对象程序中的篡改时,所述通知处理部通知该内容。
6.一种篡改检测方法,其特征在于,所述篡改检测方法由信息处理装置执行,所述信息处理装置包括:第一存储部,存储第一解密密钥,所述第一解密密钥用于第一电子签名和第二电子签名中的所述第一电子签名的译码,所述第一电子签名和所述第二电子签名是附加于在自身装置启动过程中展开到存储器中的检测对象程序的电子签名;以及连接部,连接第二存储部,所述第二存储部存储第二解密密钥,所述第二解密密钥用于所述第二电子签名的译码且与所述第一解密密钥不同,
所述篡改检测方法包含:
判断所述连接部是否连接了所述第二存储部;以及
当判断为所述连接部未连接所述第二存储部时,使用通过所述第一解密密钥对所述第一电子签名进行译码得到的第一译码数据,检测所述检测对象程序中的篡改,当判断为所述连接部连接了所述第二存储部时,使用通过所述第二解密密钥对所述第二电子签名进行译码得到的第二译码数据,检测所述检测对象程序中的篡改。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017207098A JP6773000B2 (ja) | 2017-10-26 | 2017-10-26 | 情報処理装置、改ざん検出方法 |
| JP2017-207098 | 2017-10-26 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109711164A true CN109711164A (zh) | 2019-05-03 |
| CN109711164B CN109711164B (zh) | 2023-05-02 |
Family
ID=66244838
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811080214.9A Active CN109711164B (zh) | 2017-10-26 | 2018-09-17 | 信息处理装置和篡改检测方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10896258B2 (zh) |
| JP (1) | JP6773000B2 (zh) |
| CN (1) | CN109711164B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111651185A (zh) * | 2020-05-30 | 2020-09-11 | 展讯通信(上海)有限公司 | 一种软件升级方法及装置 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6773000B2 (ja) * | 2017-10-26 | 2020-10-21 | 京セラドキュメントソリューションズ株式会社 | 情報処理装置、改ざん検出方法 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001290475A (ja) * | 1997-12-04 | 2001-10-19 | Yamaha Corp | 電子情報処理方法及び装置 |
| JP2002072872A (ja) * | 2000-08-29 | 2002-03-12 | Ntt Comware Corp | データセキュリティ装置、データセキュリティ方法及びその記録媒体 |
| JP2008035019A (ja) * | 2006-07-27 | 2008-02-14 | Kikuya Inc | 電子署名装置 |
| US20080205651A1 (en) * | 2007-02-27 | 2008-08-28 | Fujitsu Limited | Secure processor system without need for manufacturer and user to know encryption information of each other |
| JP2010087702A (ja) * | 2008-09-30 | 2010-04-15 | Ricoh Co Ltd | 撮像装置、撮像方法、制御プログラム及び記録媒体 |
| CN101883096A (zh) * | 2010-06-07 | 2010-11-10 | 北京天地融科技有限公司 | 电子签名工具之间安全传递数据的方法、装置及系统 |
| JP2011078121A (ja) * | 2010-11-24 | 2011-04-14 | Fujitsu Ltd | 電子画像データ検証プログラム、電子画像データ検証方法及び電子画像データ検証装置 |
| WO2012124270A1 (ja) * | 2011-03-15 | 2012-09-20 | パナソニック株式会社 | 改ざん監視システム、管理装置、保護制御モジュール及び検知モジュール |
| CN102752111A (zh) * | 2011-04-20 | 2012-10-24 | 中国移动通信集团黑龙江有限公司 | 一种工单系统的电子签名防篡改的方法以及系统 |
| WO2013161974A1 (ja) * | 2012-04-24 | 2013-10-31 | 大日本印刷株式会社 | 改竄検知が可能なアプリケーションプログラムの配布実行方法 |
| CN104008342A (zh) * | 2014-06-06 | 2014-08-27 | 山东超越数控电子有限公司 | 一种通过bios和内核实现安全可信认证的方法 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030064070A (ko) * | 2002-01-25 | 2003-07-31 | 삼성전자주식회사 | 컴퓨터시스템 및 그 제어방법 |
| JP4335707B2 (ja) * | 2004-02-06 | 2009-09-30 | Necエレクトロニクス株式会社 | プログラム改竄検出装置、及びプログラム改竄検出プログラムおよびプログラム改竄検出方法 |
| JP2007299053A (ja) * | 2006-04-27 | 2007-11-15 | Fujitsu Fip Corp | アクセス制御方法およびアクセス制御プログラム |
| JP4994903B2 (ja) * | 2007-03-16 | 2012-08-08 | 株式会社リコー | 暗号鍵復旧方法、情報処理装置及び暗号鍵復旧プログラム |
| JP4941144B2 (ja) * | 2007-07-17 | 2012-05-30 | 株式会社明電舎 | 通信制御装置 |
| JP2012008641A (ja) * | 2010-06-22 | 2012-01-12 | Toshiba Tec Corp | セキュリティデバイス及び情報処理装置 |
| KR20120092222A (ko) * | 2011-02-11 | 2012-08-21 | 삼성전자주식회사 | 보안 부팅 방법 및 보안 부트 이미지 생성 방법 |
| JP5659926B2 (ja) * | 2011-04-05 | 2015-01-28 | 日本電気株式会社 | コンピュータシステムおよびオペレーティングシステム起動方法 |
| JP2015036847A (ja) * | 2013-08-12 | 2015-02-23 | 株式会社東芝 | 半導体装置 |
| EP2854066B1 (en) * | 2013-08-21 | 2018-02-28 | Nxp B.V. | System and method for firmware integrity verification using multiple keys and OTP memory |
| JP6362483B2 (ja) | 2014-09-02 | 2018-07-25 | キヤノン株式会社 | 情報処理装置、情報処理方法及びプログラム |
| US9325506B2 (en) * | 2014-09-23 | 2016-04-26 | Red Hat, Inc. | Cryptographically enforcing strict separation of environments |
| DE102015001801A1 (de) * | 2015-02-16 | 2016-08-18 | IAD Gesellschaft für Informatik, Automatisierung und Datenverarbeitung mbH | Autonom bootendes System mit einer Verschlüsselung des gesamten Datenspeichers und Verfahren hierfür |
| US20180091315A1 (en) * | 2016-09-27 | 2018-03-29 | Qualcomm Incorporated | Revocation and updating of compromised root of trust (rot) |
| US10747882B2 (en) * | 2017-03-23 | 2020-08-18 | Dell Products, L.P. | System and method for secure boot of an information handling system using verification signature and including verifying applications |
| JP6773000B2 (ja) * | 2017-10-26 | 2020-10-21 | 京セラドキュメントソリューションズ株式会社 | 情報処理装置、改ざん検出方法 |
-
2017
- 2017-10-26 JP JP2017207098A patent/JP6773000B2/ja active Active
-
2018
- 2018-09-17 CN CN201811080214.9A patent/CN109711164B/zh active Active
- 2018-09-26 US US16/143,197 patent/US10896258B2/en active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001290475A (ja) * | 1997-12-04 | 2001-10-19 | Yamaha Corp | 電子情報処理方法及び装置 |
| JP2002072872A (ja) * | 2000-08-29 | 2002-03-12 | Ntt Comware Corp | データセキュリティ装置、データセキュリティ方法及びその記録媒体 |
| JP2008035019A (ja) * | 2006-07-27 | 2008-02-14 | Kikuya Inc | 電子署名装置 |
| US20080205651A1 (en) * | 2007-02-27 | 2008-08-28 | Fujitsu Limited | Secure processor system without need for manufacturer and user to know encryption information of each other |
| JP2010087702A (ja) * | 2008-09-30 | 2010-04-15 | Ricoh Co Ltd | 撮像装置、撮像方法、制御プログラム及び記録媒体 |
| CN101883096A (zh) * | 2010-06-07 | 2010-11-10 | 北京天地融科技有限公司 | 电子签名工具之间安全传递数据的方法、装置及系统 |
| JP2011078121A (ja) * | 2010-11-24 | 2011-04-14 | Fujitsu Ltd | 電子画像データ検証プログラム、電子画像データ検証方法及び電子画像データ検証装置 |
| WO2012124270A1 (ja) * | 2011-03-15 | 2012-09-20 | パナソニック株式会社 | 改ざん監視システム、管理装置、保護制御モジュール及び検知モジュール |
| CN102752111A (zh) * | 2011-04-20 | 2012-10-24 | 中国移动通信集团黑龙江有限公司 | 一种工单系统的电子签名防篡改的方法以及系统 |
| WO2013161974A1 (ja) * | 2012-04-24 | 2013-10-31 | 大日本印刷株式会社 | 改竄検知が可能なアプリケーションプログラムの配布実行方法 |
| CN104008342A (zh) * | 2014-06-06 | 2014-08-27 | 山东超越数控电子有限公司 | 一种通过bios和内核实现安全可信认证的方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111651185A (zh) * | 2020-05-30 | 2020-09-11 | 展讯通信(上海)有限公司 | 一种软件升级方法及装置 |
| WO2021244143A1 (zh) * | 2020-05-30 | 2021-12-09 | 展讯通信(上海)有限公司 | 一种软件升级方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10896258B2 (en) | 2021-01-19 |
| JP6773000B2 (ja) | 2020-10-21 |
| CN109711164B (zh) | 2023-05-02 |
| JP2019080229A (ja) | 2019-05-23 |
| US20190130111A1 (en) | 2019-05-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2463655C2 (ru) | Блок, использующий операционную систему, и устройство формирования изображения, использующее этот блок | |
| EP2741228B1 (en) | System on chip to perform a secure boot, an image forming apparatus using the same, and method thereof | |
| US8601280B2 (en) | Application executing apparatus and application execution method | |
| US9224011B2 (en) | Embedded system, information processing unit, and image forming apparatus | |
| EP2854063A1 (en) | Crum chip mountable in consumable unit, image forming apparatus for authenticating the crum chip, and method thereof | |
| US7231133B2 (en) | Image processing system and method, memory card, and storage medium | |
| US7606949B2 (en) | Multifunction machine and a control method of the multifunction machine | |
| US20190121984A1 (en) | Method for verifying forgery and falsification of executable file in image forming apparatus and image forming apparatus using same | |
| CN109711164A (zh) | 信息处理装置和篡改检测方法 | |
| JP2012078953A (ja) | 改ざん検知装置及び改ざん検知方法 | |
| US9405901B2 (en) | Image processing system and log storage method | |
| US20170242742A1 (en) | Data processing device, control method for data processing device, and storage medium | |
| JP2008217284A (ja) | データ処理装置及びデータ処理プログラム | |
| US20080225311A1 (en) | Image forming apparatus, image forming method and computer readable medium | |
| JP5322990B2 (ja) | 情報処理装置及び画像形成装置 | |
| JP2004355244A (ja) | 画像形成装置 | |
| US11816233B2 (en) | Information processing apparatus | |
| JP5582651B2 (ja) | 画像形成装置 | |
| US20220121536A1 (en) | Information processing apparatus | |
| JP2015046048A (ja) | メンテナンス方法及び電子機器 | |
| US20230131005A1 (en) | Information processor, image forming apparatus, and control method | |
| JP4716674B2 (ja) | 画像処理装置 | |
| JP5576921B2 (ja) | 機器 | |
| JP5980771B2 (ja) | 画像処理システム及びログ記録方法 | |
| US20060285158A1 (en) | Image forming apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |