JP2008234079A - 情報処理装置、ソフトウェア正当性通知方法及び画像処理装置 - Google Patents

情報処理装置、ソフトウェア正当性通知方法及び画像処理装置 Download PDF

Info

Publication number
JP2008234079A
JP2008234079A JP2007069648A JP2007069648A JP2008234079A JP 2008234079 A JP2008234079 A JP 2008234079A JP 2007069648 A JP2007069648 A JP 2007069648A JP 2007069648 A JP2007069648 A JP 2007069648A JP 2008234079 A JP2008234079 A JP 2008234079A
Authority
JP
Japan
Prior art keywords
software
validity
information
identification information
processing apparatus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007069648A
Other languages
English (en)
Inventor
Shinjiro Hara
真二郎 原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2007069648A priority Critical patent/JP2008234079A/ja
Publication of JP2008234079A publication Critical patent/JP2008234079A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】起動したソフトウェアの正当性に関する信頼性の高い情報を通知できる情報処理装置、ソフトウェア正当性通知方法及び画像処理装置を提供することを目的とする。
【解決手段】起動したソフトウェア50の正当性に関する情報を通知する情報処理装置100であって、起動したソフトウェア50から一意に計算される値を格納し、値による情報の暗号化及び値によって暗号化されている情報の復号を行う暗号化復号手段5と、正当なソフトウェアから一意に計算される値で暗号化されている情報処理装置の識別情報71を、暗号化復号手段5により復号し、起動したソフトウェア50の正当性に関する情報である識別情報71を通知するソフトウェア正当性管理手段22とを有することにより上記課題を解決する。
【選択図】図4

Description

本発明は、情報処理装置、ソフトウェア正当性通知方法及び画像処理装置に係り、特に起動したソフトウェアの正当性に関する情報を通知する情報処理装置、ソフトウェア正当性通知方法及び画像処理装置に関する。
セキュリティを重視するPC等の情報処理装置や複合機(MFP)等の画像処理装置においては、自装置内の秘密情報を保護する必要がある。近年、PC等の情報処理装置や複合機等の画像処理装置ではセキュリティ意識の高まりに伴い、盗聴等を防ぐため、装置内部に保存している秘密情報の暗号化が可能となった。
例えば特許文献1にはTCPA(Trusted Computing Platform Alliance)の仕様に基づいたPCにおいて、TPM(Trusted Platform Module )を用いた情報の暗号化について記載されている。また、特許文献2にはTPMと認証との連携に関する内容について記載されている。
TPMは、PCR(Platform Configuration Register)へファームウェアから計算したハッシュ値を登録する。そして、TPMはPCRに登録されたハッシュ値を秘密情報の復号条件として暗号化することで、秘密情報をデータ窃取から保護している。例えばTPMはマザーボードに直付けされるチップで実現される。
従来の情報処理装置や画像処理装置では、起動したモジュール(ソフトウェア)が正しくインストールされた正当性のあるモジュールかどうかをTPMから秘密情報を復号できるか否かにより検知することができた。
特開2004−282391号公報 特表2003−507785号公報
しかしながら、従来の情報処理装置や画像処理装置では起動したモジュールが正しくインストールされた正当性のあるモジュールでない、言い換えれば改竄されたモジュールであることを検知しても管理者に通知する仕組みがなかった。また、管理者は従来の情報処理装置や画像処理装置から改竄されたモジュールが起動されたことを通知されても、その通知が信頼できるものかを検証できないという問題があった。
本発明は、上記の点に鑑みなされたもので、起動したソフトウェアの正当性に関する信頼性の高い情報を通知できる情報処理装置、ソフトウェア正当性通知方法及び画像処理装置を提供することを目的とする。
上記課題を解決する為、本発明は、起動したソフトウェアの正当性に関する情報を通知する情報処理装置であって、起動した前記ソフトウェアから一意に計算される値を格納し、前記値による情報の暗号化及び前記値によって暗号化されている情報の復号を行う暗号化復号手段と、正当なソフトウェアから一意に計算される値で暗号化されている前記情報処理装置の識別情報を、前記暗号化復号手段により復号し、起動した前記ソフトウェアの正当性に関する情報である前記識別情報を通知するソフトウェア正当性管理手段とを有することを特徴とする。
また、本発明は、起動したソフトウェアの正当性に関する情報を通知する情報処理装置のソフトウェア正当性通知方法であって、起動した前記ソフトウェアから一意に計算される値を格納し、前記値による情報の暗号化及び前記値によって暗号化されている情報の復号を行う暗号化復号手段により、正当なソフトウェアから一意に計算される値で暗号化されている前記情報処理装置の識別情報を復号する復号ステップと、起動した前記ソフトウェアの正当性に関する情報である前記識別情報をソフトウェア正当性管理手段により通知する通知ステップとを有することを特徴とする。
また、本発明は、起動したソフトウェアの正当性に関する情報を通知するプロッタ部及びスキャナ部の少なくとも一方を有する画像処理装置であって、起動した前記ソフトウェアから一意に計算される値を格納し、前記値による情報の暗号化及び前記値によって暗号化されている情報の復号を行う暗号化復号手段と、正当なソフトウェアから一意に計算される値で暗号化されている前記情報処理装置の識別情報を、前記暗号化復号手段により復号し、起動した前記ソフトウェアの正当性に関する情報である前記識別情報を通知するソフトウェア正当性管理手段とを有することを特徴とする。
なお、本発明の構成要素、表現または構成要素の任意の組合せを、方法、装置、システム、コンピュータプログラム、記録媒体、データ構造などに適用したものも本発明の態様として有効である。
本発明によれば、起動したソフトウェアの正当性に関する信頼性の高い情報を通知できる情報処理装置、ソフトウェア正当性通知方法及び画像処理装置を提供可能である。
次に、本発明を実施するための最良の形態を、以下の実施例に基づき図面を参照しつつ説明していく。なお、本実施例では画像処理装置としての複合機(MFP)を例に説明しているが、PC等の情報処理装置であってもよい。
図1は本発明による複合機の一実施例のハードウェア構成図である。図1の複合機100は、CPU1,ASIC2,揮発性メモリ3,エンジンコントローラ4,TPM5,不揮発メモリ6,ネットワークデバイス7,sdカードI/F8を有する構成である。
CPU1は、メインバス9を介してASIC2,エンジンコントローラ4に接続されている。ASIC2は揮発性メモリ3と接続されると共に、ローカルバス10を介してTPM5,不揮発メモリ6,ネットワークデバイス7,sdカードI/F8に接続される。
図1の複合機100は、ローカルバス10上にTPM5が搭載されており、秘密情報の暗号化や復号、プラットフォームの真正性を確認するプラットフォーム検証の機能を提供できる構成となっている。
図2は、本発明による複合機のソフトウェア構成と、TPMの起動時の動作とを表した模式図である。複合機100は、BIOS20,基本パッケージ21,ファーム正当性管理モジュール22,アプリケーションパッケージ23を有する構成である。
BIOS20は、システム起動の初期を担っているモジュールである。基本パッケージ21は、システム管理モジュール,システム起動モジュール,TPM管理モジュール,オペレーティングシステム等を有する構成である。
ファーム正当性管理モジュール22は、ファームウェアの正当性を管理するモジュールである。アプリケーションパッケージ23は1つ以上の基本アプリケーションを有する構成である。
BIOS20はTPM5へのアクセス手段を有している。基本パッケージ21が有するオペレーティングシステムはTPM5へのアクセス手段を有している。オペレーティングシステムは他のモジュールからハードウェアを利用させる機能を提供する。
複合機100の起動時、BIOS20は基本パッケージ21が有するオペレーティングシステムを起動する。オペレーティングシステムの起動後は、オペレーティングシステム内の他のソフトウェアを起動する為のシステム起動モジュールが起動される。システム起動モジュールは他のモジュールを規定された順に起動する。
BIOS20,オペレーティングシステム,ファーム正当性管理モジュール22,基本アプリケーション等のモジュールは、CPU1により揮発性メモリ3等へ読み込まれて実行される。以下の説明では、説明の便宜上、モジュールを処理主体として説明する。
更に、TPM5を用いた秘密情報の暗号化及び復号について説明する。図2のプラットフォーム50では、まず、BIOS20が自身のハッシュ値を計算し、TPM5内のPCR51へ登録する。BIOS20は例えば原文から固定長の疑似乱数を生成する演算手法によって計算されるハッシュ値をPCR51へ登録する。
BIOS20は基本パッケージ21のハッシュ値を計算し、TPM5内のPCR52へ登録した後、基本パッケージ21を起動する。基本パッケージ21はファーム正当性管理モジュール22のハッシュ値を計算し、TPM5内のPCR53へ登録した後、ファーム正当性管理モジュール22を起動する。また、基本パッケージ21は、アプリケーションパッケージ23のハッシュ値を計算し、TPM5内のPCR54へ登録した後で、アプリケーションパッケージ23を起動する。
このように、TPM5のPCR51〜54には複合機の起動に伴い、BIOS20,基本パッケージ21,ファーム正当性管理モジュール22及びアプリケーションパッケージ23から計算されるハッシュ値が登録される。
図3はTPMを用いた情報の暗号化及び復号を表す模式図である。図3の上側はTPM5による情報「Data P」の暗号化を表している。TPM5は暗号化を行う情報「Data P」と、「PCR0」〜「PCR2」に格納するハッシュ値「X」〜「Z」とに基づいて、ブロブ60を作成する。
図3の下側はTPM5によるブロブ61〜63の復号を表している。TPM5は、複合機100を起動する際に、例えばBIOS20,基本パッケージ21,ファーム正当性管理モジュール22およびアプリケーションパッケージ23から計算された3つのハッシュ値「X」〜「W」が「PCR0」〜「PCR3」へ登録されている。
ブロブ(Blob)61〜63は情報「Data P」を秘密情報として含む。ブロブ61は、「PCR0」〜「PCR2」に「X」〜「Z」が登録されている。ブロブ62は、「PCR0」〜「PCR2」に「X」,「G」及び「Z」が登録されている。また、ブロブ63は「PCR0」に「X」が登録されている。
ブロブ61の「PCR0」〜「PCR2」とTPM5の「PCR0」〜「PCR2」とに登録されているハッシュ値が同じであるため、TPM5はブロブ61からの情報「Data P」の取り出しを許可する。また、ブロブ62の「PCR1」とTPM5の「PCR1」とに登録されているハッシュ値が異なるため、TPM5はブロブ62からの情報「Data P」の取り出しを許可しない。
さらに、TPM5はブロブ63の「PCR0」とTPM5の「PCR0」とに登録されているハッシュ値が同じであるため、ブロブ63からの情報「Data P」の取り出しを許可する。なお、TPM5はブロブ63のようにハッシュ値が登録されていない「PCR1」、「PCR2」について、情報「Data P」の取り出しの許可又は不許可の判定に利用しない。
本発明による複合機100は、不揮発性メモリ6に自機を一意に識別可能な機器ID71を暗号化したブロブ70が含まれる。このブロブ70の復号可否は、図4に示しているように、PCR51〜53に登録されているハッシュ値によって制御される。
図4は起動時に機器IDを取得する処理を表した模式図である。TPM5は複合機100の起動時、BIOS20,基本パッケージ21,ファーム正当性管理モジュール22及びアプリケーションパッケージ23から計算された4つのハッシュ値「X」〜「W」が「PCR0」〜「PCR3」へ登録されている。一方、ブロブ70は「PCR0」〜「PCR2」に「X」〜「Z」が登録されている。
ブロブ70の「PCR0」〜「PCR2」とTPM5の「PCR0」〜「PCR2」とに登録されているハッシュ値が同じであるため、TPM5はブロブ70から機器ID71を復号する。
以下では、TPM5を利用してブロブ70から復号した機器ID71により、複合機100で起動したソフトウェアの正当性に関する情報を管理者等に通知する手順について説明する。
図5は本発明による複合機を含むシステムのネットワーク構成図である。図5のシステムは複合機100及び機器認証サーバ101がインターネットやLAN等のネットワーク102を介して接続されている。
図6は本発明による複合機を含むシステムの処理手順を表した一例のフローチャートである。ステップS1に進み、複合機100は正当なBIOS20,基本パッケージ21及びファーム正当性管理モジュール22から計算された3つのハッシュ値「X」〜「Z」を基に機器IDを暗号化した図4に示すブロブ70を作成し、不揮発性メモリ6に格納しておく。
ステップS2に進み、信頼できる機器認証サーバ101は複合機100の機器IDを管理する。複合機100は機器認証サーバ101へのアクセス情報(IPアドレスなど)が登録される。
ステップS3に進み、複合機100は起動する際に、BIOS20,基本パッケージ21,ファーム正当性管理モジュール22及びアプリケーションパッケージ23から計算された4つのハッシュ値「X」〜「W」を「PCR0」〜「PCR3」へ登録する。ブロブ70は「PCR0」〜「PCR2」に「X」〜「Z」が登録されている。
ブロブ70の「PCR0」〜「PCR2」とTPM5の「PCR0」〜「PCR2」とに登録されているハッシュ値が同じであるため、TPM5はブロブ70から機器ID71を復号できる。起動したファームウェア50に正当性があるとき、ファーム正当性管理モジュール22はTPM5を利用してブロブ70から機器ID71を復号する。
ステップS4に進み、複合機100はステップS2で登録された機器認証サーバ101へ機器ID71を送信する。機器認証サーバ101は管理している機器IDに、受信した機器ID71が含まれるか否かで認証を行う。サーバ101は、認証の結果、管理している機器IDに、受信した機器ID71が含まれていなければ、不正な機器IDであると判定する。
不正な機器IDである場合、機器認証サーバ101はメール等で管理者又はサポートセンタ等にファームウェア50が改竄されていることを通知してもよい。実施例1の複合機100ではTPM5を利用することにより秘密性が保たれる機器IDを、ファームウェア50の認証に使用することでファームウェア50の改竄を検知できる。
図7は本発明による複合機を含むシステムの処理手順を表した他の例のフローチャートである。なお、実施例2のネットワーク構成は図5と同様である。
ステップS11に進み、複合機100は正当なBIOS20,基本パッケージ21及びファーム正当性管理モジュール22から計算された3つのハッシュ値「X」〜「Z」を基に機器IDを暗号化したブロブ70を作成し、不揮発性メモリ6に格納しておく。
ステップS12に進み、信頼できる機器認証サーバ101は複合機100の機器IDを管理する。複合機100は機器認証サーバ101へのアクセス情報が登録される。
ステップS13に進み、複合機100は起動する際に、BIOS20,基本パッケージ21,ファーム正当性管理モジュール22及びアプリケーションパッケージ23から計算された4つのハッシュ値「X」〜「W」を「PCR0」〜「PCR3」へ登録する。ブロブ70は「PCR0」〜「PCR2」に「X」〜「Z」が登録されている。
ブロブ70の「PCR0」〜「PCR2」とTPM5の「PCR0」〜「PCR2」とに登録されているハッシュ値が同じであるため、TPM5はブロブ70から機器ID71を復号できる。起動したファームウェア50に正当性があるとき、ファーム正当性管理モジュール22はTPM5を利用してブロブ70から機器ID71を復号する。
ステップS14に進み、複合機100は機器ID71を秘密鍵として利用し、機器認証サーバ101から受信した文字列を暗号化することで署名を作成する。複合機100は作成した署名を機器認証サーバ101に送信する。即ち、機器ID71はネットワーク102上を流れることが無くなり、機器ID71の秘密性を保つことができる。
ステップS15に進み、機器認証サーバ101は公開鍵を有しており、受信した署名により認証を行う。機器認証サーバ101は受信した署名を公開鍵で復号し、複合機100に送信した文字列と一致するか否かで認証を行う。サーバ101は、認証の結果、復号した文字列と複合機100に送信した文字列とが一致しなければ、不正な機器IDであると判定する。
不正な機器IDである場合、機器認証サーバ101はメール等で管理者又はサポートセンタ等にファームウェア50が改竄されていることを通知してもよい。
図8は本発明による複合機を含むシステムのネットワーク構成図である。図8のシステムは複合機100および管理者の携帯電話等に搭載された署名検証機能を有する機器認証サーバ103がネットワーク102を介して接続されている。
図9は本発明による複合機を含むシステムの処理手順を表した一例のフローチャートである。ステップS21に進み、複合機100は正当なBIOS20,基本パッケージ21及びファーム正当性管理モジュール22から計算されたハッシュ値「X」〜「Z」を基に機器IDを暗号化したブロブ70を作成し、不揮発性メモリ6に格納しておく。
ステップS22に進み、信頼できる機器認証サーバ103は複合機100の機器IDを管理する。複合機100は、機器認証サーバ101へのアクセス情報及び公開鍵が登録される。
ステップS23に進み、複合機100は起動する際に、BIOS20,基本パッケージ21,ファーム正当性管理モジュール22及びアプリケーションパッケージ23から計算されたハッシュ値「X」〜「W」を「PCR0」〜「PCR3」へ登録する。ブロブ70は「PCR0」〜「PCR2」に「X」〜「Z」が登録されている。
ブロブ70の「PCR0」〜「PCR2」とTPM5の「PCR0」〜「PCR2」とに登録されているハッシュ値が同じであるため、TPM5はブロブ70から機器ID71を復号できる。起動したファームウェア50に正当性があるとき、ファーム正当性管理モジュール22はTPM5を利用してブロブ70から機器ID71を復号する。
ステップS24に進み、管理者は起動したファームウェア50の正当性確認を複合機100の操作部から要求する。ステップS25に進み、複合機100は機器ID71を秘密鍵として利用し、機器認証サーバ103から受信した文字列を暗号化することで署名を作成する。複合機100は作成した署名を機器認証サーバ103に送信する。
ステップS26に進み、機器認証サーバ103は公開鍵を有しており、受信した署名により認証を行う。機器認証サーバ103は受信した署名を公開鍵で復号し、複合機100に送信した文字列と一致するか否かで認証を行う。サーバ103は、認証の結果、復号した文字列と複合機100に送信した文字列とが一致しなければ、不正な機器IDであると判定する。したがって、管理者は機器認証サーバ103が搭載されている携帯電話などでファームフェア50が改竄されているかを管理者が要求したタイミングで確認できる。
本発明による複合機100は、不揮発性メモリ6に自機を一意に識別可能な機器ID71を暗号化したブロブ70,BIOS20を一意に識別可能なBIOS ID73を暗号化したブロブ72,基本パッケージ21を一意に識別可能な基本パッケージID75を暗号化したブロブ74,ファーム正当性管理モジュール22を一意に識別可能なファーム正当性管理モジュールID77を暗号化したブロブ76が含まれる。ブロブ70,72,74及び76の復号可否は、図10に示しているように、PCR51〜53に登録されているハッシュ値によって制御される。
図10は起動時に機器IDを取得する処理を表した模式図である。TPM5は複合機100の起動時、BIOS20,基本パッケージ21,ファーム正当性管理モジュール22及びアプリケーションパッケージ23から計算された4つのハッシュ値「X」〜「W」が「PCR0」〜「PCR3」へ登録されている。
ブロブ70は「PCR0」〜「PCR2」に「X」〜「Z」が登録されている。ブロブ72は「PCR0」に「X」が登録されている。ブロブ74は「PCR1」に「Y」が登録されている。ブロブ76は「PCR2」に「Z」が登録されている。
ブロブ72はBIOS20から生成されたハッシュ値に基づいてBIOS ID73が暗号化されている。ブロブ74は基本パッケージ21から生成されたハッシュ値に基づいて基本パッケージID75が暗号化されている。また、ブロブ76はファーム正当性管理モジュール22から生成されたハッシュ値に基づいてファーム正当性管理モジュールID77が暗号化されている。
つまり、ブロブ72は正当性のあるBIOS20が起動されたときにBIOS ID73が復号される。ブロブ74は、正当性のある基本パッケージ21が起動されたときに基本パッケージID75が復号される。また、ブロブ76は、正当性のあるファーム正当性管理モジュール22が起動されたときにファーム正当性管理モジュールID77が復号される。図10の模式図の場合は以下のようになる。
ブロブ70の「PCR0」〜「PCR2」とTPM5の「PCR0」〜「PCR2」とに登録されているハッシュ値が同じであるため、TPM5はブロブ70から機器ID71を復号できる。
ブロブ72の「PCR0」とTPM5の「PCR0」とに登録されているハッシュ値が同じであるため、TPM5はブロブ72からBIOS ID73を復号できる。ブロブ74の「PCR1」とTPM5の「PCR1」とに登録されているハッシュ値が同じであるため、TPM5はブロブ74から基本パッケージID75を復号できる。
ブロブ76の「PCR2」とTPM5の「PCR2」とに登録されているハッシュ値が同じであるため、TPM5はブロブ76からファーム正当性管理モジュールID77を復号できる。
以下ではTPM5を利用してブロブ70から復号した機器ID71により、複合機100で起動したソフトウェアの正当性に関する情報を管理者等に通知し、ブロブ72,74及び76から復号したBIOS ID73,基本パッケージID75及びファーム正当性管理モジュールID77により、改竄されているファームウェア50を特定し、管理者等に通知する手順について説明する。
図11は本発明による複合機を含むシステムの処理手順を表した一例のフローチャートである。なお、実施例4のネットワーク構成は図5と同様である。
ステップS31に進み、複合機100は、正当なBIOS20,基本パッケージ21及びファーム正当性管理モジュール22から計算された3つのハッシュ値「X」〜「Z」を基に、図10を用いて前述したブロブ70,72,74及び76を作成し、不揮発性メモリ6に格納しておく。
ステップS32に進み、信頼できる機器認証サーバ101は複合機100の機器IDを管理する。複合機100は機器認証サーバ101へのアクセス情報が登録される。
ステップS33に進み、複合機100は起動する際に、BIOS20,基本パッケージ21,ファーム正当性管理モジュール22及びアプリケーションパッケージ23から計算された4つのハッシュ値「X」〜「W」を「PCR0」〜「PCR3」へ登録する。ブロブ70の「PCR0」〜「PCR2」とTPM5の「PCR0」〜「PCR2」とに登録されているハッシュ値が同じであれば、TPM5はブロブ70から機器ID71を復号できる。つまり、起動したファームウェア50に正当性があるとき、ファーム正当性管理モジュール22はTPM5を利用してブロブ70から機器ID71を復号する。
ステップS34に進み、ファーム正当性管理モジュール22は機器ID71の復号に成功したか否かを判定する。ファーム正当性管理モジュール22は機器ID71の復号に成功しなければ(S34においてNO)、ステップS35に進み、TPM5を利用してブロブ72,74及び76からBIOS ID73,基本パッケージID75及びファーム正当性管理モジュールID77を復号する。
ステップS36に進み、ファーム正当性管理モジュール22は復号に失敗したファームウェア50の情報を機器認証サーバ101に送信する。例えばBIOS ID73の復号に失敗すれば、ファーム正当性管理モジュール22は復号に失敗したファームウェア50としてBIOS20を機器認証サーバ101に通知する。
すなわち、ファーム正当性管理モジュール22は復号の失敗に基づいて、改竄されているファームウェア50を特定し、ファームウェア50が改竄されていること、改竄されているファームウェア50の情報を機器認証サーバ101に通知する。
ファーム正当性管理モジュール22は機器ID71の復号に成功すれば(S34においてYES)、ステップS37に進み、ステップS32で登録された機器認証サーバ101へ機器ID71を送信する。機器認証サーバ101は管理している機器IDに、受信した機器ID71が含まれるか否かで認証を行う。サーバ101は、認証の結果、管理している機器IDに、受信した機器ID71が含まれていなければ、不正な機器IDであると判定する。
不正な機器IDである場合、機器認証サーバ101はメール等で管理者又はサポートセンタ等にファームウェア50が改竄されていることを通知してもよい。
図12は本発明による複合機を含むシステムの処理手順を表した一例のフローチャートである。なお、実施例5のネットワーク構成は図5と同様である。
ステップS41に進み、複合機100は、正当なBIOS20,基本パッケージ21及びファーム正当性管理モジュール22から計算された3つのハッシュ値「X」〜「Z」を基に、ブロブ70を作成し、不揮発性メモリ6に格納しておく。
ステップS42に進み、複合機100は、正当なBIOS20,基本パッケージ21及びファーム正当性管理モジュール22から計算された3つのハッシュ値「X」〜「Z」を基に、ブロブ72,74及び76を作成し、不揮発性メモリ6に格納しておく。
なお、信頼できる機器認証サーバ101は複合機100の機器IDを管理する。複合機100は機器認証サーバ101へのアクセス情報が登録される。
ステップS43に進み、複合機100は起動する際に、BIOS20,基本パッケージ21,ファーム正当性管理モジュール22及びアプリケーションパッケージ23から計算された4つのハッシュ値「X」〜「W」を「PCR0」〜「PCR3」へ登録する。
ブロブ70の「PCR0」〜「PCR2」とTPM5の「PCR0」〜「PCR2」とに登録されているハッシュ値が同じであれば、TPM5はブロブ70から機器ID71を復号する。
ステップS44に進み、ファーム正当性管理モジュール22は機器ID71の復号に成功したか否かを判定する。ファーム正当性管理モジュール22は機器ID71の復号に成功しなければ(S44においてNO)、ステップS45に進み、TPM5を利用してブロブ72,74及び76からBIOS ID73,基本パッケージID75及びファーム正当性管理モジュールID77を復号する。
ステップS46に進み、複合機100はファーム正当性管理モジュールID77を秘密鍵として利用し、機器認証サーバ101から受信した文字列を暗号化することで署名を作成する。複合機100は作成した署名を機器認証サーバ103に送信して署名による認証を依頼する。つまり、機器認証サーバ103ではファーム正当性管理モジュール22の正当性を判定できる。そして、ステップS47に進み、ファーム正当性管理モジュール22は復号に失敗したファームウェア50の情報を機器認証サーバ101に送信する。
すなわち、ファーム正当性管理モジュール22は復号の失敗に基づいて、改竄されているファームウェア50を特定し、ファームウェア50が改竄されていること、改竄されているファームウェア50の情報を機器認証サーバ101に通知する。
ファーム正当性管理モジュール22は機器ID71の復号に成功すれば(S44においてYES)、ステップS48に進み、登録されている機器認証サーバ101へ機器ID71を送信する。機器認証サーバ101は管理している機器IDに、受信した機器ID71が含まれるか否かで認証を行う。
不正な機器IDである場合、機器認証サーバ101はメール等で管理者又はサポートセンタ等にファームウェア50が改竄されていることを通知してもよい。
図13は本発明による複合機を含むシステムの処理手順を表した一例のフローチャートである。なお、実施例6のネットワーク構成は図5と同様である。ステップS51〜S55の処理は図12のステップS41〜S45と同様である。
ステップS56に進み、ファーム正当性管理モジュール22は復号の失敗に基づき、改竄されているファームウェア50を特定し、正常な情報を機器認証サーバ101に送信可能か否かを判定する。
正常な情報を機器認証サーバ101に送信可能であれば(S56においてYES)、複合機100は、ファーム正当性管理モジュールID77を秘密鍵として利用して署名を作成する。複合機100は作成した署名を機器認証サーバ103に送信して署名による認証を依頼する。つまり、機器認証サーバ103ではファーム正当性管理モジュール22の正当性を判定できる。そして、ステップS58に進み、ファーム正当性管理モジュール22は復号に失敗したファームウェア50の情報を機器認証サーバ101に送信する。
すなわち、ファーム正当性管理モジュール22は復号の失敗に基づいて、改竄されているファームウェア50を特定し、ファームウェア50が改竄されていること、改竄されているファームウェア50の情報を機器認証サーバ101に通知する。
ファーム正当性管理モジュール22は機器ID71の復号に成功すれば(S54においてYES)、ステップS59に進み、登録されている機器認証サーバ101へ機器ID71を送信する。機器認証サーバ101は管理している機器IDに、受信した機器ID71が含まれるか否かで認証を行う。
不正な機器IDである場合、機器認証サーバ101はメール等で管理者又はサポートセンタ等にファームウェア50が改竄されていることを通知してもよい。
正常な情報を機器認証サーバ101に送信可能でなければ(S56においてNO)、複合機100は、そのまま処理を終了する。ファーム正当性管理モジュール22は正常な情報の機器認証サーバ101への送信を保障できる場合に、改竄されているファームウェア50の情報を機器認証サーバ101へ送信することにより、情報の信頼性を向上させることができる。
以上、実施例1〜6によれば、TPM5を利用した機密性の高い情報を、外部の機器認証サーバ101で認証し、ファームウェア50の改竄を管理者に通知することで、管理者に情報の信頼性を検証する仕組みを提供できる。
本発明は、具体的に開示された実施例に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。なお、特許請求の範囲に記載した暗号化復号手段はTPM5に相当する。
本発明による複合機の一実施例のハードウェア構成図である。 本発明による複合機のソフトウェア構成と、TPMの起動時の動作とを表した模式図である。 TPMを用いた情報の暗号化及び復号を表す模式図である。 起動時に機器IDを取得する処理を表した模式図である。 本発明による複合機を含むシステムのネットワーク構成図である。 本発明による複合機を含むシステムの処理手順を表した一例のフローチャートである。 本発明による複合機を含むシステムの処理手順を表した他の例のフローチャートである。 本発明による複合機を含むシステムのネットワーク構成図である。 本発明による複合機を含むシステムの処理手順を表した一例のフローチャートである。 起動時に機器IDを取得する処理を表した模式図である。 本発明による複合機を含むシステムの処理手順を表した一例のフローチャートである。 本発明による複合機を含むシステムの処理手順を表した一例のフローチャートである。 本発明による複合機を含むシステムの処理手順を表した一例のフローチャートである。
符号の説明
1 CPU
2 ASIC
3 揮発性メモリ
4 エンジンコントローラ
5 TPM
6 不揮発メモリ
7 ネットワークデバイス
8 sdカードI/F
9 メインバス
10 ローカルバス
20 BIOS
21 基本パッケージ
22 ファーム正当性管理モジュール
23 アプリケーションパッケージ
50 プラットフォーム
51〜54 PCR
60〜63,70,72,74,76 ブロブ
71 機器ID
73 BIOS ID
75 基本パッケージID
77 ファーム正当性管理モジュールID
100 複合機
101,103 機器認証サーバ
102 ネットワーク

Claims (17)

  1. 起動したソフトウェアの正当性に関する情報を通知する情報処理装置であって、
    起動した前記ソフトウェアから一意に計算される値を格納し、前記値による情報の暗号化及び前記値によって暗号化されている情報の復号を行う暗号化復号手段と、
    正当なソフトウェアから一意に計算される値で暗号化されている前記情報処理装置の識別情報を、前記暗号化復号手段により復号し、起動した前記ソフトウェアの正当性に関する情報である前記識別情報を通知するソフトウェア正当性管理手段と
    を有することを特徴とする情報処理装置。
  2. 前記ソフトウェア正当性管理手段は、起動した前記ソフトウェアの正当性を前記情報処理装置の識別情報により検証する外部装置に前記情報処理装置の識別情報を送信することを特徴とする請求項1記載の情報処理装置。
  3. 前記ソフトウェア正当性管理手段は、復号した前記情報処理装置の識別情報を秘密鍵として署名を作成したあと、起動した前記ソフトウェアの正当性を前記情報処理装置の識別情報により検証する公開鍵を有する外部装置に前記署名を送信することを特徴とする請求項1記載の情報処理装置。
  4. 前記ソフトウェア正当性管理手段は、ユーザが前記ソフトウェアの正当性確認を要求したときに、復号した前記情報処理装置の識別情報を秘密鍵として署名を作成したあと、起動した前記ソフトウェアの正当性を前記情報処理装置の識別情報により検証する公開鍵を有する外部装置に前記署名を送信することを特徴とする請求項3記載の情報処理装置。
  5. 前記ソフトウェア正当性管理手段は、正当なソフトウェアから一意に計算される全ての値で暗号化されている前記情報処理装置の識別情報,正当なソフトウェアから一意に計算される値で個別に暗号化されている前記ソフトウェアの識別情報を、前記暗号化復号手段により復号し、前記情報処理装置の識別情報が復号できなかったときに前記ソフトウェアの識別情報の復号可否によって正当性のない前記ソフトウェアを特定して、起動した前記ソフトウェアの正当性を前記情報処理装置の識別情報により検証する外部装置に通知することを特徴とする請求項1又は2記載の情報処理装置。
  6. 前記ソフトウェア正当性管理手段は、前記情報処理装置の識別情報が復号できなかったときに前記ソフトウェア正当性管理手段の識別情報を秘密鍵として署名を作成して前記外部装置に送信したあと、特定した正当性のない前記ソフトウェアを前記外部装置に通知することを特徴とする請求項5記載の情報処理装置。
  7. 前記ソフトウェア正当性管理手段は、前記ソフトウェアの識別情報の復号可否によって正当性のない前記ソフトウェアを特定し、正当性のない前記ソフトウェアから前記外部装置へ正常に通知できるか判定し、前記外部装置へ正常に通知できると判定したとき、前記ソフトウェア正当性管理手段の識別情報を秘密鍵として署名を作成して前記外部装置に送信し、特定した正当性のない前記ソフトウェアを前記外部装置に通知することを特徴とする請求項6記載の情報処理装置。
  8. 前記暗号化復号手段は、TPM(Trusted Platform Module)によって実現されることを特徴とする請求項1乃至7何れか一項記載の情報処理装置。
  9. 起動したソフトウェアの正当性に関する情報を通知する情報処理装置のソフトウェア正当性通知方法であって、
    起動した前記ソフトウェアから一意に計算される値を格納し、前記値による情報の暗号化及び前記値によって暗号化されている情報の復号を行う暗号化復号手段により、正当なソフトウェアから一意に計算される値で暗号化されている前記情報処理装置の識別情報を復号する復号ステップと、
    起動した前記ソフトウェアの正当性に関する情報である前記識別情報をソフトウェア正当性管理手段により通知する通知ステップと
    を有することを特徴とするソフトウェア正当性通知方法。
  10. 前記通知ステップは、起動した前記ソフトウェアの正当性を前記情報処理装置の識別情報により検証する外部装置に前記情報処理装置の識別情報を送信することを特徴とする請求項9記載のソフトウェア正当性通知方法。
  11. 前記通知ステップは、復号した前記情報処理装置の識別情報を秘密鍵として署名を作成したあと、起動した前記ソフトウェアの正当性を前記情報処理装置の識別情報により検証する公開鍵を有する外部装置に前記署名を送信することを特徴とする請求項9記載のソフトウェア正当性通知方法。
  12. 前記通知ステップは、ユーザが前記ソフトウェアの正当性確認を要求したときに、復号した前記情報処理装置の識別情報を秘密鍵として署名を作成したあと、起動した前記ソフトウェアの正当性を前記情報処理装置の識別情報により検証する公開鍵を有する外部装置に前記署名を送信することを特徴とする請求項11記載のソフトウェア正当性通知方法。
  13. 前記通知ステップは、正当なソフトウェアから一意に計算される全ての値で暗号化されている前記情報処理装置の識別情報,正当なソフトウェアから一意に計算される値で個別に暗号化されている前記ソフトウェアの識別情報を、前記暗号化復号手段により復号し、前記情報処理装置の識別情報が復号できなかったときに前記ソフトウェアの識別情報の復号可否によって正当性のない前記ソフトウェアを特定して、起動した前記ソフトウェアの正当性を前記情報処理装置の識別情報により検証する外部装置に通知することを特徴とする請求項9又は10記載のソフトウェア正当性通知方法。
  14. 前記通知ステップは、前記情報処理装置の識別情報が復号できなかったときに前記ソフトウェア正当性管理手段の識別情報を秘密鍵として署名を作成して前記外部装置に送信したあと、特定した正当性のない前記ソフトウェアを前記外部装置に通知することを特徴とする請求項13記載のソフトウェア正当性通知方法。
  15. 前記通知ステップは、前記ソフトウェアの識別情報の復号可否によって正当性のない前記ソフトウェアを特定し、正当性のない前記ソフトウェアから前記外部装置へ正常に通知できるか判定し、前記外部装置へ正常に通知できると判定したとき、前記ソフトウェア正当性管理手段の識別情報を秘密鍵として署名を作成して前記外部装置に送信し、特定した正当性のない前記ソフトウェアを前記外部装置に通知することを特徴とする請求項14記載のソフトウェア正当性通知方法。
  16. 前記暗号化復号手段は、TPM(Trusted Platform Module)によって実現されることを特徴とする請求項9乃至15何れか一項記載のソフトウェア正当性通知方法。
  17. 起動したソフトウェアの正当性に関する情報を通知するプロッタ部及びスキャナ部の少なくとも一方を有する画像処理装置であって、
    起動した前記ソフトウェアから一意に計算される値を格納し、前記値による情報の暗号化及び前記値によって暗号化されている情報の復号を行う暗号化復号手段と、
    正当なソフトウェアから一意に計算される値で暗号化されている前記情報処理装置の識別情報を、前記暗号化復号手段により復号し、起動した前記ソフトウェアの正当性に関する情報である前記識別情報を通知するソフトウェア正当性管理手段と
    を有することを特徴とする画像処理装置。
JP2007069648A 2007-03-16 2007-03-16 情報処理装置、ソフトウェア正当性通知方法及び画像処理装置 Pending JP2008234079A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007069648A JP2008234079A (ja) 2007-03-16 2007-03-16 情報処理装置、ソフトウェア正当性通知方法及び画像処理装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007069648A JP2008234079A (ja) 2007-03-16 2007-03-16 情報処理装置、ソフトウェア正当性通知方法及び画像処理装置

Publications (1)

Publication Number Publication Date
JP2008234079A true JP2008234079A (ja) 2008-10-02

Family

ID=39906805

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007069648A Pending JP2008234079A (ja) 2007-03-16 2007-03-16 情報処理装置、ソフトウェア正当性通知方法及び画像処理装置

Country Status (1)

Country Link
JP (1) JP2008234079A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007318731A (ja) * 2006-04-26 2007-12-06 Ricoh Co Ltd 複数のモジュール構成情報を管理できる画像形成装置
JP2010157230A (ja) * 2008-12-30 2010-07-15 Intel Corp ランタイムインテグリティ検証のための装置及び方法
JP2013003786A (ja) * 2011-06-15 2013-01-07 Ricoh Co Ltd 情報処理装置、正当性検証方法、及びプログラム
US8522045B2 (en) 2010-02-08 2013-08-27 Ricoh Company, Ltd. Multi-functional system, security method, security program, and storage medium

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007318731A (ja) * 2006-04-26 2007-12-06 Ricoh Co Ltd 複数のモジュール構成情報を管理できる画像形成装置
JP2010157230A (ja) * 2008-12-30 2010-07-15 Intel Corp ランタイムインテグリティ検証のための装置及び方法
US8832454B2 (en) 2008-12-30 2014-09-09 Intel Corporation Apparatus and method for runtime integrity verification
US8522045B2 (en) 2010-02-08 2013-08-27 Ricoh Company, Ltd. Multi-functional system, security method, security program, and storage medium
JP2013003786A (ja) * 2011-06-15 2013-01-07 Ricoh Co Ltd 情報処理装置、正当性検証方法、及びプログラム

Similar Documents

Publication Publication Date Title
JP5116325B2 (ja) 情報処理装置、ソフトウェア更新方法及び画像処理装置
JP5369502B2 (ja) 機器、管理装置、機器管理システム、及びプログラム
US9281949B2 (en) Device using secure processing zone to establish trust for digital rights management
JP4912879B2 (ja) プロセッサの保護された資源へのアクセスに対するセキュリティ保護方法
JP4861423B2 (ja) 情報処理装置および情報管理方法
JP4890309B2 (ja) 情報処理装置及び情報保護方法
US20110113235A1 (en) PC Security Lock Device Using Permanent ID and Hidden Keys
JP6720581B2 (ja) 情報処理装置、情報処理方法、及び情報処理プログラム
US9544299B2 (en) Information processing apparatus, server, method for controlling the same and storage medium
JP5096022B2 (ja) 情報処理装置、ソフトウェア検証方法及びソフトウェア検証プログラム
JP2008005408A (ja) 記録データ処理装置
JP5309709B2 (ja) ソフトウェア改ざん検知方法及び機器
JP2008234079A (ja) 情報処理装置、ソフトウェア正当性通知方法及び画像処理装置
JP5582231B2 (ja) 情報処理装置、真正性確認方法、及び記録媒体
JP2008021021A (ja) ソフトウエアのライセンス認証方法
JP2008234220A (ja) 情報処理装置、ソフトウェア起動方法及び画像処理装置
JP5617981B2 (ja) 機器、管理装置、機器管理システム、及びプログラム
US8355508B2 (en) Information processing apparatus, information processing method, and computer readable recording medium
JP5049179B2 (ja) 情報処理端末装置及びアプリケーションプログラムの起動認証方法
JP5278520B2 (ja) 情報処理装置、情報保護方法
JP5574007B2 (ja) 情報処理装置及び情報保護方法
JP5310897B2 (ja) 情報処理装置、ソフトウェア更新方法及び記録媒体
JP5234217B2 (ja) 情報処理装置、ソフトウェア更新方法及びプログラム
US20230122687A1 (en) Information processing apparatus and control method
JP2013191226A (ja) 情報処理装置、ソフトウェア更新方法及び画像処理装置