JP2009177718A - Image forming apparatus and data management method - Google Patents

Image forming apparatus and data management method Download PDF

Info

Publication number
JP2009177718A
JP2009177718A JP2008016574A JP2008016574A JP2009177718A JP 2009177718 A JP2009177718 A JP 2009177718A JP 2008016574 A JP2008016574 A JP 2008016574A JP 2008016574 A JP2008016574 A JP 2008016574A JP 2009177718 A JP2009177718 A JP 2009177718A
Authority
JP
Japan
Prior art keywords
encryption key
program
electronic data
image forming
forming apparatus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008016574A
Other languages
Japanese (ja)
Other versions
JP4960896B2 (en
Inventor
Yuichi Terao
雄一 寺尾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2008016574A priority Critical patent/JP4960896B2/en
Publication of JP2009177718A publication Critical patent/JP2009177718A/en
Application granted granted Critical
Publication of JP4960896B2 publication Critical patent/JP4960896B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Accessory Devices And Overall Control Thereof (AREA)
  • Storage Device Security (AREA)
  • Facsimiles In General (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an image forming apparatus and a data management method capable of appropriately reducing a possibility for electronic data to be decoded. <P>SOLUTION: The image forming apparatus comprising a plurality of kinds of storage media includes: an encryption key storage means recording a first encryption key therein beforehand; a data input means for accepting input of electronic data to be stored; a first decoding means for decoding the electronic data using the first encryption key; and a storage means for storing the decoded electronic data on a storage medium corresponding to identification information related to the electronic data. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、画像形成装置及びデータ管理方法に関する。   The present invention relates to an image forming apparatus and a data management method.

近年では、その出荷後にプログラムを追加インストール可能な画像形成装置が提供されている。また、このようなプログラムについても、例えば、画像形成装置のメーカーが運営するWebサイト等よりネットワークを介してダウンロードが可能とされている。   In recent years, an image forming apparatus capable of additionally installing a program after shipment has been provided. Also, such a program can be downloaded via a network from, for example, a website operated by the manufacturer of the image forming apparatus.

ネットワークを介してプログラムの流通を可能とすることにより、画像形成装置のユーザは、簡便にプログラムを入手し、当該画像形成装置の機能強化を行うことができる。
特開2005−275694号公報 By enabling the distribution of the program via the network, the user of the image forming apparatus can easily obtain the program and enhance the function of the image forming apparatus.
JP 2005-275694 A

しかしながら、プログラムの入手者が善意のユーザばかりであるとは限らない。例えば、入手したプログラムを解読し、海賊版の作成等を試みる者が存在するかもしれない。特に、近年、画像形成装置においてもJava(登録商標)によるプログラムが実行可能とされているが、Java(登録商標)の中間コードの解読は他の言語によるプログラムに比べて非常に容易であり、解読を支援するツールも出回っているという実情がある。   However, it is not always the case that the users of the program are good faith users. For example, there may be a person who tries to decipher the acquired program and create a pirated version. In particular, in recent years, it is possible to execute a Java (registered trademark) program in an image forming apparatus, but it is very easy to decode an intermediate code of Java (registered trademark) compared to a program in another language. There is a fact that there are tools that support decoding.

本発明は、上記の点に鑑みてなされたものであって、電子データが解読される可能性を適切に低減させることのできる画像形成装置及びデータ管理方法の提供を目的とする。   The present invention has been made in view of the above points, and an object thereof is to provide an image forming apparatus and a data management method capable of appropriately reducing the possibility of decoding electronic data.

そこで上記課題を解決するため、本発明は、複数種類の記憶媒体を備えた画像形成装置であって第一の暗号鍵が予め記録された暗号鍵記憶手段と、保存対象とされた電子データの入力を受け付けるデータ入力手段と、前記電子データを前記第一の暗号鍵によって復号する第一の復号手段と、復号された前記電子データを、当該電子データに関連付けられた識別情報に対応する記憶媒体に保存する保存手段とを有することを特徴とする。   In order to solve the above-described problem, the present invention provides an image forming apparatus having a plurality of types of storage media, in which an encryption key storage unit in which a first encryption key is recorded in advance, and electronic data to be stored are stored. Data input means for accepting input, first decryption means for decrypting the electronic data with the first encryption key, and a storage medium corresponding to the identification information associated with the electronic data that has been decrypted And storing means for storing.

このような画像形成装置では、電子データが解読される可能性を適切に低減させることができる。   In such an image forming apparatus, it is possible to appropriately reduce the possibility of the electronic data being decoded.

本発明によれば、電子データが解読される可能性を適切に低減させることのできる画像形成装置及びデータ管理方法を提供することができる。   According to the present invention, it is possible to provide an image forming apparatus and a data management method capable of appropriately reducing the possibility of decoding electronic data.

以下、図面に基づいて本発明の実施の形態を説明する。図1は、本発明の実施の形態におけるシステム構成例を示す図である。同図において、配布サーバ10と一台以上の機器20とはインターネット又はLAN(Local Area Network)等のネットワーク30によって接続されている。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a diagram showing an example of a system configuration in the embodiment of the present invention. In the figure, the distribution server 10 and one or more devices 20 are connected by a network 30 such as the Internet or a LAN (Local Area Network).

配布サーバ10は、プログラム11を管理し、機器20からのダウンロード要求に応じてプログラム11の配布を実行するコンピュータである。配布サーバ10において、プログラム11は、暗号鍵Bによって暗号化されている。したがって、ダウンロード時において、プログラム11は暗号化された状態でネットワーク上を流通する。なお、図中においてプログラム11は一つのブロックとして記載されているが、実現する機能の別(アプリケーションの種別)に応じて複数存在し得る。また、一つのプログラム11は、プログラムの流通単位を示す。したがって、一つのファイルであってもよいし、複数のファイルから構成されていてもよい。後者の場合、一つのファイルにパッケージ化されていてもよい。本実施の形態では、パッケージ化されている場合を例とする。   The distribution server 10 is a computer that manages the program 11 and executes distribution of the program 11 in response to a download request from the device 20. In the distribution server 10, the program 11 is encrypted with the encryption key B. Therefore, at the time of downloading, the program 11 is distributed on the network in an encrypted state. In the figure, the program 11 is described as one block. However, a plurality of programs 11 may exist depending on the function to be realized (type of application). One program 11 indicates a distribution unit of the program. Therefore, it may be one file or may be composed of a plurality of files. In the latter case, it may be packaged in one file. In this embodiment, an example of packaging is taken as an example.

図2は、本発明の実施の形態におけるプログラムのパッケージ構成例を示す図である。同図において、プログラム11のパッケージファイルには、ヘッダファイル111、プログラムファイル112、及び電子署名113等が含まれている。ヘッダファイル111は、プログラム11に関する書誌情報等が記録されるファイルであり、本実施の形態では少なくとも保護レベルが記録されている。保護レベルは、プログラム11の保護に関して要求されるレベルの識別情報をいう。本実施の形態では、保護レベルは、レベルが低い順に「0(ゼロ)」、「低」、「高」の3段階であるとする。なお、保護レベルは、例えば、プログラムファイル112のファイル名の一部の文字列として含まれていても良い。また、プログラムファイル112との関連付けが明確になされていれば、プログラム11外において(例えば、他のファイルやデータベース等において)定義されていてもよい。   FIG. 2 is a diagram showing a package configuration example of a program according to the embodiment of the present invention. In the figure, the package file of the program 11 includes a header file 111, a program file 112, an electronic signature 113, and the like. The header file 111 is a file in which bibliographic information and the like related to the program 11 is recorded, and at least a protection level is recorded in the present embodiment. The protection level refers to identification information of a level required for protection of the program 11. In the present embodiment, it is assumed that the protection level has three levels of “0 (zero)”, “low”, and “high” in order from the lowest level. The protection level may be included as a partial character string of the file name of the program file 112, for example. Further, if the association with the program file 112 is made clear, it may be defined outside the program 11 (for example, in another file or database).

プログラムファイル112は、プログラム11の実体が格納されたファイルであり、例えば、JARファイルが相当する。なお、プログラム11においてプログラムファイル112が暗号鍵Bによる暗号化の対象となる。したがって、ヘッダファイル111及び電子署名113は、暗号鍵Bによっては暗号化されていない。なお、保護レベルが「0」のプログラム11については、プログラムファイル11も暗号化されていない。電子署名113は、例えば、ヘッダファイル111(すなわち、保護レベル)及びプログラムファイル112のハッシュ値であり、ヘッダファイル111又はプログラムファイル112の改竄の検知に用いられる。   The program file 112 is a file in which the substance of the program 11 is stored, and corresponds to a JAR file, for example. In the program 11, the program file 112 is an object to be encrypted with the encryption key B. Therefore, the header file 111 and the electronic signature 113 are not encrypted with the encryption key B. For the program 11 with the protection level “0”, the program file 11 is not encrypted. The electronic signature 113 is, for example, a hash value of the header file 111 (that is, the protection level) and the program file 112, and is used to detect falsification of the header file 111 or the program file 112.

図1に戻る。機器20は、コピー機能、印刷機能、スキャナ機能、及びFAX機能等を一台の筐体において実現する、一般的に複合機又は融合機と呼ばれる画像形成装置である。機器20は、配布サーバ10よりダウンロードされるプログラム11を追加的にインストールし、機能強化等を図ることが可能である。なお、本発明の適用にあたり、機器20は、必ずしも複合機でなくてもよい。例えば、コピー機、プリンタ、スキャナ、又はファクシミリ等の画像形成装置であってもよい。   Returning to FIG. The device 20 is an image forming apparatus generally called a multifunction peripheral or a multifunction peripheral that realizes a copy function, a print function, a scanner function, a FAX function, and the like in a single casing. The device 20 can additionally install the program 11 downloaded from the distribution server 10 to enhance the function. In applying the present invention, the device 20 does not necessarily have to be a multifunction device. For example, an image forming apparatus such as a copier, a printer, a scanner, or a facsimile may be used.

図3は、本発明の実施の形態における機器のハードウェア構成例を示す図である。同図において、機器20は、それぞれバスBによって接続された、ROM21、RAM22、CPU23、TPM(Trusted Platform Module)24、フラッシュメモリ25、HDD(Hard Disk Drive)26a、HDD26b、操作パネル27、スキャナ28、及びプリンタ29等を備える。   FIG. 3 is a diagram illustrating a hardware configuration example of the device according to the embodiment of the present invention. In the figure, a device 20 includes a ROM 21, a RAM 22, a CPU 23, a TPM (Trusted Platform Module) 24, a flash memory 25, an HDD (Hard Disk Drive) 26 a, an HDD 26 b, an operation panel 27, and a scanner 28 connected by a bus B. And a printer 29 and the like.

ROM21には、各種のプログラムやプログラムによって利用されるデータ等が記録されている。RAM22は、プログラムをロードするための記憶領域や、ロードされたプログラムのワーク領域等として用いられる。CPU23は、RAM22にロードされたプログラムを処理することにより、後述される機能を実現する。TPM24は、セキュアデバイスの一例であり、セキュリティチップとも呼ばれる。TPM24は、各機器20に対して固有のものであり、機器20より取り外されてしまうと機器20の起動はできなくなる。また、TPM24を取り外して他の機器20又はコンピュータによってTPM24の内容を読み込むことはできない。本実施の形態において、TPM24は、暗号鍵Aを生成し格納する。暗号鍵Aは、フラッシュメモリ25に記録されるデータやHDD26aを暗号化するために用いられる。フラッシュメモリ25全体が暗号鍵Aによって暗号化されていてもよい。なお、暗号鍵Aは、機器20ごとに固有のTPM24によって生成されるため、機器20ごとに異なるものとなる。   The ROM 21 stores various programs and data used by the programs. The RAM 22 is used as a storage area for loading a program, a work area for the loaded program, and the like. The CPU 23 realizes functions to be described later by processing a program loaded in the RAM 22. The TPM 24 is an example of a secure device and is also called a security chip. The TPM 24 is unique to each device 20, and if it is removed from the device 20, the device 20 cannot be activated. Further, the contents of the TPM 24 cannot be read by the other device 20 or the computer after the TPM 24 is removed. In the present embodiment, the TPM 24 generates and stores the encryption key A. The encryption key A is used to encrypt data recorded in the flash memory 25 and the HDD 26a. The entire flash memory 25 may be encrypted with the encryption key A. Note that the encryption key A is generated by the TPM 24 unique to each device 20, and therefore differs from device 20 to device 20.

フラッシュメモリ25は、書き換え可能な不揮発性のメモリ(ROM)である。本実施の形態では、暗号鍵Bを格納すると共に、プログラム11に含まれるプログラムファイル112のインストール先(保存先)の記憶手段として用いられる。暗号鍵Bは、図1における暗号鍵Bと同一の暗号鍵である。したがって、暗号鍵Bは、配布サーバ10よりダウンロードされるプログラム11に含まれるプログラムファイル112の復号に用いられる。   The flash memory 25 is a rewritable nonvolatile memory (ROM). In the present embodiment, the encryption key B is stored and used as a storage unit for the installation destination (save destination) of the program file 112 included in the program 11. The encryption key B is the same encryption key as the encryption key B in FIG. Therefore, the encryption key B is used to decrypt the program file 112 included in the program 11 downloaded from the distribution server 10.

HDD26aは、保存されるデータを自動的に暗号化し、読み出されるデータを自動的に復号する機能を有するHDDである。HDD26bは、暗号化機能を有さない又は暗号化機能が有効化されていないHDDである。したがって、HDD26bに保存されるデータは暗号化されない。なお、HDD26a及び26bを総称する場合、「HDD26」という。本実施の形態において、HDD26は、ダウンロードされたプログラム11に含まれるプログラムファイル112を保存するための記憶手段として用いられる。すなわち、本実施の形態では、フラッシュメモリ25、HDD26a、及びHDD26bが、プログラム11(プログラムファイル112)の保存先とされる複数種類の記憶媒体に相当する。HDD26は、また、機器20においてスキャンされた画像データや、ユーザ情報、又はアドレス帳情報等を格納するための記憶領域としても用いられる。なお、HDD26の代わりに、又はHDD26と併せてNVRAM(Non-volatile RAM)等を用いても良い。   The HDD 26a is an HDD having a function of automatically encrypting stored data and automatically decrypting read data. The HDD 26b is an HDD that does not have an encryption function or that has not been activated. Therefore, data stored in the HDD 26b is not encrypted. The HDDs 26a and 26b are collectively referred to as “HDD 26”. In the present embodiment, the HDD 26 is used as a storage unit for storing the program file 112 included in the downloaded program 11. That is, in the present embodiment, the flash memory 25, the HDD 26a, and the HDD 26b correspond to a plurality of types of storage media that are storage destinations of the program 11 (program file 112). The HDD 26 is also used as a storage area for storing image data scanned by the device 20, user information, address book information, and the like. An NVRAM (Non-volatile RAM) or the like may be used instead of the HDD 26 or in combination with the HDD 26.

操作パネル27は、ユーザからの入力の受け付けや、ユーザに対する情報の通知等を行うめのボタン、液晶パネル等を備えたハードウェアである。スキャナ28は、原稿より画像データを読み取るためのハードウェアである。プリンタは28、画像データを印刷用紙に印刷するためのハードウェアである。   The operation panel 27 is hardware including a button, a liquid crystal panel, and the like for receiving input from the user and notifying information to the user. The scanner 28 is hardware for reading image data from a document. The printer 28 is hardware for printing image data on printing paper.

図4は、本発明の実施の形態における機器の機能構成例を示す図である。同図において、機器20は、初期化部210及びインストール部220等を備える。同図における各部は、プログラムがCPU23に実行させる処理によって実現される。初期化部210は、機器20が工場より出荷される前に実行される初期化処理を制御する。初期化処理により、暗号鍵A及びBが機器20に格納される。インストール部220は、ダウンロード部221、保護レベル判定部222、フラッシュメモリ復号部223、プログラム復号部224、及び保存部225等より構成され、プログラム11のインストール処理を制御する。   FIG. 4 is a diagram illustrating a functional configuration example of the device according to the embodiment of the present invention. In the figure, the device 20 includes an initialization unit 210, an installation unit 220, and the like. Each unit in the figure is realized by processing that the program causes the CPU 23 to execute. The initialization unit 210 controls an initialization process that is executed before the device 20 is shipped from the factory. The encryption keys A and B are stored in the device 20 by the initialization process. The installation unit 220 includes a download unit 221, a protection level determination unit 222, a flash memory decryption unit 223, a program decryption unit 224, a storage unit 225, and the like, and controls the installation process of the program 11.

ダウンロード部221は、プログラム11を配布サーバ10よりダウンロード(受信)することにより、インストール(保存)対象とされたプログラム11の入力を受け付ける。保護レベル判定部222は、ダウンロードされたプログラム11の保護レベルを判定する。フラッシュメモリ復号部223は、TPM24に格納されている暗号鍵Aによって、フラッシュメモリ25に格納されている暗号鍵Bを復号する。プログラム復号部224は、フラッシュメモリ復号部223によって復号された暗号鍵Bによってプログラム11のプログラムファイル112を復号する。保存部225は、復号されたプログラムファイル112を当該プログラムの保護レベルに応じて、フラッシュメモリ25、HDD26a、又はHDD26bに記録(保存)する。なお、保護レベルと保存先との対応情報(以下、「保存先定義情報」という。)は、保存部225内にプログラムロジックとして定義されていてもよいし、容易に編集可能な外部ファイル等に定義されていてもよい。後者の場合、保護レベルの分類に変更があった場合や、保護レベルと保存先との対応関係に変更が有った場合に当該変更を容易に保存部225の動作に反映させることができる。なお、保存先定義情報は、プログラム炉実行として組み込まれている場合であっても、外部ファイル等に定義されている場合であっても記憶媒体に記録されている。   The download unit 221 receives (inputs) the program 11 from the distribution server 10, thereby receiving an input of the program 11 to be installed (saved). The protection level determination unit 222 determines the protection level of the downloaded program 11. The flash memory decryption unit 223 decrypts the encryption key B stored in the flash memory 25 with the encryption key A stored in the TPM 24. The program decryption unit 224 decrypts the program file 112 of the program 11 with the encryption key B decrypted by the flash memory decryption unit 223. The storage unit 225 records (saves) the decrypted program file 112 in the flash memory 25, the HDD 26a, or the HDD 26b according to the protection level of the program. The correspondence information between the protection level and the storage destination (hereinafter referred to as “storage destination definition information”) may be defined as program logic in the storage unit 225, or may be an easily editable external file or the like. May be defined. In the latter case, when the protection level classification is changed, or when the correspondence relationship between the protection level and the storage destination is changed, the change can be easily reflected in the operation of the storage unit 225. Note that the storage destination definition information is recorded on the storage medium whether it is incorporated as a program furnace execution or defined in an external file or the like.

以下、機器20の処理手順について説明する。図5は、機器の出荷前に実行される処理手順を説明するためのシーケンス図である。   Hereinafter, the processing procedure of the device 20 will be described. FIG. 5 is a sequence diagram for explaining a processing procedure executed before shipping the device.

機器20の工場出荷前において初期化指示が入力されると、初期化部210は、TPM24に対して暗号鍵Aの初期化命令を行う(S101)。TPM24は、ランダムに暗号鍵Aを生成し、生成された暗号鍵AをTPM24内に記録(格納)すると共に初期化部210に対して出力する(S102)。   When an initialization instruction is input before the device 20 is shipped from the factory, the initialization unit 210 issues an encryption key A initialization command to the TPM 24 (S101). The TPM 24 randomly generates the encryption key A, records (stores) the generated encryption key A in the TPM 24, and outputs it to the initialization unit 210 (S102).

続いて、暗号鍵Bが入力されると、初期化部210は、暗号鍵Bをフラッシュメモリ25に保存する(S103)。続いて、初期化部210は、フラッシュメモリ25全体、又はフラッシュメモリ25に保存された暗号鍵Bを暗号鍵Aを用いて暗号化する(S104)。続いて、初期化部210は、HDD26aを暗号鍵Aによって暗号化する(S105)。続いて、初期化部210は、出荷時においてインストールされるプログラム(初期プログラム)をHDD26aに保存する(S106)。ここで、HDD26aは、暗号鍵Aによって暗号化されている。したがって、初期プログラムは、HDD26aに保存される際に、自動的に暗号鍵Aによって暗号化される。   Subsequently, when the encryption key B is input, the initialization unit 210 stores the encryption key B in the flash memory 25 (S103). Subsequently, the initialization unit 210 encrypts the entire flash memory 25 or the encryption key B stored in the flash memory 25 using the encryption key A (S104). Subsequently, the initialization unit 210 encrypts the HDD 26a with the encryption key A (S105). Subsequently, the initialization unit 210 stores a program (initial program) installed at the time of shipment in the HDD 26a (S106). Here, the HDD 26a is encrypted with the encryption key A. Therefore, the initial program is automatically encrypted with the encryption key A when stored in the HDD 26a.

上述した処理より明らかなように、機器20には、工場出荷時において暗号鍵A及びBがTPM24又はフラッシュメモリ25に記録されている。また、暗号鍵Bは、工場出荷時において暗号鍵Aによって暗号化されている。   As is clear from the processing described above, the device 20 has the encryption keys A and B recorded in the TPM 24 or the flash memory 25 at the time of factory shipment. The encryption key B is encrypted with the encryption key A at the time of shipment from the factory.

続いて、出荷された機器20がユーザのオフィス等に設置された後、プログラム11が機器20にインストールされる際の処理手順について説明する。図6は、インストール部によるインストール処理の処理手順を説明するためのフローチャートである。また、図7は、プログラムインストール時の処理手順を説明するためのシーケンス図である。図6及び図において、同一ステップには同一ステップ番号を付している。   Next, a processing procedure when the program 11 is installed in the device 20 after the shipped device 20 is installed in the user's office or the like will be described. FIG. 6 is a flowchart for explaining the processing procedure of the installation processing by the installation unit. FIG. 7 is a sequence diagram for explaining a processing procedure at the time of program installation. In FIG.6 and FIG.6, the same step number is attached | subjected to the same step.

例えば、操作パネル27等を介してプログラム11のインストール指示が入力されると、ダウンロード部221は、指定されたプログラム11を配布サーバ10よりダウンロードし、プログラム11の電子署名113を用いて改竄の有無をチェックする(S201)。なお、プログラム11に含まれているプログラムファイル112は、暗号鍵Bによって暗号化された状態でダウンロードされる。   For example, when an installation instruction for the program 11 is input via the operation panel 27 or the like, the download unit 221 downloads the designated program 11 from the distribution server 10 and uses the electronic signature 113 of the program 11 to determine whether or not tampering has occurred. Is checked (S201). The program file 112 included in the program 11 is downloaded in a state encrypted with the encryption key B.

プログラム11が改竄されていない場合、以降の処理が実行される。まず、インストール部220の保護レベル判定部222は、プログラム11に格納されているヘッダファイル111を参照することによりプログラム11の保護レベルを判定し、その判定結果をRAM22上に記録する(S202)。保護レベルが「0」の場合(S203でYes)、保存部225は、保存先定義情報に基づいてプログラム11に格納されているプログラムファイル112をHDD26bに保存する(S204)。保護レベルが「0」の場合は、プログラムファイル112は暗号化されていない。また、HDD26bに保存されるデータは暗号化されない。したがって、この場合、プログラムファイル112は、暗号化されない状態で(平文のまま)HDD26bに保存される。   If the program 11 has not been tampered with, the subsequent processing is executed. First, the protection level determination unit 222 of the installation unit 220 determines the protection level of the program 11 by referring to the header file 111 stored in the program 11, and records the determination result on the RAM 22 (S202). When the protection level is “0” (Yes in S203), the storage unit 225 stores the program file 112 stored in the program 11 in the HDD 26b based on the storage destination definition information (S204). When the protection level is “0”, the program file 112 is not encrypted. Further, data stored in the HDD 26b is not encrypted. Therefore, in this case, the program file 112 is stored in the HDD 26b in an unencrypted state (in plain text).

一方、保護レベルが「0」以外の場合(S203でNo)、フラッシュメモリ復号部223は、TPM24より暗号鍵Aを取得し(S205)、暗号鍵Aによってフラッシュメモリ25を復号する(S206)。これにより、フラッシュメモリ25に格納されている全てのデータは復号される。   On the other hand, when the protection level is other than “0” (No in S203), the flash memory decryption unit 223 acquires the encryption key A from the TPM 24 (S205), and decrypts the flash memory 25 using the encryption key A (S206). As a result, all data stored in the flash memory 25 is decoded.

続いて、プログラム復号部224は、復号されたフラッシュメモリ25より暗号鍵Bを取得し(S207)、暗号鍵Bを用いてプログラムファイル112を復号する(S208)。なお、プログラムファイル112が、例えばzip形式等によって圧縮されている場合、又は書庫ファイル化されている場合、プログラム復号部224は、復号後にプログラム112を伸張又は展開する。続いて、保存部225は、復号されたプログラムファイル112を保存先定義情報に基づいて保護レベルに応じた保存場所に保存する。   Subsequently, the program decryption unit 224 acquires the encryption key B from the decrypted flash memory 25 (S207), and decrypts the program file 112 using the encryption key B (S208). Note that when the program file 112 is compressed in, for example, the zip format or is made into an archive file, the program decryption unit 224 decompresses or expands the program 112 after decryption. Subsequently, the storage unit 225 stores the decrypted program file 112 in a storage location corresponding to the protection level based on the storage destination definition information.

すなわち、保護レベルが「高」の場合(S209で「高」)、保存部225は、プログラムファイル112をフラッシュメモリ25に保存し(S210)、フラッシュメモリ25を暗号鍵Aで暗号化する(S211)。一方、保護レベルが「低」の場合、保存部225は、プログラムファイル112をHDD26aに保存する(S212)。ここで、HDD26aは、暗号鍵Aによって暗号化されているため、プログラムファイル112は自動的に暗号鍵Aによって暗号化されて保存される。   That is, when the protection level is “high” (“high” in S209), the storage unit 225 stores the program file 112 in the flash memory 25 (S210), and encrypts the flash memory 25 with the encryption key A (S211). ). On the other hand, when the protection level is “low”, the storage unit 225 stores the program file 112 in the HDD 26a (S212). Here, since the HDD 26a is encrypted with the encryption key A, the program file 112 is automatically encrypted with the encryption key A and stored.

このように、プログラム11は、その保護レベルに応じて情報の漏洩に関する安全性が異なる記録媒体のいずれかにインストールされる。この様子を概念的に示すと次ぎのようになる。図8は、保護レベルに応じたプログラムの機器へのインストールを概念的に示す図である。   As described above, the program 11 is installed on any of the recording media having different safety regarding information leakage according to the protection level. This is conceptually shown as follows. FIG. 8 is a diagram conceptually illustrating installation of a program in a device according to the protection level.

図8では、保護レベルが0のプログラム11aと、保護レベルが「高」のプログラム11bと、保護レベルが「低」のプログラム11cとが機器20にインストールされる様子が示されている。プログラム11aのプログラムファイル112aは、平文のままHDD26bに保存される。プログラム11bのプログラムファイル112bは、暗号鍵Bによって復号された後、フラッシュメモリ25に保存され、暗号鍵Aによって暗号化される。プログラム11cのプログラムファイル112cは、暗号鍵Bによって復号された後、HDD26aに保存され、暗号鍵Aによって暗号化される。   FIG. 8 shows a state in which the program 11a with the protection level 0, the program 11b with the protection level “high”, and the program 11c with the protection level “low” are installed in the device 20. The program file 112a of the program 11a is stored in the HDD 26b as plain text. The program file 112b of the program 11b is decrypted with the encryption key B, stored in the flash memory 25, and encrypted with the encryption key A. The program file 112c of the program 11c is decrypted with the encryption key B, stored in the HDD 26a, and encrypted with the encryption key A.

なお、保護レベルが「高」の場合の保存先をフラッシュメモリとしているのは、フラッシュメモリは、HDDに比べて機器20からの物理的な取り外しが困難であり、その分安全性が高いと考えられるからである。   Note that the flash memory is used as the storage destination when the protection level is “high”, and it is difficult to physically remove the flash memory from the device 20 as compared with the HDD, and thus the safety is high. Because it is.

ところで、保護レベルが「低」の場合であって、安全性よりも性能が優先される場合、保存部225は、プログラムファイル112をHDD26aに保存するのではなく(すなわち、暗号鍵Aで暗号された状態で保存するのではなく)、平文を難読化してHDD26bに保存するようにしてもよい。   By the way, when the protection level is “low” and the performance is prioritized over the safety, the storage unit 225 does not store the program file 112 in the HDD 26a (that is, it is encrypted with the encryption key A). The plain text may be obfuscated and stored in the HDD 26b.

図9は、保護レベルに応じてプログラムを難読化して保存する例を示す図である。図9中、図8と同一部分には同一符号を付している。図9では、プログラム11aのプログラムファイル112aが難読化されてHDD26bに保存される様子が示されている。この場合、プログラムファイル112aの利用時には、復号する必要がないため、暗号化による性能の劣化を防止することができる。   FIG. 9 is a diagram illustrating an example in which a program is obfuscated and stored according to the protection level. In FIG. 9, the same parts as those of FIG. FIG. 9 shows how the program file 112a of the program 11a is obfuscated and stored in the HDD 26b. In this case, when the program file 112a is used, it is not necessary to decrypt the program file 112a, so that it is possible to prevent performance degradation due to encryption.

上述したように、本実施の形態によれば、インストール対象とされるプログラム11は暗号化されて流通する。したがって、流通過程において解読される可能性を低減させることができる。特に、Java(登録商標)の中間コード(JARファイル等)は、解読が容易であり、このようなプログラムに対しては、より効果的にソースコードを保護することができる。また、機器20は、出荷前に予め格納された暗号鍵Bによって、インストール対象とされるプログラム11を復号する。したがって、暗号鍵Bは流通させる必要がなく、暗号鍵Bが盗まれる可能性を低減させることができる。   As described above, according to the present embodiment, the program 11 to be installed is encrypted and distributed. Therefore, it is possible to reduce the possibility of being decoded in the distribution process. In particular, intermediate codes (such as JAR files) of Java (registered trademark) are easy to decipher, and the source code can be protected more effectively against such programs. Further, the device 20 decrypts the program 11 to be installed with the encryption key B stored in advance before shipment. Therefore, it is not necessary to distribute the encryption key B, and the possibility that the encryption key B is stolen can be reduced.

また、暗号鍵Bは、セキュアデバイスに格納された暗号鍵Aによって暗号化された状態でフラッシュメモリ25に記録される。したがって、フラッシュメモリ25が取り出されたとしても、暗号鍵Bが解読される可能性を低減させることができる。   The encryption key B is recorded in the flash memory 25 in a state encrypted with the encryption key A stored in the secure device. Therefore, even if the flash memory 25 is taken out, the possibility that the encryption key B is decrypted can be reduced.

なお、フラッシュメモリに比べてよりセキュアなデバイスをフラッシュメモリ25の代わりに用いても良い。そうすることより、更に、暗号鍵Bをセキュアに管理することができる。斯かるデバイスの具体例としては、耐タンパ性を持ったメモリデバイスが挙げられる。すなわち、内部構造や取り扱っているデータ等の解析が困難であったり、外部からの不正なアクセス(分解して解析を試みる等)が有った場合に、デバイスそのものが回路的に破壊されるような、偽造、変造、改竄等を防止する手段が備えられているものである。   A device that is more secure than the flash memory may be used instead of the flash memory 25. By doing so, the encryption key B can be managed more securely. A specific example of such a device is a memory device having tamper resistance. In other words, if it is difficult to analyze the internal structure or the data being handled, or if there is unauthorized access from the outside (such as attempting to analyze by disassembling), the device itself will be destroyed in a circuit. In addition, a means for preventing forgery, alteration, tampering and the like is provided.

また、HDD26aに保存されるプログラム11は、暗号鍵Aによって暗号化される。したがって、HDD26aが取り出されたとしても、暗号鍵Aが入手されない限り、HDD26a内に保存されたプログラム11が解読される可能性を低減させることができる。ここで、暗号鍵Aは、TPM24に格納されている。したがって、その取り出しは非常に困難である。   The program 11 stored in the HDD 26a is encrypted with the encryption key A. Therefore, even if the HDD 26a is taken out, as long as the encryption key A is not obtained, the possibility that the program 11 stored in the HDD 26a is decrypted can be reduced. Here, the encryption key A is stored in the TPM 24. Therefore, the removal is very difficult.

なお、本実施の形態では、HDD26aは、自動的にその全体を暗号化する機能を有するものを用いた例を説明したが、斯かる機能を有さないHDDを用いても良い。この場合、保存する処理を実行する主体(保存部225)が、暗号鍵Aを入手し、その暗号鍵Aによってプログラム11や画像データ等を暗号化し、HDD26aに保存すればよい。   In the present embodiment, the HDD 26a has been described as having the function of automatically encrypting the entire HDD 26a. However, an HDD having no such function may be used. In this case, the main body (storing unit 225) that executes the storing process may obtain the encryption key A, encrypt the program 11, image data, and the like with the encryption key A and store them in the HDD 26a.

また、フラッシュメモリ25についても、フラッシュメモリ25を丸ごと暗号化及び復号するのではなく、フラッシュメモリ25に格納されるデータごと(暗号鍵Bやプログラムファイル112ごと)に暗号化及び復号を行うようにしてもよい。   The flash memory 25 is also encrypted and decrypted for each data (encryption key B and program file 112) stored in the flash memory 25, instead of encrypting and decrypting the entire flash memory 25. May be.

また、本実施の形態における機器10は、プログラム11の保護レベルに応じて保存先を選別する。これにより、保護レベルの高いプログラム11についてはよりセキュアに管理することができ、保護レベルの低いプログラム11については起動時の性能等を優先させることができる。また、保護する必要がないプログラム11は比較的安価なデバイスに保存することができるため、高価なデバイスの必要量を低下させることができ、機器10全体のコストダウンを図ることができる。   In addition, the device 10 according to the present embodiment selects a storage destination according to the protection level of the program 11. As a result, the program 11 with a high protection level can be managed more securely, and the performance at the time of startup or the like can be prioritized for the program 11 with a low protection level. Further, since the program 11 that does not need to be protected can be stored in a relatively inexpensive device, the necessary amount of the expensive device can be reduced, and the cost of the entire apparatus 10 can be reduced.

また、プログラム11は、必ずしもネットワークを介してダウンロードされなくてもよい。例えば、暗号鍵Bによって暗号化されたプログラム11が記録されたSDカードやCD−ROM等を介してプログラム11のインストールを行っても良い。   Moreover, the program 11 does not necessarily need to be downloaded via a network. For example, the program 11 may be installed via an SD card or a CD-ROM in which the program 11 encrypted with the encryption key B is recorded.

また、本実施の形態では、保護対象をプログラム11として説明したが、本発明は、電子データ全般の保護に対して有効である。すなわち、プログラム11を任意の電子データに置き換えて本実施の形態を実現してもよい。   Further, in the present embodiment, the protection target is described as the program 11, but the present invention is effective for the protection of the entire electronic data. That is, the present embodiment may be realized by replacing the program 11 with arbitrary electronic data.

また、セキュアデバイスは、TPMに限られない。機器20に取り付けられた状態でのみ正常に機能するもの、又は、取り外されたとしても格納している情報の読み出しが困難なものであれば他のデバイス(例えば、耐タンパ性のあるメモリデバイス)によって代替されてもよい。   Further, the secure device is not limited to the TPM. Other devices (for example, tamper-resistant memory devices) that function normally only when attached to the device 20 or have difficulty in reading stored information even if they are removed May be substituted.

以上、本発明の実施例について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。   As mentioned above, although the Example of this invention was explained in full detail, this invention is not limited to such specific embodiment, In the range of the summary of this invention described in the claim, various deformation | transformation・ Change is possible.

本発明の実施の形態におけるシステム構成例を示す図である。It is a figure which shows the system configuration example in embodiment of this invention. 本発明の実施の形態におけるプログラムのパッケージ構成例を示す図である。It is a figure which shows the package structural example of the program in embodiment of this invention. 本発明の実施の形態における機器のハードウェア構成例を示す図である。It is a figure which shows the hardware structural example of the apparatus in embodiment of this invention. 本発明の実施の形態における機器の機能構成例を示す図である。It is a figure which shows the function structural example of the apparatus in embodiment of this invention. 機器の出荷前に実行される処理手順を説明するためのシーケンス図である。It is a sequence diagram for demonstrating the processing procedure performed before shipment of an apparatus. インストール部によるインストール処理の処理手順を説明するためのフローチャートである。It is a flowchart for demonstrating the process sequence of the installation process by an installation part. プログラムインストール時の処理手順を説明するためのシーケンス図である。It is a sequence diagram for demonstrating the process sequence at the time of program installation. 保護レベルに応じたプログラムの機器へのインストールを概念的に示す図である。It is a figure which shows notionally the installation to the apparatus of the program according to a protection level. 保護レベルに応じてプログラムを難読化して保存する例を示す図である。It is a figure which shows the example which obfuscates and preserve | saves a program according to a protection level.

符号の説明Explanation of symbols

10 配布サーバ
20 機器
21 ROM
22 RAM
23 CPU
24 TPM
25 フラッシュメモリ
26、26a、26b HDD
27 操作パネル
28 スキャナ
29 プリンタ
30 ネットワーク
210 初期化部
220 インストール部
221 保護レベル判定部
222 ダウンロード部
223 フラッシュメモリ復号部
224 プログラム復号部
225 保存部
B バス 10 Distribution server 20 Device 21 ROM
22 RAM
23 CPU
24 TPM
25 Flash memory 26, 26a, 26b HDD
27 Operation Panel 28 Scanner 29 Printer 30 Network 210 Initialization Unit 220 Installation Unit 221 Protection Level Determination Unit 222 Download Unit 223 Flash Memory Decoding Unit 224 Program Decoding Unit 225 Storage Unit B Bus

Claims (10)

複数種類の記憶媒体を備えた画像形成装置であって
第一の暗号鍵が予め記録された暗号鍵記憶手段と、
保存対象とされた電子データの入力を受け付けるデータ入力手段と、
前記電子データを前記第一の暗号鍵によって復号する第一の復号手段と、
復号された前記電子データを、当該電子データに関連付けられた識別情報に対応する記憶媒体に保存する保存手段とを有することを特徴とする画像形成装置。 An image forming apparatus provided with a plurality of types of storage media, wherein an encryption key storage means in which a first encryption key is recorded in advance,
Data input means for receiving input of electronic data to be stored;
First decryption means for decrypting the electronic data with the first encryption key;
An image forming apparatus comprising: a storage unit configured to store the decrypted electronic data in a storage medium corresponding to identification information associated with the electronic data. 前記第一の暗号鍵は、第二の暗号鍵によって暗号化されて前記暗号鍵記憶手段に記録されており、
前記第二の暗号鍵が記録されたセキュアデバイスと、
前記第二の暗号鍵によって前記第一の暗号鍵を復号する第二の復号手段とを有し、
前記第一の復号手段は、復号された前記第一の暗号鍵によって前記電子データを復号することを特徴とする請求項1記載の画像形成装置。 The first encryption key is encrypted with a second encryption key and recorded in the encryption key storage means,
A secure device in which the second encryption key is recorded;
Second decryption means for decrypting the first encryption key with the second encryption key,
The image forming apparatus according to claim 1, wherein the first decryption unit decrypts the electronic data with the decrypted first encryption key. 前記保存手段は、前記識別情報に応じて前記電子データを暗号化して保存することを特徴とする請求項1又は2記載の画像形成装置。   The image forming apparatus according to claim 1, wherein the storage unit encrypts and stores the electronic data according to the identification information. 前記保存手段は、前記識別情報に応じて前記電子データを前記第二の暗号鍵で暗号化して保存することを特徴とする請求項3記載の画像形成装置。   4. The image forming apparatus according to claim 3, wherein the storage unit encrypts and stores the electronic data with the second encryption key in accordance with the identification information. 前記複数種類の記憶媒体は、情報の漏洩に関する安全性が異なることを特徴とする請求項1乃至4いずれか一項記載のデータ管理方法。   The data management method according to any one of claims 1 to 4, wherein the plurality of types of storage media have different security regarding information leakage. 複数種類の記憶媒体と第一の暗号鍵が予め記録された暗号鍵記憶手段とを備えた画像形成装置が実行するデータ管理方法であって
保存対象とされた電子データの入力を受け付けるデータ入力手順と、
前記電子データを前記第一の暗号鍵によって復号する第一の復号手順と、
復号された前記電子データを、当該電子データに関連付けられた識別情報に対応する記憶媒体に保存する保存手順とを有することを特徴とするデータ管理方法。 A data management method executed by an image forming apparatus having a plurality of types of storage media and an encryption key storage means in which a first encryption key is recorded in advance, and a data input procedure for receiving input of electronic data to be stored When,
A first decryption procedure for decrypting the electronic data with the first encryption key;
A data management method comprising: storing the decrypted electronic data in a storage medium corresponding to identification information associated with the electronic data. 前記第一の暗号鍵は、前記画像形成装置が備えるセキュアデバイスに記録された第二の暗号鍵によって暗号化されて前記暗号鍵記憶手段に記録されており、
前記第二の暗号鍵によって前記第一の暗号鍵を復号する第二の復号手順を有し、
前記第一の復号手順は、復号された前記第一の暗号鍵によって前記電子データを復号することを特徴とする請求項6記載のデータ管理方法。 The first encryption key is encrypted by a second encryption key recorded in a secure device included in the image forming apparatus and recorded in the encryption key storage unit,
A second decryption procedure for decrypting the first encryption key with the second encryption key;
The data management method according to claim 6, wherein the first decryption procedure decrypts the electronic data with the decrypted first encryption key. 前記保存手順は、前記識別情報に応じて前記電子データを暗号化して保存することを特徴とする請求項6又は7記載のデータ管理方法。   8. The data management method according to claim 6, wherein the storing procedure encrypts and stores the electronic data according to the identification information. 前記保存手順は、前記識別情報に応じて前記電子データを前記第二の暗号鍵で暗号化して保存することを特徴とする請求項8記載のデータ管理方法。   9. The data management method according to claim 8, wherein the storing procedure encrypts and stores the electronic data with the second encryption key according to the identification information. 前記複数種類の記憶媒体は、情報の漏洩に関する安全性が異なることを特徴とする請求項6乃至9いずれか一項記載のデータ管理方法。   The data management method according to any one of claims 6 to 9, wherein the plurality of types of storage media have different security regarding information leakage.
JP2008016574A 2008-01-28 2008-01-28 Image forming apparatus and data management method Expired - Fee Related JP4960896B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008016574A JP4960896B2 (en) 2008-01-28 2008-01-28 Image forming apparatus and data management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008016574A JP4960896B2 (en) 2008-01-28 2008-01-28 Image forming apparatus and data management method

Publications (2)

Publication Number Publication Date
JP2009177718A true JP2009177718A (en) 2009-08-06
JP4960896B2 JP4960896B2 (en) 2012-06-27

Family

ID=41032297

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008016574A Expired - Fee Related JP4960896B2 (en) 2008-01-28 2008-01-28 Image forming apparatus and data management method

Country Status (1)

Country Link
JP (1) JP4960896B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009194729A (en) * 2008-02-15 2009-08-27 Ricoh Co Ltd Image forming device and data managing method

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007179317A (en) * 2005-12-28 2007-07-12 Nec Electronics Corp Microcomputer, program writing method to microcomputer, and writing processing system
JP2007220070A (en) * 2006-01-18 2007-08-30 Pfu Ltd Object equipment, equipment control system, equipment control method, and external device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007179317A (en) * 2005-12-28 2007-07-12 Nec Electronics Corp Microcomputer, program writing method to microcomputer, and writing processing system
JP2007220070A (en) * 2006-01-18 2007-08-30 Pfu Ltd Object equipment, equipment control system, equipment control method, and external device

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009194729A (en) * 2008-02-15 2009-08-27 Ricoh Co Ltd Image forming device and data managing method

Also Published As

Publication number Publication date
JP4960896B2 (en) 2012-06-27

Similar Documents

Publication Publication Date Title
JP5116325B2 (en) Information processing apparatus, software update method, and image processing apparatus
US9965268B2 (en) Method and apparatus for preventing software version rollback
JP5369502B2 (en) Device, management device, device management system, and program
JP5599557B2 (en) Information processing apparatus, license determination method, program, and recording medium
JP4903071B2 (en) Information processing apparatus, software update method, and image processing apparatus
JP4991592B2 (en) Software alteration detection method, software alteration detection program and device
US9576132B2 (en) Information processing apparatus and information processing method
JP2007148962A (en) Subprogram, information processor for executing subprogram, and program control method in information processor for executing subprogram
JP5255991B2 (en) Information processing apparatus and computer program
JP2019114028A (en) Application development environment program and device
JP2009059008A (en) File management system
JP2009301429A (en) Method and apparatus for detecting software falsification, and image processor
JP2007148806A (en) Application start restriction method and application start restriction program
JP4960896B2 (en) Image forming apparatus and data management method
JP5617981B2 (en) Device, management device, device management system, and program
JP5582231B2 (en) Information processing apparatus, authenticity confirmation method, and recording medium
JP5387724B2 (en) Software alteration detection method, software alteration detection program and device
JP5151531B2 (en) Image forming apparatus and data management method
JP2008234079A (en) Information processor, software correctness notifying method and image processor
JP5078580B2 (en) Data management apparatus and data management method
JP2021005337A (en) Information processing apparatus, information processing method, and program
KR101266411B1 (en) Method of copy protect for digital device and apparatus thereof
WO2024101156A1 (en) Program management device, program management method, and computer-readable recording medium
US11971991B2 (en) Information processing apparatus, control method for controlling the same and storage medium
JP4827395B2 (en) Information processing apparatus and data management method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100902

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111125

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120125

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120228

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120323

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150330

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4960896

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees