JP2012146338A - Software alteration detection method, software alteration detection program, and equipment - Google Patents

Software alteration detection method, software alteration detection program, and equipment Download PDF

Info

Publication number
JP2012146338A
JP2012146338A JP2012105954A JP2012105954A JP2012146338A JP 2012146338 A JP2012146338 A JP 2012146338A JP 2012105954 A JP2012105954 A JP 2012105954A JP 2012105954 A JP2012105954 A JP 2012105954A JP 2012146338 A JP2012146338 A JP 2012146338A
Authority
JP
Japan
Prior art keywords
software
installation
configuration information
software configuration
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012105954A
Other languages
Japanese (ja)
Other versions
JP5387724B2 (en
Inventor
Fumiyuki Yoshida
文幸 吉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2012105954A priority Critical patent/JP5387724B2/en
Publication of JP2012146338A publication Critical patent/JP2012146338A/en
Application granted granted Critical
Publication of JP5387724B2 publication Critical patent/JP5387724B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide a software alteration detection method, a software alteration detection program, and equipment that easily detect an alteration of installed software and an alteration of software configuration.SOLUTION: There is provided a software alteration detection method in which equipment 1 detects an alteration of an installed software 11, the method including: a storage step in which installation means encrypts software configuration information on the equipment 1 during installation by utilizing an encryption/decryption device 26 characteristic of the equipment, and saves the software configuration information outside the equipment 1; a decryption step in which alteration detection means 46 decrypts software configuration information on the equipment at the time of installation stored outside the equipment utilizing the encryption/decryption device 26 characteristic of the equipment; and a detection step in which the alteration detection means 46 compares pieces of software configuration information on the equipment at the time of installation and at present with each other and detects an alteration of the software 11.

Description

本発明は、ソフトウェア改ざん検知方法、ソフトウェア改ざん検知プログラム及び機器に係り、特に搭載されているソフトウェアの改ざんを検知するソフトウェア改ざん検知方法、ソフトウェア改ざん検知プログラム及び機器に関する。   The present invention relates to a software tampering detection method, a software tampering detection program, and a device, and more particularly to a software tampering detection method, a software tampering detection program, and a device that detect tampering of installed software.

例えば機器に搭載されているファームウェア(ソフトウェア)の改ざん検知方法としては従来からハッシュ値による改ざん検知方法が良く知られている(例えば特許文献1乃至3参照)。   For example, as a method for detecting falsification of firmware (software) installed in a device, conventionally, a falsification detection method using a hash value is well known (see, for example, Patent Documents 1 to 3).

従来のハッシュ値による改ざん検知方法は、ファームウェアを機器へインストールするときに、そのファームウェアのハッシュ値を計算し、機器の二次記憶装置に予め保存しておく。そして、機器の起動時、従来のハッシュ値による改ざん検知方法はファームウェアのハッシュ値を再計算し、二次記憶装置に予め保存してあるハッシュ値と比較して不一致であれば改ざんがなされたものと判定し、異常時の処理を行っていた。   In the conventional falsification detection method using a hash value, when the firmware is installed in the device, the hash value of the firmware is calculated and stored in advance in the secondary storage device of the device. And, when the device starts up, the conventional method of detecting falsification by hash value recalculates the hash value of the firmware, and if it does not match the hash value stored in the secondary storage device, it has been falsified It was determined that the process was abnormal.

従来のハッシュ値による改ざん検知方法は確かにファームウェア自体になされた改ざんを検知できる。しかし、従来のハッシュ値による改ざん検知方法はファームウェアとともに機器の二次記憶装置等に保存してあるハッシュ値も改ざんされると、ファームウェアの改ざんを検知できないという問題があった。   The conventional falsification detection method using a hash value can certainly detect falsification performed on the firmware itself. However, the conventional falsification detection method using hash values has a problem in that falsification of firmware cannot be detected if the hash values stored in the secondary storage device of the device are also falsified.

また、従来のハッシュ値による改ざん検知方法はファームウェアとともに機器の二次記憶装置等に保存してあるハッシュ値も削除されると、ファームウェアの削除を検知できないという問題があった。上記問題は、ハッシュ値が個々のファームウェアの改ざんを検知できても機器全体のファームウェアの構成が変更されたことを検知できないことに起因するものである。   Further, the conventional falsification detection method using a hash value has a problem that the deletion of the firmware cannot be detected if the hash value stored in the secondary storage device of the device is deleted together with the firmware. The above problem is due to the fact that even if the hash value can detect the falsification of individual firmware, it cannot be detected that the firmware configuration of the entire device has been changed.

ファームウェアとともに機器の二次記憶装置等に保存してあるハッシュ値も改ざんされるとファームウェアの改ざんを検知できないという上記問題については機器内に暗号/復号鍵を用意し、機器の二次記憶装置等に保存するハッシュ値を暗号化しておくことでハッシュ値の改ざんを防ぐことも考えられる。   For the above problem that if the hash value stored in the secondary storage device of the device along with the firmware is also tampered with, the tampering of the firmware cannot be detected. An encryption / decryption key is prepared in the device, the secondary storage device of the device, etc. It may be possible to prevent the hash value from being falsified by encrypting the hash value to be stored in the file.

しかし、暗号/復号鍵が機器の二次記憶装置等に保存されるため、機器の二次記憶装置等に保存するハッシュ値を暗号化しておく改ざん検知方法は、悪意の第三者が、機器の二次記憶装置等から復号鍵を不正に入手し、暗号化されたハッシュ値を復号可能という問題が残されている。   However, since the encryption / decryption key is stored in the secondary storage device of the device, the falsification detection method for encrypting the hash value stored in the secondary storage device of the device is There remains a problem that the decryption key can be obtained illegally from the secondary storage device or the like, and the encrypted hash value can be decrypted.

このように、従来のハッシュ値による改ざん検知方法は機器内に保存したハッシュ値の改ざんに対して無力であった。また、従来のハッシュ値による改ざん検知方法は機器全体のファームウェアの構成の改ざんに対して無力であった。さらに、従来のハッシュ値による改ざん検知方法は、改ざんを防ぐ為の暗号化によっても、上記のハッシュ値の改ざんや機器全体のファームウェアの構成の改ざんを完全に検知できるものではなかった。   Thus, the conventional falsification detection method using hash values is ineffective against falsification of hash values stored in the device. Further, the conventional falsification detection method using a hash value is ineffective against falsification of the firmware configuration of the entire device. Further, the conventional falsification detection method using hash values cannot completely detect the falsification of the hash values or the firmware configuration of the entire device even by encryption for preventing falsification.

本発明は上記の点に鑑みなされたもので、搭載されているソフトウェアの改ざんとソフトウェア構成の改ざんとを容易に検知可能なソフトウェア改ざん検知方法、ソフトウェア改ざん検知プログラム及び機器を提供することを目的とする。   The present invention has been made in view of the above points, and an object thereof is to provide a software tampering detection method, a software tampering detection program, and a device that can easily detect tampering of installed software and tampering of software configuration. To do.

上記課題を解決するため、本発明は、機器に搭載されているソフトウェアの改ざんを前記機器が検知するソフトウェア改ざん検知方法であって、前記ソフトウェアをインストールするインストール手段が、前記機器に固有の暗号化復号装置を利用し、インストール時における前記機器のソフトウェア構成情報を暗号化して前記機器の外部に保存する保存ステップと、前記ソフトウェアの改ざんを検知する改ざん検知手段が、前記機器の外部に保存したインストール時における前記機器のソフトウェア構成情報を、前記機器に固有の暗号化復号装置を利用して復号する復号ステップと、前記改ざん検知手段が、インストール時における前記機器のソフトウェア構成情報と現在の前記機器のソフトウェア構成情報とを比較し、前記ソフトウェアの改ざんを検知する検知ステップとを有することを特徴とする。   In order to solve the above-described problem, the present invention provides a software tampering detection method in which the device detects tampering of software installed in the device, wherein the installation means for installing the software is an encryption unique to the device. A storage step of encrypting software configuration information of the device at the time of installation by using a decryption device and storing it outside the device, and an installation stored by the tamper detection means for detecting tampering of the software stored outside the device A decryption step of decrypting the software configuration information of the device at the time using an encryption / decryption device unique to the device, and the tampering detection means includes the software configuration information of the device at the time of installation and the current device Compare the software configuration information and the software And having a detection step for detecting a residual.

また、本発明は、搭載されているソフトウェアの改ざんを検知する機器に、前記ソフトウェアをインストールするインストール手段が、前記機器に固有の暗号化復号装置を利用し、インストール時における前記機器のソフトウェア構成情報を暗号化して前記機器の外部に保存する保存ステップと、前記ソフトウェアの改ざんを検知する改ざん検知手段が、前記機器の外部に保存したインストール時における前記機器のソフトウェア構成情報を、前記機器に固有の暗号化復号装置を利用して復号する復号ステップと、前記改ざん検知手段が、インストール時における前記機器のソフトウェア構成情報と現在の前記機器のソフトウェア構成情報とを比較し、前記ソフトウェアの改ざんを検知する検知ステップとを実行させるためのソフトウェア改ざん検知プログラムであることを特徴とする。   Further, the present invention provides the software configuration information of the device at the time of installation, in which the installation means for installing the software in a device that detects tampering of the installed software uses an encryption / decryption device unique to the device. A step of encrypting and storing the software configuration information of the device at the time of installation stored outside the device by a tampering detection unit that detects tampering of the software The decryption step of decrypting using the encryption / decryption device, and the tampering detection means detect the tampering of the software by comparing the software configuration information of the device at the time of installation with the current software configuration information of the device Software modification to execute detection steps And wherein the N is a detection program.

また、本発明は、搭載されているソフトウェアの改ざんを検知する機器であって、前記機器に固有の暗号化復号装置と、前記ソフトウェアをインストールするインストール手段と、前記ソフトウェアの改ざんを検知する改ざん検知手段とを有し、前記インストール手段は、前記機器に固有の暗号化復号装置を利用し、インストール時における前記機器のソフトウェア構成情報を暗号化して前記機器の外部に保存し、前記改ざん検知手段は、前記機器の外部に保存したインストール時における前記機器のソフトウェア構成情報を前記機器に固有の暗号化復号装置を利用して復号し、前記インストール時における前記機器のソフトウェア構成情報と現在の前記機器のソフトウェア構成情報とを比較して、前記ソフトウェアの改ざんを検知することを特徴とする。   The present invention also relates to a device for detecting tampering of installed software, an encryption / decryption device unique to the device, installation means for installing the software, and tampering detection for detecting tampering with the software. The installation means uses an encryption / decryption device unique to the device, encrypts the software configuration information of the device at the time of installation and stores it outside the device, and the tamper detection means The device software configuration information stored at the time of installation stored outside the device is decrypted using an encryption / decryption device unique to the device, and the software configuration information of the device at the time of installation and the current device information Compare software configuration information to detect tampering with the software And features.

なお、本発明の構成要素、表現または構成要素の任意の組合せを、方法、装置、システム、コンピュータプログラム、記録媒体、データ構造などに適用したものも本発明の態様として有効である。   In addition, what applied the component, expression, or arbitrary combination of the component of this invention to a method, an apparatus, a system, a computer program, a recording medium, a data structure, etc. is also effective as an aspect of this invention.

本発明によれば、搭載されているソフトウェアの改ざんとソフトウェア構成の改ざんとを容易に検知可能なソフトウェア改ざん検知方法、ソフトウェア改ざん検知プログラム及び機器を提供可能である。   According to the present invention, it is possible to provide a software tampering detection method, a software tampering detection program, and a device that can easily detect tampering of installed software and tampering of software configuration.

本実施例の複合機を表した一例の構成図である。1 is a configuration diagram illustrating an example of a multifunction machine according to an embodiment. 機器に固有の暗号化復号装置の特徴について説明する為の模式図である。It is a schematic diagram for demonstrating the characteristic of the encryption / decryption apparatus intrinsic | native to an apparatus. 機器に固有の暗号化復号装置がある場合の暗号化データ保存方法について説明する為の模式図である。It is a schematic diagram for demonstrating the encryption data preservation | save method in case there exists an encryption / decryption apparatus intrinsic | native to an apparatus. 機器に固有の暗号化復号装置がある場合の暗号化データ復号方法について説明する為のシーケンス図である。It is a sequence diagram for demonstrating the encryption data decoding method in case there exists an encryption / decryption apparatus intrinsic | native to an apparatus. 本実施例の複合機にファームウェアを書き込む処理を説明する為のブロック図である。FIG. 6 is a block diagram for explaining a process of writing firmware into the multifunction peripheral according to the embodiment. 本実施例の複合機にファームウェアを書き込む処理を説明する為のシーケンス図である。FIG. 6 is a sequence diagram for explaining a process of writing firmware into the multifunction peripheral according to the embodiment. 本実施例の複合機に搭載されているファームウェアの改ざんを検知する処理を説明する為のシーケンス図である。FIG. 6 is a sequence diagram for explaining processing for detecting falsification of firmware installed in the multifunction peripheral according to the embodiment. 実施例1の複合機を表した一例の構成図である。1 is a configuration diagram illustrating an example of a multifunction machine according to a first embodiment. 実施例1の複合機にファームウェアを書き込む処理を説明する為のブロック図である。3 is a block diagram for explaining a process of writing firmware into the multifunction machine according to the first embodiment. FIG. 実施例1の複合機にファームウェアを書き込む処理を説明する為のシーケンス図である。FIG. 6 is a sequence diagram for explaining a process of writing firmware to the multifunction machine according to the first embodiment. バージョンファイルの暗号化処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the encryption process of a version file. 実施例1の複合機におけるファームウェアの改ざんを検知する処理を説明する為のフローチャートである。6 is a flowchart for explaining processing for detecting firmware tampering in the multifunction peripheral according to the first embodiment. 改ざんを検知したときにオペレーションパネルに表示される画面の一例を表したイメージ図である。It is an image figure showing an example of a screen displayed on an operation panel when tampering is detected. 改ざんを検知しないときにオペレーションパネルに表示される画面の一例を表したイメージ図である。FIG. 10 is an image diagram illustrating an example of a screen displayed on the operation panel when tampering is not detected. 改ざんを検知したときにオペレーションパネルに表示される画面の一例を表したイメージ図である。It is an image figure showing an example of a screen displayed on an operation panel when tampering is detected. 実施例2の複合機を表した一例の構成図である。FIG. 6 is a configuration diagram of an example illustrating a multifunction machine according to a second embodiment. 実施例2の複合機にファームウェアを書き込む処理を説明する為のブロック図である。FIG. 10 is a block diagram for explaining a process of writing firmware into the multifunction machine according to the second embodiment. 実施例2の複合機にファームウェアを書き込む処理を説明する為のシーケンス図である。FIG. 10 is a sequence diagram for explaining a process of writing firmware into the multifunction machine according to the second embodiment. ファイル構成スナップショットの暗号化処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the encryption process of a file structure snapshot. 実施例2の複合機におけるファームウェアの改ざんを検知する処理を説明する為のフローチャートである。12 is a flowchart for explaining processing for detecting firmware tampering in the multifunction peripheral according to the second embodiment.

次に、本発明を実施する為の最良の形態を、以下の実施例に基づき図面を参照しつつ説明していく。なお、本実施例では搭載されているソフトウェアの改ざんを検知する機器の一例として複合機を例に説明するが、ソフトウェア(ファームウェア)が搭載された組み込み機器等、如何なる機器であってもよい。   Next, the best mode for carrying out the present invention will be described based on the following embodiments with reference to the drawings. In the present embodiment, a multifunction peripheral is described as an example of a device that detects tampering of installed software. However, any device such as an embedded device in which software (firmware) is installed may be used.

図1は本実施例の複合機を表した一例の構成図である。図1の複合機1は種々のハードウェア10と、種々のソフトウェア11と、複合機起動部12とを含む構成である。   FIG. 1 is a block diagram showing an example of a multifunction machine according to this embodiment. The multifunction device 1 of FIG. 1 includes various hardware 10, various software 11, and a multifunction device activation unit 12.

ハードウェア10はプロッタ21と、スキャナ22と、その他のハードウェアリソース23と、外部二次記憶装置I/F(インターフェース)24と、ネットワークI/F25と、機器に固有の暗号化復号装置26と、機器の二次記憶装置27とを含む構成である。   The hardware 10 includes a plotter 21, a scanner 22, other hardware resources 23, an external secondary storage device I / F (interface) 24, a network I / F 25, and a device-specific encryption / decryption device 26. And a secondary storage device 27 of the device.

外部二次記憶装置I/F24は、例えばSDカードを外部から接続する為のSDカードスロットのように何らかの二次記憶装置を外部から接続するI/Fである。ネットワークI/F25は例えばインターネットやLAN等のネットワーク経由で外部サーバ等の二次記憶装置に接続するI/Fである。機器に固有の暗号化復号装置26は、例えばセキュリティチップであるTPM(Trusted Platform Module)により実現される。なお、機器に固有の暗号化復号装置26の詳細は後述する。   The external secondary storage device I / F 24 is an I / F that connects any secondary storage device from the outside, such as an SD card slot for connecting an SD card from the outside. The network I / F 25 is an I / F connected to a secondary storage device such as an external server via a network such as the Internet or a LAN. The encryption / decryption device 26 unique to the device is realized by, for example, a TPM (Trusted Platform Module) that is a security chip. Details of the encryption / decryption device 26 unique to the device will be described later.

ソフトウェア11は、種々のアプリケーション31と、プラットフォーム32と、汎用OS(オペレーティングシステム)33とを含む構成である。種々のアプリケーション31とプラットフォーム32とを構成するプログラムは、UNIX(登録商標)等の汎用OS33によりプロセス単位で並列的に実行される。   The software 11 is configured to include various applications 31, a platform 32, and a general-purpose OS (operating system) 33. Programs constituting the various applications 31 and the platform 32 are executed in parallel on a process basis by a general-purpose OS 33 such as UNIX (registered trademark).

アプリケーション31は、プリンタアプリ41と、コピーアプリ42と、ファックスアプリ43と、スキャナアプリ44と、ネットファイルアプリ45と、改ざん検知アプリ46と、RRUアプリ47と、SDKアプリ48と、サードベンダのSDKアプリ49とを含む構成である。SDKアプリ48とサードベンダのSDKアプリ49とは、専用のSDK(ソフトウェア開発キット)を使用して開発されたプログラムである。なお、改ざん検知アプリ46の詳細は後述する。   The application 31 includes a printer application 41, a copy application 42, a fax application 43, a scanner application 44, a net file application 45, a falsification detection application 46, an RRU application 47, an SDK application 48, and a third-party SDK. The configuration includes an application 49. The SDK application 48 and the third-party SDK application 49 are programs developed using a dedicated SDK (software development kit). Details of the alteration detection application 46 will be described later.

プラットフォーム32は種々のコントロールサービス51とSRM(システムリソースマネージャ)52とを含む構成である。また、コントロールサービス51はECS(エンジンコントロールサービス)53と、MCS(メモリコントロールサービス)54と、OCS(オペレーションパネルコントロールサービス)55と、FCS(ファクシミリコントロールサービス)56と、NCS(ネットワークコントロールサービス)57と、SCS(システムコントロールサービス)58とを含む構成である。なお、プラットフォーム32を構成するプログラムの詳細は例えば特開2002−84383号公報に記載されている為、説明を省略する。   The platform 32 includes various control services 51 and an SRM (system resource manager) 52. The control service 51 includes an ECS (engine control service) 53, an MCS (memory control service) 54, an OCS (operation panel control service) 55, an FCS (facsimile control service) 56, and an NCS (network control service) 57. And SCS (system control service) 58. Note that details of the program configuring the platform 32 are described in, for example, Japanese Patent Application Laid-Open No. 2002-84383, and thus description thereof is omitted.

複合機起動部12は、複合機1の電源投入時に最初に実行される。これにより、複合機1では汎用OS33が起動され、アプリケーション31やプラットフォーム32が起動される。種々のアプリケーション31とプラットフォーム32とを構成するプログラムはHDD(ハードディスクドライブ)やメモリカード等の機器の二次記憶装置27に記憶されており、HDDやメモリカードから読み出されて、メモリ上で起動されることになる。   The multifunction machine starting unit 12 is executed first when the multifunction machine 1 is powered on. As a result, the general-purpose OS 33 is activated in the multifunction machine 1 and the application 31 and the platform 32 are activated. Programs constituting various applications 31 and the platform 32 are stored in a secondary storage device 27 of a device such as an HDD (hard disk drive) or a memory card, and are read from the HDD or the memory card and activated on the memory. Will be.

図2は機器に固有の暗号化復号装置の特徴について説明する為の模式図である。機器に固有の暗号化復号装置26は、ルート鍵61と、二つのI/F62,63とを含む構成である。ルート鍵61は、機器に固有の暗号化復号装置26から取り出すことのできない暗号/復号鍵である。機器に固有の暗号化復号装置26は、ルート鍵61を用いた暗号化復号処理機能を有する。   FIG. 2 is a schematic diagram for explaining the characteristics of the encryption / decryption device unique to the device. The encryption / decryption device 26 unique to the device has a configuration including a root key 61 and two I / Fs 62 and 63. The root key 61 is an encryption / decryption key that cannot be extracted from the encryption / decryption device 26 unique to the device. The encryption / decryption device 26 unique to the device has an encryption / decryption processing function using the root key 61.

I/F62は平文データをルート鍵61で暗号化して返すI/Fである。I/F63は暗号化された平文データをルート鍵61で復号して返すI/Fである。なお、機器に固有の暗号化復号装置26はハードウェアが基板に直付けされており、且つ、取り外して別の機器に取り付けても利用できない。   The I / F 62 is an I / F that returns plaintext data encrypted with the root key 61. The I / F 63 is an I / F that decrypts the encrypted plaintext data with the root key 61 and returns it. Note that the encryption / decryption device 26 unique to the device has hardware directly attached to the board and cannot be used even if it is removed and attached to another device.

図3は機器に固有の暗号化復号装置がある場合の暗号化データ保存方法について説明する為の模式図である。機器の二次記憶装置27にはルート鍵61で暗号化済の暗号/復号鍵と、暗号鍵で暗号化済の暗号化データとが記憶されている。機器の二次記憶装置27に記憶されている暗号化データは、図4のシーケンス図に示す処理手順に従い復号されて利用される。   FIG. 3 is a schematic diagram for explaining an encrypted data storage method in a case where there is an encryption / decryption device unique to a device. The secondary storage device 27 of the device stores an encryption / decryption key encrypted with the root key 61 and encrypted data encrypted with the encryption key. The encrypted data stored in the secondary storage device 27 of the device is decrypted and used in accordance with the processing procedure shown in the sequence diagram of FIG.

図4は、機器に固有の暗号化復号装置がある場合の暗号化データ復号方法について説明する為のシーケンス図である。なお、以下の説明では、暗号化されたデータを「データ名称+BLOB」と言う。例えば暗号化された暗号/復号鍵は、鍵BLOBと言う。   FIG. 4 is a sequence diagram for explaining a method for decrypting encrypted data when there is an encryption / decryption device unique to the device. In the following description, the encrypted data is referred to as “data name + BLOB”. For example, an encrypted encryption / decryption key is referred to as a key BLOB.

ステップS1に進み、データを使うソフト71は、鍵BLOBを機器に固有の暗号化復号装置26に送信し、ルート鍵61で復号させる。ステップS2に進み、機器に固有の暗号化復号装置26は、鍵BLOBから復号した復号鍵を、データを使うソフト71に送信する。ステップS3に進み、データを使うソフト71は受信した復号鍵で暗号化データを復号する。   In step S 1, the software 71 using data transmits the key BLOB to the encryption / decryption device 26 unique to the device, and decrypts it with the root key 61. In step S2, the encryption / decryption device 26 unique to the device transmits the decryption key decrypted from the key BLOB to the software 71 that uses the data. In step S3, the software 71 using the data decrypts the encrypted data with the received decryption key.

図3に示した暗号化データ保存方法は、機器の二次記憶装置27をまるごと取り外して別の機器に移動しても機器の二次記憶装置27に記憶されている鍵BLOBを復号できないため、暗号化データの解読もできない。また、図3に示した暗号化データ保存方法は機器に固有の暗号化復号装置26からルート鍵61を取り出すことができない為、ルート鍵61を盗まれる危険もない。   The encrypted data storage method shown in FIG. 3 cannot decrypt the key BLOB stored in the device secondary storage device 27 even if the entire device secondary storage device 27 is removed and moved to another device. The encrypted data cannot be decrypted. In addition, since the encrypted data storage method shown in FIG. 3 cannot extract the root key 61 from the encryption / decryption device 26 unique to the device, there is no risk of the root key 61 being stolen.

なお、機器に固有の暗号化復号装置がない場合の従来の暗号化データ保存方法では、暗号/復号鍵と暗号化データとが両方、機器の二次記憶装置27に記憶されている為、機器の二次記憶装置27をまるごと取り外して別の機器に移動すると、機器の二次記憶装置27に記憶されている復号鍵で暗号化データを解読できてしまう。   In the conventional encrypted data storage method when there is no encryption / decryption device unique to the device, both the encryption / decryption key and the encrypted data are stored in the secondary storage device 27 of the device. If the entire secondary storage device 27 is removed and moved to another device, the encrypted data can be decrypted with the decryption key stored in the secondary storage device 27 of the device.

図5は本実施例の複合機にファームウェアを書き込む処理を説明する為のブロック図である。なお、図5のブロック図は説明に不要な部分を適宜省略している。   FIG. 5 is a block diagram for explaining the process of writing the firmware into the multifunction machine of this embodiment. In the block diagram of FIG. 5, parts unnecessary for the description are omitted as appropriate.

複合機1のインストールアプリ80は、種々のファームウェア82を複合機1に書き込む(インストールする)為のツールである。種々のファームウェア82はインストール用ファイル群81に含まれる。また、インストール用ファイル群81にはルート鍵61で暗号化した暗号/復号鍵である鍵BLOB83と、ファームウェア構成情報84とが更に含まれる。なお、ファームウェア構成情報84はインストール用ファイル群81に含まれていてもよいし、生成してもよい。   The installation application 80 of the multifunction device 1 is a tool for writing (installing) various firmware 82 in the multifunction device 1. Various firmwares 82 are included in the installation file group 81. The installation file group 81 further includes a key BLOB 83 that is an encryption / decryption key encrypted with the root key 61, and firmware configuration information 84. The firmware configuration information 84 may be included in the installation file group 81 or may be generated.

ファームウェア構成情報84は、複合機1に書き込む種々のファームウェア82を一意に特定する為の情報である。例えばファームウェア構成情報84は機器の二次記憶装置27のファイル構成リスト(UNIX(登録商標)のlsを実施した結果など)やファームウェア82のバージョン情報等である。   The firmware configuration information 84 is information for uniquely specifying various firmware 82 to be written in the multifunction machine 1. For example, the firmware configuration information 84 is a file configuration list (such as a result of UNIX (registered trademark) ls) of the secondary storage device 27 of the device, version information of the firmware 82, or the like.

図6は本実施例の複合機にファームウェアを書き込む処理を説明する為のシーケンス図である。ステップS11に進み、インストールアプリ80はインストール用ファイル群81を機器の二次記憶装置27に書き込む。ステップS12に進み、インストールアプリ80はインストール用ファイル群81に含まれる鍵BLOB83を機器に固有の暗号化復号装置26に送信し、ルート鍵61で鍵BLOBを復号させ、暗号鍵を得る。   FIG. 6 is a sequence diagram for explaining a process of writing firmware into the multifunction machine of the present embodiment. In step S11, the installation application 80 writes the installation file group 81 in the secondary storage device 27 of the device. In step S12, the installation application 80 transmits the key BLOB 83 included in the installation file group 81 to the encryption / decryption device 26 unique to the device, decrypts the key BLOB with the root key 61, and obtains an encryption key.

ステップS13に進み、インストールアプリ80はファームウェア構成情報84を暗号鍵で暗号化し、ファームウェア構成情報BLOBを生成する。ステップS14及びS15に進み、インストールアプリ80はファームウェア構成情報BLOBを、外部二次記憶装置I/F24経由で接続されるSDカードやネットワークI/F25経由で接続される外部サーバ等の外部の二次記憶装置91に保存する。   In step S13, the installation application 80 encrypts the firmware configuration information 84 with an encryption key, and generates firmware configuration information BLOB. Proceeding to steps S14 and S15, the installation application 80 sends the firmware configuration information BLOB to an external secondary such as an SD card connected via the external secondary storage device I / F 24 or an external server connected via the network I / F 25. Save in the storage device 91.

本実施例の複合機1では、複合機1以外の外部の二次記憶装置91に保存しておくことで悪意の第三者による改ざんを防ぐことができる。   In the multifunction device 1 of the present embodiment, it is possible to prevent tampering by a malicious third party by storing it in an external secondary storage device 91 other than the multifunction device 1.

図7は本実施例の複合機に搭載されているファームウェアの改ざんを検知する処理を説明する為のシーケンス図である。なお、ファームウェアの改ざんを検知する処理を実行するときの複合機1の構成は図1と同様である。   FIG. 7 is a sequence diagram for explaining processing for detecting falsification of firmware mounted on the multifunction peripheral according to the present embodiment. Note that the configuration of the multi-function device 1 when executing processing for detecting falsification of firmware is the same as that shown in FIG.

ステップS21に進み、改ざん検知アプリ46は機器の二次記憶装置27から鍵BLOB83を取り出す。ステップS22に進み、改ざん検知アプリ46は鍵BLOB83を機器に固有の暗号化復号装置26に送信し、ルート鍵61で鍵BLOBを復号させ、復号鍵を得る。ステップS23に進み、改ざん検知アプリ46は、外部の二次記憶装置91からファームウェア構成情報BLOBを取り出す。ステップS24に進み、改ざん検知アプリ46はファームウェア構成情報BLOBを復号鍵で復号して、ファームウェア構成情報84を得る。   In step S21, the falsification detection application 46 takes out the key BLOB 83 from the secondary storage device 27 of the device. In step S22, the falsification detection application 46 transmits the key BLOB 83 to the encryption / decryption device 26 unique to the device, and decrypts the key BLOB with the root key 61 to obtain a decryption key. In step S23, the falsification detection application 46 takes out the firmware configuration information BLOB from the external secondary storage device 91. In step S 24, the falsification detection application 46 decrypts the firmware configuration information BLOB with the decryption key to obtain firmware configuration information 84.

そして、ステップS25に進み、改ざん検知アプリ46は、現在の複合機1に搭載されている種々のアプリケーション31のファームウェア構成情報と、ファームウェア構成情報BLOBを復号鍵で復号して得たファームウェア構成情報84とを比較し、その比較結果が異なるときに、改ざんがあったことを検知する。なお、ステップS25の処理の具体的内容は後述する。   In step S25, the falsification detection application 46 uses the firmware configuration information 84 obtained by decrypting the firmware configuration information of the various applications 31 installed in the current multifunction device 1 and the firmware configuration information BLOB with the decryption key. When the comparison results are different, it is detected that there has been tampering. The specific contents of the process in step S25 will be described later.

実施例1の複合機1は、搭載されているファームウェアの改ざんを検知する処理を起動時に毎回実行するものとする。また、ファームウェア構成情報は「各ファームウェア82のバージョン文字列を格納したテキストファイル」であるものとする。さらに、外部の二次記憶装置91はUSBメモリやSDカード等の「携帯可能な二次記憶装置」であるものとする。   The multi-function device 1 according to the first embodiment is assumed to execute a process for detecting falsification of installed firmware every time it is activated. The firmware configuration information is assumed to be “a text file storing the version character string of each firmware 82”. Furthermore, it is assumed that the external secondary storage device 91 is a “portable secondary storage device” such as a USB memory or an SD card.

図8は実施例1の複合機を表した一例の構成図である。図8の複合機1はネットワークI/F25が無い点で図1の構成図と異なる。   FIG. 8 is a configuration diagram illustrating an example of the multifunction machine according to the first embodiment. 8 differs from the configuration diagram of FIG. 1 in that the network I / F 25 is not provided.

図9は実施例1の複合機にファームウェアを書き込む処理を説明する為のブロック図である。図9のブロック図はファームウェア構成情報84がバージョンファイル86に置き換えられている点で図5のブロック図と異なっている。バージョンファイル86は、対応するファームウェア82のバージョン文字列が記載されたテキストファイルである。   FIG. 9 is a block diagram for explaining a process of writing firmware to the multifunction machine according to the first embodiment. The block diagram of FIG. 9 differs from the block diagram of FIG. 5 in that the firmware configuration information 84 is replaced with a version file 86. The version file 86 is a text file in which the version character string of the corresponding firmware 82 is described.

バージョンファイル86は、ファームウェア82を複合機1にインストールする前に予め手動または自動で生成されるファイルである。インストールアプリ80は、バージョンファイル86の生成に関与しない。バージョンファイル86は、ファームウェア構成情報84の一例である。   The version file 86 is a file that is generated in advance manually or automatically before the firmware 82 is installed in the multifunction device 1. The install application 80 is not involved in the generation of the version file 86. The version file 86 is an example of the firmware configuration information 84.

図10は実施例1の複合機にファームウェアを書き込む処理を説明する為のシーケンス図である。ステップS31に進み、インストールアプリ80はインストール用ファイル群85を機器の二次記憶装置27に書き込む。ステップS32に進み、インストールアプリ80は図11に示すバージョンファイル86の暗号化処理を行う。図11は、バージョンファイルの暗号化処理の手順を示すフローチャートである。   FIG. 10 is a sequence diagram for explaining a process of writing firmware to the multifunction machine according to the first embodiment. In step S31, the installation application 80 writes the installation file group 85 in the secondary storage device 27 of the device. In step S32, the installed application 80 performs encryption processing of the version file 86 shown in FIG. FIG. 11 is a flowchart showing the procedure of version file encryption processing.

ステップS41に進み、インストールアプリ80はインストール用ファイル群85に含まれる鍵BLOB83を機器に固有の暗号化復号装置26に送信し、ルート鍵61で鍵BLOBを復号させ、暗号鍵を得る。ステップS42に進み、インストールアプリ80は全てのバージョンファイル86を出力したか否かを判定する。   In step S41, the installation application 80 transmits the key BLOB 83 included in the installation file group 85 to the encryption / decryption device 26 unique to the device, decrypts the key BLOB with the root key 61, and obtains an encryption key. In step S42, the installed application 80 determines whether all version files 86 have been output.

全てのバージョンファイル86を出力していない(出力していないバージョンファイル86が残っている)と判定すると、インストールアプリ80はステップS43に進み、インストール用ファイル群85に含まれるバージョンファイル86を一つ選択する。   If it is determined that all the version files 86 have not been output (the version files 86 that have not been output remain), the installation application 80 proceeds to step S43, and one version file 86 is included in the installation file group 85. select.

ステップS44に進み、インストールアプリ80は選択したバージョンファイル86の中身を「バージョン出力ファイル」に出力し、ステップS42に戻る。インストールアプリ80は、全てのバージョンファイル86の中身を「バージョン出力ファイル」に出力するまでステップS42〜S44の処理を繰り返し行う。全てのバージョンファイル86を出力した(出力していないバージョンファイル86が残っていない)と判定すると、インストールアプリ80はステップS45に進み、バージョン出力ファイルを暗号鍵で暗号化してバージョン出力ファイルBLOBを生成する。   In step S44, the installed application 80 outputs the contents of the selected version file 86 to the “version output file”, and returns to step S42. The install application 80 repeats the processes of steps S42 to S44 until the contents of all the version files 86 are output to the “version output file”. If it is determined that all the version files 86 have been output (there are no version files 86 that have not been output), the installation application 80 proceeds to step S45 and encrypts the version output file with the encryption key to generate the version output file BLOB. To do.

図10のステップS33に進み、インストールアプリ80はバージョン出力ファイルBLOBを、外部二次記憶装置I/F24経由で接続されるSDカード等の携帯可能な二次記憶装置101に保存する。携帯可能な二次記憶装置101は、複合機1に搭載されているアプリケーション(ファームウェア)31の改ざんを検知する時に、複合機1に取り付けられるものである。   Proceeding to step S33 in FIG. 10, the install application 80 stores the version output file BLOB in a portable secondary storage device 101 such as an SD card connected via the external secondary storage device I / F 24. The portable secondary storage device 101 is attached to the multifunction device 1 when it detects the falsification of the application (firmware) 31 installed in the multifunction device 1.

実施例1の複合機1では、複合機1以外の携帯可能な二次記憶装置101にバージョン出力ファイルBLOBを保存しておくことで、悪意の第三者による改ざんを防ぐことができる。   In the multifunction device 1 according to the first embodiment, the version output file BLOB is stored in the portable secondary storage device 101 other than the multifunction device 1, thereby preventing falsification by a malicious third party.

図12は実施例1の複合機におけるファームウェアの改ざんを検知する処理を説明する為のフローチャートである。なお、ファームウェアの改ざんを検知する処理を実行するときの複合機1の構成は図8と同様である。   FIG. 12 is a flowchart for explaining processing for detecting falsification of firmware in the multifunction machine according to the first embodiment. Note that the configuration of the multi-function peripheral 1 when executing processing for detecting falsification of firmware is the same as that shown in FIG.

ステップS51に進み、改ざん検知アプリ46は機器の二次記憶装置27から鍵BLOB83を取り出す。ステップS52に進み、改ざん検知アプリ46は鍵BLOB83を機器に固有の暗号化復号装置26に送信し、ルート鍵61で鍵BLOBを復号させ、復号鍵を得る。ステップS53に進み、改ざん検知アプリ46は、外部二次記憶装置I/F24経由で接続される携帯可能な二次記憶装置101からバージョン出力ファイルBLOBを取り出す。ステップS54に進み、改ざん検知アプリ46はバージョン出力ファイルBLOBを復号鍵で復号し、バージョン出力ファイルを得る。   In step S51, the falsification detection application 46 takes out the key BLOB 83 from the secondary storage device 27 of the device. In step S52, the falsification detection application 46 transmits the key BLOB 83 to the encryption / decryption device 26 unique to the device, decrypts the key BLOB with the root key 61, and obtains a decryption key. In step S53, the falsification detection application 46 retrieves the version output file BLOB from the portable secondary storage device 101 connected via the external secondary storage device I / F 24. In step S54, the falsification detection application 46 decrypts the version output file BLOB with the decryption key to obtain a version output file.

ステップS55に進み、改ざん検知アプリ46は機器の二次記憶装置27に記憶されている現在の複合機1に搭載されている種々のファームウェアのバージョンファイル86を全て調査したか否かを判定する。   In step S55, the falsification detection application 46 determines whether all the version files 86 of various firmware loaded in the current multifunction device 1 stored in the secondary storage device 27 of the device have been examined.

全てのバージョンファイル86を調査していない(調査していないバージョンファイル86が残っている)と判定すると、改ざん検知アプリ46はステップS56に進み、機器の二次記憶装置27からバージョンファイル86を一つ取り出す。改ざん検知アプリ46はステップS57に進み、取り出したバージョンファイル86からバージョン文字列を取り出す。   If it is determined that all the version files 86 have not been investigated (the version files 86 that have not been investigated remain), the falsification detection application 46 proceeds to step S56 and retrieves the version file 86 from the secondary storage device 27 of the device. Take out. In step S57, the falsification detection application 46 extracts a version character string from the extracted version file 86.

ステップS58に進み、改ざん検知アプリ46はステップS54で得たバージョン出力ファイルから、該当するファームウェアのバージョン文字列を取り出す。ステップS59に進み、改ざん検知アプリ46はステップS57で取り出したバージョン文字列とステップS58で取り出したバージョン文字列とを比較し、一致しているか否かを判定する。   In step S58, the falsification detection application 46 extracts the version character string of the corresponding firmware from the version output file obtained in step S54. In step S59, the falsification detection application 46 compares the version character string extracted in step S57 with the version character string extracted in step S58, and determines whether or not they match.

ステップS59は現在の複合機1に搭載されている種々のファームウェアのバージョン文字列と、インストール時、複合機1に搭載された種々のファームウェアのバージョン文字列とが一致しているか否かを判定するものである。   In step S59, it is determined whether or not the version character strings of the various firmware installed in the current multifunction device 1 and the version character strings of the various firmware installed in the multifunction device 1 at the time of installation. Is.

ステップS59においてバージョン文字列が一致していれば、改ざん検知アプリ46はステップS55に戻る。なお、ステップS59においてバージョン文字列が一致していなければファームウェアが改ざんされたと判定し、改ざん検知アプリ46はステップS60に進み、図13に示すような画面をオペレーションパネル等に出力して、複合機1を停止する。   If the version character strings match in step S59, the falsification detection application 46 returns to step S55. If the version character strings do not match in step S59, it is determined that the firmware has been tampered with, and the tampering detection application 46 proceeds to step S60 and outputs a screen as shown in FIG. Stop 1

図13は改ざんを検知したときにオペレーションパネルに表示される画面の一例を表したイメージ図である。図13の画面には、操作者に異常を検知した旨を通知する為のコメントと、異常を検知したファームウェアの情報とが含まれる。   FIG. 13 is an image diagram showing an example of a screen displayed on the operation panel when tampering is detected. The screen of FIG. 13 includes a comment for notifying the operator that an abnormality has been detected and information on firmware that has detected the abnormality.

また、ステップS55において、全てのバージョンファイル86を調査した(調査していないバージョンファイル86が残っていない)と判定すると、改ざん検知アプリ46はステップS61に進み、バージョン出力ファイルに未調査のバージョン文字列が残っていないか否かを判定する。   If it is determined in step S55 that all the version files 86 have been investigated (no unexamined version file 86 remains), the falsification detection application 46 proceeds to step S61, and the version character that has not been investigated in the version output file. Determine if there are no columns left.

バージョン出力ファイルに未調査のバージョン文字列が残っていなければ、改ざん検知アプリ46はステップS62に進み、図14に示すような画面をオペレーションパネル等に出力して、複合機1の立ち上げ(起動)を続行する。   If there is no unexamined version character string remaining in the version output file, the falsification detection application 46 proceeds to step S62, outputs a screen as shown in FIG. ) Continue.

図14は改ざんを検知しないときにオペレーションパネルに表示される画面の一例を表したイメージ図である。図14の画面には、操作者に異常を検知しなかった旨を通知する為のコメントが含まれる。   FIG. 14 is an image diagram showing an example of a screen displayed on the operation panel when tampering is not detected. The screen of FIG. 14 includes a comment for notifying the operator that no abnormality has been detected.

一方、バージョン出力ファイルに未調査のバージョン文字列が残っていれば、改ざん検知アプリ46はステップS63に進み、図15に示すような画面をオペレーションパネル等に出力して、複合機1を停止する。なお、ステップS63において複合機1を停止する理由はバージョン出力ファイルに未調査のバージョン文字列が残っている場合、複合機1からファームウェアが削除された(ファームウェア構成が改ざんされた)可能性が高いからである。   On the other hand, if an unexamined version character string remains in the version output file, the falsification detection application 46 proceeds to step S63, outputs a screen as shown in FIG. 15 to the operation panel or the like, and stops the multifunction device 1. . Note that the reason for stopping the multifunction device 1 in step S63 is that, if an unexamined version character string remains in the version output file, there is a high possibility that the firmware has been deleted from the multifunction device 1 (the firmware configuration has been altered). Because.

図15は改ざんを検知したときにオペレーションパネルに表示される画面の一例を表したイメージ図である。図15の画面には、操作者に異常(ファームウェアの削除)を検知した旨を通知する為のコメントと、削除されたファームウェアの情報とが含まれる。   FIG. 15 is an image diagram showing an example of a screen displayed on the operation panel when tampering is detected. The screen in FIG. 15 includes a comment for notifying the operator that an abnormality (deletion of firmware) has been detected, and information on the deleted firmware.

以上、実施例1の複合機1では、搭載されているファームウェアの改ざんと、ファームウェア構成の改ざんとを容易に検知可能である。   As described above, in the multifunction device 1 according to the first embodiment, it is possible to easily detect the alteration of the installed firmware and the alteration of the firmware configuration.

実施例2の複合機1は、搭載されているファームウェアの改ざんを検知する処理を操作者からの指示により実行するものとする。また、ファームウェア構成情報は「複合機1にファームウェアがインストールされた後の機器の二次記憶装置27のファイル構成を表すファイル構成リスト(例えばUNIX(登録商標)のlsを実施した結果など)」であるものとする。更に、外部の二次記憶装置91は「外部サーバ」であるものとする。   The multi-function device 1 according to the second embodiment executes processing for detecting falsification of installed firmware in accordance with an instruction from an operator. The firmware configuration information is “a file configuration list indicating the file configuration of the secondary storage device 27 of the device after the firmware is installed in the multi-function device 1 (for example, the result of performing UNIX (registered trademark) ls”). It shall be. Furthermore, it is assumed that the external secondary storage device 91 is an “external server”.

図16は実施例2の複合機を表した一例の構成図である。図16の複合機1は外部二次記憶装置I/F24が無い点で図1の構成図と異なる。   FIG. 16 is a block diagram illustrating an example of a multifunction machine according to the second embodiment. The multifunction device 1 of FIG. 16 differs from the configuration diagram of FIG. 1 in that the external secondary storage device I / F 24 is not provided.

図17は実施例2の複合機にファームウェアを書き込む処理を説明する為のブロック図である。図17のブロック図は、ファームウェア構成情報84の代わりに機器の二次記憶装置27のファイル構成を表したファイル構成スナップショット89を利用する点で図5のブロック図と異なっている。   FIG. 17 is a block diagram for explaining a process of writing firmware into the multifunction machine according to the second embodiment. The block diagram of FIG. 17 differs from the block diagram of FIG. 5 in that a file configuration snapshot 89 representing the file configuration of the device secondary storage device 27 is used instead of the firmware configuration information 84.

ファイル構成スナップショット89は、ファイル構成出力アプリ87によって例えばUNIX(登録商標)のlsなどを実施することにより生成される。ファイル構成スナップショット89は、複合機1にファームウェアがインストールされた後の機器の二次記憶装置27のファイル構成を表すファイル構成リストである。   The file configuration snapshot 89 is generated by executing, for example, UNIX (registered trademark) ls by the file configuration output application 87. The file configuration snapshot 89 is a file configuration list that represents the file configuration of the secondary storage device 27 of the device after the firmware is installed in the multifunction device 1.

図18は実施例2の複合機にファームウェアを書き込む処理を説明する為のシーケンス図である。ステップS71に進み、インストールアプリ80はインストール用ファイル群88を機器の二次記憶装置27に書き込む。ステップS72に進み、インストールアプリ80は図19に示すファイル構成スナップショット89の暗号化処理を行う。   FIG. 18 is a sequence diagram for explaining a process of writing firmware to the multifunction machine according to the second embodiment. In step S71, the installation application 80 writes the installation file group 88 in the secondary storage device 27 of the device. In step S72, the installation application 80 performs encryption processing of the file configuration snapshot 89 shown in FIG.

図19は、ファイル構成スナップショットの暗号化処理の手順を示すフローチャートである。ステップS81に進み、インストールアプリ80はインストール用ファイル群88に含まれる鍵BLOB83を機器に固有の暗号化復号装置26に送信し、ルート鍵61で鍵BLOBを復号させ、暗号鍵を得る。ステップS82に進み、インストールアプリ80はファイル構成スナップショット89をファイルに出力する。   FIG. 19 is a flowchart illustrating the procedure of the encryption process of the file configuration snapshot. In step S81, the installation application 80 transmits the key BLOB 83 included in the installation file group 88 to the encryption / decryption device 26 unique to the device, and decrypts the key BLOB with the root key 61 to obtain an encryption key. In step S82, the installation application 80 outputs the file configuration snapshot 89 to a file.

ステップS83に進み、インストールアプリ80はファイル構成スナップショット89を出力したファイルを暗号鍵で暗号化してファイル構成スナップショットBLOBを生成する。   In step S83, the install application 80 generates a file configuration snapshot BLOB by encrypting the file to which the file configuration snapshot 89 is output with an encryption key.

更に図18のステップS73に進み、インストールアプリ80はファイル構成スナップショットBLOBを、ネットワークI/F25経由で接続される外部サーバ181に送出する。ステップS74に進み、外部サーバ181はファイル構成スナップショットBLOBを例えば外部サーバ181内の二次記憶装置に保存する。   Further, in step S73 of FIG. 18, the installation application 80 sends the file configuration snapshot BLOB to the external server 181 connected via the network I / F 25. In step S74, the external server 181 stores the file configuration snapshot BLOB in, for example, a secondary storage device in the external server 181.

実施例2の複合機1では、複合機1以外の外部サーバ181内の二次記憶装置にファイル構成スナップショットBLOBを保存しておくことで悪意の第三者による改ざんを防ぐことができる。   In the multifunction device 1 according to the second embodiment, the file configuration snapshot BLOB is stored in the secondary storage device in the external server 181 other than the multifunction device 1 to prevent falsification by a malicious third party.

図20は実施例2の複合機におけるファームウェアの改ざんを検知する処理を説明する為のフローチャートである。なお、ファームウェアの改ざんを検知する処理を実行するときの複合機1の構成は図16と同様である。   FIG. 20 is a flowchart for explaining processing for detecting falsification of firmware in the MFP according to the second embodiment. Note that the configuration of the multi-function device 1 when executing processing for detecting falsification of firmware is the same as that shown in FIG.

ステップS91に進み、改ざん検知アプリ46は機器の二次記憶装置27から鍵BLOB83を取り出す。ステップS92に進み、改ざん検知アプリ46は鍵BLOB83を機器に固有の暗号化復号装置26に送信し、ルート鍵61で鍵BLOBを復号させ、復号鍵を得る。ステップS93に進み、改ざん検知アプリ46はネットワークI/F25経由で接続される外部サーバ181からファイル構成スナップショットBLOBを取り出す。ステップS94に進み、改ざん検知アプリ46はファイル構成スナップショットBLOBを復号鍵で復号し、ファイル構成スナップショット89を得る。   In step S91, the falsification detection application 46 takes out the key BLOB 83 from the secondary storage device 27 of the device. In step S92, the falsification detection application 46 transmits the key BLOB 83 to the encryption / decryption device 26 unique to the device, decrypts the key BLOB with the root key 61, and obtains a decryption key. In step S93, the falsification detection application 46 takes out the file configuration snapshot BLOB from the external server 181 connected via the network I / F 25. In step S94, the falsification detection application 46 decrypts the file configuration snapshot BLOB with the decryption key to obtain a file configuration snapshot 89.

ステップS95に進み、改ざん検知アプリ46は現在の複合機1の機器の二次記憶装置27のファイル構成を表すファイル構成リストであるファイル構成スナップショットを取得する。   In step S95, the falsification detection application 46 obtains a file configuration snapshot that is a file configuration list representing the file configuration of the secondary storage device 27 of the device of the current multifunction device 1.

ステップS96に進み、改ざん検知アプリ46は、ステップS94で取得したファイル構成スナップショット89とステップS95で取得したファイル構成スナップショットとを比較し、一致しているか否かを判定する。ステップS96は現在の複合機1のファイル構成スナップショットと、ファームウェアをインストールした後のファイル構成スナップショット89とが一致しているか否かを判定するものである。   In step S96, the falsification detection application 46 compares the file configuration snapshot 89 acquired in step S94 with the file configuration snapshot acquired in step S95, and determines whether or not they match. In step S96, it is determined whether or not the file configuration snapshot of the current multifunction device 1 matches the file configuration snapshot 89 after the firmware is installed.

ステップS96においてファイル構成スナップショット89が一致していなければ、改ざん検知アプリ46はステップS97に進み、図13又は図15に示すような画面をオペレーションパネル等に出力して、複合機1を停止する。   If the file configuration snapshots 89 do not match in step S96, the falsification detection application 46 proceeds to step S97, outputs a screen as shown in FIG. 13 or FIG. 15 to the operation panel or the like, and stops the multifunction device 1. .

ステップS96においてファイル構成スナップショット89が一致していれば、改ざん検知アプリ46はステップS98に進み、図16に示すような画面をオペレーションパネル等に出力して、複合機1の動作を続行する。   If the file configuration snapshots 89 match in step S96, the falsification detection application 46 proceeds to step S98, outputs a screen as shown in FIG. 16 to the operation panel or the like, and continues the operation of the multifunction device 1.

以上、実施例2の複合機1では、搭載されているファームウェアの改ざんと、ファームウェア構成の改ざんとを容易に検知可能である。   As described above, in the multifunction machine 1 according to the second embodiment, it is possible to easily detect the alteration of the installed firmware and the alteration of the firmware configuration.

本発明は、具体的に開示された実施例に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。   The present invention is not limited to the specifically disclosed embodiments, and various modifications and changes can be made without departing from the scope of the claims.

なお、図1,図8及び図16では点線によって囲まれているファームウェアが改ざん検知対象となる。また、現在の複合機1のファームウェア構成情報は、インストール時に機器の二次記憶装置27へ記憶したものであっても、ファームウェアの改ざんを検知する処理を行う度に生成するようにしてもよい。   In FIG. 1, FIG. 8, and FIG. 16, the firmware surrounded by the dotted line is the alteration detection target. Further, the current firmware configuration information of the multifunction device 1 may be generated every time processing for detecting firmware tampering is performed, even if it is stored in the secondary storage device 27 of the device at the time of installation.

インストール時、機器の二次記憶装置27に記憶したファームウェア構成情報を現在のファームウェア構成情報として利用する場合はファームウェアがアップデート(更新)される度、機器の二次記憶装置27へ記憶したファームウェア構成情報を更新する仕組みが必要である。また、ファームウェアがアップデート(更新)される場合も、本実施例の複合機1はファームウェアのインストール時と同様に処理すればよい。   When using the firmware configuration information stored in the secondary storage device 27 of the device as the current firmware configuration information at the time of installation, the firmware configuration information stored in the secondary storage device 27 of the device every time the firmware is updated (updated) A mechanism to update Also, when the firmware is updated (updated), the multi-function device 1 of this embodiment may perform the same process as when installing the firmware.

1 複合機
10 ハードウェア
11 種々のソフトウェア
12 複合機起動部
21 プロッタ
22 スキャナ
23 その他のハードウェアリソース
24 外部二次記憶装置I/F(インターフェース)
25 ネットワークI/F
26 機器に固有の暗号化復号装置
27 機器の二次記憶装置
31 種々のアプリケーション
32 プラットフォーム
33 汎用OS(オペレーティングシステム)
41 プリンタアプリ
42 コピーアプリ
43 ファックスアプリ
44 スキャナアプリ
45 ネットファイルアプリ
46 改ざん検知アプリ
47 RRUアプリ
48 SDKアプリ
49 サードベンダのSDKアプリ
51 コントロールサービス
52 SRM(システムリソースマネージャ)
53 ECS(エンジンコントロールサービス)
54 MCS(メモリコントロールサービス)
55 OCS(オペレーションパネルコントロールサービス)
56 FCS(ファクシミリコントロールサービス)
57 NCS(ネットワークコントロールサービス)
58 SCS(システムコントロールサービス)
61 ルート鍵
80 インストールアプリ
81,85,88 インストール用ファイル群
82 ファームウェア
83 ルート鍵で暗号化した暗号鍵/復号鍵(鍵BLOB)
84 ファームウェア構成情報
86 バージョンファイル
87 ファイル構成出力アプリ
89 ファイル構成スナップショット
91 外部の二次記憶装置
101 携帯可能な二次記憶装置
181 外部サーバ DESCRIPTION OF SYMBOLS 1 Multifunction machine 10 Hardware 11 Various software 12 Multifunction machine starting part 21 Plotter 22 Scanner 23 Other hardware resources 24 External secondary storage device I / F (interface)
25 Network I / F
26 Device-specific encryption / decryption device 27 Device secondary storage device 31 Various applications 32 Platform 33 General-purpose OS (operating system)
41 Printer application 42 Copy application 43 Fax application 44 Scanner application 45 Net file application 46 Tamper detection application 47 RRU application 48 SDK application 49 Third vendor SDK application 51 Control service 52 SRM (system resource manager)
53 ECS (Engine Control Service)
54 MCS (Memory Control Service)
55 OCS (Operation Panel Control Service)
56 FCS (facsimile control service)
57 NCS (Network Control Service)
58 SCS (System Control Service)
61 Root key 80 Installed application 81, 85, 88 Installation file group 82 Firmware 83 Encryption key / decryption key (key BLOB) encrypted with root key
84 Firmware configuration information 86 Version file 87 File configuration output application 89 File configuration snapshot 91 External secondary storage device 101 Portable secondary storage device 181 External server

特開2004−213057号公報JP 2004-213057 A 特開2005−84989号公報JP 2005-84789 A 特開2007−41694号公報JP 2007-41694 A

上記課題を解決するため、本発明は、機器に搭載されているソフトウェアの改ざんを前記機器が検知するソフトウェア改ざん検知方法であって、記ソフトウェアの改ざんを検知する改ざん検知手段が、前記ソフトウェアを記憶している記憶装置とは異なる記憶装置に暗号化されて保存されたインストール時における前記機器のソフトウェア構成情報を、前記機器に固有の暗号化復号装置を利用して復号する復号ステップと、前記改ざん検知手段が、インストール時における前記機器のソフトウェア構成情報と現在の前記機器のソフトウェア構成情報とを比較し、前記ソフトウェアの改ざんを検知する検知ステップとを有することを特徴とする。 To solve the above problems, the present invention provides a software tamper detecting method of detecting said device tampering of software installed in the device, the tampering detection means for detecting a tampering prior SL software, the software Decrypting the software configuration information of the device at the time of installation stored encrypted and stored in a storage device different from the stored storage device using an encryption / decryption device unique to the device; and The tampering detection means includes a detection step of detecting tampering of the software by comparing the software configuration information of the device at the time of installation with the current software configuration information of the device.

また、本発明は、搭載されているソフトウェアの改ざんを検知する機器に、記ソフトウェアの改ざんを検知する改ざん検知手段が、前記ソフトウェアを記憶している記憶装置とは異なる記憶装置に暗号化されて保存されたインストール時における前記機器のソフトウェア構成情報を、前記機器に固有の暗号化復号装置を利用して復号する復号ステップと、前記改ざん検知手段が、インストール時における前記機器のソフトウェア構成情報と現在の前記機器のソフトウェア構成情報とを比較し、前記ソフトウェアの改ざんを検知する検知ステップとを実行させるためのソフトウェア改ざん検知プログラムであることを特徴とする。 Further, the present invention is the device for detecting the tampering of software loaded, falsification detecting means for detecting a tampering before SL software is encrypted into different storage devices and the storage device storing the software A decryption step of decrypting the software configuration information of the device at the time of installation stored by using an encryption / decryption device unique to the device, and the tampering detection means includes software configuration information of the device at the time of installation It is a software alteration detection program for comparing the current software configuration information of the device and executing a detection step of detecting alteration of the software.

また、本発明は、搭載されているソフトウェアの改ざんを検知する機器であって、前記機器に固有の暗号化復号装置と、記ソフトウェアの改ざんを検知する改ざん検知手段と
を有し、記改ざん検知手段は、前記ソフトウェアを記憶している記憶装置とは異なる記憶装置に暗号化されて保存されたインストール時における前記機器のソフトウェア構成情報を前記機器に固有の暗号化復号装置を利用して復号し、前記インストール時における前記機器のソフトウェア構成情報と現在の前記機器のソフトウェア構成情報とを比較して、前記ソフトウェアの改ざんを検知することを特徴とする。 Further, the present invention provides a device for detecting the tampering of software loaded has a specific encryption decoding apparatus to said apparatus, and a tampering detection means for detecting a tampering prior SL software, pre Symbol The tampering detection means uses the encryption / decryption device unique to the device to store the software configuration information of the device at the time of installation stored encrypted and stored in a storage device different from the storage device storing the software. The software is decrypted, the software configuration information of the device at the time of installation is compared with the current software configuration information of the device, and alteration of the software is detected.

Claims (25)

機器に搭載されているソフトウェアの改ざんを前記機器が検知するソフトウェア改ざん検知方法であって、
前記ソフトウェアをインストールするインストール手段が、前記機器に固有の暗号化復号装置を利用し、インストール時における前記機器のソフトウェア構成情報を暗号化して前記機器の外部に保存する保存ステップと、
前記ソフトウェアの改ざんを検知する改ざん検知手段が、前記機器の外部に保存したインストール時における前記機器のソフトウェア構成情報を、前記機器に固有の暗号化復号装置を利用して復号する復号ステップと、
前記改ざん検知手段が、インストール時における前記機器のソフトウェア構成情報と現在の前記機器のソフトウェア構成情報とを比較し、前記ソフトウェアの改ざんを検知する検知ステップと
を有することを特徴とするソフトウェア改ざん検知方法。 A software tampering detection method in which the device detects tampering of software installed in a device,
An installation unit that installs the software uses an encryption / decryption device specific to the device, encrypts the software configuration information of the device at the time of installation, and stores it outside the device;
A decryption step for decrypting the software configuration information of the device at the time of installation stored outside the device, using an encryption / decryption device unique to the device;
The software alteration detection method, wherein the alteration detection means includes a detection step of comparing the software configuration information of the device at the time of installation with the current software configuration information of the device and detecting the alteration of the software. . 前記保存ステップは、前記インストール手段が、暗号化されている暗号鍵を、前記機器に固有の暗号化復号装置で復号するステップと、
前記インストール手段が、復号された暗号鍵で、インストール時における前記機器のソフトウェア構成情報を暗号化するステップと、
前記インストール手段が、暗号化された前記インストール時における前記機器のソフトウェア構成情報を前記機器の外部に保存するステップと
を有することを特徴とする請求項1記載のソフトウェア改ざん検知方法。 The storing step wherein the installation means decrypts the encrypted encryption key with an encryption / decryption device unique to the device;
The installation means encrypts the software configuration information of the device at the time of installation with the decrypted encryption key;
The software tampering detection method according to claim 1, wherein the installation unit includes a step of storing the encrypted software configuration information of the device at the time of installation outside the device. 前記復号ステップは、前記改ざん検知手段が、暗号化されている前記インストール時における前記機器のソフトウェア構成情報を前記機器の外部から取得するステップと、
前記改ざん検知手段が、暗号化されている復号鍵を、前記機器に固有の暗号化復号装置で復号するステップと、
前記改ざん検知手段が、復号された復号鍵で、前記インストール時における前記機器のソフトウェア構成情報を復号するステップと
を有することを特徴とする請求項1又は2記載のソフトウェア改ざん検知方法。 The decryption step includes obtaining the software configuration information of the device from the outside of the device when the tampering detection means is encrypted;
The tampering detection means decrypts the encrypted decryption key with an encryption / decryption device unique to the device;
3. The software alteration detection method according to claim 1, further comprising a step of decrypting software configuration information of the device at the time of installation with the decryption key. 前記検知ステップは、インストール時における前記機器のソフトウェア構成情報と現在の前記機器のソフトウェア構成情報とを比較し、インストール時における前記機器のソフトウェア構成情報と現在の前記機器のソフトウェア構成情報とが一致しないときに前記ソフトウェアの改ざんを検知することを特徴とする請求項1乃至3何れか一項記載のソフトウェア改ざん検知方法。   The detection step compares the software configuration information of the device at the time of installation with the current software configuration information of the device, and the software configuration information of the device at the time of installation does not match the current software configuration information of the device. 4. The software tampering detection method according to claim 1, wherein tampering of the software is sometimes detected. 前記機器に固有の暗号化復号装置は、内部から取り出しができない他の暗号/復号鍵を有しており、平文を前記他の暗号鍵で暗号化して返すインターフェースと、暗号化されたデータを前記他の復号鍵で復号して返すインターフェースとを有することを特徴とする請求項1乃至4何れか一項記載のソフトウェア改ざん検知方法。   The encryption / decryption device unique to the device has another encryption / decryption key that cannot be taken out from the inside, and encrypts the plaintext with the other encryption key and returns the encrypted data. 5. The software alteration detection method according to claim 1, further comprising an interface that decrypts and returns with another decryption key. 前記インストール時における前記機器のソフトウェア構成情報はインストール用ファイル群に含まれることを特徴とする請求項1乃至5何れか一項記載のソフトウェア改ざん検知方法。   6. The software tampering detection method according to claim 1, wherein software configuration information of the device at the time of installation is included in an installation file group. 前記インストール時における前記機器のソフトウェア構成情報はインストール用ファイル群を用いて前記ソフトウェアをインストールしたあと、ファイル構成を取得するコマンドにより生成されることを特徴とする請求項1乃至5何れか一項記載のソフトウェア改ざん検知方法。   6. The software configuration information of the device at the time of installation is generated by a command for acquiring a file configuration after installing the software using an installation file group. Software tamper detection method. 前記インストール時における前記機器のソフトウェア構成情報は携帯可能な記録媒体に保存されることを特徴とする請求項1乃至7何れか一項記載のソフトウェア改ざん検知方法。   The software tampering detection method according to any one of claims 1 to 7, wherein software configuration information of the device at the time of installation is stored in a portable recording medium. 前記インストール時における前記機器のソフトウェア構成情報はネットワーク経由で接続された外部サーバに保存されることを特徴とする請求項1乃至7何れか一項記載のソフトウェア改ざん検知方法。   The software tampering detection method according to any one of claims 1 to 7, wherein software configuration information of the device at the time of installation is stored in an external server connected via a network. 前記機器の起動時又は前記機器を操作する操作者からの指示により、前記機器が前記ソフトウェアの改ざんを検知することを特徴とする請求項1乃至9何れか一項記載のソフトウェア改ざん検知方法。   10. The software tampering detection method according to claim 1, wherein the tampering of the software is detected by the device when the device is activated or by an instruction from an operator who operates the device. 搭載されているソフトウェアの改ざんを検知する機器に、
前記ソフトウェアをインストールするインストール手段が、前記機器に固有の暗号化復号装置を利用し、インストール時における前記機器のソフトウェア構成情報を暗号化して前記機器の外部に保存する保存ステップと、
前記ソフトウェアの改ざんを検知する改ざん検知手段が、前記機器の外部に保存したインストール時における前記機器のソフトウェア構成情報を、前記機器に固有の暗号化復号装置を利用して復号する復号ステップと、
前記改ざん検知手段が、インストール時における前記機器のソフトウェア構成情報と現在の前記機器のソフトウェア構成情報とを比較し、前記ソフトウェアの改ざんを検知する検知ステップと
を実行させるためのソフトウェア改ざん検知プログラム。 For devices that detect tampering with the installed software,
An installation unit that installs the software uses an encryption / decryption device specific to the device, encrypts the software configuration information of the device at the time of installation, and stores it outside the device;
A decryption step for decrypting the software configuration information of the device at the time of installation stored outside the device, using an encryption / decryption device unique to the device;
A software falsification detection program for causing the falsification detection means to execute a detection step of detecting falsification of the software by comparing the software configuration information of the device at the time of installation with the current software configuration information of the device. 前記保存ステップは、前記機器に、
前記インストール手段が、暗号化されている暗号鍵を、前記機器に固有の暗号化復号装置で復号するステップと、
前記インストール手段が、復号された暗号鍵で、インストール時における前記機器のソフトウェア構成情報を暗号化するステップと、
前記インストール手段が、暗号化された前記インストール時における前記機器のソフトウェア構成情報を前記機器の外部に保存するステップと
を実行させるための請求項11記載のソフトウェア改ざん検知プログラム。 In the storing step, the device
The installation means decrypting the encrypted encryption key with an encryption / decryption device unique to the device;
The installation means encrypts the software configuration information of the device at the time of installation with the decrypted encryption key;
12. The software falsification detection program according to claim 11, wherein the installation unit causes the encrypted software configuration information of the device at the time of installation to be stored outside the device. 前記復号ステップは、前記機器に、
前記改ざん検知手段が、暗号化されている前記インストール時における前記機器のソフトウェア構成情報を前記機器の外部から取得するステップと、
前記改ざん検知手段が、暗号化されている復号鍵を、前記機器に固有の暗号化復号装置で復号するステップと、
前記改ざん検知手段が、復号された復号鍵で、前記インストール時における前記機器のソフトウェア構成情報を復号するステップと
を実行させるための請求項11又は12記載のソフトウェア改ざん検知プログラム。 The decoding step is performed on the device,
The tampering detection means acquires the software configuration information of the device at the time of installation encrypted from the outside of the device;
The tampering detection means decrypts the encrypted decryption key with an encryption / decryption device unique to the device;
The software falsification detection program according to claim 11 or 12, wherein the falsification detection means executes a step of decrypting software configuration information of the device at the time of installation with the decrypted decryption key. 前記検知ステップは、前記機器に、インストール時における前記機器のソフトウェア構成情報と現在の前記機器のソフトウェア構成情報とを比較し、インストール時における前記機器のソフトウェア構成情報と現在の前記機器のソフトウェア構成情報とが一致しないときに前記ソフトウェアの改ざんを検知させることを特徴とする請求項11乃至13何れか一項記載のソフトウェア改ざん検知プログラム。   The detecting step compares the software configuration information of the device at the time of installation with the current software configuration information of the device, and the software configuration information of the device at the time of installation and the current software configuration information of the device. The software alteration detection program according to any one of claims 11 to 13, wherein the alteration of the software is detected when does not match. 前記機器に固有の暗号化復号装置は、内部から取り出しができない他の暗号/復号鍵を有しており、平文を前記他の暗号鍵で暗号化して返すインターフェースと、暗号化されたデータを前記他の復号鍵で復号して返すインターフェースとを有することを特徴とする請求項11乃至14何れか一項記載のソフトウェア改ざん検知プログラム。   The encryption / decryption device unique to the device has another encryption / decryption key that cannot be taken out from the inside, and encrypts the plaintext with the other encryption key and returns the encrypted data. The software alteration detection program according to claim 11, further comprising an interface that decrypts and returns with another decryption key. 搭載されているソフトウェアの改ざんを検知する機器であって、
前記機器に固有の暗号化復号装置と、
前記ソフトウェアをインストールするインストール手段と、
前記ソフトウェアの改ざんを検知する改ざん検知手段と
を有し、
前記インストール手段は、前記機器に固有の暗号化復号装置を利用し、インストール時における前記機器のソフトウェア構成情報を暗号化して前記機器の外部に保存し、
前記改ざん検知手段は、前記機器の外部に保存したインストール時における前記機器のソフトウェア構成情報を前記機器に固有の暗号化復号装置を利用して復号し、前記インストール時における前記機器のソフトウェア構成情報と現在の前記機器のソフトウェア構成情報とを比較して、前記ソフトウェアの改ざんを検知すること
を特徴とする機器。 A device that detects tampering with the installed software,
An encryption / decryption device unique to the device;
Installation means for installing the software;
Tamper detection means for detecting tampering of the software,
The installation means uses an encryption / decryption device unique to the device, encrypts the software configuration information of the device at the time of installation, and saves it outside the device,
The tampering detection means decrypts the software configuration information of the device at the time of installation stored outside the device by using an encryption / decryption device unique to the device, and the software configuration information of the device at the time of installation A device that detects tampering of the software by comparing with current software configuration information of the device. 前記インストール手段は、暗号化されている暗号鍵を、前記機器に固有の暗号化復号装置で復号し、復号された暗号鍵で、インストール時における前記機器のソフトウェア構成情報を暗号化し、暗号化された前記インストール時における前記機器のソフトウェア構成情報を前記機器の外部に保存することを特徴とする請求項16記載の機器。   The installation means decrypts the encrypted encryption key with an encryption / decryption device unique to the device, and encrypts the software configuration information of the device at the time of installation with the decrypted encryption key. 17. The device according to claim 16, wherein software configuration information of the device at the time of installation is stored outside the device. 前記改ざん検知手段は、暗号化されている前記インストール時における前記機器のソフトウェア構成情報を前記機器の外部から取得し、暗号化されている復号鍵を前記機器に固有の暗号化復号装置で復号し、復号された復号鍵で前記インストール時における前記機器のソフトウェア構成情報を復号することを特徴とする請求項16又は17記載の機器。   The tampering detection means obtains the software configuration information of the device at the time of installation encrypted from the outside of the device, and decrypts the encrypted decryption key by an encryption / decryption device unique to the device. The device according to claim 16 or 17, wherein software configuration information of the device at the time of installation is decrypted with the decrypted decryption key. 前記改ざん検知手段は、インストール時における前記機器のソフトウェア構成情報と現在の前記機器のソフトウェア構成情報とを比較し、インストール時における前記機器のソフトウェア構成情報と現在の前記機器のソフトウェア構成情報とが一致しないときに前記ソフトウェアの改ざんを検知することを特徴とする請求項16乃至18何れか一項記載の機器。   The tampering detection means compares the software configuration information of the device at the time of installation with the current software configuration information of the device, and the software configuration information of the device at the time of installation matches the current software configuration information of the device. The device according to any one of claims 16 to 18, wherein alteration of the software is detected when not. 前記機器に固有の暗号化復号装置は、内部から取り出しができない他の暗号/復号鍵を有しており、平文を前記他の暗号鍵で暗号化して返すインターフェースと、暗号化されたデータを前記他の復号鍵で復号して返すインターフェースとを有することを特徴とする請求項16乃至19何れか一項記載の機器。   The encryption / decryption device unique to the device has another encryption / decryption key that cannot be taken out from the inside, and encrypts the plaintext with the other encryption key and returns the encrypted data. 20. The device according to any one of claims 16 to 19, further comprising an interface that decrypts and returns with another decryption key. 前記インストール時における前記機器のソフトウェア構成情報はインストール用ファイル群に含まれることを特徴とする請求項16乃至20何れか一項記載の機器。   21. The device according to claim 16, wherein software configuration information of the device at the time of installation is included in an installation file group. 前記インストール時における前記機器のソフトウェア構成情報はインストール用ファイル群を用いて前記ソフトウェアをインストールしたあと、ファイル構成を取得するコマンドにより生成されることを特徴とする請求項16乃至20何れか一項記載の機器。   21. The software configuration information of the device at the time of installation is generated by a command for acquiring a file configuration after installing the software using an installation file group. Equipment. 前記インストール時における前記機器のソフトウェア構成情報は携帯可能な記録媒体に保存されることを特徴とする請求項16乃至22何れか一項記載の機器。   23. The device according to claim 16, wherein software configuration information of the device at the time of installation is stored in a portable recording medium. 前記インストール時における前記機器のソフトウェア構成情報はネットワーク経由で接続された外部サーバに保存されることを特徴とする請求項16乃至22何れか一項記載の機器。   23. The device according to claim 16, wherein software configuration information of the device at the time of installation is stored in an external server connected via a network. 前記機器の起動時又は前記機器を操作する操作者からの指示により、前記ソフトウェアの改ざんを検知することを特徴とする請求項16乃至24何れか一項記載の機器。   The device according to any one of claims 16 to 24, wherein tampering of the software is detected when the device is activated or based on an instruction from an operator who operates the device.
JP2012105954A 2012-05-07 2012-05-07 Software alteration detection method, software alteration detection program and device Expired - Fee Related JP5387724B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012105954A JP5387724B2 (en) 2012-05-07 2012-05-07 Software alteration detection method, software alteration detection program and device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012105954A JP5387724B2 (en) 2012-05-07 2012-05-07 Software alteration detection method, software alteration detection program and device

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2008036267A Division JP4991592B2 (en) 2008-02-18 2008-02-18 Software alteration detection method, software alteration detection program and device

Publications (2)

Publication Number Publication Date
JP2012146338A true JP2012146338A (en) 2012-08-02
JP5387724B2 JP5387724B2 (en) 2014-01-15

Family

ID=46789778

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012105954A Expired - Fee Related JP5387724B2 (en) 2012-05-07 2012-05-07 Software alteration detection method, software alteration detection program and device

Country Status (1)

Country Link
JP (1) JP5387724B2 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10341331B2 (en) 2015-05-07 2019-07-02 Buffalo Inc. Information processing system, information processing apparatus and firmware program
JP2019194813A (en) * 2018-05-02 2019-11-07 株式会社リコー Information processing apparatus, information processing system, image processing system, information processing method, and program
JP2021026582A (en) * 2019-08-07 2021-02-22 日本電産サンキョー株式会社 Authentication system and authentication method

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10333902A (en) * 1997-05-27 1998-12-18 N Ii C Joho Syst:Kk Computer system with alteration detecting function
JP2003202931A (en) * 2002-01-09 2003-07-18 Toshiba Corp Software download system, server device, terminal equipment, server control program, terminal control program, server control method and terminal control method
JP2004280284A (en) * 2003-03-13 2004-10-07 Sony Corp Control processor, electronic equipment, and program starting method for electronic equipment, and system module updating method for electronic equipment
JP2009193528A (en) * 2008-02-18 2009-08-27 Ricoh Co Ltd Software alteration detection method, software alteration detection program, and equipment

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10333902A (en) * 1997-05-27 1998-12-18 N Ii C Joho Syst:Kk Computer system with alteration detecting function
JP2003202931A (en) * 2002-01-09 2003-07-18 Toshiba Corp Software download system, server device, terminal equipment, server control program, terminal control program, server control method and terminal control method
JP2004280284A (en) * 2003-03-13 2004-10-07 Sony Corp Control processor, electronic equipment, and program starting method for electronic equipment, and system module updating method for electronic equipment
JP2009193528A (en) * 2008-02-18 2009-08-27 Ricoh Co Ltd Software alteration detection method, software alteration detection program, and equipment

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10341331B2 (en) 2015-05-07 2019-07-02 Buffalo Inc. Information processing system, information processing apparatus and firmware program
JP2019194813A (en) * 2018-05-02 2019-11-07 株式会社リコー Information processing apparatus, information processing system, image processing system, information processing method, and program
JP7040271B2 (en) 2018-05-02 2022-03-23 株式会社リコー Information processing equipment, information processing system, image processing system, information processing method, and program
JP2021026582A (en) * 2019-08-07 2021-02-22 日本電産サンキョー株式会社 Authentication system and authentication method

Also Published As

Publication number Publication date
JP5387724B2 (en) 2014-01-15

Similar Documents

Publication Publication Date Title
JP4991592B2 (en) Software alteration detection method, software alteration detection program and device
JP5369502B2 (en) Device, management device, device management system, and program
JP5116325B2 (en) Information processing apparatus, software update method, and image processing apparatus
JP4903071B2 (en) Information processing apparatus, software update method, and image processing apparatus
EP3271858B1 (en) Output apparatus, program, output system, and output method
US9985783B2 (en) Information processing apparatus and information processing method for restoring apparatus when encryption key is changed
JP2015052996A (en) Image forming device and control method of image forming device
US9465605B2 (en) Image forming apparatus that performs updating of firmware, control method therefor, and storage medium
JP5309709B2 (en) Software tampering detection method and device
JP5387724B2 (en) Software alteration detection method, software alteration detection program and device
EP3502873A2 (en) Method and apparatus for application development environment
JP5617981B2 (en) Device, management device, device management system, and program
EP3588353B1 (en) Systems and methods of analyzing a software component
JP5582231B2 (en) Information processing apparatus, authenticity confirmation method, and recording medium
JP2008097301A (en) File management server, program thereof and file management method
JP2008234079A (en) Information processor, software correctness notifying method and image processor
US10503898B2 (en) Method for defending against malware
US11765302B2 (en) Image forming apparatus equipped with an anti-malware function of a permission-list type, image forming method using the same, and non-transitory computer-readable recording medium on which image forming program for the same is recorded
US11971991B2 (en) Information processing apparatus, control method for controlling the same and storage medium
JP2015053015A (en) Firmware and electronic apparatus
JP5151531B2 (en) Image forming apparatus and data management method
JP2020052597A (en) Information processing apparatus, control method thereof, and program
JP4960896B2 (en) Image forming apparatus and data management method
JP2013258512A (en) Image forming apparatus, and back-up/restore method and program
JP2007148492A (en) Method for detecting alteration of print job issuing program

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120604

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120604

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130617

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130625

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130823

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130910

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130923

R151 Written notification of patent or utility model registration

Ref document number: 5387724

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees