JP2020030599A - Image forming device, control method thereof, and program - Google Patents

Image forming device, control method thereof, and program Download PDF

Info

Publication number
JP2020030599A
JP2020030599A JP2018155684A JP2018155684A JP2020030599A JP 2020030599 A JP2020030599 A JP 2020030599A JP 2018155684 A JP2018155684 A JP 2018155684A JP 2018155684 A JP2018155684 A JP 2018155684A JP 2020030599 A JP2020030599 A JP 2020030599A
Authority
JP
Japan
Prior art keywords
image forming
secure boot
forming apparatus
unit
boot function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018155684A
Other languages
Japanese (ja)
Inventor
恵司 稲葉
Keiji Inaba
恵司 稲葉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2018155684A priority Critical patent/JP2020030599A/en
Publication of JP2020030599A publication Critical patent/JP2020030599A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Accessory Devices And Overall Control Thereof (AREA)
  • Facsimiles In General (AREA)

Abstract

To provide a mechanism for suitably securing security of a device even when a security boot function is set from ON to OFF.SOLUTION: An image forming device can start a device by a secure boot function which starts the device using a program stored in a boot ROM while detecting alteration of the program. The image forming device displays a warning message indicating that setting of the secure boot function was switched on a display unit when start of the device by the secure boot function is not set.SELECTED DRAWING: Figure 4

Description

本発明は、画像形成装置、その制御方法、及びプログラムに関する。   The present invention relates to an image forming apparatus, a control method thereof, and a program.

コピー、プリント、スキャン、ファクシミリ、及びネットワークインタフェースなどの機能を有する複合機などの画像形成装置が知られている。それらは、複数の種々のネットワークに接続でき、インターネットやイントラネットに接続して、ファイルの送受信やダウンロードファイルの印刷などの機能を実現している。オフィス環境においては、それら複合機のデータのセキュリティ対策のために、例えば、データアクセス先、ユーザアクセスを管理することでデータのセキュリティ管理を行っている。また、近年の複合機は、搭載されるファームウェアやアプリケーションなどの改ざん検知を検出するセキュアブート起動機能を有している。特許文献1では、セキュリティ状態を確保するコンピュータシステムにおいて、システムの起動時に、プログラムをチェックし、必要なプログラムがないと、起動を中断するセキュアブートが提案されている。   2. Description of the Related Art An image forming apparatus such as a multifunction peripheral having functions such as copy, print, scan, facsimile, and network interface is known. They can be connected to a plurality of various networks and are connected to the Internet or an intranet to realize functions such as sending and receiving files and printing downloaded files. In an office environment, data security management is performed by, for example, managing data access destinations and user access in order to take security measures for data of the multifunction peripherals. Also, recent multi-function peripherals have a secure boot start function for detecting tampering detection of firmware, applications, and the like to be mounted. Patent Literature 1 proposes, in a computer system for securing a security state, a secure boot in which a program is checked at the time of system startup and the startup is interrupted if there is no necessary program.

特開2006−318435号公報JP 2006-318435 A

しかしながら、上記従来技術には以下に記載する課題がある。例えば、セキュアブート機能については、当該機能をON及びOFFに設定することが可能である。通常、画像形成装置では、その内部のデータの情報漏洩を防止するセキュリティ確保の観点から、セキュアブート機能をONに設定して使用している。しかし、種々のユーザのいるオフィス環境においては、ユーザの都合で、セキュアブート機能をOFFに設定する可能性がある。この、セキュアブート機能がONからOFFに変更された場合、次に画像形成装置を立ち上げると、セキュアブート機能がOFFのまま起動することになり、オフィス環境において、他のユーザはそれに気づくことができない。セキュアブート機能がOFFに設定されると、画像形成装置としても、本体のプログラムの改ざん等を判断できない状態となる。このとき、例えばセキュリティレベルが低いネットワークに接続されている画像形成装置は、不正にHDD内部を閲覧されたり、ネットワーク上に不正にデータを送出されたり、或いはHDD内部のデータが破壊されたりなどの危険性がある。つまり、画像形成装置が保持するデータがセキュリティ的に懸念のある状態に置かれることになる。   However, the above prior art has the following problems. For example, the secure boot function can be set to ON and OFF. Normally, in the image forming apparatus, the secure boot function is set to ON in view of ensuring security for preventing information leakage of data in the image forming apparatus. However, in an office environment with various users, there is a possibility that the secure boot function is set to OFF for the convenience of the users. If the secure boot function is changed from ON to OFF, the next time the image forming apparatus is started up, it will start up with the secure boot function OFF, and other users may notice it in the office environment. Can not. When the secure boot function is set to OFF, the image forming apparatus cannot determine whether the program of the main body has been tampered with. At this time, for example, an image forming apparatus connected to a network having a low security level may illegally browse the inside of the HDD, illegally send data over the network, or destroy data inside the HDD. There is a risk. That is, the data held by the image forming apparatus is placed in a state of security concern.

本発明は、上述の問題の少なくとも一つに鑑みて成されたものであり、セキュアブート機能がONからOFFに設定された場合であっても、装置のセキュリティを好適に確保する仕組みを提供することを目的とする。   The present invention has been made in view of at least one of the above-described problems, and provides a mechanism for appropriately securing the security of a device even when a secure boot function is set from ON to OFF. The purpose is to:

本発明は、例えば、ブートROMに格納されているプログラムの改ざんを検知しつつ、該プログラムを用いて装置を起動するセキュアブート機能による起動が可能な画像形成装置であって、前記セキュアブート機能による装置の起動が行われる設定であるか否かを判定する判定手段と、前記判定手段による判定の結果、前記セキュアブート機能による装置の起動が行われない設定である場合に、前記セキュアブート機能の設定が切り替えられた旨の警告メッセージを表示部に表示する警告手段とを備えることを特徴とする。   The present invention is, for example, an image forming apparatus capable of being activated by a secure boot function that activates an apparatus using a program stored in a boot ROM while detecting falsification of the program. Determining means for determining whether the setting is to start the device; and, if the result of the determination by the determining means indicates that the device is not to be started by the secure boot function, the secure boot function is disabled. Warning means for displaying a warning message on the display unit that the setting has been switched.

本発明によれば、セキュアブート機能がONからOFFに設定された場合であっても、装置のセキュリティを好適に確保することができる。   According to the present invention, even when the secure boot function is set from ON to OFF, it is possible to appropriately secure the security of the device.

一実施形態に係る画像形成装置の接続を示す図。FIG. 1 is a diagram illustrating connection of an image forming apparatus according to an embodiment. 一実施形態に係る画像形成装置の構成を示す図。FIG. 1 is a diagram illustrating a configuration of an image forming apparatus according to an embodiment. 一実施形態に係る画像形成装置のコントローラ部の周辺の詳細を示す図。FIG. 2 is a diagram illustrating details around a controller unit of the image forming apparatus according to the embodiment. 一実施形態に係る画像形成装置のフローチャート。6 is a flowchart of the image forming apparatus according to the embodiment. 一実施形態に係る画像形成装置の他のフローチャート。9 is another flowchart of the image forming apparatus according to the embodiment. 一実施形態に係る画像形成装置の他のフローチャート。9 is another flowchart of the image forming apparatus according to the embodiment. 一実施形態に係る画像形成装置の他のコントローラ部の周辺の詳細を示す図。FIG. 4 is a diagram illustrating details of the periphery of another controller of the image forming apparatus according to the embodiment. 一実施形態に係る画像形成装置の他のフローチャート。9 is another flowchart of the image forming apparatus according to the embodiment. 一実施形態に係る画像形成装置の他のフローチャート。9 is another flowchart of the image forming apparatus according to the embodiment. 一実施形態に係る画像形成装置の他のコントローラ部の周辺の詳細を示す図。FIG. 4 is a diagram illustrating details of the periphery of another controller of the image forming apparatus according to the embodiment. 一実施形態に係る画像形成装置の他のフローチャート。9 is another flowchart of the image forming apparatus according to the embodiment. 一実施形態に係る画像形成装置の他のコントローラ部の周辺の詳細を示す図。FIG. 4 is a diagram illustrating details of the periphery of another controller of the image forming apparatus according to the embodiment. 一実施形態に係る画像形成装置の他のフローチャート。9 is another flowchart of the image forming apparatus according to the embodiment.

以下に本発明の一実施形態を示す。以下で説明される個別の実施形態は、本発明の上位概念、中位概念及び下位概念など種々の概念を理解するために役立つであろう。また、本発明の技術的範囲は、特許請求の範囲によって確立されるのであって、以下の個別の実施形態によって限定されるわけではない。なお、実施形態に係る画像形成装置として複合機(デジタル複合機/MFP/Multi Function Peripheral)を例に説明する。しかしながら適用範囲は複合機に限定はせず、画像処理機能を有する装置であればよい。   Hereinafter, an embodiment of the present invention will be described. The individual embodiments described below will be helpful in understanding various concepts of the present invention, such as superordinate, intermediate and subordinate concepts. Further, the technical scope of the present invention is established by the claims, and is not limited by the following individual embodiments. A multifunction peripheral (digital multifunction peripheral / MFP / Multi Function Peripheral) will be described as an example of the image forming apparatus according to the embodiment. However, the scope of application is not limited to the multifunction peripheral, but may be any device having an image processing function.

<第1の実施形態>
<画像形成装置のネットワーク接続>
以下では、添付図面を参照して、本発明の第1の実施形態について説明する。まず、図1を参照して、本実施形態に係る画像形成装置のネットワーク接続の一例について説明する。 <First embodiment>
<Network connection of image forming apparatus>
Hereinafter, a first embodiment of the present invention will be described with reference to the accompanying drawings. First, an example of a network connection of the image forming apparatus according to the present embodiment will be described with reference to FIG.

画像形成装置101は、複数のネットワークインタフェース、及び記憶装置110を備え、ネットワークインタフェースはネットワ―クケーブルを介して、種々のネットワーク網と接続することが可能である。例えば、オフィス環境において、画像形成装置101は、102に示す社内LANの環境への接続や、106に示すインターネット網への接続が考えられる。社内LAN102の環境では、イントラネット103のように、閉じた環境であって、イントラネットサーバ104がネットワークの管理を行い、複数のPC105、111と画像形成装置101とが接続された、閉鎖環境を構築している。また、106は画像形成装置101が外部のネットワークとの接続となるインターネット網との接続を示す。インターネット107に複数のネットワーク108、114が接続され、各ネットワーク108、114には、サーバ109、115、複数のPC112、113、116、117が接続されるネットワーク網を構成している。画像形成装置101はイントラネット103に接続しながら、インターネット107と接続し、何れのネットワークとの間でもデータの送受信を行うことができる。   The image forming apparatus 101 includes a plurality of network interfaces and a storage device 110. The network interfaces can be connected to various network networks via a network cable. For example, in an office environment, the image forming apparatus 101 may be connected to an in-house LAN environment 102 and may be connected to an Internet network 106. In the environment of the in-house LAN 102, an intranet 103 is a closed environment in which an intranet server 104 manages the network and constructs a closed environment in which a plurality of PCs 105 and 111 and the image forming apparatus 101 are connected. ing. Reference numeral 106 denotes a connection between the image forming apparatus 101 and the Internet, which is a connection with an external network. A plurality of networks 108 and 114 are connected to the Internet 107, and each of the networks 108 and 114 forms a network to which servers 109 and 115 and a plurality of PCs 112, 113, 116 and 117 are connected. The image forming apparatus 101 connects to the Internet 107 while connecting to the intranet 103, and can transmit and receive data to and from any network.

<画像形成装置の構成>
次に、図2を参照して、本実施形態に係る画像形成装置101の構成例を説明する。画像形成装置101は、コントローラ部201、ネットワーク部202、スキャナ部203、プリンタ部204、操作部205、記憶部206、ファクシミリ部207、及び電源部208を備える。各部は、内部バス209を介して、コントローラ部201からの制御信号や、各装置間のデータ信号を送受することができる。 <Configuration of Image Forming Apparatus>
Next, a configuration example of the image forming apparatus 101 according to the present embodiment will be described with reference to FIG. The image forming apparatus 101 includes a controller unit 201, a network unit 202, a scanner unit 203, a printer unit 204, an operation unit 205, a storage unit 206, a facsimile unit 207, and a power supply unit 208. Each unit can transmit and receive a control signal from the controller unit 201 and a data signal between the devices via the internal bus 209.

コントローラ部201は、後述のCPUが画像形成装置101全体の制御を司り、各種設定の制御やデータ処理を実行する。スキャナ部203は、スキャナで画像形成装置101の原稿台に載置された原稿から画像を読み取って画像データを生成し、生成した画像データをコントローラ部201に転送する処理などを実行する。プリンタ部204は、印刷を行うための画像データの処理などを実行する。   In the controller unit 201, a CPU described later controls the entire image forming apparatus 101, and controls various settings and executes data processing. The scanner unit 203 performs processing such as reading an image from a document placed on a document table of the image forming apparatus 101 with a scanner to generate image data, and transferring the generated image data to the controller unit 201. The printer unit 204 executes processing of image data for performing printing, and the like.

ネットワーク部202は、複数のネットワークインタフェースを備え、クライアントPC等の外部装置とのデータの送受信の制御等を行う。ファクシミリ部207は、ファクシミリ回線により接続されたファクシミリ装置とのデータの送受信の制御等を行う。記憶部206は、ハードディスクドライブ等で構成されており、スキャナ部203で読み取った画像データや印刷データの格納など、様々なデータの格納に使用される。操作部205は、不図示のオペレーションパネルを制御し、各種情報の表示、使用者からの指示入力を受け付ける。電源部208は画像形成装置の電源を供給するため、コンセントからの交流電源を画像形成装置101内部で使用する直流電源等への変換を行う。   The network unit 202 includes a plurality of network interfaces, and controls transmission and reception of data with an external device such as a client PC. The facsimile unit 207 controls transmission and reception of data to and from a facsimile apparatus connected by a facsimile line. The storage unit 206 is configured by a hard disk drive or the like, and is used for storing various data such as image data and print data read by the scanner unit 203. The operation unit 205 controls an operation panel (not shown), and displays various information and accepts an instruction input from a user. The power supply unit 208 converts an AC power supply from an outlet into a DC power supply or the like used in the image forming apparatus 101 in order to supply power to the image forming apparatus.

<コントローラ部周辺の詳細構成>
次に、図3を参照して、本実施形態に係る画像形成装置101のコントローラ部201周辺の詳細構成を説明する。コントローラ部201は、CPU301、ブートROM302、及びエンベデッドコントローラ303を備える。ネットワーク部202は、LANコントローラ310、312、コネクタ311、313を備える。記憶部206は、ディスクコントローラ304、及びHDD307を備える。 <Detailed configuration around controller section>
Next, a detailed configuration around the controller unit 201 of the image forming apparatus 101 according to the present embodiment will be described with reference to FIG. The controller unit 201 includes a CPU 301, a boot ROM 302, and an embedded controller 303. The network unit 202 includes LAN controllers 310 and 312 and connectors 311 and 313. The storage unit 206 includes a disk controller 304 and an HDD 307.

CPU301は、画像形成装置101において、コントローラ部201の制御を行うCPUであり、画像形成装置101の制御を司る。ブートROM302は、画像形成装置101の電源を起動したときに最初に読み出すプログラムが格納される。このブートROM302の起動を行った後、記憶部206からファームウェアやOSプログラムを動作させるための設定が行われる。エンベデッドコントローラ303は、画像形成装置101の起動時にブートROMの内容(プログラム)が改ざんされているか否かをチェックしつつ起動を行うセキュアブート機能と、セキュアブート機能をON又はOFFに設定する機能を備える。   The CPU 301 is a CPU that controls the controller unit 201 in the image forming apparatus 101, and controls the image forming apparatus 101. The boot ROM 302 stores a program that is read first when the power of the image forming apparatus 101 is turned on. After the boot ROM 302 is started, settings for operating the firmware and the OS program are made from the storage unit 206. The embedded controller 303 has a secure boot function for starting the image forming apparatus 101 while checking whether the contents (program) of the boot ROM has been tampered with, and a function for setting the secure boot function to ON or OFF. Prepare.

ここで、セキュアブートがONのときの動作について説明する。画像形成装置101を起動すると、エンベデッドコントローラ303はブートROM302のデータを読み出す。エンベデッドコントローラ303では、ブートROM302から読み出したデータの比較値として正しい値を内蔵メモリに記憶してある。この値を基準値とし、起動後にブートROM302から読み出したデータから比較値を算出する。エンベデッドコントローラ303の基準値と一致した場合、ブートROM302の内容は正常と判断し、エンベデッドコントローラ303はCPU301に電源イネーブル信号を通知し、その結果CPU301の起動を行う。また、基準値と一致しない場合は、ブートROM302の内容を不正(改ざんが行われている)と判断し、それ以降の起動は行わない。他のブートROM内容のチェック方法として、データの代表値を算出するハッシュ関数を用いて、ブートROMから算出したハッシュ値を正解値として、エンベデッドコントローラ303の記憶部に記憶しておいてもよい。そして、画像形成装置101の起動時にブートROM302のデータを読み出しながら、ハッシュ値の演算を行い、正解値と比較して、ROMデータ内容の正誤を判断する方法を用いてもよい。なお、セキュアブート機能がOFFに設定されている際の動作については図4を用いて後述する。   Here, the operation when the secure boot is ON will be described. When the image forming apparatus 101 is started, the embedded controller 303 reads data from the boot ROM 302. In the embedded controller 303, a correct value is stored in a built-in memory as a comparison value of the data read from the boot ROM 302. Using this value as a reference value, a comparison value is calculated from the data read from the boot ROM 302 after startup. If the value matches the reference value of the embedded controller 303, the contents of the boot ROM 302 are determined to be normal, and the embedded controller 303 notifies the CPU 301 of a power enable signal, and as a result, starts the CPU 301. If the value does not match the reference value, the contents of the boot ROM 302 are determined to be invalid (falsification has been performed), and subsequent booting is not performed. As another method of checking the contents of the boot ROM, a hash function that calculates a representative value of data may be used, and the hash value calculated from the boot ROM may be stored as a correct answer in the storage unit of the embedded controller 303. Then, a method may be used in which the hash value is calculated while reading out the data in the boot ROM 302 when the image forming apparatus 101 is started, and the calculated value is compared with the correct answer value to determine whether the ROM data content is correct or not. The operation when the secure boot function is set to OFF will be described later with reference to FIG.

記憶部206において、ディスクコントローラ304は、HDD307へのアクセス制御を行う。ディスクコントローラ304は、ディスクコントローラ用CPU305と制御部306とを含んで構成され、画像形成装置101のデータの読み出し、書き込み制御を行う。また、HDD307には、記憶領域308と記憶領域309との領域が設けられ、データの書き込み制御を306で行うことができる。HDD307のアクセス制御については図5及び図6を用いて後述する。   In the storage unit 206, the disk controller 304 controls access to the HDD 307. The disk controller 304 includes a disk controller CPU 305 and a control unit 306, and controls reading and writing of data of the image forming apparatus 101. The HDD 307 is provided with a storage area 308 and a storage area 309, and data write control can be performed by the data storage 306. The access control of the HDD 307 will be described later with reference to FIGS.

ネットワーク部202のLANコントローラ310、312は、複数のネットワークインタフェースのうちの1つのネットワークコントローラである。LANコネクタ311は、LANコントローラ310と外部機器とのネットワーク接続を行うコネクタ部である。LANコネクタ311にネットワークケーブルを接続することにより、LANコントローラ310を経由して外部ネットワークとの通信を行うことが可能となる。LANコントローラ312の接続先となるのが、LANコネクタ313である。LANコネクタ313にネットワークケーブルを接続することにより、LANコントローラ312を経由して通信を行うことが可能となる。   The LAN controllers 310 and 312 of the network unit 202 are one of a plurality of network interfaces. The LAN connector 311 is a connector unit that performs a network connection between the LAN controller 310 and an external device. By connecting a network cable to the LAN connector 311, communication with an external network via the LAN controller 310 can be performed. The connection destination of the LAN controller 312 is the LAN connector 313. By connecting a network cable to the LAN connector 313, communication can be performed via the LAN controller 312.

<起動時の制御>
次に、図4を参照して、本実施形態に係る画像形成装置101のコントローラ部201におけるエンベデッドコントローラ303の起動時の処理手順を説明する。以下では、エンベデッドコントローラをECと略記する。以下の説明は、ネットワークインタフェースを備える本実施形態の画像形成装置101において、セキュアブート機能のON又はOFFの設定において、画像形成装置101の起動時におけるEC303の制御に関する説明である。 <Startup control>
Next, with reference to FIG. 4, a processing procedure at the time of starting the embedded controller 303 in the controller unit 201 of the image forming apparatus 101 according to the present embodiment will be described. Hereinafter, the embedded controller is abbreviated as EC. The following description relates to the control of the EC 303 when the image forming apparatus 101 is started in the setting of ON or OFF of the secure boot function in the image forming apparatus 101 of the present embodiment including the network interface.

まず、電源SWのON操作により、画像形成装置101が起動されると、電力がEC303に供給される。S401で、EC303は、入力されるリセットICからのリセット信号を受け付けると、リセット解除を行う。これにより、内部のマスクROM314が起動する。続いて、S402で、EC303は、マスクROM314に保持している、セキュアブート機能がONかOFFかの確認を行う。セキュアブート機能がONに設定されている場合、S403へ進み、そうでない場合はS407に進む。   First, when the image forming apparatus 101 is started by turning on the power switch, power is supplied to the EC 303. In step S401, when the EC 303 receives the input reset signal from the reset IC, the EC 303 performs reset release. As a result, the internal mask ROM 314 is activated. Subsequently, in S402, the EC 303 checks whether the secure boot function stored in the mask ROM 314 is ON or OFF. If the secure boot function is set to ON, the process proceeds to S403; otherwise, the process proceeds to S407.

S403で、EC303は、ブートROM302を読み出し、演算により、ROMの比較値を算出する。一方、EC303の記憶領域に格納してある比較値を読み出し、前述の演算値と比較を行う。このようにして、ブートROM302に格納されたプログラム内容に関して、全領域の正誤チェックを行う。チェックの結果がOKの場合、S404へ進み、そうでない場合はS405に進む。S404で、EC303は、CPU301のリセット解除を行う。これにより、EC303によるセキュアブート機能がONに設定されている場合の起動処理が終了する。   In step S403, the EC 303 reads the boot ROM 302, and calculates a comparison value of the ROM by calculation. On the other hand, the comparison value stored in the storage area of the EC 303 is read and compared with the above-described calculated value. In this manner, the correctness / incorrectness of all areas is checked for the program contents stored in the boot ROM 302. If the check result is OK, the process proceeds to S404; otherwise, the process proceeds to S405. In S404, the EC 303 releases the reset of the CPU 301. Thus, the startup process by the EC 303 when the secure boot function is set to ON is completed.

一方、S403でブートROM302のチェック結果がNGの場合、S405で、EC303は、起動処理の中止処理を実行する。続いて、S406で、EC303は、ブートROM302のチェック結果がNGであるため、CPU301のリセット解除は行わず、リセット状態を継続させる処理を実行する。この場合、画像形成装置101としては起動せず処理が終了する。   On the other hand, when the check result of the boot ROM 302 is NG in S403, in S405, the EC 303 executes the stop processing of the startup processing. Subsequently, in step S406, the EC 303 executes the process of continuing the reset state without releasing the reset of the CPU 301 because the check result of the boot ROM 302 is NG. In this case, the process ends without starting the image forming apparatus 101.

また、S402でセキュアブート機能がOFFの場合、S407で、EC303は、前回起動したときのセキュアブート機能の設定のチェックを行う。具体的には、EC303は、マスクROM314に保持されている、セキュアブート機能の履歴設定がONかOFFかの確認を行う。前回のセキュアブート機能がONの場合、S408へ進み、そうでない場合はS410に進む。   If the secure boot function is OFF in S402, the EC 303 checks the setting of the secure boot function at the time of the previous boot in S407. Specifically, the EC 303 checks whether the history setting of the secure boot function stored in the mask ROM 314 is ON or OFF. If the previous secure boot function is ON, the process proceeds to S408; otherwise, the process proceeds to S410.

S408で、EC303は、CPU301のリセット解除を行う。続いて、S409で、EC303は、CPU301に対して、ブート設定ONからOFFに切り替わったことの通知を行う。当該通知を受けると、CPU301は、表示部に、セキュアブート機能がONからOFFに切り替わっている旨の表示を出力し、ユーザに対して、画像形成装置101のセキュリティの注意喚起を行う。セキュアブート機能がONからOFFに切り替えられた際におけるEC303の起動制御が終了する。   In step S408, the EC 303 releases the reset of the CPU 301. Subsequently, in step S409, the EC 303 notifies the CPU 301 that the boot setting has been switched from ON to OFF. Upon receiving the notification, the CPU 301 outputs, to the display unit, a display indicating that the secure boot function has been switched from ON to OFF, and alerts the user of the security of the image forming apparatus 101. The activation control of the EC 303 when the secure boot function is switched from ON to OFF ends.

一方、S407でセキュアブート機能の前回設定がOFFの場合、即ち、今回の起動時においてセキュアブート機能が連続してOFFとなっている場合、S410で、EC303は、CPU301のリセット解除を行う。S411で、EC303は、CPU301に対して、ブート設定連続OFFの通知を行う。当該通知を受けると、CPU301は、表示部に、セキュアブート機能がOFFのままになっている旨の表示を出力し、ユーザに対して、画像形成装置101のセキュリティの注意喚起を行う。この場合、ブート設定連続OFFのため、画像形成装置101の動作は継続される。以上よりセキュアブートの設定がOFFの場合のEC303の起動制御が終了する。   On the other hand, if the previous setting of the secure boot function is OFF in S407, that is, if the secure boot function is continuously OFF at the current startup, the EC 303 resets the CPU 301 in S410. In step S411, the EC 303 notifies the CPU 301 that the boot setting is continuously OFF. Upon receiving the notification, the CPU 301 outputs, to the display unit, a display indicating that the secure boot function remains OFF, and alerts the user of the security of the image forming apparatus 101. In this case, since the boot setting is continuously OFF, the operation of the image forming apparatus 101 is continued. Thus, the start control of the EC 303 when the secure boot setting is OFF is completed.

<アクセス制御>
次に、図5を参照して、本実施形態に係る画像形成装置101のコントローラ部201におけるEC303及びディスクコントローラ304のアクセス制御の処理手順を説明する。以下の説明は、ネットワークインタフェースを備える本発明の画像形成装置において、セキュアブートON又はOFFの設定において、ネットワークからのデータアクセスが発生した場合における記憶部へのアクセス制御に関する説明である。510のフローチャートはEC303の制御を示し、520のフローチャートはディスクコントローラ304の制御を示す。以下の説明において、EC303は、受付手段として機能する。 <Access control>
Next, with reference to FIG. 5, a description will be given of a processing procedure of access control of the EC 303 and the disk controller 304 in the controller unit 201 of the image forming apparatus 101 according to the present embodiment. The following description relates to access control to a storage unit when data access from a network occurs in setting of secure boot ON or OFF in an image forming apparatus of the present invention having a network interface. A flowchart 510 shows the control of the EC 303, and a flowchart 520 shows the control of the disk controller 304. In the following description, the EC 303 functions as a receiving unit.

まず、510のフローチャートについて説明する。コントローラ部201には、画像形成装置101のネットワーク部202のLANコントローラ310又はLANコントローラ312からネットワーク経由でデータが送られてくる。S501で、EC303は、画像形成装置101のセキュアブート機能が設定されている(ON)かどうかのチェックを行う。セキュアブート機能がONの設定の場合はS502へ進み、そうでない場合はS503に進む。   First, the flowchart of 510 will be described. Data is sent to the controller unit 201 from the LAN controller 310 or the LAN controller 312 of the network unit 202 of the image forming apparatus 101 via the network. In step S501, the EC 303 checks whether the secure boot function of the image forming apparatus 101 is set (ON). If the secure boot function is set to ON, the process proceeds to S502; otherwise, the process proceeds to S503.

S502で、EC303は、ディスクコントローラ用CPU305に対して、通信ポートを介して、セキュアブート機能がONの設定である旨を通知することにより、セキュアブート機能の設定をディスクコントローラ304に伝え、処理を終了する。一方、S503で、EC303は、ディスクコントローラ用CPU305に対して、通信ポートを介して、セキュアブート機能がOFFの設定である旨を通知し、セキュアブート設定をディスクコントローラ304に伝え、処理を終了する。以上により、EC303のセキュアブート設定の通知処理が終了となる。   In step S502, the EC 303 notifies the disk controller CPU 305 of the setting of the secure boot function to the disk controller 304 by notifying, via the communication port, that the secure boot function is set to ON. finish. On the other hand, in step S503, the EC 303 notifies the disk controller CPU 305 via the communication port that the secure boot function is set to OFF, transmits the secure boot setting to the disk controller 304, and ends the process. . With the above, the notification process of the secure boot setting of the EC 303 ends.

次に、520のディスクコントローラ304のフローチャートについて説明する。S504で、ディスクコントローラ用CPU305は、メインCPU301からのデータ転送があったか否かを定期的に判断する。データを受信すると、S505に進み、ディスクコントローラ用CPU305は、セキュアブート設定の確認を行う。ここで、ディスクコントローラ用CPU305は上記S502で、セキュアブート機能がONに設定されている旨の通知を受けとっていれば、S506へ進む。セキュアブート機能の設定がON、即ち、HDD307へのデータの書き込みが許可されていることを示す。S506で、ディスクコントローラ用CPU305は、制御部306に対して、受信したデータの書き込み命令を発行する。制御部306は書き込み命令の指示に従って、HDD307にデータ転送を行う。以上の処理により、データ書き込みが行われる。   Next, a flowchart of the 520 disk controller 304 will be described. In step S504, the disk controller CPU 305 periodically determines whether data has been transferred from the main CPU 301. Upon receiving the data, the process advances to step S505, and the disk controller CPU 305 checks the secure boot setting. If the disk controller CPU 305 has received the notification that the secure boot function is set to ON in S502, the process proceeds to S506. This indicates that the setting of the secure boot function is ON, that is, writing of data to the HDD 307 is permitted. In S506, the disk controller CPU 305 issues a command to write the received data to the control unit 306. The control unit 306 performs data transfer to the HDD 307 according to the instruction of the write command. Data writing is performed by the above processing.

一方、S505で、セキュアブート機能の設定がOFFである旨の通知を受けていれば、S507へ進む。セキュアブート機能がOFFの場合は、データセキュリティの確保のために、HDD307へのアクセスを許可しない。よって、S507で、ディスクコントローラ用CPU305は、制御部306に対して、データの書き込み命令を発行せず、処理を終了する。この場合、HDD307にデータが転送されず、データ書き込みは行われない。ここで、ディスクコントローラ用CPU305は、CPU301に対し、セキュアブート機能がOFFに設定されている場合の疑似的な書き込み終了コマンドを伝え、処理を終了する。これにより、画像形成装置101におけるデータセキュリティが確保される。   On the other hand, if it is determined in step S505 that the setting of the secure boot function is OFF, the process advances to step S507. When the secure boot function is OFF, access to the HDD 307 is not permitted to ensure data security. Therefore, in step S507, the disk controller CPU 305 does not issue a data write command to the control unit 306, and ends the process. In this case, no data is transferred to the HDD 307, and no data writing is performed. Here, the disk controller CPU 305 transmits to the CPU 301 a pseudo write end command when the secure boot function is set to OFF, and ends the processing. Thereby, data security in the image forming apparatus 101 is ensured.

以上説明したように、本実施形態に係る画像形成装置101は、ブートROMに格納されているプログラムの改ざんを検知しつつ、当該プログラムを用いて装置を起動するセキュアブート機能による起動が可能な画像形成装置である。本画像形成装置は、セキュアブート機能による装置の起動が行われない設定である場合に、セキュアブート機能の設定が切り替えられた旨の警告メッセージを表示部に表示する。また、このような制御は、セキュアブート機能の設定が切り替えられたタイミングで行われることが望ましい。これにより、画像形成装置に保持されるプログラム(ソフトウェア)が不正に改ざんされていた場合、セキュアブートがOFFであるため不正を判断できず、不正にネットワークからディスクにアクセスされる可能性をユーザへ好適に通知することができる。よって、そのような不正な改ざんによる情報漏洩を未然に防ぐことができる。また、本実施形態によれば、複数のネットワークを備える画像形成装置101において、セキュアブート機能がOFFに設定されている場合は、ディスクコントローラ304が記憶部へのアクセスを行わない。これにより、画像形成装置101におけるデータセキュリティが好適に確保される。   As described above, the image forming apparatus 101 according to the present embodiment detects the falsification of the program stored in the boot ROM and activates the image using the secure boot function that starts the apparatus using the program. It is a forming device. The image forming apparatus displays a warning message indicating that the setting of the secure boot function has been switched on the display unit when the setting is such that the apparatus is not activated by the secure boot function. It is desirable that such control be performed at the timing when the setting of the secure boot function is switched. Thus, if the program (software) held in the image forming apparatus has been tampered with, the boot cannot be determined because the secure boot is OFF, and the possibility that the disk will be accessed illegally from the network is given to the user. It can be suitably notified. Therefore, it is possible to prevent information leakage due to such unauthorized tampering. Further, according to the present embodiment, in the image forming apparatus 101 having a plurality of networks, when the secure boot function is set to OFF, the disk controller 304 does not access the storage unit. Thereby, data security in the image forming apparatus 101 is appropriately secured.

<変形例>
次に、図6を参照して、本実施形態に係る画像形成装置101のコントローラ部201におけるディスクコントローラ304のアクセス制御の処理手順を説明する。本フローチャートは図5の520のフローチャートの変形例である。同一のステップ番号については同様の制御を行うため説明を省略する。 <Modification>
Next, with reference to FIG. 6, a processing procedure of access control of the disk controller 304 in the controller unit 201 of the image forming apparatus 101 according to the present embodiment will be described. This flowchart is a modified example of the flowchart of 520 in FIG. Since the same control is performed for the same step numbers, the description is omitted.

S505のセキュアブート機能の設定の確認において、S503においてセキュアブート機能の設定がOFFである旨の通知を受けていれば、S601へ進む。   In the confirmation of the setting of the secure boot function in S505, if the notification that the setting of the secure boot function is OFF is received in S503, the process proceeds to S601.

セキュアブート設定OFFの場合、S601で、ディスクコントローラ用CPU305は、記憶部へのアクセスアドレスが許可されている領域であるかどうかの判断を行う。そのため、ディスクコントローラ用CPU305は、メインCPU301からの転送データのアドレスを確認する。データセキュリティ確保のために、制御部306は、HDD307へのアクセス許可領域として設けられた記憶領域308と、アクセス不許可領域として設けられた記憶領域309との、それぞれのアクセスアドレス領域を、当該制御部306の内部に保持している。ディスクコントローラ用CPU305は、受信データのアドレス値を参照して、アクセス許可領域であれば、S602へ進み、そうでない場合はS603へ進む。   If the secure boot setting is OFF, in step S601, the disk controller CPU 305 determines whether the area is an area where an access address to the storage unit is permitted. Therefore, the disk controller CPU 305 checks the address of the transfer data from the main CPU 301. In order to ensure data security, the control unit 306 sets the respective access address areas of the storage area 308 provided as an access permitted area to the HDD 307 and the storage area 309 provided as an access non-permitted area, It is held inside the unit 306. The disk controller CPU 305 refers to the address value of the received data and proceeds to S602 if it is an access-permitted area, and otherwise proceeds to S603.

S602で、ディスクコントローラ用CPU305は、制限された許可領域へのデータの書き込み許可のため、制御部306に対して書き込み命令を発行し、処理を終了する。制御部306は書き込み命令の指示により、HDD307にデータ転送を行う。以上の処理により、データ書き込みが行われる。一方、S603で、ディスクコントローラ用CPU305は、ディスクコントローラへのアクセスを許可しないため、制御部306に対して、アクセスに対応する書き込み命令を発行せず、処理を終了する。そのため、HDD307にデータが転送されず、データ書き込みは行われない。ここで、ディスクコントローラ用CPU305は、CPU301に対し、セキュアブートOFF設定での疑似的な書き込み終了コマンドを伝え、処理を終了する。これにより、画像形成装置101におけるデータセキュリティが好適に確保される。   In step S602, the disk controller CPU 305 issues a write command to the control unit 306 to permit writing of data to the restricted permission area, and ends the processing. The control unit 306 transfers data to the HDD 307 according to the instruction of the write command. Data writing is performed by the above processing. On the other hand, in step S603, the disk controller CPU 305 does not permit access to the disk controller, and thus does not issue a write command corresponding to the access to the control unit 306, and ends the process. Therefore, no data is transferred to the HDD 307, and no data writing is performed. Here, the disk controller CPU 305 transmits a pseudo write end command in the secure boot OFF setting to the CPU 301, and ends the processing. Thereby, data security in the image forming apparatus 101 is appropriately secured.

このように、本変形例によれば、複数のネットワークを備える画像形成装置101において、セキュアブート機能がOFFに設定されている場合、ディスクコントローラ304が記憶部の制限された領域へのアクセスを許可する。一方、許可されていない領域へのアクセスは制限する。これにより、画像形成装置におけるデータセキュリティを好適に確保することができる。   As described above, according to the present modification, when the secure boot function is set to OFF in the image forming apparatus 101 including a plurality of networks, the disk controller 304 permits access to the restricted area of the storage unit. I do. On the other hand, access to an area that is not permitted is restricted. Thereby, data security in the image forming apparatus can be suitably secured.

<第2の実施形態>
以下では、図7乃至図9を参照して、本発明の第2の実施形態について説明する。本実施形態では、セキュアブート機能がOFFに設定されている場合に、ネットワークを無効化する制御について説明する。なお、本実施形態は、上記実施形態と組み合わせて適用することができる。 <Second embodiment>
Hereinafter, a second embodiment of the present invention will be described with reference to FIGS. In the present embodiment, control for disabling the network when the secure boot function is set to OFF will be described. Note that this embodiment can be applied in combination with the above embodiment.

<コントローラ部周辺の詳細構成>
まず、図7を参照して、本実施形態に係る画像形成装置101のコントローラ部周辺の構成について説明する。上記第1の実施形態で説明した図3との差分について主に説明する。 <Detailed configuration around controller section>
First, a configuration around the controller of the image forming apparatus 101 according to the present embodiment will be described with reference to FIG. The difference from FIG. 3 described in the first embodiment will be mainly described.

ネットワーク部202に設けられたLANコントローラ(ネットワークコントローラ)712は内部にCPU701、リセット部702、及び電源部703を備える。CPU701は、LANコントローラ712の制御を司る。リセット部702はLANコントローラの設定の初期化を行う。リセット部702は、外部に端子があり、EC303と接続されている。電源部703はLANコントローラ712の電源制御を行う。LANコントローラ712の外部にスイッチ704が設けられ、EC303と接続されている。LANコントローラ713と同様の構成であり、CPU705、リセット部706、及び電源部707を備える。電源部707はスイッチ708に接続される。   A LAN controller (network controller) 712 provided in the network unit 202 includes a CPU 701, a reset unit 702, and a power supply unit 703 inside. The CPU 701 controls the LAN controller 712. The reset unit 702 initializes the settings of the LAN controller. The reset unit 702 has an external terminal and is connected to the EC 303. The power supply unit 703 controls the power supply of the LAN controller 712. A switch 704 is provided outside the LAN controller 712, and is connected to the EC 303. The configuration is the same as that of the LAN controller 713, and includes a CPU 705, a reset unit 706, and a power supply unit 707. The power supply unit 707 is connected to the switch 708.

また、記憶部206は、ディスクコントローラ304に加えて、RAM710及びHDD711を備える。   The storage unit 206 includes a RAM 710 and an HDD 711 in addition to the disk controller 304.

<起動制御>
次に、図8を参照して、本実施形態に係る画像形成装置101のコントローラ部201におけるEC303の起動制御を説明する。 <Startup control>
Next, activation control of the EC 303 in the controller unit 201 of the image forming apparatus 101 according to the present embodiment will be described with reference to FIG.

画像形成装置101の起動後、S801で、EC303は、画像形成装置101のセキュアブート機能の設定のチェックを行う。セキュアブート機能がONに設定されている場合はS802へ進み、そうでない場合はS803に進む。   After starting the image forming apparatus 101, the EC 303 checks the setting of the secure boot function of the image forming apparatus 101 in S801. If the secure boot function has been set to ON, the process proceeds to S802; otherwise, the process proceeds to S803.

S802で、EC303は、LANコントローラ712のリセット部702、LANコントローラ713のリセット部706を解除し、LANコントローラの機能を有効化し、画像形成装置101の起動処理を継続することにより、処理を終了する。この場合、画像形成装置101におけるLANコントローラの機能は有効となる。つまり、セキュアブート機能が有効である場合には、外部との通信を可能にすべくLANコントローラを有効にする。   In step S <b> 802, the EC 303 releases the reset unit 702 of the LAN controller 712 and the reset unit 706 of the LAN controller 713, activates the function of the LAN controller, and continues the startup processing of the image forming apparatus 101, thereby ending the processing. . In this case, the function of the LAN controller in the image forming apparatus 101 becomes effective. That is, when the secure boot function is valid, the LAN controller is enabled to enable communication with the outside.

一方、セキュアブート機能がOFFに設定されている場合、S803で、EC303は、LANコントローラ712のリセット部702、LANコントローラ713のリセット部706のリセット解除を行わず、処理を終了する。これにより、LANコントローラの機能が無効化され、接続が行われない。この処理により、画像形成装置におけるLANコントローラの機能は無効となる。つまり、セキュアブート機能が無効である場合には、外部との通信を制限するように、LANコントローラを無効にする。これにより、画像形成装置101におけるデータセキュリティの向上が可能となる。   On the other hand, if the secure boot function is set to OFF, in step S803, the EC 303 does not release the reset of the reset unit 702 of the LAN controller 712 and the reset unit 706 of the LAN controller 713, and ends the process. As a result, the function of the LAN controller is invalidated and no connection is made. By this processing, the function of the LAN controller in the image forming apparatus is invalidated. That is, when the secure boot function is disabled, the LAN controller is disabled so as to restrict communication with the outside. As a result, data security in the image forming apparatus 101 can be improved.

<変形例>
次に、図9を参照して、本発明の画像形成装置のコントローラ部201におけるEC303の起動制御の変形例を説明する。 <Modification>
Next, with reference to FIG. 9, a description will be given of a modification of the activation control of the EC 303 in the controller unit 201 of the image forming apparatus of the present invention.

画像形成装置101の起動後、S901で、EC303は、画像形成装置101におけるセキュアブート機能の設定のチェックを行う。セキュアブート機能がONに設定されている場合はS902へ進み、そうでない場合はS903に進む。   After starting the image forming apparatus 101, the EC 303 checks the setting of the secure boot function in the image forming apparatus 101 in S901. If the secure boot function has been set to ON, the process proceeds to S902; otherwise, the process proceeds to S903.

S902で、EC303は、LANコントローラ712の電源部703、LANコントローラ713の電源部707に接続するスイッチ704、708をONに制御し、処理を終了する。これにより、LANコントローラ712、LANコントローラ713の電源が印加され、LANコントローラの機能が有効化され、画像形成装置101の起動処理が継続される。この場合、画像形成装置101におけるLANコントローラの機能は有効となる。つまり、セキュアブート機能が有効である場合には、外部との通信を可能にすべくLANコントローラへの電源供給を行う。   In step S902, the EC 303 controls the power supply unit 703 of the LAN controller 712 and the switches 704 and 708 connected to the power supply unit 707 of the LAN controller 713 to ON, and ends the process. As a result, the power of the LAN controller 712 and the LAN controller 713 is applied, the function of the LAN controller is validated, and the activation processing of the image forming apparatus 101 is continued. In this case, the function of the LAN controller in the image forming apparatus 101 becomes effective. That is, when the secure boot function is effective, power is supplied to the LAN controller to enable communication with the outside.

一方、セキュアブート機能がOFFに設定されている場合はS903で、EC303は、LANコントローラ712の電源部703、LANコントローラ713の電源部707に接続するスイッチ704、708をOFFに制御し、処理を終了する。これにより、LANコントローラ712、LANコントローラ713への電源供給を遮断する。そのため、LANコントローラの機能が無効化され、通信接続が行われない。この処理により、画像形成装置101におけるLANコントローラの機能は無効となる。つまり、セキュアブート機能が無効である場合には、外部との通信を制限すべくLANコントローラへの電源供給を遮断する。これにより、LANコントローラの機能を無効化することにより、画像形成装置101におけるデータセキュリティの向上が可能となる。   On the other hand, if the secure boot function is set to OFF, in step S903, the EC 303 controls the switches 704 and 708 connected to the power supply unit 703 of the LAN controller 712 and the power supply unit 707 of the LAN controller 713 to OFF, and performs the processing. finish. As a result, power supply to the LAN controller 712 and the LAN controller 713 is cut off. Therefore, the function of the LAN controller is invalidated, and no communication connection is made. By this processing, the function of the LAN controller in the image forming apparatus 101 becomes invalid. That is, when the secure boot function is invalid, the power supply to the LAN controller is cut off to restrict communication with the outside. As a result, the data security of the image forming apparatus 101 can be improved by disabling the function of the LAN controller.

<第3の実施形態>
以下では、図10及び図11を参照して、本発明の第3の実施形態について説明する。本実施形態では、セキュアブート機能がOFFに設定されている場合に、LAN変換モジュールを用いたネットワークを無効化する制御について説明する。なお、本実施形態は、上記実施形態と組み合わせて適用することができる。 <Third embodiment>
Hereinafter, a third embodiment of the present invention will be described with reference to FIGS. In the present embodiment, control for invalidating a network using a LAN conversion module when the secure boot function is set to OFF will be described. Note that this embodiment can be applied in combination with the above embodiment.

<コントローラ部周辺の詳細構成>
まず、図10を参照して、本実施形態に係る画像形成装置101のコントローラ部周辺の構成について説明する。上記第1及び第2の実施形態で説明した図3及び図7との差分について主に説明する。 <Detailed configuration around controller section>
First, the configuration around the controller of the image forming apparatus 101 according to this embodiment will be described with reference to FIG. The differences from FIGS. 3 and 7 described in the first and second embodiments will be mainly described.

コントローラ部201はUSBインタフェース1001を備えており、USBインタフェースを用いた機能を接続することにより、外部拡張が可能となる。コントローラ部201は、外部拡張機能とCPU301を経由するデータのやり取り、及び、EC303からの制御を行う。ネットワーク部202には、LANコントローラ712、713に加えて、拡張用のネットワークコントローラであるLAN変換モジュール1002によるLANを構成する。LAN変換モジュール1002は、USBインタフェース1001と接続され、変換コントローラ1007を経由して、LANコントローラ用として、CPU1003を備え、LANコントローラの制御を司る。リセット部1004はLAN変換モジュールの設定の初期化を行う。電源部1005はLAN変換モジュールの電源制御を行う。外部にスイッチ1008を備え、USBインタフェース1001を介してEC303と接続されている。コネクタ1006を介して、データのやり取りを行う構成を備えている。   The controller unit 201 includes a USB interface 1001, and external expansion is possible by connecting a function using the USB interface. The controller unit 201 exchanges data with the external extension function via the CPU 301 and performs control from the EC 303. In the network unit 202, in addition to the LAN controllers 712 and 713, a LAN is configured by a LAN conversion module 1002 which is a network controller for expansion. The LAN conversion module 1002 is connected to the USB interface 1001 and includes a CPU 1003 for the LAN controller via the conversion controller 1007, and controls the LAN controller. The reset unit 1004 initializes the settings of the LAN conversion module. The power supply unit 1005 controls the power supply of the LAN conversion module. A switch 1008 is provided externally and is connected to the EC 303 via the USB interface 1001. A configuration for exchanging data via the connector 1006 is provided.

<起動制御>
次に、図11を参照して、本実施形態に係る画像形成装置101のコントローラ部201におけるEC303の起動時の処理手順を説明する。 <Startup control>
Next, with reference to FIG. 11, a processing procedure at the time of starting the EC 303 in the controller unit 201 of the image forming apparatus 101 according to the present embodiment will be described.

画像形成装置101の起動後、S1101で、EC303は、画像形成装置101におけるセキュアブート機能の設定のチェックを行う。セキュアブート機能がONに設定されている場合はS1102へ進み、そうでない場合はS1103に進む。   After starting the image forming apparatus 101, the EC 303 checks the setting of the secure boot function in the image forming apparatus 101 in S1101. If the secure boot function is set to ON, the process proceeds to S1102; otherwise, the process proceeds to S1103.

S1102で、EC303は、コントローラ部201のUSBインタフェース1001の接続を有効にし、LAN変換モジュール1002の機能を有効化し、画像形成装置101の起動処理を継続することにより、処理を終了する。この場合、画像形成装置101におけるLANコントローラの機能は有効となる。つまり、セキュアブート機能が有効である場合には、外部との通信を可能にすべくUSBインタフェース1001の接続を有効する。   In step S1102, the EC 303 enables the connection of the USB interface 1001 of the controller unit 201, enables the function of the LAN conversion module 1002, and continues the startup processing of the image forming apparatus 101, thereby ending the processing. In this case, the function of the LAN controller in the image forming apparatus 101 becomes effective. That is, when the secure boot function is enabled, the connection of the USB interface 1001 is enabled to enable communication with the outside.

一方、セキュアブート機能がOFFに設定されている場合、S1103で、EC303は、コントローラ部201のUSBインタフェース1001の接続を切断し、LAN変換モジュール1002の機能を無効化し、接続を行わず、処理を終了する。これにより、画像形成装置101におけるLANコントローラの機能は無効となる。つまり、セキュアブート機能が無効である場合には、外部との通信を制限するように、USBインタフェース1001を切断し、LANコントローラを無効にする。これにより、画像形成装置101におけるデータセキュリティの向上が可能となる。   On the other hand, if the secure boot function is set to OFF, in step S1103, the EC 303 disconnects the connection of the USB interface 1001 of the controller unit 201, disables the function of the LAN conversion module 1002, and does not perform the connection. finish. As a result, the function of the LAN controller in the image forming apparatus 101 becomes invalid. That is, when the secure boot function is invalid, the USB interface 1001 is disconnected and the LAN controller is invalidated so as to restrict communication with the outside. As a result, data security in the image forming apparatus 101 can be improved.

<第4の実施形態>
以下では、図12及び図13を参照して、本発明の第4の実施形態について説明する。本実施形態では、セキュアブート機能がOFFに設定されている場合における、ネットワークモジュールの動作について説明する。なお、本実施形態は、上記実施形態と組み合わせて適用することができる。 <Fourth embodiment>
Hereinafter, a fourth embodiment of the present invention will be described with reference to FIGS. In the present embodiment, an operation of the network module when the secure boot function is set to OFF will be described. Note that this embodiment can be applied in combination with the above embodiment.

<コントローラ部周辺の詳細構成>
まず、図12を参照して、本実施形態に係る画像形成装置101のコントローラ部周辺の構成について説明する。上記第1乃至第3の実施形態で説明した構成及び制御との差分、特に、図10との差分について主に説明する。 <Detailed configuration around controller section>
First, the configuration around the controller of the image forming apparatus 101 according to the present embodiment will be described with reference to FIG. Differences from the configuration and control described in the first to third embodiments, particularly differences from FIG. 10, will be mainly described.

ネットワーク部202には、LANコントローラ712、713に加えて、LAN変換モジュール1002によるLANの構成が設けられる。LAN変換モジュール1002は、コネクタ1006を介して、PC1201、1203、1204と接続される。PC1201、1203、1204はネットワーク網1202と接続され、LANを介してデータのやり取りを行うことができる。   The network unit 202 includes a LAN configuration including a LAN conversion module 1002 in addition to the LAN controllers 712 and 713. The LAN conversion module 1002 is connected to the PCs 1201, 1203, and 1204 via the connector 1006. The PCs 1201, 1203, and 1204 are connected to a network 1202, and can exchange data via a LAN.

<印刷制御>
次に、図13を参照して、本実施形態に係る画像形成装置101のコントローラ部201におけるEC303及びLAN変換モジュール1002における印刷制御の処理手順を説明する。 <Print control>
Next, with reference to FIG. 13, a description will be given of a processing procedure of print control in the EC 303 and the LAN conversion module 1002 in the controller unit 201 of the image forming apparatus 101 according to the present embodiment.

画像形成装置101の起動後、S1301で、EC303は、画像形成装置101におけるセキュアブート機能の設定のチェックを行う。セキュアブート機能がONに設定されている場合はS1302へ進み、そうでない場合はS1304に進む。S1302で、LAN変換モジュール1002のCPU1003は、PC1201の指示により、データ転送が行われたか否かを判断する。データ転送が行われた場合、S1303へ進み、EC303は、ジョブをコントローラ部201へ送り、画像形成装置101でプリント処理を実行し、処理を終了する。なお、S1302でデータ転送待ちの場合は、S1302の判定が定期的に繰り返される。   After starting the image forming apparatus 101, the EC 303 checks the setting of the secure boot function in the image forming apparatus 101 in S1301. If the secure boot function has been set to ON, the process advances to step S1302; otherwise, the process advances to step S1304. In step S1302, the CPU 1003 of the LAN conversion module 1002 determines whether data transfer has been performed based on an instruction from the PC 1201. If the data transfer has been performed, the process advances to step S1303, where the EC 303 sends the job to the controller unit 201, executes print processing in the image forming apparatus 101, and ends the processing. In the case of waiting for data transfer in S1302, the determination in S1302 is repeated periodically.

一方、S1301で画像形成装置101におけるセキュアブート機能がOFFに設定されている場合、S1304で、LAN変換モジュール1002のCPU1003は、プリントポートの設定を行い、例えばポート9001を介するデータ転送のみを許可する。続いて、S1305で、CPU1003は、PC1201の指示により、データ転送が行われたか否かを判断する。データ転送が行われた場合、S1306へ進み、CPU1003は、送信データのヘッダを解析し、データのポート番号が9001かどうかを確認する。ポート番号が一致すると、CPU1003は、プリントデータであると判断し、S1307へ進む。その後、EC303は、ジョブをコントローラ部201へ送り、画像形成装置101でプリント処理実行し、処理を終了する。一方、データがプリントデータでない場合は、S1308へ進み、EC303は、プリント処理を行わず、処理を終了する。   On the other hand, if the secure boot function of the image forming apparatus 101 is set to OFF in S1301, the CPU 1003 of the LAN conversion module 1002 sets the print port in S1304, and permits, for example, only data transfer via the port 9001. . Subsequently, in step S1305, the CPU 1003 determines whether data transfer has been performed in accordance with an instruction from the PC 1201. If the data transfer has been performed, the process advances to step S1306, and the CPU 1003 analyzes the header of the transmission data and checks whether the port number of the data is 9001. If the port numbers match, the CPU 1003 determines that the data is print data, and proceeds to S1307. Thereafter, the EC 303 sends the job to the controller unit 201, executes print processing in the image forming apparatus 101, and ends the processing. On the other hand, if the data is not print data, the process advances to step S1308, and the EC 303 ends the process without performing the print process.

ここで、セキュアブート機能がOFFに設定されている場合に、ネットワーク網1202にあるPC1201からLAN変換モジュール1002を介して、画像形成装置101へのHDDデータの読み出しアクセスされた場合の処理について詳細に説明する。   Here, in the case where the secure boot function is set to OFF, the processing when the PC 1201 in the network 1202 accesses the image forming apparatus 101 to read out the HDD data via the LAN conversion module 1002 will be described in detail. explain.

S1305で、CPU1003は、データ転送が行われたか否かを判断する。PC1201から画像形成装置101へのHDDデータの読み出しアクセスが行われると、データ転送が行われ、S1306へ進む。S1306で、CPU1003は、送信データのヘッダを解析し、データのポート番号が9001かどうかを確認する。ポート番号が一致しないため、CPU1003はプリントデータでないと判断し、S1308へ進み、読み出しアクセスの処理を行わず、処理を終了する。   In S1305, CPU 1003 determines whether or not data transfer has been performed. When read access of HDD data is performed from the PC 1201 to the image forming apparatus 101, data transfer is performed, and the process proceeds to S1306. In step S1306, the CPU 1003 analyzes the header of the transmission data and checks whether the port number of the data is 9001. Since the port numbers do not match, the CPU 1003 determines that the data is not print data, advances to S1308, ends the process without performing the read access process, and ends the process.

このように、本実施形態によれば、セキュアブート機能がOFFに設定されている場合、画像形成装置101へのHDDデータの読み出しアクセスに対して、HDD307からデータを送信することは行わず、ジョブ処理を中止する。さらに、本画像形成装置のジョブ処理におけるポート番号の設定において、受信パケットの内容に応じて、その後のジョブ処理を継続するか否かをプログラミング可能となる。   As described above, according to the present embodiment, when the secure boot function is set to OFF, the HDD 307 does not transmit data in response to the HDD data read access to the image forming apparatus 101, and Cancel processing. Further, in setting the port number in the job processing of the image forming apparatus, it is possible to program whether or not to continue the subsequent job processing according to the contents of the received packet.

以上説明したように、複数のネットワークを備える画像形成装置101において、セキュアブート機能がOFFに設定されている場合、LAN変換モジュールにより、所定のポート番号のデータのみを受信許可と判断し、印刷のみを許可することができる。また、画像形成装置101へのHDDデータの読み出しアクセスや、他のジョブには応答しないことにより、画像形成装置101におけるデータセキュリティの向上が可能となる。   As described above, in the image forming apparatus 101 including a plurality of networks, when the secure boot function is set to OFF, the LAN conversion module determines that only data of a predetermined port number is permitted to be received, and only prints. Can be allowed. In addition, data security in the image forming apparatus 101 can be improved by accessing the image forming apparatus 101 for reading HDD data and not responding to other jobs.

<その他の実施形態>
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。 <Other embodiments>
The present invention supplies a program for realizing one or more functions of the above-described embodiments to a system or an apparatus via a network or a storage medium, and one or more processors in a computer of the system or the apparatus read and execute the program. This processing can be realized. Further, it can be realized by a circuit (for example, an ASIC) that realizes one or more functions.

101:画像形成装置、102:社内LAN、103:イントラ―ネット、104:イントラネットサーバ、105、111〜113、116、117:PC、106:インターネット網、107:インターネット、108、114:ネットワーク、109、115:サーバ、110:記憶装置   101: Image forming apparatus, 102: In-house LAN, 103: Intranet, 104: Intranet server, 105, 111 to 113, 116, 117: PC, 106: Internet network, 107: Internet, 108, 114: Network, 109 , 115: server, 110: storage device

Claims (11)

ブートROMに格納されているプログラムの改ざんを検知しつつ、該プログラムを用いて装置を起動するセキュアブート機能による起動が可能な画像形成装置であって、
前記セキュアブート機能による装置の起動が行われる設定であるか否かを判定する判定手段と、
前記判定手段による判定の結果、前記セキュアブート機能による装置の起動が行われない設定である場合に、前記セキュアブート機能の設定が切り替えられた旨の警告メッセージを表示部に表示する警告手段と
を備えることを特徴とする画像形成装置。 An image forming apparatus capable of being activated by a secure boot function that activates an apparatus using the program while detecting tampering of a program stored in a boot ROM,
Determining means for determining whether or not the setting is such that the device is started by the secure boot function;
When the result of the determination by the determination unit is a setting in which the device is not started by the secure boot function, a warning unit that displays a warning message indicating that the setting of the secure boot function has been switched is displayed on a display unit. An image forming apparatus comprising: 前記判定手段は、さらに、前回の起動時において前記セキュアブート機能による装置の起動が行われない設定であったか否かを判定し、
前記警告手段は、前記判定手段による判定の結果、前回の起動時において前記セキュアブート機能による装置の起動が行われない設定であり、かつ、今回の起動においても前記セキュアブート機能による装置の起動が行われない設定である場合には、連続してセキュアブート機能の設定が行われていない旨の警告メッセージを前記表示部に表示することを特徴とする請求項1に記載の画像形成装置。 The determination unit further determines whether or not the setting was not performed at the time of the previous startup so that the device is not started by the secure boot function,
As a result of the determination by the determination unit, the warning unit is set so that the device is not started up by the secure boot function at the previous startup, and the device is started up by the secure boot function even at the current startup. The image forming apparatus according to claim 1, wherein when the setting is not performed, a warning message indicating that the setting of the secure boot function is not performed continuously is displayed on the display unit. 前記画像形成装置に設けられた記憶手段へのアクセスを受け付ける受付手段と、
前記判定手段による判定の結果、前記セキュアブート機能による装置の起動が行われない設定である場合に、前記受付手段によって受け付けたアクセスに対応する前記記憶手段へのデータの書き込み及び前記記憶手段からのデータの読み出しを制限する制限手段と
をさらに備えることを特徴とする請求項1又は2に記載の画像形成装置。 A receiving unit that receives access to a storage unit provided in the image forming apparatus;
As a result of the determination by the determination unit, when the setting is such that the device is not started by the secure boot function, data is written to the storage unit corresponding to the access received by the reception unit, and the data is read from the storage unit. The image forming apparatus according to claim 1, further comprising a limiter configured to limit data reading. 前記制限手段は、前記判定手段による判定の結果、前記セキュアブート機能による装置の起動が行われない設定であっても、前記受付手段によって受け付けたアクセスが前記記憶手段の所定の領域へのアクセスであれば、該アクセスを許可することを特徴とする請求項3に記載の画像形成装置。   As a result of the determination by the determination unit, the limiting unit determines that the access received by the reception unit is an access to a predetermined area of the storage unit even if the setting is such that the device is not started by the secure boot function. 4. The image forming apparatus according to claim 3, wherein the access is permitted if any. 外部との通信を制御するネットワークコントローラをさらに備え、
前記制限手段は、さらに、前記判定手段による判定の結果、前記セキュアブート機能による装置の起動が行われない設定である場合に、前記ネットワークコントローラを無効化することにより、前記外部との通信を制限することを特徴とする請求項3又は4に記載の画像形成装置。 It further includes a network controller that controls communication with the outside,
The restriction unit further restricts the communication with the outside by invalidating the network controller when the result of the determination by the determination unit indicates that the device is not to be started by the secure boot function. The image forming apparatus according to claim 3, wherein: 外部との通信を制御するネットワークコントローラをさらに備え、
前記制限手段は、さらに、前記判定手段による判定の結果、前記セキュアブート機能による装置の起動が行われない設定である場合に、前記ネットワークコントローラへの電源供給を遮断することにより、前記外部との通信を制限することを特徴とする請求項3又は4に記載の画像形成装置。 It further includes a network controller that controls communication with the outside,
The limiting unit further shuts off power supply to the network controller when the result of the determination by the determining unit indicates that the device is not to be activated by the secure boot function. The image forming apparatus according to claim 3, wherein communication is restricted. 外部との通信を制御するネットワークコントローラであって、USBインタフェースを介して接続される拡張用のネットワークコントローラをさらに備え、
前記制限手段は、さらに、前記判定手段による判定の結果、前記セキュアブート機能による装置の起動が行われない設定である場合に、前記USBインタフェースの接続を無効化して前記拡張用のネットワークコントローラへの電源供給を遮断することにより、前記外部との通信を制限することを特徴とする請求項3乃至6の何れか1項に記載の画像形成装置。 A network controller for controlling communication with the outside, further comprising a network controller for expansion connected via a USB interface,
The limiting unit may further disable the connection of the USB interface and disable the connection to the network controller for expansion when the result of the determination by the determining unit indicates that the device is not to be activated by the secure boot function. The image forming apparatus according to claim 3, wherein the communication with the outside is restricted by shutting off a power supply. 前記制限手段は、前記受付手段によって受け付けたアクセスに係るポート番号が、前記USBインタフェースに係る所定のポート番号であればアクセスを許可することを特徴とする請求項7に記載の画像形成装置。   8. The image forming apparatus according to claim 7, wherein the restricting unit permits the access if the port number related to the access received by the receiving unit is a predetermined port number related to the USB interface. 前記判定手段は、前記セキュアブート機能の設定が切り替えられたタイミングで判定を行うことを特徴とする請求項1乃至8の何れか1項に記載の画像形成装置。   The image forming apparatus according to claim 1, wherein the determination unit performs the determination at a timing when the setting of the secure boot function is switched. ブートROMに格納されているプログラムの改ざんを検知しつつ、該プログラムを用いて装置を起動するセキュアブート機能による起動が可能な画像形成装置の制御方法であって、
判定手段が、前記セキュアブート機能による装置の起動が行われる設定であるか否かを判定する判定工程と、
警告手段が、前記判定工程による判定の結果、前記セキュアブート機能による装置の起動が行われない設定である場合に、前記セキュアブート機能の設定が切り替えられた旨の警告メッセージを表示部に表示する警告工程と
を含むことを特徴とする画像形成装置の制御方法。 A method for controlling an image forming apparatus capable of being activated by a secure boot function that activates an apparatus using the program while detecting tampering of a program stored in a boot ROM,
Determining means for determining whether or not the setting is such that the device is started by the secure boot function; and
The warning means displays a warning message on the display unit that the setting of the secure boot function has been switched, when the result of the determination in the determination step indicates that the apparatus is not to be started by the secure boot function. A method for controlling an image forming apparatus, comprising: a warning step. ブートROMに格納されているプログラムの改ざんを検知しつつ、該プログラムを用いて装置を起動するセキュアブート機能による起動が可能な画像形成装置の制御方法における各工程をコンピュータに実行させるためのプログラムであって、前記制御方法は、
判定手段が、前記セキュアブート機能による装置の起動が行われる設定であるか否かを判定する判定工程と、
警告手段が、前記判定工程による判定の結果、前記セキュアブート機能による装置の起動が行われない設定である場合に、前記セキュアブート機能の設定が切り替えられた旨の警告メッセージを表示部に表示する警告工程と
を含むことを特徴とするプログラム。 A program for causing a computer to execute each step in a method of controlling an image forming apparatus that can be started by a secure boot function that starts an apparatus using the program while detecting tampering of a program stored in a boot ROM. Then, the control method includes:
Determining means for determining whether or not the setting is such that the device is started by the secure boot function; and
The warning means displays a warning message on the display unit that the setting of the secure boot function has been switched, when the result of the determination in the determination step indicates that the apparatus is not to be started by the secure boot function. A program characterized by including a warning step.
JP2018155684A 2018-08-22 2018-08-22 Image forming device, control method thereof, and program Pending JP2020030599A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018155684A JP2020030599A (en) 2018-08-22 2018-08-22 Image forming device, control method thereof, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018155684A JP2020030599A (en) 2018-08-22 2018-08-22 Image forming device, control method thereof, and program

Publications (1)

Publication Number Publication Date
JP2020030599A true JP2020030599A (en) 2020-02-27

Family

ID=69622540

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018155684A Pending JP2020030599A (en) 2018-08-22 2018-08-22 Image forming device, control method thereof, and program

Country Status (1)

Country Link
JP (1) JP2020030599A (en)

Similar Documents

Publication Publication Date Title
US9930192B2 (en) Image processing apparatus, image processing system, control method of image processing apparatus, and storage medium
AU2015200170B2 (en) Information processing apparatus and program used therewith
JP6442174B2 (en) PROCESSING DEVICE, PROCESSING DEVICE CONTROL METHOD, PROGRAM
US10841455B2 (en) Information management system and information management server
US20220006775A1 (en) Information processing apparatus, information processing method and recording medium
US10037236B2 (en) Program and information processing apparatus
JP6882936B2 (en) Image processing device, its control method, and program
JP2008078762A (en) Multifunction device
US10817232B2 (en) Image forming device that manages execution permission without increasing administrative workload required for remote operation
US9671982B2 (en) Method of performing cloud printing and mobile device, image forming apparatus, and cloud printing system for performing using the same
US20100179965A1 (en) Image processing apparatus and image processing method
JP2013041549A (en) Control device, control method therefor, and program
KR102278901B1 (en) Image forming apparatus, method of controlling the same, and storage medium
JP2020030599A (en) Image forming device, control method thereof, and program
JP2010228198A (en) Image forming apparatus, alternative image forming apparatus, printing system, and printing method
JP2005115519A (en) Network printing system, security diagnostic device, data processor, security measure implementation method and program
JP2018079674A (en) Image formation apparatus, control method and program of the same
JP2007164456A (en) Information processing system and device driver installation method
JP2012133590A (en) Print system, client pc and control method thereof, print server and control method thereof
JP7037615B2 (en) Image forming device and its control method and program
JP2004362458A (en) Information processing system, information processor and computer program
JP4425525B2 (en) Server computer and its control program
JP2004153742A (en) Network apparatus and network system
JP2007173916A (en) Image recording system
JP6327957B2 (en) Image processing system, image processing apparatus, information processing method, and program

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20210103

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210113