JP2020102129A - 情報処理装置、情報処理装置の制御方法、及びプログラム - Google Patents
情報処理装置、情報処理装置の制御方法、及びプログラム Download PDFInfo
- Publication number
- JP2020102129A JP2020102129A JP2018241361A JP2018241361A JP2020102129A JP 2020102129 A JP2020102129 A JP 2020102129A JP 2018241361 A JP2018241361 A JP 2018241361A JP 2018241361 A JP2018241361 A JP 2018241361A JP 2020102129 A JP2020102129 A JP 2020102129A
- Authority
- JP
- Japan
- Prior art keywords
- cpu
- main cpu
- information processing
- sub cpu
- signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
【課題】基板実装時にサブCPUからのリセット信号の端子に半田ブリッジやゴミが付着するなどの原因により、リセット信号が正しく出力されない場合、サブCPUによるブートコードの改竄検知をすりぬけて、メインCPUが起動することがない方法を提供する。【解決手段】サブCPUは、起動後、改竄検知動作が完了するまでは、メインCPUからFlashROMへのアクセスを監視する。メインCPUによるFlashROMへのアクセスを検知した場合、アクセス不能信号を出力し、メインCPUによるFlashROMへのアクセスを不能にする。【選択図】図8
Description
本発明は、ブートコードなどのコードの改竄を検知する機能を有する情報処理装置、情報処理装置の制御方法、及びプログラムに関するものである。
従来、画像処理装置においてはブートコードが備えられているが、画像処理装置がネットワークに接続されている場合、ブートコードが改竄されてしまうおそれがある。このため、画像処理装置において、メインCPUが実行するブートコードをメインCPUが起動する前にサブCPUが読み出し、サブCPUが読み出したブートコードが改竄されていないかを検証する方法がある。
そして、サブCPUがブートコードの改竄を検知した場合の処理として、メインCPUを起動させないために、メインCPUに入力するリセット信号をサブCPUが制御することにより、メインCPUをリセット状態にする方法が考えられる。
そして、サブCPUがブートコードの改竄を検知した場合の処理として、メインCPUを起動させないために、メインCPUに入力するリセット信号をサブCPUが制御することにより、メインCPUをリセット状態にする方法が考えられる。
一方、メインCPUを起動させない方法としては、メインCPUの起動が一旦完了したら直ちに割り込み待ち状態に移行させ、サブCPUが起動して割り込み信号を送信したら、メインCPUは割り込み状態から復帰してその後の処理を可能にするものがある。(例えば、特許文献1を参照。)
しかしながら、基板実装時に、サブCPUから出力するリセット信号の端子に半田ブリッジやゴミが付着するなどの原因により、サブCPUからリセット信号が正しく出力されない場合がある。そして、リセット信号が正しく出力されずに、リセット解除を示す状態でメインCPUが固定されてしまうと、サブCPUによるブートコードの改竄検知をすり抜けて、メインCPUが起動してしまう可能性がある。
この場合、メインCPUが、正常に起動したのか、あるいは、サブCPUによるブートコードの改竄検知をすりぬけて起動したのかを区別することができない。したがって、サブCPUによるブートコードの改竄検知が完了するまでは、メインCPUの起動を確実に停止させることが必要となる。
この場合、メインCPUが、正常に起動したのか、あるいは、サブCPUによるブートコードの改竄検知をすりぬけて起動したのかを区別することができない。したがって、サブCPUによるブートコードの改竄検知が完了するまでは、メインCPUの起動を確実に停止させることが必要となる。
本発明は、情報処理装置の起動後に実行されるコードを記憶する記憶手段と、前記コードを実行する第1のCPUと、前記第1のCPUが前記コードを実行する前に前記コードの異常の検証をする第2のCPUと、を有する情報処理装置であって、前記第2のCPUは、前記検証を行っているとき、前記第1のCPUによる前記記憶手段へのアクセスを不能にすることを特徴とする。
本発明によれば、コードの検証が完了するまでは、コードの実行をするCPUを確実に起動させないことができる。
以下、本発明を実施するための形態について実施例を用いて説明する。
本発明が適用される装置として、以下では、画像処理装置(以下、「MFP」(Multi Function Peripheral)という)を用いた実施例について説明する。ただし、ブートコードの改竄検知機能の機能が実行できる装置であれば、画像処理装置以外の情報処理装置であってもよく、また、単体の装置であっても、複数の装置からなるシステムであってもよいことは言うまでもない。
図1は、MFP100のハードウェア構成を表すブロック図である。
図1において、メインCPU(Central Processing Unit)101は、MFP100全体の制御を司る。DRAM(Dynamic Random Access Memory)102は、メインCPU101で実行されるプログラムを格納すると共に、一時的なデータのワークエリアとして機能する。操作部103は、操作部I/F(Interface)113を介して、ユーザによる操作をメインCPU101に通知する。ネットワークI/F104は、LAN(Local Area Network)130と接続して、不図示の外部機器との通信を行う。
図1において、メインCPU(Central Processing Unit)101は、MFP100全体の制御を司る。DRAM(Dynamic Random Access Memory)102は、メインCPU101で実行されるプログラムを格納すると共に、一時的なデータのワークエリアとして機能する。操作部103は、操作部I/F(Interface)113を介して、ユーザによる操作をメインCPU101に通知する。ネットワークI/F104は、LAN(Local Area Network)130と接続して、不図示の外部機器との通信を行う。
プリンタ部105は、画像データを紙面上に印字する。スキャナ部106は、紙面上の画像を光学的に読み取り、電気信号に変換してスキャン画像を生成する。FAX107は、公衆回線110と接続して、不図示の外部機器とファクシミリ通信を行う。
HDD(Hard Disk Drive)108は、メインCPU101で実行されるプログラムを格納すると共に、プリントジョブやスキャンジョブなどのスプール領域としても利用される。また、HDD108は、スキャン画像を保管し、再利用するための領域としても利用される。
信号バス109は、各モジュールを相互に接続して通信を行う。公衆回線110は、FAX107と不図示の外部機器とを相互接続する。
HDD(Hard Disk Drive)108は、メインCPU101で実行されるプログラムを格納すると共に、プリントジョブやスキャンジョブなどのスプール領域としても利用される。また、HDD108は、スキャン画像を保管し、再利用するための領域としても利用される。
信号バス109は、各モジュールを相互に接続して通信を行う。公衆回線110は、FAX107と不図示の外部機器とを相互接続する。
画像処理部111は、ネットワークI/F104で受信したプリントジョブに対して、プリンタ部105で印刷するのに適した画像への変換処理を実行する。また、画像処理部111は、スキャナ部106で読み取ったスキャン画像に対して、ノイズ除去や色空間変換、回転、圧縮などの処理を実行する。また、画像処理部111は、HDD108に保管されたスキャン画像に対して画像処理を実行する。
FlashROM(Flash Read Only Memory)112は、MFP100の起動時にメインCPU101で実行されるブートコードを含むプログラムを格納すると共に、MFP100のデフォルト設定値を記憶する。
操作部I/F113は、操作部103と信号バス109を相互接続する。
FlashROM(Flash Read Only Memory)112は、MFP100の起動時にメインCPU101で実行されるブートコードを含むプログラムを格納すると共に、MFP100のデフォルト設定値を記憶する。
操作部I/F113は、操作部103と信号バス109を相互接続する。
SPI(Serial Peripheral Interface)バス114は、メインCPU101、FlashROM112、サブCPU115を相互接続する。
そして、メインCPU101は、SPIバス114を介して、FlashROM112にアクセスする。また、サブCPU115も、SPIバス114を介して、FlashROM112にアクセスする。ただし、SPIバス114が占有されている状態では、競合が生じるため、SPIバス114を介してFlashROM112にアクセスすることはできない。
そして、メインCPU101は、SPIバス114を介して、FlashROM112にアクセスする。また、サブCPU115も、SPIバス114を介して、FlashROM112にアクセスする。ただし、SPIバス114が占有されている状態では、競合が生じるため、SPIバス114を介してFlashROM112にアクセスすることはできない。
サブCPU115は、MFP100の起動後、メインCPU101が起動する前にFlashROM112からブートコードを読み出して、ブートコードが改竄され、異常が生じていないかを検知する。改竄の検知方法としては、例えば、製造時に、ブートコードのデジタル署名の公開鍵情報(ハッシュ値を公開鍵暗号化した値)をサブCPU115内のOTP304(図3で後述)に記憶させておく。そして、起動時に読み出したブートコードを公開鍵情報で復号化することにより改竄の検知をする。公開鍵暗号の方法としては、RSA2048、ECDSAなどがある。
アクセス検知信号116は、メインCPU101からFlashROM112へのアクセスを検知するための信号であって、SPIバス114のCS(Chip Select)信号に接続されている。メインCPU101がSPIバス114を介してFlashROM112にアクセスしているとき、CS信号のレベルは、GPIO303(図3で後述)を通してアクティブ状態のLowになっている。サブCPU115は、アクセス検知信号116が送信されることにより、メインCPU101がFlashROM112にアクセスしていることを検知することができる。
リセット信号(後述の「メインCPUリセット信号」)117は、サブCPU115のGPIOポートから出力されて、メインCPU101のリセット端子に接続される。サブCPU115は、ブートコードが改竄されたことを検知すると、リセット信号117を送信して、メインCPU101をリセット状態にする。
電源制御部118は、MFP100内の各モジュールへの電力供給を制御する。電源線119は、各モジュールに電力を供給する。電源供給線120は、商業用AC電源から電源を供給する。
アクセス不能信号121は、メインCPU101からFlashROM112へのアクセスを不能にする信号である。サブCPU115は、アクセス検知信号116を介して、メインCPU101がFlashROM112にアクセスしていることを検知すると、アクセス不能信号121をLowにする。アクセス不能信号121は、SPIバス114のCLK信号に接続されており、ソフトウェアによってGPIO303を制御することで、SPIバス114のCLK信号をLowに固定することができる。サブCPU115がアクセス不能信号121を送信することにより、メインCPU101は、FlashROM112にアクセス不能になる。
リセット回路122は、MFP100の電源がONされると、所定の遅延時間を経た一定時間後に、リセット信号(サブCPUリセット信号)123をLowからHighに遷移させる。サブCPUリセット信号123は、リセット回路122から出力されて、サブCPU115のリセット端子に接続される。サブCPUリセット信号123がHighになると、サブCPU115はリセットが解除されて起動を開始する。
図2は、メインCPU101の内部構成を示すブロック図である。
図2において、CPUコア201は、CPUとしての基本機能を担っている。SPI Master202は、外部のSPIデバイスと相互に接続して、データの読み書きを行う。信号バスインターフェース203は、信号バス109とメインCPU101内の信号バス209を接続する。
SPI206バスは、SPI Master202と外部のSPIデバイスとを電気的に接続する。信号バス209は、メインCPU101内の各モジュールを接続する。
図2において、CPUコア201は、CPUとしての基本機能を担っている。SPI Master202は、外部のSPIデバイスと相互に接続して、データの読み書きを行う。信号バスインターフェース203は、信号バス109とメインCPU101内の信号バス209を接続する。
SPI206バスは、SPI Master202と外部のSPIデバイスとを電気的に接続する。信号バス209は、メインCPU101内の各モジュールを接続する。
図2において、メインCPUリセット信号117がLowの場合、メインCPU201はリセット状態となり、起動不可となる。一方、メインCPUリセット信号117がHighの場合、メインCPU201はリセット解除状態となり、起動可能となる。
メインCPU101がリセット状態からリセット解除状態に遷移すると、CPUコア201は、FlashROM112内に記憶されているメインCPU BIOS401(図4で後述)をDRAM102に読み出して実行する。
メインCPU101がリセット状態からリセット解除状態に遷移すると、CPUコア201は、FlashROM112内に記憶されているメインCPU BIOS401(図4で後述)をDRAM102に読み出して実行する。
図3は、サブCPU115の内部構成を示すブロック図である。
図3において、CPUコア301は、CPUとしての基本機能を担っている。
SPI Master302は、外部のSPIデバイスと相互に接続して、データの読み書きを行う。
図3において、CPUコア301は、CPUとしての基本機能を担っている。
SPI Master302は、外部のSPIデバイスと相互に接続して、データの読み書きを行う。
GPIO(General-Purpose Input/Output)303は、外部のデバイスと相互に接続して、データの送受信を行う。GPIO303には3本の信号が接続されている。1つ目の信号は、メインCPU101をリセット状態にするためのメインCPUリセット信号117である。2つ目の信号は、メインCPU101がFlashROM112にアクセスしていることを検知するアクセス検知信号116である。3つ目の信号は、メインCPU101のFlashROM112へのアクセスを不能にするアクセス不能信号121である。
OTP(One Time Program)304は、メモリ領域であって、製造時に、サブCPU FW(Firmware)404(図4で後述)のハッシュ値を公開鍵暗号化した値、及び、Tag403(図4で後述)のアドレスが書き込まれる。OTP304の領域に書き込まれたデータは、一度書き込まれると二度と書き換えることはできない。
SRAM(Static Random Access Memory)305は、サブCPU115内のワークメモリとして使用される。暗号処理部308は、公開鍵暗号化した値からサブCPU FW404のハッシュ値を復号するほか、公開鍵暗号化したメインCPU BIOS401(図4で後述)のハッシュ値を復号する。
SRAM(Static Random Access Memory)305は、サブCPU115内のワークメモリとして使用される。暗号処理部308は、公開鍵暗号化した値からサブCPU FW404のハッシュ値を復号するほか、公開鍵暗号化したメインCPU BIOS401(図4で後述)のハッシュ値を復号する。
信号バス309は、サブCPU内の各モジュールを接続する。BootROM(Read Only Memory)310は、サブCPU115のブートコードを記憶する。
CryptoROM311は、暗号処理部308で利用する機密性の高いデータを記憶する。
CryptoROM311は、暗号処理部308で利用する機密性の高いデータを記憶する。
図3において、サブCPUリセット信号123がLowの場合、サブCPU115はリセット状態となり、起動不可となる。一方、サブCPUリセット信号123がHighの場合、サブCPU115はリセット解除状態となり、起動可能となる。
サブCPU115がリセット状態からリセット解除状態に遷移すると、CPUコア301は、BootROM310から自身のブートコードを読み出し実行する。
サブCPU115がリセット状態からリセット解除状態に遷移すると、CPUコア301は、BootROM310から自身のブートコードを読み出し実行する。
図4は、FlashROM112のメモリマップを示す図である。
図4において、メインCPU BIOS401には、メインCPU101で実行されるコードが記憶されている。BIOS署名402には、メインCPU BIOS401のハッシュ値に対するRSA署名値が記憶されている。
Tag403には、サブCPU FW404の先頭アドレスが記憶されている。なお、Tag403自体のアドレスはOTP304に記憶されている。
図4において、メインCPU BIOS401には、メインCPU101で実行されるコードが記憶されている。BIOS署名402には、メインCPU BIOS401のハッシュ値に対するRSA署名値が記憶されている。
Tag403には、サブCPU FW404の先頭アドレスが記憶されている。なお、Tag403自体のアドレスはOTP304に記憶されている。
サブCPU FW404には、サブCPU115で実行されるコードが記憶されている。FW署名405には、サブCPU FW404、または、サブCPU FW404の先頭の特定部分のECDSA署名値が記憶されている。
ROM−ID406には、メインCPU BIOS401の先頭アドレス、サイズ、BIOS署名402のアドレスが記憶されている。
ROM−ID406には、メインCPU BIOS401の先頭アドレス、サイズ、BIOS署名402のアドレスが記憶されている。
なお、本実施例では、メインCPU BIOS401、BIOS署名402、Tag403、サブCPU FW404、FW署名405は、一組のセットのみを記憶した場合の例を示している。ただし、これらを複数のセットで記憶しておき、必要に応じて切り替えて使用することも当然ながら可能である。
次に、図5のフローチャートを用いて、サブCPU115における起動時の処理手順を説明する。
サブCPU115は、MFP100の電源がONされると、直ちに起動する。そして、サブCPU115はBootROM310内のブートコードを読み出す。
サブCPU115は、MFP100の電源がONされると、直ちに起動する。そして、サブCPU115はBootROM310内のブートコードを読み出す。
そして、サブCPU115は、GPIO303を設定し、メインCPU101がFlashROM112にアクセスしたことにより、アクセス検知信号116にLowが入力されたときに、割り込みを発生するように設定する(S501)。
続いて、サブCPU115は、起動直後では割り込み禁止に設定されているが、割り込みを許可に切り替える(S502)。この時点から、メインCPU101のリセット状態が誤って解除されて起動することにより、メインCPU101がFlashROM112にアクセスした場合、サブCPU115は、アクセス検知信号116によりこれを検知できるようになる。
続いて、サブCPU115は、起動直後では割り込み禁止に設定されているが、割り込みを許可に切り替える(S502)。この時点から、メインCPU101のリセット状態が誤って解除されて起動することにより、メインCPU101がFlashROM112にアクセスした場合、サブCPU115は、アクセス検知信号116によりこれを検知できるようになる。
なお、割り込みが許可されているとき、メインCPU101がFlashROM112にアクセスしようとしたことにより、割り込みが発生した場合、サブCPU115は、まず、割り込みを禁止状態にする(S519)。これは、割り込みが多重に入って誤動作することを防ぐためである。
そして、サブCPU115は、GPIO303に接続されているアクセス不能信号121をLowにする(S520)。これにより、メインCPU101は、SPIバス114のCLK信号をHighにすることができなくなる。これ以降、メインCPU101は、FlashROM112にアクセス不能となり、メインCPU BIOS401を読み出すことができなくなる。そして、本フローチャートの処理を終了する。
S502に続いて、サブCPU115は、SPIバス114を介してFlashROM112からサブCPU FW404とFW署名405をSRAM305に読み込む。また、サブCPU115は、FlashROM112をリードするので、リードの前には割り込みを禁止し、リードの後には割り込みを許可する(S503)。これは、サブCPU115がSPIバス114にアクセスしてCS信号がアサートされたことにより割り込みが入るのを防止するためである。
続いて、サブCPU115は、暗号処理部308によって、FW署名405をOTP304内の公開鍵で復号化して、正解となるハッシュ値を取得する(S504)。
続いて、サブCPU115は、暗号処理部308によって、サブCPU FW404のハッシュ値を計算する(S505)。
続いて、サブCPU115は、暗号処理部308によって、サブCPU FW404のハッシュ値を計算する(S505)。
続いて、サブCPU115は、S504で取得したハッシュ値とS505で計算したハッシュ値を比較する(S506)。
ここで、両者のハッシュ値が不一致の場合(S506でNO)、サブCPU115が実装不良などの原因などにより正常でない可能性がある。そこで、ブートコードの改竄をすり抜けて、メインCPU101が起動してしまわないように、S519とS520の処理をして、本フローチャートの処理を終了する。
ここで、両者のハッシュ値が不一致の場合(S506でNO)、サブCPU115が実装不良などの原因などにより正常でない可能性がある。そこで、ブートコードの改竄をすり抜けて、メインCPU101が起動してしまわないように、S519とS520の処理をして、本フローチャートの処理を終了する。
一方、両者のハッシュ値が一致した場合(S506でYES)は、割り込み禁止にした後、サブCPU115は、ROM−ID406をFlashROM112からCryptoROM311に読み込み、割り込みを許可する(S507)。
続いて、サブCPU115は、ROM−ID406からメインCPU BIOS401のアドレスとBIOS署名402のアドレスを取得する(S508)。
続いて、サブCPU115は、ROM−ID406からメインCPU BIOS401のアドレスとBIOS署名402のアドレスを取得する(S508)。
続いて、サブCPU115は、割り込みを禁止し、BIOS署名402をSRAM305に読み込み、その後、再び割り込みを許可する(S509)。
続いて、サブCPU115は、暗号処理部308によって、BIOS署名402をサブCPU FW404に付属している公開鍵で復号化して、ハッシュ値を取得する(S510)。
続いて、サブCPU115は、暗号処理部308によって、BIOS署名402をサブCPU FW404に付属している公開鍵で復号化して、ハッシュ値を取得する(S510)。
これ以降は、FlashROM112のメインCPU BIOS401の全領域を読み出すため、サブCPU115は割り込みを禁止する(S511)。
そして、サブCPU115は、メインCPU BIOS401をSRAM305に読み込む(S512)。
そして、サブCPU115は、メインCPU BIOS401をSRAM305に読み込む(S512)。
続いて、サブCPU115は、メインCPU BIOS401の読み出しにエラーがあるかを検知する(S513)。
エラーがあった場合(S513でYES)、サブCPU115はメインCPU101とのSPIバス114の競合があった可能性がある。そのため、S519とS520の処理をして、本フローチャートの処理を終了する。
エラーがあった場合(S513でYES)、サブCPU115はメインCPU101とのSPIバス114の競合があった可能性がある。そのため、S519とS520の処理をして、本フローチャートの処理を終了する。
エラーがなければ(S513でNO)、サブCPU115は、メインCPU BIOS401を最後まで読み出したかを確認する(S514)。
まだ最後まで読み出していない場合(S514でNO)、S512に戻り、サブCPU115はループ処理を続ける。
最後まで読み出した場合(S514でYES)は、サブCPU115は、割り込みを許可し、暗号処理部308によって、メインCPU BIOS401のハッシュ値を計算する(S515)。
まだ最後まで読み出していない場合(S514でNO)、S512に戻り、サブCPU115はループ処理を続ける。
最後まで読み出した場合(S514でYES)は、サブCPU115は、割り込みを許可し、暗号処理部308によって、メインCPU BIOS401のハッシュ値を計算する(S515)。
そして、サブCPU115は、S510で取得したハッシュ値とS515で計算したハッシュ値を比較する(S516)。
両者のハッシュ値が一致しなかった場合(S516でNO)、サブCPU115とメインCPU101とのSPIバス114へのアクセスの競合によりデータ異常が発生した可能性がある。そのため、S519とS520の処理をして、本フローチャートの処理を終了する。
両者のハッシュ値が一致しなかった場合(S516でNO)、サブCPU115とメインCPU101とのSPIバス114へのアクセスの競合によりデータ異常が発生した可能性がある。そのため、S519とS520の処理をして、本フローチャートの処理を終了する。
一方、両者のハッシュ値が一致した場合(S516でYES)は、サブCPU115による改竄検知は完了したことになる。そこで、サブCPU115は、メインCPU101による誤ったアクセスの検知を終了するために、割り込みを禁止する(S517)。
続いて、サブCPU115は、GPIO303を制御してメインCPUリセット信号117をHighにし、電力消費の最も少ないスリープ状態に入り、その状態を維持する(S518)。
続いて、サブCPU115は、GPIO303を制御してメインCPUリセット信号117をHighにし、電力消費の最も少ないスリープ状態に入り、その状態を維持する(S518)。
なお、スリープ状態では、GPIO303の出力状態を維持している。また、一度スリープ状態に入った後は、通常状態に戻る必要はないため、割り込み信号を受信する必要はない。ただし、サブCPU115を改竄検知以外の用途にも利用するのであれば、割り込み信号の受信を許可して、通常状態へ復帰させることも可能である。
次に、図6のフローチャートを用いて、メインCPU101における起動時の処理手順を説明する。
メインCPU101は、サブCPU115による改竄検知が完了し、リセット状態から解除されると、直ちにFlashROM112に記憶されたメインCPU BIOS401をDRAM102に読み込む(S601)。
続いて、メインCPU101は、メインCPU BIOS401を実行し、メインCPU101内の入出力の初期化を行う(S602)。
メインCPU101は、サブCPU115による改竄検知が完了し、リセット状態から解除されると、直ちにFlashROM112に記憶されたメインCPU BIOS401をDRAM102に読み込む(S601)。
続いて、メインCPU101は、メインCPU BIOS401を実行し、メインCPU101内の入出力の初期化を行う(S602)。
続いて、メインCPU101は、HDD108からOS(Operating System)をDRAM102に読み込む(S603)。
OSを読み込んだ後、メインCPU101はOSを起動する(S604)。
続いて、メインCPU101は、プリンタ部105、スキャナ部106、FAX107、画像処理部111、ネットワークI/F104操作部103の各モジュールを初期化して、MFP100を起動可能な状態にする(S605)。
OSを読み込んだ後、メインCPU101はOSを起動する(S604)。
続いて、メインCPU101は、プリンタ部105、スキャナ部106、FAX107、画像処理部111、ネットワークI/F104操作部103の各モジュールを初期化して、MFP100を起動可能な状態にする(S605)。
次に、図7のタイミングチャートを用いて、正常に起動した時のメインCPU101とサブCPU115の動作を説明する。
T701において、MFP100に電源が投入されると、一定時間後にサブCPUリセット信号123が解除され、サブCPU115が起動を開始する。なお、この時点において、メインCPUリセット信号117はLowのレベルにあるため、メインCPU101はリセット状態にあり起動しない。
T701において、MFP100に電源が投入されると、一定時間後にサブCPUリセット信号123が解除され、サブCPU115が起動を開始する。なお、この時点において、メインCPUリセット信号117はLowのレベルにあるため、メインCPU101はリセット状態にあり起動しない。
そして、サブCPU115は、順次、BootROM310の検証、サブCPU FW404の検証、メインCPU BIOS401の検証、からなるブートコードの改竄検知動作を行う。なお、BootROM310の検証は、図5のフローチャートではS501において行われる。同様に、サブCPU FW404の検証、メインCPU BIOS401の検証は、それぞれ、S503〜S506、S507〜S516において、行われる。
T702において、改竄検知動作が完了すると、サブCPU115はメインCPUリセット信号117をHighにする。これにより、メインCPU101のリセット状態が解除され、メインCPU101は起動を開始する。
メインCPU101が起動すると、メインCPU BIOS401の読み込みが行われる。
T703において、メインCPU BIOS401の読み込みが終了すると、メインCPU101は、OSを起動し、アプリケーションを起動し、一連の起動が完了する。
メインCPU101が起動すると、メインCPU BIOS401の読み込みが行われる。
T703において、メインCPU BIOS401の読み込みが終了すると、メインCPU101は、OSを起動し、アプリケーションを起動し、一連の起動が完了する。
なお、サブCPU115がメインCPUリセット信号117をLowにしているときには、SPIバス114へのアクセスはサブCPU115が行い、メインCPU101はアクセスしないのが正常である。サブCPU115がメインCPUリセット信号117をHighに切り替えることで、メインCPU101によるSPIバス114へのアクセスが開始する。このとき、サブCPU115がSPIバス114にアクセスすると、メインCPU101の正常な起動を妨げることになる。
次に、図8のタイミングチャートを用いて、異常があった時のメインCPU101とサブCPU115の動作を説明する。
ここでは、メインCPUリセット信号117が意図せずにHighに固定されていて、電源投入とともにメインCPU101が起動を開始してしまう例について説明する。
ここでは、メインCPUリセット信号117が意図せずにHighに固定されていて、電源投入とともにメインCPU101が起動を開始してしまう例について説明する。
T801において、MFP100に電源が投入されると、一定時間後にサブCPUリセット信号123が解除され、サブCPU115が起動を開始する。
ここでは、メインCPU101リセット信号117がHighであることから、サブCPU115の起動とほぼ同時に、メインCPU101も起動を開始する。
ここでは、メインCPU101リセット信号117がHighであることから、サブCPU115の起動とほぼ同時に、メインCPU101も起動を開始する。
メインCPU101が起動すると、図7で説明した正常時における動作と同様に、メインCPU101はFlashROM112へのアクセスを開始する。同様に、サブCPU115はブートコードの改竄検知動作を開始する。
正常時であれば、メインCPU101によるFlashROM112へのアクセスはT802で完了するまで継続する。同様に、サブCPU115による改竄検知動作はT803で完了するまで継続する。
正常時であれば、メインCPU101によるFlashROM112へのアクセスはT802で完了するまで継続する。同様に、サブCPU115による改竄検知動作はT803で完了するまで継続する。
しかし、図8のタイミングチャートに示されるように、これらの2つの期間は重なっている。したがって、実際には、MFP100に電源が投入されると、直後のT804において、メインCPU101とサブCPU115によるSPIバス114へのアクセスの競合が発生する。あるいは、サブCPU115に割り込みが入り、メインCPU101が意図せず起動していることがアクセス検知信号116により検知され、アクセス不能信号121が出力される。
そのため、T804以降は、メインCPU101によるSPIバス114へのアクセスは不能になり、メインCPU101は起動を停止する。また、サブCPU115も改竄検知動作を中断する。
そのため、T804以降は、メインCPU101によるSPIバス114へのアクセスは不能になり、メインCPU101は起動を停止する。また、サブCPU115も改竄検知動作を中断する。
以上のとおり、サブCPU115のブートコードの改竄検知が完了するまで、メインCPU101がSPIバス114にアクセスすることを監視することで、改竄検知のすり抜けを検出できる。検出時はアクセス不能信号121をLowにすることで、メインCPUが起動してしまうことを確実に防止することが可能となる。
(その他の実施例)
本発明は、上述の実施例の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
また、本発明は、複数の機器から構成されるシステムに適用しても、1つの機器からなる装置に適用してもよい。
本発明は上記実施例に限定されるものではなく、本発明の趣旨に基づき種々の変形が可能であり、それらを本発明の範囲から除外するものではない。すなわち、上述した実施例及びその変形例を組み合わせた構成もすべて本発明に含まれるものである。
本発明は、上述の実施例の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
また、本発明は、複数の機器から構成されるシステムに適用しても、1つの機器からなる装置に適用してもよい。
本発明は上記実施例に限定されるものではなく、本発明の趣旨に基づき種々の変形が可能であり、それらを本発明の範囲から除外するものではない。すなわち、上述した実施例及びその変形例を組み合わせた構成もすべて本発明に含まれるものである。
100 MFP
101 メインCPU
112 FlashROM
114 SPIバス
115 サブCPU
116 アクセス検知信号
117 メインCPUリセット信号
121 アクセス不能信号
101 メインCPU
112 FlashROM
114 SPIバス
115 サブCPU
116 アクセス検知信号
117 メインCPUリセット信号
121 アクセス不能信号
Claims (14)
- 情報処理装置の起動後に実行されるコードを記憶する記憶手段と、
前記コードを実行する第1のCPUと、
前記第1のCPUが前記コードを実行する前に前記コードの異常の検証をする第2のCPUと、
を有する情報処理装置であって、
前記第2のCPUは、前記検証を行っているとき、前記第1のCPUによる前記記憶手段へのアクセスを不能にする
ことを特徴とする情報処理装置。 - 前記第2のCPUは、前記第1のCPUの起動を不能とする第1の信号を送信することができる
ことを特徴とする請求項1に記載の情報処理装置。 - 前記第2のCPUは、前記検証において前記コードに異常が生じたことを検知すると、前記第1の信号を送信する
ことを特徴とする請求項2に記載の情報処理装置。 - 前記第1のCPUと前記記憶手段とを接続し、かつ、前記第2のCPUと前記記憶手段とを接続するアクセス手段を有する
ことを特徴とする請求項1乃至3のいずれか1項に記載の情報処理装置。 - 前記第2のCPUが前記アクセス手段を介して前記記憶手段と接続しているとき、前記第1のCPUは前記アクセス手段を介して前記記憶手段と接続することができない
ことを特徴とする請求項4に記載の情報処理装置。 - 前記第2のCPUは、第2の信号を送信することにより、前記第1のCPUによる前記記憶手段へのアクセスを不能にする
ことを特徴とする請求項4又は5に記載の情報処理装置。 - 前記第2の信号は、前記アクセス手段を介して送信される
ことを特徴とする請求項6に記載の情報処理装置。 - 前記第2のCPUは、前記第1のCPUが前記記憶手段へアクセスすると、第3の信号が送信されることより前記第1のCPUが前記記憶手段へアクセスしたことを検知する
ことを特徴とする請求項4乃至7のいずれか1項に記載の情報処理装置。 - 前記第3の信号は、前記アクセス手段を介して送信される
ことを特徴とする請求項8に記載の情報処理装置。 - 前記第2のCPUは、前記第3の信号が送信されると、前記第1のCPUによる前記記憶手段へのアクセスを不能にする第2の信号を送信する
ことを特徴とする請求項8又は9に記載の情報処理装置。 - 前記第2のCPUは、前記コードが改竄されたことによる異常の検証をする
ことを特徴とする請求項1乃至10のいずれか1項に記載の情報処理装置。 - さらに、画像処理手段を有する
ことを特徴とする請求項1乃至11のいずれか1項に記載の情報処理装置。 - 情報処理装置の起動後に実行されるコードを記憶する記憶手段と、
前記コードを実行する第1のCPUと、
前記第1のCPUが前記コードを実行する前に前記コードの異常の検証をする第2のCPUと、
を有する情報処理装置の制御方法であって、
前記第2のCPUが前記検証を行っているとき、前記第1のCPUによる前記記憶手段へのアクセスを不能にする工程を有する
ことを特徴とする情報処理装置の制御方法。 - 請求項13の情報処理装置の制御方法をコンピュータにより実行させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018241361A JP2020102129A (ja) | 2018-12-25 | 2018-12-25 | 情報処理装置、情報処理装置の制御方法、及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018241361A JP2020102129A (ja) | 2018-12-25 | 2018-12-25 | 情報処理装置、情報処理装置の制御方法、及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2020102129A true JP2020102129A (ja) | 2020-07-02 |
Family
ID=71141298
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018241361A Pending JP2020102129A (ja) | 2018-12-25 | 2018-12-25 | 情報処理装置、情報処理装置の制御方法、及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2020102129A (ja) |
-
2018
- 2018-12-25 JP JP2018241361A patent/JP2020102129A/ja active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9075752B2 (en) | Information processing apparatus that detects startup error, method of controlling the same, and storage medium | |
| US11392701B2 (en) | Information processing apparatus and method for controlling the same | |
| US20210011660A1 (en) | Information processing apparatus and control method | |
| US11657125B2 (en) | Information processing apparatus and reset control method | |
| KR20190090349A (ko) | 화상 처리 장치, 그 제어 방법 및 저장 매체 | |
| US11418671B2 (en) | Information processing apparatus, and method of controlling the same | |
| JP2010266986A (ja) | データ処理装置及びデータ処理方法 | |
| CN113190879A (zh) | 信息处理装置及其启动方法 | |
| US20150062613A1 (en) | Image forming apparatus capable of preventing data leakage and control method therefor, and storage medium | |
| JP2014026373A (ja) | 情報処理装置、情報処理装置の制御方法、及びプログラム | |
| US11064084B2 (en) | Image forming apparatus capable of reducing time of shift to low-power consumption operation mode, method of controlling same, and storage medium | |
| JP2020047064A5 (ja) | ||
| JP7321795B2 (ja) | 情報処理装置、情報処理方法およびプログラム | |
| US11706366B2 (en) | Information processing apparatus and method of notifying verification result of program | |
| CN107066072B (zh) | 电子装置及其控制方法 | |
| JP2020102129A (ja) | 情報処理装置、情報処理装置の制御方法、及びプログラム | |
| JP5644429B2 (ja) | データ処理装置、画像形成装置、省電力制御方法、省電力制御プログラム及び記録媒体 | |
| US20130191623A1 (en) | Information processing apparatus, control method therefor, and storage medium | |
| JP2021089607A (ja) | 情報処理装置 | |
| JP2011008310A (ja) | データ処理装置、省電力制御方法、省電力制御プログラム及び記録媒体 | |
| US9063900B2 (en) | Information processing apparatus, control method, and storage medium | |
| JP2023167086A (ja) | 情報処理装置及び情報処理装置の制御方法 | |
| US20220121536A1 (en) | Information processing apparatus | |
| JP2020042424A (ja) | 情報処理装置および制御方法 | |
| JP2011060178A (ja) | 電子機器、画像形成装置、電源制御装置および電源制御方法 |