JP2021077971A - 情報処理装置、ファイル保証方法、及びファイル保証プログラム - Google Patents

情報処理装置、ファイル保証方法、及びファイル保証プログラム Download PDF

Info

Publication number
JP2021077971A
JP2021077971A JP2019202472A JP2019202472A JP2021077971A JP 2021077971 A JP2021077971 A JP 2021077971A JP 2019202472 A JP2019202472 A JP 2019202472A JP 2019202472 A JP2019202472 A JP 2019202472A JP 2021077971 A JP2021077971 A JP 2021077971A
Authority
JP
Japan
Prior art keywords
file
update
authenticity
signature
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019202472A
Other languages
English (en)
Other versions
JP7367471B2 (ja
Inventor
大樹 櫻田
Daiki Sakurada
大樹 櫻田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2019202472A priority Critical patent/JP7367471B2/ja
Priority to EP20204426.9A priority patent/EP3819800A1/en
Priority to CN202011221846.XA priority patent/CN112784260A/zh
Priority to US17/090,052 priority patent/US20210144014A1/en
Publication of JP2021077971A publication Critical patent/JP2021077971A/ja
Application granted granted Critical
Publication of JP7367471B2 publication Critical patent/JP7367471B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/70Software maintenance or management
    • G06F8/71Version control; Configuration management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4416Network booting; Remote initial program loading [RIPL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Stored Programmes (AREA)

Abstract

【課題】システム更新時に更新するファイルの完全性・真正性を保証可能とする。
【解決手段】情報処理装置1は、システム更新用情報14から計算されるハッシュ演算結果と、システム更新用署名情報15によって署名検証を行うことで、システム更新時にシステム更新用情報14の完全性・真正性を保証する第一の機能と、システム起動中に実行する起動用ファイルの完全性・真正性を保証する第二の機能と、を有し、第一の機能によって完全性・真正性を保証されたシステム更新用情報14を用いてシステムを更新した後に、第二の機能によって完全性・真正性を保証された起動用ファイルを用いてシステムを起動させることで、システム更新時とシステム起動中に取り扱うファイルに対して完全性・真正性を保証する。
【選択図】図3

Description

本発明は、情報処理装置、ファイル保証方法、及びファイル保証プログラムに関する。
近年、情報処理装置において、システムを構成するファイル(ファームウェア、ソフトウェア)に対して不正な改竄を検知し、システム起動中に正当なファイルのみ実行できるようにして完全性・真正性を保証する技術(例えばTrusted BootやLinux‐IMAなど)が知られている。
特許文献1には、システム起動時に使用されるファイルの完全性を確認する目的で、ファイルの識別子をもとにしたデータと正解データとをファイルごとに照合し、データが一致しない場合にはシステムの起動を中断させる構成が開示されている。
しかし、特許文献1に記載の従来手法では、システム更新時(ROM更新時)に更新するファイルが正しいファイルかどうかまでは確認できず、更新するファイルに対して完全性・真正性を保証できない。
本発明は、システム更新時に更新するファイルの完全性・真正性を保証することができることを目的とする。
上述した課題を解決するために、本発明の一観点に係る情報処理装置は、更新用ファイルから一意に計算される値と前記更新用ファイルに対する署名ファイルによって署名検証を行うことで、システム更新時に前記更新用ファイルの完全性・真正性を保証する第一の機能と、システム起動中に実行する起動用ファイルの完全性・真正性を保証する第二の機能と、を有し、前記第一の機能によって完全性・真正性を保証された前記更新用ファイルを用いてシステムを更新した後に、前記第二の機能によって完全性・真正性を保証された前記起動用ファイルを用いてシステムを起動させることで、システム更新時とシステム起動中に取り扱うファイルに対して完全性・真正性を保証する。
システム更新時に更新するファイルの完全性・真正性を保証することができる。
実施形態に係る情報処理装置のハードウェア構成図 システム更新に係る情報処理装置のソフトウェア構成図 本実施形態の特徴を説明する図 システム更新時にファイルの完全性・真正性を確認する処理イメージを説明する図 署名作成アプリのアクティビティ図 システム更新アプリのアクティビティ図 署名検証アプリのアクティビティ図 強制インストールに係る情報処理装置のソフトウェア構成図 強制インストール時のファイルの完全性・真正性を確認する処理イメージを説明する図 強制インストール時の署名作成アプリのアクティビティ図 強制インストール時のシステム更新アプリのアクティビティ図 強制インストール時の署名検証アプリのアクティビティ図 PC(サーバ)のハードウェア構成図 MFPのハードウェア構成図
以下、添付図面を参照しながら実施形態について説明する。説明の理解を容易にするため、各図面において同一の構成要素に対しては可能な限り同一の符号を付して、重複する説明は省略する。
<ハードウェア構成>
図1は、実施形態に係る情報処理装置1のハードウェア構成図である。図1に示すように、情報処理装置1は、コントローラ2と、外部メモリ3と、システム起動用のストレージ4とを備える。情報処理装置1は、ネットワークサーバ5と例えばインターネットなどのネットワーク回線を介して通信可能に接続されている。
コントローラ2は、情報処理装置1の動作全体を制御し、特に本実施形態ではシステム起動時やシステム更新時に用いられる、システムを構成するファイル(ファームウェア、ソフトウェアなど)に対して不正な改竄を検知し、システム起動時やシステム更新時に正当なファイルのみを実行できるようにして、ファイルの完全性・真正性を保証する。
コントローラ2は、CPU21、ROM22、RAM23を有する。
ストレージ4には、システムを構成するファイル(ファームウェア、ソフトウェア)が保存されている。ストレージの例としてはeMMC等が挙げられる。
外部メモリ3には、ネットワークサーバ5に保存された新しいシステム更新(ROM更新)ファイル(システム更新用情報14、システム更新用署名情報15)が保存されている。このファイルはストレージ4に書き込まれる外部メモリ3の例としてはSDカード等が挙げられる。
ネットワークサーバ5には、新しいシステム更新(ROM更新)を行うためのファイル(システム更新用情報14)が保存されている。
<システム更新時のファイル保証>
図2〜図7を参照して、システム更新時に用いるファイル(更新用ファイル)の完全性・真正性を保証する機能(第一の機能)について説明する。
図2は、システム更新に係る情報処理装置1のソフトウェア構成図である。図2に示すように、情報処理装置1は、OS11、システム更新アプリ12、署名検証アプリ13を備える。また、情報処理装置1には、システム更新用情報14、システム更新用署名情報15、署名検証用公開鍵16の各データが格納されている。
OS11は、情報処理装置1の全体を制御する。また、OS11内の機能としてTrusted Boot11A及びLinux−IMA11Bがある。Trusted Boot11Aは、システム起動時に利用するファームウェア(例えば、BIOSやブートローダ)に対する改竄検知を行う。Linux−IMA11Bは、システム起動時に利用するファームウェアによる起動後に実行されるファイルの署名作成と署名検証(ファイルの完全性・真正性の確認)を行う。
システム更新アプリ12は、外部メモリ3に置かれたシステム更新用情報14をシステム起動用ストレージ4に保存する。
署名検証アプリ13は、システム更新時にシステム起動用ストレージ4に保存するシステム更新用情報14の署名検証結果を通知する。
システム更新用情報14は、システムを構成するためのファイル(ファームウェア、ソフトウェア)を格納する。
システム更新用署名情報15は、システム更新用情報14に関する署名情報を格納する。
署名検証用公開鍵16は、署名検証時に利用する公開鍵情報を格納する。
ネットワークサーバ5は、OS51、署名作成アプリ52を備える。また、ネットワークサーバ5には、システム更新用情報14、及び署名作成用秘密鍵53の各データが格納されている。
OS51は、ネットワークサーバ5の全体の制御を行う。
署名作成アプリ52は、システム更新時にシステム起動用ストレージ4に保存するシステム更新用情報14の完全性・真正性を確認するための署名情報(システム更新用署名情報15)を作成する。
署名作成用秘密鍵53は、署名作成時に利用する秘密鍵情報を格納する。
図3は、本実施形態の特徴を説明する図である。図3に示すように、一般的にシステムの動作は、システム起動開始、システム稼働中、システム更新という流れであり、システム更新が行われると再びシステムが起動される。このような一連の動作中にシステムが利用するファイルの完全性・真正性を検証する必要がある。
従来は、システム起動時の完全性・真正性の確認はTrusted Boot11AやLinux−IMA11Bといった従来の機能を利用して実現できるが、システム更新時の完全性・真正性の確認は実現できない。つまりTrusted Boot11AやLinux−IMA11Bではシステム更新時の完全性・真正性を検証できない。
これに対して本実施形態では、従来のTrusted Boot11AやLinux−IMA11Bの機能を利用して、システム起動時に利用する、ストレージ4に保存されたファイル(起動用ファイル)に対する完全性・真正性の確認(第2の機能)を行いつつ、システム更新時に利用する、外部メモリ3のシステム更新用ファイルに対する完全性・真正性の確認(第1の機能)を行うことで、システムが利用する一連のファイルに対して完全性・真正性を保証することを特徴としている。なお、本実施形態では、第1の機能を情報処理装置1の署名検証アプリ13が実行し、第2の機能を情報処理装置1のTrusted Boot11AやLinux−IMA11Bが実行する。
図4は、システム更新時にファイルの完全性・真正性を確認する処理イメージを説明する図である。
システム更新時には、まず始めにネットワークサーバ5上でシステム更新したい情報(システム更新用情報14(更新用ファイル))をもとに、署名作成アプリ52がこの更新用ファイル14に係る署名情報(システム更新用署名情報15(署名ファイル))を作成する。
次に、作成した署名情報15とシステム更新用情報14を外部メモリ3に保存し、情報処理装置1内のシステム更新アプリ12がシステム更新処理を行う。システム更新処理を行う際には、まず署名検証アプリ13が外部メモリ3に保存されたシステム更新用情報14とシステム更新用署名情報15から署名検証を行う。
署名検証に成功した場合には、情報処理装置1内部のシステム起動用ストレージ4にシステム更新用情報14を保存し、システム更新を行う。また、署名検証に成功した場合には、システム起動用署名情報17を作成し、システム更新用情報14のメタデータ領域に保存する。このシステム起動用署名情報17は、システム起動時にLinux−IMA11Bの機能を使いシステム更新用情報14の完全性・真正性を確認するために用いられる。署名検証に失敗した場合にはシステムを停止する。
システム更新完了後、システムを通常起動させる際にはシステム起動時に利用するファームウェア(例えば、BIOSやブートローダ)の完全性・真正性の確認をTrusted Boot11Aで行い、システム起動時に利用するファームウェアによる起動後に実行するファイルの完全性・真正性の確認(署名検証)をLinux−IMA11Bが行う。
このように本実施形態では、システム更新時に利用するシステム更新用情報14に対する完全性・真正性の確認(第1の機能)において、システム更新用情報14と、システム更新用署名情報15は、ネットワークサーバ5から情報処理装置1にダウンロードされる。この構成により、情報処理装置1とは別の装置であるネットワークサーバ5に保管された秘密鍵をもとにシステム更新用署名情報15が生成されるので、情報処理装置1側ではネットワークサーバ5の秘密鍵がわからない。この結果、情報処理装置1側の情報をもとに不正な署名ファイルを作成させないようにすることができ、また、この不正な署名ファイルを用いてシステムが不正に更新されないようにすることができる。
図5は、署名作成アプリ52のアクティビティ図である。
ネットワークサーバ5上で実行される署名作成アプリ52は、システム更新用情報14に対してハッシュ演算を行う(S101)。
次に、ネットワークサーバ5に保管された署名作成用秘密鍵53によって、ステップS101にてハッシュ演算した計測値を暗号化し、システム更新用の電子署名(システム更新用署名情報15)を作成する(S102)。
図6は、システム更新アプリ12のアクティビティ図である。
まず外部メモリ3からシステム更新用情報14とシステム更新用署名情報15を読み込み(S201)、署名検証アプリ13を利用して署名検証を行う(S202)。署名検証アプリ13による署名検証処理の詳細は図7を参照して後述する。
署名検証アプリ13から送信された署名検証結果が成功だった場合、システム更新用情報14をシステム起動用ストレージ4に書き込みシステムを更新する(S203)。また、Linux−IMA11Bの署名作成機能を利用し、システムの通常起動時にシステム更新用情報14を署名検証するための署名(システム起動用署名情報17)を作成し、システム起動用ストレージ4に保存されたシステム更新用情報14のメタデータ領域に署名を保存する(S204)。
署名検証アプリ13から送信された署名検証結果が失敗だった場合、システムを停止させる(S205)。
図7は、署名検証アプリ13のアクティビティ図である。
署名検証アプリ13はシステム更新用情報14にハッシュ演算を行う(S301)。
また、システム更新用署名情報15をシステム起動用ストレージ4に保存してある署名検証用公開鍵16で復号化する(S302)。
システム更新用情報14のハッシュ演算結果とシステム更新用署名情報15を復号化した結果が一致するか比較検証する(S303)。
比較検証した結果、署名検証に成功した場合、成功した結果をシステム更新アプリ12に送信する(S304)。署名検証に失敗した場合、失敗した結果をシステム更新アプリ12に送信する(S305)。
<強制インストール時のファイル保証>
本実施形態の情報処理装置は、図2〜図7を参照して説明したシステム更新時の他にも、システム全体を新しく書き換える強制インストールの際にも、強制インストールに用いるファイルに対する完全性・真正性を保証する機能(第三の機能)を設けることができる。これにより、システム起動時、システム更新時に加えて、さらに強制インストール時に更新するファイルの完全性・真正性も保証することが可能となり、システムが利用する一連のファイルに対してより一層完全性・真正性を保証することができる。本実施形態では、第3の機能を情報処理装置1の署名検証アプリ13が実行する。図8〜図12を参照して、この機能について説明する。
図8は、強制インストールに係る情報処理装置1のソフトウェア構成図である。
強制インストールを行う場合は、システム更新用情報14とシステム更新用署名情報15の代わりに、強制インストール情報18と強制インストール用署名情報19を持つソフトウェア構成になる。
図9は、強制インストール時のファイルの完全性・真正性を確認する処理イメージを説明する図である。システム立ち上げ時等にシステム全体を強制インストールする場合の処理は下記流れのようになる。
強制インストール時には、まず始めにネットワークサーバ5上で強制インストール情報18(強制インストール用ファイル)をもとに署名作成アプリ52がこの強制インストール情報18に係る署名情報(強制インストール用署名情報19)を作成する。
次に、作成した署名情報19と強制インストール情報18を外部メモリ3に保存し、情報処理装置1内のシステム更新アプリ12でシステム更新処理を行う。強制インストール処理を行う際には、まず署名検証アプリ13が外部メモリ3に保存された強制インストール情報18と強制インストール用署名情報19から署名検証を行う。
署名検証に成功した場合には、情報処理装置1内部のシステム起動用ストレージ4に強制インストール情報18を保存し、強制インストールを行う。また、署名検証に成功した場合には、強制インストール用署名情報20を作成し、強制インストール情報18のメタデータ領域に保存する。この署名情報20は、システム起動時にLinux−IMA11Bの機能を使い強制インストール情報18の完全性・真正性を確認するために用いられる。署名検証に失敗した場合にはシステムを停止する。
強制インストール完了後、システムを通常起動させる際には、システム起動時に利用するファームウェア(例えば、BIOSやブートローダ)の完全性・真正性の確認をTrusted Boot11Aで行い、システム起動時に利用するファームウェアによる起動後に実行するファイルの完全性・真正性の確認(署名検証)をLinux−IMA11Bが行う。
図10は、強制インストール時の署名作成アプリ52のアクティビティ図である。
ネットワークサーバ5上で実行される署名作成アプリ52は、強制インストール情報18に対してハッシュ演算を行う(S401)。
次に、ネットワークサーバ5に保管された署名作成用秘密鍵53によって、ステップS301にてハッシュ演算した計測値を暗号化し、強制インストール用の電子署名(強制インストール用署名情報19)を作成する(S402)。
図11は、強制インストール時のシステム更新アプリ12のアクティビティ図である。
外部メモリ3から強制インストール情報18と強制インストール用署名情報19を読み込み(S501)、署名検証アプリ13を利用して署名検証を行う(S502)。署名検証アプリ13による署名検証処理の詳細は図12を参照して後述する。
署名検証アプリ13から送信された署名検証結果が成功だった場合、強制インストール情報18をシステム起動用ストレージ4に書き込みシステムを更新する(S503)。また、Linux‐IMA11Bの署名作成機能を利用し、システムの通常起動時に強制インストール情報18を署名検証するための署名(強制インストール用署名情報20)を作成し、システム起動用ストレージ4に保存された強制インストール情報18のメタデータ領域に署名を保存する(S504)。
署名検証アプリ13から送信された署名検証結果が失敗だった場合、システムを停止させる(S505)。
図12は、強制インストール時の署名検証アプリ13のアクティビティ図である。
署名検証アプリ13は強制インストール情報18にハッシュ演算を行う(S601)。
また、強制インストール用署名情報19をシステム起動用ストレージ4に保存してある署名検証用公開鍵16で復号化する(S602)。
強制インストール情報18のハッシュ演算結果と強制インストール用署名情報19を復号化した結果が一致するか比較検証する(S603)。
比較検証した結果、署名検証に成功した場合、成功した結果をシステム更新アプリ12に送信する(S604)。署名検証に失敗した場合、失敗した結果をシステム更新アプリ12に送信する(S605)。
なお、本実施形態に係る情報処理装置1は、システム更新時等にファイルの正当性を検証する機能を備えた装置であれば図1に例示した構成に限られない。例えば、PJ(Projector:プロジェクタ)、IWB(Interactive White Board:相互通信が可能な電子式の黒板機能を有する白板)、デジタルサイネージ等の出力装置、HUD(Head Up Display)装置、産業機械、撮像装置、集音装置、医療機器、ネットワーク家電、自動車(Connected Car)、ノートPC(Personal Computer)、携帯電話、スマートフォン、タブレット端末、ゲーム機、PDA(Personal Digital Assistant)、デジタルカメラ、ウェアラブルPCまたはデスクトップPC等であってもよい。
例えば、実施形態に係る情報処理装置1は、図13、図14に示すハードウェア構成を有する、PC(サーバ)6、またはMFP7のいずれかであってもよい。
図13は、PC(サーバ)5のハードウェア構成図である。ここでは、サーバ5のハードウェア構成について説明する。
図13に示されているように、サーバ6は、コンピュータによって構築されており、図13に示されているように、CPU601、ROM602、RAM603、HD604、HDD(Hard Disk Drive)コントローラ605、ディスプレイ606、外部機器接続I/F(Interface)608、ネットワークI/F609、データバス610、キーボード611、ポインティングデバイス612、DVD−RW(Digital Versatile Disk Rewritable)ドライブ614、メディアI/F616を備えている。
これらのうち、CPU601は、サーバ6全体の動作を制御する。ROM602は、IPL等のCPU601の駆動に用いられるプログラムを記憶する。RAM603は、CPU601のワークエリアとして使用される。HD604は、プログラム等の各種データを記憶する。HDDコントローラ605は、CPU601の制御にしたがってHD604に対する各種データの読み出し又は書き込みを制御する。ディスプレイ606は、カーソル、メニュー、ウィンドウ、文字、又は画像などの各種情報を表示する。外部機器接続I/F608は、各種の外部機器を接続するためのインターフェースである。この場合の外部機器は、例えば、USB(Universal Serial Bus)メモリやプリンタ等である。ネットワークI/F609は、通信ネットワークを利用してデータ通信をするためのインターフェースである。バスライン610は、図13に示されているCPU601等の各構成要素を電気的に接続するためのアドレスバスやデータバス等である。
また、キーボード611は、文字、数値、各種指示などの入力のための複数のキーを備えた入力手段の一種である。ポインティングデバイス612は、各種指示の選択や実行、処理対象の選択、カーソルの移動などを行う入力手段の一種である。DVD−RWドライブ614は、着脱可能な記録媒体の一例としてのDVD−RW613に対する各種データの読み出し又は書き込みを制御する。なお、DVD−RWに限らず、DVD−R等であってもよい。メディアI/F616は、フラッシュメモリ等の記録メディア615に対するデータの読み出し又は書き込み(記憶)を制御する。
図14は、MFP9のハードウェア構成図である。図14に示されているように、MFP(Multifunction Peripheral/Product/Printer)9は、コントローラ910、近距離通信回路920、エンジン制御部930、操作パネル940、ネットワークI/F950を備えている。
これらのうち、コントローラ910は、コンピュータの主要部であるCPU901、システムメモリ(MEM−P)902、ノースブリッジ(NB)903、サウスブリッジ(SB)904、ASIC(Application Specific Integrated Circuit)906、記憶部であるローカルメモリ(MEM−C)907、HDDコントローラ908、及び、記憶部であるHD909を有し、NB903とASIC906との間をAGP(Accelerated Graphics Port)バス921で接続した構成となっている。
これらのうち、CPU901は、MFP9の全体制御を行う制御部である。NB903は、CPU901と、MEM−P902、SB904、及びAGPバス921とを接続するためのブリッジであり、MEM−P902に対する読み書きなどを制御するメモリコントローラと、PCI(Peripheral Component Interconnect)マスタ及びAGPターゲットとを有する。
MEM−P902は、コントローラ910の各機能を実現させるプログラムやデータの格納用メモリであるROM902a、プログラムやデータの展開、及びメモリ印刷時の描画用メモリなどとして用いるRAM902bとからなる。なお、RAM902bに記憶されているプログラムは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM、CD−R、DVD等のコンピュータで読み取り可能な記録媒体に記録して提供するように構成してもよい。
SB904は、NB903とPCIデバイス、周辺デバイスとを接続するためのブリッジである。ASIC906は、画像処理用のハードウェア要素を有する画像処理用途向けのIC(Integrated Circuit)であり、AGPバス921、PCIバス922、HDD908およびMEM−C907をそれぞれ接続するブリッジの役割を有する。このASIC906は、PCIターゲットおよびAGPマスタ、ASIC906の中核をなすアービタ(ARB)、MEM−C907を制御するメモリコントローラ、ハードウェアロジックなどにより画像データの回転などを行う複数のDMAC(Direct Memory Access Controller)、並びに、スキャナ部931及びプリンタ部932との間でPCIバス922を介したデータ転送を行うPCIユニットとからなる。なお、ASIC906には、USB(Universal Serial Bus)のインターフェースや、IEEE1394(Institute of Electrical and Electronics Engineers 1394)のインターフェースを接続するようにしてもよい。
MEM−C907は、コピー用画像バッファ及び符号バッファとして用いるローカルメモリである。HD909は、画像データの蓄積、印刷時に用いるフォントデータの蓄積、フォームの蓄積を行うためのストレージである。HD909は、CPU901の制御にしたがってHD909に対するデータの読出又は書込を制御する。AGPバス921は、グラフィック処理を高速化するために提案されたグラフィックスアクセラレータカード用のバスインタフェースであり、MEM−P902に高スループットで直接アクセスすることにより、グラフィックスアクセラレータカードを高速にすることができる。
また、近距離通信回路920には、近距離通信回路920aが備わっている。近距離通信回路920は、NFC、Bluetooth(登録商標)等の通信回路である。
更に、エンジン制御部930は、スキャナ部931及びプリンタ部932によって構成されている。また、操作パネル940は、現在の設定値や選択画面等を表示させ、操作者からの入力を受け付けるタッチパネル等のパネル表示部940a、並びに、濃度の設定条件などの画像形成に関する条件の設定値を受け付けるテンキー及びコピー開始指示を受け付けるスタートキー等からなる操作パネル940bを備えている。コントローラ910は、MFP9全体の制御を行い、例えば、描画、通信、操作パネル940からの入力等を制御する。スキャナ部931又はプリンタ部932には、誤差拡散やガンマ変換などの画像処理部分が含まれている。
なお、MFP9は、操作パネル940のアプリケーション切り替えキーにより、ドキュメントボックス機能、コピー機能、プリンタ機能、およびファクシミリ機能を順次に切り替えて選択することが可能となる。ドキュメントボックス機能の選択時にはドキュメントボックスモードとなり、コピー機能の選択時にはコピーモードとなり、プリンタ機能の選択時にはプリンタモードとなり、ファクシミリモードの選択時にはファクシミリモードとなる。
また、ネットワークI/F950は、通信ネットワーク100を利用してデータ通信をするためのインターフェースである。近距離通信回路920及びネットワークI/F950は、PCIバス922を介して、ASIC906に電気的に接続されている。
以上、具体例を参照しつつ本実施形態について説明した。しかし、本開示はこれらの具体例に限定されるものではない。これら具体例に、当業者が適宜設計変更を加えたものも、本開示の特徴を備えている限り、本開示の範囲に包含される。前述した各具体例が備える各要素およびその配置、条件、形状などは、例示したものに限定されるわけではなく適宜変更することができる。前述した各具体例が備える各要素は、技術的な矛盾が生じない限り、適宜組み合わせを変えることができる。
1 情報処理装置
14 システム更新用情報(更新用ファイル)
15 システム更新用署名情報(署名ファイル)
18 強制インストール情報(強制インストール用ファイル)
5 ネットワークサーバ
特開2019−003275号公報

Claims (6)

  1. 更新用ファイルから一意に計算される値と前記更新用ファイルに対する署名ファイルによって署名検証を行うことで、システム更新時に前記更新用ファイルの完全性・真正性を保証する第一の機能と、
    システム起動中に実行する起動用ファイルの完全性・真正性を保証する第二の機能と、を有し、
    前記第一の機能によって完全性・真正性を保証された前記更新用ファイルを用いてシステムを更新した後に、前記第二の機能によって完全性・真正性を保証された前記起動用ファイルを用いてシステムを起動させることで、システム更新時とシステム起動中に取り扱うファイルに対して完全性・真正性を保証する、
    情報処理装置。
  2. 前記第一の機能において、
    前記更新用ファイルと、前記署名ファイルは、ネットワークサーバからダウンロードされる、
    請求項1に記載の情報処理装置。
  3. システム全体を書き換えて新しく書き換える強制インストールファイルによってシステムを更新する際に、強制インストール用ファイルから一意に計算される値と前記強制インストール用ファイルに対する署名ファイルによって署名検証を行うことで、強制インストール時に前記強制インストール用ファイルに対する完全性・真正性を保証する第3の機能を有する、
    請求項1または2に記載の情報処理装置。
  4. 前記一意に計算される値は、ハッシュ演算結果である、
    請求項1〜3のいずれか1項に記載の情報処理装置。
  5. 更新用ファイルから一意に計算される値と前記更新用ファイルに対する署名ファイルによって署名検証を行うことで、システム更新時に前記更新用ファイルの完全性・真正性を保証する更新ステップと、
    前記更新ステップによって完全性・真正性を保証された前記更新用ファイルを用いてシステムを更新した後に、システムを起動させ、システム起動中に実行する起動用ファイルの完全性・真正性を保証する起動ステップと、
    を含む情報処理装置のファイル保証方法。
  6. 更新用ファイルから一意に計算される値と前記更新用ファイルに対する署名ファイルによって署名検証を行うことで、システム更新時に前記更新用ファイルの完全性・真正性を保証する第一の機能と、
    前記第一の機能によって完全性・真正性を保証された前記更新用ファイルを用いてシステムを更新した後に、システム起動中に実行する実行用ファイルの完全性・真正性を保証する第二の機能と、
    をコンピュータに実行させる情報処理装置のファイル保証プログラム。
JP2019202472A 2019-11-07 2019-11-07 情報処理装置、ファイル保証方法、及びファイル保証プログラム Active JP7367471B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2019202472A JP7367471B2 (ja) 2019-11-07 2019-11-07 情報処理装置、ファイル保証方法、及びファイル保証プログラム
EP20204426.9A EP3819800A1 (en) 2019-11-07 2020-10-28 Information processing apparatus, method for ensuring files and storage medium
CN202011221846.XA CN112784260A (zh) 2019-11-07 2020-11-05 信息处理装置、文件保证方法和存储介质
US17/090,052 US20210144014A1 (en) 2019-11-07 2020-11-05 Information processing apparatus, method for ensuring files and storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019202472A JP7367471B2 (ja) 2019-11-07 2019-11-07 情報処理装置、ファイル保証方法、及びファイル保証プログラム

Publications (2)

Publication Number Publication Date
JP2021077971A true JP2021077971A (ja) 2021-05-20
JP7367471B2 JP7367471B2 (ja) 2023-10-24

Family

ID=73037827

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019202472A Active JP7367471B2 (ja) 2019-11-07 2019-11-07 情報処理装置、ファイル保証方法、及びファイル保証プログラム

Country Status (4)

Country Link
US (1) US20210144014A1 (ja)
EP (1) EP3819800A1 (ja)
JP (1) JP7367471B2 (ja)
CN (1) CN112784260A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4195080A1 (en) 2021-12-08 2023-06-14 Ricoh Company, Ltd. Information processing system, information processing method, and carrier means

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114928551B (zh) * 2022-04-30 2024-03-12 苏州浪潮智能科技有限公司 一种系统配置方法、装置和存储介质

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8276201B2 (en) * 2007-03-22 2012-09-25 International Business Machines Corporation Integrity protection in data processing systems
US8719585B2 (en) * 2008-02-11 2014-05-06 Nvidia Corporation Secure update of boot image without knowledge of secure key
US8589302B2 (en) * 2009-11-30 2013-11-19 Intel Corporation Automated modular and secure boot firmware update
US8566574B2 (en) * 2010-12-09 2013-10-22 International Business Machines Corporation Secure encrypted boot with simplified firmware update
KR20120092222A (ko) * 2011-02-11 2012-08-21 삼성전자주식회사 보안 부팅 방법 및 보안 부트 이미지 생성 방법
US8631239B2 (en) 2012-01-12 2014-01-14 Facebook, Inc. Multiple system images for over-the-air updates
JP6399763B2 (ja) 2014-02-19 2018-10-03 キヤノン株式会社 情報処理装置、情報処理方法
US10177910B2 (en) * 2016-08-31 2019-01-08 Microsoft Technology Licensing, Llc Preserving protected secrets across a secure boot update
JP6861739B2 (ja) 2017-01-25 2021-04-21 三菱電機株式会社 組み込み装置及びファームウェア更新方法
US10747883B2 (en) * 2017-05-11 2020-08-18 Qualcomm Incorporated Collated multi-image check in system-on-chips
JP6744256B2 (ja) 2017-06-12 2020-08-19 日本電信電話株式会社 確認システム、制御装置及び確認方法
US10528740B2 (en) * 2017-06-15 2020-01-07 International Business Machines Corporation Securely booting a service processor and monitoring service processor integrity
JP6942601B2 (ja) * 2017-10-18 2021-09-29 キヤノン株式会社 情報処理装置、その制御方法、及びプログラム
US11251959B2 (en) * 2018-07-09 2022-02-15 Ares Technologies, Inc. Method of manufacturing a secure computing hardware apparatus
WO2020051226A1 (en) * 2018-09-05 2020-03-12 Whitefox Defense Technologies, Inc. Integrated secure device manager systems and methods for cyber-physical vehicles
US11012241B2 (en) * 2018-09-10 2021-05-18 Dell Products L.P. Information handling system entitlement validation
CN109871709A (zh) * 2018-12-20 2019-06-11 顺丰科技有限公司 区块链隐私数据存证方法、系统及存储介质
US11157626B1 (en) * 2019-05-29 2021-10-26 Northrop Grumman Systems Corporation Bi-directional chain of trust network

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4195080A1 (en) 2021-12-08 2023-06-14 Ricoh Company, Ltd. Information processing system, information processing method, and carrier means

Also Published As

Publication number Publication date
JP7367471B2 (ja) 2023-10-24
US20210144014A1 (en) 2021-05-13
CN112784260A (zh) 2021-05-11
EP3819800A1 (en) 2021-05-12

Similar Documents

Publication Publication Date Title
JP2015097022A (ja) 画像形成装置及びその制御方法、並びにプログラム
US20200244643A1 (en) Information processing system, authentication platform, and authorization information verification method
JP7367471B2 (ja) 情報処理装置、ファイル保証方法、及びファイル保証プログラム
US10218862B2 (en) Information processing terminal, image forming apparatus, information processing method, and recording medium for setting a home screen
US20180270246A1 (en) Information processing system, information processing apparatus, and information processing method
JP2021128651A (ja) 情報処理装置およびプログラム
US11269680B2 (en) Information processing apparatus, information processing system, and information processing method
EP4195080A1 (en) Information processing system, information processing method, and carrier means
JP7456271B2 (ja) 情報処理装置、情報処理方法及びプログラム
JP2023169781A (ja) 情報処理装置、情報処理方法及びプログラム
JP2021086341A (ja) ユーザ認証システム、ユーザ認証方法、およびユーザ認証プログラム
JP2020052597A (ja) 情報処理装置、情報処理装置の制御方法、及び、プログラム
JP2021184553A (ja) 情報処理装置、システム、方法、およびプログラム
US20230275898A1 (en) Information processing system, setting change method, and non-transitory recording medium
JP7434840B2 (ja) 情報処理システム、情報処理装置、情報処理方法及びプログラム
US11729340B2 (en) Information processing server, method, and recording medium
US20220263976A1 (en) Image forming apparatus, information processing method, and recording medium
JP2013125242A (ja) 画像形成装置、画像形成装置の制御方法および画像形成装置の制御プログラム
US20220188399A1 (en) Service providing system, service providing method, and non-transitory recording medium
JP2021124756A (ja) 情報処理装置、情報処理方法およびプログラム
JP2023126119A (ja) 情報処理システム、機器管理装置、情報処理装置、設定変更方法およびプログラム
JP2021179797A (ja) 情報処理システム、方法、およびプログラム
JP2018007215A (ja) 情報処理装置とその制御方法、及びプログラム
JP2020154472A (ja) 情報処理端末、情報処理システム、方法、およびプログラム
JP2021184214A (ja) 情報処理装置、設定制御方法、プログラム及び情報処理システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220914

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230621

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230704

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230831

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230912

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230925

R151 Written notification of patent or utility model registration

Ref document number: 7367471

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151