JP5067390B2 - Replacement part data recovery system - Google Patents

Replacement part data recovery system Download PDF

Info

Publication number
JP5067390B2
JP5067390B2 JP2009059826A JP2009059826A JP5067390B2 JP 5067390 B2 JP5067390 B2 JP 5067390B2 JP 2009059826 A JP2009059826 A JP 2009059826A JP 2009059826 A JP2009059826 A JP 2009059826A JP 5067390 B2 JP5067390 B2 JP 5067390B2
Authority
JP
Japan
Prior art keywords
data
key
encryption
information
storage medium
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009059826A
Other languages
Japanese (ja)
Other versions
JP2010211145A (en
Inventor
健之 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2009059826A priority Critical patent/JP5067390B2/en
Publication of JP2010211145A publication Critical patent/JP2010211145A/en
Application granted granted Critical
Publication of JP5067390B2 publication Critical patent/JP5067390B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Accessory Devices And Overall Control Thereof (AREA)
  • Control Or Security For Electrophotography (AREA)
  • Facsimiles In General (AREA)

Description

本発明は、画像形成装置の交換部品内のデータの修復システムに関する。   The present invention relates to a system for restoring data in a replacement part of an image forming apparatus.

プリンタやデジタル複写機、デジタル複合機(プリンタ、スキャナ、複写機等の機能を併せ持つ装置)などの画像形成装置には、トナーカートリッジや感光体ドラムカートリッジなどの交換部品が着脱自在に装着されるものがある。また交換部品の使用量(何枚の印刷に使ったかなど)を示すカウント値やユーザ情報などの管理データを記憶する不揮発性記憶媒体(例えばRFIDタグ)をその交換部品に設け、画像形成装置本体からこの不揮発性記憶媒体内の管理データを読み出したり、書き込んだりすることが行われている。また、このような管理データの不正利用や改ざんを抑止するために、画像形成装置の本体で管理データを暗号化してから交換部品内の不揮発性記憶媒体に書き込むことも行われている。また、暗号強度を高めるために、個々の不揮発性記憶媒体が記憶している固有の管理情報(例えば製造シリアル番号、製造年月日など)を用いて暗号/復号のための鍵を生成することも行われている(特許文献1参照)。   Image forming apparatuses such as printers, digital copiers, and digital multi-function peripherals (devices that have functions of printers, scanners, copiers, etc.) are detachably mounted with replacement parts such as toner cartridges and photosensitive drum cartridges. There is. In addition, a non-volatile storage medium (for example, an RFID tag) that stores management data such as a count value indicating the amount of replacement parts used (for example, how many sheets have been used) and user information is provided in the replacement parts, and the image forming apparatus Management data in the nonvolatile storage medium is read or written. In order to prevent such illegal use and falsification of management data, the management data is encrypted in the main body of the image forming apparatus and then written to the nonvolatile storage medium in the replacement part. In addition, in order to increase the encryption strength, a key for encryption / decryption is generated using unique management information (for example, manufacturing serial number, manufacturing date, etc.) stored in each nonvolatile storage medium. (See Patent Document 1).

ところで、不揮発性記憶媒体に記憶された固有の管理情報が何らかの理由で読み出せなくなると、その管理情報に基づく鍵を用いて暗号化され不揮発性記憶媒体に書き込まれたデータは復号できなくなってしまう。例えば交換部品の媒体に書き込まれたライフカウント値が正常に復号できなくなると、例えばドラムの膜減り量が異常になり、プロセスコントロールが正常動作せず、画質異常(黒筋等)が発生するなどの事態が生じる可能性がある。   By the way, if the specific management information stored in the nonvolatile storage medium cannot be read for some reason, the data encrypted using the key based on the management information and written in the nonvolatile storage medium cannot be decrypted. . For example, if the life count value written on the replacement part medium cannot be decoded normally, the amount of film loss on the drum becomes abnormal, the process control does not operate normally, and image quality abnormalities (black stripes, etc.) occur. This may happen.

特許文献2には、ICカード内の秘密鍵が破損した場合にそれを復元できるようにするために、秘密鍵のデータを分割して暗号化したデータを複数のICカードに分散して格納する仕組みが開示されている。   In Patent Document 2, in order to be able to restore a secret key in an IC card when it is damaged, the data obtained by dividing and encrypting the secret key data is distributed and stored in a plurality of IC cards. The mechanism is disclosed.

特開2005−149416号公報JP 2005-149416 A 特開2004−023138号公報JP 2004-023138 A

本発明は、画像形成装置の交換部品内の記憶媒体に記憶された固有情報が何らかの理由で読み出せなくなった場合でも、その固有情報に基づき暗号化されその記憶媒体内に記憶されたデータを復号できる可能性を高めるためのシステムを提供することを目的とする。   The present invention decrypts the data that is encrypted based on the unique information and stored in the storage medium even if the specific information stored in the storage medium in the replacement part of the image forming apparatus cannot be read for some reason. The object is to provide a system for increasing the possibilities.

請求項1に係る発明は、第1の装置と、画像形成装置と、第2の装置と、を備え、前記第1の装置は、前記画像形成装置の交換部品に設けられた記憶媒体内の記憶場所のうち、前記画像形成装置が前記記憶媒体に書き込む管理データの暗号化及び復号に用いる鍵のもとになる固有情報を記憶した第1の記憶場所から当該固有情報を読み出す手段と、読み出された固有情報又はこれに基づき生成された鍵を、前記第2の装置のみ復号可能な方式で暗号化することで暗号化鍵情報を生成し、当該暗号化鍵情報を前記記憶媒体内のあらかじめ定められた第2の記憶場所に書き込む手段と、を備え、前記画像形成装置は、前記交換部品に設けられた前記記憶媒体内の前記第1の記憶場所から前記固有情報を読み出す手段と、読み出された前記固有情報に基づいて暗号化及び復号に用いる鍵を生成する手段と、前記画像形成装置の前記管理データに対して誤り検出用コードを付加し、当該誤り検出用コード付加後の前記管理データを、前記固有情報に基づいて生成された前記暗号化に用いる鍵により暗号化し、暗号化結果のデータを前記記憶媒体内の管理データ用の第3の記憶場所に書き込む手段と、前記交換部品に設けられた前記記憶媒体内の前記第3の記憶場所から読み出した前記暗号化結果のデータを、前記固有情報に基づいて生成された前記復号に用いる鍵により復号し、復号結果のデータに含まれる誤り検出用コードに基づき、当該復号結果のデータに含まれる管理データが正しく復号されているか否かを判定し、正しく復号されていないと判定した場合、当該交換部品が使用不可であることを示すメッセージを提示する判定手段と、を備え、前記第2の装置は、前記交換部品に設けられた前記記憶媒体内の前記第2の記憶場所から前記暗号化鍵情報を読み出す手段と、読み出された前記暗号化鍵情報を復号することにより前記鍵を生成する鍵生成手段と、記記憶媒体内の前記第3の記憶場所から読み出した前記暗号化結果のデータを、前記鍵生成手段により生成された前記鍵を用いて復号すると共に、この復号の結果得られたデータに含まれる誤り検出用コードに基づき、当該復号の結果得られたデータに含まれる管理データが正しく復号されているか否かを判定する復号手段と、を備え、前記画像形成装置の前記判定手段により使用不可であることを示すメッセージが提示された前記交換部品について、当該交換部品に設けられた前記記憶媒体内の前記第3の記憶場所から読み出した前記暗号化結果のデータが、前記第2の装置の前記復号手段により前記管理データが正しく復号されていると判定された場合に、前記第1の記憶場所に記憶された前記固有情報が破壊されたと判断できるようにした、ことを特徴とする交換部品内データ修復システムである。 The invention according to claim 1 includes a first apparatus, an image forming apparatus, and a second apparatus, wherein the first apparatus is in a storage medium provided in a replacement part of the image forming apparatus. Means for reading out the unique information from a first storage location storing unique information as a key used for encryption and decryption of management data written to the storage medium by the image forming apparatus among the storage locations; Encryption key information is generated by encrypting the issued unique information or a key generated based on the unique information using a method that can be decrypted only by the second device , and the encryption key information is stored in the storage medium. e Bei means for writing the second memory location a predetermined, wherein the image forming apparatus includes means for reading the specific information from the first storage location in the storage medium provided in the replacement part The read unique information Means for generating a key used for encryption and decryption based on the error detection code, and adding the error detection code to the management data of the image forming apparatus, and adding the error detection code to the management data Means for encrypting with the key used for the encryption generated based on the data, and writing the data of the encryption result to a third storage location for management data in the storage medium, and the storage provided in the replacement part The data of the encryption result read from the third storage location in the medium is decrypted with the key used for the decryption generated based on the unique information, and the error detection code included in the data of the decryption result Based on this, it is determined whether the management data included in the data of the decryption result is correctly decrypted. If it is determined that the management data is not decrypted correctly, the replacement part cannot be used. Comprising a determining means for presenting a message indicating that the said second apparatus comprises means for reading the encrypted key information from said second storage location in the storage medium provided in the replacement part a key generating unit for generating the key by decrypting the encrypted key information read out, the data of the encryption result read from the third memory location before Symbol in the storage medium, the key The decryption is performed using the key generated by the generation means, and the management data included in the data obtained as a result of the decryption is correctly decrypted based on the error detection code included in the data obtained as a result of the decryption. A decoding means for determining whether or not the replacement part is provided with a message indicating that the determination means of the image forming apparatus cannot use the replacement part. When the data of the encryption result read from the third storage location in the storage medium provided in is determined that the management data is correctly decrypted by the decryption means of the second device In addition, it is possible to determine that the unique information stored in the first storage location has been destroyed .

請求項1に係る発明によれば、画像形成装置の交換部品内の記憶媒体に記憶された固有情報が何らかの理由で読み出せなくなった場合でも、その固有情報に基づき暗号化されその記憶媒体内に記憶されたデータを復号できる可能性を高めることができる。   According to the first aspect of the present invention, even when the specific information stored in the storage medium in the replacement part of the image forming apparatus cannot be read for some reason, it is encrypted based on the specific information and stored in the storage medium. The possibility that the stored data can be decoded can be increased.

実施形態のシステムの一例を概略的に示す図である。It is a figure showing an example of a system of an embodiment roughly. CRUMへの通常のデータ暗号化・書き込みの流れを説明するための図である。It is a figure for demonstrating the flow of the normal data encryption and writing to CRUM. CRUM内の固有情報の破壊により書き込まれたデータの復号できなくなることを説明するための図である。It is a figure for demonstrating that it becomes impossible to decode the data written by destruction of the specific information in CRUM. 固有情報が破壊された場合に、予備鍵によりCRUM内のデータを復号する流れを説明するための図である。It is a figure for demonstrating the flow which decodes the data in CRUM with a spare key when specific information is destroyed.

図1に例示するシステムにおいて、プリンタ、複写機、複合機等の画像形成装置本体の制御部100は、トナーカートリッジやドラムカートリッジなどの交換部品に関する管理データ102を用いて、各種の制御を行う。管理データには、例えば交換部品の使用量を示すカウント値やユーザ情報などがある。制御部100は、電源が切られた時や所定枚数印刷するごとなどのあらかじめ定められたタイミングでその管理データを交換部品内のメモリ(CRUM(Customer Replaceable Unit Monitor)200)に書き込む。例えば、トナーカートリッジの使用量カウント値はトナーカートリッジのCRUMに書き込む。なお、制御部100は、例えば、画像形成装置内に設けられたリード・オンリー・メモリー等の不揮発性記憶媒体に記憶された制御プログラムを、画像形成装置内のプロセッサが実行することにより実現される。   In the system illustrated in FIG. 1, the control unit 100 of the image forming apparatus main body such as a printer, a copier, or a multifunction machine performs various controls using management data 102 regarding replacement parts such as a toner cartridge and a drum cartridge. The management data includes, for example, a count value indicating the amount of replacement parts used and user information. The control unit 100 writes the management data in a memory (CRUM (Customer Replaceable Unit Monitor) 200) in the replacement part at a predetermined timing such as when the power is turned off or every time a predetermined number of sheets are printed. For example, the usage count value of the toner cartridge is written in the CRUM of the toner cartridge. The control unit 100 is realized, for example, when a processor in the image forming apparatus executes a control program stored in a nonvolatile storage medium such as a read-only memory provided in the image forming apparatus. .

CRUM200は、画像形成装置の交換部品に取り付けられたメモリである。CRUM200は、例えばRFIDタグなど、画像形成装置本体の制御部100と無線通信を行う通信インタフェースを備えるメモリユニットである。もちろんこれは一例であり、CRUM200は、画像形成装置本体と有線通信を行うものであってもよい。CRUM200は、EEPROM(Electrically Erasable and Programmable Read Only Memory)などの不揮発性記憶媒体を備えており、この媒体に制御部100から書き込まれたデータを記憶する。また、CRUM200は、それぞれ他のCRUMと異なる固有情報を記憶している。図1の例では、シリアルID202が固有情報の一例である。シリアルID202は、CRUM200を生産したメーカー(例えばRFIDタグのメーカー)がCRUMの個体識別のためにCRUM内に書き込んだ識別情報である。また、CRUMのメーカーは、CRUMの品質管理などの観点で、製造年月日や製造場所、ロット番号などの生産情報204をCRUM200に書き込む場合もある。これらシリアルID202及び生産情報204は、CRUM200を交換部品に組み込む交換部品メーカー側には一般には書き換えできない領域に書き込まれている。   The CRUM 200 is a memory attached to a replacement part of the image forming apparatus. The CRUM 200 is a memory unit including a communication interface that performs wireless communication with the control unit 100 of the image forming apparatus main body, such as an RFID tag. Of course, this is only an example, and the CRUM 200 may perform wired communication with the image forming apparatus main body. The CRUM 200 includes a nonvolatile storage medium such as an EEPROM (Electrically Erasable and Programmable Read Only Memory), and stores data written from the control unit 100 in this medium. Also, each CRUM 200 stores unique information different from other CRUMs. In the example of FIG. 1, the serial ID 202 is an example of unique information. The serial ID 202 is identification information written in the CRUM by the manufacturer (for example, the RFID tag manufacturer) that produced the CRUM 200 for individual identification of the CRUM. In addition, a CRUM manufacturer may write production information 204 such as a manufacturing date, a manufacturing location, and a lot number into the CRUM 200 from the viewpoint of quality control of the CRUM. The serial ID 202 and the production information 204 are written in an area that cannot be generally rewritten by a replacement part manufacturer that incorporates the CRUM 200 into a replacement part.

再び制御部100の説明に戻ると、画像形成装置本体の制御部100は、管理データ102をCRUM200に書き込む際、CRC(Cyclic Redundancy Check)104等の誤り検出又は誤り訂正のためのコードを管理データ102に付加する。そして、制御部100内の暗号化・復号化部106が、CRC104付きの管理データ102を暗号化する。この暗号化のために、制御部100内の暗号鍵生成部108が、CRUM200から固有情報を読み出し、この固有情報にあらかじめ定められた演算を適用することで暗号鍵を生成する。そして、この暗号鍵を用いて暗号化・復号化部106がCRC104付きの管理データ102を暗号化する。この例では、シリアルID202と生産情報204(製造年月日、ロット番号など各生産情報項目のうちの1以上)との組合せを固有情報としてCRUM200から読み出している。暗号鍵の元となるシリアルID202及び生産情報204は、CRUM200のメモリ空間のあらかじめ定められたアドレスに書き込まれているので、暗号鍵生成部108はそれらあらかじめ定められたアドレスから値を読み出す。   Returning to the description of the control unit 100 again, when the control unit 100 of the image forming apparatus main body writes the management data 102 to the CRUM 200, a code for error detection or error correction such as a CRC (Cyclic Redundancy Check) 104 is managed data. 102. Then, the encryption / decryption unit 106 in the control unit 100 encrypts the management data 102 with the CRC 104. For this encryption, the encryption key generation unit 108 in the control unit 100 reads the unique information from the CRUM 200 and generates a cryptographic key by applying a predetermined calculation to the unique information. Then, the encryption / decryption unit 106 encrypts the management data 102 with the CRC 104 using this encryption key. In this example, a combination of the serial ID 202 and the production information 204 (one or more of the production information items such as the manufacturing date and lot number) is read from the CRUM 200 as specific information. Since the serial ID 202 and the production information 204, which are the source of the encryption key, are written at predetermined addresses in the memory space of the CRUM 200, the encryption key generation unit 108 reads values from these predetermined addresses.

なお、暗号鍵の種となる情報として、シリアルID202と生産情報204を用いるのは一例に過ぎない。暗号鍵の種としては、その例に限らず、CRUM200内に記憶された当該CRUM200に固有の情報ならどのような情報を用いてもよい。   Note that the serial ID 202 and the production information 204 are only used as information serving as a seed for the encryption key. The type of encryption key is not limited to this example, and any information that is unique to the CRUM 200 stored in the CRUM 200 may be used.

図示例では、制御部100は、管理データ102の暗号化結果である暗号化データ206aをCRUM200上の当該管理データ用にあらかじめ定められたアドレスに書き込むと共に、暗号化データ206aのコピーである暗号化データ206b及び206cを、CRUM200内のそれらコピー用にあらかじめ定められたアドレスに書き込む。   In the illustrated example, the control unit 100 writes the encrypted data 206a, which is the encryption result of the management data 102, to an address predetermined for the management data on the CRUM 200 and an encryption that is a copy of the encrypted data 206a. Data 206b and 206c are written to predetermined addresses for those copies in CRUM 200.

図2に示す例では、暗号鍵生成部108は、シリアルID「0001」と生産情報「1010」とをマージ(併合)した値「00011010」に対し、鍵生成のための関数又はアルゴリズムを適用することで、暗号鍵を生成する。そして、暗号化・復号化部106が、CRUM200への書き込み対象の管理データ102である(CRUM200が設けられた交換部品の)使用量のカウント値「001234」に対してCRC104を付加したデータを、その暗号鍵で暗号化する。制御部100は、暗号化された値を、予備も含めて3つの暗号化データ206a,206b,206cとして、CRUM200内の、使用量カウント値及びその予備データの書き込み場所としてあらかじめ定められたアドレスに書き込む。   In the example illustrated in FIG. 2, the encryption key generation unit 108 applies a function or algorithm for key generation to a value “00011010” obtained by merging (merging) the serial ID “0001” and the production information “1010”. Thus, an encryption key is generated. Then, the encryption / decryption unit 106 adds the data obtained by adding the CRC 104 to the usage amount count value “001234” (of the replacement part provided with the CRUM 200), which is the management data 102 to be written to the CRUM 200. Encrypt with that encryption key. The control unit 100 sets the encrypted value as the three encrypted data 206a, 206b, and 206c including the spare to the address predetermined in the CRUM 200 as the usage count value and the place where the spare data is written. Write.

また、制御部100は、電源投入時などのあらかじめ定められたタイミングで、CRUM200から暗号化データ206aを読み出す。そして、読み出した暗号化データ206aを暗号化・復号化部106により復号化する。この復号化処理のために、暗号鍵生成部108がCRUM200内からシリアルID202及び生産情報204を読み出し、これらの情報に基づき復号化用の鍵を生成し、暗号化・復号化部106はその鍵を用いて暗号化データ206aの復号を行う。ここで、復号化用の鍵は、暗号化用の鍵と同じ値のものであってもよいし、異なる値(ただし、暗号化用の鍵と対応した値である)のものでもよい。暗号データ206aの復号結果は、管理データ102とCRC104に分けられる。制御部100は、管理データ102に対し、CRC104による誤り検査を行い、この誤り検査により管理データ102に誤りがないと判定された場合、管理データ102を用いて制御処理を実行する。例えば、管理データ102が交換部品の使用量カウント値である場合、制御部100は、復号されたカウント値を起点とし、その後印刷処理を実行するごとにそのカウント値をカウントアップし、電源断などの所定の条件が満たされたときにそのカウント値を前述の処理により暗号化してCRUM200に書き戻す。   The control unit 100 reads the encrypted data 206a from the CRUM 200 at a predetermined timing such as when the power is turned on. Then, the read encrypted data 206 a is decrypted by the encryption / decryption unit 106. For this decryption process, the encryption key generation unit 108 reads the serial ID 202 and the production information 204 from the CRUM 200, generates a decryption key based on these information, and the encryption / decryption unit 106 Is used to decrypt the encrypted data 206a. Here, the decryption key may have the same value as the encryption key, or may have a different value (however, a value corresponding to the encryption key). The decryption result of the encrypted data 206 a is divided into management data 102 and CRC 104. The control unit 100 performs an error check on the management data 102 using the CRC 104. If it is determined that there is no error in the management data 102, the control process is executed using the management data 102. For example, when the management data 102 is a replacement part usage amount count value, the control unit 100 starts from the decoded count value, and then increments the count value every time the printing process is executed, and the power is turned off. When the predetermined condition is satisfied, the count value is encrypted by the above-described process and written back to the CRUM 200.

CRC104による誤り検査で誤りがあると判定された場合、制御部100は予備の暗号化データ206bを読み出し、上述と同様これを復号し、誤り検査を行う。この検査で誤りなしと判明すれば、制御部100はその復号結果の管理データを用いて制御処理を行えばよい。   When it is determined that there is an error in the error check by the CRC 104, the control unit 100 reads the spare encrypted data 206b, decrypts it as described above, and performs error check. If this check reveals that there is no error, the control unit 100 may perform control processing using the management data of the decoding result.

暗号化データ206bの復号結果にも誤りが検出された場合、制御部100は最後の予備の暗号化データ206cを読み出して復号し、誤り検査を行う。この検査で誤りなしと判明すれば、制御部100はその復号結果の管理データを用いて制御処理を行えばよい。   When an error is also detected in the decryption result of the encrypted data 206b, the control unit 100 reads and decrypts the last spare encrypted data 206c, and performs an error check. If this check reveals that there is no error, the control unit 100 may perform control processing using the management data of the decoding result.

一方、誤り検出により、最後の予備の暗号化データ206cも誤りであると判定された場合、当該CRUM200が装着された交換部品が不正使用されたものである可能性がある。そこで、制御部100は、例えば、画像形成装置本体が動作(例えば印刷)を一時停止し、当該交換部品が使用不可なので交換すべきことを促すメッセージを画像形成装置本体の表示部に表示する。使用不可とされた交換部品は、例えば当該交換部品の生産者側に引き取られ、使用不可となった原因が調査される。   On the other hand, if it is determined by error detection that the last spare encrypted data 206c is also an error, there is a possibility that the replacement part on which the CRUM 200 is mounted has been illegally used. Therefore, for example, the control unit 100 temporarily stops the operation (for example, printing) of the image forming apparatus main body, and displays a message on the display unit of the image forming apparatus main body prompting replacement because the replacement part cannot be used. For example, the replacement part that has been made unusable is picked up by the producer of the replacement part, and the cause of the unusable part is investigated.

ここで、このようにすべての暗号化データ206a〜206cが正しく復号できない場合、その原因としては、暗号化データ206a,206b,206cが何らかの理由ですべて壊れてしまった又は改竄されたという可能性の他に、暗号及び復号のための鍵の種となるデータ(図示例ではシリアルID202及び生産情報204)のいずれかが壊れてしまったという可能性もある。後者の可能性を、図3を参照して説明する。   Here, when all the encrypted data 206a to 206c cannot be correctly decrypted in this way, the cause may be that the encrypted data 206a, 206b, 206c are all broken or falsified for some reason. In addition, there is a possibility that any of the data (the serial ID 202 and the production information 204 in the illustrated example) serving as a key seed for encryption and decryption is broken. The latter possibility will be described with reference to FIG.

図3の例は、図2の例に示した暗号化及び書き込みの後、何らかの理由でシリアルID212が壊れた場合を示している。すなわち、図2に例示した時点では、シリアルID202の値が「0001」であったところ、その後の図3の時点では何らかの理由シリアルID212が「1001」に変化している。この場合、暗号鍵生成部108はシリアルID212と生産情報204を併合した値「10011010」を種として暗号化及び復号化のための鍵を生成する。ここで、種の値が図2の場合の値「00011010」と異なるので、図2の場合とは異なる値の鍵が得られることとなる。したがって、例えば図2の時点の種「00011010」から生成した鍵により暗号化した暗号化データ206a〜206cを、図3の時点で種「10011010」から生成した鍵により復号しようとしても、正しく復号することはできない。すなわち、この場合、暗号化データ206a〜206cのいずれについても、復号結果の管理データ112とCRC114との組合せは誤り検査により誤りありと判定されることになる。   The example of FIG. 3 shows a case where the serial ID 212 is broken for some reason after the encryption and writing shown in the example of FIG. That is, when the value of the serial ID 202 is “0001” at the time illustrated in FIG. 2, the reason serial ID 212 is changed to “1001” at the subsequent time of FIG. In this case, the encryption key generation unit 108 generates a key for encryption and decryption using the value “10011010” obtained by merging the serial ID 212 and the production information 204 as a seed. Here, since the seed value is different from the value “00011010” in the case of FIG. 2, a key having a value different from that in the case of FIG. 2 is obtained. Therefore, for example, the encrypted data 206a to 206c encrypted with the key generated from the seed “00011010” at the time of FIG. 2 is correctly decrypted even if the encrypted data 206a to 206c is decrypted with the key generated from the seed “10011010” at the time of FIG. It is not possible. That is, in this case, for any of the encrypted data 206a to 206c, the combination of the decryption result management data 112 and the CRC 114 is determined to have an error by an error check.

シリアルID202等の固有情報は書き換えられることがないので、他の書き換え可能な領域のデータのように書き換え回数の増大による劣化により破壊されるということはない。このために、固有情報が壊れた場合に対処するための仕組みは従来のCRUMには設けられていなかった。しかし、現実には、デバイス系のメモリディスターブ不良等の理由で固有情報が壊れてしまうことがある。このような場合、暗号化データ206a〜206cの復号失敗が、固有情報の破壊によることが分かれば、顧客に対して交換部品の無償交換や交換料金の軽減などといった補償を行うことも考えられる。   Since the unique information such as the serial ID 202 is not rewritten, it is not destroyed by deterioration due to an increase in the number of rewrites unlike data in other rewritable areas. For this reason, the conventional CRUM has not been provided with a mechanism for dealing with the case where the unique information is broken. However, in reality, the unique information may be corrupted due to a device-related memory disturb failure or the like. In such a case, if it is found that the decryption failure of the encrypted data 206a to 206c is due to destruction of the unique information, it may be possible to compensate the customer such as free replacement of replacement parts or reduction of the replacement fee.

そこで、この実施形態では、そのように鍵の種のとなるCRUM200の固有情報が破壊された場合に対処すべく、CRUM200内に暗号化予備鍵情報208を書き込んでおく。暗号化予備鍵情報208は、CRUM200内の固有情報が壊れた場合でも、その固有情報に対応する暗号化及び復号化のための鍵を生成するための元となる情報(予備鍵情報と呼ぶ)を、交換部品の生産者が秘密にしている暗号化アルゴリズムにより暗号化したものである。すなわち、予備鍵情報は、例えばCRUM200の固有情報(例えばシリアルID202及び生産情報204)であってもよいし、その固有情報に基づき暗号鍵生成部108が生成する鍵であってもよい。いずれの場合も、暗号化予備鍵情報208は、交換部品生産者側の生産・データ回収ツール300でしか復号できないように暗号化されている。制御部100もまた第三者も、生産・データ回収ツール300が持つ復号用の鍵や暗号アルゴリズムを知らない限り、暗号化予備鍵情報208を正しく復号することはできない。   Therefore, in this embodiment, the encryption spare key information 208 is written in the CRUM 200 in order to cope with the case where the unique information of the CRUM 200 as a key seed is destroyed. The encrypted spare key information 208 is information (referred to as spare key information) that is a source for generating a key for encryption and decryption corresponding to the unique information even when the unique information in the CRUM 200 is broken. Is encrypted by an encryption algorithm kept secret by the manufacturer of the replacement part. That is, the spare key information may be, for example, unique information of the CRUM 200 (for example, serial ID 202 and production information 204), or may be a key generated by the encryption key generation unit 108 based on the unique information. In either case, the encrypted spare key information 208 is encrypted so that it can be decrypted only by the production / data collection tool 300 on the replacement part producer side. Neither the control unit 100 nor a third party can correctly decrypt the encrypted preliminary key information 208 unless the production / data collection tool 300 knows the decryption key and encryption algorithm.

この暗号化予備鍵情報208は、例えば、CRUM200付きの交換部品を生産する工場に設けられた生産・データ回収ツール300で生成される。図1に示すように、生産・データ回収ツール300内に設けられた予備鍵情報生成部302は、CRUM200からシリアルID202及び生産情報204等の固有情報を読み出し、これらの値を元に暗号化予備鍵情報208を生成する。このとき、予備鍵情報生成部302は、固有の鍵又は暗号アルゴリズムを用いて予備鍵情報を暗号化する。そして、暗号化により生成された暗号化予備鍵情報208を、CRUM200内の、あらかじめ定められたアドレスに書き込む。   The encrypted spare key information 208 is generated by, for example, a production / data collection tool 300 provided in a factory that produces replacement parts with a CRUM 200. As shown in FIG. 1, the spare key information generation unit 302 provided in the production / data collection tool 300 reads unique information such as the serial ID 202 and the production information 204 from the CRUM 200, and encrypts the spare data based on these values. Key information 208 is generated. At this time, the backup key information generation unit 302 encrypts the backup key information using a unique key or encryption algorithm. Then, the encryption spare key information 208 generated by the encryption is written to a predetermined address in the CRUM 200.

そして、上述のように復号時にCRUM200中のすべての暗号化データ206a〜206cが誤りありと判定された場合、その交換部品が生産者側に引き取られるか、生産者側のエンジニアが画像形成装置の設置された客先に出向くかなどして、交換部品の生産者により、生産・データ回収ツール300を用いてそのCRUM200の調査が行われる。   As described above, when it is determined that all the encrypted data 206a to 206c in the CRUM 200 are in error at the time of decryption, the replacement part is picked up by the producer side or the producer side engineer is in charge of the image forming apparatus. The CRUM 200 is investigated using the production / data collection tool 300 by the manufacturer of the replacement parts, such as by going to the installed customer.

すなわち、生産・データ回収ツール300の暗号鍵リカバリ部304が、調査対象の交換部品のCRUM200のあらかじめ定められたアドレスから暗号化予備鍵情報208を読み出して復号し、その復号結果に基づき暗号化データ206a〜206cの復号のための鍵を生成する。このために、暗号鍵リカバリ部304は、予備鍵情報生成部302により暗号化されたデータを復号するための鍵や暗号アルゴリズムを有している。そして、暗号鍵リカバリ部304が生成した復号のための鍵を用いて、復号化部306が、暗号化データ206aを復号し、復号結果に対してCRCによる誤り検出を行う。これにより、復号結果に誤りがないと判定されれば、CRUM200が使用不可と判定されたのは、CRUM200の固有情報(シリアルID202及び生産情報204など)が破壊されたためであると判断できる。暗号化データ206aの復号結果が誤りであっても、予備の暗号化データ206b又は206cのいずれかの復号結果が誤りなしと判定されれば、同様に固有情報が破壊されたと判断できる。   That is, the encryption key recovery unit 304 of the production / data recovery tool 300 reads and decrypts the encryption spare key information 208 from a predetermined address of the CRUM 200 of the replacement part to be investigated, and encrypts the encrypted data based on the decryption result. A key for decrypting 206a to 206c is generated. For this purpose, the encryption key recovery unit 304 has a key and an encryption algorithm for decrypting the data encrypted by the backup key information generation unit 302. Then, using the decryption key generated by the encryption key recovery unit 304, the decryption unit 306 decrypts the encrypted data 206a, and performs CRC error detection on the decryption result. Accordingly, if it is determined that there is no error in the decoding result, it can be determined that the CRUM 200 is determined to be unusable because the unique information (such as the serial ID 202 and the production information 204) of the CRUM 200 has been destroyed. Even if the decryption result of the encrypted data 206a is incorrect, if it is determined that there is no error in the decryption result of either the spare encrypted data 206b or 206c, it can be determined that the unique information has been destroyed.

例えば、図4の例では、図3に例示したようにCRUM200内の固有情報が変化していた場合でも、暗号化予備鍵情報208が破壊又は変更されていなければ、生産・データ回収ツール300の暗号鍵リカバリ部304により、正しい固有情報「00011010」に対応する復号用の鍵を得ることができる。したがって、暗号化データ206aが破壊又は変更されていなければ、復号化部306がその鍵を用いてその暗号化データ206aを正しく復号することができ、CRCによるチェックもパスする。   For example, in the example of FIG. 4, even if the unique information in the CRUM 200 has changed as illustrated in FIG. 3, if the encryption spare key information 208 has not been destroyed or changed, the production / data collection tool 300 The encryption key recovery unit 304 can obtain a decryption key corresponding to the correct unique information “00011010”. Therefore, if the encrypted data 206a is not destroyed or changed, the decryption unit 306 can correctly decrypt the encrypted data 206a using the key, and the CRC check is also passed.

このように、暗号化予備鍵情報208を用いて暗号化データ206a〜206cを正しく復号することができた場合、その復号結果の管理データ102(例えばカウント値)に基づき、顧客に対してフォローアップを行うようにしてもよい。   In this way, when the encrypted data 206a to 206c can be correctly decrypted using the encrypted spare key information 208, the customer is followed up based on the management data 102 (for example, count value) of the decryption result. May be performed.

以上に示した例では、生産・データ回収ツール300を一体の装置として示したが、これは一例に過ぎない。例えばその代わりに、ツール300のうちの暗号化予備鍵情報208の書き込みのための構成(予備鍵情報生成部302)と、CRUM200内の暗号化予備鍵情報208を用いた復号のための構成(暗号鍵リカバリ部304と復号化部306)とを別体の装置として構成してももちろんよい。   In the example shown above, the production / data collection tool 300 is shown as an integrated device, but this is only an example. For example, instead, a configuration for writing the encrypted backup key information 208 in the tool 300 (backup key information generation unit 302) and a configuration for decryption using the encryption backup key information 208 in the CRUM 200 ( Of course, the encryption key recovery unit 304 and the decryption unit 306) may be configured as separate devices.

また、制御部100は、CRUM200内の暗号化予備鍵情報208を復号できないので、暗号化予備鍵情報208を用いた処理を行うことはないが、第三者の解析を困難にするために、制御部100が暗号化予備鍵情報208のアドレスにダミーのアクセスを行うようにしてもよい。   In addition, since the control unit 100 cannot decrypt the encrypted spare key information 208 in the CRUM 200, the control unit 100 does not perform processing using the encrypted spare key information 208. However, in order to make third party analysis difficult, The control unit 100 may perform dummy access to the address of the encrypted backup key information 208.

生産・データ回収ツール300は、例えば、汎用のコンピュータに上述の処理を表すプログラムを実行させることにより実現される。ここで、コンピュータは、例えば、ハードウエアとして、CPU等のマイクロプロセッサ、ランダムアクセスメモリ(RAM)およびリード・オンリー・メモリー(ROM)等のメモリ(一次記憶)、HDD(ハードディスクドライブ)コントローラを経由して接続されたHDD、各種I/O(入出力)インタフェース等が、バスを介して接続された回路構成を有する。バスには、ローカルエリアネットワーク等のネットワークに接続するためのネットワークインタフェースが接続されていてもよい。また、そのバスに対し、例えばI/Oインタフェース経由で、CDやDVDなどの可搬型ディスク記録媒体に対する読み取り及び/又は書き込みのためのディスクドライブ、フラッシュメモリなどの各種規格の可搬型の不揮発性記録媒体に対する読み取り及び/又は書き込みのためのメモリリーダライタなどが接続されてもよい。上に例示した各機能モジュールの処理内容が記述されたプログラムがCDやDVD等の記録媒体を経由して、又はネットワーク等の通信手段経由で、ハードディスクドライブ等の固定記憶装置に保存され、コンピュータにインストールされる。インストールされたプログラムがRAMに読み出されCPU等のマイクロプロセッサにより実行されることにより、上に例示したツール300の機能が実現される。   The production / data collection tool 300 is realized, for example, by causing a general-purpose computer to execute a program representing the above-described processing. Here, the computer, for example, via a microprocessor such as a CPU, a memory (primary storage) such as a random access memory (RAM) and a read-only memory (ROM), and an HDD (hard disk drive) controller as hardware. The connected HDDs, various I / O (input / output) interfaces, and the like have a circuit configuration connected via a bus. A network interface for connecting to a network such as a local area network may be connected to the bus. Also, portable non-volatile recording of various standards such as a disk drive and a flash memory for reading and / or writing to a portable disk recording medium such as a CD or a DVD via the I / O interface, for example. A memory reader / writer or the like for reading from and / or writing to a medium may be connected. A program in which the processing contents of each functional module exemplified above are described is stored in a fixed storage device such as a hard disk drive via a recording medium such as a CD or DVD, or via a communication means such as a network, and stored in a computer. Installed. The function of the tool 300 exemplified above is realized by reading the installed program into the RAM and executing it by a microprocessor such as a CPU.

100 画像形成装置本体の制御部、102 管理データ、104 CRC、106 暗号化・復号化部、108 暗号鍵生成部、200 CRUM、202 シリアルID、204 生産情報、206a〜206c 暗号化データ、208 暗号化予備鍵情報、300 生産・データ回収ツール、302 予備鍵情報生成部、304 暗号鍵リカバリ部、306 復号化部。   100 control unit of image forming apparatus main body, 102 management data, 104 CRC, 106 encryption / decryption unit, 108 encryption key generation unit, 200 CRUM, 202 serial ID, 204 production information, 206a to 206c encrypted data, 208 encryption Spare key information, 300 production / data recovery tool, 302 spare key information generation unit, 304 encryption key recovery unit, 306 decryption unit.

Claims (1)

第1の装置と、画像形成装置と、第2の装置と、を備え、
前記第1の装置は、
前記画像形成装置の交換部品に設けられた記憶媒体内の記憶場所のうち、前記画像形成装置が前記記憶媒体に書き込む管理データの暗号化及び復号に用いる鍵のもとになる固有情報を記憶した第1の記憶場所から当該固有情報を読み出す手段と、
読み出された固有情報又はこれに基づき生成された鍵を、前記第2の装置のみ復号可能な方式で暗号化することで暗号化鍵情報を生成し、当該暗号化鍵情報を前記記憶媒体内のあらかじめ定められた第2の記憶場所に書き込む手段と、
を備え、
前記画像形成装置は、
前記交換部品に設けられた前記記憶媒体内の前記第1の記憶場所から前記固有情報を読み出す手段と、
読み出された前記固有情報に基づいて暗号化及び復号に用いる鍵を生成する手段と、
前記画像形成装置の前記管理データに対して誤り検出用コードを付加し、当該誤り検出用コード付加後の前記管理データを、前記固有情報に基づいて生成された前記暗号化に用いる鍵により暗号化し、暗号化結果のデータを前記記憶媒体内の管理データ用の第3の記憶場所に書き込む手段と、
前記交換部品に設けられた前記記憶媒体内の前記第3の記憶場所から読み出した前記暗号化結果のデータを、前記固有情報に基づいて生成された前記復号に用いる鍵により復号し、復号結果のデータに含まれる誤り検出用コードに基づき、当該復号結果のデータに含まれる管理データが正しく復号されているか否かを判定し、正しく復号されていないと判定した場合、当該交換部品が使用不可であることを示すメッセージを提示する判定手段と、
を備え、
前記第2の装置は、
前記交換部品に設けられた前記記憶媒体内の前記第2の記憶場所から前記暗号化鍵情報を読み出す手段と、
読み出された前記暗号化鍵情報を復号することにより前記鍵を生成する鍵生成手段と、
記記憶媒体内の前記第3の記憶場所から読み出した前記暗号化結果のデータを、前記鍵生成手段により生成された前記鍵を用いて復号すると共に、この復号の結果得られたデータに含まれる誤り検出用コードに基づき、当該復号の結果得られたデータに含まれる管理データが正しく復号されているか否かを判定する復号手段と、
を備え
前記画像形成装置の前記判定手段により使用不可であることを示すメッセージが提示された前記交換部品について、当該交換部品に設けられた前記記憶媒体内の前記第3の記憶場所から読み出した前記暗号化結果のデータが、前記第2の装置の前記復号手段により前記管理データが正しく復号されていると判定された場合に、前記第1の記憶場所に記憶された前記固有情報が破壊されたと判断できるようにした、
ことを特徴とする交換部品内データ修復システム。
 A first apparatus, an image forming apparatus, and a second apparatus;
The first device includes:
Wherein among the storage locations in the storage medium provided in the replacement part of the image forming apparatus, and stores the unique information by the image forming apparatus is the original key used for encryption and decryption of management data to be written to the storage medium Means for reading out the specific information from the first storage location;
Encryption key information is generated by encrypting the read unique information or a key generated based on the read unique information using a method that can be decrypted only by the second device , and the encryption key information is stored in the storage medium. Means for writing to a predetermined second storage location;
Bei to give a,
The image forming apparatus includes:
Means for reading out the unique information from the first storage location in the storage medium provided in the replacement part;
Means for generating a key used for encryption and decryption based on the read unique information;
An error detection code is added to the management data of the image forming apparatus, and the management data after adding the error detection code is encrypted with a key used for the encryption generated based on the unique information Means for writing encryption result data to a third storage location for management data in the storage medium;
The encryption result data read from the third storage location in the storage medium provided in the replacement part is decrypted with the key used for the decryption generated based on the unique information, and the decryption result Based on the error detection code included in the data, it is determined whether or not the management data included in the decoding result data is correctly decoded. A determination means for presenting a message indicating that there is,
With
The second device includes:
Means for reading out the encryption key information from the second storage location in the storage medium provided in the replacement part;
Key generation means for generating the key by decrypting the read encryption key information;
The data of the encryption result read from the third memory location in the previous term memory medium, while decoding using the key generated by the key generating means, contained in the resulting data of the decoding Decoding means for determining whether or not the management data included in the data obtained as a result of the decoding is correctly decoded based on the error detection code to be obtained ;
Equipped with a,
The encryption read from the third storage location in the storage medium provided in the replacement part for the replacement part for which the message indicating that the determination unit of the image forming apparatus cannot be used is presented When it is determined that the management data is correctly decoded by the decoding unit of the second device, the specific data stored in the first storage location can be determined to have been destroyed. Like,
A data restoration system for replacement parts, which is characterized by that .
JP2009059826A 2009-03-12 2009-03-12 Replacement part data recovery system Expired - Fee Related JP5067390B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009059826A JP5067390B2 (en) 2009-03-12 2009-03-12 Replacement part data recovery system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009059826A JP5067390B2 (en) 2009-03-12 2009-03-12 Replacement part data recovery system

Publications (2)

Publication Number Publication Date
JP2010211145A JP2010211145A (en) 2010-09-24
JP5067390B2 true JP5067390B2 (en) 2012-11-07

Family

ID=42971343

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009059826A Expired - Fee Related JP5067390B2 (en) 2009-03-12 2009-03-12 Replacement part data recovery system

Country Status (1)

Country Link
JP (1) JP5067390B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6330299B2 (en) * 2013-12-02 2018-05-30 セイコーエプソン株式会社 Printing device
WO2015087426A1 (en) * 2013-12-12 2015-06-18 株式会社日立製作所 Storage device and storage device control method

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4581311B2 (en) * 2001-09-28 2010-11-17 凸版印刷株式会社 Image data generation apparatus, electronic device manufacturing apparatus, key detection apparatus, electronic device
JP2005149416A (en) * 2003-11-19 2005-06-09 Fuji Xerox Co Ltd Image forming apparatus and its replacement part

Also Published As

Publication number Publication date
JP2010211145A (en) 2010-09-24

Similar Documents

Publication Publication Date Title
US9973658B2 (en) CRUM chip and image forming device for authentication and communication, and methods thereof
RU2452009C1 (en) Unit using operating system and image forming apparatus using said unit
JP4622238B2 (en) Image forming apparatus
KR101780734B1 (en) CRUM chip and image forming device for communicating mutually, and method thereof
AU2013366785B2 (en) CRUM chip and image forming device for authentication and communication, and methods thereof
JP5016189B2 (en) Electronic device, electronic device control method, program, and recording medium
US20140164753A1 (en) System on chip for performing secure boot, image forming apparatus using the same, and method thereof
JP2005149416A (en) Image forming apparatus and its replacement part
JP5067390B2 (en) Replacement part data recovery system
EP2746859B1 (en) CRUM chip and image forming device for authentication and communication, and methods thereof
JP2006237689A (en) Data management device and its program
JP5157280B2 (en) Image forming apparatus, printing control method and printing control program for the same, and consumable unit
JP2005157000A (en) Image forming apparatus, replacement unit, consumption data management method, and program
US8943327B2 (en) Apparatus and method to enable operation between a main assembly and a sub-assembly that are cryptographically related
KR101866823B1 (en) CRUM chip and image forming device for communicating mutually, and method thereof
JP6740702B2 (en) Information processing device and program
JP2005144823A (en) Imaging device and its replacement component
JP2005151291A (en) Image forming device and spare part
KR20050032462A (en) Apparatus for the preventing copy of software

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111005

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111011

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111212

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120717

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120730

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150824

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees