JP6421405B2 - 情報処理システム、情報処理装置、セキュリティ確保方法及びプログラム - Google Patents
情報処理システム、情報処理装置、セキュリティ確保方法及びプログラム Download PDFInfo
- Publication number
- JP6421405B2 JP6421405B2 JP2013120877A JP2013120877A JP6421405B2 JP 6421405 B2 JP6421405 B2 JP 6421405B2 JP 2013120877 A JP2013120877 A JP 2013120877A JP 2013120877 A JP2013120877 A JP 2013120877A JP 6421405 B2 JP6421405 B2 JP 6421405B2
- Authority
- JP
- Japan
- Prior art keywords
- verification
- validity
- unit
- software
- operation unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Facsimiles In General (AREA)
Description
本発明は、情報処理システム、情報処理装置、セキュリティ確保方法及びプログラムに関する。
汎用PCの環境にて高度なセキュリティ機能を有するシステム環境を構築可能とする技術の提供を目的とする情報処理装置は従来から知られている(例えば特許文献1参照)。
従来の情報処理装置は、アプリケーションのハッシュ値の計算と可搬型記憶媒体からのアプリケーションの正ハッシュ値の読み出しと計算したハッシュ値及び正ハッシュ値の比較によるアプリケーションの正当性の確認とをチェックプログラムにより行っていた。
従来の情報処理システムにおいて、画面表示やキー入力の操作を行う部分を操作部として本体部から独立させ、本体部の負荷が高くても操作レスポンスを低下させないようにすることが考えられる。例えば操作部は本体部と独立したOS(Operating System)が搭載され、本体部と独立に動作する。
また、従来の情報処理システムでは、搭載されているソフトウェアの正当性、完全性の検証を必要とする場合があった。しかしながら、操作部を本体部から独立させた情報処理システムでは、操作部の正当性、完全性の検証が難しく、セキュリティの確保が困難であるという問題があった。
本発明の実施の形態は上記の点に鑑みなされたもので、セキュリティを確保できる情報処理システム、情報処理装置、セキュリティ確保方法及びプログラムを提供することを目的とする。
上記目的を達成するため、本願請求項1は、ユーザからの操作を受け付ける操作部と、前記操作部からの要求に基づき動作する本体部とを有する情報処理システムであって、前記操作部の正当性検証及び前記操作部のソフトウェアの完全性検証に必要な処理を前記操作部において行う第1の正当性検証手段と、前記第1の正当性検証手段に前記操作部の正当性検証又は前記操作部のソフトウェアの完全性検証依頼を行い、前記第1の正当性検証手段が行った前記操作部の正当性検証又は前記操作部のソフトウェアの完全性検証に必要な処理の結果に基づき、前記操作部の正当性検証又は前記操作部のソフトウェアの完全性検証を行う第2の正当性検証手段と、を有し、前記操作部の正当性及び前記操作部のソフトウェアの完全性が確認できた前記第2の正当性検証手段は、前記操作部に動的に追加されたソフトウェアの検証を前記第1の正当性検証手段に要求し、前記本体部は、前記第1の正当性検証手段により前記動的に追加されたソフトウェアの正当性及び完全性が確認できた前記操作部にサービスを提供すること、を特徴とする。
本発明の実施の形態によれば、セキュリティを確保できる。
次に、本発明の実施の形態について、詳細に説明する。なお、本実施形態では情報処理システム、情報処理装置の一例としての画像処理装置について説明する。
[第1の実施形態]
<システム構成>
図1は本実施形態に係る画像処理装置の一例の構成図である。
[第1の実施形態]
<システム構成>
図1は本実施形態に係る画像処理装置の一例の構成図である。
図1において、画像処理装置1はケーブル4によりデータ通信可能に接続された本体部2と操作部3とを備える。なお、本体部2と操作部3は、ケーブル4による有線接続に代えて、無線(赤外線を含む)接続としてもよい。
本体部2は、本体部コントローラ21と、スキャナデバイス22と、プロッタデバイス23とを有する。本体部コントローラ21は本体部2の制御動作を司る。スキャナデバイス22は原稿の読み取りを行う。プロッタデバイス23は用紙に印刷を行う。
なお、本体部2は、LAN(Local Area Network)、WAN(Wide Area Network)、インターネット等のネットワーク5を介してPC(Personal Computer)等の端末装置6とデータ通信可能に接続できる。また、本体部2はネットワーク5に接続された無線アクセスポイント7を介してスマートフォン、タブレット等の端末装置8とデータ通信可能に接続できる。端末装置8はBluetooth(登録商標)等の近距離無線を利用して本体部2に直接にアクセスするようにしてもよい。
また、操作部3は、操作部コントローラ31と、ハードキー32と、液晶タッチパネル33とを有する。操作部コントローラ31は操作部3の制御動作を司る。ハードキー32はユーザから操作を受け付ける。液晶タッチパネル33は画面表示および操作入力受付を行う。
なお、図示を省略しているが、操作部3はネットワーク5を介してPC等の端末装置6とデータ通信可能に接続できる。また、操作部3はネットワーク5に接続された無線アクセスポイント7を介して、端末装置8とデータ通信可能に接続できる。このように、本体部2及び操作部3は有線接続又は無線接続によりネットワーク5に接続できる。
図2は本実施形態に係る本体部コントローラの一例の構成図である。本体部2の本体部コントローラ21は、OS部211と対操作部通信部212と正当性検証部213と不揮発メモリ214とを有する。なお、図2において、本実施形態の説明に不要な構成については省略している。
OS部211は、本体部コントローラ21の基本ソフトウェアである。対操作部通信部212は操作部3とのデータ通信を制御する機能を有している。正当性検証部213は操作部3に搭載されているソフトウェアの正当性、完全性の検証を行う。不揮発メモリ214は完全性の検証に利用する後述のサム値を保持している。なお、本体部2に搭載されているソフトウェアの正当性、完全性はセキュアブートにより確保する。
図3は本実施形態に係る操作部コントローラの一例の構成図である。操作部3の操作部コントローラ31はOS部311と対コントローラ通信部312と正当性検証モジュール313と表示制御部314と1つ以上の追加アプリケーション315とを有する。
OS部311は操作部コントローラ31の基本ソフトウェアである。このように操作部コントローラ31は独立したOS部311が搭載され、本体部2と独立に動作することができる。OS部311は例えばAndroid OS等を利用できる。対コントローラ通信部312は本体部2とのデータ通信を制御する機能を有している。対コントローラ通信部312はUSB、シリアル、有線、無線LAN、Bluetooth、IrDA等の通信デバイスを利用して本体部2との通信を行う。
正当性検証モジュール313は操作部3の起動に必要なブート部分のソフトウェア(例えばファームウェア)の正当性、完全性の検証に必要な処理を、本体部2の正当性検証部213の依頼により行う。また、正当性検証モジュール313は操作部コントローラ31に搭載されている追加アプリケーション315の正当性、完全性の検証を行う。追加アプリケーション315は、OS、基本ソフトウェアなどのファームウェア以外の動的に追加されるソフトウェアである。
表示制御部314は液晶タッチパネル33等に画面を表示する。例えば操作部3に搭載されているソフトウェアの正当性、完全性の検証が失敗すると、表示制御部314は液晶タッチパネル33等に正当性、完全性の検証が失敗した旨を表示する。
なお、本体部2と操作部3とは同一匡体内に設けてもよいし、別々の筐体内に設けるようにしてもよい。例えば本体部2の筐体と別の匡体内に設けられ、本体部2から分離可能な操作部3は無線接続にすることで、本体部2から分離したまま利用するというような利用形態が可能となる。
図4はコンピュータの一例のハードウェア構成図である。図2の本体部コントローラ21及び図3の操作部コントローラ31は例えば図4のハードウェア構成のコンピュータ500にプログラムを実行させることにより実現される。
図4に示したコンピュータ500は、外部I/F503、RAM(Random Access Memory)504、ROM(Read Only Memory)505、CPU(Central Processing Unit)506、通信I/F507、及びHDD(Hard Disk Drive)508などを備え、それぞれがバスBで相互に接続されている。
通信I/F507はコンピュータ500をネットワーク5に接続するインタフェースである。これにより、コンピュータ500は通信I/F507を介して、他のコンピュータ500とデータ通信を行うことができる。HDD508はプログラムやデータを格納している不揮発性の記憶装置の一例である。
なお、格納されるプログラムやデータにはコンピュータ500全体を制御する基本ソフトウェアであるOS、及びOS上において各種機能を提供するアプリケーションプログラムやサービスプログラムなどのソフトウェアがある。HDD508は、格納しているプログラムやデータを所定のファイルシステム及び/又はDB(Data Base)により管理している。
外部I/F503は、外部装置とのインタフェースである。外部装置には、記録媒体503aなどがある。これにより、コンピュータ500は外部I/F503を介して、記録媒体503aの読み取り及び/又は書き込みを行うことができる。記録媒体503aにはフレキシブルディスク、CD(Compact Disk)、DVD(Digital Versatile Disk)、SDメモリカード、USB(Universal Serial Bus)メモリ等がある。
ROM505は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリ(記憶装置)の一例である。ROM505には、コンピュータ500の起動時に実行されるBIOS(Basic Input/Output System)、OS設定、及びネットワーク設定などのプログラムやデータが格納されている。RAM504は、プログラムやデータを一時保持する揮発性の半導体メモリ(記憶装置)の一例である。
CPU506は、ROM505やHDD508などの記憶装置からプログラムやデータをRAM504上に読み出し、処理を実行することで、コンピュータ500全体の制御や機能を実現する演算装置である。
本体部コントローラ21及び操作部コントローラ31は例えば上記ハードウェア構成のコンピュータ500上でプログラムを実行することにより、後述するような各種処理を実現できる。
<処理の詳細>
本実施形態に係る画像処理装置1は操作部3に搭載されたソフトウェアの正当性、完全性を後述のように検証できたあとで、本体部2から操作部3へのサービス提供を実施することで、セキュリティを確保するものである。
本実施形態に係る画像処理装置1は操作部3に搭載されたソフトウェアの正当性、完全性を後述のように検証できたあとで、本体部2から操作部3へのサービス提供を実施することで、セキュリティを確保するものである。
起動時、本実施形態に係る画像処理装置1は例えば図5に示すシーケンス図のように処理を行う。図5は本実施形態に係る起動時の処理を表した一例のシーケンス図である。
ユーザ(操作者)が画像処理装置1の電源をオン(ON)することにより、画像処理装置1は起動時の処理を開始する。ステップS1において、本体部2のOS部211が起動される。また、ステップS2において、操作部3のOS部311が起動される。ステップS3において、本体部2のOS部211は正当性検証部213を起動させる。ステップS4において、OS部211は対操作部通信部212を起動させる。
ステップS5において、正当性検証部213は対操作部通信部212に操作部正当性検証依頼を行う。なお、操作部正当性検証依頼にはランダム値が含まれる。ステップS6において、対操作部通信部212は操作部3の対コントローラ通信部312に対して正当性検証依頼を行う。正当性検証依頼には、操作部正当性検証依頼に含まれていたランダム値が含まれる。
ステップS7において、対コントローラ通信部312は正当性検証モジュールに正当性検証依頼を行う。操作部3の正当性検証モジュール313と本体部2の正当性検証部213とは共通の秘密鍵を有している。正当性検証モジュール313は正当性検証依頼に含まれていたランダム値に対するハッシュ値計算を、共通の秘密鍵を使って行う。
ステップS8において、正当性検証モジュール313はハッシュ値計算結果を対コントローラ通信部312に返答する。ステップS9において、対コントローラ通信部312は本体部2の対操作部通信部212に対してハッシュ値計算結果を返答する。ステップS10において、対操作部通信部212は正当性検証部213にハッシュ値を返答する。
一方、正当性検証部213はステップS11において、ランダム値に対するハッシュ値計算を、共通の秘密鍵を使って行う。ステップS12において、正当性検証部213は操作部3で計算されて返答されたハッシュ値と、自身で計算したハッシュ値とを照合して一致を確認する。
操作部3で計算されて返答されたハッシュ値と、自身で計算したハッシュ値とが一致していれば、正当性検証部213は操作部3の正当性が確認できたと判定する。なお、操作部3で計算されて返答されたハッシュ値と、自身で計算したハッシュ値とが一致していなければ、正当性検証部213は操作部3の正当性が確認できないと判定し、操作部3との接続を中断させる。
操作部3の正当性が確認できたと判定すると、正当性検証部213はステップS13において、対操作部通信部212に操作部完全性検証依頼を行う。また、ステップS14において、対操作部通信部212は操作部3の対コントローラ通信部312に対して完全性検証依頼を行う。
ステップS15において、対コントローラ通信部312は正当性検証モジュール313に完全性検証依頼を行う。ステップS16において、正当性検証モジュール313はOS部311のソフトウェアのサム値を計算し、取得する。ステップS17において、正当性検証モジュール313はOS部311のソフトウェアのサム値を操作部3のソフトウェアのサム値として対コントローラ通信部312に返答する。
ステップS18において、対コントローラ通信部312は本体部2の対操作部通信部212に対して操作部3のソフトウェアのサム値を返答する。また、ステップS19において対操作部通信部212は正当性検証部213に操作部3のソフトウェアのサム値を返答する。
なお、本体部2は操作部3のソフトウェアの正しいサム値を不揮発メモリ214に保持している。ステップS20において、正当性検証部213は不揮発メモリ214から操作部3のソフトウェアの正しいサム値を取得する。そして、ステップS21において、正当性検証部213は操作部3で計算されて返答されたソフトウェアのサム値と、不揮発メモリ214から取得した操作部3のソフトウェアの正しいサム値と、を照合して一致を確認する。
操作部3で計算されて返答されたソフトウェアのサム値と、不揮発メモリ214から取得した操作部3のソフトウェアの正しいサム値とが一致していれば、正当性検証部213は操作部3のソフトウェアの完全性(壊れていないこと)が確認できたと判定する。
操作部3で計算されて返答されたソフトウェアのサム値と、不揮発メモリ214から取得した操作部3のソフトウェアの正しいサム値と、が一致していなければ、正当性検証部213は操作部3のソフトウェアの完全性が確認できないと判定する。操作部3のソフトウェアの完全性が確認できないと判定すると、正当性検証部213は操作部3との接続を中断させる。
なお、ステップS21で完全性を確認するソフトウェアは、操作部3に搭載されているソフトウェアから、少なくとも追加アプリケーション315が除かれている。追加アプリケーション315が動的に追加される度に、不揮発メモリ214が保持している操作部3のソフトウェアの正しいサム値を書き換えるのは、手間が掛かり過ぎる為である。
操作部3のソフトウェアの完全性が確認できたと判定すると、正当性検証部213はステップS22において、対操作部通信部212に追加アプリ検証を依頼する。ステップS23において、対操作部通信部212は操作部3の対コントローラ通信部312に対して追加アプリ検証を依頼する。
ステップS24において、対コントローラ通信部312は完全性が確認された正当性検証モジュール313に追加アプリ検証を依頼する。ステップS25において、正当性検証モジュール313は追加アプリケーション315の正当性、完全性の検証を行う。追加アプリケーション315がjar形式である場合、正当性検証モジュール313は追加アプリケーション315の正当性、完全性の検証を、jarファイルに対する電子署名が正当であることを確認することで行うことができる。なお、追加アプリケーション315のリストはOS部311が有している。正当性検証モジュール313はOS部311から追加アプリケーション315のリストを取得できる。
ステップS26において、正当性検証モジュール313は追加アプリケーション315の正当性、完全性の検証結果を対コントローラ通信部312に返答する。また、ステップS27において、対コントローラ通信部312は本体部2の対操作部通信部212に対して追加アプリケーション315の正当性、完全性の検証結果を返答する。
また、ステップS28において対操作部通信部212は、正当性検証部213に追加アプリケーション315の正当性、完全性の検証結果を返答する。正当性検証部213はステップS29において、全ての追加アプリケーション315の正当性、完全性が確認できたと判定すれば、対操作部通信部212に操作部3の検証OKを通知する。検証OKを通知された対操作部通信部212は操作部3に対するサービスの提供を開始する。なお、操作部3のファームウェアは、追加アプリケーション315の正当性、完全性が確認できない場合、追加アプリケーション315を起動させない。
図5のシーケンス図の処理によれば、操作部3の正当性、完全性が確認できるまで本体部2から操作部3へのサービス提供(認証や文書送信など、操作部3が本体部2の機能を使用して行う処理)を実施しないことでセキュリティを確保できる。また、図5のシーケンス図の処理によれば、本体部2は操作部3のソフトウェアの正しいサム値を不揮発メモリ214に保持しておけばよいため、操作部3のソフトウェアのバージョンアップ等によるサム値の変化に容易に対応できる。さらに、図5のシーケンス図によれば、操作部3は本体部2により正当性、完全性が確認された正当性検証モジュール313により追加アプリケーション315の正当性、完全性の検証を行うことができる。このように、追加アプリケーション315の正当性、完全性の検証は操作部3で行うことができる。
操作部3のファームウェアが更新された場合、本実施形態に係る画像処理装置1は本体部2の不揮発メモリ214に対し、操作部3のソフトウェアの正しいサム値を設定し直す必要が生じる。操作部3のソフトウェアの正しいサム値を手作業で設定し直す場合、入力作業が煩わしく、又、設定間違いの可能性も高まる。
そこで、本実施形態に係る画像処理装置1は例えば図6に示すシーケンス図のように処理を行ってもよい。図6は本実施形態に係る起動時の処理を表した他の例のシーケンス図である。なお、図6のシーケンス図は一部を除いて図5のシーケンス図と同様であるため適宜説明を省略する。
図6のシーケンス図においても、図5のステップS1〜S12の処理が、ステップS31の処理の前に行われている。また、ステップS31〜S37の処理は図5のステップS13〜S19の処理と同様である。
ステップS38において、正当性検証部213は不揮発メモリ214から操作部3のソフトウェアの正しいサム値を取得する。取得したサム値が空であった場合、正当性検証部213は図5のステップS21に示した照合を行わず、ステップS39の処理を行う。ステップS39において、正当性検証部213は操作部3から返答された操作部3のソフトウェアのサム値を、操作部3のソフトウェアの正しいサム値として不揮発メモリ214に書き込む。なお、正当性検証部213は操作部3で計算されて返答されたソフトウェアのサム値と、不揮発メモリ214から取得した操作部3のソフトウェアの正しいサム値とが一致していたと見なし、ステップS40以降の処理を進める。
なお、ステップS40〜S47の処理は図5のステップS22〜S29の処理と同様である。図6のシーケンス図では、操作部3のソフトウェアの完全性の検証が行われないことになるが、次回以降に、操作部3のソフトウェアの完全性の検証が行われる。例えば操作部3のファームウェア更新時に、一度、図6のシーケンス図の処理を行うことで、次回以降、操作部3のソフトウェアの完全性の検証が行われる。
本体部2の不揮発メモリ214の容量が圧迫している場合、本実施形態に係る画像処理装置1は操作部3のソフトウェアの完全性の検証を、例えば図7に示すシーケンス図のように不揮発メモリ214を使わずに行うこともできる。図7は本実施形態に係る起動時の処理を表した他の例のシーケンス図である。なお、図7のシーケンス図は一部を除いて図5のシーケンス図と同様であるため適宜説明を省略する。
図7のシーケンス図においても、図5のステップS1〜S12の処理が、ステップS51の処理の前に行われている。また、ステップS51〜S56の処理は図5のステップS13〜S18の処理と同様である。
ステップS57において、対操作部通信部212はファームウェア更新用のROM作成時に作成された、操作部3のソフトウェアの正しいサム値が記載されたテキストファイルを読み込み、操作部3のソフトウェアの正しいサム値を取得する。なお、操作部3のソフトウェアの正しいサム値が記載されたテキストファイルはステップS56において、操作部3のソフトウェアのサム値と一緒に操作部3から送信される。
ステップS58において、対操作部通信部212は正当性検証部213に操作部3のソフトウェアの正しいサム値と操作部3で計算されて返答された操作部3のソフトウェアのサム値とを正当性検証部213に返答する。ステップS59において、正当性検証部213は操作部3で計算されて返答されたソフトウェアのサム値と、テキストファイルから取得した操作部3のソフトウェアの正しいサム値と、を照合して一致を確認する。ステップS60以降の処理は図5のステップS22以降の処理と同様である。図7のシーケンス図では、本体部2の不揮発メモリ214を使わずに、操作部3のソフトウェアの完全性の検証を行うことができる。
操作部3の正当性、完全性の確認ができない場合、本実施形態に係る画像処理装置1は管理者などのユーザに通知することもできる。ユーザへの通知は操作部3の液晶タッチパネル33に表示して行うことが多い。しかし、正当性、完全性の確認ができない操作部3は故障している可能性もある。
そこで、本実施形態に係る画像処理装置1は、操作部3の正当性、完全性の確認ができない旨をユーザに通知する宛先(メールアドレスなど)を事前に本体部2に登録させておくことで、操作部3の正当性、完全性の確認ができない旨をメールで通知できる。
また、本実施形態に係る画像処理装置1は操作部3の正当性、完全性の検証を起動時に実施する場合、本体部2から操作部3へのサービス提供開始に、ある程度の時間が掛かるため、正当性、完全性の検証の実施/未実施を設定できるようにしてもよい。操作部3の正当性、完全性の検証を未実施に設定すると、本体部2は例えば図5のステップS6の正当性検証依頼を操作部3に送信せず、操作部3へのサービス提供を開始する。
<まとめ>
本実施形態によれば、本体部2によって操作部3の起動に必要なファームウェアなどのブート部分のソフトウェアの正当性、完全性の検証を行う。また、本実施形態によれば本体部2によって正当性、完全性が確認できた操作部3のファームウェアによって、動的に操作部3に追加されるソフトウェアの正当性、完全性の検証を行うことができる。
本実施形態によれば、本体部2によって操作部3の起動に必要なファームウェアなどのブート部分のソフトウェアの正当性、完全性の検証を行う。また、本実施形態によれば本体部2によって正当性、完全性が確認できた操作部3のファームウェアによって、動的に操作部3に追加されるソフトウェアの正当性、完全性の検証を行うことができる。
本実施形態によれば、操作部3の正当性、完全性の検証を行い、正当性、完全性が確認できた操作部3に対して本体部2からサービス提供を開始できるので、セキュリティを確保できる。
本発明は、具体的に開示された上記の実施形態に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。例えば画像処理装置1は一例であって、用途や目的に応じて様々なシステム構成例があることは言うまでもないことである。例えば正当性検証部213は本体部2から利用可能であれば、本体部2の外に設けてもよい。例えば正当性検証部213は正当性検証サーバ等の本体部2から通信可能なサーバに設けてもよい。正当性検証サーバ等は複数台でも良く、機能を分散して設けるようにしてもよい。
1 画像処理装置
2 本体部
3 操作部
4 ケーブル
5 ネットワーク
6、8 端末装置
7 無線アクセスポイント
21 本体部コントローラ
22 スキャナデバイス
23 プロッタデバイス
31 操作部コントローラ
32 ハードキー
33 液晶タッチパネル
211、311 OS部
212 対操作部通信部
213 正当性検証部
214 不揮発メモリ
312 対コントローラ通信部
313 正当性検証モジュール
314 表示制御部
315 追加アプリケーション
500 コンピュータ
503 外部I/F
503a 記録媒体
504 RAM(Random Access Memory)
505 ROM(Read Only Memory)
506 CPU(Central Processing Unit)
507 通信I/F
508 HDD(Hard Disk Drive)
2 本体部
3 操作部
4 ケーブル
5 ネットワーク
6、8 端末装置
7 無線アクセスポイント
21 本体部コントローラ
22 スキャナデバイス
23 プロッタデバイス
31 操作部コントローラ
32 ハードキー
33 液晶タッチパネル
211、311 OS部
212 対操作部通信部
213 正当性検証部
214 不揮発メモリ
312 対コントローラ通信部
313 正当性検証モジュール
314 表示制御部
315 追加アプリケーション
500 コンピュータ
503 外部I/F
503a 記録媒体
504 RAM(Random Access Memory)
505 ROM(Read Only Memory)
506 CPU(Central Processing Unit)
507 通信I/F
508 HDD(Hard Disk Drive)
Claims (10)
- ユーザからの操作を受け付ける操作部と、前記操作部からの要求に基づき動作する本体部とを有する情報処理システムであって、
前記操作部の正当性検証及び前記操作部のソフトウェアの完全性検証に必要な処理を前記操作部において行う第1の正当性検証手段と、
前記第1の正当性検証手段に前記操作部の正当性検証又は前記操作部のソフトウェアの完全性検証依頼を行い、前記第1の正当性検証手段が行った前記操作部の正当性検証又は前記操作部のソフトウェアの完全性検証に必要な処理の結果に基づき、前記操作部の正当性検証又は前記操作部のソフトウェアの完全性検証を行う第2の正当性検証手段と、
を有し、
前記操作部の正当性及び前記操作部のソフトウェアの完全性が確認できた前記第2の正当性検証手段は、前記操作部に動的に追加されたソフトウェアの検証を前記第1の正当性検証手段に要求し、
前記本体部は、前記第1の正当性検証手段により前記動的に追加されたソフトウェアの正当性及び完全性が確認できた前記操作部にサービスを提供すること、を特徴とする情報処理システム。 - 前記第1の正当性検証手段は、前記操作部に動的に追加されたソフトウェアの完全性検証を、前記操作部に動的に追加されたソフトウェアの電子署名を確認することで行うこと、
を特徴とする請求項1記載の情報処理システム。 - 前記第2の正当性検証手段は前記操作部のソフトウェアのうち、前記操作部の起動に必要なブート部分のソフトウェアの完全性検証を行うこと、
を特徴とする請求項1又は2記載の情報処理システム。 - 前記第1の正当性検証手段は、前記第2の正当性検証手段から前記操作部の正当性検証依頼を受信すると、秘密鍵を用いて前記操作部の正当性検証依頼に含まれる値から第1の値を計算して前記第2の正当性検証手段に送信し、
前記第2の正当性検証手段は、前記第1の正当性検証手段に行った前記操作部の正当性検証依頼に含ませた値の第2の値を、前記第1の正当性検証手段と共通の秘密鍵を用いて計算して、前記第1及び第2の値の比較結果により前記操作部の正当性検証を行うこと
を特徴とする請求項1乃至3何れか一項記載の情報処理システム。 - 前記第1の正当性検証手段は、前記第2の正当性検証手段から前記操作部のソフトウェアの完全性検証依頼を受信すると、前記操作部のソフトウェアから第3の値を計算して前記第2の正当性検証手段に送信し、
前記第2の正当性検証手段は、前記本体部が取得可能に設定されている、前記操作部のソフトウェアに完全性があるときに計算された正しい第4の値を取得して前記第3及び第4の値の比較結果により前記操作部のソフトウェアの完全性検証を行うこと
を特徴とする請求項1乃至4何れか一項記載の情報処理システム。 - 前記本体部は、前記操作部の正当性及び前記操作部のソフトウェアの完全性の確認ができなければ、事前に登録されているアドレスを利用し、前記操作部の正当性及び前記操作部のソフトウェアの完全性の確認ができない旨を通知すること
を特徴とする請求項1乃至5何れか一項記載の情報処理システム。 - 前記操作部は前記本体部から独立したオペレーティングシステムが搭載され、前記本体部と独立に動作すること
を特徴とする請求項1乃至6何れか一項記載の情報処理システム。 - ユーザからの操作を受け付ける操作部と、前記操作部からの要求に基づき動作する本体部とを有する情報処理装置であって、
前記操作部の正当性検証及び前記操作部のソフトウェアの完全性検証に必要な処理を前記操作部において行う第1の正当性検証手段と、
前記第1の正当性検証手段に前記操作部の正当性検証又は前記操作部のソフトウェアの完全性検証依頼を行い、前記第1の正当性検証手段が行った前記操作部の正当性検証又は前記操作部のソフトウェアの完全性検証に必要な処理の結果に基づき、前記操作部の正当性検証又は前記操作部のソフトウェアの完全性検証を行う第2の正当性検証手段と、
を有し、
前記操作部の正当性及び前記操作部のソフトウェアの完全性が確認できた前記第2の正当性検証手段は、前記操作部に動的に追加されたソフトウェアの検証を前記第1の正当性検証手段に要求し、
前記本体部は、前記第1の正当性検証手段により前記動的に追加されたソフトウェアの正当性及び完全性が確認できた前記操作部にサービスを提供すること、を特徴とする情報処理装置。 - ユーザからの操作を受け付ける操作部と、前記操作部からの要求に基づき動作する本体部とを有する情報処理システムで実行されるセキュリティ確保方法あって、
前記操作部の正当性検証及び前記操作部のソフトウェアの完全性検証に必要な処理を前記操作部において行う第1の正当性検証手段に、前記本体部から前記操作部の正当性検証又は前記操作部のソフトウェアの完全性検証依頼を行うステップと、
前記第1の正当性検証手段が行った前記操作部の正当性検証又は前記操作部のソフトウェアの完全性検証に必要な処理の結果に基づき、第2の正当性検証手段で、前記操作部の正当性検証又は前記操作部のソフトウェアの完全性検証を行うステップと、
を有し、
前記操作部の正当性及び前記操作部のソフトウェアの完全性が確認できた前記第2の正当性検証手段は、前記操作部に動的に追加されたソフトウェアの検証を前記第1の正当性検証手段に要求し、
前記本体部は、前記第1の正当性検証手段により前記動的に追加されたソフトウェアの正当性及び完全性が確認できた前記操作部にサービスを提供すること、を特徴とするセキュリティ確保方法。 - ユーザからの操作を受け付ける操作部と、前記操作部からの要求に基づき動作する本体部とを有する情報処理装置を、
前記操作部の正当性検証及び前記操作部のソフトウェアの完全性検証に必要な処理を前記操作部において行う第1の正当性検証手段、
前記第1の正当性検証手段に前記操作部の正当性検証又は前記操作部のソフトウェアの完全性検証依頼を行い、前記第1の正当性検証手段が行った前記操作部の正当性検証又は前記操作部のソフトウェアの完全性検証に必要な処理の結果に基づき、前記操作部の正当性検証又は前記操作部のソフトウェアの完全性検証を行う第2の正当性検証手段、
として機能させ、
前記操作部の正当性及び前記操作部のソフトウェアの完全性が確認できた前記第2の正当性検証手段は、前記操作部に動的に追加されたソフトウェアの検証を前記第1の正当性検証手段に要求し、
前記本体部は、前記第1の正当性検証手段により前記動的に追加されたソフトウェアの正当性及び完全性が確認できた前記操作部にサービスを提供すること、を特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013120877A JP6421405B2 (ja) | 2013-06-07 | 2013-06-07 | 情報処理システム、情報処理装置、セキュリティ確保方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013120877A JP6421405B2 (ja) | 2013-06-07 | 2013-06-07 | 情報処理システム、情報処理装置、セキュリティ確保方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014238709A JP2014238709A (ja) | 2014-12-18 |
| JP6421405B2 true JP6421405B2 (ja) | 2018-11-14 |
Family
ID=52135826
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013120877A Expired - Fee Related JP6421405B2 (ja) | 2013-06-07 | 2013-06-07 | 情報処理システム、情報処理装置、セキュリティ確保方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6421405B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6798278B2 (ja) * | 2016-01-13 | 2020-12-09 | 株式会社リコー | 複合機、複合機において実行される制御方法及び複合機の制御プログラム |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3863447B2 (ja) * | 2002-03-08 | 2006-12-27 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 認証システム、ファームウェア装置、電気機器、及び認証方法 |
| JP2008102678A (ja) * | 2006-10-18 | 2008-05-01 | Ricoh Co Ltd | 電子機器 |
| JP2008171041A (ja) * | 2007-01-05 | 2008-07-24 | Ricoh Co Ltd | 画像形成装置、画像形成装置の起動方法、制御装置及び拡張ユニットの起動方法 |
| JP5493946B2 (ja) * | 2010-02-08 | 2014-05-14 | 株式会社リコー | 複合システム、セキュリティ方法、セキュリティプログラム及び記録媒体 |
-
2013
- 2013-06-07 JP JP2013120877A patent/JP6421405B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2014238709A (ja) | 2014-12-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10225426B2 (en) | Image forming apparatus having firmware update function, method of controlling the same, program for executing the method, and storage medium | |
| RU2720068C2 (ru) | Устройство обработки информации, способ для его управления и носитель хранения данных | |
| US20190317755A1 (en) | Method for upgrading software of pos terminal, pos terminal, and storage medium | |
| US9519786B1 (en) | Firmware integrity ensurance and update | |
| EP1953666A2 (en) | Method of booting electronic device and method of authenticating boot of electronic device | |
| US9576132B2 (en) | Information processing apparatus and information processing method | |
| JP6391439B2 (ja) | 情報処理装置、サーバ装置、情報処理システム、制御方法及びコンピュータプログラム | |
| US20180314832A1 (en) | Information processing apparatus and computer readable storage medium | |
| TW201619866A (zh) | 客製化資訊設備的方法 | |
| JP6127719B2 (ja) | 情報処理システム、情報処理装置、ライセンス管理方法及びプログラム | |
| JP5013352B2 (ja) | 情報生成システム及びその方法 | |
| KR20190062797A (ko) | 클라우드 서비스를 사용하는 사용자 단말기, 단말기의 보안 통합 관리 서버 및 단말기의 보안 통합 관리 방법 | |
| TW201640343A (zh) | 傳送用以安裝作業系統之資料影像的技術 | |
| JP6421405B2 (ja) | 情報処理システム、情報処理装置、セキュリティ確保方法及びプログラム | |
| CN112966276B (zh) | 一种计算机的安全启动方法、装置及介质 | |
| EP3547194B1 (en) | Apparatus and method for secure boot | |
| CN110990840A (zh) | 设备开机的方法及装置 | |
| JP2016062551A (ja) | 情報処理装置 | |
| US11698972B2 (en) | Method to securely transfer root of trust responsibilities on a common shared motherboard | |
| US11971991B2 (en) | Information processing apparatus, control method for controlling the same and storage medium | |
| US20230367860A1 (en) | Instruction verifications | |
| JP5736868B2 (ja) | 情報処理システム、復旧装置、ディスク復旧方法 | |
| JP6808094B1 (ja) | データ処理装置、データ処理方法及びプログラム | |
| JP2022182837A (ja) | 情報処理装置、及びその制御方法 | |
| US10657268B2 (en) | Information processing apparatus, information processing method, and non-transitory computer readable medium to verify validity of backup data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160527 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170529 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170711 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170908 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180227 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180420 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180918 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181001 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6421405 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| LAPS | Cancellation because of no payment of annual fees |