JP5617981B2 - 機器、管理装置、機器管理システム、及びプログラム - Google Patents
機器、管理装置、機器管理システム、及びプログラム Download PDFInfo
- Publication number
- JP5617981B2 JP5617981B2 JP2013193323A JP2013193323A JP5617981B2 JP 5617981 B2 JP5617981 B2 JP 5617981B2 JP 2013193323 A JP2013193323 A JP 2013193323A JP 2013193323 A JP2013193323 A JP 2013193323A JP 5617981 B2 JP5617981 B2 JP 5617981B2
- Authority
- JP
- Japan
- Prior art keywords
- management
- identification information
- software
- encryption key
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
Description
本発明は、機器、その機器の管理装置、管理システム、及びプログラムに関する。
コンピュータにインストールされたソフトウェアの改竄を検知する方法として、ハッシュ値を利用した方法がある(特許文献1参照)。この方法では、ソフトウェアをイントスールするときに、そのハッシュ値を計算して二次記憶装置に保存しておき、次にコンピュータを起動したとき、ソフトウェアを読み出してハッシュ値を計算し、二次記憶装置に保存しておいたハッシュ値と一致するか否かに基づいてソフトウェアの改竄の有無を判定する。
しかしながら、この改竄検知方法では、ソフトウェアと共に、二次記憶装置に保存しておいたハッシュ値も改竄されると、ソフトウェアの改竄を検知できないという問題がある。
この問題を解決する方法として、二次記憶装置に保存するハッシュ値を暗号化しておくことで、ハッシュ値の改竄を防ぐことが考えられる。しかし、ハッシュ値を暗号化/復号するための暗号化/復号鍵が二次記憶装置に保存されるため、悪意の第三者が復号鍵を不正に入手し、暗号化されたハッシュ値を復号することを阻止できないという問題がある。
そこで、本願の出願人は、TPM(Trusted Platform Module)を用いて、ファームウェアの改竄を検知する方法を提案し、特許出願した(特願2008−36267号)。
TPMは、業界標準団体であるTCG(Trusted Computing Group)によって定義された仕様に準拠するセキュリティチップであり、例えば、複合機のマザーボードに実装され、外部に取り出せない秘密鍵及び外部に取り出せる公開鍵からなる非対称鍵ペア(Endorsement key)を格納する不揮発性メモリや、暗号処理専用のマイクロプロセッサを備えている。
先に出願した発明では、予め非対称鍵ペアの公開鍵で暗号化した暗号鍵(鍵ブロブ)を複合機内部の二次記憶装置(不揮発性メモリ等)に保存しておき、工場出荷時等にファームウェアをインストールするとき、ハッシュ値を計算し、TPMにより鍵ブロブから暗号鍵を復号し、その暗号鍵でハッシュ値を暗号化して、外部の二次記憶装置(SDカード等)に保存しておく。その後、複合機の設置時に、内部の二次記憶装置から読み出した鍵ブロブをTPMにより復号し、外部の二次記憶装置から読み出した暗号化されたハッシュ値を、鍵ブロブから復号した暗号鍵により復号し、そのハッシュ値と、ファームウェアから再計算されたハッシュ値とを比較する。そして、比較の結果、一致していればファームウェアの改竄はなかったものと判定し、一致しなければ改竄されたものと判定することにより、複合機の輸送過程におけるファ―ムウェアの改竄を検知することができる。
しかしながら、この方法の場合、ソフトウェアの改竄の検知処理が複合機内で閉じているため、例えば比較の結果の一致/不一致を判定するソフトウェアが改竄された場合、ファームウェアの改竄を検知できないという問題がある。
また、このような機器では、内部に保存しているデータの盗聴を防ぐため、ハードディスク装置(以下、HDDと言う)などの記憶デバイスに記憶する情報を暗号化することが行われている。そして、文献に記載されたものではないが、TPMの非対称鍵ペアの公開鍵を用いて、記憶デバイスに対する記憶データを暗号化するためのデバイス暗号鍵を暗号化して鍵ブロブとし、機器の不揮発性メモリに保管することが考えられている。
しかしながら、TPMを搭載しているボードが故障した場合、デバイス暗号鍵を復号することができなくなるため、HDDなどの記憶デバイスが正常であっても、その記憶デバイスに保存した暗号化データを利用することができなくなるという問題がある。鍵ブロブを何らかの形でユーザが保管(バックアップ)する手段を設ければ、この問題は解決されるが、安全性のため鍵の変更をユーザが行う度に鍵をバックアップする必要が生じる。この処理はユーザの手間となるばかりでなく、運用によっては鍵情報の流出が懸念され、システムの安全性が損なわれる。
本発明は、このような問題を解決するためになされたもので、その目的は、機器にインストールされたソフトウェアの改竄の検知を、ユーザに手間をかけることなく、確実に実行できるようにすることである。
本発明は、ソフトウェアがインストールされる機器と該機器に接続された管理装置とを含む機器管理システムであって、前記機器にインストールしたソフトウェアのソフトウェア識別情報を前記機器の機器識別情報と関連付けて前記管理装置に保存する手段と、前記機器が前記ソフトウェアをインストールした後に前記機器識別情報を前記管理装置へ送信する手段と、前記管理装置が受信した機器識別情報を基に前記管理装置に保存されている機器識別情報を検索し、その検索結果を前記機器へ送信する手段と、前記機器が前記管理装置に前記機器識別情報が存在するとの検索結果を受信した場合、前記機器にインストールされたソフトウェアのソフトウェア識別情報を前記管理装置へ送信する手段と、前記管理装置が受信したソフトウェア識別情報と前記管理装置に保存されているソフトウェア識別情報とを比較する手段と、比較の結果を基に前記機器にインストールされたソフトウェアが改竄されたか否かを判断するソフトウェア改竄判断手段と、を有することを特徴とする機器管理システムである。
〔作用〕
本発明では、機器にソフトウェアをインストールしたとき、その機器に固有の機器識別情報及びインストールしたソフトウェアのソフトウェア識別情報を関連付けて、外部の管理装置に保存する。従って、機器にインストールされているソフトウェアのソフトウェア識別情報と管理装置に保存されているソフトウェア識別情報とを比較することにより、ソフトウェアが改竄されたか否かを検知することができる。
本発明では、機器にソフトウェアをインストールしたとき、その機器に固有の機器識別情報及びインストールしたソフトウェアのソフトウェア識別情報を関連付けて、外部の管理装置に保存する。従って、機器にインストールされているソフトウェアのソフトウェア識別情報と管理装置に保存されているソフトウェア識別情報とを比較することにより、ソフトウェアが改竄されたか否かを検知することができる。
本発明によれば、機器にインストールされたソフトウェアの改竄の検知を、ユーザに手間をかけることなく、確実に行える。
以下、本発明の実施形態について図面を参照しながら説明する。
図1に示すように、本発明の実施形態の機器管理システムは、管理対象機器である複合機1と、管理サーバ2とを、ネットワーク3により通信可能に接続したものである。
図1に示すように、本発明の実施形態の機器管理システムは、管理対象機器である複合機1と、管理サーバ2とを、ネットワーク3により通信可能に接続したものである。
複合機1は、コピー機能、ファクシミリ機能、プリンタ機能、スキャナ機能などを備えた画像形成装置であって、バス10と、それぞれがバス10に接続されたコントローラボード11、操作・表示部12、不揮発性メモリ13、及びHDD14を備えている。操作・表示部12は、各種操作キー及びLCDなどからなる。不揮発性メモリ13は、NVRAM、FRAM(登録商標)等からなり、電源オフ時にも保持されるべき各種のデータが書き込まれる。
コントローラボード12は、CPU15、ROM16、RAM17、ネットワークI/F(インタフェース)18、エンジンコントローラ19、及びTPM20を備えている。これらはバス10を介して接続されている。
CPU15は、この複合機1全体の制御などを行う。ROM16は、NANDフラッシュメモリ、NORフラッシュメモリ等からなり、BIOS、OS(オペレーティングシステム)、プログラム等のファームウェアが格納される。RAM17は、CPU15が動作するときに、プログラムやデータを一時的に記憶するワークエリアとなる。ネットワークI/F18は、複合機1をネットワーク3に接続するためのインタフェースである。エンジンコントローラ19は、図示されていないプリンタエンジン、スキャナエンジン等を制御する。
TPM20は、図2に示すように、ルート鍵161と、双方向通信インタフェース162とを有する。ルート鍵161はTPM20の外部に取り出し不能な秘密鍵(復号鍵)と取り出し可能な公開鍵(暗号鍵)からなる非対称鍵ペアである。双方向通信インタフェース162は、入力された平文データをルート鍵161の公開鍵で暗号化して出力し、入力された、ルート鍵161の公開鍵で暗号化されたデータをルート鍵161の秘密鍵で復号して出力するインタフェースである。以下の説明では、ルート鍵161の公開鍵で暗号化すること、ルート鍵161の秘密鍵で復号することを、それぞれ、ルート鍵161で暗号化する、ルート鍵161で復号する、と言う。TPM20は、コントローラボード12に直付けされており、取り外して別のボードに取り付けて利用することはできない。
不揮発性メモリ13には、図3に示すように、ルート鍵161の公開鍵で暗号化したデバイス暗号鍵/復号鍵(デバイス暗号鍵ブロブ)が非暗号化領域に格納される。また、不揮発性メモリ13の暗号化領域に記憶されるデータは、デバイス暗号鍵/復号鍵で暗号化された暗号化データであり、この暗号化データを読み出したときは、デバイス暗号鍵/復号鍵で復号することで、利用可能となる。HDD14に保存するデータの暗号化に用いるデバイス暗号鍵、及びその暗号化データの復号に用いるデバイス復号鍵も、不揮発性メモリ13にデバイス暗号鍵ブロブとして保存される。
図1の説明に戻る。管理サーバ2は、バス21と、それぞれがバス21に接続されたCPU22、ROM23、RAM24、ネットワークI/F25、操作・表示部26、及びHDD27を備えている。これらの各構成要素の機能は、複合機1の同名の構成要素と同様である。HDD27には、複合機1の不揮発性ソモリ13に書き込まれているファームウェアのバージョン情報を保存するファームウェアバージョンDB(データベース)26、及び複合機1のHDD14のデバイス暗号鍵/復号鍵などのようなデバイス鍵を保存するデバイス鍵用DB29が作成され、保存される。
以上の構成を有する機器管理システムにおいて、複合機1を工場から出荷するときに、TPM20を初期化する。この初期化では、非対称鍵ペア(Endorsement key)を作成する。この非対称鍵ペアが前述したルート鍵161である。非対称鍵ペアの公開鍵は、そのまま、或いはコントローラボード11の型番・製造番号等、一意に識別可能なIDと組み合わせて機器固有識別ID情報とする。また、管理サーバ2との所定の通信に用いる通信鍵(以下、出荷時設定通信鍵と言う)が管理サーバ2から供給される。複合機1は、この出荷時設定通信鍵をルート鍵161で暗号化して通信鍵ブロブとし、不揮発性メモリ13に保存するか、又はTPM20内のNVRAMに保存する。
TPM20の初期化が終了したら、次に複合機1にファームウェアをインストールする。図4は、複合機1にファームウェアをインストールするときに使用されるソフトウェアを示す図であり、プラットフォーム132として構成された、OS(オペレーティングシステム)133、インストールアプリ180、及びインストール用ファイル群185からなる。インストール用ファイル群185には、ファームウェア群182及びそれぞれのバージョンファイル群186が含まれている。バージョンファイル群186の各バージョンファイル1〜nは、ファームウェア群182の対応するファームウェア1〜nのバージョン情報の文字列のテキストファイルである。ここで、インストールアプリ180、及びインストール用ファイル群185は、管理サーバ2からネットワークを介して供給するか、又はそれらを記録した記録媒体の読取(再生)装置を複合機1に接続して読み込む。
図5は、複合機1にファームウェアをインストールするときの動作を示すシーケンス図である。まず、ステップS1で、インストールアプリ180は、インストール用ファイル群185、即ちファームウェア群182、及びバージョンファイル群186をROM16及びHDD14にインストールし、次にステップS2で管理サーバ2に対して、バージョンレポートを送信する。
バージョンレポートは、図6に示すように、機器固有ID情報と、ファームウェアバージョンリストからなる。ファームウェアバージョンリストは、図4のバージョンファイル群186に相当するものであり、ファームウェア識別子及びそのバージョン情報からなる。
図7は、図5のステップS2の詳細な手順のシーケンス図である。
まず、ステップS11で、複合機1は管理サーバ2に対して、セッション通信鍵の送付を要求する。このセッション通信鍵要求信号は、TPM20の初期化時にコントローラボード11内に保存した通信鍵ブロブをTPM20のルート鍵で復号して得た出荷時通信鍵により暗号化されている。
まず、ステップS11で、複合機1は管理サーバ2に対して、セッション通信鍵の送付を要求する。このセッション通信鍵要求信号は、TPM20の初期化時にコントローラボード11内に保存した通信鍵ブロブをTPM20のルート鍵で復号して得た出荷時通信鍵により暗号化されている。
管理サーバ2は、セッション通信鍵要求信号を受信し、内部に保持している出荷時設定通信鍵により復号する。そして、ステップS12で、複合機1に対し、セッション通信鍵を送付する。このセッション通信鍵は、出荷時設定通信鍵により暗号化されている。
複合機1は、暗号化されたセッション通信鍵を受信し、出荷時設定通信鍵により復号して、セッション通信鍵を取得した後、ステップS13で、バージョンレポートを送信する。このバージョンレポートは、セッション通信鍵により暗号化されている。
管理サーバ2は、暗号化されたバージョンレポートを受信し、セッション通信鍵により復号して、バージョンレポートを取得したら、それをHDD27内のファームウェアバージョンDB28に保存する。図8にファームウェアバージョンDB28の一例を示す。
管理サーバ2は、バージョンレポートを正常に取得し、保存できた場合は内容受付OK通知を、正常に取得できなかった場合は内容受付NG通知を、ステップS14で複合機1へ送信する。この通知はセッション通信鍵で暗号化されている。
以上が複合機1の出荷時の処理である。次に複合機1を出荷先で設置し、記憶デバイスであるHDD14を暗号化するときの処理について説明する。
図9は、複合機1にインストールされるソフトウェアの内、複合機1の起動時にデバイス暗号鍵の処理に係わるソフトウェアであり、BIOS220、基本パッケージ221、第1のアプリケーションパッケージ222、第2のアプリケーションパッケージ223からなる。これらのソフトウェアは複合機1の出荷時にインストールされるものであり、その内BIOS220はROM16に、それ以外のファームウェアはROM16及びHDD14にインストールされる。
図9は、複合機1にインストールされるソフトウェアの内、複合機1の起動時にデバイス暗号鍵の処理に係わるソフトウェアであり、BIOS220、基本パッケージ221、第1のアプリケーションパッケージ222、第2のアプリケーションパッケージ223からなる。これらのソフトウェアは複合機1の出荷時にインストールされるものであり、その内BIOS220はROM16に、それ以外のファームウェアはROM16及びHDD14にインストールされる。
基本パッケージ221は、OS133、システム起動モジュール231、システム管理モジュール232、暗号鍵管理モジュール233、及び基本アプリケーション(コピー)234を有する。また、第1のアプリケーションパッケージ222は、基本アプリケーション(プリンタ)244、基本アプリケーション(ネットワーク)245を有し、第2のアプリケーションパッケージ223は基本アプリケーション(スキャナ)246を有する。
BIOS220は、システムの起動の初期を担うモジュールであり、TPM20へのアクセス手段を有する。OS133は他のソフトウェアモジュールからハードウェア機能を利用する機能を提供する。OS133のファイルシステム241はデータを管理する。
複合機1の起動時、BIOS220はOS133を起動する。OS133の起動後は、システム内の他のソフトウェアを起動する為のシステム起動モジュール231が起動される。システム起動モジュール231は、他のソフトウェア(モジュール)を規定された順に起動する。BIOS220、OS133、ファイルシステム241等のモジュールはCPU15によりRAM17に読み込まれて実行される。
ここで、TPM20を用いた情報の暗号化及び復号について簡単に説明する。図10は、複合機1の起動時のTPM20の動作を示す図である。プラットフォーム132では、まずBIOS220が自身のハッシュ値を計算し、TPM20内のPCR(PCR_0)251へ登録する。BIOS120は例えば原文から固定長の疑似乱数を生成する演算手法によって自身のハッシュ値を計算する。
次に、BIOS220は第1の基本パッケージ221のハッシュ値を計算し、TPM20内のPCR(PCR_1)252へ登録した後、基本パッケージ221を起動する。また、基本パッケージ221は、アプリケーションパッケージ222のハッシュ値を計算し、TPM5内のPCR(PCR_2)253へ登録した後、アプリケーションパッケージ222を起動する。
このように、TPM20のPCR251〜253には、複合機1の起動に伴い、BIOS220、基本パッケージ221及びアプリケーションパッケージ222から計算されるハッシュ値が登録される。
図11は、TPM20を用いた情報の暗号化及び復号を示す図である。この図のAはTPM20による情報「Data P」の暗号化を表す。TPM20は暗号化を行う情報「Data P」と、「PCR_0」〜「PCR_2」に格納するハッシュ値「X」〜「Z」とに基づいて、ブロブ(BLOB)260を作成する。
図11BはTPM20によるブロブ261〜263の復号を示す。TPM20では、複合機1を起動した際に、例えばBIOS220、基本パッケージ221及びアプリケーションパッケージ222から計算された3つのハッシュ値「X」〜「Z」が「PCR_0」〜「PCR_2」に登録されている。
情報「Data P」を含むブロブ261〜263は、ファイルシステム241が管理している。ブロブ261には、「PCR_0」〜「PCR_2」に「X」〜「Z」が登録されている。ブロブ262には、「PCR_0」〜「PCR_2」に「X」,「G」及び「Z」が登録されている。また、ブロブ263には「PCR_0」に「X」が登録されている。
ブロブ261の「PCR_0」〜「PCR_2」とTPM20の「PCR_0」〜「PCR_2」に登録されているハッシュ値とが同じであるため、TPM20はブロブ261からの情報「Data P」の取り出しを許可する。しかし、ブロブ262の「PCR_1」とTPM20の「PCR_1」とに登録されているハッシュ値が異なるため、TPM20はブロブ262からの情報「Data P」の取り出しを許可しない。ブロブ63については、その「PCR_0」とTPM5の「PCR_0」に登録されているハッシュ値とが同じであるため、TPM20はブロブ263からの情報「Data P」の取り出しを許可する。なお、TPM20はブロブ263の「PCR_1」、「PCR_2」のようなハッシュ値が登録されていないPCRについては、情報「Data P」の取り出しの許可又は不許可の判定に利用しない。
図12は、複合機1の起動時にデバイス暗号鍵を取得する処理を示す図である。複合機1のプラットフォーム132内のファイルシステム241にデバイス暗号鍵271をルート鍵161で暗号化したブロブ(デバイス暗号鍵ブロブ)270が予め出荷時等に保存されている。このデバイス暗号鍵ブロブ270の復号可否は、PCR251〜253に登録されているハッシュ値によって制御される。デバイス暗号鍵271は、ファイルシステム241上に配置された秘密情報の暗号化又は暗号化された秘密情報の復号に用いられる。
TPM20では、複合機1の起動時、BIOS220、基本パッケージ221及びアプリケーションパッケージ222から計算された3つのハッシュ値「X」〜「Z」が「PCR_0」〜「PCR_2」に登録されている。
一方、暗号鍵ブロブ270では、「PCR_0」〜「PCR_2」に「X」〜「Z」が登録されている。暗号鍵ブロブ270の「PCR_0」〜「PCR_2」とTPM20の「PCR_0」〜「PCR_2」に登録されているハッシュ値とが同じであるため、TPM20は暗号鍵ブロブ270からデバイス暗号鍵271を復号する。暗号鍵管理モジュール238は、デバイス暗号鍵271を用いて、暗号化された秘密情報272から秘密情報273を復号することができる。
図13は起動時にデバイス暗号鍵を取得する処理を表したシーケンス図である。まずステップS21で、BIOS220は自身のハッシュ値を計算し、TPM20内のPCR251に登録する。次に、ステップS22に進み、BIOS220は基本パッケージ221のハッシュ値を計算する。ステップS23に進み、BIOS220は基本パッケージ221を展開する。ステップS24に進み、BIOS220は基本パッケージ221のハッシュ値をTPM20内のPCR252に登録する。ステップS25に進み、BIOS220はOS133を起動する。
ステップS26に進み、OS133はシステム起動モジュール235を起動する。ステップS27に進み、システム起動モジュール235はシステム管理モジュール234を起動する。ステップS28に進み、システム起動モジュール235は基本アプリケーション233を起動する。
ステップS29に進み、システム起動モジュール235はアプリケーションパッケージ222のハッシュ値を計算する。ステップS30に進み、システム起動モジュール235はアプリケーションパッケージ222のハッシュ値をTPM20内のPCR253に登録する。
ステップS31に進み、システム起動モジュール235は暗号鍵管理モジュール238を起動する。そして、ステップS32に進み、暗号鍵管理モジュール238は前述のように暗号鍵ブロブ270からデバイス暗号鍵271を復号(展開)する。暗号鍵管理モジュール238はデバイス暗号鍵271を用いて、暗号化された秘密情報272から秘密情報273を復号することができる。
なお、TPM20はBIOS220、基本パッケージ221及びアプリケーションパッケージ222から計算されるハッシュ値がPCR251〜253に登録されたあと、暗号鍵ブロブ270の復号を受け付ける。暗号鍵モジュール238はTPM20が暗号鍵ブロブ270の復号を受け付けるようになったタイミングで、暗号鍵ブロブ270の復号をTPM20へ依頼する。この後、暗号鍵管理モジュール238はTPM20が暗号鍵ブロブ270から復号したデバイス暗号鍵271を取得できる。
上記のようにして取得したデバイス暗号鍵271を用いて、HDD14に対して、データを暗号化しながら書き込みを行い、復号化しながら読み込みを行うことで、HDD14上のデータを使用することができる。デバイス暗号鍵271を更新し、新しいデバイス暗号鍵でHDD14を初期化した場合には、管理サーバ2に対し、図14に示すシーケンスで鍵レポートを送信する。なお、この鍵レポートの送信は、複合機1の出荷時又は設置時に、デバイス暗号鍵を新規に作成した場合にも実行する。本発明において、「デバイス暗号鍵を作成する」とは、デバイス暗号鍵を新規に作成すること、及び既存のデバイス暗号鍵を変更(更新)することを意味する。
この図のシーケンスにおいて、ステップS41、S42は、それぞれ図7のステップS11、S12と同じである。次のステップS43では、複合機1は管理サーバ2に対し、鍵レポートを送信する。この鍵レポートはセッション通信鍵により暗号化されている。
図15に示すように、鍵レポートは、機器固有ID情報、デバイス種別(HDD等)、デバイスID情報(HDDの場合、ATAコマンドで得られるID情報等)、デバイス暗号鍵、及びシステム管理者が操作・表示部12から入力したパスフレーズからなる。
管理サーバ2は、暗号化された鍵レポートを受信し、セッション通信鍵により復号して、鍵レポートを取得したら、それをHDD27内のデバイス鍵用DB30に保存する。図16にデバイス鍵用DB29の一例を示す。
管理サーバ2は、鍵レポートを正常に取得し、保存できた場合は内容受付OK通知を、正常に取得できなかった場合は内容受付NG通知を、ステップS44で複合機1へ送信する。この通知は、セッション通信鍵で暗号化されている。
次に、出荷時にインストールされたファームウェアの改竄を検知する手順について、図17に示すシーケンス図を参照しながら説明する。この手順は、出荷後、設置時までの間、即ち輸送中に意図しない改竄を受けたことを検知するものである。
複合機1は、ステップS51で、管理サーバ2に対し、セッション通信鍵を要求する。管理サーバ2は、この要求に応じて、ステップS52で、セッション通信鍵を複合機1へ送付する。これらの通信は図10の手順S11、S12と同様、出荷時設定通信鍵で暗号化してもよい。
次いで複合機1は、ステップS53で、セッション通信鍵により暗号化した機器固有ID検索要求信号を管理サーバ2へ送信する。この機器固有ID検索要求信号には、複合機1の機器固有IDが添付されている。
機器固有ID検索要求信号を受信した管理サーバ2は、ファ―ムウェアバージョンデータベース28を検索し、ステップS54で、その検索結果を応答する。この検索結果応答通知は、要求された機器固有IDの有無を示す通知であり、セッション通信鍵により暗号化されている。
複合機1は、管理サーバ2から、自分の機器固有IDが有るとの通知を受けた場合、ステップS55で、ファームウェア比較要求信号を送信する。このファームウェア比較要求信号には、複合機1の機器固有ID、及びその時点で不揮発性メモリ13にインストールされているファームウェアのバージョン情報が添付されており、かつセッション通信鍵により暗号化されている。
ファームウェア比較要求信号を受信した管理サーバ2は、受信した機器固有IDを用いてファームウェアバージョンデータベース29を参照し、そこに書き込まれているバージョン情報と、受信したバージョン情報とが一致するか否かを判断し、その判断結果をセッション通信鍵で暗号化し、ステップS56で複合機1に応答するとともに、その判断結果をHDD14に保存する。複合機1では、受信した応答により、一致の場合は改竄無し、不一致の場合は改竄有りと判断することができる。
このように、本実施形態では、複合機1を出荷するときに、インストールしたファームウェアのバージョン情報を管理サーバ2に保存しておき、設置時に、複合機1が管理サーバ2に問い合わせ、管理サーバ2でバージョン情報を比較するので、改竄検知処理が複合機内に閉じていた従来方法と比べ、より確実に改竄検知が可能となる。
次にデバイス暗号鍵の復活処理について説明する。従来、デバイス暗号鍵がHDD等の二次記憶装置にデバイス暗号鍵ブロブとして保存されているため、コントローラボード11が使用できなくなると、デバイス暗号鍵ブロブからデバイス暗号鍵を復号することができないため、HDD14内に暗号化されて保存されているデータを利用することはできなかった。本実施形態では、管理サーバ2のデバイス鍵用データベース29にデバイス鍵が保存されている場合は、それを受け取ることで、HDD14内に暗号化されて保存されているデータを利用できる。
以下、この手順の一例について、図18のシーケンス図を参照しながら説明する。この図の手順は、コントローラボード11が使用できなくなったため、HDD14を別の複合機1に取り付け、その複合機1を起動したときに実行する手順である。
まず、複合機1のシステムがHDD14のデバイスIDを読み出したとき、既に認識したIDでなかった場合、ステップS61で、新しいHDDが複合機1に接続されたことを検知する。
次のステップS62と、その次のステップS63は、図17のステップS51、S52と同じである。次いで複合機1は、ステップS64で、セッション通信鍵により暗号化したデバイス固有ID検索要求信号を管理サーバ2へ送信する。このデバイス固有ID検索要求信号には、HDD14のデバイス固有IDが添付されている。
デバイス固有ID検索要求信号を受信した管理サーバ2は、デバイス鍵用データベース30を検索し、ステップS65で、その検索結果を応答する。この検索結果応答通知は、検索要求されたデバイス固有IDの有無を示す通知であり、セッション通信鍵により暗号化されている。
複合機1は、管理サーバ2から、検索要求したデバイス固有IDが有るとの通知を受けた場合、ステップS66で、デバイス鍵要求信号を送信する。このデバイス鍵要求信号には、複合機1の機器固有ID、及びパスフレーズが添付されており、かつセッション通信鍵により暗号化されている。
デバイス暗号鍵要求信号を受信した管理サーバ2は、受信した機器固有IDを用いてデバイス鍵用データベース29を参照し、そこに書き込まれているパスフレーズと、受信したパスフレーズとを比較し、一致した場合はデバイス暗号鍵を、一致しなかった場合は、送付拒否通知を、それぞれセッション通信鍵で暗号化し、ステップS67で複合機1へ送付する。複合機1は、受信したデバイス暗号鍵を用いて、HDD14から読み出したデータを復号することができる。
なお、以上は、HDD14を別の複合機1に取り付けた場合にHDD14のデバイス暗号鍵を復元する手順であるが、コントローラボード11を交換した場合も同じ手順でデバイス暗号鍵を復活させることができる。
1・・・複合機、2・・・管理サーバ、13・・・不揮発性メモリ、14・・・HDD、20・・・TPM、28・・・ファ―ムウェアバージョンDB、29・・・デバイス鍵用DB、161・・・ルート鍵、270・・・デバイス暗号鍵ブロブ。
Claims (10)
- ソフトウェアがインストールされる機器と該機器に接続された管理装置とを含む機器管理システムであって、
前記機器にインストールしたソフトウェアのソフトウェア識別情報を前記機器の機器識別情報と関連付けて前記管理装置に保存する手段と、
前記機器が前記ソフトウェアをインストールした後に前記機器識別情報を前記管理装置へ送信する手段と、
前記管理装置が受信した機器識別情報を基に前記管理装置に保存されている機器識別情報を検索し、その検索結果を前記機器へ送信する手段と、
前記機器が前記管理装置に前記機器識別情報が存在するとの検索結果を受信した場合、前記機器にインストールされたソフトウェアのソフトウェア識別情報を前記管理装置へ送信する手段と、
前記管理装置が受信したソフトウェア識別情報と前記管理装置に保存されているソフトウェア識別情報とを比較する手段と、
比較の結果を基に前記機器にインストールされたソフトウェアが改竄されたか否かを判断するソフトウェア改竄判断手段と、
を有することを特徴とする機器管理システム。 - 請求項1に記載の機器管理システムにおいて、
前記機器識別情報は、前記機器が内蔵するセキュリティ手段に保持された暗号鍵であることを特徴とする機器管理システム。 - 請求項1または2に記載の機器管理システムにおいて、
前記機器の記憶デバイスに記憶するデータを暗号化するためのデバイス暗号鍵を前記管理装置に保存する手段と、
前記管理装置に保存されているデバイス暗号鍵を前記機器に供給することにより、前記デバイス暗号鍵を復活させるデバイス暗号鍵復活手段と、
を有することを特徴とする機器管理システム。 - 請求項3に記載の機器管理システムにおいて、
前記デバイス暗号鍵を前記管理装置に保存する手段は、前記記憶デバイスのデバイス識別情報と前記デバイス暗号鍵とを関連付けて前記管理装置に保存することを特徴とする機器管理システム。 - 請求項3または4に記載の機器管理システムにおいて、
前記デバイス暗号鍵を前記管理装置に保存する手段は、前記デバイス暗号鍵を作成したときに前記デバイス暗号鍵を前記管理装置に保存することを特徴とする機器管理システム。 - 請求項3〜5のいずれか1項に記載の機器管理システムにおいて、
前記機器が内蔵するセキュリティ手段に保持された暗号鍵で前記デバイス暗号鍵を暗号化したデバイス暗号鍵ブロブを前記機器に保存する手段と、
を有することを特徴とする機器管理システム。 - 請求項3に記載の機器管理システムにおいて、
前記デバイス暗号鍵復活手段は、
前記機器識別情報を前記管理装置へ送信する手段と、
前記管理装置が受信した機器識別情報を基に前記管理装置に保存されている機器識別情報を検索する手段と、
前記管理装置に前記機器識別情報が存在する場合、前記デバイス暗号鍵を前記機器へ送信する手段と、
を有することを特徴とする機器管理システム。 - ソフトウェアがインストールされる機器と該機器に接続された管理装置とを含む機器管理システムに、
前記機器にインストールしたソフトウェアのソフトウェア識別情報を前記機器の機器識別情報と関連付けて前記管理装置に保存する工程と、
前記機器が前記ソフトウェアをインストールした後に前記機器識別情報を前記管理装置へ送信する工程と、
前記管理装置が受信した機器識別情報を基に前記管理装置に保存されている機器識別情報を検索し、その検索結果を前記機器へ送信する工程と、
前記機器が前記管理装置に前記機器識別情報が存在するとの検索結果を受信した場合、前記機器にインストールされたソフトウェアのソフトウェア識別情報を前記管理装置へ送信する工程と、
前記管理装置が受信したソフトウェア識別情報と前記管理装置に保存されているソフトウェア識別情報とを比較する工程と、
比較の結果を基に前記機器にインストールされたソフトウェアが改竄されたか否かを判断するソフトウェア改竄判断工程と、
を実行させるためのプログラム。 - ソフトウェアがインストールされる機器に接続された管理装置であって、
前記機器にインストールしたソフトウェアのソフトウェア識別情報を前記機器の機器識別情報と関連付けて保存する手段と、
前記機器から前記機器が前記ソフトウェアをインストールした後に送信された機器識別情報を受信し、その機器識別情報を基に前記管理装置に保存されている機器識別情報を検索し、その検索結果を前記機器へ送信する手段と、
前記管理装置に前記機器識別情報が存在するとの検索結果を受信した前記機器から送信された、前記機器にインストールされたソフトウェアのソフトウェア識別情報を受信し、そのソフトウェア識別情報と前記管理装置に保存されているソフトウェア識別情報とを比較する手段と、
比較の結果を基に前記機器にインストールされたソフトウェアが改竄されたか否かを判断するソフトウェア改竄判断手段と、
を有することを特徴とする管理装置。 - 管理装置に接続され、ソフトウェアがインストールされる機器であって、
該機器にインストールしたソフトウェアのソフトウェア識別情報及び機器識別情報を前記管理装置に保存させるために前記管理装置へ送信する手段と、
前記ソフトウェアをインストールした後に前記機器識別情報を前記管理装置へ送信する手段と、
前記管理装置から送信された、前記管理装置に前記機器識別情報が存在するとの検索結果を受信した場合、前記機器にインストールされたソフトウェアのソフトウェア識別情報を前記管理装置へ送信する手段と、
該送信したソフトウェア識別情報と前記管理装置に保存されているソフトウェア識別情報との比較の結果を基に判断された、前記機器にインストールされたソフトウェアが改竄されたか否かの判断結果を前記管理装置から受信する手段と、
を有することを特徴とする機器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013193323A JP5617981B2 (ja) | 2013-09-18 | 2013-09-18 | 機器、管理装置、機器管理システム、及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013193323A JP5617981B2 (ja) | 2013-09-18 | 2013-09-18 | 機器、管理装置、機器管理システム、及びプログラム |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008147100A Division JP5369502B2 (ja) | 2008-06-04 | 2008-06-04 | 機器、管理装置、機器管理システム、及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014026663A JP2014026663A (ja) | 2014-02-06 |
| JP5617981B2 true JP5617981B2 (ja) | 2014-11-05 |
Family
ID=50200183
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013193323A Expired - Fee Related JP5617981B2 (ja) | 2013-09-18 | 2013-09-18 | 機器、管理装置、機器管理システム、及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5617981B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6391439B2 (ja) | 2014-11-21 | 2018-09-19 | キヤノン株式会社 | 情報処理装置、サーバ装置、情報処理システム、制御方法及びコンピュータプログラム |
| EP3992826B1 (en) | 2019-06-27 | 2025-01-01 | KYOCERA Document Solutions Inc. | Image-forming device, firmware alteration-preventing method, and computer-readable non-temporary storage medium which stores alteration-preventing program |
| CN116090031B (zh) * | 2023-03-08 | 2023-06-20 | 上海泰矽微电子有限公司 | 一种基于芯片uuid的固件加密方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002312054A (ja) * | 2001-02-01 | 2002-10-25 | Sony Computer Entertainment Inc | コンピュータシステム及びその使用方法 |
| JP4675031B2 (ja) * | 2002-04-23 | 2011-04-20 | パナソニック株式会社 | サーバ装置及びプログラム管理システム |
| JP2006229881A (ja) * | 2005-02-21 | 2006-08-31 | Toshiba Corp | 鍵管理システムおよび鍵管理方法 |
| JP2007082064A (ja) * | 2005-09-16 | 2007-03-29 | Fujifilm Corp | デジタルデータ加工品提供サービス実施方法、デジタルデータ受け取り方法、記録メディア作成方法、鍵管理方法、暗号化デジタルデータ生成方法、デジタルデータ受け取りプログラム、記録メディア作成プログラム、鍵管理プログラム、暗号化デジタルデータ生成プログラム、記録メディア |
| JP2007148492A (ja) * | 2005-11-24 | 2007-06-14 | Fuji Xerox Co Ltd | 印刷ジョブ発行プログラムの改竄検知方法 |
| JP2007294054A (ja) * | 2006-04-27 | 2007-11-08 | Sharp Corp | デジタル画像記録再生装置 |
| EP2037388A4 (en) * | 2006-07-03 | 2016-12-14 | Panasonic Ip Man Co Ltd | CERTIFICATION DEVICE, VERIFICATION DEVICE, VERIFICATION SYSTEM, COMPUTER PROGRAM, AND INTEGRATED CIRCUIT |
-
2013
- 2013-09-18 JP JP2013193323A patent/JP5617981B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2014026663A (ja) | 2014-02-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5369502B2 (ja) | 機器、管理装置、機器管理システム、及びプログラム | |
| JP5116325B2 (ja) | 情報処理装置、ソフトウェア更新方法及び画像処理装置 | |
| KR102159540B1 (ko) | 정보처리장치, 정보처리 시스템, 정보처리방법, 및 컴퓨터 프로그램 | |
| JP4991592B2 (ja) | ソフトウェア改ざん検知方法、ソフトウェア改ざん検知プログラム及び機器 | |
| JP6391439B2 (ja) | 情報処理装置、サーバ装置、情報処理システム、制御方法及びコンピュータプログラム | |
| US9985783B2 (en) | Information processing apparatus and information processing method for restoring apparatus when encryption key is changed | |
| JP6720581B2 (ja) | 情報処理装置、情報処理方法、及び情報処理プログラム | |
| JP2013003786A (ja) | 情報処理装置、正当性検証方法、及びプログラム | |
| CN104780287A (zh) | 对固件进行更新的图像形成装置及其控制方法 | |
| JP5309709B2 (ja) | ソフトウェア改ざん検知方法及び機器 | |
| JP5272602B2 (ja) | 認証機能連携機器、認証機能連携システム及び認証機能連携プログラム | |
| JP5617981B2 (ja) | 機器、管理装置、機器管理システム、及びプログラム | |
| JP5961059B2 (ja) | 情報処理装置およびその起動方法 | |
| JP5582231B2 (ja) | 情報処理装置、真正性確認方法、及び記録媒体 | |
| JP5387724B2 (ja) | ソフトウェア改ざん検知方法、ソフトウェア改ざん検知プログラム及び機器 | |
| US12395345B2 (en) | Information processing apparatus and control method therefor | |
| JP2008234079A (ja) | 情報処理装置、ソフトウェア正当性通知方法及び画像処理装置 | |
| US11971991B2 (en) | Information processing apparatus, control method for controlling the same and storage medium | |
| JP2007282064A (ja) | データ処理装置、データ処理方法、記憶媒体、プログラム | |
| JP5278520B2 (ja) | 情報処理装置、情報保護方法 | |
| JP5574007B2 (ja) | 情報処理装置及び情報保護方法 | |
| JP5234217B2 (ja) | 情報処理装置、ソフトウェア更新方法及びプログラム | |
| JP5310897B2 (ja) | 情報処理装置、ソフトウェア更新方法及び記録媒体 | |
| JP2013191226A (ja) | 情報処理装置、ソフトウェア更新方法及び画像処理装置 | |
| JP2013041626A (ja) | 情報処理装置及び情報保護方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140530 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140610 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140729 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140819 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140901 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 5617981 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| LAPS | Cancellation because of no payment of annual fees |