JP7378980B2 - 情報処理装置、情報処理方法およびプログラム - Google Patents
情報処理装置、情報処理方法およびプログラム Download PDFInfo
- Publication number
- JP7378980B2 JP7378980B2 JP2019120325A JP2019120325A JP7378980B2 JP 7378980 B2 JP7378980 B2 JP 7378980B2 JP 2019120325 A JP2019120325 A JP 2019120325A JP 2019120325 A JP2019120325 A JP 2019120325A JP 7378980 B2 JP7378980 B2 JP 7378980B2
- Authority
- JP
- Japan
- Prior art keywords
- software
- verification
- setting data
- startup
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000010365 information processing Effects 0.000 title claims description 14
- 238000003672 processing method Methods 0.000 title claims description 3
- 238000012795 verification Methods 0.000 claims description 131
- 238000000034 method Methods 0.000 claims description 47
- 230000004913 activation Effects 0.000 claims description 27
- 238000012217 deletion Methods 0.000 claims description 4
- 230000037430 deletion Effects 0.000 claims description 4
- 238000012545 processing Methods 0.000 description 43
- 230000008569 process Effects 0.000 description 30
- 230000006870 function Effects 0.000 description 20
- 238000010586 diagram Methods 0.000 description 13
- 238000013500 data storage Methods 0.000 description 8
- 238000003825 pressing Methods 0.000 description 6
- 238000003860 storage Methods 0.000 description 5
- 230000002093 peripheral effect Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000007639 printing Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000004575 stone Substances 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 230000003936 working memory Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44589—Program code verification, e.g. Java bytecode verification, proof-carrying code
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44505—Configuring for program initiating, e.g. using registry, configuration files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Quality & Reliability (AREA)
- Stored Programmes (AREA)
- Debugging And Monitoring (AREA)
Description
本発明は、部分のソフトウェアの起動に関わる設定データを検証する情報処理装置、情報処理方法およびプログラムに関する。
機器を制御するソフトウェアを第三者が改ざんし、不正利用する攻撃が問題になっている。不正利用されてしまうと、情報資産を盗まれたり、他のシステムを攻撃する踏み台に利用されたりすることで、機器の所有者に甚大な被害を引き起こす危険性がある。そういった攻撃に対し、ソフトウェアが改ざんされていないことを機器利用時に検証する手段が考案されている。
特許文献1では、機器の起動時に「ソフトウェアを検証した後に実行する」という起動時検証を開示している。そして、任意のタイミングで実行するソフトウェアに対して「実行に先立って検証する」という実行時検証の二つの機能を有する機器において、起動時検証によって実行時検証を行うソフトウェアを検証している。これにより、機器の起動から実行時検証まで、検証結果を連鎖させることを実現して、信頼性の高い機器制御ソフトウェアの利用を実現している。
一方で、機器が有する機能増加、複雑化に伴いソフトウェアを機能単位毎に分割して機器内に配置し、分割した単位で必要に応じて実行する構成が一般的になっている。分割方法としては、複数の記憶媒体を機器に搭載し、記憶媒体毎に別のソフトウェアを配置する構成と、記憶媒体上にファイルシステムを構築して、ファイル毎に別のソフトウェアを配置する構成がある。一般的にコンピュータや組み込み機器は両方の手段を併用して複雑なソフトウェアの機能性を実現している。分割されたソフトウェアであるがゆえに、さまざまな機器の特性に応じたソフトウェアの起動制御も求められる。これに対応するため、直列起動や並列起動など柔軟性のある起動制御を実現できる仕組み(e.g.launchd、systemd等)が実現されている。
しかしながら、特許文献1では、柔軟性がある起動制御の仕組みの影響を考慮していない。このため、柔軟性があるがゆえ、これを悪用し、起動時検証による実行時検証ソフトウェアの検証処理と、実行時検証ソフトウェアの実行の時間的ギャップに不正なソフトウェアを埋め込める可能性がある。
本発明の目的は、起動時検証と実行時検証の連携の正当性を高めることによって機器全体の制御ソフトウェアの信頼性を向上し、機器をセキュアに利用させることを目的とする。
本発明は、複数に分割され、複数の起動される部分のソフトウェアに対して、次に起動する前記部分のソフトウェア、および次に起動する前記部分のソフトウェアの起動に関わる設定データを検証する検証手段と、前記部分のソフトウェアと前記設定データとの特定情報およびハッシュ値を含む正解リストを保持する保持手段とを有し、前記検証手段は、前記正解リストにおける前記特定情報の有無および前記ハッシュ値の相違に基づき、前記部分のソフトウェアおよび前記設定データを検証することを特徴とする。
本発明によれば、起動時検証と実行時検証の連携の正当性を高めることによって機器全体の制御ソフトウェアの信頼性を向上するので、ユーザはセキュアに機器を利用することができる。
(実施形態1)
以下、本発明の実施の形態を図面に基づいて解説する。本実施例では、システム起動時のソフトウェア検証処理について説明する。ここではMFP(Multi-Function Peripheral:複合機)を例に実施例を説明するが、本発明は複合機以外の任意の情報処理装置に適用可能な技術である。
以下、本発明の実施の形態を図面に基づいて解説する。本実施例では、システム起動時のソフトウェア検証処理について説明する。ここではMFP(Multi-Function Peripheral:複合機)を例に実施例を説明するが、本発明は複合機以外の任意の情報処理装置に適用可能な技術である。
図1は本発明に係るMFPとクライアントPCの接続形態を示すブロック図である。MFP100とクライアントPC110はLAN120を介して接続されている。MFP100はユーザとの入出力を行う操作部102を有する。MFP100は電子データを紙媒体に出力するプリンタ部103を有する。MFP100は紙媒体を読み込み電子データに変換するスキャナ部140を有する。操作部102とプリンタ部103とスキャナ部140はコントローラ部101に接続され、コントローラ部101の制御に従い複合機としての機能を実現する。クライアントPC110はMFP100に対してプリントジョブの送信といった処理を行う。
図2はMFPのコントローラ部101の詳細を示すブロック図である。CPU201はコントローラ内の主な演算処理を行う。CPU201はバスを介してDRAM202と接続される。DRAM202はCPU201が演算する過程で演算命令を表すプログラムデータや、処理対象のデータを一時的に配置するための作業メモリとしてCPU201によって使用される。CPU201はバスを介してI/Oコントローラ203と接続される。I/Oコントローラ203はCPU201の指示に従い各種デバイスに対する入出力を行う。I/Oコントローラ203にはSATA(Serial Advanced Technology Attachment)I/F205が接続され、その先にFlashROM211が接続される。CPU201はFlashROM211をMFPの機能を実現するためのプログラム、各種設定データおよびドキュメントファイルを永続的に記憶するために使用する。I/Oコントローラ203にはネットワークI/F204が接続される。ネットワークI/F204の先には、有線LANデバイス210が接続される。CPU201はネットワークI/F204を介して有線LANデバイス210を制御することで、LAN120上の通信を実現する。I/Oコントローラ203にはパネルI/F206が接続され、CPU201はパネルI/F206を介して操作部102に対するユーザ向けの入出力を実現する。I/Oコントローラ203にはプリンタI/F207が接続され、CPU201はプリンタI/F207を介してプリンタ部103を利用した紙媒体の出力処理を実現する。I/Oコントローラ203にはスキャナI/F208が接続され、CPU201はスキャナI/F208を介してスキャナ部104を利用した原稿の読み込み処理を実現する。I/Oコントローラ203にはUSB I/F209が接続され、USB I/Fに接続された任意の機器の制御を行う。ROM220はCPU201とバスで接続されていて、BIOS(Basic Input Output System)を実現する制御プログラムを記憶している。BIOS検証ユニット221はROM220およびCPU201とバスで接続されていて、ROM220に記憶されたBIOSデータの検証と、CPUへのBIOS起動指示を行う。ここで、BIOS検証ユニット221はハードウェアであることを明記し、BIOS検証がハードウェア検証であることを確認しておく。BIOS検証ユニット221とCPU201を繋ぐバスは悪意のある第三者に細工をされないために、同一チップ、またはそれに準ずる構成で実現され外部から物理的に確認できない形態になっている。実施例1では、BIOS検証ユニット221の制御機構は集積回路としてハードウェアで実現されている構成を想定するが、専用のCPU、制御ソフトを記憶したROMといった要素を同一チップ内に実装し、製造後に変更できない構成であっても良い。
コピー機能を実施する場合は、CPU201がSATA I/F205を介してFlashROM211からプログラムデータをDRAM202に読み込む。CPU201がDRAM202に読み込まれたプログラムに従いパネルI/F206を介して操作部102に対するユーザからのコピー指示を検出する。CPU201はコピー指示を検出するとスキャナI/F208を介してスキャナ部104から原稿を電子データとして受け取りDRAM202に格納する。CPU201はDRAM202に格納した画像データに対して出力に適した色変換処理などを実施する。CPU201はDRAM202に格納した画像データをプリンタI/F207を介してプリンタ部103に転送し、紙媒体への出力処理を実施する。
PDL(Page Description Language)印刷を実施する場合は、クライアントPC110がLAN120を介して印刷指示を行う。CPU201はSATA I/F205を介してFlash211からプログラムデータをDRAM202に読み込み、DRAM202に読み込まれたプログラムに従いネットワークI/F204を介して印刷指示を検出する。CPU201はPDL送信指示を検出するとネットワークI/F204を介して印刷データを受信し、SATA I/F205を介してFlashROM211に印刷データを保存する。CPU201は印刷データの保存が完了すると、FlashROM211に保存した印刷データをDRAM202に画像データとして展開する。CPU201はDRAM202に格納した画像データに対して出力に適した色変換処理などを実施する。CPU201はDRAM202に格納した画像データをプリンタI/F207を介してプリンタ部103に転送し、紙媒体への出力処理を実施する。
図3はMFPのコントローラ部101で実行されるソフトウェアの構造をあらわすブロック図である。コントローラ部101で実行されるソフトウェアは全て、CPU201が実行する。CPU201は、ROM220に記憶されたBIOS360を実行する。CPU201は、FlashROM211に記憶された、ローダ370、Initrd380、コントローラソフト300をDRAM202に読み込んだ後に実行する。BIOS360はI/Oコントローラ203やDRAM202をCPU201が制御するための基本処理を実行する。BIOS360は内部的にBIOSとしての制御ソフトと制御ソフトに対応する署名データで構成されている。ローダ読み込み検証部361はBIOS360の制御ソフトに含まれ、ローダを検証する処理とローダに付与された署名に対応する公開鍵を含む。さらにBIOS360はFlashROM211からローダ370を読み込み、開始する処理を含む。ローダ370はFlashROM211からカーネル390、Initrd380を読み込み、開始する処理を実行する。ローダ370は内部的にローダとしての制御ソフトと制御ソフトに対応する署名データで構成されている。カーネル・Initrd読み込み検証部371はローダ370に含まれ、カーネル、Initrdを検証する処理とカーネル、Initrdに付与された署名に対する公開鍵を含む。Initrd380はFlashROM211からコントローラソフト300を読み込み、開始する処理を実行する。Initrd380は内部的にInitrdとしての制御ソフトと制御ソフトに対する署名データで構成されている。起動時検証部381はInitrd380に含まれ、コントローラソフト300を構成する、全てのプログラムファイル等を起動時に検証する処理と、付与された署名に対する公開鍵を含む。ここで、全ての署名データに対する秘密鍵はソフトウェアの開発時のみ利用され一般に流通することはない。
操作制御部301は操作部102にユーザ向けの画面イメージを表示、およびユーザ操作の検知と画面上に表示したボタン等の画面部品に紐づけられた処理を実行する。データ記憶部302は他の制御部からの要求でデータをFlashROM211に記憶、および読み出しを行う。例えば、ユーザが何らかの機器設定を変更したい場合は、操作部102にユーザが入力した内容を操作制御部301が検知し、操作制御部301からの要求でデータ記憶部302が設定値としてFlashROM211に保存する。ネットワーク制御部307はデータ記憶部302に記憶された設定値に従い、システム起動時や、設定変更検出時にIPアドレスなどネットワーク設定をTCP/IP制御部308に行う。TCP/IP制御部308は他の制御からの指示に従い、ネットワークI/F204を介して、ネットワークパケットの送受信処理を行う。ジョブ制御部303は他の制御部からの指示に従って、ジョブ実行の制御を行う。画像処理部304はジョブ制御部303からの指示に従って、画像データを用途ごとに適した形式に加工する。印刷処理部305はジョブ制御部303からの指示に従い、プリンタI/F207を介して、紙媒体に画像を印刷し出力する。読み取り制御部306はジョブ制御部303からの指示に従い、スキャナI/F208を介して、設置された原稿を読み込む。認証部309は管理者権限が必要な操作に対して、操作者が管理者であるか否かを判断する処理を行う。ソフトウェア更新部310はコントローラソフト300を構成するプログラムファイルを、設置環境で更新する処理を行う。USB制御部311はUSB I/F209を制御し、USB接続された任意の機器の制御を行う。起動制御部312はコントローラソフト300を構成するプログラムファイル起動の制御を行う。後述する起動設定データに基づき、順次各プログラムファイルを起動する。実行時検証部322は、コントローラソフト300を構成する、全てのプログラムファイルを実行時に検証する処理を含む。なお、実行時検証部322が検証する方法として、正解値リストをあらかじめ保持し、プログラムファイルの実行時に正解値リストと突き合わせて検証するホワイトリスト方式がある。しかし、本発明は実行時検証部322の特定の検証方式に依存する発明でないため、実行時検証部322の検証方式については特に限定しない。
例えば、コピー機能を実行する場合は操作制御部301がコピー機能の開始要求を検知し、ジョブ制御部303にコピーを指示する。ジョブ制御部303は読み取り制御部306に原稿読み取りを指示し、スキャン画像を取得する。ジョブ制御部303は画像処理部305に指示し、スキャン画像を印刷に適した形式に変換する。ジョブ制御部303は印刷制御部305に印刷を指示し、コピー結果を出力する。
図4にFlashROM211に配置されるデータの例を示す。
まずは、操作制御部起動設定データファイル401、データ記憶部起動設定データファイル402、ジョブ制御部起動設定データファイル403がある。そして、画像処理部起動設定データファイル404、印刷処理部起動設定データファイル405、読み取り処理部起動設定データファイル406、ネットワーク制御部起動設定データファイル407がある。TCP/IP制御部起動設定データファイル408、認証部起動設定データファイル409、ソフトウェア更新部起動設定データファイル410、USB制御部起動設定データファイル411がある。そして、起動制御部起動設定データファイル412、および実行時検証部起動設定データファイル413である起動設定データは、起動制御部312が各コントローラソフト300の起動制御に利用する設定データである。起動時検証用正解値リスト421は起動検証部381が検証処理に利用する正解値のリストである。
図3ではコントローラ部101で実行されるソフトウェアの機能構成を示したが、BIOS360を除くこれらのプログラムファイル(ローダ370/initrd380/カーネル390/コントローラソフト300)はFlashROM211に格納される。
さらに、図示していないが、起動設定データファイル以外の各種設定データ、印刷データやスキャンデータなどの各種ドキュメントデータもFlashROM211に格納される。
図5は起動時検証用正解値リスト421、および起動設定データファイル401~413のサンプルである。
起動時検証用正解値リスト421はコントローラソフト300に含まれる全てのプログラムファイルに対して、ファイル名501とハッシュ値502の組み合わせをリスト化したものである。データの内容としては、少なくともファイル名称、ファイルの配置場所(ディレクトリ上の位置)、ファイルから計算したハッシュ値を含むものとする。さらに、起動時検証用正解値リスト421は、コントローラソフト300に含まれる全プログラムファイルだけでなく、コントローラソフト300の起動に関わる全起動設定ファイルのハッシュ値を含んでいる。
起動設定データファイル401~413は、コントローラソフト300毎にそのプログラムをどのように起動するかを規定した、プログラムファイルの起動に関する設定値を定めたものである。データの内容としては、起動するプログラムの識別に必要な情報(e.g.プログラムファイル名513)、実行に必要な情報(e.g.実行場所512)、実行のタイミングに関する情報(e.g.優先度514、依存515)を含むものとする。図6は、一例として、実行タイミングに関する情報を抜粋した起動設定データファイル401a~413aと、それに対応したプログラムの起動順序を示した図である。例えば、起動制御部起動設定データファイル401aは「優先度:初期起動、依存:NONE」となっているため、起動制御部312が最初に起動する。データ記憶部起動設定データファイル402aは「優先度:初期起動、依存:起動制御部」と起動制御部だけに依存しているため、データ記憶部302は起動制御部312の次に起動する。仮に、「優先度:初期起動、依存:起動制御部」とした新たな起動設定データファイルを不正に追加するとデータ記憶部302と同タイミングで起動することになり、実行時検証部322の前に不正プログラムを起動できる可能性が生じる。本発明はこのような不正を防止することを目的としている。
図7は操作部102に表示される、メニュー画面701であり複合機が持つさまざまな機能の実行をユーザが指示するためのものである。ボタン702はコピー機能をユーザが指示するために利用される。ボタン703はスキャンして保存する機能をユーザが指示するために利用される。ボタン704はスキャンして送信する機能をユーザが指示するために利用される。ボタン705は機器の設定変更をユーザが指示するために利用される。ボタン705を押すことで、設定画面801を表示することができる。表示領域706は機器の動作中に発生したさまざまなユーザ向けのメッセージを表示する。
図8は操作部102に表示される、設定画面801でありさまざまな設定をユーザが指示するためのものである。この画面自体に具体的な設定項目はなく、詳細な設定項目へのガイドとなる中間階層である。ボタン802を押すことでセキュリティ設定画面1001を表示することができる。ボタン803を押すことで、不図示の機器設定画面を表示することができる。ボタン804を押すことで、不図示のユーザ設定画面を表示することができる。ボタン805を押すことで、ソフトウェアの更新を開始することができる。表示領域806は機器の動作中に発生したさまざまなユーザ向けのメッセージを表示する。
図9は操作部102に表示される、管理者認証画面901であり管理者認証コードをユーザが入力するためのものである。この画面は、管理者権限が必要な機能の実施に先立って表示され、管理者権限を有する操作者であることを確認する。例えば、セキュリティ設定画面1001の表示前や、ボタン805押下してからソフトウェアの更新を開始する前に表示される。902はユーザが管理者認証コードを入力する領域であり、ボタン903は902に入力した認証コードの確認開始するために使われる。認証コードの確認は、認証部309によって行われ、認証に成功した場合は管理者権限が必要な処理を実行し、失敗した場合は管理者権限が必要な処理の実行を中止する。
図10はセキュリティ設定画面1001であり、MFP100に対するセキュリティ設定を行う。起動時検証1002が選択された場合はシステム起動時に行う起動時検証機能が有効化される。実行時検証1003が選択された場合は機能実行時に行う実行時検証機能が有効化される。ボタン1004を押下すると、セキュリティ選択画面1001の選択状態が、機器設定としてデータ記憶部302に記憶される。起動時検証機能と実行時検証機能のソフトウェア検証処理は検証のための計算時間が必要なため、検証しない場合に比べて機器の動作速度が劣化する。つまり、安全性と処理性能がトレードオフの関係にある。管理者は運用、設置ポリシー、ユーザの満足度を鑑みて設定する必要がある。MFP100はマルチユーザデバイスであるが、この画面は管理者権限を持つ操作者しか操作することができない。設定の影響を受けるのは全ユーザであるが、設定を行うのは管理者のみである。
図11は操作部102に表示される、エラー画面1101である。この画面はシステム停止エラーとしてユーザにファームウェアが改ざんされ、システムを停止したことを通知している。また、この画面から通常の機能実行画面に遷移することはできず、ユーザはMFP100を利用することはない。
図12を用いて、MFP100の起動処理フロー、および起動時のプログラムファイル等を検証する処理フローを説明する。図12の検証処理は起動時検証1002が選択されている場合のみ実行される。この処理は、起動するたびに一度行われる。ここで図12(A)に従いMFP100が実施する処理は、BIOS検証ユニット221が実施するものである。以下の説明で、図(A)の検証処理をハードウェア検証と呼ぶ。図12(B)に従いMFP100が実施する処理は、FlashROM211に格納されたプログラムをCPU201がDRAM202に読み込んだのち、CPU201の演算処理として実施するものである。以下の説明で、図11(B)の検証処理をソフトウェア検証と呼ぶ。夫々の検証処理は同じMFP100による検証処理であっても、検証主体が異なること、ハードウェア検証はCPU201の実行するソフトウェアの検証処理ではないことに留意されたい。
電源が供給され、起動処理が開始されるとBIOS検証ユニット221が起動され、S1201としてBIOSの検証処理を開始する。
S1202でMFP100はBIOS360の検証処理を実施し、成功したかどうか確認する。成功した場合はS1203を実行し、失敗した場合はS1205を実行する。検証処理としてはBIOS検証ユニット211がROM220から読み込んだBIOS360の署名に対して、BIOS検証ユニット211に配置された公開鍵を用いて署名検証を行う。本発明の起動時検証は、起動順序を考慮した署名検証であり、署名検証主体は次に起動する主体の署名検証を行うことでセキュリティ性を担保する。
S1203でMFP100はCPU201に指示することでBIOS360を起動する。
S1205でMFP100はBIOSの起動を行わず、起動シーケンスをこのステップで中止することでシステムを停止する。ここで、BIOS検証ユニット221はユーザ通知に関するデバイスを持たないため、通知は行わないが、LED(Light Emitting Diode)を接続して、発光させることで通知をおこなっても良い。
S1204でMFP100はBIOS360の検証処理を終了する。
ハードウェア検証は、ハードウェアで実装された検証方法であり、この検証処理を改ざんするためには集積回路の改ざんが必要であり、極めて堅牢な検証方法である。
BIOS360が起動されると、S1211としてFlashROM211に配置されたソフトウェアの検証処理を開始する。
S1212でMFP100はローダ読み込み検証部361を利用して、ローダ370の検証処理を実施し、成功したかどうか確認する。成功した場合はS1213を実行し、失敗した場合はS1221を実行する。検証処理としてはFlashROM211から読み込んだ、次の起動対象であるローダ370の署名に対して、ローダ読み込み検証部361が持つ公開鍵を用いて署名検証を行う。
S1213でMFP100はローダを起動する。
S1214でMFPはカーネル・Initrd読み込み検証部371を利用して、カーネル390の検証処理を実施し、成功したかどうか確認する。成功した場合はS1215を実行し、失敗した場合はS1221を実行する。検証処理としてはFlashROM211から読み込んだ、次の起動対象であるカーネル390の署名に対して、カーネル・Initrd読み込み検証部371が持つカーネル390の署名に対する公開鍵を用いて署名検証を行う。
S1215でMFP100はカーネルを起動する。
S1216でMFPはカーネル・Initrd読み込み検証部371を利用して、Initrd380の検証処理を実施し、成功したかどうか確認する。成功した場合はS1217を実行し、失敗した場合はS1221を実行する。検証処理としてはFlashROM211から読み込んだ、次の起動対象であるInitrd380の署名に対して、カーネル・Initrd読み込み検証部371が持つInitrd380の署名に対する公開鍵を用いて署名検証を行う。
S1217でMFP100はInitrd380を起動する。
S1218でMFP100は起動時検証部381を利用して、コントローラソフト300等のFlashROM211の検証を実施し、成功したかどうか確認する。成功した場合はS1219を実行し、失敗した場合はS1221実行する。検証処理としてはFlashROM211から読み込んだ次の起動対象である。すなわち、起動時検証用正解値リスト421に記載されたコントローラソフト300に含まれる全プログラムファイルを対象とした検証処理である。更に、起動時検証用正解値リスト421に記載されたコントローラソフト300の起動に関わる起動設定データファイル401~413を対象とした検証処理になっている。起動時検証用正解値リスト421に記載されたハッシュ値を、FlashROM211を読み込んで再計算したファイルのハッシュ値と、ファイル毎に比較することによって検証する。
S1219でMFP100はコントローラソフト300の起動を開始する。コントローラソフト300は複数のプログラムファイルに分割されているため、システムの起動のために必要なプログラムファイルが順次起動される。より詳細には、最初に起動制御部312を起動する。起動制御部312は起動設定データファイル401~413をすべて読み込み、優先度514と依存515に基づき起動順序を決定する。例えば、優先度514が最高位であって、他への依存515がないものを最上位と決定する。他にも起動順序の決定方法は考えられるが、本発明は特定の起動順序の決定方法に依存するものではなく、さまざまな決定方法を利用することができる。起動制御部312は決定した起動順位に従い、順次プログラムファイルを起動する。このコントローラソフト300の起動の中で、MFP100は実行時検証部322も起動する。
S1221でMFP100は改ざんを検知したことを、操作部102にエラー画面901を表示することでユーザに通知する。
S1222でMFP100は起動シーケンスをこのステップで中止することでシステムを停止する。
S1220でMFP100はFlashROM211に配置されたソフトウェアの検証処理を終了する。
一般的にソフトウェア検証はソフトウェアによって実装された検証方法であるため、記憶部のソフトウェアを書き換えることで改ざんすることができる。上記フローの様に、検証を行うソフトウェアをあらかじめ別の構成部によって検証しておくことで、改ざんされていないことを保証できる。そして、連鎖するソフトウェア検証の起点に、ハードウェア検証を用いることにより、システム全体が改ざんされていないことを保証できる。さらに、実行時検証部の起動に、ソフトウェア検証を適用させることで、システム起動後の改ざんに対しても、ハードウェア検証を起点とする強固な信頼性を確保できる。特に、複数のプログラムファイルに分割されたコントローラソフト300において、プログラムファイルだけでなく、起動設定ファイルをあらかじめ検証しておくことで、実行時検証部の確実な起動を確保することができる。
(実施形態2)
以下、本発明の第二の実施の形態について図13を用いて解説する。本実施例では、S1218におけるコントローラソフト300の起動に関わる起動設定データを対象とした検証処理における他の形態について説明する。なお、記載を省略した部分については、実施例1と同じ構成および処理である。
以下、本発明の第二の実施の形態について図13を用いて解説する。本実施例では、S1218におけるコントローラソフト300の起動に関わる起動設定データを対象とした検証処理における他の形態について説明する。なお、記載を省略した部分については、実施例1と同じ構成および処理である。
S1301でMFP100は、起動時検証用正解値リスト421の中から、コントローラソフト300の起動に関わる起動設定データファイルを検索して、検索した起動設定データファイルがFlashROM211に存在するか否かを検証する。検索した全ての起動設定データファイルがFlashROM211に存在した場合はS1302を実行し、それ以外はS1306を実行する。起動時検証用正解値リスト421の中から起動設定データファイルを検索する方法としては、ファイル名501中のディレクトリ名や拡張子を利用する方法がある。起動設定データファイルを保持しているディレクトリと一致するか、起動設定データファイルの拡張子と一致するかを比較することで検索することができる。
S1302でMFP100は、FlashROM211に存在する起動設定データファイル401~413を検索して、検索した起動設定データファイル401~413が起動時検証用正解値リスト421中に存在するか否かを検証する。検索した全ての起動設定データファイル401~413が起動時検証用正解値リスト421に存在した場合はS1303を実行し、それ以外はS1306を実行する。FlashROM211から起動設定データファイル401~413を検索する方法としても、ディレクトリ名や拡張子を利用する方法がある。起動設定データファイル401~413を保持しているディレクトリの中から、起動設定データファイル401~413の拡張子と一致するファイルを検索することができる。
S1303でMFP100は、ハッシュ値の比較による検証である。詳細はS1218で示した方法と同様であるため、詳細の記載は省略する。
MFP100はS1304でFlashROM211の検証に成功したと判断し、S1306で検証に詩パイしたと判断する。
以上のフローにより、起動設定データファイル401~413の不正な削除および不正な追加を検出できる。これは、MFP100の起動時において、本来起動しなければならないが起動していないコントローラソフト300、および本来起動してはいけない第三者のプログラムを検出することを可能にする。この結果、MFP100の起動の信頼性、つまり実行時検証の信頼性を起動時検証からより高い信頼性でつなぐことを可能にする。
(実施形態3)
以下、本発明の第三の実施の形態について図14を用いて解説する。本実施例では、S1218におけるコントローラソフト300の起動に関わる起動設定データを対象とした検証処理における他の形態について説明する。なお、記載を省略した部分については、実施例1または実施例2と同じ構成および処理である。
以下、本発明の第三の実施の形態について図14を用いて解説する。本実施例では、S1218におけるコントローラソフト300の起動に関わる起動設定データを対象とした検証処理における他の形態について説明する。なお、記載を省略した部分については、実施例1または実施例2と同じ構成および処理である。
S1302は、処理フローは実施例2とほぼ同様であるが、検索した全ての起動設定データファイルが起動時検証用正解値リスト421に存在した場合は実施例2同様にS1303を実行し、それ以外はS1401を実行する。
S1401でMFP100は、FlashROM211に存在するが、起動時検証用正解値リスト421中に存在しない起動設定データファイル401~413について削除を実行する。対象の全ての起動設定データファイル401~413の削除に成功した場合はS1303を実行し、それ以外はS1306を実行する。
以上のフローにより、起動設定データファイル401~413の不正な削除はなく、不正な追加だけを検出した場合に、MFP100は不正に追加された起動設定データファイル401~413の削除を実行する。対象の全ての起動設定データファイル401~413を削除できた場合、処理を継続する。この結果、実施例2同様に、MFP100の起動の信頼性、つまり実行時検証の信頼性を起動時検証からより高い信頼性でつなぐことを可能にするとともに、復元可能な場合は復元してMFP100の稼働率を向上することができる。
(その他の実施例)
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
Claims (9)
- 複数に分割され、複数の起動される部分のソフトウェアに対して、次に起動する前記部分のソフトウェア、および次に起動する前記部分のソフトウェアの起動に関わる設定データを検証する検証手段と、
前記部分のソフトウェアと前記設定データとの特定情報およびハッシュ値を含む正解リストを保持する保持手段とを有し、
前記検証手段は、前記正解リストにおける前記特定情報の有無および前記ハッシュ値の相違に基づき、前記部分のソフトウェアおよび前記設定データを検証することを特徴とする情報処理装置。 - 任意のタイミングで実行されるソフトウェアを実行に先立って検証する実行時検証手段とを有し、
前記検証手段によって前記実行時検証手段を実現する前記部分のソフトウェア、および前記実行時検証手段の起動に関わる設定データを検証する
ことを特徴とする請求項1に記載の情報処理装置。 - 前記検証手段は、システム起動時にハードウェアに設定された方法によって前記部分の
ソフトウェアを検証し、かつ検証した前記部分のソフトウェアによって他の前記部分のソフトウェア、および前記部分のソフトウェアの起動に関わる設定ファイルを検証する
ことを特徴とする請求項1または請求項2に記載の情報処理装置。 - 前記検証手段は、前記設定データが改ざんされているかどうかを検証することに加えて、他の設定データが不正に追加されていること、および前記設定データが削除されていることも検証する
ことを特徴とする請求項1乃至請求項3のいずれか1項に記載の情報処理装置。 - 前記設定データを削除する削除手段を有し、
前記検証手段によって前記設定データが削除されておらず、かつ他の設定データが不正に追加されていることだけを検出した場合に、検出した前記他の設定データを前記削除手段によって削除する
ことを特徴とする請求項4に記載の情報処理装置。 - 前記検証手段は、前記設定データを検証することで、前記部分のソフトウェアの起動の
順序を検証する
ことを特徴とする請求項1乃至請求項5のいずれか1項に記載の情報処理装置。 - 前記設定データは、前記部分のソフトウェアの起動の順序を規定するための情報を含み、
前記検証手段は、前記起動の順序を規定するための情報に基づき、前記部分のソフトウ
ェアの起動の順序を検証することを特徴とする請求項6に記載の情報処理装置。 - 検証手段が、複数に分割され、複数の起動される部分のソフトウェアに対して、次に起
動する前記部分のソフトウェア、および次に起動する前記部分のソフトウェアの起動に関
わる設定データを検証する検証工程と、
保持手段が、前記部分のソフトウェアと前記設定データとの特定情報およびハッシュ値を含む正解リストを保持する保持工程とを有し、
前記検証工程では、前記正解リストにおける前記特定情報の有無および前記ハッシュ値の相違に基づき、前記部分のソフトウェアおよび前記設定データを検証することを特徴とする情報処理方法。 - コンピュータを、
複数に分割され、複数の起動される部分のソフトウェアに対して、次に起動する前記部
分のソフトウェア、および次に起動する前記部分のソフトウェアの起動に関わる設定デー
タを検証する検証手段と、
前記部分のソフトウェアと前記設定データとの特定情報およびハッシュ値を含む正解リストを保持する保持手段とを有し、
前記検証手段は、前記正解リストにおける前記特定情報の有無および前記ハッシュ値の相違に基づき、前記部分のソフトウェアおよび前記設定データを検証することを特徴とする情報処理装置として機能させるプログラム。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019120325A JP7378980B2 (ja) | 2019-06-27 | 2019-06-27 | 情報処理装置、情報処理方法およびプログラム |
| PCT/JP2020/024685 WO2020262412A1 (ja) | 2019-06-27 | 2020-06-24 | 情報処理装置、情報処理方法およびプログラム |
| US17/556,806 US20220113990A1 (en) | 2019-06-27 | 2021-12-20 | Information processing apparatus, information processing method, and storage medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019120325A JP7378980B2 (ja) | 2019-06-27 | 2019-06-27 | 情報処理装置、情報処理方法およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021005336A JP2021005336A (ja) | 2021-01-14 |
| JP7378980B2 true JP7378980B2 (ja) | 2023-11-14 |
Family
ID=74060237
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019120325A Active JP7378980B2 (ja) | 2019-06-27 | 2019-06-27 | 情報処理装置、情報処理方法およびプログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20220113990A1 (ja) |
| JP (1) | JP7378980B2 (ja) |
| WO (1) | WO2020262412A1 (ja) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010182196A (ja) | 2009-02-06 | 2010-08-19 | Kddi Corp | 情報処理装置およびファイル検証システム |
| JP2019003275A (ja) | 2017-06-12 | 2019-01-10 | 日本電信電話株式会社 | 確認システム、制御装置及び確認方法 |
| JP2019012442A (ja) | 2017-06-30 | 2019-01-24 | 大日本印刷株式会社 | セキュアエレメント、コンピュータプログラム、デバイス、サーバ及びファイル情報の照合方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080127161A1 (en) * | 2006-10-16 | 2008-05-29 | Microsoft Corporation | Environment state changes to alter functionality |
| JP5096022B2 (ja) * | 2007-03-15 | 2012-12-12 | 株式会社リコー | 情報処理装置、ソフトウェア検証方法及びソフトウェア検証プログラム |
| WO2010061561A1 (ja) * | 2008-11-26 | 2010-06-03 | パナソニック株式会社 | 監視システム、プログラム実行装置、監視プログラム、記録媒体及び集積回路 |
| EP2565812B1 (en) * | 2010-04-26 | 2016-12-28 | Panasonic Corporation | Manipulation monitoring system, management device and manipulation management method |
| JP5736994B2 (ja) * | 2011-06-15 | 2015-06-17 | 株式会社リコー | 情報処理装置、正当性検証方法、及びプログラム |
| US11106454B2 (en) * | 2016-04-15 | 2021-08-31 | Nec Corporation | Software update control device, software update control method, and recording medium having software update control program stored thereon |
| CN107748684A (zh) * | 2017-11-21 | 2018-03-02 | 广东欧珀移动通信有限公司 | 实现自启动的处理方法、装置、存储介质及移动终端 |
-
2019
- 2019-06-27 JP JP2019120325A patent/JP7378980B2/ja active Active
-
2020
- 2020-06-24 WO PCT/JP2020/024685 patent/WO2020262412A1/ja active Application Filing
-
2021
- 2021-12-20 US US17/556,806 patent/US20220113990A1/en active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010182196A (ja) | 2009-02-06 | 2010-08-19 | Kddi Corp | 情報処理装置およびファイル検証システム |
| JP2019003275A (ja) | 2017-06-12 | 2019-01-10 | 日本電信電話株式会社 | 確認システム、制御装置及び確認方法 |
| JP2019012442A (ja) | 2017-06-30 | 2019-01-24 | 大日本印刷株式会社 | セキュアエレメント、コンピュータプログラム、デバイス、サーバ及びファイル情報の照合方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2021005336A (ja) | 2021-01-14 |
| US20220113990A1 (en) | 2022-04-14 |
| WO2020262412A1 (ja) | 2020-12-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4848190B2 (ja) | アプリケーション実行装置、アプリケーション実行方法及びアプリケーション実行プログラム | |
| US9471328B2 (en) | Information processor having program and configuration data stored in different storage areas and reflecting configuration data in operation in program | |
| JP5474916B2 (ja) | 情報処理装置および複合機 | |
| JP4704233B2 (ja) | 情報処理装置及びその制御方法 | |
| WO2007074565A1 (ja) | プログラム実行制御方法および装置ならびに実行制御プログラム | |
| US20140115316A1 (en) | Boot loading of secure operating system from external device | |
| US11669609B2 (en) | Information processing apparatus, control method of the same, and storage medium | |
| JP2019212114A (ja) | 情報処理装置、その制御方法およびプログラム | |
| JP7179482B2 (ja) | 情報処理装置、制御方法、およびそのプログラム | |
| JP2023129643A (ja) | 情報処理装置、情報処理方法およびプログラム | |
| JP7378980B2 (ja) | 情報処理装置、情報処理方法およびプログラム | |
| JP7084826B2 (ja) | 情報処理装置、その制御方法、およびそのプログラム | |
| JP2023101738A (ja) | 情報処理装置、情報処理方法およびプログラム | |
| JP2009199236A (ja) | 画像処理装置、認証パッケージインストール方法、認証パッケージインストールプログラム、及び記録媒体 | |
| US11330129B2 (en) | Image forming system, image forming apparatus, and storing medium storing application control program | |
| US11429721B2 (en) | Information processing apparatus, information processing method, and storage medium | |
| JP2022157063A (ja) | 情報処理装置、情報処理方法およびプログラム | |
| US11971991B2 (en) | Information processing apparatus, control method for controlling the same and storage medium | |
| JP6564549B1 (ja) | 正当性認証起動管理システム | |
| JP2020197773A (ja) | ホワイトリスト生成方法および生成プログラム | |
| JP2021117589A (ja) | 情報処理装置、情報処理装置の処理方法およびプログラム | |
| JP2022147763A (ja) | 情報処理装置及びプログラムの検証方法とプログラム | |
| JP2022182837A (ja) | 情報処理装置、及びその制御方法 | |
| JP2005260476A (ja) | 画像処理装置および画像処理装置の制御方法およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220617 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230502 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230628 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231003 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231101 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7378980 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |