機器
【課題】ストレージ装置内のデータへのアクセスが不可能となることを防止する技術を提供すること。
【解決手段】
一般に、実施形態によれば、機器1は、認証を不適合と判定する場合に暗号化済みデータの解読用暗号鍵を消去するストレージ装置に接続する機器であって、第1記憶領域33と、第2記憶領域34と、制御部31と、を備える。第1記憶領域は、データを記憶する。第2記憶領域は、データを記憶する。制御部は、認証情報を第1、第2記憶領域にそれぞれ保存し、ストレージ装置による認証を受ける前に第1、第2記憶領域の各認証情報が一致するか否かを判定し、第1、第2記憶領域の各認証情報が一致する場合、認証情報に基づくストレージ装置による認証を受ける。
【解決手段】
一般に、実施形態によれば、機器1は、認証を不適合と判定する場合に暗号化済みデータの解読用暗号鍵を消去するストレージ装置に接続する機器であって、第1記憶領域33と、第2記憶領域34と、制御部31と、を備える。第1記憶領域は、データを記憶する。第2記憶領域は、データを記憶する。制御部は、認証情報を第1、第2記憶領域にそれぞれ保存し、ストレージ装置による認証を受ける前に第1、第2記憶領域の各認証情報が一致するか否かを判定し、第1、第2記憶領域の各認証情報が一致する場合、認証情報に基づくストレージ装置による認証を受ける。
【発明の詳細な説明】
【技術分野】
【0001】
この明細書に記載の実施形態は、ストレージ装置へのアクセス制御技術に関する。
【背景技術】
【0002】
データの流出や漏洩を防止するための認証機能を有するHDD(Hard disk drive)が知られる(例えば、特許文献1)。このHDDは、接続する機器がHDDに読み書きする前に、機器から認証情報を受信して認証を行い、認証を適合と判定する場合のみアクセスを許可する。このHDDは、認証を不適合と判定する場合、もしくは機器が認証をせずにHDD内のデータを読み出そうとする場合、ディスク上に記録された暗号化データの解読に必要な暗号鍵を自動的に消去し、HDD内の全データを解読不能にする。これにより、このHDDが盗難などされてもデータの漏洩が防止される。
【発明の概要】
【発明が解決しようとする課題】
【0003】
しかしながら、従来の機器では、このHDDに接続される機器として正規のものであっても、機器内のメモリに保存される認証情報がノイズ等により壊れている場合、HDDに接続することで、HDDに認証不適合と判定されて暗号鍵が消去されてしまう。このように、従来の機器では、認証情報が壊れている場合、HDD内のデータへのアクセスが不可能となってしまうという問題がある。
【0004】
この明細書は、ストレージ装置内のデータへのアクセスが不可能となることを防止する技術を提供することを目的とする。
【課題を解決するための手段】
【0005】
一般に、実施形態によれば、機器は、認証を不適合と判定する場合に暗号化済みデータの解読用暗号鍵を消去するストレージ装置に接続する機器であって、第1記憶領域と、第2記憶領域と、制御部と、を備える。第1記憶領域は、データを記憶する。第2記憶領域は、データを記憶する。制御部は、認証情報を第1、第2記憶領域にそれぞれ保存し、ストレージ装置による認証を受ける前に第1、第2記憶領域の各認証情報が一致するか否かを判定し、第1、第2記憶領域の各認証情報が一致する場合、認証情報に基づくストレージ装置による認証を受ける。
【図面の簡単な説明】
【0006】
【図1】画像形成装置の概略構成図である。
【図2】画像形成装置の構成を示すブロック図である。
【図3】画像形成装置のセットアップ動作についてのフローチャートである。
【図4】画像形成装置の電源ON時のフローチャートである。
【図5】HDDへのアクセス処理停止後の画像形成装置のフローチャートである。
【図6】他のリストアの方法を示すフローチャートである。
【図7】第2実施形態におけるセットアップ動作を示すフローチャートである。
【図8】画像形成装置の電源ON時の動作例を示すフローチャートである。
【図9】第3実施形態におけるセットアップ動作を示すフローチャートである。
【図10】画像形成装置の電源ON時の動作例を示すフローチャートである。
【発明を実施するための形態】
【0007】
以下、実施形態について図面を参照しつつ説明する。
(第1実施形態)
図1は、画像形成装置100(機器)の概略構成図である。
画像形成装置1は、MFP(Multi Function Peripheral)であり、画像読取部R、画像形成部P、表示部11、および操作入力部15を備える。表示部11は、タッチパネル111であり、画像形成装置1の設定情報や動作ステータス、ログ情報、ユーザへの通知を表示する。操作入力部15は、タッチパネル111および操作キー112を備え、ユーザの操作入力を受け付ける。画像読取部Rは、ADF12(Auto Document Feeder) や原稿台131にセットされたシートを、走査光学系13にてCCD132(Charge Coupled Device)により読み取る。これにより、画像形成装置1において画像データが生成される。
【0008】
画像形成部Pは、ピックアップローラ211により給紙カセット14からシートを取り出した後、搬送ローラ212によってシートを画像転写部2による転写位置Pまで搬送する。画像転写部2は、画像データに基づいてレーザユニット221によりレーザを用いて現像器ユニット222の感光体2221C〜2221K上に静電潜像を形成する。現像器ユニット222は、感光体2221C〜2221K上の静電潜像を現像し、感光体2221C〜2221K上に各色毎のトナー像を形成する。感光体2221C〜2221Kは、転写ベルト223上に各色のトナー像を重ねて転写し1枚のカラートナー像を形成する。転写ベルト223は、転写位置Pにてシートにトナー像を転写する。トナー像が転写されたシートは、定着器23により加熱押圧されて画像が定着した後、排紙トレイ24に排紙される。
【0009】
図2は、画像形成装置1の構成を示すブロック図である。
画像形成装置1は、前記各要素の他、通信I/F16、制御ボード3、およびHDD4(ストレージ装置)を備える。通信I/F16は、外部装置と無線または有線により通信する。
【0010】
制御ボード3は、演算処理装置(例えばCPU(Central Processing Unit)、MPU(Micro Processing Unit))であるプロセッサ31(制御部)、主記憶装置であるRAM32(Random Access Memory)、および不揮発性記憶装置であり電源供給のOFF時にもデータを保持する第1フラッシュメモリ33、第2フラッシュメモリ34、および第3フラッシュメモリ35を備える。後述するが、第1、第2、第3フラッシュメモリ33、34、35は、それぞれHDD4に対する認証情報を保存するために用いられる。第1、第2フラッシュメモリ33、34内の認証情報は、正しい認証情報を確定するために用いられ、第3フラッシュメモリ35内の認証情報は、第1、第2フラッシュメモリ33、34内のいずれかの認証情報が破損している場合のバックアップ用として用いられる。
【0011】
プロセッサ31は、画像形成装置1における各種処理を行う。プロセッサ31は、第1、第2、第3フラッシュメモリ33、34、35やHDD4に格納されているプログラムをRAM32にロードし、ロードされたプログラムを実行することにより種々の機能を実現する。プロセッサ31が実現する機能のうち一部もしくは全部をASIC(Application Specific Integrated Circuit)が行ってもよい。
【0012】
HDD4は、背景技術で説明した認証機能付きのHDDであり、暗号鍵を用いて暗号化した暗号化済み記録データをディスク上に記録する。HDD4は、暗号化済み記録データを読み出す際に、暗号鍵を用いて該データを解読する必要がある。HDD4は、接続する機器がHDD4に読み書きする前に、機器から認証情報を受信して認証を行い、認証を適合と判定する場合のみアクセスを許可する。HDD4は、認証を不適合と判定する場合、暗号鍵を自動的に消去し、HDD4内の全データを解読不能にする。
【0013】
以下、まず画像形成装置1のセットアップ動作について図3のフローチャートを参照して説明する。画像形成装置1のセットアップ動作は、例えば製品出荷前に画像形成装置1に認証機能付きのHDD4を組み入れた場合の動作である。
画像形成装置100が電源ONされてユーザの操作により保守モードで起動されると、制御ボード3は、事前に規定されている信号をHDD4に送信し、返信される信号が規定のものであるか否かを判定することで、画像形成装置1に組み入れられているHDD4が、認証機能を有しかつ事前に定義された製品や規格を有するものであるか否かを判定する。
【0014】
制御ボード3は、HDD4が認証機能を有する規定タイプのものである場合、HDD4の初期化を行い、HDD4の認証情報を作成する(Act1)。本実施形態では、HDD4内の記憶領域に暗号鍵が事前に記憶されているものとし、制御ボード3はその暗号鍵を用いて、該暗号鍵とマッチする認証情報を生成する。なお、認証情報の生成は、HDD4を特定できる情報が生成できればどのような従来技術を用いて行ってもよい。
【0015】
制御ボード3は、生成した認証情報を第1、第2、第3フラッシュメモリ33、34、35にそれぞれ保存する(Act2)。なお、本実施形態では、正しい認証情報を確定させるために、同じ認証情報を別々の不揮発性記憶装置(第1、第2フラッシュメモリ33,34)に保存するが、認証情報を保存する一方あるいは両方の不揮発性記憶装置として、TPM(Trusted Platform Module)等のセキュリティチップを用いてもよい。また、同じ認証情報を別々の不揮発性記憶装置に保存しなくてもよく、1つの不揮発性記憶装置における異なる記憶領域にそれぞれ保存してもよい。また、認証情報を不揮発性記憶装置に保存する際に、HDD4内の暗号鍵とは異なる鍵を用いて暗号化し、制御ボード3によるHDD4へのアクセスシステムにおけるセキュリティ上の脆弱性を低減させてもよい。また、本実施形態では、同じ制御ボード3上に第1、第2フラッシュメモリ33、34があるが、異なる制御ボードや異なる電気系統上に第1、第2フラッシュメモリ33、34があってもよい。
【0016】
次に、上記セットアップ動作が行われた後の運用時における画像形成装置1の電源ON時の動作例を、図4のフローチャートを参照して説明する。
画像形成装置1が電源ON状態となる場合、制御ボード3は、HDD4による認証を受ける前に、第1、第2フラッシュメモリ33、34に保存された認証情報を比較する(Act11)。制御ボード3は、第1、第2フラッシュメモリ33、34内の各認証情報が一致する場合(Act11:YES)、認証情報は正しいことが確定するので、該認証情報に基づいてHDD4による認証を受ける。これにより、制御ボード3は、HDD4により認証され、HDD4に対し、データの読み込み、書き込み、およびフォーマット等のアクセスが可能となる(Act12)。
【0017】
制御ボード3は、第1、第2フラッシュメモリ33、34内の各認証情報が一致せずいずれかの認証情報が破損している場合(Act11:NO)、HDD4による認証を受けずに表示部11に「HDD4に対する認証情報が破損しているためサービスマンを呼んで下さい」等のエラーメッセージを表示する(Act13)。制御ボード3は、HDD4へのアクセス処理を停止し、HDD4による認証を受けることを不可な状態とする(Act14)。
【0018】
続いて、HDD4へのアクセス処理を停止した後の画像形成装置1の動作例を、図5のフローチャートを参照して説明する。
制御ボード3は、サービスマン等による操作入力部15への操作入力により、第1、第2フラッシュメモリ33、34内の認証情報を削除するとともに第3フラッシュメモリ35内のバックアップ用の認証情報を第1、第2フラッシュメモリ33、34へ複製し、第1、第2フラッシュメモリ33、34内の各認証情報をリストアする(Act21)。なお、制御ボード3は、エラーメッセージを表示することなく自動で該リストアを行った後、第1〜第3フラッシュメモリ33〜35内のいずれかの正しい認証情報に基づいてHDD4による認証を受けてもよい。
【0019】
図6は、他のリストアの方法を示すフローチャートである。
第1、第2フラッシュメモリ33、34内の認証情報のリストア方法としては、以下の方法であってもよい。以下の方法によって認証情報をリストアする場合、バックアップ用の第3フラッシュメモリ35は無くてもよい。
まず、サービスマンが操作入力部15へ操作入力することにより、制御ボード3は、第1、第2フラッシュメモリ33、34内の各認証情報を表示部11に表示する等して出力する(Act31)。
【0020】
サービスマンが第1、第2フラッシュメモリ33、34内の認証情報を検証し、正しい認証情報がいずれかであるかを判定する(Act32)。第1フラッシュメモリ33内の認証情報が正しい場合(Act32:YES)、サービスマンが操作入力部15を操作入力することにより、制御ボード3は、第1フラッシュメモリ33内の認証情報を第2フラッシュメモリ34内に複製し、第2フラッシュメモリ34内の認証情報をリストアする(Act33)。反対に、第2フラッシュメモリ34内の認証情報が正しい場合(Act32:NO)、制御ボード3は、第2フラッシュメモリ34内の認証情報を用いて第1フラッシュメモリ33内の認証情報をリストアする(Act34)。なお、制御ボード3は、自動で第1、第2フラッシュメモリ33、34内の認証情報のいずれが正しいかを判定し、正しい側の認証情報を用いて破損した側の認証情報をリストアしてもよい。
【0021】
(第2実施形態)
図7は、画像形成装置1のセットアップ動作を示すフローチャートである。
本実施形態では、制御ボード3は、HDD4の初期化を行い、HDD4の認証情報を作成(Act1)した後、該認証情報を第1、第2フラッシュメモリ33、34に保存する。この際、制御ボード3は、認証情報に対する電子署名を作成し、第1、第2フラッシュメモリ33、34のいずれか一方または両方において、認証情報の原本性を保証するために該電子署名と共に認証情報を保存する(Act2A)。
【0022】
図8は、画像形成装置1の電源ON時の動作例を示すフローチャートである。
制御ボード3は、HDD4による認証を受ける前に電子署名の確認を行い(Act10A)、電子署名が正しい場合において(Act10A:YES)、第1、第2フラッシュメモリ33、34内の認証情報が一致する場合(Act11:YES)、HDD4による認証を受ける(Act12)。制御ボード3は、電子署名が正しくない場合(Act10A:NO)、および第1、第2フラッシュメモリ33、34内の認証情報が一致しない場合(Act11:NO)、表示部11にエラーメッセージを表示する(Act13)。なお、第1、第2フラッシュメモリ33、34の両方に電子署名と共に認証情報が保存される場合、Act10Aでは、第1、第2フラッシュメモリ33、34の両方の電子署名が共に正しいか否かを判定する(共に正しい場合のみAct11へ進む)。
【0023】
(第3実施形態)
図9は、画像形成装置1のセットアップ動作を示すフローチャートである。
本実施形態では、制御ボード3は、HDD4の初期化を行い、HDD4の認証情報を作成(Act1)した後、該認証情報を第1、第2フラッシュメモリ33、34に保存する。この際、制御ボード3は、認証情報のHASH値を作成し、第1、第2フラッシュメモリ33、34のいずれか一方または両方において、該HASH値と共に認証情報を保存する(Act2B)。
【0024】
図10は、画像形成装置1の電源ON時の動作例を示すフローチャートである。
制御ボード3は、HDD4による認証を受ける前に、HASH値と共に保存されている認証情報のHASH値を算出し、算出したHASH値と、保存されているHASH値とを比較する(Act10B)。制御ボード3は、算出したHASH値と保存されているHASH値とが一致する場合において(Act10B:YES)、第1、第2フラッシュメモリ33、34内の認証情報が一致する場合(Act11:YES)、HDD4による認証を受ける(Act12)。制御ボード3は、算出したHASH値と保存されているHASH値とが一致しない場合(Act10B:NO)、および第1、第2フラッシュメモリ33、34内の認証情報が一致しない場合(Act11:NO)、表示部11にエラーメッセージを表示する(Act13)。なお、第1、第2フラッシュメモリ33、34の両方にHASH値と共に認証情報が保存される場合、Act10Bでは、第1、第2フラッシュメモリ33、34の両方において、算出したHASH値と保存されているHASH値とが共に一致するか否かを判定する(共に一致した場合のみAct11へ進む)。
【0025】
前記各実施形態では、制御ボード3は、HDD4による認証を受ける前に、物理的に異なる位置にある2つの記憶領域に保存した認証情報が一致することを確認し、正しいことが確定した該認証情報を用いてHDD4による認証を受ける。制御ボード3は、2つの記憶領域にそれぞれ保存した認証情報が一致しない場合、HDD4による認証を受けない。これにより、前記各実施形態では、破損した認証情報を用いてHDD4による認証を受けてしまうことを防止でき、HDD4内のデータへのアクセスが不可能となることを防止できる。
【0026】
前記各実施形態では、ストレージ装置の例としてHDDを説明したが、ストレージ装置は、暗号化済みデータおよび暗号化済みデータの解読用暗号鍵を保持し、接続する機器の認証を不適合と判定する場合に解読用暗号鍵を消去する装置であれば、HDDに限定されず、USB(Universal Serial Bus)メモリ等の不揮発性に記憶する記憶装置であってもよい。また、前記各実施形態では、ストレージ装置を備える機器またはストレージ装置と無線あるいは有線により接続する機器として画像形成装置を例示したが、該機器は、タブレット型やデスクトップ型のコンピュータであってもよいし、携帯電話機であってもよい。
【0027】
本実施形態では、装置内部に発明を実施する機能が予め記録されている場合で説明をしたが、これに限らず同様の機能をネットワークから装置にダウンロードしても良いし、同様の機能を記録媒体に記憶させたものを装置にインストールしてもよい。
記録媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記録媒体であれば、その形態は何れの形態であってもよい。具体的に、記録媒体としては、例えば、ROMやRAM等のコンピュータに内部実装される内部記憶装置、CD−ROMやフレキシブルディスク、DVDディスク、光磁気ディスク、ICカード等の可搬型記憶媒体、コンピュータプログラムを保持するデータベース、あるいは他のコンピュータ並びにそのデータベースなどが挙げられる。インストールやダウンロードにより得る機能は、装置内部のOS等と共働してその機能を実現させるものであってもよい。プログラムは、その一部または全部が、動的に生成される実行モジュールであってもよい。
前記各実施形態における各処理の順序は、前記実施形態で例示した順序と異なっていてもよい。
【0028】
本発明は、その精神または主要な特徴から逸脱することなく、他の様々な形で実施することができる。そのため、前述の実施の形態はあらゆる点で単なる例示に過ぎず、限定的に解釈してはならない。本発明の範囲は、特許請求の範囲によって示すものであって、明細書本文には、なんら拘束されない。さらに、特許請求の範囲の均等範囲に属する全ての変形、様々な改良、代替および改質は、すべて本発明の範囲内のものである。
【符号の説明】
【0029】
1…機器(画像形成装置)、31…制御部(プロセッサ)、33…第1記憶領域(第1フラッシュメモリ)、34…第2記憶領域(第2フラッシュメモリ)。
【先行技術文献】
【特許文献】
【0030】
【特許文献1】特開2008−5408号公報
【技術分野】
【0001】
この明細書に記載の実施形態は、ストレージ装置へのアクセス制御技術に関する。
【背景技術】
【0002】
データの流出や漏洩を防止するための認証機能を有するHDD(Hard disk drive)が知られる(例えば、特許文献1)。このHDDは、接続する機器がHDDに読み書きする前に、機器から認証情報を受信して認証を行い、認証を適合と判定する場合のみアクセスを許可する。このHDDは、認証を不適合と判定する場合、もしくは機器が認証をせずにHDD内のデータを読み出そうとする場合、ディスク上に記録された暗号化データの解読に必要な暗号鍵を自動的に消去し、HDD内の全データを解読不能にする。これにより、このHDDが盗難などされてもデータの漏洩が防止される。
【発明の概要】
【発明が解決しようとする課題】
【0003】
しかしながら、従来の機器では、このHDDに接続される機器として正規のものであっても、機器内のメモリに保存される認証情報がノイズ等により壊れている場合、HDDに接続することで、HDDに認証不適合と判定されて暗号鍵が消去されてしまう。このように、従来の機器では、認証情報が壊れている場合、HDD内のデータへのアクセスが不可能となってしまうという問題がある。
【0004】
この明細書は、ストレージ装置内のデータへのアクセスが不可能となることを防止する技術を提供することを目的とする。
【課題を解決するための手段】
【0005】
一般に、実施形態によれば、機器は、認証を不適合と判定する場合に暗号化済みデータの解読用暗号鍵を消去するストレージ装置に接続する機器であって、第1記憶領域と、第2記憶領域と、制御部と、を備える。第1記憶領域は、データを記憶する。第2記憶領域は、データを記憶する。制御部は、認証情報を第1、第2記憶領域にそれぞれ保存し、ストレージ装置による認証を受ける前に第1、第2記憶領域の各認証情報が一致するか否かを判定し、第1、第2記憶領域の各認証情報が一致する場合、認証情報に基づくストレージ装置による認証を受ける。
【図面の簡単な説明】
【0006】
【図1】画像形成装置の概略構成図である。
【図2】画像形成装置の構成を示すブロック図である。
【図3】画像形成装置のセットアップ動作についてのフローチャートである。
【図4】画像形成装置の電源ON時のフローチャートである。
【図5】HDDへのアクセス処理停止後の画像形成装置のフローチャートである。
【図6】他のリストアの方法を示すフローチャートである。
【図7】第2実施形態におけるセットアップ動作を示すフローチャートである。
【図8】画像形成装置の電源ON時の動作例を示すフローチャートである。
【図9】第3実施形態におけるセットアップ動作を示すフローチャートである。
【図10】画像形成装置の電源ON時の動作例を示すフローチャートである。
【発明を実施するための形態】
【0007】
以下、実施形態について図面を参照しつつ説明する。
(第1実施形態)
図1は、画像形成装置100(機器)の概略構成図である。
画像形成装置1は、MFP(Multi Function Peripheral)であり、画像読取部R、画像形成部P、表示部11、および操作入力部15を備える。表示部11は、タッチパネル111であり、画像形成装置1の設定情報や動作ステータス、ログ情報、ユーザへの通知を表示する。操作入力部15は、タッチパネル111および操作キー112を備え、ユーザの操作入力を受け付ける。画像読取部Rは、ADF12(Auto Document Feeder) や原稿台131にセットされたシートを、走査光学系13にてCCD132(Charge Coupled Device)により読み取る。これにより、画像形成装置1において画像データが生成される。
【0008】
画像形成部Pは、ピックアップローラ211により給紙カセット14からシートを取り出した後、搬送ローラ212によってシートを画像転写部2による転写位置Pまで搬送する。画像転写部2は、画像データに基づいてレーザユニット221によりレーザを用いて現像器ユニット222の感光体2221C〜2221K上に静電潜像を形成する。現像器ユニット222は、感光体2221C〜2221K上の静電潜像を現像し、感光体2221C〜2221K上に各色毎のトナー像を形成する。感光体2221C〜2221Kは、転写ベルト223上に各色のトナー像を重ねて転写し1枚のカラートナー像を形成する。転写ベルト223は、転写位置Pにてシートにトナー像を転写する。トナー像が転写されたシートは、定着器23により加熱押圧されて画像が定着した後、排紙トレイ24に排紙される。
【0009】
図2は、画像形成装置1の構成を示すブロック図である。
画像形成装置1は、前記各要素の他、通信I/F16、制御ボード3、およびHDD4(ストレージ装置)を備える。通信I/F16は、外部装置と無線または有線により通信する。
【0010】
制御ボード3は、演算処理装置(例えばCPU(Central Processing Unit)、MPU(Micro Processing Unit))であるプロセッサ31(制御部)、主記憶装置であるRAM32(Random Access Memory)、および不揮発性記憶装置であり電源供給のOFF時にもデータを保持する第1フラッシュメモリ33、第2フラッシュメモリ34、および第3フラッシュメモリ35を備える。後述するが、第1、第2、第3フラッシュメモリ33、34、35は、それぞれHDD4に対する認証情報を保存するために用いられる。第1、第2フラッシュメモリ33、34内の認証情報は、正しい認証情報を確定するために用いられ、第3フラッシュメモリ35内の認証情報は、第1、第2フラッシュメモリ33、34内のいずれかの認証情報が破損している場合のバックアップ用として用いられる。
【0011】
プロセッサ31は、画像形成装置1における各種処理を行う。プロセッサ31は、第1、第2、第3フラッシュメモリ33、34、35やHDD4に格納されているプログラムをRAM32にロードし、ロードされたプログラムを実行することにより種々の機能を実現する。プロセッサ31が実現する機能のうち一部もしくは全部をASIC(Application Specific Integrated Circuit)が行ってもよい。
【0012】
HDD4は、背景技術で説明した認証機能付きのHDDであり、暗号鍵を用いて暗号化した暗号化済み記録データをディスク上に記録する。HDD4は、暗号化済み記録データを読み出す際に、暗号鍵を用いて該データを解読する必要がある。HDD4は、接続する機器がHDD4に読み書きする前に、機器から認証情報を受信して認証を行い、認証を適合と判定する場合のみアクセスを許可する。HDD4は、認証を不適合と判定する場合、暗号鍵を自動的に消去し、HDD4内の全データを解読不能にする。
【0013】
以下、まず画像形成装置1のセットアップ動作について図3のフローチャートを参照して説明する。画像形成装置1のセットアップ動作は、例えば製品出荷前に画像形成装置1に認証機能付きのHDD4を組み入れた場合の動作である。
画像形成装置100が電源ONされてユーザの操作により保守モードで起動されると、制御ボード3は、事前に規定されている信号をHDD4に送信し、返信される信号が規定のものであるか否かを判定することで、画像形成装置1に組み入れられているHDD4が、認証機能を有しかつ事前に定義された製品や規格を有するものであるか否かを判定する。
【0014】
制御ボード3は、HDD4が認証機能を有する規定タイプのものである場合、HDD4の初期化を行い、HDD4の認証情報を作成する(Act1)。本実施形態では、HDD4内の記憶領域に暗号鍵が事前に記憶されているものとし、制御ボード3はその暗号鍵を用いて、該暗号鍵とマッチする認証情報を生成する。なお、認証情報の生成は、HDD4を特定できる情報が生成できればどのような従来技術を用いて行ってもよい。
【0015】
制御ボード3は、生成した認証情報を第1、第2、第3フラッシュメモリ33、34、35にそれぞれ保存する(Act2)。なお、本実施形態では、正しい認証情報を確定させるために、同じ認証情報を別々の不揮発性記憶装置(第1、第2フラッシュメモリ33,34)に保存するが、認証情報を保存する一方あるいは両方の不揮発性記憶装置として、TPM(Trusted Platform Module)等のセキュリティチップを用いてもよい。また、同じ認証情報を別々の不揮発性記憶装置に保存しなくてもよく、1つの不揮発性記憶装置における異なる記憶領域にそれぞれ保存してもよい。また、認証情報を不揮発性記憶装置に保存する際に、HDD4内の暗号鍵とは異なる鍵を用いて暗号化し、制御ボード3によるHDD4へのアクセスシステムにおけるセキュリティ上の脆弱性を低減させてもよい。また、本実施形態では、同じ制御ボード3上に第1、第2フラッシュメモリ33、34があるが、異なる制御ボードや異なる電気系統上に第1、第2フラッシュメモリ33、34があってもよい。
【0016】
次に、上記セットアップ動作が行われた後の運用時における画像形成装置1の電源ON時の動作例を、図4のフローチャートを参照して説明する。
画像形成装置1が電源ON状態となる場合、制御ボード3は、HDD4による認証を受ける前に、第1、第2フラッシュメモリ33、34に保存された認証情報を比較する(Act11)。制御ボード3は、第1、第2フラッシュメモリ33、34内の各認証情報が一致する場合(Act11:YES)、認証情報は正しいことが確定するので、該認証情報に基づいてHDD4による認証を受ける。これにより、制御ボード3は、HDD4により認証され、HDD4に対し、データの読み込み、書き込み、およびフォーマット等のアクセスが可能となる(Act12)。
【0017】
制御ボード3は、第1、第2フラッシュメモリ33、34内の各認証情報が一致せずいずれかの認証情報が破損している場合(Act11:NO)、HDD4による認証を受けずに表示部11に「HDD4に対する認証情報が破損しているためサービスマンを呼んで下さい」等のエラーメッセージを表示する(Act13)。制御ボード3は、HDD4へのアクセス処理を停止し、HDD4による認証を受けることを不可な状態とする(Act14)。
【0018】
続いて、HDD4へのアクセス処理を停止した後の画像形成装置1の動作例を、図5のフローチャートを参照して説明する。
制御ボード3は、サービスマン等による操作入力部15への操作入力により、第1、第2フラッシュメモリ33、34内の認証情報を削除するとともに第3フラッシュメモリ35内のバックアップ用の認証情報を第1、第2フラッシュメモリ33、34へ複製し、第1、第2フラッシュメモリ33、34内の各認証情報をリストアする(Act21)。なお、制御ボード3は、エラーメッセージを表示することなく自動で該リストアを行った後、第1〜第3フラッシュメモリ33〜35内のいずれかの正しい認証情報に基づいてHDD4による認証を受けてもよい。
【0019】
図6は、他のリストアの方法を示すフローチャートである。
第1、第2フラッシュメモリ33、34内の認証情報のリストア方法としては、以下の方法であってもよい。以下の方法によって認証情報をリストアする場合、バックアップ用の第3フラッシュメモリ35は無くてもよい。
まず、サービスマンが操作入力部15へ操作入力することにより、制御ボード3は、第1、第2フラッシュメモリ33、34内の各認証情報を表示部11に表示する等して出力する(Act31)。
【0020】
サービスマンが第1、第2フラッシュメモリ33、34内の認証情報を検証し、正しい認証情報がいずれかであるかを判定する(Act32)。第1フラッシュメモリ33内の認証情報が正しい場合(Act32:YES)、サービスマンが操作入力部15を操作入力することにより、制御ボード3は、第1フラッシュメモリ33内の認証情報を第2フラッシュメモリ34内に複製し、第2フラッシュメモリ34内の認証情報をリストアする(Act33)。反対に、第2フラッシュメモリ34内の認証情報が正しい場合(Act32:NO)、制御ボード3は、第2フラッシュメモリ34内の認証情報を用いて第1フラッシュメモリ33内の認証情報をリストアする(Act34)。なお、制御ボード3は、自動で第1、第2フラッシュメモリ33、34内の認証情報のいずれが正しいかを判定し、正しい側の認証情報を用いて破損した側の認証情報をリストアしてもよい。
【0021】
(第2実施形態)
図7は、画像形成装置1のセットアップ動作を示すフローチャートである。
本実施形態では、制御ボード3は、HDD4の初期化を行い、HDD4の認証情報を作成(Act1)した後、該認証情報を第1、第2フラッシュメモリ33、34に保存する。この際、制御ボード3は、認証情報に対する電子署名を作成し、第1、第2フラッシュメモリ33、34のいずれか一方または両方において、認証情報の原本性を保証するために該電子署名と共に認証情報を保存する(Act2A)。
【0022】
図8は、画像形成装置1の電源ON時の動作例を示すフローチャートである。
制御ボード3は、HDD4による認証を受ける前に電子署名の確認を行い(Act10A)、電子署名が正しい場合において(Act10A:YES)、第1、第2フラッシュメモリ33、34内の認証情報が一致する場合(Act11:YES)、HDD4による認証を受ける(Act12)。制御ボード3は、電子署名が正しくない場合(Act10A:NO)、および第1、第2フラッシュメモリ33、34内の認証情報が一致しない場合(Act11:NO)、表示部11にエラーメッセージを表示する(Act13)。なお、第1、第2フラッシュメモリ33、34の両方に電子署名と共に認証情報が保存される場合、Act10Aでは、第1、第2フラッシュメモリ33、34の両方の電子署名が共に正しいか否かを判定する(共に正しい場合のみAct11へ進む)。
【0023】
(第3実施形態)
図9は、画像形成装置1のセットアップ動作を示すフローチャートである。
本実施形態では、制御ボード3は、HDD4の初期化を行い、HDD4の認証情報を作成(Act1)した後、該認証情報を第1、第2フラッシュメモリ33、34に保存する。この際、制御ボード3は、認証情報のHASH値を作成し、第1、第2フラッシュメモリ33、34のいずれか一方または両方において、該HASH値と共に認証情報を保存する(Act2B)。
【0024】
図10は、画像形成装置1の電源ON時の動作例を示すフローチャートである。
制御ボード3は、HDD4による認証を受ける前に、HASH値と共に保存されている認証情報のHASH値を算出し、算出したHASH値と、保存されているHASH値とを比較する(Act10B)。制御ボード3は、算出したHASH値と保存されているHASH値とが一致する場合において(Act10B:YES)、第1、第2フラッシュメモリ33、34内の認証情報が一致する場合(Act11:YES)、HDD4による認証を受ける(Act12)。制御ボード3は、算出したHASH値と保存されているHASH値とが一致しない場合(Act10B:NO)、および第1、第2フラッシュメモリ33、34内の認証情報が一致しない場合(Act11:NO)、表示部11にエラーメッセージを表示する(Act13)。なお、第1、第2フラッシュメモリ33、34の両方にHASH値と共に認証情報が保存される場合、Act10Bでは、第1、第2フラッシュメモリ33、34の両方において、算出したHASH値と保存されているHASH値とが共に一致するか否かを判定する(共に一致した場合のみAct11へ進む)。
【0025】
前記各実施形態では、制御ボード3は、HDD4による認証を受ける前に、物理的に異なる位置にある2つの記憶領域に保存した認証情報が一致することを確認し、正しいことが確定した該認証情報を用いてHDD4による認証を受ける。制御ボード3は、2つの記憶領域にそれぞれ保存した認証情報が一致しない場合、HDD4による認証を受けない。これにより、前記各実施形態では、破損した認証情報を用いてHDD4による認証を受けてしまうことを防止でき、HDD4内のデータへのアクセスが不可能となることを防止できる。
【0026】
前記各実施形態では、ストレージ装置の例としてHDDを説明したが、ストレージ装置は、暗号化済みデータおよび暗号化済みデータの解読用暗号鍵を保持し、接続する機器の認証を不適合と判定する場合に解読用暗号鍵を消去する装置であれば、HDDに限定されず、USB(Universal Serial Bus)メモリ等の不揮発性に記憶する記憶装置であってもよい。また、前記各実施形態では、ストレージ装置を備える機器またはストレージ装置と無線あるいは有線により接続する機器として画像形成装置を例示したが、該機器は、タブレット型やデスクトップ型のコンピュータであってもよいし、携帯電話機であってもよい。
【0027】
本実施形態では、装置内部に発明を実施する機能が予め記録されている場合で説明をしたが、これに限らず同様の機能をネットワークから装置にダウンロードしても良いし、同様の機能を記録媒体に記憶させたものを装置にインストールしてもよい。
記録媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記録媒体であれば、その形態は何れの形態であってもよい。具体的に、記録媒体としては、例えば、ROMやRAM等のコンピュータに内部実装される内部記憶装置、CD−ROMやフレキシブルディスク、DVDディスク、光磁気ディスク、ICカード等の可搬型記憶媒体、コンピュータプログラムを保持するデータベース、あるいは他のコンピュータ並びにそのデータベースなどが挙げられる。インストールやダウンロードにより得る機能は、装置内部のOS等と共働してその機能を実現させるものであってもよい。プログラムは、その一部または全部が、動的に生成される実行モジュールであってもよい。
前記各実施形態における各処理の順序は、前記実施形態で例示した順序と異なっていてもよい。
【0028】
本発明は、その精神または主要な特徴から逸脱することなく、他の様々な形で実施することができる。そのため、前述の実施の形態はあらゆる点で単なる例示に過ぎず、限定的に解釈してはならない。本発明の範囲は、特許請求の範囲によって示すものであって、明細書本文には、なんら拘束されない。さらに、特許請求の範囲の均等範囲に属する全ての変形、様々な改良、代替および改質は、すべて本発明の範囲内のものである。
【符号の説明】
【0029】
1…機器(画像形成装置)、31…制御部(プロセッサ)、33…第1記憶領域(第1フラッシュメモリ)、34…第2記憶領域(第2フラッシュメモリ)。
【先行技術文献】
【特許文献】
【0030】
【特許文献1】特開2008−5408号公報
【特許請求の範囲】
【請求項1】
認証を不適合と判定する場合に暗号化済みデータの解読用暗号鍵を消去するストレージ装置に接続する機器であって、
データを記憶する第1記憶領域と、
データを記憶する第2記憶領域と、
認証情報を前記第1、第2記憶領域にそれぞれ保存し、前記ストレージ装置による認証を受ける前に前記第1、第2記憶領域の各認証情報が一致するか否かを判定し、前記第1、第2記憶領域の各認証情報が一致する場合、前記認証情報に基づく前記ストレージ装置による認証を受ける制御部と、
を備えることを特徴とする機器。
【請求項2】
請求項1に記載の機器において、
前記制御部は、認証情報に対する電子署名を作成し、前記第1、第2記憶領域の少なくとも一方において前記電子署名と共に認証情報を保存し、前記ストレージ装置による認証を受ける前に前記電子署名が正しいか否かを判定し、前記電子署名が正しい場合、前記第1、第2記憶領域の各認証情報が一致するか否かを判定することを特徴とする機器。
【請求項3】
請求項1に記載の機器において、
前記制御部は、認証情報のHASH値を作成し、前記第1、第2記憶領域の少なくとも一方において前記HASH値と共に認証情報を保存し、前記ストレージ装置による認証を受ける前に、前記HASH値と共に保存された認証情報のHASH値を算出し、算出した該HASH値と、認証情報と共に保存された前記HASH値とが一致するか否かを判定し、一致する場合、前記第1、第2記憶領域の各認証情報が一致するか否かを判定することを特徴とする機器。
【請求項4】
請求項1から請求項3のいずれかに記載の機器において、
前記第1記憶領域は、第1不揮発性記憶装置内の記憶領域であり、
前記第2記憶領域は、前記第1不揮発性記憶装置とは異なる第2不揮発性記憶装置内の記憶領域であることを特徴とする機器。
【請求項5】
請求項1から請求項3のいずれかに記載の機器において、
前記第1、第2記憶領域は、1つの不揮発性記憶装置内にあることを特徴とする機器。
【請求項1】
認証を不適合と判定する場合に暗号化済みデータの解読用暗号鍵を消去するストレージ装置に接続する機器であって、
データを記憶する第1記憶領域と、
データを記憶する第2記憶領域と、
認証情報を前記第1、第2記憶領域にそれぞれ保存し、前記ストレージ装置による認証を受ける前に前記第1、第2記憶領域の各認証情報が一致するか否かを判定し、前記第1、第2記憶領域の各認証情報が一致する場合、前記認証情報に基づく前記ストレージ装置による認証を受ける制御部と、
を備えることを特徴とする機器。
【請求項2】
請求項1に記載の機器において、
前記制御部は、認証情報に対する電子署名を作成し、前記第1、第2記憶領域の少なくとも一方において前記電子署名と共に認証情報を保存し、前記ストレージ装置による認証を受ける前に前記電子署名が正しいか否かを判定し、前記電子署名が正しい場合、前記第1、第2記憶領域の各認証情報が一致するか否かを判定することを特徴とする機器。
【請求項3】
請求項1に記載の機器において、
前記制御部は、認証情報のHASH値を作成し、前記第1、第2記憶領域の少なくとも一方において前記HASH値と共に認証情報を保存し、前記ストレージ装置による認証を受ける前に、前記HASH値と共に保存された認証情報のHASH値を算出し、算出した該HASH値と、認証情報と共に保存された前記HASH値とが一致するか否かを判定し、一致する場合、前記第1、第2記憶領域の各認証情報が一致するか否かを判定することを特徴とする機器。
【請求項4】
請求項1から請求項3のいずれかに記載の機器において、
前記第1記憶領域は、第1不揮発性記憶装置内の記憶領域であり、
前記第2記憶領域は、前記第1不揮発性記憶装置とは異なる第2不揮発性記憶装置内の記憶領域であることを特徴とする機器。
【請求項5】
請求項1から請求項3のいずれかに記載の機器において、
前記第1、第2記憶領域は、1つの不揮発性記憶装置内にあることを特徴とする機器。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2013−97795(P2013−97795A)
【公開日】平成25年5月20日(2013.5.20)
【国際特許分類】
【出願番号】特願2012−234459(P2012−234459)
【出願日】平成24年10月24日(2012.10.24)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(000003562)東芝テック株式会社 (5,631)
【公開日】平成25年5月20日(2013.5.20)
【国際特許分類】
【出願日】平成24年10月24日(2012.10.24)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(000003562)東芝テック株式会社 (5,631)
[ Back to top ]