Nothing Special   »   [go: up one dir, main page]

JP2008236091A - データ復旧方法、画像処理装置、コントローラボード及びデータ復旧プログラム - Google Patents

データ復旧方法、画像処理装置、コントローラボード及びデータ復旧プログラム Download PDF

Info

Publication number
JP2008236091A
JP2008236091A JP2007069651A JP2007069651A JP2008236091A JP 2008236091 A JP2008236091 A JP 2008236091A JP 2007069651 A JP2007069651 A JP 2007069651A JP 2007069651 A JP2007069651 A JP 2007069651A JP 2008236091 A JP2008236091 A JP 2008236091A
Authority
JP
Japan
Prior art keywords
encryption key
key
backup
stored
processing apparatus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007069651A
Other languages
English (en)
Other versions
JP5041833B2 (ja
Inventor
Yuichi Terao
雄一 寺尾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2007069651A priority Critical patent/JP5041833B2/ja
Priority to US12/048,878 priority patent/US8290159B2/en
Publication of JP2008236091A publication Critical patent/JP2008236091A/ja
Application granted granted Critical
Publication of JP5041833B2 publication Critical patent/JP5041833B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Facsimile Transmission Control (AREA)
  • Record Information Processing For Printing (AREA)

Abstract

【課題】装置内部の暗号鍵が使用不可となっても装置内部の記憶装置に暗号化されて格納されているデータを復旧することができるデータ復旧方法、画像処理装置、コントローラボード及びデータ復旧プログラムを提供することを目的とする。
【解決手段】セキュアメモリ107に第1暗号鍵を格納し、第2暗号鍵を第1記憶装置108に格納し、データを第2記憶装置112,113に格納している情報処理装置100のデータ復旧方法であって、第1暗号鍵を用いて第2暗号鍵を復号し、第2暗号鍵を情報処理装置100の外部にバックアップ鍵としてバックアップし、第1暗号鍵が使用できないとき、バックアップ鍵を情報処理装置100の内部にリストアし、情報処理装置100の内部にリストアしたバックアップ鍵を用いて、第2記憶装置112,113に格納しているデータを復号することにより上記課題を解決する。
【選択図】図6

Description

本発明は、データ復旧方法、画像処理装置、コントローラボード及びデータ復旧プログラムに係り、特に暗号鍵によって暗号化されたデータを復旧するデータ復旧方法、画像処理装置、コントローラボード及びデータ復旧プログラムに関する。
近年では、プリンタ,スキャナ,ファックス,コピー又は複合機(MFP)等の画像処理装置においてもセキュリティに関する要求が高くなってきている。画像処理装置は周辺機器の一例である。現在では、複合機等の画像処理装置におけるセキュリティ標準であるIEEE P2600において、装置内部に保存されるデータを保護するという要求、要件がある。
具体的に、画像処理装置ではアドレス帳や画(画像)情報等のユーザデータ,セキュリティログ等のセキュリティデータを格納しているストレージデバイスの盗難及び解析を防いで、ユーザデータ,セキュリティデータを保護する必要がある。ストレージデバイスに格納しているユーザデータ,セキュリティデータを保護する方法としては、一定強度以上の暗号を施すことが考えられる(例えば特許文献1〜3参照)。
また、ストレージデバイスに格納しているユーザデータ,セキュリティデータを保護する別の方法としては、暗号鍵をTPM(Trusted Platform Module )に格納し、暗号鍵の漏洩を防止することが考えられる。
ユーザデータ等を保護するパーソナルコンピュータ(PC)やワークステーション等では起動ごとにパスワードを入力させる方法が一般的である。一方、複合機等の画像処理装置は複数のユーザ(操作者)が利用し、且つ誰もが電源をON/OFFすることが一般的な利用形態である。このような利用形態の画像処理装置では、ユーザデータ等を保護するものであっても、起動ごとにパスワードの入力をユーザへ強制することが難しい。
そこで、従来の画像処理装置には、ユーザデータ等を格納しているストレージデバイスの暗号鍵を自動生成し、その暗号鍵をTPMに格納した別の暗号鍵で暗号化して、コントローラボード上の不揮発性メモリ等の不揮発性デバイスに保存しているものがあった。
特開2005−158043号公報 特開2004−201038号公報 国際公開第99/038078号パンフレット
ユーザデータ等を格納しているストレージデバイスの暗号鍵を自動生成し、その暗号鍵をTPMに格納した別の暗号鍵で暗号化して、コントローラボード上の不揮発性メモリ等の不揮発性デバイスに保存する従来の画像処理装置では、ストレージデバイスが盗難されたとしてもストレージデバイスの解読が困難である。
しかしながら、従来の画像処理装置では何らかの部品不良や部品寿命切れ等によりコントローラボードの交換が必要となった場合、ストレージデバイスに暗号化されて格納されているユーザデータ等を復号できなくなる。
実際、複合機等の家電品ではコントローラボード上の一部の故障部品のみを交換することは稀であり、コントローラボードごと交換することが一般的である。従って、画像処理装置ではコントローラボードの交換が頻繁に起こることが予想される。複合機等の画像処理装置において、コントローラボードの交換毎にユーザデータ等を復号できなくなるのでは都合が悪い。
本発明は、上記の点に鑑みなされたもので、装置内部の暗号鍵が使用不可となっても装置内部の記憶装置に暗号化されて格納されているデータを復旧することができるデータ復旧方法、画像処理装置、コントローラボード及びデータ復旧プログラムを提供することを目的とする。
上記課題を解決するため、本発明は、セキュアメモリに第1暗号鍵を格納し、前記第1暗号鍵で暗号化された第2暗号鍵を第1記憶装置に格納し、前記第2暗号鍵で暗号化されたデータを第2記憶装置に格納している情報処理装置のデータ復旧方法であって、前記第1暗号鍵を用いて前記第2暗号鍵を復号し、その第2暗号鍵を前記情報処理装置の外部にバックアップ鍵としてバックアップするバックアップステップと、前記第1暗号鍵が使用できないとき、前記バックアップ鍵を前記情報処理装置の内部にリストアするリストアステップと、前記情報処理装置の内部にリストアした前記バックアップ鍵を用いて、前記第2記憶装置に格納しているデータを復号する復号ステップとを有することを特徴とする。
また、本発明は、セキュアメモリに第1暗号鍵を格納し、前記第1暗号鍵で暗号化された第2暗号鍵を第1記憶装置に格納し、前記第2暗号鍵で暗号化されたデータを第2記憶装置に格納しているプロッタ及びスキャナの少なくとも一方を有する画像処理装置であって、前記第1暗号鍵を用いて前記第2暗号鍵を復号し、その第2暗号鍵を装置外部にバックアップ鍵としてバックアップするバックアップ手段と、前記第1暗号鍵が使用できないとき、前記バックアップ鍵を装置内部にリストアするリストア手段と、装置内部にリストアした前記バックアップ鍵を用いて、前記第2記憶装置に格納しているデータを復号する復号手段とを有することを特徴とする。
また、本発明は、セキュアメモリに第1暗号鍵を格納し、前記第1暗号鍵で暗号化された第2暗号鍵を第1記憶装置に格納するように構成されており、前記第2暗号鍵で暗号化されたデータを格納している第2記憶装置,プロッタ及びスキャナの少なくとも一方を有する画像処理装置に含まれるコントローラボードであって、前記第1暗号鍵を用いて前記第2暗号鍵を復号し、その第2暗号鍵を前記画像処理装置の外部にバックアップ鍵としてバックアップするバックアップ手段と、前記第1暗号鍵が使用できないとき、前記バックアップ鍵を前記画像処理装置の内部にリストアするリストア手段と、前記画像処理装置の内部にリストアした前記バックアップ鍵を用いて、前記第2記憶装置に格納しているデータを復号する復号手段とを有することを特徴とする。
また、本発明は、セキュアメモリに第1暗号鍵を格納し、前記第1暗号鍵で暗号化された第2暗号鍵を第1記憶装置に格納し、前記第2暗号鍵で暗号化されたデータを第2記憶装置に格納している情報処理装置に、前記第1暗号鍵を用いて前記第2暗号鍵を復号し、その第2暗号鍵を前記情報処理装置の外部にバックアップ鍵としてバックアップするバックアップ手順と、前記第1暗号鍵が使用できないとき、前記バックアップ鍵を前記情報処理装置の内部にリストアするリストア手順と、前記情報処理装置の内部にリストアした前記バックアップ鍵を用いて、前記第2記憶装置に格納しているデータを復号する復号手順とを実行させるためのデータ復旧プログラムであることを特徴とする。
なお、本発明の構成要素、表現または構成要素の任意の組合せを、方法、装置、システム、コンピュータプログラム、記録媒体、データ構造などに適用したものも本発明の態様として有効である。
本発明によれば、装置内部の暗号鍵が使用不可となっても装置内部の記憶装置に暗号化されて格納されているデータを復旧することができるデータ復旧方法、画像処理装置、コントローラボード及びデータ復旧プログラムを提供可能である。
次に、本発明を実施するための最良の形態を、以下の実施例に基づき図面を参照しつつ説明していく。なお、本実施例では情報処理装置及び画像処理装置の一例として複合機を例に説明するが、他の装置又は機器等であってもよい。
図1は本発明による複合機の一例のハードウェア構成図である。複合機100は、コントローラボード101,オペポート109,プロッタ110,スキャナ111,NVRAM112及びHDD113を含む構成である。コントローラボード101は、CPU102,ROM103,RAM104,LANコントローラ105,DCR106,TPM107,USBフラッシュメモリ108,OCR501を含む構成である。
コントローラボード101は、複合機100の全体制御を行うマザーボード(基盤)である。CPU102は演算処理を行う。ROM103はプログラムを格納する。RAM104はプログラムを動作し、又は一時的にデータを格納する。LANコントローラ105はイーサネット(登録商標)や無線LAN等のネットワークと接続する。DCR106は画情報(ビットマップ)を電子文書に変換する。
TPM107はコントローラボード101に直付けされるチップで実現される。特開2004−282391号公報には、TCPA(Trusted Computing Platform Alliance)の仕様に基づいたPCにおける、TPM(Trusted Platform Module )を用いた情報の暗号化について記載されている。TPM107はセキュアメモリの一例である。USBフラッシュメモリ108は不揮発性メモリの一例である。OCR501は印刷された文字情報を読み取り、符号化するものである。
オペポート109は、ユーザ操作入出力を行う。プロッタ110は、紙に画情報を印刷する。スキャナ111は、紙から画情報を読み取る。NVRAM112は、不揮発性メモリ及びストレージデバイスの一例である。NVRAM112は、各種パラメータを保持する。HDD(ハードディスクドライブ)113はアドレス帳や画情報などの大量のデータを保持する。HDD113はストレージデバイスの一例である。
複合機100は、TPM107の内部に暗号鍵B及びCを暗号化又は復号するための暗号鍵Aを保存している。また、複合機100はUSBフラッシュメモリ108に、暗号鍵Aで暗号化された状態の暗号鍵B及びCを保存している。暗号鍵BはNVRAM112を暗号化又は復号するためのものである。暗号鍵CはHDD113を暗号化又は復号するためのものである。
図2は本発明による複合機の一例のソフトウェア構成図である。複合機100は、OS114,全体制御ソフトウェア(CTL)115,コピーソフトウェア,プリンタソフトウェア,ファックスソフトウェア,スキャナソフトウェア及びドキュメントボックスソフトウェアから成るアプリケーション制御ソフトウェア116を含む構成である。
OS114はソフトウェアを動作させるためのオペレーティングシステムである。CTL115は各アプリケーション制御ソフトウェア116に対して、データの集計、受け渡しを行うソフトウェアである。アプリケーション制御ソフトウェア116は複合機100の各アプリケーションを制御するソフトウェアである。
図1及び図2に示した複合機100は例えば図3及び図4に示すように起動する。図3は本発明による複合機の起動手順を表したフローチャートである。図4は本発明による複合機の起動手順を表したシーケンス図である。
まず、図3のフローチャートでは、複合機100の電源がONされると、ステップS1に進み、CTL115がTPM107から暗号鍵Aを取得したあと、USBフラッシュメモリ108に暗号鍵が設定されているか判定する。暗号鍵が設定されていれば(S2においてYES)、CTL115はステップS3に進み、USBフラッシュメモリ108に保存されている、暗号鍵Aによって暗号化された状態の暗号鍵B及びCを、暗号鍵Aを用いて復号する。
ステップS4に進み、CTL115は復号した暗号鍵BをUSBフラッシュメモリ108から取得し、暗号鍵Bを用いてNVRAM112を復号する。また、CTL115はステップS5に進み、復号した暗号鍵CをUSBフラッシュメモリ108から取得し、その暗号鍵Bを用いてHDD113を復号する。ステップS8に進み、複合機100はアプリケーション制御ソフトウェア116によって各アプリケーションを起動する。
暗号鍵が設定されていなければ(S2においてNO)、CTL115はNVRAM112及びHDD113が暗号化されていないと判定する。ステップS6に進み、CTL115はNVRAM112から各種パラメータを読み出す。また、ステップS7に進み、CTL115はHDD113からデータを読み出す。ステップS8に進み、複合機100はアプリケーション制御ソフトウェア116によって各アプリケーションを起動する。
図4のシーケンス図は、NVRAM112及びHDD113が暗号化されているときの起動手順を表している。まず、図4のシーケンス図では、複合機100の電源がONされると、ステップS11及びS12において、CTL115がTPM107から暗号鍵Aを取得する。ステップS13に進み、CTL115はUSBフラッシュメモリ108に保存されている、暗号鍵Aによって暗号化された状態の暗号鍵B及びCを、暗号鍵Aを用いて復号する。
ステップS14に進み、CTL115は復号した暗号鍵B及びCをUSBフラッシュメモリ108から取得する。ステップS15に進み、CTL115は暗号鍵Bを用いてNVRAM112を復号する。ステップS16に進み、CTL115は暗号鍵Cを用いてHDD113を復号する。そして、複合機100はアプリケーション制御ソフトウェア116によって各アプリケーションを起動する。
ここでは、本発明の理解を容易とするため、複合機100のコントローラボード101の交換時に生じる問題点について説明する。図5はコントローラボードを交換した複合機の一例のハードウェア構成図である。
図5に示すように、コントローラボード101を交換した複合機100では、USBフラッシュメモリ108が初期化された状態となっており、暗号鍵Aで暗号化された状態の暗号鍵B及びCが保存されていない。したがって、コントローラボード101を交換した複合機100では、NVRAM112及びHDD113に暗号鍵B及びCで暗号化されて格納されているパラメータやデータを復号できないため、NVRAM112及びHDD113に暗号化されて格納されているパラメータやデータを復旧することができないという問題があった。結果として、コントローラボード101を交換した複合機100では、NVRAM112及びHDD113が故障していなくても、NVRAM112及びHDD113を初期化しなければならなかった。
なお、TPM107は暗号鍵B及びCを暗号化又は復号するための暗号鍵Aと異なる暗号鍵A'を保存している。TPM107が保存している暗号鍵A'は例えばコントローラボード101毎に異なる。
図6は本発明によるデータ復旧方法を表した概念図である。図6の上段はコントローラボード101の交換前の複合機100を表している。図6の下段はコントローラボード101の交換後の複合機100を表している。
本発明による複合機100は、コントローラボード101が正常動作している間に、USBフラッシュメモリ108に保存されている暗号鍵B及びCを、操作パネル等により外部出力しておく。そして、コントローラボード101の交換後、本発明による複合機100は外部出力しておいた暗号鍵B及びCを操作パネル等により内部入力することで、USBフラッシュメモリ108へ暗号鍵B及びCをリストアする。
従って、本発明による複合機100では、コントローラボード101の交換後であってもNVRAM112及びHDD113に暗号鍵B及びCで暗号化されて格納されているパラメータやデータを復号できる。
図7は本発明による複合機の暗号鍵設定手順を表したフローチャートである。操作パネルやネットワーク経由で鍵変更指示(暗号鍵b,c→暗号鍵B,C)を受け取ると、CTL115はステップS21に進み、TPM107から暗号鍵Aを取得する。CTL115はUSBフラッシュメモリ108に保存されている、暗号鍵Aによって暗号化された状態の暗号鍵b及びcを、暗号鍵Aを用いて復号する。CTL115は、復号した暗号鍵b及びcをUSBフラッシュメモリ108から取得する。CTL115は暗号鍵bを用いてNVRAM112を復号する。また、CTL115は暗号鍵cを用いてHDD113を復号する。
ステップS22に進み、CTL115は新しい暗号鍵B及びCを、操作パネルやネットワーク経由で外部出力しておく。ステップS23に進み、CTL115は暗号鍵B及びCの外部出力が成功した場合(S23においてYES)、ステップS24に進み、新しい暗号鍵B及びCでNVRAM112及びHDD113を再び暗号化する。そして、ステップS24からステップS25に進み、CTL115は操作パネルに操作画面を表示させて暗号鍵の設定を終了する。
一方、CTL115はユーザキャンセル等、何らかの原因で暗号鍵B及びCの外部出力が失敗した場合(S23においてNO)、ステップS26に進み、操作パネルにエラー画面を表示する。ステップS26からステップS27に進み、CTL115は操作パネルに暗号鍵の設定失敗画面を表示する。
図8のシーケンス図は、新しい暗号鍵B及びCの外部出力が成功したときの暗号鍵設定手順を表している。ステップS31では、CTL115が、操作パネルやネットワーク経由で鍵変更指示(暗号鍵b,c→暗号鍵B,C)を受け取る。CTL115はステップS32及びS33に進み、TPM107から暗号鍵Aを取得する。
ステップS34及びS35に進み、CTL115はUSBフラッシュメモリ108に保存されている、暗号鍵Aによって暗号化された状態の暗号鍵b及びcを、暗号鍵Aを用いて復号し、復号した暗号鍵b及びcをUSBフラッシュメモリ108から取得する。CTL115はステップS36及びS37に進み、暗号鍵b及びcを用いてNVRAM112及びHDD113を復号する。
ステップS38及びS39に進み、CTL115は新しい暗号鍵B及びCを外部デバイス117に外部出力する。暗号鍵B及びCの外部出力が成功したため、CTL115はステップS40及びS41に進み、暗号鍵B及びCを暗号鍵Aで暗号化した後、USBフラッシュメモリ108に保存する。
そして、ステップS42及びS43に進み、CTL115は新しい暗号鍵B及びCでNVRAM112及びHDD113を再び暗号化する。そして、CTL115はステップS44に進み、新しい暗号鍵B及びCの設定が成功したため、操作パネルへ操作画面を表示させて暗号鍵の設定を終了する。
図9は複合機における起動手順を表したフローチャートである。図10はコントローラボード交換後の複合機における起動手順を表したシーケンス図である。
複合機100の電源がONされると、ステップS51及びS52に進み、CTL115はTPM107から暗号鍵A又はA'を取得したあと、USBフラッシュメモリ108に暗号鍵が設定されているか判定する。
暗号鍵が設定されていれば(S52においてYES)、CTL115はステップS53に進み、USBフラッシュメモリ108に保存されている、暗号鍵Aによって暗号化された状態の暗号鍵B及びCを、暗号鍵Aを用いて復号する。
ステップS54に進み、CTL115は復号した暗号鍵BをUSBフラッシュメモリ108から取得し、暗号鍵Bを用いてNVRAM112を復号する。また、CTL115はステップS55に進み、復号した暗号鍵CをUSBフラッシュメモリ108から取得してHDD113を復号する。ステップS65に進み、複合機100はアプリケーション制御ソフトウェア116によって各アプリケーションを起動する。
暗号鍵が設定されていなければ(S52においてNO)、CTL115はNVRAM112及びHDD113が暗号化されていないと判定する。例えばコントローラボード101の交換後、USBフラッシュメモリ108には暗号鍵が設定されていない。
ステップS56に進み、CTL115はNVRAM112から各種パラメータを平文として読み出す。また、ステップS57に進み、CTL115はHDD113からデータを平文として読み出す。
ステップS58に進み、CTL115はNVRAM112からの各種パラメータの読み出し、及びHDD113からのデータの読み出しに読み込みエラーが発生したか否かを判定する。例えばコントローラボード101の交換後、NVRAM112及びHDD113に格納されているパラメータやデータが暗号化されていれば、平文として読み出すと読み出しエラーが発生する。読み出しエラーが発生しなければ(S58においてNO)、CTL115はステップS65に進み、アプリケーション制御ソフトウェア116によって各アプリケーションを起動する。
読み出しエラーが発生すれば(S58においてYES)、CTL115はステップS59に進み、暗号鍵のリストア又はストレージデバイスの初期化を選択させる図11に示すような画面1000を操作パネルに表示する。
図11は暗号鍵のリストア又はストレージデバイスの初期化を選択させる画面の一例のイメージ図である。画面1000には、暗号鍵のリストアを選択するボタン1001及びストレージデバイスの初期化を選択するボタン1002が含まれている。ボタン1001がユーザにより押下されると、CTL115は図12に示すような画面1100を操作パネルに表示する。
図12は暗号鍵をリストアする為の画面の一例のイメージ図である。図12の画面1100には、NVRAM112及びHDD113の暗号鍵を入力する為の入力欄が含まれている。ユーザは画面1100が操作パネルに表示されている間に、手入力や外部デバイス117等を利用して外部からNVRAM112及びHDD113の暗号鍵を入力する。
外部からNVRAM112及びHDD113の暗号鍵が入力されると、CTL115はステップS60及びS61に進み、入力された暗号鍵でNVRAM112及びHDD113の復号を試みる。
ステップS62に進み、復号エラーが発生しなければ(S62においてNO)、CTL115はステップS63に進み、画面1100に入力されたNVRAM112及びHDD113の暗号鍵を新しい暗号鍵として、暗号鍵A'で暗号化した後、USBフラッシュメモリ108に保存する。そして、CTL115はステップS65に進み、アプリケーション制御ソフトウェア116によって各アプリケーションを起動する。
なお、復号エラーが発生すれば(S62においてYES)、CTL115はステップS59に戻り、再び画面1000を操作パネルに表示する。画面1000のボタン1002がユーザにより押下されると、CTL115はステップS64に進み、NVRAM112及びHDD113を初期化する。CTL115はステップS65に進み、アプリケーション制御ソフトウェア116によって各アプリケーションを起動する。
バックアップしておいた暗号鍵の紛失や暗号鍵をバックアップしていない場合は、NVRAM112及びHDD113に暗号化されて格納されているパラメータやデータを復旧することができない為、NVRAM112及びHDD113を初期化するかをユーザに選択させるボタン1002を画面1000に設けている。
なお、画面1100ではNVRAM112及びHDD113の双方が暗号化されている例を示しているが、どちらか一方が暗号化されるようにしてもよい。この場合、暗号化されていないストレージデバイスは画面1100に含まれていなくてもよい。また、暗号化されていないストレージデバイスの復号をスキップするようにしてもよい。
図10のシーケンス図は、コントローラボード交換後の複合機において、新しい暗号鍵をリストアするときの起動手順を表している。複合機100の電源がONされると、CTL115はTPM107から暗号鍵A'を取得したあと、USBフラッシュメモリ108に暗号鍵が設定されているか判定する。
コントローラボード101の交換後であるため、USBフラッシュメモリ108には暗号鍵が設定されていない。したがって、CTL115はNVRAM112及びHDD113が暗号化されていないと判定する。
ステップS71に進み、CTL115はNVRAM112及びHDD113から各種パラメータ及びデータを平文として読み出す。コントローラボード101の交換後、NVRAM112及びHDD113に格納されているパラメータやデータは暗号化されているため、平文として読み出すと読み出しエラーが発生する。
読み出しエラーが発生した為、CTL115はステップS73及びS74に進み、暗号鍵のリストア又はストレージデバイスの初期化を選択させる図11に示すような画面1000を操作パネル118に表示する。ボタン1001がユーザにより押下されると、CTL115はステップS75及びS76に進み、暗号鍵B及びCがバックアップされている外部デバイス117から暗号鍵B及びCを読み出す。なお、CTL115は図12に示すような画面1100を操作パネル118に表示してNVRAM112及びHDD113の暗号鍵を入力させてもよい。
ステップS77及びS78に進み、外部デバイス117から読み出した暗号鍵B及びCでNVRAM112及びHDD113の復号を試みる。復号エラーが発生しない為、CTL115はステップS79及びS80に進み、外部デバイス117から読み出した暗号鍵B及びCを新しい暗号鍵として、暗号鍵A'で暗号化した後、USBフラッシュメモリ108に保存する。そして、CTL115は、アプリケーション制御ソフトウェア116によって各アプリケーションを起動する。
上記説明では、USBフラッシュメモリ108に、暗号鍵Aで暗号化された状態の暗号鍵B及びCを保存しているが、例えば図13のような構成も考えられる。図13は暗号鍵の格納場所を示した概念図である。図13では、NVRAM112に、暗号鍵Bで暗号化された状態のHDD113の暗号鍵Cを保存している。
このように、本発明による複合機100は、複数のストレージデバイスの中で最も信頼できるセキュアなストレージデバイスに他のストレージデバイスの暗号鍵を暗号化された状態で保存することもできる。NVRAM112に、暗号鍵Bで暗号化された状態のHDD113の暗号鍵Cを保存することで、複合機100は暗号鍵Cをバックアップしておく必要がなくなる。
図13の複合機100はコントローラボード101上のUSBフラッシュメモリ108内にもHDD113の暗号鍵Cを格納しているが、USBフラッシュメモリ108内に暗号鍵Cを格納していなくても正常時およびコントローラボード101の交換時にHDD113を復旧できる。ただし、USBフラッシュメモリ108内に暗号鍵Cを格納しておくことで、複合機100はコントローラボード101に異常が無く、NVRAM112に異常があった場合においてもHDD113を復旧できるというメリットがある。
図14は暗号鍵の格納場所を示した他の例の概念図である。図14では、HDD113の記憶領域が複数のパーティションに分かれており、そのバーティション毎に、それぞれ別の暗号鍵C1〜Cnで暗号化されている。なお、HDD113は複数のユーザ毎に暗号鍵C1〜Cnを分けて、その暗号鍵C1〜Cnで暗号化されてもよい。複合機100はNVRAM112に、暗号鍵Bで暗号化された状態のHDD113の暗号鍵C1〜Cnを保存している。
図13のように暗号鍵Cを保存している複合機100は、図15のフローチャートのように起動する。図15は、複合機における起動手順を表したフローチャートである。
複合機100の電源がONされると、ステップS81及びS82に進み、CTL115はTPM107から暗号鍵A又はA'を取得したあと、USBフラッシュメモリ108に暗号鍵が設定されているか判定する。
暗号鍵が設定されていれば(S82においてYES)、CTL115はステップS83に進み、USBフラッシュメモリ108に保存されている、暗号鍵Aによって暗号化された状態の暗号鍵B及びCを、暗号鍵Aを用いて復号する。
ステップS84に進み、CTL115は復号した暗号鍵BをUSBフラッシュメモリ108から取得し、暗号鍵Bを用いてNVRAM112を復号する。また、CTL115はステップS85に進み、復号した暗号鍵CをUSBフラッシュメモリ108から取得してHDD113を復号する。ステップS96に進み、複合機100はアプリケーション制御ソフトウェア116によって各アプリケーションを起動する。
暗号鍵が設定されていなければ(S82においてNO)、CTL115はNVRAM112及びHDD113が暗号化されていないと判定する。例えばコントローラボード101の交換後、USBフラッシュメモリ108には暗号鍵が設定されていない。
ステップS86に進み、CTL115はNVRAM112から各種パラメータを平文として読み出す。また、ステップS87に進み、CTL115はHDD113からデータを平文として読み出す。
ステップS88に進み、CTL115はNVRAM112からの各種パラメータの読み出し、及びHDD113からのデータの読み出しに読み込みエラーが発生したか否かを判定する。例えばコントローラボード101の交換後、NVRAM112及びHDD113に格納されているパラメータやデータが暗号化されていれば、平文として読み出すと読み出しエラーが発生する。読み出しエラーが発生しなければ(S88においてNO)、CTL115はステップS96に進み、アプリケーション制御ソフトウェア116によって各アプリケーションを起動する。
読み出しエラーが発生すれば(S88においてYES)、CTL115はステップS89に進み、暗号鍵のリストア又はストレージデバイスの初期化を選択させる図11に示すような画面1000を操作パネルに表示する。暗号鍵のリストアが選択されると、CTL115はステップS90に進み、外部から入力されたNVRAM112の暗号鍵でNVRAM112の復号を試みる。
ステップS91に進み、復号エラーが発生しなければ(S91においてNO)、CTL115はステップS92に進み、画面1100に入力されたNVRAM112の暗号鍵を新しい暗号鍵として、暗号鍵A'で暗号化したあと、USBフラッシュメモリ108に保存する。
ステップS93に進み、CTL115はNVRAM112からHDD113の暗号鍵Cを取り出す。ステップS94に進み、CTL115は暗号鍵CでHDD113の復号を行う。CTL115は、HDD113の暗号鍵Cを新しい暗号鍵として、暗号鍵A'で暗号化したあと、USBフラッシュメモリ108に保存する。そして、CTL115はステップS96に進み、アプリケーション制御ソフトウェア116によって各アプリケーションを起動する。
なお、復号エラーが発生すれば(S91においてYES)、CTL115はステップS89に戻り、再び画面1000を操作パネルに表示する。ストレージデバイスの初期化が選択されると、CTL115はステップS95に進み、NVRAM112及びHDD113を初期化する。そして、CTL115はステップS96に進み、アプリケーション制御ソフトウェア116によって各アプリケーションを起動する。
暗号鍵B及びCは、例えば図16のような構成としてもよい。図16は暗号鍵の構成を示した概念図である。図16では、NVRAM112の暗号化に、例えば機種共通の固定鍵と、暗号鍵Bとを利用する。
機種共通の固定鍵は製造工程でコントローラボード101に格納される。固定鍵を利用すると、暗号鍵Bは鍵長が短くなる。例えば鍵長が128bitの場合、機種共通の固定値を64bitとすることで、暗号鍵Bは64bitとなり、リストア時に8バイト(11文字)を入力すればよい。
図17は、本発明によるデータ復旧方法を表した概念図である。図17の上段はコントローラボード101の交換前の複合機100を表している。図17の下段はコントローラボード101の交換後の複合機100を表している。
本発明による複合機100は、コントローラボード101が正常動作している間に、USBフラッシュメモリ108に保存されている暗号鍵B及びCを、SDカードやUSBメモリ等の外部メディア119へ格納しておく。暗号鍵B及びCを格納する際、複合機100はユーザに暗号鍵B及びCのリストア用のパスワードを入力してもらい、パスワードを利用して暗号鍵B及びCを暗号化する。
コントローラボード101の交換後、本発明による複合機100は外部メディア119へ格納しておいた暗号鍵B及びCをリストアする際、ユーザによって入力された暗号鍵B及びCのリストア用のパスワードを利用して暗号鍵B及びCを復号する。図17の複合機100は外部メディア119に暗号鍵B及びCを格納しているが、外部メディア119に代えて外部サーバを利用するようにしてもよい。
従って、本発明による複合機100では、バックアップされた暗号鍵B及びCが暗号化されているので、万一盗難にあっても暗号鍵B及びCが漏洩しにくくなる。
図18は、本発明によるデータ復旧方法を表した概念図である。図18の上段はコントローラボード101の交換前の複合機100を表している。図18の下段はコントローラボード101の交換後の複合機100を表している。
本発明による複合機100は、コントローラボード101が正常動作している間に、USBフラッシュメモリ108に保存されている暗号鍵B及びCを、外部サーバ121へ格納しておく。暗号鍵B及びCを格納する際、複合機100はユーザに暗号鍵B及びCのリストア用のパスワードを入力してもらい、パスワードを利用して暗号鍵B及びCを暗号化する。また、複合機100はコントローラボード101のシリアル番号を外部サーバ121に送信する。
コントローラボード101のシリアル番号は、工場出荷時にコントローラボード101上の不揮発性メモリ内に格納されると共に、コントローラボード101上に印刷されているものとする。
なお、コントローラボード101のシリアル番号は、コントローラボード101上に印刷しておく他、RFIDタグやICカードチップに格納しておいてもよい。コントローラボード101の交換時、コントローラボード101が壊れていることが全体である為、コントローラボード101のシリアル番号はコントローラボード101が壊れていても読み取ることができるようにする。なお、ICカードチップにコントローラボード101のシリアル番号を格納しておく場合は改竄も防止できる。
外部サーバ121は、図19のようなサーバテーブルにより、コントローラボード101のシリアル番号と、パスワードにより暗号化された暗号鍵B及びCとを対応付けて管理する。図19はサーバテーブルの一例の構成図である。
コントローラボード101の交換後、本発明による複合機100は外部サーバ121へ格納しておいた暗号鍵B及びCをリストアする際、交換前のコントローラボード101に印刷されているシリアル番号及び外部サーバ121のアドレスを管理者等によって入力される。
交換前のコントローラボード101に印刷されているシリアル番号及び外部サーバ121のアドレスを入力されると、複合機100は管理者等によって入力されたシリアル番号に対応する、暗号化された暗号鍵B及びCを取得する。複合機100は、ユーザによって入力された暗号鍵B及びCのリストア用のパスワードを利用して、暗号鍵B及びCを復号する。
図18の複合機100は、外部サーバ121に暗号鍵B及びCを格納しているが、外部サーバ121に代えて外部メディア119を利用するようにしてもよい。外部メディア119は図19のサーバテーブルと同様なテーブルを利用することで、複数の複合機100の暗号化された暗号鍵B及びCを格納できる。
なお、外部サーバ121はメーカが用意したメンテナンスサービス用のサーバであってもよい。外部サーバ121のアドレスは、製造工程でコントローラボード101上の不揮発性メモリに格納しておいてもよい。
従って、本発明による複合機100では、バックアップされた暗号鍵B及びCが、外部サーバ121に集約されるので、複数の複合機100を導入した場合のメンテナンスや暗号鍵B及びCの管理が容易となる。
図20は、複合機における起動手順を表したフローチャートである。複合機100の電源がONされると、ステップS101及びS102に進み、CTL115はTPM107から暗号鍵A又はA'を取得したあと、USBフラッシュメモリ108に暗号鍵が設定されているか判定する。
暗号鍵が設定されていれば(S102においてYES)、CTL115はステップS103に進み、USBフラッシュメモリ108に保存されている、暗号鍵Aによって暗号化された状態の暗号鍵B及びCを、暗号鍵Aを用いて復号する。
ステップS104に進み、CTL115は復号した暗号鍵BをUSBフラッシュメモリ108から取得し、暗号鍵Bを用いてNVRAM112を復号する。CTL115はステップS105に進み、復号した暗号鍵CをUSBフラッシュメモリ108から取得してHDD113を復号する。ステップS118に進み、複合機100はアプリケーション制御ソフトウェア116によって各アプリケーションを起動する。
暗号鍵が設定されていなければ(S102においてNO)、CTL115はNVRAM112及びHDD113が暗号化されていないと判定する。例えばコントローラボード101の交換後、USBフラッシュメモリ108には暗号鍵が設定されていない。
ステップS106に進み、CTL115はNVRAM112から各種パラメータを平文として読み出す。ステップS107に進み、CTL115はHDD113からデータを平文として読み出す。
ステップS108に進み、CTL115はNVRAM112からの各種パラメータの読み出し、及びHDD113からのデータの読み出しに読み込みエラーが発生したか否かを判定する。例えばコントローラボード101の交換後、NVRAM112及びHDD113に格納されているパラメータやデータが暗号化されていれば、平文として読み出すと読み出しエラーが発生する。
読み出しエラーが発生しなければ(S108においてNO)、CTL115はステップS118に進み、アプリケーション制御ソフトウェア116によって各アプリケーションを起動する。
読み出しエラーが発生すれば(S108においてYES)、CTL115はステップS109に進み、暗号鍵のリストア又はストレージデバイスの初期化を選択させる図11に示すような画面1000を操作パネルに表示する。暗号鍵のリストアが選択されると、CTL115は例えば交換前のコントローラボード101に印刷されているシリアル番号及び外部サーバ121のアドレスを入力させる画面を操作パネル118等に表示し、管理者等にシリアル番号及び外部サーバ121のアドレスを入力させる。
ステップS110に進み、CTL115は管理者等によって入力されたシリアル番号に対応する、暗号化された暗号鍵B及びCを外部サーバ121から取得できたか否かを判定する。暗号化された暗号鍵B及びCを外部サーバ121から取得できれば(S110においてYES)、CTL115はステップS111に進み、ユーザに、暗号鍵B及びCのリストア用のパスワードを入力させる。CTL115はユーザによって入力された暗号鍵B及びCのリストア用のパスワードを利用して、暗号鍵B及びCを復号する。
ステップS112に進み、CTL115は復号された暗号鍵BでNVRAM112の復号を試みる。また、ステップS113に進み、CTL115は復号された暗号鍵CでHDD113の復号を試みる。
ステップS114に進み、復号エラーが発生しなければ(S114においてNO)、CTL115はステップS115に進み、ステップS111で復号された暗号鍵B及びCを新しい暗号鍵として、暗号鍵A'で暗号化したあと、USBフラッシュメモリ108に保存する。CTL115はステップS118に進み、アプリケーション制御ソフトウェア116によって各アプリケーションを起動する。
なお、復号エラーが発生すれば(S114においてYES)、CTL115はステップS109に戻り、再び画面1000を操作パネルに表示する。ストレージデバイスの初期化が選択されると、CTL115はステップS117に進み、NVRAM112及びHDD113を初期化する。CTL115はステップS118に進み、アプリケーション制御ソフトウェア116によって各アプリケーションを起動する。もし、暗号化された暗号鍵B及びCを外部サーバ121から取得できなければ(S110においてNO)、CTL115はステップS116に進み、エラー終了する。
図21は、本発明によるデータ復旧方法を表した概念図である。図21の上段はコントローラボード101の交換前の複合機100を表している。図21の下段はコントローラボード101の交換後の複合機100を表している。
本発明による複合機100は、コントローラボード101が正常動作している間に、USBフラッシュメモリ108に保存されている暗号鍵B及びCを、外部サーバ121へ格納しておく。暗号鍵B及びCを格納する際、複合機100はユーザに暗号鍵B及びCのリストア用のパスワードを入力してもらい、パスワードを利用して暗号鍵B及びCを暗号化する。また、複合機100はコントローラボード101のシリアル番号を外部サーバ121に送信する。例えば外部サーバ121は、メーカの用意したメンテナンスサービス用のサーバである。
外部サーバ121は複合機100から暗号鍵のリストア要求があると、そのリストア要求を認証する。外部サーバ121はリストア要求の認証の為の情報を図22に示すようなサーバテーブルにより保持している。図22はサーバテーブルの一例の構成図である。図22のサーバテーブルは、コントローラボード101のシリアル番号と、暗号鍵B及びCを暗号化したパスワードと、パスワードにより暗号化された暗号鍵B及びCとを対応付けて管理する。
例えば図21の外部サーバ121ではリストア要求の認証に、暗号鍵B及びCを暗号化したパスワードを利用している。リストア要求の認証には、暗号鍵B及びCを暗号化したパスワードではない独立した認証パスワードを利用するようにしてもよい。リストア要求の認証には、TPM107内の暗号鍵によるチャレンジ−レスポンス認証や、ハッシュ認証等を利用するようにしてもよい。なお、外部サーバ121は、リストア要求の認証が失敗した複合機100に、暗号化された暗号鍵B及びCを渡さない。
リストア要求の認証が成功すると、外部サーバ121は、複合機100から受信したコントローラボード101のシリアル番号に対応する、暗号化された暗号鍵B及びCを取得する。複合機100はユーザにより入力された暗号鍵B及びCのリストア用のパスワードを利用して、暗号鍵B及びCを復号する。
従って、本発明による複合機100では、リストア時に認証を行うため、総当たり攻撃や辞書攻撃など、暗号鍵解読の為の攻撃を検出できる。
図23は、本発明によるデータ復旧方法を表した概念図である。図23はコントローラボード101の交換前の複合機100を表している。図23では、HDD113の記憶領域が複数のパーティションに分かれており、そのバーティション毎に、それぞれ別の暗号鍵C1〜Cnで暗号化されている。HDD113は複数のユーザ毎に暗号鍵C1〜Cnを分けて、その暗号鍵C1〜Cnで暗号化されてもよい。
本発明による複合機100は、コントローラボード101が正常動作している間に、USBフラッシュメモリ108に保存されている暗号鍵B及びC1〜Cnを、異なる複数の外部メディア119へ格納しておく。暗号鍵B及びC1〜Cnを格納する際、複合機100はユーザに暗号鍵B及びC1〜Cnのリストア用のパスワード0〜nを入力してもらうことで、パスワードを利用して暗号鍵B及びC1〜Cnを暗号化する。
コントローラボード101の交換後、本発明による複合機100は外部メディア119へ格納しておいた暗号鍵B及びC1〜Cnをリストアする際、ユーザによって入力されたリストア用のパスワード0〜nを利用して暗号鍵B及びC1〜Cnを復号する。図23では複数の外部メディア119を利用する例を示したが、例えば1つの外部メディア119の異なるディレクトリを利用してもよい。
従って、本発明による複合機100では、ユーザ毎に暗号鍵C1〜Cnをバックアップすることができるので、管理者であってもユーザの暗号鍵C1〜Cnを解析できない。
図24は、本発明によるデータ復旧方法を表した概念図である。図24はコントローラボード101の交換前の複合機100を表している。図24では、HDD113の記憶領域が複数のパーティションに分かれており、そのバーティション毎に、それぞれ別の暗号鍵C1〜Cnで暗号化されている。HDD113は複数のユーザ毎に暗号鍵C1〜Cnを分けて、その暗号鍵C1〜Cnで暗号化されている。
本発明による複合機100は、コントローラボード101が正常動作している間に、USBフラッシュメモリ108に保存されている暗号鍵Bを1つの外部メディア119に格納すると共に、暗号鍵C1〜Cnを異なる複数のメールサーバ122に送信する。暗号鍵Bを格納する際、複合機100はユーザに暗号鍵Bのリストア用のパスワード0を入力してもらうことで、パスワード0を利用して暗号鍵Bを暗号化する。
また、暗号鍵C1〜Cnを送信する際、複合機100はユーザに暗号鍵C1〜Cnのリストア用のパスワード1〜nを入力してもらうことで、パスワード1〜nを利用して暗号鍵C1〜Cnを暗号化する。メールサーバ122は、暗号化された暗号鍵C1〜Cnを各ユーザ宛にメール転送する。
図25は、ユーザ宛に転送したメールのイメージ図である。なお、暗号化された暗号鍵C1〜Cnは例えばメールの本文に記載したり、添付ファイルとしてメールに添付したりすることが考えられる。
コントローラボード101の交換後、本発明による複合機100は外部メディア119へ格納しておいた暗号鍵Bをリストアする際、ユーザによって入力されたリストア用のパスワード0を利用して暗号鍵Bを復号する。また、本発明による複合機100はユーザ宛にメール転送しておいた暗号鍵C1〜Cnをリストアする際、ユーザからの受信メールから暗号鍵C1〜Cnを取得し、リストア用のパスワード1〜nを利用して暗号鍵C1〜Cnを復号する。
従って、本発明による複合機100では、ユーザ毎に暗号鍵C1〜Cnをメール転送できるので、ユーザが暗号鍵C1〜Cnのバックアップを保存できる。
図26は本発明による複合機の暗号鍵設定手順を表したフローチャートである。CTL115はステップS121において、操作パネルやネットワーク経由で鍵変更指示(暗号鍵b,c→暗号鍵B,C)を受け取る。CTL115はステップS122に進み、TPM107から暗号鍵Aを取得する。CTL115はUSBフラッシュメモリ108に保存されている、暗号鍵Aによって暗号化された状態の暗号鍵b及びcを、暗号鍵Aを用いて復号する。CTL115は、復号した暗号鍵b及びcをUSBフラッシュメモリ108から取得する。CTL115は暗号鍵bを用いてNVRAM112を復号する。また、CTL115は暗号鍵cを用いてHDD113を復号する。
ステップS123に進み、CTL115は暗号鍵B,CをBASE64で変換する。ステップS124に進み、CTL115は新しい暗号鍵Bを、操作パネルやネットワーク経由で外部出力しておく。
ステップS125に進み、CTL115は暗号鍵Bの外部出力が成功した場合(S125においてYES)、ステップS126に進み、暗号鍵C1〜Cnを各ユーザ宛にメール転送する。ステップS127に進み、CTL115は暗号鍵C1〜Cnのメール送信が成功した場合(S127においてYES)、ステップS128に進み、新しい暗号鍵B及び暗号鍵C1〜CnでNVRAM112及びHDD113を再び暗号化する。そして、ステップS128からステップS129に進み、CTL115は操作パネルに操作画面を表示させて暗号鍵の設定を終了する。
一方、CTL115はユーザキャンセル等、何らかの原因で暗号鍵Bの外部出力が失敗した場合(S125においてNO)、ステップS130に進み、操作パネルにエラー画面を表示する。ステップS131に進み、CTL115はエラー状況が回復したか否かを判定する。エラー状況が回復しなければ(S131においてNO)、CTL115はステップS132に進み、操作パネルに暗号鍵の設定失敗画面を表示する。なお、エラー状況が回復すれば(S131においてYES)、CTL115はステップS126に進む。
また、CTL115は暗号鍵C1〜Cnのメール送信が失敗した場合(S127においてNO)、ステップS133に進み、操作パネルにエラー画面を表示する。ステップS134に進み、CTL115はエラー状況が回復したか否かを判定する。エラー状況が回復しなければ(S134においてNO)、CTL115はステップS135に進み、操作パネルに暗号鍵の設定失敗画面を表示する。なお、エラー状況が回復すれば(S134においてYES)、CTL115はステップS128に進む。
図27は複合機における起動手順を表したフローチャートである。ステップS141ではユーザから復旧メールを受信する。ステップS142に進み、CTL115はUSBフラッシュメモリ108のチェックを行う。暗号鍵の復旧が必要であれば(S143においてYES)、CTL115はステップS144に進み、復旧メールから取得した暗号鍵でHDD113を復号する。復号エラーが発生しなければ(S145においてNO)、CTL15は新しい鍵をUSBフラッシュメモリ108に保存する。
なお、暗号鍵の復旧が必要でなく(S143においてNO)、又は復号エラーが発生すれば(S145においてYES)、CTL115はステップS147に進み、エラーメールをユーザに返信する。
従って、本発明による複合機100では、コントローラボード101の交換後であってもNVRAM112及びHDD113に暗号鍵B及びC1〜Cnで暗号化されて格納されているパラメータやデータを復号できる。
本発明は、具体的に開示された実施例に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。
本発明による複合機の一例のハードウェア構成図である。 本発明による複合機の一例のソフトウェア構成図である。 本発明による複合機の起動手順を表したフローチャートである。 本発明による複合機の起動手順を表したシーケンス図である。 コントローラボードを交換した複合機の一例のハードウェア構成図である。 本発明によるデータ復旧方法を表した概念図である。 本発明による複合機の暗号鍵設定手順を表したフローチャートである。 新しい暗号鍵の外部出力が成功したときの暗号鍵設定手順を表したシーケンス図である。 複合機における起動手順を表したフローチャートである。 コントローラボード交換後の複合機における起動手順を表したシーケンス図である。 暗号鍵のリストア又はストレージデバイスの初期化を選択させる画面の一例のイメージ図である。 暗号鍵をリストアする為の画面の一例のイメージ図である。 暗号鍵の格納場所を示した概念図である。 暗号鍵の格納場所を示した他の例の概念図である。 複合機における起動手順を表したフローチャートである。 暗号鍵の構成を示した概念図である。 本発明によるデータ復旧方法を表した概念図である。 本発明によるデータ復旧方法を表した概念図である。 サーバテーブルの一例の構成図である。 複合機における起動手順を表したフローチャートである。 本発明によるデータ復旧方法を表した概念図である。 サーバテーブルの一例の構成図である。 本発明によるデータ復旧方法を表した概念図である。 本発明によるデータ復旧方法を表した概念図である。 ユーザ宛に転送したメールのイメージ図である。 本発明による複合機の暗号鍵設定手順を表したフローチャートである。 複合機における起動手順を表したフローチャートである。
符号の説明
100 複合機
101 コントローラボード
102 CPU
103 ROM
104 RAM
105 LANコントローラ
106 DCR
107 TPM
108 USBフラッシュメモリ
109 オペポート
110 プロッタ
111 スキャナ
112 NVRAM
113 HDD
114 OS
115 全体制御ソフトウェア(CTL)
116 アプリケーション制御ソフトウェア116
117 外部デバイス
118 操作パネル
119 外部メディア
120 メディアIO
121 外部サーバ
122 メールサーバ
501 OCR

Claims (22)

  1. セキュアメモリに第1暗号鍵を格納し、前記第1暗号鍵で暗号化された第2暗号鍵を第1記憶装置に格納し、前記第2暗号鍵で暗号化されたデータを第2記憶装置に格納している情報処理装置のデータ復旧方法であって、
    前記第1暗号鍵を用いて前記第2暗号鍵を復号し、その第2暗号鍵を前記情報処理装置の外部にバックアップ鍵としてバックアップするバックアップステップと、
    前記第1暗号鍵が使用できないとき、前記バックアップ鍵を前記情報処理装置の内部にリストアするリストアステップと、
    前記情報処理装置の内部にリストアした前記バックアップ鍵を用いて、前記第2記憶装置に格納しているデータを復号する復号ステップと
    を有することを特徴とするデータ復旧方法。
  2. 前記バックアップステップは、操作者から入力されたパスワードによって前記第2暗号鍵を暗号化した後、脱着可能な第3記憶装置に前記バックアップ鍵としてバックアップすることを特徴とする請求項1記載のデータ復旧方法。
  3. 前記リストアステップは、前記パスワードによって前記バックアップ鍵を復号し、前記バックアップ鍵を前記情報処理装置の内部にリストアすることを特徴とする請求項2記載のデータ復旧方法。
  4. 前記バックアップステップは、操作者から入力されたパスワードによって前記第2暗号鍵を暗号化した後、ネットワーク経由で接続されたサーバに前記バックアップ鍵としてバックアップすることを特徴とする請求項1記載のデータ復旧方法。
  5. 前記リストアステップは、前記情報処理装置の識別情報を前記サーバへ送信し、前記識別情報に応じた前記バックアップ鍵を前記サーバから受信し、前記パスワードによって前記バックアップ鍵を復号して、前記バックアップ鍵を前記情報処理装置の内部にリストアすることを特徴とする請求項4記載のデータ復旧方法。
  6. 前記バックアップステップは、前記バックアップ鍵をユーザ毎又は前記第2記憶装置の領域毎にバックアップすることを特徴とする請求項1乃至5何れか一項記載のデータ復旧方法。
  7. 前記バックアップステップは、前記バックアップ鍵をユーザ毎に転送することを特徴とする請求項6記載のデータ復旧方法。
  8. 前記第2暗号鍵が複数あるとき、1つの前記第2暗号鍵を、前記情報処理装置の外部にバックアップ鍵としてバックアップし、1つの前記第2暗号鍵で残りの前記第2暗号鍵を暗号化して前記第2記憶装置に格納しておくことを特徴とする請求項1記載のデータ復旧方法。
  9. 前記第2暗号鍵は固定部分と可変部分とで構成され、前記リストアステップは前記第2暗号鍵の固定部分と、操作者から入力された前記第2暗号鍵の可変部分とに基づき、前記バックアップ鍵を生成し、そのバックアップ鍵を前記情報処理装置の内部にリストアすることを特徴とする請求項1記載のデータ復旧方法。
  10. 前記セキュアメモリは全体制御を行うコントローラボードに搭載されており、前記第1暗号鍵を読み出し専用不揮発領域に格納していることを特徴とする請求項1記載のデータ復旧方法。
  11. セキュアメモリに第1暗号鍵を格納し、前記第1暗号鍵で暗号化された第2暗号鍵を第1記憶装置に格納し、前記第2暗号鍵で暗号化されたデータを第2記憶装置に格納しているプロッタ及びスキャナの少なくとも一方を有する画像処理装置であって、
    前記第1暗号鍵を用いて前記第2暗号鍵を復号し、その第2暗号鍵を装置外部にバックアップ鍵としてバックアップするバックアップ手段と、
    前記第1暗号鍵が使用できないとき、前記バックアップ鍵を装置内部にリストアするリストア手段と、
    装置内部にリストアした前記バックアップ鍵を用いて、前記第2記憶装置に格納しているデータを復号する復号手段と
    を有することを特徴とする画像処理装置。
  12. 前記バックアップ手段は、操作者から入力されたパスワードによって前記第2暗号鍵を暗号化した後、脱着可能な第3記憶装置に前記バックアップ鍵としてバックアップすることを特徴とする請求項11記載の画像処理装置。
  13. 前記リストア手段は、前記パスワードによって前記バックアップ鍵を復号し、前記バックアップ鍵を前記画像処理装置の内部にリストアすることを特徴とする請求項12記載の画像処理装置。
  14. 前記バックアップ手段は、操作者から入力されたパスワードによって前記第2暗号鍵を暗号化した後、ネットワーク経由で接続されたサーバに前記バックアップ鍵としてバックアップすることを特徴とする請求項11記載の画像処理装置。
  15. 前記リストア手段は、自装置の識別情報を前記サーバへ送信し、前記識別情報に応じた前記バックアップ鍵を前記サーバから受信し、前記パスワードによって前記バックアップ鍵を復号して、前記バックアップ鍵を装置内部にリストアすることを特徴とする請求項14記載の画像処理装置。
  16. 前記バックアップ手段は、前記バックアップ鍵をユーザ毎又は前記第2記憶装置の領域毎にバックアップすることを特徴とする請求項11乃至15何れか一項記載の画像処理装置。
  17. 前記バックアップ手段は、前記バックアップ鍵をユーザ毎に転送することを特徴とする請求項16記載の画像処理装置。
  18. 前記第2暗号鍵が複数あるとき、1つの前記第2暗号鍵を、装置外部にバックアップ鍵としてバックアップし、1つの前記第2暗号鍵で残りの前記第2暗号鍵を暗号化して前記第2記憶装置に格納しておくことを特徴とする請求項11記載の画像処理装置。
  19. 前記第2暗号鍵は固定部分と可変部分とで構成され、前記リストアステップは前記第2暗号鍵の固定部分と、操作者から入力された前記第2暗号鍵の可変部分とに基づき、前記バックアップ鍵を生成し、そのバックアップ鍵を前記画像処理装置の内部にリストアすることを特徴とする請求項11記載の画像処理装置。
  20. 前記セキュアメモリは全体制御を行うコントローラボードに搭載されており、前記第1暗号鍵を読み出し専用不揮発領域に格納していることを特徴とする請求項11記載の画像処理装置。
  21. セキュアメモリに第1暗号鍵を格納し、前記第1暗号鍵で暗号化された第2暗号鍵を第1記憶装置に格納するように構成されており、前記第2暗号鍵で暗号化されたデータを格納している第2記憶装置,プロッタ及びスキャナの少なくとも一方を有する画像処理装置に含まれるコントローラボードであって、
    前記第1暗号鍵を用いて前記第2暗号鍵を復号し、その第2暗号鍵を前記画像処理装置の外部にバックアップ鍵としてバックアップするバックアップ手段と、
    前記第1暗号鍵が使用できないとき、前記バックアップ鍵を前記画像処理装置の内部にリストアするリストア手段と、
    前記画像処理装置の内部にリストアした前記バックアップ鍵を用いて、前記第2記憶装置に格納しているデータを復号する復号手段と
    を有することを特徴とするコントローラボード。
  22. セキュアメモリに第1暗号鍵を格納し、前記第1暗号鍵で暗号化された第2暗号鍵を第1記憶装置に格納し、前記第2暗号鍵で暗号化されたデータを第2記憶装置に格納している情報処理装置に、
    前記第1暗号鍵を用いて前記第2暗号鍵を復号し、その第2暗号鍵を前記情報処理装置の外部にバックアップ鍵としてバックアップするバックアップ手順と、
    前記第1暗号鍵が使用できないとき、前記バックアップ鍵を前記情報処理装置の内部にリストアするリストア手順と、
    前記情報処理装置の内部にリストアした前記バックアップ鍵を用いて、前記第2記憶装置に格納しているデータを復号する復号手順と
    を実行させるためのデータ復旧プログラム。
JP2007069651A 2007-03-16 2007-03-16 データ復旧方法、画像処理装置、コントローラボード及びデータ復旧プログラム Expired - Fee Related JP5041833B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2007069651A JP5041833B2 (ja) 2007-03-16 2007-03-16 データ復旧方法、画像処理装置、コントローラボード及びデータ復旧プログラム
US12/048,878 US8290159B2 (en) 2007-03-16 2008-03-14 Data recovery method, image processing apparatus, controller board, and data recovery program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007069651A JP5041833B2 (ja) 2007-03-16 2007-03-16 データ復旧方法、画像処理装置、コントローラボード及びデータ復旧プログラム

Publications (2)

Publication Number Publication Date
JP2008236091A true JP2008236091A (ja) 2008-10-02
JP5041833B2 JP5041833B2 (ja) 2012-10-03

Family

ID=39908390

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007069651A Expired - Fee Related JP5041833B2 (ja) 2007-03-16 2007-03-16 データ復旧方法、画像処理装置、コントローラボード及びデータ復旧プログラム

Country Status (1)

Country Link
JP (1) JP5041833B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010217604A (ja) * 2009-03-17 2010-09-30 Ricoh Co Ltd 画像形成装置、情報管理方法、及びプログラム
KR20160114527A (ko) * 2015-03-24 2016-10-05 캐논 가부시끼가이샤 정보 처리 장치, 암호 장치, 및 제어 방법
CN106413993A (zh) * 2014-05-28 2017-02-15 信越半导体株式会社 固定磨粒钢线及线锯并用的工件的切断方法
US9628642B2 (en) 2014-09-10 2017-04-18 Konica Minolta, Inc. Information processing system, license server, communication relay device, non-transitory readable recording medium and data restoration method
US10657268B2 (en) 2016-05-11 2020-05-19 Fuji Xerox Co., Ltd. Information processing apparatus, information processing method, and non-transitory computer readable medium to verify validity of backup data

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999038078A1 (en) * 1998-01-21 1999-07-29 Tokyo Electron Limited Storage device, encrypting/decrypting device, and method for accessing nonvolatile memory
WO2002003271A1 (fr) * 2000-07-04 2002-01-10 Hitachi, Ltd. Carte a circuit integre, procede de duplication d'une carte a circuit integre et procede de restitution
JP2002368735A (ja) * 2001-06-11 2002-12-20 Sharp Corp マスタ用ic装置、マスタ用ic装置のためのバックアップ用ic装置、マスタ用ic装置にダミー鍵を与えるダミー鍵格納装置、マスタ用ic装置とバックアップ用ic装置とのための補助装置、及び二つ以上の補助装置を用いた鍵バックアップシステム
JP2003208355A (ja) * 2002-01-11 2003-07-25 Hitachi Ltd データ記憶装置ならびにデータバックアップ方法およびデータリストア方法
JP2005327235A (ja) * 2004-04-13 2005-11-24 Hitachi Ltd 暗号化バックアップ方法および復号化リストア方法
JP2006237689A (ja) * 2005-02-22 2006-09-07 Kyocera Mita Corp データ管理装置およびそのプログラム
JP2007013484A (ja) * 2005-06-29 2007-01-18 Suri Kagaku Kenkyusho:Kk 非常時用データ復旧システム、方法およびコンピュータプログラム
JP2007195110A (ja) * 2006-01-23 2007-08-02 Toshiba Corp 情報処理装置および鍵復元方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999038078A1 (en) * 1998-01-21 1999-07-29 Tokyo Electron Limited Storage device, encrypting/decrypting device, and method for accessing nonvolatile memory
WO2002003271A1 (fr) * 2000-07-04 2002-01-10 Hitachi, Ltd. Carte a circuit integre, procede de duplication d'une carte a circuit integre et procede de restitution
JP2002368735A (ja) * 2001-06-11 2002-12-20 Sharp Corp マスタ用ic装置、マスタ用ic装置のためのバックアップ用ic装置、マスタ用ic装置にダミー鍵を与えるダミー鍵格納装置、マスタ用ic装置とバックアップ用ic装置とのための補助装置、及び二つ以上の補助装置を用いた鍵バックアップシステム
JP2003208355A (ja) * 2002-01-11 2003-07-25 Hitachi Ltd データ記憶装置ならびにデータバックアップ方法およびデータリストア方法
JP2005327235A (ja) * 2004-04-13 2005-11-24 Hitachi Ltd 暗号化バックアップ方法および復号化リストア方法
JP2006237689A (ja) * 2005-02-22 2006-09-07 Kyocera Mita Corp データ管理装置およびそのプログラム
JP2007013484A (ja) * 2005-06-29 2007-01-18 Suri Kagaku Kenkyusho:Kk 非常時用データ復旧システム、方法およびコンピュータプログラム
JP2007195110A (ja) * 2006-01-23 2007-08-02 Toshiba Corp 情報処理装置および鍵復元方法

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010217604A (ja) * 2009-03-17 2010-09-30 Ricoh Co Ltd 画像形成装置、情報管理方法、及びプログラム
CN106413993A (zh) * 2014-05-28 2017-02-15 信越半导体株式会社 固定磨粒钢线及线锯并用的工件的切断方法
US10011046B2 (en) 2014-05-28 2018-07-03 Shin-Etsu Handotai Co., Ltd. Fixed-abrasive-grain wire, wire saw, and method for slicing workpiece
US9628642B2 (en) 2014-09-10 2017-04-18 Konica Minolta, Inc. Information processing system, license server, communication relay device, non-transitory readable recording medium and data restoration method
KR20160114527A (ko) * 2015-03-24 2016-10-05 캐논 가부시끼가이샤 정보 처리 장치, 암호 장치, 및 제어 방법
KR102045603B1 (ko) * 2015-03-24 2019-11-15 캐논 가부시끼가이샤 정보 처리 장치, 암호 장치, 및 제어 방법
US10657268B2 (en) 2016-05-11 2020-05-19 Fuji Xerox Co., Ltd. Information processing apparatus, information processing method, and non-transitory computer readable medium to verify validity of backup data

Also Published As

Publication number Publication date
JP5041833B2 (ja) 2012-10-03

Similar Documents

Publication Publication Date Title
US8290159B2 (en) Data recovery method, image processing apparatus, controller board, and data recovery program
EP2907068B1 (en) System on chip to perform a secure boot
JP5369502B2 (ja) 機器、管理装置、機器管理システム、及びプログラム
JP5014013B2 (ja) 画像処理装置
JP4903071B2 (ja) 情報処理装置、ソフトウェア更新方法及び画像処理装置
JP4991592B2 (ja) ソフトウェア改ざん検知方法、ソフトウェア改ざん検知プログラム及び機器
CN102063031A (zh) 使用操作系统的单元和使用该单元的成像设备
US9985783B2 (en) Information processing apparatus and information processing method for restoring apparatus when encryption key is changed
JP5041833B2 (ja) データ復旧方法、画像処理装置、コントローラボード及びデータ復旧プログラム
JP4505004B2 (ja) 画像形成装置
JP5272602B2 (ja) 認証機能連携機器、認証機能連携システム及び認証機能連携プログラム
JP4898503B2 (ja) データ復旧方法、画像処理装置、コントローラボード及びデータ復旧プログラム
JP5617981B2 (ja) 機器、管理装置、機器管理システム、及びプログラム
JP2012234439A (ja) 画像処理装置、そのデータ管理方法及びプログラム
JP2007328663A (ja) 画像形成装置およびその制御方法
JP6732470B2 (ja) データ処理装置、データ処理装置の制御方法、プログラム、及び記憶媒体
JP2004355268A (ja) 情報処理装置
JP5000346B2 (ja) 画像処理装置,画像処理方法,プログラム,および記録媒体
JP2008236093A (ja) 起動方法、画像処理装置、コントローラボード及び起動プログラム
JP2024003767A (ja) 取り外し可能なトラステッドプラットフォームモジュール
JP5135239B2 (ja) 画像形成システムおよびサーバ装置
JP2008093903A (ja) 画像情報処理システム及び画像情報処理方法
JP5575633B2 (ja) 画像形成システム
JP5575090B2 (ja) 画像形成装置
JP2013258512A (ja) 画像形成装置、バックアップレストア方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090710

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120321

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120518

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120612

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120710

R150 Certificate of patent or registration of utility model

Ref document number: 5041833

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150720

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees