交換部品内データ修復システム
【課題】画像形成装置の交換部品内の記憶媒体に記憶された固有情報が何らかの理由で読み出せなくなった場合でも、その固有情報に基づき暗号化されその記憶媒体内に記憶されたデータを復号できる可能性を高める。
【解決手段】生産・データ回収ツール300の予備鍵情報生成部302が、生産した交換部品のCRUM200内の固有情報(シリアルID202及び生産情報204)を、固有の鍵又はアルゴリズムを用いて暗号化し、暗号化結果の暗号化予備鍵情報208をCRUM200内に書き込む。不良と判定されたCRUM200を調査する場合、暗号鍵リカバリ部304が暗号化予備鍵情報208を読み出し、これを復号して鍵を生成し、復号部306がその鍵を用いて暗号化データ206aを復号する。復号結果に誤りがなければ、CRUM200の不良は固有情報の破壊等によるものと判断される。
【解決手段】生産・データ回収ツール300の予備鍵情報生成部302が、生産した交換部品のCRUM200内の固有情報(シリアルID202及び生産情報204)を、固有の鍵又はアルゴリズムを用いて暗号化し、暗号化結果の暗号化予備鍵情報208をCRUM200内に書き込む。不良と判定されたCRUM200を調査する場合、暗号鍵リカバリ部304が暗号化予備鍵情報208を読み出し、これを復号して鍵を生成し、復号部306がその鍵を用いて暗号化データ206aを復号する。復号結果に誤りがなければ、CRUM200の不良は固有情報の破壊等によるものと判断される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、画像形成装置の交換部品内のデータの修復システムに関する。
【背景技術】
【0002】
プリンタやデジタル複写機、デジタル複合機(プリンタ、スキャナ、複写機等の機能を併せ持つ装置)などの画像形成装置には、トナーカートリッジや感光体ドラムカートリッジなどの交換部品が着脱自在に装着されるものがある。また交換部品の使用量(何枚の印刷に使ったかなど)を示すカウント値やユーザ情報などの管理データを記憶する不揮発性記憶媒体(例えばRFIDタグ)をその交換部品に設け、画像形成装置本体からこの不揮発性記憶媒体内の管理データを読み出したり、書き込んだりすることが行われている。また、このような管理データの不正利用や改ざんを抑止するために、画像形成装置の本体で管理データを暗号化してから交換部品内の不揮発性記憶媒体に書き込むことも行われている。また、暗号強度を高めるために、個々の不揮発性記憶媒体が記憶している固有の管理情報(例えば製造シリアル番号、製造年月日など)を用いて暗号/復号のための鍵を生成することも行われている(特許文献1参照)。
【0003】
ところで、不揮発性記憶媒体に記憶された固有の管理情報が何らかの理由で読み出せなくなると、その管理情報に基づく鍵を用いて暗号化され不揮発性記憶媒体に書き込まれたデータは復号できなくなってしまう。例えば交換部品の媒体に書き込まれたライフカウント値が正常に復号できなくなると、例えばドラムの膜減り量が異常になり、プロセスコントロールが正常動作せず、画質異常(黒筋等)が発生するなどの事態が生じる可能性がある。
【0004】
特許文献2には、ICカード内の秘密鍵が破損した場合にそれを復元できるようにするために、秘密鍵のデータを分割して暗号化したデータを複数のICカードに分散して格納する仕組みが開示されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2005−149416号公報
【特許文献2】特開2004−023138号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明は、画像形成装置の交換部品内の記憶媒体に記憶された固有情報が何らかの理由で読み出せなくなった場合でも、その固有情報に基づき暗号化されその記憶媒体内に記憶されたデータを復号できる可能性を高めるためのシステムを提供することを目的とする。
【課題を解決するための手段】
【0007】
請求項1に係る発明は、画像形成装置の交換部品に設けられた記憶媒体内の記憶場所のうち、前記画像形成装置が前記記憶媒体に書き込むデータの暗号化及び復号に用いる鍵のもとになる固有情報を記憶した記憶場所から当該固有情報を読み出す手段と、読み出された固有情報又はこれに基づき生成された鍵を暗号化することで暗号化鍵情報を生成し、当該暗号化鍵情報を前記記憶媒体内のあらかじめ定められた記憶場所に書き込む手段と、を備える第1の装置と、前記交換部品に設けられた前記記憶媒体内の前記あらかじめ定められた記憶場所から前記暗号化鍵情報を読み出す手段と、読み出された前記暗号化鍵情報に基づき前記鍵を生成する手段と、生成された前記鍵を用いて、前記記憶媒体に書き込まれた暗号化されたデータを復号する手段と、を備える第2の装置と、を含む交換部品内データ修復システムである。
【発明の効果】
【0008】
請求項1に係る発明によれば、画像形成装置の交換部品内の記憶媒体に記憶された固有情報が何らかの理由で読み出せなくなった場合でも、その固有情報に基づき暗号化されその記憶媒体内に記憶されたデータを復号できる可能性を高めることができる。
【図面の簡単な説明】
【0009】
【図1】実施形態のシステムの一例を概略的に示す図である。
【図2】CRUMへの通常のデータ暗号化・書き込みの流れを説明するための図である。
【図3】CRUM内の固有情報の破壊により書き込まれたデータの復号できなくなることを説明するための図である。
【図4】固有情報が破壊された場合に、予備鍵によりCRUM内のデータを復号する流れを説明するための図である。
【発明を実施するための形態】
【0010】
図1に例示するシステムにおいて、プリンタ、複写機、複合機等の画像形成装置本体の制御部100は、トナーカートリッジやドラムカートリッジなどの交換部品に関する管理データ102を用いて、各種の制御を行う。管理データには、例えば交換部品の使用量を示すカウント値やユーザ情報などがある。制御部100は、電源が切られた時や所定枚数印刷するごとなどのあらかじめ定められたタイミングでその管理データを交換部品内のメモリ(CRUM(Customer Replaceable Unit Monitor)200)に書き込む。例えば、トナーカートリッジの使用量カウント値はトナーカートリッジのCRUMに書き込む。なお、制御部100は、例えば、画像形成装置内に設けられたリード・オンリー・メモリー等の不揮発性記憶媒体に記憶された制御プログラムを、画像形成装置内のプロセッサが実行することにより実現される。
【0011】
CRUM200は、画像形成装置の交換部品に取り付けられたメモリである。CRUM200は、例えばRFIDタグなど、画像形成装置本体の制御部100と無線通信を行う通信インタフェースを備えるメモリユニットである。もちろんこれは一例であり、CRUM200は、画像形成装置本体と有線通信を行うものであってもよい。CRUM200は、EEPROM(Electrically Erasable and Programmable Read Only Memory)などの不揮発性記憶媒体を備えており、この媒体に制御部100から書き込まれたデータを記憶する。また、CRUM200は、それぞれ他のCRUMと異なる固有情報を記憶している。図1の例では、シリアルID202が固有情報の一例である。シリアルID202は、CRUM200を生産したメーカー(例えばRFIDタグのメーカー)がCRUMの個体識別のためにCRUM内に書き込んだ識別情報である。また、CRUMのメーカーは、CRUMの品質管理などの観点で、製造年月日や製造場所、ロット番号などの生産情報204をCRUM200に書き込む場合もある。これらシリアルID202及び生産情報204は、CRUM200を交換部品に組み込む交換部品メーカー側には一般には書き換えできない領域に書き込まれている。
【0012】
再び制御部100の説明に戻ると、画像形成装置本体の制御部100は、管理データ102をCRUM200に書き込む際、CRC(Cyclic Redundancy Check)104等の誤り検出又は誤り訂正のためのコードを管理データ102に付加する。そして、制御部100内の暗号化・復号化部106が、CRC104付きの管理データ102を暗号化する。この暗号化のために、制御部100内の暗号鍵生成部108が、CRUM200から固有情報を読み出し、この固有情報にあらかじめ定められた演算を適用することで暗号鍵を生成する。そして、この暗号鍵を用いて暗号化・復号化部106がCRC104付きの管理データ102を暗号化する。この例では、シリアルID202と生産情報204(製造年月日、ロット番号など各生産情報項目のうちの1以上)との組合せを固有情報としてCRUM200から読み出している。暗号鍵の元となるシリアルID202及び生産情報204は、CRUM200のメモリ空間のあらかじめ定められたアドレスに書き込まれているので、暗号鍵生成部108はそれらあらかじめ定められたアドレスから値を読み出す。
【0013】
なお、暗号鍵の種となる情報として、シリアルID202と生産情報204を用いるのは一例に過ぎない。暗号鍵の種としては、その例に限らず、CRUM200内に記憶された当該CRUM200に固有の情報ならどのような情報を用いてもよい。
【0014】
図示例では、制御部100は、管理データ102の暗号化結果である暗号化データ206aをCRUM200上の当該管理データ用にあらかじめ定められたアドレスに書き込むと共に、暗号化データ206aのコピーである暗号化データ206b及び206cを、CRUM200内のそれらコピー用にあらかじめ定められたアドレスに書き込む。
【0015】
図2に示す例では、暗号鍵生成部108は、シリアルID「0001」と生産情報「1010」とをマージ(併合)した値「00011010」に対し、鍵生成のための関数又はアルゴリズムを適用することで、暗号鍵を生成する。そして、暗号化・復号化部106が、CRUM200への書き込み対象の管理データ102である(CRUM200が設けられた交換部品の)使用量のカウント値「001234」に対してCRC104を付加したデータを、その暗号鍵で暗号化する。制御部100は、暗号化された値を、予備も含めて3つの暗号化データ206a,206b,206cとして、CRUM200内の、使用量カウント値及びその予備データの書き込み場所としてあらかじめ定められたアドレスに書き込む。
【0016】
また、制御部100は、電源投入時などのあらかじめ定められたタイミングで、CRUM200から暗号化データ206aを読み出す。そして、読み出した暗号化データ206aを暗号化・復号化部106により復号化する。この復号化処理のために、暗号鍵生成部108がCRUM200内からシリアルID202及び生産情報204を読み出し、これらの情報に基づき復号化用の鍵を生成し、暗号化・復号化部106はその鍵を用いて暗号化データ206aの復号を行う。ここで、復号化用の鍵は、暗号化用の鍵と同じ値のものであってもよいし、異なる値(ただし、暗号化用の鍵と対応した値である)のものでもよい。暗号データ206aの復号結果は、管理データ102とCRC104に分けられる。制御部100は、管理データ102に対し、CRC104による誤り検査を行い、この誤り検査により管理データ102に誤りがないと判定された場合、管理データ102を用いて制御処理を実行する。例えば、管理データ102が交換部品の使用量カウント値である場合、制御部100は、復号されたカウント値を起点とし、その後印刷処理を実行するごとにそのカウント値をカウントアップし、電源断などの所定の条件が満たされたときにそのカウント値を前述の処理により暗号化してCRUM200に書き戻す。
【0017】
CRC104による誤り検査で誤りがあると判定された場合、制御部100は予備の暗号化データ206bを読み出し、上述と同様これを復号し、誤り検査を行う。この検査で誤りなしと判明すれば、制御部100はその復号結果の管理データを用いて制御処理を行えばよい。
【0018】
暗号化データ206bの復号結果にも誤りが検出された場合、制御部100は最後の予備の暗号化データ206cを読み出して復号し、誤り検査を行う。この検査で誤りなしと判明すれば、制御部100はその復号結果の管理データを用いて制御処理を行えばよい。
【0019】
一方、誤り検出により、最後の予備の暗号化データ206cも誤りであると判定された場合、当該CRUM200が装着された交換部品が不正使用されたものである可能性がある。そこで、制御部100は、例えば、画像形成装置本体が動作(例えば印刷)を一時停止し、当該交換部品が使用不可なので交換すべきことを促すメッセージを画像形成装置本体の表示部に表示する。使用不可とされた交換部品は、例えば当該交換部品の生産者側に引き取られ、使用不可となった原因が調査される。
【0020】
ここで、このようにすべての暗号化データ206a〜206cが正しく復号できない場合、その原因としては、暗号化データ206a,206b,206cが何らかの理由ですべて壊れてしまった又は改竄されたという可能性の他に、暗号及び復号のための鍵の種となるデータ(図示例ではシリアルID202及び生産情報204)のいずれかが壊れてしまったという可能性もある。後者の可能性を、図3を参照して説明する。
【0021】
図3の例は、図2の例に示した暗号化及び書き込みの後、何らかの理由でシリアルID212が壊れた場合を示している。すなわち、図2に例示した時点では、シリアルID202の値が「0001」であったところ、その後の図3の時点では何らかの理由シリアルID212が「1001」に変化している。この場合、暗号鍵生成部108はシリアルID212と生産情報204を併合した値「10011010」を種として暗号化及び復号化のための鍵を生成する。ここで、種の値が図2の場合の値「00011010」と異なるので、図2の場合とは異なる値の鍵が得られることとなる。したがって、例えば図2の時点の種「00011010」から生成した鍵により暗号化した暗号化データ206a〜206cを、図3の時点で種「10011010」から生成した鍵により復号しようとしても、正しく復号することはできない。すなわち、この場合、暗号化データ206a〜206cのいずれについても、復号結果の管理データ112とCRC114との組合せは誤り検査により誤りありと判定されることになる。
【0022】
シリアルID202等の固有情報は書き換えられることがないので、他の書き換え可能な領域のデータのように書き換え回数の増大による劣化により破壊されるということはない。このために、固有情報が壊れた場合に対処するための仕組みは従来のCRUMには設けられていなかった。しかし、現実には、デバイス系のメモリディスターブ不良等の理由で固有情報が壊れてしまうことがある。このような場合、暗号化データ206a〜206cの復号失敗が、固有情報の破壊によることが分かれば、顧客に対して交換部品の無償交換や交換料金の軽減などといった補償を行うことも考えられる。
【0023】
そこで、この実施形態では、そのように鍵の種のとなるCRUM200の固有情報が破壊された場合に対処すべく、CRUM200内に暗号化予備鍵情報208を書き込んでおく。暗号化予備鍵情報208は、CRUM200内の固有情報が壊れた場合でも、その固有情報に対応する暗号化及び復号化のための鍵を生成するための元となる情報(予備鍵情報と呼ぶ)を、交換部品の生産者が秘密にしている暗号化アルゴリズムにより暗号化したものである。すなわち、予備鍵情報は、例えばCRUM200の固有情報(例えばシリアルID202及び生産情報204)であってもよいし、その固有情報に基づき暗号鍵生成部108が生成する鍵であってもよい。いずれの場合も、暗号化予備鍵情報208は、交換部品生産者側の生産・データ回収ツール300でしか復号できないように暗号化されている。制御部100もまた第三者も、生産・データ回収ツール300が持つ復号用の鍵や暗号アルゴリズムを知らない限り、暗号化予備鍵情報208を正しく復号することはできない。
【0024】
この暗号化予備鍵情報208は、例えば、CRUM200付きの交換部品を生産する工場に設けられた生産・データ回収ツール300で生成される。図1に示すように、生産・データ回収ツール300内に設けられた予備鍵情報生成部302は、CRUM200からシリアルID202及び生産情報204等の固有情報を読み出し、これらの値を元に暗号化予備鍵情報208を生成する。このとき、予備鍵情報生成部302は、固有の鍵又は暗号アルゴリズムを用いて予備鍵情報を暗号化する。そして、暗号化により生成された暗号化予備鍵情報208を、CRUM200内の、あらかじめ定められたアドレスに書き込む。
【0025】
そして、上述のように復号時にCRUM200中のすべての暗号化データ206a〜206cが誤りありと判定された場合、その交換部品が生産者側に引き取られるか、生産者側のエンジニアが画像形成装置の設置された客先に出向くかなどして、交換部品の生産者により、生産・データ回収ツール300を用いてそのCRUM200の調査が行われる。
【0026】
すなわち、生産・データ回収ツール300の暗号鍵リカバリ部304が、調査対象の交換部品のCRUM200のあらかじめ定められたアドレスから暗号化予備鍵情報208を読み出して復号し、その復号結果に基づき暗号化データ206a〜206cの復号のための鍵を生成する。このために、暗号鍵リカバリ部304は、予備鍵情報生成部302により暗号化されたデータを復号するための鍵や暗号アルゴリズムを有している。そして、暗号鍵リカバリ部304が生成した復号のための鍵を用いて、復号化部306が、暗号化データ206aを復号し、復号結果に対してCRCによる誤り検出を行う。これにより、復号結果に誤りがないと判定されれば、CRUM200が使用不可と判定されたのは、CRUM200の固有情報(シリアルID202及び生産情報204など)が破壊されたためであると判断できる。暗号化データ206aの復号結果が誤りであっても、予備の暗号化データ206b又は206cのいずれかの復号結果が誤りなしと判定されれば、同様に固有情報が破壊されたと判断できる。
【0027】
例えば、図4の例では、図3に例示したようにCRUM200内の固有情報が変化していた場合でも、暗号化予備鍵情報208が破壊又は変更されていなければ、生産・データ回収ツール300の暗号鍵リカバリ部304により、正しい固有情報「00011010」に対応する復号用の鍵を得ることができる。したがって、暗号化データ206aが破壊又は変更されていなければ、復号化部306がその鍵を用いてその暗号化データ206aを正しく復号することができ、CRCによるチェックもパスする。
【0028】
このように、暗号化予備鍵情報208を用いて暗号化データ206a〜206cを正しく復号することができた場合、その復号結果の管理データ102(例えばカウント値)に基づき、顧客に対してフォローアップを行うようにしてもよい。
【0029】
以上に示した例では、生産・データ回収ツール300を一体の装置として示したが、これは一例に過ぎない。例えばその代わりに、ツール300のうちの暗号化予備鍵情報208の書き込みのための構成(予備鍵情報生成部302)と、CRUM200内の暗号化予備鍵情報208を用いた復号のための構成(暗号鍵リカバリ部304と復号化部306)とを別体の装置として構成してももちろんよい。
【0030】
また、制御部100は、CRUM200内の暗号化予備鍵情報208を復号できないので、暗号化予備鍵情報208を用いた処理を行うことはないが、第三者の解析を困難にするために、制御部100が暗号化予備鍵情報208のアドレスにダミーのアクセスを行うようにしてもよい。
【0031】
生産・データ回収ツール300は、例えば、汎用のコンピュータに上述の処理を表すプログラムを実行させることにより実現される。ここで、コンピュータは、例えば、ハードウエアとして、CPU等のマイクロプロセッサ、ランダムアクセスメモリ(RAM)およびリード・オンリー・メモリー(ROM)等のメモリ(一次記憶)、HDD(ハードディスクドライブ)コントローラを経由して接続されたHDD、各種I/O(入出力)インタフェース等が、バスを介して接続された回路構成を有する。バスには、ローカルエリアネットワーク等のネットワークに接続するためのネットワークインタフェースが接続されていてもよい。また、そのバスに対し、例えばI/Oインタフェース経由で、CDやDVDなどの可搬型ディスク記録媒体に対する読み取り及び/又は書き込みのためのディスクドライブ、フラッシュメモリなどの各種規格の可搬型の不揮発性記録媒体に対する読み取り及び/又は書き込みのためのメモリリーダライタなどが接続されてもよい。上に例示した各機能モジュールの処理内容が記述されたプログラムがCDやDVD等の記録媒体を経由して、又はネットワーク等の通信手段経由で、ハードディスクドライブ等の固定記憶装置に保存され、コンピュータにインストールされる。インストールされたプログラムがRAMに読み出されCPU等のマイクロプロセッサにより実行されることにより、上に例示したツール300の機能が実現される。
【符号の説明】
【0032】
100 画像形成装置本体の制御部、102 管理データ、104 CRC、106 暗号化・復号化部、108 暗号鍵生成部、200 CRUM、202 シリアルID、204 生産情報、206a〜206c 暗号化データ、208 暗号化予備鍵情報、300 生産・データ回収ツール、302 予備鍵情報生成部、304 暗号鍵リカバリ部、306 復号化部。
【技術分野】
【0001】
本発明は、画像形成装置の交換部品内のデータの修復システムに関する。
【背景技術】
【0002】
プリンタやデジタル複写機、デジタル複合機(プリンタ、スキャナ、複写機等の機能を併せ持つ装置)などの画像形成装置には、トナーカートリッジや感光体ドラムカートリッジなどの交換部品が着脱自在に装着されるものがある。また交換部品の使用量(何枚の印刷に使ったかなど)を示すカウント値やユーザ情報などの管理データを記憶する不揮発性記憶媒体(例えばRFIDタグ)をその交換部品に設け、画像形成装置本体からこの不揮発性記憶媒体内の管理データを読み出したり、書き込んだりすることが行われている。また、このような管理データの不正利用や改ざんを抑止するために、画像形成装置の本体で管理データを暗号化してから交換部品内の不揮発性記憶媒体に書き込むことも行われている。また、暗号強度を高めるために、個々の不揮発性記憶媒体が記憶している固有の管理情報(例えば製造シリアル番号、製造年月日など)を用いて暗号/復号のための鍵を生成することも行われている(特許文献1参照)。
【0003】
ところで、不揮発性記憶媒体に記憶された固有の管理情報が何らかの理由で読み出せなくなると、その管理情報に基づく鍵を用いて暗号化され不揮発性記憶媒体に書き込まれたデータは復号できなくなってしまう。例えば交換部品の媒体に書き込まれたライフカウント値が正常に復号できなくなると、例えばドラムの膜減り量が異常になり、プロセスコントロールが正常動作せず、画質異常(黒筋等)が発生するなどの事態が生じる可能性がある。
【0004】
特許文献2には、ICカード内の秘密鍵が破損した場合にそれを復元できるようにするために、秘密鍵のデータを分割して暗号化したデータを複数のICカードに分散して格納する仕組みが開示されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2005−149416号公報
【特許文献2】特開2004−023138号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明は、画像形成装置の交換部品内の記憶媒体に記憶された固有情報が何らかの理由で読み出せなくなった場合でも、その固有情報に基づき暗号化されその記憶媒体内に記憶されたデータを復号できる可能性を高めるためのシステムを提供することを目的とする。
【課題を解決するための手段】
【0007】
請求項1に係る発明は、画像形成装置の交換部品に設けられた記憶媒体内の記憶場所のうち、前記画像形成装置が前記記憶媒体に書き込むデータの暗号化及び復号に用いる鍵のもとになる固有情報を記憶した記憶場所から当該固有情報を読み出す手段と、読み出された固有情報又はこれに基づき生成された鍵を暗号化することで暗号化鍵情報を生成し、当該暗号化鍵情報を前記記憶媒体内のあらかじめ定められた記憶場所に書き込む手段と、を備える第1の装置と、前記交換部品に設けられた前記記憶媒体内の前記あらかじめ定められた記憶場所から前記暗号化鍵情報を読み出す手段と、読み出された前記暗号化鍵情報に基づき前記鍵を生成する手段と、生成された前記鍵を用いて、前記記憶媒体に書き込まれた暗号化されたデータを復号する手段と、を備える第2の装置と、を含む交換部品内データ修復システムである。
【発明の効果】
【0008】
請求項1に係る発明によれば、画像形成装置の交換部品内の記憶媒体に記憶された固有情報が何らかの理由で読み出せなくなった場合でも、その固有情報に基づき暗号化されその記憶媒体内に記憶されたデータを復号できる可能性を高めることができる。
【図面の簡単な説明】
【0009】
【図1】実施形態のシステムの一例を概略的に示す図である。
【図2】CRUMへの通常のデータ暗号化・書き込みの流れを説明するための図である。
【図3】CRUM内の固有情報の破壊により書き込まれたデータの復号できなくなることを説明するための図である。
【図4】固有情報が破壊された場合に、予備鍵によりCRUM内のデータを復号する流れを説明するための図である。
【発明を実施するための形態】
【0010】
図1に例示するシステムにおいて、プリンタ、複写機、複合機等の画像形成装置本体の制御部100は、トナーカートリッジやドラムカートリッジなどの交換部品に関する管理データ102を用いて、各種の制御を行う。管理データには、例えば交換部品の使用量を示すカウント値やユーザ情報などがある。制御部100は、電源が切られた時や所定枚数印刷するごとなどのあらかじめ定められたタイミングでその管理データを交換部品内のメモリ(CRUM(Customer Replaceable Unit Monitor)200)に書き込む。例えば、トナーカートリッジの使用量カウント値はトナーカートリッジのCRUMに書き込む。なお、制御部100は、例えば、画像形成装置内に設けられたリード・オンリー・メモリー等の不揮発性記憶媒体に記憶された制御プログラムを、画像形成装置内のプロセッサが実行することにより実現される。
【0011】
CRUM200は、画像形成装置の交換部品に取り付けられたメモリである。CRUM200は、例えばRFIDタグなど、画像形成装置本体の制御部100と無線通信を行う通信インタフェースを備えるメモリユニットである。もちろんこれは一例であり、CRUM200は、画像形成装置本体と有線通信を行うものであってもよい。CRUM200は、EEPROM(Electrically Erasable and Programmable Read Only Memory)などの不揮発性記憶媒体を備えており、この媒体に制御部100から書き込まれたデータを記憶する。また、CRUM200は、それぞれ他のCRUMと異なる固有情報を記憶している。図1の例では、シリアルID202が固有情報の一例である。シリアルID202は、CRUM200を生産したメーカー(例えばRFIDタグのメーカー)がCRUMの個体識別のためにCRUM内に書き込んだ識別情報である。また、CRUMのメーカーは、CRUMの品質管理などの観点で、製造年月日や製造場所、ロット番号などの生産情報204をCRUM200に書き込む場合もある。これらシリアルID202及び生産情報204は、CRUM200を交換部品に組み込む交換部品メーカー側には一般には書き換えできない領域に書き込まれている。
【0012】
再び制御部100の説明に戻ると、画像形成装置本体の制御部100は、管理データ102をCRUM200に書き込む際、CRC(Cyclic Redundancy Check)104等の誤り検出又は誤り訂正のためのコードを管理データ102に付加する。そして、制御部100内の暗号化・復号化部106が、CRC104付きの管理データ102を暗号化する。この暗号化のために、制御部100内の暗号鍵生成部108が、CRUM200から固有情報を読み出し、この固有情報にあらかじめ定められた演算を適用することで暗号鍵を生成する。そして、この暗号鍵を用いて暗号化・復号化部106がCRC104付きの管理データ102を暗号化する。この例では、シリアルID202と生産情報204(製造年月日、ロット番号など各生産情報項目のうちの1以上)との組合せを固有情報としてCRUM200から読み出している。暗号鍵の元となるシリアルID202及び生産情報204は、CRUM200のメモリ空間のあらかじめ定められたアドレスに書き込まれているので、暗号鍵生成部108はそれらあらかじめ定められたアドレスから値を読み出す。
【0013】
なお、暗号鍵の種となる情報として、シリアルID202と生産情報204を用いるのは一例に過ぎない。暗号鍵の種としては、その例に限らず、CRUM200内に記憶された当該CRUM200に固有の情報ならどのような情報を用いてもよい。
【0014】
図示例では、制御部100は、管理データ102の暗号化結果である暗号化データ206aをCRUM200上の当該管理データ用にあらかじめ定められたアドレスに書き込むと共に、暗号化データ206aのコピーである暗号化データ206b及び206cを、CRUM200内のそれらコピー用にあらかじめ定められたアドレスに書き込む。
【0015】
図2に示す例では、暗号鍵生成部108は、シリアルID「0001」と生産情報「1010」とをマージ(併合)した値「00011010」に対し、鍵生成のための関数又はアルゴリズムを適用することで、暗号鍵を生成する。そして、暗号化・復号化部106が、CRUM200への書き込み対象の管理データ102である(CRUM200が設けられた交換部品の)使用量のカウント値「001234」に対してCRC104を付加したデータを、その暗号鍵で暗号化する。制御部100は、暗号化された値を、予備も含めて3つの暗号化データ206a,206b,206cとして、CRUM200内の、使用量カウント値及びその予備データの書き込み場所としてあらかじめ定められたアドレスに書き込む。
【0016】
また、制御部100は、電源投入時などのあらかじめ定められたタイミングで、CRUM200から暗号化データ206aを読み出す。そして、読み出した暗号化データ206aを暗号化・復号化部106により復号化する。この復号化処理のために、暗号鍵生成部108がCRUM200内からシリアルID202及び生産情報204を読み出し、これらの情報に基づき復号化用の鍵を生成し、暗号化・復号化部106はその鍵を用いて暗号化データ206aの復号を行う。ここで、復号化用の鍵は、暗号化用の鍵と同じ値のものであってもよいし、異なる値(ただし、暗号化用の鍵と対応した値である)のものでもよい。暗号データ206aの復号結果は、管理データ102とCRC104に分けられる。制御部100は、管理データ102に対し、CRC104による誤り検査を行い、この誤り検査により管理データ102に誤りがないと判定された場合、管理データ102を用いて制御処理を実行する。例えば、管理データ102が交換部品の使用量カウント値である場合、制御部100は、復号されたカウント値を起点とし、その後印刷処理を実行するごとにそのカウント値をカウントアップし、電源断などの所定の条件が満たされたときにそのカウント値を前述の処理により暗号化してCRUM200に書き戻す。
【0017】
CRC104による誤り検査で誤りがあると判定された場合、制御部100は予備の暗号化データ206bを読み出し、上述と同様これを復号し、誤り検査を行う。この検査で誤りなしと判明すれば、制御部100はその復号結果の管理データを用いて制御処理を行えばよい。
【0018】
暗号化データ206bの復号結果にも誤りが検出された場合、制御部100は最後の予備の暗号化データ206cを読み出して復号し、誤り検査を行う。この検査で誤りなしと判明すれば、制御部100はその復号結果の管理データを用いて制御処理を行えばよい。
【0019】
一方、誤り検出により、最後の予備の暗号化データ206cも誤りであると判定された場合、当該CRUM200が装着された交換部品が不正使用されたものである可能性がある。そこで、制御部100は、例えば、画像形成装置本体が動作(例えば印刷)を一時停止し、当該交換部品が使用不可なので交換すべきことを促すメッセージを画像形成装置本体の表示部に表示する。使用不可とされた交換部品は、例えば当該交換部品の生産者側に引き取られ、使用不可となった原因が調査される。
【0020】
ここで、このようにすべての暗号化データ206a〜206cが正しく復号できない場合、その原因としては、暗号化データ206a,206b,206cが何らかの理由ですべて壊れてしまった又は改竄されたという可能性の他に、暗号及び復号のための鍵の種となるデータ(図示例ではシリアルID202及び生産情報204)のいずれかが壊れてしまったという可能性もある。後者の可能性を、図3を参照して説明する。
【0021】
図3の例は、図2の例に示した暗号化及び書き込みの後、何らかの理由でシリアルID212が壊れた場合を示している。すなわち、図2に例示した時点では、シリアルID202の値が「0001」であったところ、その後の図3の時点では何らかの理由シリアルID212が「1001」に変化している。この場合、暗号鍵生成部108はシリアルID212と生産情報204を併合した値「10011010」を種として暗号化及び復号化のための鍵を生成する。ここで、種の値が図2の場合の値「00011010」と異なるので、図2の場合とは異なる値の鍵が得られることとなる。したがって、例えば図2の時点の種「00011010」から生成した鍵により暗号化した暗号化データ206a〜206cを、図3の時点で種「10011010」から生成した鍵により復号しようとしても、正しく復号することはできない。すなわち、この場合、暗号化データ206a〜206cのいずれについても、復号結果の管理データ112とCRC114との組合せは誤り検査により誤りありと判定されることになる。
【0022】
シリアルID202等の固有情報は書き換えられることがないので、他の書き換え可能な領域のデータのように書き換え回数の増大による劣化により破壊されるということはない。このために、固有情報が壊れた場合に対処するための仕組みは従来のCRUMには設けられていなかった。しかし、現実には、デバイス系のメモリディスターブ不良等の理由で固有情報が壊れてしまうことがある。このような場合、暗号化データ206a〜206cの復号失敗が、固有情報の破壊によることが分かれば、顧客に対して交換部品の無償交換や交換料金の軽減などといった補償を行うことも考えられる。
【0023】
そこで、この実施形態では、そのように鍵の種のとなるCRUM200の固有情報が破壊された場合に対処すべく、CRUM200内に暗号化予備鍵情報208を書き込んでおく。暗号化予備鍵情報208は、CRUM200内の固有情報が壊れた場合でも、その固有情報に対応する暗号化及び復号化のための鍵を生成するための元となる情報(予備鍵情報と呼ぶ)を、交換部品の生産者が秘密にしている暗号化アルゴリズムにより暗号化したものである。すなわち、予備鍵情報は、例えばCRUM200の固有情報(例えばシリアルID202及び生産情報204)であってもよいし、その固有情報に基づき暗号鍵生成部108が生成する鍵であってもよい。いずれの場合も、暗号化予備鍵情報208は、交換部品生産者側の生産・データ回収ツール300でしか復号できないように暗号化されている。制御部100もまた第三者も、生産・データ回収ツール300が持つ復号用の鍵や暗号アルゴリズムを知らない限り、暗号化予備鍵情報208を正しく復号することはできない。
【0024】
この暗号化予備鍵情報208は、例えば、CRUM200付きの交換部品を生産する工場に設けられた生産・データ回収ツール300で生成される。図1に示すように、生産・データ回収ツール300内に設けられた予備鍵情報生成部302は、CRUM200からシリアルID202及び生産情報204等の固有情報を読み出し、これらの値を元に暗号化予備鍵情報208を生成する。このとき、予備鍵情報生成部302は、固有の鍵又は暗号アルゴリズムを用いて予備鍵情報を暗号化する。そして、暗号化により生成された暗号化予備鍵情報208を、CRUM200内の、あらかじめ定められたアドレスに書き込む。
【0025】
そして、上述のように復号時にCRUM200中のすべての暗号化データ206a〜206cが誤りありと判定された場合、その交換部品が生産者側に引き取られるか、生産者側のエンジニアが画像形成装置の設置された客先に出向くかなどして、交換部品の生産者により、生産・データ回収ツール300を用いてそのCRUM200の調査が行われる。
【0026】
すなわち、生産・データ回収ツール300の暗号鍵リカバリ部304が、調査対象の交換部品のCRUM200のあらかじめ定められたアドレスから暗号化予備鍵情報208を読み出して復号し、その復号結果に基づき暗号化データ206a〜206cの復号のための鍵を生成する。このために、暗号鍵リカバリ部304は、予備鍵情報生成部302により暗号化されたデータを復号するための鍵や暗号アルゴリズムを有している。そして、暗号鍵リカバリ部304が生成した復号のための鍵を用いて、復号化部306が、暗号化データ206aを復号し、復号結果に対してCRCによる誤り検出を行う。これにより、復号結果に誤りがないと判定されれば、CRUM200が使用不可と判定されたのは、CRUM200の固有情報(シリアルID202及び生産情報204など)が破壊されたためであると判断できる。暗号化データ206aの復号結果が誤りであっても、予備の暗号化データ206b又は206cのいずれかの復号結果が誤りなしと判定されれば、同様に固有情報が破壊されたと判断できる。
【0027】
例えば、図4の例では、図3に例示したようにCRUM200内の固有情報が変化していた場合でも、暗号化予備鍵情報208が破壊又は変更されていなければ、生産・データ回収ツール300の暗号鍵リカバリ部304により、正しい固有情報「00011010」に対応する復号用の鍵を得ることができる。したがって、暗号化データ206aが破壊又は変更されていなければ、復号化部306がその鍵を用いてその暗号化データ206aを正しく復号することができ、CRCによるチェックもパスする。
【0028】
このように、暗号化予備鍵情報208を用いて暗号化データ206a〜206cを正しく復号することができた場合、その復号結果の管理データ102(例えばカウント値)に基づき、顧客に対してフォローアップを行うようにしてもよい。
【0029】
以上に示した例では、生産・データ回収ツール300を一体の装置として示したが、これは一例に過ぎない。例えばその代わりに、ツール300のうちの暗号化予備鍵情報208の書き込みのための構成(予備鍵情報生成部302)と、CRUM200内の暗号化予備鍵情報208を用いた復号のための構成(暗号鍵リカバリ部304と復号化部306)とを別体の装置として構成してももちろんよい。
【0030】
また、制御部100は、CRUM200内の暗号化予備鍵情報208を復号できないので、暗号化予備鍵情報208を用いた処理を行うことはないが、第三者の解析を困難にするために、制御部100が暗号化予備鍵情報208のアドレスにダミーのアクセスを行うようにしてもよい。
【0031】
生産・データ回収ツール300は、例えば、汎用のコンピュータに上述の処理を表すプログラムを実行させることにより実現される。ここで、コンピュータは、例えば、ハードウエアとして、CPU等のマイクロプロセッサ、ランダムアクセスメモリ(RAM)およびリード・オンリー・メモリー(ROM)等のメモリ(一次記憶)、HDD(ハードディスクドライブ)コントローラを経由して接続されたHDD、各種I/O(入出力)インタフェース等が、バスを介して接続された回路構成を有する。バスには、ローカルエリアネットワーク等のネットワークに接続するためのネットワークインタフェースが接続されていてもよい。また、そのバスに対し、例えばI/Oインタフェース経由で、CDやDVDなどの可搬型ディスク記録媒体に対する読み取り及び/又は書き込みのためのディスクドライブ、フラッシュメモリなどの各種規格の可搬型の不揮発性記録媒体に対する読み取り及び/又は書き込みのためのメモリリーダライタなどが接続されてもよい。上に例示した各機能モジュールの処理内容が記述されたプログラムがCDやDVD等の記録媒体を経由して、又はネットワーク等の通信手段経由で、ハードディスクドライブ等の固定記憶装置に保存され、コンピュータにインストールされる。インストールされたプログラムがRAMに読み出されCPU等のマイクロプロセッサにより実行されることにより、上に例示したツール300の機能が実現される。
【符号の説明】
【0032】
100 画像形成装置本体の制御部、102 管理データ、104 CRC、106 暗号化・復号化部、108 暗号鍵生成部、200 CRUM、202 シリアルID、204 生産情報、206a〜206c 暗号化データ、208 暗号化予備鍵情報、300 生産・データ回収ツール、302 予備鍵情報生成部、304 暗号鍵リカバリ部、306 復号化部。
【特許請求の範囲】
【請求項1】
画像形成装置の交換部品に設けられた記憶媒体内の記憶場所のうち、前記画像形成装置が前記記憶媒体に書き込むデータの暗号化及び復号に用いる鍵のもとになる固有情報を記憶した記憶場所から当該固有情報を読み出す手段と、
読み出された固有情報又はこれに基づき生成された鍵を暗号化することで暗号化鍵情報を生成し、当該暗号化鍵情報を前記記憶媒体内のあらかじめ定められた記憶場所に書き込む手段と、
を備える第1の装置と、
前記交換部品に設けられた前記記憶媒体内の前記あらかじめ定められた記憶場所から前記暗号化鍵情報を読み出す手段と、
読み出された前記暗号化鍵情報に基づき前記鍵を生成する手段と、
生成された前記鍵を用いて、前記記憶媒体に書き込まれた暗号化されたデータを復号する手段と、
を備える第2の装置と、
を含む交換部品内データ修復システム。
【請求項1】
画像形成装置の交換部品に設けられた記憶媒体内の記憶場所のうち、前記画像形成装置が前記記憶媒体に書き込むデータの暗号化及び復号に用いる鍵のもとになる固有情報を記憶した記憶場所から当該固有情報を読み出す手段と、
読み出された固有情報又はこれに基づき生成された鍵を暗号化することで暗号化鍵情報を生成し、当該暗号化鍵情報を前記記憶媒体内のあらかじめ定められた記憶場所に書き込む手段と、
を備える第1の装置と、
前記交換部品に設けられた前記記憶媒体内の前記あらかじめ定められた記憶場所から前記暗号化鍵情報を読み出す手段と、
読み出された前記暗号化鍵情報に基づき前記鍵を生成する手段と、
生成された前記鍵を用いて、前記記憶媒体に書き込まれた暗号化されたデータを復号する手段と、
を備える第2の装置と、
を含む交換部品内データ修復システム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2010−211145(P2010−211145A)
【公開日】平成22年9月24日(2010.9.24)
【国際特許分類】
【出願番号】特願2009−59826(P2009−59826)
【出願日】平成21年3月12日(2009.3.12)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
【公開日】平成22年9月24日(2010.9.24)
【国際特許分類】
【出願日】平成21年3月12日(2009.3.12)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
[ Back to top ]