改ざん検出装置及び改ざん検出方法
【課題】ファイル出力前のファイル保存期間中におけるファイルの改ざんを検出することができる改ざん検出装置を提供することである。
【解決手段】改ざん検出装置は、入力手段と、記憶手段と、出力手段、改ざん検出手段とを備える。前記改ざん検出手段は、前記ファイルの入力に対応して、改ざん検出用データ生成処理に基づき、前記ファイルから、一意に定まる第1の改ざん検出用データを生成し、前記記憶手段に前記ファイル及び前記第1の改ざん検出用データを記憶し、前記ファイルの出力要求に対応して、前記改ざん検出用データ生成処理に基づき、前記記憶手段に記憶された前記ファイルから、一意に定まる第2の改ざん検出用データを生成し、前記第1の改ざん検出用データと前記第2の改ざん検出用データとを比較し、比較結果に基づき前記ファイルの改ざんを検出する。
【解決手段】改ざん検出装置は、入力手段と、記憶手段と、出力手段、改ざん検出手段とを備える。前記改ざん検出手段は、前記ファイルの入力に対応して、改ざん検出用データ生成処理に基づき、前記ファイルから、一意に定まる第1の改ざん検出用データを生成し、前記記憶手段に前記ファイル及び前記第1の改ざん検出用データを記憶し、前記ファイルの出力要求に対応して、前記改ざん検出用データ生成処理に基づき、前記記憶手段に記憶された前記ファイルから、一意に定まる第2の改ざん検出用データを生成し、前記第1の改ざん検出用データと前記第2の改ざん検出用データとを比較し、比較結果に基づき前記ファイルの改ざんを検出する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、改ざん検出装置及び改ざん検出方法に関する。
【背景技術】
【0002】
通信回線を介したファイルの送受信において、回線エラー等を検出する技術が知られている。また、通信回線を介したファイルの送受信において、送信前のファイルと受信後のファイルの差分からファイルの改ざん等を検出する技術が知られている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2010−178263号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
上記したようにファイル送受信中におけるファイルの改ざんについては、上記したファイル改ざん検出技術を適用しファイルの改ざんを検出することができる。しかしながら、ファイルが改ざんされる可能性のある場面は、上記に限らない。例えば、ファイル送信前(出力前)のファイル保存期間中にファイルが改ざんされる可能性もある。上記したファイル改ざん検出技術では、このようなファイル保存期間中におけるファイルの改ざんを検出することは難しい。
【0005】
本発明が解決しようとする課題は、ファイル出力前のファイル保存期間中におけるファイルの改ざんを検出することができる改ざん検出装置及び改ざん検出方法を提供することである。
【課題を解決するための手段】
【0006】
実施形態の改ざん検出装置は、入力手段と、記憶手段と、出力手段、改ざん検出手段とを備える。前記入力手段は、ファイルを入力する。前記記憶手段は、前記ファイルを記憶する。前記出力手段は、前記ファイルを出力する。前記改ざん検出手段は、前記ファイルの入力に対応して、改ざん検出用データ生成処理に基づき、前記ファイルから、一意に定まる第1の改ざん検出用データを生成し、前記記憶手段に前記ファイル及び前記第1の改ざん検出用データを記憶し、前記ファイルの出力要求に対応して、前記改ざん検出用データ生成処理に基づき、前記記憶手段に記憶された前記ファイルから、一意に定まる第2の改ざん検出用データを生成し、前記第1の改ざん検出用データと前記第2の改ざん検出用データとを比較し、比較結果に基づき前記ファイルの改ざんを検出する。
【図面の簡単な説明】
【0007】
【図1】第1の実施形態に係るファイル送信装置(改ざん検出装置)の概略構成の一例を示すブロック図である。
【図2】第1の実施形態に係るファイル受信装置(改ざん検出装置)の概略構成の一例を示すブロック図である。
【図3】第1の実施形態に係るファイル送信予約処理の一例を示すフローチャートである。
【図4】第1の実施形態に係るファイル送信処理の一例を示すフローチャートである。
【図5】送信前のハッシュ値の登録の一例を示す図である。
【図6】第1の実施形態に係るファイル受信処理の一例を示すフローチャートである。
【図7】第1の実施形態に係るファイル出力処理の一例を示すフローチャートである。
【図8】出力前のハッシュ値の登録の一例を示す図である。
【図9】第2の実施形態に係るファイル転送システムの概略構成の一例を示す図である。
【図10】第2の実施形態に係る外部通信準備処理の一例を示すフローチャートである。
【発明を実施するための形態】
【0008】
(第1の実施形態)
以下、図面を参照して、第1の実施形態について説明する。
【0009】
図1は、第1の実施形態に係るファイル送信装置(改ざん検出装置)の概略構成の一例を示すブロック図である。図1に示すように、ファイル送信装置は、主制御部11、信号入出力端子12、ファイル送信部13、ファイル記憶部14、呼制御部15、付加情報設定及び記憶部16、案内部17を備える。
【0010】
図2は、第1の実施形態に係るファイル受信装置(改ざん検出装置)の概略構成の一例を示すブロック図である。図2に示すように、ファイル受信装置は、主制御部21、信号入出力端子22、ファイル受信部23、ファイル記憶部24、呼制御部25、付加情報設定及び記憶部26、案内部27、プリンタ28、パーソナルコンピュータ29を備える。
【0011】
図3及び図4を参照して、ファイル送信予約処理及びファイル送信処理の一例について説明する。図3は、ファイル送信予約処理の一例を示すフローチャートである。図4は、ファイル送信処理の一例を示すフローチャートである。
【0012】
ファイル送信装置の主制御部11は、入力ファイルと出力ファイル(送信ファイル)の完全性を確保するため、出力(例えば送信)の時点で、出力ファイルが改ざんされていないか否かを検出する。例えば、ファイル送信装置の信号入出力端子12は、送信予約ファイル及び処理指定(例えば印刷、保存、又は印刷と保存)を受信(入力)し、付加情報設定及び記憶部16は、送信予約ファイル及び処理指定を受信(入力)に対応して、改ざん検出用データ生成処理に基づき、送信予約ファイルから、一意に定まる第1の改ざん検出用データを生成し、第1の改ざん検出用データを記憶する。さらに、ファイル記憶部14は、送信予約ファイル及び処理指定を記憶する。
【0013】
ここで、改ざん検出用データ生成処理の一例について説明する。例えば、付加情報設定及び記憶部16は、送信予約ファイルの受信(入力)に対応して、ハッシュ関数に基づき、送信予約ファイルの全部又は一部から、一意に定まる第1の改ざん検出用データとしての第1のハッシュ値を生成し(ACT111)、第1の改ざん検出用データを送信側ログとして記憶する(図5)。さらに、ファイル記憶部14は、送信予約ファイルを記憶する(ACT112)。ハッシュ関数は一方向性関数であり、ハッシュ関数に基づくハッシュ値生成のアルゴリズムを利用することにより、対象データ(任意のデータサイズ)から、一定のビット列(例えば256ビット)のハッシュ値を得ることができる。ハッシュ関数としては、例えばmd5(Message Digest Algorithm 5)又はSHA(Secure Hash Algorithm)−1がある。
【0014】
上記した送信予約ファイルの一部とは、例えば、送信予約ファイルのヘッダデータ等である。送信予約ファイルの全部から第1のハッシュ値を生成する場合には、ハッシュ値生成処理の負荷は比較的重く、送信予約ファイルの一部から第1のハッシュ値を生成する場合、ハッシュ値生成処理の負荷は比較的軽い。従って、ハッシュ値生成処理の負荷を軽減したい場合には、送信予約ファイルの一部から第1のハッシュ値を生成する。
【0015】
上記した送信予約ファイルの一部とは、例えば、送信予約ファイルのヘッダデータ等である。送信予約ファイルの全部から第1のハッシュ値を生成する場合には、ハッシュ値生成処理の負荷は比較的重く、送信予約ファイルの一部から第1のハッシュ値を生成する場合、ハッシュ値生成処理の負荷は比較的軽い。従って、ハッシュ値生成処理の負荷を軽減したい場合には、送信予約ファイルの一部から第1のハッシュ値を生成する。
【0016】
或いは、ファイル送信装置は、ハッシュ関数以外の手段を利用し、第1の改ざん検出用データを生成してもよい。例えば、ファイル送信装置は、CRCの技術を利用し、第1の改ざん検出用データを生成してもよい。
【0017】
なお、ファイル送信装置の付加情報設定及び記憶部16が、第1の改ざん検出用データを記憶するのではなく、ファイル送信装置と異なるハードウェアが、第1の改ざん検出用データを記憶し、第1の改ざん検出用データのセキュリティを高めるようにしてもよい。
【0018】
ファイル送信装置の主制御部11は、所定のタイミング(例えば指定された送信時間)で、記憶された送信予約ファイル及び処理指定を読み出し、ファイル送信部13は、この送信予約ファイル及び処理指定を送信する。
【0019】
送信予約ファイルの読み出し(又は送信)の際に、ファイル送信装置の主制御部11は、記憶された送信予約ファイルが改ざんされていないか否かを検出し、改ざん検出結果に応じて、送信予約ファイルの送信を制限する。例えば、付加情報設定及び記憶部16は、前記改ざん検出用データ生成処理に基づき、記憶された送信予約ファイルの全部又は一部から、一意に定まる第2の改ざん検出用データを生成する。つまり、付加情報設定及び記憶部16は、前記ハッシュ関数に基づき、記憶された送信予約ファイルから、一意に定まる第2の改ざん検出用データとしての第2のハッシュ値を生成する(ACT121)。
【0020】
主制御部11は、第1の改ざん検出用データ(第1のハッシュ値)と第2の改ざん検出用データ(第2のハッシュ値)とを比較し、記憶された送信予約ファイルが改ざんされていないか否かを検出する。なお、第1の改ざん検出用データ(第1のハッシュ値)が、送信予約ファイルの全部から生成されたデータであれば、第2の改ざん検出用データ(第2のハッシュ値)も、記憶された送信予約ファイルの全部から生成されたデータとする。第1の改ざん検出用データ(第1のハッシュ値)が、送信予約ファイルの一部(例えばヘッダーデータ)から生成されたデータであれば、第2の改ざん検出用データ(第2のハッシュ値)も、記憶された送信予約ファイルの一部(例えばヘッダーデータ)から生成されたデータとする。
【0021】
主制御部11は、第1の改ざん検出用データ(第1のハッシュ値)と第2の改ざん検出用データ(第2のハッシュ値)とが一致すれば(ACT122、YES)、記憶された送信予約ファイルが改ざんされていないと判定し、一致しなければ(ACT122、NO)、記憶された送信予約ファイルが改ざんされていると判定する(又は改ざんされている可能性が高いと判定する)。
【0022】
例えば、ファイル送信装置の主制御部11が、記憶された送信予約ファイルの改ざんを検出した場合(ACT122、NO)、案内部17は、警告情報(改ざん検出情報)を表示し、主制御部11は、送信予約ファイルの送信の中止を指示する(ACT124)。例えば、警告情報は、送信予約ファイルが改ざんされていることを示す改ざん検出情報(或いは送信予約ファイルが改ざんされた可能性が高いことを示す改ざん検出情報)である。
【0023】
或いは、主制御部11は、記憶された送信予約ファイルの改ざんを検出した場合(ACT122、NO)、記憶された送信予約ファイルを読み出し、指定された送信先(ファイル受信装置)に対する警告情報及び送信予約ファイルの送信を指示する(ACT124)。ファイル送信部13は、指定された送信先(ファイル受信装置)に対して、警告情報とともに送信予約ファイル及び処理指定を送信する。
【0024】
或いは、主制御部11は、記憶された送信予約ファイルの改ざんを検出した場合(ACT122、NO)、記憶された送信予約ファイルを読み出し、指定されたメールアドレスに対する警告情報、及び指定された送信先(ファイル受信装置)に対する送信予約ファイルの送信を指示する(ACT124)。ファイル送信部13は、指定されたメールアドレスに対して警告情報を送信し、指定された送信先(ファイル受信装置)に対して、送信予約ファイル及び処理指定を送信する。
【0025】
また、ファイル送信装置の主制御部11が、記憶された送信予約ファイルの改ざんを検出しなかった場合(ACT122、NO)、案内部17は、送信予約ファイルの改ざん無検出(或いは送信予約ファイルが改ざんされた可能性は低いことを示す情報)を表示し、主制御部11は、記憶された送信予約ファイル及び処理指定を読み出し、送信予約ファイル及び処理指定の送信を指示する。ファイル送信部13は、指定された送信先(ファイル受信装置)に対して、送信予約ファイル及び処理指定を送信する(ACT123)。或いは、ファイル送信部13は、指定された送信先(ファイル受信装置)に対して、第1の改ざん検出用データ(第1のハッシュ値)又は第2の改ざん検出用データ(第2のハッシュ値)、送信予約ファイル、及び処理指定を送信する(ACT123)。
【0026】
なお、送信予約ファイルを入力してから所定時間経過前にこの送信予約ファイルを送信する場合、主制御部11は、第1及び第2の改ざん検出用データの生成を省略し、改ざん検出処理も省略し、送信予約ファイルの送信を指示することができる。これにより、ファイル送信部13は、改ざん検出を省略した状態で、送信予約ファイルを送信することができる。つまり、ファイル送信装置は、改ざんされる可能性が低いケースにおいて、改ざん検出処理を省略し、改ざん検出処理の負荷を自動的に軽減することができる。
【0027】
言い換えれば、送信予約ファイルを入力してから所定時間経過後にこの送信予約ファイルを送信する場合、主制御部11は、第1及び第2の改ざん検出用データを生成し、改ざん検出処理を実行する。
【0028】
図6は、ファイル受信処理の一例を示すフローチャートである。図7は、ファイル出力処理の一例を示すフローチャートである。
【0029】
ファイル受信装置の主制御部21は、入力ファイル(受信ファイル)と出力ファイルの完全性を確保するため、出力(例えば印刷)の時点で、出力ファイルが改ざんされていないか否かを検出する。例えば、ファイル受信装置のファイル受信部23は、ファイル送信装置から送信されたファイル及び処理指定を受信(入力)し、付加情報設定及び記憶部26は、ファイル及び処理指定の受信(入力)に対応して、改ざん検出用データ生成処理に基づき、受信ファイルから、一意に定まる第3の改ざん検出用データを生成し、第3の改ざん検出用データを記憶する。また、主制御部21は、受信した処理指定を解析し、処理指定に応じた処理の実行を制御する。例えば、主制御部21は、処理指定が保存を示す場合には、受信ファイルの保存を指定し、ファイル記憶部14は、受信ファイルを記憶する。また、主制御部21は、処理指定が印刷を示し、且つプリンタ28による印刷が実行できない状態である場合には、受信ファイルの保存及び所定時間経過後の印刷を指定し、ファイル記憶部14は、受信ファイルを記憶する。
【0030】
ここで、改ざん検出用データ生成処理の一例について説明する。例えば、付加情報設定及び記憶部26は、送信予約ファイルの受信(入力)に対応して、ハッシュ関数に基づき、受信ファイルの全部又は一部から、一意に定まる第3の改ざん検出用データとしての第3のハッシュ値を生成し(ACT211)、第3の改ざん検出用データを記憶する(図8)。さらに、ファイル記憶部14は、受信ファイルを記憶する(ACT212)。ハッシュ関数等の詳細については上記説明した通りである。
【0031】
上記した受信ファイルの一部とは、例えば、受信ファイルのヘッダデータ等である。受信ファイルの全部から第3のハッシュ値を生成する場合には、ハッシュ値生成処理の負荷は比較的重く、受信ファイルの一部から第3のハッシュ値を生成する場合、ハッシュ値生成処理の負荷は比較的軽い。従って、ハッシュ値生成処理の負荷を軽減したい場合には、受信ファイルの一部から第3のハッシュ値を生成する。
【0032】
なお、ファイル送信装置が、第1の改ざん検出用データ(第1のハッシュ値)又は第2の改ざん検出用データ(第2のハッシュ値)とともにファイルを送信している場合、ファイル受信部23は、第1の改ざん検出用データ(第1のハッシュ値)又は第2の改ざん検出用データ(第2のハッシュ値)とともにファイル及び処理指定を受信(入力)し、付加情報設定及び記憶部26は、第1の改ざん検出用データ(第1のハッシュ値)又は第2の改ざん検出用データ(第2のハッシュ値)、及び第3の改ざん検出用データ(第3のハッシュ値)を記憶する。
【0033】
また、ファイル受信装置の付加情報設定及び記憶部26が、第1及び第3の改ざん検出用データ(又は第2及び第3の改ざん検出用データ)を記憶するのではなく、ファイル受信装置と異なるハードウェアが、第1及び第3の改ざん検出用データ(又は第2及び第3の改ざん検出用データ)を記憶し、第1及び第3の改ざん検出用データ(又は第2及び第3の改ざん検出用データ)のセキュリティを高めるようにしてもよい。
【0034】
ファイル受信装置の主制御部21は、所定のタイミング(例えばファイルを受信してから所定時間経過後のタイミング、又は印刷可能状態の検出タイミング、又はユーザからの印刷指定の検出タイミング)で、記憶された受信ファイルを読み出し、信号入出力端子22は、この受信ファイルを出力する。例えば、信号入出力端子22は、この受信ファイルをプリンタ28へ出力し、プリンタ28は、この受信ファイルに基づく画像を印刷する。
【0035】
受信ファイルの読み出し(出力)の際に、ファイル受信装置の主制御部21は、記憶された受信ファイルが改ざんされていないか否かを検出し、改ざん検出結果に応じて、受信ファイルの出力を制限する。例えば、付加情報設定及び記憶部26は、前記改ざん検出用データ生成処理に基づき、記憶された受信ファイルの全部又は一部から、一意に定まる第4の改ざん検出用データを生成する。つまり、付加情報設定及び記憶部26は、前記ハッシュ関数に基づき、記憶された受信ファイルから、一意に定まる第4の改ざん検出用データとしての第4のハッシュ値を生成する(ACT221)。
【0036】
主制御部21は、第3の改ざん検出用データ(第3のハッシュ値)と第4の改ざん検出用データ(第4のハッシュ値)とを比較し、記憶された受信ファイルが改ざんされていないか否かを検出する。なお、第3の改ざん検出用データ(第3のハッシュ値)が、送信予約ファイルの全部から生成されたデータであれば、第4の改ざん検出用データ(第4のハッシュ値)も、記憶された送信予約ファイルの全部から生成されたデータとする。第3の改ざん検出用データ(第3のハッシュ値)が、送信予約ファイルの一部(例えばヘッダーデータ)から生成されたデータであれば、第4の改ざん検出用データ(第4のハッシュ値)も、記憶された送信予約ファイルの一部(例えばヘッダーデータ)から生成されたデータとする。
【0037】
主制御部11は、第3の改ざん検出用データ(第3のハッシュ値)と第4の改ざん検出用データ(第4のハッシュ値)とが一致すれば(ACT222、YES)、記憶された受信ファイルが改ざんされていないと判定し、一致しなければ(ACT222、NO)、記憶された受信ファイルが改ざんされていると判定する(又は改ざんされている可能性が高いと判定する)。
【0038】
例えば、ファイル受信装置の主制御部21が、記憶された受信ファイルの改ざんを検出した場合(ACT222、NO)、案内部27は、警告情報を表示し、主制御部21は、受信ファイルの読み出し及び出力の中止を指示する(ACT224)。例えば、警告情報は、受信ファイルが改ざんされていることを示す改ざん検出情報(或いは受信ファイルが改ざんされた可能性が高いことを示す改ざん検出情報)である。
【0039】
或いは、主制御部21は、記憶された受信ファイルの改ざんを検出した場合(ACT222、NO)、記憶された受信ファイルを読み出し、警告情報及び受信ファイルの出力を指示する(ACT224)。信号入出力端子22は、プリンタ28に対して、警告情報とともに受信ファイルを送信する。プリンタ28は、警告情報及び受信ファイルに基づく画像を印刷する。これにより、ヘッダー等に警告情報を含む印刷画像が出力される。
【0040】
或いは、主制御部21は、記憶された受信ファイルの改ざんを検出した場合(ACT222、NO)、記憶された受信ファイルを読み出し、指定されたメールアドレスに対する警告情報の送信を指示し、受信ファイルの出力を指示する(ACT224)。信号入出力端子22は、プリンタ28に対して、受信ファイルを送信する。プリンタ28は、受信ファイルに基づく画像を印刷する。
【0041】
上記説明では、第3及び第4の改ざん検出用データに基づく改ざん検出について説明したが、ファイル受信装置が、ファイル送信装置から第1又は第2の改ざん検出用データを受信している場合には、第1、第3、第4の改ざん検出用データ(又は第2、第3、第4の改ざん検出用データ)に基づく改ざん検出が可能となる。
【0042】
例えば、第1、第3、第4の改ざん検出用データ(又は第2、第3、第4の改ざん検出用データ)が一致する場合には、主制御部21は、ファイル送信前からファイル出力前まで全ての期間にわたりファイルが改ざんされていないと判定できる。
【0043】
また、第1及び第3の改ざん検出用データが一致し、第4の改ざん検出用データが第1及び第3の改ざん検出用データと一致しない場合には、主制御部21は、ファイル送信前からファイル受信時までファイルが改ざんされていないが、ファイル受信後からファイル出力前までの間にファイルが改ざんされたと判定し、改ざん情報の記録を指示し、付加情報設定及び記憶部26が、改ざん情報を記憶する。
【0044】
また、第3及び第4の改ざん検出用データが一致し、第1の改ざん検出用データが第3及び第4の改ざん検出用データと一致しない場合には、主制御部21は、ファイル受信時にはファイルが改ざんされていたと判定し、改ざん情報の記録を指示し、付加情報設定及び記憶部26が、改ざん情報を記憶する。
【0045】
また、ファイル受信部23が、第1及び第3の改ざん検出用データの何れのデータも受信しない場合に、主制御部21は、ファイル送信装置とファイル受信装置との通信中にデータの改ざん、改変等が発生したものと判定する。
【0046】
なお、ファイルを受信してから所定時間経過前にこの受信ファイルを出力(印刷)する場合、又は前記ファイルの入力時における前記ファイルの印刷可能状態を検出した場合、主制御部11は、第3及び第4の改ざん検出用データの生成を省略し、改ざん検出処理も省略し、受信ファイルの出力(印刷)を指示することができる。これにより、信号入出力端子22は、改ざん検出を省略した状態で、受信ファイルを出力(印刷)することができる。つまり、ファイル受信装置は、改ざんされる可能性が低いケースにおいて、改ざん検出処理を省略し、改ざん検出処理の負荷を自動的に軽減することができる。
【0047】
言い換えれば、ファイルを受信してから所定時間経過後にこの受信ファイルを出力(印刷)する場合、又はファイルの入力時におけるファイルの印刷不能状態を検出した場合、主制御部11は、第3の改ざん検出用データを生成する。そして、ファイルを受信してから所定時間経過後のファイル出力要求に対応して、又はファイルの印刷可能状態の検出且つファイルの出力要求に対応して、主制御部11は、第4の改ざん検出用データを生成し、第3の改ざん検出用データと第4の改ざん検出用データとを比較し、比較結果に基づき受信ファイルの改ざん未検出に応じて、受信ファイルの送信を指示する。
【0048】
以下、第1の実施形態についてまとめる。
【0049】
第1の実施形態のファイル送信装置は、ファイルの送信予約後からファイルの送信までの間のファイルの改ざんを検出することができる。さらに、ファイル送信装置は、ファイルの改ざんを検出した場合、ファイルの送信を制限することができる。例えば、ファイル送信装置は、ファイルの改ざんを検出した場合、ファイルの送信を中止することができる。或いは、ファイル送信装置は、ファイルの改ざんを検出した場合、警告情報とファイルを送信することができる。
【0050】
また、第1の実施形態のファイル受信装置は、ファイルの受信後からファイルの読み出し(出力)までの間のファイルの改ざんを検出することができる。さらに、ファイル受信装置は、ファイルの改ざんを検出した場合、ファイルの出力を制限することができる。例えば、ファイル受信装置は、ファイルの改ざんを検出した場合、ファイルの出力(印刷)を中止することができる。或いは、ファイル送信装置は、ファイルの改ざんを検出した場合、警告情報とファイルとを出力(印刷)することができる。
【0051】
(第2の実施形態)
以下、図面を参照して、第2の実施形態について説明する。
【0052】
図9は、第2の実施形態に係るファイル転送システムの概略構成の一例を示す図である。図9に示すように、ファイル転送システムは、コントローラ101、パーソナルコンピュータ102、画像形成装置103、SIP(Session Initiation Protocol)サーバ104、電話器105を備えている。コントローラ101は、例えばパーソナルコンピュータである。コントローラ101、パーソナルコンピュータ102、画像形成装置103は、LAN106を介して、SIPサーバ104と接続されている。また、電話器105は、電話線107を介して、SIPサーバ104と接続されている。
【0053】
上記コントローラ101は、例えば、ファイル転送機能を備えたプログラム(ソフトウェア)101aを実装(記憶)し、このプログラム101aに基づき動作する。このプログラム101aは、コントローラ上に不正なMACアドレスが存在すると判断した時には、正常に動作しない。
【0054】
例えば、このプログラム101aをA社製のハードウェア(例えばコントローラ101)に実装(インストール)することを想定する。つまり、このプログラム101aをA社製のハードウェア以外で動作させたくないケースを想定する。
【0055】
このプログラム101aは、本プログラム101aをインストールしたハードウェアのMACアドレスを検出し、予め判明するA社製のハードウェアのMACアドレス(登録MACアドレス)と検出したMACアドレスとを比較し、A社製のハードウェアにインストールされているか否かを検証する。
【0056】
このプログラム101aは、A社製のハードウェアのMACアドレスと検出したMACアドレスとが一致すれば、A社製のハードウェアにインストールされていると判定し、動作を許可する(例えば外部機器との通信を許可する)。
【0057】
このプログラム101aは、A社製のハードウェアのMACアドレスと検出したMACアドレスとが一致しなければ、A社製のハードウェアにインストールされていないと判定し、動作を許可しない(例えば外部機器との通信を許可しない)。
【0058】
以上により、特定のハードウェアで動作するプログラムを提供することが可能となる。これにより、不正に上記プログラム101aが入手されても、正規のハードウェア(上記のケースではA社製のハードウェア)でなければ、不正に入手されたプログラム101aを利用することはできない。つまり、不正に入手された上記プログラム101aの不正使用を防止することができる。
【0059】
上記コントローラ101は、例えば、ファイル転送装置である。上記コントローラ101にインストールされたプログラム101aは、外部との通信を可能とするため、NIC上のMACアドレスを検出し、検出MACアドレスの正当性を確認する。上記プログラム101aが、検出MACアドレスは未登録のMACアドレスであると判断した場合、検出MACアドレスを不正と判断し、コントローラ101はSIPリクエストに関するプログラム101aの実行を中止する。これによりSIPは未登録となりファイルの送受信は許可されなくなる。
【0060】
図10を参照して、上記についてさらに詳しく説明する。コントローラ101は、通常、起動後(ACT301)に外部との通信を可能とするため、SIPサーバ104からSIPレジストを行う。この時、コントローラ101にインストールされたプログラム101aは、MACアドレスを検出し、検出MACアドレスが許可されていないMACアドレスである場合(未登録MACアドレスである場合)には(ACT302、NO)、SIPサーバ104に対してSIPリクエスト処理を行わない。そして、コントローラ101は、サービスマンコールとして『未許可のMACアドレスです。』又は『不正なハードウェアです。』等のメッセージをユーザに表示する(ACT303)。
【0061】
上記処理によって、登録された正規のハードウェア(登録のMACアドレスを有するハードウェア)に上記プログラム101aをインストールした場合に、上記プログラム101aは動作するが、未登録の非正規のハードウェア(未登録のMACアドレスを有するハードウェア)に上記プログラム101aをインストールしても、上記プログラム101aは動作しない。つまり、未登録の非正規のハードウェアに上記プログラム101aをインストールしても、未登録の非正規のハードウェアは、外部と正常に通信することはできない。
【0062】
コントローラ101にインストールされたプログラム101aは、検出MACアドレスが許可されたMACアドレスである場合(登録MACアドレスである場合)には(ACT302、YES)、SIPサーバ104に対してレジストのリクエストを開始し(ACT304)、レジストを完了し(ACT305)、外部通信準備を完了する(ACT306)。
【0063】
以下、第2の実施形態についてまとめる。
【0064】
(1)例えば、第2の実施形態のプログラムは、下記の通りである。
【0065】
ネットワーク接続機器(本プログラムをインストールした機器)のMACアドレスを検出する手順と、
検出MACアドレスの正当性を検出する手順と、
検出MACアドレスの正当性が検出されたことを条件として動作を許可する手順と、をコンピュータに実行させるためのプログラム。
【0066】
(2)例えば、第2の実施形態のプログラムは、下記の通りである。
【0067】
ネットワーク接続機器(本プログラムをインストールした機器)のMACアドレスを検出する手順と、
登録MACアドレスと検出MACアドレスとを比較して検出したMACアドレスの正当性を検出する手順と、
検出MACアドレスの正当性が検出されたことを条件として動作を許可する手順と、をコンピュータに実行させるためのプログラム。
【0068】
(3)例えば、第2の実施形態のプログラムは、下記の通りである。
【0069】
ネットワーク接続機器(本プログラムをインストールした機器)のMACアドレスを検出する手順と、
登録MACアドレスと検出MACアドレスとを比較して検出したMACアドレスの正当性を検出する手順と、
検出MACアドレスの正当性が検出されたことを条件として外部機器との通信を許可する手順と、をコンピュータに実行させるためのプログラム。
【0070】
(4)例えば、第2の実施形態の制御方法は、下記の通りである。
【0071】
ネットワーク接続機器(本プログラムをインストールした機器)のMACアドレスを検出し、
検出MACアドレスの正当性を検出し、
検出MACアドレスの正当性が検出されたことを条件として動作を許可する制御方法。
【0072】
(5)例えば、第2の実施形態の制御方法は、下記の通りである。
【0073】
ネットワーク接続機器(本プログラムをインストールした機器)のMACアドレスを検出し、
登録MACアドレスと検出MACアドレスとを比較して検出したMACアドレスの正当性を検出し、
検出MACアドレスの正当性が検出されたことを条件として動作を許可する制御方法。
【0074】
(6)例えば、第2の実施形態のプログラムは、下記の通りである。
【0075】
ネットワーク接続機器(本プログラムをインストールした機器)のMACアドレスを検出し、
登録MACアドレスと検出MACアドレスとを比較して検出したMACアドレスの正当性を検出し、
検出MACアドレスの正当性が検出されたことを条件として外部機器との通信を許可する制御方法。
【0076】
(7)例えば、第2の実施形態のコントローラは、下記の通りである。
【0077】
上記(1)、(2)、(3)の何れかのプログラムをインストールしたコントローラ。
【0078】
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
【符号の説明】
【0079】
11…主制御部、12…信号入出力端子、13…ファイル送信部、14…ファイル記憶部、15…呼制御部、16…付加情報設定及び記憶部、17…案内部、21…主制御部、22…信号入出力端子、23…ファイル受信部、24…ファイル記憶部、25…呼制御部、26…付加情報設定及び記憶部、27…案内部、28…プリンタ、29…パーソナルコンピュータ
【技術分野】
【0001】
本発明の実施形態は、改ざん検出装置及び改ざん検出方法に関する。
【背景技術】
【0002】
通信回線を介したファイルの送受信において、回線エラー等を検出する技術が知られている。また、通信回線を介したファイルの送受信において、送信前のファイルと受信後のファイルの差分からファイルの改ざん等を検出する技術が知られている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2010−178263号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
上記したようにファイル送受信中におけるファイルの改ざんについては、上記したファイル改ざん検出技術を適用しファイルの改ざんを検出することができる。しかしながら、ファイルが改ざんされる可能性のある場面は、上記に限らない。例えば、ファイル送信前(出力前)のファイル保存期間中にファイルが改ざんされる可能性もある。上記したファイル改ざん検出技術では、このようなファイル保存期間中におけるファイルの改ざんを検出することは難しい。
【0005】
本発明が解決しようとする課題は、ファイル出力前のファイル保存期間中におけるファイルの改ざんを検出することができる改ざん検出装置及び改ざん検出方法を提供することである。
【課題を解決するための手段】
【0006】
実施形態の改ざん検出装置は、入力手段と、記憶手段と、出力手段、改ざん検出手段とを備える。前記入力手段は、ファイルを入力する。前記記憶手段は、前記ファイルを記憶する。前記出力手段は、前記ファイルを出力する。前記改ざん検出手段は、前記ファイルの入力に対応して、改ざん検出用データ生成処理に基づき、前記ファイルから、一意に定まる第1の改ざん検出用データを生成し、前記記憶手段に前記ファイル及び前記第1の改ざん検出用データを記憶し、前記ファイルの出力要求に対応して、前記改ざん検出用データ生成処理に基づき、前記記憶手段に記憶された前記ファイルから、一意に定まる第2の改ざん検出用データを生成し、前記第1の改ざん検出用データと前記第2の改ざん検出用データとを比較し、比較結果に基づき前記ファイルの改ざんを検出する。
【図面の簡単な説明】
【0007】
【図1】第1の実施形態に係るファイル送信装置(改ざん検出装置)の概略構成の一例を示すブロック図である。
【図2】第1の実施形態に係るファイル受信装置(改ざん検出装置)の概略構成の一例を示すブロック図である。
【図3】第1の実施形態に係るファイル送信予約処理の一例を示すフローチャートである。
【図4】第1の実施形態に係るファイル送信処理の一例を示すフローチャートである。
【図5】送信前のハッシュ値の登録の一例を示す図である。
【図6】第1の実施形態に係るファイル受信処理の一例を示すフローチャートである。
【図7】第1の実施形態に係るファイル出力処理の一例を示すフローチャートである。
【図8】出力前のハッシュ値の登録の一例を示す図である。
【図9】第2の実施形態に係るファイル転送システムの概略構成の一例を示す図である。
【図10】第2の実施形態に係る外部通信準備処理の一例を示すフローチャートである。
【発明を実施するための形態】
【0008】
(第1の実施形態)
以下、図面を参照して、第1の実施形態について説明する。
【0009】
図1は、第1の実施形態に係るファイル送信装置(改ざん検出装置)の概略構成の一例を示すブロック図である。図1に示すように、ファイル送信装置は、主制御部11、信号入出力端子12、ファイル送信部13、ファイル記憶部14、呼制御部15、付加情報設定及び記憶部16、案内部17を備える。
【0010】
図2は、第1の実施形態に係るファイル受信装置(改ざん検出装置)の概略構成の一例を示すブロック図である。図2に示すように、ファイル受信装置は、主制御部21、信号入出力端子22、ファイル受信部23、ファイル記憶部24、呼制御部25、付加情報設定及び記憶部26、案内部27、プリンタ28、パーソナルコンピュータ29を備える。
【0011】
図3及び図4を参照して、ファイル送信予約処理及びファイル送信処理の一例について説明する。図3は、ファイル送信予約処理の一例を示すフローチャートである。図4は、ファイル送信処理の一例を示すフローチャートである。
【0012】
ファイル送信装置の主制御部11は、入力ファイルと出力ファイル(送信ファイル)の完全性を確保するため、出力(例えば送信)の時点で、出力ファイルが改ざんされていないか否かを検出する。例えば、ファイル送信装置の信号入出力端子12は、送信予約ファイル及び処理指定(例えば印刷、保存、又は印刷と保存)を受信(入力)し、付加情報設定及び記憶部16は、送信予約ファイル及び処理指定を受信(入力)に対応して、改ざん検出用データ生成処理に基づき、送信予約ファイルから、一意に定まる第1の改ざん検出用データを生成し、第1の改ざん検出用データを記憶する。さらに、ファイル記憶部14は、送信予約ファイル及び処理指定を記憶する。
【0013】
ここで、改ざん検出用データ生成処理の一例について説明する。例えば、付加情報設定及び記憶部16は、送信予約ファイルの受信(入力)に対応して、ハッシュ関数に基づき、送信予約ファイルの全部又は一部から、一意に定まる第1の改ざん検出用データとしての第1のハッシュ値を生成し(ACT111)、第1の改ざん検出用データを送信側ログとして記憶する(図5)。さらに、ファイル記憶部14は、送信予約ファイルを記憶する(ACT112)。ハッシュ関数は一方向性関数であり、ハッシュ関数に基づくハッシュ値生成のアルゴリズムを利用することにより、対象データ(任意のデータサイズ)から、一定のビット列(例えば256ビット)のハッシュ値を得ることができる。ハッシュ関数としては、例えばmd5(Message Digest Algorithm 5)又はSHA(Secure Hash Algorithm)−1がある。
【0014】
上記した送信予約ファイルの一部とは、例えば、送信予約ファイルのヘッダデータ等である。送信予約ファイルの全部から第1のハッシュ値を生成する場合には、ハッシュ値生成処理の負荷は比較的重く、送信予約ファイルの一部から第1のハッシュ値を生成する場合、ハッシュ値生成処理の負荷は比較的軽い。従って、ハッシュ値生成処理の負荷を軽減したい場合には、送信予約ファイルの一部から第1のハッシュ値を生成する。
【0015】
上記した送信予約ファイルの一部とは、例えば、送信予約ファイルのヘッダデータ等である。送信予約ファイルの全部から第1のハッシュ値を生成する場合には、ハッシュ値生成処理の負荷は比較的重く、送信予約ファイルの一部から第1のハッシュ値を生成する場合、ハッシュ値生成処理の負荷は比較的軽い。従って、ハッシュ値生成処理の負荷を軽減したい場合には、送信予約ファイルの一部から第1のハッシュ値を生成する。
【0016】
或いは、ファイル送信装置は、ハッシュ関数以外の手段を利用し、第1の改ざん検出用データを生成してもよい。例えば、ファイル送信装置は、CRCの技術を利用し、第1の改ざん検出用データを生成してもよい。
【0017】
なお、ファイル送信装置の付加情報設定及び記憶部16が、第1の改ざん検出用データを記憶するのではなく、ファイル送信装置と異なるハードウェアが、第1の改ざん検出用データを記憶し、第1の改ざん検出用データのセキュリティを高めるようにしてもよい。
【0018】
ファイル送信装置の主制御部11は、所定のタイミング(例えば指定された送信時間)で、記憶された送信予約ファイル及び処理指定を読み出し、ファイル送信部13は、この送信予約ファイル及び処理指定を送信する。
【0019】
送信予約ファイルの読み出し(又は送信)の際に、ファイル送信装置の主制御部11は、記憶された送信予約ファイルが改ざんされていないか否かを検出し、改ざん検出結果に応じて、送信予約ファイルの送信を制限する。例えば、付加情報設定及び記憶部16は、前記改ざん検出用データ生成処理に基づき、記憶された送信予約ファイルの全部又は一部から、一意に定まる第2の改ざん検出用データを生成する。つまり、付加情報設定及び記憶部16は、前記ハッシュ関数に基づき、記憶された送信予約ファイルから、一意に定まる第2の改ざん検出用データとしての第2のハッシュ値を生成する(ACT121)。
【0020】
主制御部11は、第1の改ざん検出用データ(第1のハッシュ値)と第2の改ざん検出用データ(第2のハッシュ値)とを比較し、記憶された送信予約ファイルが改ざんされていないか否かを検出する。なお、第1の改ざん検出用データ(第1のハッシュ値)が、送信予約ファイルの全部から生成されたデータであれば、第2の改ざん検出用データ(第2のハッシュ値)も、記憶された送信予約ファイルの全部から生成されたデータとする。第1の改ざん検出用データ(第1のハッシュ値)が、送信予約ファイルの一部(例えばヘッダーデータ)から生成されたデータであれば、第2の改ざん検出用データ(第2のハッシュ値)も、記憶された送信予約ファイルの一部(例えばヘッダーデータ)から生成されたデータとする。
【0021】
主制御部11は、第1の改ざん検出用データ(第1のハッシュ値)と第2の改ざん検出用データ(第2のハッシュ値)とが一致すれば(ACT122、YES)、記憶された送信予約ファイルが改ざんされていないと判定し、一致しなければ(ACT122、NO)、記憶された送信予約ファイルが改ざんされていると判定する(又は改ざんされている可能性が高いと判定する)。
【0022】
例えば、ファイル送信装置の主制御部11が、記憶された送信予約ファイルの改ざんを検出した場合(ACT122、NO)、案内部17は、警告情報(改ざん検出情報)を表示し、主制御部11は、送信予約ファイルの送信の中止を指示する(ACT124)。例えば、警告情報は、送信予約ファイルが改ざんされていることを示す改ざん検出情報(或いは送信予約ファイルが改ざんされた可能性が高いことを示す改ざん検出情報)である。
【0023】
或いは、主制御部11は、記憶された送信予約ファイルの改ざんを検出した場合(ACT122、NO)、記憶された送信予約ファイルを読み出し、指定された送信先(ファイル受信装置)に対する警告情報及び送信予約ファイルの送信を指示する(ACT124)。ファイル送信部13は、指定された送信先(ファイル受信装置)に対して、警告情報とともに送信予約ファイル及び処理指定を送信する。
【0024】
或いは、主制御部11は、記憶された送信予約ファイルの改ざんを検出した場合(ACT122、NO)、記憶された送信予約ファイルを読み出し、指定されたメールアドレスに対する警告情報、及び指定された送信先(ファイル受信装置)に対する送信予約ファイルの送信を指示する(ACT124)。ファイル送信部13は、指定されたメールアドレスに対して警告情報を送信し、指定された送信先(ファイル受信装置)に対して、送信予約ファイル及び処理指定を送信する。
【0025】
また、ファイル送信装置の主制御部11が、記憶された送信予約ファイルの改ざんを検出しなかった場合(ACT122、NO)、案内部17は、送信予約ファイルの改ざん無検出(或いは送信予約ファイルが改ざんされた可能性は低いことを示す情報)を表示し、主制御部11は、記憶された送信予約ファイル及び処理指定を読み出し、送信予約ファイル及び処理指定の送信を指示する。ファイル送信部13は、指定された送信先(ファイル受信装置)に対して、送信予約ファイル及び処理指定を送信する(ACT123)。或いは、ファイル送信部13は、指定された送信先(ファイル受信装置)に対して、第1の改ざん検出用データ(第1のハッシュ値)又は第2の改ざん検出用データ(第2のハッシュ値)、送信予約ファイル、及び処理指定を送信する(ACT123)。
【0026】
なお、送信予約ファイルを入力してから所定時間経過前にこの送信予約ファイルを送信する場合、主制御部11は、第1及び第2の改ざん検出用データの生成を省略し、改ざん検出処理も省略し、送信予約ファイルの送信を指示することができる。これにより、ファイル送信部13は、改ざん検出を省略した状態で、送信予約ファイルを送信することができる。つまり、ファイル送信装置は、改ざんされる可能性が低いケースにおいて、改ざん検出処理を省略し、改ざん検出処理の負荷を自動的に軽減することができる。
【0027】
言い換えれば、送信予約ファイルを入力してから所定時間経過後にこの送信予約ファイルを送信する場合、主制御部11は、第1及び第2の改ざん検出用データを生成し、改ざん検出処理を実行する。
【0028】
図6は、ファイル受信処理の一例を示すフローチャートである。図7は、ファイル出力処理の一例を示すフローチャートである。
【0029】
ファイル受信装置の主制御部21は、入力ファイル(受信ファイル)と出力ファイルの完全性を確保するため、出力(例えば印刷)の時点で、出力ファイルが改ざんされていないか否かを検出する。例えば、ファイル受信装置のファイル受信部23は、ファイル送信装置から送信されたファイル及び処理指定を受信(入力)し、付加情報設定及び記憶部26は、ファイル及び処理指定の受信(入力)に対応して、改ざん検出用データ生成処理に基づき、受信ファイルから、一意に定まる第3の改ざん検出用データを生成し、第3の改ざん検出用データを記憶する。また、主制御部21は、受信した処理指定を解析し、処理指定に応じた処理の実行を制御する。例えば、主制御部21は、処理指定が保存を示す場合には、受信ファイルの保存を指定し、ファイル記憶部14は、受信ファイルを記憶する。また、主制御部21は、処理指定が印刷を示し、且つプリンタ28による印刷が実行できない状態である場合には、受信ファイルの保存及び所定時間経過後の印刷を指定し、ファイル記憶部14は、受信ファイルを記憶する。
【0030】
ここで、改ざん検出用データ生成処理の一例について説明する。例えば、付加情報設定及び記憶部26は、送信予約ファイルの受信(入力)に対応して、ハッシュ関数に基づき、受信ファイルの全部又は一部から、一意に定まる第3の改ざん検出用データとしての第3のハッシュ値を生成し(ACT211)、第3の改ざん検出用データを記憶する(図8)。さらに、ファイル記憶部14は、受信ファイルを記憶する(ACT212)。ハッシュ関数等の詳細については上記説明した通りである。
【0031】
上記した受信ファイルの一部とは、例えば、受信ファイルのヘッダデータ等である。受信ファイルの全部から第3のハッシュ値を生成する場合には、ハッシュ値生成処理の負荷は比較的重く、受信ファイルの一部から第3のハッシュ値を生成する場合、ハッシュ値生成処理の負荷は比較的軽い。従って、ハッシュ値生成処理の負荷を軽減したい場合には、受信ファイルの一部から第3のハッシュ値を生成する。
【0032】
なお、ファイル送信装置が、第1の改ざん検出用データ(第1のハッシュ値)又は第2の改ざん検出用データ(第2のハッシュ値)とともにファイルを送信している場合、ファイル受信部23は、第1の改ざん検出用データ(第1のハッシュ値)又は第2の改ざん検出用データ(第2のハッシュ値)とともにファイル及び処理指定を受信(入力)し、付加情報設定及び記憶部26は、第1の改ざん検出用データ(第1のハッシュ値)又は第2の改ざん検出用データ(第2のハッシュ値)、及び第3の改ざん検出用データ(第3のハッシュ値)を記憶する。
【0033】
また、ファイル受信装置の付加情報設定及び記憶部26が、第1及び第3の改ざん検出用データ(又は第2及び第3の改ざん検出用データ)を記憶するのではなく、ファイル受信装置と異なるハードウェアが、第1及び第3の改ざん検出用データ(又は第2及び第3の改ざん検出用データ)を記憶し、第1及び第3の改ざん検出用データ(又は第2及び第3の改ざん検出用データ)のセキュリティを高めるようにしてもよい。
【0034】
ファイル受信装置の主制御部21は、所定のタイミング(例えばファイルを受信してから所定時間経過後のタイミング、又は印刷可能状態の検出タイミング、又はユーザからの印刷指定の検出タイミング)で、記憶された受信ファイルを読み出し、信号入出力端子22は、この受信ファイルを出力する。例えば、信号入出力端子22は、この受信ファイルをプリンタ28へ出力し、プリンタ28は、この受信ファイルに基づく画像を印刷する。
【0035】
受信ファイルの読み出し(出力)の際に、ファイル受信装置の主制御部21は、記憶された受信ファイルが改ざんされていないか否かを検出し、改ざん検出結果に応じて、受信ファイルの出力を制限する。例えば、付加情報設定及び記憶部26は、前記改ざん検出用データ生成処理に基づき、記憶された受信ファイルの全部又は一部から、一意に定まる第4の改ざん検出用データを生成する。つまり、付加情報設定及び記憶部26は、前記ハッシュ関数に基づき、記憶された受信ファイルから、一意に定まる第4の改ざん検出用データとしての第4のハッシュ値を生成する(ACT221)。
【0036】
主制御部21は、第3の改ざん検出用データ(第3のハッシュ値)と第4の改ざん検出用データ(第4のハッシュ値)とを比較し、記憶された受信ファイルが改ざんされていないか否かを検出する。なお、第3の改ざん検出用データ(第3のハッシュ値)が、送信予約ファイルの全部から生成されたデータであれば、第4の改ざん検出用データ(第4のハッシュ値)も、記憶された送信予約ファイルの全部から生成されたデータとする。第3の改ざん検出用データ(第3のハッシュ値)が、送信予約ファイルの一部(例えばヘッダーデータ)から生成されたデータであれば、第4の改ざん検出用データ(第4のハッシュ値)も、記憶された送信予約ファイルの一部(例えばヘッダーデータ)から生成されたデータとする。
【0037】
主制御部11は、第3の改ざん検出用データ(第3のハッシュ値)と第4の改ざん検出用データ(第4のハッシュ値)とが一致すれば(ACT222、YES)、記憶された受信ファイルが改ざんされていないと判定し、一致しなければ(ACT222、NO)、記憶された受信ファイルが改ざんされていると判定する(又は改ざんされている可能性が高いと判定する)。
【0038】
例えば、ファイル受信装置の主制御部21が、記憶された受信ファイルの改ざんを検出した場合(ACT222、NO)、案内部27は、警告情報を表示し、主制御部21は、受信ファイルの読み出し及び出力の中止を指示する(ACT224)。例えば、警告情報は、受信ファイルが改ざんされていることを示す改ざん検出情報(或いは受信ファイルが改ざんされた可能性が高いことを示す改ざん検出情報)である。
【0039】
或いは、主制御部21は、記憶された受信ファイルの改ざんを検出した場合(ACT222、NO)、記憶された受信ファイルを読み出し、警告情報及び受信ファイルの出力を指示する(ACT224)。信号入出力端子22は、プリンタ28に対して、警告情報とともに受信ファイルを送信する。プリンタ28は、警告情報及び受信ファイルに基づく画像を印刷する。これにより、ヘッダー等に警告情報を含む印刷画像が出力される。
【0040】
或いは、主制御部21は、記憶された受信ファイルの改ざんを検出した場合(ACT222、NO)、記憶された受信ファイルを読み出し、指定されたメールアドレスに対する警告情報の送信を指示し、受信ファイルの出力を指示する(ACT224)。信号入出力端子22は、プリンタ28に対して、受信ファイルを送信する。プリンタ28は、受信ファイルに基づく画像を印刷する。
【0041】
上記説明では、第3及び第4の改ざん検出用データに基づく改ざん検出について説明したが、ファイル受信装置が、ファイル送信装置から第1又は第2の改ざん検出用データを受信している場合には、第1、第3、第4の改ざん検出用データ(又は第2、第3、第4の改ざん検出用データ)に基づく改ざん検出が可能となる。
【0042】
例えば、第1、第3、第4の改ざん検出用データ(又は第2、第3、第4の改ざん検出用データ)が一致する場合には、主制御部21は、ファイル送信前からファイル出力前まで全ての期間にわたりファイルが改ざんされていないと判定できる。
【0043】
また、第1及び第3の改ざん検出用データが一致し、第4の改ざん検出用データが第1及び第3の改ざん検出用データと一致しない場合には、主制御部21は、ファイル送信前からファイル受信時までファイルが改ざんされていないが、ファイル受信後からファイル出力前までの間にファイルが改ざんされたと判定し、改ざん情報の記録を指示し、付加情報設定及び記憶部26が、改ざん情報を記憶する。
【0044】
また、第3及び第4の改ざん検出用データが一致し、第1の改ざん検出用データが第3及び第4の改ざん検出用データと一致しない場合には、主制御部21は、ファイル受信時にはファイルが改ざんされていたと判定し、改ざん情報の記録を指示し、付加情報設定及び記憶部26が、改ざん情報を記憶する。
【0045】
また、ファイル受信部23が、第1及び第3の改ざん検出用データの何れのデータも受信しない場合に、主制御部21は、ファイル送信装置とファイル受信装置との通信中にデータの改ざん、改変等が発生したものと判定する。
【0046】
なお、ファイルを受信してから所定時間経過前にこの受信ファイルを出力(印刷)する場合、又は前記ファイルの入力時における前記ファイルの印刷可能状態を検出した場合、主制御部11は、第3及び第4の改ざん検出用データの生成を省略し、改ざん検出処理も省略し、受信ファイルの出力(印刷)を指示することができる。これにより、信号入出力端子22は、改ざん検出を省略した状態で、受信ファイルを出力(印刷)することができる。つまり、ファイル受信装置は、改ざんされる可能性が低いケースにおいて、改ざん検出処理を省略し、改ざん検出処理の負荷を自動的に軽減することができる。
【0047】
言い換えれば、ファイルを受信してから所定時間経過後にこの受信ファイルを出力(印刷)する場合、又はファイルの入力時におけるファイルの印刷不能状態を検出した場合、主制御部11は、第3の改ざん検出用データを生成する。そして、ファイルを受信してから所定時間経過後のファイル出力要求に対応して、又はファイルの印刷可能状態の検出且つファイルの出力要求に対応して、主制御部11は、第4の改ざん検出用データを生成し、第3の改ざん検出用データと第4の改ざん検出用データとを比較し、比較結果に基づき受信ファイルの改ざん未検出に応じて、受信ファイルの送信を指示する。
【0048】
以下、第1の実施形態についてまとめる。
【0049】
第1の実施形態のファイル送信装置は、ファイルの送信予約後からファイルの送信までの間のファイルの改ざんを検出することができる。さらに、ファイル送信装置は、ファイルの改ざんを検出した場合、ファイルの送信を制限することができる。例えば、ファイル送信装置は、ファイルの改ざんを検出した場合、ファイルの送信を中止することができる。或いは、ファイル送信装置は、ファイルの改ざんを検出した場合、警告情報とファイルを送信することができる。
【0050】
また、第1の実施形態のファイル受信装置は、ファイルの受信後からファイルの読み出し(出力)までの間のファイルの改ざんを検出することができる。さらに、ファイル受信装置は、ファイルの改ざんを検出した場合、ファイルの出力を制限することができる。例えば、ファイル受信装置は、ファイルの改ざんを検出した場合、ファイルの出力(印刷)を中止することができる。或いは、ファイル送信装置は、ファイルの改ざんを検出した場合、警告情報とファイルとを出力(印刷)することができる。
【0051】
(第2の実施形態)
以下、図面を参照して、第2の実施形態について説明する。
【0052】
図9は、第2の実施形態に係るファイル転送システムの概略構成の一例を示す図である。図9に示すように、ファイル転送システムは、コントローラ101、パーソナルコンピュータ102、画像形成装置103、SIP(Session Initiation Protocol)サーバ104、電話器105を備えている。コントローラ101は、例えばパーソナルコンピュータである。コントローラ101、パーソナルコンピュータ102、画像形成装置103は、LAN106を介して、SIPサーバ104と接続されている。また、電話器105は、電話線107を介して、SIPサーバ104と接続されている。
【0053】
上記コントローラ101は、例えば、ファイル転送機能を備えたプログラム(ソフトウェア)101aを実装(記憶)し、このプログラム101aに基づき動作する。このプログラム101aは、コントローラ上に不正なMACアドレスが存在すると判断した時には、正常に動作しない。
【0054】
例えば、このプログラム101aをA社製のハードウェア(例えばコントローラ101)に実装(インストール)することを想定する。つまり、このプログラム101aをA社製のハードウェア以外で動作させたくないケースを想定する。
【0055】
このプログラム101aは、本プログラム101aをインストールしたハードウェアのMACアドレスを検出し、予め判明するA社製のハードウェアのMACアドレス(登録MACアドレス)と検出したMACアドレスとを比較し、A社製のハードウェアにインストールされているか否かを検証する。
【0056】
このプログラム101aは、A社製のハードウェアのMACアドレスと検出したMACアドレスとが一致すれば、A社製のハードウェアにインストールされていると判定し、動作を許可する(例えば外部機器との通信を許可する)。
【0057】
このプログラム101aは、A社製のハードウェアのMACアドレスと検出したMACアドレスとが一致しなければ、A社製のハードウェアにインストールされていないと判定し、動作を許可しない(例えば外部機器との通信を許可しない)。
【0058】
以上により、特定のハードウェアで動作するプログラムを提供することが可能となる。これにより、不正に上記プログラム101aが入手されても、正規のハードウェア(上記のケースではA社製のハードウェア)でなければ、不正に入手されたプログラム101aを利用することはできない。つまり、不正に入手された上記プログラム101aの不正使用を防止することができる。
【0059】
上記コントローラ101は、例えば、ファイル転送装置である。上記コントローラ101にインストールされたプログラム101aは、外部との通信を可能とするため、NIC上のMACアドレスを検出し、検出MACアドレスの正当性を確認する。上記プログラム101aが、検出MACアドレスは未登録のMACアドレスであると判断した場合、検出MACアドレスを不正と判断し、コントローラ101はSIPリクエストに関するプログラム101aの実行を中止する。これによりSIPは未登録となりファイルの送受信は許可されなくなる。
【0060】
図10を参照して、上記についてさらに詳しく説明する。コントローラ101は、通常、起動後(ACT301)に外部との通信を可能とするため、SIPサーバ104からSIPレジストを行う。この時、コントローラ101にインストールされたプログラム101aは、MACアドレスを検出し、検出MACアドレスが許可されていないMACアドレスである場合(未登録MACアドレスである場合)には(ACT302、NO)、SIPサーバ104に対してSIPリクエスト処理を行わない。そして、コントローラ101は、サービスマンコールとして『未許可のMACアドレスです。』又は『不正なハードウェアです。』等のメッセージをユーザに表示する(ACT303)。
【0061】
上記処理によって、登録された正規のハードウェア(登録のMACアドレスを有するハードウェア)に上記プログラム101aをインストールした場合に、上記プログラム101aは動作するが、未登録の非正規のハードウェア(未登録のMACアドレスを有するハードウェア)に上記プログラム101aをインストールしても、上記プログラム101aは動作しない。つまり、未登録の非正規のハードウェアに上記プログラム101aをインストールしても、未登録の非正規のハードウェアは、外部と正常に通信することはできない。
【0062】
コントローラ101にインストールされたプログラム101aは、検出MACアドレスが許可されたMACアドレスである場合(登録MACアドレスである場合)には(ACT302、YES)、SIPサーバ104に対してレジストのリクエストを開始し(ACT304)、レジストを完了し(ACT305)、外部通信準備を完了する(ACT306)。
【0063】
以下、第2の実施形態についてまとめる。
【0064】
(1)例えば、第2の実施形態のプログラムは、下記の通りである。
【0065】
ネットワーク接続機器(本プログラムをインストールした機器)のMACアドレスを検出する手順と、
検出MACアドレスの正当性を検出する手順と、
検出MACアドレスの正当性が検出されたことを条件として動作を許可する手順と、をコンピュータに実行させるためのプログラム。
【0066】
(2)例えば、第2の実施形態のプログラムは、下記の通りである。
【0067】
ネットワーク接続機器(本プログラムをインストールした機器)のMACアドレスを検出する手順と、
登録MACアドレスと検出MACアドレスとを比較して検出したMACアドレスの正当性を検出する手順と、
検出MACアドレスの正当性が検出されたことを条件として動作を許可する手順と、をコンピュータに実行させるためのプログラム。
【0068】
(3)例えば、第2の実施形態のプログラムは、下記の通りである。
【0069】
ネットワーク接続機器(本プログラムをインストールした機器)のMACアドレスを検出する手順と、
登録MACアドレスと検出MACアドレスとを比較して検出したMACアドレスの正当性を検出する手順と、
検出MACアドレスの正当性が検出されたことを条件として外部機器との通信を許可する手順と、をコンピュータに実行させるためのプログラム。
【0070】
(4)例えば、第2の実施形態の制御方法は、下記の通りである。
【0071】
ネットワーク接続機器(本プログラムをインストールした機器)のMACアドレスを検出し、
検出MACアドレスの正当性を検出し、
検出MACアドレスの正当性が検出されたことを条件として動作を許可する制御方法。
【0072】
(5)例えば、第2の実施形態の制御方法は、下記の通りである。
【0073】
ネットワーク接続機器(本プログラムをインストールした機器)のMACアドレスを検出し、
登録MACアドレスと検出MACアドレスとを比較して検出したMACアドレスの正当性を検出し、
検出MACアドレスの正当性が検出されたことを条件として動作を許可する制御方法。
【0074】
(6)例えば、第2の実施形態のプログラムは、下記の通りである。
【0075】
ネットワーク接続機器(本プログラムをインストールした機器)のMACアドレスを検出し、
登録MACアドレスと検出MACアドレスとを比較して検出したMACアドレスの正当性を検出し、
検出MACアドレスの正当性が検出されたことを条件として外部機器との通信を許可する制御方法。
【0076】
(7)例えば、第2の実施形態のコントローラは、下記の通りである。
【0077】
上記(1)、(2)、(3)の何れかのプログラムをインストールしたコントローラ。
【0078】
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
【符号の説明】
【0079】
11…主制御部、12…信号入出力端子、13…ファイル送信部、14…ファイル記憶部、15…呼制御部、16…付加情報設定及び記憶部、17…案内部、21…主制御部、22…信号入出力端子、23…ファイル受信部、24…ファイル記憶部、25…呼制御部、26…付加情報設定及び記憶部、27…案内部、28…プリンタ、29…パーソナルコンピュータ
【特許請求の範囲】
【請求項1】
ファイルを入力する入力手段と、
前記ファイルを記憶する記憶手段と、
前記ファイルを出力する出力手段と、
前記ファイルの入力に対応して、改ざん検出用データ生成処理に基づき、前記ファイルから、一意に定まる第1の改ざん検出用データを生成し、前記記憶手段に前記ファイル及び前記第1の改ざん検出用データを記憶し、前記ファイルの出力要求に対応して、前記改ざん検出用データ生成処理に基づき、前記記憶手段に記憶された前記ファイルから、一意に定まる第2の改ざん検出用データを生成し、前記第1の改ざん検出用データと前記第2の改ざん検出用データとを比較し、比較結果に基づき前記ファイルの改ざんを検出する改ざん検出手段と、
を備える改ざん検出装置。
【請求項2】
前記出力手段は、前記ファイルの改ざん検出に応じて、前記ファイルの出力を制限する請求項1記載の改ざん検出装置。
【請求項3】
前記出力手段は、前記ファイルの改ざん検出に応じて、改ざん検出情報及び前記ファイルの印刷を指示する請求項1記載の改ざん検出装置。
【請求項4】
前記ファイルの改ざん検出に応じて、改ざん検出情報を表示する表示手段を備える請求項1記載の改ざん検出装置。
【請求項5】
前記改ざん検出手段は、ハッシュ関数に基づき、前記ファイルから、前記第1の改ざん検出用データとしての第1のハッシュ値を生成し、また、前記ハッシュ関数に基づき、前記記憶手段に記憶された前記ファイルから、前記第2の改ざん検出用データとしての第2のハッシュ値を生成し、前記第1のハッシュ値と前記第2のハッシュ値とを比較し、比較結果に基づき前記ファイルの改ざんを検出する請求項1記載の改ざん検出装置。
【請求項6】
前記改ざん検出手段は、前記ファイルを入力してから所定時間経過後に前記ファイルを出力する場合には前記第1の改ざん検出用データを生成し、前記ファイルを受信してから所定時間経過後の前記ファイルの出力要求に対応して前記第2の改ざん検出用データを生成し、前記第1の改ざん検出用データと前記第2の改ざん検出用データとを比較し、比較結果に基づき前記ファイルの改ざんを検出し、
前記出力手段は、前記ファイルの改ざん未検出に応じて、前記ファイルの出力を指示し、前記ファイルの改ざん検出に応じて、前記ファイルの出力を制限する請求項5記載の改ざん検出装置。
【請求項7】
前記改ざん検出手段は、前記ファイルを入力してから所定時間経過前に前記ファイルを出力する場合には前記第1及び第2の改ざん検出用データの生成を省略し、
前記出力手段は、前記ファイルの出力を指示する請求項6記載の改ざん検出装置。
【請求項8】
前記改ざん検出手段は、前記ファイルの入力時における前記ファイルの印刷不能状態の検出に対応して前記第1の改ざん検出用データを生成し、前記ファイルの印刷可能状態の検出及び前記ファイルの出力要求に対応して前記第2の改ざん検出用データを生成し、前記第1の改ざん検出用データと前記第2の改ざん検出用データとを比較し、比較結果に基づき前記ファイルの改ざんを検出し、
前記出力手段は、前記ファイルの改ざん未検出に応じて、前記ファイルの印刷を指示し、前記ファイルの改ざん検出に応じて、前記ファイルの印刷を制限する請求項1記載の改ざん検出装置。
【請求項9】
前記入力手段は、送信予約ファイルとしての前記ファイルを入力し、
前記出力手段は、所定のタイミングで前記記憶手段に記憶された前記ファイルを送信する請求項1記載の改ざん検出装置。
【請求項10】
前記出力手段は、前記ファイルの改ざん検出に応じて、前記ファイルの送信を制限する請求項9記載の改ざん検出装置。
【請求項11】
前記改ざん検出手段は、ハッシュ関数に基づき、前記ファイルから、前記第1の改ざん検出用データとしての第1のハッシュ値を生成し、また、前記ハッシュ関数に基づき、前記記憶手段に記憶された前記ファイルから、前記第2の改ざん検出用データとしての第2のハッシュ値を生成し、前記第1のハッシュ値と前記第2のハッシュ値とを比較し、比較結果に基づき前記ファイルの改ざんを検出する請求項10記載の改ざん検出装置。
【請求項12】
ファイルの入力に対応して、改ざん検出用データ生成処理に基づき、前記ファイルから、一意に定まる第1の改ざん検出用データを生成し、
前記ファイル及び前記第1の改ざん検出用データを記憶し、
前記ファイルの出力要求に対応して、前記改ざん検出用データ生成処理に基づき、前記記憶された前記ファイルから、一意に定まる第2の改ざん検出用データを生成し、
前記第1の改ざん検出用データと前記第2の改ざん検出用データとを比較し、比較結果に基づき前記ファイルの改ざんを検出する改ざん検出方法。
【請求項1】
ファイルを入力する入力手段と、
前記ファイルを記憶する記憶手段と、
前記ファイルを出力する出力手段と、
前記ファイルの入力に対応して、改ざん検出用データ生成処理に基づき、前記ファイルから、一意に定まる第1の改ざん検出用データを生成し、前記記憶手段に前記ファイル及び前記第1の改ざん検出用データを記憶し、前記ファイルの出力要求に対応して、前記改ざん検出用データ生成処理に基づき、前記記憶手段に記憶された前記ファイルから、一意に定まる第2の改ざん検出用データを生成し、前記第1の改ざん検出用データと前記第2の改ざん検出用データとを比較し、比較結果に基づき前記ファイルの改ざんを検出する改ざん検出手段と、
を備える改ざん検出装置。
【請求項2】
前記出力手段は、前記ファイルの改ざん検出に応じて、前記ファイルの出力を制限する請求項1記載の改ざん検出装置。
【請求項3】
前記出力手段は、前記ファイルの改ざん検出に応じて、改ざん検出情報及び前記ファイルの印刷を指示する請求項1記載の改ざん検出装置。
【請求項4】
前記ファイルの改ざん検出に応じて、改ざん検出情報を表示する表示手段を備える請求項1記載の改ざん検出装置。
【請求項5】
前記改ざん検出手段は、ハッシュ関数に基づき、前記ファイルから、前記第1の改ざん検出用データとしての第1のハッシュ値を生成し、また、前記ハッシュ関数に基づき、前記記憶手段に記憶された前記ファイルから、前記第2の改ざん検出用データとしての第2のハッシュ値を生成し、前記第1のハッシュ値と前記第2のハッシュ値とを比較し、比較結果に基づき前記ファイルの改ざんを検出する請求項1記載の改ざん検出装置。
【請求項6】
前記改ざん検出手段は、前記ファイルを入力してから所定時間経過後に前記ファイルを出力する場合には前記第1の改ざん検出用データを生成し、前記ファイルを受信してから所定時間経過後の前記ファイルの出力要求に対応して前記第2の改ざん検出用データを生成し、前記第1の改ざん検出用データと前記第2の改ざん検出用データとを比較し、比較結果に基づき前記ファイルの改ざんを検出し、
前記出力手段は、前記ファイルの改ざん未検出に応じて、前記ファイルの出力を指示し、前記ファイルの改ざん検出に応じて、前記ファイルの出力を制限する請求項5記載の改ざん検出装置。
【請求項7】
前記改ざん検出手段は、前記ファイルを入力してから所定時間経過前に前記ファイルを出力する場合には前記第1及び第2の改ざん検出用データの生成を省略し、
前記出力手段は、前記ファイルの出力を指示する請求項6記載の改ざん検出装置。
【請求項8】
前記改ざん検出手段は、前記ファイルの入力時における前記ファイルの印刷不能状態の検出に対応して前記第1の改ざん検出用データを生成し、前記ファイルの印刷可能状態の検出及び前記ファイルの出力要求に対応して前記第2の改ざん検出用データを生成し、前記第1の改ざん検出用データと前記第2の改ざん検出用データとを比較し、比較結果に基づき前記ファイルの改ざんを検出し、
前記出力手段は、前記ファイルの改ざん未検出に応じて、前記ファイルの印刷を指示し、前記ファイルの改ざん検出に応じて、前記ファイルの印刷を制限する請求項1記載の改ざん検出装置。
【請求項9】
前記入力手段は、送信予約ファイルとしての前記ファイルを入力し、
前記出力手段は、所定のタイミングで前記記憶手段に記憶された前記ファイルを送信する請求項1記載の改ざん検出装置。
【請求項10】
前記出力手段は、前記ファイルの改ざん検出に応じて、前記ファイルの送信を制限する請求項9記載の改ざん検出装置。
【請求項11】
前記改ざん検出手段は、ハッシュ関数に基づき、前記ファイルから、前記第1の改ざん検出用データとしての第1のハッシュ値を生成し、また、前記ハッシュ関数に基づき、前記記憶手段に記憶された前記ファイルから、前記第2の改ざん検出用データとしての第2のハッシュ値を生成し、前記第1のハッシュ値と前記第2のハッシュ値とを比較し、比較結果に基づき前記ファイルの改ざんを検出する請求項10記載の改ざん検出装置。
【請求項12】
ファイルの入力に対応して、改ざん検出用データ生成処理に基づき、前記ファイルから、一意に定まる第1の改ざん検出用データを生成し、
前記ファイル及び前記第1の改ざん検出用データを記憶し、
前記ファイルの出力要求に対応して、前記改ざん検出用データ生成処理に基づき、前記記憶された前記ファイルから、一意に定まる第2の改ざん検出用データを生成し、
前記第1の改ざん検出用データと前記第2の改ざん検出用データとを比較し、比較結果に基づき前記ファイルの改ざんを検出する改ざん検出方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2011−254475(P2011−254475A)
【公開日】平成23年12月15日(2011.12.15)
【国際特許分類】
【出願番号】特願2011−123596(P2011−123596)
【出願日】平成23年6月1日(2011.6.1)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(000003562)東芝テック株式会社 (5,631)
【Fターム(参考)】
【公開日】平成23年12月15日(2011.12.15)
【国際特許分類】
【出願日】平成23年6月1日(2011.6.1)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(000003562)東芝テック株式会社 (5,631)
【Fターム(参考)】
[ Back to top ]