CN113190879B 信息处理装置及其启动方法 （佳能株式会社）

JP2019133220A,2019US2007016763A1,2007.0动时要被第一CPU执行的引导程序的第一非易失CPU确定是否在第一非易失性存储器中设置校验序的处理正常结束的情况下，第二CPU启动信息2其中，第一CPU确定是否将在第一非易失性存储器中设置指示加密的校验方法作为用3.根据权利要求1或2所述的信息处理装置，其CPU使用哈希值进行针对第一引导程序的校验，并且在校验成功的情况下执行第一引导程5.根据权利要求1所述的信息处理装置，其中一CPU确定指示加密的校验方法未被设置为用于校被第一CPU执行的引导程序的第一非易失性存储器、以及存储第一引导程序和用于校验程第一CPU在启动时执行存储在第一非易失性存储其中，第一CPU确定是否将在第一非易失性存储器中设置指示加密的校验方法作为用在所述校验方法的设置被写入第一非易失性存储器的情况下，第一CPU重启所述信息34于程序校验设置的程序来减少要在存储引导程序的非易失性定是否将在第一非易失性存储器中设置指示加密的校验方法作为用于校验程序窜改的设易失性存储器，并且在设置了校验方法的情况下，第一CPU根据所述设置执行第二引导程5是否将在第一非易失性存储器中设置指示加密的校验方法作为用于校验程序窜改的设置，[0017]图5是用于描述根据本实施例的要被MFP的CPU111执行的启动序列处理的流程[0018]图6A是用于描述在图5的步骤S512中执行子引导程序217的情况下的处理的流程[0019]图6B是用于描述在图5的步骤S516中执行子引导程序218的情况下的处理的流程将要描述以隔离的方式在启动序列中执行窜改检测设置处理和窜改检测处6105的频率相乘并将频率已经相乘的时钟信号供给控制器110的模块。时钟控制器121进行[0026]复位发生器104是通过生成并输出复位信号106来使MFP100的模块复位或释放该直到供给的电源电压稳定为止)，并且之后通过使复位信号106进入释放状态来使控制器复位信号106的释放状态。在控制器110的复位被释放的情况下，复位控制器122对控制器是在CPU101控制MFP100的情况下用于存储程序和临时数据的易失144是硬盘驱动器并存储一些应用和各种类型的数据。该HDD14[0029]CPU111执行用于检测要被CPU101执行的软件程序的窜器120在控制器110(MFP100)启动时或操作时，可以向这些模块供给预定的电力或停止电存控制器135经由系统总线109读出存储在闪存145中的程序并将该程序展开到RAM113中。7扫描器141读取原稿而获得的图像数据进行阴影校正，并进行用于将该图像数据输出到打CPU111的控制信号以及单元之间的数据信号经由该系统总线[0031]图2是用于描述根据本实施例的MFP100中包括的软件模块的框图。将假设由C[0032]通信管理模块207通过控制要被连接到网络146的网络接口控制器136来经由网络146向外部设备发送数据和从外部设备接收数据。UI控制模块216经由面板控制器133从控5和图6描述启动序列。该引导程序209包括用于对子引导程序217和218进行窜改检测的子[0034]子引导程序217执行用于检测关于BIOS210的窜改的BIOS复位向量窜改检测模块与启动有关的处理以外，还包括用于对核心程序212进行窜改检测的核心程序窜改检测模[0037]核心程序212是在加载器211的处理结束之后要被CPU101执行的程序，并进行与启动有关的处理以外，还包括用于对本机程序213进行窜改检测的本机程序窜改检[0038]复位向量215是指定关于在CPU101的复位被释放时首先要执行的处理的信息的提供功能的多个程序构成。这些多个程序例如包括用于控制扫描器接口控制器131和打印启程序用于在CPU111执行了引导程序并完成了BIOS复位向量窜改检测处理之后，使其他8[0043]图3A是示意性地例示表示MFP100不对程序进行窜改检测而启动的顺序的启动序[0044]CPU111执行引导程序209并释放对CPU101的复位。由此，在CPU101启动BIOS213和Java程序214协作并可以提供查要被校验的程序是否遭受了窜改的方法在下文中称为[0047]校验方法313的值是在CPU111执行引导程序209的情况下，为了在签名[0048]子引导程序头部地址指针314指示引导程序209中的子引导程序头部地址的位在本实施例中，由参照该地址指针获得的头部指示的子引导程序来确定由CPU111操作未在ROM112中进行子引导程序头部地址指针314的设置的情况9[0052]图3C是示出根据引导程序209的子引导程序的窜改检测设置处理的执行流程的启值并用与公钥相对应的私钥将该哈希值加密而获得的值，被存储在子引导程序217的签名导程序217的地址和大小作为子引导程序217的头部被存储在哈希计算目标范围“0x0004_测模块204、本机程序窜改检测模块205以及Java程序窜改检测模块206分别校验后续程序[0059]图5是用于描述根据本实施例的要被MFP100的CPU111执行的启动序列处理的流[0060]当接通MFP100的电源时，电源控制器120进行控制以便向控制器110的行控制，使得通过将内部时钟控制信号108输出到PLL123来程序的头部而切换到子引导程序并执行子引控制器121使用内部时钟控制信号108相对于PLL123将要被供给到控制器110中的所需单在本实施例中，在什么值都没有写入ROM112的子引导程序的头部地址指针的初始值(例[0069]在步骤S509中，在确定是子引导程序217的头部时，CPU111使处理前进到步骤根据子引导程序217的头部指针读取签名。在图4B的实施例中，设置地址(0x0004_0000)。大小计算子引导程序218的哈希值。将该哈希值与存储的子引导程序218的哈希值进行比的哈希校验的情况下，可以读取子引导程序218的头部指针，然后处理可以前进到步骤[0073]接下来，将参照图6A的流程图描述在图5中的步骤S512中执固定地址0x0000_0000到固定地址0x0001_FFFF的固定区域(哈希计算目标范围)中的数据。复位向量和BIOS的头部地址和大小被存储在哈希计算目受了窜改(哈希值与签名值不匹配)，则CPU111确定签名校验失败，并且处理前进到步骤[0081]作为执行上述序列的结果，CPU111可以以隔离方式执行窜改检测处理和[0082]图7是用于描述根据本实施例的由CPU101进行的MFP100的启动序列的流程图。钥305和核心程序签名306从闪存145读取到RAM1验公钥307和本机程序签名308从闪存145读取到RAM骤S705被写入RAM102的Java程序校验公钥309校验Java程序签名310，并确定Java程序签的保存位置可以与前述位置不同，并且例如可以采用将加载器211存储在闪存145或ROM[0095]还可以通过读出并执行记录在存储介质(也可更完整地称为“非临时性计算机可个或更多个的功能、并且/或者包括用于执行上述实施例中的一个或更多个的功能的一个质的所述计算机可执行指令以执行上述实施例中的一个或更多个的功能、并且/或者控制