专利名称::使用操作系统的单元和使用该单元的成像设备的制作方法
技术领域:
:本发明总体构思涉及一种包括内置的中央处理单元(CPU)的单元和使用该单元的成像设备。更具体地讲,本发明总体构思涉及一种通过包含具有操作系统(OS)的CPU而变得更安全的单元以及使用该单元的成像设备。
背景技术:
:随着计算机被广泛地使用,外围设备也变得普遍。外围设备的示例是成像设备,例如,打印机、扫描仪、复印机和多功能装置。成像设备使用墨或调色剂将图像打印到纸上。每当执行成像操作时就使用墨和调色剂,直到墨或调色剂最终耗尽。如果缺少墨或调色剂,则用户必须更换用于存储墨或调色剂的单元。这些在使用成像设备时可更换的组件被称为耗材或可更换单元。在可更换单元中,除了墨或调色剂耗尽时不得不更换的单元之外的一些单元在使用预定的时间段之后必须被更换。由于在预定的时间段之后这些单元的性质改变并且打印质量因此下降,所以即使墨或调色剂没有耗尽,也必须更换这些单元。例如,激光成像设备包括充电单元、转印单元、定影单元等,在每个单元中使用的不同类型的辊和带由于使用超过限定的寿命而可能用坏或损坏。结果,打印质量会显著地下降。因此,用户不得不在合适的时间更换这样的可更换单元。可利用使用状态指标(usestateindex)来确定更换可更换单元的时间。使用状态指标表示用于指示成像设备的使用程度的指标,例如,成像设备打印的纸的页数以及形成图像的点的数量。成像设备可通过测量成像设备打印的纸的页数或点的数量来确定更换可更换单元的时间。单元包括内置的用户可更换单元监控存储器(CRUM存储器)。每个可更换单元的使用状态指标被存储在CRUM存储器中。因此,即使每个可更换单元被分离并使用在不同的成像设备中,每个可更换单元的使用状态也可被精确地确定。然而,具有CRUM存储器的传统可更换单元具有用户能够容易地访问CRUM存储器的问题。存储在CRUM存储器中的信息从关于制造商的基本信息到关于最近使用状态的信息有很大的不同。如果修改该信息,则难以享受售后服务和计算更换可更换单元的合适时间。具体地说,如果关于制造商的信息被修改,则不能确定关于制造商的信息是否可信,因此,难以管理可更换单元。
发明内容本发明总体构思提供一种通过具有内置的CPU而变得更加安全的单元,所述CPU具有自己的操作系统(OS),还提供一种具有该单元的成像设备。将在接下来的描述中部分阐述本发明总体构思的另外的特点和效用,还有一部分通过描述将是清楚的,或者可以经过本发明总体构思的实施而得知。可通过才是供一种可安装在用于成4象i殳备的可更换单元上的芯片来实现本发明总体构思的实施例,所述芯片包括中央处理单元(CPU),具有自己的操作系统(OS),所述OS与成像设备的OS分开,从而所述CPU使用自己的OS来执行与成像设备的主体的加密数据通信。所述CPU可独立于成像设备的主体使用自己的OS执行初始化。所述CPU可执行所述加密数据通信,使得当包括数据和第一消息认证码(MAC)信息的通信消息从成像设备的主体被发送时,所述CPU通过将密钥和加密算法应用于发送的通信消息的数据部分来产生第二MAC信息,并且当产生的第二MAC与发送的通信消息的第一MAC信息进行比较并与所述第一MAC信息一致时,产生的第二MAC被认为是有效的通信消息并被处理。当成像设备开启时,或者当具有所述芯片的可更换单元被安装在成像设备上时,所述CPU可根据自己的OS执行初始化,所述CPU可在初始化被完成之前对来自成像设备的主体的命令不进行响应,并且当初始化被完成时,所述CPU可4丸行加密凄t据通信。所述芯片还可包括存储单元,存储关于所述芯片、用户可更换单元监控(CRUM)单元、具有所述CRUM单元的可更换单元以及所述CPU的OS中的至少一个的信息。所述CPU的OS可驱动所述芯片、CRUM单元以及可更换单元中的至少一个,所述CPU的OS可以是一种软件,所述软件执行下列中的至少一个独立地对所述芯片、CRUM单元以及可更换单元的一个状态进行初始化的初始化操作;执行公共加密算法的处理操作;以及与成像设备的主体的相互认证操作。所述芯片还可包括篡改检测器,对物理窃用尝试进行响应;以及密码机单元,通过应用多种加密算法中的预设加密算法,允许所述CPU执行与成像设备的主体的加密数据通信。应用于加密数据通信的加密算法是可改变的。所述CPU可从成像设备的主体接收当执行成像作业时用于成像作业的用的信息相加,然后刷新存储在存储单元中的关于耗材使用的信息。可通过提供一种能够用于成像作业的CRUM单元来实现本发明总体构思的实施例,所述CRUM单元包括存储单元,存储关于安装有CRUM单元的单元的信息;以及CPU,使用自己的操作系统(OS)管理存储单元,并且执行与成像设备的主体的加密数据通信,所述CPU的OS与成像设备的OS分开。所述CPU可独立于成像设备的主体使用自己的OS执行初始化。单元,所述CPU的OS可以是一种软件,所述软件执行下列中的至少一个独立地对所述CRUM单元或所述可更换单元的状态进行初始化的初始化操作;执行公共加密算法的处理操作;以及与成像设备的主体的相互认证操作。所述CPU可执行所述加密数据通信,使得当包括数据和第一消息认证码(MAC)信息的通信消息从成像设备的主体被发送时,所述CPU通过将密钥和加密算法应用于发送的通信消息的数据部分来产生第二MAC,并且当产生的第二MAC与发送的通信消息的第一MAC信息进行比较并与所述第一MAC信息一致时,产生的第二MAC被认为是有效的通信消息并被处理。当成像设备开启时,或者当具有所述CRUM单元的可更换单元被安装在成像设备上时,所述CPU可根据自己的OS执行初始化,并且在初始化被完成之前对来自成像设备的主体的命令不进行响应。CRUM单元还可包括接口单元,将成像设备连接到所述CPU;篡改检测器,对物理窃用尝试进行响应;以及密码;f几单元,通过应用多种加密算法中的预设加密算法,允许所述CPU执行与成像设备的主体的加密数据通信。应用于加密数据通信的加密算法是可改变的。所述CPU可从成像设备的主体接收当执行成像作业时用于成像作业的用的信息相加,然后刷新存储在存储单元中的关于耗材使用的信息。可通过提供一种可安装在成像设备中以用于成像作业的可更换单元来实现本发明总体构思的实施例,所述可更换单元包括存储单元,存储关于可更换单元的信息;以及CPU,使用自己的操作系统(OS)管理存储单元,并且执行与成像设备的主体的加密数据通信,所述CPU的OS与成像设备的OS分开。所述CPU可独立于成像设备的主体使用自己的OS4丸行初始化。所述CPU的OS可驱动可更换单元,所述CPU的OS可以是一种软件,所述软件执行下列中的至少一个独立地对可更换单元的状态进行初始化的初始化操作;执行公共加密算法的处理操作;以及成像设备的主体和可更换单元之间的相互认证操作。所述CPU可执行所述加密数据通信,使得当包括数据和第一消息认证码(MAC)信息的通信消息从成像设备的主体被发送时,所述CPU通过将密钥和加密算法应用于发送的通信消息的数据部分来产生第二MAC,并且当产生的第二MAC与发送的通信消息的第一MAC信息进行比较并与所述第一MAC信息一致时,产生的第二MAC被认为是有效的通信消息并被处理。当成像设备开启时,或者当可更换单元被安装在成像设备上时,所述CPU可执行初始化,并且在初始化被完成之前可对来自成^象设备的主体的命令不进行响应。所述可更换单元还可包括接口单元,将成像设备连接到所述CPU;墓改-险测器,对物理窃用尝试进行响应;以及密码机单元,通过应用多种加密算法中的设置的加密算法,允许所述CPU执行与成像设备的主体的加密数据通信o应用于加密凝:据通信的加密算法是可改变的。所述CPU可从成像设备的主体接收当执行成像作业时用于成像作业的用的信息相加,然后刷新存储在存储单元中的关于耗材使用的信息。可通过提供一种成像设备来实现本发明总体构思的实施例,所述成像设备包括主控制器;以及至少一个单元,包括存储单元和CPU,所述存储单元存储信息,所述CPU使用自己的操作系统(OS)管理存储单元并执行与主控制器的加密数据通信,所述CPU的OS与主控制器的OS分开。所述CPU可独立于主控制器使用自己的操作系统执行初始化。所述CPU可执行所述加密数据通信,使得当包括数据和第一消息认证码(MAC)信息的通信消息从成像设备的主体被发送时,所述CPU通过将密钥和加密算法应用于发送的通信消息的数据部分来产生第二MAC,并且当产生的第二MAC与发送的通信消息的第一MAC信息进行比较并与所述第一MAC信息一致时,产生的第二MAC被认为是有效的通信消息并被处理。在所述加密数据通信之前,主控制器可通过接收为所述至少一个单元中的每个单元设置的独有数字签名信息来尝试执行认证。主控制器可通过应用RSA非对称密钥算法以及ARIA、三重数据加密标准(TDES)、SEED和高级加密标准(AES)对称密钥算法之一来执行加密数据通信,并且所述单元的CPU通过应用ARIA、TDES、SEED和AES对称密钥算法之一来执行加密数据通信。所述单元还可包括密码机单元,通过应用多种加密算法中的设置的加密算法,允许所述CPU执行与主控制器的认证或加密数据通信;以及篡改检测器,对物理窃用尝试进^f亍响应。主控制器可通过一个串行I/O通道连接到所述至少一个单元,并且使用分配给每个单元各自的地址来访问所述至少一个单元。当执行作业时,主控制器可测量用于所述作业的耗材的程度的值,将测量的值发送到所述至少一个单元的每个CPU,将所述值与预先存储在存储单元中的关于耗材使用的信息相加,然后刷新存储在存储单元中的关于耗材使用的信息。所述CPU的OS可驱动所述单元,并且所述CPU的OS可以是一种软件,所述软件执行下列中的至少一个初始化操作;执行公共加密算法的处理操作;以及主控制器和所述单元之间的相互认证操作。所述单元可以是下列中的一个与成像设备的成像作业直接相关的可更换单元;可安装在可更换单元上的CRUM单元;以及可安装在CRUM单元上的芯片。可通过提供一种计算机可读介质来实现本发明总体构思的实施例,所述计算机可读介质包含计算机可读代码作为执行一种方法的程序,所述方法包括使用中央处理单元(CPU)的操作系统(OS)来执行与成像设备的主体的加密数据通信,所述CPU的OS与成像设备的OS分开。可通过提供一种可安装在用于成像设备的可更换单元上的芯片来实现本发明总体构思的实施例,所述芯片包括中央处理单元(CPU),具有自己的操作系统(OS),所述OS与成像设备的OS分开,从而所述CPU使用自己的OS来执行与成像设备的主体的加密数据通信;以及存储单元,存储关于所述芯片、用户可更换单元监控(CRUM)单元、具有所述CRUM单元的可更换单元以及所述CPU的操作系统中的至少一个的信息,其中,所述CPU的OS设置在位于所述芯片内的存储单元中,或者设置在位于所述芯片外部的存储器中。根据本发明总体构思的示例性实施例,具有自己的操作系统(OS)的CPU被安装在所述单元上,从而所述单元可独立地管理存储单元。所述单元可以是芯片、CRUM单元或可更换单元。所述OS被驱动,从而可执行初始化、加密算法驱动以及与成像设备的主体的认证。即使当主密钥没有被存储在具有所述单元的成像设备中,所述成像设备也可执行与所述单元的认证或加密数据通信。因此,可防止主密钥被泄露。可使用基于随机值和电子签名信息产生的MAC来执行认证或加密数据通信。通过应用对称密钥算法和非对称密钥算法来执行认证,从而该加密提供高等级的数据安全性。多种加密算法可被选择性地应用于认证和加密数据通信。即使当前使用的加密算法受到物理窃用而4^攻击,也可通过应用其它加密算法的密钥来替换当前使用的密钥(而不需要用新的单元来更换所述单元)来防止攻击。如果使用多个单元,则对每个单元设置电子签名信息。为每个单元分配各自的地址,因此所述单元可通过串行接口^L连接到成像设备。可有效地实现多个单元之间的认证和加密数据通信。如果完成了成像作业,则成像设备测量用于成像作业的耗材的程度,并且将测量的值发送到多个单元中的每个。因此,可防止由于错误而记录关于使用的耗材的程度的不正确信息。其结果是,防止了存储在内置于成像设备中的存储单元中的数据被拷贝或复制,并且增强了数据的安全性。也可防止用户使用未经认证的单元。通过下面结合附图对实施例进行描述,本发明总体构思的上述和/或其它方面和特点将会变得清楚,并更易于理解,其中图1是示出根据本发明总体构思的示例性实施例的包括可更换单元的成像设备的构造的示意性框图2是示出根据本发明总体构思的示例性实施例的可更换单元的详细框图3是示出根据本发明总体构思的示例性实施例的成像设备的示意性框图4是示出根据本发明总体构思的示例性实施例的内置到成像设备和可更换单元的软件的配置的示意性框图5是示出根据本发明总体构思的示例性实施例的操作可更换单元和成像设备的方法的流程密算法的过程的流程图;以及换单元之间的认证和加密数据通信的方法的流程图。具体实施例方式现在,将详细参照本发明总体构思的实施例,其示例在附图中被示出,其中,相同的标号始终表示相同的元件。以下,通过参照附图描述实施例,以解释本发明总体构思。图1是示出根据本发明总体构思的示例性实施例的包括可更换单元的成像设备的构造的示意性框图。如图l所示,成像设备100包括主控制器110,单元200可内置在成像设备100中。成像设备100可以是复印机、打印机、多功能外设、传真机或扫描仪。成像设备100可包括CPU(OS)110a以控制成像设备100的操作。单元200是指被设计为单独地安装和使用的组件。更具体地讲,单元200可以是包括可更换部件215的可更换单元,可更换部件215形成在成像设备中并直13接介入成像操作。例如,可更换单元200的可更换部件215可以是调色剂盒或墨盒、充电单元、转印单元、定影单元、有机感光导体(OPC)、输送单元或输送辊等。此外,单元200可以是成像设备100所需的任-阿其他组件,并且在使用期间可被更换。即,单元200可以是通过包含在可更换单元中能够监控并管理组件的状态的用户可更换单元监控(CRUM)单元,或者可以是内置在CRUM单元中的芯片。单元200可以以不同的形式被实现,但是为了便于说明,下面描述^皮实现为可更换单元的单元200。主控制器110可具有与外部装置(未示出)通信以接收数据的接口,并且可使用接收的数据执行成像操作。主控制器110还可连接到例如传真单元或扫描单元,以接收或发送与成像设备相应的数据。成像设备100可包括成像单元150,成像单元150使用单元200来执行成像操作。当单元200被安装到成像设备100的主体中时,单元200可以是成像单元150的一部分。主控制器110可控制存储单元210和成像单元150,以输送介质从而在介质上形成图像,并且排放该介质。如图1所示,单元200包括存储单元210和中央处理单元(CPU)220。存储单元210存储关于单元200的各种类型的信息,更具体地说,存储独有信息(例如,关于单元200的制造商的信息、关于制造时间的信息、序列号或型号)、各种程序、关于电子签名的信息、关于使用状态的状态信息(例如,到目前为止已经打印了多少张纸、剩余的可打印能力或者还剩下多少调色剂)。例如,存储单元210可存储如下面的表1中的信息。<table>tableseeoriginaldocumentpage14</column></row><table><table>tableseeoriginaldocumentpage15</column></row><table><table>tableseeoriginaldocumentpage16</column></row><table>如上面的表1所示,存储单元210可存储关于耗材的寿命的信息和设置菜单以及关于单元200的概略信息。存储单元210还可存储用于处理存储在存储单元210中的数据的操作系统(OS)的信息,从而主控制器IIO可控制成像单元150和单元200执行成像操作。CPU220使用该CPU220的搡作系统(OS)管理存储单元210。用于对单元200进行操作的OS是指操作通用应用程序的软件。因此,CPU220可通过使用OS来执行初始化。更具体地说,CPU220在特定事件的时间执行初始化,例如,当包括单元200的成像设备100开启时,或者当单元200或包括单元200的组件(例如,可更换单元)结合到成像设备100或者与成像设备100分离时。初始化包括在单元200中使用的各种应用程序的初始驱动、在初始化之后与成像设备进行数据通信所需的秘密计算信息、通信通道的设置、存储器值的初始化、更换时间的确认、单元200中的寄存器值的设置以及内部和外部时钟信号的设置。寄存器值的设置是指为了使单元200在与用户先前设置的状态相同的状态下操作而设置单元200中的功能寄存器值。此外,内部和外部时钟信号的设置是指将从成像设备100的主控制器110提供的外部时钟信号的频率调整为在单元200的CPU220中使用的内部时钟的频率。更换时间的确认是指检查使用中的调色剂或墨的剩余量,预测调色剂或墨将会耗尽的时间,并将该时间通知主控制器110。如果在初始化期间确定调色剂已经耗尽,则在完成初始化之后,单元200可被实现为自动通知主控制器110操作不能执行。在其它情况下,由于单元200包括CPU的OS,因此可根据单元200的类型或特性执行各种形式的初始化。由单元200自己执行该初始化,从而该初始化独立于由成像设备100的主控制器110执行的初始化而被执行。如上所述,CPU220内置于单元200中,单元200具有自己的OS,因此如果成j象i殳备100开启,则主控制器110可在请求与单元200通信之前检查存储在存储单元210中的耗材的剩余量和再补充的量。因此,通知主控制器耗材需要更换要花费较短的时间。例如,如果调色剂不足,则用户可开启成像设备100,并将成像设备100直接转换到调色剂节省模式。即使当仅一种特定的调色剂不足时,用户也可执行同样的操作。在初始化完成之前,CPU220不响应主控制器110的命令。主控制器110周期性地将命令发送到CPU220,直到主控制器110从CPU220接收到响应。如果主控制器IIO接收到响应,即,应答,则在主控制器110和CPU220之间开始i人i正。在此情况下,单元200中的OS通过单元200和成像设备100之间的交互作用进行认证。然而,为了使传统的成像设备执行认证,成像设备的主控制器单向访问所述单元,识别用于认证的独有信息,并将独有信息与存储的信息进行比4交。然而,当前成像设备100中的主控制器110独立于单元200的初始化执行自己的初始化。由于系统大小的不同,单元200的初始化首先完成。如果单元200的初始化完成,则单元200可使用OS来驱动加密算法。更具体地说,单元200可响应于主控制器110的命令来驱动加密算法,从而可执行主控制器110和单元200之间的交互认证而非主控制器110的单向认证。因此,iU正的安全性增加。这才羊的iU正不限于上述示例,可以以不同的方式4丸4亍该i人i正。例如,主控制器110可从CPU220接收响应,并将命令发送到请求认证的CPU220。在此情况下,随机值R1可与命令一起被发送到CPU220。CPU220接收对认证的请求和随机值R1,使用随机值R1产生会话密钥,使用产生的会话密钥产生第一消息认证码(MAC),并将产生的第一MAC、预先存储的电子签名信息以及随机值R2发送到主控制器110。如果主控制器IIO通过验证第一MAC、接收的电子签名信息识别认证,则主控制器110使用接收的随机值R2和预先产生的随机值Rl产生会话密钥,并使用该会话密钥产生第二MAC。最后,主控制器110通过识别产生的第二MAC与接收的第一MAC是否相同来验证第二MAC。结果,主控制器110可确定是否成功地执行了认证。如上所述,由于在发送用于认证的信息或命令时使用了随枳』值,因此可防止第三方的恶意窃用(hacking)。如果成功地执行了认证,则在主控制器110和单元200的CPU之间执行17加密数据通信。如上所述,由于单元200具有自己的OS,因此可以执行加密算法。因此,可通过将加密算法应用到从成像设备100接收的数据来确定数据有效性。作为确定的结果,如果数据有效,则单元200接收数据并执行用于处理数据的操作。如果数据无效,则单元200—接收到数据就丢弃该数据。在此情况下,单元200可通知主控制器110在数据通信中存在问题。加密算法可使用公共标准加密算法。当加密密钥被公开或者当需要增强安全性时,可以修改该加密算法。在上面的本发明总体构思的示例性实施例中,由于单元200具有自己的OS、自己的初始化,因此可有效地执行单元200和成像设备100之间的认证和加密数据通信。图2是示出图1示出的成像设备100的可更换单元200的详细框图。图2的可更换单元200除了先前讨论的存储单元210和CPU220之外还包括密码机单元230、篡改(tamper)检测器240以及接口单元250。此外,可更换单元200还可包括输出时钟信号的时钟单元(未示出)或者产生用于认证的随机值的随机值产生器(未示出)。这里讨论的可更换单元200取决于应用可包括更少的组件或更多的组件。如果可更换单元200被实现为半导体芯片或芯片封装,则芯片或芯片封装自己可包括CPU220,或者可包括存储单元210和CPU220。如果芯片仅包括CPU220,则由CPU220运行的OS可由外部存储器提供。密码机单元230支持加密算法,并使CPU220执行与主控制器IIO的认证或加密数据通信。具体地讲,密码机单元230可支持四种加密算法(即,ARIA、三重数据加密标准(TDES)、SEED和高级加密标准(AES)对称密钥算法)中的一种。为了执行认证或加密数据通信,主控制器110也支持所述四种加密算法。因此,主控制器110可确定可更换单元200应用了哪种加密算法,可使用确定的加密算法执行认证,并且随后可执行与CPU220的加密数据通信。结果,可更换单元200可容易地安装在成像设备100中,从而即使应用了特定加密算法的密钥被产生时也可执行加密数据通信。篡改-险测器240防止各种物理的窃用攻击,即,篡改。更具体地说,如果通过监测操作条件(例如,电压、温度、压力、光或频率)来检测攻击,则篡改;险测器240可删除与攻击有关的数据,或者可物理地防止攻击。在此情况下,篡改检测器240可包括额外的电源来供电以维持其操作。攻击可以是开盖(decap)攻击,所述开盖攻击例如可以是对CRUM单元200的潜在损害攻击。如上所述,可更换单元200包括密码机单元230和篡改检测器240,可使用硬件和软件之一或者两者来系统地保护数据。参照图2,存储单元210可包括OS存储器211、非易失性存储器212和易失性存储器213中的至少一个。OS存储器211存储用于操作可更换单元200的OS。非易失性存储器212以非易失性的形式存储数据,易失性存储器213用作操作所需的临时存储空间。当存储单元210包括如图2所示的OS存储器211、非易失性存储器212和易失性存储器213时,这些存储器中的一些可内置于CPU220中作为内部存储器。与一般的存储器不同,可根据用于安全的设计(例如,地址/数据线置乱或比特加密)来实现OS存储器211、非易失性存储器212和易失性存储器213。非易失性存储器212可存储各种信息,例如,数字签名信息、关于各种加密算法的信息、关于可更换单元200的使用的状态的信息(例如,关于剩余的调色剂水平的信息、需要更换调色剂的时间、或者剩余的待打印的纸的数量)、独有信息(例如,关于可更换单元200的制造商的信息、关于制造的曰期和时间的信息、序列号或型号)或者维修服务信息。接口单元250连接CPU220和主控制器110。接口单元250可被实现为串行接口或无线接口。例如,由于串行接口比并行接口使用更少的信号,因此串行接口具有降低成本的优点,并且串行接口适于产生大量噪声的操作条件(例如,打印机)。图2示出的组件经总线彼此连接,但这仅是示例性的。因此,应该理解,根据本发明总体构思的多个方面的组件可以在没有总线的情况下直接连接。图3是示出根据本发明总体构思的示例性实施例的成像设备100的框图。图3的成像设备100包括主控制器110、存储单元120、成像单元150和多个单元200-1、200-2.....200隱n,主控制器110包括具有OS的CPU110a。图3的多个单元200-l、200-2、…、200-n可以是CRUM单元、半导体芯片、半导体芯片封装或可更换单元。仅为了举例的目的,下面将多个单元200-1、200-2.....200-n描述为可更换单元。如果单个系统需要各种耗材,则也需要多个单元。例如,如果成像设备100是彩色打印机,则为了表现期望的颜色在彩色打印机中安装四个色盒,即,青色(C)盒、品红色(M)盒、黄色(Y)盒和黑色(K)盒。此外,彩色打印机可包括其他耗材。因此,如果需要大量的单元,则每个单元需要其各自的输入/输出(I/0)通道,这种布置是低效率的。因此,如图3所示,单个串行I/0通道可用于将多个单元200-1、200-2、...、200-n中的每个连接到主控制器110。主控制器110可使用分配给到多个单元200-1、200-2.....200-n中的每个的不同地址来访问多个单元200-1、200-2.....200-n中的每个。当主控制器110开启时,或者当多个单元200-l、200-2.....200-n安装在成像设备100中时,如果多个单元200-l、200-2、...、200-n中的每个被完全初始化,则使用多个单元200-1、200-2.....200-n中的每个的独有数字签名信息来^丸行认证。如果认证成功,则主控制器110与多个单元200-1、200-2.....200-n中的多个CPU(未示出)执行加密数据通信,并且将关于使用历史的信息存储在多个单元200-l、200-2.....200-n中的多个存储单元(未示出)中。主控制器IIO和多个CPU可用作主装置和从装置。这里,通过将用户期望传输的数据与MAC—起传输来执行加密数据通信,所述MAC通过使用预设的加密算法和密钥对数据加密被产生。由于数据在每次^皮传输时发生变化,所以MAC也会改变。因此,即使当第三方介入数据通信操作并寻找MAC时,第三方使用MAC不能窃用随后的数据通信操作。如果完成了加密数据通信,则切断主控制器110和CPU之间连接的通道。存储单元120存储各种信息,所述信息包括对多个单元200-1、200-2、…、200-n中的每个进行认证所需的多个加密算法和密钥值。主控制器110使用存储在存储单元120中的信息来执行认证和加密数据通信。具体地讲,主控制器110通过应用例如RSA非对称密钥算法以及ARIA、TDES、SEED、AES对称密钥算法之一,来执行认证和加密数据通信。因此,非对称认证处理和对称认证处理都祐j丸行,从而相对于传统技术,可提高加密级别。尽管图3显示了存储单元120作为单个单元,但是存储单元U0可包括存储各种加密算法数据的存储单元、主控制器110的其它操作所需的存储单元、存储关于多个单元200-1、200-2.....200-n的信息的存储单元、或存储关于多个单元200-1、200-2.....200-n的使用的信息(例如,将被打印的页数或剩余调色剂水平)的存储单元。安装在图3的成像设备100中的多个单元200-1、200-2.....200-n可具有图1或图2所示的结构。因此,在将访问命令发送到多个单元200-1、200-2.....200-n的多个CPU并且接收到应答信号后,主控制器110可访问多个单元200-l、200-2.....200-n。因此,才艮据本发明总体构思的多个单元与能够访问CRUM数据的传统方案不同,所述传统方案使用简单的数据写入和读取操作。如果成像设备100开始成像作业,则主控制器110可测量用于该作业的耗材的程度,并且可将测量的所使用的耗材的程度发送到多个单元200-1、200-2.....200-n中的每个。更具体地讲,成Y象设备100可将测量的所使用的耗材的程度与先前存储的关于耗材使用的信息相加,并且可刷新关于耗材使用的信息。当在现有技术中进行发送结果值的操作时,如果由于错误而发送不正确的数据,则关于使用的耗材的程度的不正确的信息可被记录在多个单元200-1、200-2.....200-n中的每个上。例如,如果在使用当前安装的显影剂盒打印1000页之后完成了新的10页的打印作业,则总值是1010页。但是,如果发生一些错误并且如果发送o页的值,则o页的打印作业可被记录在多个单元200-1、200-2.....200-n。其结果是,用户可能不能准确地知道需要更换耗材的时间。为了解决该问题,在本发明总体构思的实施例中,主控制器110可测量用于作业的耗材的程度,并且可仅将测量的所使用的耗材的程度发送到多个单元200-l、200-2.....200-n中的每个。在这种情况下,主控制器110可发送10页的值,,人而多个单元200-1、200-2、...、200-n可通过使用它们自己的CPU将新接收的值"10"与值"1000"(即,先前存储的值)相加。因此,存储在存储器中的关于耗材使用的信息可被准确更新为"1010"。另外,主控制器no可通过将测量的量与存储在存储单元120中的关于耗材使用的信息相加,与多个单元200-l、200-2.....200-n分开而自己管理关于所使用的耗材的程度的信息。然而,在本发明总体构思的实施例中,在每次执行作业时,主控制器110可在将关于所使用的耗材的程度的信息发送到多个单元200-1、200-2.....200-n的同时,自动更新存储在存储单元120中的关于耗材使用的信息。21例如,当使用安装在成像设备100中的多个单元200-1、200-2.....200-n打印100页时,如果在执行单个作业的同时还打印10页,则主控制器110可将值"10"发送到多个单元200-1、200-2.....200-n,并且可将值"10"与先前存储在存储单元120中的值"100"相加,从而存储指示打印了"110"页的历史信息。因此,如果发送特定事件(例如,如果成像设备IOO被重置,或者调色剂或墨被完全耗尽),或者预设的时间段到来,则主控制器110和多个单元200-1、200-2.....200-n可通过使用它们各自的CPU来比较它们各自的历史信息,从而可检查数据是否被正常记录在多个单元200-1、200-2.....200-n中的每个中。换句话说,可通过将存储在存储单元120中的关于耗材使用的信息与存储在多个单元200-1、200-2.....200-n中的关于库毛材-使用的信息进行比较,来确定存储的关于耗材使用的信息的准确性或不准确性。更详细地讲,如果发生事件或预设的时间段到来,则主控制器110可将用于请求关于耗材使用的信息的命令发送到多个单元200-1、200-2.....200-n。响应于该请求命令,多个单元200-1、200-2.....200-n的CPU可将存储在其中的关于耗材使用的信息发送到主控制器110。如果存储在存储单元120中的关于耗材使用的信息与存储在多个单元200-1、200-2.....200-n中的关于耗材使用的信息不同,则主控制器110可自此外,如果存储在存储单元120中的关于耗材使用的信息与存储在多个单元200-l、200-2.....200-n之一中的关于耗材使用的信息不同,则因为在数据被发送到存储单元120时可能出现错误,所以主控制器110可发送用于改变存储在存储单元120中的关于耗材使用的信息的命令。成像设备100可包括成像单元150,成像单元150用于使用单元200-1、200-2、...、200-n来执行成像操作。当单元200-1、200-2.....200-n被安装在成像设备100的主体中时,单元200-1、200-2.....200-n可以是成像单元150的一部分。主控制器110可控制存储单元120和210以及成像单元150,以输送介质从而在介质上形成图像,并排放该介质。图4是示出根据本发明总体构思的示例性实施例的单元200和使用该单元200的主机(即,成像设备的软件的配置)的分层图。参照图1和图4,成像设备100的软件(a)除了包括通用应用程序、用于管理每个单元的数据的应用、执行自身管理的装置驱动程序以及执行命令的程序之外,还可包括^丸行与单元200的认证和加密的安全性机制区域以及执行软件加密的软件加密操作区域。单元200的软件(b)可包括半导体IC芯片区域,具有保护数据的各种块;App区域,与主机软件进行接口连接;以及OS区域,操作上述区域。图4的装置软件区域包括OS的基本部件,诸如保护数据所需的操作块和文件管理。简要地,所述块包括为安全性系统而控制硬件的程序、使用硬件控制程序的应用程序以及用于防止利用其它程序进行篡改的程序。由于用于实现CRUM的功能的应用程序被安装在如上面所解释的程序上,所以不能通过通信通道来^r查存储在数据上的信息。可按照其它结构来实现所述程序以包括所述块。然而,为了有效地保护数据,需要细心地对程序进行编程,从而保护OS。图4的软件结构中的OS区域包括存储器恢复区域410。设置存储器恢复区域410,以保证是否#4居更新单元200的条件信息的处理成功完成了更新。再次参照图1和图2,当数据被写入到存储单元210时,单元200的CPU220将先前记录的值备份在存储器恢复区域410中,并设置开始标志。例如,当^f吏用单元200的成像作业被完成时,主控制器110访问单元200的CPU220,以重新记录条件信息(诸如当执行打印作业时消耗的页数或供应物的量)。如果电源被切断,或者在完成记录之前由于外部噪声导致打印作业被异常终止,则传统的CRUM不能确定新的条件信息是否被正常记录。如果这样的异常条件被重复,则难以信任该信息,并且即使使用CRUM也难以管理所述单元。为了防止该问题,根据本发明总体构思的示例性实施例的OS在该OS中设置存储器恢复区域410。在这种情况下,CPU在记录lt据之前将先前记录的数据备份在存储器恢复区域410中,并且将开始标志设置为0。如果处理数据写入操作,则开始标志根据该数据写入操作被不断更新。在这种情况下,如果数据写入操作被异常终止,则CPU在电源被接通之后或在系统稳定之后^r查开始标志。CPU由此根据开始标志值的变化条件确定数据是否被正常写入。如果开始标志值与初始设置值之间的差不显著,则CPU确定数据写入失败,并且将数据退回到先前记录的值。另一方面,如果23开始标志值与最终值近似一致,则CPU确定当前记录的数据是正确的。因此,即使当电源被断开,或者当系统异常操作,写入到单元200中的数据也是可以被信任的。图5是示出根据本发明总体构思的示例性实施例的操作可更换单元和成像设备的方法的流程图。参照图1和图5,在操作S510,单元200的CPU确定是否发生了特定事件。特定事件可包括成像设备100被开启的情况;或者单元200或包括该单元200的组件;波安装在成像设备100中的情况。如果确定发生了特定事件,则在操作S520,单元200执行自身的初始化。所述初始化包括计算在初始化之后与成像设备的数据通信所需的秘密信息、通信通道的设置、存储器值的初始化、检查调色剂或墨的剩余量、更换时间的确认或各种其它处理。在操作S530,成像设备100的主控制器110发送用于尝试在主控制器110和CPU220之间进行认证的命令。如果在操作S540主控制器110没有从CPU220接收到响应,则主控制器IIO重复发送该命令,直到接收到响应。当接收到响应时,在操作S550,如上面所解释的,主控制器10对与CPU220之间的通信进行认证。如果在操作S560成功执行了认证,则在操作S570,使用加密算法来执行与主控制器110的加密数据通信。图6是^^提供以解释冲艮据本发明总体构思的示例性实施例的由单元200改变加密算法的过程的示意图。参照图6,单元200可支持例如ARIA、三重数据加密标准(TDES)、SEED和高级加密标准(AES)对称密钥算法。可在密钥管理系统(KMS)600中的密钥写入系统产生了密钥产生数据时确定使用何种算法。如果执行了加密算法的破解(cracking),则可通过从应用了上述四种加密算法的KMS获取新的密钥(而不是制造新的单元200),来改变加密算法。如上所述,成像设备100除了支持RSA非对称密钥算法之外,还可支持ARIA、TDES、SEED和AES对称密钥算法。因此,即^吏应用于单元200的加密算法被改变,成像设备100也进行响应而改变加密算法,并且执行认证和加密lt据通信。因此,相比于需要更换芯片的传统技术,可通过改变密钥值来方便地改变加密算法。图7是被提供以解释根据本发明总体构思的示例性实施例的执行认证和加密数据通信的方法的流程图。参照图1和图7,在操作S710,成像设备100将用于请求认证的命令与随机值Rl—起发送。如果接收到用于认证的请求,则在操作S715,单元200使用接收的随机值R1和单元200产生的随机值R2来产生会话密钥,并且在操作S720,单元200使用产生的会话密钥来产生消息认证码(MAC)。单元200产生的第一MAC是预先存储的电子签名信息,并且在操作S725,第一MAC和随机值R2被一起发送到成像设备100。在操作S730,成像设备IOO通过将接收的电子签名信息与预先存储的电子签名信息进行比较,来验证接收的由单元200产生的第一MAC的电子签名。为了验证接收的电子签名,如果多个单元被安装在成像设备100中,则成像设备100可存储每个单元的电子签名信息。如果接收的电子签名被验证,则在操作S735,成像设备100可将预先产生的随机值Rl与接收的随机值R2进行组合来产生会话密钥,并且在操作S740,成像设备IOO使用产生的会话密钥产生第二MAC。然后在操作S745,成像设备100将产生的成像设备100的第二MAC与可更换单元200的接收的第一MAC进行比较,以确定这两个独立的MAC是否一致。根据接收的可更换单元200的第一MAC的验证来完成认证。如果成功执行了认证,则可纟丸行加密数据通信。为了执行加密数据通信,假设成像设备100使用与单元200的密钥和加密算法相同的密钥和加密算法。密钥可以是如上所述的会话密钥。如果接收的可更换单元200的第一MAC被完全验证,则在操作S750,成像设备100在产生通信消息时通过将密钥和加密算法应用于数据来产生第三MAC。在操作S755,成像设备100将包括第三MAC的通信消息发送到单元200。在操作S760,单元200从接收的通信消息提取数据部分,并且通过将上述密钥和加密算法应用于所述lt据来产生第四MAC。在操作S765,单元200从接收的通信消息提取第三MAC部分,并且通过将提取的第三MAC与单元200计算的第四MAC进行比较来执行认证。如果提取的第三MAC与单元200计算的第四MAC—致,则在操作SWO,通信消息被认为是有效的通信消息,并因此执行与所述消息相应的操作。另一方面,如果第三MAC和第四MAC彼此不一致,则通信消息被认为是无效的通信消息,并且,皮丢弃。执行认证和加密数据通信的方法也可应用于参照附图所解释的示例性实施例。单元200可按照不同的形式(诸如半导体芯片或芯片封装、普通单元或可更换单元)被实现。本发明总体构思也可被实施为计算机可读介质上的计算机可读代码。计算机可读介质可包括计算机可读记录介质和计算机可读传输介质。计算机可读记录介质是可存储数据作为程序而其后可被计算机系统读取的任何数据存储装置。计算机可读记录介质的示例包括只读存储器(ROM)、随机存取存储器(RAM)、CD-ROM、磁带、软盘、光学数据存储装置。计算机可读记录介质也可以被分布在网络连接的计算机系统上,从而计算机可读代码以分布式方式被存储和执行。计算机可读传输介质可传输载波或信号(例如,通过互联网的有线或无线数据传输)。另外,本发明总体构思所属领域的程序设计员可容易地解释实现本发明总体构思的功能程序、代码和代码段。尽管已经显示和描述了本发明总体构思的一些实施例,但是本领域技术人员应该理解,在不脱离权利要求及其等同物限定其范围的本发明总体构思的原理和精神的情况下,可以对这些实施例进行改变。2权利要求1、一种可安装在用于成像设备的可更换单元上的芯片,所述芯片包括CPU,具有自己的操作系统,所述操作系统与成像设备的操作系统分开,从而所述CPU使用自己的操作系统来执行与成像设备的主体的加密数据通信。2、根据权利要求1所述的芯片,其中,所述CPU独立于成像设备的主体使用自己的操作系统执行初始化。3、根据权利要求1所述的芯片,其中,所述CPU执行所述加密数据通信,使得当包括数据和第一消息认证码信息的通信消息从成像设备的主体被发送时,所述CPU通过将密钥和加密算法应用于发送的通信消息的数据部分来产生第二消息认证码,并且当产生的第二消息认证码与发送的通信消息的第一消息认证码信息进行比较并与所述第一消息认证码信息一致时,产生的第二消息认证码被认为是有效的通信消息并被处理。4、根据权利要求2所述的芯片,其中,当成像设备开启时,或者当具有所述芯片的可更换单元被安装在成像设备上时,所述CPU根据自己的操作系统执行初始化,所述CPU在初始化被完成之前对来自成像设备的主体的命令不进行响应,并且当初始化被完成时,所述CPU执行加密数据通信。5、根据权利要求1所述的芯片,还包括存储单元,存储关于所述芯片、用户可更换单元监控单元、具有所述用户可更换单元监控单元的可更换单元以及所述CPU的操作系统中的至少一个的信息。6、根据权利要求5所述的芯片,其中,所述CPU的操作系统驱动所述芯片、用户可更换单元监控单元以及可更换单元中的至少一个,所述CPU的操作系统是一种软件,所述软件执行下列中的至少一个独立地对所述芯片、用户可更换单元监控单元以及可更换单元的一个状态进行初始化的初始化操作;执行公共加密算法的处理操作;以及与成像设备的主体的相互认证操作。7、根据权利要求5所述的芯片,还包括篡改检测器,对物理窃用尝试进行响应;以及密码机单元,通过应用多种加密算法中的预设加密算法,允许所述CPU执行与成像设备的主体的加密数据通信。8、根据权利要求5所述的芯片,其中,应用于加密数据通信的加密算法是可改变的。9、根据权利要求5所述的芯片,其中,所述CPU从成像设备的主体接收当执行成像作业时用于成像作业的耗材的程度的值,并且所述CPU将所述值与存储在存储单元中的关于耗材使用的信息相加,然后刷新存储在存储单元中的关于耗材使用的信息。10、一种能够用于成像作业的用户可更换单元监控单元,所述用户可更换单元监控单元包括存储单元,存储关于安装有所述用户可更换单元监控单元的单元的信息;以及CPU,使用自己的操作系统管理存储单元,并且执行与成像设备的主体的加密数据通信,所述CPU的操作系统与成像设备的操作系统分开。11、根据权利要求IO所述的用户可更换单元监控单元,其中,所述CPU独立于成像设备的主体使用自己的操作系统执行初始化。12、根据权利要求IO所述的用户可更换单元监控单元,其中,所述CPU的操作系统驱动所述用户可更换单元监控单元或安装有所述用户可更换单元监控单元的可更换单元,所述CPU的操作系统是一种软件,所述软件执行下列中的至少一个独立地对所述用户可更换单元监控单元或所述可更换单元的状态进行初始化的初始化才喿作;执行公共加密算法的处理操作;以及与成像设备的主体的相互认证操作。13、根据权利要求IO所述的用户可更换单元监控单元,其中,所述CPU执行所述加密数据通信,使得当包括数据和第一消息认证码信息的通信消息从成像设备的主体被发送时,所述CPU通过将密钥和加密算法应用于发送的通信消息的数据部分来产生第二消息认证码,并且当产生的第二消息认证码与发送的通信消息的第一消息认证码信息进行比较并与所述第一消息认证码信息一致时,产生的第二消息认证码被认为是有效的通信消息并被处理。14、根据权利要求IO所述的用户可更换单元监控单元,其中,当成像设备开启时,或者当具有所述用户可更换单元监控单元的可更换单元被安装在成像设备上时,所述CPU根据自己的操作系统执行初始化,并且在初始化被完成之前对来自成像设备的主体的命令不进行响应。15、根据权利要求IO所述的用户可更换单元监控单元,还包括接口单元,将成像设备连接到所述CPU;篡改;险测器,对物理窃用尝试进行响应;以及密码机单元,通过应用多种加密算法中的预设加密算法,允许所述CPU执行与成像设备的主体的加密数据通信。16、根据权利要求IO所述的用户可更换单元监控单元,其中,应用于加密数据通信的加密算法是可改变的。17、根据权利要求IO所述的用户可更换单元监控单元,其中,所述CPU从成像设备的主体接收当执行成像作业时用于成像作业的耗材的程度的值,后刷新存储在存储单元中的关于耗材使用的信息。18、一种可安装在成像设备中以用于成像作业的可更换单元,所述可更换单元包括存储单元,存储关于可更换单元的信息;以及CPU,使用自己的操作系统管理存储单元,并且执行与成像设备的主体的加密数据通信,所述CPU的操作系统与成像设备的操作系统分开。19、根据权利要求18所述的可更换单元,其中,所述CPU独立于成像设备的主体使用自己的操作系统执行初始化。20、根据权利要求18所述的可更换单元,其中,所述CPU的操作系统驱动可更换单元,所述CPU的操作系统是一种软件,所述软件执行下列中的至少一个独立地对可更换单元的状态进行初始化的初始化操作;执行公共加密算法的处理才喿作;以及成像设备的主体和可更换单元之间的相互认证操作。21、根据权利要求18所述的可更换单元,其中,所述CPU执行所述加密数据通信,使得当包括数据和第一消息认证码信息的通信消息从成像设备的主体被发送时,所述CPU通过将密钥和加密算法应用于发送的通信消息的数据部分来产生第二消息认证码,并且当产生的第二消息认证码与发送的通信消息的第一消息认证码信息进行比较并与所述第一消息认证码信息一致时,产生的第二消息认证码被认为是有效的通信消息并被处理。22、根据权利要求18所述的可更换单元,其中,当成像设备开启时,或者当可更换单元净皮安装在成像设备上时,所述CPU执行初始化,并且在初始化被完成之前对来自成像设备的主体的命令不进行响应。23、根据权利要求18所述的可更换单元,还包括接口单元,将成像设备连接到所述CPU;篡改检测器,对物理窃用尝试进行响应;以及密码才几单元,通过应用多种加密算法中的i殳置的加密算法,允许所述CPU执行与成像设备的主体的加密数据通信。24、根据权利要求18所述的可更换单元,其中,应用于加密数据通信的加密算法是可改变的。25、根据权利要求18所述的可更换单元,其中,所述CPU从成像设备的主体接收当执行成像作业时用于成像作业的耗材的程度的值,并且所述储在存储单元中的关于耗材使用的信息。26、一种成像设备,包括主控制器;以及至少一个单元,包括存储单元和CPU,所述存储单元存储信息,所述CPU使用自己的操作系统管理存储单元并执行与主控制器的加密数据通信,所述CPU的操作系统与主控制器的操作系统分开。27、根据权利要求26所述的成像设备,其中,所述CPU独立于主控制器使用自己的操作系统执行初始化。28、根据权利要求26所述的成像设备,其中,所述CPU执行所述加密数据通信,使得当包括数据和第一消息认证码信息的通信消息从成像设备的主体被发送时,所述CPU通过将密钥和加密算法应用于发送的通信消息的数据部分来产生第二消息认证码,并且当产生的第二消息认证码与发送的通信消息的第一消息认证码信息进行比较并与所述第一消息认证码信息一致时,产生的第二消息认证码被认为是有效的通信消息并被处理。29、根据权利要求26所述的成像设备,其中,在所述加密数据通信之前,主控制器通过接收为所述至少一个单元中的每个单元设置的独有数字签名信息来尝试^M亍iU正。30、根据权利要求26所述的成像设备,其中,主控制器通过应用RSA非对称密钥算法以及ARIA、TDES、SEED和AES对称密钥算法之一来执行加密数据通信,并且所述单元的CPU通过应用ARIA、TDES、SEED和AES对称密钥算法之一来执行加密数据通信。31、根据权利要求26所述的成像设备,其中,所述单元还包括密码机单元,通过应用多种加密算法中的设置的加密算法,允许所述CPU执行与所述成像设备的主控制器的认证或加密数据通信;以及篡改;险测器,对物理窃用尝试进行响应。32、根据权利要求26所述的成像设备,其中,主控制器通过一个串行1/0通道连接到所述至少一个单元,并且使用分配给每个单元各自的地址来访问所述至少一个单元。33、根据权利要求26所述的成像设备,其中,当执行作业时,主控制器测量用于所述作业的耗材的程度的值,将测量的值发送到所述至少一个单元然后刷新存储在存储单元中的关于耗材使用的信息。34、根据权利要求26所述的成像设备,其中,所述CPU的操作系统驱动所述单元,并且所述CPU的操作系统是一种软件,所述软件执行下列中的至少一个初始化操作;执行公共加密算法的处理操作;以及主控制器和所述单元之间的相互认证操作。35、根据权利要求26所述的成像设备,其中,所述单元是下列中的一个与成像设备的成像作业直接相关的可更换单元;可安装在可更换单元上的用户可更换单元监控单元;以及可安装在用户可更换单元监控单元上的芯片。36、一种计算机可读介质,包含计算机可读代码作为执行一种方法的程序,所述方法包括使用CPU的操作系统来执行与成像设备的主体的加密数据通信,所述CPU的操作系统与成像设备的操作系统分开。37、一种可安装在用于成像设备的可更换单元上的芯片,所述芯片包括CPU,具有自己的操作系统,所述操作系统与成像设备的操作系统分开,从而所述CPU使用自己的搡作系统来执行与成像设备的主体的加密数据通信;以及存储单元,存储关于所述芯片、用户可更换单元监控单元、具有所述用户可更换单元监控单元的可更换单元以及所述CPU的操作系统中的至少一个的信息,其中,所述CPU的操作系统设置在位于所述芯片内的存储单元中,或者设置在位于所述芯片外部的存储器中。全文摘要提供一种使用操作系统的单元和使用该单元的成像设备。一种可安装在用户可更换单元监控(CRUM)单元上的芯片,所述CRUM单元用于成像设备,所述芯片包括中央处理单元(CPU),使用自己的操作系统(OS)执行与成像设备的主体的加密数据通信。由此,可增强安装有所述芯片的单元的安全性,并且可防止所述单元的数据的随意改变。文档编号G06F21/72GK101526796SQ200910007789公开日2009年9月9日申请日期2009年3月2日优先权日2008年3月3日发明者李允太,李在成,赵原逸申请人:三星电子株式会社