JP2003330726A - BIOSの拡張ボード及びBIOSLock機能分離方法 - Google Patents

BIOSの拡張ボード及びBIOSLock機能分離方法

Info

Publication number
JP2003330726A
JP2003330726A JP2002140832A JP2002140832A JP2003330726A JP 2003330726 A JP2003330726 A JP 2003330726A JP 2002140832 A JP2002140832 A JP 2002140832A JP 2002140832 A JP2002140832 A JP 2002140832A JP 2003330726 A JP2003330726 A JP 2003330726A
Authority
JP
Japan
Prior art keywords
expansion board
bios
unit
authentication
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002140832A
Other languages
English (en)
Inventor
Shigeru Kawabe
滋 川邉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2002140832A priority Critical patent/JP2003330726A/ja
Publication of JP2003330726A publication Critical patent/JP2003330726A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Stored Programmes (AREA)

Abstract

(57)【要約】 【課題】 システムBIOSに組み込まれているBIO
SLock機能を分離し、機能変更を容易にする。 【解決手段】 セキュリティ機能を有するBIOSを組
み込んだパーソナルコンピュータ101のBIOSの拡
張ボード201に、パーソナルコンピュータの起動時に
これに組み込まれたハードディスク部102のアクセス
禁止状態をロックするアクセスLock部105と、拡
張ボードに実装され、BIOSから分離されたセキュリ
ティ機能が組み込まれ、起動時にセキュリティの認証を
行い、認証が有効の場合にはアクセスlock部のロッ
クを解除してアクセス許可を行うBIOSLock部1
04とを備える。

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明はパーソナルコンピュータ
(PC)のシステムBIOS(BasicInput
Output System)に関する。特に、本発明
は、システムBIOSに組み込まれているBIOSLo
ck機能を分離するためのBIOSの拡張ボード及びB
IOSLock機能分離方法に関する。
【0002】
【従来の技術】従来技術として、特開平06−2309
59号公報、特開平10−334034号公報、特開平
11−110210号公報に記述されるように、パーソ
ナルコンピュータのシステムBIOSは周知である。図
9は本発明の前提となるパーソナルコンピュータのシス
テムBIOSを説明する図である。なお、全図を通して
同一の構成要素には同一の番号、符号を付して説明を行
う。
【0003】本図に示すように、パーソナルコンピュー
タ101にはハードディスク部102、システムBIO
S103が設けられ、ハードディスク部102はオペレ
ーティングシステム(OS)を格納し、システムBIO
S部103はBIOSLock部104を組み込む。B
IOSLock部104は、パーソナルコンピュータ1
01のセキュリティを高めるために、ハードディスク部
102のオペレーティングシステム(OS)の起動前に
使用者を認証し、不正使用者を排除する機能を有する。
【0004】このBIOSLock部104の機能を活
用すれば、オペレーティングシステムの起動前に不正を
排除できるため、セーフモード、FD(フロッピー(登
録商標)ディスク)ブートによるセキュリティホールを
防ぐことが可能になり、高いセキュリティが実現でき
る。
【0005】
【発明が解決しようとする課題】しかしながら、上記B
IOSLock部104はパーソナルコンピュータ10
1のシステムBIOS部103に組み込まれているた
め、原則としてBIOSLock部104の機能だけを
変更することができない。このため、そのパーソナルコ
ンピュータ101で使用可能なセキュリティデバイスは
自ずと限定されてしまい、新しい別のセキュリティデバ
イスを取り込むことができないという問題があった。
【0006】BIOSLock部104の設定を変更す
るためにはオペレーティングシステムより低いレベルの
制御が必要である。このため、パーソナルコンピュータ
101の構成に応じた専用のユーティリティを開発する
必要があり、構成毎に開発の時間、費用を要するためで
ある。また、BIOSLock部104はオペレーティ
ングシステムが起動する前に動作するため、設定を誤る
とソフトウエア的に回避できなくなり、システムが立ち
上がらなくなる危険がるという問題があった。
【0007】このような理由から実際には、BIOSL
ock部104があまり使われていないというのが実情
である。したがって、本発明は上記問題点に鑑みて、シ
ステムBIOSに組み込まれているBIOSLockの
機能分離を容易にし、同時に使用促進を実現できるBI
OSの拡張ボード及びBIOSLock機能分離方法を
提供することを目的とする。
【0008】
【課題を解決するための手段】本発明は前記問題点を解
決するために、セキュリティ機能を有するBIOSを組
み込んだパーソナルコンピュータのBIOSの拡張ボー
ドにおいて、前記パーソナルコンピュータの起動時にこ
れに組み込まれたハードディスク部のアクセス禁止状態
をロックするアクセスLock部と、前記拡張ボードに
実装され、前記BIOSから分離された前記セキュリテ
ィ機能が組み込まれ、起動時にセキュリティの認証を行
い、認証が有効の場合には前記アクセスlock部のロ
ックを解除してアクセス許可を行うBIOSLock部
とを備えることを特徴とするBIOSの拡張ボードを提
供する。
【0009】この手段により、システムBIOSに組み
込まれているBIOSLock機能を分離し機能変更を
容易にし、パーソナルコンピュータのハードウエアに依
存することなく、後付でBIOSLock部という強靱
なセキュリティ機能を盛り込むことが可能になり、同時
に使用促進の実現が可能になる。また、パーソナルコン
ピュータ本体のシステムBIOSに手を加えずにBIO
Slock部に機能の変更が可能となる新しいセキュリ
ティ機能を組み込むことができるようになる。
【0010】さらに、前記アクセスLock部は、ロッ
ク状態では、ハードディスク部の内部データが保護さ
れ、ハードディスク部に格納されているオペレーティン
グシステムの起動が防止される。この手段により、パー
ソナルコンピュータのセキュリティが確保される。さら
に、前記アクセスLock部は、前記拡張ボードのイン
ストール時に、前記ハードディスク部のパスワード機
能、又は、起動のための特定のエリアの書き換え機能に
よってロックを設定する。
【0011】この手段により、ロックの設定を容易に行
うことが可能になる。前記BIOSLock部は、起動
時に呼び出され、セキュリティ認証を行い、認証に失敗
した場合には、Halt、又は、無限ループを含むCP
Uの停止により、ロックの解除を行わない。この手段に
より、使用者が不正と判断した場合にはロックは解除さ
れないようにした。
【0012】さらに、前記拡張ボードが前記パーソナル
コンピュータから抜き去られた場合には、前記アクセス
Lock部は、前記ハードディスク部のアクセス禁止状
態のロックを維持する。この手段により、不正に拡張ボ
ードを抜き出しても、ロックが解除されない。
【0013】さらに、メモリ部が設けられ、前記メモリ
部はセキュリティソフトウエア、認証情報を含む情報を
格納する。この手段により、メモリに格納された情報
は、BIOSLock部により、必要に応じて、取り出
される。さらに、暗号部が設けられ、前記暗号部は前記
ハードディスク部に格納されているオペレーティングシ
ステムの起動セクタの情報、オペレーティングシステム
起動後の特定ディレクトリ、特定ファイルを暗号化す
る。
【0014】この手段により、機能拡張が行われ、セキ
ュリティ情報の解読が困難になる。さらに、更新される
パーソナルコンピュータの前記拡張ボードは、BIOS
Lock部のセキュリティ情報を再設定せずに、新しい
パーソナルコンピュータの環境に移行可能である。この
手段により、ユーザがパーソナルコンピュータを入り替
える時にもセキュリティ項目に関して改めて設定しなお
す必要が無く、再設定の際のセキュリティ低下、煩わし
さから開放される。
【0015】さらに、前記拡張ボードに外部セキュリテ
ィデバイスが接続され、前記外部セキュリティデバイス
は認証情報を前記BIOSLock部に出力し、BIO
SLock部の認証に供する。この手段により、パーソ
ナルコンピュータ本体のリソースとは独立して外部セキ
ュリティデバイスに接続された拡張ボードを持つことに
より、機能拡張が行われ、インタフェース部を介して、
拡張ボードに認証情報を集約でき、解析されにくい信頼
性の高い、頑強なシステムが実現できる。
【0016】さらに、前記外部セキュリティデバイス
は、指紋を検出する指紋センサユニット、又は、個人の
認証情報を出力するスマートカードである。この手段に
より、指紋情報、又は、個人の認証情報が集約され、高
いセキュリティ認証、信頼性が保証される。さらに、前
記BIOSLock部は、指紋情報を登録し、又は、個
人認証情報を登録している場合には、前記指紋センサか
らの指紋を認証し、又は、前記スマートカードからの個
人の認証情報を認証し、指紋情報及び個人認証情報のい
ずれも登録していなければパスワード認証を行う。
【0017】この手段により、指紋認証とパスワード認
証の機能を有する場合には、まず、指紋認証を優先して
認証を行う。指紋の信頼性が高いためである。さらに、
前記BIOSLock部は、前記指紋センサから指紋の
入力を待っている時に特定のキーシーケンスを発行し
て、前記指紋の入力を中断し、前記パスワード認証に切
り替える。
【0018】この手段により、ユーザの好みにより、指
紋認証からパスワード認証への切換が可能になる。さら
に、前記BIOSLock部は、前記指紋センサユニッ
トの指紋認証とパスワード認証による複合認証、又は、
前記スマートカードの個人認証とパスワード認証による
複合認証を行う。前記BIOSLock部は、前記複合
認証と、前記ハードディスク部に格納されているオペレ
ーティングシステムの起動セクタの情報、オペレーティ
ングシステム起動後の特定ディレクトリ、特定ファイル
の暗号化とを組み合わせる。この手段により、認証と暗
号化との二重のセキュリティがかけられることになる。
【0019】さらに、より高いセキュリティ認証、信頼
性が保証される。さらに、前記BIOSLock部の設
定を誤った場合には、前記ハードディスク部の交換又は
初期化を行い、前記パーソナルコンピュータの起動を行
う。この手段により、パーソナルコンピュータが起動し
なくなるという最悪の事態を免れることが可能になる。
【0020】さらに、前記拡張ボードに応じたオペレー
ティングシステム配下のユーティリティを作り、前記ユ
ーティリティを用いて、前記拡張ボードに搭載される個
々の機能の設定変更を行う。この手段により、オペレー
ティングシステムにより拡張ボードとして認識され、個
々のパーソナルコンピュータに対してユーティリティを
作り直す必要が無くなる。
【0021】さらに、前記拡張ボードは、インストール
又はメンテナンス時以外には指紋、個人認証情報、パス
ワードを含むセキュリティ情報を外部から参照できない
ようにし、バス上に展開されないようにする。この手段
により、セキュリティの信頼性を向上することが可能に
なる。さらに、オペレーティングシステムから前記メモ
リ部に指紋情報、個人認証情報、パスワードを含む認証
情報を登録、修正する制御を可能にする。
【0022】この手段により、指紋登録をしなおすなど
の手間がかからなくなる。さらに、前記拡張ボードは、
オペレーティングシステム起動後に、上位オペレーティ
ングシステム又はアプリケーションからアクセス可能で
あり、ログオン処理、パスワード代替えを含む処理に使
用される。この手段により、本発明が他の用途に利用可
能になり、適用範囲が広くなる。
【0023】さらに、本発明は、セキュリティ機能を有
するBIOSを組み込んだパーソナルコンピュータのB
IOSLock機能分離方法において、前記パーソナル
コンピュータの起動時にこれに組み込まれたハードディ
スク部のアクセス禁止状態をロックする工程と、前記B
IOSから前記セキュリティ機能を有するBIOSLo
ckが分離され、前記拡張ボードに実装される工程と、
起動時にセキュリティの認証を行い、認証が有効の場合
には前記アクセスlock部のロックを解除してアクセ
ス許可を行う工程とを備えることを特徴とするBIOS
Lock機能分離方法を提供する。
【0024】この手段により、上記発明と同様に、シス
テムBIOSに組み込まれているBIOSLock機能
を分離し、機能変更を容易にし、パーソナルコンピュー
タのハードウエアに依存することなく、後付でBIOS
Lock部という強靱なセキュリティ機能を盛り込むこ
とが可能になり、同時に使用促進の実現が可能になる。
また、パーソナルコンピュータ本体のシステムBIOS
に手を加えずにBIOSlock部に機能の変更が可能
となる新しいセキュリティ機能を組み込むことができる
ようになる。
【0025】
【発明の実施の形態】以下、本発明の実施の形態につい
て図面を参照して説明する。図1は本発明に係るBIO
Sの拡張ボードの概略構成を示すブロック図である。本
図(a)に示すように、図9と比較して、パーソナルコ
ンピュータ101は拡張ボードを実装できる汎用拡張ス
ロットを有し、パーソナルコンピュータ101の汎用拡
張スロットには拡張ボード201が実装される。
【0026】オペレーティングシステム(OS)を格納
するハードディスク部102にはアクセスLock部1
05が設けられ、アクセスLock部105は、拡張ボ
ード201を導入する際に、インストーラによって、ハ
ードディスク部102に自身でアクセスを禁止する仕組
みを組み込み、電源投入直後はいつでもハードディスク
部102をアクセス禁止するロック状態にし、拡張ボー
ド201が不正に抜き去られた場合にはハードディスク
部102の内部のデータを保護すると同時にシステムの
起動をできなくする。
【0027】ハードディスク部102をアクセス禁止す
るロックとは、HDDパスワード機能、起動のための特
定のエリアの書き換え機能によって実現するもので、前
述のように拡張ボード201をインストールした際に使
用者によって設定される機能である。このようにして、
容易にロックを設定することが可能である。仮に、HD
Dパスワード機能を持たないハードディスク部102を
使用しているパーソナルコンピュータ101の場合は、
起動セクタにあるブートローダに拡張ボード201を参
照する機能を埋め込むか、又は特定のエリアを暗号化す
るなど、いずれにせよインストール時に指定した方法に
よって、ロックがかけられる。
【0028】拡張ボード201は、汎用拡張スロット
(ISA、PCI等)に実装可能なオプションボード形
状のセキュリティ機器であって、システムBIOS10
3から切り離したBIOSLock部104を搭載す
る。システムBIOS103は、拡張ボード201を起
動時にサーチし、拡張スロット上のBIOSLock部
104を実行する機能を有する、いわゆるPC/ATア
ーキテクチャに基づく標準的な機能を持っている。
【0029】次に、拡張ボード201のBIOSLoc
k部104にはセキュリティ認証部203が設けられ、
セキュリティ認証部203は、パーソナルコンピュータ
101のCPUで動作するセキュリティソフトウエアが
実装されていて、システム起動時に認証動作が行われ
る。次に、拡張ボード201のBIOSLock部10
4にはHDDアクセス許可部202が設けられ、HDD
アクセス許可部202は、セキュリティ認証部203に
より何回かの認証動作が行われた結果、使用者が不正で
あると判断した場合に、上記CPUを停止(Halt、
又は無限ループ)させる機能を組み込んで、ハードディ
スク部102をロックする。
【0030】HDDアクセス許可部202は、セキュリ
ティ認証部203により認証動作が成功すれば、インス
トール時に設定したHDDパスワードをハードディスク
部102に送出し、ハードディスク部102にかけられ
たロックを解除して、BIOSLock部104の動作
を終了させる。これにより、ハードディスク部102の
オペレーティングシステムの起動が正しく起動できるよ
うになる。
【0031】次に、拡張ボード201のBIOSLoc
k部104には初期化部204が設けられ、初期化部2
04は拡張ボード201本体の初期化プログラムを組み
込む。なお、BIOSLock部104の動作終了後に
はBIOSLock部104のセキュリティ機能が閉じ
られる。すなわち、インストール、メインテナンス時以
外はセキュリティ情報が外部から参照できないし、パー
ソナルコンピュータ101のバス上にそれらのデータが
流出しなような仕組みにしてある。セキュリティの信頼
性を向上するためである。
【0032】次に、拡張ボード201にはメモリ部20
5が設けられ、メモリ部205はセキュリティ認証部2
03の認証動作に用いられるセキュリティソフトウエ
ア、パスワード、ユーザ情報等のセキュリティ情報を格
納し、BIOSLock部104は、必要に応じて、メ
モリ部205からデータを取り出す。本図(a)に示す
拡張ボード201は、本図(b)、本図(c)に示す拡
張ボード201に機能拡張が可能である。
【0033】すなわち、本図(b)に示すように、拡張
ボード201には新たに暗号部206が設けられ、暗号
部206はCPUで構成され、暗号処理を行う専用のプ
ロセッサである。暗号部206の暗号処理では、オペレ
ーティングシステムの起動セクタ情報、オペレーティン
グシステム起動後の特定ディレクトリ、特定ファイルを
より複雑に暗号化することが可能である。これにより、
セキュリティ情報の解読が困難になる。
【0034】どこを暗号化するかはオペレーティングシ
ステム起動後に拡張ボード201に対する上位アプリケ
ーションからユーザが設定可能である。この例でも、前
述のように、不正に拡張ボード201を抜き去った場合
にはハードディスク部102のオペレーティングシステ
ムの起動ができなくなるのみならず、暗号部206を用
いることにより、さらに頑強なシステムを構築すること
が可能になる。
【0035】この例の場合、後述のように、外部セキュ
リティデバイス301による認証デバイスが無いためB
IOSLock部104はパスワードしかサポートでき
ないが、前述のように、拡張ボード201の抜き去りよ
るオペレーティングシステムの起動制限がかけられる
他、任意のデータに対して設定に応じた暗号化が可能で
ある。
【0036】次に、図1(c)に示すように、拡張ボー
ド201にはその内部に設けられているインタフェース
部207を介して、外部セキュリティデバイス301が
接続され、外部セキュリティデバイス301は認証情報
をBIOSLock部104のセキュリティ認証部20
3に出力する。この場合、メモリ部205には登録認証
情報が格納され、登録認証情報は、セキュリティ認証部
203で、外部セキュリティデバイス301の認証情報
の認証に使用される。さらに、BIOSLock部10
4の初期化部204は拡張ボード201本体の初期化プ
ログラムと同様に外部セキュリティデバイス301の初
期化プログラムも組み込む。
【0037】このようにして、拡張ボード201に接続
された外部セキュリティデバイス301を、パーソナル
コンピュータ101本体のリソースとは独立して持つこ
とにより、外部セキュリティデバイス301に対して、
インタフェース部207を介して、拡張ボード201に
認証情報を集約できることから、解析されにくく、信頼
性の高いい頑強なシステムを実現することが可能にな
る。
【0038】したがって、本発明によれば、BIOSL
ock部104のセキュリティがパーソナルコンピュー
タ101本体のシステムBIOS103から分離でき、
この結果、稼働中のパーソナルコンピュータ101に対
してもハードの交換無しに強靱なBIOSLock部1
04を有する拡張ボード201を実装するだけで、容易
に新しいBIOSLock部104の機能を後付で実現
できる。すなわち、パーソナルコンピュータ101本体
のシステムBIOS103に手を加えずに機能変更可能
な新しいセキュリティ機能を実装できるようになる。図
2はパーソナルコンピュータ101の更新時に拡張ボー
ド201の移行例を説明する図である。
【0039】本図(a)に示すパーソナルコンピュータ
101Aから本図(b)に示すパーソナルコンピュータ
101Bに更新する時に、パーソナルコンピュータ10
1Aの拡張ボード201Aがそのままパーソナルコンピ
ュータ101Bに移行でき、その際、セキュリティ情報
の再設定なしに簡単に環境の移行が可能であるというメ
リットが享受できる。すなわち、ユーザがパーソナルコ
ンピュータを入り替える時にもセキュリティ項目に関し
て改めて設定しなおす必要が無く、再設定の際のセキュ
リティ低下、煩わしさから開放される。
【0040】以上の説明で、拡張ボード201上のBI
OSLock部104の設定を誤ったとしても、パーソ
ナルコンピュータ101が起動しなくなるといった最悪
の事態を免れることが可能である。これは、拡張ボード
201を抜き去ることができるためである。無論、この
場合、ハードディスク部102はアクセスできなくなる
ため、ハードディスク部102の交換又は初期化が必要
となる。
【0041】この場合、バックドア(緊急回避手段)を
予め設定しておけば、データの消失も免れることができ
る。バックドアはセキュリティを低下させる原因となる
ため設定には十分な配慮が必要となる。また、拡張ボー
ド201は、そのボートに応じたオペレーティングシス
テム配下のユーティリティを作りさえすれば、オペレー
ティングシステムからセキュリティ機能のボードとして
認識できる。個々のパーソナルコンピュータ101に対
してそのユーティリティを作り直すことはない。このユ
ーティリティを利用することで搭載した個々の機能に対
する設定変更が可能になる。
【0042】図3は図1(c)における構成の一例とし
て、指紋認証を行う拡張ボード201の概略構成を示す
ブロック図である。
【0043】本図に示すように、図1(c)と比較し
て、拡張ボード201には外部セキュリティデバイス3
01として、指紋センサユニット301Aが接続され、
指紋センサユニット301Aは指紋を検出する。拡張ボ
ード201の構成は図1(c)とほぼ同様であり、特
に、BIOSLock部104のセキュリティ認証部2
03は指紋認証を行い、メモリ部205は登録指紋情報
を格納し、インタフェース部207は指紋センサユニッ
トAのインタフェースを行い、パーソナルコンピュータ
101の拡張ポートに拡張ボード201を実装するとき
に接続するためのコネクタ208を有する。
【0044】拡張ボード201とパーソナルコンピュー
タ101のインタフェースは汎用のISA又はPCIで
ある。BIOSLock部104の初期化部204は、
拡張ボード201本体の初期化プログラムと同様に、指
紋センサユニット301Aの初期化プログラムを組み込
み、さらに、BIOSLock部104のセキュリティ
認証部203は、前述のように、認証ソフトウエアを実
装する。
【0045】なお、本実施例では、指紋センサユニット
301Aの種類、インタフェース部207、指紋画像を
処理するプロセッサについては、特に指定しない。次に
本発明の動作を説明するが、パーソナルコンピュータ1
01のシステムBIOS103にはブート(BOOT)
時に内部のバスのサーチを行う機能があり、拡張ボード
201が実装されていると続いて拡張ボード201上の
BIOSLock部104を探してBIOSLock部
104が実行される。
【0046】前述のように、構成において、拡張ボード
201のBIOSLock部104にはデバイスの初期
化機能だけでなく、セキュリティ機能(認証機能)がプ
ログラムされており、以下のように、これらを順に実行
する。図4は本発明の動作として、図3における指紋認
証付きの拡張ボード201におけるBIOSLock部
104の一連の動作例を説明するフローチャートであ
る。
【0047】ステップS401において、拡張ボード2
01のデバイスを初期化し、続いて外部セキュリティデ
バイス301のデバイスを初期化する。ステップS40
2において、メモリ部205に指紋データが既に登録さ
れいるか否かを判断する。登録されている場合にはステ
ップS405に進む。ステップS403において、登録
されていない場合には、パスワードを入力し、セキュリ
ティ認証部203のプロセッサに認証をさせる。
【0048】なお、PINコード(パスワードに相当)
で認証を行うようにしてもよい。ステップS404にお
いて、パスワードが正しく有効と判断された場合には、
HDDアクセス許可部202のプロセッサがハードディ
スク部102のロックが解除され、ハードディスク部1
02のオペレーティングシステムが起動され、拡張ボー
ド201のBIOSLock部104の動作が終了す
る。無効と判断される場合にはステップS403に戻り
以上の処理を繰り返す。
【0049】ステップS405において、メモリ部20
5に指紋データが既に登録されている場合には指紋入力
を促すメッセージをパーソナルコンピュータ101に対
して送出すると同時に、インタフェース部207のプロ
セッサに対して、指紋センサユニット301Aの指紋読
み込みと、セキュリティ認証部203に認証処理を行わ
せる。指紋の認証を優先するのは、その信頼性が高いた
めである。
【0050】ステップS406において、仮に指紋入力
待ちの時に特定のキーシーケンス、例えば、CTRL+
ALT+Kを発行すれば、ステップS403に進み、バ
ックドアとして指紋入力を中断しパスワード入力に切り
替える。ステップS407において、入力された指紋が
登録済みの指紋と同一であり、セキュリティ認証部20
3のプロセッサが有効と判断すれば、HDDアクセス許
可部202のプロセッサがハードディスク部102のロ
ックが解除され、ハードディスク部102のオペレーテ
ィングシステムが起動され、拡張ボード201のBIO
SLock部104の動作が終了する。無効と判断され
る場合にはステップS405に戻り以上の処理を繰り返
す。
【0051】ステップS408において、ステップS4
05からの要求により、インタフェース部207により
指紋センサユニット301Aから指紋が読み込まれる。
ステップS409において、セキュリティ認証部203
により入力された指紋が登録済みの指紋と同一であるか
否かの認証動作が行われ、ステップS405に要求に対
する応答を行って処理を終了する。
【0052】このように、、指紋認証とパスワード認証
の機能を有する場合には、まず、指紋認証を優先して認
証を行う。指紋の信頼性が高いためである。また、ユー
ザの好みにより、指紋認証からパスワード認証への切換
が可能になる。
【0053】図5は図4のフローチャートの変形例であ
る。本図に示すように、図4と比較して、ステップS4
12のパスワード認証と、ステップS413のプロセッ
サ呼出、認証とが直列に処理される複合認証が実現され
ている。他の処理は同様である。これにより、より高い
セキュリティ認証、信頼性が保証される。
【0054】次に、セキュリティデバイスとしての拡張
ボード201はオペレーティングシステム起動後も使用
することが可能である。すなわち、デバイスドライバソ
フトウエアを通して、オペレーティングシステム、アプ
リケーション(AP)からの要求に対して、デバイスド
ライバソフトウエアは、以下のように、拡張ボード20
1へのアクセスを行う。図6はオペレーティングシステ
ム起動後にオペレーティングシステム、アプリケーショ
ンの要求から拡張ボード201にアクセスする例を説明
するフローチャートである。ステップS421におい
て、デバイスドライバソフトウエアは、拡張ボード20
1のデバイスの初期化を行わせ、処理を終了する。
【0055】ステップS422において、デバイスドラ
イバソフトウエアは、セキュリティ認証部203に認証
動作を行わせ、処理を終了する。ステップS423にお
いて、デバイスドライバソフトウエアは、メモリ部20
5にパスワード、指紋等の登録を行わせ、処理を終了す
る。ステップS424において、ステップS421の要
求により、初期化部204が拡張ボード201の初期化
を行い、ステップS421に戻り、処理を終了する。
【0056】ステップS425において、ステップS4
22の要求により、初期化部204がセキュリティ認証
部203の初期化を行い、ステップS422に戻り、処
理を終了する。ステップS426において、ステップS
423の要求により、初期化部204がメモリ部205
の初期化を行い、ステップS423に戻り、処理を終了
する。
【0057】このようにして、ログオン処理、パスワー
ド代替などのシーンでも拡張ボード201を利用できる
ようになる。本機能は、拡張ボード201に対するデバ
イスドライバソフトウエアと上位アプリケーションによ
って実現される応用機能である。BIOSLock部1
04のために登録されたセキュリティ情報(指紋データ
など)はオペレーティングシステムからも登録、修正等
の制御ができ、また同じ情報をアプリケーションから使
用可能であるから利用方法に応じて指紋登録しなおすな
どの手間はかからない。
【0058】無論、情報の登録修正アプリケーション並
びにデバイスドライバソフトウエアは高いセキュリティ
認証によって動作並びに信頼性が保証されているものと
する。また、オペレーティングシステム起動後には、拡
張ボード201がセキュリティボートとして検出され、
実装している機能に応じて、例えば、図1(a)では、
メモリ部205を有する拡張ボード201を「セキュア
ストレージ」として、図1(b)では、暗号部206を
有する拡張ボード201を「暗号ボード」として、図1
(c)では、インタフェース部207を有する拡張ボー
ド201を「外部セキュリティデバイスへのインタフェ
ース」として、利用可能である。これらは、その拡張ボ
ード201に対応した専用のユーティリティを用いてオ
ペレーティングシステムから制御可能である。図7は図
3の変形例であって指紋センサユニット301Aに代わ
るスマートカード(Smart Card)301Bを
実装した概略構成を示すブロック図である。
【0059】本図に示すように、拡張ボード201には
スマートカード301Bが接続され、スマートカード3
01Bは個人の認証情報を出力し、拡張ボード201に
は、前述と同様に、BIOSLock部104、登録認
証情報を格納するセキュアストレージとしてのメモリ部
205、スマートカード301Bのインタフェース部2
07が設けられる。この例の場合、スマートカード30
1Bを読み込ませた後にPINコード(パスワードに相
当)を読み込まさせるという処理が必要であるが、基本
的動作は図4の動作と同様である。
【0060】また、図5に示すように、PINコードを
指紋検証で実現するという複合検証を実現することも可
能である。図8は図1(b)と図3を組み合わせた概略
構成を示すブロック図である。本図に示すように、図1
(b)に対して図3の指紋認証など認証デバイスを追加
させることにより、暗号化と認証による二重のセキュリ
ティがかけられることになる。
【0061】このようにセキュリティの共存による複合
認証であっても基本とする「拡張ボード201という形
態」で「そのBIOSLock部104によるハードデ
ィスク部102のロック制御」を実現していれば、本発
明の主旨に沿った応用形態と考えることが可能である。
なお、本発明を実現するための構成として、PC/AT
アーキテクチャのパーソナルコンピュータ101、拡張
ボード201を実装する拡張スロット、そしてオペレー
ティングシステムを格納するハードディスク部102が
必要であるが、デスクトップのパーソナルコンピュータ
の多くはこの要件を満たしている。
【0062】
【発明の効果】以上説明したように、本発明によれば、
パーソナルコンピュータの起動時にこれに組み込まれた
ハードディスク部のアクセス禁止状態をロックし、BI
OSからセキュリティ機能を有するBIOSLockが
分離され、拡張ボードに実装され、起動時にセキュリテ
ィの認証を行い、認証が有効の場合にはアクセスloc
kのロックを解除してアクセス許可を行うようにしたの
で、システムBIOSに組み込まれているBIOSLo
ck機能を分離し機能変更を容易にし、パーソナルコン
ピュータのハードウエアに依存することなく、後付でB
IOSLock部という強靱なセキュリティ機能を盛り
込むことが可能になり、同時に使用促進の実現が可能に
なる。
【0063】また、パーソナルコンピュータ本体のシス
テムBIOSに手を加えずにBIOSlock部に機能
の変更が可能となる新しいセキュリティ機能を組み込む
ことができるようになる。さらに、更新されるパーソナ
ルコンピュータの拡張ボードは、BIOSLock部の
セキュリティ情報を再設定せずに、新しいパーソナルコ
ンピュータの環境に移行可能であるにしたので、ユーザ
がパーソナルコンピュータを入り替える時にもセキュリ
ティ項目に関して改めて設定しなおす必要が無く、再設
定の際のセキュリティ低下、煩わしさから開放される。
【0064】BIOSLock部は、起動時に呼び出さ
れ、セキュリティ認証を行い、認証に失敗した場合に
は、Halt、又は、無限ループを含むCPUの停止に
より、ロックの解除を行わないようにしたので、使用者
が不正と判断した場合にはロックは解除されないように
した。さらに、拡張ボードがパーソナルコンピュータか
ら抜き去られた場合には、アクセスLock部は、ハー
ドディスク部のアクセス禁止状態のロックを維持するよ
うにしたので、拡張ボードによる認証に失敗して、不正
に拡張ボードを抜き出しても、ロックが解除されない。
【0065】さらに、拡張ボードに外部セキュリティデ
バイスが接続され、外部セキュリティデバイスは認証情
報をBIOSLock部に出力し、BIOSLock部
の認証に供するようにしたので、パーソナルコンピュー
タ本体のリソースとは独立して外部セキュリティデバイ
スを搭載した拡張ボードを持つことにより、機能拡張が
行われ、インタフェース部を介して、拡張ボードに認証
情報を集約でき、解析されにくい信頼性の高い、頑強な
システムが実現できる。
【0066】さらに、拡張ボードは、インストール又は
メンテナンス時以外には指紋、個人認証情報、パスワー
ドを含むセキュリティ情報を外部から参照できないよう
にし、バス上に展開されないようにするしたので、セキ
ュリティの信頼性を向上することが可能になる。
【図面の簡単な説明】
【図1】本発明に係るBIOSの拡張ボードの概略構成
を示すブロック図である。
【図2】パーソナルコンピュータ101の更新時に拡張
ボード201の移行例を説明する図である。
【図3】図1(c)における構成の一例として、指紋認
証を行う拡張ボード201の概略構成を示すブロック図
である。
【図4】本発明の動作として、図3における指紋認証付
きの拡張ボード201におけるBIOSLock部10
4の一連の動作例を説明するフローチャートである。
【図5】図4のフローチャートの変形例である。
【図6】オペレーティングシステム起動後にオペレーテ
ィングシステム、アプリケーションの要求から拡張ボー
ド201にアクセスする例を説明するフローチャートで
ある。
【図7】図3の変形例であって指紋センサユニット30
1Aに代わるスマートカード(Smart Card)
301Bを実装した概略構成を示すブロック図である。
【図8】図1(b)と図3を組み合わせた概略構成を示
すブロック図である。
【図9】本発明の前提となるパーソナルコンピュータの
システムBIOSを説明する図である。
【符号の説明】
101、101A、101B…パーソナルコンピュータ 102、102A、102B…ハードディスク部 103、103A、103B…システムBIOS 104、104A…BIOSLock 105、105A、105B…アクセスLock部 201…拡張ボード 202…セキュリティ認証部 203…HDDアクセス許可部 204…初期化部 205…メモリ部 206…暗号部 207…インタフェース部 208…コネクタ 301…外部セキュリティデバイス 301A…指紋センサユニット 301B…スマートカード

Claims (20)

    【特許請求の範囲】
  1. 【請求項1】 セキュリティ機能を有するBIOSを組
    み込んだパーソナルコンピュータのBIOSの拡張ボー
    ドにおいて、 前記パーソナルコンピュータの起動時にこれに組み込ま
    れたハードディスク部のアクセス禁止状態をロックする
    アクセスLock部と、 前記拡張ボードに実装され、前記BIOSから分離され
    た前記セキュリティ機能が組み込まれ、起動時にセキュ
    リティの認証を行い、認証が有効の場合には前記アクセ
    スlock部のロックを解除してアクセス許可を行うB
    IOSLock部とを備えることを特徴とするBIOS
    の拡張ボード。
  2. 【請求項2】 前記アクセスLock部は、ロック状態
    では、ハードディスク部の内部データが保護され、ハー
    ドディスク部に格納されているオペレーティングシステ
    ムの起動が防止されることを特徴とする、請求項1に記
    載のBIOSの拡張ボード。
  3. 【請求項3】 前記アクセスLock部は、前記拡張ボ
    ードのインストール時に、前記ハードディスク部のパス
    ワード機能、又は、起動のための特定のエリアの書き換
    え機能によってロックを設定することを特徴とする、請
    求項1に記載のBIOSの拡張ボード。
  4. 【請求項4】 前記BIOSLock部は、起動時に呼
    び出され、セキュリティ認証を行い、認証に失敗した場
    合には、Halt、又は、無限ループを含むCPUの停
    止より、ロックの解除を行わないことを特徴とする、請
    求項1に記載のBIOSの拡張ボード。
  5. 【請求項5】 前記拡張ボードが前記パーソナルコンピ
    ュータから抜き去られた場合には、前記アクセスLoc
    k部は、前記ハードディスク部のアクセス禁止状態のロ
    ックを維持することを特徴とする、請求項1に記載のB
    IOSの拡張ボード。
  6. 【請求項6】 さらに、メモリ部が設けられ、前記メモ
    リ部はセキュリティソフトウエア、認証情報を含む情報
    を格納することを特徴とする、請求項1に記載のBIO
    Sの拡張ボード。
  7. 【請求項7】 さらに、暗号部が設けられ、前記暗号部
    は前記ハードディスク部に格納されているオペレーティ
    ングシステムの起動セクタの情報、オペレーティングシ
    ステム起動後の特定ディレクトリ、特定ファイルを暗号
    化することを特徴とする、請求項1に記載のBIOSの
    拡張ボード。
  8. 【請求項8】 更新されるパーソナルコンピュータの前
    記拡張ボードは、BIOSLock部のセキュリティ情
    報を再設定せずに、新しいパーソナルコンピュータの環
    境に移行可能であることを特徴とする、請求項1に記載
    のBIOSの拡張ボード。
  9. 【請求項9】 前記拡張ボードに外部セキュリティデバ
    イスが接続され、前記外部セキュリティデバイスは認証
    情報を前記BIOSLock部に出力し、BIOSLo
    ck部の認証に供することを特徴とする、請求項1に記
    載のBIOSの拡張ボード。
  10. 【請求項10】 前記外部セキュリティデバイスは、指
    紋を検出する指紋センサユニット、又は、個人の認証情
    報を出力するスマートカードであることを特徴とする、
    請求項1に記載のBIOSの拡張ボード。
  11. 【請求項11】 前記BIOSLock部は、指紋情報
    を登録し、又は、個人認証情報を登録している場合に
    は、前記指紋センサからの指紋を認証し、又は、前記ス
    マートカードからの個人の認証情報を認証し、指紋情報
    及び個人認証情報のいずれも登録していなければパスワ
    ード認証を行うことを特徴とする、請求項10に記載の
    BIOSの拡張ボード。
  12. 【請求項12】 前記BIOSLock部は、前記指紋
    センサから指紋の入力を待っている時に特定のキーシー
    ケンスを発行して、前記指紋の入力を中断し、前記パス
    ワード認証に切り替えることを特徴とする、請求項11
    に記載のBIOSの拡張ボード。
  13. 【請求項13】 前記BIOSLock部は、前記指紋
    センサユニットの指紋認証とパスワード認証による複合
    認証、又は、前記スマートカードの個人認証とパスワー
    ド認証による複合認証を行うことを特徴とする、請求項
    10に記載のBIOSの拡張ボード。
  14. 【請求項14】 前記BIOSLock部は、前記複合
    認証と、前記ハードディスク部に格納されているオペレ
    ーティングシステムの起動セクタの情報、オペレーティ
    ングシステム起動後の特定ディレクトリ、特定ファイル
    の暗号化とを組み合わせることを特徴とする、請求項1
    3に記載のBIOSの拡張ボード。
  15. 【請求項15】 前記BIOSLock部の設定を誤っ
    た場合には、前記ハードディスク部の交換又は初期化を
    行い、前記パーソナルコンピュータの起動を行うことを
    特徴とする、請求項1に記載のBIOSの拡張ボード。
  16. 【請求項16】 前記拡張ボードに応じたオペレーティ
    ングシステム配下のユーティリティを作り、前記ユーテ
    ィリティを用いて、前記拡張ボードに搭載される個々の
    機能の設定変更を行うことを特徴とする、請求項1に記
    載のBIOSの拡張ボード。
  17. 【請求項17】 前記拡張ボードは、インストール又は
    メンテナンス時以外には指紋、個人認証情報、パスワー
    ドを含むセキュリティ情報を外部から参照できないよう
    にし、バス上に展開されないようにすることを特徴とす
    る、請求項1に記載のBIOSの拡張ボード。
  18. 【請求項18】 オペレーティングシステムから前記メ
    モリ部に指紋情報、個人認証情報、パスワードを含む認
    証情報を登録、修正する制御を可能にすることを特徴と
    する、請求項6に記載のBIOSの拡張ボード。
  19. 【請求項19】 前記拡張ボードは、オペレーティング
    システム起動後に、上位オペレーティングシステム又は
    アプリケーションからアクセス可能であり、ログオン処
    理、パスワード代替えを含む処理に使用されることを特
    徴とする、請求項1に記載のBIOSの拡張ボード。
  20. 【請求項20】 セキュリティ機能を有するBIOSを
    組み込んだパーソナルコンピュータのBIOSLock
    機能分離方法において、 前記パーソナルコンピュータの起動時にこれに組み込ま
    れたハードディスク部のアクセス禁止状態をロックする
    工程と、 前記BIOSから前記セキュリティ機能を有するBIO
    SLockが分離され、前記拡張ボードに実装される工
    程と、 起動時にセキュリティの認証を行い、認証が有効の場合
    には前記アクセスlock部のロックを解除してアクセ
    ス許可を行う工程とを備えることを特徴とするBIOS
    Lock機能分離方法。
JP2002140832A 2002-05-15 2002-05-15 BIOSの拡張ボード及びBIOSLock機能分離方法 Pending JP2003330726A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002140832A JP2003330726A (ja) 2002-05-15 2002-05-15 BIOSの拡張ボード及びBIOSLock機能分離方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002140832A JP2003330726A (ja) 2002-05-15 2002-05-15 BIOSの拡張ボード及びBIOSLock機能分離方法

Publications (1)

Publication Number Publication Date
JP2003330726A true JP2003330726A (ja) 2003-11-21

Family

ID=29701580

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002140832A Pending JP2003330726A (ja) 2002-05-15 2002-05-15 BIOSの拡張ボード及びBIOSLock機能分離方法

Country Status (1)

Country Link
JP (1) JP2003330726A (ja)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005266871A (ja) * 2004-03-16 2005-09-29 Ultra X:Kk ハードディスク装置の診断/消去機能を有するコンピュータ装置およびそのマザーボード
JP2007066123A (ja) * 2005-09-01 2007-03-15 Yokogawa Electric Corp Os起動方法及びこれを用いた装置
JP2007086884A (ja) * 2005-09-20 2007-04-05 Nec Fielding Ltd Hdd用情報漏洩防止システム及び方法
US7694118B2 (en) 2005-02-25 2010-04-06 Nec Personal Products, Ltd. Function addition apparatus and function addition method
JP2010237974A (ja) * 2009-03-31 2010-10-21 Buffalo Inc 記憶装置
US7904733B2 (en) 2006-10-26 2011-03-08 Samsung Electronics Co., Ltd. Computer system and control method thereof, and remote control system
JP2014532224A (ja) * 2011-09-30 2014-12-04 インテル・コーポレーション 複数のコンピューティングデバイスのためのアプリケーション認証ポリシー
JP2016129066A (ja) * 2016-03-08 2016-07-14 インテル・コーポレーション 複数のコンピューティングデバイスのためのアプリケーション認証ポリシー
JP7406139B1 (ja) 2022-08-01 2023-12-27 富士通クライアントコンピューティング株式会社 情報処理装置

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005266871A (ja) * 2004-03-16 2005-09-29 Ultra X:Kk ハードディスク装置の診断/消去機能を有するコンピュータ装置およびそのマザーボード
US7694118B2 (en) 2005-02-25 2010-04-06 Nec Personal Products, Ltd. Function addition apparatus and function addition method
JP2007066123A (ja) * 2005-09-01 2007-03-15 Yokogawa Electric Corp Os起動方法及びこれを用いた装置
JP2007086884A (ja) * 2005-09-20 2007-04-05 Nec Fielding Ltd Hdd用情報漏洩防止システム及び方法
JP4708942B2 (ja) * 2005-09-20 2011-06-22 Necフィールディング株式会社 Hdd用情報漏洩防止システム及び方法
US7904733B2 (en) 2006-10-26 2011-03-08 Samsung Electronics Co., Ltd. Computer system and control method thereof, and remote control system
JP2010237974A (ja) * 2009-03-31 2010-10-21 Buffalo Inc 記憶装置
JP2014532224A (ja) * 2011-09-30 2014-12-04 インテル・コーポレーション 複数のコンピューティングデバイスのためのアプリケーション認証ポリシー
JP2016129066A (ja) * 2016-03-08 2016-07-14 インテル・コーポレーション 複数のコンピューティングデバイスのためのアプリケーション認証ポリシー
JP7406139B1 (ja) 2022-08-01 2023-12-27 富士通クライアントコンピューティング株式会社 情報処理装置

Similar Documents

Publication Publication Date Title
US7107460B2 (en) Method and system for securing enablement access to a data security device
US7917741B2 (en) Enhancing security of a system via access by an embedded controller to a secure storage device
US8201239B2 (en) Extensible pre-boot authentication
US8909940B2 (en) Extensible pre-boot authentication
EP3125149B1 (en) Systems and methods for securely booting a computer with a trusted processing module
JP3689431B2 (ja) 暗号化キーの安全処理のための方法及び装置
KR101775800B1 (ko) 펌웨어의 도난 방지
US7841000B2 (en) Authentication password storage method and generation method, user authentication method, and computer
US7174463B2 (en) Method and system for preboot user authentication
JP4982825B2 (ja) コンピュータおよび共有パスワードの管理方法
US7380136B2 (en) Methods and apparatus for secure collection and display of user interface information in a pre-boot environment
CN107292176B (zh) 用于访问计算设备的可信平台模块的方法和系统
EP2727040B1 (en) A secure hosted execution architecture
US20070192580A1 (en) Secure remote management of a TPM
US20030196100A1 (en) Protection against memory attacks following reset
JP5689429B2 (ja) 認証装置、および、認証方法
JP2004078539A (ja) ハードディスクのプライバシー保護システム
JP2008171389A (ja) ドメイン・ログオンの方法、およびコンピュータ
US20040003265A1 (en) Secure method for BIOS flash data update
BRPI0822164B1 (pt) método para prover um comando de gerenciamento de sistema e dispositivo eletrônico
US20050246512A1 (en) Information-processing apparatus and method and program for starting the same
US8181006B2 (en) Method and device for securely configuring a terminal by means of a startup external data storage device
JP2005301564A (ja) セキュリティ機能を備えた情報処理装置
US6892305B1 (en) Method and system for booting up a computer system in a secure fashion
JP2003330726A (ja) BIOSの拡張ボード及びBIOSLock機能分離方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040426

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070312

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070702