JP2008071274A - 管理システム,端末装置,セキュリティ管理方法,セキュリティ用プログラムおよび当該プログラムを記録したコンピュータ読取可能な記録媒体 - Google Patents
管理システム,端末装置,セキュリティ管理方法,セキュリティ用プログラムおよび当該プログラムを記録したコンピュータ読取可能な記録媒体 Download PDFInfo
- Publication number
- JP2008071274A JP2008071274A JP2006251294A JP2006251294A JP2008071274A JP 2008071274 A JP2008071274 A JP 2008071274A JP 2006251294 A JP2006251294 A JP 2006251294A JP 2006251294 A JP2006251294 A JP 2006251294A JP 2008071274 A JP2008071274 A JP 2008071274A
- Authority
- JP
- Japan
- Prior art keywords
- user
- security
- restoration
- terminal device
- function module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】端末管理者のトークンやアーカイブ,トークン用パスワードの管理に要する工数を軽減し、又、端末装置のセキュリティレベルを更に向上させる。
【解決手段】セキュリティ機能モジュール11にかかる復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なう要求部121と、送信された復元用ユーザ情報ファイル暗号鍵と復元用ユーザ情報ファイルとに基づいて、そのセキュリティ機能モジュールにかかるユーザセキュリティ情報を復元する復元部17とをそなえ、端末装置の起動処理時に、要求部121が外部装置に対して復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なうとともに、復元部17が、外部装置から送信された復元用ユーザ情報ファイル暗号鍵と、セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、セキュリティ機能モジュール11にかかるユーザセキュリティ情報を復元する。
【選択図】図1
【解決手段】セキュリティ機能モジュール11にかかる復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なう要求部121と、送信された復元用ユーザ情報ファイル暗号鍵と復元用ユーザ情報ファイルとに基づいて、そのセキュリティ機能モジュールにかかるユーザセキュリティ情報を復元する復元部17とをそなえ、端末装置の起動処理時に、要求部121が外部装置に対して復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なうとともに、復元部17が、外部装置から送信された復元用ユーザ情報ファイル暗号鍵と、セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、セキュリティ機能モジュール11にかかるユーザセキュリティ情報を復元する。
【選択図】図1
Description
本発明は、TPM(Trusted Platform Module)等のセキュリティチップを用いた端末装置におけるセキュリティ技術に関する。
情報処理端末(情報処理装置)において、そのセキュリティレベルを向上させることが要求されており、近年では、TPM(Trusted Platform Module)等のセキュリティチップ(セキュリティ機能モジュール)を内蔵することにより、セキュリティレベルを向上させた情報処理端末(情報処理装置)が知られている。
TPMは、業界標準団体であるTCG(Trusted Computing Group)によって定義された仕様に準拠するセキュリティチップであり、例えば、情報処理端末のマザーボードに実装され、セキュア通信で利用される暗号鍵(コア暗号鍵)を格納する不揮発性メモリや、暗号処理専用のマイクロプロセッサをそなえて構成されている。又、TPMにおいては、不揮発性メモリに格納されたコア暗号鍵は外部に取り出すことができないように構成されている。
TPMは、業界標準団体であるTCG(Trusted Computing Group)によって定義された仕様に準拠するセキュリティチップであり、例えば、情報処理端末のマザーボードに実装され、セキュア通信で利用される暗号鍵(コア暗号鍵)を格納する不揮発性メモリや、暗号処理専用のマイクロプロセッサをそなえて構成されている。又、TPMにおいては、不揮発性メモリに格納されたコア暗号鍵は外部に取り出すことができないように構成されている。
このTPMは、例えば、プラットフォームがTCGの仕様に準拠しているかどうかの検証や、ハードウェアやソフトウェアが改ざんされていないかのチェックを行なったり、TPM内に格納した暗号鍵(コア暗号鍵)を外部に出力することがないように保護したりする機能をそなえる他、種々の暗号処理機能(RSA暗号処理,乱数発生等)をそなえている。
そして、TPMは、例えば、不揮発性メモリに格納されたコア暗号鍵を用いて、アプリケーション等で使用する暗号鍵を暗号化したり、ユーザ毎の暗号鍵(ユーザ鍵)を生成したり、情報処理端末の起動時にBIOS(Basic Input Output System)の不正改ざんやチップの不正交換などをチェックし、何らかの不正を発見した場合に起動を阻止したりすることにより、ハードウェアレベルでのセキュリティ管理を実現するようになっている。
なお、TPMが格納するコア暗号鍵はTPM毎に固有のものであり、そのため、TPMを他の情報処理端末に乗せ換えても正常に作動することはなく、結果として不正にTPMを乗せ換えた情報処理端末においては、そのTPMを機能させることはできないようになっている。
例えば、下記特許文献1には、コンピュータシステムのブートアッププロセスを安全にするために、TPMの暗号性を使用する手法を開示しており、又、下記特許文献2には、TPMで暗号化された初期データを用いることにより、正当な使用権限の所有者であることを認証する手法が開示されている。
例えば、下記特許文献1には、コンピュータシステムのブートアッププロセスを安全にするために、TPMの暗号性を使用する手法を開示しており、又、下記特許文献2には、TPMで暗号化された初期データを用いることにより、正当な使用権限の所有者であることを認証する手法が開示されている。
TPMにおいては、その設定時に、コア暗号鍵に基づいて、その情報処理端末を使用するユーザ毎にそれぞれ固有のユーザ鍵を生成するようになっており、このユーザ鍵はTPM内のコア暗号鍵によって暗号化されている。又、この生成したユーザ鍵は、情報処理端末のハードディスク内に保管される。
図10(a),(b)はTPMの機能を説明するための図であり、図10(a)はTPMの機能を使用しない場合での情報処理端末のログイン手法を示す図、図10(b)はTPMの機能を用いてログイン認証を行なう場合での情報処理端末のログイン手法を示す図である。
図10(a),(b)はTPMの機能を説明するための図であり、図10(a)はTPMの機能を使用しない場合での情報処理端末のログイン手法を示す図、図10(b)はTPMの機能を用いてログイン認証を行なう場合での情報処理端末のログイン手法を示す図である。
情報処理端末においては、各ユーザはユーザ鍵を用いて、ファイルの暗号化や電子署名、端末へのログイン認証等を行なうことが出来るようになっており、例えば、TPMの機能を用いないで情報処理端末にログインする場合には、図10(a)に示すように、ユーザは、予め設定された端末ログイン用のパスワード(Pass word;図10(a)に示す例では“aaa”)をキーボード(図示省略)等を用いて入力する。そして、情報処理端末は、この入力された端末ログイン用のパスワード“aaa”を用いて、ユーザのログイン認証等の処理を行なう。
一方、TPMの機能を使用する場合には、図10(b)に示すように、端末ログイン用のパスワード(図10(b)に示す例では“aaa”)は、予めユーザ鍵によって暗号化されており、ユーザは、TPMを利用するためのパスワード(図10(b)に示す例では“bbb”)をキーボード等を用いて入力する。
そして、情報処理装置においては、TPMが、この入力されたパスワード“bbb”を用いて、端末ログイン用のパスワード“aaa”を復号化し、この復号化されたパスワード“aaa” を用いてログイン認証等の処理が行なわれる。このように、TPMを使用する場合には、ログイン認証がよりセキュアに行なわれるのである。
そして、情報処理装置においては、TPMが、この入力されたパスワード“bbb”を用いて、端末ログイン用のパスワード“aaa”を復号化し、この復号化されたパスワード“aaa” を用いてログイン認証等の処理が行なわれる。このように、TPMを使用する場合には、ログイン認証がよりセキュアに行なわれるのである。
図11はTPMにおける復元用データを説明するための図である。
さて、TPMの使用開始時(初期設定時)には、図11に示すように、TPMが破損した場合等に備えて、復旧用のデータであるアーカイブおよびトークンの生成が行なわれるとともに、このトークンに対してパスワード(トークン用パスワード)の設定が行なわれる。
さて、TPMの使用開始時(初期設定時)には、図11に示すように、TPMが破損した場合等に備えて、復旧用のデータであるアーカイブおよびトークンの生成が行なわれるとともに、このトークンに対してパスワード(トークン用パスワード)の設定が行なわれる。
ここで、アーカイブは、TPMにかかるユーザセキュリティ情報を管理するバックアップファイルデータであって、TPMを使用するユーザが増減した場合や、パスワードを変更した場合等に随時更新されるようになっている。又、TPMにかかるユーザセキュリティ情報とは、具体的には、例えば、ユーザID,ユーザ鍵,ユーザ鍵用のパスワード等である。
そして、従来のセキュリティ管理システムにおいては、アーカイブは、ハードディスク内等に保管されており、又、このアーカイブは定期的に外部記憶媒体へ別途バックアップをとっておくことが望ましいとされている。
トークンは、アーカイブにかかる暗号鍵であって、アーカイブは、このトークンによって暗号化処理されている。又、トークンの使用に際しては、このトークンに対応して予め設定されたパスワードが必要とされるようになっており、これにより、トークンを格納した外部記憶媒体が盗難にあった場合等においても、その不正使用を抑止することができる。又、従来においては、トークンは、情報処理端末の外部の記憶媒体(もしくは外部記憶装置)に保管している。
トークンは、アーカイブにかかる暗号鍵であって、アーカイブは、このトークンによって暗号化処理されている。又、トークンの使用に際しては、このトークンに対応して予め設定されたパスワードが必要とされるようになっており、これにより、トークンを格納した外部記憶媒体が盗難にあった場合等においても、その不正使用を抑止することができる。又、従来においては、トークンは、情報処理端末の外部の記憶媒体(もしくは外部記憶装置)に保管している。
なお、トークンを紛失した場合には、TPMを新規に設定しなおさない限り、再度作成することは不可能であり、又、アーカイブおよびトークンは、セキュリティ上、情報処理端末毎に固有のものとすることが望ましい。
さて、TPMを搭載し、このTPMによってハードディスク内の情報を暗号化したり機器構成監視を行なうことにより保護されている従来の情報処理端末において、万一、TPMが破損した場合には、その情報処理装置を継続して使用することは困難である。
さて、TPMを搭載し、このTPMによってハードディスク内の情報を暗号化したり機器構成監視を行なうことにより保護されている従来の情報処理端末において、万一、TPMが破損した場合には、その情報処理装置を継続して使用することは困難である。
従って、破損したTPMを正常なものと交換(マザーボードごとの交換を含む)するとともに、アーカイブおよびトークンを用いて、TPMにおける元のユーザセキュリティ情報を復元させることにより、情報処理端末をTPMの破損前の状態にするのである。
ここで、従来のセキュリティ管理システムにおけるユーザセキュリティ情報の復元手法を、図12に示すフローチャート(ステップA10〜A100)に従って説明する。
ここで、従来のセキュリティ管理システムにおけるユーザセキュリティ情報の復元手法を、図12に示すフローチャート(ステップA10〜A100)に従って説明する。
なお、この図12のフローチャートに示すユーザセキュリティ情報の復元手法は、TPM内のユーザセキュリティ情報、すなわち、ユーザIDやユーザ鍵,パスワード等を復元する例を示すものであって、例えば、情報処理端末においてTPMが破損して使用不可となり新しいTPMに交換する場合や、情報処理端末のハードディスク内のデータを複製して、他の情報処理端末内に全く同じデータを構築(作成)する場合等に行なわれる。
また、アーカイブは情報処理端末のハードディスク内に保管されており、トークンはCD−ROM等の外部記憶媒体に保管されているものとし、又、情報処理端末のハードディスクは入れ替えられていないものとする。
先ず、TPMを使用可能とするために、BIOS設定にてTPMを使用許可へと変更(アクティベーション)する(ステップA10)。
先ず、TPMを使用可能とするために、BIOS設定にてTPMを使用許可へと変更(アクティベーション)する(ステップA10)。
情報処理端末の操作者(端末管理者)は、その情報処理端末に管理者権限でログインを行ない、端末管理者のパスワードを再入力する。情報処理端末は、管理者権限で正当にログインが行なわれたことにより操作者の正当性を確認して、端末管理者環境の再構築を開始する(ステップA20)。
操作者が不正な端末管理者であるか否かの確認の結果(ステップA30)、端末管理者の正しいパスワードが入力されなかった等の理由により、不正な端末管理者であると情報処理端末が判断した場合には(ステップA30のYESルート参照)、情報処理端末のディスプレイにエラー表示等が行なわれ(ステップA100)、処理を終了する。
操作者が不正な端末管理者であるか否かの確認の結果(ステップA30)、端末管理者の正しいパスワードが入力されなかった等の理由により、不正な端末管理者であると情報処理端末が判断した場合には(ステップA30のYESルート参照)、情報処理端末のディスプレイにエラー表示等が行なわれ(ステップA100)、処理を終了する。
また、正当な端末管理者であると判断した場合には(ステップA30のNOルート参照)、情報処理端末はユーザセキュリティ情報復元プロセスを実行する(ステップA40)。情報処理端末は、ユーザセキュリティ情報復元プロセスに必要なアーカイブおよびトークンを呼び出す。
ここで、アーカイブは、情報処理端末のハードディスク等から取得され、トークンは、CD−ROM等の外部記憶媒体から取得される。端末管理者は、更に、トークンを使用するためのパスワードを入力し、情報処理端末は、入力されたトークン用のパスワードが正しいものであるかを確認することにより、トークンの使用者(端末管理者)の正当性を確認する(ステップA50)。
ここで、アーカイブは、情報処理端末のハードディスク等から取得され、トークンは、CD−ROM等の外部記憶媒体から取得される。端末管理者は、更に、トークンを使用するためのパスワードを入力し、情報処理端末は、入力されたトークン用のパスワードが正しいものであるかを確認することにより、トークンの使用者(端末管理者)の正当性を確認する(ステップA50)。
操作者が不正な端末管理者であるか否かの確認の結果(ステップA60)、不正な端末管理者であると情報処理端末が判断した場合には(ステップA60のYESルート参照)、ステップA100に移行する。又、不正な端末管理者ではないと情報処理端末が判断した場合には(ステップA60のNOルート参照)、次に、ユーザ毎の環境(ユーザ環境)を復元するために、ユーザのパスワードの入力(再入力)を行なう(ステップA70)。
情報処理端末は、このユーザによって入力されたパスワードに基づいて、ユーザの正当性を確認し(ステップA80)、不正なユーザであると判断した場合には(ステップA80のYESルート参照)、ステップA100に移行する。又、正当なユーザであると判断した場合には(ステップA80のNOルート参照)、そのユーザにかかるユーザ環境を再構築して(ステップA90)、処理を終了する。
そして、TPMもしくはマザーボードの交換を行なう情報処理端末が複数ある場合には、上述した復元処理を、これらの複数の情報処理端末の全てに対して行なうのである。
特開2006−092533号公報
特開2004−282391号公報
しかしながら、上述の如く、アーカイブおよびトークンは、セキュリティ上、情報処理端末毎に固有のものとすることが望ましく、これにより、複数の情報処理端末がある場合には、これらの情報処理端末の台数分のアーカイブとトークンが存在することとなる。
従って、端末管理者にとって、管理する情報処理端末の台数が多くなるほど、バックアップの対象となるアーカイブや管理するトークンの数が増大し煩雑であるという課題がある。例えば、情報処理端末が数百台ある場合には、保管しなければならないトークンやアーカイブも数百あり、数百のトークンを全て外部媒体で保管し、保守作業が発生する度にこれらの外部媒体を持ち歩くのは煩雑であり非現実的である。又、保守員がトークンを持ち歩くことはセキュリティ上好ましいものではない。
従って、端末管理者にとって、管理する情報処理端末の台数が多くなるほど、バックアップの対象となるアーカイブや管理するトークンの数が増大し煩雑であるという課題がある。例えば、情報処理端末が数百台ある場合には、保管しなければならないトークンやアーカイブも数百あり、数百のトークンを全て外部媒体で保管し、保守作業が発生する度にこれらの外部媒体を持ち歩くのは煩雑であり非現実的である。又、保守員がトークンを持ち歩くことはセキュリティ上好ましいものではない。
また、トークンやアーカイブは、基本的には、保守作業時においてのみ使用するものであって、使用の頻度は少なく、外部媒体等に保存しての管理では紛失するおそれもある。又、トークンを使用するためのパスワードについても同様に、忘却の可能性がある。
そして、万一、トークンやアーカイブを紛失したり、トークンを使用するためのパスワードを忘却してしまった場合には、TPMにおける元のユーザセキュリティ情報を復元することが不可能となるという課題もある。
そして、万一、トークンやアーカイブを紛失したり、トークンを使用するためのパスワードを忘却してしまった場合には、TPMにおける元のユーザセキュリティ情報を復元することが不可能となるという課題もある。
なお、管理の煩雑さを軽減するために、トークンを使用するためのパスワードを設定(使用)しないようにすることによりパスワードの管理を不要にすることも考えられるが、このようにパスワードを設定しない場合には、不正なトークンの複製等の行為に対応することができず、セキュリティレベルが低下するという課題がある。
また、従来のセキュリティ管理手法においては、トークンをCD−ROM等の外部媒体に格納しているので、トークンの使用状況を管理・把握することができず、万一、トークンを不正に使用された時に確認する手段がないという課題もある。
また、従来のセキュリティ管理手法においては、トークンをCD−ROM等の外部媒体に格納しているので、トークンの使用状況を管理・把握することができず、万一、トークンを不正に使用された時に確認する手段がないという課題もある。
そして、セキュリティレベルを更に向上させたいという課題があり、TPMを有効に活用することも望まれている。
本発明は、このような課題に鑑み創案されたもので、端末管理者のトークンやアーカイブ,トークン用パスワードの管理に要する工数を軽減し、又、端末装置のセキュリティレベルを更に向上させることを目的とする。
本発明は、このような課題に鑑み創案されたもので、端末管理者のトークンやアーカイブ,トークン用パスワードの管理に要する工数を軽減し、又、端末装置のセキュリティレベルを更に向上させることを目的とする。
このため、本発明の管理システム(請求項1)は、暗号処理機能を有しユーザセキュリティ情報を格納するセキュリティ機能モジュールをそなえた端末装置と、該端末装置と通信可能に接続された管理装置とをそなえた管理システムであって、該管理装置が、該端末装置を特定する情報と該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイル暗号鍵とを関連付けて格納する格納部と、該端末装置からの該復元用ユーザ情報ファイル暗号鍵の呼び出し要求に応じて、該端末装置に対して該復元用ユーザ情報ファイル暗号鍵を送信する送信部とをそなえ、該端末装置が、該管理装置に対して前記復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なう要求部と、該管理装置の該送信部から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかるユーザセキュリティ情報を復元する復元部とをそなえ、該端末装置の起動処理時に、該要求部が該管理装置に対して前記復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なうとともに、該復元部が、該管理装置の該送信部から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかる該ユーザセキュリティ情報を復元することを特徴としている。
また、本発明の端末装置(請求項2)は、暗号処理機能を有しユーザセキュリティ情報を格納するセキュリティ機能モジュールをそなえた端末装置であって、当該端末装置に通信可能に接続された外部装置に対して該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なう要求部と、該外部装置から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかるユーザセキュリティ情報を復元する復元部とをそなえ、当該端末装置の起動処理時に、該要求部が該外部装置に対して前記復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なうとともに、該復元部が、該外部装置から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかる該ユーザセキュリティ情報を復元することを特徴としている。
さらに、本発明のセキュリティ管理方法(請求項3)は、暗号処理機能を有し暗号処理機能を有するセキュリティ機能モジュールをそなえた端末装置の起動処理時におけるセキュリティ管理方法であって、当該端末装置に通信可能に接続された外部装置に対して該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なう要求ステップと、該外部装置から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかるユーザセキュリティ情報の復元を行なう復元ステップとをそなえることを特徴としている。
また、本発明のセキュリティ用プログラム(請求項4)は、暗号処理機能を有しユーザセキュリティ情報を格納するセキュリティ機能モジュールをそなえたコンピュータの起動処理時におけるセキュリティ機能を該コンピュータに実行させるためのセキュリティ用プログラムであって、前記コンピュータの起動処理時において、当該コンピュータに通信可能に接続された外部装置に対して該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なう要求ステップと、該外部装置から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかるユーザセキュリティ情報を復元する復元ステップとを、該コンピュータに実行させることを特徴としている。
さらに、本発明のコンピュータ読取可能な記録媒体(請求項5)は、上述したセキュリティ用プログラムを記録したものである。
本発明によれば、以下の少なくともいずれか1つの効果ないし利点が得られる。
(1)管理装置において、端末装置を特定する情報と該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイル暗号鍵とを関連付けて格納し、端末装置からの呼び出し要求に応じて、端末装置に対して復元用ユーザ情報ファイル暗号鍵を送信することにより、復元用ユーザ情報ファイル暗号鍵を紛失等することがなく、機密性や信頼性を向上させることができるとともに利便性が高い(請求項1〜請求項5)。
(1)管理装置において、端末装置を特定する情報と該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイル暗号鍵とを関連付けて格納し、端末装置からの呼び出し要求に応じて、端末装置に対して復元用ユーザ情報ファイル暗号鍵を送信することにより、復元用ユーザ情報ファイル暗号鍵を紛失等することがなく、機密性や信頼性を向上させることができるとともに利便性が高い(請求項1〜請求項5)。
(2)端末装置が多数ある場合においても、これらの復元用ユーザ情報ファイル暗号鍵等の管理を容易に行なうことができる(請求項1〜請求項5)。
(3)端末装置の保守作業時に、保守作業員の手に復元用ユーザ情報ファイル暗号鍵が渡ることがなく、これによっても機密性や信頼性を向上させることができる(請求項1〜請求項5)。
(3)端末装置の保守作業時に、保守作業員の手に復元用ユーザ情報ファイル暗号鍵が渡ることがなく、これによっても機密性や信頼性を向上させることができる(請求項1〜請求項5)。
(4)保守作業員や端末管理者にとって、復元用ユーザ情報ファイル暗号鍵や復元用ユーザ情報ファイル,パスワードを保管・管理する負担を軽減することができる(請求項1〜請求項5)。
(5)復元用ユーザ情報ファイル暗号鍵の送信履歴を管理することにより、復元用ユーザ情報ファイル暗号鍵等の管理を徹底することができ、復元用ユーザ情報ファイル暗号鍵等の使用状況を管理・把握することができるので、トークン等の不正な使用や複製を管理・防止することができる。
(5)復元用ユーザ情報ファイル暗号鍵の送信履歴を管理することにより、復元用ユーザ情報ファイル暗号鍵等の管理を徹底することができ、復元用ユーザ情報ファイル暗号鍵等の使用状況を管理・把握することができるので、トークン等の不正な使用や複製を管理・防止することができる。
(6)復元用ユーザ情報ファイル暗号鍵の取得に関する認証が行なわれた場合に、復元用ユーザ情報ファイル暗号鍵の送信を行なうことにより、復元用ユーザ情報ファイル暗号鍵の不正な使用や複製を管理・防止することができる。
(7)複数の権限者によって復元用ユーザ情報ファイル暗号鍵の取得に関する認証が行なわれた場合に、端末装置に復元用ユーザ情報ファイル暗号鍵の送信を行なうことにより、セキュリティレベルを維持もしくは向上させることができ、システムの信頼性を向上させることができる。
(7)複数の権限者によって復元用ユーザ情報ファイル暗号鍵の取得に関する認証が行なわれた場合に、端末装置に復元用ユーザ情報ファイル暗号鍵の送信を行なうことにより、セキュリティレベルを維持もしくは向上させることができ、システムの信頼性を向上させることができる。
(8)復元用ユーザ情報ファイル暗号鍵や復元用ユーザ情報ファイルを紛失したり、パスワードを忘却(紛失)したりすることがなく、機密性や信頼性を向上させることができるとともに利便性が高い。
(9)管理装置において、前記パスワードの取得に関する認証が行なわれた場合に、端末装置にパスワードの通知を行なうことにより、セキュリティレベルを維持もしくは向上させることができ、システムの信頼性を向上させることができる。
(9)管理装置において、前記パスワードの取得に関する認証が行なわれた場合に、端末装置にパスワードの通知を行なうことにより、セキュリティレベルを維持もしくは向上させることができ、システムの信頼性を向上させることができる。
(10)ユーザセキュリティ情報の復元後に、復元用ユーザ情報ファイル暗号鍵を消去することにより、ユーザセキュリティ情報の復元後には、復元用ユーザ情報ファイル暗号鍵や復元用ユーザ情報ファイルおよびパスワードが再度利用されることがなく、トークン等の不正な使用や複製を管理・防止することができ、機密性や信頼性を維持もしくは向上させることができる。
(11)端末装置の起動処理時に、管理装置に対して復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なうとともに、送信された復元用ユーザ情報ファイル暗号鍵と、セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、セキュリティ機能モジュールにかかるユーザセキュリティ情報を復元することにより、端末装置の起動時にユーザセキュリティ情報を復元することができ、セキュリティ機能モジュールの機能を使用することができる(請求項1〜請求項5)。
(12)端末装置において、セキュリティ機能モジュールに格納されたユーザセキュリティ情報を消去することにより、セキュリティ機能モジュールを容易かつ確実に使用不可の状態にすることができ利便性が高い他、端末装置のセキュリティレベルを向上させることができる。
(13)端末装置が、管理装置との間で通信可能な状態でないと確認された場合に、セキュリティ機能モジュールのユーザセキュリティ情報を消去することにより、端末装置のセキュリティレベルを向上させることができる。
(13)端末装置が、管理装置との間で通信可能な状態でないと確認された場合に、セキュリティ機能モジュールのユーザセキュリティ情報を消去することにより、端末装置のセキュリティレベルを向上させることができる。
(14)端末装置の終了処理時に、セキュリティ機能モジュールのユーザセキュリティ情報を消去することにより、端末装置の終了処理時に、セキュリティ機能モジュールを容易かつ確実に使用不可の状態にすることができ利便性が高い他、端末装置のセキュリティレベルを向上させることができる。
以下、図面を参照して本発明の実施の形態を説明する。
図1は本発明の一実施形態としての管理システムの構成を模式的に示す図、図2はTPMの構成を模式的に示す図である。
本管理システム1は、図1に示すように、端末装置10と管理サーバ20とをそなえて構成されている。
図1は本発明の一実施形態としての管理システムの構成を模式的に示す図、図2はTPMの構成を模式的に示す図である。
本管理システム1は、図1に示すように、端末装置10と管理サーバ20とをそなえて構成されている。
端末装置10は、TPM(Trusted Platform Module)11をそなえた情報処理装置(コンピュータ)であって、図1に示すように、TPM11,CPU12,RAM13,ROM14,HDD15,ディスプレイ19,キーボード31,マウス32およびLANカード16をそなえて構成され、LAN33を介して、後述する管理サーバ20に通信可能に接続されている。
なお、図1に示す例においては、便宜上、本管理システム1にそなえられた端末装置10が1台の状態を示しており、以下、この1台の端末装置10について説明を行なうものであるが、管理システム1の構成はこれにより普遍性が失なわれるものではなく、管理システム1には複数台の端末装置10をそなえることが望ましい。
TPM(セキュリティ機能モジュール)11は、暗号処理機能を有するセキュリティチップであって、例えばマザーボード120に実装され、図2に示すように、RSA暗号鍵の演算装置101,暗号鍵生成器102,ハッシュ生成器103,乱数発生器104,内部プロセッサ105,タイマ(時計)106,EEPROM107および不揮発性メモリ108をそなえて構成されている。
TPM(セキュリティ機能モジュール)11は、暗号処理機能を有するセキュリティチップであって、例えばマザーボード120に実装され、図2に示すように、RSA暗号鍵の演算装置101,暗号鍵生成器102,ハッシュ生成器103,乱数発生器104,内部プロセッサ105,タイマ(時計)106,EEPROM107および不揮発性メモリ108をそなえて構成されている。
RSA暗号鍵の演算装置101はRSA暗号鍵にかかる演算処理を行なうものであって、暗号鍵生成器102はRSA暗号鍵を生成するものである。ハッシュ生成器103は、例えばSHA−1等のハッシュ関数を用いてハッシュ値を生成するものである。
乱数発生器104は乱数を生成するものであり、内部プロセッサ105は種々の演算処理を行なうものである。タイマ(時計)106は計時を行なうものであって、EEPROM107はデータを一時的に格納するものである。
乱数発生器104は乱数を生成するものであり、内部プロセッサ105は種々の演算処理を行なうものである。タイマ(時計)106は計時を行なうものであって、EEPROM107はデータを一時的に格納するものである。
不揮発性メモリ108は、データやプログラムを格納するものであって、電源の供給が停止された場合においても記憶内容を保持するものである。この不揮発性メモリ108は、例えば、予めTPM11に対して設定された固有の暗号鍵(コア暗号鍵)を格納するようになっており、又、この不揮発性メモリ108に格納されたコア暗号鍵は、外部に取り出すことができないようにハードウェア的に構成されている。
また、この不揮発性メモリ108は、TPM11にかかるユーザセキュリティ情報を格納するようになっている。このユーザセキュリティ情報は、例えば、ユーザID,ユーザ鍵,ユーザ鍵用のパスワード等である。
そして、TPM11においては、その使用開始時(初期設定時)に、TPM11が破損等した場合等に備えて、復旧用のデータであるアーカイブおよびトークンの生成が行なわれるとともに、このトークンに対してパスワード(トークン用パスワード)の設定が行なわれるようになっている。
そして、TPM11においては、その使用開始時(初期設定時)に、TPM11が破損等した場合等に備えて、復旧用のデータであるアーカイブおよびトークンの生成が行なわれるとともに、このトークンに対してパスワード(トークン用パスワード)の設定が行なわれるようになっている。
ここで、アーカイブ(復元用ユーザ情報ファイル,バックアップアーカイブ)は、TPM11にかかる環境(ユーザセキュリティ情報)を管理しているバックアップファイルデータであって、TPM11を使用するユーザが増減した場合や、パスワードを変更するなどした場合等に随時更新されるようになっている。又、TPM11にかかるユーザセキュリティ情報とは、例えば、ユーザID,ユーザ鍵,ユーザ鍵用のパスワード等である。
トークン(復元用ユーザ情報ファイル暗号鍵)は、上述したアーカイブにかかる暗号鍵であって、このトークンによってアーカイブが暗号化処理されるようになっている。又、トークンの使用に際しては、このトークンに対応して予め設定されたパスワード(トークン用パスワード)が必要とされるようになっている。
なお、トークンを紛失した場合には、TPM11を新規に設定しなおさない限り、再度作成することは不可能である。又、これらのトークンやアーカイブは、例えば、TPM11の内部プロセッサ105が不揮発性メモリ108に格納されたプログラムを実行することにより、作成されるようになっており、又、アーカイブおよびトークンは、セキュリティ上、端末装置10毎に固有のものとすることが望ましい。
なお、トークンを紛失した場合には、TPM11を新規に設定しなおさない限り、再度作成することは不可能である。又、これらのトークンやアーカイブは、例えば、TPM11の内部プロセッサ105が不揮発性メモリ108に格納されたプログラムを実行することにより、作成されるようになっており、又、アーカイブおよびトークンは、セキュリティ上、端末装置10毎に固有のものとすることが望ましい。
そして、TPM11においては、例えば、TPM11の内部プロセッサ105が不揮発性メモリ108に格納されたプログラムを実行することにより、復元部17およびユーザセキュリティ情報消去部171として機能するようになっている。
復元部17は、上述したトークン,アーカイブおよびトークン用パスワードを用いて、TMP11の環境(TPM11にかかるユーザセキュリティ情報)を復元するものである。なお、この復元部17としての機能は、既知の種々の手法を用いて実現することができる
そして、セキュリティレベルを高い状態で維持するためには、端末装置10に対して特定の権限を有する端末管理者だけが、TPM11にかかるユーザセキュリティ情報を復元することができることが望ましい。
復元部17は、上述したトークン,アーカイブおよびトークン用パスワードを用いて、TMP11の環境(TPM11にかかるユーザセキュリティ情報)を復元するものである。なお、この復元部17としての機能は、既知の種々の手法を用いて実現することができる
そして、セキュリティレベルを高い状態で維持するためには、端末装置10に対して特定の権限を有する端末管理者だけが、TPM11にかかるユーザセキュリティ情報を復元することができることが望ましい。
ユーザセキュリティ情報消去部171は、TPM11に格納されたユーザセキュリティ情報を消去するものであり、例えば、不揮発性メモリ108における少なくともユーザセキュリティ情報が格納されている領域(メモリ空間)をクリアすることにより、この不揮発性メモリ108に格納されているユーザセキュリティ情報を消去して、TPM11の内容を破損ないし消去するようになっている。
なお、端末装置10において、TPM11のユーザセキュリティ情報が消去された状態においては、TPM11の機能を用いることができず、例えば、TPM11によって既に暗号化等されているデータの復号化等を行なうことはできないのである。
そして、ユーザセキュリティ情報消去部171によってTPM11から消去されたユーザセキュリティ情報は、前述したトークン,アーカイブおよびトークン用パスワードを用いることにより、復元することができるようになっている。
そして、ユーザセキュリティ情報消去部171によってTPM11から消去されたユーザセキュリティ情報は、前述したトークン,アーカイブおよびトークン用パスワードを用いることにより、復元することができるようになっている。
すなわち、TPM11のユーザセキュリティ情報が消去された状態の端末装置10においては、トークンやアーカイブ,トークン用パスワードを用いて、ユーザセキュリティ情報の復元を行なわない限り、TPM11の機能を用いることができないようになっている。
なお、このユーザセキュリティ情報消去部171としての機能は、既知の種々の手法を用いて実現することができる。
なお、このユーザセキュリティ情報消去部171としての機能は、既知の種々の手法を用いて実現することができる。
また、ユーザセキュリティ情報消去部171は、TPM11の外部(例えば、端末装置10のCPU12や管理サーバ20)から働きかけ(指示,制御)を行なうことにより機能させることもできるようになっており、本管理システム1においては、端末装置10の終了処理時(停止処理時)に、TPM11に格納されたユーザセキュリティ情報を消去するようになっている。
すなわち、端末装置10は、その再起動時には、TPM11のユーザセキュリティ情報が消去された状態であり、トークンやアーカイブ,トークン用パスワードを用いて、ユーザセキュリティ情報の復元を行なわない限り、TPM11の機能を用いることができない。
また、ユーザセキュリティ情報消去部171は、後述する確認部123により、管理サーバ20との間で通信可能な状態でなくなったことを確認された時にも、TPM11に格納されたユーザセキュリティ情報を消去するようになっている。
また、ユーザセキュリティ情報消去部171は、後述する確認部123により、管理サーバ20との間で通信可能な状態でなくなったことを確認された時にも、TPM11に格納されたユーザセキュリティ情報を消去するようになっている。
なお、このようなユーザセキュリティ情報消去部171に対するユーザセキュリティ情報を消去させるための働きかけは、例えば、割り込み処理として行なわれるようになっている。
また、このユーザセキュリティ情報消去部171は、後述する管理サーバ20の認証部(不正使用検知部)21により、端末装置10が不正に使用されたことが検知された場合に、管理サーバ20からの指示に従って、TPM11に格納されたユーザセキュリティ情報を消去するようになっている。
また、このユーザセキュリティ情報消去部171は、後述する管理サーバ20の認証部(不正使用検知部)21により、端末装置10が不正に使用されたことが検知された場合に、管理サーバ20からの指示に従って、TPM11に格納されたユーザセキュリティ情報を消去するようになっている。
HDD(Hard Disk Drive)15やROM(Read Only Memory)14は、データやプログラム等を格納・保存するものであり、RAM(Random Access Memory)13は、CPU12が演算処理に用いるデータやプログラム等を一時的に格納するものである。
LAN(Local Area Network)カード16は、端末装置10をLAN33に通信可能に接続するための通信機器であって、この、LANカード16には固有の識別情報であるMAC(Media Access Control)アドレスが一意に設定されている。
LAN(Local Area Network)カード16は、端末装置10をLAN33に通信可能に接続するための通信機器であって、この、LANカード16には固有の識別情報であるMAC(Media Access Control)アドレスが一意に設定されている。
ディスプレイ19は、例えば、LCD(Liquid Crystal Display)やCRT(Cathode Ray Tube)等の表示装置であって、端末装置10の操作者(ユーザ)等に対して種々の情報やメッセージ等を表示するものである。
キーボード31はユーザがキー入力を行なうことにより種々の入力操作を行なう入力機器であり、マウス32はユーザが種々の入力操作や選択操作を行なうためのポインティングデバイス(入力機器)である。
キーボード31はユーザがキー入力を行なうことにより種々の入力操作を行なう入力機器であり、マウス32はユーザが種々の入力操作や選択操作を行なうためのポインティングデバイス(入力機器)である。
CPU(Central Processing Unit)12は、各種演算を行なうものであって、HDD15やROM14に格納されたプログラムを実行することにより種々の機能を実現するようになっており、要求部121,消去部122および確認部123としての機能を実現するようになっている。
要求部121は、管理サーバ20に対して、トークンやアーカイブ,トークン用パスワードの呼び出し要求を行なうものであり、例えば、マザーボード120の交換を行なった場合のように、TPM11の環境(ユーザセキュリティ情報)の復元を行なう必要がある場合に、この復元処理に用いるために、後述する管理サーバ20に対して、トークンやアーカイブ,トークン用パスワードの呼び出し要求を行なうようになっている。
要求部121は、管理サーバ20に対して、トークンやアーカイブ,トークン用パスワードの呼び出し要求を行なうものであり、例えば、マザーボード120の交換を行なった場合のように、TPM11の環境(ユーザセキュリティ情報)の復元を行なう必要がある場合に、この復元処理に用いるために、後述する管理サーバ20に対して、トークンやアーカイブ,トークン用パスワードの呼び出し要求を行なうようになっている。
また、要求部121は、例えば、BIOS設定によって、TPM11を使用許可の状態となっている場合には、端末装置10の起動処理時にも、管理サーバ20に対して、その端末装置10にかかるトークン,アーカイブおよびトークン用パスワードの呼び出し要求を行なうようになっている。
そして、復元部17は、この呼び出し要求に応じて、管理サーバ20の送信部23から送信されたトークン,アーカイブおよびトークン用パスワードに基づいて、そのTPM11にかかるユーザセキュリティ情報を復元するようになっている。
そして、復元部17は、この呼び出し要求に応じて、管理サーバ20の送信部23から送信されたトークン,アーカイブおよびトークン用パスワードに基づいて、そのTPM11にかかるユーザセキュリティ情報を復元するようになっている。
すなわち、本管理システム1においては、端末装置10は、その起動時にトークン等を管理サーバ20から呼び出し、毎回、TPM11内の情報(ユーザセキュリティ情報)を復元するようになっているのである。
なお、例えば、この要求部121によるトークンやアーカイブの呼び出し要求は、HDD15やROM14等に格納されたユーティリティ(プログラム)を起動させることにより実現される。
なお、例えば、この要求部121によるトークンやアーカイブの呼び出し要求は、HDD15やROM14等に格納されたユーティリティ(プログラム)を起動させることにより実現される。
また、この要求部121による呼び出し要求に応じて管理サーバ20から送信されたトークンやアーカイブ,トークン用パスワードは、端末装置10のHDD15やRAM13に一時的に保存されるようになっている。
消去部122は、復元部17によるユーザセキュリティ情報の復元後に、管理サーバ20の送信部23から送信され、HDD15やRAM13等に一時的に保存したトークンやアーカイブ,トークン用パスワードを消去するものであり、これにより、復元部17によるユーザセキュリティ情報の復元後には、トークンやアーカイブ,トークン用パスワードが再度利用されることがないようになっている。
消去部122は、復元部17によるユーザセキュリティ情報の復元後に、管理サーバ20の送信部23から送信され、HDD15やRAM13等に一時的に保存したトークンやアーカイブ,トークン用パスワードを消去するものであり、これにより、復元部17によるユーザセキュリティ情報の復元後には、トークンやアーカイブ,トークン用パスワードが再度利用されることがないようになっている。
この消去部122によるトークンやアーカイブ,トークン用パスワードの消去は、CPU12が例えば、HDD15に格納されたプログラムを実行することにより実現することができ、既知の種々の手法を用いて実現することができる。
例えば、消去部122は、HDD15やRAM13等に一時的に保存したトークンやアーカイブ,トークン用パスワードの消去に際して、消去対象のデータのアドレス部分のみを消去する等のように単にデータの一部のみを消去することによりデータを読み出し不可な状態にするのではなく、データ全体を消去するようになっており、データ全体に上書きするように “1”や“0”を直接書き込む(塗りつぶし)等の手法により、これらのトークンやアーカイブ,トークン用パスワードを、データ復元が不可能な状態にまで消去するようになっている。
例えば、消去部122は、HDD15やRAM13等に一時的に保存したトークンやアーカイブ,トークン用パスワードの消去に際して、消去対象のデータのアドレス部分のみを消去する等のように単にデータの一部のみを消去することによりデータを読み出し不可な状態にするのではなく、データ全体を消去するようになっており、データ全体に上書きするように “1”や“0”を直接書き込む(塗りつぶし)等の手法により、これらのトークンやアーカイブ,トークン用パスワードを、データ復元が不可能な状態にまで消去するようになっている。
また、消去部122は、端末装置10におけるTPM11の使用開始時(初期設定時)等に生成・設定されたトークン,トークン用パスワードおよびアーカイブのうち、少なくともトークンおよびトークン用パスワードを、この端末装置10から消去するようになっている。
確認部123は、端末装置10が、後述する管理サーバ20との間で通信可能な状態であるか否かを確認するものであって、例えば、LANカード16を介して管理サーバ20に対して定期的に接続確認信号を送信し、この接続確認信号に対する応答の有無を判断することにより、管理サーバ20との接続状況を判断するようになっている。なお、この確認部123による管理サーバ20との間で通信可能な状態であるか否かの確認は、接続確認信号の送信して行なう他、既知の種々の手法を用いて実現することができる。
確認部123は、端末装置10が、後述する管理サーバ20との間で通信可能な状態であるか否かを確認するものであって、例えば、LANカード16を介して管理サーバ20に対して定期的に接続確認信号を送信し、この接続確認信号に対する応答の有無を判断することにより、管理サーバ20との接続状況を判断するようになっている。なお、この確認部123による管理サーバ20との間で通信可能な状態であるか否かの確認は、接続確認信号の送信して行なう他、既知の種々の手法を用いて実現することができる。
そして、端末装置10においては、この確認部123により、管理サーバ20との間で通信可能な状態でない(ネットワーク切断状態)と確認された時に、TPM11において、ユーザセキュリティ情報消去部171が、TPM11に格納されたユーザセキュリティ情報を消去するようになっている。
さらに、端末装置10においては、TPM11の使用開始時(初期設定時)等に生成・設定した、トークン,トークン用パスワードおよびアーカイブを管理サーバ20に送信するようになっており、これらのトークン,トークン用パスワードおよびアーカイブは、端末装置10内やCD−ROM等の外部記憶媒体に保存されることはないようになっている。
さらに、端末装置10においては、TPM11の使用開始時(初期設定時)等に生成・設定した、トークン,トークン用パスワードおよびアーカイブを管理サーバ20に送信するようになっており、これらのトークン,トークン用パスワードおよびアーカイブは、端末装置10内やCD−ROM等の外部記憶媒体に保存されることはないようになっている。
また、端末装置10には、固有の端末IDが予め設定されている。この端末IDは、端末装置10に対して任意に設定された端末識別情報であり、例えば、HDD15等に保存されるようになっている。
そして、端末装置(情報処理装置)10においては、CPU12が、管理プログラムを実行することにより、上述した要求部121および消去部122として機能するようになっている。
そして、端末装置(情報処理装置)10においては、CPU12が、管理プログラムを実行することにより、上述した要求部121および消去部122として機能するようになっている。
なお、これらの要求部121,消去部122および確認部123としての機能を実現するためのプログラム(管理プログラム)は、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RW等),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD+R,DVD−RW,DVD+RW等),磁気ディスク,光ディスク,光磁気ディスク等の、コンピュータ読取可能な記録媒体に記録された形態で提供される。そして、コンピュータはその記録媒体からプログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。又、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信経路を介してコンピュータに提供するようにしてもよい。
要求部121,消去部122および確認部123としての機能を実現する際には、内部記憶装置(RAM13やROM14)に格納されたプログラムがコンピュータのマイクロプロセッサ(本実施形態ではCPU12)によって実行される。このとき、記録媒体に記録されたプログラムをコンピュータが読み取って実行するようにしてもよい。
なお、本実施形態において、コンピュータとは、ハードウェアとオペレーティングシステムとを含む概念であり、オペレーティングシステムの制御の下で動作するハードウェアを意味している。又、オペレーティングシステムが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウェアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたコンピュータプログラムを読み取るための手段とをそなえており、本実施形態においては、端末装置10がコンピュータとしての機能を有しているのである。
なお、本実施形態において、コンピュータとは、ハードウェアとオペレーティングシステムとを含む概念であり、オペレーティングシステムの制御の下で動作するハードウェアを意味している。又、オペレーティングシステムが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウェアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたコンピュータプログラムを読み取るための手段とをそなえており、本実施形態においては、端末装置10がコンピュータとしての機能を有しているのである。
さらに、本実施形態における記録媒体としては、上述したフレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスクのほか、ICカード,ROMカートリッジ,磁気テープ,パンチカード,コンピュータの内部記憶装置(RAMやROMなどのメモリ),外部記憶装置等や、バーコードなどの符号が印刷された印刷物等のコンピュータ読取可能な種々の媒体を利用することができる。
管理サーバ(管理装置,外部装置)20はCPU201(認証部21,履歴管理部22,送信部23),ROM202,RAM203,HDD24およびLANカード204をそなえて構成された情報処理装置(コンピュータ,サーバコンピュータ)である。又、この管理サーバ20は、ゲートウェイ装置30を介してLAN(Local Area Network)31に通信可能に接続されており、これにより、端末装置10とLAN33を介して通信可能に構成されている。
CPU(Central Processing Unit)201は、各種演算を行なうものであって、HDD24やROM202に格納されたプログラムを実行することにより種々の機能を実現するようになっており、後述する認証部21,履歴管理部22および送信部23としての機能を実現するようになっている。
HDD(Hard Disk Drive)24やROM(Read Only Memory)202は、データやプログラム等を格納するものであり、RAM(Random Access Memory)203は、CPU201が演算処理に用いるデータやプログラム等を一時的に格納するものである。
HDD(Hard Disk Drive)24やROM(Read Only Memory)202は、データやプログラム等を格納するものであり、RAM(Random Access Memory)203は、CPU201が演算処理に用いるデータやプログラム等を一時的に格納するものである。
LAN(Local Area Network)カード204は、管理サーバ20をLAN33に通信可能に接続するための通信機器である。
CPU201は、各種演算を行なうものであって、HDD24やROM202に格納されたプログラムを実行することにより種々の機能を実現するようになっており、認証部21,履歴管理部22および送信部23としての機能を実現するようになっている。
CPU201は、各種演算を行なうものであって、HDD24やROM202に格納されたプログラムを実行することにより種々の機能を実現するようになっており、認証部21,履歴管理部22および送信部23としての機能を実現するようになっている。
ディスプレイ204は、例えば、LCD(Liquid Crystal Display)やCRT(Cathode Ray Tube)等の表示装置であって、操作者等に対する種々の情報やメッセージ等を表示するものである。
キーボード205はオペレータがキー入力を行なうことにより種々の入力操作を行なう入力機器であり、マウス206はオペレータが種々の入力操作を行なうためのポインティングデバイス(入力機器)である。
キーボード205はオペレータがキー入力を行なうことにより種々の入力操作を行なう入力機器であり、マウス206はオペレータが種々の入力操作を行なうためのポインティングデバイス(入力機器)である。
また、HDD(格納部)24は、図3に示すような管理情報241を格納するようになっている。
図3は本発明の一実施形態としての管理システム1における管理サーバ20が管理する管理情報241の例を模式的に示す図であり、管理情報241は、この図3に示すように、端末IDに対して、MACアドレス,管理者リスト,トークン,トークン用パスワード,アーカイブおよび履歴情報を関連付けることにより構成されている。
図3は本発明の一実施形態としての管理システム1における管理サーバ20が管理する管理情報241の例を模式的に示す図であり、管理情報241は、この図3に示すように、端末IDに対して、MACアドレス,管理者リスト,トークン,トークン用パスワード,アーカイブおよび履歴情報を関連付けることにより構成されている。
上述の如く、端末IDは、端末装置10に対して任意に設定された端末識別情報であり、MACアドレスは、端末装置10のLANカード16に設定された固有の識別情報であり、これらの端末IDおよびMACアドレスが、端末装置10を特定する情報として用いられるようになっている。
すなわち、管理情報241は、端末装置10毎に、端末ID,MACアドレス,管理者リスト,トークン,トークン用パスワード,アーカイブおよび履歴情報を関連付けて構成されているともいえる。
すなわち、管理情報241は、端末装置10毎に、端末ID,MACアドレス,管理者リスト,トークン,トークン用パスワード,アーカイブおよび履歴情報を関連付けて構成されているともいえる。
管理情報241におけるトークン,トークン用パスワードおよびアーカイブは、それぞれ、その端末IDによって特定される端末装置10のTPM11にかかるトークン,トークン用パスワードおよびアーカイブそのもの、もしくはこれらの格納位置を特定する情報である。
なお、トークン,トークン用パスワードおよびアーカイブは、端末装置10におけるTPM11の使用開始時(初期設定時)等に生成・設定された際に、端末装置10からLAN33等を介して管理サーバ20に送信されて、例えば、管理サーバ20のHDD201に格納され、この管理サーバ20において集中管理されるようになっている。
なお、トークン,トークン用パスワードおよびアーカイブは、端末装置10におけるTPM11の使用開始時(初期設定時)等に生成・設定された際に、端末装置10からLAN33等を介して管理サーバ20に送信されて、例えば、管理サーバ20のHDD201に格納され、この管理サーバ20において集中管理されるようになっている。
また、管理サーバ20は、端末装置10を特定するための情報に対応付けて、上述したトークン等ととともに、その端末装置10の管理者パスワードも保存している。
管理者リストは、端末装置10の端末管理者に関する情報であって、例えば、図3に示すように、特定の権限(例えば、端末装置10の使用権限)を有する正当な端末管理者のユーザIDと、そのユーザIDに対応するパスワード(ユーザID用パスワード)とを予め対応付けて登録することにより構成されている。又、複数の端末管理者に対して端末装置10に関する特定の権限が認められている場合には、これらの全ての端末管理者についてのユーザIDおよびパスワードが管理者リストとして登録されるようになっている。
管理者リストは、端末装置10の端末管理者に関する情報であって、例えば、図3に示すように、特定の権限(例えば、端末装置10の使用権限)を有する正当な端末管理者のユーザIDと、そのユーザIDに対応するパスワード(ユーザID用パスワード)とを予め対応付けて登録することにより構成されている。又、複数の端末管理者に対して端末装置10に関する特定の権限が認められている場合には、これらの全ての端末管理者についてのユーザIDおよびパスワードが管理者リストとして登録されるようになっている。
履歴情報は、送信部23(詳細は後述)による端末装置10へのトークンやアーカイブ,トークン用パスワードの送信履歴である。この履歴情報としては、例えば、呼び出し要求が行なわれた日時や、トークンやアーカイブ,トークン用パスワードを送信した日時、呼び出し要求が送信された端末に関する端末IDやMACアドレスの他、認証を行なったユーザのユーザID等である。
また、本管理システム1においては、履歴情報として、端末装置10から通知されたMACアドレスも保存するようになっており、例えば、LANカード16の交換等により端末装置10のMACアドレスが変わった場合には、その変化の履歴(変更の前後における各MACアドレス)も一覧として保持するようになっている。
なお、これらの履歴情報は、履歴管理部22によって作成され、HDD24に格納されるようになっている。又、履歴情報は、上述したトークン等の送信履歴や端末装置10のMACアドレスに限定されるものではなく、これらの情報に加えて、例えば、端末装置10から送信された呼び出し要求に関する情報(日時やユーザID)等を保存してもよい。
なお、これらの履歴情報は、履歴管理部22によって作成され、HDD24に格納されるようになっている。又、履歴情報は、上述したトークン等の送信履歴や端末装置10のMACアドレスに限定されるものではなく、これらの情報に加えて、例えば、端末装置10から送信された呼び出し要求に関する情報(日時やユーザID)等を保存してもよい。
また、管理サーバ20においては、そのトークンやアーカイブ,トークン用パスワードを管理情報241として管理している端末装置10や、不正なものではないことが判明している端末装置10について、そのMACアドレスや端末IDをリスト(端末装置リスト;図示省略)として、HDD24に保存している。
なお、上述の如き、トークンやアーカイブ,トークン用パスワードが管理情報241として管理されている端末装置10や、不正なものではないことが判明している端末装置10のことを、以下、便宜上、正規な端末装置10という場合がある。すなわち、端末装置リストは正規な端末装置10のMACアドレスや端末IDをリストとして記録しているのである。
なお、上述の如き、トークンやアーカイブ,トークン用パスワードが管理情報241として管理されている端末装置10や、不正なものではないことが判明している端末装置10のことを、以下、便宜上、正規な端末装置10という場合がある。すなわち、端末装置リストは正規な端末装置10のMACアドレスや端末IDをリストとして記録しているのである。
さらに、管理サーバ20においては、端末装置10のユーザとしての権限(使用権限)を有するユーザについて、そのユーザIDと、そのユーザIDに対応するパスワード(ユーザID用パスワード)とを予め対応付けて登録することにより構成されたユーザリスト(図示省略)をHDD24に保存している。
履歴管理部22は、送信部23による端末装置10へのトークン,アーカイブ,トークン用パスワードの送信履歴等を、管理情報241に履歴情報として管理・保存するようになっている。
履歴管理部22は、送信部23による端末装置10へのトークン,アーカイブ,トークン用パスワードの送信履歴等を、管理情報241に履歴情報として管理・保存するようになっている。
認証部(復元用ユーザ情報ファイル暗号鍵認証部,復元用ユーザ情報ファイル認証部,パスワード認証部,不正使用検知部)21は、端末装置10の要求部121からトークンやアーカイブ,トークン用パスワードの呼び出し要求が行なわれた場合に、この管理者リストにおけるユーザIDとユーザID用パスワードに基づいてユーザ認証を行なうものである。
すなわち、認証部21は、端末装置10の要求部121からトークンの呼び出し要求が行なわれた場合に、管理者リストにおけるユーザIDおよびユーザID用パスワードに基づいてユーザ認証を行なう復元用ユーザ情報ファイル暗号鍵認証部として機能するようになっており、又、端末装置10の要求部121からアーカイブの呼び出し要求が行なわれた場合には、この管理者リストにおけるユーザIDおよびユーザID用パスワードに基づいてユーザ認証を行なう復元用ユーザ情報ファイル認証部として機能するようになっている。又、認証部21は、トークン用パスワードの呼び出し要求が行なわれた場合には、この管理者リストにおけるユーザIDおよびユーザID用パスワードに基づいてユーザ認証を行なうパスワード認証部として機能するようになっている。
そして、本実施形態においては、管理サーバ20が、HDD24においてトークン,アーカイブおよびトークン用パスワードを一元的に管理・保管しているので、一度のユーザ認証で端末装置10の要求部121からの、これらのトークン,アーカイブおよびトークン用パスワードの呼び出し要求に対する認証を行なうことができるようになっている。
また、認証部21は、端末装置10から送信された端末IDやMACアドレスを、HDD24に保存されている端末装置リストと比較して、端末装置10から送信された端末IDやMACアドレスが端末装置リストに記録されている場合には、その端末装置10を正規な端末装置10であると認定するようになっている。
また、認証部21は、端末装置10から送信された端末IDやMACアドレスを、HDD24に保存されている端末装置リストと比較して、端末装置10から送信された端末IDやMACアドレスが端末装置リストに記録されている場合には、その端末装置10を正規な端末装置10であると認定するようになっている。
そして、管理サーバ(情報処理装置)20のCPU201が、管理プログラムを実行することにより、上述した、認証部21,履歴管理部22および送信部23として機能するようになっている。
なお、これらの認証部21,履歴管理部22および送信部23としての機能を実現するためのプログラム(管理プログラム)は、例えばフレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスク等の、コンピュータ読取可能な記録媒体に記録された形態で提供される。そして、コンピュータはその記録媒体からプログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。又、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信経路を介してコンピュータに提供するようにしてもよい。
なお、これらの認証部21,履歴管理部22および送信部23としての機能を実現するためのプログラム(管理プログラム)は、例えばフレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスク等の、コンピュータ読取可能な記録媒体に記録された形態で提供される。そして、コンピュータはその記録媒体からプログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。又、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信経路を介してコンピュータに提供するようにしてもよい。
認証部21,履歴管理部22および送信部23としての機能を実現する際には、内部記憶装置(RAM203やROM202)に格納されたプログラムがコンピュータのマイクロプロセッサ(本実施形態ではCPU201)によって実行される。このとき、記録媒体に記録されたプログラムをコンピュータが読み取って実行するようにしてもよい。
なお、本実施形態において、コンピュータとは、ハードウェアとオペレーティングシステムとを含む概念であり、オペレーティングシステムの制御の下で動作するハードウェアを意味している。又、オペレーティングシステムが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウェアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたコンピュータプログラムを読み取るための手段とをそなえており、本実施形態においては、管理サーバ20がコンピュータとしての機能を有しているのである。
なお、本実施形態において、コンピュータとは、ハードウェアとオペレーティングシステムとを含む概念であり、オペレーティングシステムの制御の下で動作するハードウェアを意味している。又、オペレーティングシステムが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウェアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたコンピュータプログラムを読み取るための手段とをそなえており、本実施形態においては、管理サーバ20がコンピュータとしての機能を有しているのである。
さらに、本実施形態における記録媒体としては、上述したフレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスクのほか、ICカード,ROMカートリッジ,磁気テープ,パンチカード,コンピュータの内部記憶装置(RAMやROMなどのメモリ),外部記憶装置等や、バーコードなどの符号が印刷された印刷物等のコンピュータ読取可能な種々の媒体を利用することができる。
図4は本発明の一実施形態としての管理システム1におけるユーザ認証用画面の例を示す図である。
本管理システム1においては、認証部21は、トークンやアーカイブ,トークン用パスワードの呼び出し要求が行なわれた場合には、この図4に示すようなユーザ認証用画面191を端末装置10のディスプレイ19に表示させるようになっている。
本管理システム1においては、認証部21は、トークンやアーカイブ,トークン用パスワードの呼び出し要求が行なわれた場合には、この図4に示すようなユーザ認証用画面191を端末装置10のディスプレイ19に表示させるようになっている。
ユーザ認証用画面191は、図4に示すように、ユーザIDを入力するためのユーザID入力部191aと、パスワードを入力するためのパスワード入力部191bとをそなえて構成され、端末装置10の操作者(端末管理者,ユーザ)が、このユーザ認証用画面191において、ユーザID入力部191aおよびパスワード入力部191bに、ユーザIDと、このユーザIDに対応して予め設定されたパスワードとをキーボード31やマウス32を用いて入力するようになっている。
なお、このユーザ認証用画面191をディスプレイ19に表示させるための画面データは、端末装置10と管理サーバ20のいずれの側にそなえてもよく、更に、これらの端末装置10や管理サーバ20の外部の機器(図示省略)にそなえてもよい。
認証部21は、権限者に関する認証を行なうものであり、上述したユーザ認証用画面191において入力されたユーザIDおよびパスワードを取得し、これらの入力されたユーザIDおよびパスワードと、管理情報241における、その端末装置10にかかる管理者リストに登録されたユーザIDおよびユーザID用パスワードとを比較し、ユーザ認証用画面191において入力されたユーザIDおよびパスワードが、管理情報241に格納されたユーザIDおよびこのユーザIDに対応するユーザID用パスワードに一致した場合に、正当な権限者(端末管理者)によって端末装置10の操作が行なわれていると認証するようになっている。
認証部21は、権限者に関する認証を行なうものであり、上述したユーザ認証用画面191において入力されたユーザIDおよびパスワードを取得し、これらの入力されたユーザIDおよびパスワードと、管理情報241における、その端末装置10にかかる管理者リストに登録されたユーザIDおよびユーザID用パスワードとを比較し、ユーザ認証用画面191において入力されたユーザIDおよびパスワードが、管理情報241に格納されたユーザIDおよびこのユーザIDに対応するユーザID用パスワードに一致した場合に、正当な権限者(端末管理者)によって端末装置10の操作が行なわれていると認証するようになっている。
また、認証部21は、端末装置10からトークン等の呼び出し要求が行なわれた際に、その端末装置10から端末IDおよびMACアドレスも取得するようになっており、これらの端末IDおよびMACアドレスに基づいて、端末装置10の特定を行なうようになっている。
具体的には、認証部21は、端末装置10から取得した端末IDとMACアドレスとのそれぞれが、HDD24の管理情報241に一致するか否かを判断することにより、端末装置10の特定を行なうようになっている。
具体的には、認証部21は、端末装置10から取得した端末IDとMACアドレスとのそれぞれが、HDD24の管理情報241に一致するか否かを判断することにより、端末装置10の特定を行なうようになっている。
このように、端末IDだけでなく、LANカード16に固有の識別情報であるMACアドレスに基づいて端末装置10の特定を行なうことにより、端末装置10の特定精度(セキュリティレベル)を向上させることができる
また、端末装置10において、何らかの事情でLANカード16が交換されMACアドレスが変わった場合においても、端末ID,ユーザIDおよびユーザID用パスワードを用いて認証を行なうことにより、端末装置10の操作者の正当性を確認し、これにより端末装置10の認定を確実に行なうことができる。
また、端末装置10において、何らかの事情でLANカード16が交換されMACアドレスが変わった場合においても、端末ID,ユーザIDおよびユーザID用パスワードを用いて認証を行なうことにより、端末装置10の操作者の正当性を確認し、これにより端末装置10の認定を確実に行なうことができる。
さらに、認証部(不正使用検知部)21は、不正なユーザが端末装置10を使用していないか否かを定期的もしくは不定期的に確認するようになっており、不正なユーザが端末装置10を使用していることを検知した場合には、その端末装置10に対して、ユーザセキュリティ情報消去部171に、TPM11に格納されたユーザセキュリティ情報を消去させるよう指示(制御)を行なうようになっている。
不正なユーザが端末装置10を使用していないか否かのチェックは、例えば、端末装置10のディスプレイ19に、ユーザ認証用画面191を定期的もしくは不定期に表示させて、端末装置10の操作者に対してユーザIDおよびユーザID用パスワードを入力させ、これらの入力されたユーザIDおよびパスワードと、管理情報241における、その端末装置10にかかる管理者リストに登録されたユーザIDおよびユーザID用パスワードとを比較して、一致しなかった場合や、ユーザ認証用パスワードの入力に際して、所定回数以上間違えたりした場合に、不正なユーザが端末装置10を使用していると判断する。
また、端末装置10に、端末IDやMACアドレスを定期的もしくは不定期的に送信させ、これらの端末IDやMACアドレスが管理情報241に登録されているものと変わっていることを検知した場合にも、その端末装置10において、何らかの不正な処理が行なわれているとして、不正なユーザが端末装置10を使用していると判断してもよい。
そして、認証部21により、不正なユーザが端末装置10を使用していることが検知された場合には、履歴管理部22が、管理情報241における履歴情報に、不正使用の履歴として記録するようになっている。
そして、認証部21により、不正なユーザが端末装置10を使用していることが検知された場合には、履歴管理部22が、管理情報241における履歴情報に、不正使用の履歴として記録するようになっている。
送信部23は、端末装置10からのトークン,アーカイブおよびトークン用パスワードの呼び出し要求に応じて、端末装置10に対して、これらのトークン,アーカイブおよびトークン用パスワードを送信するものであり、端末装置10から送信要求を受信し、認証部21によって、正当なユーザによって端末装置10の操作が行なわれていることが認証された場合(権限者に関する認証)に、LANカード204,ゲートウェイ装置30およびLAN33を介して、その端末装置10に対して、これらのトークン,アーカイブおよびトークン用パスワードを送信するようになっている。
ゲートウェイ装置30は、管理サーバ20をLAN33に通信可能に接続するためのネットワーク機器であって、例えば、プロトコル等が異なるデータを相互に変換することにより通信を可能にするようになっている。なお、このゲートウェイ装置30としては、システム環境やハードウェア構成等に応じて、既知のネットワーク機器を種々変形して用いることができる。
図5および図6はそれぞれ本発明の一実施形態としての管理システム1の管理サーバ20におけるトークンの管理手法を説明するための図であって、図5は端末装置10から管理サーバ20にトークンを登録する際の処理を説明するための図、図6は端末装置10が管理サーバ20からにトークンを取得する際の処理を説明するための図である。
上述の如く構成された、本発明の一実施形態としての管理システム1においては、図5に示すように、端末装置10におけるTPM11の使用開始時(初期設定時)等に生成・設定されたトークン,アーカイブおよびトークン用パスワードが、端末装置10から管理サーバ20に送信され、管理サーバ20のHDD24に格納される(格納ステップ)。
上述の如く構成された、本発明の一実施形態としての管理システム1においては、図5に示すように、端末装置10におけるTPM11の使用開始時(初期設定時)等に生成・設定されたトークン,アーカイブおよびトークン用パスワードが、端末装置10から管理サーバ20に送信され、管理サーバ20のHDD24に格納される(格納ステップ)。
次に、本発明の一実施形態としての管理システム1におけるユーザ情報の復元手法を、図6を参照しながら、図7に示すフローチャート(ステップB10〜B190)に従って説明する。
なお、この図7に示すフローチャートに示すユーザ情報の復元手法は、TPM11内のユーザ情報、すなわち、ユーザIDやユーザ鍵,パスワード等を復元する例を示すものであって、例えば、端末装置10においてTPM11が破損され使用不可となり新しいTPM11が搭載されたプリント基板(マザーボード120等)に交換する場合や、端末装置10のハードディスク内のデータを複製して、他の端末装置10内に全く同じデータを構築(作成)する場合等に行なわれる。なお、TPM11が破損された場合には、プリント基板(マザーボード120)ごと交換する代わりに、TPM11だけを交換してもよい。
なお、この図7に示すフローチャートに示すユーザ情報の復元手法は、TPM11内のユーザ情報、すなわち、ユーザIDやユーザ鍵,パスワード等を復元する例を示すものであって、例えば、端末装置10においてTPM11が破損され使用不可となり新しいTPM11が搭載されたプリント基板(マザーボード120等)に交換する場合や、端末装置10のハードディスク内のデータを複製して、他の端末装置10内に全く同じデータを構築(作成)する場合等に行なわれる。なお、TPM11が破損された場合には、プリント基板(マザーボード120)ごと交換する代わりに、TPM11だけを交換してもよい。
先ず、端末装置10において、TPM11を使用可能とするために、BIOS設定にてTPM11を使用許可へと変更(アクティベーション)する(ステップB10)。
端末装置10の端末管理者は、その端末装置10に管理者権限でログインを行ない、端末管理者のパスワードを入力する。端末装置10は、管理者権限で正当にログインが行なわれたことにより操作者の正当性を確認して、端末管理者環境の再構築を開始する(ステップB20)。なお、ここで、端末装置10においては、少なくともLAN33との接続の確立まで行なう。
端末装置10の端末管理者は、その端末装置10に管理者権限でログインを行ない、端末管理者のパスワードを入力する。端末装置10は、管理者権限で正当にログインが行なわれたことにより操作者の正当性を確認して、端末管理者環境の再構築を開始する(ステップB20)。なお、ここで、端末装置10においては、少なくともLAN33との接続の確立まで行なう。
端末装置10の操作者が不正な端末管理者であるか否かの確認の結果(ステップB30)、端末管理者の正しいパスワードが入力されなかった等の理由により、不正な端末管理者であると端末装置10が判断した場合には(ステップB30のYESルート参照)、端末装置10のディスプレイ19にエラー表示等が行なわれ(ステップB190)、処理を終了する。
また、端末装置10の操作者が正当な端末管理者である場合には(ステップB30のNOルート参照)、端末装置10は、ユーザ情報復元プロセスを起動(開始)する(ステップB40)。
端末装置10においては、要求部121が、ユーザ情報復元プロセスに必要なトークンおよびアーカイブを呼び出すためのユーティリティを起動させて、トークンおよびアーカイブの呼び出し要求を行なう(ステップB50)。なお、トークンやアーカイブを管理する管理サーバ20は、例えば、端末操作者が指定するようになっており、ユーティリティによってディスプレイ19に表示される入力画面(図示省略)等において、トークンやアーカイブが格納されている管理サーバ20を指定・入力したり、これらのトークンやアーカイブの格納位置を指定・入力するようになっている。
端末装置10においては、要求部121が、ユーザ情報復元プロセスに必要なトークンおよびアーカイブを呼び出すためのユーティリティを起動させて、トークンおよびアーカイブの呼び出し要求を行なう(ステップB50)。なお、トークンやアーカイブを管理する管理サーバ20は、例えば、端末操作者が指定するようになっており、ユーティリティによってディスプレイ19に表示される入力画面(図示省略)等において、トークンやアーカイブが格納されている管理サーバ20を指定・入力したり、これらのトークンやアーカイブの格納位置を指定・入力するようになっている。
なお、トークンやアーカイブが格納されている管理サーバ20やその格納位置に関する情報は、予め、TPM11の不揮発性メモリ108や端末装置10のROM13等に格納しておいてもよい。
そして、管理サーバ20はこのトークンおよびアーカイブの呼び出し要求を受信する(要求受信ステップ)。
そして、管理サーバ20はこのトークンおよびアーカイブの呼び出し要求を受信する(要求受信ステップ)。
端末装置10は、管理サーバ20に対してMACアドレスと端末IDを通知し(ステップB60)、管理サーバ20においては、認証部21が、これらのMACアドレスおよび端末IDの照合を行なう。
具体的には、認証部21は、端末装置10から送信されたMACアドレスに基づいて管理情報241を参照して、そのMACアドレスが管理情報241に登録されているかを確認するとともに、端末装置10から送信された端末IDに基づいて管理情報241を参照して、その端末IDが管理情報241に登録されているか、すなわち、正規のものであるか否かの確認を行なう(ステップB70)。
具体的には、認証部21は、端末装置10から送信されたMACアドレスに基づいて管理情報241を参照して、そのMACアドレスが管理情報241に登録されているかを確認するとともに、端末装置10から送信された端末IDに基づいて管理情報241を参照して、その端末IDが管理情報241に登録されているか、すなわち、正規のものであるか否かの確認を行なう(ステップB70)。
認証部21による端末IDが正規のものであるか否かの確認の結果(ステップB80)、端末IDが正規のものではないと認証部21が判断した場合には(ステップB80のNOルート参照)、端末装置10のディスプレイ19にエラー表示等が行なわれ(ステップB190)、処理を終了する。
また、認証部21が、端末装置10が正規のものであることを確認した場合には(ステップB80のYESルート参照)、管理サーバ20は、その端末装置10に対してその旨の通知を行なう(ステップB90)。
また、認証部21が、端末装置10が正規のものであることを確認した場合には(ステップB80のYESルート参照)、管理サーバ20は、その端末装置10に対してその旨の通知を行なう(ステップB90)。
端末装置10は、管理サーバ20に対してトークン及びアーカイブの呼び出し要求を行なうとともに、ディスプレイ19にユーザ認証用画面191を表示させる。端末管理者はこのユーザ認証用画面191において、ユーザIDおよびユーザID用パスワードを入力する。
管理サーバ20においては、認証部21が、端末装置10から送信されてきたこれらの入力されたユーザIDおよびユーザID用パスワードに基づいて管理情報241を参照して、これらのユーザIDおよびユーザID用パスワードが正当権限者として管理情報241に登録されているかを確認することにより、端末装置10の操作者(端末管理者)の正当性の確認を行なう(ステップB100)。
管理サーバ20においては、認証部21が、端末装置10から送信されてきたこれらの入力されたユーザIDおよびユーザID用パスワードに基づいて管理情報241を参照して、これらのユーザIDおよびユーザID用パスワードが正当権限者として管理情報241に登録されているかを確認することにより、端末装置10の操作者(端末管理者)の正当性の確認を行なう(ステップB100)。
端末管理者の正当性の確認の結果(ステップB110)、端末装置10の操作者が不正な端末管理者であると判断した場合には(ステップB110のYESルート参照)、端末装置10のディスプレイ19にエラー表示等が行なわれ(ステップB190)、処理を終了する。
また、認証部21が、端末装置10の操作者が正当な端末管理者であると判断した場合には(ステップB100のNOルート参照)、管理サーバ20は、端末装置10から通知されたMACアドレスが管理情報241に登録されていない場合に、そのMACアドレスを管理情報241におけるその端末装置10の端末IDに関連付けて登録する(ステップB120)。例えば、LANカード16の交換等によりMACアドレスが変わった場合には、この新しいMACアドレスが管理情報241に登録されるのである。
また、認証部21が、端末装置10の操作者が正当な端末管理者であると判断した場合には(ステップB100のNOルート参照)、管理サーバ20は、端末装置10から通知されたMACアドレスが管理情報241に登録されていない場合に、そのMACアドレスを管理情報241におけるその端末装置10の端末IDに関連付けて登録する(ステップB120)。例えば、LANカード16の交換等によりMACアドレスが変わった場合には、この新しいMACアドレスが管理情報241に登録されるのである。
そして、この時点で、この端末装置10が正規なものであることが認証部21によって正式に認証されたことになる。
端末装置10は、管理サーバ20からトークン,アーカイブおよびトークン用パスワードを呼び出し、管理サーバ20の送信部23が、端末装置10に対してトークン,アーカイブおよびトークン用パスワードを送信する(送信ステップ)。又、送信されたトークン,アーカイブおよびトークン用パスワードは、端末装置10内の指定されたメモリ(ROM14等)内に一時的に格納される(ステップB130)。
端末装置10は、管理サーバ20からトークン,アーカイブおよびトークン用パスワードを呼び出し、管理サーバ20の送信部23が、端末装置10に対してトークン,アーカイブおよびトークン用パスワードを送信する(送信ステップ)。又、送信されたトークン,アーカイブおよびトークン用パスワードは、端末装置10内の指定されたメモリ(ROM14等)内に一時的に格納される(ステップB130)。
一方、管理サーバ20は、図6に示すように、トークンやアーカイブ,トークン用パスワードが呼び出された履歴を履歴情報として管理情報241に記録し、不正な復元を監視する(ステップB140)。
端末装置10においては、TPM11において、復元部17が、アーカイブ,トークンおよびトークン用パスワードを使用してユーザ情報を復元した後、消去部122が、トークンやアーカイブ,トークン用パスワードを格納しているメモリをクリアして(ステップB150)、トークン等を呼び出すユーティリティを終了させる。このように、トークンやアーカイブ,トークン用パスワードを格納しているメモリをクリアすることにより、HDD15や外部記憶装置(図示省略)に、トークンやアーカイブ,トークン用パスワードが保存されることが阻止されるのである。
端末装置10においては、TPM11において、復元部17が、アーカイブ,トークンおよびトークン用パスワードを使用してユーザ情報を復元した後、消去部122が、トークンやアーカイブ,トークン用パスワードを格納しているメモリをクリアして(ステップB150)、トークン等を呼び出すユーティリティを終了させる。このように、トークンやアーカイブ,トークン用パスワードを格納しているメモリをクリアすることにより、HDD15や外部記憶装置(図示省略)に、トークンやアーカイブ,トークン用パスワードが保存されることが阻止されるのである。
その後、端末装置10においては、端末管理者に代えてユーザレベルでの認証を行なう。すなわち、ディスプレイ19に表示されたユーザ認証用画面(図4のユーザ認証用画面191参照)において、ユーザがユーザIDやパスワードを入力し、端末装置10は、このユーザによって入力されたユーザIDおよびパスワードに基づいて、ユーザの正当性を確認する(ステップB160)。
この正当性の確認の結果(ステップB170)、不正なユーザであると判断した場合には(ステップB170のYESルート参照)、ステップB190に移行する。又、正当なユーザであると判断した場合には(ステップB170のNOルート参照)、ユーザ環境を再構築して(ステップB180)、復元処理を終了する。
そして、TPM11もしくはマザーボード120の交換を行なう端末装置10が複数ある場合には、上述した復元処理を、これらの全ての端末装置10において個々に行なう。
そして、TPM11もしくはマザーボード120の交換を行なう端末装置10が複数ある場合には、上述した復元処理を、これらの全ての端末装置10において個々に行なう。
次に、本発明の一実施形態としての管理システム1の端末装置10の起動時の処理を、図8に示すフローチャート(ステップC10〜C160)に従って説明する。
なお、TPM11は、BIOS設定によって使用許可の状態に設定(変更)されているものとし、又、管理サーバ20においては、HDD24に端末装置リストをそなえているものとする。
なお、TPM11は、BIOS設定によって使用許可の状態に設定(変更)されているものとし、又、管理サーバ20においては、HDD24に端末装置リストをそなえているものとする。
先ず、端末装置10は、起動後に管理サーバ20に対して端末装置10を特定する情報(本例においてはMACアドレス)を通知する(ステップC10)。
管理サーバ20は、認証部21により、端末装置10から通知されたMACアドレスを、端末装置リストと照合して(ステップC20)、正規の端末装置10であるか否かを確認する(ステップC30)。
管理サーバ20は、認証部21により、端末装置10から通知されたMACアドレスを、端末装置リストと照合して(ステップC20)、正規の端末装置10であるか否かを確認する(ステップC30)。
管理サーバ20において、認証部21が、MACアドレスを通知してきたのが正規な端末装置10ではないと判断した場合には(ステップC30のNOルート参照)、端末装置10のディスプレイ19にエラー表示等が行なわれ(ステップC160)、処理を終了する。
一方、管理サーバ20において、認証部21が、正規な端末装置10がMACアドレス通知してきたと判断した場合には(ステップC30のYESルート参照)、管理サーバ20は、次に、端末装置10に対して、ユーザID(ユーザ名)およびパスワードの入力を要求する(ステップC40)。
一方、管理サーバ20において、認証部21が、正規な端末装置10がMACアドレス通知してきたと判断した場合には(ステップC30のYESルート参照)、管理サーバ20は、次に、端末装置10に対して、ユーザID(ユーザ名)およびパスワードの入力を要求する(ステップC40)。
端末装置10は、ディスプレイ19にユーザ認証用画面191を表示させ、端末装置10の操作者は、このユーザ認証用画面191において、端末装置10および管理サーバ20にあらかじめ登録してあるユーザIDおよびユーザID用パスワードの入力を行なう。端末装置10は、これらの入力されたユーザIDおよびユーザID用パスワードを管理サーバ20に通知する(ステップC50)。
管理サーバ20において、認証部21は、これらの入力されたユーザIDおよびユーザID用パスワードに基づいてユーザリストを参照し、正規なユーザであるかの認証を行なう(ステップC60)。
ここで、管理サーバ20において、認証部21が、正規なユーザではないと判断した場合には(ステップC60のNOルート参照)、ステップC160に移行する。又、認証部21が、正規なユーザであると判断した場合には(ステップC60のYESルート参照)、端末装置10のユーザ情報復元プロセスを実行させ(ステップC70)、管理サーバ20は、端末装置10に対して、その端末装置10に関する、端末管理者パスワード,トークン,アーカイブおよびトークン用パスワードを通知する。
ここで、管理サーバ20において、認証部21が、正規なユーザではないと判断した場合には(ステップC60のNOルート参照)、ステップC160に移行する。又、認証部21が、正規なユーザであると判断した場合には(ステップC60のYESルート参照)、端末装置10のユーザ情報復元プロセスを実行させ(ステップC70)、管理サーバ20は、端末装置10に対して、その端末装置10に関する、端末管理者パスワード,トークン,アーカイブおよびトークン用パスワードを通知する。
なお、管理サーバ20から端末装置10に対して端末管理者パスワードを送信することにより、端末装置10の操作者が管理者権限を持たない一般ユーザである場合においても、端末装置10において、この送信された端末管理者パスワードを適宜使用することにより、TPM11の設定を行なうことができるのである、
端末装置10においては、復元部17により、これらの端末管理者パスワード,トークン,アーカイブおよびトークン用パスワードに基づいて、ユーザセキュリティ情報の復元を行なう(ステップC80)。
端末装置10においては、復元部17により、これらの端末管理者パスワード,トークン,アーカイブおよびトークン用パスワードに基づいて、ユーザセキュリティ情報の復元を行なう(ステップC80)。
なお、この際、これらの情報(端末管理者パスワード,トークン,アーカイブ,トークン用パスワード,ユーザセキュリティ情報等)は端末装置10のディスプレイ19等に出力されることはなく、バックグラウンドで処理される。これにより、端末管理者パスワード,トークン,アーカイブ,トークン用パスワード,ユーザセキュリティ情報等の機密を要する情報が、端末装置10の使用者や端末装置10の周囲にいる他の人達の目に触れることがなく、セキュリティレベルを維持することができるのである。
一方、管理サーバ20においては、履歴管理部22が、トークン等の情報が呼び出された履歴を管理情報241の履歴情報として記録し、不正な復元を監視する(ステップC90)。
端末装置10においては、復元部17によりユーザセキュリティ情報の復元を行なった後に、管理サーバ20から呼び出した情報(端末管理者パスワード,トークン,アーカイブ,トークン用パスワード)を格納してあるメモリ空間(RAM13やHDD15等)をクリアし(ステップC100)、ユーザ復元プロセスを終了させ、その後、端末装置10の運用プロセスが行なわれる(ステップC110)。なお、トークン等を格納したメモリ空間のクリアを行なうことにより、端末管理者パスワード,トークン,アーカイブおよびトークン用パスワードハードディスクが、外部記憶装置へと保存されることが阻止され、これによってもセキュリティレベルを維持することができる。
端末装置10においては、復元部17によりユーザセキュリティ情報の復元を行なった後に、管理サーバ20から呼び出した情報(端末管理者パスワード,トークン,アーカイブ,トークン用パスワード)を格納してあるメモリ空間(RAM13やHDD15等)をクリアし(ステップC100)、ユーザ復元プロセスを終了させ、その後、端末装置10の運用プロセスが行なわれる(ステップC110)。なお、トークン等を格納したメモリ空間のクリアを行なうことにより、端末管理者パスワード,トークン,アーカイブおよびトークン用パスワードハードディスクが、外部記憶装置へと保存されることが阻止され、これによってもセキュリティレベルを維持することができる。
端末装置10の運用プロセスの開始後には、端末装置10においてシャットダウンが実行された否かの確認を行ない(ステップC120)、シャットダウンが実行された場合には(ステップC120のYESルート参照)、ユーザセキュリティ情報消去部171により、TPM11のユーザセキュリティ情報の消去(TPMクリア作業)を割り込ませ(ステップC150)、このTPMクリア作業が行なわれた後に、端末装置10のシャットダウン処理を完了させて、終了する。
また、端末装置10においてシャットダウンが実行されていない場合には(ステップC120のNOルート参照)、次に、端末装置10がLAN33から切断された(ネットワーク切断)ことが確認部123によって検知されたり、不正ユーザが端末装置10を使用していることが認証部21によって検知されたりしていないかを確認する(ステップC130)。
ネットワーク切断やユーザによる不正使用が検知された場合には(ステップC130のYESルート参照)、直ちに、ユーザセキュリティ情報消去部171により、TPM11のユーザセキュリティ情報の消去(TPMクリア作業)を割り込ませ、更に、管理サーバ20において、履歴管理部23が、この不正使用の履歴を履歴情報として記録し(ステップC140)、ステップC160に移行する。
また、ネットワーク切断やユーザによる不正使用が検知されない場合には(ステップC130のNOルート参照)、ステップC110に戻る。
そして、端末装置10が複数ある場合には、上述した復元処理を、これらの全ての端末装置10において個々に行なう。
このように、本発明の一実施形態としての管理システム1によれば、管理サーバ20においてトークンを保存・管理するので、トークンを紛失等することがなく、機密性や信頼性を向上させることができるとともに利便性が高い。
そして、端末装置10が複数ある場合には、上述した復元処理を、これらの全ての端末装置10において個々に行なう。
このように、本発明の一実施形態としての管理システム1によれば、管理サーバ20においてトークンを保存・管理するので、トークンを紛失等することがなく、機密性や信頼性を向上させることができるとともに利便性が高い。
同様に、管理サーバ20においてアーカイブやトークン用パスワードを保存・管理することにより、アーカイブを紛失したり、トークン用パスワードを忘却(紛失)したりすることがなく、機密性や信頼性を向上させることができるとともに利便性が高い。
また、端末装置10(TPM11)の保守作業時に、保守作業員の手にトークンが渡ることがなく、これによっても機密性や信頼性を向上させることができる。
また、端末装置10(TPM11)の保守作業時に、保守作業員の手にトークンが渡ることがなく、これによっても機密性や信頼性を向上させることができる。
さらに、保守作業員や端末管理者にとって、トークンやアーカイブ,トークン用パスワードを保管・管理する負担を軽減することができ、特に、端末装置10が多数ある場合に、これらのトークン等の管理が容易となる。
履歴管理部22が、端末装置10へのトークン等の送信履歴を管理することにより、トークン等の管理を徹底することができ、トークン等の使用状況を管理・把握することができるので、トークン等の不正な使用や複製を管理・防止することができる。
履歴管理部22が、端末装置10へのトークン等の送信履歴を管理することにより、トークン等の管理を徹底することができ、トークン等の使用状況を管理・把握することができるので、トークン等の不正な使用や複製を管理・防止することができる。
管理情報241において、端末装置10を特定するための情報として端末IDやMACアドレスを使用することにより、端末装置10の特定を容易かつ確実に行なうことができ、特に、端末IDでの管理に加えてMACアドレスを用いて管理を行なうことにより、セキュリティレベルを向上させることができる。
例えば、認証部21において、MACアドレスを用いて端末装置10の特定を行なうことにより、他の端末装置10からトークン等の呼び出し要求が行なわれた場合等にそれを認識することができ、MACアドレスが管理情報241に登録されていない場合にはトークン等の送付を送信を禁止する等、必要に応じてハードウェアレベルでの防御措置をとることもできる。
例えば、認証部21において、MACアドレスを用いて端末装置10の特定を行なうことにより、他の端末装置10からトークン等の呼び出し要求が行なわれた場合等にそれを認識することができ、MACアドレスが管理情報241に登録されていない場合にはトークン等の送付を送信を禁止する等、必要に応じてハードウェアレベルでの防御措置をとることもできる。
認証部21において、端末装置10からのトークン等の呼び出し要求に伴なって、ユーザIDやパスワードを用いてユーザ認証を行なうことにより、トークン等の不正な使用や複製を管理・防止することができる。又、例えば、端末装置10において、マザーボード120やLANカード16が交換され、端末装置10におけるMACアドレスが変更になった場合においても、端末管理者のユーザ認証を行なって端末管理者の正当性を確認することにより、トークン等の呼び出し要求に対する信頼性を担保することができ、機密性や信頼性を維持もしくは向上させることができるとともに利便性が高い。
復元部17によるユーザセキュリティ情報の復元後に、消去部122が、HDD15やRAM13等に一時的に保存したトークンやアーカイブ,トークン用パスワードを消去することにより、復元部17によるユーザセキュリティ情報の復元後には、トークンやアーカイブ,トークン用パスワードが再度利用されることがなく、これによってもトークン等の不正な使用や複製を管理・防止することができ、機密性や信頼性を維持もしくは向上させることができる。
端末装置10の起動処理時に、要求部121が管理サーバ20に対してトークン等の呼び出し要求を行なうとともに、復元部17が、管理サーバ20から送信されたトークンやアーカイブ,トークン用パスワードに基づいて、セキュリティ機能モジュールにかかるユーザセキュリティ情報を復元することにより、端末装置10の起動時にユーザセキュリティ情報を復元することができ、TPM11の機能を使用することができる。
また、端末装置10の起動処理時に、管理サーバ20に対してトークン等の呼び出し要求を行なうとともに、管理サーバ20から送信されたトークンやアーカイブ,トークン用パスワードに基づいて、TPM11にかかるユーザセキュリティ情報を復元することにより、端末装置10の起動時にユーザセキュリティ情報を復元することができ、起動後の端末装置10においてTPM11を使用することができる。
端末装置10において、TPM11に格納されたユーザセキュリティ情報を消去することにより、TPM11を容易かつ確実に使用不可の状態にすることができ、これにより、利便性が高く、更に、例えば、TPM11によって暗号化等の処理が行なわれたデータを復元することができず、端末装置のセキュリティレベルを向上させることができる。
確認部123により、端末装置10が管理サーバ20との間で通信可能な状態でないと確認された場合に、TPM11のユーザセキュリティ情報を消去することにより、例えば、端末装置10が盗難されLAN33から切断された場合等には、迅速にTPM11に格納されたユーザセキュリティ情報が消去され、これにより、端末装置10のセキュリティレベルを向上させることができる。
確認部123により、端末装置10が管理サーバ20との間で通信可能な状態でないと確認された場合に、TPM11のユーザセキュリティ情報を消去することにより、例えば、端末装置10が盗難されLAN33から切断された場合等には、迅速にTPM11に格納されたユーザセキュリティ情報が消去され、これにより、端末装置10のセキュリティレベルを向上させることができる。
端末装置10の終了処理時に、TPM11のユーザセキュリティ情報を消去することにより、端末装置10の終了処理時に、TPM11を容易かつ確実に使用不可の状態にすることができ利便性が高い他、端末装置10のセキュリティレベルを向上させることができる。
MACアドレスや端末IDが正規のものであることが認証部21によって認証された場合にのみ、送信部23が端末装置10に対してトークンやアーカイブ,トークン用パスワードを送信するので、不正な端末装置10においては、TPM11のユーザセキュリティ情報を復元することができず、これにより、セキュリティレベルを向上させることができる。
MACアドレスや端末IDが正規のものであることが認証部21によって認証された場合にのみ、送信部23が端末装置10に対してトークンやアーカイブ,トークン用パスワードを送信するので、不正な端末装置10においては、TPM11のユーザセキュリティ情報を復元することができず、これにより、セキュリティレベルを向上させることができる。
同様に、認証部21により、正規のユーザIDとユーザID用パスワードが入力されたことが認証部21によって認証された場合にのみ、送信部23が端末装置10に対してトークンやアーカイブ,トークン用パスワードを送信するので、これによっても、不正な操作者が使用する端末装置10においては、TPM11のユーザセキュリティ情報を復元することができず、これにより、セキュリティレベルを向上させることができる。
端末装置10が不正に使用されたことが検知された場合に、ユーザセキュリティ情報消去部171が、TPM11に格納されたユーザセキュリティ情報を消去するので、例えば、不正な操作者が端末装置10を使用していることが検出された場合には、即座にTPM11の使用を不可能にすることができ、これによっても、セキュリティレベルを向上させることができる。
すなわち、不正ユーザと不正端末による「なりすまし」のいずれについても、同時に阻止することが可能である。
また、端末装置10の起動する度に、トークンやアーカイブ,トークン用パスワードを用いてTPM11のユーザセキュリティ情報を復元するので、トークンやアーカイブ,トークン用パスワードを、TPM11が破損した以外の場合にも利用することにより有効利用しており、トークンやアーカイブ,トークン用パスワードの管理(紛失や忘却への対策等)にかかるコストに対して利点が大きく、又、これらのトークンやアーカイブ,トークン用パスワードに対して、ネットワーク認証の強化という付加価値を与えることができる。
また、端末装置10の起動する度に、トークンやアーカイブ,トークン用パスワードを用いてTPM11のユーザセキュリティ情報を復元するので、トークンやアーカイブ,トークン用パスワードを、TPM11が破損した以外の場合にも利用することにより有効利用しており、トークンやアーカイブ,トークン用パスワードの管理(紛失や忘却への対策等)にかかるコストに対して利点が大きく、又、これらのトークンやアーカイブ,トークン用パスワードに対して、ネットワーク認証の強化という付加価値を与えることができる。
そして、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
例えば、上述した実施形態においては、管理サーバ20にトークン,アーカイブおよびトークン用パスワードを保存して管理しているが、これに限定されるものではなく、管理サーバ20が、トークンだけ、もしくはトークンの他に、アーカイブとトークン用パスワードとのいずれかのみを管理してもよく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
例えば、上述した実施形態においては、管理サーバ20にトークン,アーカイブおよびトークン用パスワードを保存して管理しているが、これに限定されるものではなく、管理サーバ20が、トークンだけ、もしくはトークンの他に、アーカイブとトークン用パスワードとのいずれかのみを管理してもよく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
すなわち、管理情報241は、図3に示した例に限定されるものではなく、図3に示した以外の情報を関連付けて構成してもよく、又、端末ID,MACアドレス,管理者リスト,トークン,トークン用パスワード,アーカイブおよび履歴情報のうち、一部の情報を除いて構成してもよい。
図9は本発明の一実施形態としての管理システム1の変形例の構成を模式的に示す図である。この図9に示す例においては、管理情報241にアーカイブは含まれず、端末装置10のHDD15にその端末装置10にかかるアーカイブを格納するものであり、その他の部分は第1実施形態の管理システム1と同様に構成されている。
図9は本発明の一実施形態としての管理システム1の変形例の構成を模式的に示す図である。この図9に示す例においては、管理情報241にアーカイブは含まれず、端末装置10のHDD15にその端末装置10にかかるアーカイブを格納するものであり、その他の部分は第1実施形態の管理システム1と同様に構成されている。
なお、図中、既述の符号と同一の符号は同一もしくは略同一の部分を示しているので、その説明は省略する。
アーカイブは、TPM11を使用するユーザが増減した場合や、パスワードを変更した場合等に随時更新されるものであるので、この図7に示すように、端末装置11のHDD15に保管することにより、アーカイブの更新に伴う端末装置11と管理サーバ20との間の通信回数等を低減することができるのである。
アーカイブは、TPM11を使用するユーザが増減した場合や、パスワードを変更した場合等に随時更新されるものであるので、この図7に示すように、端末装置11のHDD15に保管することにより、アーカイブの更新に伴う端末装置11と管理サーバ20との間の通信回数等を低減することができるのである。
また、上述した実施形態においては、認証部21は、ユーザ認証用画面191において入力されたユーザIDおよびパスワードが、管理情報241に格納されたユーザIDおよびこのユーザIDに対応するユーザID用パスワードに一致した場合に、正当なユーザによって端末装置10の操作が行なわれていると認証し、このような認証が行なわれた場合に送信部23が、その端末装置10に対してトークン等を送信しているが、これに限定されるものではなく、例えば、複数の権限者によってトークン等の取得に関する認証が行なわれた場合に、送信部23がトークン等の送信を行なってもよい。
この場合、例えば、図4に示すようなユーザ認証用画面191を端末装置10のディスプレイ19に複数回表示させ、これらのユーザ認証用画面191において、複数人、すなわち、特定の権限を有する複数のユーザIDおよびユーザID用パスワードの入力が行なわれたことを認証部21によって認証された場合にのみ、送信部23がトークン等の送信を行なう。
このように、複数の権限者によりトークン等の取得に関する認証が行なわれた場合に、送信部23がトークン等の送信を行なうことにより、セキュリティレベルを維持もしくは高めることができ、システムの信頼性を向上させることができる。
また、上述した実施形態においては、認証部21が、ユーザ認証用画面191において入力されたユーザIDおよびユーザID用パスワードに基づいて管理情報241を参照して、これらのユーザIDおよびユーザID用パスワードが管理情報241に登録されているかを確認することにより、ユーザ(管理者)の正当性の確認を行なっているが、これに限定されるものではなく、例えば、指紋や掌紋,手のひら静脈,指静脈,虹彩等のユーザの生体情報を用いた生体認証を行なってもよく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
また、上述した実施形態においては、認証部21が、ユーザ認証用画面191において入力されたユーザIDおよびユーザID用パスワードに基づいて管理情報241を参照して、これらのユーザIDおよびユーザID用パスワードが管理情報241に登録されているかを確認することにより、ユーザ(管理者)の正当性の確認を行なっているが、これに限定されるものではなく、例えば、指紋や掌紋,手のひら静脈,指静脈,虹彩等のユーザの生体情報を用いた生体認証を行なってもよく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
さらに、上述した実施形態においては、便宜上、本管理システム1にそなえられた管理サーバ20が1台の状態を説明しているが、これに限定されるものではなく、管理システム1には複数台の管理サーバ20をそなえて構成されてもよい。
このように、管理システム1に複数の管理サーバ20をそなえる場合には、ほぼ同様の機能をそなえた管理サーバ20が、互いに異なる端末装置10に関する管理情報241を分散して管理してもよく、又、トークンを管理する管理サーバ20と異なる管理サーバ20でアーカイブやトークン用パスワードを管理する等、管理情報241の内容を複数の管理サーバ20で分散して管理してもよく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
このように、管理システム1に複数の管理サーバ20をそなえる場合には、ほぼ同様の機能をそなえた管理サーバ20が、互いに異なる端末装置10に関する管理情報241を分散して管理してもよく、又、トークンを管理する管理サーバ20と異なる管理サーバ20でアーカイブやトークン用パスワードを管理する等、管理情報241の内容を複数の管理サーバ20で分散して管理してもよく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
また、上述した実施形態においては、ユーザセキュリティ情報消去部171は、端末装置10の終了処理時に、TPM11に格納されたユーザセキュリティ情報を消去しているが、これに限定されるものではなく、ユーザセキュリティ情報消去部171は、端末装置10が一時的に機能を停止する停止処理時にTPM11に格納されたユーザセキュリティ情報を消去してもよい。この停止処理時として、端末装置10が省電力モードに移行する際(省電力モード移行時)であってもよい。そして、この省電力モードには、例えば、スタンバイ,サスペンド,ハイバネーションが含まれる。
さらに、上述した実施形態においては、認証部21は、端末IDやMACアドレスに基づいて、端末装置10の正規性を判断しているが、これに限定されるものではなく、例えば、IPアドレスを用いてもよく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
なお、本発明の各実施形態が開示されていれば、本発明を当業者によって実施・製造することが可能である。
なお、本発明の各実施形態が開示されていれば、本発明を当業者によって実施・製造することが可能である。
そして、本発明は、以下に示すように要約することができる。
(付記1) 暗号処理機能を有しユーザセキュリティ情報を格納するセキュリティ機能モジュール(TPM;Trusted Platform Module)をそなえた端末装置と、該端末装置と通信可能に接続された管理装置とをそなえた管理システムであって、
該管理装置が、
該端末装置を特定する情報と該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイル暗号鍵とを関連付けて格納する格納部と、
該端末装置からの該復元用ユーザ情報ファイル暗号鍵の呼び出し要求に応じて、該端末装置に対して該復元用ユーザ情報ファイル暗号鍵を送信する送信部とをそなえ、
該端末装置が、
該管理装置に対して前記復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なう要求部と、
該管理装置の該送信部から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかるユーザセキュリティ情報を復元する復元部とをそなえ、
該端末装置の起動処理時に、該要求部が該管理装置に対して前記復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なうとともに、該復元部が、該管理装置の該送信部から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかる該ユーザセキュリティ情報を復元することを特徴とする、管理システム。
(付記1) 暗号処理機能を有しユーザセキュリティ情報を格納するセキュリティ機能モジュール(TPM;Trusted Platform Module)をそなえた端末装置と、該端末装置と通信可能に接続された管理装置とをそなえた管理システムであって、
該管理装置が、
該端末装置を特定する情報と該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイル暗号鍵とを関連付けて格納する格納部と、
該端末装置からの該復元用ユーザ情報ファイル暗号鍵の呼び出し要求に応じて、該端末装置に対して該復元用ユーザ情報ファイル暗号鍵を送信する送信部とをそなえ、
該端末装置が、
該管理装置に対して前記復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なう要求部と、
該管理装置の該送信部から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかるユーザセキュリティ情報を復元する復元部とをそなえ、
該端末装置の起動処理時に、該要求部が該管理装置に対して前記復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なうとともに、該復元部が、該管理装置の該送信部から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかる該ユーザセキュリティ情報を復元することを特徴とする、管理システム。
(付記2) 該端末装置が、
該セキュリティ機能モジュールに格納された該ユーザセキュリティ情報を消去するユーザセキュリティ情報消去部をそなえることを特徴とする、付記1記載の管理システム。
(付記3) 該端末装置が、
該管理装置との間で通信可能な状態であるか否かを確認する確認部をそなえ、
該確認部により該管理装置との間で通信可能な状態でないと確認された場合に、該ユーザセキュリティ情報消去部が、該セキュリティ機能モジュールの該ユーザセキュリティ情報を消去することを特徴とする、付記2記載の管理システム。
該セキュリティ機能モジュールに格納された該ユーザセキュリティ情報を消去するユーザセキュリティ情報消去部をそなえることを特徴とする、付記1記載の管理システム。
(付記3) 該端末装置が、
該管理装置との間で通信可能な状態であるか否かを確認する確認部をそなえ、
該確認部により該管理装置との間で通信可能な状態でないと確認された場合に、該ユーザセキュリティ情報消去部が、該セキュリティ機能モジュールの該ユーザセキュリティ情報を消去することを特徴とする、付記2記載の管理システム。
(付記4) 該端末装置において、
当該端末装置の終了処理時に、該ユーザセキュリティ情報消去部が、該セキュリティ機能モジュールの該ユーザセキュリティ情報を消去することを特徴とする、付記2又は付記3記載の管理システム。
(付記5) 該端末装置が、
該復元部による前記ユーザセキュリティ情報の復元後に、該管理装置の送信部から送信された該復元用ユーザ情報ファイル暗号鍵を消去する復元用ユーザ情報ファイル暗号鍵消去部をそなえることを特徴とする、付記1〜付記4のいずれか1項に記載の管理システム。
当該端末装置の終了処理時に、該ユーザセキュリティ情報消去部が、該セキュリティ機能モジュールの該ユーザセキュリティ情報を消去することを特徴とする、付記2又は付記3記載の管理システム。
(付記5) 該端末装置が、
該復元部による前記ユーザセキュリティ情報の復元後に、該管理装置の送信部から送信された該復元用ユーザ情報ファイル暗号鍵を消去する復元用ユーザ情報ファイル暗号鍵消去部をそなえることを特徴とする、付記1〜付記4のいずれか1項に記載の管理システム。
(付記6) 該管理装置が、
該送信部による該復元用ユーザ情報ファイル暗号鍵の送信履歴を管理する履歴管理部をそなえることを特徴とする、付記1〜付記5のいずれか1項に記載の管理システム。
(付記7) 該管理装置が、
該復元用ユーザ情報ファイル暗号鍵の取得に関する認証を行なう復元用ユーザ情報ファイル暗号鍵認証部をそなえ、
該復元用ユーザ情報ファイル暗号鍵認証部によって前記復元用ユーザ情報ファイル暗号鍵の取得に関する認証が行なわれた場合に、該送信管理部が該復元用ユーザ情報ファイル暗号鍵の送信を行なうことを特徴とする、付記1〜付記6のいずれか1項に記載の管理システム。
該送信部による該復元用ユーザ情報ファイル暗号鍵の送信履歴を管理する履歴管理部をそなえることを特徴とする、付記1〜付記5のいずれか1項に記載の管理システム。
(付記7) 該管理装置が、
該復元用ユーザ情報ファイル暗号鍵の取得に関する認証を行なう復元用ユーザ情報ファイル暗号鍵認証部をそなえ、
該復元用ユーザ情報ファイル暗号鍵認証部によって前記復元用ユーザ情報ファイル暗号鍵の取得に関する認証が行なわれた場合に、該送信管理部が該復元用ユーザ情報ファイル暗号鍵の送信を行なうことを特徴とする、付記1〜付記6のいずれか1項に記載の管理システム。
(付記8) 前記復元用ユーザ情報ファイル暗号鍵の取得に関する認証が、該端末装置に関する認証であることを特徴とする、付記7記載の管理システム。
(付記9) 前記復元用ユーザ情報ファイル暗号鍵の取得に関する認証が、権限者に関する認証であることを特徴とする、付記7又は付記8記載の管理システム。
(付記10) 該管理装置において、
前記端末装置を特定する情報に対して、該復元用ユーザ情報ファイル暗号鍵にかかるパスワードを関連付けて管理するとともに、
該送信管理部が、該端末装置からの該パスワードの取得要求に応じて、該端末装置に対して該パスワードを通知することを特徴とする、付記1〜付記9のいずれか1項に記載の管理システム。
(付記9) 前記復元用ユーザ情報ファイル暗号鍵の取得に関する認証が、権限者に関する認証であることを特徴とする、付記7又は付記8記載の管理システム。
(付記10) 該管理装置において、
前記端末装置を特定する情報に対して、該復元用ユーザ情報ファイル暗号鍵にかかるパスワードを関連付けて管理するとともに、
該送信管理部が、該端末装置からの該パスワードの取得要求に応じて、該端末装置に対して該パスワードを通知することを特徴とする、付記1〜付記9のいずれか1項に記載の管理システム。
(付記11) 該管理装置において、
前記端末装置を特定する情報に対して、該端末装置にそなえらえられた該セキュリティ機能モジュールにかかる該復元用ユーザ情報ファイルを関連付けて管理し、
該送信部が、該端末装置からの呼び出し要求に応じて、該端末装置に対して該復元用ユーザ情報ファイルを送信することを特徴とする、付記1〜付記10のいずれか1項に記載の管理システム。
前記端末装置を特定する情報に対して、該端末装置にそなえらえられた該セキュリティ機能モジュールにかかる該復元用ユーザ情報ファイルを関連付けて管理し、
該送信部が、該端末装置からの呼び出し要求に応じて、該端末装置に対して該復元用ユーザ情報ファイルを送信することを特徴とする、付記1〜付記10のいずれか1項に記載の管理システム。
(付記12)暗号処理機能を有しユーザセキュリティ情報を格納するセキュリティ機能モジュール(TPM;Trusted Platform Module)をそなえた端末装置であって、
当該端末装置に通信可能に接続された外部装置に対して該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なう要求部と、
該外部装置から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかるユーザセキュリティ情報を復元する復元部とをそなえ、
当該端末装置の起動処理時に、該要求部が該外部装置に対して前記復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なうとともに、該復元部が、該管理装置の該送信部から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかる該ユーザセキュリティ情報を復元することを特徴とする、端末装置。
当該端末装置に通信可能に接続された外部装置に対して該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なう要求部と、
該外部装置から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかるユーザセキュリティ情報を復元する復元部とをそなえ、
当該端末装置の起動処理時に、該要求部が該外部装置に対して前記復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なうとともに、該復元部が、該管理装置の該送信部から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかる該ユーザセキュリティ情報を復元することを特徴とする、端末装置。
(付記13) 該セキュリティ機能モジュールに格納された該ユーザセキュリティ情報を消去するユーザセキュリティ情報消去部をそなえることを特徴とする、付記12記載の端末装置。
(付記14) 該外部装置との間で通信可能な状態であるか否かを確認する確認部をそなえ、
該確認部により該外部装置との間で通信可能な状態でないと確認された場合に、該ユーザセキュリティ情報消去部が、該セキュリティ機能モジュールの該ユーザセキュリティ情報を消去することを特徴とする、付記13記載の端末装置。
(付記14) 該外部装置との間で通信可能な状態であるか否かを確認する確認部をそなえ、
該確認部により該外部装置との間で通信可能な状態でないと確認された場合に、該ユーザセキュリティ情報消去部が、該セキュリティ機能モジュールの該ユーザセキュリティ情報を消去することを特徴とする、付記13記載の端末装置。
(付記15) 当該端末装置の終了処理時に、該ユーザセキュリティ情報消去部が、該セキュリティ機能モジュールの該ユーザセキュリティ情報を消去することを特徴とする、付記13又は付記14記載の端末装置。
(付記16) 該復元部による前記ユーザセキュリティ情報の復元後に、該外部装置から送信された該復元用ユーザ情報ファイル暗号鍵を消去する復元用ユーザ情報ファイル暗号鍵消去部をそなえることを特徴とする、付記12〜付記15のいずれか1項に記載の端末装置。
(付記16) 該復元部による前記ユーザセキュリティ情報の復元後に、該外部装置から送信された該復元用ユーザ情報ファイル暗号鍵を消去する復元用ユーザ情報ファイル暗号鍵消去部をそなえることを特徴とする、付記12〜付記15のいずれか1項に記載の端末装置。
(付記17)暗号処理機能を有するセキュリティ機能モジュール(TPM;Trusted Platform Module)をそなえた端末装置の起動処理時におけるセキュリティ管理方法であって、
当該端末装置に通信可能に接続された外部装置に対して該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なう要求ステップと、
該外部装置から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかるユーザセキュリティ情報の復元を行なう復元ステップとをそなえることを特徴とする、セキュリティ管理方法。
当該端末装置に通信可能に接続された外部装置に対して該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なう要求ステップと、
該外部装置から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかるユーザセキュリティ情報の復元を行なう復元ステップとをそなえることを特徴とする、セキュリティ管理方法。
(付記18) 該セキュリティ機能モジュールに格納された該ユーザセキュリティ情報を消去するユーザセキュリティ情報消去ステップをそなえることを特徴とする、付記17記載のセキュリティ管理方法。
(付記19)暗号処理機能を有しユーザセキュリティ情報を格納するセキュリティ機能モジュール(TPM;Trusted Platform Module)をそなえたコンピュータの起動処理時におけるセキュリティ機能を該コンピュータに実行させるためのセキュリティ用プログラムであって、
前記コンピュータの起動処理時において、
当該コンピュータに通信可能に接続された外部装置に対して該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なう要求ステップと、
該外部装置から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかるユーザセキュリティ情報を復元する復元ステップとを、該コンピュータに実行させることを特徴とする、セキュリティ用プログラム。
(付記19)暗号処理機能を有しユーザセキュリティ情報を格納するセキュリティ機能モジュール(TPM;Trusted Platform Module)をそなえたコンピュータの起動処理時におけるセキュリティ機能を該コンピュータに実行させるためのセキュリティ用プログラムであって、
前記コンピュータの起動処理時において、
当該コンピュータに通信可能に接続された外部装置に対して該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なう要求ステップと、
該外部装置から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかるユーザセキュリティ情報を復元する復元ステップとを、該コンピュータに実行させることを特徴とする、セキュリティ用プログラム。
(付記20)暗号処理機能を有しユーザセキュリティ情報を格納するセキュリティ機能モジュール(TPM;Trusted Platform Module)をそなえたコンピュータの起動処理時におけるセキュリティ機能を該コンピュータに実行させるためのセキュリティ用プログラムを記録したコンピュータ読取可能な記録媒体であって、
該セキュリティ用プログラムが、
前記コンピュータの起動処理時において、
当該コンピュータに通信可能に接続された外部装置に対して該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なう要求ステップと、
該外部装置から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかるユーザセキュリティ情報を復元する復元ステップとを、該コンピュータに実行させることを特徴とする、セキュリティ用プログラムを記録したコンピュータ読取可能な記録媒体。
該セキュリティ用プログラムが、
前記コンピュータの起動処理時において、
当該コンピュータに通信可能に接続された外部装置に対して該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なう要求ステップと、
該外部装置から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかるユーザセキュリティ情報を復元する復元ステップとを、該コンピュータに実行させることを特徴とする、セキュリティ用プログラムを記録したコンピュータ読取可能な記録媒体。
1 管理システム
10 端末装置
11 TPM(セキュリティ機能モジュール)
12 CPU
13 RAM
14 ROM
15 HDD
16 LANカード
17 復元部
19 ディスプレイ
20 管理サーバ(管理装置,外部装置)
21 認証部
22 履歴管理部
23 送信部
24 HDD
30 ゲートウェイ装置
31 キーボード
32 マウス
33 LAN
101 RSA暗号鍵の演算装置
102 暗号鍵生成器
103 ハッシュ生成器
104 乱数発生器
105 内部プロセッサ
106 タイマ(時計)
107 EEPROM
108 不揮発性メモリ
109 対物攻撃用センサ
110 自己診断機能
120 マザーボード
121 復元部
122 消去部
123 確認部
171 ユーザセキュリティ情報消去部
191 ユーザ認証用画面
191a ユーザID入力部
191b パスワード入力部
201 CPU
202 ROM
203 RAM
204 LANカード
205 キーボード
206 マウス
241 管理情報
10 端末装置
11 TPM(セキュリティ機能モジュール)
12 CPU
13 RAM
14 ROM
15 HDD
16 LANカード
17 復元部
19 ディスプレイ
20 管理サーバ(管理装置,外部装置)
21 認証部
22 履歴管理部
23 送信部
24 HDD
30 ゲートウェイ装置
31 キーボード
32 マウス
33 LAN
101 RSA暗号鍵の演算装置
102 暗号鍵生成器
103 ハッシュ生成器
104 乱数発生器
105 内部プロセッサ
106 タイマ(時計)
107 EEPROM
108 不揮発性メモリ
109 対物攻撃用センサ
110 自己診断機能
120 マザーボード
121 復元部
122 消去部
123 確認部
171 ユーザセキュリティ情報消去部
191 ユーザ認証用画面
191a ユーザID入力部
191b パスワード入力部
201 CPU
202 ROM
203 RAM
204 LANカード
205 キーボード
206 マウス
241 管理情報
Claims (5)
- 暗号処理機能を有しユーザセキュリティ情報を格納するセキュリティ機能モジュールをそなえた端末装置と、該端末装置と通信可能に接続された管理装置とをそなえた管理システムであって、
該管理装置が、
該端末装置を特定する情報と該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイル暗号鍵とを関連付けて格納する格納部と、
該端末装置からの該復元用ユーザ情報ファイル暗号鍵の呼び出し要求に応じて、該端末装置に対して該復元用ユーザ情報ファイル暗号鍵を送信する送信部とをそなえ、
該端末装置が、
該管理装置に対して前記復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なう要求部と、
該管理装置の該送信部から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかるユーザセキュリティ情報を復元する復元部とをそなえ、
該端末装置の起動処理時に、該要求部が該管理装置に対して前記復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なうとともに、該復元部が、該管理装置の該送信部から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかる該ユーザセキュリティ情報を復元することを特徴とする、管理システム。 - 暗号処理機能を有しユーザセキュリティ情報を格納するセキュリティ機能モジュールをそなえた端末装置であって、
当該端末装置に通信可能に接続された外部装置に対して該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なう要求部と、
該外部装置から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかるユーザセキュリティ情報を復元する復元部とをそなえ、
当該端末装置の起動処理時に、該要求部が該外部装置に対して前記復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なうとともに、該復元部が、該外部装置から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかる該ユーザセキュリティ情報を復元することを特徴とする、端末装置。 - 暗号処理機能を有するセキュリティ機能モジュールをそなえた端末装置の起動処理時におけるセキュリティ管理方法であって、
当該端末装置に通信可能に接続された外部装置に対して該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なう要求ステップと、
該外部装置から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかるユーザセキュリティ情報の復元を行なう復元ステップとをそなえることを特徴とする、セキュリティ管理方法。 - 暗号処理機能を有しユーザセキュリティ情報を格納するセキュリティ機能モジュールをそなえたコンピュータの起動処理時におけるセキュリティ機能を該コンピュータに実行させるためのセキュリティ用プログラムであって、
前記コンピュータの起動処理時において、
当該コンピュータに通信可能に接続された外部装置に対して該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なう要求ステップと、
該外部装置から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかるユーザセキュリティ情報を復元する復元ステップとを、該コンピュータに実行させることを特徴とする、セキュリティ用プログラム。 - 暗号処理機能を有しユーザセキュリティ情報を格納するセキュリティ機能モジュールをそなえたコンピュータの起動処理時におけるセキュリティ機能を該コンピュータに実行させるためのセキュリティ用プログラムを記録したコンピュータ読取可能な記録媒体であって、
該セキュリティ用プログラムが、
前記コンピュータの起動処理時において、
当該コンピュータに通信可能に接続された外部装置に対して該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイル暗号鍵の呼び出し要求を行なう要求ステップと、
該外部装置から送信された該復元用ユーザ情報ファイル暗号鍵と、該セキュリティ機能モジュールにかかる復元用ユーザ情報ファイルとに基づいて、当該セキュリティ機能モジュールにかかるユーザセキュリティ情報を復元する復元ステップとを、該コンピュータに実行させることを特徴とする、セキュリティ用プログラムを記録したコンピュータ読取可能な記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006251294A JP2008071274A (ja) | 2006-09-15 | 2006-09-15 | 管理システム,端末装置,セキュリティ管理方法,セキュリティ用プログラムおよび当該プログラムを記録したコンピュータ読取可能な記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006251294A JP2008071274A (ja) | 2006-09-15 | 2006-09-15 | 管理システム,端末装置,セキュリティ管理方法,セキュリティ用プログラムおよび当該プログラムを記録したコンピュータ読取可能な記録媒体 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008071274A true JP2008071274A (ja) | 2008-03-27 |
Family
ID=39292779
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006251294A Pending JP2008071274A (ja) | 2006-09-15 | 2006-09-15 | 管理システム,端末装置,セキュリティ管理方法,セキュリティ用プログラムおよび当該プログラムを記録したコンピュータ読取可能な記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2008071274A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012032892A (ja) * | 2010-07-28 | 2012-02-16 | Fujitsu Ltd | 情報送信装置、ネットワークシステム、情報送信方法および情報送信プログラム |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003264540A (ja) * | 2002-03-07 | 2003-09-19 | Dainippon Printing Co Ltd | 情報配信方法およびシステム |
| JP2004086441A (ja) * | 2002-08-26 | 2004-03-18 | Ntt Data Corp | コンテンツ管理システム |
| JP2004186814A (ja) * | 2002-11-29 | 2004-07-02 | Fujitsu Ltd | 共通鍵暗号化通信システム |
| JP2005051614A (ja) * | 2003-07-30 | 2005-02-24 | Mitsui Sumitomo Insurance Co Ltd | 情報管理システム、キー配信サーバ、情報管理方法、及びプログラム |
| JP2005158022A (ja) * | 2003-10-31 | 2005-06-16 | Multinet Kk | ファイルのセキュリティー管理システムおよび認証サーバ、クライアント装置ならびにプログラムおよび記録媒体 |
-
2006
- 2006-09-15 JP JP2006251294A patent/JP2008071274A/ja active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003264540A (ja) * | 2002-03-07 | 2003-09-19 | Dainippon Printing Co Ltd | 情報配信方法およびシステム |
| JP2004086441A (ja) * | 2002-08-26 | 2004-03-18 | Ntt Data Corp | コンテンツ管理システム |
| JP2004186814A (ja) * | 2002-11-29 | 2004-07-02 | Fujitsu Ltd | 共通鍵暗号化通信システム |
| JP2005051614A (ja) * | 2003-07-30 | 2005-02-24 | Mitsui Sumitomo Insurance Co Ltd | 情報管理システム、キー配信サーバ、情報管理方法、及びプログラム |
| JP2005158022A (ja) * | 2003-10-31 | 2005-06-16 | Multinet Kk | ファイルのセキュリティー管理システムおよび認証サーバ、クライアント装置ならびにプログラムおよび記録媒体 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012032892A (ja) * | 2010-07-28 | 2012-02-16 | Fujitsu Ltd | 情報送信装置、ネットワークシステム、情報送信方法および情報送信プログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2008072613A (ja) | 管理システム,管理装置および管理方法 | |
| US8245042B2 (en) | Shielding a sensitive file | |
| JP4278327B2 (ja) | コンピュータ・プラットフォームおよびその運用方法 | |
| US7210043B2 (en) | Trusted computer system | |
| JP5094365B2 (ja) | ハード・ディスク・ドライブ | |
| US8510572B2 (en) | Remote access system, gateway, client device, program, and storage medium | |
| CN102948114B (zh) | 用于访问加密数据的单次使用认证方法及系统 | |
| CA2939599C (en) | Approaches for a location aware client | |
| JP5116325B2 (ja) | 情報処理装置、ソフトウェア更新方法及び画像処理装置 | |
| CN1801091B (zh) | 用可信处理模块安全地引导计算机的系统和方法 | |
| CN102508791B (zh) | 一种对硬盘分区进行加密的方法及装置 | |
| US8135135B2 (en) | Secure data protection during disasters | |
| US20060161790A1 (en) | Systems and methods for controlling access to data on a computer with a secure boot process | |
| JP2003501716A (ja) | コンピューティングプラットフォームにおけるデータイベントの記録 | |
| CN1981277A (zh) | 隔离系统 | |
| JP4885168B2 (ja) | 外部メディア制御方法、システム及び装置 | |
| JP2008071274A (ja) | 管理システム,端末装置,セキュリティ管理方法,セキュリティ用プログラムおよび当該プログラムを記録したコンピュータ読取可能な記録媒体 | |
| JP2013254506A (ja) | 情報処理装置、真正性確認方法、及び記録媒体 | |
| RU2444057C1 (ru) | Система защиты информации от несанкционированного доступа к конфиденциальной информации и информации, содержащей персональные данные | |
| JP2023063752A (ja) | 情報処理装置及びその制御方法 | |
| JP2004038562A (ja) | コンピュータシステム | |
| JP2012150834A (ja) | 情報処理装置、ソフトウェア更新方法及び記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090403 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110809 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110823 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111020 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111129 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120126 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120214 |