JP2008171389A - ドメイン・ログオンの方法、およびコンピュータ - Google Patents
ドメイン・ログオンの方法、およびコンピュータ Download PDFInfo
- Publication number
- JP2008171389A JP2008171389A JP2007257116A JP2007257116A JP2008171389A JP 2008171389 A JP2008171389 A JP 2008171389A JP 2007257116 A JP2007257116 A JP 2007257116A JP 2007257116 A JP2007257116 A JP 2007257116A JP 2008171389 A JP2008171389 A JP 2008171389A
- Authority
- JP
- Japan
- Prior art keywords
- domain
- logon
- user
- password
- user identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
【課題】レジストリのキャッシュを利用したドメイン・ログオンを可能にしつつ、悪意のあるユーザにパスワードなどを取得される危険性を小さくする。
【解決手段】ウィンドウズ(登録商標)の一部であるGINAがセキュアな記憶領域からユーザ識別情報に対応した加工されたパスワード情報を読み出し、レジストリに書き込む。そして、ドメイン・ログオンに係る認証が完了した後に、レジストリに書き込まれたパスワード情報は消去される。このことにより、当該ユーザのパスワード情報はレジストリに残らず、システム・ファイルとして保存されることもなくなる。
【選択図】図4
【解決手段】ウィンドウズ(登録商標)の一部であるGINAがセキュアな記憶領域からユーザ識別情報に対応した加工されたパスワード情報を読み出し、レジストリに書き込む。そして、ドメイン・ログオンに係る認証が完了した後に、レジストリに書き込まれたパスワード情報は消去される。このことにより、当該ユーザのパスワード情報はレジストリに残らず、システム・ファイルとして保存されることもなくなる。
【選択図】図4
Description
本発明は、ウィンドウズ(登録商標)の制御によって動作しドメインに参加するコンピュータにおいてユーザを認証する技術に関し、さらには、ウィンドウズ(登録商標)の基本モジュールに変更を加えないでドメイン認証に伴うセキュリティを強化する技術に関する。
パーソナル・コンピュータ(以下PCという)においては、米国マイクロソフト社のウィンドウズ(登録商標)NT/2000/XPなどのようにマルチユーザに対応したオペレーティング・システム(以後OSという)が一般的に使われている。PCの電源を入れ、BIOS(Basic Input/Output System)による各デバイスの初期化の後にOSが起動すると、ユーザが認証情報であるユーザ・アカウント(以後ユーザIDという。)および認証パスワード(以後単にパスワードという。)を入力してOSにログオンする。その際、当該PCに登録されたユーザIDおよびパスワードを入力してログオンすることができる。これをローカル・ログオンという。
一方、ウィンドウズ(登録商標)・シリーズのOSによって動作する複数のPCを、イーサネット(Ethernet、登録商標)などによって相互に接続することにより、容易にLAN(Local Area Network)もしくはWAN(Wide Area Network)を構築できる。その際、論理的に一つのグループとして扱われる複数のPCやプリンタなどのコンピュータ資源を総称して、ドメインという。一つのドメインの中では、ユーザIDおよびセキュリティ・ポリシーは、基本的に1台のコンピュータによって管理される。このコンピュータをドメイン・コントローラという。ドメイン・コントローラは、ユーザの認証、ユーザ・アカウントの追加や削除、セキュリティ設定の変更などを統括して行うことができる。なお、ドメイン・コントローラが一つのドメインの中で複数存在する場合もある。その場合は、主に使用される一つのドメイン・コントローラをプライマリ・ドメイン・コントローラとし、その他をバックアップ用のバックアップ・ドメイン・コントローラとすることができる。ここでいうドメインは、ウィンドウズ(登録商標)のバージョン、あるいはLANもしくはWANの規模などによって、NTドメインである場合もあれば、アクティブ・ディレクトリ(Active Directory)・ドメインである場合もあるが、ここではそれらを総称してドメインということにする。
ドメインに参加しているコンピュータでは、ローカル・ログオンに代えて当該ドメインのドメイン・コントローラに登録されたユーザIDおよびパスワードを入力してログオンすることもできる。これをドメイン・ログオンという。ローカル・ログオンはユーザIDおよびパスワードを登録した当該PCで行うのに対し、ドメイン・ログオンは当該ドメインに参加している全てのPCで、ドメイン・コントローラに登録されたユーザIDおよびパスワードを利用してログオンできる。ドメイン・ログオンした場合は、当該ドメインで共有されるコンピュータ資源を使用できる。さらに、当該ドメインと信頼関係を結んだ他のドメインのコンピュータ資源を共用することもできる。
図13は、ドメインに属するPCでの、従来のログオンの仕組みを示す概念図である。ウィンドウズ(登録商標)が起動すると、ウィンドウズ(登録商標)で通常作業を行なっている時に表示される画面であるアプリケーション・デスクトップ1001、スクリーン・セーバーを表示するスクリーン・セーバー・デスクトップ1003、ログオン画面の表示を行うWinLogonデスクトップ1005の3つのデスクトップ画面が作成される。ディスプレイに表示されるデスクトップ画面は常にそのうちの一つだけである。WinLogon1007は、ウィンドウズ(登録商標)の中でログオン・セッションの管理、およびディスプレイに表示するデスクトップ画面の切り替えなどを行うコンポーネントである。
ウィンドウズ(登録商標)が起動されたときに表示されるユーザIDおよびパスワードの入力を要求する画面は、WinLogonデスクトップ1005である。ユーザIDおよびパスワードの入力のダイアログを表示するのはウィンドウズ(登録商標)のGINA(Graphical Identification and Authentication)1009と呼ばれるコンポーネントである。GINAによって表示されたダイアログ1011に対して、ユーザがユーザID、パスワード、およびログオン先を入力すると、入力されたユーザIDおよびパスワードはGINA1009からLSA(Local Security Authority、ローカル セキュリティ機関)1013と呼ばれるコンポーネントに渡される。LSAはユーザのログオンおよび認証を処理するエージェントとして機能する。なお、ログオン先は当該PC自身と、PCが属するドメインとを選択できる。ログオン先としてPC自身を選択すればローカル・ログオン、ドメインを選択すればドメイン・ログオンとなる。
LSA1013は、ユーザが入力したユーザID、パスワードおよびログオン先をAP(Authentication Package、認証パッケージ)1015に渡す。AP1015は、ユーザより指定されたログオン先に応じてユーザの認証を行う。ローカル・ログオンであれば、AP1015はLSA1013から受け取ったパスワードをウィンドウズ(登録商標)のSAM(Security Accounts Manager)1017と呼ばれるコンポーネントが保持するユーザ・アカウント・データベース1019の中から検索したパスワードと比較し、当該ユーザIDおよびパスワードを入力したユーザが正当なユーザであるかどうかを認証する。
ドメイン・ログオンである場合、AP1015はPCが属するドメインのドメイン・コントローラ1021にアクセスし、LSA1013から受け取ったユーザIDおよびパスワードをドメイン・コントローラ1021に対して照会する。その際、PCとドメイン・コントローラ1021との間では、LM認証、NTLM認証、NTLMv2認証などのような方式で相互に認証が行われる。その場合、PCからのユーザIDなどを含むリクエストを受け取ったドメイン・コントローラ1021は、PCに対してチャレンジと呼ばれる文字列を返送する。チャレンジを受け取ったPCは、パスワードによってチャレンジを暗号化した文字列(レスポンス)をドメイン・コントローラ1021に返送する。ドメイン・コントローラ1021は、このレスポンスから、当該ユーザIDおよびパスワードが正当なものであるかどうかを認証し、認証された結果はドメイン・コントローラ1021からPCへ返信される。この方式によれば、パスワードを直接ネットワークを介して送信しなくても、ドメイン・コントローラ1021に対してユーザIDおよびパスワードの正当性を照会し、認証を行うことができる。
ローカル・ログオンおよびドメイン・ログオンのどちらであっても、認証が成功すれば、WinLogon1007はディスプレイに表示されるデスクトップ画面をアプリケーション・デスクトップ1001に切り替える。以上で示したユーザ認証の仕組みは、ウィンドウズ(登録商標)の標準的な仕様として定められており、さらに開発者向けにユーザ認証をカスタマイズする仕組みが公開されている。サード・パーティがウィンドウズ(登録商標)のユーザ認証をカスタマイズする必要がある場合、独自のGINAを作成してウィンドウズ(登録商標)のコンポーネントとして登録することが普通である。独自のGINAを作成し、該GINAからLSAにユーザIDおよびパスワードを渡すことにより、ユーザ認証にかかるそれ以外のコンポーネントを変更することなく、カスタマイズされた独自のユーザ認証を実現することができる。他にも、ユーザ認証の仕組みをサード・パーティで作成するために独自のAPを作成する方法も開発者向けに公開されているが、GINAを作成するのに比べて多大な手間がかかるため、この方法が実際の製品で使われることは少ない。
なお、ウィンドウズ(登録商標)のユーザ認証に関する技術として、以下のような文献がある。特許文献1は米国マイクロソフト社による出願であり、ユーザ認証情報(クレデンシャル)を、サーバ上のそれと同期させる技術を開示する。
特開2005−303993号公報
ウィンドウズ(登録商標)の動作環境下では、ドメイン・ログオンに成功したユーザのログオン情報は、当該PCのレジストリ1023内のキャッシュ1025という場所に保存される。ここでいうログオン情報は、ユーザID、パスワード、ログオンした日時、ドメイン名、および当該PCのホスト名などが含まれる。当該PCがドメイン・コントローラ1021に接続できない場合、キャッシュ1025に保存されたログオン情報を利用すれば、ドメイン・コントローラ1021に接続できる場合と同じユーザIDおよびパスワードを利用してログオンできる。たとえば、普段オフィス内でLANに接続されてドメインに属しているノートブック型PC(以後ノートPCという)は、LANから切り離されてオフィス外に持ち出されて使用される場合には、オフィス内に存在するドメイン・コントローラ1021に接続できない。また、無線LANに接続されるPCで、該無線LANの電波状態が悪化してドメイン・コントローラ1021に接続できなくなる場合もある。それらのような場合でも、キャッシュ1025に保存されたログオン情報を利用してドメイン・ログオンすれば、ドメインに登録されたアカウントで当該ノートPCにログオンでき、ドメイン・コントローラ1021に接続できる場合と同一の操作環境、たとえばデスクトップ画面の配置やスタート・メニューの構成、あるいはソフトウェアの設定などを再現して使用できる。なお、キャッシュ1025に保存されるログオン情報は、過去に成功した各ユーザのドメイン・ログオンについて、特定の回数分だけ保存される。保存回数は、0回〜50回の範囲で設定を変更することが可能である。デフォルトでは、過去10回の成功したドメイン・ログオンについて保存される。
しかし、キャッシュ1025に保存されたログオン情報は、ある程度以上の操作権限を与えられたユーザであれば誰でも取得することができる。前述のように、ドメイン・ログオンであれば当該ドメインに参加している全てのPCで登録されているユーザIDおよびパスワードでログオンできるため、当該PCも当該ドメインに属する複数のユーザによって使用されている可能性が高い。従って、キャッシュ1025にアクセスする権限を与えられたユーザであれば、当該PCに最近ドメイン・ログオンしたユーザ全てのログオン情報を取得することができる。即ち、悪意のあるユーザがログオンすれば、別のユーザのユーザIDおよびハッシュされたパスワードにアクセスすることができてしまうので、ユーザIDおよびパスワードを盗まれる危険性がある。さらに、キャッシュ1025に保存されたパスワードがたとえソルティングされハッシュされていても、辞書攻撃などの方法でハッシュされる前のパスワードを割り出される危険性がある。辞書攻撃によってパスワードを割り出すツール(パスワード・クラッキング・ツール)、およびそれに使用される使用頻度順の辞書などは、インターネットなどを通じて誰でも簡単に入手できる。
また、ウィンドウズ(登録商標)を起動している間はレジストリ1023内のキャッシュ1025に保存されているログオン情報は、ウィンドウズ(登録商標)がログオフの状態になるときには、磁気ディスク装置のシステム・ファイル1027の中に保存され、次回のログオンのときに再びレジストリのキャッシュに保存された情報として利用できるようになっている。しかも、ログオン情報が保存されるファイル名および磁気ディスク内でのアドレス、さらにファイル内部のデータ構造やハッシュ関数のアルゴリズムなどは開発者向けに公開されている。そのため、当該PCでたとえばLinux(登録商標)などのような別のOSをインストールしたり、フロッピー(登録商標)・ディスクや光学ディスクなどから別のOSを起動したりするなどして、システム・ファイル1027の中からキャッシュ1025に保存されていたログオン情報をコピーすることができる。このファイルからも、暗号化されていないユーザIDおよびハッシュされたパスワードを読み出すことができる。特にPC本体またはPCから抜き取られた磁気ディスク装置が盗難にあった場合、そのような手段でドメインに属する複数のユーザのユーザIDおよびパスワードが読み出される危険性がある。
前述のように、キャッシュ1025に保存されるログオン情報は、過去に成功したドメイン・ログオンについて、0回〜50回の範囲で保存する回数の設定を変更することが可能である。より具体的には、レジストリ・キーのHKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogonの、CachedLogonsCountとして保存されている値が、過去に成功したドメイン・ログオンについてログオン情報を保存する回数である。この値を「0」に設定すれば、キャッシュ1025にはログオン情報は一切保存されないことになるので、ログオン情報に含まれるパスワードが盗まれる危険性は少なくなる。しかし、そうすると今度はキャッシュ1025を利用したドメイン・ログオンが不可能になり、ドメイン・コントローラ1021に接続できない環境では、当該ノートPCにログオンするにはローカル・ログオンする以外にない。これでは、ドメイン・ログオンが可能な場合の操作環境を再現できないので、利便性に欠ける。
そこで本発明の目的は、ウィンドウズ(登録商標)で利用できるドメイン・ログオンの利便性を維持し、かつ、ウィンドウズ(登録商標)の基本モジュールに変更を加えたり特別なハードウェアを用意したりすることなく、より安全にドメイン・ログオンをする方法およびドメイン・パスワードを格納する方法を提供することにある。さらに本発明の目的は、レジストリのキャッシュを利用したドメイン・ログオンを可能にしつつ、キャッシュに格納された情報を通じて悪意のあるユーザにパスワードなどのログオン情報を取得される危険性の少ないドメイン・ログオンの方法、およびドメイン・パスワード情報の格納方法を提供することにある。さらに本発明の目的は、そのような認証方法または格納方法を実現するコンピュータを提供することにある。
本発明の一つの態様は、ドメイン・コントローラと、ウィンドウズ(登録商標)をオペレーティング・システムとして動作するクライアント・コンピュータとを含むネットワーク環境において、クライアント・コンピュータのドメイン・ログオンの方法を提供する。ネットワーク環境には、ユーザ識別情報と該ユーザ識別情報に対応したドメイン・パスワード情報を格納したセキュアな記憶領域が存在する。セキュアな記憶領域は、セキュアなチャネルで接続されたクライアント・コンピュータの外部装置に設けてもクライアント・コンピュータの内部に設けてもよい。ドメイン・パスワード情報は、ドメイン・パスワードがソルティングされたりハッシュ関数で暗号化されたりしてドメイン・パスワード自体とは異なるが、両者の照合を可能にするドメイン・パスワードと関連ある情報である。
ウィンドウズ(登録商標)の第1のモジュールが、ユーザ識別情報(ユーザID)とドメイン・パスワードをユーザから受け取る。第1のモジュールはGINAとすることができる。さらに、コンピュータは、ユーザ識別情報に対応したドメイン・パスワード情報をセキュアな記憶領域から読み出し、レジストリに書き込む。この書き込みは、GINAまたはその他のコンポーネントが行うことができる。ウィンドウズ(登録商標)の第2のモジュールがユーザから受け取ったドメイン・パスワードと、レジストリに書き込まれたドメイン・パスワード情報とを比較することによってドメイン・ログオンに係る認証が行われる。
第2のモジュールは、APとすることができる。APはドメイン認証のためにドメイン・コントローラにアクセスできないときはレジストリのキャッシュに格納されたパスワード情報とユーザから受け取ったドメイン・パスワードで認証することになっているが、この認証に必要な情報はセキュアな記憶領域から読み出されているので、認証作業に支障は生じない。認証が完了した後に第1のモジュールはレジストリに書き込まれたドメイン・パスワード情報を消去する。このことにより、当該ユーザのパスワードはレジストリに残らず、かつ従来とは異なりウィンドウズ(登録商標)をログオフする際にシステム・ファイルとして保存されることもなくなるので、悪意のあるユーザに取得される危険性は小さくなる。しかも、クライアント・コンピュータがドメイン・コントローラにアクセスできない場合であっても、APがレジストリを参照してユーザを認証することによりドメイン・ログオンが可能である。
セキュアな記憶領域としては、クライアント・コンピュータ内部のTPM(Trusted Platform Module)内部のメモリ、または、BIOSからのみ参照可能な不揮発性メモリを利用することができる。また、セキュアな記憶領域が記憶しているユーザ識別情報と該ユーザ識別情報に対応したドメイン・パスワード情報は、このクライアント・コンピュータにおいて過去にドメイン・ログオンに成功したユーザのユーザ識別情報およびパスワードである。このことにより、通常ウィンドウズ(登録商標)で行われている認証手順と同様に、過去にドメイン・ログオンに成功したユーザは、クライアント・コンピュータがドメイン・コントローラに接続できない場合であってもドメイン・ログオンを行うことが可能となる。さらに、レジストリに書き込まれたパスワードを消去するタイミングに合わせて、ドメイン・ログオンに成功したドメイン・パスワードから生成されたドメイン・パスワード情報をセキュアな記憶領域に書き込むことにより、ドメイン・ログオンが成功するたびに該ユーザのユーザ識別情報およびドメイン・パスワード情報を保存してゆくことができる。
その結果、ウィンドウズ(登録商標)の認証アルゴリズムが更新されたような場合であっても、セキュアな記憶領域の情報は常に最新の認証アルゴリズムに基づいたドメイン・パスワード情報に置き換えられるので、その後の認証に支障をきたすことがなくなる。レジストリに書き込まれたパスワードを、ドメイン・ログオンの認証が完了した直後のタイミングで消去すると、それ以後ドメイン・パスワード情報がレジストリから盗まれる可能性がなくなるのでパスワード・クラッキングに対する耐性が最も高くなる。また、またユーザがログオフされるタイミングで消去するようにすれば、当該ユーザがログオンしている間は、当該ユーザのもとでドメイン認証が必要なさまざまなアプリケーション・プログラムを利用できるようになり、しかも、ログオフ後のパスワード攻撃に対する耐性が強化される。
また、クライアント・コンピュータがドメイン・ログオンをする際、クライアント・コンピュータはまずドメイン・コントローラへの接続を試行し、接続が成功した場合は、ドメイン・コントローラに対してユーザ識別情報とユーザから受け取ったドメイン・パスワードとを照合してドメイン・ログオンに係る認証を行うようにする。接続が失敗した場合は、レジストリに書き込まれたドメイン・パスワード情報を参照してドメイン・ログオンに係る認証を行う。そして、ドメイン・コントローラに接続が成功した場合も、接続が失敗した場合も、ドメイン・ログオンに成功したドメイン・パスワードから生成したドメイン・パスワード情報をセキュアな記憶領域に書き込み、レジストリに書き込まれたドメイン・パスワード情報をレジストリから消去する。このことにより、次回以降のドメイン・ログオンの際にドメイン・コントローラにアクセスできなくても、今回ドメイン・ログオンに成功したのと同じユーザ識別情報とパスワードでドメイン・ログオンが可能になる。
別の捉え方では、本発明はウィンドウズ(登録商標)をオペレーティング・システムとして動作し、ドメイン・コントローラを含むネットワーク環境に接続可能なクライアント・コンピュータを提供する。このコンピュータは、ドメイン・ログオンの方法として説明した各々のステップを実行する手段を持つ。さらに別の捉え方では、本発明に係るコンピュータはプロセッサと、セキュアな記憶装置と、ドメイン・ログオンの方法として説明した各々のステップをプロセッサで実行するプログラムを記憶した記憶媒体とを持つ。
本発明により、ウィンドウズ(登録商標)で利用できるドメイン・ログオンの利便性を維持し、かつ、ウィンドウズ(登録商標)の基本モジュールに変更を加えたり特別なハードウェアを用意したりすることなく、より安全にドメイン・ログオンをする方法およびドメイン・パスワードを格納する方法を提供することができた。さらに本発明により、レジストリのキャッシュを利用したドメイン・ログオンを可能にしつつ、キャッシュに格納された情報を通じて悪意のあるユーザにパスワードなどのログオン情報を取得される危険性の少ないドメイン・ログオンの方法、およびドメイン・パスワード情報の格納方法を提供することができた。さらに本発明により、そのような認証方法または格納方法を実現するコンピュータを提供することができた。
図1は、本発明の第1の実施の形態にかかるクライアント・コンピュータであるPC10のシステム構成を示す概略ブロック図である。PC10の筐体内部には、図1に示す各種のデバイスが搭載されている。CPU11は、PC10の中枢機能を担う演算処理装置で、OS、BIOS、デバイス・ドライバ、あるいはアプリケーション・プログラムなどを実行する。本実施の形態は、現時点においては、ウィンドウズ(登録商標)NT、2000、XPのいずれかに適用され、98以前のウィンドウズ(登録商標)には適用されない。本実施の形態にかかるCPU11は、SMI(System Management Interrupt)入力ピン(SMI#)がアサートされることによって、システム管理用の動作モードであるSMM(System Management Mode)で動作することが可能である。SMMでは、特別に割り当てられたメモリ空間において、米国インテル社製のCPUに存在する割り込み制御ハンドラであるSMIハンドラが実行される。SMMは主にサスペンド、レジューム、電源管理およびセキュリティ関連の操作などに利用される特権実行モードである。
CPU11は、システム・バスとしてのFSB(Front Side Bus)13、CPU11と周辺機器との間の通信を行うためのPCI(Peripheral Component Interconnect)バス15、ISAバスに代わるインターフェイスであるLPC(Low Pin Count)バス17という3段階のバスを介して各デバイスに接続されて信号の送受を行っている。FSB13とPCIバス15は、メモリ/PCIチップと呼ばれるCPUブリッジ19によって連絡されている。CPUブリッジ19は、メイン・メモリ21へのアクセス動作を制御するためのメモリ・コントローラ機能や、FSB13とPCIバス15との間のデータ転送速度の差を吸収するためのデータ・バッファ機能などを含んだ構成となっている。メイン・メモリ21は、CPU11が実行するプログラムの読み込み領域、処理データを書き込む作業領域として利用される書き込み可能メモリである。同時にメイン・メモリ21はSMMで動作するCPU11が独占的に使用できるSMRAM(System Management RAM)としての領域を含む。ビデオ・カード23は、ビデオ・チップ(図示せず)およびVRAM(図示せず)を有し、CPU11からの描画命令を受けて描画すべきイメージを生成しVRAMに書き込み、VRAMから読み出されたイメージを描画データとしてディスプレイ25に送る。
PCIバス15には、I/Oブリッジ27、CardBusコントローラ29、miniPCIスロット33、イーサネット(登録商標)・コントローラ35がそれぞれ接続されている。CardBusコントローラ29は、PCIバス15とPCカード(図示せず)とのデータ転送を制御するコントローラである。CardBusコントローラ29にはCardBusスロット31が接続され、CardBusスロット31にはPCカード(図示せず)が装着される。miniPCIスロット33には、例えば無線LANモジュールが内蔵されたminiPCIカード(図示せず)が装着される。イーサネット(登録商標)・コントローラ35は、PC10を有線LANに接続するためのコントローラである。
I/Oブリッジ27は、PCIバス15とLPCバス17との間のブリッジとしての機能を備えている。また、I/Oブリッジ27は、IDE(Integrated Device Electronics)インターフェイス機能を備えており、ハード・ディスク・ドライブ(HDD)39および光学ドライブ41(CDドライブ,DVDドライブ等)が接続される。また、I/Oブリッジ27にはUSBコネクタ37が接続されている。USBコネクタ37にはUSBに対応した各種周辺機器(図示せず)が接続される。LPCバス17には、エンベデッド・コントローラ43、BIOSフラッシュROM47、TPM(Trusted Platform Module)57、I/Oコントローラ51が接続されている。I/Oコントローラ51にはI/Oコネクタ53を介してキーボード55を初めとする入出力機器(図示せず)が接続されている。BIOSフラッシュROM47およびTPM(Trusted Platform Module)57については後述する。
エンベデッド・コントローラ43は、8〜16ビットのCPU、ROM、RAMなどで構成されたマイクロ・コンピュータであり、さらに複数チャネルのA/D入力端子、D/A出力端子、およびデジタル入出力端子を備えている。エンベデッド・コントローラ43には、それらの入出力端子を介して冷却ファン(図示せず)、温度センサ(図示せず)および電源装置45などが接続されており、PC内部の動作環境の管理にかかるプログラムをCPU11とは独立して動作させることができる。
なお、図1は本実施の形態を説明するために、本実施の形態に関連する主要なハードウェアの構成および接続関係を簡素化して記載したに過ぎないものである。ここまでの説明で言及した以外にも、PC10を構成するには多くのデバイスが使われる。しかしそれらは当業者には周知であるので、ここでは詳しく言及しない。もちろん、図で記載した複数のブロックを1個の集積回路もしくは装置としたり、逆に1個のブロックを複数の集積回路もしくは装置に分割して構成したりすることも、当業者が任意に選択することができる範囲においては本発明の範囲に含まれる。
図2は、本発明の実施の形態にかかるPC10のセキュリティを強化するモジュールであるTPM(Trusted Platform Module)57の内部構成を示す図である。TPM57は、TCG(Trusted Computing Group)によって策定された仕様書に基づいて製造されてPCに搭載される。TPM57は、I/O101を介して、LPCバス17とのデータの交換を行う。不揮発性RAM103には、プラットフォームおよびユーザの認証に使用される鍵などが記憶され、本実施の形態では後述するキャッシュ・データベースもここに記憶される。PCR(Platform Configuration Resister)105は、プラットフォーム状態情報(ソフトウェアの計測値)を保持するレジスタである。AIK(Attestation Identity Key、認証識別キー)107はプラットフォーム認証に利用され、TPM57内部のデータにデジタル署名を付加するために利用される。
プラットフォームおよびユーザの認証などに使用される各種プログラムは、ROM109に記憶され、プロセッサおよび揮発性RAMを含む実行エンジン111で実行される。本実施の形態では、後述するログオン情報管理用プログラムもROM109に記憶される。TPM57は他に、乱数を発生する乱数発生器113、暗号化に使われる一方向性関数である暗号技術的ハッシュ関数(cryptographic hash function)を実行するハッシュ関数エンジン115、暗号鍵生成器117で生成された暗号鍵に電子的に署名するRSAエンジン119、意図されない場所でPC10が使われることを防止するOpt−In121も備える。また、不揮発性RAM103に記憶された内容は、実行エンジン111からのみ参照でき、CPU11から直接アクセスされることはない。
アプリケーション・ソフトウェアがTPM57を使用するためのソフトウェア・スタックとして、TSS(TCG Software Stack)がTCGによって定義されている。図3は、TSSの概念図である。TPM57はハードウェアとしてPC10と関連づけられ、PC10の中で信頼できるプラットフォームを構築すると同時に、ドライバを介してアプリケーション・ソフトウェアからTPM57の機能を使用することも可能である。TSSでは、ソフトウェア・アプリケーション層201、ソフトウェア・インフラストラクチャ(ミドルウェア)層203、ハードウェア層205という3つの階層が定義されている。ハードウェア層205に属するTPM57は、BIOSフラッシュROM47に記憶されてPC10の電源を入れると最初に起動するBoot BIOS207から直接操作される。また、BIOSフラッシュROM47に記憶されてシステムの設定を行うPC BIOS209から、TPM/TSS BIOS API211を介しても操作される。
ウィンドウズ(登録商標)に対しては、ソフトウェア・インフラストラクチャ層203に、TPM57に対応したデバイス・ドライバ213、デバイス・ドライバ213を利用するためのライブラリ215が提供される。同時に、デバイス・ドライバ213およびライブラリ215の上で動作するアプリケーションであり、インターネット・エクスプローラ(登録商標)およびOutlook(登録商標)などのような一般的なアプリケーション・ソフトウェア229にユーザ認証、暗号化、電子証明書の保護などの機能を提供するクライアント・セキュリティ・ソリューション217も提供される。クライアント・セキュリティ・ソリューション217は、標準的なソフトウェア・スタックであるTSS219、TPMの設定などを行う管理ツール221、および暗号の標準APIであるマイクロソフト社のCrypto API223、RSAセキュリティ社のPKCS#11 225、その他のCSP(Crypto Service Provider)227などが含まれる。アプリケーション・ソフトウェア229は、それらのAPIを利用することにより、ユーザ認証および暗号化にかかる処理をTPM57に渡して実行させることができる。もちろんこれらの処理はプラットフォームおよびユーザが正しく認証された状態で行われるので、PC10で本来動作するウィンドウズ(登録商標)とは別のOSを起動しても、これらの処理を実行することはできない。
図4は、本発明の第1の実施の形態におけるユーザのログオンの仕組みを示す概念図である。クライアントであるPC10は、ドメインのメンバーとしてドメイン・コントローラとともにネットワーク環境を構成するように設定されているものとする。ドメイン・コントローラには、管理者によりドメインに参加することが許可された複数のユーザの認証情報が登録されている。PC10の電源を投入すると、まずBIOSフラッシュROM47に記憶されたBoot BIOS207およびPC BIOS209がCPU11に読み出されて実行され、PC10に搭載されたハードウェアのセルフテストおよび初期設定が行われる。その後でHDD39にインストールされたウィンドウズ(登録商標)がCPU11に読み出されて実行される。ウィンドウズ(登録商標)が起動されると、ウィンドウズ(登録商標)で通常作業を行なっている時に表示される画面であるアプリケーション・デスクトップ301、スクリーン・セーバーを表示するスクリーン・セーバー・デスクトップ303、およびログオン画面の表示を行うWinLogonデスクトップ305の3つのデスクトップ画面が作成される。WinLogon307は、それらの中からWinLogonデスクトップ305をディスプレイ25に表示する。
WinLogonデスクトップ305上には、ユーザID、パスワード、およびログオン先の入力のダイアログ309がプライベートGINA311によって表示される。PC10は、ネットワークの管理者によってあらかじめドメインのメンバーとして登録されているので、ダイアログ309はユーザがローカル・ログオンとドメイン・ログオンを選択できるように表示される。プライベートGINA311は、本実施の形態のためにカスタマイズされ、ウィンドウズ(登録商標)のコンポーネントとして登録されたGINAである。ダイアログ309で、ユーザがキーボード55を介してローカル・ログオンまたはドメイン・ログオンのいずれかのユーザIDおよびパスワードを入力すると、入力されたユーザIDはプライベートGINA311から、ソフトウェア・スタック313に含まれるTSS219およびデバイス・ドライバ213を介してTPM57内の実行エンジン111に渡される。キャッシュ・データベース315は不揮発性RAM103上にあり、過去に成功したドメイン・ログオンについてのログオン情報が保存される。ログオン情報には、ユーザがPC10に入力するパスワードがソルティングされた後でハッシュされた情報を含む。実行エンジン111では、ROM109から読み出されたログオン情報管理用プログラムによって後述する処理が実行される。プライベートGINA311以外のプログラムから、このログオン情報管理用プログラムにアクセスすることはできない。また、ログオン情報管理用プログラム以外のプログラムから、キャッシュ・データベース315の内容を参照することもできない。
LSA317、AP319、SAM321、ユーザ・アカウント・データベース323、ドメイン・コントローラ325、レジストリ327、キャッシュ329、システム・ファイル331は、全て図13で示した従来技術のものと同一であるので、説明を省略する。ただし、本実施の形態ではウィンドウズ(登録商標)が起動されてユーザの認証を開始する時点では、キャッシュ329にはいずれのユーザのログオン情報も保存しないことによって安全性を高めている。そして、ユーザの認証を行う際に、ログオンしようとしているユーザ1人の認証に必要なログオン情報のみが、プライベートGINA311によってキャッシュ329に書き込まれる。ウインドウズ(登録商標)では、ドメイン・コントローラに接続できない場合には、キャッシュ329に当該ユーザのログオン情報が存在しないとドメイン・ログオンを行うことができないので、本実施の形態ではAP319が認証作業を行う前にログオンを開始したユーザだけのログオン情報をキャッシュ329に書き込むことにしている。
図5〜6は、本発明の第1の実施の形態におけるユーザのログオンの手順を表すフローチャートである。ユーザのログオンには、ドメインに参加しないローカル・ログオンとドメインに参加するドメイン・ログオンを含んでいる。図5〜6は、図面の錯綜を回避するため、ここでは2つの図に分けて記載する。PC10の電源を投入し(ブロック401)、ウィンドウズ(登録商標)が起動すると(ブロック403)、WinLogon307がディスプレイ25にWinLogonデスクトップ305画面を表示し、プライベートGINA311が該デスクトップ画面上にユーザID、パスワード、およびログオン先の入力のダイアログ309を表示する(ブロック405)。ユーザがダイアログ309に対してユーザID、パスワード、およびログオン先を入力すると(ブロック407)、プライベートGINA311はまずログオン先を判断する(ブロック409)。ローカル・ログオンであれば、後述するブロック411〜415の処理は行わず、ブロック417に進む。
ブロック409でドメイン・ログオンである場合、ユーザが入力したユーザIDをTPM57に渡す(ブロック411)。ユーザIDを受け取ったTPM57は、TPM57内部のROM109に記憶されたログオン情報管理用プログラムを実行エンジン111に呼び出し、キャッシュ・データベース315に入力されたユーザIDに対応するログオン情報を呼び出す(ブロック413)。もし、キャッシュ・データベース315内に入力されたユーザIDに対応するログオン情報が存在すれば、当該ログオン情報を受け取ったプライベートGINA311が、当該情報を当該PCのレジストリ327内のキャッシュ329に書き込む(ブロック415)。キャッシュ・データベース315内に入力されたユーザIDに対応するログオン情報が存在しなければ、キャッシュ329には何も書き込まれない。
以上の処理が完了したら、プライベートGINA311はAPI関数の一つであるWlxLoggedOutSASを呼び出すことにより、ユーザが入力したユーザID、パスワード、およびログオン先をLSA317に渡す(ブロック417)。LSA317が受け取ったユーザID、パスワード、およびログオン先は、さらにAP319に渡され、従来技術と同一のユーザの認証の処理が行われる(ブロック419)。AP319はログオン先を判断し(ブロック421)、ローカル・ログオンの場合は、AP319はSAM321が持つユーザ・アカウント・データベース323を参照する(ブロック423)。ドメイン・ログオンの場合は、まずドメイン・コントローラ325に接続を試み(ブロック425)、接続できたら当該ドメイン・コントローラに対して、ユーザが入力したパスワードが正当なものであるかどうかを照会する(ブロック427)。ウインドウズ(登録商標)では、ドメイン・ログオンの場合においてドメイン・コントローラ325に接続できなければ、キャッシュ329を参照する(ブロック429)ようになっている。入力されたユーザIDに対応するログオン情報がTPM57内のキャッシュ・データベース315に存在していれば、ブロック413〜415で対応するログオン情報がキャッシュ329に書き込まれているので、AP319はこのログオン情報をキャッシュ329で参照して認証することができる。従って、ドメイン・コントローラ325に接続できなくても、キャッシュ329の情報によってドメイン・ログオンを行うことが可能である。なお、ブロック413で入力されたユーザIDに対応するログオン情報がキャッシュ・データベース315に存在しなければ、キャッシュ329には何も書き込まれないので、ドメイン・コントローラ325に接続できない限りドメイン・ログオンはできないことになる。
ユーザの認証が成功したら(ブロック431)、ドメイン・コントローラ325に接続できたか否かにかかわらず、今回のドメイン・ログオンに係る認証が成功したことに伴う新たなログオン情報をAP319がキャッシュ329に書き込む(ブロック433)。ここで書き込まれる新たなログオン情報には、今回ドメイン・ログオンに成功したユーザIDおよびパスワード、ログオンした日時などが含まれる。その際、ブロック415で書き込まれた過去のログオン情報は、この時点では上書きしてもよいし、残してもよい。また、ローカル・ログオンの場合は、ログオン情報をキャッシュ329に書き込む必要がない。
ブロック433に続いて、プライベートGINA311は再びログオン先を判断する(ブロック435)。ローカル・ログオンであれば、後述するブロック437〜441の処理は行わず、ブロック443に進む。ブロック435でドメイン・ログオンである場合、プライベートGINA311はキャッシュ329に書き込まれた新たなログオン情報を読み取り(ブロック437)、TPM57内部のログオン情報管理用プログラムを呼び出し、読み取った新たなログオン情報をキャッシュ・データベース315に記録する(ブロック439)。この結果、TPM内部でのログオン情報の処理方法が更新された場合でも対応することができるようになる。そして、プライベートGINA311がキャッシュ329から、ブロック415で書き込まれた過去のログオン情報と、ブロック433で書き込まれた新たなログオン情報を消去する(ブロック441)。これでユーザの認証は完了し(ブロック443)、プライベートGINA311はAPI関数の一つであるWlxActivateUserShellでアプリケーション・デスクトップ301を呼び出して、ユーザは通常の作業を行うことができる。なお、ブロック431で認証が失敗したら、ブロック407の入力に戻る。
ここで、現在ログオンしているユーザがレジストリ327にアクセスし、キャッシュ329の内容を読み取ろうとしても、キャッシュ329の内容はブロック441の処理によって既に消去されているため、ログオン情報を読み取ることができない。もちろん、現在ログオンしているユーザの操作によってTPM57内部に存在するキャッシュ・データベース315にアクセスしてその内容を読み取ることもできない。従って、当該ドメインにログオンできるユーザにも、もちろんそれ以外の第三者にも、キャッシュ329を介してログオン情報を取得されることはない。しかし、本実施の形態においては、ユーザがドメイン・ログオンする際に入力したログオン情報はキャッシュ・データベース315に記録されていて、プライベートGINA311がユーザ認証を行うたびに該当するユーザのログオン情報だけをキャッシュ329に書き込むので、ドメイン・コントローラ325に接続できない環境においても従来技術と全く同じようにドメイン・ログオンが可能である。また、本実施の形態ではウィンドウズ(登録商標)のユーザのログオンにかかる処理について、GINAをカスタマイズしてプライベートGINA311として構成する点を除いて変更点はない。
図7は、本発明の第2の実施の形態にかかるPC10’のシステム構成を示す概略ブロック図である。PC10’の構成は、第1の実施の形態にかかるPC10と比べて、相違点は1箇所だけである。それは、PC10に装備されていたTPM57が存在しておらず、PC10になかったNVRAM49がLPCバス17に接続されている点である。NVRAM49は、PC10’の電源を切っても消失しないようにバッテリーでバックアップされた不揮発性(Non-Volatile)RAMであるが、詳しくは後述する。この点以外のブロックについては、PC10’の構成はPC10と同一であるので、参照番号も同一として、説明を省略する。
図8は、本発明の第2の実施の形態に供されるBIOSフラッシュROM47、NVRAM49、およびメイン・メモリ21の内部構成について示す図である。図8(A)に示すBIOSフラッシュROM47は、不揮発性で記憶内容を電気的に書き替え可能なメモリであり、システムの起動および管理に使われる基本プログラムであるシステムBIOS(SSO Shell Bios)501、電源および温度などの動作環境を管理するソフトウェアである各種ユーティリティ503、PC10’の起動時にハードウェアのテストを行うソフトウェアであるPOST(Power-On Self Test)505、本発明にかかるログオン情報管理システム507、CPU11をSMMで動作させるSMIハンドラ509、磁気ディスク装置39にアクセスするINT13Hハンドラ511などが記憶されている。
図8(B)に示すNVRAM49は、PC10’の電源を切っても消失しないように電池でバックアップされたRAMである。また、NVRAM49はリード/ライト保護が可能である。リード/ライト保護された状態では、NVRAM49は外部からの読み書きが不可能である。NVRAM49は、PC10’のデバイス・コントローラの設定情報513、およびキャッシュ・データベース515を記憶している。設定情報513の内容としては、主にディスク装置の起動順序やドライブ番号、各周辺機器の接続方法やデータ転送に関するパラメータなどがある。キャッシュ・データベース515は、ユーザIDおよびそれに対応するログオン情報を収納する。キャッシュ・データベース515は、システムBIOS501からのみアクセスが可能であり、ウィンドウズ(登録商標)およびその他のOSから記憶された内容を参照することは不可能である。
図8(C)に示すメイン・メモリ21には、PCの通常の動作で使用されるユーザ領域519の他に、SMRAM(System Management RAM)517としての領域が確保されている。システムBIOS501からSMIハンドラ509が呼び出されることによってCPU11がSMMに入ると、CPU11はシングル・タスクでの動作となり、すべての割り込みは無効とされる。さらに、SMRAM領域517はSMMで動作するCPU11のみが独占的に使用可能となる。従って、CPU11がSMMで動作している間、システムBIOS501の制御下で動作している単一のタスク以外のプログラムが動作することもなく、また当該プログラム以外のプロセスからSMRAM領域517にアクセスされることもない。
図9は、本発明の第2の実施の形態におけるユーザのログオンの仕組みを示す概念図である。PC10’の電源を投入すると、まずBIOSフラッシュROM47に記憶されたシステムBIOS501がCPU11に読み出されて実行され、PC10’に搭載されたハードウェアのセルフテストおよび初期設定が行われる。その後で、HDD39にインストールされたウィンドウズ(登録商標)がCPU11に読み出されて実行される。ウィンドウズ(登録商標)が起動されると、ウィンドウズ(登録商標)で通常作業を行なっている時に表示される画面であるアプリケーション・デスクトップ301、スクリーン・セーバーを表示するスクリーン・セーバー・デスクトップ303、ログオン画面の表示を行うWinLogonデスクトップ305、以上3つのデスクトップ画面が作成される。WinLogon307は、それらの中からWinLogonデスクトップ305をディスプレイ25に表示する。
WinLogonデスクトップ305上には、ユーザID、パスワード、およびログオン先の入力のダイアログ309がプライベートGINA311’によって表示される。プライベートGINA311’は、本実施の形態のためにカスタマイズされ、ウィンドウズ(登録商標)のコンポーネントとして登録されたGINAである。ダイアログ309で、ユーザがキーボード55を介してユーザIDおよびパスワードを入力すると、入力されたユーザIDはプライベートGINA311’から、物理メモリレジスタ・ドライバ601を介して、システムBIOS501で動作するログオン情報管理システム507に渡される。物理メモリレジスタ・ドライバ601は、システムBIOS501とウィンドウズ(登録商標)の間で情報交換を行うモジュールであり、ウィンドウズ(登録商標)のシステム・ファイル内にカーネルモード・ドライバとしてインストールされる。ウィンドウズ(登録商標)が管理しているメイン・メモリ21の論理アドレスをシステムBIOS501で解釈することは不可能であるが、物理メモリレジスタ・ドライバ601はメイン・メモリ21上の特定の物理アドレスをキープし、SMIハンドラ509を呼び出し、I/O命令を使用してCPU11のレジスタ経由でSMIを発行し、CPU11のレジスタで指定される該物理アドレスをシステムBIOS501に伝達することができる。
ログオン情報管理システム507は、渡されたユーザIDに対応するログオン情報をキャッシュ・データベース515から読み出す。システムBIOS501は、読み出されたログオン情報を伝達された該物理アドレスに格納してからCPU11のSMMでの動作を終了する。これによって、ウィンドウズ(登録商標)に当該データを渡すことができる。ここでいうメイン・メモリ21の物理アドレスは、SMRAM517領域内であっても、ユーザ領域519内であってもよい。なお、ここで説明した以外のブロックは、図4で説明した第1の実施の形態と同一であるので、参照番号も同一とし、説明を省略する。
図10〜11は、本発明の第2の実施の形態におけるユーザのログオンの手順を表すフローチャートである。図10〜11は、図面の錯綜を回避するため、ここでは2つの図に分けて記載する。PC10’の電源を投入し(ブロック701)、ウィンドウズ(登録商標)が起動すると(ブロック703)、WinLogon307がディスプレイ25にWinLogonデスクトップ305画面を表示し、プライベートGINA311’が該デスクトップ画面上にユーザID、パスワード、およびログオン先の入力のダイアログ309を表示する(ブロック705)。ユーザがダイアログ309に対してユーザID、パスワード、およびログオン先を入力すると(ブロック707)、プライベートGINA311’はまずログオン先を判断する(ブロック709)。ローカル・ログオンであれば、後述するブロック711〜715の処理は行わず、ブロック717に進む。
ブロック709でドメイン・ログオンである場合、ユーザが入力したユーザIDを物理メモリレジスタ・ドライバ601に渡す(ブロック711)。ここでCPU11はSMMに入り、システムBIOS501の制御下でログオン情報管理システム507が動作し、ユーザIDを受け取る(ブロック713)。ログオン情報管理システム507は、入力されたユーザIDに対応するログオン情報をNVRAM49内のキャッシュ・データベース515から読み出し、メイン・メモリ21上の指定されたアドレスに書き込む(ブロック713)。ここでSMMが終了してウィンドウズ(登録商標)の制御下に戻り、制御が渡されたプライベートGINA311’はログオン情報を受け取ることができる。もし、キャッシュ・データベース315内に入力されたユーザIDに対応するログオン情報が存在すれば、当該ログオン情報を受け取ったプライベートGINA311’が、当該情報を当該PCのレジストリ327内のキャッシュ329に書き込む(ブロック715)。キャッシュ・データベース315内に入力されたユーザIDに対応するログオン情報が存在しなければ、キャッシュ329には何も書き込まれない。
以上の処理が完了したら、プライベートGINA311’はAPI関数の一つであるWlxLoggedOutSASを呼び出すことにより、ユーザが入力したユーザID、パスワード、およびログオン先をLSA317に渡す(ブロック717)。LSA317が受け取ったユーザID、パスワード、およびログオン先は、さらにAP319に渡され、従来技術と同一のユーザの認証の処理が行われる(ブロック719)。AP319はログオン先を判断し(ブロック721)、ローカル・ログオンの場合は、AP319はSAM321が持つユーザ・アカウント・データベース323を参照する(ブロック723)。ドメイン・ログオンの場合は、まずドメイン・コントローラ325に接続を試み(ブロック725)、接続できたら当該ドメイン・コントローラに対して、ユーザが入力したパスワードが正当なものであるかどうかを照会する(ブロック727)。ドメイン・ログオンの場合でドメイン・コントローラ325に接続できなければ、キャッシュ329を参照する(ブロック729)。入力されたユーザIDに対応するログオン情報がTPM57内のキャッシュ・データベース315に存在していれば、ブロック713〜715で対応するログオン情報がキャッシュ329に書かれているので、AP319はこのログオン情報をキャッシュ329で参照することができる。従って、ドメイン・コントローラ325に接続できなくても、キャッシュ329の情報によってドメイン・ログオンを行うことが可能である。なお、ブロック713で入力されたユーザIDに対応するログオン情報が存在しなければ、キャッシュ329には何も書き込まれないので、ドメイン・コントローラ325に接続できなければドメイン・ログオンはできない。
ユーザの認証が成功したら(ブロック731)、ドメイン・コントローラ325に接続できたか否かにかかわらず、今回のドメイン・ログオンに係る認証が成功したことに伴う新たなログオン情報をAP319がキャッシュ329に書き込む(ブロック733)。ここで書き込まれる新たなログオン情報には、今回ドメイン・ログオンに成功したユーザIDおよびパスワード、ログオンした日時などが含まれる。その際、ブロック715で書き込まれた過去のログオン情報は、上書きしてもよいし、残してもよい。また、ローカル・ログオンの場合は、ログオン情報をキャッシュ329に書き込むこと自体がない。
プライベートGINA311’は、再びログオン先を判断する(ブロック735)。ローカル・ログオンであれば、後述するブロック737〜741の処理は行わず、ブロック743に進む。ブロック735でドメイン・ログオンである場合、プライベートGINA311’はキャッシュ329に書き込まれた新たなログオン情報を読み取り(ブロック737)、読み取った新たなログオン情報をブロック711と同じように物理メモリレジスタ・ドライバ601を介してログオン情報管理システム507に渡し(ブロック738)、NVRAM49内のキャッシュ・データベース515に記録させる(ブロック739)。そして、プライベートGINA311’がキャッシュ329から、ブロック715で書き込まれた過去のログオン情報と、ブロック733で書き込まれた新たなログオン情報を消去する(ブロック741)。これでユーザの認証は完了し(ブロック743)、プライベートGINA311’はAPI関数の一つであるWlxActivateUserShellでアプリケーション・デスクトップ301を呼び出して、ユーザは通常の作業を行うことができる。なお、ブロック731で認証が失敗したら、ブロック707の入力に戻る。
以上の説明からわかるように、本実施の形態では、PC10’が一般的に備えるBIOSフラッシュROM47およびNVRAM49を利用することにより、TPM57などのような特別なハードウェアを必要とせずに、ユーザの操作によってキャッシュ・データベース515にアクセスしてその内容を読み取ることをできないようにすることができる。ソフトウェアについても、ウィンドウズ(登録商標)に対してGINAをカスタマイズしてプライベートGINA311’として構成し、物理メモリレジスタ・ドライバ601をインストールすることを除いては変更する必要はない。もちろん、キャッシュ329の内容が消去されるため、当該ドメインにログオンできるユーザにも、もちろんそれ以外の第三者にも、キャッシュ329を介してログオン情報を取得されることはない点は、第1の実施の形態と同じである。
図12は、ドメイン・ログオンにおけるログオン情報のレジストリ327への書き込みおよび消去のタイミングを示す概念図である。同図では、各々のブロックが実行される時系列の順に昇順で参照番号を付与している。図12(A)は、第1および第2の実施の形態でのタイミングを示している。左から順に、ウィンドウズ(登録商標)の状態およびユーザの操作、プライベートGINA311または311’の動作、およびキャッシュ329の状態を示す。ウィンドウズ(登録商標)が起動され(ブロック801)、ディスプレイ25にWinLogonデスクトップ305が表示されると(ブロック802)、ユーザが入力したユーザID、パスワード、およびログオン先を受け付けたプライベートGINA311または311’は、キャッシュ・データベース315または515から当該ユーザのログオン情報を呼び出して、キャッシュ329に当該ログオン情報を書き込む(ブロック803)。そしてプライベートGINA311または311’は、API関数WlxLoggedOutSASを呼び出すことにより、ドメイン・ログオンを開始する(ブロック804)。
キャッシュ329に存在するログオン情報によってドメイン・ログオンに係る当該ユーザの認証が完了したら(ブロック805)、プライベートGINA311または311’はキャッシュ329から全てのログオン情報を消去する(ブロック806)。そしてプライベートGINA311または311’は、API関数WlxActivateUserShellでアプリケーション・デスクトップ301を呼び出す(ブロック807〜808)。これで、ユーザはPC10またはPC10‘においてドメインのネットワーク資源を利用しながら作業を行うことができる。ユーザが作業をしている間は、キャッシュ329にはいかなるユーザのログオン情報も残っていないので、パスワード攻撃に対する耐性が強化されたことになる。ユーザが作業を終了し、ログオフの操作をしたら(ブロック809)、プライベートGINA311または311’はAPI関数WlxIsLogoffOKを呼び出し、ログオフの動作を行う(ブロック810)。ユーザがログオフした後で当該PC10または10’の電源を切っても、キャッシュ329にはログオン情報が存在していないのでPC10またはPC10’やそれらに搭載されている磁気ディスク装置が盗まれても、システム・ファイルからログオン情報を読み取ることは不可能である。
図12(A)で説明した第1および第2の実施の形態では、ログオン情報はユーザの認証が成功した直後のブロック806で消去されるので、ブロック803〜806の間だけしかキャッシュ329に存在しない。ログオンしているユーザが自らの操作でキャッシュ329からログオン情報を読み取ることができるのはブロック808〜809の間であるが、その時点ではブロック806で示した処理が既に完了し、キャッシュ329から全てのログオン情報は消去されている。このことは、万一ログオンしているユーザがキャッシュ329からログオン情報を読み取ろうとしても、不可能であるということを意味する。また、ログオン情報がキャッシュ329に存在しないことによってOSおよびアプリケーションの動作に不具合を生ずる場面は少ない。
しかし、一部の電子メール・クライアントなどのアプリケーションで、キャッシュ329に書き込まれた現在ログオンしているユーザに関するログオン情報を参照して使用するものがある。たとえば、SSPI(Security Support Provider Interface)を利用して、アプリケーションがクライアント−サーバ間の通信を行うときに、クライアントおよびサーバそれぞれの正当性を確認し、通信されるデータの機密性と完全性を保証するために、キャッシュ329に記録されたログオン情報を利用して認証を行う場合がある。そのような場合、現在ログオンしているユーザのログオン情報がキャッシュ329に記録されていないと、認証を必要とするアプリケーションが動作しないことになる。
この問題を、ログオン情報の消去をユーザの認証が成功した直後ではなく、ユーザがログオフする時に行うようにすることで解決する方法がある。図12(B)は、ログオン情報を消去するタイミングをそのように変更した、第1および第2の実施の形態の変型について示している。この実施の形態の変型は、ログオン情報を消去するタイミングを変更することを除いては、第1および第2の実施の形態と全く同じであるので、ハードウェアおよびソフトウェアの構成、およびアルゴリズムなどについての説明を省略する。また、図12(B)の構成は図12(A)と同じである。ウィンドウズ(登録商標)が起動され(ブロック851)、ディスプレイ25にWinLogonデスクトップ305が表示されると(ブロック852)、ユーザが入力したユーザID、パスワード、およびログオン先を受け付けたプライベートGINA311または311’は、キャッシュ・データベース315または515から当該ユーザのログオン情報を呼び出して、キャッシュ329に当該ログオン情報を書き込む(ブロック853)。そしてプライベートGINA311または311’は、API関数WlxLoggedOutSASを呼び出すことにより、ドメイン・ログオンを開始する(ブロック854)。
キャッシュ329に存在するログオン情報によってドメイン・ログオンに係る当該ユーザの認証が完了したら(ブロック855)、プライベートGINA311または311’は、API関数WlxActivateUserShellでアプリケーション・デスクトップ301を呼び出す(ブロック856〜857)。これで、ユーザは作業を行うことができる。ユーザが作業を終了し、ログオフの操作をしたら(ブロック858)、プライベートGINA311または311’はキャッシュ329から全てのログオン情報を消去する(ブロック859)。そしてプライベートGINA311または311’はAPI関数WlxIsLogoffOKを呼び出し、ログオフの作業を行う(ブロック860)。ユーザをログオフした後で当該PC10または10’の電源を切っても、その時点でキャッシュ329に存在していないログオン情報が、システム・ファイルとして保存されることがないので、当該システム・ファイルからログオン情報を読み取ることは不可能である。
この実施の形態の変型によると、ログオン情報は当該ログオン情報に関連するユーザがログオフする直後のブロック859で消去されるので、キャッシュ329にはブロック853〜859の間だけログオン情報が存在する。それに対して、ログオンしているユーザが自らの操作でキャッシュ329から情報を読み取ることができるのはブロック857〜858の間であるので、該ユーザは自らの操作でログオン情報を読み取ることができることになる。しかし、ブロック853でキャッシュ329に書き込まれるログオン情報は、ログオンしているユーザ自身のログオン情報だけである。その他のユーザのログオン情報は、ユーザの操作によってアクセスできないキャッシュ・データベース315または515の中にだけ存在し、キャッシュ329には書き込まれない。つまり、ログオンしているユーザがキャッシュ329から読み取ることができる情報は、既知である自分自身のユーザIDおよびパスワードだけであり、その他のユーザのログオン情報を取得することはできない。もちろん、現在ログオンしているユーザのログオン情報が、当該ドメインにログオンできる他のユーザにも、それら以外の第三者にも、キャッシュ329を介して取得されることはない。その一方で、ログオンしているユーザ自身のログオン情報はキャッシュ329に存在するので、SSPIを利用して認証を行う必要のあるアプリケーションが動作しなくなることはない。
前述の通り、従来技術でキャッシュに保存されるログオン情報は、過去に成功したドメイン・ログオンについて、0回〜50回の範囲で設定された回数だけ保存される。これはウィンドウズ(登録商標)の仕様として決められていることであるので、これ以外の条件でログオン情報の保存を設定することはできない。しかし本実施の形態ではログオン情報をウィンドウズ(登録商標)の仕様に基づいてキャッシュに保存する必要がないので、ログオン情報の保存条件を自由に設定することができる。たとえば、過去に成功したドメイン・ログオンについて、TPM57またはNVRAM49の記憶容量の許す限り、51回以上何回分でも保存する回数を設定することが可能である。また、回数以外の条件を設定することもできる。たとえば「過去1ヶ月以内に成功したドメイン・ログオン」などのように、日時によって保存するログオン情報の条件を設定してもよい。また、複数の条件を組み合わせて設定することもできる。もちろん、保存する条件を変えても、ログオン情報は全てユーザが自らの操作で読み取ることができないTPM57またはNVRAM49の中に保存されるので、安全性が損なわれることはない。
これまで本発明について図面に示した特定の実施の形態をもって説明してきたが、本発明は図面に示した実施の形態に限定されるものではなく、本発明の効果を奏する限り、これまで知られたいかなる構成であっても採用することができることは言うまでもないことである。
ウィンドウズ(登録商標)をOSとし、ドメインに参加するコンピュータに対して利用可能である。
10,10’ PC
11 CPU
21 メイン・メモリ
47 BIOSフラッシュROM
49 NVRAM
57 TPM(Trusted Platform Module)
103 不揮発性RAM(TPM内)
109 ROM(TPM内)
111 実行エンジン(TPM内)
113 乱数発生器(TPM内)
311,311’ プライベートGINA(Graphical Identification and Authentication)
315 キャッシュ・データベース
325 ドメイン・コントローラ
327 レジストリ
329 キャッシュ
501 システムBIOS
507 ログオン情報管理システム
515 キャッシュ・データベース
601 物理メモリレジスタ・ドライバ
11 CPU
21 メイン・メモリ
47 BIOSフラッシュROM
49 NVRAM
57 TPM(Trusted Platform Module)
103 不揮発性RAM(TPM内)
109 ROM(TPM内)
111 実行エンジン(TPM内)
113 乱数発生器(TPM内)
311,311’ プライベートGINA(Graphical Identification and Authentication)
315 キャッシュ・データベース
325 ドメイン・コントローラ
327 レジストリ
329 キャッシュ
501 システムBIOS
507 ログオン情報管理システム
515 キャッシュ・データベース
601 物理メモリレジスタ・ドライバ
Claims (18)
- ドメイン・コントローラと、ウィンドウズ(登録商標)をオペレーティング・システムとして動作するクライアント・コンピュータとを含むネットワーク環境において、前記クライアント・コンピュータにおいてユーザがドメイン・ログオンをする方法であって、
前記ネットワーク環境にユーザ識別情報と該ユーザ識別情報に対応したドメイン・パスワード情報を格納したセキュアな記憶領域を提供するステップと、
前記ウィンドウズ(登録商標)の第1のモジュールがユーザの入力するユーザ識別情報およびドメイン・パスワードを受け取るステップと、
前記セキュアな記憶領域に格納され前記ユーザ識別情報に対応したドメイン・パスワード情報を前記コンピュータが前記ウィンドウズ(登録商標)のレジストリに書き込むステップと、
前記受け取ったドメイン・パスワードと前記レジストリに書き込まれたドメイン・パスワード情報に基づいて前記ウインドウズ(登録商標)の第2のモジュールがドメイン・ログオンに係る認証を行うステップと、
前記認証を行うステップの後に前記第1のモジュールが前記ドメイン・パスワード情報を前記レジストリから消去するステップと
を有するドメイン・ログオンの方法。 - 前記セキュアな記憶領域が前記ネットワーク環境または前記クライアント・コンピュータの内部に提供される請求項1記載のドメイン・ログオンの方法。
- 前記セキュアな記憶領域が前記クライアント・コンピュータのTPM(Trusted Platform Module)の内部に提供される請求項2記載のドメイン・ログオンの方法。
- 前記セキュアな記憶領域が前記クライアント・コンピュータのBIOSからのみ参照可能な不揮発性メモリの内部に提供される請求項2記載のドメイン・ログオンの方法。
- 前記セキュアな記憶領域が記憶している前記ユーザ識別情報および該ユーザ識別情報に対応したドメイン・パスワード情報が、前記クライアント・コンピュータにおいて過去にドメイン・ログオンに成功したユーザのユーザ識別情報および該ユーザ識別情報に対応したドメイン・パスワード情報を含む請求項1記載のドメイン・ログオンの方法。
- 前記ドメイン・パスワード情報を前記レジストリから消去するステップが、前記ユーザが入力したドメイン・パスワードから生成したドメイン・パスワード情報を前記セキュアな記憶領域に書き込むステップを含む請求項1記載のドメイン・ログオンの方法。
- 前記ドメイン・パスワード情報を前記レジストリから消去するステップが、前記認証されたユーザがログオフされるタイミングに実行される請求項1記載のドメイン・ログオンの方法。
- 前記ドメイン・パスワード情報を前記レジストリから消去するステップが、前記認証を完了したタイミングに実行される請求項1記載のドメイン・ログオンの方法。
- 前記第1のモジュールがGINA(Graphical Identification and Authentication)で、前記第2のモジュールがAP(Authentication Package)である請求項1記載のドメイン・ログオンの方法。
- ドメイン・コントローラと、ウィンドウズ(登録商標)をオペレーティング・システムとして動作するクライアント・コンピュータとを含むネットワーク環境において、前記クライアント・コンピュータにおいてユーザがドメイン・ログオンをする方法であって、
前記ネットワーク環境にユーザ識別情報と該ユーザ識別情報に対応したドメイン・パスワード情報を格納したセキュアな記憶領域を提供するステップと、
前記ウィンドウズ(登録商標)の第1のモジュールが前記ユーザの入力するユーザ識別情報およびドメイン・パスワードを受け取るステップと、
前記セキュアな記憶領域に格納され前記ユーザ識別情報に対応したドメイン・パスワード情報を前記コンピュータが前記ウィンドウズ(登録商標)のレジストリに書き込むステップと、
前記ウインドウズ(登録商標)の第2のモジュールが前記ドメイン・コントローラに対して接続を試行するステップと、
前記第2のモジュールが、前記ドメイン・コントローラに対して接続が成功したときには前記ドメイン・コントローラに対して前記ユーザ識別情報および前記ドメイン・パスワードを照会することによってドメイン・ログオンに係る認証を行い、前記ドメイン・コントローラに対して接続が失敗したときには前記受け取ったドメイン・パスワードと前記レジストリに書き込まれたドメイン・パスワード情報に基づいてドメイン・ログオンに係る認証を行うステップと、
前記認証を行うステップの後に前記第1のモジュールが前記ドメイン・パスワード情報を前記レジストリから消去するステップと
を有するドメイン・ログオンの方法。 - ウィンドウズ(登録商標)をオペレーティング・システムとして動作し、ドメイン・コントローラを含むネットワーク環境に接続可能なコンピュータであって、
ユーザ識別情報と該ユーザ識別情報に対応したドメイン・パスワード情報を格納したセキュアな記憶手段と、
ユーザがユーザ識別情報とドメイン・パスワードを入力する入力手段と、
前記セキュアな記憶手段に格納され前記ユーザ識別情報に対応したドメイン・パスワード情報を前記ウィンドウズ(登録商標)のレジストリに書き込む書き込み手段と、
入力された前記ドメイン・パスワードと前記レジストリに書き込まれたドメイン・パスワード情報に基づいてドメイン・ログオンに係る認証をする認証手段と、
前記ドメイン・ログオンに係る認証が行われた後に前記ドメイン・パスワード情報を前記レジストリから消去する消去手段と
を有するコンピュータ。 - 前記セキュアな記憶手段が、TPM(Trusted Platform Module)を含む請求項11記載のコンピュータ。
- 前記セキュアな記憶手段がBIOSからのみ参照可能な不揮発性メモリを含む請求項11記載のコンピュータ。
- 前記書き込み手段がGINA(Graphical Identification and Authentication)を含む請求項11記載のコンピュータ。
- 前記消去手段がGINA(Graphical Identification and Authentication)を含む請求項11記載のコンピュータ。
- ウィンドウズ(登録商標)をオペレーティング・システムとして動作し、ドメイン・コントローラを含むネットワーク環境に接続可能なコンピュータであって、
ユーザ識別情報と該ユーザ識別情報に対応したドメイン・パスワード情報を格納したセキュアな記憶手段と、
ユーザがユーザ識別情報とドメイン・パスワードを入力する入力手段と、
前記セキュアな記憶手段に格納され前記ユーザ識別情報に対応したドメイン・パスワード情報を前記ウィンドウズ(登録商標)のレジストリに書き込む書き込み手段と、
前記ドメイン・コントローラに対して接続を試行する接続手段と、
前記接続手段が、前記ドメイン・コントローラに対して接続が成功したときには前記ドメイン・コントローラに対して前記ユーザ識別情報および前記ドメイン・パスワードを照会することによってドメイン・ログオンに係る認証を行い、前記ドメイン・コントローラに対して接続が失敗したときには入力された前記ドメイン・パスワードと前記レジストリに書き込まれたドメイン・パスワード情報に基づいてドメイン・ログオンに係る認証を行う認証手段と、
前記ドメイン・ログオンに係る認証が行われた後に前記ドメイン・パスワード情報を前記レジストリから消去する消去手段と
を有するコンピュータ。 - ウィンドウズ(登録商標)をオペレーティング・システムとして動作し、コントローラを含むネットワーク環境に接続可能コンピュータであって、
プロセッサと、
ユーザ識別情報と該ユーザ識別情報に対応したドメイン・パスワード情報を格納したセキュアな記憶装置と、
プログラムを格納した記憶媒体とを有し、
前記プログラムは前記プロセッサに
ユーザの入力するユーザ識別情報とドメイン・パスワードを受け取るステップと、
前記セキュアな記憶装置に格納され前記ユーザ識別情報に対応したドメイン・パスワード情報を前記ウィンドウズ(登録商標)のレジストリに書き込むステップと、
前記受け取ったドメイン・パスワードと前記レジストリに書き込まれたドメイン・パスワード情報に基づいてドメイン・ログオンに係る認証を行うステップと、
前記認証をするステップの後に前記ドメイン・パスワード情報を前記レジストリから消去するステップとを実行させる
コンピュータ。 - ウィンドウズ(登録商標)をオペレーティング・システムとして動作し、ドメイン・コントローラを含むネットワーク環境に接続可能コンピュータであって、
プロセッサと、
ユーザ識別情報と該ユーザ識別情報に対応したドメイン・パスワード情報を格納したセキュアな記憶装置と、
プログラムを格納した記憶媒体とを有し、
前記プログラムは前記プロセッサに
ユーザの入力するユーザ識別情報およびドメイン・パスワードを受け取るステップと、
前記セキュアな記憶装置に格納され前記ユーザ識別情報に対応したドメイン・パスワード情報を前記ウィンドウズ(登録商標)のレジストリに書き込むステップと、
前記ドメイン・コントローラに対して接続を試行するステップと、
前記ドメイン・コントローラに対して接続が成功したときには前記ドメイン・コントローラに対して前記ユーザ識別情報および前記ドメイン・パスワードを照会することによってドメイン・ログオンに係る認証を行うステップと、
前記ドメイン・コントローラに対して接続が失敗したときには前記受け取ったドメイン・パスワードと前記レジストリに書き込まれたドメイン・パスワード情報に基づいてドメイン・ログオンに係る認証を行うステップと、
前記認証を行うステップの後に前記ドメイン・パスワード情報を前記レジストリから消去するステップとを実行させる
コンピュータ。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/621,288 US20080168545A1 (en) | 2007-01-09 | 2007-01-09 | Method for Performing Domain Logons to a Secure Computer Network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008171389A true JP2008171389A (ja) | 2008-07-24 |
Family
ID=39595441
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007257116A Pending JP2008171389A (ja) | 2007-01-09 | 2007-10-01 | ドメイン・ログオンの方法、およびコンピュータ |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20080168545A1 (ja) |
| JP (1) | JP2008171389A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8255725B2 (en) | 2009-04-28 | 2012-08-28 | Kabushiki Kaisha Toshiba | Information processing apparatus and power-saving control method |
| JP5025813B1 (ja) * | 2011-07-01 | 2012-09-12 | 株式会社東芝 | 情報処理装置、情報処理方法及びプログラム |
| WO2020179344A1 (ja) * | 2019-03-05 | 2020-09-10 | 日立オートモティブシステムズ株式会社 | 車両制御装置 |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5319375B2 (ja) * | 2009-04-14 | 2013-10-16 | オリンパス株式会社 | 無線通信端末および無線ネットワークの接続設定方法 |
| JP5381329B2 (ja) * | 2009-05-26 | 2014-01-08 | 株式会社リコー | 画像形成装置、認証システム、認証制御方法、及び認証制御プログラム |
| US9160545B2 (en) * | 2009-06-22 | 2015-10-13 | Beyondtrust Software, Inc. | Systems and methods for A2A and A2DB security using program authentication factors |
| US20100325687A1 (en) * | 2009-06-22 | 2010-12-23 | Iverson Gyle T | Systems and Methods for Custom Device Automatic Password Management |
| US8863253B2 (en) | 2009-06-22 | 2014-10-14 | Beyondtrust Software, Inc. | Systems and methods for automatic discovery of systems and accounts |
| US8955079B2 (en) * | 2011-10-31 | 2015-02-10 | Avaya Inc. | Single sign-on for applications |
| US9680873B1 (en) * | 2014-06-30 | 2017-06-13 | Bromium, Inc. | Trusted network detection |
| US9753793B2 (en) | 2014-06-30 | 2017-09-05 | Intel Corporation | Techniques for handling errors in persistent memory |
| JP6476760B2 (ja) * | 2014-10-31 | 2019-03-06 | 株式会社リコー | 情報処理システム、情報処理装置、ログイン方法、及びプログラム |
| US10523635B2 (en) * | 2016-06-17 | 2019-12-31 | Assured Information Security, Inc. | Filtering outbound network traffic |
| US10977361B2 (en) | 2017-05-16 | 2021-04-13 | Beyondtrust Software, Inc. | Systems and methods for controlling privileged operations |
| US10587611B2 (en) * | 2017-08-29 | 2020-03-10 | Microsoft Technology Licensing, Llc. | Detection of the network logon protocol used in pass-through authentication |
| US11528149B2 (en) | 2019-04-26 | 2022-12-13 | Beyondtrust Software, Inc. | Root-level application selective configuration |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030065940A1 (en) * | 2001-01-08 | 2003-04-03 | Brezak John E. | Credential management |
| JP2005303993A (ja) * | 2004-04-09 | 2005-10-27 | Microsoft Corp | クレデンシャルローミングのためのシステムおよび方法 |
| JP2005353053A (ja) * | 2004-05-28 | 2005-12-22 | Symbol Technologies Inc | 携帯装置のクレデンシャル管理を行う方法及び装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030061494A1 (en) * | 2001-09-26 | 2003-03-27 | Girard Luke E. | Method and system for protecting data on a pc platform using bulk non-volatile storage |
| US20050114686A1 (en) * | 2003-11-21 | 2005-05-26 | International Business Machines Corporation | System and method for multiple users to securely access encrypted data on computer system |
-
2007
- 2007-01-09 US US11/621,288 patent/US20080168545A1/en not_active Abandoned
- 2007-10-01 JP JP2007257116A patent/JP2008171389A/ja active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030065940A1 (en) * | 2001-01-08 | 2003-04-03 | Brezak John E. | Credential management |
| JP2005303993A (ja) * | 2004-04-09 | 2005-10-27 | Microsoft Corp | クレデンシャルローミングのためのシステムおよび方法 |
| JP2005353053A (ja) * | 2004-05-28 | 2005-12-22 | Symbol Technologies Inc | 携帯装置のクレデンシャル管理を行う方法及び装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8255725B2 (en) | 2009-04-28 | 2012-08-28 | Kabushiki Kaisha Toshiba | Information processing apparatus and power-saving control method |
| JP5025813B1 (ja) * | 2011-07-01 | 2012-09-12 | 株式会社東芝 | 情報処理装置、情報処理方法及びプログラム |
| WO2020179344A1 (ja) * | 2019-03-05 | 2020-09-10 | 日立オートモティブシステムズ株式会社 | 車両制御装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20080168545A1 (en) | 2008-07-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4982825B2 (ja) | コンピュータおよび共有パスワードの管理方法 | |
| US8909940B2 (en) | Extensible pre-boot authentication | |
| JP2008171389A (ja) | ドメイン・ログオンの方法、およびコンピュータ | |
| US8201239B2 (en) | Extensible pre-boot authentication | |
| JP4709992B2 (ja) | 認証パスワードの格納方法、生成方法、ユーザの認証方法、およびコンピュータ | |
| EP2583410B1 (en) | Single-use authentication methods for accessing encrypted data | |
| JP4837985B2 (ja) | 信頼できる処理モジュールを有するコンピュータを安全にブートするためのシステムおよび方法 | |
| KR101263061B1 (ko) | 점대점 상호연결 시스템 상에서의 보안 환경 초기화 명령의실행 | |
| US20170230179A1 (en) | Password triggered trusted encrytpion key deletion | |
| JP5390703B2 (ja) | 隠れ実行環境における整合性検証及び証明の提供 | |
| JP5724118B2 (ja) | 保護デバイス管理 | |
| JP4279856B2 (ja) | 情報の転送方法、およびコンピュータ | |
| JP4848458B2 (ja) | 永続的セキュリティシステム及び永続的セキュリティ方法 | |
| JP5346608B2 (ja) | 情報処理装置およびファイル検証システム | |
| US10853086B2 (en) | Information handling systems and related methods for establishing trust between boot firmware and applications based on user physical presence verification | |
| US20090307451A1 (en) | Dynamic logical unit number creation and protection for a transient storage device | |
| US7765407B2 (en) | Method and apparatus for providing centralized user authorization to allow secure sign-on to a computer system | |
| KR20190062797A (ko) | 클라우드 서비스를 사용하는 사용자 단말기, 단말기의 보안 통합 관리 서버 및 단말기의 보안 통합 관리 방법 | |
| JP4724107B2 (ja) | リムーバブル・デバイスを用いたユーザの認証方法およびコンピュータ | |
| US11960737B2 (en) | Self-deploying encrypted hard disk, deployment method thereof, self-deploying encrypted hard disk system and boot method thereof | |
| US11757648B2 (en) | System and method for remote startup management | |
| CN115935363A (zh) | 计算设备的安全支配权 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101130 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110112 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110121 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110201 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110121 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130402 |