JP2009223787A - Information processor and processing method, and program - Google Patents

Information processor and processing method, and program Download PDF

Info

Publication number
JP2009223787A
JP2009223787A JP2008069849A JP2008069849A JP2009223787A JP 2009223787 A JP2009223787 A JP 2009223787A JP 2008069849 A JP2008069849 A JP 2008069849A JP 2008069849 A JP2008069849 A JP 2008069849A JP 2009223787 A JP2009223787 A JP 2009223787A
Authority
JP
Japan
Prior art keywords
data
write
storage
area
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008069849A
Other languages
Japanese (ja)
Inventor
Koji Nakayama
晃治 中山
Original Assignee
Hitachi Software Eng Co Ltd
日立ソフトウエアエンジニアリング株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Software Eng Co Ltd, 日立ソフトウエアエンジニアリング株式会社 filed Critical Hitachi Software Eng Co Ltd
Priority to JP2008069849A priority Critical patent/JP2009223787A/en
Publication of JP2009223787A publication Critical patent/JP2009223787A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a function of completely erasing data cached on a secondary storage device when shut down, and completely preventing remaining data from being used illegally, and information from spreading. <P>SOLUTION: An access to the secondary storage device by an application on an OS used by a user is redirected to a specified cache area, and the specified cache area is erased from the OS operating in an environment isolated from the OS used by the user, and securing a legitimate operation inoperable directly by the user, just after shutting down the OS used by the user. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

本発明は、揮発性の主記憶装置と不揮発性の二次記憶装置を有し、二次記憶装置に対するアクセスを制御する情報処理装置及び方法、並びにプログラムに関する。   The present invention relates to an information processing apparatus and method, and a program, which have a volatile main storage device and a nonvolatile secondary storage device, and control access to the secondary storage device.
ファイルサーバに保管されている重要データが利用者端末から拡散するのを防ぐためのシステムとして、シンクライアントシステムが考案されている。シンクライアントシステムは、端末内に不揮発性の二次記憶装置を装備しない端末(ディスクレスPC)を使用するのが一般的であるが、書き込みを制御した不揮発性の二次記憶装置を備えるPCをシンクライアント端末として使用するシステムも存在する。   A thin client system has been devised as a system for preventing important data stored in a file server from spreading from user terminals. A thin client system generally uses a terminal (diskless PC) that is not equipped with a non-volatile secondary storage device in the terminal. However, the thin client system uses a thin PC with a non-volatile secondary storage device that controls writing. Some systems are used as client terminals.
しかし、二次記憶装置を装備しない端末を使ったシンクライアントシステムでは、専用サーバやブレード、及び、高速なネットワークの存在が前提となるため、新たにシステムを構築する際、インフラ設備に莫大なコストがかかる問題がある。   However, a thin client system using a terminal without a secondary storage device is premised on the existence of dedicated servers, blades, and a high-speed network. There is a problem that takes.
このようなシンクライアントの問題を解決するために、例えば、特許文献1では、二次記憶装置(不揮発性メモリ)を持つ端末において、アプリケーションから二次記憶装置へ書き込みが発生した場合、その書き込みを主記憶装置(揮発性メモリ)上へリダイレクトすることで、二次記憶装置への書き込みを制限し、擬似的に二次記憶を持たない端末を実現している。これらのシステムによれば、ファイルサーバに保管されている重要データが拡散するのを防止することに加え、利用者による不適切なOS設定変更や、アプリケーションのインストールを防止することも可能である。   In order to solve such a problem of the thin client, for example, in Patent Document 1, in a terminal having a secondary storage device (nonvolatile memory), when a write occurs from an application to the secondary storage device, the write is performed. By redirecting to the main storage device (volatile memory), writing to the secondary storage device is limited, and a terminal that does not have a pseudo secondary storage is realized. According to these systems, in addition to preventing the important data stored in the file server from spreading, it is also possible to prevent an inappropriate OS setting change and application installation by the user.
また、特許文献1のシステムは、不揮発性の二次記憶装置への書き込みを、揮発性の主記憶装置中にリダイレクトすることで、二次記憶装置への書き込みを制限している。もし主記憶装置上の容量が不足した場合は、二次記憶装置上の暗号スワップ領域へデータをスワップする。そして、暗号鍵を揮発性の主記憶装置上へ保存しておき、シャットダウンと同時に暗号鍵が自動で消去され暗号スワップ領域のキャッシュデータが使用不能となることを想定して、残留データの悪用及び情報拡散を防止している。   Further, the system of Patent Document 1 restricts writing to the secondary storage device by redirecting writing to the nonvolatile secondary storage device into the volatile main storage device. If the capacity on the main storage device is insufficient, the data is swapped to the encryption swap area on the secondary storage device. Then, the encryption key is stored on the volatile main storage device, and it is assumed that the encryption key is automatically deleted at the same time as the shutdown and the cache data in the encryption swap area becomes unusable. Information diffusion is prevented.
特開2007−172063号公報JP 2007-172063 A
しかしながら、特許文献1に示されるシステムおいては、暗号化されているとはいえ不揮発性の二次記憶装置上にデータが残ることは問題である。なぜなら、暗号化は破られる可能性があり、破られ難くすればパフォーマンスが著しく低下するためである。単純な解決策として、スワップデータを消去するモジュールを組み込むことが考えられるが、OSがクラッシュしてしまった場合は消去の保障はできない。そこで、シャットダウン時に不揮発性の二次記憶装置上のキャッシュデータを完全消去するための手段が必要となってくる。   However, in the system disclosed in Patent Document 1, it is a problem that data remains on the non-volatile secondary storage device although it is encrypted. This is because the encryption may be broken, and if it is difficult to break, the performance is significantly reduced. As a simple solution, it is conceivable to incorporate a module for erasing swap data, but if the OS crashes, erasure cannot be guaranteed. Therefore, a means for completely erasing the cache data on the nonvolatile secondary storage device at the time of shutdown is required.
本発明はこのような状況に鑑みてなされたものであり、二次記憶装置上にキャッシュされたデータをシャットダウン時に完全に消去し、残留データの悪用及び情報拡散を完全に防止することのできる機能を開示するものである。   The present invention has been made in view of such a situation, and the function of completely erasing data cached on the secondary storage device at the time of shutdown and completely preventing misuse of residual data and information diffusion. Is disclosed.
上記課題を解決するために、本発明では、不揮発性の二次記憶装置を備える情報端末において、シャットダウン時に端末上にキャッシュされたデータを確実に消去するための機能を開示している。   In order to solve the above-described problems, the present invention discloses a function for reliably erasing data cached on a terminal at the time of shutdown in an information terminal including a non-volatile secondary storage device.
本発明における情報端末の構成は、一般的な情報端末が備えるCPU、主記憶装置、入出力装置、ネットワークデバイス、二次記憶装置の他に、利用者が使用するOS(以後、ゲストOSと呼ぶ)と、ゲストOSのバックグラウンドで動作するOS(以後、管理OSと呼ぶ)が同時に動作できるための仮想化ハードウェア環境を備え、かつ、管理OS及び管理OS上で動作するアプリケーションが不正改竄されていないことを保障するセキュリティチップを備える。前記CPUは仮想化に対応した設計になっている場合も考えられる。ゲストOS内には書き込み制御モジュールが備わっており、ゲストOSによる二次記憶装置への書き込みを、特定のキャッシュ領域にリダイレクトする。また、管理OS内には、消去モジュールが備わっており、端末のシャットダウン時に前記特定のキャッシュ領域を消去する。   The configuration of the information terminal according to the present invention includes a CPU, a main storage device, an input / output device, a network device, and a secondary storage device provided in a general information terminal, as well as an OS used by a user (hereinafter referred to as a guest OS). ) And an operating system operating in the background of the guest OS (hereinafter referred to as a management OS), and the management OS and the application operating on the management OS have been tampered with. It is equipped with a security chip that ensures that it is not. The CPU may be designed to support virtualization. A write control module is provided in the guest OS, and the write to the secondary storage device by the guest OS is redirected to a specific cache area. In addition, the management OS includes an erasure module, which erases the specific cache area when the terminal is shut down.
この時、ゲストOSと管理OSは別パーティションで区切られており、互いの動作は影響しないため、ゲストOS上で何らかの問題が起きた場合でも、管理OS上の消去モジュールによる特定のキャッシュ領域の消去は保障される。   At this time, since the guest OS and the management OS are separated by different partitions and their operations are not affected, even if a problem occurs on the guest OS, the specific cache area is deleted by the deletion module on the management OS. Is guaranteed.
即ち、本発明は、不揮発性の二次記憶装置に対するアクセスを管理する情報処理装置に関し、二次記憶装置において、データの書込みが禁止される書込み禁止領域と、データの書込みは許される書込み許可領域とに分けて各領域を管理する領域管理手段と、二次記憶装置への書込みが指示されたデータを書込み許可領域にのみ書込み処理する書込み制御手段と、情報処理装置のシャットダウン時に、書込み許可領域に書き込まれたデータを消去するデータ消去手段と、を備えている。当該情報処理装置は、さらに、情報処理装置のシャットダウンが発生したかを監視し、データ消去手段にシャットダウンの発生を通知する監視手段を備える。そして、データ消去手段は、監視手段によるシャットダウンの通知に対応して書込み許可領域に書き込まれたデータを消去する。当該情報処理装置は、さらに、揮発性の主記憶装置を備え、書込み制御手段は、二次記憶装置への書込みが指示されたデータをリダイレクトして主記憶装置に記憶し、主記憶装置に記憶できない場合に、書込み許可領域に書込み指示がされたデータを書き込む。   That is, the present invention relates to an information processing apparatus that manages access to a non-volatile secondary storage device. In the secondary storage device, a write prohibited area in which data writing is prohibited and a write permitted area in which data writing is allowed. An area management means for managing each area separately, a write control means for writing data instructed to be written to the secondary storage device only to the write-permitted area, and a write-permitted area when the information processing apparatus is shut down And data erasing means for erasing the data written in. The information processing apparatus further includes monitoring means for monitoring whether the information processing apparatus has shut down and notifying the data erasing means of the occurrence of the shutdown. Then, the data erasing unit erases the data written in the write permission area in response to the shutdown notification from the monitoring unit. The information processing apparatus further includes a volatile main storage device, and the write control unit redirects the data instructed to be written to the secondary storage device, stores the redirected data in the main storage device, and stores the data in the main storage device. If it is not possible, write the data instructed to write to the write-permitted area.
また、本発明による情報処理装置は、揮発性の主記憶装置と、不揮発性の二次記憶装置を有し、二次記憶装置に対するアクセスを制御する情報処理装置に関し、利用者が使用するOSとして動作するゲストOS手段と、ゲストOS手段のバックグラウンドでOSとして動作する管理OS手段と、ゲストOS手段と管理OS手段を管理し、両者を同時に動作させるための仮想マシンモニタ手段と、ゲストOS手段上で動作する書込み制御手段と、管理OS手段上で動作するデータ消去手段と、を備える。そして、書込み制御手段は、二次記憶装置において、データの書込みが禁止される書込み禁止領域と、データの書込みは許される書込み許可領域とに分けて各領域を管理し、二次記憶装置への書込みが指示されたデータを書込み許可領域にのみ書込み処理し、データ消去手段は、ゲストOS手段(情報処理装置)のシャットダウン時に、書込み許可領域に書き込まれたデータを消去する。なお、仮想マシンモニタ手段は、ゲストOS手段のシャットダウンが発生したかを監視し、前記管理OS手段に前記シャットダウンの発生を通知し、管理OS手段は、仮想マシンモニタ手段によるシャットダウンの通知に対応して、データ消去手段にデータの消去を指示する。そして、データ消去手段は、管理OS手段によるデータ消去の指示に応じて、書込み許可領域に書き込まれたデータを消去する。当該情報処理装置は、さらに、情報処理装置(ゲストOS手段)の起動時に、管理OS手段及び仮想マシンモニタ手段に改竄がなされていないかを確認するセキュリティチェック手段を備える。管理OS手段及び仮想マシンモニタ手段に改竄がなされていない場合にのみ、利用者のゲストOS手段へのログインを可能とする。   An information processing apparatus according to the present invention relates to an information processing apparatus that has a volatile main storage device and a nonvolatile secondary storage device, and controls access to the secondary storage device. Operating guest OS means, management OS means operating as an OS in the background of the guest OS means, virtual machine monitor means for managing the guest OS means and management OS means, and operating both simultaneously, and guest OS means Write control means operating above, and data erasing means operating on the management OS means. In the secondary storage device, the write control means manages each area separately into a write prohibited area where data writing is prohibited and a write permitted area where data writing is allowed. The data instructed to be written is written only in the write-permitted area, and the data erasing unit erases the data written in the write-permitted area when the guest OS unit (information processing apparatus) is shut down. The virtual machine monitor means monitors whether the guest OS means has shut down, notifies the management OS means of the occurrence of the shutdown, and the management OS means responds to the shutdown notification by the virtual machine monitor means. The data erasing unit is instructed to erase data. Then, the data erasing unit erases the data written in the write permission area in response to the data erasing instruction from the management OS unit. The information processing apparatus further includes security check means for confirming whether the management OS means and the virtual machine monitor means have been tampered with when the information processing apparatus (guest OS means) is activated. Only when the management OS means and the virtual machine monitor means have not been tampered with, the user can log in to the guest OS means.
本発明は、さらに、上述の情報処理装置に対応する方法及びプログラムも提供する。   The present invention further provides a method and a program corresponding to the information processing apparatus described above.
さらなる本発明の特徴は、以下本発明を実施するための最良の形態および添付図面によって明らかになるものである。   Further features of the present invention will become apparent from the best mode for carrying out the present invention and the accompanying drawings.
本発明によれば、情報処理装置内のデータの悪用及び情報拡散を完全に防止することができるようになる。   According to the present invention, it is possible to completely prevent data abuse and information diffusion in the information processing apparatus.
本発明は、二次記憶装置を備える情報端末において、利用者による不適切な設定変更、データ保存、アプリケーションのインストールを防止し、かつ、シャットダウン時に端末上にキャッシュされたデータを確実に消去することで残留データの悪用を防止しつつ情報端末を速やかに起動時の状態に戻すことを可能にする機能に関するものである。   The present invention prevents an inappropriate setting change, data storage, and application installation by a user in an information terminal including a secondary storage device, and securely erases data cached on the terminal at the time of shutdown. The present invention relates to a function that makes it possible to quickly return an information terminal to a startup state while preventing misuse of residual data.
以下、添付図面を参照して本発明の実施形態について説明する。ただし、本実施形態は本発明を実現するための一例に過ぎず、本発明の技術的範囲を限定するものではないことに注意すべきである。また、各図において共通の構成については同一の参照番号が付されている。   Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings. However, it should be noted that this embodiment is merely an example for realizing the present invention, and does not limit the technical scope of the present invention. In each drawing, the same reference numerals are assigned to common components.
<装置の構成>
図1は、本発明の実施形態による情報漏洩防止装置(情報端末装置100)の概略構成を示す図である。
<Device configuration>
FIG. 1 is a diagram showing a schematic configuration of an information leakage prevention apparatus (information terminal apparatus 100) according to an embodiment of the present invention.
情報端末装置100は、一般的な情報端末が備えるCPU101と、揮発性のメモリである主記憶装置102と、ネットワークデバイス103と、キーボードやマウス、並びにプリンタやディスプレイ等で構成される入出力装置104と、不揮発性のメモリである二次記憶装置105を備える。また、情報端末装置100は、その他に、利用者が使用するOS(以後、ゲストOSと呼ぶ)108と、ゲストOSのバックグラウンドで動作するOS(以後、管理OSと呼ぶ)110と、それら2つのOSが同時に動作させるための仮想マシン・モニタ(以後、VMM:Virtual Machine Monitorと呼ぶ)106を備え、かつ、管理OS及び管理OS上で動作するアプリケーションが不正改竄されていないことを保障するセキュリティチップ107を備えている。   The information terminal device 100 includes a CPU 101 provided in a general information terminal, a main storage device 102 that is a volatile memory, a network device 103, an input / output device 104 that includes a keyboard, a mouse, a printer, a display, and the like. And a secondary storage device 105 which is a nonvolatile memory. In addition, the information terminal device 100 includes an OS (hereinafter referred to as a guest OS) 108 used by a user, an OS (hereinafter referred to as a management OS) 110 that operates in the background of the guest OS, and those 2 Security that includes a virtual machine monitor (hereinafter referred to as VMM: Virtual Machine Monitor) 106 that allows two OSs to operate simultaneously, and that ensures that the management OS and applications running on the management OS have not been tampered with A chip 107 is provided.
セキュリティチップ(例えば、現状のTPM(Trusted Platform Module)に相当)107とは、ハードウェア耐タンパ性をもつセキュリティチップである。そして、セキュリティチップ107は、暗号演算やハッシュ演算といった演算機能と、暗号鍵やハッシュ値を格納する機能を備え、CPU101から独立して暗号化・復号化・署名作成・検証が可能となっている。本情報端末装置100におけるセキュリティチップ107の主な動作は、端末起動時に管理OS(後述)および管理OS110上で動作するアプリケーションのバイナリデータの署名検証を行い、それらが正常に動作することを保障することである。つまり、セキュリティチップ107は、情報端末装置100の起動時に完全性検証を行うものである。   A security chip (for example, equivalent to the current TPM (Trusted Platform Module)) 107 is a security chip having hardware tamper resistance. The security chip 107 has a calculation function such as a cryptographic calculation and a hash calculation, and a function of storing a cryptographic key and a hash value, and can perform encryption / decryption / signature generation / verification independently of the CPU 101. . The main operation of the security chip 107 in the information terminal apparatus 100 is to verify the signature of binary data of a management OS (described later) and an application running on the management OS 110 when the terminal is started, and to ensure that they operate normally. That is. That is, the security chip 107 performs integrity verification when the information terminal device 100 is activated.
管理OS110は、基本的に利用者による操作はできないOSであり、かつ、ゲストOS108(後述)とは分離したパーティション上で動作する。また、端末起動時にはセキュリティチップ107によるバイナリイメージの完全性検証がなされているため、端末起動からシャットダウンまでの間、管理OS110は安全に動作することが保障されている。さらに、管理OS110は、端末起動時点からシャットダウンまで、ゲストOS108のバックグラウンドで動作している。また、管理OS110上には、消去モジュール111がインストールされている(詳細は後述)。   The management OS 110 is basically an OS that cannot be operated by the user, and operates on a partition separated from the guest OS 108 (described later). Further, since the integrity of the binary image is verified by the security chip 107 when the terminal is activated, it is ensured that the management OS 110 operates safely from the terminal activation to the shutdown. Furthermore, the management OS 110 operates in the background of the guest OS 108 from the time when the terminal is activated until the shutdown. An erasure module 111 is installed on the management OS 110 (details will be described later).
ゲストOS108は、利用者が実際に操作できるOSである。つまり、利用者はゲストOS108上でインターネットやドキュメント作成等を行う。利用者が情報端末装置100の電源をONにした場合、利用者にはゲストOS108のみ起動しているように見える。また、ゲストOS108上には書き込み制御モジュール109がインストールされている(詳細は後述)。   The guest OS 108 is an OS that can be actually operated by the user. That is, the user creates the Internet and documents on the guest OS 108. When the user turns on the information terminal device 100, only the guest OS 108 appears to the user. A write control module 109 is installed on the guest OS 108 (details will be described later).
VMM106は、管理OS110とゲストOS108を同時に動作させるために、CPU101や主記憶装置102等のリソースの割り振りを管理するモジュールである。ゲストOS108と管理OS110はVMM上で動作するOSであり、ゲストOS108が起動する前にVMM106及び管理OS110がバックグラウンドで起動する。ゲストOS108の起動・停止・シャットダウン等はVMM106により管理(監視)されている。   The VMM 106 is a module that manages the allocation of resources such as the CPU 101 and the main storage device 102 in order to operate the management OS 110 and the guest OS 108 at the same time. The guest OS 108 and the management OS 110 are operating on the VMM, and the VMM 106 and the management OS 110 are activated in the background before the guest OS 108 is activated. The start, stop, shutdown, etc. of the guest OS 108 are managed (monitored) by the VMM 106.
書き込み制御モジュール109は、ゲストOS108上で動作するモジュールである。この書込み制御モジュール109は、ゲストOS108が占有する二次記憶装置105の領域を、消去予約領域303と書き込み制御領域302(図3参照)の2つの領域に分割管理する機能を有する。また、書込み制御モジュール109は、ゲストOS108上のアプリケーション304(図3参照)から二次記憶装置105への書き込み指示があった場合に、書き込み制御領域302に書き込まれるデータを全て消去予約領域303にリダイレクト・キャッシュする機能を備えている。   The write control module 109 is a module that operates on the guest OS 108. The write control module 109 has a function of dividing and managing the area of the secondary storage device 105 occupied by the guest OS 108 into two areas: an erase reservation area 303 and a write control area 302 (see FIG. 3). Further, the write control module 109 stores all data to be written in the write control area 302 in the erase reservation area 303 when an application 304 (see FIG. 3) on the guest OS 108 is instructed to write to the secondary storage device 105. It has a function to redirect and cache.
ここで、書き込み制御領域302とは、OS及びアプリケーションが動作するために必要なデータが記憶されている領域である。この書き込み領域302は、利用者が操作した場合に発生する二次記憶装置302への書き込みからは保護されている。また、消去予約領域303とは、書き込み制御モジュール109によりリダイレクトされてキャッシュされる領域であり、情報端末装置100がシャットダウンされる時に管理OS110上の消去モジュール111(後述)により完全消去される記憶領域である。   Here, the write control area 302 is an area in which data necessary for operating the OS and applications is stored. The writing area 302 is protected from writing to the secondary storage device 302 that occurs when the user operates. The erasure reservation area 303 is an area that is redirected and cached by the write control module 109, and is a storage area that is completely erased by an erasure module 111 (described later) on the management OS 110 when the information terminal apparatus 100 is shut down. It is.
消去モジュール111は、管理OS110上で動作するモジュールであり、情報端末装置100をシャットダウンしたときに、ゲストOS108が管理する二次記憶装置105内の消去予約領域データを消去する機能を備える。実際には、管理OS110がVMM106からゲストOS108のシャットダウン通知を受けとった後、ゲストOS108が管理する二次記憶装置105上のボリューム領域をマウントし、消去予約領域303をゼロクリアする。   The erasure module 111 is a module that operates on the management OS 110 and has a function of erasing the erasure reserved area data in the secondary storage device 105 managed by the guest OS 108 when the information terminal apparatus 100 is shut down. Actually, after the management OS 110 receives a shutdown notification of the guest OS 108 from the VMM 106, the volume area on the secondary storage device 105 managed by the guest OS 108 is mounted, and the erase reservation area 303 is cleared to zero.
<情報端末装置の起動の動作>
図2は、情報端末装置を起動する処理を説明するためのフローチャートである。なお、VMM106及び管理OS110のインストールイメージは二次記憶装置105上ではなく、専用の不揮発性の主記憶装置等に保存されている場合もある。また、ここでは事前に正しい動作をしている場合のバイナリイメージのハッシュ値をセキュリティチップ107に保存してあることが前提となっている。
<Activation of information terminal device>
FIG. 2 is a flowchart for explaining a process of starting the information terminal device. Note that the installation images of the VMM 106 and the management OS 110 may be stored not in the secondary storage device 105 but in a dedicated nonvolatile main storage device or the like. Here, it is assumed that the hash value of the binary image when the correct operation is performed is stored in the security chip 107 in advance.
まず、情報端末装置100が起動(例えば、利用者によって電源がONされる)する(ステップS200)と、セキュリティチップ107は、自身の署名検証機能を使ってVMM106の完全性検証を実行する(ステップS201)。例えば、セキュリティチップ107は、自身に保存されているVMM106のバイナリイメージのハッシュ値(これは、あらかじめ正常な動作が保障されているイメージのハッシュ値)と、現在のVMM106のバイナリイメージのハッシュ値とを比較する。VMM106の改竄が行われていないことが確認できた後、処理はステップS202に移行する。   First, when the information terminal device 100 is activated (for example, powered on by the user) (step S200), the security chip 107 executes integrity verification of the VMM 106 using its own signature verification function (step S200). S201). For example, the security chip 107 stores the hash value of the binary image of the VMM 106 stored in itself (this is the hash value of the image for which normal operation is guaranteed in advance) and the hash value of the binary image of the current VMM 106. Compare After confirming that the VMM 106 has not been tampered with, the process proceeds to step S202.
次に、セキュリティチップ107は、管理OS110の完全性検証を実行する(ステップS202)。この検証も、例えばVMM106の場合と同様に、ハッシュ値の比較によって行われる。   Next, the security chip 107 executes integrity verification of the management OS 110 (step S202). This verification is also performed by comparing hash values as in the case of the VMM 106, for example.
VMM106と管理OS110の両方とも改竄されていないことが確認できた場合のみ、CPU101は、セキュリティチップ107からVMM106と管理OS110を起動する(ステップS203)。改竄が検知された場合、情報端末装置100の起動処理は終了する。この場合、正常なVMM106及び管理OS110をインストールする必要がある。   Only when it is confirmed that neither the VMM 106 nor the management OS 110 has been tampered with, the CPU 101 activates the VMM 106 and the management OS 110 from the security chip 107 (step S203). When tampering is detected, the activation process of the information terminal device 100 ends. In this case, it is necessary to install a normal VMM 106 and management OS 110.
管理OS110が起動すると、VMM106はゲストOS108へ起動信号を送り、CPU101は、ゲストOS108を起動する(ステップS204)。ゲストOS108の起動後、管理OS110は、ゲストOS108の起動・シャットダウンをVMM106からの通知を基に監視する(ステップS205)。   When the management OS 110 is activated, the VMM 106 sends an activation signal to the guest OS 108, and the CPU 101 activates the guest OS 108 (step S204). After the guest OS 108 is activated, the management OS 110 monitors the activation and shutdown of the guest OS 108 based on the notification from the VMM 106 (step S205).
そして、ゲストOS108が起動された後、利用者はゲストOS108にログインし、PCを使用することが可能な状態となる(ステップS206)。この時、管理OS110はゲストOS108のバックグラウンドで動作中であるが、VMM106により両者は隔離されているため、ゲストOS108が停止した場合でも管理OS110の動作が停止することはない。   Then, after the guest OS 108 is activated, the user logs in to the guest OS 108 and can use the PC (step S206). At this time, the management OS 110 is operating in the background of the guest OS 108, but since both are isolated by the VMM 106, the operation of the management OS 110 does not stop even when the guest OS 108 stops.
<書き込みモジュールの動作>
図3は、書き込み制御モジュールの動作の概略を説明するための図である。動作の前提として、ゲストOS108には、二次記憶装置105上のゲストOSパーティション301の領域が割り当てられているものとする。なお、この割り当ては、VMM106のリソース管理機能が行っている。
<Operation of writing module>
FIG. 3 is a diagram for explaining the outline of the operation of the write control module. As a premise of the operation, it is assumed that a guest OS partition 301 area on the secondary storage device 105 is allocated to the guest OS 108. This allocation is performed by the resource management function of the VMM 106.
図3に示されるように、ゲストOS108上にインストールされている書き込み制御モジュール109は、ゲストOSパーティション301を書き込み制御領域302と消去予約領域303に分割して管理する。ゲストOS108上において利用者の操作により、アプリケーション304が書き込み制御領域302に書き込みを行おうとした場合、消去予約領域303にリダイレクトされ、書き込むべきデータがキャッシュされる。以上の動作により、書き込み制御領域302のデータは完全に保護され、利用者による不適切な設定変更やアプリケーション304のインストールを制限することが可能となる。   As shown in FIG. 3, the write control module 109 installed on the guest OS 108 manages the guest OS partition 301 by dividing it into a write control area 302 and an erase reservation area 303. When the application 304 tries to write to the write control area 302 by a user operation on the guest OS 108, the application 304 is redirected to the erasure reservation area 303, and the data to be written is cached. With the above operation, the data in the write control area 302 is completely protected, and it is possible to limit inappropriate setting changes and installation of the application 304 by the user.
なお、書込み処理に関し、二次記憶装置への書込み指示がなされた場合、まず主記憶装置102にデータ書込みをリダイレクトし、主記憶装置が一杯になってデータを格納できなくなった場合に、消去予約領域303に書込み処理を実行するようにしてもよい。主記憶装置102は揮発性メモリなので、シャットダウン時には格納されたデータは全て消去されるのでデータセキュリティを保つことができる。また、主記憶装置102が一杯になっても消去予約領域303に格納されたデータもシャットダウン時に確実に消去されるのでデータのセキュリティを確保することができる。このように、主記憶領域102に格納できなくなった場合でもデータ漏洩を確実に防止することができるようになる。   Regarding write processing, when a write instruction to the secondary storage device is given, the data write is first redirected to the main storage device 102, and when the main storage device becomes full and data cannot be stored, an erasure reservation is made. A writing process may be executed in the area 303. Since the main storage device 102 is a volatile memory, all stored data is erased at the time of shutdown, so that data security can be maintained. Even if the main storage device 102 becomes full, the data stored in the erasure reservation area 303 is also securely erased at the time of shutdown, so that the security of the data can be ensured. Thus, even when data cannot be stored in the main storage area 102, data leakage can be reliably prevented.
また、本実施形態では、書き込み制御モジュール109は、情報端末装置100内のファイルシステム(図示せず)の下位レイヤ、かつ、二次記憶装置105及び主記憶装置102の上位レイヤに設けられるようにしてもよい。このように、ファイルシステムと二次記憶装置105及び主記憶装置102との間にフィルタドライバを配置することにより、ファイルシステムに対しては、データの書込みが二次記憶装置105に行われていると見せかけることができ、矛盾無くOSが実行される状態にされる。このように、ファイルシステムより下のレイヤで書込みデータを主記憶装置102中にキャッシュする。これにより、主記憶装置102の格納容量が一杯になっていない場合には、OSにはあたかも二次記憶装置105にファイル保存をしているかのように見せつつ、実際には物理的に二次記憶装置105への書込みを禁止する。以上の仕組みにより、OS実行時に必要なデータの書込みを阻害することがなく、二次記憶装置105への書込みを禁止していても、通常通りにOSを動作させることが可能となる。また、二次記録装置105内のデータ自体を改竄することができなくなるので、データの機密性も保つことができる。   In this embodiment, the write control module 109 is provided in a lower layer of a file system (not shown) in the information terminal device 100 and in an upper layer of the secondary storage device 105 and the main storage device 102. May be. As described above, by arranging the filter driver between the file system and the secondary storage device 105 and the main storage device 102, data is written to the secondary storage device 105 to the file system. The OS can be executed without contradiction. In this way, the write data is cached in the main storage device 102 at a layer below the file system. As a result, when the storage capacity of the main storage device 102 is not full, the OS actually looks as if the file is stored in the secondary storage device 105, and the physical storage device is actually physically secondary. Writing to the storage device 105 is prohibited. With the above mechanism, it is possible to operate the OS as usual even when writing to the secondary storage device 105 is prohibited without hindering writing of data necessary when the OS is executed. In addition, since the data itself in the secondary recording device 105 cannot be falsified, the confidentiality of the data can be maintained.
図4は、利用者がゲストOS108にログインした後、通常操作、例えば、メールやドキュメント作成等の操作を行ったときに、アプリケーション304から二次記憶装置105へのアクセスが発生した場合の、書き込み制御モジュール109の書き込み・読み込み動作を説明するためのフローチャートである。   FIG. 4 shows a case where the application 304 accesses the secondary storage device 105 when a normal operation, for example, an operation such as mail or document creation, is performed after the user logs in to the guest OS 108. 4 is a flowchart for explaining a writing / reading operation of a control module 109;
アプリケーション304やOS(ゲストOS108)が二次記憶装置105へのアクセスを行った場合(ステップS400)、書き込み制御モジュール109は、そのアクセスが書き込み処理か読み込み処理かを判断する(ステップS401)。   When the application 304 or the OS (guest OS 108) accesses the secondary storage device 105 (step S400), the write control module 109 determines whether the access is a write process or a read process (step S401).
上記アクセスが書き込み処理の場合、書き込み制御モジュール109は、消去予約領域303に書き込むべきデータをキャッシュする(ステップS405)。一方、上記アクセスが読み込み処理の場合、書き込み制御モジュール109は、消去予約領域303に読み込むべきキャッシュデータがあるかどうかを判断する(ステップS402)。   If the access is a write process, the write control module 109 caches data to be written to the erase reservation area 303 (step S405). On the other hand, if the access is a read process, the write control module 109 determines whether there is cache data to be read in the erasure reservation area 303 (step S402).
読み込むべきキャッシュデータがあると判断された場合は、書き込む制御モジュール109は、そのまま消去予約領域303からデータを読み込む(ステップS403)。一方、キャッシュデータがない場合、書き込み制御モジュール109は、二次記憶装置105の書き込み制御領域303からデータを読み込む(ステップS404)。   If it is determined that there is cache data to be read, the writing control module 109 reads the data from the erasure reservation area 303 as it is (step S403). On the other hand, when there is no cache data, the write control module 109 reads data from the write control area 303 of the secondary storage device 105 (step S404).
<情報端末装置のシャットダウン時の動作>
図5は、情報端末装置100をシャットダウンするときの管理OS110による消去予約領域304の消去動作を説明するためのフローチャートである。
<Operation at the time of shutdown of the information terminal device>
FIG. 5 is a flowchart for explaining the erase operation of the erase reservation area 304 by the management OS 110 when the information terminal device 100 is shut down.
利用者が、ゲストOS108上から情報端末装置100のシャットダウンを実行すると(ステップS500)、ゲストOS108は二次記憶装置105上での割り当て領域、つまり、ゲストOSパーティション領域301をアンマウントする(ステップS501)。つまり、ゲストOS108は、ゲストOSパーティション領域301を認識(管理)状態から切り離す。   When the user shuts down the information terminal device 100 from the guest OS 108 (step S500), the guest OS 108 unmounts the allocation area on the secondary storage device 105, that is, the guest OS partition area 301 (step S501). . That is, the guest OS 108 separates the guest OS partition area 301 from the recognized (managed) state.
その後、VMM106は、ゲストOS108からシャットダウン通知を受けとる(ステップS502)と、ゲストOS108がシャットダウンしたことを管理OS110に通知する(ステップS503)。   Thereafter, when the VMM 106 receives a shutdown notification from the guest OS 108 (step S502), the VMM 106 notifies the management OS 110 that the guest OS 108 has been shut down (step S503).
管理OS110は、このゲストOS108のシャットダウン通知を受けた後、ゲストOS108が使用していたゲストOSパーティション領域301をマウントする(ステップS504)。つまり、管理OS110は、ゲストOSパーティション領域301(書き込み制御領域302と消去予約領域303)を認識する。当該領域をマウント後、管理OS110は、消去モジュール111に消去予約領域303のキャッシュデータの消去を命令する。すると、消去モジュール111は、消去予約領域303をゼロクリアして新規に作成されたローカルデータを完全削除する(ステップS505)。その後、CPU101は、情報端末装置100をシャットダウンする。   After receiving the notification of shutdown of the guest OS 108, the management OS 110 mounts the guest OS partition area 301 used by the guest OS 108 (step S504). That is, the management OS 110 recognizes the guest OS partition area 301 (the write control area 302 and the erase reservation area 303). After mounting the area, the management OS 110 instructs the erasure module 111 to erase the cache data in the erasure reserved area 303. Then, the erasure module 111 clears the erasure reservation area 303 to zero and completely deletes the newly created local data (step S505). Thereafter, the CPU 101 shuts down the information terminal device 100.
なお、管理OS110の動作は、予め完全性検証により保障されているため、及び、管理OS110とゲストOS108が、二次記憶装置105において別パーティション領域で動作しているため、たとえゲストOS108が何らかの原因でクラッシュしても、消去予約領域303にキャッシュデータが残ることはない。以上により、消去予約領域に書き込まれたデータを完全かつ安全に削除することが可能となり、当該データの悪用及び情報拡散を防止することができるようになる。   Note that the operation of the management OS 110 is guaranteed in advance by integrity verification, and the management OS 110 and the guest OS 108 operate in different partition areas in the secondary storage device 105. Even if a crash occurs, no cache data remains in the erasure reservation area 303. As described above, it is possible to completely and safely delete data written in the erasure reserved area, and to prevent misuse of the data and information diffusion.
なお、本発明は、実施形態の機能を実現するソフトウェアのプログラムコードによっても実現できる。この場合、プログラムコードを記録した記憶媒体をシステム或は装置に提供し、そのシステム或は装置のコンピュータ(又はCPUやMPU)が記憶媒体に格納されたプログラムコードを読み出す。この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施形態の機能を実現することになり、そのプログラムコード自体、及びそれを記憶した記憶媒体は本発明を構成することになる。このようなプログラムコードを供給するための記憶媒体としては、例えば、フレキシブルディスク、CD−ROM、DVD−ROM、ハードディスク、光ディスク、光磁気ディスク、CD−R、磁気テープ、不揮発性のメモリカード、ROMなどが用いられる。   The present invention can also be realized by a program code of software that implements the functions of the embodiments. In this case, a storage medium in which the program code is recorded is provided to the system or apparatus, and the computer (or CPU or MPU) of the system or apparatus reads the program code stored in the storage medium. In this case, the program code itself read from the storage medium realizes the functions of the above-described embodiments, and the program code itself and the storage medium storing the program code constitute the present invention. As a storage medium for supplying such program code, for example, a flexible disk, CD-ROM, DVD-ROM, hard disk, optical disk, magneto-optical disk, CD-R, magnetic tape, nonvolatile memory card, ROM Etc. are used.
また、プログラムコードの指示に基づき、コンピュータ上で稼動しているOS(オペレーティングシステム)などが実際の処理の一部又は全部を行い、その処理によって前述した実施の形態の機能が実現されるようにしてもよい。さらに、記憶媒体から読み出されたプログラムコードが、コンピュータ上のメモリに書きこまれた後、そのプログラムコードの指示に基づき、コンピュータのCPUなどが実際の処理の一部又は全部を行い、その処理によって前述した実施の形態の機能が実現されるようにしてもよい。   Also, based on the instruction of the program code, an OS (operating system) running on the computer performs part or all of the actual processing, and the functions of the above-described embodiments are realized by the processing. May be. Further, after the program code read from the storage medium is written in the memory on the computer, the computer CPU or the like performs part or all of the actual processing based on the instruction of the program code. Thus, the functions of the above-described embodiments may be realized.
また、実施の形態の機能を実現するソフトウェアのプログラムコードをネットワークを介して配信することにより、それをシステム又は装置のハードディスクやメモリ等の記憶手段又はCD-RW、CD-R等の記憶媒体に格納し、使用時にそのシステム又は装置のコンピュータ(又はCPUやMPU)が当該記憶手段や当該記憶媒体に格納されたプログラムコードを読み出して実行するようにしても良い。   In addition, by distributing the program code of the software that realizes the functions of the embodiment via a network, it is stored in a storage means such as a hard disk or memory of a system or apparatus or a storage medium such as a CD-RW or CD-R. The program code stored in the storage means or the storage medium may be read out and executed by the computer (or CPU or MPU) of the system or apparatus during storage.
本発明による情報漏洩防止装置(情報端末装置)の概略構成を示す図である。It is a figure which shows schematic structure of the information leakage prevention apparatus (information terminal device) by this invention. 情報端末装置の起動時の動作を説明するためのフローチャートである。It is a flowchart for demonstrating the operation | movement at the time of starting of an information terminal device. 書き込み制御モジュールの動作図である。It is an operation | movement diagram of a write-control module. 書き込み制御モジュールの書き込み・読み込み処理を説明するためのフローチャートである。It is a flowchart for demonstrating the write / read process of a write control module. シャットダウン時の管理OSにおける消去予約領域の消去動作を説明するためのフローチャートである。It is a flowchart for demonstrating the erase operation | movement of the erase reservation area | region in management OS at the time of shutdown.
符号の説明Explanation of symbols
100…情報端末装置、101…CPU、102…主記憶装置、103…ネットワークデバイス、104…入出力装置、105…二次記憶装置、106…VMM、107…セキュリティチップ、108…ゲストOS、109…書き込み制御モジュール、110…管理OS、111…消去モジュール DESCRIPTION OF SYMBOLS 100 ... Information terminal device, 101 ... CPU, 102 ... Main storage device, 103 ... Network device, 104 ... I / O device, 105 ... Secondary storage device, 106 ... VMM, 107 ... Security chip, 108 ... Guest OS, 109 ... Write control module, 110 ... management OS, 111 ... erase module

Claims (11)

  1. 不揮発性の二次記憶装置に対するアクセスを管理する情報処理装置であって、
    前記二次記憶装置において、データの書込みが禁止される書込み禁止領域と、データの書込みは許される書込み許可領域とに分けて各領域を管理する領域管理手段と、
    前記二次記憶装置への書込みが指示されたデータを前記書込み許可領域にのみ書込み処理する書込み制御手段と、
    前記情報処理装置のシャットダウン時に、前記書込み許可領域に書き込まれたデータを消去するデータ消去手段と、
    を備えることを特徴とする情報処理装置。
    An information processing apparatus that manages access to a non-volatile secondary storage device,
    In the secondary storage device, an area management means for managing each area separately into a write prohibited area where data writing is prohibited and a write permitted area where data writing is allowed;
    Write control means for writing data instructed to write to the secondary storage device only in the write-permitted area;
    Data erasing means for erasing data written in the write-permitted area when the information processing apparatus is shut down;
    An information processing apparatus comprising:
  2. さらに、前記情報処理装置のシャットダウンが発生したかを監視し、前記データ消去手段に前記シャットダウンの発生を通知する監視手段を備え、
    前記データ消去手段は、前記監視手段による前記シャットダウンの通知に対応して前記書込み許可領域に書き込まれたデータを消去することを特徴とする請求項1に記載の情報処理装置。
    Further, monitoring whether the shutdown of the information processing apparatus has occurred, comprising monitoring means for notifying the occurrence of the shutdown to the data erasure means,
    The information processing apparatus according to claim 1, wherein the data erasing unit erases data written in the write permission area in response to the notification of the shutdown by the monitoring unit.
  3. 不揮発性の二次記憶装置に対するアクセスを管理する情報処理装置であって、
    前記二次記憶装置において、データの書込みが禁止される書込み禁止領域と、データの書込みは許されるが前記情報処理装置のシャットダウン時に書き込まれたデータが消去される消去予約領域とに分けて各領域を管理する領域管理手段と、
    前記二次記憶装置への書込みが指示されたデータを前記消去予約領域にのみ書込み処理する書込み制御手段と、
    を備えることを特徴とする情報処理装置。
    An information processing apparatus that manages access to a non-volatile secondary storage device,
    In the secondary storage device, each area is divided into a write prohibited area where data writing is prohibited and an erase reserved area where data writing is allowed but data written when the information processing apparatus is shut down is erased. Area management means for managing
    Write control means for writing data instructed to write to the secondary storage device only to the erasure reserved area;
    An information processing apparatus comprising:
  4. さらに、揮発性の主記憶装置を備え、
    前記書込み制御手段は、前記二次記憶装置への書込みが指示されたデータをリダイレクトして前記主記憶装置に記憶し、前記主記憶装置に記憶できない場合に、前記書込み許可領域又は前記消去予約領域に前記書込み指示がされたデータを書き込むことを特徴とする請求項1乃至3に記載の情報処理装置。
    In addition, it has a volatile main memory,
    The write control means redirects the data instructed to be written to the secondary storage device to store it in the main storage device, and when it cannot be stored in the main storage device, the write permission area or the erasure reservation area 4. The information processing apparatus according to claim 1, wherein the data instructed to write is written in the information processing apparatus.
  5. 揮発性の主記憶装置と、不揮発性の二次記憶装置を有し、二次記憶装置に対するアクセスを制御する情報処理装置であって、
    利用者が使用するOSとして動作するゲストOS手段と、
    前記ゲストOS手段のバックグラウンドでOSとして動作する管理OS手段と、
    前記ゲストOS手段と前記管理OS手段を管理し、両者を同時に動作させるための仮想マシンモニタ手段と、
    前記ゲストOS手段上で動作する書込み制御手段と、
    前記管理OS手段上で動作するデータ消去手段と、を備え、
    前記書込み制御手段は、前記二次記憶装置において、データの書込みが禁止される書込み禁止領域と、データの書込みは許される書込み許可領域とに分けて各領域を管理し、前記二次記憶装置への書込みが指示されたデータを前記書込み許可領域にのみ書込み処理し、
    前記データ消去手段は、前記ゲストOS手段のシャットダウン時に、前記書込み許可領域に書き込まれたデータを消去することを特徴とする情報処理装置。
    An information processing apparatus having a volatile main storage device and a non-volatile secondary storage device and controlling access to the secondary storage device,
    A guest OS means that operates as an OS used by a user;
    Management OS means operating as an OS in the background of the guest OS means;
    A virtual machine monitor means for managing the guest OS means and the management OS means and operating them simultaneously;
    Write control means operating on the guest OS means;
    Data erasing means operating on the management OS means,
    In the secondary storage device, the write control unit manages each region separately into a write-inhibited region where data writing is prohibited and a write-permitted region where data writing is allowed, to the secondary storage device Write processing of the data instructed to write only to the write-permitted area,
    The data erasing unit erases data written in the write permission area when the guest OS unit is shut down.
  6. 前記仮想マシンモニタ手段は、前記ゲストOS手段のシャットダウンが発生したかを監視し、前記管理OS手段に前記シャットダウンの発生を通知し、
    前記管理OS手段は、前記仮想マシンモニタ手段による前記シャットダウンの通知に対応して、前記データ消去手段にデータの消去を指示し、
    前記データ消去手段は、前記管理OS手段によるデータ消去の指示に応じて、前記書込み許可領域に書き込まれたデータを消去することを特徴とする請求項5に記載の情報処理装置。
    The virtual machine monitor means monitors whether the guest OS means has shut down, notifies the management OS means of the occurrence of the shutdown,
    The management OS means instructs the data erasure means to erase data in response to the shutdown notification by the virtual machine monitor means,
    6. The information processing apparatus according to claim 5, wherein the data erasing unit erases data written in the write permission area in accordance with a data erasing instruction from the management OS unit.
  7. さらに、前記情報処理装置の起動時に、前記管理OS手段及び前記仮想マシンモニタ手段に改竄がなされていないかを確認するセキュリティチェック手段を備え、
    前記管理OS手段及び前記仮想マシンモニタ手段に改竄がなされていない場合にのみ、利用者の前記ゲストOS手段へのログインを可能とすることを特徴とする請求項5又は6に記載の情報処理装置。
    And security check means for confirming whether the management OS means and the virtual machine monitor means have been tampered with when the information processing apparatus is activated,
    7. The information processing apparatus according to claim 5, wherein a user can log in to the guest OS unit only when the management OS unit and the virtual machine monitor unit have not been tampered with. .
  8. 情報処理端末装置に含まれる不揮発性の二次記憶装置に対するアクセスを管理する情報処理方法であって、
    領域管理手段が、前記二次記憶装置において、データの書込みが禁止される書込み禁止領域と、データの書込みは許される書込み許可領域とに分けて各領域を管理し、
    書込み制御手段が、前記二次記憶装置への書込みが指示されたデータを前記書込み許可領域にのみ書込み処理し、
    データ消去手段が、前記情報処理端末装置のシャットダウン時に、前記書込み許可領域に書き込まれたデータを消去する、ことを特徴とする情報処理方法。
    An information processing method for managing access to a nonvolatile secondary storage device included in an information processing terminal device,
    In the secondary storage device, the area management means manages each area separately into a write prohibited area where data writing is prohibited and a write permitted area where data writing is allowed,
    Write control means writes the data instructed to write to the secondary storage device only to the write-permitted area,
    An information processing method, wherein data erasure means erases data written in the write-permitted area when the information processing terminal device is shut down.
  9. さらに、監視手段が、前記情報処理端末装置のシャットダウンが発生したかを監視し、前記データ消去手段に前記シャットダウンの発生を通知し、
    前記データ消去手段が、前記監視手段による前記シャットダウンの通知に対応して前記書込み許可領域に書き込まれたデータを消去することを特徴とする請求項8に記載の情報処理方法。
    Further, the monitoring means monitors whether the shutdown of the information processing terminal device has occurred, notifies the data erasure means of the occurrence of the shutdown,
    9. The information processing method according to claim 8, wherein the data erasing unit erases data written in the write permission area in response to the notification of the shutdown by the monitoring unit.
  10. 前記書込み制御手段は、前記二次記憶装置への書込みが指示されたデータをリダイレクトして揮発性の主記憶装置に記憶し、前記主記憶装置に記憶できない場合に、前記書込み許可領域に前記書込み指示がされたデータを書き込むことを特徴とする請求項8又は9に記載の情報処理方法。   The write control means redirects the data instructed to be written to the secondary storage device to store in the volatile main storage device, and when the data cannot be stored in the main storage device, the write control means writes the write to the write permission area. 10. The information processing method according to claim 8, wherein the instructed data is written.
  11. 請求項8乃至10の何れか1項に記載の情報処理方法をコンピュータに実行させるためのプログラム。   A program for causing a computer to execute the information processing method according to any one of claims 8 to 10.
JP2008069849A 2008-03-18 2008-03-18 Information processor and processing method, and program Pending JP2009223787A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008069849A JP2009223787A (en) 2008-03-18 2008-03-18 Information processor and processing method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008069849A JP2009223787A (en) 2008-03-18 2008-03-18 Information processor and processing method, and program

Publications (1)

Publication Number Publication Date
JP2009223787A true JP2009223787A (en) 2009-10-01

Family

ID=41240462

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008069849A Pending JP2009223787A (en) 2008-03-18 2008-03-18 Information processor and processing method, and program

Country Status (1)

Country Link
JP (1) JP2009223787A (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012069149A (en) * 2011-11-29 2012-04-05 Toshiba Corp Computer and control method of computer
JP5070553B1 (en) * 2012-02-08 2012-11-14 Eugrid株式会社 Information processing system, information processing terminal, information processing management program
JP2016511872A (en) * 2013-01-22 2016-04-21 アマゾン・テクノロジーズ、インコーポレイテッド Privileged cryptographic services in a virtualized environment
JP2016525313A (en) * 2013-07-18 2016-08-22 アルカテル−ルーセント Method and device for protecting private data
WO2017119128A1 (en) * 2016-01-08 2017-07-13 株式会社日立製作所 Computer system, physical computer, and memory control method
JP2018125025A (en) * 2012-08-31 2018-08-09 サンディスク テクノロジーズ エルエルシー System, method, and interface for adaptive persistence

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012069149A (en) * 2011-11-29 2012-04-05 Toshiba Corp Computer and control method of computer
JP5070553B1 (en) * 2012-02-08 2012-11-14 Eugrid株式会社 Information processing system, information processing terminal, information processing management program
JP2018125025A (en) * 2012-08-31 2018-08-09 サンディスク テクノロジーズ エルエルシー System, method, and interface for adaptive persistence
JP2016511872A (en) * 2013-01-22 2016-04-21 アマゾン・テクノロジーズ、インコーポレイテッド Privileged cryptographic services in a virtualized environment
JP2016525313A (en) * 2013-07-18 2016-08-22 アルカテル−ルーセント Method and device for protecting private data
WO2017119128A1 (en) * 2016-01-08 2017-07-13 株式会社日立製作所 Computer system, physical computer, and memory control method

Similar Documents

Publication Publication Date Title
US10120572B2 (en) Computing device with a separate processor provided with management functionality through a separate interface with the interface bus
US9426147B2 (en) Protected device management
US10049215B2 (en) Apparatus and method for preventing access by malware to locally backed up data
JP4287485B2 (en) Information processing apparatus and method, computer-readable recording medium, and external storage medium
JP4982825B2 (en) Computer and shared password management methods
US8689212B2 (en) Information processing device for controlling an application able to access a predetermined device, and control method using an information processing device for controlling an application able to access a predetermined device
US20030221115A1 (en) Data protection system
JP2008072717A (en) Hard disc streaming cryptographic operations with embedded authentication
JP2002318719A (en) Highly reliable computer system
JP2007249503A (en) Management method of secondary storage device in user terminal and user terminal
JP2009223787A (en) Information processor and processing method, and program
US10289860B2 (en) Method and apparatus for access control of application program for secure storage area
CN102948114A (en) Single-use authentication methods for accessing encrypted data
JP2008171389A (en) Method for domain logon and computer
JP2010237974A (en) Storage device
US20130173877A1 (en) Information processing device, data management method, and storage device
KR20090121712A (en) Virtual system and method for restricting usage of contents in the virtual system
JP2009098890A (en) File system and computer readable storage medium
JP2007280096A (en) Log maintenance method, program, and system
JP2007148466A (en) Portable storage device and os
JP2004302995A (en) File access limiting program
JP4314311B2 (en) Information processing apparatus and information processing system
CN109214204B (en) Data processing method and storage device
JP4564477B2 (en) Thin client, thin client system, and program
JP2000250818A (en) Storage system, storage device and stored data protecting method