JP2010157253A - Information processor - Google Patents

Information processor Download PDF

Info

Publication number
JP2010157253A
JP2010157253A JP2010025188A JP2010025188A JP2010157253A JP 2010157253 A JP2010157253 A JP 2010157253A JP 2010025188 A JP2010025188 A JP 2010025188A JP 2010025188 A JP2010025188 A JP 2010025188A JP 2010157253 A JP2010157253 A JP 2010157253A
Authority
JP
Japan
Prior art keywords
authentication
biometric
authentication device
information
password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010025188A
Other languages
Japanese (ja)
Other versions
JP5023166B2 (en
Inventor
Takeshi Hatano
健 波多野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2010025188A priority Critical patent/JP5023166B2/en
Publication of JP2010157253A publication Critical patent/JP2010157253A/en
Application granted granted Critical
Publication of JP5023166B2 publication Critical patent/JP5023166B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Collating Specific Patterns (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an information processor wherein security protection related to use of a biometric authentication device is enhanced. <P>SOLUTION: When a device-ID 153 of a fingerprint authentication device 111 does not accord with a BIOS (Basic input/output system)-ID 151 of a password confirmation module 101, the password confirmation module 101 does not admit authentication by the fingerprint authentication device 111, and performs the authentication by input of a BIOS password 152. When the authentication is satisfied, the password confirmation module 101 freshly performs the authentication by the fingerprint authentication device 111 (using fingerprint data 154). When the authentication is satisfied, the password confirmation module 101 supplies the device-ID that is a value agreed with the BIOS-ID 151 of the password confirmation module 101 to the fingerprint authentication device 111, and allows the authentication by the fingerprint authentication device 111 from next time. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

この発明は、例えばパスワード入力を指紋認証によって代替する機能を有するパーソナルコンピュータ等に適用して好適なセキュリティ保護技術に関する。   The present invention relates to a security protection technique suitable for application to, for example, a personal computer having a function of substituting password input by fingerprint authentication.

近年、ノートブックタイプやデスクトップタイプなど、様々な種類のパーソナルコンピュータが広く普及している。そして、この種のコンピュータの普及に伴い、情報漏洩等に関する意識が強まり、コンピュータのセキュリティ保護に関する提案が、これまで種々なされている(例えば特許文献1等参照)。   In recent years, various types of personal computers such as notebook type and desktop type are widely used. With the spread of this type of computer, awareness of information leakage and the like has increased, and various proposals have been made regarding computer security protection (see, for example, Patent Document 1).

また、最近では、生体情報を利用した認証技術も注目を集めている。例えば同じものが2つとない指紋を読み取らせることにより、盗用のおそれもあるパスワードの入力を省略してコンピュータを起動することを可能とする等、セキュリティ強度を高めつつ、利便性を高める工夫がなされている。   Recently, an authentication technique using biometric information has attracted attention. For example, by making it possible to start a computer without having to input a password that could be stolen by reading a fingerprint that does not have two identical ones, it has been devised to enhance convenience while increasing security strength. ing.

特開2003−122444号公報JP 2003-122444 A

前述したような、指紋の照合によって認証を行う指紋認証デバイスには、ユーザの指紋情報が登録されている。また、指紋認証デバイスそのものが不正に交換された場合に対応するために、識別情報が登録されている。ユーザを認証するためにパスワードの入力を要求する例えばBIOS(Basic input/output system)は、この識別情報を確認し、確認が取れた場合に、パスワードの入力に代えて、その指紋認証デバイスの認証成立によってコンピュータを起動することを許可する。これにより、不正者の指紋情報が登録された指紋認証デバイスに交換した上で、不正者が指紋を読み取らせても、BIOSは、識別情報の確認が取れない当該指紋認証デバイスの認証成立によってはコンピュータを起動することを許可しないので、パスワードの入力を要求することになる。   The fingerprint information of the user is registered in the fingerprint authentication device that performs authentication by fingerprint collation as described above. Also, identification information is registered in order to cope with a case where the fingerprint authentication device itself is illegally exchanged. For example, a basic input / output system (BIOS) that requests input of a password to authenticate a user confirms the identification information, and if the confirmation is obtained, authentication of the fingerprint authentication device is performed instead of inputting the password. Allow the computer to start when established. As a result, even if the unauthorized person scans the fingerprint after exchanging the fingerprint information of the unauthorized person with the registered fingerprint authentication device, the BIOS may not be able to confirm the identification information. Since it does not allow the computer to start up, it will prompt for a password.

ところで、BIOSおよび指紋認証デバイス双方における識別情報の対応づけは、個々のコンピュータについて、その出荷当初から行っておくのは困難であるので、正規パスワードが入力されてコンピュータが起動された場合に、BIOSが識別情報を設定し、この識別情報をBIOSおよび指紋認証デバイス双方が保持することで、識別情報の対応づけを行っている。   By the way, since it is difficult to associate the identification information in both the BIOS and the fingerprint authentication device from the beginning of shipment for each computer, the BIOS is activated when the computer is activated after the regular password is input. Sets identification information, and both the BIOS and the fingerprint authentication device hold the identification information, thereby associating the identification information.

この識別情報の対応づけの基本原理を踏まえて、再度、不正者の指紋情報が登録された指紋認証デバイスに交換された場合を想定する。そして、ここでは、この不正者は、その状態のまま、一旦、正規ユーザにコンピュータを利用させることを考えたとする。そうすると、正規ユーザは、指紋を読み取らせるものの、(識別情報の不一致により)認証不成立となるので、パスワードの入力を要求されることになる。この時、指紋認証デバイスが交換されたとは思わず、単に指紋の読み取りがうまくいかなかったと思い、正規パスワードを入力してコンピュータを起動してしまうと、交換された指紋認証デバイスとBIOSとの間で、識別情報の対応づけが行われてしまうことになる。よって、正規ユーザがコンピュータの利用を終了させた後に、不正者が指紋を読み取らせると、パスワードの入力を行うことなく、コンピュータを起動させることができてしまう。   Based on the basic principle of association of the identification information, a case is assumed where the fingerprint information of the unauthorized person is again exchanged for a registered fingerprint authentication device. In this case, it is assumed that the unauthorized person considers the authorized user to use the computer in this state. Then, although the authorized user reads the fingerprint, the authentication is not established (due to the mismatch of the identification information), so that the password is requested. At this time, I do not think that the fingerprint authentication device has been replaced, just think that the fingerprint reading has failed, and if I enter the regular password and start the computer, the fingerprint authentication device and the BIOS will be replaced. Thus, the identification information is associated. Therefore, if an unauthorized person causes the fingerprint to be read after the authorized user ends the use of the computer, the computer can be started without inputting a password.

この発明は、このような事情を考慮してなされたものであり、生体認証デバイスの利用に関わるセキュリティ保護の強化を実現した情報処理装置を提供することを目的とする。   The present invention has been made in consideration of such circumstances, and an object of the present invention is to provide an information processing apparatus that realizes enhanced security protection related to the use of a biometric authentication device.

前述の目的を達成するために、この発明の情報処理装置は、情報処理装置であって、前記情報処理装置を利用可能なユーザを認証するためのパスワードを入力するための入力手段と、前記情報処理装置を利用可能なユーザを認証するための生体情報を格納する格納部を有し、前記格納部に格納された生体情報と一致する生体情報が入力された場合に、その生体情報を入力したユーザを前記情報処理装置を利用可能なユーザとして認証する生体認証デバイスであって、当該生体認証デバイスによる生体情報を用いた認証で前記入力手段を介して入力されるパスワードを用いた認証を代替することの可否を判定するための識別情報が前記格納部に格納される生体認証デバイスと、前記生体認証デバイスの前記格納部に格納されるべき識別情報を設定して保持し、この自らが保持する識別情報と前記生体認証デバイスの前記格納部に格納された識別情報とが一致した場合に、前記生体認証デバイスによる生体情報を用いた認証で前記入力手段を介して入力されるパスワードを用いた認証を代替することを許可する認証制御手段と、を備えることを特徴とする。   In order to achieve the above-mentioned object, an information processing apparatus according to the present invention is an information processing apparatus, wherein an input unit for inputting a password for authenticating a user who can use the information processing apparatus, and the information A biometric information for authenticating a user who can use the processing device is stored. When biometric information that matches the biometric information stored in the storage is input, the biometric information is input. A biometric authentication device that authenticates a user as a user who can use the information processing apparatus, and substitutes for authentication using a password input via the input means by authentication using biometric information by the biometric authentication device. A biometric authentication device in which identification information for determining whether or not it is possible is stored in the storage unit, and identification information to be stored in the storage unit of the biometric authentication device. And when the identification information held by itself matches the identification information stored in the storage unit of the biometric authentication device, the input means is used for authentication using the biometric information by the biometric authentication device. And authentication control means for permitting substitution of authentication using a password input via the password.

また、この発明の情報処理装置は、情報処理装置であって、前記情報処理装置を利用可能なユーザを認証するためのパスワードを入力するための入力デバイスと、前記情報処理装置を利用可能なユーザを認証するための生体情報を格納する格納部を有し、前記格納部に格納された生体情報と一致する生体情報が入力された場合に、その生体情報を入力したユーザを前記情報処理装置を利用可能なユーザとして認証する生体認証デバイスであって、当該生体認証デバイスによる生体情報を用いた認証で前記入力デバイスを介して入力されるパスワードを用いた認証を代替することの可否を判定するための識別情報が前記格納部に格納される生体認証デバイスと、前記生体認証デバイスの前記格納部に格納されるべき識別情報を設定して保持し、この自らが保持する識別情報と前記生体認証デバイスの前記格納部に格納された識別情報とが一致した場合に、前記生体認証デバイスによる生体情報を用いた認証で前記入力デバイスを介して入力されるパスワードを用いた認証を代替することを許可するモジュールと、を備えることを特徴とする。   The information processing apparatus according to the present invention is an information processing apparatus, and includes an input device for inputting a password for authenticating a user who can use the information processing apparatus, and a user who can use the information processing apparatus. The biometric information for authenticating the biometric information, and when the biometric information that matches the biometric information stored in the storage unit is input, the user who has input the biometric information is A biometric authentication device that authenticates as an available user, in order to determine whether authentication using a biometric information by the biometric authentication device can replace authentication using a password input via the input device Biometric authentication device in which the identification information is stored in the storage unit, and setting and holding identification information to be stored in the storage unit of the biometric authentication device, When the identification information held by itself matches the identification information stored in the storage unit of the biometric authentication device, it is input via the input device by the biometric authentication by the biometric authentication device. And a module that permits substitution of authentication using a password.

この発明によれば、生体認証デバイスの利用に関わるセキュリティ保護の強化を実現した情報処理装置を提供することができる。   According to the present invention, it is possible to provide an information processing apparatus that realizes enhanced security protection related to the use of a biometric authentication device.

本発明の一実施形態に係る情報処理装置の概観を示す斜視図。1 is a perspective view showing an overview of an information processing apparatus according to an embodiment of the present invention. 同実施形態の情報処理装置のシステム構成を示すブロック図。2 is an exemplary block diagram showing the system configuration of the information processing apparatus of the embodiment. FIG. 同実施形態の情報処理装置におけるユーザ認証時の処理の流れを示すフローチャート。6 is an exemplary flowchart illustrating a flow of processing at the time of user authentication in the information processing apparatus of the embodiment.

以下、図面を参照して、本発明の実施形態を説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

まず、図1および図2を参照して、本発明の一実施形態に係る情報処理装置の構成を説明する。本実施形態の情報処理装置は、例えばノートブックタイプのパーソナルコンピュータ10として実現されている。   First, with reference to FIG. 1 and FIG. 2, the structure of the information processing apparatus which concerns on one Embodiment of this invention is demonstrated. The information processing apparatus according to the present embodiment is realized as, for example, a notebook type personal computer 10.

図1は、このコンピュータ10のディスプレイユニットを開いた状態における斜視図である。本コンピュータ10は、コンピュータ本体11と、ディスプレイユニット12とから構成される。ディスプレイユニット12には、LCD(liquid crystal display)17によって構成される表示装置が組み込まれている。   FIG. 1 is a perspective view of the computer 10 with the display unit opened. The computer 10 includes a computer main body 11 and a display unit 12. The display unit 12 incorporates a display device composed of an LCD (liquid crystal display) 17.

ディスプレイユニット12は、コンピュータ本体11に対し、コンピュータ本体11の上面が露出される開放位置とコンピュータ本体11の上面を覆う閉塞位置との間を回動自在に取り付けられている。コンピュータ本体11は薄い箱形の筐体を有しており、その上面にはキーボード13、本コンピュータ10をパワーオン/パワーオフするためのパワーボタン14、入力操作パネル15、タッチパッド16、スピーカ18A,18B、指紋認証デバイス111などが配置されている。入力操作パネル15は、押下されたボタンに対応するイベントを入力する入力装置であり、例えばテレビジョン放送信号によって放送される放送番組データの視聴および録画を実行するためのテレビジョン(TV)機能やDVDに記録されたビデオデータを再生するDVD機能などを即時に起動するためのボタンを備えている。   The display unit 12 is attached to the computer main body 11 so as to be rotatable between an open position where the upper surface of the computer main body 11 is exposed and a closed position covering the upper surface of the computer main body 11. The computer main body 11 has a thin box-shaped housing, and has a keyboard 13 on its upper surface, a power button 14 for powering on / off the computer 10, an input operation panel 15, a touch pad 16, and a speaker 18A. , 18B, fingerprint authentication device 111, and the like are arranged. The input operation panel 15 is an input device for inputting an event corresponding to the pressed button. For example, a television (TV) function for viewing and recording broadcast program data broadcast by a television broadcast signal, A button for immediately starting a DVD function for reproducing video data recorded on a DVD is provided.

指紋認証デバイス111は、ユーザの指紋を読み取って、予め登録されたユーザの指紋情報と照合し、このユーザが本コンピュータ10を利用可能なユーザか否かを判定する装置である。この指紋認証デバイス111が有効に設定されていると、パワーボタン14が押下された際、キーボード13からパスワードを入力させる要求に代えて、まず、指紋認証デバイス111に指紋を読み取らせる要求がLCD17に表示される。ユーザは、この表示に応答して、指紋認証デバイス111に指紋を読み取らせ、予め登録しておいた指紋情報と照合させることで、キーボード13によるパスワードの入力を省略して、本コンピュータ10を起動させることができる。   The fingerprint authentication device 111 is a device that reads a user's fingerprint and collates it with the previously registered user's fingerprint information, and determines whether or not the user can use the computer 10. When the fingerprint authentication device 111 is set to be valid, a request for causing the fingerprint authentication device 111 to read a fingerprint is first sent to the LCD 17 instead of a request for inputting a password from the keyboard 13 when the power button 14 is pressed. Is displayed. In response to this display, the user causes the fingerprint authentication device 111 to read the fingerprint and collate it with fingerprint information registered in advance, thereby skipping the password input from the keyboard 13 and starting the computer 10. Can be made.

なお、指紋認証デバイス111による認証が規定回数を越えて不成立に終わると、指紋認証デバイス111による認証はもはや許可されず、キーボード13からパスワードを入力させる要求がLCD17に表示される。正規パスワードを入力すれば、本コンピュータ10を起動させることができるが、規定回数を越えてパスワードを誤入力すると、セキュリティ保護のため、本コンピュータ10は強制的に電源オフされる。   Note that when the authentication by the fingerprint authentication device 111 is not successful after exceeding the specified number of times, the authentication by the fingerprint authentication device 111 is no longer permitted and a request for inputting a password from the keyboard 13 is displayed on the LCD 17. If the regular password is input, the computer 10 can be started. However, if the password is erroneously input more than the specified number of times, the computer 10 is forcibly turned off for security protection.

本コンピュータ10は、このように、パスワード入力を省略可能とする重要なデバイスである指紋認証デバイス111に関わるセキュリティ強化を実現する仕組みを備えたものであり、以下、この点について詳述する。   As described above, the computer 10 is provided with a mechanism for enhancing security related to the fingerprint authentication device 111, which is an important device that can omit the password input, and this point will be described in detail below.

次に、図2を参照して、本コンピュータ10のシステム構成について説明する。   Next, the system configuration of the computer 10 will be described with reference to FIG.

本コンピュータ10は、図2に示されているように、CPU101、ノースブリッジ102、主メモリ103、サウスブリッジ104、グラフィックスコントローラ105、ビデオメモリ(VRAM)105A、サウンドコントローラ106、BIOS−ROM107、LANコントローラ108、ハードディスクドライブ(HDD)109、光磁気ディスクドライブ(ODD)110、指紋認証デバイス111、無線LANコントローラ112、エンベデッドコントローラ/キーボードコントローラ(EC/KBC)113、電源コントローラ114、バッテリ115等を備えている。   As shown in FIG. 2, the computer 10 includes a CPU 101, a north bridge 102, a main memory 103, a south bridge 104, a graphics controller 105, a video memory (VRAM) 105A, a sound controller 106, a BIOS-ROM 107, a LAN. A controller 108, a hard disk drive (HDD) 109, a magneto-optical disk drive (ODD) 110, a fingerprint authentication device 111, a wireless LAN controller 112, an embedded controller / keyboard controller (EC / KBC) 113, a power controller 114, a battery 115, and the like. ing.

CPU101は、本コンピュータ10の動作を制御するプロセッサであり、HDD109から主メモリ103にロードされる、オペレーティングシステム(OS)201や、このOS201の配下で動作する(ユーティリティを含む)各種アプリケーションプログラムを実行する。また、CPU101は、BIOS−ROM107に格納されたBIOSも実行する。BIOSは、ハードウェア制御のためのプログラムである。以下では、このBIOS−ROM107に格納されたBIOSそのものをBIOS107と表記することがある。   The CPU 101 is a processor that controls the operation of the computer 10 and executes an operating system (OS) 201 loaded from the HDD 109 to the main memory 103 and various application programs (including utilities) operating under the OS 201. To do. The CPU 101 also executes the BIOS stored in the BIOS-ROM 107. The BIOS is a program for hardware control. Hereinafter, the BIOS itself stored in the BIOS-ROM 107 may be referred to as the BIOS 107.

ノースブリッジ102は、CPU101のローカルバスとサウスブリッジ104との間を接続するブリッジデバイスである。ノースブリッジ102には、主メモリ103をアクセス制御するメモリコントローラが内蔵されている。また、ノースブリッジ102は、PCI EXPRESS規格のシリアルバスなどを介してグラフィックスコントローラ105との通信を実行する機能も有している。   The north bridge 102 is a bridge device that connects the local bus of the CPU 101 and the south bridge 104. The north bridge 102 includes a memory controller that controls access to the main memory 103. The north bridge 102 also has a function of executing communication with the graphics controller 105 via a PCI EXPRESS standard serial bus or the like.

グラフィックスコントローラ105は、本コンピュータ10のディスプレイモニタとして使用されるLCD17を制御する表示コントローラであり、このグラフィックスコントローラ105によって生成される表示信号がLCD17に送られる。   The graphics controller 105 is a display controller that controls the LCD 17 used as a display monitor of the computer 10, and a display signal generated by the graphics controller 105 is sent to the LCD 17.

サウスブリッジ104は、PCI(Peripheral Component Interconnect)バス上の各デバイスおよびLPC(Low Pin Count)バス上の各デバイスを制御する。また、サウスブリッジ104は、HDD109、ODD110を制御するためのIDE(Integrated Drive Electronics)コントローラを内蔵している。さらに、サウスブリッジ104は、サウンドコントローラ106、LANコントローラ108およびUSBコントローラ111との通信を実行する機能も有している。   The south bridge 104 controls each device on a peripheral component interconnect (PCI) bus and each device on a low pin count (LPC) bus. The south bridge 104 incorporates an IDE (Integrated Drive Electronics) controller for controlling the HDD 109 and the ODD 110. Further, the south bridge 104 has a function of executing communication with the sound controller 106, the LAN controller 108, and the USB controller 111.

サウンドコントローラ106は音源デバイスであり、再生対象のオーディオデータをスピーカ18A,18Bに出力する。LANコントローラ108は、例えばEthernet(登録商標)規格の有線通信を実行する有線通信デバイスであり、無線LANコントローラ112は、例えばIEEE 802.11規格の無線通信を実行する無線通信デバイスである。   The sound controller 106 is a sound source device and outputs audio data to be reproduced to the speakers 18A and 18B. The LAN controller 108 is, for example, a wired communication device that executes Ethernet (registered trademark) standard wired communication, and the wireless LAN controller 112 is a wireless communication device that executes, for example, IEEE 802.11 standard wireless communication.

EC/KBC113は、電力管理を行うためのエンベデッドコントローラと、キーボード(KB)13およびタッチパッド16を制御するためのキーボードコントローラとが集積された1チップマイクロコンピュータである。EC/KBC113は、電源コントローラ114と協働して、バッテリ115やACアダプタからの電力を各部に供給する制御を実行する。   The EC / KBC 113 is a one-chip microcomputer in which an embedded controller for performing power management and a keyboard controller for controlling the keyboard (KB) 13 and the touch pad 16 are integrated. The EC / KBC 113 cooperates with the power supply controller 114 to execute control for supplying power from the battery 115 and the AC adapter to each unit.

以上のような構成を持つ本コンピュータ10は、前述のように、パワーボタン14が押下された際、このユーザが正規者か否かを判定するために、(1)キーボード13からパスワードを入力させる、(2)指紋認証デバイス111に指紋を読み取らせる、といったセキュリティ保護機構を有している。このセキュリティ保護機構を制御するために、BIOS107は、パスワード確認モジュール101を搭載している。   As described above, when the power button 14 is pressed, the computer 10 having the above-described configuration causes (1) a password to be input from the keyboard 13 in order to determine whether or not the user is an authorized person. (2) It has a security protection mechanism that allows the fingerprint authentication device 111 to read a fingerprint. In order to control this security protection mechanism, the BIOS 107 is equipped with a password confirmation module 101.

パスワード確認モジュール101は、BIOS−ID151およびBIOSパスワード152を保有している。また、指紋認証デバイス111は、デバイス−ID153および指紋データ154を格納するための不揮発性メモリを備えている。パスワード確認モジュール101は、自らが保有するBIOS−ID151と指紋認証デバイス111が不揮発性メモリに格納しているデバイス−ID153とを比較して、双方の値が一致していたならば、この指紋認証デバイス111の認証成立によって、(BIOSパスワード152の入力を省略して)本コンピュータ10を起動することを許可する。ここでは、パスワード確認モジュール101は、本コンピュータ10に付与されているデバイス−IDを、指紋認証デバイス111との間で共有する識別情報として設定し、BIOS−ID151として保有すると共に、一定の条件下で、指紋認証デバイス111に供給する。指紋認証デバイス111は、この供給されたデバイス−IDを上記デバイス−ID153として不揮発性メモリに格納する。   The password confirmation module 101 has a BIOS-ID 151 and a BIOS password 152. The fingerprint authentication device 111 includes a nonvolatile memory for storing the device-ID 153 and the fingerprint data 154. The password verification module 101 compares the BIOS-ID 151 held by itself with the device-ID 153 stored in the nonvolatile memory of the fingerprint authentication device 111, and if both values match, this fingerprint authentication When the authentication of the device 111 is established, it is permitted to start up the computer 10 (omitting input of the BIOS password 152). Here, the password confirmation module 101 sets the device-ID assigned to the computer 10 as identification information shared with the fingerprint authentication device 111, holds it as the BIOS-ID 151, and maintains it under certain conditions. Then, the data is supplied to the fingerprint authentication device 111. The fingerprint authentication device 111 stores the supplied device-ID as the device-ID 153 in the nonvolatile memory.

より具体的に説明すると、パスワード確認モジュール101は、BIOS−ID151とデバイス−ID153とが一致しなかった場合、指紋認証デバイス111による認証を認めず、(識別情報不一致の事実を秘匿するために、指紋の読み取りを行わせた上で認証不成立として)BIOSパスワード152の入力を要求するが、このBIOSパスワード152が正しく入力された際、その時点では、指紋認証デバイス111に対するデバイス−IDの供給は行わない。ここで、パスワード確認モジュール101は、さらに、指紋認証デバイス111に指紋を読み取らせることを要求する。そして、パスワード確認モジュール101は、この指紋認証デバイス111による認証が成立したら、この時点で、指紋認証デバイス111に対するデバイス−IDの供給を行う。   More specifically, when the BIOS-ID 151 and the device-ID 153 do not match, the password verification module 101 does not accept authentication by the fingerprint authentication device 111 (in order to conceal the fact that the identification information does not match, When the BIOS password 152 is correctly input, the device-ID is supplied to the fingerprint authentication device 111 at that time when the BIOS password 152 is correctly input. Absent. Here, the password confirmation module 101 further requests the fingerprint authentication device 111 to read the fingerprint. When the authentication by the fingerprint authentication device 111 is established, the password verification module 101 supplies the device-ID to the fingerprint authentication device 111 at this time.

たとえば出荷後に正規パスワードが入力されてコンピュータが起動されても、これによってはBIOS107および指紋認証デバイス111双方による識別情報の対応づけは行われず、指紋認証デバイス111に指紋情報が登録された後、次回のパワーボタン14の押下時における(1)正規パスワードの入力、(2)指紋認証デバイス111による認証成立、の双方が満たされた場合に、BIOS107および指紋認証デバイス111双方による識別情報の対応づけが行われることになる。なお、出荷時における指紋認証デバイス111の不揮発性メモリには、デバイス−ID153として、たとえばゼロやnull値が格納されており、これらの値が格納されていた場合、パスワード確認モジュール101は、識別情報の対応づけは行われていないものと判断する。   For example, even if a regular password is input after the shipment and the computer is started, the identification information is not correlated by both the BIOS 107 and the fingerprint authentication device 111. After the fingerprint information is registered in the fingerprint authentication device 111, the next time When both of (1) input of a regular password and (2) authentication establishment by the fingerprint authentication device 111 are satisfied when the power button 14 is pressed, identification information is associated by both the BIOS 107 and the fingerprint authentication device 111. Will be done. Note that, for example, zero or a null value is stored as the device-ID 153 in the nonvolatile memory of the fingerprint authentication device 111 at the time of shipment. When these values are stored, the password confirmation module 101 stores the identification information. It is determined that no correspondence has been made.

これを踏まえて、不正者が、この指紋認証デバイス111を、自身の指紋情報が登録された他の指紋認証デバイス111に交換し、一旦、正規ユーザに本コンピュータ10を利用させる場合を考える。   Based on this, consider a case where an unauthorized person replaces the fingerprint authentication device 111 with another fingerprint authentication device 111 in which his / her fingerprint information is registered, and makes a regular user use the computer 10 once.

指紋認証デバイス111が交換されると、BIOS−ID151とデバイス−ID153とが一致しないため、指紋認証デバイス111による認証を認めないので、いつものように指紋を読み取らせても、この認証は不成立に終わる。ここで、パスワードの入力を要求されたユーザは、単に指紋の読み取りがうまくいかなかったと思い、BIOSパスワード152を入力したとする。   When the fingerprint authentication device 111 is replaced, since the BIOS-ID 151 and the device-ID 153 do not match, authentication by the fingerprint authentication device 111 is not permitted. Therefore, even if the fingerprint is read as usual, this authentication is not established. End. Here, it is assumed that the user who is requested to input the password simply inputs the BIOS password 152 because he / she thinks that the fingerprint reading is not successful.

正しいBIOSパスワード152が入力されたことにより、認証は成立するが、本コンピュータ10は、ここで、識別情報の対応づけ可否を確認するために、再度、指紋認証デバイス111に指紋を読み取らせることを要求する。そこで、ユーザは、指紋を読み取らせてみるが、指紋認証デバイス111の不揮発性メモリには不正者の指紋データ154が格納されているので、やはり、この認証は不成立に終わる。そのため、本コンピュータ10は、起動は許可するが、識別情報の対応づけ、即ち、指紋認証デバイス111に対するデバイス−IDの供給は行わない。   Although the authentication is established when the correct BIOS password 152 is input, the computer 10 here causes the fingerprint authentication device 111 to read the fingerprint again in order to confirm whether or not the identification information can be associated. Request. Therefore, the user tries to read the fingerprint, but since the fingerprint data 154 of the unauthorized person is stored in the non-volatile memory of the fingerprint authentication device 111, this authentication is still unsuccessful. Therefore, the computer 10 permits activation, but does not associate identification information, that is, does not supply a device-ID to the fingerprint authentication device 111.

これにより、正規ユーザが利用を終えた後、不正者が指紋認証デバイス111による認証を試みたとしても、これを不成立に終わらせ、本コンピュータ10の不正利用を防ぐことを実現する。また、識別情報の対応づけ可否を確認するために、再度、指紋認証デバイス111に指紋を読み取らせた際、その認証が不成立に終わった場合、本コンピュータ10は、(BIOSパスワード152を正しく入力できるユーザに対して)指紋認証デバイス111が不正に交換されているおそれを警告するためのメッセージをLCD17に表示する。この警告を受けて、ユーザは、指紋認証デバイス111が交換されるという、通常では思いもよらない不正者による工作の調査に着手できることになる。   As a result, even if an unauthorized person attempts to authenticate with the fingerprint authentication device 111 after the authorized user has finished using it, this is terminated and the unauthorized use of the computer 10 is prevented. In addition, when the fingerprint authentication device 111 reads the fingerprint again in order to confirm whether or not the identification information can be associated, if the authentication is not successful, the computer 10 can correctly input the BIOS password 152. A message is displayed on the LCD 17 to warn the user that the fingerprint authentication device 111 has been illegally replaced. In response to this warning, the user can start an investigation of a work by an unauthorized person who is not supposed to think that the fingerprint authentication device 111 is replaced.

図3は、本コンピュータ10におけるユーザ認証時の処理の流れを示すフローチャートである。   FIG. 3 is a flowchart showing a flow of processing at the time of user authentication in the computer 10.

BIOS107のパスワード確認モジュール101は、指紋認証デバイス111からデバイス−ID153を読み出し(ステップS1)、自らが保有するBIOS−ID151と一致するか否かを調べる(ステップS2)。もし、一致していたならば(ステップS2のYES)、パスワード確認モジュール101は、指紋認証デバイス111による認証を認め(ステップS10)、その認証が成立したならば(ステップS11のYES)、BIOSパスワード152の入力による認証を省略して(ステップS12)、BIOS107は、起動処理を実行する(ステップS9)。   The password confirmation module 101 of the BIOS 107 reads the device-ID 153 from the fingerprint authentication device 111 (step S1), and checks whether or not it matches the BIOS-ID 151 owned by itself (step S2). If they match (YES in step S2), the password confirmation module 101 recognizes the authentication by the fingerprint authentication device 111 (step S10), and if the authentication is established (YES in step S11), the BIOS password. The authentication by the input of 152 is omitted (step S12), and the BIOS 107 executes a startup process (step S9).

指紋認証デバイス111による認証が不成立の場合(ステップS11のNO)、パスワード確認モジュール101は、BIOSパスワード152の入力による認証を行う(ステップS13)。そして、BIOS107は、この認証が成立した場合(ステップS14のYES)、起動処理を実行し(ステップS9)、一方、不成立の場合には(ステップS14のNO)、強制的に電源オフする(ステップS15)。   When the authentication by the fingerprint authentication device 111 is not established (NO in step S11), the password confirmation module 101 performs authentication by inputting the BIOS password 152 (step S13). If the authentication is established (YES in step S14), the BIOS 107 executes a startup process (step S9). On the other hand, if the authentication is not established (NO in step S14), the BIOS 107 is forcibly turned off (step S14). S15).

また、指紋認証デバイス111から読み出したデバイス−ID153と自らが保有するBIOS−ID151とが一致しない場合(ステップS2のNO)、パスワード確認モジュール101は、指紋認証デバイス111による認証を認めず、BIOSパスワード152の入力による認証を行う(ステップS3)。もし、不成立に終わった場合(ステップS4のNO)、BIOS107は、強制的に電源オフする(ステップS15)。   If the device-ID 153 read from the fingerprint authentication device 111 and the BIOS-ID 151 held by the device itself do not match (NO in step S2), the password verification module 101 does not accept the authentication by the fingerprint authentication device 111, and the BIOS password Authentication is performed by inputting 152 (step S3). If it is not established (NO in step S4), the BIOS 107 forcibly turns off the power (step S15).

BIOSパスワード152の入力による認証が成立したら(ステップS4のYES)、パスワード確認モジュール101は、ここで、指紋認証デバイス111による認証を実施する(ステップS5)。もし、この認証が成立したならば(ステップS6のYES)、パスワード確認モジュール101は、本コンピュータ10のデバイス−IDを指紋認証デバイス111に供給し(ステップS7)、一方、この供給を受けた指紋認証デバイス111は、その値を不揮発性メモリに格納する(ステップS8)。これにより、識別情報の対応づけが行われたことになる。そして、この識別情報の対応づけが終了すると、BIOS107は、起動処理を実行する(ステップS9)。   If the authentication by the input of the BIOS password 152 is established (YES in Step S4), the password confirmation module 101 performs the authentication by the fingerprint authentication device 111 (Step S5). If this authentication is established (YES in step S6), the password confirmation module 101 supplies the device-ID of the computer 10 to the fingerprint authentication device 111 (step S7), while the supplied fingerprint is received. The authentication device 111 stores the value in the nonvolatile memory (step S8). As a result, the identification information is associated. When the association of the identification information is completed, the BIOS 107 executes a startup process (step S9).

このように、本コンピュータ10は、BIOS−ID151とデバイス−ID153とが一致しなかった場合(ステップS2のNO)、BIOSパスワード152の入力による認証成立(ステップS4のYES)と、指紋認証デバイス111による認証成立(ステップS6のYES)との双方を条件として、識別情報の対応づけ(ステップS7,ステップS8)を行うので、生体認証デバイス(指紋認証デバイス111)の利用に関わるセキュリティ保護の強化を実現することができる。   As described above, when the BIOS-ID 151 does not match the device-ID 153 (NO in step S2), the computer 10 establishes authentication by inputting the BIOS password 152 (YES in step S4), and the fingerprint authentication device 111. Since the identification information is associated (steps S7 and S8) on the condition that the authentication is established (YES in step S6), security protection related to the use of the biometric authentication device (fingerprint authentication device 111) is strengthened. Can be realized.

なお、ここでは、指紋認証デバイス111を例に説明したが、これに限定されず、生体情報を用いて認証を行うその他のいずれの生体認証デバイスについても、本手法は適用することが可能である。また、この生体認証デバイスが代替するものとしてBIOSパスワードを例に説明したが、これに限定されず、その他の認証情報を代替対象とする場合においても、本手法は適用することが可能である
このように、本発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に構成要素を適宜組み合わせてもよい。
Although the fingerprint authentication device 111 has been described as an example here, the present invention is not limited to this, and the present technique can be applied to any other biometric authentication device that performs authentication using biometric information. . In addition, the BIOS password has been described as an example of a substitute for this biometric authentication device. However, the present invention is not limited to this, and the present technique can be applied even when other authentication information is to be substituted. Thus, the present invention is not limited to the above-described embodiment as it is, and can be embodied by modifying the constituent elements without departing from the scope of the invention in the implementation stage. In addition, various inventions can be formed by appropriately combining a plurality of components disclosed in the embodiment. For example, some components may be deleted from all the components shown in the embodiment. Furthermore, you may combine a component suitably in different embodiment.

10…情報処理装置(コンピュータ)、11…コンピュータ本体、12…ディスプレイユニット、13…キーボード、14…パワーボタン、15…入力操作パネル、16…タッチパッド、17…LCD、18A,18B…スピーカ、101…CPU、102…ノースブリッジ、103…主メモリ、104…サウスブリッジ、105…グラフィックスコントローラ、105A…ビデオメモリ、106…サウンドコントローラ、107…BIOS−ROM、108…LANコントローラ、109…ハードディスクドライブ(HDD)、110…光磁気ディスクドライブ(ODD)、111…指紋認証デバイス、112…無線LANコントローラ、113…エンベデッドコントローラ/キーボードコントローラ(EC/KBC)、114…電源コントローラ、115…バッテリ、101…パスワード確認モジュール、151…BIOS−ID、152…BIOSパスワード、153…デバイス−ID、154…指紋データ。   DESCRIPTION OF SYMBOLS 10 ... Information processing apparatus (computer), 11 ... Computer main body, 12 ... Display unit, 13 ... Keyboard, 14 ... Power button, 15 ... Input operation panel, 16 ... Touchpad, 17 ... LCD, 18A, 18B ... Speaker, 101 ... CPU, 102 ... North bridge, 103 ... Main memory, 104 ... South bridge, 105 ... Graphics controller, 105A ... Video memory, 106 ... Sound controller, 107 ... BIOS-ROM, 108 ... LAN controller, 109 ... Hard disk drive ( HDD), 110 ... Magneto-optical disk drive (ODD), 111 ... Fingerprint authentication device, 112 ... Wireless LAN controller, 113 ... Embedded controller / keyboard controller (EC / KBC), 114 ... Power supply controller Roller, 115 ... battery, 101 ... password confirmation module, 151 ... BIOS-ID, 152 ... BIOS passwords, 153 ... device -ID, 154 ... fingerprint data.

Claims (5)

情報処理装置であって、
前記情報処理装置を利用可能なユーザを認証するためのパスワードを入力するための入力手段と、
前記情報処理装置を利用可能なユーザを認証するための生体情報を格納する格納部を有し、前記格納部に格納された生体情報と一致する生体情報が入力された場合に、その生体情報を入力したユーザを前記情報処理装置を利用可能なユーザとして認証する生体認証デバイスであって、当該生体認証デバイスによる生体情報を用いた認証で前記入力手段を介して入力されるパスワードを用いた認証を代替することの可否を判定するための識別情報が前記格納部に格納される生体認証デバイスと、
前記生体認証デバイスの前記格納部に格納されるべき識別情報を設定して保持し、この自らが保持する識別情報と前記生体認証デバイスの前記格納部に格納された識別情報とが一致した場合に、前記生体認証デバイスによる生体情報を用いた認証で前記入力手段を介して入力されるパスワードを用いた認証を代替することを許可する認証制御手段と、
を備えることを特徴とする情報処理装置。
An information processing apparatus,
An input means for inputting a password for authenticating a user who can use the information processing apparatus;
A biometric information storage unit configured to store biometric information for authenticating a user who can use the information processing apparatus; A biometric authentication device that authenticates an input user as a user who can use the information processing apparatus, and performs authentication using a password input via the input means by authentication using biometric information by the biometric authentication device. Biometric authentication device in which identification information for determining whether or not it can be substituted is stored in the storage unit;
When the identification information to be stored in the storage unit of the biometric authentication device is set and held, and the identification information held by itself matches the identification information stored in the storage unit of the biometric authentication device Authentication control means for permitting substitution of authentication using a password input via the input means in authentication using biometric information by the biometric authentication device;
An information processing apparatus comprising:
前記認証制御手段は、前記生体認証デバイスによる生体情報を用いた認証で前記入力手段を介して入力されるパスワードを用いた認証を代替し、入力された生体情報が前記格納部に格納された生体情報と一致していない場合に、前記入力手段を介して入力されるパスワードを用いた認証を行うことを特徴とする請求項1記載の情報処理装置。   The authentication control means substitutes for authentication using a password input via the input means in authentication using biometric information by the biometric authentication device, and the biometric information in which the input biometric information is stored in the storage unit The information processing apparatus according to claim 1, wherein authentication is performed using a password input via the input unit when the information does not match. 前記認証制御手段は、自らが保持する識別情報と前記生体認証デバイスの前記格納部に格納された識別情報とが一致していない場合に、前記入力手段を介して入力されるパスワードを用いた認証を行うことを特徴とする請求項1記載の情報処理装置。   The authentication control unit authenticates using a password input via the input unit when the identification information held by the authentication control unit does not match the identification information stored in the storage unit of the biometric authentication device. The information processing apparatus according to claim 1, wherein: 前記認証制御手段は、自らが保持する識別情報と前記生体認証デバイスの前記格納部に格納される識別情報とが一致していない状態で、前記生体認証デバイスによる認証が成立しなかった場合、前記生体認証デバイスが不正に交換されているおそれを警告するためのメッセージを出力する報知手段をさらに有することを特徴とする請求項1記載の情報処理装置。   The authentication control means, when the identification information held by itself and the identification information stored in the storage unit of the biometric authentication device do not match and authentication by the biometric authentication device is not established, The information processing apparatus according to claim 1, further comprising notification means for outputting a message for warning that a biometric authentication device has been illegally exchanged. 情報処理装置であって、
前記情報処理装置を利用可能なユーザを認証するためのパスワードを入力するための入力デバイスと、
前記情報処理装置を利用可能なユーザを認証するための生体情報を格納する格納部を有し、前記格納部に格納された生体情報と一致する生体情報が入力された場合に、その生体情報を入力したユーザを前記情報処理装置を利用可能なユーザとして認証する生体認証デバイスであって、当該生体認証デバイスによる生体情報を用いた認証で前記入力デバイスを介して入力されるパスワードを用いた認証を代替することの可否を判定するための識別情報が前記格納部に格納される生体認証デバイスと、
前記生体認証デバイスの前記格納部に格納されるべき識別情報を設定して保持し、この自らが保持する識別情報と前記生体認証デバイスの前記格納部に格納された識別情報とが一致した場合に、前記生体認証デバイスによる生体情報を用いた認証で前記入力デバイスを介して入力されるパスワードを用いた認証を代替することを許可するモジュールと、
を備えることを特徴とする情報処理装置。
An information processing apparatus,
An input device for inputting a password for authenticating a user who can use the information processing apparatus;
A biometric information storage unit configured to store biometric information for authenticating a user who can use the information processing apparatus; A biometric authentication device that authenticates an input user as a user who can use the information processing apparatus, and performs authentication using a password input via the input device by authentication using biometric information by the biometric authentication device. Biometric authentication device in which identification information for determining whether or not it can be substituted is stored in the storage unit;
When the identification information to be stored in the storage unit of the biometric authentication device is set and held, and the identification information held by itself matches the identification information stored in the storage unit of the biometric authentication device A module that allows the authentication using the biometric information by the biometric authentication device to substitute authentication using the password input via the input device;
An information processing apparatus comprising:
JP2010025188A 2010-02-08 2010-02-08 Information processing device Active JP5023166B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010025188A JP5023166B2 (en) 2010-02-08 2010-02-08 Information processing device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010025188A JP5023166B2 (en) 2010-02-08 2010-02-08 Information processing device

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2008171202A Division JP4459282B2 (en) 2008-06-30 2008-06-30 Information processing apparatus and security protection method

Publications (2)

Publication Number Publication Date
JP2010157253A true JP2010157253A (en) 2010-07-15
JP5023166B2 JP5023166B2 (en) 2012-09-12

Family

ID=42575078

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010025188A Active JP5023166B2 (en) 2010-02-08 2010-02-08 Information processing device

Country Status (1)

Country Link
JP (1) JP5023166B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9198043B2 (en) 2012-12-20 2015-11-24 Casio Computer Co., Ltd. Control system, information processing apparatus, terminal device, control method, and computer readable medium

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000132515A (en) * 1998-10-23 2000-05-12 Fujitsu Ltd Device and method for judging wrong access
JP2003122444A (en) * 2001-10-11 2003-04-25 Atoz Technology Inc System and method for assuring security of computer cpu
JP2006189967A (en) * 2004-12-28 2006-07-20 Ntt Electornics Corp Fingerprint collation system
JP2007047938A (en) * 2005-08-08 2007-02-22 Dainippon Printing Co Ltd User authentication system
JP2007048189A (en) * 2005-08-12 2007-02-22 Konica Minolta Business Technologies Inc Biometric authentication apparatus and biometric authentication system
JP2007179212A (en) * 2005-12-27 2007-07-12 Kosugi Masami Log-in authentication system

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000132515A (en) * 1998-10-23 2000-05-12 Fujitsu Ltd Device and method for judging wrong access
JP2003122444A (en) * 2001-10-11 2003-04-25 Atoz Technology Inc System and method for assuring security of computer cpu
JP2006189967A (en) * 2004-12-28 2006-07-20 Ntt Electornics Corp Fingerprint collation system
JP2007047938A (en) * 2005-08-08 2007-02-22 Dainippon Printing Co Ltd User authentication system
JP2007048189A (en) * 2005-08-12 2007-02-22 Konica Minolta Business Technologies Inc Biometric authentication apparatus and biometric authentication system
JP2007179212A (en) * 2005-12-27 2007-07-12 Kosugi Masami Log-in authentication system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9198043B2 (en) 2012-12-20 2015-11-24 Casio Computer Co., Ltd. Control system, information processing apparatus, terminal device, control method, and computer readable medium

Also Published As

Publication number Publication date
JP5023166B2 (en) 2012-09-12

Similar Documents

Publication Publication Date Title
JP4459282B2 (en) Information processing apparatus and security protection method
US10181041B2 (en) Methods, systems, and apparatuses for managing a hard drive security system
US20070180255A1 (en) Information processing apparatus and authentication control method
US9369289B1 (en) Methods and systems for performing secure authenticated updates of authentication credentials
CN100579015C (en) Information processing device and authentication method
US8539246B2 (en) Secure resume for encrypted drives
JP2007336287A (en) Electronic equipment and radio connection control method
WO2005098569A1 (en) Information processor and method for ensuring security thereof
JP4189397B2 (en) Information processing apparatus and authentication control method
JP2010020751A (en) Content protection method, computer system, and storage medium
US20100332854A1 (en) Storage device, method of controlling storage device, and computer program product
JP5730907B2 (en) Personal portable and secure network access system
US8713653B2 (en) Data processing apparatus, activation control method, and computer-readable storage medium
TWI770411B (en) Firmware access based on temporary passwords
JP5023166B2 (en) Information processing device
JP2011192154A (en) Usb storage device
JP5361646B2 (en) Information processing apparatus and authentication control method
JP2005316856A (en) Information processor, starting method thereof, and starting program thereof
JP2009211487A (en) Information processor, information processing system and program
JP4792874B2 (en) Authentication system, authentication method, and program
JP2009245135A (en) Information processing terminal device and start authentication method of application program
JP4709778B2 (en) Information processing apparatus and recording control method
JP2008191851A (en) Electronic equipment and information processing method
TWI502401B (en) Method of password management and identification adapted for trusted platform module
JP2010205020A (en) Device, method and program for password management

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120515

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120522

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120618

R151 Written notification of patent or utility model registration

Ref document number: 5023166

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150622

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313121

Free format text: JAPANESE INTERMEDIATE CODE: R313117

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350