JP2011222010A - モバイルデバイスからコンピュータへのセキュアな遠隔での起動、ブート、およびログイン方法およびシステム - Google Patents

モバイルデバイスからコンピュータへのセキュアな遠隔での起動、ブート、およびログイン方法およびシステム Download PDF

Info

Publication number
JP2011222010A
JP2011222010A JP2011081748A JP2011081748A JP2011222010A JP 2011222010 A JP2011222010 A JP 2011222010A JP 2011081748 A JP2011081748 A JP 2011081748A JP 2011081748 A JP2011081748 A JP 2011081748A JP 2011222010 A JP2011222010 A JP 2011222010A
Authority
JP
Japan
Prior art keywords
password
bios
mobile device
sms
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011081748A
Other languages
English (en)
Other versions
JP5344716B2 (ja
Inventor
Prakash Gien
プラカッシュ、ジアン
Audrondi Farid
アドランジ、ファリッド
Dadu Saurabh
ダデュ、サウラブ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of JP2011222010A publication Critical patent/JP2011222010A/ja
Application granted granted Critical
Publication of JP5344716B2 publication Critical patent/JP5344716B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/305Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • G06F21/43User authentication using separate channels for security data wireless channels
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements
    • H04W4/14Short messaging services, e.g. short message services [SMS] or unstructured supplementary service data [USSD]

Abstract

【課題】許可されたユーザに、遠隔にセキュアにコンピュータを起動、ブートさせて、ログインさせる方法およびシステムを提供する。
【解決手段】ユーザおよびコンピュータは、ショートメッセージサービス(SMS)を利用して互いと通信してよい。ユーザは、スマートフォン等のモバイルデバイスを利用してコンピュータと通信してよい。ユーザは最初に起動メッセージをコンピュータに提供してよく、これに対してコンピュータは1以上のブートパスワード要求を返信してよい。これらブートパスワードは、BIOSパスワードであってよい。コンピュータはさらに、オペレーティングシステム(OS)ログインパスワードを要求してよい。全てのパスワードを暗号化された形式でコンピュータに提供してよい。さらに、正当なユーザであることを確かめるために認証技術を利用することができる。
【選択図】図1

Description

コンピュータに遠隔にアクセスする必要がある場合がある。ユーザは、コンピュータへのブートおよび/またはログインを行い、データまたはアプリケーションにアクセスする必要がある場合がある。または、コンピュータに対してメンテナンスを行う必要があるが、機械に物理的にアクセスすることがすぐにはできない場合もある。通常の状況下においてユーザは、コンピュータをセキュアにブートさせるために1以上のブートパスワードを提供したり、オペレーティングシステム(OS)にアクセスするためのログインパスワードを提供したりする必要がある場合がある。
ユーザがこのような相互作用を遠隔に行う必要がある場合には上述した処理に問題が生じる場合がある。つまりコンピュータに対してパスワードを送信する必要があろうが、公に開かれた公開ネットワーク(例えばインターネット)でパスワードを提供することにはリスクが伴う。パスワードが簡単に危機に曝されることとなる。無許可の第三者がパスワードを入手した場合に、第三者が許可を受けたユーザのように振る舞い機械にアクセスすることができる。
一実施形態における、ここで説明するシステムへの処理の概略を示す。 一実施形態における、管理テンションクライアントセキュアブートおよび認証モジュールにおけるロジックを示すブロック図である。 一実施形態における、遠隔モバイルデバイスの遠隔ブートモジュールを示すブロック図である。 一実施形態における起動メッセージを遠隔モバイルデバイスからコンピュータへ送信する様子を示す。 一実施形態における遠隔BIOSブートポリシー情報を取得する様子を示す。 一実施形態における、管理エンジンからの遠隔モバイルデバイスに対するBIOSパスワードの要求を示す。 一実施形態における、管理エンジンからブート前認証モジュールへのディスクの解除/復号パスワードの転送を示す。 一実施形態における、管理エンジンからの遠隔モバイルデバイスに対するログインパスワードの要求を示す。 一実施形態における、管理エンジンからオペレーティングシステムへのログインパスワードの転送を示す。 一実施形態における、ここで説明する処理を示すフローチャートである。 ここで説明するシステムのソフトウェアまたはファームウェアを示すブロック図である。
図面において参照番号の左端の桁(1または複数)は、参照番号が最初に現れる図番を示している。
以下に、図面を参照しながら好適な実施形態について説明するが、図面において、同様の参照番号を付された部材は同一または機能上類似した部材を示す。また図面において、各参照番号の左端の桁は、参照番号が最初に現れる図番を示している。特定の構成および配置について説明するが、これは例示目的のみを意図していることを理解されたい。当業者であれば、本記載の精神および範囲を逸脱することなく他の構成および配置を想到するであろう。当業者にとっては、発明を本記載に含まれない様々な他のシステムおよびアプリケーションで利用することができることが明白である。
ここでは、許可されたユーザに対してコンピュータに対する遠隔での起動、ブート、およびログインをセキュアに行わせる方法およびシステムを記載する。これを行うべく、ユーザはコンピュータに対して、スマートフォン等のモバイルデバイスを利用して通信を行う。ユーザとコンピュータとの間の通信はショートメッセージサービス(SMS)を利用して行われる。先ずユーザが起動メッセージをコンピュータに対して送り、コンピュータが1以上の基本入出力システム(BIOS)パスワードを要求することで応答することができる。一実施形態では、これらが、コンピュータのBIOSの動作を要求する場合、および、オペレーティングシステムを最終的にブートする場合に必要となる場合がある。そしてユーザは、これらの1以上のパスワードをコンピュータに提供することができる。コンピュータはさらに、オペレーティングシステム(OS)のログインパスワードを要求することができる。そしてユーザは、このログインパスワードをコンピュータに提供することができる。一実施形態では、パスワードは暗号化されてコンピュータに提供されてよい。さらに、正当なユーザであることを確かめるために認証技術を利用することができる。
一実施形態における、ここに説明するシステムの動作の概略を図1に示す。ここでユーザはコンピュータに遠隔にアクセスを試みる。この特定の例においては、ユーザはパソコン(PC)上で実行されているクライアント110にアクセスを試みることとする。例えばPCは、ワシントン州のレッドモンドのマイクロソフトコーポレーションから入手可能なWindows(登録商標)OSのあるバージョンを利用する。ユーザは、モバイルデバイス120を利用してPCクライアント110と通信を行うことができる。モバイルデバイス120はスマートフォンであってよい。また、モバイルデバイス120は、これよりも完全なフィーチャを有するコンピューティングプラットフォーム(例えばラップトップコンピュータ)であってもよい。また別の実施形態では、ユーザはスマートフォンおよびローカルコンピュータの両方を利用してもよく、スマートフォンはローカルコンピュータにつながれていてよい。モバイルデバイス120は、ネットワーク130を介してPCクライアント110と通信することができる。例えばネットワーク130はインターネットまたはデータネットワーク(例えば3Gネットワーク)、あるいはこれらの組み合わせであってよい。ネットワーク130は、ローカルエリアネットワークまたはワイドエリアネットワークであってもよい。一実施形態では、PCクライアント110およびモバイルデバイス120は、ショートメッセージサービス(SMS)を介したメッセージを利用して通信することができる。
モバイルデバイス120は、起動メッセージ140をPCクライアント110に送信することで処理を開始する。一実施形態では、起動メッセージ140は、暗号化され、および/または、認証されてよい。起動メッセージ140の復号および認証に成功すると、PCクライアント110およびモバイルデバイス120は、PCクライアント110がモバイルデバイス120に対してパスワードを要求して、これらのパスワードを受け取る、というセキュアなダイアローグを行う。このダイアローグは要求150およびパスワード160として示されている。要求150およびパスワード160の送信にはインターリーブが利用されてよい、つまり、要求の後にパスワードが続き、この後に別の要求そして別のパスワードが続く、という形であってよい。PCクライアント110はモバイルデバイス120に1以上の要求を発行して、1以上のパスワードを要求することができる。
パスワードにはBIOSパスワードが含まれてよい。詳細を後述するが、要求されるパスワードはBIOSブートパスワード、ブート前BIOSパスワード、ディスクの解除パスワード、および/または、盗難防止復帰パスワードを含んでよい。起動メッセージ40の場合、BIOSパスワードには暗号化および認証が行われてよい。BIOSパスワードの復号および認証に成功すると、BIOSが開始されて、クライアント110はモバイルデバイス120に対してログインパスワードを要求することができる。そしてモバイルデバイス120はログインパスワードを提供することで応答するが、このログインパスワードも暗号化および/または認証が行われてよい。ログインパスワードの復号および認証に成功すると、遠隔ユーザはOSに対するアクセスを許可されて、ログインが行われる。
一実施形態では、遠隔にアクセスされるコンピュータは、上述したパソコンであってよい。このようなコンピュータには、帯域外プロセッサ上で実行される、PCに対して管理機能を提供するファームウェアが含まれてよい。このようなサブシステムの一例に、カリフォルニア州のサンタクララのインテルコーポレーションから入手可能な管理エンジン(ME)がある。ここで説明するシステムのロジックは、図2に示すMEクライアントセキュアブートおよび認証モジュール210に実装することができる。モジュール210は、ME内のファームウェアとして実装可能である。モジュール210は、遠隔BIOSブートポリシー220を含んでよい。ポリシー220は、PCへのアクセスを試みる特定の第三者と合致するべき特権を定義してよい情報を表したものである。特に、遠隔BIOSブートポリシー220は、1回のアクセスの試みにおける異なるソースの処理方法を規定してよい。これらソースは、PCへのアクセスを試みる異なる遠隔ユーザ、組織、または機械であってよい。遠隔ブートポリシー220は、異なる特定のユーザを別々に処理することができる、あるいは、異なる機械または組織を別々に処理することができる。例えば、異なる遠隔ユーザは、異なるセキュリティプロトコルであってもよい。これらのプロトコルは互いに異なる認証および暗号化の方法を提供してもよい。起動メッセージを受信すると、起動メッセージのソースに応じて適用されるプロトコルを決定するために遠隔BIOSブートポリシー220を参照することができる。
モジュール210は、さらに、遠隔クライアント認証モジュール230を含んでよい。このモジュールは、遠隔ユーザまたはクライアントを認証する機能を有してよい。一実施形態では、遠隔モバイルデバイスとMEファームウェアとの間に、サービス登録中に任意の信頼関係が構築されていてよい。一実施形態においては、コンピュータへ遠隔モバイルデバイスから送られる通信の一部または全てについて信頼関係を再度検証しなおしてよい。
モジュール210はさらに、PCクライアントフルディスク暗号化(FDE)認証モジュール240を含んでよい。モジュール240は、ディスク解除/復号パスワードを遠隔モバイルデバイスから受信する機能を有してよい。FDE認証モジュール240は、このような処理において認証サービスを提供することができる。FDE認証モジュール240は、認証に成功した場合に、このパスワードをMEファームウェアに提供することができる。そしてMEファームウェアは、パスワードをブート前認証セキュア遠隔ログインモジュール(不図示)に提供してよく、これによってブート処理を行うことができる。
モジュール210はさらに、PCクライアント盗難防止遠隔復帰モジュール250を含んでよい。このモジュールは、遠隔モバイルデバイスから、ユーザの盗難防止復帰パスワードを受信して、復帰パスワードについて認証サービスを提供する機能を有してよい。認証に合格すると、ブートプロセスを続けることができる。
モジュール210はさらに、PCクライアント・Windows(登録商標)・ログイン・モジュール260を含んでよい。モジュール260は、OSへ遠隔にログインしようとする試みを認証する機能を有してよい。OSログインモジュール260は、MEを介してOSにセキュアにOSログインパスワードを提供してよい。MEファームウェアは、ブート前認証セキュア遠隔ログインモジュールにログインパスワードを提供してよい。
遠隔モバイルデバイス120では、ここで説明するシステムのロジックを、図3に示す遠隔ブートモジュール310として実装することができる。上述したように、遠隔モバイルデバイス120は、セキュア且つ信頼性のある関係でPCクライアントと相互作用する。特に一実施形態では、遠隔モバイルデバイス120を遠隔モバイルクライアントとして見ることができる。遠隔ブートモジュール310は、PCクライアントにセキュアなメッセージを送信する機能を有してよい。これらメッセージは、例えば1以上のBIOSパスワードおよびオペレーティングシステムログインパスワードを含んでよい。これらメッセージは暗号化され、認証されてよい。一実施形態では、これらメッセージをショートメッセージサービス(SMS)その他の適切な通信サービスで送信する。
これらメッセージはさらに、認証に成功した場合に、PCがアクティブなプラットフォーム状態となるような最初の起動メッセージを含んでよい。処理は、起動メッセージを遠隔モバイルデバイスから、アクセスしようとするコンピュータへ送信することから開始される。この一実施形態を図4に示す。起動メッセージ410は、遠隔モバイルデバイスに位置する遠隔ブートモジュール310から送信されてよい。起動メッセージ410は、遠隔クライアント認証モジュール230により受信されてよい。上述したように遠隔クライアント認証モジュール230は、管理エンジンファームウェアに具現化されてよい。起動メッセージ410は、SMSその他の適切な通信サービスを介して送信されてよい。SMSの場合、起動メッセージ410は、PCクライアントにおけるモデム(3Gモデム等)が受信してよい。加えて、起動メッセージ410は、セキュリティ上の理由から暗号化および/または認証されてよい。例示されている実施形態では、認証とは、遠隔クライアント認証モジュール230の機能であってよい。認証が成功した場合、コンピュータは起動プロセスを開始してよい。
加えて、セキュリティポリシーは、PCで参照されてよく、このアクセスの試みをどう処理するかを決定することができる。この参照プロセスを図5に示す。PCでは、BIOS510が遠隔BIOSブートポリシー220へクエリー520を発行する。一実施形態では、クエリー520は、起動メッセージのソースを特定することができる程度に具体的なものであってよい。クエリー520の結果はポリシー情報530であってよく、これをBIOS510が利用可能となる。ポリシー情報530は、ソースをどう処理するかを示す情報(例えば、どのセキュリティプロトコルを適用するか、利用すべき認証または復号プロセスの種類等)を含んでよい。一実施形態では、遠隔BIOSブートポリシー220は、データベース、ルックアップテーブル、または類似したデータ構造として実装することができる。
PCにおけるブート処理では、処理を続けるために1以上のBIOSパスワードを必要としてよい。一実施形態では、これらのパスワードを遠隔モバイルデバイスから供給する。この処理の一実施形態を図6に概略する。PCの管理エンジン210は、遠隔モバイルデバイスにおける遠隔ブートモジュール310に1以上の要求610を発行する。要求610は1以上のBIOSパスワードを要求することができる。これらには、一例であり限定ではないが、BIOSブートパスワード、ブート前BIOSパスワード、ディスク解除/復号パスワード、または盗難防止復帰パスワードが含まれてよい。一実施形態では、要求610をSMS経由で送信してよい。
遠隔ブートモジュール310は、要求されたパスワード(1または複数)620を提供することで応答することができる。これらは一実施形態では管理エンジン210に送信されてよい。この送信でも、SMSその他の適切な通信システムを利用することができる。さらにパスワード620を、セキュリティ上の理由から暗号化する、および/または、認証することができる。
ディスク解除/復号パスワードの場合には、このパスワードの認証が、PCクライアントフルディスク暗号化認証モジュールの機能であってよい。上述したようにこのモジュールは管理エンジンファームウェアに含めてよい。このパスワードの処理の一実施形態を図7に示す。ディスク解除/復号パスワード705は、認証完了の後に、ブート前認証モジュール750へ管理エンジン210のPCクライアントフルディスク暗号化認証モジュールから送信されてよい。ブート前認証モジュールはME210の外のPCに配置してよい。そしてブート前認証モジュール750は、ハードディスクの認証および復号が成功したと想定して、オペレーティングシステムをブート段階に移させることができる。
いずれかのBIOSパスワードが受信され認証されると、ブートプロセスを続けることができる。この時点では、管理エンジンは遠隔モバイルデバイスにログインパスワードの提供を要求することができる。図8にこれを示す。管理エンジン210は、要求810を発行して、遠隔モバイルデバイスの遠隔ブートモジュール310に対してログインパスワードの提供を依頼する。そしてログインパスワード820が遠隔ブートモジュール310から提供されてよい。一実施形態では、この交換はSMSを介して行われてよい。
さらにログインパスワード820は、セキュリティ上の理由から暗号化および/または認証されてよい。認証とは、管理エンジン210のPCクライアント・Windows(登録商標)・ログイン・モジュールの機能であってよい。図9に示すように、管理エンジン210は、PCのOS910にログインパスワード820を渡すことができる。
ここで説明するシステムの処理の一実施形態を図10に示す。1005で、起動メッセージはPCにおいて遠隔モバイルデバイスから受信されてよい。一実施形態では、起動メッセージはSMSを利用して送信されてよい。上述したように、このメッセージは、暗号化および/または認証されてよい。暗号化および認証は、当業者に公知である任意のスキームに従って実装することができる。例えば暗号化は、対称鍵または非対称鍵を利用して行われてよい。一実施形態では、認証には、公開鍵プロトコルを含まれてよい。1010で、起動メッセージの認証を行うことができる。この認証が不成功に終わった場合、失敗状態1050となり、処理は1055でオペレーティングシステムのブートなしに、およびログインなしに終了されてよい。
1010で起動メッセージの認証に成功すると、プロセスは1015に移ることができる。ここで、遠隔BIOSブートポリシーを起動メッセージのソースと比較してチェックすることができる(1005)。
1020で、管理エンジンは、遠隔モバイルデバイスにおける遠隔ブートモジュールに対して1以上のBIOSパスワードの提供を要求する。遠隔ブートモジュールは、管理エンジンに、要求されたパスワード(1または複数)を提供することで応答することができる。上述したように、要求されたパスワードには、BIOSパスワード、ブート前BIOSパスワード、ディスク解除/復号パスワード、および盗難防止復帰パスワードが含まれてよい。一実施形態では、要求およびパスワードはSMSを利用して送信されてよい。さらにパスワードは、暗号化および/または認証されてよい。起動メッセージの場合には、暗号化には対称鍵または非対称鍵を利用することができる。一実施形態では、認証には公開鍵プロトコルを利用することができる。1025で、認証を試みることができる。いずれかのパスワードの認証に失敗すると、1050で失敗状態となり、プロセスは1055で終了する。この時点ではオペレーティングシステムはブートしていない。受信されたBIOSパスワードの認証に1025で成功した場合には、処理は1030に移り、ここでオペレーティングシステムのブートが許可されてよい。
1035で管理エンジンは、遠隔モバイルデバイスの遠隔ブートモジュールに対してログインパスワードの提供を要求することができる。遠隔ブートモジュールは、ログインパスワードを提供することで応答してよい。一実施形態では、要求およびパスワードの両方が、SMSを利用して送信されてよい。前の処理同様に、パスワードは暗号化および/または認証されてよい。暗号化には対称鍵または非対称鍵を利用することができるが、一実施形態では、認証プロセスには公開鍵プロトコルが含まれてよい。1040で、ログインパスワードの認証に成功したか否かを判断する。成功しなかった場合には、1050で失敗状態となり、プロセスはログインを行うことなく1055で終了する。1040でログインパスワードの認証に成功した場合には、1045でログイン処理してよい。プロセスは1055で終了してよい。
ここで説明する1以上の特徴は、ハードウェア、ソフトウェア、ファームウェアおよびこれらの組み合わせで実装することができ(離散および集積回路ロジック、特定用途向け集積回路(ASIC)ロジック、およびマイクロコントローラを含む)、ドメイン特定集積回路パッケージの一部として、または、集積回路パッケージの組み合わせとして実装可能である。ここで記載されるソフトウェアという用語は、コンピュータシステムにここで説明する1以上の特徴および/または特徴の組み合わせを実行させるコンピュータプログラムロジックが格納されたコンピュータ可読媒体を含むコンピュータプログラムプロダクトのことである。
上述した処理のソフトウェアまたはファームウェアの実施形態を図11に示す。システム1100は、プロセッサ1120よびメモリ1110の本体を含んでよい。メモリは、コンピュータプログラムロジック1140を格納することのできる1以上のコンピュータ可読媒体を含んでよい。メモリ1110は、ハードディスクおよびドライブ、コンパクトディスクおよびドライブ、または読み出し専用メモリ(ROM)またはフラッシュデバイス(1または複数)等の着脱可能媒体、またはこれらのうちの組み合わせとして実装可能である。プロセッサ1120およびメモリ1110は、当業者に公知な技術のいずれか(例えばバス)を利用して互いと通信することができる。メモリ1110に含まれるロジックは、プロセッサ1120により読み出され、実行されてよい。さらにI/O1130として総称されるI/Oポートおよび/またはI/Oデバイスのうち1以上が、プロセッサ1120およびメモリ1110に接続されてよい。一実施形態では、システム1100は、PCプラットフォームのコンテキストに組み込まれてよい。ここでプロセッサ1120は、PCに利用される一次マイクロプロセッサとは別個の帯域外のプロセッサであってよい。
図示されている実施形態では、コンピュータプログラムロジック1140は、遠隔クライアント認証モジュール230等の幾つかのモジュールを含んでよい。上述したようにこのモジュールは、遠隔ユーザまたはクライアントを認証する機能を有してよい。
コンピュータプログラムロジック1140はさらに、PCクライアントフルディスク暗号化(FDE)認証モジュール240を含んでよい。モジュール240は、遠隔モバイルデバイスからディスク解除/復号パスワードを受信する機能を有してよい。FDE認証モジュール240は、このような処理において認証サービスを提供してよい。FDE認証モジュール240は、認証に成功した場合にこのパスワードをMEファームウェアに提供することができる。
コンピュータプログラムロジック1140はさらに、PCクライアント盗難防止復帰モジュール250を含んでよい。このモジュールは、遠隔モバイルデバイスから、ユーザの盗難防止復帰パスワードを受信して、復帰パスワードについて認証サービスを提供してよい。認証に合格すると、ブートプロセスを続けることができる。
コンピュータプログラムロジック1140はさらに、PCクライアント・Windows(登録商標)・ログイン・モジュール260を含んでよい。モジュール260は、OSへの遠隔ログインの試みを認証する機能を有してよい。ログインモジュール260は、MEを介してOSにセキュアにOSログインパスワードを提供してよい。
方法およびシステムを、機能、特徴、およびそれらの関係を説明する機能構築ブロックを参照しながら説明してきた。これら機能構築ブロックの境界の少なくとも幾つかには、ここでの記載の都合上任意に定義したものがある。別の境界を定義することも、指定された機能およびそれらの関係が適切である限り可能である。
様々な実施形態について説明してきたが、これらは例示を目的とするものであり、限定は意図していない。当業者には、ここで記載する方法およびシステムの精神および範囲を逸脱しない範囲で形状および詳細における様々な変形例が明らかである。従って、請求項の範囲はここに記載する例示的な実施形態のいずれによっても限定されるべきではない。

Claims (29)

  1. コンピュータにおいて、ショートメッセージサービス(SMS)を介して遠隔モバイルデバイスから起動メッセージを受信する段階と、
    前記起動メッセージを認証する段階と、
    前記遠隔モバイルデバイスを処理するために適切な、前記起動メッセージのソースに基づいて決定されるブートポリシーを決定する段階と、
    前記SMSを介して前記遠隔モバイルデバイスに対してBIOSパスワードの提供を要求する段階と、
    前記遠隔モバイルデバイスから前記SMSを介して受信した前記BIOSパスワードを復号する段階と、
    前記SMSを介して前記遠隔モバイルデバイスに対してログインパスワードの提供を要求する段階と、
    前記遠隔モバイルデバイスから前記SMSを介して受信した前記ログインパスワードを復号する段階と
    を備える方法。
  2. 前記BIOSを実行する段階と、
    オペレーティングシステム(OS)をブートする段階と、
    前記遠隔モバイルデバイスに関連付けられているユーザを前記OSにログインさせる段階と
    をさらに備える請求項1に記載の方法。
  3. 受信した前記BIOSパスワードを認証する段階をさらに備え、
    前記BIOSは、受信した前記BIOSパスワードの前記認証が成功した場合に実行される請求項2に記載の方法。
  4. 前記BIOSパスワードの前記認証に失敗すると、前記SMSを介して前記遠隔モバイルデバイスに対して、後続するBIOSパスワードの提供を要求する段階をさらに備える請求項3に記載の方法。
  5. 前記BIOSパスワードの前記認証は、公開鍵プロトコルを利用して実行される請求項3に記載の方法。
  6. 受信された前記ログインパスワードを認証する段階をさらに備え、
    前記ログインは、前記ログインパスワードの前記認証が成功すると続けられる請求項2に記載の方法。
  7. 前記ログインパスワードの前記認証に失敗すると、前記SMSを介して前記遠隔モバイルデバイスに対して、後続するログインパスワードの提供を要求する段階をさらに備える請求項6に記載の方法。
  8. 前記ログインパスワードの前記認証は、公開鍵プロトコルを利用して実行される請求項6に記載の方法。
  9. 前記BIOSパスワードは、BIOSブートパスワード、ブート前BIOSパスワード、ディスク解除/復号パスワード、およびユーザ盗難防止復帰パスワードのうち1つを含む請求項1に記載の方法。
  10. 遠隔モバイルデバイスにおいて、ショートメッセージサービス(SMS)を介してコンピュータに起動メッセージを送信する段階と、
    前記SMSを介して前記コンピュータから、BIOSパスワードの提供要求を受信する段階と、
    前記SMSを介して前記コンピュータに、暗号化された前記BIOSパスワードを送信する段階と、
    前記SMSを介して前記コンピュータから、ログインパスワードの提供要求を受信する段階と、
    前記SMSを介して前記コンピュータに、暗号化された前記ログインパスワードを送信する段階と
    を備える方法。
  11. 前記BIOSパスワードの前記送信を前記コンピュータにおいて認証する請求項10に記載の方法。
  12. 前記BIOSパスワードの認証目的に公開鍵プロトコルを実行する段階をさらに備える請求項11に記載の方法。
  13. 前記ログインパスワードの前記送信を前記コンピュータにおいて認証する請求項10に記載の方法。
  14. 前記ログインパスワードの認証目的に公開鍵プロトコルを実行する段階をさらに備える請求項13に記載の方法。
  15. 前記BIOSパスワードは、BIOSブートパスワード、ブート前BIOSパスワード、ディスク解除/復号パスワード、および盗難防止復帰パスワードのうち1つを含む請求項10に記載の方法。
  16. システムであって、
    a)コンピュータに含まれる管理エンジン(ME)を備え、
    前記MEは、
    遠隔BIOSブートポリシーを格納するメモリと、
    ショートメッセージサービス(SMS)を介して遠隔モバイルデバイスから起動メッセージを受信して、前記起動メッセージを認証する遠隔クライアント認証モジュールと
    を有し、
    前記MEは前記遠隔モバイルデバイスに対して、1以上の暗号化されたBIOSパスワードの提供を要求して、前記1以上のブートパスワードを受信して、オペレーティングシステム(OS)のブートを許可し、
    前記MEはさらに、前記遠隔モバイルデバイスに対して、暗号化されたログインパスワードの提供を要求して、前記ログインパスワードを受信して、前記遠隔モバイルデバイスに関連付けられたユーザによる前記OSへのアクセスを許可し、
    前記システムはさらに、
    b)前記起動メッセージのソースを判断して、前記ソースに基づいて適用可能なブートポリシーを決定するように前記遠隔BIOSブートポリシーをクエリーする基本入出力システム(BIOS)を備えるシステム。
  17. 前記1以上のBIOSパスワードは、ディスク解除/復号パスワードを含む請求項16に記載のシステム。
  18. 前記MEはさらに、
    前記ディスク解除/復号パスワードを認証するフルディスク暗号化(FDE)認証モジュールを有する請求項17に記載のシステム。
  19. 前記1以上のBIOSパスワードは盗難防止復帰パスワードを含む請求項16に記載のシステム。
  20. 前記MEはさらに、
    前記盗難防止復帰パスワードを認証する盗難防止遠隔復帰モジュールを有する請求項19に記載のシステム。
  21. 前記MEはさらに、
    前記ログインパスワードを認証するログインモジュールを有する請求項16に記載のシステム。
  22. コンピュータプログラムロジックが格納されたコンピュータ可読媒体を備えるコンピュータプログラムプロダクトであって、前記コンピュータプログラムロジックは、
    コンピュータにおいて、ショートメッセージサービス(SMS)を介して遠隔モバイルデバイスから起動メッセージをプロセッサに受信させるロジックと、
    前記起動メッセージを前記プロセッサに認証させるロジックと、
    前記遠隔モバイルデバイスを処理するために適切なブートポリシーを、前記起動メッセージのソースに基づいて前記プロセッサに決定させるロジックと、
    前記SMSを介して前記遠隔モバイルデバイスに対してBIOSパスワードの提供を前記プロセッサに要求させるロジックと、
    前記遠隔モバイルデバイスから前記SMSを介して受信した前記BIOSパスワードを前記プロセッサに復号させるロジックと、
    前記SMSを介して前記遠隔モバイルデバイスに対してログインパスワードの提供を前記プロセッサに要求させるロジックと、
    前記遠隔モバイルデバイスから前記SMSを介して受信した前記ログインパスワードを前記プロセッサに復号させるロジックと
    を備えるコンピュータプログラムプロダクト。
  23. 前記コンピュータプログラムロジックはさらに、
    受信した前記BIOSパスワードを前記プロセッサに認証させるロジックを備え、
    前記BIOSは、受信した前記BIOSパスワードの前記認証が成功した場合にのみ実行される請求項22に記載のコンピュータプログラムプロダクト。
  24. 前記コンピュータプログラムロジックはさらに、
    前記BIOSパスワードの前記認証に失敗すると、前記SMSを介して前記遠隔モバイルデバイスに対して、後続するBIOSパスワードの提供を前記プロセッサに要求させるロジックを備える請求項23に記載のコンピュータプログラムプロダクト。
  25. 前記BIOSパスワードの前記認証は、公開鍵プロトコルを利用して実行される請求項23に記載のコンピュータプログラムプロダクト。
  26. 前記コンピュータプログラムロジックはさらに、
    受信された前記ログインパスワードを前記プロセッサに認証させるロジックを備え、
    前記ログインは、前記ログインパスワードの前記認証が成功した場合にのみ続けられる請求項22に記載のコンピュータプログラムプロダクト。
  27. 受信された前記ログインパスワードの前記認証は、公開鍵プロトコルを利用して実行される請求項26に記載のコンピュータプログラムプロダクト。
  28. 前記コンピュータプログラムロジックはさらに、
    前記ログインパスワードの前記認証に失敗すると、前記SMSを介して前記遠隔モバイルデバイスに対して、後続するログインパスワードの提供を前記プロセッサに要求させるロジックを備える請求項26に記載のコンピュータプログラムプロダクト。
  29. 前記BIOSパスワードは、BIOSブートパスワード、ブート前BIOSパスワード、ディスク解除/復号パスワード、およびユーザ盗難防止復帰パスワードのうち1つを含む請求項22に記載のコンピュータプログラムプロダクト。
JP2011081748A 2010-04-02 2011-04-01 モバイルデバイスからコンピュータへのセキュアな遠隔での起動、ブート、およびログイン方法、システム及びプログラム Active JP5344716B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US12/753,591 2010-04-02
US12/753,591 US8375220B2 (en) 2010-04-02 2010-04-02 Methods and systems for secure remote wake, boot, and login to a computer from a mobile device

Publications (2)

Publication Number Publication Date
JP2011222010A true JP2011222010A (ja) 2011-11-04
JP5344716B2 JP5344716B2 (ja) 2013-11-20

Family

ID=44340312

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011081748A Active JP5344716B2 (ja) 2010-04-02 2011-04-01 モバイルデバイスからコンピュータへのセキュアな遠隔での起動、ブート、およびログイン方法、システム及びプログラム

Country Status (5)

Country Link
US (1) US8375220B2 (ja)
EP (1) EP2372597B1 (ja)
JP (1) JP5344716B2 (ja)
KR (1) KR101356282B1 (ja)
CN (1) CN102215221B (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014088241A1 (ko) * 2012-12-07 2014-06-12 (주)카카오 퍼스널 컴퓨터를 활용하는 모바일 인스턴트 메시징 서비스 방법
JP2015531134A (ja) * 2012-09-13 2015-10-29 インテル コーポレイション ハードウェアによるアクセス保護
JP2016506584A (ja) * 2013-01-10 2016-03-03 フジツウ テクノロジー ソリューションズ インタレクチュアル プロパティ ゲーエムベーハー コンピュータシステム及びコンピュータシステムを安全にブートする方法

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8924306B2 (en) * 2008-02-20 2014-12-30 International Business Machines Corporation Remote computer rebooting tool
US20120303943A1 (en) * 2011-05-27 2012-11-29 Kabushiki Kaisha Toshiba Information processing apparatus and authentication control method
US8918862B2 (en) * 2011-08-31 2014-12-23 International Business Machines Corporation Managing access to storage media
KR101198271B1 (ko) * 2012-01-10 2012-11-07 알서포트 주식회사 컴퓨터를 통한 터치스크린식 이동통신단말기의 제어에 있어서 컴퓨터 및 피제어 이동통신단말기의 화면상태 관리방법
WO2013112161A1 (en) * 2012-01-26 2013-08-01 Hewlett-Packard Development Company Control access based on network status
JP2013214257A (ja) * 2012-04-04 2013-10-17 Hitachi Ltd 端末連携システムおよびその方法
US8396452B1 (en) 2012-05-04 2013-03-12 Google Inc. Proximity login and logoff
JP5956847B2 (ja) * 2012-06-28 2016-07-27 キヤノン株式会社 情報端末及びその制御方法、並びにプログラム
US20140201532A1 (en) * 2013-01-14 2014-07-17 Enterproid Hk Ltd Enhanced mobile security
US20140201531A1 (en) * 2013-01-14 2014-07-17 Enterproid Hk Ltd Enhanced mobile security
US8990909B2 (en) 2013-06-25 2015-03-24 Bank Of America Corporation Out-of-band challenge question authentication
US9390248B2 (en) * 2013-08-28 2016-07-12 Intel Corporation Systems and methods for authenticating access to an operating system by a user before the operating system is booted using a wireless communication token
US9363264B2 (en) * 2013-11-25 2016-06-07 At&T Intellectual Property I, L.P. Networked device access control
US9519498B2 (en) 2013-12-24 2016-12-13 Microsoft Technology Licensing, Llc Virtual machine assurances
KR102050076B1 (ko) * 2013-12-26 2019-11-28 한국전자통신연구원 절전형 컴퓨터 시스템 및 컴퓨터 시스템의 절전 제어 방법
US9652631B2 (en) 2014-05-05 2017-05-16 Microsoft Technology Licensing, Llc Secure transport of encrypted virtual machines with continuous owner access
TWI529559B (zh) * 2014-05-23 2016-04-11 Insyde Software Corp Computer system with wake-up authentication and its computer equipment
US9785801B2 (en) * 2014-06-27 2017-10-10 Intel Corporation Management of authenticated variables
US10229272B2 (en) 2014-10-13 2019-03-12 Microsoft Technology Licensing, Llc Identifying security boundaries on computing devices
US9584317B2 (en) 2014-10-13 2017-02-28 Microsoft Technology Licensing, Llc Identifying security boundaries on computing devices
US9519787B2 (en) * 2014-11-14 2016-12-13 Microsoft Technology Licensing, Llc Secure creation of encrypted virtual machines from encrypted templates
US10193700B2 (en) 2015-02-27 2019-01-29 Samsung Electronics Co., Ltd. Trust-zone-based end-to-end security
US10846696B2 (en) 2015-08-24 2020-11-24 Samsung Electronics Co., Ltd. Apparatus and method for trusted execution environment based secure payment transactions
US10699274B2 (en) 2015-08-24 2020-06-30 Samsung Electronics Co., Ltd. Apparatus and method for secure electronic payment
US10334434B2 (en) * 2016-09-08 2019-06-25 Vmware, Inc. Phone factor authentication
CN106485100A (zh) * 2016-11-07 2017-03-08 惠州经济职业技术学院 一种互联网计算机软件锁的方法及其服务系统
JP6883196B2 (ja) * 2017-01-24 2021-06-09 富士フイルムビジネスイノベーション株式会社 処理装置、情報処理装置、処理システム、処理プログラム及び情報処理プログラム
CN107357407B (zh) * 2017-06-29 2023-05-23 联想(北京)有限公司 一种控制方法及电子设备、存储介质
CN108429623B (zh) * 2018-03-29 2021-05-18 联想(北京)有限公司 一种数据访问方法及第一电子设备
CN108984377B (zh) * 2018-06-29 2022-03-08 深圳市同泰怡信息技术有限公司 一种统计bios登录日志的方法、系统及介质
WO2020176110A1 (en) 2019-02-28 2020-09-03 Hewlett-Packard Development Company, L.P. Access to firmware settings with asymmetric cryptography

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000215167A (ja) * 1999-01-26 2000-08-04 Toshiba Corp コンピュ―タシステム及びそのシステムのリモ―ト制御方法
JP2004258835A (ja) * 2003-02-25 2004-09-16 Yokogawa Electric Corp 在宅介護遠隔支援システム
JP2006079617A (ja) * 2004-09-08 2006-03-23 Hewlett-Packard Development Co Lp リモートセキュリティ有効化システムおよび方法
JP2007058420A (ja) * 2005-08-23 2007-03-08 Toshiba Corp 情報処理装置および認証制御方法
JP2009509210A (ja) * 2005-07-26 2009-03-05 ラネトロ ゼド、ソシエダ アノニマ アプリケーションを起動する方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2341523B (en) 1998-09-12 2003-10-29 Ibm Apparatus and method for establishing communication in a computer network
AU2001245292A1 (en) 2000-04-14 2001-10-30 Sun Microsystems, Inc. Network access security
US7188110B1 (en) * 2000-12-11 2007-03-06 Sony Corporation Secure and convenient method and apparatus for storing and transmitting telephony-based data
US7093124B2 (en) 2001-10-30 2006-08-15 Intel Corporation Mechanism to improve authentication for remote management of a computer system
WO2005024743A1 (en) 2003-09-05 2005-03-17 International Business Machines Corporation Granting access to a system based on the use of a card having stored user data thereon
US20050085245A1 (en) 2003-10-15 2005-04-21 Danneels Gunner D. Wake of computer system on reception of short message service (SMS)
MX2009007135A (es) 2007-01-16 2009-08-13 Absolute Software Corp Modulo de seguridad que tiene un agente secundario en coordinacion con un agente de la computadora principal.
TWI342520B (en) * 2007-08-27 2011-05-21 Wistron Corp Method and apparatus for enhancing information security in a computer system
US8504810B2 (en) * 2007-09-26 2013-08-06 Lenovo (Singapore) Pte. Ltd. Remote PC bootup via a handheld communication device

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000215167A (ja) * 1999-01-26 2000-08-04 Toshiba Corp コンピュ―タシステム及びそのシステムのリモ―ト制御方法
JP2004258835A (ja) * 2003-02-25 2004-09-16 Yokogawa Electric Corp 在宅介護遠隔支援システム
JP2006079617A (ja) * 2004-09-08 2006-03-23 Hewlett-Packard Development Co Lp リモートセキュリティ有効化システムおよび方法
JP2009509210A (ja) * 2005-07-26 2009-03-05 ラネトロ ゼド、ソシエダ アノニマ アプリケーションを起動する方法
JP2007058420A (ja) * 2005-08-23 2007-03-08 Toshiba Corp 情報処理装置および認証制御方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015531134A (ja) * 2012-09-13 2015-10-29 インテル コーポレイション ハードウェアによるアクセス保護
WO2014088241A1 (ko) * 2012-12-07 2014-06-12 (주)카카오 퍼스널 컴퓨터를 활용하는 모바일 인스턴트 메시징 서비스 방법
JP2016506584A (ja) * 2013-01-10 2016-03-03 フジツウ テクノロジー ソリューションズ インタレクチュアル プロパティ ゲーエムベーハー コンピュータシステム及びコンピュータシステムを安全にブートする方法

Also Published As

Publication number Publication date
US8375220B2 (en) 2013-02-12
EP2372597A1 (en) 2011-10-05
CN102215221A (zh) 2011-10-12
JP5344716B2 (ja) 2013-11-20
EP2372597B1 (en) 2015-12-16
KR20110111257A (ko) 2011-10-10
US20110246757A1 (en) 2011-10-06
CN102215221B (zh) 2014-04-23
KR101356282B1 (ko) 2014-01-28

Similar Documents

Publication Publication Date Title
JP5344716B2 (ja) モバイルデバイスからコンピュータへのセキュアな遠隔での起動、ブート、およびログイン方法、システム及びプログラム
CN111783075B (zh) 基于密钥的权限管理方法、装置、介质及电子设备
KR100831437B1 (ko) 네트워크 도메인 내의 네트워크 엔드포인트의 임베디드에이전트와 암호화 키를 공유하기 위한 방법, 장치들 및컴퓨터 프로그램 제품
RU2297037C2 (ru) Управление защищенной линией связи в динамических сетях
US8795388B2 (en) Method, apparatus and system for remote management of mobile devices
KR20220069117A (ko) 모바일 디바이스를 사용한 시스템 액세스
US20080148046A1 (en) Real-Time Checking of Online Digital Certificates
WO2014026518A1 (zh) 软件密钥更新方法和装置
WO2008031148A1 (en) A portable device for use in establishing trust
US10516653B2 (en) Public key pinning for private networks
US9954853B2 (en) Network security
US20150328119A1 (en) Method of treating hair
CN106992978B (zh) 网络安全管理方法及服务器
EP3292654B1 (en) A security approach for storing credentials for offline use and copy-protected vault content in devices
US20140250499A1 (en) Password based security method, systems and devices
US20170295142A1 (en) Three-Tiered Security and Computational Architecture
KR20110128371A (ko) 모바일 클라이언트 보안인증시스템과 중앙제어시스템 및 그 동작방법
KR100901279B1 (ko) 챕 챌린지 메시지를 이용한 네트워크 액세스 인증 방법 및시스템.
US20060242410A1 (en) Mobile device authentication with a data source using self-signed certificates
RU2334272C1 (ru) Устройство защиты от несанкционированного доступа к информации
CN114785566B (zh) 数据处理方法、装置及设备
CN115987636B (zh) 一种信息安全的实现方法、装置及存储介质
Xu et al. Qrtoken: Unifying authentication framework to protect user online identity
CN106992976B (zh) 网络安全管理方法及服务器

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121127

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130226

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130618

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20130717

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20130723

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130809

R150 Certificate of patent or registration of utility model

Ref document number: 5344716

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250