JP2013175112A - 認証装置、および、認証方法 - Google Patents
認証装置、および、認証方法 Download PDFInfo
- Publication number
- JP2013175112A JP2013175112A JP2012040189A JP2012040189A JP2013175112A JP 2013175112 A JP2013175112 A JP 2013175112A JP 2012040189 A JP2012040189 A JP 2012040189A JP 2012040189 A JP2012040189 A JP 2012040189A JP 2013175112 A JP2013175112 A JP 2013175112A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- bios
- operates
- area
- initialization process
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 113
- 230000008569 process Effects 0.000 claims description 92
- 230000010365 information processing Effects 0.000 description 36
- 238000010586 diagram Methods 0.000 description 8
- 238000011084 recovery Methods 0.000 description 7
- 238000001994 activation Methods 0.000 description 4
- 230000004913 activation Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000002360 preparation method Methods 0.000 description 3
- 238000009434 installation Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000010304 firing Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Stored Programmes (AREA)
Abstract
【課題】コンピュータのOS起動のための効率的なユーザ認証を行うこと。
【解決手段】情報処理装置1の電源投入時にBIOSから起動される認証OSは、自身のモードで初期化されたデバイスを用いて認証処理を動作させることで、情報処理装置1のユーザ認証を実施し、その認証が許可されたときには、共有メモリ領域31に運用OS復号鍵31−1を書き出し、共有メモリ領域31内のデータ内容を保持したままでBIOSを再起動し、BIOSは、運用OS復号鍵31−1で復号化した運用OSをOS動作領域に読み込み、運用OSは、主メモリ7上で稼働する。
【選択図】図1
【解決手段】情報処理装置1の電源投入時にBIOSから起動される認証OSは、自身のモードで初期化されたデバイスを用いて認証処理を動作させることで、情報処理装置1のユーザ認証を実施し、その認証が許可されたときには、共有メモリ領域31に運用OS復号鍵31−1を書き出し、共有メモリ領域31内のデータ内容を保持したままでBIOSを再起動し、BIOSは、運用OS復号鍵31−1で復号化した運用OSをOS動作領域に読み込み、運用OSは、主メモリ7上で稼働する。
【選択図】図1
Description
本発明は、認証装置、および、認証方法に関する。
近年、パーソナルコンピュータ(PC)などの情報処理装置では、不正利用を防止するために、各種の認証機能を利用し、セキュリティを確保している。しかし、セキュリティに対する脅威は年々増加しており、この認証機能は、従来よりも強固なものが要求されている。
特許文献1には、PCの起動時にBIOS(Basic Input/Output System)がロードするシステムイメージが真正なデータか否かを、そのシステムイメージに付随する電子署名を用いて認証する旨が記載されている。この際、デジタル署名を公開鍵で復号化したハッシュ値とROM上のハッシュ値を比較する。復号化された仮想デバイスを実デバイスにアクセスするインタフェースを変更する。システムイメージが真正ならば、仮想デバイスを形成し、仮想デバイスからシステムイメージに格納されているOS(Operating System)を起動する。
なお、PCを特定のユーザには使用させ、別のユーザには使用させないように、ユーザ認証するケースが多い。ユーザ認証では、不正なユーザを排除するセキュリティ強度の向上に加えて、正規のユーザがPCを利用可能になるまでの認証処理の手間を削減することが、求められている。
しかし、特許文献1に記載の手法のように、OS起動前のBIOSが認証処理を行う形態では、PCに接続されているキーボード、マウス、ディスプレイおよびUSB(Universal Serial Bus)機器などの豊富な認証用デバイスを認証処理に用いることができず、PCのセキュリティと使いやすさがそれぞれ不充分である。
なぜなら、そもそもBIOSとは、OS起動の前処理を行うための簡易的なプログラムであり、16ビットで動作したり、OS起動のために必要最低限のデバイスだけを認識したりするように、負荷の大きい認証処理を動作させることを想定して設計されていないためである。
そこで、本発明は、前記した問題を解決し、コンピュータのOS起動のための効率的なユーザ認証を行うことを、主な目的とする。
前記課題を解決するために、本発明は、認証OS上で動作する認証処理の結果をもとに運用OSを動作させる認証装置であって、
前記認証OSおよび前記運用OSが読み込まれる先のOS動作領域と、前記認証処理の結果として取得される運用OS復号鍵が格納される共有メモリ領域とを有する主メモリと、
前記認証OSの格納領域と、暗号化されている状態で格納されている前記運用OSの格納領域とをそれぞれ有するディスク装置と、
前記認証装置の電源投入時に動作するBIOSを格納するROMと、
前記BIOS、前記認証OSおよび前記運用OSをそれぞれ前記主メモリに読み込んで動作させるCPUとを有するとともに、前記認証処理に用いられるデバイスが接続されており、
電源投入時に動作する前記BIOSが、自身のモードで前記デバイスを初期化する第1初期化処理を実行するとともに、前記認証OSを前記OS動作領域に読み込み、
前記認証OSが、自身のモードで前記デバイスを初期化する第2初期化処理を実行し、その初期化された前記デバイスを用いて前記認証処理を動作させることで、前記認証装置のユーザ認証を実施し、その認証が許可されたときには、前記共有メモリ領域に前記運用OS復号鍵を書き出し、前記共有メモリ領域内のデータ内容を保持したままで前記BIOSを再起動し、
前記BIOSが、自身のモードで前記デバイスを初期化する第3初期化処理を実行し、前記運用OS復号鍵で復号化した前記運用OSを前記OS動作領域に読み込み、
前記運用OSが、自身のモードで前記デバイスを初期化する第4初期化処理を実行し、前記主メモリ上で稼働することを特徴とする。
その他の手段は、後記する。
前記認証OSおよび前記運用OSが読み込まれる先のOS動作領域と、前記認証処理の結果として取得される運用OS復号鍵が格納される共有メモリ領域とを有する主メモリと、
前記認証OSの格納領域と、暗号化されている状態で格納されている前記運用OSの格納領域とをそれぞれ有するディスク装置と、
前記認証装置の電源投入時に動作するBIOSを格納するROMと、
前記BIOS、前記認証OSおよび前記運用OSをそれぞれ前記主メモリに読み込んで動作させるCPUとを有するとともに、前記認証処理に用いられるデバイスが接続されており、
電源投入時に動作する前記BIOSが、自身のモードで前記デバイスを初期化する第1初期化処理を実行するとともに、前記認証OSを前記OS動作領域に読み込み、
前記認証OSが、自身のモードで前記デバイスを初期化する第2初期化処理を実行し、その初期化された前記デバイスを用いて前記認証処理を動作させることで、前記認証装置のユーザ認証を実施し、その認証が許可されたときには、前記共有メモリ領域に前記運用OS復号鍵を書き出し、前記共有メモリ領域内のデータ内容を保持したままで前記BIOSを再起動し、
前記BIOSが、自身のモードで前記デバイスを初期化する第3初期化処理を実行し、前記運用OS復号鍵で復号化した前記運用OSを前記OS動作領域に読み込み、
前記運用OSが、自身のモードで前記デバイスを初期化する第4初期化処理を実行し、前記主メモリ上で稼働することを特徴とする。
その他の手段は、後記する。
本発明によれば、コンピュータのOS起動のための効率的なユーザ認証を行うことができる。
以下、本発明の一実施形態を、図面を参照して詳細に説明する。
図1は、情報処理システムの構成および動作概要を示す説明図である。
図1(a)に示す情報処理装置1(認証装置)は、ネットワーク2を経由して認証サーバ3に接続する。情報処理装置1は、CPU(Central Processing Unit)6、主メモリ7、ROM(Read Only Memory)8、ディスプレイコントローラ11、ディスプレイ12、ディスク装置13、ディスクコントローラ14、PS(Personal System)2/USB(Universal Serial Bus)16、キーボード17、マウス18およびUSB機器19から構成される。
ROM8には、BIOSを格納する。また、認証サーバ3は、認証情報を格納し、情報処理装置1が入力を受け付けた認証情報と比較して検証することにより、ユーザ認証を行う。
図1(a)に示す情報処理装置1(認証装置)は、ネットワーク2を経由して認証サーバ3に接続する。情報処理装置1は、CPU(Central Processing Unit)6、主メモリ7、ROM(Read Only Memory)8、ディスプレイコントローラ11、ディスプレイ12、ディスク装置13、ディスクコントローラ14、PS(Personal System)2/USB(Universal Serial Bus)16、キーボード17、マウス18およびUSB機器19から構成される。
ROM8には、BIOSを格納する。また、認証サーバ3は、認証情報を格納し、情報処理装置1が入力を受け付けた認証情報と比較して検証することにより、ユーザ認証を行う。
図1(b)は、情報処理装置1の動作概要を示すタイムチャートである。このタイムチャートでは、動作主体として、上から順に、ROM8に格納されているBIOS、ディスク装置13に格納されている認証OS、および、ディスク装置13に格納されている運用OSがそれぞれ示されており、各OSがCPU6によって実行されている時間帯については、その実行内容(例えば、S11なら「初期化」)を矢印上の矩形に記載する。
まず、S11の初期化処理が起動される前の前準備として、ディスク装置13には、運用OSと認証OSとでそれぞれのOSのイメージファイルが別々に設けられ(パーティションで分割されたデュアルブート領域など)、少なくとも運用OSは暗号化された状態で格納されている。認証OSは、暗号化されていてもいなくてもよい。
さらに、前準備として、主メモリ7は、BIOSが指定する共有メモリ領域と、それ以外の領域(OS動作領域と呼ぶ)とを含んでおり、両領域で情報処理装置1の電源オフ時には領域内のデータ内容が消去される。一方、共有メモリ領域では、BIOSの起動(再起動)にもかかわらず、自身のデータ内容は消去されないような機構を備えているが、OS動作領域では、BIOSの起動(再起動)ごとに自身のデータ内容は消去されてしまう。
ここで、共有メモリ領域へのアクセス権として、認証OSを「書き込み許可」とし、運用OSを「読み込み許可で書き込み不可」とすることが、望ましい。
ここで、共有メモリ領域へのアクセス権として、認証OSを「書き込み許可」とし、運用OSを「読み込み許可で書き込み不可」とすることが、望ましい。
S11として、BIOSは、自身のモードで(16bitモードで)各デバイス(画面、キーボード17やマウス18、ディスク装置13、USB機器19、その他の認証に必要なPCに搭載または接続された各機器)を初期化する。そして、BIOSは、認証OSのブートローダ(OSをディスク装置から読み込み起動するプログラム)を実行することで、認証OSのブートローダに認証OSを読み込ませる。
S12として、認証OSは、情報処理装置1の各デバイスを自身のモードで(32bitモードで)初期化し、認証アプリケーションを認証OS上で動作させることで、キーボード17やマウス18などを使い、豊富なユーザインタフェースや高度な認証手段を提供する。そして、認証OSは、ユーザ認証に成功したときには、運用OS復号鍵を共有メモリ領域に格納する。
認証OSは、認証処理が終了すると、自身のモードで起動している各デバイスを、S11でBIOSが初期化した状態に戻すため、BIOSを再起動する。
認証OSは、認証処理が終了すると、自身のモードで起動している各デバイスを、S11でBIOSが初期化した状態に戻すため、BIOSを再起動する。
S13として、BIOSは、S11において自身のモードで(16bitモードで)初期化した各デバイスの状態と同じ状態へと回復する。または、S11の初期化処理と同じ処理を再度実行してもよい。そして、BIOSは、運用OSのブートローダをメモリ上に読み込む。
S14として、S13のBIOSの起動(再起動)にもかかわらず、共有メモリ領域内のデータ内容は消去されないので、運用OSのブートローダは、共有メモリ領域の運用OS復号鍵を参照して、運用OSを復号化して、稼働させる。以上、図1(b)をもとに、情報処理装置1の動作概要(S11〜S14)を説明した。
一方、図1(b)の動作の代わりに、図1(c)の動作を実行してもよい。図1(c)では、図1(b)のS13に該当する各デバイスの状態の回復処理を、BIOSではなく認証OSが行っている例である。このように、S13−2では、認証OSがデバイスの回復処理を行うことにより、共有メモリ領域がBIOSを再起動しても消去されない機構をもたなくても、共有メモリ領域を消去させずに済む。
S14として、S13のBIOSの起動(再起動)にもかかわらず、共有メモリ領域内のデータ内容は消去されないので、運用OSのブートローダは、共有メモリ領域の運用OS復号鍵を参照して、運用OSを復号化して、稼働させる。以上、図1(b)をもとに、情報処理装置1の動作概要(S11〜S14)を説明した。
一方、図1(b)の動作の代わりに、図1(c)の動作を実行してもよい。図1(c)では、図1(b)のS13に該当する各デバイスの状態の回復処理を、BIOSではなく認証OSが行っている例である。このように、S13−2では、認証OSがデバイスの回復処理を行うことにより、共有メモリ領域がBIOSを再起動しても消去されない機構をもたなくても、共有メモリ領域を消去させずに済む。
ここで、S11とS13とでは、その各処理が終了した状態での各デバイスの初期化状態(16bitモードでの利用可能状態)は同じであるので、デバイス状態のロールバック処理を行うことで、S13での再起動処理を短縮することができる。
そのため、認証OSは、S12の認証処理を行う前に、S11でBIOSが初期化した各デバイスの状態を主メモリ7の共有メモリ領域やディスク装置13などに一旦退避しておく(ロールバック処理のためのバックアップ処理)。
次に、認証OSは、S12の認証処理を行った後に、バックアップ処理された各デバイスの状態をBIOSに通知することで、BIOSはS11で行った各デバイスの初期化処理を、S13でも繰り返さなくても済む(ロールバック処理)。
そのため、認証OSは、S12の認証処理を行う前に、S11でBIOSが初期化した各デバイスの状態を主メモリ7の共有メモリ領域やディスク装置13などに一旦退避しておく(ロールバック処理のためのバックアップ処理)。
次に、認証OSは、S12の認証処理を行った後に、バックアップ処理された各デバイスの状態をBIOSに通知することで、BIOSはS11で行った各デバイスの初期化処理を、S13でも繰り返さなくても済む(ロールバック処理)。
なお、S12の処理後の認証OSが、S13を省略して、S14の運用OSを直接呼び出さない理由は、S12の処理後の各デバイスの状態が、認証OSのモードで(32bitモードで)動作しているため、このままでは、運用OSを実行できないためである。
つまり、認証OSでも運用OSでも、そのOSのブートローダを介してOS本体をディスク装置13から主メモリ7に展開するためには、その前準備として、各デバイス(ディスク装置13、主メモリ7)をBIOSのモードで(16bitモードで)初期化した状態にする必要がある。
つまり、認証OSでも運用OSでも、そのOSのブートローダを介してOS本体をディスク装置13から主メモリ7に展開するためには、その前準備として、各デバイス(ディスク装置13、主メモリ7)をBIOSのモードで(16bitモードで)初期化した状態にする必要がある。
図2は、ディスク装置の内部データを示す構成図である。
ディスク装置13には、MBR(Master Boot Record)20、運用OS領域21および認証OS領域25が格納されている。運用OSは情報処理装置1が通常業務に使用するOSであり、認証OSは運用OSの認証を行うためのOSである。
MBR20は、情報処理装置1の起動時に最初に読み込まれるディスク装置13のセクタであり、ディスク装置13の先頭に置かれ、ディスク装置13内のどちらのOSを(認証OSまたは運用OS)、どのように起動するかなどの情報が記録されている。MBR20は、電源投入時には認証OSを起動するように指定されている。
ディスク装置13には、MBR(Master Boot Record)20、運用OS領域21および認証OS領域25が格納されている。運用OSは情報処理装置1が通常業務に使用するOSであり、認証OSは運用OSの認証を行うためのOSである。
MBR20は、情報処理装置1の起動時に最初に読み込まれるディスク装置13のセクタであり、ディスク装置13の先頭に置かれ、ディスク装置13内のどちらのOSを(認証OSまたは運用OS)、どのように起動するかなどの情報が記録されている。MBR20は、電源投入時には認証OSを起動するように指定されている。
運用OS領域21は、その領域内のデータ内容の少なくとも一部が暗号化されている領域であり、ブートローダ22、運用OS23および運用OSのAP(Application)24から構成される。
ブートローダ22は、MBR20で指定される起動用領域の1つであり、運用OS23をディスク装置13から読み込み起動するプログラムである。
運用OS23は、図1(b)で説明したように、ユーザ認証が許可されたときに、稼働するOSである。
運用OSのAP24は、運用OS23で動作する各種アプリケーションである。
ブートローダ22は、MBR20で指定される起動用領域の1つであり、運用OS23をディスク装置13から読み込み起動するプログラムである。
運用OS23は、図1(b)で説明したように、ユーザ認証が許可されたときに、稼働するOSである。
運用OSのAP24は、運用OS23で動作する各種アプリケーションである。
認証OS領域25は、暗号化してもよいし、暗号化しなくてもよい領域であり、ブートローダ26、認証OS27および認証OSの認証AP28から構成される。
ブートローダ26は、MBR20で指定される起動用領域の1つであり、認証OS27を主メモリ7に読み込む。ここで、認証OS領域25を暗号化した場合、ブートローダ26は、認証OS復号鍵26−1を参照しながら、認証OS27の復号処理を行う。
認証OS27は、図1(b)で説明したように、運用OS23をユーザに利用させるか否かをユーザ認証するための認証OSの認証AP28を動作させるOSである。
ブートローダ26は、MBR20で指定される起動用領域の1つであり、認証OS27を主メモリ7に読み込む。ここで、認証OS領域25を暗号化した場合、ブートローダ26は、認証OS復号鍵26−1を参照しながら、認証OS27の復号処理を行う。
認証OS27は、図1(b)で説明したように、運用OS23をユーザに利用させるか否かをユーザ認証するための認証OSの認証AP28を動作させるOSである。
図3は、主メモリの内部データを示す構成図である。
主メモリ7は、BIOS30と共有メモリ領域31を設ける。BIOS30は16ビットで動作する。BIOS30には、運用OS復号鍵の格納アドレス30−1を設定するテーブルを設け、そこから運用OS復号鍵31−1を格納するアドレスを設定する。
BIOS30と共有メモリ領域31はOSにより、初期設定されない領域である。また、運用OS復号鍵の格納アドレス30−1はシステム設定時に決めておき、運用OSと認証OSで共有できるようにする。
主メモリ7は、BIOS30と共有メモリ領域31を設ける。BIOS30は16ビットで動作する。BIOS30には、運用OS復号鍵の格納アドレス30−1を設定するテーブルを設け、そこから運用OS復号鍵31−1を格納するアドレスを設定する。
BIOS30と共有メモリ領域31はOSにより、初期設定されない領域である。また、運用OS復号鍵の格納アドレス30−1はシステム設定時に決めておき、運用OSと認証OSで共有できるようにする。
一方、主メモリ7のうちのBIOS30と共有メモリ領域31とを除外した残りの領域(図1(b)の説明では「OS動作領域」)は、認証OS27の使用時と運用OS23の使用時で格納されているデータ内容が異なる。
認証OS使用時には、認証OS領域32として、ブートローダ33、認証OS34、および、認証OSの認証AP35から構成される。
運用OS使用時には、運用OS領域42として、ブートローダ43、運用OS44、運用OSのAP45および、復号ドライバ46から構成される。
認証OS使用時には、認証OS領域32として、ブートローダ33、認証OS34、および、認証OSの認証AP35から構成される。
運用OS使用時には、運用OS領域42として、ブートローダ43、運用OS44、運用OSのAP45および、復号ドライバ46から構成される。
共有メモリ領域31は、運用OS44と認証OS34が情報を共有するために、両OS(認証OS34、運用OS44)からアクセス可能な領域である。この共有メモリ領域31には、認証OS34が認証情報として運用OS復号鍵31−1を格納し、運用OS44がこれを参照する。
運用OS44および認証OS34は、それぞれBIOS30の16ビットよりアドレスを拡張した32ビットあるいは64ビットで動作する。
運用OS44および認証OS34は、それぞれBIOS30の16ビットよりアドレスを拡張した32ビットあるいは64ビットで動作する。
図4は、情報処理装置1の処理概要を示すフローチャートである。
情報処理装置1の導入処理(図1(b)では、S11の初期化よりも前)では、運用OSのOS本体を暗号化して、ディスク装置13に保存する(S100)。さらに、認証OSとその認証用APをディスク装置13に保存する(S101)。
情報処理装置1の起動時(図1(b)では、S11)、BIOS30は、16ビットモードで機種固有なCPU、メモリおよびタイマなどの基本的なハードウェアの初期設定を行う(S110)。
情報処理装置1の導入処理(図1(b)では、S11の初期化よりも前)では、運用OSのOS本体を暗号化して、ディスク装置13に保存する(S100)。さらに、認証OSとその認証用APをディスク装置13に保存する(S101)。
情報処理装置1の起動時(図1(b)では、S11)、BIOS30は、16ビットモードで機種固有なCPU、メモリおよびタイマなどの基本的なハードウェアの初期設定を行う(S110)。
認証OS34に関する処理では、以下のS120〜S128に示すように、認証OS27の起動処理と認証OSの認証AP28でのユーザ認証処理を行う(図1(b)では、S12)。
そのため、まず、BIOS30は、認証OSのブートローダ26を主メモリ7に読み込み、ブートローダ26を起動する(S120)。認証OSのブートローダ26は、BIOS30を使って、認証OS34を主メモリ7に読み込む(S121)。なお、認証OSのブートローダ26は、認証OS27も暗号化されているときには、認証OS復号鍵26−1を用いて、認証OS27を復号化する。
復号化された認証OS27として起動した認証OS34は、BIOS30が初期化したデバイスの状態を退避し(S122、図1(b)で説明したバックアップ処理)、各種デバイスを初期化することで(S123)、認証OS34が32ビットモードで起動する(S124)。その際、BIOS30からブートローダ26を起動し、32ビットOSのカーネルやドライバなどをディスク装置13から主メモリ7上に読み込む。さらに、32ビットOSのカーネルはCPUを32ビットモードに切り替え、ドライバが各種デバイスをOSに合わせて、初期化し直す。
認証OS34は、認証OSの認証AP35を起動し、ユーザ認証を行う(S125)。認証OSの認証AP35は、ユーザ認証に成功すると、運用OS復号鍵31−1を取得または生成し(S126)、共有メモリ領域31に格納する(S127)。この際、共有メモリ領域31はBIOSが指定する領域であり、OSが上書きできない領域である。このため、運用OSは、運用OS復号鍵31−1が格納された共有メモリ領域31を初期化しないことが保証できる。
認証OS34は、各種デバイスを停止した後、図1(b)で説明したロールバック処理により、初期化する前の状態であるBIOSの初期化状態に回復する(S128)。
認証OS34は、各種デバイスを停止した後、図1(b)で説明したロールバック処理により、初期化する前の状態であるBIOSの初期化状態に回復する(S128)。
まず、S128において、BIOS30が初期化状態に回復する回復処理により、BIOS30は、共有メモリ領域31内の運用OS復号鍵31−1を保持しつつ、運用OS44を起動可能な状態に各種デバイスを設定することができる(図1(b)では、S13)。
一方、S128において、認証OS34が初期化状態に回復する回復処理により、認証OSは、共有メモリ領域31内の運用OS復号鍵31−1を保持しつつ、運用OS44を起動可能な状態に各種デバイスを設定することができる(図1(c)では、S13−2)。
運用OS44に関する処理では、以下のS130〜S133に示すように、運用OS44が自身の復号処理と稼働処理とを行う(図1(b)では、S14)。
BIOS30は、共有メモリ領域31に格納された運用OS復号鍵31−1を参照して、運用OSのブートローダ43を主メモリ7に読み込み、ブートローダ43を起動する(S130)。
運用OSのブートローダ43は、BIOS30から指定された運用OS復号鍵31−1を参照して、運用OSを復号化しつつ主メモリ7に読み込む(S131)。
運用OS44は、運用OS復号鍵31−1を参照して、CPU6を32ビットモードで起動し、各デバイスを運用OS用に再初期化する(S132)。
運用OS44は、S132で再初期化された各デバイスを利用可能な状態で稼働する(S133)。
一方、S128において、認証OS34が初期化状態に回復する回復処理により、認証OSは、共有メモリ領域31内の運用OS復号鍵31−1を保持しつつ、運用OS44を起動可能な状態に各種デバイスを設定することができる(図1(c)では、S13−2)。
運用OS44に関する処理では、以下のS130〜S133に示すように、運用OS44が自身の復号処理と稼働処理とを行う(図1(b)では、S14)。
BIOS30は、共有メモリ領域31に格納された運用OS復号鍵31−1を参照して、運用OSのブートローダ43を主メモリ7に読み込み、ブートローダ43を起動する(S130)。
運用OSのブートローダ43は、BIOS30から指定された運用OS復号鍵31−1を参照して、運用OSを復号化しつつ主メモリ7に読み込む(S131)。
運用OS44は、運用OS復号鍵31−1を参照して、CPU6を32ビットモードで起動し、各デバイスを運用OS用に再初期化する(S132)。
運用OS44は、S132で再初期化された各デバイスを利用可能な状態で稼働する(S133)。
図5は、情報処理装置1の導入(インストール)処理手順を示すフローチャートである。
情報処理装置1の提供者は、運用OS領域21を暗号化して、ディスク装置13に格納し(S150、図4ではS100)、認証OS27と認証OSの認証AP28とをインストールする(S151、図4ではS101)。
情報処理装置1の提供者は、各OS(運用OS23、認証OS27)およびそのブートローダ22,26を情報処理装置1に導入し(S152)、電源投入後に自動的に認証OSのブートローダ26が起動するようにMBR20を書き換え(S153)、情報処理装置1の電源をオフにする、あるいは情報処理装置1を再起動する(S154)。
情報処理装置1の提供者は、運用OS領域21を暗号化して、ディスク装置13に格納し(S150、図4ではS100)、認証OS27と認証OSの認証AP28とをインストールする(S151、図4ではS101)。
情報処理装置1の提供者は、各OS(運用OS23、認証OS27)およびそのブートローダ22,26を情報処理装置1に導入し(S152)、電源投入後に自動的に認証OSのブートローダ26が起動するようにMBR20を書き換え(S153)、情報処理装置1の電源をオフにする、あるいは情報処理装置1を再起動する(S154)。
図6は、BIOSの処理手順(図4ではS110)を示すフローチャートである。このフローチャートは、図5に示した導入処理後(電源オンや再起動)を契機に、実行される。
まず、BIOS30は、再起動などにより起動される(S200)。
BIOS30は、CPUやタイマなどのハードウェアを自身の動作が可能な状態に設定し(S201)、搭載されている主メモリ7の量を調査したり、正常に読み書きできるか確認する(S202)。
BIOS30は、キーボード17やマウス18などのデバイス有無を調べて必要に応じて初期化し(S203)、ディスプレイコントローラ11を初期化して、ディスプレイ12にメッセージを表示する(S204)。
BIOS30は、ディスクコントローラ11を初期化して、BIOSが必要とする割り込み配送などの設定を行い(S205)、ディスクコントローラ11に接続されているディスク装置13をスキャンして、起動ディスク装置を検索する(S206)。その結果、BIOS30は、MBR20で指定されているOS(認証OSまたは運用OS)のブートローダ22,26を読み込む。
まず、BIOS30は、再起動などにより起動される(S200)。
BIOS30は、CPUやタイマなどのハードウェアを自身の動作が可能な状態に設定し(S201)、搭載されている主メモリ7の量を調査したり、正常に読み書きできるか確認する(S202)。
BIOS30は、キーボード17やマウス18などのデバイス有無を調べて必要に応じて初期化し(S203)、ディスプレイコントローラ11を初期化して、ディスプレイ12にメッセージを表示する(S204)。
BIOS30は、ディスクコントローラ11を初期化して、BIOSが必要とする割り込み配送などの設定を行い(S205)、ディスクコントローラ11に接続されているディスク装置13をスキャンして、起動ディスク装置を検索する(S206)。その結果、BIOS30は、MBR20で指定されているOS(認証OSまたは運用OS)のブートローダ22,26を読み込む。
図7は、図6で示したBIOSが初期化する各デバイスのハードウェア情報を示す説明図である。これらを以下に示す。これらのハードウェア情報は、工場出荷値があらかじめ指定され、S11でBIOS30が設定し、S12で認証OS34がバックアップ処理し、S13でロールバック処理する対象である。
CPUのハードウェア情報400は、コントロールレジスタの値、セグメントレジスタの値、および割り込みベクタアドレスの値から構成される。
タイマのハードウェア情報410は、動作モードの設定値、割り込み設定値、およびタイマ発火頻度の設定値から構成される。
キーボードのハードウェア情報420は、キーボードの割り込み設定値、およびコントロールレジスタ値から構成される。
ディスプレイコントローラ11の情報430は、画面モードの設定値から構成される。
割り込みコントローラの設定情報440は、各デバイスからの割り込みマスク設定値から構成される。
ディスクコントローラのハードウェア情報450は、ディスク装置13の搭載の有無、DMA(Direct Memory Access)転送アドレスの設定値、動作モードの設定値、および割り込み設定値から構成される。
リザーブエリア(標準仕様から拡張される予約領域)の各種設定情報は、運用OS復号鍵の格納アドレス30−1や、共有メモリ領域31を示すアドレス範囲など、認証OSや運用OSの実行に伴って使用される各種データである。
CPUのハードウェア情報400は、コントロールレジスタの値、セグメントレジスタの値、および割り込みベクタアドレスの値から構成される。
タイマのハードウェア情報410は、動作モードの設定値、割り込み設定値、およびタイマ発火頻度の設定値から構成される。
キーボードのハードウェア情報420は、キーボードの割り込み設定値、およびコントロールレジスタ値から構成される。
ディスプレイコントローラ11の情報430は、画面モードの設定値から構成される。
割り込みコントローラの設定情報440は、各デバイスからの割り込みマスク設定値から構成される。
ディスクコントローラのハードウェア情報450は、ディスク装置13の搭載の有無、DMA(Direct Memory Access)転送アドレスの設定値、動作モードの設定値、および割り込み設定値から構成される。
リザーブエリア(標準仕様から拡張される予約領域)の各種設定情報は、運用OS復号鍵の格納アドレス30−1や、共有メモリ領域31を示すアドレス範囲など、認証OSや運用OSの実行に伴って使用される各種データである。
図8は、認証OSに関する処理手順を示すフローチャートである。
認証OS34は、BIOS30が初期化したハードウェア状態を退避(バックアップ)する(S300、図4のS122)。
認証OS34は、BIOS30からブートローダ33を起動し、32ビットのOS27や認証OSの認証AP28をディスク装置13から主メモリ7に読み込む。(S301、図4のS120,S121)。
さらに、認証OS34は、CPUを32ビットモードに切り替え、ドライバが各種デバイスを32ビットOSに合わせて初期化する(S302、図4のS123,S124)。
認証OS34は、認証OSの認証AP35を起動し、ユーザ認証を行う(S303、図4のS125、具体的な認証の情報処理は、図13に後記)。
認証OS34は、BIOS30が初期化したハードウェア状態を退避(バックアップ)する(S300、図4のS122)。
認証OS34は、BIOS30からブートローダ33を起動し、32ビットのOS27や認証OSの認証AP28をディスク装置13から主メモリ7に読み込む。(S301、図4のS120,S121)。
さらに、認証OS34は、CPUを32ビットモードに切り替え、ドライバが各種デバイスを32ビットOSに合わせて初期化する(S302、図4のS123,S124)。
認証OS34は、認証OSの認証AP35を起動し、ユーザ認証を行う(S303、図4のS125、具体的な認証の情報処理は、図13に後記)。
ユーザ認証に失敗すると(S310,認証失敗)、電源をオフにする。あるいは、再度起動できないようにディスク装置13の内容(運用OS領域21のデータなど)を消去する(S311)ことで、運用OS44を起動させないで終了する。これにより、不正なユーザに情報処理装置1上で運用OSを使用させることを防止できる。
一方、ユーザ認証に成功すると(S310,認証成功)、認証OSの認証AP28は、運用OS復号鍵31−1を取得・生成する(S320、図4のS126)。さらに、認証OS34は、運用OS復号鍵の格納アドレス30−1を参照し、運用OS復号鍵31−1を指定した共有メモリ領域31に格納する(S321)。
一方、ユーザ認証に成功すると(S310,認証成功)、認証OSの認証AP28は、運用OS復号鍵31−1を取得・生成する(S320、図4のS126)。さらに、認証OS34は、運用OS復号鍵の格納アドレス30−1を参照し、運用OS復号鍵31−1を指定した共有メモリ領域31に格納する(S321)。
以下、S300でバックアップしたハードウェア状態の回復処理(ロールバック処理、図4のS128)について、説明する。
認証OS34は、各デバイスに関して、元の状態(BIOSが初期化した状態)に回復可能かチェックする(S322)。
回復可能な場合(S322,Yes)は、認証OS34が各種デバイスを初期化する前の(BIOSが初期化した状態)に回復し(S340)、運用OSのブートローダ43が運用OS23にアクセスする手段として、BIOS用コール(復号処理など)のためのフック処理を行う(S341)。なお、フック処理は、通常の処理にジャンプする箇所で制御を奪い取り、別のアドレスにジャンプさせることで、別の処理を行うことである。
回復できない場合(S322,No)は、エラー返却処理のためのフック処理を行う(S330)。これにより、BIOSが、回復できないデバイスを呼び出せないようにする。なお、セキュリティ機能を備えるIC(Integrated Circuit)チップであるTPM(Trusted Platform Module)などは、回復できないデバイスになることも多い。
全てのデバイスについて、(S322)から(S341)の処理を行う(S350)。そして、運用OSのブートローダ22が起動するようにMBR20を書き換える。
認証OS34は、各デバイスに関して、元の状態(BIOSが初期化した状態)に回復可能かチェックする(S322)。
回復可能な場合(S322,Yes)は、認証OS34が各種デバイスを初期化する前の(BIOSが初期化した状態)に回復し(S340)、運用OSのブートローダ43が運用OS23にアクセスする手段として、BIOS用コール(復号処理など)のためのフック処理を行う(S341)。なお、フック処理は、通常の処理にジャンプする箇所で制御を奪い取り、別のアドレスにジャンプさせることで、別の処理を行うことである。
回復できない場合(S322,No)は、エラー返却処理のためのフック処理を行う(S330)。これにより、BIOSが、回復できないデバイスを呼び出せないようにする。なお、セキュリティ機能を備えるIC(Integrated Circuit)チップであるTPM(Trusted Platform Module)などは、回復できないデバイスになることも多い。
全てのデバイスについて、(S322)から(S341)の処理を行う(S350)。そして、運用OSのブートローダ22が起動するようにMBR20を書き換える。
図9は、割り込みベクタアドレスのフック処理(S330,S341)を示す説明図である。
最初から存在する元の割り込みベクタアドレス500と更新後の割り込みベクタアドレス510がある。
また、元の割り込みベクタアドレス500は、ディスク装置の読み込み処理とそれ以外に分類し、それぞれのアドレスをディスク装置の読み込み処理のアドレス501とディスク装置の読み込み以外の処理のアドレス502から構成される。
ディスク装置の読み込み処理のアドレス501は、本来のディスク装置の読み込み処理550を指し(矢印520)、その処理を実行する。
最初から存在する元の割り込みベクタアドレス500と更新後の割り込みベクタアドレス510がある。
また、元の割り込みベクタアドレス500は、ディスク装置の読み込み処理とそれ以外に分類し、それぞれのアドレスをディスク装置の読み込み処理のアドレス501とディスク装置の読み込み以外の処理のアドレス502から構成される。
ディスク装置の読み込み処理のアドレス501は、本来のディスク装置の読み込み処理550を指し(矢印520)、その処理を実行する。
ディスク装置の読み込み以外の処理のアドレス502は、それぞれディスク装置の読み込み以外の元の処理551を指し(矢印521)、その処理を実行する。
更新後の割り込みベクタアドレス510は、BIOS用復号処理のアドレス511とエラー返却処理のアドレス512から構成される。
BIOS用復号処理のアドレス511は、BIOS用復号処理552を指し(矢印540)、その処理を実行する。エラー返却処理のアドレス512は、エラーの返却処理553を指し(矢印541)、その処理を実行する。
更新後の割り込みベクタアドレス510は、BIOS用復号処理のアドレス511とエラー返却処理のアドレス512から構成される。
BIOS用復号処理のアドレス511は、BIOS用復号処理552を指し(矢印540)、その処理を実行する。エラー返却処理のアドレス512は、エラーの返却処理553を指し(矢印541)、その処理を実行する。
次に、フック処理について説明する。
フック処理530(図8のS341に対応)は、ディスク装置の読み込み処理のアドレスをBIOS用復号処理のアドレスに置き換える。
フック処理531(図8のS330に対応)は、ディスク装置の読み込み以外の処理のアドレスをエラー返却処理のアドレスに置き換える。
フック処理532は、エラー返却処理のアドレスをディスク装置の読み込み以外の処理のアドレスに置き換える。
フック処理530(図8のS341に対応)は、ディスク装置の読み込み処理のアドレスをBIOS用復号処理のアドレスに置き換える。
フック処理531(図8のS330に対応)は、ディスク装置の読み込み以外の処理のアドレスをエラー返却処理のアドレスに置き換える。
フック処理532は、エラー返却処理のアドレスをディスク装置の読み込み以外の処理のアドレスに置き換える。
図10は、運用OSの処理手順を示すフローチャートである。
認証OS34あるいは認証OSの認証AP35は、S128でデバイス状態が回復したBIOSに対して、運用OS復号鍵31−1を参照して、運用OSのブートローダ43を主メモリ7に読み込み、ブートローダ43を起動するように制御する(S600)。
運用OSのブートローダ43は、運用OS復号鍵31−1を参照して、BIOS30を使って、運用OS44を主メモリ7に読み込む(S601)。なお、共有メモリ領域31はBIOSが運用OS復号鍵の格納アドレス30−1として指定する領域であり、OSの再起動でもデータ消去されない領域であるので、運用OS復号鍵31−1を認証OSから運用OSへとデータ共有させることができる。
認証OS34あるいは認証OSの認証AP35は、S128でデバイス状態が回復したBIOSに対して、運用OS復号鍵31−1を参照して、運用OSのブートローダ43を主メモリ7に読み込み、ブートローダ43を起動するように制御する(S600)。
運用OSのブートローダ43は、運用OS復号鍵31−1を参照して、BIOS30を使って、運用OS44を主メモリ7に読み込む(S601)。なお、共有メモリ領域31はBIOSが運用OS復号鍵の格納アドレス30−1として指定する領域であり、OSの再起動でもデータ消去されない領域であるので、運用OS復号鍵31−1を認証OSから運用OSへとデータ共有させることができる。
運用OS44は、運用OS復号鍵31−1をもとに、32ビットモードで起動し(S602)、自身の(32ビットモードの)復号ドライバ46をロードする(S603)。
S603以降、復号ドライバ46によって、運用OS44がディスク装置13から読み出す際には、運用OS復号鍵31−1を用いて読み込んだデータを復号化し、逆にディスク装置13に書き込む際には、暗号化を行ってからデータを書き込む。
運用OS44の32ビットOSのカーネルはCPU6を32ビットモードに切り替え、各種デバイスをOSに合わせて初期化し直す(S604)。
S603以降、復号ドライバ46によって、運用OS44がディスク装置13から読み出す際には、運用OS復号鍵31−1を用いて読み込んだデータを復号化し、逆にディスク装置13に書き込む際には、暗号化を行ってからデータを書き込む。
運用OS44の32ビットOSのカーネルはCPU6を32ビットモードに切り替え、各種デバイスをOSに合わせて初期化し直す(S604)。
ここで、運用OS44は、ユーザ認証が終了したため、主メモリ7を有効活用するため、認証OS34と認証OSの認証AP35を主メモリ7から削除(S605)してもよい。なお、認証OS34と認証OSの認証AP35は主メモリ7に保持しておいても構わない。
以上の結果、運用OS44の起動が完了し、稼働可能な状態になる(S606)。
以上の結果、運用OS44の起動が完了し、稼働可能な状態になる(S606)。
図11は、運用OSの読み込み処理(S601)の詳細を示すフローチャートである。
S601で行われるBIOS用復号処理では、元の割り込みベクタアドレスを呼び出し、ディスク読み込みを実行する(S650)。さらに、暗号化したディスク装置13へのアクセスかチェックする(S651)。暗号化したディスク装置13へのアクセスならば(S651,Yes)、読み込んだデータを復号化する(S652)。
S601で行われるBIOS用復号処理では、元の割り込みベクタアドレスを呼び出し、ディスク読み込みを実行する(S650)。さらに、暗号化したディスク装置13へのアクセスかチェックする(S651)。暗号化したディスク装置13へのアクセスならば(S651,Yes)、読み込んだデータを復号化する(S652)。
図12は、運用OSデバイスの再初期化処理(S604)の詳細を示すフローチャートである。
S604で行われるエラー返却処理では、回復可能なデバイスへのアクセスかチェックする(S670)。回復可能なデバイスであれば(S670,Yes)、エラー返却処理としてエラーを返却する(S672)。回復可能なデバイスでなければ(S670,No)、元の割り込みベクタアドレスにジャンプする(S671)。
S604で行われるエラー返却処理では、回復可能なデバイスへのアクセスかチェックする(S670)。回復可能なデバイスであれば(S670,Yes)、エラー返却処理としてエラーを返却する(S672)。回復可能なデバイスでなければ(S670,No)、元の割り込みベクタアドレスにジャンプする(S671)。
図13は、認証OSの認証AP28によるユーザ認証方法(S125)の詳細を示す説明図である。以下に例示する(方式1)〜(方式4)のうちのいずれか1つ以上の認証方法で、情報処理装置1では、認証OS34を利用して、高度でかつ多様なユーザ認証が可能になる。
(方式1)IDとパスワード
情報処理装置1のユーザは、ID801とパスワード802をキーボード17とマウス18から入力し(符号800)、情報処理装置1の認証OS34は、入力された「IDとパスワード」803と、事前に認証OSの認証AP35に格納されているIDとパスワード804とを比較し、一致すれば、「認証成功」と判定する(符号805)。一致しなければ、「認証失敗」と判定する。
情報処理装置1のユーザは、ID801とパスワード802をキーボード17とマウス18から入力し(符号800)、情報処理装置1の認証OS34は、入力された「IDとパスワード」803と、事前に認証OSの認証AP35に格納されているIDとパスワード804とを比較し、一致すれば、「認証成功」と判定する(符号805)。一致しなければ、「認証失敗」と判定する。
(方式2)ワンタイムパスワード
情報処理装置1のユーザに事前にワンタイムパスワード821を付与する。情報処理装置のユーザは、ワンタイムパスワード821をキーボード17とマウス18から入力し(符号820)、情報処理装置の認証OS34は、入力されたワンタイムパスワード823と、事前に認証OSの認証AP35に格納されているワンタイムパスワード824とを比較し、一致すれば、「認証成功」と判定する(符号825)。一致しなければ、「認証失敗」と判定する。
情報処理装置1のユーザに事前にワンタイムパスワード821を付与する。情報処理装置のユーザは、ワンタイムパスワード821をキーボード17とマウス18から入力し(符号820)、情報処理装置の認証OS34は、入力されたワンタイムパスワード823と、事前に認証OSの認証AP35に格納されているワンタイムパスワード824とを比較し、一致すれば、「認証成功」と判定する(符号825)。一致しなければ、「認証失敗」と判定する。
(方式3)USB機器認証
情報処理装置1のユーザは、認証用のUSB機器19を情報処理装置のUSBに挿入し、ディスプレイ12を見ながら、キーボード17とマウス18から機器認証情報841であるPIN(Personal Identification Number)を入力する。そして、USB機器19がPINを認証して、機器認証情報841を転送する(符号840)。認証OSの認証AP35は、入力された機器認証情報843と、事前に格納されている機器認証情報844とを比較し、一致すれば、「認証成功」と判定する(符号845)。一致しなければ、「認証失敗」と判定する。
なお、認証用のUSB機器19として、ユーザの個体情報を取得する生体センサを用いた生体認証を用いてもよい。
情報処理装置1のユーザは、認証用のUSB機器19を情報処理装置のUSBに挿入し、ディスプレイ12を見ながら、キーボード17とマウス18から機器認証情報841であるPIN(Personal Identification Number)を入力する。そして、USB機器19がPINを認証して、機器認証情報841を転送する(符号840)。認証OSの認証AP35は、入力された機器認証情報843と、事前に格納されている機器認証情報844とを比較し、一致すれば、「認証成功」と判定する(符号845)。一致しなければ、「認証失敗」と判定する。
なお、認証用のUSB機器19として、ユーザの個体情報を取得する生体センサを用いた生体認証を用いてもよい。
(方式4)ネットワーク認証
社内のネットワーク2のように、通信範囲が限定されたネットワーク2では、効率よく情報処理装置1のユーザ認証を行う必要があるために、認証サーバ3を活用する。情報処理装置1は、認証サーバ3に接続し(符号861)、認証要求861を送信する(符号860)。認証サーバ3は、「認証成功」であるときは、その旨(符号863)を情報処理装置1に通知する(符号862)。
社内のネットワーク2のように、通信範囲が限定されたネットワーク2では、効率よく情報処理装置1のユーザ認証を行う必要があるために、認証サーバ3を活用する。情報処理装置1は、認証サーバ3に接続し(符号861)、認証要求861を送信する(符号860)。認証サーバ3は、「認証成功」であるときは、その旨(符号863)を情報処理装置1に通知する(符号862)。
以上説明した本実施形態では、認証OSがユーザ認証を行った後、その認証結果を引き継いだ運用OSを起動させるユーザ認証システムを示した。これにより、認証OSでのユーザ認証を通過しないと運用OSは起動不可にし、セキュリティ確保と操作性を両立させることができる。
このように、低機能なBIOSの代わりに、高機能な認証OSをユーザ認証に利用することにより、豊富なユーザインタフェースや高度な認証手段を提供し、汎用PCのセキュリティと使い勝手を向上させることが可能になる。
このように、低機能なBIOSの代わりに、高機能な認証OSをユーザ認証に利用することにより、豊富なユーザインタフェースや高度な認証手段を提供し、汎用PCのセキュリティと使い勝手を向上させることが可能になる。
なお、認証結果の格納領域は、BIOSの再起動時や運用OSの起動時でもデータ内容が消えない共有メモリ領域31内に確保することにより、認証OSから運用OSへの認証結果の引き継ぎを実現する。
一方、ROM(Read Only Memory)上やディスク装置上に認証結果(ハッシュ値など)を置く方式では、電源を切っても認証情報が永続的に残るため、認証を通過したユーザとは別のユーザによる不正利用を許してしまう恐れがある。
また、単に共有メモリ領域31ではないメモリ上に認証結果を記録するだけでは、別のOSを起動するときの動作により、メモリの内容が消滅するため、別のOSは最初に起動したOSの情報を引き継げない。
一方、ROM(Read Only Memory)上やディスク装置上に認証結果(ハッシュ値など)を置く方式では、電源を切っても認証情報が永続的に残るため、認証を通過したユーザとは別のユーザによる不正利用を許してしまう恐れがある。
また、単に共有メモリ領域31ではないメモリ上に認証結果を記録するだけでは、別のOSを起動するときの動作により、メモリの内容が消滅するため、別のOSは最初に起動したOSの情報を引き継げない。
1 情報処理装置(認証装置)
2 ネットワーク
3 認証サーバ
6 CPU
7 主メモリ
8 ROM
11 ディスプレイコントローラ
12 ディスプレイ
13 ディスク装置
14 ディスクコントローラ
16 PS2/USB
17 キーボード
18 マウス
19 USB機器
20 MBR
21 運用OS領域
22 ブートローダ
23 運用OS
24 運用OSのAP
25 認証OS領域
26 ブートローダ
26−1 認証OS復号鍵
27 認証OS
28 認証OSの認証AP
30 BIOS
30−1 運用OS復号鍵の格納アドレス
31 共有メモリ領域
31−1 運用OS復号鍵
32 認証OS領域
33 ブートローダ
34 認証OS
35 認証OSの認証AP
42 運用OS領域
43 ブートローダ
44 運用OS
45 運用OSのAP
46 復号ドライバ
2 ネットワーク
3 認証サーバ
6 CPU
7 主メモリ
8 ROM
11 ディスプレイコントローラ
12 ディスプレイ
13 ディスク装置
14 ディスクコントローラ
16 PS2/USB
17 キーボード
18 マウス
19 USB機器
20 MBR
21 運用OS領域
22 ブートローダ
23 運用OS
24 運用OSのAP
25 認証OS領域
26 ブートローダ
26−1 認証OS復号鍵
27 認証OS
28 認証OSの認証AP
30 BIOS
30−1 運用OS復号鍵の格納アドレス
31 共有メモリ領域
31−1 運用OS復号鍵
32 認証OS領域
33 ブートローダ
34 認証OS
35 認証OSの認証AP
42 運用OS領域
43 ブートローダ
44 運用OS
45 運用OSのAP
46 復号ドライバ
Claims (8)
- 認証OS上で動作する認証処理の結果をもとに運用OSを動作させる認証装置であって、
前記認証OSおよび前記運用OSが読み込まれる先のOS動作領域と、前記認証処理の結果として取得される運用OS復号鍵が格納される共有メモリ領域とを有する主メモリと、
前記認証OSの格納領域と、暗号化されている状態で格納されている前記運用OSの格納領域とをそれぞれ有するディスク装置と、
前記認証装置の電源投入時に動作するBIOSを格納するROMと、
前記BIOS、前記認証OSおよび前記運用OSをそれぞれ前記主メモリに読み込んで動作させるCPUとを有するとともに、前記認証処理に用いられるデバイスが接続されており、
電源投入時に動作する前記BIOSは、自身のモードで前記デバイスを初期化する第1初期化処理を実行するとともに、前記認証OSを前記OS動作領域に読み込み、
前記認証OSは、自身のモードで前記デバイスを初期化する第2初期化処理を実行し、その初期化された前記デバイスを用いて前記認証処理を動作させることで、前記認証装置のユーザ認証を実施し、その認証が許可されたときには、前記共有メモリ領域に前記運用OS復号鍵を書き出し、前記共有メモリ領域内のデータ内容を保持したままで前記BIOSを再起動し、
前記BIOSは、自身のモードで前記デバイスを初期化する第3初期化処理を実行し、前記運用OS復号鍵で復号化した前記運用OSを前記OS動作領域に読み込み、
前記運用OSは、自身のモードで前記デバイスを初期化する第4初期化処理を実行し、前記主メモリ上で稼働することを特徴とする
認証装置。 - 前記BIOSが第3初期化処理を実行する代わりに、
前記認証OSは、前記第2初期化処理を実行する前に、前記第1初期化処理で初期化された前記デバイスの状態を待避するバックアップ処理を実行し、
前記BIOSは、再起動されたときに、バックアップされた前記第1初期化処理での前記デバイスの状態を回復するロールバック処理を実行することを特徴とする
請求項1に記載の認証装置。 - 前記BIOSが第3初期化処理を実行する代わりに、
前記認証OSは、
前記第2初期化処理を実行する前に、前記第1初期化処理で初期化された前記デバイスの状態を待避するバックアップ処理を実行し、
バックアップされた前記第1初期化処理での前記デバイスの状態を回復するロールバック処理を実行することを特徴とする
請求項1に記載の認証装置。 - 前記CPUは、前記認証OS上で動作する前記認証処理として、初期化された前記デバイスであるキーボードおよびマウスを介して入力されるIDおよびパスワードの組み合わせとして構成される認証情報を用いて、入力された認証情報と、事前登録された認証情報とが一致するときに、認証成功とすることを特徴とする
請求項1ないし請求項3のいずれか1項に記載の認証装置。 - 前記CPUは、前記認証OS上で動作する前記認証処理として、初期化された前記デバイスであるキーボードおよびマウスを介して入力されるワンタイムパスワードとして構成される認証情報を用いて、入力された認証情報と、事前登録された認証情報とが一致するときに、認証成功とすることを特徴とする
請求項1ないし請求項3のいずれか1項に記載の認証装置。 - 前記CPUは、前記認証OS上で動作する前記認証処理として、初期化された前記デバイスであるキーボードおよびマウスを介して入力されるPIN(Personal Identification Number)として構成される認証情報を用いて、入力された認証情報と、前記認証装置に挿入される初期化された前記デバイスである認証用USB機器内の認証情報とが一致するときに、認証成功とすることを特徴とする
請求項1ないし請求項3のいずれか1項に記載の認証装置。 - 前記CPUは、前記認証OS上で動作する前記認証処理として、前記認証装置にネットワーク接続された認証サーバの認証結果が認証成功であるときに、認証成功とすることを特徴とする
請求項1ないし請求項3のいずれか1項に記載の認証装置。 - 認証OS上で動作する認証処理の結果をもとに運用OSを動作させる認証装置が実行する認証方法であって、
前記認証装置は、
前記認証OSおよび前記運用OSが読み込まれる先のOS動作領域と、前記認証処理の結果として取得される運用OS復号鍵が格納される共有メモリ領域とを有する主メモリと、
前記認証OSの格納領域と、暗号化されている状態で格納されている前記運用OSの格納領域とをそれぞれ有するディスク装置と、
前記認証装置の電源投入時に動作するBIOSを格納するROMと、
前記BIOS、前記認証OSおよび前記運用OSをそれぞれ前記主メモリに読み込んで動作させるCPUとを有するとともに、前記認証処理に用いられるデバイスが接続されており、
電源投入時に動作する前記BIOSは、自身のモードで前記デバイスを初期化する第1初期化処理を実行するとともに、前記認証OSを前記OS動作領域に読み込み、
前記認証OSは、自身のモードで前記デバイスを初期化する第2初期化処理を実行し、その初期化された前記デバイスを用いて前記認証処理を動作させることで、前記認証装置のユーザ認証を実施し、その認証が許可されたときには、前記共有メモリ領域に前記運用OS復号鍵を書き出し、前記共有メモリ領域内のデータ内容を保持したままで前記BIOSを再起動し、
前記BIOSは、自身のモードで前記デバイスを初期化する第3初期化処理を実行し、前記運用OS復号鍵で復号化した前記運用OSを前記OS動作領域に読み込み、
前記運用OSは、自身のモードで前記デバイスを初期化する第4初期化処理を実行し、前記主メモリ上で稼働することを特徴とする
認証方法。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012040189A JP5689429B2 (ja) | 2012-02-27 | 2012-02-27 | 認証装置、および、認証方法 |
| EP13154965.1A EP2631840A1 (en) | 2012-02-27 | 2013-02-12 | Authentication device and authentication method |
| US13/766,067 US20130227262A1 (en) | 2012-02-27 | 2013-02-13 | Authentication device and authentication method |
| SG2013011192A SG193100A1 (en) | 2012-02-27 | 2013-02-14 | Authentication device and authentication method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012040189A JP5689429B2 (ja) | 2012-02-27 | 2012-02-27 | 認証装置、および、認証方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013175112A true JP2013175112A (ja) | 2013-09-05 |
| JP5689429B2 JP5689429B2 (ja) | 2015-03-25 |
Family
ID=47826862
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012040189A Active JP5689429B2 (ja) | 2012-02-27 | 2012-02-27 | 認証装置、および、認証方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20130227262A1 (ja) |
| EP (1) | EP2631840A1 (ja) |
| JP (1) | JP5689429B2 (ja) |
| SG (1) | SG193100A1 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015201091A (ja) * | 2014-04-09 | 2015-11-12 | Kddi株式会社 | 通信端末装置、通信端末装置の起動方法およびコンピュータプログラム |
| JP2017511921A (ja) * | 2014-02-13 | 2017-04-27 | フジツウ テクノロジー ソリューションズ インタレクチュアル プロパティ ゲーエムベーハー | 生産コンピュータシステムをブートする方法 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20150015793A (ko) * | 2013-08-01 | 2015-02-11 | 삼성전자주식회사 | 화상형성장치 및 화상형성장치의 사용자 인증 방법 |
| DE102014220616A1 (de) * | 2014-10-10 | 2016-04-14 | Bundesdruckerei Gmbh | Verfahren zum Laden von ausführbaren Programminstruktionen in eine Chipkarte im Wirkbetrieb |
| US10089245B2 (en) * | 2015-05-18 | 2018-10-02 | Hewlett Packard Enterprise Development Lp | Management of encryption keys for multi-mode network storage device |
| CN107533596B (zh) * | 2015-08-19 | 2019-11-29 | 华为技术有限公司 | 指纹识别方法及移动终端 |
| US11436317B2 (en) * | 2017-02-21 | 2022-09-06 | Raptor Engineering LLC | Systems and methods for assuring integrity of operating system and software components at runtime |
| US11200303B2 (en) * | 2017-12-08 | 2021-12-14 | Apple Inc. | Audio accessibility assistance |
| CN110750767B (zh) * | 2019-10-18 | 2023-05-02 | 神州数码融信软件有限公司 | 智能终端设备的登录初始化方法及智能终端设备 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1124936A (ja) * | 1997-07-09 | 1999-01-29 | Mitsubishi Electric Corp | 情報処理装置の高速再起動方式 |
| WO2000054133A1 (fr) * | 1999-03-08 | 2000-09-14 | Seiko Epson Corporation | Dispositif de traitement de donnees, procede de sauvegarde/chargement de donnees et support de memorisation de donnees |
| JP2001100983A (ja) * | 1999-09-28 | 2001-04-13 | Internatl Business Mach Corp <Ibm> | コンピュータの制御方法、コンピュータ及び記録媒体 |
| JP2002278720A (ja) * | 2001-03-16 | 2002-09-27 | Lion Corp | プリントサーバにおける制御方法及び該制御方法によるプリントサーバ |
| JP2006236193A (ja) * | 2005-02-28 | 2006-09-07 | Fujitsu Ltd | 起動プログラム実行方法、デバイス、記憶媒体及びプログラム |
| JP2007066123A (ja) * | 2005-09-01 | 2007-03-15 | Yokogawa Electric Corp | Os起動方法及びこれを用いた装置 |
| JP2007257197A (ja) * | 2006-03-22 | 2007-10-04 | Fujitsu Ltd | 起動検証機能を有する情報処理装置 |
| JP2009266131A (ja) * | 2008-04-28 | 2009-11-12 | Fujitsu Ltd | 記憶装置の制御装置、記憶装置及び記憶装置の制御方法 |
| JP2010237974A (ja) * | 2009-03-31 | 2010-10-21 | Buffalo Inc | 記憶装置 |
| JP2011181022A (ja) * | 2010-03-04 | 2011-09-15 | Dainippon Printing Co Ltd | 情報処理システム、プログラム、および認証引継方法 |
| JP2012008951A (ja) * | 2010-06-28 | 2012-01-12 | Fujitsu Ltd | 生体認証装置および生体認証プログラム |
| JP2014528602A (ja) * | 2011-09-30 | 2014-10-27 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 非トラステッド・ユーザ端末にオペレーティング・システム・イメージをプロビジョニングするための方法、コンピュータ・プログラム、デバイス、装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7797729B2 (en) * | 2000-10-26 | 2010-09-14 | O2Micro International Ltd. | Pre-boot authentication system |
| US7360073B1 (en) * | 2003-05-15 | 2008-04-15 | Pointsec Mobile Technologies, Llc | Method and apparatus for providing a secure boot for a computer system |
| US7565382B1 (en) * | 2003-08-14 | 2009-07-21 | Symantec Corporation | Safely rolling back a computer image |
| JP4433401B2 (ja) | 2004-12-20 | 2010-03-17 | レノボ シンガポール プライヴェート リミテッド | 情報処理システム、プログラム、及び情報処理方法 |
| US20070180509A1 (en) * | 2005-12-07 | 2007-08-02 | Swartz Alon R | Practical platform for high risk applications |
-
2012
- 2012-02-27 JP JP2012040189A patent/JP5689429B2/ja active Active
-
2013
- 2013-02-12 EP EP13154965.1A patent/EP2631840A1/en not_active Withdrawn
- 2013-02-13 US US13/766,067 patent/US20130227262A1/en not_active Abandoned
- 2013-02-14 SG SG2013011192A patent/SG193100A1/en unknown
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1124936A (ja) * | 1997-07-09 | 1999-01-29 | Mitsubishi Electric Corp | 情報処理装置の高速再起動方式 |
| WO2000054133A1 (fr) * | 1999-03-08 | 2000-09-14 | Seiko Epson Corporation | Dispositif de traitement de donnees, procede de sauvegarde/chargement de donnees et support de memorisation de donnees |
| JP2001100983A (ja) * | 1999-09-28 | 2001-04-13 | Internatl Business Mach Corp <Ibm> | コンピュータの制御方法、コンピュータ及び記録媒体 |
| JP2002278720A (ja) * | 2001-03-16 | 2002-09-27 | Lion Corp | プリントサーバにおける制御方法及び該制御方法によるプリントサーバ |
| JP2006236193A (ja) * | 2005-02-28 | 2006-09-07 | Fujitsu Ltd | 起動プログラム実行方法、デバイス、記憶媒体及びプログラム |
| JP2007066123A (ja) * | 2005-09-01 | 2007-03-15 | Yokogawa Electric Corp | Os起動方法及びこれを用いた装置 |
| JP2007257197A (ja) * | 2006-03-22 | 2007-10-04 | Fujitsu Ltd | 起動検証機能を有する情報処理装置 |
| JP2009266131A (ja) * | 2008-04-28 | 2009-11-12 | Fujitsu Ltd | 記憶装置の制御装置、記憶装置及び記憶装置の制御方法 |
| JP2010237974A (ja) * | 2009-03-31 | 2010-10-21 | Buffalo Inc | 記憶装置 |
| JP2011181022A (ja) * | 2010-03-04 | 2011-09-15 | Dainippon Printing Co Ltd | 情報処理システム、プログラム、および認証引継方法 |
| JP2012008951A (ja) * | 2010-06-28 | 2012-01-12 | Fujitsu Ltd | 生体認証装置および生体認証プログラム |
| JP2014528602A (ja) * | 2011-09-30 | 2014-10-27 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 非トラステッド・ユーザ端末にオペレーティング・システム・イメージをプロビジョニングするための方法、コンピュータ・プログラム、デバイス、装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017511921A (ja) * | 2014-02-13 | 2017-04-27 | フジツウ テクノロジー ソリューションズ インタレクチュアル プロパティ ゲーエムベーハー | 生産コンピュータシステムをブートする方法 |
| US10114654B2 (en) | 2014-02-13 | 2018-10-30 | Fujitsu Technology Solutions Intellectual Property Gmbh | Method of booting a production computer system |
| JP2015201091A (ja) * | 2014-04-09 | 2015-11-12 | Kddi株式会社 | 通信端末装置、通信端末装置の起動方法およびコンピュータプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2631840A1 (en) | 2013-08-28 |
| US20130227262A1 (en) | 2013-08-29 |
| JP5689429B2 (ja) | 2015-03-25 |
| SG193100A1 (en) | 2013-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5689429B2 (ja) | 認証装置、および、認証方法 | |
| KR101209252B1 (ko) | 전자기기의 부팅 방법 및 부팅 인증 방법 | |
| US9735960B2 (en) | Method for protecting data stored within a disk drive of a portable computer | |
| JP6137499B2 (ja) | 方法および装置 | |
| US9202059B2 (en) | Methods, systems, and apparatuses for managing a hard drive security system | |
| JP6054908B2 (ja) | 変数セットを修復する方法、コンピュータ・プログラムおよびコンピュータ | |
| US9880908B2 (en) | Recovering from compromised system boot code | |
| CN103718165B (zh) | Bios闪存攻击保护和通知 | |
| TWI238357B (en) | Providing a secure execution mode in a pre-boot environment | |
| JP5519712B2 (ja) | コンピュータをブートする方法およびコンピュータ | |
| JP5565040B2 (ja) | 記憶装置、データ処理装置、登録方法、及びコンピュータプログラム | |
| US8375440B2 (en) | Secure bait and switch resume | |
| US8566603B2 (en) | Managing security operating modes | |
| US20110246785A1 (en) | Hardware supported virtualized cryptographic service | |
| JP5346608B2 (ja) | 情報処理装置およびファイル検証システム | |
| TWI665604B (zh) | 具開機之可信驗證與容錯移轉之計算機系統及方法 | |
| US11599426B2 (en) | Recovery via backups of recovery information | |
| US9448888B2 (en) | Preventing a rollback attack in a computing system that includes a primary memory bank and a backup memory bank | |
| CN113330436A (zh) | 基于制造状态的固件子系统恢复 | |
| RU2623887C2 (ru) | Способ установки обновления модуля полнодискового шифрования | |
| US11971991B2 (en) | Information processing apparatus, control method for controlling the same and storage medium | |
| US20230009355A1 (en) | Method and Apparatus for Securely Backing Up and Restoring a Computer System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140306 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20141022 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20141111 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141217 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150120 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150128 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5689429 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |